【产品管理】北信源桌面安全防护产品

内网桌面管理及趋势杀毒使用端口
端口号用途端口协议数据方向80 标准的http协议端口，Web管理界面使用，几乎所有的网页浏览通过此端口TCP 双向
88 区域管理器使用TCP 双向
161 SNMP扫描使用TCP 双向
188 当88端口被占用时，区域管理器启用188端口TCP 双向
288 报告区域管理器存活端口TCP 双向22105 区域扫描器和客户端通信使用，包括策略下发，文件、补丁分发，客户端上报信
TCP 双向息等，均要通过该端口实现
22106 捕获数据的侦听端口。

网络拓扑功能和Snmp扫描功能通过该端口实现TCP 双向
TCP 双向22108 使用点对点控制中的数据包分析支持工具时使用，数据包分析使用需先与被控端
建立通讯后，接受相关的数据包
8889 报警中心和区域管理器通信通过该端口实现TCP 双向8900 使用点对点控制中，屏幕支持工具使用TCP 双向8901 使用点对点控制中，屏幕支持中的文件传输功能使用TCP 双向
53 客户端向服务器报告存活信息UDP 双向
137 发现机器名和MAC地址UDP 双向
TCP 双向2388 区域管理器数据接收端口，一般接收注册率、操作系统新系等相关数据，当该区
域管理器为级联管理器的下级管理器或中间管理器时，该端口负责接收数据，并
且，向上级区域管理器转发数据。

2399 区域管理器数据接收端口，一般接收报警等相关数据，当该区域管理器为级联管
TCP 双向理器的下级管理器或中间管理器时，该端口负责接收数据，并且，向上级区域管
理器转发数据。

8080.55555.4343 趋势防病毒与客户端连接、升级、管理TCP\UDP 双向。

目录完整安全提升价值推进效益 (6)●内部网络面临的安全问题 (6)终端安全管理系列产品架构 (8)●产品系列 (9)●产品部署和管理构架 (10)●系列产品统一策略管理中心 (11)●系统自身安全 (11)●系统所需软硬件配置 (12)产品简介 (13)产品一北信源内网安全管理系统...................... . (14)●基本产品包 (14)●终端桌面管理产品包 (15)●终端安全管理产品包 (15)●网络主机运维产品包 (16)●非法外联管理产品包 (16)产品二北信源补丁及文件分发管理系统 (17)●产品背景 (17)●系统功能概述 (17)●系统功能描述 (18)●网络应用 (18)●系统组件 (18)●系统构架 (19)产品三北信源主机监控审计系统 (20)●产品背景 (20)●系统功能描述 (20)●管理功能描述 (21)产品四北信源终端安全登录与监控审计系统 (22)●功能概述 (22)●系统功能概述 (22)产品五北信源移动存储介质使用管理系统 (23)●移动存储介质数据交换引发的安全问题 (23)●技术特点及应用 (23)●系统功能描述 (24)●系统管理构架 (25)产品六北信源网络接入控制管理系统 (26)●产品背景 (26)●系统功能描述 (26)●系统管理构架 (26)产品七北信源移动存储介质信息消除系统 (28)●产品背景 (28)●功能概述 (28)●系统功能描述 (28)●系统管理构架 (29)产品八北信源安全U盘系统（专利技术） (30)●系统功能描述 (30)●加密 (30)产品九接入认证网关 (31)●功能概述 (31)●系统管理构架 (31)●系统功能描述 (31)●功能特点 (32)产品十北信源Intel vPro (AMT)管理支持系统 (33)●功能概述 (33)●系统功能描述 (33)产品十一北信源信息安全管理通告平台系统 (34)产品十二北信源网站防护系统 (36)●产品背景 (36)●产品概述 (36)●系统功能概述 (36)●系统部署 (37)产品资质 (38)公安部认证证书（内网安全管理及补丁分发系统） (39)公安部认证证书（移动存储管理系统） (39)公安部认证证书（网络接入管理系统）....................................................... .39 公安部认证证书（非法外联及客户端安全监控系统）....................................... .39 公安部认证证书（终端安全登陆与监控审计系统） ......................................... .40 公安部认证证书（网站防护系统） . (40)中国信息安全产品测评认证中心认证 (40)涉密信息系统产品检测证书（移动存储介质使用管理系统） (40)涉密信息系统产品检测证书（主机监控审计与补丁分发系统） (41)涉密信息系统产品检测证书（存储介质信息消除工具） (41)军用信息安全产品认证证书 (41)质量管理体系认证证书 (41)全国人大、全国政协现场工作保障证 (42)2008年奥运会、残奥会现场信息安保服务奖牌 (43)荣誉用户 (44)完整安全提升价值推进效益——构筑坚强有力的终端安全管理平台●内部网络面临的安全问题提起网络安全，人们自然就会想到网络边界安全，但实际情况是网络的大部分安全风险均来自于内部。

