圣安终端管理系统(SasunCMS)技术白皮书

1、G圣殳科技圣安终端管理系统技术白皮书圣安终端管理系统技术白皮书至支科技上海圣安信息工程有限公司版权声明上海圣安信息工程有限公司（以下简称圣安公司）拥有本文档（包括所涉及的主 题）的专利、专利申请、商标、版权及其他知识产权。圣安公司授予您阅读本文 档的权利；但是，除非有圣安明确提供的书面特许协议， 本文档的提供并不 意味 着授予您相关专利、商标、版权或其他任何知识产权的特许。复制与传播遵守所有生效的版权法是用户的责任。在未经圣安公司明确书面许 可的情况下，不得对本文档的任何部分进行复制（备份目的除外），不得将其保 存于或引进到公开的检索系统中，不得以任何形式和任何方式（电子、影印、录 制、机械或

2、其他任何此处未指明的方式）进行传播或用于任何目的。示例如果本文档有示例部分，则在示例部分中所描述的公司、组织、产品、人 及事件均属虚构，与真实的公司、组织、产品、人及事件无任何关系。变更 本文档的参考资料中所提及的包括Web站点、In ternet资源、第三方的技 术标准与规范等在内的信息，如在本文档交付后有变更，恕不另行通知。版权所有者？版权所有 上海圣安信息工程有限公司（ShangHai Sasun S&T Co.,Ltd.），2020。地址： 上海市中山南二路 777弄1号楼1603室（200230）。所有权利均予保留。商标SASUN、GAP和/或其他本文档中提及的圣安产品，是圣

3、安科技的商标或 注册商标。本文档所提到的真实的公司和产品的名称可能是其各自所有者的商 标。联系人 如有任何疑问或问题，请与 adminSasun.ne联系。未经本使用规定明确授予的任何权利均予保留#G荃殳科技圣安终端管理系统技术白皮书4公司简介客户端终端管理的现状和需求“圣安终端管理系统”介绍2.3.桌'面终端管理系统”系统特点圣安终端管理系统功能简介:3.13.23.33.43.53.63.73.83.93.103.113.123.143.153.16USB设备监控和管理功能 网络行为管理记录功能. 网络设置管理功能 接入管理控制功能 违规外联管理控制功能. 打印管理控制功能 消息管

4、理功能 未安装管理功能 资产管理功能模块 连接网络进程管理 防ARP欺骗功能 目录只读/隐藏功能 远程桌面连接功能 系统设置模块 系统日志模块14161717181819192020212121224“圣安终端管理系统”在网络中的典型部署方案235.支持的操作系统:233G荃殳科技圣安终端管理系统技术白皮书7公司简介上海圣安信息工程有限公司成立于 2001年9月，公司主要的业务是致力于计算机网络、通信等高科技领域的产品开发及市场开拓，主要经营产品有终端管 理系统(Sasun-CMS)、计算机终端综合管理平台、入侵检测系统(Sasun-IDS)、 公文流转系统、电子邮件系统、视讯管理及点播系统，

5、并提供完整的用户解决方 案和专业的售后服务。圣安科技依靠自身强大的技术、研发实力以及完善的服务体系，在众多网络 安全产品厂商中脱颖而出，在较短的时间内已成为国内网络安全厂商中发展较快 的领先者。目前圣安科技的产品已广泛应用于政府、军队、电信、金融、医疗等领域, 得到广大用户的一致好评。随着圣安科技的迅速发展，现已在全国各地建立近 20家分销渠道，用户遍布全国10余个省市自治区。圣安科技拥有国内一流的网络安全产品线体系， 主要网络安全产品全部获得 了计算机信息系统安全专用产品销售许可证、国家信息安全产品测评认证证98%书；此外，其核心安全产品还通过了国家保密局技术鉴定。圣安科技拥有一支强大的员工

6、队伍，本科以上学历占公司员工总数的以上。在经营管理上，积极利用股东资源，引入先进的企业管理制度和市场营销 模式，确保了公司的长远发展。在技术开发上，圣安科技依托多年网络安全研究 的技术积淀，汇聚了一大批专门从事网络安全研究并拥有丰富软件开发经验的技 术人员，通过不断的实践和积极的探索，积累了大量的实战经验和极为宝贵的安 全数据，这些，已成为圣安科技重要的无形资产。 依托长年的专业积累将不断对 产品与服务进行升级和完善，圣安科技的软件产品将始终在国内保持领先地位。圣安科技将继续坚持“以领先的技术、专业化的服务为客户提供计算机系统 安全产品、服务及整体解决方案”的经营宗旨，以打造优秀的网络技术安全

