《盈高多维终端安全管理平台产品说明书范本》由会员分享,可在线阅读,更多相关《盈高多维终端安全管理平台产品说明书范本(31页珍藏版)》请在金锄头文库上搜索。
1、MSEP 多维终端安全管理平台产品说明杭州盈高科技有限公司杭州市教工路552号杭州国际服务外包示范基地301室电话:+86571-传真:+86571-http:/MSEP多维终端安全管理平台产品说明版权声明本文中的所有内容及格式的版权属于杭州盈高科技有限公司(以下简称盈高科技)所有,未经盈高科技许可,任何人不得仿制、拷贝、转译或任意引用。版权所有 不得翻印 2007盈高科技公司 商标声明本文中所谈及的产品名称仅做识别之用。手册中涉及的其他公司的注册商标或是版权属各商标注册人所有,恕不逐一列明。盈高多维终端安全管理平台信息反馈http:/盈高多维终端安全管理平台产品说明书目录一 产品的安全策略3
2、二、多维终端安全管理平台的特色4u实时风险展示,随时了解状况4u全面安全检查,规避安全漏洞4u多种报警方式,查询形象直观5u缺陷自动修复,减少人工干预6u无任何网络改造,避免网络影响6u多种部署方式,降低部署成本7u深入系统内核,确保终端稳定和兼容性9u整体代码优化,减少终端资源消耗9三、产品的安全目标和外部接口说明11四、产品设计原则与架构134.1.整体方案设计原则134.2.统一的集成化融合管理平台144.3.系统架构说明15五、产品的功能特点165.1.集合资产配置管理与安全加固管理于一体165.2.统一定制、强制执行的安全策略管理175.3.集中管理的主机防火墙175.4.补丁管理系
3、统175.5.“主动式”安全策略防御体系185.6.桌面设置及运维185.7.杀毒软件版本检测185.8.全面的资产管理185.9.软件分发与安装195.10.黑白进程管理195.11.网站访问安全控制195.12.违规外联195.13.便捷的远程维护205.14.强大的外设监控功能205.15.安全检查及加固管理205.16.弱口令检查功能225.17.可信移动存储设备监控225.18.客户端资源运行管理235.19.网络流量安全管理245.20.反ARP欺骗安全管理24六、产品系统特点266.1.友好的用户WEB界面,易于部署迅速实施266.2.模块化系统功能,真正提供所需服务266.3.
4、具有较高的系统性能266.4.实时性276.5.易用性276.6.安全性276.7.支持完善、安全的用户管理与认证机制276.8.面向终端用户的完全透明性276.9.基于开源平台,无任何知识产权风险28七、产品的安全功能相关的术语及定义说:29ii 盈高多维终端安全管理平台产品说明书一 产品的安全策略随着网络技术的广泛应用,各种网络环境中的安全问题正威胁着用户的正常工作,目前边界安全技术及产品已非常成熟,从2003-2006年的网络安全情况来看,尽管大多数用户采用了专门的网络通道技术、物理隔离技术、安全网段划分、安全防护设施(如防火墙、入侵检测、漏洞扫描)等方式保证自己的网络安全,但是,对类似
5、下面的安全问题仍然无法做到真正意义上的解决:u 如何防范频繁出现的内部攻击?u 如何及时发现桌面设备的系统漏洞并最快自动分发补丁;u 如何规范、方便、有效、安全地管理移动存储设备的日常使用,如何确保没有登记的移动存储设备无法在内部网络正常使用?u 如何防范用户绕过防火墙等边界防护设施,直接联入外网带来的严重安全隐患的行为? u 如何确保需控制的岗位严格执行上班时间不允许炒股、玩游戏、聊天等管理制度?u 如何为每台终端设备加固安全策略,减少日常用户使用的安全事故?u 如何快速有效的定位网络中病毒、黑客的引入点,快速、安全的切断安全事件发生点和相关网络。u 如何控制外来笔记本电脑以及其它移动设备的
6、随意接入问题?u 如何有效管理计算机设备资源,确保资产的不丢失? u 如何优化IT运行维护流程,降低运维成本?为保证移动办公用户的安全,防御未知的黑客攻击、内部攻击、内部信息泄露,以及加强每一台内网设备的安全策略,解决安全问题是迫在眉睫的!盈高科技为解决以上问题,定制了一整套安全解决方案,并推出了“MSEP多维终端安全管理平台”。MSEP桌面安全管理套件基于Apache WEB服务器,MYSQL数据库。管理平台基于B/S结构,管理员可以从任何一台安装了浏览器的终端进行登录管理,后台应用服务器实现基于C/S结构。客户端具有强大的自主防护功能,没有使用界面后台运行。Agent作为系统的功能实现体,
7、需要安装在桌面系统中,实现了主机防火墙、主机入侵检测、防病毒软件检测功能,对系统状态(进程、端口、软件、硬件、CPU占用率、磁盘占用率、内存占用率)的信息采集功能,对拨号、打印、文件操作、外存使用的行为监管功能。报表子系统为管理员提供了丰富的报表功能,实现了分析结果的可视化,可帮助网络管理员对网络中的异常情况进行深度挖掘分析。二、 多维终端安全管理平台的特色u 实时风险展示,随时了解状况通过多维终端安全管理平台的安全检查与加固,系统管理员可以对全网的终端设备建立各种安全检查与评估任务,实时的了解目前网内设备的风险状况。通过图形化的展示方式,管理员可以了解目前网内处于安全和高、中、低等各个级别风
