V8+终端安全系统.技术白皮书 V1.0
技术白皮书
版权声明
本文件所有内容受版权受中国著作权法等有关知识产权法保护,为北京金山安全软件有限公司(以下简称“金山安全软件”)所有。
、是金山安全软件享有权利的注册商标,本文中涉及到的其它产品名称和品牌为其相关公司或组织的商标或注册商标,特此鸣谢。
金山安全软件不对本文件的内容、使用,或本文件中说明的产品负担任何责任或保证,特别对有关商业机能和适用任何特殊目的的隐含性保证不负担任何责任。
另外,金山安全软件保留修改本文件和本文件中所描述产品的权力。如有修改,恕不另行通知。
北京金山安全管理系统技术有限公司400-033-9009
地址:北京市海淀区中关村大街1号海龙大厦14层
网址:https://www.360docs.net/doc/80771787.html,
技术支持:kss_fankui@https://www.360docs.net/doc/80771787.html,
目录
版权声明 (1)
目录 (3)
第一章主要功能特点 (4)
第二章体系结构 (7)
2.1系统中心 (7)
2.2 升级服务器 (8)
2.3 云引擎服务器 (8)
2.4 动态行为分析器 (8)
2.5 终端 (9)
第三章工作方式 (10)
3.1管理控制通信方式 (10)
3.2边界防护工作方式 (10)
3.3动态行为分析工作方式 (10)
3.4升级工作方式 (11)
3.5漏洞扫描工作方式 (11)
3.6虚拟化工作方式 (11)
第四章安全管理 (14)
4.1登录管理限制 (14)
4.2下级系统中心集中管理 (14)
4.3终端集中管理 (15)
4.4管理针对性细化(组策略) (16)
4.5安全日志集中获取、统计及管理 (16)
第五章终端安全 (17)
附录 (20)
第一章主要功能特点
领先的云引擎
金山V8+终端安全系统将金山安全多年运营与积累的核心云安全技术
全面整合到产品当中,依托金山公有云的业内领先优势,为企业提供
数倍于传统企业杀毒软件的能力的同时,终端资源占用相对于传统本
地库的杀毒软件大为降低。
边界联动防御
通过对外界程序进入电脑的监控,与云端及动态行为分析系统联动,
阻止威胁于入口之外,拦截私有敏感行为,迅速发现未知新威胁,使其
在尚未被运行时即可被判定为安全或不安全,上报至信息管理中心,
便于追溯恶意程序的来源、感染路径。这样管理员清晰找出企业内部
边防的薄弱地带,最大限度地保障对企业内部计算机的安全防护。
动态行为分析
对通过边界联动防御上报来的未知文件,进行全生命周期内的行为分
析。在规模化的虚拟机中分析文件的进程操作行为、文件操作行为、
系统配置操作行为、网络通信行为等关键行为,提供系统运行过程中
的截图;通过这些行为组合综合判断是否为安全的文件。
铠甲防御系统
铠甲防御技术是一款完美的结合金山云引擎的终端云主动防御技术,
铠甲防御技术中的行为拦截模式,是基于多步行为的综合判定,是拥
有广谱特征匹配的启发式行为判定。拥有广谱特征匹配的启发式行为
判定就是指一个规则可以对应很多种的行为和一些行为的变种。集合
的“蓝芯III”引擎金山智能数学算法(Kingsoft antiVirus
Mathematical algorithm Engine)包括熵,SVM,人脸识别算法等铠
甲防御是全新架构的防御体系,拥有超强抽象能力的本地行为启发引
擎,拥有很强的自我学习能力,无需频繁升级病毒特征库,就能直接
查杀未知新病毒,尤其是在流行病毒的变种分析上,结合火眼行为分
析,大幅度提升防御与病毒检出能力。
虚拟化支持
金山V8+虚拟化解决方案采用的是“虚拟环境轻客户端模式”,结合
了无代理模式的性能优势和基于代理的多重安全保护手段。同无代理
保护一样,轻客户端模式在系统中心也集成一个任务调度系统,负责
所有高性能消耗的工作调度。安装在虚拟机上的“轻终端”将快速响
应调度器的统一指令,使得服务器整体时时刻刻保持很低的负载,从
而将其对机器性能的影响降到最低。
智能漏洞修复
针对病毒利用系统漏洞传播的新趋势,金山V8+终端安全系统率先采
用了分布式的漏洞扫描及修复技术。管理员通过管理节点获取终端主
动智能上报的漏洞信息,再精确部署漏洞修复程序;其通过代理下载
修复程序的方式,极大地降低了网络对外带宽的占用。全网漏洞扫描
及修复过程无需人工参与,且能够在终端用户未登录或以受限用户登
录情况下进行。并且提供了对终端系统漏洞管理功能,可以精确的了
解全网终端的系统漏洞情况。
软件管理
为便于管理员集中管理全网软件资产,V8+终端安全系统提供软件统
计、软件禁用管理、软件卸载管理、软件分发管理功能,构建由软资
产采集到软件行为监控再到软件行为管理的立体式软资产管理模型。
大幅度提高工作效率降低管理成本。
系统优化
金山V8+终端安全系统提供了系统优化功能,有效的帮助用户对开机
启动项目进行管理,找到影响开机速度、影响电脑运行效率的软件,
通过系统优化功能提升系统的运行效率,降低不必要的资源消耗。垃圾清理
金山V8+终端安全系统系统的垃圾清理新增52项清理垃圾规则和21
项痕迹清理规则,提供的垃圾清理功能,能够协助终端用户对上网产
生的垃圾文件、看视频和听音乐产生的缓存以及Windows系统产生的
垃圾文件进行有效的清除;清除使用计算机时留下的各种痕迹,有效
保护个人隐私;清理注册表可以加快系统速度。保证电脑快速健康的
运转。
灵活的部署及管理
?可移动的Web管理控制台
控制台基于WEB结构开发,管理员无需安装额外的控制软件,就可以
在任意一台计算机上轻松管理整个防毒体系,真正实现了“管理无处
不在”。
?可扩展的无限分级管理架构
金山V8+终端安全系统使用主系统中心来集中管理数据,以实现以单
个系统中心对多个系统中心、升级服务器及其他特殊防毒节点的集中
管理。这个架构借鉴了业内比较优秀的网络管理的设计案例,具有良
好的可扩展性和可伸缩性,对于网络规模扩大或新增节点都可以很容
易地实现集中管理。这种架构使得金山V8+终端安全系统可以稳定地
工作在跨地域的大型网络上。
?高效的安装部署方式
管理员可以根据企业网络环境采用WEB安装、远程安装、域脚本安装
等方式,在较短的时间内完成网络内大量终端的安装,简单快速地实
现整个网络反病毒体系的部署,最大限度贴合网络实际环境。
?灵活定制企业级安全策略
通过金山V8+终端安全系统的管理节点,既可以配置全网统一的安全
策略,又可以将具有不同需求的终端分配到特定的组,配置具有针对
性的组策略。通过这种灵活的配置方式,管理员可以轻松地定制企业
级安全策略。
?多样式的帐户管理设置
默认可分配三种管理员权限,普通管理员、配置管理员、审计管理员,
并可以按实际需求,支持手动修改具体权限,可适应企业不同人员权
限的划分设置,以保证灵活与安全。
?自主授权分割功能
管理员可以从主系统中心分割授权数量给下级系统中心,限制下级系
统中心对终端的管理数量,阻止非法终端注册。
?高效分组管理功能
支持多种分组规则,如IP分组以及支持与AD和LDAP同步功能,
可将用户组织架构同步到终端安全管理系统中,依照用户现有架构进
行管理。分组支持多层分组,支持分组与账号绑定,有效减少服务器
资源投入,并降低维护成本。
?白名单功能
启动白名单功能之后,只允许白名单列表范围内的IP连接到本系统中
心,在白名单列表范围之外的IP地址都视其为黑名单,拒绝其连接。
?图形化统计病毒信息
图形化的统计页面可以将网络内的病毒分布状况直观地呈现出来,以
便于管理员分析网内病毒发展趋势,并采取针对性的措施。金山V8+
终端安全系统强化了首页整体概况以及多级中心的图示显示。
跨平台
支持Windows、Linux等多种平台操作系统,彻底扫除网络反病毒盲点。
第二章体系结构
金山V8+终端安全系统是一套专为企业级网络环境设计的反病毒安全解决
方案,它能够为企事业单位网络范围内的工作站和网络服务器提供可伸缩
的跨平台病毒防护。金山V8+终端安全系统实现了集中式配置、部署、策
略管理和报告,并支持管理员对网络安全进行实时审核,以确定哪些节点
易于受到病毒的攻击,以及在出现紧急病毒情况时采取何种应急处理措施。
网络管理员可以通过逻辑分组的方式管理终端和服务器的反病毒相关工
作,并可以创建、部署和锁定安全策略和设置,从而使得网络系统保持最
新状态和良好的配置。
金山V8+终端安全系统采用了业界主流的B/S开发模式,由系统中心(拥
有基于WEB的系统中心控制台)、升级服务器、终端、服务器端组成了反
病毒安全保障体系。系统中心可通过简单的设置为主系统中心或下级系统
中心,并可以同时扮演主系统中心与下级系统中心角色,实现了针对复杂
网络环境的无限扩展性安全体系。
图 2-1 金山V8+终端安全系统系统结构图
2.1系统中心
系统中心是金山V8+终端安全系统进行信息管理和病毒防护的控制核心。
系统中心基于Corba与其它子系统(服务器端和终端)连接,其它子系统
