Broadview DCC 产品白皮书.docx
- 文档编号:30382136
- 上传时间:2023-08-14
- 格式:DOCX
- 页数:16
- 大小:153.08KB
Broadview DCC 产品白皮书.docx
《Broadview DCC 产品白皮书.docx》由会员分享,可在线阅读,更多相关《Broadview DCC 产品白皮书.docx(16页珍藏版)》请在冰豆网上搜索。
BroadviewDCC产品白皮书
BroadviewDCC
产品白皮书
2008.03
广通信达科技
BroadviewDCC产品白皮书
声明
本文中的所有容及格式的属于广通信达科技(以下简称广通信达)所有,未经广通信达许可,任何人不得仿制、拷贝、转译或任意引用。
所有不得翻印©2008广通信达
商标声明
本文中所谈及的产品名称仅做识别之用。
手册中涉及的其他公司的注册商标或是属各商标注册人所有,恕不逐一列明。
Broada®广通信达
信息反馈
.broada.
1.定义
Broadview:
Broadview是广通信达科技产品系列的名称,已申请注册商标。
目前版本为3.0,全名为BroadviewIT运维管理平台。
DCC:
为Broadview产品系列中的桌面产品模块,为DesktopControlCenter的缩写,中文名称为桌面监控中心。
2.背景
2.1.当前计算机网络安全形势
随着信息网络的迅速发展,在当今的信息时代,信息技术已经彻底改变我们的生活和工作方式,也改变现行企事业单位的管理模式。
作为信息的管理部门,必须考虑当前技术的发展给我们的工作所带来的利益和威胁。
如何利用信息网络进行安全的通信,同时保护计算机自身信息的安全性,成为当前网络安全和信息安全迫在眉睫的问题。
针对日益严重的部信息泄漏问题,FBI对484家公司调查显示:
面对来自于公司部的安全威胁,85%的安全损失是由企业部原因造成的。
对于很多国企业来说,这可能有点耸人听闻。
但是,他们肯定遇到过类似的事情,由于某一员工误操作造成公司服务器上重要文档丢失;由于没有定义每位员工在系统的访问权限,使本该由一定级别的人员才能掌握的业务秘密泄露给竞争对手……对于这些来自公司部的安全问题,不是靠单纯安装杀毒软件或防火墙就能解决的。
目前,90%以上的端终用户使用的是windows2000,XP或以上的操作系统,而这几种系统的安全漏洞又非常多,微软公司会通过定期发布安全补丁的方式来弥补这些漏洞,但由于端终用户缺乏相关知识,导致补丁安装的不完全,不及时,这就会严重影响终端计算机的安全,从而导致更严重的整个网安全问题。
2.2.终端的安全管理和运维支持问题突现
据GartnerGroup调查表明,五年PC及服务器的软硬件采购成本仅占所有成本的12%,17%是管理监督的花费,14%花在技术支持上,57%则是花在用户端操作。
因此,降低在管理监督、技术支持和用户端操作上的运营维护,是有效降低企业运营维护成本的重点。
现实情况也的确如此,为了满足不断增长的商务拓展需求,企业必须迅速提高生产力,更多的IT设备和应用被投入到企业环境中,使得企业IT基础架构管理变的日趋复杂。
研究表明,超过50%的IT预算都花费在持续不断的部署,配置,更新,移植和管理IT资产。
为了有效的控制成本,企业正在购买系统管理软件来提高IT资产的可靠性和有效性。
然后,大多数系统管理软件厂商仅仅关注IT管理的一两个方面。
他们只能解决某一方面的问题,而企业的IT管理人员必须决定如何使得这些软件与其他的软件和系统协同工作。
2.3.企业网络桌面计算机安全现状
尤其是型企事业单位、政府办公网络,桌面计算机数量众多,管理难度很大。
感染病毒、被安装木马(像目前最严重的灰鸽子),有些不明程序不断抢占IP地址造成其他机器无常工作,还有部分员工使用BT、电驴下载工具时有发生。
由于难于发现有问题的电脑,难以对这些危险电脑进行定位,一旦问题发生,往往故障排查时间非常长。
如果同时有多台计算机感染网络病毒或者进行非法操作,非常容易导致网络阻塞,从而致使其他正常网络业务无法使用。
没有相关的技术与管理手段,企业许多管理规定也难以执行。
比如:
不准上班时间聊QQ,不准安装BT、电驴等下载工具,不准玩网络游戏,不准私自修改电脑安全设置,不准通过IE代理私自浏览与工作无关的,需要设置操作系统密码,必须安装防病毒软件并更新到最新病毒库…等等。
这些行为违反了单位的信息化管理规定,也极影响了企业部网络的安全性。
2.4.企业在桌面计算机管理方面的其它需要
随着信息化的不断发展,现在企业桌面终端数量非常多,地理位置也很分散,给IT管理员日常的管理维护带来了很大困难。
所以IT管理层面临着重重实际问题
●难以对计算机的资产、配置进行统计、跟踪,防止资产流失;
●如何防止滥用公司电脑,提高生产力?
