北信源內(nèi)網(wǎng)安全管理系統(tǒng)產(chǎn)品白皮書PAGEPAGE50北信源內(nèi)網(wǎng)安全管理系統(tǒng)產(chǎn)品白皮書北京北信源軟件股份有限公司2010年4月

版權(quán)聲明本手冊的所有內(nèi)容，其版權(quán)屬于北京北信源軟件股份有限公司（以下簡稱北信源公司）所有，未經(jīng)北信源許可，任何人不得仿制、拷貝、轉(zhuǎn)譯或任意引用。本手冊沒有任何形式的擔(dān)保、立場傾向或其他暗示。商標聲明本手冊中所談及的產(chǎn)品名稱僅做識別之用，而這些名稱可能屬于其他公司的注冊商標或是版權(quán)，其他提到的商標，均屬各該商標注冊人所有，恕不逐一列明。產(chǎn)品聲明本手冊中提到的產(chǎn)品功能或性能可能因產(chǎn)品具體型號、配備環(huán)境、配置方法不同而有所差異，由此可能產(chǎn)生的差異為正?，F(xiàn)象，相關(guān)問題請咨詢北信源公司技術(shù)服務(wù)人員。免責(zé)聲明若因本手冊或其所提到的任何信息引起的直接或間接的資料流失、利益損失，北信源公司及其員工均不承擔(dān)任何責(zé)任。

目錄1. 引言 42. 產(chǎn)品背景 53. 產(chǎn)品架構(gòu) 63.1管理構(gòu)架 63.1.1局域網(wǎng)構(gòu)架 63.1.2廣域網(wǎng)構(gòu)架 83.2統(tǒng)一策略管理 83.3自身安全設(shè)計 94. 產(chǎn)品功能 114.1終端基本管理功能 114.2IT資產(chǎn)管理功能 134.3終端桌面管理功能 154.4終端安全管理功能 224.5主機運維管理功能 264.6非法外聯(lián)管理功能 304.7補丁分發(fā)管理（可選） 314.8文件分發(fā)管理（可選） 374.9安全監(jiān)控審計功能 394.10報表管理功能 434.11事件報警管理 454.12第三方接口管理 465. 產(chǎn)品運行配置 465.1硬件配置 465.2軟件配置 476. 關(guān)于北信源 486.1. 公司簡介 486.2. 聯(lián)系方式 49

引言終端桌面安全管理技術(shù)的興起是伴隨著網(wǎng)絡(luò)管理事務(wù)密集度的增加、網(wǎng)絡(luò)管理技術(shù)的逐步發(fā)展而衍生的，它同傳統(tǒng)安全防御體系的缺陷相關(guān)聯(lián)，是傳統(tǒng)網(wǎng)絡(luò)安全防范體系的補充，也是未來網(wǎng)絡(luò)安全防范體系重要的組成部分。因此，終端桌面安全管理技術(shù)無論在現(xiàn)在還是未來都應(yīng)當歸入基礎(chǔ)體系網(wǎng)絡(luò)安全產(chǎn)品之列?，F(xiàn)代網(wǎng)絡(luò)安全管理體系的日臻完善，使得對網(wǎng)絡(luò)終端桌面安全管理的需求強烈凸現(xiàn)出來。正確、全面地認識終端管理產(chǎn)品的發(fā)展趨勢和技術(shù)特點，是IT研發(fā)廠商面臨的發(fā)展抉擇，同時也是企、事業(yè)IT管理人員和高層決策人員在進行終端桌面安全防護部署時必須考慮的議題。近兩年的安全防御調(diào)查也表明，政府、企業(yè)以及金融證券等單位中超過80%的管理和安全問題來自終端，計算機終端廣泛涉及每個用戶，由于其分散、不被重視、安全手段缺乏的特點，已使得終端安全成為信息安全體系的薄弱環(huán)節(jié)。因此，網(wǎng)絡(luò)安全呈現(xiàn)出了新的發(fā)展趨勢，對于各政府企業(yè)網(wǎng)絡(luò)來說，安全戰(zhàn)場已經(jīng)逐步由核心與主干的防護，轉(zhuǎn)向網(wǎng)絡(luò)內(nèi)部的每一個終端。

產(chǎn)品背景提起網(wǎng)絡(luò)安全，人們自然就會想到網(wǎng)絡(luò)邊界安全，但實際情況是網(wǎng)絡(luò)的大部分安全風(fēng)險均來自于內(nèi)部。常規(guī)安全防御理念往往局限在網(wǎng)關(guān)級別、網(wǎng)絡(luò)邊界（防火墻、IDS、漏洞掃描）等方面，重要的安全設(shè)施大致集中于機房或網(wǎng)絡(luò)入口處，在這些設(shè)備的嚴密監(jiān)控下，來自網(wǎng)絡(luò)外部的安全威脅大大減小。相反，來自網(wǎng)絡(luò)內(nèi)部計算機終端的安全威脅卻是眾多安全管理人員所普遍面臨的棘手問題?？偨Y(jié)起來，政府機關(guān)和企業(yè)單位的內(nèi)部網(wǎng)絡(luò)管理大致面臨著以下一些常見問題：如何發(fā)現(xiàn)終端設(shè)備的系統(tǒng)漏洞并自動分發(fā)補丁;如何有效解決移動存儲介質(zhì)使用管理問題;如何有效解決終端隨意接入網(wǎng)絡(luò)問題;如何防范內(nèi)網(wǎng)設(shè)備非法外聯(lián);如何管理終端資產(chǎn)，保障網(wǎng)絡(luò)設(shè)備正常運行;如何在全網(wǎng)制訂統(tǒng)一的安全策略;如何及時發(fā)現(xiàn)網(wǎng)絡(luò)中占用帶寬最大的終端;如何方便地進行遠程點對點維護;如何防范內(nèi)部敏感信息的泄露;如何對原有終端應(yīng)用軟件進行統(tǒng)一監(jiān)控、管理;如何快速有效地定位網(wǎng)絡(luò)中病毒、蠕蟲、黑客的引入點，及時、準確地切斷安全事件發(fā)生點和網(wǎng)絡(luò);如何構(gòu)架功能強大的統(tǒng)一網(wǎng)絡(luò)安全報警處置平臺，進行安全事件響應(yīng)和事件查詢，全面管理網(wǎng)絡(luò)資源。這些終端安全隱患隨時隨地都可能威脅到用戶網(wǎng)絡(luò)的正常運行。針對如上系列問題北信源公司提供領(lǐng)先業(yè)界的內(nèi)網(wǎng)安全管理產(chǎn)品及解決方案。

