1、 _ LeagView联软安略管理平台 UniAccess 网络准入控制与终端安全管理系统 技术白皮书 _ 深圳市联软科技有限公司 http:/ 2 目 录 第 1 章 建立计算机安全管理系统的目的 . 1 1.1. 当前的计算机网络安全形势 . 1 1.2. 大型企业 /政府在计算机管理方面的其它需要 . 1 1.3. 计算机安全管理系统的意义 . 2 第 2 章 UniAccess 网络准入控制终端安全管理系统简介 . 3 2.1. LeagView UniAccess 设计思路及功能概述 3 2.2. UniAccess 主要功能特性介绍 . 6 2.2.1. 网络准入控制 6 2.2.
2、2. 设备自动发现及资产管理 9 2.2.3. 安全主动评估,主动发现安全隐患 .11 2.2.4. 安全加固,防患于未然 .11 2.2.5. 非法操作监管,让管理规定令行禁止 13 2.2.6. 软件分发,功能强大、快速分发 . 14 2.2.7. 远程协助与监控,不到现场、胜过现场 . 15 2.2.8. 移动介质管理,放心使用 U 盘 16 2.2.9. 终端打印及屏幕管控 . 17 2.2.10. 信息资产分级安全管理 18 2.2.11. 满足分布式、多用户管理需要 . 18 2.3. 其它功能 . 19 2.4. 报表 . 19 第 3 章 UniAccess 系统主要特点 21
3、 第 4 章 与其它桌面管理软件比较 22 深圳市联软科技有限公司 http:/ 1 第 1章 建立计算机安全管理系统的目的 1.1. 当前的计算机网络安全形势 随着企业和政府信息化的发展,业务和应用完 全依赖于计算机网络和计算机终端。但是计算机病毒、黑客木马、间谍件侵入桌面计算机,在计算机上安装非法软件,私自拨号上网,外来电脑接入单位内部计算机网络,种种安全事件时有发生,这些安全事件非常容易导致桌面计算机和计算机网络系统的瘫痪。 根据国家计算机病毒应急处理中心的调查统计数据, 2012 年的调查用户数量超过 4.3 亿,其中有 33.29%的用户发生过信息网络安全事件。在所发生的安全事件中,
4、 “未修补网络 (系统) 安全漏洞 ”占 44.97%, “内部安全管理存在漏洞 ”占 42.4%,比 2011 年上升了 12.28%,成为导致网络安全事件的主要原因之一。 2012 年我国计算机病毒感染率为 45.07%,在受感染的用户中,其中 40.76%的用户感染病毒3 次以上,比 2011 年上升了 16.02%。受经济利益的驱动,针对大型企业、重点行业的病毒传播和攻击增多。如何保护用户的私密信息,应对和解决频频爆发的大规模信息泄漏事件,已经成为信息安全领域的焦点问题。 跟踪监测和研究分析表明,当前,计算机病毒木马本土化趋势加剧,变种速度更快、变化更多,潜伏性和隐蔽性增强、识别更难,
5、不防病毒软件的对抗能力更强,攻击目标明确,趋利目的明显。另一方面,当前内部数据泄密的事件愈演愈烈,给企业和机构带来的损失也越来越大。来自国际领先的隐私及信息管理调查机构 Ponemon Institute 的调查结果显示:信息泄漏事件的主 谋已经不再单纯是网络黑客和恶意程序,更多的数据信息是被企业和机构的内部员工所泄漏和盗窃。与传统的外部盗窃相比,这种来自内部的恶意外泄更具有针对性,隐蔽性,给企业造成的损失也更大。 1.2. 大型企业 /政府在计算机管理方面的其它需要 由于计算机的数量非常多,地理位置分散,给日常的管理维护带来了很大的 困难,这些困难包括: z 难以对计算机的资产、配置进行统计
6、; z 由于补丁、漏洞、升级等问题频繁,维护工作量很大; 深圳市联软科技有限公司 http:/ 2 z 计算机的使用人员技能不一,有些很小的问题都需要维护人员现场解决,降低了维护的效率; z 无法对计算机进行批量维护,例如:批量安装软件、批量打补丁、批量设置计算机的安全设置。 1.3. 计算机安全管理系统的意义 建立计算机安全管理系统的意义在于:解决大批量的计算机安全管理问题,系统运营安全以及信息安全。 具体来说,这些问题包括: z 加强桌面计算机的运营安全性,例如:通过批量设置计算机的安全保护措施提高桌面计算机的安全性,及时更新桌面计算机的安全补丁,减少被攻击的可能; z 加强桌面计算机的信
