《2020年(产品管理)桌面安全管理产品pk_》由会员分享,可在线阅读,更多相关《2020年(产品管理)桌面安全管理产品pk_(20页珍藏版)》请在金锄头文库上搜索。
1、终端安全管理策略技术20 指 标技术项描 述北信源内网安全管理及补丁分发系统VRVEDP v6.6B/S与C/S模式结合系统结构基于C/S模式构架设计,由安装在各计算机设备上的客户端(Client)软件和安装在管理服务器上的控制端(Server)软件两部分组成,客户端程序安装在用户的计算机上,管理服务器同本地数据库连接;以B/S结构进行管理,控制界面以web方式显示(browser),可以进行不同权限的登录后台数据库(server),提供集中的策略管理中心,详细的资产和安全管理功能、强大的自定义报表功能及全面的报警功能。数据库存储后台管理信息库基于Microsft SQLserver技术创建,
2、SQLserver为本系统提供所有的设备信息、命令信息存储,区域管理器程序提供辅助数据分析平台。数据库中存放计算机及网络设备的所有信息。系统通过网络自动扫描技术实现对网络设备的监测,对监测结果处理后写入数据库;对于处理过程中发现具有违规行为的计算机设备将在监控系统的管理平台上进行报警和阻断。客户端平台覆盖客户端管理覆盖主流桌面操作系统平台Microsoft Windows98/ Me/NT/2000/XP/2003的各个版本系统的管理,支持Linux/Unix系统的发现以及网络设备的信息采集。级联总控管理支持广域网构架(可支持4级以上管理构架),在总部级管理页面中嵌入下级系统控制链接,提供对下
3、级监控系统的页面直接察看,对下级区域进行区域划分管理,包括管理级联、数据库级联、报警级联以及策略下发级联等。分布式数据库级联数据库的应用支持分布式和集中式两种,分布与集中对应存在,分布式数据库即独立应用一套本系统,但需要在系统的区域管理器上面启动级联功能,将本级信息汇总到上级数据库,成为集中式数据库。分布式数据库应用还表现为,一个集中的管理控制平台对多个分布式数据库的信息访问。网络设备自动登记基于定时扫描机制,自动扫描检测其管理网段内的计算机是否已经安装客户端软件和客户端设备信息变化情况,将设备信息数据同数据库中原始数据进行比较,如发现异常则报警,并能阻断设备的入网。web中央控制管理模式中央
4、控制管理平台通过web界面管理系统来调用中心数据库、控制系统不同功能模块,作为整个系统的操作管理平台。如配置不同模块工作参数值,配置客户端探测程序参数等;显示网络设备分类统计、报警信息、查询日志等;基于IP范围进行管理区域划分,对不同安全管理员进行管理权限分配等。策略管理中心模式策略管理中心以策略的形式向所管理的本级或下级客户端下发管理指令;可进行多级级联管理,支持多级管理方式,各级子管理节点能够与根管理节点进行策略同步;策略管理中心可以针对不同的管理级别、不同的区域、不同的IP、不同的操作系统等范围,以全局、本地策略模式进行策略分发,支持多条策略的组合执行;可以灵活的按照用户需要制定策略触发
5、条件:根据时间段和时间点定制策略使用或禁止使用的触发条件。规定策略生效或失效的时间段,以及策略的存活时间。违规设备阻断系统支持三种阻断模式包括防火墙阻断、ARP阻断以及交换机阻断,可以对控制终端设备的接入,对未授权的终端设备进行阻断,同时提供安全事件源远程阻断,对违反策略的终端进行阻断。设备入网监测自动记录管辖范围内计算机设备的安全信息,对设备的注册入网资格进行审计,显示当前网络中所有设备的注册情况;对终端接入网络和带入带出进行监测,按要求对非法联入网络的计算机设备进行报警和注册提示,并能以自动阻断和管理员阻断两种方式阻断设备入网。客户端资源监控客户端程序可以通过自动分发或者手工注册,下载安装
