第一篇:內網安全管理系統7.0產品白皮書
產品白皮書
內網安全管理系統V7.0
產品白皮書
第1頁
產品白皮書
目錄
1.產品簡介.......................................................................................................................................................1 2.產品構架.......................................................................................................................................................1 3.產品功能.......................................................................................................................................................2 4.產品特點.......................................................................................................................................................2 5.產品性能.......................................................................................................................................................3 6.產品部署.......................................................................................................................................................4
第2頁
1.產品簡介
內網安全管理系統是用于政府和企業終端安全管理系統。系統通過對計算機準入控制、計算機安全加固、計算機運行維護、計算機安全審計、移動存儲介質注冊等多個方面的綜合管理,為政府和企業用戶打造一個安全、可信、規范、健康的內網環境。內網安全管理系統可為用戶解決如下一系列的內網安全管理問題:
? 確保入網終端符合要求 ? 全面監測終端健康狀況 ? 保證終端信息安全可控 ? 動態監測內網安全態勢 ? 快速定位解決終端故障 ? 規范企業員工網絡行為 ? 統一內網用戶身份管理 ? 杜絕移動存儲介質濫用 ? 提高和實現軟件正版化
2.產品構架
內網安全管理系統在架構設計上采用了三層管理結構:終端監控引擎、總控中心、管理控制臺。
終端監控引擎以服務的形式運行于終端計算機上,是終端計算機管理的核心和基礎部件,用于對被管理終端計算機的安全加固、運行維護和監測審計等管理職能。終端監控引擎的設計充分考慮了穩定性、安全性和兼容性要求。終端監控引擎可防止惡意停止,并全面兼容防病毒軟件、防火墻軟件、設計開發軟件、業務軟件、辦公軟件。
總控中心用于計算機的集中管理,為終端監控引擎和管理控制臺提供一系列的管理服務。由策略管理服務、審計管理服務、Radius認證服務、文件備份服務、補丁與軟件分發服務、時間同步服務、網絡管理服務、分級管理服務、事件訂閱服務、健康狀態監測服務等組成。視內網規模和性能要求,這些服務可分別部署在不同的硬件平臺上,也可部署在同一個硬件平臺上。
管理控制臺是系統管理人員提供系統管理入口。采用了B/S方式進行系統管理,通過管理控制臺可以完成系統管理的全部操作。三層管理結構大大提高了系統設計開發、安裝部署和運行維護的靈活性、便利性和擴展性。
圖1 LanSecS?內網安全管理系統架構
3.產品功能
安全審計:提供內網主機安全事件的審計功能,包括文件操作、文檔打印、共享訪問、服務與進程活動、系統日志、系統賬戶監控等。提供終端計算機用戶行為的監控與審計,包括信息泄密、資源濫用、即時通訊、郵件收發和網站訪問等。
安全服務:通過預警平臺、遠程協助、軟件及文件分發等功能實現遠程桌面維護以及安全動態、桌面通知、信息發布。
安全加固:提供強大的補丁自動分發機制、病毒庫自動下載機制、本地文件安全存儲以及移動存儲介質的認證與注冊管理等功能,保證終端運行環境的安全可控,保障內網運行的可靠性。另外,還提供主機安全策略和IE安全策略的統一設置,加強主機的安全性。
資產管理:提供對內網資產和資源的集中管理能力,包括計算機、交換機、操作系統、軟件、硬件,并對資產和資源的變更進行監控和預警。
準入控制:采用可信接入技術,對于接入內網的計算機進行嚴格的身份認證和健康檢查,保證內網業務數據和系統環境的安全。
4.產品特點
完善的分級管理架構,“分散不分立”:通過分級管理,系統可實現跨地域分散部署和集中管理。“分散不分立”,形成有效的和有機的內網安全管理架構。
靈活的分權管理機制,“集中不集權”:系統提供了基于安全角色的授權管理機制,根據功能模塊或行政機構的劃分自定義安全角色,一種安全角色只能執行其所轄部門范圍內的相應安全代理的安全策略和審計事件的管理。“集中不集權”,保證了管理的安全性。
多層次的安全措施,保證系統運行的安全可靠:系統從數據庫、網絡通訊、策略分發與存儲等多個層面加強了安全保護,確保系統運行的安全可靠。
全方位的安全審計功能,有效地防止信息泄密:系統提供對所有輸入/輸出設備、文件系統、進程、服務、注冊表、網絡應用、用戶身份、操作系統安全策略等進行綜合的監控和審計,全方位的監控操作系統的運行狀態以及用戶的操作行為,實現涉密信息的全程審計與跟蹤。
完善的基于數字證書的身份認證機制:系統內嵌身份認證服務,實現了與數字證書的完美結合,管理控制臺、監控代理、總控中心以及所有系統管理用戶和計算機終端用戶均通過數字證書進行身份認證。
豐富、多樣的統計報表功能:系統提供列表和統計圖的報表輸出,報表的輸出支持HTML、EXCEL、PDF、RTF等四種格式。同時提供手動報表、自動報表等兩種運行模式。
高度模塊化設計,需求響應迅速:系統管理控制臺、安全代理和總控中心均采用模塊化設計,并提供用戶設計、開發接口和示例,用戶可以根據企業的安全需求定制采購,同時也可以根據需求的變化,在運行時動態改變其工作狀態,提高系統的運行效率。
所有組件支持自動升級,系統維護方便、快捷:系統的主機代理及其功能模塊均支持基于版本號的網絡自動下載更新,只需要在總控中心一次部署即可以完成全網的自動升級。系統的維護和升級非常方便。
客戶端監控代理安裝部署方式靈活、多樣: 內網安全管理系統客戶端監控代理同時支持域模式安裝、本地安裝、網絡分發安裝以及WEB安裝等多種安裝部署方式,用戶可以根據實際網絡環境自由選擇。
5.產品性能
內網安全管理系統主要性能指標如下:
? 總控中心最大并發連接數:3000;
? 總控中心最大可管理注冊主機數量:20000臺; ? 總控中心網絡帶寬占用:100K/1000客戶端; ? 終端監控引擎CPU占用(靜態模式):< 1%;
? 終端監控引擎內存占用(靜態模式):8M。
6.產品部署
內網安全管理系統支持本地部署和分級部署,分級部署示意圖如下:
圖 2分級部署示意圖
第二篇:產品白皮書_北信源內網安全管理系統白皮書v2.0_北信源_20100403
北信源內網安全管理系統
產品白皮書
北京北信源軟件股份有限公司
2010年4月
北信源內網安全管理系統產品白皮書
版權聲明
本手冊的所有內容,其版權屬于北京北信源軟件股份有限公司(以下簡稱北信源公司)所有,未經北信源許可,任何人不得仿制、拷貝、轉譯或任意引用。本手冊沒有任何形式的擔保、立場傾向或其他暗示。
商標聲明
本手冊中所談及的產品名稱僅做識別之用,而這些名稱可能屬于其他公司的注冊商標或是版權,其他提到的商標,均屬各該商標注冊人所有,恕不逐一列明。
產品聲明
本手冊中提到的產品功能或性能可能因產品具體型號、配備環境、配置方法不同而有所差異,由此可能產生的差異為正常現象,相關問題請咨詢北信源公司技術服務人員。
免責聲明
若因本手冊或其所提到的任何信息引起的直接或間接的資料流失、利益損失,北信源公司及其員工均不承擔任何責任。
北信源內網安全管理系統產品白皮書
目錄
1.引言...........................................................................................................4 2.產品背景....................................................................................................5 3.產品架構....................................................................................................6
3.1管理構架.............................................................................................................................6
3.1.1局域網構架..............................................................................................................6 3.1.2廣域網構架..............................................................................................................8 3.2統一策略管理.....................................................................................................................8 3.3自身安全設計.....................................................................................................................9
