行为控制软件 1套 行为控制软件LanSecS

1、行为控制软件1套行为控制软件：LanSecS 对网络中的大量电脑终端进行统一管理。具有功能：资产管理、补丁分发、远程控制、安全策略管理、端口和外设管理、外联管理、网络访问管理、对聊天、炒股、发送邮件、游戏、BT、下载软件、HTTP访问等上网行为进行审计及控制，并能对邮件、网页发帖、聊天、传输文件进行内容审计。技术要求：（一）分级部署和集中分权管理：系统构架上要能够支持采用集中管理、分级管理和分级部署的方式，上级可以直接调用查询下级服务器的数据和控制下级服务器策略的功能。要求系统必须能够实现对管理员基于角色方式进行权限设置，可对管理员进行分级的权限设置和管理。要求角色基于分权限管理，按照管理区域

2、、管理范围、管理模块、策略模块等对不同的管理员账户进行分配，可分为系统管理员、安全操作员和安全审计员等多种用户。用户权限设置要求能够对客户端的安装权限进行设置，不同的区域采用相应的安装与卸载的用户名和口令。能够根据实际的网络状况，手动调整客户端上传日志的时间和日志条目的数量。（二）审计监控：要求能够自动发现接入网络的新设备，同时可对连接到网络中的终端计算机进行注册管理，只有注册的终端计算机才可以接入网络。要求支持软件模式阻断及交换机端口阻断两种方式。对于软件模式阻断的要求：支持自动选举及手动指定探针两种模式，可对非法接入设备的阻断频率进行设置。对于端口阻断模式的要求：支持手动关闭未授权的终端设

3、备所连接的交换机端口。对于长期不在线的已注册主机应提供自动阻断功能，要求可根据客户端离线天数进行自动阻断。支持特权地址设置功能，例如：IP和MAC地址绑定、特权IP、特权MAC等。非法外联,要求能够对终端计算机的非法外联行为进行控制，实时检测内网用户通过调制解调器、ADSL、无线网卡等设备进行拨号，当有拨号行为后，系统自动报警并进行阻断。支持自动发现多网卡行为，可以根据策略进行断网。能够对终端计算机的访问互联网能力进行检测，一旦发现有访问互联网能力可以根据策略进行断网处理。要求能够对非法外联行为进行详细记录，包括非法外联的计算机的名称、单位、上网方式,在预警平台进行实时报警。审计功能：要求能够

4、对硬件资产的使用进行审计，对硬件资产的变更,在预警平台进行实时报警。能够实现文件审计功能，包括的记录文件操作类型：创建、打印、访问、复制、改名、恢复、删除、移动等；对文件拷入、拷出行为进行监控，能够实现本地硬盘和移动设备进行文件审计。能够支持账户审计，要求支持对用户新建、修改和删除用户等行为做详细记录。能够支持打印审计，应支持对本地打印，共享打印和网络打印等多种打印行为进行审计。应可记录打印者以及打印文档名称。监控功能：要求支持对终端计算机MAC、IP地址、主机名、网关地址、网络掩码、DNS地址及IP地址获取方式(静态、DHCP)绑定。任何一个参数发生改变，系统将自动报警，报警后自动恢复原有配

5、置，管理员可以批量修改终端的网络掩码、网关地址及DNS。要求系统具有主机防火墙功能，能够实现网络访问控制，限制终端计算机的网络活动。要求可对终端计算机的用户密码长度、密码周期、密码复杂度检查，并且可以对系统已有或者新建的用户进行禁止使用。支持检查终端计算机共享文件夹功能，可以禁止使用默认共享和用户自建共享文件夹，可强制终端用户以只读方式进行共享，并可自动将策略下发之前的可写共享强制为只读共享。要求对外接设备进行控制，控制外设接口的使用，启用或禁用软驱、光驱、U盘、USB接口、打印机、PCMCIA设备、智能卡设备、Model、串口、并口、1394接口、红外接口、蓝牙设备等，并且可设置设备操作权限

