黑盾网络行为审计系统.docx
- 文档编号:12838221
- 上传时间:2023-06-08
- 格式:DOCX
- 页数:26
- 大小:908.35KB
黑盾网络行为审计系统.docx
《黑盾网络行为审计系统.docx》由会员分享,可在线阅读,更多相关《黑盾网络行为审计系统.docx(26页珍藏版)》请在冰点文库上搜索。
黑盾网络行为审计系统
黑盾网络行为审计系统
1、黑盾网络行为审计系列产品
HD-SMS每点260元
HD-SMSE每点320元
2、黑盾网络行为审计系统功能特点
HD-SMS内网安全管理系统基于C/S的安全管理架构,产品操作界面友好
HD-SMS内网安全管理系统从安全性的角度出发,采用C/S的管理架构,整个系统为三层架构,管理控制方便灵活,并且客户端与服务器,服务器与控制台之间加密传输,保证管理员权限和管理通道的合法性;操作界面基于Windows的管理界面,易于操作,界面友好。
服务器安装方便、易于维护
HD-SMS内网安全管理系统安装过程十分简单,只需将产品安装完毕即可,不需要复杂的调试,易于管理员的日后安装、维护。
分权管理
完善的分级与分权管理机制,实现系统管理的“分散不分立、集中不集权”;
具有强大的网络管理功能
HD-SMS内网安全管理系统内嵌强大的网络管理功能,在支持公有可网管SNMP协议的交换机网络环境中,可以自动学习出内网的物理拓扑图,检测交换机的流量,对交换机的物理端口进行打开、关闭、设置阀值的操作;对故障机器进行物理定位,使管理员对于内网中的机器分布一“图”打尽。
网络与主机的完美结合
HD-SMS内网安全管理系统开拓思路,使得网络管理功能、桌面管理功能互相配合,既关注了桌面管理,又注重局域网的整体性能,实现网络与主机的完美结合。
强大的补丁更新功能
系统能够支持对Windows所有的产品家族进行补丁检测和补丁下载与安装工作。
拓宽了补丁管理的应用范围。
支持补丁测试功能,在大规模部署补丁之前可以在小范围内测试,防止错误的补丁对全网造成的破坏与冲击。
支持补丁的分级部署与同步功能,下级补丁服务器可以从上游服务器、公司网站或者微软升级网站下载补丁文件。
支持补丁分发的负载均衡,不同主机可以从不同FTP服务器下载补丁文件。
灵活的网络连接和流量控制
监控终端主机网络流量,当超过设置的阀值后,系统自动断网直到网络流量降低到设定阀值以下后,系统自动恢复网络连接。
全面软件分发功能
全面软件分发,支持exe、msi和脚本文件、文档的分发功能。
移动设备安全注册
系统可以对移动存储介质进行注册等级、访问控制和磁盘加密等。
未注册的移动存储介质无法在内网使用,注册过的移动存储介质脱离内网环境后也无法使用。
对注册过的移动存储介质,还可以限定其读写权限、使用次数、使用时间、秘密等级等。
共享监控
全面监控检测终端主机的共享文件夹建立情况,依据策略要求进行全部共享文件夹的建立。
全面审计
系统提供了全面的审计功能,包括文件审计,共享访问审计、打印审计、主机帐户审计、主机系统日志审计、注册表审计、设备变更审计等。
大大扩展了审计的范围。
移动探针、非法内联功能
HD-SMS内网安全管理系统的阻断非法内联功能既能够阻断非法机器的接入,又可以使管理员根据自己的实际需求,定义已存在机器的合法性,保证所有机器的网络访问都在掌控之中。
系统可以为每个物理网段通过自动选举的方式产生一个移动探针,该探针负责实时发现本网段接入的计算机,对未注册的计算机执行接入阻断。
当该移动探针所在的计算机关机后,其他计算机可以重新选举产生新的移动探针。
动态选举方式与管理员手动指定的方式相比,能够保证探针的始终在线和正常工作。
出色的进程控制
HD-SMS内网安全管理系统能够强制控制客户端所运行的进程,对于被禁止使用的进程,采用文件追踪MD5值技术,即使客户端自己修改了进程的名称,依然会被禁止使用,保证了进程的强制控制。
上网痕迹检查
HD-SMS内网安全管理系统可以统计上网情况,统计当前上网的网站比例,判断终端计算机在一天的工作时间内的用机情况。
系统非法外联自检测功能
HD-SMS内网安全管理系统可以自动检测系统是否有能力去internet,无论客户端通过任何方式连接到互联网,客户端程序会自动进行检测,一旦发现有能力系统自动采取断网处理.
