《北信源产品体系.docx》由会员分享,可在线阅读,更多相关《北信源产品体系.docx(34页珍藏版)》请在三一办公上搜索。
1、产 品 简 介一、准入控制系列产品1、北信源网络接入控制管理系统l 产品背景 北信源网络接入控制管理系统能够强制提升企业网络终端的接入安全,确保企业网络保护机制的连续性,实现企业网络安全从质到量的提升。同时,通过与北信源接入控制网关的联动,还可以实现对远程接入企业内部网络的终端进行身份唯一性及安全性认证。通过北信源网络接入控制管理系统可以满足企业对终端接入网络的安全性要求,将终端接入控制覆盖到企业网络的每一个角落。同时,使得终端接入控制不再依赖于具体的网络或通信设备,甚至是当使用者拿着他们的移动设备离开企业网络时,仍能有效执行对终端下发的接入控制策略。北信源网络接入控制管理系统不需要对现有网络
2、结构进行改造便可进行部署,具备简单、方便、安全、易扩展的特性。l 系统功能描述1) 基于802.1X的终端接入认证管理;2) 外部终端接入访问限制;3) 外部终端接入身份认证;4) 杀毒软件检测及访问限制;5) 补丁自动检测及访问限制;6) 进程、服务、注册表信息检测及访问限制;7) 未达到预定义安全级别接入访问限制。l 系统功能特点1) 全面支持市场主流交换机;2) 可以实现无线802.1X接入认证;3) 可以与用户现有AD域或LDAP进行联动认证;4) 可以实现终端异地漫游的自动接管认证;5) 可以实现终端认证数据检测,防止虚假第三方认证。l 系统管理构架北信源网络接入控制管理系统由以下几
3、部分组成:1)策略服务器:系统策略管理中心,提供系统的参数配置和安全策略管理。2)认证客户端:安装在终端计算机,通过用户名和密码向认证服务器发起认证,实现正常工作区、访客隔离区、安全修复区的自动切换。3)Radius认证服务器:接收客户端认证请求信息数据包并进行验证。4)Radius认证系统 (交换机) :可网管支持802.1x的网络设备(交换机),接收认证客户端的认证请求数据包与Radius认证服务器完成认证过程。5)可选配强制注册网关(硬件):在不完全支持802.1x的网络中可选装强制注册网关,完成未注册终端访问网页时进行DNS重定向或HTTP重定向,以达到强制注册目的。图网络接入访问控制
4、产品2、北信源虚拟隔离接入控制系统l 产品背景常用的网络接入技术是基于802.1X协议或网关形式来实现。802.1X接入认证对环境要求稍高,有些网络设备不支持802.1X协议,如HUB设备;而网关接入认证,在限制外部终端对内部终端访问时存在安全防御的真空。针对如上问题,北信源虚拟隔离接入控制技术应运而生,在不改变原有网络结构的同时,对新接入的网络设备进行有效管理。l 系统功能描述1) 不改变现有网络配置,实现终端网络访问控制;2) 隔离并保护注册终端,使未注册终端无法和其通信;3) 隔离并保护服务器区域,防止未注册终端随意访问;4) 通过安全检查机制,对未安装杀毒软件、漏打补丁终端进行隔离;5
5、) 未注册终端接入网络后,隔离并被重定向到注册界面。l 系统管理架构北信源虚拟隔离接入控制系统由以下几部分组成:1) 策略服务器(VRVEDP Server):系统策略管理中心,提供系统的参数配置和安全策略管理。2) 客户端(VRVEDP-Agent):安装在终端计算机上,接收EDP服务器策略,并执行策略。判定是否是注册计算机,起到隔离阻断的作用。产品3、北信源接入认证网关l 产品概述北信源接入认证网关是一款部署简便、使用灵活的网络准入/准出控制产品。使网络管理员能在允许用户进入网络前、访问外部网络前,对有线、无线和远程用户进行验证、授权。能够阻止未授权计算机越权访问网络资源。l 系统管理构架
6、北信源接入认证网关整体解决方案包括三个组件:北信源接入网关根据终端注册及策略情况提供访问权限。在用户未注册前,他们均被禁止访问可信网络,或进行HTTP、DNS等重定向强制注册。区域管理器管理服务器、检查规则及策略,基于Web的中央控制台。北信源客户端程序客户端程序代理、执行安全修复、身份认证功能。l 系统功能描述北信源接入认证网关与北信源内网安全管理系统结合可以完成网络终端注册和网络访问授权等工作,使得未注册客户端无法访问受限网络。使网络管理员能在允许用户进入网络前,对用户及其机器进行验证、授权。该安全产品能够:1) 对未注册终端进行访问网络权限控制,可进行HTTP、DNS等重定向强制注册;2
