北信源网络接入控制系统工作原理与功能对比
产品介绍上网行为管理系统北信源
产品介绍上网行为管理系统北信源
我们与众不同
• 终端分布式功能部署,BMG集中功能处理,减少系统开销
– 敏感信息过滤功能分布式部署
– 加密内容审计分布式部署 – 安全准入分布式部署
•BMG 集中 功能处理
PPT文档演模板
•EDP功能插 件
•分布式处理信息上报
•EDP功能插 件
•EDP功能插 件
•EDP功能插 件
•行为前
•安全准入控制 •二次授权认证
•行为中
•敏感信息过滤 •网页过滤
•行为后
•带宽管理 •综合信息审计
PPT文档演模板
产品介绍上网行为管理系统北信源
我们与众不同
• 组件化
可根据用户自身的需求特点,选择和启用不同的功能组件实现任意组合与扩展,保护安
。 全投资,减轻系统负载,提高系统运行效率
PPT文档演模板
PPT文档演模板
产品介绍上网行为管理系统北信源
网页过滤
• 内置36大类超过100万条的中文网页过滤分类数据库,能够实现基于 URL预分类网站列表的访问控制、基于用户和访问时间段的控制管理、 基于URL关键字的URL过滤、支持URL访问记录的查询,以及可以对 访问内容、访问量和访问者的统计排名等功能。
精细化报表
• 中文界面,饼图、柱图、线图、列表以及区域图多元化报表,报表类 型及内容支持自定义,灵活方便。
PPT文档演模板
产品介绍上网行为管理系统北信源
PPT文档演模板
内容
•需求分析 •销售技巧 •产品概述 • 产品优势 •产 品 简 介
产品介绍上网行为管理系统北信源
我们与众不同
• 产品理念
北信源上网行为管理网关VRV BMG对于上网行为的管理更倾向于行为前的避免和 行为中的阻止,而不是行为后的管理,将行为风险因素降至最低。
北信源
1公司简介北京北信源软件股份有限公司创立于1996年,注册资金5000万,是中国第一批自主品牌的信息安全产品及整体解决方案供应商,中国终端安全管理领域的市场领导者。
北信源总部位于北京,下设多个全资子公司及北京、南京两个研发中心。
拥有近500名信息安全专业研发、咨询与服务人员,构建了全国七大区、近三十个省市的营销与服务网络,为用户提供业界领先的产品与服务。
十几年来,北信源致力于信息安全技术的研究与开发,在业内屡创佳绩,成果斐然。
曾革命性推出中国首款桌面安全管理产品,开启“桌面安全管理”技术革新之先河,并迅速做到国内销量第一;前瞻性推出了面向个人用户的数据安全产品—数据装甲,引领进入“全民数据安全”新时代;证券安全监控系统在国内券商使用率中也曾排行第一。
作为公司的产品核心:面向网络空间的终端安全管理体系--VRV SpecSEC是国内第一个面向网络空间的终端安全管理体系。
体系遵循安全产品符合性开发、基于策略的终端安全配置、评估为准的终端安全管理、组件化终端安全管理四大核心理念,并首次将受控云技术运用于终端安全体系和产品中,完整覆盖准入控制、补丁分发、介质管理、数据安全、安全审计、安全检查、行为管控、桌面管理、管理平台等全方位、多层次、立体化的网络空间终端安全各个层面。
作为中国终端安全管理领域的市场领导者,北信源终端安全管理产品在中国终端安全管理市场占有率连续五年保持第一(数据来源:CCID)。
产品覆盖政府、国防、军队军工、公安、金融、能源、通信、交通、水利、教育等重要行业,用户涉及各行业数千家单位,连续多年入围中央政府采购,成功部署数千万终端。
北信源公司在业界屡获殊荣,荣获国务院颁发的国家科学技术进步二等奖、部级科技进步奖等多项荣誉。
在标准制定、重大专项等方面积极配合政府行动,同国家政府部门、国内顶级院校、国际顶级IT厂商长期保持战略合作关系,公司现已成功打造信息安全知名品牌“北信源”、“VRV”。
北信源网络接入控制管理系统白皮书v3.0
北信源网络接入控制管理系统产品白皮书北京北信源软件股份有限公司版权声明本手册的所有内容,其版权属于北京北信源软件股份有限公司(以下简称北信源公司)所有,未经北信源许可,任何人不得仿制、拷贝、转译或任意引用。
本手册没有任何形式的担保、立场倾向或其他暗示。
商标声明本手册中所谈及的产品名称仅做识别之用,而这些名称可能属于其他公司的注册商标或是版权,其他提到的商标,均属各该商标注册人所有,恕不逐一列明。
产品声明本手册中提到的产品功能或性能可能因产品具体型号、配备环境、配置方法不同而有所差异,由此可能产生的差异为正常现象,相关问题请咨询北信源公司技术服务人员。
免责声明若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失,北信源公司及其员工均不承担任何责任。
目录1.系统概述 (4)2.系统架构 (4)3.系统组成 (6)3.1.策略服务器 (6)3.2.认证客户端 (6)3.3.Radius认证服务器 (7)3.4.Radius认证系统 (7)3.5.硬件接入网关(可选配) (8)4.系统特性 (8)4.1.全面的安全检查 (8)4.2.技术的先进性 (8)4.3.功能的可扩展性 (8)4.4.系统可整合性 (9)4.5.无缝扩展与升级 (9)5.系统功能 (9)5.1.准入身份认证 (9)5.2.完整性检查功能 (10)5.3.安全修复功能 (10)5.4.管理与报表 (11)5.5.终端安全策略设置 (12)6.典型应用 (13)6.1.802.1x环境应用 (13)6.2.非802.1x环境应用 (14)6.3.VPN环境应用 (15)6.4.域环境应用 (15)1.系统概述北信源网络接入控制管理系统能够强制提升企业网络终端的接入安全,保证企业网络保护机制不被间断,使网络安全得到更有效提升。
与此同时,还可以对于远程接入企业内部网络的计算机进行身份、唯一性及安全认证。
通过网络安全准入控制不仅能够将终端设备接入控制扩展到超出简单远程访问及路由器、专有协议和已管理设备的限定之外,还能够覆盖到企业网络的每一个角落,甚至是当使用者的移动设备离开企业网络时,仍能有效的提供终端设备接入控制的执行。
VRVed北信源内网管理系统用户使用手册
克隆机:将已经注册了本系统的客户端的系统做成镜像(gost),还原到某计算机上,则该计算机称之为克隆机。只有克隆机(gost系统)执行本策略,非克隆机不执行。
表2-1策略的高级设置参数说明
策略下发结果查询
可以通过以下两种方式查看策略的下发情况:
(1)策略管理中心-->策略下发查询
(2)终端管理-->终端管理-->当前执行策略
应用构架
北信源终端安全管理应用于局域网、广域网构架,支持跨网段、跨地域的内网远程客户端管理及非法移动设备接入检测、网内计算机违规联网监视、网络安全隔离度监控等。
系统应用主要分为以下两种构架:
基本构架:对于一般网络(例如1个C类地址或若干个C类地址的局域网范围),可使用一套本系统软件,通过一个管理器集中管理所属区域内的所有设备。
硬件设备控制
硬件设备控制
功能说明:控制各种硬件设备及接口的启用或禁用,如果只想禁止使用移动存储设备,也可以通过“可移动存储审计”策略来实现。
参数说明:
参数
说明
不处理、启用、禁用
本策略中所能控制的硬件,都需要能够在windows系统设备管理器中进行禁止和启用。
例外
选择【启用】时将禁用例外中的设备,选择【禁用】时将启用例外中的设备,【不处理】选项保持原来的状态无变化,提高系统管理性能,如果对某项不关心可以选择该项。
例外设备添加方法:右击我的电脑属性硬件设备管理器,出现设备列表。
该策略控制叠加到之前的策略基础之上
选中此项时:如果有多条此类策略,终端执行效果将是多条策略设置叠加后执行的效果。
如果不选择该项,终端只支持单独一条策略,新下发的策略将覆盖原来的策略配置。
取消对设备管理器的的拦截操作
北信源产品体系简介
产品简介一、准入操纵系列产品1、北信源网络接入操纵治理系统●产品背景北信源网络接入操纵治理系统能够强制提升企业网络终端的接入安全,确保企业网络爱护机制的连续性,实现企业网络安全从质到量的提升。
同时,通过与北信源接入操纵网关的联动,还能够实现对远程接入企业内部网络的终端进行身份唯一性及安全性认证。
通过北信源网络接入操纵治理系统能够满足企业对终端接入网络的安全性要求,将终端接入操纵覆盖到企业网络的每一个角落。
同时,使得终端接入操纵不再依靠于具体的网络或通信设备,甚至是当使用者拿着他们的移动设备离开企业网络时,仍能有效执行对终端下发的接入操纵策略。
北信源网络接入操纵治理系统不需要对现有网络结构进行改造便可进行部署,具备简单、方便、安全、易扩展的特性。
●系统功能描述1)基于802.1X的终端接入认证治理;2)外部终端接入访问限制;3)外部终端接入身份认证;4)杀毒软件检测及访问限制;5)补丁自动检测及访问限制;6)进程、服务、注册表信息检测及访问限制;7)未达到预定义安全级不接入访问限制。
●系统功能特点1)全面支持市场主流交换机;2)能够实现无线802.1X接入认证;3)能够与用户现有AD域或LDAP进行联动认证;4)能够实现终端异地漫游的自动接管认证;5)能够实现终端认证数据检测,防止虚假第三方认证。
●系统治理构架北信源网络接入操纵治理系统由以下几部分组成:1)策略服务器:系统策略治理中心,提供系统的参数配置和安全策略治理。
2)认证客户端:安装在终端计算机,通过用户名和密码向认证服务器发起认证,实现正常工作区、访客隔离区、安全修复区的自动切换。
3)Radius认证服务器:接收客户端认证请求信息数据包并进行验证。
4)Radius认证系统 (交换机) :可网管支持802.1x的网络设备(交换机),接收认证客户端的认证请求数据包与Radius认证服务器完成认证过程。
