桌面安全管理需求分析说明书1.1.doc

需求分析说明书 桌面安全管理项目需求规格说明书Version 1.0 目录1. 引言41.1 项目背景41.2 缩略语、定义42. 项目概述52.1 目标52.2 范围62.3 假定条件与约束限制92.4 影响性分析93. 系统运行环境103.1 硬件环境103.2 软件环境104. 功能需求114.1 打印管理114.2 终端安全管理124.3 客户端监控管理135. 待确认问题136. 工作量评估（实施阶段）151. 引言1.1 项目背景2014年公司搬入新楼办公后，打印输出实施集中打印管理模式。对终端计算机的管理，有效的保障了公司内网安全，同时控制了数据的流出和员工计算机软件使用行为，提高了员工的安全意识；对外设的管理，实现了安全输出、文件留痕、节约用纸，提高员工节能意识；对客户端监控的网络、服务器进行实时监控管理，实现对本部机房环境，公司本部和大区/分支机构网络、服务器设备故障、性能和网络数据的监控管理，达到了有效的预警管理。1.2 缩略语、定义打印管理是通过对打印行为进行监视和控制相结合的方式，完整且真实的记录打印信息，并提供丰富的Web日志和报表，让管理者对打印资源进行有效察看和管控，并结合用户打印配额管理，达到降低打印成本的效果；独特的打印内容监控和审核功能，更是杜绝打印泄密的有效保障。桌面管理系统核心目标是为企业级用户提供全面高效的计算机设备管理手段，监控企业内IT环境的变化，保障计算机设备正常运行，大幅度降低维护成本，帮助企业用户管理好计算机设备。客户端监控管理指对客户端网络、服务器设备的运行状况、性能、异常情况等进行监控和告警，及时通知管理员，避免或减少故障对设备和业务系统所产生的影响。2. 项目概述 2.1 目标2.1.1打印管理 实现打印实现安全输出； 实现打印内容监控审计； 实现打印量统计分析，报表输出； 提高员工节约意识；2.1.2终端安全管理 网络安全管理，实现网络接入控制、互联网访问行为、非法外联管理； 员工办公行为管理，避免软件的非法使用； 数据保护管理；2.1.3客户端监控管理 新楼机房环境监控（ups、温湿度）； 设备监控预警（公司本部和大区/分支机构网络设备及服务器监控）； 本部网络运行状态、数据流量、协议分析； 大区/分支机构网络运行状态、带宽监控2.2 范围2.2.1打印管理范围根据人员分布，公司新楼13个楼层需要打印机，其中有9个楼层有打印室。楼层是否有打印室1号楼2层有1号楼3层有1号楼4层无1号楼5层有2号楼3层无3号楼1层无3号楼2层有3号楼6层无4号楼2层有4号楼3层有4号楼4层有4号楼5层有4号楼7层有公司现有打印机信息如下：名称总计大型网络打印复印机-1-1网络打印机3（1台彩色）-2（彩色）-16一体机14185-28激光单机打印机122195350彩喷2-1-3针式打印机710350171总计353121615157注：打印机按实际使用人划分公司归属2.2.2终端安全管理范围（公司新楼预算500台）资产账名称小计A部26229-7-2-15-32235B部12351-15-1158C部11117-64-7-156总计49697-86-3-22-334492.2.3监控管理范围客户端监控范围包括：公司本部和大区/分支机构网络设备运行状况；域和防病毒服务器运行状况；本部局域网内个人计算机网络流量分析、协议分析、病毒诊断等；新楼机房环境监控。监控项目分类数量（台）监控内容新楼机房环境UPS4UPS故障、负载温度、湿度200平机房预警机房漏水200平机房预警新楼局域网数据包分析600台设备带宽、协议分析网络状态4条链路设备故障交换机设备55设备故障服务器设备8设备故障座席客户端电脑6设备故障座席IP电话6设备故障大区/分支机构网络状态9条设备故障交换机设备24设备故障服务器设备17设备故障注：已预留2个新设机构容量2.3 假定条件与约束限制打印管理需要先采购两台服务器，考虑大量打印文件副本需要上传到服务器中存放，会占用大量的网络带宽，因此服务器位置放置在公司新楼机房。终端安全管理和监控管理所需服务器由虚拟化服务器提供，网络准入控制客户端实施需搬至新楼后配合新楼网络才能实施。机房环境监控在机房布线需要协调机房施工。2.4 影响性分析打印管理项目分服务器端（含打印机安装读卡器）部署和客户端打印驱动安装两个阶段，服务器端部署阶段应在搬家前完成，客户端软件安装配置在搬家前开始实施，搬家前完成客户端驱动的安装配置，使用中的部分设备须搬至新楼后安装刷卡器，实现刷卡打印管理。3. 