瑞星企业终端安全管理系统技术方案
时间:2020-11-16 16:29:00 来源:勤学考试网 本文已影响 人 
瑞星企业终端安全管理系统软件技术白皮书
PAGE 1
PAGE 1
瑞星企业终端安全管理系统软件解决方案
瑞星企业终端安全管理系统软件解决方案
北京瑞星信息技术有限公司
2013-01
TOC \o "1-3" \h \z \u 1. 安全现状 2
1.1. 现状概述 2
1.2. 应对策略 3
2. 安全理念 4
2.1. 安全理念 4
2.2. 安全体系 5
3. 瑞星终端安全管理体系设计 5
3.1. 分布式体系结构 5
3.2. 支持大型网络的多中心负载平衡系统 6
3.3. 瑞星终端安全管理体系设计实现 8
3.3.1. 瑞星企业终端安全管理系统软件管理控制台 8
3.3.2. 客户端IT资产管理子产品 15
3.3.3. 客户端行为审计子产品 16
3.3.4. 客户端网络安全子产品 17
3.3.5. 客户端漏洞扫描功能子产品 17
3.3.6. 客户端防病毒功能子产品 18
3.3.7. 业务中心子产品 19
3.3.8. 部署升级中心子产品 19
3.3.9. 漏洞补丁中心子产品 19
4. 瑞星企业终端安全管理系统软件的技术特点 19
4.1方便用户使用的操作控制台 19
4.2高性能多服务器负载均衡体系 20
4.3动态授权分配 20
4.4高效的策略配置模式 20
4.5支持企业级私有云反病毒功能 20
4.6模块化的产品结构与授权模式 21
5. 方案总结 21
附:公司简介 22
安全现状
现状概述
随着网络应用的不断普及和应用,网络应用向多层次、立体化、空间化方向发展,网络空间电子文档的安全问题越来越突出,电子文档和数据被有意无意的窃取、丢失、泄密等给数字化的文档安全管理带来很大挑战。
首先,对于行业信息网络而言,当DDos攻击、病毒、木马威胁、非法入侵、非法接入、敏感数据泄密、移动介质随意接入,以及电子信息战等越来越严重的影响到公众利益和国家利益的时候,网络空间安全(Cyberspace Security)也继国防安全、政治安全、经济安全、金融安全之后成为了国家安全体系中的一项重要内容,受到包括美国、欧洲和中国政府的高度关注。
其次,在国家行业信息化推进的大环境下,行业专网的运营安全在国民经济建设中日益显得举足轻重。特别是在政府机关网络中,工作秘密的泄露会使政府机关工作遭受损失,带来不必要的被动;而国家秘密的泄露会使国家的安全和利益遭到严重损害,而泄密者受到降职、降衔的严肃处理,甚至移交司法机关处理。
同时,对于很多无意识泄密事件中,大多数都是由于外部终端设备随意接入内部网络引发安全事故、病毒木马防控不严、U盘等外设存储使用不当、擅自连接其他网络、重要文档被非授权访问和复制、未经授权而进行数据拷贝和光盘刻录,以及对存储敏感信息的介质和文件没有彻底消除而造成的。
由此,如何应对上述安全问题,减少直至杜绝内部敏感信息的泄漏和重要数据的丢失而引发的安全事故,建设面向网络空间的、安全和谐的内网运行环境,则成为了政府机关网络、行业信息网络主管领导日常工作的重中之重。
应对策略
从网络空间应用接入方式来来说,网络空间应用从传统的互联网应用接入发展到以移动/无线通信应用接入乃至移动互联网接入等多种方式。
而针对网络空间安全方面的问题,瑞星公司基于多年的产品开发与超大规模成功部署与应用经验基础,组建了面向网络空间的终端安全管理产品体系。该产品体系主要面向重要网络、信息系统及基础设施的失泄密检测与防范,实现从终端、区域网到互联网的一体化检测、管理与防范。该体系从资产管理、行为审计、网络安全、漏洞扫描,以及防病毒功能等方面,实现了多层次、全方位、立体化纵深失窃密检测与防范,形成了面向复杂网络空间的终端安全管理一体化解决方案,有效地实现了网络空间下对终端计算机的安全管理体系。
