LanSecS内网安全管理系统V7.0技术白皮书
LanSecS?内网安全管理系统(V7.0)
技
术
白
皮
书
北京圣博润高新技术股份有限公司
2011年
目录
1.产品简介 (1)
2.产品架构 (2)
2.1.终端监控引擎 (2)
2.2.总控中心 (2)
2.3.管理控制台 (3)
2.4.系统数据库 (3)
3.产品功能 (4)
3.1.终端运维管理 (4)
3.2.终端安全加固 (5)
3.3.终端主机准入控制 (5)
3.4.移动存储介质管理 (7)
3.5.终端安全审计 (8)
4.产品性能 (9)
4.1.总控中心性能 (9)
4.2.终端监控引擎性能 (9)
4.3.产品性能指标 (10)
4.4.自身安全性 (10)
5.产品部署 (11)
5.1.产品形态 (11)
5.2.部署模式 (11)
5.2.1.本地部署 (11)
5.2.2.分级部署 (12)
1.产品简介
LanSecS?内网安全管理系统V7.0版是一款定位于为政府和企业用户提供集中的终端(桌面)综合安全管理的桌面管理产品。系统通过对计算机准入控制、计算机安全加固、计算机运行维护、计算机安全审计、移动存储介质注册等多个方面的综合管理,为政府和企业用户打造一个安全、可信、规范、健康的内网环境。
LanSecS?内网安全管理系统V7.0版是北京圣博润高新技术股份有限公司(以下简称圣博润)一个里程碑式的、战略性的产品版本,该版本通过对用户需求的持续跟踪使得产品功能进一步丰富,通过系统架构的优化调整使得产品性能显著提升,借助LanSecS?内网安全管理系统V7.0版的发布,圣博润公司更加明确地宣告了其专注于内网安全管理领域的决心与实力。
LanSecS?内网安全管理系统在为用户提供终端安全保护手段的同时,更加强调为用户提供便利的终端运维管理手段。集中式、人性化的终端管理能力是LanSecS?内网安全管理系统的特色之一,也是圣博润公司一直以来的努力方向。
LanSecS?内网安全管理系统的设计参考了如下国家标准:
●GB/T18336-2008 《信息技术安全技术信息技术安全性评估准则》
●GB/T22239-2008:《信息系统安全等级保护基本要求》
●MSTL_JGF_04-012《信息安全技术远程主机检测产品检验规范》
●MSTL_JGF_04-011《信息安全技术非授权外联检测产品检验规范》
●BMB15-2004《涉及国家秘密的信息系统安全审计产品技术要求》
●BMB17-2006:《涉及国家秘密的信息系统分级保护技术要求》
●BMB20-2007:《涉及国家秘密的信息系统分级保护管理规范》
●BMB22-2007:《涉及国家秘密的计算机信息系统分级保护测评指南》
●GBT 22240-2008:《信息系统安全等级保护定级指南》
●GBT 22241-2008:《信息系统安全等级保护实施指南》
2.产品架构
图1 LanSecS?内网安全管理系统架构
LanSecS?内网安全管理系统在架构设计上采用了三层管理结构:终端监控引擎、总控中心、管理控制台,
2.1.终端监控引擎
终端监控引擎以服务的形式运行于终端计算机上,是终端计算机管理的核心和基础部件,用于对被管理终端计算机的安全加固、运行维护和监测审计等管理职能。终端监控引擎可以部署在所有Windows系列操作系统上,包括Windows 2000、Windows XP、Windows 2003、Windows Vista、Windows 2008、Windows 7。
终端监控引擎的设计充分考虑了稳定性、安全性和兼容性要求。终端监控引擎可防止恶意停止,并全面兼容防病毒软件、防火墙软件、设计开发软件、业务软件、办公软件。
2.2.总控中心
总控中心用于计算机的集中管理,为终端监控引擎和管理控制台提供一系列的管理服务;由策略管理服务、审计管理服务、Radius认证服务、文件备份服务、补丁与软件分发服务、时间同步服务、网络管理服务、分级管理服务、事件订阅服务、健康状态监测服务等组成。视内网规模和性能要求,这些服务可分别部署在不同的硬件平台上,也可部署在同一个硬件平台上。
●策略管理服务:负责终端计算机策略的配置和更新。
●审计管理服务:负责接收终端监控引擎发送的审计信息与事件报警,并存储
到数据库中。
●接入认证服务:负责对接入内网的终端计算机身份和健康状况进行认证。
●文件备份服务:提供集中的文件备份。文件备份服务支持用户身份认证。
●补丁分发服务:提供补丁文件和软件的下载服务,支持FTP和HTTP两种方
式。
●时间同步服务:为终端计算机提供统一的标准时间服务,便于终端计算机的
时间管理。
●网络管理服务:提供网络拓扑扫描服务,可绘制网络的链路层拓扑。
●分级管理服务:提供分级部署环境下的分级管理。
●事件订阅服务:接受报警监控程序的事件订阅,根据订阅条件向报警监控程
序发送符合要求的报警事件,可向多个报警监控程序同时提供服务。
●健康检测服务:用于总控中心自身各服务的运行状态监控。
2.3.管理控制台
管理控制台为系统管理人员提供系统管理入口;采用BS方式进行系统管理,通过管理控制台完成全部系统管理操作。
2.4.系统数据库
系统数据库用于存储策略、信息和事件,全面支持目前主流数据库,包括:SQL Server、Oracle 、MySQL 、IBM DB2、PostGreSQL、Gbase 总控中心与数据库之间采用数据库访问中间件和网络缓存技术实现高速数据访问。通过数据库访问中间件和网络缓存,可以大大降低数据库的访问压力,提高数据的存储和访问能力。
终端监控引擎和总控中心之间采用ICE网络通讯中间件进行相互通讯。通过SSL协议对通信过程进行认证和加密,增强组件间通信的安全性。
三层管理结构大大提高了系统设计开发、安装部署和运行维护的灵活性、便利性和扩展性。
3.产品功能
3.1.终端运维管理
内网的可靠运行是业务系统可靠运行的保障,内网的可靠运行依赖于网络设备、服务器和个人终端计算机的安全运行,任何一个环节出现故障,都可能对内网的可靠性产生不可估量的冲击。
内网中主要设备是终端计算机,终端计算机的安全运行与管理对整个内网安全有至关重要。系统对终端计算机的管理采取了两种不同的安全措施:系统运行管理和系统监测。
系统运行管理方面主要包括补丁管理、主机资产管理、主机防病毒管理、系统日志管理、时间同步、消息分发及文件备份,通过系统运行管理确保终端主机以最安全的状态运行,有效地减少病毒爆发和木马泛滥带来的内网安全隐患,减少终端计算机被入侵的可能性。
系统监测方面主要包括主机性能、网络流量、健康状态、设备入网、时间同步与安全态势分析等。通过系统检测可以让管理员及时了解整个网络内终端主机的状态,针对存在的安全隐患及时采取有效措施,更好地保证内网的可靠性。
具体功能如下:
模块名称功能描述
补丁管理
可以实现Windows平台下的补丁审批、分发和补丁修复状态统计,管理、分发和自动安装Windows系列操作系统补丁和微软应用程序补丁。
资产管理
提供计算机资产自动收集、资产注册登记、资产变更管理、设备维修管理、资产查询与统计等管理。
防病毒软件管理
提供防病毒软件信息收集和状态监测功能,信息收集包括防病毒软件名称、软件版本、病毒库版本等。
系统日志管理
提供对终端计算机本地日志收集、日志集中存储、日志转储、日志清理和日志查询分析功能
时间同步
以安装有时间服务的计算机硬件时间为时间源,为内网终端计算机提供标准的Internet时间服务
消息分发提供对内网全部或者部分终端计算机的消息通知功能
软件分发
提供对内网全部或者部分终端计算机的软件分发管理。由分发管理中心、文件下载服务和终端监控引擎等组件组成
主机性能监测对终端计算机的CPU使用、内存使用和磁盘使用情况的动态监测网络流量监测对终端计算机的网络通讯流量的控制、审计和统计
健康监测与自评估
对终端计算机的安全状况的动态监测,并为终端计算机用户提供手动评估计算机安全状况的手段
设备入网监测对内网设备入网的实时发现、状态报告和阻断远程协助对终端计算机的远程监控管理和远程桌面接管等功能
文件备份
实现用户身份认证、文件备份、文件恢复、备份文件历史查询,由文件备份服务和文件备份代理组成
安全态势分析