4.產品功能..................................................................................................11
4.1終端基本管理功能...........................................................................................................11 4.2 IT資產管理功能..............................................................................................................13 4.3終端桌面管理功能...........................................................................................................15 4.4終端安全管理功能...........................................................................................................22 4.5主機運維管理功能...........................................................................................................26 4.6非法外聯管理功能...........................................................................................................30 4.7補丁分發管理(可選)...................................................................................................31 4.8文件分發管理(可選)...................................................................................................37 4.9安全監控審計功能...........................................................................................................39 4.10報表管理功能.................................................................................................................43 4.11事件報警管理.................................................................................................................45 4.12第三方接口管理.............................................................................................................46
5.產品運行配置...........................................................................................46
5.1硬件配置...........................................................................................................................46 5.2軟件配置...........................................................................................................................47
6.關于北信源...............................................................................................48
6.1.6.2.公司簡介.....................................................................................................................48 聯系方式.....................................................................................................................49
北信源內網安全管理系統產品白皮書
1.引言
終端桌面安全管理技術的興起是伴隨著網絡管理事務密集度的增加、網絡管理技術的逐步發展而衍生的,它同傳統安全防御體系的缺陷相關聯,是傳統網絡安全防范體系的補充,也是未來網絡安全防范體系重要的組成部分。因此,終端桌面安全管理技術無論在現在還是未來都應當歸入基礎體系網絡安全產品之列。
現代網絡安全管理體系的日臻完善,使得對網絡終端桌面安全管理的需求強烈凸現出來。正確、全面地認識終端管理產品的發展趨勢和技術特點,是IT研發廠商面臨的發展抉擇,同時也是企、事業IT管理人員和高層決策人員在進行終端桌面安全防護部署時必須考慮的議題。
近兩年的安全防御調查也表明,政府、企業以及金融證券等單位中超過80%的管理和安全問題來自終端,計算機終端廣泛涉及每個用戶,由于其分散、不被重視、安全手段缺乏的特點,已使得終端安全成為信息安全體系的薄弱環節。因此,網絡安全呈現出了新的發展趨勢,對于各政府企業網絡來說,安全戰場已經逐步由核心與主干的防護,轉向網絡內部的每一個終端。
北信源內網安全管理系統產品白皮書
2.產品背景
提起網絡安全,人們自然就會想到網絡邊界安全,但實際情況是網絡的大部分安全風險均來自于內部。常規安全防御理念往往局限在網關級別、網絡邊界(防火墻、IDS、漏洞掃描)等方面,重要的安全設施大致集中于機房或網絡入口處,在這些設備的嚴密監控下,來自網絡外部的安全威脅大大減小。相反,來自網絡內部計算機終端的安全威脅卻是眾多安全管理人員所普遍面臨的棘手問題。
總結起來,政府機關和企業單位的內部網絡管理大致面臨著以下一些常見問題:
? 如何發現終端設備的系統漏洞并自動分發補丁;? 如何有效解決移動存儲介質使用管理問題;? 如何有效解決終端隨意接入網絡問題;? 如何防范內網設備非法外聯;? 如何管理終端資產,保障網絡設備正常運行;? 如何在全網制訂統一的安全策略;? 如何及時發現網絡中占用帶寬最大的終端;? 如何方便地進行遠程點對點維護;? 如何防范內部敏感信息的泄露;? 如何對原有終端應用軟件進行統一監控、管理;? 如何快速有效地定位網絡中病毒、蠕蟲、黑客的引入點,及時、準確地切斷安全事件發生點和網絡;? 如何構架功能強大的統一網絡安全報警處置平臺,進行安全事件響應和事件查詢,全面管理網絡資源。
這些終端安全隱患隨時隨地都可能威脅到用戶網絡的正常運行。針對如上系列問題北信源公司提供領先業界的內網安全管理產品及解決方案。
北信源內網安全管理系統產品白皮書
3.產品架構
北信源內網安全管理系統遵循網絡防護和端點防護并重理念,對網絡安全管理人員在網絡管理、終端管理過程中所面臨的種種問題提供解決方案,實現內部網絡終端的可控管理,并能夠支持多級級聯廣域網構架,達到最佳的管理效果。
北信源內網安全管理系統強化了對網絡計算機終端狀態、行為以及事件的管理,它提供了防火墻、IDS、防病毒系統、專業網管軟件所不能提供的防護功能,對它們管理的盲區進行監控,擴展成為一個實時的可控內網管理平臺,并能夠同其它安全設備進行安全集成和報警聯動。
北信源內網安全管理系統可分為五個軟件功能包,全方位地為網絡用戶提供安全管理功能。這五個軟件包具體為:基本產品包、終端桌面管理產品包、終端安全管理產品包、網絡主機運維產品包、非法外聯管理產品包。
3.1管理構架 3.1.1局域網構架
對于一般網絡(例如1個C類地址或若干個C類地址的局域網范圍),可使用一套本系統軟件,集中管理所屬區域內的所有設備。
本系統在網絡中安裝數據庫,用于存儲網絡客戶端設備信息。當上述系統數據庫、網頁管理平臺、區域管理器安裝完畢后,即可對網絡中客戶端進行注冊。用戶在取得注冊程序,執行后添加計算機使用信息,如使用人姓名、單位、聯系方式等,注冊程序自動采集系統的硬件設備信息,經過區域管理器處理后存入數據庫,同時區域管理器將代理駐留程序發送到計算機終端,實時運行。通過探頭、區域掃描器等對計算機的網絡連接行為實施探測,根據需要發送本機缺少的相關系統補丁、安全策略、命令或文件等,在遇到數據庫中定義的非法行為時實施阻斷。
系統正常運行后,主要通過網頁WEB管理平臺來對整個計算機設備信息系統
北信源內網安全管理系統產品白皮書
