北信源内网安全解决方案

更多技术方案、产品资讯或渠道共赢请联络：深圳市纳思科技有限公司广州分公司 曾常飞广州市天河区石牌东路商贸大厦910B Mail：zengcf MSN：gznasiPhone：020-35839471 Mobile：15876574377 QQ：1356694220 16866027XXXXX终端安全管理解决方案北京北信信源软件件股份有有限公司司20100-03322目 录1、前言言42、需求求分析552.1、XXXXX信息息系统现现状52.2、XXXXX网络络终端管管理需求求52.3、XXXXX网络络终端安安全管理理系统需需求分析析63、北信信源终端端安全管管理解决决方案773.1、VRVVEDPP系统概概述73.3、网网络接入入管理系系统83.3.1、ARPP阻断隔隔离93.3.2、接接入设备备审核及及有效期期103.3.3、8022.1XX认证方方式1113.3.4、接接入控制制网关（硬硬件）1133.4、内内网安全全管理系系统1333.4.1、终终端注册册管理1133.4.2、IP/MACC绑定策策略1443.4.3、IT资产产管理1153.4.4、终终端流量量管理1163.4.5、进进程限制制策略1173.4.6、互互联网访访问控制制183.4.7、防防病毒策策略1883.4.8、软软件安装装限制1193.4.9、多多线程计计算机远远程维护护平台1193.4.10、防防火墙策策略2003.4.11、违违规外联联策略2203.4.12、终终端密码码策略2213.4.13、终终端资源源监控2223.4.14、硬硬件设备备禁用功功能2333.4.15、终终端自动动清理功功能2443.4.16、IP管理理和设备备入网管管理功能能243.4.17、终终端点对对点管理理253.4.18、系系统自动动关机管管理2663.5、补补丁及文文件分发发系统2263.5.1、补补丁自动动分发2263.5.2、软软件分发发313.6、USBB移动存存储管理理系统3323.6.1、分分级权限限控制3333.6.2、审审计功能能完善3343.7、主主机安全全审计系系统3553.7.1、互互联网访访问审计计353.7.2、文文件访问问及输出出审计3363.7.3、涉涉密内容容审计3373.7.4、软软件安装装审计3373.8、档档案、报报警和日日志管理理功能3383.8.1、详详尽的档档案管理理功能3383.8.2、日日志管理理功能3393.8.3、报报警管理理403.9、系系统具备备的接口口和强大大的可扩扩展性4413.9.1、接接口描述述：4113.9.2、系系统具有有良好的的可扩展展性：4424、XXXXX实实施内网网安全管管理项目目的可预预见效益益431、前言言北京北信信源软件件股份有有限公司司（以下下简称“北信源源”）成立于于19992年，总总部坐落落于中国国信息产产业基地地“中关村村高新科科技园区区”。北信信源是国国内成立立最早的的专业反反病毒厂厂商之一一，也是是中国最最早研制制、开发发“内网安安全管理理及补丁丁自动分分发系统统”的厂商商。北信信源所有有信息安安全产品品均拥有有完全独独立自主主的著作作版权。北信源自自主研发发的“北信源源内网安安全管理理及补丁丁自动分分发系统统”是中国国终端桌桌面安全全管理领领域市场场占有率率最大的的产品，目目前已经经广泛应应用于各各个行业业，产品品的成熟熟度与稳稳定性、兼兼容性均均在国内内领先。北信源目目前已形形成安全全产品研研发部、安安全产品品实验室室、数据据安全急急救中心心以及安安全服务务保障部部等规模模化安全全部门。公公司产品品获得多多项专利利，产品品技术完完全享有有独立自自主产权权，获得得公安部部颁发的的安全产产品销售售许可证证, 同同时经严严格测试试获得涉涉密信息息系统产产品检测测证书、中中国信息息安全产产品测评评认证中中心认证证及军事事产品使使用认证证。北信信源公司司是以研研制、生生产、销销售计算算机网络络安全产产品为主主的公司司。19992年年研制出出计算机机杀毒软软件（单单机版）。119977年研制制出国内内第一套套计算机机病毒实实时防火火墙产品品和第一一套网络络防毒软软件。220011年中关关村电脑脑节中公公司产品品荣获十大知知名软件件品牌称号，并并被评为为“第五届届科技之之光信用用企业”。20003年年研制出出内网安安全管理理及补丁丁自动分分发系统统。北信源的的用户涉涉及财税税、银行行、证券券、统计计、电信信、通讯讯、军队队、公安安、院校校等国家家部委和和大型企企业，拥拥有包括括国家统统计总局局、国家家税总、中中共中央央宣传部部、全国国人大、总总参、公公安部、中中科院、铁铁道部、中中国电信信、中国国联通、联联想集团团、方正正集团以以及全国国以上的的证券公公司等在在内的庞庞大客户户群体，并并成为几几十家大大型用户户的长期期技术合合作开发发伙伴，甚甚至向重重要用户户长年派派驻技术术服务人人员。科研生产产能力:北信源现现有员工工3355人，以以技术人人员为主主，公司司设立115个部部门，技技术开发发人员占占公司总总人数的的80%，大专专以上学学历2665人，其其中本科科61人人，硕士士、博士士和具有有高级职职称的225人。公司主要要产品有有：北信信源内网网安全管管理及补补丁自动动分发系系统、网网络运行行保障平平台、单单机反病病毒和网网络反病病毒系列列产品、证证券安全全产品。北北信源在在全国重重要区域域均拥有有分支机机构，公公司有很很强的技技术支持持能力，能能够满足足全国范范围客户户产品服服务和安安全应急急服务的的需求。质量管理理: 北信源拥拥有严格格的产品品管理标标准，已已经通过过ISOO90001-220000产品质质量体系系认证。