6、。要求能够对光盘或者其他方式外接设备的自动运行进行控制，不运行光盘的自动运行。要求能够对设备的使用权限进行管理，只有在管理员许可的情况下，才可以对设备的使用进行操作。互联网访问控制功能：要求能够对访问的网站进行管理控制，要求支持模糊字方式、同时要求支持黑白名单两种访问控制模式。要求对主机流量进行控制。可设置流量采样周期、采样次数以及报警阈值。应可配合主机当前的并发连接数进行流量控制控制。当终端超过设置的流量并且终端的并发连接数超过设置阀值，系统可以采取报警、本地提示、阻断网络以及关机等多种处理方式。要求支持主机的带宽管理，可以限制服务器和主机流出的网络流量，防止主机因中毒导致疯狂发包的行为。服

7、务器和主机只能按照设定的带宽进行工作。要求能够对当前主流防病毒软件（至少10种）的安装和运行进行监控，并且可以对防病毒软件的病毒库更新状况监控，根据策略对不更新病毒库的终端计算机进行报警、本地提示、阻断网络以及关机等多种处理方式。要求采用进程、服务黑白名单方式对终端计算机进行管理，黑名单禁止在计算机上运行该进程或者服务，白名单要求必须运行进程或者服务，如果不按照管理员要求使用软件、运行进程或服务系统将断网处理。要求对主机的性能进行监控，包括CPU、内存、磁盘和网络流量等。可以设置阈值，当上述资源超过设定阈值后，应支持系统报警和关机等多种处理方式。（三）安全服务：能够远程查看终端计算机运行的进程

8、和服务，且支持远程停止进程和服务。能够远程查看终端计算机开启的共享文件夹，并且可以远程进行停用，支持远程查看系统端口、系统硬件设备、系统用户列表等等。远程修改终端计算机的网络参数，进行网络连接的修复，并且对计算机进行远程注销和关机等。要求能够进行远程锁定键盘、鼠标等输入设备，禁止终端计算机使用。要求远程协助能够支持在线交流互动和文件传送、消息发送功能。支持远程软件分发，必须支持分发任意类型软件，包括：程序生成安装包、MSI安装包、独立软件安装包、各类脚本、文档。同时还需支持在登录用户是普通用户权限（无安装权限）情况下，进行软件自动分发、安装。移动存储管理：要求对全网使用的移动存储介质做统一管理

9、，禁止未经过注册的移动存储设备在内网中使用。对移动存储设备进行安全级别划分，级别不同或者级别不够，不能正常的访问使用移动存储设备。要求能够支持移动存储设备在线认证和本地认证两种方式。能够支持对移动存储数据的使用次数和使用时间进行控制，超过使用次数后，或者超过使用期限，可以限制移动设备的读写以及是否允许使用。能够支持对移动存储数据进行透明加密，避免由于移动设备丢失，造成移动设备内重要数据外泄。补丁管理：要求支持Windows系统补丁和应用程序补丁，如各种Windows操作系统安全补丁以及Office等应用程序更新补丁，能够进行索引文件更新。要求支持补丁分发策略制定，支持用户自定义补丁策略并自由分

10、发，基于客户端网络IP范围（系统补丁、安全更新、应用程序补丁等）等制定策略，发送给客户端后按策略执行应用。要求支持补丁自动分发安装，在指定时间、指定网络范围内以不同方式（如推、拉）分发补丁，或者根据脚本策略统一控制客户端下载补丁。要求支持补丁测试功能，对新下载的补丁进行真实环境的自动测试，测试完成后确认补丁安全再在指定时间后大面积下发补丁。补丁分发支持包括2000 PRO/ SRV/ADV、XP HOME/PRO等微软操作系统，同时提供应用程序的补丁修补程序。服务器的补丁程序获取支持至少三种方式，一是可以连接到Internet上从微软官方网站的提供的站点自动下载补丁程序；二是从厂家提供的光盘建