7、息安全性,例如:通过各种端口控制来防止非法外违、通过移动存储介质管理来控制 U 盘的使用、通过信息防泄露管理防止数据泄密; z 实现动态安全评估,实时评估计算机的安全状态及其是否符合管理规定,例如:评估计算机的网络流量是否异常,评估计算机是否做了非法操作(拨号上网、安装游戏软件等),评估计算机的安全设置是否合理等; z 批量管理设置计算机,例如:进行批量的软件安装、批量的安全设置等; z 确保单位的计算机使用制度得到落实,例如:禁止拨号上网,禁止访问非法网站,禁止将单位机密 COPY、发送文件到外部等; z 出现安全问题后, 可以对有问题的终端采用IP/MAC/主机名等方式进行快速的定位; z
8、 实现终端计算机的资产管理和控制。 深圳市联软科技有限公司 http:/ 3 第 2章 UniAccess 网络准入控制终端安全管理系统简介 LeagView联软安略管理平台旗下的 UniAccess 终端安全管理系统(以下简称:UniAccess) ,专注于解决以下问题: z 如何防止非法的电脑接入内部网络? z 如何对数量众多的终端计算机安全漏洞进行管理? z 如何全面有效的防止内部的各种机密信息泄露出去? z 如何对终端的违规操作进行控制,如:使用 BT下载或者黑客软件? z 如何对数量众多的终端计算机的软件、硬件资产明细进行有效管理? 2.1. LeagView UniAccess 设
9、计思路及功能概述 LeagView UniAccess 在设计时参考了国际上的信息安全管理最佳实践ISO17799 规范。下图是系统的整体结构图。 深圳市联软科技有限公司 http:/ 4 图 1 UniAccess 系统结构图 具体来说, UniAccessTM 采用集中式管理方式,提供了 以下多个方面的管理功能: 网络准入控制,防止非法电脑接入 9 支持基于802.1X、NAC-IP2、NAC-IP3、ARP干扰的网络准入控制; 9 支持局域网、VPN、无线网络、广域网等不同方式接入时的准入控制; 9 用户可以自行定义多种准入控制策略; 9 防止有安全隐患的终端电脑或者非授权终端电脑直接访
10、问内部网络。 设备自动发现与资产管理 9 自动发现网络上的所有接入设备; 9 可依据 IP/MAC/主机名以及资产的配置对接入设备快速定位; 9 自动发现组织内所有终端计算机的软硬件配置信息及运行状态信息,建立资产基线; 9 支持配置变更自动发现与报警; 9 自动维护软硬件配置变更历史信息。 安全主动评估,发现安全隐患 9 自动发现存在安全隐患的终端计算机,并提示系统管理员和用户要采取的弥补措施; 9 桌面终端网络流量异常评估,及时发现异常流量桌面终端; 9 桌面终端安全配置评估,及时发现安全设置不完善的桌面终端; 9 可疑注册表项、可疑文件检查; 9 灵活配置各种安全隐患条件; 9 多种方式
11、控制/限制存在安全隐患的终端计算机接入内部网络。 安全加固,防患于未然 9 补丁漏洞自动修复,支持桌面终端操作系统补丁、MS 应用软件补丁自动更新、自动升级; 9 支持登录口令强度、Guest帐户、屏幕保护检测,加固主机安全性; 9 禁止各种默认共享、禁止修改IP地址、禁止修改注册表; 9 强制安装防病毒软件与更新病毒库; 深圳市联软科技有限公司 http:/ 5 9 禁止运行非法进程等; 9 内置双向个人防火墙,既可限制外部网络直接访问终端计算机,又可以限制终端计算机去访问一些不允许的网络服务。 移动介质管理,放心使用U盘 9 禁止非授权移动存储介质在系统内部使用; 9 阻止内部专用移动存储
