中软统一终端安全管理系统 系统介绍
统一终端安全管理系统
统一终端安全管理系统一、统一终端安全管理系统随着信息化安全技术的不断发展,各种内网安全管理问题逐步凸现出来。
据IDC调查报告显示超过85%的网络安全威胁来自于内部,其危害程度更是远远超过黑客攻击所造成的损失,而这些威胁绝大部分是内部各种非法和违规的操作行为所造成的。
内网安全问题已经引起了各级单位的广泛重视,随着安全意识的不断增强,安全投入逐步增加,但是内网的安全事件却不断地增多。
二、统一终端安全管理系统功能具体每项功能特点简要描述如下:终端安全管理:保证安全策略的合规性,保障终端的安全运行环境。
它包括有安全策略管理、终端接入检查、终端出网许可、用户登录计算机的身份认证、网络进程访问控制、防病毒软件监测、系统补丁管理、安全操作管理等涉及主机安全管理、策略合规性管理的功能体系。
终端运维管理:监控远程终端的运行状况,管理内网的信息资产,为管理员的终端维护提供方便快捷的帮助。
它包括有软件分发、资产管理、运行监控、远程管理、远程帮助等终端运行维护管理方面的功能体系。
用户行为管理:规范终端用户信息带出行为,防止企业敏感信息泄露。
它包括有网络失泄密防护、存储介质泄密防护、打印机泄密防护、外设接口泄密防护等敏感信息失泄密防护方面的功能体系。
数据安全管理:从多个方面和多个层次实现对用户数据的安全管理。
它包括:用户桌面安全保险箱,实现了终端用户对个人、小组等需要防护的数据的主动加密要求;安全文档管理,该功能从底层实现了企业对某类型的敏感数据的强制加密要求;可信移动存储介质管理,该功能帮助企业实现了移动介质数据的防护,实现了“外部的U盘进来使不了,里面的U盘出去不可用”。
终端接入管理:通过终端接入认证和非法主机扫描实现对接入网络的客户端进行认证,认证通过的可以连接网络,对通过其他非法途径进入网络的非法主机,通过扫描工具发现并告警。
系统管理与审计:集中统计、显示和分析各种受监控的用户行为日志、报警日志、主机状态日志、以及响应知识库的管理、系统角色和权限、用户的管理,同时为系统正常运行提供了相关参数设置。
终端安全 体系-概述说明以及解释
终端安全体系-概述说明以及解释1.引言1.1 概述终端安全是指对计算机系统中的终端设备进行保护和防护,以确保用户和组织的敏感信息不受未经授权的访问和恶意攻击的威胁。
随着信息技术的快速发展,终端设备的数量和种类也不断增加,包括个人电脑、笔记本电脑、智能手机、平板电脑等,这些设备成为了人们工作和生活中必不可少的工具。
终端设备的普及给我们的生活带来了便利,但同时也带来了一系列的安全隐患。
终端设备可能面临各种威胁,例如病毒和恶意软件的感染、网络钓鱼、黑客攻击以及数据泄露等。
这些威胁对个人用户和企业组织来说都是致命的,可能导致信息泄露、业务中断、财产损失等严重后果。
为了应对终端安全的威胁,人们不断探索和研究各种防护措施。
这些措施包括但不限于:安装防病毒软件和防火墙、定期更新操作系统和应用程序、设定复杂的密码和多因素认证、使用虚拟专用网络(VPN)来保护网络通信等。
此外,教育用户提高安全意识、制定和贯彻安全策略也是终端安全的重要一环。
终端安全不仅对个人用户来说是至关重要的,对于企业组织来说也是不可忽视的。
大规模的终端设备网络可能存在统一管理的难题,因此需要建立完善的终端管理系统和监控机制,以及安全的远程管理方式。
为了更好地保护终端设备不受威胁,我们需要从多个角度来思考和应对终端安全的挑战。
这包括技术层面的创新和发展,制定相关法律法规和政策,加强用户教育和培训等方面的工作。
只有综合各种手段,才能建立起一个相对安全的终端安全体系,保障用户信息的安全和隐私。
综上所述,终端安全是一个十分重要且复杂的领域,需要我们持续关注和投入精力。
本文将详细探讨终端安全的重要性、威胁和防护措施,并提出未来终端安全发展的方向,旨在呼吁人们重视终端安全问题,并为构建一个更加安全和可靠的信息社会做出贡献。