進行配置管理,在網絡內設置區域管理器、掃描器IP地址。對于一般網絡(如1個C類地址或若干個C類地址的局域網范圍)適用一套本系統,集中管理所屬區域內的設備。對于大規模的多個局域網或者跨地域的廣域網,提供多區域集中管理模式,即下級管理系統可將本級所有設備信息再傳遞給上級管理數據庫,使得上一級管理人員對整個網絡的設備狀況能夠完全掌握。
設備管理信息系統的配置,要根據網絡客戶端規模、網絡管理實際情況來選擇。可以在網絡中安裝多個區域管理器,區域管理器只負責一定范圍內的客戶端,對于該范圍以外的客戶端,不予以處理;每個區域管理器下屬多個掃描器,提供對本區域網絡的分段掃描,及時檢查該網絡客戶端注冊情況。
Internet補丁下載服務器物理隔離中央管理配置平臺數據交換指令下達數據交換補丁增量導入管理信息庫補丁分析模塊指令、策略獲取狀態、數據上報補丁獲取區域掃描器指令下達數據交換區域管理器A.注冊B.驗證C.管理D.補丁獲取級聯A.掃描發現B.阻斷違規客戶端(安裝客戶端程序)系統邏輯圖
下級區域管理器7
北信源內網安全管理系統產品白皮書
3.1.2廣域網構架
對于大規模的多個局域網或者跨地域廣域網(包括基于國家、省、市、縣等多級管理模式的網絡結構),可使用本系統提供的多區域級聯集中管理構架,即一個或多個網段各擁有一套獨立的北信源內網安全管理系統的同時,將本級的統計和報警信息轉發給上級管理系統,上一級管理人員對整個網絡的狀況也能夠完全掌握。
多級級聯集中管理構架
3.2統一策略管理
北信源內網安全管理系統采用統一策略管理中心實現對內部網絡終端的統一安全管理。策略管理中心內置終端安全防護需要的所有安全管理參數,提供對計算機終端的安全規則配置、安全功能策略開啟/關閉、安全策略執行范圍/周期設定等一系列安全措施的管理。
北信源內網安全管理系統內置安全策略分為全局策略、本地策略、備份策略三種,管理員通過屬性設置決定其類型。
北信源內網安全管理系統產品白皮書
統一策略管理圖
3.3自身安全設計
1.分級管理:系統支持對管理員分級管理,實現不同管理員管理不同內容,可分為授權、管理和審計等多種角色劃分,具有安全性高、可靠性強的特點,適合集中授權、多角色參與監控的管理模式。
2.通信保護:系統的組件間通信時,數據傳輸是經過加密的,客戶端和服務器端相互通信使用雙向認證機制,防止已安裝同類客戶端的非本網絡計算機非法進入網絡,同時也防止模擬的假客戶端和服務器進行通信。
3.客戶端軟件強保護機制:系統的客戶端系統具有自我防護機制,防止用戶隨意停止、卸載。
4.服務器安全設計:服務器系統具備保護服務器功能。保證管理系統服務器端使用的安全性,保證其受到惡意修改IP地址的方式攻擊時仍可正常工作,網絡中出現惡意修改成與管理服務器相同屬性(如相同的IP地址、相同的MAC地址等)的機器時,出現IP地址或MAC地址沖突等現象時,管理服務器將不會
北信源內網安全管理系統產品白皮書
被阻斷出網(即不會出現地址沖突的現象),只有發起惡意攻擊的設備才會被自動阻斷,不會影響管理服務器的正常管理。
5.提供系統審計員、系統管理員、系統操作員三權分立的權限管理體系。6.系統日志:系統提供運行審計和操作審計機制,保證系統的穩定運行。
北信源內網安全管理系統產品白皮書
4.產品功能
4.1終端基本管理功能
1.終端注冊管理
系統采用C/S和B/S模式混合管理方式,在被管理的桌面計算機上安裝VRVEDP客戶端程序。在安裝客戶端程序需要填寫當前計算機使用人的個人相關信息,如使用人、單位、部門、聯系電話、郵件、所在地、計算機類型等,進行實名化的管理便于快速定位,無論是違規,還是網絡安全事件發生時都可以快速定位到事件源。
個人信息填寫
填寫的個人相關信息會上報到服務器,保存在后臺數據庫里,供前臺管理平臺查詢。
系統注冊信息填寫頁可以由用戶自己自由選擇設定,可以設定顯示的注冊內容項、標題項、是否啟用、是否必填、是否為選擇性填充等,并可以設定擴充選項,提供給不用需求的用戶進行選擇性注冊管理。
北信源內網安全管理系統產品白皮書
用戶填寫項自由設定頁面
2.IP和MAC綁定管理
對固定IP網絡的MAC和IP地址進行綁定管理,系統探測到IP變化后根據策略設置恢復其原有IP地址,或者阻斷其聯網,同時禁止修改網關、禁用冗余網卡。
3.禁止修改網關、禁用冗余網卡管理
系統支持禁止修改網關、禁用冗余網卡等功能。4.未注冊終端拒絕入網管理(軟阻斷技術)
系統采取對未注冊終端Arp阻斷管理:對于接入網絡未注冊終端進行Arp
北信源內網安全管理系統產品白皮書
阻斷,禁止其聯網。
4.2 IT資產管理功能
1.硬件資產管理
自動搜集包括CPU、內存、硬盤分區總和、設備標識的大小和其他詳細信息以及其他如主板、光驅、軟驅、顯卡、鍵盤、鼠標、監視器、紅外設備、鍵盤等所有的硬件信息。
網管可自主添加相關的附加信息。
2.軟件資產管理
自動發現識別客戶端安裝的所有軟件信息(名稱、版本、安裝時間、發現時間等),將相關數據入庫,檢測客戶端運行軟件信息,供管理員在Web控制臺查詢。
北信源內網安全管理系統產品白皮書
軟件資源統一監控:自動收集安裝在每臺計算機上的每種應用程序信息,包括安裝的操作系統種類、版本號以及當前補丁情況、客戶機安裝的軟件等信息和驅動程序情況,并進行匯總管理。
系統能夠及時檢測主機軟件信息變化情況。
根據條件查詢客戶機安裝的軟件或指定軟件被哪些客戶端安裝等信息。3.軟、硬件設備信息變更管理
報警未注冊設備、注冊程序卸載行為,實時檢測硬件設備變化情況(如設備硬件變化、網絡地址更改、USB設備接入等)。
北信源內網安全管理系統產品白皮書
4.3終端桌面管理功能
1.進程運行黑白名單控制
對進程執行進行黑白名單控制,即根據策略設定禁止執行的進程和必須執行的進程。對違規的客戶端進行客戶端提示和斷網處理等相應措施。
2.進程保護管理
對重要的進程進行守護,防止由于意外或人為原因造成重要進程中斷。
北信源內網安全管理系統產品白皮書
3.進程執行匯總
統一匯總和監視網絡各終端的進程,可以增量式的顯示網絡中新出現的進程,也可統計網絡中最常運行的進程,從而統計出網絡客戶端軟件的使用情況。此系統可對網絡中出現的異常進程(很可能病毒進程)進行定位和報警,在必要時可直接阻斷。
4.終端服務管理
查詢當前終端運行的服務,可以遠程關閉或開啟服務。
5.軟件黑白名單控制
對軟件安裝進行黑白名單控制,即根據策略設定禁止安裝的軟件和必須安裝的軟件。違規軟件禁止安裝功能,禁止在注冊表Run項里添加自啟動項,禁止在注冊表Services項里添加自啟動項,禁止在程序啟動項中添加項,禁止在程序項中添加快捷方式限制違規軟件的安裝,所有安裝軟件均可進行審計。
北信源內網安全管理系統產品白皮書
6.軟件安裝匯總
系統能夠對所安裝的軟件進行統計匯總,并能將匯總情況統計生成報表,支持多種報表導出方式。
7.終端消息推送
可精確地對選定的對象或個人進行消息傳送,而不依賴于Windows自身的信使服務功能,系統還提供多種策略模式傳送消息。
北信源內網安全管理系統產品白皮書
8.遠程協助
當客戶端用戶以及服務器用戶在使用計算機時遇到難以解決的問題,可以通過訪問特定網頁式,主動向多個網管工作臺(可自主選擇的)進行并發協助請求呼叫,呼叫網管對其進行遠程協助。當管理員接收到客戶端的請求可以后,調用遠程客戶端的桌面,幫助客戶端用戶解決相應的問題。
呼叫中心示意圖
管理員是否接受請求示意圖
管理員接收請求后,系統將自動調用遠程計算機的桌面,就如同管理員親自到現場,進行軟件安裝、軟件調試、系統維護、打印機安裝等工作,省去管理員 來回現場和辦公室之間的時間,提高了系統維護的效率和管理員的工作效率。
北信源內網安全管理系統產品白皮書
9.外設及端口控制
系統可以設置受控主機允許或禁止使用USB設備、串口、并口、軟驅、光驅、紅外設備、藍牙設備、網絡設備(無線網卡、網卡、PCMCIA)、1394接口、打印設備。系統采用硬件設備驅動級的禁用方式實現對上述設備的禁用。
10.垃圾文件清理
管理員可在Web控制臺對終端用戶某一文件夾下或全盤某些后綴的垃圾文件或臨時文件進行集中清理。
目前的系統臨時文件眾多,而絕大部分業務用戶均不會手動清除大量的臨時文件,這樣會占用大量的硬盤資源,因此需要靠第三方系統主動的對其加以清理。
系統可協助用戶維護(指定目錄下的)臨時文件、備份文件、幫助的歷史文件、IE臨時文件、安裝臨時文件、異常臨時文件等各種應刪除的文件。
北信源內網安全管理系統產品白皮書
11.終端點對點管理
系統管理員可通過系統以點對點的方式對客戶端進行詳細的監控審計,具體包括以下內容:
(1)硬件資產清單:自動搜集包括CPU、內存、硬盤分區總和、設備標識的大小和其他詳細信息以及其他如主板、光驅、軟驅、顯卡、鍵盤、鼠標、監視器、紅外設備、鍵盤等所有的硬件信息;網管可自主添加相關的附加信息。(2)安裝軟件查詢:查詢設備所有安裝的軟件。
(3)終端進程管理:查詢當前終端所有運行的進程,并可通過系統關閉非系統進程。
(4)終端服務管理:查詢當前終端運行的服務,可以遠程關閉或開啟服務。(5)終端流量查詢:包括當前與網絡連接的進程及其流量的統計。(6)系統運行資源查看:具體包括:CPU頻率和使用率、內存大小和使用率、系統各硬盤分區大小和使用情況。
(7)補丁查詢:查看系統漏打的補丁。
(8)日志查詢:查看終端的系統日志、安全日志和應用程序日志。(9)終端安全審計:查看用戶的登錄、歷史記錄、下載信息等各種信息。(10)消息通知:向用戶發送消息,并可要求用戶進行消息回饋。(11)遠程運行進程:可遠程加載進程。(12)共享目錄檢查:檢查當前終端的共享目錄。
北信源內網安全管理系統產品白皮書
(13)修改網絡配置:可查看網絡終端的IP、MAC、子網掩碼和網關信息,并可遠程修改用戶的IP地址。(14)遠程卸載客戶端程序。
(15)遠程斷開/恢復網絡終端的網絡。(16)遠程重新啟動計算機。
12.系統自動關機管理
北信源內網安全管理系統產品白皮書
對客戶端關機時間的設定,實現自動關機,并可以在發現計算機空閑時間過長時鎖屏或關機。
13.終端時間同步管理
所有客戶端時間的同步,防止擅自修改系統時間。
4.4終端安全管理功能
1.桌面密碼權限管理
對終端的密碼管理權限變化及使用狀況(包括密碼長度、安全性、弱口令等方面)進行審計檢查及報警,同時對不符合要求的終端進行提示或強制修改等處置,達到防止病毒及黑客入侵的目的。
北信源內網安全管理系統產品白皮書
2.終端統一防火墻
