北信源网络接入控制系统管理系统白皮书v3.0

1公司简介北京北信源软件股份有限公司创立于1996年，注册资金5000万，是中国第一批自主品牌的信息安全产品及整体解决方案供应商，中国终端安全管理领域的市场领导者。

北信源总部位于北京，下设多个全资子公司及北京、南京两个研发中心。

拥有近500名信息安全专业研发、咨询与服务人员，构建了全国七大区、近三十个省市的营销与服务网络，为用户提供业界领先的产品与服务。

十几年来，北信源致力于信息安全技术的研究与开发，在业内屡创佳绩，成果斐然。

曾革命性推出中国首款桌面安全管理产品，开启“桌面安全管理”技术革新之先河，并迅速做到国内销量第一；前瞻性推出了面向个人用户的数据安全产品—数据装甲，引领进入“全民数据安全”新时代；证券安全监控系统在国内券商使用率中也曾排行第一。

作为公司的产品核心：面向网络空间的终端安全管理体系--VRV SpecSEC是国内第一个面向网络空间的终端安全管理体系。

体系遵循安全产品符合性开发、基于策略的终端安全配置、评估为准的终端安全管理、组件化终端安全管理四大核心理念，并首次将受控云技术运用于终端安全体系和产品中，完整覆盖准入控制、补丁分发、介质管理、数据安全、安全审计、安全检查、行为管控、桌面管理、管理平台等全方位、多层次、立体化的网络空间终端安全各个层面。

作为中国终端安全管理领域的市场领导者，北信源终端安全管理产品在中国终端安全管理市场占有率连续五年保持第一（数据来源：CCID）。

产品覆盖政府、国防、军队军工、公安、金融、能源、通信、交通、水利、教育等重要行业，用户涉及各行业数千家单位，连续多年入围中央政府采购，成功部署数千万终端。

北信源公司在业界屡获殊荣，荣获国务院颁发的国家科学技术进步二等奖、部级科技进步奖等多项荣誉。

在标准制定、重大专项等方面积极配合政府行动，同国家政府部门、国内顶级院校、国际顶级IT厂商长期保持战略合作关系，公司现已成功打造信息安全知名品牌“北信源”、“VRV”。

北信源网络接入控制管理系统产品白皮书北京北信源软件股份有限公司版权声明本手册的所有内容，其版权属于北京北信源软件股份有限公司（以下简称北信源公司）所有，未经北信源许可，任何人不得仿制、拷贝、转译或任意引用。

本手册没有任何形式的担保、立场倾向或其他暗示。

商标声明本手册中所谈及的产品名称仅做识别之用，而这些名称可能属于其他公司的注册商标或是版权，其他提到的商标，均属各该商标注册人所有，恕不逐一列明。

产品声明本手册中提到的产品功能或性能可能因产品具体型号、配备环境、配置方法不同而有所差异，由此可能产生的差异为正常现象，相关问题请咨询北信源公司技术服务人员。

免责声明若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失，北信源公司及其员工均不承担任何责任。

目录1.系统概述 (4)2.系统架构 (4)3.系统组成 (6)3.1.策略服务器 (6)3.2.认证客户端 (6)3.3.Radius认证服务器 (7)3.4.Radius认证系统 (7)3.5.硬件接入网关（可选配） (8)4.系统特性 (8)4.1.全面的安全检查 (8)4.2.技术的先进性 (8)4.3.功能的可扩展性 (8)4.4.系统可整合性 (9)4.5.无缝扩展与升级 (9)5.系统功能 (9)5.1.准入身份认证 (9)5.2.完整性检查功能 (10)5.3.安全修复功能 (10)5.4.管理与报表 (11)5.5.终端安全策略设置 (12)6.典型应用 (13)6.1.802.1x环境应用 (13)6.2.非802.1x环境应用 (14)6.3.VPN环境应用 (15)6.4.域环境应用 (15)1.系统概述北信源网络接入控制管理系统能够强制提升企业网络终端的接入安全，保证企业网络保护机制不被间断，使网络安全得到更有效提升。

与此同时，还可以对于远程接入企业内部网络的计算机进行身份、唯一性及安全认证。

通过网络安全准入控制不仅能够将终端设备接入控制扩展到超出简单远程访问及路由器、专有协议和已管理设备的限定之外，还能够覆盖到企业网络的每一个角落，甚至是当使用者的移动设备离开企业网络时，仍能有效的提供终端设备接入控制的执行。