12、介质外带非法使用; 9 降低移动存储介质丢失后泄密的安全隐患; 9 移动存储介质文件操作审计; 9 支持普通U盘定制专用加密U盘。 非法操作监管,让管理规定令行禁止 9 检查终端计算机是否安装了非法软件; 9 支持对USB硬盘、Modem拨号、无线通讯、红外、蓝牙、同时使用内外网卡等非法操作的监控、审计和禁止使用; 9 支持对网上聊天、BT下载的监控、审计和禁止; 9 支持对HTTP访问、Email、网络文件拷贝等行为进行审计,或禁止; 9 支持离线管理,可以支持终端计算机在离开网络之后策略仍然有效。 软件分发,功能强大、快速分发 9 在不对客户端用户造成负担的前提下确保安全和病毒补丁的技术正
13、常发放和安装; 9 支持大规模客户机、大软件的快速分发,支持 MultiCast 分发、断点续传、多文件服务器等技术; 9 支持自动安装、 手动安装, 可以支持多种打包工具和打包格式, 如: Wise、MSI 打包; 9 可以方便灵活地按照网段、部门、IP、操作系统类型等条件选择软件分发目标。 进程协助与监控,不到现场、胜过现场 9 实时监控客户端画面; 9 可以选择进程控制或者只监视不控制,满足各种场合的需要; 9 可以同时监控多台客户端画面。 深圳市联软科技有限公司 http:/ 6 此外, UniAccess 支持信息资产安全分级管理,各种安全管理策略可以按照:部门、 IP 网段、 IP
14、 范围、设备组、操作系统类型、操作系统语言等条件定义安全管理策略的应用范围。 2.2. UniAccess 主要功能特性介绍 2.2.1. 网络准入控制 借助 LeagView UniAccess 网络准入控制技术,可以对接入网络的终端设备进行控制,只有合法身份和满足安全要求的客户机才允许接入网络。 LeagView UniAccess 网络准入控制可以帮助用户很好地解决如下问题: z 防止非法的外来电脑接入网络,影响内部网络的安全; z 防止感染病毒、木马的终端电脑和笔记本电脑 直接接入内部网络,影响网络的正常运行; z 确保接入网络的客户机符合安全管理要求; z 帮助安全管理员解决内部用户
15、私自接 HUB、无线 AP 等不安全行为。 LeagView UniAccess 网络准入控制杜绝外来电脑随意接入内部网络;同时强制所有接入到内部网络的终端遵循统一安全策略,将有问题的客户机隔离或限制其访问,直到这些有问题的客户机修复为止,这样,一方面可以防止这些客户机成为蠕虫和病毒攻击的目标,还可以防止这些主机成为传播病毒的源头。 LeagView访客区工作区修复区身份安全规则图 2 网络准入控制原理 管理员可以将网络资源划分为不同的区域以便 不同的终端访问不同区域的网络深圳市联软科技有限公司 http:/ 7 资源:访客区、修复区和正常工作区。划分方式可以是 VLAN 或者 IP 地址资源
16、。 访客区的网络资源是可以被任何用户的终端访问的,如 Internet 资源。一般外来用户的终端设备被限制只能访问访客区的网络资源。 修复区网络资源是用来修复安全漏洞的,如补丁服务器、防病毒服务器、软件安装包服务器等,不符合组织安全策略要求的终端被限制在修复区中,强制它们进行安全修复。 当终端设备被接入网络时,会被要求进行身份认证和安全策略检查。如果是来自外部的 PC 机试图接入网络,LeagView UniAccess 将采取如下措施: (1) 拒绝外部终端设备接入网络,或者 (2) 将外部终端设备设置到访客区中。 如果是来自内部合法终端设备接入网络, LeagView UniAccess
17、将采取如下控制措施: (1) 检查用户输入的用户名和口令是否合法;检查客户端是否满足安全策略要求。 (2) 只有合法身份的用户以及满足组织安 全规范的终端设备才能接入到网络中,否则系统会将此终端设备自动切换到修复区中,终端设备在此修复区中访问修复安全漏洞必须的网络资源; (3) 合法身份的用户以及满足组织安全规范的终端设备接入到网络时,系统会根据用户身份自动将终端设备切换到属于该用户的工作区中,从而实现不同权限的人可以访问不同的网络资源。 LeagView UniAccess 可以将用户和终端设备进行绑定,即某个用户只能通过某台终端设备接入到网络中,这样可以禁止内部员工私自将家里电脑接入到网络
