【正文】 產(chǎn) 品 簡 介一、準(zhǔn)入控制系列產(chǎn)品北信源網(wǎng)絡(luò)接入控制管理系統(tǒng)l 產(chǎn)品背景 北信源網(wǎng)絡(luò)接入控制管理系統(tǒng)能夠強(qiáng)制提升企業(yè)網(wǎng)絡(luò)終端的接入安全，確保企業(yè)網(wǎng)絡(luò)保護(hù)機(jī)制的連續(xù)性，實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)安全從質(zhì)到量的提升。同時(shí)，通過與北信源接入控制網(wǎng)關(guān)的聯(lián)動(dòng)，還可以實(shí)現(xiàn)對(duì)遠(yuǎn)程接入企業(yè)內(nèi)部網(wǎng)絡(luò)的終端進(jìn)行身份唯一性及安全性認(rèn)證。通過北信源網(wǎng)絡(luò)接入控制管理系統(tǒng)可以滿足企業(yè)對(duì)終端接入網(wǎng)絡(luò)的安全性要求，將終端接入控制覆蓋到企業(yè)網(wǎng)絡(luò)的每一個(gè)角落。同時(shí)，使得終端接入控制不再依賴于具體的網(wǎng)絡(luò)或通信設(shè)備，甚至是當(dāng)使用者拿著他們的移動(dòng)設(shè)備離開企業(yè)網(wǎng)絡(luò)時(shí)，仍能有效執(zhí)行對(duì)終端下發(fā)的接入控制策略。北信源網(wǎng)絡(luò)接入控制管理系統(tǒng)不需要對(duì)現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行改造便可進(jìn)行部署，具備簡單、方便、安全、易擴(kuò)展的特性。l 系統(tǒng)功能描述1) 。2) 外部終端接入訪問限制；3) 外部終端接入身份認(rèn)證；4) 殺毒軟件檢測(cè)及訪問限制；5) 補(bǔ)丁自動(dòng)檢測(cè)及訪問限制；6) 進(jìn)程、服務(wù)、注冊(cè)表信息檢測(cè)及訪問限制；7) 未達(dá)到預(yù)定義安全級(jí)別接入訪問限制。l 系統(tǒng)功能特點(diǎn)1) 全面支持市場(chǎng)主流交換機(jī)；2) ；3) 可以與用戶現(xiàn)有AD域或LDAP進(jìn)行聯(lián)動(dòng)認(rèn)證；4) 可以實(shí)現(xiàn)終端異地漫游的自動(dòng)接管認(rèn)證；5) 可以實(shí)現(xiàn)終端認(rèn)證數(shù)據(jù)檢測(cè)，防止虛假第三方認(rèn)證。l 系統(tǒng)管理構(gòu)架北信源網(wǎng)絡(luò)接入控制管理系統(tǒng)由以下幾部分組成：1)策略服務(wù)器：系統(tǒng)策略管理中心，提供系統(tǒng)的參數(shù)配置和安全策略管理。2）認(rèn)證客戶端：安裝在終端計(jì)算機(jī)，通過用戶名和密碼向認(rèn)證服務(wù)器發(fā)起認(rèn)證，實(shí)現(xiàn)正常工作區(qū)、訪客隔離區(qū)、安全修復(fù)區(qū)的自動(dòng)切換。3）Radius認(rèn)證服務(wù)器：接收客戶端認(rèn)證請(qǐng)求信息數(shù)據(jù)包并進(jìn)行驗(yàn)證。4）Radius認(rèn)證系統(tǒng) (交換機(jī)) ：（交換機(jī)），接收認(rèn)證客戶端的認(rèn)證請(qǐng)求數(shù)據(jù)包與Radius認(rèn)證服務(wù)器完成認(rèn)證過程。5）可選配強(qiáng)制注冊(cè)網(wǎng)關(guān)（硬件）：，完成未注冊(cè)終端訪問網(wǎng)頁時(shí)進(jìn)行DNS重定向或HTTP重定向，以達(dá)到強(qiáng)制注冊(cè)目的。圖１　網(wǎng)絡(luò)接入訪問控制產(chǎn)品北信源虛擬隔離接入控制系統(tǒng)l 產(chǎn)品背景。