IP-guardV3解决方案.doc

TEC Solutions LimitedIP-guard 企业信息监管系统 解决方案IP-guard的设计宗旨：保障企业信息安全，提升生产力 一、 前言在知识型经济之下，企业信息资产显得特别重要，能否有效保护专有技术等内部信息，更是求存成功的关键，对业务保障的基础。进入信息年代，互联网成为企业与本土外地公司沟通、交换业务数据及信息的主要渠道。利用互联网沟通固然方便，但却使机密的商业资料很容易透过开放的互联网泄露给竞争对手。机密商业资料一经泄漏，不论是有意还是无意，始终会对企业的资产构成损失。因此企业需要严格监管员工使用电脑，防范因为知识产权和机密商业资料通过电脑被泄漏而造成的重大损失。最近公布的一项调查结果表明，目前员工在工作场所花费在网上的与工作无关时间越来越多，企业的生产力受到很大影响，为此造成大量的金钱损失。以前大部分员工可能都认为办公室的电脑属于他们所有，他们可以想干什么就干什么，因此应对他们进行严密的监管，使这些人不能再为所欲为,促进生产力的提高，降低了因滥用电脑带来的损失。 根据Gartner Group 及Forrester Research 的研究调查，信息系统管理部门接近一半的工作时间用于为计算机安装及升级软件，占计算机的总体拥有成本很大比重。IT 人员为PC 做简单的日常维护工作所花的时间占其总工作量的70-80%，大大增加计算机网络的综合管理成本。而且如果问题没有得到及时有效的处理，也会极大影响企业的生产力。因此有必要减少了IT 人员的一些无谓操作,大幅度提升他们的工作效率，使得IT 人员更加关注于管理工作,并将精力集中于能够提升企业管理效率的信息系统中。IP-guard正是一个为企业解决上述问题的有利的工具。IP-guard严格监控和记录企业内部各台计算机和用户的使用情况,它具有强大的日志统计、策略管理、屏幕快照、实时跟踪、资产管理、系统补丁漏洞管理、软件分发及远程维护等功能。IP-guard 根据需要自动截取工作站的屏幕快照、计算机用户使用电脑的记录，并可以根据客户需要回播这些记录来报告工作站的工作状况。这样，IP-guard 可以让您随时了解您公司的计算机用户的资源利用情况。二、 IP-guard的核心价值防止机密资料泄漏，保障信息安全w 详细记录所有文档操作；当对重要文档做了违规操作后，系统会报警并阻止其操作w 对文件系统的访问设置读写权限，防止员工利用移动存储和网络共享方式传播出去w 限制使用计算机的各种外部设备，如USB存储设备、USB设备、光驱、软驱、打印机、蓝牙、红外线等防止非法复制和传送数据w 控制员工通过邮件、FTP、P2P软件、即时通讯工具等传送文件w 未授权的非法外来计算机无法访问企业内部网的共享文件或通信规范电脑使用行为，提高生产力w 记录并统计员工使用各类应用软件的情况；可根据工作需要限制软件使用w 详细记录员工访问的网站，并对网站浏览进行统计；可根据工作需要限制网站访问w 详细记录员工在计算机上的每项操作，便于跟踪和分析员工的工作行为w 绑定IP/Mac地址，限制员工随意修改IP地址；修改IP地址有报警日志w 记录所有发送和接收邮件的详细内容和附件资料w 监控各种即时通讯工具的聊天内容，以及通过其传递的文档记录w 实时查看计算机的屏幕活动画面，支持多屏查看；并对屏幕活动记录归档合理分配系统资源，优化使用配置w 对上传下载的网络通讯进行统计，控制网络流量，合理分配互联网带宽资源w 控制网络通讯端口和地址，限制员工玩网络游戏、聊天、BT下载及外发资料w 监控员工文档打印的情况，光碟刻录等资源使用情况，合理规划企业资源的使用全面管理IT资源，降低维护成本w 详细记录每台计算机的硬件和软件资产信息，还可自定义各项资产其他辅助信息w 记录硬件设备的异动，软件的安装和卸载，并对异动情况及时报警w 可根据需要查询各类软硬件资产；自动汇总硬件配置，统计软件资产w 对系统的安全漏洞进行周期性扫描、分析和修补w 定时检查和下载系统补丁，并在网络内自动分发和安装w 派发文件或部署安装第三方软件到企业内各台计算机，减轻IT人员工作，提高效率w IT人员可远程查看计算机的实时信息，帮助分析和解决远程计算机的故障w 对员工的计算机可远程开机、重启、关机，并可锁定计算机w 远程桌面控制计算机，同时可进行文件传送，方便传递诊断工具和获取信息文档灵活架构企业系统，实现集团控制w 支持异地监控，帮助大规模集团企业管理各地分支机构运作情况三、 IP-guard的基本运行框架IP-guard基本系统由四个不同的模块组成：客户端模块、服务器模块、控制台模块。