1、IP-guard產(chǎn)品白皮書深圳市海龍科技有限公司目錄一 前言11、內(nèi)網(wǎng)安全面臨的威脅12、內(nèi)網(wǎng)管理面臨的挑戰(zhàn)13、IP-guard的簡介1二 IP-guard系統(tǒng)的架構(gòu)21、IP-guard的邏輯組成22、IP-guard的架構(gòu)3三 IP-guard的功能模塊41、基本框架42、文檔操作管控53、文檔打印管控64、設(shè)備管控75、移動存儲控制76、郵件管控87、即時通訊工具管控88、應(yīng)用程序管控99、網(wǎng)頁瀏覽管控1010、網(wǎng)絡(luò)管控1111、流量管控1112、屏幕監(jiān)控1213、遠程維護1314、資產(chǎn)管理14四 IP-guard的運行環(huán)境與性能指標(biāo)16五 IP-guard的安裝和部署18六 關(guān)于深圳

2、市海龍科技有限公司19一 前言自從上個世紀(jì)60年代末，互聯(lián)網(wǎng)誕生，網(wǎng)絡(luò)技術(shù)和通信技術(shù)都進入了飛速發(fā)展的時代。互聯(lián)網(wǎng)的發(fā)展改變了世界，企業(yè)的運作模式也發(fā)生了巨大的變化，從過去的單一經(jīng)營變化為多元化的發(fā)展，從傳統(tǒng)的獨立產(chǎn)銷變化為合作聯(lián)通。隨著世界信息化大潮流的發(fā)展，已經(jīng)沒有一個企業(yè)能從生產(chǎn)到銷售完全脫離信息化，企業(yè)的所有業(yè)務(wù)和運作都已經(jīng)離不開計算機和網(wǎng)絡(luò)。然而，信息化是一把雙刃劍，它為企業(yè)帶來了便利，也為企業(yè)帶來了威脅。1、 內(nèi)網(wǎng)安全面臨的威脅信息聯(lián)通的便利必然會帶來信息泄露的便利。對于企業(yè)來說，核心產(chǎn)品的設(shè)計、關(guān)鍵的客戶資料和敏感的財務(wù)信息無疑是企業(yè)的核心競爭力，而這些數(shù)據(jù)都是以電子形式存在的，

3、但是根據(jù)FBI 和CSI 調(diào)查顯示，超過的安全威脅來自企業(yè)內(nèi)部，也就是說，信息的泄露大部分是來自于內(nèi)部員工有意或無意的過失。另外，競爭對手利用間諜軟件對信息的竊取，惡意程序、計算機病毒對企業(yè)的沖擊，造成關(guān)鍵信息被竊取或被篡改刪除，這都時時刻刻都威脅著企業(yè)的安全。2、 內(nèi)網(wǎng)管理面臨的挑戰(zhàn)信息化除了為企業(yè)帶來有用的資訊以外，還充斥著大量的休閑信息、娛樂信息，乃至不良信息。企業(yè)的計算機數(shù)目，尤其是員工個人使用的計算機眾多，管理難度非常大。病毒、木馬通過員工的不良行為被非法下載或通過移動存儲設(shè)備被帶到企業(yè)內(nèi)部；由于缺乏有效的技術(shù)管理手段，很多管理規(guī)定得不到實施，例如：有些員工會在上班時間瀏覽與工作無關(guān)

4、的網(wǎng)站、看電影、玩游戲、私自改變計算機的設(shè)置、非法外聯(lián)等，員工的工作時間、工作效率完全得不到保障。信息化還會對企業(yè)的IT資產(chǎn)管理帶來困難。企業(yè)里的計算機數(shù)目較多，分布較散，IT管理人員對計算機的日常維護非常困難，這些困難包括：l 不能統(tǒng)計查詢所有計算機的軟硬件信息l 不能對每個計算機的系統(tǒng)漏洞及時打上補丁，讓系統(tǒng)存在風(fēng)險l 計算機的小故障小問題都需要維護人員現(xiàn)場解決l 無法對計算機進行軟件的批量安裝部署3、 IP-guard的簡介IP-guard被定義為一款內(nèi)網(wǎng)安全管理軟件，IP-guard的誕生就是為了幫助企業(yè)解決上述問題。IP-guard劃分為14個功能模塊，覆蓋了內(nèi)網(wǎng)安全管理的方方面面，

