收藏
下载资源 加入VIP免费专享

LanSecS内网安全管理系统V70技术白皮书.docx

上传人:牧羊曲112 文档编号:4885927 上传时间:2023-05-21 格式:DOCX 页数:18 大小:179.09KB
返回 下载 相关 举报
LanSecS内网安全管理系统V70技术白皮书.docx_第1页
第1页 / 共18页
LanSecS内网安全管理系统V70技术白皮书.docx_第2页
第2页 / 共18页
LanSecS内网安全管理系统V70技术白皮书.docx_第3页
第3页 / 共18页
LanSecS内网安全管理系统V70技术白皮书.docx_第4页
第4页 / 共18页
LanSecS内网安全管理系统V70技术白皮书.docx_第5页
第5页 / 共18页
亲,该文档总共18页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述

《LanSecS内网安全管理系统V70技术白皮书.docx》由会员分享,可在线阅读,更多相关《LanSecS内网安全管理系统V70技术白皮书.docx(18页珍藏版)》请在三一办公上搜索。

1、LanSecSLanSecS内网安全管理系统(V7.0)技 术白皮 书北京圣博润高新技术股份有限公司2011 年1. 产品简介12. 产品架构22.1. 终端监控引擎22.2. 总控中心22.3. 管理控制台32.4. 系统数据库33. 产品功能43.1. 终端运维管理43.2. 终端安全加固53.3. 终端主机准入控制53.4. 移动存储介质管理73.5. 终端安全审计84. 产品性能94.1. 总控中心性能94.2. 终端监控引擎性能94.3. 产品性能指标104.4. 自身安全性105. 产品部署115.1. 产品形态115.2. 部署模式115.2.1. 本地部署115.2.2. 分级

2、部署121. 产品简介LanSecS内网安全管理系统V7.0版是一款定位于为政府和企业用户提供 集中的终端(桌面)综合安全管理的桌面管理产品。系统通过对计算机准入控制、 计算机安全加固、计算机运行维护、计算机安全审计、移动存储介质注册等多个 方面的综合管理,为政府和企业用户打造一个安全、可信、规范、健康的内网环 境。LanSecS内网安全管理系统V7.0版是北京圣博润高新技术股份有限公司 (以下简称圣博润)一个里程碑式的、战略性的产品版本,该版本通过对用户需 求的持续跟踪使得产品功能进一步丰富,通过系统架构的优化调整使得产品性能 显著提升,借助LanSecS内网安全管理系统V7.0版的发布,圣

3、博润公司更加 明确地宣告了其专注于内网安全管理领域的决心与实力。LanSecS内网安全管理系统在为用户提供终端安全保护手段的同时,更加 强调为用户提供便利的终端运维管理手段。集中式、人性化的终端管理能力是 LanSecS内网安全管理系统的特色之一,也是圣博润公司一直以来的努力方向。LanSecS内网安全管理系统的设计参考了如下国家标准: GB/T18336-2008信息技术安全技术信息技术安全性评估准则 GB/T22239-2008:信息系统安全等级保护基本要求 MSTL_JGF_04-012信息安全技术远程主机检测产品检验规范 MSTL_JGF_04-011信息安全技术非授权外联检测产品检验

4、规范 BMB15-2004涉及国家秘密的信息系统安全审计产品技术要求 BMB17-2006:涉及国家秘密的信息系统分级保护技术要求 BMB20-2007:涉及国家秘密的信息系统分级保护管理规范 BMB22-2007:涉及国家秘密的计算机信息系统分级保护测评指南 GBT 22240-2008:信息系统安全等级保护定级指南 GBT 22241-2008:信息系统安全等级保护实施指南2. 产品架构管理界面总控中心服务接口系统配置管理策略配置管理认证配置管理 资产查询统计ICE网络通信中间件管理层总控中心服务层策略管理事件管理认证管理补丁管理分权管理人人人V分级管理资产管理网络管理部署管理统计管理数据

