桌面安全需求解决方案

1、桌面安全管理解决方案桌面安全管理解决方案 北京北信源软件股份有限公司北京北信源软件股份有限公司 目目 录录 目目 录录.2 一、系统需求分析一、系统需求分析.4 1.1 当前网络环境 .4 1.2 网络管理中面临的问题 .4 1.2.1 非法接入问题.4 1.2.2 终端安全管理问题.5 1.2.3 IP 地址管理问题.5 1.2.4 移动存储设备管理及安全审计管理问题.5 1.2.5 非法外联问题.6 1.2.6 终端补丁管理和软件分发问题.6 1.2.7 资产管理问题.6 1.2.8 缺乏统一的远程帮助平台问题.6 二、内网安全解决方案二、内网安全解决方案.8 2.1 系统部署和管理构架.

2、8 2.2 系统部署时的硬件配置.8 2.3 终端节点加固.9 2.3.1 补丁自动分发和管理.9 2.3.2 网管可统一配置的主机防火墙（网管控制包过滤）.13 2.3.3 弱口令监控.15 2.3.4 用户权限变化监控.15 2.3.5 关键进程加固.15 2.3.6 注册表加固.16 2.4 终端全面管理 .17 2.4.1 IP 地址管理.17 2.4.2 IP、MAC 地址绑定.18 2.4.3 禁止修改网关、禁用冗余网卡.18 2.4.4 资产管理.19 2.4.5 终端桌面管理.20 2.4.5.1 流量管理和控制.20 2.4.5.2 软件及进程监控.21 2.4.5.3 硬件

3、及端口控制.23 2.4.5.4 点对点审计和维护.24 2.4.5.5 上网访问控制.25 2.4.5.6 垃圾文件清理.26 2.4.5.7 其他管理.26 2.4.5.8 终端消息通知.27 2.4.6 终端安全管理.27 2.4.6.1 桌面密码权限管理.27 2.4.6.2 终端统一防火墙和杀毒软件管理.27 2.4.6.3 注册表监控/保护.28 2.4.6.4 终端连线/离线策略管理.29 2.4.7 网络主机运维监控.29 2.4.8 非法外联行为监控.30 2.4.9 普通文件分发.30 2.5 网络接入控制管理 .31 2.5.1 VRV 设备接入控制概述.31 2.5.2

4、 设备接入控制实现模式.31 2.5.2.1 基于 802.1x 协议的交换机端口接入认证.31 2.5.2.2 基于设备接入网关的互联网接入认证.33 2.5.2.3 基于设备接入网关的业务服务器接入认证.34 2.5.2.4 基于 VPN 的访问控制.35 2.5.3 身份认证系统与 EDP Agent 双重认证.36 2.5.3.1 双重认证功能描述.36 2.5.3.2 双重认证功能实现方法.37 2.6 移动存储管理及安全监控强审计管理 .38 2.6.1 移动存储管理.38 2.6.2 文件保护和访问审计.39 2.6.3 文件输出审计.40 2.6.4 注册表审计.41 2.6.

5、5 上网访问行为审计.41 2.6.6 聊天行为审计.42 2.6.7 其他行为审计.43 2.7 档案、报警和日志管理 .43 2.7.1 档案管理.43 2.7.2 日志管理.46 2.8 实名化管理 .46 2.9 远程呼叫帮助平台 .47 2.10 远程数据包和流量分析工具 .48 三、预计可达到的成效三、预计可达到的成效.50 一、系统需求分析系统需求分析 1.11.1 当前网络环境当前网络环境 为了维护网络内部的安全及提高系统的管理控制，需要对单位内部终端统 一部署配置网络，并实施安装统一的网络安全产品进行管理。 1.21.2 网络管理中面临的问题网络管理中面临的问题 对于多数单位