●由于微软补丁、漏洞、其他应用程序升级等问题频繁,日常维护工作量极大;
●如何对网络终端进行有效工作状态监控,监督使用人员规操作电脑。
●计算机使用人员技能不一,有些很小的问题都需要维护人员现场解决,降低了维护的效率;
●无法对计算机进行批量维护,像安装软件、打补丁、设置计算机参数;
●如何追查意外事件,并做有效审计?
●如何进行外来笔记本电脑以及其它移动设备的随意接入控制。
2.5.建设桌面终端安全管理系统的意义
建立桌面终端安全管理系统的意义在于,解决大批量的桌面安全管理问题,提升IT服务部门的工作效率,解决大部分手工操作工作,对员工行为操作做审计并规。
●加固桌面终端的安全性,通过策略部署,可以保障所有桌面终端统一执行安全防护策略,及时更新桌面终端的安全补丁,减少被攻击的可能。
●实时评估桌面计算机的安全状态,是否符合企业信息管理规定。
评估桌面终端网络流量是否异常?
评估是否做了非法操作(像拨号上网、安装非法软件,运行非法程序,浏览非法等等),评估计算机用户登录密码是否合理等等。
●快速部署应用软件升级包,批量修改网络参数;
●防止外来电脑非法接入,避免网络安全受到破坏或信息泄密;
●轻松了解计算机目前资产状态,方便管理与控制计算机资产。
2.6.信息安全的新趋势是网络防护与端点防护并重
以往提起信息安全,人们更多地把注意力集中在防火墙、防病毒、IDS(入侵检测)、网络互联设备即对交换机、集线器和路由器等的管理,却忽略了对网络环境中的计算单元—服务器、台式机乃至便携机的管理。
正确、全面的认识终端桌面管理的发展趋势和技术特点,是IT研发厂商面临的发展抉择,同时也是企、事业IT管理人员和高层决策人员在进行终端桌面安全防护部署时必须考虑的议题。
终端桌面安全管理技术的兴起是伴随着网络管理事务密集度的增加,作为网络管理技术的边缘产物而衍生的,它同传统安全防御体系的缺陷相关联,是传统网络安全防体系的补充,也是未来网络安全防体系重要的组成部分。
因此,终端桌面安全管理技术无论在现在还是未来都应当归入基础网络安全产品体系之列。
近两年的安全防御调查也表明,政府、企业单位中超过80%的管理和安全问题来自终端,计算机终端广泛涉及每个用户,由于其分散性、不被重视、安全手段缺乏的特点,已成为信息安全体系的薄弱环节。
因此,网络安全呈现出了新的发展趋势,安全战场已经逐步由核心与主干的防护,转向网络边缘的每一个终端。
因此,采用联网桌面安全管理平台是大势所趋!