6、到各个计算机上,开机后程序立即运行,实时探测本机系统信息,包括操作系统信息、软件信息、硬件信息、端口状态、服务状态、资源使用状态、用户登录及访问等状态探测,并能够即时将信息上报到系统处理。应用资源监视基于进程搜索的功能帮助进行病毒源定位,还涉及补丁(应用软件)探测、以及CPU内存占用状况等等。信息汇总下级监控系统可将本区域汇集到的安全信息建库并自动上报到上级监控系统。IP区域划分按照IP地址的范围进行区域划分,形成独立安全边界区域的规划管理。病毒源定位能够对计算机上的病毒入侵源进行辅助分析和定位,并能够对以定位客户端进行远程提示或阻断。中央综合报警中央汇总、区域分布两种报警方式相结合,逐级汇总
7、网络设备变化、违规行为、系统运行状况异常信息,方便网管人员进行审计。跨越网段、跨VLAN对违规的计算机设备进行自动阻断提供对客户端计算机非法接入Internet进行自动阻断和设备违规的人工阻断,不受vlan和网段距离影响。网络拓扑管理能自动发现整个网络中的终端系统的IP地址、机器名和MAC地址,允许管理者对终端系统按部门进行登记管理,形成网络基本情况数据库。生成网络拓扑图。客户端/网络分组管理按照多种方式(如按操作系统、已划定区域、按IP区域或用户自定义、所有设备等)对客户端方便的进行分组管理。细粒度的用户权限分配1、系统能够对系统管理员进行分级,分权限管理,对于级别和权限的分配可没有任何限制
8、的进行。可对管理员定义不同的管理范围和操作,本区域的管理员只能看到自己所管理区域内的设备情况,并对区域内的相关设备进行管理操作。2、系统在设定权限时可根据工作需要,规定该用户所能操作的策略、管理的区域及查看的信息。设定权限时还可以根据工作需要设定用户是否是只读用户(只能看数据,不能改数据)还是有读写权限。3、用户可分为超级用户、普通用户和审计用户,由超级用户可开设并分配用户及权限。4、系统支持二级至多级管理模式,必要时可在本区域内自行划分增加下级管理区域,并设定下级管理区域的管理员以及他的相应权限(下级区域管理员只管理本下级区域)。下级区域的级别和划分可自主增加,增加的级数没有限制。无需增加新
9、的软、硬设备。设备入网快速发现通过分布式扫描代理技术,系统能够快速发现各网段的接入设备及断开设备。硬件资产管理统计终端计算机资产,报警计算机软硬件变化信息,控制注册计算机硬件设备的使用,如可以允许或者禁止注册计算机使用光驱、软驱、USB移动存储设备、打印机、调制解调器、串并口、1394控制器、红外设备等。软件监控自动收集安装在每台计算机上的每种应用程序信息,包括安装的操作系统种类、版本号以及客户端软件安装的软件等信息,并进行汇总管理。根据条件查询客户端软件安装的软件或指定软件被哪些客户端软件安装等信息对软件安装进行黑白名单控制,即根据策略设定禁止安装的软件和必须安装的软件。对违规的客户端进行客
10、户端警告和断网处理等相应措施,客户端上显示相应的提示警告信息,提示警告信息可由用户自主填写。进程管理1、统一汇总和监视网络各终端的进程,并生成报表(具体查询在统计报表中)。2、进程保护:进程保护功能可保护重要进程,使其不意外退出。3、根据进程出现的时间进行排序,显示网络中最新出现的进程,以便发现新的可疑的进程。4、可通过进程名称、打开端口、进程运行次数、文件大小、进程所在路径、文件版本等条件,对网络客户端的进程进行查询。5、终端进程管理:显示当前计算机的运行的进程,可以进行远程的关闭。6、进程异常监控功能:对未响应窗口、意外退出停止的进程及服务进行上报和退出、退出重起等处理IP/MAC地址绑定
