加载中 ...![]()
单机安全防护系统
2019-03-24 16:12:38 来源:沈阳软件公司 作者:沈阳软件开发
安全审计 [系统的基本情况]“KeySafety终端安全身份认证和监控审计系统” 是中讯锐尔公司按照国家保密标准BMB15-2004《涉及国家秘密的信息系统安全审计产品技术要求》、《涉及国家秘密的信息系统终端安全与文件保护产品技术要求》为政府单位、军队以及军工企业网络安全系统保密资格认证量身订做的网络安全信息系统。该系统也符合国家保密局新标准《BMB17-2006涉及国家秘密的信息系统分级保护技术要求》。“KeySafety终端安全身份认证和监控审计系统”单机版本解决了涉密单机安全问题,这些问题包括: 非授权的用户不能登录涉密单机系统 非授权的计算机终端设备不能接入涉密单机系统 涉密单机不能接入不可信的网络 非授权的计算外设和设备端口不能被使用 移动磁介质的管理和磁介质的数据安全 非授权的网络端口和协议不能被使用 操作系统文件操作审计 涉密单机授权和审计数据本身的安全KeySafety系统已经通过国家保密局测评中心的产品认证,并获得中国人民解放军安全产品测评中心的安全认证,产品安全认证等级为B级,该等级为同类产品的最高等级;国家信息中心软件测评中心对本系统进行了全面测试,各项测试指标均为优;KeySafety被科技部评为2006年国家重点新产品项目。KeySafety为协助涉密网单位顺利通过国家有关部门的认证起重要的作用。该系统已经在党、政、军以及军工中有广泛的应用,比较典型的用户如:新华社、人民日报社、国防科工委、统战部、中组部,空军电子研究所(全空军正在推广)、航天科工集团、航天二院、航天三院、核九院、大连理工大学、西安交通大学、贵阳铝镁研究设计院、中讯软件集团等。[产品实现的功能]
| 主要功能沈阳APP软件
| |
| 基本要求 | 安全审计应将身份鉴别、访问控制等安全安全功能有机结合 |
| 身份鉴别功能 | 采用USB KEY或生物特征来鉴别用户的身份 |
| 具有设置USB KEY PIN码长度限制的功能 | |
| 能通过控制端定期修改USB KEY PIN码的功能 | |
| 确保在身份鉴别过程中,数据传输过程中认证信息的安全 | |
| 终端帐号的管理 | 可以利用USB KEY在服务端或客户端建立新的用户 |
| 可以将原有帐号和USB KEY绑定,不改变原系统帐号的属性 | |
| 具有对终端帐号保护的功能,并且可以防止用户利用KEY帐号或非KEY的帐号通过网络、操作系统安全模式等非法进入终端系统 | |
| 主机防护 | 屏蔽默认共享 |
| 屏保监控功能,不允许终端用户设置屏保为“无” | |
| 信息输出控制 | 打印设备输出控制(区分网络打印、本地打印和虚拟打印) ① 能控制网络打印设备 ② 能控制本地打印设备 ③ 能控制虚拟打印行为 |
| 拷贝输出控制(控制移动存储设备的使用) | |
| 屏幕窃取控制(防止屏幕拷贝) | |
| 数据设备接口控制 | 对并口、串口、USB接口等数据接口以及软驱、光驱等设备进行控制 |
| 主机新增设备的接入控制 | |
| 网络控制 | 对135、139、445端口的强制控制 |
| 对终端系统多余的网络端口进行控制 | |
| 具有涉密单机接入其他网络功能 | |
| 违规外连控制 | 非授权的拨号控制 |
| 无线上网的控制 | |
| 红外线上网控制 | |
| 采取其他办法上互连网的控制 | |
| 磁介质管理 | 对于磁介质的使用有接入控制,对移动存储介质要有注册授权管理 |
| 涉密网中的磁介质不能在非涉密网中使用 | |
| 对手机等存储设备要有控制 | |
| 对于电脑硬盘数据的安全保护 ① 存放数据区的磁盘分区要有保护措施 ② 不同的人使用同样的电脑,对存放数据的分区要有保护。电脑使用者不能查看其他人的数据分区中的数据内容 | |
| 主机管理 | 客户端硬件配置管理与审计 |
| 客户端软件配置管理与审计 | |
| 客户端进程的管理与审计 | |
| 客户端服务的管理与审计 | |
| 授权管理 | 系统员、授权和审计权限三权分开 |
| 对用户按最小授权原则进行授权管理(BMB17-2006) | |
| 安全审计 | 身份鉴别审计,包括用户登录、注销和关机审计 |
| 自动获取主机资源,包括硬件信息、安装软件信息、用户帐号信息、进程信息、服务信息、共享文件信息等 | |
| 网络连接审计:对受控端的网络连接(HTTP、FTP、TELNET)的行为进行记录 | |
| 文件操作审计:能够对指定文件目录下文件的操作行为、操作用户、操作日期、操作结果进行审计 | |
| 打印审计:能够对受控端的打印信息审计。审计的内容包括:受控端主机名、用户名、打印机名称、打印文件名、打印份数、打印页数等功能 | |
| 主机IP/MAC地址审计:允许或禁止受控端主机的IP/MAC地址修改行为,禁止更改时记录受控端试图修改IP/MAC记录 | |
| 违规设备接入系统审计 | |
| 受控用户权限的更改 | |
| 系统管理员、系统授权员和审计员操作行为的审计 | |
| 拷贝输出审计 | |
| 审计日志的上传应采用即时方式,对于没来得及上传的日志应在本地存储并采取技术措施加以保护 | |
| 应为授权管理员提供将审计日志按一定的条件进行查询的功能,所得结果应以用户友好的、便于理解的形式提供报告或打印 | |
| 能够提供多种报表和用户自定义报表,支持审计日志的导入导出。可生成直方图、曲线图等多种图表实现统计、分析、报表等多种功能 | |
| 能够自动收集受控端软硬件配置信息。动态检测受控端硬件配置和应用软件等资产信息的变化,记录受控端资产信息发生的改变时 | |
| 记录主机共享文件被访问的情况,包括访问者、访问时间、访问文件全名等 | |
| 审计员可以在单机上对单机的使用情况进行审计,也可以将审计日志输出到文件,并导入到网络版审计中心,集中审计 | |
| 系统自身安全防护与管理 | 系统能够保证安全策略在受控端强制执行,不允许受控端自行改变安全保护策略 |
| 控端应有防止违规卸载保护机制,防止非授权卸载行为和终止进程行为 | |
| 具有单机授权的功能,并确保授权信息被非法修改 | |
| 具有单机的审计功能,确保审计日志不被非法篡改 | |
| 默认策略,并提供默认策略。管理员能够在策略模版基础上自定义安全策略 | |
“沈阳软件公司”的新闻页面文章、图片、音频、视频等稿件均为自媒体人、第三方机构发布或转载。如稿件涉及版权等问题,请与
我们联系删除或处理,客服QQ:55506560,稿件内容仅为传递更多信息之目的,不代表本网观点,亦不代表本网站赞同
其观点或证实其内容的真实性。
热门文章
分享到微信朋友圈
×
打开微信,点击底部的“发现”,
使用“扫一扫”即可将网页分享至朋友圈。
使用“扫一扫”即可将网页分享至朋友圈。
