【正文】 置，防止結(jié)構(gòu)性破解。只有經(jīng)認(rèn)證和授權(quán)成功后，才保證合法的用戶在合法的機(jī)器上訪問合法移動存儲介質(zhì)上的數(shù)據(jù)，并形成詳盡的日志供審計。使用者在使用時必須輸入使用密碼后才能使用。系統(tǒng)客戶端：安裝在終端計算機(jī)，接收系統(tǒng)管理中心分發(fā)的策略，根據(jù)接受策略實時監(jiān)控接入終端計算機(jī)移動存儲設(shè)備的操作行為和狀態(tài)，并進(jìn)行管理或者控制；系統(tǒng)客戶端注冊以后，即使離開所在網(wǎng)絡(luò)或不處于任務(wù)網(wǎng)絡(luò)中，仍實時受到移動存儲管理策略控制，日志記錄于本地，一經(jīng)連接回網(wǎng)絡(luò)，則自動上報日志信息給服務(wù)器。系統(tǒng)具體使用管理構(gòu)架如下：系統(tǒng)服務(wù)器端：系統(tǒng)管理中心基于web頁面管理方式，管理員登陸和配置后系統(tǒng)才能運行。系統(tǒng)有USB標(biāo)簽制作工具，通過對移動存儲介質(zhì)制作標(biāo)簽可以實現(xiàn)對移動存儲介質(zhì)中的數(shù)據(jù)進(jìn)行保護(hù)和加密，對移動存儲介質(zhì)進(jìn)行使用范圍授權(quán)，訪問控制等綜合的管理。l 系統(tǒng)功能描述1. 移動存儲設(shè)備（分設(shè)備、網(wǎng)段等）接入認(rèn)證管理，保障指定設(shè)備讀寫指定移動存儲設(shè)備的訪問控制管理；2. 移動存儲介質(zhì)數(shù)據(jù)讀寫控制管理；3. 移動存儲介質(zhì)標(biāo)簽認(rèn)證管理；4. 移動存儲介質(zhì)分區(qū)（交換區(qū)和保密區(qū)）管理；5. 移動存儲介質(zhì)的加密管理，防止保密區(qū)的敏感信息外泄；6. 移動存儲介質(zhì)接入行為審計；7. 移動存儲介質(zhì)數(shù)據(jù)交換行為審計管理，可針對文件后綴名等條件；8. 提供詳細(xì)的文件操作詳細(xì)審計記錄：包括文件的創(chuàng)建、復(fù)制、刪除、修改和重命名等操作，（包括文件名、審計描述、時間、用戶名、計算機(jī)IP地址和其他必要的信息）；9. 提供詳細(xì)的移動存儲設(shè)備的插入和拔出動作的詳細(xì)記錄，具體包括事件類型、移動存儲介質(zhì)的名稱、用戶、計算機(jī)IP地址和事件時間。審計功能完善1) 提供移動存儲介質(zhì)上所有文件操作的詳細(xì)記錄包括文件的創(chuàng)建、復(fù)制、刪除、讀寫和重命名等操作，具體包括文件名、審計描述、時間、用戶名、計算機(jī)IP地址和其他必要的信息。保密區(qū)的使用方法，可與上述涉密網(wǎng)絡(luò)或高要求的辦公網(wǎng)絡(luò)相同。該保密區(qū)只能在有對應(yīng)安全策略的主機(jī)上通過認(rèn)證標(biāo)簽后、同時輸入正確密碼才能訪問，同時有安全策略的主機(jī)可以根據(jù)策略控制未經(jīng)標(biāo)簽認(rèn)證的移動存儲介質(zhì)的使用。涉密網(wǎng)絡(luò)可只生成保密區(qū)。