天融信终端防护白皮书

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

网络卫士主机监控与审计系统
技术白皮书
目录
第一章前言 (1)
第二章产品概述 (1)
2.1产品架构 (2)
2.2设计依据 (3)
第三章功能简介 (3)
3.1统一安全策略管理 (3)
3.2集中补丁管理及软件分发 (3)
3.3终端行为监控 (3)
3.4终端系统状态监控 (4)
3.5非法外联监控 (5)
3.6非法内联监控 (5)
3.7终端设备监控 (5)
3.8移动存储介质管控 (5)
3.9文件监控及网络共享监视 (5)
3.10终端敏感信息检查 (5)
3.11终端流量监控 (6)
3.12安全审计 (6)
3.13安全报警 (6)
3.14资产管理 (7)
3.15与天融信TopAnalyzer的完美整合 (7)
3.16系统管理责权分立 (7)
第四章产品优势与特点 (7)
第五章产品性能指标 (7)
第六章运行环境与部署 (8)
6.1运行环境 (8)
6.2产品应用部署 (8)
6.2.1局域网应用部署 (8)
6.2.2广域网应用部署 (9)
第七章产品资质 (10)
第八章关于天融信 (10)
第一章前言
随着计算机网络技术的飞速发展与应用,各行业信息化办公已经得到普及。

各单位经过多年的信息化建设,单位内部网络应用日益复杂,主要体现在网络分布广泛、终端数量庞大、业务应用系统越来越多。

虽然大部分单位都部署了防火墙、漏洞扫描等网络边界安全设备,但是由于业务运行保密性需求越来越高,边界防御产品无法对员工的个人行为进行管制,网络中的终端PC的安全运行无法得到保障,使得单位内部网络想日常运营存在重大的安全隐患,内部网络中的大量敏感信息也受到严重威胁。

来自网络内部终端PC的安全威胁成为众多安全管理者需要面临的新问题,主要体现在以下几方面:
1)移动办公设备、终端PC以及存储介质随意接入内网该如何防范。

2)内网中的涉密设备非法连接外网该如何防范。

3)网络中占用大量带宽的终端如何才能及时发现。

4)如何及时发现网络中的终端设备的系统漏洞并自动分发、安装补丁。

5)对大量的终端资产如何进行统一管理,保障设备正常运行。

6)如何才能给单位内部制定全网的统一安全管理策略。

7)对于内部涉密信息该如何进行防范,防止敏感信息泄露。

8)如何做到点对点进行网络中异常终端的控制。

9)安全事件发生后如何进行事件还原与追溯。

10)如何构建一个对安全事件能及时响应的安全告警平台。

针对以上诸多安全隐患与需求,国内知名信息安全厂商天融信根据多年在信息安全领域所取得的研究成果,研制出网络卫士主机监控与审计系统(简称“TopDesk”)。

第二章产品概述
TopDesk是由天融信公司开发具有自主知识产权的内网安全综合防护产品。

系统从网络运行安全、终端运行安全以及终端数据敏感信息检查构建一个完整的网络终端安全防护体系。

TopDesk终端安全管理体系是基于PKI以及底层驱动技术,采用基于SOA理念而设计的面向服务的终端安全管理体系。

覆盖网络环境安全管理、终端资产管理、终端行为安全管理、终端服务安全管理、终端数据安全管理以及移动存储介质安全管理全方位、多层次、立体化的网络环境以及终端安全风险安全各个层面。

天融信TopDesk系统全面满足国家等级保护、分级保护以及塞班斯法案等的管理技术要求。

支持证书、口令、双因子等多种认证方式,实现自主访问控制、强制访问控制、角色访问控制、使用访问控制。

TopDesk采用云计算技术
支持大规模用户的多级部署、集中管理,实现可视化的网络环境以及终端安全风险全方位、多层次、立体化的安全管理与服务。

2.1产品架构
TopDesk 总体上从内网网络环境安全管理与终端桌面安全管理,从网络到终端,从终端到数据,有效保障单位网络以及终端的安全运行,为管理者制定内网统一安全管理策略提供有效的技术支撑和服务。

TopDesk终端安全管理体系层次架构如图2.1.1所示:
图2.1.1:TopDesk管理体系分层架构
从系统逻辑上看,系统采用B/S与C/S相结合的架构设计。

主要由管理控制台、服务器端、代理端三部分组成。

管理台主要用于管理者制定相关安全策略以及事件日志查看、统计报表、安全报警等;服务器主要进行终端安全认证、与代理端通讯、数据存储等;代理端主要根据用户制定的相关安全策略对终端进行安全管理,同时进行终端相关行为的审计,是本系统的核心所在。

TopDesk系统架构如图2.1.2所示:
图2.1.2:TopDesk系统架构
2.2设计依据
◆《信息安全技术信息系统安全等级保护技术要求》(GB/T 22239-2008)
◆《涉及国家秘密的信息系统分级保护技术要求》(BMB 17-2006)
◆《信息安全技术终端计算机系统安全等级技术要求》(GA/T 671-2006)
◆《信息技术安全技术信息安全管理体系要求》(GB/T 22080-2008)
◆《信息技术安全技术信息安全管理实用规则》(GB/T 22081-2008)
第三章功能简介
3.1统一安全策略管理
TopDesk为管理者提供一个统一安全管理平台。

