《长沙市国土局》word版.doc

长沙市国土局桌面管理方案一、总体要求：规范性：系统应符合政府行业关于网络安全管理的相关规定以及政府行业安全 管理的特点及应用经验。灵活性：系统应为模块化设计，多层的体系架构，具备良好的灵活性。易用性：系统应具备友好的全中文图形化界面，且提供智能化的全中文安装及配置向导，轻松实现软件安装、配置及使用。可靠性：系统应采用模块化，可容错的设计，对大网络采用多服务器并行处理的工作方式，对写操作采用了加锁控制，同时支持事务处理，从而保证数据的一致性。扩展性：系统应具备良好的扩展性，包括网络管理规模的扩展以及系统功能的扩展。安全性：系统应具备良好的安全性。保证数据不被非法盗用和修改，保证数据的一致性；对非法登陆或系统故障等能采取多种检查和处理手段。高效性：系统应支持高性能的后台数据库，如：Sql Server等；同时对于大规模网络，应具备较高的运行效率。稳定性：系统应具备良好的系统稳定性，同时能允许操作人员的某些误操作。二、功能要求围绕保障国土局内部的网络、系统和资源的运行安全和信息安全，内网安全桌面管理系统应具有配置属性管理、安全管理、设备管理、资产管理、远程维护、软件分发、漏洞检查、补丁管理、系统管理等功能，并能够稳定、可靠、安全、高效运行。具体技术要求如下：1、配置属性管理：能够对于客户端的基本配置属性进行策略控制，防止非管理人员随意修改网络或计算机属性和配置等，给网络管理人员带来不必要的麻烦，包括：禁止或允许控制面板的使用、任务管理与注册表编辑、命今行及注册表下的RUN、修改网络属性、任何默认网络共享，网络共享等的操作，并提供客户端基本事件日志，详细记录客户端PC开机、关机的时间，以及用户登录、登出时间。2、文档操作：可以详细的记录每个员工在本机及网络上操作过的文件，包括创建、访问、复制、移动、重命名、修改、删除、修复、上传/发送及下载/接收等操作，让泄密行为的痕迹得到监控，为泄密行为的事中发现，事后追查提供了帮助，弥补了电子文档安全管理中的最薄弱环节；可以在指定的时间，禁止对指定文档的操作。操作类型包含：创建、复制、移动、删除、重命名、修改、恢复及访问，可以防止非法从电脑硬盘等其它存储设备中拷贝、删除、移动、重命名、恢复等操作，可以有效的管理国土局内部机密文档；可以设置文档备份策略，在员工对指定文档操作时自动备份，当国土局内部的机密文档被修改、复制、删除、访问等操作后，在服务器上会有相应的备分内容，减少和预防机密文件被修改造成的损失。3、安全管理：提供IP地址与MAC地址绑定功能，禁止用户私自修改IP地址，及时发现网络内是否有非法计算机接入，阻止非法计算机接入网络，以达到入侵检测，控制非法外联的目的，从而保障内网的安全； 同时提供文档安全的管理，包括：文档详细的操作记录、对于文档操作的细粒控制以及重要文档的备份等，增强局内部重要文档的安全管理；对于重点关注的设备，提供屏幕快照和记录屏幕历史功能，方便管理者进行非法网络行为的巡视和事后追查评估。4、设备管理：能管理控制（使用或禁用）所有计算机外挂设备，包括：驱动类设备，比如软驱、光驱、刻录机、磁带机、可移动设备（U盘、移动硬盘、记忆棒、智能卡、MO、Zip）等；通讯类设备，比如串口、并口、USB 控制器和连接器(HUB)、SCSI接口、1394控制器、红外线、PCMICA卡、蓝牙设备、MODEM等；USB类相关设备，比如USB 键盘、USB 鼠标、USB Modem、USB 映像设备、USB CDROM、USB 存储、USB 硬盘、USB 网卡、USB 其他设备等以及诸如声音设备、无线网卡、PnP网卡（USB、PCMICA）、虚拟光驱、虚拟网卡等其他类设备。同时提供能够禁止用户安装未经管理员认可的任何新设备的控制策略。5、资产管理：能够收集所辖的计算机软硬件资源，如客户端的计算机的BIOS参数内容、CPU类型、内存数量、系统信息、操作系统版本、已安装的软件等；同时支持资产的查询和统计，并提供资产变更的查询和审计，方便管理员了解和监控单位内部计算机的软硬件等信息，为故障排除提供依据，为软硬件的安全管理提供支持。6、远程维护：可以远程帮助客户端进行异地操作和检查系统问题；包括：远程开/关机、远程传输文件、远程重启、远程执行，远程地对客户端操作和对客户端的进程、服务进行管理等，系统所有操作需要留下日志记录以便将来审计。