11、管理设定客户端IP/MAC地址绑定,一旦绑定出现变化可以通过设定不处理、自动恢复、断开网络、仅提示等方式处理。非法外联监控能够详细记录和查询各种非法联网(接入互联网或其它网络)的计算机信息,如上网时间、持续时间、客户端地址等。支持对双网卡、Modem、ADSL以及无线网卡等方式上网行为的监控。同时可以对违规操作的终端采取警告、断网等处置形式。普通软件分发系统可以向指定客户端(用户组)分发文件或安装软件,分发时可提供软件的运行参数和必要的运行控制。此功能可减轻网络管理人员的工作负担,软件分发时可报告软件安装的状态,管理员可及时了解情况。系统提供人性化的软件安装过程录制工具,方便对软件录制打包,软
12、件分发至终端后,系统可在终端对软件安装过程进行回放,方便软件在客户端进行自动安装。终端防火墙1、端口控制:禁用填充项中指定端口,开放其它端口;开放填充项中指定端口,禁用其它端口;禁用填充项中指定端口;开放填充项中指定端口;端口可按照范围进行填写。2、ICMP协议控制:禁止ping入;禁止ping出;协议双向禁止;3、IP地址访问控制:只允许填充项中IP地址访问自己,禁止其余IP地址访问。只允许自己访问填充项中IP地址,禁止访问其余IP地址。用户密码、弱口令检查对客户端的所有用户口令进行检查,并可以自行添加弱口令列表,如果发现系统存在弱口令则进行上报,并进行相应的提示。用户权限监测对客户端的用户
13、权限进行监测,针对:系统用户权限发生改变、系统用户组权限发生改变、系统用户增加时、系统用户减少时、当系统用户组减少时等多种情况进行监测,一旦监测内容发生变化则以后将相应信息上报,并在客户端上显示相应的报警。注册表检查对win9X、win2000、Winxp、win2003等系统指定的注册表键值进行监控,如果发现指定的键值与检测键值不符合或键值不存在,则立刻上报并可在客户端上显示相应的提示信息。注册表保护保护注册表,使其不被未授权用户或恶意程序修改。黑白名单管理可定制软件安装、进程运行、url地址访问、终端端口等管理项的黑白名单设置,禁止/允许使用或访问。上网访问控制对客户端上网活动进行限制,设
14、定其仅允许访问的Web站点和禁止访问Web站点。杀毒软件控制支持对当前主流杀毒软件的识别与控制,当客户端未安装杀毒软件时对客户端进行提示,采取断开网络、自动重启等措施。移动存储设备(包括Usb移动设备、光驱、软驱等)接入控制该功能确保客户端不能随意使用移动存储设备,对移动存储设备的数据输入/输出进行审计,并对使用的设备进行标签认证:普通标签:将该标签写入U盘,在管理区域内,根据策略的设置,来限制U盘的读、写功能;如果在管理区域外使用U盘,则不限制U盘读、写功能。保护标签:将该标签写入U盘,在管理区域内、外都有效。在管理区域外,不能对U盘进行读、写操作。在管理区域内,符合“可移动存储审计”策略,
15、则可以正常使用;不符合则无法对U盘进行操作;加密标签:将该标签写入U盘,在管理区域内、外都有效。在管理区域外,不能对U盘进行读、写操作;在管理区域内,符合“可移动存储审计”策略则可以正常使用;不符合则显示为乱码,无法对U盘进行操作(可以看到内容,但不可修改)。保护及加密标签:该标签具有保护功能。将该标签写入U盘,在管理区域内、外都有效。在管理区域外,不能对U盘进行读、写操作;在管理区域内,符合“可移动存储审计”策略则可以正常使用;不符合则显示为乱码,无法对U盘进行操作。文件输出审计1打印输出审计:对不同类型的文件的打印进行禁止、限制、审计。2邮件输出审计:对不同类型的邮件附件发送进行禁止、限制、审计。3网络共享输出:对不同类型的文件的共享与拷贝进行禁止、限制、审计。输入输出设备监控启用或禁用软驱、光驱、USB存储设备、Modem、串口、并口等;可监控计算机终端向软驱、光驱、USB存储设备等写入文件的操作;可配置计算机终端可使用的打印机并监控其打印信息;支持输入输出设备的行为审计。文件审计文件操作审计:记录文件操作,包括的记录文件操作类型:创建、打印、访问、复制、改名、恢复、删除、移动等。文件保护:对客户端不同路径下的不同文件的读