故障定位
HD-SMS内网安全管理系统通过设备连接路径,定位故障主机的物理位置,及时形象的通知管理员故障主机的位置.
防病毒软件监控
HD-SMS内网安全管理系统能够监控主机防病毒软件的安装和运行情况,被管理的计算机必须安装指定的防病毒程序,不安装或者安装不运行,不允许连接内网。
高效运行、低资源消耗
HD-SMS内网安全管理系统对于所要承载运行服务的硬件设备的配置要求很低,而且在系统正常运行时,不会影响客户端机器的正常操作,不会降低局域网数据传递速度。
产品升级灵活、方便
HD-SMS内网安全管理系统对于新版本的升级十分灵活、方便,只要客户端上线就可以自动升级自己的客户端软件,使产品升级、更新变得简单,避免不必要的重复操作,易于产品的维护。
功能详细介绍
第一部分、系统介绍
HD-SMS(黑盾)内网安全管理系统融合了终端加固、终端监控、系统设备管理、通信管理、补丁管理、网络综合管理、远程维护管理、安全审计等技术手段。
对涉密信息、重要业务数据、技术专利等敏感信息所能产生的泄密途径进行有效的控制,充分做到预先防范泄密事件的发生和及时管理控制企业内部网络中的各种资源禁止泄密事件发生,将安全风险最小化。
“百密终有一疏”一旦泄密事件发生,安全审计系统将提供详尽的审计信息,为安全管理部门提供有效的、不可抵赖的依据,及时准确的定位问题的重点,将损失控制在最小范围。
HD-SMS(黑盾)内网安全管理系统服务器端是基于Java语言开发的C/S架构程序。
HD-SMS(黑盾)内网安全管理系统着重于内网的综合安全管理与控制、对内网综合行为的安全审计以及智能的网络管理。
HD-SMS(黑盾)内网安全管理系统将重点放在主动地(Actively)控制风险而不是被动地(Passively)响应事件,提高整个信息安全系统的有效性和可管理性。
以主动的安全管理和安全控制的方式,将内部网络的安全隐患以技术的手段进行有效的控制,全面保护网络、系统、应用和数据。
通过对每一个网络用户行为的监视和记录,将网络的安全隐患可视化,提供实时监控,并形成完整的日志,为审计提供依据,从而大大提高内部专用网络的安全性,真正保障每一个网络用户都在授权的范围内合法地使用网络和数据。
终端监控终端加固
终端维护资产管理
接入控制网络管理
第二部分、主要功能:
一、终端加固
1.1补丁管理
补丁自动更新:
补丁文件的更新能够同内部专用互联网补丁服务器、微软网站和其他补丁源自同步更新,补丁下载采用增量、断点续传下载方式。
图表1补丁列表管理
补丁迁移:
补丁库可以增量的方式导出到任何存储介质之上,例如制作成补丁光盘、补丁忧盘和补丁硬盘等。
补丁审批和测试:
补丁更新后,新增补丁不是直接分发到客户端计算机上,而是需要管理员进行审批,审批补丁过程就是测试过程,补丁经过检测、测试后管理员可以给补丁设置为“安装”,补丁开始分发。
补丁分发:
补丁分发采用自动/手工分发两种策略。
自动分发不需要管理员指定分发目标计算机,自动分发的补丁是补丁库中通过审批的补丁;手动分发需要管理员指定分发目标计算机,同时不限制补丁类型和审批状态。
补丁分发可以进行带宽控制,限制分发补丁时占有的网络带宽资源。
补丁更新统计:
补丁分发后,可以按计算机统计补丁更新情况,或者按照某个、某类补丁统计主机信息。
1.2反病毒软件监控
安装监控:
监控终端计算机是否安装了反病毒软件。
启动动监控:
监控终端计算机是否启动了反病毒软件。
更新监控:
监控终端计算机是否更新了反病毒软件。
监控策略:
当终端计算机上的反病毒软件出现了没安装、没启动、没更新的情况后,可以提醒终端计算机使用者安装、启动、更新反病毒软件;在提醒被无视的情况下,可以对终端计算机的网络访问权限进行限制。
图表2防病毒软件种类
图表3防病毒策略管理
1.3主机防火墙
通过控制台制订的主机防火墙策略可以控制客户端个人防火墙的统一策略,如果客户端通信数据包违反主机防火墙规则,就进行端口阻断。