5)可选配强制注册网关(硬件):在不完全支持802.1x的网络中可选装强制注册网关,完成未注册终端访问网页时进行DNS重定向或HTTP重定向,以达到强制注册目的。
北信源网络接入控制系统管理系统白皮书v3.0
北信源网络接入控制管理系统产品白皮书北信源软件股份声明本手册的所有容,其属于北信源软件股份(以下简称北信源公司)所有,未经北信源许可,任何人不得仿制、拷贝、转译或任意引用。
本手册没有任何形式的担保、立场倾向或其他暗示。
商标声明本手册中所谈及的产品名称仅做识别之用,而这些名称可能属于其他公司的注册商标或是,其他提到的商标,均属各该商标注册人所有,恕不逐一列明。
产品声明本手册中提到的产品功能或性能可能因产品具体型号、配备环境、配置方法不同而有所差异,由此可能产生的差异为正常现象,相关问题请咨询北信源公司技术服务人员。
免责声明若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失,北信源公司及其员工均不承担任何责任。
目录1.系统概述 (4)2.系统架构 (4)3.系统组成 (6)3.1.策略服务器 (6)3.2.认证客户端 (6)3.3.Radius认证服务器 (7)3.4.Radius认证系统 (7)3.5.硬件接入网关(可选配) (8)4.系统特性 (8)4.1.全面的安全检查 (8)4.2.技术的先进性 (8)4.3.功能的可扩展性 (8)4.4.系统可整合性 (9)4.5.无缝扩展与升级 (9)5.系统功能 (9)5.1.准入身份认证 (9)5.2.完整性检查功能 (10)5.3.安全修复功能 (10)5.4.管理与报表 (11)5.5.终端安全策略设置 (12)6.典型应用 (13)6.1.802.1x环境应用 (13)6.2.非802.1x环境应用 (14)6.3.VPN环境应用 (15)6.4.域环境应用 (15)1.系统概述北信源网络接入控制管理系统能够强制提升企业网络终端的接入安全,保证企业网络保护机制不被间断,使网络安全得到更有效提升。
与此同时,还可以对于远程接入企业部网络的计算机进行身份、唯一性及安全认证。
通过网络安全准入控制不仅能够将终端设备接入控制扩展到超出简单远程访问及路由器、专有协议和已管理设备的限定之外,还能够覆盖到企业网络的每一个角落,甚至是当使用者的移动设备离开企业网络时,仍能有效的提供终端设备接入控制的执行。
北信源内网监控 原理
北信源内网监控原理北信源内网监控是指对企业或组织内部网络进行实时监控和管理的一种安全措施。
其原理是通过安装在内网中的监控设备或软件,对内网中的网络流量、设备状态、用户行为等进行实时监测和记录,以便及时发现和防范内网中的安全威胁。
北信源内网监控的原理主要包括以下几个方面:1. 流量监测:北信源内网监控通过监测内网中的网络流量,包括入站和出站的数据包,来了解内网中的网络活动情况。
通过对流量的分析和统计,可以发现异常的流量行为,如大量的数据传输、频繁的连接请求等,从而及时发现潜在的安全威胁。
2. 设备状态监测:北信源内网监控还可以监测内网中的各种网络设备的状态,包括服务器、交换机、路由器等。
通过监测设备的运行状态、资源利用率等指标,可以及时发现设备故障、资源瓶颈等问题,并采取相应的措施进行处理,以保证内网的正常运行。
3. 用户行为监测:北信源内网监控还可以监测内网中用户的行为,包括登录、访问、操作等。
通过对用户行为的监测和分析,可以发现异常的行为模式,如非法登录、越权访问等,从而及时发现内网中的安全漏洞和风险。
4. 安全事件响应:北信源内网监控不仅可以监测和发现内网中的安全威胁,还可以及时响应和处理这些安全事件。
一旦发现异常的流量、设备状态或用户行为,监控系统可以自动触发警报,并通知相关人员进行处理。
同时,监控系统还可以采取一些主动的措施,如封锁异常流量、禁止非法登录等,以保护内网的安全。
5. 日志记录和分析:北信源内网监控还可以对监测到的数据进行记录和分析,生成详细的日志报告。
这些日志可以用于事后的审计和分析,帮助企业或组织了解内网中的安全状况,发现潜在的安全问题,并采取相应的措施进行改进和加固。
总之,北信源内网监控通过对内网中的网络流量、设备状态和用户行为进行实时监测和管理,可以及时发现和防范内网中的安全威胁,保障内网的安全运行。
同时,监控系统还可以记录和分析监测数据,为企业或组织提供安全审计和分析的依据,帮助其改进和加强内网的安全防护。
北信源网络接入控制系统用户使用手册
用户使用手册
北京北信源软件股份有限公司 2012 年 10 月
北信源网络接入控制系统用户使用手册
版权声明 本手册的所有内容,其版权属于北京北信源软件股份有限公司(以下简称北
信源公司)所有,未经北信源许可,任何人不得仿制、拷贝、转译或任意引用。 本手册没有任何形式的担保、立场倾向或其他暗示。 商标声明
2.1 丰富的部署模式,适应性强------------------------------------------------------------------------- 7 2.2 流程化入网规范,统一性强------------------------------------------------------------------------- 7 2.3 人性化入网提醒,可用性强------------------------------------------------------------------------- 7 2.4 基于角色的访问控制,控制力强 ------------------------------------------------------------------ 8 2.5 访客自助入网,操作性强 ---------------------------------------------------------------------------- 8 3 产品安装 ........................................................................................................................... 8 3.1 硬件安装 --------------------------------------------------------------------------------------------------- 8 3.2 产品实施 --------------------------------------------------------------------------------------------------- 8 3.3 工作模式 --------------------------------------------------------------------------------------------------- 8 3.4 系统登录 --------------------------------------------------------------------------------------------------- 9 4 系统监控 ......................................................................................................................... 10 4.1 整个系统 ------------------------------------------------------------------------------------------------- 10
产品介绍北信源内网安全管理系统介绍v1.0北信源
系统采用模块化设计,各模块之间相互独立,方 便用户根据实际需求进行灵活配置和扩展。
3
多层次安全防护
系统构建了多层次的安全防护体系,包括网络层、 应用层、数据层等,确保内网安全无死角。
技术优势
全面的内网安全管理功能
系统提供了全面的内网安全管理功能,包括资产管理、漏洞管理、行为监控、日志分析等,满足 用户对内网安全的全方位需求。
持续创新与服务支持
鼓励员工创新
建立激励机制,鼓励员工提出创新性 想法和解决方案,促进产品的持续改
进和优化。
加强与科研机构的合作
提供定制化服务
积极与国内外知名科研机构合作,引 入先进的研发成果和技术标准,提升
产品的技术含量和竞争力。
根据客户的特殊需求,提供定制化的 产品解决方案和技术支持服务,满足
客户的个性化需求。
应用程序漏洞管理
能够及时发现和修复应用程序中的漏洞,防止漏洞被攻击者利用。
应用程序权限管理
能够对应用程序的权限进行严格的管理和控制,防止应用程序滥用 权限导致安全风险。
03
技术架构与优势
技术架构
1 2
基于B/S架构
北信源内网安全管理系统采用B/S架构,无需安 装客户端,通过浏览器即可轻松访问和管理内网 安全。
医疗行业
医院、诊所等医疗 机构ห้องสมุดไป่ตู้内部网络安 全管理。
06
未来发展规划与升级计划
未来发展规划
01
02
03
拓展市场份额
通过加大市场推广力度,提高品牌知 名度,进一步拓展内网安全管理系统
在各行各业的市场份额。
强化技术研发
持续投入研发,不断优化产品性能, 提升用户体验,保持技术领先地位。
北信源网络接入控制系统工作原理与功能对比.
