盈高多维终端安全管理平台产品说明书.docx
- 文档编号:10618400
- 上传时间:2023-02-21
- 格式:DOCX
- 页数:24
- 大小:899.80KB
盈高多维终端安全管理平台产品说明书.docx
《盈高多维终端安全管理平台产品说明书.docx》由会员分享,可在线阅读,更多相关《盈高多维终端安全管理平台产品说明书.docx(24页珍藏版)》请在冰豆网上搜索。
盈高多维终端安全管理平台产品说明书
MSEP多维终端安全管理平台
产品说明
杭州盈高科技有限公司
杭州市教工路552号杭州国际服务外包示范基地301室
电话:
+86571-88271902
传真:
+86571-56839385
MSEP多维终端安全管理平台产品说明
版权声明
本文中的所有内容及格式的版权属于杭州盈高科技有限公司(以下简称盈高科技)所有,未经盈高科技许可,任何人不得仿制、拷贝、转译或任意引用。
版权所有不得翻印©2007盈高科技公司
商标声明
本文中所谈及的产品名称仅做识别之用。
手册中涉及的其他公司的注册商标或是版权属各商标注册人所有,恕不逐一列明。
盈高®多维终端安全管理平台
信息反馈
一产品的安全策略
随着网络技术的广泛应用,各种网络环境中的安全问题正威胁着用户的正常工作,目前边界安全技术及产品已非常成熟,从2003-2006年的网络安全情况来看,尽管大多数用户采用了专门的网络通道技术、物理隔离技术、安全网段划分、安全防护设施(如防火墙、入侵检测、漏洞扫描)等方式保证自己的网络安全,但是,对类似下面的安全问题仍然无法做到真正意义上的解决:
◆如何防范频繁出现的内部攻击?
◆如何及时发现桌面设备的系统漏洞并最快自动分发补丁;
◆如何规范、方便、有效、安全地管理移动存储设备的日常使用,如何确保没有登记的移动存储设备无法在内部网络正常使用?
◆如何防范用户绕过防火墙等边界防护设施,直接联入外网带来的严重安全隐患的行为?
◆如何确保需控制的岗位严格执行上班时间不允许炒股、玩游戏、聊天等管理制度?
◆如何为每台终端设备加固安全策略,减少日常用户使用的安全事故?
◆如何快速有效的定位网络中病毒、黑客的引入点,快速、安全的切断安全事件发生点和相关网络。
◆如何控制外来笔记本电脑以及其它移动设备的随意接入问题?
◆如何有效管理计算机设备资源,确保资产的不丢失?
◆如何优化IT运行维护流程,降低运维成本?
为保证移动办公用户的安全,防御未知的黑客攻击、内部攻击、内部信息泄露,以及加强每一台内网设备的安全策略,解决安全问题是迫在眉睫的!
盈高科技为解决以上问题,定制了一整套安全解决方案,并推出了“MSEP多维终端安全管理平台”。
MSEP桌面安全管理套件基于ApacheWEB服务器,MYSQL数据库。
管理平台基于B/S结构,管理员可以从任何一台安装了浏览器的终端进行登录管理,后台应用服务器实现基于C/S结构。
客户端具有强大的自主防护功能,没有使用界面后台运行。
Agent作为系统的功能实现体,需要安装在桌面系统中,实现了主机防火墙、主机入侵检测、防病毒软件检测功能,对系统状态(进程、端口、软件、硬件、CPU占用率、磁盘占用率、内存占用率)的信息采集功能,对拨号、打印、文件操作、外存使用的行为监管功能。
报表子系统为管理员提供了丰富的报表功能,实现了分析结果的可视化,可帮助网络管理员对网络中的异常情况进行深度挖掘分析。
二、多维终端安全管理平台的特色
◆实时风险展示,随时了解状况
通过多维终端安全管理平台的安全检查与加固,系统管理员可以对全网的终端设备建立各种安全检查与评估任务,实时的了解目前网内设备的风险状况。
通过图形化的展示方式,管理员可以了解目前网内处于安全和高、中、低等各个级别风险的设备比例,了解各个终端目前的具体风险情况,并且系统可以根据目前的风险情况,提出存在问题的原因和对如何进行修复提出修改的建议。
