内网管理DeskMaster产品说明

34/35目录第一章产品背景内网安全面临的要紧问题随着网络的普及，网络应用的多元化进展，网络安全问题越来越多的得到了人们的重视。而提到网络安全，人们自然就会想到防火墙、杀毒软件等。但实际情况是网络威胁不仅仅来源于网络外部，有相当一部分网络威胁来自于网络内部。常规的安全防备要紧集中在网络边界，均属于被动防备，进行防备的设备要紧是网络防火墙、安全网关等硬件设备，这些硬件设备多数都放置在机房，用来对网络入口进行防控。网络内部安全问题的暴露也让人们对内网安全有了新的认识，从计算机口令泄露、硬件资产流失、重要文件泄密、网络资源拥堵等现象出现，让人们对内网安全治理有了新的需求。政府机关和企事业单位的内部网络在治理上面临着以下一些常见的问题：如何对内网中的计算机补丁进行治理并自动分发补丁如何对内网中移动存储介质进行有效的治理如何对内网中计算机接入网络进行治理如何对内网中计算机非法联网进行治理如何解决移动存储介质引起的病毒传播、信息泄露等问题如何对内网中计算机进行统一的安全策略配置如何对内网中计算机进行有效治理，保证设备运行情况正常如何快捷便利的对内网中计算机进行远程点对点维护，提供远程协助如何对内网中涉密信息进行爱护如何对内网中计算机上所安装的软件进行统一监控、治理如何对内网中计算机外设接口的使用进行有效的治理如何对计算机用户的行为进行有效的监控、治理…………这些内网计算机使用上的安全隐患，时刻威胁着内网网络的正常运行，内网涉密信息外泄也越来越严峻。面对如上问题，DeskMaster内网终端安全综合治理系统提供了全面的解决方案。第二章产品概述产品简介DeskMaster内网安全综合治理系统是遵照国家信息安全与保密领域相关法规，集网管、监控、安全、加密等关键技术而构建的内网安全管控平台。通过对IT资产的动态监管、用户行为及信息内容的综合审计、多策略立体化的网络安全防护、统一的漏洞检测与补丁加载，从全然上提升企事业单位内部网络的安全治理水平。产品系列我们从客户的内网安全需求点动身，结合国内外终端安全治理技术和进展趋势，对内网安全进行了深入的研究。将政府机关和企事业单位内部网络终端安全从资产和资源、调控和服务、安全和保密、审计和操纵等方面做了全方面的爱护，在DeskMaster内网安全综合治理系统中包含以下几个产品系列：解决了客户在网络治理中可能会遇到的问题。功能特点DeskMaster内网安全综合治理系统通过对终端计算机的进程、模块、插件、驱动、软件、URL访问等信息进行采集，由治理员对采集的信息进行分类和安全级不鉴定并形成一套对上述信息运维和治理的库，我们称之为“知识库”。通过知识库的建立和治理，达到对用户治理的统一化、标准化、策略化。本系统针对客户端程序进行了特不优化，CPU和内存等资源的占用低，达到了国家对内网安全软件的相关要求，在治理员对客户端进行审计和治理的过程中，这些操作都可不能对客户端产生特不大的性能上的阻碍。除上述特点之外，本套系统还支持异构复杂的网络环境，对不同类不、不同厂家、不同制式标准的IT设备均有专门好的支持。对终端设备上不同的操作系统和网络应用也均可统一治理。与目前主流防火墙、杀毒软件均有良好的兼容性。系统选用集成式框架结构和模块化设计理念也为后期的升级改造和系统维护提供了支持。第三章产品架构产品部署本系统采纳C/S和B/S混合模式架构，支持分布式部署，配置了中心服务器之后，客户端只要通过扫瞄器访问中心服务器即可完成系统部署。通过文件分发系统（第三方提供）更可方便的实现静默注册。产品模块本系统对各个功能采纳模块化方式设计，支持模块化软件定制，在保持了较高通用性的前提下，又实现了产品配置的多样化。