[内网准入与信息安全系统]功能介绍
内网信息安全系统
产品介绍书
北京中瑞讯博信息技术有限公司
2010/11
目 录
1
引言 . .......................................................................................................................................... 2 1.1 公司介绍 . ...................................................................................................................... 2 1.2 内网安全的紧迫性 . ...................................................................................................... 2 1.3 内网安全的主要防护内容 . .......................................................................................... 2 中瑞讯博内网信息安全产品与解决方案 . .............................................................................. 4 2.1 内网准入 . ...................................................................................................................... 5 2.2 系统补丁管理 . .............................................................................................................. 6 2.3 非法外联管理 . .............................................................................................................. 6 2.4 外设和介质管理 . .......................................................................................................... 6 2.5 数据安全 . ...................................................................................................................... 7 2.6 主机防火墙和入侵防护 . .............................................................................................. 7 2.7 行为管控 . ...................................................................................................................... 7 2.8 资产管理 . ...................................................................................................................... 8 2.9 安全管理与审计 . .......................................................................................................... 8 中瑞讯博产品的功能特性 . ...................................................................................................... 8 3.1 全面的准入控制 . .......................................................................................................... 8 3.2 对终端的全面防护 . ...................................................................................................... 9 3.3 对设备和文档的加密 . .................................................................................................. 