6、来说，一般都已经建立了比较完善的网络管理行政制度，但 是以往在网络管理工作因为缺少相对应的技术手段，网络管理制度无法得以落 实，致使管理员的日常维护工作繁琐，同时还有信息泄密的风险。一个成熟的 网络安全管理理念应该全方面的主动防御，而不是事后责任追查。网管人员在 多年的管理中总结出部分有待解决的需求： 1.2.1 非法接入非法接入问题问题 在单位内部可能会出现外来笔记本接入的问题，可能会造成单位内部的涉 密文件被窃取，引入病毒等严重后果。需要禁止非法 PC 机接入内网及和内部主 机相互连接，防止重要资料的泄漏，防止内网用户通过拨号等外联方式连接互 联网。需要对外来终端设备进行详细的安全认证及身

7、份认证。 1.2.2 终端安全管理问题终端安全管理问题 计算机病毒是目前对网络及计算机安全最大的威胁。目前一般单位内部虽 然已经统一配置安装了杀毒软件，能够对病毒进行一定效果的防范，但是仍存 在终端升级不及时，版本不统一，管理不规则等问题。 终端密码也是一般单位普遍关注的一个问题。假若单位的终端的密码经常 被改动，其安全性（包括密码长度、弱口令等方面）得不到有效的保障，甚至 终端的注册表也经常被改动，不能够对其进行及时有效的发现与控制，这些都 对内网的安全造成了威胁。 大多数单位的许多终端的 IE 的安全性令人担忧，而且有些终端已经安装了 不安全的插件和恶意软件，这是一个急需解决的问题。 更加

8、困扰网络管理员的问题是，单位的内部网络经常会出现流量过大的问 题，造成网络的不畅甚至拥塞，急需对网络流量进行监控。而单位员工上网行 为往往不规范，对终端的上网访问行为进行审计没有技术手段支撑，比如对违 规操作终端进行阻断等。 办公环境的计算机不允许安装及使用与办公无关的软件，当发现有非法使 用违规软件时应该立即禁止。需要对软件的安装过程及软件执行所启动的进程 进行控制。对于其他不安全的进程以及服务也需要加以监控。 1.2.3 IP 地址管理地址管理问题问题 以往的网络管理员对网络内 IP 地址分配和管理都需要人工来进行操作，并 且在 IP、MAC 绑定上需要可网管型交换机来完成，前期管理员的工

9、作量太大， 在有新的设备入网时需要再次对交换机进行操作，如果操作不当可能造成一个 资源子网不能正常工作，影响业务系统正常高效工作；当没有进行 IP、MAC 绑 定时会出现私自盗用他人 IP 地址的行为，造成合法的 IP 使用人不能正常入网 工作，IP 盗用成功后，如果有违规的网络行为时也不便于进行事件责任定位。 1.2.4 移动存储设备管理及安全审计管理问题移动存储设备管理及安全审计管理问题 外来移动存储设备随意接入网络内终端同样可能会造成单位内部的涉密文 件被窃取，引入病毒等严重后果。对于具有防火墙、网关等硬件防范的网络， 移动存储介质在网络内部造成病毒感染是病毒在内网传播的主要方式。如何防

10、 止外来移动存储介质随意接入网内终端，如何保护终端的涉密信息，对涉密信 息的访问、修改、复制、删除进行控制和审计，如何能够对涉密文件的打印、 发邮件、网络共享进行控制，发现敏感字能及时过滤，并对以上所有行为进行 审计记录是急需解决的问题。 1.2.5 非法外联问题非法外联问题 对于企业单位来说，总有一些关系到企业发展的秘密是不愿意被外人知道 的，因此保密工作便成为一项非常重要的工作。内部人员非法连接外网会增大 病毒渗入和黑客攻击的风险，更为严重的会导致内部资料的泄露，给单位造成 无法逆转的严重损失。 为了防范这些隐患，必须通过技术手段严格防止内部人员未经允许非法连 接外网。 1.2.6 终端补

11、丁管理和软件分发终端补丁管理和软件分发问题问题 对一个单位的内部网络维护来说，每台终端的操作系统及相关软件的补丁 更新是用户及网管员最为烦琐的问题。没有妥善的管理体系，轻则会因为流量 问题，导致网速较慢或断开网络；重则由于兼容问题造成机器蓝屏、死机等， 影响单位的正常工作活动。这就需要有相关系统能够完成客户端操作系统补丁 检测、补丁下发、补丁安装、补丁安装信息回馈等功能，而且能够分发任何形 式的软件，软件下发后能够获取软件下发整体情况，用以及时调整软件下发策 略。 1.2.7 资产管理资产管理问题问题 对网络的管理而言，软硬件资产的管理将是非常重要的一个组成部分。如 果不能全面的掌握终端计算机

