桌面安全管理产品k.docx
- 文档编号:7929198
- 上传时间:2023-01-27
- 格式:DOCX
- 页数:24
- 大小:26.31KB
桌面安全管理产品k.docx
《桌面安全管理产品k.docx》由会员分享,可在线阅读,更多相关《桌面安全管理产品k.docx(24页珍藏版)》请在冰豆网上搜索。
桌面安全管理产品k
终端安全管理策略技术
指标
技术项
描述
北信源内网安全管理及补丁分发系统VRVEDP
B/S与C/S模式结合系统结构
基于C/S模式构架设计,由安装在各计算机设备上的客户端(Client)软件和安装在管理服务器上的控制端(Server)软件两部分组成,客户端程序安装在用户的计算机上,管理服务器同本地数据库连接;以B/S结构进行管理,控制界面以web方式显示(browser),可以进行不同权限的登录后台数据库(server),提供集中的策略管理中心,详细的资产和安全管理功能、强大的自定义报表功能及全面的报警功能。
数据库存储
后台管理信息库基于MicrosftSQLserver技术创建,SQLserver为本系统提供所有的设备信息、命令信息存储,区域管理器程序提供辅助数据分析平台。
数据库中存放计算机及网络设备的所有信息。
系统通过网络自动扫描技术实现对网络设备的监测,对监测结果处理后写入数据库;对于处理过程中发现具有违规行为的计算机设备将在监控系统的管理平台上进行报警和阻断。
客户端平台覆盖
客户端管理覆盖主流桌面操作系统平台MicrosoftWindows98/Me/NT/2000/XP/2003的各个版本系统的管理,支持Linux/Unix系统的发现以及网络设备的信息采集。
级联总控管理
支持广域网构架(可支持4级以上管理构架),在总部级管理页面中嵌入下级系统控制链接,提供对下级监控系统的页面直接察看,对下级区域进行区域划分管理,包括管理级联、数据库级联、报警级联以及策略下发级联等。
分布式数据库级联
数据库的应用支持分布式和集中式两种,分布与集中对应存在,分布式数据库即独立应用一套本系统,但需要在系统的区域管理器上面启动级联功能,将本级信息汇总到上级数据库,成为集中式数据库。
分布式数据库应用还表现为,一个集中的管理控制平台对多个分布式数据库的信息访问。
网络设备自动登记
基于定时扫描机制,自动扫描检测其管理网段内的计算机是否已经安装客户端软件和客户端设备信息变化情况,将设备信息数据同数据库中原始数据进行比较,如发现异常则报警,并能阻断设备的入网。
web中央控制管理模式
中央控制管理平台通过web界面管理系统来调用中心数据库、控制系统不同功能模块,作为整个系统的操作管理平台。
如配置不同模块工作参数值,配置客户端探测程序参数等;显示网络设备分类统计、报警信息、查询日志等;基于IP范围进行管理区域划分,对不同安全管理员进行管理权限分配等。
策略管理中心模式
策略管理中心以策略的形式向所管理的本级或下级客户端下发管理指令;可进行多级级联管理,支持多级管理方式,各级子管理节点能够与根管理节点进行策略同步;策略管理中心可以针对不同的管理级别、不同的区域、不同的IP、不同的操作系统等范围,以全局、本地策略模式进行策略分发,支持多条策略的组合执行;可以灵活的按照用户需要制定策略触发条件:
根据时间段和时间点定制策略使用或禁止使用的触发条件。
规定策略生效或失效的时间段,以及策略的存活时间。
违规设备阻断
系统支持三种阻断模式包括防火墙阻断、ARP阻断以及交换机阻断,可以对控制终端设备的接入,对未授权的终端设备进行阻断,同时提供安全事件源远程阻断,对违反策略的终端进行阻断。
设备入网监测
自动记录管辖范围内计算机设备的安全信息,对设备的注册入网资格进行审计,显示当前网络中所有设备的注册情况;对终端接入网络和带入带出进行监测,按要求对非法联入网络的计算机设备进行报警和注册提示,并能以自动阻断和管理员阻断两种方式阻断设备入网。
客户端资源监控