在系统中心控制下完成协同工作。通过数据库技术,系统中心可以实时记
录网络防护体系内每台计算机上的病毒防护信息、防毒设置信息和终端资
源信息。系统中心分为主系统中心和下级系统中心,主系统中心具有管理
配制所有下级系统中心,升级服务器,云引擎服务器、终端和服务器端的
权限,下级系统中心具有管理和配制注册到本系统中心的下下级系统中心、
升级服务器,终端和服务器端的权限,并向主系统中心汇报数据。同时,
系统中心集成了基于WEB方式的控制台,能够集中管理网络上所有已安装
过金山V8+终端安全系统终端的计算机,保障每个纳入金山毒霸反病毒体
系的计算机时刻处于最佳的防病毒状态。
系统中心控制台
系统中心控制台是整个金山V8+终端安全系统系统设置、使用和控制的操
作平台。它的界面结构友好、直观,符合用户的使用与操作习惯。系统中
心控制台基于WEB结构开发,管理员无需安装额外的控制软件,网络内任
何一台装有IE6.0及其以上浏览器的终端都能用来实现对整个网络的管
理,真正实现了“管理无处不在”。
2.2 升级服务器
升级服务器负责升级文件的更新与传递,还提供MS漏洞修补程序(Hotfix)
下载代理。升级服务器分两种类型:主升级服务器直接从外网更新升级文
件,并负责向二级升级服务器分发(也可以向终端及服务器端分发),一
般主升级服务器与主系统中心绑定。二级升级服务器从主升级服务器(也
可以是其它二级升级服务器)更新升级文件,并负责向终端及服务器端分
发,二级升级服务器一般与下级系统中心绑定。
2.3 云引擎服务器
金山V8+终端安全系统所使用的云引擎服务器主要将传统杀毒软件所使用
的病毒库特征集中在企业云端服务器上来统一处理,通过云引擎服务器快
速响应终端的文件特征查询请求,实现终端对文件安全性的鉴定,在降低
传统终端对系统资源占用比较高的同时,系统防护能力因为云引擎服务器
的存在得到更快的响应,从云引擎服务器到金山云的实时同步响应,也让
新威胁特征的鉴定达到一个非常快的速度。
2.4 动态行为分析器
动态行为分析系统是以未知文件动态行为分析为核心,以特征匹配为辅助,
依托海量的金山特征库以及用户自定义的专属特征库,可帮助用户识别内
部网络中的高级威胁,并能有效抵御已知/未知病毒木马、0day漏洞及未
知恶意代码,可协助用户达成终端的全方位安全防护与威胁处理。基于金
山安全成熟的“可信云查杀”、国内领先的多核引擎技术、KVM云启发引
擎技术,V8+拥有超强自我学习及不断进化的能力,它无需频繁升级,可直
接查杀未知新病毒。V8+让杀毒从非黑即白迈入黑白双控的全新阶段,实现
了从多层防御到有防御纵深的持续对抗的安全模型跨越。
2.5 终端
终端面向网络中的终端群提供反病毒安全防护,是金山V8+终端安全系统
反病毒体系的执行终端。它能够实时监控系统的运行与操作,先进的多引
擎“云引擎3”、“蓝芯III”、“KSC云启发引擎”、“小U本地引擎”
集合云引擎的快速的极速鉴定,蓝芯III引擎采用金山智能数学算法基于
病毒行为检测的启发式查杀技术确保您能及时发现出潜在的未知威胁并采
取相应安全措施,基于传统的静态磁盘文件和狭义匹配技术,更进一步从
网络和数据流入手,极大地提高了查杀木马及其变种的能力。新增的U盘
监控功能,更有效地防止病毒通过U盘入侵系统。更有效的病毒隔离系统
可以将所有不可修复的受病毒感染文件置于受金山毒霸控制的安全区域
内,以便您采取数据过滤等进一步处理措施。邮件防护能够自动监测收发
邮件过程,及时发现隐藏其中的病毒。漏洞扫描技术能够使您的系统彻底
杜绝利用漏洞传播攻击的病毒危害,这其中就包括冲击波、振荡波、红色
代码等极其严重的威胁。隐蔽软件扫描技术能够全面侦测计算机中未经用
户许可隐蔽安装的软件,包括恶意程序、间谍软件、木马、广告软件等。
侦测结果第一时间向用户反馈报告,提供快捷清除修复操作。
金山V8+终端安全系统终端,在功能上,把清理专家,替换为功能更加强
大的金山卫士;在性能上提升了终端的负载能力,以及注册速度;新版的
漏洞扫描机制,来实现全方位的防护。
结合金山毒霸多项屡获殊荣的反病毒技术,金山V8+终端安全系统终端能
有效防范来自软盘、光盘、网络共享及邮件、网络下载等各种途径的病毒
入侵,实现全方位的病毒防护。并且,终端的相关安全信息会及时反馈给
系统中心,管理员能在最短时间内了解网络内安全状况,并通过系统中心
向终端发出指令,远程控制其操作及安全策略设置。终端的升级过程无需
人工参与,系统中心在获得最新更新后将向终端自动分发。
第三章工作方式
3.1管理控制通信方式
金山V8+终端安全系统的整体控制通信方式是采用以系统中心为消息处
理、转发中心及具体功能节点,终端和服务器端为具体防毒节点的整体反
病毒解决方案。
管理员通过控制台向系统中心发出具体的操作命令,查看和管理下级系统
中心及其下面的终端,系统中心解析具体的命令目的地,按需转发或者处
理。
终端或者服务器端每次启动都会登录到指定的系统中心及定时汇报自己的
状态,并且将发现的病毒信息反馈到系统中心。
3.2边界防护工作方式
金山V8+终端安全系统的客户端会自动捕获通过边界进入到系统中的文
件,并通过云引擎对这些文件进行检测。
对于云引擎能够识别的文件,则按照预设好的处理方法进行处理“抓黑放
白”;对于云引擎不能识别的文件,则按照“分析灰”进行处理,将该文
件上报给动态行为分析系统。
3.3动态行为分析工作方式
对包括PDF、MS word、xls、ppt、rtf、wps等常见格式进行监控,无论是
未知漏洞还是已知漏洞都会使用一段代码,跳转到攻击者精心构造的可执
行代码中;动态行为分析不仅能够监视文档的加载进程,并且能够全面的
监视系统中的所有进程的活动,敏锐的捕获溢出行为,检测出已知和未知
的漏洞利用代码,对于特定漏洞可以给出相关的漏洞编号(例如CVE编号)。
通过精细化的感知能力在虚拟机环境中检测的程序动态行为包括远程程序
连接、自删除(主体进程镜像被删除)、自复制、自启动、注册表敏感位
置(劫持)、恶意URL访问(恶意的域名,放马地址等)、恶意IP访问、映
像劫持、终止杀软进程、释放驱动、反主动防御。分析的结果可以判断一
个文件程序是否是恶意的,并对该文件程序相关联的网址包括、来源和试
图连接的一些恶意网址反馈给管理员。
强大的自我学习能力依据企业网络以往的检测分析历史记录,结合历史统
计的威胁类别、威胁来源、威胁操作行为等能够在不更新特征库的情况下
获得不断增强的检测能力。
3.4升级工作方式
在金山V8+终端安全系统中,升级服务器负责升级文件的获取、更新及分
发。同时,将更新信息反溃给系统中心,让其发布升级消息,终端及服务
器端将在接到升级通知后连接系统中心执行升级。其具体升级流程如下:
?系统中心按管理员的预定义设置或手动升级命令升级服务器连接到
Internet更新升级文件;
?升级服务器下载升级程序完成后通知终端及服务器端升级;
?终端及服务器端收到消息后连接到升级服务器执行升级。
3.5漏洞扫描工作方式
金山V8+终端安全系统漏洞扫描分为主动智能上报和终端独立扫描两种方
式。普通用户可以通过本机的终端手动进行漏洞扫描和安装修补程序。管
理员可以通过系统中心控制台来查看局域网内所有的终端主动智能上报的
漏洞信息,再根据漏洞补丁信息选择需要安装的终端,并通知其下载和安
装修补程序。
终端下载和安装修补程序是通过系统中心的下载代理功能来实现的,对于
同一个修补程序,当第一个终端请求之后,系统中心连接到微软升级网站
下载相应的修补程序,完成之后,所有的终端都可以直接在系统中心漏洞
修复下载代理的缓存(Cache)中直接下载安装此修补程序,这种方式不但
使得不能上网的终端可以下载修补程序,而且还大幅加快了下载的进程,
减少了对网络资源的占用。
经过改进的漏洞扫描程序,使得管理员可以集中扫描所有已启动的终端,
既使终端无用户登录或以受限用户登录,均可以实现无人参与的智能漏洞
修复。
3.6虚拟化工作方式
金山V8+虚拟化解决方案创新性的提出了“虚拟环境轻客户端模式”,结
合了无代理模式的性能优势和基于代理的多重安全保护手段。同无代理保
护一样,轻客户端模式在系统中心也集成一个任务调度系统,负责所有高
性能消耗的工作调度。安装在虚拟机上的“轻终端”将快速响应调度器的
统一指令,使得服务器整体时时刻刻保持很低的负载,从而将其对机器性
能的影响降到最低。
金山V8+终端安全系统虚拟化安全解决方案模型示意图:
图3.1 虚拟化环境中的轻客户端模式
该功能分为如下两个主要部件:
1)虚拟机云端安全中心:
金山V8+终端安全系统虚拟云安全中心,承载了整个金山V8+终端安全系统虚拟化平台解决方案的核心功能,负责:
●对所有虚拟化客户端提交的未知特征请求进行匹配,返回文件的安全属性;
●负责所有高性能消耗的工作调度,使得服务器整体时时刻刻保持很低的负载,从而将其对机器性能的影响降到最低。
●收集整个系统中各个虚拟主机环境中从边界进来的未知文件(灰文件);