3.BroadviewDCC产品简介
BroadviewDCC专为大型企事业单位、政府解决数量众多的桌面电脑安全管理维护问题而设计,可以很好地解决系统管理员面临众多问题,解决数量众多的桌面电脑批量安全管理,行为审计和远程维护等难题。
BroadviewDCC在设计时参考了国际上信息安全管理最佳实践BS7799规。
整体系统架构图如下:
具体来说BroadviewDCC采用C/S、B/S混合架构,通过集中式WEB管理平台,主要提供了以下多方面的管理功能:
●IT资产综合管理,合理易用
⏹自动发现网络上所有接入设备;
⏹桌面软、硬件资产信息全面收集;
⏹及时跟踪各项资产变动信息并提供预警信息;
⏹全线设备信息维护记录;
⏹从设备采购、日常使用的维护一直到设备报废提供全周期管理;
⏹提供详细全面的资产报表;
●行为审计,规员工日常操作;
⏹支持桌面终端屏幕行为审计;
⏹支持员工日常文档操作审计;
⏹支持网络浏览记录行为审计;
⏹提供对员工日常运行程序的审计;
⏹对员工的日常、即时消息的容做监控与审计;
⏹支持对打印文件的审计。
●补丁综合管理
⏹采用底层技术协议,桌面电脑及时自动检测补丁漏洞;
⏹后台服务直接下载企业所需补丁;
⏹支持多种补丁安装策略模式;
⏹支持微软全系列补丁类型,包括Windows全系列、OFFICE全系列、SQLServer全系列及其他所有微软提供的补丁;
⏹提供详细的未安装补丁机器列表;
●桌面安全评估及终端加固
⏹自动发现存在安全隐患的终端设备;
⏹可提供终端网络流量异常评估;
⏹支持用户密码强度检查、Guest检查、屏幕保护设置检查;
⏹支持各种共享检查、支持禁止修改IP地址;
●终端安全接入控制,防止非法终端接入
⏹用户可以自行定义多种准备控制策略;
⏹采用的假想式程序安排的基本隔离方法可以在最短的时间有效地阻止没有被认证的用户。
不受电闸802.1x或DynamicVLAN的限制,并适用于任何网络环境
⏹不符合特定程序(如未安装杀病毒软件,DMS程序等),不符合安全补丁的用户的操作将被阻止
●软件分发,功能强大、快速部署
⏹不影响客户端用户资源负担,确保软件正常发放与安装;
⏹支持有策略分发围,支持大规模数量的终端;
⏹支持自动安装、手工安装,支持多种打包工具和打包格式;
●非法操作监控管理,让管理规定令行禁止
⏹检查桌面终端是否安装非法软件;
⏹支持对USB设备、USB存储设备、Modem拨号、无线通讯、红外通讯、蓝牙通讯、软驱、光驱等非法操作的监控、审计和禁止使用;
⏹支持离线管理,桌面终端在离开网络之后安全策略仍然有效;
⏹可以制定黑白进程,规企业程序应用;
⏹支持控制企业网络浏览控制,制定黑白,规定企业上网围;
●远程维护与协助,不到现场、胜过现场
⏹实时监控客户端画面;
⏹不用到现场即可了解远程桌面发生的状况;
⏹可以选择远程控制或者只监视桌面,满足各种场合的需要;
⏹可以同时支持多个桌面实时跟踪;
⏹可以与远程客户端发送消息通知;
●强大的事件预警平台
⏹根据桌面审计信息数据统计分类
⏹报警结果处置管理,支持EMAIL、消息等方式
⏹多种可扩展策略定制预警情况;
●丰富的报表输出功能
⏹对于资产管理、行为审计等结果可以输出报表
⏹输出报表支持导出为.xls文件
⏹可自动输出排序分析类报表,TOPN类的报表
此外,BroadviewDCC支持多级级联管理模式,各种安全管理策略可以按照不同模式进行应用围部署。
4.功能模块说明
项目
功能项
功能说明
备注
基本要求
系统架构和整体安全性
基于B/S、C/S混合构架,具有较好的系统安全性,管理平台采用WEB方式。
多级级联的网络结构
采用部署区域服务器的模式并且配置上级服务器IP地址,策略下发,采集数据上报的方式实现多级级联。
安全模式下正常运行
USB的控制、进程黑白、客户端防删除等控制策略在安全模式下正常运行。
系统管理员的安全性
可定义不同的功能权限的管理角色、同时定义操作员可管理的组织围,而且可以限制管理员在指定的IP围登录平台。
客户端对CPU、memory的资源占用
要求客户端占用cpu正常情况下<=3%;存占用在5M以
离线管理模式
能够支持客户端不在联网状态下正常管理,并且保存操作记录行为;
基础平台知识产权风险性
要求提供的基础服务平台不存在任何的知识产权的风险性;WEB服务器、数据库等等方面;
策略管理要求
制定策略可继承,方便部署;也同时可以指定某个组可某台机器个性策略部署;
功能模块
外设管理
对所有外部设备能够控制其使用,包含USB设备/USB存储设备/软驱/光驱/串口/并口/调制解调器等等;当禁用USB存储设备时,像USB打印机、USB-Key可以照常使用。
外设管理策略在安全模式下同样生效;
资产管理
能够自动收集所有客户机的软硬件详细信息,并且导出相应的报表。
