內(nèi)網(wǎng)安全管理項(xiàng)目解決方案XX公司北京北信源自動(dòng)化技術(shù)有限公司華東技術(shù)支持中心2010年11月目錄1XX公司內(nèi)網(wǎng)管理需求分析111XX公司信息系統(tǒng)現(xiàn)狀112終端管理中存在的問題1121IT資產(chǎn)管理問題1122移動(dòng)電腦的接入管理1123終端行為管理與審計(jì)22北信源內(nèi)網(wǎng)安全管理解決方案321系統(tǒng)概述322桌面安全管理4221IT資產(chǎn)管理4222終端安全檢查策略5223防病毒策略6224軟件和進(jìn)程黑、白名單監(jiān)控功能6225IP/MAC綁定策略7226防火墻策略7227終端密碼策略7228注冊(cè)表加固注冊(cè)表監(jiān)護(hù)功能8229違規(guī)外聯(lián)策略82210終端安全運(yùn)維管理823網(wǎng)絡(luò)接入管理10231終端接入控制11232基于8021X協(xié)議的交換機(jī)端口接入認(rèn)證12233基于業(yè)務(wù)服務(wù)器的接入認(rèn)證1324檔案、報(bào)警和日志管理功能14241詳盡的檔案管理功能14242日志管理功能15243報(bào)警管理1525系統(tǒng)具備的接口和強(qiáng)大的可擴(kuò)展性16北京北信源自動(dòng)化技術(shù)有限公司251接口描述16252系統(tǒng)具有良好的可擴(kuò)展性16北京北信源自動(dòng)化技術(shù)有限公司HTTP/WWWVRVCOMCN/PAGE1OF201XX公司內(nèi)網(wǎng)管理需求分析11XX公司信息系統(tǒng)現(xiàn)狀XX公司位于。在XX公司多年的發(fā)展過程中，計(jì)算機(jī)網(wǎng)絡(luò)也逐漸壯大起來，其維護(hù)工作量也越來越大，因此必須找到一個(gè)適合公司網(wǎng)絡(luò)和客戶端的工具輔助管理，從而保證公司網(wǎng)絡(luò)和終端計(jì)算機(jī)的正常工作，為公司發(fā)展做出應(yīng)有的貢獻(xiàn)。XX公司內(nèi)網(wǎng)是信息化建設(shè)的重要基礎(chǔ)設(shè)施，隨著網(wǎng)絡(luò)的不斷發(fā)展，計(jì)算機(jī)數(shù)量將達(dá)到XX臺(tái)左右。公司的內(nèi)外網(wǎng)是嚴(yán)格物理隔離的，不允許任何內(nèi)網(wǎng)中的計(jì)算機(jī)連接外網(wǎng)，并且對(duì)內(nèi)網(wǎng)中的所有文件必須嚴(yán)格保護(hù)，防止數(shù)據(jù)的流失。但是由于缺乏有效并統(tǒng)一的管理工具，因此網(wǎng)絡(luò)中依然存在某些漏洞，極易造成重大損失。具體如下12終端管理中存在的問題121IT資產(chǎn)管理問題硬件資產(chǎn)管理問題由于XX公司的IT設(shè)備眾多，涉及的門類繁多，設(shè)備的更新調(diào)整較多，給管理人員對(duì)硬件資產(chǎn)的統(tǒng)計(jì)和管理帶來了繁重的工作量。軟件資產(chǎn)管理問題XX公司的終端設(shè)備上所安裝運(yùn)行的操作系統(tǒng)的版本，以及對(duì)于終端用戶所使用的應(yīng)用軟件的類型，難以做到及時(shí)的統(tǒng)計(jì)和更新。軟、硬件設(shè)備信息變更管理對(duì)硬件設(shè)備不經(jīng)允許的變動(dòng)、流失，網(wǎng)絡(luò)管理員不能及時(shí)的跟蹤發(fā)現(xiàn)，而使得硬件資產(chǎn)的流失不能得到很好的責(zé)任追究。對(duì)終端用戶隨便刪除系統(tǒng)軟件，從而導(dǎo)致系統(tǒng)的崩潰，導(dǎo)致管理員的工作量加重。122移動(dòng)電腦的接入管理為了保護(hù)數(shù)據(jù)，XX公司內(nèi)網(wǎng)中不允許使用筆記本電腦，但是僅僅從制度上，難以對(duì)筆記本的隨意接入行為進(jìn)行控制，通過筆記本電腦接入網(wǎng)絡(luò)，并破解拷貝機(jī)密文件的行為，依然有可能發(fā)生。因此，需要借助一個(gè)強(qiáng)而有效的工具對(duì)這種行為進(jìn)行管理控制。123終端行為管理與審計(jì)終端用戶對(duì)計(jì)算機(jī)的登陸使用擁有管理員權(quán)限，用戶隨意修改IP地址，導(dǎo)致內(nèi)部IP沖突問題；惡意修改刪除機(jī)密文件，導(dǎo)致數(shù)據(jù)丟失；終端計(jì)算機(jī)自行安裝接入一臺(tái)打印機(jī)，并打印重要文件，導(dǎo)致數(shù)據(jù)外泄等行為極易造成重大損失。