●收集系统各虚拟主机发送的安全日志,并进行审计和安全报警;
2)虚拟机轻客户端软件:
在虚拟化环境中,部署虚拟机环境下的轻客户端软件,该客户端软件可以使用虚拟机模板进行批量部署,不会导致部署任务增加。轻客户端软件在本地负责对OS本身事件进行精细化监控,但并不加载大型病毒库或者执行复杂病毒查杀操作。
●弱化传统查杀功能,终端大规模查杀操作是由服务端统一管控,减少各项功能对服务器性能的占用。
●加强边界监控,对从边界(例如U盘,共享,ie下载,IM聊天工具)进入终端的未知文件进行记录,扫描,跟踪等。
●系统防御,监控终端进程行为,实现实时防毒功能。
轻终端功能以及工作流程介绍
图3.2金山“轻终端”功能示意图
流程说明:
1)在虚拟化平台内部建立金山V8+终端安全系统安全虚拟云安全中心。2)在虚拟主机操作系统环境中,安装金山V8+终端安全系统虚拟终端,负责对所有主机中产生的新可执行体进行监控和扫描。
3)当虚拟主机端监控程序被执行体尝试执行事件触发时,客户端监控程序会将该执行体提取特征,并送入设定好的云端进行查询。
4)后台高性能并发查询服务器,会迅速给出该执行体在当前知识库中的黑白灰三色定义。
5)客户端监控程序根据收到的服务器回应,执行相应的处理动作:
●如果返回结果是黑(威胁文件),则禁止执行,并隔离执行体。
●如果返回结果是白(可信文件),则通过审查,继续执行。
●如果返回结果是灰(未知文件),将灰文件送入云端收集服务器。并
转入步骤4)
第四章安全管理
系统中心控制台是可移动的操作平台(基于WEB服务架构),它支持您在
任何一台安装有IE6.0及以上浏览器的Windows计算机上,通过可移动的
方式对系统中心进行管理、操作和设置,进而能够实现对网络中系统中心
所辖终端群的管理、操作和设置。基于系统中心的后台架构服务,系统中
心控制台为您提供了简洁、易用的交互界面,让您的管理控制更加高效有
序。通过有效的账户及密码保护,系统中心控制台只允许经过特别授权的
管理人员查看、或执行与维护反病毒安全保障体系的各项任务,以确保您
的网络体系安全。控制台可以针对网络系统的特点灵活配置,能设置不同
的任务对不同的终端进行管理,实现网络内的自动化防毒操作。
4.1登录管理限制
为了防止未经授权的非安全登录,系统中心控制台的登录需要提供登录账
户及密码。并且管理员可以随时修改登录控制台的密码。
按职能权限,默认有三类管理员:超级管理员、普通管理员,只读管理员,
超级管理员可自定设置相应管理员的各个权限。
图5-1 系统中心控制台用户管理界面
4.2下级系统中心集中管理
金山V8+终端安全系统的主系统中心具有查看和管理下级系统中心的所有
权限,并可以同时管理注册到下级系统中心的所有终端。另外,下级系统
中心也具有管理其下下级系统中心的所以权限。
4.3终端集中管理
金山V8+终端安全系统支持管理员通过系统中心控制台对全网终端实施病
毒查杀、升级、文件实时监控、安全日志审查及邮件监控的操控、终端管
理等。
终端管理:
支持管理员对所选终端进行终端信息查看、改变所在分组、卸载、删除终
端记录等操作。
终端设置:
支持管理员对选定分组进行整体安全策略配置,包括查毒设置、文件实时
监控设置、邮件监控设置、任务调度设置、权限设置。
一键云查杀:
选定需要进行操作的终端后,单击相应按钮即可开始对所选终端进行病毒
查杀,查杀过程完全由管理员通过系统中心控制台控制,可随意启动、停
止,并可自定义所选终端的查杀路径。
漏洞修复:
管理员可集中全网还有哪些漏洞没有被修复,对高危补丁可立即选定终端
范围进行漏洞修复。
软件管理:
为便于管理员集中管理全网软件资产,V8+终端安全系统提供软件统计、软
件禁用管理、软件卸载管理、软件分发管理功能,构建由软资产采集到软
件行为监控再到软件行为管理的立体式软资产管理模型。大幅度提高工作
效率降低管理成本。
升级终端:
通常情况下,已部署完毕并设置好的金山V8+终端安全系统反病毒体系无
需手动升级终端。但在某些特殊需求下,管理员仍可手动对所选终端进行
升级。
U盘监控:
管理员可以根据需求所选终端的U盘实时监控实施开启及关闭操作。
铠甲防御:
管理员可以根据需求所选终端的文件铠甲防御实施开启及关闭操作。
邮件监控:
管理员可以根据需求所选终端的邮件监控实施开启及关闭操作。
4.4管理针对性细化(组策略)
金山V8+终端安全系统支持您对终端(或服务器端)进行逻辑分组管理及
配置,从而更符合终端的具体防毒需求差异。归属到一个组中的终端可以
按照统一的方式进行管理,可以通过设置组选项来统一同一组内所有终端
的行为和权限等。您可以通过组策略实现:全网统一的病毒防护策略,执
行统一的组策略配置;基于需求的自定义分组;针对不同的组实施不同病
毒防护策略;准确定位,只对特定组发出指令,避免影响网络全局。
金山V8+终端安全系统支持用户对逻辑分组内的终端进行统一的安全策略
设置,这些设置能够帮助用户更好的针对网络内的安全需求制定措施,用
户可以进行:终端的查毒设置、文件铠甲防御设置、邮件监控设置、任务
调度设置、权限设置。
4.5安全日志集中获取、统计及管理
金山V8+终端安全系统安全日志信息记录了全网反病毒体系的安全状态及
历史。面对病毒威胁,网络管理员需要快速制定有针对性的安全措施,这
需要大量详实准确的网络安全信息作为依据。金山V8+终端安全系统具有
强大快捷的安全日志功能,能够对网络内的病毒信息、终端升级信息、终
端安全信息进行统一的收集、统计并有效管理,形成图形化的日志汇总。
病毒日志记录了感染病毒的计算机详细信息,同时也记录了金山毒霸发现】
=的状态信息充分了解整个网络内感染病毒的范围和几率,获知病毒的类型
和危害,掌握病毒的清除结果,从而可以正确并迅速的做出决策——若是
利用漏洞攻击的病毒爆发,则立即为局域网中存在此漏洞的计算机打上补
丁;若是蠕虫病毒在网络内肆虐,暂时切断病毒源的网络连接,重新启动
计算机;若是文件形病毒作怪,则确定感染病毒的计算机,立即重启进入
安全模式或DOS环境,然后采用全面查毒方式,彻底清除病毒。
一旦发生病毒疫情,管理员可通过系统中心控制台查看网络中任意一台纳
入金山毒霸反病毒体系计算机的受感染文件、感染的病毒信息、感染时间、
清除结果。并且,可以对网络内桌面系统遭受邮件病毒危害的信息进行查
看,包括受邮件病毒危害的终端名、受感染文件名、危害的病毒名称、危
害发现时间、附带该病毒的邮件名称、发件人、收件人、清除结果等。
升级日志记录了金山V8+终端安全系统系统中心从外网升级的状态及历
史。通过察看升级日志,可以获取升级类型、升级开始时间、升级结束时
间、升级结果等信息。管理员可以及时发现出现的升级异常情况。
第五章终端安全
在金山V8+终端安全系统中,终端是面向网络中的终端设备而设计的病毒
防护执行终端。根据具体保护对象的不同,分为终端和服务器端。它提供
了系统保护、边界防御、全面查杀、一键云查杀、病毒隔离、邮件防护及
漏洞扫描、软件资产管理等多种功能,针对可能来自软盘、光盘、网络共
享及邮件、网络下载等各种途径的病毒入侵,实现全方位的病毒防护。终
端还能接收并执行系统中心发出的指令,按系统中心设定的策略配置选项。
终端通过系统中心指定的服务器升级,升级过程无需人工参与。
金山V8+终端安全系统的终端,拥有30核查杀引擎意味着查杀能力数十倍
于传统杀毒软件,率先采用云查询的模式,当发现病毒时,终端会及时将
病毒信息反馈给系统中心。即使是未知病毒,终端会通过云引擎服务器快
速向金山公有云得到鉴定结果,并不采用传统杀毒软件依赖庞大的病毒库
杀毒的方式,解决了终端占用资源的技术难题,提升了终端的负载能力,
以及注册速度;
金山V8+终端安全系统终端是安装在终端上响应系统中心命令或自定义查
杀病毒,开启、关闭系统防御、系统防火墙、邮件监控、漏洞扫描等功能
的操作平台,是金山V8+终端安全系统防毒功能的实际执行者。
金山V8+终端:
打开金山V8+终端安全系统终端,您将首先看到金山V8+终端安全系统首
页,其中包括当前终端的操作系统、已保护系统天数、立即体检、终端防
护开关、实用工具以及基本信息栏为您显示当前终端的病毒库版本、查杀
病毒引擎版本。同时,通过单击该栏的【立即升级】按钮,您可以实现本
机终端的一键升级。如图
图6-1 金山V8+终端安全系统终端-首页
金山V8+终端安全系统终端进一步完善数据流、脱壳等查杀技术,并且新植入启发式杀毒技术,打造强大的病毒、木马、恶意软件查杀功能,将藏身于系统中的病毒、木马、恶意软件等威胁一网打尽。
图6-2 金山V8+终端安全系统终端-电脑杀毒
图6-3 金山V8+终端安全系统终端-系统优化
图6-4 金山V8+终端安全系统终端-垃圾清理
图6-5 金山V8+终端安全系统终端-漏洞修复
附录
金山安全简介
金山安全公司是国内领先的云安全与SaaS服务提供商,以“全面保障数字
化环境安全”为企业使命,协助政府、军队、大型集团化企业和专用网络
等企事业单位,构建专属的终端信息安全保障体系。