模块化的设计降低了功能之间的耦合性，各个模块之间支持无缝功能扩展，又通过统一的策略治理平台，对各个模块进行治理，方便治理者操作。在满足用户需求的同时，又最大限度的对用户日后升级做了充足的预备。下图为统一策略治理平台界面图：产品治理架构本系统支持局域网架构和广域网架构两种架构模式。局域网架构模式下，使用一套本系统即可满足治理上的需求。例如关于一个C类地址或者多个C类地址的局域网来讲，通过配置一套系统即可实现集中式的治理模式。广域网架构模式应用于大规模的多个局域网或者跨地域广域网。例如基于国家、省市、区县的网络结构。本系统提供了多级级联模式的治理架构，用来满足上级对非本地局域网内的下级的治理。使用广域网架构模式需部署多级系统，在广域网架构模式下，上级可直接对下级终端进行治理，同时下级会将本级的统计和报警信息转发给上级治理系统，从而上级治理人员能对下级的网络状况完全掌握。分权治理通过对治理用户权限的分立，使得治理用户在治理上进行了本质性的区分，实现了用户治理权限、策略权限、审计权限的分离，达到了用户权限“最小化”的目的，尽最大可能减小企业在治理中要承担的风险。通过对上述三权的分立，也使治理员的任务得到了分解，减少了治理员的任务量。第四章解决方案介绍接入治理系统内网终端接入治理的必要性网络接入操纵治理系统能够对政府机关和企事业单位内网中的可治理的以及不可治理的终端进行爱护。强制提升内网安全，保证了内网的爱护机制不被破坏。通过内网接入治理系统实现了企业对内部人员随意接入内网的行为的操纵，该方案能够方便快捷的部署至全网。关于网络硬件设备没有终端接入操纵功能的单位来讲，能够采纳软接入操纵的方式实现对内网随意接入的治理，而不需再投入大量的财力物力对原有的设备进行更换。关于网络硬件设备本身就支持接入操纵功能的单位来讲，结合本接入治理系统，对原有的接入进行方便的管控，大大提高工作效率，亦可实现高强度的接入认证体系。系统功能概述接入治理系统实现了对要接入内网计算机（笔记本和台式机）的治理和操纵，通过内网接入认证系统达到了对非正式和非合法用户的限制。从第一步就对内网中的计算机进行完全爱护，只有通过内网接入认证系统的认证之后，才能作为合法用户和内网中的设备进行相应的通讯。首先，通过配置能够对非本单位的计算机进行网络访问的限制，即便单位中的非法用户接入了内网，假如限制了计算机的网络访问权限的话，那么非法用户所具有的潜在危害也将被限制。同时能够通过支持802.1x认证的网络硬件设备，从物理硬件上对网络访问接口进行访问限制。在内网接入的配置界面能够选择性的启动内网用户身份验证口令，如此就能够做到对内网计算机的确认，保证每一台内网用户差不多上通过治理者进行登记造册的。系统功能描述辅助802.1x系统接入认证未注册终端接入内网操纵非法外联等接入方式监控可依照自定义终端策略对终端进行接入限制软接入操纵流程图802.1x认证接入操纵流程图非法外联监控系统终端非法外联造成的危害随着网络的进展，各个单位（尤其是涉密单位）都会建立属于自己的内部网，内部网通过分级治理实现了对重要信息访问的防护。而随着无线网络设备的快速进展，3G网、无线网等各种“联网设备”的出现，以及人为的因素等，对内部网分级体系造成了严峻的阻碍。往往一台内部专网电脑通过一块3G网卡就能对内部信息泄露产生巨大的破坏，这些非法外联的行为是防不胜防。系统功能概述非法外联监控系统实现了对终端设备是否联网行为的监控，对内部非法越级访问的行为进行监控，关于存在多网卡的设备网络访问进行操纵。在非法外联监控系统中，能够将网络从治理上划分为同意访问的网络和违规访问的“外网”，而那个地点的“外网”需要制订一个标准，能够是传统意义上的互联网，也能够是密级不同的内部网，假如终端设备能够和上述标准中定义的网络联通的话，系统会自动对该非法外联的能力进行阻断，以防止非法外联行为的发生，做到防患于未然。