管理者可以通过管理平台为单位内网制定统一安全管理策略。

灵活、强大的安全管理策略定制机制,让单位内网安全管理轻松、便捷、高效。

3.2集中补丁管理及软件分发
系统通过WSUS自动从互联网下载系统补丁,同时根据系统对终端系统补丁进行自动检测结果将各系统需要安装的系统更新程序或者其他软件包自动下发到终端,终端自动执行服务器下发的安装程序,帮助管理员对网内终端操作系统快速部署最新的安全更新和重要更新。

3.3终端行为监控
对终端操作行为进行统一监管与审计是本系统的重要功能之一。

主要针对终端的拨号、
打印、移动存储介质使用、文件操作、网络访问等行为进行统一管控。

●拨号监管
实时监控终端Modem拨号上网行为,可根据策略进行例外、禁止控制。

允许拨号上网时对行为进行日志审计。

●打印监管
实时对终端打印行为进行监管,可以根据策略控制终端允许、禁止打印,允许打印时对打印行为进行日志审计。

●网络访问行为监管
若允许访问网络,系统根据策略对终端的网络访问行为进行日志审计。

支持网址黑白名单。

3.4终端系统状态监控
实时监视在线终端的运行状态,主要包括:进程信息、端口连接信息、软硬件信息、CPU 使用率、磁盘使用率、内存使用率、网络流量等。

●进程监控
提供黑白名单管理,可以自动终止黑名单中的进程,保证终端运行进程的可控性;可手动远程终止指定终端上面的用户进程;
●端口连接监视
提供黑白名单两种方式,保证主机网络状态的可控性;监视终端的连接状态;关闭终端指定端口。

●软/硬件信息监视
可以监视终端的安装的软、硬件信息,当软硬件信息改变时,提供了报警功能。

●性能信息监视
可以监视终端系统的CPU、磁盘、内存的使用情况,并可以定制各种策略对终端使用CPU、磁盘、内存做出限制,出现异常后及时进行报警。

●杀毒软件的检测
TopDesk 提供了杀毒软件检测功能,可检测主机运行的杀毒软件版本和杀毒软件病毒库版本及升级时间等信息,目前支持检测国内外大部分主流杀毒软件,包括:瑞星、赛门铁克、McAfee、卡巴斯基等。

3.5非法外联监控
自动探测终端与互联网的连通性。

若自动能连通互联网则根据策略进行报警、断网、重启等管控措施,同时进行日志审计。

可与天融信硬件防火墙进行联动,禁止未安装代理软件的终端访问互联网。

3.6非法内联监控
对接入内网的终端进行合法性与安全性检查。

只有合法且安全的终端才能允许接入内网。

不合法或者不安全的终端根据策略进行消息提示、阻断网络、重启计算机(安装Agent时生效)等操作。

系统支持802.1x认证,也支持与硬件防火墙的复合认证。

3.7终端设备监控
对计算机外设如光驱、软驱、USB普通设备、USB移动存储设备、打印机、调制解调器、串口、并口、1394控制器、红外设备、蓝牙设备、PCMCIA卡、磁带机、图形处理设备、网卡、智能卡等设备进行控制,有效防止数据通过外设泄露。

3.8移动存储介质管控
对计算机外设如软驱、光驱等实时监控,对于移动存储设备进行标签化管理,区分内部和外部设备,有效保护了内部机密数据。

3.9文件监控及网络共享监视
根据策略对指定文件和目录的访问行为(创建、修改、删除、重命名等)进行监控。

系统根据策略能对Windows网络共享目录的访问行为进行监视,记录详细的访问日志。

3.10终端敏感信息检查
针对终端存储的word、pdf、Excel、文本文件等进行全盘关键字检查,并根据策略对含有制定关键字的文档进行禁止发送、禁止打印、禁止拷贝等管控,同时将文档信息上报服务器。

支持复合关键字检索,支持关键字出现频率制定。

图3.10关键字检索策略
3.11终端流量监控
可以通过设置流量统计策略来监控终端实时网络流量,当流量峰值超出设置的阈值后可以根据策略内容提示用户或者阻断终端的网络。

