收藏
下载资源 加入VIP免费专享

航宇正安内网安全管理系统技术白皮书-航宇电子技术有限公司.docx

上传人:牧羊曲112 文档编号:2069046 上传时间:2023-01-06 格式:DOCX 页数:23 大小:393KB
返回 下载 相关 举报
航宇正安内网安全管理系统技术白皮书-航宇电子技术有限公司.docx_第1页
第1页 / 共23页
航宇正安内网安全管理系统技术白皮书-航宇电子技术有限公司.docx_第2页
第2页 / 共23页
航宇正安内网安全管理系统技术白皮书-航宇电子技术有限公司.docx_第3页
第3页 / 共23页
航宇正安内网安全管理系统技术白皮书-航宇电子技术有限公司.docx_第4页
第4页 / 共23页
航宇正安内网安全管理系统技术白皮书-航宇电子技术有限公司.docx_第5页
第5页 / 共23页
点击查看更多>>
资源描述

《航宇正安内网安全管理系统技术白皮书-航宇电子技术有限公司.docx》由会员分享,可在线阅读,更多相关《航宇正安内网安全管理系统技术白皮书-航宇电子技术有限公司.docx(23页珍藏版)》请在三一办公上搜索。

1、中国航天航宇正安内网安全管理系统技术白皮书 中国航天科技集团公司汕头高新区航宇电子技术有限公司n 版权声明本手册的所有内容,其版权属于汕头高新区航宇电子技术有限公司(以下简称航宇电子)所有,未经航宇电子许可,任何人不得仿制、拷贝、转译或任意引用。本手册没有任何形式的担保、立场倾向或其他暗示。若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失,航宇电子及其员工恕不承担任何责任。本手册所提到的产品规格及资讯仅供参考,有关内容可能会随时更新,航宇电子恕不承担另行通知之义务。版权所有 不得翻印 2007-2009航宇电子n 商标信息本手册中所谈及的产品名称仅做识别之用,而这些名称可能属

2、于其他公司的注册商标或是版权,其他提到的商标,均属各该商标注册人所有,恕不逐一列明。航宇电子(HYET)和 是汕头高新区航宇电子技术有限公司注册商标,受商标法保护。目 录1产品背景32产品概述52.1产品简介52.2产品架构53产品主要功能83.1 桌面安全管理83.1.1桌面安全管理83.1.2桌面安全审计93.2漏洞扫描与补丁分发管理103.3外设与接口管理113.4安全接入管理123.5非法外联监控133.6资产管理133.7远程控制143.8用户/权限管理143.9流量审计/控制143.10日志管理143.11详细的审计、分析与报告153.12基于策略优先级的用户行为管理功能153.1

3、3基于场景的管理策略154产品特点164.1强大的流量管理164.2 ARP病毒免疫164.3终端隐患一网打尽164.4系统补丁统一分发164.5全网威胁联动防御174.6多元化的管理模式174.7策略的优先级管理174.8可靠的P2DR安全机制185产品部署195.1产品部署示意图195.2部署位置205.3部署方式206技术支持217公司简介221 产品背景信息技术发展到今天,人们的工作和生活已经越来越依赖于计算机和网络;然而,自网络诞生的那一天起,它就存在着一个重大隐患安全问题,使人们在一边享受着网络所带来的便捷,一边又不得不承受着网络安全问题带来的隐痛。说到网络安全,人们自然就会想到网

4、络边界安全,但是实际情况是网络的大部分安全风险均来自于内部。常规安全防御理念往往局限于网关级别、网络边界(防火墙、IDS、漏洞扫描)等方面的防御、重要的安全设施大致集中于机房或网络入口处,在这些设备的严密监控,来自网络外部的安全威胁大大减小。相反,来自网络内部的计算机终端的安全威胁却是众多安全管理人员所面临的棘手的问题。自2003年来。以SQL蠕虫、“尼姆达”、“冲击波”、“震荡波”、“熊猫烧香”等病毒的连续性爆发为起点,到计算机文件泄露、口令泄露、硬件资产丢失、服务器系统瘫痪等诸多终端安全事件在各地网络频繁发生,使政府机关和企事业单位的网络管理人员头痛不已。总结起来,政府机关和企事业单位的内