北信源主机监控审计系统产品白皮书北京北信源软件股份有限公司版权声明本手册的所有内容，其版权属于北京北信源软件股份有限公司（以下简称北信源公司）所有，未经北信源许可，任何人不得仿制、拷贝、转译或任意引用。

本手册没有任何形式的担保、立场倾向或其他暗示。

商标声明本手册中所谈及的产品名称仅做识别之用，而这些名称可能属于其他公司的注册商标或是版权，其他提到的商标，均属各该商标注册人所有，恕不逐一列明。

产品声明本手册中提到的产品功能或性能可能因产品具体型号、配备环境、配置方法不同而有所差异，由此可能产生的差异为正常现象，相关问题请咨询北信源公司技术服务人员。

免责声明若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失，北信源公司及其员工均不承担任何责任。

1.产品概述北信源公司是一家长期专注于信息安全领域的高科技企业，是中国领先的终端安全管理产品及解决方案供应商。

北信源公司提供的安全管理产品及解决方案具有典型的行业代表性和技术领先性，多年占据市场领先地位，可有效的解决由于终端管理不善引发的各种安全问题，为用户建立可控的安全管理平台，提升用户的安全形象。

主机监控审计系统是北信源公司在多年潜心研究终端安全管理的技术基础上，专门针对终端数据安全、行为审计、访问控制研发出的一款安全管理产品，是北信源公司全方位、立体化安全管理体系的重要组成部分。

产品遵循网络防护与端点防护并重理念，从终端状态、行为、事件三个方面来进行防御，有效防止终端通过各种途径主动、被动泄密，形成了对终端、终端应用、终端操作者、终端使用单位等多方位的管理体系，构筑了终端信息安全保密的钢铁长城。

2.产品结构北信源主机监控审计系统由7部分组成：WinPcap程序、SQL Server管理信息库、Web中央管理配置平台、区域管理器、客户端注册程序、管理器主机保护模块、报警中心模块。

1.WinPcap程序：嗅探驱动软件，监听共享网络上传送的数据。

解决方案_北信源内网安全管理系统解决方案v2.0_北信源1北信源内网终端安全管理系统解决方案北京北信源软件股份有限公司目录1.前言(3)1.1.概述(3)1.2.应对策略(4)2.终端安全防护理念(5)2.1.安全理念(5)2.2.安全体系(6)3.终端安全管理解决方案(7)3.1.终端安全管理建设目标(7)3.2.终端安全管理方案设计原则(7)3.3.终端安全管理方案设计思路(8)3.4.终端安全管理解决方案实现(10)3.4.1.网络接入管理设计实现(10)3.4.1.1.网络接入管理概述(10)3.4.1.2.网络接入管理方案及思路(10)3.4.2.补丁及软件自动分发管理设计实现(15) 3.4.2.1.补丁及软件自动分发管理概述(15)3.4.2.2.补丁及软件自动分发管理方案及思路(15) 3.4.3.移动存储介质管理设计实现(19)3.4.3.1.移动存储介质管理概述(19)3.4.3.2.移动存储介质管理方案及思路(20)3.4.4.桌面终端管理设计实现(23)3.4.4.1.桌面终端管理概述(23)3.4.4.2.桌面终端管理方案及思路(24)3.4.5.终端安全审计设计实现(36)3.4.5.1.终端安全审计概述(36)3.4.5.2.终端安全审计方案及思路(36)4.方案总结(42)1.前言1.1. 概述随着信息化的飞速发展，业务和应用逐渐完全依赖于计算机网络和计算机终端。

为进一步提高单位内部的安全管理与技术控制水平，必须建立一套完整的终端安全管理体系，提高终端的安全管理水平。

由于单位内部缺乏管理手段，导致网络管理人员对终端管理的难度很大，难以发现有问题的电脑，从而计算机感染病毒，计算机被安装木马，部分员工使用非法软件，非法连接互联网等情况时有发生，无法对这些电脑进行定位，这些问题一旦发生，往往故障排查的时间非常长。

如果同时有多台计算机感染网络病毒或者进行非法操作，容易导致网络拥塞，甚至业务无法正常开展。

北信源内网安全管理系统用户使用手册北京北信源软件股份有限公司二〇一一年支持信息在北信源内网安全管理系统使用过程中，如您有任何疑问都可以通过访问我公司网站或者致电我司客服中心获得帮助和支持！热线支持：400-8188-110客户服务电话：0/86/87在您使用该产品过程中，如果有好的意见或建议的话也请联系我们的客服中心，感谢您对我公司产品的信任和支持！正文目录图目录表目录第一章概述特别说明北信源终端安全管理系列产品由《北信源内网安全管理系统》、《北信源补丁及文件分发管理系统》、《北信源主机监控审计系统》、《北信源移动存储介质使用管理系统》、《北信源网络接入控制管理系统》及《北信源接入认证网关》6大套件构成。

