【正文】 產(chǎn) 品 簡 介一、準入控制系列產(chǎn)品北信源網(wǎng)絡接入控制管理系統(tǒng)l 產(chǎn)品背景 北信源網(wǎng)絡接入控制管理系統(tǒng)能夠強制提升企業(yè)網(wǎng)絡終端的接入安全，確保企業(yè)網(wǎng)絡保護機制的連續(xù)性，實現(xiàn)企業(yè)網(wǎng)絡安全從質(zhì)到量的提升。同時，通過與北信源接入控制網(wǎng)關的聯(lián)動，還可以實現(xiàn)對遠程接入企業(yè)內(nèi)部網(wǎng)絡的終端進行身份唯一性及安全性認證。通過北信源網(wǎng)絡接入控制管理系統(tǒng)可以滿足企業(yè)對終端接入網(wǎng)絡的安全性要求，將終端接入控制覆蓋到企業(yè)網(wǎng)絡的每一個角落。同時，使得終端接入控制不再依賴于具體的網(wǎng)絡或通信設備，甚至是當使用者拿著他們的移動設備離開企業(yè)網(wǎng)絡時，仍能有效執(zhí)行對終端下發(fā)的接入控制策略。北信源網(wǎng)絡接入控制管理系統(tǒng)不需要對現(xiàn)有網(wǎng)絡結構進行改造便可進行部署，具備簡單、方便、安全、易擴展的特性。l 系統(tǒng)功能描述1) 。2) 外部終端接入訪問限制；3) 外部終端接入身份認證；4) 殺毒軟件檢測及訪問限制；5) 補丁自動檢測及訪問限制；6) 進程、服務、注冊表信息檢測及訪問限制；7) 未達到預定義安全級別接入訪問限制。l 系統(tǒng)功能特點1) 全面支持市場主流交換機；2) ；3) 可以與用戶現(xiàn)有AD域或LDAP進行聯(lián)動認證；4) 可以實現(xiàn)終端異地漫游的自動接管認證；5) 可以實現(xiàn)終端認證數(shù)據(jù)檢測，防止虛假第三方認證。l 系統(tǒng)管理構架北信源網(wǎng)絡接入控制管理系統(tǒng)由以下幾部分組成：1)策略服務器：系統(tǒng)策略管理中心，提供系統(tǒng)的參數(shù)配置和安全策略管理。2）認證客戶端：安裝在終端計算機，通過用戶名和密碼向認證服務器發(fā)起認證，實現(xiàn)正常工作區(qū)、訪客隔離區(qū)、安全修復區(qū)的自動切換。3）Radius認證服務器：接收客戶端認證請求信息數(shù)據(jù)包并進行驗證。4）Radius認證系統(tǒng) (交換機) ：（交換機），接收認證客戶端的認證請求數(shù)據(jù)包與Radius認證服務器完成認證過程。5）可選配強制注冊網(wǎng)關（硬件）：，完成未注冊終端訪問網(wǎng)頁時進行DNS重定向或HTTP重定向，以達到強制注冊目的。圖１　網(wǎng)絡接入訪問控制產(chǎn)品北信源虛擬隔離接入控制系統(tǒng)l 產(chǎn)品背景。，如HUB設備；而網(wǎng)關接入認證，在限制外部終端對內(nèi)部終端訪問時存在安全防御的真空。針對如上問題，北信源虛擬隔離接入控制技術應運而生，在不改變原有網(wǎng)絡結構的同時，對新接入的網(wǎng)絡設備進行有效管理。l 系統(tǒng)功能描述1) 不改變現(xiàn)有網(wǎng)絡配置，實現(xiàn)終端網(wǎng)絡訪問控制；2) 隔離并保護注冊終端，使未注冊終端無法和其通信；3) 隔離并保護服務器區(qū)域，防止未注冊終端隨意訪問；4) 通過安全檢查機制，對未安裝殺毒軟件、漏打補丁終端進行隔離；5) 未注冊終端接入網(wǎng)絡后,隔離并被重定向到注冊界面。