北信源产品体系
产品简介
一、准入控制系列
产品1、北信源网络接入控制管理系统
●产品背景
北信源网络接入控制管理系统能够强制提升企业网络终端的接入安全,确保企业网络保护机制的连续性,实现企业网络安全从质到量的提升。同时,通过与北信源接入控制网关的联动,还可以实现对远程接入企业内部网络的终端进行身份唯一性及安全性认证。
通过北信源网络接入控制管理系统可以满足企业对终端接入网络的安全性要求,将终端接入控制覆盖到企业网络的每一个角落。同时,使得终端接入控制不再依赖于具体的网络或通信设备,甚至是当使用者拿着他们的移动设备离开企业网络时,仍能有效执行对终端下发的接入控制策略。北信源网络接入控制管理系统不需要对现有网络结构进行改造便可进行部署,具备简单、方便、安全、易扩展的特性。
●系统功能描述
1)基于802.1X的终端接入认证管理;
2)外部终端接入访问限制;
3)外部终端接入身份认证;
4)杀毒软件检测及访问限制;
5)补丁自动检测及访问限制;
6)进程、服务、注册表信息检测及访问限制;
7)未达到预定义安全级别接入访问限制。
●系统功能特点
1)全面支持市场主流交换机;
2)可以实现无线802.1X接入认证;
3)可以与用户现有AD域或LDAP进行联动认证;
4)可以实现终端异地漫游的自动接管认证;
5)可以实现终端认证数据检测,防止虚假第三方认证。
●系统管理构架
北信源网络接入控制管理系统由以下几部分组成:
1)策略服务器:系统策略管理中心,提供系统的参数配置和安全策略管理。
2)认证客户端:安装在终端计算机,通过用户名和密码向认证服务器发起认证,实现正常工作区、访客隔离区、安全修复区的自动切换。
3)Radius认证服务器:接收客户端认证请求信息数据包并进行验证。
4)Radius认证系统 (交换机) :可网管支持802.1x的网络设备(交换机),接收认证客户端的
认证请求数据包与Radius认证服务器完成认证过程。
5)可选配强制注册网关(硬件):在不完全支持802.1x的网络中可选装强制注册网关,完成未注册终端访问网页时进行DNS重定向或HTTP重定向,以达到强制注册目的。
图1网络接入访问控制
产品2、北信源虚拟隔离接入控制系统
●产品背景
常用的网络接入技术是基于802.1X协议或网关形式来实现。802.1X接入认证对环境要求稍高,有些网络设备不支持802.1X协议,如HUB设备;而网关接入认证,在限制外部终端对内部终端访问时存在安全防御的真空。针对如上问题,北信源虚拟隔离接入控制技术应运而生,在不改变原有网络结构的同时,对新接入的网络设备进行有效管理。
●系统功能描述
1)不改变现有网络配置,实现终端网络访问控制;
2)隔离并保护注册终端,使未注册终端无法和其通信;
3)隔离并保护服务器区域,防止未注册终端随意访问;
4)通过安全检查机制,对未安装杀毒软件、漏打补丁终端进行隔离;
5)未注册终端接入网络后,隔离并被重定向到注册界面。
●系统管理架构
北信源虚拟隔离接入控制系统由以下几部分组成:
1)策略服务器(VRVEDP Server):系统策略管理中心,提供系统的参数配置和安全策略管理。
2)客户端(VRVEDP-Agent):安装在终端计算机上,接收EDP服务器策略,并执行策略。判定是否
是注册计算机,起到隔离阻断的作用。
产品3、北信源接入认证网关
●产品概述
北信源接入认证网关是一款部署简便、使用灵活的网络准入/准出控制产品。使网络管理员能在允许用户进入网络前、访问外部网络前,对有线、无线和远程用户进行验证、授权。能够阻止未授权计算机越权访问网络资源。
●系统管理构架
北信源接入认证网关整体解决方案包括三个组件:
北信源接入网关—根据终端注册及策略情况提供访问权限。在用户未注册前,他们均被禁止访问可信网络,或进行HTTP、DNS等重定向强制注册。
区域管理器—管理服务器、检查规则及策略,基于Web的中央控制台。
北信源客户端程序—客户端程序代理、执行安全修复、身份认证功能。
●系统功能描述
北信源接入认证网关与北信源内网安全管理系统结合可以完成网络终端注册和网络访问授权等工作,使得未注册客户端无法访问受限网络。使网络管理员能在允许用户进入网络前,对用户及其机器进行验证、授权。该安全产品能够:
1)对未注册终端进行访问网络权限控制,可进行HTTP、DNS等重定向强制注册;
2)确认用户、用户设备和他们在网络中的身份;
3)对于终端设备网络连接流量进行控制;
4)该产品能向通过局域网、无线局域网、广域网或虚拟专用网连接的设备应用网络准入控制。
产品具有为所有运行环境执行策略的独特能力,无需其他独立产品或模块。
●功能特点
●多种身份验证服务
北信源接入认证网关具备终端特征验证、用户名口令验证、混合身份验证等多种身份验证机制。管理员通过策略方便设定。能维护具有不同许可级别的用户群体。
●集中管理
基于Web管理控制台为每个用户定义所需的策略类型,一个区域管理器可以管理多个接入网关。
●灵活的部署模式
提供最广泛的部署模式,能适用于任意客户网络。客户能将该产品作为虚拟或实际IP网关,部署在边缘或中央,提供第二层或第三层客户端接入,或部署在DNS服务器前作为强制注册用的DNS网关。
二、补丁分发系列
产品1、北信源补丁及文件分发管理系统
●产品背景:
近些年来,蠕虫病毒和木马病毒的频繁爆发给全球网络运行乃至经济都造成了严重影响,之所以这些蠕虫能造成如此危害,是因为利用了操作系统或者应用程序的漏洞。补丁的安装普遍会遇到以下的问题:
●普通用户技术知识水平有限,造成了计算机系统漏洞经常不能得到及时的修补,甚至长期不
修补;
●网络维护人员为每台机器安装补丁耗时巨大;
●物理隔离网络用户必须使用移动存储设备从外网将补丁导入并安装,麻烦且带来信息泄漏和
病毒传入的风险;
●每个终端补丁安装均从外网下载补丁造成网络资源消耗过大;
●用户随意下载补丁导致补丁来源不统一带来的风险。
消除漏洞的根本办法就是安装软件补丁,每一次大规模蠕虫病毒的爆发,都提醒人们要居安思危,打好补丁,做好防范工作,补丁越来越成为安全管理的一个重要环节。黑客技术的不断变化和发展,留给管理员的时间将会越来越少,在最短的时间内安装补丁将会极大地保护网络和其所承载的机密,同时也可以使更多的用户免受蠕虫的侵袭。对于机器众多的用户,繁杂的手工补丁安装已经远远不能适应大规模网络的管理,必须依靠新的技术手段来实现对操作系统的补丁自动修补。
因此,如何利用有效技术手段来及时、持续、稳定的安装计算机补丁,是所有网络安全管理人员、信息安全决策人员亟需解决的问题。
●系统功能概述
北信源补丁及文件分发管理系统是北信源公司在为国家各大部委机关、各大行业网络用户进行病毒安全服务、总结安全运营保障经验的基础上,分析当前网络客户端实际安全管理要求研发的,系统支持推、拉两种方式自动下载补丁。整个补丁管理运行平台构架是:通过北信源外网补丁下载服务器及时从补丁厂商网站获取最新补丁;然后补丁经过安全测试后,通过补丁分发管理中心服务器对网络用户进行分发安装;补丁安装支持自动和手动两种方式。
●系统功能描述:
1)互联网补丁自动下载;
2)补丁完整性和安全性测试;
3)补丁增量更新导入;
4)补丁库建立和分类;
5)终端补丁自动检测;
6)补丁策略制定分发和自动分发;
7)终端补丁流量控制和代理转发技术;
8)补丁自动修复及查询统计;
9)未打补丁情况汇总统计;
10)补丁安装情况汇总统计;
11)已安装补丁自动卸载;
12)文件分发及文件自动执行;
13)文件分发安装结果统计。
●网络应用
●直接连接互联网的网络:通过补丁下载服务器将补丁下载至补丁分发服务器。
●物理隔离网络:在互联网网络上安装补丁下载服务器模块,通过补丁下载增量分离工具,区
分内网已导入和未导入的补丁,将最新补丁导入内网补丁分发服务器。
●系统组件
北信源补丁及文件分发管理系统依据客户端注册优势,提供补丁检测、安装等远程功能。客户端访问网络WEB站点,根据页面自动弹出提示进行注册,注册程序将在系统中实时运行,检测补丁安装状况,并上报给补丁控制中心。
补丁控制中心提供补丁策略制订、补丁文件直接分发,补丁测试提供对软件厂商新发布补丁的前期测试,严格测试后才可以配发到网络客户端,保障客户端补丁安装安全性。
系统可按照网段、补丁类型进行补丁配置分发,支持漏打补丁、特殊补丁的推送下发;通过自定义分网段、分区域的补丁下载升级设定策略,以及转发代理技术,避免造成网络堵塞,合理控制网络带宽。
图 1 补丁管理系统功能构架
●系统构架
该系统贴近用户对网络、网络终端管理的要求,适用于局域网、广域网等多种构架。
标准构架(小型网络):在局域网中全面部署应用北信源补丁及文件分发管理系统,包括各种功能模块:补丁下载、补丁分析、补丁策略分发制订、文件分发、客户端补丁监测、漏洞补丁扫描、补丁分发控制台等。
