捍衛(wèi)者終端安全訪問審計控制系統(tǒng).doc

捍衛(wèi)者終端安全訪問審計控制系統(tǒng)目錄一、產(chǎn)品背景2二、解決方案3三、系統(tǒng)功能描述5四、管理功能描述5五、系統(tǒng)技術(shù)特點6六、系統(tǒng)架構(gòu)6七、適用行業(yè)7一、產(chǎn)品背景近十余年來,我國信息化建設(shè)取得快速發(fā)展。目前，各主要系統(tǒng)和單位均建立了較完善的信息化設(shè)施和網(wǎng)絡(luò)。其中為了系統(tǒng)或單位的信息保密，多數(shù)內(nèi)網(wǎng)需通過物理或電子方式和外網(wǎng)隔離。對于某一系統(tǒng)或單位內(nèi)網(wǎng)來說，行之有效的安全管理是所企盼的。但在沒有使用有效的控制和管理系統(tǒng)之前，任何管理方法往往形同虛設(shè)?！皟?nèi)憂”勝于“外患”，系統(tǒng)或單位不僅需要鑄造如同長城一般的邊關(guān)防御體系，同樣需要著重管理，打造安全和諧的內(nèi)部環(huán)境。外部非法筆記本接入內(nèi)網(wǎng)后，內(nèi)網(wǎng)信息暴露無疑內(nèi)網(wǎng)終端非法外聯(lián)，將機密信息泄露內(nèi)網(wǎng)不同部門或組織間，信息毫無機密可言內(nèi)網(wǎng)計算機隨意運行各類軟件，影響工作效率的同時還易感染各類病毒二、解決方案捍衛(wèi)者終端安全訪問審計控制系統(tǒng),主要功能是通過軟件方式設(shè)置可信網(wǎng)絡(luò)，該可信網(wǎng)絡(luò)內(nèi)部互信計算機間可以正常相互訪問，非法計算機未經(jīng)授權(quán)不能接入可信網(wǎng)絡(luò)?？尚啪W(wǎng)絡(luò)內(nèi)部終端也不能非法外聯(lián)非可信網(wǎng)絡(luò)，另外此系統(tǒng)還可以限制終端某些進(jìn)程運行，同時管理網(wǎng)絡(luò)外的其他形式對網(wǎng)絡(luò)可信終端的訪問如：紅外、藍(lán)牙、串口、并口、USB接口等等，通過本系統(tǒng)可以低成本實現(xiàn)內(nèi)外網(wǎng)軟件隔離和終端信息安全防護(hù)，對于已經(jīng)實施內(nèi)外網(wǎng)物理隔離單位還可以作為終端信息防護(hù)的解決方案，防止終端因為非法接入、外聯(lián)導(dǎo)致泄密。 控制非法接入、外聯(lián)示意圖捍衛(wèi)者終端安全訪問審計控制系統(tǒng)的基本原理如下：1) 接入終端經(jīng)認(rèn)證服務(wù)器統(tǒng)一認(rèn)證，方可接入內(nèi)網(wǎng)，如下圖示： 終端認(rèn)證示意圖2）認(rèn)證數(shù)據(jù)存在客戶端和認(rèn)真服務(wù)器，進(jìn)行實時同步更新；3）非法客戶端連接合法終端，系統(tǒng)會進(jìn)行審核，發(fā)現(xiàn)不在白名單中或列入黑名單，進(jìn)行屏蔽，并記錄訪問日志，從而達(dá)到事前控制，事后審計的管理要求。三、系統(tǒng)功能描述1）終端接入驗證管理（所有驗證終端組成內(nèi)網(wǎng)）；2）內(nèi)網(wǎng)終端非法外聯(lián)行為監(jiān)控；3）未驗證終端限制接入內(nèi)網(wǎng)；4）驗證終端相互訪問行為監(jiān)控；5）外部終端非法訪問內(nèi)網(wǎng)行為監(jiān)控；6）內(nèi)網(wǎng)驗證終端進(jìn)行網(wǎng)內(nèi)分級、分域管理；7）內(nèi)網(wǎng)終端進(jìn)程管理，可禁止終端某些進(jìn)程運行；8）日志備份定時提醒；9）客戶端異?；虮黄平?，服務(wù)器端顯示其相關(guān)信息，報警提示。四、管理功能描述1）多級級聯(lián)管理：本系統(tǒng)可進(jìn)行服務(wù)器多級級聯(lián)管理，級聯(lián)服務(wù)器可對下級管理服務(wù)器進(jìn)行連接設(shè)置，并可以控制下級的所有被管理客戶端，對其進(jìn)行狀態(tài)查看、模式設(shè)置、日志審計等。 2）客戶端分域管理：按多種方式（部門、網(wǎng)段等）對客戶端進(jìn)行分域管理，不同可信域內(nèi)的終端訪問受限，并對其進(jìn)行監(jiān)控管理。 3）方便靈活的審計查詢管理：對記錄的日志可以采用多種方式進(jìn)行審計查詢（按時間、按IP、按關(guān)鍵字等），以最方便的方式、最快捷的操作，準(zhǔn)確定位要查找的日志，并可以對日志進(jìn)行導(dǎo)出操作。 4）全網(wǎng)統(tǒng)一安裝、升級功能：本系統(tǒng)支持域內(nèi)和非域兩種方式遠(yuǎn)程推送安裝客戶端，服務(wù)器對客戶端的統(tǒng)一升級模式，方便維護(hù)和管理。五、系統(tǒng)技術(shù)特點 該系統(tǒng)貼近用戶對網(wǎng)絡(luò)及終端管理的要求，適用于大、中、小型各種網(wǎng)絡(luò)； 支持簡體中文、英文、繁體中文三種語言，可以自由切換； 支持Windows2000/2003/XP/win7/win8以及Vista等主流操作系統(tǒng)； 與常見的殺毒及安全軟件無沖突，未使用黑客技術(shù)； 過濾網(wǎng)絡(luò)信息速度均512 MB/S，帶寬占用率均3，不影響網(wǎng)絡(luò)性能； 占用系統(tǒng)資源少，批量操作時占用內(nèi)存：服務(wù)器端均8M，客戶端均6M。六、系統(tǒng)架構(gòu)本系統(tǒng)采用C/S網(wǎng)絡(luò)構(gòu)架，層次從下至上分為網(wǎng)絡(luò)通信層、網(wǎng)絡(luò)過濾層驅(qū)動、進(jìn)程通訊層、系統(tǒng)服務(wù)層（客戶端和服務(wù)器端有各自不同的系統(tǒng)服務(wù)）、客戶端應(yīng)用進(jìn)程。 總體架構(gòu)圖各層功能如下：1）網(wǎng)絡(luò)通訊層：負(fù)責(zé)網(wǎng)絡(luò)消息的分發(fā)，內(nèi)部協(xié)議的組包和解析，保證客戶端和服務(wù)器端的通信。2）網(wǎng)路過濾層驅(qū)動：負(fù)責(zé)監(jiān)控網(wǎng)絡(luò)上訪問本機的網(wǎng)絡(luò)信息。3）進(jìn)程通訊層：負(fù)責(zé)完成進(jìn)程、服務(wù)、驅(qū)動、網(wǎng)絡(luò)層之間的通信鏈接。4）系統(tǒng)服務(wù)層：客戶端：進(jìn)程保護(hù)、進(jìn)程調(diào)度等。服務(wù)器端：提供管理控制界面，響應(yīng)用戶指令，處理各種命令及客戶端返回信息顯示、儲存等。5）客戶端應(yīng)用進(jìn)程：客戶端：提供用戶界面。主要用