用户可以根据具体需要将它们安装在局域网中的计算机上。系统的基本框架如下图所示。IP-guard系统基本架构图客户端模块安装在每一台需要被监视的计算机上。服务器模块用来存储和管理所有安装有客户端模块的计算机，用于管理监视所产生的数据，一般安装在硬件配置较好用作服务器的计算机上。控制台模块主要用于监视每台安装有客户端模块的计算机及查看历史记录，一般安装在公司的管理人员的计算机上，也可以和服务器模块安装在同一台计算机上。系统的硬件/软件要求：安装模块计算机基本要求客户端模块操作系统 Win98/ME/NT/2000/XP/2003/vista最低配置 Pentium 500/128MB内存/128MB可用磁盘空间建议配置 PentiumI4 2.0G/512MB内存/256MB可用磁盘空间服务器模块操作系统 Win2000/XP/2003/vista/2008数据库 MSSQL 2000SP4/2005SP1/2008最低配置 PentiumI4 2.0G/512MB内存/20GB可用磁盘空间建议配置 酷睿双核 1.6G以上 /2GB以上内存/50GB可用磁盘控制台模块操作系统 Win2000/XP/2003/vista/2008最低配置 Pentium 500/128MB内存建议配置 PentiumI4 2.0G/512MB内存客户端模块的基本功能包括： 定时采集数据并保存 定时将采集的数据传送到服务器 响应控制台发出的监视请求，传送实时的屏幕快照信息 根据系统的设置控制计算机和用户的操作服务器模块的基本功能包括： 管理所有客户端模块计算机，并向客户端模块传送配置信息和策略 收集客户端模块的采集的数据，并将其保存到数据库中 备份历史资料 提供方便灵活的历史记录管理、查看、归档、搜索等功能控制台模块的基本功能包括： 实时获取受监视计算机的屏幕快照等信息 对单个或对一组目标机进行实时监视，并可以轮流显示多个目标机的屏幕快照 设置监视和控制规则 查看并播放记录在服务器端的历史记录 查询特定机器特定时刻的历史记录四、 IP-guard 电脑监管解决方案IP-guard 服务器端系统性能分析客户端数量进程名称CPU平均使用率100OServer3.exe5%Sqlservr.exe40%200Oserver3.exe5%Sqlservr.exe40%500Oserver3.exe10%Sqlservr.exe40%1000Oserver3.exe10%Sqlservr.exe40%2000Oserver3.exe40%Sqlservr.exe40%3000Oserver3.exe40%Sqlservr.exe40%IP-guard控制台端性能分析进程名称CPU平均使用率内存占用量高峰内存使用OConsole3.exe2%12,464K17,258KIP-guard客户端性能分析进程名称CPU平均使用率内存占用量高峰内存使用Rundll32.exe1%21,164K25,938KIP-guard 实现功能功能模块功能概要(1)基本功能获取计算机的基本信息，包括计算机名称，网络地址，操作系统，登录用户，当前状态等信息。远程锁定计算机、关闭、重启、注销和发送通知信息等。记录计算机的开机/关机，用户登入/登出，拨号等操作。控制计算机对系统设置的操作权限，包括以下属性，且各项可以单独控制：控制面板：控制面板、设置屏幕属性、添加打印机、删除打印机、快速切换用户。计算机管理：设备管理器、使用磁盘管理、本地用户和组、系统服务管理、其它计算机管理。系统：任务管理器、注册表编辑器、命令提示符、运行注册表中Run下的程序、运行注册表中Run Once下的程序网络：修改网络属性、显示网上邻居、修改Internet选项、默认网络共享、使用网络共享、增加网络共享IP/MAC绑定：修改网络IP/MAC配置ActiveX控件：聊天类ActiveX控件、影音类ActiveX控件、游戏类ActiveX控件、FLASH类ActiveX控件其它：使用print screen键、系统还原、Windows自动更新。