2、需求求分析2.1、XXXXXX信息系系统现状状如上图所所示，XXXXXX共6000多台终终端，分布在在大厦的各各楼层，办公室室部分接接入层设设备为普普通HUUB。在在边界部部署有防防火墙安安全设备备，终端端部署有有防病毒毒软件。2.2、XXXXX网络终端管管理需求求XXXXX网络分布布广泛，终终端数量量庞大，运行业务需要的保密性强。虽然各个节点都部署有网络安全设备，但由于使用人数多，员工的个人行为难以管制，网络中的终端PC机的运行得不到保障，使得单位网络的运营仍然存在重大安全隐患，例如：1）、外外来工作人人员笔记记本电脑脑接入内内网后，将重要信信息拷贝贝走、将将外边的的病毒带带近来，导致信信息的泄泄密，病病毒的泛泛滥。2）、内内网员工工通过mmodeem拨号号等方式式接入互互联网或或其他网网络，导导致电脑脑中病毒毒，从而使使整个网网络瘫痪痪，以及及重要信信息被窃窃取，。3）、操操作系统统补丁安安装不及及时导致致系统崩崩溃；4）、当当终端PPC出现现故障时时，管理理人员不不能及时时到达现现场进行行维护，导致故障进一步恶化。5）、大大量终端端未安装装、未运运行病毒毒防火墙墙，并经经常不能能及时更更新病毒毒库，导致系系统中毒毒；6）、由由于终端端数量繁繁多，无无法统计计和管理理软硬件件资产，导导致的软软件随意意卸载，硬硬件丢失失。7）、终终端用户户随意安安装网上上下载的的带有病病毒、蠕蠕虫、木木马、流流氓软件件的软件，影影响单位位网络的的正常运运行。8）、在在终端设设备上随随意加载载移动存存储设备备，企业业的信息息安全得得不到保保障。9）、用用户随意意更改IIP地址址，导致致与服务务器IPP地址冲冲突，影影响服务务器数据据访问。2.3、XXXXXX网络终端端安全管管理系统统需求分分析通过对以以上拓扑扑结构和和用户所所提系统统需求分分析，可可以找到到目前XXXXXX内网主主要面临临的安全全管理问问题：1）、如如何有效效地管理理外来工工作人员员的网络络接入。如如：是否否允许接接入？接接入允许许访问哪哪些网络络；允许许接入网网络多长长时间等等；2）、如如何控制制通过mmodeem拨号号等方式式接入互互联网或或其他网网络；3）、如如何对补补丁进行行自动分分发部署署和监控控，保障障终端系系统的健健壮性，从从而免受受病毒的的侵袭；4）、如如何进行行有效的的远程维维护，进进行远程程网络故故障诊断断，关闭闭、锁定定、重起起计算机机或禁用用网络连连接；5）、如如何统一一部署病病毒防火火墙软件件，并要要求客户户端必须须时时运运行，且且为最新新病毒库库。避免免系统中中毒；6）、如如何对硬硬件资产产进行自自动发现现识别，并并打印报报表，以以便对网网络硬件件资产进进行电子子化跟踪踪和管理理，在提提高工作作精度的的同时减减少网络络管理人人员的工工作量；7）、如如何防止止在网络络终端上上随意安安装盗版版软件、聊聊天、游游戏访问问非法网网站等，影影响工作作效率；8）、如如何对涉涉密网络络中的移移动存储储设备（如如笔记本本，U盘盘、移动动硬盘等等）进行行监控管管理，并并对与这这些设备备相关的的数据交交换进行行审计、确确保数据据安全；9）、如如何方便便准确的的对IPP地址和和MACC地址进进行绑定定，防止止IP冲冲突、保保障网络络安全；10）、如如何实施施有效的的网络客客户端通通讯（包包括流量量）管理理，防止止计算机机蠕虫。11）、如如何对登登陆账号号口令进进行有效效管理，防防止病毒毒或黑客客进行攻攻击。12）、如如何准确确有效的的定位网网络中病病毒的引引入点，快快速、安安全的切切断安全全事件发发生点和和相关网网络。13）、如如何对通通过电子子邮件、网网络拷贝贝、打印印输出的的数据进进行审计计，保证证涉密网网络的安安全。14）、如如何对网网络中的的客户端端所安装装软件信信息进行行有效的的查询和和管理。15）、如如何重要要IP进进行保护护，防止止由于意意外的IIP接入入或改变变造成的的IP冲冲突、保保障重要要设备的的安全。16）、如如何安全全、方便便的将违违规计算算机阻断断出网。17）、如如何按照照既定策策略统一一配置客客户端端端口策略略、注册册表策略略等客户户端安全全策略。18）、如如何有效效监控重重要终端端的运维维信息，以以便网管管了解网网络中的的客户端端是否已已超负荷荷运转，是是否需要要升级。19）、如如何对应应用程序序进行分分发安装装，以大大幅度减减少网管管的工作作量。20）、如如何有效效进行网网络资源源管理和和设备资资产管理理。这些桌面面机与每每个企业业员工的的日常工工作息息息相关，接接触/涉涉及企业业关键数数据和应应用。XXXXXX在网络络终端管管理方法法和管理理技术等等方面都都还相对对缺乏，应应对产生生的新问问题和新新需求，需需要根据据企业实实际情况况研究分分阶段的的应对策策略和解解决方案案。3、北信信源终端端安全管管理解决决方案3.1、VVRVEEDP系系统概述述终端管理理是一个个综合的的系统问问题，涉涉及管理理计算机机本身、计计算机应应用、计计算机操操作者、计计算机使使用单位位管理规规范等多多个方面面的要求求性因素素。北信源通通过对国国内外近近年终端端安全管管理技术术和发展展趋势的的研究，将将单位和企企业内部部网络终终端管理理概括的的从终端端状态、行行为、事事件三个个方面来来进行防防御，管管理手段段大致包包括如下下内容：内网管理理核心功功能北信源内内网安全全管理及及补丁分分发系统统（VRRVEDDP）遵遵循网络络防护和和端点防防护并重重理念，对对网络安安全管理理人员在在网络管管理、终终端管理理过程中中所面临临的种种种问题提提供解决决方案，实实现内部部网络终终端的可可控管理理，达到最最佳的管管理效果果。