7、) 确认用户、用户设备和他们在网络中的身份;3) 对于终端设备网络连接流量进行控制;4) 该产品能向通过局域网、无线局域网、广域网或虚拟专用网连接的设备应用网络准入控制。产品具有为所有运行环境执行策略的独特能力,无需其他独立产品或模块。l 功能特点l 多种身份验证服务北信源接入认证网关具备终端特征验证、用户名口令验证、混合身份验证等多种身份验证机制。管理员通过策略方便设定。能维护具有不同许可级别的用户群体。l 集中管理基于Web管理控制台为每个用户定义所需的策略类型,一个区域管理器可以管理多个接入网关。l 灵活的部署模式提供最广泛的部署模式,能适用于任意客户网络。客户能将该产品作为虚拟或实际I
8、P网关,部署在边缘或中央,提供第二层或第三层客户端接入,或部署在DNS服务器前作为强制注册用的DNS网关。二、补丁分发系列产品1、北信源补丁及文件分发管理系统l 产品背景:近些年来,蠕虫病毒和木马病毒的频繁爆发给全球网络运行乃至经济都造成了严重影响,之所以这些蠕虫能造成如此危害,是因为利用了操作系统或者应用程序的漏洞。补丁的安装普遍会遇到以下的问题:l 普通用户技术知识水平有限,造成了计算机系统漏洞经常不能得到及时的修补,甚至长期不修补;l 网络维护人员为每台机器安装补丁耗时巨大;l 物理隔离网络用户必须使用移动存储设备从外网将补丁导入并安装,麻烦且带来信息泄漏和病毒传入的风险;l 每个终端补
9、丁安装均从外网下载补丁造成网络资源消耗过大;l 用户随意下载补丁导致补丁来源不统一带来的风险。消除漏洞的根本办法就是安装软件补丁,每一次大规模蠕虫病毒的爆发,都提醒人们要居安思危,打好补丁,做好防范工作,补丁越来越成为安全管理的一个重要环节。黑客技术的不断变化和发展,留给管理员的时间将会越来越少,在最短的时间内安装补丁将会极大地保护网络和其所承载的机密,同时也可以使更多的用户免受蠕虫的侵袭。对于机器众多的用户,繁杂的手工补丁安装已经远远不能适应大规模网络的管理,必须依靠新的技术手段来实现对操作系统的补丁自动修补。因此,如何利用有效技术手段来及时、持续、稳定的安装计算机补丁,是所有网络安全管理人
10、员、信息安全决策人员亟需解决的问题。l 系统功能概述北信源补丁及文件分发管理系统是北信源公司在为国家各大部委机关、各大行业网络用户进行病毒安全服务、总结安全运营保障经验的基础上,分析当前网络客户端实际安全管理要求研发的,系统支持推、拉两种方式自动下载补丁。整个补丁管理运行平台构架是:通过北信源外网补丁下载服务器及时从补丁厂商网站获取最新补丁;然后补丁经过安全测试后,通过补丁分发管理中心服务器对网络用户进行分发安装;补丁安装支持自动和手动两种方式。l 系统功能描述:1) 互联网补丁自动下载;2) 补丁完整性和安全性测试;3) 补丁增量更新导入;4) 补丁库建立和分类;5) 终端补丁自动检测;6)
11、 补丁策略制定分发和自动分发;7) 终端补丁流量控制和代理转发技术;8) 补丁自动修复及查询统计;9) 未打补丁情况汇总统计;10) 补丁安装情况汇总统计;11) 已安装补丁自动卸载;12) 文件分发及文件自动执行;13) 文件分发安装结果统计。l 网络应用l 直接连接互联网的网络:通过补丁下载服务器将补丁下载至补丁分发服务器。l 物理隔离网络:在互联网网络上安装补丁下载服务器模块,通过补丁下载增量分离工具,区分内网已导入和未导入的补丁,将最新补丁导入内网补丁分发服务器。l 系统组件北信源补丁及文件分发管理系统依据客户端注册优势,提供补丁检测、安装等远程功能。客户端访问网络WEB站点,根据页面
12、自动弹出提示进行注册,注册程序将在系统中实时运行,检测补丁安装状况,并上报给补丁控制中心。补丁控制中心提供补丁策略制订、补丁文件直接分发,补丁测试提供对软件厂商新发布补丁的前期测试,严格测试后才可以配发到网络客户端,保障客户端补丁安装安全性。系统可按照网段、补丁类型进行补丁配置分发,支持漏打补丁、特殊补丁的推送下发;通过自定义分网段、分区域的补丁下载升级设定策略,以及转发代理技术,避免造成网络堵塞,合理控制网络带宽。图 1 补丁管理系统功能构架 l 系统构架该系统贴近用户对网络、网络终端管理的要求,适用于局域网、广域网等多种构架。标准构架(小型网络):在局域网中全面部署应用北信源补丁及文件分发