9 3.4 对输出设备的使用控制 . .............................................................................................. 9 3.5 强大的审计功能 . .......................................................................................................... 9 3.6 内核级文件加密 . ........................................................................................................ 10 3.7 支持在线与离线两种工作模式 . ................................................................................ 10 3.8 可靠性高 . .................................................................................................................... 10 3.9 安全性高 . .................................................................................................................... 10 3.10 易用性好 . ................................................................................................................ 10
2
3
1 引言
1.1 公司介绍
北京中瑞讯博信息技术有限公司是由归国留学人员创办的高新技术企业,公司注册在中关村园区核心区。中瑞讯博从事企业信息化和企业信息安全,致力于推进企业信息化和企业信息安全的技术研究、产品开发、解决方案和服务,实现企业信息化、网络安全、通讯安全、交易安全、资产安全、商业秘密安全。
随时保持与世界先进技术的同步,是中瑞讯博保持持续快速发展的重要基础。公司经验管理团队具有大型企业的管理经验,技术核心人员均来自国内外著名的跨国或上市公司(例如百度、启明星辰),具有多年的企业信息化、网络和信息安全经验,并聘有中国工信部信息安全协调司、谷歌、启明星辰、Juniper Networks、清华法学院、中鼎讯博(北京)、北京天骏等单位和企业的资深人士做顾问。
1.2 内网安全的紧迫性
人们对于网络安全,特别是局域网的安全,倾向于向外用力。但据美国CSI/FBI在《计算机犯罪与安全调查报告》中指出,因内网安全漏洞造成的损失占所有计算机安全事故的一半以上;IDC 的安全统计数据显示,来自企业内部终端的安全威胁占整个安全威胁的70%以上;中国国家计算机网络应急技术处理协调中心CNCERT/CC的《全国网络安全状况调查报告》指出,终端隐患已成为最大的安全威胁之一。内网终端已经成为企业网络的薄弱点,越来越多的企业都已经深刻认识到部署内网安全产品的重要性。
1.3 内网安全的主要防护内容
内网安全的一个理念就是,要建立一个可信、可控的内部安全网络。内网的终端构成了内网90%以上的组成,当之无愧地成为内网安全的重中之重。因此内网安全的重点就在于终端的管理。
管理终端,建立一个可控的内网,至少必须完成以下基本问题的处理: ● 非法接入内网问题
公司内网连接着众多的服务器和终端,运行着OA 、财务、ERP 等众多系统和数据库,未通过认证的终端如果随意接入内网,将使这些服务器、系统和重要数据面临被攻击和窃取的危险。
● 非法外联问题
通常情况下,内网和外网之间有防火墙、防病毒墙等安全设备保障内网的安全性,对于保密网络,甚至是要求与外网物理隔绝的。但如果内部人员使用拨号、宽带、GPRS 、CMDA 等方式接入外网,使内网与外网间开出新的连接通道,外部的黑客攻击或者病毒就能够绕过
原本连接在内、外网之间的防护屏障,顺利侵入非法外联的计算机,盗窃内网的敏感信息和机密数据,造成泄密事件,甚至利用该机作为跳板,攻击、传染内网的重要服务器,导致整个内网工作瘫痪。而内部人员也可利用不受监管的非法外联发送或泄漏公司的商业秘密。
● 使用软件违规问题
内部人员在计算机上安装使用盗版软件,不但引入了潜在的安全漏洞,降低了计算机系统的安全系数,还有可能惹来版权诉讼的麻烦。而一些内部人员出于好奇心或者恶意破坏的目的,在计算机上安装使用一些黑客软件,从内部发起攻击。还有一些内部人员安全意识淡薄,不安装指定的防毒软件等等。这些行为都对内网构成了重大的安全威胁。
● 终端漏洞问题
公司内的员工保密意识和计算机操作水平参差不齐,很多员工不能及时更新操作系统或应用软件的安全补丁,增大终端被攻击和病毒侵入的风险。
● 使用者上网行为问题