1.2 文章结构文章结构部分的内容应该涵盖以下几个方面:本文主要包括以下几个部分的内容:引言、正文和结论。
引言部分主要对终端安全的概述进行介绍,包括对终端安全的定义、意义和重要性进行解释,以及对文章结构进行概括和说明。
终端安全管理系统
终端安全管理系统终端安全管理系统(Endpoint Security Management System)终端安全管理系统是一种重要的安全解决方案,用于保护组织内的终端设备免受安全威胁。
它拥有各种功能和特性,能够检测、预防和应对潜在的安全漏洞和威胁。
通过提供全面的安全保护和管理控制,终端安全管理系统使组织能够保护其敏感数据、网络资源、应用程序和用户信息。
终端安全管理系统有多种形式和技术,包括防火墙、反病毒软件、入侵检测和防御系统、加密软件、数据丢失防护措施等。
这些工具和技术的目标是保护终端设备免受恶意软件、网络攻击和数据泄露等各种威胁。
通过使用终端安全管理系统,组织可以实现以下几个关键目标:首先,终端安全管理系统保障用户数据的机密性和完整性。
它能够防止未经授权的个人和实体访问和篡改用户数据。
该系统可以加密敏感数据,并确保只有经过授权的人员才能访问和使用这些数据。
此外,终端安全管理系统还能够检测和阻止数据泄露行为,从而保护组织的商业机密和知识产权。
其次,终端安全管理系统能够防止和检测恶意软件和网络攻击。
该系统可以实时监测终端设备上的所有网络流量和应用程序,发现和隔离可能的恶意行为。
终端安全管理系统还提供实时更新的反病毒软件和恶意软件数据库,以确保最新的威胁被及时识别和阻止。
此外,终端安全管理系统还能够追踪和记录终端设备的活动。
通过监视和审计终端设备的使用情况,组织可以检测到潜在的安全威胁和违规行为。
该系统可以生成详细的日志和报告,以便组织能够了解终端设备的安全状况,并能够调查和解决任何潜在的安全问题。
最后,终端安全管理系统还可以帮助组织实施合规性控制和政策管理。
该系统可以根据组织的安全策略和合规性要求,自动执行安全策略,并确保所有终端设备的安全控制和配置符合最高标准。
此外,终端安全管理系统还能够提供自动化的安全审计和合规性报告,以满足监管机构和审计需求。
综上所述,终端安全管理系统是一种重要的安全解决方案,它能够保护组织的终端设备免受安全威胁。
中软统终端安全管理系统系统介绍
中软统终端安全管理系统系统介绍1. 引言中软统终端安全管理系统是一种用于管理终端设备安全的软件系统。
在如今数字化普及的时代,终端设备已经成为人们生活和工作中不可或缺的一部分。
然而,随着终端设备的普及和使用范围的扩大,终端设备面临的安全威胁也在不断增加。
为了保护用户信息的安全和终端设备的稳定运行,中软统终端安全管理系统应运而生。
2. 功能特点中软统终端安全管理系统具有以下主要功能特点:2.1 终端设备监控与管理系统能够对接入终端设备进行实时监控和管理。
通过系统的监控功能,管理员可以实时查看终端设备的运行状态、网络连接情况以及是否存在异常行为。
管理员可以将终端设备进行分组管理,并对终端设备进行统一的配置和管理。
2.2 安全策略管理系统提供了丰富的安全策略管理功能,以确保终端设备的安全性。
管理员可以根据实际需求,制定各类安全策略,如访问控制策略、数据加密策略、防病毒策略等。
系统将自动对接入终端设备应用这些安全策略,并对违规行为进行预警和报警。
2.3 风险评估和分析系统可以进行风险评估和分析,帮助管理员及时发现和解决终端设备安全问题。
系统可以自动收集终端设备的安全事件和漏洞信息,并对其进行分析和评估,为管理员提供风险评估报告。
管理员可以根据报告中的信息,快速定位终端设备中存在的安全风险,并采取相应的措施加以解决。
2.4 安全日志管理系统对所有的终端设备操作和安全事件进行日志记录和管理。
管理员可以随时查看和分析终端设备的操作日志,快速判断终端设备的安全状态。