安全理念
安全理念
针对目前网络中终端计算机面临的各种安全问题,作为终端安全管理市场的领导者,瑞星公司特推出了面向网络空间的终端安全管理系统。
终端安全管理体系以终端数据安全为基本,遵循国家和行业等级保护,基于安全工程的思想,以独特的终端安全配置策略为核心,以终端安全风险测试与评估为依据,实现组件化可动态组合配置的终端安全管理。
安全体系
瑞星体系覆盖终端的资产安全管理、终端数据安全管理、终端行为安全管理、终端漏洞安全管理等多个方面,涉及管理计算机本身、计算机应用、计算机操作者、计算机使用单位管理规范等多个方面,形成全方位、多层次、立体化终端安全管理。
瑞星终端安全管理体系设计
分布式体系结构
瑞星终端安全管理系统采用CS/BS混合的体系结构,对组织单位的各种计算机终端都定义为属于本组织单位的一个管理域中,然后通过对管理平台中的管理域的各种管理,实现对全网资源的统一管理:
图1分布式体系结构
从上图可以很明显的看出,和管理中心直接交互的有以下对象:
管理域数据中心
管理员管理控制台:web方式远程
中心服务器
业务中心服务
扩展中心服务
概况的说管理中心是提供给管理员对整个管理域进行管理的中心服务,基于我们目前提供的web管理方式,也就是说管理中心其实也就是一个web服务中:。
提供web访问服务的UI:显示管理数据
接收管理员在web上的管理操作命令:策略、任务管理、管理域配置等等信息
同时,这些管理的数据最后都是记录到数据中心(数据库)里,由业务中心或者其他扩展中心去执行,但为了业务中心或扩展中心能及时知道管理中心有对管理数据的修改,管理中心会可以在修改后产生修改描述性消息,如:
管理组的策略修改
管理组的任务修改
业务中心的负载策略修改
升级服务器的更改
等等
其他中心服务器(业务中心、扩展中心)可以订阅管理中心的这种数据库修改变化消息,以可达到更优更快捷地读取对应关心的数据库信息
瑞星企业终端安全管理系统软件采用分布式体系,结构清晰明了,管理维护方便。管理员只要拥有管理员账号和口令,就能在网络上任何一台有网页浏览器的计算机上,实现对整个网络上所有计算机的集中管理。
支持大型网络的多中心负载平衡系统
单业务中心环境中,实际上它的处理能力总是有限的,考虑中、大型网络环境中,众多客户端造成整个系统性能下降的问题,系统提供了增加业务(扩展)中心的方式,即整个系统可部署1个以上的业务中心,用以提高整个系统的负载能力。
多中心的部署,对客户端连接来看是透明的,客户端看中心一个逻辑的组,不关心有多少个,增加中心也不会影响客户端的原有连接,在启用了负载平衡后,中心会根据当前的实际情况智能分配连接,使得各中心连接相对平衡,达到最大化的优化系统,提供整体性能。
瑞星终端安全管理体系设计实现
瑞星终端安全管理体系分别从客户端IT资产管理功能、客户端行为审计功能、客户端网络安全功能、客户端漏洞扫描功能、客户端防病毒功能和业务中心、部署升级中心以及漏洞补丁中心这几个方便对客户端机器的信息安全进行统一管控。
瑞星企业终端安全管理系统软件管理控制台
安全管理平台使得管理员能够对网络中的所有计算机进行有针对性的配置、管理并可以查看客户端信息以及监控计算机的使用情况,从而保障企业资产的的安全。
瑞星企业安全管理平台主要包括【安全中心】、【日志报告】、【客户端管理】、【服务器管理】、【授权管理】和【用户管理】六大功能。
安全中心
安全中心,给出了一个管理员从全系统情况下可能直接关心的概要信息,方便管理员快速判断系统的当前状态,主要包括:
客户端在线情况
客户端版本统计情况
产品授权信息
管理控制台即时事件
日志报告