北京北信源自動(dòng)化技術(shù)有限公司HTTP/WWWVRVCOMCN/PAGE3OF202北信源內(nèi)網(wǎng)安全管理解決方案為了應(yīng)對(duì)以上內(nèi)網(wǎng)安全管理的問題，北信源通過多年為國(guó)家機(jī)關(guān)、大型企業(yè)網(wǎng)絡(luò)安全服務(wù)的實(shí)踐，研發(fā)了內(nèi)網(wǎng)安全管理系統(tǒng)，這套系統(tǒng)可以很好的解決大型網(wǎng)絡(luò)面臨的內(nèi)網(wǎng)安全管理問題。21系統(tǒng)概述北信源終端安全管理產(chǎn)品采用C/S與B/S混合模式設(shè)計(jì)，支持分布式部署，并具有模塊化軟件定制、支持標(biāo)準(zhǔn)API、無縫功能擴(kuò)展與升級(jí)等優(yōu)點(diǎn)。對(duì)于不同類型的網(wǎng)絡(luò)，從終端狀態(tài)、行為、事件三個(gè)方面來進(jìn)行防御。整個(gè)系統(tǒng)具有以下特點(diǎn)1統(tǒng)一的策略管理軟件采用統(tǒng)一的策略管理中心實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)終端的管理。策略具有多種類型，針對(duì)多個(gè)不同的終端區(qū)域，在多個(gè)不同的時(shí)間段，以及不同的網(wǎng)絡(luò)中生效，方便于管理員進(jìn)行靈活的控制。2分級(jí)管理系統(tǒng)支持對(duì)管理員分級(jí)管理，實(shí)現(xiàn)不同管理員管理不同內(nèi)容，可分為授權(quán)、管理和審計(jì)等多種角色劃分，適合集中授權(quán)、多角色參與監(jiān)控的管理模式。3通信保護(hù)系統(tǒng)的組件間通信時(shí)，數(shù)據(jù)傳輸是經(jīng)過加密的，客戶端和服務(wù)器端相互通信使用雙向認(rèn)證機(jī)制，防止已安裝同類客戶端的非本網(wǎng)絡(luò)計(jì)算機(jī)非法進(jìn)入網(wǎng)絡(luò)，同時(shí)也防止模擬的假客戶端和服務(wù)器進(jìn)行通信。4客戶端軟件系統(tǒng)客戶端運(yùn)行有四個(gè)進(jìn)程VRVEDP_MEXE,VRVRF_CEXE,VRVSAFECEXE,WATCHCLIENTEXE，在不分發(fā)安裝補(bǔ)丁或軟件時(shí)，占用物理內(nèi)存25M左右，占用虛擬內(nèi)存30M左右，在分發(fā)補(bǔ)丁或軟件時(shí)，管理員可自定義對(duì)網(wǎng)絡(luò)資源的占用。系統(tǒng)客戶端具有自我保護(hù)機(jī)制，防止用戶隨意停止、卸載。5服務(wù)器安全性服務(wù)器系統(tǒng)具備保護(hù)服務(wù)器的功能。保證管理系統(tǒng)服務(wù)器使用的安全性，保證其受到惡意修改IP地址的方式攻擊時(shí)仍可正常工作，網(wǎng)絡(luò)中出現(xiàn)IP地址甚至MAC地址沖突等現(xiàn)象時(shí)，管理服務(wù)器不會(huì)被阻斷出網(wǎng)，只有發(fā)起惡意攻擊的設(shè)備會(huì)被自動(dòng)阻斷。6提供系統(tǒng)審計(jì)員、系統(tǒng)管理員、系統(tǒng)操作員三權(quán)分立的權(quán)限管理體系。7系統(tǒng)日志系統(tǒng)提供運(yùn)行審計(jì)和操作審計(jì)機(jī)制，保證系統(tǒng)的穩(wěn)定運(yùn)行。系列產(chǎn)品組成圖北信源內(nèi)網(wǎng)安全管理系統(tǒng)主要包括以下幾個(gè)功能模塊桌面安全管理系統(tǒng)、補(bǔ)丁管理系統(tǒng)、網(wǎng)絡(luò)接入管理系統(tǒng)、移動(dòng)存儲(chǔ)管理系統(tǒng)、主機(jī)行為強(qiáng)審計(jì)系統(tǒng)、安全U盤（硬件）等。下面主要詳細(xì)介紹桌面安全管理系統(tǒng)和網(wǎng)絡(luò)接入管理系統(tǒng)兩個(gè)系統(tǒng)功能模塊的作用。22桌面安全管理桌面安全管理以內(nèi)網(wǎng)終端為核心，通過安全策略應(yīng)用，加強(qiáng)終端自身的安全性，防止因終端配置或使用者疏忽造成終端安全故障，進(jìn)一步影響整個(gè)網(wǎng)絡(luò)的安全性。