【正文】 絡(luò)終端注冊(cè)和網(wǎng)絡(luò)訪問(wèn)授權(quán)等方案，使得未注冊(cè)客戶端無(wú)法訪問(wèn)受限網(wǎng)絡(luò)。管理員通過(guò)策略方便設(shè)定。黑客技術(shù)的不斷變化和發(fā)展，留給管理員的時(shí)間將會(huì)越來(lái)越少，在最短的時(shí)間內(nèi)安裝補(bǔ)丁將會(huì)極大地保護(hù)網(wǎng)絡(luò)和其所承載的機(jī)密，同時(shí)也可 以使更多的用戶免受蠕蟲(chóng)的侵襲。 ? 系統(tǒng)組件 北信源補(bǔ)丁及文件分發(fā)管理系統(tǒng)依據(jù)客戶端注冊(cè)優(yōu)勢(shì)，提供補(bǔ)丁檢測(cè)、安裝等遠(yuǎn)程功能。作為數(shù)據(jù)交換的主要手段之一，移動(dòng)存儲(chǔ) 介質(zhì) 正成 為數(shù)據(jù)和信息的重要載體，但是我們也應(yīng)該看到，移動(dòng)存儲(chǔ)設(shè)備在給我們帶來(lái)極大方便的同時(shí)，也給我們帶來(lái)了不少的安全隱患 ，主要如下： 1. 涉密計(jì)算機(jī)接入非涉密移動(dòng)存儲(chǔ)設(shè)備； 2. 非涉密計(jì)算機(jī)使用涉密移動(dòng)存儲(chǔ)設(shè)備； 3. 移動(dòng)存儲(chǔ)介質(zhì)的數(shù)據(jù)交互審計(jì)； 4. 外來(lái)移動(dòng)存儲(chǔ)介質(zhì)隨意接入問(wèn)題； 5. 移動(dòng)存儲(chǔ)介質(zhì)丟失導(dǎo)致信息泄漏； 6. 移動(dòng)存儲(chǔ)介質(zhì)的使用信息無(wú)法追蹤審計(jì)問(wèn)題； 7. 移動(dòng)存儲(chǔ)介質(zhì)接入?yún)^(qū)域限制和控制問(wèn)題； 8. 病毒、惡意代碼通過(guò)移動(dòng)存儲(chǔ)介質(zhì)傳播問(wèn)題。 （ 2）在普通辦公網(wǎng)絡(luò)中，可生成交換區(qū)、保密區(qū)二個(gè)區(qū)。移動(dòng)存儲(chǔ)介質(zhì)使用管理系統(tǒng)可以將整個(gè)移動(dòng)存儲(chǔ)介質(zhì)劃分成交換區(qū)和保密區(qū)兩部分，保護(hù)區(qū)需要通過(guò)密碼認(rèn)證才可以訪問(wèn)。 產(chǎn)品簡(jiǎn)介 資質(zhì) 案例 34 產(chǎn)品 北信源 安全 U 盤(pán)系統(tǒng) ? 系統(tǒng)功能描述 1) 遵循標(biāo)準(zhǔn) USB 設(shè)備的使用流程，所有安全功能對(duì)用戶透明； 2) 采用專用控制模塊防止 U 盤(pán)介質(zhì)非授權(quán)格式化； 3) 結(jié)合北信源移動(dòng)存儲(chǔ)介質(zhì)使用管理系統(tǒng)，可實(shí)現(xiàn)多種方式的接入控制，具體詳見(jiàn)移動(dòng)存儲(chǔ)介質(zhì)使用管理系統(tǒng)相關(guān)介紹； 4) 從原理上杜絕病毒自動(dòng)傳播 (無(wú)法利用操作系統(tǒng)直接對(duì) U 盤(pán)存儲(chǔ)區(qū)文件進(jìn)行讀寫(xiě) )，防止病毒拷入 U 盤(pán)導(dǎo)致病毒傳播； 5) 支持基于角色的細(xì)粒度強(qiáng)訪問(wèn)控制機(jī)制，采用可定制的數(shù)據(jù)訪問(wèn)和審計(jì)策略，提供數(shù)據(jù)的多級(jí)多域安全防護(hù)； 6) 采用 安全容器技術(shù) ，實(shí)現(xiàn) 信息的存儲(chǔ)和傳輸安全，保證信息內(nèi)容本身的應(yīng)用審計(jì)安全 ； 7) 可 對(duì)信息的分發(fā)路徑進(jìn)行全程跟蹤， 結(jié)合自主采集的多維主機(jī)指紋采集技術(shù)，從而對(duì)通過(guò)Ｕ盤(pán)的數(shù)據(jù)交換行為進(jìn)行全方位的細(xì)粒度審計(jì)； 8) 審計(jì)信息記錄在 U 盤(pán)本地的審計(jì)區(qū)，以供分析； 9) 支持設(shè)備和主機(jī)的雙向認(rèn)證，防止主觀和客觀的數(shù)據(jù)非法訪問(wèn)； 10) 一體化管理平臺(tái)， 便于 U 盤(pán)集中分發(fā)和管理。 