本文详细介绍了终端安全登录与监控审计系统的主要功能,包括身份鉴别、终端帐号管理、主机防护、信息输出控制、网络控制、违规外连控制、移动存储介质管理、主机管理、授权管理、安全审计、安全策略管理等多个方面,以及系统部署方式、支持的操作系统等信息。
| 项目 | 主要功能 |
| 基本要求 | 安全审计应将身份鉴别、访问控制等安全安全功能有机结合 |
|
身份鉴别功能 | 采用USB KEY或生物特征来鉴别用户的身份 |
| 具有设置USB KEY PIN码长度限制的功能 | |
| 能通过控制端定期修改USB KEY PIN码的功能 | |
| 确保在身份鉴别过程中,数据传输过程中认证信息的安全 | |
|
终端帐号的管理
| 可以利用USB KEY在服务端或客户端建立新的用户 |
| 可以将原有帐号和USB KEY绑定,不改变原系统帐号的属性 | |
| 具有对终端帐号保护的功能,并且可以防止用户利用KEY帐号或非KEY的帐号通过网络、操作系统安全模式等非法进入终端系统 | |
|
主机防护 | 提供受控端IP地址绑定功能,能够将受控端IP地址与MAC或主机进行绑定,禁止终端用户非法修改IP和MAC地址 |
| 屏蔽默认共享 | |
| 屏保监控功能,不允许终端用户设置屏保为“无” | |
|
信息输出控制
| 打印设备输出控制(区分网络打印、本地打印和虚拟打印) ① 能控制网络打印设备 ② 能控制本地打印设备 ③ 能控制虚拟打印行为 |
| 拷贝输出控制(控制移动存储设备的使用) | |
| 屏幕窃取控制(防止屏幕拷贝) | |
| 数据设备接口控制 | 对并口、串口、USB接口等数据接口以及软驱、光驱等设备进行控制 |
| 主机新增设备的接入控制(防止未知设备或新设备的接入,特别防止新的网卡、硬盘灯设备的接入) | |
|
网络控制 | 对135、139、445端口的强制控制 |
| 对终端系统多余的网络端口进行控制 | |
| 具有防止非授权终端接入本网络的功能(即:防止非法内联) | |
| 网络设备的控制 | 拨号设备使用的控制 |
| 无限上网设备的使用控制 | |
| 红外上网设备的使用控制 | |
| 网络设备的使用控制 | |
|
违规外连控制
| 非授权的拨号控制 |
| 无线上网的控制 | |
| 红外线上网控制 | |
| 采取其他办法上互连网的控制 | |
|
移动存储介质管理 | 对于移动存储介质的使用有接入控制,具有注册授权管理 |
| 涉密网中的移动存储介质不能在非涉密网中使用 | |
| 对手机等存储设备控制 | |
| 对于电脑硬盘数据的安全保护 ① 存放数据区的磁盘分区要有保护措施 ② 不同的人使用同样的电脑,对存放数据的分区要有保护。电脑使用者不能查看其他人的数据分区中的数据内容
| |
|
主机管理 | 客户端硬件配置管理与审计 |
| 客户端软件配置管理与审计 | |
| 客户端进程的管理与审计 | |
| 客户端服务的管理与审计 | |
| 客户端软件安全性检查(软件资产管理) | 通过控制台配制主机所需要安装的软件,用户开机,系统即对主机安装软件进行检查,如果主机安装的软件不符合安全策略,系统可以根据事先定义的响应方式响应,如:警告,关机等。(BMB17 第8.2.2.3 c) |
|
资产管理和设备维修记录 | 资产管理 |
| 新增主机设备的控制和记录 | |
| 设备维修管理(BMB 17 第8.1.2.8条) | |
| 设备报废管理(BMB 17第 8.1.2.9条) | |
|
授权管理 | 系统员、授权和审计权限三权分开 |
| 对用户按最小授权原则进行授权管理(BMB17-2006) | |
|
安全审计
| 身份鉴别审计,包括用户登录、注销和关机审计 |
| 自动获取主机资源,包括硬件信息、安装软件信息、用户帐号信息、进程信息、服务信息、共享文件信息等 | |
| 网络连接审计:对受控端的网络连接(HTTP、FTP、TELNET)的行为进行记录 | |
| 文件操作审计:能够对指定文件目录下文件的操作行为、操作用户、操作日期、操作结果进行审计 | |
| 打印审计:能够对受控端的打印信息审计。审计的内容包括:受控端主机名、用户名、打印机名称、打印文件名、打印份数、打印页数等功能 | |
| 主机IP/MAC地址审计:允许或禁止受控端主机的IP/MAC地址修改行为,禁止更改时记录受控端试图修改IP/MAC记录 | |
| 违规设备接入系统审计 | |
| 受控用户权限的更改 | |
| 系统管理员、系统授权员和审计员操作行为的审计 | |
| 拷贝输出审计 | |
| 审计日志的上传应采用即时方式,对于没来得及上传的日志应在本地存储并采取技术措施加以保护 | |
| 日志管理提供自动、手动备份等多种方式,提供日志存储空间的阈值设置功能,当存储空间将满时能及时报警 | |
| 应为授权管理员提供将审计日志按一定的条件进行查询的功能,所得结果应以用户友好的、便于理解的形式提供报告或打印 | |
| 能够提供多种报表和用户自定义报表,支持审计日志的导入导出。可生成直方图、曲线图等多种图表实现统计、分析、报表等多种功能 | |
| 能够自动收集受控端软硬件配置信息。动态检测受控端硬件配置和应用软件等资产信息的变化,记录受控端资产信息发生的改变时 | |
| 记录主机共享文件被访问的情况,包括访问者、访问时间、访问文件全名等 | |
|
安全策略管理域系统自身安全防护
| 能够通过中心控制平台管理全网受控端,并能够下发安全监控与审计策略 |
| 系统能够保证安全策略在受控端强制执行,不允许受控端自行改变安全保护策略 | |
| 终端在联网状态下,受控端能够实时接受中心控制平台的集中管理、策略分发。离网状态下,应保证受控端安全策略的有效性 | |
| 策略发布支持单发和群发 | |
| 策略修改支持用户取策略方式和分发即时生效方式 | |
| 受控端分组管理,能根据不同的安全级别下分不同的安全策略 | |
| 提供默认策略,管理员能够在策略模版基础上自定义安全策略 | |
| 控端应有防止违规卸载保护机制,防止非授权卸载行为和终止进程行为 | |
|
单机防护
| 具有网络版单机防护的所有功能 |
| 具有单机授权的功能,并确保授权信息被非法修改 | |
| 具有单机的审计功能,确保审计日志不被非法篡改 | |
| 审计员可以在单机上对单机的使用情况进行审计,也可以将审计日志输出到文件,并导入到网络版审计中心,集中审计 |
系统的部署方式有三种:
(1) 多级中心部署
(2) 一级中心部署
(3) 单机部署
特别说明:本系统的三种部署,在国家保密局的测评报告中都有体现,特别是单机版本。
支持的操作系统: win2k/win2003/winxp/win7/win2008等
支持64为操作系统。
终端安全登录与监控审计系统Rier KeySafety获得国家保密资质认证,证书查询编号:ISSTEC2010YT1065
系统购买:010-51668242
来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/27153774/viewspace-736825/,如需转载,请注明出处,否则将追究法律责任。
转载于:http://blog.itpub.net/27153774/viewspace-736825/
扫一扫
2271
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