產(chǎn)品架構(gòu)北信源內(nèi)網(wǎng)安全管理系統(tǒng)遵循網(wǎng)絡(luò)防護和端點防護并重理念，對網(wǎng)絡(luò)安全管理人員在網(wǎng)絡(luò)管理、終端管理過程中所面臨的種種問題提供解決方案，實現(xiàn)內(nèi)部網(wǎng)絡(luò)終端的可控管理，并能夠支持多級級聯(lián)廣域網(wǎng)構(gòu)架，達到最佳的管理效果。北信源內(nèi)網(wǎng)安全管理系統(tǒng)強化了對網(wǎng)絡(luò)計算機終端狀態(tài)、行為以及事件的管理，它提供了防火墻、IDS、防病毒系統(tǒng)、專業(yè)網(wǎng)管軟件所不能提供的防護功能，對它們管理的盲區(qū)進行監(jiān)控，擴展成為一個實時的可控內(nèi)網(wǎng)管理平臺，并能夠同其它安全設(shè)備進行安全集成和報警聯(lián)動。北信源內(nèi)網(wǎng)安全管理系統(tǒng)可分為五個軟件功能包，全方位地為網(wǎng)絡(luò)用戶提供安全管理功能。這五個軟件包具體為：基本產(chǎn)品包、終端桌面管理產(chǎn)品包、終端安全管理產(chǎn)品包、網(wǎng)絡(luò)主機運維產(chǎn)品包、非法外聯(lián)管理產(chǎn)品包。3.1管理構(gòu)架3.1.1局域網(wǎng)構(gòu)架對于一般網(wǎng)絡(luò)（例如1個C類地址或若干個C類地址的局域網(wǎng)范圍），可使用一套本系統(tǒng)軟件，集中管理所屬區(qū)域內(nèi)的所有設(shè)備。本系統(tǒng)在網(wǎng)絡(luò)中安裝數(shù)據(jù)庫，用于存儲網(wǎng)絡(luò)客戶端設(shè)備信息。當上述系統(tǒng)數(shù)據(jù)庫、網(wǎng)頁管理平臺、區(qū)域管理器安裝完畢后，即可對網(wǎng)絡(luò)中客戶端進行注冊。用戶在取得注冊程序，執(zhí)行后添加計算機使用信息，如使用人姓名、單位、聯(lián)系方式等，注冊程序自動采集系統(tǒng)的硬件設(shè)備信息，經(jīng)過區(qū)域管理器處理后存入數(shù)據(jù)庫，同時區(qū)域管理器將代理駐留程序發(fā)送到計算機終端，實時運行。通過探頭、區(qū)域掃描器等對計算機的網(wǎng)絡(luò)連接行為實施探測，根據(jù)需要發(fā)送本機缺少的相關(guān)系統(tǒng)補丁、安全策略、命令或文件等，在遇到數(shù)據(jù)庫中定義的非法行為時實施阻斷。系統(tǒng)正常運行后，主要通過網(wǎng)頁WEB管理平臺來對整個計算機設(shè)備信息系統(tǒng)進行配置管理，在網(wǎng)絡(luò)內(nèi)設(shè)置區(qū)域管理器、掃描器IP地址。對于一般網(wǎng)絡(luò)(如1個C類地址或若干個C類地址的局域網(wǎng)范圍)適用一套本系統(tǒng)，集中管理所屬區(qū)域內(nèi)的設(shè)備。對于大規(guī)模的多個局域網(wǎng)或者跨地域的廣域網(wǎng)，提供多區(qū)域集中管理模式，即下級管理系統(tǒng)可將本級所有設(shè)備信息再傳遞給上級管理數(shù)據(jù)庫，使得上一級管理人員對整個網(wǎng)絡(luò)的設(shè)備狀況能夠完全掌握。設(shè)備管理信息系統(tǒng)的配置，要根據(jù)網(wǎng)絡(luò)客戶端規(guī)模、網(wǎng)絡(luò)管理實際情況來選擇。可以在網(wǎng)絡(luò)中安裝多個區(qū)域管理器，區(qū)域管理器只負責(zé)一定范圍內(nèi)的客戶端，對于該范圍以外的客戶端，不予以處理；每個區(qū)域管理器下屬多個掃描器，提供對本區(qū)域網(wǎng)絡(luò)的分段掃描，及時檢查該網(wǎng)絡(luò)客戶端注冊情況。系統(tǒng)邏輯圖3.1.2廣域網(wǎng)構(gòu)架對于大規(guī)模的多個局域網(wǎng)或者跨地域廣域網(wǎng)（包括基于國家、省、市、縣等多級管理模式的網(wǎng)絡(luò)結(jié)構(gòu)），可使用本系統(tǒng)提供的多區(qū)域級聯(lián)集中管理構(gòu)架，即一個或多個網(wǎng)段各擁有一套獨立的北信源內(nèi)網(wǎng)安全管理系統(tǒng)的同時，將本級的統(tǒng)計和報警信息轉(zhuǎn)發(fā)給上級管理系統(tǒng)，上一級管理人員對整個網(wǎng)絡(luò)的狀況也能夠完全掌握。多級級聯(lián)集中管理構(gòu)架3.2統(tǒng)一策略管理北信源內(nèi)網(wǎng)安全管理系統(tǒng)采用統(tǒng)一策略管理中心實現(xiàn)對內(nèi)部網(wǎng)絡(luò)終端的統(tǒng)一安全管理。