很多公司员工经常使用QQ 、MSN 之类的进行聊天,使用迅雷之类的软件P2P 下载,或上网观看视频,会造成工作效率低下、公司带宽被占用的情况。还有员工登录论坛留言发帖,可能发表非法或恶意信息,使公司受到相关部门的处罚或名誉受损等。
● 计算机外部设备管理使用问题
如果不加限制地让内部人员在内网计算机上安装、使用可移动的存储设备如软驱、光驱、USB 接口的闪盘、硬盘、数码相机等,会通过移动存储介质间接地与外网进行数据交换,导致病毒的传入或者敏感信息、机密数据的传播与泄漏。
● 重要文件保护问题
大多公司的重要文件,例如代码、图纸、客户资料等,没有设立完善的保护制度,大多未加密存放,并且允许员工私自拷贝和带出,给公司的商业秘密造成很大的问题。
● 计算机、打印机等公用资产管理
公司里终端计算机众多,有的员工私自拆卸、非法接入一些配件,造成公司资产的损坏或流失。有的员工利用公司打印机私自打印私有文件或公司秘密文件,造成公司损失和泄密。
● 终端各类行为的审计
绝大多数公司的开放式管理无法对终端的使用、员工的上网行为、打印机等资产使用行为进行管理和审计,使得资产受到损失时无法取证。
2 中瑞讯博内网信息安全产品与解决方案
中瑞讯博深入研究目前企业面临的内网安全状况,结合不同的企业规模和网络结构,定制个性化的产品和解决方案。
简化的网络拓扑图如下:
中瑞讯博推出的《内网准入与信息安全系统套件》包含如下几大功能: (1) 内网准入 (2) 系统补丁管理 (3) 非法外联管理 (4) 外设和介质管理 (5) 数据安全
(6) 主机防火墙和入侵防护 (7) 行为管控 (8) 资产管理
(9) 安全管理与审计 功能拓扑图如下图:
2.1 内网准入
终端接入企业内网时强制认证,未通过认证的终端不能接入内网的可信区域,不能访问内网。
系统功能:
(1) 可信终端管理
(2) 802.1x 接入认证管理,支持现有市场的主流交换机和无线AP (3) 可与域服务器或LDAP 服务器结合提供认证
(4) 未注册终端接入访问区域限制(vlan 限制或强制网络限制) (5) 未安装关键系统补丁的终端接入限制 (6) 运行不可信进程、服务的终端接入限制 (7) 支持USB Key作为可信凭据 (8) 准入审计
(9) 可信终端拒绝不可信终端的访问 系统特性:
(1) 部署容易,成本小,不改变现有企业网络拓扑
(2) 支持现有市场的主流交换机和无线AP ,不受交换机、路由器或集线器的影响,可
保护企业现有投资
(3) 准入控制强,即使密码认证通过,但终端不安全时仍可限制准入 (4) 集中管理和部署,终端部署快速 (5) 完善的审计功能
(6) 可信终端拒绝不可信终端的访问,即使未准入的终端配置或获取的有效地IP 地址,
但仍被可信终端拒绝访问
2.2 系统补丁管理
该系统强制终端用户打开Windows Update服务,并自动搜索系统漏洞,强制用户安装系统补丁,增强终端本身的安全性。
系统功能:
(1) 监视Windows Update服务,强制用户启动 (2) 自动扫描系统漏洞,强制下载安装漏洞补丁 (3) 服务端自动下载Windows 的最新补丁 (4) 补丁库自动维护
(5) 补丁下载和分发策略控制 (6) 补丁下载安装审计
2.3 非法外联管理
安装在终端上的客户端软件监测系统网络情况,除企业规定的本机网卡、无线外,禁止其他方式接入Internet ,包括电话拨号、GPRS 、CDMA 、USB 网卡、PCI 网卡等。
系统功能:
(1) 禁止拨号连接
(2) 禁止利用手机GPRS 、CDMA 等上网
(3) 禁止利用添加的USB 网卡、PCI 网卡上网 (4) 外联审计
2.4 外设和介质管理
管理终端的USB 端口、打印机端口、COM 端口、红外、蓝牙等,管理USB 设备、USB 存储等。
系统功能:
(1) 管理终端的USB 端口、打印机端口、COM 端口、红外、蓝牙,可设置开放或关闭
某些端口或设备
(2) 管理USB 设备、USB 存储,可设置读写策略 (3) 可管理可信U 盘(安全U 盘),可信U 盘允许读写 (4) 对U 盘等设备进行加密管理
(5) 对外设的使用、U 盘内文件的操作全程审计
2.5 数据安全
对企业的重要电子文档,例如图纸、代码、设计文档、客户资料等进行安全管理。 系统功能: (1) (2) (3) (4) (5) (6) (7) (8) (9) (10) (11)
使用高强度密匙,对称和不对称两层加密
可全部加密,也可设置加密的文件类型(不仅仅根据扩展名) 文档移动、传播中仍然加密
文档密级可以划分,完全符合国家等级保护相关规定 不同企业密匙不同,同一企业内还可设定部门权限
实现应用程序数据透明加解密,不会影响办公软件的正常使用,不会改变用户正常使用软件行为方式
用户可申请文档解密、外发,需要解密权限 可控制打印水印(需要打印机驱动支持) 可控制剪贴板,控制剪切和拷贝
保密性强,即使计算机或磁盘丢失,文件也不会被破解 全面审计
2.6 主机防火墙和入侵防护
虽然企业内的终端很多也部署了杀毒软件或者防火墙,但策略设置都是使用者单独设置的,往往与公司的统一策略不同。并且不能与准入认证联动,往往对于非授权终端的访问或攻击无法处理。本系统提供主机防火墙和主机入侵防护功能,可有效地提高终端的安全。
本系统的功能:
(1) 集中管理的防火墙策略
(2) 对非授权终端访问的自动拒绝