级联构架(大型网络):对于网络分布广泛、规模庞大,并且拥有多个网络管理中心的广域网,北信源补丁及文件分发管理系统支持在标准构架上建立多级级联模式,实现下级网络补丁管理系统从上级补丁管理系统自动获取补丁,以及相关补丁审计、系统组件升级功能。
三、介质管理系列
产品1、北信源移动存储介质使用管理系统
●移动存储介质数据交换引发的安全问题
移动存储介质,如U盘、移动硬盘等,因其体积小、容量大等优点,已得到广泛应用。作为数据交换的主要手段之一,移动存储介质正成为数据和信息的重要载体,但是我们也应该看到,移动存储设备在给我们带来极大方便的同时,也给我们带来了不少的安全隐患,主要如下:
1.涉密计算机接入非涉密移动存储设备;
2.非涉密计算机使用涉密移动存储设备;
3.移动存储介质的数据交互审计;
4.外来移动存储介质随意接入问题;
5.移动存储介质丢失导致信息泄漏;
6.移动存储介质的使用信息无法追踪审计问题;
7.移动存储介质接入区域限制和控制问题;
8.病毒、恶意代码通过移动存储介质传播问题。
●技术特点及应用
1、分级权限控制
通过对移动存储介质写入两种不同控制权限及功能的标签,来实现分级权限的控制,并对指定范围内的终端授权,通过策略与标签的配合来实现对移动存储介质的控制。注,对移动存储介质格式化无法去除标签。
普通标签:写入普通标签后,在管理区域内根据策略的设置,来限制移动存储介质的读、写功能;如果在管理区域外使用移动存储介质认证,则不限制移动存储介质认证读、写功能。
加密标签:写入加密标签后将普通移动存储介质(U盘、移动硬盘等)分为二个可控制的区域:交换区、保密区。涉密网络可只生成保密区。交换区和保密区启动均需输入独立的密码,数据在二个区存储时均以加密方式存储,这两个区的具体应用如下:
(1)在涉密网络中或高要求的办公网络中,可只生成保密区一个区。该保密区只能在有对应安全策略的主机上通过认证标签后、同时输入正确密码才能访问,同时有安全策略的主机可以根据策略控制未经标签认证的移动存储介质的使用。
(2)在普通办公网络中,可生成交换区、保密区二个区。保密区的使用方法,可与上述涉密网络或高要求的办公网络相同。交换区的使用方法,可以根据用户需要,在内部网络中通过策略限制使用方式,交换区在外网使用时同样要输入密码方可使用,保密区在外网不可见。
2、审计功能完善
1) 提供移动存储介质上所有文件操作的详细记录
包括文件的创建、复制、删除、读写和重命名等操作,具体包括文件名、审计描述、时间、用户名、计算机IP地址和其他必要的信息。
2) 提供移动存储介质的插入和拔出动作的详细记录
具体包括事件类型、移动存储介质的名称、用户、计算机IP地址、事件时间等。
●系统功能描述
1.移动存储设备(分设备、网段等)接入认证管理,保障指定设备读写指定移动存储设备的访
问控制管理;
2.移动存储介质数据读写控制管理;
3.移动存储介质标签认证管理;
4.移动存储介质分区(交换区和保密区)管理;
5.移动存储介质的加密管理,防止保密区的敏感信息外泄;
6.移动存储介质接入行为审计;
7.移动存储介质数据交换行为审计管理,可针对文件后缀名等条件;
8.提供详细的文件操作详细审计记录:包括文件的创建、复制、删除、修改和重命名等操作,
(包括文件名、审计描述、时间、用户名、计算机IP地址和其他必要的信息);
9.提供详细的移动存储设备的插入和拔出动作的详细记录,具体包括事件类型、移动存储介质
的名称、用户、计算机IP地址和事件时间。
●系统管理构架
北信源移动存储介质管理系统和其它系统均采用相同的管理构架,由服务端制订统一的策略,分发给客户端执行。系统有USB标签制作工具,通过对移动存储介质制作标签可以实现对移动存储介质中的数据进行保护和加密,对移动存储介质进行使用范围授权,访问控制等综合的管理。移动存储介质使用管理系统可以将整个移动存储介质划分成交换区和保密区两部分,保护区需要通过密码认证才可以访问。系统具体使用管理构架如下:
1、系统服务器端:系统管理中心基于web页面管理方式,管理员登陆和配置后系统才能运行。能够自动发现网络中的终端计算机,并检测终端计算机是否安装系统客户端程序,管理中心内置移动存储管理策略中心和报警中心,提供对网络终端的分组管理设置。
2、系统客户端:安装在终端计算机,接收系统管理中心分发的策略,根据接受策略实时监控接入终端计算机移动存储设备的操作行为和状态,并进行管理或者控制;系统客户端注册以后,即使离开所在网络或不处于任务网络中,仍实时受到移动存储管理策略控制,日志记录于本地,一经连接回网络,则自动上报日志信息给服务器。
3、专用移动存储设备注册工具:移动存储介质经过网管人员注册(包括打标签、设置访问密码)工具认证后,该移动存储介质才能在网络中使用。使用者在使用时必须输入使用密码后才能使用。
系统以数据为中心,用户作为数据的使用者,主机作为数据的存储者,移动存储介质作为数据的迁移者,在系统范围内均赋予唯一的标识,三者进行相互认证。只有经认证和授权成功后,才保证合法的用户在合法的机器上访问合法移动存储介质上的数据,并形成详尽的日志供审计。
产品2、北信源安全U盘系统
●系统功能描述
1)遵循标准USB设备的使用流程,所有安全功能对用户透明;
2)采用专用控制模块防止U盘介质非授权格式化;
3)结合北信源移动存储介质使用管理系统,可实现多种方式的接入控制,具体详见移动存储介
质使用管理系统相关介绍;
4)从原理上杜绝病毒自动传播(无法利用操作系统直接对U盘存储区文件进行读写),防止病毒
拷入U盘导致病毒传播;
5)支持基于角色的细粒度强访问控制机制,采用可定制的数据访问和审计策略,提供数据的多
级多域安全防护;
6)采用安全容器技术,实现信息的存储和传输安全,保证信息内容本身的应用审计安全;
7)可对信息的分发路径进行全程跟踪,结合自主采集的多维主机指纹采集技术,从而对通过U
盘的数据交换行为进行全方位的细粒度审计;
8)审计信息记录在U盘本地的审计区,以供分析;
9)支持设备和主机的双向认证,防止主观和客观的数据非法访问;
10)一体化管理平台,便于U盘集中分发和管理。
●加密
1)加密算法:标准版本采用AES(256bit)高强度对称加密算法,根据需要也可支持用户定制的
加密算法和芯片,支持多种加密模式;
2)TTDS:采用扇区映射方式进行二级抽象,完全打乱文件的存储位置,防止结构性破解。
产品3、北信源光盘刻录监控与审计系统
●产品概述
北信源光盘刻录监控与审计系统完全贯彻和落实国家保密局BMB17文件思想,实现对刻录的全面控制。系统采用三权分立原则,集权限控制、数据刻录控制、安全光盘读取和日志审计于一身,方便、有效的控制内网敏感信息通过CD/DVD盘片进行的数据交换。
●系统功能描述
1.权限控制
1)未授权用户无法使用刻录软件刻录数据;
2)针对不同用户可授权为:禁止刻录、对指定格式的文件设定刻录权限、关键字过滤功能保障
敏感文件无法刻录、刻录次数限定,可根据工作日及时间段授权刻录、并可设定刻录许可码。
2.数据刻录控制
只有使用北信源专用刻录软件刻录普通光盘或者特殊格式的安全光盘,其他刻录软件无法刻录。
3.特殊格式安全光盘读取
1)经过加密刻录的光盘,使用时需要通过专用解密工具输入加密时设置的密码才可解密,解密后文档可正常读取;
2)北信源专用刻录软件刻录的普通光盘在任何光驱上都能被正常读取。
4.安全审计
1)刻录行为的审计,包括:刻录计算机IP、MAC、刻录时间、源文件绝对路径、目的文件绝对路径等信息;
2)客户端系统配置变化审计;
3)灵活过滤条件查看日志;日志、统计报表提供WORD及EXCEL等格式的输出。
产品4、北信源存储介质信息消除工具
●产品概述
北信源公司本着“安全、便捷、可靠”的设计理念,针对用户当前存在的数据外泄问题,通过合理的方式对计算机介质(包括磁带、磁盘、打印结果和文档)进行信息消除或销毁处理,防止介质内的敏感信息泄露。
本系统能够保证存储在主机上的重要数据的安全,通过反复对文件磁道的改写和重写,对主机上需要删除的数据文件进行不可恢复的彻底粉碎,最终达到完全粉碎的目的。
●系统功能描述
本系统采用数据防护算法和硬件验证技术,避免了存储数据的非法存取和意外泄漏,具有以下功能:1)文件粉碎:可对单个文件(文件夹)及多个文件(文件夹)进行彻底粉碎。
2)分区粉碎:可对主机中所选择的分区进行不可恢复的彻底粉碎。
3)磁盘粉碎:可对主机中所选择的磁盘进行不可恢复的彻底粉碎。
同时,针对用户需求,本系统还具有以下特点:
1)易用性:本系统界面友好易懂、操作简单。
2)安全性:被粉碎的文件不可恢复,层与层之间传递的是命令,而不是数据,不会引起数据泄露。
3)防恢复:粉碎过的数据经反复擦除重写不会在硬盘上留下任何痕迹。
●系统管理构架
系统分为用户软件层和核心层