产品简介一、准入操纵系列产品1、北信源网络接入操纵治理系统●产品背景北信源网络接入操纵治理系统能够强制提升企业网络终端的接入安全，确保企业网络爱护机制的连续性，实现企业网络安全从质到量的提升。

同时，通过与北信源接入操纵网关的联动，还能够实现对远程接入企业内部网络的终端进行身份唯一性及安全性认证。

通过北信源网络接入操纵治理系统能够满足企业对终端接入网络的安全性要求，将终端接入操纵覆盖到企业网络的每一个角落。

同时，使得终端接入操纵不再依靠于具体的网络或通信设备，甚至是当使用者拿着他们的移动设备离开企业网络时，仍能有效执行对终端下发的接入操纵策略。

北信源网络接入操纵治理系统不需要对现有网络结构进行改造便可进行部署，具备简单、方便、安全、易扩展的特性。

●系统功能描述1)基于802.1X的终端接入认证治理;2)外部终端接入访问限制；3)外部终端接入身份认证；4)杀毒软件检测及访问限制；5)补丁自动检测及访问限制；6)进程、服务、注册表信息检测及访问限制；7)未达到预定义安全级不接入访问限制。

●系统功能特点1)全面支持市场主流交换机；2)能够实现无线802.1X接入认证；3)能够与用户现有AD域或LDAP进行联动认证；4)能够实现终端异地漫游的自动接管认证；5)能够实现终端认证数据检测，防止虚假第三方认证。

●系统治理构架北信源网络接入操纵治理系统由以下几部分组成：1)策略服务器：系统策略治理中心，提供系统的参数配置和安全策略治理。

2）认证客户端：安装在终端计算机，通过用户名和密码向认证服务器发起认证，实现正常工作区、访客隔离区、安全修复区的自动切换。

3）Radius认证服务器：接收客户端认证请求信息数据包并进行验证。

4）Radius认证系统 (交换机) ：可网管支持802.1x的网络设备（交换机），接收认证客户端的认证请求数据包与Radius认证服务器完成认证过程。

5）可选配强制注册网关（硬件）：在不完全支持802.1x的网络中可选装强制注册网关，完成未注册终端访问网页时进行DNS重定向或HTTP重定向，以达到强制注册目的。

北信源终端安全管理解决方案北信源终端安全管理解决方案客户端安全管理概述客户端桌面安全管理技术的兴起是伴随着网络管理事务密集度的增加，作为网络管理技术的边缘产物而衍生的，它同传统安全防御体系的缺陷相关联，是传统网络安全防范体系的补充，也是未来网络安全防范体系重要的组成部分。

因此，客户端桌面安全管理技术无论在现在还是未来都应当归入网络安全产品体系之列。

客户端桌面安全管理强化了对网络计算机终端的控制，对计算机终端的管理包括：资源资产、终端安全策略、桌面风险控制、补丁分发、终端运行状态监控以及终端涉密审计等。

客户端桌面安全管理系统提供了防火墙、IDS、防病毒系统、专业网管软件所不能提供的防护功能，对它们管理的盲区进行监控，扩展成为一个实时的安全监控系统，并能够同其它网络安全设备进行安全集成和报警联动。

客户端桌面安全管理技术近几年来逐渐被网络管理者和机构管理决策者们所重视。

对于那些机器数量庞大，几百台甚至几千、几万台设备终端的网络，网络管理人员面临的不仅仅是处理繁杂的终端安全管理事务，还要从事基础的网络运行维护。

2003~2004年，“冲击波”、“震荡波”在互联网、企事业网络猖獗传播的时候，也正是网络管理人员忙于对众多计算机进行病毒查杀、升级操作系统补丁的时候，同时爱情后门变种病毒在网络中此起彼伏的传播，可谓让网络管理人员费尽脑力。

国家安检、军机、政务等涉密机构部门也面临着内务专网中的客户端用户进行不规范或违规操作所带来的危害威胁，如黑客入侵、病毒入侵、资料泄密等危险性行为。

总体上，对于客户端桌面安全管理的要求要根据用户自身的需求出发，不同的用户具有不同的侧重点。

本文对该类产品的用户进行细化：①行业应用按照网络应用存在的行业进行划分，如电信、金融、政府、能源、院校、媒体、交通、以及大型企业等集团级企业，这些用户存在着自上而下行业应用广域网络，特点在于网络终端数量大、操作人员水平层次不齐、管理难度高。

②规模层次按照对计算机数量的密集程度、信息化应用程度高低进行划分，如经济发达地区企、事业用户（大、中城市），信息化应用水平要求高的行业（金融、电信、税务、电力）等，这些用户的计算机数量大、应用程度高。