关于确实需要移动办公的内网涉密设备来讲，本系统支持在第一时刻发觉其违规联网的行为，并将该违规行为告知给治理员，也能够直接断开设备网络或关闭计算机。关于内网中合法的拥有多个IP地址的设备而言，防止其进行非法外联行为也及其必要，本系统可实现对多网卡设备进行监控，能够对终端使用IP的范围进行限制，当设备使用了非法IP的时候，会对非法IP产生的网络行为（http、ftp、email等等）进行审计，并能够禁用非法IP地址的使用，达到仅同意使用合法IP地址进行通讯的功能。除此之外，本系统能够检测到使用代理上网的行为，当发觉终端使用代理上网的时候会自动将代理取消，并能够依照需要断开网络或者关闭终端计算机。系统功能描述禁止非法连接外网禁止同时连接内网和外网禁止终端使用代理上网对终端使用IP地址进行限制对终端非法使用的IP地址进行行为审计和操纵能对不同级不内网之间通讯进行监控能够限定内网终端IP使用范围，能够对非法IP审计和禁止非法外联监控系统的特点推断非法外联无须等到外联行为发生，本系统推断其外联能力，做到防患于未然关于需要外出办公的涉密设备能够在第一时刻监控到其非法外联行为能够指定多种形式的违规处罚：无提示、警告、断网、关机所有治理制度支持离线状态，能够按照时刻段来执行治理内网安全治理系统当前内网安全治理所面临的问题随着计算机在日常工作中的广泛应用，在越来越多的单位、企业等机构中所暴露出来的问题也越来越多。在用户的日常工作中对计算机的使用上出现了以下几个方面的问题需要解决：对计算机运行的程序进行审查和操纵确保计算机的系统安全：对恶意程序的运行进行治理和操纵对计算机外设等产品的治理和操纵对治理员用户提供一种高效的治理和协助一般用户的方法保证内网中计算机的治理流畅，对相关网络设置进行操纵对网络攻击进行防护提倡计算机高安全度的设置对内网用户的共享文件进行治理…………系统功能概述内网安全治理系统提供了完整的一套解决方案，从桌面治理和安全防护等领域对网内的计算机进行安全治理。通过对终端桌面进行治理使得终端计算机从内部规范了计算机的使用安全，提高计算机的安全防护等级，又杜绝了来自于外部的非法攻击等。通过定义知识库，让系统治理员在治理和配置治理策略的时候变的异常简单。通过对内网中计算机上所运行的进程、服务、模块、插件、软件等信息的采集，IT治理者能够建立属于本企业的系统知识库，可对知识库进行级不划分，从而建立起一套适合本单位具体情况的配置策略。通过安全操纵等配置，能够对终端系统中运行的进程、服务、模块、插件等进行详细鉴不，即便是同样的进程，假如感染了病毒、木马等也能够进行区分，不对受到感染的文件进行限制。系统功能描述进程运行操纵系统服务操纵外设端口操纵系统文件分发治理（文件分发、软件部署）终端点对点操纵远程协助：实现终端监控和终端协助网络接口治理：IP、Mac、Dns绑定、网卡绑定异常进程、模块、驱动、插件监控网络防火墙：访问网络操纵和Arp攻击防护系统帐户安全操纵…………内网安全治理系统的特点治理员通过建立属于本单位的系统知识库对终端设备进行治理。知识库变更灵活，由中心服务器进行统一分发，不需要治理者一一对终端机器进行部署，节约治理者的时刻治理策略可灵活定制，从差不多策略、时刻和分配对象三个维度对内网用户进行治理。能够满足单位中对不同级不用户进行不同治理的需求，做到定制化治理对单位内部恶意的对设备的盗取行为等进行监控终端设备的实时监控，终端设备远程操控，实时对终端用户提供技术关心与DeskMaster系统其它平台进行无缝整合，轻松实现资产治理、补丁治理、主机行为审计等功能。