12、的软硬件资产，那么对于终端上非法安装的软件 以及终端硬件的变化就无从知晓，这就可能造成单位硬件资产的流失，对网络 的全面管理更无从谈起。 1.2.8 缺乏统一的远程帮助平台缺乏统一的远程帮助平台问题问题 由于终端用户对计算机的熟悉程度，使用水平参差不齐，一个小小的软件 使用问题都有可能要求助于网络管理员，一旦出现程序无法正常运行时往往束 手无策。部门的分布比较广泛，管理员往来奔波，致使处理问题的效率不高。 如果计算机用户能在远程发出求助请求，管理员在远程进行程序安装、调试程 序，势必会节省时间，提高管理员的工作效率，统一的远程呼叫帮助平台就成 为必要。 二、内网安全解决方案二、内网安全解决方案

13、 2.12.1 系统部署和管理构架系统部署和管理构架 S Se er rv ve er r 服服务务器器 C Cl li ie en nt t 客客户户端端B Br ro ow ws se er r 管管理理员员访访问问终终端端 数数据据库库 策略文件 由服务器下发，记 载着需要客户端程 序所执行命令的文 件。 它最终被保存在终 端计算机内 系统 C/S,B/S 结构图 根据实际情况需要可以将内网安全管理系统部署为 N 级级联，在全国范围 建立起内网安全管理系统的管理架构，对所有终端进行统一监控和管理。由于 系统管理采用 B/S 构架，管理员可在网络的任何终端通过登录内网管理服务器 的管理页面

14、进行管理和各种信息查询；所有的网络终端需要安装客户端程序以 对其进行监控和管理。具体的部署和管理构架如下： 网络通过内网安全管理服务器对全网进行网络客户端的各种策略和配置补 丁以及文件的下发，流量监控、违规联网监控、入网设备联网状况监控、终端 软硬件管理、系统文件分发、消息分发等工作，并对客户端进行各种行为和状 态的监控。网络终端上的客户端程序可将各种网络终端的状态信息、日志信息 和报警信息上报，可通过管理节点对异常计算机进行断网等处理，也可通过系 统远程对客户端进行故障诊断和维护。 系统支持无限制的多级级联部署，各级网络独立安装相应的管理软件。下 级管理节点统一汇总本级的报警信息和统计信息，

15、统一上报管理节点；上级管 理节点的管理策略、命令、各种补丁或病毒库升级文件统一下发下级管理节点。 系统将来可根据实际需要在客户端数量、管理层次和功能扩展上进行无缝平滑 扩展。 在同一级管理节点，可根据实际网络拓扑情况，安装多块网卡，满足对同 级不同网段的管理。 2.22.2 系统功能结构图系统功能结构图 北信源产品功能结构示意图 2.32.3 终端节点加固终端节点加固 2.3.12.3.1 补丁自动分发和管理补丁自动分发和管理 北北信信 源源补补 丁丁中中 心心 ( (一一级级) ) 补补丁丁库库分分类类 北北信信 源源补补 丁丁管管 理理中中 心心 ( (二二级级) ) 补补丁丁增增量量导导

16、入入 补补丁丁测测试试 策策略略控控制制 推推拉拉分分发发控控制制 流流量量控控制制 多多级级级级联联控控制制 补补丁丁分分发发检检索索 补补丁丁自自动动识识别别 客客户户端端策策略略 客客户户补补丁丁查查询询 动动态态下下载载 转转发发代代理理 报报表表中中心心 北北信信 源源补补 丁丁管管 理理中中 心心 ( (二二级级) ) . . . . . . . . . . . . 客客户户端端 自自动动测测试试组组 ( (真真实实环环境境) ) 级级联联 同同步步 级级联联 同同步步 补丁监控和分发功能图 利用北信源主机监控审计与补丁分发系统可彻底解决补丁问题，其具体实 现如下： 1 1补丁策略