13、管理系统,包括各种功能模块:补丁下载、补丁分析、补丁策略分发制订、文件分发、客户端补丁监测、漏洞补丁扫描、补丁分发控制台等。级联构架(大型网络):对于网络分布广泛、规模庞大,并且拥有多个网络管理中心的广域网,北信源补丁及文件分发管理系统支持在标准构架上建立多级级联模式,实现下级网络补丁管理系统从上级补丁管理系统自动获取补丁,以及相关补丁审计、系统组件升级功能。三、介质管理系列产品1、北信源移动存储介质使用管理系统l 移动存储介质数据交换引发的安全问题移动存储介质,如U盘、移动硬盘等,因其体积小、容量大等优点,已得到广泛应用。作为数据交换的主要手段之一,移动存储介质正成为数据和信息的重要载体,但
14、是我们也应该看到,移动存储设备在给我们带来极大方便的同时,也给我们带来了不少的安全隐患,主要如下:1. 涉密计算机接入非涉密移动存储设备;2. 非涉密计算机使用涉密移动存储设备;3. 移动存储介质的数据交互审计;4. 外来移动存储介质随意接入问题;5. 移动存储介质丢失导致信息泄漏;6. 移动存储介质的使用信息无法追踪审计问题;7. 移动存储介质接入区域限制和控制问题;8. 病毒、恶意代码通过移动存储介质传播问题。l 技术特点及应用1、分级权限控制通过对移动存储介质写入两种不同控制权限及功能的标签,来实现分级权限的控制,并对指定范围内的终端授权,通过策略与标签的配合来实现对移动存储介质的控制。
15、注,对移动存储介质格式化无法去除标签。普通标签:写入普通标签后,在管理区域内根据策略的设置,来限制移动存储介质的读、写功能;如果在管理区域外使用移动存储介质认证,则不限制移动存储介质认证读、写功能。加密标签:写入加密标签后将普通移动存储介质(U盘、移动硬盘等)分为二个可控制的区域:交换区、保密区。涉密网络可只生成保密区。交换区和保密区启动均需输入独立的密码,数据在二个区存储时均以加密方式存储,这两个区的具体应用如下:(1)在涉密网络中或高要求的办公网络中,可只生成保密区一个区。该保密区只能在有对应安全策略的主机上通过认证标签后、同时输入正确密码才能访问,同时有安全策略的主机可以根据策略控制未经
16、标签认证的移动存储介质的使用。(2)在普通办公网络中,可生成交换区、保密区二个区。保密区的使用方法,可与上述涉密网络或高要求的办公网络相同。交换区的使用方法,可以根据用户需要,在内部网络中通过策略限制使用方式,交换区在外网使用时同样要输入密码方可使用,保密区在外网不可见。2、审计功能完善1) 提供移动存储介质上所有文件操作的详细记录包括文件的创建、复制、删除、读写和重命名等操作,具体包括文件名、审计描述、时间、用户名、计算机IP地址和其他必要的信息。2) 提供移动存储介质的插入和拔出动作的详细记录具体包括事件类型、移动存储介质的名称、用户、计算机IP地址、事件时间等。l 系统功能描述1. 移动
17、存储设备(分设备、网段等)接入认证管理,保障指定设备读写指定移动存储设备的访问控制管理;2. 移动存储介质数据读写控制管理;3. 移动存储介质标签认证管理;4. 移动存储介质分区(交换区和保密区)管理;5. 移动存储介质的加密管理,防止保密区的敏感信息外泄;6. 移动存储介质接入行为审计;7. 移动存储介质数据交换行为审计管理,可针对文件后缀名等条件;8. 提供详细的文件操作详细审计记录:包括文件的创建、复制、删除、修改和重命名等操作,(包括文件名、审计描述、时间、用户名、计算机IP地址和其他必要的信息);9. 提供详细的移动存储设备的插入和拔出动作的详细记录,具体包括事件类型、移动存储介质的
18、名称、用户、计算机IP地址和事件时间。l 系统管理构架北信源移动存储介质管理系统和其它系统均采用相同的管理构架,由服务端制订统一的策略,分发给客户端执行。系统有USB标签制作工具,通过对移动存储介质制作标签可以实现对移动存储介质中的数据进行保护和加密,对移动存储介质进行使用范围授权,访问控制等综合的管理。移动存储介质使用管理系统可以将整个移动存储介质划分成交换区和保密区两部分,保护区需要通过密码认证才可以访问。系统具体使用管理构架如下:1、系统服务器端:系统管理中心基于web页面管理方式,管理员登陆和配置后系统才能运行。能够自动发现网络中的终端计算机,并检测终端计算机是否安装系统客户端程序,管