能够记录各计算机的IP地址、计算机名、MAC地址、网卡型号和生产厂商、计算机所在域、操作系统、主要硬、软件信息、物理位置,IT资产从采购时输入一直到接入网络、日常维修、一直到报废。
能够按照部门、IP地址围、MAC地址、设备类型、操作系统类别、操作系统语言、资产各种配置、设备在线状态等方式分类。
要求软件包含系统补丁、应用程序、启动程序项等类型。
远程协助
能够进行远程桌面查看,方便看到对方的桌面操作界面;能够远程上去控制对方的桌面操作,辅导对方行为;能够在需要远程协助时,客户端才唤醒远程服务,否则远程服务不启动;能够做到远程协助的服务采用动态密码方式做校验,只能通过管理平台登录才有效;
事件日志审计
客户端用户登录事件、关机事件、打开窗口事件、操作文档事件等等一系列的操作事件日志都需要记录与查询。
违规外联管理
当部署了违规外联策略的客户机或者群组在访问了在限制之外的网络时,系统会记录外联时间与目标地址,操作用户等等信息,同时会提供报警及数据查询等功能。
当有违规外联现象发生时处理操作,可以提示、断线、报警等操作。
报警信息模块
报警我们可以提供窗口报警、EMAIL报警、报警规则的设置、部署。
IP地址综合管理
能够远程修改各客户端的IP地址;能够控制客户端无法擅自修改自己的IP地址。
黑白进程管理
能够按全天或指定的时间对指定的程序进行禁止,或者采取反选,对指定的程序外的程序进行禁止;能够防止客户端通过修改文件名和目录的方式运行非法程序。
;
黑白管理
能够按全天或指定的时间对指定的域名进行禁止,或者采取反选,对指定的域名外的进行禁止;
端口统一管理
能够对网络中的所有客户端软件端口进行统一的管理和控制;能够统一控制客户端的本地软件端口和远程软件端口的开关。
安全补丁统一分发
能够将微软安全补丁统一配置并分发到网络中的所有客户端上,并在客户端上自动运行补丁安装程序;能够支持微软全系列补丁类型,包括Windows全系列、OFFICE全系列、SQLServer全系列及其他所有微软提供的补丁;能够人工审核的流程,对一些补丁不需要安装的可以采用人工审核;能够提供所有机器没有安装补丁的分布列表;支持服务器在离线状态下更新补丁库。
客户端进程查看
要求能够查看和管理各客户端当前和曾经运行的进程;能够远程关闭实时进程;
共享信息查看并管理
能够查看客户端开放的所有实时共享;能够取消相应的共享信息;
远程修改计算机名
要求能够远程修改客户端的主机名;
远程修改网络参数
通过WEB平台就可以远程修改客户机的网络IP参数,包括DNS,网关等。
软件分发
能够支持可执行程序、MSI安装包或者文档数据文件自动下发与安装;能够支持指定组围、指定时间进行安装、能够指定客户端安装目录;
并且支持其他系统补丁的分发安装,提供打包工具,能够判断检测指定程序是否在运行,如果运行则提示系统需要升级提供一个提示对话框如果按确认则将指定程序退出开始安装,如果选择取消则不安装,如果没运行则马上开始安装。
能够提供带参数运行程序包;能够指定执行安装之后是否重启、关闭机器;能够查询软件分发的详情与历史情况;
全网PC设备扫描
输入网络扫描围,可以将全网的PC情况列出来,IP、MAC、计算机名、是否开机、是否有客户端等情况列出来。
或者可以查看上一次的扫描情况。
非法接入控制
提供了安全接入控制功能,通过采用安全接入控制功能可以保证一些非法的或者外联的新机器无法接入到部网络或者只有在经过信息安全管理人员的许可之后,才可以访问网的部网络资源,降低外来非法机器导致的网信息安全风险。
总结需求重要一点:
所有经过身份认证的MAC地址并且安装了客户端软件的机器可以接入网络,其他机器一律不能接到网络中来。
流量审计与流量控制
提供对客户端计算机的流量审计与控制策略,通过控制策略,可以限定客户端实时流量大小及连接数。
5.产品部署
BroadviewDCC产品支持分级部署与管理,基本部署结构如下图:
图表1BroadviewDCC产品基本部署
BroadviewDCC包括补丁服务器,数据库服务器,Web管理服务器及本身的服务器,可以由一个安装包来完成全部安装。
在各个客户端计算机上需安装客户端程序。
下图是分级部署图,BroadviewDCC支持多级部署,上级给下级下发策略与管理指令,下级分发并执行策略,同时给上级服务器汇报本级服务器信息。
图表2BroadviewDCC分级与区域扩展部署
6.安装要求
●服务器端
⏹硬件:
主流CPU/512M存/10G空闲硬盘
⏹系统:
windowsXP/2000/2003
⏹环境:
无Web服务,windowsinstaller3.0
●客户端
⏹硬件:
可以安装运行windowsXP
⏹系统:
windowsXP/2000/2003
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Broadview DCC 产品白皮书 产品 白皮书