客户端程序可以通过自动分发或者手工注册,下载安装到各个计算机上,开机后程序立即运行,实时探测本机系统信息,包括操作系统信息、软件信息、硬件信息、端口状态、服务状态、资源使用状态、用户登录及访问等状态探测,并能够即时将信息上报到系统处理。
应用资源监视
基于进程搜索的功能帮助进行病毒源定位,还涉及补丁(应用软件)探测、以及CPU内存占用状况等等。
信息汇总
下级监控系统可将本区域汇集到的安全信息建库并自动上报到上级监控系统。
IP区域划分
按照IP地址的范围进行区域划分,形成独立安全边界区域的规划管理。
病毒源定位
能够对计算机上的病毒入侵源进行辅助分析和定位,并能够对以定位客户端进行远程提示或阻断。
中央综合报警
中央汇总、区域分布两种报警方式相结合,逐级汇总网络设备变化、违规行为、系统运行状况异常信息,方便网管人员进行审计。
跨越网段、跨VLAN对违规的计算机设备进行自动阻断
提供对客户端计算机非法接入Internet进行自动阻断和设备违规的人工阻断,不受vlan和网段距离影响。
网络拓扑管理
能自动发现整个网络中的终端系统的IP地址、机器名和MAC地址,允许管理者对终端系统按部门进行登记管理,形成网络基本情况数据库。
生成网络拓扑图。
客户端/网络分组管理
按照多种方式(如按操作系统、已划定区域、按IP区域或用户自定义、所有设备等)对客户端方便的进行分组管理。
细粒度的用户权限分配
1、系统能够对系统管理员进行分级,分权限管理,对于级别和权限的分配可没有任何限制的进行。
可对管理员定义不同的管理范围和操作,本区域的管理员只能看到自己所管理区域内的设备情况,并对区域内的相关设备进行管理操作。
2、系统在设定权限时可根据工作需要,规定该用户所能操作的策略、管理的区域及查看的信息。
设定权限时还可以根据工作需要设定用户是否是只读用户(只能看数据,不能改数据)还是有读写权限。
3、用户可分为超级用户、普通用户和审计用户,由超级用户可开设并分配用户及权限。
4、系统支持二级至多级管理模式,必要时可在本区域内自行划分增加下级管理区域,并设定下级管理区域的管理员以及他的相应权限(下级区域管理员只管理本下级区域)。
下级区域的级别和划分可自主增加,增加的级数没有限制。
无需增加新的软、硬设备。
设备入网快速发现
通过分布式扫描代理技术,系统能够快速发现各网段的接入设备及断开设备。
硬件资产管理
统计终端计算机资产,报警计算机软硬件变化信息,控制注册计算机硬件设备的使用,如可以允许或者禁止注册计算机使用光驱、软驱、USB移动存储设备、打印机、调制解调器、串并口、1394控制器、红外设备等。
软件监控
自动收集安装在每台计算机上的每种应用程序信息,包括安装的操作系统种类、版本号以及客户端软件安装的软件等信息,并进行汇总管理。
根据条件查询客户端软件安装的软件或指定软件被哪些客户端软件安装等信息对软件安装进行黑白名单控制,即根据策略设定禁止安装的软件和必须安装的软件。
对违规的客户端进行客户端警告和断网处理等相应措施,客户端上显示相应的提示警告信息,提示警告信息可由用户自主填写。
进程管理
1、统一汇总和监视网络各终端的进程,并生成报表(具体查询在统计报表中)。
2、进程保护:
进程保护功能可保护重要进程,使其不意外退出。
3、根据进程出现的时间进行排序,显示网络中最新出现的进程,以便发现新的可疑的进程。
4、可通过进程名称、打开端口、进程运行次数、文件大小、进程所在路径、文件版本等条件,对网络客户端的进程进行查询。
5、终端进程管理:
显示当前计算机的运行的进程,可以进行远程的关闭。
6、进程异常监控功能:
对未响应窗口、意外退出停止的进程及服务进行上报和退出、退出重起等处理
IP/MAC地址绑定管理
设定客户端IP/MAC地址绑定,一旦绑定出现变化可以通过设定不处理、自动恢复、断开网络、仅提示等方式处理。
非法外联监控