5、它運用系統(tǒng)管理思想，充分利用行為審計，分級授權(quán)，訪問控制和集中管理等技術(shù)手段，全面解決信息安全、應(yīng)用效率、系統(tǒng)管理三項內(nèi)網(wǎng)安全難題。二 IP-guard系統(tǒng)的架構(gòu)1、 IP-guard的邏輯組成IP-guard是基于C/S架構(gòu)設(shè)計的，系統(tǒng)由三個模塊組成，客戶端模塊、服務(wù)器模塊和控制臺模塊，用戶可以根據(jù)管理的需要將它們安裝在網(wǎng)絡(luò)中的計算機上。通?？蛻舳四K部署在受管控的計算機上，服務(wù)器模塊部署在一個穩(wěn)定安全的計算機上，客戶端模塊部署于管理人員的計算機上?？蛻舳四K基本功能：l 執(zhí)行系統(tǒng)設(shè)定的各種管理策略l 采集客戶端運行的各項數(shù)據(jù)l 定時將采集的數(shù)據(jù)傳送到服務(wù)器l 根據(jù)控制臺發(fā)出的指令進行監(jiān)控操

6、作服務(wù)器模塊基本功能：l 管理所有客戶端計算機，并向其傳遞相關(guān)的規(guī)則和指令l 收集客戶端采集的數(shù)據(jù)并保存l 提供方便靈活的記錄管理、查看、歸檔、搜索等功能控制臺模塊基本功能：l 執(zhí)行系統(tǒng)設(shè)定的各種管理策略l 采集客戶端運行的各項數(shù)據(jù)l 定時將采集的數(shù)據(jù)傳送到服務(wù)器l 根據(jù)控制臺發(fā)出的指令進行監(jiān)控操作2、 IP-guard的架構(gòu)IP的架構(gòu)如下圖所示：架構(gòu)圖的簡單說明：l IP-guard是基于TCP/IP協(xié)議的網(wǎng)絡(luò)架構(gòu)。l IP-guard是通過服務(wù)器主動輪詢與客戶端主動連接服務(wù)器的雙向連接方式。l IP-guard支持Vlan網(wǎng)絡(luò)，支持多網(wǎng)段。l IP-guard支持通過虛擬專用網(wǎng)（VPN）接

7、入的遠程網(wǎng)絡(luò)。l IP-guard支持通過互聯(lián)網(wǎng)連接的異地網(wǎng)絡(luò)。l 控制臺也可以通過互聯(lián)網(wǎng)連接異地的服務(wù)器，實現(xiàn)在出差時也能對企業(yè)內(nèi)部進行遠程監(jiān)控。三 IP-guard的功能模塊IP-guard依據(jù)功能劃分為基本框架和另外十三個功能模塊。1、 基本框架IP-guard的基本框架提供方便靈活的管理模式，讓使用者使用簡單、管理細致。l IP-guard除了支持對計算機模式的管理以外，還支持以用戶模式的管理，因此IP-guard能支持終端服務(wù)器和瘦客戶機的管理。l 提供多管理員帳號的管理?？梢栽O(shè)定管理范圍和管理權(quán)限各不相同的管理員，幫助企業(yè)達到一個細致的管理。同時也能對每個管理員的操作做詳細的審計。