北信源内内网安全全管理及及补丁分分发系统统强化了了对网络络计算机机终端状状态、行行为以及及事件的的管理，它它提供了了防火墙墙、IDDS、防防病毒系系统、专专业网管管软件所所不能提提供的防防护功能能，对它它们管理理的盲区区进行监监控，扩扩展成为为一个实实时的可可控内网网管理平平台，并并能够同同其它安安全设备备进行安安全集成成和报警警联动。北信源终终端安全全管理系系统主要要包括五五大系统统：网络络接入管管理系统统、内网网安全管管理系统统、补丁丁及文件件分发管管理系统统、移动动存储管管理系统统。下面将详详细介绍绍各功能能包的功功能作用用。3.3、网网络接入入管理系系统XXXXX综合布布线的信信息点分分布在各各个地方方，外来来笔记本本可以通通过这些些信息点点随时接接入到网网络中来来传播病病毒或窃窃取重要要数据，因因此北信信源对网网络中的的终端设设备采取取注册准准入制度度，对于于未注册册的设备备阻止其其接入网网络。防防止非单单位设备备通过分分散在各各楼层、房房间的信信息端口口接入办办公网络络，对办办公网络络造成破破坏。通过北信信源网络络接入管管理系统统，可能能有效的的实现网网络设备备准入制制度，从从而防止止非法设设备的接接入。主主要通过过四种技术术方法解解决：3.3.1、ARPP阻断隔隔离当用户使使用的交交换机不不支持以以上协议议时，可可以通过过ARPP数据包包来发现现非法终终端的接接入，通通过控制制中心来来调度相相应网段段的终端端对其发发起ARRP欺骗骗攻击，阻阻止其正正常接入入。注：北信信源采用用的ARRP欺骗骗并非AARP欺欺骗病毒毒方式，AARP欺欺骗病毒毒是通过过伪造网网关，终终端不断断向网关关发包，而而引起上上不了网网。北信信源ARRP欺骗骗原理是是通过VVRV服服务器选选择一台台最优的的终端AA不断地地向终端端B发包包，告诉诉B自己己的IPP地址与与B相同同，从而而达到阻阻断联网网。ARP阻阻断过程程1）、用用户接入入进来，服服务器发发送ICCMP包包描扫到到A，获获取到AA的MAAC、IIP地址址。2）、服服务器将将A的MMAC、IIP地址址到数据据库中进进行匹配配，检查查是否有有相应数数据，向向A的2221005端口口发送数数据包，看看是否有有回应。3）、2221005端口口无数据据包回应应，则服服务器发发指令给给A接入入的同网网络内的的、开机机已注册册的终端端B，告告许B向向A发送送ARPP欺骗，说说B的IIP地址址与A相相同。从从而实现现对新接接入的用用户进行行阻断。综上，结结合XXXXX网网络及网网络设备备情况，北北信源提提出采用用8022.1XX与ARRP阻断断结合使使用，在在信息中中心部署署8022.1XX，其他他各单位位启用AARP阻阻断，来来实现接接入控制制，以防防止外来来设备接接入网导导致的病病毒传播播和窃取取重要信信息。部署方法法：1）、合合理规划划各部门门终端IIP地址址；2）、根根据VLLAN划划分区域域；3）、全全网终端端安装注注册EDDP AAgennt客户户端程序序；4）、根根据VLLAN区区域启动动ARPP阻断。3.3.2、接接入设备备审核及及有效期期为了确保保用户在在注册终终端软件件时的信信息真实实有效，系系统将未未审核注注册信息息的设备备放到“待审核核”区，可可以对待待审核区区的设备备设置相相关的安安全策略略，如：只能上上网，不不能访问问单位服务务器等。注册有效效期是方方便用户户给第三三方软件件开发公公司的技技术人员员，在短短期内利利用单位位网络资资料的控控制方法法，有效效期到达达后，该该设备则则不能接接入。3.3.3、8022.1XX认证方方式1）、8802.1X认认证在支持8802.1X功功能的交交换机上上开启认认证功能能，已经经安装了了北信源源软件的的终端可可以自动动同认证证服务器器做认证证，未安安装的终终端会被被交换机机自动隔隔离到指指定区域域。802.1X认认证过程程：步骤：（11）、用用户接入入进来，首首先进行行身份认认证，即即检查是是否安装装Ageent，是是否网内内用户。身身份认证证失败则则定义为为非法用用户拒绝绝入网或或到访客客区。如如果身份份认证通通过，则则接收策策略，进进行安全全检查。（2）、安安全检查查未通过过，则定定义为不不合格用用户，进进入修复复区进行行安全修修复。（3）、安安全修复复完成进进行安全全检查，安安检通过过，则定定义为合合格用户户，可访访问工作作区。2）、终终端安全全检查策策略终端安全全检查策策略可对对接入内内网的终终端的自自身安全全性做检检查，主主要包括括以下几几个方面面内容：（1）、杀杀毒软件件检查1.1）、是否安装杀毒软件，未安装则自动安排指定的杀毒软件。1.2）、杀毒软件是否最新版本，不是最新版本则自动运行指定的升级包。（2）、系系统补丁丁检查是否指定定的系统统补丁，未未安装则则自动安安装。（3）、访访问资源源限制在终端未未完成以以上检查查项目前前，只能能访问指指定的网网络资源源，如：防病毒毒服务器器。3.3.4、接接入控制制网关（硬硬件）在VPNN环境中中，通过过接入控控制网关关可以实实现对接接入设备备的身分分识别，防防止未经经授权的的非法设设备接入入。详细细说明附附方案二二3.4、内内网安全全管理系系统终端安全全管理以以内网终终端为核核心，通通过安全全策略应应用，加加强终端端自身的的安全性性，防止止因终端端配置或或使用者者疏忽造造成终端端安全故故障，进进一步影影响整个个网络的的安全性性。