7、民族 企业为已任，以不懈努力，不断创新，开发具有更高安全性能和品质的网络安全 产品，提供更及时更有效的安全保障服务，为我国的信息化建设保驾护航。1客户端终端管理的现状和需求随着网络办公应用的广泛使用和蓬勃发展， 计算机网络已经成为生活和办公 中不可缺少的部分。尤其在政府和高技术企业的办公网络中越来越多地出现了内 部重要信息和机密资料地流转，这些重要的资料往往采用电子文档的形式存在。这些信息和资料的安全性成为了办公网络中计算机终端维护管理的核心安全问 题。目前网络管理员在计算机终端维护管理工作中，经常碰到以下几个令人头痛 的问题:怎样在有限的预算内快速有效的搭建统一的终端综合管理平台，且可根据网

8、络管理中碰到的实际问题随时进行升级? 如何防止和记录且能准确追踪到内部网络的信息和机密资料可能存在的非法拷贝和泄露？若一旦出现泄密事件是否存在可追查依据?USB设备使用已经越来越普遍，网络中是否存在不应该接入的 USB设备？如:USB蓝牙、USB无线网卡 ? 网络中是否存在外来的U盘插入? 网络中是否存在私自接入互联网的现象? U盘目前已经变得非常廉价使用也非常普遍，一旦遗失损失不大；但若 U盘中的重要数据一起被遗失，该数据存在被人利用的风险，是否存在技术措施最大限度避免该风险出现?网络管理人员往往非常头痛网络中经常出现的 ARP 病毒的传播和发作，导致网络访问不顺畅甚至造成网络瘫痪；能否采用

9、合适的技术手段加以防范? 如何轻松简便的对网内计算机终端进行上网行为的管理，例如对网内计算机终端的访问端口、目的地址、上网应用程序、域名访问进行控制等 ? 随着网内计算机终端的增多，如何有效防止并快速定位用户下私自修改自己网内的IP地址，造成网内IP地址冲突?U盘中怎样控制日益增多的局域网内突发性的病毒木马的大面积感染？如:经常隐藏出现AutoRun病毒等。? 打印机已经是现代办公的必备设备，但网络中是否存在打印资源被滥用的情况？? 如何能够摆脱古老的资产人工登记、 核对方式，利用技术手段自动的对全网内的计算机终端进行资产统计管理、 资产变化监控以及报表自动生成工作? 网络中是否存在未经允许接

10、入的计算机?以上这些问题，成为了网络管理人员的一个重要工作任务， 也是日常工作是 实际碰到的问题。因此，需要一种能解决以上问题的软件产品， 来保障这些维护 工作方便有效的正常运行成为了日常维护工作中的重中之重。为了保证核心网络的安全性防止泄密事件的发生， 很多单位都已将核心网络（或称内网等）与外部网络从物理上进行了隔离，这种方式从很大程度上能保证 网络的安全性，以及内部资料和内部重要信息的安全性。但这种已经通过物理与外界隔离了的网络中仍然不断出现了病毒的传播和资料泄密的事件发生。这种现 象只能有一种解释：问题出在内部。出现这种现象主要有以下几种方式： 内部人员将外部的病毒或木马程序通过存储设备

11、（如：USB设备、带存储功能的手机、 私自外接的硬盘等）有意或无意地带入了内部网络的电脑中； 并通过网络将这些 病毒或木马程序传播开来。或者内部人员主动将内部重要资料或者通过入侵内部 网络中的电脑系统，并将这些重要资料通过这些移动存储设备带出。 由于技术措施的缺乏，导致这些事件无从追查。据统计约有50%的用户会利用U盘中存储 重要数据。若U盘无意中遗失，可能导致 U盘中的重要数据被人利用，导致发 生泄密事件（该类案例已经发生过很多次）。由于USB接口的使用简单方便，已 导致各种USB设备不断涌现；如：USB蓝牙设备、USB无线设备、带无线功能 的手机等,虽然很多重要网络已经采取了从物理上与互联

