安全策略管理系统(
SPM
)采用集成化网络安全防卫思想,遵循
P2DR
安全模型
,应用集成防卫的理论与技术,采用分布式的体系结构,通过集中化的安全管理控制将为客户提供一套完整的安全策略的制定、发布、执行的平台;在降低网络安全管理成本的同时,能有效的保护网络和主机系统的安全,既能防止内部的信息泄漏,也可以阻止内外的攻击。
系统组成
统支持平台(
SSP
):
负责系统的认证授权、日志管理、策略管理的后台支持;保存着企业信息资产和安全策略数据库;负责收集整个系统的安全信息、策略的发布和保存;为管理人员提供管理接口;为强认证网关提供安全策略联动确认服务,从而形成联动安全防御体系。支持分布式部署,能够适用于大规模网络环境的应用。
策略管理中心(
PMC
):
为管理人员提供图形化操作界面,与系统支持平台建立安全通讯,完成系统的各项管理和操作功能,如用户管理、策略定义和应用、系统设置、日志查询和报表分析等。
策略执行点(
PEP
):
安装在受保护的终端主机(如个人主机、笔记本电脑、服务器等)中,是企业安全策略的具体执行者,负责保护终端主机的安全,同时对终端用户的访问行为进行审计。
日志与审计服务(
Log
):
负责完成来自终端用户和管理人员日志的收集和审计。
SPM
强认证网关(
SPM
- GW
):
该部分为可选项。放置在网络的边界处,负责对访问敏感信息资源的用户进行身份鉴别,防止未通过
SPM
认证用户访问该敏感区域的网络资源。
|
分类 |
小类 |
软件界面功能体现 |
对客户的价值 |
| 在线安全策略 |
个人防火墙策略 |
基于灵活的协议和端口访问控制 |
防止网络黑客的攻击
防止未授权的访问
保护终端主机的安全 |
| 基于 Netbios 的文件共享控制 |
| 客户端之间通信保证 |
| 网络应用程序策略 |
IE 、 Outlook 等应用软件版本控制、完整性校验 |
限制用户安装和执行非法或禁止的网络应用程序 |
| 自定义特定网络程序文件版本控制、完整性校验 |
| 本机应用程序策略 |
限制腾讯 QQ 、单机游戏、媒体播放器等本机程序 |
限制间谍软件的运行
限制非法软件的使用 |
| 灵活的自定义本机应用程序 |
| 设备控制策略 |
控制存储设备、打印设备使用 |
防止用户滥用硬件设备
防止保密信息通过外部存储设备散播出去 |
| 控制上网设备使用 |
| 控制 1394 、红外设备等使用 |
| 移动存储设备审计 |
对通过 USB 、软盘、光盘拷贝的文件进行内容记录和审计 |
防止敏感文件的泄漏 |
| 注册表策略 |
保护 IE 启动、系统启动配置等项不被病毒修改 |
保护主机注册表信息的安全。 |
| 保护自定义的注册表项不被病毒或终端用户修改 |
| 打印策略 |
限制用户可使用的打印机类型 |
防止用户滥用打印资源
防止保密信息通过打印设备散播出去 |
| 可限制的打印机类型包括:本地打印机、网络打印机、网络邻居打印机、本地文件、其他打印机 |
| 防病毒联动策略 |
和 kill 、金山、 Symantec 、 Trend Micro 、 Kaspersky 、
Mcafee 等知名防病毒软件联动 |
统一管理防病毒软件,形成自防御的安全网络体系 |
| 软件联动策略 |
系统补丁的强制升级 |
保证整个网络内主机安全的及时性和同步性 |
| 应用软件的强制升级 |
| 高级策略 |
客户端自动升级 |
保证整体内网主机的客户端软件的最新版本 |
| 群发信息通知 |
| 信息过滤 |
基于权值的智能化内容过滤 |
限制访问非法网站
限制发布非法帖子 |
| 提供网站黑白名单和基于地址对象的网站过滤 |
| 离线保护策略 |
在线安全策略中的全部内容 |
防止用户在离线时进行非法操作和泄密 |
| 其他安全功能 |
非法用户发现 |
及时发现网络中的非法用户,同时支持跨广域网检测 |
防止非法用户联入内网 |
| 控制非法用户对合法用户的访问 |
| 用户行为管理 |
禁止客户端修改 IP |
防止用户任意篡改网络配置导致管理混乱 |
| IP 、 MAC 和主机信息与用户名绑定 |
| 上网时长限制 |
基于时长的资费限制 |
限制用户的网络访问时间
保证工作效率 |
| 基于资费的时长限制 |
| 文件保护 |
客户可自定义的文件保护功能 |
防止保密文件被别人窃取
和修改 |
| 指定文件或目录的定义读、写、删除操作权限 |
| 资产管理 |
自动收集客户端软、硬件配置信息 |
保证客户 IT 资产不被滥用,防止终端用户非法安装程序 |
| 动态检测各主机硬件配置的变化, 保证硬件资产不被更换和丢失; 动态监测各主机软件的变化。 |
| 个人主机系统和数据备份与恢复 |
动态、快速备份和恢复某个分区的系统和数据 |
避免对客户端主机频繁重装系统,降低管理员的维护工作量,防止未知病毒对系统的破坏。 |
| 动态、快速备份和恢复整个硬盘的系统和数据 |
| 智能化的数据备份,在操作系统补丁安装后自动对客户端主机进行数据备份 |
| 自防御体系 |
客户端防卸载,避免客户端试图逃避检查 |
和其他安全产品形成立体、纵深的安全防御体系 |
|
和主流防病毒软件联动,集中管理多种防病毒软件 |
|
将未安装系统补丁或未达到安全级别的用户进行隔离 |
|
和网关(可选)联动,实现网络准入 |
|
和 802.1X 网络设备联动,实现网络准入 |
| 网络监控 |
用户行为监控 |
监控客户端主机基本信息和系统资源利用率情况 |
及时发现潜在问题,及时发现并协助用户弥补安全漏洞,远程协助用户进行安全检测 |
| 监控客户端主机当前的进程、服务情况 |
| 监控客户主机网卡状态以及动态网络流量 |
| 监控客户端的硬件设备和软件安装使用情况 |
| 屏幕监控 |
授权情况下,可监控并控制客户端主机的屏幕、键盘和鼠标(该功能可选) |
监控违法行为 |
| 远程维护 |
客户端用户许可情况下的远程维护 |
降低维护成本 |
| 辅助功能 |
管理功能 |
针对用户群的消息广播 |
便于管理员远程维护和管理 |
| 针对单一用户的消息发送 |
| 管理端和客户端远程对话和互传文件 |
| 审计管理 |
权限分配 |
系统管理员、日志管理员、特权管理员三权分立,互相制约。 |
互相制约,保证安全 |
| 日志类别 |
提供多种日志类别和告警方式,利于分析和查询。 |
标准、可信的日志
方便的审计管理 |
|
提供标准可信时间源,保证所有日志时间一致 |
|
提供多种日志报表和审计工具,方便管理员管理 |
| 性能特性 |
整体性能 |
一个管理员即可管理全网内所有的主机安全 |
简化网络管理
避免网关设备造成的性能瓶颈 |
| 支持远程跨广域网管理 |
| 支持分布式部署、负载均衡 |
| 客户端性能 |
CPU平均占用率<1% 、 物理内存占用<3M |
| 网络性能 |
网络平均带宽占用率<1‰ |
| 支持的客户端类型 |
Win2K , WinXP , winNT,Win2003 |
|
|
Win9X |
