绿盟终端管理系统产品白皮书
? 2011 绿盟科技
■版权声明
本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属绿盟科技所有,并受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。
■商标信息
绿盟科技、NSFOCUS、EPS是绿盟科技的商标。
目录
一. 前言 (1)
二. 终端管理面临的挑战 (1)
三. 终端管理的必要性 (2)
四. 终端管理的基本要求 (3)
五. 绿盟终端管理系统 (4)
5.1体系架构 (4)
5.2产品功能 (6)
5.2.1 终端准入控制 (7)
5.2.2 终端数据保护 (8)
5.2.3 主机审计 (9)
5.2.4 终端安全管理 (9)
5.2.5 桌面管理 (10)
5.2.6 综合管理 (11)
5.3部署方式 (12)
5.4系统特性 (13)
插图索引
图 5.1 NSFOCUS EPS系统架构图 (5)
图 5.2 NSFOCUS EPS管理模型图 (6)
图 5.3 NSFOCUS EPS移动存储设备管理架构图 (9)
图 5.4 单独部署拓扑图 (12)
图 5.5 分级部署拓扑图 (13)
一. 前言
随着网络技术应用的不断深入,信息安全发展也进入到一个全新的时代。传统的安全解决方案把重点放在网络边界,往往忽略了来自网络内部的安全威胁。特别是在政府机关、保密部门、科研机构、银行与证券、企事业等单位的办公网、内部业务网、涉密网中的终端设备,安全管理非常薄弱,存在很大安全隐患。
现有的安全措施没有发挥应有的作用,安全管理人员无法了解每个终端的安全状况,疲于奔命仍无法解决各种终端安全与管理问题。尽管有些单位制订了严格的安全管理制度,但是由于缺乏有效的技术手段,安全策略形同虚设,机密信息泄露、黑客攻击、蠕虫病毒传播等安全事件频繁发生,对内网安全提出了新的挑战。
二. 终端管理面临的挑战
根据CSI/FBI等权威机构公布的数据,超过85%的安全威胁来自企业内部,内网安全面临前所未有的挑战。我们将内部网络面临的挑战归纳为以下几个方面:
◆移动电脑随意接入、边界安全岌岌可危
员工或临时的外来人员所使用的笔记本电脑、掌上电脑等移动设备由于经常接入各种网络环境使用,很有可能已经成为携带有病毒或木马的感染源,未经审核就接入企业内部网络,对内部网络的安全构成巨大威胁。
◆补丁升级与病毒库更新不及时、蠕虫病毒利用漏洞传播危害大
由于网络内各种平台的主机和设备存在安全漏洞但没有及时安装最新的安全补丁,软件配置存在隐患,杀毒软件的病毒特征库更新滞后于新病毒的出现,都给恶意入侵者提供了可乘之机,使病毒和蠕虫的泛滥成为可能。大规模的蠕虫爆发可能导致企业内部网络全部陷于瘫痪,业务无法正常进行。
◆缺乏有效的外设管理手段,数据泄密、病毒传播无法控制
随着U盘、光盘、无线、蓝牙等外设的广泛使用,外部设备已经成为数据交换的主要途径,与此同时也成为近几年数据泄密、病毒感染的主要途径。已经感染病毒、木马的U盘随意插入终端、内部存有敏感数据的移动介质毫无保护地拿到外部使用,都给内部安全管理带来极大的挑战,单纯地封贴端口、制度要求均无法同时满足安全性与业务便利性的要求。
◆违规外联难以控制、信息泄露事件频繁发生
员工通过3G上网卡、电话线拨号、VPN拨号、GPRS无线拨号等方式绕过防火墙的监控直接连接外网,向外部敞开了大门,使得企业内部的IT资源暴露在外部攻击者面前,恶意程序通过拨号线路进入企业内网;另一方面,内部员工可能通过这种不受监控的网络通道或者移动存储设备等将企业的商业机密主动泄漏出去,给企业带来不可估量的经济损失但又无法取证。
◆软硬件设备滥用、资产安全无法保障
终端资产(CPU、内存、硬盘等)被随意更换,缺乏有效的技术跟踪手段;员工可以随时更改办公终端的IP地址等配置、安装并运行与工作无关甚至严重影响网络运行的软件,不仅难于统一管理,而且一旦出现攻击行为或者安全事故,责任定位非常困难。
◆桌面应用缺乏监控,工作效率无法提高
上网聊天、网络游戏等行为严重影响工作效率,病毒利用QQ、MSN、ICQ等即时通讯工具进行传播,已经成为一种趋势;使用BitTorrent、电驴等工具疯狂下载电影、游戏、软件等大型文件,关键业务应用系统的带宽无法保证。
◆管理制度缺乏技术依据,安全策略无法有效落实
尽管安全管理制度早已制定,但很大程度上只能取决于工作人员的责任心,无法有效地杜绝安全问题;通过原始方式如贴封条、定期检查等相对松散的管理机制,已经无法有效落实管理制度。
三. 终端管理的必要性
随着办公终端、业务终端数量的不断增加,终端引入的安全问题日益严重,仅凭传统的安全解决方案已经无法全面、系统化地降低安全风险,无法彻底规避由终端引入的各类安全事件。因此,终端管理是当前企业进行信息化安全建设时不可或缺的一个重要组成部分。
相对于传统的边界架设防火墙、终端安装反病毒软件的安全解决方案,终端管理能够从根本上解决以下难题:
◆加强终端管控
终端管控是企业信息化安全建设的基础和前提,只有从微观上对每台终端进行细粒度的管理和控制,才有可能做好宏观上整体的信息安全。试图接入内部网络的终端是否安全、终端能否使用某一外部设备、终端上能否运行某一应用程序、终端用户能否修改终端系统的相关配置等,这些问题均能在终端管控这一环节得到解决。
◆防御数据泄露
近几年数据泄密的安全事件频繁发生,给政府部门、企事业单位带来不可估量的经济损失和严重的声誉危机,是目前信息安全建设面临的一个新难题。从数据泄露的途径来看,可以分为两种途径,网络泄密和物理外设泄密。网络泄密的堵和防在终端侧、网络侧都能够实现,区别在于粒度和精准度;而物理外设泄密的堵和防,则只能在终端实现。因此,在终端加强对外设的全面管控,是当前信息安全建设必不可少的一项内容。
◆细化主机审计
安全事件发生后快速、有效溯源,并且追查定位到人,是衡量安全解决方案是否完备的重要因素。终端用户对重要文件做了什么操作、终端用户安装并运行了哪些应用程序、终端系统报告了什么日志是事件追查时必须要掌握的信息,因此主机审计构成了综合审计解决方案的一个重要组成部分。
◆优化资产运维
集中、统一、高效的资产运维管理是上述所有终端管理的基础和前提。在集中的管理平台中统一查阅、管理资产信息,集中向终端系统分发补丁包、第三方软件升级包等,在管理员的办公终端上即可轻松远程协助终端,构成了企业进行信息化安全建设时需要解决的首要问题,因此也构成了终端管理必要的特性之一。
四. 终端管理的基本要求
终端管理系统在新的安全形势下担任着重要的角色,使用者应该如何考虑、评价终端管理系统,就成为一个重要问题。我们认为一个完善的终端管理系统应该实现如下目标:
◆闭环的安全管理模型
终端管理是一个闭环的过程,定义安全策略、检查终端是否符合安全策略要求、并根据检查结果采取相应措施、最后监控终端确保持续的策略遵从,缺一不可。缺少任何一个环节,都将破坏终端管理的完备性,给攻击者带来可乘之机。
◆全面的终端准入控制
终端管理采取Client/Server(客户端/服务器)模式,管理员通过服务器提供的管理平台维护安全策略,并将安全策略分发给客户端,驻留在终端系统中的客户端解析、执行安全策略。针对各种网络环境中、各种接入方式的终端,用户能够通过便利、快捷的方式获取客户端安装程序并且轻松完成客户端的安装,或者有效地强制终端用户安装客户端,是实施终端管理方案的保障。
◆防止敏感信息泄露
限制违规外联行为、监控终端的外设使用情况,防止敏感信息通过网络协议或外部设备泄露。
◆提高工作效率
自动统计终端资产的软硬件信息,实时收集终端软硬件资产的变更信息,提供集中统一的第三方软件、升级包分发功能,通过安全策略限制终端用户运行与工作无关的应用程序,提高管理员、终端用户的工作效率。
同时,终端管理系统还应具备以下必要特性:
◆支持跨地域分级部署;
◆系统稳定可靠,占用资源少;
◆易于扩展,支持与其他安全产品的联动。
五. 绿盟终端管理系统
针对目前安全新形势,绿盟科技本着“客户至上、质量为本、专业服务、面向国际”的公司管理方针,把客户安全放到首要位置,经过多年的研究积累,结合客户新的安全管理需求,推出专门针对终端安全管理的产品-绿盟终端管理系统(简称EPS)。本系统整合最新的终端安全管理技术,以终端安全管理为核心出发点,从终端准入控制、数据保护、主机审计、安全管理、桌面管理多个角度构建一套完整的终端安全防护体系,通过技术手段全面贯彻落实用户的安全管理策略。
5.1 体系架构
NSFOCUS EPS基于B/S和C/S的管理模式。管理员使用浏览器通过SSL加密通道访问服务器的WEB管理平台进行安全策略的定义和维护;客户端与服务器通过专有加密通道进行通信,完成策略的分发、日志的上传。NSFOCUS EPS的系统架构图如下图所示:
图 5.1 NSFOCUS EPS系统架构图
◆安全中心服务器
安全中心服务器负责策略的维护和数据的展示,主要包含四个功能组件:
资产管理—对资产进行集中监管、授权、卸载等;
策略管理—最核心的功能组件,对安全策略进行维护、应用;
日志报表—对日志、告警信息进行集中展示,管理员能够按条件查询日志,并生成各种报表;
系统维护—对EPS系统进行维护,包含系统配置、系统升级、帐号管理和数据的备份恢复等。
◆客户端引擎
客户端引擎是在终端计算机解析、执行安全策略并上报各类日志的功能组件,主要完成终端准入控制、移动存储设备管理、主机审计等功能。
◆终端准入控制组件
进行终端准入控制时,不同的技术方案将与不同的组件进行联动:
接入层交换机:通过接入层交换机提供的IEEE802.1X认证功能进行准入控制时,则需要与交换机进行联动,完成准入控制;
准入认证网关:通过与网关设备联动进行准入控制时,则需要与硬件网关设备进行联动;
应用服务器:通过安装在应用服务器上的准入控制组件进行控制时,则需要与应用服务器进行联动。
第三方服务器
第三方服务器主要包含补丁更新服务器、病毒库更新服务器和身份认证服务器。补丁更新服务器提供补丁查询、更新功能,病毒库更新服务器提供反病毒软件的病毒库更新功能,身份认证服务器提供对终端用户身份进行认证的功能。
5.2 产品功能
EPS基于先进的终端管理模型,把终端管理过程分为四个步骤,如下图所示:
图 5.2 NSFOCUS EPS管理模型图
步骤1:定义终端安全策略。管理员根据企业自身的安全需求和管理需求,制定相关的终端安全策略,并分发执行;
步骤2:检查终端是否遵从策略。安全代理根据管理员下发的终端安全策略检查终端是否符合安全策略的要求;
步骤3:根据策略检查结果。采取相应修复措施。根据安全策略的检查结果,安全代理执行相应的修复措施;
步骤4:监控终端,确保持续遵从。对于已经符合安全策略要求的终端,安全代理仍会监控终端,确保持续遵从。
5.2.1 终端准入控制
NSFOCUS EPS实现了“三层准入”的防护目标,对试图接入用户内部网络的终端进行严格的安全检查,当且仅当符合准入要求的时候方可接入。“三层准入”的要求包含:
5.2.1.1 安全代理检查
将安全代理成功地部署到每台终端,是实施后续终端管理手段的前提和基础。因此NSFOCUS EPS针对不同的用户环境,提供多种灵活的准入控制技术手段,保证安全代理的部署率。
◆IEEE802.1X认证
NSFOCUS EPS支持IEEE802.1X认证的工业标准,对连接到交换机的终端设备进行基于IEEE802.1X协议的认证,只有安装了安全代理的终端才能认证成功,而对于未安装安全代理的终端而言,等效于没有连接交换机,在距离终端最近的地方保证严格的准入控制。
◆SG联动
NSFOCUS EPS能够联动网关设备,在网络出入口处限制未安装安全代理的终端与外网连接,强制将未安装安全代理的终端发出的HTTP请求重定向到安全代理安装包下载网页,从而禁止非法终端通过网关连接外网、泄露内网信息,同时可以加快安全代理的安装部署。此功能需要结合绿盟科技网关产品(如网络入侵保护系统NIPS、安全网关SG、内容安全管理系统SCM)使用。
◆应用准入
NSFOCUS EPS能够与应用服务器进行联动,当终端向应用服务器发出访问请求时,应用服务器会协同EPS安全策略中心判断该终端是否安装了安全代理,对于未安装安全代理的终端应用服务器直接决绝访问,并对HTTP请求进行重定向。保证只有安装了安全代理的终端才有可能访问到内部的关键资源。同时,其他已经安装了安全代理的终端计算机,同样能够识别未安装安全代理的终端,并拒绝与之通讯,最大化地限制未安装安全代理的终端计算机的网络通讯。
5.2.1.2 安全状况检查
终端安全状况是否符合要求,是终端准入控制的核心功能。NSFOCUS EPS从以下几个方面对终端的安全状况进行检查。
◆补丁更新情况
NSFOCUS EPS系统自动收集终端系统的补丁更新情况,当终端系统未安装Windows
系统补丁更新客户端WUAgent、补丁更新客户端未运行、或者仍有未更新补丁时,EPS系统能够将终端隔离到修复区,只能访问补丁更新服务器而无法访问其他网络资源,同时为终端用户弹出提示信息。
◆病毒库更新情况
NSFOCUS EPS系统自动收集终端系统的反病毒软件安装及更新情况,当终端系统未安装管理员指定的反病毒软件、反病毒软件的实时监控程序未运行、或者病毒库尚未更新到最新时,EPS系统能够将终端隔离到修复区,只能访问病毒库更新服务器而无法访问其他网络资源,同时为终端用户弹出提示信息。
5.2.1.3 用户身份认证
NSFOCUS EPS在确认终端安装状况是否符合接入要求的同时,还会对试图接入的终端用户身份进行确认,当且仅当认证成功时,才能够接入。NSFOCUS EPS系统支持多种认证方式,包括本地基于用户名口令的认证方式,以及与第三方认证系统进行联动的认证方式,能够完全兼容用户实际环境中已有的认证系统。
5.2.2 终端数据保护
针对当前用户非常关注的数据保护问题,NSFOCUS EPS提出了很有针对性的解决方案。
◆移动存储设备管理
移动存储设备是窃取机密数据的主要途径之一,EPS系统对移动存储设备提供了全生命周期的管理,将通过移动存储设备泄密的可能性降到最小。
通过注册管理,EPS系统将所有的移动存储设备分为三个安全级别,从低到高依次为:外部、内部普通和内部专用移动存储设备。外部移动存储设备是指未经管理员注册的设备,是安全级别最低的移动存储设备,EPS系统能够完全禁止终端使用外部设备,或者按照管理员指定的访问权限使用外部设备,以有效控制机密数据的流出;内部普通和内部专用移动存储设备都是经过管理员注册的设备,区别在于前者普通注册、后者加密注册,即内部专用移动存储设备加密存储数据,确保在外部无法读取到该类设备中存储的数据。对于内部普通和内部专用移动存储设备,EPS系统实现精细化管理,通过策略控制移动存储设备能够在哪台终端上、由哪个终端用户按照哪种权限使用,实现终端计算机、终端用户和移动介质三者之间的绑定。最后EPS系统对移动存储设备的注册、授权、审批、使用进行详细地全程审计,保证对移动存储设备的所有管理和使用操作均有据可查。EPS移动存储设备管理的架构图如下图所示:
图 5.3 NSFOCUS EPS移动存储设备管理架构图
在对移动存储设备进行精细化管理的同时,EPS系统还能够对其他外设进行管理,如光驱、软驱、打印机、红外设备、蓝牙设备、无线设备、串并口设备等,能够禁止终端主机使用上述设备,或者开放只读权限,实现对计算机外部设备的全面管理和控制。
文件操作审计
NSFOCUS EPS系统能够对终端用户的文件操作进行细粒度审计,允许管理员根据设备类型(本地磁盘、网络路径、移动存储设备)、操作类型(新建、修改、删除等)、文件类型等指定审计条件,详细记录操作用户、操作时间、操作类型、操作后的文件路径等信息,为数据保护提供事后跟踪的依据。