19、理中心内置移动存储管理策略中心和报警中心,提供对网络终端的分组管理设置。2、系统客户端:安装在终端计算机,接收系统管理中心分发的策略,根据接受策略实时监控接入终端计算机移动存储设备的操作行为和状态,并进行管理或者控制;系统客户端注册以后,即使离开所在网络或不处于任务网络中,仍实时受到移动存储管理策略控制,日志记录于本地,一经连接回网络,则自动上报日志信息给服务器。3、专用移动存储设备注册工具:移动存储介质经过网管人员注册(包括打标签、设置访问密码)工具认证后,该移动存储介质才能在网络中使用。使用者在使用时必须输入使用密码后才能使用。系统以数据为中心,用户作为数据的使用者,主机作为数据的存储者,
20、移动存储介质作为数据的迁移者,在系统范围内均赋予唯一的标识,三者进行相互认证。只有经认证和授权成功后,才保证合法的用户在合法的机器上访问合法移动存储介质上的数据,并形成详尽的日志供审计。产品2、北信源安全U盘系统l 系统功能描述1) 遵循标准USB设备的使用流程,所有安全功能对用户透明;2) 采用专用控制模块防止U盘介质非授权格式化;3) 结合北信源移动存储介质使用管理系统,可实现多种方式的接入控制,具体详见移动存储介质使用管理系统相关介绍;4) 从原理上杜绝病毒自动传播(无法利用操作系统直接对U盘存储区文件进行读写),防止病毒拷入U盘导致病毒传播;5) 支持基于角色的细粒度强访问控制机制,采
21、用可定制的数据访问和审计策略,提供数据的多级多域安全防护;6) 采用安全容器技术,实现信息的存储和传输安全,保证信息内容本身的应用审计安全;7) 可对信息的分发路径进行全程跟踪,结合自主采集的多维主机指纹采集技术,从而对通过盘的数据交换行为进行全方位的细粒度审计;8) 审计信息记录在U盘本地的审计区,以供分析;9) 支持设备和主机的双向认证,防止主观和客观的数据非法访问;10) 一体化管理平台,便于U盘集中分发和管理。l 加密1) 加密算法:标准版本采用AES(256bit)高强度对称加密算法,根据需要也可支持用户定制的加密算法和芯片,支持多种加密模式;2) TTDS:采用扇区映射方式进行二级
22、抽象,完全打乱文件的存储位置,防止结构性破解。产品3、北信源光盘刻录监控与审计系统l 产品概述北信源光盘刻录监控与审计系统完全贯彻和落实国家保密局BMB17文件思想,实现对刻录的全面控制。系统采用三权分立原则,集权限控制、数据刻录控制、安全光盘读取和日志审计于一身,方便、有效的控制内网敏感信息通过CD/DVD盘片进行的数据交换。l 系统功能描述1.权限控制1)未授权用户无法使用刻录软件刻录数据;2)针对不同用户可授权为:禁止刻录、对指定格式的文件设定刻录权限、关键字过滤功能保障敏感文件无法刻录、刻录次数限定,可根据工作日及时间段授权刻录、并可设定刻录许可码。2.数据刻录控制只有使用北信源专用刻
23、录软件刻录普通光盘或者特殊格式的安全光盘,其他刻录软件无法刻录。3.特殊格式安全光盘读取1)经过加密刻录的光盘,使用时需要通过专用解密工具输入加密时设置的密码才可解密,解密后文档可正常读取;2)北信源专用刻录软件刻录的普通光盘在任何光驱上都能被正常读取。4.安全审计1)刻录行为的审计,包括:刻录计算机IP、MAC、刻录时间、源文件绝对路径、目的文件绝对路径等信息;2)客户端系统配置变化审计;3)灵活过滤条件查看日志;日志、统计报表提供WORD及EXCEL等格式的输出。产品4、北信源存储介质信息消除工具l 产品概述北信源公司本着“安全、便捷、可靠”的设计理念,针对用户当前存在的数据外泄问题,通过
24、合理的方式对计算机介质(包括磁带、磁盘、打印结果和文档)进行信息消除或销毁处理,防止介质内的敏感信息泄露。本系统能够保证存储在主机上的重要数据的安全,通过反复对文件磁道的改写和重写,对主机上需要删除的数据文件进行不可恢复的彻底粉碎,最终达到完全粉碎的目的。l 系统功能描述本系统采用数据防护算法和硬件验证技术,避免了存储数据的非法存取和意外泄漏,具有以下功能:1)文件粉碎:可对单个文件(文件夹)及多个文件(文件夹)进行彻底粉碎。2)分区粉碎:可对主机中所选择的分区进行不可恢复的彻底粉碎。3)磁盘粉碎:可对主机中所选择的磁盘进行不可恢复的彻底粉碎。同时,针对用户需求,本系统还具有以下特点:1)易用