同时,系统支持对日志进行审计和追踪,确保终端设备安全管理的完整性和可靠性。
2.5 远程升级和维护系统支持对终端设备进行远程升级和维护。
管理员可以通过系统远程对接入终端设备进行操作和维护,包括软件升级、补丁安装、配置修改等。
远程升级和维护可以降低管理员的工作负担,提高终端设备安全管理的效率。
3. 系统架构中软统终端安全管理系统采用C/S架构,主要由以下几个组件构成:3.1 客户端组件客户端组件是安装在终端设备上的软件,用于收集终端设备的信息并与系统服务器进行通信。
终端安全管理系统
终端安全管理系统终端安全管理系统是一种软件工具,旨在帮助企业和组织保护其内部和外部计算机网络免受恶意软件、黑客和其他安全威胁。
终端安全管理系统包括各种防御措施,包括反病毒软件、防火墙、入侵检测、加密技术、身份验证和访问控制等。
终端安全管理系统的核心是监视和控制终端设备的安全状态。
终端设备是指连接到企业或组织网络的计算机、服务器、移动设备和IoT设备等。
通过监视终端设备,终端安全管理系统可以检测和防止未经授权的访问、恶意软件和其他安全威胁,并帮助组织追踪和管理终端设备。
终端安全管理系统的功能和特点:1.反病毒和恶意软件防御。
终端安全管理系统提供反病毒和反恶意软件的保护,可以监测和防止病毒、木马、僵尸网络和其他恶意软件的攻击。
2.入侵检测和防御。
终端安全管理系统可以检测并防御来自外部和内部网络的攻击,包括端口扫描、漏洞利用、拒绝服务攻击等。
3.防火墙和流量过滤。
终端安全管理系统可以控制网络流量,防止未经授权的访问和数据泄露,并保护网络资源免受攻击。
4.数据加密和保护。
终端安全管理系统可以加密和保护敏感数据,包括登录凭证、身份信息、网络流量和存储数据等。
5.访问控制和身份验证。
终端安全管理系统可以识别和验证网络用户的身份,并根据访问角色和权限限制网络资源的访问。
6.设备追踪和管理。
终端安全管理系统可以追踪和管理组织中的终端设备,包括计算机、服务器、移动设备和IoT设备等,并帮助组织保持设备安全和合规性。
终端安全管理系统的优势:1.终端安全管理系统提供全面的安全防御措施,可以有效地保护企业和组织的网络免受各种安全威胁和攻击。
2.终端安全管理系统具有高度的可配置性和自动化,可以根据企业和组织的安全需求和策略进行配置,减轻安全管理员的工作负担。
3.终端安全管理系统可以提供实时的安全警报,并帮助组织快速响应安全威胁和攻击,减少安全事件对组织的影响。
4.终端安全管理系统具有良好的可扩展性,可以根据企业和组织的安全需求和规模进行扩展,支持多用户和多设备管理。
中软统一终端安全管理系统
“中软统一终端安全管理系统(United Endpoint Management, 简称UEM)”,以其全新的安全理念、强大的功能体系、完善的技术架构,改变了传统的内网安全管理模式,实现了主机监控与审计的完美统一。
该系统采用了终端安全“一体化”的安全防护技术,整合了病毒防护监测、网络接入认证、终端健康性检查、系统身份认证、资产管理、补丁管理、运行监控和失泄密防护等等终端软件的安全功能,是终端安全的完整解决方案。
【系统功能】该系统的主要从以下几个方面保障内部安全:一.终端安全管理1.安全策略管理按照企业终端计算机安全管理规定,统一配置终端计算机的Windows安全策略,实现集中的安全策略配置管理,统一提高终端计算机用户的安全策略基线。
系统所能配置的安全策略有:帐户密码策略监视、帐户锁定策略监视、审核策略监视、共享策略监视、屏保策略监视。
2.终端入网认证对接入内网的计算机进行统一的管理,未经许可的计算机不能接入内网,接入内网的计算机必须通过安全性检查才能访问内部网络资源,其主要功能为:非法用户内联控制、主机安全性检查。
3.用户身份认证身份认证是系统应用安全的起点,通过硬件USBKey和口令认证登录Windows系统用户身份,保证进入Windows系统用户身份的合法性;对登录用户权限进行合法性检查,保证用户权限的合规性。