5、部网络管理大致面对着以下问题: 如何获知全网所有计算机资产的风险状况和脆弱性,发现终端设备的系统漏洞并自动分发补丁。 如何防范移动计算机和存储设备随意接入内网。 如何防止U盘造成的病毒传播和信息泄露。 如何防范内网设备非法外联。 如何对终端计算机在不同网络环境中及时应用不同的规则策略。 如何管理终端资产、保障网络设备的正常运行。 如何在全网制定统一的安全策略。 如何规避终端用户随意访问网络带来的不必要的法律风险。 如何及时发现网络中占用带宽最大的终端。 如何点对点控制异常终端的运行。 如何防范内部涉密重要信息的泄露。 如何对原有终端应用软件进行统一监控、管理。 如何快速有效的定位网络中病毒、蠕

6、虫、黑客的引入点,及时、准确的切断安全事件发生点和网络。 如何架构功能强大的统一网络安全报警处置平台,进行安全事件响应和事件查询,全面管理网络资源。这些终端安全隐患随时随地都可能威胁到用户网络的正常进行。对于内部网络的安全建设,我们建议从管理和技术两个方面入手,我们认为:“管理和技术合二为一,才能达到网络安全目的”;我们不能夸大技术手段的能力,也不能偏颇管理的效力,以前的“技术30%,管理70%”的说法,我们认为并不是很科学的。正确的解决途径应该是“管理和技术的有机结合”,用技术来实现管理目标,用管理来保障技术应用。航宇正安内网安全管理系统,提供的就是一款将管理和技术合二为一的内网以及终端安全

7、解决方案。2 产品概述2.1 产品简介航宇正安内网安全管理系统是航宇正安安全管理平台产品的重要组成部分,部署在企业的内部网络中,用于保护企业内部资源和网络的安全性。航宇正安内网安全管理系统可以对内部终端计算机进行集中的安全保护、监控、审计和管理,可自动向终端计算机分发系统补丁,禁止重要信息通过外设和端口泄漏,防止终端计算机非法外联,防范非法设备接入内网,有效地管理终端资产等。航宇正安内网安全管理系统可以与防火墙、漏洞扫描设备进行有机联动,共同提供全网安全解决方案。2.2产品架构航宇正安内网安全管理系统由客户端模块、服务器模块、控制台三部分组成。客户端代理模块对终端计算机进行监控,需要部署于每台

8、需要被管理的终端计算机上,用于收集数据信息,并执行来自服务器模块的指令。服务器模块存储终端安全策略、终端计算机信息、漏洞补丁数据等等,并由服务器向终端计算机客户代理模块发送指令。此模块安装在具有高性能CPU和大容量内存的服务器上。控制台采用B/S结构可以运行在网络中的任意一台计算机上,用来监控每台安装有代理模块的计算机,管理各类审计系统,制定安全策略。系统结构如下图所示: 1、航宇正安内网安全管理系统服务器模块:服务器模块包括服务器端软件和支持数据库。支持操作系统为Microsft Windows 2000 SP4、Microsft Windows XP SP1、Microsft Window

9、s XP SP2、Microsft Windows 20003和Microsft Windows Vista。数据库支持MySQL、Microsoft SQL Server、Sybase和Oracale(建议在客户端超过100000点,使用Microsoft SQL Server、Sybase和Oracale数据库)。服务器模块主要功能如下: 定时搜索网络,管理所有已安装客户端代理模块的计算机,并向代理模块传递相关的设置和命令信息; 接收控制台用户数据请求指令,传送数据文件到控制台,由控制台进行解密查看分析; 保存客户端代理用户信息; 存储系统组织结构,用户信息和系统工作配置参数; 收集客户端

10、代理模块采集的数据,并保存到数据库中; 提供方便灵活的历史记录管理、归档、搜索、查看等功能;2、航宇正安内网安全管理系统控制台模块:控制台模块是实现系统管理、参数配置、策略管理、系统审计的人机交互WEB界面。系统运行平台为IE6.0以上版本。控制台模块功能如下: 参数设置,包括控制台和服务器的工作参数; 用户(管理员)管理,包括:添加、删除、修改;系统管理员采用分权分级的管理方式,每个管理员都有其授权工作范围和管理权限; 虚拟安全工作域结构管理,包括创建组织结构层次深度以及添加、删除系统组织结构; 客户端代理的添加、安装和卸载; 客户端代理策略的配置和下发; 实时获取被监视计算机的屏幕快照等信

