北信源u盘管理办法(共4篇)
篇1:北信源u盘管理办法
北信源安全U盘: ·系统功能描述
1)遵循标准USB设备的使用流程,所有安全功能对用户透明; 2)采用专用控制模块防止U盘介质非授权格式化;
3)结合北信源移动存储介质使用管理系统,可实现多种方式的接入控制,具体详见移动存储介质使用管理系统相关介绍;
4)从原理上杜绝病毒自动传播(无法利用操作系统直接对U盘存储区文件进行读写),防止病毒拷入U盘导致病毒传播; 5)支持基于角色的细粒度强访问控制机制,采用可定制的数据访问和审计策略,提供数据的多级多域安全防护;
6)采用安全容器技术,实现信息的存储和传输安全,保证信息内容本身的应用审计安全;
7)可对信息的分发路径进行全程跟踪,结合自主采集的多维主机指纹采集技术,从而对通过U盘的数据交换行为进行全方位的细粒度审计; 8)审计信息记录在U盘本地的审计区,以供分析;
9)支持设备和主机的双向认证,防止主观和客观的数据非法访问; 10)一体化管理平台,便于U盘集中分发和管理。
·加密
1)加密算法:标准版本采用AES(256bit)高强度对称加密算法,根据需要也可支持用户定制的加密算法和芯片,支持多种加密模式;
2)TTDS:采用扇区映射方式进行二级抽象,完全打乱文件的存储位置,防止结构性破解。
软件+U盘控制方法:
三、介质管理系列
产品
1、北信源移动存储介质使用管理系统 移动存储介质数据交换引发的安全问题
移动存储介质,如U盘、移动硬盘等,因其体积小、容量大等优点,已得到广泛应用。作为数据交换的主要手段之一,移动存储介质正成为数据和信息的重要载体,但是我们也应该看到,移动存储设备在给我们带来极大方便的同时,也给我们带来了不少的安全隐患,主要如下:
1.涉密计算机接入非涉密移动存储设备; 2.非涉密计算机使用涉密移动存储设备; 3.移动存储介质的数据交互审计; 4.外来移动存储介质随意接入问题; 5.移动存储介质丢失导致信息泄漏;
6.移动存储介质的使用信息无法追踪审计问题; 7.移动存储介质接入区域限制和控制问题; 8.病毒、恶意代码通过移动存储介质传播问题。
技术特点及应用
1、分级权限控制
通过对移动存储介质写入两种不同控制权限及功能的标签,来实现分级权限的控制,并对指定范围内的终端授权,通过策略与标签的配合来实现对移动存储介质的控制。注,对移动存储介质格式化无法去除标签。
普通标签:写入普通标签后,在管理区域内根据策略的设置,来限制移动存储介质的读、写功能;如果在管理区域外使用移动存储介质认证,则不限制移动存储介质认证读、写功能。
加密标签:写入加密标签后将普通移动存储介质(U盘、移动硬盘等)分为二个可控制的区域:交换区、保密区。涉密网络可只生成保密区。交换区和保密区启动均需输入独立的密码,数据在二个区存储时均以加密方式存储,这两个区的具体应用如下:
(1)在涉密网络中或高要求的办公网络中,可只生成保密区一个区。该保密区只能在有对应安全策略的主机上通过认证标签后、同时输入正确密码才能访问,同时有安全策略的主机可以根据策略控制未经标签认证的移动存储介质的使用。
(2)在普通办公网络中,可生成交换区、保密区二个区。保密区的使用方法,可与上述涉密网络或高要求的办公网络相同。交换区的使用方法,可以根据用户需要,在内部网络中通过策略限制使用方式,交换区在外网使用时同样要输入密码方可使用,保密区在外网不可见。
2、审计功能完善
1)提供移动存储介质上所有文件操作的详细记录
包括文件的创建、复制、删除、读写和重命名等操作,具体包括文件名、审计描述、时间、用户名、计算机IP地址和其他必要的信息。
2)提供移动存储介质的插入和拔出动作的详细记录
具体包括事件类型、移动存储介质的名称、用户、计算机IP地址、事件时间等。
系统功能描述
1.移动存储设备(分设备、网段等)接入认证管理,保障指定设备读写指定移动存储设备的访问控制管理; 2.移动存储介质数据读写控制管理; 3.移动存储介质标签认证管理;
4.移动存储介质分区(交换区和保密区)管理;
5.移动存储介质的加密管理,防止保密区的敏感信息外泄; 6.移动存储介质接入行为审计;
7.移动存储介质数据交换行为审计管理,可针对文件后缀名等条件; 8.提供详细的文件操作详细审计记录:包括文件的创建、复制、删除、修改和重命名等操作,(包括文件名、审计描述、时间、用户名、计算机IP地址和其他必要的信息);
9.提供详细的移动存储设备的插入和拔出动作的详细记录,具体包括事件类型、移动存储介质的名称、用户、计算机IP地址和事件时间。
系统管理构架
北信源移动存储介质管理系统和其它系统均采用相同的管理构架,由服务端制订统一的策略,分发给客户端执行。系统有USB标签制作工具,通过对移动存储介质制作标签可以实现对移动存储介质中的数据进行保护和加密,对移动存储介质进行使用范围授权,访问控制等综合的管理。移动存储介质使用管理系统可以将整个移动存储介质划分成交换区和保密区两部分,保护区需要通过密码认证才可以访问。系统具体使用管理构架如下:
1、系统服务器端:系统管理中心基于web页面管理方式,管理员登陆和配置后系统才能运行。能够自动发现网络中的终端计算机,并检测终端计算机是否安装系统客户端程序,管理中心内置移动存储管理策略中心和报警中心,提供对网络终端的分组管理设置。
2、系统客户端:安装在终端计算机,接收系统管理中心分发的策略,根据接受策略实时监控接入终端计算机移动存储设备的操作行为和状态,并进行管理或者控制;系统客户端注册以后,即使离开所在网络或不处于任务网络中,仍实时受到移动存储管理策略控制,日志记录于本地,一经连接回网络,则自动上报日志信息给服务器。
3、专用移动存储设备注册工具:移动存储介质经过网管人员注册(包括打标签、设置访问密码)工具认证后,该移动存储介质才能在网络中使用。使用者在使用时必须输入使用密码后才能使用。
系统以数据为中心,用户作为数据的使用者,主机作为数据的存储者,移动存储介质作为数据的迁移者,在系统范围内均赋予唯一的标识,三者进行相互认证。只有经认证和授权成功后,才保证合法的用户在合法的机器上访问合法移动存储介质上的数据,并形成详尽的日志供审计。产品
2、北信源安全U盘系统
系统功能描述
1)遵循标准USB设备的使用流程,所有安全功能对用户透明; 2)采用专用控制模块防止U盘介质非授权格式化;
3)结合北信源移动存储介质使用管理系统,可实现多种方式的接入控制,具体详见移动存储介质使用管理系统相关介绍;
4)从原理上杜绝病毒自动传播(无法利用操作系统直接对U盘存储区文件进行读写),防止病毒拷入U盘导致病毒传播;
5)支持基于角色的细粒度强访问控制机制,采用可定制的数据访问和审计策略,提供数据的多级多域安全防护;
6)采用安全容器技术,实现信息的存储和传输安全,保证信息内容本身的应用审计安全;
7)可对信息的分发路径进行全程跟踪,结合自主采集的多维主机指纹采集技术,从而对通过U盘的数据交换行为进行全方位的细粒度审计;
8)审计信息记录在U盘本地的审计区,以供分析;
9)支持设备和主机的双向认证,防止主观和客观的数据非法访问; 10)一体化管理平台,便于U盘集中分发和管理。加密
1)加密算法:标准版本采用AES(256bit)高强度对称加密算法,根据需要也可支持用户定制的加密算法和芯片,支持多种加密模式;
2)TTDS:采用扇区映射方式进行二级抽象,完全打乱文件的存储位置,防止结构性破解。
产品
3、北信源光盘刻录监控与审计系统 产品概述