5.2.3 主机审计
EPS提供全面的主机审计功能,协助管理员全面了解终端用户的行为、快速定位事件源。
操作系统帐号审计功能对操作系统帐号的维护操作、帐号登录和退出的操作进行审计;系统日志审计功能对终端系统的日志进行采集,集中在安全策略中心展示;共享文件审计功能对终端系统的文件共享操作进行审计。
5.2.4 终端安全管理
EPS系统在补丁管理和反病毒软件管理的基础之上,进一步采取了网络层的防ARP欺骗防护、系统层的主机防火墙防护以及应用层的应用程序监控防护措施,加强对终端的安全防护。
◆防ARP欺骗
采用主动防御技术,在系统驱动层实现防ARP欺骗功能,阻断各种类型的ARP欺骗行为,保证终端机器不受ARP欺骗的干扰与攻击。及时发现网络中存在的ARP“肉鸡”攻击者,可以定位到哪台终端、什么时间、哪个进程发起ARP欺骗攻击,实时定位ARP欺骗病毒源,保证网络通讯的正常稳定、快速协助管理人员定位网络中存在的问题。
◆主机防火墙
使用预先定义的访问控制规则,通过IP、端口、协议等条件对本机与其他主机的通讯进行控制,保证终端主机的所有网络通讯均在管理员许可的范围内。
◆应用程序管理
通过应用程序黑白名单,禁止终端运行已知的黑名单进程,例如恶意程序或影响网络环境的应用程序,在应用层面保护终端主机的安全性。或者只允许终端运行已知的白名单进程而不能运行除此以外的其他进程。同时,系统能够遵照管理员的设定,强制启动特定的应用程序。实现对终端计算机中运行的应用程序的最大化管理。
5.2.5 桌面管理
◆资产管理
自动收集计算机的软硬件资产信息,硬件资产信息包括:CPU、内存、主板、网卡等;软件资产信息包括:操作系统、计算机系统摘要、本地组信息、服务信息、应用软件信息、补丁信息等。自动发现以上各类软硬件资产的变化情况,灵活生成各种告警与图形报表,及时掌握每个终端资产的最新状态,避免资产流失。
◆软件分发
用户可以将应用软件的安装包或各类文件分发到指定的终端上并自动执行。
◆系统性能监测
实时监测终端CPU、内存、硬盘的使用情况,发现系统超出设置的阈值,及时告警通知。
◆远程支持
管理员可以通过远程桌面连接到终端进行管理和维护操作,支持客户端授权模式,确保系统安全性。本系统提供了两种模式的远程链接,一种是不支持鼠标和键盘输入的监视模式,另一种是支持鼠标和键盘输入的完全控制模式,很好地满足了管理员进行远程连接的不同需求。支持信息服务功能,管理员可以及时快捷向终端发送各种通知信息。
◆应用程序管理
监控指定软件的安装使用行为,通过软件名称关键字,对非法安装使用的软件实时监控告警。设置应用软件黑白名单,被列在黑名单中的软件或进程被禁止运行,从而禁止终端用
户运行P2P、网络游戏、即时通讯等与工作无关、严重影响网络环境的软件,保证企业利益最大化。
5.2.6 综合管理
◆策略管理
EPS系统提供分时、分组、分场所的策略管理功能,支持不同计算机组在不同时间、不同网络环境执行不同的安全策略,可根据时间、场所(内网或外网)自动切换安全策略。
◆分级分权管理
EPS系统支持跨地域分级部署,灵活设置上下层级关系,上级安全策略中心能够直接管理下级安全策略中心所管辖的安全代理,同时下级安全策略中心上传审计和告警日志,集中展示在一级安全策略中心。
安全策略中心支持分权管理功能,管理角色细分为系统管理员、审计员和操作员,可为不同的管理员分配不同的管理角色,实现管理任务合理分工、管理权限相互制衡的目标。
◆系统自保护
通过加载项保护、系统隐藏、防篡改保护、防进程删除等多种技术手段,防止安全代理被卸载、安全策略被修改、安全代理进程和服务被停止,保护系统正常、稳定地运行。同时支持在线卸载,管理员在WEB管理界面可批量卸载安全代理;也支持授权卸载,终端用户在卸载安全代理的时候必须输入授权码才能执行卸载。
◆查询与报表
能够方便地查看各种安全告警事件、违规事件和网络访问事件。通过报表可以了解最新的补丁、反病毒软件安装情况,并根据资产构成、变更、网络告警等条件生成丰富详细的图形报表并,支持多种文件格式的下载。
◆集中升级
系统提供自动升级和用户手动升级两种方式,管理员能够集中、统一地升级EPS平台以及终端安全代理。
◆用户管理
采用基于HTTPS加密传输协议的B/S浏览器管理方式,管理人员可以随时随地登录到服务器进行管理。
◆管理审计
系统对管理人员的登录行为、操作行为、以及任务的下发情况等进行全面的审计,并且只有审计员具备审计日志的维护权限,保证管理员和审计员的权限制衡,避免所有管理权限集中于一人引入的安全风险。
5.3 部署方式
NSFOCUS EPS支持快速部署,通过网关准入、应用准入强制向终端用户推送安全代理,同时支持域分发、网络共享、网站下载等方式让用户自行安装安全代理。所有终端设备安装安全代理软件后,通过安全策略中心下发安全管理策略对终端安全进行统一、高效的管理。
系统支持跨地域分级部署,具备良好的扩展性,可以满足大中小型用户不同的部署管理需求。
◆单独部署
系统单独部署时为星形结构,安全策略中心集中对所有安全代理进行统一管理。如下图所示:
图 5.4 单独部署拓扑图
◆分级部署
系统分级部署时,上级安全策略中心能够直接管理下级安全策略中心所管辖的安全代理,同时下级安全策略中心会上传审计和告警日志,集中展示在一级安全策略中心。如下图所示:
图 5.5 分级部署拓扑图
5.4 系统特性
NSFOCUS EPS遵循最新的安全标准、安全模型和设计理念,专注终端安全管理,具备以下特点:
◆移动介质的全生命周期管理
NSFOCUS EPS对移动介质提供了全生命周期管理的功能。将用户、计算机、移动介质三者进行绑定,在此基础上明确使用权限,彻底解决了用户或计算机越权使用移动介质的问题;从注册入网、到日常使用的管理和审计、再到最后的数据销毁,保证了对移动介质全生命周期的严密管理,做到对机密数据有始有终的管理和保护;对管理员而言操作方便、简单易用,对终端用户而言不增加额外操作、不改变用户已有的使用习惯。
◆基于多角度分析的ARP病毒防御技术
NSFOCUS EPS对终端主机的ARP数据包进行多角度、全方位的分析,主动防御ARP 病毒。通过对终端收发的ARP数据包以及ARP流量进行实时分析,协助用户准确定位ARP 病毒源,保护内部网络不受ARP病毒的侵扰
◆全面的准入控制
NSFOCUS EPS提供全面的终端准入控制功能。首先通过IEEE802.1X认证、网关准入、应用准入快速推送安全代理;其次安全代理多层面检查终端的安全状况,通过主机防火墙技
术保证只有符合准入安全要求的终端才能接入内部网络;最后对终端用户的身份进行认证,确保只有认证通过的用户才能接入内部网络。
◆快速部署、易于管理
NSFOCUS EPS提供多种准入控制技术,适应各种用户环境,能够有效加快产品部署进度、降低部署复杂度,为产品的快速部署提供保障。同时支持分级分权管理,能够跨地域分级部署在不同区域,为不同的管理员分配不同的角色和管理权限,降低一人集中管控的安全风险和管理风险。
◆高可靠性、高稳定性
NSFOCUS EPS具备高可靠性和高稳定性。全面兼容Windows全系列产品,从Windows 2000到Windows 2008,从32位到64位;全面兼容所有常用的办公应用软件、反病毒软件;服务器冗余技术进一步为系统的高可靠性提供了保障。
