1、MSEP 多維終端安全管理平臺產(chǎn)品說明盈高科技市教工路552號國際服務外包示基地301室：+862傳真：+865MSEP多維終端安全管理平臺產(chǎn)品說明聲明本文中的所有容及格式的屬于盈高科技（以下簡稱盈高科技）所有，未經(jīng)盈高科技許可，任何人不得仿制、拷貝、轉(zhuǎn)譯或任意引用。所有 不得翻印© 2007盈高科技公司 商標聲明本文中所談及的產(chǎn)品名稱僅做識別之用。手冊中涉及的其他公司的注冊商標或是屬各商標注冊人所有，恕不逐一列明。盈高®多維終端安全管理平臺信息反饋目錄一 產(chǎn)品的安全策略3二、多維終端安全管理平臺的特色4u實時風險展示，隨時了解狀況4u全面安全檢查，規(guī)避安全漏洞4u多種報警

2、方式，查詢形象直觀5u缺陷自動修復，減少人工干預6u無任何網(wǎng)絡改造，避免網(wǎng)絡影響6u多種部署方式，降低部署成本7u深入系統(tǒng)核，確保終端穩(wěn)定和兼容性9u整體代碼優(yōu)化，減少終端資源消耗9三、產(chǎn)品的安全目標和外部接口說明11四、產(chǎn)品設計原則與架構(gòu)134.1.整體方案設計原則134.2.統(tǒng)一的集成化融合管理平臺144.3.系統(tǒng)架構(gòu)說明15五、產(chǎn)品的功能特點165.1.集合資產(chǎn)配置管理與安全加固管理于一體165.2.統(tǒng)一定制、強制執(zhí)行的安全策略管理175.3.集中管理的主機防火墻175.4.補丁管理系統(tǒng)175.5.“主動式”安全策略防御體系185.6.桌面設置及運維185.7.殺毒軟件版本檢測185.8

3、.全面的資產(chǎn)管理185.9.軟件分發(fā)與安裝195.10.黑白進程管理195.11.訪問安全控制195.12.違規(guī)外聯(lián)195.13.便捷的遠程維護205.14.強大的外設監(jiān)控功能205.15.安全檢查及加固管理205.16.弱口令檢查功能225.17.可信移動存儲設備監(jiān)控225.18.客戶端資源運行管理235.19.網(wǎng)絡流量安全管理245.20.反ARP欺騙安全管理24六、產(chǎn)品系統(tǒng)特點266.1.友好的用戶WEB界面，易于部署迅速實施266.2.模塊化系統(tǒng)功能，真正提供所需服務266.3.具有較高的系統(tǒng)性能266.4.實時性276.5.易用性276.6.安全性276.7.支持完善、安全的用戶管理

4、與認證機制276.8.面向終端用戶的完全透明性276.9.基于開源平臺，無任何知識產(chǎn)權(quán)風險28七、產(chǎn)品的安全功能相關(guān)的術(shù)語及定義說：29一 產(chǎn)品的安全策略隨著網(wǎng)絡技術(shù)的廣泛應用，各種網(wǎng)絡環(huán)境中的安全問題正威脅著用戶的正常工作，目前邊界安全技術(shù)及產(chǎn)品已非常成熟，從2003-2006年的網(wǎng)絡安全情況來看，盡管大多數(shù)用戶采用了專門的網(wǎng)絡通道技術(shù)、物理隔離技術(shù)、安全網(wǎng)段劃分、安全防護設施（如防火墻、入侵檢測、漏洞掃描）等方式保證自己的網(wǎng)絡安全，但是，對類似下面的安全問題仍然無法做到真正意義上的解決：u 如何防頻繁出現(xiàn)的部攻擊？u 如何及時發(fā)現(xiàn)桌面設備的系統(tǒng)漏洞并最快自動分發(fā)補??；u 如何規(guī)、方便、有效

5、、安全地管理移動存儲設備的日常使用，如何確保沒有登記的移動存儲設備無法在部網(wǎng)絡正常使用？u 如何防用戶繞過防火墻等邊界防護設施，直接聯(lián)入外網(wǎng)帶來的嚴重安全隱患的行為？ u 如何確保需控制的崗位嚴格執(zhí)行上班時間不允許炒股、玩游戲、聊天等管理制度？u 如何為每臺終端設備加固安全策略，減少日常用戶使用的安全事故？u 如何快速有效的定位網(wǎng)絡中病毒、黑客的引入點，快速、安全的切斷安全事件發(fā)生點和相關(guān)網(wǎng)絡。u 如何控制外來筆記本電腦以及其它移動設備的隨意接入問題？u 如何有效管理計算機設備資源，確保資產(chǎn)的不丟失？ u 如何優(yōu)化IT運行維護流程，降低運維成本？為保證移動辦公用戶的安全，防御未知的黑客攻擊、部

