Rier信息安全系统目录和介绍

中讯锐尔公司产品情况 目录 2公司产品情况 4.1. Rier 终端安全登录与监控审计系统Rier KeySafety V5.5 4.1.1. 系统的 设计 领导形象设计圆作业设计ao工艺污水处理厂设计附属工程施工组织设计清扫机器人结构设计 依据 4.1.2. 系统实现的功能 7.1.3. 系统的部署方式 7.1.4. 对操作系统的支持 7.1.5. 产品证书 8.2. Rier RecordSafety光盘刻录与监控审计系统 8.2.1. 产品背景 9.2.2. 产品实现的功能 9.2.3. 产品的组成与版本 11.3. Rier CDRecycleSafety光盘集中刻录监控审计与管理系统V3.0 11.3.1. 产品的应用场景 11.3.2. 产品实现的主要功能 12.3.3. 产品的特色功能 13.3.4. 产品资质 14.4. Rier FileExchangeSafety文件集中输出管控审计与文件密级标识管理系统 14.4.1. 产品背景及产品的基本情况 14.4.1.1. 产品背景 14.4.1.2. 产品基本情况 14.4.2. 产品的组成和应用场景 14.4.2.1. 产品的组成 16.4.2.2. 产品的应用场景 16.4.3. 产品实现的功能 18.5. Rier 网络接入控制系统NACSafety V2.6 18.5.1. 产品的基本情况 19.5.2. 产品实现的功能 22.5.3. 产品证书 23.6. Rier NasSafety中讯锐尔电子文档 安全管理 企业安全管理考核细则加油站安全管理机构环境和安全管理程序安全管理考核细则外来器械及植入物管理 系统（安全NAS系统） 23.6.1. 系统的基本情况 236.2. 系统实现的功能 256.3. 产品证书 26.7. Rier BioSafety基于指纹识别的终端安全登录系统 26.7.1. 产品介绍 26.7.2. Rier BioSafety指纹安全登录系统功能 27.7.3. Rier BioSafety 系统的特点 27.7.4. 产品资质 28.8. Rier NetGo-Safety实名上网行为管理系统 28.8.1. 产品背景 28.8.1.1. 军工保密认证要求 28.8.1.2. 普通上网行为管理系统和军工企业互联网上管理要求的区别 29.8.2. 产品实现的功能 33.8.3. 产品资质 北京中讯锐尔科技有限公司 上海中讯锐尔软件科技有限公司 www.rier.com.cn http://informationsecurity.tap.cn/ www.365jiaosu.com 咨询电话：010-51668242 公司产品情况 中讯锐尔公司经过8年深耕涉密信息系统，所开发的安全产品涵盖涉密单位的各个应用领域，产品在涉密单位特别是军工企业得到了广泛地应用。公司的产品线如下表： 产品分类 产品名称 子系统 终 端 防 护 类 Rier KeySafety终端安全登录与监控审计系统 安全身份认证子系统 终端账号安全管理子系统 主机审计子系统 违规外联监控子系统 安全审计子系统 Rier SecDisk移动存储介质管理子系统 Rier BioSafety中讯锐尔基于指纹安全登录系统 指纹库管理子系统 本机用户指纹登录子系统 域用户指纹登录子系统 Rier BootSafety安全登录与防PE启动系统 BOOT系统启动安全防护系统 全硬盘加密子系统 Rier RecordSafety光盘刻录与监控审计系统 Rier 光盘刻录授权审计子系统 光盘刻录控制子系统 Rier 光盘刻录工具 Rier加密光盘刻录与加密光盘加载子系统 文件输出集中管控与涉密文件密级标识管理 Rier CDRecycleSafety光盘集中刻录监控审计与管理系统 光盘刻录审计子系统 CD生命周期管理子系统 安全光盘刻录与安全光盘加载子系统 Rier FileExchangeSafety文件集中输出管控审计与文件密级标识管理系统 光盘集中刻录监控审计与管理子系统 文件打印集中管控审计与管理子系统 文件拷贝集中管控审计与管理子系统 文件标密管理子系统 网络管理 Rier NacSafety网络接入控制系统 Rier 802.1x认证服务子系统 Rier Nac客户端认证子系统 网络软硬件资产管理子系统 Rier PacketsWell网络实时诊断安全管理平台 数据存储 安全 Rier NASSafety网络安全存储访问控制与审计系统 访问控制身份认证子系统 访问控制子系统 数据加密子系统（数据安全子系统） 安全审计子系统 数字证书 管理 Rier CASafety证书管理系统 CA中心 RA审计中心 证书签发子系统 互联网络 监控 Rier NetGo-Safety（互联网）实名上网行为管理系统 实名认证子系统 网络域名访问控制子系统 流量控制子系统 审计子系统 取证工具 Rier CheckSafe计算机违规行为取证分析系统 涉密计算机检查子系统 非密计算机检查子系统 