12、网隔离的办法保证 网络安全。但这些设备的出现，却给这些从物理上与互联网隔离的网络带来了空 前挑战。网络中的某些用户在有意或无意中的使用又可能导致整个网络与互联网 相连接，出现重大网络安全隐患。很多大型办公网络从地理上分布较为分散， 各个分布点的计算机经常出现故 障,且绝大多数故障原因却是很简单的原因或只是因为用户操作不当导致。网络管理人员整天奔波于各个故障点去处理这些很简单的问题，工作量大，且效率低下，网络管理人员往往希望能通过远程连接解决这些简单的问题，用以提高工作 效率、减轻工作负荷。通过以上对现状和需求的分析；网络管理部门希望通过技术手段来保障终端 设备的基本安全、能记录所有对外部存储设

13、备拷贝的动作、能对终端安全软件进 行集中管理和配置、Arp欺骗防护、远程管理、网络接入管理等网络管理中实用的功能以及能集中分析所有产生的记录日志的综合安全管理平台。由圣安公司自 主开发的“终端管理系统”综合安全管理系统能很好地满足以上需求和愿望。2 “圣安终端管理系统”介绍“圣安终端管理系统” (Sasun-CMS)是圣安信息工程有限公司自主开发的计算机终端综合管理系统，为方便部署及管理，本系统应使用Cli net + Server +Browse( C + S + B)模式实现。规则策略通过服务器(控制台)分组定制下发。该产品能够极大地方便网络管理人员最终用户实时地掌握，局域网内所有计算机终

14、端的工作状态。集个人防火墙、主机监控与审计、USB设备使用控制/加密/ 注册/分发管理、上网行为控制、进程管理、软件更新、资产管理等功能为一身的桌面PC集中管理软件。系统管理员只需要通过访问集中管理控制台的WEB 网页，即可实现对网内的所有桌面 PC进行上述功能的分组管理、 根据不同组的 性质实施集中策略定制、分发、管理及查询。能有效提高计算机终端综合应用安 全高效管理的保障工作。“圣安终端管理系统”，通过集中管理，策略统一定制下发。提供安全、易 用、有效的安全管理的解决方案。该系统以计算机终端的可管理性、安全性及数 据的安全性为设计原则，紧扣日常网络管理中碰到的问题和网络安全管理需求,针对网

15、络数据及移动存储设备的数据流动中各个环节潜在的安全隐患，综合运用 各种安全技术和手段，进行有效全程防护和管理的产品。6荃支朮"技圣安终端管理系统技术白皮书rum严 V* ?: ?- i ffTErtUE :2峠站I L *訂話耳： J 疋ft I - inwu-MILAJ1 1 4 陥咄 l-: I'V.A I'i-jjpVn II »-.TMH "IF：砂 au*鹿 :. * FMifH - IJ* 'f j*ri-Ijm '看工二立 iftzlW nr|魂曲ftA«h 7驚冃直I 'Q林鼻 IJtrS Tzr：

16、 应蓟斤IB如KUi iFzn HijtS'WrVPii-ii,-# tMH 1.7：皿剧事则碑:;J fl .：! liirtM* 仝SMrt 屮 flnwjiir图：控制台主界面«入透人fi1<imao0-iff去阳去?7K1000&Ut应用程區nmysqlj, eu?! Ti»t i rifo fVP2 Explorer.風E *1ale. tuefiV±k*st. SliieseAQQ eKe-l,instsc. eie墻 BSfrvic*. Bit9<?鬧£羽rot5 1 笳rin 551? %1中 fiFifuiw

17、n6.00 2901 551 £ bipi; 030413-.5. L £600.5512 bipip. 080413-0. 1.2600 512 C»,p£p.000413-2.S. 1. S600. 6024 C3cpsp_Ep3_g<ir. 1( 51, ITSC, nE. 1, £600. 5E12 Op =p. 000413-2. e.O.&OOl. 16539 (vi5t4sp_edr.1.0.D 1JJAFrflgj-aa F订es(1ySQLMySt|L -. T1 - S WTKTritf? 如 t PE丽右 n

18、a rvS D:ffI100tfEKplorir EUE D:ffIHWtfSSrst8r*3ed<. Gut D: tfurootff Vcy!tift?2h*st.D iVffllfDOttSVaysten*32spoolsV. exe D : VPragran Files.?ezicentBi Ji. D rWIHDOWf .=y!tsr»32li= = D -钏UOO昨systemEVrntsc txe D Frceran F订«sSASUll圣左.图：客户端主界面9G荃殳科技圣安终端管理系统技术白皮书23 “桌面终端管理系统”系统特点上海圣安信息工程有限公司