內(nèi)網(wǎng)安全管理包括以下功能策略221IT資產(chǎn)管理IT資產(chǎn)管理管理接入內(nèi)網(wǎng)的眾多IT設(shè)備，通過軟硬件管理策略的應(yīng)用，加強(qiáng)對(duì)眾多終端設(shè)備的數(shù)量、狀態(tài)的統(tǒng)計(jì)和運(yùn)維的日常管理。防止因軟硬件配置的變化，造成單位資產(chǎn)的流失以及給終端帶來安全故障，甚至進(jìn)一步影響整個(gè)網(wǎng)絡(luò)的安全性。IT資產(chǎn)管理包括以下功能策略北京北信源自動(dòng)化技術(shù)有限公司HTTP/WWWVRVCOMCN/PAGE5OF202211終端注冊(cè)管理終端注冊(cè)管理可以對(duì)接入內(nèi)網(wǎng)并且注冊(cè)的終端設(shè)備進(jìn)行軟硬件資產(chǎn)的統(tǒng)計(jì)和管理，主要包一下幾個(gè)方面的內(nèi)容硬件資產(chǎn)統(tǒng)計(jì)管理統(tǒng)計(jì)終端設(shè)備，如終端主機(jī)CPU的廠商、頻率，內(nèi)存、硬盤的大小，光驅(qū)，USB接口等基本硬件信息，通過硬盤以及IP、MAC地址標(biāo)識(shí)內(nèi)網(wǎng)中設(shè)備的唯一性。對(duì)網(wǎng)絡(luò)中存在的交換機(jī)、路由器、打印機(jī)等網(wǎng)絡(luò)設(shè)備進(jìn)行信息的統(tǒng)計(jì)和做相應(yīng)的記錄。軟件資產(chǎn)統(tǒng)計(jì)管理對(duì)已經(jīng)注冊(cè)的客戶端，進(jìn)行對(duì)操作系統(tǒng)版本以及殺軟廠商的識(shí)別，對(duì)已安裝的應(yīng)用軟件進(jìn)行統(tǒng)計(jì)。對(duì)于系統(tǒng)可能存在的漏洞，以及殺軟沒有及時(shí)的更新，進(jìn)行補(bǔ)丁的下載安裝，殺軟的自動(dòng)升級(jí)。資產(chǎn)變更管理對(duì)已經(jīng)注冊(cè)的客戶端的資產(chǎn)變動(dòng)情況進(jìn)行及時(shí)的發(fā)現(xiàn)并記錄上報(bào)到服務(wù)器。管理員可適時(shí)的查看到網(wǎng)絡(luò)中資產(chǎn)的變更情況，避免因?yàn)槿藶榈脑蛟斐少Y產(chǎn)的流失。2212設(shè)備信息統(tǒng)計(jì)在數(shù)據(jù)查詢中可以進(jìn)行一些自定義查詢，通過本地注冊(cè)情況統(tǒng)計(jì)，可以統(tǒng)計(jì)終端總數(shù)量、應(yīng)注冊(cè)的計(jì)算機(jī)、已注冊(cè)的計(jì)算機(jī)、注冊(cè)率、在線設(shè)備、安裝殺毒軟件的情況等，并以圖標(biāo)的形式顯示出來，如需要，可以打印EXCEL報(bào)表。根據(jù)本地設(shè)備統(tǒng)計(jì)信息，可以按操作系統(tǒng)、硬盤大小、CPU主頻、系統(tǒng)內(nèi)存等不同的類別進(jìn)行統(tǒng)計(jì)，并以餅狀圖的形式顯示。通過本地設(shè)備系統(tǒng)類型統(tǒng)計(jì)，可以對(duì)注冊(cè)設(shè)備進(jìn)行類型登記率、終端、服務(wù)器、網(wǎng)絡(luò)設(shè)備以及其它設(shè)備進(jìn)行分類統(tǒng)計(jì)。222終端安全檢查策略終端安全檢查策略可以對(duì)所有接入內(nèi)網(wǎng)的終端的自身安全性做檢查，主要包兩個(gè)方面內(nèi)容殺毒軟件檢查1是否安裝殺毒軟件，未安裝則自動(dòng)安排指定的殺毒軟件。2殺毒軟件是否最新版本，不是最新版本則自動(dòng)運(yùn)行指定的升級(jí)包。系統(tǒng)補(bǔ)丁檢查是否指定的系統(tǒng)補(bǔ)丁，未安裝則自動(dòng)安裝。訪問資源限制在終端未完成以上檢查項(xiàng)目前，只能訪問指定的網(wǎng)絡(luò)資源，如防病毒服務(wù)器等。223防病毒策略對(duì)于公司內(nèi)網(wǎng)，終端使用者的計(jì)算機(jī)水平參差不齊，可能會(huì)出現(xiàn)用戶卸載甚至退出統(tǒng)一安裝的防病毒軟件的情況，也可能出現(xiàn)有個(gè)別用戶被遺漏，未安裝防病毒軟件的情況。同樣也會(huì)出現(xiàn)個(gè)別客戶胡亂安裝運(yùn)行非可靠軟件，甚至黑客掃描軟件的情況。這些均只有依靠技術(shù)手段才可以解決。