金山安全公司可针对不同用户群体提供针对性的解决方案。
针对大型集团企业、政府部门、军队涉密网络、专业业务网络用户,我们
提供金山安全公司旗舰级产品金山私有云安全系统。该系统基于智慧的云
计算构架,以可信应用控制+程序安全属性动态鉴定为核心技术,可实现
IT数字化环境的安全管理、服务和应用扩展。金山私有云安全系统已形成
四个专业解决方案,分别是:专用设备白名单管控解决方案、APT捕捉与
防护解决方案、虚拟化环境专用解决方案、文件审计防护解决方案。尤其
是针对日益严重的定向化、复杂化、持续化攻击,金山私有云安全系统可
协助用户实现高级威胁的有效捕捉,让用户的数字化环境的变化“看得见”,
未知威胁“找得到”,APT“防得住”,幕后黑手“跑不掉”。目前该系统
已成功部署并保护的终端数量达到百万以上。
针对中型企业,我们提供金山V8+终端安全系统,实现防、杀、管理一体
化,帮助用户达成企业级终端的安全防护和系统优化。该系统针对用户网
络环境和信息终端需求,集成了病毒查杀、木马查杀、漏洞修补、系统优
化、开机加速等多类应用,可快速解决常见企业级安全威胁。对于内网用
户或物理隔离终端,该系统还能够提供离线升级方式,以此确保任何网络
环境的安全、稳定运行。
针对小微企业,我们提供金山毒霸企业版2013—全球首款永久免费的、全
功能不受限制的专业安全防护产品,集中解决小微企业全网管理、快速部
署、病毒防杀等核心问题,满足小微企业对于安全及效率的双向需求。
金山安全公司是由金山投资,在金山已运营10年之久的企业安全业务基础
上实现的独立运营,是拥有完全自主知识产权的中国信息安全企业。目前、
金山安全已为数十万的客户群体和近千万的终端用户提供产品与服务,在
包括政府、大中型企业、公安、军队等客户中拥有良好的终端安全防护和
防杀病毒安全防护口碑。
北信源内网安全管理系统(服务器版)安装说明
快速阅读指南 1.本使用手册为北信源终端安全管理系列产品全功能用户手册,请按照所购买产品对应相关的产品说明进行配置使用(该手册第一、二、三章为终端安全管理产品共有部分,凡购买任何一款终端安全管理产品都应首先详细阅读此三个章节)。 2.详细阅读本软件组件功能、组成、作用、应用构架,确切了解本软件的系统应用。 3.安装准备软件环境:Microsoft SQL Server2000、Windows2000Server、Internet服务管理器。SQL安装注意事项请参照第二章2-3-1所示。建议将数据库管理系统、区域管理器、WEB管理平台安装在同一服务器上,确认区域管理器所在机器的88端口不被占用(即非主域控制器);防火墙应允许打开88,2388,2399,22105,8900,8901,22106,22108,8889端口。 4.按步骤安装各组件后,通过http://*.*.*.*/vrveis登录Web管理平台,首先对Web管理平台进行如下配置:添加区域→划分该区域IP范围→指定区域管理器→指定区域扫描器。 5.双击屏幕右下角区域管理器、单击主机保护进行通讯参数配置。 6.在\VRV\VRVEIS\download目录中,使用RegTools.exe工具修改DeviceRegist.exe文件中的本地区域管理器IP,将修改后的注册程序DeviceRegist.exe放在机构网站上进行静态网页注册,或者在机构网站上加载动态网页检测注册脚本语句,进行动态设备注册。 7.系统升级:联系北信源公司获取最新的软件组件升级包,确保Web管理平台、区域管理器、客户端注册程序等组件的升级。 8.如果本说明书中的插图与实际应用的产品有出入,以实际产品为主。 特别提示:默认管理员用户:admin,密码:123456;系统指定审计用户名:audit,密码:123456请注意修改。
移动终端安全管理与接入控制
移动终端安全管理与接入控制 1 范围 本标准规定了移动终端安全管理与接入控制产品的安全功能要求、安全保障要求及等级划分要求。 本标准适用于移动终端安全管理与接入控制产品的设计、开发及测试。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T 18336.3-2015 信息技术安全技术信息技术安全评估准则第3部分:安全保障组件 GB/T 25069-2010 信息安全技术术语 3 术语和定义 GB/T 18336.3-2015和GB/T 25069-2010界定的以及下列术语和定义适用于本文件。 3.1 移动终端 mobile terminal 可以在移动中使用的计算机设备,包括手机、笔记本、平板电脑等;终端应用场景如POS机、执法记录仪、医疗终端、公司办公终端等。 3.2 越狱jailbreak 获取IOS操作系统移动终端的系统管理员权限,经过越狱的苹果终端拥有对系统底层的读写权限。 3.3 移动终端ROOT mobile terminal ROOT 获取Android操作系统移动终端的系统管理员权限,经过ROOT的移动终端拥有对系统底层的读写权限。 3.4 移动终端安全管理与接入控制产品mobile terminal security management and access control product 为增强移动终端的安全性、可控性和时效性,通过定制安全策略对移动终端进行统一管理和安全接入控制的产品。 4 移动终端安全管理与接入控制产品描述 移动终端安全管理与接入控制产品(mobile terminal security management and access control product)通过对终端实施安全防护,防止不安全或无权限的终端接入被保护的网络,访问被保护的应用;避免引起的内网安全威胁,保护在移动终端上缓存的敏感业务数据不被泄露。实现了对移动终端的统一设备管理、统一接入认证管理、统一的安全策略管理。 图1是移动终端安全管理与接入控制产品的一个典型运行环境。
南大通用安全数据库管理系统
南大通用安全数据库管理系统 技术白皮书 2011年1月
GBase版权所有?2011,保留所有权利。 版权声明 本文档所涉及的软件著作权、版权和知识产权已依法进行了相关注册、登记,由南大通用数据技术有限公司合法拥有,受《中华人民共和国著作权法》、《计算机软件保护条例》、《知识产权保护条例》和相关国际版权条约、法律、法规以及其它知识产权法律和条约的保护。未经授权许可,不得非法使用。 免责声明 本文档包含的南大通用公司的版权信息由南大通用公司合法拥有,受法律的保护,南大通用公司对本文档可能涉及到的非南大通用公司的信息不承担任何责任。在法律允许的范围内,您可以查阅,并仅能够在《中华人民共和国著作权法》规定的合法范围内复制和打印本文档。任何单位和个人未经南大通用公司书面授权许可,不得使用、修改、再发布本文档的任何部分和内容,否则将视为侵权,南大通用公司具有依法追究其责任的权利。 本文档中包含的信息如有更新,恕不另行通知。您对本文档的任何问题,可直接向南大通用数据技术有限公司告知或查询。 未经本公司明确授予的任何权利均予保留。 通讯方式 南大通用数据技术有限公司 天津华苑产业区海泰发展六道6号海泰绿色产业基地J座(300384) 电话:400-817-9696 邮箱:info@https://www.360docs.net/doc/80771787.html, 商标声明 标,注册商标专用权由南大通用公司合法拥有,受法律保护。未经南大通用公司书面许可,任何单位及个人不得以任何方式或理由对该商标的任何部分进行使用、复制、修改、传播、抄录或与其它产品捆绑使用销售。凡侵犯南大通用公司商标权的,南大通用公司将依法追究其法律责任。
GBase 8s 技术白皮书 南大通用数据技术有限公司 I 目 录 1 GBase 8s 安全数据库产品简介 (1) 1.1 GBase 8s 产品开发背景 (1) 1.2 GBase 8s 主要技术特点 (1) 1.3 GBase 8s 产品功能简介 (2) 2 GBase 8s 安全数据库产品架构 (3) 2.1 产品架构 (3) 2.2 产品组件模块 (3) 3 GBase 8s 产品平台和指标 (6) 3.1 支持的操作系统和平台 (6) 3.2 技术指标 (6) 4 GBase 8s 产品功能 (8) 4.1 安全功能 (8) 4.1.1 身份鉴别功能 (8) 4.1.2 自主访问控制 (9) 4.1.3 数据完整性 (9) 4.1.4 数据安全性 (11) 4.1.5 安全客体重用 (12) 4.1.6 安全审计 (13) 4.2 SQL 核心功能 (13) 4.2.1 数据类型 (13) 4.2.2 SQL 语法支持 (14) 4.2.3 函数 (15)
中软统一终端安全管理平台8.0安装手册(单机版)
(单机版
Version:8.0.7.x)
中国软件与技术服务股份有限公司 CHINA NATIONAL SOFTWARE & SERVICE CO.,LTD.
