产品概述
本系统是以“木桶原理”为理论依据,以安全策略为驱动,按照PDR安全模型的“保护-检测-响应”工作流程循环检测,同时结合保密规定的“等级防护”指导方针,采用多种安全技术实现了对终端主机全方位、多层次的安全防护。按照“保护-检测-响应”的工作流程逐步完善终端安全防护策略,并将事件处理方式和处理流程登录到用户知识库,逐步形成内网事故应急响应流程和共享安全解决方案的知识库。
产品组成
客户端:安装在受保护的终端计算机上,实时监测客户端的用户行为和安全状态,实现客户端安全策略管理。一旦发现用户的违规行为或计算机的安全状态异常,系统及时向服务器发送告警信息,并执行预定义的应急响应策略。
服务器:安装在专业的数据服务器上,需要数据库的支持。通过安全认证建立与多个客户端系统的连接,实现客户端策略的存储和下发、日志的收集和存储。上下级服务器间基于HTTPS进行通信,实现组织结构、告警、日志统计信息等数据的搜集。
控制台:人机交互界面,是管理员实现对系统管理的工具。通过安全认证建立与服务器的信任连接,实现策略的制定下发以及数据的审计和管理。
产品功能
中软防水坝TM主机监控与审计系统主要分为五大功能模块,如下图所示:
具体每项功能特点简要描述如下:
终端安全管理:保证安全策略的合规性,保障终端的安全运行环境。它包括有安全策略管理、终端接入检查、终端出网许可、用户登录计算机的身份认证、网络进程访问控制、防病毒软件监测、系统补丁管理、安全操作管理等涉及主机安全管理、策略合规性管理的功能体系。
终端运维管理:监控远程终端的运行状况,管理内网的信息资产,为管理员的终端维护提供方便快捷的帮助。它包括有软件分发、资产管理、运行监控、远程管理、远程帮助等终端运行维护管理方面的功能体系。
用户行为管理:规范终端用户信息带出行为,防止企业敏感信息泄露。它包括有网络失泄密防护、存储介质泄密防护、打印机泄密防护、外设接口泄密防护等敏感信息失泄密防护方面的功能体系。
数据安全管理:从多个方面和多个层次实现对用户数据的安全管理。它包括:用户桌面安全保险箱,实现了终端用户对个人、小组等需要防护的数据的主动加密要求;安全文档管理,该功能利用透明加解密技术从底层实现了企业对某类型的敏感数据的强制加密要求,实现文档的透明加密和透明解密,不影响用户的操作习惯;可信移动存储介质管理,该功能帮助企业实现了移动介质数据的防护,实现了“外部的U盘进来使不了,里面的U盘出去不可用”。
终端接入管理:通过终端接入认证和非法主机扫描实现对接入网络的客户端进行认证,认证通过的可以连接网络,对通过其他非法途径进入网络的非法主机,通过扫描工具发现并告警。
系统管理与审计:集中统计、显示和分析各种受监控的用户行为日志、报警日志、主机状态日志、以及响应知识库的管理、系统角色和权限、用户的管理,同时为系统正常运行提供了相关参数设置。
产品特性
以安全策略为驱动,围绕“保护-检测-响应”的循环模式检测终端用户的安全策略合规性行为。从终端安全管理、终端运行维护、用户行为管理、数据安全管理、终端接入管理等六个方面多层次的保障企业内网计算机用户的安全。根据企业的规章制度、行业规定、计算机的风险等级和业务相关性原则为不同类型的计算机用户制定不同的等级防护策略,从而形成统一的安全策略管理。根据计算机用户的监测日志进行全面统一的日志审计,生成企业风险管理的数据报表。按照“应急响应-知识查询-问题排除-知识库修复”的操作流程不断丰富应急响应知识库,为全面管理计算机用户提供理论支撑和实践经验。
避免因集中权限而增加系统管理威胁,我们采用分权的管理员管理模式。管理员可以划分为:系统管理员、系统操作员、系统审计员和安全官,每种管理员的管理权限可根据用户的实际需要进行自定义。同时为了增强系统数据的安全性,我们对管理员的管理范围进行划分,即:一个系统可以有多个系统操作员,每个操作员的管理范围都不一样的。基于角色的分级分权管理使不同角色的管理员权限分离,各司其职,加强了系统的安全性。
对终端用户的安全策略进行统一管理,根据不同的用户状态执行不同的安全策略,支持策略模板和策略集的定义与应用,支持群组管理与群组策略的下发。策略的灵活管理满足了在线用户、离线用户和笔记本出差用户的使用,满足大规模部署和群组策略的集中管理,在最大限度范围内保证了终端用户的安全和简化了系统的管理。
按照保密规定的“等级防护”指导方针,将终端系统的告警事件划分为不同级别的风险等级,目前支持五个等级的风险自定义,根据告警事件的统计结果,生成不同等级风险的数据报表,实现了风险的量化管理。
根据计算机用户所产生的日志信息,形成多种类型的统计报表。按照多个事件类型的查询条件形成交叉的统计报表。支持日志信息的关联查询,形成数据的关联报表,根据数据关联的查询结果可以查找出关键数据的变化轨迹。支持多样化的日志查询条件和过滤条件,便于管理人员进行详细的日志分析。支持策略统计分析。提供灵活详细的统计报表,可输出为EXCEL、WORD、HTML等多种格式的分析报表以及根据统计数据生成柱状图和饼图。
按照“保护—监测—响应”循环的工作模式,动态调整安全防护策略、更新应急响应知识库,为管理员应急响应提供完备的技术参考方案。
系统采用插件工作模式,动态装载各功能模块。一方面是在系统变更安全策略时,能够动态加载或者卸载功能模块,从而减少对系统资源(如:内存、CPU等)的占用。另一个方面为了使第三方组件不受系统开发环境的限制,系统采用ATL与COM技术,为与第三方软件的结合提供完善的接口支持。
系统安装方便快捷,支持AD域同步,用户自由注册,客户端支持MSI安装,实现快速部署。用户注册灵活方便,支持管理员预置与硬件KEY相结合的工作模式。系统升级方便,既支持在线自动升级和客户端主动检查更新,又支持离线的本地升级包升级。客户端代理程序既支持离线本地卸载,也支持在线远程卸载。提供远程客户端代理程序的故障诊断与恢复功能,实时监测客户端代理活动状况并形成代理活动状况统计报表。