8、l 獲取每個計算機和用戶的基本信息，記錄計算機的啟動、登錄、注銷、關(guān)閉等操作，還能通過遠程對計算機進行注銷、重啟、關(guān)閉、鎖定鍵盤鼠標(biāo)等操作。l 對計算機的基本設(shè)置（包括控制面板、系統(tǒng)設(shè)置、網(wǎng)絡(luò)設(shè)置等）進行保護，讓系統(tǒng)不會因為被隨意修改而降低安全性。l 對于計算機系統(tǒng)的軟硬件變化或計算機的屬性變化如系統(tǒng)時間發(fā)生改變、服務(wù)發(fā)生改變、啟動項發(fā)生變化等向控制臺發(fā)出報警。l 支持簡體中文、繁體中文、英語、日文等多種語言操作界面。2、 文檔操作管控文檔操作管控模塊能管控計算機的文檔使用，控制文檔的訪問權(quán)限，記錄文檔的使用日志。l IP-guard能記錄每個員工在本機文檔操作信息；文檔日志記錄的信息包括操作

9、類型，操作時間，文檔名稱，文檔路徑，標(biāo)題等。其中操作類型多種多樣包括：創(chuàng)建、復(fù)制、移動、重命名、刪除、恢復(fù)、訪問、修改、上傳、下載和刻錄等。同時，IP-guard記錄的磁盤類型也是非常豐富的，包括：軟盤、硬盤、光盤、可移動盤和網(wǎng)絡(luò)盤。另外，IP-guard還能記錄其它機器在本機共享目錄里的文檔操作。l IP-guard能控制內(nèi)網(wǎng)所有計算機對某些文檔的讀取/修改/刪除權(quán)限；不同的計算機和不同的文檔之間可以有不同的權(quán)限。l 對于計算機里的一些比較敏感的文件，IP-guard可以設(shè)定在其被移動、修改或被刪除前把文件備份到服務(wù)器，保證重要的文件不會因為誤操作或被惡意篡改、刪除而丟失。3、 文檔打印管控

10、文檔打印管控模塊控制打印機的使用權(quán)限，記錄打印機資源的使用狀況。l IP-guard能記錄使用者對打印機的使用情況，包含打印的時間、文檔名稱，打印的頁數(shù)、打印機名稱、執(zhí)行打印任務(wù)的PC機器名以及登錄用戶名。l IP-guard能控制工作人員打印文檔的權(quán)限，根據(jù)需要控制使用者在指定的打印機上打印，也可根據(jù)應(yīng)用程序或指定的文檔名稱控制打印的操作。打印的控制可以區(qū)分本地打印機、共享打印機、網(wǎng)絡(luò)打印機和虛擬打印機。l IP-guard能獲取打印機的映像文件而，并記錄下來備份到服務(wù)器上，而不是根據(jù)文檔路徑直接把要打印的文檔做復(fù)制備份，保證保存的內(nèi)容即是打印的內(nèi)容。4、 設(shè)備管控IP-guard能控制計算

11、機使用外部設(shè)備的權(quán)限。在每一類的設(shè)備里，IP-guard都能在把設(shè)備的控制細化，如USB設(shè)備，會被細分為USB鼠標(biāo)、USB鍵盤、USB硬盤等。控制客戶端各種類型的設(shè)備：l 存儲類設(shè)備：軟/光盤、刻錄機、磁帶，可移動存儲設(shè)備等；l 通訊類設(shè)備：串/并口、SCSI、1394、藍牙、紅外線、MODEM、直接對聯(lián)線等；l USB類設(shè)備：USB 鍵盤、鼠標(biāo)、MODEM、映像設(shè)備、存儲、光驅(qū)、硬盤和其他USB設(shè)備；l 網(wǎng)絡(luò)類設(shè)備：無線網(wǎng)卡、即插即用網(wǎng)卡、虛擬網(wǎng)卡等；l 其他類設(shè)備：聲音設(shè)備、虛擬光驅(qū)等。l 禁止任何新增加的設(shè)備5、 移動存儲控制移動存儲控制模塊能設(shè)置對移動存儲設(shè)備的讀寫權(quán)限授權(quán)，并能加密移