对终端计算机安全管理数十种关键指标进行态势分析,可为用户内网环境的安全状况以及安全变化态势提供准确可靠的关键指标数据支持
3.2.终端安全加固
终端主机的安全运行是整个网络的基础,而终端主机运行参数、运行策略的稳定又是终端主机安全运行的保障,系统的具体加固措施包括如下方面:模块名称功能描述
网络参数配置对终端计算机的网络相关参数的配置和变更监控管理,包括参数绑定、参数变更监控、ARP攻击防护与IP地址保护,具有支持多个网络参数的统一配置管理、支持多个同类参数的绑定、支持IP地址范围控制等特点。
终端安全配置管理终端计算机的本地安全策略、对本地系统环境进行安全设置管理,从而实现主机运行安全策略的最优化,确保终端主机的安全管理
终端防火墙系统内置防火墙是基于NDIS的桌面防火墙,对终端计算机的访问目标进行限定,对终端计算机的网络访问进行控制。具有基于优先级的网络访问控制能力、提供网络访问审计能力、支持策略模板
终端主机准入
控制
详细见3.3
移动存储介质
管理
详细见3.4
3.3.终端主机准入控制
系统提供了“主动防护”和“动态监控”相结合的计算机准入控制机制。“主动防护”是指:第一是指在计算机接入网络之前,首先验证其身份和安全状态,以决定是否允许其接入网络;第二是指计算机接入网络后,如果要访问核心区域的资源,也必须先进行身份认证和安全认证,根据验证结果决定是否允许其访问核心区域资源。这与以往的安全思路“先接入网络,再验证其身份”相比,极大
地提高了网络的安全性。
“动态监控”是指:当计算机验证通过并接入网络后,并非该计算机就可以在接入期间不受控制地访问网络资源。系统还会动态的对接入计算机的身份和安全状态进行跟踪和检测,一旦发现身份信息和安全状态有变,即刻对其重新隔离。
终端主机准入控制功能结构如下图所示: 终端主机准入控制策略管理(802.1X)接入前控制接入层安全认证
隔 离接入后控制动态身份监测动态安全状态监测IP 通讯认证与加密修复
/
访客
/
工作否是是接入层身份认证否否 终端主机准入控制策略管理(网关认证)
接入前控制接入层安全认证隔 离接入后控制
动态身份监测
动态安全状态监测
核心区域访问认证
修复/访客/工作否是是接入层身份认证否否
图 2 准入控制(802.1X 认证)示意图 图 3 准入控制(网关认证)示意图 主机健康检查:对接入内网的计算机的安全状况进行检查
接入认证:对主机进行身份认证,系统支持用户名/口令、PKI 数字证书以及设备特征标识三种身份信息的认证方式。
主机隔离与修复:根据策略将未通过认证的主机隔离到修复区/工作区/访客区。 主机状态动态检测:对接入网络的计算机进行动态监测,监测的内容包括身份确认、安全状态确认等
IP 通讯控制:网内主机之间的通讯采用PKI 数字证书标识双方的身份,并同时对通讯数据进行加密。
内网核心区域保护:在核心资源与接入层计算机之间设置安全认证网关,代替无法细粒度认证接入计算机身份的网络设备,行使二次身份认证的使命。
准入控制部署:
● 启用接入计算机的身份认证,网络设备必须启用802.1x 协议支持;
● 启用接入计算机自动隔离和修复功能,网络设备不需启用Guest Vlan 支持。
3.4.移动存储介质管理
USB移动存储介质是目前使用最为广泛的数据交换手段。也正因为USB移动存储介质使用的广泛性,为政府和企业内网信息的安全防护带来了很大的安全隐患,如何对其进行有效的管理,成为政府、企业和信息安全产品提供商需要共同面对的问题。系统通过对移动存储介质实施注册管理,有效避免了移动存储介质的滥用,以此提高政府和企业内网信息的安全性。
移动存储介质注册管理是指将移动存储介质进行特殊处理后,在移动存储介质无法被直接访问的区域写入该移动存储介质相对应的注册信息,注册信息包括两种类型:标记信息:用于表明该移动存储介质的所有者、联系方式、管理者、所属部门等。访问控制信息:当该移动存储介质插入计算机时,依靠访问控制信息决定是否允许在计算机上使用。
根据用户管理需求的不同,系统将移动存储介质的管理分为五种管理模式:未授权移动存储介质、加密移动存储介质、多分区U盘、专用安全U盘、特权移动存储介质。注册介质的授权使用范围包括全局、部门与主机三个选项。注册介质的授权操作权限包括只读、读写与禁用、只写四种工作模式。
系统通过专用工具对各种存储介质进行注册管理,系统自带U盘资源管理器,实现对注册移动存储介质的访问与文件操作,有效地保证了移动存储介质管理的安全性。
系统采用了文件操作动态监控和审计的技术思路。当有文件在加密移动存储介质和本地磁盘进行拷贝时,系统将自动记录文件操作行为,包括访问、创建、删除、修改等。
类型说明
未授权移动存储介质
所有未在系统中进行注册管理的移动存储介质。系统默认将自动禁止其在装有终端监控引擎的计算机上使用。
加密移动存储介质经过系统加密格式化并注册的移动存储介质。
多分区U盘经过系统格式化为多个分区并注册的U盘,包括启动区、交换区、加密区、日志区,用户的访问操作权限可细化到分区。
专用安全U盘与系统配套提供的专用U盘,可格式化为多个分区,自带COS操作系统。
特权移动存储介质经系统注册并打印特权标签的移动存储介质,尤其适用于各种数码产品存储卡。
3.5.终端安全审计
任何政府部门和企业单位,均拥有自己的机密信息。这些机密信息,如果没有良好的技术防护手段,很容易发生侵害政府和企业利益的信息泄露事件。政府和企业面临的信息泄露威胁有两种:被动信息泄露和主动信息泄露。
被动信息泄露:由于人员缺乏信息保密意识,常常由于专业知识不熟悉或者工作疏忽而造成泄密。如有些人由于不知道计算机的电磁波辐射会泄露秘密信息,计算机工作时未采取任何措施,因而给他人提供窃密的机会;有些人由于不知道计算机软盘上的剩磁可以提取还原,将曾经存贮过秘密信息的软盘交流出去,因而造成泄密;有些人因事离机时没有及时关机,或者采取屏幕保护加密措施,使各种输入、输出信息暴露在界面上;有些人对自己使用的计算机终端缺乏防护意识,如没有及时升级病毒库和更新系统补丁,导致病毒和木马的入侵,在不知不觉中泄露了机密信息。
主动信息泄露:这种情况是由于内部人员出于个人利益或者发泄不满情绪,有意识的收集和窃取机密信息。由于电子信息文档不象传统文档那样直观,极易被复制,且不会留下痕迹,所以窃取秘密也非常容易。电子计算机操作人员徇私枉法,受亲友或朋友委托,通过计算机查询有关案情,就可以向有关人员泄露案情。计算机操作人员被收买,泄露计算机系统软件保密措施,口令或密钥,就会使不法分子打入计算机网络,窃取信息系统、数据库内的重要秘密。
对于政府部门和企业来说,计算机终端作为信息处理的工具,在其上存储、传输和处理的信息的安全性保护相当重要。任何一个环节的疏漏均可导致信息的丢失。因此,必须加强对信息的监控和审计管理。LanSecS?内网安全管理系统提供了设备输出监控、违规外联监控、共享监控、打印监控、文件监控、帐户监控、进程监控、服务监控、软件安装监控、注册表监控和网络行为审计等一系列信息监控与审计功能,为政府和企业的信息保密与信息防护提供了有力的技术手段和工具。
模块名称功能描述
I/O设备输出审计对硬件设备的使用进行监控。采取黑名单和白名单的控制方式,可区分普通光驱和刻录机。
违规外联监控实时监测和阻断终端计算机的MODEM拨号、ADSL拨号、网关上网、代理上网等行为,实现对终端计算机连接互联网或者其它网络行为的严格控
制。
文档打印审计对终端计算机的打印操作进行监控与管理。全面监控本地打印、虚拟打印和共享打印。
文件审计与文件保护1)对文件的创建、删除、改名、访问等操作行为进行审计;
2)对文件内容进行关键字扫描监控;
3) 对指定文件或文件夹的安全进行保护,限定特定进程对被保护对象
的操作。
共享审计与共享访问控制对终端计算机的系统默认共享、用户文件夹共享及共享文件夹的操作权限情况进行监控,避免内网用户通过共享的途径达到机密信息外泄
本地帐户审计对本地计算机的帐户安全相关参数进行配置,对帐户变更进行监控和审计。
进程管理对本地计算机运行程序进行管理,包括运行控制、运行保护、运行统计与进程别名管理。
服务管理对本地计算机上所运行服务进行管理,控制本地服务的运行状况。通过黑名单、白名单和红名单方式管理。
