【正文】 產(chǎn)品簡介 資質(zhì) 案例 37 產(chǎn)品 北信源 存儲介質(zhì)信息消除系統(tǒng) ? 產(chǎn)品概述 北信源存儲介質(zhì)信息消除系統(tǒng)是國內(nèi)第一款采用專用硬件及觸摸屏設(shè)計的存儲介質(zhì)信息消除工具。 ? 系統(tǒng)功能描述 本系統(tǒng) 采用 數(shù)據(jù)防護算法和硬件驗證技術(shù) ，避免了 存儲數(shù)據(jù)的 非法存取 和意外泄漏，具有以下功能 ： 1）文件粉碎： 可對單個文件（文件夾）及多個文件（文件夾）進行徹底粉碎。 ? 系統(tǒng)功能描述 1)未授權(quán)用戶無法 使用刻錄軟件刻錄數(shù)據(jù) ； 2)針對不同用戶可授權(quán)為： 禁止 刻錄、 對指定格式的文件設(shè)定刻錄權(quán)限、關(guān)鍵字過濾功能保障敏感文件無法刻錄、刻錄次數(shù)限定，可根據(jù)工作日及時間段授權(quán)刻錄、并可設(shè)定刻錄許可碼。 專用移動存儲設(shè)備注冊工具： 移動存儲 介質(zhì)經(jīng)過網(wǎng)管人員注冊（包括打標簽、設(shè)置訪問密碼）工具認證后，該 移動存儲 介質(zhì)才能在網(wǎng)絡(luò)中使用。 2) 提供移動存儲介質(zhì)的插入和拔出動作的詳細記錄 具體包括事件類型、移動存儲介質(zhì)的名稱、用戶、計算機 IP 地址、事件時間等。 加密標簽： 寫入加密標簽后將普通移動存儲介質(zhì)（ U 盤、移動硬盤等）分為二個可控 產(chǎn)品簡介 資質(zhì) 案例 32 制的區(qū)域：交換區(qū)、保密區(qū)。 圖 1 補丁管理系統(tǒng)功能構(gòu)架 ? 系統(tǒng)構(gòu)架 該系統(tǒng)貼近用戶對網(wǎng)絡(luò)、網(wǎng)絡(luò)終端管理的要求，適用于局域網(wǎng)、廣域網(wǎng)等多種構(gòu)架。整個補丁管理運行平 臺構(gòu)架是：通過北信源外網(wǎng)補丁下載服務器及時從補丁廠商網(wǎng)站獲取最新補丁；然后補丁經(jīng)過安全測試后，通過補丁分發(fā)管理中心服務器對網(wǎng)絡(luò)用戶進行分發(fā)安裝；補丁安裝支持自動和手動兩種方式。客戶能將該產(chǎn)品作為虛擬或?qū)嶋H IP 網(wǎng)關(guān)，部署在邊緣或中央，提供第二層或第三層客戶端接入，或部署在 DNS 服務器前作為強制注冊用的 DNS 網(wǎng)關(guān)。 3) 對于終端設(shè)備網(wǎng)絡(luò)連接流量進行控制 。 ? 系統(tǒng)管理構(gòu)架 北信源接入認證網(wǎng)關(guān)整體解決方案包括三個組件： 北信源接入網(wǎng)關(guān) — 根據(jù)終端注冊及策略情況提供訪問權(quán)限。針對如上問題，北信源虛擬隔離接入控制技術(shù)應運而生，在不改變原有網(wǎng)絡(luò)結(jié)構(gòu)的同時，對新接入的網(wǎng)絡(luò)終端及非法設(shè)備得以有效管理。 ? 系統(tǒng)功能描述 1) 接入認證管理； 2) 虛擬強制隔離接入認證管理； 3) 未注冊終端接入訪問區(qū)域限制（ vlan 限制）； 4) 未安裝殺毒軟件等必備軟件自動安裝下載管理； 5) 未打補丁終端接入限制； 6) 運行不可信進程、服務、注冊表終端接入限制； 7) 未達到 預定義安全級別的終端接入訪問區(qū)域限制； 8) 自定義終端安全接入必須的桌面運行安全環(huán)境。 系統(tǒng)日志： 系統(tǒng)提供運行審計和操作審計機制，保證系統(tǒng)的穩(wěn)定運行。 局域網(wǎng)構(gòu)架： 對于一般網(wǎng)絡(luò)，可使用一套本系統(tǒng)軟件，集中管理所屬區(qū)域內(nèi)的所有設(shè)備。 北信源終端安全管理產(chǎn)品內(nèi)置安全策略分為全局策略、本地策略、備份策略三種，管理員通過屬性設(shè)置決定其類型。 