17、制定补丁策略制定 包括补丁应用策略制定、补丁文件分发任务制定。 可以根据要求按照不同的区域进行划分，可按照 IP 地址、部门、操作系统、 用户自定义等方式进行区域划分。具体的 补丁策略制定：具体可支持定时、定周期、分类、分部门、分范围、客户 机状态和用户自定义等策略。 补丁策略分发：具备详尽的补丁分发策略，补丁可以定时、定周期、分类、 分范围、分部门、分范围、客户机状态和用户自定义等进行分发。 补丁文件任务制定：针对特定的一个补丁或多个补丁，对指定计算机或者 计算机网络进行补丁自动分发安装。 补丁中心将网络客户端分类，设置测试类客户端，补丁在测试类机器上经 过严格测试后，再正式对其他类网络机器

18、进行分发。 此外，内网安全管理系统还提供补丁下载流量控制功能，补丁管理中心区 域管理模块能够对网络不同网段、不同区域的终端补丁升级进行流量、数量控 制，避免造成对网络的流量影响，合理控制网络带宽。 实例图 2 2 补丁下载检测和增量式导入补丁下载检测和增量式导入 系统支持在物理隔离的内部网络进行补丁分发。对物理隔离的网络来说， 内部的补丁升级服务器中的补丁数据必须从外部导入，巨大的补丁数据库使得 每次补丁导入相当烦琐。为此，北信源使用增量式补丁分离技术，在外网导出 补丁时，可分离出内网已经安装的补丁，只导入内网尚未安装的系统补丁，即 仅对内网的补丁进行“增量式”的升级，以提高效率。 当有新的计

19、算机补丁公布可以下载后，北信源公司由专门的人员在第一时 间内获得，并进行相应的分析，更新补丁索引文件。 系统拥有专门的外网补丁下载服务器，能根据索引自动下载新增的计算机 补丁，补丁校验功能对所下载的补丁进行校验，保证计算机补丁的可靠性、完 整性、安全性。 补丁在导入时并具有病毒检测功能，保证导入到补丁库中的补丁不被病毒 感染。 3 3补丁安全自动测试补丁安全自动测试 一般单位的环境中，可能会包含特殊的应用或特殊的软件版本，在这些环 境中，有时会出现打补丁后系统或应用异常的情况，所以在大规模补丁分发前 需要进行真实环境的补丁测试。北信源系统独创了真实环境闭环测试技术，具 体的流程是首先由网管选定

20、某些计算机作为测试计算机作为测试组，每次补丁 导入后内网后，首先自动分发至这些选定计算机进行新补丁的安装测试，从而 自动地进行非模拟性自动测试。如果补丁安装后对测试计算机未产生影响，被 测试计算机能正常运行，网管员便可根据相应得策略对网络内的计算机进行大 面积的推送。此技术可以很好的减轻网管的测试工作量，并提高补丁安装的安 全性。 补丁自动测试图 4 4补丁库自动分类补丁库自动分类 系统对存放到服务器上的计算机系统补丁能进行相应的分析，自动得出补 丁属性、类型和与之相关的补丁说明，并在网页中进行清晰明了的显示。可以 方便管理人员根据相应的需求，高效快捷定义补丁分发策略，及时的针对不同 的系统和

21、需要分发计算机补丁。 系统同时提供管理员自定义补丁类别的补丁管理方式，如果需要也可由相 关的管理人员自行设定相应的自定义补丁类别以符合其管理的需要。 5 5 补丁库的级联和同步补丁库的级联和同步 系统可以针对补丁进行级联式的分发和管理，在级联级数没有任何限制并 在三级的基础上进行无缝平滑扩展。 可定期进行同步校验，也可自主设定同步校验周期和时间。在有新补丁导 入时，也可以自动触发与下级服务器间的同步操作。 所有的同步过程均可自动完成，上级服务器可以了解下级服务器补丁库是 否同步成功。 6 6补丁安装检测、自动分发补丁补丁安装检测、自动分发补丁 网络管理员可通过本模块全面检测网络系统终端补丁的安