◆全面安全检查,规避安全漏洞
多维终端安全管理平台可以对内网终端各种安全情况进行仔细检查,比如可以检查终端的用户密码是否安全,用户的杀毒软件是否安装,用户的补丁安装是否及时,用户是否开启了一些不容许开启的共享,用户是否运行了一些风险比较高的后台服务和程序等。
通过对系统的细致全面检查,我们可以得出一台终端的具体风险分值,并对这些分值进行排名和统计,可以判断出目前那些设备的危险程度最高,尽早的引起管理员的重视,通过提前了解风险并解决这些风险来规避系统的各种安全漏洞。
◆多种报警方式,查询形象直观
多维终端安全管理平台在系统的运行中会根据实际的情况产生各种报警,为了便于管理员及时迅速的了解这些系统意外状况,多维终端安全管理平台提供了丰富多样的报警方式。
目前管理员可以通过报警查看平台、WEB管理平台来了解系统产生的报警,另外对于一些实时性比较高,比较重要的报警我们可以通过短信SMS的方式第一时间通知给管理员,便于管理员立即进行处理。
同时系统可以根据管理员和企业的实际需求,在每个周末和每个月末将系统的报警周报表和月报表通过邮件EMAIL的方式发送给管理员。
◆缺陷自动修复,减少人工干预
多维终端安全管理平台遵循一个“采集”→“展示”→“报警”→“控制”→“采集”的全套闭环的管理模型,和其它的厂家不同的是通过多维终端安全管理平台的控制功能,管理员可以对系统中出现的各种缺陷,风险等问题进行控制,通过多维终端安全管理平台提供的丰富控制功能,多维终端安全管理平台的客户端可以对终端的各种缺陷进行自动的修复,严格的安装管理员的设置进行操作,避免管理员在出现问题或者问题将要出现的时候的人工参与,减少管理员的日常维护工作量,真正的将管理员从繁琐的日常维护中解放出来,将工作的重心专注与业务相关的优化上面,降低IT服务管理部门的TCO,提高IT服务管理部门的KPI。
◆无任何网络改造,避免网络影响
平台采用的假想式程序设计的基本隔离方法,不用改变企业当前的网络拓扑,不需要特定型号交换机的支持;不受802.1x协议以及DynamicVLAN的限制;只要在存在网络的地方,随意接入网络,就能实现网络的准入控制;可以在最短的时间内有效地阻止非法用户的接入,适用于各种不同的网络环境。
◆多种部署方式,降低部署成本
企业内网管理要求在企业的内网终端上面安装客户端程序,由于企业的内网终端数目巨大,如果要管理员逐台的进行客户端的安装,这个对于系统管理员来说就是一个噩梦。
为了降低管理员的部署难度和工作量,多维终端安全管理平台提供了多达10种的部署方式,通过这些方式的组合可以极大的降低管理员的部署时间,降低企业的部署成本。
1.使用多维终端安全管理平台ClientDeployTool
若网络中部署了ActiveDirectory,则可以使用多维终端安全管理平台Client分发工具安装多维终端安全管理平台Client。
通过多维终端安全管理平台Client分发工具安装多维终端安全管理平台Client。
2.网页浏览安装方式
若网络中没有部署MicrosoftActiveDirectory,而且也没有使用登录脚本,则可使用网页浏览方式分发客户端,当用户浏览该网页时会主动检查客户端是否已安装了多维终端安全管理平台客户端,如果还没有安装则自动安装多维终端安全管理平台客户端。
3.手工安装
多维终端安全管理平台Client总是可以通过在每台计算机上手工运行多维终端安全管理平台Client安装程序来进行安装。
这对于较少数目的计算机来说是一个快速且有效的方法。
必须以管理员权限登录目标计算机并进行安装。
4.通过MSI安装
可以使用MicrosoftInstaller(MSI)版本的多维终端安全管理平台Client安装程序来进行自动安装。