计算机安全性能检查子系统 本文档重点为涉密单位推荐以下产品： （1） Rier 终端安全登录与监控审计系统Rier KeySafety V5.5（特别推荐单机版本及64位操作系统） （2） Rier RecordSafety光盘刻录与监控审计系统 （3） Rier CDRecycleSafety光盘集中刻录监控审计与管理系统V3.0 （4） Rier FileExchangeSafety文件集中输出管控审计与文件密级标识管理系统 （5） Rier 网络接入控制系统NACSafety V2.6 （6） Rier NasSafety中讯锐尔电子文档安全管理系统（安全NAS系统） （7） Rier BioSafety基于指纹识别的终端安全登录系统 （8） Rier NetGo-Safety（互联网）实名上网行为管理系统 .1. Rier 终端安全登录与监控审计系统Rier KeySafety V5.5 .1.1. 系统的设计依据 “Rier安全登录与监控审计系统KeySafety V5.5”系统设计的主要依据： · 国家保密标准BMB17-2006《涉及国家秘密的信息系统分级保护技术要求》（该标准于2006年1月1日发布并实施） · 国家保密标准BMB15-2004《涉及国家秘密的信息系统安全审计产品技术要求》 · 国家保密标准《涉及国家秘密的信息系统终端安全与文件保护产品技术要求》（暂行）要求 .1.2. 系统实现的功能 · 系统实现安全的功能 项目 主要功能 基本要求 安全审计应将身份鉴别、访问控制等安全安全功能有机结合 身份鉴别功能 采用USB KEY或生物特征来鉴别用户的身份 具有设置USB KEY PIN码长度限制的功能 能通过控制端定期修改USB KEY PIN码的功能 确保在身份鉴别过程中，数据传输过程中认证信息的安全 终端帐号的管理 可以利用USB KEY在服务端或客户端建立新的用户 可以将原有帐号和USB KEY绑定，不改变原系统帐号的属性 具有对终端帐号保护的功能，并且可以防止用户利用KEY帐号或非KEY的帐号通过网络、操作系统安全模式等非法进入终端系统 主机防护 提供受控端IP地址绑定功能，能够将受控端IP地址与MAC或主机进行绑定，禁止终端用户非法修改IP和MAC地址 屏蔽默认共享 屏保监控功能，不允许终端用户设置屏保为“无” 信息输出控制 打印设备输出控制（区分网络打印、本地打印和虚拟打印） 1 能控制网络打印设备 2 能控制本地打印设备 3 能控制虚拟打印行为 拷贝输出控制（控制移动存储设备的使用） 屏幕窃取控制（防止屏幕拷贝） 数据设备接口控制 对并口、串口、USB接口等数据接口以及软驱、光驱等设备进行控制 主机新增设备的接入控制（防止未知设备或新设备的接入，特别防止新的网卡、硬盘灯设备的接入） 网络控制 对135、139、445端口的强制控制 对终端系统多余的网络端口进行控制 具有防止非授权终端接入本网络的功能（即：防止非法内联） 网络设备的控制 拨号设备使用的控制 无限上网设备的使用控制 红外上网设备的使用控制 网络设备的使用控制 违规外连控制 非授权的拨号控制 无线上网的控制 红外线上网控制 采取其他办法上互连网的控制 移动存储介质管理 对于移动存储介质的使用有接入控制，具有注册授权管理 涉密网中的移动存储介质不能在非涉密网中使用 对手机等存储设备控制 对于电脑硬盘数据的安全保护 1 存放数据区的磁盘分区要有保护措施 2 不同的人使用同样的电脑，对存放数据的分区要有保护。电脑使用者不能查看其他人的数据分区中的数据内容 主机管理 客户端硬件配置管理与审计 客户端软件配置管理与审计 客户端进程的管理与审计 客户端服务的管理与审计 客户端软件安全性检查（软件资产管理） 通过控制台配制主机所需要安装的软件，用户开机，系统即对主机安装软件进行检查，如果主机安装的软件不符合安全策略，系统可以根据事先定义的响应方式响应，如：警告，关机等。（BMB17 第8.2.2.3 c） 资产管理和设备维修记录 资产管理 新增主机设备的控制和记录 设备维修管理（BMB 17 第8.1.2.8条） 设备报废管理(BMB 17第 8.1.2.9条) 授权管理 系统员、授权和审计权限三权分开 对用户按最小授权原则进行授权管理（BMB17-2006） 安全审计 身份鉴别审计，包括用户登录、注销和关机审计 自动获取主机资源，包括硬件信息、安装软件信息、用户帐号信息、进程信息、服务信息、共享文件信息等 网络连接审计：对受控端的网络连接（HTTP、FTP、TELNET）的行为进行记录 文件操作审计：能够对指定文件目录下文件的操作行为、操作用户、操作日期、操作结果进行审计 打印审计：能够对受控端的打印信息审计。