19、，结合多年的底层驱动开发经验设计并开发了计 算机终端管理监控系统-“终端管理系统” (Sasun-CMS)。该系统主要具备以 下几个特点:1、采用安全、高效及可靠的三层管理架构，所有管理及设置工作实现全WEB方式，管理员或技术维护人员在网络中的任意位置都能完成查看和管理。2、对网络中计算机进行分组管理，方便管理员针对不同的计算机用户的性 质采用不同的管理策略。3、提高计算机终端的安全性，圣安公司利用全国领先的个人防火墙技术, 全面保护计算机终端在网络运行中的安全性及可靠性。4、核心功能均采用底层驱动技术，实现了 USB设备管理、上网行为管理、 磁盘加密、通讯加密、网络接入管理 ；从而彻底地、完

20、整地实现终端管理中所需要的核心功能。5、信息显示准确、直观易操作，“圣安终端管理系统” (Sasun-CMS)系统 将局域网内所有的计算机终端都集中显示在管理主界面上， 实时反映所有计算机终端当前状态，若出现非正常现象立即通过显示变化、 声音等方式告知 管理人员。方便管理人员及时了解网络中所有计算机终端当前的运行状态，及时发现可能突然发生的故障。6支持各种Windows操作系统，“圣安终端管理系统” (Sasun-CMS)目前 支持绝大多数主流操作系统，只要是安装了浏览器的操作系统，并且与终端 管理系统服务器联网，都可以通过输入圣安终端管理系统的 IP轻松进行访问。3圣安终端管理系统功能简介:

21、3.1 USB设备监控和管理功能“圣安终端管理系统”可通过管理员设定的策略，主动控制被控的终端计算机所有的USB接口接入的设备。如：USB存储设备（U盘、USB移动硬盘等）、USB蓝牙设备、USB无线3G设备、USB图像设备（如：USB扫描仪等）。尤其 是对于USB存储设备，实现了细粒度的管理和控制。考虑到用户实际使用的可 操作性，本功能模块能够按管理员设定的策略灵活的实现以下功能:USB全部禁用/启用控制;USB存储设备分组管理;USB存储设备注册/加密管理;注册/加密USB存储设备持有者分组管理;指定U盘使用控制;USB设备插拔记录;增加/删除/自定义USB设备管理类别;USB设备文件操作

22、记录;U 盘防 autorun.inf 功能;灵活的策略定义下发。详细功能介绍如下: 3.1.1通过驱动模式监控所有进/出储设备数据要实现对存储设备的监控，也就是对电脑主板的I/O进行记录和还原。因此,“圣安终端管理系统”通过自主开发和编写的驱动模式； 来完成识别是否是外接的存储设备（如：USB设备、软盘、数码设备、私自外接的硬盘等），并能同时 记录时间、外接设备的名称、VID （产品信息）、PID （厂商信息）等信息。当用 户向内或者向外进行拷贝动作时，“圣安终端管理系统”立即将向内/外拷贝的文 件名、文件大小、事件时间等信息记录下来并通过网络将该记录的信息发送到中 央控制台数据库内，作为以

23、后追踪和分析的依据。3.1.2 USB存储设备控制“圣安终端管理系统”具有 USB存储设备控制功能，管理员通过中央控制台可以根据单位内不同部门和人员的使用权限或使用管理规定，任意定义网内的 某台计算机终端是否允许使用 USB设备或USB存储设备。在最大程度上防止了 11荃支利技圣安终端管理系统技术白皮书机密信息的泄露渠道。3.1.3指定USB存储设备使用控制随着USB存储设备及数码设备使用的日益增多，如何方便有效的对网内计算 机的USB设备使用进行控制，只允许网内的桌面终端使用单位内指定的 USB存储 设备，防止未经授权的USB设备使用，也成为了信息主管领导及网络管理人员经 常头痛的问题。利用

24、“圣安终端管理系统”的USB存储设备的黑白名单管理控制 功能，管理员只需将网内允许使用的 USB设备进行认证登记后，即可对网内的任 意桌面终端进行指定USB存储设备使用功能。则被下发策略的客户端USB接口只 对部分认证的USB存储设备提供使用权，防止了网内 USB设备的滥用。3.1.4移动存储设备接入管理系统能够自动识别任意移动存储介质的接入， 可以通过策略分配在驱动级对 移动存储设备的使用进行禁用。在允许使用的情况下，进行更细致的移动存储设 备管理。如：只允许使用注册 U盘、只允许使用加密U盘 usBfi tflSSSW 畔:碍访址看陕丿.：厂=允S.flSiSS广只允卢匡:业三盥 广兵-十