北信源网络接入控制系统工作原理与功能北京北信源软件股份有限公司1目录1.整体说明 (3)2.核心技术 (3)2.1.重定向技术 (3)2.2.策略路由准入控制技术 (4)2.3.旁路干扰准入控制技术 (6)2.4.透明网桥准入控制技术 (7)2.5.虚拟网关准入控制技术 (7)2.6.局域网控制技术 (8)2.7.身份认证技术 (8)2.8.安检修复技术 (9)2.9.桌面系统联动 (9)3.产品功能对比 (10)21.整体说明准入网关对接入设备进行访问控制,对于未注册用户进行WEB重定向进行注册;注册后的用户进行认证或安检后可以访问网络;管理员可以配置采取何种准入控制方式,如策略路由,旁路监听,透明网桥,虚拟网关等;同时可以选择使用不同的认证类型,如本地认证,Radius认证,AD域认证等,而认证途径采取网关强制重定向;准入网关整体上对准入的控制可分为两类,一类是网关自己控制数据的流通,另一类则是通过配置交换机,让交换机来控制数据包的流通。
目前准入网关实现的策略路由和旁路监听,透明网桥等准入控制均属于前者,也就是网关自己通过放行或丢弃、阻断数据包,来达到准入控制,对于数据包的阻断是基于tcp 实现的;而虚拟网关则是通过控制交换机VLAN来达到准入控制;2.核心技术为了适应不同业务环境下的统一入网控制,北信源网络接入控制系统采用多种核心技术设计,支持多种准入控制模式,实现从多角度多维度的终端入网安全控制。
2.1. 重定向技术接入控制的目的是为了阻止不可信终端随意接入网络,对于不可信终端的判定需要一个过程,如何在判定过程中进行良好的提示,这就对产品的人机界面设计提出了较高的要求。
业界通常的做法是针对http性质的业务访问进行重定向,以往针对http的业务区分主要基于业务端口(主要为80端口),对于非80业务端口的http业务不能有效区分。
针对以上情况,北信源网络接入控制系统对http业务进行了深度识别,除80端口的http业务可以进行有效重定向之外,3针对非80端口的http业务也能进行有效的识别和重定向。
网络准入控制系统对比分析
与北信源网络准入控制系统的对比分析:1、管理服务器部署:北信源管理服务器部署时,需要分别安装多个服务器部件,并需严格按顺序安装。
操作比较繁琐,部署效率较低。
联软科技Leagview管理服务器部署时,仅一个安装包+一个SP补丁包即可,操作简便,简单易懂,部署效率高。
2、Radius认证服务器部署北信源安全准入管理中并无自己的Radius服务器,启用802.1x准入控制需安装第三方免费的Radius服务器(如IAS或者ACS的RADIUS认证服务器)才能实现802.1x准入控制。
北信源完全没有对Radius认证服务器的任何开发、维护能力,借助第三方Radius认证服务器,一旦出现网络准入故障,较难排查故障原因,而且对于终端接入的状态检查能力也较弱。
第三方Radius服务器单独部署配置,操作较为繁琐。
联软科技LeagView网络准入控制系统,采用独立自主研发的Radius认证服务器,能够支持802.1x、EoU等多种方式的网络准入控制检查认证,除了能够检查终端接入网络的用户帐号身份,还能够进一步检查终端自身的安全状态是否合规,能够检查接入终端硬件信息,对终端接入检查进行更为严格的绑定检查。
单台Radius最大能够支持2万终端用户认证,能够与管理服务器整合在一个平台下集中部署,也能够独立部署,安装和配置都十分简单。
3、网络准入控制接入方式北信源仅支持基于802.1x协议的准入控制方式,结合北信源自己的硬件VRV-BMG,还能够实现基于强制注册网关:在不完全支持802.1x的网络中可完成未注册终端访问网页时进行DNS重定向或HTTP重定向,以达到强制注册目的。
联软科技LeagView网络准入控制系统能支持基于802.1x协议的网络准入控制,还支持Cisco NAC架构中的EoU协议网络准入控制方式,同时联软科技还提供LeagView® UniAccess TM NAC Controller准入控制器(简称“NACC”),是一种基于Cisco EAP over UDP协议技术的硬件网关型设备,专为解决非802.1X 网络环境下(接入层交换机不支持802.1X )的网络准入控制问题而设计。
北信源常用产品技术功能的介绍_简版
北信源内网安全管理系统北信源内网安全管理系统可分为五个软件包组合销售,全方位地为网络用户提供安全管理功能。
这五个软件包具体为:基本产品包、终端桌面管理产品包、终端安全管理产品包、网络主机运维产品包、非法外联管理产品包。
基本产品包基本产品包主要包含终端基本管理、IT资产管理、事件报表及报警处置、第三方接口联动(可扩展)等功能。
1.终端基本管理1)终端注册管理2)IP和MAC绑定管理3)禁止修改网关、禁用冗余网卡管理4)未注册终端拒绝入网管理(软阻断技术)2.IT资产管理1)硬件资产管理2)软件资产管理3)软、硬件设备信息变更管理3.事件报表及报警处置1)终端信息数据统计分类管理2)图形化信息数据输出管理3)用户自定义组态报表输出及查询管理4)报警结果处置管理5)安全事件源远程阻断管理4.第三方接口联动(可扩展)1)PKI/CA认证联动接口2)防火墙联动接口3)网管软件联动接口4)安全管理平台联动接口5)其它第三方接口●终端桌面管理产品包1)终端流量管理2)进程运行黑白名单控制3)进程保护管理4)进程执行汇总5)终端服务管理6)软件黑白名单控制7)软件安装汇总8)终端消息推送9)远程协助管理10)外设及端口控制11)垃圾文件清理12)终端点对点管理13)系统自动关机管理14)终端时间同步管理●终端安全管理产品包1)桌面密码权限管理2)可网管配置的统一防火墙3)终端防网络攻击管理4)终端杀毒软件管理5)终端安全等级管理6)IE安全设置7)恶意软件免疫8)注册表监控/保护9)终端在线/离线策略管理●网络主机运维产品包1)运行资源监控2)流量异常监控3)进程异常监控4)客户端文件备份非法外联管理产品包1)内部终端非法接入互联网行为监控2)离网终端非法接入互联网行为监控3)内部终端非法接入其它网络行为监控4)内部终端非法外联行为告警和网络锁定5)内部终端非法外联行为取证北信源补丁及文件分发管理系统●产品背景近些年来,蠕虫病毒和木马病毒的频繁爆发给全球网络运行乃至经济都造成了严重影响,之所以这些蠕虫能造成如此危害,是因为利用了操作系统或者应用程序的漏洞。
北信源-终端准入控制系统
北信源VRV-BMG终端准入控制系统产品背景网络接入控制管理系统能够强制提升企业网络终端的接入安全,保证企业网络保护机制不被间断,使网络安全得到更有效提升。
与此同时基于设备接入控制网关,还可以对于远程接入企业内部网络的计算机进行身份、唯一性及安全认证。
通过网络接入控制管理系统可以满足企业要求,将设备接入控制扩展到超出简单远程访问及路由器、专有协议和已管理设备的限定之外;能够覆盖到企业网络的每一个角落,甚至是当使用者拿着他们的移动设备离开企业网络时,仍能有效的提供设备接入控制的执行。
网络接入控制管理系统针对所有的网络架构工作,并且不必进行昂贵的网络架构改造。
北信源VRV-BMG终端准入控制系统产品是一款基于内网用户网络行为管理和控制的硬件网关。
有如下具体特点:1)具有网络访问控制、网络行为管理、网页过滤检查、带宽流量管理、综合内容审计等功能。
主要用于解决企业内网、行业用户接入互联网或外联网可能引发的各种安全问题。
通过对内网用户的网络行为管理和控制,从而解决网络规范访问控制、网页浏览过滤、网络带宽资源滥用,以及对P2P软件、游戏软件、股票软件、即时通信等各种应用软件的管理和控制,并实现对上述各种网络行为的管理和审计功能;2)采用先进的深度业务识别DSI技术,能够快速识别包括多种流行P2P及其变种协议、网络流媒体协议、网路游戏、股票软件以及行业用户专用网络协议。
深度业务识别DSI技术是在DPI和DFI技术上发展起来的一种新型的7层应用识别技术。
由于深度业务识别检测DSI技术基于业务本身的特征而不是报文数据细节,对于检测加密或加扰应用协议具有更高的识别率,特别是对于新增和变种的网络应用和业务类型,DSI更具备良好的适应性;3)通过系统内置的网络应用业务特征,综合运用继承式应用描述语言HADL,从而允许网络管理者针对不同的内网用户、不同时段,综合企业的实际需求制定适合本企业的网络行为管理规范。
继承式应用描述语言HADL通过业务拓扑级——流特征级——报文特征的继承描述关系精确描述某项业务的特征。