审计的内容包括：受控端主机名、用户名、打印机名称、打印文件名、打印份数、打印页数等功能 主机IP/MAC地址审计：允许或禁止受控端主机的IP/MAC地址修改行为，禁止更改时记录受控端试图修改IP/MAC记录 违规设备接入系统审计 受控用户权限的更改 系统管理员、系统授权员和审计员操作行为的审计 拷贝输出审计 审计日志的上传应采用即时方式，对于没来得及上传的日志应在本地存储并采取技术措施加以保护 日志管理提供自动、手动备份等多种方式，提供日志存储空间的阈值设置功能，当存储空间将满时能及时报警 应为授权管理员提供将审计日志按一定的条件进行查询的功能，所得结果应以用户友好的、便于理解的形式提供 报告 软件系统测试报告下载sgs报告如何下载关于路面塌陷情况报告535n,sgs报告怎么下载竣工报告下载 或打印 能够提供多种报表和用户自定义报表，支持审计日志的导入导出。可生成直方图、曲线图等多种图表实现统计、分析、报表等多种功能 能够自动收集受控端软硬件配置信息。动态检测受控端硬件配置和应用软件等资产信息的变化，记录受控端资产信息发生的改变时 记录主机共享文件被访问的情况，包括访问者、访问时间、访问文件全名等 安全策略管理域系统自身安全防护 能够通过中心控制平台管理全网受控端，并能够下发安全监控与审计策略 系统能够保证安全策略在受控端强制执行，不允许受控端自行改变安全保护策略 终端在联网状态下，受控端能够实时接受中心控制平台的集中管理、策略分发。离网状态下，应保证受控端安全策略的有效性 策略发布支持单发和群发 策略修改支持用户取策略方式和分发即时生效方式 受控端分组管理，能根据不同的安全级别下分不同的安全策略 提供默认策略，管理员能够在策略模版基础上自定义安全策略 控端应有防止违规卸载保护机制，防止非授权卸载行为和终止进程行为 单机防护 具有网络版单机防护的所有功能 具有单机授权的功能，并确保授权信息被非法修改 具有单机的审计功能，确保审计日志不被非法篡改 审计员可以在单机上对单机的使用情况进行审计，也可以将审计日志输出到文件，并导入到网络版审计中心，集中审计 .1.3. 系统的部署方式 系统的部署方式有三种： （1） 多级中心部署 （2） 一级中心部署 （3） 单机部署 特别说明：本系统的三种部署，在国家保密局的测评报告中都有体现，特别是单机版本。 .1.4. 对操作系统的支持 支持的操作系统： win2k/win2003/winxp/win7/win2008等 支持64为操作系统。 .1.5. 产品证书 .2. Rier RecordSafety光盘刻录与监控审计系统 .2.1. 产品背景 近年来，随着信息技术的发展，存储介质作为信息的载体，在各行各业信息化应用中起到非常重要的作用，其安全性和可靠性越来越引起人们的重视。特别是移动存储介质因其通用性强、存储量大、体积小、易携带等特点而得到广泛使用。移动存储介质大量使用主要有二个目的：（1）敏感信息不宜存放在计算机主机中；（2）数据交换方便。移动存储设备使用的方便性也带来了数据拷贝不受限、违规交叉使用等新情况的出现，对设备安全、数据安全等保密管理带来了新问题。 存储介质在涉密网中的安全尤为重要，在最近几年的重大的泄密事件中，大部分的泄密事件是事件当是人通过移动存储介质有意或无意泄密。涉密信息系统在最近的网络安全建设中，比较重视涉密终端的安全防护，譬如：规划并建设主机审计系统、计算机终端综合防护系统、移动U盘安全管理系统等，但却忽视了另外一种移动存储介质——CD/DVD刻录的安全与CD/DVD介质的管理。 在涉密信息系统中，国家保密有关标准(BMB17)中，明确指出移动存储介质指的是软盘、光盘、磁带、USB盘等存储介质。软盘已经慢慢从系统淡出，对于软盘的控制只需要控制软驱即可，而磁带机等设备一般比较贵重，也比较庞大，在涉密信息系统中，做好设备接入控制并从 制度 关于办公室下班关闭电源制度矿山事故隐患举报和奖励制度制度下载人事管理制度doc盘点制度下载 上管理磁带即可防止因磁带造成的信息泄密。因此，在涉密信息系统最容易造成信息泄密的介质为：CD/DVD刻录及CD/DVD盘片以及移动USB存储设备。 在大部分涉密信息系统中，禁止用户使用USB存储设备，但是为了涉密信息系统能方便地和非涉密信息系统进行信息交换，大部分涉密单位部署了中间机，承当信息交换的主要介质是CD/DVD盘片。实际上，中间机对刻录无任何安全保护措施，中间机可能会成为信息系统泄密的集中的主要源头。 Rier光盘刻录监控与审计系统是对CD/DVD刻录最佳的安全管理系统。 .2.2. 产品实现的功能 产品实现的功能如下： · 用户能使用CD/DVD驱动器权限下，除了本系统提供的刻录软件外，采用驱动技术禁止使用任何的刻录软件来刻录数据； · 本系统提供专门的刻录软件来刻录数据，可以对用户授权是否能使用该软件； · 本系统提提供刻录软件可以刻录两种类型的光盘：普通光盘、安全光盘（特殊格式化的光盘）； · 用户使用专门的刻录软件刻录数据，可以对用户刻录数据的行为进行审计，其中包括审计用户刻录的文件名的全路径，刻录的格式（普通、安全），刻录后的文件路径，以及光盘的卷标等信息。 Rier光盘刻录监控与审计系统的策略如下图： Rier RecordSafety的安全策略图 .2.3. 