，如HUB設(shè)備；而網(wǎng)關(guān)接入認(rèn)證，在限制外部終端對(duì)內(nèi)部終端訪問時(shí)存在安全防御的真空。針對(duì)如上問題，北信源虛擬隔離接入控制技術(shù)應(yīng)運(yùn)而生，在不改變?cè)芯W(wǎng)絡(luò)結(jié)構(gòu)的同時(shí)，對(duì)新接入的網(wǎng)絡(luò)設(shè)備進(jìn)行有效管理。l 系統(tǒng)功能描述1) 不改變現(xiàn)有網(wǎng)絡(luò)配置，實(shí)現(xiàn)終端網(wǎng)絡(luò)訪問控制；2) 隔離并保護(hù)注冊(cè)終端，使未注冊(cè)終端無法和其通信；3) 隔離并保護(hù)服務(wù)器區(qū)域，防止未注冊(cè)終端隨意訪問；4) 通過安全檢查機(jī)制，對(duì)未安裝殺毒軟件、漏打補(bǔ)丁終端進(jìn)行隔離；5) 未注冊(cè)終端接入網(wǎng)絡(luò)后,隔離并被重定向到注冊(cè)界面。l 系統(tǒng)管理架構(gòu)北信源虛擬隔離接入控制系統(tǒng)由以下幾部分組成：1) 策略服務(wù)器（VRVEDP Server）：系統(tǒng)策略管理中心，提供系統(tǒng)的參數(shù)配置和安全策略管理。2) 客戶端（VRVEDPAgent）：安裝在終端計(jì)算機(jī)上，接收EDP服務(wù)器策略，并執(zhí)行策略。判定是否是注冊(cè)計(jì)算機(jī)，起到隔離阻斷的作用。產(chǎn)品北信源接入認(rèn)證網(wǎng)關(guān)l 產(chǎn)品概述北信源接入認(rèn)證網(wǎng)關(guān)是一款部署簡便、使用靈活的網(wǎng)絡(luò)準(zhǔn)入/準(zhǔn)出控制產(chǎn)品。使網(wǎng)絡(luò)管理員能在允許用戶進(jìn)入網(wǎng)絡(luò)前、訪問外部網(wǎng)絡(luò)前，對(duì)有線、無線和遠(yuǎn)程用戶進(jìn)行驗(yàn)證、授權(quán)。能夠阻止未授權(quán)計(jì)算機(jī)越權(quán)訪問網(wǎng)絡(luò)資源。l 系統(tǒng)管理構(gòu)架北信源接入認(rèn)證網(wǎng)關(guān)整體解決方案包括三個(gè)組件：北信源接入網(wǎng)關(guān)—根據(jù)終端注冊(cè)及策略情況提供訪問權(quán)限。在用戶未注冊(cè)前，他們均被禁止訪問可信網(wǎng)絡(luò)，或進(jìn)行HTTP、DNS等重定向強(qiáng)制注冊(cè)。區(qū)域管理器—管理服務(wù)器、檢查規(guī)則及策略，基于Web的中央控制臺(tái)。北信源客戶端程序—客戶端程序代理、執(zhí)行安全修復(fù)、身份認(rèn)證功能。l 系統(tǒng)功能描述北信源接入認(rèn)證網(wǎng)關(guān)與北信源內(nèi)網(wǎng)安全管理系統(tǒng)結(jié)合可以完成網(wǎng)絡(luò)終端注冊(cè)和網(wǎng)絡(luò)訪問授權(quán)等工作，使得未注冊(cè)客戶端無法訪問受限網(wǎng)絡(luò)。使網(wǎng)絡(luò)管理員能在允許用戶進(jìn)入網(wǎng)絡(luò)前，對(duì)用戶及其機(jī)器進(jìn)行驗(yàn)證、授權(quán)。該安全產(chǎn)品能夠：1) 對(duì)未注冊(cè)終端進(jìn)行訪問網(wǎng)絡(luò)權(quán)限控制，可進(jìn)行HTTP、DNS等重定向強(qiáng)制注冊(cè)。2) 確認(rèn)用戶、用戶設(shè)備和他們?cè)诰W(wǎng)絡(luò)中的身份。3) 對(duì)于終端設(shè)備網(wǎng)絡(luò)連接流量進(jìn)行控制。