黑盾网络行为审计系统.docx

《黑盾网络行为审计系统.docx》由会员分享，可在线阅读，更多相关《黑盾网络行为审计系统.docx（26页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 黑盾网络行为审计系统1、 黑盾网络行为审计系列产品HD-SMS 每点 260元HD-SMSE 每点 320 元2、 黑盾网络行为审计系统功能特点HD-SMS内网安全管理系统基于 C/S 的安全管理架构，产品操作 界面友好HD-SMS内网安全管理系统从安全性的角度出发，采用 C/S 的管理架构，整个系统为三层架构，管理控制方便灵活，并且客户端与服务器，服务器与控制台之间加密传输， 保证管理员权限和管理通道的合法性；操作界面基于 Windows 的管理界面，易于操作，界面友好。服务器安装方便、易于维护HD-SMS内网安全管理系统安装过程十分简单，只需将产品安装完毕即可，不需要复杂的调试，易于管理

2、员的日后安装、维护。分权管理完善的分级与分权管理机制，实现系统管理的“分散不分立、集中不集权”；具有强大的网络管理功能HD-SMS内网安全管理系统内嵌强大的网络管理功能，在支持公有可网管 SNMP 协议的交换机网络环境中，可以自动学习出内网的物理拓扑图，检测交换机的流量，对交换机的物理端口进行打开、关闭、设置阀值的操作；对故障机器进行物理定位，使管理员对于内网中的机器分布一“图”打尽。网络与主机的完美结合HD-SMS内网安全管理系统开拓思路，使得网络管理功能、桌面管理功能互相配合，既关注了桌面管理，又注重局域网的整体性能，实现网络与主机的完美结合。强大的补丁更新功能系统能够支持对Windows

3、 所有的产品家族进行补丁检测和补丁下载与安装工作。拓宽了补丁管理的应用范围。支持补丁测试功能，在大规模部署补丁之前可以在小范围内测试，防止错误的补丁对全网造成的破坏与冲击。支持补丁的分级部署与同步功能，下级补丁服务器可以从上游服务器、公司网站或者微软升级网站下载补丁文件。支持补丁分发的负载均衡，不同主机可以从不同 FTP 服务器下载补丁文件。灵活的网络连接和流量控制监控终端主机网络流量，当超过设置的阀值后，系统自动断网直到网络流量降低到 设定阀值以下后，系统自动恢复网络连接。全面软件分发功能全面软件分发，支持 exe、msi 和脚本文件、文档的分发功能。移动设备安全注册系统可以对移动存储介质进

4、行注册等级、访问控制和磁盘加密等。未注册的移动存储介质无法在内网使用，注册过的移动存储介质脱离内网环境后也无法使用。对注册过的移动存储介质，还可以限定其读写权限、使用次数、使用时间、秘密等级等。共享监控全面监控检测终端主机的共享文件夹建立情况，依据策略要求进行全部共享文件夹的建立。全面审计系统提供了全面的审计功能，包括文件审计，共享访问审计、打印审计、主机帐户审计、主机系统日志审计、注册表审计、设备变更审计等。大大扩展了审计的范围。移动探针、非法内联功能HD-SMS内网安全管理系统的阻断非法内联功能既能够阻断非法机器的接入，又可以使管理员根据自己的实际需求，定义已存在机器的合法性，保证所有机器

5、的网络访问都在掌控之中。系统可以为每个物理网段通过自动选举的方式产生一个移动探针，该探针负责实时发现本网段接入的计算机，对未注册的计算机执行接入阻断。当该移动探针所在的计算机关机后，其他计算机可以重新选举产生新的移动探针。动态选举方式与管理员手动指定的方式相比，能够保证探针的始终在线和正常工作。出色的进程控制HD-SMS内网安全管理系统能够强制控制客户端所运行的进程，对于被禁止使用的进程，采用文件追踪MD5 值技术，即使客户端自己修改了进程的名称，依然会被禁止使用，保证了进程的强制控制。上网痕迹检查HD-SMS内网安全管理系统可以统计上网情况，统计当前上网的网站比例，判断终端计算机在一天的工作

6、时间内的用机情况。系统非法外联自检测功能HD-SMS内网安全管理系统可以自动检测系统是否有能力去internet，无论客户 端通过任何方式连接到互联网，客户端程序会自动进行检测，一旦发现有能力系统自动采取断网处理.故障定位HD-SMS内网安全管理系统通过设备连接路径，定位故障主机的物理位置,及时形象的通知管理员故障主机的位置.防病毒软件监控HD-SMS内网安全管理系统能够监控主机防病毒软件的安装和运行情况，被管理的计算机必须安装指定的防病毒程序，不安装或者安装不运行,不允许连接内网。高效运行、低资源消耗HD-SMS内网安全管理系统对于所要承载运行服务的硬件设备的配置要求很低，而且在系统正常运行