18、中。 LeagView UniAccess 网络准入控制架构,如下图所示。 深圳市联软科技有限公司 http:/ 8 图 3 LeagView Un iAccess 网络准入控制架构 LeagView UniAccess 网络准入控制架构提供 了四种方法解决不同网络环境的网络准入控制: (1) IEEE802.1x LeagView UniAccess 网络准入控制的 802.1x 实现同时支持多厂商网络设备,如Cisco、华为、H3C 等。支持 IEEE802.1x 的 Single Host、Multi-host、Multi-Auth模式。特别是 Mutli-Auth 模式,在有 Hub
19、的网络环境中也可以实现准入控制。 (2) Cisco NAC-IP-2 和 Cisco NAC-IP-3 作为 802.1x 的补充,当网络中有支持 Cisco NAC-IP-2 和 Cisco NAC-IP-3 的网络设备存在时,连接在这部分网络设备下的终端可以通过 Cisco NAC 机制来实现准入控制。 (3) NACC 准入控制网关 一种基于 EAP over UDP 协议技术的硬件网关型设备,可以将接入网络中的指定范围内的网络访问通过策略路由指到 NACC 准入控制网关设备进行认证。 LeagView UniAccess 网络准入控制架构的突出特点是以网络设备为控制设备点,但又不局限
20、于一家网络设备厂商,能够适应各种网络环境要求。 LeagView UniAccess 网络准入控制架构支持高可靠性,避免因为 LeagView 服务宕机或者网络通讯故障导致终端设备不能接入网络的情况。 深圳市联软科技有限公司 http:/ 9 2.2.2. 设备自动发现及资产管理 UniAccess 的资产管理功能可以及时准确地 发现当前正在运行的终端计算机的软、硬件配置信息、客户端用户信息等,以此作为终端安全管理的基础。 设备自动发现 在终端计算机接入网络后, 不需要安装任何代理的情况下 UniAccess 可以在第一时间发现该终端计算机,包扩:终端的 MAC 地址、 IP 地址、设备名、连
21、接的网络交换机、连接的网络交换机端口等。终端计算机离线时 UniAccess 也能够在第一时间发现。 UniAccess 不仅可以发现新接入网络的设备,也可以发现长期未运行的设备,例如:系统管理员可以定义连续 30 天未连接到网络的设备为长期未运行设备,进而加强企业对固定资产的管理。 软硬件配置管理 UniAccess能够自动采集终端计算机的软、 硬件配置信息并保存在中心数据库中。用户可以按条件查询具体配置信息。 UniAccess 可以管理的硬件配置信息有: 9 CPU 信息 9 主板信息:包扩 BIOS 信息、PCI 揑槽信息 9 内存信息:物理内存大小、具体的内存条信息 9 硬盘信息:硬
22、盘大小、速度、厂商、型号 9 光驱信息:光驱速度、厂商、型号 9 网卡信息 9 外设信息:通过串口、并口、USB 口违接的设备信息,Modem 状态信息 9 操作系统信息 UniAccess 可管理的软件配置信息有: 9 安装的软件名 9 软件厂商 9 版本 深圳市联软科技有限公司 http:/ 10 9 诧言 9 安装日期 软件使用授权 软件使用授权管理可以对客户端软件使用情况 按管理员指定的条件自动进行分组,并对指定的软件或软件组进行授权,以方便管理员更好的维护软件的 license 使用情况 9 软件许可管理:管理软件资产,防止盗版诉讼 9 许可使用统计、追踪 9 非法使用检测和报告 配
23、置变更管理 系统管理员可以配置需要关心的软件和硬件配置变更,一旦客户端相应配置发生变化, UniAccess 即会立刻通知系统管理员,并且记录变更信息,如硬盘由 320G 变为 500G、安装或者卸载了某个软件等。系统管理员可以事后对配置变更进行确认。 UniAccess 记录每台终端设备的配置变更历史信息,包括发生变更的时间、系统管理员对变更的确认,系统管理员可以按条件查询。 用户信息管理 除了可以追踪终端计算机固定的软硬件配置信息外,系统管理员还可以追踪终端计算机的用户名、所属部门、用户职务、电子邮件等信息,从而将用户与终端计算机绑在一起。 设备组管理 用户可以按各种配置条件和运行状态条件