用户软件层:提供用户操作环境,可以在该操作环境下进行文件粉碎的表层工作。
核心层:继承用户软件层接口,进行文件粉碎的核心操作。
产品5、北信源存储介质信息消除系统
●产品概述
北信源存储介质信息消除系统是国内第一款采用专用硬件及触摸屏设计的存储介质信息消除工具。以国家保密局BMB21-2007的要求为标准进行开发设计,能够保证存储在磁盘介质上的机密信息的安全,通过反复对文件磁道的改写和重写,对磁盘介质上需要删除的文件进行不可恢复的彻底粉碎,最终达到完全粉碎的目的。系统对磁盘数据擦除快速,方式多样,简单易操作,被消除信息后的存储介质能够被重复利用,节省用户投资。
●产品优势
更快速:擦除速度可达每分钟3GB。
更人性:触摸屏方式设计,简单易用。
更安全:数据擦除不可逆,无法恢复。
更轻便:产品体积小,重量轻,携带方便。
更丰富:支持4个USB接口、2个SATA接口、1个IDE接口。
更专业:符合国家保密局BMB21-2007要求。
●产品功能
北信源存储介质信息消除系统提供对硬盘、U盘等存储介质进行整体消除的功能,支持对4个USB 口、1个IDE口以及2个SATA进行同步擦除。
四、数据安全系列
产品1、北信源电子文档安全管理系统
●产品概述
北信源电子文档安全管理系统基于电子文档安全这个长期困扰业界的难题而研发,是具有高扩展性、可定制化的解决方案,实现对电子文档全生命周期管理。产品集电子文档使用权限控制、用户身份验证、文档透明加解密、文档访问控制、文档密级与安全策略控制、文档监控与审计等多种技术于一身,有效防止电子文档主动和被动泄密。同时本产品具有高度的可扩展性、模块化设计,可与北信源内网安全系统无缝结合,为企业信息化建设提供了强有力的安全保障。
●系统管理构架
●局域网构架:网络结构是由一个或多个局域网所组成,用户可以在局域网中安装一套电子
文档安全管理系统,对局域网中所有设备的电子文档进行安全管理。(如图1)
图1 局域网电子文档安全管理系统架构图2 广域网电子文档安全管理系统架构
●广域网构架:网络结构是跨地域广域网,可使用本产品提供的多级服务器级联架构模式。主
服务器向下属服务器级联下发安全策略,下属服务器向主服务器上报数据。确保整个公司的电子文档的安全统一管理。(如图2)
●系统功能描述
1、对电子文档全生命周期(文档创建、使用、流转、归档、销毁)进行加密保护,无法强制破解;
2、电子文档密级可以划分,完全符合国家等级保护等相关规定;
3、企业密钥具有唯一性,实现不同企业之间不能共享文档,同时可根据企业现有组织结构定义部门加密密钥,实现同企业不同部门之间不能共享文档;
4、管理员制定、下发安全策略,对客户端进行统一的安全管理;
5、实现应用程序数据透明加解密,不会影响办公软件的正常使用,不会改变用户正常使用软件行为方式;
6、系统提供了应用程序指纹识别,确保了应用程序的唯一性;
7、邮件按策略自动加密功能,收到的邮件将加密,发出的邮件自动解密;
8、支持客户端离线授权策略,可以授权离线时间,文档处于安全状态;
9、文档授权,用户可对所有文档进行只读,可编辑、打印、访问次数,口令验证,授权对象的控制,并可以限制授权文档只能在指定的计算机上使用;
10、外发的加密文档使用时需进行密码和证书的双重认证,并可设定读写权限、打印权限、编辑权限、浏览次数、复制、另存为等操作行为限制;
11、在文档上传、下载过程中实现自动加解密,支持FTP、SharePoint、各类版本控制等文件服务器;
12、提供了文档备份、归档、恢复功能;
13、可根据企业组织结构创建用户,并分配用户权限;
14、用户可申请文档授权、文档外发,文档解密、修改密码、离线使用等权限,经过审批才能获得相应权限;
15、具有强大的审计功能,支持对文档授权、文档授权访问、文档操作、打印操作、用户管理、用户权限申请等审计;
16、可以控制用户打印文档的水印显示信息;
17、软件自身具有强大的保护机制,用户无法自行删除或者通过恶意工具破坏;
18、可以生成详细的报表,支持报表的导出;
19、支持自定义加密密钥,加密算法;
20、可与北信源内网安全管理系统完美结合,进一步提升企业信息安全的防护级别。
系统关键技术
1)驱动层透明加解密
2)驱动层文档访问控制
3)应用层文档访问控制
产品2、北信源数据装甲KDSEC
●产品概述
北信源数据装甲KDSEC是北信源针对个人数据安全精心研发的数据安全产品。它从个人电脑数据安全的不同角度进行分析与设计,为各个群体用户量身定制了数据防火墙、数据保护、U盘管理、文件保险箱、痕迹粉碎、数据备份等安全防护功能。与以往数据安全保护软件操作复杂、功能难以理解、专业性强相比,北信源数据装甲KDSEC更功能易用,操作简单,便于被大众理解和使用,立体化全方位保护您的数据安全。
●产品功能描述
1、数据保护:数据保护功能为您提供了四种电子文档安全保护模式。一、软件数据保护模式,可对所有电子文档进行保护。二、文件保险箱保护模式,可对创建的保护分区内的文件进行保护。三、目录分区隐藏模式,可隐藏您自定义的重要目录或分区。四、文件授权外发模式,保障了您的文件在流传、转发过程中的数据安全。
2、U盘管理工具:通过U盘管理工具可以限制USB接口形式的存储设备接入到计算机。同时用户可将普通U盘定制为安全U盘,将私密文件存储在安全U盘的保护区,这些文件将会被保护。即使安全U盘遗失,保护区内的文件不存在泄密风险。当然将非私密文件放到共享区中,可以很方便地与他人共享这些文件。
3、数据防火墙:目前木马、病毒等恶意程序在毫无察觉的情况下,通过网络窃取重要数据文件,造成了严重的数据安全隐患。数据防火墙可以为您解决这个问题。它可以有效拦截木马、病毒等恶意程序对计算机重要数据文件的泄露,保护了您重要数据文件的安全。
4、痕迹粉碎:为了避免您的重要数据在删除后被他人恶意恢复的安全风险,痕迹粉碎能彻底解决此安全隐患。此功能支持对文件、分区、已删除文件的彻底粉碎,粉碎后的数据不能被恢复。与此同时,痕迹粉碎功能中还为您提供了检查可能被恢复的已删除文件风险,为您进行安全隐患排查。
5、数据备份:可通过配置备份内容、备份位置和备份模式创建备份任务。备份任务可按用户自定义的备份时间自动执行,也可手工点击立刻执行。对于应用软件数据备份和数码相机照片备份尤为方便。
五、安全审计系列
产品1、北信源主机监控审计系统
●产品背景
随着信息安全技术和理念的发展,安全监控的关注点已经从设备转向对于设备使用者的行为,用户对于设备使用人行为审计和行为控制的需求越来越明显,由此国内外均已有相关的政策和法规陆续出台,国内的《涉及国家秘密的信息系统分级保护技术要求》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评准则》和国外的《萨班斯·奥克斯利法案》也均明确的提出了对主机行为的监控和审计要求。
北信源主机监控审计系统通过技术手段使各种管理条例落实,增强用户的安全和保密意识,保护内部的信息不外泄,适用于政务、军队军工、金融等各个保密要求性较高的企事业单位。
●系统功能描述
1)网络访问行为审计和控制:
●以黑白名单的方式对用户的网页访问行为进行控制;
●可对用户访问的网页等进行审计和记录。
2)文件保护及审计:系统提供对终端的系统、软件和共享等目录中的文件的保护功能,设定访
问、删除、修改权限;支持对设定目录文件的操作审计,包括文件创建、打印、读写、复制、改名、删除、移动等的记录,同时将信息上报管理信息库供查询。
3)网络文件输出审计:对主机通过共享文件等方式进行的网络文件输出行为进行审计和记录。
4)邮件审计:根据策略对主机发送的邮件进行控制。并审计发送的邮件地址、IP等信息进行控
制审计和记录。
5)打印审计:根据策略对主机打印行为进行监控审计,防止非授权的信息被打印,同时根据要
求还可以备份打印内容。
6)文件涉密信息检查:根据用户自主设定的涉密信息查询条件,设定对指定目录或盘符下的指
定类型文件进行内容检查,检查其是否包含涉密内容,系统支持进行包含“或”、“与”等多
种逻辑的组合监测和模糊监测。
7)IM即时通讯记录审计:实现对QQ、MSN等聊天软件的访问行为及自定义关键字审计;
8)用户权限审计:能够审计用户权限更改,及操作系统内用户增加和删除操作;
9)独立的权限分配体系:提供系统管理员、系统审核员(安全员)、系统审计员和一般操作员
权限分配,使之分别进行不同的管理操作;
10)系统日志审计:支持不同权限管理员在Web控制台对终端用户的日志(系统日志、应用日志、
安全日志等)进行远程读取查看。
●管理功能描述
1 ) 报表管理:对审计结果提供详实的报表,并可直接导出为Excel等格式的文件。
2 ) 审计结果处理:用户可针对审计结果进行如用户端警告、报警、断网、终止进程等不同的
处理。
