内网管理deskmaster产品介绍

目录2019整理的各行业企管，经济，房产，策划，方案等工作范文，希望你用得上，不足之处请指正第一章 产品背景一、 内网安全面临的主要问题随着网络的普及，网络应用的多元化发展，网络安全问题越来越多的得到了人们的重视。而提到网络安全，人们自然就会想到防火墙、杀毒软件等。但实际情况是网络威胁不仅仅来源于网络外部，有相当一部分网络威胁来自于网络内部。常规的安全防御主要集中在网络边界，均属于被动防御，进行防御的设备主要是网络防火墙、安全网关等硬件设备，这些硬件设备多数都放置在机房，用来对网络入口进行防控。网络内部安全问题的暴露也让人们对内网安全有了新的认识，从计算机口令泄露、硬件资产流失、重要文件泄密、网络资源拥堵等现象出现，让人们对内网安全管理有了新的需求。政府机关和企事业单位的内部网络在管理上面临着以下一些常见的问题：1) 如何对内网中的计算机补丁进行管理并自动分发补丁2) 如何对内网中移动存储介质进行有效的管理3) 如何对内网中计算机接入网络进行管理4) 如何对内网中计算机非法联网进行管理5) 如何解决移动存储介质引起的病毒传播、信息泄露等问题6) 如何对内网中计算机进行统一的安全策略配置7) 如何对内网中计算机进行有效管理，保证设备运行情况正常8) 如何快捷便利的对内网中计算机进行远程点对点维护，提供远程协助9) 如何对内网中涉密信息进行保护10) 如何对内网中计算机上所安装的软件进行统一监控、管理11) 如何对内网中计算机外设接口的使用进行有效的管理12) 如何对计算机用户的行为进行有效的监控、管理这些内网计算机使用上的安全隐患，时刻威胁着内网网络的正常运行，内网涉密信息外泄也越来越严重。面对如上问题，DeskMaster内网终端安全综合管理系统提供了全面的解决方案。第二章 产品概述一、 产品简介DeskMaster内网安全综合管理系统是遵照国家信息安全与保密领域相关法规，集网管、监控、安全、加密等关键技术而构建的内网安全管控平台。通过对IT资产的动态监管、用户行为及信息内容的综合审计、多策略立体化的网络安全防护、统一的漏洞检测与补丁加载，从根本上提升企事业单位内部网络的安全管理水平。二、 产品系列我们从客户的内网安全需求点出发，结合国内外终端安全管理技术和发展趋势，对内网安全进行了深入的研究。将政府机关和企事业单位内部网络终端安全从资产和资源、调控和服务、安全和保密、审计和控制等方面做了全方面的保护，在DeskMaster内网安全综合管理系统中包含以下几个产品系列：解决了客户在网络管理中可能会遇到的问题。三、 功能特点DeskMaster内网安全综合管理系统通过对终端计算机的进程、模块、插件、驱动、软件、URL访问等信息进行采集，由管理员对采集的信息进行分类和安全级别鉴定并形成一套对上述信息运维和管理的库，我们称之为“知识库”。通过知识库的建立和管理，达到对用户管理的统一化、标准化、策略化。本系统针对客户端程序进行了特别优化，CPU和内存等资源的占用低，达到了国家对内网安全软件的相关要求，在管理员对客户端进行审计和管理的过程中，这些操作都不会对客户端产生特别大的性能上的影响。除上述特点之外，本套系统还支持异构复杂的网络环境，对不同类别、不同厂家、不同制式标准的IT设备均有很好的支持。对终端设备上不同的操作系统和网络应用也均可统一管理。与目前主流防火墙、杀毒软件均有良好的兼容性。系统选用集成式框架结构和模块化设计理念也为后期的升级改造和系统维护提供了支持。第三章 产品架构一、 产品部署本系统采用C/S和B/S混合模式架构，支持分布式部署，配置了中心服务器之后，客户端只要通过浏览器访问中心服务器即可完成系统部署。通过文件分发系统（第三方提供）更可方便的实现静默注册。二、 产品模块本系统对各个功能采用模块化方式设计，支持模块化软件定制，在保持了较高通用性的前提下，又实现了产品配置的多样化。