软件安装监控对终端计算机上的软件安装行为进行监控与控制
注册表监控对终端计算机本地注册表的访问进行监控和保护
网络行为审计对终端计算机的网络访问的监控与审计。包括HTTP访问、SMTP/POP3邮件收发、WEB邮件收发等。系统提供基于规则的访问控制手段
4.产品性能
4.1.总控中心性能
LanSecS?内网安全管理系总控中心采用了分层设计理念,统架构设计时采用了分布式负载均衡技术和动态性能扩展技术,路由与定位服务、业务服务、数据库服务均支持多个服务镜像,从而有效分散终端计算机连接请求,实现负载均衡。同时,在系统运行过程中,可以根据业务需要随时增加路由与定位服务、业务服务和数据库服务镜像,从而达到动态性能扩展的目的。系统可以在一个总控中心单元管理10万台终端计算机。
4.2.终端监控引擎性能
终端监控引擎设计时充分考虑了其可能对桌面计算机造成的性能影响,通过多次优化,形成了现在的终端监控引擎架构。该架构保证了终端监控引擎在稳定
可靠运行的前提下,仍能保持极少的静态工作模式系统资源占用。
经过严格的第三方测试,以及大量用户的实际使用证明,终端监控引擎在静态工作模式下,对系统资源的占用几乎可以达到零消耗。静态工作模式下,CPU 的占用率低于1%,内存占用低于10M,网络带宽占用低于0.2K/s/客户端。
4.3.产品性能指标
LanSecS?内网安全管理系统主要性能指标如下:
1)总控中心最大并发连接数:550
2)总控中心最大可管理注册主机数量:50000台
3)总控中心网络带宽占用:100K/1000客户端
4)终端监控引擎CPU占用(静态模式):< 1%
5)终端监控引擎内存占用(静态模式):8M
4.4.自身安全性
LanSecS系统设计之初便对其自身安全性做了充分的考虑和技术处理,使得LanSecS系统的安全性得到了有效的保障。自身安全性主要考虑了如下几个方面的安全问题:
●总控中心安全性:系统通过采用最小服务原则、系统管理控制、代理访
问认证等几个措施确保总控中心的安全运行。
●终端监控引擎安全性:系统通过采用监控进程隐藏技术、本地文件访问
保护、多入口恢复技术及监控引擎完整性校验技术等确保终端监控引擎的安全运行。
●数据库安全性:系统通过采用数据库访问控制、数据加密与数据备份等
措施确保数据库的安全运行。
●策略安全性:系统通过策略订单生成控制、加密策略传递与存储、策略
完整性校验等措施确保策略的安全性
●通讯安全性:系统通过采用加密传输、身份认证、本地安全存储等措施
确保终端监控引擎与总控中心之间的通讯的安全运行。
5.产品部署
5.1.产品形态
LanSecS?内网安全管理系统提供网络版和单机版两种产品版本。网络版适用于对联网的内网计算机进行统一的安全管理,单机版适用于对未连入内网的独立计算机进行安全管理。用户可以根据自己的实际情况选择部署和使用两种版本中的任何一种。
●网络版:网络版产品可以提供最大的管理灵活性和方便性。通过计算机
的集中管理,实现内网策略的统一和报警事件的集中管理和响应
●单机版:单机版产品可以对孤立的计算机进行单独管理。策略的配置和
事件的管理均在本地计算机实现。
5.2.部署模式
LanSecS?内网安全管理系统提供本地和分级两种产品部署方式。用户可以根据实际网络环境选择合适的部署方式进行产品的部署实施。
5.2.1.本地部署
本地部署是本系统最常见的部署方式。适用于计算机终端数量不多(例如,小于10000台)并希望对所有终端计算机进行集中管理的用户环境。在该部署方式下,所有的计算机终端注册到同一个总控中心。本地部署的优点是可以在一个系统管理中心监控到内网中所有计算机的活动状况。其部署示意图如下:
图 4 本地部署示意图
5.2.2.分级部署
分级部署是指在按照地域或者部门的不同,在内网中安装多个总控中心,不同地域或者部门的计算机分别注册到不同的总控中心。总控中心之间通过分级注册,形成上下级关联关系。
上下级关联关系确认后,可以对整个系统实行分级管理。上级可以对下级分发终端监控引擎安全策略,上级也可要求下级将安全事件上报到上级总控中心。从而实现上级对下级的管理。
分级部署方式的优点是,可以将实际的日常运维管理权限分散到不同的部门或者区域,但上级仍然可以保证对下级的管理能力。另外,通过分级部署,可以无限的增大计算机管理数量。例如,可以通过分级部署管理多达几十万台的计算机。
分级部署示意图如下:
图 5 分级部署示意图
北信源内网安全管理系统(服务器版)安装说明
快速阅读指南 1.本使用手册为北信源终端安全管理系列产品全功能用户手册,请按照所购买产品对应相关的产品说明进行配置使用(该手册第一、二、三章为终端安全管理产品共有部分,凡购买任何一款终端安全管理产品都应首先详细阅读此三个章节)。 2.详细阅读本软件组件功能、组成、作用、应用构架,确切了解本软件的系统应用。 3.安装准备软件环境:Microsoft SQL Server2000、Windows2000Server、Internet服务管理器。SQL安装注意事项请参照第二章2-3-1所示。建议将数据库管理系统、区域管理器、WEB管理平台安装在同一服务器上,确认区域管理器所在机器的88端口不被占用(即非主域控制器);防火墙应允许打开88,2388,2399,22105,8900,8901,22106,22108,8889端口。 4.按步骤安装各组件后,通过http://*.*.*.*/vrveis登录Web管理平台,首先对Web管理平台进行如下配置:添加区域→划分该区域IP范围→指定区域管理器→指定区域扫描器。 5.双击屏幕右下角区域管理器、单击主机保护进行通讯参数配置。 6.在\VRV\VRVEIS\download目录中,使用RegTools.exe工具修改DeviceRegist.exe文件中的本地区域管理器IP,将修改后的注册程序DeviceRegist.exe放在机构网站上进行静态网页注册,或者在机构网站上加载动态网页检测注册脚本语句,进行动态设备注册。 7.系统升级:联系北信源公司获取最新的软件组件升级包,确保Web管理平台、区域管理器、客户端注册程序等组件的升级。 8.如果本说明书中的插图与实际应用的产品有出入,以实际产品为主。 特别提示:默认管理员用户:admin,密码:123456;系统指定审计用户名:audit,密码:123456请注意修改。
信息安全管理系统
信息安全管理系统 一、产品聚焦 1、随着企业信息化进程的不断推进,信息安全问题日益凸显。信息技术水平不断在提升的同时,为何信息泄露,信息安全事件仍然时有发生 2、对于信息安全事件为何我们不能更多的在“事前”及时的发现并控制,而是在“事后”进行补救 3、信息安全管理工作“三分技术、七分管理”的原因何在 4、信息安全管理工作种类繁多,安全管理人员疲于应付,是否有合适的管理手段对其归类,有的放矢,加强针对性、提升工作效率是否需要有持续提升信息安全意识和增强知识学习的管理体系 二、产品简介 该产品通过与企业信息安全管理的现状紧密结合,融合国际主流及先进的风险管理方法、工具、设计理念,有效结合国内外对信息安全管理工作提出的相关安全标准体系要求,通过建立企业信息安全风险全生命周期、全面风险来源、全目标管理的全方位风险管理模型,以监测预警防风险、风险流程查隐患、风险应对控事态、监督评价促改进、保障体系提意识,保证信息安全风险管理在企业的落地生效。 三、产品特点 1、业务的无缝集成 无缝集成企业终端防护类安全系统、边界防护类安全系统、系统防护类安全系统、数据防护类安全系统、综合监管类安全管理系统以及相关的基础认证和授权平台等,实现对信息安全事件引发因素的全面监测和智能分析,有的放矢的对信息安全工作进行管理。 2、“上医未病,自律慎独”的风险管理体系 目标鲜明、方法合理、注重实效,为企业信息化进程保驾护航。基于企业现有管理制度和安全防御体系构建,实现系统的行之有效、行之有依。 3、合理的改进咨询建议 通过系统建设对企业信息安全管理现状进行梳理和分析,提供合理有效的改进咨询建议。 4、创新实用的管理工具 蝴蝶结模型、风险矩阵、风险热图等主流风险管理模型的实用化创新应用;德尔菲打分法、层次分析法、灰色评价法等科学分析方法的灵活嵌入;正态分布、泊松分布等概率模型的预测分析,致力于提升风险管理工作的精细度和准确度。 