3 ) 级联管理功能:支持多级级联管理方式,上级管理节点可进行统一的状态和报警信息收集、查看,各级子管理节点能够与根管理节点进行策略同步。
4 ) 客户端分组(域)管理功能:能够按照多种方式(如按操作系统、已划定区域、IP区域或用户自定义、所有设备等)灵活的对客户端方便的进行分组(域)管理,可对一个分组(域)内的被管理对象实施统一管理。管理服务器对客户机的管理策略基于“组”管理,可先建立多个不同管理策略的“组”,可通过菜单操作将档案中的多台客户机从一个组转移到另一个组、从一个组拷贝到多个组。
5 ) 方便灵活的策略对象定义:可以灵活的按照用户需要制定策略触发条件,可根据创建区域、自定义组、操作系统、IP范围和按照条件搜索的设备进行策略分组分发管理。策略也可按照时间定义,可按照日期进行控制,可规定策略生效或失效的时间段,可设定策略的存活时间。
6 )全网统一升级功能:系统支持服务器端通过策略实现全网客户端的统一升级功能。
产品2、北信源终端安全登录与监控审计系统
●产品概述
北信源终端安全登录与监控审计系统是在基于北信源终端安全管理理念的基础上,综合利用登录身份认证、文件系统加密等核心技术开发的USBKey登录身份认证及文件保护系统。该系统通过硬件(U SBKey)和软件(USBKeyClient)相结合的方式实现了物理身份与用户身份的双重认证。通过将USBKey 与操作系统不同权限用户的绑定,实现对USBKey的权限划分。由于USBKey本身的唯一性,从而保证了操作系统用户本身的唯一性。文件保险箱采用底层驱动加密创建,其内可进行任意文件操作,从而阻止他人非法地获取计算机信息。
●系统功能描述
1)双重认证安全登录管理(USBKey+PIN码与用户名+密码双重认证);
2)USBKey与操作系统不同权限用户绑定管理;
3)USBKey登录权限划分管理(通过USBKey与操作系统不同权限用户的绑定,实现对USBKey
的登录权限划分);
4)USBKey拔除实时锁屏管理,屏保锁屏管理,注销锁屏管理;
5)USBKey用户登录情况审计管理(包括USBKey的名称、登录时间、次数、序列号等信息);
6)禁用安全模式登录;
7)可以在计算机上建立若干个文件保险箱并进行加密处理;
8)可以像操作普通磁盘一样使用文件保险箱来保存敏感的数据和文件。
产品3 北信源数据库审计系统
●产品概述
北信源数据库审计系统VRV-DBAS(VRV DataBase Audit system)是北信源公司为解决当前企业/机构IT信息系统中与数据库系统息息相关的管理风险、技术风险以及审计风险的问题,根据多年行业安全经验积累而推出的数据库应用安全产品。VRV-DBAS通过抓取和业务系统数据库操作相关的数据包,实现对数据库操作和用户行为的审计,同时可以提供丰富的查询接口,供数据管理者查询、分析、取证、决策,及时发现可能危及企业生产和运行的数据库风险因素,提供有效的风险控制依据。VRV-DBAS符合计算机等级保护中关于《信息系统安全等级保护基本要求》(GB/T22239-2008)、《数据库管理系统安全技术要求》(GB/T 20273-2006)相关的技术要求,可以有效的保护企业/机构的信息资产,帮助企业实现相关的法律法规遵从。
●产品特性
●采用分体式组件化设计
VRV-DBAS采用分体式组件化的设计理念,将整个系统划分为三大模块,各模块之间采用低耦合的方式进行设计,可以有效的对模块进行功能划分。采用分体式组件化的设计方式不
仅可以合理利用系统资源,使得整个系统能以最优的性能运行,同时还可以方便的对整个系
统进行扩展,最大化的满足使用者的需求。
●海量数据离线审计
大容量的数据库系统通常会有海量的数据操作日志,VRV-DBAS采用高压缩比的文件型审计日志备份技术,使审计日志能够方便地长期保存,并且能够在事后随时按需导入进行解析
查询。通常情况下,采用高压缩日志备份技术可以节约95%左右的存储空间。
●细粒度审计结果分析
VRV-DBAS不仅支持针对SQL命令(如:Select、Insert、Delete、Create、Drop等)以及存储过程的执行进行细粒度审计和分析,同时可以记录详细的用户行为信息,包括登录的
时间、机器名、用户名、IP/MAC地址、客户端程序名以及数据库名等信息,支持对数据库操
作维护命令、存储过程进行审计。另外,VRV-DBAS还可以深度解析数据库操作内容,准确解
析出语句中的表名,操作方式及操作内容,并根据表名和操作方式进行归类和统计分析。
●可扩展的系统架构
VRV-DBAS采用审计引擎、审计数据中心、审计视图中心独立运行,协同合作的组件化设计,使得系统具有灵活的扩展性。VRV-DBAS支持对多个审计引擎的集中管理以及对审计数据
的集中存储,具备强大的可扩展性。如果对数据库系统进行扩容,只需要简单的增加数据采
集引擎便可以支持对新的数据库系统的审计。
●完整的安全规则库
北信源公司通过数年安全技术的积累,针对常见的数据库攻击技术进行了人工智能分析,
身份证鉴别方法
身份证鉴别方法 1、当有应聘者到本公司应聘时,行政部负责招聘的人员首先要求对方出示身份 证、健康证等,没有身份证的人员,不予录用。 2、在核对身份证时,首先要看手感。真身份证较有弹性,折弯后迅速还原;假 身份证较软或较厚,易折断,没弹性。 3、看字体。真身份证的“姓名”、“性别”、“民族”、“出生_____年___月___日”、“住 址”、“编号”的字体是公安部的加密字体,体形扁长;假身份证则字体较宽或比较模糊(因是复制)。 4、看打印效果。真身份证是采用针式打印,墨色较淡;假身体证常采用喷墨打 印,墨色浓重。 5、看透旋光性能。真身份证正面背对光源,可清晰看见背面的国徽;假身份证 则较模糊。 6、一些特殊标记。真证的背面右上角第三行或第四行有一长弧平行的青色波浪 纹,假证则较短;真证的头像的头发经特殊处理,看不到青色的网纹,假证则可清晰看到(94年左右的身份证除外);真证的正面的公安局的印章清晰,“公”字上面的的八字中间有一横相连,“安”字中间的一横是一直线,“局”字的右侧是平的(下面的句字并没伸出上面的尸字外)。假证则没有上述特征。 7、核对应聘者的外貌与身份证上相片是否一致,相片应该是本人正面免冠大头 像,规格为32mm×22mm(一英寸),经常戴眼镜的公民,照相应戴眼镜。 如果发现身份证上的年龄为刚到16岁的,且应聘者的相貌与身份证上的相貌有出入时,要特别小心检查,如果无法确认其身份证的真假时,不能聘用。 8、可以通过检查身份证上的身份证号码来确定身份证的真伪。根据国务院规定, 自1999年10月1日起在全国建立和实行公民身份证号码制度。公民身份证号码按照GB11643—1999《公民身份证号码》国家标准编制,由18位数字组成:前6位为行政区划分代码,第7位至14位为出生日期码,第15位至17位为顺序码,第18位为校验码,校验码目的在于检测身份证号码的正确
北信源终端安全管理系统802.1x准入流程
北信源终端安全管理系统 802.1x准入流程 1.802.1x的认证过程可以描述如下 (1) 客户端(PC)向接入设备(交换机)发送一个EAPoL-Start 报文,开始802.1x认证接入; (2) 接入设备(交换机)向客户端(PC)发送EAP-Request/Identity 报文,要求客户端(PC)将用户名送上来; (3) 客户端(PC)回应一个EAP-Response/Identity给接入设备(交换机)的请求,其中包括用户名; (4) 接入设备(交换机)将EAP-Response/Identity报文封装到RADIUS Access-Request报文中,通过路由器发送给认证服务器; (5) 认证服务器产生一个Challenge,通过接入设备(交换机)将RADIUS Access-Challenge报文发送给客户端(PC),其中包含有EAP-Request/MD5-Challenge; (6) 接入设备(交换机)通过EAP-Request/MD5-Challenge发送给客户端(PC),要求客户端(PC)进行认证 (7) 客户端(PC)收到EAP-Request/MD5-Challenge报文后,将密码和Challenge做MD5算法后的Challenged-Pass-word,在EAP-Response/MD5-Challenge回应给接入设备(交换机) (8) 接入设备(交换机)将Challenge,Challenged Password和