7、时，不会影响客户端机器的正常操作，不会降低局域网数据传递速度。产品升级灵活、方便HD-SMS内网安全管理系统对于新版本的升级十分灵活、方便，只要客户端上线就可以自动升级自己的客户端软件，使产品升级、更新变得简单，避免不必要的重复操作，易于产品的维护。功能详细介绍目录第一部分、系统介绍3第二部分、主要功能：5一、 终端加固5二、 终端监控7三、 安全服务11四、 安全网管14五、 内网审计17六、 资产管理21七、系统报表功能23八、系统响应方式24图表 1 补丁列表管理6图表 2 防病毒软件种类7图表 3 防病毒策略管理7图表 4 主机防火墙规则配置8图表 5 外设监控管理8图表 6 移动存储

8、介质管理9图表 7 移动存储介质范围控制配置9图表 8 上网行为监控管理10图表 9 地址绑定管理10图表 10 打印监控管理11图表 11 网络连接管理11图表 12 进程监控管理11图表 13 上网行为监控规则配置12图表 14 预警平台管理12图表 15 软件分发管理13图表 16 消息提示管理14图表 17 远程计算机桌面监控14图表 18 远程控制进程管理15图表 19 拓扑发现配置16图表 20 拓扑显示配置及查看管理16图表 21 拓扑自动更新管理16图表 22 网络接入认证管理17图表 23 网络设备流量监控配置17图表 24 接入控制管理17图表 25 文件审计管理18图表

9、26 文件审计预警平台19图表 27 打印监控管理19图表 28 共享监控管理19图表 29 地址绑定管理21图表 30 资产管理22图表 31 软件信息列表22图表 32 硬件信息列表23图表 33 打印及外导报表管理24图表 34 标准报表模板24图表 35 阻断告警26图表 36 短信告警管理26第一部分、系统介绍HD-SMS（黑盾）内网安全管理系统融合了终端加固、终端监控、系统设备管理、通信管理、补丁管理、网络综合管理、远程维护管理、安全审计等技术手段。对涉密信息、重要业务数据、技术专利等敏感信息所能产生的泄密途径进行有效的控制，充分做到预先防范泄密事件的发生和及时管理控制企业内部网络

10、中的各种资源禁止泄密事件发生，将安全风险最小化。“百密终有一疏”一旦泄密事件发生，安全审计系统将提供详尽的审计信息，为安全管理部门提供有效的、不可抵赖的依据，及时准确的定位问题的重点，将损失控制在最小范围。HD-SMS（黑盾）内网安全管理系统服务器端是基于Java语言开发的C/S 架构程序。HD-SMS（黑盾）内网安全管理系统着重于内网的综合安全管理与控制、对内网综合行为的安全审计以及智能的网络管理。HD-SMS（黑盾）内网安全管理系统将重点放在主动地（Actively）控制风险而不是被动地(Passively)响应事件，提高整个信息安全系统的有效性和可管理性。以主动的安全管理和安全控制的方式

11、，将内部网络的安全隐患以技术的手段进行有效的控制，全面保护网络、系统、应用和数据。通过对每一个网络用户行为的监视和记录，将网络的安全隐患可视化，提供实时监控，并形成完整的日志，为审计提供依据，从而大大提高内部专用网络的安全性，真正保障每一个网络用户都在授权的范围内合法地使用网络和数据。 版权所有 福建省海峡信息技术有限公司第25页终端监控终端加固终端维护资产管理接入控制网络管理第二部分、主要功能：一、 终端加固1.1 补丁管理 补丁自动更新：补丁文件的更新能够同内部专用互联网补丁服务器、微软网站和其他补丁源自同步更新，补丁下载采用增量、断点续传下载方式。图表 1 补丁列表管理补丁迁移：补丁库可

12、以增量的方式导出到任何存储介质之上，例如制作成补丁光盘、 补丁忧盘和补丁硬盘等。补丁审批和测试：补丁更新后，新增补丁不是直接分发到客户端计算机上，而是需要 管理员进行审批，审批补丁过程就是测试过程，补丁经过检测、测试 后管理员可以给补丁设置为“安装”，补丁开始分发。补丁分发：补丁分发采用自动/手工分发两种策略。自动分发不需要管理员指定分发目标计算机，自动分发的补丁是补丁库中通过审批的补丁；手动分发需 要管理员指定分发目标计算机，同时不限制补丁类型和审批状态。补 丁分发可以进行带宽控制，限制分发补丁时占有的网络带宽资源。补丁更新统计：补丁分发后，可以按计算机统计补丁更新情况，或者按照某个、某类补