24、对设备进行分组管理,如可以按操作系统、硬盘大小、内存大小、 IP 地址范围、部门、用户、 MAC 地址范围、是否安装 UniAccess 代理、是否在线等分组显示设备信息。对于新接入的设备、或者配置和状态发生变化的设备,系统会自动按分组规则将设备划到相应设备组中。用户也可以手工将某个设备指定为某些设备组。 深圳市联软科技有限公司 http:/ 11 设备分组管理有利于向用户展现其最为关心的设备信息。 设备接入审计 对设备接入网络和离开网络行为进行审计,记录设备地址信息、接入网络时间、离开网络时间、连接的网络交换机及其端口信息。用户可以按条件查询。 2.2.3. 安全主动评估,主动发现安全隐患
25、UniAccess 提供了多种安全评估手段,实现对终端计算机的全面安全评估,评估的内容具体包扩以下几个方面的内容: 终端计算机的操作系统或者应用软件的补丁漏洞; 终端计算机的防病毒措施是否完善,例如:是否安装了指定的防病毒软件; 终端计算机的网络流量是否异常,例如:广播、TCP连接是否过多; 终端计算机是否运行了非法进程、是否有可疑注册表项目; 终端计算机的安全设置是否完善,例如:文件共享、不安全的帐户设置等。 2.2.4. 安全加固,防患于未然 UniAccess 通过几个方面来加固桌面系统的安全性,具体包扩: 加强补丁漏洞管理,自动修复补丁漏洞; 加强安全设置,如:帐户、口令、屏幕保护、共
26、享、注册表项目、Windows本地安全策略; 加强防病毒软件部署,确保客户机安装防病毒软件并更新病毒特征码; 通过个人防火墙控制终端计算机对外访问,及限制外部访问终端计算机; UniAcces 能够从微软的官方网站及时下载补丁列表文件以及最新的补丁包,再通过基于云计算技术的“云补丁”系统,根据补丁列表文件自动检查各个主机系统缺的补丁包,自动将需要的补丁包下发给主机系统并进行安装。 UniAccess 采取了一整套手段对主机系统进行加固,包括:弱口令检查、禁止各种默认共享、禁止修改 IP 地址、禁止修改注册表、强制安装防病毒软件与更新病毒库、禁止运行非法进程等,使得主机本身有较强的抗攻击能力。
27、系统管理员可以使用 UniAccess 对终端计算机分组设置本地安全策略,深圳市联软科技有限公司 http:/ 12 UniAccess 几乎支持所有的 Windows 本地安全策略设置。通过本地安全策略,可以禁止终端计算机私自更改 IP 地址,禁止通过控制面板安装 /卸载程序,禁止添加打印机等本地安全策略,设置 Windows 服务的启动方式等。 UniAccess 允许用户自定义 “本地安全策略组 ”, UniAccess 将自动把这些本地安全策略组分发到对应的终端计算机。 图 4 主机安全漏洞检查 上图界面是对主机存在的漏洞进行检查,这些策略将作为客户端必须满足的基线安全策略。 深圳市联
28、软科技有限公司 http:/ 13 图 5 Windows 本地安全策略加固 上图界面是对主机存在 Windows 本地安全策略以及本地服务状态进行更改,以提高主机的安全性。 UniAccess统一设置终端计算机的个人防火墙, 实现终端计算机的网络访问控制,策略具体包括:终端计算机本身能够打开哪些服务端口被哪些进程主机访问,终端计算机能够访问哪些进程主机的哪些服务器端口。对于违反网络访问控制策略的终端,UniAccess 可以阻止访问或者进行审计。 2.2.5. 非法操作监管,让管理规定令行禁止 UniAccess 可以对多种类型的非法操作进行监管,具体包括: 非法安装、卸载软件:对安装了不应
29、该安装的软件(如:游戏),或者卸载了不应该卸载的软件(如:防病毒软件); 非法外联控制:支持对USB移动存储介质、Modem 拨号、无线通讯、红外、蓝牙、同时使用内外网卡等非法操作的监控、审计和禁止使用; 非法网络访问控制:访问非法的网站、使用外部邮件服务器、从本机或网络拷贝机密文件的监控、审计或禁止; 深圳市联软科技有限公司 http:/ 14 非法使用网络资源:对网上聊天、BT下载的监控、审计和禁止; 文件操作行为管理:对本机硬盘、注册或未注册U盘软盘、网络共享目录的文件读写操作,监控、审计、禁止; 即时通讯工具管理:对飞信、QQ、MSN等即时通讯工具的信息、文件、图片传输进行管控。 对非
