概述
新内网安全管理系统是由常州瑞新网络科技有限公司与信息安全国家重点实验室为了满足国内政府、科工委系统单位、军队、金融及科研院所等涉密信息系统的计算机网络系统安全和信息安全联合开发的一套防泄密监控管理软件,监控涉密网络用户通过调制解调器、ADSL拨号设备、双网卡、无线网卡等网络设备进行网络非授权外联以及违规操作涉密文件、启动非信任进程、安装不明软件、滥用计算机外设等违规行为。
瑞新内网安全管理系统采用主动监控、积极防御的方式,应用智能代理技术,跟踪目前网络信息安全领域的最新进展,融合了内网安全管理、智能代理、实时安全监控、集中管理平台等相关技术,对涉密网络主机进行实时监控、上网通知、外设管理、文件监视、打印监控、违规行为分析统计、集中多样式报警、实时阻断等多种策略操作,监视网络内用户对互联网的非法接入行为、涉密文件的访问、网络资源滥用,有效防范外部黑客、木马、病毒的入侵及内部信息(涉密文件)向外部发送或被恶意窃取等不安全因素对涉密网络的威胁。
产品主要功能
内网安全管理
检测使用双网卡联通内外网,从而破坏内外网隔离的违规行为;
实时监视普通电话线、ISDN、ADSL等方式的拨号上网;
检测通过WLAN、GPRS或CDMA 1X等无线方式非法上网的行为;
对拔掉内网网线或禁用本地网卡等进行非法外联的主机监测功能;
对非法外联的主机按照预定策略阻断网络连接;
对于涉密等级略低的网络,主机通过非指定网关或者代理服务器上网的行为实时发现并进行阻断;
文件监视
通过网络或者本地非授权读写、拷贝、删除涉密文件行为的监控;
文件属性改变包括文件内容修改的行为监视;
打印监视
通过网络或者本地打印指定路径、扩展名和文件名关键字的涉密文件的打印监控;
计算机外设监控
实现对计算机外设包括串口、并口、软驱、光驱、USB、1394、网卡、PCM CARD等的监控;
进程监控
提供黑白名单两种方式,保证主机运行进程的可控性;
提供菜单可远程终止指定主机上面的进程;
所有被控主机的进程可查看监视;
连接监控
可以监视所有被控主机的连接状态,包括使用何种协议、本地和远程IP、本地和远程端口、连接状态。
网络适配器监控
所有被控主机上的网络适配器都可以列举出来,包括虚拟机上面的网络适配器,并且可以远程禁用;
共享监控
所有被控主机上的有效共享都可以列举出来,并且可以远程删除;
安装卸载软件的监控;
检测内网中新添非法主机;
及时发现卸载客户端软件的行为,保证监控手段的完备性;
实现对Windows 98/Me/2000/XP/2003等多种操作系统的监测;
产品主要特点
实时性:
实时地监控网络内的活动,随时向管理员提供准确的报告。对非法外联行为、网络资源滥用等行为按照预定的策略实施阻断,防止数据外泄,并向管理控制中心发出警报。
完备性:
网络监控系统能够监控网络中的所有被控主机,通过管理控制中心,对整个系统进行集中监控管理。并且对各种个人防火墙具有很好的穿透能力,对安装了个人防火墙之后试图违规的计算机也能及时准确地发现。
通用性:
考虑到现代计算机软硬件平台种类繁多,该网络监控系统能够监控一个网络中可能出现的机型、操作系统、网络协议、网络设备等。
灵活性:
网络监控系统配置扩充灵活,可根据用户需要更改配置,控制安全监控强度。对受控主机的各种状态产生实时报警,并在控制端作详细的显示和统计分析。
高性能:
采用优化设计,将网络占用降到最低,并可实现网络资源占用的可控性,而对网络中的被监控计算机几乎没有影响。采用基于代理的分布式处理模式和并发探测技术,并对探测流程实现了优化,极大地提高了探测效率。
易用性:
强大的防火墙穿透功能
对各种个人防火墙具有很好的穿透能力,对安装了个人防火墙之后试图违规的计算机也能及时准确地发现。
监控网络连接的多种状态高效、实时的报警和统计
可以实现识别多种网络连接的状态,可以判定哪些主机正在拨号,哪些主机跨接非涉密网段。
对禁用网卡并修改主机名的主机还能报告该主机的客户端ID号从而准确锁定非法外联主机。
可以报告非法外联主机的多个网卡MAC地址、IP地址、主机名、客户端ID号、网关地址、非法外联方式等信息,协助建立起来完善的客户端主机特征资料库。
多种报警方式
支持邮件、短信、声音等多种报警方式,时刻提醒主机用户和管理人员,及时消除安全隐患。
实时阻断非法外联
对非法外联的主机按照预定的策略实施阻断,可以禁用modem,网卡,强制重启、关机等。
强大的外设监控功能
对计算机外设如串口、并口、软驱、光驱、USB、1394、网卡、PCM CARD等实现监控。