策略管理中心內(nèi)置終端安全防護需要的所有安全管理參數(shù)，提供對計算機終端的安全規(guī)則配置、安全功能策略開啟/關(guān)閉、安全策略執(zhí)行范圍/周期設(shè)定等一系列安全措施的管理。北信源內(nèi)網(wǎng)安全管理系統(tǒng)內(nèi)置安全策略分為全局策略、本地策略、備份策略三種，管理員通過屬性設(shè)置決定其類型。統(tǒng)一策略管理圖3.3自身安全設(shè)計1．分級管理：系統(tǒng)支持對管理員分級管理，實現(xiàn)不同管理員管理不同內(nèi)容,可分為授權(quán)、管理和審計等多種角色劃分，具有安全性高、可靠性強的特點，適合集中授權(quán)、多角色參與監(jiān)控的管理模式。2．通信保護：系統(tǒng)的組件間通信時，數(shù)據(jù)傳輸是經(jīng)過加密的，客戶端和服務(wù)器端相互通信使用雙向認證機制，防止已安裝同類客戶端的非本網(wǎng)絡(luò)計算機非法進入網(wǎng)絡(luò)，同時也防止模擬的假客戶端和服務(wù)器進行通信。3．客戶端軟件強保護機制：系統(tǒng)的客戶端系統(tǒng)具有自我防護機制，防止用戶隨意停止、卸載。4．服務(wù)器安全設(shè)計：服務(wù)器系統(tǒng)具備保護服務(wù)器功能。保證管理系統(tǒng)服務(wù)器端使用的安全性，保證其受到惡意修改IP地址的方式攻擊時仍可正常工作,網(wǎng)絡(luò)中出現(xiàn)惡意修改成與管理服務(wù)器相同屬性（如相同的IP地址、相同的MAC地址等）的機器時，出現(xiàn)IP地址或MAC地址沖突等現(xiàn)象時，管理服務(wù)器將不會被阻斷出網(wǎng)（即不會出現(xiàn)地址沖突的現(xiàn)象），只有發(fā)起惡意攻擊的設(shè)備才會被自動阻斷，不會影響管理服務(wù)器的正常管理。5．提供系統(tǒng)審計員、系統(tǒng)管理員、系統(tǒng)操作員三權(quán)分立的權(quán)限管理體系。6．系統(tǒng)日志：系統(tǒng)提供運行審計和操作審計機制，保證系統(tǒng)的穩(wěn)定運行。

產(chǎn)品功能4.1終端基本管理功能1.終端注冊管理系統(tǒng)采用C/S和B/S模式混合管理方式，在被管理的桌面計算機上安裝VRVEDP客戶端程序。在安裝客戶端程序需要填寫當前計算機使用人的個人相關(guān)信息，如使用人、單位、部門、聯(lián)系電話、郵件、所在地、計算機類型等，進行實名化的管理便于快速定位，無論是違規(guī)，還是網(wǎng)絡(luò)安全事件發(fā)生時都可以快速定位到事件源。個人信息填寫填寫的個人相關(guān)信息會上報到服務(wù)器，保存在后臺數(shù)據(jù)庫里，供前臺管理平臺查詢。系統(tǒng)注冊信息填寫頁可以由用戶自己自由選擇設(shè)定，可以設(shè)定顯示的注冊內(nèi)容項、標題項、是否啟用、是否必填、是否為選擇性填充等，并可以設(shè)定擴充選項，提供給不用需求的用戶進行選擇性注冊管理。用戶填寫項自由設(shè)定頁面2.IP和MAC綁定管理對固定IP網(wǎng)絡(luò)的MAC和IP地址進行綁定管理，系統(tǒng)探測到IP變化后根據(jù)策略設(shè)置恢復(fù)其原有IP地址，或者阻斷其聯(lián)網(wǎng)，同時禁止修改網(wǎng)關(guān)、禁用冗余網(wǎng)卡。3.禁止修改網(wǎng)關(guān)、禁用冗余網(wǎng)卡管理系統(tǒng)支持禁止修改網(wǎng)關(guān)、禁用冗余網(wǎng)卡等功能。4.未注冊終端拒絕入網(wǎng)管理（軟阻斷技術(shù)）系統(tǒng)采取對未注冊終端Arp阻斷管理：對于接入網(wǎng)絡(luò)未注冊終端進行Arp阻斷，禁止其聯(lián)網(wǎng)。4.2IT資產(chǎn)管理功能硬件資產(chǎn)管理自動搜集包括CPU、內(nèi)存、硬盤分區(qū)總和、設(shè)備標識的大小和其他詳細信息以及其他如主板、光驅(qū)、軟驅(qū)、顯卡、鍵盤、鼠標、監(jiān)視器、紅外設(shè)備、鍵盤等所有的硬件信息。網(wǎng)管可自主添加相關(guān)的附加信息。軟件資產(chǎn)管理自動發(fā)現(xiàn)識別客戶端安裝的所有軟件信息（名稱、版本、安裝時間、發(fā)現(xiàn)時間等），將相關(guān)數(shù)據(jù)入庫，檢測客戶端運行軟件信息，供管理員在Web控制臺查詢。軟件資源統(tǒng)一監(jiān)控：自動收集安裝在每臺計算機上的每種應(yīng)用程序信息，包括安裝的操作系統(tǒng)種類、版本號以及當前補丁情況、客戶機安裝的軟件等信息和驅(qū)動程序情況，并進行匯總管理。系統(tǒng)能夠及時檢測主機軟件信息變化情況。根據(jù)條件查詢客戶機安裝的軟件或指定軟件被哪些客戶端安裝等信息。軟、硬件設(shè)備信息變更管理報警未注冊設(shè)備、注冊程序卸載行為，實時檢測硬件設(shè)備變化情況（如設(shè)備硬件變化、網(wǎng)絡(luò)地址更改、USB設(shè)備接入等）。4.3終端桌面管理功能進程運行黑白名單控制對進程執(zhí)行進行黑白名單控制，即根據(jù)策略設(shè)定禁止執(zhí)行的進程和必須執(zhí)行的進程。