能够详细记录和查询各种非法联网(接入互联网或其它网络)的计算机信息,如上网时间、持续时间、客户端地址等。
支持对双网卡、Modem、ADSL以及无线网卡等方式上网行为的监控。
同时可以对违规操作的终端采取警告、断网等处置形式。
普通软件分发
系统可以向指定客户端(用户组)分发文件或安装软件,分发时可提供软件的运行参数和必要的运行控制。
此功能可减轻网络管理人员的工作负担,软件分发时可报告软件安装的状态,管理员可及时了解情况。
系统提供人性化的软件安装过程录制工具,方便对软件录制打包,软件分发至终端后,系统可在终端对软件安装过程进行回放,方便软件在客户端进行自动安装。
终端防火墙
1、端口控制:
禁用填充项中指定端口,开放其它端口;开放填充项中指定端口,禁用其它端口;
禁用填充项中指定端口;开放填充项中指定端口;端口可按照范围进行填写。
2、ICMP协议控制:
禁止ping入;禁止ping出;协议双向禁止;
3、IP地址访问控制:
只允许填充项中IP地址访问自己,禁止其余IP地址访问。
只允许自己访问填充项中IP地址,禁止访问其余IP地址。
用户密码、弱口令检查
对客户端的所有用户口令进行检查,并可以自行添加弱口令列表,如果发现系统存在弱口令则进行上报,并进行相应的提示。
用户权限监测
对客户端的用户权限进行监测,针对:
系统用户权限发生改变、系统用户组权限发生改变、系统用户增加时、系统用户减少时、当系统用户组减少时等多种情况进行监测,一旦监测内容发生变化则以后将相应信息上报,并在客户端上显示相应的报警。
注册表检查
对win9X、win2000、Winxp、win2003等系统指定的注册表键值进行监控,如果发现指定的键值与检测键值不符合或键值不存在,则立刻上报并可在客户端上显示相应的提示信息。
注册表保护
保护注册表,使其不被未授权用户或恶意程序修改。
黑白名单管理
可定制软件安装、进程运行、url地址访问、终端端口等管理项的黑白名单设置,禁止/允许使用或访问。
上网访问控制
对客户端上网活动进行限制,设定其仅允许访问的Web站点和禁止访问Web站点。
杀毒软件控制
支持对当前主流杀毒软件的识别与控制,当客户端未安装杀毒软件时对客户端进行提示,采取断开网络、自动重启等措施。
移动存储设备(包括Usb移动设备、光驱、软驱等)接入控制
该功能确保客户端不能随意使用移动存储设备,对移动存储设备的数据输入/输出进行审计,并对使用的设备进行标签认证:
普通标签:
将该标签写入U盘,在管理区域内,根据策略的设置,来限制U盘的读、写功能;如果在管理区域外使用U盘,则不限制U盘读、写功能。
保护标签:
将该标签写入U盘,在管理区域内、外都有效。
在管理区域外,不能对U盘进行读、写操作。
在管理区域内,符合“可移动存储审计”策略,则可以正常使用;不符合则无法对U盘进行操作;
加密标签:
将该标签写入U盘,在管理区域内、外都有效。
在管理区域外,不能对U盘进行读、写操作;在管理区域内,符合“可移动存储审计”策略则可以正常使用;不符合则显示为乱码,无法对U盘进行操作(可以看到内容,但不可修改)。
保护及加密标签:
该标签具有保护功能。
将该标签写入U盘,在管理区域内、外都有效。
在管理区域外,不能对U盘进行读、写操作;在管理区域内,符合“可移动存储审计”策略则可以正常使用;不符合则显示为乱码,无法对U盘进行操作。
文件输出审计
1.打印输出审计:
对不同类型的文件的打印进行禁止、限制、审计。
2.邮件输出审计:
对不同类型的邮件附件发送进行禁止、限制、审计。
3.网络共享输出:
对不同类型的文件的共享与拷贝进行禁止、限制、审计。
输入输出设备监控
启用或禁用软驱、光驱、USB存储设备、Modem、串口、并口等;可监控计算机终端向软驱、光驱、USB存储设备等写入文件的操作;可配置计算机终端可使用的打印机并监控其打印信息;支持输入输出设备的行为审计。
文件审计
文件操作审计:
记录文件操作,包括的记录文件操作类型:
创建、打印、访问、复制、改名、恢复、删除、移动等。
文件保护:
对客户端不同路径下的不同文件的读取、修改、删除等操作进行限制或禁止。
流量采样
1、流量采样阈值设定:
用户自主设定采样阈值,当流量(含出、入或总流量)超过一定限度并持续一定时间后,进行有关信息上报,防止上报数据过多给网络带来负担。
2、对并发连接数设定阈值并进行采样,同时可以对超过阀值的终端进行警告同时向服务端进行报警。
3、对大规模发包设定阈值并进行采样,同时可以对超过阀值的终端进行警告同时向服务端进行报警。
4、对可疑扫描行为设定阈值并进行采样,同时可以对超过阀值的终端进行警告同时向服务端进行报警。
流量控制
1、对可疑的网络扫描以及发包行为进行报警上报、自动阻断、客户端提示等管理。
2、设定网络客户端流量上限阈值,对超过阀值的终端进行报警上报、自动阻断、客户端提示等管理。
3、对并发连接数可疑的客户端进行报警上报、自动阻断、客户端提示等管理。
垃圾文件清理
1、按照文件的存储目录对文件进行定期清理。
2、对不同类型的垃圾文件、临时文件进行定期清理
运行资源监控
1、设定CPU使用率和超过使用率持续时间的阈值,达到阈值系统自动向服务端报警并对客户端进行提示;
2、设定内存使用率和超过使用率持续时间的阈值,达到阈值系统自动向服务端报警并对客户端进行提示;
3、设定系统盘剩余的空间阈值,达到阈值系统自动向服务端报警并对客户端进行提示;
4、设定其他盘符的剩余空间阈值,达到阈值系统自动向服务端报警并对客户端进行提示。
流量异常监控
1、客户端流入流量超过阈值并持续设定的时间,进行上报、客户端提示或自动阻断。
2、客户端流出流量超过阈值并持续设定的时间,进行上报、客户端提示或自动阻断。
3、客户端总流量超过阈值并持续设定的时间,进行上报、客户端提示或自动阻断。
多路呼叫帮助平台
当客户端用户以及服务器用户在使用计算机时遇到难以解决的问题,可以通过访问特定网页,主动自主选择空闲的网管人员(网管人员状态分为空闲、繁忙、在线)发出协助请求呼叫,呼叫网管对其进行远程协助。
当管理员接收到客户端的请求可以后,调用远程客户端的桌面,帮助客户端用户解决相应的问题。
终端控制
1、终端服务管理:
显示当前计算机所有服务状态的情况,可以进行远程的开启或关闭。
2、终端端口管理:
显示当前计算机所有开启端口的情况,可以进行远程的关闭。
3、查看安装软件:
显示当前计算机所安装的软件信息的情况。
4、查看漏打补丁:
根据补丁总列表来显示当前计算机未打的补丁。
5、查看运行资源:
显示当前计算机的数据流通情况、CPU内存占用情况以及磁盘使用情况。
6、终端事件查看:
可以远程查看计算机的系统、安全以及应用程序的设置。
7、硬件资产查看:
显示当前计算机详细的硬件设备的资产情况。
8、共享目录列表:
显示当前计算机所有共享的磁盘路径以及文件名。
9、终端访问审计:
显示当前计算机登录用户和操作的事件的记录日志。
10、消息通知:
对当前的计算机发送一段不可回的文字消息。
11、运行程序:
可以远程的运行计算机机器上的可执行程序。
12、修改网络配置:
可以远程的修改当前计算机的计算机名以及网卡的设置。
13、断开网络连接:
断开当前计算机于当前网络的连接。
14、恢复网络连接:
恢复当前计算机的网络连接。
15、同步计算机数据:
可以对当前的计算机进行数据的同步。
16、客户端升级:
可以对当前的计算机的客户端进行升级。
17、客户端卸载:
远程卸载掉当前计算机安装的客户端。
18、重启计算机:
对远程的计算机进行重起的操作。
19、数据包分析支持:
对当前的计算机进行远程的分析数据包操作。
20、屏幕支持:
可以对客户端进行远程桌面控制。
消息推送
精确的对选定的对象或个人进行消息传送,不依赖于windows自身的信使服务,系统提供多种策略模式传送消息,如:
仅消息通知、消息通知并确认回馈(确认终端用户是否阅读消息及获取消息回馈信息)、重新注册、客户端升级等不同形式的消息通知。
