捍衛(wèi)者終端安全訪問(wèn)審計(jì)控制系統(tǒng).doc

捍衛(wèi)者終端安全訪問(wèn)審計(jì)控制系統(tǒng)目錄一、產(chǎn)品背景2二、解決方案3三、系統(tǒng)功能描述5四、管理功能描述5五、系統(tǒng)技術(shù)特點(diǎn)6六、系統(tǒng)架構(gòu)6七、適用行業(yè)7一、產(chǎn)品背景近十余年來(lái),我國(guó)信息化建設(shè)取得快速發(fā)展。目前，各主要系統(tǒng)和單位均建立了較完善的信息化設(shè)施和網(wǎng)絡(luò)。其中為了系統(tǒng)或單位的信息保密，多數(shù)內(nèi)網(wǎng)需通過(guò)物理或電子方式和外網(wǎng)隔離。對(duì)于某一系統(tǒng)或單位內(nèi)網(wǎng)來(lái)說(shuō)，行之有效的安全管理是所企盼的。但在沒(méi)有使用有效的控制和管理系統(tǒng)之前，任何管理方法往往形同虛設(shè)?！皟?nèi)憂(yōu)”勝于“外患”，系統(tǒng)或單位不僅需要鑄造如同長(zhǎng)城一般的邊關(guān)防御體系，同樣需要著重管理，打造安全和諧的內(nèi)部環(huán)境。外部非法筆記本接入內(nèi)網(wǎng)后，內(nèi)網(wǎng)信息暴露無(wú)疑內(nèi)網(wǎng)終端非法外聯(lián)，將機(jī)密信息泄露內(nèi)網(wǎng)不同部門(mén)或組織間，信息毫無(wú)機(jī)密可言?xún)?nèi)網(wǎng)計(jì)算機(jī)隨意運(yùn)行各類(lèi)軟件，影響工作效率的同時(shí)還易感染各類(lèi)病毒二、解決方案捍衛(wèi)者終端安全訪問(wèn)審計(jì)控制系統(tǒng),主要功能是通過(guò)軟件方式設(shè)置可信網(wǎng)絡(luò)，該可信網(wǎng)絡(luò)內(nèi)部互信計(jì)算機(jī)間可以正常相互訪問(wèn)，非法計(jì)算機(jī)未經(jīng)授權(quán)不能接入可信網(wǎng)絡(luò)。可信網(wǎng)絡(luò)內(nèi)部終端也不能非法外聯(lián)非可信網(wǎng)絡(luò)，另外此系統(tǒng)還可以限制終端某些進(jìn)程運(yùn)行，同時(shí)管理網(wǎng)絡(luò)外的其他形式對(duì)網(wǎng)絡(luò)可信終端的訪問(wèn)如：紅外、藍(lán)牙、串口、并口、USB接口等等，通過(guò)本系統(tǒng)可以低成本實(shí)現(xiàn)內(nèi)外網(wǎng)軟件隔離和終端信息安全防護(hù)，對(duì)于已經(jīng)實(shí)施內(nèi)外網(wǎng)物理隔離單位還可以作為終端信息防護(hù)的解決方案，防止終端因?yàn)榉欠ń尤?、外?lián)導(dǎo)致泄密。 控制非法接入、外聯(lián)示意圖捍衛(wèi)者終端安全訪問(wèn)審計(jì)控制系統(tǒng)的基本原理如下：1) 接入終端經(jīng)認(rèn)證服務(wù)器統(tǒng)一認(rèn)證，方可接入內(nèi)網(wǎng)，如下圖示： 終端認(rèn)證示意圖2）認(rèn)證數(shù)據(jù)存在客戶(hù)端和認(rèn)真服務(wù)器，進(jìn)行實(shí)時(shí)同步更新；3）非法客戶(hù)端連接合法終端，系統(tǒng)會(huì)進(jìn)行審核，發(fā)現(xiàn)不在白名單中或列入黑名單，進(jìn)行屏蔽，并記錄訪問(wèn)日志，從而達(dá)到事前控制，事后審計(jì)的管理要求。三、系統(tǒng)功能描述1）終端接入驗(yàn)證管理（所有驗(yàn)證終端組成內(nèi)網(wǎng)）；2）內(nèi)網(wǎng)終端非法外聯(lián)行為監(jiān)控；3）未驗(yàn)證終端限制接入內(nèi)網(wǎng)；4）驗(yàn)證終端相互訪問(wèn)行為監(jiān)控；5）外部終端非法訪問(wèn)內(nèi)網(wǎng)行為監(jiān)控；6）內(nèi)網(wǎng)驗(yàn)證終端進(jìn)行網(wǎng)內(nèi)分級(jí)、分域管理；7）內(nèi)網(wǎng)終端進(jìn)程管理，可禁止終端某些進(jìn)程運(yùn)行；8）日志備份定時(shí)提醒；9）客戶(hù)端異?