索伊内部网络管理软件方案书.doc

软件建设方案书索伊内部网络管理软件方案书 一、内网安全面临的挑战随着计算机网络技术、Internet 、Intranet和数字通信技术飞速发展，信息网络技术的应用层次不断深入，应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展，如电子政务、电子商务、CIMS、知识管理、电子金融、社会保障、GIS系统等。大量的技术和业务机密存储在计算机和网络中，对网络安全性要求变得越来越高，需要有效地制定安全策略以保护机密数据信息。通常的安全策略的一个基本假设是：网络的一边即外部的所有人是不可信任的，另一边即内部的所有人是可信任的。通常认为黑客、病毒以及各种蠕虫的攻击大都来自外部的侵袭。但是，根据美国FBI的统计，各种计算机网络、存储数据遭受的攻击和破坏，80是内部人员所为。来自内部的数据失窃和破坏，远远高于外部黑客的攻击。企业内部竞争性情报信息是企业无形资产管理的重要部分。俗话说“知己知彼，百战不殆”，如何保护企业自身重要情报不被竞争对手窃取，使企业在使用网络来提高工作效率的同时避免企业重要的知识产权遭受侵害，将是文档安全管理的一个重要课题。传统的安全解决方案比如防火墙、入侵检测、防病毒在网络安全中起到非常重要的作用。由于现在网络边界的概念逐渐模糊，通过VPN、无线上网、远程拨号等方式连接到内部网络变得非常普遍，内网上各种信息滥用、误用、恶用行为增加，严重影响内网安全。对于以上安全问题，传统安全技术显得力不从心。 企业内部竞争性情报类型主要有： 企业的机密技术文件、产品研发资料 设计图稿 会计账目、财务报表资 战略计划书 外购竞标信息和供应链合作伙伴信息 重要研究成果 研究论文 市场营销策划资料 其他：如董事会、投融资等方面管理类资料，客户资料 据IDC统计，80%以上的安全威胁来自于内部，企业内网所面临的安全隐患主要表现在如下几个方面： 1. 补丁升级与病毒库更新不及时、蠕虫病毒利用漏洞传播危害大 2. 非法外联难以控制、内部重要机密信息泄露频繁发生 3. 移动电脑设备随意接入、网络边界安全形同虚设 4. 攻击方法日新月异，内部安全难以防范 5. 软硬件资产滥用、资产安全无法保障，网络故障频发6. 网络应用缺乏监控，网络滥用严重 7. 缺乏外设管理手段，数据泄密、病毒传播无法控制 8. 内部竞争情报和具有知识产权图档泄露严重9. 管理制度缺乏依据，无法取证，安全策略无法有效落实 二、企业需求分析2.1.企业信息安全管理背景市场竞争越来越表现为技术的竞争、知识的竞争和决策能力的竞争。以网络技术、计算机技术、电子信息技术为支撑的管理信息系统为企业提供了有力的支持。但是，不少商业企业已将企业信息化建设提到战略高度来看待，不惜投入重金进行管理信息系统的开发和建设。但从整体上来看，其建设效果多数未能达到企业所期望的目标和结果。因此，认真研究其原因，特别是对商业企业信息化建设过程中存在的各种阻碍性问题加以剖析和研究。我们必须认识到，管理信息系统是企业经营目标服务的应用系统，是企业管理的延伸和变革。企业信息化建设是企业全局性工作，关系到企业生产力的解放和经济效益的提高。因此，加强组织领导是实现信息化建设的保证。2.2.企业内网安全现状整体需求分析2.2.1.企业信息管理的可控性互联网给企业带来的好处简直太多了。然而开放的网络中充斥着各种与业务无关的信息，色情、暴力、反动等不健康内容随处可见，这些内容常常不请自来，通过邮件，BBS等，简直到了无孔不入的地步。有的员工视单位电脑如免费网吧，浏览不相干的网站、下载游戏、QQ聊天、看电影，甚至逐渐演变成为打发上班时间的主要活动。但是，企业的工作效率因而大大降低，不少企业管理者为此忧心忡忡。2004年美国财富杂志称：“没有控制的互联网是办公室里资源浪费最多的设置之一。”2.2.2.企业信息的保密随着现在企业与人才之间双向选择的推广,在企业规模的不断扩大的过程中,企业会经历不只一次的大的人事变动,以及数量频繁的小的人事流动,而在人员流动的过程中难免出现信息的泄露，比如:销售人员带走你的客户资源等,也不可能保证每个员工对你的都是忠诚的,通过公司的网络,公司的e-mail发走公司的机密信息,U盘软盘拷贝走公司的秘密资料,用公司的打印机打印敏感的文件,显而易见这会给公司造成很大的损失。2.2.3.