25、性:本系统界面友好易懂、操作简单。2)安全性:被粉碎的文件不可恢复,层与层之间传递的是命令,而不是数据,不会引起数据泄露。3)防恢复:粉碎过的数据经反复擦除重写不会在硬盘上留下任何痕迹。l 系统管理构架系统分为用户软件层和核心层用户软件层:提供用户操作环境,可以在该操作环境下进行文件粉碎的表层工作。核心层:继承用户软件层接口,进行文件粉碎的核心操作。产品5、北信源存储介质信息消除系统l 产品概述北信源存储介质信息消除系统是国内第一款采用专用硬件及触摸屏设计的存储介质信息消除工具。以国家保密局BMB21-2007的要求为标准进行开发设计,能够保证存储在磁盘介质上的机密信息的安全,通过反复对文件磁
26、道的改写和重写,对磁盘介质上需要删除的文件进行不可恢复的彻底粉碎,最终达到完全粉碎的目的。系统对磁盘数据擦除快速,方式多样,简单易操作,被消除信息后的存储介质能够被重复利用,节省用户投资。l 产品优势更快速:擦除速度可达每分钟3GB。更人性:触摸屏方式设计,简单易用。更安全:数据擦除不可逆,无法恢复。更轻便:产品体积小,重量轻,携带方便。更丰富:支持4个USB接口、2个SATA接口、1个IDE接口。更专业:符合国家保密局BMB21-2007要求。l 产品功能北信源存储介质信息消除系统提供对硬盘、U盘等存储介质进行整体消除的功能,支持对4个USB口、1个IDE口以及2个SATA进行同步擦除。四、
27、数据安全系列产品1、北信源电子文档安全管理系统l 产品概述北信源电子文档安全管理系统基于电子文档安全这个长期困扰业界的难题而研发, 是具有高扩展性、可定制化的解决方案,实现对电子文档全生命周期管理。产品集电子文档使用权限控制、用户身份验证、文档透明加解密、文档访问控制、文档密级与安全策略控制、文档监控与审计等多种技术于一身,有效防止电子文档主动和被动泄密。同时本产品具有高度的可扩展性、模块化设计,可与北信源内网安全系统无缝结合,为企业信息化建设提供了强有力的安全保障。l 系统管理构架l 局域网构架 :网络结构是由一个或多个局域网所组成, 用户可以在局域网中安装一套电子文档安全管理系统,对局域网
28、中所有设备的电子文档进行安全管理。(如图1) 图1 局域网电子文档安全管理系统架构 图2 广域网电子文档安全管理系统架构l 广域网构架:网络结构是跨地域广域网,可使用本产品提供的多级服务器级联架构模式。主服务器向下属服务器级联下发安全策略,下属服务器向主服务器上报数据。确保整个公司的电子文档的安全统一管理。(如图2)l 系统功能描述1、对电子文档全生命周期(文档创建、使用、流转、归档、销毁)进行加密保护,无法强制破解;2、电子文档密级可以划分,完全符合国家等级保护等相关规定;3、企业密钥具有唯一性,实现不同企业之间不能共享文档,同时可根据企业现有组织结构定义部门加密密钥,实现同企业不同部门之间
29、不能共享文档;4、管理员制定、下发安全策略,对客户端进行统一的安全管理;5、实现应用程序数据透明加解密,不会影响办公软件的正常使用,不会改变用户正常使用软件行为方式;6、系统提供了应用程序指纹识别,确保了应用程序的唯一性;7、邮件按策略自动加密功能,收到的邮件将加密,发出的邮件自动解密;8、支持客户端离线授权策略,可以授权离线时间,文档处于安全状态;9、文档授权,用户可对所有文档进行只读,可编辑、打印、访问次数,口令验证,授权对象的控制,并可以限制授权文档只能在指定的计算机上使用;10、外发的加密文档使用时需进行密码和证书的双重认证,并可设定读写权限、打印权限、编辑权限、浏览次数、复制、另存为
30、等操作行为限制;11、在文档上传、下载过程中实现自动加解密,支持FTP、SharePoint、各类版本控制等文件服务器;12、提供了文档备份、归档、恢复功能;13、可根据企业组织结构创建用户,并分配用户权限;14、用户可申请文档授权、文档外发,文档解密、修改密码、离线使用等权限,经过审批才能获得相应权限;15、具有强大的审计功能,支持对文档授权、文档授权访问、文档操作、打印操作、用户管理、用户权限申请等审计;16、可以控制用户打印文档的水印显示信息;17、软件自身具有强大的保护机制,用户无法自行删除或者通过恶意工具破坏;18、可以生成详细的报表,支持报表的导出;19、支持自定义加密密钥,加密算