6、攻擊、部信息泄露，以及加強每一臺網(wǎng)設備的安全策略，解決安全問題是迫在眉睫的！盈高科技為解決以上問題，定制了一整套安全解決方案，并推出了“MSEP多維終端安全管理平臺”。MSEP桌面安全管理套件基于Apache WEB服務器，MYSQL數(shù)據(jù)庫。管理平臺基于B/S結(jié)構(gòu)，管理員可以從任何一臺安裝了瀏覽器的終端進行登錄管理，后臺應用服務器實現(xiàn)基于C/S結(jié)構(gòu)?？蛻舳司哂袕姶蟮淖灾鞣雷o功能，沒有使用界面后臺運行。Agent作為系統(tǒng)的功能實現(xiàn)體，需要安裝在桌面系統(tǒng)中，實現(xiàn)了主機防火墻、主機入侵檢測、防病毒軟件檢測功能，對系統(tǒng)狀態(tài)（進程、端口、軟件、硬件、CPU占用率、磁盤占用率、存占用率）的信息采集功能，對

7、撥號、打印、文件操作、外存使用的行為監(jiān)管功能。報表子系統(tǒng)為管理員提供了豐富的報表功能，實現(xiàn)了分析結(jié)果的可視化，可幫助網(wǎng)絡管理員對網(wǎng)絡中的異常情況進行深度挖掘分析。二、 多維終端安全管理平臺的特色u 實時風險展示，隨時了解狀況通過多維終端安全管理平臺的安全檢查與加固，系統(tǒng)管理員可以對全網(wǎng)的終端設備建立各種安全檢查與評估任務，實時的了解目前網(wǎng)設備的風險狀況。通過圖形化的展示方式，管理員可以了解目前網(wǎng)處于安全和高、中、低等各個級別風險的設備比例，了解各個終端目前的具體風險情況，并且系統(tǒng)可以根據(jù)目前的風險情況，提出存在問題的原因和對如何進行修復提出修改的建議。u 全面安全檢查，規(guī)避安全漏洞多維終端安全

8、管理平臺可以對網(wǎng)終端各種安全情況進行仔細檢查，比如可以檢查終端的用戶密碼是否安全，用戶的殺毒軟件是否安裝，用戶的補丁安裝是否及時，用戶是否開啟了一些不容許開啟的共享，用戶是否運行了一些風險比較高的后臺服務和程序等。通過對系統(tǒng)的細致全面檢查，我們可以得出一臺終端的具體風險分值，并對這些分值進行排名和統(tǒng)計，可以判斷出目前那些設備的危險程度最高，盡早的引起管理員的重視，通過提前了解風險并解決這些風險來規(guī)避系統(tǒng)的各種安全漏洞。u 多種報警方式，查詢形象直觀多維終端安全管理平臺在系統(tǒng)的運行中會根據(jù)實際的情況產(chǎn)生各種報警，為了便于管理員及時迅速的了解這些系統(tǒng)意外狀況，多維終端安全管理平臺提供了豐富多樣的報

9、警方式。目前管理員可以通過報警查看平臺、WEB管理平臺來了解系統(tǒng)產(chǎn)生的報警，另外對于一些實時性比較高，比較重要的報警我們可以通過短信SMS的方式第一時間通知給管理員，便于管理員立即進行處理。同時系統(tǒng)可以根據(jù)管理員和企業(yè)的實際需求，在每個周末和每個月末將系統(tǒng)的報警周報表和月報表通過EMAIL的方式發(fā)送給管理員。u 缺陷自動修復，減少人工干預多維終端安全管理平臺遵循一個“采集” “展示” “報警” “控制” “采集”的全套閉環(huán)的管理模型，和其它的廠家不同的是通過多維終端安全管理平臺的控制功能，管理員可以對系統(tǒng)中出現(xiàn)的各種缺陷，風險等問題進行控制，通過多維終端安全管理平臺提供的豐富控制功能，多維終端

10、安全管理平臺的客戶端可以對終端的各種缺陷進行自動的修復，嚴格的安裝管理員的設置進行操作，避免管理員在出現(xiàn)問題或者問題將要出現(xiàn)的時候的人工參與，減少管理員的日常維護工作量，真正的將管理員從繁瑣的日常維護中解放出來，將工作的重心專注與業(yè)務相關(guān)的優(yōu)化上面，降低IT服務管理部門的TCO，提高IT服務管理部門的KPI。u 無任何網(wǎng)絡改造，避免網(wǎng)絡影響平臺采用的假想式程序設計的基本隔離方法，不用改變企業(yè)當前的網(wǎng)絡拓撲，不需要特定型號交換機的支持；不受802.1x協(xié)議以及Dynamic VLAN的限制；只要在存在網(wǎng)絡的地方，隨意接入網(wǎng)絡，就能實現(xiàn)網(wǎng)絡的準入控制；可以在最短的時間有效地阻止非法用戶的接入，適用

11、于各種不同的網(wǎng)絡環(huán)境。u 多種部署方式，降低部署成本企業(yè)網(wǎng)管理要求在企業(yè)的網(wǎng)終端上面安裝客戶端程序，由于企業(yè)的網(wǎng)終端數(shù)目巨大，如果要管理員逐臺的進行客戶端的安裝，這個對于系統(tǒng)管理員來說就是一個噩夢。為了降低管理員的部署難度和工作量，多維終端安全管理平臺提供了多達10種的部署方式，通過這些方式的組合可以極大的降低管理員的部署時間，降低企業(yè)的部署成本。1. 使用多維終端安全管理平臺 Client Deploy Tool若網(wǎng)絡中部署了Active Directory，則可以使用多維終端安全管理平臺 Client分發(fā)工具安裝多維終端安全管理平臺 Client。通過多維終端安全管理平臺 Client分發(fā)