点击文章中飘蓝词可直接进入官网查看 安全监控运维管理平台系统 传统的运维管理系统已经不能满足企业对安全监控运维的需求,对于目前日益严重的网络安全问题,一套比较靠谱的安全监控运维管理平台系统非常重要。可以更好的实现对网络、应用服务器、业务系统、各类主机资源和安全设备等的全面监控,安全监控运维管理平台系统,哪家比较靠谱? 南京风城云码软件技术有限公司是获得国家工信部认定的“双软”企业,具有专业的软件开发与生产资质。多年来专业从事IT运维监控产品及大数据平台下网络安全审计产品研发。开发团队主要由留学归国软件开发人员及管理专家领衔组成,聚集了一批软件专家、技术专家和行业专家,依托海外技术优势,使开发的软件产品在技术创新及应用领域始终保持在领域上向前发展。 目前公司软件研发部门绝大部分为大学本科及以上学历;团队中拥有系统架构师、高级软件工程师、中级软件工程师、专业测试人员;服务项目覆盖用户需求分析、系统设计、代码开发、测试、系统实施、人员培训、运维整个信息化过程,并具有多个项目并行开发的能力。 安全监控运维管理平台系统功能主要表现以下方面: 服务器硬件状态监控:通过服务器主板IPMI协议,可以监控服务器风扇转速、机箱内部和CPU温度、电源电压、电源状态、CMOS电池容量、CPU、磁盘、内存、RAID卡等硬件状态。 监控操作系统运行状态:包括 linux、windows、Vmware等操作系统运行状态的监控,以及所运行的进程和服务等。 数据库和应用监控:包括MSSQL、ORACLE、MYSQL等数据库监控,WEB服务器,URL页面等状态监控。 线路监控:包括内部专网、互联网等线路的通断和质量、流量的监控。
360天擎终端安全管理系统 产品白皮书 北京奇虎科技有限公司
目录 一. 引言 (1) 二. 天擎终端安全管理系统介绍 (1) 2.1产品概述 (1) 2.1.1 设计理念 (1) 2.2产品架构 (1) 2.3产品优势 (1) 2.3.1 完善的终端安全防御体系 (1) 2.3.2 强大的终端安全管理能力 (1) 2.3.3 良好的用户体验与易用性 (1) 2.3.4 顶尖的产品维护服务团队 (1) 2.4主要功能 (1) 2.4.1 安全趋势监控 (1) 2.4.2 安全运维管理 (1) 2.4.3 恶意软件防护 (1) 2.4.4 终端软件管理 (1) 2.4.5 外设与移动存储管理 (1) 2.4.6 XP防护 (1) 2.4.7 硬件资产管理 (1) 2.4.8 企业软件统一管理 (1) 2.4.9 终端流量管理 (1) 2.4.10 终端准入管理 (1) 2.4.11 远程技术支持 (1) 2.4.12 日志报表查询 (1) 2.4.13 边界联动防御 (1) 2.5典型部署 (1) 2.5.1 小型企业解决方案 (1) 2.5.2 中型企业解决方案(可联接互联网环境) (1) 2.5.3 中型企业解决方案(隔离网环境) (1) 2.5.4 大型企业解决方案 (1) 三. 产品价值 (1) 3.1自主知识产权,杜绝后门隐患 (1) 3.2解决安全问题,安全不只合规 (1) 3.3强大管理能力,提高运维效率 (1) 3.4灵活扩展能力,持续安全升级 (1) 四. 服务支持 (1) 五. 总结 (1)
一. 引言 随着IT技术的飞速发展以及互联网的广泛普及,各级政府机构、组织、企事业单位都分别建立了网络信息系统。与此同时各种木马、病毒、0day漏洞,以及类似APT攻击这种新型的攻击手段也日渐增多,传统的病毒防御技术以及安全管理手段已经无法满足现阶段网络安全的需要,主要突出表现在如下几个方面: 1.1、终端木马、病毒问题严重 目前很多企事业单位缺乏必要的企业级安全软件,导致终端木马、病毒泛滥,而且由于终端处于企业局域网,造成交叉感染现象严重,很难彻底清除某些感染性较强的病毒。这类病毒、木马会导致终端运行效率降低,对文件进行破坏,或者会把一些敏感信息泄露出去。 同时,很多企业网络安全缺乏统一的安全管理,企业部终端用户安装的安全软件各不相同,参差不齐,导致安全管理员很难做到统一的安全策略下发及执行。 1.2、无法有效应对APT攻击的威胁 APT(Advanced Persistent Threat)攻击是一类特定的攻击,为了获取某个组织甚至是的重要信息,有针对性的进行的一系列攻击行为的整个过程。APT攻击利用了多种攻击手段,包括各种最先进的黑客技术和社会工程学方法,一步一步的获取进入组织部的权限。APT往往利用组织部的人员作为攻击跳板。有时候,攻击者会针对被攻击对象编写专门的攻击程序,而非使用一些通用的攻击代码。 此外,APT攻击具有持续性,有的甚至长达数年。这种持续体现在攻击者不断尝试各种攻击手段,以及在渗透到网络部后长期蛰伏,不断收集各种信息,直到收集到重要情报。 更加危险的是,这些新型的攻击和威胁主要就针对重要的基础设施和单位进行,包括能源、电力、金融、国防等关系到国计民生,或者是核心利益的网络基础设施。 同时,很多攻击行为都会利用0day漏洞进行网络渗透和攻击。此时由于没有现成的样本,所以传统的基于特征检测的入侵防御系统,以及很多企业的安全控管措施和理念已经很难有效应对0day漏洞以及APT攻击的威胁了。
智慧科技-计划管理系统 技术白皮书 1产品定位 各级科委目前对科技计划的管理主要采用电子文档化的管理模式。随着业务工作发展与政府服务职能的深化,业务信息的数据量也不断积累和扩大,现有的管理方式对业务工作的支撑力度开始显得不足,主要体现在信息记录的格式缺乏统一性、信息由多人管理较为分散、对信息的查阅和利用不够便捷等。因此,建设科技计划管理系统,利用更为有效的信息化管理手段变得十分必要。 计划管理系统的建设将以实际业务需求为导向,实现科技计划的全生命周期管理,通过信息化手段规范计划管理业务的管理要素和日常工作,并对收集到的各类要素信息进行更为有效的分析利用,为业务人员在计划管理中的综合处理、高效配置、科学决策提供更为有效的支撑。 凭借多年在信息化系统建设领域的丰富实践经验,我们在方案总体设计方面,周密考虑,充分部署,力争在方案的总体架构方面体现先进性、扩展性和实用性。 一方面,根据各级科委具体需求,采用BS应用结构作为整体应用架构,实现安全的信息交换与业务处理; 其次,采用模块化设计的思想,将各个管理环节标准化和规范化,实现业务开展过程的全面推进; 第三,通过完善的后台管理功能,提供灵活的定制服务,满足业务处理的需求。 整个系统设计在考虑了现有信息系统的使用特点以及现阶段的业务需求的同时,还充分考虑了系统的潜在需求,具有先进性和较高的可扩展性。 系统总体框架如下图:
2主要功能 ●计划可研 计划可行性研究阶段,根据计划指南,部门推荐,完成计划科研报告编写(Word和在线),在计划申报系统中进行填报。 可研报告包含企业信息,计划可研书要求的信息等 ●立项管理: 计划管理最关键过程,根据可研报告,进行立项管理过程。 计划立项审查,和全省市计划库中原有计划进行对比,从计划名称、计划建设内容、考核指标、承担单位、计划负责人等各个方面进行比对, 形成相应的客观报告。 专家根据立项审查结果,进行再次审核,最终形成结果,专家随机取自专家系统库,同时各自打分可以网上网下结合进行,保证其公平透明。 ●计划申报: 计划可研和立项管理结束后,将发放计划正式立项通知书。
1概述 1.1服务范围和服务内容 本次服务范围为XX局信息化系统硬件及应用系统,各类软硬件均位于XX局第一办公区内,主要包括计算机终端、打印机、服务器、存储设备、网络(安全)设备以及应用系统。服务内容包括日常运维服务(驻场服务)、专业安全服务、主要硬件设备维保服务、主要应用软件系统维保服务、信息化建设咨询服务等。 1.2服务目标 ●保障软硬件的稳定性和可靠性; ●保障软硬件的安全性和可恢复性; ●故障的及时响应与修复; ●硬件设备的维修服务; ●人员的技术培训服务; ●信息化建设规划、方案制定等咨询服务。 2系统现状 2.1网络系统 XX局计算机网络包括市电子政务外网(简称外网)、市电子政务内网(简称内网)以及全国政府系统电子政务专网(简称专网)三部分。内网、外网、专网所有硬件设备集中于XX局机房各个独立区域,互相物理隔离。 外网与互联网逻辑隔离,主要为市人大建议提案网上办理、XX局政务公开等应用系统提供网络平台,为市领导及XX局各处室提供互联网服务。外网安全加固措施:WSUS服务器、瑞星杀毒软件服务器为各联网终端提供系统补丁分发和瑞星杀毒软件管理服务,建立IPS、防火墙等基本网络安全措施。 内网与外网和互联网物理隔离,为XX局日常公文流转、公文处理等信息化系统提供基础网络平台。内网安全加固措施:WSUS服务器、瑞星杀毒软件服务器为各联网终端提供系统补丁分发和瑞星杀毒软件管理服务;配备防火墙实现内网中服务器区域间的逻辑隔离及安全区域间的访问控制,重点划分服务器区,实现相应的访问控制策略。 专网由XX局电子政务办公室统一规划建设,专网和互联网、内网及其他非涉密网络严格物理隔离,目前主要提供政务信息上报服务和邮件服务。