系统运行环境3.1 硬件环境项目名称内容数量要求位置打印管理服务器2容量不小于1TB新楼机房打印机读卡器1919台打印机新楼终端安全管理服务器5启明五站(虚拟化)TSM准入设备1客户端监控管理服务器3数据库容量不小于700GB启明五站(虚拟化)网络回溯分析系统（设备）1500点新楼机房3.2 软件环境项目名称监控软件许可数量备注打印管理打印管理软件2222台打印机加入打印管理终端安全管理网络准入模块500加密软件500软件集团提供Windows200844套Sqlserver200811套监控管理网络状态监控软件67服务器监控软件17Windows200833套Sqlserver 200811套机房环境监控机房200平机房环境、UPS故障监控4. 功能需求4.1 打印管理 功能一、安全输出员工可通过刷卡实现打印输出，可多次打印，1次输出 功能二、安装方便安装打印机驱动方便简单，员工自己可操作 功能三、报表统计能通过计算机登录账号或工作组（兼容公司现有域内用户和工作组）实现打印量统计，报表输出。 功能四、打印配额管理能对登录账户实现打印配额管理，限制打印张数。 打印文件回溯备查将打印的文件上传至服务器中，可随时根据用户查找到打印的文件，或根据文件查找到打印用户。 授权管理灵活授权管理灵活，将一卡通与域用户进行绑定，能授权或限制域用户的打印行为（例如禁止实习用户打印）。4.2 终端安全管理 网络接入实现准入控制对台式机（有线接入）、笔记本（无线接入）、智能手机（无线接入）实现接入管理，台式机和笔记本可根据自定义的准入要求（例如防病毒软件是否安装、是否加入域公司域管理、软件黑白名单、TSM软件）实现入网管理， 要求准入用户使用现有AD域用户验证，要有验证前区域、隔离区域、访客区域（对访客用户限定使用时间）、员工验证后域（可自定义多个区域），各区域无法实现网络访问。对于关键设备要求设有逃生功能。 上网行为控制管理能通过用户方式对互联网的访问行为进行监控和审计。 非法外联行为控制对验证后的计算机禁止使用拨号和3G网卡方式上网，避免管理漏洞。 员工软件行为管理对员工计算机的软件进行黑白名单管理，发现违规行为限制网络使用。 文件加密管理对计算机内的文档进行加密管理，对于文档的外发通过流程审批后进行解密。 邮件监控管理可监控所有通过Outlook、Foxmail发送，接收的邮件；可监控所有通过WEB页面上传的邮件，对邮件的收发内容进行监控和审计，对文件类型（附件进行解压检查）和关键字进行限制，进行延迟缓存，审计后才能发出，确保信息资产不外泄。4.3 客户端监控管理 机房环境监控机房温湿度、漏水，UPS故障预警。历史数据记录查询。 新楼网络流量监控通过对网络数据包的分析，展示出新楼局域网实时监控视图，包括实时数据， 趋势图和Top网段，Top主机；长时间并全面的记录所有网络数据，通过历史数据比对，可发现伪装、隐蔽性强的线索或异常。 新楼设备监控服务器故障/性能自动告警。性能数据历史查询。 大区/分支机构网络监控网络设备故障/性能自动告警。性能数据历史查询。 大区/分支机构设备监控网络设备故障/性能自动告警。性能数据历史查询。5. 待确认问题5.1打印管理方面 高管办公室是否取消打印机 搬入新楼后收回所有单机打印机（非网络连接打印），放置仓库，转移到区域使用 针式打印机不在打印范围内，通过usb连接的打印机无法管理。 公司有3台彩色喷墨打印机是usb连接方式，不满足打印管理要求。（建议取消喷墨打印机，给后勤保障中心、吉林大区（总部营业部）各配置1台彩色可实现打印管理的网络打印机，用于彩色打印） 除结算部等几个部门外，其他打印机一律放置打印机室，楼层无打印机室的打印机可放置在办公区。5.2终端安全方面 邮件审计需由办公室指定专人负责可疑邮件的审核工作 邮件监控规则由信息部与办公室共同确定 本次暂对公司新楼网络进行准入管理，管理和使用成熟之后对专线接入的区域实施网络准入管理 文件加密管理范围需要确定，是否包含分支机构 文件外发需要办公室确定审批流程 文件加密管理等待集团统一实施5.3监控项目 预警通过邮件、短信发送通知6. 工作量评估（实施阶段）打印管理项目说明工作量（人天）实施前相关硬件设备准备设备到场就位、完成设备上架上电、网络环境准备5服务器端管理软件实施根据实施方案，部署服务器端管理系统5客户端实施客户端安装安全代理软件和打印驱动（含安装读卡器）22共计32人天客户端监控项目说明工作量（人天）实施前相关环境准备机房准备机柜空间，确定存放环境位置，机房布线准备5设备安装布线根据方案机房环境监