版 权 声 明
非常感谢您选用我们的产品, 本手册用于指导用户安装中软统一终端安全管理平台 8.0 (中文简称安全管理平台) ,请您在安装本系统前,详细阅读本手册。本手册和系统一并出售且 仅提供电子文档。 。 Copyright ? 2005 by CS&S,中国软件与技术服务股份有限公司版权所有。 中软统一终端安全管理平台 8.0 是中国软件与技术服务股份有限公司自主研发的受法 律保护的商业软件。遵守法律是共同的责任,任何人未经授权人许可,不得以任何形式或方法 及出于任何目的复制或传播本软件和手册,权利人将追究侵权者责任并保留要求赔偿的权利。 任何人或实体由于该手册提供的信息造成的任何损失或损害,中国软件与技术服务股 份有限公司不承担任何义务或责任。
系统版权 中文名称:中软统一终端安全管理平台 8.0 英文简称:UEM8.0 开发单位:中国软件与技术服务股份有限公司
本系统的版权单位 中国软件与技术服务股份有限公司 地址:北京市海淀区学院南路 55 号中软大厦,100081 电话: (010)51508031/32/33 邮箱:waterbox@https://www.360docs.net/doc/80771787.html,
2
前
言
目前,个人计算机系统成为组成企业、单位网络的主体,也是绝大多数泄密事件发生的源头。 针对这一现状,中软自主研发的终端安全管理平台是内网安全管理的有力武器,是加强个人计算机 内部安全管理的重要工具。它作为国内市场上第一款成熟的内部安全管理软件,填补了国内在该领 域的空白,为我国信息安全保障工作注入了新的活力。 本书详细介绍了中软统一终端安全管理平台 8.0 安装方法,为用户在安装本系统时提供参考, 全书共为五章。 第一章:系统概述 第二章:体系结构和运行所需软硬件环境 第三章:服务器安装与卸载 第四章:控制台安装与卸载 第五章:客户端安装与卸载 本书内容全面,深入浅出,适合安装、使用中软统一终端安全管理平台的用户读者;检测、评 估中软统一终端安全管理平台的技术人员和专家以及希望使用中软统一终端安全管理平台协助对其 组织、机构或企业进行管理的管理人员等。 本手册适用于中软统一终端安全管理平台 8.0 的 8.0.7.x 单机版本的安装使用,随相应版本的产 品光盘附带,对该产品的其他版本,如未作特殊说明或者更新,该手册同样适用。 本手册在编写过程中,尽管我们做了最大努力力求完美和准确,但由于水平有限,难免存在疏 漏和缺陷之处。如果您对本手册有任何疑问、意见或建议,请与我们联系。感谢您对我们的支持和 帮助。
通用产品研发中心 2008 年 3 月
3
移动终端管理系统(客户端)使用手册
第三次全国经济普查数据处理培训文档之移动终端管理系统 移动终端管理系统(客户端) 使用说明书 国家统计局 2013年11月
目录 概述 (3) 1用户注册及登录 (4) 2功能概况 (4) 2.1 消息管理 (5) 2.2 应用文件管理 (6) 2.3 系统设置 (8) 2.4 系统管理 (9) 2.5 软件升级 (10) 2.6 关于 (10) 3需要注意的问题 (11)
概述 移动终端管理客户端是移动终端管理系统的一部分。在移动终端上安装此程序并进行移动终端的远程在线注册,实现客户端与管理平台端的通信。经过注册的终端并可以接收各级管理员通过管理平台发送的消息、文件、应用程序,以及三经普用地图、底册、制度包等。 本手册主要介绍移动终端管理系统客户端程序的各项功能。移动终端管理平台各项功能见《移动终端管理系统(管理平台)使用说明书》。
1用户注册及登录 客户端程序安装激活后需要在线注册。客户端注册的目的是为了实现与管理平台的通信;同时为地址点采集程序和经普数据采集客户端程序创建登录注册信息,实现几个客户端程序的单点登录。 在PDA的应用程序列表中找到【终端管理】蓝色图标,点击进入注册界面;也可以在地质点采集程序及经普数据采集客户端程序中点击【注册】按钮,也可打开移动终端管理系统客户端的注册页面(如图1-1)。 【操作步骤】 1、打开PDA应用程序列表中的【终端管理】蓝色图标,进入客户端注册界面。 2、输入用户名和密码,电话号码以及14位区划码信息,然后点击【注册】按钮。注册成功后,系统会在14位区划码的基础上自动增加两位顺序码,此16位码将会作为区别设备的唯一标识。 注: 14位区划码必须是有效的,并要求到普查小区一级,如果还未生成普查小区代码,则输入前12位普查区码,后两位补“00”。 3、完成注册后,MDM系统会自动登录。下次登录时,点击【移动终端】图标即可。 图1-1 2功能概况
MYSQL数据库系统安全管理
.. .w 目录 正文 (1) 1研究的背景 (2) 2研究的目的和意义 (2) 3研究的容 (2) 3.1 MySQL数据库的安全配置 (2) 3.1.1系统部安全 (2) 3.1.2外部网络安全 (6) 3.2 MySQL用户管理 (10) 3.3 MD5加密 (14) 3.3.1 数据库中数据加密的原因 (14) 3.3.2 加密方式 (15) 3.3.3 Md5加密原理 (15) 3.3.4 具体算法 (17) 4总结 (18) 参考文献: (18) 附录: (19)
MySQL数据库安全管理 摘要:MySQL是完全网络化的跨平台关系型数据库系统,同时是具有客户机/服务器体系结构的分布式数据库管理系统。它具有功能强、使用简便、管理方便、运行速度快、安全可靠性强等优点,用户可利用许多语言编写访问MySQL数据库的程序,特别是与PHP更是黄金组合,运用十分广泛。由于MySQL是多平台的数据库,它的默认配置要考虑各种情况下都能适用,所以在用户自己的使用环境下应该进行安全加固。用户有责任维护MySQL数据库系统的数据安全性和完整性。 关键词:MYSQL;数据库;数据库安全;访问控制;MD5加密 正文 MySQL数据库的安全配置必须从两个方面入手,系统部安全和外部网络安全;MySQL用户管理主要用grant(授权)和revoke(撤权)两个SQL指令来管理;MD5在实际中的一个应用就是对数据库中的用户信息加密,当用户创建一个新的账号或者密码,他的信息不是直接保存到数据库,而是经过一次加密以后再保存,这样,即使这
些信息被泄露,也不能立即理解这些信息的真正含义。有效的提高了前台和后台的数据安全性。 1研究的背景 随着计算机技术和信息技术的迅速发展。数据库的应用十分广泛,深入到各个领域,但随之而来产生了数据的安全问题。 近年来,数据库供应商竞相为大众提供功能丰富的数据库环境,大多数主要系统都支持XML、Web服务、分布式复制、操作系统集成以及其他一些有用的功能。与以前相比,数据库更加容易遭受到攻击,它已经成为了更有价值的攻击目标,所以需要配置更多的安全功能,管理也要更加的谨慎。 2 研究的目的和意义 本文对MySQL数据库的安全配置、MySQL用户管理以及使用MD5加密提高数据库前台和后台数据安全性做了详细研究。 由于MySQL是多平台的数据库,它的默认配置要考虑各种情况下都能适用,所以用户需要根据具体的环境进行相关的安全配置,通过本文的研究,对如何提高数据库的安全性有很大的帮助。 3研究的容 3.1 MySQL数据库的安全配置 3.1.1系统部安全 MySQL安装好,运行了mysql_db_install脚本以后就会建立数据目录和初始化数据库。如果我们用MySQL源码包安装,而且安装目录是/usr/local/mysql,那么数据目录一般会是/usr/local/mysql/var。数据库系统由一系列数据库组成,每个数据库包含一系列数据库表。MySQL是用数据库名在数据目录建立建立一个数据库目录,各
移动设备使用安全管理办法
移动设备使用安全管理办法 一、总则 (一) 为了加强我司计算机信息网络系统的安全管理,保证我司移动设备办公安全,结合我司笔记本电脑使用实际情况、制定本办法。 (二) 凡配备或使用公用笔记本电脑及移动存储设备的人员,务必遵守此管理办法。 二、移动设备安全使用规定 (一) 移动设备范畴:笔记本、移动硬盘、U盘等存储设备。 (二) 笔记本电脑必须设置开机密码,公用笔记本开机密码统一设置为123借用人不得随意修改。 (三) 笔记本电脑必须设置硬盘加密,防止丢失带来损失,目前只支持WIN7旗舰版,总部公用笔记本电脑硬盘密码统一设置为1232014。 (四) 公用笔记本电脑资料请不要放在桌面及C盘,可放置D、E 等盘,公用笔记本重启后将进行还原,桌面资料及安装软件将进行清除,以保证电脑为最新状态。如果有特殊原因需要长期使用,可向系统管理员申请取消还原功能,使用完成后自行卸载安装软件并删除文件。 (五) 笔记本电脑上网用户必须安装杀毒软件并且注意更新病毒,定期清查计算机病毒,防止笔记本电脑中的病毒到处传播。 (六) 凡是存放有我司资料的移动存储设备均需要进行加密,防止