31、法;20、可与北信源内网安全管理系统完美结合,进一步提升企业信息安全的防护级别。l 系统关键技术1) 驱动层透明加解密2) 驱动层文档访问控制3) 应用层文档访问控制产品2、北信源数据装甲KDSECl 产品概述北信源数据装甲KDSEC是北信源针对个人数据安全精心研发的数据安全产品。它从个人电脑数据安全的不同角度进行分析与设计,为各个群体用户量身定制了数据防火墙、数据保护、U盘管理、文件保险箱 、痕迹粉碎、数据备份等安全防护功能。与以往数据安全保护软件操作复杂、功能难以理解、专业性强相比,北信源数据装甲KDSEC更功能易用,操作简单,便于被大众理解和使用,立体化全方位保护您的数据安全。l 产品功
32、能描述1、数据保护:数据保护功能为您提供了四种电子文档安全保护模式。一、软件数据保护模式,可对所有电子文档进行保护。二、文件保险箱保护模式,可对创建的保护分区内的文件进行保护。三、目录分区隐藏模式,可隐藏您自定义的重要目录或分区。四、文件授权外发模式,保障了您的文件在流传、转发过程中的数据安全。2、U盘管理工具:通过U盘管理工具可以限制USB接口形式的存储设备接入到计算机。同时用户可将普通U盘定制为安全U盘,将私密文件存储在安全U盘的保护区,这些文件将会被保护。即使安全U盘遗失,保护区内的文件不存在泄密风险。当然将非私密文件放到共享区中,可以很方便地与他人共享这些文件。3、数据防火墙:目前木马
33、、病毒等恶意程序在毫无察觉的情况下,通过网络窃取重要数据文件,造成了严重的数据安全隐患。数据防火墙可以为您解决这个问题。它可以有效拦截木马、病毒等恶意程序对计算机重要数据文件的泄露,保护了您重要数据文件的安全。4、痕迹粉碎:为了避免您的重要数据在删除后被他人恶意恢复的安全风险,痕迹粉碎能彻底解决此安全隐患。此功能支持对文件、分区、已删除文件的彻底粉碎,粉碎后的数据不能被恢复。与此同时,痕迹粉碎功能中还为您提供了检查可能被恢复的已删除文件风险,为您进行安全隐患排查。5、数据备份:可通过配置备份内容、备份位置和备份模式创建备份任务。备份任务可按用户自定义的备份时间自动执行,也可手工点击立刻执行。对
34、于应用软件数据备份和数码相机照片备份尤为方便。五、安全审计系列产品1、北信源主机监控审计系统l 产品背景随着信息安全技术和理念的发展,安全监控的关注点已经从设备转向对于设备使用者的行为,用户对于设备使用人行为审计和行为控制的需求越来越明显,由此国内外均已有相关的政策和法规陆续出台,国内的涉及国家秘密的信息系统分级保护技术要求、信息系统安全等级保护基本要求、信息系统安全等级保护测评准则和国外的萨班斯奥克斯利法案也均明确的提出了对主机行为的监控和审计要求。北信源主机监控审计系统通过技术手段使各种管理条例落实,增强用户的安全和保密意识,保护内部的信息不外泄,适用于政务、军队军工、金融等各个保密要求性
35、较高的企事业单位。l 系统功能描述1) 网络访问行为审计和控制:l 以黑白名单的方式对用户的网页访问行为进行控制;l 可对用户访问的网页等进行审计和记录。2) 文件保护及审计:系统提供对终端的系统、软件和共享等目录中的文件的保护功能,设定访问、删除、修改权限;支持对设定目录文件的操作审计,包括文件创建、打印、读写、复制、改名、删除、移动等的记录,同时将信息上报管理信息库供查询。3) 网络文件输出审计:对主机通过共享文件等方式进行的网络文件输出行为进行审计和记录。4) 邮件审计:根据策略对主机发送的邮件进行控制。并审计发送的邮件地址、IP等信息进行控制审计和记录。5) 打印审计:根据策略对主机打