北信源网络接入控制系统用户使用手册
2
北...................................................................................................................... 6 2 产品特性 ........................................................................................................................... 7
4.1.1 全网接入状况 ...................................................................................................... 11 4.1.2 网关接口状态信息和联动、认证信息 .............................................................. 15 4.1.3 在线设备趋势图(最近一小时) ...................................................................... 17 4.2 在线设备 ------------------------------------------------------------------------------------------------- 17 4.2.1 在线设备 .............................................................................................................. 17 5 注册管理 ......................................................................................................................... 19 5.1 参数配置 ------------------------------------------------------------------------------------------------- 19 5.2 设备注册列表 ------------------------------------------------------------------------------------------ 19 5.2.1 注册设备 .............................................................................................................. 19 5.2.2 设备注册列表 ...................................................................................................... 21 5.3 设备注册日志 ------------------------------------------------------------------------------------------ 22 6 认证管理 ......................................................................................................................... 24 6.1 参数配置 ------------------------------------------------------------------------------------------------- 24
北信源产品体系
北信源产品体系一、准入操纵系列产品1、北信源网络接入操纵治理系统●产品背景北信源网络接入操纵治理系统能够强制提升企业网络终端的接入安全,确保企业网络爱护机制的连续性,实现企业网络安全从质到量的提升。
同时,通过与北信源接入操纵网关的联动,还能够实现对远程接入企业内部网络的终端进行身份唯独性及安全性认证。
通过北信源网络接入操纵治理系统能够满足企业对终端接入网络的安全性要求,将终端接入操纵覆盖到企业网络的每一个角落。
同时,使得终端接入操纵不再依靠于具体的网络或通信设备,甚至是当使用者拿着他们的移动设备离开企业网络时,仍能有效执行对终端下发的接入操纵策略。
北信源网络接入操纵治理系统不需要对现有网络结构进行改造便可进行部署,具备简单、方便、安全、易扩展的特性。
●系统功能描述1)基于802.1X的终端接入认证治理;2)外部终端接入访咨询限制;3)外部终端接入身份认证;4)杀毒软件检测及访咨询限制;5)补丁自动检测及访咨询限制;6)进程、服务、注册表信息检测及访咨询限制;7)未达到预定义安全级不接入访咨询限制。
●系统功能特点1)全面支持市场主流交换机;2)能够实现无线802.1X接入认证;3)能够与用户现有AD域或LDAP进行联动认证;4)能够实现终端异地漫游的自动接管认证;5)能够实现终端认证数据检测,防止虚假第三方认证。
●系统治理构架北信源网络接入操纵治理系统由以下几部分组成:1)策略服务器:系统策略治理中心,提供系统的参数配置和安全策略治理。
2)认证客户端:安装在终端运算机,通过用户名和密码向认证服务器发起认证,实现正常工作区、访客隔离区、安全修复区的自动切换。
3)Radius认证服务器:接收客户端认证要求信息数据包并进行验证。
4)Radius认证系统 (交换机) :可网管支持802.1x的网络设备(交换机),接收认证客户端的认证要求数据包与Radius认证服务器完成认证过程。
5)可选配强制注册网关(硬件):在不完全支持802.1x的网络中可选装强制注册网关,完成未注册终端访咨询网页时进行DNS重定向或HTTP重定向,以达到强制注册目的。
网络控制系统:分析网络控制系统基本原理、协议和应用
网络控制系统:分析网络控制系统基本原理、协议和应用引言互联网的迅猛发展如同一片茂盛的原始森林,数以亿计的计算机和设备通过网络相互连接,创造了一个庞大而复杂的信息交流体系。
在这个庞大的网络中,网络控制系统扮演着至关重要的角色。
本文将详细探讨网络控制系统的基本原理、协议和应用,并探讨其在各个领域中的潜力和价值。
什么是网络控制系统?网络控制系统是指利用计算机网络技术实现对各种设备和系统的远程监控、控制和管理的系统。
它通过将传感器、执行器和控制器连接到网络上,并使用特定的控制协议进行通信,实现对设备和系统的实时监测和控制。
网络控制系统可以应用于各种领域,包括工业控制系统、智能交通系统、能源管理系统等。
通过网络控制系统,人们可以实时监测和控制各种设备和系统,提高效率、降低成本,并实现远程操作和管理。
网络控制系统的基本原理网络控制系统的基本原理可以简单概括为传感器、控制器和执行器之间的数据交换和控制。
传感器用于采集环境或设备的数据,并将其转换为数字信号发送给控制器。
控制器根据接收到的数据进行分析和处理,并生成控制信号发送给执行器。
执行器根据接收到的控制信号执行相应的动作,从而实现对设备和系统的控制。
在网络控制系统中,传感器、控制器和执行器之间通过网络进行数据交换和通信。
传感器将采集到的数据转换为数字信号,并通过网络发送给控制器。
控制器接收到数据后进行处理,并生成控制信号发送给执行器。
执行器接收到控制信号后执行相应的动作。
为了确保数据的准确性和实时性,网络控制系统通常采用实时操作系统和实时通信协议。
实时操作系统具有较高的实时性和可靠性,能够保证控制系统在规定的时间内完成任务。
实时通信协议则提供了可靠的数据传输和通信机制,确保控制信号的实时性和一致性。
网络控制系统的协议网络控制系统使用的协议包括传感器协议、控制协议和执行器协议。
传感器协议用于传感器和控制器之间的数据交换和通信,控制协议用于控制器和执行器之间的控制信号传输,执行器协议用于执行器和控制器之间的执行动作反馈。
北信源-内网安全管理系统产品组合及技术参数
系统支持终端电脑的分组(域)管理,可对一个分组(域)内的被管理对象实施统一管理。