普通標(biāo)簽：寫入普通標(biāo)簽后，在管理區(qū)域內(nèi)根據(jù)策略的設(shè)置，來限制移動存儲介質(zhì)的讀、寫功能；如果在管理區(qū)域外使用移動存儲介質(zhì)認(rèn)證，則不限制移動存儲介質(zhì)認(rèn)證讀、寫功能。l 技術(shù)特點及應(yīng)用分級權(quán)限控制通過對移動存儲介質(zhì)寫入兩種不同控制權(quán)限及功能的標(biāo)簽，來實現(xiàn)分級權(quán)限的控制，并對指定范圍內(nèi)的終端授權(quán)，通過策略與標(biāo)簽的配合來實現(xiàn)對移動存儲介質(zhì)的控制。三、介質(zhì)管理系列產(chǎn)品北信源移動存儲介質(zhì)使用管理系統(tǒng)l 移動存儲介質(zhì)數(shù)據(jù)交換引發(fā)的安全問題移動存儲介質(zhì)，如U盤、移動硬盤等，因其體積小、容量大等優(yōu)點，已得到廣泛應(yīng)用。標(biāo)準(zhǔn)構(gòu)架（小型網(wǎng)絡(luò)）：在局域網(wǎng)中全面部署應(yīng)用北信源補(bǔ)丁及文件分發(fā)管理系統(tǒng)，包括各種功能模塊：補(bǔ)丁下載、補(bǔ)丁分析、補(bǔ)丁策略分發(fā)制訂、文件分發(fā)、客戶端補(bǔ)丁監(jiān)測、漏洞補(bǔ)丁掃描、補(bǔ)丁分發(fā)控制臺等。系統(tǒng)可按照網(wǎng)段、補(bǔ)丁類型進(jìn)行補(bǔ)丁配置分發(fā)，支持漏打補(bǔ)丁、特殊補(bǔ)丁的推送下發(fā)；通過自定義分網(wǎng)段、分區(qū)域的補(bǔ)丁下載升級設(shè)定策略，以及轉(zhuǎn)發(fā)代理技術(shù)，避免造成網(wǎng)絡(luò)堵塞，合理控制網(wǎng)絡(luò)帶寬?？蛻舳嗽L問網(wǎng)絡(luò)WEB站點，根據(jù)頁面自動彈出提示進(jìn)行注冊，注冊程序?qū)⒃谙到y(tǒng)中實時運行，檢測補(bǔ)丁安裝狀況，并上報給補(bǔ)丁控制中心。l 物理隔離網(wǎng)絡(luò)：在互聯(lián)網(wǎng)網(wǎng)絡(luò)上安裝補(bǔ)丁下載服務(wù)器模塊，通過補(bǔ)丁下載增量分離工具，區(qū)分內(nèi)網(wǎng)已導(dǎo)入和未導(dǎo)入的補(bǔ)丁，將最新補(bǔ)丁導(dǎo)入內(nèi)網(wǎng)補(bǔ)丁分發(fā)服務(wù)器。l 系統(tǒng)功能描述：1) 互聯(lián)網(wǎng)補(bǔ)丁自動下載；2) 補(bǔ)丁完整性和安全性測試；3) 補(bǔ)丁增量更新導(dǎo)入；4) 補(bǔ)丁庫建立和分類；5) 終端補(bǔ)丁自動檢測；6) 補(bǔ)丁策略制定分發(fā)和自動分發(fā)；7) 終端補(bǔ)丁流量控制和代理轉(zhuǎn)發(fā)技術(shù)；8) 補(bǔ)丁自動修復(fù)及查詢統(tǒng)計；9) 未打補(bǔ)丁情況匯總統(tǒng)計；10) 補(bǔ)丁安裝情況匯總統(tǒng)計；11) 已安裝補(bǔ)丁自動卸載；12) 文件分發(fā)及文件自動執(zhí)行；13) 文件分發(fā)安裝結(jié)果統(tǒng)計。