北信源光盘刻录监控与审计系统完全贯彻和落实国家保密局BMB17文件思想,实现对刻录的全面控制。系统采用三权分立原则,集权限控制、数据刻录控制、安全光盘读取和日志审计于一身,方便、有效的控制内网敏感信息通过CD/DVD盘片进行的数据交换。
系统功能描述
1.权限控制
1)未授权用户无法使用刻录软件刻录数据;
2)针对不同用户可授权为:禁止刻录、对指定格式的文件设定刻录权限、关键字过滤功能保障敏感文件无法刻录、刻录次数限定,可根据工作日及时间段授权刻录、并可设定刻录许可码。2.数据刻录控制
只有使用北信源专用刻录软件刻录普通光盘或者特殊格式的安全光盘,其他刻录软件无法刻录。3.特殊格式安全光盘读取
1)经过加密刻录的光盘,使用时需要通过专用解密工具输入加密时设置的密码才可解密,解密后文档可正常读取;
2)北信源专用刻录软件刻录的普通光盘在任何光驱上都能被正常读取。4.安全审计
1)刻录行为的审计,包括:刻录计算机IP、MAC、刻录时间、源文件绝对路径、目的文件绝对路径等信息;2)客户端系统配置变化审计;3)灵活过滤条件查看日志;日志、统计报表提供WORD及EXCEL等格式的输出。
产品
4、北信源存储介质信息消除工具
产品概述
北信源公司本着“安全、便捷、可靠”的设计理念,针对用户当前存在的数据外泄问题,通过合理的方式对计算机介质(包括磁带、磁盘、打印结果和文档)进行信息消除或销毁处理,防止介质内的敏感信息泄露。
本系统能够保证存储在主机上的重要数据的安全,通过反复对文件磁道的改写和重写,对主机上需要删除的数据文件进行不可恢复的彻底粉碎,最终达到完全粉碎的目的。
系统功能描述
本系统采用数据防护算法和硬件验证技术,避免了存储数据的非法存取和意外泄漏,具有以下功能:
1)文件粉碎:可对单个文件(文件夹)及多个文件(文件夹)进行彻底粉碎。
2)分区粉碎:可对主机中所选择的分区进行不可恢复的彻底粉碎。3)磁盘粉碎:可对主机中所选择的磁盘进行不可恢复的彻底粉碎。同时,针对用户需求,本系统还具有以下特点: 1)易用性:本系统界面友好易懂、操作简单。
2)安全性:被粉碎的文件不可恢复,层与层之间传递的是命令,而不是数据,不会引起数据泄露。
3)防恢复:粉碎过的数据经反复擦除重写不会在硬盘上留下任何痕迹。
系统管理构架
系统分为用户软件层和核心层: 用户软件层,主要是给用户提供一个操作环境,用户可以在该操作环境下进行文件粉碎的表层工作。
核心层主要是继承用户软件层的接口,进行文件粉碎的核心操作。
篇2:北信源u盘管理办法
产品白皮书
北京北信源软件股份有限公司
2010年4月
北信源内网安全管理系统产品白皮书
版权声明
本手册的所有内容,其版权属于北京北信源软件股份有限公司(以下简称北信源公司)所有,未经北信源许可,任何人不得仿制、拷贝、转译或任意引用。本手册没有任何形式的担保、立场倾向或其他暗示。
商标声明
本手册中所谈及的产品名称仅做识别之用,而这些名称可能属于其他公司的注册商标或是版权,其他提到的商标,均属各该商标注册人所有,恕不逐一列明。
产品声明
本手册中提到的产品功能或性能可能因产品具体型号、配备环境、配置方法不同而有所差异,由此可能产生的差异为正常现象,相关问题请咨询北信源公司技术服务人员。
免责声明
若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失,北信源公司及其员工均不承担任何责任。
北信源内网安全管理系统产品白皮书
目录
1.引言...........................................................................................................4 2.产品背景....................................................................................................5 3.产品架构....................................................................................................6
3.1管理构架.............................................................................................................................6
3.1.1局域网构架..............................................................................................................6 3.1.2广域网构架..............................................................................................................8 3.2统一策略管理.....................................................................................................................8 3.3自身安全设计.....................................................................................................................9
4.产品功能..................................................................................................11
4.1终端基本管理功能...........................................................................................................11 4.2 IT资产管理功能..............................................................................................................13 4.3终端桌面管理功能...........................................................................................................15 4.4终端安全管理功能...........................................................................................................22 4.5主机运维管理功能...........................................................................................................26 