产品的组成与版本 1、 系统的组成 系统由以下部分组成： （1） 管理平台 · 安全管理、授权和审计三权分离原则，实现对系统进行管理 · 报警管理与报警终端 · 系统版本控制与升级管理 · 审计日志管理与统计报表 （2） 客户端 · CD/DVD设备管理 · 刻录控制 · 可信刻录工具 · 安全光盘CD/DVD加载程序 2、 系统版本 系统的版本号为：v2.6。 系统具有两个版本： 网络版本和单机版本。 3、 操作系统 WIN2K/WINXP/WIN2003/等。 .3. Rier CDRecycleSafety光盘集中刻录监控审计与管理系统V3.0 该系统根据涉密单位光盘集中刻录的现状和特点，实现光盘集中刻录、光盘刻录监控审计和光盘的全生命周期管理。该系统采用驱动技术以及业界最先进的光盘刻录与盘面打印一体机，利用条码等技术，实现了对用户终端各种刻录软件的刻录控制，通过用户刻录申请、刻录审批、集中刻录、刻录审计等过程，实现光盘刻录过程中的流程化管理，光盘刻录后系统会自动输出回执单，系统对刻录的光盘有入库、出库、销毁等过程的跟踪与审计。该系统除了从技术上防止在刻录过程可能造成的信息泄密之外，对于一些重要的数据可以刻录成带口令保护的安全光盘。 .3.1. 产品的应用场景 产品的应用场景如下： .3.2. 产品实现的主要功能 该系统具备以下功能： · 在涉密终端，采用驱动技术禁止所有的刻录软件的刻录行为 · 采取集中刻录的方式对文件数据进行刻录 · 具有刻录权限的用户通过B/S模式向服务器提交刻录申请 · 系统具有对刻录申请审核等功能，审核包含：实质审核和程序审批 · 实质性审核审计用户提交的申请能否刻录、描述是否和刻录数据一致、光盘的标密是否符合要求 · 刻录具有刻录行为审计功能，审计内容包括时间、用户、刻录文件名称、刻录光盘ID号等。 · 采用先进的光盘刻录与盘面打印一体机，在刻录的同时，在光盘盘面上打印条形码、部门和密级等信息。 · 生命周期管理平台中可提供操作员对介质相关状态进行查询，包括介质生成信息、出借记录、归还记录、销毁记录，及相关责任人信息。 · 平台中可提供操作员对光盘相关状态的管理，包括光盘的登记、出借、预借期限、是否归还、归还介质、销毁介质等。 .3.3. 产品的特色功能 该系统有以下特色功能： （1） 禁止涉密终端任何刻录软件使用。 （2） 系统采取用户提交、上级审核、用户确认的方式来提交需要刻录的数据，采取集中刻录的方式来刻录光盘。 （3） 系统可以设置是否启动实质审查和程序审查。实质审查员可以审查用户提交的文件内容，并确定光盘的密级是否符合要求。程序审查员只是简单地审查用户提交的申请和实质审查员的审查情况。 （4） 用户在刻录请求的时候，可以选择用户自刻或由管理员代刻的等方式刻录。 （5） 不管用户选择自刻或是管理员代刻，刻录人员必须刷卡认证身份以后，刻录设备才开始刻录光盘。 （6） 可以对用户组指定“代刻的管理员”，这样可以根据用户的实际情况，将集中刻录终端部署在不同的区域。 （7） 光盘刻录和光盘盘面打印一体化处理，确保能从刻录的审计行为中追踪其刻录对应文件光盘的去向，也能通过光盘ID来追踪光盘中的文件发起刻录请求人、审批人和刻录人的情况。 （8） 系统最大限度地保证了从刻录申请、文件上传到刻录过程中安全。。 （9） 在一个网络中，可以根据情况部署多个刻录终端及多个刻录分中心。 （10） 可以将数据刻录成普通格式的数据，也可以刻录成带口令保护的安全光盘。 （11） 对光盘的整个生命周期进行跟踪管理。 .3.4. 产品资质 .4. Rier FileExchangeSafety文件集中输出管控审计与文件密级标识管理系统 .4.1. 产品背景及产品的基本情况 .4.1.1. 产品背景 为了防止敏感信息的泄密，在涉密信息系统中文件输出必须进行严格控制与审计，这种严格管控与审计主要包含以下内容：（1）文件输出的申请；（2）文件输出的审批；（3）文件输出的执行；（4）文件输出的审计。在涉密信息系统中，文件的输出的主要途径有：（1）光盘刻录；（2）文件打印；（3）文件拷贝输出。 文件密级标识在涉密信息中至关重要，文件密级标识是涉密信息系统中安全域文件流转以及文件访问控制授权的基础，只有对文件进行了密级标识，才能真正实现防止涉密文件“高密低流”等问题。文件密级标识包含以下过程：（1）文件密级标识申请；（2）文件密级标识审批；（3）文件密级标识处理；（4）文件密级标识审计等。 不管是文件集中输出或是文件密级标识，都有“申请”、“审批”、“执行”和“审计”等过程。本系统将文件集中输出和文件密级标识在同一个平台中实现以上功能。 .4.1.2. 产品基本情况 “Rier FileExchangeSafety文件集中输出管控审计与文件密级标识管理系统”采用统一的文件审批管控平台，实现对光盘集中刻录、文件集中打印、文件集中拷贝输出以及文件密级标识统一监管并实现统一的审计。 .4.2. 产品的组成和应用场景 .4.2.1. 产品的组成 产品主要由五部分组成：（1）流程管理服务器；（2）数据集中输出控制；（3）文件存储；（4）管理与审计平台；（5）客户端控件及驱动控制等。