内网网安全管管理包括括以下功功能策略略：3.4.1、终终端注册册管理可以通过过图表直直观地查查看到设设备总数数、应注注册计算算机数、已已注册计计算机数数，在线线设备数数、安装装杀毒软软件数，也也可通过过数据表表查看到到用户实实名登记记情况，单单位、部部门、使使用人、IIP地址址、MAAC地址址一一对对应。有有利网管管员进行行管理、统统计等作作用。3.4.2、IIP/MMAC绑绑定策略略通过IPP/MAAC绑定定策略，可可以防止止用户乱乱改IPP地址导导致IPP冲突的的故障，影影响业务务系统的的正常运运行。终终端管理理系统在在发现用用户更改改IP地地址的行行为后，可可以通过过自动恢恢复、报报警提示示、断开开网络等等方式进进行处理理。主机IPP保护功功能：可可以强制制被保护护主机始始终拥有有该IPP的使用用权。同同时还具具有主机机防ARRP欺骗骗等功能能。禁止修改改网关功功能：可可以强制制终端仅仅使用此此网关IIP，防防止用户户通过其其他网关关进行互互联网访访问，以以导致违违规外联联行为。禁止冗余余网卡功功能：防防止用户户通过冗冗余网卡卡进行互互联网访访问，以以导致违违规外联联行为。3.4.3、IIT资产产管理1）、硬硬件资产产管理系统在终终端安装装完客户户端后，客客户端会会自动收收集终端端所有硬硬件信息息。有利利于管理理员对网网内所以以硬件资资产进行行良好管管理。2）、软软件资产产管理系统在终终端安装装完客户户端后，管管理员可可对需要要了解软软件信息息的终端端发布收收集软件件信息策策略，客户端端收到策策略后会会自动将将软件信信息上报报。有利利于管理理员了解解终端运运行软件件情况。3）、硬硬件设备备信息变变更管理理系统会自自动发现现各个终终端硬件件变化情情况，防防止硬件件发生变变更事故故后得不不到取证证，有利利于管理理员统计计硬件变更更情况。3.4.4、终终端流量量管理可通过设设定的流流量阀、并并发连接接数、发发包可疑疑数对终终端进行行安全威威胁的判判断。提提前预警警病毒的的传播，有有利协助助网管员员工作。3.4.5、进进程限制制策略监控网络络客户端端软件的的违规使使用情况况，控制制禁止启启用的程程序，如如QQ聊聊天、MMSN聊聊天、炒炒股票等等，搜索索病毒、木木马等可可疑程序序，可直直接关闭闭终端的的违规进进程。并并可对违违规的终终端进行行报警提提示、终终端提示示、阻断断联网等等措施。网络进程程管理功功能：1）、统统一汇总总和监视视全网主主机的进进程运行行情况，并并生成报报表。2）、对对进程进进行黑白白名单控控制，即即根据策策略设定定禁止运运行的软软件和必必须运行行的软件件。3）、自自动停止止或启动动被黑白白名单监监控的进进程。4）、根根据进程程出现的的时间进进行排序序，显示示网络中中最新出出现的进进程，以以便发现现新的可可疑的进进程。5）、此此系统可可对网络络中出现现的异常常进程（很很可能病病毒进程程）进行行定位和和报警。6）、对对违规的的客户端端进行客客户端提提示和断断网处理理等相应应措施。3.4.6、互联联网访问问控制可以通过过黑白名名单（RRUL管管理），可可以指定定的终端端只能访访问哪些些网站或或不能访访问哪些些网站。3.4.7、防病病毒策略略对于大型型网络，网网络客户户端由于于用户使使用水平平的差别别，会出出现用户户卸载甚甚至退出出统一安安装的防防病毒软软件的情情况，也也会出现现有个别别用户被被遗漏，未未安装防防病毒软软件的情情况。同同样也会会出现个个别客户户胡乱安安装非可可靠软件件，甚至至黑客扫扫描软件件的情况况。这些些均只有有依靠技技术手段段才可以以解决。可统一监监控网络络内的防防病毒软软件（国国内外主主流厂商商的防病病毒产品品）安装装情况和和使用状状态，了了解网络络中的病病毒软件件安装状状况，必必要时可可通过软软件分发发强制为为客户端端安装防防病毒程程序，如如果需要要，此系系统也可可监控终终端软件件的安装装情况，并并进行相相应的管管理（如如安装软软件，强强行升级级、禁止止使用特特定软件件，删除除软件等等）。3.4.8、软软件安装装限制可对终端端软件安安装情况况进行黑黑白名单单控制，可可制定软软件安装装黑白名名单，指指定禁止止安装和和必须安安装的软软件，并并可对违违规的终终端进行行报警提提示、终终端提示示、阻断断联网等等措施。3.4.9、多多线程计计算机远远程维护护平台当客户端端用户以以及服务务器用户户在使用用计算机机时遇到到难以解解决的问问题，可可以通过过访问特特定网页页方式，主主动向多多个网管管工作台台（可自自主选择择的）进进行并发发协助请请求呼叫叫，呼叫叫网管对对其进行行远程协协助。当当管理员员接收到到客户端端的请求求以后，调调用远程程客户端端的桌面面，帮助助客户端端用户，解解决相应应的问题题。工作方式式：客户户端一般般可主动动呼叫要要求远程程协助；服务器器端一般般使用被被动的方方式，管管理员可可在控制制端采用用输入密密码等方方式，接接管服务务器端。3.4.10、防防火墙策策略蠕虫病毒毒均是通通过一定定的端口口进行传传播和发发包，如如果网管管可以统统一控制制网络中中计算机机的端口口，关闭闭病毒使使用的端端口，就就可以有有效阻止止这些病病毒的传传播和破破坏。具备可由由网管根根据需要要统一配配置的客客户端主主机防火火墙，可可按照策策略控制制客户端端的特定定端口的的连接，包包括禁用用（开启启）指定定的端口口，禁止止Pinng入（出出），设设定IPP区域访访问控制制，进行行包过滤滤控制等等，也可可禁止使使用代理理服务器器，系统统不管如如何设置置包过滤滤规则，均均不会造造成维系系管理服服务器对对客户机机管理的的通信无无法进行行。当某些客客户机临临时离开开内部网网络安装装到其它它网络时时，客户户机端软软件的包包过滤功功能和禁禁止使用用代理服服务器功功能可根根据管理理员的预预设策略略自动关关闭或继继续工作作。