远为网络准入安全管理平台

1 产品概述

远为网络准入安全管理平台 ,是专为政府、电力、金融、运营商、卫生、能源等大型企事业单位而研发的内网安全管理系统。

2 系统功能
2.1 系统主体功能

提供系统管理最基础的功能,是实现其他系统功能的基础。

◆ 组织架构管理

管理员可以根据自身组织的结构,以树形方式进行组织架构的展示和管理。可以指定该部门终端所属的IP地址段,使终端可以自动划入相关部门。支持原有的AD域或LDAP服务器进行组织架构导入,或者架构电子表导入。

◆ 终端信息管理

可以以列表的方式进行终端信息集中展示。可展示终端的基本信息、注册信息、策略列表信息、设备硬件信息、设备软件信息。对终端审核入网永久入网、时限入网、可信等入网操作。满足对网内终端一体化展示和可控制的目的。

◆ 远程维护

管理员可以在管理控制台直接对终端进行远程操作和查看,降低现场服务的请求数。可以对终端进程、服务进行管理。可以远程关闭/重启终端。可管理远程终端的文件。

◆IP资源管理

管理员可通过矩阵图的方式,自动进行网内IP地址池的展示,一目了然查看当前IP地址分配状况,IP历史使用状况。将IP作为企业资产进行管理,方便进行IP地址使用的规划和IP事件的追溯。

◆ 资产管理

可对采集到的系统硬件和软件进行集中展示。可统计不同硬件或软件的数量,使用的终端,形成资产台账。还可以对软件的授权数量和授权时间进行管理,防止授权超标的法律问题。

◆ 任务管理

支持对指定终端、部门、IP段或全体进行下发软件,可进行下发后更细腻的调整,运行参数,分发路径,是否执行,完成后的操作。支持对指定终端、部门、IP段或全体发送短消息;

◆ 级联管理远为网络准入安全管理平台白皮书

可以进行至少3级级联。下级管理系统可以作为上级管理系统中的一个部门的管理系统。可在上级管理系统中配置级联策略,强制同步和执行到下级管理系统中。并可将下级的各种违规报警等信息上报到上级管理系统中。实现上下联动的一体化管理方案。

◆ 客户端部署准入控制

可以通过镜像准入、透明网桥准入、策略路由进行终端客户端安装时的准入控制。实现终端入网重定向进行客户端安装。同时可以灵活的选择仅WEB定向安装。极大的减轻了终端部署的压力和工作量。

◆ 入网流程管理

管理员可根据管理需要,对入网流程进行配置,可对各个页面进行符合自身管理方式进行终端展示页面定制,注册项目的定制;

◆ 系统管理

可上传软件,形成软件库,在策略指定时进行调用。提供页面上的网络诊断工具,包括:ping、抓包、traceroute、nslookup。支持虚地址的双机热备。支持对P2P进程、游戏进程、病毒进程、私设网站形成自定义的信息字库,方便策略进行调用。

2.2 违规预警

实现终端的各种日常使用的安全管理。

◆违规外联

支持任何方式的违规外联检测。禁止浏览器使用代理上网。详细记录违规情况,实现外联取证。

◆ 重要进程异常检查

检查终端必须要执行的重要进程,并自动进行进程的拉起修复。

◆PC资源使用异常

监控CPU、内存、磁盘使用率异常;

◆私设网站检查

扫描、检查网内是否有私设的WEB站点。

◆ 病毒进程检查

自定义病毒进程,对终端的病毒进程进行检查,终止进程。

◆ P2P进程检查

自定义P2P进程,对终端的P2P进程进行检查,终止进程。

◆ 游戏进程检查

自定义游戏进程,对终端的游戏进程进行检查,终止进程。

◆ 流量控制检查

对终端上传、下载流量、总流量、发包频率、TCP连接数、UDP监听端口数进行控制,防止恶意软件的网络攻击行为。

2.3 安全基线

进行终端最基础的安全状态检查和修复,使终端满足安全基线的要求。

◆ 密码策略设置检查

对终端用户密码复杂度的最小值和留存期进行检查。

◆ 必须安装软件检查

检查终端必须安装的软件,并提供在线修复和网站修复方式。

◆ 禁止安装软件检查

终止禁止终端安全的软件。

◆ 屏幕保护检查

可定义屏幕保护时间,是否使用恢复密码;

◆ 系统服务检查

对终端未许可服务是否启动进行检查,并进行修复;

◆ 弱口令账户检查

通过口令字典检查系统是否存在弱口令账户。对弱口令可进行密码强制过期和修改为指定密码的自动修复;