服务管理平台 1产品综述 1.1产品定义 服务管理平台,是将基于服务技术、组件式开发的、独立运行的服务进行统一的接入、统一管理、统一调度,实现异构服务间集成与管理,最终实现所有运行中的服务可以有序、正常、持续的运转。 1.2产品定位 服务管理平台是针对系统庞大、需求持续增加、需求变化较为频繁、接口数目庞大、接口调用频繁,并倾向于使用服务架构系统管理,而提供一体化的服务管理平台。服务管理平台通过集成支撑服务、行业服务、工具服务、中间件服务,对所有的服务进行统一的管理和监控,对上层应用的服务调用提供基础支撑。 2产品核心价值 2.1快捷部署 现有平台,针对单一系统,功能的增加或者原有功能的修改,都需要开发人员重新梳理原有系统接口,并针对每个接口进行调整然后重新测试部署,对开发人员和运维人员都带来不小的负担,开发实施时间长。
服务管理平台正是为解决这一难题而出现的,灵活的服务配置改变原有单模式,将服务按功能或行为划分为响度独立的功能服务,每个服务都可独立部署运行,对外提供统一的服务接口,快速应对用户需求的变化。 2.2强大的服务管理支撑 服务管理平台可接入依照服务模式和灵活的调度策略开发出来的产品模块,实现服务的注册、服务依赖关系的管理、服务的资源目录、服务路由等功能,并可实现服务的计量功能,提供全面化的服务统一管理功能。 2.3一致的服务调用 服务管理平台对接入的服务的运行进行统一的管理,根据服务的调用关系,实现服务运行过程中的降级、熔断等调度功能,最终达到服务能有序、高效、正常的运行。 3产品架构 服务管理平台通过统一网关来接受外部系统的服务调用,并实现服务路由、均衡负载、权限控制等功能。 服务管理平台中的Adapter模块,主要实现第三方服务的接入、具体业务需求的定制和配置管理,以满足不同项目的特定业务和技术需求。
开源操作系统评估: 特性、灵活性和性能 白皮书 2009 年 6 月 摘要 操作系统是企业 IT 架构的基础。评估开源 (Open-Source) 和专有 (Proprietary) 操作系统解决方案时,越来越多的企业正在逐渐认可开源所提供的优势,包括易于访问、不断创新和灵活性强。然而对于现今要求严格的企业来说,Sun’s Solaris? 和 OpenSolaris? 操作系统可提供理想的战略平台。除了开源具有明显的优势,Solaris 和 OpenSolaris 还可为企业提供无与伦比的特性、灵活性、性能和可靠性。
Sun 公司 目录 内容摘要 (1) 为何将开源用于操作系统? (1) Solaris? 和 OpenSolaris? OS :Sun 公司的开源操作系统 (2) 开源社区在开发 Sun 操作系统中的价值 (4) Sun 公司开源 Solaris 操作系统的关键特性和功能 (5) 开放式操作系统案例分析 (7) Reliant Security 公司采用 Sun 公司技术创建优化的. 低成本零售业安全解决方案 (7) Solaris 和 Red Hat Enterprise Linux:简单比较 (9) 5 大区分因素 (9) 是否考虑在您的企业中部署开源操作系统? (11) 如何着手采用 Sun 开源操作系统 (11)
1 内容摘要 Sun 公司内容摘要 操作系统 (OS) — 一个由程序组成的集合,这些程序作为硬件与硬件上运行的应用程序之间的接口提供服务.—.会极大地影响企业应对其所面临挑战的成功与否。操作系统管理企业使用的所有其它程序以及硬件资源 (如 CPU、内存和硬盘驱动器) 的分配和使用。作为任何 IT 解决方案的一个关键性组件,选择操作系统对于企业来说同时具有商业和技术价值。 企业现在可以在开源操作系统和专有操作系统这两种解决方案之间进行选择。.本白皮书探究开源操作系统的优势,并考查 Sun 公司的开源 Solaris 和OpenSolaris OS,它们提供可提高性能、可用性和可扩展性的跨平台功能和具有突破意义的特性。 为何将开源用于操作系统? 开源操作系统与专有操作系统相比,具有明显的低成本、安全和高度可操作 的优点。用于操作系统开发的开源模式使创新活动超越一个公司的范围,与像Microsoft Windows、AIX 或 HP-UX 这样的操作系统背后的高成本、高维护频率、专有开发方法形成鲜明对比。开源操作系统的许可成本会比闭源操作系统低很多,而对于希望获得一个功能齐全的高端系统用版本的客户来说尤其如此。此外,运行于多种平台并与来源不同的多种应用程序协作的开源操作系统使供应商锁定 (Lock-in) 几乎成为不可能,而且具有特殊需要的公司可以定制特定的开源操作系统模块。
企业网络安全管理制度文件编号:企业网络安全管理制度 版本历史 编制人: 审批人:
为加强公司网络系统的安全管理,防止因偶发性事件、网络病毒等造成系统故障,妨碍正常的工作秩序,特制定本管理办法。 一、网络系统的安全运行,是公司网络安全的一个重要内容,有司专人负责网络系统的安全运行工作。 二、网络系统的安全运行包括四个方面: 网络系统数据资源的安全保护、网络硬件设备及机房的安全运行、网络病毒的防治管理、上网信息的安全。 (一)数据资源的安全保护 1、办公室要做到数据必须每周一备份。 2、财务部要做到数据必须每日一备份。 3、一般用机部门要做到数据必须每周一备份。 4、系统软件和各种应用软件要采用光盘及时备份。 5、数据备份时必须登记以备检查,数据备份必须正确、可靠。 6、严格网络用户权限及用户名口令管理。 (二)硬件设备及机房的安全运行 1、硬件设备的供电电源必须保证电压及频率质量,一般应同时配有不间断供电电源,避免因市电不稳定造成硬件设备损坏。 2、安装有保护接地线,必须保证接地电阻符合技术要求(接地电阻≤2Ω,零地电压≤2V),避免因接地安装不良损坏设备。 3、设备的检修或维护、操作必须严格按要求办理,杜绝因人为因素破坏硬件设备。
4、网络机房必须有防盗及防火措施。 5、保证网络运行环境的清洁,避免因集灰影响设备正常运行。 (三)网络病毒的防治 1、各服务器必须安装防病毒软件,上网电脑必须保证每台电脑要安装防病毒软件。 2、定期对网络系统进行病毒检查及清理。 3、所有U盘须检查确认无病毒后,方能上机使用。 4、严格控制外来U盘的使用,各部门使用外来U盘须经检验认可,私自使用造成病毒侵害要追究当事人责任。 5、加强上网人员的职业道德教育,严禁在网上玩游戏,看于工作无关的网站,下载歌曲图片游戏等软件,一经发现将严肃处理。 (四)上网信息及安全 1、网络管理员必须定期对网信息检查,发现有关泄漏企业机密及不健康信息要及时删除,并记录,随时上报主管领导。 2、要严格执行国家相关法律法规,防止发生窃密、泄密事件。外来人员未经单位主管领导批准同意,任何人不得私自让外来人员使用我公司的网络系统作任何用途。 3、要加强对各网络安全的管理、检查、监督,一旦发现问题及时上报公司负责人。公司计算机安全负责人分析并指导有关部门作好善后处理,对造成事故的责任人要依据情节给予必要的经济及行政处理。 三、未经公司负责人批准,联结在公司网络上的所有用户,严禁在同过 其它入口上因太网或公司外单位网络.