管理的可靠性和安全性现今网络里的病毒,木马和各种攻击,入侵方式多的不计其数,它们对网络造成了极大的损失,特别是对我们这些现代化企业危害更为明显,只要我们的网络被病毒或者攻击等方式导致瘫痪,在信息化高度应用的今天，企业也会陷入瘫痪。.现在对于安全的考虑大多是事后解决,防火墙只能执行事先设定好的规则,而IDS的误报率很高,杀毒也只能是在病毒出现后给出解决,怎么样找出一个综合的解决方案。对于企业来讲，必须面对或希望解决这些的安全和管理问题，这也造成了企业对这方面产品的需求。三、雷速CIS5主要功能列表CIS5类别CIS5主要功能模块CIS5功能详细说明网络安全管理浏览网站审计记录上网信息，对客户端所登录的网站进行详细记录文件操作审计详细记录文件复制、粘贴、剪切、改名、删除等操作文件操作保护保护客户端文件，可设定访问、修改、改名或删除等文件操作权限打印内容审计对客户端打印的文件的名字和页数及其相关内容记录光驱管理禁止使用或允许使用“光驱”软驱管理禁止使用或允许使用“软驱”刻录机管理禁止使用或允许使用“刻录机”增加打印机管理禁止使用或允许使用“增加打印机”本地打印机管理禁止使用或允许使用“本地打印机”网络打印机管理禁止使用或允许使用“网络打印机”USB存储管理禁止使用或允许使用“USB存储设备” 如：U盘，智能手机，可细分为只读，只写或读写权限Modem管理禁止使用或允许使用“Modem” USB外设管理禁止使用或允许使用“USB外设” 如:扫描仪PCMCIA管理禁止使用或允许使用“PCMCIA” 红外线接口管理禁止使用或允许使用“红外线” 蓝牙设备管理禁止使用或允许使用“蓝牙设备” 1394设备管理禁止使用或允许使用“1394设备”COM端口管理禁止使用或允许使用“COM端口”禁止截屏禁止使用或允许使用“屏幕截取功能”新安装软件管理禁止使用或允许使用“新安装软件”新增加设备管理禁止使用或允许使用“新增加设备”屏幕属性管理禁止或允许使用“屏幕属性”控制面板管理禁止或允许使用“控制面板”任务管理器管理禁止或允许使用“任务管理器”设备管理器管理禁止或允许使用“设备管理器”网络行为管理实时进程管理终止客户端正在运行的程序进程，可批量终止进程实时服务管理远程查看系统服务管理列表，支持对各项服务的启用/禁用设置事件日志管理查看客户端windows日志，可维护锁定键盘/鼠标锁定客户端键盘/鼠标注销/重启/关机注销/重启/定时关机，可自定义关机时间程序黑白名单禁止或允许使用的应用软件，分时段控制，支持模糊关键字，如“QQ”每日应用程序报告统计每日应用程序（数据、饼图、柱图）网站黑白名单禁止或允许使用的应用软件，分时段控制, 支持模糊关键字，如“163”每日上网报告统计每日上网（数据、饼图、柱图）客户端程序保护强制客户端运行某程序,如”ERP客户端程序”注册表保护保护客户端的注册表，不允许修改，编辑上传管理禁止使用或允许使用“文件上传”下载管理禁止使用或允许使用“下载文件”上网时间管理可自定义客户端上网的时间，如：从8：00-12：00不能上网聊天内容和文件监控QQ/MSN/TM/RTX/SKYPE/贸易通/UC/雅虎通/淘宝旺旺等聊天内容和文件发送监控多屏监视同时监控多个客户端屏幕，一屏显示支持2X2,3X3,4X4,屏幕快照远程截取客户端即时屏幕屏幕录像远程实时监视屏幕并录像，可后台播放所有记录屏幕影像邮件监控监控客户端的邮件发送的正文、标题、收发件人以及附件加密解密管理自动加密根据客户端所对应的策略自动强制加密相应客户端文件手动加密解密文件对任何文件加密解密手动加密解密目录对任何目录加密解密移动指纹识别系统生成生成移动指纹识别系统，文件拷贝到本设备后，指纹相符的人可使用文件外网用户系统生成对脱离局域网的外网用户，如：合作伙伴、供应商等离线文件操作保护硬盘数据全加密加密客户端全部要加密的格式文件，不论老文件还是新文件灾难加密数据恢复解密客户端全部文件，灾难恢复（数据库崩溃，密钥丢失）网络维护管理远程网络配置对客户端进行远程网络配置，如：IP地址，网关，DNS,电脑名称等信息批量网络配置对所有计算机批量网络配置，如：IP地址，网关，DNS等信息网络属性管理禁止使用或允许修改IP地址，网关，DNS等信息拨号连接管理禁止使用或允许使用“拨号连接 非法外联”IE浏览器设置远程修改客户端IE设置，如：主页，安全级别等信息垃圾文件清理定时清理客户端垃圾文件网络共享资源管理管理客户端共享资源，可分类阻止共享任何文件夹远程调试远程调试客户端，可完全接管客户端的键盘，鼠标，屏幕Windows补丁管理（集成微软WSUS）补丁服务器设置详细设置补丁服务器下载参数，集成WSUS管理web界面补丁信息分类查询查询下载的所有各操作系统的补丁信息补丁自动分发设置自动给客户端分发补丁查询补丁安装信息查询客户端所有补丁安装信息IT资产管理硬件资产信息自动生成所有客户端计算机硬件资产 