◆ 系统共享资源检查

检查系统是否存在文件共享,并进行修复;

◆ 系统补丁检查

可选择严重、重要、中等和需要进行补丁自动安装。支持手动、自动升级补丁库,可设置通过代理服务器连接补丁服务器。可导出未下载的补丁列表,并提供下载连接,方便手动下载。

◆ 杀毒软件检查

支持18种杀毒软件的检查。能够区分版本不合规、病毒库不合规。提供自动下载程序修复和网址引导修复。

2.4 USB接入管理

对终端使用USB存储设备进行管理,防止通过USB存储设备导致的泄密和威胁引入的问题。

◆ USB自助注册

可以指定设备、部门、IP段等进行终端的U盘注册。注册信息包括:使用者、所属部门、访问密码、是否加密、备注信息,减轻管理员集中注册的压力;

◆ USB使用安全

对于安全级别高的用户,可对U盘进行加密管理,实现数据U盘存储的加密,防止U盘数据被随意读取。对于一般使用用户,可以设置U盘使用的密码,需要正确输入密码方可使用。

◆ USB使用控制

可对指定的USB存储设备进行只读、放行、禁止使用的控制。制定USB存储设备具有相当的细腻度,包括:全部、已注册、未注册、指定USB、指定类型、未知类型。

◆ USB插拔记录

可以对不同的USB存储设备指定插拔审计记录;

2.5 安全防护

对终端的网络设置进行固定,防止因此带来的终端网络访问故障。

◆ 网卡绑定检查

可对终端网卡的IP、DSN地址进行绑定,当发现修改后可以自动进行恢复,防止IP设置错误导致的网络故障的发生。

◆ ARP防护策略

可进行终端上的IP/MAC进行条目绑定,防止ARP欺骗导致的终端断网。

2.6 强制行为控制

对终端的操作行为进行控制,避免数据泄露和其他风险。

◆ 防火墙策略

建立主机防火墙,对终端远程访问的IP、端口、协议进行放行或禁止;

◆ 外设使用控制

对终端的各种外设进行禁用,包括:USB端口、光驱、软驱、打印机、调制解调器、串行口、并行口、1394、红外、蓝牙、PCMCIA卡;

◆ 网站访问控制

对网站禁止或允许访问;

◆ 文件访问控制

禁止制定文件进行新建、修改、移动、改名、彻底删除、放入回收站、还原、清空操作;

2.7 行为审计

对终端主要操作行为进行审计。

◆ 文件审计

对终端文件的新建、修改、移动、改名、彻底删除、放入回收站、还原、清空操作进行审计。

◆ 网站审计

对指定的网站访问进行审计。

◆ 邮件审计

对SMTP、POP3方式的邮件进行邮件内容审计。

3 产品特点

◆ 稳定的专用系统

终端安全管理平台是整个终端安全管理的中枢神经。策略、报警、管理等均在此进行,一旦发生故障,轻则安全策略无法正常工作,严重的可能导致终端故障甚至因此发生安全事故。

◆ 完善的客户端部署方案

在实施终端安全管理系统时,客户端的安装率、安装便捷度是项目成功的重要因素。可以说,客户端安装好了,终端安全管理项目就成功了一大半。

◆ 完备的系统安全性检查

通过远为网络准入安全管理平台的安全检查与加固,系统管理员可以对全网的终端设备建立各种安全检查与评估任务,实时的修复目前网内设备的风险状况。

◆ 灵活的安全修复方式

系统可以支持业界最丰富的终端安全修复方式。可以选择:断网、锁屏、重启、关机、终端提示信息、自动修复、截屏等方式。

◆ 全方位、细粒度行为审计

通过细粒度的管理策略从技术层面得到有效支撑,这样不但可以合理分配员工的上网时间,规范员工行为、防止信息泄密,更能让管理员做到事前预防、事中控制、事后审计,真正做到信息安全的全局把控。

◆ 终端违规取证

通过“一张表”的方式可以集中进行各种违规报警的展示。在违规报警展示页面中可以详细查看该报警所属的部门、人员、设备信息、违规概况等。

◆ 完善的级联部署模式

远为网络准入安全管理平台可以实现至少3级的级联部署。级联部署后,可以充分体现层次化的管理的思想。

◆ 深入系统内核,确保终端稳定和兼容性

远为网络准入安全管理平台通过优化的设计,通过系统底层和内核工作,尽可能对桌面终端用户透明,不影响用户的正常工作。