北信源内网安全管理系统北信源内网安全管理系统北信源内网安全管理系统可分为五个软件包组合销售，全方位地为网络用户提供安全管理功能。

这五个软件包具体为：基本产品包、终端桌面管理产品包、终端安全管理产品包、网络主机运维产品包、非法外联管理产品包。

基本产品包基本产品包主要包含终端基本管理、IT资产管理、事件报表及报警处置、第三方接口联动（可扩展）等功能。

1.终端基本管理1)终端注册管理2)IP和MAC绑定管理3)禁止修改网关、禁用冗余网卡管理4)未注册终端拒绝入网管理（软阻断技术）2.IT资产管理1)硬件资产管理2)软件资产管理3)软、硬件设备信息变更管理3.事件报表及报警处置1)终端信息数据统计分类管理2)图形化信息数据输出管理3)用户自定义组态报表输出及查询管理4)报警结果处置管理5)安全事件源远程阻断管理4.第三方接口联动（可扩展）1)PKI/CA认证联动接口2)防火墙联动接口3)网管软件联动接口4)安全管理平台联动接口5)其它第三方接口●终端桌面管理产品包1)终端流量管理2)进程运行黑白名单控制3)进程保护管理4)进程执行汇总5)终端服务管理6)软件黑白名单控制7)软件安装汇总8)终端消息推送9)远程协助管理10)外设及端口控制11)垃圾文件清理12)终端点对点管理13)系统自动关机管理14)终端时间同步管理●终端安全管理产品包1)桌面密码权限管理2)可网管配置的统一防火墙3)终端防网络攻击管理4)终端杀毒软件管理5)终端安全等级管理6)IE安全设置7)恶意软件免疫8)注册表监控/保护9)终端在线/离线策略管理●网络主机运维产品包1)运行资源监控2)流量异常监控3)进程异常监控4)客户端文件备份非法外联管理产品包1)内部终端非法接入互联网行为监控2)离网终端非法接入互联网行为监控3)内部终端非法接入其它网络行为监控4)内部终端非法外联行为告警和网络锁定5)内部终端非法外联行为取证。

www.cismag 40方案应用对于内部专网而言，防范信息泄露和病毒传播无疑是重中之重。

网络安全现状威胁正在悄然改变，在互联互通的今天，利益驱使下的黑客攻击充斥着网络社会。

仅仅出于好玩或出名而入侵网站已经成为渐渐离我们远去的“太平盛世”，主流的、更为危险的攻击已经袭来—网络犯罪。

它表现在：单个病毒、木马的入侵具有极强的针对性，可以具体到指定的某个IP 地址段内的电脑，而且由于同类病毒的总量庞大，破坏性不容忽视。

恶意攻击和违规行为的直接结果是：轻则影响机器速度、破坏文件或造成死机，重则导致网络瘫痪、重要文件丢失、信息泄密等，这无疑都是威胁信息安全、业务正常运作的重大隐患。

而终端用户的安全观念薄弱，甚至绝大多数人缺乏基本的安全观念和安全措施，对信息安全违规违法行为缺乏认识和自我管理。

实际上，在高速的网络时代，完全依靠常规概念里的边界防护(防火墙、IDS 等)以及杀毒软件的传统方式已经很难适应新的信息安全防护要求，网络攻击方式的变化，用户的被动防御远远应对不了发展变化的新型攻击，而安全手段缺失导致的终端脆弱性更加剧了网络安全管理的难度。

用户安全威胁及管理复杂性分析以某专用内部网络为例，虽然已经采取了多种方式相结合的安全防护手段，但事实上，由于网络复杂、终端数目庞大、用户使用水平参差不齐等多种原因导致了网络安全防护系统也未能达到真正理想的效果。

而终端用户的不安全行为导致的信息泄密、病毒传播、黑客攻击等问题，无疑是造成该网络瘫痪、重要数据损坏、涉密信息泄露等安全事故的严重隐患。

显然，单单依靠现有的边界防护而忽略了网络终端的保障，是无法做到真正意义上的网络安全的，这无疑也加剧了网络管理和安全防范的难度和强度。

由于终端安全措施缺失，使得许多恶意攻击利用系统漏洞潜入信息服务器和计算机，而目前的防御体系和应急预案尚未能做到快速准确的定位及数据的及时恢复，专用网络的信息安全处于前所未有的风险之中，主要包括以下问题：① 移动终端(笔记本电脑等)和新增设备未经过安全检查和处理违规接入内部网络，缺乏完善的计算机入网注册登记监管手段和注册管理机制，以致未经允许擅自接入的电脑设备带来的病毒传播、黑客入侵等不安全因素；② 网络出现病毒、蠕虫攻击等安全问题后，被感染终端成为了网络内部的传染源，使得更多的终端遭到病毒、木马和蠕虫等侵袭，对此不能做到安全事件源的实时、快速、精确定位、远程阻断隔离操作；③ 缺乏终端操作系统和应用软件的漏洞监测、补丁下载安装等防护手段；④ 大规模病毒(安全)事件发生后，网管无法快速确定病毒黑客事件源头，找到网络中的薄弱环节，很难有效做到事后分析、加强安全预警；⑤ 终端用户行为监管不利导致的设备安全措施(杀毒软件安装与升级、防火墙设置、系统漏洞、违规联网等)脆弱。