对计算机的硬件变化，存储设备变化，通讯设备变化，软件变化，系统项变化，网络配置变化等能提供报警信息并作为日志记录。所有类型的日志记录都是可以选择记录或不记录。所有监控模块都能按计算机和用户两种模式实现；能够按用户模式监控的模块包括：应用程序统计，上网浏览统计；基本事件日志（用户登陆/注销），应用程序日志，网页浏览日志，文档操作日志，文档打印日志，移动存储操作日志，即时通讯日志；应用程序控制，上网浏览控制，屏幕记录策略，IM文件传送策略，文档控制，打印控制，移动存储授权。查看所有日志的视图均可以导出保存为电子文档，支持保存为文本文件，文件，文件等文件格式。也支持打印功能。备份当前已有的各种类型日志数据，以免数据库意外损坏带来不良后果；并且可以查看备份数据。登陆系统包括管理员和审计员两种权限，管理员权限是管理安装客户端计算机的，可以设置对不同的管理员分配不同的管理权限；审计管理员可以查看管理员的操作日志，包括管理员登陆系统，查看日志，对内网计算机的控制等操作。(2)应用程序监控将计算机运行过的所有应用程序添加到可以自定义的应用程序库中，方便归类。统计应用程序的运行时间；通过自定义的时间范围，对单个计算机，部门所有计算机，或整个网络的计算机来进行统计；统计方式可以是按应用程序类别统计、按应用程序名称统计、分项统计等；统计结果可以有列表和图表两种显示方式。应用程序日志记录：记录计算机应用程序运行日志，包括应用程序启动/关闭，以及窗口的切换标题动作；可以按时间范围，计算机范围，应用程序名称，应用程序路径、窗口标题等多种条件查询日志。应用程序控制：允许/禁止计算机运行指定的应用程序(3)上网浏览监控自定义各网站类别，方便网站归类管理。上网浏览时间统计：通过自定义的时间范围，对单个计算机，部门所有计算机，或整个网络的计算机的上网浏览使用情况进行统计；统计结果可以有列表和图表两种显示方式；统计方式可以是：按网站类别、分项统计（统计各组计算机的网页浏览情况）、按上网明细统计。记录员工访问过的所有网页信息：包括访问时间，网页标题，网址等信息；可以按网站名称、标题名称、时间、计算机范围等条件查看日志记录。对计算机按指定的时间，指定的环境（离线或在线两种状态）禁止/只允许其访问指定的网页。当计算机本机有访问违规网站时能实时报警，并将报警内容记入报警日志。(4)流量监控流量统计：通过自定义的时间范围，对单个计算机，部门所有计算机，或整个网络的计算机的网络流量进行统计；统计结果可以有列表和图表两种显示方式；统计方式可以是：按网络端口、网络地址、端口类别、地址类别等。通过指定时间范围，网络地址、端口范围、流量方向来限制计算机访问网络的流量。(5)文档监控文档操作记录：记录用户访问所有存储设备上的文档操作，包括本机硬盘，软件，光盘，移动盘，网络盘等；记录的日志信息包括操作类型(访问、修改、重命名、删除、移动、复制、创建、发送/上传，接收/下载，刻录等)，操作时间，文档名称，文档完整路径，磁盘类型，文档标题等。可以按日志记录的信息作为指定的条件查询更精确的结果。共享文档操作记录：记录网络计算机访问本地计算机共享文档的操作，记录的日志信息包括类型（创建、重命名、删除、修改等），操作时间，远程主机，文档名称，文档路径等。控制内网计算机对文档操作的权限，可设置的文档控制属性包括:时间：能指定控制生效的时间范围。控制模式：包括禁止、允许、忽略、不操作等模式。动作：要求在文档控制的策略触发后能产生包括报警、警告、锁定计算机等动作，并且这些动作具有可选择性。其它：能指定控制生效的特殊环境，比如仅离线生效。操作类型:读取修改删除盘符类型：本地硬盘软盘可移动盘网络盘光盘其它磁盘文件名称：可以手动输入文件名称，支持同时输入多个名称，可以同时输入并能支持通配符(例如：*.doc)对文档操作内容作备份；并可另存为备份的文档到其它设备以便查看。要求对文档备份具有可选择性，不仅可以指定文档控制中的属性，还包括以下可选择的条件：修改前备份复制/移动到备份复制/移动出备份删除前备份备份文件最小大小：可以指定大小，也可以不限制备份文件最大大小：可以指定大小，也可以不限制(6)打印监控记录员工使用内网打印机的情况，记录的日志信息要求包含打印时间、文档名称，文档页数和实际打印页数、打印机名称、执行打印任务的PC机器名和登录用户名。