22、装状况，并对没 有安装补丁的设备进行远程补丁安装,将最新补丁升级包及时分发到终端计算机， 并提示安装修补，在客户端有明显提示，通知用户打补丁。 系统可以对客户端安装的系统的版本，IE 版本的补丁安装情况进行自动探 测和维护（客户端计算机的补丁安装情况包括 Windows、Office、IE、微软媒 体播放器等） ，自动搜集客户端系统资料和安装补丁资料，以根据客户端系统的 实际状况自动分发所需的补丁。 7 7补丁推送安装补丁推送安装 当系统检测到有客户端未打补丁时，可对漏打的补丁进行推送式的安装。 同时，通过推送安装，也可以为客户端安装应用软件。 补丁推送分发可以跨网段，跨 VLAN,补丁分发支

23、持断点续传功能。补丁下 发过程中，如遇到特殊事件造成网络中断，则在下次网络连通时通过校验得出 已传输的数据和断点位置，进行续传。 8 8系统补丁报表系统补丁报表 监控程序将网络客户端补丁信息上报管理中心后写入数据库，在 WEB 管理 平台可进行补丁报表察看，统计网络客户端补丁安装状况。 9 9补丁下载流量控制补丁下载流量控制 系统可以利用多种方式进行下载流量控制： 1、系统能够根据网络的负载情况自动调整分发补丁时所占的网络带宽和并 发连接数； 2、根据手动设置允许的带宽或服务器并发连接数及每个连接所允许使用的 带宽； 3、系统同时支持客户端转发代理补丁下载，以减少网络带宽流量，提高效 率。 1

24、010服务器端补丁查询服务器端补丁查询 客户端软件实时监控客户端系统漏洞及补丁安装情况，服务器端补丁查询 补丁可根据补丁名称、待查询 IP 范围、操作系统、待查区域，查询时间或其它 条件对区域网络范围内的计算机终端进行补丁安装状况查询，通过网管设定的 查询条件，能快速的获知所查询补丁的安装情况（如补丁发送是否成功，补丁 安装是否成功，补丁是否已被安装等） ，以保证补丁及时的安装。 1111客户端网页查询补丁安装信息客户端网页查询补丁安装信息 因为很多用户习惯通过访问微软的 Update 网页，检查自己漏打的补丁，并 进行下载安装。作为物理隔离的网络，内网中的用户无法访问此网页，因此从 用户的习

25、惯角度出发，内网中也应该有类似的网页，以便用户访问和获知本机 补丁安装情况，进行补丁下载安装。安装了系统客户端的计算机可以通过访问 内网的特定网页，对本机所缺少的计算机补丁进行查询，查询结果在网页上进 行显示，计算机用户根据需要进行安装。 1212 新（长时间关机）客户端入网先打补丁新（长时间关机）客户端入网先打补丁 对于一个内部网络而言，网络中可能会有网络攻击型病毒，在扫描终端漏 洞，当未安装补丁的终端接入网内时，可能会立即感染病毒，并成为新的病毒 攻击源。因此新接入内网的终端，应只能和补丁管理服务器通讯，不能和其它 设备进行通讯，以免感染病毒。 系统具备先进的判别技术，对于新机器或长时间关

26、机的计算机，在其进入 网络时，能快速的发现并识别此类计算机，对这类计算机发送相应的提示，如 提醒用户下载并安装计算机补丁，提醒补丁下载的位置和计算机用户下载并安 装所需的计算机补丁。也可对这些计算机进行补丁强制推送，安装计算机所缺 少的补丁。系统可保证此新（长时间关机）的客户端刚接入网络时，不与网络 中除补丁服务器外其它计算机的通讯，只在上网后首先进行补丁安装工作，只 在补丁安装完成后，才开放其与网内其它计算机的通讯。 2.3.22.3.2 网管可统一配置的主机防火墙（网管控制包过滤）网管可统一配置的主机防火墙（网管控制包过滤） 蠕虫病毒均是通过一定的端口进行传播和发包，如果网管可以统一控制网