具体功能为:基于USBKey的身份认证、登录用户权限合法性检查。
4.网络进程管理通过对网络进程的统一管理,规范计算机用户的网络行为,实现“外面的网路连接未经许可进不来,里面的网络进程未经许可出不去”。
具体功能为:管理向外发起连接的网络进程、管理接收外部连入的网络进程、实时获取网络进程信息和会话连接状态。
5.防病毒软件监测通过策略设置输入防病毒软件特征,按照统一的策略监测防病毒软件使用状况,并进行统计分析形成统一的数据报表。
具体功能为:监视防病毒软件的使用状况、防病毒软件监测特征的自定义。
(安全生产)中软统终端安全管理系统系统介绍
(安全生产)中软统终端安全管理系统系统介绍目录第一章系统概述1第二章体系结构和运行环境3 2.1系统体系结构32.2推荐硬件需求42.3推荐软件需求4第三章系统功能63.1基本功能63.1.3 用户身份认证63.1.2 网络访问控制73.1.3 非法外联控制73.1.4 接口外设管理83.1.5 移动存储介质管理83.1.6 CDROM/CDRW/刻录机的控制8 3.1.7 辅助硬盘的控制83.1.8 打印机管理83.2可信移动存储介质管理[*]9 3.2终端接入管理[*]103.2.1终端接入认证103.2.2 终端安全检查103.2.3内网安全扫描103.3补丁管理与软件分发管理[*]10 3.3.1 补丁分发管理103.3.2软件分发管理113.4终端安全运维管理[*]123.4.1 系统运行状况监控123.4.2 软硬件资产管理133.4.3 安全策略管理133.4.4 防病毒软件监测143.4.5网络进程管理143.4.6文件安全删除143.4.7 进程管理153.5远程管理[*]153.6安全存储与传输管理[*]163.6.1 我的加密文件夹163.6.2 硬盘保护区163.6.3 文件安全分发163.7安全文档管理[*]163.8安全文档隔离管理[*]173.9电子文档权限管理[*]173.10文档密级标识与轨迹跟踪管理[*]17 3.11文件打印审批管理[*]183.12U盘拷贝审批管理[*]183.13光盘刻录审批管理[*]193.14系统管理与审计193.14.1 组织结构管理193.14.2 统计审计分析193.14.3分级报警管理193.14.4 响应与知识库管理203.14.5 服务器数据存储空间管理203.14.6 系统升级管理203.14.7 B/S管理功能支持203.14.8系统参数设置20第四章系统特点214.1全面的终端防护能力214.2分权分级的管理模式214.3方便灵活的安全策略214.4终端安全风险量化管理214.5周全详细的系统报表224.6丰富的应急响应知识库224.7完善的插件式系统架构224.8方便快捷的安装、卸载和升级22 4.9多级部署支持23附件一:名词解释24。
终端安全管理系统
终端安全管理系统终端安全管理系统是一个综合性的管理系统,可以集成多种安全防护技术,用以保护企业或个人终端设备的安全。
具有保护资料信息安全、确保系统稳定性、提高终端设备运行效率等多种功能。
下面我们从以下几个方面来详细介绍终端安全管理系统。
一、终端安全管理系统的基本概念1、终端指连接到某种网络的计算机或其他设备,是业务流程中最重要的部分,尤其在移动互联网的时代,终端具有越来越大的绝对优势。
2、终端安全管理指对企业或个人终端设备进行管理和保护,从而有效预防信息泄漏、身份诈骗、病毒攻击等安全问题的发生。
3、终端安全管理系统是一种集成了多种安全防护技术的系统,用于保护企业或个人终端设备的安全。
二、终端安全管理系统的核心功能1、病毒防护针对终端设备受到的各种威胁,病毒防护是终端安全管理系统的最基本和核心的功能之一。
它可以通过实时监控,自动发现并拦截病毒,从而对终端设备进行有效保护。