分别介绍如下： 1、 流程管理服务器 流程管理服务器在高性能的硬件服务器、Linux、MySql和tomcat基础上针对文件数据集中刻录、文件集中打印、文件集中拷贝输出及文件密级标识等需求采用B/S 架构 酒店人事架构图下载公司架构图下载企业应用架构模式pdf监理组织架构图免费下载银行管理与it架构pdf 体系开发而成的文件流转管理平台。系统具备比较完备的用户组织机构管理及文件流转管理，采用面向角色的访问控制（RBAC）机制对文件申请、审批及执行操作进行管理。 2、 数据集中输出控制 文件的集中输出包括以下内容： （1） 数据文件集中刻录输出 （2） 文件集中打印输出 （3） 文件集中拷贝输出（注：输出到国家保密局“三合一”产品的U盘上） （4） 对文件进行标密，该操作也可以根据用户的实际情况，由申请者在本地操作。 3、 文件存储 “流程管理服务器”自带存储空间，但对于一些大型的网络系统，该存储空间满足不看了应用的要求。因此，在具体部署系统的时候，建议将文件流转的历史数据、标密的文件等存储到另外的文件存储服务器。该服务器可以为用户现有的文件存储服务器，也可以由本系统提供。 考虑到数据安全等因素，采用用户现有的文件存储服务器，如果该服务器无安全保密措施，建议在文件服务器和“流程管理服务器”之间部署“安全NAS”等系统，具体见“Rier NasSafety电子文档安全管理系统”介绍。本系统自带的文件服务器，已经基本安全NAS等安全功能，无需另配。 4、 管理与审计平台 “管理与审计平台”采用C/S模式开发而成，主要的功能为： （1） 系统管理 （2） 组织机构及用户管理 （3） 角色管理 （4） 授权管理 （5） 条码管理（刻录及打印） （6） 涉密载体介质管理及跟踪管理（刻录的光盘、打印的纸介质、涉密U盘等） （7） 安全审计 5、 客户端控件及驱动控制 “客户端控件及驱动控制”主要包括以下驱动： （1） 禁止客户端各种软件的刻录行为的刻录控制驱动 （2） 客户端打印控制及获取客户端打印信息的驱动 （3） 禁止客户端使用普通U盘的驱动 （4） 文件密级标识驱动等 “客户端控件及驱动控制”主要包括以下控件： （1） 文件上传控件 （2） 刻录控件 （3） 打印控件 （4） 文件密级标密及显示控件 （5） 文件拷贝输出等控件 .4.2.2. 产品的应用场景 产品的应用场景如下： .4.3. 产品实现的功能 本系统实现的功能如下： 1、 采用统一“文件流转流程管控”平台，实现涉密信息系统中文件输出的申请、实质性审批、程序性审批及文件集中输出及文件密级标识的管理。 2、 采用条码技术及特殊的刻录设备，实现了数据文件的集中刻录、刻录审计、刻录光盘的全生命周期的管理，具备刻录带密码保护的安全光盘的功能。 注：实质性审批人员可以查看本次刻录的原文，并判断用户的刻录申请的描述和原文是否相符，光盘密级标识等信息是否准确等，以此为以及是否允许本次刻录等。 3、 利用驱动技术和条码技术，实现了终端任何软件平台打印控制，并实现集中打印输出及打印审计。在输出的纸介质中自动打印条码，对打印的文件有跟踪管理功能。 注：实质审批人员通过系统查看文件的打印预览（即：文件打印内容）并通过用户提交的打印申请描述，判断用户的描述和打印内容是否相符，打印文件密级标识是否符合等，并确定是否允许本次打印。 4、 采用国家保密局认证的“三合一”产品移动存储介质，实现文件输出拷贝集中管控与审计。对文件拷贝审计能审计到所使用的安全U盘（根据U盘的ID来审计）。 5、 采用驱动及独特的文件密级标识技术实现对文件的密级标注。文件密级的划分为“内部”、“秘密”及“机密”。除了对文件有密级标识之外，还需明确文件使用期限。此外，系统提供接口，供第三方的系统增加对文件的访问控制信息。该系统的文件密级标识信息和文件内容不分离。 6、 安全审计功能 .5. Rier 网络接入控制系统NACSafety V2.6 .5.1. 产品的基本情况 Rier NACSafety网络接入控制系统是中讯锐尔公司采用国际上主流的802.1x认证接入控制技术开发的终端接入控制产品，该产品将接入控制技术和终端资产（软件资产和硬件资产）安全性检查相结合，实现了计算终端接入的安全控制。 .5.2. 产品实现的功能 1、 Rier 802.1x接入控制 “Rier NacSafety网络接入控制系统”是利用802.1x接入认证技术开发一套网路接入控制系统。该系统由三部分组成：（1）Rier Radius认证服务，这是中讯锐尔开发的基于802.1x的接入认证服务系统；（2）认证服务管理平台；（3）客户端。 该系统以信息系统的主体——人为核心，以信息系统客体：计算机、计算机IP地址、计算机MAC地址、交换设备、交换机端口、VLAN ID等为环境，为主体使用计算信息系统建立了一个比较安全的网络环境。 上图是用户管理界面，从上图可以看出，用户使用网络，可以通过平台配置多种认证方式，使用户接入网络，这些认证方式如：域用户、本机用户或采用802.1x 内置用户帐号登录等。