你可以直接运行这个程序来直接安装client,或者调用它的参数进行安装。
通过使用MSI版本的client安装程序,可以为多维终端安全管理平台ClientMSI的分发创建一个组策略对象(GroupPolicyObject,GPO)。
有关更多的组策略方面的信息,参见微软的知识库文章
5.使用软件分发工具
如果已经有某些软件分发工具,比如MicrosoftSMS或者Mcafee网络版杀毒软件,并且所有要安装的目标计算机都能使用这些工具,则可以通过软件分发工具来分发多维终端安全管理平台Client的安装包。
6.使用组策略
可以通过使用ActiveDirectoryGroupPolicyObjects(GPO)来定义一个策略,强制在特定组(比如组织单位,域,等)的每台计算机上安装多维终端安全管理平台Client,这个策略在每次用户登录到这个特定的域的时候应用到客户端计算机。
如果有GPO功能则可以高效的部署多维终端安全管理平台Client。
7.嵌入操作系统镜像文件
如果使用一个特定的系统镜像或者通用操作环境来安装新计算机,则可以在镜像中加入多维终端安全管理平台Client。
8.使用登录脚本
在一个NT或AD域,登录脚本可以用来检查多维终端安全管理平台Client是否存在。
当计算机登录的时候发现多维终端安全管理平台Client不在客户端计算机上,它可以自动从存放多维终端安全管理平台Client安装程序的位置启动安装。
如果网络中不断的增加新计算机,则这种方法非常方便,可确保多维终端安全管理平台Server会自动发现并管理新加入的计算机。
在一些使用Windows2000或XP的网络环境,用户必须以管理员身份登录才能让这种方式工作。
9.使用Email
可以给目标系统用户发送一个正文带有URL链接的email,让他们在登录网络的时候安装多维终端安全管理平台Client。
这对于Window9x计算机是一个很有效的方式,因为他们没有对使用操作系统的用户的权限限制。
然而,对于需要划分管理权限的系统,这种方式要求用户以管理员权限登录计算机。
10.使用多维终端安全管理平台RemoteInstall远程推送工具
如果知道对方设备的管理员用户名和管理员密码,那么可以通过多维终端安全管理平台提供的RemoteInstall工具对远程的设备逐台或者成批的进行多维终端安全管理平台Client的安装。
◆深入系统内核,确保终端稳定和兼容性
为了保证终端的稳定性、兼容性和安全性,要求终端的客户端必须和终端的系统紧密结合,和其它厂商的终端程序不同的是多维终端安全管理平台Client的大部分功能都已经深入到Windows的系统内核中。
多维终端安全管理平台Client通过采用Microsoft提供的WDK开发工具,同时结合最新的WDF(WindowsDriverFoundation)开发框架进行开发。
通过在系统的内核级进行操作,除了可以和微软的Windows系统更好的结合,还可以避免一些恶意的软件或者病毒对客户端的修改和注入,保证了客户端本身的安全性,由于我们的客户端采用了驱动级的开发方式,所以绝大多数的病毒都不能对多维终端安全管理平台Cient进行侵犯,进而影响到客户端安全性。
通过在内核级进行操作,可以保证客户端可以在第一时间对于各种突发事件进行了解,并采取相应的措施。
经过测试表明通过在内核级进行系统监控,对于进程创建的响应时间比在应用层进行监控对于进程创建的响应时间快了将近300毫秒。
在内核级进行开发,对于多维终端安全管理平台Client的稳定性提出了更高的要求,这就要求我们的应用要更稳定,更可靠的运行在系统这一级别,值得称赞的是多维终端安全管理平台的所有驱动程序都经过了微软的官方驱动验证程序管理器的验证!
关于微软的驱动验证程序管理器的详细信息可以参考Client的稳定性和可靠性!