管理員在Web控制臺對終端進行統一的防火墻設置,對網絡IP及協議訪問進行限制,在網絡內建立虛擬的終端隔離區。
另外對于大型網絡,網絡客戶端由于用戶使用水平的差別,會出現用戶卸載甚至退出統一安裝的防病毒軟件的情況,也會出現有個別用戶被遺漏,未安裝防病毒軟件的情況。
管理員可利用Web控制臺對終端所安裝的殺毒軟件情況進行監控和管理,并能夠對終端殺毒軟件實施遠程操作(病毒查殺、升級、軟件安裝等)。還可統一監控網絡內的防病毒軟件(國內主流廠商的均可)安裝情況和使用狀態,了解網絡中的病毒軟件安裝狀況,必要時可通過此系統強制為客戶端安裝防病毒程序,如果需要,此系統也可監控終端軟件的安裝情況,并進行相應的管理(如安裝殺毒軟件軟件,強行升級病毒庫、自動分發并自動執行病毒專殺工具等)。
北信源內網安全管理系統產品白皮書
3.終端殺毒軟件管理
可統一審計網絡內終端的防病毒軟件(主流廠商的均可)安裝和使用情況,必要時可強制為客戶端安裝防病毒程序。如果需要,也可監控終端防病毒軟件的安裝情況,并進行相應的管理(如安裝殺毒軟件軟件,強行升級病毒庫、自動分發并自動執行病毒專殺工具等)。
北信源內網安全管理系統產品白皮書
4.注冊表監控/保護
系統提供注冊表檢查功能,對于病毒行為修改的注冊表,可以通過強制注冊表策略對其進行操作,可以自動創建、刪除、修改相應的注冊表鍵值,實現注冊表安全管理。
系統可屏蔽選定用戶計算機的一些程序進程對注冊表的使用,通過該策略可以有效的防止違規進程對用戶注冊表的破壞。
北信源內網安全管理系統產品白皮書
5.終端在線/離線策略管理
系統可以針對不同的網絡接入情況,設定終端的在線、離線策略。當終端處于不同的網絡中,可以實現不同的執行策略。
4.5主機運維管理功能
1.運行資源監控
在Web控制臺對終端的CPU、內存、硬盤的資源占用率和剩余空間進行監控,設定危險等級報警閥門。
北信源內網安全管理系統產品白皮書
2.流量管理和控制
蠕蟲病毒和BT下載等行為在很多情況下會嚴重占用網絡帶寬,造成網絡的擁塞甚至癱瘓,對此可利用本系統進行流量的管理與監控。主要功能:
? 流量采樣閾值設定:用戶自主設定采樣閾值,當流量(含出、入或總流量)超過一定限度并持續一定時間后,進行有關信息上報,防止上報數據過多給網絡帶來負擔。
? 上報的當前流量進行匯總,對當前的流量進行時實排序,以便網絡管理人員進行快速分析是否是網絡安全事故。
? 對網絡客戶端的歷史流量進行統計和排序,并可生成報表。? 對并發連接數設定閾值并進行采樣。? 對網絡掃描的可疑行為進行閾值設定和報警。? 對客戶端大量發包的可疑行為進行閾值設定和報警。
? 對具備可疑行為的客戶端進行報警上報、自動阻斷、客戶端提示等管理。? 設定網絡客戶端流量上限閾值,對超過的進行報警上報、自動阻斷、客戶端提示等管理。
北信源內網安全管理系統產品白皮書
3.流量異常監控
在Web控制臺對終端的網絡流入、流出和總流量進行監控和管理。并能夠對產生總流量過大、分時段瞬時流量過大的進程進行統計,輔助分析產生流量過大的原因。
4.進程異常監控
在Web控制臺對終端未響應窗口進行監控并結束或重啟該進程,對意外退出的進程進行監控和保護。
北信源內網安全管理系統產品白皮書
5.客戶端文件備份
針對終端計算機進行數據實時備份,將本機計算機目錄文件數據實時或定時備份到數據服務器或其它計算機上存儲。針對局域網服務器數據存儲等提供安全數據同步備份解決方案。
北信源內網安全管理系統產品白皮書
4.6非法外聯管理功能
1.網絡內部終端非法外聯互聯網行為監控
終端非法外聯互聯網行為監控:對于已注冊的設備,通過不同方式(如雙網卡、代理等)連接互聯網進行的通訊,系統能夠自動阻斷其連接行為并報警。
2.網絡內部終端非法接入其它網絡行為監控
對于已注冊的設備,監控其網絡連接行為,根據接入網絡環境因素判定其是否非法接入其它網絡(同上圖)。
3.離網終端非法外聯互聯網行為監控
對于已經注冊的計算機,非法帶出到另外一個網絡的行為進行監控,發現有外聯互聯網行為時可以采取警告、阻斷、自動關機等操作(同上圖)。
4.非法外聯行為告警和網絡鎖定
如果終端非法入網,可以在報警平臺和報警查詢處獲知信息,并且可以對終端提示信息,自動關機,阻斷聯網等處理(同上圖)。
5.非法外聯行為取證
對于非法外聯行為進行實時告警功能,同時記錄該行為發生的事件、IP地址、MAC地址、使用人等相關信息上報到服務器進行記錄取證。
北信源內網安全管理系統產品白皮書
4.7補丁分發管理(可選)
系統功能概述
北信源補丁分發管理系統是北信源公司在為國家各大部委機關、各大行業網絡用戶進行病毒安全服務、總結安全運營保障經驗的基礎上,分析當前網絡客戶端實際安全管理要求研發的,系統支持推、拉兩種方式自動下載補丁。整個補丁管理運行平臺構架是:通過北信源外網補丁下載服務器及時從補丁廠商網站獲取最新補丁;補丁安全測試后,通過補丁分發管理中心服務器對網絡用戶進行分發安裝;補丁安裝支持自動和手動兩種方式。
......北信源補丁管理中心(二級)級聯同步補丁增量導入北信源補丁管理中心(二級)級聯同步北信源補丁中心(一級)補丁庫分類補丁測試策略控制推拉分發控制流量控制補丁分發檢索多級級聯控制客戶補丁查詢動態下載轉發代理自動測試組(真實環境)客戶端 補丁自動識別客戶端策略報表中心補丁監控功能
系統可監控管理網絡補丁狀況,其具體功能如下: 1.補丁索引的適應和擴展性
內網安全管理系統具有良好的兼容性,支持主流操作系統,如Windows2003、Windows2000 Pro、Windows 2000 Server、Windows Pro、Windows XP home、Windows、Windwos9X等。
因為補丁索引文件為北信源自主開發,補丁索引的結構具備可擴展性和可編輯性,索引的結構和定義除了可以支持微軟補丁外,還可以支持非微軟系統補丁、各種數據庫補丁,甚至可以支持各種用戶應用程序的更新補丁。
北信源內網安全管理系統產品白皮書
補丁索引編輯界面
2.補丁下載檢測和增量式導入功能
對于物理隔離的內部網絡,其內部的補丁升級服務器中的補丁數據必須從外部導入,巨大的補丁數據庫使得每次補丁導入相當煩瑣。為此,北信源使用增量式補丁分離技術,在外網導出補丁時,可分離出內網已經安裝的補丁,只導入內網尚未安裝的系統補丁,即僅對內網的補丁進行“增量式”的升級,以提高效率。
當有新的計算機補丁公布可以下載后,北信源公司由專門的人員在第一時間內獲得,并進行相應的分析,更新補丁索引文件。
系統擁有專門的外網補丁下載服務器,能根據索引自動下載新增的計算機補丁,補丁校驗功能對所下載的補丁進行校驗,保證計算機補丁的可靠性、完整性、安全性。
補丁在導入時并具有病毒檢測功能,保證導入到補丁庫中的補丁不被病毒感染。
3.補丁安全自動測試功能
用戶的真實環境中,可能會包含特殊的應用或特殊的軟件版本,在這些環境
北信源內網安全管理系統產品白皮書
中,有時會出現打補丁后系統或應用異常的情況,所以在大規模補丁分發前需要進行真實環境的補丁測試。北信源系統獨創了真實環境閉環測試技術,具體的流程是首先由網管選定某些計算機作為測試計算機作為測試組,每次補丁導入后內網后,首先自動分發至這些選定計算機進行新補丁的安裝測試,從而自動地進行非模擬性自動測試。如果補丁安裝后對測試計算機未產生影響,被測試計算機能正常運行,網管員便可根據相應得策略對網絡內的計算機進行大面積的推送。此技術可以很好的減輕網管的測試工作量,并提高補丁安裝的安全性。
補丁自動測試圖
4.補丁庫自動分類功能
系統對存放到服務器上的計算機系統補丁能進行相應的分析,自動得出補丁屬性、類型和與之相關的補丁說明,并在網頁中進行清晰明了的顯示。可以方便管理人員根據相應的需求,高效快捷定義補丁分發策略,及時地針對不同的系統和需要分發計算機補丁。
系統同時提供管理員自定義補丁類別的補丁管理方式,如果需要也可由相關的管理人員自行設定相應的自定義補丁類別以符合其管理的需要。
5.補丁庫的級聯和同步功能
系統可以針對補丁進行級聯式的分發和管理,在級聯級數沒有任何限制并在三級的基礎上進行無縫平滑擴展。
可定期進行同步校驗,也可自主設定同步校驗周期和時間。在有新補丁導入時,也可以自動觸發與下級服務器間的同步操作。
所有的同步過程均可自動完成,上級服務器可以了解下級服務器補丁庫是否同步成功。
6.補丁安裝檢測、自動分發補丁功能
北信源內網安全管理系統產品白皮書
北信源補丁管理依據自身注冊客戶端優勢,為網絡用戶提供強大的系統補丁檢測、分發、安裝等遠程控制功能。網絡管理人員通過本模塊全面檢測網絡系統終端補丁的安裝狀況,并通過此模塊,對沒有安裝補丁的設備進行遠程補丁安裝,可將最新補丁升級包及時分發到終端計算機,并提示安裝修補,在客戶端有明顯提示,通知用戶打補丁。
系統可以對客戶端安裝的系統的版本,IE版本的補丁安裝情況進行自動探測和維護(客戶端計算機的補丁安裝情況包括Windows、Office、IE、微軟媒體播放器等),自動搜集客戶端系統資料和安裝補丁資料,以根據客戶端系統的實際狀況自動分發所需的補丁。
客戶端程序安裝檢測:網絡中的客戶端訪問本地的WEB網站進行自動注冊。注冊后客戶端檢測程序將在系統中實時運行,檢測補丁安裝狀況,并上報給補丁管理中心。用戶WEB網頁自動探測提示,支持大面積用戶快速安裝。客戶端部署:在系統內部網絡中,未注冊客戶端訪問本地網站、以及訪問上級網站均會出現提示用戶注冊窗口。
補丁推送安裝:當系統檢測到有客戶端未打補丁時,可對漏打的補丁進行推送式的安裝。同時,通過推送安裝,也可以為客戶端安裝應用軟件。
補丁推送分發可以跨網段,跨VLAN,補丁分發支持斷點續傳功能。補丁下發過程中,如遇到特殊事件造成網絡中斷,則在下次網絡連通時通過校驗得出已傳輸的數據和斷點位置,進行續傳。
系統補丁報表:監控程序將網絡客戶端補丁信息上報管理中心后寫入數據庫,在WEB管理平臺可進行補丁報表察看,統計網絡客戶端補丁安裝狀況。
7.補丁策略制定功能
包括補丁應用策略制定、補丁文件分發任務制定。
可以根據要求按照不同的區域進行劃分,可按照IP地址、部門、操作系統、用戶自定義等方式進行區域劃分。
補丁策略制定:具體可支持定時、定周期、分類、分部門、分范圍、客戶機狀態和用戶自定義等策略。
補丁策略分發:具備詳盡的補丁分發策略,補丁可以定時、定周期、分類、分范圍、分部門、分范圍、客戶機狀態和用戶自定義等進行分發。