25、匸隹用加密盎厂二十；衣科巨册j確盍 叮贸国耕占件慵设If I 言世3.1.5移动存储设备标签认证（注册）管理系统能够通过策略对写入不同标签（普通标签和加密标签）的移动存储介质 进行标签认证管理，防止未授权移动存储介质随意接入， 能准确记录已认证过的USB移动存储设备在网络内中对文件操作。 防止因授权移动存储介质带外使用造 成的信息泄密。3.1.6移动存储数据读写控制管理系统能够对安装客户端的主机使用移动存储介质时进行读写、只读、只写等 行为的管理及控制；适应某些对数据比较敏感的单位对 USB移动存储设备使用 的特别规定。如：所有网络数据只允许流入，不允许流出的需求。3.1.7移动存储设备（U盘

26、）的加密管理系统对移动存储介质划分加密区后，只有在分配到该移动存储介质对应的标 签认证策略的终端主机上并且通过正确的密码验证才可以访问保护区的内容;一旦该USB存储设备（U盘）被遗失，也不用担心U盘中的数据内容。若无本系 统提供的驱动和正确的密码，该遗失的U盘也只能被格式化，最大程度地保证了 因U盘遗失导致的数据内容不被非法利用。加養检查珪册信息:磁監卷标:*毎芳？尸克匕疋护義丈窑拧备注:逅回图：USB注册及USB加密3.1.8指定设备读与指定移动存储设备的访冋控制管理系统能够通过对移动存储介质写入标签，再将对应该标签的策略分配给指定 的终端主机，未分配到该策略的终端主机无法访问写入该标签的移

27、动存储设备。实现只有指定的终端主机用户才能通过指定的主机访冋指定移动存储设备中的 数据。3.1.9移动存储设备使用行为审计管理系统能够详细的记录移动存储设备的插拔、标签的分配情况、移动存储设备中数据的访问、修改、拷贝、复制等各种行为。一旦发生网络泄密事件，这些数13据将成为重要的事件追溯依据之一。3.1.10 USB设备管理控制USB设备的使用已经越来越广泛和深入,通过USB接 口接入的USB设备几乎包含了所有设备（如：USB手机、USB蓝牙、USB无线、USB打印、USB扫描） 在机密性要求比较高或管理比较严格的网络中，某些USB设备是不允许接入和使 用的。本系统提供最完整的USB设备管理策

28、略，直接通过USB底层驱动对所有接入的USB设备进行识别和分类管理（市面上存在很多USB管理系统，是通过对Windows注册表进行监控和修改来实现对 USB设备管理，这种模式的管理不可能 彻底和高效）。通过对分组USB设备策略的制订，可实现最为细致的 USB设备管 理方案。Fi词譯盪丘庫P就呈TA* r F心t乓主$注$丄淫埜F社用L强词hi设专7 £（11人恬工甲谕岳何启甲|_遐仰F后甲1斤q牙料评弓冋启用W联展设老I* 辰用厂星用零fUEB说舀<"SiLfFR <沽开睜用? * ”：学'二J庁齐讥'金吆心空立4參戒占费£竽图：USB

29、设备管理G荃殳科技圣安终端管理系统技术白皮书gK兮 A L 、 BIr亠IPS'认f11 L. Tr i: *i比生堂乂认jsa-Th-r；.-L1TfiPITS¥10rssnIVEA眸器号cfr«n-Jli-3I1a-J”卜蛊I P一林工半0333 #讯乜乱吟翻FpROZ1 - -出占H-Cii-w-su?efF-aR*3 H?nfl-fe- *直时“Hill=f,i MT偲nr：- -二 亠嗣 IPfT平 iFnffa*M VPfGV =LfiSST-半a申眶 i : wDt- .+1 -Lw刮:r沁.UN甜電曲盍如:力眞T沐需副 Iff 百 FFfinD：J3

30、OlUl»lLMfr嗣MY fl 盲图：USB设备分类管理3.2网络行为管理记录功能许多用户很重视网关的安全性，往往配置了防火墙、入侵检测等网络安全产品，甚至采用物理隔离的方式防止外部网络对内部网络入侵的事件发生。这些防 护措施虽然很有效，但却忽视了内部网络中桌面终端的安全性。 根据权威机构调 查统计，泄密事件往往主要来自于内部。内部人员若想入侵所在的内部网络往往 变得非常容易，由于对内部网络的结构和安全措施比较了解， 这种行为将很有可 能不留下任何痕迹，当入侵和泄密事件发生以后却无从追查。因此，桌面终端的 安全同样是非常重要的。“圣安终端管理系统”通过自主开发和编写的网络驱动，将所