4.6非法外联管理功能...........................................................................................................30 4.7补丁分发管理(可选)...................................................................................................31 4.8文件分发管理(可选)...................................................................................................37 4.9安全监控审计功能...........................................................................................................39 4.10报表管理功能.................................................................................................................43 4.11事件报警管理.................................................................................................................45 4.12第三方接口管理.............................................................................................................46
5.产品运行配置...........................................................................................46
5.1硬件配置...........................................................................................................................46 5.2软件配置...........................................................................................................................47
6.关于北信源...............................................................................................48
6.1.6.2.公司简介.....................................................................................................................48 联系方式.....................................................................................................................49
北信源内网安全管理系统产品白皮书
1.引言
终端桌面安全管理技术的兴起是伴随着网络管理事务密集度的增加、网络管理技术的逐步发展而衍生的,它同传统安全防御体系的缺陷相关联,是传统网络安全防范体系的补充,也是未来网络安全防范体系重要的组成部分。因此,终端桌面安全管理技术无论在现在还是未来都应当归入基础体系网络安全产品之列。
现代网络安全管理体系的日臻完善,使得对网络终端桌面安全管理的需求强烈凸现出来。正确、全面地认识终端管理产品的发展趋势和技术特点,是IT研发厂商面临的发展抉择,同时也是企、事业IT管理人员和高层决策人员在进行终端桌面安全防护部署时必须考虑的议题。
近两年的安全防御调查也表明,政府、企业以及金融证券等单位中超过80%的管理和安全问题来自终端,计算机终端广泛涉及每个用户,由于其分散、不被重视、安全手段缺乏的特点,已使得终端安全成为信息安全体系的薄弱环节。因此,网络安全呈现出了新的发展趋势,对于各政府企业网络来说,安全战场已经逐步由核心与主干的防护,转向网络内部的每一个终端。
北信源内网安全管理系统产品白皮书
2.产品背景
提起网络安全,人们自然就会想到网络边界安全,但实际情况是网络的大部分安全风险均来自于内部。常规安全防御理念往往局限在网关级别、网络边界(防火墙、IDS、漏洞扫描)等方面,重要的安全设施大致集中于机房或网络入口处,在这些设备的严密监控下,来自网络外部的安全威胁大大减小。相反,来自网络内部计算机终端的安全威胁却是众多安全管理人员所普遍面临的棘手问题。
总结起来,政府机关和企业单位的内部网络管理大致面临着以下一些常见问题:
如何发现终端设备的系统漏洞并自动分发补丁; 如何有效解决移动存储介质使用管理问题; 如何有效解决终端随意接入网络问题; 如何防范内网设备非法外联; 如何管理终端资产,保障网络设备正常运行; 如何在全网制订统一的安全策略; 如何及时发现网络中占用带宽最大的终端; 如何方便地进行远程点对点维护; 如何防范内部敏感信息的泄露; 如何对原有终端应用软件进行统一监控、管理; 如何快速有效地定位网络中病毒、蠕虫、黑客的引入点,及时、准确地切断安全事件发生点和网络; 如何构架功能强大的统一网络安全报警处置平台,进行安全事件响应和事件查询,全面管理网络资源。
这些终端安全隐患随时随地都可能威胁到用户网络的正常运行。针对如上系列问题北信源公司提供领先业界的内网安全管理产品及解决方案。
北信源内网安全管理系统产品白皮书
3.产品架构
北信源内网安全管理系统遵循网络防护和端点防护并重理念,对网络安全管理人员在网络管理、终端管理过程中所面临的种种问题提供解决方案,实现内部网络终端的可控管理,并能够支持多级级联广域网构架,达到最佳的管理效果。
北信源内网安全管理系统强化了对网络计算机终端状态、行为以及事件的管理,它提供了防火墙、IDS、防病毒系统、专业网管软件所不能提供的防护功能,对它们管理的盲区进行监控,扩展成为一个实时的可控内网管理平台,并能够同其它安全设备进行安全集成和报警联动。
北信源内网安全管理系统可分为五个软件功能包,全方位地为网络用户提供安全管理功能。这五个软件包具体为:基本产品包、终端桌面管理产品包、终端安全管理产品包、网络主机运维产品包、非法外联管理产品包。
3.1管理构架 3.1.1局域网构架
对于一般网络(例如1个C类地址或若干个C类地址的局域网范围),可使用一套本系统软件,集中管理所属区域内的所有设备。
本系统在网络中安装数据库,用于存储网络客户端设备信息。当上述系统数据库、网页管理平台、区域管理器安装完毕后,即可对网络中客户端进行注册。用户在取得注册程序,执行后添加计算机使用信息,如使用人姓名、单位、联系方式等,注册程序自动采集系统的硬件设备信息,经过区域管理器处理后存入数据库,同时区域管理器将代理驻留程序发送到计算机终端,实时运行。通过探头、区域扫描器等对计算机的网络连接行为实施探测,根据需要发送本机缺少的相关系统补丁、安全策略、命令或文件等,在遇到数据库中定义的非法行为时实施阻断。