3.4.11、违违规外联联策略XXXXX内网的的终端系系统是禁禁止同其其它网络络接入的的，通过过违规外外联策略略可以自自动检测测终端是是否有同同其它网网络连接接，发现现违规外外联的行行为及时时断开其其网络连连接，保保护内网网的安全全运行。终端安全全系统可可以检测测到终端端的多种种外联行行为，包包括无线线网络（GGPRSS、CDDMA），蓝蓝牙，红红外等。另另外还可可以检测测到内网网的终端端是否离离开网络络单独接接入其它它网络的的行为。对对于这些些行为可可能采取取提示报报警、阻阻断网络络、提示示进行安安全检查查等方式式处理。3.4.12、终终端密码码策略目前很多多病毒已已经可以以“猜”出用户户机的口口令，如如果计算算机使用用弱口令令，病毒毒将会通通过这些些弱口令令获得计计算机的的控制权权，并进进行传播播。这类类病毒的的传播行行为靠杀杀毒软件件或者补补丁加固固均无法法进行控控制。系统可以以检查开开机密码码、屏幕幕保护密密码以及及其它应应用的密密码（如如SQLL数据库库）是否否为弱口口令，以以保障系系统不因因为弱口口令被病病毒和黑黑客攻击击。3.4.13、终终端资源源监控硬件运行行资源管管理功能能：检测测终端设设备的、硬硬盘(含含每个硬硬盘分区区)、内内存等的的资源占占用情况况，可自自主设定定阈值,以确定定终端系系统资源源占用是是否达到到上限，是是否应该该升级；重要进程程异常报报警和自自动恢复复：对未未响应进进程和意意外退出出进程进进行（如如退出、退退出并重重起等）处处理。异常流量量监控：基于主主机方式式对网络络中客户户端流量量、分支支网络带带宽流量量进行分分析，防防止非法法入侵、滥滥用网络络资源。当当流量（含含出、入入或总流流量）超超过一定定限度并并持续一一定时间间后，进进行有关关信息上上报，以以便网管管了解客客户端流流量异常常，从而而快速分分析是否否是网络络安全事事故。3.4.14、硬硬件设备备禁用功功能1）、硬硬件设备备禁用功功能：控控制外设设的使用用，如启启用或禁禁用软驱驱、光驱、U口、打印印机、Moddel、串口、并口、113944火线口口、红外外接口等等。其中UUSB存存储设备备、软驱驱、可刻刻录光驱驱提供禁禁用、只只读、读读写三种种控制状状态，其其他类型型外设提提供禁用用、可用用两种状状态，系系统能够够对所有有外设访访问行为为进行细细粒度审审计。2）、设设备信息息汇总管管理功能能：管理理服务器器自动为为发现的的客户机机建立包包括静态态信息和和动态信信息的客客户机档档案。3）、手手工修改改设备信信息：管管理员能能根据需需要通过过手工、文文件导入入等方式式输入MMAC地地址对未未在网络络上出现现的客户户机预先先建立不不完整档档案。4）、相相关的策策略可根根据时间间或区域域进行策策略下发发；3.4.15、终终端自动动清理功功能协助用户户维护（指指定目录录下的）临临时文件件、备份份文件、帮帮助的历历史文件件、IEE临时文文件、安安装临时时文件、异异常临时时文件等等各种应应删除的的文件。3.4.16、IIP管理理和设备备入网管管理功能能1）、对对IP地地址使用用情况进进行监视视和管理理；网络络管理员员可通过过此系统统精确统统计网络络计算机机入网设设备，了了解当前前网络IIP资源源使用，以以取代原原始的数数据资料料记载的的手段，增增强了设设备管理理信息的的实时性性、准确确性；2）、系系统提供供入网设设备精确确定位功功能，通通过此系系统可精精确定位位发生安安全问题题的终端端设备所所在地点点和使用用人等，以以增加安安全应急急反应速速度，简简化网络络管理员员的工作作。3）、客客户机档档案中有有客户机机在线/离线状状态标志志，离线线时必须须有最后后在线时时间（离离线时间间）记录录。4）、对对已注册册的客户户机，在在线时有有操作忙忙/闲标标志，以以及空闲闲的时间间（长时时间无键键盘鼠标标操作标标志为“闲”）。3.4.17、终终端点对对点管理理为更方便便网管员员工作，北北信源提提供点对对点管理理功能，网网管员可可直接通通过IPP地址对对所需管管理的终终端进行行点对点点控制，通通过远程程后台对对终端机机进行维维护。既既达到维维护工作作，同时时又保证证了终端端私密性性。3.4.18、系系统自动动关机管管理可根据需需要设置置终端定定时自动动关机，为为节省资资源，防防止无人人职守时时计算机机系统受受到攻击击或信息息被窃取取等。3.5、补补丁及文文件分发发系统3.5.1、补补丁自动动分发补丁管理理功能构构架图补丁管理理主要功功能：3.5.1.11、补丁丁增量导导入功能能对于物理理隔离的的内部网网络，其其内部补补丁升级级服务器器中的补补丁必须须从外部部获得，因因此，要要求从IInteerneet上下下载补丁丁，十分分巨大的的补丁库库使得每每次补丁丁导入的的工作烦烦琐。北北信源针针对此类类物理隔隔离的内内网，使使用增量量式补丁丁自动分分离技术术，在外外网分离离出已安安装、未未安装补补丁，分分类导入入，即仅仅对内网网的补丁丁进行“增量式式”的升级级，减少少拷贝工工作量。互互联网补补丁自动动实时探探测，支支持补丁丁导出前前病毒过过滤。3.5.1.22、补丁丁分析功功能自动建立立补丁库库，支持持补丁库库信息查查询。针针对下载载的补丁丁进行归归类存放放，按照照不同操操作系统统、补丁丁编号、补补丁发布布时间、补补丁风险险等级、补补丁公告告等进行行归类，帮帮助管理理人员快快速识别别补丁。3.5.1.33、补丁丁策略制制订（分分发）功功能支持用户户自定义义补丁策策略自由由配置分分发，发发送至客客户端后后统一按按策略执执行应用用。