模块化的设计降低了功能之间的耦合性，各个模块之间支持无缝功能扩展，又通过统一的策略管理平台，对各个模块进行管理，方便管理者操作。在满足用户需求的同时，又最大限度的对用户日后升级做了充足的准备。下图为统一策略管理平台界面图：三、 产品管理架构本系统支持局域网架构和广域网架构两种架构模式。局域网架构模式下，使用一套本系统即可满足管理上的需求。例如对于一个C类地址或者多个C类地址的局域网来说，通过配置一套系统即可实现集中式的管理模式。广域网架构模式应用于大规模的多个局域网或者跨地域广域网。例如基于国家、省市、区县的网络结构。本系统提供了多级级联模式的管理架构，用来满足上级对非本地局域网内的下级的管理。使用广域网架构模式需部署多级系统，在广域网架构模式下，上级可直接对下级终端进行管理，同时下级会将本级的统计和报警信息转发给上级管理系统，从而上级管理人员能对下级的网络状况完全掌握。四、 分权管理通过对管理用户权限的分立，使得管理用户在管理上进行了本质性的区分，实现了用户管理权限、策略权限、审计权限的分离，达到了用户权限“最小化”的目的，尽最大可能减小企业在管理中要承担的风险。通过对上述三权的分立，也使管理员的任务得到了分解，减少了管理员的任务量。第四章 解决方案介绍一、 接入管理系统(一) 内网终端接入管理的必要性网络接入控制管理系统可以对政府机关和企事业单位内网中的可管理的以及不可管理的终端进行保护。强制提升内网安全，保证了内网的保护机制不被破坏。通过内网接入管理系统实现了企业对内部人员随意接入内网的行为的控制，该方案可以方便快捷的部署至全网。对于网络硬件设备没有终端接入控制功能的单位来说，可以采用软接入控制的方式实现对内网随意接入的管理，而不需再投入大量的财力物力对原有的设备进行更换。对于网络硬件设备本身就支持接入控制功能的单位来说，结合本接入管理系统，对原有的接入进行方便的管控，大大提高工作效率，亦可实现高强度的接入认证体系。(二) 系统功能概述接入管理系统实现了对要接入内网计算机（笔记本和台式机）的管理和控制，通过内网接入认证系统达到了对非正式和非合法用户的限制。从第一步就对内网中的计算机进行彻底保护，只有通过内网接入认证系统的认证之后，才能作为合法用户和内网中的设备进行相应的通讯。首先，通过配置可以对非本单位的计算机进行网络访问的限制，即便单位中的非法用户接入了内网，如果限制了计算机的网络访问权限的话，那么非法用户所具有的潜在危害也将被限制。同时可以通过支持802.1x认证的网络硬件设备，从物理硬件上对网络访问接口进行访问限制。在内网接入的配置界面可以选择性的启动内网用户身份验证口令，这样就可以做到对内网计算机的确认，保证每一台内网用户都是通过管理者进行登记造册的。(三) 系统功能描述1) 辅助802.1x系统接入认证2) 未注册终端接入内网控制3) 非法外联等接入方式监控4) 可根据自定义终端策略对终端进行接入限制软接入控制流程图802.1x认证接入控制流程图二、 非法外联监控系统(一) 终端非法外联造成的危害随着网络的发展，各个单位（尤其是涉密单位）都会建立属于自己的内部网，内部网通过分级管理实现了对重要信息访问的防护。而随着无线网络设备的快速发展，3G网、无线网等各种“联网设备”的出现，以及人为的因素等，对内部网分级体系造成了严重的影响。往往一台内部专网电脑通过一块3G网卡就能对内部信息泄露产生巨大的破坏，这些非法外联的行为是防不胜防。(二) 系统功能概述非法外联监控系统实现了对终端设备是否联网行为的监控，对内部非法越级访问的行为进行监控，对于存在多网卡的设备网络访问进行控制。在非法外联监控系统中，可以将网络从管理上划分为允许访问的网络和违规访问的“外网”，而这里的“外网”需要制订一个标准，可以是传统意义上的互联网，也可以是密级不同的内部网，如果终端设备能够和上述标准中定义的网络联通的话，系统会自动对该非法外联的能力进行阻断，以防止非法外联行为的发生，做到防患于未然。