盈高多维终端安全管理平台技术白皮书
盈高入网规范管理系统介绍
•降低带宽消耗
采用P2P技术进行补丁分发 补丁包就近下载 补丁包压缩传输 支持断点续传
智能补丁检 查更新
制定补丁策略
管理平台
部署方式——逻辑示意图
实现机制—支持多种Enforcement强制技术
DNS Proxy Multivendor Virtual 策略路由 Gateway PBR Bridge
策略路由
支持 支持 支持 支持 不支持 上行数据 支持
802.1X
不支持① 支持 支持 不支持 支持 不影响 支持②
Cisco EOU
支持 支持 支持 支持 支持 不影响 支持
Portal
支持 支持 支持 不支持 不支持 不影响 支持
DHCP 强制
支持 支持 支持 在分配IP 之前支持 支持 不影响 支持
主动 加固 修复
二、安全策略检查——变被动响应为主动防御
终端安全接入
› 安全:禁止不安全终端 进入网络 › 合规:强制实施安全策 略 › 受控:自动化漏洞修复, 主动保障终端安全受控
•业界最完善丰富的安全策略,屏蔽不安全设备和 人员接入,根本上保证内网终端“健康” • 动态策略管理,基于网络环境和需求选择策略 模板,可订制、可扩展 •灵活策略配置,基于用户角色的策略控制 •强制实施企业安全策略,提供全面主动式防御 - 保证网络安全策略统一执行,主动发现终端 漏洞,消除终端安全缺口带来的已知和未知威 胁 •满足IT法规遵从性 - 提供合规性模版,客户可以通过使用模版来 满足政府合规性的要求 •自动化修复终端漏洞 - 发现违规项,能够及时通知和协助终端 用户实施修复,主动消除已知和未知威胁
3
强化内部工作人员安全意识
… 变被动为主动,提高工作效率
企业终端安全管控平台技术白皮书
企业终端安全管控技术白皮书目录第1章引言 (1)1.1文档用途 (1)1.2阅读对象 (1)1.3名词术语 (1)1.4参考资料 (2)第2章概述 (3)2.1系统概述 (3)2.2系统价值 (3)2.2.1即严格又实用的准入管理 (3)2.2.2强大的U盘管理 (6)2.3系统功能性需求 (8)2.4系统非功能性需求 (9)2.4.1性能 (9)2.4.2安全性需求 (9)第3章系统体系结构 (11)3.1系统总体结构 (11)3.1.1系统定位 (11)3.2终端基础框架 (11)3.2.1机构分级管理 (11)3.2.2资产管理 (14)3.2.3报警中心 (16)3.2.4客户端管理 (20)3.3终端桌面管理 (22)3.3.1桌管基础功能 (22)3.3.2终端外设管理 (23)3.3.3终端网络访问控制&网络流量控制 (25)3.4终端审计管理 (30)3.4.1网址日志 (30)3.4.2屏幕日志 (32)3.4.3程序日志 (35)3.4.4文件日志 (38)3.4.5打印日志 (39)3.4.6USB使用日志 (40)3.4.7聊天日志 (42)3.4.8邮件日志 (43)3.4.9网络流量日志 (44)3.4.10开关机日志 (45)3.4.11操作系统日志 (47)3.4.12共享目录日志 (48)3.5终端运维管理 (48)3.5.1远程协助 (48)3.5.2文件分发 (49)3.5.3软件分发 (50)3.5.4补丁管理(新增) (51)3.5.5远程硬件管理 (56)3.5.6远程进程管理 (57)3.5.7共享目录管理 (58)3.5.8实时网络状态 (59)3.5.9磁盘信息 (60)3.5.10窗口进程 (61)3.5.11系统用户管理 (62)3.5.12启动项管理 (63)3.5.13水印控制 (63)3.6文件加解密管理(DLP) (64)3.6.1驱动层透明加密 (65)3.6.2申请解密/申请防泄密外发及相关审批流程设置 (66)3.6.3文件密级管理 (73)3.6.4服务器白名单 (74)3.6.5邮件管理、邮件白名单 (75)3.6.6剪贴板控制、自动加解密、禁止截屏 (76)3.6.7离线管理 (77)3.6.8解密Ukey管理 (78)3.6.9加密文件备份 (79)3.6.10加密文件打印禁止、水印打印 (80)3.6.11全盘加解密 (81)3.6.12密钥管理 (82)3.7网络准入控制 (83)3.7.1干路/旁路/策略路由/802.1x准入控制 (83)3.7.2合规入网控制 (84)3.7.3强制安装认证终端 (87)3.7.4用户名/密码入网、手机短信入网、AD域入网、指纹入网、UKEY入网893.7.5访客入网模式 (96)3.7.6非法外联 (99)3.7.7与officeScan联动 (100)第1章引言1.1 文档用途此文档用于指导终端管控系统的总体技术设计,包括产品的功能描述、界面、应用技术等内容,用以向整个设计期提供关于终端管控的功能设计与技术实现的总体指导,从而对终端管控系统进一步的详细设计给出明确的系统设计框架。
终端安全配置管理系统技术白皮书
终端安全配置管理系统技术白皮书国家信息中心目录第一章终端安全配置管理系统简介 (1)1.1 为什么要做终端安全配置 (1)1.2 机构如何实现机构高效的终端安全配置管理 (2)1.3 终端安全配置管理系统技术优势 (3)第二章终端安全配置管理系统逻辑结构 (5)第三章终端安全配置管理系统功能 (7)第四章终端安全配置基线介绍 (9)4.1 基线概述 (9)4.2 终端硬件安全配置 (9)4.3 终端软件安全配置 (10)4.4 终端核心安全配置 (11)第五章系统应用方案 (14)5.1 应用架构 (14)5.2 实施流程 (16)5.3 运行环境要求 (16)第六章技术支持服务 (18)附录一W INDOW7操作系统安全配置清单(示例) (19)附录二国家信息中心简介 (24)i第一章终端安全配置管理系统简介1.1 为什么要做终端安全配置在构成信息系统的网络、服务器和终端三要素中,对终端的攻击和利用终端实施的窃密事件急剧增多,终端安全问题日益突显。
攻击和窃密是终端安全的外部原因,计算机系统存在缺陷或漏洞、系统配置不当是终端安全的内部原因。
外因通过内因起作用,内因是决定因素。
据调查,针对系统核心的攻击中,5%是零日攻击,30%是没有打补丁,65%是由于错误的配置。
因此正确的安全配置才是保障终端安全性的必要条件。
计算机终端核心配置最早由美国联邦政府提出,称为联邦桌面核心配置计划(FDCC)。
该计划由美国联邦预算管理办公室(OMB)负责推动,旨在提高美国联邦政府计算机终端的安全性,并实现计算机管理的统一化和标准化。
美国空军最先实施桌面标准配置并取得了良好的应用效果。
2007年,美国联邦政府强制规定所有使用Windows的计算机必须符合FDCC的配置要求。
近年来,我国逐步认识到终端安全配置管理对于加强计算机终端安全保障工作的重要作用,对美国联邦政府实施的桌面核心配置进行了跟踪研究,并开展了我国终端安全配置标准的研制工作。
盈高多维终端安全管理平台产品说明书
MSEP多维终端安全管理平台产品说明杭州盈高科技有限公司杭州市教工路552号杭州国际服务外包示范基地301室电话:+86571-传真:+86571-MSEP多维终端安全管理平台产品说明版权声明本文中的所有内容及格式的版权属于杭州盈高科技有限公司(以下简称盈高科技)所有,未经盈高科技许可,任何人不得仿制、拷贝、转译或任意引用。
版权所有不得翻印2007盈高科技公司商标声明本文中所谈及的产品名称仅做识别之用。
手册中涉及的其他公司的注册商标或是版权属各商标注册人所有,恕不逐一列明。