北信源內網安全管理系統產品白皮書
補丁文件任務制定:針對特定的一個補丁或多個補丁,對指定計算機或者計算機網絡進行補丁自動分發安裝。
補丁中心將網絡客戶端分類,設置測試類客戶端,補丁在測試類機器上經過嚴格測試后,再正式對其他類網絡機器進行分發。
此外,內網安全管理系統還提供補丁下載流量控制功能,補丁管理中心區域管理模塊能夠對網絡不同網段、不同區域的終端補丁升級進行流量、數量控制,避免造成對網絡的流量影響,合理控制網絡帶寬。
8.補丁下載流量控制功能
系統可以利用多種方式進行下載流量控制:
(1)系統能夠根據網絡的負載情況自動調整分發補丁時所占的網絡帶寬和并發連接數;
(2)根據手動設置允許的帶寬或服務器并發連接數及每個連接所允許使用的帶寬;
(3)系統同時支持客戶端轉發代理補丁下載,以減少網絡帶寬流量,提高效率。
代理轉發技術說明:補丁分發時,先由部分客戶端通過補丁分發系統下載服務器補丁,其他的計算機可不通過服務器,而是通過已下載補丁的客戶端進行相應補丁下載。下載時客戶端可自動搜索臨近的IP地址,選擇擁有此補丁文件并且下載速度最快的客戶端,從此客戶端上獲取由系統服務器下發的相關的補丁,以保證網絡的利用率,同時提高補丁分發效率。
9.服務器端補丁查詢功能
客戶端軟件實時監控客戶端系統漏洞及補丁安裝情況,服務器端補丁查詢補丁可根據補丁名稱、待查詢IP范圍、操作系統、待查區域,查詢時間或其它條件對區域網絡范圍內的計算機終端進行補丁安裝狀況查詢,通過網管設定的查詢條件,能快速地獲知所查詢補丁的安裝情況(如補丁發送是否成功,補丁安裝是否成功,補丁是否已被安裝等),以保證補丁及時的安裝。
10.客戶端網頁查詢補丁安裝信息功能
因為很多用戶習慣通過訪問微軟的Update網頁,檢查自己漏打的補丁,并進行下載安裝。作為物理隔離的網絡,內網中的用戶無法訪問此網頁,因此從用
北信源內網安全管理系統產品白皮書
戶的習慣角度出發,內網中也應該有類似的網頁,以便用戶訪問和獲知本機補丁安裝情況,進行補丁下載安裝。安裝了系統客戶端的計算機可以通過訪問內網的特定網頁,對本機所缺少的計算機補丁進行查詢,查詢結果在網頁上進行顯示,計算機用戶根據需要進行安裝。
北信源內網安全管理系統產品白皮書
4.8文件分發管理(可選)
1.普通文件分發及文件自動執行
系統向指定客戶端(用戶組)分發文件或安裝軟件,分發時可提供軟件的運行參數和必要的運行控制。此功能可減輕網絡管理人員的工作負擔,軟件分發時可報告軟件安裝的狀態,無論軟件正確安裝與否,管理員均可及時了解情況。系統還提供人性化的軟件安裝過程錄制工具,可以很方便的對軟件和它的安裝過程進行錄制打包,軟件分發至終端后,系統可在終端對軟件安裝過程進行回放,方便軟件在客戶端進行自動安裝。
安裝后的客戶機端軟件包括基本部分和用戶工具,安裝在客戶機不同的目錄中。
北信源內網安全管理系統產品白皮書
2.文件分發安裝結果統計
北信源內網安全管理系統產品白皮書
4.9安全監控審計功能
1.上網訪問行為審計和控制:
系統以黑白名單的方式對用戶的網頁訪問行為進行控制;可對用戶上網訪問的網頁等進行審計和記錄。
北信源內網安全管理系統產品白皮書
2.文件保護及審計:系統提供對終端的系統、軟件和共享等目錄中的文件的保護功能,設定訪問、刪除、修改權限;支持對設定目錄文件的操作審計,包括文件創建、打印、讀寫、復制、改名、刪除、移動等的記錄,同時將信息上報管理信息庫供查詢。
3.網絡文件輸出審計:對主機通過共享文件等方式進行的網絡文件輸出行為進行審計和記錄(同下圖)。
北信源內網安全管理系統產品白皮書
4.郵件審計:根據策略對主機發送的郵件及其附件進行控制審計和記錄(同下圖)。
5.打印審計:根據策略對主機打印行為進行監控審計,從而防止打印輸出結果被非授權查看和獲取。
6.文件涉密信息檢查:根據用戶自主設定的涉密信息查詢條件,設定對指定目錄或盤符下的指定類型文件進行內容檢查,檢查其是否包含涉密內容,系統支持進行包含“或”、“與”等多種邏輯的組合監測和模糊監測。
北信源內網安全管理系統產品白皮書
7.用戶權限審計:審計用戶權限更改及操作系統內用戶增加和刪除。
8.各自獨立的權限分配體系:提供系統管理員、系統審核員(安全員)和系統審計員和一般操作員權限,分別進行不同的管理操作。
北信源內網安全管理系統產品白皮書
9.系統日志審計:不同權限管理員在Web控制臺對終端用戶的日志(系統日志、應用日志、安全日志等)進行遠程讀取查看。
4.10報表管理功能
1.系統提供完善的報表功能,能夠根據按不同部門、不同操作系統提供軟
北信源內網安全管理系統產品白皮書
硬件資產、審計信息、報警、狀態及其他情況匯總報表,提供多種報表功能。
2.具備獨有的“組態報表”查詢功能,對于有關報表,能根據不同的需要進行多種不同條件組合(組合查詢條件包括所屬區域、單位名稱、設備所在部門、設備名稱、設備IP、操作系統及版本、IE版本、防范等級、運行狀態、安裝殺毒軟件版本及廠商、CPU情況、內存情況、硬盤情況、設備使用人、設備最后使用時間等等),還可以生成多種不同的報表格式。
組態查詢實例圖
3.報表以網頁的方式呈現,提供鏈接可在各項查詢功能中跳轉。報表可以方便的調整格式,并可以以Excel格式輸出,以便打印。
4.可以根據需要輸出成柱形圖、餅圖等。
北信源內網安全管理系統產品白皮書
輸出柱狀圖實例
4.11事件報警管理
1.事件集中報警處理中心匯總所有內外安全管理事件的報警信息,并將報警按種類、級別分類,同時支持短信、聲音、郵件、圖形等報警方式。同時,報警中心自動把各種報警信息匯總成為高、中、低三個等級,顯示各類發生事件的名稱和發生事件設備名稱、IP、MAC等信息,以便第一時間發現報警源頭和類型,發現對網絡危害最大的報警信息,以最快速度妥善處理事件,從而在最大程度上提高系統管理員對網絡突發事件的快速反應能力。
2.客戶機發給管理服務器相關的報警信息可預設置級別,管理服務器把已注冊客戶機的報警信息記錄到異常情況記錄表,同時,按管理員預定義的規則將部分緊急的報警信息發送給管理員(本系統必須有與手機短信報警平臺的接口)。
3.對客戶機的不當行為,管理服務器能按照預先制定的策略自動進行警告,管理員也可以通過管理服務器對特定的客戶機發出警告信息或其它信息,這些信息的發送不會因客戶機關閉而無法完成,對離線機器發的信息在其開機后即彈出。彈出窗口以“閱畢”按鈕關閉。信息可以定義有效期,客戶機不會看到過期信息。管理員可以根據需要刪除發出的信息。
4.對客戶機的不當行為,管理服務器能按照預先制定的策略自動進行警告,管理員也可以通過管理服務器對特定的客戶機發出警告信息或其它信息,這些信息的發送不會因客戶機關閉而無法完成,對離線機器發的信息在其開機后即彈出。彈出窗口以“閱畢”按鈕關閉。信息可以定義有效期,客戶機不會看到過期信息。管理員可以根據需要刪除發出的信息。
5.系統將通過短信平臺將手機短信直接發送到下級安全管理員。
北信源內網安全管理系統產品白皮書
報警設置實例圖
4.12第三方接口管理
1.PKI/CA認證聯動接口 2.防火墻聯動接口 3.網管軟件聯動接口 4.安全管理平臺聯動接口 5.其它第三方接口
5.產品運行配置 5.1硬件配置
建議配置:雙Intel至強CPU,主頻2.8G或以上;
120G硬盤或以上; 2G內存或以上;
北信源內網安全管理系統產品白皮書
注意:
所選擇的Windows服務器須支持冗余/高可用的配置,能夠保證系統無單點故障。能夠支持7*24小時連續運行,同時具有良好的容錯能力。如需考慮未來管理計算機數量的增長,服務器還應具備一定的擴充能力。
5.2軟件配置
系統服務器所需的軟件環境:
1)操作系統:MS Windows 2000/2003 Server;
2)數據庫: MS SQL2000企業版或MS SQL2005企業版(SP4); 3)服務器安裝IIS服務; 系統客戶端所需的軟件環境:
操作系統:Microsoft Windows 98/2000/2003/XP/win7/Vista
北信源內網安全管理系統產品白皮書
6.關于北信源
6.1.公司簡介
北京北信源軟件股份有限公司(以下簡稱“北信源公司”)創立于1996年,注冊資金5000萬人民幣,主要從事內網安全管理系列產品的研發、生產、咨詢和服務。公司總部位于中關村高新科技園區,有近400名信息安全專業研發、生產、咨詢和服務人員,下設上海分公司、華東支持中心、華南支持中心及各省市近三十個辦事處。
經CCID、中國計算機用戶協會等權威部門統計,北信源內網安全管理系統在中國終端安全管理審計及移動存儲介質管理市場占有率連續四年保持第一。榮獲“2006、2007、2008、2009中國終端安全管理審計及移動存儲介質管理占有率最高產品”、“2006、2007、2008、2009中國終端安全管理審計及移動存儲介質管理市場成功企業”、“2007-2008中國軟件十大領軍企業”、“2007十大金融科技創新企業”、“中國信息化突出貢獻單位”、“公安部科學技術獎”、“2007中國信息安全終端安全管理及審計產品值的信賴品牌獎”、“2007中國電子信息用戶滿意企業”、“2008中國信息安全行業影響力重大終端安全管理品牌”、“中關村十大軟件品牌”、“中關村十大IT產品最佳安全管理軟件品牌”、“Intel最佳桌面管理解決方案合作伙伴”、“2009內網安全突出貢獻獎”、“中關村TOP100”等多項殊榮。公司現已成功打造國內信息安全軟件知名品牌“北信源”、“VRV”。
作為我國民族信息安全產業的標志性企業和優秀代表,北信源公司將依靠自有的安全技術和產品本著繼往開來的創新姿態,為構筑中華民族的信息安全長城而不懈努力。
北信源內網安全管理系統產品白皮書
6.2.聯系方式
北京北信源軟件股份有限公司
地址:北京市中關村南大街34號中關村科技發展大廈C座16層 郵編:100081 電話:010-62140485/86/87
傳真:010-62140468 網址:www.tmdps.cn
第三篇:內網安全管理系統軟件技術要求
附件二
內網安全管理系統軟件招標技術要求
一、產品總體要求
1、公司的資質:公司成立10年以上,具有自主研發能力,有成熟穩定的研發隊伍的軟件行業企業。