用户名一起送到RADIUS服务器,由RADIUS服务器进行认证 (9)RADIUS服务器根据用户信息,做MD5算法,判断用户是否合法,然后回应认证成功/失败报文到接入设备(交换机)。如果成功,携带协商参数,以及用户的相关业务属性给用户授权。如果认证失败,则流程到此结束; (10) 如果认证通过,用户通过标准的DHCP协议 (可以是DHCP Relay) ,通过接入设备(交换机)获取规划的IP地址; (11) 如果认证通过,用户正常上网。同时终端图标显示为 。 (12)根据服务器策略进行安检,安检成功不做任何动作。安检不成功则根据策略内容进行客户端限制.只能访问某些特定服务器地址,修复成功后放开限制。 2.终端用户安全安检: 当终端存在安全检查策略时,如下图:
北信源内网安全管理系统(服务器版)安装说明
快速阅读指南 1.本使用手册为北信源终端安全管理系列产品全功能用户手册,请按照所购买产品对应相关的产品说明进行配置使用(该手册第一、二、三章为终端安全管理产品共有部分,凡购买任何一款终端安全管理产品都应首先详细阅读此三个章节)。 2.详细阅读本软件组件功能、组成、作用、应用构架,确切了解本软件的系统应用。 3.安装准备软件环境:Microsoft SQL Server2000、Windows2000Server、Internet服务管理器。SQL安装注意事项请参照第二章2-3-1所示。建议将数据库管理系统、区域管理器、WEB管理平台安装在同一服务器上,确认区域管理器所在机器的88端口不被占用(即非主域控制器);防火墙应允许打开88,2388,2399,22105,8900,8901,22106,22108,8889端口。 4.按步骤安装各组件后,通过http://*.*.*.*/vrveis登录Web管理平台,首先对Web管理平台进行如下配置:添加区域→划分该区域IP范围→指定区域管理器→指定区域扫描器。 5.双击屏幕右下角区域管理器、单击主机保护进行通讯参数配置。 6.在\VRV\VRVEIS\download目录中,使用RegTools.exe工具修改DeviceRegist.exe文件中的本地区域管理器IP,将修改后的注册程序DeviceRegist.exe放在机构网站上进行静态网页注册,或者在机构网站上加载动态网页检测注册脚本语句,进行动态设备注册。 7.系统升级:联系北信源公司获取最新的软件组件升级包,确保Web管理平台、区域管理器、客户端注册程序等组件的升级。 8.如果本说明书中的插图与实际应用的产品有出入,以实际产品为主。 特别提示:默认管理员用户:admin,密码:123456;系统指定审计用户名:audit,密码:123456请注意修改。
第二代身份证鉴别方法
第二代身份证鉴别方法 身份证鉴别方法 新研制的身份证是IC非接触式智能身份证,它集中了目前国内最新的防伪技术。新身份证的防伪主要由视读和机读两部分组成。视读就是老百姓用肉眼可以辨别出身份证的真伪;机读则需要用机器来识别。由于机读的代价较高,一般的老百姓不太使用,所以视读防伪显得非常重要,下面向大家介绍常用的第二代身份证视读鉴别方法: 1、在一般的光线下,平视第二代身份证表面时,表面上的物理防伪膜是无色透明的; 2、适当上下倾斜“二代身份证”,便会观察到证件的左上方有一个变色的长城图案,呈橙绿色; 3、用左眼和用右眼分别观察,身份证上的长城图案的颜色将呈不同颜色; 4、将身份证旋转90度(垂直方向),观察到的长城图案呈蓝紫色; 5、底文为彩虹印刷的扭文; 6、正面背面均有“JMSFZ”微缩文字(呈环形); 7、“日”字下面的“花”图案中间有“JMSFZ”微缩文字(身份证最中间位置); 8、照片的脸部无网文,背景衣领均有网文覆盖; 9、直视下看不到光变色“长城”“中国CHIAN”图案; 10、正面下半部有大幅荧光长城图案(紫光灯下) 第二代身份证真识别方法 居民身份证是国家法定的证明公民个人身份的证件。为了堵塞和制止假居民身份证的流通和使用,在查验和核查居民身份证时可掌握以下几个要点: 居民身份证的整体识别 1.居民身份证规格为88mm×60mm,四角呈圆弧状。式样为聚脂薄膜密封、持证人像片和登记内容一体化的单页卡式,即证件是经翻拍印制后塑封而成。2.证件正面主要颜色为红、绿二色,印有中华人民共和国国徽和证件名称,以及环状、网状、团状花纹图案;背面为浅绿色,印有中华人民共和国版图、持证人标准像片,以及网状花纹图案,姓名、性别、民族、出生年月日、住址五个登记项目和签发日期、有效期限、编号三个项目及签发机关印章。新的防伪居民身份证背面透视全息图象由长城峰火台图象ID CHINA 中国等字样组成。“ID长城峰火台图象CHINA中国”在“中国CHINA ID”组成的背景前由内向外依次排列。 证件签发机关为县公安局、不设区的市公安局和设区的公安分局。
北信源网络接入控制系统工作原理与功能对比
北信源网络接入控制系统 工作原理与功能 北京北信源软件股份有限公司 1
目录 1.整体说明 (3) 2.核心技术 (3) 2.1.重定向技术 (3) 2.2.策略路由准入控制技术 (4) 2.3.旁路干扰准入控制技术 (6) 2.4.透明网桥准入控制技术 (7) 2.5.虚拟网关准入控制技术 (7) 2.6.局域网控制技术 (8) 2.7.身份认证技术 (8) 2.8.安检修复技术 (9) 2.9.桌面系统联动 (9) 3.产品功能对比 (10) 2
1.整体说明 准入网关对接入设备进行访问控制,对于未注册用户进行WEB重定向进行注册;注册后的用户进行认证或安检后可以访问网络; 管理员可以配置采取何种准入控制方式,如策略路由,旁路监听,透明网桥,虚拟网关等;同时可以选择使用不同的认证类型,如本地认证,Radius认证,AD域认证等,而认证途径采取网关强制重定向; 准入网关整体上对准入的控制可分为两类,一类是网关自己控制数据的流通,另一类则是通过配置交换机,让交换机来控制数据包的流通。目前准入网关实现的策略路由和旁路监听,透明网桥等准入控制均属于前者,也就是网关自己通过放行或丢弃、阻断数据包,来达到准入控制,对于数据包的阻断是基于tcp 实现的;而虚拟网关则是通过控制交换机VLAN来达到准入控制; 2.核心技术 为了适应不同业务环境下的统一入网控制,北信源网络接入控制系统采用多种核心技术设计,支持多种准入控制模式,实现从多角度多维度的终端入网安全控制。 2.1. 重定向技术 接入控制的目的是为了阻止不可信终端随意接入网络,对于不可信终端的判定需要一个过程,如何在判定过程中进行良好的提示,这就对产品的人机界面设计提出了较高的要求。业界通常的做法是针对http性质的业务访问进行重定向,以往针对http的业务区分主要基于业务端口(主要为80端口),对于非80业务端口的http业务不能有效区分。针对以上情况,北信源网络接入控制系统对http业务进行了深度识别,除80端口的http业务可以进行有效重定向之外, 3
HR你知道如何鉴别二代身份证真吗15.8.10
HR你知道如何鉴别二代身份证真假吗? 随着第二代居民身份证的逐步普及,居民身份证是国家法定的证明公民个人身份的证件。同时也成了许多机构场所非常重视的环节。不法分子也随之打起“歪主意”,为某些别有用心的人制作假身份证。做为公司招聘第一道关,如何规避借证、假证,合理维护公司利益;大家都知道第二代居民身份证可以在网上查真伪,但不知道如何在日常生活中快速辨认真伪。为了堵塞和制止假居民身份证的流通和使用,在查验和核查居民身份证时可掌握以下要点: 一、二代身份证照片的标准要求 二代身份证一寸近期彩色正面免冠图象,无论图片质量,还是拍摄技术,与一代相比要求较高。拍摄前,要洗净脸上的汗渍、油污,严禁化浓妆,不能佩带任何影响拍摄效果的饰品(包括所有非黑色的钢丝发卡)。拍摄时,必须穿着深色有标准领的衬衫,T恤或者西装,不得穿制服拍照。 二、步骤/方法 1、居民身份证制证用数字相片样式: 2、照片规格:358像素(宽)×441像素(高),分辨率350dpi。 3、颜色模式:24位RGB真彩色。 4、要求: 公民本人的近期彩色相片图像,图像背景为纯白色,不着制式服装或白色上衣,常戴眼镜的居民应配戴眼镜。要求人像清晰,层次丰富,神态自然,无明显畸变。 5、头像大小及位置:为确保相片质量和人相的尺寸、角度、姿态、色彩等的统一,公安部制定并公布了居民身份证制证用数字相片技术标准(GA461-2004)。所用相片必须是近期正面免冠彩色头像,头部占照片尺寸的2/3,白色背景无边框,人像清晰,层次丰富,神态自
然,无明显畸变,照片尺寸为32mm ×26mm 。 6、拍摄时应将头发整理好,长发者应露出两耳,绝不可遮挡眼睛眼角,发型不得梳过高,过于凌乱,涂抹发胶,啫哩水等必须洗净吹干。 三、身份证真伪识别方法 1、据了解这种电子证卡,通俗成为身份证阅读器。操作时只需要工作人员将相关人员的二代身份证往感应区上一放,电脑中即可显示出相关信息,整个过程仅需几秒钟时间,方便辨别身份证的真伪。而且无需用户联网,非常方便在特殊场合的用户使用。 2、看外观。真二代身份证的正、反两面纹路清晰,证件表面有摩擦力;而假证纹路模糊,表面光滑。另外,两者硬度不尽相同,真证较硬而带柔,而假证较软。 韧性好,用手弓弹 迅速返回