5、层Windows 98,2000,XR2003,Vista,Windows 7执行层核心层图1 LanSecS内网安全管理系统架构监控引擎LanSecS内网安全管理系统在架构设计上采用了三层管理结构:终端监控引 擎、总控中心、管理控制台,2.1. 终端监控引擎终端监控引擎以服务的形式运行于终端计算机上,是终端计算机管理的核心 和基础部件,用于对被管理终端计算机的安全加固、运行维护和监测审计等管理 职能。终端监控引擎可以部署在所有Windows系列操作系统上,包括Windows 2000、Windows XP、Windows 2003、Windows Vista、Windows 2008、Win

6、dows 7。终端监控引擎的设计充分考虑了稳定性、安全性和兼容性要求。终端监控引 擎可防止恶意停止,并全面兼容防病毒软件、防火墙软件、设计开发软件、业务 软件、办公软件。2.2. 总控中心总控中心用于计算机的集中管理,为终端监控引擎和管理控制台提供一系列 的管理服务;由策略管理服务、审计管理服务、Radius认证服务、文件备份服 务、补丁与软件分发服务、时间同步服务、网络管理服务、分级管理服务、事件 订阅服务、健康状态监测服务等组成。视内网规模和性能要求,这些服务可分别 部署在不同的硬件平台上,也可部署在同一个硬件平台上。策略管理服务:负责终端计算机策略的配置和更新。审计管理服务:负责接收终端

7、监控引擎发送的审计信息与事件报警,并存储 到数据库中。 接入认证服务:负责对接入内网的终端计算机身份和健康状况进行认证。文件备份服务:提供集中的文件备份。文件备份服务支持用户身份认证。补丁分发服务:提供补丁文件和软件的下载服务,支持FTP和HTTP两种方 式。时间同步服务:为终端计算机提供统一的标准时间服务,便于终端计算机的 时间管理。网络管理服务:提供网络拓扑扫描服务,可绘制网络的链路层拓扑。分级管理服务:提供分级部署环境下的分级管理。事件订阅服务:接受报警监控程序的事件订阅,根据订阅条件向报警监控程 序发送符合要求的报警事件,可向多个报警监控程序同时提供服务。健康检测服务:用于总控中心自身

8、各服务的运行状态监控。2.3. 管理控制台管理控制台为系统管理人员提供系统管理入口;采用BS方式进行系统管理, 通过管理控制台完成全部系统管理操作。2.4. 系统数据库系统数据库用于存储策略、信息和事件,全面支持目前主流数据库,包括:SQL Server、 Oracle 、 MySQL 、 IBM DB2、 PostGreSQL、 Gbase总控中心与数据库之间采用数据库访问中间件和网络缓存技术实现高速数 据访问。通过数据库访问中间件和网络缓存,可以大大降低数据库的访问压力, 提高数据的存储和访问能力。终端监控引擎和总控中心之间采用ICE网络通讯中间件进行相互通讯。通过 SSL协议对通信过程进

9、行认证和加密,增强组件间通信的安全性。三层管理结构大大提高了系统设计开发、安装部署和运行维护的灵活性、便 利性和扩展性。3. 产品功能3.1. 终端运维管理内网的可靠运行是业务系统可靠运行的保障,内网的可靠运行依赖于网络设 备、服务器和个人终端计算机的安全运行,任何一个环节出现故障,都可能对内 网的可靠性产生不可估量的冲击。内网中主要设备是终端计算机,终端计算机的安全运行与管理对整个内网安 全有至关重要。系统对终端计算机的管理采取了两种不同的安全措施:系统运行 管理和系统监测。系统运行管理方面主要包括补丁管理、主机资产管理、主机防病毒管理、系 统日志管理、时间同步、消息分发及文件备份,通过系统