4) 該產(chǎn)品能向通過局域網(wǎng)、無線局域網(wǎng)、廣域網(wǎng)或虛擬專用網(wǎng)連接的設(shè)備應(yīng)用網(wǎng)絡(luò)準(zhǔn)入控制。產(chǎn)品具有為所有運(yùn)行環(huán)境執(zhí)行策略的獨(dú)特能力，無需其他獨(dú)立產(chǎn)品或模塊。l 功能特點(diǎn)l 多種身份驗(yàn)證服務(wù)北信源接入認(rèn)證網(wǎng)關(guān)具備終端特征驗(yàn)證、用戶名口令驗(yàn)證、混合身份驗(yàn)證等多種身份驗(yàn)證機(jī)制。管理員通過策略方便設(shè)定。能維護(hù)具有不同許可級(jí)別的用戶群體。l 集中管理基于Web管理控制臺(tái)為每個(gè)用戶定義所需的策略類型，一個(gè)區(qū)域管理器可以管理多個(gè)接入網(wǎng)關(guān)。l 靈活的部署模式提供最廣泛的部署模式，能適用于任意客戶網(wǎng)絡(luò)?？蛻裟軐⒃摦a(chǎn)品作為虛擬或?qū)嶋HIP網(wǎng)關(guān)，部署在邊緣或中央，提供第二層或第三層客戶端接入，或部署在DNS服務(wù)器前作為強(qiáng)制注冊(cè)用的DNS網(wǎng)關(guān)。二、補(bǔ)丁分發(fā)系列產(chǎn)品北信源補(bǔ)丁及文件分發(fā)管理系統(tǒng)l 產(chǎn)品背景：近些年來，蠕蟲病毒和木馬病毒的頻繁爆發(fā)給全球網(wǎng)絡(luò)運(yùn)行乃至經(jīng)濟(jì)都造成了嚴(yán)重影響，之所以這些蠕蟲能造成如此危害，是因?yàn)槔昧瞬僮飨到y(tǒng)或者應(yīng)用程序的漏洞。補(bǔ)丁的安裝普遍會(huì)遇到以下的問題：l 普通用戶技術(shù)知識(shí)水平有限，造成了計(jì)算機(jī)系統(tǒng)漏洞經(jīng)常不能得到及時(shí)的修補(bǔ)，甚至長期不修補(bǔ)；l 網(wǎng)絡(luò)維護(hù)人員為每臺(tái)機(jī)器安裝補(bǔ)丁耗時(shí)巨大；l 物理隔離網(wǎng)絡(luò)用戶必須使用移動(dòng)存儲(chǔ)設(shè)備從外網(wǎng)將補(bǔ)丁導(dǎo)入并安裝，麻煩且?guī)硇畔⑿孤┖筒《緜魅氲娘L(fēng)險(xiǎn)；l 每個(gè)終端補(bǔ)丁安裝均從外網(wǎng)下載補(bǔ)丁造成網(wǎng)絡(luò)資源消耗過大；l 用戶隨意下載補(bǔ)丁導(dǎo)致補(bǔ)丁來源不統(tǒng)一帶來的風(fēng)險(xiǎn)。消除漏洞的根本辦法就是安裝軟件補(bǔ)丁，每一次大規(guī)模蠕蟲病毒的爆發(fā)，都提醒人們要居安思危，打好補(bǔ)丁，做好防范工作，補(bǔ)丁越來越成為安全管理的一個(gè)重要環(huán)節(jié)。黑客技術(shù)的不斷變化和發(fā)展，留給管理員的時(shí)間將會(huì)越來越少，在最短的時(shí)間內(nèi)安裝補(bǔ)丁將會(huì)極大地保護(hù)網(wǎng)絡(luò)和其所承載的機(jī)密，同時(shí)也可以使更多的用戶免受蠕蟲的侵襲。對(duì)于機(jī)器眾多的用戶，繁雜的手工補(bǔ)丁安裝已經(jīng)遠(yuǎn)遠(yuǎn)不能適應(yīng)大規(guī)模網(wǎng)絡(luò)的管理，必須依靠新的技術(shù)手段來實(shí)現(xiàn)對(duì)操作系統(tǒng)的補(bǔ)丁自動(dòng)修補(bǔ)。因此，如何利用有效技術(shù)手段來及時(shí)、持續(xù)、穩(wěn)定的安裝計(jì)算機(jī)補(bǔ)丁，是所有網(wǎng)絡(luò)安全管理人員、信息安全決策人員亟需解決的問題。