北信源法院系统终端安全管理系统解决方案2015
北信源法院系统终端安全管理系统 解决方案 北京北信源软件股份有限公司 2015年3月
目录 1. 前言 (4) 1.1. 概述 (4) 1.2. 应对策略 (5) 2. 终端安全防护理念 (6) 2.1. 安全理念 (6) 2.2. 安全体系 (7) 3. 终端安全管理解决方案 (8) 3.1. 终端安全管理建设目标 (8) 3.2. 终端安全管理方案设计原则 (8) 3.3. 终端安全管理方案设计思路 (9) 3.4. 终端安全管理解决方案实现 (11) 3.4.1. 网络接入管理设计实现 (11) 3.4.1.1. 网络接入管理概述 (11) 3.4.1.2. 网络接入管理方案及思路 (11) 3.4.2. 补丁及软件自动分发管理设计实现 (16) 3.4.2.1. 补丁及软件自动分发管理概述 (16) 3.4.2.2. 补丁及软件自动分发管理方案及思路 (16) 3.4.3. 移动存储介质管理设计实现 (20) 3.4.3.1. 移动存储介质管理概述 (20) 3.4.3.2. 移动存储介质管理方案及思路 (20) 3.4.4. 桌面终端管理设计实现 (23) 3.4.4.1. 桌面终端管理概述 (23) 3.4.4.2. 桌面终端管理方案及思路 (24) 3.4.5. 终端安全审计设计实现 (35)
3.4.5.1. 终端安全审计概述 (35) 3.4.5.2. 终端安全审计方案及思路 (36) 4. 方案总结 (41)
1.前言 1.1.概述 随着法院信息化的飞速发展,业务和应用逐渐完全依赖于计算机网络和计算机终端。为进一步提高法院信息系统内部的安全管理与技术控制水平,必须建立一套完整的终端安全管理体系,提高终端的安全管理水平。 由于法院信息系统内部缺乏必要管理手段,导致网络管理人员对终端管理的难度很大,难以发现有问题的电脑,从而计算机感染病毒,计算机被安装木马,部分员工使用非法软件,非法连接互联网等情况时有发生,无法对这些电脑进行定位,这些问题一旦发生,往往故障排查的时间非常长。如果同时有多台计算机感染网络病毒或者进行非法操作,容易导致网络拥塞,甚至业务无法正常开展。 建立终端安全管理体系的意义在于:解决大批量的计算机安全管理问题。具体来说,这些问题包括: 实现对法院信息系统内部所有的终端计算机信息进行汇总,包括基本信息、审计信息、报警信息等,批量管理终端计算机并提高安全性、降低日常维护工作量; 实现对法院信息系统内部所有的终端计算机的准入控制,防止外来电脑或违规的电脑接入法院信息系统内部网络中; 实现对法院信息系统内部所有的终端计算机进行补丁的自动下载、安装与汇总,最大程度减少病毒、木马攻击存在漏洞的计算机而导致的安全风险; 实现对法院信息系统内部所有的移动存储设备的统一管理,防止部分人员通过USB设备将法院信息系统大量的机密文件传播出去,同时也极大减少了病毒、木马通过USB设备在网络中传播等情况的发生;
北信源-终端准入控制系统
北信源VRV-BMG终端准入控制系统 产品背景 网络接入控制管理系统能够强制提升企业网络终端的接入安全,保证企业网络保护机制不被间断,使网络安全得到更有效提升。与此同时基于设备接入控制网关,还可以对于远程接入企业内部网络的计算机进行身份、唯一性及安全认证。 通过网络接入控制管理系统可以满足企业要求,将设备接入控制扩展到超出简单远程访问及路由器、专有协议和已管理设备的限定之外;能够覆盖到企业网络的每一个角落,甚至是当使用者拿着他们的移动设备离开企业网络时,仍能有效的提供设备接入控制的执行。网络接入控制管理系统针对所有的网络架构工作,并且不必进行昂贵的网络架构改造。 北信源VRV-BMG终端准入控制系统产品是一款基于内网用户网络行为管理和控制的硬件网关。有如下具体特点: 1)具有网络访问控制、网络行为管理、网页过滤检查、带宽流量管理、综合内容审计等功能。主要用于解决企业内网、行业用户接入互联网或外联网可能引发的各种安全问题。通过对内网用户的网络行为管理和控制,从而解决网络规范访问控制、网页浏览过滤、网络带宽资源滥用,以及对P2P软件、游戏软件、股票软件、即时通信等各种应用软件的管理和控制,并实现对上述各种网络行为的管理和审计功能; 2)采用先进的深度业务识别DSI技术,能够快速识别包括多种流行P2P及其
变种协议、网络流媒体协议、网路游戏、股票软件以及行业用户专用网络协议。深度业务识别DSI技术是在DPI和DFI技术上发展起来的一种新型的7层应用识别技术。由于深度业务识别检测DSI技术基于业务本身的特征而不是报文数据细节,对于检测加密或加扰应用协议具有更高的识别率,特别是对于新增和变种的网络应用和业务类型,DSI更具备良好的适应性; 3)通过系统内置的网络应用业务特征,综合运用继承式应用描述语言HADL,从而允许网络管理者针对不同的内网用户、不同时段,综合企业的实际需求制定适合本企业的网络行为管理规范。继承式应用描述语言HADL通过业务拓扑级——流特征级——报文特征的继承描述关系精确描述某项业务的特征。并突破了原有单一的报文特征或者流特征所带来的误识别问题,从报文、流和业务拓扑3个层次综合描述应用并且精确定位了3中特征之间的关系,从而将DSI 技术更好地贯彻在应用识别产品中; 4)采用领先的知识发现KDT技术(该技术是数据挖掘技术与深度业务识别检测DSI两种技术的结晶,它可以根据不同的业务类型进行有针对性的内容还原解码),能够对邮件内容、聊天内容、网络发帖等综合信息进行安全审计、综合检索和完整备份; 5)部署在企业内网与外网的边界处或者不同的可信安全域之间,完成内网用户跨边界安全行为管理的实施。同时,该产品与北信源终端管理软件还可以通过终端准入控制技术、二次授权访问控制技术、综合行为审计技术、统一策略配置与管理等方面,实现无缝结合与深层联动,从而将企业内网建设成从终端到边界节点的一体化内网安全管理体系,为保障内网从终端到边界安全形成了一道绿色的屏障。 系统管理构架北信源网络接入控制管理系统由以下几部分组成: 1)策略服务器:系统策略管理中心,提供系统的参数配置和安全策略管理。 2)认证客户端:安装在终端计算机,通过用户名和密码向认证服务器发起 认证,实现正常工作区、访客隔离区、安全修复区的自动切换。 3)Radius认证服务器:接收客户端认证请求信息数据包并进行验证。 4)Radius认证系统(交换机) :可网管支持802.1x的网络设备(交换机),接收认证客户端的认证请求数据包与Radius认证服务器完成认证过程。
第二代居民身份证防伪识别方法
关于二代身份证防伪识别方法 二代身份证防伪的主要特点是芯片技术,通过机读可以有效识别真伪;另外也有一些视读防伪标识。 一、二代身份证描述: 第二代居民身份证是由多层聚酯材料复合而成的单页卡式证件,采用非接触式IC卡技术制作,具备视读和机读两种功能。 证件尺寸设计为:85.6mm×54.0mm×1.0mm。 证件正面有签发机关和有效期限,印有国徽图案、证件名称、写意长城图案及彩色扭索花纹;证件背面设计有姓名、性别、民族、出生日期、常住户口所在地住址、公民身份号码和本人相片7个登记项目。印有彩色花纹,图案底纹为彩虹扭索花纹,颜色从左至右为浅蓝色至浅粉色再至浅蓝色。 二、二代身份证的防伪技术: 第二代身份证具备视读和机读两种功能,并采用两种防伪措施:证件芯片采用数字防伪措施,可在对证件机读时完成认证;表面采用防伪膜和印刷防伪技术,防伪膜采用具有自主知识产权的定向光变色膜等技术,印刷防伪技术包括底纹精细、缩微、彩虹印刷,印刷图案中隐藏加密点和变形加密字。 三、二代身份证六大变化: 与一代证比较,二代证主要有六大变化: 1.芯片存储量大。 新式身份证采用非接触式IC卡作为卡体,非接触式IC卡电路由天线和芯片模块构成,被封装在塑料基片内,芯片长8毫米,宽5毫米,厚0.4毫米。写入的信息可划分安全等级,分区存储,容量更大。 2.证件外表变化。 证件底纹采用彩虹印刷技术,颜色从左至右为浅蓝色至浅粉色再至浅蓝色。证件背面有持证人照片、登记项目(姓名、性别、民族、出生、住址、公民身份号码)。 3.制证周期缩短。 证件信息采集和传输采用数码照相和计算机技术,可以大大缩短制证周期。 4.数字防伪技术。
VRVed北信源内网管理系统用户使用手册
北信源内网安全管理系统 用户使用手册 北京北信源软件股份有限公司 二〇一一年
支持信息 在北信源内网安全管理系统使用过程中,如您有任何疑问都可以通过访问我公司网站或者致电我司客服中心获得帮助和支持! 热线支持:400-8188-110 客户服务电话: 在您使用该产品过程中,如果有好的意见或建议的话也请联系我们的客服中心,感谢您对我公司产品的信任和支持!