5、预置的信息安全风险事件库 由信息安全及风险管理专家组成的专家团队结合国内外的相关信息安全管理标准梳理的风险事件库基础信息,可在系统建设初期提供有力的业务数据支持。 6、持续渐进的信息安全知识管理 信息安全风险知识管理不仅仅是信息安全相关知识的积累和技术的提升、还在于信息安全管理意识的提升,通过信息安全知识管理体系的建立,提升全员的信息安全管理意识,并提供最新的信息安全知识储备。 四、应用效果 对信息安全风险管理全过程的数据、重点关注的风险主题进行全方位的数据分析,采用科学合理的数据分析模型,以灵活多样化的图表进行展现以辅助决策。 五、产品功能 1、目标管理 维护企业信息安全战略目标、不同层级风险管理目标、目标预警指标、目标风险等。以目标为龙头开展企业信息安全风险管理工作。 2、风险识别 利用层次分析法逐层分析,识别企业信息安全工作中包含的资产、资产脆弱性和面临的威胁,全面辨识风险源并制定相应的防控措施,并针对风险事件制定缓解措施。 3、风险评估 创新利用科学合理的风险评估方法对威胁发生概率、严重程度进行评估,量化风险指数,借助评估工具得出防范风险优先级并对风险分布进行展示。 4、监测预警 依托企业现有的信息安全防范体系架构,设置风险监控点,以风险管理视角对各重要的信息安全指标进行实时的数据监控,发挥信息系统“摄像头”的职能,针对信息安全关注的重大风险进行实时预警提示,确保风险的提前警示和预先处理。
智慧科技-计划管理系统技术白皮书-万达信息
智慧科技-计划管理系统 技术白皮书 1产品定位 各级科委目前对科技计划的管理主要采用电子文档化的管理模式。随着业务工作发展与政府服务职能的深化,业务信息的数据量也不断积累和扩大,现有的管理方式对业务工作的支撑力度开始显得不足,主要体现在信息记录的格式缺乏统一性、信息由多人管理较为分散、对信息的查阅和利用不够便捷等。因此,建设科技计划管理系统,利用更为有效的信息化管理手段变得十分必要。 计划管理系统的建设将以实际业务需求为导向,实现科技计划的全生命周期管理,通过信息化手段规范计划管理业务的管理要素和日常工作,并对收集到的各类要素信息进行更为有效的分析利用,为业务人员在计划管理中的综合处理、高效配置、科学决策提供更为有效的支撑。 凭借多年在信息化系统建设领域的丰富实践经验,我们在方案总体设计方面,周密考虑,充分部署,力争在方案的总体架构方面体现先进性、扩展性和实用性。 一方面,根据各级科委具体需求,采用BS应用结构作为整体应用架构,实现安全的信息交换与业务处理; 其次,采用模块化设计的思想,将各个管理环节标准化和规范化,实现业务开展过程的全面推进; 第三,通过完善的后台管理功能,提供灵活的定制服务,满足业务处理的需求。 整个系统设计在考虑了现有信息系统的使用特点以及现阶段的业务需求的同时,还充分考虑了系统的潜在需求,具有先进性和较高的可扩展性。 系统总体框架如下图:
2主要功能 ●计划可研 计划可行性研究阶段,根据计划指南,部门推荐,完成计划科研报告编写(Word和在线),在计划申报系统中进行填报。 可研报告包含企业信息,计划可研书要求的信息等 ●立项管理: 计划管理最关键过程,根据可研报告,进行立项管理过程。 计划立项审查,和全省市计划库中原有计划进行对比,从计划名称、计划建设内容、考核指标、承担单位、计划负责人等各个方面进行比对, 形成相应的客观报告。 专家根据立项审查结果,进行再次审核,最终形成结果,专家随机取自专家系统库,同时各自打分可以网上网下结合进行,保证其公平透明。 ●计划申报: 计划可研和立项管理结束后,将发放计划正式立项通知书。
中软统一终端安全管理平台8.0安装手册(单机版)
(单机版
Version:8.0.7.x)
中国软件与技术服务股份有限公司 CHINA NATIONAL SOFTWARE & SERVICE CO.,LTD.
版 权 声 明
非常感谢您选用我们的产品, 本手册用于指导用户安装中软统一终端安全管理平台 8.0 (中文简称安全管理平台) ,请您在安装本系统前,详细阅读本手册。本手册和系统一并出售且 仅提供电子文档。 。 Copyright ? 2005 by CS&S,中国软件与技术服务股份有限公司版权所有。 中软统一终端安全管理平台 8.0 是中国软件与技术服务股份有限公司自主研发的受法 律保护的商业软件。遵守法律是共同的责任,任何人未经授权人许可,不得以任何形式或方法 及出于任何目的复制或传播本软件和手册,权利人将追究侵权者责任并保留要求赔偿的权利。 任何人或实体由于该手册提供的信息造成的任何损失或损害,中国软件与技术服务股 份有限公司不承担任何义务或责任。
系统版权 中文名称:中软统一终端安全管理平台 8.0 英文简称:UEM8.0 开发单位:中国软件与技术服务股份有限公司
本系统的版权单位 中国软件与技术服务股份有限公司 地址:北京市海淀区学院南路 55 号中软大厦,100081 电话: (010)51508031/32/33 邮箱:waterbox@https://www.360docs.net/doc/557975228.html,
2
前
言
目前,个人计算机系统成为组成企业、单位网络的主体,也是绝大多数泄密事件发生的源头。 针对这一现状,中软自主研发的终端安全管理平台是内网安全管理的有力武器,是加强个人计算机 内部安全管理的重要工具。它作为国内市场上第一款成熟的内部安全管理软件,填补了国内在该领 域的空白,为我国信息安全保障工作注入了新的活力。 本书详细介绍了中软统一终端安全管理平台 8.0 安装方法,为用户在安装本系统时提供参考, 全书共为五章。 第一章:系统概述 第二章:体系结构和运行所需软硬件环境 第三章:服务器安装与卸载 第四章:控制台安装与卸载 第五章:客户端安装与卸载 本书内容全面,深入浅出,适合安装、使用中软统一终端安全管理平台的用户读者;检测、评 估中软统一终端安全管理平台的技术人员和专家以及希望使用中软统一终端安全管理平台协助对其 组织、机构或企业进行管理的管理人员等。 本手册适用于中软统一终端安全管理平台 8.0 的 8.0.7.x 单机版本的安装使用,随相应版本的产 品光盘附带,对该产品的其他版本,如未作特殊说明或者更新,该手册同样适用。 本手册在编写过程中,尽管我们做了最大努力力求完美和准确,但由于水平有限,难免存在疏 漏和缺陷之处。如果您对本手册有任何疑问、意见或建议,请与我们联系。感谢您对我们的支持和 帮助。
通用产品研发中心 2008 年 3 月
3
ISMS手册信息安全管理体系手册
ISMS 手册-信息安全管理体系手册7 信息安全管理IT 服务管理体系手册 发布令 本公司按照ISO20000:2005 《信息技术服务管理—规范》和ISO27001 :2005 《信息安全管理体系要求》以及本公司业务特点编制《信息安全管理&IT 服务管理体系手册》,建立与本公司业务相一致的信息安全与IT 服务管理体系, 现予以颁布实施。 本手册是公司法规性文件,用于贯彻公司信息安全管理方针和目标,贯彻IT 服务管理理念方针和服务目标。为实现信息安全管理与IT 服务管理,开展持续改进 服务质量,不断提高客户满意度活动,加强信息安全建设的纲领性文件和行动准 则。是全体员工必须遵守的原则性规范。体现公司对社会的承诺,通过有效的PDCA 活动向顾客提供满足要求的信息安全管理和IT 服务。 本手册符合有关信息安全法律法规要求以及ISO20000:2005 《信息技术服务 管理—规范》、ISO27001 :2005 《信息安全管理体系要求》和公司实际情况。为能更好的贯彻公司管理层在信息安全与IT 服务管理方面的策略和方针,根据 ISO20000:2005 《信息技术服务管理—规范》和ISO27001 :2005 《信息安全管理体系要求》的要求任命XXXXX 为管理者代表,作为本公司组织和实施“信息安全管理与IT 服务管理体系”的负责人。直接向公司管理层报告。 全体员工必须严格按照《信息安全管理&IT 服务管理体系手册》要求,自觉遵守本手册各项要求,努力实现公司的信息安全与IT 服务的方针和目标。 管理者代表职责:
a)建立服务管理计划; b)向组织传达满足服务管理目标和持续改进的重要性; e)确定并提供策划、实施、监视、评审和改进服务交付和管理所需的资源,如招聘合适的人员,管理人员的更新; 1.确保按照ISO207001:2005 标准的要求,进行资产识别和风险评估,全面建立、实施和保持信息安全管理体系;按照ISO/IEC20000 《信息技术服务管理-规范》的要求,组织相关资源,建立、实施和保持IT 服务管理体系,不断改进IT 服务管理体系,确保其有效性、适宜性和符合性。 2.负责与信息安全管理体系有关的协调和联络工作;向公司管理层报告 IT 服务管理体系的业绩,如:服务方针和服务目标的业绩、客户满意度状况、各项服务活动及改进的要求和结果等。 3.确保在整个组织内提高信息安全风险的意识; 4.审核风险评估报告、风险处理计划; 5.批准发布程序文件; 6.主持信息安全管理体系内部审核,任命审核组长,批准内审工作报告; 向最高管理者报告信息安全管理体系的业绩和改进要求,包括信息安全管理体系运行情况、内外部审核情况。 7.推动公司各部门领导,积极组织全体员工,通过工作实践、教育培训、业务指导等方式不断提高员工对满足客户需求的重要性的认知程度,以及为达到公司服 务管理目标所应做出的贡献。 总经理:
数据库审计系统_技术白皮书V1.0
此处是Logo 数据库审计系统 技术白皮书 地址: 电话: 传真: 邮编:
■版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属北京所有,受到有关产权及版权法保护。任何个人、机构未经北京的书面授权许可,不得以任何方式复制或引用本文的任何内容。 ■适用性声明 文档用于撰写XX公司产品介绍、项目方案、解决方案、商业计划书等。
目录 一.产品概述 (1) 二.应用背景 (1) 2.1现状与问题 (1) 2.1.1现状 (1) 2.1.2问题 (1) 2.2需求分析 (3) 2.2.1政策需求 (3) 2.2.1.1《信息系统安全等级保护基本要求》 (3) 2.2.1.2《商业银行信息科技风险管理指引》 (3) 2.2.2技术需求 (4) 2.2.3管理需求 (4) 2.2.4性能需求 (4) 2.2.5环境与兼容性需求 (5) 2.2.6需求汇总 (5) 三.产品介绍 (5) 3.1目标 (5) 3.2产品功能 (6) 3.2.1数据库访问行为记录 (6) 3.2.2违规操作告警响应 (6) 3.2.3集中存储访问记录 (6) 3.2.4访问记录查询 (7) 3.2.5数据库安全审计报表 (7) 3.3产品部署 (7) 3.3.1旁路部署 (7) 3.3.2分布式部署 (8) 3.4产品特性 (9) 3.4.1安全便捷的部署方式 (9) 3.4.2日志检索能力 (9) 3.4.3灵活的日志查询条件 (10) 3.4.4灵活的数据库审计配置策略 (10) 3.4.5数据库入侵检测能力 (10) 3.4.6符合审计需求设计 (11) 四.用户收益 (11) 4.1对企业带来的价值 (11) 4.2全生命周期日志管理 (12) 4.3日常安全运维工作的有力工具 (12)
信息安全管理系统的规范
信息安全管理系统的规范 第二部分:信息安全管理系统的规范 1 1. 范围 BS 7799的这个部分指明了对建立、实现和文档化信息安全管理系统(ISMSs)的需求。它指明了将要按照个别机构的需要而实现的安全控制的需求。 注:第一部分给出了对最佳惯例的推荐建议,这些惯例支持该规范中的需求。BS 7799的这个部分的条款4给出的那些控制目标和控制来自于BS 7799-1:1999并与改部分的内容保持一致。 2. 术语与定义 为了BS 7799的这个部分,BS 7799-1给出的定义适用于该部分,并有以下专用术语: 2.1 适用性说明 适用于机构的安全要求的目标和控制的批评。 3.信息安全管理系统的要求 3.1概要 机构应建立及维护一个信息安全管理系统,目的是保护信息资产,订立机构的风险管理办法、安全控制目标及安全控制,以及达到什么程度的保障。 3.2建立一个管理框架 以下的步骤是用来找出及记录安全控制目标及安全控制的(参看图一): a) 应定义信息安全策略; b) 应定义信息安全管理系统的范围,定义范围可以是机构的特征、位置、资产及 技术;
c) 应进行合适的风险评估。风险评估应确认对资产的安全威胁、漏洞及对机构的 冲击,从而定出风险的严重程度; d) 根据机构的信息安全策略及所要求达到的保障程度定出要管理的风险; e) 从以下第四条款选出机构要实现的安全控制目标及要实施的安全控制; f) 应准备一份适用性声明书,说明选出哪些安全控制目标及安全控制以及选择的 原因。 以上步骤应定期重复,确定系统的适用性。 2 3.3实施 选出的安全控制目标及安全控制应由机构有效地执行,实施控制的执行程序是否有效应根据4.10.2的规定进行检查。 3.4文档 信息安全管理系统的说明文档应包括以下信息: a) 按照3.2所定的步骤实现的证据; b) 管理架构的总结,其中包括信息安全策略、在适用性声明书所提及的安全控制 目标和已经实现的安全控制; c) 为了实现3.3所指定的控制而采用的程序;这些程序应该刻画责任以及相关行 动; d) 覆盖该ISMS中的管理和操作的程序,这些程序应该指出有哪些责任及其有关
EPSV3.0综合档案管理系统技术白皮书2013
EPS档案信息管理系统V3.0 技术白皮书 南京科海智博信息技术有限公司 2013年
目录 1.产品简介 (4) 1.1 文档信息化发展趋势 (4) 1.2 产品研发背景 (4) 1.3系统特点 (5) 2.总体架构 (5) 2.1 产品技术架构 (5) 2.2 产品业务架构 (6) 3.运行环境 (6) 3.1 硬件环境 (6) 3.1.1 服务器配置 (6) 3.1.2客户端配置 (6) 3.1.3存储设备 (7) 3.1.4网络环境 (7) 3.2软件环境 (7) 3.2.1 数据库支持 (7) 3.2.2中间件支持 (7) 3.2.3浏览器支持 (7) 3.2.4 容灾支持 (7) 4.基本功能 (7) 4.1系统管理 (8) 4.2业务管理 (13) 4.3文件收集 (13) 4.4文件整编 (14) 4.5档案管理 (15) 4.6库房管理 (16) 4.7统计信息 (16) 4.8档案利用 (17) 4.9档案编研 (18) 4.10光盘打包 (18)
5.扩展功能 (19) 5.1 企业档案门户集成 (19) 5.2企业年鉴展示 (19) 5.3照片档案展示 (20) 5.4 数据安全控制 (20) 5.5数据一体化接口 (20) 5.6信息提醒接口 (20) 6.技术创新 (21) 6.1文档安全控制 (21) 6.2 全文检索技术 (22) 6.3 光盘打包技术 (23) 6.4工作流技术 (23) 6.5 海量存储技术 (24) 6.6异构数据接口 (24) 6.7系统的可扩展性 (24) 6.8档案管理平台综合业务管理 (24) 7.公司简介 (24)
内网终端安全管理系统项目解决方案
北信源内网终端安全管理系统 解决方案 北京北信源软件股份有限公司