l 系統(tǒng)管理架構北信源虛擬隔離接入控制系統(tǒng)由以下幾部分組成：1) 策略服務器（VRVEDP Server）：系統(tǒng)策略管理中心，提供系統(tǒng)的參數(shù)配置和安全策略管理。2) 客戶端（VRVEDPAgent）：安裝在終端計算機上，接收EDP服務器策略，并執(zhí)行策略。判定是否是注冊計算機，起到隔離阻斷的作用。產(chǎn)品北信源接入認證網(wǎng)關l 產(chǎn)品概述北信源接入認證網(wǎng)關是一款部署簡便、使用靈活的網(wǎng)絡準入/準出控制產(chǎn)品。使網(wǎng)絡管理員能在允許用戶進入網(wǎng)絡前、訪問外部網(wǎng)絡前，對有線、無線和遠程用戶進行驗證、授權。能夠阻止未授權計算機越權訪問網(wǎng)絡資源。l 系統(tǒng)管理構架北信源接入認證網(wǎng)關整體解決方案包括三個組件：北信源接入網(wǎng)關—根據(jù)終端注冊及策略情況提供訪問權限。在用戶未注冊前，他們均被禁止訪問可信網(wǎng)絡，或進行HTTP、DNS等重定向強制注冊。區(qū)域管理器—管理服務器、檢查規(guī)則及策略，基于Web的中央控制臺。北信源客戶端程序—客戶端程序代理、執(zhí)行安全修復、身份認證功能。l 系統(tǒng)功能描述北信源接入認證網(wǎng)關與北信源內(nèi)網(wǎng)安全管理系統(tǒng)結合可以完成網(wǎng)絡終端注冊和網(wǎng)絡訪問授權等工作，使得未注冊客戶端無法訪問受限網(wǎng)絡。使網(wǎng)絡管理員能在允許用戶進入網(wǎng)絡前，對用戶及其機器進行驗證、授權。該安全產(chǎn)品能夠：1) 對未注冊終端進行訪問網(wǎng)絡權限控制，可進行HTTP、DNS等重定向強制注冊。2) 確認用戶、用戶設備和他們在網(wǎng)絡中的身份。3) 對于終端設備網(wǎng)絡連接流量進行控制。4) 該產(chǎn)品能向通過局域網(wǎng)、無線局域網(wǎng)、廣域網(wǎng)或虛擬專用網(wǎng)連接的設備應用網(wǎng)絡準入控制。產(chǎn)品具有為所有運行環(huán)境執(zhí)行策略的獨特能力，無需其他獨立產(chǎn)品或模塊。l 功能特點l 多種身份驗證服務北信源接入認證網(wǎng)關具備終端特征驗證、用戶名口令驗證、混合身份驗證等多種身份驗證機制。管理員通過策略方便設定。能維護具有不同許可級別的用戶群體。l 集中管理基于Web管理控制臺為每個用戶定義所需的策略類型，一個區(qū)域管理器可以管理多個接入網(wǎng)關。l 靈活的部署模式提供最廣泛的部署模式，能適用于任意客戶網(wǎng)絡?？蛻裟軐⒃摦a(chǎn)品作為虛擬或?qū)嶋HIP網(wǎng)關，部署在邊緣或中央，提供第二層或第三層客戶端接入，或部署在DNS服務器前作為強制注冊用的DNS網(wǎng)關。二、補丁分發(fā)系列產(chǎn)品北信源補丁及文件分發(fā)管理系統(tǒng)l 產(chǎn)品背景：近些年來，蠕蟲病毒和木馬病毒的頻繁爆發(fā)給全球網(wǎng)絡運行乃至經(jīng)濟都造成了嚴重影響，之所以這些蠕蟲能造成如此危害，是因為利用了操作系統(tǒng)或者應用程序的漏洞。