盈高多维终端安全管理平台信息反馈目录一产品的安全策略随着网络技术的广泛应用,各种网络环境中的安全问题正威胁着用户的正常工作,目前边界安全技术及产品已非常成熟,从2003-2006年的网络安全情况来看,尽管大多数用户采用了专门的网络通道技术、物理隔离技术、安全网段划分、安全防护设施(如防火墙、入侵检测、漏洞扫描)等方式保证自己的网络安全,但是,对类似下面的安全问题仍然无法做到真正意义上的解决:如何防范频繁出现的内部攻击?如何及时发现桌面设备的系统漏洞并最快自动分发补丁;如何规范、方便、有效、安全地管理移动存储设备的日常使用,如何确保没有登记的移动存储设备无法在内部网络正常使用?如何防范用户绕过防火墙等边界防护设施,直接联入外网带来的严重安全隐患的行为?如何确保需控制的岗位严格执行上班时间不允许炒股、玩游戏、聊天等管理制度?如何为每台终端设备加固安全策略,减少日常用户使用的安全事故?如何快速有效的定位网络中病毒、黑客的引入点,快速、安全的切断安全事件发生点和相关网络。
如何控制外来笔记本电脑以及其它移动设备的随意接入问题?如何有效管理计算机设备资源,确保资产的不丢失?如何优化IT运行维护流程,降低运维成本?为保证移动办公用户的安全,防御未知的黑客攻击、内部攻击、内部信息泄露,以及加强每一台内网设备的安全策略,解决安全问题是迫在眉睫的!盈高科技为解决以上问题,定制了一整套安全解决方案,并推出了“MSEP 多维终端安全管理平台”。
盈高多维终端安全管理平台MSEP
盈⾼多维终端安全管理平台MSEP盈⾼多维终端安全管理平台MSEP⾏业案例分析秉承“完全您的终端安全”的管理思想,盈⾼多维终端安全管理平台MSEP在电⼒、⾦融、政府和卫⽣⾏业建设了众多的成功案例,特⾊化的提供了●⼀套完整的安全管理模式;●⼀体化的终端安全管理模块;●⼀个循序优化的安全管理模型。
给予客户以更优质的终端安全管理体验!1典型客户1.1电⼒⾏业●⾈⼭市电⼒局●鄞州供电局●奉化供电局●宁海供电局●临海供电局●平湖供电局●海盐供电局●龙游供电局●余姚供电局●义乌供电局●东阳供电局●浦江供电局●萧⼭供电局●富阳供电局●临安供电局●…1.2⾦融业●中国进出⼝银⾏杭州分⾏●中国银监会浙江省监管局●华夏银⾏杭州分⾏●⼴发银⾏杭州分⾏●中信实业银⾏杭州分⾏●…1.3政府⾏业●公安部第三研究所●北京市监狱管理局及下属分局●江苏省⽆线电管理局●江都市国⼟资源局●贵州省审计厅●新疆⼈事厅●重庆市⾼级⼈民法院●宁波市中级⼈民法院●临海市⼈民检察院●温岭市⼈民检察院●嵊州⼈民检察院●临安⼈民检察院●椒江⼈民检察院●…1.4卫⽣⾏业●浙江⼤学医学院附属第⼆⼈民医院(三甲)●浙江医院(三甲)●浙江⼤学医学院附属妇产科医院(三甲)●浙江⼤学医学院附属⼉童医院(三甲)●湖州98医院●桐庐第⼀⼈民医院●上虞市⼈民医院●浙江衢化医院●五云⼭疗养院●南京同仁医院●南京⿎楼医院●南京医科⼤学第⼆附属医院●…1.5其他●杭州⽂⼴集团●宁波雅⼽尔集团●浙江新和成股份有限公司●浙江鑫福控股集团有限公司●北京银泰集团●浙江卡森集团●露笑集团●湖南湘煤集团●…案例介绍-:综合性政府该综合性政府建设党政机关信息⽹、OA办公、门户⽹站等业务系统不下40个,下属接⼊单位近200个。
根据《浙江省信息安全等级保护管理办法》(省政府223号令,⾃2007年1⽉1⽇起施⾏),以及内⽹实际安全要求,迫切需求点为:⽹络边界管理及准⼊控制终端⽤户的统⼀⾝份认证终端⾏为的安全可控⽹络终端的安全策略实施经过详细选项对⽐,在分析众多⽹络及安全⼚商⽅案之后,最终选定INFOGO MSAC 作为解决⽅案。
ASM盈高入网规范管理系统技术白皮书
第一章 前言
某市综合性政府建有贯通下属六个区县的电子政务网,各个区县都有信息管理员,
总共 7000 多个终端分布在全市各个地方,管理维护成本很大,终端成为了安全最薄弱
的环节。他们经常碰到这样安全管理困惑:不知道接入网络的机器到底有多少台?网络