11、立本地升级站点，给补丁服务器提供本地（不需上Internet网）获取方式；三是支持从直接从厂家的站点上下载补丁程序。（五）网络管理要求能够自动发现网络内所有网络设备（包括三层和二层设备），通过系统提供的智能学习功能，识别网络的物理拓扑结构，自动生成网络物理连接拓扑图。要求能够支持拓扑图的缩放，并且能够以鹰眼方式观察全局拓扑。要求能够生成链路拓扑图，显示当前网络中的交换机之间连接关系。可以方便地查看可管理设备的配置信息，如System、Interface、IP Address、Routing、ARP、MAC Address、Flow等。动态显示交换机端口状态、流量等信息，可以设置端口流量阀值，当

12、端口流量超过阀值时以图形方式自动报警，帮助系统管理员监视、分析网络性能。依据IP地址或者MCA地址进行故障主机的查询，并且在网络拓扑图中显示。要提供网络维护工具，包括：ping测试、telnet网络设备、路由跟踪、SNMP查看等等。要求能够对生成的拓扑图进行文件方式保存，同时也可以以图片方式生成。（六）资产管理：要求能自动收集客户端的IT资产，能够管理包括物理资产在内的所有资产类型。可自动搜集的资产信息，如：所辖客户端的计算机的底层硬件信息、BIOS参数内容、CPU类型、内存数量、系统信息、操作系统版本、已安装的软件等。要求客户端能够自动采集硬件设备信息（诸如硬盘、CPU、内存等）、位置信息（

13、设备名称、使用人、联系电话、房间号等），客户端注册后可将资产信息存储到数据库中。系统要求支持设备资产信息变化报警，实时检测硬件设备变化情况（如设备硬件变化、USB设备接入等），自动发现客户端软件安装，并根据变化情况进行报警。要求能够支持对终端计算机软件安装信息的收集，包括当前软件安装信息和历史安装信息。系统应具有完善的报警功能，在任何IT资产信息发生变化时，都能够以日志及警报的方式及时通知管理人员，同时还支持以邮件、短信等多种方式提供报警。要求支持结合可管理的资产信息定义多种组合条件的图形化的查询方式、以提供最快、最方便的查询功能。（七）预警与报表管理：系统预警要求能够支持短信、邮件和平台预警

14、等多种报警方式。要求可以对违规事件行为进行实时报警，通过预警平台，统一显示客户端的违规事件行为。要求能够对系统的日志报表进行模版定制，方便管理员对日志的管理、维护、查询等工作。要能够根据报表模版定时生成报表，要能够按照日、周、月方式生成报表。要求报表显示内容应当包括IP、MAC、单位、部门、人员姓名、事件类型、类型说明、事件时间等等。要求安全事件报表应该包括：硬件变化、软件安装、IP地址变化、非法接入、非法外联、进程控制、开机、关机、硬件变化等等。要求策略部署查询能够对客户端策略模块的部署情况进行查询，明确客户端的策略模块部署情况。要求支持对各种日志的导出查询，至少支持EXCEL、PDF、HT

15、ML、JPG格式的文件导出。还可根据用户要求提供自定义的报表格式，自定义报表内容以及自定义报表项，支持模板化组态报表输出。要求能够将系统的报表备份和删除，并且可以将备份的日志进行导入显示。（八）系统安全：要求能够查看客户端部署模块的版本信息，方便管理员判断客户端工作情况。系统支持三层架构管理模式，方便管理员对网络中被管理的客户端进行集中管理。要求系统具有备份和恢复机制，能过对系统运行和审计信息进行备份，并且支持恢复功能。要求系统具备自我保护功能，代理的程序和进程可做到多进程守护，在正常模式和安全模式下均提供主机安全代理自身防护功能。并可防止用户停止代理进程、破坏代理运行目录和相关文件、停止代理相关服务。代理运行策略要进行严格校验，避免策略传输过程被恶意修改。要求客户端