目录 1.前言 (4) 1.1. 概述 (4) 1.2. 应对策略 (5) 2.终端安全防护理念 (6) 2.1. 安全理念 (6) 2.2. 安全体系 (7) 3.终端安全管理解决方案 (9) 3.1. 终端安全管理建设目标 (9) 3.2. 终端安全管理方案设计原则 (9) 3.3. 终端安全管理方案设计思路 (10) 3.4. 终端安全管理解决方案实现 (12) 3.4.1. 网络接入管理设计实现 ........................................ 错误!未定义书签。 3.4.1.1. 网络接入管理概述 ........................................ 错误!未定义书签。 3.4.1.2. 网络接入管理方案及思路............................... 错误!未定义书签。 3.4.2. 补丁及软件自动分发管理设计实现 (12) 3.4.2.1. 补丁及软件自动分发管理概述 (12) 3.4.2.2. 补丁及软件自动分发管理方案及思路 (12) 3.4.3. 移动存储介质管理设计实现 (17) 3.4.3.1. 移动存储介质管理概述 (17) 3.4.3.2. 移动存储介质管理方案及思路 (18) 3.4.4. 桌面终端管理设计实现 (21) 3.4.4.1. 桌面终端管理概述 (21) 3.4.4.2. 桌面终端管理方案及思路 (22) 3.4.5. 终端安全审计设计实现 ........................................ 错误!未定义书签。 3.4.5.1. 终端安全审计概述 ........................................ 错误!未定义书签。 3.4.5.2. 终端安全审计方案及思路............................... 错误!未定义书签。 4.方案总结 (41) 5.附录:系统硬件要求 (41) 6.预算 (43)
内网终端安全管理系统解决方案
内网终端安全管理系统解决方案
北信源内网终端安全管理系统 解决方案 北京北信源软件股份有限公司
目录 1.前言................................ 错误!未定义书签。 1.1.概述 错误!未定义书签。 1.2.应对策略 错误!未定义书签。 2.终端安全防护理念.................... 错误!未定义书签。 2.1.安全理念 错误!未定义书签。 2.2.安全体系 错误!未定义书签。 3.终端安全管理解决方案................ 错误!未定义书签。 3.1.终端安全管理建设目标 错误!未定义书签。 3.2.终端安全管理方案设计原则 错误!未定义书签。 3.3.终端安全管理方案设计思路 错误!未定义书签。 3.4.终端安全管理解决方案实现 错误!未定义书签。 3.4.1.网络接入管理设计实现 错误!未定义书签。 3.4.1.1.网络接入管理概述
3.4.1.2.网络接入管理方案及思路 错误!未定义书签。 3.4.2.补丁及软件自动分发管理设计实现 错误!未定义书签。 3.4.2.1.补丁及软件自动分发管理概述 错误!未定义书签。 3.4.2.2.补丁及软件自动分发管理方案及思路 错误!未定义书签。 3.4.3.移动存储介质管理设计实现 错误!未定义书签。 3.4.3.1.移动存储介质管理概述 错误!未定义书签。 3.4.3.2.移动存储介质管理方案及思路 错误!未定义书签。 3.4.4.桌面终端管理设计实现 错误!未定义书签。 3.4.4.1.桌面终端管理概述 错误!未定义书签。 3.4.4.2.桌面终端管理方案及思路 错误!未定义书签。 3.4.5.终端安全审计设计实现 错误!未定义书签。 3.4.5.1.终端安全审计概述
信息安全系统管理系统要求规范
信息安全管理规范公司
版本信息 当前版本: 最新更新日期: 最新更新作者: 作者: 创建日期: 审批人: 审批日期: 修订历史 版本号更新日期修订作者主要修订摘要
Table of Contents(目录) 1. 公司信息安全要求 (5) 1.1信息安全方针 (5) 1.2信息安全工作准则 (5) 1.3职责 (6) 1.4信息资产的分类规定 (6) 1.5信息资产的分级(保密级别)规定 (7) 1.6现行保密级别与原有保密级别对照表 (7) 1.7信息标识与处置中的角色与职责 (8) 1.8信息资产标注管理规定 (9) 1.9允许的信息交换方式 (9) 1.10信息资产处理和保护要求对应表 (9) 1.11口令使用策略 (11) 1.12桌面、屏幕清空策略 (11) 1.13远程工作安全策略 (12) 1.14移动办公策略 (12) 1.15介质的申请、使用、挂失、报废要求 (13) 1.16信息安全事件管理流程 (14) 1.17电子邮件安全使用规范 (16) 1.18设备报废信息安全要求 (17) 1.19用户注册与权限管理策略 (17) 1.20用户口令管理 (18) 1.21终端网络接入准则 (18) 1.22终端使用安全准则 (18) 1.23出口防火墙的日常管理规定 (19) 1.24局域网的日常管理规定 (19) 1.25集线器、交换机、无线AP的日常管理规定 (19) 1.26网络专线的日常管理规定 (20) 1.27信息安全惩戒 (20) 2. 信息安全知识 (21) 2.1什么是信息? (21) 2.2什么是信息安全? (21)
终端安全配置管理系统技术白皮书
终端安全配置管理系统 技术白皮书 国家信息中心
目录 第一章终端安全配置管理系统简介 (1) 1.1 为什么要做终端安全配置 (1) 1.2 机构如何实现机构高效的终端安全配置管理 (2) 1.3 终端安全配置管理系统技术优势 (3) 第二章终端安全配置管理系统逻辑结构 (5) 第三章终端安全配置管理系统功能 (7) 第四章终端安全配置基线介绍 (9) 4.1 基线概述 (9) 4.2 终端硬件安全配置 (9) 4.3 终端软件安全配置 (10) 4.4 终端核心安全配置 (11) 第五章系统应用方案 (14) 5.1 应用架构 (14) 5.2 实施流程 (16) 5.3 运行环境要求 (16) 第六章技术支持服务 (18) 附录一W INDOW7操作系统安全配置清单(示例) (19) 附录二国家信息中心简介 (24) i
第一章终端安全配置管理系统简介 1.1 为什么要做终端安全配置 在构成信息系统的网络、服务器和终端三要素中,对终端的攻击和利用终端实施的窃密事件急剧增多,终端安全问题日益突显。攻击和窃密是终端安全的外部原因,计算机系统存在缺陷或漏洞、系统配置不当是终端安全的内部原因。外因通过内因起作用,内因是决定因素。据调查,针对系统核心的攻击中,5%是零日攻击,30%是没有打补丁,65%是由于错误的配置。因此正确的安全配置才是保障终端安全性的必要条件。 计算机终端核心配置最早由美国联邦政府提出,称为联邦桌面核心配置计划(FDCC)。该计划由美国联邦预算管理办公室(OMB)负责推动,旨在提高美国联邦政府计算机终端的安全性,并实现计算机管理的统一化和标准化。美国空军最先实施桌面标准配置并取得了良好的应用效果。2007年,美国联邦政府强制规定所有使用Windows的计算机必须符合FDCC的配置要求。 近年来,我国逐步认识到终端安全配置管理对于加强计算机终端安全保障工作的重要作用,对美国联邦政府实施的桌面核心配置进行了跟踪研究,并开展了我国终端安全配置标准的研制工作。多家科研院所和安全厂商参与了相关研究工作,其中,国家信息中心是国内最早开展终端安全配置研究的单位之一,目前已编制完成政务终端安全核心配置标准草案,并开发出一整套标准应用支撑工具—终端安全配置管理系统。该系统在各地方的试点应用取得了明显的成效。 终端安全配置分为硬件安全配置、软件安全配置和核心安全配置,如图1所示。分别介绍如下: 硬件安全配置:根据计算机硬件列装的安全要求,仅可安装符合规定的硬件和外联设备,关闭存在安全隐患的接口以及驱动,以满足政府机构和大型企业对硬件环境的安全需求。包括计算机部件清单、外联设备清单、外联接口安全配置和硬件驱动安全配置; 软件安全配置:根据计算机软件安装的安全要求,仅可安装符合规定的操作系统和软件,禁止非法软件安装,以满足政府机构和大型机构对软件环境的安全需求。包括应安装软件列表、可安装软件列表和禁止安装软件列表; 核心安全配置:对终端操作系统、办公软件和浏览器、邮件系统软件、其它常用软件等与安全有关的可选项进行参数设置,限制或禁止存在安全隐患或漏洞的功能,启用
天珣内网安全风险管理与审计系统
天珣内网安全风险管理与审计系统 安装配置手册 (V6.6.9.4) 启明星辰 Beijing Venustech Cybervision Co., Ltd. 2012年11月