中有很多的没有安装防病毒软件或病毒库很久都没更新的机器接入;各个单位的网络环
-2-
© 2010 盈高科技
ASM 盈高入网规范管理系统技术白皮书
4.2.8 集成多种入网强制技术,兼容各家网络设备,具有良好的网络适应性 .18 4.2.9 基于角色的动态授权,更好解决内网区域布控和访问控制问题 .............18 4.2.10 灵活的特殊例外设备处理,确保项目建设快速推进 ................................18 4.2.11 来宾管理,解决来宾上网的同时保护用户内网资源 ................................18 4.2.12 端点与网络集中管理相结合,一改“单点防御、分散管理”的局面 ....19 4.2.13 实名制日志审计报表,可以对网络各项规范执行情况了如指掌 ............19 4.2.14 及时的报警响应,让管理员随时掌握网络边界安全动态 ........................19 4.3 ASM 应用场景 ...........................................................................................................19 4.3.1 局域网接入安全防护.....................................................................................20 4.3.2 关键区域数据保护.........................................................................................20 4.3.3 用户总部入口安全防护.................................................................................20 4.3.4 用户分支出口安全防护.................................................................................20 第五章 总结...................................................................................................................................21
盈高多维终端安全管理平台产品说明书范本
MSEP 多维终端安全管理平台产品说明杭州盈高科技有限公司杭州市教工路552号杭州国际服务外包示范基地301室电话:+86571-88271902传真:+86571-56839385MSEP多维终端安全管理平台产品说明版权声明本文中的所有内容及格式的版权属于杭州盈高科技有限公司(以下简称盈高科技)所有,未经盈高科技许可,任何人不得仿制、拷贝、转译或任意引用。
版权所有不得翻印© 2007盈高科技公司商标声明本文中所谈及的产品名称仅做识别之用。
手册中涉及的其他公司的注册商标或是版权属各商标注册人所有,恕不逐一列明。