l 系統(tǒng)功能概述北信源補(bǔ)丁及文件分發(fā)管理系統(tǒng)是北信源公司在為國家各大部委機(jī)關(guān)、各大行業(yè)網(wǎng)絡(luò)用戶進(jìn)行病毒安全服務(wù)、總結(jié)安全運營保障經(jīng)驗的基礎(chǔ)上，分析當(dāng)前網(wǎng)絡(luò)客戶端實際安全管理要求研發(fā)的，系統(tǒng)支持推、拉兩種方式自動下載補(bǔ)丁。對于機(jī)器眾多的用戶，繁雜的手工補(bǔ)丁安裝已經(jīng)遠(yuǎn)遠(yuǎn)不能適應(yīng)大規(guī)模網(wǎng)絡(luò)的管理，必須依靠新的技術(shù)手段來實現(xiàn)對操作系統(tǒng)的補(bǔ)丁自動修補(bǔ)。消除漏洞的根本辦法就是安裝軟件補(bǔ)丁，每一次大規(guī)模蠕蟲病毒的爆發(fā)，都提醒人們要居安思危，打好補(bǔ)丁，做好防范工作，補(bǔ)丁越來越成為安全管理的一個重要環(huán)節(jié)。二、補(bǔ)丁分發(fā)系列產(chǎn)品北信源補(bǔ)丁及文件分發(fā)管理系統(tǒng)l 產(chǎn)品背景：近些年來，蠕蟲病毒和木馬病毒的頻繁爆發(fā)給全球網(wǎng)絡(luò)運行乃至經(jīng)濟(jì)都造成了嚴(yán)重影響，之所以這些蠕蟲能造成如此危害，是因為利用了操作系統(tǒng)或者應(yīng)用程序的漏洞。l 靈活的部署模式提供最廣泛的部署模式，能適用于任意客戶網(wǎng)絡(luò)。能維護(hù)具有不同許可級別的用戶群體。l 功能特點l 多種身份驗證服務(wù)北信源接入認(rèn)證網(wǎng)關(guān)具備終端特征驗證、用戶名口令驗證、混合身份驗證等多種身份驗證機(jī)制。4) 該產(chǎn)品能向通過局域網(wǎng)、無線局域網(wǎng)、廣域網(wǎng)或虛擬專用網(wǎng)連接的設(shè)備應(yīng)用網(wǎng)絡(luò)準(zhǔn)入控制。2) 確認(rèn)用戶、用戶設(shè)備和他們在網(wǎng)絡(luò)中的身份。使網(wǎng)絡(luò)管理員能在允許用戶進(jìn)入網(wǎng)絡(luò)前，對用戶及其機(jī)器進(jìn)行驗證、授權(quán)。北信源客戶端程序—客戶端程序代理、執(zhí)行安全修復(fù)、身份認(rèn)證功能。在用戶未注冊前，他們均被禁止訪問可信網(wǎng)絡(luò)，或進(jìn)行HTTP、DNS等重定向強(qiáng)制注冊。能夠阻止未授權(quán)計算機(jī)越權(quán)訪問網(wǎng)絡(luò)資源。產(chǎn)品北信源接入認(rèn)證網(wǎng)關(guān)l 產(chǎn)品概述北信源接入認(rèn)證網(wǎng)關(guān)是一款部署簡便、使用靈活的網(wǎng)絡(luò)準(zhǔn)入/準(zhǔn)出控制產(chǎn)品。2) 客戶端（VRVEDPAgent）：安裝在終端計算機(jī)上，接收EDP服務(wù)器策略，并執(zhí)行策略。l 系統(tǒng)功能描述1) 不改變現(xiàn)有網(wǎng)絡(luò)配置，實現(xiàn)終端網(wǎng)絡(luò)訪問控制；2) 隔離并保護(hù)注冊終端，使未注冊終端無法和其通信；3) 隔離并保護(hù)服務(wù)器區(qū)域，防止未注冊終端隨意訪問；4) 通過安全檢查機(jī)制，對未安裝殺毒軟件、漏打補(bǔ)丁終端進(jìn)行隔離；5) 未注冊終端接入網(wǎng)絡(luò)后,隔離并被重定向到注冊界面。