北信源終端安全管理產(chǎn)品在中國終端安全管理市場占有率連續(xù)四年第一（數(shù)據(jù)來源： CCID） 。 針對網(wǎng)絡(luò)空間安全方面的問題，北信源隆重推出了 新一代面向網(wǎng)絡(luò)空間的全方位、多層次、立體化終端安全管理體系 北信源 VRV SpecSEC。但是，由于網(wǎng)絡(luò)空間載體的多樣化、接入方式的立體化、服務對象的多樣化以及業(yè)務類型的分布化，網(wǎng)絡(luò)空間安全 (Security of Cyberspace)問題日益突出。 ? 如何方便地進行遠程點對點維護 ?？偨Y(jié)起來，政府機關(guān)和企業(yè)單位的內(nèi)部網(wǎng)絡(luò)管理大致面臨著以下一些 常見問題： ? 如何發(fā)現(xiàn)終端設(shè)備的系統(tǒng)漏洞并自動分發(fā)補丁 。北信源軟件在業(yè)界屢獲殊榮，榮獲國家級、部級科技進步獎，在標準制定、重大專項等方面積極配合政府行動，同國家政府部門、國內(nèi)頂級院校、國際頂級 IT 廠商長期保持戰(zhàn)略合作關(guān)系。擁有 400 多名信息安全專業(yè)研發(fā)、咨詢與服務人員。 2020 年推出中國首款桌面安 全管理產(chǎn)品，開啟“桌面安全管理時代”。 作為我國民族信息安全產(chǎn)業(yè)的標志性企業(yè)和優(yōu)秀代表，北信源秉承“信心之源”、“信譽之源”、“信息之源”的核心理念，依靠領(lǐng)先的產(chǎn)品、技術(shù)與服務，本著一如既往、繼往開來的創(chuàng)新姿態(tài)，為構(gòu)筑中華民族的信息安全長城而不懈努力。 ? 如何防止 U 盤造成的病毒傳播和信息泄漏 。 ? 如何快速有效地定位網(wǎng)絡(luò)中病毒、蠕蟲、黑客的引入點，及時、準確地切斷安全 產(chǎn)品簡介 資質(zhì) 案例 10 事件發(fā)生點和網(wǎng)絡(luò) 。 一般而言， 網(wǎng)絡(luò)空間是指在特定的網(wǎng)絡(luò)環(huán)境中，基于某種業(yè)務架構(gòu)和接入模式所構(gòu)建的實際應用載體的總稱。DR 模型為依據(jù)，遵循 國家和行業(yè)等級保護、分級保護規(guī)范（ Specification），基于安全工程的思想，以獨特的終端安全配置策略（ VRV Policy）為核心，以終端安全風險測試與評估（ VRV Evaluation）為依據(jù)，實現(xiàn)組件化可動態(tài)組合配置（ VRV Configure）的終端安全管理（ VRV Security）。該產(chǎn)品基于 PKI/PMI，采用透明加密與防泄密核心驅(qū)動，實現(xiàn)面向終 端的電子文檔安全管理與防泄密、秘密信息的集中管控、抗失泄密的信息網(wǎng)絡(luò)與系統(tǒng)的加固、失泄密行為取證，實現(xiàn)面向網(wǎng)絡(luò)空間的多層次、全方位、立體化縱深失竊密檢測與防范，保障網(wǎng)絡(luò)空間的信息安全管理。 ? 桌面安全管理 通過對桌面終端安全管理與防護，最終實現(xiàn)對桌面終端的安全控制與合規(guī)性管理，實現(xiàn)桌面終端的可管理性、可控性，杜絕不安全的終端電腦在網(wǎng)絡(luò)中的運行，防止各種不安全因素在網(wǎng)絡(luò)中運行而造成的安全風險。 通信保護： 系統(tǒng)的組件間通信時，數(shù)據(jù)傳輸是經(jīng)過加密的，客戶端和服務器端相互通信使用雙向認證機制，防止已 安裝同類客戶端的非本網(wǎng)絡(luò)計算機非法進入網(wǎng)絡(luò)，同時也防止模擬的假客戶端和服務器進行通信。 北信源終端安 全管理產(chǎn)品管理中心具有較強的負載能力（每臺服務器最大支持 15000臺終端），在管理數(shù)量較大的網(wǎng)絡(luò)終端時（如數(shù)千臺終端），為保障系統(tǒng)效率，應使用 4G或 4G 以上的內(nèi)存。 