31、有进/出网卡 的数据包进行分析和记录；通过自主设定的规则来阻止或放开这些数据流的通 行。通过“圣安终端管理系统”的终端安全平台功能模块可实现以下功能: 3.2.1通过网卡驱动管理终端的上网协议实现对本机进/出协议的控制和过滤功能。如：禁止本机 ICMP响应，本机Ping外部的机器不受影响，但外部机器Ping本机将不做响应；外部机器将无法通过这种方式来探察本机的存在。并且有很多木马程序（如：“冲击波”、“震荡 波”等）都是通过先Ping后植入的方式进行攻击的，若停止ICMP的响应这类 木马程序将无法植入；很大程度上能防止这类木马和病毒在网络中的蔓延。322通过网卡驱动管理终端的所有访问端口实现对

32、访问目的地址和端口的控制和过滤功能。 通常的应用中需要访问的目 的端口只有21、25、80、110等，但大部分的木马程序却使用的是不常用的端口, 若对访问目标地址做严格限制；这些即使被植入木马程序这些程序也将无法与外 界联系。实现对本地端口开放的允许/禁止。在众多的入侵事件中大部分都是因为被入侵的机器中打开了一些高度危险的端口（服务）如：139、445、23等；若在 非必要的情况下关闭这些端口，将大大地提高本机的安全性；也极大程度上减少 了入侵事件发生的可能性。3.2.3应用程序连接网络管理基于应用程序的上网软件控制（如聊天软件、下载软件、网络游戏等） 中管理绿色上网策略，定制与分发安全保护策

33、略设定。本软件提供应用程序白名 单和黑名单功能，在不影响用户使用本地软件的前提下， 方便地限制用户可以使 用哪些指定程序上网，通过对应用程序的版本号、安装路径、对应端口的开放以 及数据流方向的策略管理，保证只有允许的程序才能访问网络， 通过计算机对外 通讯的“通道”。3.2.4网站访问控制除了以上提供的功能外，圣安终端管理系统还为用户提供了方便有效的， 上 网行为控制功能，通过本软件的域名黑白名单功能，用户可通过常用与知名服务 控制、端口控制、时间控制、域名关键字过滤等设置。对终端用户的上网行为进 行有效管理及记录，方便了网络管理员对终端用户的网络使用状况的管理及追 查，彻底杜绝病毒网站及不良

34、网站的干扰。326网络限速局域网内部与外部网络之间的通讯，流量的大小通常会受到带宽的限制。受 迅雷、电驴等下载软件的影响，如果一个人使用迅雷下载，将占用大量的流量, 造成局域网内其他人访问外部网络速度变慢，甚至无法通过 IE正常访问网站， 给内部网络中其他人正常的工作使用带来很多不便。 而如果单纯的对局域网内部 网络流量进行限速的话，又会影响正常的局域网电脑之间的文件操作， 使得互相 之间的共享访问变得缓慢。还可以圣安终端管理系统不仅仅可以限制当前客户端电脑的总体网络流量。分别针对内网流量、外网流量、UDP协议流量、TCP议流量、上传速度、下载 速度进行细化管理，这样管理人员就可以很方便的针对

35、性的对网络内部的流量进 行管理了。3.3网络设置管理功能在实际的应用中，尤其是机关单位，需要对计算机进行统一格式的计算机名设置，并对IP地址做详细的规划，以方便进行管理。但是计算机名与IP地址都 是用户可以自行设置的，这样会造成计算机的命名混乱，通过计算机名无法判断 是谁在使用。而擅自修改IP地址也容易与别人的IP产生冲突，不仅受冲突影响的计算机断网，而且扰乱了整个网络内部的IP规划。圣安终端管理系统的网络设置管理功能分为两个模块，第一个是计算机名控 制，管理人员启用了计算机名控制功能以后， 客户端电脑将无法自己设置计算机名，而管理人员则可以在圣安终端管理系统更改。第二个模块是IP管理功能，启

36、用该功能后，管理人员既可以统一管理一个组的子网掩码、网关和 DNS，也 可以选择单独控制某一台客户端电脑的IP地址、子网掩码、网关与 DNS，同样 地启用控制功能以后，被控制组的电脑将无法自己修改 IP地址（IP地址修改的 地方变成了灰色），只有管理人员可以在管理中心修改。市面上有很多类似防止 用户私自修改IP地址、计算机名称的软件，但绝大部分这类软件无法防止用户 通过命令行或其它工具软件进行修改。本系统提供的该功能通过底层驱动方式来 监控IP地址及计算机名称的变化，完全杜绝了用户通过命令行或其它工具软件 私自修改的企图。3.4接入管理控制功能网络管理人员在日常工作中，往往头痛一个问题。网络中