36、印行为进行监控审计,防止非授权的信息被打印,同时根据要求还可以备份打印内容。6) 文件涉密信息检查:根据用户自主设定的涉密信息查询条件,设定对指定目录或盘符下的指定类型文件进行内容检查,检查其是否包含涉密内容,系统支持进行包含“或”、“与”等多种逻辑的组合监测和模糊监测。7) IM即时通讯记录审计:实现对QQ、MSN等聊天软件的访问行为及自定义关键字审计;8) 用户权限审计:能够审计用户权限更改,及操作系统内用户增加和删除操作;9) 独立的权限分配体系:提供系统管理员、系统审核员(安全员)、系统审计员和一般操作员权限分配,使之分别进行不同的管理操作;10) 系统日志审计:支持不同权限管理员在W
37、eb控制台对终端用户的日志(系统日志、应用日志、安全日志等)进行远程读取查看。l 管理功能描述1 ) 报表管理:对审计结果提供详实的报表,并可直接导出为Excel等格式的文件。2 ) 审计结果处理:用户可针对审计结果进行如用户端警告、报警、断网、终止进程等不同的处理。3 ) 级联管理功能:支持多级级联管理方式,上级管理节点可进行统一的状态和报警信息收集、查看,各级子管理节点能够与根管理节点进行策略同步。4 ) 客户端分组(域)管理功能:能够按照多种方式(如按操作系统、已划定区域、IP区域或用户自定义、所有设备等)灵活的对客户端方便的进行分组(域)管理,可对一个分组(域)内的被管理对象实施统一管
38、理。管理服务器对客户机的管理策略基于“组”管理,可先建立多个不同管理策略的“组”,可通过菜单操作将档案中的多台客户机从一个组转移到另一个组、从一个组拷贝到多个组。5 ) 方便灵活的策略对象定义:可以灵活的按照用户需要制定策略触发条件,可根据创建区域、自定义组、操作系统、IP范围和按照条件搜索的设备进行策略分组分发管理。策略也可按照时间定义,可按照日期进行控制,可规定策略生效或失效的时间段,可设定策略的存活时间。6 )全网统一升级功能:系统支持服务器端通过策略实现全网客户端的统一升级功能。产品2、北信源终端安全登录与监控审计系统l 产品概述北信源终端安全登录与监控审计系统是在基于北信源终端安全管
39、理理念的基础上,综合利用登录身份认证、文件系统加密等核心技术开发的USBKey登录身份认证及文件保护系统。该系统通过硬件(USBKey)和软件(USBKeyClient)相结合的方式实现了物理身份与用户身份的双重认证。通过将USBKey与操作系统不同权限用户的绑定,实现对USBKey的权限划分。由于USBKey本身的唯一性,从而保证了操作系统用户本身的唯一性。文件保险箱采用底层驱动加密创建,其内可进行任意文件操作,从而阻止他人非法地获取计算机信息。l 系统功能描述1) 双重认证安全登录管理(USBKey+PIN码与用户名+密码双重认证);2) USBKey与操作系统不同权限用户绑定管理;3)
40、USBKey登录权限划分管理(通过USBKey与操作系统不同权限用户的绑定,实现对USBKey的登录权限划分);4) USBKey拔除实时锁屏管理,屏保锁屏管理,注销锁屏管理;5) USBKey用户登录情况审计管理(包括USBKey的名称、登录时间、次数、序列号等信息);6) 禁用安全模式登录;7) 可以在计算机上建立若干个文件保险箱并进行加密处理;8) 可以像操作普通磁盘一样使用文件保险箱来保存敏感的数据和文件。产品3 北信源数据库审计系统l 产品概述北信源数据库审计系统VRV-DBAS(VRV DataBase Audit system)是北信源公司为解决当前企业/机构IT信息系统中与数据
41、库系统息息相关的管理风险、技术风险以及审计风险的问题,根据多年行业安全经验积累而推出的数据库应用安全产品。VRV-DBAS通过抓取和业务系统数据库操作相关的数据包,实现对数据库操作和用户行为的审计,同时可以提供丰富的查询接口,供数据管理者查询、分析、取证、决策,及时发现可能危及企业生产和运行的数据库风险因素,提供有效的风险控制依据。VRV-DBAS符合计算机等级保护中关于信息系统安全等级保护基本要求(GB/T22239-2008)、数据库管理系统安全技术要求(GB/T 20273-2006)相关的技术要求,可以有效的保护企业/机构的信息资产,帮助企业实现相关的法律法规遵从。l 产品特性l 采用