系统正常运行后,主要通过网页WEB管理平台来对整个计算机设备信息系统
北信源内网安全管理系统产品白皮书
进行配置管理,在网络内设置区域管理器、扫描器IP地址。对于一般网络(如1个C类地址或若干个C类地址的局域网范围)适用一套本系统,集中管理所属区域内的设备。对于大规模的多个局域网或者跨地域的广域网,提供多区域集中管理模式,即下级管理系统可将本级所有设备信息再传递给上级管理数据库,使得上一级管理人员对整个网络的设备状况能够完全掌握。
设备管理信息系统的配置,要根据网络客户端规模、网络管理实际情况来选择。可以在网络中安装多个区域管理器,区域管理器只负责一定范围内的客户端,对于该范围以外的客户端,不予以处理;每个区域管理器下属多个扫描器,提供对本区域网络的分段扫描,及时检查该网络客户端注册情况。
Internet补丁下载服务器物理隔离中央管理配置平台数据交换指令下达数据交换补丁增量导入管理信息库补丁分析模块指令、策略获取状态、数据上报补丁获取区域扫描器指令下达数据交换区域管理器A.注册B.验证C.管理D.补丁获取级联A.扫描发现B.阻断违规客户端(安装客户端程序)系统逻辑图
下级区域管理器7
北信源内网安全管理系统产品白皮书
3.1.2广域网构架
对于大规模的多个局域网或者跨地域广域网(包括基于国家、省、市、县等多级管理模式的网络结构),可使用本系统提供的多区域级联集中管理构架,即一个或多个网段各拥有一套独立的北信源内网安全管理系统的同时,将本级的统计和报警信息转发给上级管理系统,上一级管理人员对整个网络的状况也能够完全掌握。
多级级联集中管理构架
3.2统一策略管理
北信源内网安全管理系统采用统一策略管理中心实现对内部网络终端的统一安全管理。策略管理中心内置终端安全防护需要的所有安全管理参数,提供对计算机终端的安全规则配置、安全功能策略开启/关闭、安全策略执行范围/周期设定等一系列安全措施的管理。
北信源内网安全管理系统内置安全策略分为全局策略、本地策略、备份策略三种,管理员通过属性设置决定其类型。
北信源内网安全管理系统产品白皮书
统一策略管理图
3.3自身安全设计
1.分级管理:系统支持对管理员分级管理,实现不同管理员管理不同内容,可分为授权、管理和审计等多种角色划分,具有安全性高、可靠性强的特点,适合集中授权、多角色参与监控的管理模式。
2.通信保护:系统的组件间通信时,数据传输是经过加密的,客户端和服务器端相互通信使用双向认证机制,防止已安装同类客户端的非本网络计算机非法进入网络,同时也防止模拟的假客户端和服务器进行通信。
3.客户端软件强保护机制:系统的客户端系统具有自我防护机制,防止用户随意停止、卸载。
4.服务器安全设计:服务器系统具备保护服务器功能。保证管理系统服务器端使用的安全性,保证其受到恶意修改IP地址的方式攻击时仍可正常工作,网络中出现恶意修改成与管理服务器相同属性(如相同的IP地址、相同的MAC地址等)的机器时,出现IP地址或MAC地址冲突等现象时,管理服务器将不会
北信源内网安全管理系统产品白皮书
被阻断出网(即不会出现地址冲突的现象),只有发起恶意攻击的设备才会被自动阻断,不会影响管理服务器的正常管理。
5.提供系统审计员、系统管理员、系统操作员三权分立的权限管理体系。6.系统日志:系统提供运行审计和操作审计机制,保证系统的稳定运行。
北信源内网安全管理系统产品白皮书
4.产品功能
4.1终端基本管理功能
1.终端注册管理
系统采用C/S和B/S模式混合管理方式,在被管理的桌面计算机上安装VRVEDP客户端程序。在安装客户端程序需要填写当前计算机使用人的个人相关信息,如使用人、单位、部门、联系电话、邮件、所在地、计算机类型等,进行实名化的管理便于快速定位,无论是违规,还是网络安全事件发生时都可以快速定位到事件源。
个人信息填写
填写的个人相关信息会上报到服务器,保存在后台数据库里,供前台管理平台查询。
系统注册信息填写页可以由用户自己自由选择设定,可以设定显示的注册内容项、标题项、是否启用、是否必填、是否为选择性填充等,并可以设定扩充选项,提供给不用需求的用户进行选择性注册管理。
北信源内网安全管理系统产品白皮书
用户填写项自由设定页面
2.IP和MAC绑定管理
对固定IP网络的MAC和IP地址进行绑定管理,系统探测到IP变化后根据策略设置恢复其原有IP地址,或者阻断其联网,同时禁止修改网关、禁用冗余网卡。
3.禁止修改网关、禁用冗余网卡管理
系统支持禁止修改网关、禁用冗余网卡等功能。4.未注册终端拒绝入网管理(软阻断技术)
系统采取对未注册终端Arp阻断管理:对于接入网络未注册终端进行Arp
北信源内网安全管理系统产品白皮书
阻断,禁止其联网。
4.2 IT资产管理功能
1.硬件资产管理
自动搜集包括CPU、内存、硬盘分区总和、设备标识的大小和其他详细信息以及其他如主板、光驱、软驱、显卡、键盘、鼠标、监视器、红外设备、键盘等所有的硬件信息。
网管可自主添加相关的附加信息。
2.软件资产管理
自动发现识别客户端安装的所有软件信息(名称、版本、安装时间、发现时间等),将相关数据入库,检测客户端运行软件信息,供管理员在Web控制台查询。
北信源内网安全管理系统产品白皮书
软件资源统一监控:自动收集安装在每台计算机上的每种应用程序信息,包括安装的操作系统种类、版本号以及当前补丁情况、客户机安装的软件等信息和驱动程序情况,并进行汇总管理。
系统能够及时检测主机软件信息变化情况。
根据条件查询客户机安装的软件或指定软件被哪些客户端安装等信息。3.软、硬件设备信息变更管理
报警未注册设备、注册程序卸载行为,实时检测硬件设备变化情况(如设备硬件变化、网络地址更改、USB设备接入等)。
北信源内网安全管理系统产品白皮书
4.3终端桌面管理功能
1.进程运行黑白名单控制
对进程执行进行黑白名单控制,即根据策略设定禁止执行的进程和必须执行的进程。对违规的客户端进行客户端提示和断网处理等相应措施。
2.进程保护管理
对重要的进程进行守护,防止由于意外或人为原因造成重要进程中断。
北信源内网安全管理系统产品白皮书
3.进程执行汇总
统一汇总和监视网络各终端的进程,可以增量式的显示网络中新出现的进程,也可统计网络中最常运行的进程,从而统计出网络客户端软件的使用情况。此系统可对网络中出现的异常进程(很可能病毒进程)进行定位和报警,在必要时可直接阻断。
4.终端服务管理
查询当前终端运行的服务,可以远程关闭或开启服务。
5.软件黑白名单控制
对软件安装进行黑白名单控制,即根据策略设定禁止安装的软件和必须安装的软件。违规软件禁止安装功能,禁止在注册表Run项里添加自启动项,禁止在注册表Services项里添加自启动项,禁止在程序启动项中添加项,禁止在程序项中添加快捷方式限制违规软件的安装,所有安装软件均可进行审计。
北信源内网安全管理系统产品白皮书
6.软件安装汇总
系统能够对所安装的软件进行统计汇总,并能将汇总情况统计生成报表,支持多种报表导出方式。
7.终端消息推送
可精确地对选定的对象或个人进行消息传送,而不依赖于Windows自身的信使服务功能,系统还提供多种策略模式传送消息。
北信源内网安全管理系统产品白皮书
8.远程协助
当客户端用户以及服务器用户在使用计算机时遇到难以解决的问题,可以通过访问特定网页式,主动向多个网管工作台(可自主选择的)进行并发协助请求呼叫,呼叫网管对其进行远程协助。当管理员接收到客户端的请求可以后,调用远程客户端的桌面,帮助客户端用户解决相应的问题。