對違規(guī)的客戶端進行客戶端提示和斷網(wǎng)處理等相應(yīng)措施。進程保護管理對重要的進程進行守護，防止由于意外或人為原因造成重要進程中斷。進程執(zhí)行匯總統(tǒng)一匯總和監(jiān)視網(wǎng)絡(luò)各終端的進程，可以增量式的顯示網(wǎng)絡(luò)中新出現(xiàn)的進程，也可統(tǒng)計網(wǎng)絡(luò)中最常運行的進程，從而統(tǒng)計出網(wǎng)絡(luò)客戶端軟件的使用情況。此系統(tǒng)可對網(wǎng)絡(luò)中出現(xiàn)的異常進程（很可能病毒進程）進行定位和報警，在必要時可直接阻斷。終端服務(wù)管理查詢當前終端運行的服務(wù)，可以遠程關(guān)閉或開啟服務(wù)。軟件黑白名單控制對軟件安裝進行黑白名單控制，即根據(jù)策略設(shè)定禁止安裝的軟件和必須安裝的軟件。違規(guī)軟件禁止安裝功能，禁止在注冊表Run項里添加自啟動項，禁止在注冊表Services項里添加自啟動項，禁止在程序啟動項中添加項，禁止在程序項中添加快捷方式限制違規(guī)軟件的安裝，所有安裝軟件均可進行審計。軟件安裝匯總系統(tǒng)能夠?qū)λ惭b的軟件進行統(tǒng)計匯總，并能將匯總情況統(tǒng)計生成報表，支持多種報表導(dǎo)出方式。終端消息推送可精確地對選定的對象或個人進行消息傳送，而不依賴于Windows自身的信使服務(wù)功能，系統(tǒng)還提供多種策略模式傳送消息。遠程協(xié)助當客戶端用戶以及服務(wù)器用戶在使用計算機時遇到難以解決的問題，可以通過訪問特定網(wǎng)頁式，主動向多個網(wǎng)管工作臺（可自主選擇的）進行并發(fā)協(xié)助請求呼叫，呼叫網(wǎng)管對其進行遠程協(xié)助。當管理員接收到客戶端的請求可以后，調(diào)用遠程客戶端的桌面，幫助客戶端用戶解決相應(yīng)的問題。呼叫中心示意圖管理員是否接受請求示意圖管理員接收請求后，系統(tǒng)將自動調(diào)用遠程計算機的桌面，就如同管理員親自到現(xiàn)場，進行軟件安裝、軟件調(diào)試、系統(tǒng)維護、打印機安裝等工作，省去管理員來回現(xiàn)場和辦公室之間的時間，提高了系統(tǒng)維護的效率和管理員的工作效率。外設(shè)及端口控制系統(tǒng)可以設(shè)置受控主機允許或禁止使用USB設(shè)備、串口、并口、軟驅(qū)、光驅(qū)、紅外設(shè)備、藍牙設(shè)備、網(wǎng)絡(luò)設(shè)備（無線網(wǎng)卡、網(wǎng)卡、PCMCIA）、1394接口、打印設(shè)備。系統(tǒng)采用硬件設(shè)備驅(qū)動級的禁用方式實現(xiàn)對上述設(shè)備的禁用。垃圾文件清理管理員可在Web控制臺對終端用戶某一文件夾下或全盤某些后綴的垃圾文件或臨時文件進行集中清理。目前的系統(tǒng)臨時文件眾多，而絕大部分業(yè)務(wù)用戶均不會手動清除大量的臨時文件，這樣會占用大量的硬盤資源，因此需要靠第三方系統(tǒng)主動的對其加以清理。系統(tǒng)可協(xié)助用戶維護（指定目錄下的）臨時文件、備份文件、幫助的歷史文件、IE臨時文件、安裝臨時文件、異常臨時文件等各種應(yīng)刪除的文件。終端點對點管理系統(tǒng)管理員可通過系統(tǒng)以點對點的方式對客戶端進行詳細的監(jiān)控審計，具體包括以下內(nèi)容：（1）硬件資產(chǎn)清單：自動搜集包括CPU、內(nèi)存、硬盤分區(qū)總和、設(shè)備標識的大小和其他詳細信息以及其他如主板、光驅(qū)、軟驅(qū)、顯卡、鍵盤、鼠標、監(jiān)視器、紅外設(shè)備、鍵盤等所有的硬件信息；網(wǎng)管可自主添加相關(guān)的附加信息。（2）安裝軟件查詢：查詢設(shè)備所有安裝的軟件。（3）終端進程管理：查詢當前終端所有運行的進程，并可通過系統(tǒng)關(guān)閉非系統(tǒng)進程。（4）終端服務(wù)管理：查詢當前終端運行的服務(wù)，可以遠程關(guān)閉或開啟服務(wù)。（5）終端流量查詢：包括當前與網(wǎng)絡(luò)連接的進程及其流量的統(tǒng)計。（6）系統(tǒng)運行資源查看：具體包括：CPU頻率和使用率、內(nèi)存大小和使用率、系統(tǒng)各硬盤分區(qū)大小和使用情況。（7）補丁查詢：查看系統(tǒng)漏打的補丁。（8）日志查詢：查看終端的系統(tǒng)日志、安全日志和應(yīng)用程序日志。（9）終端安全審計：查看用戶的登錄、歷史記錄、下載信息等各種信息。（10）消息通知：向用戶發(fā)送消息，并可要求用戶進行消息回饋。（11）遠程運行進程：可遠程加載進程。（12）共享目錄檢查：檢查當前終端的共享目錄。（13）修改網(wǎng)絡(luò)配置：可查看網(wǎng)絡(luò)終端的IP、MAC、子網(wǎng)掩碼和網(wǎng)關(guān)信息，并可遠程修改用戶的IP地址。（14）遠程卸載客戶端程序。（15）遠程斷開/恢復(fù)網(wǎng)絡(luò)終端的網(wǎng)絡(luò)。（16）遠程重新啟動計算機。系統(tǒng)自動關(guān)機管理對客戶端關(guān)機時間的設(shè)定，實現(xiàn)自動關(guān)機，并可以在發(fā)現(xiàn)計算機空閑時間過長時鎖屏或關(guān)機。終端時間同步管理所有客戶端時間的同步，防止擅自修改系統(tǒng)時間。