12、工具安裝多維終端安全管理平臺 Client。2. 網(wǎng)頁瀏覽安裝方式若網(wǎng)絡中沒有部署Microsoft Active Directory，而且也沒有使用登錄腳本，則可使用網(wǎng)頁瀏覽方式分發(fā)客戶端，當用戶瀏覽該網(wǎng)頁時會主動檢查客戶端是否已安裝了多維終端安全管理平臺客戶端，如果還沒有安裝則自動安裝多維終端安全管理平臺客戶端。3. 手工安裝多維終端安全管理平臺 Client 總是可以通過在每臺計算機上手工運行多維終端安全管理平臺 Client安裝程序來進行安裝。這對于較少數(shù)目的計算機來說是一個快速且有效的方法。必須以管理員權(quán)限登錄目標計算機并進行安裝。4. 通過MSI安裝可以使用Microsoft In

13、staller (MSI)版本的多維終端安全管理平臺 Client安裝程序來進行自動安裝。你可以直接運行這個程序來直接安裝client，或者調(diào)用它的參數(shù)進行安裝。通過使用MSI版本的client安裝程序，可以為多維終端安全管理平臺 Client MSI的分發(fā)創(chuàng)建一個組策略對象（Group Policy Object ，GPO）。有關(guān)更多的組策略方面的信息，參見微軟的知識庫文章support.microsoft./kb/887405。5. 使用軟件分發(fā)工具如果已經(jīng)有某些軟件分發(fā)工具，比如Microsoft SMS 或者Mcafee網(wǎng)絡版殺毒軟件，并且所有要安裝的目標計算機都能使用這些工具，則可以

14、通過軟件分發(fā)工具來分發(fā)多維終端安全管理平臺 Client的安裝包。6. 使用組策略可以通過使用Active Directory Group Policy Objects (GPO)來定義一個策略，強制在特定組（比如組織單位，域，等）的每臺計算機上安裝多維終端安全管理平臺 Client，這個策略在每次用戶登錄到這個特定的域的時候應用到客戶端計算機。如果有GPO功能則可以高效的部署多維終端安全管理平臺 Client。7. 嵌入操作系統(tǒng)鏡像文件如果使用一個特定的系統(tǒng)鏡像或者通用操作環(huán)境來安裝新計算機，則可以在鏡像中加入多維終端安全管理平臺 Client。8. 使用登錄腳本在一個NT 或 AD域，登錄

15、腳本可以用來檢查多維終端安全管理平臺 Client是否存在。當計算機登錄的時候發(fā)現(xiàn)多維終端安全管理平臺 Client不在客戶端計算機上，它可以自動從存放多維終端安全管理平臺 Client安裝程序的位置啟動安裝。如果網(wǎng)絡中不斷的增加新計算機，則這種方法非常方便，可確保多維終端安全管理平臺 Server會自動發(fā)現(xiàn)并管理新加入的計算機。在一些使用Windows 2000 或 XP的網(wǎng)絡環(huán)境，用戶必須以管理員身份登錄才能讓這種方式工作。9. 使用Email可以給目標系統(tǒng)用戶發(fā)送一個正文帶有URL的email，讓他們在登錄網(wǎng)絡的時候安裝多維終端安全管理平臺 Client。這對于Window9x計算機是一

16、個很有效的方式，因為他們沒有對使用操作系統(tǒng)的用戶的權(quán)限限制。然而，對于需要劃分管理權(quán)限的系統(tǒng)，這種方式要求用戶以管理員權(quán)限登錄計算機。10. 使用多維終端安全管理平臺 RemoteInstall遠程推送工具如果知道對方設備的管理員用戶名和管理員密碼，那么可以通過多維終端安全管理平臺 提供的RemoteInstall工具對遠程的設備逐臺或者成批的進行多維終端安全管理平臺 Client的安裝。u 深入系統(tǒng)核，確保終端穩(wěn)定和兼容性為了保證終端的穩(wěn)定性、兼容性和安全性，要求終端的客戶端必須和終端的系統(tǒng)緊密結(jié)合，和其它廠商的終端程序不同的是多維終端安全管理平臺 Client的大部分功能都已經(jīng)深入到Win

17、dows的系統(tǒng)核中。多維終端安全管理平臺 Client通過采用Microsoft 提供的WDK開發(fā)工具，同時結(jié)合最新的WDF(Windows Driver Foundation)開發(fā)框架進行開發(fā)。通過在系統(tǒng)的核級進行操作，除了可以和微軟的Windows系統(tǒng)更好的結(jié)合，還可以避免一些惡意的軟件或者病毒對客戶端的修改和注入，保證了客戶端本身的安全性，由于我們的客戶端采用了驅(qū)動級的開發(fā)方式，所以絕大多數(shù)的病毒都不能對多維終端安全管理平臺 Cient進行侵犯，進而影響到客戶端安全性。通過在核級進行操作，可以保證客戶端可以在第一時間對于各種突發(fā)事件進行了解，并采取相應的措施。經(jīng)過測試表明通過在核級進行系