用户所使用的主机可以和多个网络环境进行绑定，如：IP地址、MAC地址、VlanID、交换机、交换机端口等。 2、 Rier 客户端安全性检查实现的功能 Rier 客户端安全性检查实现的功能主要有： 通过服务端设置的策略，在客户端软件的配合下，实现对客户端软件的安全按性检查。 · 服务端设置的检查内容 （1） 操作系统的检查 （2） 应用软件的检查 （3） 应用软件补丁的检查 （4） 操作系统补丁的检查 （5） 杀毒软件及其版本的检查 （6） 插件的检查 （7） 多系统启动的检查等 · 检查的策略 （1） 白名单：即必须安装的系统的检查 （2） 黑名单：不允许安装的系统的检查 · 客户端软件检查不符合要求的处置策略（风险响应方式） （1） 警告/条件成熟（指在NAC系统的配合下）跳转到其他VLAN （2） 关机切断 （3） 断网（在NAC的配合下） 3、 Rier接入控制和软件性安全性检查相结合实现的功能 接入控制和软件的安全性检查结合，主要实现以下功能： （1） 没有安装客户端的网络终端只能访问指定的网络，例如网络终端在安装客户端前，只能访问受限的网络资源或者是断网状态，这种情况下，没有安装客户端的主机不能访问网络 （2） 客户端到Rier 802.1x认证服务进行认证 （3） 认证未通过，终端的网络端口继续处在“关”状态；认证通过，网络终端和软件安全性检查服务端联通； （4） 终端客户端安全性检查软件和安全性检查服务端的策略进行比较 （5） 客户端安全性检查软件，根据客户端所安装的各种软件情况，以及服务端要求的响应方式，调用Rier接入控制响应的接口，实现服务端要求的响应方式： · 继续保持终端网络处于“联通”状态 · 警告，将网络终端跳转到特定的VLAN，对系统进行升级或做其他处置。 注意：在边缘交换机上无需维护静态的vlan，主机认证过程中，服务端根据其认证信息，通过安全性检查的主机被跳转到正常办公的网络的vlan中，没有通过的主机则被跳转到受限网络的vlan中，并可以自动获得ip地址，只能访问特定的资源。客户端的所属的vlan可以在服务端维护。 · 关机 · 断网，是网络终端出路“断网”状态 .5.3. 产品证书 .6. Rier NasSafety中讯锐尔电子文档安全管理系统（安全NAS系统） .6.1. 系统的基本情况 网络存储（网络存储系统（Nas存储系统、文件共享服务器等文件服务器）系统在涉密信息系统被广泛使用，因NAS系统的技术重点是确保存储容及网络存储效率，系统缺乏更精细化的安全策略、安全管理及安全措施。在涉密系统中NAS的存储空间被共享给涉密终端使用，无安全保密措施共享其安全性达不到国家涉密信息系统分级保护标准的要求。“Rier NasSafety电子文档安全管理系统”就是在这样的一种背景下开发的网络安全存储系统，该系统部署在网络存储系统和网络终端之间，成为网络存储系统访问的安全网关设备。 6.2. 系统实现的功能 该系统具备以下功能： · 系统以“安全网关”的形式部署在存储网络主路环境中，用户通过Rier NasSafety电子文档安全管理系统访问NAS系统或文件服务器系统。 · Rier NasSafety电子文档安全管理系统具备满足保密规定的4A级安全功能：包括符合保密要求的强身份认证(Authority)；基于分级保护的访问控制（Access）；基于分权管理的安全管理（Administrate）；基于细粒度的日志审计(Audit). · 系统采用usb key等双因子身份认证，实现用户身份的鉴别 · 强化对NAS系统或文件服务数据文件目录的安全管理。 文件服务器目录除了常规的属性之外，NasSafety增加了“密级”属性，即实现对数据文件目录进行标密，按照国家保密局的要求，标密的密级为：“内部”、“秘密”和“机密”等。 · 具有用户组织机构管理功能，实现对组织机构用户标密管理。 除了常规的组织机构管理功能外，对于节点中的用户，设置“密级属性”。 按照国家保密局的要求，标密的密级为：“内部”、“秘密”和“机密”等。 用户能访问的文件目录的条件 · 授权管理员将目录授权给用户所在的部门 · 用户的密级属性不低于文件目录的密级属性 用户能访问的文件目录表现形式 · 共享的方式，被用户所使用 · 用户登录NasSafety系统，客户端将显示用户能访问的 所有目录 · 具有独体Rier NasSafety系统访问控制授权和密级管理机制。对目录进行授权，授权员只需选择能访问目录的部门，系统根据目录密级属性及部门用户密级属性，自动建立了用户访问目录的访问控制列表并按照该列表实现对文件目录的控制，有效地阻止低密级人员对高密级的文件目录的访问。 · 用户将文件存放到NAS系统，需要对文件进行标密，同时需确定文件的使用期限。高密级的文件不能存放到低密级的文件目录。此外，文件存放在某个文件目录前，需要对文件进行细粒度的访问控制授权。