◆整体代码优化,减少终端资源消耗
企业员工终端电脑的资源都非常有限,不能因为安装了管理客户端之后有任何的性能影响,不能因为安装了管理客户端之后影响员工的正常业务使用。
为此我们除在设计和编写代码的时候进行充分的优化之外,我们还使用了专业的代码检测工具对我们的客户端程序进行检测,我们的代码完全经过了IBMRationalPurify的专业检测,通过使用专业的第三方工具对我们的代码进行了更进一步的优化,确保对终端资源的消耗最少。
关于IBMRationalPurify的详细资料可以参考。
经过实际用户的统计分析多维终端安全管理平台Client在终端电脑上面占用CPU资源平均不到1%,峰值不到5%。
客户端占用内存资源平均不到2.5MB,峰值不到5MB。
三、产品的安全目标和外部接口说明
盈高多维终端安全管理平台(MSEP)是一款基于安全策略的终端管理产品,采用了开放式B/S与C/S相互结合的体系结构和标准化数据通讯方式,对局域网内部的网络安全行为进行全面监管,检测并保障桌面系统的安全。
MSEP共分下面几大模块:
资产安全管理模块、桌面安全管理模块、行为审计管理模块、资产管理模块、系统资源管理,通过统一定制、下发安全策略并强制执行的机制,实现对局域网内部桌面系统的管理和维护,能有效保障桌面系统及机密数据的安全。
桌面安全管理模块,通过统一配置策略的主机防火墙,实现对桌面系统的网络安全检测和防护。
并且能够自动检测桌面系统的安全状态,检测桌面系统的病毒防护软件是否工作正常。
快速部署全网机器确保阻断非法端口的异常行为。
行为审计管理模块,对桌面系统上拨号行为、违规外联行为、网站访问行为、违规程序执行行为、打印行为、移动存储设备使用行为、文件操作行为的监控(目前只提供文件操作行为的监视),确保机密数据的安全,避免了内部保密数据的泄漏。
资产管理模块,使管理员能够轻松进行局域网的管理维护,解决了桌面系统基础信息难以及时、准确掌控的问题,规范了客户端操作行为,提高了桌面系统的安全等级。
通过系统监管模块管理员能够远程查看桌面系统当前的详细信息,包括:
已安装软件、已安装硬件、进程、端口、CPU、磁盘、内存、软硬件变动信息、日常设备维护等。
系统资源管理,MSEP系统为管理员提供了Agent管理、IP管理、补丁管理等功能,能对网络内的Agent进行有效管理,避免IP地址混乱、非法接入等情况,还可以轻松完成网络内对桌面系统的补丁检测、自动分发和安装、并支持离线模式的补丁检测分发;并提供了用户很方便的像可执行程序、MSI安装包或者文档数据文件自动下发与安装的功能。
SvrManager为MSEP系统的中枢系统,负责系统数据的转发,派发及处理Console、Agent传来的信息。
ConsolePortal是MSEP系统的用户使用接口。
通过ConsolePortal,用户可以使用MSEP系统的所有功能,如查看桌面系统的详细信息、定制/下发策略、管理系统资源等。
PatchServer为系统提供了桌面未安装补丁的检测、下载、更新、查询等功能。
DBServer提供了系统日志、事件报警、系统数据等信息的持久化功能,便于管理员分析网络的历史状态。
四、产品设计原则与架构
4.1.整体方案设计原则
首先,盈高科技认为有必要参考国际、国内的安全管理经验,来设计的“多维终端安全管理平台”解决方案。
BS7799作为英国政府颁发的一项信息系统安全管理规范,目前已经成为全球公认的安全管理最佳实践,成为全国大型机构在设计、管理信息系统安全时的实践指南。
BS7799认为,设计信息安全系统时,必须掌握以下安全原则:
⏹相对安全原则
✓没有100%的信息安全,安全是相对的,在安全保护方面投入的资源是有限的
✓保护的目的是要使信息资产得以有效利用,不能为了保护而过度限制对信息资产的使用
⏹分级/分组保护原则
✓对信息系统分类,不同对象定义不同的安全级别
✓首先要保障安全级别高的对象
⏹全局性原则