13、丁统计主机信息。1.2 反病毒软件监控 安装监控：监控终端计算机是否安装了反病毒软件。启动动监控：监控终端计算机是否启动了反病毒软件。更新监控：监控终端计算机是否更新了反病毒软件。监控策略：当终端计算机上的反病毒软件出现了没安装、没启动、没更新的情况后，可以提醒终端计算机使用者安装、启动、更新反病毒软件；在提醒被无视的情况下，可以对终端计算机的网络访问权限进行限制。图表 2 防病毒软件种类图表 3 防病毒策略管理13 主机防火墙 通过控制台制订的主机防火墙策略可以控制客户端个人防火墙的统一策略，如果客户端通信数据包违反主机防火墙规则，就进行端口阻断。如果内网主机大面积感染病毒后，可以通过主机防

14、火墙统一策略设置及时将计算机病毒端口进行关闭。这样防止病毒通过技术手段 进行恶意的破坏。图表 4 主机防火墙规则配置二、 终端监控21 外设、硬件设备控制通过制订策略禁止对某种设备使用，禁用行为将会作用在操作系统驱动层，客户强行启用设备的尝试将无法生效。另外控制台客户端消息将实时显示警报信息，实时提醒管理人员有违规事件发生。在制订并下发设备控制策略后，客户端程序对于新增加的各种外接设备都将采取禁止的动作，只有通过控制台重新制订策略才可应用设备。同时也将在客户端消息框中发出警报。系统可控制的设备包括USB可移动存储设备、打印机、DVD/CD-ROM、软盘、磁带机、PCMCIA 设备、COM/LP

15、T 端口、1394 设备、红外设备、蓝牙设备等。图表 5 外设监控管理22 USB 存储设备管理移动存储介质注册管理：对内部可以使用的移动存储介质进行注册管理，未注册移动设备禁止使用。移动存储介质加密管理：对内部可以使用的移动存储介质进行透明加密。移动存储介质访问控制：可限定对移动存储介质的访问行为，包括只读、读写、禁止、授权时间范围和使用次数等。移动存储介质范围控制：可限定移动存储介质的使用范围，包括全局、部门和单机等。图表 6 移动存储介质管理图表 7 移动存储介质范围控制配置23 系统行为监控 局域网文件共享监控:对终端计算机的共享文件夹进行控制，可以把系统共享和用户共享区别对待，可以根

16、据策略打开或关闭这些共享文件夹；系统帐户变化监控：对本地帐户与组进行管理（添加/删除/修改），对其变化进行审计。网络带宽等资源使用监控：监控终端计算机的带宽占用情况，并且可以对终端带宽进行 限制。带宽设置采用每秒钟单位流量统计，限制带宽最高上限，同时可以对并发连接数进行控制，并发连接数控制可以 有效地管理 BT 等点对点下载软件的控制。图表 8 上网行为监控管理24 终端 IP（网络参数）配置管理对受控终端进行IP地址、子网掩码、DNS、网关地址、主机名称的绑定管理，防止用户随意更改网络配置，防范Arp病毒的攻击，增加网络环境的健壮性。图表 9 地址绑定管理25 打印控制通过控制台制订策略控制

17、用户对打印机的使用。可以避免网内用户通过打印的途径达到机密信息外泄的目的。打印机控制策略控制细腻度可以把本地打印机、网络打印机、本地打印机共享。图表 10 打印监控管理26 拨号访问的控制允许或阻断用户通过拨号访问 Internet，从拨号连接的手段上控制内网计算机连接Internet。图表 11 网络连接管理27 进程管理与控制 检测客户端上运行的进程状态，并对受控终端上运行的进程进行强制控制，允许或禁止某些进程的启动。方便网络管理人员从专业人员的角度对应用者提供安全建议。图表 12 进程监控管理28 网络访问控制 通过制订策略控制计算机对网络进行访问，允许或阻断客户端对某些网络地址、Htt