丢失带来不可预计的损失。 三、移动设备的使用及注意事项 (一) 笔记本需注意使用环境,特别要注意远离饮料和食品。 (二) 在开关机时不要急于移动笔记本,应注意防震,否则硬盘容易损坏。 (三) 笔记本电脑,不要放在软垫上使用(如毛巾、布料、棉被等),否则易堵塞散热口,散热不好,造成机器故障。 (四) 光驱容易损坏,请注意保养,减少不必要的损耗,不宜使用质量差的光盘和软盘。 (五) 液晶板不宜用手触摸,不能与硬物接触。清洁时要特别注意用眼镜布轻轻擦拭。 (六) 插拔外接部件时,要特别小心,一旦插口出现问题,可能要换主板,损失较大。 (七) 笔记本电脑随机软件只有操作系统(WINDOWS),并安装常用办公软件,请不要随意安装其它软件。 (八) 笔记本电脑和附件重量轻、体积小,在出租车、办公室等公共场所容易丢失和被盗。 (九) 移动硬盘及U盘应轻拿轻放,容易摔坏。 (十) 注意移动硬盘和U盘存放位置,请勿放置桌面及显眼的位置防止丢失。 (十一) 凡是人为造成笔记本及移动硬盘等设备损坏,将自行承担
安全隐患数据库管理办法
安全隐患数据系统管理规定 为推动公司安全管理工作“公开化、透明化、规范化”,体现“齐抓共管,确保安全”的原则,安检部与信息中心联合开发了“安全生产隐患数据信息系统”,经过试运行,证明这种管理模式有助于全员参与查找不安全因素,最终达到彻底消除隐患之目的。 为确保此项工作落到实处,充分调动职工参与的积极性,规范安全管理人员的行为,制定如下管理办法。 一、管理规定 (一)公司任何一位员工,均有查找不安全隐患,并向安全隐患数据库填、录的权利和义务。在OA系统上未注册的人员,可借用已注册人员的OA登录,已注册人员不许拒绝。 (二)各公司主要负责人需经常关注该数据库系统的内容,对安全员提出的处理结果与完成时限进行审核,并提供大力支持,确保隐患按期整改完成。 (三)各公司安全员作为安全生产管理专职人员,负责对在周、月及不定时检查中发现的安全生产隐患及时录入数据库系统,各公司主管安全生产的经理对此负有监督、管理责任; (四)各公司安全员对隐患整改过程,负有监督、检查的权利和义务,对不能完成整改的,要说明原因,写出书面报告,报本公司经理,经理确认、签字后,上报安检部。 (五)各公司安全员应将安全隐患数据库的使用方法,宣贯到每一个职工,并鼓励和支持他们发现和填报安全生产隐患。
(六)各公司班组负责人对在日常工作当中发现的安全生产隐患,及时录入数据库系统,未及时录入的应承担相应责任,安全员对此负有监督、管理责任。 (七)总公司安检部是安全管理的职能部门,对各种隐患的处理结果与完成期限进行跟踪与监督,发现未按要求整改的,提出处理意见并上报总公司领导。 (八)总公司信息中心对数据库的正常运行提供技术支持和服务,及时解决运行中的问题。 二、奖惩规定 (一)对于积极参与查找不安全隐患,或及时发现重大隐患的员工与管理层人员按如下办法实施奖励: 1、员工提出不安全隐患,经确认属实,每月三处以上的,根据隐患风险程度给予50-500元的奖励;发现重大隐患的给予500-2000元的奖励;并以此作为评选安全先进单位和个人的前提条件; 2、管理层人员提出不安全隐患,或处理隐患方案合理、期限及时,经确认属实,适隐患风险程度给予50-200元的奖励;对重大隐患处理及时的给予200-1000元的奖励。 (二)对于各部门经理、分公司经理(副经理)、安全员、各部门主管,不履行安全生产职责,有下列情况之一的实施处罚: 1、对在日常工作中发现了安全生产隐患,故意隐瞒不向数据库系统填报的,罚款200元; 2、对已发现的安全生产隐患,不积极采取措施处理,或对下级报送的隐患不安排,置之不理的,罚款1000元;
内网终端安全管理系统解决方案
内网终端安全管理系统解决方案
北信源内网终端安全管理系统 解决方案 北京北信源软件股份有限公司
目录 1.前言................................ 错误!未定义书签。 1.1.概述 错误!未定义书签。 1.2.应对策略 错误!未定义书签。 2.终端安全防护理念.................... 错误!未定义书签。 2.1.安全理念 错误!未定义书签。 2.2.安全体系 错误!未定义书签。 3.终端安全管理解决方案................ 错误!未定义书签。 3.1.终端安全管理建设目标 错误!未定义书签。 3.2.终端安全管理方案设计原则 错误!未定义书签。 3.3.终端安全管理方案设计思路 错误!未定义书签。 3.4.终端安全管理解决方案实现 错误!未定义书签。 3.4.1.网络接入管理设计实现 错误!未定义书签。 3.4.1.1.网络接入管理概述
3.4.1.2.网络接入管理方案及思路 错误!未定义书签。 3.4.2.补丁及软件自动分发管理设计实现 错误!未定义书签。 3.4.2.1.补丁及软件自动分发管理概述 错误!未定义书签。 3.4.2.2.补丁及软件自动分发管理方案及思路 错误!未定义书签。 3.4.3.移动存储介质管理设计实现 错误!未定义书签。 3.4.3.1.移动存储介质管理概述 错误!未定义书签。 3.4.3.2.移动存储介质管理方案及思路 错误!未定义书签。 3.4.4.桌面终端管理设计实现 错误!未定义书签。 3.4.4.1.桌面终端管理概述 错误!未定义书签。 3.4.4.2.桌面终端管理方案及思路 错误!未定义书签。 3.4.5.终端安全审计设计实现 错误!未定义书签。 3.4.5.1.终端安全审计概述
移动应用安全管理系统设计方案
移动应用安全管理系统设计方案 2014年
目录 2 系统设计原则 (4) 2.1 安全性原则 (4) 2.2 标准性原则 (5) 2.3 规划先进性原则 (5) 2.4 安全服务细致化原则 (6) 3 建设思路 (6) 4 整体分析 (7) 4.1 业务需求 (7) 4.1.1 移动采集 (7) 4.1.2 移动办公 (7) 4.2 业务类型 (8) 4.2.1 数据交换和数据采集 (8) 4.2.2 授权访问 (8) 4.3 功能域划分 (9) 4.3.1 业务域 (9) 4.3.2 接入域 (10) 4.3.3 监管域 (10) 4.3.4 用户域 (11) 4.4 安全需求分析 (11) 4.4.1 安全技术需求分析 (12) 4.4.2 安全管理需求分析 (15) 5 平台设计 (16) 5.1 设计目标 (16) 5.2 设计思路 (16) 5.3 设计内容 (17) 5.4 安全技术体系设计 (18) 5.4.1 终端环境安全设计 (18) 5.4.2 接入域边界安全设计 (20) 5.4.3 通信网络安全设计 (24) 5.4.4 集中监测与管理设计 (27) 5.5 性能设计 (30) 5.5.1 链路带宽 (30) 5.5.2 业务并发数 (31) 5.5.3 吞吐量 (31) 5.7.2 安全管理机构 (33) 5.7.3 人员安全管理 (34) 6 方案特点 (34) 7 移动安全管理平台关键技术 (35) 8 建设效果 (36)
1 概述 安徽省电子认证管理中心(简称“安徽 CA”)移动应用安全管理系统是从用户的应用安全和安全管理需求出发,基于PKI技术构建可信身份体系、鉴权体系及行为追溯体系,实现信息系统可信、可控、可管理,满足用户自身信息化建设发展要求和相关法规政策要求的网络信任体系支撑平台。 由于历史的原因,也是计算机技术日新月异发展的结果,信息化要求较高的行业现有的多套应用系统从当时的设计和建设看来可以说是非常科学和满足业务需求的,但以现在的标准来看,由于不同的应用系统建立在不同的硬件和操作平台上,不同的应用系统是由不同的系统集成商使用不同的语言和开发工具开发出来的,将不可避免的导致不同业务系统之间的用户无法统一管理,资源无法统一授权,审计系统也分别独立,且基于数字证书的强身份认证也可能没有实现。由于用户角色以及资源的改变使得业务运作不够顺畅,导致业务流程被割裂,需要过多的人工介入,效率下降,数据精确度降低,使的信息系统失去了其应有的作用。 从信息化建设的长远发展来看,要形成相互一致的业务基础信息系统和有效运行的信息层次化可信安全体系,必然需要将原来已分别建设的各个业务应用系统平滑地整合在一起,在一个可信的安全基础平台上实现统一用户管理、统一安全审计以及基于数字证书的集中身份认证,统一Web管理界面方式让各个业务系统间形成一个有机的整体,在整个可信网络体系范围内实现系统信息的高度共享,针对快速
数据库课后题答案 第八章 管理SQL Server的安全性