北信源內(nèi)網(wǎng)安全管理系統(tǒng)可統(tǒng)一監(jiān)控網(wǎng)絡(luò)內(nèi)的防病毒軟件（國(guó)內(nèi)外主流廠商的防病毒產(chǎn)品）安裝情況和使用狀態(tài)，了解網(wǎng)絡(luò)中的病毒軟件安裝狀況，必要時(shí)可通過軟件分發(fā)強(qiáng)制為客戶端安裝防病毒程序，如果需要，此系統(tǒng)也可監(jiān)控終端軟件的安裝情況，并進(jìn)行相應(yīng)的管理（如安裝軟件，強(qiáng)行升級(jí)、禁止使用特定軟件，刪除軟件等）。224軟件和進(jìn)程黑、白名單監(jiān)控功能安裝軟件黑白名單控制可對(duì)終端軟件安裝情況進(jìn)行黑白名單控制，可制定軟件安裝黑白名單，指定禁止安裝和必須安裝的軟件，并可對(duì)違規(guī)的終端進(jìn)行報(bào)警提示、終端提示、阻斷聯(lián)網(wǎng)等措施?？蛻舳诉M(jìn)程監(jiān)控監(jiān)控網(wǎng)絡(luò)客戶端軟件的違規(guī)使用情況，控制禁止啟用的程序，如搜索病毒、木馬等可疑程序，可直接結(jié)束終端的違規(guī)進(jìn)程。并可對(duì)違規(guī)的終端進(jìn)行報(bào)警提示、終端提示、阻斷聯(lián)網(wǎng)等措施。網(wǎng)絡(luò)進(jìn)程管理功能1統(tǒng)一匯總和監(jiān)視全網(wǎng)主機(jī)的進(jìn)程運(yùn)行情況，并生成報(bào)表。2對(duì)進(jìn)程進(jìn)行黑白名單控制，即根據(jù)策略設(shè)定禁止運(yùn)行的軟件或必須運(yùn)行的軟件。3自動(dòng)停止或啟動(dòng)被黑白名單監(jiān)控的進(jìn)程。北京北信源自動(dòng)化技術(shù)有限公司HTTP/WWWVRVCOMCN/PAGE7OF204根據(jù)進(jìn)程出現(xiàn)的時(shí)間進(jìn)行排序，顯示網(wǎng)絡(luò)中所有新出現(xiàn)的進(jìn)程，以便發(fā)現(xiàn)新的可疑的進(jìn)程。5此系統(tǒng)可對(duì)網(wǎng)絡(luò)中出現(xiàn)的異常進(jìn)程（很可能是病毒或木馬進(jìn)程）進(jìn)行定位和報(bào)警。6對(duì)違規(guī)的客戶端進(jìn)行客戶端提示和斷網(wǎng)處理等相應(yīng)措施。225IP/MAC綁定策略通過IP/MAC綁定策略，可以防止用戶亂改IP地址導(dǎo)致IP沖突的情況，影響內(nèi)網(wǎng)的正常運(yùn)行。桌面管理系統(tǒng)在發(fā)現(xiàn)用戶更改IP地址的行為后，可以通過自動(dòng)恢復(fù)、報(bào)警提示、斷開網(wǎng)絡(luò)等方式進(jìn)行處理。226防火墻策略公司的終端計(jì)算機(jī)中并未使用軟件防火墻，而蠕蟲病毒等均是通過一定的端口進(jìn)行傳播和發(fā)包，因此，如果系統(tǒng)可以統(tǒng)一控制網(wǎng)絡(luò)中計(jì)算機(jī)的端口，關(guān)閉病毒使用的端口，就可以有效阻止這些病毒的傳播和破壞。北信源內(nèi)網(wǎng)安全管理系統(tǒng)具備可由管理員根據(jù)需要統(tǒng)一配置的客戶端主機(jī)防火墻，可按照策略控制客戶端的特定端口的連接，包括禁用（開啟）指定的端口，禁止PING入（出），設(shè)定IP區(qū)域訪問控制，進(jìn)行包過濾控制等，也可禁止使用代理服務(wù)器，系統(tǒng)不管如何設(shè)置包過濾規(guī)則，均不會(huì)造成管理服務(wù)器對(duì)客戶機(jī)管理的通信無法進(jìn)行。當(dāng)某些客戶機(jī)臨時(shí)離開內(nèi)部網(wǎng)絡(luò)安裝到其它網(wǎng)絡(luò)時(shí)，客戶機(jī)端軟件的包過濾功能和禁止使用代理服務(wù)器功能可根據(jù)管理員的預(yù)設(shè)策略自動(dòng)關(guān)閉或繼續(xù)工作。227終端密碼策略目前很多病毒已經(jīng)可以“猜”出用戶機(jī)的口令，如果計(jì)算機(jī)使用弱口令，病毒將會(huì)通過這些弱口令獲得計(jì)算機(jī)的控制權(quán)，并進(jìn)行傳播。這類病毒的傳播行為靠殺毒軟件或者補(bǔ)丁加固均無法進(jìn)行控制。系統(tǒng)可以檢查開機(jī)密碼、屏幕保護(hù)密碼以及其它應(yīng)用的密碼（如SQL數(shù)據(jù)庫(kù)）是否為弱口令，以保障系統(tǒng)不因?yàn)槿蹩诹畋徊《竞秃诳凸簟?28注冊(cè)表加固注冊(cè)表監(jiān)護(hù)功能WINDOWS的所有安全策略都是基于注冊(cè)表的。