对于确实需要移动办公的内网涉密设备来说，本系统支持在第一时间发现其违规联网的行为，并将该违规行为告知给管理员，也可以直接断开设备网络或关闭计算机。对于内网中合法的拥有多个IP地址的设备而言，防止其进行非法外联行为也及其必要，本系统可实现对多网卡设备进行监控，可以对终端使用IP的范围进行限制，当设备使用了非法IP的时候，会对非法IP产生的网络行为（http、ftp、email等等）进行审计，并可以禁用非法IP地址的使用，达到仅允许使用合法IP地址进行通讯的功能。除此之外，本系统可以检测到使用代理上网的行为，当发现终端使用代理上网的时候会自动将代理取消，并可以根据需要断开网络或者关闭终端计算机。(三) 系统功能描述1) 禁止非法连接外网2) 禁止同时连接内网和外网3) 禁止终端使用代理上网4) 对终端使用IP地址进行限制5) 对终端非法使用的IP地址进行行为审计和控制6) 能对不同级别内网之间通讯进行监控7) 可以限定内网终端IP使用范围，可以对非法IP审计和禁止(四) 非法外联监控系统的特点1) 判断非法外联无须等到外联行为发生，本系统判断其外联能力，做到防患于未然2) 对于需要外出办公的涉密设备可以在第一时间监控到其非法外联行为3) 能够指定多种形式的违规处罚：无提示、警告、断网、关机4) 所有管理制度支持离线状态，可以按照时间段来执行管理三、 内网安全管理系统(一) 当前内网安全管理所面临的问题随着计算机在日常工作中的广泛应用，在越来越多的单位、企业等机构中所暴露出来的问题也越来越多。在用户的日常工作中对计算机的使用上出现了以下几个方面的问题需要解决：1) 对计算机运行的程序进行审查和控制2) 确保计算机的系统安全：对恶意程序的运行进行管理和控制3) 对计算机外设等产品的管理和控制4) 对管理员用户提供一种高效的管理和协助一般用户的方法5) 保证内网中计算机的管理流畅，对相关网络设置进行控制6) 对网络攻击进行防护7) 提倡计算机高安全度的设置8) 对内网用户的共享文件进行管理(二) 系统功能概述内网安全管理系统提供了完整的一套解决方案，从桌面管理和安全防护等领域对网内的计算机进行安全管理。通过对终端桌面进行管理使得终端计算机从内部规范了计算机的使用安全，提高计算机的安全防护等级，又杜绝了来自于外部的非法攻击等。通过定义知识库，让系统管理员在管理和配置管理策略的时候变的异常简单。通过对内网中计算机上所运行的进程、服务、模块、插件、软件等信息的采集，IT管理者可以建立属于本企业的系统知识库，可对知识库进行级别划分，从而建立起一套适合本单位具体情况的配置策略。通过安全控制等配置，可以对终端系统中运行的进程、服务、模块、插件等进行详细鉴别，即便是同样的进程，如果感染了病毒、木马等也可以进行区分，别对受到感染的文件进行限制。(三) 系统功能描述1) 进程运行控制2) 系统服务控制3) 外设端口控制4) 系统文件分发管理（文件分发、软件部署）5) 终端点对点控制6) 远程协助：实现终端监控和终端协助7) 网络接口管理：IP、Mac、Dns绑定、网卡绑定8) 异常进程、模块、驱动、插件监控9) 网络防火墙：访问网络控制和Arp攻击防护10) 系统帐户安全控制(四) 内网安全管理系统的特点1) 管理员通过建立属于本单位的系统知识库对终端设备进行管理。知识库变更灵活，由中心服务器进行统一分发，不需要管理者一一对终端机器进行部署，节约管理者的时间2) 管理策略可灵活定制，从基本策略、时间和分配对象三个维度对内网用户进行管理。可以满足单位中对不同级别用户进行不同管理的需求，做到定制化管理3) 对单位内部恶意的对设备的盗取行为等进行监控4) 终端设备的实时监控，终端设备远程操控，实时对终端用户提供技术帮助5) 与DeskMaster系统其它平台进行无缝整合，轻松实现资产管理、补丁管理、主机行为审计等功能。四、 主机行为审计系统(一) 产品背景随着计算机技术的发展，它所展现出来的重要性也越来越多的在政府机关和企事业单位中得到体现。