12、動存儲設(shè)備。l IP-guard能自動將在網(wǎng)絡(luò)中使用過的移動存儲設(shè)備的信息加入到移動存儲類別庫中，管理人員可以把這些移動存儲設(shè)備進行歸類管理。l IP-guard能對移動存儲庫中的移動盤設(shè)置讀寫權(quán)限，可以控制指定的移動盤在指定的電腦上讀/寫的操作l IP-guard能對復(fù)制到移動存儲上的文檔進行自動加密，同時在有權(quán)限的計算機上，復(fù)制回硬盤時自動解密l IP-guard能對移動存儲設(shè)備做整盤的加密格式化，加密格式化后，在有權(quán)限的機器上是透明使用的，但一旦把移動存儲設(shè)備帶離了授權(quán)區(qū)域，移動存儲設(shè)備將不能被識別6、 郵件管控郵件管控模塊能監(jiān)控郵件收發(fā)情況，防止信息泄露。l IP-guard能詳細記錄

13、普通標(biāo)準(zhǔn)協(xié)議郵件、 Exchange郵件的收發(fā)以及網(wǎng)頁郵件和Lotus notes郵件的發(fā)送，記錄的內(nèi)容包括收件人，發(fā)件人，郵件正文及附件等信息l IP-guard能按指定的發(fā)件人、收件人、郵件主題、郵件大小對普通郵件和Exchange郵件的發(fā)送作控制。7、 即時通訊工具管控即時通訊工具管控能記錄聊天記錄，控制文件傳輸，防止信息泄露。l IP-guard能對msn、QQ、TM、icq、yahoo、uc、popo、skype等多種聊天工具的聊天內(nèi)容進行監(jiān)控，能完整的記錄聊天的雙方和聊天的內(nèi)容l IP-guard能通過對傳送文件的名稱、文件大小來控制員工通過即時通訊工具傳送文件的權(quán)限。并可以記錄員

14、工通過即時通訊工具傳送的文件內(nèi)容8、 應(yīng)用程序管控應(yīng)用程序管控模塊用于對應(yīng)用程序的統(tǒng)計、控制和日志記錄l IP-guard的客戶端會自動掃描內(nèi)網(wǎng)中所有運行過的應(yīng)用程序，獲取應(yīng)用程序的hash值，并收集到服務(wù)器中，管理員可以對這些應(yīng)用程序進行分類管理l IP-guard可以多角度統(tǒng)計應(yīng)用程序的使用時間和百分比，可以圖表方式顯示統(tǒng)計結(jié)果。通過自定義的時間范圍，對單個工作人員，部門或整個網(wǎng)絡(luò)的計算機的應(yīng)用程序使用情況進行統(tǒng)計l IP-guard能記錄每個用戶或計算機的所有應(yīng)用程序的啟動/關(guān)閉，以及窗口的切換標(biāo)題動作，并且可以根據(jù)時間范圍，計算機范圍，應(yīng)用程序名稱，應(yīng)用程序路徑、窗口標(biāo)題這幾種查詢條件

15、查詢l IP-guard能根據(jù)管理者的意愿定義控制策略，控制是否允許客戶端計算機上各種應(yīng)用程序的使用9、 網(wǎng)頁瀏覽管控網(wǎng)頁瀏覽管控模塊能記錄并控制網(wǎng)頁瀏覽行為。l IP-guard支持多種內(nèi)核類型的瀏覽器，其中包括IE以及IE內(nèi)核的瀏覽器如：Maxthon、The world (世界之窗)等；非IE內(nèi)核的瀏覽器如：火狐瀏覽器（Mozilla firefox）、Opera 和chrome(google)等。l IP-guard支持網(wǎng)頁的分類管理，管理員可以自定義類別，并將添加的網(wǎng)站歸類到所屬類別中，同時IP-guard也支持網(wǎng)址庫的導(dǎo)入l IP-guard能統(tǒng)計訪問的網(wǎng)頁及其使用時間并以列表和圖