通過改變注冊(cè)表的有關(guān)配置，可以在指定方面很大程度上增強(qiáng)客戶端的安全性。同時(shí)，木馬和病毒的開機(jī)自動(dòng)啟動(dòng)一般也是通過改變注冊(cè)表項(xiàng)，啟動(dòng)時(shí)自動(dòng)加載實(shí)現(xiàn)的。因此有必要對(duì)注冊(cè)表進(jìn)行檢查。系統(tǒng)相關(guān)功能1系統(tǒng)提供注冊(cè)表保護(hù)與訪問行為審計(jì)功能系統(tǒng)可防止未授權(quán)用戶添加、更改、刪除注冊(cè)表相關(guān)內(nèi)容；系統(tǒng)可對(duì)用戶訪問注冊(cè)表的操作進(jìn)行審計(jì)。2對(duì)注冊(cè)表項(xiàng)、鍵名、鍵值進(jìn)行黑白名單時(shí)的檢查，檢查具備包括鍵值必須符合或者不符合；鍵值必須存在或者不存在。出現(xiàn)違規(guī)注冊(cè)表項(xiàng)時(shí)進(jìn)行客戶端提示或上報(bào)服務(wù)器。229違規(guī)外聯(lián)策略XX公司網(wǎng)絡(luò)中內(nèi)外網(wǎng)是物理隔離開的，并且不允許內(nèi)網(wǎng)中的計(jì)算機(jī)訪問INTERNET，所有私自上網(wǎng)的行為都屬于違規(guī)行為。通過違規(guī)外聯(lián)策略可以自動(dòng)檢測(cè)終端是否有同其它網(wǎng)絡(luò)的連接，發(fā)現(xiàn)違規(guī)外聯(lián)的行為及時(shí)斷開其網(wǎng)絡(luò)連接，保護(hù)內(nèi)網(wǎng)的安全邊界。終端安全系統(tǒng)可以檢測(cè)到終端的多種外聯(lián)行為，包括無線網(wǎng)絡(luò)（GPRS、CDMA），藍(lán)牙，紅外等。另外還可以檢測(cè)到內(nèi)網(wǎng)的終端是否離開網(wǎng)絡(luò)單獨(dú)接入其它網(wǎng)絡(luò)的行為。對(duì)于這些行為可能采取提示報(bào)警、阻斷網(wǎng)絡(luò)、提示進(jìn)行安全檢查等方式處理。2210終端安全運(yùn)維管理22101PC服務(wù)器運(yùn)行資源監(jiān)控功能對(duì)于無人值守的服務(wù)器，監(jiān)控其資源的使用情況顯得極其重要，特別是重要進(jìn)程和服務(wù)的運(yùn)行是否正常。北信源內(nèi)網(wǎng)安全管理系統(tǒng)提供了以下幾個(gè)針對(duì)服務(wù)器的功能檢測(cè)終端設(shè)備的CPU、硬盤含每個(gè)硬盤分區(qū)、內(nèi)存等的資源占用情況，可自主設(shè)定閾值，以確定終端系統(tǒng)資源占用是否達(dá)到上限，是否應(yīng)該升級(jí)；北京北信源自動(dòng)化技術(shù)有限公司HTTP/WWWVRVCOMCN/PAGE9OF20重要進(jìn)程異常報(bào)警和自動(dòng)恢復(fù)對(duì)未響應(yīng)進(jìn)程和意外退出進(jìn)程進(jìn)行（如退出、退出并重起等）處理；基于主機(jī)方式對(duì)重要文件服務(wù)器的流量、分支網(wǎng)絡(luò)帶寬流量進(jìn)行分析，防止非法入侵、濫用網(wǎng)絡(luò)資源。當(dāng)流量（含出、入或總流量）超過一定限度并持續(xù)一定時(shí)間后，進(jìn)行有關(guān)信息上報(bào)，以便管理員了解到流量的異常，從而快速分析是否是網(wǎng)絡(luò)安全事故。22102外設(shè)應(yīng)用行為管理設(shè)備禁用功能控制外設(shè)的使用，如啟用或禁用軟驅(qū)、光驅(qū)、USB口、打印機(jī)、MODEM、串口、并口、1394火線口、紅外接口、無線網(wǎng)卡、PCMCIA卡等。其中USB存儲(chǔ)設(shè)備、軟驅(qū)、可刻錄光驅(qū)提供禁用、只讀、讀寫三種控制狀態(tài)，其他類型外設(shè)提供禁用、可用兩種狀態(tài)，系統(tǒng)能夠?qū)λ型庠O(shè)訪問行為進(jìn)行細(xì)粒度審計(jì)。對(duì)于公司網(wǎng)絡(luò)中，只允許使用指定的網(wǎng)絡(luò)打印機(jī)，而不允許終端隨意安裝打印機(jī)的情況，可以禁用終端的并口，達(dá)到終端不能使用打印機(jī)的目的。22103客戶端文件備份對(duì)于訪問、修改等操作頻繁的文件或目錄，可以采用文件備份功能，定時(shí)對(duì)指定的文件或目錄進(jìn)行備份，文件備份的服務(wù)器可以是任意一臺(tái)能夠通信的計(jì)算機(jī)。