神州数码DCSM内网安全管理系统介绍080611.doc

神州数码内网安全管理系统介绍（DigitalChina Security Management）  神州数码作为有着雄厚研发实力的资深网络产品提供商，从2000年开始便组建专门的团队进行着终端安全管理技术的探索与研究，并于2006年就已向用户提供专业的终端安全管理产品——神州数码网络内网安全管理系统（DigitalChina Security Management），简称DCSM。 综合多年来在终端安全管理技术研究领域的成果和在终端安全管理产品实施方面的经验，终端安全管理系统DCSM的产品理念体现在如下三个方面：通过统一的终端安全平台降低安全管理成本提高安全管理效率通过多安全功能模块联动来实现企业安全策略的强制执行通过加密技术与细粒度的操作行为审计加强企业的防信息泄露管理 通过统一的终端安全平台降低安全管理成本提高安全管理效率 终端面临的安全威胁是复杂的，如：病毒、木马、蠕虫、未授权访问、信息泄露、间谍软件、操作系统漏洞、系统资源误用、系统资源滥用等。我们使用的终端安全防护软件也是多样的，如：主机防毒软件、主机防火墙、主机入侵检测系统、间谍软件清除工具、操作系统补丁升级工具、文件加密系统等。而每一种终端安全产品都需要配置相应的策略才可以保证其作用得到有效发挥，这些情况导致产生了两方面的主要问题：高昂的终端安全产品拥有成本让企业望而却步，从而难以拥有完整的全系列终端信息安全防护产品。分散烦琐的终端安全产品配置，在增加企业管理维护成本的同时，也另企业丧失了应对终端安全威胁的最佳时机。 改变这种现状的解决办法是：统一终端安全产品平台，将主要的终端安全管理产品整合为一个系统提供给用户。其中 产品模块应是可选的，以利于保护用户的前期终端安全产品投资，如防毒软件。统一终端安全管理平台，在同一策略服务器制定所有终端安全产品的安全策略，并将策略下发到终端进行执行。 通过多安全功能模块联动来实现企业安全策略的强制执行 目前的终端安全产品功能相对单一，且各自为政，无法智能有效地解决复杂安全问题，导致终端层面安全孤岛的形成。面对这种挑战我们需要的是多安全功能模块依照安全策略进行联动，从而使企业的安全策略得到真正的强制执行。例如，未安装关键更新的终端将被与其他终端隔离，只能访问操作系统补丁升级服务器，并在完成关键更新安装后，必须通过企业安全策略的符合性检测，才能恢复其内网资源访问权限。 通过外设控制技术与细粒度的操作行为审计加强企业的防信息泄露管理 在边界安全为主的安全模型中，内部终端长久以来被当作潜在受害者进行保护，随着硬件介质遗失和被窃事件的频繁发生，我们啊需要为受保护的内部终端提供独立于操作系统的加密工具，从而有效控制硬件介质遗失和被窃所造成的企业损失。同时我们也应该看到随着各种内网安全事件带来的损失越来越大，以及对内部终端防信息泄露的要求越来越高，内部终端作为潜在攻击者的角色也必须受到我们的重视，于是针对内部终端的细粒度应用控制与操作行为审计势在必行。例如终端应用进程的黑白名单控制；终端网络行为审计；终端外设使用控制与审计等。 DCSM作为神州数码的终端安全管理系统，在终端安全策略管理、终端资产管理等方面的功能模块设计上，充分地实践了产品理念。 通过统一的终端安全平台降低安全管理成本提高安全管理效率通过多安全功能模块联动来实现企业安全策略的强制执行通过加密技术与细粒度的操作行为审计加强企业的防信息泄露管理 产品功能优势 接入控制管理 网关强制认证 强制认证模块是运行在强制认证网关中的一个访问控制模块。它作为外部的安全强制手段，保证被保护信息资产的安全。该模块根据安全代理提供的安全状态，被访问的地址及服务，及中心策略管理服务器提供的验证信息决定采取通过或阻止网络连接的动作。 内网准入控制 探测代理可以根据策略对企业网络中未安装安全代理的非法终端进行探测，并对非法终端试图在企业网络内建立网络连接的行为进行阻止，从而避免非法终端的未授权接入给企业网络带来的安全威胁和隐患。 802.1X身份认证 802.1X标准协议身份认证的访问接入控制功能，在安全代理终端上已经部署802.1X标准协议身份认证模块，通过启用802.1X标准协议身份认证，网络终端必须有合法的用户身份才能通过802.1X认证交互机设备进行网络访问。 主机桌面安全 主机防火墙 适用于多适配器环境，包括多条复杂的规则匹配条件。能够保存应用程序网络连接状态表，提供双向的状态检测功能。 主机入侵检测 安全代理中集成的入侵检测引擎可捕获进、出主机的网络数据包，进行基于签名的检测，并根据检测结果做出响应。 网络区域自适应 安全代理可按照管理员预先设定的区域探测规则，实时检测终端所处的网络环境，并切换到相应的防火墙策