8、险的设备比例,了解各个终端目前的具体风险情况,并且系统可以根据目前的风险情况,提出存在问题的原因和对如何进行修复提出修改的建议。u 全面安全检查,规避安全漏洞多维终端安全管理平台可以对内网终端各种安全情况进行仔细检查,比如可以检查终端的用户密码是否安全,用户的杀毒软件是否安装,用户的补丁安装是否及时,用户是否开启了一些不容许开启的共享,用户是否运行了一些风险比较高的后台服务和程序等。通过对系统的细致全面检查,我们可以得出一台终端的具体风险分值,并对这些分值进行排名和统计,可以判断出目前那些设备的危险程度最高,尽早的引起管理员的重视,通过提前了解风险并解决这些风险来规避系统的各种安全漏洞。u 多
9、种报警方式,查询形象直观多维终端安全管理平台在系统的运行中会根据实际的情况产生各种报警,为了便于管理员及时迅速的了解这些系统意外状况,多维终端安全管理平台提供了丰富多样的报警方式。目前管理员可以通过报警查看平台、WEB管理平台来了解系统产生的报警,另外对于一些实时性比较高,比较重要的报警我们可以通过短信SMS的方式第一时间通知给管理员,便于管理员立即进行处理。同时系统可以根据管理员和企业的实际需求,在每个周末和每个月末将系统的报警周报表和月报表通过邮件EMAIL的方式发送给管理员。u 缺陷自动修复,减少人工干预多维终端安全管理平台遵循一个“采集” “展示” “报警” “控制” “采集”的全套闭
10、环的管理模型,和其它的厂家不同的是通过多维终端安全管理平台的控制功能,管理员可以对系统中出现的各种缺陷,风险等问题进行控制,通过多维终端安全管理平台提供的丰富控制功能,多维终端安全管理平台的客户端可以对终端的各种缺陷进行自动的修复,严格的安装管理员的设置进行操作,避免管理员在出现问题或者问题将要出现的时候的人工参与,减少管理员的日常维护工作量,真正的将管理员从繁琐的日常维护中解放出来,将工作的重心专注与业务相关的优化上面,降低IT服务管理部门的TCO,提高IT服务管理部门的KPI。u 无任何网络改造,避免网络影响平台采用的假想式程序设计的基本隔离方法,不用改变企业当前的网络拓扑,不需要特定型号
11、交换机的支持;不受802.1x协议以及Dynamic VLAN的限制;只要在存在网络的地方,随意接入网络,就能实现网络的准入控制;可以在最短的时间内有效地阻止非法用户的接入,适用于各种不同的网络环境。u 多种部署方式,降低部署成本企业内网管理要求在企业的内网终端上面安装客户端程序,由于企业的内网终端数目巨大,如果要管理员逐台的进行客户端的安装,这个对于系统管理员来说就是一个噩梦。为了降低管理员的部署难度和工作量,多维终端安全管理平台提供了多达10种的部署方式,通过这些方式的组合可以极大的降低管理员的部署时间,降低企业的部署成本。1. 使用多维终端安全管理平台 Client Deploy Too
12、l若网络中部署了Active Directory,则可以使用多维终端安全管理平台 Client分发工具安装多维终端安全管理平台 Client。通过多维终端安全管理平台 Client分发工具安装多维终端安全管理平台 Client。2. 网页浏览安装方式若网络中没有部署Microsoft Active Directory,而且也没有使用登录脚本,则可使用网页浏览方式分发客户端,当用户浏览该网页时会主动检查客户端是否已安装了多维终端安全管理平台客户端,如果还没有安装则自动安装多维终端安全管理平台客户端。3. 手工安装多维终端安全管理平台 Client 总是可以通过在每台计算机上手工运行多维终端安全管
13、理平台 Client安装程序来进行安装。这对于较少数目的计算机来说是一个快速且有效的方法。必须以管理员权限登录目标计算机并进行安装。4. 通过MSI安装可以使用Microsoft Installer (MSI)版本的多维终端安全管理平台 Client安装程序来进行自动安装。你可以直接运行这个程序来直接安装client,或者调用它的参数进行安装。通过使用MSI版本的client安装程序,可以为多维终端安全管理平台 Client MSI的分发创建一个组策略对象(Group Policy Object ,GPO)。有关更多的组策略方面的信息,参见微软的知识库文章http:/ 使用软件分发工具如果已经
14、有某些软件分发工具,比如Microsoft SMS 或者Mcafee网络版杀毒软件,并且所有要安装的目标计算机都能使用这些工具,则可以通过软件分发工具来分发多维终端安全管理平台 Client的安装包。6. 使用组策略可以通过使用Active Directory Group Policy Objects (GPO)来定义一个策略,强制在特定组(比如组织单位,域,等)的每台计算机上安装多维终端安全管理平台 Client,这个策略在每次用户登录到这个特定的域的时候应用到客户端计算机。如果有GPO功能则可以高效的部署多维终端安全管理平台 Client。7. 嵌入操作系统镜像文件如果使用一个特定的系统镜
15、像或者通用操作环境来安装新计算机,则可以在镜像中加入多维终端安全管理平台 Client。8. 使用登录脚本在一个NT 或 AD域,登录脚本可以用来检查多维终端安全管理平台 Client是否存在。当计算机登录的时候发现多维终端安全管理平台 Client不在客户端计算机上,它可以自动从存放多维终端安全管理平台 Client安装程序的位置启动安装。如果网络中不断的增加新计算机,则这种方法非常方便,可确保多维终端安全管理平台 Server会自动发现并管理新加入的计算机。在一些使用Windows 2000 或 XP的网络环境,用户必须以管理员身份登录才能让这种方式工作。9. 使用Email可以给目标系统用户