在文件被刪改后，可以恢復(fù)至上一次備份的狀態(tài)。22104垃圾文件自動(dòng)清理協(xié)助終端用戶維護(hù)（指定目錄下的）臨時(shí)文件、備份文件、幫助的歷史文件、IE臨時(shí)文件、安裝臨時(shí)文件、異常臨時(shí)文件等各種應(yīng)刪除的文件。22105IP管理和設(shè)備入網(wǎng)管理1對(duì)IP地址使用情況進(jìn)行監(jiān)視和管理；網(wǎng)絡(luò)管理員可通過此系統(tǒng)精確統(tǒng)計(jì)網(wǎng)絡(luò)計(jì)算機(jī)入網(wǎng)設(shè)備，了解當(dāng)前網(wǎng)絡(luò)IP資源使用，以取代原始的數(shù)據(jù)資料記載的手段，增強(qiáng)了設(shè)備管理信息的實(shí)時(shí)性、準(zhǔn)確性；2系統(tǒng)提供安全時(shí)間源精確定位功能，通過此系統(tǒng)可精確定位發(fā)生安全問題的終端設(shè)備所在地點(diǎn)和使用人等，以增加安全應(yīng)急反應(yīng)速度，簡(jiǎn)化網(wǎng)絡(luò)管理員的工作。對(duì)已注冊(cè)的客戶機(jī)，在線時(shí)有操作忙/閑標(biāo)志，以及空閑的時(shí)間（長(zhǎng)時(shí)間無鍵盤鼠標(biāo)操作標(biāo)志為“閑”）。23網(wǎng)絡(luò)接入管理北信源網(wǎng)絡(luò)準(zhǔn)入控制功能可以保護(hù)XX公司內(nèi)部整個(gè)網(wǎng)絡(luò)，包括可管理的（臺(tái)式機(jī)、手提電腦、服務(wù)器）以及不可管理的（外部訪客、合作伙伴、客戶）終端。利用北信源設(shè)備接入控制功能，能夠強(qiáng)制提升終端安全的能力，保證公司網(wǎng)絡(luò)保護(hù)機(jī)制不被間斷，配置正確無誤，以及補(bǔ)丁擁有最新的時(shí)效性，以防御網(wǎng)絡(luò)安全威脅。與此同時(shí)基于設(shè)備接入控制網(wǎng)關(guān)。還可以對(duì)于遠(yuǎn)程接入公司內(nèi)部網(wǎng)絡(luò)的計(jì)算機(jī)進(jìn)行身份、唯一性及安全認(rèn)證。同時(shí)可以選用北信源專用的接入認(rèn)證網(wǎng)關(guān)，此硬件設(shè)備與系統(tǒng)管理中心聯(lián)動(dòng)，并實(shí)現(xiàn)防火墻、VPN、接入流量控制管理、交換機(jī)網(wǎng)關(guān)接入控制等四大功能。其詳細(xì)功能如下1與內(nèi)網(wǎng)管理軟件聯(lián)動(dòng)2控制未注冊(cè)終端接入網(wǎng)絡(luò)3終端訪問認(rèn)證4終端網(wǎng)絡(luò)資源接入訪問控制5未授權(quán)設(shè)備訪問重定向6支持關(guān)鍵區(qū)域接入控制模式7支持兩個(gè)網(wǎng)絡(luò)間以及辦公網(wǎng)訪問互聯(lián)網(wǎng)接入控制模式8支持網(wǎng)絡(luò)外終端接入內(nèi)網(wǎng)的認(rèn)證控制通過北信源設(shè)備接入控制可以滿足XX公司的網(wǎng)絡(luò)要求，將設(shè)備接入控制擴(kuò)展到超出簡(jiǎn)單遠(yuǎn)程訪問及路由器、專有協(xié)議和已管理設(shè)備的限定之外；能夠覆蓋到公司網(wǎng)絡(luò)的每一個(gè)角落，甚至是當(dāng)使用者拿著他們的移動(dòng)設(shè)備離開XX公司網(wǎng)絡(luò)時(shí)，仍能有效的提供北信源設(shè)備接入控制的執(zhí)行。北信源內(nèi)網(wǎng)安全管理系統(tǒng)針對(duì)所有的網(wǎng)絡(luò)架構(gòu)工作，并且不必進(jìn)行昂貴的網(wǎng)絡(luò)架構(gòu)改造。北京北信源自動(dòng)化技術(shù)有限公司HTTP/WWWVRVCOMCN/PAGE11OF20231終端接入控制終端接入控制流程圖客戶端注冊(cè)管理將客戶端的硬件設(shè)備信息硬件屬性（諸如硬盤、CPU、內(nèi)存等）、地理位置信息（設(shè)備名稱、使用人、房間號(hào)等）經(jīng)過注冊(cè)后存儲(chǔ)到數(shù)據(jù)庫(kù)中，管理員通過WEB控制臺(tái)獲取數(shù)據(jù)庫(kù)中客戶端信息。客戶端拓?fù)涔芾硐到y(tǒng)具有終端網(wǎng)絡(luò)拓?fù)鋻呙韫δ?