16、表兩種方式顯示。通過自定義的時間范圍，對單個工作人員，部門，或整個網(wǎng)絡(luò)的計算機的上網(wǎng)瀏覽使用情況進行統(tǒng)計l IP-guard能記錄使用者訪問過的所有網(wǎng)頁信息：包括訪問的計算機和用戶，訪問的時間，網(wǎng)頁標(biāo)題，網(wǎng)址等信息l IP-guard能根據(jù)網(wǎng)頁的類庫或網(wǎng)址的通配符對使用者訪問網(wǎng)頁的行為進行控制。10、 網(wǎng)絡(luò)管控網(wǎng)絡(luò)管控模塊監(jiān)管網(wǎng)絡(luò)內(nèi)計算機通信情況，增強企業(yè)網(wǎng)絡(luò)的抵御能力l IP-guard提供網(wǎng)絡(luò)地址和網(wǎng)絡(luò)端口的分類，其中默認的網(wǎng)絡(luò)地址類別有企業(yè)網(wǎng)、互聯(lián)網(wǎng)，局域網(wǎng)、外網(wǎng)；默認的網(wǎng)絡(luò)端口類別有ICMP，TCP,UDP,郵件，網(wǎng)頁，網(wǎng)絡(luò)共享等，管理者還可以根據(jù)需要定義網(wǎng)絡(luò)地址類別和網(wǎng)絡(luò)端口類別l

17、IP-guard能通過對網(wǎng)絡(luò)通訊方向、IP地址范圍、網(wǎng)絡(luò)端口范圍的設(shè)置管理內(nèi)網(wǎng)計算機使用網(wǎng)絡(luò)的權(quán)限l IP-guard提供網(wǎng)絡(luò)接入檢查，能檢測網(wǎng)絡(luò)內(nèi)是否有非法計算機接入，如有發(fā)生馬上向管理者給出報警，并根據(jù)設(shè)定的策略阻止非法計算機接入網(wǎng)絡(luò)11、 流量管控流量管控模塊幫助統(tǒng)計分析計算機的流量情況，并對計算機的流量進行控制。l IP-guard能從多角度統(tǒng)計網(wǎng)絡(luò)流量資源，分析各個計算機使用網(wǎng)絡(luò)帶寬的情況，統(tǒng)計方式包括按地址明細，端口明細，地址類別，端口類別l IP-guard能通過指定時間范圍，網(wǎng)絡(luò)地址、端口范圍、流量方向來限制計算機流量速度范圍12、 屏幕監(jiān)控屏幕監(jiān)控模塊能遠程查看計算機的桌面活

18、動情況，記錄桌面活動內(nèi)容l IP-guard能實時查看當(dāng)前工作的計算機上桌面畫面，并能提供實時畫面追蹤，這個屏幕監(jiān)控是支持多用戶以及多擴展顯示器的l IP-guard提供多屏監(jiān)視功能，可以對一組的計算機進行批量集中監(jiān)控，最多支持同時查看16臺計算機的屏幕情況l IP-guard能根據(jù)應(yīng)用程序或時間間隔頻率記錄屏幕的歷史，這種記錄是通過獲取屏幕的增量，并進行高速壓縮后才儲存的，因此能更優(yōu)化存儲空間，同時屏幕錄像可以根據(jù)應(yīng)用程序名、時間、標(biāo)題等進行查詢，也可以導(dǎo)出為通用的視頻格式13、 遠程維護遠程維護模塊幫助管理員遠程查看計算機的運行信息，并遠程解決計算機的故障。l IP-guard能遠程查看并