10、运行管理确保终端主机 以最安全的状态运行,有效地减少病毒爆发和木马泛滥带来的内网安全隐患,减 少终端计算机被入侵的可能性。系统监测方面主要包括主机性能、网络流量、健康状态、设备入网、时间同 步与安全态势分析等。通过系统检测可以让管理员及时了解整个网络内终端主机 的状态,针对存在的安全隐患及时采取有效措施,更好地保证内网的可靠性。具体功能如下:模块名称功能描述补丁管理可以头现Windows平台下的补丁申批、分发和补丁修复状态统计, 管理、分发和自动安装Windows系列操作系统补丁和微软应用程序补 丁。资产管理提供计算机资产自动收集、资产注册登记、资产变更管理、设备维 修管理、资产查询与统计等管

11、理。防病毒软件管理提供防病毒软件信息收集和状态监测功能,信息收集包括防病毒软 件名称、软件版本、病毒库版本等。系统日志管理提供对终端计算机本地日志收集、日志集中存储、日志转储、日志 清理和日志查询分析功能时间同步以安装有时间服务的计算机硬件时间为时间源,为内网终端计算机 提供标准的Internet时间服务消息分发提供对内网全部或者部分终端计算机的消息通知功能软件分发提供对内网全部或者部分终端计算机的软件分发管理。由分发管理 中心、文件下载服务和终端监控引擎等组件组成主机性能监测对终端计算机的CPU使用、内存使用和磁盘使用情况的动态监测网络流量监测对终端计算机的网络通讯流量的控制、审计和统计健康

12、监测与自评估对终端计算机的安全状况的动态监测,并为终端计算机用户提供手 动评估计算机安全状况的手段设备入网监测对内网设备入网的实时发现、状态报告和阻断远程协助对终端计算机的远程监控管理和远程桌面接管等功能文件备份实现用户身份认证、文件备份、文件恢复、备份文件历史查询,由 文件备份服务和文件备份代理组成安全态势分析对终端计算机安全管理数十种关键指标进行态势分析,可为用户内 网环境的安全状况以及安全变化态势提供准确可靠的关键指标数据 支持3.2. 终端安全加固终端主机的安全运行是整个网络的基础,而终端主机运行参数、运行策略的 稳定又是终端主机安全运行的保障,系统的具体加固措施包括如下方面:模块名称

13、功能描述网络参数配置对终端计算机的网络相关参数的配置和变更监控管理,包括参数绑定、参 数变更监控、ARP攻击防护与IP地址保护,具有支持多个网络参数的统 一配置管理、支持多个同类参数的绑定、支持IP地址范围控制等特点。终端安全配置管理终端计算机的本地安全策略、对本地系统环境进行安全设置管理,从 而实现主机运行安全策略的最优化,确保终端主机的安全管理终端防火墙系统内置防火墙是基于NDIS的桌面防火墙,对终端计算机的访问目标进 行限定,对终端计算机的网络访问进行控制。具有基于优先级的网络访问 控制能力、提供网络访问审计能力、支持策略模板终端主机准入 控制详细见3.3移动存储介质 管理详细见3.43

14、.3. 终端主机准入控制系统提供了“主动防护”和“动态监控”相结合的计算机准入控制机制。“主 动防护”是指:第一是指在计算机接入网络之前,首先验证其身份和安全状态, 以决定是否允许其接入网络;第二是指计算机接入网络后,如果要访问核心区域 的资源,也必须先进行身份认证和安全认证,根据验证结果决定是否允许其访问 核心区域资源。这与以往的安全思路“先接入网络,再验证其身份”相比,极大地提高了网络的安全性。“动态监控”是指:当计算机验证通过并接入网络后,并非该计算机就可以 在接入期间不受控制地访问网络资源。系统还会动态的对接入计算机的身份和安 全状态进行跟踪和检测,一旦发现身份信息和安全状态有变,即刻