硬件资产信息查询多条件查询所有客户端的硬件信息软件资产信息自动生成所有客户端计算机软件安装信息 软件资产信息查询多条件查询所有客户端的软件安装信息 硬件资产维护可编辑硬件资产信息，增减字段，最后形成固定资产表格硬件资产维修管理可记录维修情况网络通信管理即时流量管理内、外网即时流量管理，超过设定峰值报警历史流量查询历史流量统计，内网输出，输入，外网输出，输入互联网流量管理互联网流量控制，可分配客户端带宽，如最大流量100K通信协议和端口管理协议和网络端口控制可阻断客户端的相关协议和端口入侵检测管理检测和防止非法机器接入内网，一旦接入，自动阻断网络工具管理远程文件分发集中、定时、不定时发送文件或安装程序远程文件管理可远程管理客户端硬盘上的所有文件，可拷贝，删除等操作端口扫描扫描客户端所有端口并可关闭端口终端杀毒软件管理对客户端安装杀毒软件的情况进行监控和管理，并能够对客户端杀毒软件实施远程操作（病毒查杀、升级、软件安装等）阻断客户端可远程强行阻断客户端的通讯，使完全从网络隔离网络拓补图网内拓补图生成实时报警管理客户端异常报警客户端异常、非法卸载等报警，可自动阻断、关机 启动 发通知信息流量异常报警对网络客户端流量进行监控报警，客户端输入或输出流量超过管理员设定阈值时报警，可自动阻断、关机 启动 发通知信息硬件信息变化报警客户端硬件信息变化报警，可自动阻断、关机 启动 发通知信息软件信息变化报警客户端软件信息变化报警，可自动阻断、关机 启动 发通知信息违规联网报警非法连接互联网报警，可自动阻断、关机 启动 发通知信息非法设备报警非法外来设备报警，可自动阻断、关机 启动 发通知信息IP/MAC绑定变化报警IP或MAC变化报警，可自动阻断、关机 启动 发通知信息电脑名称变化报警电脑名称发生变化报警，可自动阻断、关机 启动 发通知信息系统配置系统配置整个系统的基本配置，相关参数设置部门配置 根据单位组织结构,建立部门配置信息，包含部门密钥策略组管理自由定义客户端组策略加密图档格式定义软件预置大量常见格式，特殊格式可自定义加密策略定义以部门为单位定义要加密的图档格式浏览图档格式定义定义登录人员可浏览的图档格式加密解密管理组管理组人员可打开或解密下级文件数据库配置 SQL-SERVER2000数据库配置远程通知全网、分用户组和针对单独客户端发送消息客户端信息管理显示客户端基本配置信息 系统维护系统锁定离开机器，锁定控制台客户端卸载密码维护可修改卸载客户端密码远程卸载客户端在控制台上远程卸载客户端删除客户端信息在控制台上删除客户端信息控制台帐号设置控制台帐号管理以及权限设置客户端帐号设置客户端帐号删除以及密码修改，可控制不允许修改客户端帐号和密码 操作日志登录用户使用功能的记录，尤其是解密文件的日志四、雷速CIS5产品框架内网安全管理软件为了适应企业安全的需求，需要具备如下特性： 高质量：能够深度满足用户需求，同时能为客户快速定制； 低成本：模块化的管理软件系统结构，保证模块的重用特性； 易调整：提供柔性化配置接口，能够快速满足客户个性化应用的需要； 可集成：提供开发性应用框架和标准化接口，使企业内部各安全系统能方便的集成，例如，与杀毒软件，网络设备管理软件等系统的集成。为了满足上面提出的一系列企业信息安全的建设目标，在提供完善的内网安全系统的基础上，从业务逻辑、业务环境、安全应用、安全集成四个方面华软开创性地推出了新一代全面内网安全管控平台雷速CIS5。雷速CIS5是华软积聚6年安全行业的管理经验自主研发的新一代内网安全管控平台。雷速CIS5采用了典型的多层开放式体系架构(n-tier)，支持多种客户端设备和多种数据库、操作系统，支持基于internet 的调用与传输标准和分布式计算模型，有效解决了系统安全性、开放性和海量数据处理。五、雷速CIS5产品框架雷速CIS5基本系统由四个不同的组件组成：客户端组件、服务器组件、控制台组件、WSUS补丁服务器组件。用户可以根据具体需要将它们安装在局域网中的计算机上。客户端组件安装在每一台需要被监视的计算机上。服务器组件用来存储和管理所有安装客户端组件的计算机，用于管理监视所产生的相关数据，一般安装在一台具有大容量内存和硬盘的服务器计算机上。