(3) 主机入侵保护,防止针对主机的黑客攻击,保护终端安全 (4) 可对网络行为进行分析,限制或拒绝流量异常的网络访问,例如可限制大量链接的
p2p 下载 (5) 防ARP 欺骗
(6) 完善的审计,可分析审计日志,更新防护策略
2.7 行为管控
本系统提供行为管控功能,可规范员工正常的使用终端,防止随意安装软件、更改注册表、浏览非法网站或发表恶意评论等。
系统功能:
(1) 监控软件的安装行为,可通过预先设置的软件黑名单进行阻止和报警 (2) 监控注册表,对注册表的更改进行提示记录
(3) 记录和审查员工的上网行为,包括HTTP 、SMTP 、Telnet 、FTP ,以及其他类型的网
络行为,可根据预设的策略进行检查,防止浏览非法网站、发送涉密信息、发表恶意评论等
(4) 对各类行为进行完善审计
2.8 资产管理
为了有效地保护企业资产,本系统提供终端资产管理功能,自动收集终端的硬件资产信息和软件资产信息,监视终端的资产变化,避免企业资产的流失,方便企业统一管理。
2.9 安全管理与审计
系统对各类功能提供日志记录和审计功能。 审计功能包括:
(1) 系统本身采用三权分立的方式,系统管理员、策略配置员、审计员,各司其职,防
止越权操作
(2) 系统提供安全的用户管理和访问,B/S架构采用SSL 加密,可设置允许访问的终端
(结合客户端证书,例如USB Key),用户登录连续失败后临时锁定,防止暴力破解和攻击
(3) 所有的系统操作和终端监控都形成日志,并提供多方面的查询、显示,形成报表
3 中瑞讯博产品的功能特性
《内网准入与信息安全系统套件》由软件系统和硬件(USB Key )组成。软件系统包含认证管理服务和客户端组成,分别部署在服务器和终端,USB Key作为内网准入密匙和加密密匙。
3.1 全面的准入控制
能有效地保护内网中的所有被保护节点,没有通过授权认证的接入点不能访问任何被保护节点。具有下列优势:
⏹ 部署容易,成本小,不改变现有企业网络拓扑 ⏹ 认证系统支持目前绝大多数的交换机,因此部署时基本不需更换交换机等设备,可
保护企业现有投资 ⏹ 对网络性能没有影响
⏹ 访问控制强,可以控制进程和端口访问,带宽管理等 ⏹ 集中管理简单,问题节点追查容易
⏹ 审计功能强,可对每个节点的进程、端口、带宽等进行审计
3.2 对终端的全面防护
在终端上提供漏洞补丁下载、防火墙、入侵防护、用户行为监控,可实现全面的防护: ⏹ ⏹ ⏹ ⏹ ⏹ ⏹
允许或禁止某些进程访问网络 可以允许或禁止开放某些本地端口 禁止未认证终端的访问 拒绝黑客攻击行为 监控和限制安装软件 监控和限制修改注册表
3.3 对设备和文档的加密
提供对移动设备的全盘加密,对文件的加密:
⏹ 加密模块可对整块硬盘、U 盘、USB 移动硬盘进行整体加密,即使设备被非法挂接
到其他计算机也无法识别里面的内容。 ⏹ 加密模块可创建虚拟加密卷(分区),虚拟加密卷中的文件都被加密保护。 ⏹ 加密模块可对特定类型的文件实施加密,被加密的文件转移到未授信的计算机上不
能解密,保障涉密文件的安全。
⏹ 被加密的文件可由授信人员(具有授信权限的人)手动脱密,可用于特定场合的移
交。
⏹ 被加密的文件可设置拷贝、打印权限,防止内容转移到非加密文档中。
3.4 对输出设备的使用控制
加密模块可对计算机的各类输出设备进行控制,防止文件被非法输出: ⏹ ⏹ ⏹ ⏹ ⏹
USB 存储设备。包括U 盘、USB 硬盘、存储卡等 刻录设备。包括刻录机等 蓝牙、红外等。
打印机并口、串口等。 非法外联管理,可禁止通过拨号等方式接入外网。如果其中一个网络接口已经接入企业内网,则可以禁止其他方式接入网络。
3.5 强大的审计功能
系统具有强大的审计功能,提供以下数据的审计:
⏹ 系统操作审计。对各个管理员对系统的更改配置等全面记录 ⏹ 终端接入审计。包括接入时间、下线时间、接入时长等
⏹ 网络访问审计。包括进程、端口、流量等
⏹ 通信内容审计。可根据用户设定的关键字进行记录审计(例如发送涉密信息、论坛
上发表敏感内容)
⏹ 终端资产审计。包括硬件和软件资产的变化,有效保护企业资产
⏹ 外设使用审计。包括U 盘、USB 硬盘在内的多种外设
⏹ 文档访问审计。对特定文件类型和密级文件进行访问审计,跟踪文件的创建、修改、
移动、删除,防止泄密以及记录泄密证据
3.6 内核级文件加密
对硬盘和文件的加密均为内核驱动级加密,对应用程序透明,不改变用户的使用习惯,不影响用户的正常操作。
3.7 支持在线与离线两种工作模式
正常接入企业内网后称作在线模式,脱离企业内网称作离线模式。离线模式下的策略可单独配置,可允许继续使用终端。
3.8 可靠性高
认证管理服务器可双机热备,保证企业网络畅通。
3.9 安全性高
⏹
⏹
⏹
⏹ 支持系统管理员、配置管理员、审计员三权分立的操作管理模式 准入和加密认证采用USB Key,安全性高 每个USB Key与一台机器绑定,不匹配的USB Key不能准入和解密 接入终端上安装的客户端软件有防卸载保护,防止非法卸载
3.10 易用性好
⏹
⏹
⏹
⏹
⏹
⏹
⏹
支持级联管理,支持异地的大型企业 支持B/S模式操作界面,便于管理 支持接入点分组,支持组策略,便于策略维护 支持审计数据的自动和手动报表 支持审计数据的自动和手动导出、备份 支持系统报警,报警信息可发送到指定的邮箱 功能模块可单独授权,方便用户购买和部署
- 10 -