27、 络中计算机的端口，关闭病毒使用的端口，进行端口加固，就可以有效阻止这 些病毒的传播和破坏。 系统具备可由网管根据需要统一配置的客户端主机防火墙，可按照策略控 制客户端的特定端口的连接，包括禁用（开启）指定的端口，禁止 Ping 入（出） ，设定 IP 区域访问控制，进行包过滤控制等，也可禁止使用代理服务器，系统 不管如何设置包过滤规则，均不会造成维系管理服务器对客户机管理的通信无 法进行。 当某些客户端临时离开内部网络安装到其它网络时，客户端软件的包过滤 功能和禁止使用代理服务器功能可根据管理员的预设置策略自动关闭或继续工 作。 防火墙策略 利用此功能可实现： 1. 端口控制： 禁用填充项中

28、指定端口，开放其它端口； 开放填充项中指定端口，禁用其它端口； 禁用填充项中指定端口； 开放填充项中指定端口； 端口可按照范围进行填写。 2. ICMP 协议控制 禁止 ping 入 禁止 ping 出 协议双向禁止 3. IP 地址访问控制 只允许填充项中 IP 地址访问自己，禁止其余 IP 地址访问。 只允许自己访问填充项中 IP 地址，禁止访问其余 IP 地址。 2.3.32.3.3 弱口令监控弱口令监控 目前很多病毒已经可以“猜”出用户机的口令，如果计算机使用弱口令， 病毒将会通过这些弱口令获得计算机的控制权，并进行传播。这类病毒的传播 行为靠杀毒软件或者补丁加固均无法进行控制。 系统

29、可以检查开机密码是否是弱口令，以保障系统不因为弱口令被病毒和 黑客攻击。 2.3.42.3.4 用户权限变化监控用户权限变化监控 网络终端的权限一般不会被用户检查，正常的客户端用户权限极少改变， 但是很多病毒和黑客的攻击很多是利用计算机上权限的变化实现的，计算机上 权限的变化造成的危害往往是致命的，因此十分有必要对终端权限的变化进行 监控，以告知终端用户和网络管理人员。 利用此项功能可实现：利用此项功能可实现： 1. 当系统用户系统权限发生改变时，进行上报和客户端提示； 2. 当系统用户系统组权限发生改变时，进行上报和客户端提示； 3. 当系统用户增加时，进行上报和客户端提示； 4. 当系统用

30、户减少时，进行上报和客户端提示； 5. 当系统用户组增加时，进行上报和客户端提示； 6. 当系统用户组减少时，进行上报和客户端提示； 2.3.52.3.5 关键进程加固关键进程加固 设定关键进程，对关键进程进行保护，如果出现未响应进程和意外退出等 现象，被加固的进程将自动进行（如退出、退出并重起等）处理。可以保证查 询系统的正常运行。 关键进程加固 2.3.62.3.6 注册表加固注册表加固 系统可屏蔽选定用户计算机的一些程序进程对注册表的使用，通过该策略 可以有效的防止违规进程对用户注册表的破坏。 注册表保护策略 2.42.4 终端全面管理终端全面管理 对于成熟的网络管理来说，静态的 IP

31、地址管理以及成为一种趋势，IP 地 址的实名化管理和绑定成为必要。实名化的管理在网络事件发生时便于进行快 速的事件定位，缩短故障排除时间。进行 IP 地址绑定是为了防止他人非法盗用 他人 IP 地址以达到个人目的，并逃避责任。 2.4.12.4.1 IPIP 地址管理地址管理 针对已经分配的 IP 地址采用实名化管理，便于快速事件定位； 计算机用户列表 IP 地址占用列表 针对没有分配的 IP 地址能够自动发现非法占用，并进行处理； 阻断未分配的 IP 地址 2.4.22.4.2 IPIP、MACMAC 地址绑定地址绑定 通过策略配置快速的实现 IP、MAC 绑定，绑定后，对私自修改 IP 计

