>>中华箭1号

 

“中华箭1号”

网络非法外联监测管理系统(C-S版)

概述

系统组成与结构

系统功能与策略

系统特点

系统性能

系统运行环境 

概述

   “中华箭1号”网络非法外联监控管理系统(C-S)是专门针对那些禁止个人上网、对内外网隔离有严格要求的网络而设计的,它可以全面、实时地监控整个内部网络中的网络非法外联行为,并可根据用户定义的安全策略对电话拨号、ADSL、双网卡以及网卡代理等方式的外联行为进行严格的控制,并实现实时的切断和报警,从而帮助用户建立起一个更加全面的网络安全保障系统。

隐患之一:——正如许多网络安全专家和权威人士所指出的那样,在局域网内部,通过电话拨号上网是一个极其危险、又非常容易被忽略的安全隐患。可以说它是一个特大的安全漏洞。它轻易地从企业内部网络撕开一条通向外部的秘密通道,绕过了部署在企业网络出口处的防火墙、逃离了传统网络监控工具(如Sniffer、IDS)的监控,对企业内部网络的安全构成极大的影响。

隐患之二:——部分行业,其网络安全性要求较高,除了对电话拨号进行严格的控制外,还要求禁止部分甚至是全部的内部网络用户以任何的方式连接到Internet,从而有效的提高网络的安全性。

安全对策:——如何管理、防止拨号等危险的连接方式?如何严格的控制内部网络的外联通路?仅仅过行政手段发一个文件制度进行规定,并不是一种彻底的办法,也不能让管理者真正放心。为此,在大家形成观念、达成共识的时候,北京水木同正网络技术有限公司率先研发了“中华箭1号” 网络非法外联监控管理系统(CS版)。该系统能及时发现内部用户的非法外联的行为,并对之进行即时阻断或对之进行重点监控。它作为管理者有效的技术手段,辅助管理制度的严格执行,使非法外联行为的安全漏洞得以彻底弥补。从而帮助用户建立一个更加全面的网络安全保障系统。它就是这样一种让管理者更加安心的工具。

系统组成与结构                                                        

                                                                

1、基本型系统结构:

  基本型系统结构分为主控端(服务器端)和监控端(客户端):

1)     主控端:对内部网络中的计算机和监控端进行集中管理,包括监控策略的下发,监控端发送的报警信息的处理、显示和检索,以及所有受监控主机的状态反馈等。

2)     监控端:安装在每一台计算机上,采用隐蔽运行方式,保证监控的顺利进行。监控端主要负责监控用户的外联行为,并根据管理者定义的策略对外联行为进行控制,并进行非法外联行为的报警。

2、增强型系统结构:

  对于大型的网络,系统可以采用分级管理的方式实现对整个网络的监控。增强型系统的结构包括:总控中心、分控中心、主控端、监控端等部分。

1)     总控中心:总控中心设立在总部,实现对所有的分控中心的运行情况统一监控和管理,并实时获取各分控中心发现的报警事件。

2)     分控中心:由分布式的主控端组成,负责对各自网络中的计算机和监控端的监控和管理。

3)     主控端:对内部网络中的计算机和监控端进行集中管理,包括监控策略的下发,监控端发送的报警信息的处理、显示和检索,以及所有受监控主机的状态反馈等。

4)      监控端:安装在每台计算机上,对计算机的外联行为进行监控管理。

系统功能与策略                                                    

1、系统功能

    强大的非法外联行为监测与控制

   灵活的安全策略设置

    强大的信息查询与统计

    强大的报表生成

    系统权限分配管理(增强型系统)

    系统运行监控管理(增强型系统)

2、安全策略设置

针对不同的用户需求,系统可提供多种不同的安全策略:

    拨号策略:

1)  禁止拨号:该策略禁止用户任何时刻通过主叫拨号的方式连接到互联网,并将每次拨号的记录上报服务器端;

2允许拨号:该策略允许用户进行拨号上网,但系统会如实记录其拨号行为,并可通过主控端进行远程干预,根据需要可手动切断其拨号连接。

3) 允许离线拨号:该策略允许用户在计算机脱离内部网络(与内部网络断开)时单机状态下拨号上网。但它一旦与内部网络相联,则等同禁止拨号,系统会自动切断其拨号连接,或使其无法完成拨号上网;

4) 允许拨号到内网:该策略允许用户拨号到一个相对独立的网络环境中,该网络不能够与互联网相连,否则将断开其拨号;

    Internet代理:

1 禁止设置Internet代理:该策略禁止用户设置IE中的Internet代理,用户如果设置该内容则自动取消其设置;

2) 允许Internet代理上网:该策略允许用户通过IE代理设置上网访问互联网;

    网卡网关:

1) 限制通过网关上网:该策略禁止用户通过内部局域网与互联网通讯,如果计算机能够通过网卡与互联网通讯,则自动删除其网关,将计算机与网络断开;

2) 允许通过网关上网:该策略允许用户通过网卡网关(例如内部代理)上网;

上述三组策略可以组合,以适应不同的用户的需求。

系统特点                                      

      灵活的监控策略

  全方位、高效、实时监控

  简单、实用性

  分级管理

  可扩充性

   系统稳定性极佳

   对网络影响小

   用大型网络

系统运行环境                                   

硬件配置(主控端)

           处理器:奔腾III 800MHz以上处理器或其兼容处理器

             存:256MB以上

    软件配置

           主控端:Windows 2000,IE 5.0以上版本;

           监控端:Windows 9x、Windows NT、Windows 2000、XP、Windows 2003等版本;

    
    

 


国内首创的“中华箭1号”水木同正的一原创作品




 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
©北京水木同正网络技术有限公司版权所有
2003 © Beijing SMTZ Network Techology co.,Ltd All rights reserved