呼叫中心示意图
管理员是否接受请求示意图
管理员接收请求后,系统将自动调用远程计算机的桌面,就如同管理员亲自到现场,进行软件安装、软件调试、系统维护、打印机安装等工作,省去管理员 来回现场和办公室之间的时间,提高了系统维护的效率和管理员的工作效率。
北信源内网安全管理系统产品白皮书
9.外设及端口控制
系统可以设置受控主机允许或禁止使用USB设备、串口、并口、软驱、光驱、红外设备、蓝牙设备、网络设备(无线网卡、网卡、PCMCIA)、1394接口、打印设备。系统采用硬件设备驱动级的禁用方式实现对上述设备的禁用。
10.垃圾文件清理
管理员可在Web控制台对终端用户某一文件夹下或全盘某些后缀的垃圾文件或临时文件进行集中清理。
目前的系统临时文件众多,而绝大部分业务用户均不会手动清除大量的临时文件,这样会占用大量的硬盘资源,因此需要靠第三方系统主动的对其加以清理。
系统可协助用户维护(指定目录下的)临时文件、备份文件、帮助的历史文件、IE临时文件、安装临时文件、异常临时文件等各种应删除的文件。
北信源内网安全管理系统产品白皮书
11.终端点对点管理
系统管理员可通过系统以点对点的方式对客户端进行详细的监控审计,具体包括以下内容:
(1)硬件资产清单:自动搜集包括CPU、内存、硬盘分区总和、设备标识的大小和其他详细信息以及其他如主板、光驱、软驱、显卡、键盘、鼠标、监视器、红外设备、键盘等所有的硬件信息;网管可自主添加相关的附加信息。(2)安装软件查询:查询设备所有安装的软件。
(3)终端进程管理:查询当前终端所有运行的进程,并可通过系统关闭非系统进程。
(4)终端服务管理:查询当前终端运行的服务,可以远程关闭或开启服务。(5)终端流量查询:包括当前与网络连接的进程及其流量的统计。(6)系统运行资源查看:具体包括:CPU频率和使用率、内存大小和使用率、系统各硬盘分区大小和使用情况。
(7)补丁查询:查看系统漏打的补丁。
(8)日志查询:查看终端的系统日志、安全日志和应用程序日志。(9)终端安全审计:查看用户的登录、历史记录、下载信息等各种信息。(10)消息通知:向用户发送消息,并可要求用户进行消息回馈。(11)远程运行进程:可远程加载进程。(12)共享目录检查:检查当前终端的共享目录。
北信源内网安全管理系统产品白皮书
(13)修改网络配置:可查看网络终端的IP、MAC、子网掩码和网关信息,并可远程修改用户的IP地址。(14)远程卸载客户端程序。
(15)远程断开/恢复网络终端的网络。(16)远程重新启动计算机。
12.系统自动关机管理
北信源内网安全管理系统产品白皮书
对客户端关机时间的设定,实现自动关机,并可以在发现计算机空闲时间过长时锁屏或关机。
13.终端时间同步管理
所有客户端时间的同步,防止擅自修改系统时间。
4.4终端安全管理功能
1.桌面密码权限管理
对终端的密码管理权限变化及使用状况(包括密码长度、安全性、弱口令等方面)进行审计检查及报警,同时对不符合要求的终端进行提示或强制修改等处置,达到防止病毒及黑客入侵的目的。
北信源内网安全管理系统产品白皮书
2.终端统一防火墙
管理员在Web控制台对终端进行统一的防火墙设置,对网络IP及协议访问进行限制,在网络内建立虚拟的终端隔离区。
另外对于大型网络,网络客户端由于用户使用水平的差别,会出现用户卸载甚至退出统一安装的防病毒软件的情况,也会出现有个别用户被遗漏,未安装防病毒软件的情况。
管理员可利用Web控制台对终端所安装的杀毒软件情况进行监控和管理,并能够对终端杀毒软件实施远程操作(病毒查杀、升级、软件安装等)。还可统一监控网络内的防病毒软件(国内主流厂商的均可)安装情况和使用状态,了解网络中的病毒软件安装状况,必要时可通过此系统强制为客户端安装防病毒程序,如果需要,此系统也可监控终端软件的安装情况,并进行相应的管理(如安装杀毒软件软件,强行升级病毒库、自动分发并自动执行病毒专杀工具等)。
北信源内网安全管理系统产品白皮书
3.终端杀毒软件管理
可统一审计网络内终端的防病毒软件(主流厂商的均可)安装和使用情况,必要时可强制为客户端安装防病毒程序。如果需要,也可监控终端防病毒软件的安装情况,并进行相应的管理(如安装杀毒软件软件,强行升级病毒库、自动分发并自动执行病毒专杀工具等)。
北信源内网安全管理系统产品白皮书
4.注册表监控/保护
系统提供注册表检查功能,对于病毒行为修改的注册表,可以通过强制注册表策略对其进行操作,可以自动创建、删除、修改相应的注册表键值,实现注册表安全管理。
系统可屏蔽选定用户计算机的一些程序进程对注册表的使用,通过该策略可以有效的防止违规进程对用户注册表的破坏。
北信源内网安全管理系统产品白皮书
5.终端在线/离线策略管理
系统可以针对不同的网络接入情况,设定终端的在线、离线策略。当终端处于不同的网络中,可以实现不同的执行策略。
4.5主机运维管理功能
1.运行资源监控
在Web控制台对终端的CPU、内存、硬盘的资源占用率和剩余空间进行监控,设定危险等级报警阀门。
北信源内网安全管理系统产品白皮书
2.流量管理和控制
蠕虫病毒和BT下载等行为在很多情况下会严重占用网络带宽,造成网络的拥塞甚至瘫痪,对此可利用本系统进行流量的管理与监控。主要功能:
流量采样阈值设定:用户自主设定采样阈值,当流量(含出、入或总流量)超过一定限度并持续一定时间后,进行有关信息上报,防止上报数据过多给网络带来负担。
上报的当前流量进行汇总,对当前的流量进行时实排序,以便网络管理人员进行快速分析是否是网络安全事故。
对网络客户端的历史流量进行统计和排序,并可生成报表。 对并发连接数设定阈值并进行采样。 对网络扫描的可疑行为进行阈值设定和报警。 对客户端大量发包的可疑行为进行阈值设定和报警。
对具备可疑行为的客户端进行报警上报、自动阻断、客户端提示等管理。 设定网络客户端流量上限阈值,对超过的进行报警上报、自动阻断、客户端提示等管理。
北信源内网安全管理系统产品白皮书
3.流量异常监控
在Web控制台对终端的网络流入、流出和总流量进行监控和管理。并能够对产生总流量过大、分时段瞬时流量过大的进程进行统计,辅助分析产生流量过大的原因。
4.进程异常监控
在Web控制台对终端未响应窗口进行监控并结束或重启该进程,对意外退出的进程进行监控和保护。
北信源内网安全管理系统产品白皮书
5.客户端文件备份
针对终端计算机进行数据实时备份,将本机计算机目录文件数据实时或定时备份到数据服务器或其它计算机上存储。针对局域网服务器数据存储等提供安全数据同步备份解决方案。
北信源内网安全管理系统产品白皮书
4.6非法外联管理功能
1.网络内部终端非法外联互联网行为监控
终端非法外联互联网行为监控:对于已注册的设备,通过不同方式(如双网卡、代理等)连接互联网进行的通讯,系统能够自动阻断其连接行为并报警。
2.网络内部终端非法接入其它网络行为监控
对于已注册的设备,监控其网络连接行为,根据接入网络环境因素判定其是否非法接入其它网络(同上图)。
3.离网终端非法外联互联网行为监控
对于已经注册的计算机,非法带出到另外一个网络的行为进行监控,发现有外联互联网行为时可以采取警告、阻断、自动关机等操作(同上图)。
4.非法外联行为告警和网络锁定
如果终端非法入网,可以在报警平台和报警查询处获知信息,并且可以对终端提示信息,自动关机,阻断联网等处理(同上图)。
5.非法外联行为取证
对于非法外联行为进行实时告警功能,同时记录该行为发生的事件、IP地址、MAC地址、使用人等相关信息上报到服务器进行记录取证。