11、息; 设置监视和控制规则; 查看并播放记录在服务器端的历史记录; 查询特定机器特定时刻的历史记录; 监测日志的查看、分析和审计;3、航宇正安内网安全管理系统客户端代理模块:客户端代理模块是安装于受管理主机上的软件。软件安装支持本地安装和网络安装等多种方式;客户端代理的卸载只从服务器接收控制台发出的卸载指令,本地用户不能自行卸载、关闭管理程序。客户端代理的工作平台目前支持Microsft Windows 2000 SP4、Microsft Windows XP SP1、Microsft Windows XP SP2、Microsft Windows 20003和Microsft Windows

12、Vista。客户端代理模块主要功能如下: 接收服务器下发的工作策略,并按照该策略控制客户端代理的工作模式; 信息泄露防护,该模块包括对网络层、应用层、媒体介质、打印机和外设接口等的监视控制; 运行监测:实时记录文件的操作,进程、服务、驱动、用户和组的变化情况; 资产管理:接收服务器指令,上传系统的软件、硬件信息; 定时采集数据并保存,并将采集的数据传送到服务器; 响应控制台发出的监视请求,传送实时的屏幕快照信息; 根据系统的设置控制计算机的操作; 和服务器通信完成补丁的检测、下载和安装; 完成安全接入管理的实际功能。3 产品主要功能3.1 桌面安全管理桌面安全管理重点解决客户端计算机桌面安全管

13、理和行为的审计。航宇正安内网安全管理系统可以对客户端的防病毒软件的安装、运行及病毒库升级与否进行管理,可以对用户的文件、进程、上网行为等进行管理,并可以对客户端计算机上的文件、应用程序、上网行为等进行详细的审计。桌面安全管理可以分为桌面安全管理和桌面安全审计两个大的功能项。3.1.1桌面安全管理 网络连接与流量管理航宇正安内网安全管理系统能够监控网络接口的连接状态,可以实时监控客户端的网络流量状态并进行限速,对于在单位时间内超出流量阀值的终端,可以自动对其进行断网等限制措施,防止其过度占用网络带宽。 上网行为管理系统能够通过IP地址、url地址、域名和端口等多种方式制定不同的管理策略,管理客户

14、端的上网行为,并可以根据客户端的违规情况,对客户端进行桌面消息通知、锁定计算机、断网和向服务器发送邮件等控制。 服务和进程管理系统可以通过控制服务名和进程名的方式制定管理策略,管理客户端上运行的服务和进程,并可以根据客户端的违规情况,对客户端进行桌面消息通知、锁定计算机、断网和向服务器发送邮件等控制。 文件操作管理系统可以通过文件名和文件类型的方式制定管理策略,管理客户端上的文件访问、复制、粘贴、共享、移动、删除等行为,并可以根据客户端的违规情况,对客户端进行桌面消息通知、锁定计算机、断网和向服务器发送邮件等控制。 远程计算机管理能够对对远程终端计算机执行锁定、注销、重启、关机等操作。锁定计算

15、机除非管理员解锁,否则无论强制重新启动或者进入安全模式均不能使用。 终端在线/离线策略管理航宇正安内网安全管理系统可以对终端在线/离线2种状态下应用的策略分别予以设置。客户端和服务器连接能够进行通信时为在线状态,无法和服务器完成通信时即为离线状态。通过对在线/离线2种状态设置不同的策略,对于经常移动办公的设备(如笔记本)可以提供更加灵活实用的管理。 防病毒软件管理可以检测终端上是否安装有防病毒软件,以及安装的防病毒软件是否处于工作状态,病毒库是否过期等信息。航宇正安内网安全管理系统可以辅助客户端完成防病毒软件病毒库的更新,对于未安装防病毒系统的客户端,可以对其进行网络访问管理控制。 远程监视管

16、理员可以远程直接控制一台终端设备,接管远程终端的桌面操作,进行服务器桌面管理或者帮助用户解决问题。 系统设置管理可以禁止终端用户自行修改网络属性,IE属性等设置,防止用户的更改对网络安全造成影响或引入安全风险。3.1.2桌面安全审计 文件访问审计可以记录计算机上对各种文件和文件夹的访问和操作情况,并可以根据管理员的设置,对客户端产生桌面消息通知、锁定计算机、断网和向服务器发送邮件等系统报警信息。 上网访问行为审计可以记录终端系统上网行为的情况,并可以根据管理员的设置,对客户端产生桌面消息通知、锁定计算机、断网和向服务器发送邮件等系统报警信息。 程序行为审计可以记录终端系统上所有使用过的程序,并