2、產品資質要求:必須是自主研發,穩定銷售8年以上;擁有自主知識產權,通過公安部檢測,獲得公安部銷售許可證,至少擁有以下資質證明: 公安部《計算機信息系統安全專用產品銷售許可證》; 國家版權局頒發的《計算機軟件著作權登記證書》; 國家版權局頒發的《計算機軟件產品登記證書》;ISO9000質量管理體系認證。
3、產品實施簡單,可操作性強,實施后必須保證網絡穩定暢通,系統正常運行,不影響正常開展工作。
4、*至少有五家500點客戶的安裝實施經驗。
5、有豐富的行業客戶服務經驗,能提供后續技術支持和維護更新等服務。
二、技術規范要求
2.1 系統要求
▲客戶端操作系統支持包括:Windows98/Me/NT/2000/XP/2003/Vista/Win7/2008,必須同時支持32位及64位系統。
▲所有監控功能都能按計算機和用戶兩種模式實現。
▲必須支持瘦客戶機、終端服務器、無盤工作站等的使用模式。
*監控系統的部署必須支持多種安裝方式,包括web安裝、域腳本安裝、遠程安裝以及域組策略安裝等。
*必須提供分布式服務器管理功能,并且需要支持跨區域部署管理。*必須隱藏客戶端進程。
*支持與AD域的結合,可與域組織架構實時同步。管理端必須支持C/S架構登錄。
客戶端在離線情況下,控制及日志記錄功能依然生效。
附件二
2.2 功能要求
2.2.1 基本功能
能獲取計算機的基本信息,包括計算機名稱,網絡地址,操作系統,登錄用戶,當前狀態等信息,以及計算機多用戶登錄信息的查看。
▲支持增加管理員賬戶并對賬戶權限可實現細化,如管理范圍、功能權限。同時可對非系統管理員的賬戶可禁用、刪除以及修改密碼,方便權限回收。
*必須具備管理員以及審計員賬戶,且相互獨立,并且能夠提供記錄管理員操作的審計平臺,包括管理員登陸系統,查看日志,對內網計算機的控制等等。
*支持對各終端所設置策略的總覽以及對策略的應用查詢方便管理員掌握終端的策略情況,同時具有對策略的導入導出功能及復制功能。*支持郵件報警功能,可以將違規行為詳細記錄為日志形式并通過郵件發送至指定郵箱。*支持設定自動關機功能,提供在指定時間關機、注銷及重啟的功能
支持按工作時間段進行策略設置,靈活管理。
支持遠程對計算機進行鍵盤鼠標操作鎖定、關閉、重啟、注銷和發送通知信息等。支持對3g上網卡撥號的日志記錄。
2.2.2 基本控制功能(包括基本模塊及設備管控模塊)
能控制計算機對本機系統設置的操作權限,包括以下多項屬性,并且各項可以單獨控制: *IP/MAC綁定:修改網絡IP/MAC配置
控制面板:控制面板、設置屏幕屬性、添加打印機、刪除打印機、快速切換用戶。計算機管理:設備管理器、使用磁盤管理、本地用戶和組、系統服務管理、其它計算機管理。
系統:任務管理器、注冊表編輯器、命令提示符、運行注冊表中Run下的程序、運行注冊表中Run Once下的程序
網絡:修改網絡屬性、顯示網上鄰居、修改Internet選項、默認網絡共享、使用網絡共享、增加網絡共享
其它:使用print screen鍵復制屏幕、系統還原、Windows自動更新
▲可以控制內網計算機對常用設備的使用權限,支持對刻錄機可讀不可寫的控制
存儲設備包括:軟驅,光驅,刻錄機,磁帶機,可移動設備(U盤,移動硬盤,記憶棒,智能卡,MO,Zip)、便攜設備(智能手機)等;支持對上面各項的單獨控制。
通訊設備包括:串口、并口、USB 控制器和連接器(HUB)、SCSI接口、1394控制器紅外線、PCMICA卡、藍牙設備、MODEM、直接電纜連接、拔號連接等;支持對上面各項的單獨控制。
網絡接入設備:包括無線網卡,pnp網卡,虛擬網卡等;并且可以對它們單獨控制。其它:聲音設備,虛擬光驅,任何新設備等的使用。
▲支持USB設備的細分控制,即以下每項可單獨控制,支持3G上網卡的控制。USB設備:USB 鍵盤、USB 鼠標、USB Modem(3G上網卡)、USB 映像設備、USB CDROM、USB 存儲、USB 硬盤、USB 網卡、USB其他USB設備;支持對上面各項的單
附件二
獨控制。
*支持禁止增加非系統硬盤。
*支持對Iphone等便攜式設備的控制 *支持對任何其他外設的控制
*支持對無線網絡的連接控制,限制禁止連接的無線網絡。
對計算機的硬件變化,設備的插入拔出,存儲設備變化,通訊設備變化,軟件變化,系統服務變化,啟動項變化,系統時鐘變化,計算機名稱變化,網絡配置變化等能提供報警信息并作為日志記錄。
2.2.3 移動存儲控制
支持對內網計算機控制其對指定移動存儲設備的讀寫權限。支持自動收集客戶端上使用過的移動存儲信息,并可以自定義添加備注信息。同時支持移動存儲分類庫,允許對移動存儲進行自定義分類,按類庫進行管理。支持可按照對移動存儲的描述進行控制。
支持所有通過USB接口方式連接計算機的存儲設備。
支持在指定計算機上使用制定移動存儲設備時,自動對復制/移動的文件進行加解密控制,加密后的文檔只允許在具有自動解密權限的客戶端計算機處才能打開,否則打開為亂碼。
支持將指定移動存儲格式化成加密盤,只能在內部裝了客戶端的計算機處正常使用,非客戶端計算機無法使用。
能夠記錄內網計算機使用移動存儲設備的情況;包括操作時間,操作類型(插入/拔出),計算機、用戶、移動存儲類型等。
2.2.4應用程序管控
支持通過禁止應用程序分類或禁止應用程序名稱、應用程序窗口標題的形式來禁止計算機使用非法程序。
針對應用程序更改名稱或路徑的情況,所做的控制必須依然生效。能自動收集客戶端計算機運行過的應用程序,并支持分類管理。
支持記錄所有應用程序的啟動/關閉、窗口的切換標題動作;并可以按時間范圍,計算機范圍,應用程序名稱,應用程序路徑、窗口標題這幾種查詢條件查詢。
支持通過自定義的時間范圍,對單個工作人員,部門,或整個網絡的計算機的應用程序使用情況進行統計;
統計結果必須有列表和圖表兩種顯示方式;
統計方式必須包括是:按應用程序類別統計、按應用程序名稱統計、分項統計(統計各組計算機的應用程序使用),按明細統計等。
2.2.5遠程維護
支持遠程查看網絡內的客戶端計算機當前運行的應用程序,進程,性能,設備管理,系統服務,磁盤管理,共享文件夾,計劃任務,用戶和組等。同時支持對應用程序,進程,附件二
設備管理,系統服務,共享文件夾,計劃任務的控制。支持對客戶端的遠程控制。
支持遠程文檔傳輸,提供客戶端與控制臺相互傳送文件的功能。必須支持經過客戶端允許或密碼設定才能遠程控制。支持遠程卸載客戶端計算機上軟件功能
2.2.6屏幕監控
▲屏幕歷史記錄的數據量:平均一幀數據量少于▲支持對指定應用程序運行過程的屏幕記錄。▲支持對應用程序的變頻記錄。
25K 支持通過控制臺實時查看員工當前工作的計算機桌面,并可將當前屏幕保存為圖像,支持對終端用戶登錄的屏幕分屏查看。支持同時對多屏進行監視。支持擴展顯示器的監視。
能記錄計算機當天的屏幕歷史畫面,并可以按指定的計算機查看指定日期范圍內的屏幕歷史記錄,以播放器的方式播放某一天的屏幕歷史,并可將當前播放的屏幕歷史另存為視頻文件。
2.2.7資產管理
支持對客戶端計算機的硬件和軟件資產信息的統計,并支持按分組或計算機統計硬件和軟件的分布情況,同時支持設置自定義查詢條件。
支持自定義添加企業內的非軟硬件資產信息,并支持設置自定義查詢條件。
支持實時查看客戶端計算機補丁情況,并允許對補丁進行修補,同時不需要另外搭建wsus服務器。
支持自動掃描計算機的系統漏洞并提供解決漏洞問題的建議。支持通過控制臺集中向客戶端自動分發安裝程序并自動安裝,或分發各種文件到指定的目錄下,以及分發其它執行程序到目標計算機的功能。支持對硬件資產添加自定義信息描述。
三、可靠性要求
數據庫的存儲能力及維護,為節省數據庫維護成本以及防止因部分數據庫損壞而影響所有數據,需要對日志數據采用按天存儲的功能。每天產生獨立的數據庫,數據庫出錯無法修復也只影響受損數據庫所保存的當天數據。
當操作系統處于正常模式和安全模式下都能正常監控。
要求監控系統有一定的自我保護能力,不會輕易遭到破壞,并且不能自行卸載,必須通過授權才能卸載。
每個服務器支持超過3000個終端在線管理。
系統進行局域網發現時節點占用帶寬不超過20Kbps。
附件二
系統進行文件分發、文件傳送等操作時占用帶寬不超過200Kbps。系統在局域網環境內進行一遍節點輪詢占用帶寬數不超過20Kbps。附注:三年免費質保,三年免費服務。產品支持570個工作站。
第四篇:內網邊界管理系統
網絡邊界安全
一、網絡邊界背景
早期的網絡只是為了使分布在不同區域的人們資源共享和通信而建立的。網絡發展到今天,全世界的計算機聯成了網絡。而網絡安全也隨之而來。信息泄密、外來攻擊、病毒木馬等等,越來越多的網絡安全問題讓網絡管理者難以應對,而如將內網與外網完全隔開,就會形成信息的“孤島”,業務無法互通,資源又重復建設,并且隨著信息化的深入,在各種網絡上信息共享需求也日益強烈。
二、網絡邊界防護手段
不同安全級別的網絡相連,就產生了網絡邊界。一般來說,防止來自網絡外界的入侵,就需要在網絡邊界上建立可靠的安全防御措施。
從防火墻技術的到多重安全網關技術,再到不同時連接兩個網絡的網閘技術,都是采用的關卡方式,“檢查”的技術各有不同,但對黑客的最新攻擊技術都不太好用,也沒有監控的手段,對付“人”的攻擊行為來說,只有人才是最好的對手。
三、現有邊界防護技術的缺陷
面對各種各樣包含新技術的攻擊手段,現有的防護產品以及其附帶的防護技術是否能實現預定功能。現有的安全管理員還不能對這些防護產品性能足夠了解,就談不上正確使用,把產品功能發揮出來。
再說網絡邊界防護是一個長期需要大投入的工程,一般的主管安全的領導及安全管理員根本不清楚遭受攻擊的一些細節,安全管理員根本不知道該怎么防,往哪里防。
購買最新的安全防護產品,或是花大量的時間、資金培養幾個資深的安全管理員,且不說兩者能不能配合,能不能防住,使邊界安全防護達到預期的目標,單單投入方面也不是現有的企業目前所能夠承受的。
根據我國現階段現狀,政府和企業不可能在網絡安全方面大量投入,而有限的資金又不能投入到最需要的地方去,造成大量的資金浪費。該防的沒建設,目前不用防的反而建設了。
對于公開的攻擊,只有防護一條路,比如對付DDOS的攻擊;但對于入侵的行為,其關鍵是對入侵的識別,識別出來后阻斷它是容易的,但怎樣區分正常的業務申請與入侵者的行為是邊界防護的重點與難點。
四、符合中國特色的邊界管理
面對上述種種問題,現有邊界防護技術和產品遠遠不能滿足我國機構和企業的需要。那么我們必須轉變思想,找出路!