37、总有人私自带入电 脑，尤其是笔记本电脑。这些带入的电脑中安全防护、管理软件基本都不完备, 带入的电脑用途也难以确定。这些现象不但可能导致网络中的病毒爆发甚至可能 出现泄密事件，这些可能产生的危害还无法追踪。本系统提供两种方式对网络接入进行管理和控制:A、协议加密方式若该功能被启用，客户端程序之间的通讯将被加密，与未安装客户端的计算 机将无法通讯。在启用本功能之前，请确认网关、服务器都已经安装。或在相应 列表中添加无需安装的IP地址。这种接入管理控制方式适应网络规模小，所配 备的交换机不支持802.1X认证功能的网络。B、802.1X接入管理方式本系统客户端提供标准802.1X接入认证协议，可与

38、其它认证服务器配合使 用同时也可使用本系统自带认证服务器。这种接入管理控制方式适应网络规模 大，所配备的交换机全部支持 802.1X认证功能的网络。3.5违规外联管理控制功能现在的网络连接设备种类繁多，典型的比如无线路由器、无线网卡等等设备, 随时都可以插上电脑拨号连接外网， 这类设备的存在，使得物理隔离网络的隔离效果形同虚设，因此，必须在终端电脑上部署阻止和监控这类设备的软件，强化 物理隔离网络的安全性能。圣安终端管理系统提供的外联管理控制功能，可以在服务器端设定好需要监 视的外联地址后，客户端定时连接的方式联系测试地址， 侦测当前电脑是否可以 与设定地址连通。如果测试连接成功，客户端将记录

39、下连通的时间、连通地址、 设备类型等等信息，并上报到服务器；同时可根据策略的制定，在外网（大多数情况下是互联网）下载一个只有外网的证据文件（可以是网页或一个证据文件）， 防止违规人员抵赖。通过违规外联管理控制功能，管理人员在服务器端就可以随17G圣支科技圣安终端管理系统技术白皮书19时掌握到局域网内部违规外联的信息。F 豆 JEI当芒a縫蛋.老仝疥斷才撐此.至占&默N ；曲河疋予.诗的，.-汁汛巴F谱£却苗试令曲疋礒a -用主商乍广耒,广sa/i予网縮亀扯刁 |vw. J Lal <il刁neva” I 餓 |TPi*iih3IM SISor11妣址31 M.iA133

40、pfPlH3I麵,24a146瑤n3030Ip3.6打印管理控制功能在一个单位内部会有多台打印机，这些打印机品牌不同，工作方式各异，并且分布在不同的楼层、房间。如何了解到这些打印机打印工作的相关信息，比如打印了什么文档（是否存在与工作毫无关系的打印行为？），每台打印机每天消耗的纸张数量等等，这成了一个管理的盲区，给打印机的管理工作带来了许多不便。若启用圣安终端管理系统的打印管理控制功能， 它将对客户端连接打印机进行监控。实时的记录下客户端电脑打印的时间、打印的文件名与文件大小及页数、所使用的打印机或者打印服务器等相关信息， 并记录下来，管理人员只需要在控制台查阅打印机监控日志，就可以掌握打印机

41、当前的使用动态了。3.7消息管理功能经常出现这样的情况，管理人员出于维护服务器或者其他特殊原因,闭或重新启动某一台服务器，比如邮件服务器。在邮件服务器关闭后,必将造成当前局域网内电脑暂时无法收发邮件，这时候邮件使用者就会打电话来技术部或者给技术支持人员，询问情况，而技术人员在维护服务器的同时还要接听电话,G荃殳科技圣安终端管理系统技术白皮书还要给邮箱使用者解释，造成不必要的麻烦，也不方便管理人员开展工作。圣安终端管理系统提供消息管理功能， 管理员可以在局域网内任意一台电脑 上打开IE访问圣安终端管理系统，通过消息管理功能，即时发送消息给目标客 户端电脑，消息将会在对应客户端电脑的屏幕右下方显示