如果内网主机大面积感染病毒后,可以通过主机防火墙统一策略设置及时将计算机病毒端口进行关闭。
这样防止病毒通过技术手段进行恶意的破坏。
图表4主机防火墙规则配置
二、终端监控
2.1外设、硬件设备控制
通过制订策略禁止对某种设备使用,禁用行为将会作用在操作系统驱动层,客户强行启用设备的尝试将无法生效。
另外控制台客户端消息将实时显示警报信息,实时提醒管理人员有违规事件发生。
在制订并下发设备控制策略后,客户端程序对于新增加的各种外接设备都将采取禁止的动作,只有通过控制台重新制订策略才可应用设备。
同时也将在客户端消息框中发出警报。
系统可控制的设备包括USB可移动存储设备、打印机、DVD/CD-ROM、软盘、磁带机、PCMCIA设备、COM/LPT端口、1394设备、红外设备、蓝牙设备等。
图表5外设监控管理
2.2USB存储设备管理
移动存储介质注册管理:
对内部可以使用的移动存储介质进行注册管理,未注册移动设备禁止使用。
移动存储介质加密管理:
对内部可以使用的移动存储介质进行透明加密。
移动存储介质访问控制:
可限定对移动存储介质的访问行为,包括只读、读写、禁止、授权时间范围和使用次数等。
移动存储介质范围控制:
可限定移动存储介质的使用范围,包括全局、部门和单机等。
图表6移动存储介质管理
图表7移动存储介质范围控制配置
2.3系统行为监控
局域网文件共享监控:
对终端计算机的共享文件夹进行控制,可以把系统共享和用户共享区别对待,可以根据策略打开或关闭这些共享文件夹;
系统帐户变化监控:
对本地帐户与组进行管理(添加/删除/修改),对其变化进行审计。
网络带宽等资源使用监控:
监控终端计算机的带宽占用情况,并且可以对终端带宽进行限制。
带宽设置采用每秒钟单位流量统计,限制带宽最高上限,同时可以对并发连接数进行控制,并发连接数控制可以有效地管理BT等点对点下载软件的控制。
图表8上网行为监控管理
2.4终端IP(网络参数)配置管理
对受控终端进行IP地址、子网掩码、DNS、网关地址、主机名称的绑定管理,防止用户随意更改网络配置,防范Arp病毒的攻击,增加网络环境的健壮性。
图表9地址绑定管理
2.5打印控制
通过控制台制订策略控制用户对打印机的使用。
可以避免网内用户通过打印的途径达到机密信息外泄的目的。
打印机控制策略控制细腻度可以把本地打印机、网络打印机、本地打印机共享。
图表10打印监控管理
2.6拨号访问的控制
允许或阻断用户通过拨号访问Internet,从拨号连接的手段上控制内网计算机连接Internet。
图表11网络连接管理
2.7进程管理与控制
检测客户端上运行的进程状态,并对受控终端上运行的进程进行强制控制,允许或禁止某些进程的启动。
方便网络管理人员从专业人员的角度对应用者提供安全建议。
图表12进程监控管理
2.8网络访问控制
通过制订策略控制计算机对网络进行访问,允许或阻断客户端对某些网络地址、Http等协议的访问。
在网络访问控制上,策略还可以细化到针对特定的协议、特定的网络端口以及在特定的时间段允许或是阻断网络连接。
(同2.3)
图表13上网行为监控规则配置
三、安全服务
3.1预警平台
为了方便网络管理员对内网情况的统计,预警平台把所有报警和收集信息统一进行显示和集中管理。
预警内容包括报警信息分类、报警事件源、报警客户端IP、主机名、Mac地址等信息。
图表14预警平台管理
3.2软件分发
软件分发功能提供了由服务器端向指定客户端分发可执行的软件、任意格式的文件和文件目录类安装程序。
文件目录类安装程序例如微软的OFFICE安装包。
软件分发可以在线进行软件安装,也支持离线策略,例如:
客户端计算机不在线或未开机的情况下,分发的软件将在客户端计算机下次在线或下次启动的时候,进行分发。
分发支持断点续传功能。
图表15软件分发管理
3.3客户端消息提示
为了增加管理的便捷性,对客户端集体或单个的发送管理员消息,客户端可以通过对话框和管理员进行对话,及时提醒应用者目前存在的问题和发应问题解决结果,方便管理员对内网问题的及时解决。