18、統(tǒng)監(jiān)控，對于進程創(chuàng)建的響應時間比在應用層進行監(jiān)控對于進程創(chuàng)建的響應時間快了將近300毫秒。在核級進行開發(fā)，對于多維終端安全管理平臺 Client的穩(wěn)定性提出了更高的要求，這就要求我們的應用要更穩(wěn)定，更可靠的運行在系統(tǒng)這一級別，值得稱贊的是多維終端安全管理平臺的所有驅(qū)動程序都經(jīng)過了微軟的官方驅(qū)動驗證程序管理器的驗證！關(guān)于微軟的驅(qū)動驗證程序管理器的詳細信息可以參考 support.microsoft./kb/244617。而且經(jīng)過長達3年的近10萬客戶端的實際檢驗，也證明多維終端安全管理平臺 Client的穩(wěn)定性和可靠性！u 整體代碼優(yōu)化，減少終端資源消耗企業(yè)員工終端電腦的資源都非常有限，不能因為

19、安裝了管理客戶端之后有任何的性能影響，不能因為安裝了管理客戶端之后影響員工的正常業(yè)務使用。為此我們除在設計和編寫代碼的時候進行充分的優(yōu)化之外，我們還使用了專業(yè)的代碼檢測工具對我們的客戶端程序進行檢測，我們的代碼完全經(jīng)過了 IBM Rational Purify的專業(yè)檢測，通過使用專業(yè)的第三方工具對我們的代碼進行了更進一步的優(yōu)化，確保對終端資源的消耗最少。關(guān)于IBM Rational Purify的詳細資料可以參考。-306.ibm./software/awdtools/purify/win/經(jīng)過實際用戶的統(tǒng)計分析多維終端安全管理平臺 Client在終端電腦上面占用CPU資源平均不到1%，峰值不

20、到5%。客戶端占用存資源平均不到 2.5MB，峰值不到5MB。三、 產(chǎn)品的安全目標和外部接口說明盈高多維終端安全管理平臺（MSEP）是一款基于安全策略的終端管理產(chǎn)品，采用了開放式B/S與C/S相互結(jié)合的體系結(jié)構(gòu)和標準化數(shù)據(jù)通訊方式，對局域網(wǎng)部的網(wǎng)絡安全行為進行全面監(jiān)管，檢測并保障桌面系統(tǒng)的安全。MSEP共分下面幾大模塊：資產(chǎn)安全管理模塊、桌面安全管理模塊、行為審計管理模塊、資產(chǎn)管理模塊、系統(tǒng)資源管理，通過統(tǒng)一定制、下發(fā)安全策略并強制執(zhí)行的機制，實現(xiàn)對局域網(wǎng)部桌面系統(tǒng)的管理和維護，能有效保障桌面系統(tǒng)及數(shù)據(jù)的安全。桌面安全管理模塊，通過統(tǒng)一配置策略的主機防火墻，實現(xiàn)對桌面系統(tǒng)的網(wǎng)絡安全檢測和防護。

21、并且能夠自動檢測桌面系統(tǒng)的安全狀態(tài)，檢測桌面系統(tǒng)的病毒防護軟件是否工作正常?？焖俨渴鹑W(wǎng)機器確保阻斷非法端口的異常行為。行為審計管理模塊，對桌面系統(tǒng)上撥號行為、違規(guī)外聯(lián)行為、訪問行為、違規(guī)程序執(zhí)行行為、打印行為、移動存儲設備使用行為、文件操作行為的監(jiān)控（目前只提供文件操作行為的監(jiān)視），確保數(shù)據(jù)的安全，避免了部數(shù)據(jù)的泄漏。資產(chǎn)管理模塊，使管理員能夠輕松進行局域網(wǎng)的管理維護，解決了桌面系統(tǒng)基礎信息難以及時、準確掌控的問題，規(guī)了客戶端操作行為，提高了桌面系統(tǒng)的安全等級。通過系統(tǒng)監(jiān)管模塊管理員能夠遠程查看桌面系統(tǒng)當前的詳細信息，包括：已安裝軟件、已安裝硬件、進程、端口、CPU、磁盤、存、軟硬件變動信息

22、、日常設備維護等。系統(tǒng)資源管理，MSEP系統(tǒng)為管理員提供了Agent管理、IP管理、補丁管理等功能，能對網(wǎng)絡的Agent進行有效管理，避免IP地址混亂、非法接入等情況，還可以輕松完成網(wǎng)絡對桌面系統(tǒng)的補丁檢測、自動分發(fā)和安裝、并支持離線模式的補丁檢測分發(fā)；并提供了用戶很方便的像可執(zhí)行程序、MSI安裝包或者文檔數(shù)據(jù)文件自動下發(fā)與安裝的功能。SvrManager為MSEP系統(tǒng)的中樞系統(tǒng)，負責系統(tǒng)數(shù)據(jù)的轉(zhuǎn)發(fā)，派發(fā)及處理Console、Agent傳來的信息。Console Portal是MSEP系統(tǒng)的用戶使用接口。通過Console Portal，用戶可以使用MSEP系統(tǒng)的所有功能，如查看桌面系統(tǒng)的詳細