北信源桌面平安防护产品1. 简介北信源桌面平安防护产品是一款专为企业提供桌面平安保护的解决方案。

该产品结合了前沿的平安技术和多年来积累的平安经验，旨在帮助企业有效预防和应对各种平安威胁，保护企业桌面系统的平安。

2. 功能特点2.1 实时威胁检测和防范北信源桌面平安防护产品采用了先进的实时威胁检测技术，能够及时发现和识别各种和未知的威胁，并采取相应的防范措施。

通过对桌面系统的实时监控和分析，该产品可以快速发现恶意软件、病毒、木马等威胁，并及时进行隔离和处理，确保桌面系统的平安运行。

2.2 强大的访问控制和权限管理北信源桌面平安防护产品提供了灵巧的访问控制和权限管理功能，能够根据企业的需求和策略，对用户进行精细化的权限控制。

管理员可以设置不同用户的访问权限、操作权限和文件权限，有效防止未经授权的操作和数据泄露，保护企业的敏感信息和机密文件。

2.3 数据备份和恢复该产品还提供了全面的数据备份和恢复功能，能够及时备份桌面系统的重要数据，并在系统崩溃或数据丧失时快速恢复。

用户可以自定义备份策略，选择备份的文件和目录，并设置备份频率和存储位置，确保数据平安可靠。

2.4 强大的远程管理和监控北信源桌面平安防护产品拥有强大的远程管理和监控功能，管理员可以通过远程控制台实时监控和管理企业各个桌面系统。

通过远程管理，管理员可以对桌面系统进行集中管理、远程部署软件补丁和平安策略、远程更新病毒库等操作，提高平安管理的效率。

2.5 平安事件日志和报告该产品还提供了详细的平安事件日志和报告功能，管理员可以查看和分析桌面系统中的平安事件和威胁。

日志中会详细记录各类平安事件的发生时间、发生地点、防范措施等信息，为企业平安管理提供有力的依据和参考。

3. 使用场景北信源桌面平安防护产品适用于各类企事业单位的桌面系统平安保护需求，特别适用于以下场景：•大中型企业：为大中型企业提供桌面系统的全面平安防护，保护企业重要数据和机密信息。