7、软件分发：支持多种软件分发格式，包括：程序生成安装包、多文件MSI安装包、独立软件安装包，软件分发过程不受客户端用户权限限制。对于需要紧急分发的软件包，可以采用推送的方式进行分发。8、漏洞检查：可针对Windows系统的多语言版本，包括简体中文、繁体中文、英文等进行漏洞扫描和检查，并自动对漏洞进行组织和分类，管理员可以根据需要编写自定义漏洞对客户端进行评估和修补。9、补丁管理：可自动的与已知漏洞的标准数据库对比评估当前状态并定位和向每台存在漏洞的客户端分发合适的补丁，基于策略的管理能够自动地识别、下载、定位和安装补丁以及基于规则的实现主动的补丁管理，对于严重的补丁可以采用推送的方式在第一时间分发补丁，补丁安装不受客户端用户权限限制。10、系统管理：对客户端既能集中管理，又可分级、分组、分用户管理，支持对管理员的分级分权管理，并支持多管理员同时在线操作；服务器、客户端和控制台之间应能加密传输信息；必须保证客户机端主机代理程序的安全性；统一管理策略，可以灵活制定策略触发条件，并可根据时间段和时间点定制策略触发。三、 灵活的、详细的系统设置功能菜单程序功能管理作用日志选项可以选择启动和关闭程序记录、用户登录和注销、拨号、邮件、即时通讯、访问网站的网址、窗口变化时记录标题、记录文档操作、记录打印文档操作（包括网络打印机的打印或其它用户的打印）软硬件变更记录等是否进行记录。方便管理者进行个性化日志信息是否需要记录的设置。远程控制可以选择是否可以对该组或该台计算机进行远程控制和远程文件传送，并且可以选择远程控制确认方式。方便系统管理员设置远程控制的权限和远程控制是否需要对方确认。数据库可以方便的进行数据轮询收集时间间隔设置，以及应用程序列表、进程列表、性能列表的跟踪时间间隔。为系统管理员进行数据库的数据管理提供管理界面，设立日志信息的显示界面。搜索代理范围可以添加多个跟服务器不在同一个网段的计算机。方便的将多网段纳入管理，实现跨网段的计算机进行集中管理。用户管理可以方便的添加、删除用户，为用户灵活的分配相应的管理权限。方便管理部门为不同的管理者分配使用控制台的权限。卸载代理模块通过控制台删除网内任意被监控计算机的客户端程序。由于客户端程序不能通过添加或删除程序进行卸载，不能在进程中停止，也无法通过删除注册表信息停止程序运行，通过此操作来删除客户端。审计员管理可以查看所有管理员和审计员的操作日志列表，包括控制台登录情况、管理员操作日志、管理员和审计员的账号和权限设置。便于客户对管理员的管理，可以用于审查因管理人员有意或无意的操作导致的泄密操作实时报警可以设定是否在控制端弹出报警信息，以及设置弹出报警信息的条件方便客户筛选报警信息，有选择的查看报警信息新建组可以新建、修改、删除组。方便管理者对计算机进行分组监控和策略设置，同时方便管理者按组为控制台用户分配权限。移动到组可以选择性的将某组或某台计算机移动到不同的组中。方便将计算机按不同的组进行管理。查找可以按计算机名称、用户、IP地址来定位到某台计算机进行管理。在控制台管理的用户较多的情况下，可以方便的快速找到需要监控和查看的计算机。导出可以将控制台见到的所有日志信息以Excel、Html和TXT格式进行导出。为管理者提供非常丰富的、自由组合的报表。应用程序分类可以预先定义应用程序类别，将从客户端上收集到的应用程序信息进行分类，便于管理人员查询和统计应用程序报告，并提供丰富的报表网站分类可以预先定义网站类别，并手工添加网站类别库和网站识别便于管理人员查询和统计网站报告，并提供丰富的报表。时间类型分类可以自定义时间类型，例如定义工作时间为从几点到几点。方便管理人员在设置策略的时候直接调用策略生效时间段，让管理人员更加方便快捷地设置策略。网络地址分类可以自定义网络地址类型，根据需要划分IP地址段。方便管理人员在设置策略的时候直接调用IP地址段，让管理人员更加方便快捷地设置策略。网络端口分类可以自定义网络端口类型，根据需要划分端口范围。方便管理人员在设置策略时之间调用端口范围，让管理人员更加方便快捷地设置策略。报警信息可以查询所有策略触发的报警日志方便管理人员事后查询报警日志，了解具体发生的情况硬件资产变更可以查看所有的硬件变更情况，包含变更时间、变更资产、变更描述。