控制台组件主要用于监视每台安装有客户端组件的计算机及查看历史记录，一般安装在网管和管理人员的计算机上，也可以和服务器组件安装在同一台计算机上，WSUS组件主要是定时或不定时从微软网站下载windows、office等微软产品的所有补丁，根据分发策略向所有客户端组件安装补丁。客户端组件的基本功能包括：定时采集数据并保存定时将采集的数据传送到服务器执行服务器端和控制台的安全策略控制台组件的基本功能包括：实时获取受监视计算机的所有信息按需要，对单个或对一组目标机进行实时监视，并可以轮流显示多个目标机的屏幕制定全局或组安全策略和设置监视和控制规则查看并播放记录在服务器端的历史记录服务器组件的基本功能包括：定时搜索网络，管理所有已安装客户端组件的机器，并向客户端组件传递相关的设置和命令信息收集客户端组件的采集的数据，并将其保存到数据库中备份历史资料提供方便灵活的历史记录管理、归档、搜索、查看等功能WSUS服务器组件的基本功能包括：定时或不定时从微软网站下载windwos等微软产品的所有补丁可定义是否安装补丁、或检测、或批准、或撤销等状态根据分发策略向所有客户端安装补丁六、雷速CIS5运行环境安装客户端组件的计算机的基本要求： 操作系统Win2000/XP/2003/Vista 最低配置Pentium 赛扬 /128MB 内存/10G 可用硬盘空间 建议配置Pentium III 500/256MB 内存/20GMB 可用硬盘空间安装控制台组件的计算机的基本要求： 操作系统Win2000/XP/2003 /Vista 最低配置Pentium III 500/256MB 内存/10GB 可用硬盘空间 建议配置Pentium 3.0/512MB 内存/50GB 可用硬盘空间安装服务器端组件的计算机的基本要求： 操作系统Win2000/XP/2003/ Vista 最低配置Pentium III 500/256MB 内存/10GB 可用硬盘空间 建议配置Pentium 3.0/512MB 内存/50GB 可用硬盘空间安装WSUS服务器组件的计算机的基本要求： 操作系统Win2000/XP/2003/ Vista 最低配置Pentium III 500/256MB 内存/10GB 可用硬盘空间 建议配置Pentium 3.0/512MB 内存/50GB 可用硬盘空间注：建议服务器端组件和WSUS补丁服务器装在同一个机器上根据客户端数量规模建议服务器端计算机配置：网络规模建议配置50台以下512M内存，CPU 2.0以上，高档PC50-100台1G内存，CPU 2.0以上，高档PC100-200台1G内存，CPU 3.0以上，PC服务器200-500台2G内存，CPU 3.0以上，PC服务器500-1000台4G内存，双CPU，CPU 3.0以上，PC服务器1000台以上4G内存，双CPU，CPU 3.0以上，高档PC服务器注：1、以上仅为参考值，具体应用时会有相应变动，大型网络需要实地调研后确定。2、当上网PC较多时，PC服务器硬盘最好采用SCSI接口的高速硬盘。3、对要求7X24小时运行的网络，可以外接2个以上互联网出口和采用集群技术来实现。4、若客户同时安装WSUS补丁服务器，需适当增加服务器的配置七、索伊公司的需求模块及报价【软件部分】介绍单位数量单价价格优惠价格服务器端系统1.定时搜索网络，管理所有已安装代理程序的机器2.收集代理模块的采集的数据，并将其保存到数据库中3.并向代理模块传递相关的设置和命令信息4.提供方便灵活的历史记录管理、归档、搜索、查看等功能套180008000自己配置高性能PC，免费控制台系统1.实时获取受监视计算机的屏幕快照等信息2.按需要，对单个或对一组目标机进行实时监视3.制定全局或组安全策略和设置监视和控制规则4.查看并播放记录在服务器端的历史记录套1180001500015000客户端系统基础模块（必选模块）（C1）点120台10550%6300网络安全管理模块(C3)点120台17550%10500网络通信和网络工具管理(C6)点120台10550%6300小计￥38100【实施部分】产品报价的15%客户自行安装 公司远程协助 免费【服务部分】一年内免费软件服务，软件免费升级，一年后较大版本升级适当收费，费用不超过结算价格的10%86电话咨询、指导；对于电话支持解决不了的问题，提供远程协助支持或当地合作伙伴现场支持总计：RMB 38100元叁