；虮黄平?，服務(wù)器端顯示其相關(guān)信息，報(bào)警提示。四、管理功能描述1）多級(jí)級(jí)聯(lián)管理：本系統(tǒng)可進(jìn)行服務(wù)器多級(jí)級(jí)聯(lián)管理，級(jí)聯(lián)服務(wù)器可對(duì)下級(jí)管理服務(wù)器進(jìn)行連接設(shè)置，并可以控制下級(jí)的所有被管理客戶(hù)端，對(duì)其進(jìn)行狀態(tài)查看、模式設(shè)置、日志審計(jì)等。 2）客戶(hù)端分域管理：按多種方式（部門(mén)、網(wǎng)段等）對(duì)客戶(hù)端進(jìn)行分域管理，不同可信域內(nèi)的終端訪問(wèn)受限，并對(duì)其進(jìn)行監(jiān)控管理。 3）方便靈活的審計(jì)查詢(xún)管理：對(duì)記錄的日志可以采用多種方式進(jìn)行審計(jì)查詢(xún)（按時(shí)間、按IP、按關(guān)鍵字等），以最方便的方式、最快捷的操作，準(zhǔn)確定位要查找的日志，并可以對(duì)日志進(jìn)行導(dǎo)出操作。 4）全網(wǎng)統(tǒng)一安裝、升級(jí)功能：本系統(tǒng)支持域內(nèi)和非域兩種方式遠(yuǎn)程推送安裝客戶(hù)端，服務(wù)器對(duì)客戶(hù)端的統(tǒng)一升級(jí)模式，方便維護(hù)和管理。五、系統(tǒng)技術(shù)特點(diǎn) 該系統(tǒng)貼近用戶(hù)對(duì)網(wǎng)絡(luò)及終端管理的要求，適用于大、中、小型各種網(wǎng)絡(luò)； 支持簡(jiǎn)體中文、英文、繁體中文三種語(yǔ)言，可以自由切換； 支持Windows2000/2003/XP/win7/win8以及Vista等主流操作系統(tǒng)； 與常見(jiàn)的殺毒及安全軟件無(wú)沖突，未使用黑客技術(shù)； 過(guò)濾網(wǎng)絡(luò)信息速度均512 MB/S，帶寬占用率均3，不影響網(wǎng)絡(luò)性能； 占用系統(tǒng)資源少，批量操作時(shí)占用內(nèi)存：服務(wù)器端均8M，客戶(hù)端均6M。六、系統(tǒng)架構(gòu)本系統(tǒng)采用C/S網(wǎng)絡(luò)構(gòu)架，層次從下至上分為網(wǎng)絡(luò)通信層、網(wǎng)絡(luò)過(guò)濾層驅(qū)動(dòng)、進(jìn)程通訊層、系統(tǒng)服務(wù)層（客戶(hù)端和服務(wù)器端有各自不同的系統(tǒng)服務(wù)）、客戶(hù)端應(yīng)用進(jìn)程。 總體架構(gòu)圖各層功能如下：1）網(wǎng)絡(luò)通訊層：負(fù)責(zé)網(wǎng)絡(luò)消息的分發(fā)，內(nèi)部協(xié)議的組包和解析，保證客戶(hù)端和服務(wù)器端的通信。2）網(wǎng)路過(guò)濾層驅(qū)動(dòng)：負(fù)責(zé)監(jiān)控網(wǎng)絡(luò)上訪問(wèn)本機(jī)的網(wǎng)絡(luò)信息。3）進(jìn)程通訊層：負(fù)責(zé)完成進(jìn)程、服務(wù)、驅(qū)動(dòng)、網(wǎng)絡(luò)層之間的通信鏈接。4）系統(tǒng)服務(wù)層：客戶(hù)端：進(jìn)程保護(hù)、進(jìn)程調(diào)度等。服務(wù)器端：提供管理控制界面，響應(yīng)用戶(hù)指令，處理各種命令及客戶(hù)端返回信息顯示、儲(chǔ)存等。5）客戶(hù)端應(yīng)用進(jìn)程：客戶(hù)端：提供用戶(hù)界面。主要用