用户脚本分发
支持自定义的脚本编辑器,在XML文件中定义的各种脚本操作进行发送,从而实现特定管理操作。
任务分发支持当前所有Windows操作系统,未来可向Linux/Unix系统扩展。
注册表脚本分发
支持自定义的注册表脚本编辑器,在XML文件中定义的各种脚本操作进行发送,修改客户端相关注册表配置。
任务分发支持当前所有Windows操作系统:
Windows95、Windows98、WindowsNT、Windows2000、Windows2003、WindowsXP等以及Linux/Unix系统扩展。
补丁检测
系统可以对多平台系统进行补丁检测与审计,对漏打补丁的终端系统能够生成漏打补丁列表,并可以针对漏打补丁列表进行对应的补丁分发。
补丁增量导入
北信源针对物理隔离的内网,使用增量式补丁自动分离技术,在外网分离出已安装、未安装补丁,分类导入,即仅对内网的补丁进行“增量式”的升级,减少拷贝工作量。
互联网补丁自动实时探测,支持补丁导出前病毒过滤。
补丁分析
自动建立补丁库,支持补丁库信息查询。
针对下载的补丁进行归类存放,按照不同操作系统、补丁编号、补丁发布时间、补丁风险等级、补丁公告等进行归类,帮助管理人员快速识别补丁。
补丁测试
系统可以建立补丁测试工作机,下载后的补丁应首先进行测试,测定合格后方可进行大规模的补丁分发。
补丁策略制定
具体可支持定时、定周期、分类、分部门、分范围、客户机状态和用户自定义等策略。
补丁策略分发
具备详尽的补丁分发策略,补丁可以定时、定周期、分类、分范围、分部门、分范围、客户机状态和用户自定义等进行分发。
补丁文件任务制定
针对特定的一个补丁或多个补丁,对指定计算机或者计算机网络进行补丁自动分发安装。
补丁文件自动分发
在指定时间、指定网络范围内以不同方式(如推、拉)分发补丁,或者根据脚本策略统一控制客户端下载补丁。
当系统监测到有客户端未打补丁时,可对漏打补丁的客户端进行推送补丁。
补丁分发流量控制
为了适应将来可能的系统扩展,系统特别设计了利用多种方式进行下载流量控制。
强大的自定义组态报表查询
策略执行结果数据报表查询:
可以对网络设备注册状况、硬件变化、软件变化、进程运行状况、移动设备使用状况、流量状况、用户状况、涉密状况、文件输出状况、网络访问状况以及软件分发情况等等信息进行统计查询并能够生成报表。
级联报表:
对整个网络中所部署的区域管理其状态进行总体查询并生成报表。
运维信息报表查询:
对网络终端的流量、CPU运行状况、意外中值得进程、服务、以及相关程序进行统计查询报表。
报警信息报表查询:
对IP绑定变化、病毒行为、设备变化、探头卸载、阻断报警、级联设备违规外联事件、级联设备其它报警事件、本地违规上网、级联违规上网等行为进行报警并生成报表。
设备资产统计报表查询:
本地设备注册情况、本地设备系统信息、本地设备硬件信息、本地设备补丁安装、级联设备注册情况、级联设备系统信息、级联设备硬件信息、级联设备补丁安装等信息进行统计并能够以图形的形式生成统计数据并可以生成统计报表。
自定义组态报表查询:
该功能的作用是使管理员能够方便的自定义设计报表的格式、输出内容、查询条件,方便得将web平台的设备信息、违规信息、报警信息等所有数据都可以通过管理员所需要的报表的形式进行输出。
分类查询
1、支持按事件类型进行分类查询。
2、对设备信息组态、注册信息资产、设备安装软件、设备首次运行进程、违规软件及进程、移动设备审计、安全策略违规、涉密检查、消息确认、软件分发、执行阻断任务列表、系统操作日志、运维信息查询、违规报警、级联总控等信息进行查询。
集中报警平台
报警平台的作用是当网络中出现违规行为并有报警信息产生时,应用SNMPtrap或者syslog方式及时通过声音、邮件、手机短信等方式通知网络管理人员。
第三方预留接口支持