4.4終端安全管理功能桌面密碼權(quán)限管理對終端的密碼管理權(quán)限變化及使用狀況（包括密碼長度、安全性、弱口令等方面）進行審計檢查及報警，同時對不符合要求的終端進行提示或強制修改等處置，達到防止病毒及黑客入侵的目的。終端統(tǒng)一防火墻管理員在Web控制臺對終端進行統(tǒng)一的防火墻設(shè)置，對網(wǎng)絡(luò)IP及協(xié)議訪問進行限制，在網(wǎng)絡(luò)內(nèi)建立虛擬的終端隔離區(qū)。另外對于大型網(wǎng)絡(luò)，網(wǎng)絡(luò)客戶端由于用戶使用水平的差別，會出現(xiàn)用戶卸載甚至退出統(tǒng)一安裝的防病毒軟件的情況，也會出現(xiàn)有個別用戶被遺漏，未安裝防病毒軟件的情況。管理員可利用Web控制臺對終端所安裝的殺毒軟件情況進行監(jiān)控和管理，并能夠?qū)K端殺毒軟件實施遠程操作（病毒查殺、升級、軟件安裝等）。還可統(tǒng)一監(jiān)控網(wǎng)絡(luò)內(nèi)的防病毒軟件（國內(nèi)主流廠商的均可）安裝情況和使用狀態(tài)，了解網(wǎng)絡(luò)中的病毒軟件安裝狀況，必要時可通過此系統(tǒng)強制為客戶端安裝防病毒程序，如果需要，此系統(tǒng)也可監(jiān)控終端軟件的安裝情況，并進行相應(yīng)的管理（如安裝殺毒軟件軟件，強行升級病毒庫、自動分發(fā)并自動執(zhí)行病毒專殺工具等）。終端殺毒軟件管理可統(tǒng)一審計網(wǎng)絡(luò)內(nèi)終端的防病毒軟件（主流廠商的均可）安裝和使用情況，必要時可強制為客戶端安裝防病毒程序。如果需要，也可監(jiān)控終端防病毒軟件的安裝情況，并進行相應(yīng)的管理（如安裝殺毒軟件軟件，強行升級病毒庫、自動分發(fā)并自動執(zhí)行病毒專殺工具等）。注冊表監(jiān)控/保護系統(tǒng)提供注冊表檢查功能，對于病毒行為修改的注冊表，可以通過強制注冊表策略對其進行操作，可以自動創(chuàng)建、刪除、修改相應(yīng)的注冊表鍵值，實現(xiàn)注冊表安全管理。系統(tǒng)可屏蔽選定用戶計算機的一些程序進程對注冊表的使用，通過該策略可以有效的防止違規(guī)進程對用戶注冊表的破壞。終端在線/離線策略管理系統(tǒng)可以針對不同的網(wǎng)絡(luò)接入情況，設(shè)定終端的在線、離線策略。當終端處于不同的網(wǎng)絡(luò)中，可以實現(xiàn)不同的執(zhí)行策略。4.5主機運維管理功能運行資源監(jiān)控在Web控制臺對終端的CPU、內(nèi)存、硬盤的資源占用率和剩余空間進行監(jiān)控，設(shè)定危險等級報警閥門。流量管理和控制蠕蟲病毒和BT下載等行為在很多情況下會嚴重占用網(wǎng)絡(luò)帶寬，造成網(wǎng)絡(luò)的擁塞甚至癱瘓，對此可利用本系統(tǒng)進行流量的管理與監(jiān)控。主要功能：流量采樣閾值設(shè)定：用戶自主設(shè)定采樣閾值，當流量（含出、入或總流量）超過一定限度并持續(xù)一定時間后，進行有關(guān)信息上報，防止上報數(shù)據(jù)過多給網(wǎng)絡(luò)帶來負擔(dān)。上報的當前流量進行匯總，對當前的流量進行時實排序，以便網(wǎng)絡(luò)管理人員進行快速分析是否是網(wǎng)絡(luò)安全事故。對網(wǎng)絡(luò)客戶端的歷史流量進行統(tǒng)計和排序，并可生成報表。對并發(fā)連接數(shù)設(shè)定閾值并進行采樣。對網(wǎng)絡(luò)掃描的可疑行為進行閾值設(shè)定和報警。對客戶端大量發(fā)包的可疑行為進行閾值設(shè)定和報警。對具備可疑行為的客戶端進行報警上報、自動阻斷、客戶端提示等管理。設(shè)定網(wǎng)絡(luò)客戶端流量上限閾值，對超過的進行報警上報、自動阻斷、客戶端提示等管理。流量異常監(jiān)控在Web控制臺對終端的網(wǎng)絡(luò)流入、流出和總流量進行監(jiān)控和管理。并能夠?qū)Ξa(chǎn)生總流量過大、分時段瞬時流量過大的進程進行統(tǒng)計，輔助分析產(chǎn)生流量過大的原因。進程異常監(jiān)控在Web控制臺對終端未響應(yīng)窗口進行監(jiān)控并結(jié)束或重啟該進程，對意外退出的進程進行監(jiān)控和保護?？蛻舳宋募浞葆槍K端計算機進行數(shù)據(jù)實時備份，將本機計算機目錄文件數(shù)據(jù)實時或定時備份到數(shù)據(jù)服務(wù)器或其它計算機上存儲。針對局域網(wǎng)服務(wù)器數(shù)據(jù)存儲等提供安全數(shù)據(jù)同步備份解決方案。4.6非法外聯(lián)管理功能網(wǎng)絡(luò)內(nèi)部終端非法外聯(lián)互聯(lián)網(wǎng)行為監(jiān)控終端非法外聯(lián)互聯(lián)網(wǎng)行為監(jiān)控：對于已注冊的設(shè)備，通過不同方式（如雙網(wǎng)卡、代理等）連接互聯(lián)網(wǎng)進行的通訊，系統(tǒng)能夠自動阻斷其連接行為并報警。網(wǎng)絡(luò)內(nèi)部終端非法接入其它網(wǎng)絡(luò)行為監(jiān)控對于已注冊的設(shè)備，監(jiān)控其網(wǎng)絡(luò)連接行為，根據(jù)接入網(wǎng)絡(luò)環(huán)境因素判定其是否非法接入其它網(wǎng)絡(luò)（同上圖）。