既然我們現階段有資金,人員及技術各方面的限制,不可能把網絡邊界打造成“鋼墻鐵壁”。沒錢修“城墻”,守衛又不合格,那么只能多裝攝像頭,對所有的邊界監控起來,達到不留“死角”的程度。一旦發現有攻擊、入侵行為馬上報警,馬上處置,然后針對被攻擊或入侵的薄弱地點,修一段“城墻”,重點防御。較低的投入,把現階段安全問題管起來,最后達到一個可控可管,齊抓共管的局面。
網絡邊界安全問題主要可以分為兩個方面,一個是由于外網接入到內網中,從而帶來的網絡安全問題,另一個是內網內部產生的網絡安全問題。對于外網的接入,一般網絡上都增加了防火墻、VPN路由器等來保證網絡的安全,對于在內網出現的問題就沒有設備來保證網絡的安全問題了。浙江遠望電子有限公司的內網邊界檢查系統出現就解決這個問題,從內部網絡開始檢查,查找相關的問題,找到問題的源頭,進行預警,預警提示后在進行技術或人工手段來阻斷相關的問題。遠望內網邊界檢查系統也可以對外網的接入進行監測,通過預警把相應的情況報告給管理員,由管理員進行手動直接斷開外來接入或通過網絡上技術的手段進行網絡斷開。并且遠望內網邊界檢查系統可以實現多級級聯,逐級對網絡進行安全管理。
五、遠望內網邊界檢查管理系統
遠望內網邊界檢查管理系統,通過對內網邊界安全監測和管理,防止外來計算機、網絡等通過非法手段接入內網,防止因內網邊界問題而導致信息泄密,病毒木馬入侵,帶寬資源因沒有注冊的設備增加而被嚴重胡亂占用。通過違規外聯和線路邊界的發現和監測技術,配置網絡邊界發現策略,全面發現網內的設備邊界和線路邊界的異常情況,實現對違規行為的阻斷,確保內網的安全。
通過技術手段對網內的設備邊界和線路邊界的異常情況進行實時掃描、自動檢測,及時發現線路邊界問題,把相關信息反映到管理員控制頁面上。同時在規定時間內對通過非法接入內網等邊界問題進行阻斷。
平臺通過邊界注冊建立合法邊界白名單,并依靠技術手段自動實現網絡邊界的檢查,及時發現存在的非法網絡邊界,并對違規事件進行取證,方便查找相關責任人以及后續處理。同時支持對違規外聯和非法網絡邊界點的自動預警,將發現的邊界違規情況在安全管理平臺上產生預警和通報,第一時間責令相關人員進行整改。
第五篇:加油IC卡系統產品白皮書
加油IC卡系統產品白皮書
一、前言
加油IC卡系統是西安賽思通公司專為成品油零售企業開發的一套信息管理系統,至今已有2年多的歷史。在中國石油天然氣集團公司有上千家加油站在使用本系統,系統目前已為中國石油天然氣集團公司的近萬家客戶提供了快速便捷的服務,獲得了用戶的高度認可。為了方便用戶全面了解系統的情況,本公司編寫了此產品白皮書。
二、產品概述
1、市場背景
? 零售市場發展迅速
國內石油公司近年來持續在終端銷售網絡建設上加大投入,新建、收購、合資、聯營、加盟等多種手段并舉,加油站數量快速擴張,零售銷量比重日益提高并超過批發量,成為石油銷售公司經營管理的重點關注領域。
? 市場競爭日益激烈
除國內傳統的競爭對手外,還日益受到國際(如:殼牌、BP和艾克森美孚)石化企業的沖擊。目前零售市場已全面開放,下游市場基于服務和品牌的競爭,將隨著零售市場開放以及在2006年成品油批發市場開放后會進一步加劇。
? 客戶要求不斷增加
隨著中國石化加油IC卡的全國聯網和推廣,以及國際石油公司成熟的多元化服務模式的引入,客戶對石油公司的要求增加,忠誠度降低,維持老客戶和吸引新客戶的成本會越來越高。
? 加油站客戶管理及服務手段亟待提高
零售業務主體面向終端用戶從事油品銷售及服務業務,加油站作為面向客戶的窗口,零售客戶尤其是集團客戶的開發、管理與服務始終是其營銷工作的重中之重。借助先進的信息化等技術手段提供方便、高效的客戶管理與服務,是目前零售業務經營管理中亟待解決的問題。
2、產品目標 加油IC卡系統利用現代化網絡技術、IC卡技術,以IC卡為載體,以加油站后臺電腦為操作平臺,支持客戶持卡在全公司范圍內進行加油結算,并通過該系統提供客戶IC卡賬務管理、集團客戶加油管理與服務、個人客戶加油積分營銷、自用油管理,以及內部結算、清算管理,實現整體營銷,提升客戶管理手段。最終達到一卡在手,全公司加油。
本系統的主要目標是為客戶建立一個基于IC卡的銷售網絡,它是一個基于互聯網的在線銷售管理系統。這個系統一天24小時,一年365天隨時在線,保證用戶隨時隨地的使用。它可以實現公司總部、營業網點、加油站銷售數據的即時管理,方便用戶對IC卡加油業務的管理。
3、產品說明
加油IC卡系統基于SOA的思想,采用多層架構。充分體現了系統的易擴展性、易維護性,為用戶今后在系統維護和功能擴展方面留下了充分的余地。多層架構在用戶數據量增加時,可以直接通過增加硬件進行性能提升,不需要進行軟件修改,保護了用戶的初始投資。
基于用戶使用分布面較廣的情況,系統基于Internet進行工作。為了保證數據的一致性,采用集中式數據庫。整個系統是一個分布式的C/S架構。
本系統主要包括以下幾個子系統: ? IC卡制卡系統 ? IC卡業務管理系統 ? 加油站管理系統 ? 客戶自助IC卡查詢系統 ? 系統管理系統 ? 應用服務管理系統
4、客戶價值
使用IC卡系統進行加油管理,對客戶將帶來以下幾項收益:
1.在卡內沉淀大量資金,給客戶提供了一份無息長期貸款。隨著用戶數的增加,一部分資金將可永久使用。
2.提高用戶使用滿意度,穩定用戶群。
3.本系統采用SOA架構,以后客戶可以方便的擴展功能或與其它系統集成。最大限度的保護了用戶投資。避免了因業務增長,需要修改軟件而無法進行,只好重新開發新系統的情況。
5、使用環境
? 系統軟件環境
數據庫服務器:Win2003 server或以上;SQL SERVER2000中文版或以上。應用服務器:Win2003 server或以上。客戶機:WinXP/Vista。
以上操作系統應安裝有DotNet Framework2.0。? 硬件環境
數據庫服務器和應用服務器:
Intel 至強雙核或四核CPU、最小內存4G、硬盤最小剩余空間2G、100M/1000M網卡。
客戶端PC機:
Intel P4及以上、最小內存512M、硬盤最小剩余空間500M、100M/1000M網卡、17寸顯示器、支持32位真彩色的顯卡。? 網絡環境
應用服務器和數據庫服務器位于公司總部,布署在同一局域網內,使用1000M網絡帶寬互聯。應用服務器應保證公網IP、端口以及域名,并以最小10M帶寬接入互聯網,保證遠程客戶端的訪問。總部內部客戶機使用局域網接入系統應用服務器;分公司、營業網點和加油站采用1M帶寬ADSL接入互聯網,通過域名或IP地址訪問應用服務器。
6、名詞解釋
個人客戶
個人客戶主要包括加油地點較隨意、以現金方式為主、注重品牌與服務等,通過積分IC卡會員制、定額IC卡一次性購買優惠等手段,實現優質服務、精細管理,達到鎖定客戶、促進消費,提高忠誠度的目標。集團客戶 集團客戶(或稱為單位客戶)主要包括招投標簽訂合同、車輛管理、定期結算、優惠定價等等,可采用的解決途徑包括統一客戶資源、區域內跨站加油、主副卡車輛管理、靈活優惠策略等,通過記賬IC卡、預付費IC卡方式實現對集團客戶的管理與營銷。預付費卡
預付費卡主要面向集團客戶及個人客戶。在開戶完畢后,需預先存入現金,才能持卡到加油站加油。在余額不足時,需進行充值和結算操作。它的主要特點如下:
1、需辦理完整的開戶手續;
2、僅限于加油使用,不可提取現金、不能透支、不計利息;
3、有單用戶卡和多用戶卡兩種形式;
4、多用戶卡包括一張主卡和若干張副卡,主卡對副卡具有管理功能,副卡只能用于加油,所有的副卡共享使用主卡的賬戶金額,若需要限定副卡的使用額度,可由主卡對其設定。主卡只具有管理功能,不可用于加油;