2）認證客戶端： 安裝在終端計算機，通過用戶名和密碼向認證服務器發(fā)起認證，實現(xiàn)正常工作區(qū)、訪客隔離區(qū)、安全修復區(qū)的自動切換。 2) 客戶端（ VRVEDPAgent）： 安裝在終端計算機上，接收 EDP 服務器策略，并執(zhí)行策略。 北信源客戶端程序 — 客戶端程序代理、執(zhí)行安全修復、身份認證功能。 ? 功能特點 ? 多種身份驗證服務 北信源接入認證網(wǎng)關(guān)具備終端特征驗證、用戶名口令驗證、混合身份驗證等多種身份驗證機制。 消除漏洞的根本辦法就是安裝軟件補丁，每一次大規(guī)模蠕蟲病毒的爆發(fā)，都提醒人們要居安思危，打好補丁，做好防范工作 —— 補丁越來越成為安全管理的一個重要環(huán)節(jié)。 ? 物理隔離網(wǎng)絡(luò)： 在互聯(lián)網(wǎng)網(wǎng)絡(luò)上安裝補丁下載服務器模塊，通過補丁下載增量分離工具，區(qū)分內(nèi)網(wǎng)已導入和未導入的補丁，將最新補丁導入內(nèi)網(wǎng)補丁分發(fā)服務器。 產(chǎn)品簡介 資質(zhì) 案例 31 三、介質(zhì)管理系列 產(chǎn)品 北信源 移動存儲介質(zhì)使用管理系統(tǒng) ? 移動存儲介質(zhì)數(shù)據(jù)交換引發(fā)的安全問題 移動存儲 介質(zhì) ，如 U 盤、移動硬盤等，因其體積小、容量大等優(yōu)點，已得到廣泛應用。 該保密區(qū)只能在有對應安全策略的主機上通過認證標簽后、同時輸入正確密碼才能訪問，同時有安全策略的主機可以根據(jù)策略控制未經(jīng)標簽認證的移動存儲介質(zhì)的使用。系統(tǒng)有 USB 標簽制作工具，通過 對移動存儲介質(zhì)制作標簽可以實現(xiàn)對移動存儲介質(zhì)中的數(shù)據(jù)進行保護和加密，對移動存儲介質(zhì)進行使用范圍授權(quán)，訪問控制等綜合的管理。只有經(jīng)認證和授權(quán)成功后，才保證 合法的用戶在合法的機器上訪問合法移動存儲介質(zhì)上的數(shù)據(jù) ，并形成詳盡的日志供審計。 1） 刻 錄行為的審計，包括：刻錄計算機 IP、 MAC、刻錄時間、源文件絕對路徑、目的文件絕對路徑等信息 。 同時，針對用戶需求，本系統(tǒng)還具有以下特點： 1）易用性： 本系統(tǒng)界面友好易懂、操作簡單。 ? 產(chǎn)品優(yōu)勢 更快速： 擦除速度可達每分鐘 3GB。產(chǎn)品集電子文檔使用權(quán)限控制、用戶身份驗證、文檔透明加解密、文檔訪問控制、文檔密級與安全策略控制、文檔監(jiān)控與審計等多種技術(shù)于一身，有效防止電子文檔主動和被 動泄密。 更豐富 ：支持 4 個 USB 接口、 2 個 SATA 接口、 1 個 IDE 接口。 核心層主要是繼承用戶軟件層的接口，進行文件粉碎的核心操作。 本系統(tǒng)能夠保證存儲在主機上的重要數(shù)據(jù)的安全，通過反復對文件磁道的改 寫和重寫，對主機上需要刪除的數(shù)據(jù)文件進行不可恢復的徹底粉碎，最終達到完全粉碎的目的。系統(tǒng)采用三權(quán)分立原則，集權(quán)限控制、數(shù)據(jù)刻錄控制、安全光盤讀取和日志審計于一身，方便、有效的控制內(nèi)網(wǎng)敏感信息通過 CD/DVD 盤片進行的數(shù)據(jù)交換。 系統(tǒng)客戶端： 安裝 在終端計算機，接 收 系統(tǒng)管理中心分發(fā)的策略，根據(jù)接受策略實時監(jiān)控接入終端計算機移動存儲設(shè)備的操作行為和狀態(tài)，并進行管理或者控制 ；系統(tǒng)客戶端注冊以后，即使離開所在網(wǎng)絡(luò)或不處于任務網(wǎng)絡(luò)中，仍實時受到移動存儲管理策略控制，日志記錄于本地，一經(jīng)連接回網(wǎng)絡(luò)，則自動上報日志信息給服務器。 