30、法操作行为的监管,一方面可以防止内部保密文件的外泄,同时也是对网络安全的保护。 UniAccess 支持离线管理,可以支持电脑在离开网络之后(如:离开单位) ,各种管理策略(如:禁止使用未注册的 USB 移动存储设备)仍然有效。 2.2.6. 软件分发,功能强大、快速分发 UniAccess 可以对数以万计的终端计算机做统一的软件自动分发和安装。 1. 自动化的软件分发和安装 UniAccess 根据系统管理员对软件分发任务的配置,规定时间到达时自动执行任务,安装指定文件服务器中的指定软件。 为了支持大规模网络环境的应用,系统会计算任务会占用的带宽,将终端计算机的软件下载的时间错开,从而降低对
31、网络带宽的占用和对文件服务器性能要求。 另外,还支持端点续传。 UniAccess 代理支持断点续传方式下载软件安装包,以适应网络通信不稳定的环境。 2. 灵活安排软件分发和安装日期/时间 系统管理员可以灵活定义每个软件安装任务的执行日期和时间,即可以是立即执行软件分发任务,也可以在未来某个时间执行。 3. 支持多种文件服务器 UniAccess 支持 HTTP 服务器、 FTP 服务器和 Windows 共享服务器,系统管理员可以将安装软件放到这三种服务器的任意一种。 4. 方便地选择目标客户端 深圳市联软科技有限公司 http:/ 15 系统管理员可以选择某个部门、某个网段或者某类操作系统
32、系统的所有客户端作为软件分发的目标。 5. 支持手工与自动安装 UniAccess 将软件分发信息通知到客户端后,系统管理员可以选择让客户端用户手工安装软件或者由 UniAccess 代理自动安装软件,这样可以将强制性安装的软件和非强制性安全的软件区分开。 6. 多目软件分发 在大型网络 (多网段 )中, 系统管理员可以在每个网段选择一个或者多个种子设备。UniAccess 首先将要安装的软件包分发到每个网段的各个种子设备, 而各网段内部终端计算机直接从种子设备下载软件包而不是到集中的文件服务器下载。 这样既可以加快软件分发的速度,又不会占用网段之间的网络资源,特别是在有分支机构的网络环境中。
33、 下图是软件分发任务配置界面。 图 6 软件分发任务配置 2.2.7. 远程协助与监控,不到现场、胜过现场 系统管理员可以使用 UniAccess 对进程主机进行监控,而无需离开办公位置。UniAccess 的进程管理功能有以下特点: 深圳市联软科技有限公司 http:/ 16 1. 支持 NAT 网络环境下的进程桌面控制。在客户终端分布在异地的广域网环境下也能进行进程协助不监控。 2. 支持两种管理模式。一种是管理员只监视不控 制,另外一种是管理员与客户端可以同时控制或者由管理员完全控制。 3. 安全口令保护。为防止不恰当或恶意操作, UniAccess 通过口令来鉴别进程控制的合法性,作为
34、系统管理员,可以在管理端为不同的组的客户机设定不同的管理口令,管理口令可以动态调整。 4. 管理员可以同时管理、监控多个客户端。 5. 动态带宽调整技术。 UniAccess 能够依据网络带宽资源,自动调整监控端的分辨率,如:在带宽资源不足时, UniAccessTM 将自动降低分辨率以降低网络带宽。 6. 客户端资源占用少, UniAccess 采取独特的压缩技术,使得进端的客户机被进程管理时客户机的资源消耗很小,在诸多的实际应用中,客户机即使配置较低(如: CPU 为 PIV,内存 512Mb)其在被监控时资源占用也很少。 7. 数据加密传输。 UniAccess 在与进程主机进行通讯时,