单独的权限分配体系
提供系统管理员、系统审核员(安全员)和系统审计员和一般操作员权限,分别进行不同的管理操作。
灵活的策略对象
可根据时间段和时间点定制策略使用或禁止使用的触发条件;并可根据创建区域、自定义组、操作系统、IP范围、用户名、注册部门和按照条件搜索的设备进行策略分组分发管理。
打印信息审计
系统支持对主机打印行为进行监控审计,防止非授权的信息被打印。
文件涉密信息检查
系统支持对设定目录或盘符下的指定类型文件进行内容检查,检查其是否包含涉密内容。
用户权限审计
能够对用户权限更改及用户增加和删除的行为审计。
操作系统日志审计
系统支持管理员远程读取终端电脑的日志(系统日志、应用日志、安全日志等)。
软件资产管理
自动收集网络中所有注册终端的安装软件信息,并可以以WORD、EXCEL表导出软件资产信息。
软、硬件资产信息变更报警管理
软硬件资产信息发生变化时,系统自动上报报警信息到服务器。
事件报表及报警管理
终端审计信息数据统计分类管理
系统将收集上来的终端信息按不同类别分类存储,管理员可以按不同类别检索信息。
补丁库建立和分类
系统根据补丁索引文件自动生成补丁库,并根据索引信息,将补丁类型进行分类。
终端漏洞自动检测
受控终端能够自动检测本身需要安装哪些补丁。
补丁策略制定分类和自动分发
补丁策略分补丁自动分发策略和人工选择补丁分发策略,根据不同需要制定不同策略实现全网补丁的自动分发。
终端补丁流量控制及代理转发技术
安全信息审计
文档授权审计
系统支持授权文档的名称、文档作者、授权时间、授权权限、授权方式和认证方式进行审计和查询。
北信源产品体系
产品简介一、准入控制系列产品1、北信源网络接入控制管理系统产品背景北信源网络接入控制管理系统能够强制提升企业网络终端的接入安全,确保企业网络保护机制的连续性,实现企业网络安全从质到量的提升.同时,通过与北信源接入控制网关的联动,还可以实现对远程接入企业内部网络的终端进行身份唯一性及安全性认证.通过北信源网络接入控制管理系统可以满足企业对终端接入网络的安全性要求,将终端接入控制覆盖到企业网络的每一个角落.同时,使得终端接入控制不再依赖于具体的网络或通信设备,甚至是当使用者拿着他们的移动设备离开企业网络时,仍能有效执行对终端下发的接入控制策略.北信源网络接入控制管理系统不需要对现有网络结构进行改造便可进行部署,具备简单、方便、安全、易扩展的特性.系统功能描述1)基于的终端接入认证管理;2)外部终端接入访问限制;3)外部终端接入身份认证;4)杀毒软件检测及访问限制;5)补丁自动检测及访问限制;6)进程、服务、注册表信息检测及访问限制;7)未达到预定义安全级别接入访问限制.系统功能特点1)全面支持市场主流交换机;2)可以实现无线接入认证;3)可以与用户现有AD域或LDAP进行联动认证;4)可以实现终端异地漫游的自动接管认证;5)可以实现终端认证数据检测,防止虚假第三方认证.系统管理构架北信源网络接入控制管理系统由以下几部分组成:1策略服务器:系统策略管理中心,提供系统的参数配置和安全策略管理.2认证客户端:安装在终端计算机,通过用户名和密码向认证服务器发起认证,实现正常工作区、访客隔离区、安全修复区的自动切换.3Radius认证服务器:接收客户端认证请求信息数据包并进行验证.4Radius认证系统交换机:可网管支持的网络设备交换机,接收认证客户端的认证请求数据包与Radius认证服务器完成认证过程.5可选配强制注册网关硬件:在不完全支持的网络中可选装强制注册网关,完成未注册终端访问网页时进行DNS重定向或HTTP重定向,以达到强制注册目的.图1网络接入访问控制产品2、北信源虚拟隔离接入控制系统产品背景常用的网络接入技术是基于协议或网关形式来实现.接入认证对环境要求稍高,有些网络设备不支持协议,如HUB设备;而网关接入认证,在限制外部终端对内部终端访问时存在安全防御的真空.针对如上问题,北信源虚拟隔离接入控制技术应运而生,在不改变原有网络结构的同时,对新接入的网络设备进行有效管理.系统功能描述1)不改变现有网络配置,实现终端网络访问控制;2)隔离并保护注册终端,使未注册终端无法和其通信;3)隔离并保护服务器区域,防止未注册终端随意访问;4)通过安全检查机制,对未安装杀毒软件、漏打补丁终端进行隔离;5)未注册终端接入网络后,隔离并被重定向到注册界面.系统管理架构北信源虚拟隔离接入控制系统由以下几部分组成:1)策略服务器VRVEDP Server:系统策略管理中心,提供系统的参数配置和安全策略管理.2)客户端VRVEDP-Agent:安装在终端计算机上,接收EDP服务器策略,并执行策略.判定是否是注册计算机,起到隔离阻断的作用.产品3、北信源接入认证网关产品概述北信源接入认证网关是一款部署简便、使用灵活的网络准入/准出控制产品.使网络管理员能在允许用户进入网络前、访问外部网络前,对有线、无线和远程用户进行验证、授权.能够阻止未授权计算机越权访问网络资源.系统管理构架北信源接入认证网关整体解决方案包括三个组件:北信源接入网关—根据终端注册及策略情况提供访问权限.在用户未注册前,他们均被禁止访问可信网络,或进行HTTP、DNS等重定向强制注册.区域管理器—管理服务器、检查规则及策略,基于Web的中央控制台.北信源客户端程序—客户端程序代理、执行安全修复、身份认证功能.系统功能描述北信源接入认证网关与北信源内网安全管理系统结合可以完成网络终端注册和网络访问授权等工作,使得未注册客户端无法访问受限网络.使网络管理员能在允许用户进入网络前,对用户及其机器进行验证、授权.该安全产品能够:1)对未注册终端进行访问网络权限控制,可进行HTTP、DNS等重定向强制注册;2)确认用户、用户设备和他们在网络中的身份;3)对于终端设备网络连接流量进行控制;4)该产品能向通过局域网、无线局域网、广域网或虚拟专用网连接的设备应用网络准入控制.产品具有为所有运行环境执行策略的独特能力,无需其他独立产品或模块.功能特点多种身份验证服务北信源接入认证网关具备终端特征验证、用户名口令验证、混合身份验证等多种身份验证机制.管理员通过策略方便设定.能维护具有不同许可级别的用户群体.集中管理基于Web管理控制台为每个用户定义所需的策略类型,一个区域管理器可以管理多个接入网关.灵活的部署模式提供最广泛的部署模式,能适用于任意客户网络.客户能将该产品作为虚拟或实际IP网关,部署在边缘或中央,提供第二层或第三层客户端接入,或部署在DNS服务器前作为强制注册用的DNS网关.二、补丁分发系列产品1、北信源补丁及文件分发管理系统产品背景:近些年来,蠕虫病毒和木马病毒的频繁爆发给全球网络运行乃至经济都造成了严重影响,之所以这些蠕虫能造成如此危害,是因为利用了操作系统或者应用程序的漏洞.补丁的安装普遍会遇到以下的问题:普通用户技术知识水平有限,造成了计算机系统漏洞经常不能得到及时的修补,甚至长期不修补;网络维护人员为每台机器安装补丁耗时巨大;物理隔离网络用户必须使用移动存储设备从外网将补丁导入并安装,麻烦且带来信息泄漏和病毒传入的风险;每个终端补丁安装均从外网下载补丁造成网络资源消耗过大;用户随意下载补丁导致补丁来源不统一带来的风险.消除漏洞的根本办法就是安装软件补丁,每一次大规模蠕虫病毒的爆发,都提醒人们要居安思危,打好补丁,做好防范工作,补丁越来越成为安全管理的一个重要环节.黑客技术的不断变化和发展,留给管理员的时间将会越来越少,在最短的时间内安装补丁将会极大地保护网络和其所承载的机密,同时也可以使更多的用户免受蠕虫的侵袭.对于机器众多的用户,繁杂的手工补丁安装已经远远不能适应大规模网络的管理,必须依靠新的技术手段来实现对操作系统的补丁自动修补.因此,如何利用有效技术手段来及时、持续、稳定的安装计算机补丁,是所有网络安全管理人员、信息安全决策人员亟需解决的问题.系统功能概述北信源补丁及文件分发管理系统是北信源公司在为国家各大部委机关、各大行业网络用户进行病毒安全服务、总结安全运营保障经验的基础上,分析当前网络客户端实际安全管理要求研发的,系统支持推、拉两种方式自动下载补丁.整个补丁管理运行平台构架是:通过北信源外网补丁下载服务器及时从补丁厂商网站获取最新补丁;然后补丁经过安全测试后,通过补丁分发管理中心服务器对网络用户进行分发安装;补丁安装支持自动和手动两种方式.