盈高®多维终端安全管理平台信息反馈目录一产品的安全策略 (3)二、多维终端安全管理平台的特色 (4)◆实时风险展示,随时了解状况 (4)◆全面安全检查,规避安全漏洞 (4)◆多种报警方式,查询形象直观 (5)◆缺陷自动修复,减少人工干预 (6)◆无任何网络改造,避免网络影响 (6)◆多种部署方式,降低部署成本 (7)◆深入系统内核,确保终端稳定和兼容性 (8)◆整体代码优化,减少终端资源消耗 (9)三、产品的安全目标和外部接口说明 (10)四、产品设计原则与架构 (12)4.1.整体方案设计原则 (12)4.2.统一的集成化融合管理平台 (13)4.3.系统架构说明 (14)五、产品的功能特点 (15)5.1.集合资产配置管理与安全加固管理于一体 (15)5.2.统一定制、强制执行的安全策略管理 (16)5.3.集中管理的主机防火墙 (16)5.4.补丁管理系统 (16)5.5.“主动式”安全策略防御体系 (17)5.6.桌面设置及运维 (17)5.7.杀毒软件版本检测 (17)5.8.全面的资产管理 (17)5.9.软件分发与安装 (18)5.10.黑白进程管理 (18)5.11.网站访问安全控制 (18)5.12.违规外联 (18)5.13.便捷的远程维护 (19)5.14.强大的外设监控功能 (19)5.15.安全检查及加固管理 (19)5.16.弱口令检查功能 (21)5.17.可信移动存储设备监控 (21)5.18.客户端资源运行管理 (22)5.19.网络流量安全管理 (23)5.20.反ARP欺骗安全管理 (23)六、产品系统特点 (25)6.1.友好的用户WEB界面,易于部署迅速实施 (25)6.2.模块化系统功能,真正提供所需服务 (25)6.3.具有较高的系统性能 (25)6.4.实时性 (26)6.5.易用性 (26)6.6.安全性 (26)6.7.支持完善、安全的用户管理与认证机制 (26)6.8.面向终端用户的完全透明性 (26)6.9.基于开源平台,无任何知识产权风险 (27)七、产品的安全功能相关的术语及定义说: (28)一产品的安全策略随着网络技术的广泛应用,各种网络环境中的安全问题正威胁着用户的正常工作,目前边界安全技术及产品已非常成熟,从2003-2006年的网络安全情况来看,尽管大多数用户采用了专门的网络通道技术、物理隔离技术、安全网段划分、安全防护设施(如防火墙、入侵检测、漏洞扫描)等方式保证自己的网络安全,但是,对类似下面的安全问题仍然无法做到真正意义上的解决:◆如何防范频繁出现的内部攻击?◆如何及时发现桌面设备的系统漏洞并最快自动分发补丁;◆如何规范、方便、有效、安全地管理移动存储设备的日常使用,如何确保没有登记的移动存储设备无法在内部网络正常使用?◆如何防范用户绕过防火墙等边界防护设施,直接联入外网带来的严重安全隐患的行为?◆如何确保需控制的岗位严格执行上班时间不允许炒股、玩游戏、聊天等管理制度?◆如何为每台终端设备加固安全策略,减少日常用户使用的安全事故?◆如何快速有效的定位网络中病毒、黑客的引入点,快速、安全的切断安全事件发生点和相关网络。
【VIP专享】DSM桌面管理系统
DSM桌面管理系统盈高多维终端安全管理平台概述 盈高多维终端安全管理平台(英文名Infogo Multi-Security Endpoint Platform,简称MSEP),由资产安全、应用安全、补丁安全、远程维护、安全检查及加固、外联安全、移动介质管理、网络安全、行为审计共9个模块组成。
系统通过Web方式对整个系统进行应用策略配置、下发,管理网络和查询报警数据,客户端接收到策略后自动执行并上报相关信息,方便管理员操作,不影响用户日常办公;支持基于局域网、广域网的国家、省、市、县多级级联管理模式;真正做到对内部网络的完全管理,强化网络管理员对计算机终端的控制。
产品特色1.提供优化的、经实践的从客户端注册-检测管理-智能修复的全周期管理平台。
2.支持各种复杂网络的部署-局域网、NAT转换网络、多级网络、VPN接入、多个VLAN垮广域网组网等3.终端安全风险量化管理,按照等级保护指导方针,将终端安全风险评估参数化,实现了终端风险的量化管理。
性能特色1.支持5级以上级联和30个以上区域扩展2.单中心服务器支持15000个以上终端3.客户端支持Windows 2000、XP、VISTA和Windows 74.兼容市面上主流的防病毒及防木马软件5.客户端不监听通信端口,自动穿透主流桌面防火墙。