2） 客戶端系統(tǒng)配置變化審計(jì) 。 2）安全性： 被粉碎的文件不可恢復(fù)，層與 層之間傳遞的是命令，而不是數(shù)據(jù)，不會(huì)引起數(shù)據(jù)泄露。 更人性： 觸摸屏方式設(shè)計(jì)，簡(jiǎn)單易用。同時(shí)本產(chǎn)品具有高度的可擴(kuò)展性、模塊化設(shè)計(jì)，可與北信源內(nèi)網(wǎng)安全系統(tǒng)無(wú)縫結(jié)合，為企業(yè)信息化建設(shè)提供了強(qiáng)有力的安全保障。 更輕便： 產(chǎn)品體積小，重量輕，攜帶方便。 ? 系統(tǒng)管理構(gòu)架 系統(tǒng)分為用戶軟件層和核心層： 用戶軟件層，主要是給用戶提供一個(gè)操作環(huán)境，用戶可以在該操作環(huán)境下進(jìn)行文件粉碎的表層工作。 產(chǎn)品簡(jiǎn)介 資質(zhì) 案例 36 產(chǎn)品 北信源 存儲(chǔ)介質(zhì)信息消除工具 ? 產(chǎn)品概述 北信源 公司 本著“安全、便捷、可靠”的設(shè)計(jì)理念，針對(duì)用戶當(dāng)前存在的數(shù)據(jù)外泄問(wèn)題，通過(guò)合理的方式對(duì)計(jì)算機(jī)介質(zhì)（包括磁帶、磁盤(pán)、打印結(jié)果和文檔）進(jìn)行信息消除或銷毀處理，防止介質(zhì)內(nèi)的敏感信息泄露。 產(chǎn)品簡(jiǎn)介 資質(zhì) 案例 35 產(chǎn)品 北信源 光盤(pán)刻錄監(jiān)控與審計(jì)系統(tǒng) ? 產(chǎn)品概述 北信源光盤(pán)刻錄監(jiān)控與審計(jì)系統(tǒng)完全貫徹和落實(shí)國(guó)家保密局 BMB17 文件思想，實(shí)現(xiàn)對(duì)刻錄的全面控制。能夠 自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)中的終端計(jì)算機(jī)，并檢測(cè)終端計(jì)算機(jī)是否安裝系統(tǒng)客戶端程序，管理中心內(nèi)置移動(dòng)存儲(chǔ)管理策略中心和報(bào)警中心，提供對(duì)網(wǎng)絡(luò)終端的分組管理設(shè)置。交換區(qū)的使用方法，可以根據(jù)用戶需要，在內(nèi)部網(wǎng)絡(luò)中通過(guò)策略限制使用方式，交換區(qū)在外網(wǎng)使用時(shí)同樣要輸入密碼方可使用，保密區(qū)在外網(wǎng)不可見(jiàn)。注，對(duì)移動(dòng)存儲(chǔ)介質(zhì)格式化無(wú)法去除標(biāo)簽。 補(bǔ)丁控制中心提供補(bǔ)丁策略制訂、補(bǔ)丁文件直接分發(fā)，補(bǔ)丁測(cè)試提供對(duì)軟件廠商新發(fā)布 補(bǔ)丁的前期測(cè)試，嚴(yán)格測(cè)試后才可以配發(fā)到網(wǎng)絡(luò)客戶端，保障客戶端補(bǔ)丁安裝安全性。 因此，如何利用有效技術(shù)手段來(lái)及時(shí)、持續(xù)、穩(wěn)定的安裝計(jì)算機(jī)補(bǔ)丁，是所有網(wǎng)絡(luò)安全管理人員、信息安全決策人員亟需解決的問(wèn)題。 ? 集中管理 北信源接入認(rèn)證網(wǎng)關(guān)基于 Web 的管理控制臺(tái)允許管理員為每個(gè)用戶定義所需的策略類型，一個(gè)區(qū)域管理器可以管理多個(gè)接入網(wǎng)關(guān)。該安全產(chǎn)品能夠： 1) 對(duì)未注冊(cè)終端進(jìn)行訪問(wèn)網(wǎng)絡(luò)權(quán)限控制，可進(jìn)行 HTTP、 DNS等重定向強(qiáng)制注冊(cè) 。使網(wǎng)絡(luò)管理員能在允許用戶進(jìn)入網(wǎng)絡(luò)前、訪問(wèn)外部網(wǎng)絡(luò)前，對(duì)有線、無(wú)線和遠(yuǎn)程用戶及其機(jī)器進(jìn)行驗(yàn)證、授權(quán)。 