第八章SQL Server的安全性 要点: SQL Server 2000两级权限管理机制 登陆帐户和服务器角色 数据库用户和数据库角色 权限的管理 第一节SQL Server 2000安全性概述 作为一种数据库管理系统,SQL Server2000系统中存储了用户大量的业务数据,这些数据都是用户的商业机密。这些商业数据必须得到安全保障。安全性管理是数据库管理系统的一个重要组成部分。安全性就是确保只有授权的用户才能使用数据库中的数据和执行相应的操作,安全性管理包括两个方面的内容,一是用户能否登录系统和如何登录的管理,二是用户能否使用数据库中的对象和执行相应操作的管理。SQL Server2000提供了一套完整的安全机制。 一、认证进程和认证模式 认证进程就是指当用户访问数据库系统时,系统对该用户帐号和口令的确认过程,认证的内容包括确认用户的帐号是否有效、是否能访问系统、能访问系统中的哪些数据等。认证模式就是指系统选择何种认证进程确认用户的方式。 用户必须使用一个登录帐号,才能连接到SQL Server系统中。SQL Server 系统通过两种认证进程来确认用户的身份,这两种认证进程是:(1)WINDOWS认证进程 (2)SQL Server认证进程 当SQL Server在WINDOWS环境中运行时,系统管理员必须指定系统的认证模式类型。认证模式类型有两种: (1)WINDOWS认证模式 (2)混合模式 WINDOWS认证模式只允许使用WINDOWS认证进程。这时,用户不能指SQL Server的登录帐号。混合认证模式既允许使用WINDOWS认证进程,又允许使用SQL Server认证进程。在混合认证模式中,当某个用户希望登录SQL Server系统时,系统是采用WINDOWS认证进程还是采用SQL Server
360天擎终端安全管理系统v6.0_测试方案(详细用例)要点
360终端安全管理系统 测试方案 ? 2018 360企业安全集团■版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明外,所有版权均属360企业安全集团所有,受到有关产权及版权法保护。任何个人、机构未经360企业安全集团的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录| Contents 1. 产品简介 (1) 2. 部署拓扑 (1) 2.1. 硬件配置要求 (2) 3. 天擎管理中心功能测试 (3) 3.1. 天擎分级部署 (3) 3.1.1. 天擎多级部署 (3) 3.2. 客户端分组管理 (3) 3.2.1. 客户端分组 (3) 3.2.2. 自动分组 (3) 3.2.3. 客户端分组切换 (4) 3.3. 客户端任务管理 (4) 3.3.1. 客户端天擎版本升级 (4) 3.3.2. 病毒库升级 (4) 3.3.3. 客户端任务分配管理 (4) 3.3.4. 手动杀毒任务 (5) 3.3.5. 终端查杀引擎设置 (5) 3.3.6. 定时杀毒任务 (6) 3.3.7. 消息推送 (6) 3.4. 客户端策略管理 (6) 3.4.1. 客户端软件常规安装部署方式 (6) 3.4.2. 终端自保护能力测试 (6) 3.4.3. 客户端防退出、卸载 (7) 3.4.4. 离线客户端管理 (7) 3.4.5. 文件溯源 (7) 3.4.6. 黑白名单管理 (8) 3.4.7. 终端安全防护功能管理 (8) 3.4.8. 终端弹窗管理 (8) 3.5. 日志报表功能测试 (9) 3.5.1. 查杀病毒和木马日志报表 (9) 3.5.2. 客户端病毒情况报表 (9) 3.5.3. 客户端感染病毒排名榜或趋势图 (9) 3.5.4. 汇总多级管理架构的数据 (10) 3.5.5. 管理控制操作审计日志报表 (10) 3.6. 系统管理测试 (10) 3.6.1. 帐号管理及权限分配管理 (10) 3.6.2. 客户端与管理中心通讯间隔设置 (11) 3.6.3. 控制中心升级测试 (11) 3.6.4. 安全报告订阅 (11) 3.6.5. 管理服务器备份与恢复 (12) 4. 天擎客户端功能验证 (13) 4.1. 病毒、木马查杀 (13) 4.2. 手动杀毒 (13) 4.3. 实时防护 (13)
内网终端安全管理系统项目解决方案
北信源内网终端安全管理系统 解决方案 北京北信源软件股份有限公司
目录 1.前言 (4) 1.1. 概述 (4) 1.2. 应对策略 (5) 2.终端安全防护理念 (6) 2.1. 安全理念 (6) 2.2. 安全体系 (7) 3.终端安全管理解决方案 (9) 3.1. 终端安全管理建设目标 (9) 3.2. 终端安全管理方案设计原则 (9) 3.3. 终端安全管理方案设计思路 (10) 3.4. 终端安全管理解决方案实现 (12) 3.4.1. 网络接入管理设计实现 ........................................ 错误!未定义书签。 3.4.1.1. 网络接入管理概述 ........................................ 错误!未定义书签。 3.4.1.2. 网络接入管理方案及思路............................... 错误!未定义书签。 3.4.2. 补丁及软件自动分发管理设计实现 (12) 3.4.2.1. 补丁及软件自动分发管理概述 (12) 3.4.2.2. 补丁及软件自动分发管理方案及思路 (12) 3.4.3. 移动存储介质管理设计实现 (17) 3.4.3.1. 移动存储介质管理概述 (17) 3.4.3.2. 移动存储介质管理方案及思路 (18) 3.4.4. 桌面终端管理设计实现 (21) 3.4.4.1. 桌面终端管理概述 (21) 3.4.4.2. 桌面终端管理方案及思路 (22) 3.4.5. 终端安全审计设计实现 ........................................ 错误!未定义书签。 3.4.5.1. 终端安全审计概述 ........................................ 错误!未定义书签。 3.4.5.2. 终端安全审计方案及思路............................... 错误!未定义书签。 4.方案总结 (41) 5.附录:系统硬件要求 (41) 6.预算 (43)
移动终端管理(DM)
移动终端管理(DM,Device Manage)DM是Device Manage的简称,也就是设备管理的意思。对于任何设备都会有这个课题,无论是工业设备还是机械或是家用电器,而在所有行业里没有一个像移动设备,准确的说就是手机设备对设备管理技术有着迫切的诉求,固然是由于这个产品类的消费的要求,也是这个行业向前发展的追求。最终一些欧洲移动运营商都建立起了一定规模的终端管理体系,它们或根据自行标准,或遵循OMA标准来统一手机设备的设备管理规范。所以每个产商或运营商都提出各自的DM解决技术,这里要讨论是在这个行业影响最广的组织的技术方案,就是OMA DM. OMA DM 1.1.2规范是OMA 国际标准化组织制订的用于实现终端设备管理的标准。利用终端管理技术,可以通过OTA 的方式来采集终端信息,配置终端的参数信息,将数据包从网络下载到终端上安装并更新永久性信息,处理终端设备产生的事件和告警信息。本文主要研究基于OMA DM的终端管理系统。 ??DM系统功能 ??终端管理系统 ??系统实现 ??DM数据内容 DM系统功能 它所支持的功能主要有: 1 固件更新 通过空中数据链路对固件版本进行升级。主要用于终端软件BUG修复和终端软件版本升级。 如今OTA技术的用途被不断扩展,如近年来出现的FOTA技术就是通过空中接口远程管理、更新手机固件的措施。通过FOTA,不仅可以下载升级应用软件,而且可以更新手机的操作系统。 2 配置管理 配置更新是为了让用户更好地使用各种应用。目前,最终用户要激活WAP、电子邮件和MMS等移动数据服务,这是一项复杂的任务,许多最终用户不愿通过复杂的过程配置手机,因此导致新的数据服务不被接受或者干脆被忽略了。 如果用户从一个运营商转到另一个运营商,两家的配置参数肯定不相同,更改参数只有专业技术人员才能做到。以往的解决方式是,要么用户去营业厅修改,要么就放弃使用。使用配置更新后,运营商可以用无线网络检测并修改手机配置参数,而这一切用户都不必知道,只是手机的使用变得没有障碍。这些工作都可以通过OTA技术来远程解决。 3 故障诊断 随着OTA技术被应用到监测、诊断、手机修复,客户服务将得到大大改善。客服人员可以
移动终端管理系统(管理平台)使用手册
移动终端管理系统(管理平台) 使用说明书 国家统计局 2014年9月
目录 1 登录 (4) 2 区划管理(本调查不需要此操作) (5) 2.1区划 (5) 2.2普查小区下载(略) (5) 3 上传管理(本调查不需要此操作) (6) 3.1上传应用 (6) 3.2 文件、地图、底册与制度包上传管理 (9) 4 推送管理(如上级无通知要求,则本调查不需要此操作) (11) 4.1应用分发 (11) 4.2 文件、地图、底册、制度包推送管理 (14) 5 消息管理 (16) 6 推送统计(本调查不需要此操作) (17) 7 终端管理 (18) 8 用户管理 (19)