图表16消息提示管理
3.4远程计算机桌面监控
如果计算机系统存在安全问题或是非法操作,为了及时准确的获得当前计算机的情况并将情况准确再现,网络管理人员可以通过桌面快照查看当时计算机的操作状态,同时可以控制鼠标与键盘的使用。
图表17远程计算机桌面监控
3.5远程控制计算机
远程管理主要是为了方便网络管理人员在远程对计算机进行关机、重启或是锁定的具体操作。
使管理人员在第一时间控制非法的计算机或是非法的操作。
3.6远程控制进程和服务
远程控制进程和服务功能主要是为了方便网络管理人员在远程对计算机进行进程和服务查看和控制的具体操作。
使管理人员在第一时间控制非法的进程或是非法的服务。
图表18远程控制进程管理
3.7远程网络连接和流量查看
网络连接和终端流量监控功能方便网络管理人员对计算机的网络连接和终端流量进行查看。
方便管理员对网络连接和终端流量信息的收集。
四、安全网管
4.1网络探测引擎准确探测网络信息
网络探测器自动探测网络中的支持SNMP协议的网络设备,读取网络设备的信息库。
为了保证探测器读取信息的准确性,网络探测器是严格遵循标准的SNMP协议进行开发。
原因有两个方面:
首先,由于SNMP协议作为成熟的网络管理协议已经被全世界所认可。
其次,对于目前厂家协议开发的规范性上都在逐渐地向标准靠拢,具有很强的通用性。
以上两方面决定了网络探测器在读取信息的准确性上有着坚实的技术保障。
图表19拓扑发现配置
4.2自动绘制网络拓扑图
网络探测器自动探测网络中的SNMP设备,读取信息库,利用自有的技术对数据信息进行智能分析,最终将网络拓扑图在控制台显示出来。
并可根据网络的实际情况,手动调整交换机的连接端口,保证网络拓朴图的准确性。
图表20拓扑显示配置及查看管理
图表21拓扑自动更新管理
4.3非法计算机的接入阻断
自定义非法计算机,对非法计算机或未安装客户端的计算机进行非法接入阻断,以防止外来计算机随意接入内部网络,防止外界的恶意攻击对内部网络形成安全隐患。
图表22网络接入认证管理
4.4SNMP设备的统计与管理
可以方便地查看SNMP设备的配置信息,如System、Interface、IP地址、ARP表和流量等综合信息,便于管理人员对网络状态进行综合分析。
4.5网络设备流量的报警和拓扑图颜色变化显示
以交换机端口之间连接线的颜色变化进行流量信息的直观显示,并可以设置端口流量阀值,当端口流量超过阀值时自动报警,帮助系统管理员监视、分析网络性能。
图表23网络设备流量监控配置
4.6非法接入设备网络状态的检测与统计
提供未知(未登记)IP地址、MAC地址列表,自动发现有未知受控终端接入的交换机端口,方便系统管理员发现非法入侵者。
图表24接入控制管理
4.7交换机的管理与控制
通过控制台可以实现交换机端口的打开或关闭的控制,增加网络管理的灵活性。
4.8网络资产的统计
可以收集交换机设备品牌和交换机内核版本信息,同时在拓扑图中列表显示出终端设备的名称、IP地址、MAC地址等信息。
五、内网审计
内网审计功能具有在线和离线功能,当客户端计算机不在线或者没有启动的情况下,所有审计日志离线存储在本地计算机,并且是加密存储;当客户端计算机可以跟服务器端连接的时候,所有审计日志将定时或定量的发给服务器端的数据库中。
所有审计功能不但起到记录客户端系统行为、个人行为,设备信息、文件操作等被动监视的能力,同时可以采用主动控制的能力,在危险行为发生的时候,及时对危险行为进行管理和阻拦,控制程度也可以根据管理员所下发的策略定义,可以采用“高、中、低”三级的策略。
审计记录的信息和报警都将发送到预警平台,进行用户自定义显示。
5.1外设监控
对所有输入输出设备监控,禁止和允许使用制定外接设备,并进行记录所有外接设备的信息。
5.2文件审计
实时监控本地文件的创建、删除、修改、复制、改名等操作。
图表25文件审计管理
图表26文件审计预警平台
5.3打印审计