主机行为审计系统产品背景随着计算机技术的进展，它所展现出来的重要性也越来越多的在政府机关和企事业单位中得到体现。随之而来的问题是，如何能够有效的掌握内部人职员作期间在计算机上进行的操作、如何确定这些操作不违反内部规定。除此之外，不能对内部人员使用计算机造成阻碍也成为了IT治理者必须要解决的问题之一。主机行为审计系统确实是因此而生的一套专门的针对用户使用计算机的行为进行审计和操纵的系统。它解决了作为治理者无法有效对内部人员网络行为进行监管的问题。该系统设计依据了国家当前出台的相关法律法规，即保证了用户的隐私，也实现了对用户主机行为监管的目的。系统功能概述主机行为审计系统提供了完整的一套解决方案对内网中的计算机用户进行全方位的行为审计和管控，让治理员能在第一时刻采集到所需要的信息，并对内网计算机用户的违规行为进行操纵和治理。规范了以下几方面的行为：URL审计和操纵、Email审计和操纵、IM即时通讯审计、用户打印审计和操纵、本地文件操作审计等方面。通过对内网中用户所访问的URL进行记录，生成本单位的URL知识库资源，治理者对URL库中的URL地址进行分级与分类，并以模板的形式分发给终端用户，结合灵活的配置选项，对内网中的URL资源进行治理。对邮件收取进行详尽的配置，非信任邮箱不同意使用。系统功能描述对上网访问URL行为审计和操纵：可配置自定义的URL黑白名单对访问FTP行为审计和操纵：可自定义审计和操纵的文件类型用户收取Email行为审计和操纵：可自定义邮箱打印文件行为审计和操纵：可自定义文件后缀名进行审计和操纵访问共享文件审计使用及时通讯工具审计主机行为审计系统的特点用户行为审计策略化用户行为操纵定制化治理灵活化：治理者能够对不同的人进行不同的行为治理用户行为日志及时上报，客户端报警移动存储介质治理系统使用移动存储介质所引发的问题移动存储介质，特不是U盘，因其携带方便，存储量大、价钞票廉价等优点，作为数据交换的要紧手段之一，已得到广泛的应用。然而随着移动存储介质的广泛使用，也暴露出来了专门多的问题，例如，单位内部机密信息的泄露，可能由移动存储介质使用不当造成的。因此急需一套有效的移动存储介质治理系统来解决下述存在的问题：涉密网（需要保密的网络）中的计算机使用一般移动存储介质安全移动存储介质在一般计算机上使用移动存储介质文件交换审计：包括一般和安全移动存储介质对非本单位移动存储介质的操纵移动存储介质丢失后导致信息泄露移动介质的使用信息无法追踪审计的问题移动存储介质接入区域限制和操纵问题移动存储介质中携带病毒、木马等，并通过其传播，造成数据丢失的问题系统功能概述移动存储介质治理提供给用户一套完整的对移动存储介质的治理方案，用来解决由于移动存储介质的滥用和丢失以及移动存储介质携带病毒、木马所造成的机构内部数据泄露的问题。治理系统从移动存储介质的接入抓起，会自动对要接入的移动介质进行区分，可对不属于其内部的移动存储介质进行读写操纵，而对属于该企业的移动介质进行相应的治理。除此之外详细的日志上报机制，能够保证移动介质的所有使用记录得到及时的上报，方便治理员的使用。通过移动存储介质治理系统，能够将最一般的移动存储介质转变给成可自动加密的安全移动存储介质，且强认证、多手段的治理方式，即能够保证移动存储介质转移信息的安全，又能够让企事业在安全移动存储介质费用上省下许多开支。