✓解决安全问题不只是一个技术问题
✓要从组织、流程、管理上予以整体考虑、解决
在设计“多维终端安全管理平台”解决方案时,非常有必要参考BS7799中的有关重要安全原则。
BS7799中,除了安全原则之外,给出了许多非常细致的安全管理指导规范。
在BS7799中有一个非常有名的安全模型,称为PDCA安全模型。
PDCA安全模型的核心思想是:
信息系统的安全需求是不断变化的,要使得信息系统的安全能够满足业务需要,必须建立动态的“计划、设计和部署、监控评估、改进提高”管理方法,持续不断地改进信息系统的安全性。
以下是图1PDCA安全模型。
图1PDCA安全模型
的终端安全管理,也将是一个持续、动态、不断改进的过程,多维终端安全管理平台将为提供统一的、集成化的平台和工具,融合接入、检查、隔离、修复等机制,帮助对其终端进行统一的安全控制、安全评估、安全审计及安全改进策略部署。
4.2.统一的集成化融合管理平台
多维终端安全管理平台必须提供统一的、集成化融合管理平台。
解决方案要向IT系统管理员、安全审计员提供一个统一的登录入口,有整体的终端安全视图,呈现整个计算机网络系统中所有终端设备的安全运行状况。
管理员不仅可以看到终端安全的运行状况,终端的安全设置,也能够看到终端的软件配置、硬件配置、终端的物理位置等信息。
通过统一的集成化的管理平台,安全管理员可以完成所有与终端安全管理维护相关的各种任务,具体包括:
⏹外来或者不满足安全规定的设备统一接入阻断干扰管理;
⏹建立“人机对应”管理机制,可以快速定位全网当中任一台终端设备;
⏹建立统一的全网终端安全补丁升级机制,确保每一台终端都安装安全补丁;
⏹确保全网终端都必须安装防病毒软件,建立一套安装并升级防病毒软件的机制;
⏹建立“可信移动存储设备”的管理机制,可对指定机器禁止拷贝资料到移动存储设备中;
⏹平台可以对全网所有不允许连接互联网的主机拨号上网、双网卡、代理、无线上网等违规行为监控及阻断;
⏹同时结合“等保”的指导方针,对全网所有终端的主机完整安全性做检查、评估、加固控制。
统一的集成化融合管理平台对管理员的各种操作,应提供审计功能,以备事后审计,建立管理员、审计员两权分立的有效监督机制。
4.3.系统架构说明
MSEP基本系统由三个不同的模块组成:
代理模块(Agent)、服务器模块(Server)、WEB管理与控制平台模块(WebConsole)。
用户可以根据具体需要将它们安装在网络中的计算机上。
代理模块安装在每一台需要被监视的计算机上。
服务器模块用来存储和管理所有安装有代理模块的计算机,用于管理监视所产生的资料,一般安装在一台具有大容量内存的用作服务器的计算机上。
WEB管理与控制平台主要用于监视每台安装有代理模块的计算机、查看历史记录及查询统计,一般是给公司管理人员使用,由于采用WEB浏览器的模式,所以无需安装模块程序只需使用IE浏览器就可以使用功能。
其中,WEB控制管理中心WEBConsole是管理员进行策略配置、系统配置、下发命令、监控工作站点,即可以单独使用一台PC,也可以和其他系统共用。
应用服务器MSEPServer是系统的核心,在后台常驻运行,负责执行管理员提交的策略配置、系统配置、指令等,完成和数据库的交互,将管理员的指令下达到被管终端的MSEPAgent。
应用服务器和数据库可以使用两台不同的计算机,也可以共同使用一台计算机。
盈高TMMSEP多维终端安全管理平台基于ApacheWEB服务器,MYSQL数据库。
管理平台基于B/S结构,管理员可以从任何一台安装了浏览器的终端进行登录管理,后台应用服务器实现基于C/S结构。
客户端具有强大的自主防护功能,没有使用界面后台运行。
五、产品的功能特点
5.1.集合资产配置管理与安全加固管理于一体
MSEP多维终端安全管理平台不仅能够自动显示网络中的所有节点信息以及软硬件信息,而且能够将这些信息与组织人事信息合理组合在一起,从而方便网络中的所有资源得到统一管理和配置。