绿盟云安全集中管理系统 NCSS 产品白皮书 【绿盟科技】 ■ 文档编号 ■ 密级 完全公开 ■ 版本编号 ■ 日期 ■ 撰 写 人 ■ 批准人
? 2018 绿盟科技■ 版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属绿盟科技所有,受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。 ■ 版本变更记录 时间 版本 说明 修改人 2017-09-04 V1.1 起草 冯超
目 录 一. 云安全风险与挑战 (3) 1.1云安全产品缺乏统一管理 (3) 1.2安全责任边界界定不清 (3) 1.3用户与平台安全边界不清 (3) 1.4云安全缺乏有效监督 (3) 1.5云计算不可避免的虚拟化安全 (4) 二. 设计理念 (4) 2.1安全资源池化 (4) 2.2云平台安全管理 (4) 2.3用户按需服务 (5) 2.4合规性原则 (5) 2.5符合云计算的特性 (5) 三. 绿盟星云 (6) 3.1运维门户 (7) 3.2租户门户 (7) 3.3资源池控制器 (8) 3.4日志分析 (8) 3.5安全资源池 (8) 四. 特色和优势 (8) 4.1统一管理 (8) 4.2按需服务 (9) 4.3便捷部署 (9) 4.4弹性扩容 (9) 4.5安全合规 (9) 4.6高可用性 (10) 4.7升级维护方便 (10) 4.8开放的资源池兼容性 (10) 4.9丰富的服务组合 (11) 五. 客户收益 (11) 5.1云平台安全保障 (11) 5.2等保合规要求 (12) 5.3安全责任清晰 (12) 5.4安全增值可运营 (12) 5.5降低运维成本 (13)
运维管理系统方案 概述 伴随着企事业网络规模的不断扩大,企事业服务器的增多,企事业管理的信息化,企事业网络管理也变的越来越重要。一旦网络、服务器、数据库、各种应用出现问题,常常会给企事业造成很大的损失。怎样能7x24小时检测网络系统的运行情况,避免各种故障的发生,改进传统的网络管理方式来适企事业信息化发展的需要? 因此,运维管理系统就有他的必要性。一个完备的运维管理系统能够提供7x24小时检测网络、服务器、数据库、各种应用系统,及时发现将要出现的问题,并通过短信、Email、声音报告给运维管理人员。运维管理人员就可以及时排除故障,避免造成重大损失。 运维管理系统的功能: ?故障发现与警报; ?记录日常运维日志信息; ?服务器故障统计; ?服务器软硬件信息统计; ?服务进程管理; ?将数据信息存储到数据库,并使用图形方式直观的展示出来; ?权限、密码管理; ?将数据生成报表。 运维管理系统的特点: ?邮件和短信实时故障报警; ?B/S结构,能够通过web对远程服务器下达指令; ?监控服务器和被监控服务器之间通过python socket来发送信息; ?统计日常故障处理,以便下次出现同样故障时能够更快的解决问题; ?实现自动化管理和自动化监控; ?安全管理服务器性能; ?操作流程统计与管理。
系统结构 运维管理系统采用B/S构架,运维管理人员随时随地可以对服务器进行管理、配置及故障处理。它是将部署在同一个局域网内的所有服务器统一管理,服务器之间的信息通讯、指令发送、运维管理都通过python来实现。监控服务器端负责采集、统计和分析数据,在数据出现异常时发送报警信息到管理员的email、手机中,并将错误日志存储到数据库中。 运维管理系统主要通过LAMP服务器、python编程、snmp和shell编程来实现。在被监控端安装python服务,并在被监控服务器上部署python程序和shell脚本用于接受监控服务器端指令、信息采集并发送会监控服务器端。监控服务器端部署python程序和LAMP服务器,用于发送指令、接受数据信息、存储数据、统计数据以及异常报警。 运维管理人员日常通过web浏览器远程登录监控管理系统,检测各被监控服务器的运行状态、服务状态、防火墙配置、进程信息、操作日志等信息。在出现异常时,通过运维系统可以查看到具体的异常服务器、进程等信息,并根据这些信息来处理异常。
机房线路管理系统 -CVMS 一、当前现状 机房线路及设备管理现状 ?采用手工记录管理现有线缆标识、线路连接关系 ?缺乏统一的资料管理平台 ?网络物理线路查询困难 ?人员变更交接资料繁琐 ?缺乏规范的管理流程 ?无法清楚的了解网络设备的配置和资源使用状况 ?维护效率低,增加维护成本 为什么我们推出软件形式的机房线路管理系统? ?提高企业/政府/教育/金融IT管理部门的效 率 ?解脱繁琐的传统文档管理工序 ?迅速诊断和定位网络问题 ?提升内部安全性能 ?极为合理的投资成本 ?实现管理图形化和数字化 ?纯软件系统对线路及网络硬件没有任何不良影响 智邦(知微?)机房线路管理系统是对机房系统中设备的维护信息和连接信息进行图形化管理,把图形、数据和连接关系三种对象紧密的结合,为管理员提供一个直观、易用的图形化管理平台。
二、系统特点 CVMS 是一套专业的机房线路管理软件,通过创建“可视化数据库”,将信息和图形有机结合,能帮助企业更好地规划、管理和维护其物理网络、通信、视频、监控及布线基础设施。 基于B/S(浏览器/服务器)结构模型,客户端以浏览器的web 页面形式运行; 系统后台采用SQL Server数据库; 纯软件架构,不需要对现有的网络和硬件进行任何改动; 管理界面友好、精美、简单、功能强大、操作灵活; 可实行跨地域管理和分工管理; 数据和图形相结合; 图形定位快捷; 设备、线缆、终端链路关联处理; 文档、设备、线路连接统一管理,建立完整的技术管理平台; 通过操作日志、管理权限、角色管理来实现对操作人员的管理; 线缆线标的管理使您的管理能精确到每一根线缆; 通过派工单管理,规范机房线路系统的维护工作流程。 三、应用范围 广泛应用于政府、军队、金融、税务、烟草、交通、教育、医疗、能源、电信、广电、司法、电力等多个行业 四、功能模块 1.数据采集 该模块的主要功能是对整个项目的内容进行录入,建立项目数据库。 模块特点: 以目录树的形式自上而下对项目内容进行逐步录入 上传楼层或区域平面图,使每个端口或信息点都可以在楼层平面图上的准确物理位 置以闪烁的形式标明 由机柜信息自动生成机柜和设备模拟图,并确定设备在机柜中的位置 定义信息点、终端设备的类型和内容 建立设备之间的连接关系,生成链路关系模拟图 支持数据批量录入,支持多人同时分工录入 支持线缆线标的批量录入
360运维安全管理与审计系统 产品白皮书 2017年2月
目录 1.产品概述 (3) 2.产品特点 (3) 健全的账号生命周期管理 (3) 丰富多样的安全认证机制 (4) 细粒度的访问授权与控制 (4) 监控与敏感过程回放 (4) 性能资源弹性调度 (5) 成熟的高可用性机制 (5) 3.主要功能 (5) SSO单点登录 (5) 集中账号管理 (5) 集中身份认证 (6) 统一资源授权 (6) 集中访问控制 (6) 集中操作审计 (6) 4.核心功能列表 (7) 5.产品价值 (8) 规范运维管理 (8) 降低资源风险 (8) 提高管理效益 (8) 过程透明可控 (8) 完善责任认定 (8) 满足各组织合规要求 (8)
1.产品概述 随着企业信息系统规模的不断扩大,业务范围的快速扩张,运维工作量也随之增多。在运维过程中存在事前身份不确定、授权不清晰,事中操作不透明、过程不可控,事后结果无法审计、责任不明确导致客户业务及运维服务面临安全风险。 360运维安全管理与审计系统是针对政府、金融、医疗、电力、教育、能源、企业、军队、海关等重点行业客户推出的,主要解决事企业IT运维部门账号难管理,身份难识别,权限难控制,操作过程难监控,事件责任难定位等问题。360运维安全管理与审计系统基于软硬件一体化设计,集账号、认证、授权、审计为一体的设计理念,实现对事企业IT中心的网络设备、数据库、安全设备、主机系统、中间件等资源统一运维管理和审计。对运维人员整个操作过程处于可管、可控、可见、可审的状态,为事企业IT中心运维构建一套事前预防、事中监控、事后审计完善的运维管理体系。 2.产品特点 健全的账号生命周期管理 通过主从账号分离的方式来将账号与具体的自然人相关联。通过这种关联,可以实现多级的用户管理和细粒度的用户授权,并针对自然人的行为审计。 密码强度策略对主从账号密码强度进行监测,强制对密码强度进行修改至符合强度要求才可进行修改或登录。 360运维安全管理与审计系统提供账号密码到期提醒功能,强制对密码到期的用户进行密码修改,结合密码强度实现定期对密码按照密码强度强制修改。 360运维安全管理与审计系统可对用户帐号密码、资源帐号密码按照密码策略要求进行定期、定时自动变更密码,防止口令因为过于简单易于猜测而被破解
