返回首页

信安邮局

产品概述

      e盾SNetMan是上海信安信息技术发展股份有限公司依托多年的信息安全产品开发经验,在深入分析各行各业网络及桌面安全隐患的基础上,结合广大用户的普遍需求,按照分层分级管理模式架构,自主研发的新一代内网安全管理产品。


      e盾SNetMan主要着眼于网络中台式机、服务器、便携机、网络设备及终端用户的综合安全防护,通过资源管理、网络管理、终端安全管理、移动存储管理等几大管理手段对网络中的每个节点及每个节点之间的关系进行综合管理,实现对网络及桌面终端的全方位安全管理,从而提高网络安全管理的效率,使计算机网络处于可信、可控、易管理、易维护、易扩展的安全体系之中。


      e盾SNetMan使用网络监听、网络扫描等底层技术,通过分析网络中的信息实现对网络节点的识别和定位;通过安装在桌面终端上的代理程序,对桌面终端进行综合的安全防护和控制;通过IP访问规则对各网络节点的网络访问权限进行严格控制;使用智能探测技术,把探测到的目标主机信息进行智能筛选和分析,运用网络技术和底层驱动相结合,对探测到的非法主机进行警告或网络隔离;通过USB移动存储设备的注册认证机制对U盘等移动存储介质的使用范围进行严格控制;利用通讯模块通过移动通讯平台实现e盾安全网络管理系统的短信报警


      e盾SNetMan不仅通过公安部第三研究所、中国信息安全产品测评认证中心、中国人民解放军信息安全测评认证中心的测试和认证,而且被上海市高新科技成果转化项目服务中心评为上海市高新科技成果转化项目。在中国科学院对该产品进行全球范围内的查新过程中,其几大关键技术被评定为“国际同行业领先”。


      e盾SNetMan主要适用于各大中型组织机构的计算机网络系统、电子政务系统和电子商务系统,对其移动终端、桌面终端进行全方位的综合安全防护,保证整个网络的正常运行。尤其适用于安全要求较高的各级政府部门、金融、科研等行业用户、以及各大中型企业的内部网络,帮助网络管理员有效地对整个复杂网络系统进行安全管理和安全防护。


系统特色

全方位的内网安全综合管理:


      SNetMan不同于传统的只管理网络设备的网管软件和只管理桌面终端的桌面管理软件。SNetMan集资源管理、网络管理、终端安全管理、移动存储管理、软件分发、远程管理等管理手段于一身,对网络中的每个节点及每个节点之间的关系进行综合控制,实现对内部网络全方位的安全管理,从而提高网络安全管理的效率,使计算机网络处于可信、可控、易管理、易维护的安全体系之中。


网络资源自动探测:


      SNetMan可以自动获取当前网络中所有网络节点的IP地址、MAC地址、生产厂商、CPU、内存、硬盘、操作系统、已安装软件等软硬件信息,并对所有网络节点分门别类进行管理,可以使管理员实时掌控全部网络资源。


非法接入的自动识别、隔离:


      SNetMan可以实时侦测到非法接入内网的主机,并自动对其进行警告、隔离,并向管理员报警,有效阻止未经许可的非法主机私自接入内网带来的安全风险。


非法外联的自动防御、探测、阻断:


      SNetMan可以主动防御、自动探测、自动阻断各种形式的非法外联,有效防止内网主机未经许可非法外联引发的安全风险。


木马蠕虫防御:


      SNetMan可以预防新型木马蠕虫、阻止木马蠕虫运行、切断木马蠕虫的传播途径,有效防御已知、未知的各种木马蠕虫。


移动存储设备管理:


      SNetMan可以严格控制 USB移动存储设备的使用范围,确保内部U 盘无法在外部使用,外部U盘无法在内部使用,并对U盘操作进行审计,为加强U盘使用管理、杜绝U盘信息泄密、减少U盘病毒传播提供了一个强有力的管理手段。


支持二次定制开发:


      SNetMan是由上海信安信息技术发展股份有限公司完全独立自主研发的,拥有全部知识产权,并可按用户的特殊需求进行定制开发,从而满足用户的个性化需求。

组成结构

SnetMan安全网络管理系统主要由管理中心、网络代理、客户端代理三部分组成:

Ø 管理中心:简称MC(SNetMan Manage Center),是整个系统的管理控制中心,提供与网络管理员人机交互的界面,管理员通过MC配置全网的安全策略;

Ø 网络代理:简称AN(SNetMan Agent for Network),是MC与AC之间的通信桥梁,接收MC的配置信息下发给AC,接收AC的状态和报警信息上传给MC;