如HUB設(shè)備；而網(wǎng)關(guān)接入認(rèn)證，在限制外部終端對內(nèi)部終端訪問時存在安全防御的真空。5）可選配強(qiáng)制注冊網(wǎng)關(guān)（硬件）：，完成未注冊終端訪問網(wǎng)頁時進(jìn)行DNS重定向或HTTP重定向，以達(dá)到強(qiáng)制注冊目的。3）Radius認(rèn)證服務(wù)器：接收客戶端認(rèn)證請求信息數(shù)據(jù)包并進(jìn)行驗證。l 系統(tǒng)管理構(gòu)架北信源網(wǎng)絡(luò)接入控制管理系統(tǒng)由以下幾部分組成：1)策略服務(wù)器：系統(tǒng)策略管理中心，提供系統(tǒng)的參數(shù)配置和安全策略管理。2) 外部終端接入訪問限制；3) 外部終端接入身份認(rèn)證；4) 殺毒軟件檢測及訪問限制；5) 補(bǔ)丁自動檢測及訪問限制；6) 進(jìn)程、服務(wù)、注冊表信息檢測及訪問限制；7) 未達(dá)到預(yù)定義安全級別接入訪問限制。北信源網(wǎng)絡(luò)接入控制管理系統(tǒng)不需要對現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行改造便可進(jìn)行部署，具備簡單、方便、安全、易擴(kuò)展的特性。通過北信源網(wǎng)絡(luò)接入控制管理系統(tǒng)可以滿足企業(yè)對終端接入網(wǎng)絡(luò)的安全性要求，將終端接入控制覆蓋到企業(yè)網(wǎng)絡(luò)的每一個角落。產(chǎn) 品 簡 介一、準(zhǔn)入控制系列產(chǎn)品北信源網(wǎng)絡(luò)接入控制管理系統(tǒng)l 產(chǎn)品背景 北信源網(wǎng)絡(luò)接入控制管理系統(tǒng)能夠強(qiáng)制提升企業(yè)網(wǎng)絡(luò)終端的接入安全，確保企業(yè)網(wǎng)絡(luò)保護(hù)機(jī)制的連續(xù)性，實現(xiàn)企業(yè)網(wǎng)絡(luò)安全從質(zhì)到量的提升。同時，通過與北信源接入控制網(wǎng)關(guān)的聯(lián)動，還可以實現(xiàn)對遠(yuǎn)程接入企業(yè)內(nèi)部網(wǎng)絡(luò)的終端進(jìn)行身份唯一性及安全性認(rèn)證。同時，使得終端接入控制不再依賴于具體的網(wǎng)絡(luò)或通信設(shè)備，甚至是當(dāng)使用者拿著他們的移動設(shè)備離開企業(yè)網(wǎng)絡(luò)時，仍能有效執(zhí)行對終端下發(fā)的接入控制策略。l 系統(tǒng)功能描述1) 。l 系統(tǒng)功能特點1) 全面支持市場主流交換機(jī)；2) ；3) 可以與用戶現(xiàn)有AD域或LDAP進(jìn)行聯(lián)動認(rèn)證；4) 可以實現(xiàn)終端異地漫游的自動接管認(rèn)證；5) 可以實現(xiàn)終端認(rèn)證數(shù)據(jù)檢測，防止虛假第三方認(rèn)證。2）認(rèn)證客戶端：安裝在終端計算機(jī)，通過用戶名和密碼向認(rèn)證服務(wù)器發(fā)起認(rèn)證，實現(xiàn)正常工作區(qū)、訪客隔離區(qū)、安全修復(fù)區(qū)的自動切換。