32、算机进 行地址恢复，或断网，同时上报服务器保存。 IP、MAC 绑定示意图 私自修改 IP 的违规查询 2.4.32.4.3 禁止修改网关、禁用冗余网卡禁止修改网关、禁用冗余网卡 如果终端装有双网卡，可使用“IP 与 Mac 绑定策略”中的“禁用冗余网卡” 功能来实现对冗余网卡的禁用。选中此项功能，则只保留与区域管理器通信的 网卡，禁用其他的网卡。 2.4.42.4.4 资产管理资产管理 实际使用中，可能会出现客户端用户随意拆卸网络终端硬件的现象，这会 给网络终端的管理带来混乱，甚至可能造成内网网络信息网硬件设备资产的流 失。 桌面计算机安装客户端程序后，客户端程序会自动收集当前计算机的各种

33、硬件信息，包括 CPU、内存、硬盘、网卡 MAC 地址、主板芯片、主板上的板卡 等主要硬件信息。信息收集完成后自动上报给 VRVEDP 服务器，保存在后台数据 库中，管理员有需要的时候只需要登陆管理平台，选择查询条件就会生成管理 员需要的硬件资产报表，同时还可以导出 Excel 报表，并可对其变化报警。 终端资产示意图 报表生成示意图 2.4.52.4.5 终端桌面管理终端桌面管理 2.4.5.12.4.5.1 流量管理和控制流量管理和控制 蠕虫病毒和 BT 下载等行为在很多情况下会严重占用网络带宽，造成网络的 拥塞甚至瘫痪，对此可利用本系统进行流量的管理与监控。 主要功能：主要功能： 1.

34、流量采样阈值设定：用户自主设定采样阈值，当流量（含出、入或总 流量）超过一定限度并持续一定时间后，进行有关信息上报，防止上 报数据过多给网络带来负担。 2. 上报的当前流量进行汇总，对当前的流量进行时实排序，以便网络管 理人员进行快速分析是否是网络安全事故。 3. 对网络客户端的历史流量进行统计和排序，并可生成报表。 4. 对并发连接数设定阈值并进行采样。 5. 对网络扫描的可疑行为进行阈值设定和报警。 6. 对客户端大量发包的可疑行为进行阈值设定和报警。 7. 对具备可疑行为的客户端进行报警上报、自动阻断、客户端提示等管 理。 8. 设定网络客户端流量上限阈值，对超过的进行报警上报、自动阻断

35、、 客户端提示等管理。 流量策略实例图 2.4.5.22.4.5.2 软件及进程监控软件及进程监控 1.1.软件资源统一监控软件资源统一监控 1)软件资源统一监控：自动收集安装在每台计算机上的每种应用程序信 息，包括安装的操作系统种类、版本号以及当前补丁情况、客户机安装 的软件等信息和驱动程序情况，并进行汇总管理。 2)系统能够及时检测主机软件信息变化情况。 3)根据条件查询客户机安装的软件或指定软件被哪些客户端安装等信息。 4)对软件安装进行黑白名单控制，即根据策略设定禁止安装的软件和必 须安装的软件。 5)违规软件禁止安装功能，禁止在注册表 Run 项里添加自启动项，禁止 在注册表 Ser

36、vices 项里添加自启动项，禁止在程序启动项中添加项， 禁止在程序项中添加快捷方式限制违规软件的安装，所有安装软件均可 进行审计。 软件安装行为策略 6)对重要的进程进行守护，防止由于意外或认为原因造成重要进程中断。 7) 对违规的客户端进行客户端提示和断网处理等相应措施。 2.2. 网络进程监视功能网络进程监视功能 统一汇总和监视网络各终端的进程，可以增量式的显示网络中新出现的进 程，也可统计网络中最常运行的进程，从而统计出网络客户端软件的使用情况。 此系统可对网络中出现的异常进程（很可能病毒进程）进行定位和报警，在必 要时可直接阻断。 进程执行监控策略 2.4.5.32.4.5.3 硬件及端口控制硬件及端口控制 管理员在 Web 控制台禁用或启用终端用户的外部设备，禁用或启用终端用 户的某一端口。如启用或禁用软驱、光驱、U 口、打印机、Model、串口、并口、 1394 火线口、红外接口等。其中 USB 存储设备、软驱、刻录光驱提供禁用、只 读、读写三种控制状态，其他类型外设提供禁用、可用两种状态，系统能够对 所有外设访问行为进行细粒度审计