对本地打印机、共享打印机和网络打印机德操作行为进行监控功能,监控打印行为的操作员、打印文档的名称和打印时间。
图表27打印监控管理
5.4共享审计
对系统共享文件夹和用户共享文件夹的建立审计,可以对共享文件进行打开和关闭操作,并且可以根据策略自动清除。
图表28共享监控管理
5.5进程审计
对进程信息和运行状态的远程实时管理,基于黑名单的自动控制功能,对进程的运行时间审计监控。
5.6系统日志审计
对操作系统日志的自动收集、记录。
5.7非法外联检测控制
自动检测客户端访问互联网的能力,如果有访问能力则进行断网处理。
5.8非法拨号检测控制
禁止使用model、ADSL、无线CDMA等拨号事件,同时对拨号操作进行审计记录。
5.9多网卡检测控制
检测系统多网卡设置,可以通过策略进行不允许进行多网卡安装,同时把审计记录。
5.10IP/MAC地址绑定
对客户端的IP地址、主机名、网关、掩码绑定,对IP地址、主机名、网关、掩码地址的修改操作进行审计,一旦发现修改行为就将向服务器报警。
图表29地址绑定管理
5.11系统账户审计
对本地帐户与组进行管理(添加/删除/修改),对其变化进行审计。
5.12进程审计
客户端计算机运行的进程都将被审计记录,同时接受管理。
5.13互联网访问审计
对客户端访问互联网操作行为进行审计记录。
5.14带宽审计
对客户端的带宽使用情况,进行审计、并可以设置带宽策略。
5.15网络连接审计监控
周期性审计代理主机的网络连接信息。
5.16移动存储设备审计
对移动设备的使用进行审计,并且审计对移动设备文件拷贝。
六、资产管理
6.1硬件资产自动收集
自动收集客户端的硬件资产信息,例如CPU型号、内存容量、硬盘型号、主板信息、显卡信息、主板外设接口信息、USB、红外、蓝牙、串口、并口等终端计算机的所有硬件信息和品牌信息。
图表30资产管理
6.2软件资产自动收集
自动收集客户端的软件资产信息。
图表31软件信息列表
6.3硬件资产统计查询
自定义查询内容,对客户端的硬件配置情况进行统计查询,统计后的信息由报表功能进行报表操作。
图表32硬件信息列表
6.4软件资产统计查询
自定义查询内容,对客户端的软件安装情况进行统计查询。
6.5软件资产、硬件资产检索
根据检索条件对软件资产和硬件资产进行在线检索
6.6资产变更管理
对客户端的软件、硬件资产变化进行报警,报警信息包含客户端的信息和改变的软件资产和硬件资产的信息。
6.7资产统计报表
对资产进行统计报表生成与打印,可以导出为Doc、Pdf、Excel、Xml等文件格式。
图表33打印及外导报表管理
七、系统报表功能
7.1标准模板
对报警信息、资产信息、日志信息、策略信息等管理信息的统计和查询的方式,系统提供一套已经编写清晰的报表模板。
管理员通过报表模板进行自动报表生成。
图表34标准报表模板
7.2个性化报表模板
系统不但提供标准的报表模板,同时允许管理员根据自己的需要进行模板设定,模板不限数量,管理员可以设置很多种模板。
7.2事件查询与统计
对安全事件进行查询与统计,生成DOC、HTML、PDF、EXCEL、XML等格式。
7.3自动报表生成管理
标准报表模板和自定义模板都可以根据时间定时进行报表的定制和生成,支持日、周、月报表生成。
7.4报表导出管理
可以将生成的报表进行导出,生成DOC、HTML、PDF、XML等格式,并进行打印处理。
打印及外导报表管理
八、系统响应方式
8.1实时告警
通过预警平台实时显示客户端的违规行为。
8.2事件日志
通过事件报表查询,定义查询条件对事件进行查询。
8.3邮件告警
对违规事件通过邮件通告管理员。
8.4阻断连接
对违规事件,采用阻断方式进行紧急处理。
图表35阻断告警
8.5短信告警
对违规事件,采用短信方式通知管理员(需用户有短信平台)。
图表36短信告警管理
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络 行为 审计 系统