23、信息、定制/下發(fā)策略、管理系統(tǒng)資源等。Patch Server 為系統(tǒng)提供了桌面未安裝補丁的檢測、下載、更新、查詢等功能。DB Server提供了系統(tǒng)日志、事件報警、系統(tǒng)數(shù)據(jù)等信息的持久化功能，便于管理員分析網(wǎng)絡的歷史狀態(tài)。四、 產(chǎn)品設計原則與架構(gòu)4.1. 整體方案設計原則首先，盈高科技認為有必要參考國際、國的安全管理經(jīng)驗，來設計的“多維終端安全管理平臺”解決方案。BS7799作為英國政府頒發(fā)的一項信息系統(tǒng)安全管理規(guī)，目前已經(jīng)成為全球公認的安全管理最佳實踐，成為全國大型機構(gòu)在設計、管理信息系統(tǒng)安全時的實踐指南。BS7799認為，設計信息安全系統(tǒng)時，必須掌握以下安全原則：n 相對安全原則 

24、52; 沒有100%的信息安全，安全是相對的，在安全保護方面投入的資源是有限的ü 保護的目的是要使信息資產(chǎn)得以有效利用，不能為了保護而過度限制對信息資產(chǎn)的使用n 分級/分組保護原則ü 對信息系統(tǒng)分類，不同對象定義不同的安全級別ü 首先要保障安全級別高的對象n 全局性原則ü 解決安全問題不只是一個技術(shù)問題ü 要從組織、流程、管理上予以整體考慮、解決在設計“多維終端安全管理平臺”解決方案時，非常有必要參考BS7799中的有關(guān)重要安全原則。BS7799中，除了安全原則之外，給出了許多非常細致的安全管理指導規(guī)。在BS7799中有一個非常有名的安全模型，

25、稱為PDCA安全模型。PDCA安全模型的核心思想是：信息系統(tǒng)的安全需不斷變化的，要使得信息系統(tǒng)的安全能夠滿足業(yè)務需要，必須建立動態(tài)的“計劃、設計和部署、監(jiān)控評估、改進提高”管理方法，持續(xù)不斷地改進信息系統(tǒng)的安全性。以下是圖 1 PDCA安全模型。圖 1 PDCA安全模型的終端安全管理，也將是一個持續(xù)、動態(tài)、不斷改進的過程，多維終端安全管理平臺將為提供統(tǒng)一的、集成化的平臺和工具，融合接入、檢查、隔離、修復等機制，幫助對其終端進行統(tǒng)一的安全控制、安全評估、安全審計及安全改進策略部署。4.2. 統(tǒng)一的集成化融合管理平臺多維終端安全管理平臺必須提供統(tǒng)一的、集成化融合管理平臺。解決方案要向IT系統(tǒng)管理員

26、、安全審計員提供一個統(tǒng)一的登錄入口，有整體的終端安全視圖，呈現(xiàn)整個計算機網(wǎng)絡系統(tǒng)中所有終端設備的安全運行狀況。管理員不僅可以看到終端安全的運行狀況，終端的安全設置，也能夠看到終端的軟件配置、硬件配置、終端的物理位置等信息。通過統(tǒng)一的集成化的管理平臺，安全管理員可以完成所有與終端安全管理維護相關(guān)的各種任務，具體包括：n 外來或者不滿足安全規(guī)定的設備統(tǒng)一接入阻斷干擾管理；n 建立“人機對應”管理機制，可以快速定位全網(wǎng)當中任一臺終端設備；n 建立統(tǒng)一的全網(wǎng)終端安全補丁升級機制，確保每一臺終端都安裝安全補?。籲 確保全網(wǎng)終端都必須安裝防病毒軟件，建立一套安裝并升級防病毒軟件的機制；n 建立“可信移動存

27、儲設備”的管理機制，可對指定機器禁止拷貝資料到移動存儲設備中；n 平臺可以對全網(wǎng)所有不允許連接互聯(lián)網(wǎng)的主機撥號上網(wǎng)、雙網(wǎng)卡、代理、無線上網(wǎng)等違規(guī)行為監(jiān)控及阻斷；n 同時結(jié)合“等?！?的指導方針，對全網(wǎng)所有終端的主機完整安全性做檢查、評估、加固控制。統(tǒng)一的集成化融合管理平臺對管理員的各種操作，應提供審計功能，以備事后審計，建立管理員、審計員兩權(quán)分立的有效監(jiān)督機制。4.3. 系統(tǒng)架構(gòu)說明MSEP基本系統(tǒng)由三個不同的模塊組成：代理模塊（Agent）、服務器模塊（Server）、WEB管理與控制平臺模塊（WebConsole）。用戶可以根據(jù)具體需要將它們安裝在網(wǎng)絡中的計算機上。代理模塊安裝在每一臺需要

28、被監(jiān)視的計算機上。服務器模塊用來存儲和管理所有安裝有代理模塊的計算機，用于管理監(jiān)視所產(chǎn)生的資料，一般安裝在一臺具有大容量存的用作服務器的計算機上。WEB管理與控制平臺主要用于監(jiān)視每臺安裝有代理模塊的計算機、查看歷史記錄及查詢統(tǒng)計，一般是給公司管理人員使用，由于采用WEB瀏覽器的模式，所以無需安裝模塊程序只需使用IE瀏覽器就可以使用功能。其中，WEB控制管理中心WEBConsole是管理員進行策略配置、系統(tǒng)配置、下發(fā)命令、監(jiān)控工作站點，即可以單獨使用一臺PC，也可以和其他系統(tǒng)共用。應用服務器MSEPServer是系統(tǒng)的核心，在后臺常駐運行，負責執(zhí)行管理員提交的策略配置、系統(tǒng)配置、指令等，完成和數(shù)