绿盟下一代防火墙 产品白皮书 ? 2014 绿盟科技■版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属绿盟科技所有,受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录 一. 当今网络边界安全的新挑战 (1) 二. 现有防火墙解决方案的不足 (2) 三. 绿盟下一代防火墙产品 (3) 3.1客户价值 (3) 3.1.1 洞察网络应用,识别安全风险 (3) 3.1.2 融合安全功能,保障应用安全 (4) 3.1.3 高效安全引擎,实现部署无忧 (4) 3.1.4 内网风险预警,安全防患未然 (4) 3.1.5 云端高效运维,安全尽在掌握 (5) 3.2产品概述 (5) 3.3产品架构 (6) 3.4主要功能 (7) 3.4.1 识别和可视性 (7) 3.4.2 一体化策略与控制 (8) 3.4.3 应用层防护 (9) 3.4.4 内网资产风险识别 (10) 3.4.5 安全运维云端接入 (11) 3.4.6 基础防火墙特性 (12) 3.5产品优势 (13) 3.5.1 全面的应用、用户识别能力 (13) 3.5.2 细致的应用层控制手段 (15) 3.5.3 专业的应用层安全防护能力 (16) 3.5.4 卓越的应用层安全处理性能 (18) 3.5.5 首创的内网资产风险管理 (18) 3.5.6 先进的云端安全管理模式 (18) 3.5.7 完全涵盖传统防火墙功能特性 (19) 3.6典型部署 (19) 四. 总结 (20)
插图索引 图1 核心理念 (5) 图2 整体架构 (6) 图3 资产管理 (10) 图4 云端接入 (11) 图5 应用/用户识别 (13) 图6 应用控制 (15) 图7 一体化安全引擎 (16) 图8 双引擎多核并发 (18) 图9 典型部署 (19)
8.3I T运维信息安全解决方案 随着信息安全管理体系和技术体系在企业领域的信息安全建设中不断推进,安全运维占信息系统生命周期70% - 80%的信息,并且安全运维体系的建设已经越来越被广大用户重视。尤其是随着信息系统建设工作从大规模建设阶段逐步转型到“建设和运维”并举的发展阶段,运维人员需要管理越来越庞大的IT系统这样的情况下,信息安全运维体系的建设已经被提到了一个空前的高度上。它不仅单单是一个体系的建设,更是IT系统管理中的夯实基础。 运维服务的发展趋势对于企业的安全运维服务管理的发展,通常可以将其分为混乱阶段、被动阶段、主动阶段、服务阶段和价值阶段这五个阶段。 1、在混乱阶段:运维服务没有建立综合的支持中心,也没有用户通知机制; 2、在被动阶段:运维服务开始关注事件的发生和解决,也开始关注信息资产,拥有了统一的运维控制台和故障记录和备份机制; 3、在主动阶段:运维服务建立了安全运行的定义,并将系统性能,问题管理、可用性管理、自动化与工作调度作为重点; 4、在服务阶段,运维服务工作中已经可以支持任务计划和服务级别管理; 5、在价值阶段,运维服务实现了性能、安全和核心几大应用的紧密结合,体现其价值所在。
安全的概念 信息安全的概念在二十世纪经历了一个漫长的历史阶段,90年代以来得到了深化。进入21世纪后,随着信息技术的不断发展,信息安全问题也日显突出。如何确保信息系统的安全已经成为了全社会关注的问题。国际上对于信息安全问题的研究起步较早,投入力度大,已取得了许多成果,并得以推广应用。中国目前也已有一批专门从事信息安全基础研究、技术开发与技术服务工作的研究机构与高科技企业,形成了中国信息安全产业的雏形。 关于信息安全的定义也有很多,国内学者与国外学者、不同的社会组织也给出了不同的定义。 ?国内学者的定义:“信息安全保密内容分为:实体安全、运行安全、数据安全和管理安全四个方面。” ?我国“计算机信息系统安全专用产品分类原则”中的定义是:“涉及实体安全、运行安全和信息安全三个方面。” ?我国相关立法给出的定义是:“保障计算机及其相关的和配套的设备、设施(网络)的安全,运行环境的安全,保障信息安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全”。这里面涉及了物理安全、运行安全与信息安全三个层面。 ?国家信息安全重点实验室给出的定义是:“信息安全涉及到信息的机密性、完整性、可用性、可控性。综合起来说,就是要保障电子信息的有效性。”
金智CMS内容管理系统 功能白皮书 编制人员:林立超 编制部门:协同应用产品部CMS产品组 审核确认 金智教育〔此处键入用户名称〕〔此处键入第三方名称〕 签字:日期:签字: 日期: 签字: 日期:
修改记录表
目录 1 产品简介 (5) 2 产品适用范围 (6) 3 产品使用对象 (6) 4 产品功能结构 (7) 5 产品功能说明 (8) 5.1 站群管理 (8) 5.2 网站管理 (12) 5.3 接口 (18) 6 产品特点 (18) 6.1 产品特性 (18) 6.2 产品功能特点 (21) 6.3 与前一代产品的对比 (24) 7 运行环境要求 (24) 8 产品截图 (25) 8.1 登录界面 (25) 8.2 管理员管理界面 (26) 8.3 站点管理界面 (26) 8.4 用户管理界面 (28) 8.5 角色管理界面 (28) 8.6 机构管理界面 (29) 8.7 菜单项管理界面 (29) 8.8 数据字典界面 (30) 8.9 模板库管理界面 (31) 8.10 信息同步管理界面 (32) 8.11 敏感词管理界面 (33) 8.12 网站包管理界面 (33) 8.13 组件管理界面 (34) 8.14 统计分析界面 (34) 8.15 公共资源库界面 (35) 8.16 通知公告界面 (37) 8.17 日志管理界面 (37) 8.18 定时计划管理界面 (38) 8.19 应用插件管理界面 (38) 8.20 自定义组界面 (39) 8.21 站内信管理界面 (39) 8.22 个人信息界面 (40) 8.23 修改密码界面 (40) 8.24 栏目管理界面 (41) 8.25 内容管理界面 (42) 8.26 个人资源库界面 (44) 8.27 备份恢复界面 (45)
绿盟WEB应用防护系统(可管理系列) 产品白皮书 【绿盟科技】 ■密级完全公开 ■文档编号NSF-PROD-WAF with MSS(原 PAMWAF)-V1.0-产品白皮书-V1.2 ■版本编号V1.2 ■日期2014/6/3 Array ? 2014 绿盟科技
■版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属绿盟科技所有,受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。 ■版本变更记录 时间版本说明修改人 乔建 2013/3/10 V0.1 创建文档,内容包括:产品概述、产品架构、产 品优势。 2013/3/11 V0.2 添加主要功能。卢梁 2013/3/12 V0.3 添加典型部署。卢梁 李天武 2013/3/13 V0.4 添加引言、产品优势、客户利益,修改产品概述、 产品架构、产品功能、典型部署。 2013/3/18 V0.5 添加实施与运营流程、总结李天武 2013/3/18 V0.6 修改产品体系架构图使用的软件细节李天武 2013/3/21 V0.7 修改部分文字描述、更新使用的图片李天武 2014/6/3 V1.2 更改产品与技术名称李天武
目录 一. 引言 (1) 二. 绿盟WEB应用防护系统(可管理系列) (1) 2.1产品概述 (1) 2.2产品架构 (2) 2.3产品优势(技术优势&特色) (3) 2.4主要功能 (5) 2.5典型部署 (8) 2.6实施与运营流程 (8) 三. 客户利益 (10) 四. 总结 (11)
点击文章中飘蓝词可直接进入官网查看 it安全运维系统 随着互联网大数据的发展,企业的IT系统会变得越来越庞大、复杂,it安全运维部门的职责也随之不断增加。但是与此同时,it安全运维还要降低IT成本,减少IT运维人员 的压力。这需要IT部门选择一个比较好的it安全运维系统来提供效率,提升系统性能, 并降低风险。 南京风城云码软件技术有限公司是获得国家工信部认定的“双软”企业,具有专业的 软件开发与生产资质。多年来专业从事IT运维监控产品及大数据平台下网络安全审计产品研发。开发团队主要由留学归国软件开发人员及管理专家领衔组成,聚集了一批软件专家、技术专家和行业专家,依托海外技术优势,使开发的软件产品在技术创新及应用领域始终 保持在领域上向前发展。 目前公司软件研发部门绝大部分为大学本科及以上学历;团队中拥有系统架构师、软 件工程师、中级软件工程师、专业测试人员;服务项目覆盖用户需求分析、系统设计、代码开发、测试、系统实施、人员培训、运维整个信息化过程,并具有多个项目并行开发的 能力。 自公司成立已来,本团队一直从事IT系统运维管理以及网络信息安全审计产品的开发,同时在电力、制造行业及政府部门的信息化、智能化系统的开发及信息安全系统的开发中 有所建树;在企事业协同办公管理、各类异构系统的数据交换与集成(企业总线ESB)、 电力行业软件系统架构设计、电网大数据量采集和数据分析、电能质量PQDF算法解析等应用方面拥有丰富开发的经验。特别在网络信息安全、IT应用系统的智能化安全监控领域具有独特的技术优势和深厚的技术储备。近年来随着企业的不断发展和技术的不断更新, 公司的开发团队正在拓展更多业务范围和更新的技术应用。