5、可享受積分優惠。記賬卡
記賬卡主要面向集團客戶。在開戶時,需評定客戶的授信額度,設定結算周期,客戶才能持卡到加油站加油。記賬卡可用額度的初始值與其授信額度相等,持卡加油后,其可用額度逐步減少,在可用額度不足或到結算周期時,需到相關網點進行結算,回滾可用額度才能允許繼續加油。它的主要特點如下:
1、需辦理完整的開戶手續,評定授信額度;
2、有單用戶卡和多用戶卡兩種形式;
3、多用戶卡包括一張主卡和若干張副卡,主卡對副卡具有管理功能,副卡只能用于加油,所有的副卡共享使用主卡的賬戶可用金額,若需要限定副卡的使用額度,可由主卡對其設定。主卡只具有管理功能,不可用于加油;
4、可享受積分優惠。定額卡
定額卡在辦理時無需提供用戶資料,充值金額由客戶確定。定額卡不能享受積分、不能辦理掛失及清戶手續。自用油卡
自用油卡是主要面向內部使用的IC卡,只做統計使用,不進行帳務核算。
三、產品架構
1、業務架構
2、程序架構:
本系統采用三層架構,方案如下:
3、部署架構
四、產品安全
1、基礎安全設計
系統的基礎安全主要包含四個方面的內容:身份驗證、授權訪問、安全審核、數據安全。整個系統安全采用RBAC模型,也就是基于角色的訪問控制。下面來分別對每一部分進行說明。
1、身份驗證
所有系統資源必須在用戶身份得到驗證以后才可訪問,訪問權限由訪問身份決定。所有未經授權的用戶,均無法訪問系統。身份驗證采用用戶名加密碼的方式來實現,用戶名不能重復使用。在用戶忘記密碼時,系統管理員可以將密碼置為初始密碼,但無法查獲用戶原來使用密碼。用戶密碼使用單向加密碼算法進行加密,程序員不可能利用算法推算出用戶密碼。在對用戶密碼進行加密時采用帳號做為Salt進行加密,保證不同用戶在密碼相同時,在數據庫中存儲也不相同。這樣將無法采用數據庫復制密碼的方式來破解系統。用戶密碼在數據庫采用加密方式存儲。
2、授權訪問
授權訪問主要是通過RBAC模型來實現的。系統的所有權限授予角色,用戶通過加入不同角色來獲取相應權限。RBAC模型已很成熟,在此不再詳述。
3、安全審核
系統對所有涉及安全的訪問均進行日志記錄,這樣即使系統安全被攻破,也能留下各種相關記錄,以便事后查詢。
4、數據安全
本系統的數據安全實現以下兩點:一是不同的平級部門的用戶不能互相查看任何業務數據。二是上級部門可以查看下級部門的任何業務數據。數據權限不能通過授權的方式來獲得。
2、通訊安全設計
本系統是一個基于互聯網的分布式系統,大量的關鍵業務數據在互聯網上傳送,通訊安全非常重要。本系統采用VPN+.Remoting的方式來實現互聯網上的通訊。VPN來保證傳輸的安全性,.Remoting采用二進制方式進行傳輸,以此來保證系統的高效性。
3、IC卡系統的安全設計
1、生成密鑰
首先,由領導輸入初始密碼(8位),然后由系統根據該密碼進行運算,計算出系統的A密碼和B密碼,最后將A密碼保存至數據庫,將B密碼保存至IC卡中。
系統中的A密碼用于控制對加油卡讀取數據,B密碼用于控制對加油卡寫數據,只有驗證B密碼正確,才能進行密碼的更改及數據的寫入。
2、制卡
在進行制卡時,讀取系統的A、B密碼,將A、B兩套密鑰裝載至卡中,然后將卡號寫入加油卡中。同時將卡的序列號讀出,系統將卡序列號,卡號及A密碼(該信息需加密存儲)記錄在數據庫中,防止卡被復制。
3、讀卡 需要讀數據時,先從卡中讀出卡序列號,然后在數據庫中查找該序列號對應的卡號及A密碼,將該卡號和A密碼與卡中的相關信息進行比對,若相同則認為是合法卡,否則,給出錯誤提示,該卡不能使用。
4、其它安全設計
本系統是一個管理錢的系統,數據的準確性與不可篡改性非常重要。系統內部所有涉及錢的業務部分均采用標準財務記帳的方式來進行處理。所有涉及錢的單據均不能刪除,只能采取紅字沖帳的方式進行處理。系統設計有帳務自動審核系統,在夜間自動記帳時對帳務進行審核。一旦出現非法修改系統數據現象,將會自動記錄日志報警。并對非法客戶或卡進行封鎖。
五、產品主要功能
5.1業務管理子系統
5.1.1系統操作
1.登錄 2.修改密碼 3.系統初始化
5.1.2業務流程處理
1、發多用戶卡
2、發單用戶卡
3、發定額卡
4、多卡授信
5、客戶充值
6、充值撤單
7、定額卡銷售撤單
8、卡掛失
9、卡解掛
10、卡注銷
11、換卡
12、黑名單管理
13、優惠管理
14、卡限制信息
15、票據管理
16、積分管理
5.1.3查詢操作
1、客戶分類統計
1)分卡類型統計 2)分客戶統計
2、客戶積分查詢
3、卡銷售統計
4、定額卡銷售查詢
5、特殊業務查詢
6、業務報表
1)銷售明細查詢(營業網點)2)定額卡銷售日報(營業網點)3)定額卡銷售日報 4)定額卡銷售月報 5)加油IC卡充值日報 6)加油IC卡充值月報 7)加油IC卡銷售日報 8)加油IC卡銷售月報 9)加油流水查詢
7、客戶往來查詢 1)客戶往來明細查詢 2)客戶往來日帳查詢 3)客戶往來月帳查詢 4)客戶IC卡加油查詢
8、加油站報表查詢
1)加油站日明細報表查詢 2)加油站日報表查詢 3)加油站月報表查詢
9、分公司報表查詢
10、定額卡賬務查詢 1)定額卡明細賬查詢 2)定額卡日賬查詢 3)定額卡月賬查詢
11、客戶消費信息查詢 1)客戶累計消費查詢 2)客戶消費明細查詢
5.1.4自用油操作
1、自用油客戶管理
2、自用油報表查詢
1)加油站自用油明細查詢 2)加油站自用油日報 3)部門自用油月統計查詢
5.1.5清分清算
1.清分清算
2.清分清算明細查詢 5.2加油管理子系統
5.2.1系統操作
4.登錄 5.修改密碼 6.系統初始化
5.2.2業務處理
1.查看卡片基本信息 2.加油支付 3.錯單處理 4.打印單據
5.2.3報表
1.加油站班報 2.加油站日明細報表 3.加油站日報表查詢 4.加油站月報表查詢
5.3 IC卡管理子系統
5.3.1系統操作
1.登錄 2.修改密碼 3.系統初始化
5.3.1業務處理
1.管理卡制作 2.IC卡制卡 3.卡復位 5.4系統管理子系統
5.4.1系統操作
1.登錄 2.系統初始化 3.修改密碼
5.4.2基礎資料管理
1.內部單位管理 2.地區管理 3.地區單位管理 4.油品資料管理 5.方式類別管理 6.零售價格錄入 7.記賬期間設置
5.4.3安全管理
1.角色管理 2.操作員管理 3.系統功能維護 4.角色功能授權 5.操作員授權管理 6.日志瀏覽
六、產品性能安全指標
1、性能指標
在給定的硬件環境下,用戶的界面響應靈敏度小于1秒,響應時間小于5秒。系統可支持100個同時在線用戶。
2、網絡安全
1.提供通訊保護,通過觀察通信數據而不可能推斷出其中的機密信息。2.在網絡突然中斷時,不能發生數據錯誤。3.網絡用戶不能采用非法方式進入系統。
3、系統安全
1.、身份驗證。要求為所有進入系統的用戶必須經過身份驗證。
2、系統功能采取授權方式訪問。
3、對關鍵數據訪問有審核,并記錄日志。
4、可以實現數據安全認證。
七、結束語
加油IC卡系統作為一種以卡代幣的零售方式管理軟件,全面實現了IC卡的制作、發放、使用、管理、統計等各方面的功能。它對成品油零售企業提升管理水平,增強客戶忠誠度方面起到了積極的作用。系統在設計過程中,充分考慮了當前各種IC卡、磁卡的使用模式,幾乎兼容現有各種模式。對方便最終用戶使用,方便客戶管理業務,提供了一個強大的管理工具。我們相信,通過使用本系統,一定會給客戶帶來意想不到的各種好處。如果您想要更深入的了解本系統,賽思通公司隨時歡迎您的垂詢。
點擊咨詢 