价格:面议
品牌:Rier-中讯锐尔
型号:终端安全登录与监控审计系统
规格:自主研发,资质齐全
发送询价
1.1.产品的基本情况介绍
Rier KeySafety是一款计算机综合防护产品,它将身份认证、权限管理和安全审计三者紧密融合,完全符合我国保密标准。KeySafety系统通过实施身份认证、强化终端账户的动态防护措施、对计算机外部设备进行管控与审查、网络通信的管控、对涉密移动存储设备进行管理和监督、运用专利技术保护涉密存储介质中的数据、进行网络探测和网络安全管理、阻止未经授权的电脑接入保密网络、以及实施安全审计等措施,旨在确保保密网络及保密终端的安全防护与有效管理。
KeySafety系统针对用户的不同需求,能够提供网络版以及独立审计版服务,并设有搭载USB KEY、指纹识别或射频卡等强化认证介质的高安全版本,以及无需此类介质的普通版本。
KeySafety系统顺利通过了国家保密局测评中心的产品认证,同时,它还获得了公安部门相关机构的认证,并取得了“集散及信息系统安全专用产品销售许可证”。此外,该系统还通过了中国人民解放军安全产品测评中心的严格审查,获得了B级安全认证证书,这一等级是同类产品中的最高级别。国家信息中心软件测评中心对其进行了全方位的测试,所有测试结果均为优秀。值得一提的是,KeySafety系统还被国家四部委认定为2006年的国家重点新产品。
KeySafety在帮助涉密网单位顺利获得国家相关部门认证的过程中扮演了至关重要的角色。该系统在党的机关、政府部门、军队以及军工领域得到了广泛的应用,众多典型用户包括:国防科学技术工业委员会、新华社、人民日报社、中央统战部、中央组织部,空军部队、中国航天科工集团公司、航天二院、航天三院、中国工程物理研究院、中核三院、中核七院、中船七院、中船重工第七二五研究所、大连理工大学、西安交通大学、贵阳铝镁设计研究院、中讯软件集团有限公司等。
终端部署数量已突破十五万大关,系统运行状况良好,且与其他系统兼容性优异。
1.2.功能介绍
1.2.1.安全身份鉴别
1、安全身份认证和身份鉴别功能
确保客户端通过USB KEY(或指纹识别、射频卡等)设备对操作系统身份进行识别验证。
利用16字节的复杂动态口令技术进行用户身份验证,符合国家保密局关于“定期更换口令、口令长度不得少于11位”的规定。此技术适用于本机登录及域登录。
可以使用“证书与动态口令相结合”的验证方法来确认用户的身份,此方法适用于登录本地计算机和登录域操作,所使用的证书需遵循X.509标准,而签名认证则需满足PKCS#7规范的要求。
用户身份鉴别令牌的PIN码长度有所限制,这一限制旨在符合“BMB17-2006”标准中对PIN码长度规定的需求。
具有定期强制修改用户身份鉴别令牌 PIN码功能
支持多家用户身份鉴别令牌
本产品兼容SSO技术,能够与身份认证系统以及exchange server、IIS、Domino/Lotus、Project2003、Smarteam、RTX等多种系统实现无缝对接,从而支持用户进行单点登录操作。
2、用户身份认证或身份鉴别支持多种客户端的认证令牌
支持USB KEY智能卡令牌这一功能,目前已有超过十五万终端用户在使用。
支持射频卡令牌(中国工程物理研究院成功使用)
支持各种类型的指纹设备(航天二院成功使用)
3、终端用户帐号动态防护加固
动态屏蔽非USB KEY帐号
对动态加固的Administrator密码进行管理,该密码在网络中各台机器上通过复杂的编码技术生成,并每日更新,以此手段来抵御针对Administrator密码的攻击行为。
系统帐号加固功能能够有效抵御对Administrator账户及其他账户的网络攻击。
1.2.2.移动介质管理
普通移动存储介质控制,方式外来介质接入内部网络;
RierSecDisk磁盘,需借助Rier客户端进行加载,支持内部网络内的数据交换;仅限于Rier终端使用,确保内部信息仅限内部流通,有效遏制信息外流风险。
对移动存储设备的注册和授权进行管理,确保其在规定的范围内得以使用。
存储介质的读写控制,有效控制信息的流向;
存储介质的保密等级划分和权限赋予,允许根据不同保密等级的账户,分别配置相应保密等级的存储设备。
提供Rier安全U盘,确保数据安全
1.2.3.对计算机网络资源授权和访问控制
该产品所依赖的计算机资源相当丰富,其中涉及的主要是计算设备的周边资源。本系统在资源管理上,以网络用户或计算机作为授权与控制的主体。