4）Radius認(rèn)證系統(tǒng) (交換機(jī)) ：（交換機(jī)），接收認(rèn)證客戶端的認(rèn)證請求數(shù)據(jù)包與Radius認(rèn)證服務(wù)器完成認(rèn)證過程。圖１　網(wǎng)絡(luò)接入訪問控制產(chǎn)品北信源虛擬隔離接入控制系統(tǒng)l 產(chǎn)品背景。針對如上問題，北信源虛擬隔離接入控制技術(shù)應(yīng)運而生，在不改變原有網(wǎng)絡(luò)結(jié)構(gòu)的同時，對新接入的網(wǎng)絡(luò)設(shè)備進(jìn)行有效管理。l 系統(tǒng)管理架構(gòu)北信源虛擬隔離接入控制系統(tǒng)由以下幾部分組成：1) 策略服務(wù)器（VRVEDP Server）：系統(tǒng)策略管理中心，提供系統(tǒng)的參數(shù)配置和安全策略管理。判定是否是注冊計算機(jī)，起到隔離阻斷的作用。使網(wǎng)絡(luò)管理員能在允許用戶進(jìn)入網(wǎng)絡(luò)前、訪問外部網(wǎng)絡(luò)前，對有線、無線和遠(yuǎn)程用戶進(jìn)行驗證、授權(quán)。l 系統(tǒng)管理構(gòu)架北信源接入認(rèn)證網(wǎng)關(guān)整體解決方案包括三個組件：北信源接入網(wǎng)關(guān)—根據(jù)終端注冊及策略情況提供訪問權(quán)限。區(qū)域管理器—管理服務(wù)器、檢查規(guī)則及策略，基于Web的中央控制臺。l 系統(tǒng)功能描述北信源接入認(rèn)證網(wǎng)關(guān)與北信源內(nèi)網(wǎng)安全管理系統(tǒng)結(jié)合可以完成網(wǎng)絡(luò)終端注冊和網(wǎng)絡(luò)訪問授權(quán)等工作，使得未注冊客戶端無法訪問受限網(wǎng)絡(luò)。該安全產(chǎn)品能夠：1) 對未注冊終端進(jìn)行訪問網(wǎng)絡(luò)權(quán)限控制，可進(jìn)行HTTP、DNS等重定向強(qiáng)制注冊。3) 對于終端設(shè)備網(wǎng)絡(luò)連接流量進(jìn)行控制。產(chǎn)品具有為所有運行環(huán)境執(zhí)行策略的獨特能力，無需其他獨立產(chǎn)品或模塊。管理員通過策略方便設(shè)定。l 集中管理基于Web管理控制臺為每個用戶定義所需的策略類型，一個區(qū)域管理器可以管理多個接入網(wǎng)關(guān)?？蛻裟軐⒃摦a(chǎn)品作為虛擬或?qū)嶋HIP網(wǎng)關(guān)，部署在邊緣或中央，提供第二層或第三層客戶端接入，或部署在DNS服務(wù)器前作為強(qiáng)制注冊用的DNS網(wǎng)關(guān)。補(bǔ)丁的安裝普遍會遇到以下的問題：l 普通用戶技術(shù)知識水平有限，造成了計算機(jī)系統(tǒng)漏洞經(jīng)常不能得到及時的修補(bǔ)，甚至長期不修補(bǔ)；l 網(wǎng)絡(luò)維護(hù)人員為每臺機(jī)器安裝補(bǔ)丁耗時巨大；l 物理隔離網(wǎng)絡(luò)用戶必須使用移動存儲設(shè)備從外網(wǎng)將補(bǔ)丁導(dǎo)入并安裝，麻煩且?guī)硇畔⑿孤┖筒《緜魅氲娘L(fēng)險；l 每個終端補(bǔ)丁安裝均從外網(wǎng)下載補(bǔ)丁造成網(wǎng)絡(luò)資源消耗過大；l 用戶隨意下載補(bǔ)丁導(dǎo)致補(bǔ)丁來源不