18、p等协议的访问。在网络访问控制上，策略还可以细化到针对特定的协议、特定的网络端口以及在特定的时间段允许或是阻断网络连接。（同2.3）图表 13 上网行为监控规则配置三、 安全服务31 预警平台为了方便网络管理员对内网情况的统计，预警平台把所有报警和收集信息统一进行显示和集中管理。预警内容包括报警信息分类、报警事件源、报警客户端 IP、主机名、Mac 地址 等信息。图表 14 预警平台管理32 软件分发软件分发功能提供了由服务器端向指定客户端分发可执行的软件、任意格式的文件和文件目录类安装程序。文件目录类安装程序例如微软的 OFFICE 安装包。软件分发可以在线进 行软件安装，也支持离线策略，例

19、如:客户端计算机不在线或未开机的情况下，分发的软件 将在客户端计算机下次在线或下次启动的时候，进行分发。分发支持断点续传功能。图表 15 软件分发管理3.3 客户端消息提示为了增加管理的便捷性，对客户端集体或单个的发送管理员消息，客户端可以通过对话框和管理员进行对话，及时提醒应用者目前存在的问题和发应问题解决结果，方便管理员对内网问题的及时解决。图表 16 消息提示管理3.4 远程计算机桌面监控 如果计算机系统存在安全问题或是非法操作，为了及时准确的获得当前计算机的情况并将情况准确再现，网络管理人员可以通过桌面快照查看当时计算机的操作状态，同时可以控 制鼠标与键盘的使用。图表 17 远程计算机

20、桌面监控3.5 远程控制计算机 远程管理主要是为了方便网络管理人员在远程对计算机进行关机、重启或是锁定的具体操作。使管理人员在第一时间控制非法的计算机或是非法的操作。3.6 远程控制进程和服务远程控制进程和服务功能主要是为了方便网络管理人员在远程对计算机进行进程和服务查看和控制的具体操作。使管理人员在第一时间控制非法的进程或是非法的服务。图表 18 远程控制进程管理3.7 远程网络连接和流量查看 网络连接和终端流量监控功能方便网络管理人员对计算机的网络连接和终端流量进行查看。方便管理员对网络连接和终端流量信息的收集。四、 安全网管4.1 网络探测引擎准确探测网络信息网络探测器自动探测网络中的支

21、持SNMP协议的网络设备，读取网络设备的信息库。为了保证探测器读取信息的准确性，网络探测器是严格遵循标准的SNMP 协议进行开发。原因有两个方面：首先，由于SNMP协议作为成熟的网络管理协议已经被全世界所认可。其次，对于目前厂家协议开发的规范性上都在逐渐地向标准靠拢，具有很强的通用性。以上两方面决定了网络探测器在读取信息的准确性上有着坚实的技术保障。图表 19 拓扑发现配置4.2 自动绘制网络拓扑图网络探测器自动探测网络中的SNMP设备，读取信息库，利用自有的技术对数据信息进行智能分析，最终将网络拓扑图在控制台显示出来。并可根据网络的实际情况，手动调整交换机的连接端口，保证网络拓朴图的准确性。

22、图表 20 拓扑显示配置及查看管理图表 21 拓扑自动更新管理4.3 非法计算机的接入阻断自定义非法计算机，对非法计算机或未安装客户端的计算机进行非法接入阻断，以防止外来计算机随意接入内部网络，防止外界的恶意攻击对内部网络形成安全隐患。图表 22 网络接入认证管理4.4 SNMP 设备的统计与管理可以方便地查看SNMP设备的配置信息，如 System、Interface、IP 地址、ARP 表和流 量等综合信息，便于管理人员对网络状态进行综合分析。4.5 网络设备流量的报警和拓扑图颜色变化显示 以交换机端口之间连接线的颜色变化进行流量信息的直观显示，并可以设置端口流量阀值，当端口流量超过阀值时

23、自动报警，帮助系统管理员监视、分析网络性能。图表 23 网络设备流量监控配置4.6 非法接入设备网络状态的检测与统计提供未知（未登记）IP 地址、MAC 地址列表，自动发现有未知受控终端接入的交换机端口，方便系统管理员发现非法入侵者。图表 24 接入控制管理47 交换机的管理与控制 通过控制台可以实现交换机端口的打开或关闭的控制，增加网络管理的灵活性。48 网络资产的统计可以收集交换机设备品牌和交换机内核版本信息，同时在拓扑图中列表显示出终端设备的名称、IP 地址、MAC 地址等信息。五、 内网审计内网审计功能具有在线和离线功能，当客户端计算机不在线或者没有启动的情况下，所有审计日志离线存储在