35、所有数据可以加密传输,保证进程主机的画面不能被其他人窃取。 2.2.8. 移动介质管理,放心使用 U 盘 移动存储介质管理实现:禁止非授权移动存储介质在系统内部使用;阻止内部移动存储介质外带非法使用;降低介质丢失后泄密的安全隐患等功能。 图 7 移动存储介质管理示意图 深圳市联软科技有限公司 http:/ 17 1. 当外来 USB 设备试图接入内网时, UniAccess 安全助手会自动发现并且根据安全策略来做相应处理。如果安全策略设置了不允许使用任何 USB 移动存储设备则直接禁止 USB 设备;如果安全策略设置了可以使用已注册设备则检查该设备是否注册,如果已注册则可以使用,如果未注册则提
36、醒用户需要到管理员处注册。管理员使用专门的 USB 设备注册工具对该设备注册后就可以正常、安全的使用了。 2. 用户将未注册 USB 存储设备拿到管理员处,管理员使用专门的 USB 设备注册工具进行注册,注册时将分配该 USB 存储设备的领用人、领用部门以及能够使用的终端范围。对于强度较高的加密型 U 盘,只注册其 ID 即可。注册 USB 设备时,还可以选择 USB 移动存储设备与用户帐号或者电脑绑定。另外,为了保证笔记本移动办公时的方便性, UniAccess 安全助手会缓存在本机曾经合法使用过的已注册设备的标识符,这样当员工将笔记本带回家工作时,员工手头已注册的 USB 移动存储设备的使
37、用不受影响。 3. 对于普通 U 盘,通过专用工具,可定制为专用的加密 U 盘。首先会自动获取该设备的标识符和现有信息(如分 区、容量、已有文件列表等) ,然后提示用户是否进行格式化;格式化过程就是将 USB 移动存储设备分为三个区域:系统信息区、明文交换区、加密区。系统信息区是只读的,保存一些系统自身使用的重要信息,同时放置了一个解密工具,用户必须运行这个解密工具输入合法口令才可以使用加密区中的数据;交换区是可选的,没有加密,用于与外部人员交换数据;加密区的数据是自动加密的,只有拥有合法口令的用户才可以打开并使用加密区。 2.2.9. 终端打印及屏幕管控 UniAccess 可以审计监控打印
38、的文件名、打印页数以及所使用的打印机,并将打印文件传送到指定的网络存储位置, 能够禁止指定的打印进程并能对指定的打印机进行进行打印控制。 对于终端打印的文档, 可添加自定义防泄密水印, 其中水印的内容、字体、颜色、版式均可由用户自由配置编辑。 UniAccess 可以对屏幕进行抓拍审计,实时审计特定计算机,可指定时间截取屏幕,并且对用户计算机做屏幕快照并保存下来,以备管理员回放审计。同时,可自定深圳市联软科技有限公司 http:/ 18 义屏幕水印显示,根据用户访问页面内容不同,动态的现实屏幕水印,防止通过拍照方式将终端访问的机密信息外传扩散。 2.2.10. 信息资产分级安全管理 由于不同信
39、息资产其安全等级不同,在安全管 理上必须采用不同的安全管理策略。 BS7799 作为全球安全管理的佳实践规范,也强调要对不同安全要求的信息资产采取不同的安全管理策略。 UniAccess 参考 BS7799 的资产分级管理要求,可以实现非常灵活的资产分组、分级,对不同组别的资产,可以取不同的安全管理策略。例如, UniAccess 可以按照如下条件对信息资产进行分组或分级: 部门; IP 地址范围; MAC 地址; 设备类型; 操作系统类别; 操作系统诧言; 资产的配置(如:CPU 主频、硬盘容量、计算机上安装的软件); 设备的在线状态; 2.2.11. 满足分布式、多用户管理需要 UniAc
40、cess 能够支持地域分布、在管理职能上是上下级关系的 IT 系统的桌面终端计算机管理。上级 UniAccess 系统充当管理中心职能,可以集中设置整个系统的安全策略、可以管理整个系统所有终端计 算机,设置的安全策会自动下发到下级 UniAccess 系统。下级 UniAccess 系统会自动将设备信息、安全漏洞信息上报给上级 UniAccess 系统。 UniAccess 可以为不同的管理员分配不同管理权限。管理权限包含两个方面:一是系统菜单功能,二是可以管的设备。任何管理员都只能使用他权限范围内的系统功能,管理和看到他权限范围内的设备。 深圳市联软科技有限公司 http:/ 19 2.3.