正文目录图目录表目录
第一章概述 特别说明 北信源终端安全管理系列产品由《北信源内网安全管理系统》、《北信源补丁及文件分发管理系统》、《北信源主机监控审计系统》、《北信源移动存储介质使用管理系统》、《北信源网络接入控制管理系统》及《北信源接入认证网关》6大套件构成。 本手册内容将随着北信源软件的不断升级而改变(以光盘中电子版发行时为最新版),恕不另行通知。需要者请从北信源公司网站下载本手册的最新电子版或者直接联系北信源公司索取。 本手册与本系统的安装配置手册中的所有图片均为示意图,请以实际产品为准。 本使用手册为北信源终端安全管理系列产品通用说明书。若您独立购买《北信源内网安全管理系统》或《北信源补丁及文件分发管理系统》等其中之一产品,本说明书的其它功能将不具备。 感谢您购买北京北信源软件股份有限公司研制开发的北信源终端安全管理系列产品。请在使用本软件之前认真阅读本使用手册,当您开始使用该软件时,北信源公司认为您已经阅读了本使用手册。 产品构架 北信源终端安全管理产品由8部分组成:WinPcap程序、SQL Server管理信息库(安装包:环境初始化程序)、Web中央管理配置平台(安装包:网页管理平台)、区域管理器(安装包:Region Manage,原区域扫描器已作为模块集成到区域管理器)、客户端注册程序(安装包:注册程序)、补丁下载服务器、管理器主机保护模块、报警中心模块。 环境初始化程序 SQL Server管理信息库,建立北信源终端安全管理产品的初始化数据库。初始化的信息包括:网络客户端设备属性信息、区域管理器信息、设备扫描器信息、区域管理范围信息、注册(未注册)机器信息、设备属性变化信息、报警信息等。扫描器将设备最新状态信息同数据库中原有信息进行遍历搜索对比,根据规则要求在管理平台上报警。 网页管理平台(web管理平台) Web中央管理配置平台,本系统的管理配置中心。包括区域管理器、扫描器、注册客户端的功能参数设定,网络设备信息发现、系统应用策略制订、报警信息显示、定义任务功能制订、系统用户维护等配置操作。 Region Manage 区域管理器,系统数据处理中心,负责与管理信息数据库通讯扫描终端设备、控制服务器、客户端之间的信息、指令的下达、接受。比如:接收注册程序提供的用户信息,将用户信息(用户填写的物理信息和系统自动采集的硬件信息)并行存入数据库;接受来自控制台的命令操作,发送到客户端、扫描器执行。 对于存在多级管理要求的广域网,网络中可以存在多个区域管理器,实现系统数据逐级上报(转发),对网络终端的多级管理。 区域管理器内置网络扫描器,扫描器用来发现网络的终端设备。将发现的设备信息交由区域管理器处理。、设备最新状态信息报送至区域管理器,由区域管理器处理后,同数据库中原有信息进行遍历搜索对比,根据管理规则在管理平台上报警。 扫描器配合区域管理器进行工作,可以在分级模式下使用。扫描器只依据Web管理平台中配置的工作范围进行扫描,如果终端IP超越其范围,将不负责执行操作。 Winpcap程序 嗅探驱动软件,监听共享网络上传送的数据。 客户端注册程序 将接收并执行服务器下发的指令。该程序可以在“工具下载->用户注册器下载”处下载。访问指定网站自动获得,用户填写必要的信息后,运行该程序,区域管理器将收到注册终端的相关信息,同时终端可以接收、执行各种下发的指令。注册程序自动探测系统硬件信息,连同用户填写的信息一同上报区域管理器。
Linux身份鉴别机制技术方案及原理
Linux身份鉴别机制技术方案及原理 1.1 概述 Linux身份鉴别机制是保护操作系统安全的重要机制之一,是防止恶意用户进入系统的一个重要环节。早期的身份鉴别机制就是传统的UNIX身份鉴别机制,它采用口令加密并与原密码进行对比的方式来对用户身份进行鉴别。但是这种加密方式过于单一,在一个服务中用户的帐号密码泄露会涉及到多个服务的安全性,所以为了增强系统的安全性,出现了许多其他的身份鉴别机制,如指纹认证、USB认证等。但是这样导致了一个问题,为了应用这些认证机制,就需要重新编写并编译应用程序(如系统登陆服务login)。为了解决这个问题,1995年Sun公司的Vipin Samar和 Charlie Lai提出了PAM(Pluggable Authentication Modules)身份鉴别机制,它采用模块化设计和插件功能,使得系统在更改认证机制时不再需要修改应用程序,极大的提高了认证机制的灵活性。本报告对Linux各用户帐号的权限区别进行了分析,对传统UNIX身份鉴别机制的实现过程进行了研究,重点对PAM身份鉴别机制的实现过程进行了研究与分析,最后通过一个具体的PAM策略演示场景实现了身份鉴别机制的执行过程,研究结果也发现Linux身份鉴别机制是在Linux用户态下实现的,并不涉及内核的具体实现。 1.2 涉及到的源码范围 由于Linux身份鉴别机制是在用户态下实现,本报告涉及的源码包括Linux-PAM-1.1.6,openpam和Linux su命令的实现。具体范围说明如下: Linux-PAM-1.1.6/moudles/pam_access.c:登录认证模块的实现源码。 Linux-PAM-1.1.6/libpam:PAM所用的头文件。 openpam/lib/pam_acct_mgmt.c:账号管理接口函数实现。 Linux su命令:Linux系统命令源码包。 1.3 技术方案及原理 Linux身份鉴别机制就是对请求服务的用户身份进行鉴别,并且赋予相应的权限的过程。本文通过查阅资料,分析Linux系统中对各用户帐号的管理及其权限分配,分析传统的
北信源内网安全解决方案
北信源内网安全解 决方案 1
XXXX 终 端 安 全 管 理 解 决 方 案 北京北信源软件股份有限公司 -03-22 目录 1、前言 ................................................................................. 错误!未定义书签。 2、需求分析 ......................................................................... 错误!未定义书签。
2.1、XXXX信息系统现状........................................... 错误!未定义书签。 2.2、XXXX网络终端管理需求................................... 错误!未定义书签。 2.3、XXXX网络终端安全管理系统需求分析........... 错误!未定义书签。 3、北信源终端安全管理解决方案..................................... 错误!未定义书签。 3.1、VRVEDP系统概述............................................... 错误!未定义书签。 3.3、网络接入管理系统 ............................................... 错误!未定义书签。 3.3.1、ARP阻断隔离 ............................................. 错误!未定义书签。 3.3.2、接入设备审核及有效期.............................. 错误!未定义书签。 3.3.3、802.1X认证方式......................................... 错误!未定义书签。 3.3.4、接入控制网关(硬件) ................................... 错误!未定义书签。 3.4、内网安全管理系统 ............................................... 错误!未定义书签。 3.4.1、终端注册管理.............................................. 错误!未定义书签。 3.4.2、IP/MAC绑定策略 ....................................... 错误!未定义书签。 3.4.3、IT资产管理 ................................................. 错误!未定义书签。 3.4.4、终端流量管理.............................................. 错误!未定义书签。 3.4.5、进程限制策略.............................................. 错误!未定义书签。 3.4.6、互联网访问控制.......................................... 错误!未定义书签。 3.4.7、防病毒策略.................................................. 错误!未定义书签。 3.4.8、软件安装限制.............................................. 错误!未定义书签。 3.4.9、多线程计算机远程维护平台...................... 错误!未定义书签。 3.4.10、防火墙策略................................................ 错误!未定义书签。 3
北信源解决方案
中铁信托终端安全管理系统 北京北信源软件股份有限公司 2010年3月
1 目 录 一、前言 (1) 二、北信源内网安全管理系统解决方案 (4) 1、功能实现方式 (4) 2、安全监控强审计功能 (5) 3、移动存储介质操作信息审计 (5) 4、文件保护及访问审计 (5) 5、桌面文件输出审计 (7) 6、打印审计 (7) 7、系统日志审计 (8) 三、具体实施方案 (9) 1、部署的主要组建 (9) 2、实施建议 (9) 3、系统部署时软硬件配置 (9) 4、系统部署时网络环境准备 (9) 一、前言 中铁信托的网络已具有相当的规模,网络安全要求非常高。目前网络中大量使用计算机及其它网络交换设备,客户端数量已经达到150台。尽管已经物理隔离技术、安全网段划分、安全防护设施(如防火墙、防病毒软件)等方式保证自己的网络安全,但由于操作系统和人为因素,客户端自身确实存在着安全风险隐患,随着用户应用系统的不断增加,在网络中传播的病毒造成的风险和管理上的风险也会不断增加,由于单个计算机的病毒引起的损害可能传播到其他系统和主机上,引起网络瘫痪,造成重大损失。系统对网络的安全稳定运行有较高的要求。同时,其它桌面安全和桌面管理方面的问题也十分繁杂,而专网的网络维护管理人员十分有限,因此需要专业的内网安全安全管理系统。 在实际使用中,来自网络内部的安全威胁是我们网络管理人员真正需要面
2 对的问题:据统计结果,约80%的安全事件来自与网络内部; 网络管理工作量最大的部分是终端安全管理部分,对网络的正常运转威胁最大的也同样是客户端安全管理。由于大型网络一般结构较为复杂,用户使用水平参差不齐,而网络管理人员编制有限,往往难以面对数量重大的客户端事件。因此,只有解决网络内部的安全问题,才可以排除网络中最大的安全隐患,北信源内网安全管理系统可以从技术层面帮助网管人员处理好繁杂的客户端问题。
身份识别的各种方式
天津大学 生物医学工程一班 30111202303 严豪
一、虹膜技术的优点: 1、便于用户使用; 2、可能会是最可*的生物识别技术; 3、无需物理的接触; 虹膜技术的缺点: 1、一个最为重要的缺点是它没有进行过任何的测试,当前的虹膜识别系统只是用统计学原理进行小规模的试验,而没有进行过现实世界的唯一性认证的试验; 2、很难将图像获取设备的尺寸小型化; 3、需要昂贵的摄像头聚焦,一个这样的摄像头的最低价为7000美元; 5、镜头可能产生图像畸变而使可*性降低; 6、黑眼睛极难读取; 7、需要较好光源。 二、视网膜识别技术 视网膜也是一种用于生物识别的特征,有人甚至认为视网膜是比虹膜更唯一的生物特征,视网膜识别技术要求激光照射眼球的背面以获得视网膜特征的唯一性。