北信源内网安全管理系统产品白皮书
4.7补丁分发管理(可选)
系统功能概述
北信源补丁分发管理系统是北信源公司在为国家各大部委机关、各大行业网络用户进行病毒安全服务、总结安全运营保障经验的基础上,分析当前网络客户端实际安全管理要求研发的,系统支持推、拉两种方式自动下载补丁。整个补丁管理运行平台构架是:通过北信源外网补丁下载服务器及时从补丁厂商网站获取最新补丁;补丁安全测试后,通过补丁分发管理中心服务器对网络用户进行分发安装;补丁安装支持自动和手动两种方式。
......北信源补丁管理中心(二级)级联同步补丁增量导入北信源补丁管理中心(二级)级联同步北信源补丁中心(一级)补丁库分类补丁测试策略控制推拉分发控制流量控制补丁分发检索多级级联控制客户补丁查询动态下载转发代理自动测试组(真实环境)客户端 补丁自动识别客户端策略报表中心补丁监控功能
系统可监控管理网络补丁状况,其具体功能如下: 1.补丁索引的适应和扩展性
内网安全管理系统具有良好的兼容性,支持主流操作系统,如Windows2003、Windows2000 Pro、Windows 2000 Server、Windows Pro、Windows XP home、Windows、Windwos9X等。
因为补丁索引文件为北信源自主开发,补丁索引的结构具备可扩展性和可编辑性,索引的结构和定义除了可以支持微软补丁外,还可以支持非微软系统补丁、各种数据库补丁,甚至可以支持各种用户应用程序的更新补丁。
北信源内网安全管理系统产品白皮书
补丁索引编辑界面
2.补丁下载检测和增量式导入功能
对于物理隔离的内部网络,其内部的补丁升级服务器中的补丁数据必须从外部导入,巨大的补丁数据库使得每次补丁导入相当烦琐。为此,北信源使用增量式补丁分离技术,在外网导出补丁时,可分离出内网已经安装的补丁,只导入内网尚未安装的系统补丁,即仅对内网的补丁进行“增量式”的升级,以提高效率。
当有新的计算机补丁公布可以下载后,北信源公司由专门的人员在第一时间内获得,并进行相应的分析,更新补丁索引文件。
系统拥有专门的外网补丁下载服务器,能根据索引自动下载新增的计算机补丁,补丁校验功能对所下载的补丁进行校验,保证计算机补丁的可靠性、完整性、安全性。
补丁在导入时并具有病毒检测功能,保证导入到补丁库中的补丁不被病毒感染。
3.补丁安全自动测试功能
用户的真实环境中,可能会包含特殊的应用或特殊的软件版本,在这些环境
北信源内网安全管理系统产品白皮书
中,有时会出现打补丁后系统或应用异常的情况,所以在大规模补丁分发前需要进行真实环境的补丁测试。北信源系统独创了真实环境闭环测试技术,具体的流程是首先由网管选定某些计算机作为测试计算机作为测试组,每次补丁导入后内网后,首先自动分发至这些选定计算机进行新补丁的安装测试,从而自动地进行非模拟性自动测试。如果补丁安装后对测试计算机未产生影响,被测试计算机能正常运行,网管员便可根据相应得策略对网络内的计算机进行大面积的推送。此技术可以很好的减轻网管的测试工作量,并提高补丁安装的安全性。
补丁自动测试图
4.补丁库自动分类功能
系统对存放到服务器上的计算机系统补丁能进行相应的分析,自动得出补丁属性、类型和与之相关的补丁说明,并在网页中进行清晰明了的显示。可以方便管理人员根据相应的需求,高效快捷定义补丁分发策略,及时地针对不同的系统和需要分发计算机补丁。
系统同时提供管理员自定义补丁类别的补丁管理方式,如果需要也可由相关的管理人员自行设定相应的自定义补丁类别以符合其管理的需要。
5.补丁库的级联和同步功能
系统可以针对补丁进行级联式的分发和管理,在级联级数没有任何限制并在三级的基础上进行无缝平滑扩展。
可定期进行同步校验,也可自主设定同步校验周期和时间。在有新补丁导入时,也可以自动触发与下级服务器间的同步操作。
所有的同步过程均可自动完成,上级服务器可以了解下级服务器补丁库是否同步成功。
6.补丁安装检测、自动分发补丁功能
北信源内网安全管理系统产品白皮书
北信源补丁管理依据自身注册客户端优势,为网络用户提供强大的系统补丁检测、分发、安装等远程控制功能。网络管理人员通过本模块全面检测网络系统终端补丁的安装状况,并通过此模块,对没有安装补丁的设备进行远程补丁安装,可将最新补丁升级包及时分发到终端计算机,并提示安装修补,在客户端有明显提示,通知用户打补丁。
系统可以对客户端安装的系统的版本,IE版本的补丁安装情况进行自动探测和维护(客户端计算机的补丁安装情况包括Windows、Office、IE、微软媒体播放器等),自动搜集客户端系统资料和安装补丁资料,以根据客户端系统的实际状况自动分发所需的补丁。
客户端程序安装检测:网络中的客户端访问本地的WEB网站进行自动注册。注册后客户端检测程序将在系统中实时运行,检测补丁安装状况,并上报给补丁管理中心。用户WEB网页自动探测提示,支持大面积用户快速安装。客户端部署:在系统内部网络中,未注册客户端访问本地网站、以及访问上级网站均会出现提示用户注册窗口。
补丁推送安装:当系统检测到有客户端未打补丁时,可对漏打的补丁进行推送式的安装。同时,通过推送安装,也可以为客户端安装应用软件。
补丁推送分发可以跨网段,跨VLAN,补丁分发支持断点续传功能。补丁下发过程中,如遇到特殊事件造成网络中断,则在下次网络连通时通过校验得出已传输的数据和断点位置,进行续传。
系统补丁报表:监控程序将网络客户端补丁信息上报管理中心后写入数据库,在WEB管理平台可进行补丁报表察看,统计网络客户端补丁安装状况。
7.补丁策略制定功能
包括补丁应用策略制定、补丁文件分发任务制定。
可以根据要求按照不同的区域进行划分,可按照IP地址、部门、操作系统、用户自定义等方式进行区域划分。
补丁策略制定:具体可支持定时、定周期、分类、分部门、分范围、客户机状态和用户自定义等策略。
补丁策略分发:具备详尽的补丁分发策略,补丁可以定时、定周期、分类、分范围、分部门、分范围、客户机状态和用户自定义等进行分发。
北信源内网安全管理系统产品白皮书
补丁文件任务制定:针对特定的一个补丁或多个补丁,对指定计算机或者计算机网络进行补丁自动分发安装。
补丁中心将网络客户端分类,设置测试类客户端,补丁在测试类机器上经过严格测试后,再正式对其他类网络机器进行分发。
此外,内网安全管理系统还提供补丁下载流量控制功能,补丁管理中心区域管理模块能够对网络不同网段、不同区域的终端补丁升级进行流量、数量控制,避免造成对网络的流量影响,合理控制网络带宽。
8.补丁下载流量控制功能
系统可以利用多种方式进行下载流量控制:
(1)系统能够根据网络的负载情况自动调整分发补丁时所占的网络带宽和并发连接数;
(2)根据手动设置允许的带宽或服务器并发连接数及每个连接所允许使用的带宽;
(3)系统同时支持客户端转发代理补丁下载,以减少网络带宽流量,提高效率。
代理转发技术说明:补丁分发时,先由部分客户端通过补丁分发系统下载服务器补丁,其他的计算机可不通过服务器,而是通过已下载补丁的客户端进行相应补丁下载。下载时客户端可自动搜索临近的IP地址,选择拥有此补丁文件并且下载速度最快的客户端,从此客户端上获取由系统服务器下发的相关的补丁,以保证网络的利用率,同时提高补丁分发效率。
9.服务器端补丁查询功能
客户端软件实时监控客户端系统漏洞及补丁安装情况,服务器端补丁查询补丁可根据补丁名称、待查询IP范围、操作系统、待查区域,查询时间或其它条件对区域网络范围内的计算机终端进行补丁安装状况查询,通过网管设定的查询条件,能快速地获知所查询补丁的安装情况(如补丁发送是否成功,补丁安装是否成功,补丁是否已被安装等),以保证补丁及时的安装。