5） 可選配強(qiáng)制注冊(cè)網(wǎng)關(guān) （硬件）： 在不完全支持 的網(wǎng)絡(luò)中可選裝強(qiáng)制注冊(cè)網(wǎng)關(guān)，完成未注冊(cè)終端訪問(wèn)網(wǎng)頁(yè)時(shí)進(jìn)行 DNS 重定向或 HTTP 重 定向，以達(dá)到強(qiáng)制注冊(cè)目的。 通過(guò)網(wǎng)絡(luò)接入控制管理系統(tǒng)可以滿足企 業(yè)要求，將設(shè)備接入控制擴(kuò)展到超出簡(jiǎn)單遠(yuǎn)程訪問(wèn)及路由器、專有協(xié)議和已管理設(shè)備的限定之外；能夠覆蓋到企業(yè)網(wǎng)絡(luò)的每一個(gè)角落，甚至是當(dāng)使用者拿著他們的移動(dòng)設(shè)備離開(kāi)企業(yè)網(wǎng)絡(luò)時(shí)，仍能有效的提供設(shè)備接入控制的執(zhí)行。保證管理系統(tǒng)服務(wù)器端使用的安全性，保證其受到惡意修改 IP 地址的方式攻擊時(shí)仍可正常工作，網(wǎng)絡(luò)中出現(xiàn)惡意修改成與管理服務(wù)器相同屬性（如相同的 IP 地址、相同的 MAC 地址等）的機(jī)器時(shí)，出現(xiàn) IP地址或 MAC 地址沖突等現(xiàn)象時(shí)，管理服務(wù)器將不會(huì)被阻斷出網(wǎng)（即不會(huì)出現(xiàn)地址沖突的現(xiàn)象），只有發(fā)起惡意攻擊的設(shè)備才 會(huì)被自動(dòng)阻斷，不會(huì)影響管理服務(wù)器的正常管理。 ? VRV SpecSEC 終端安全管理體系管理 模式 北信源終端安全管理產(chǎn)品遵循網(wǎng)絡(luò)防護(hù)和端點(diǎn)防護(hù)并重理念，對(duì)網(wǎng)絡(luò)安全管理人員在網(wǎng)絡(luò)管理、終端管理過(guò)程中所面臨的種種問(wèn)題提供解決方案，實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)終端的可控管理，并能夠支持多級(jí)級(jí)聯(lián)廣域網(wǎng)構(gòu)架，達(dá)到最佳的管理效果。 北信源 VRV SpecSEC 終端安全管理體系功能組成如圖 3 所示： 圖 3 北信源 VRV SpecSEC 終端安全體系功能組成 產(chǎn)品簡(jiǎn)介 資質(zhì) 案例 16 北信源終端安全管理產(chǎn)品采用統(tǒng)一策略管理中心實(shí)現(xiàn)對(duì)內(nèi)部網(wǎng)絡(luò)終端的統(tǒng)一安全管理。 北信源 VRV SpecSEC 終端安全管理體系分層架構(gòu)如圖 2 所示： 產(chǎn)品簡(jiǎn)介 資質(zhì) 案例 14 圖 2 北信源 VRV SpecSEC 終端安全管理體系分層架構(gòu) ? VRV SpecSEC 終端安全管理體系遵循標(biāo)準(zhǔn) 北信源 VRV SpecSEC 終端安全管理體系主要遵循如下國(guó)家、行業(yè)安全標(biāo)準(zhǔn)和政策法規(guī)： ? 《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)技術(shù)要求》（ GB/T 222392020） ? 《信息安全技術(shù) 終端計(jì)算機(jī)系統(tǒng)安全等級(jí)技術(shù)要求》（ GA/T 6712020） ? 《信息技術(shù) 安全 技術(shù) 信息安全管理體系要求》（ GB/T 220802020） ? 《信息技術(shù) 安全技術(shù) 信息安全管理實(shí)用規(guī)則》（ GB/T 220812020） ? 