1）、补补丁策略略制定：具体可可支持定定时、定定周期、分分类、分分部门、分分范围、客客户机状状态和用用户自定定义等策策略。2）、补补丁策略略分发：具备详详尽的补补丁分发发策略，补补丁可以以定时、定定周期、分分类、分分范围、分分部门、客客户机状状态和用用户自定定义等进进行分发发。3）、补补丁文件件任务制制定：针针对特定定的一个个补丁或或多个补补丁，对对指定计计算机或或者计算算机网络络进行补补丁自动动分发安安装。3.5.1.44、补丁丁文件自自动分发发功能在指定时时间、指指定网络络范围内内以不同同方式（如如推、拉拉）分发发补丁，或或者根据据脚本策策略统一一控制客客户端下下载补丁丁。当系系统监测测到有客客户端未未打补丁丁时，可可对漏打打补丁客客户端进进行推送送补丁。同同时，通通过推送送安装，也也可以为为SUSS系统不不支持的的客户端端安装补补丁及应应用软件件（补丁丁）。3.5.1.55、补丁丁分发流流量控制制功能为了适应应将来可可能的系系统扩展展，系统统特别设设计了利利用多种种方式进进行下载载流量控控制：1）、系系统能够够根据网网络的负负载情况况自动调调整分发发补丁时时所占的的网络带带宽和并并发连接接数。2）、根根据手动动设置允允许的带带宽或服服务器并并发连接接数及每每个连接接所允许许使用的的带宽。3）、系系统同时时支持客客户端转转发代理理补丁下下载以减减少网络络带宽流流量，提提高效率率。4）、下下级级联联同步下下载补丁丁的连接接数和下下载流量量的大小小进行自自动的判判别或者者根据需需要进行行手动调调整。客客户端补补丁检测测：支持持客户端端补丁多多重探测测周期配配置。定定时检测测注册客客户端系系统补丁丁安装状状况，同同补丁信信息库比比较后，显显示客户户端补丁丁安装状状况（客客户端访访问指定定网页自自动获得得漏打补补丁信息息，物理理隔离网网络中自自动生成成补丁分分发网站站）。3.5.1.66、补丁丁安全性性测试测试是补补丁安装装前必须须进行的的，系统统支持网网管测试试组定义义进行自自动补丁丁安全性性测试，即即首先选选定一定定区域的的计算机机作为测测试计算算机，首首先对这这些计算算机进行行新补丁丁的安装装测试，以以便网管管可选择择有效对对象，进进行非模模拟性自自动测试试。补丁丁自动测测试可提提高打补补丁的成成功性、安安全性、可可靠性，降降低网管管工作量量。补丁自动动测试图图3.5.1.77、报表表输出查查询功能能服务器端端补丁查查询模块块基于补补丁名称称等关键键字对区区域网络络范围内内的计算算机终端端进行补补丁安装装状况查查询，通通过相应应的查询询条件，能能快速的的获知所所查询补补丁的安安装情况况并生成成报表，以以保证补补丁及时时的安装装。3.5.1.88、客户户端网页页查询补补丁安装装信息功功能系统客户户端的计计算机可可以通过过访问内内网的特特定网页页，对本本机所缺缺少的计计算机补补丁进行行查询，查查询结果果在网页页上进行行显示，计计算机用用户根据据需要进进行安装装。特别说明明：1）、客客户端统统一安全全管理系系统具有有良好的的兼容性性，支持持主流操操作系统统，如WWinddowss20003、WWinddowss20000 PPro、Windows 2000 Server、Windows Pro、Windows XP home、Windows、Windwos9X等。2）、因因为补丁丁索引文文件为自自主开发发，因此此补丁索索引的结结构具备备可扩展展和可编编辑性，索索引的结结构和定定义除了了可以支支持微软软补丁外外，还可可以支持持非微软软系统补补丁、各各种数据据库补丁丁，甚至至可以支支持各种种用户应应用程序序的更新新补丁。3）系统统拥有专专门的外外网补丁丁下载服服务器，能能根据引引索自动动下载新新增的计计算机补补丁，补补丁校验验功能对对所下载载的补丁丁进行校校验，保保证计算算机补丁丁的可靠靠性、完完整性、安安全性。4）、补补丁在导导入时具具有病毒毒检测功功能，保保证导入入到补丁丁库中的的补丁不不被病毒毒感染。5）、可可定期进进行同步步校验，也也可自主主设定同同步校验验周期和和时间。在在有新补补丁导入入时，也也可以自自动触发发与下级级服务器器间的同同步操作作。所有有的同步步过程均均可自动动完成，上上级服务务器可以以了解下下级服务务器补丁丁库是否否同步成成功。3.5.2、软软件分发发系统向指指定客户户端（用用户组）分分发文件件或安装装软件，分分发时可可提供软软件的运运行参数数和必要要的运行行控制。此此功能可可减轻网网络管理理人员的的工作负负担，软软件分发发时可报报告软件件安装的的状态，这这样，无无论软件件正确安安装与否否，管理理员均可可及时了了解情况况。系统统还提供供人性化化的软件件安装过过程录制制工具，可可以很方方便的对对软件和和它的安安装过程程进行录录制打包包，软件件分发至至终端后后，系统统可在终终端对软软件安装装过程进进行回放放，方便便软件在在客户端端进行自自动安装装。安装后的的客户机机端软件件包括基基本部分分和用户户工具，安安装在客客户机不不同的目目录，不不能混在在一起。3.6、UUSB移移动存储储管理系系统通过对外外部USSB移动动存储设设备监控控和审计计，可有有效的防防止信息息泄漏。1）、可可以禁止止USBB移动存存储设备备的接入入。2）、通通过给UUSB移移动存储储设备设设置专用用标签，保保证某（些些）客户户端设备备只允许许本单位位或本部部门的UUSB移移动存储储设备接接入，同同时保证证专用标标签的UUSB移移动存储储设备在在其它或或未经受受权的设设备上无无法识别别。3）、对对通过UUSB设设备进行行的文件件拷入、拷拷出的行行为进行行审计，记记录文件件名称和和操作时时间。