l 系統(tǒng)功能概述北信源補(bǔ)丁及文件分發(fā)管理系統(tǒng)是北信源公司在為國家各大部委機(jī)關(guān)、各大行業(yè)網(wǎng)絡(luò)用戶進(jìn)行病毒安全服務(wù)、總結(jié)安全運(yùn)營保障經(jīng)驗(yàn)的基礎(chǔ)上，分析當(dāng)前網(wǎng)絡(luò)客戶端實(shí)際安全管理要求研發(fā)的，系統(tǒng)支持推、拉兩種方式自動(dòng)下載補(bǔ)丁。整個(gè)補(bǔ)丁管理運(yùn)行平臺(tái)構(gòu)架是：通過北信源外網(wǎng)補(bǔ)丁下載服務(wù)器及時(shí)從補(bǔ)丁廠商網(wǎng)站獲取最新補(bǔ)??；然后補(bǔ)丁經(jīng)過安全測(cè)試后，通過補(bǔ)丁分發(fā)管理中心服務(wù)器對(duì)網(wǎng)絡(luò)用戶進(jìn)行分發(fā)安裝；補(bǔ)丁安裝支持自動(dòng)和手動(dòng)兩種方式。l 系統(tǒng)功能描述：1) 互聯(lián)網(wǎng)補(bǔ)丁自動(dòng)下載；2) 補(bǔ)丁完整性和安全性測(cè)試；3) 補(bǔ)丁增量更新導(dǎo)入；4) 補(bǔ)丁庫建立和分類；5) 終端補(bǔ)丁自動(dòng)檢測(cè)；6) 補(bǔ)丁策略制定分發(fā)和自動(dòng)分發(fā)；7) 終端補(bǔ)丁流量控制和代理轉(zhuǎn)發(fā)技術(shù)；8) 補(bǔ)丁自動(dòng)修復(fù)及查詢統(tǒng)計(jì)；9) 未打補(bǔ)丁情況匯總統(tǒng)計(jì)；10) 補(bǔ)丁安裝情況匯總統(tǒng)計(jì)；11) 已安裝補(bǔ)丁自動(dòng)卸載；12) 文件分發(fā)及文件自動(dòng)執(zhí)行；13) 文件分發(fā)安裝結(jié)果統(tǒng)計(jì)。l 網(wǎng)絡(luò)應(yīng)用l 直接連接互聯(lián)網(wǎng)的網(wǎng)絡(luò)：通過補(bǔ)丁下載服務(wù)器將補(bǔ)丁下載至補(bǔ)丁分發(fā)服務(wù)器。l 物理隔離網(wǎng)絡(luò)：在互聯(lián)網(wǎng)網(wǎng)絡(luò)上安裝補(bǔ)丁下載服務(wù)器模塊，通過補(bǔ)丁下載增量分離工具，區(qū)分內(nèi)網(wǎng)已導(dǎo)入和未導(dǎo)入的補(bǔ)丁，將最新補(bǔ)丁導(dǎo)入內(nèi)網(wǎng)補(bǔ)丁分發(fā)服務(wù)器。l 系統(tǒng)組件北信源補(bǔ)丁及文件分發(fā)管理系統(tǒng)依據(jù)客戶端注冊(cè)優(yōu)勢(shì)，提供補(bǔ)丁檢測(cè)、安裝等遠(yuǎn)程功能?？蛻舳嗽L問網(wǎng)絡(luò)WEB站點(diǎn)，根據(jù)頁面自動(dòng)彈出提示進(jìn)行注冊(cè)，注冊(cè)程序?qū)⒃谙到y(tǒng)中實(shí)時(shí)運(yùn)行，檢測(cè)補(bǔ)丁安裝狀況，并上報(bào)給補(bǔ)丁控制中心。補(bǔ)丁控制中心提供補(bǔ)丁策略制訂、補(bǔ)丁文件直接分發(fā)，補(bǔ)丁測(cè)試提供對(duì)軟件廠商新發(fā)布補(bǔ)丁的前期測(cè)試，嚴(yán)格測(cè)試后才可以配發(fā)到網(wǎng)絡(luò)客戶端，保障客戶端補(bǔ)丁安裝安全性。系統(tǒng)可按照網(wǎng)段、補(bǔ)丁類型進(jìn)行補(bǔ)丁配置分發(fā)，支持漏打補(bǔ)丁、特殊補(bǔ)丁的推送下發(fā)；通過自定義分網(wǎng)段、分區(qū)域的補(bǔ)丁下載升級(jí)設(shè)定策略，以及轉(zhuǎn)發(fā)代理技術(shù)，避免造成網(wǎng)絡(luò)堵塞，合理控制網(wǎng)絡(luò)帶寬。圖 1 補(bǔ)丁管理系統(tǒng)功能構(gòu)架 l 系統(tǒng)構(gòu)架該系統(tǒng)貼近用戶對(duì)網(wǎng)絡(luò)、網(wǎng)絡(luò)終端管理的要求，適用于局域網(wǎng)、廣域網(wǎng)等多種構(gòu)架。