客户关系管理系统CRM 产品白皮书
目录 1.产品介绍 (3) 2.业务概述 (3) 3.产品架构 (4) 4.产品功能 (4) 5.产品特点 (6) 6.关于我们 (6)
1.产品介绍 当前随着“互联网+”的飞速发展,商业品牌企业正在从单一渠道、多渠道销售的运营模式,逐步转变为跨渠道和全渠道运营模式。企业正在把以产品为中心的批发销售,转变为以消费者为中心的零售模式。品牌企业以消费者为中心来组织商品,让商品在线上线下快速流动。更强调对消费者的统一管理,比过去更加关注企业会员的动向,对会员进行精细化管理。 大连华信的iBiz.CRM 产品就是品牌企业进行C端会员精细化管理的利器。通过它,品牌企业可以发展捕获会员、针对会员开展营销活动、对会员进行个性化服务,分析会员历史数据并进行更为精准的运营。 2.业务概述 附图1 当前的品牌企业全渠道运营的背景下,企业必须把原来分散到不同渠道上的会员进行统一整合,将渠道会员统一为企业会员。在统一的会员视图下,针对辨识的一致的会员信息,进行跨渠道的交易和营销,进而完成后续的精细化管理。品牌企业需要提供这样一致性的体验,一致性的管理能力。来使得会员可以在企业的不同销售渠道之间无缝的获得服务。
3.产品架构 附图2 iBiz.CRM产品应用分为前台,中台和后台三个组成部分,前台是内置于不同渠道触点中的功能,包括会员APP,微信平台,门店POS,电商平台,微博等,分布在这些不同触点中的会员业务功能,完成会员的收集,会员的交互,以及会员自服务。中台是CRM产品为不同的前台提供的标准接口服务,这些接口服务通过分布式服务框架开放给前台系统。后台是CRM 的核心功能,由企业内的各种角色管理人员使用,完成会员的全面管理。 4.产品功能 iBiz.CRM产品功能主要集中分布在后台,我们为前台提供独立的会员APP应用,其他前台功能主要分布在其他的接触层产品中;基于强大的后台业务的中台服务是标准的接口,并可以根据前台的不同方案要求,进行良好的扩展开发。产品的核心功能包括: ●前台功能(会员APP应用) ◆首页 品牌故事、签到、参与活动、领取卡券、附近门店。 ◆登陆注册 登陆、会员注册、忘记密码。 ◆商品管理
华为公司以项目为中心运作项目管理体系建设 十五年前,我入职华为公司,我当时的工号是46609,现在还能清楚记得当时激情洋溢 的军训。 这篇文章介绍了华为公司打破传统的功能型组织结构,从弱矩阵项目管理向强矩阵转变 的历程。内容包括如何全面铺设项目管理组织,转向“以项目为中心”。同时,通过一系列 的政策、标准和规定统一项目管理语言,建设项目管理流程体系。 其中,华为创建的的分析、规划、建立、实施、移交、关闭标准6阶段方法论,很有特色,形成了完整的项目管理流程体系。而且,还建设了P-Link通用作战平台,支撑体系落 地执行。 在项目运营和度量上,华为公司借鉴了众多业界的最佳实践,帮助企业实现持续度量和 改进。 陈潺潺 华为公司以项目为中心运作项目管理体系建设主要包含规则、流程/平台/工具、组织、运营与度量四个方面。 1 建组织 要发挥项目管理在企业管理中的作用,真正实现以项目为中心的运作,华为进行了大刀阔斧地调整组织架构,围绕项目的权力再分配。也就是说要打破传统的功能型组织结构,从弱矩阵向强矩阵转变。 在这一系列的变革过程中,公司轮值董事长郭平牵头负责向“以项目为中心”转变的能力建设,其下成立多个变革子项目,包括“项目型组织变革项目”、“通用项目管理服务平台建设项目”、“项目管理流程建设项目”等,确保了华为公司从弱矩阵一步步走向强矩阵。 华为在实施向以项目为中心转变的初期,就明确了必须在公司层面设立了项目管理专委会,同时成立PMCoE作为公司级PMO,统筹管理公司的项目管理政策、规则、流程、工具等,并在公司内部进行项目管理文化建设和项目管理能力提升。
各领域设立自己领域层面的项目管理能力中心或PMO,承接公司层面的政策和要求,依据领域的业务和项目管理特色进行适配、解释,并监督执行。由此确定了一个明确的、层次分明的项目管理组织架构,便于后续具体工作的落实和持续改进。 在项目层面的组织运作上,华为公司对项目型组织结构也做出了明确规定:必须围绕项目进行建设和调整,每个项目必须有HRBP,达到一定规模的项目必须有独立的HRBP,等一系列的系统要求并监督落实;项目必须有正式的任命,并在立项审批时有明确的目标、范围、价值;推动资源的公正评价机制建设。 2 定规则 规则主要用来统一语言、规范运作。华为主要从项目管理通用原则、项目经营、项目资源、项目预算、项目型组织这5个方面加强“以项目为中心”的运作,颁布了一系列的公司政策、公司标准和业务规定。 包括:华为公司项目、项目群定义、华为公司项目分类标准、华为公司项目等级标准、华为公司项目基本信息定义和构成、项目经营管理政策、项目概算管理规则、项目预算管理规则、资源买卖规则、技能管理指导白皮书、项目型组织人力资源管理规定、项目管理任职标准等30份以上的具体规则和白皮书。 在不否认各领域业务差异性的同时,在项目管理的认知和语言上进行了大范围的统一,为跨领域的项目管理沟通、协作、互助提供了土壤。
■版权声明绿盟威胁分析系统产品白皮书 【绿盟科技】 ■文档编号NSF-PROD-TAC-产品白皮书-V1.0 ■密级完全公开 ■版本编号V1.0 ■日期2013-10-10 ■撰写人唐伽佳■批准人段小华 ?2016绿盟科技
本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属绿盟科技所有,受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。 ■版本变更记录 时间版本说明修改人 2013-10-10 V1.0 新建唐伽佳
目录 一. 前言 (1) 二. 攻防的新特点 (2) 三. 攻防技术发展特点 (3) 四. 绿盟威胁分析系统 (4) 4.1体系结构 (6) 4.2主要功能 (6) 4.3部署方案 (10) 五. 结论 (10)
插图索引 图 4.1 绿盟威胁分析系统体系架构 (6) 图 4.2 NSFOCUS TAC 虚拟执行过程图 (8) 图 4.3 NSFOCUS TAC SPAN和TAP部署方案 (10) 图 4.4 NSFOCUS NIPS(N系列)多链路防护解决方案......................................... 错误!未定义书签。
一. 前言 如今,政府和企业同时面临着一个不断演变的网络威胁环境。最初的黑客攻击是为了获得影响力及自我满足去攻击媒体网站,或者使用DoS方式来中断网站的服务;而现在已演变成为了经济、政治等目的的攻击。攻击者能够通过窃取知识产权来直接获取利益,也可以入侵、窃取客户的个人金融信息,更有甚者破坏对方的服务以至国家的基础设施。动机的变化,同时也带来了攻击方式的变化。 从过去广泛、漫无目的的攻击威胁,在数年内迅速的转化为针对受害者组织将造成严重后果的高级可持续威胁(Advanced Persistent Threat)。高级可持续威胁(APT)是由美国空军的信息安全分析师与2006年创造的术语,一般来说,高级可持续威胁具备以下三个特点: 高级:攻击者为黑客入侵技术方面的专家,能够自主的开发攻击工具,或者挖掘漏洞,并通过结合多种攻击方法和工具,以达到预定攻击目标。 持续性渗透:攻击者会针对确定的攻击目标,进行长期的渗透。在不被发现的情况下,持续攻击以获得最大的效果。 威胁:这是一个由组织者进行协调和指挥的人为攻击。入侵团队会有一个具体的目标,这个团队训练有素、有组织性、有充足的资金,同时有充分的政治或经济动机。 此类APT威胁往往可以绕过防火墙、IPS、AV以及网闸等传统的安全机制,悄无声息的从企业或政府机构获取高级机密资料。在2012年Verizon信息外泄调查报告中可以看到,2011年发生的重大信息数据外泄的受访组织中,有59%是在相关执法机构告知后才知道信息外泄的情况。 Gartner在2012年的报告中说道:“越来越多的人同意APT攻击是可以避开我们传统的基于特征的安全检测机制,并且存在与系统内的时间越来越长,无法被侦测出来。威胁真的发生了,你已经被入侵,只是你不知道而已”。 高级可持续威胁(APT)已经成为当今公认最具威胁的网络攻击类型。