42、， 管理人员既可以选择 将消息发送给某一台客户端电脑，也可以发送给某一组客户端电脑。当出现上述状况时，管理人员可以先发送一条消息给同事，提醒邮件服务器 即将重启，请等待几分钟后使用。这样，就不会扰乱正常的工作秩序了。3.8未安装管理功能管理人员可以通过圣安终端管理系统将客户端电脑的计算机名，IP地址，U 盘使用等等都牢牢的掌握在手心，但是对于没有安装客户端的电脑，又该怎么 办？如何知道当前网络内部有哪些电脑是没有安装客户端的， 无法控制起来的?圣安终端管理系统系统特别设计的未安装管理功能，可以实现启发式发现,安装有客户端的电脑将自动记录下当前网络的计算机IP，并上报给服务器，这 样管理人员就可

43、以在圣安终端管理系统看到当前网络内部有哪些电脑没有安装 客户端了。3.9资产管理功能模块每一个单位都会面临以下几个问题：当配发下去的电脑中的硬件发生变化的 时候管理人员可能根本不知道（部分变动是被允许的、有些则是私自进行变更的） 或不能及时发现、每一台终端电脑里的具体配置很难统计和分析 （单位的固定资 产）等等。这些都给资产管理工作带来了很多的不便。圣安终端管理系统”为用 户提供了分析和统计每台终端电脑硬件功能模块。 通过终端安全平台实现对当前 电脑所有硬件进行统计，并将所有统计的信息发送到中央控制台， 当被统计的电脑里的硬件发生任何改变（如：内存更换了、硬盘型号或大小变化了、CPL型号 或频

44、率变化了等等），圣安终端管理系统客户端将及时将改变了的资料信息发送 给管理中心，并报警。3.10连接网络进程管理局域网内部的电脑使用人员不同，运行的程序也各不相同，管理人员无法知 道当前局域网内都运行了哪些程序， 什么时候运行的，在哪些电脑上运行过，对 于整个网络内部的应用程序方面的了解是一个空缺。 如果有一款软件能够及时追 踪显示当前网络内部进程的信息，那么管理人员对局域网内部的管理效率将上一 个性的台阶。圣安终端管理系统提供强大的连接网络进程管理功能，客户端将追踪当前网 络内部活跃的连接网络进程，并记录下来。管理人员既可以看到某台客户端电脑 当前有哪些连接网络的进程，也可以点击某一个进程，

45、查看当前有哪些计算机正 在运行这个进程。同时还可以实时，在管理控制台就可以实现的， 阻止进程的运 行。通过灵活的策略定制，这对于阻止病毒、恶意木马的运行扩散传播，将带来 极大的益处。目前网络互联成为了计算机应用的基本功能之一；但管理人员往往会碰到, 对外连接的应用程序（或称进程）是否全部为允许连接（如：游戏、炒股等） 是否全部为合法的程序连接（如：木马等）等问题。本系统提供外联进程管理功能,网络管理员可通过策略配制，将常用的应用设置为允许连接（白名单，一般 用于阻止未知程序的网络连接，如：木马），不在列表中的应用程序将无法对外 连接；或设置为不允许某些应用程序连接网络 （黑名单，一般用于已知程

46、序的网 络连接，如：游戏、炒股等）。能有效地对应用程序外联进行管理。3.11防ARP欺骗功能ARP攻击的到来令人防不胜防，一旦爆发，整个网络都将陷于瘫痪。对于这种攻击最好的应对办法就是事先预防。圣安终端管理系统的防ARP欺骗功能攻击,启用后，可以将安装了客户端电脑的IP与该计算机真实的MAC地址进行绑定, 在网络中的计算机都发送真实的 MAC地址信息，从而即使是存在 ARP 也不会对网络的正常使用造成影响。管理人员可以轻松排查，消除根源。地址信注：若该功能被启用，所有终端计算机将只能对外发送真实的MAC 息。将影响到 单一网卡多MAC地址应用。如：虚拟机等。3.12目录只读/隐藏功能由于“圣安终端管理系统”系监控管理类产品。网络中个别用户往往不希望 被监管，往往采用各种手段希望使软件功能失效。 因此，本系统提供程序目录只 读/隐藏功能，使得一般用户难以自行操作或修改统一配发的策略。该功能可通 过控制台的策略定制下发到每一台被管理终端。3.14远程桌面连接功能很多单位的办公网络从地理上相距比较远，女口：某区政府网络的各个点已经 分散到这个区十几个地方。大量的维护工作集中在比较简单的问题上（据统计: 约有70%以上的问题完全可从远程进行维护和故障排除），经常是维护人员到达 现场不到一分钟就解决了，而化在路途上的时间却要将近1个小时。网络维