随之而来的问题是，如何能够有效的掌握内部人员工作期间在计算机上进行的操作、如何确定这些操作不违反内部规定。除此之外，不能对内部人员使用计算机造成影响也成为了IT管理者必须要解决的问题之一。主机行为审计系统就是因此而生的一套专门的针对用户使用计算机的行为进行审计和控制的系统。它解决了作为管理者无法有效对内部人员网络行为进行监管的问题。该系统设计依据了国家当前出台的相关法律法规，即保证了用户的隐私，也实现了对用户主机行为监管的目的。(二) 系统功能概述主机行为审计系统提供了完整的一套解决方案对内网中的计算机用户进行全方位的行为审计和管控，让管理员能在第一时间采集到所需要的信息，并对内网计算机用户的违规行为进行控制和管理。规范了以下几方面的行为：URL审计和控制、Email审计和控制、IM即时通讯审计、用户打印审计和控制、本地文件操作审计等方面。通过对内网中用户所访问的URL进行记录，生成本单位的URL知识库资源，管理者对URL库中的URL地址进行分级与分类，并以模板的形式分发给终端用户，结合灵活的配置选项，对内网中的URL资源进行管理。对邮件收取进行详尽的配置，非信任邮箱不允许使用。(三) 系统功能描述1) 对上网访问URL行为审计和控制：可配置自定义的URL黑白名单2) 对访问FTP行为审计和控制：可自定义审计和控制的文件类型3) 用户收取Email行为审计和控制：可自定义邮箱4) 打印文件行为审计和控制：可自定义文件后缀名进行审计和控制5) 访问共享文件审计6) 使用及时通讯工具审计(四) 主机行为审计系统的特点1) 用户行为审计策略化2) 用户行为控制定制化3) 管理灵活化：管理者可以对不同的人进行不同的行为管理4) 用户行为日志及时上报，客户端报警五、 移动存储介质管理系统(一) 使用移动存储介质所引发的问题移动存储介质，特别是U盘，因其携带方便，存储量大、价钱便宜等优点，作为数据交换的主要手段之一，已得到广泛的应用。但是随着移动存储介质的广泛使用，也暴露出来了很多的问题，例如，单位内部机密信息的泄露，可能由移动存储介质使用不当造成的。因此急需一套有效的移动存储介质管理系统来解决下述存在的问题：1) 涉密网（需要保密的网络）中的计算机使用普通移动存储介质2) 安全移动存储介质在普通计算机上使用3) 移动存储介质文件交换审计：包括普通和安全移动存储介质4) 对非本单位移动存储介质的控制5) 移动存储介质丢失后导致信息泄露6) 移动介质的使用信息无法追踪审计的问题7) 移动存储介质接入区域限制和控制问题8) 移动存储介质中携带病毒、木马等，并通过其传播，造成数据丢失的问题(二) 系统功能概述移动存储介质管理提供给用户一套完整的对移动存储介质的管理方案，用来解决由于移动存储介质的滥用和丢失以及移动存储介质携带病毒、木马所造成的机构内部数据泄露的问题。管理系统从移动存储介质的接入抓起，会自动对要接入的移动介质进行区分，可对不属于其内部的移动存储介质进行读写控制，而对属于该企业的移动介质进行相应的管理。除此之外详细的日志上报机制，可以保证移动介质的所有使用记录得到及时的上报，方便管理员的使用。通过移动存储介质管理系统，可以将最普通的移动存储介质转变给成可自动加密的安全移动存储介质，且强认证、多手段的管理方式，即可以保证移动存储介质转移信息的安全，又可以让企事业在安全移动存储介质费用上省下不少开支。