41、 其它功能 除以上各种功能外, UniAccessTM 还提供了诸多功能,方便对数量众多的桌面 终端的集中管理。下面列出部分重要功能。 系统部署 UniAccess 在设计时,充分考虑了在数以千计、乃至数以万计的终端计算机环境中部署 UniAccess 的复杂度,系统提供了多种部署手段和部署工具,包括进程自动部署安装工具。 代理的安全性以及对资源的消耗 安装在终端计算机上的 UniAccess 代理软件短小精悍,仅仅占用很少的内存以及 1以下的 CPU 资源。安装 UniAccess 代理之后,没有管理员的授权,普通用户无法卸载、删除或者中止执行 UniAccess 代理,并且理安装之后,代理
42、不会打开可以被外部访问的 TCP 端口。 网络拓扑自动发现 UniAccess 提供网络拓扑自动发现,可以提供二层网络拓扑连接关系图。 2.4. 报表 UniAccess 提供了丰富的报表,用户可以依据各种查询条件自行定义报表,报表可以打印或者导出到 Excel 表以下是部分报表。 配置类报表: 组织的 IP 地址一览表 设备的软硬件配置详细报表 CPU 配置报表; 硬盘配置报表; 内存配置报表; 深圳市联软科技有限公司 http:/ 20 安装软件报表; 操作系统报表; 设备配置变更报表; 新设备接入报表; 长期未运行设备报表; 安全类报表: 安全策略设置总表; 非授权外违报表; 设备安全漏
43、洞报表; 异常流量主机报表; 设备接入审计报表; 管理维护类报表 软件分发状态报表; UniAccess安全助手升级报表; 客户机注册管理报表。 深圳市联软科技有限公司 http:/ 21 第 3章 UniAccess 系统主要特点 综合型安全管理套件,功能全面 UniAccess 集安全管理、防信息泄露、传统桌面管理功能于一体,以解决安全管理问题为主,同时兼顾传统桌面管理需求。 快速发现、定位外来设备 UniAccess 可以快速发现外来设备接入网络,可以依据 IP、 MAC、主机名等对外来设备进行定位。 即使是安装了人防火墙的外来计算机, 也能够被快速发现并定位。 基于 Web 的管理 U
44、niAccess 采用 Web 方式管理,系统管理员可以在任何地方管理终端计算机。 易于部署迅速实施 UniAccess 提供基于 Web 方式安装的 UniAccess 代理,可以帮助系统管理员快速部署到所有客户端。 支持大规模系统管理 UniAccess 可以支持上万个客户端的管理,而不对网络和客户端产生压力。 源代码级技术支持 联软科技拥有 UniAccess 的全部知识产权,向用户提供源代码级技术支持。多年来我们积累了丰富的系统管理统方面的开发经验, 能很好地满足企业个性化信息平台运营维护方面的需求。 深圳市联软科技有限公司 http:/ 22 第 4章 与其它桌面管理软件比较 Uni
45、Access 在 “终端安全管理、桌面资产管理、防信息泄露 ”等领域的功能非常成熟完善。与其它桌面管理软件相比有如下的显著优势: 构建一体化的网络安全防御体系 UniAccess 在补丁包自动升级、主机安全漏洞检查、主机安全加固、防病毒软件强制安装与更新、网络访问控制、网络异常检测、非授权外违、网络行为审计等几个方面加强网络内部的安全性,与防火墙、防病毒软件一起构建成个完整的网络安全防御体系。 完善的数据安全防护 UniAccess 将堵、加密、权限控制的技术有效结合,既提供了各种端口应用的审计、非法外违控制,也提供了移动存储介质管理功能模块,在防信息扩散、防信息泄密领域实现了纵深立体防御。 及时发现接入网络中的所有设备 很多桌面管理软件只能发现安装了自身客户端代理的终端计算机,而不能发现未安装客户端代理的终端计算机。而 UniAccess 可以发现任何接入网络的设备,不管是否安装了 UniAccess 客户端代理。 UniAccess 对设备现的及时性保证外来机器、移动电脑接入网络时也能被