二、功能资产安全更方便快捷多样化查询,确保您的资产更安全1、资产全周期管理实现资产管理过程中资产领用、资产维修、资产变更、资产报废等各阶段的无缝衔接,有效提高资产维护、报表结算及时性和准确率,保证网络建设和网络维护中资产的高效运行。
2、硬件设备信息统计能对当前网络中所有终端的硬件信息自动统计并生成详细、实用的资产报表,减少了管理员的工作量,提高了工作效率。
3、软件资产统计可以自动收集分析终端计算机安装的软件信息,并可以通过多种条件进行查询和统计。
4、设备标签管理支持自定义设备标签格式规范,可以分类定义设备定置号并打印标签。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
盈高TM多维终端安全管理平台技术白皮书INFOGO M util-dimensional S ecurity E ndpoint management P latformVer 2009.0819版权声明:本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属盈高科技所有,并受到有关产权及版权法保护。
任何个人、机构未经盈高科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。
商标:盈高、INFOGO是盈高科技的注册商标,未经允许,不得引用。
目录1 建设内网终端安全管理平台的迫切性 (3)1.1 内网安全管理实际需求 (3)1.2 信息系统等级保护要求 (4)1.3 萨班斯法案及内控规范要求 (4)2 内网终端安全管理产品的选择标准 (4)2.1 全周期管理标准 (4)2.2 功能完整性标准 (4)2.3 可靠性、可管理性和可扩展性标准 (4)3 盈高TM多维终端安全管理平台MSEP介绍 (5)3.1 产品定位 (5)3.2 体系架构 (5)3.3 系统功能 (5)3.3.1 MSAC多维安全准入控制套件 (6)3.3.2 DSM桌面管理套件 (7)3.3.3 ITAM资产生命周期管理套件 (10)3.3.4 MSM移动存储介质管理套件 (11)3.4 系统部署 (12)4 盈高TM多维终端安全管理平台MSEP主要特点与优势 (13)4.1 更专业的安全准入控制 (13)4.2 完备的系统安全性检查 (13)4.3 全方位、细粒度行为审计 (14)4.4 独有的内网补丁管理模式 (14)4.5 灵活多样的统计报表 (14)4.6 多种、多级的告警模式 (14)4.7 深入系统内核,确保终端稳定和兼容性 (14)5 结论 (15)1 建设内网终端安全管理平台的迫切性在信息安全日益受到重视的今天,网关型安全产品已经较为普及,而内网安全管理却普遍存在漏洞,安全事件层出不穷,给政府、企业带来了巨大的损失。
而随着等保的逐步推进,以及萨班斯法案及内控要求的不断提升,内网安全在如下三方面存在建设的迫切性:1.1内网安全管理实际需求虽然各单位已经制定了相应的管理制度,并部署实施一些相关系统,但由于某些系统不能从“身份认证-安全检查-准入控制-行为审计-策略管理”几个环节形成一套有效的综合管理平台,导致如下方面存在漏洞:(一)不能真正有效的进行入网控制,导致:非法设备入网,试图窃取内部信息;合法设备带毒入网,在内网上不断传播病毒;对存在缺陷的终端无法及时提醒、隔离,易成为外部威胁的跳板;(二)传统桌面管理需求:如何及时发现桌面设备的系统漏洞并最快自动分发补丁;如何实时评估终端健康状态,满足企业管理要求(如安装反病毒软件等);如何确保终端用户行为受控,并能做到事先预防、事中控制和事后审计;如何快速分发软件,快速批量更改系统设置;如何做到快速的远程支持,不到现场,胜似现场;(三)移动介质管理需求:如何对移动介质进行有效管理,防止U盘交叉使用、防止U盘摆渡木马和病毒传播、杜绝U盘泄密;(四)全面资产管理需求:如何实时了解全网的软硬件清单,并实时更新;如何从物资采购接收入库开始,对接入网络、日常维护、一直到报废的整个资产的生命周期进行跟踪管理;如何将资产管理涵盖资产领用、批准接入网络、资产维修、资产变更、资产借用、资产报废等资产管理的全过程,1.2信息系统等级保护要求等级保护明确规定,从技术和管理两个方面入手共同完成信息系统的安全保护。