提供管理员查看系统及子产品的日志、报告信息,便于了解系统运行情况,子产品的运行结果及收集的结果等等,并提供预设的报告模块,给管理员带来较好的可视化效果统计、分析信息,此单元又包括三个部分:
日志查询
针对不同类型的日志,提供不同的过滤参数,查看详细的日志信息。
报告查询
针对不同类型的报告,再根据不同的过滤参数,查询出来的日志信息按预设的报告模块展示出如:柱状图、曲线图、饼图等图形化形象地展示效果,给管理员一个更为直观的视觉体验。
定时报告
考虑有些报告管理员需要定时查看,且又有脱离使用管理控制台的需要,管理员可以事先设定好报告参数及产品报告的时间,系统会自动产生报告并发送到指定的目的地(邮箱),更大程度上给管理员带来便利。
客户端管理
客户单管理可对客户端进行分类管理,并且可以通过设置不同的策略使管理更具操作性、个性化和有针对性,真正做到为企业的内部资产安全建立起一个可靠的监控管理体系。
客户端管理定义整个管理域有一个树型根(我的组织),然后把所有客户端计算机划分为三种类型:根管理组(已正常管理组)、黑名单组、未知计算机组。
根管理组:即普通组是指可正常受控管理的客户端的集合,也可以根据需要建立不同的子组,进行有针对性的管理。
黑名单:不想进行管理的客户端的集合
未知计算机:客户端已经被软件发现,但并未被划归根管理组/黑名单的计算机的集合,但可以进行正常管理。
针对客户端的有效管理,又提供了一下统一管理操作:
域、组设置
子组管理,客户端组管理
策略、任务管理
组命令,客户端命令操作
客户端计算机搜索
未知计算机扫描、自动入组策略
等等
服务器管理
各中心所使用的服务器,包括瑞星软件部署升级中心和瑞星业务中心及系统数据中心。服务器按照系统可划分为系统服务器和外围服务器。系统服务器是装有瑞星软件中心系统的服务器,外围服务器网络环境下可间接使用的可起辅助管理作用的服务器,如邮件服务器、域服务器等,这些服务器不是本系统所必须的,但是可以通过外围服务器增加系统的管理、使用能力。
系统数据中心
设置数据库连接信息及数据清理参数
业务中心
展示业务中心列表,并提供对业务中心的操作
升级中心
展示升级中心列表,并展示对应升级中心软件模块的版本情况,也提供相应的管理操作。
漏洞补丁中心
展示漏洞补丁中心列表,也提供相应的管理操作
授权管理
授权管理主要是查询本软件各个子产品的使用期限、授权数量以及更新子产品。展示上主要包括产品信息和授权信息两方面内容。
旨在展示当前授权信息使用情况,及方便管理员导入授权信息。
用户管理
用户管理分为用户和用户组,用户组可以包括多个用户,一个用户也可以属于多个用户组。用户组的设立主要也就是为了方便对管理对象的权限设定,可以把权限分配给用户组,这样只要属于这个用户组的用户(包括之后再加入用户组的用户)就都具有了对应的权限。
统一的权限管理机制,把权限统一分为:
读
写
执行
不同的管理员只是对不同管理对象具备不同的操作权限而已。
在用户管理界面主要包括用户查询和用户列表两部分的内容。用户查询是用于在用户较多的情况下,输入用户名、类型、上次登录或所在组等信息快速查找。
审计控制台
管理控制台提供给管理员的是一个针对系统管理、使用的角度而设计的,可快速、有效的对整个系统进行有效的管理,但对子产品功能的使用不是足够的突出,所以我们还针对具体子产品功能使用设计出另一种审计控制台,更大程度上增强对审计子产品的使用。
根据不同的管理员,可以直接登录到对应的控制台,有权限的管理员,还可以快速切换两种控制台模式。
客户端IT资产管理子产品
瑞星客户端IT资产管理子产品可以评估并检验终端计算机的安全性,实行客户端硬件异常、软件进程异常的统一查看,并提供软硬件资源登记及终端设备变化报警、硬件详情审计、进程软件分发与部署功能、远程维护、软件进程保护以及软件进程禁用等功能,防止通过其他途径而造成的敏感信息的泄漏。主要功能如下:
硬件异动审计,可以看到硬件的变化信息;
硬件详情审计,可以详细查看每个终端的硬件信息;
设备详情审计,可以按照设备类型方式查看每个终端的设备详情
已安装软件统计,可以统计所有终端的应用软件的详情。
软件分发与部署,可以分发第三方自定的软件,或者内置的一些常用软件。
软件/进程禁用,可以禁止指定的软件运行。
软件/进程保护,可以保护指定的软件不被恶意停止运行、修改、注入等等。
进程运行审计,可以查看进行指定客户端的进行运行列表。
客户端行为审计子产品
客户端行为审计子产品可以针对终端行为实现“行为前、行为中、行为后”三位一体的管理解决方案,为企业/机构的信息安全及互联网安全提供高质量的保障,既可以即时审计企业/机构内部员工的文档操作删除,移动介质使用等行为,同时还可以有效的管理企业/机构的网络带宽分配和员工的工作效率。其功能实现阐述如下:
网文档操作审计功能,可以审计U盘、网络盘或指定磁盘位置的文件的复制、删除等等文件操作,并统一汇总在控制台上;
文档打印审计功能,可以记录客户端打印的内容的概要信息,包括标题、页数等等;
对POP3、SMTP的邮件审计功能,可以指定各种过滤条件,锁定固定的审计内容;
U盘的使用审计与统一管理;
通信设备与移动设备的管控审计;
上网设备的管控;
网页浏览审计,可以控制上网行为,并进行跟踪审计;
联网程序审计,可以对指定的某个进程的联网行为审计控制;
网络IP数据包审计(出站、入站包审计),并且可以在黑客攻击时报警拦截并记录;
网络流量管控与审计,可以查看全文每个终端的网络流量,并设定下行的流量大小;
非法外联审计,如果检测到连接到互联网,可以报警并记录;
网络资源访问审计(指定机器访问与共享文件访问)
3.3.4. 客户端网络安全子产品
瑞星客户端网络安全子产品对企业内网客户端的基本使用情况和网络访问进行全方位的管理。
包括:电脑的开机/关机,用户登入/登出事件记录、对电脑进行锁定、关闭、重启、注销和编辑、发送文本通知信息、反病毒软件安装情况管理、系统及磁盘信息扫描、开机启动管理、开机时间跟踪审计、系统操作权限控制、客户端IP防篡改、ARP欺骗检测、网络强制安全检查与控制。具体功能实现如下:
(1) 对客户端计算机的开机/关机,用户登入/登出事件进行记录;
(2) 能够在中心控制端对网内任意安装了客户端的计算机进行锁定、关闭、重启、注销和编辑、发送文本通知信息;
(3) 扫描客户端计算机是否安装了常用的反病毒软件,并可以设定不符合规定的终端自动被网络隔离;
(4) 扫描用户操作系统以及磁盘的详细情况,并把系统盘磁盘空间不足的终端列出来;
(5) 开机启动项的管理,可以集中查看和优化全网的终端的启动项;
(6) 开机时间的跟踪审计,可以评估客户端机器的运行效率和资源使用趋势;
(7) 可以控制客户端用户对计算机的操作权限,允许管理员设置策略来控制终端用户禁用操作系统提供的系统功能:控制面板、计算机管理、计算机属性、网络连接管理、IE浏览器插件管理;
(8) 客户端IP防篡改,防止终端用户自己随意更改本机IP地址;
(9) ARP欺骗检测,可以防止IP地址冲突,防止本机发ARP欺骗包,并检测内网的恶意ARP欺骗包。
(10) 网络强制安全检查与控制,对于不符合安全要求的客户端计算机,可以立即阻止其与其他终端的联系,也就是网络隔离状态。
3.3.5. 客户端漏洞扫描功能子产品
瑞星客户端漏洞扫面功能子产品是在瑞星防病毒系统为国家各大部委机关、各大行业网络用户进行病毒安全服务、总结安全运营保障经验的基础上,分析当前网络客户端实际安全管理要求研发的。具体实现功能如下所示:
(1)管理员可以设定策略扫描的时机为每天、每周、每次开机;
(2) 可以设定是否只扫描而不自动修复漏洞补丁,这对于运行特殊业务的服务器非常有用;
(3)可以选择修复指定级别的漏洞补丁,对于不重要的功能性补丁可以做到不修复;
(4)可以按照分类选择只处理漏洞补丁为操作系统、微软相关产品、其他第三方的产品;
(5)支持客户端使用P2P、HTTP协议自动下载补丁,并且支持管理员设置策略从独立的部署了瑞星补丁分发服务器产品的服务器上下载漏洞补丁;
3.3.6. 客户端防病毒功能子产品
瑞星客户端防病毒功能子产品采用瑞星本地引擎+瑞星云引擎(私有云/公有云)从而具有超强的木马病毒查杀能力,并大大降低了对企业网络资源的占用。
通过监控网络共享、U盘、下载方式等途径,自动分析识别企业内网病毒是如何进入企业的,并自动绘制感染图,便于管理员快速定位问题。主要功能实现如下:
(1) 瑞星新一代V16引擎,支持公有云、私有云查杀;
(2) 支持智能增量升级模式,可以快速高效的升级文件而占用最少的网络带宽;
(3) 系统监控,包括文件监控、邮件监控、U盘监控;
(4) 系统扫描,包括快速扫描、全盘扫描、自定义扫描;并且管理员可以在控制台上远程查看客户端扫描状态信息、并控制快速扫描或者全盘扫描的扫描过程;
(5) 染毒文件的隔离与恢复;并且管理员可以在中心控制台远程恢复可能误杀的文件;
(6) 病毒日志的详细查询;可以在控制台上看到实时病毒上报信息,并查看网内病毒爆发趋势图,以及各种相关统计报表;
(7) 病毒来源分析与跟踪,可以根据病毒的名称及ID分析病毒的传播途径与爆发方式;可以让管理员通过图形直观的分析网络染毒的情况;
(8) 其他客户端工具支持,包括客户端磁盘引导区备份等等工具;
(9) 支持多种客户端的工作模式,中心控制台内建多种工作安全策略模板,方便管理员对不同用途的客户端快速应用合适的安全策略;
3.3.7. 业务中心子产品
(1) 提供支持多个业务中心计算节点的负载均衡的事务处理服务;
(2) 用户至少需要部署一个服务器,可以部署多个服务器(最多可以并行运行4个);
(3) 支持配置数据库连接池的大小;
3.3.8. 部署升级中心子产品
提供本产品的全网部署与升级服务;
并提供独立的web化管理方式;
这个产品不是必须部署的,因为每个部署节点默认都可以自动到瑞星网站更新;
这个子产品提供了完整的产品客户端统一打包分发与升级功能;
支持分发第三方软件包,并具有定义、分发、统计等等维护功能;
支持服务器树型的级连部署,尤其在大型组织单位可以部署的服务器数没有限制;
3.3.9. 漏洞补丁中心子产品
提供漏洞补丁的集中下载,并统一发布功能;
这个产品不是必须部署的,因为每个节点都支持P2P自动下载功能,但是无法与互联网通讯的内网环境中是必须要部署的;
支持服务器树型的级联部署,尤其在大型组织单位可以部署的服务器数没有限制;
提供工具,支持漏洞补丁文件的备份/导入功能;
对中心漏洞的下载可以集中查看管理
瑞星企业终端安全管理系统软件的技术特点
4.1方便用户使用的操作控制台
瑞星企业终端安全管理系统软件使用B/S架构的管理员控制台操作模式,管理员只要能连接到管理中心,可以在任意位置登录控制台使用,甚至可以使用手机、平板电脑等手持触摸设备操作使用。
首创的两种管理员操作控制台视图,在系统管理、审计操作之间灵活切换,即保留了系统操作管理能力,又提供了直观、易懂的审计UI方式,降低了管理员使用难度,又不失系统的强大管理能力。两种控制台的使用可在创建管理员用户时就设定为单一模式,登陆后直接登录到对应的控制台,简单、快捷、方便。
4.2高性能多服务器负载均衡体系