42、分体式组件化设计VRV-DBAS采用分体式组件化的设计理念,将整个系统划分为三大模块,各模块之间采用低耦合的方式进行设计,可以有效的对模块进行功能划分。采用分体式组件化的设计方式不仅可以合理利用系统资源,使得整个系统能以最优的性能运行,同时还可以方便的对整个系统进行扩展,最大化的满足使用者的需求。l 海量数据离线审计大容量的数据库系统通常会有海量的数据操作日志,VRV-DBAS采用高压缩比的文件型审计日志备份技术,使审计日志能够方便地长期保存,并且能够在事后随时按需导入进行解析查询。通常情况下,采用高压缩日志备份技术可以节约95%左右的存储空间。l 细粒度审计结果分析VRV-DBAS不仅支持针
43、对SQL命令(如:Select、Insert、Delete、Create、Drop等)以及存储过程的执行进行细粒度审计和分析,同时可以记录详细的用户行为信息,包括登录的时间、机器名、用户名、IP/MAC地址、客户端程序名以及数据库名等信息,支持对数据库操作维护命令、存储过程进行审计。另外,VRV-DBAS还可以深度解析数据库操作内容,准确解析出语句中的表名,操作方式及操作内容,并根据表名和操作方式进行归类和统计分析。l 可扩展的系统架构VRV-DBAS采用审计引擎、审计数据中心、审计视图中心独立运行,协同合作的组件化设计,使得系统具有灵活的扩展性。VRV-DBAS支持对多个审计引擎的集中管理以
44、及对审计数据的集中存储,具备强大的可扩展性。如果对数据库系统进行扩容,只需要简单的增加数据采集引擎便可以支持对新的数据库系统的审计。l 完整的安全规则库北信源公司通过数年安全技术的积累,针对常见的数据库攻击技术进行了人工智能分析,在分析的基础上生成了完备的数据库安全规则库,并将该数据库安全规则库内置于VRV-DBAS中,配合异常模型反应机制的辅助,使得VRV-DBAS在进行部署后只需要简单的配置就可以全面的保护数据库对象的安全。l 系统功能描述l 数据库行为实时监控与防御VRV-DBAS可以实时监控用户对数据库系统所进行的所有操作行为。一方面,VRV-DBAS审计引擎可以根据制定的入侵检测策略
45、,快速地对数据库的缓冲区溢出攻击、口令字猜解等恶意攻击做出反应。另外一方面,通过VRV-DBAS的数据审计中心,可以根据内容关键字、IP地址、用户/用户组、时间、数据库类型、数据库操作类型、数据库表名等组合设定数据库敏感行为预设反应策略。l 会话操作回放传统的数据库审计系统对采用TELNET、FTP、SSH等方式登录到数据库服务器再执行数据库语句的方式无法进行有效的审计,造成数据库操作的审计覆盖面不足。VRV-DBAS采用TELNET、SSH以及FTP会话深度还原的技术,能够完整的回放通过Telnet、SSH、FTP等方式访问数据库的所有会话,使得通过该方式进行的数据库违规行为无处可遁。l 风
46、险行为实时报警VRV-DBAS具备独立的告警功能模块,通过内置多种告警规则库,支持对用户所关注的敏感信息设置告警策略。当告警规则事件被触发后,系统会将告警信息及时通知给管理员,告警方式包括邮件告警,声音告警,短信告警等多种方式。l 强大的数据定制功能VRV-DBAS审计引擎具有非常强大的数据定制功能,在数据量非常大时,VRV-DBAS审计引擎可以根据管理员定制的规则进行数据采集,例如,可以根据操作源IP、操作源MAC、计算机名、程序名、生产数据库名、生产数据库用户名、操作内容、表名等条件进行定制,从而只采集管理者真正关心的数据,减少其它信息的干扰。l 专业的报表定制功能VRV-DBAS数据中心
47、支持管理员自定义多种报表任务,包括数据库访问量报表、特权操作跟踪报表、生命期跟踪类报表以及周期性任务报表等,可将多种对象进行组合生成相应数据库访问量报表,如源IP、目标IP、协议类型、客户端名、应用程序名、数据库名、操作方式、操作对象、预警规则名、预警级别等。 灵活的审计结果展示VRV-DBAS支持对数据库行为审计结果的实时分析、历史数据统计以及深度分析的功能,所有审计结果都以专业的图形报表形式进行展示,同时,对所有的图形化报表均提供查询接口。 历史数据自由回档与检索为充分利用审计数据中心的存储空间,该系统对审计数据进行了高达95%比率的压缩,同时,VRV-DBAS可以根据需要重新检索的数据范围,对压缩数据进行自动回档操作,并对回档出来的数据重新检索。六、安全检查系列产品1、北信源网络信息保密检查监控系统l 产品背景随着信息化在全球的快速发展,互联网技术在各个方面得到了普遍应用,军队、政府企业也建立了自己的网络