1、遵循TCP/IP、SNMP、HTTP、FTP等相关的国际标准或工业标准,支持对设备厂商通用MIB的管理,支持对网络设备厂商管理工具的集成,具有开放的API接口,支持对网管系统的二次开发。
2、支持DMI(DesktopManagementInterface桌面管理界面)系统管理规范的接口,利用BIOS的程序自动检测系统实现对各种资源如主板、显示卡、外设的工作状况监测,随时将工作状况报告给管理中心。
管理员根据DMI接口提供的信息很容易发现系统故障,为管理者提供了方便,降低维护成本。
3、为专业安全管理软件提供联动接口:
本软件侧重于对内部网络的管理,设计构架同网络管理软件有相近的地方,能同专业的网管软件联动,双方相互提供接口,增加一些用户化的功能。
同PKI/CA、防火墙、IDS等安全平台联动,联合上述安全设施对网络中违规终端采取联动管理措施。
保护机制设计
对交换机、路由器、非Windows设备因在网页配置中将其IP进行保护。
对重要服务器,若网管认为一定不会发生违规现象无需注册的,可将其进行保护,对保护的计算机阻断不起作用。
数据重整
由于存在部分情况,(如设备出网,不再使用等),这些是靠软件无法进行识别的,因此在某些情况下需要进行数据重整,以删除已经无用的数据。
对IP和MAC重复(删除以前的级联);IP不在区域范围内(直接删除);长时间未使用(如默认200未开机删除,可自动调整);区域IP范围改变的信息系统可以进行数据重整。
系统管理日志
提供局域网桌面安全管理系统运行审计和操作审计机制,保证系统的稳定运行。
扫描器探头查询
通过扫描器,远程查询探头安装和版本等情况,远程卸载探头。
客户端程序保护机制
客户端系统具有自我防护机制,防止用户随意停止、卸载,在正常模式和安全模式下均提供主机安全代理自身防护功能。
并可防止用户停止代理进程、破坏代理运行目录和相关文件、停止代理相关服务。
客户端自动升级
客户端程序自动获取升级文件,无需操作用户人工干预。
服务器主机保护
保护服务器端不受客户端和来历不明的终端设备的恶意访问和攻击。
主机保护工具可以限制访问服务器的IP地址和端口。
如果服务器端受到客户端或不明设备的DOS/DDOS行为攻击,主机保护工具能阻断客户端或不明设备和服务器之间的连接。
组件通信安全
系统服务器端使用tcp80、88端口,客户端使用tcp22105端口,同时客户端数据上报和服务器端指令、策略下发采用加密算法,防止他人旁路嗅探涉密信息。
系统客户端和服务器端相互通信使用双向认证机制,防止已安装同类客户端的非本网络计算机非法进入网络,同时也防止模拟的假客户端和服务器进行通信。
系统负载能力
以通用计算机系统为平台载体工作,具有较强的负载能力(相应需要增强载体计算机配置),独立系统管理器可以管理至少15000节点的客户端,支持双机备份。
1)北信源内网安全管理及补丁分发系统VRVEDP
2)微软MSSystemsManagementServer2003
3)蓝代思科——LANDesk管理套件
厂商
序号
功能项
北信源
微软
LANDesk
1
客户端接入管理
客户端注册管理
支持
支持
支持
客户端带入带出网络监控
支持
╳
╳
认证管理
支持
╳
╳
IP和MAC绑定
支持
╳
╳
客户端接入交换机拓扑
支持
╳
╳
2
桌面管理及主机运维
流量带宽管理
支持
支持
支持
进程运行管理
支持
╳
部分支持
客户端服务管理
支持
╳
╳
软件安装控制
支持
╳
支持
软件分发与软件封装
支持
支持
支持
桌面消息通知
支持
╳
╳
桌面脚本控制
支持
支持
╳
远程协助/故障维护
支持
支持
支持
外设及端口控制
支持
╳
支持
主机运行资源监控
支持
╳
╳
流量异常/蠕虫行为监控
支持
╳
╳
进程异常监控
支持
╳
╳
3
点对点客户端控制
终端进程管理
支持
╳
╳
终端服务管理
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 桌面 安全管理 产品