2、数据加密针对终端设备的敏感数据,终端安全管理系统可以采用加密的方式进行保护,以确保数据在传输和存储过程中不被窃取。
一些安全管理系统还可以支持数据备份和恢复功能。
3、远程管理终端安全管理系统可以远程管理终端设备,包括远程监控、远程维护等功能。
这可以让管理人员及时发现和解决问题,确保终端设备保持稳定和安全。
4、应用安全管理一些安全管理系统可以在终端设备上实施应用安全策略,比如限制应用程序的使用、控制其访问权限和传输的数据等,确保应用程序不会成为安全威胁的来源。
5、权限管理终端安全管理系统可以对不同的用户设置不同的权限,可以限制某些用户对某些敏感数据的访问和操作,从而保证数据的安全性。
6、防火墙设置终端设备常常作为企业网络中的一环,因此防火墙设置是必不可少的。
一些终端安全管理系统能够提供防火墙功能,从而保护终端设备免受网络攻击。
三、终端安全管理系统的应用价值1、保护终端设备免受海量病毒和恶意攻击,保护企业或个人敏感信息。
2、允许企业或个人自由使用互联网,同时有效地保护终端设备安全。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
目录第一章系统概述 (1)第二章体系结构和运行环境 (3)2.1系统体系结构 (3)2.2推荐硬件需求 (4)2.3推荐软件需求 (4)第三章系统功能 (6)3.1传播途径管理[*] (6)3.1.1用户身份认证 (6)3.1.2 网络访问控制 (7)3.1.3 非法外联控制 (7)3.1.4 接口外设管理 (8)3.1.5 移动存储介质管理 (8)3.1.6 CDROM/CDRW/刻录机的控制 (8)3.1.7 辅助硬盘的控制 (8)3.1.8 打印机管理 (8)3.1.9 截屏键控制 (9)3.2可信移动存储介质管理[*] (9)3.3终端接入管理[*] (10)3.3.1终端接入认证 (10)3.3.2 终端安全检查 (10)3.3.3内网安全扫描 (10)3.4补丁管理与软件分发管理[*] (11)3.4.1 补丁分发管理 (11)3.4.2软件分发管理 (11)3.5终端安全运维管理[*] (12)3.5.1 系统运行状况监控 (12)3.5.2 软硬件资产管理 (13)3.5.3 安全策略管理 (13)3.5.4 防病毒软件监测 (14)3.5.5网络进程管理 (14)3.5.6文件安全删除 (14)3.6远程管理[*] (15)3.7安全存储与传输管理[*] (16)3.7.1 我的加密文件夹 (16)3.7.2 硬盘保护区 (16)3.7.3 文件安全分发 (16)3.8可信计算管理[*] (16)3.9文档加密管理[*] (16)3.9.1加密控制 (17)3.9.2 解密控制 (17)3.9.3 打印控制 (18)3.9.5保护感知 (18)3.9.6 剪贴板控制 (19)3.9.7 截录屏控制 (19)3.9.8 离线控制 (20)3.9.9 非加密进程控制 (20)3.9.10 审批管理 (20)3.9.11 备份管理 (21)3.9.12 全盘扫描管理 (21)3.9.13 隔离管理 (21)3.9.14 密级标识 (22)3.9.15邮件附件加解密控制 (22)3.9.16移动存储介质文件保护 (22)3.9.17回家模式 (22)3.10业务系统数据防泄密管理[*] (23)3.10.1在线访问控制 (23)3.10.2本地访问控制 (24)3.10.3防伪冒控制 (24)3.11文档权限管理[*] (24)3.12文档密级标识与轨迹追踪管理[*] (27)3.13文件打印审批管理[*] (28)3.14U盘拷贝审批管理[*] (29)3.15光盘刻录审批管理[*] (30)3.16支持L INUX系统透明加解密[*] (30)3.16.1智能透明加解密 (31)3.16.2加密文件强保护 (31)3.16.3截屏键控制 (31)3.16.4文件扫描加密 (31)3.17系统管理与审计 (31)3.17.1 组织结构管理 (31)3.17.2 统计审计分析 (32)3.17.3分级报警管理 (32)3.17.4 响应与知识库管理 (32)3.17.5 服务器数据存储空间管理 (32)3.17.6 系统升级管理 (32)3.17.7 B/S管理功能支持 (33)3.17.8系统参数设置 (33)第四章系统特点 (34)4.1全面的终端防护能力 (34)4.2分权分级的管理模式 (34)4.3方便灵活的安全策略 (34)4.4终端安全风险量化管理 (34)4.5周全详细的系统报表 (35)4.6丰富的应急响应知识库 (35)4.8方便快捷的安装、卸载和升级 (35)4.9多级部署支持 (36)附件一:名词解释 (37)第一章系统概述随着信息化安全技术的不断发展,各种内网安全管理问题逐步凸现出来。
据IDC调查报告显示超过85%的网络安全威胁来自于内部,其危害程度更是远远超过黑客攻击所造成的损失,而这些威胁绝大部分是内部各种非法和违规的操作行为所造成的。
内网安全问题已经引起了各级单位的广泛重视,随着安全意识的不断增强,安全投入逐步增加,但是内网的安全事件却不断地增多。
分析其原因我们认为主要有以下几个方面:◆有章不循,有规不依,企业内网安全合规性受到挑战。
很多公司明文规定安装操作系统必须打最新的补丁,但是终端用户依然我行我素导致操作系统补丁状况不一,从而给蠕虫病毒、木马程序和黑客软件带来了可乘之机。
同时有些单位购买了防病毒软件,但是终端用户没有按照单位统一部署的要求安装防病毒软件,或者有些终端用户虽然安装了防病毒软件,但是没有及时更新病毒库,导致计算机病毒有机可乘。
对于终端安全管理,公司建立了很多安全制度,但是终端用户不按照公司安全规定要求,将不安全的计算机接入网络,从而引入了内网安全威胁,企业内网的安全合规性受到了严峻的挑战。
◆谋一时,而未谋全局,终端系统被划分为多个独立的信息安全孤岛。
各单位在解决各种内网安全问题上,通常缺乏统一、全面的内网安全解决方案。
按照“头痛医头,脚痛医脚”的内网安全防护加强思路,采购并部署了多款终端安全管理的产品,比如:身份认证、补丁管理、软件分发、病毒防护软件等等。
但是这些终端安全防护软件来自于不同的安全厂商,各种软件之间各自为政,缺乏统一管理、协调工作的机制,最终导致个人桌面系统被划分为一个个独立的信息安全孤岛,因此出现了终端安全管理混乱、内网安全漏洞百出,内网安全事件防不胜防。
◆百花齐放,百家争鸣,终端系统终因难堪负重,系统性能急剧下降。
为了加强终端安全管理,在个人桌面系统上同时安装了不同厂家的终端代理。
每种代理程序都需要实现自我防护、网络通信、运行监控等程序调度机制,需要重复的占用系统有限的CPU、内存等系统资源,导致个人桌面系统运行速度变慢,系统性能急剧下降。
同时,由于不同厂家的软件存在很多功能重叠的部分,而这些重叠部分往往是采用类似技术开发,从而导致不同软件之间频繁发生应用冲突。
治标不治本,本末倒置,软件购买费用增加,系统维护成本成倍增长。
通常终端管理软件大致分为三个组件,即:服务器、控制端、客户端代理。
每种服务器软件都需要独立的数据库和硬件服务器支撑,无形中增加了软件的部署成本。
同时,由于每种软件都有自己的控制台程序,管理员要针对每套系统生成它的控制策略,每套系统的数据审计都是分开的,管理工作非常多,管理员为每天的维护工作疲于奔命,从而导致管理疏忽。
针对以上几种原因,以及中软公司在对企业内网安全管理展开全面调查的基础上,创造性地形成了一套完备的终端安全“一体化”解决方案。
在过去的几年里中软公司一直致力于内网安全的研究,并在国内最早提出了一系列的内网安全管理理论体系和解决方案。
内网失泄密防护软件--中软防水墙系统的推出填补了国内内网安全管理软件的空白,并获得了若干国家专利局的技术专利。