系统功能描述:1)互联网补丁自动下载;2)补丁完整性和安全性测试;3)补丁增量更新导入;4)补丁库建立和分类;5)终端补丁自动检测;6)补丁策略制定分发和自动分发;7)终端补丁流量控制和代理转发技术;8)补丁自动修复及查询统计;9)未打补丁情况汇总统计;10)补丁安装情况汇总统计;11)已安装补丁自动卸载;12)文件分发及文件自动执行;13)文件分发安装结果统计.网络应用直接连接互联网的网络:通过补丁下载服务器将补丁下载至补丁分发服务器.物理隔离网络:在互联网网络上安装补丁下载服务器模块,通过补丁下载增量分离工具,区分内网已导入和未导入的补丁,将最新补丁导入内网补丁分发服务器.系统组件北信源补丁及文件分发管理系统依据客户端注册优势,提供补丁检测、安装等远程功能.客户端访问网络WEB站点,根据页面自动弹出提示进行注册,注册程序将在系统中实时运行,检测补丁安装状况,并上报给补丁控制中心.补丁控制中心提供补丁策略制订、补丁文件直接分发,补丁测试提供对软件厂商新发布补丁的前期测试,严格测试后才可以配发到网络客户端,保障客户端补丁安装安全性.系统可按照网段、补丁类型进行补丁配置分发,支持漏打补丁、特殊补丁的推送下发;通过自定义分网段、分区域的补丁下载升级设定策略,以及转发代理技术,避免造成网络堵塞,合理控制网络带宽.图 1 补丁管理系统功能构架系统构架该系统贴近用户对网络、网络终端管理的要求,适用于局域网、广域网等多种构架.标准构架小型网络:在局域网中全面部署应用北信源补丁及文件分发管理系统,包括各种功能模块:补丁下载、补丁分析、补丁策略分发制订、文件分发、客户端补丁监测、漏洞补丁扫描、补丁分发控制台等.级联构架大型网络:对于网络分布广泛、规模庞大,并且拥有多个网络管理中心的广域网,北信源补丁及文件分发管理系统支持在标准构架上建立多级级联模式,实现下级网络补丁管理系统从上级补丁管理系统自动获取补丁,以及相关补丁审计、系统组件升级功能.三、介质管理系列产品1、北信源移动存储介质使用管理系统移动存储介质数据交换引发的安全问题移动存储介质,如U盘、移动硬盘等,因其体积小、容量大等优点,已得到广泛应用.作为数据交换的主要手段之一,移动存储介质正成为数据和信息的重要载体,但是我们也应该看到,移动存储设备在给我们带来极大方便的同时,也给我们带来了不少的安全隐患,主要如下:1.涉密计算机接入非涉密移动存储设备;2.非涉密计算机使用涉密移动存储设备;3.移动存储介质的数据交互审计;4.外来移动存储介质随意接入问题;5.移动存储介质丢失导致信息泄漏;6.移动存储介质的使用信息无法追踪审计问题;7.移动存储介质接入区域限制和控制问题;8.病毒、恶意代码通过移动存储介质传播问题.技术特点及应用1、分级权限控制通过对移动存储介质写入两种不同控制权限及功能的标签,来实现分级权限的控制,并对指定范围内的终端授权,通过策略与标签的配合来实现对移动存储介质的控制.注,对移动存储介质格式化无法去除标签.普通标签:写入普通标签后,在管理区域内根据策略的设置,来限制移动存储介质的读、写功能;如果在管理区域外使用移动存储介质认证,则不限制移动存储介质认证读、写功能.加密标签:写入加密标签后将普通移动存储介质U盘、移动硬盘等分为二个可控制的区域:交换区、保密区.涉密网络可只生成保密区.交换区和保密区启动均需输入独立的密码,数据在二个区存储时均以加密方式存储,这两个区的具体应用如下:1在涉密网络中或高要求的办公网络中,可只生成保密区一个区.该保密区只能在有对应安全策略的主机上通过认证标签后、同时输入正确密码才能访问,同时有安全策略的主机可以根据策略控制未经标签认证的移动存储介质的使用.2在普通办公网络中,可生成交换区、保密区二个区.保密区的使用方法,可与上述涉密网络或高要求的办公网络相同.交换区的使用方法,可以根据用户需要,在内部网络中通过策略限制使用方式,交换区在外网使用时同样要输入密码方可使用,保密区在外网不可见.2、审计功能完善1 提供移动存储介质上所有文件操作的详细记录包括文件的创建、复制、删除、读写和重命名等操作,具体包括文件名、审计描述、时间、用户名、计算机IP地址和其他必要的信息.2 提供移动存储介质的插入和拔出动作的详细记录具体包括事件类型、移动存储介质的名称、用户、计算机IP地址、事件时间等.系统功能描述1.移动存储设备分设备、网段等接入认证管理,保障指定设备读写指定移动存储设备的访问控制管理;2.移动存储介质数据读写控制管理;3.移动存储介质标签认证管理;4.移动存储介质分区交换区和保密区管理;5.移动存储介质的加密管理,防止保密区的敏感信息外泄;6.移动存储介质接入行为审计;7.移动存储介质数据交换行为审计管理,可针对文件后缀名等条件;8.提供详细的文件操作详细审计记录:包括文件的创建、复制、删除、修改和重命名等操作,包括文件名、审计描述、时间、用户名、计算机IP地址和其他必要的信息;9.提供详细的移动存储设备的插入和拔出动作的详细记录,具体包括事件类型、移动存储介质的名称、用户、计算机IP地址和事件时间.系统管理构架北信源移动存储介质管理系统和其它系统均采用相同的管理构架,由服务端制订统一的策略,分发给客户端执行.系统有USB标签制作工具,通过对移动存储介质制作标签可以实现对移动存储介质中的数据进行保护和加密,对移动存储介质进行使用范围授权,访问控制等综合的管理.移动存储介质使用管理系统可以将整个移动存储介质划分成交换区和保密区两部分,保护区需要通过密码认证才可以访问.系统具体使用管理构架如下:1、系统服务器端:系统管理中心基于web页面管理方式,管理员登陆和配置后系统才能运行.能够自动发现网络中的终端计算机,并检测终端计算机是否安装系统客户端程序,管理中心内置移动存储管理策略中心和报警中心,提供对网络终端的分组管理设置.2、系统客户端:安装在终端计算机,接收系统管理中心分发的策略,根据接受策略实时监控接入终端计算机移动存储设备的操作行为和状态,并进行管理或者控制;系统客户端注册以后,即使离开所在网络或不处于任务网络中,仍实时受到移动存储管理策略控制,日志记录于本地,一经连接回网络,则自动上报日志信息给服务器.3、专用移动存储设备注册工具:移动存储介质经过网管人员注册包括打标签、设置访问密码工具认证后,该移动存储介质才能在网络中使用.使用者在使用时必须输入使用密码后才能使用.系统以数据为中心,用户作为数据的使用者,主机作为数据的存储者,移动存储介质作为数据的迁移者,在系统范围内均赋予唯一的标识,三者进行相互认证.只有经认证和授权成功后,才保证合法的用户在合法的机器上访问合法移动存储介质上的数据,并形成详尽的日志供审计.产品2、北信源安全U盘系统系统功能描述1)遵循标准USB设备的使用流程,所有安全功能对用户透明;2)采用专用控制模块防止U盘介质非授权格式化;3)结合北信源移动存储介质使用管理系统,可实现多种方式的接入控制,具体详见移动存储介质使用管理系统相关介绍;4)从原理上杜绝病毒自动传播无法利用操作系统直接对U盘存储区文件进行读写,防止病毒拷入U盘导致病毒传播;5)支持基于角色的细粒度强访问控制机制,采用可定制的数据访问和审计策略,提供数据的多级多域安全防护;6)采用安全容器技术,实现信息的存储和传输安全,保证信息内容本身的应用审计安全;7)可对信息的分发路径进行全程跟踪,结合自主采集的多维主机指纹采集技术,从而对通过U盘的数据交换行为进行全方位的细粒度审计;8)审计信息记录在U盘本地的审计区,以供分析;9)支持设备和主机的双向认证,防止主观和客观的数据非法访问;10)一体化管理平台,便于U盘集中分发和管理.加密1)加密算法:标准版本采用AES256bit高强度对称加密算法,根据需要也可支持用户定制的加密算法和芯片,支持多种加密模式;2)TTDS:采用扇区映射方式进行二级抽象,完全打乱文件的存储位置,防止结构性破解.产品3、北信源光盘刻录监控与审计系统产品概述北信源光盘刻录监控与审计系统完全贯彻和落实国家保密局BMB17文件思想,实现对刻录的全面控制.系统采用三权分立原则,集权限控制、数据刻录控制、安全光盘读取和日志审计于一身,方便、有效的控制内网敏感信息通过CD/DVD盘片进行的数据交换.系统功能描述1.权限控制1未授权用户无法使用刻录软件刻录数据;2针对不同用户可授权为:禁止刻录、对指定格式的文件设定刻录权限、关键字过滤功能保障敏感文件无法刻录、刻录次数限定,可根据工作日及时间段授权刻录、并可设定刻录许可码.2.数据刻录控制只有使用北信源专用刻录软件刻录普通光盘或者特殊格式的安全光盘,其他刻录软件无法刻录.3.特殊格式安全光盘读取1经过加密刻录的光盘,使用时需要通过专用解密工具输入加密时设置的密码才可解密,解密后文档可正常读取;2北信源专用刻录软件刻录的普通光盘在任何光驱上都能被正常读取.4.