29、據(jù)庫的交互，將管理員的指令下達到被管終端的MSEPAgent。應用服務器和數(shù)據(jù)庫可以使用兩臺不同的計算機，也可以共同使用一臺計算機。盈高TMMSEP多維終端安全管理平臺基于Apache WEB服務器，MYSQL數(shù)據(jù)庫。管理平臺基于B/S結(jié)構(gòu)，管理員可以從任何一臺安裝了瀏覽器的終端進行登錄管理，后臺應用服務器實現(xiàn)基于C/S結(jié)構(gòu)?？蛻舳司哂袕姶蟮淖灾鞣雷o功能，沒有使用界面后臺運行。五、 產(chǎn)品的功能特點5.1. 集合資產(chǎn)配置管理與安全加固管理于一體MSEP多維終端安全管理平臺不僅能夠自動顯示網(wǎng)絡中的所有節(jié)點信息以及軟硬件信息，而且能夠?qū)⑦@些信息與組織人事信息合理組合在一起，從而方便網(wǎng)絡中的所有資源得

30、到統(tǒng)一管理和配置。另外，桌面管理軟件能夠通過控制管理客戶端用戶安裝的軟件以及運行的程序來對其行為進行控制，從而達到一個網(wǎng)絡和主機的統(tǒng)一管理，極提高了安全管理力度。5.2. 統(tǒng)一定制、強制執(zhí)行的安全策略管理MSEP系統(tǒng)提供了強大的策略定制機制。管理員根據(jù)自身網(wǎng)絡特點，能夠通過MSEP有效地實施全局網(wǎng)絡配置和安全管理、監(jiān)控策略，實現(xiàn)了真正的統(tǒng)一安全策略。管理員可以靈活的創(chuàng)建不同的安全策略，從而系統(tǒng)中的不同類型的桌面系統(tǒng)可以應用不同的安全策略，策略、桌面系統(tǒng)形成多對多的關(guān)系，為整個系統(tǒng)提供了靈活的、彈性的安全機制。支持分組、分區(qū)域，跨網(wǎng)段管理。5.3. 集中管理的主機防火墻MSEP為網(wǎng)絡所有聯(lián)網(wǎng)的桌

31、面系統(tǒng)提供以應用程序為中心的主機防火墻保護功能。它除了提供傳統(tǒng)的主機型防火墻功能(端口/協(xié)議過濾、應用程序過濾等)以外，還可以鎖定合法應用程序，防止惡意程序通過偽裝或代碼注入等手段繞過防火墻的檢測。當系統(tǒng)探測到遠程攻擊行為時，可以自動阻斷所有來自攻擊方的網(wǎng)絡通訊，確保主機的安全。通過與MSEP系統(tǒng)的IP管理、接入控制等模塊的聯(lián)動，可根據(jù)模塊報警自動切斷主機的網(wǎng)絡連接，并保證接受MSEP系統(tǒng)的統(tǒng)一管理。5.4. 補丁管理系統(tǒng)MSEP 提供了桌面系統(tǒng)補丁管理的功能，幫助管理員對網(wǎng)基于 Windows 2000/XP/2003等機器快速部署最新的重要更新和安全更新。MSEP能檢測桌面系統(tǒng)已安全的補丁

32、和需要安裝的補丁，管理員能通過Web Console Portal對桌面系統(tǒng)下發(fā)安裝未安裝補丁的命令, 通過MSEP的自動補丁模塊，系統(tǒng)管理員可以對已知和未知的補丁制定下載和安裝策略，可以定義是否需要人工審核還是自動安裝，如補丁是否安裝、安裝是否有提示進度條、安裝的條件、安裝的時間等等，并可跟蹤各終端的補丁安裝記錄。MSEP的策略都可以針對單臺終端，也可以采用繼承上級組的機制對一組或多臺終端生效。管理員可從微軟自動下載更新補丁庫，并審核是否允許桌面系統(tǒng)安裝。通過策略定制，桌面系統(tǒng)可以自動檢測、下載和安裝適用更新，MSEP 采用了后臺智能傳輸服務(BITS)技術(shù)提高帶寬使用效率。MSEP還提供軟

33、件分發(fā)功能，管理員可根據(jù)實際需要針對網(wǎng)的終端計算機下發(fā)軟件。5.5. “主動式”安全策略防御體系MSEP多維終端安全管理平臺的優(yōu)勢主要體現(xiàn)在其“主動式”的安全防御方式上。目前，多數(shù)安全防御系統(tǒng)，如IDS，都是“被動式的”，它們關(guān)注于在網(wǎng)絡被破壞時找出整個網(wǎng)絡的問題所在，并人為進行相應的改正，以此來達到整個網(wǎng)絡的安全防護目的。MSEP多維終端安全管理平臺采用了一種更新的理念，采用“主動式”的安全防御策略。5.6. 桌面設置及運維系統(tǒng)管理員可以通過WEB管理平臺，遠程管理桌面終端的進程、共享文件夾、遠程重啟、注銷、鎖定、解鎖、關(guān)閉甚至卸載終端，還可以獲取遠程桌面屏幕?？梢酝ㄟ^WEB平臺進行桌面網(wǎng)絡