17、可以根据管理员的设置,对客户端产生桌面消息通知、锁定计算机、断网和向服务器发送邮件等系统报警信息。 网络共享审计与管理可以记录终端系统上所有的共享文件夹,并可以远程对共享文件夹予以关闭。 网络端口通信审计可以对终端的网络端口与协议使用情况进行监测和审计。 终端用户屏幕审计可以定时抓取终端计算的屏幕,并按照时间顺序予以记录,供管理员查阅。 打印审计与管理可以监测终端计算机进行打印的事件,记录日志并可以根据策略产生报警信息。可以禁止终端计算机的打印操作。 终端用户变化审计可以发现终端用户的变化(如添加/删除用户),记录日志并根据策略产生系统报警信息。3.2漏洞扫描与补丁分发管理补丁分发管理主要完成

18、客户端的补丁检测和安装,强化客户端自身健壮性。允许管理员自定义软件分发,完成用户自由系统的补丁管理。可以远程进行软件分发。可以深入结合对客户端防病毒程序安装和运行情况的检测,为安全接入管理系统提供授权认证凭据。 网络漏洞扫描提供网络扫描与主机扫描两种模式,内置nessus扫描引擎,也可与市场上主流漏洞扫描设备进行联动。扫描完成后可以根据扫描结果自动对系统漏洞下发补丁并报警。 补丁分发客户端集成本机扫描功能。通过进行本机扫描,可以根据终端上存在的安全漏洞,分析到对应的补丁,并下发至终端进行安装。分发支持强制安装和通知安装两种方式,安装支持静默安装和非静默安装两种方式。 补丁完整性和兼容性测试航宇

19、正安内网安全管理系统可以利用补丁的数字签名等信息验证补丁来源的可靠性和完整性。可以挑选网络中典型应用的主机进行补丁兼容性测试,在确认补丁无兼容性问题后再进行全网分发。 补丁增量更新导入航宇正安内网安全管理系统可以检查服务器上的补丁信息是否是最新的,如果不是最新的,能够自动分析出来和最新补丁的差异,并将差异部分下载和导入,实现补丁的增量更新。 自定义补丁管理航宇正安内网安全管理系统允许添加自定义补丁文件,并对添加的自定义补丁文件进行管理,自定义补丁的管理支持添加、删除、查询,信息修改等操作。 自动补丁分发策略制定管理航宇正安内网安全管理系统可以设置自动补丁分发策略,实现对终端补丁的自动分发管理。

20、航宇正安内网安全管理系统可以按照终端缺少补丁的风险级别,分别制定不同的分发和安装策略。管理员可以对现有的进行更改。 点对点文件传输航宇正安内网安全管理系统能够通过服务器的调配,实现点对点(P2P)的文件传输。点对点的文件传输支持补丁分发和软件分发等各种文件传输过程。防止大规模补丁分发时占用过多网络带宽,影响正常业务使用: 自定义补丁分发和软件分发航宇正安内网安全管理系统允许在系统中添加自定义补丁或者自定义软件,并下发至客户端。下发的文件类型可以支持任意格式文件。对于可执行程序,系统能够自动执行,对于非可执行类文件,系统能够自动使用关联程序打开。3.3外设与接口管理外设与接口管理主要对终端上的各

21、种外设和接口进行管理。航宇正安内网安全管理系统可以禁用系统的外设和接口,防止用户非法使用。在外部存储设备的禁用方面,可以在禁止使用通用移动存储设备的同时,对经过认证的移动存储设备允许使用。 存储设备禁用航宇正安内网安全管理系统可以禁止如下存储设备的使用:软驱(Floppy)、光驱(CD/DVD/HD-DVD/BlueRay)、磁带机、Flash存储设备(U盘及MP3播放器)、移动硬盘(USB或1394)等。 外设和接口禁用航宇正安内网安全管理系统可以禁止如下外设计口的使用:串口和并口(COM/LPT)、SCSI接口、蓝牙设备、红外线设备、打印机、调制解调器、USB接口、火线接口(1394)、P