可以按变更时间、硬件设别类型查询方便管理人员查询硬件资产变更信息，了解硬件变更情况，能够更好的管理公司的硬件资产。软件资产变更可以查看所有的软件安装和卸载情况，包含软件安装卸载时间、软件名称、变更描述、可以按变更时间、软件名称查询 方便管理人员查询软件资产变更信息，了解软件安装卸载情况，能够更好的管理公司的软件资产四、具有较高的系统性能功能菜单功能管理作用系统安全性具有详细的系统登录日志信息记录。系统的安全性是保障。监控平台与客户机之间的通信经过必要的加密措施。监控平台具有管理员帐号管理功能。控制台分级、分组、分权限管理。独特的服务器、代理及控制台之间的认证功能，工作站只向经过认证的服务器响应，从而有效防止非法服务器窃取系统资料。电子邮件报告内容加密。对备份数据进行加密。高性能的系统支持高性能的后台数据库，如：Sql Server。为系统的高效、稳定的运行提供强力支持。高性能的数据压缩和数据传输，降低数据的大小及数据传输的时间。提供自动备份功能，支持多种备份装置(如磁带机，如磁带机，CDRW，DVDRW，网络驱动器)。具有快速的客户机并发轮询机制。允许用户通过互联网的方式连接到异地的局域网中，实时管理和查看异地的计算机使用。客户端占用CPU资源平均： 1%，峰值：5%；占用内存资源平均： 2.5MB，峰值： 5MB。100台计算机在记录间隔为1分钟，工作8小时，在100M的网络带宽中占有的网络带宽是0.27%，屏幕数据是0.66G，日志数据量是5M。五、科学的、合理的系统架构代理模块的基本功能包括：w 定时采集数据并保存w 定时将采集的数据传送到服务器w 响应控制台发出的监视请求,传送实时的屏幕快照信息服务器模块的基本功能包括：w 定时搜索网络，管理所有已安装代理程序的机器，并向代理模块传递相关的设置和命令信息w 收集代理模块的采集的数据，并将其保存到数据库中w 备份历史资料w 提供方便灵活的历史记录管理、归档、搜索、查看等功能w 根据用户的需要可以将系统运行的状态和报告通过邮件发给远程的用户控制台模块的基本功能包括：w 实时获取受监视计算机的屏幕快照等信息w 按需要，对单个或对一组目标机进行实时监视，并可以轮流显示多个目标机的屏幕快照w 设置监视和控制规则w 查看并播放记录在服务器端的历史记录w 查询特定机器特定时刻的历史记录远程管理模块：Viacontrol的远程管理部分包括远程交换机模块和远程控制模块。远程交换机模块负责建立并保持远程的控制台程序与局域网上的服务器的通信。而远程控制模块允许远程的用户象本地的控制台模块一样管理远程局域网上的工作站。其运行框架的框架如下图所示：六、较低的系统环境要求代理模块基本要求：w 操作系统 Win95 OSR2/98/ME/NT/2000/XPw 最低配置 Pentium 166/64MB 内存/10MB可用硬盘空间w 建议配置 Pentium 500/128MB内存/100MB可用硬盘空间安装服务器模块的计算机的基本要求：w 操作系统 Win95 OSR2/98/ME/NT/2000/XPw 最低配置 Pentium III 500/128MB内存/10GB可用硬盘空间w 建议配置 Pentium III 1G/256MB内存/50GB可用硬盘空间安装控制台的计算机的基本要求：w 操作系统 Win95 OSR2/98/ME/NT/2000/XPw 最低配置 Pentium 166/64MB内存/10MB可用硬盘空间w 建议配置 Pentium III 500/128MB内存/100MB可用硬盘空间安装远程交换机的计算机的基本要求：w 操作系统 Win95 OSR2/98/ME/NT/2000/XPw 最低配置 Pentium 166 /64MB内存/10MB可用硬盘空间w 建议配置 Pentium III 500/128MB内存/100MB可用硬盘空间七、完备的产品证书及相关证明软件著作权登记证书（编号：2005SR04330）软件产品登记证书（编号：沪DGY20050074）公安部销售许可证书（编号：XKC30577）软件企业认定证书（编号：沪 R-2005-0100）公安部测试报告书（报告时间：2004年7月30日）上海市软件评测中心评