版权声明 北京启明星辰信息安全技术有限公司版权所有,并保留对本文档及本声明的最终解释权和修改权。 本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明外,其著作权或其他相关权利均属于北京启明星辰信息安全技术有限公司。未经北京启明星辰信息安全技术有限公司书面同意,任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其它语言、将其全部或部分用于商业用途。 “天珣”为北京启明星辰信息安全技术有限公司的注册商标,不得侵犯。 免责条款 本文档依据现有信息制作,其内容如有更改,恕不另行通知。 北京启明星辰信息安全技术有限公司在编写该文档的时候已尽最大努力保证其内容准确可靠,但北京启明星辰信息安全技术有限公司不对本文档中的遗漏、不准确、或错误导致的损失和损害承担责任。
目录 版权声明 (1) 免责条款 (1) 信息反馈........................................... 错误!未定义书签。1综述 . (4) 2安装环境及要求 (4) 3.天珣内网安全风险管理与审计系统主要组件介绍 (6) 3.1.服务器组件 (6) 3.1.1. 中心策略服务器 (6) 3.1.2. 本地策略服务器 (6) 3.1.3. 资产管理服务器................................错误!未定义书签。 3.1.4. Radius服务器 (6) 3.1.5. 攻击告警服务器 (6) 3.1.6. 软件分发服务器 (7) 3.1.7. HOD远程桌面服务器 (7) 3.2.策略网关组件 (7) 3.2.1. 策略网关代理 (7) 3.2.2. 中性策略网关 (7) 3.2.3. IIS策略网关 (8) 3.2.4. ISA策略网关 (8) 3.2.5. EXCHANGE策略网关 (8) 3.2.6. DNS策略网关及旁路监听式DNS策略网关 (8) 3.2.7. 客户端 (9) 3.2.8. 按需支援管理端 (9) 3.2.9. 客户端打包程序 (9) 4.天珣内网安全风险管理与审计系统的安装 (9) 4.1.快速安装 (10) 4.1.1 快速安装部署 (10) 4.1.2 基本配置 (27) 4.2.自定义安装 (31) 4.2.1 自定义安装中心服务器 (32) 4.3.本地服务器的安装配置 (33) 4.3.1 添加策略服务器 (37) 4.4.策略网关配置 (38) 4.4.1 添加策略网关代理 (38) 4.4.2 安装中性策略网关 (39) 4.5.远程桌面的系统配置 (46) 4.5.1 安装添加远程桌面服务器 (46) 4.5.2 添加远程桌面管理员 (46) 4.5.3 安装按需支援管理员端程序 (47) 4.5.4 用户请求管理员远程帮助 (49) 4.6.软件分发安装与配置 (49) 4.6.1 安装软件分发服务器 (49)
最新机房线路管理系统白皮书
机房线路管理系统 -CVMS 一、当前现状 机房线路及设备管理现状 ?采用手工记录管理现有线缆标识、线路连接关系 ?缺乏统一的资料管理平台 ?网络物理线路查询困难 ?人员变更交接资料繁琐 ?缺乏规范的管理流程 ?无法清楚的了解网络设备的配置和资源使用状况 ?维护效率低,增加维护成本 为什么我们推出软件形式的机房线路管理系统? ?提高企业/政府/教育/金融IT管理部门的效 率 ?解脱繁琐的传统文档管理工序 ?迅速诊断和定位网络问题 ?提升内部安全性能 ?极为合理的投资成本 ?实现管理图形化和数字化 ?纯软件系统对线路及网络硬件没有任何不良影响 智邦(知微?)机房线路管理系统是对机房系统中设备的维护信息和连接信息进行图形化管理,把图形、数据和连接关系三种对象紧密的结合,为管理员提供一个直观、易用的图形化管理平台。
二、系统特点 CVMS 是一套专业的机房线路管理软件,通过创建“可视化数据库”,将信息和图形有机结合,能帮助企业更好地规划、管理和维护其物理网络、通信、视频、监控及布线基础设施。 基于B/S(浏览器/服务器)结构模型,客户端以浏览器的web 页面形式运行; 系统后台采用SQL Server数据库; 纯软件架构,不需要对现有的网络和硬件进行任何改动; 管理界面友好、精美、简单、功能强大、操作灵活; 可实行跨地域管理和分工管理; 数据和图形相结合; 图形定位快捷; 设备、线缆、终端链路关联处理; 文档、设备、线路连接统一管理,建立完整的技术管理平台; 通过操作日志、管理权限、角色管理来实现对操作人员的管理; 线缆线标的管理使您的管理能精确到每一根线缆; 通过派工单管理,规范机房线路系统的维护工作流程。 三、应用范围 广泛应用于政府、军队、金融、税务、烟草、交通、教育、医疗、能源、电信、广电、司法、电力等多个行业 四、功能模块 1.数据采集 该模块的主要功能是对整个项目的内容进行录入,建立项目数据库。 模块特点: 以目录树的形式自上而下对项目内容进行逐步录入 上传楼层或区域平面图,使每个端口或信息点都可以在楼层平面图上的准确物理位 置以闪烁的形式标明 由机柜信息自动生成机柜和设备模拟图,并确定设备在机柜中的位置 定义信息点、终端设备的类型和内容 建立设备之间的连接关系,生成链路关系模拟图 支持数据批量录入,支持多人同时分工录入 支持线缆线标的批量录入
系统与信息安全管理
一、资源界定 1、业务系统信息安全包括托管在联通机房的所有服务器、网络线 路、网络设备、安装在服务器上的操作系统、业务系统、应用系 统、软件、网络设备上的OS、配置等软硬件设施。 2、任何人未经允许不得对业务系统所包含的软硬件进行包括访问, 探测,利用,更改等操作。 二、网络管理 1、网络结构安全管理 A、网络物理结构和逻辑结构定期更新,拓扑结构图上应包含 IP地址,网络设备名称,专线供应商名称及联系方式,专 线带宽等,并妥善保存,未经许可不得对网络结构进行修 改。 B、网络结构必须严格保密,禁止泄漏网络结构相关信息。 C、网络结构的改变,必须提交更改预案,并经过信息总监的 批准方可进行。 2、网络访问控制 D、络访问控制列表包括山石磊科路由和华三S5620的ACL。
E、妥善保管现有的网络访问控制列表,其中应包含网络设备 及型号,网络设备的管理IP,当前的ACL列表,更新列表 的时间,更新的内容等。 F、定期检查网络访问控制列表与业务需求是否一致,如不一 致,申请更新ACL。 G、未经许可不得进行ACL相关的任何修改。 H、ACL时,必须备份原有ACL,以防误操作。 I、ACL配置完成以后,必须测试。 J、禁止泄漏任何ACL配置。 3、网络络设备安全 K、妥善保管现有网络设备清单,包括供应商及联系人信息,设备型号,IP地址,系统版本,设备当前配置清单。 L、定期检查设备配置是否与业务需求相符,如有不符,申请更新配置。 M、配置网络设备时,必须备份原有配置,以防误操作。 N、配置完成之后,必须进行全面测试。 O、禁止在网络设备上进行与工作无关的任何测试。 P、未经许可不得进行任何配置修。 Q、禁止泄漏网络设备配置。
小额贷款公司综合业务管理系统技术白皮书
小额贷款公司综合业务管理系统
目录 1、前言 (3) 2、方案概述 (4) 3、系统功能 (5) 4、系统逻辑结构 (8) 6、运行环境 (11) 7、案例介绍 (12) 8、附录 (15)
1、前言 “小额贷款”(Micro Loan),是指以广大微小企业、个体工商户、农户为服务对象,以生产经营为主要用途的贷款品种,特点是:单笔贷款金额不超过100万人民币(平均每笔贷款金额在5万元左右);贷款期限以1年以内为主;由正规金融机构按照商业化经营模式运作。与扶贫式贷款不同,这种小额贷款经营模式强调的是贷款本身的可持续性。 小额贷款主要是解决传统银行难以服务到的低端客户的金融服务问题,目标客户群体包括有生产能力的贫困和低收入人口、微小型企业主等。发展小额贷款属世界性难题,直到孟加拉乡村银行采取商业化、可持续发展模式获得成功,才为各国发展小额贷款业务提供了可资借鉴的案例。 小额贷款公司综合业务管理系统(Micro Loan Management System 简称MLMS)通过设计小额贷款管理目标、组织系统、监控系统、信息系统、管理政策、资源配置及小额贷款操作中的贷款对象、用途、额度、期限、方式、利率等要素,以及贷款的条件、调查和监管技术,解决当前小额贷款业务管理过程中存在的漏洞,填补国内小额贷款技术的空白.