22、CMCIA插槽等。 设置移动存储设备只读可以设置将所有移动存储设备置于只读状态,不允许用户修改或者写入。 移动存储设备认证管理员可以通过航宇正安内网安全管理系统对指定的移动存储设备进行认证,并将认证信息存储在系统中,同时下发到指定客户端上,经过认证的移动存储设备可以在指定的客户端上全权使用。3.4安全接入管理 在线主机监测可以通过监听和主动探测等方式检测系统中所有在线的主机,并判别在线主机是否是经过系统授权认证的信任主机。 主机授权认证可以通过在线主机是否安装客户端代理程序,并结合客户端代理报告的主机补丁安装情况,防病毒程序安装和工作情况等信息,进行网络的授权认证,只允许通过授权认证的主机使用

23、网络资源。 非法主机网络阻断对于探测到的非法主机,系统可以主动阻止其访问任何网络资源,从而保证非法主机不对网络产生影响,无法有意或无意的对网络攻击或者试图窃密。 网络白名单策略管理航宇正安内网安全管理系统可以自动生成默认的合法主机列表,根据是否安装安全管理客户端或者是否执行安全策略,来过滤合法主机列表,快速实现合法主机列表的生成,降低管理员的工作量。同时允许管理员设置白名单例外列表,允许例外列表的主机不安装客户端但是仍然授予网络使用权限,并根据需要授予可以和其他授权认证过的主机通信的权限或者允许和任意主机通信的权限。 IP和MAC绑定管理可以将终端的IP和MAC地址绑定,禁止用户修改自身的IP

24、和MAC地址,并在用户试图更改IP和MAC地址时,产生相应的报警信息。3.5非法外联监控非法外联监控主要解决发现和管理用户非法自行建立通路连接非授权网络的行为。通过非法外联监控的管理,可以防止用户访问非信任网络资源,并防止由于访问非信任网络资源而引入安全风险或者导致信息泄密。 终端非法外联行为监控可以发现终端试图访问非授信网络资源的行为,如试图与没有通过系统授权许可的终端进行通信,自行试图通过拨号连接互联网等行为。对于发现的非法外联行为,可以记录日志并产生报警信息。 终端非法外联行为管理可以禁止终端与没有通过系统授权许可的终端进行通信,禁止拨号上网行为。3.6资产管理 硬件资产统计可以自动收集

25、分析终端计算机的物理内存、处理器类型、处理器速度、处理器个数、数学协处理器、总线类型等各种计算机硬件信息。系统可以通过组合查询,报告硬件的各种,查询可以基于硬件、存储容量等多种关键字进行。 软件资产统计航宇正安内网安全管理系统可以自动收集分析终端计算机安装的软件信息,并通过多种条件进行查询和统计。 硬件变化审计可以获取终端硬件的配置信息,能够监测其变化,对于硬件变化能够记录日志并根据策略产生系统报警信息。 软件变化审计可以获取终端软件的安装情况,能够监测其变化,对于软件的添加删除等变化能够记录日志并根据策略产生系统报警信息。 资产变更处理航宇正安内网安全管理系统可以自动监测系统软硬件资产的变动

26、,记录日志并可以产生报警,同时可以根据策略自主采用响应措施,防止资产变更给客户端或者网络带来更大的危害。3.7远程控制管理人员可以通过控制台远程取得客户机的控制权,身临其境般进行操作。对于远端客户机出现的问题,管理人员能够即时、方便的解决。在远程维护或者远程操作业务系统中发挥多方面的作用。3.8用户/权限管理航宇正安内网安全管理系统的用户和权限管理采用的是由美国国家标准协会提出的RBAC模型,即基于角色访问控制模型。基于角色的访问控制提供了一种简单灵活的访问控制机制,只给角色分配权限,用户通过成为角色的成员来获得权限。这与过去系统中直接给用户授权的管理模型相比更灵活方便。3.9流量审计/控制系