与内网安全相关主要涵盖了边界完整性检查、主机身份鉴别、访问控制、安全审计、资产管理、介质管理、监控管理、恶意代码防范和系统安全管理等方面。
1.3萨班斯法案及内控规范要求按萨班斯法案信息安全提出了四项IT解决方案:一是针对网络准入控制;二是针对补丁管理;三是针对配置管理;四是终端所遵从的一些检查。
因此,部署内网终端安全管理平台是当前安全管理的迫切要求!2 内网终端安全管理产品的选择标准作为最终用户,选择合适的内网终端安全管理产品须结合自身单位的性质、安全要求、实际需求和网络状况,因此,一个完善的内网安全管理产品应满足以下几方面的要求:2.1 全周期管理标准满足一体化的从“准入控制-行为审计-安全策略管理”的全周期管理原则;内网管理涵盖了从用户入网、内网行为可控、安全策略部署等整个业务流程,不能遗漏;2.2 功能完整性标准在功能上,不仅提供传统桌面管理功能,还应在最重要的几部分,如安全准入、移动存储和资产管理方面,提供真正稳定、可靠和有效的功能模块。
2.3 可靠性、可管理性和可扩展性标准系统是一个整体平台,支持大规模部署,多级级联,安全策略灵活设置;系统业务功能模块独立设计,使得功能扩展易于实现;在性能上,平台核心稳定可靠,客户端应具有较好的兼容性和稳定性;3 盈高TM多维终端安全管理平台MSEP介绍3.1 产品定位盈高TM多维终端安全管理平台MSEP,是专为政府、电力、金融、运营商、卫生、能源等大型企事业单位而研发的内网安全管理系统。
3.2 体系架构盈高TM多维终端安全管理平台MSEP以客户真实业务管理流程为核心,采用SOA的设计思想,多层次、可堆叠模块融合而成的管理平台,主要包括MSEP-SPC 安全策略管理中心(软件)、MSEP-AMC安全准入控制中心(硬件)和MSEP-SCA 安全客户端代理(软件)。
3.3 系统功能盈高TM多维终端安全管理平台MSEP,由MSAC安全准入套件、ITAM资产管理套件、DSM桌面套件和MSM移动存储介质管理套件四个套件组成。
3.3.1 M SAC 多维安全准入控制套件模块功 能 项 功 能 价 值MSAC 多维安全准入控制套件用户身份认证 MSAC 从接入层对访问的用户进行最小授权控制,根据用户身份严格控制用户对内部网络访问范围,确保企业内网资源安全。
终端完整性检查 通过身份认证的用户还必须通过终端完整性检查,查看连入系统的补丁、防病毒等功能是否已及时升级,是否具有潜在安全隐患。
终端安全隔离与修补MSAC 对通过身份认证但不满足安全检查的终端不予以网络接入,并强制引导移至隔离修复区,提示用户安装有关补丁、杀毒软件、配置操作系统有关安全设置等。
非法终端网络阻断 MSAC 能及时发现并阻止未授权终端对内网资源的访问,降低非法终端对内网进行攻击、窃密等安全威胁,从而确保内部网络的安全。
接入强制技术MSAC 支持多种网络接入强制技术,如: 802.1X 、DNS 代理、防火墙、CISCO EOU 、H3C Portal 、VPN 等,实现从网络层到系统层接入的全面、深度控制,有效拒绝未知设备接入。
3.3.2 D SM 桌面管理套件模块功 能 项 功 能 价 值DSM 非法外联监控终端违规外联检测 通过策略检查、控制内网用户违规外网连接行为,包括终端违规连接互联网、终端同时连接了内网和互联网等方式终端违规行为检测通过安全策略实时检测、发现内网中以拨号、双网卡、无线、代理等方式企图连接外部网络的行为,并及时通知管理员。