離網(wǎng)終端非法外聯(lián)互聯(lián)網(wǎng)行為監(jiān)控對于已經(jīng)注冊的計算機，非法帶出到另外一個網(wǎng)絡(luò)的行為進行監(jiān)控，發(fā)現(xiàn)有外聯(lián)互聯(lián)網(wǎng)行為時可以采取警告、阻斷、自動關(guān)機等操作（同上圖）。非法外聯(lián)行為告警和網(wǎng)絡(luò)鎖定如果終端非法入網(wǎng)，可以在報警平臺和報警查詢處獲知信息，并且可以對終端提示信息，自動關(guān)機，阻斷聯(lián)網(wǎng)等處理（同上圖）。非法外聯(lián)行為取證對于非法外聯(lián)行為進行實時告警功能，同時記錄該行為發(fā)生的事件、IP地址、MAC地址、使用人等相關(guān)信息上報到服務(wù)器進行記錄取證。4.7補丁分發(fā)管理（可選）系統(tǒng)功能概述北信源補丁分發(fā)管理系統(tǒng)是北信源公司在為國家各大部委機關(guān)、各大行業(yè)網(wǎng)絡(luò)用戶進行病毒安全服務(wù)、總結(jié)安全運營保障經(jīng)驗的基礎(chǔ)上，分析當前網(wǎng)絡(luò)客戶端實際安全管理要求研發(fā)的，系統(tǒng)支持推、拉兩種方式自動下載補丁。整個補丁管理運行平臺構(gòu)架是：通過北信源外網(wǎng)補丁下載服務(wù)器及時從補丁廠商網(wǎng)站獲取最新補??；補丁安全測試后，通過補丁分發(fā)管理中心服務(wù)器對網(wǎng)絡(luò)用戶進行分發(fā)安裝；補丁安裝支持自動和手動兩種方式。補丁監(jiān)控功能系統(tǒng)可監(jiān)控管理網(wǎng)絡(luò)補丁狀況，其具體功能如下：1.補丁索引的適應(yīng)和擴展性內(nèi)網(wǎng)安全管理系統(tǒng)具有良好的兼容性，支持主流操作系統(tǒng)，如Windows2003、Windows2000Pro、Windows2000Server、WindowsPro、WindowsXPhome、Windows、Windwos9X等。因為補丁索引文件為北信源自主開發(fā)，補丁索引的結(jié)構(gòu)具備可擴展性和可編輯性，索引的結(jié)構(gòu)和定義除了可以支持微軟補丁外，還可以支持非微軟系統(tǒng)補丁、各種數(shù)據(jù)庫補丁，甚至可以支持各種用戶應(yīng)用程序的更新補丁。補丁索引編輯界面2.補丁下載檢測和增量式導(dǎo)入功能對于物理隔離的內(nèi)部網(wǎng)絡(luò)，其內(nèi)部的補丁升級服務(wù)器中的補丁數(shù)據(jù)必須從外部導(dǎo)入，巨大的補丁數(shù)據(jù)庫使得每次補丁導(dǎo)入相當煩瑣。為此，北信源使用增量式補丁分離技術(shù)，在外網(wǎng)導(dǎo)出補丁時，可分離出內(nèi)網(wǎng)已經(jīng)安裝的補丁，只導(dǎo)入內(nèi)網(wǎng)尚未安裝的系統(tǒng)補丁，即僅對內(nèi)網(wǎng)的補丁進行“增量式”的升級，以提高效率。當有新的計算機補丁公布可以下載后，北信源公司由專門的人員在第一時間內(nèi)獲得，并進行相應(yīng)的分析，更新補丁索引文件。系統(tǒng)擁有專門的外網(wǎng)補丁下載服務(wù)器，能根據(jù)索引自動下載新增的計算機補丁，補丁校驗功能對所下載的補丁進行校驗，保證計算機補丁的可靠性、完整性、安全性。補丁在導(dǎo)入時并具有病毒檢測功能，保證導(dǎo)入到補丁庫中的補丁不被病毒感染。3.補丁安全自動測試功能用戶的真實環(huán)境中，可能會包含特殊的應(yīng)用或特殊的軟件版本，在這些環(huán)境中，有時會出現(xiàn)打補丁后系統(tǒng)或應(yīng)用異常的情況，所以在大規(guī)模補丁分發(fā)前需要進行真實環(huán)境的補丁測試。北信源系統(tǒng)獨創(chuàng)了真實環(huán)境閉環(huán)測試技術(shù)，具體的流程是首先由網(wǎng)管選定某些計算機作為測試計算機作為測試組，每次補丁導(dǎo)入后內(nèi)網(wǎng)后，首先自動分發(fā)至這些選定計算機進行新補丁的安裝測試，從而自動地進行非模擬性自動測試。如果補丁安裝后對測試計算機未產(chǎn)生影響，被測試計算機能正常運行，網(wǎng)管員便可根據(jù)相應(yīng)得策略對網(wǎng)絡(luò)內(nèi)的計算機進行大面積的推送。此技術(shù)可以很好的減輕網(wǎng)管的測試工作量，并提高補丁安裝的安全性。補丁自動測試圖4.補丁庫自動分類功能系統(tǒng)對存放到服務(wù)器上的計算機系統(tǒng)補丁能進行相應(yīng)的分析，自動得出補丁屬性、類型和與之相關(guān)的補丁說明，并在網(wǎng)頁中進行清晰明了的顯示。可以方便管理人員根據(jù)相應(yīng)的需求，高效快捷定義補丁分發(fā)策略，及時地針對不同的系統(tǒng)和需要分發(fā)計算機補丁。系統(tǒng)同時提供管理員自定義補丁類別的補丁管理方式，如果需要也可由相關(guān)的管理人員自行設(shè)定相應(yīng)的自定義補丁類別以符合其管理的需要。5.