27、统可以对客户端的网络流量进行分时审计,管理员可以在服务器端看到用户的分时审计流量值,根据流量值管理员可以判断网络中部分用户在使用迅雷下载或P2P。同时管理员可以根据流量审计数据做出一些控制,在流量当上传、下载流量超过设定的阀值时,将会触发用户策略,根据策略可以做出告警、计算机锁定、客户端限时断网。流量的审计与控制是为管理员提供了有效可靠的流量控制方案。3.10日志管理系统提供强大的日志管理功能并且支持日志的实时输出,可以与4A,SOC等主流管理软件相结合构造整体安全解决方案。同时提供多种方式的日志检索分析功能便于用户查询分析,对于终端网络操作过程中出现问题的分析与解决具有重要意义。日志管理包括

28、日志查询、日志分析、日志删除等。3.11详细的审计、分析与报告航宇正安内网安全管理系统会根据管理人员的要求生成所关心的计算机应用的各种统计报表,从而可以对内部人员计算机的使用情况进行评估,例如查询:网站访问记录、应用程序记录、文件使用记录、历史屏幕快照记录等。系统提供了功能强大的报表功能,报表格式支持word、PDF、html、txt、XML等,预定义了多种报表模板,同时支持用户自定义报表模板。报表类型包括上网行为统计、网站访问统计、资产信息报告、漏洞信息报告、补丁安装信息报告等。3.12基于策略优先级的用户行为管理功能系统提供了策略优先级的管理功能,管理员可以设置不同级别的策略,各种策略可以

29、按照优先级进行排序,当策略间发生冲突时,高优先级的策略可以覆盖低优先级的策略。3.13基于场景的管理策略系统提供了基于场景的安全管理策略,管理员可以设置不同的场景,如根据工作时间和休息时间设定不同的策略,在工作时间设定的策略在休息时间不生效,休息时间场景的策略在工作时间亦不生效。4 产品特点4.1强大的流量管理系统可以根据不同的用户、用户组、不同的场景、不同的安全域、不同的通信速率制定不同的策略对客户端进行流量监控和统计。实时检测网络异常情况,有效防止网络资源被滥用。4.2 ARP病毒免疫针对现在局域网中ARP病毒泛滥的现状,航宇正安内网安全管理系统能在第一时间发现感染源并对其进行阻断,已经安

30、装系统客户端的操作系统,具有ARP病毒免疫力,ARP病毒不再对客户端有任何影响,从而杜绝由ARP病毒引起的网络瘫痪。4.3终端隐患一网打尽系统采用底层监控技术对终端用户的外设接口使用行为进行控制,可以禁止使用USB存储设备、打印机、红外接口等外设和接口,同时支持对敏感文件进行加密,防止重要数据外泄。系统支持对终端用户的程序使用、文件访问、上网行为、端口通信、网络共享、资产变更等行为进行监控、审计和管理,消除终端安全隐患。4.4系统补丁统一分发航宇正安内网安全管理系统提供以资产价值为核心的风险管理,可以针对网络中所有网络设备不同的资产价值和风险进行分析,可实现简单的安全评估的功能,并动态地刷新结

31、果,并能即时输出报告,供网络管理员分析网络内存在的安全风险。以便系统通过风险等级经行打补。系统通过对终端计算机进行自动漏洞分析,统一向终端下发所需系统补丁,确保终端计算机方便快捷地修补系统漏洞,增强终端安全性。系统支持补丁分发策略管理、分发流量控制、级联分发、自定义补丁管理、补丁增量更新、补丁回退等功能,帮助客户省时、省力、省带宽地完成对终端的查遗补漏。 4.5全网威胁联动防御系统遵循CSC关联安全标准,可以与防火墙/网闸/UTM等网关设备进行有机联动,共同防御网络内部和边界的安全威胁,实现全网安全。当内部终端计算机发生违规行为,或有外来主机非法接入内部网络时,系统可以通知网关设备对违规主机和

32、非法主机进行阻断,保证网络资源的安全性。4.6多元化的管理模式航宇正安内网安全管理系统采用多级管理与分级管理相结合的多元化模式。多级管理即服务器支持级联管理,服务器可以实现不同地域网络、不同行政级别、不同的管理级别服务器的策略规划和统一实施。分级管理即每个服务器可以添加用户管理员、系统管理员、审计员等不同权限的管理员帐户,每种帐户对应不同的管理职能,从而达到权责明确,有序管理的目的4.7策略的优先级管理提供了基于策略优先级的用户行为管理功能,可以按照策略的优先级经行排序。当策略见发生冲突是,高优先级的策略可以覆盖优先级的策略,避免了由于策略冲突导致管理失效大的问题。为多级管理提供了有力支持。4