•金融机构：为银行、证券、保险等金融机构提供高级平安防护，保护金融数据免受黑客攻击。

产品简介一、准入控制系列产品1、北信源网络接入控制管理系统产品背景北信源网络接入控制管理系统能够强制提升企业网络终端的接入安全,确保企业网络保护机制的连续性,实现企业网络安全从质到量的提升.同时,通过与北信源接入控制网关的联动,还可以实现对远程接入企业内部网络的终端进行身份唯一性及安全性认证.通过北信源网络接入控制管理系统可以满足企业对终端接入网络的安全性要求,将终端接入控制覆盖到企业网络的每一个角落.同时,使得终端接入控制不再依赖于具体的网络或通信设备,甚至是当使用者拿着他们的移动设备离开企业网络时,仍能有效执行对终端下发的接入控制策略.北信源网络接入控制管理系统不需要对现有网络结构进行改造便可进行部署,具备简单、方便、安全、易扩展的特性.系统功能描述1)基于的终端接入认证管理;2)外部终端接入访问限制；3)外部终端接入身份认证；4)杀毒软件检测及访问限制；5)补丁自动检测及访问限制；6)进程、服务、注册表信息检测及访问限制；7)未达到预定义安全级别接入访问限制.系统功能特点1)全面支持市场主流交换机；2)可以实现无线接入认证；3)可以与用户现有AD域或LDAP进行联动认证；4)可以实现终端异地漫游的自动接管认证；5)可以实现终端认证数据检测,防止虚假第三方认证.系统管理构架北信源网络接入控制管理系统由以下几部分组成：1策略服务器：系统策略管理中心,提供系统的参数配置和安全策略管理.2认证客户端：安装在终端计算机,通过用户名和密码向认证服务器发起认证,实现正常工作区、访客隔离区、安全修复区的自动切换.3Radius认证服务器：接收客户端认证请求信息数据包并进行验证.4Radius认证系统交换机：可网管支持的网络设备交换机,接收认证客户端的认证请求数据包与Radius认证服务器完成认证过程.5可选配强制注册网关硬件：在不完全支持的网络中可选装强制注册网关,完成未注册终端访问网页时进行DNS重定向或HTTP重定向,以达到强制注册目的.图１网络接入访问控制产品2、北信源虚拟隔离接入控制系统产品背景常用的网络接入技术是基于协议或网关形式来实现.接入认证对环境要求稍高,有些网络设备不支持协议,如HUB设备；而网关接入认证,在限制外部终端对内部终端访问时存在安全防御的真空.针对如上问题,北信源虚拟隔离接入控制技术应运而生,在不改变原有网络结构的同时,对新接入的网络设备进行有效管理.系统功能描述1)不改变现有网络配置,实现终端网络访问控制；2)隔离并保护注册终端,使未注册终端无法和其通信；3)隔离并保护服务器区域,防止未注册终端随意访问；4)通过安全检查机制,对未安装杀毒软件、漏打补丁终端进行隔离；5)未注册终端接入网络后,隔离并被重定向到注册界面.系统管理架构北信源虚拟隔离接入控制系统由以下几部分组成：1)策略服务器VRVEDP Server：系统策略管理中心,提供系统的参数配置和安全策略管理.2)客户端VRVEDP-Agent：安装在终端计算机上,接收EDP服务器策略,并执行策略.判定是否是注册计算机,起到隔离阻断的作用.产品3、北信源接入认证网关产品概述北信源接入认证网关是一款部署简便、使用灵活的网络准入/准出控制产品.使网络管理员能在允许用户进入网络前、访问外部网络前,对有线、无线和远程用户进行验证、授权.能够阻止未授权计算机越权访问网络资源.系统管理构架北信源接入认证网关整体解决方案包括三个组件：北信源接入网关—根据终端注册及策略情况提供访问权限.在用户未注册前,他们均被禁止访问可信网络,或进行HTTP、DNS等重定向强制注册.区域管理器—管理服务器、检查规则及策略,基于Web的中央控制台.北信源客户端程序—客户端程序代理、执行安全修复、身份认证功能.系统功能描述北信源接入认证网关与北信源内网安全管理系统结合可以完成网络终端注册和网络访问授权等工作,使得未注册客户端无法访问受限网络.使网络管理员能在允许用户进入网络前,对用户及其机器进行验证、授权.该安全产品能够：1)对未注册终端进行访问网络权限控制,可进行HTTP、DNS等重定向强制注册;2)确认用户、用户设备和他们在网络中的身份;3)对于终端设备网络连接流量进行控制;4)该产品能向通过局域网、无线局域网、广域网或虚拟专用网连接的设备应用网络准入控制.产品具有为所有运行环境执行策略的独特能力,无需其他独立产品或模块.功能特点多种身份验证服务北信源接入认证网关具备终端特征验证、用户名口令验证、混合身份验证等多种身份验证机制.管理员通过策略方便设定.能维护具有不同许可级别的用户群体.集中管理基于Web管理控制台为每个用户定义所需的策略类型,一个区域管理器可以管理多个接入网关.灵活的部署模式提供最广泛的部署模式,能适用于任意客户网络.客户能将该产品作为虚拟或实际IP网关,部署在边缘或中央,提供第二层或第三层客户端接入,或部署在DNS服务器前作为强制注册用的DNS网关.