对网络内终端的流入、流出流量进行排序,可以自定义查看Top N的流量排名。

图3.11:流量管理策略
3.12安全审计
管理者可以通过统一管理平台进行统一安全审计管理。

系统提供完备的日志查询功能以及多样化的统计分析报表。

3.13安全报警
安全管理员可以确定报警日志的类型,系统可以配置多个报警终端,报警终端的设置由
安全管理员设置。

3.14资产管理
可以根据网络终端接入网络情况,自动检测到系统的配置;具有防止用户私自更改系统配置,用户更改系统配置,系统会产生审计日志。

3.15与天融信TopAnalyzer的完美整合
TopDesk 可以和天融信安管平台联合部署。

通过整合,可以从内到外保证企业网络的安全,减少安全事件的发生,并帮助管理员快速定位、解决网络安全故障。

3.16系统管理责权分立
系统管理责权分离。

管理角色分为系统管理员、系统审计员。

管理角色账号分别与UKey 绑定。

管理员主要负责介质集中注册、策略配置、终端管理、终端日志查看等系统管理工作;审计员主要负责对系统管理员的日常操作进行监管,查看管理员对系统的操作日志。

第四章产品优势与特点
●终端敏感信息检查功能,同类产品唯一。

●带宽控制欲断点续传,充分利用带宽资源,尽量减小对业务系统的影响。

●基于802.1X协议安全准入,通用性更强。

●同类型产品中唯一能与天融信防火墙联动,更好的保证单位内网的安全运行。

●支持单级局域网部署与广域网多级部署、级联管控。

●支持终端流量管理,并图形化展示,便于管理者及时掌握内网流量分布情况。

第五章产品性能指标
●客户端关键控制进程驻留在操作系统内核,不存在控制进程被杀、被卸,从而使控制失
效的问题
●对移动存储设备的控制不依赖于具体的移动存储设备厂家,对移动存储设备的数据保护,
也不依赖于具体存储设备厂家
●切断终端主机和国际互联网连接的时间〈= 1秒
●内联控制不依赖于网络中的交换设备
●CPU占用的峰值〈= 2%(500M主频CPU)
●系统和各种系统的兼容性好,这些软件包括办公软件如OA、office,工程软件如CAD、
PDM、CAPP,安全软件如防病毒、安全评估、入侵检测等
审计中心支持自动备份,并具有数据恢复功能
第六章运行环境与部署
6.1运行环境
表6.1:推荐配置
6.2产品应用部署
TopDesk严格遵循内网安全管理与终端断点安全管理并重的理念,为管理者构建一个从网络到端点的统一内网安全管理体系。

实现单位局域网终端的统一管理,并能支持多级部署、级联管控的广域网架构,为网络结构复杂、分散的大中型用户的内网统一安全管理提供最佳管理手段。

6.2.1局域网应用部署
对于一般小型或者网络结构相对简单的网络,直接使用一套本系统软件即可实现集中管理所属区域内的所有终端设备。

典型应用部署如图6.2.1所示:
图6.2.1:局域网应用部署
6.2.2广域网应用部署
对于大规模的多个局域网或者跨地域广域网(包括基于国家、省、市、县等多级管理模式的网络结构),可使用本系统提供的多区域级联集中管理构架,即一个或多个网段各拥有一套独立的TopDesk产品的同时,上级管理者可以根据管理需要向下级制定强制管理策略,下级将本级的统计和报警信息转发给上级管理系统,便于上一级管理人员对整个网络的状况能够完全掌握。

典型的分级部署如图6.2.2所示:
图6.2.2:分级部署
第七章产品资质
●计算机信息系统安全专用产品销售许可证
●涉密信息系统产品检测证书
●军用信息安全产品认证证书(C+)
●计算机软件著作权登记证书
●中国国家信息安全产品认证证书(ISCCC)
第八章关于天融信
北京天融信科技有限公司(简称天融信)1995年成立,总部设在北京。

作为中国信息安全行业领导企业,十六年来天融信人凭借着高度民族使命感和责任感,秉承“融天下英才、筑可信网络”的人才理念,成功打造出中国信息安全产业领先品牌TOPSEC。

从1996年率先推出填补国内空白的自主知识产权防火墙产品,到自主研发的可编程ASIC安全芯片,到全球首发新一代可信并行计算安全平台,再到云时代超百G机架式“擎天”安全网关;天融信公司坚持自主创新完成了国内安全产品跟随、跟近甚至超越国际知名产品的过渡。

2001年天融信率先推出“TOPSEC”联动协议标准,2005年提出“可信网络架构(TNA)”,2008年提出构建“可信网络世界(TNW)”。

无论安全技术还是安全理念,天融信始终引领
和见证着中国信息安全产业发展的每一个里程碑。

历经十六年的市场考验与技术积累,天融信目前拥有包括政府、军队、金融、能源、电信、教育等众多行业的数万家客户,同时积极尝试拓展海外市场。

公司建立了以北京为中心覆盖全国三十多个省市的支撑服务平台,拥有由近千名信息安全专业研发、技术与服务人员构成的强大服务团队。

据权威机构统计,天融信品牌连续多年位居中国信息安全产品市场占有率领先地位。

时至今日,公司已经发展成为中国知名的信息安全技术研究、产品开发和安全服务的高科技企业,正在努力向世界级信息安全企业的目标迈进。

天融信将“可信网络安全世界”作为品牌理念,以“可信安全管理(TSM)”为架构核心,携手客户和合作伙伴整合资源,共同创建一个可信的、安全的网络世界。

感谢您关注天融信产品!
公司地址:北京市海淀区上地东路1号华控大厦
邮编:100085
电话:+8610-82776666
传真:+8610-82776677
服务热线:+8610-8008105119
如果您希望得到更多的关于天融信的产品信息、技术支持以及产品的报价等信息,请您查阅我公司网站:。

相关文档
最新文档