捍卫者终端安全访问审计控制系统.doc

捍卫者终端安全访问审计控制系统目录一、产品背景2二、解决方案3三、系统功能描述5四、管理功能描述5五、系统技术特点6六、系统架构6七、适用行业7一、产品背景近十余年来,我国信息化建设取得快速发展。目前，各主要系统和单位均建立了较完善的信息化设施和网络。其中为了系统或单位的信息保密，多数内网需通过物理或电子方式和外网隔离。对于某一系统或单位内网来说，行之有效的安全管理是所企盼的。但在没有使用有效的控制和管理系统之前，任何管理方法往往形同虚设。“内忧”胜于“外患”，系统或单位不仅需要铸造如同长城一般的边关防御体系，同样需要着重管理，打造安全和谐的内部环境。外部非法笔记本接入内网后，内网信息暴露无疑内网终端非法外联，将机密信息泄露内网不同部门或组织间，信息毫无机密可言内网计算机随意运行各类软件，影响工作效率的同时还易感染各类病毒二、解决方案捍卫者终端安全访问审计控制系统,主要功能是通过软件方式设置可信网络，该可信网络内部互信计算机间可以正常相互访问，非法计算机未经授权不能接入可信网络。可信网络内部终端也不能非法外联非可信网络，另外此系统还可以限制终端某些进程运行，同时管理网络外的其他形式对网络可信终端的访问如：红外、蓝牙、串口、并口、USB接口等等，通过本系统可以低成本实现内外网软件隔离和终端信息安全防护，对于已经实施内外网物理隔离单位还可以作为终端信息防护的解决方案，防止终端因为非法接入、外联导致泄密。 控制非法接入、外联示意图捍卫者终端安全访问审计控制系统的基本原理如下：1) 接入终端经认证服务器统一认证，方可接入内网，如下图示： 终端认证示意图2）认证数据存在客户端和认真服务器，进行实时同步更新；3）非法客户端连接合法终端，系统会进行审核，发现不在白名单中或列入黑名单，进行屏蔽，并记录访问日志，从而达到事前控制，事后审计的管理要求。三、系统功能描述1）终端接入验证管理（所有验证终端组成内网）；2）内网终端非法外联行为监控；3）未验证终端限制接入内网；4）验证终端相互访问行为监控；5）外部终端非法访问内网行为监控；6）内网验证终端进行网内分级、分域管理；7）内网终端进程管理，可禁止终端某些进程运行；8）日志备份定时提醒；9）客户端异常或被破解，服务器端显示其相关信息，报警提示。四、管理功能描述1）多级级联管理：本系统可进行服务器多级级联管理，级联服务器可对下级管理服务器进行连接设置，并可以控制下级的所有被管理客户端，对其进行状态查看、模式设置、日志审计等。 2）客户端分域管理：按多种方式（部门、网段等）对客户端进行分域管理，不同可信域内的终端访问受限，并对其进行监控管理。 3）方便灵活的审计查询管理：对记录的日志可以采用多种方式进行审计查询（按时间、按IP、按关键字等），以最方便的方式、最快捷的操作，准确定位要查找的日志，并可以对日志进行导出操作。 4）全网统一安装、升级功能：本系统支持域内和非域两种方式远程推送安装客户端，服务器对客户端的统一升级模式，方便维护和管理。五、系统技术特点 该系统贴近用户对网络及终端管理的要求，适用于大、中、小型各种网络； 支持简体中文、英文、繁体中文三种语言，可以自由切换； 支持Windows2000/2003/XP/win7/win8以及Vista等主流操作系统； 与常见的杀毒及安全软件无冲突，未使用黑客技术； 过滤网络信息速度均512 MB/S，带宽占用率均3，不影响网络性能； 占用系统资源少，批量操作时占用内存：服务器端均8M，客户端均6M。六、系统架构本系统采用C/S网络构架，层次从下至上分为网络通信层、网络过滤层驱动、进程通讯层、系统服务层（客户端和服务器端有各自不同的系统服务）、客户端应用进程。 总体架构图各层功能如下：1）网络通讯层：负责网络消息的分发，内部协议的组包和解析，保证客户端和服务器端的通信。2）网路过滤层驱动：负责监控网络上访问本机的网络信息。3）进程通讯层：负责完成进程、服务、驱动、网络层之间的通信链接。4）系统服务层：客户端：进程保护、进程调度等。服务器端：提供管理控制界面，响应用户指令，处理各种命令及客户端返回信息显示、储存等。5）客户端应用进程：客户端：提供用户界面。主要用