考虑提高整个系统的负载能力,又减少增加服务器对客户端计算机的影响,内部使用服务器组的模式对客户端提供服务,又使用高效的算法进行负载均衡运算,使得可以快速加入新的服务器来达到提高服务器负载的能力。
4.3动态授权分配
系统内部采用动态分配子产品授权的方式,最大程度上为客户提供服务,如此在某些特殊情况下可能造成某些必须要使用的客户端计算机无法获取到授权,在此基础上,我们又引入了动态绑定的方案,确保动态分配授权也不会抢占“高优先级”客户端授权。
服务器的授权也是使用动态分配方式,但是考虑不应该使得服务器安装泛滥造成对网络中真正的服务器造成影响,只需要管理员对有效服务器进行一个简单的“绑定授权”确认操作,这样既可做到只让有效服务器对外提供服务的设置。
4.4高效的策略配置模式
系统提供策略模板、共有策略、组策略、客户端策略、组继承多种策略配置模式,从全局共用、模板应用、单独配置多角度、多层次提供配置操作,满足管理员各种差异化管理需求,又可最大程度上减少策略配置复杂度。
4.5支持企业级私有云反病毒功能
如果客户端部署了瑞星防病毒模块/子产品,可高速响应企业级私有云的查杀服务。并且自动整合到瑞星网络安全管理平台的服务中来,可以对病毒爆发的客户端实施智能的跟踪和网络隔离,最大限度减轻病毒对全网的威胁。
4.6模块化的产品结构与授权模式
用户可以根据本单位的实际需求,合理的购买需要的安全模块,并可以随着伴随企业单位的成长规模,来随时增加新的安全模块和授权。不但减轻了首次购买的支付成本,并且降低了后续的升级成本。
5. 方案总结
本方案基于瑞星终端安全管理体系核心理念,通过对终端用户的IT资产管理子产品、客户端行为审计子产品、客户端网络安全子产品、客户端漏洞扫描功能子产品、客户端防病毒功能子产品、业务中心子产品、部署升级中心子产品、漏洞补丁中心子产品等管理组件对终端数据信息安全防泄密等一体化解决方案进行了详细阐述。
同时,通过瑞星终端安全管理的集中管控与策略平台对终端计算机数据安全提供一定的保障,最终实现对内网授权终端用户的可控、可管、可审计,从而形成了完整的数据防泄密体系,为整个网络系统信息安全管理体系建设打下坚实的基础。
附:公司简介
瑞星品牌诞生于1991年刚刚在经济改革中蹒跚起步的中关村,是中国最早的计算机反病毒标志。瑞星公司历史上几经重组,已形成一支中国最大的反病毒队伍。瑞星以研究、开发、生产及销售计算机反病毒产品、网络安全产品和反“黑客”防治产品为主,拥有全部自主知识产权和多项专利技术。
目前,瑞星公司已推出基于多种操作系统的瑞星全功能安全软件单机版、网络版软件产品;以及企业防毒墙、防火墙、网络安全预警系统等硬件产品,是全球第三家、也是国内唯一一家可以提供全系列信息安全产品和服务的专业厂商。
在公安部组织的计算机病毒防治产品评测中,“瑞星全功能安全软件”单机版、网络版曾多次双双荣获总分第一的殊荣。公司拥有国内最大、最具实力的反病毒和网络安全研发队伍,并且拥有国内安全行业唯一的“电信级”呼叫服务中心和“在线专家门诊”Online服务系统。
瑞星和政府机构、商业伙伴以及媒体有着广泛而深入的合作关系,借助内外部各种资源,目前已建成五大安全网络体系——全球计算机病毒监测网、全球计算机病毒应急处理网、全国计算机病毒预报网、全国反病毒服务网以及全球病毒疫情监测网。
瑞星公司总部设立在北京,在全国各地设有分支机构。目前公司拥有国内最大的信息安全研发团队、国内最大的客户服务团队,以及销售、市场、网站等部门,并已经建成覆盖全国的庞大的销售和市场体系。
目前瑞星拥有数千万正版个人用户,数十万家企业用户,主要软件产品以中(简、繁体)、英、俄、德、日五种语言版本推向全球市场,销售网络覆盖北美、欧洲、亚太等地区。作为在中关村成长起来的高科技企业,瑞星正逐步走向世界,实现公司的美好愿景——成为全球最具价值的信息安全产品和服务提供商。