二、补丁分发系列产品1、北信源补丁及文件分发管理系统产品背景：近些年来,蠕虫病毒和木马病毒的频繁爆发给全球网络运行乃至经济都造成了严重影响,之所以这些蠕虫能造成如此危害,是因为利用了操作系统或者应用程序的漏洞.补丁的安装普遍会遇到以下的问题：普通用户技术知识水平有限,造成了计算机系统漏洞经常不能得到及时的修补,甚至长期不修补；网络维护人员为每台机器安装补丁耗时巨大；物理隔离网络用户必须使用移动存储设备从外网将补丁导入并安装,麻烦且带来信息泄漏和病毒传入的风险；每个终端补丁安装均从外网下载补丁造成网络资源消耗过大；用户随意下载补丁导致补丁来源不统一带来的风险.消除漏洞的根本办法就是安装软件补丁,每一次大规模蠕虫病毒的爆发,都提醒人们要居安思危,打好补丁,做好防范工作,补丁越来越成为安全管理的一个重要环节.黑客技术的不断变化和发展,留给管理员的时间将会越来越少,在最短的时间内安装补丁将会极大地保护网络和其所承载的机密,同时也可以使更多的用户免受蠕虫的侵袭.对于机器众多的用户,繁杂的手工补丁安装已经远远不能适应大规模网络的管理,必须依靠新的技术手段来实现对操作系统的补丁自动修补.因此,如何利用有效技术手段来及时、持续、稳定的安装计算机补丁,是所有网络安全管理人员、信息安全决策人员亟需解决的问题.系统功能概述北信源补丁及文件分发管理系统是北信源公司在为国家各大部委机关、各大行业网络用户进行病毒安全服务、总结安全运营保障经验的基础上,分析当前网络客户端实际安全管理要求研发的,系统支持推、拉两种方式自动下载补丁.整个补丁管理运行平台构架是：通过北信源外网补丁下载服务器及时从补丁厂商网站获取最新补丁；然后补丁经过安全测试后,通过补丁分发管理中心服务器对网络用户进行分发安装；补丁安装支持自动和手动两种方式.系统功能描述：1)互联网补丁自动下载；2)补丁完整性和安全性测试；3)补丁增量更新导入；4)补丁库建立和分类；5)终端补丁自动检测；6)补丁策略制定分发和自动分发；7)终端补丁流量控制和代理转发技术；8)补丁自动修复及查询统计；9)未打补丁情况汇总统计；10)补丁安装情况汇总统计；11)已安装补丁自动卸载；12)文件分发及文件自动执行；13)文件分发安装结果统计.网络应用直接连接互联网的网络：通过补丁下载服务器将补丁下载至补丁分发服务器.物理隔离网络：在互联网网络上安装补丁下载服务器模块,通过补丁下载增量分离工具,区分内网已导入和未导入的补丁,将最新补丁导入内网补丁分发服务器.系统组件北信源补丁及文件分发管理系统依据客户端注册优势,提供补丁检测、安装等远程功能.客户端访问网络WEB站点,根据页面自动弹出提示进行注册,注册程序将在系统中实时运行,检测补丁安装状况,并上报给补丁控制中心.补丁控制中心提供补丁策略制订、补丁文件直接分发,补丁测试提供对软件厂商新发布补丁的前期测试,严格测试后才可以配发到网络客户端,保障客户端补丁安装安全性.系统可按照网段、补丁类型进行补丁配置分发,支持漏打补丁、特殊补丁的推送下发；通过自定义分网段、分区域的补丁下载升级设定策略,以及转发代理技术,避免造成网络堵塞,合理控制网络带宽.图 1 补丁管理系统功能构架系统构架该系统贴近用户对网络、网络终端管理的要求,适用于局域网、广域网等多种构架.标准构架小型网络：在局域网中全面部署应用北信源补丁及文件分发管理系统,包括各种功能模块：补丁下载、补丁分析、补丁策略分发制订、文件分发、客户端补丁监测、漏洞补丁扫描、补丁分发控制台等.级联构架大型网络：对于网络分布广泛、规模庞大,并且拥有多个网络管理中心的广域网,北信源补丁及文件分发管理系统支持在标准构架上建立多级级联模式,实现下级网络补丁管理系统从上级补丁管理系统自动获取补丁,以及相关补丁审计、系统组件升级功能.三、介质管理系列产品1、北信源移动存储介质使用管理系统移动存储介质数据交换引发的安全问题移动存储介质,如U盘、移动硬盘等,因其体积小、容量大等优点,已得到广泛应用.作为数据交换的主要手段之一,移动存储介质正成为数据和信息的重要载体,但是我们也应该看到,移动存储设备在给我们带来极大方便的同时,也给我们带来了不少的安全隐患,主要如下：1.涉密计算机接入非涉密移动存储设备；2.非涉密计算机使用涉密移动存储设备；3.移动存储介质的数据交互审计；4.外来移动存储介质随意接入问题；5.移动存储介质丢失导致信息泄漏；6.移动存储介质的使用信息无法追踪审计问题；7.移动存储介质接入区域限制和控制问题；8.病毒、恶意代码通过移动存储介质传播问题.技术特点及应用1、分级权限控制通过对移动存储介质写入两种不同控制权限及功能的标签,来实现分级权限的控制,并对指定范围内的终端授权,通过策略与标签的配合来实现对移动存储介质的控制.注,对移动存储介质格式化无法去除标签.