防水墙系统连年获奖,其中在2006年“防水墙”被计算机杂志评为2005年度新名词。
中软公司早在2001年就开始致力于内网失泄密软件的开发,先后向市场推出了中软防水墙系统7.0版本、7.0+版本和7.2版本。
随着内网安全管理的复杂化,中软公司在复用防水墙系统成熟技术的基础上,引入先进的内网安全管理理念和新的内网安全管理技术重新搭建系统体系结构,自主研发了中软统一终端安全管理系统8.0(CSS United End-Point Management System,简称UEM8.0)。
该系统是以“木桶原理”为理论依据,以安全策略为驱动,按照PDR安全模型的“保护-检测-响应”工作流程循环检测,同时结合保密规定的“等级防护”指导方针,采用多种安全技术实现了对终端主机全方位、多层次的安全防护。
按照“保护-检测-响应”的工作流程逐步完善终端安全防护策略,并将事件处理方;式和处理流程登录到用户知识库,逐步形成内网事故应急响应流程和共享安全解决方案的知识库。
第二章体系结构和运行环境2.1系统体系结构系统分为三个组件:客户端、服务器和控制台,系统采用分布式监控,集中式管理的工作模式。
组件之间采用C/S工作模式,组件的通信是采用HTTP/HTTPS加密传输方式。
支持任意层级的服务器级联,上下级服务器之间采用HTTPS协议进行数据交换。
体系结构如图1 所示。
图 1 系统体系结构图⏹客户端:安装在受保护的终端计算机上,实时监测客户端的用户行为和安全状态,实现客户端安全策略管理。
一旦发现用户的违规行为或计算机的安全状态异常,系统及时向服务器发送告警信息,并执行预定义的应急响应策略。
⏹服务器:安装在专业的数据服务器上,需要数据库的支持。
通过安全认证建立与多个客户端系统的连接,实现客户端策略的存储和下发、日志的收集和存储。
上下级服务器间基于HTTPS进行通信,实现组织结构、告警、日志统计信息等数据的搜集。
⏹ 控制台:人机交互界面,是管理员实现对系统管理的工具。
通过安全认证建立与服务器的信任连接,实现策略的制定下发以及数据的审计和管理。
2.2 推荐硬件需求表格1 系统推荐硬件需求2.3 推荐软件需求表格 2 系统软件需求提示:⏹ 安全管理系统服务器,包括服务器软件和后台支持数据库。
建议在专用主机上安装安全管理系统服务器,并且关闭所有与安全管理系统无关的不必要的服务。
支持操作系统为MSWindows 2003 系列,推荐Advanced Server 版本。
⏹以上操作系统,没有特别说明,仅指32位操作系统。
⏹安全管理系统客户端不支持Linux系统,不能在windows双系统下同时安装UEM客户端。
⏹为保证用户正常使用安全管理系统,最好将安全管理系统服务器、控制台和客户端分别运行于独立的系统之上,同时用户安装前应将Windows版本进行升级,安装各自版本最高补丁。
第三章系统功能第三章系统功能随着内网终端安全地位的合理化,终端安全管理将进一步沿着整合化、平台化、统一化、基础化的方向发展。
内网终端安全一体化的需求越来越强烈,终端安全产品的形态将逐步发生变化,最后发展为兼顾安全防御与安全管理。
终端安全发展的历史使命终将通过一款“大、一、统”的终端安全产品来实现。
所谓“大”就是该产品功能所涵盖的范围大,它不但要包含网络接入认证、系统身份认证、资产管理、补丁管理、软件分发,还要包涵系统运行监控、用户行为监控等终端软件的所有功能。
所谓“一”就是一个终端代理、一台服务器就可以实现上述所有功能,一个网络管理员就可以全局控制整个内网安全。
所谓“统”就是指对所有的桌面系统应用统一的安全策略,对所有的终端用户采用统一的终端管理策略,对终端产生的日志进行统一的日志分析,为所有管理员提供统一的应急响应知识库。
各功能部件之间协调工作,统一管理,形成一个高效有机的安全代理。
通过统一的桌面管理平台降低系统的复杂度,提高了个人桌面系统的工作性能,降低了用户的维护管理成本。