Ø 客户端代理:简称AC(SNetMan Agent for Client),安装于局域网内的客户机上,采集客户机信息,接收并执行AN下发的安全策略。

功能介绍

一、资源管理


  • 硬件资源管理:

      SNetMan可以自动获取当前网络中所有已连接的网络节点的IP地址、主机名、MAC地址、网卡型号及网卡生产厂商、所在域及操作系统等信息。已安装SNetMan客户端的主机还可以获取CPU串号/型号、内存容量、硬盘串号/容量、光驱型号、USB连接信息以及BIOS信息等主要硬件信息。


网络管理员可以按照客户机、服务器、网络设备以及设备所属部门等将所有设备进行分类管理,可以定义各主机使用者的用户信息(姓名、联系电话、所属部门、公司、电子邮件、所在楼号以及房间号等),并可对该主机进行IP地址、MAC地址、关键硬件以及交换机端口等信息的综合绑定,当主机信息发生改变时可以自动向管理员报警,有效防止硬件资产的流失。如此管理员可以获得当前网络中所有网络节点的详细资料,可以实时掌握网络中各节点的当前运行情况及变更情况。


  • 软件资源管理:

      SNetMan可以监控网络中的所有客户机已安装的软件信息,便于管理员实时掌握网络中当前软件安装及授权情况。管理员可以查询统计网内盗版软件、游戏软件等非法软件的安装使用情况以及防病毒软件等指定软件的安装使用情况,对使用盗版软件、游戏软件或未按要求安装防病毒软件的客户机可以采取警告、隔离等措施。


二、网络管理


  • 网络设备管理:

       SNetMan可以管理支持SNMP协议或支持Telnet管理的智能交换机,可以自动显示各客户机与交换机端口的对应关系;可以将各客户机与对应的交换机端口进行绑定,并于交换机端口改变时自动报警;能够监控各交换机端口当前的运行状态;能够监控每个交换机端口的上行和下行的流量,并于流量超出管理员预设的阀值时自动报警;SNetMan可以在发现非法接入、非法操作等安全威胁时自动根据策略关闭相应的交换机端口,当安全威胁解除时SNetMan能够自动恢复该交换机端口的运行状态。


  • 非法接入的自动侦测、隔离:

      SNetMan对网络中所有的合法节点进行注册,并对整个网络系统进行实时侦测,如有未经注册的非法主机接入网络时,SNetMan可以及时发现该非法主机,向管理员报警,并根据管理员预设的策略对其进行警告或隔离。隔离方式有两种:

  • ARP防御:通过向非法主机发送ARP欺骗包,阻断非法主机的网络通信
  • 关闭交换机端口:通过关闭非法主机所连接的交换机端口,阻断非法主机的网络通信。

  • >>完全陌生的非法设备接入:
  •        完全陌生的非法设备接入时,非法接入设备的信息与已经注册设备的信息差异非常明显,如IP地址、MAC地址、CPU串号等信息都不相同,SNetMan可以立即判定该设备为非法设备,并马上报警、隔离。


  • >>模拟合法用户的非法设备接入:
  •        模拟合法用户的非法设备接入通常是由对网络中的设备比较熟悉的非法用户所造成的。非法主机模拟当前离线的合法主机接入网络,由于该非法主机的IP地址、MAC地址等都模拟为合法主机,并且在使用同一种型号主机的情况下,CPU型号、主板BIOS信息等硬件信息都与合法主机相同,网络管理员很难识别。此时SNetMan可以根据是否安装有SNetMan客户端、对比非法主机与合法主机的硬盘串号来识别该非法主机,并进行报警、隔离。 当合法用户由于更新、升级硬件等导致注册信息改变时,管理员在SNetMan中更新该主机的注册信息即可,此时SNetMan所保存的该用户注册信息就自动更新为当前设备的最新信息。


  • 非法外联的自动防御、检测、拦截:

      目前许多涉密网络要求必须与互联网隔离,然而网络中往往存在一些安全意识较弱的用户通过拨号、ADSL、双网卡等方式私自连接互联网,这会导致内部涉密网络暴露在互联网中,面临感染病毒、黑客攻击、机密信息泄漏等安全威胁;部分用户私自通过双网线在内外网之间切换或将涉密内网计算机脱离内网使用,从而避免被网络管理员察觉,此时同样存在感染病毒、黑客攻击、机密信息泄漏等安全风险,并且该计算机再次接入内部网络时仍会给内部网络造成严重危害。由于非法外联具有高隐蔽、高风险、高危害的特性,因此必须坚决杜绝该现象的发生。


