分享好友 产品首页 频道列表
1/5
终端安全登录与监控审计系统图1

终端安全登录与监控审计系统

2012-12-04 11:321询价
价格:面议
品牌:Rier-中讯锐尔
型号:终端安全登录与监控审计系统
规格:自主研发,资质齐全
发送询价
1.1.产品的基本情况介绍
Rier KeySafety属于计算机综合防护类产品,该产品将身份鉴别、访问控制和安全审计有机结合,符合国家保密要求。KeySafety系统采用身份鉴别、终端系统的帐号动态防护加固、计算机外设的控制与审计、网络通信控制、涉密移动存储介质的管理与监控、涉密存储介质数据的保护(专利技术)、网络探测和网络安全管理、防止非授权电脑接入涉密网、安全审计等技术来实现涉密网及涉密终端的安全防护和安全管理。

KeySafety系统可以根据用户的实际情况,提供网络版本和单机审计版本,提供强身份认证(带USB KEY/指纹/射频卡等介质)版本和非KEY版本。
KeySafety系统已经通过国家保密局测评中心的产品认证;通过公安部相关部门的认证,获取“集散及信息系统安全专用产品销售许可证”;获得中国人民解放军安全产品测评中心的安全认证证书,产品安全认证等级为B级,该等级为同类产品的最高等级;国家信息中心软件测评中心对本系统进行了全面测试,各项测试指标均为优;KeySafety被国家四部委评为2006年国家重点新产品。
KeySafety为协助涉密网单位顺利通过国家有关部门的认证起重要的作用。该系统已经在党、政、军以及军工中有广泛的应用,比较典型的用户如:国防科工委、新华社、人民日报社、、中央统战部、中组部,空军、中国航天科工集团、航天二院、航天三院、中国工程物理研究院、中核三院、中核七院、中船七院、中船重工725所、大连理工大学、西安交通大学、贵阳铝镁研究设计院、中讯软件集团等。
系统部署的终端数已经超过十五万点,系统运行稳定,和其他系统的兼容性良好。
1.2.功能介绍
1.2.1.安全身份鉴别
1、安全身份认证和身份鉴别功能
 实现客户端采用USB KEY(或者指纹识别、射频卡等)介质鉴别操作系统身份;
 采用16字节复杂动态口令技术实现用户身份鉴别,满足国家保密局规定的“口令定期修改、口令长度至少不低于11位要求”。支持登录本机和登录域。
 可选用“证书+动态口令”技术来鉴别用户的身份,登录本机和登录域,证书符合X.509标准,签名认证符合PKCS#7的规范要求
 对用户身份鉴别令牌 PIN码有长度的限制,分别可以满足“BMB17-2006”中规定的对用户身份鉴别令牌口令的长度的要求
 具有定期强制修改用户身份鉴别令牌 PIN码功能
 支持多家用户身份鉴别令牌
 支持SSO,身份认证系统和exchange server、IIS、Domino/Lotus、Project2003、Smarteam、RTX等系统无缝连接,实现单点登录
2、用户身份认证或身份鉴别支持多种客户端的认证令牌
 支持USB KEY智能卡令牌(目前已经有15万个终端用户在使用)
 支持射频卡令牌(中国工程物理研究院成功使用)
 支持各种类型的指纹设备(航天二院成功使用)
3、终端用户帐号动态防护加固
 动态屏蔽非USB KEY帐号
 动态加固Administrator口令(网络中不同的机器中Administrator口令采用复杂口令编码技术,一天一变),防止Administrator口令攻击
 系统帐号加固功能有效防止Administrator或其他帐号受到网络攻击
1.2.2.移动介质管理
 普通移动存储介质控制,方式外来介质接入内部网络;
 RierSecDisk盘,通过Rier客户端加载,可在内部网络实现数据交互;不能在非Rier终端上使用,有效控制内部信息只在内部流动,有效防止信息外泄;
 移动介质注册授权,控制在特定范围内使用特定移动存储介质;
 存储介质的读写控制,有效控制信息的流向;
 存储介质的密级区分授权,可针对不同密级的帐号设置不同密级的存储介质;
 提供Rier安全U盘,确保数据安全
1.2.3.对计算机网络资源授权和访问控制