審計功能完善 1) 提供 移動存儲介質(zhì)上所有文件操作 的詳 細記錄 包括文件的創(chuàng)建、復制、刪除 、讀寫 和重命名等操作， 具體包括文件名、審計描述、時間、用戶名、 計算機 IP 地址 和其他必要的信息 。 普通標簽： 寫入普通標簽后，在管理區(qū)域內(nèi)根據(jù)策略的設(shè)置，來限制移動存儲介質(zhì)的讀、寫功能；如果在管理區(qū)域外使用移動存儲介質(zhì)認證，則不限制移動存儲介質(zhì)認證讀、寫功能。 系統(tǒng)可按照網(wǎng)段、補丁類型進行補丁配置分發(fā)，支持漏打補丁、特殊補丁的推送下發(fā)；通過自定義分網(wǎng)段、分區(qū)域的補丁下載升級設(shè)定策略，以及轉(zhuǎn)發(fā)代理技術(shù)，避免造成網(wǎng)絡(luò)堵塞，合理控制網(wǎng)絡(luò)帶寬。 ? 系統(tǒng)功能概述 北信源補丁及文件分發(fā)管理系統(tǒng)是北信源公司在為國家各大部委機關(guān)、各大行業(yè)網(wǎng)絡(luò)用戶進行病毒安全服務、總結(jié)安全運營保障經(jīng)驗的基礎(chǔ)上，分析當前網(wǎng)絡(luò)客戶端實際安全 產(chǎn)品簡介 資質(zhì) 案例 29 管理要求研發(fā)的，系統(tǒng)支持推、拉兩種方式自動下載補丁。 ? 靈活的部署模式 北信源接入認證網(wǎng)關(guān)提供了最廣泛的部 署模式，能適用于任意客戶網(wǎng)絡(luò)。 2) 確認用戶、用戶設(shè)備和他們在網(wǎng)絡(luò)中的身份 。能夠阻止未授權(quán)計算機越權(quán)訪問網(wǎng)絡(luò)資源。 圖 １ 網(wǎng)絡(luò)接入訪問控制 產(chǎn)品簡介 資質(zhì) 案例 25 產(chǎn)品 北信源虛擬隔離接入控制系統(tǒng) ? 產(chǎn)品背景 常用網(wǎng)絡(luò)接入技術(shù)是基于 接入認證管理及網(wǎng)關(guān)接入認證管理，但有些網(wǎng)絡(luò)并不不支持 協(xié)議，如增加 HUB 一類情況；而網(wǎng)關(guān)接入認證，不能限制非法接入終端對網(wǎng)絡(luò)內(nèi)部終端進行訪問等問題，使得企業(yè)網(wǎng)絡(luò)面臨著病毒、木馬、蠕蟲等安全風險。網(wǎng)絡(luò)接入控制管理系統(tǒng)針對所有的網(wǎng)絡(luò)架構(gòu)工作，并且不必進行昂貴的網(wǎng)絡(luò)架構(gòu)改造。 產(chǎn)品簡介 資質(zhì) 案例 21 提供系統(tǒng)審計員、系統(tǒng)管理員、系統(tǒng)操作員三權(quán)分立的權(quán)限管理體系。 北信源終端安全管理產(chǎn)品強化了對網(wǎng)絡(luò)計算機終端 狀態(tài)、行為以及事件的管理，它提供了防火墻、 IDS、防病毒系統(tǒng)、專業(yè)網(wǎng)管軟件所不能提供的防護功能，對它們管理的盲區(qū)進行監(jiān)控，擴展成為一個實時的可控管理平臺，并能夠同其它安全設(shè)備進行安全集成和報警聯(lián)動。策略管理中心內(nèi)置終端安全防護需要的所有安全管理參數(shù)，提供對計算機終端的安全規(guī)則配置、安全功能策略開啟 /關(guān)閉、安全策略執(zhí)行范圍 /周期設(shè)定等一系列安全措施的管理。產(chǎn)品針對政府、金融證券、電信、能源以及各大中型企業(yè)等網(wǎng)絡(luò)專門研制，已通過公安部、國家保密局、國家信息安全評測中心、中國人民解放軍信息安 全評測中心、質(zhì)量管理體系認證等多項權(quán)威認證。從網(wǎng)絡(luò)空間應用接入方式來來 說，網(wǎng)絡(luò)空間應用從傳統(tǒng)的互聯(lián)網(wǎng)應用接入發(fā)展到以移動 /無線通信應用接入乃至移動互聯(lián)網(wǎng)接入等多種方式。 產(chǎn)品簡介 資質(zhì) 案例 11 北信源 VRV SpecSEC 面向 網(wǎng)絡(luò)空間 的 終端安全管理體系