用户将文件存放到某个文件目录，在客户端系统将自动弹出对话框，并列出能访问该文件目录的所有人员，由用户确定能访问该文件人员，并确定访问文件的操作属性，如：无权限、只读、可读写等。 · Rier NasSafety电子文档安全管理系统提供基于Web管理模式，对管理员实行分权管理，实现基于智能卡的双因子身份认证，同时，对管理员的操作行为进行详细日志审计。 · Rier NasSafety电子文档安全管理系统可为实现数据的安全编码，使管理员看不到明文，只有经过身份验证的用户获得权限才能查看相应的明文。 6.3. 系统部署 6.4. 产品证书 .7. Rier BioSafety基于指纹识别的终端安全登录系统 .7.1. 产品介绍 Rier BioSafety基于指纹的安全登录系统采用业界最先进的指纹设备，实现操作系统和域用户的安全登录。根据用户的实际环境，本系统提供两种类型的指纹设备：指纹仪和指纹KEY。指纹仪设备本身不存用户指纹信息，用户的指纹信息保存在指纹库中，而指纹KEY设备用户的指纹信息被保存在KEY中，指纹相当于普通USB KEY的PIN码，由于指纹KEY有存储功能，用户的私钥和证书等可以保存在指纹KEY中。对于一些已经部署USB KEY登录系统的涉密信息系统，很容易将USB KEY升级到指纹KEY，并且不影响各种应用系统的使用。 .7.2. Rier BioSafety指纹安全登录系统功能 Rier BioSafety指纹安全登录系统是中讯锐尔公司基于指纹采集设备开发一套操作系统安全登录系统。该系统主要实现以下功能： （1） 操作系统帐号安全管理功能 （2） 利用指纹设备建立新的用户帐号 （3） 利用指纹设备将操作系统帐号绑定到指纹设备上 （4） 一个操作系统帐号可以对应对个指纹 （5） 用户登录操作系统不再需要用户提供帐号密码，通过指纹登录系统 （6） 系统可以将指纹和操作系统某帐号关联，用户登录操作系统不需用户输入用户名，指纹直接登录系统 （7） 系统锁屏，只有合法用户的指纹或administrator指纹才能解锁或注销 （8） 可以利用指纹设备建立域帐号，并能客户端登录域服务器。 .7.3. Rier BioSafety 系统的特点 Rier BioSafety系统的特点如下： （1） 和操作系统帐号无缝集成，将指纹认证和操作系统帐号“一次一密”技术相结合。 （2） 用户在使用过程中，不需要用户输入用户名等信息。 （3） 网络版本不管网络采用工作组模式或者是域模式，系统具有独立的指纹库。指纹的比对不受用户数的增加而影响认证的速度。（已经有1000个用户的中大型用户在使用本系统）。 （4） 灵活的指纹录入方式，即可采用集中的方式采集用户指纹，也可在终端采集用户指纹。 （5） 系统具有单机和网络版本 .7.4. 产品资质 .8. Rier NetGo-Safety实名上网行为管理系统 .8.1. 产品背景 .8.1.1. 军工保密认证要求 根据《军工保密资格审查认证工作指导手册》，需要军工企业上外网的行为进行管理，其中包括以下方面： （1） 实名上网，包括用户使用上网机的起始时间，离机时间； （2） 上网行为审计，主要是URL的审计 （3） 邮件审计，主要是外发邮件的审计，包括内容的审计 （4） 即时通信工具使用的审计 （5） 发帖的审计等。 .8.1.2. 普通上网行为管理系统和军工企业互联网上管理要求的区别 采用网络协议分析技术开发的上网行为管理系统，从技术上来说已经相当成熟。目前市面上大部分的上网行为系统都能够采用最先进的技术开发产品，从技术上来说，已经没什么本质的差别。目前市场上有两类产品，其一是：普通上网行为管理系统，如：电信级的上网行为管理系统、企业级上网行为管理系统、酒店上网行为管理系统等；第二类是：军工业需要上实名上网行为管理。这两类产品的主要差别如下表： 实现的功能 军工需要的实名上网行为管理系统实现的功能 普通电信、企业或酒店上网行为管理系统 备注 实名上网行为的管理与审计 （实名认证） 1、 用户使用机器的状态为未登录状态，用户不能进入计算机使用机器 2、 服务器有“用户的档案信息”的列表，该档案信息是和USB KEY关联或门禁IC卡关联 3、 用户唰卡或试用USB KEY登录系统 4、 用户使用完外网，拔掉USB KEY或从读卡器上拿走IC卡，系统自动锁屏或处注销状态，该计算机不能被任何人使用 5、 对用户上网行为进行审计 1、 用户使用机器的状态为登录状态，用户可以进入计算机，使用机器 2、 服务器有“用户名+口令”的列表 3、 用户使用外网，在用户使用浏览器中，弹出认证窗口，需要用户提供正确的“用户名+口令”，用户才能使用外网（采用DHCP控制模式） 4、 对用户上网行为进行审计 军工级的实名认证是从操作系统来对用户认证，而普通型的上网行为管理系统，采用DHCP方式来认证控制。对于某些协议，可能会绕过DHCP 用户使用计算的管理和审计 用户登录系统、注销系统都有审计 无 URL的审计 有 有 邮件的审计 1、 能审计邮件行为 2、 可根据策略，审计到邮件内容 3、 可以审计邮件的附件内容 1、 只能审计到邮件行为 2、 不能审计邮件内容 3、 不能审计邮件的附件内容 即时通信软件内容的审计 可根据策略能审计各种即时通信软件的内容 无 网络带宽的控制等 有 有 .8.2. 