普通标签：写入普通标签后,在管理区域内根据策略的设置,来限制移动存储介质的读、写功能；如果在管理区域外使用移动存储介质认证,则不限制移动存储介质认证读、写功能.加密标签：写入加密标签后将普通移动存储介质U盘、移动硬盘等分为二个可控制的区域：交换区、保密区.涉密网络可只生成保密区.交换区和保密区启动均需输入独立的密码,数据在二个区存储时均以加密方式存储,这两个区的具体应用如下：1在涉密网络中或高要求的办公网络中,可只生成保密区一个区.该保密区只能在有对应安全策略的主机上通过认证标签后、同时输入正确密码才能访问,同时有安全策略的主机可以根据策略控制未经标签认证的移动存储介质的使用.2在普通办公网络中,可生成交换区、保密区二个区.保密区的使用方法,可与上述涉密网络或高要求的办公网络相同.交换区的使用方法,可以根据用户需要,在内部网络中通过策略限制使用方式,交换区在外网使用时同样要输入密码方可使用,保密区在外网不可见.2、审计功能完善1 提供移动存储介质上所有文件操作的详细记录包括文件的创建、复制、删除、读写和重命名等操作,具体包括文件名、审计描述、时间、用户名、计算机IP地址和其他必要的信息.2 提供移动存储介质的插入和拔出动作的详细记录具体包括事件类型、移动存储介质的名称、用户、计算机IP地址、事件时间等.系统功能描述1.移动存储设备分设备、网段等接入认证管理,保障指定设备读写指定移动存储设备的访问控制管理；2.移动存储介质数据读写控制管理；3.移动存储介质标签认证管理；4.移动存储介质分区交换区和保密区管理；5.移动存储介质的加密管理,防止保密区的敏感信息外泄；6.移动存储介质接入行为审计；7.移动存储介质数据交换行为审计管理,可针对文件后缀名等条件；8.提供详细的文件操作详细审计记录：包括文件的创建、复制、删除、修改和重命名等操作,包括文件名、审计描述、时间、用户名、计算机IP地址和其他必要的信息；9.提供详细的移动存储设备的插入和拔出动作的详细记录,具体包括事件类型、移动存储介质的名称、用户、计算机IP地址和事件时间.系统管理构架北信源移动存储介质管理系统和其它系统均采用相同的管理构架,由服务端制订统一的策略,分发给客户端执行.系统有USB标签制作工具,通过对移动存储介质制作标签可以实现对移动存储介质中的数据进行保护和加密,对移动存储介质进行使用范围授权,访问控制等综合的管理.移动存储介质使用管理系统可以将整个移动存储介质划分成交换区和保密区两部分,保护区需要通过密码认证才可以访问.系统具体使用管理构架如下：1、系统服务器端：系统管理中心基于web页面管理方式,管理员登陆和配置后系统才能运行.能够自动发现网络中的终端计算机,并检测终端计算机是否安装系统客户端程序,管理中心内置移动存储管理策略中心和报警中心,提供对网络终端的分组管理设置.2、系统客户端：安装在终端计算机,接收系统管理中心分发的策略,根据接受策略实时监控接入终端计算机移动存储设备的操作行为和状态,并进行管理或者控制；系统客户端注册以后,即使离开所在网络或不处于任务网络中,仍实时受到移动存储管理策略控制,日志记录于本地,一经连接回网络,则自动上报日志信息给服务器.3、专用移动存储设备注册工具：移动存储介质经过网管人员注册包括打标签、设置访问密码工具认证后,该移动存储介质才能在网络中使用.使用者在使用时必须输入使用密码后才能使用.系统以数据为中心,用户作为数据的使用者,主机作为数据的存储者,移动存储介质作为数据的迁移者,在系统范围内均赋予唯一的标识,三者进行相互认证.只有经认证和授权成功后,才保证合法的用户在合法的机器上访问合法移动存储介质上的数据,并形成详尽的日志供审计.产品2、北信源安全U盘系统系统功能描述1)遵循标准USB设备的使用流程,所有安全功能对用户透明；2)采用专用控制模块防止U盘介质非授权格式化；3)结合北信源移动存储介质使用管理系统,可实现多种方式的接入控制,具体详见移动存储介质使用管理系统相关介绍；4)从原理上杜绝病毒自动传播无法利用操作系统直接对U盘存储区文件进行读写,防止病毒拷入U盘导致病毒传播；5)支持基于角色的细粒度强访问控制机制,采用可定制的数据访问和审计策略,提供数据的多级多域安全防护；6)采用安全容器技术,实现信息的存储和传输安全,保证信息内容本身的应用审计安全；7)可对信息的分发路径进行全程跟踪,结合自主采集的多维主机指纹采集技术,从而对通过Ｕ盘的数据交换行为进行全方位的细粒度审计；8)审计信息记录在U盘本地的审计区,以供分析；9)支持设备和主机的双向认证,防止主观和客观的数据非法访问；10)一体化管理平台,便于U盘集中分发和管理.加密1)加密算法：标准版本采用AES256bit高强度对称加密算法,根据需要也可支持用户定制的加密算法和芯片,支持多种加密模式；2)TTDS：采用扇区映射方式进行二级抽象,完全打乱文件的存储位置,防止结构性破解.