補丁庫的級聯(lián)和同步功能系統(tǒng)可以針對補丁進行級聯(lián)式的分發(fā)和管理，在級聯(lián)級數(shù)沒有任何限制并在三級的基礎(chǔ)上進行無縫平滑擴展?？啥ㄆ谶M行同步校驗，也可自主設(shè)定同步校驗周期和時間。在有新補丁導(dǎo)入時，也可以自動觸發(fā)與下級服務(wù)器間的同步操作。所有的同步過程均可自動完成，上級服務(wù)器可以了解下級服務(wù)器補丁庫是否同步成功。6.補丁安裝檢測、自動分發(fā)補丁功能北信源補丁管理依據(jù)自身注冊客戶端優(yōu)勢，為網(wǎng)絡(luò)用戶提供強大的系統(tǒng)補丁檢測、分發(fā)、安裝等遠程控制功能。網(wǎng)絡(luò)管理人員通過本模塊全面檢測網(wǎng)絡(luò)系統(tǒng)終端補丁的安裝狀況，并通過此模塊，對沒有安裝補丁的設(shè)備進行遠程補丁安裝,可將最新補丁升級包及時分發(fā)到終端計算機，并提示安裝修補，在客戶端有明顯提示，通知用戶打補丁。系統(tǒng)可以對客戶端安裝的系統(tǒng)的版本，IE版本的補丁安裝情況進行自動探測和維護（客戶端計算機的補丁安裝情況包括Windows、Office、IE、微軟媒體播放器等），自動搜集客戶端系統(tǒng)資料和安裝補丁資料，以根據(jù)客戶端系統(tǒng)的實際狀況自動分發(fā)所需的補丁。客戶端程序安裝檢測：網(wǎng)絡(luò)中的客戶端訪問本地的WEB網(wǎng)站進行自動注冊。注冊后客戶端檢測程序?qū)⒃谙到y(tǒng)中實時運行，檢測補丁安裝狀況，并上報給補丁管理中心。用戶WEB網(wǎng)頁自動探測提示，支持大面積用戶快速安裝?？蛻舳瞬渴穑涸谙到y(tǒng)內(nèi)部網(wǎng)絡(luò)中，未注冊客戶端訪問本地網(wǎng)站、以及訪問上級網(wǎng)站均會出現(xiàn)提示用戶注冊窗口。補丁推送安裝：當系統(tǒng)檢測到有客戶端未打補丁時，可對漏打的補丁進行推送式的安裝。同時，通過推送安裝，也可以為客戶端安裝應(yīng)用軟件。補丁推送分發(fā)可以跨網(wǎng)段，跨VLAN,補丁分發(fā)支持斷點續(xù)傳功能。補丁下發(fā)過程中，如遇到特殊事件造成網(wǎng)絡(luò)中斷，則在下次網(wǎng)絡(luò)連通時通過校驗得出已傳輸?shù)臄?shù)據(jù)和斷點位置，進行續(xù)傳。系統(tǒng)補丁報表：監(jiān)控程序?qū)⒕W(wǎng)絡(luò)客戶端補丁信息上報管理中心后寫入數(shù)據(jù)庫，在WEB管理平臺可進行補丁報表察看，統(tǒng)計網(wǎng)絡(luò)客戶端補丁安裝狀況。7.補丁策略制定功能包括補丁應(yīng)用策略制定、補丁文件分發(fā)任務(wù)制定?？梢愿鶕?jù)要求按照不同的區(qū)域進行劃分，可按照IP地址、部門、操作系統(tǒng)、用戶自定義等方式進行區(qū)域劃分。補丁策略制定：具體可支持定時、定周期、分類、分部門、分范圍、客戶機狀態(tài)和用戶自定義等策略。補丁策略分發(fā)：具備詳盡的補丁分發(fā)策略，補丁可以定時、定周期、分類、分范圍、分部門、分范圍、客戶機狀態(tài)和用戶自定義等進行分發(fā)。補丁文件任務(wù)制定：針對特定的一個補丁或多個補丁，對指定計算機或者計算機網(wǎng)絡(luò)進行補丁自動分發(fā)安裝。補丁中心將網(wǎng)絡(luò)客戶端分類，設(shè)置測試類客戶端，補丁在測試類機器上經(jīng)過嚴格測試后，再正式對其他類網(wǎng)絡(luò)機器進行分發(fā)。此外，內(nèi)網(wǎng)安全管理系統(tǒng)還提供補丁下載流量控制功能，補丁管理中心區(qū)域管理模塊能夠?qū)W(wǎng)絡(luò)不同網(wǎng)段、不同區(qū)域的終端補丁升級進行流量、數(shù)量控制，避免造成對網(wǎng)絡(luò)的流量影響，合理控制網(wǎng)絡(luò)帶寬。8.補丁下載流量控制功能系統(tǒng)可以利用多種方式進行下載流量控制：（1）系統(tǒng)能夠根據(jù)網(wǎng)絡(luò)的負載情況自動調(diào)整分發(fā)補丁時所占的網(wǎng)絡(luò)帶寬和并發(fā)連接數(shù)；（2）根據(jù)手動設(shè)置允許的帶寬或服務(wù)器并發(fā)連接數(shù)及每個連接所允許使用的帶寬；（3）系統(tǒng)同時支持客戶端轉(zhuǎn)發(fā)代理補丁下載，以減少網(wǎng)絡(luò)帶寬流量，提高效率。代理轉(zhuǎn)發(fā)技術(shù)說明：補丁分發(fā)時，先由部分客戶端通過補丁分發(fā)系統(tǒng)下載服務(wù)器補丁，其他的計算機可不通過服務(wù)器，而是通過已下載補丁的客戶端進行相應(yīng)補丁下載。下載時客戶端可自動搜索臨近的IP地址，選擇擁有此補丁文件并且下載速度最快的客戶端，從此客戶端上獲取由系統(tǒng)服務(wù)器下發(fā)的相關(guān)的補丁，以保證網(wǎng)絡(luò)的利用率，同時提高補丁分發(fā)效率。9.服務(wù)器端補丁查詢功能客戶端軟件實時監(jiān)控客戶端系統(tǒng)漏洞及補丁安裝情況，服務(wù)器端補丁查詢補丁可根據(jù)補丁名稱、待查詢IP范圍、操作系統(tǒng)、待查區(qū)域，查詢時間或其它條件對區(qū)域網(wǎng)絡(luò)范圍內(nèi)的計算機終端進行補丁安裝狀況查詢，通過網(wǎng)管設(shè)定的查詢條件，能快速地獲知所查詢補丁的安裝情況（如補丁發(fā)送是否成功，補丁安裝是否成功，補丁是否已被安裝等），以保證補丁及時的安裝。