33、.8可靠的P2DR安全机制航宇正安内网安全管理系统采用目前先进可靠的P2DR安全机制。在整体的安全策略Policy的控制和指导下,综合运用防护工具Protection(如防火墙、加密机、防病毒等手段)的同时,利用检测工具Detection(如隐患扫描、入侵检测等)了解和评估系统的安全状态,通过适当的安全响应Response将系统调整到“最安全”和“风险最低”的状态。5 产品部署5.1产品部署示意图航宇正安内网安全管理系统的典型部署示意见下图。从图中可以看到,服务器部署于服务器区内,终端计算机上部署客户端模块,接受终端管理系统监控。图中可以看到,某些未部署客户端或关闭客户端的计算机将被限制接入网

34、络,或限制其网络访问权限,从而保证网络安全。 航宇正安内网安全管理系统的多级部署示意见下图。 图中终端与内网安全管理系统服务器可以进行级联设置,下级服务器能够自动从上级服务器获取最新的补丁和策略配置,因此对于大型网络,只要保证根服务器更新到最新状态,所有下级服务器都能够依次更新,从而方便管理员的管理。下级网络中,可单独部署服务器模块,从上级服务器获取补丁文件并更新策略配置,并向局域网内终端计算机进行补丁和策略更新;也可以不部署服务器模块,终端计算机直接从上级服务器进行补丁和策略更新。控制台可运行在网络中策略许可范围内的任意一台计算机上。5.2部署位置 服务器部署于主干网络上。 控制台采用BS结

35、构可以运行在网络中策略许可范围内的任意一台计算机上。 客户端部署在每一台被管客户机上。5.3部署方式服务器和控制台采用旁路连接方式接入网络,向全网提供终端管理服务。旁路连接方式可以减少单点故障点,保证系统的可用性。客户端安装在终端计算机上,可以监控终端上发生的所有安全事件。6 技术支持如果用户在使用航宇正安内网安全管理系统时遇到问题,请与我公司客户中心联系,我们将尽力和您一起解决问题,最大限度地保护您的权益。要获得有关航宇正安内网安全管理系统的技术支持,请按下列方式与汕头高新区航宇电子技术有限公司客户中心联系: 电话:0754-88946060 88480752 传真:0754-8848072

36、0电子邮箱:hy_support网址:我们将根据企业需求,为您量身打造全新的内网信息安全解决方案,忠实保护您的信息财富。7 公司简介汕头高新区航宇电子技术有限公司(以下简称:航宇电子)是中国空间技术研究院第515所的全资子公司,成立于1997年,总部位于广东省汕头市高新技术产业开发区,是汕头软件园入园企业和国家双软认证企业。航宇电子主要从事计算机内网信息安全技术、数字化演示仿真技术、卫星应用技术的研究开发和应用。现已形成了以卫星通信网络终端服务、计算机数据安全保护服务、数字化演示仿真软件开发为核心的三大业务模块。在计算机数据安全保护服务方面:公司在2006年开始进行密码学应用的研发,并锁定计算

37、机数据安全领域,包括数据保护、数据恢复和数据备份。2007年,承担了航天五院的自主研发项目计算机内网信息安全关键技术研究及内网安全产品的开发。目前已经拥有自主版权的数据安全产品:航宇正安终端安全登录及文档保护系统(单机版)、航宇正安文档保护系统(网络版)、航宇正安内网安全管理系统、S空间、航宇正安文件密级标识管理系统等,已经基本形成了产品+服务的架构。获取的资质证书有:软件企业认定证书、航宇正安终端安全登录及文档保护系统涉密产品测评认证、商用密码产品销售许可证等。十多年来,航宇电子经营发展保持良好的增长势头。较成立之初,公司规模扩大了30倍以上。终端服务体系日趋完善,服务网络遍布全国,公司在北京、深圳、成都、重庆、武汉设立了多家工程服务办事处和区域营销中心等分支机构。联系方式:广东省汕头市高新区科技西路6号11楼邮 编:515041销售热线:0754-88946060 88480715 电子邮箱:hy_market传 真:0754-88480720联系部门:市场营销部 网 址:

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 生活休闲 > 在线阅读


备案号:宁ICP备20000045号-2

经营许可证:宁B2-20210002

宁公网安备 64010402000987号