，其?qiáng)大的設(shè)備認(rèn)知能力實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)不同設(shè)備的全面搜索發(fā)現(xiàn)，自動(dòng)發(fā)現(xiàn)整個(gè)網(wǎng)絡(luò)中的終端系統(tǒng)的IP地址、機(jī)器名和MAC地址，允許管理者對(duì)終端系統(tǒng)按部門進(jìn)行登記管理，形成網(wǎng)絡(luò)基本情況數(shù)據(jù)庫(kù)，自動(dòng)生成網(wǎng)絡(luò)結(jié)構(gòu)拓?fù)鋱D。提供了圖形化管理界面，管理員在WEB控制臺(tái)查看終端定位連接交換機(jī)的信息，詳細(xì)列表終端連接交換機(jī)端口狀況信息?？蛻舳藥霂С鼍W(wǎng)絡(luò)監(jiān)控系統(tǒng)對(duì)非法接入計(jì)算機(jī)的行為進(jìn)行報(bào)警，并能夠自動(dòng)阻斷，如便攜式筆記本電腦和新增設(shè)備的接入（未經(jīng)允許擅自接入的設(shè)備會(huì)給網(wǎng)絡(luò)帶來病毒傳播、黑客入侵等不安全因素）；監(jiān)測(cè)筆記本電腦帶出網(wǎng)絡(luò)后接入其它網(wǎng)絡(luò)等行為（此類電腦如未通過安全檢查程序的檢測(cè)，系統(tǒng)將自動(dòng)阻斷這類筆記本入網(wǎng)）。8021X認(rèn)證基于端口在交換機(jī)端口對(duì)接入設(shè)備進(jìn)行認(rèn)證和控制，連接在該端口上的用戶設(shè)備如果能通過認(rèn)證就可以訪問網(wǎng)絡(luò)內(nèi)的資源，否則無法訪問網(wǎng)絡(luò)內(nèi)資源相當(dāng)于物理上斷開連接。未注冊(cè)客戶端ARP阻斷管理獨(dú)有ARP阻斷技術(shù)，對(duì)于接入網(wǎng)絡(luò)未注冊(cè)客戶端進(jìn)行ARP阻斷，禁止其聯(lián)網(wǎng)。交換機(jī)開關(guān)定位阻斷管理自動(dòng)掃描網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，記錄客戶端所接入交換機(jī)位置及其端口，可以關(guān)閉交換機(jī)端口阻斷設(shè)備接入網(wǎng)絡(luò)。IP和MAC綁定管理對(duì)固定IP網(wǎng)絡(luò)的MAC和IP地址進(jìn)行綁定管理，系統(tǒng)探測(cè)到IP變化將進(jìn)行報(bào)警同時(shí)對(duì)該客戶端進(jìn)行恢復(fù)原有IP配置及關(guān)機(jī)斷網(wǎng)等處置。232基于8021X協(xié)議的交換機(jī)端口接入認(rèn)證在支持8021X協(xié)議的情況下，可以使用該功能對(duì)外來設(shè)備的接入進(jìn)行控制。在認(rèn)證過程中通過EAPFAST進(jìn)行狀態(tài)確認(rèn)，RADIUS根據(jù)檢查后的結(jié)果為用戶分配不同的VLAN。通過EAPO8021X控制?；?021X協(xié)議的交換機(jī)端口接入認(rèn)證8021X協(xié)議與LAN是無縫融合的。8021X利用了交換LAN架構(gòu)的物理特性，實(shí)現(xiàn)了LAN端口上的設(shè)備認(rèn)證。在認(rèn)證過程中，LAN端口作為請(qǐng)求者，LAN端口則負(fù)責(zé)向認(rèn)證服務(wù)器提交接入服務(wù)申請(qǐng)?；诙丝诘腗ACW鎖定只允許信任的MAC地址向網(wǎng)絡(luò)中發(fā)送數(shù)據(jù)。來自任何“不信任”的設(shè)備的數(shù)據(jù)流會(huì)被自動(dòng)丟棄，從而確保最大限度的安全性。在8021X協(xié)議中，只有具備了以下三個(gè)元素才能夠完成基于端口的訪問控制的用戶認(rèn)證和授權(quán)。1客戶端。安裝在用戶的終端上（集成在EDPAGENT里），當(dāng)用戶有網(wǎng)絡(luò)訪問需求時(shí)，EDPAGENT自動(dòng)激活客戶端程序通過認(rèn)證，或由用戶手動(dòng)輸入必要的用戶名和口令通過認(rèn)證。2認(rèn)證系統(tǒng)（交換機(jī)）。在以太網(wǎng)系統(tǒng)中指認(rèn)證交換機(jī)，其主要作用是完成用戶認(rèn)證北京北信源自動(dòng)化技術(shù)有限公司HTTP/WWWVRVCOMCN/PAGE13OF20信息的上傳、下達(dá)工作，并根據(jù)認(rèn)證的結(jié)果打開或關(guān)閉端口。