補丁的安裝普遍會遇到以下的問題：l 普通用戶技術知識水平有限，造成了計算機系統(tǒng)漏洞經(jīng)常不能得到及時的修補，甚至長期不修補；l 網(wǎng)絡維護人員為每臺機器安裝補丁耗時巨大；l 物理隔離網(wǎng)絡用戶必須使用移動存儲設備從外網(wǎng)將補丁導入并安裝，麻煩且?guī)硇畔⑿孤┖筒《緜魅氲娘L險；l 每個終端補丁安裝均從外網(wǎng)下載補丁造成網(wǎng)絡資源消耗過大；l 用戶隨意下載補丁導致補丁來源不統(tǒng)一帶來的風險。消除漏洞的根本辦法就是安裝軟件補丁，每一次大規(guī)模蠕蟲病毒的爆發(fā)，都提醒人們要居安思危，打好補丁，做好防范工作，補丁越來越成為安全管理的一個重要環(huán)節(jié)。黑客技術的不斷變化和發(fā)展，留給管理員的時間將會越來越少，在最短的時間內(nèi)安裝補丁將會極大地保護網(wǎng)絡和其所承載的機密，同時也可以使更多的用戶免受蠕蟲的侵襲。對于機器眾多的用戶，繁雜的手工補丁安裝已經(jīng)遠遠不能適應大規(guī)模網(wǎng)絡的管理，必須依靠新的技術手段來實現(xiàn)對操作系統(tǒng)的補丁自動修補。因此，如何利用有效技術手段來及時、持續(xù)、穩(wěn)定的安裝計算機補丁，是所有網(wǎng)絡安全管理人員、信息安全決策人員亟需解決的問題。l 系統(tǒng)功能概述北信源補丁及文件分發(fā)管理系統(tǒng)是北信源公司在為國家各大部委機關、各大行業(yè)網(wǎng)絡用戶進行病毒安全服務、總結安全運營保障經(jīng)驗的基礎上，分析當前網(wǎng)絡客戶端實際安全管理要求研發(fā)的，系統(tǒng)支持推、拉兩種方式自動下載補丁。整個補丁管理運行平臺構架是：通過北信源外網(wǎng)補丁下載服務器及時從補丁廠商網(wǎng)站獲取最新補??；然后補丁經(jīng)過安全測試后，通過補丁分發(fā)管理中心服務器對網(wǎng)絡用戶進行分發(fā)安裝；補丁安裝支持自動和手動兩種方式。l 系統(tǒng)功能描述：1) 互聯(lián)網(wǎng)補丁自動下載；2) 補丁完整性和安全性測試；3) 補丁增量更新導入；4) 補丁庫建立和分類；5) 終端補丁自動檢測；6) 補丁策略制定分發(fā)和自動分發(fā)；7) 終端補丁流量控制和代理轉(zhuǎn)發(fā)技術；8) 補丁自動修復及查詢統(tǒng)計；9) 未打補丁情況匯總統(tǒng)計；10) 補丁安裝情況匯總統(tǒng)計；11) 已安裝補丁自動卸載；12) 文件分發(fā)及文件自動執(zhí)行；13) 文件分發(fā)安裝結果統(tǒng)計。l 網(wǎng)絡應用l 直接連接互聯(lián)網(wǎng)的網(wǎng)絡：通過補丁下載服務器將補丁下載至補丁分發(fā)服務器。l 物理隔離網(wǎng)絡：在互聯(lián)網(wǎng)網(wǎng)絡上安裝補丁下載服務器模塊，通過補丁下載增量分離工具，區(qū)分內(nèi)網(wǎng)已導入和未導入的補丁，將最新補丁導入內(nèi)網(wǎng)補丁分發(fā)服務器。l 系統(tǒng)組件北信源補丁及文件分發(fā)管理系統(tǒng)依據(jù)客戶端注冊優(yōu)勢，提供補丁檢測、安裝等遠程功能?？蛻舳嗽L問網(wǎng)絡WEB站點，根據(jù)頁面自動彈出提示進行注冊，注冊程序?qū)⒃谙到y(tǒng)中實時運行，檢測補丁安裝狀況，并上報給補丁控制中心。