产品3、北信源光盘刻录监控与审计系统产品概述北信源光盘刻录监控与审计系统完全贯彻和落实国家保密局BMB17文件思想,实现对刻录的全面控制.系统采用三权分立原则,集权限控制、数据刻录控制、安全光盘读取和日志审计于一身,方便、有效的控制内网敏感信息通过CD/DVD盘片进行的数据交换.系统功能描述1.权限控制1未授权用户无法使用刻录软件刻录数据；2针对不同用户可授权为：禁止刻录、对指定格式的文件设定刻录权限、关键字过滤功能保障敏感文件无法刻录、刻录次数限定,可根据工作日及时间段授权刻录、并可设定刻录许可码.2.数据刻录控制只有使用北信源专用刻录软件刻录普通光盘或者特殊格式的安全光盘,其他刻录软件无法刻录.3.特殊格式安全光盘读取1经过加密刻录的光盘,使用时需要通过专用解密工具输入加密时设置的密码才可解密,解密后文档可正常读取；2北信源专用刻录软件刻录的普通光盘在任何光驱上都能被正常读取.4.安全审计1刻录行为的审计,包括：刻录计算机IP、MAC、刻录时间、源文件绝对路径、目的文件绝对路径等信息;2客户端系统配置变化审计;3灵活过滤条件查看日志；日志、统计报表提供WORD及EXCEL等格式的输出.产品4、北信源存储介质信息消除工具产品概述北信源公司本着“安全、便捷、可靠”的设计理念,针对用户当前存在的数据外泄问题,通过合理的方式对计算机介质包括磁带、磁盘、打印结果和文档进行信息消除或销毁处理,防止介质内的敏感信息泄露.本系统能够保证存储在主机上的重要数据的安全,通过反复对文件磁道的改写和重写,对主机上需要删除的数据文件进行不可恢复的彻底粉碎,最终达到完全粉碎的目的.系统功能描述本系统采用数据防护算法和硬件验证技术,避免了存储数据的非法存取和意外泄漏,具有以下功能：1文件粉碎：可对单个文件文件夹及多个文件文件夹进行彻底粉碎.2分区粉碎：可对主机中所选择的分区进行不可恢复的彻底粉碎.3磁盘粉碎：可对主机中所选择的磁盘进行不可恢复的彻底粉碎.同时,针对用户需求,本系统还具有以下特点：1易用性：本系统界面友好易懂、操作简单.2安全性：被粉碎的文件不可恢复,层与层之间传递的是命令,而不是数据,不会引起数据泄露.3防恢复：粉碎过的数据经反复擦除重写不会在硬盘上留下任何痕迹.系统管理构架系统分为用户软件层和核心层用户软件层：提供用户操作环境,可以在该操作环境下进行文件粉碎的表层工作.核心层：继承用户软件层接口,进行文件粉碎的核心操作.产品5、北信源存储介质信息消除系统产品概述北信源存储介质信息消除系统是国内第一款采用专用硬件及触摸屏设计的存储介质信息消除工具.以国家保密局BMB21-2007的要求为标准进行开发设计,能够保证存储在磁盘介质上的机密信息的安全,通过反复对文件磁道的改写和重写,对磁盘介质上需要删除的文件进行不可恢复的彻底粉碎,最终达到完全粉碎的目的.系统对磁盘数据擦除快速,方式多样,简单易操作,被消除信息后的存储介质能够被重复利用,节省用户投资.产品优势更快速：擦除速度可达每分钟3GB.更人性：触摸屏方式设计,简单易用.更安全：数据擦除不可逆,无法恢复.更轻便：产品体积小,重量轻,携带方便.更丰富：支持4个USB接口、2个SATA接口、1个IDE接口.更专业：符合国家保密局BMB21-2007要求.产品功能北信源存储介质信息消除系统提供对硬盘、U盘等存储介质进行整体消除的功能,支持对4个USB 口、1个IDE口以及2个SATA进行同步擦除.四、数据安全系列产品1、北信源电子文档安全管理系统产品概述北信源电子文档安全管理系统基于电子文档安全这个长期困扰业界的难题而研发, 是具有高扩展性、可定制化的解决方案,实现对电子文档全生命周期管理.产品集电子文档使用权限控制、用户身份验证、文档透明加解密、文档访问控制、文档密级与安全策略控制、文档监控与审计等多种技术于一身,有效防止电子文档主动和被动泄密.同时本产品具有高度的可扩展性、模块化设计,可与北信源内网安全系统无缝结合,为企业信息化建设提供了强有力的安全保障.系统管理构架局域网构架：网络结构是由一个或多个局域网所组成, 用户可以在局域网中安装一套电子文档安全管理系统,对局域网中所有设备的电子文档进行安全管理.如图1图1 局域网电子文档安全管理系统架构图2 广域网电子文档安全管理系统架构广域网构架：网络结构是跨地域广域网,可使用本产品提供的多级服务器级联架构模式.主服务器向下属服务器级联下发安全策略,下属服务器向主服务器上报数据.确保整个公司的电子文档的安全统一管理.如图2系统功能描述1、对电子文档全生命周期文档创建、使用、流转、归档、销毁进行加密保护,无法强制破解；2、电子文档密级可以划分,完全符合国家等级保护等相关规定；3、企业密钥具有唯一性,实现不同企业之间不能共享文档,同时可根据企业现有组织结构定义部门加密密钥,实现同企业不同部门之间不能共享文档；4、管理员制定、下发安全策略,对客户端进行统一的安全管理；。