4）、可可以禁止止软盘的的接入。5）、通通过设置置，保证证某（些些）客户户端设备备只允许许本单位位或本部部门的软软盘接入入。6）、对对通过软软盘进行行的文件件拷入、拷拷出的行行为进行行审计，记记录文件件名称和和操作时时间。7）、可可以禁止止光盘的的接入，设设定光盘盘为只读读状态。8）、通通过设置置，保证证某（些些）客户户端设备备只允许许本单位位或本部部门的光光盘可擦擦写接入入。9）、对对通过软软盘进行行的文件件拷入、拷拷出的行行为进行行审计，记记录文件件名称和和操作时时间。10）、可可以同安安全U盘盘一起使使用，采采用高强强度加密密算法，对对U盘中中的文件件进行加加密保护护。11）、对对客户端端大量的的文件拷拷贝行为为可自主主设定阈阈值，超超过阈值值的不进进行审计计。如拷拷贝超过过10000个文文件不进进行审计计（这主主要是因因为这样样的大量量拷贝行行为一般般不会是是违规的的行为）3.6.1、分分级权限限控制通过对移移动存储储介质写写入两种种不同权权限及功功能的标标签，来来实现分分级权限限的控制制。并以以策略的的形式分分发给不不同的域域，实现现对指定定范围内内的终端端授权，并并对写入入标签移移动存储储介质的的访问进进行控制制。另外外，对移移动存储储介质格格式化无无法去除除标签。普通标签签：写入入普通标标签后，在在管理区区域内根根据策略略的设置置，来限限制移动动存储介介质的读读、写功功能；如如果在管管理区域域外使用用移动存存储介质质认证，则则不限制制移动存存储介质质认证读读、写功功能。加密标签签：写入入加密标标签后将将普通移移动存储储介质（UU盘、移移动硬盘盘等）分分为二个个区域：交换区区、保密密区。涉涉密网络络可只生生成保密密区。交交换区和和保密区区启动均均需输入入独立的的密码，数数据在二二个区存存储时均均以加密密方式存存储，这这两个区区的具体体应用如如下：1）、在在涉密网网络中或或高要求求的办公公网络中中，可只只生成保保密区一一个区。该该保密区区只能在在有对应应安全策策略的主主机上通通过认证证标签后后、同时时输入正正确密码码才能访访问，同同时有安安全策略略的主机机可以根根据策略略控制未未经标签签认证的的移动存存储介质质的使用用。2）、在在普通办办公网络络中，可可生成交交换区、保保密区二二个区。保保密区的的使用方方法，可可与上述述涉密网网络或高高要求的的办公网网络相同同。交换换区的使使用方法法，可以以根据用用户需要要，在内内部网络络中通过过策略限限制使用用方式，交交换区在在外网使使用时同同样要输输入密码码方可使使用，保保密区在在外网不不可见。3.6.2、审审计功能能完善1）、提提供移动动存储介介质上所所有文件件操作的的详细记记录包括文件件的创建建、复制制、删除除、读写写和重命命名等操操作，具具体包括括文件名名、审计计描述、时间、用户名、计算机IP地址和其他必要的信息。2）、提提供移动动存储介介质的插插入和拔拔出动作作的详细细记录具体包括括事件类类型、移移动存储储介质的的名称、用用户、计计算机IIP地址址、事件件时间等等。3.7、主主机安全全审计系系统终端安全全审计主主要是对对终端的的各种访访问行为为进行记记录，防防止终端端用户主主动泄密密行为的的发生，确确定网络络信息的的安全。主主要包括括以下内内容：3.7.1、互互联网访访问审计计可以通过过黑白名名单，对对指定的的网站进进行访问问审计，记记录用户户访问网网站的时时间、域域名、IIP等信信息。当当出现终终端用户户发布非非法信息息时，可可配合公公安网监监处的调调查取证证工作。3.7.2、文文件访问问及输出出审计对网络终终端的文文件输出出行为进进行审计计和管理理，可根根据情况况审计或或禁止使使用打印印输出、邮邮件附件件输出、网网络文件件拷贝等等文件输输出行为为。可根根据需要要禁止指指定用户户（组）的的上述行行为，或或对指定定用户（组组）的上上述行为为进行审审计3.7.3、涉涉密内容容审计系统可检检查终端端是否存存在违规规文件（如如涉密、色色情、反反动文件件等），并并检查某某一文件件夹或某某一类型型文件内内是否有有违规的的信息。检检查可针针对指定定盘符或或指定文文件进行行。3.7.4、软软件安装装审计审计终端端是否安安装了违违规软件件（如黑黑客软件件等），是是否安装装了必装装软件（如如防病毒毒软件），发发现违规规行为可可以采取取报警提提示、阻阻断网络络等多种种方式处处理，用用户还可可以自定定义黑白白软件列列表。3.8、档档案、报报警和日日志管理理功能3.8.1、详详尽的档档案管理理功能1）、系系统提供供完善的的报表功功能，能能够根据据按不同同部门、不不同操作作系统提提供软硬硬件资产产、报警警、状态态及其他他情况汇汇总报表表，提供供多种报报表功能能，以对对客户端端资产情情况、网网络流量量进行统统计。2）、提提供资产产统计报报表，能能根据不不同部门门，不同同操作系系统对客客户端硬硬件、软软件提供供资产统统计报表表。3）、具具备独有有的“组态报报表”查询功功能，对对于有关关报表，能能根据不不同的需需要进行行多种不不同条件件组合（组组合查询询条件包包括所属属区域、单单位名称称、设备备所在部部门、设设备名称称、设备备IP、操操作系统统及版本本、IEE版本、防防范等级级、运行行状态、安安装杀毒毒软件版版本及厂厂商、CCPU情情况、内内存情况况、硬盘盘情况、设设备使用用人、设设备最后后使用时时间等等等），生生成多种种不同的的报表格格式。4）、报报表以网网页的方方式呈现现，提供供链接可可在各项项查询功功能中跳跳转。报报表可以以方便的的调整格格式，并并可以EExceel格式式输出，以以便打印印。5）、管管理服务务器提供供方便的的导入、导导出客户户档案和和管理策策略功能能。