本手册内容将随着北信源软件的不断升级而改变(以光盘中电子版发行时为最新版)，恕不另行通知。

需要者请从北信源公司网站下载本手册的最新电子版或者直接联系北信源公司索取。

本手册与本系统的安装配置手册中的所有图片均为示意图，请以实际产品为准。

本使用手册为北信源终端安全管理系列产品通用说明书。

若您独立购买《北信源内网安全管理系统》或《北信源补丁及文件分发管理系统》等其中之一产品，本说明书的其它功能将不具备。

感谢您购买北京北信源软件股份有限公司研制开发的北信源终端安全管理系列产品。

请在使用本软件之前认真阅读本使用手册，当您开始使用该软件时，北信源公司认为您已经阅读了本使用手册。

产品构架北信源终端安全管理产品由8部分组成：WinPcap程序、SQL Server管理信息库（安装包：环境初始化程序）、Web中央管理配置平台（安装包：网页管理平台）、区域管理器(安装包：Region Manage，原区域扫描器已作为模块集成到区域管理器)、客户端注册程序（安装包：注册程序）、补丁下载服务器、管理器主机保护模块、报警中心模块。

环境初始化程序SQL Server管理信息库，建立北信源终端安全管理产品的初始化数据库。

初始化的信息包括：网络客户端设备属性信息、区域管理器信息、设备扫描器信息、区域管理范围信息、注册（未注册）机器信息、设备属性变化信息、报警信息等。

北信源电子文档安全管理产品技术白皮书北京北信源软件股份有限公司目录第一章产品概述........................................................................................................................ - 1 -1.1 产品背景...................................................................................................................... - 1 -1.2 产品定位...................................................................................................................... - 2 -1.3 设计理念...................................................................................................................... - 2 - 第二章产品简介........................................................................................................................ - 3 - 第三章系统架构........................................................................................................................ - 4 -3.1 系统架构概述.............................................................................................................. - 4 -3.2 系统架构...................................................................................................................... - 4 -3.2.1 企业内网构架.................................................................................................... - 4 -3.2.2 广域网构架........................................................................................................ - 5 - 第四章产品功能与特点............................................................................................................ - 6 -4.1文档生命期全程保护................................................................................................... - 6 -4.2 安全策略制定.............................................................................................................. - 7 -4.2.1 自定义密钥........................................................................................................ - 7 -4.2.2 进程指纹识别.................................................................................................... - 7 -4.2.3 可信进程策略.................................................................................................... - 8 -4.2.4 自定义的身份认证............................................................................................ - 9 -4.2.5 邮件自动解密策略.......................................................................................... - 10 -4.3 密级管理.................................................................................................................... - 11 -4.4 策略授权加密............................................................................................................. - 11 -4.5 主动授权.................................................................................................................... - 12 -4.5.1 文档授权.......................................................................................................... - 12 -4.5.2 加密文档外发（离线授权）.......................................................................... - 13 -4.6 文件集中安全保护.................................................................................................... - 14 -4.7 全程操作审计............................................................................................................ - 15 -4.5.1 文档授权审计.................................................................................................. - 15 -4.5.2 授权访问审计.................................................................................................. - 16 -4.5.3 文档操作审计.................................................................................................. - 16 -4.5.4 文档打印审计.................................................................................................. - 16 -4.5.5 文档管理用户登录审计.................................................................................. - 16 -4.5.6 权限申请审计.................................................................................................. - 17 -4.8 审批管理.................................................................................................................... - 17 -4.8.1 用户申请权限审批.......................................................................................... - 17 -4.8.2 文档解密权限审批.......................................................................................... - 17 -4.9 用户管理.................................................................................................................... - 18 -4.10 文档备份与归档...................................................................................................... - 18 -4.11 水印信息跟踪技术.................................................................................................. - 18 -4.12 软件系统安全保护技术.......................................................................................... - 18 -4.13 支持所有操作系统.................................................................................................. - 19 -4.14 与北信源内网安全系统完美结合.......................................................................... - 19 - 第五章关键技术...................................................................................................................... - 19 -5.1 驱动层透明加密........................................................................................................ - 19 -5.2 驱动层文档控制技术................................................................................................ - 21 - 第六章典型案例...................................................................................................................... - 21 -第一章产品概述1.1 产品背景随着互联网在中国的高速发展，越来越多的中国企业进入了信息化办公时代。