1、计算机外设、外设端口和通信口等控制和监控
2、实现对移动存储设备的控制和管理
移动存储设备和相应的接口涵盖了以下类型:软盘、软盘驱动器、光盘(包括CD和DVD)、可移动U盘、可移动硬盘以及各类其他接口的存储介质。
确保对打印设备实施有效管理及监控,能够对个人电脑上的打印机、网络连接的打印机以及虚拟打印机实施独立的管理与审查。
4、对用户新增硬件设备进行控制
1.2.4.对网络通信的控制功能
依据用户设定的策略,对用户指定的网络通信端口及协议进行限制(例如,对138、135、445等端口实施网络端口控制)。
依据网络用户的操作策略,系统将自动移除那些包含隐含共享的目录,如C$、D$、IPC$、Admin$等。
严禁主机非法连接至国际互联网,一旦客户端成功接入互联网,系统将自动执行关机操作。
杜绝未经许可的计算机设备接入保密的计算机网络(即,避免非法启用内联功能)。
对可拨打的白名单进行设定,以此有针对性地限制用户使用拨号设备接入互联网。
禁止用户采用无线上网设备访问外网
1.2.5. 计算机安全管理功能
关闭系统内置的用户管理功能,以阻止用户利用系统管理工具或其它手段创建不安全的用户账户(亦即非KEY用户账户)。
屏蔽操作系统默认共享目录
对IP地址及MAC地址进行锁定,用户不得擅自更改其IP地址与MAC地址。
控制主机安全模式的启动
防止用户私自设置共享目录
防止用户恶意修改和本系统有关的注册表的键值
防止用户恶意删除和本系统有关的文件
屏幕保护监控机制旨在预防用户离场时未拔出钥匙,从而避免屏幕信息可能发生的泄露。
另外针对网络版本,系统具有网络探测和网络安全管理功能
运用Rier公司的网络探测技术(NetExplore)kaiyun.ccm,我们得以实现通用网管软件所不具备的若干安全网管功能,诸如:
网络终端在线探测
网络终端安装本系统情况探测
网络终端硬件信息的探测
网络终端系统所安装的软件信息探测
网络终端系统所安装的服务信息探测
网络终端已启动服务的探测
网络终端正在运行的一些程序的探测
网络终端共享目录及目录中文件的探测
文件的上传和应用软件强制安装
对关键文件的修订,若系统选用PKI进行身份验证,则必须对根证书及撤销清单进行更新;此类更新可通过网络探测工具进行分发。另外,部分应用软件的部署同样可通过网络探测工具完成。
1.2.6. 安全审计中心
1、审计的类别
用户登录本机和登录域行为的审计
管理员使用KEY管理中心各种操作的审计
管理员授权用户行为的各种审计
管理员使用审计中心各种行为的审计
对文件从硬盘复制至便携式存储媒介的过程进行审查,能够追踪并记录源文件的完整路径信息,以及目标磁盘上文件的具体路径。
对移动存储设备的监控审计涵盖:对各类文件在移动存储设备上的变动情形进行审查开yun体育app官网网页登录入口kaiyun全站网页版登录,例如:对文件进行重命名、移除或新建等操作。
拨号行为的审计
对打印操作的审查涉及检查打印文件的名称、打印的副本数量、打印的页码总数以及使用的打印机等相关信息。
文件操作的审计
提供综合审计接口,可以实现网络中各种行为的审计
具有目录监控和共享目录监控和审计功能
2、网络审计
达成协议解析之效,同时开展用户网络活动审查,审查重点涵盖以下主要协议类型:
HTTP URL审计
FTP 审计
TELNET 审计
SMTP审计
共享目录的审计(访问、上传、下载等)
3、安全审计系统数据本身的安全保护功能
依据审计服务器的硬件配置,应配置足够的空间以存储审计记录。
具有存储空间阈值设置功能,当存储空间将满时及时报警
具有自动备份的功能
审计系统具有数据恢复的功能
审计记录至少保存6个月以上
4、报警管理功能
安全管理员可以确定报警日志的类型
系统支持配置若干报警终端,而这些终端的配置工作则由负责安全管理的员工负责完成。
1.2.7.完备的资产管理
可以根据网络终端接入网络情况,自动检测到系统的配置情况
该系统具备阻止用户擅自修改设置的能力,一旦用户试图强行擅自调整系统配置,系统将自动生成审计记录。
系统具有维修记录管理功能
系统具有设备折旧和报废管理功能
1.3.产品部署
系统部署可以分为网络部署和单机部署:
1.3.1. 网络部署支持域工作方式和工作组方式
域部署能够支持多台域控制器,并在确保域控制器之间同步的前提下,对域用户的登录过程进行安全性的身份验证。
1.3.2. 分级管理
支持多级中心的部署