DSM 终端安全检查及加固桌面安全性评估 MSEP 通过检查终端系统用户密码安全性、用户是否开启了非法共享、用户是否有运行高风险的服务等等,以帮助用户评估当前系统配置的整体安全性。
防病毒软件管理 MSEP 通过检测判断终端计算机上是否安装有防病毒软件及其病毒库日期、病毒日志报表等信息,以限定终端计算机访问权限,从而确保整个内网的安全。
终端用户变换审计 实时监控终端计算机上系统用户的变化(如添加/删除用户),对未授权的用户操作行为进行及时的告警。
软件和启动项管理 MSEP 实时监控终端上已安装软件列表、自启动程序列表,对未经授权的非法操作以提示用户、向管理员告警、禁止安装/删除等方式全面管理。
系统注册表管理为防止员工通过修改注册表键值来更改网络或计算机的属性,MSEP 提供对注册表锁定,以禁绝员工随意修改网络或计算机的属性,造成不可预测的信息安全事故。
网络端口通信审计 有效的防止外来计算机非法侵入公司内部网络,MSEP 可根据需要灵活的设置策略,限定外来计算机跟网内计算机的通讯方向。
网络共享管理 员工往往因为工作需要设置共享文件夹,然而,共享文件很容易被别有用心的员工或外来计算机窃取,避免网络共享泄密和网络病毒传播。
临时文件清理 通过对终端临时文件进行清理,包括最近访问的文档、上网历史记录、用户临时文件夹、回收站、office 临时文件等,以优化终端系统性能,提高员工的工作效率。
D S M 用户行为管理 文档操作管理 详细记录每个员工在本机上操作过的文件,防止非法从电脑硬盘等其它存储设备中新建、修改、拷贝、移动、删除等操作,可以有效的管理企业内部机密文档。
邮件收发管理 实现邮件收发的有效审计和管理,防止公司关键信息以邮件的方式非法泄密,提供事后追根溯源。
打印行为管理 通过策略严格控制用户文档打印行为的审核,从而节约打印成本,防止机密资料以纸质文件的方式泄密。
上网行为统计管理 实时记录终端计算机访问过那些网站,并以饼状、表单等图表方式形象的展现统计结果、访问量排行。
D S M 网络安全管理网络流量管理 针对不同用户或一个组内的用户,实现不同网段、不同端口的流量分配控制,以有效的管理内网带宽、优化网络及业务系统高效运作。
网络异常检测 通过对全网ARP 包、网络流量、TCP 连接数的检测来判断内部网络是否出现异常,以便判定是否有未知病毒存在。
反ARP 欺骗帮助管理员发现并定位进行ARP 欺骗的病毒源,并对有ARP 攻击的终端设备进行断网隔离。
桌面防火墙MSEP 提供简洁、实用的桌面防火墙功能,以方便管理员对终端的全面有效管理,防止黑客、木马病毒对内网的渗透、破坏。
网站黑白名单管理 提供以黑白名单模式对违规的网络行为在事前做到有效控制,方便管理者对员工上网行为进行监控和管理。
I P 与MAC 地址绑定 防止员工随意更改IP 地址,造成内网经常性IP 冲突,减轻管理员在IP 资源管理方面的工作压力。
D S M 终端运维管理系统设置管理 帮助管理人员防止用户自行修改网络属性、IE 属性等设置,杜绝由于用户的更改操作对计算机安全造成影响或引入安全风险。
远程维护管理 管理员可以通过控制台来维护员工的电脑,包括软件的安装、修改、进程的管理等,提高工作效率、节省管理成本。
终端漏洞自动分析 系统可以自动对终端计算机上存在的安全漏洞进行检测,并将检测结果上报到服务器,以帮助用户评估内网安全威胁。
远程控制、协助 方便管理员对网内计算机进行远程维护,同时支持异地远程维护,实现了跨区域分支机构的集中管理和控制。
终端用户屏幕查看 远程查看当前用户终端屏幕,方便管理员对用户行为的远程巡视,并在发现违规行为时能够及时纠正。