并且可以按时间，文件名，计算机等信息查询指定条件的记录。控制内网计算机打印文档的操作权限，可以通过指定打印机类型、打印程序、打印机描述等属性来控制。备份打印内容，并可将备份内容另存为到其它设备以便查看。设置备份打印内容时可以手动指定页数，也可以不限制备份页数。(7)屏幕监控查看计算机实时屏幕记录计算机的屏幕历史画面，并可以按指定的计算机查看指定日期范围内的屏幕历史记录，以播放器的方式播放某一天的屏幕历史，并可将当前播放的屏幕历史另存为视频文件。(8)远程监控远程维护内网计算机当前运行的应用程序，进程，性能，设备管理，系统服务，磁盘管理，共享文件夹，计划任务，用户和组等。远程控制计算机系统桌面。远程传送文件到内网计算机。(9)设备控制控制内网计算机对存储设备的使用权限，包括：软驱，光驱，刻录机，磁带机，可移动设备（U盘，移动硬盘，记忆棒，智能卡，MO，Zip）等；支持对上面各项的单独控制。控制内网计算机对以下通讯设备的使用权限：串口、并口、USB 控制器和连接器(HUB)、SCSI接口、1394控制器红外线、PCMICA卡、蓝牙设备、MODEM、直接电缆连接、拔号连接等；支持以上各项的单独控制。控制内网计算机对USB设备的使用权限，包括：USB 键盘、USB 鼠标、USB Modem、USB 映像设备、USB CDROM、USB 存储、USB 硬盘、USB 网卡、USB等 其他USB设备；支持对上面各项的单独控制。控制内网计算机对网络接入设备的使用权限，包括：无线网卡，pnp网卡，虚拟网卡等；并且可以对它们单独控制。控制内网计算机对其它设备的使用权限，包括：声音设备，虚拟光驱，其它设备等的使用。(10)网络控制可以分别自定义网络地址类别和网络端口类别，方便归类管理通过对网络通讯方向、IP地址范围、网络端口范围的设置来管理内网计算机访问网络的权限。检测网络内是否有外来计算机接入并提供实时报警，能够阻止非法计算机访问内网某些需要保护的计算机。(11)邮件监控监控包括通过邮件工具收发的邮件，Exchange，Notes邮件，以及网页邮件等。邮件工具包括：Outlook Express、Office Outlook、Fox Mail、Lotus Notes等。记录内网计算机邮件收发信息；邮件记录包括收发邮件时间，计算机名称，邮件主题，收件人，发件人，邮件大小；邮件正文内容及附件内容等信息。要求附件可以另存为到其它设备，以便查看或存档。控制内网计算机发送邮件的权限，以便内部资料外泄；可以设置的控制条件包括：发件人：可以指定或者不限制收件人：可以指定或者不限制主题：可以指定或者不限制包含附件：可以指定或者不限制附件名称：当包含附件时再设置，可以指定或者不限制邮件大小：可以指定或者不限制(12)即时通讯监控能监控的聊天工具需要包括以下工具：MSN，SKYPE，YAHOO，QQ，TM，Fetion，UC，POPO，ICQ，RTX，LSC，ALI。记录以上聊天工具的即时通讯内容，记录的日志信息包括：聊天工具，计算机名称，本地账户，对方账户，开始时间，结束时间，聊天语句数；收发消息时间，发送者，接收者，消息内容等。即时通讯工具聊天内容的记录要求具有可选择性，可以设置记录或者不记录，也可以针对特定的聊天工具设置记录或不记录。备份通过聊天工具上传/发送的文件，及文件内容；设置备份上传/发送文件时，可以指定要备份文件的最大大小和最小大小，也可以不限制大小。通过文件名称、大小来限制通过即时通讯工具传送文件的权限。(13)资产管理 记录每台计算机的硬件和软件资产信息；可以设置查询条件，自定义要查看的项目。添加自定义资产信息并可以设置查询条件查询。实时查看安装了客户端的计算机补丁情况，并及时给未安装补丁的计算机打上补丁。查看计算机的系统漏洞信息、并提供解决漏洞问题的建议。向内网计算机自动分发安装程序并安装，自动分发各种文件到指定的目录下；或分发其它执行程序到目标计算机。(14)移动存储操作控制移动存储包括所有以接口的方式连接计算机的存储设备。自动将在内网使用过的移动存储设备信息加入到可供查看的移动存储类别库中，并可以对单个移动存储信息自定义添加备注信息；移动存储库可以自定义类别，并可将各移动存储设备移动到指定的类别库中。对内网计算机控制其对移动存储设备的读写权限。在指定计算机上使用指定移动存储设备时，往移动存储设备中复制移动文件时做自动加解密的控