视网膜技术的优点: 1、视网膜是一种极其固定的生物特征,不磨损、不老化、不受疾病影响; 2、使用者无需和设备直接接触; 3、是一个最难欺骗的系统,因为视网膜不可见,所以不会被伪造。 视网膜识别的缺点: 1、未经测试; 2、激光照射眼球的背面可能会影响使用者健康,这需要进一步的研究; 3、对消费者而言,视网膜技术没有吸引力; 4、很难进一步降低成本。 三、面部识别 面部识别技术通过对面部特征和它们之间的关系来进行识别,识别技术基于这些唯一的特征时非常复杂,需要人工智能和机器知识学习系统。用于扑捉面部图像的两项技术为标准视频和热成像技术。标准视频技术通过一个标准的摄像头摄取面部的图像或者一系列图像,捕捉后,记录一些核心点(例如眼睛、鼻子和嘴等)以及它们之间的相对位置,然后形成模板;热成像技术通过分析由面部的毛细血管的血液产生的热线来产生面部图像,与视频摄像头不同,热成像技术并不需要在较好的光源条件下,因此即使在黑暗情况下也可以使用。一个算法和一个神经网络系
内网终端安全管理系统解决方案
内网终端安全管理系统解决方案
北信源内网终端安全管理系统 解决方案 北京北信源软件股份有限公司
目录 1.前言................................ 错误!未定义书签。 1.1.概述 错误!未定义书签。 1.2.应对策略 错误!未定义书签。 2.终端安全防护理念.................... 错误!未定义书签。 2.1.安全理念 错误!未定义书签。 2.2.安全体系 错误!未定义书签。 3.终端安全管理解决方案................ 错误!未定义书签。 3.1.终端安全管理建设目标 错误!未定义书签。 3.2.终端安全管理方案设计原则 错误!未定义书签。 3.3.终端安全管理方案设计思路 错误!未定义书签。 3.4.终端安全管理解决方案实现 错误!未定义书签。 3.4.1.网络接入管理设计实现 错误!未定义书签。 3.4.1.1.网络接入管理概述
3.4.1.2.网络接入管理方案及思路 错误!未定义书签。 3.4.2.补丁及软件自动分发管理设计实现 错误!未定义书签。 3.4.2.1.补丁及软件自动分发管理概述 错误!未定义书签。 3.4.2.2.补丁及软件自动分发管理方案及思路 错误!未定义书签。 3.4.3.移动存储介质管理设计实现 错误!未定义书签。 3.4.3.1.移动存储介质管理概述 错误!未定义书签。 3.4.3.2.移动存储介质管理方案及思路 错误!未定义书签。 3.4.4.桌面终端管理设计实现 错误!未定义书签。 3.4.4.1.桌面终端管理概述 错误!未定义书签。 3.4.4.2.桌面终端管理方案及思路 错误!未定义书签。 3.4.5.终端安全审计设计实现 错误!未定义书签。 3.4.5.1.终端安全审计概述
产品简介-北信源数据库审计系统
北信源数据库审计系统 VRV DBAS产品简介 北京北信源软件股份有限公司 2012年04月 1
版权声明 本手册的所有内容,其版权属于北京北信源软件股份有限公司(以下简称北信源公司)所有,未经北信源许可,任何人不得仿制、拷贝、转译或任意引用。本手册没有任何形式的担保、立场倾向或其他暗示。 商标声明 本手册中所谈及的产品名称仅做识别之用,而这些名称可能属于其他公司的注册商标或是版权,其他提到的商标,均属各该商标注册人所有,恕不逐一列明。 产品声明 本手册中提到的产品功能或性能可能因产品具体型号、配备环境、配置方法不同而有所差异,由此可能产生的差异为正常现象,相关问题请咨询北信源公司技术服务人员。 免责声明 若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失,北信源公司及其员工均不承担任何责任。 2
目录 1.产品优势(ADVANTAGE) (4) 2.产品概述(PRODUCT SUMMARY) (5) 3.系统架构(SYSTEM ARCHITECTURE) (6) 4.产品功能(PRODUCT FUNCTIONS) (7) 5.典型应用(TYPICAL APPLICATIONS) (15) 6.产品规格(PRODUCT SPECIFICATION) (16) 3
1.产品优势(Advantage) 采用分体式组件化设计 VRV-DBAS采用分体式组件化的设计理念,将整个系统划分为五大模块,各模块之间采用低耦合的方式进行设计,可以有效的对模块进行功能划分,各模块之间互不影响,同时又可以协同工作。采用分体式组件化的设计方式不仅可以合理利用系统资源,避免系统自身资源瓶颈,使得整个系统能以最优的性能运行,同时还可以方便的对整个系统进行扩展,最大化的满足使用者的需求。 海量数据离线审计 大容量的数据库系统通常会有海量的数据操作,这就要求数据库审计系统有大容量的存储空间以方便随时检索历史的操作记录。VRV-DBAS充分考虑了实际使用中的系统环境,采用高压缩比的文件型审计日志备份技术,使审计日志能够方便地长期保存,并且能够在事后随时按需导入进行解析查询。通常情况下,采用高压缩日志备份技术可以节约95%左右的存储空间。 细粒度审计结果分析 VRV-DBAS不仅支持针对SQL命令(如:Select、Insert、Delete、Create、Drop 等)以及存储过程的执行进行细粒度审计和分析,同时可以记录详细的用户行为信息,包括登录的时间、机器名、用户名、IP/MAC地址、客户端程序名以及数据库名等信息,对数据库操作维护命令、存储过程进行审计,可对查询,新增,修改,删除,授权等行为进行监控。另外,VRV-DBAS还可以深度解析数据库操作内容,准确解析出语句中的表名,操作方式及操作内容,并根据表名和操作方式进行归类和统计分析。 零风险并行部署 VRV-DBAS采用旁路监听部署的方式,部不需要对现有网络拓扑进行任何改变,只需要在交换机上将访问数据库的流量镜向或采用TAP分流监听,使数据库审计引擎能够监听到用户通过交换机与数据库进行通讯的所有操作,工作时不影 4
内网终端安全管理系统项目解决方案
北信源内网终端安全管理系统 解决方案 北京北信源软件股份有限公司
目录 1.前言 (4) 1.1. 概述 (4) 1.2. 应对策略 (5) 2.终端安全防护理念 (6) 2.1. 安全理念 (6) 2.2. 安全体系 (7) 3.终端安全管理解决方案 (9) 3.1. 终端安全管理建设目标 (9) 3.2. 终端安全管理方案设计原则 (9) 3.3. 终端安全管理方案设计思路 (10) 3.4. 终端安全管理解决方案实现 (12) 3.4.1. 网络接入管理设计实现 ........................................ 错误!未定义书签。 3.4.1.1. 网络接入管理概述 ........................................ 错误!未定义书签。 3.4.1.2. 网络接入管理方案及思路............................... 错误!未定义书签。 3.4.2. 补丁及软件自动分发管理设计实现 (12) 3.4.2.1. 补丁及软件自动分发管理概述 (12) 3.4.2.2. 补丁及软件自动分发管理方案及思路 (12) 3.4.3. 移动存储介质管理设计实现 (17) 3.4.3.1. 移动存储介质管理概述 (17) 3.4.3.2. 移动存储介质管理方案及思路 (18) 3.4.4. 桌面终端管理设计实现 (21) 3.4.4.1. 桌面终端管理概述 (21) 3.4.4.2. 桌面终端管理方案及思路 (22) 3.4.5. 终端安全审计设计实现 ........................................ 错误!未定义书签。 3.4.5.1. 终端安全审计概述 ........................................ 错误!未定义书签。 3.4.5.2. 终端安全审计方案及思路............................... 错误!未定义书签。 4.方案总结 (41) 5.附录:系统硬件要求 (41) 6.预算 (43)
传统系统使用的身份鉴别技术主要有如下两种类型
传统系统使用地身份鉴别技术主要有如下两种类型 传统系统使用地身份鉴别技术主要有如下两种类型: ()个人识别码及密码.两者可以组合使用,也可以单独使用.这种方式地关键是用户需要牢记某一特定信息(识别码、密码),一旦用户本人遗忘即无法证明自身身份从而被拒之门外;若识别码(密码)被他人获悉,则他人可轻易假冒合法用户地身份进入受控区域.目前,基于这一身份鉴别机制地门禁出入控制系统仍在普遍使用.不难看出,这种门禁出入控制系统地安全性、易用性存在着极大地问题.一旦非法入侵者假冒合法用户进入受控区域,系统地审计核查机制根本无法发现非法入侵事件地发生,更无从提供非法入侵者地相关信息. ()感应式卡证件(以下简称电子卡证件).与前一类型相比,这种方式显然有了明显进步.合法用户只需要持卡即可进入控制区域,因而没有因忘记个人识别码或密码而无法进入地问题.这一身份鉴别技术地问题在于: ①电子卡证件存在被伪造地可能;②电子卡证件无法确保持卡人就是证件真正地所有者,换言之,电子卡证件可能被他人借用或冒用;③人工查验存在着出错或是徇私舞弊地可能,同时持卡人有可能进入非授权区域;④电子卡证件遗失会给合法持卡人带来极大地不便. 由于存在着电子卡被借用、冒用地可能,因此人员出入地原始记录难以进行事后审计,从而导致系统地审计核查机制失效;据有关统计,目前基于电子卡证件地门禁出入控制系统占据了市场地大部分份额. 生物认证技术是一项新兴地安全技术,也是本世纪最有发展潜力地技术之一.生物认证技术将信息技术与生物技术相结合,具有巨大地市场发展潜力.比尔.盖茨曾预言:“以人类生物特征——指纹、语音、面像等方式进行验证地生物识别技术在今后数年内将成为产业最为重要地技术革命”.可见其发展前景和市场潜力之巨大. 指纹、掌形、虹膜等生物特征识别技术与上述两种传统地身份鉴别技术相比,基于人体生物特征识别技术地安全性显然要高得多.从统计意义上来说,人类地指纹、掌形、虹膜等生理特征都存在着唯一性,因而这些特征都可以成为鉴别用户身份地依据.基于指纹识别技术地门禁出入控制系统(指纹锁)数年前已经研制成功并投放市场.从指纹锁地实际应用情况来看,该技术还存在着如下几个方面地问题: ①要求用户配合地程度高.用户在指纹采集过程中需要直接接触指纹采集仪,容易产生被侵犯地感觉,导致用户对指纹识别技术地接受度降低;②部分用户地指纹难以采集,存在着较高地系统拒绝录入率问题;③实验表明,合法用户地指纹存在着被他人复制地可能,这无疑降低了整个系统地安全性;④系统若出现异常情况,单凭指纹信息难以得知进入人员地真实身份.这给系统地审计、核查带来了难度. 掌形、虹膜识别技术地识别精度一般来说比指纹识别系统要高,但仍然存在着要求用户配合地程度高、侵犯性较强、使用专用设备、价格昂贵等缺点. 人脸识别技术.在典型应用环境下,人脸识别技术地识别精度可以达到与指纹识别技术相当地程度,而其用户友好性明显要高于其它地几种生物特征识别技术.其适中地价格、优越地性能更能获得用户地认可. 人脸识别系统地最大特点是隐蔽性和非强迫性.它不需要你按手印,也不需要你眼睛注视等配合动作,从某种意义上说,它地识别是在你不知不觉地行为中完成地.因此,它可以广泛运用于国家安全、军事保卫、公安司法、边境、民航、金融、保险等重要领域,当然也可用于单位考勤、居家保安等方面,具有很大地开发价值. 在人脸识别技术尚未出现以前,摆在安全、公安部门面前有几道难题: ()如何在机场、车站、码头、宾馆、商场等口岸或公共场所地人群中发现特定地目标.安全部门、公安部门以往地做法只能是靠人工布控、蹲守.这种方式除了耗费大量地警力