15、对其重新隔离。终端主机准入控制功能结构如下图所示:终端主机准入控制策略管理关认证一否动态安全状态监测R/动态身份监测是动态身份监测一否 I动态安全状态监测接入后控制1厕讯认证与加密核心区域访问认证图2准入控制(802.1X认证)示意图 图3准入控制(网关认证)示意图主机健康检查:对接入内网的计算机的安全状况进行检查接入认证:对主机进行身份认证,系统支持用户名/口令、PKI数字证书以及设备 特征标识三种身份信息的认证方式。主机隔离与修复:根据策略将未通过认证的主机隔离到修复区/工作区/访客区。主机状态动态检测:对接入网络的计算机进行动态监测,监测的内容包括身份确 认、安全状态确认等IP通讯控制:

16、网内主机之间的通讯采用PKI数字证书标识双方的身份,并同时对 通讯数据进行加密。内网核心区域保护:在核心资源与接入层计算机之间设置安全认证网关,代替无 法细粒度认证接入计算机身份的网络设备,行使二次身份认证的使命。准入控制部署:启用接入计算机的身份认证,网络设备必须启用802.1x协议支持; 启用接入计算机自动隔离和修复功能,网络设备不需启用Guest Vlan支持。3.4. 移动存储介质管理USB移动存储介质是目前使用最为广泛的数据交换手段。也正因为USB移 动存储介质使用的广泛性,为政府和企业内网信息的安全防护带来了很大的安全 隐患,如何对其进行有效的管理,成为政府、企业和信息安全产品提供

17、商需要共 同面对的问题。系统通过对移动存储介质实施注册管理,有效避免了移动存储介 质的滥用,以此提高政府和企业内网信息的安全性。移动存储介质注册管理是指将移动存储介质进行特殊处理后,在移动存储介 质无法被直接访问的区域写入该移动存储介质相对应的注册信息,注册信息包括 两种类型:标记信息:用于表明该移动存储介质的所有者、联系方式、管理者、 所属部门等。访问控制信息:当该移动存储介质插入计算机时,依靠访问控制信 息决定是否允许在计算机上使用。根据用户管理需求的不同,系统将移动存储介质的管理分为五种管理模式: 未授权移动存储介质、加密移动存储介质、多分区U盘、专用安全U盘、特权 移动存储介质。注册介

18、质的授权使用范围包括全局、部门与主机三个选项。注册 介质的授权操作权限包括只读、读写与禁用、只写四种工作模式。系统通过专用工具对各种存储介质进行注册管理,系统自带U盘资源管理 器,实现对注册移动存储介质的访问与文件操作,有效地保证了移动存储介质管 理的安全性。系统采用了文件操作动态监控和审计的技术思路。当有文件在加密移动存储 介质和本地磁盘进行拷贝时,系统将自动记录文件操作行为,包括访问、创建、 删除、修改等。类型说明未授权移动存储介 质所有未在系统中进行注册管理的移动存储介质。系统默认将自动禁止 其在装有终端监控引擎的计算机上使用。加密移动存储介质经过系统加密格式化并注册的移动存储介质。多分

19、区U盘经过系统格式化为多个分区并注册的U盘,包括启动区、交换区、加 密区、日志区,用户的访问操作权限可细化到分区。专用安全U盘与系统配套提供的专用U盘,可格式化为多个分区,自带COS操作 系统。特权移动存储介质经系统注册并打印特权标签的移动存储介质,尤其适用于各种数码产 品存储卡。Do6C3.5. 终端安全审计任何政府部门和企业单位,均拥有自己的机密信息。这些机密信息,如果没 有良好的技术防护手段,很容易发生侵害政府和企业利益的信息泄露事件。政府 和企业面临的信息泄露威胁有两种:被动信息泄露和主动信息泄露。被动信息泄露:由于人员缺乏信息保密意识,常常由于专业知识不熟悉或者 工作疏忽而造成泄密。