安全审计1刻录行为的审计,包括:刻录计算机IP、MAC、刻录时间、源文件绝对路径、目的文件绝对路径等信息;2客户端系统配置变化审计;3灵活过滤条件查看日志;日志、统计报表提供WORD及EXCEL等格式的输出.产品4、北信源存储介质信息消除工具产品概述北信源公司本着“安全、便捷、可靠”的设计理念,针对用户当前存在的数据外泄问题,通过合理的方式对计算机介质包括磁带、磁盘、打印结果和文档进行信息消除或销毁处理,防止介质内的敏感信息泄露.本系统能够保证存储在主机上的重要数据的安全,通过反复对文件磁道的改写和重写,对主机上需要删除的数据文件进行不可恢复的彻底粉碎,最终达到完全粉碎的目的.系统功能描述本系统采用数据防护算法和硬件验证技术,避免了存储数据的非法存取和意外泄漏,具有以下功能:1文件粉碎:可对单个文件文件夹及多个文件文件夹进行彻底粉碎.2分区粉碎:可对主机中所选择的分区进行不可恢复的彻底粉碎.3磁盘粉碎:可对主机中所选择的磁盘进行不可恢复的彻底粉碎.同时,针对用户需求,本系统还具有以下特点:1易用性:本系统界面友好易懂、操作简单.2安全性:被粉碎的文件不可恢复,层与层之间传递的是命令,而不是数据,不会引起数据泄露.3防恢复:粉碎过的数据经反复擦除重写不会在硬盘上留下任何痕迹.系统管理构架系统分为用户软件层和核心层用户软件层:提供用户操作环境,可以在该操作环境下进行文件粉碎的表层工作.核心层:继承用户软件层接口,进行文件粉碎的核心操作.产品5、北信源存储介质信息消除系统产品概述北信源存储介质信息消除系统是国内第一款采用专用硬件及触摸屏设计的存储介质信息消除工具.以国家保密局BMB21-2007的要求为标准进行开发设计,能够保证存储在磁盘介质上的机密信息的安全,通过反复对文件磁道的改写和重写,对磁盘介质上需要删除的文件进行不可恢复的彻底粉碎,最终达到完全粉碎的目的.系统对磁盘数据擦除快速,方式多样,简单易操作,被消除信息后的存储介质能够被重复利用,节省用户投资.产品优势更快速:擦除速度可达每分钟3GB.更人性:触摸屏方式设计,简单易用.更安全:数据擦除不可逆,无法恢复.更轻便:产品体积小,重量轻,携带方便.更丰富:支持4个USB接口、2个SATA接口、1个IDE接口.更专业:符合国家保密局BMB21-2007要求.产品功能北信源存储介质信息消除系统提供对硬盘、U盘等存储介质进行整体消除的功能,支持对4个USB 口、1个IDE口以及2个SATA进行同步擦除.四、数据安全系列产品1、北信源电子文档安全管理系统产品概述北信源电子文档安全管理系统基于电子文档安全这个长期困扰业界的难题而研发, 是具有高扩展性、可定制化的解决方案,实现对电子文档全生命周期管理.产品集电子文档使用权限控制、用户身份验证、文档透明加解密、文档访问控制、文档密级与安全策略控制、文档监控与审计等多种技术于一身,有效防止电子文档主动和被动泄密.同时本产品具有高度的可扩展性、模块化设计,可与北信源内网安全系统无缝结合,为企业信息化建设提供了强有力的安全保障.系统管理构架局域网构架:网络结构是由一个或多个局域网所组成, 用户可以在局域网中安装一套电子文档安全管理系统,对局域网中所有设备的电子文档进行安全管理.如图1图1 局域网电子文档安全管理系统架构图2 广域网电子文档安全管理系统架构广域网构架:网络结构是跨地域广域网,可使用本产品提供的多级服务器级联架构模式.主服务器向下属服务器级联下发安全策略,下属服务器向主服务器上报数据.确保整个公司的电子文档的安全统一管理.如图2系统功能描述1、对电子文档全生命周期文档创建、使用、流转、归档、销毁进行加密保护,无法强制破解;2、电子文档密级可以划分,完全符合国家等级保护等相关规定;3、企业密钥具有唯一性,实现不同企业之间不能共享文档,同时可根据企业现有组织结构定义部门加密密钥,实现同企业不同部门之间不能共享文档;4、管理员制定、下发安全策略,对客户端进行统一的安全管理;。
北信源网络接入控制系统工作基本知识与功能对比
北信源网络接入控制系统工作原理与功能北京北信源软件股份有限公司目录1.整体说明 (3)2.核心技术 (3)2.1. 重定向技术 (3)2.2. 策略路由准入控制技术 (5)2.3. 旁路干扰准入控制技术 (7)2.4. 透明网桥准入控制技术 (8)2.5. 虚拟网关准入控制技术 (9)2.6. 局域网控制技术 (9)2.7. 身份认证技术 (10)2.8. 安检修复技术 (10)2.9. 桌面系统联动 (11)3.产品功能对比 (11)1.整体说明准入网关对接入设备进行访问控制,对于未注册用户进行WEB重定向进行注册;注册后的用户进行认证或安检后可以访问网络;管理员可以配置采取何种准入控制方式,如策略路由,旁路监听,透明网桥,虚拟网关等;同时可以选择使用不同的认证类型,如本地认证,Radius认证,AD域认证等,而认证途径采取网关强制重定向;准入网关整体上对准入的控制可分为两类,一类是网关自己控制数据的流通,另一类则是通过配置交换机,让交换机来控制数据包的流通。
目前准入网关实现的策略路由和旁路监听,透明网桥等准入控制均属于前者,也就是网关自己通过放行或丢弃、阻断数据包,来达到准入控制,对于数据包的阻断是基于tcp 实现的;而虚拟网关则是通过控制交换机VLAN来达到准入控制;2.核心技术为了适应不同业务环境下的统一入网控制,北信源网络接入控制系统采用多种核心技术设计,支持多种准入控制模式,实现从多角度多维度的终端入网安全控制。
2.1.重定向技术接入控制的目的是为了阻止不可信终端随意接入网络,对于不可信终端的判定需要一个过程,如何在判定过程中进行良好的提示,这就对产品的人机界面设计提出了较高的要求。
业界通常的做法是针对http性质的业务访问进行重定向,以往针对http的业务区分主要基于业务端口(主要为80端口),对于非80业务端口的http业务不能有效区分。
针对以上情况,北信源网络接入控制系统对http业务进行了深度识别,除80端口的http业务可以进行有效重定向之外,针对非80端口的http业务也能进行有效的识别和重定向。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
北信源网络接入控制系统工作原理与功能北京北信源软件股份有限公司目录1.整体说明 (3)2.核心技术 (3)2.1. 重定向技术 (3)2.2. 策略路由准入控制技术 (5)2.3. 旁路干扰准入控制技术 (7)2.4. 透明网桥准入控制技术 (8)2.5. 虚拟网关准入控制技术 (9)2.6. 局域网控制技术 (9)2.7. 身份认证技术 (10)2.8. 安检修复技术 (10)2.9. 桌面系统联动 (11)3.产品功能对比 (11)1.整体说明准入网关对接入设备进行访问控制,对于未注册用户进行WEB重定向进行注册;注册后的用户进行认证或安检后可以访问网络;管理员可以配置采取何种准入控制方式,如策略路由,旁路监听,透明网桥,虚拟网关等;同时可以选择使用不同的认证类型,如本地认证,Radius认证,AD域认证等,而认证途径采取网关强制重定向;准入网关整体上对准入的控制可分为两类,一类是网关自己控制数据的流通,另一类则是通过配置交换机,让交换机来控制数据包的流通。
目前准入网关实现的策略路由和旁路监听,透明网桥等准入控制均属于前者,也就是网关自己通过放行或丢弃、阻断数据包,来达到准入控制,对于数据包的阻断是基于tcp 实现的;而虚拟网关则是通过控制交换机VLAN来达到准入控制;2.核心技术为了适应不同业务环境下的统一入网控制,北信源网络接入控制系统采用多种核心技术设计,支持多种准入控制模式,实现从多角度多维度的终端入网安全控制。
2.1.重定向技术接入控制的目的是为了阻止不可信终端随意接入网络,对于不可信终端的判定需要一个过程,如何在判定过程中进行良好的提示,这就对产品的人机界面设计提出了较高的要求。
业界通常的做法是针对http性质的业务访问进行重定向,以往针对http的业务区分主要基于业务端口(主要为80端口),对于非80业务端口的http业务不能有效区分。
针对以上情况,北信源网络接入控制系统对http业务进行了深度识别,除80端口的http业务可以进行有效重定向之外,针对非80端口的http业务也能进行有效的识别和重定向。