補丁控制中心提供補丁策略制訂、補丁文件直接分發(fā)，補丁測試提供對軟件廠商新發(fā)布補丁的前期測試，嚴格測試后才可以配發(fā)到網(wǎng)絡客戶端，保障客戶端補丁安裝安全性。系統(tǒng)可按照網(wǎng)段、補丁類型進行補丁配置分發(fā)，支持漏打補丁、特殊補丁的推送下發(fā)；通過自定義分網(wǎng)段、分區(qū)域的補丁下載升級設定策略，以及轉(zhuǎn)發(fā)代理技術，避免造成網(wǎng)絡堵塞，合理控制網(wǎng)絡帶寬。圖 1 補丁管理系統(tǒng)功能構架 l 系統(tǒng)構架該系統(tǒng)貼近用戶對網(wǎng)絡、網(wǎng)絡終端管理的要求，適用于局域網(wǎng)、廣域網(wǎng)等多種構架。標準構架（小型網(wǎng)絡）：在局域網(wǎng)中全面部署應用北信源補丁及文件分發(fā)管理系統(tǒng)，包括各種功能模塊：補丁下載、補丁分析、補丁策略分發(fā)制訂、文件分發(fā)、客戶端補丁監(jiān)測、漏洞補丁掃描、補丁分發(fā)控制臺等。級聯(lián)構架（大型網(wǎng)絡）：對于網(wǎng)絡分布廣泛、規(guī)模龐大，并且擁有多個網(wǎng)絡管理中心的廣域網(wǎng)，北信源補丁及文件分發(fā)管理系統(tǒng)支持在標準構架上建立多級級聯(lián)模式，實現(xiàn)下級網(wǎng)絡補丁管理系統(tǒng)從上級補丁管理系統(tǒng)自動獲取補丁，以及相關補丁審計、系統(tǒng)組件升級功能。三、介質(zhì)管理系列產(chǎn)品北信源移動存儲介質(zhì)使用管理系統(tǒng)l 移動存儲介質(zhì)數(shù)據(jù)交換引發(fā)的安全問題移動存儲介質(zhì)，如U盤、移動硬盤等，因其體積小、容量大等優(yōu)點，已得到廣泛應用。作為數(shù)據(jù)交換的主要手段之一，移動存儲介質(zhì)正成為數(shù)據(jù)和信息的重要載體，但是我們也應該看到，移動存儲設備在給我們帶來極大方便的同時，也給我們帶來了不少的安全隱患，主要如下：1. 涉密計算機接入非涉密移動存儲設備；2. 非涉密計算機使用涉密移動存儲設備；3. 移動存儲介質(zhì)的數(shù)據(jù)交互審計；4. 外來移動存儲介質(zhì)隨意接入問題；5. 移動存儲介質(zhì)丟失導致信息泄漏；6. 移動存儲介質(zhì)的使用信息無法追蹤審計問題；7. 移動存儲介質(zhì)接入?yún)^(qū)域限制和控制問題；8. 病毒、惡意代碼通過移動存儲介質(zhì)傳播問題。l 技術特點及應用分級權限控制通過對移動存儲介質(zhì)寫入兩種不同控制權限及功能的標簽，來實現(xiàn)分級權限的控制，并對指定范圍內(nèi)的終端授權，通過策略與標簽的配合來實現(xiàn)對移動存儲介質(zhì)的控制。注，對移動存儲介質(zhì)格式化無法去除標簽。普通標簽：寫入普通標簽后，在管理區(qū)域內(nèi)根據(jù)策略的設置，來限制移動存儲介質(zhì)的讀、寫功能；如果在管理區(qū)域外使用移動存儲介質(zhì)認證，則不限制移動存儲介質(zhì)認證讀、寫功能。加密標簽：寫入加密標簽后將普通移動存儲介質(zhì)（U盤、移動硬盤等）分為二個可控制的區(qū)域：交換區(qū)、保密區(qū)。涉密網(wǎng)絡可