10.客户端网页查询补丁安装信息功能
因为很多用户习惯通过访问微软的Update网页,检查自己漏打的补丁,并进行下载安装。作为物理隔离的网络,内网中的用户无法访问此网页,因此从用
北信源内网安全管理系统产品白皮书
户的习惯角度出发,内网中也应该有类似的网页,以便用户访问和获知本机补丁安装情况,进行补丁下载安装。安装了系统客户端的计算机可以通过访问内网的特定网页,对本机所缺少的计算机补丁进行查询,查询结果在网页上进行显示,计算机用户根据需要进行安装。
北信源内网安全管理系统产品白皮书
4.8文件分发管理(可选)
1.普通文件分发及文件自动执行
系统向指定客户端(用户组)分发文件或安装软件,分发时可提供软件的运行参数和必要的运行控制。此功能可减轻网络管理人员的工作负担,软件分发时可报告软件安装的状态,无论软件正确安装与否,管理员均可及时了解情况。系统还提供人性化的软件安装过程录制工具,可以很方便的对软件和它的安装过程进行录制打包,软件分发至终端后,系统可在终端对软件安装过程进行回放,方便软件在客户端进行自动安装。
安装后的客户机端软件包括基本部分和用户工具,安装在客户机不同的目录中。
北信源内网安全管理系统产品白皮书
2.文件分发安装结果统计
北信源内网安全管理系统产品白皮书
4.9安全监控审计功能
1.上网访问行为审计和控制:
系统以黑白名单的方式对用户的网页访问行为进行控制;可对用户上网访问的网页等进行审计和记录。
北信源内网安全管理系统产品白皮书
2.文件保护及审计:系统提供对终端的系统、软件和共享等目录中的文件的保护功能,设定访问、删除、修改权限;支持对设定目录文件的操作审计,包括文件创建、打印、读写、复制、改名、删除、移动等的记录,同时将信息上报管理信息库供查询。
3.网络文件输出审计:对主机通过共享文件等方式进行的网络文件输出行为进行审计和记录(同下图)。
北信源内网安全管理系统产品白皮书
4.邮件审计:根据策略对主机发送的邮件及其附件进行控制审计和记录(同下图)。
5.打印审计:根据策略对主机打印行为进行监控审计,从而防止打印输出结果被非授权查看和获取。
6.文件涉密信息检查:根据用户自主设定的涉密信息查询条件,设定对指定目录或盘符下的指定类型文件进行内容检查,检查其是否包含涉密内容,系统支持进行包含“或”、“与”等多种逻辑的组合监测和模糊监测。
北信源内网安全管理系统产品白皮书
7.用户权限审计:审计用户权限更改及操作系统内用户增加和删除。
8.各自独立的权限分配体系:提供系统管理员、系统审核员(安全员)和系统审计员和一般操作员权限,分别进行不同的管理操作。
北信源内网安全管理系统产品白皮书
9.系统日志审计:不同权限管理员在Web控制台对终端用户的日志(系统日志、应用日志、安全日志等)进行远程读取查看。
4.10报表管理功能
1.系统提供完善的报表功能,能够根据按不同部门、不同操作系统提供软
北信源内网安全管理系统产品白皮书
硬件资产、审计信息、报警、状态及其他情况汇总报表,提供多种报表功能。
2.具备独有的“组态报表”查询功能,对于有关报表,能根据不同的需要进行多种不同条件组合(组合查询条件包括所属区域、单位名称、设备所在部门、设备名称、设备IP、操作系统及版本、IE版本、防范等级、运行状态、安装杀毒软件版本及厂商、CPU情况、内存情况、硬盘情况、设备使用人、设备最后使用时间等等),还可以生成多种不同的报表格式。
组态查询实例图
3.报表以网页的方式呈现,提供链接可在各项查询功能中跳转。报表可以方便的调整格式,并可以以Excel格式输出,以便打印。
4.可以根据需要输出成柱形图、饼图等。
北信源内网安全管理系统产品白皮书
输出柱状图实例
4.11事件报警管理
1.事件集中报警处理中心汇总所有内外安全管理事件的报警信息,并将报警按种类、级别分类,同时支持短信、声音、邮件、图形等报警方式。同时,报警中心自动把各种报警信息汇总成为高、中、低三个等级,显示各类发生事件的名称和发生事件设备名称、IP、MAC等信息,以便第一时间发现报警源头和类型,发现对网络危害最大的报警信息,以最快速度妥善处理事件,从而在最大程度上提高系统管理员对网络突发事件的快速反应能力。
2.客户机发给管理服务器相关的报警信息可预设置级别,管理服务器把已注册客户机的报警信息记录到异常情况记录表,同时,按管理员预定义的规则将部分紧急的报警信息发送给管理员(本系统必须有与手机短信报警平台的接口)。
3.对客户机的不当行为,管理服务器能按照预先制定的策略自动进行警告,管理员也可以通过管理服务器对特定的客户机发出警告信息或其它信息,这些信息的发送不会因客户机关闭而无法完成,对离线机器发的信息在其开机后即弹出。弹出窗口以“阅毕”按钮关闭。信息可以定义有效期,客户机不会看到过期信息。管理员可以根据需要删除发出的信息。
4.对客户机的不当行为,管理服务器能按照预先制定的策略自动进行警告,管理员也可以通过管理服务器对特定的客户机发出警告信息或其它信息,这些信息的发送不会因客户机关闭而无法完成,对离线机器发的信息在其开机后即弹出。弹出窗口以“阅毕”按钮关闭。信息可以定义有效期,客户机不会看到过期信息。管理员可以根据需要删除发出的信息。
5.系统将通过短信平台将手机短信直接发送到下级安全管理员。
北信源内网安全管理系统产品白皮书
报警设置实例图
4.12第三方接口管理
1.PKI/CA认证联动接口 2.防火墙联动接口 3.网管软件联动接口 4.安全管理平台联动接口 5.其它第三方接口
5.产品运行配置 5.1硬件配置
建议配置:双Intel至强CPU,主频2.8G或以上;
120G硬盘或以上; 2G内存或以上;
北信源内网安全管理系统产品白皮书
注意:
所选择的Windows服务器须支持冗余/高可用的配置,能够保证系统无单点故障。能够支持7*24小时连续运行,同时具有良好的容错能力。如需考虑未来管理计算机数量的增长,服务器还应具备一定的扩充能力。
5.2软件配置
系统服务器所需的软件环境:
1)操作系统:MS Windows 2000/2003 Server;
2)数据库: MS SQL2000企业版或MS SQL2005企业版(SP4); 3)服务器安装IIS服务; 系统客户端所需的软件环境:
操作系统:Microsoft Windows 98/2000/2003/XP/win7/Vista
北信源内网安全管理系统产品白皮书
6.关于北信源
6.1.公司简介
北京北信源软件股份有限公司(以下简称“北信源公司”)创立于1996年,注册资金5000万人民币,主要从事内网安全管理系列产品的研发、生产、咨询和服务。公司总部位于中关村高新科技园区,有近400名信息安全专业研发、生产、咨询和服务人员,下设上海分公司、华东支持中心、华南支持中心及各省市近三十个办事处。
经CCID、中国计算机用户协会等权威部门统计,北信源内网安全管理系统在中国终端安全管理审计及移动存储介质管理市场占有率连续四年保持第一。荣获“2006、2007、2008、2009中国终端安全管理审计及移动存储介质管理占有率最高产品”、“2006、2007、2008、2009中国终端安全管理审计及移动存储介质管理市场成功企业”、“2007-2008中国软件十大领军企业”、“2007十大金融科技创新企业”、“中国信息化突出贡献单位”、“公安部科学技术奖”、“2007中国信息安全终端安全管理及审计产品值的信赖品牌奖”、“2007中国电子信息用户满意企业”、“2008中国信息安全行业影响力重大终端安全管理品牌”、“中关村十大软件品牌”、“中关村十大IT产品最佳安全管理软件品牌”、“Intel最佳桌面管理解决方案合作伙伴”、“2009内网安全突出贡献奖”、“中关村TOP100”等多项殊荣。公司现已成功打造国内信息安全软件知名品牌“北信源”、“VRV”。