涉密文件操作的监控
所有对涉密文件的读写、拷贝、删除、打印等行为都能实现监控。
产品结构及功能原理
产品结构
瑞新内网安全管理系统采用C/S结构,由两部份组成:智能客户端程序、管理控制中心。
智能客户端程序的主要任务是检测局域网内计算机的非法外联行为、涉密文件读写和操作、网络资源滥用等威胁涉密网安全,可能造成泄密的行为,并把信息发送到管理控制中心形成日志,便于审计。
内部网络主机的一切非法外联行为都会被记录在管理控制中心的日志中,其记录信息包括主机IP地址、MAC地址、主机名、接入时间和事件描述等,可以随时进行查看和分析。系统可以实时检查内外网隔离情况,监控非法外联行为、涉密文件读写和操作、网络资源滥用等违规行为。
瑞新内网安全管理系统采用集中监控管理,可在内网安装“管理控制中心”,而在被监控主机上安装“智能客户端程序”。 通过向智能客户端定义行为规则,审计监控受控主机,及时发现、阻断泄密行为。
“管理控制中心”可从内网监控受控网络。尤其突出的功能是,对于暂时需要切断一切网络连接的受控主机,“智能客户端程序”可根据事先来自管理控制中心的规则设定,自动监控用户在受控主机上的动作。一旦该主机接入内网,所以该主机的操作将无一遗漏的传送到管理控制中心接受审计。
同样,由于瑞新内网安全管理系统可监控受控主机的所有进程、连接状态、网络适配器、网络共享,因此管理者可以自定义审计监控任何客户主机的行为,以及时发现阻断定义下的非法行为。
功能原理
图3:瑞新内网安全管理系统功能原理图
瑞新内网安全管理系统解决方案 
图4:瑞新内网安全管理系统在涉密网络中的解决方案拓扑图
产品提供了友好的GUI图形化用户界面,可以进行全新的可视化管理与配置。支持声音、邮件等多种报警方式,及时消除安全隐患。强大的日志查询功能,可以根据各种条件进行快速查询统计。同时,系统提供常用的报表格式,并可快速将统计查询结果生成报告。
图4中的局域网络部分为涉密网络,根据要求该局域网络与其他任何网络应保持物理隔离;针对各种可能的泄密行为,瑞新提出了完备的解决方案,下表为瑞新内网安全管理系统在典型涉密网络中针对泄密行为的主要防御功能描述:
产品结构技术特点
智能客户端程序技术实现特性
隐蔽性
智能客户端程序是隐蔽运行于受控主机的程序。在目标的主机系统里存在,接受管理者的管理和调度,根据管理者要求获取系统内信息,并通知管理者,所有的智能客户端程序动作都要避开对方的监视系统隐蔽地实现。不能按照实际安全管理需求隐蔽自身的存在或者不能有效隐蔽地进行网络通讯都将是不能满足有效管理需求的。
高效性
实际的安全管理工作中,无疑要求智能客户端程序在完成特定任务的情况下要做到少占用被监控方系统的资源,如CPU时间、硬盘等;另外,在智能客户端程序与管理控制中心的通讯过程中,对通讯协议的使用、对加密解密技术的使用等多方面都要求做到高效性考虑。
可扩展和可持续升级性
安全管理需求肯定是不断变化和发展的,智能客户端程序的功能需要按照需要进行扩展和升级。但是,一旦智能客户端程序被成功运行于被监控系统,就要求能够常驻系统并能够自动升级自身,以适应更高的安全管理要求。同时也减小重复安装的管理成本。
自身保密性
智能客户端程序在其从产生、执行任务、回收、销毁的整个生命周期里面, 每个阶段都需要不同程度的自身保密机制, 智能客户端程序实体如果在其生命周期时间段里被非法获取,将导致管理者工作的被动,被监控方能够根据智能客户端程序的设计思路和工作原理来扰乱管理者的管理工作。
管理控制中心平台特性
易操作,易管理
管理控制端界面中文化,操作配置和管理流程清晰明了,管理者易于上手进行管理。
管理功能齐备
支持IP地址资源管理、事件查询、客户端进程列表、连接列表、网络适配器管理、网络共享管理、计算机外设管理、打印管理、文件管理等。
自定义报警方式
报警方式有实时声音报警、电子邮件报警、短信报警等。
系统安装要求
客户准备工作
准备一台安装Windows 2000 Server操作系统的机器作为管理控制中心,具有内网IP地址,要求这台Windows 2000 Server服务器不开启DNS服务。
软、硬件要求
客户端:无特殊要求,支持Microsoft Windows全系列产品,包括Windows98/ME/2000/XP/2003;
管理控制中心: 一台,需PⅢ800以上,内存128M以上,操作系统为Windows 2000 Server。安置在内网,作为管理控制中心,建议使用防火墙等边界安全设备保护管理控制中心不会遭受来自网络的攻击。
|