系统功能描述按照设备、IP范围、组织结构等方式对移动存储介质进行接入治理移动存储介质数据读写操纵移动存储介质标签认证治理移动存储介质分区治理文件存储透明加密，防止信息外泄移动存储介质使用变更治理移动存储介质数据读写审计：文件的创建、复制、删除、修改和重命名等操作移动存储介质使用审计：对移动介质的挂载、注销进行记录数据交换中间机，严格对内网中数据交换进行治理（内网信息交换须通过中间机进行，可对中间机进行严格的审计策略）针对外来一般移动介质进行治理，对外来一般介质的使用进行操纵移动存储介质治理系统的特点灵活性的配置，便捷的安全移动存储制作流程可进行“机盘绑定”，实现单位内部“专盘专机专用”透明加密技术防止意外情况导致的数据泄密对移动存储介质的访问进行严格操纵，防止病毒对移动存储介质的危害完善的日志上报机制，不论移动存储介质在单位内网使用，依旧在单位外部使用，都能够将对移动存储介质的操作记录进行记录移动介质治理流程移动介质治理的流程，如下图所示：安全移动介质的种类安全移动介质按照标签进行制作。标签分为三个等级，可满足不同安全等级要求。可分不制作不同部门的不同等级的标签，按照策略对标签进行治理。中间机的好处通过在内网中设置中间机，能够将所有的外部信息的来源都限制在中间机上，如此一来就保证了流入流出的数据的安全性和保密性要求。中间机机器会在内网和外网信息的交换中起到专门大的作用。补丁治理系统系统补丁升级会遇到的问题在电脑技术高速进展的今天，病毒和木马频繁爆发，操作系统的安全问题时刻困扰着每一位电脑终端用户，安装补丁差不多成为计算机用户的“家常便饭”。而关于各个单位、公司、政府等机构的治理员而言，在补丁安装的时候普遍都会遇到以下几个问题：计算机是否能够统一及时的安装系统补丁，特不针对一般电脑用户和电脑知识水平不太高的用户的计算机如何能够及时正确的安装上系统补丁如何确认计算机所应该安装的补丁安装补丁后系统或应用程序不兼容而导致系统瘫痪网络维护人员对计算机安装补丁，此工作量大时长且容易出错网络物理隔离的用户必须通过其它方式将补丁从外网拷入，增加了信息泄露和病毒传入的可能，且在安装的时候要依照不同系统核对相应补丁版本计算机通过都通过外网下载补丁造成网络资源消耗过大系统功能概述补丁治理系统提供了Windows全系列的安全补丁，特不针关于没有外网环境的企事业单位做了升级优化。减少了终端用户使用Windows自带的Update功能占用带宽的问题，同时对Windows补丁进行过滤，对不利于企业使用的补丁进行剔除。除此之外，提供了对终端补丁安装情况的补丁统计和安全分析，以图表的形式直接展现了当前内网中终端补丁的安全情况，方便治理员对终端进行维护，做到及时发觉问题及时解决问题。系统功能描述通过互联网自动猎取最新补丁补丁库增量更新，补丁文件增量导入终端计算机所需补丁自动探测和自动安装指定专门补丁进行专门探测和安装：针关于专门的补丁，能够配置区不于其它补丁的执行策略灵活的对象分配方式：可按照计算机分配、IP范围分配、组织结构分配等。计算机补丁安装情况汇总统计动态评估全网终端安全指数：通过对整体终端补丁安装情况的统计，确定当前内网终端的安全级不补丁治理系统设计理念补丁探测逻辑实现流程图补丁治理系统的特点支持基于策略和目标的补丁分发：能够将补丁只发给指定的用户群补丁可用性测试减少了对系统中应用程序的阻碍。一些不稳定的补丁程序会在大范围安装前进行测试，好做到及时屏蔽自动智能检测、下载和安装补丁提供补丁导入功能，给没有外网环境的企事业单位提供可靠的系统升级方式提供了终端补丁更新状态的详细报表，并对内网中的计算机的补丁安装情况进行详细统计和分析资产治理系统产品背景目前政府机关、教育、军队、公安、保密部门、科研机构、金融及证券和企事业等单位中的网络已有了一定的规模，网络中存在着大量的计算机，如何进行终端设备的资产治理，是治理者首先面临的问题。治理者希望准确了解所有终端设备的硬件配置以及软件信息，及时掌握资产的变化。当治理者需要统一升级和部署操作系统或应用系统时，希