《互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定》（公安部第 82 號(hào)令） ? VRV SpecSEC 終端安全管理體系 系列產(chǎn)品 北信源終端安全管理產(chǎn)品采用 C/S 與 B/S 混合模式設(shè)計(jì)，支持分布式部署，并具有模塊化軟件定制、支持標(biāo)準(zhǔn) API、無(wú)縫功能擴(kuò)展與升級(jí)等優(yōu)點(diǎn)。從網(wǎng)絡(luò)空間應(yīng)用架構(gòu)來(lái)分，網(wǎng)絡(luò)空間包括 C/S 架構(gòu)、 B/S 架構(gòu)等多種應(yīng)用模式以及以 SOA/SaaS 的新型架構(gòu)。針對(duì)如上系列問(wèn)題北信源提供領(lǐng)先業(yè)界的終端安全管理產(chǎn)品及應(yīng)用解決方案。 ? 如何在全網(wǎng)制訂統(tǒng)一的安全策略 。相反，來(lái)自網(wǎng)絡(luò)內(nèi)部計(jì)算機(jī)終端的安全威脅卻是眾多安全管理人員所普遍面臨的棘手問(wèn)題。 作為中國(guó)終端安全管理領(lǐng)域的市場(chǎng)領(lǐng)導(dǎo)者，北信源終端安全管理產(chǎn)品在中國(guó)終端安全管理市場(chǎng)占有率連續(xù)四 年保持第一（數(shù)據(jù)來(lái)源： CCID）。 產(chǎn)品簡(jiǎn)介 資質(zhì) 案例 1 產(chǎn)品簡(jiǎn)介 資質(zhì) 案例 2 產(chǎn)品簡(jiǎn)介 資質(zhì) 案例 3 公 司 簡(jiǎn)介 北京北信源軟件股份有限公司創(chuàng)立于 1996 年，注冊(cè)資金 5000 萬(wàn)，是中國(guó)第一批自主品牌的信息安全產(chǎn)品及整體解決方案供應(yīng)商，中國(guó)終端安全管理領(lǐng)域的市場(chǎng)領(lǐng)導(dǎo)者。體系遵循安全產(chǎn)品符合性開(kāi)發(fā)、 基于 策略的終端安全配置、評(píng)估 為準(zhǔn) 的終端安全管理、組件化終端安全管理四大核心理念，并首次將受控云技術(shù)運(yùn)用于終端安全體系和產(chǎn)品中，完整覆蓋準(zhǔn)入控制、補(bǔ)丁分發(fā)、介質(zhì)管理、數(shù)據(jù)安全、安全審計(jì)、安全檢查、行為管控、桌面管理 、管理平臺(tái) 等全方位、多層次、立體化的網(wǎng)絡(luò)空間終端安全各個(gè)層面。常規(guī)安全防御理念往往局限在網(wǎng)關(guān)級(jí)別、網(wǎng)絡(luò) 邊界（防火墻、 IDS、漏洞掃描）等方面，重要的安全設(shè)施大致集中于機(jī)房或網(wǎng)絡(luò)入口處，在這些設(shè)備的嚴(yán)密監(jiān)控下，來(lái)自網(wǎng)絡(luò)外部的安全威脅大大減小。 ? 如何管理終端資產(chǎn)，保障網(wǎng)絡(luò)設(shè)備正常運(yùn)行 。 ………… . 這些終端安全隱患隨時(shí)隨地都可能威脅到用戶網(wǎng)絡(luò)的正常運(yùn)行。從業(yè)務(wù)應(yīng)用類型角度來(lái)分，網(wǎng)絡(luò)空間應(yīng)用包括 web 應(yīng)用、FTP 服務(wù)、 P2P/BT 應(yīng)用、郵件、 IM 即時(shí)通信、網(wǎng)絡(luò)多媒體、網(wǎng)絡(luò)代理等。北信源 VRV SpecSEC 終端安全管理系統(tǒng)滿足國(guó)家等級(jí)保護(hù)、分級(jí)保護(hù)要求，支持基于證書(shū)、令牌、口令等多種認(rèn)證方式，可實(shí)現(xiàn)自主訪問(wèn)控制（ DAC）、強(qiáng)制訪問(wèn)控制 (MAC)、角色訪問(wèn)控制（ RBAC）和使用控制（ Usage Control）， VRV SpecSEC 采用受控云計(jì)算、虛擬化技術(shù)支持超大規(guī)模用戶終端 “多級(jí)部署、集中管 理”，可實(shí)現(xiàn)網(wǎng)絡(luò)空間終端全方位、多層次、立體化終端安全管理與服務(wù)。北信源面向網(wǎng)絡(luò)空間的終端安全管理體系 VRV SpecSEC 支 持終端 全方位、多層次、立體化終端安全管理。 ? 安全審計(jì)管理 通過(guò)對(duì)終端行為的管理與綜合審計(jì)，最終實(shí)現(xiàn)對(duì)終端操作行為、遠(yuǎn)程訪問(wèn)行為的集中記錄與審計(jì)，便于對(duì)各種事件信息的統(tǒng)計(jì)分析和事后跟蹤、追查。 服務(wù)器安全設(shè)計(jì)： 服務(wù)器系統(tǒng)具備保護(hù)服務(wù)器功能。與此同時(shí)基于設(shè)備接入控制網(wǎng)關(guān)，還可以對(duì)于遠(yuǎn)程接入企業(yè)內(nèi)部網(wǎng)絡(luò)的計(jì)算機(jī)進(jìn)行身份、唯一性及安全認(rèn)證。 4） Radius 認(rèn)證系統(tǒng) (交換機(jī) ) ： 可網(wǎng)管支持 的網(wǎng)絡(luò)設(shè)備（交換機(jī)），接收認(rèn)證客戶端的認(rèn)證請(qǐng)求數(shù)據(jù)包與 Radius 認(rèn)證服務(wù)器完成認(rèn)證過(guò)程。 產(chǎn)品簡(jiǎn)介 資質(zhì) 案例 26 產(chǎn)品 北信源 接入認(rèn)證網(wǎng)關(guān) ? 產(chǎn)品概述 北信源接入認(rèn)證網(wǎng)關(guān)是一款部署簡(jiǎn)便、使用靈活的網(wǎng)絡(luò)準(zhǔn)入 /準(zhǔn)出控制產(chǎn)品。使網(wǎng)絡(luò)管理員能在允許用戶進(jìn)入網(wǎng)絡(luò)前，對(duì)用戶及其機(jī)器進(jìn)行驗(yàn)證、授權(quán)。能維護(hù)具有不同許可級(jí)別的用戶群體。對(duì)于機(jī)器眾多的用戶，繁雜的手工補(bǔ)丁安裝已經(jīng)遠(yuǎn)遠(yuǎn)不能適應(yīng)大規(guī)模網(wǎng)絡(luò)的管理，必須依靠新的技術(shù)手段來(lái)實(shí)現(xiàn)對(duì)操作系統(tǒng)的補(bǔ)丁自動(dòng)修補(bǔ)。客戶端訪問(wèn)網(wǎng)絡(luò) WEB 站點(diǎn)，根據(jù)頁(yè)面自動(dòng)彈出提示進(jìn)行注冊(cè)，注冊(cè)程序?qū)⒃谙到y(tǒng)中實(shí) 產(chǎn)品簡(jiǎn)介 資質(zhì) 案例 30 時(shí)運(yùn)行，檢測(cè)補(bǔ)丁安裝狀況，并上報(bào)給補(bǔ)丁控制中心。 ? 技術(shù)特點(diǎn)及應(yīng)用 分級(jí)權(quán)限控制 通過(guò)對(duì)移動(dòng)存儲(chǔ)介質(zhì)寫(xiě)入兩種不同控制權(quán)限及功能的標(biāo)簽，來(lái)實(shí)現(xiàn)分級(jí)權(quán) 限的控制，并對(duì)指定范圍內(nèi)的終端授權(quán)，通過(guò)策略與標(biāo)簽的配合來(lái)實(shí)現(xiàn)對(duì)移動(dòng)存儲(chǔ)介質(zhì)的控制。 保密區(qū)的使用方法，可與上述涉密網(wǎng)絡(luò)或高要求的辦公網(wǎng)絡(luò)相同。系統(tǒng)具體使用管理構(gòu)架如下： 系統(tǒng)服務(wù)器端： 系統(tǒng) 管理中心 基于 web 頁(yè)面管理方式，管理員登陸和配置后系統(tǒng)才能運(yùn)行。 ? 加密 1) 加密算法：標(biāo)準(zhǔn)版本采用 AES(256bit)高強(qiáng)度對(duì)稱加密算法，根據(jù)需要也可支持用戶定制的加密算法和芯片，支持多種加密模式； 2) TTDS：采用扇區(qū)映射方式進(jìn)行二級(jí)抽象，完全打亂文件的存儲(chǔ)位置，防止結(jié)構(gòu)性破解。 3） 靈活過(guò)濾條件查看日志；日志、統(tǒng)計(jì)報(bào)表提供 WORD 及 EXCEL 等格式的輸出。 3）防恢復(fù)： 粉碎過(guò)的數(shù)據(jù)經(jīng)反復(fù)擦除重寫(xiě)不會(huì)在硬盤(pán)上留下任何痕跡。 更安全： 數(shù)據(jù)擦除不可逆，無(wú)