19、維護網(wǎng)絡(luò)內(nèi)的計算機當(dāng)前運行的：應(yīng)用程序列表、進程列表、以及性能，設(shè)備管理，系統(tǒng)服務(wù)，磁盤管理，共享文件夾，計劃任務(wù)，用戶和組信息等 l IP-guard能遠程連接到客戶端桌面，并模擬查看端的鼠標(biāo)鍵盤操作，幫助管理人員遠程控制客戶端計算機，對計算機進行系統(tǒng)維護和故障排除等l IP-guard能遠程打開指定客戶端文件夾進行文件傳輸，幫助管理員分析遠程的文檔數(shù)據(jù)，以及即時派送文件等14、 資產(chǎn)管理資產(chǎn)管理模塊幫助系統(tǒng)統(tǒng)計查詢計算機資產(chǎn)，加固系統(tǒng)，防止漏洞l IP-guard會在開機后對客戶端的資產(chǎn)進行掃描，能自動獲取客戶端的硬件和軟件資產(chǎn)信息，管理者能查詢統(tǒng)計各個資產(chǎn)的分布情況，也能對軟硬件資產(chǎn)自定

20、義字段來記錄相關(guān)情況，同時，IP-guard還支持自定義資產(chǎn)，對一些不能獲取的資產(chǎn)進行規(guī)范化管理 l IP-guard能對軟硬件資產(chǎn)的變更提供詳細的日志信息，并能向管理者提供報警功能，幫助管理者管理企業(yè)的資產(chǎn)資源l IP-guard能自動掃描各個客戶端計算機的補丁情況，并能同步微軟的官方網(wǎng)站，下載最新的系統(tǒng)補丁，然后即時分發(fā)給沒安裝補丁的計算機，自動安裝補丁l IP-guard會自動掃描客戶端的安全漏洞情況，對存在的安全漏洞提供詳細的分析報告和解決方案l IP-guard能向客戶端自動分發(fā)文件、應(yīng)用程序和安裝程序，自動分發(fā)各種文件會存放到指定的目錄下，分發(fā)支持斷點續(xù)傳，支持后臺安裝和交互安裝四

21、 IP-guard的運行環(huán)境與性能指標(biāo)1、 IP-guard基本軟硬件配置要求:計算機基本要求數(shù)據(jù)庫SQL Server 2000 SP4 / MSDE SP4 /SQL Server 2005 SP1 / SQL Server 2005 Express SP1客戶端模塊操作系統(tǒng)Windows 2000 / XP / 2003 / Vista建議配置Pentium4 / 512MB內(nèi)存 / 1GB可用硬盤空間 控制臺模塊操作系統(tǒng)Win98 / Me / NT4 / 2000 / XP / 2003 / Vista建議配置Pentium 4 / 512MB內(nèi)存 / 1GB可用硬盤空間2、 IP-

22、guard服務(wù)器建議配置l 超過100臺工作站：服務(wù)器： Pentium 4 2G HZ CPU/ 2G內(nèi)存/ 120GB或以上的可用硬盤空間/ 100MB 網(wǎng)卡l 超過500臺工作站：服務(wù)器：雙核或雙CPU/ 4G內(nèi)存/ 160GB或以上的可用硬盤空間/ 100MB 網(wǎng)卡l 超過1000臺工作站：服務(wù)器： 四核CPU/4G內(nèi)存/400GB以上可用硬盤空間或使用硬盤陣列/ 1000MB網(wǎng)卡3、 IP-guard 數(shù)據(jù)量分析天數(shù)8小時/天工作站數(shù)量屏幕歷史記錄間隔 (秒)網(wǎng)絡(luò)負荷（服務(wù)器）(Mbps)網(wǎng)絡(luò)負荷（服務(wù)器）(在100MB網(wǎng)絡(luò)中所占用網(wǎng)絡(luò)帶寬的百分比)屏幕記錄數(shù)據(jù)量(GB)日志記錄數(shù)據(jù)量(MB)1100151.11.1%3.21001100300.530.53%1.61001100600.270.27%0.81001200152.22.2%6.42001200301.061.06%3.22001200600.540.54%1.62001500153.33.3%165001500301.591.59%85001500600.710.71%4500110001511.0011.00%32100011000305.35.3%161000