产品实现的功能 Rier NetGo-Safety实名上网行为管理系统就是在这样一个背景下开发出来的管理系统，旨在通过该系统的部署，加强人员上网行为的管理，为党、政、军、军工、中小企业通过网络泄密行为提供可追踪的痕迹，为各种主动泄密行为提供威胁的力量。系统主要有以下几个软件功能体系： （1）实名制上网管理 （2）上网行为监控与审计 1. 实名制上网 对于党、政、军及军工集中上网的模式，提供实名上网管理机制。系统提供以下实名的方式： · 采用单位门禁系统卡（这种卡不需要集中管理，只要有单位发的门禁卡即可上网） · 采用单位内部网络身份认证的USB KEY（这种方式也不需要集中管理，只要有单位内部USB KEY即可） 2. 用户管理 （1） 提供平台，手工录入IC卡/USB KEY及用户信息 （2） 提供平台，将门禁系统IC卡用户资料库导入系统中 （3） 提供平台，设置策略，系统中无IC卡/USB KEY登记资料，可以让用户录入资料后，登录系统。如下图： （4） 提供平台，设置系统无IC卡/USB KEY，不允许用户登录系统。如下图： （5） 可以通过平台指定用户所登录的机器 （6） 可以通过平台指定用户采用的权限登录系统，这些权限为计算机用户的权限，如：普通users、power users或administrors权限等。 3. 上网行为管理与审计 · 上网行为分析 对每个使用的电脑使用情况进行统计分析，每天的上网时间、网址、所用到的软件，做系统的分析，有利于管理者对上网人员工作进行考核。 · 流量控制与监控 针对不同上网人员的电脑分配不同的流量，控制其带宽，有利于公司网络带宽按需分配。随时监控每台电脑的网络流量，让管理者能及时发现问题。 · 规范上网人员上网，浏览指定网站 对不同的上网人员采用不同的上网管理，让他们访问被指定的网站，有利于公司网络资源合理利用。 · Web网站的浏览监控 详细上网人员记录上网的URL，便于上网行为的追踪。 · 记录聊天内容 能对QQ/MSN/SKYPE/YAHOO/贸易通/阿里旺旺/飞信等即时通信工具的聊天日志进行详细记录。 · E-mail监控 能对每个上网人员所发邮件内容和附件进行记录，一旦出现资料泄密等问题，做到有据可查。 邮件的监控包括：主流的Web Mail以及outlook及foxmail采用的POP3邮件。不管用户利用WEB MAIL或POP3发送邮件，都可以审计邮件及邮件的附件内容。 · 发帖监控 关键字过滤 发帖内容审计 · 禁用电脑外设 能对USB、光驱、红外接口、串口、并口、1394接口等外设实行禁用或授权使用，有效防止公司资料外泄。 · 电脑硬件管理 能对每台电脑所配置的硬件进行管理，一但有人擅自拆出某台电脑上的硬件，设备会自动报警。 · 上网认证方式灵活 支持客户端认证、IP认证、MAC地址认证和WEB认证四种模式,满足不同的用户群体。(只有通过以上任何一种模式的认证，局域网内的电脑才能上网) · 日志备份功能强大 · 升级维护方便 支持远程维护和升级，对企业没有地域限制,使用过程中可以减少企业维护设备的成本，为公司信息化建设节约了成本。 · 禁用游戏软件 能对各种网络游戏、单机游戏实行禁用，防止个别上网人员利用公司网络进行玩乐。 · 禁止炒股 能对所有炒股软件和网站实行禁用。 · 对上传/下载文件的监控 能对上传和下载文件的类型以及大小进行控制，防止上网人员下载木马、病毒程序、剽窃软件等一些违规事件,造成公司网络被破坏，资料被窃取，以及通过E-mail或其它传输方式，把公司机密资料传送出去。 · 流言蜚语监控 对一些反动言语、色情笑话、商业机密等关健词汇进行监控。 · 防止ARP攻击 如今ARP攻击给很多企业网络带来不少的麻烦，它能让企业网路堵死，整个网络处于瘫痪状态，类似病毒软件层出不穷，让人防不胜防，我公司通过通信底层控制，将这一行为彻底进行了控制。 .8.3. 产品资质 文件存储 （安全NAS等） 文件密级标识 （该操作也可以由申请者执行） 文件集中打印 文件集中拷贝输出 注意：审批分实质审批和流程审批 管理、审计平台 流程管理服务器 数据文件集中刻录 申请审批 申请提交 PAGE 1 _1399207115.vsd � � 协议解析 细粒度 权限管理 增强认证 ( 证书/ 智能卡 ) CIFS / NFS /iSCSI 访问控制 细粒度 日志审计 NTLM v2 Web服务 客户端 远程存储设备 存储 _1399208605.vsd � � � � � � � � � � � � � � � � � � � � � � � � _1320644452.vsd � 允许使用CD/DVD设备 除锐尔刻录工具外，禁用其他刻录工具 普通格式刻录 无权使用锐尔刻录工具 有权使用锐尔刻录工具 安全格式刻录 安全审计