6）、对对网络异异常或病病毒等事事件或其其它需要要的记录录，管理理服务器器能够按按照定义义好的时时间周期期，进行行统计报报表输出出。7）、可可以根据据需要输输出成柱柱形图、饼饼图等。具体的统统计报表表包括：7.1）、设设备软件件信息统统计报表表（部门门、网段段）7.2）、设设备硬件件资源信信息汇总总表7.3）、各各区域设设备注册册情况统统计表7.4）、错错误报表表7.5）、首首次运行行进程表表7.6）、违违规软件件列表7.7）、违违规进程程列表7.8）、级级联上报报设备注注册情况况统计报报表7.9）、级级联上报报设备操操作系统统分类报报表7.100）、级级联上报报设备硬硬件信息息统计报报表7.111）、网网络和服服务器流流量报表表7.122）、各各种报警警事件表表7.133）、组组态查询询报表3.8.2、日日志管理理功能1）、可可以方便便的管理理以下日日志，并并生成表表格：1.1）、用用户登录录日志1.2）、用用户操作作日志1.3）、用用户策略略日志2）、系系统管理理员可以以灵活设设置查询询条件，条条件具体体包括按按部门、按按日期、按按IP地地址名称称等。3）、系系统也可可定时自自动备份份、清除除日志。4）、系系统具备备数据重重整功能能，以便便定制对对日志的的维护。数数据重整整的对象象主要针针对IPP、MAAC重复复、长时时间未使使用等情情况的设设备。5）、同同时支持持对查询询结果的的导出等等功能。3.8.3、报报警管理理1）、事事件集中中报警处处理中心心汇总所所有内外外安全管管理事件件报警并并将报警警按种类类、事件件报警级级别分类类，同时时支持短短信、声声音、邮邮件、图图形等报报警。同同时，报报警中心心自动把把各种报报警信息息汇总成成为高、中中、低三三个等级级，显示示各类发发生事件件的名称称和发生生事件设设备名称称、IPP、MAAC等信信息，以以便第一一时间发发现报警警源头和和类型，发发现对网网络危害害最大的的报警信信息，以以最快速速度妥善善处理事事件，从从而在最最大程度度上增强强系统管管理员对对网络突突发事件件的快速速反应能能力。2）、客客户机发发给管理理服务器器相关的的报警信信息可预预设置级级别，管管理服务务器把已已注册客客户机的的报警信信息记录录到异常常情况记记录表，同同时，按按管理员员预定义义的规则则将部分分紧急的的报警信信息发送送给管理理员（本本系统必必须有与与手机短短信报警警平台的的接口）。3）、对对客户机机的不当当行为，管管理服务务器能按按照预先先制定的的策略自自动进行行警告，管管理员也也可以通通过管理理服务器器对特定定的客户户机发出出警告信信息或其其它信息息，这些些信息的的发送不不会因客客户机关关闭而无无法完成成，对离离线机器器发的信信息在其其开机后后即弹出出。弹出出窗口以以“阅毕”按钮关关闭。信信息可以以定义有有效期，客客户机不不会看到到过期信信息。管管理员可可以根据据需要删删除发出出的信息息。4）、对对客户机机的不当当行为，管管理服务务器能按按照预先先制定的的策略自自动进行行警告，管管理员也也可以通通过管理理服务器器对特定定的客户户机发出出警告信信息或其其它信息息，这些些信息的的发送不不会因客客户机关关闭而无无法完成成，对离离线机器器发的信信息在其其开机后后即弹出出。弹出出窗口以以“阅毕”按钮关关闭。信信息可以以定义有有效期，客客户机不不会看到到过期信信息。管管理员可可以根据据需要删删除发出出的信息息。3.9、系系统具备备的接口口和强大大的可扩扩展性3.9.1、接接口描述述：有多接口口上报格格式，首首先，分分析、处处理模块块可直接接进行TTCP格格式的数数据上报报。（考考虑到由由于中间间件所在在的客户户端上可可能禁止止SNMMP协议议，所以以这里不不使用SSNMPP协议）。数数据上报报模块可可提供SSNMPP接口进进行数据据上报和和交换，数数据上报报模块也也可以获获取通过过接口协协调获得得的其它它防病毒毒产品的的上报信信息。所所使用的的SNMMP支持持所有版版本的SSNMPP协议。其其他管理理平台可可获取SSNMPP Trrap获获取信息息或使用用 SNNMP团团体名获获取信息息。信息息的传递递可通过过XMLL、SNNMP等等多种标标准的接接口进行行，同时时提供开开放的AAPI编编程接口口。系统统也可以以通过BB/S结结构直接接从页面面获取数数据。3.9.2、系系统具有有良好的的可扩展展性：1）、同同需要的的软件进进行数据据传输，向向网管平平台提供供参数；2）、联联合防火火墙、IIDS等等安全设设施对网网络中违违规计算算机采取取自动阻阻断封杀杀措施。3）、预预留扩展展接口（级级联、控控制、统统计等）：依照用用户特定定要求进进行软件件的二次次开发模模块。4）、利利用脚本本管理功功能和脚脚本分发发技术，可可快速实实现订制制客户需需求；5）、可可在此基基础上开开发出用用户需要要的其它它功能；6）、可可进一步步扩展成成为安全全网管平平台。网络安全全管理平平台构架架图4、XXXXX实实施内网网安全管管理项目目的可预预见效益益XXXXX实施内内网安全全管理项项目后，可可预见效效益如下下：1）、真真正实现现网络的安全，明明确XXXXX网网络的安安全边界界，强化化Terrminnal终终端的访访问权限限及安全全策略，弥弥补现有有网络结结构的安安全缺陷陷。2）、加加固了终终端自身身的安全全性，从从而大量量减少了了病毒、木木马等入入侵行为为，减少少了网络络出现故故障的机机率。3）、对对终端的的流量进进行监控控，对于于流量异异常的终终端进行行隔离，保保证网络络及应用用系统资资源稳定定。4）、实实时监控控防病毒毒软件的的