除此之外,北信源网络接入控制系统针对终端入网的控制流程进行了重定向优化,针对终端入网注册、认证、安检、修复的整个流程进行了人性化的设计,整个重定向过程符合终端入网习惯,贯穿终端入网的全过程,并在重定向页面提供人性化帮助提示,主要表现在以下几大方面:●针对未注册终端,提供重定向下载页面供终端进行Agent下载和注册;●针对未通过身份认证的用户,提供多种认证重定向页面,认证方式可供用户选择;●提供人性化的安检评分重定向页面,采用Ajax技术,使得安检结果可以在重定向页面自动刷新,自动评分,并在重定向页面提供一键修复策略;●在终端入网的每个重定向环节提供帮助说明,对业务操作提供帮助链接,帮助终端使用者自动解决入网过程的所有问题,减少网络管理人员的参与,提高网络管理的效率,降低人工成本;●重定向页面的提供不基于特定的IE浏览器,只要是http的业务形式,无论是采用IE浏览器访问,还是采用客户端登录(例如QQ登录),或是客户端弹出窗口(例如QQ、飞信弹出内容模式)都可以进行重定向。
2.2.策略路由准入控制技术在过去,所有的准入控制模式几乎都是基于网络链路节点来进行控制的,从终端PC、网络交换设备、路由器防火墙等,所有的控制节点都放在了网络转发或传输设备本身。
这种模式不仅加重了网络基础设施的压力,同时也更容易形成单点故障,对网络业务本身可能造成不可连续性运营的困扰。
随着近年来准入控制技术的不断发展,越来越多的准入控制技术都采用了OOB(Out Of Band)模式,即所谓旁路部署模式,在准入控制产品的本身出现故障的情况下,并不会影响网络业务本身的可持续性运营,网络准入控制技术的发展也由此迈向了一个新的台阶。
北信源网络接入控制系统的策略路由模式,要求网络基础设施的核心设备(例如核心交换机)支持策略路由功能,通过将上行业务请求通过策略路由的控制定向到北信源网络接入控制系统,经由北信源网络接入控制系统针对终端的可信程度进行认证和判定后,采用丢弃或者正常转发到原路由下一跳的方式,对终端入网进行安全可信的筛选,从而达到准入控制的效果,具体流程可以参考以下流程示意图:图4 策略路由准入控制模式示例流程由于策略路由模式只针对上行业务请求进行处理,不会影响下行业务返回的正常转发,也不影响网络路由和拓扑的更改,其安全性也得到了更多的保障,因而比较适合于大多数网络环境。
另外,大多数支持策略路由的核心设备同时也支持逃生模式,核心设备在确认策略路由的下一跳不可达的情况下,可以按照策略配置自动选择原有默认路由,从安全角度来看,即使准入控制设备失去功效,也不会影响业务的正常转发,从而保证网络业务的可持续运营,因此,相对于以往的准入控制模式,策略路由模式无异于更受欢迎。
北信源网络接入控制系统完美的利用了核心设备策略路由的特性,结合北信源公司安全接入控制理念,并和北信源内网安全管理系统有效结合起来,为客户的内网终端安全管理提供有效的安全保障。
2.3.旁路干扰准入控制技术在OOB准入控制模式的发展趋势下,北信源公司研发了基于旁路干扰模式的准入控制方法,该准入控制方法采用和策略路由模式一致的旁路部署方法,是北信源公司在准入控制发展理念的基础上自主创新的新型准入控制技术,相对于策略路由准入控制模式,旁路干扰准入控制模式有着更为突出的安全特性。
策略路由准入控制模式虽然采用旁路部署模式,但是从技术原理上来说,采用的是流量劫持的方式对上行业务流进行筛选。
而旁路干扰准入模式采用的是流量复制的模式对上行业务流量进行筛选,在筛选过后再采用旁路干扰的方式中断现行业务流,是真正的旁路部署模式,不需要对现行业务流的走向进行任何改动,就像在快速运行的高速公路旁边部署了一台监控摄像头,当发现违规车辆时通过点对点的对话方式,让违规车辆自动接受处罚。
由于旁路干扰准入控制模式真正的旁路部署特性,其对现行业务流没有任何影响,因此相对于所有准入控制模式来说,有着得天独厚、无法比拟的安全性,其具体的业务流程参考下图:图5 旁路干扰准入控制模式示例流程旁路干扰准入控制模式要求核心设备(通常是核心或者汇聚层交换机)具备流量镜像的功能,相对与策略路由来说,有更多的交换机都支持流量镜像功能,因此对于不同网络环境的适应性更加强大。
除此之外,即使核心设备不支持流量镜像功能,也可以采用TAP分流的方式对流量进行复制分流,而这仅仅只需要增加一台分流/分光设备即可。
2.4.透明网桥准入控制技术在不支持策略路由或者旁路镜像的环境下,为了满足客户网络环境下的准入控制需求,采用串接的方式实现准入控制便显得尤为重要了。
透明网桥技术已经被大多数网络安全设备接受和认可,也是目前为止在网络关口层面控制最为严格的部署技术,北信源网络接入控制系统在不改变现有拓扑的情况下将网桥串接到网络当中,采用ACL的方式对流量IP进行过滤,对不可信不安全的终端进行隔离修复。
图6 透明网桥准入控制模式示例流程2.5.虚拟网关准入控制技术虚拟网关是基于VLAN(Virtual Local Area Network)和SNMP(Simple Network Management Protocol )两种技术,在VLAN环境中,把设备接入的VLAN分为可信VLAN和不可信VLAN,判断对应设备是否通过认证:未通过,则通过SNMP Write,将对应设备所接交换机端口所处VLAN,切为不可信VLAN,以后,该设备再访问网络,将会被重定向,直至认证通过后,虚拟网关才将其所处VLAN, 切换为可信VLAN,正常上网。
2.6.局域网控制技术无论是策略路由、旁路干扰还是透明网桥准入控制技术,都是基于网络核心节点的网络接入控制技术,并不能真正对局域网终端节点之间的互访进行授信控制。
在以往的所有准入控制技术当中,对于局域网之间互访的授信控制是基于接入交换机端口的控制(802.1X)、IP地址获取控制(DHCP Enforcer)或者通过VLAN技术进行隔离。
北信源网络接入控制系统授予了终端可信判断的能力,对于安装有北信源网络接入控制系统Agent的终端,可以自动判断来访者的可信程度,如果发现来访者是不安全不可信的终端,Agent会丢弃来访的数据包请求,阻止不可信终端对自身的访问。
采用终端自判断的方式将局域网访问控制从网络节点设备下放到终端自身,不仅可以降低网络节点设备自身的压力,还可以规避其它局域网访问控制技术的缺陷,例如802.1x对hub、傻瓜式交换机下终端互访无法控制的问题以及采用手动设置IP规避DHCP自动获取的IP控制等。
而由于安装Agent 进行注册是入网授信必须经历的一个环节,因此采用终端自判断的局域网控制技术,可以完全有效的控制局域网终端之间的授信访问过程。
2.7.身份认证技术身份认证是终端可信认证的一个重要环节,随着信息安全技术的不断发展,针对身份认证安全可靠的特性也提出了更高的要求。
身份认证最重要的部分是防伪造、防抵赖,因此身份认证技术也从最初简单的用户名/口令,逐渐发展到证书、生物技术、动态密码以及多因素认证,防止一切可能伪造和抵赖的因素。
为了满足不同安全程度的身份认证需求,也为了适应客户网络环境中可能已经存在的身份存储和认证方式,北信源网络接入控制系统针对各种主流身份认证技术进行了符合性开发,为各种主流身份认证技术提供了认证接口,典型的诸如和Radius、LDAP、AD域、CA系统、邮箱系统相结合的认证,可以满足当前技术下大部分认证系统的需求。
2.8.安检修复技术除身份认证外,安检修复也是针对终端可信认证的重要环节,据权威机构研究证明,80%的信息泄密来自于企业或机构的内部计算机终端。
由于大部分企业计算机终端的使用人员安全意识薄弱且非计算机专业人员,对于计算机的自主安全防护能力存在一定欠缺,因此造成了很大的泄密隐患。
针对内部终端被动泄密的问题,归根结底是因为终端的安全策略配置不够严谨(例如guest账户开启、弱口令设置以及不正常的注册表键值等)或者计算机本身存在安全漏洞(例如关键补丁未安装、杀毒软件未安装或者病毒库过期等原因)造成的。
针对此类情况,北信源网络接入控制系统采用主动探测和一键修复的技术设计,对入网计算机终端的安全测试进行检查和评分,对存在安全隐患的计算机终端强制禁止入网,并提供一键策略修复技术,解决终端可能存在的不安全隐患,从而达到全网终端的统一安全管理。
2.9.桌面系统联动北信源准入控制系统支持与桌面系统联动,在已经部署桌面系统的环境下,支持注册客户端透明准入,不需要二次认证注册,由桌面管理平台下发安全策略,客户端安全信息实时上报到准入网关,实时更新终端安全策略状况,风险控制严格,客户端上报安全信息不合规时,立即被隔离到隔离区,此时客户端仅能访问隔离区中的服务器,直到修复完全直到满足安全策略要求。