24、本地计算机，并且是加密存储；当客户端计算机可以跟服务器端连接的时候，所有审计日志将定时或定量的发给服务器端的数据库中。所有审计功能不但起到记录客户端系统行为、个人行为，设备信息、文件操作等被动监视的能力，同时可以采用主动控制的能力，在危险行为发生的时候，及时对危险行为进行管理和阻拦，控制程度也可以根据管理员所下发的策略定义，可以采用“高、中、低”三级的策略。审计记录的信息和报警都将发送到预警平台，进行用户自定义显示。51 外设监控对所有输入输出设备监控，禁止和允许使用制定外接设备，并进行记录所有外接设备的信息。52 文件审计实时监控本地文件的创建、删除、修改、复制、改名等操作。图表 25 文件

25、审计管理图表 26 文件审计预警平台53 打印审计对本地打印机、共享打印机和网络打印机德操作行为进行监控功能，监控打印行为的操作员、打印文档的名称和打印时间。图表 27 打印监控管理54 共享审计对系统共享文件夹和用户共享文件夹的建立审计，可以对共享文件进行打开和关闭操作，并且可以根据策略自动清除。图表 28 共享监控管理55 进程审计对进程信息和运行状态的远程实时管理，基于黑名单的自动控制功能，对进程的运行时间审计监控。56 系统日志审计对操作系统日志的自动收集、记录。57 非法外联检测控制自动检测客户端访问互联网的能力，如果有访问能力则进行断网处理。58 非法拨号检测控制禁止使用 mode

26、l、ADSL、无线 CDMA 等拨号事件，同时对拨号操作进行审计记录。59 多网卡检测控制检测系统多网卡设置，可以通过策略进行不允许进行多网卡安装，同时把审计记录。510IP/MAC 地址绑定对客户端的 IP 地址、主机名、网关、掩码绑定，对IP 地址、主机名、网关、掩 码地址的修改操作进行审计，一旦发现修改行为就将向服务器报警。图表 29 地址绑定管理511系统账户审计对本地帐户与组进行管理（添加/删除/修改），对其变化进行审计。512进程审计 客户端计算机运行的进程都将被审计记录，同时接受管理。513互联网访问审计 对客户端访问互联网操作行为进行审计记录。514带宽审计对客户端的带宽使用情

27、况，进行审计、并可以设置带宽策略。515网络连接审计监控 周期性审计代理主机的网络连接信息。516移动存储设备审计 对移动设备的使用进行审计，并且审计对移动设备文件拷贝。六、 资产管理61 硬件资产自动收集自动收集客户端的硬件资产信息，例如 CPU 型号、内存容量、硬盘型号、主板信息、显卡信息、主板外设接口信息、USB、红外、蓝牙、串口、并口等终端计算 机的所有硬件信息和品牌信息。图表 30 资产管理62 软件资产自动收集 自动收集客户端的软件资产信息。图表 31 软件信息列表63 硬件资产统计查询自定义查询内容，对客户端的硬件配置情况进行统计查询，统计后的信息由报表功能进行报表操作。图表 3

28、2 硬件信息列表64 软件资产统计查询 自定义查询内容，对客户端的软件安装情况进行统计查询。65 软件资产、硬件资产检索根据检索条件对软件资产和硬件资产进行在线检索66 资产变更管理对客户端的软件、硬件资产变化进行报警，报警信息包含客户端的信息和改变的软件资产和硬件资产的信息。67 资产统计报表对资产进行统计报表生成与打印，可以导出为 Doc、Pdf、Excel、Xml 等文件格式。图表 33 打印及外导报表管理七、系统报表功能71 标准模板对报警信息、资产信息、日志信息、策略信息等管理信息的统计和查询的方 式，系统提供一套已经编写清晰的报表模板。管理员通过报表模板进行自动报 表生成。图表 3

29、4 标准报表模板72 个性化报表模板 系统不但提供标准的报表模板，同时允许管理员根据自己的需要进行模板设定，模板不限数量，管理员可以设置很多种模板。72 事件查询与统计对安全事件进行查询与统计，生成DOC、HTML、PDF、EXCEL、XML 等格式。73 自动报表生成管理 标准报表模板和自定义模板都可以根据时间定时进行报表的定制和生成，支持日、周、月报表生成。74 报表导出管理可以将生成的报表进行导出，生成 DOC、HTML、PDF、XML 等格式，并进行打印处理。打印及外导报表管理八、系统响应方式8.1 实时告警通过预警平台实时显示客户端的违规行为。8.2 事件日志 通过事件报表查询，定义查询条件对事件进行查询。8.3 邮件告警 对违规事件通过邮件通告管理员。8.4 阻断连接对违规事件，采用阻断方式进行紧急处理。图表 35 阻断告警8.5 短信告警 对违规事件，采用短信方式通知管理员(需用户有短信平台)。图表 36 短信告警管理