计算机资源很多,本产品所涉及的资源主要指计算的外设资源。本系统采用面向网络用户或者计算机为对象对资源进行授权和控制。
1、计算机外设、外设端口和通信口等控制和监控
2、实现对移动存储设备的控制和管理
移动存储设备及接口包括:软盘、软驱、CDROM/CD DVD、移动U-盘、移动硬盘及其他接口的存储设备
3、实现对打印设备管理控制,可分别对本地打印机、网络打印机和虚拟打印进行控制和审计
4、对用户新增硬件设备进行控制
1.2.4.对网络通信的控制功能
 根据用户的策略,禁用户特定的网络通信端口和协议(网络端口控制,如138、135、445端口)
 根据网络用户的策略,系统删除隐含共享目录(C$、D$、IPC$、Admin$等)
 禁止主机违规接入国际互联网络,客户端接入互联网后将自动关机
 防止非授权的电脑接入涉密网络(可信网络),(即:防止违规内联功能)
 可拨号的白名单,有选择性的控制防止用户采用拨号设备访问外网
 禁止用户采用无线上网设备访问外网
1.2.5. 计算机安全管理功能
 屏蔽操作系统自带的用户管理工具,防止用户通过操作系统管理工具或其他工具建立非安全用户帐号(即非KEY用户帐号)
 屏蔽操作系统默认共享目录
 锁定IP地址和MAC地址,用户不能自行修改IP地址和MAC地址
 控制主机安全模式的启动
 防止用户私自设置共享目录
 防止用户恶意修改和本系统有关的注册表的键值
 防止用户恶意删除和本系统有关的文件
 屏幕保护监控功能,防止用户离开后没有拔除钥匙造成屏幕信息泄漏
另外针对网络版本,系统具有网络探测和网络安全管理功能
采用Rier公司的网络探测技术(NetExplore)实现通用网管软件不能实现的一些安全网管功能,这些功能包括:
 网络终端在线探测
 网络终端安装本系统情况探测
 网络终端硬件信息的探测
 网络终端系统所安装的软件信息探测
 网络终端系统所安装的服务信息探测
 网络终端已启动服务的探测
 网络终端正在运行的一些程序的探测
 网络终端共享目录及目录中文件的探测
 文件的上传和应用软件强制安装
一些重要文件的更新,如果系统采用PKI来认证,需要更新根证书和回收列表,根证书和回收列表的更新可以采用网络探测器来分发。此外,一些应用软件的安装也可以通过网络探测器来实现。
1.2.6. 安全审计中心
1、审计的类别
 用户登录本机和登录域行为的审计
 管理员使用KEY管理中心各种操作的审计
 管理员授权用户行为的各种审计
 管理员使用审计中心各种行为的审计
 文件从硬盘拷贝到移动存储设备的行为审计,可以审计到源文件的全路径、目的盘文件的全路径
 移动存储介质监控的审计,包括:移动存储介质各种文件的变化情况,如:改名,删除,创建等操作
 拨号行为的审计
 打印行为的审计,审计打印文件名、打印份数、打印页数、打印机等信息
 文件操作的审计
 提供综合审计接口,可以实现网络中各种行为的审计
 具有目录监控和共享目录监控和审计功能
2、网络审计
实现对协议分析功能,并对用户网络行为进行审计,审计的主要协议为:
 HTTP URL审计
 FTP 审计
 TELNET 审计
 SMTP审计
 共享目录的审计(访问、上传、下载等)
3、安全审计系统数据本身的安全保护功能
 可以根据审计服务器硬件的情况,配制充足的空间存放审计日志
 具有存储空间阈值设置功能,当存储空间将满时及时报警
 具有自动备份的功能
 审计系统具有数据恢复的功能
 审计记录至少保存6个月以上
4、报警管理功能
 安全管理员可以确定报警日志的类型
 系统可以配置多个报警终端,报警终端的设置由安全管理员设置
1.2.7.完备的资产管理
 可以根据网络终端接入网络情况,自动检测到系统的配置情况
 具有防止用户私自更改系统配置等功能。如果用户强制私自更改系统配置,系统会产生审计日志
 系统具有维修记录管理功能
 系统具有设备折旧和报废管理功能
1.3.产品部署
系统部署可以分为网络部署和单机部署:
1.3.1. 网络部署支持域工作方式和工作组方式
域部署支持多个域控制器,在域控制实现同步基础上对域用户登录实现安全身份鉴别
1.3.2. 分级管理
支持多级中心的部署
反对 0
举报 0
收藏 0
评论 0
联系方式