作为我国民族信息安全产业的标志性企业和优秀代表,北信源公司将依靠自有的安全技术和产品本着继往开来的创新姿态,为构筑中华民族的信息安全长城而不懈努力。
北信源内网安全管理系统产品白皮书
6.2.联系方式
北京北信源软件股份有限公司
地址:北京市中关村南大街34号中关村科技发展大厦C座16层 邮编:100081 电话:010-62140485/86/87
篇3:北信源u盘管理办法
一、移动存储介质管理存在的问题
(一)易资料泄密。
一是由于移动存储介质容量大,加上资料读取、检索方便,部分员工经常将自己可能用上的文件、业务资料存贮其中,以备随时调用;或者将带有业务资料的移动存储介质随意外借、外用,在外人使用时又不现场监督,这极易被他人将移动存储介质中的资料悉数窃取。二是部分员工为搜集整理有关资料,经常使用移动存储介质在互联网机和内联网机之间轮换使用,在接入互联网等网络时,容易被“黑客”利用高科技手段获取有用信息,从而导致一些重要数据或信息泄密。三是现在有一些在后台盗取移动存储介质中文件的木马程序,当在某台计算机主机上运行了这些软件后,只要有移动存储介质接上这台计算机,那么移动存储介质中的所有文件资料都将被不知不觉地拷贝到指定的文件夹中。
(二)易感染病毒。
为保证网络安全,人民银行内联网与其它网络是严格实行物理分离,但移动介质的使用,使其作为媒介将病毒从外网带入内网成为可能。大部分内网的计算机遭受病毒攻击的事件,就是因为不规范使用移动存储介质造成的。
二、移动存储介质管理的建议
(一)强化意识:
增强全员的责任意识、安全保密意识和风险防范意识。一是对从互联网上下载资料后的移动存储介质,必须按照“先查毒、后使用”的原则操作,先行严格杀毒,后才能在工作用机中使用。二是要严格落实“谁使用、谁管理、谁负责”的原则,出现问题,严格执行有关责任追究制度。三是要对持有移动存储介质的员工,进一步加强保密教育和计算机系统防范病毒的安全教育,努力营造“科技安全、人人有责”的良好氛围。
(二)加强管理:
切实加强移动存储介质使用的管理。一是移动存储介质中资料的存储要遵循“有用则存、随用随存、用后删除”的原则,即:不要将暂时不用的资料永久存储在移动存储介质中,短时间内需外用的资料可存储,业务资料使用完毕要立即删除。二是严禁向外人或外单位出借带有业务资料的移动存储介质,尽可能减少外人使用自己的移动存储介质。三是外人使用自己的移动存储介质时必须全程现场监督,或自己亲自动手,防止一不留神被他人复制资料。四是要妥善保管好移动存储介质,防止遗失,对报废的移动存储介质要严密销毁;五是持有移动存储介质的员工要加强自律意识,在使用他人计算机时,未经他人同意,严禁复制他人计算机中的资料。六是建立健全移动存储介质的领用登记管理制度、使用管理制度、销毁管理制度,规范对移动存储介质的管理。七是加大计算机信息安全技术防范建设力度和硬件设施的投入。八是要定期评估新的风险和需求。移动存储介质技术的大量引入市场,宽带的普遍应用,以及今后不断出现的新技术都会引起新的危险因素和管理上的新问题。因此,要定期检查已制定的安全制度和技术措施,重新评估新的风险和需求,不断完善移动存储介质的安全管理。
篇4:北信源u盘管理办法
三方合作共创国产信息安全舰队
“棱镜门”事件的长尾效应, 国家对信息行业安全也因此给与了高度重视, 不仅在财税和金融上出台了多项扶持政策给予大力支持, 还针对金融、云计算与大数据、信息系统保密管理等多个细分领域组织国家信息安全专项研究以加速安全产业的发展。国产信息安全更需要企业联合创新, 形成由点到面的效应, 北信源、辰信领创、天津麒麟的合作, 打造了一支在信息安全和操作系统领域的信息安全舰队, 对我国实现信息技术、产品的自主可控与国产化起到积极的推动作用, 为我国大批量的信息系统提供更完善的基础支撑!
天津麒麟信息技术有限公司是在中国电子信息产业集团、国防科技大学和天津市政府支持下成立的高科技信息技术企业。公司旗下“银河麒麟操作系统”是国内安全等级最高的操作系统, 引领了国内基础软件的技术发展潮流。通过基于“麒麟OS+飞腾CPU”的基础平台, 天津麒麟已完成同众多整机厂商、数据库及应用软件等产品的广泛适配, 成为党政军以及金融、能源、电信、交通等关键行业信息化国产替代进程的主力军, 持续推动着我国国产基础软件的自主研发与生态圈建设。
北信源则是中国第一批自主品牌的信息安全产品及整体解决方案供应商, 国家规划布局内重点软件企业以及中国信息安全领域首批上市公司之一。北信源自创立之初, 便专注于网络和信息安全领域的技术研发和产品创新, 二十年间多次引领行业创新潮流, 成功打造信息安全知名品牌“北信源VRV”, 连续十年位居中国终端安全管理市场占有率第一!通过安装终端安全和信源豆豆产品大大提高整机安全, 产品覆盖政府、军队军工、公安、金融、能源等国家关键信息基础设施的数千万终端。
辰信领创是由北信源、启明星辰共同投资设立, 以发展终端安全为目标的研发型企业。公司以“景云”品牌在市场上进行防病毒产品和服务的销售, 同时, 开发、提供融合了各方优势安全技术的产品及服务。辰信领创在强化对传统终端安全防护的同时, 着力提升对移动终端、物联网终端、社交网络前端、可穿戴设备等智能终端领域的安全防护能力, 以打造从终端到云端, 完整、全方位、立体化的安全防护体系。
坚持国产化替代保障国家信息安全
尽管客观上发展水平仍落后于发达国家, 但信息安全在我国正处于高速增长期, 市场前景广阔, 随着国家对信信息安全加大重视, 未来必然会不断加大信息安全投入, 并加速推动信息安全产品国产化的步伐, 国内信息安全企业有望迎来大发展。
天津麒麟总裁周瑞平表示, 之前国家也曾大力倡导国产信息安全, 但当时时机不成熟, 最终也没有太大成果, 但现在我们天津麒麟在服务器端有全国最高等级的操作系统, 在桌面端我们也有众多的合作伙伴, 在十三五期间我们将实现国产替代化工作, 为政企客户提供真正的国产安全产品。
北信源董事长林皓表示, 这次国产化替代化实际有几种可能, 一种是主机+操作系统全部换, 另外一种是原来主机上替换操作系统, 当然这个比较少。在政企客户中应用主要是联网应用和不联网应用, 但都是具有各种管控标准, 操作系统更换之后安全标准不变, 能够快速构建完整安全体系。
本来操作系统具有安全, 但是我们能解决什么呢?辰信领创总经理吴俣表示, 我们能解决用户在真实环境中, 在操作系统之上安装的应用安全、网络安全、防止黑客攻击, 因为这并不是操作系统原先涉猎范围, 我们本次合作采取预装策略, 提升用户易用性, 减少了很多不必要的麻烦。
【北信源u盘管理办法】相关文章:
实验一计算信源熵07-16
NTFS文件管理权限打造安全U盘04-13
信源电子化政府采购解决方案04-17
U形渠节水灌溉管理论文04-15
新版紫光档案管理软件著录格式及刻盘要求04-21
MOS管理在长北天然气处理厂的应用09-11
中戏考博辅导盛世清北中央戏剧学院艺术管理系考博考研辅导介绍04-20
成本管理管理办法06-23
基层管理人员管理办法12-18
现场管理人员管理办法03-21