3認(rèn)證服務(wù)器（RADIUS）。通過檢驗(yàn)客戶端發(fā)送來的身份標(biāo)識(shí)（用戶名和口令）來判別用戶是否有權(quán)使用網(wǎng)絡(luò)系統(tǒng)提供的網(wǎng)絡(luò)服務(wù)，并根據(jù)認(rèn)證結(jié)果向交換機(jī)發(fā)出打開或保持端口關(guān)閉的狀態(tài)。233基于業(yè)務(wù)服務(wù)器的接入認(rèn)證基于設(shè)備接入網(wǎng)關(guān)的互聯(lián)網(wǎng)接入認(rèn)證第一步、注冊(cè)管理如果計(jì)算機(jī)沒有安裝客戶端程序則由北信源接入網(wǎng)關(guān)控制終端訪問范圍，終端計(jì)算機(jī)無法獲取應(yīng)用服務(wù)器資源。如果試圖訪問應(yīng)用服務(wù)器HTTP資源時(shí)。北信源接入網(wǎng)關(guān)會(huì)強(qiáng)制終端注冊(cè)。第二步、安全檢查終端接入網(wǎng)絡(luò)注冊(cè)后，客戶端程序?qū)?duì)終端進(jìn)行安全檢查?？梢栽O(shè)置策略對(duì)檢查未通過的終端進(jìn)行分發(fā)補(bǔ)丁、安裝殺毒軟件、執(zhí)行必要修復(fù)等操作。安全檢查通過的終端根據(jù)自己權(quán)限獲取可以訪問的網(wǎng)絡(luò)資源。24檔案、報(bào)警和日志管理功能241詳盡的檔案管理功能1系統(tǒng)提供完善的報(bào)表功能，能夠根據(jù)按不同部門、不同操作系統(tǒng)提供軟硬件資產(chǎn)、報(bào)警、狀態(tài)及其他情況匯總報(bào)表，提供多種報(bào)表功能，以對(duì)客戶端資產(chǎn)情況、網(wǎng)絡(luò)流量進(jìn)行統(tǒng)計(jì)。2提供資產(chǎn)統(tǒng)計(jì)報(bào)表，能根據(jù)不同部門，不同操作系統(tǒng)對(duì)客戶端硬件、軟件提供資產(chǎn)統(tǒng)計(jì)報(bào)表。3具備獨(dú)有的“組態(tài)報(bào)表”查詢功能，對(duì)于有關(guān)報(bào)表，能根據(jù)不同的需要進(jìn)行多種不同條件組合（組合查詢條件包括所屬區(qū)域、單位名稱、設(shè)備所在部門、設(shè)備名稱、設(shè)備IP、操作系統(tǒng)及版本、IE版本、防范等級(jí)、運(yùn)行狀態(tài)、安裝殺毒軟件版本及廠商、CPU情況、內(nèi)存情況、硬盤情況、設(shè)備使用人、設(shè)備最后使用時(shí)間等等），生成多種不同的報(bào)表格式。4報(bào)表以網(wǎng)頁(yè)的方式呈現(xiàn)，提供鏈接可在各項(xiàng)查詢功能中跳轉(zhuǎn)。報(bào)表可以方便的調(diào)整格式，并可以EXCEL格式輸出，以便打印。5管理服務(wù)器提供方便的導(dǎo)入、導(dǎo)出客戶檔案和管理策略功能。6對(duì)網(wǎng)絡(luò)異?；虿《镜仁录蚱渌枰挠涗?，管理服務(wù)器能夠按照定義好的時(shí)間周期，進(jìn)行統(tǒng)計(jì)報(bào)表輸出。7可以根據(jù)需要輸出成柱形圖、餅圖等。具體的統(tǒng)計(jì)報(bào)表包括設(shè)備軟件信息統(tǒng)計(jì)報(bào)表（部門、網(wǎng)段）設(shè)備硬件資源信息匯總表各區(qū)域設(shè)備注冊(cè)情況統(tǒng)計(jì)表錯(cuò)誤報(bào)表首次運(yùn)行進(jìn)程表違規(guī)軟件列表違規(guī)進(jìn)程列表級(jí)聯(lián)上報(bào)設(shè)備注冊(cè)情況統(tǒng)計(jì)報(bào)表級(jí)聯(lián)上報(bào)設(shè)備操作系統(tǒng)分類報(bào)表北京北信源自動(dòng)化技術(shù)有限公司HTTP/WWWVRVCOMCN/PAGE15OF20級(jí)聯(lián)上報(bào)設(shè)備硬件信息統(tǒng)計(jì)報(bào)表網(wǎng)絡(luò)和服務(wù)器流量報(bào)表各種報(bào)警事件表組態(tài)查詢報(bào)表242日志管理功能1可以方便的管理以下日志，并生成表格用戶登錄日志用戶操作日志用戶策略日志2系統(tǒng)管理員可以靈活設(shè)置查詢條件，條件具體包括按部門、按日期、按IP地址名稱等。3系統(tǒng)也可定時(shí)自動(dòng)備份、清除日志。4系統(tǒng)具