10.客戶端網(wǎng)頁查詢補丁安裝信息功能因為很多用戶習(xí)慣通過訪問微軟的Update網(wǎng)頁，檢查自己漏打的補丁，并進行下載安裝。作為物理隔離的網(wǎng)絡(luò)，內(nèi)網(wǎng)中的用戶無法訪問此網(wǎng)頁，因此從用戶的習(xí)慣角度出發(fā)，內(nèi)網(wǎng)中也應(yīng)該有類似的網(wǎng)頁，以便用戶訪問和獲知本機補丁安裝情況，進行補丁下載安裝。安裝了系統(tǒng)客戶端的計算機可以通過訪問內(nèi)網(wǎng)的特定網(wǎng)頁，對本機所缺少的計算機補丁進行查詢，查詢結(jié)果在網(wǎng)頁上進行顯示，計算機用戶根據(jù)需要進行安裝。

4.8文件分發(fā)管理（可選）普通文件分發(fā)及文件自動執(zhí)行系統(tǒng)向指定客戶端（用戶組）分發(fā)文件或安裝軟件，分發(fā)時可提供軟件的運行參數(shù)和必要的運行控制。此功能可減輕網(wǎng)絡(luò)管理人員的工作負擔(dān)，軟件分發(fā)時可報告軟件安裝的狀態(tài)，無論軟件正確安裝與否，管理員均可及時了解情況。系統(tǒng)還提供人性化的軟件安裝過程錄制工具，可以很方便的對軟件和它的安裝過程進行錄制打包，軟件分發(fā)至終端后，系統(tǒng)可在終端對軟件安裝過程進行回放，方便軟件在客戶端進行自動安裝。安裝后的客戶機端軟件包括基本部分和用戶工具，安裝在客戶機不同的目錄中。文件分發(fā)安裝結(jié)果統(tǒng)計4.9安全監(jiān)控審計功能1．上網(wǎng)訪問行為審計和控制：系統(tǒng)以黑白名單的方式對用戶的網(wǎng)頁訪問行為進行控制；可對用戶上網(wǎng)訪問的網(wǎng)頁等進行審計和記錄。2.文件保護及審計：系統(tǒng)提供對終端的系統(tǒng)、軟件和共享等目錄中的文件的保護功能，設(shè)定訪問、刪除、修改權(quán)限；支持對設(shè)定目錄文件的操作審計，包括文件創(chuàng)建、打印、讀寫、復(fù)制、改名、刪除、移動等的記錄，同時將信息上報管理信息庫供查詢。3.網(wǎng)絡(luò)文件輸出審計：對主機通過共享文件等方式進行的網(wǎng)絡(luò)文件輸出行為進行審計和記錄（同下圖）。4.郵件審計：根據(jù)策略對主機發(fā)送的郵件及其附件進行控制審計和記錄（同下圖）。5.打印審計：根據(jù)策略對主機打印行為進行監(jiān)控審計，從而防止打印輸出結(jié)果被非授權(quán)查看和獲取。6.文件涉密信息檢查：根據(jù)用戶自主設(shè)定的涉密信息查詢條件，設(shè)定對指定目錄或盤符下的指定類型文件進行內(nèi)容檢查，檢查其是否包含涉密內(nèi)容，系統(tǒng)支持進行包含“或”、“與”等多種邏輯的組合監(jiān)測和模糊監(jiān)測。7.用戶權(quán)限審計：審計用戶權(quán)限更改及操作系統(tǒng)內(nèi)用戶增加和刪除。8.各自獨立的權(quán)限分配體系：提供系統(tǒng)管理員、系統(tǒng)審核員（安全員）和系統(tǒng)審計員和一般操作員權(quán)限，分別進行不同的管理操作。9.系統(tǒng)日志審計：不同權(quán)限管理員在Web控制臺對終端用戶的日志（系統(tǒng)日志、應(yīng)用日志、安全日志等）進行遠程讀取查看。4.10報表管理功能1.系統(tǒng)提供完善的報表功能，能夠根據(jù)按不同部門、不同操作系統(tǒng)提供軟硬件資產(chǎn)、審計信息、報警、狀態(tài)及其他情況匯總報表，提供多種報表功能。2.具備獨有的“組態(tài)報表”查詢功能，對于有關(guān)報表，能根據(jù)不同的需要進行多種不同條件組合（組合查詢條件包括所屬區(qū)域、單位名稱、設(shè)備所在部門、設(shè)備名稱、設(shè)備IP、操作系統(tǒng)及版本、IE版本、防范等級、運行狀態(tài)、安裝殺毒軟件版本及廠商、CPU情況、內(nèi)存情況、硬盤情況、設(shè)備使用人、設(shè)備最后使用時間等等），還可以生成多種不同的報表格式。組態(tài)查詢實例圖3.報表以網(wǎng)頁的方式呈現(xiàn)，提供鏈接可在各項查詢功能中跳轉(zhuǎn)。報表可以方便的調(diào)整格式，并可以以Excel格式輸出，以便打印。4.可以根據(jù)需要輸出成柱形圖、餅圖等。輸出柱狀圖實例4.11事件報警管理1.事件集中報警處理中心匯總所有內(nèi)外安全管理事件的報警信息，并將報警按種類、級別分類，同時支持短信、聲音、郵件、圖形等報警方式。同時，報警中心自動把各種報警信息匯總成為高、中、低三個等級，顯示各類發(fā)生事件的名稱和發(fā)生事件設(shè)備名稱、IP、MAC等信息，以便第一時間發(fā)現(xiàn)報警源頭和類型，發(fā)現(xiàn)對網(wǎng)絡(luò)危害最大的報警信息，以最快速度妥善處理事件，從而在最大程度上提高系統(tǒng)管理員對網(wǎng)絡(luò)突發(fā)事件的快速反應(yīng)能力。2.客戶機發(fā)給管理服務(wù)器相關(guān)的報警信息可預(yù)設(shè)置級別，管理服務(wù)器把已注冊客戶機的報警信息記