另外,桌面管理软件能够通过控制管理客户端用户安装的软件以及运行的程序来对其行为进行控制,从而达到一个网络和主机的统一管理,极大地提高了安全管理力度。
5.2.统一定制、强制执行的安全策略管理
MSEP系统提供了强大的策略定制机制。
管理员根据自身网络特点,能够通过MSEP有效地实施全局网络配置和安全管理、监控策略,实现了真正的统一安全策略。
管理员可以灵活的创建不同的安全策略,从而系统中的不同类型的桌面系统可以应用不同的安全策略,策略、桌面系统形成多对多的关系,为整个系统提供了灵活的、弹性的安全机制。
支持分组、分区域,跨网段管理。
5.3.集中管理的主机防火墙
MSEP为网络所有联网的桌面系统提供以应用程序为中心的主机防火墙保护功能。
它除了提供传统的主机型防火墙功能(端口/协议过滤、应用程序过滤等)以外,还可以锁定合法应用程序,防止恶意程序通过伪装或代码注入等手段绕过防火墙的检测。
当系统探测到远程攻击行为时,可以自动阻断所有来自攻击方的网络通讯,确保主机的安全。
通过与MSEP系统的IP管理、接入控制等模块的联动,可根据模块报警自动切断主机的网络连接,并保证接受MSEP系统的统一管理。
5.4.补丁管理系统
MSEP提供了桌面系统补丁管理的功能,帮助管理员对网内基于Windows2000/XP/2003等机器快速部署最新的重要更新和安全更新。
MSEP能检测桌面系统已安全的补丁和需要安装的补丁,管理员能通过WebConsolePortal对桌面系统下发安装未安装补丁的命令,通过MSEP的自动补丁模块,系统管理员可以对已知和未知的补丁制定下载和安装策略,可以定义是否需要人工审核还是自动安装,如补丁是否安装、安装是否有提示进度条、安装的条件、安装的时间等等,并可跟踪各终端的补丁安装记录。
MSEP的策略都可以针对单台终端,也可以采用继承上级组的机制对一组或多台终端生效。
管理员可从微软网站自动下载更新补丁库,并审核是否允许桌面系统安装。
通过策略定制,桌面系统可以自动检测、下载和安装适用更新,MSEP采用了后台智能传输服务(BITS)技术提高带宽使用效率。
MSEP还提供软件分发功能,管理员可根据实际需要针对内网的终端计算机下发软件。
5.5.“主动式”安全策略防御体系
MSEP多维终端安全管理平台的优势主要体现在其“主动式”的安全防御方式上。
目前,多数安全防御系统,如IDS,都是“被动式的”,它们关注于在网络被破坏时找出整个网络的问题所在,并人为进行相应的改正,以此来达到整个网络的安全防护目的。
MSEP多维终端安全管理平台采用了一种更新的理念,采用“主动式”的安全防御策略。
5.6.桌面设置及运维
系统管理员可以通过WEB管理平台,远程管理桌面终端的进程、共享文件夹、远程重启、注销、锁定、解锁、关闭甚至卸载终端,还可以获取远程桌面屏幕。
可以通过WEB平台进行桌面网络属性设置,比如修改网络参数、修改计算机名称、工作组名称等等。
5.7.杀毒软件版本检测
MSEP提供了对主机的杀毒软件的检测功能,可检测主机运行的杀毒软件版本和杀毒软件病毒库版本及升级时间等,目前支持检测国内外绝大多数流行的杀毒软件,包括:
瑞星、诺顿、MacAfee、卡巴斯基等。
5.8.全面的资产管理
MSEP提供Agent自动发现功能,已安装Agent程序的终端计算机会被MSEP自动发现并纳入管理范围。
能够自动收集管理该软件部署范围内的计算机的软/硬件信息,包括硬件设备信息统计、软件资产统计、设备变更信息统计,要求能够自动探测当前网络中的所有机器,记录各计算机的IP地址、计算机名、MAC地址、网卡型号和生产厂商、计算机所在域、操作系统、主要硬、软件信息、物理位置,IT资产从采购时输入一直到接入网络、日常维修、一直到报废
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 多维 终端 安全管理 平台 产品说明书