標(biāo)準(zhǔn)構(gòu)架（小型網(wǎng)絡(luò)）：在局域網(wǎng)中全面部署應(yīng)用北信源補(bǔ)丁及文件分發(fā)管理系統(tǒng)，包括各種功能模塊：補(bǔ)丁下載、補(bǔ)丁分析、補(bǔ)丁策略分發(fā)制訂、文件分發(fā)、客戶端補(bǔ)丁監(jiān)測(cè)、漏洞補(bǔ)丁掃描、補(bǔ)丁分發(fā)控制臺(tái)等。級(jí)聯(lián)構(gòu)架（大型網(wǎng)絡(luò)）：對(duì)于網(wǎng)絡(luò)分布廣泛、規(guī)模龐大，并且擁有多個(gè)網(wǎng)絡(luò)管理中心的廣域網(wǎng)，北信源補(bǔ)丁及文件分發(fā)管理系統(tǒng)支持在標(biāo)準(zhǔn)構(gòu)架上建立多級(jí)級(jí)聯(lián)模式，實(shí)現(xiàn)下級(jí)網(wǎng)絡(luò)補(bǔ)丁管理系統(tǒng)從上級(jí)補(bǔ)丁管理系統(tǒng)自動(dòng)獲取補(bǔ)丁，以及相關(guān)補(bǔ)丁審計(jì)、系統(tǒng)組件升級(jí)功能。三、介質(zhì)管理系列產(chǎn)品北信源移動(dòng)存儲(chǔ)介質(zhì)使用管理系統(tǒng)l 移動(dòng)存儲(chǔ)介質(zhì)數(shù)據(jù)交換引發(fā)的安全問題移動(dòng)存儲(chǔ)介質(zhì)，如U盤、移動(dòng)硬盤等，因其體積小、容量大等優(yōu)點(diǎn)，已得到廣泛應(yīng)用。作為數(shù)據(jù)交換的主要手段之一，移動(dòng)存儲(chǔ)介質(zhì)正成為數(shù)據(jù)和信息的重要載體，但是我們也應(yīng)該看到，移動(dòng)存儲(chǔ)設(shè)備在給我們帶來極大方便的同時(shí)，也給我們帶來了不少的安全隱患，主要如下：1. 涉密計(jì)算機(jī)接入非涉密移動(dòng)存儲(chǔ)設(shè)備；2. 非涉密計(jì)算機(jī)使用涉密移動(dòng)存儲(chǔ)設(shè)備；3. 移動(dòng)存儲(chǔ)介質(zhì)的數(shù)據(jù)交互審計(jì)；4. 外來移動(dòng)存儲(chǔ)介質(zhì)隨意接入問題；5. 移動(dòng)存儲(chǔ)介質(zhì)丟失導(dǎo)致信息泄漏；6. 移動(dòng)存儲(chǔ)介質(zhì)的使用信息無法追蹤審計(jì)問題；7. 移動(dòng)存儲(chǔ)介質(zhì)接入?yún)^(qū)域限制和控制問題；8. 病毒、惡意代碼通過移動(dòng)存儲(chǔ)介質(zhì)傳播問題。l 技術(shù)特點(diǎn)及應(yīng)用分級(jí)權(quán)限控制通過對(duì)移動(dòng)存儲(chǔ)介質(zhì)寫入兩種不同控制權(quán)限及功能的標(biāo)簽，來實(shí)現(xiàn)分級(jí)權(quán)限的控制，并對(duì)指定范圍內(nèi)的終端授權(quán)，通過策略與標(biāo)簽的配合來實(shí)現(xiàn)對(duì)移動(dòng)存儲(chǔ)介質(zhì)的控制。注，對(duì)移動(dòng)存儲(chǔ)介質(zhì)格式化無法去除標(biāo)簽。普通標(biāo)簽：寫入普通標(biāo)簽后，在管理區(qū)域內(nèi)根據(jù)策略的設(shè)置，來限制移動(dòng)存儲(chǔ)介質(zhì)的讀、寫功能；如果在管理區(qū)域外使用移動(dòng)存儲(chǔ)介質(zhì)認(rèn)證，則不限制移動(dòng)存儲(chǔ)介質(zhì)認(rèn)證讀、寫功能。加密標(biāo)簽：寫入加密標(biāo)簽后將普通移動(dòng)存儲(chǔ)介質(zhì)（U盤、移動(dòng)硬盤等）分為二個(gè)可控制的區(qū)域：交換區(qū)、保密區(qū)。涉密網(wǎng)絡(luò)可