20、如有些人由于不知道计算机的电磁波辐射会泄露秘密信 息,计算机工作时未采取任何措施,因而给他人提供窃密的机会;有些人由于不 知道计算机软盘上的剩磁可以提取还原,将曾经存贮过秘密信息的软盘交流出 去,因而造成泄密;有些人因事离机时没有及时关机,或者采取屏幕保护加密措 施,使各种输入、输出信息暴露在界面上;有些人对自己使用的计算机终端缺乏 防护意识,如没有及时升级病毒库和更新系统补丁,导致病毒和木马的入侵,在 不知不觉中泄露了机密信息。主动信息泄露:这种情况是由于内部人员出于个人利益或者发泄不满情绪, 有意识的收集和窃取机密信息。由于电子信息文档不象传统文档那样直观,极易 被复制,且不会留下痕迹,所

21、以窃取秘密也非常容易。电子计算机操作人员徇私 枉法,受亲友或朋友委托,通过计算机查询有关案情,就可以向有关人员泄露案 情。计算机操作人员被收买,泄露计算机系统软件保密措施,口令或密钥,就会 使不法分子打入计算机网络,窃取信息系统、数据库内的重要秘密。对于政府部门和企业来说,计算机终端作为信息处理的工具,在其上存储、 传输和处理的信息的安全性保护相当重要。任何一个环节的疏漏均可导致信息的 丢失。因此,必须加强对信息的监控和审计管理。LanSecS内网安全管理系统 提供了设备输出监控、违规外联监控、共享监控、打印监控、文件监控、帐户监 控、进程监控、服务监控、软件安装监控、注册表监控和网络行为审计

22、等一系列 信息监控与审计功能,为政府和企业的信息保密与信息防护提供了有力的技术手 段和工具。模块名称功能描述I/O设备输出审 计对硬件设备的使用进行监控。采取黑名单和白名单的控制方式,可区分 普通光驱和刻录机。违规外联监控实时监测和阻断终端计算机的MODEM拨号、ADSL拨号、网关上网、代理 上网等行为,实现对终端计算机连接互联网或者其它网络行为的严格控制。文档打印审计对终端计算机的打印操作进行监控与管理。全面监控本地打印、虚拟打 印和共享打印。文件审计与文件 保护1)对文件的创建、删除、改名、访问等操作行为进行审计;2)对文件内容进行关键字扫描监控;3)对指定文件或文件夹的安全进行保护,限定

23、特定进程对被保护对象 的操作。共享审计与共享访问控制对终端计算机的系统默认共享、用户文件夹共享及共享文件夹的操作权 限情况进行监控,避免内网用户通过共享的途径达到机密信息外泄本地帐户审计对本地计算机的帐户安全相关参数进行配置,对帐户变更进行监控和审 计。进程管理对本地计算机运行程序进行管理,包括运行控制、运行保护、运行统计 与进程别名管理。服务管理对本地计算机上所运行服务进行管理,控制本地服务的运行状况。通过 黑名单、白名单和红名单方式管理。软件安装监控对终端计算机上的软件安装行为进行监控与控制注册表监控对终端计算机本地注册表的访问进行监控和保护网络行为审计对终端计算机的网络访问的监控与审计。

24、包括HTTP访问、SMTP/POP3邮 件收发、WEB邮件收发等。系统提供基于规则的访问控制手段4. 产品性能4.1. 总控中心性能LanSecS内网安全管理系总控中心采用了分层设计理念,统架构设计时采 用了分布式负载均衡技术和动态性能扩展技术,路由与定位服务、业务服务、数 据库服务均支持多个服务镜像,从而有效分散终端计算机连接请求,实现负载均 衡。同时,在系统运行过程中,可以根据业务需要随时增加路由与定位服务、业 务服务和数据库服务镜像,从而达到动态性能扩展的目的。系统可以在一个总控 中心单元管理10万台终端计算机。4.2. 终端监控引擎性能终端监控引擎设计时充分考虑了其可能对桌面计算机造成