(三) 系统功能描述1) 按照设备、IP范围、组织结构等方式对移动存储介质进行接入管理2) 移动存储介质数据读写控制3) 移动存储介质标签认证管理4) 移动存储介质分区管理5) 文件存储透明加密，防止信息外泄6) 移动存储介质使用变更管理7) 移动存储介质数据读写审计：文件的创建、复制、删除、修改和重命名等操作8) 移动存储介质使用审计：对移动介质的挂载、注销进行记录9) 数据交换中间机，严格对内网中数据交换进行管理（内网信息交换须经过中间机进行，可对中间机进行严格的审计策略）10) 针对外来普通移动介质进行管理，对外来普通介质的使用进行控制(四) 移动存储介质管理系统的特点1) 灵活性的配置，便捷的安全移动存储制作流程2) 可进行“机盘绑定”，实现单位内部“专盘专机专用”3) 透明加密技术防止意外情况导致的数据泄密4) 对移动存储介质的访问进行严格控制，防止病毒对移动存储介质的危害5) 完善的日志上报机制，不论移动存储介质在单位内网使用，还是在单位外部使用，都可以将对移动存储介质的操作记录进行记录(五) 移动介质管理流程移动介质管理的流程，如下图所示：(六) 安全移动介质的种类安全移动介质按照标签进行制作。标签分为三个等级，可满足不同安全等级要求。可分别制作不同部门的不同等级的标签，按照策略对标签进行管理。(七) 中间机的好处通过在内网中设置中间机，可以将所有的外部信息的来源都限制在中间机上，这样一来就保证了流入流出的数据的安全性和保密性要求。中间机机器会在内网和外网信息的交换中起到很大的作用。六、 补丁管理系统(一) 系统补丁升级会遇到的问题在电脑技术高速发展的今天，病毒和木马频繁爆发，操作系统的安全问题时刻困扰着每一位电脑终端用户，安装补丁已经成为计算机用户的“家常便饭”。而对于各个单位、公司、政府等机构的管理员而言，在补丁安装的时候普遍都会遇到以下几个问题：1) 计算机是否能够统一及时的安装系统补丁，特别针对普通电脑用户和电脑知识水平不太高的用户的计算机如何能够及时正确的安装上系统补丁2) 如何确认计算机所应该安装的补丁3) 安装补丁后系统或应用程序不兼容而导致系统瘫痪4) 网络维护人员对计算机安装补丁，此工作量大时长且容易出错5) 网络物理隔离的用户必须通过其它方式将补丁从外网拷入，增加了信息泄露和病毒传入的可能，且在安装的时候要根据不同系统核对相应补丁版本6) 计算机通过都通过外网下载补丁造成网络资源消耗过大(二) 系统功能概述补丁管理系统提供了Windows全系列的安全补丁，特别针对于没有外网环境的企事业单位做了升级优化。减少了终端用户使用Windows自带的Update功能占用带宽的问题，同时对Windows补丁进行过滤，对不利于企业使用的补丁进行剔除。除此之外，提供了对终端补丁安装情况的补丁统计和安全分析，以图表的形式直接展现了当前内网中终端补丁的安全情况，方便管理员对终端进行维护，做到及时发现问题及时解决问题。(三) 系统功能描述1) 通过互联网自动获取最新补丁2) 补丁库增量更新，补丁文件增量导入3) 终端计算机所需补丁自动探测和自动安装4) 指定特殊补丁进行专门探测和安装：针对于特殊的补丁，可以配置区别于其它补丁的执行策略5) 灵活的对象分配方式：可按照计算机分配、IP范围分配、组织结构分配等。6) 计算机补丁安装情况汇总统计7) 动态评估全网终端安全指数：通过对整体终端补丁安装情况的统计，确定当前内网终端的安全级别补丁管理系统设计理念补丁探测逻辑实现流程图(四) 补丁管理系统的特点1) 支持基于策略和目标的补丁分发：可以将补丁只发给指定的用户群2) 补丁可用性测试减少了对系统中应用程序的影响。一些不稳定的补丁程序会在大范围安装前进行测试，好做到及时屏蔽3) 自动智能检测、下载和安装补丁4) 提供补丁导入功能，给没有外网环境的企事业单位提供可靠的系统升级方式5) 提供了终端补丁更新状态的详细报表，并对内网中的计算机的补丁安装情况进行详细统计和分析七、 资产管理系统(一) 产品背景目前政府机关、教育、军队、公安、保密部门、科研机构、金融及证券和企事业等单位中的网络已有了一定的规模，网络中存在着大量的计算机，如何进行终端设备的资产管理，是管理者首先面临的问题。管理者希望准确了解所有终端设备的硬件配置以及软件信息，及时掌握资产的变化。当管理者需要统一升级和部署操作系统或应用系统时，希望能够提供资产状况报告，为升级和部署费用提供