2、方案概述 本方案是针对各金融机构、各银行小额贷款业务部进行电子信息管理的完整的技术解决方案。小额贷款公司综合业务管理系统,是以服务于中小型金融机构、各银行小额贷款业务部为目标,全面提升信息系统的技术内涵,实现"以产品为中心向以客户服务为中心"的战略转移,达到对外充分适应、快速反应,对内高效沟通、快速决策。 小额贷款公司综合业务管理系统(MLMS)解决方案可以在各金融机构、银行小额贷款业务部范围内更好地管理项目和资源,同时高效完成资料收集、数据分析、款项审批和报告。基于Web的数据分析管理工具帮助项目执行人员将人员、数据和分析结果完美地结合起来,及时发现企业经营中所存在的问题,并进行相关预警。各部室人员通过审批工具来传递资料,进行相互协作。可扩展的基础架构使各金融机构和银行小额贷款业务部可以将MLMS解决方案与现有的第三方系统系统进行无缝集成
内网安全管理系统项目方案
内网安全管理系统项目方案
目录 第一章概述 (4) 1.1 建立内网安全管理系统的必要性 (4) 1.2 现状分析 (4) 1.3 项目需求 (4) 第二章系统建设目标与原则 (5) 2.1 系统建设目标 (5) 2.2 系统建设原则 (6) 2.2.1 先进性原则 (6) 2.2.2 易于管理、操作和维护原则 (6) 2.2.3 充分利用现有资源原则 (6) 2.2.4 安全与性能负载均衡原则 (6) 第三章总体设计方案 (6) 3.1 系统总体架构 (7) 3.2 系统功能架构设计 (9) 3.2.1 基于进程的文档加密驱动 (9) 3.2.2 端口控制驱动 (10) 3.2.3 移动存储设备控制驱动 (10) 3.3 系统配置清单 (11) 第四章系统功能设计 (11) 4.1 认证授权系统设计 (11) 4.1.1 客户端动态注册,浮动License 管理 (11) 4.1.2 控制台和客户端的网络身份认证 (12) 4.1.3 多种身份认证相结合 (12) 4.1.4 策略集中分级管理 (12) 4.1.5 支持按分组和单个计算机灵活定制策略 (13) 4.1.6 限时有效策略 (13) 4.2 数据安全保密系统设计 (13) 4.2.1 文件透明加解密 (14) 4.2.2 涉密文件安全防护 (15) 4.3 硬件安全防护系统设计 (16) 4.3.1 存储设备控制 (16) 4.3.2 通讯设备控制 (16) 4.3.3 存储设备准入认证 (16) 4.4 IT 资产管理系统设计 (17) 4.4.1 资产的完备性 (17) 4.4.2 资产变更的准实时性 (17) 4.4.3 详细的报告 (17)
中软统一终端安全管理系统
“中软统一终端安全管理系统(United Endpoint Management, 简称UEM)”,以其全新的安全理念、强大的功能体系、完善的技术架构,改变了传统的内网安全管理模式,实现了主机监控与审计的完美统一。该系统采用了终端安全“一体化”的安全防护技术,整合了病毒防护监测、网络接入认证、终端健康性检查、系统身份认证、资产管理、补丁管理、运行监控和失泄密防护等等终端软件的安全功能,是终端安全的完整解决方案。 【系统功能】 该系统的主要从以下几个方面保障内部安全: 一.终端安全管理 1.安全策略管理 按照企业终端计算机安全管理规定,统一配置终端计算机的Windows安全策略,实现集中的安全策略配置管理,统一提高终端计算机用户的安全策略基线。系统所能配置的安全策略有:帐户密码策略监视、帐户锁定策略监视、审核策略监视、共享策略监视、屏保策略监视。 2.终端入网认证 对接入内网的计算机进行统一的管理,未经许可的计算机不能接入内网,接入内网的计算机必须通过安全性检查才能访问内部网络资源,其主要功能为:非法用户内联控制、主机安全性检查。 3.用户身份认证 身份认证是系统应用安全的起点,通过硬件USBKey和口令认证登录Windows系统用户身份,保证进入Windows系统用户身份的合法性;对登录用户权限进行合法性检查,保证用户权限的合规性。具体功能为:基于USBKey的身份认证、登录用户权限合法性检查。 4.网络进程管理 通过对网络进程的统一管理,规范计算机用户的网络行为,实现“外面的网路连接未经许可进不来,里面的网络进程未经许可出不去”。具体功能为:管理向外发起连接的网络进程、管理接收外部连入的网络进程、实时获取网络进程信息和会话连接状态。 5.防病毒软件监测 通过策略设置输入防病毒软件特征,按照统一的策略监测防病毒软件使用状况,并进行统计分析形成统一的数据报表。具体功能为:监视防病毒软件的使用状况、防病毒软件监测特征的自定义。 6.补丁分发管理 统一配置终端计算机的补丁管理策略,实现对系统补丁状况的扫描,自动完成补丁分发。系统所支持的补丁包括:Windows操作系统补丁系列、office系列办公软件补丁、SQL Server系列补丁等
中科分布式存储系统技术白皮书V2.0
LINGHANG TECHNOLOGIES CO.,LTD 中科分布式存储系统技术白皮书 北京领航科技 2014年04
目录 1、产品介绍 (3) 1.1 云时代的政府/企业烦恼 (3) 1.2 产品服务与定位 (3) 2、中科分布式存储应用场景 (4) 2.1 目标用户 (4) 2.2 产品模式 (4) 2.2.1高性能应用的底层存储 (4) 2.2.2企业级海量数据存储平台 (5) 2.2.3容灾备份平台 (5) 2.3 使用场景 (5) 2.3.1企业级数据存储 (5) 2.3.2私有云计算 (6) 2.3.3海量数据存储 (6) 2.3.4大数据分析 (7) 2.3.5 容灾备份 (7) 3、中科分布式存储核心理念 (8) 4、中科分布式存储功能服务 (9) 4.1 存储系统功能介绍 (9) 4.2 WEB监控管理端功能介绍 (11) 5、系统技术架构 (12) 5.1 系统总体架构 (12) 5.2 系统架构性特点 (12) 5.3 技术指标要求 (14) 5.4 系统软硬件环境 (15)
1、产品介绍 1.1云时代的政府/企业烦恼 ?政府、企事业单位每天产生的大量视频、语音、图片、文档等资料,存在 哪里? ?政府、企事业单位各个部门、各个子系统之间强烈的数据共享需求如何满 足? ?大数据如何高效处理以达到统一存取、实时互动、价值传播、长期沉淀? ?您是否为单位电子邮箱充斥大量冗余数据还要不断扩容而烦恼? ?政府、企事业单位的私有云平台为什么操作和数据存取这么慢? ?政府、企事业单位的存储平台数据量已接近临界值需要扩容,但上面有重 要业务在运行,如何能在线扩展存储空间? ?公司的每一个子公司都有重要客户数据,要是所在的任何一个城市发生大 规模灾难(比如地震)数据怎么办? ?政府、企事业单位有一些历史数据平时比较少用到,但又不能丢掉,占用 了大量的高速存储资源,能否移到更廉价的存储设备上去? 1.2产品服务与定位 大数据时代已经来临! 面对数据资源的爆炸性增长,政府、企事业单位每天产生的海量视频、语音、图片、文档和重要客户数据等资料如何有效存取?政府多个部门之间、公司和子公司之间、公司各个部门之间强烈的数据共享需求如何满足?如果