25、的性能影响,通过 多次优化,形成了现在的终端监控引擎架构。该架构保证了终端监控引擎在稳定LanSecS内网安全管理系统7.0版技术白皮书 可靠运行的前提下,仍能保持极少的静态工作模式系统资源占用。经过严格的第三方测试,以及大量用户的实际使用证明,终端监控引擎在静 态工作模式下,对系统资源的占用几乎可以达到零消耗。静态工作模式下,CPU 的占用率低于1%,内存占用低于10M,网络带宽占用低于0.2K/S/客户端。4.3. 产品性能指标LanSecS内网安全管理系统主要性能指标如下:1)总控中心最大并发连接数:5502)总控中心最大可管理注册主机数量:50000台3)总控中心网络带宽占用:100K

26、/1000客户端4)终端监控引擎CPU占用(静态模式): 1%5)终端监控引擎内存占用(静态模式):8M4.4. 自身安全性LanSecS系统设计之初便对其自身安全性做了充分的考虑和技术处理,使得 LanSecS系统的安全性得到了有效的保障。自身安全性主要考虑了如下几个方面 的安全问题:总控中心安全性:系统通过采用最小服务原则、系统管理控制、代理访 问认证等几个措施确保总控中心的安全运行。终端监控引擎安全性:系统通过采用监控进程隐藏技术、本地文件访问 保护、多入口恢复技术及监控引擎完整性校验技术等确保终端监控引擎 的安全运行。数据库安全性:系统通过采用数据库访问控制、数据加密与数据备份等 措施

27、确保数据库的安全运行。策略安全性:系统通过策略订单生成控制、加密策略传递与存储、策略 完整性校验等措施确保策略的安全性通讯安全性:系统通过采用加密传输、身份认证、本地安全存储等措施 确保终端监控引擎与总控中心之间的通讯的安全运行。5. 产品部署5.1.产品形态LanSecS内网安全管理系统提供网络版和单机版两种产品版本。网络版适用 于对联网的内网计算机进行统一的安全管理,单机版适用于对未连入内网的独立 计算机进行安全管理。用户可以根据自己的实际情况选择部署和使用两种版本中 的任何一种。网络版:网络版产品可以提供最大的管理灵活性和方便性。通过计算机 的集中管理,实现内网策略的统一和报警事件的集中

28、管理和响应单机版:单机版产品可以对孤立的计算机进行单独管理。策略的配置和 事件的管理均在本地计算机实现。5.2. 部署模式LanSecS内网安全管理系统提供本地和分级两种产品部署方式。用户可以根 据实际网络环境选择合适的部署方式进行产品的部署实施。5.2.1.本地部署本地部署是本系统最常见的部署方式。适用于计算机终端数量不多(例如, 小于10000台)并希望对所有终端计算机进行集中管理的用户环境。在该部署方 式下,所有的计算机终端注册到同一个总控中心。本地部署的优点是可以在一个 系统管理中心监控到内网中所有计算机的活动状况。其部署示意图如下:LanSecS内网安全管理系统7.0版技术白皮书r图

29、4本地部署示意图5.2.2. 分级部署分级部署是指在按照地域或者部门的不同,在内网中安装多个总控中心,不 同地域或者部门的计算机分别注册到不同的总控中心。总控中心之间通过分级注 册,形成上下级关联关系。上下级关联关系确认后,可以对整个系统实行分级管理。上级可以对下级分 发终端监控引擎安全策略,上级也可要求下级将安全事件上报到上级总控中心。 从而实现上级对下级的管理。分级部署方式的优点是,可以将实际的日常运维管理权限分散到不同的部门 或者区域,但上级仍然可以保证对下级的管理能力。另外,通过分级部署,可以 无限的增大计算机管理数量。例如,可以通过分级部署管理多达几十万台的计算 机。分级部署示意图如下:图5分级部署示意图

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 生活休闲 > 在线阅读


备案号:宁ICP备20000045号-2

经营许可证:宁B2-20210002

宁公网安备 64010402000987号