34、屬性設置，比如修改網(wǎng)絡參數(shù)、修改計算機名稱、工作組名稱等等。5.7. 殺毒軟件版本檢測MSEP 提供了對主機的殺毒軟件的檢測功能，可檢測主機運行的殺毒軟件版本和殺毒軟件病毒庫版本及升級時間等，目前支持檢測國外絕大多數(shù)流行的殺毒軟件，包括：瑞星、MacAfee、卡巴斯基等。5.8. 全面的資產(chǎn)管理MSEP提供Agent自動發(fā)現(xiàn)功能，已安裝Agent程序的終端計算機會被MSEP自動發(fā)現(xiàn)并納入管理圍。能夠自動收集管理該軟件部署圍的計算機的軟/硬件信息，包括硬件設備信息統(tǒng)計、軟件資產(chǎn)統(tǒng)計、設備變更信息統(tǒng)計，要求能夠自動探測當前網(wǎng)絡中的所有機器，記錄各計算機的IP地址、計算機名、MAC地址、網(wǎng)卡型號和生

35、產(chǎn)廠商、計算機所在域、操作系統(tǒng)、主要硬、軟件信息、物理位置，IT資產(chǎn)從采購時輸入一直到接入網(wǎng)絡、日常維修、一直到報廢。一般按照部門、IP地址圍、MAC地址、設備類型、操作系統(tǒng)類別、操作系統(tǒng)語言、資產(chǎn)各種配置、設備在線狀態(tài)等等方式分類。能夠手工添加設備編號以及設備使用人的信息（如使用者、物理位置、所在房間、配發(fā)時間等）。能夠動態(tài)捕捉到客戶端的設備變更情況，查詢設備變更并生成相應的報表。硬件資產(chǎn)管理為IT管理員提供便捷的查看全網(wǎng)桌面終端硬件分布情況的有效手段。MSEP利用先進的自動硬件信息收集技術(shù)，及時全面地獲取硬件信息，并以WEB報表有效地體現(xiàn)給管理員。5.9. 軟件分發(fā)與安裝MSEP提供了客戶

36、很方便的像可執(zhí)行程序、MSI安裝包或者文檔數(shù)據(jù)文件自動下發(fā)與安裝的功能。支持參數(shù)方式增加軟件分發(fā)時安裝選項，這一功能可以使得IT管理員很方便快速部署軟件，極降低了IT管理員的工作強度，提高工作效率。并且可以按照部署圍進行分發(fā)，不會影響企業(yè)整體網(wǎng)絡帶寬。5.10. 黑白進程管理通過策略中心的黑白進程策略，網(wǎng)絡管理員能夠?qū)W(wǎng)絡中所有客戶端主機中當前運行的所有進程進行實時監(jiān)控，網(wǎng)絡管理員可以根據(jù)需要直接終止非法進程（如木馬程序、QQ、MSN和網(wǎng)絡游戲以及蠕蟲病毒等）的運行，并能在一些非法及非正常運行的進程時，根據(jù)網(wǎng)絡管理員的安全策略自動報警或中止這些非法進程的運行。5.11. 訪問安全控制對客戶端訪

37、問的管理；全天或指定的時間對指定的域名進行禁止，或者采取反選。還可以定義星期幾受控以及如果離線是否有效。5.12. 違規(guī)外聯(lián)目前許多安全級別要求較高的網(wǎng)絡都規(guī)定必須將部網(wǎng)絡與Internet物理隔離，然而網(wǎng)絡中仍存在一些用戶通過撥號或者加網(wǎng)卡的方式連接到Internet上，由于這種一機兩用的非法外連方式隱蔽性非常高、對整個網(wǎng)絡的危害性特別大，因此如何發(fā)現(xiàn)并杜絕網(wǎng)絡中的一機兩用現(xiàn)象是確保整個網(wǎng)絡安全當務之急要解決的問題之一。部機器違規(guī)外聯(lián)的及時發(fā)現(xiàn)、及時預警，當有不允許訪問網(wǎng)絡的情況發(fā)現(xiàn)時，系統(tǒng)能夠及時發(fā)現(xiàn)并且預警采取措施?？梢灾付ㄔO備的訪問網(wǎng)段圍，當訪問超過這些圍時，系統(tǒng)會根據(jù)策略執(zhí)行相應的處

38、理操作。能夠知道哪個進程在什么時間去訪問遠程的哪個IP主機的哪個端口。5.13. 便捷的遠程維護MSEP主要提供兩種遠程維護方式，遠程桌面查看、遠程終端控制，并且配合消息交換功能，可以很好地讓IT管理員進行遠程故障診斷和排除，很好地提高工作效率。并且支持可以讓客戶端確認的過程。如果沒有用戶的確認則無法接管終端。終端遠程服務只是在需要的時候開啟，使用動態(tài)密碼方式保證遠程服務的安全性。5.14. 強大的外設監(jiān)控功能策略中心的設備策略能夠?qū)λ邪惭b客戶端主機的外接設備進行統(tǒng)一的管理，網(wǎng)絡管理員只需在控制中心進行相應的配置即可控制這些主機是否允許其使用諸如USB接口、并口、串口、光驅(qū)、軟驅(qū)等外接設備。