      SNetMan可以通过以下方式从防御、检测、拦截三个层次严格杜绝网络中的非法外联现象:


  • 禁用所有的拨号程序:

      通过禁用所有拨号程序可以有效阻止终端用户通过电话拨号、移动通信设备拨号、VPN拨号等拨号方式非法外联;


  • 禁用所有未经注册的网卡:

      禁用所有未经注册的网卡可以有效阻止终端用户通过私自增加多网卡进行非法外联;


  • 禁止修改IP地址:

      通过禁止修改IP地址可以有效阻止内网主机通过修改IP地址私自连接互联网;


  • IP访问控制 :

      IP访问控制只允许终端主机与指定的内网IP地址范围通信,所有超出该内网IP地址范围的通信都会被阻止,通过此方式可以彻底限制终端主机可用的网络范围;


  • 禁止代理:

      系统实时检测客户机出站数据包,检查数据包头中是否包含代理服务标志位,若包含则进行拦截,客户机无法通过代理服务器连接外网;


  • DNS样例:

      管理员可以预设多个互联网域名或IP地址,软件定期自动检测预设的域名是否能够正常解释、IP地址是否能够连通,若有任一域名能够解释或任一IP地址能够连通,则马上关闭该主机所有的网络连接,并可以向互联网中预设的报警服务器报警或在下次接入内网时向内网服务器报警。


  • 网内不同安全域之间的访问控制 :

      SNetMan可以对网内各安全区域进行非常细致的划分,对各网络节点的信任区域、访问权限定义详尽的规则,使各网络节点只能在指定的授权安全区域内通信,有效抵御由于用户的非法越权访问引发的安全风险。


三、终端安全管理


  • 进程管理:

      通过SNetMan可以查看任意一台客户机当前和曾经运行的程序,可以终止当前运行的非法程序,可以对已知的合法进程进行注册,并禁止未经注册的非法进程运行,即使终端用户将非法进程改名或更改路径也无法运行该非法程序。管理员可以通过进程管理禁止客户机运行未经允许的盗版软件、游戏软件等非法程序,通过注册合法进程禁止未注册进程使客户机只能运行指定的程序禁止包括蠕虫、木马在内的其他一切未经注册的程序。


  • 共享管理:

      SNetMan可以读取客户机当前的包括系统默认共享在内的共享文件夹信息,管理员可以对合法的共享进行注册,禁止未经注册的非法共享,以避免因共享文件夹引发的病毒传播、信息泄漏等安全风险。


  • IP地址管理:

      SNetMan可以对全网的IP地址进行综合管理,管理员可以根据需要远程设置客户机的IP地址。客户机私自变更IP地址时可以自动报警,自动对其进行警告或隔离,并于客户机恢复原有合法IP地址时自动解除警告或隔离。管理员也可绑定客户机IP地址禁止终端用户修改,避免因终端用户私自修改IP地址导致的IP冲突等网络故障。


  • 流量监控:

      SNetMan可以实时监测每台客户机的网络流量,可以于客户机流入速或流出速超过管理员预设阀值时自动向管理员报警,管理员可以及时发现由于蠕虫、木马、P2P下载等引发的异常流量,并对其进行警告隔离等安全措施。


  • 硬件接口管理:

      对于涉密主机中的数据是不允许随意复制传播的,因此就必须对这些主机的外接设备进行统一的管制。SNetMan可以对客户机的光驱、软驱、USB、蓝牙、红外、串口、并口等硬件接口进行管制,禁止使用前述接口的外接设备,以防机密数据泄漏。对USB接口进行管制时,并不会影响用户使用USB键盘和鼠标,只对USB移动存储设备进行管制,并可以禁止USB存储设备的自动运行,防止感染通过USB存储设备自动运行功能传播的病毒。

  • 网络扫描防御:

      端口扫描是黑客、蠕虫和木马病毒攻击的前奏,黑客、蠕虫和木马病毒程序能够自动对网络中的其他计算机进行扫描,并根据扫描的结果来获得该主机的详细信息,包括该主机当前打开的端口、运行的服务、存在的漏洞等,从而明确攻击目标,进行非法攻击。

      SNetMan具有抵御非法扫描的功能,当客户机遭到非法扫描时,SNetMan可以自动将攻击源及目的主机的IP地址、MAC地址等信息报告给网络管理员,并自动屏蔽攻击源主机的非法扫描,从而在第一时间阻止蠕虫传播及木马、黑客攻击。


  • 木马蠕虫防御:

      在木马蠕虫病毒爆发时,即便是当前杀毒软件不能查杀的最新型蠕虫木马,也可以通过SNetMan的流量报警、进程控制以及端口管理等功能来帮助管理员迅速定位、隔离感染木马蠕虫的客户机,限制木马蠕虫的运行,控制木马蠕虫的传播,在最短的时间内恢复网络的正常使用。并且可以根据微软等系统软件公司、国内外反病毒厂商等安全机构公布的系统漏洞、安全公告等信息制定相应预防策略,预防目前尚未感染但有可能爆发的蠕虫木马等安全风险,从而帮助管理员降低木马蠕虫对网络造成的危害。


四、软件分发


  • SNetMan软件自动更新 :

      通过SNetMan的软件分发功能,可以在无需管理员逐台安装、无需终端用户干预的情况下快捷的实现SNetMan客户端软件的自动更新。


  • Windows补丁更新:

      界面友好、操作简单的Windows操作系统已占据个人计算机操作系统的95%以上份额,但由于其漏洞太多,导致Windows平台的大量病毒、蠕虫、木马及黑客攻击的泛滥,因此造成的损失无法估量,定期更新操作系统安全补丁已成为网络管理员的重要工作内容之一。通过SNetMan的软件分发功能,网络管理员可以统一对网内的的台式机、服务器、笔记本电脑分发Windows系统安全补丁,客户机后台自动安装补丁无需管理员及终端用户干预,从而减少了管理员巨大的重复工作量。


  • 第三方软件分发:

      通过SNetMan的软件分发功能可以向客户机分发任意第三方的软件并自动运行安装。对于需要大范围部署的软件,可以实现极短时间内的快速部署。


五、远程管理


  • 远程监视(可选模块):

      通过远程监视功能管理员可以于管理中心实时显示指定客户机的屏幕,监视终端用户的操作。


  • 远程控制(可选模块):

      通过远程控制功能管理员可以于管理中心远程接管客户机桌面,对客户机进行远程操作,为终端用户提供远程支持、协助服务,而无需新亲临现场,极大的提高管理员工作效率。


  • 远程消息:

      SNetMan具有远程消息通知功能,管理员可以对指定客户机发送即时消息,也可以强制客户机打开指定的WEB页面,即使当前关机未在线的客户机也可以在下次开机上线后自动打开指定的网页。管理员可以利用此功能方便的发送通知消息。


  • 远程唤醒:

      管理员可以远程唤醒支持唤醒功能的远程客户机。


  • 远程关机:

      管理员可以远程关闭客户机。


六、短信报警(可选模块)


      SNetMan可以通过通讯模块直接与管理员进行无线通讯,实现对整个网络进行远程控制和管理。当部署有SNetMan的网络系统出现异常时,即使管理员不在管理机面前,也可以通过手机收到来自SNetMan发出的短信报警,及时掌握当时的网络情况,同时还可以通过回复短消息的方式来远程控制SNetMan调整相应的安全策略,从而可以使管理员7*24小时实时掌握网络状况,做到对网络系统的实时监控和管理。


系统部署

      在中小型网络中部署SNetMan时,安装一台网络代理和管理中心即可,对于有分支机构的大型网络可以安装多台网络代理和管理中心,由多个管理员分级管理,客户端代理可以通过WEB下载、FTP下载、网络共享、域登录脚本等多种方式安装部署。

运行环境


SNetMan管理控制中心(MC): CPU:1.8GHz以上
内存:1G
网卡:100/1000M
USB:USB1.0或以上接口
操作系统:Windows XP/Vista,Windows Server 2003/2008
SNetMan网络代理(AN):
CPU:1.8GHz以上
内存:2G
网卡:100/1000M
操作系统:Windows 2000 Server,Windows Server 2003/2008
SNetMan客户端代理(AC):
CPU:PIII 800MHz
内存:512M
网卡:10/100M
操作系统:Windows9X/2000/XP/2003/Vista/2008

产品概述


      e盾USB移动存储设备管理系统是上海信安信息技术发展股份有限公司依托多年的信息安全产品研发经验,深入分析各行业用户USB移动存储设备应用情况及管理需求,在e盾SNetMan安全网络管理系统的基础上创新性开发的USB移动存储设备管理软件。e盾USB移动存储设备管理系统的核心理念在于对“人-计算机-介质-数据”进行统一的策略管理。


      e盾USB移动存储设备管理系统通过对通用USB移动存储设备采用专用分区格式的进行分区、注册USB移动存储设备串号、USB过滤驱动等多种技术手段,实现对USB移动存储设备细粒度的安全访问控制。通过严谨的USB移动存储设备认证、授权机制,严格控制 U 盘的使用范围及权限,并可对U盘使用情况进行审计:


                  Ø 未认证U盘未经许可无法在局域网内使用,外来U盘无法窃取机密数据;


                  Ø 认证U盘只能在指定的局域网信任区域内使用,认证U盘在信任区域外无法读取U盘中的数据;


                  Ø 终端用户只拥有管理员分配的认证U盘使用权限(只读、读写);


                  Ø 有特殊需求的用户可由管理员分配未认证U盘使用权限(只读、读写),方便实现内外网信息交互;


                   Ø 对所有U盘文件操作(新建、复制、修改、删除等)进行日志记录,便于对U盘使用情况进行审计。


Ø e盾USB移动存储设备管理系统适用于各级政府机关、军工单位、科研院所、金融机构、各种企事业单位局域网络。通过e盾USB移动存储设备管理系统可以有效防御前述USB移动存储设备引发的安全风险,为加强U盘等USB移动存储设备使用管理、彻底杜绝U盘信息泄密、减少U盘病毒传播提供了一个强有力的管理手段,可以帮助用户建立起完善实用的移动存储设备管理体系。

系统特色


通用U盘管理,无需使用价格昂贵的专用涉密U盘

独创国际领先的U盘认证模式,支持客户端自动认证和服务器统一认证.

高等级的U盘数据信息保护,保证机密数据安全传递

全方位U盘授权机制,支持细粒度的U盘访问控制策略

严谨的内外网信息交互,防止泄密的同时方便内外网信息交流

关键计算机支持U盘文件上传,严密监控重点计算机的流转数据

详尽的审计日志,使U盘使用情况有据可查

用户透明使用,与普通U盘使用方法一致无需专业培训

组成结构


e盾USB移动存储设备管理系统由管理控制台、管理服务器、客户端代理三部分组成。


管理控制台:是整个系统的管理控制中心,管理员通过管理控制台配置全网的USB移动存储设备管理策略;


管理服务器:是管理中心与客户端代理之间的通信桥梁,接收管理控制台配置的USB移动存储设备管理策略下发给客户端代理,收集客户端代理的日志和报警信息上传给管理中心;


客户端代理:安装在网络内的客户机上,直接控制客户机的USB移动存储设备的使用权限,并记录审计日志。


功能介绍

1服务器认证:由管理员于服务器端统一进行U盘认证


Ø 由管理员按IP地址或组织结构定义内部网络的U盘信任区域;
Ø 由管理员定义各信任区域的U盘读写权限(只读、读写);
Ø 由管理员对U盘进行认证,并指定各个认证U盘所归属的信任区域;
各认证U盘只能在管理员指定的信任区域内按其所拥有的读写权限进行数据交换,超出指定的信任区域后认证U盘中的数据无法读取。


2.客户端认证:由终端用户自主注册认证U盘


Ø 由管理员按IP地址定义内部网络的U盘信任区域;
Ø 由管理员定义各信任区域的U盘读写权限(只读、读写);
Ø 位于信任区域内的客户机插入未认证U盘时,自动弹出认证提示,经终端用户确认后完成U盘认证,并自动将该U盘注册到该客机IP地址所属的U盘信任区域内; 各认证U盘只能在初次认证时所属的信任区域内按其所拥有的读写权限进行数据交换,超出该信任区域后认证U盘中的数据无法读取。


3. 普通U盘访问策略:


管理员可以根据实际需求定义客户机对未经认证的普通U盘的访问权限(禁用、只读、读写),在保证数据安全的前提下方便用户进行内外网数据交换。


4. U盘审计:


客户机可以对所有U盘的文件操作(新建、复制、修改、删除)进行记录,并自动上传至服务器,管理员可以方便的对客记机U盘使用情况进行审计。

系统部署

      在中小型网络中部署e盾USB移动存储设备管理系统时,安装一台管理服务器和管理控制台即可,对于有分支机构的大型网络可以安装多台管理服务器和管理控制台,由多个管理员分级管理,客户端代理可以通过WEB下载、FTP下载、网络共享、域登录脚本等多种方式安装部署。


运行环境

管理控制台:
CPU:1.8GHz以上
内存:1G
网卡:100/1000M
USB:USB1.0或以上接口
操作系统:Windows XP/Vista,Windows Server 2003/2008

管理服务器:
CPU:1.8GHz以上
内存:2G
网卡:100/1000M
操作系统:Windows 2000 Server,Windows Server 2003/2008

客户端代理:
CPU:PIII 800MHz
内存:512M
网卡:10/100M
操作系统:Windows9X/2000/XP/2003/Vista/2008