概述 为了配合以移动终端设备为终端和载体的数据采集任务,提高数据采集的整体质量,开发了移动终端管理系统。本系统将对国家统计局移动终端数据采集设备从运行状态、数据推送和软件安装(卸载)等情况进行统一管理;以支撑第三次全国经济普查和国家统计局利用移动终端的数据统计工作。 移动终端管理系统简称MDM系统,主要实现由管理员对移动设备(手机,PDA)等的远程管理。本系统与数据采集程序紧密结合,对操作系统为安卓的智能终端进行管理。管理内容主要包括对设备的注册、注销管理、PDA的安全管理、推送管理等。 本系统有两个部分组成,一是安装在PDA上的移动终端管理客户端程序(简称MDM 客户端程序),另外一个是部署在服务器上,各级管理员根据权限进行管理和使用的移动终端管理平台(简称MDM平台)。 本手册主要介绍移动终端管理系统管理平台端的各项功能。移动终端管理客户端程序各项功能见《移动终端管理系统(客户端程序)使用说明书》。
数据库安全管理加密系统
数据库信息系统必备 数据库安全管理加密系统
《数据库安全管理加密系统》以软硬件结合方式彻底解决数据泄密问题,即使数据库非法侵入或拷贝,得到的也是一堆无法可解的乱码,而目前银行、电信部门客户数据外泄案频发,公安部门对保密要求更高,数据库裸放在服务器中,随时有泄密危险。 目录 1.产品背景 (3) 2.产品简介 (5) 3.产品架构 (6) 3.1 DBLOCK安全平台 (6) 3.2 服务器端代理(Server Agent) (7) 3.3 WEB管理控制台(Console) (8) 3.4 安全策略和安全审计中心 (9) 4.产品功能及特点 (10) 4.1 数据库数据透明加密 (10) 4.2 数据库透明访问,不需对应用作任何修改 (10) 4.3 数据传输加密 (11) 4.4 透明安全代理 (11) 4.5 三权分立管理 (13) 4.6 完善的系统审计功能 (14) 4.7 支持多数据库系统 (14) 4.8 DBLOCK系统特点 (14)
数据库安全管理加密系统 最近几年,个人信息大规模泄露、造成巨大损失的事件时有发生: 1、招商银行、工商银行员工兜售客户信息,造成损失达3000多万元。 2、京东商城客户账号泄密案件。 3、CSDN几百万用户注册信息库被黑客盗取。 4、天涯社区论坛4000万用户数据泄露。 5、taobao泄密事件. 6、开心网账号泄密事件 1.产品背景 随着计算机技术的飞速发展,各类信息系统的应用已深入到各个领域。但随之而来应用系统和数据库的安全问题尤为凸显。数据库系统作为信息的聚集体,是计算机信息系统的核心部件,其安全性至关重要。小则关系到企业兴衰、大则关系到国家安全。 在涉密单位或者大型企事业单位中,广泛的实施了安全防护措施,包括机房安全、物理隔离、防火墙、入侵检测、加密传输等等。但就应用系统本身和数据库的安全问题却一直得不到应有的重视。同时,之前的市场上也缺乏有效的应用系统和数据库安全的统一解决方案。这就致使数据库及其应用系统在安全方面普遍存在一些安全隐患。其中比较严峻的几个方面表现在: (1)应用系统身份验证强度问题。 目前许多应用系统本身缺乏有效的强身份认证安全机制,应用服务提供者如何验证用户的有效身份,用户如何验证服务提供者的身份,如何保证在网络上传输的数据不被篡改。 (2)数据库安全问题。 由于国内只能购买到C2安全级别的数据库安全系统,该类系统采用自主访问控制(DAC)模式,DBA角色能拥有至高的权限,权限可以不受限制的传播。
中软统一终端安全管理系统
“中软统一终端安全管理系统(United Endpoint Management, 简称UEM)”,以其全新的安全理念、强大的功能体系、完善的技术架构,改变了传统的内网安全管理模式,实现了主机监控与审计的完美统一。该系统采用了终端安全“一体化”的安全防护技术,整合了病毒防护监测、网络接入认证、终端健康性检查、系统身份认证、资产管理、补丁管理、运行监控和失泄密防护等等终端软件的安全功能,是终端安全的完整解决方案。 【系统功能】 该系统的主要从以下几个方面保障内部安全: 一.终端安全管理 1.安全策略管理 按照企业终端计算机安全管理规定,统一配置终端计算机的Windows安全策略,实现集中的安全策略配置管理,统一提高终端计算机用户的安全策略基线。系统所能配置的安全策略有:帐户密码策略监视、帐户锁定策略监视、审核策略监视、共享策略监视、屏保策略监视。 2.终端入网认证 对接入内网的计算机进行统一的管理,未经许可的计算机不能接入内网,接入内网的计算机必须通过安全性检查才能访问内部网络资源,其主要功能为:非法用户内联控制、主机安全性检查。 3.用户身份认证 身份认证是系统应用安全的起点,通过硬件USBKey和口令认证登录Windows系统用户身份,保证进入Windows系统用户身份的合法性;对登录用户权限进行合法性检查,保证用户权限的合规性。具体功能为:基于USBKey的身份认证、登录用户权限合法性检查。 4.网络进程管理 通过对网络进程的统一管理,规范计算机用户的网络行为,实现“外面的网路连接未经许可进不来,里面的网络进程未经许可出不去”。具体功能为:管理向外发起连接的网络进程、管理接收外部连入的网络进程、实时获取网络进程信息和会话连接状态。 5.防病毒软件监测 通过策略设置输入防病毒软件特征,按照统一的策略监测防病毒软件使用状况,并进行统计分析形成统一的数据报表。具体功能为:监视防病毒软件的使用状况、防病毒软件监测特征的自定义。 6.补丁分发管理 统一配置终端计算机的补丁管理策略,实现对系统补丁状况的扫描,自动完成补丁分发。系统所支持的补丁包括:Windows操作系统补丁系列、office系列办公软件补丁、SQL Server系列补丁等
基于移动终端的管线管理系统
成果上报申请书
基于移动终端的管线管理系统 摘要 目前上海移动通信管线及附属设备数目众多且十分密集,包括站点机房、光交、光缆、人手井、电杆、管道等。为了便于维护和管理,已逐步在实现统一资源管理系统进行管理,但具体线路维护人员在日常的外线维护工作中仍旧使用纸质图纸进行各项运维工作,不能做到与资源管理系统数据的即时同步。在遇到市政施工工地,
维护人员进行管线交底工作时,仅能依靠手头的纸质图纸及维护经验进行交底工作,精确度不高。日常运维信息的传递,如管线障碍信息、光交门告警信息等目前依靠电话沟通,不能做到即时定位到具体地点。管理人员不能掌握巡线人员的即时位置及当日的线路巡检轨迹,给运维事件人员调派及考核管理带来不便。 综上所述,为提高线路运维工作质量、加强管理手段,急需开发出一套运维管理系统,利用带GPS功能的手持终端,能够与资源管理系统、光缆线路监测系统、光交监控系统等平台传递即时信息,真正做到线路运维管理电子化,提高工作效率。 本文首先对课题研究的方向、范围、对象加以明确,并对上海移动管线资源管理现状进行分析,从实际情况中找出存在的问题,研究解决办法。 其次,对上海移动管线资源管理系统的建设背景、系统架构、实现的功能等进行了相关介绍。该系统的建立和完善是实现移动终端应用的前提。对资源管理系统在移动终端应用的意义、需实现的目标、相关技术条件进行了介绍。 最后,文章对目前上海移动管线资源管理系统在移动终端实现的功能进行了总结,提出了方案的创新点,并对未来的应用与实现提出了若干思路。 关键词:移动终端,资源管理,GIS,GPS
目录 摘要II 目录IV 第1章引言 (6) 课题背景 (6) 研究目的和意义 (6) 本文主要内容 (7) 第2章管线资源管理现状 (8) 2.1.上海移动管线资源管理现状 (8) 2.2.存在问题及解决思路 (8) 本章小结 (9) 第3章管线资源管理系统介绍 (10) 3.1系统的建设背景 (10) 3.1.1中国移动OSS2.0规划 (10) 3.1.2中国移动网络资源模型 (10) 3.2系统架构 (10) 3.3系统实现的功能 (12) 3.4系统资源范围及分类 (14) 本章小结 (15) 第4章管线系统在移动终端应用的研究 (16) 4.1移动终端应用的意义 (16) 4.2移动终端应用的目标 (16) 4.3移动终端应用实现的手段 (16) 4.3.1 组织架构 (16) 4.3.2系统接口方案 (17) 4.3.3基于Windows CE 和Android 平台对终端软件的开发 (19) 4.3.4基于GIS的管线系统移动应用 (19) 本章小结 (20) 第5章管线系统在移动终端应用的实现 (21) 5.1主要功能 (21) 5.1.1菜单选项 (22) 5.2系统配置功能 (24) 5.3地图功能 (24) 5.4数据功能 (25) 5.4.1综合查询 (25) 5.4GPS功能 (31) 5.5接入资源确认功能 (31) 5.5.1 根据建筑物名称查询 (31) 5.5.2 根据交叉道路名称查询 (32) 5.5.3 根据客户站点名称查询 (33)