39、該功能最大的特色是在對USB接口進行管理時，若用戶使用USB鍵盤和鼠標時是不會限制的，只有用戶使用USB硬盤和優(yōu)盤等存儲設備時才會被禁止。5.15. 安全檢查及加固管理平臺結(jié)合“等保”的指導思想，根據(jù)系統(tǒng)可定義的安全檢查項，對全網(wǎng)的設備，也可以指定一定區(qū)域進行安全評估檢查。對所有的評估參數(shù)可作調(diào)整并權(quán)重打分。安全評估參數(shù)實例圖當安全評估任務執(zhí)行完成后，會產(chǎn)生評估結(jié)果?？梢圆榭此袡C器的評估結(jié)果并且給出風險系數(shù)統(tǒng)計。參見下圖。評估結(jié)果查看圖5.16. 弱口令檢查功能目前很多病毒已經(jīng)可以“猜”出用戶機的口令，如果計算機使用弱口令，病毒將會通過這些弱口令獲得計算機的控制權(quán)，并進行傳播。這類病毒的傳播

40、行為靠殺毒軟件或者補丁加固均無法進行控制。系統(tǒng)可以檢查開碼是否是弱口令，以保障系統(tǒng)不因為弱口令的原因被病毒和黑客攻擊。5.17. 可信移動存儲設備監(jiān)控對于帶有涉密信息的邏輯隔離網(wǎng)，涉密信息一般都保存在本地或者移動存儲設備中。當涉密信息保存在流通于本地的移動存儲設備中時，如果移動存儲設備不經(jīng)過加密或保護，那么一旦移動存儲介質(zhì)遺失，在其他計算機能夠直接訪問、修改，將直接導致涉密信息外泄。平臺采取對移動存儲介質(zhì)寫入保護標簽的方法，首先對存在于USB、移動硬盤等設備的涉密信息進行保護。然后通過策略，分配可以識別此標簽的終端的權(quán)限，分配對象可以是一臺計算機，也可以是一個區(qū)域、一個部門或自定義的計算機組。

41、客戶端移動設備行為審計：可以識別性移動存儲設備的使用控制，可以對將要訪問終端的移動存儲設備分類打標簽，允許指定標簽的移動存儲設備訪問，禁用其他移動存儲設備的訪問，同時可以設定哪些移動存儲設備可以在哪個圍使用?？梢詫Σ煌净騿挝徊煌块T的U盤進行認證，防止移動存儲設備串用。1. 可以禁止USB移動存儲設備的接入。2. 通過設置，保證終端只允許本單位或本地區(qū)的USB移動存儲設備接入。3. 對通過USB設備進行的文件拷入、拷出的行為進行審計，記錄文件名稱和操作時間。4. 可以禁止軟盤的接入。5. 對通過軟盤、光驅(qū)、刻錄機進行的文件拷入、拷出的行為進行審計，記錄文件名稱和操作時間。6. 對終端大量的

42、文件拷貝行為可自主設定閾值，超過閾值的不進行審計。如拷貝超過1000個文件不進行審計5.18. 客戶端資源運行管理l 硬件運行資源管理功能：檢測終端設備的、硬盤(含每個硬盤分區(qū))、存等的資源占用情況，可自主設定閾值,以確定終端系統(tǒng)資源占用是否達到上限，是否應該升級。l 網(wǎng)絡行為異常監(jiān)控：檢測終端設備的I/O讀寫字節(jié)數(shù)、建立TCP連接個數(shù)、UDP監(jiān)聽端口數(shù)目、是否開啟危險服務等容，可根據(jù)實際情況定義閥值策略，對于不符合要求的終端報警或隔離。l 重要進程異常報警和自動恢復：對未響應進程和意外退出進程進行（如退出、退出并重起等）處理。l 異常流量監(jiān)控：基于主機方式對網(wǎng)絡中客戶端流量、分支網(wǎng)絡帶寬流量

43、進行分析，防止非法入侵、濫用網(wǎng)絡資源。當流量（含出、入或總流量）超過一定限度并持續(xù)一定時間后，進行有關(guān)信息上報，以便網(wǎng)管了解客戶端流量異常，從而快速分析是否是網(wǎng)絡安全事故。5.19. 網(wǎng)絡流量安全管理針對每個終端實現(xiàn)了對每個終端的流進流出的流量，做到第一時間可疑情況預警的同時做到流量控制，實現(xiàn)對流量可疑、發(fā)包數(shù)可疑、并發(fā)連接數(shù)可疑的客戶端進行阻斷、提示、上報給上級區(qū)域管理器操作，并且可以對一些網(wǎng)絡協(xié)議進行控制，比如禁用BT協(xié)議等。5.20. 反ARP欺騙安全管理將網(wǎng)關(guān)、文件服務器等關(guān)鍵服務器的IP、MAC地址對登記，然后可以定制策略部署終端采取啟用ARP防護功能，所有安裝有代理軟件的客戶端會設定靜態(tài)的MAC地址，從而免受ARP的欺騙攻擊。六、 產(chǎn)品系統(tǒng)特點6.1. 友好的用戶WEB界面，易于部署迅速實施MSEP多維終端安全管理平臺采用WEB方式管理，采用人性化用戶界面設計，布局合理，操作方便。不論是高級網(wǎng)絡管理員還是剛?cè)腴T的新手，都能根據(jù)自己對Windows和網(wǎng)絡使用維護的了解和必要的系統(tǒng)提示方便地完成