内网安全综合管理系统DeskMaster技术白皮书.doc

完全公开 杭州正杰信息技术有限公司 Http www zj 内网安全综合管理系统 技术白皮书 版权声明 本文中的文字 图表 方法等内容 均属杭州正杰版权所有 并受到有关产权及版权法保 护 任何个人 机构未经杭州正杰的书面授权许可 不得以任何方式引用本文的任何内容 或扩散到第三方 商标声明 杭州正杰 DeskMaster 文字和图标 是杭州正杰信息技术有限公司商标 目 录 第一章 前言 5 第二章 为什么需要 DESKMASTER 5 第三章 DESKMASTER 内网安全综合管理系统 6 1 1 系统特点 6 1 2 系统架构 8 1 3 系统主要功能 9 3 1 1 IT 资产管理 9 3 1 2 网络访问控制 11 3 1 3 系统仓库 13 3 1 4 系统知识库 13 3 1 5 桌面管理 14 3 1 6 安全防护 15 3 1 7 用户行为 15 3 1 8 移动介质管理 17 3 1 9 涉密检查 17 3 1 10 补丁管理 18 3 1 11 报表系统 18 第四章 存储介质信息消除工具 19 第五章 增强功能 20 第一章 前言 随着计算机技术的快速发展 信息技术与社会活动的结合越发紧密 信息技术的触角 已经触及社会活动的各个环节 无论是政府和企业 还是团体和个人 人们在充分享受信 息化网络所带来便捷的同时 也进一步加深了对信息技术的依赖 这也充分验证了自然万 物具有两面性的法则 网络作为信息技术的一个表现实体 也催生了新的管理问题 突出 体现在两方面 一方面 网络管理模式滞后于网络发展致使网络集中化管理程度不高 资 源利用效率和管理效率难以大幅提升 另一方面 应用业务和用户行为日趋丰富且千差万 别 网络环境日益复杂 内 外部各类不可控因素直接或间接地影响到网络的健壮性和安 全性 如何引导 规范和解决以上问题 需要政府 企业 团体和个人重点观注 第二章 为什么需要 DeskMaster 虽然经过了多年的 IT 信息系统建设 相当一部分用户还是简单的认为 通过部署防 火墙 IDS 防病毒等产品 可以解决他们的安全问题 但事实并非如此 大部分问题还 是来自于内部终端 随着网络应用的日益多样化和存储介质的不断普及 诸多问题浮出水 面 一 信息安全问题 U 盘 光盘等介质滥用 尤其是保密单位 U 盘随意接入现象相当普遍 由此造 成的病毒泛滥和泄密事件屡见不鲜 外来设备随意接入网络 造成病毒传播 信息泄漏等安全隐患 终端补丁更新不及时 零日攻击 和黑客攻击得心应手 随意安装来历不明的应用软件 形成众多隐形 后门 终端采用 空口令 文件夹共享等高危配置 自己方便 与人 黑客 敌对势 力和竞争对手 方便 私自卸载或安装防病毒软件 带来安全隐患 或让企业背上知识侵权官司 敏感文件明文存储 一但被黑客 敌对势力或竞争对手得到 极易造成严重危害 政府内网或涉密网终端 非法接入互联网 造成信息泄漏 终端发生异常 不能及时发出报警和采取有效的应对措施 二 资源管理问题 终端用户私身安装基于 P2P 协议的软件 造成网络的拥塞 影响政府或企业的办 公效率 终端软硬件资产无法准确统计 资产生命周期无法跟踪 资产发生变更后无警告 或通知 更无详细记录 专用 U 盘 加密 费用昂贵 加重单位或企业负担 终端设备发生问题 IT 管理员不能远程桌面支持 三 行为审计问题 终端访问 URL 无从查起 问题无法溯源 无终端文件级操作记录 责任追究缺乏强有力的依据 无审计记录 不满足公安部 82 号令 互联网安全保护技术措施规定 和美国 萨班斯 SOX 法案 等合规性要求 综合上述问题 杭州正杰信息技术有限公司设计开发了一套完整的内网安全综合管理 系统 DeskMaster 力求从网络故障 网络性能 网络资源 网络业务 网络行为 网 络安全 网络服务 文档加密 移动存储加密 系统补丁等各层面 就用户网络管理提出 了科学 可行 低成本的 一揽子 解决方案 以适应不同用户网络管理当前及未来一段 时期面临的主要问题 第三章 DeskMaster 内网安全综合管理系 统 1 1 系统特点 一 集成化的 一揽子 解决方案 依据网络 主机管理七层模型 针对网络中主机应用管理各层面存在的问题 进行深 层次挖掘 制定相应解决方案 实现了网络层面与终端桌面管理层面的 映射 和 对应 提供集成化的 一揽子 桌面解决方案 二 模块化设计 插拔式组件 针对基本桌面管理要素设计功能单元 根据不同的应用场景 网络环境和管理要求选 择相应的功能并予以组合 系统支持功能模块化自动升级与无缝平滑整合 以适应变化的 动态扩展的桌面管理因素需求 三 专业化和标准化的设计 软件内部架构 关键技术均选择业界通用标准和规范 XML 可扩展语言 基于 SSL 协 议的 WEB 安全管理 模块化 API 接口等便于系统扩展 同时对外提供标准化的接口 可与 现有防火墙等第三方安全管理系统良性化互动 四 组网架构灵活 部署便捷 系统组网架构支持集中式管理 级联分布式管理 对于大型国家部委 集团级企业用 户等广域网架构 提供良好的统一综合部署管理和性能运行保障方案 客户端部署支持共 享式 自动分发式等多种快速安装模式 系 统 管 理 员 审 计 用 户 策 略 管 理 员 总 部 办 公 区 D e s k M a s t e r 部 署 结 构 D e s k M a s t e r 一 级 服 务 器 核 心 数 据 库核 心 应 用 服 务 器 备 份 系 统 防 病 毒 服 务 器身 份 认 证 系 统 安 全 设 备 控 制 台 D e s k M a s t e r 二 级 服 务 器 D e s k M a s t e r 二 级 服 务 器 生产服务器区 I T 管理区 安全管理区 二级机构办公区 二级机构办公区 五 界面友好 操作方便 不论 IT 管理员的平台管理界面 还是终端代理的本地管理界面都是基于 Web 系统的 界面设计 确保系统访问安全性的同时 注重管理平台的易用性和美观性 以便于 IT 管 理员轻松实现对企业网络终端桌面的高效管理 六 降低 IT 运维成本 提升企业管理效率 DeskMaster 专注于协助维护人员脱离繁杂琐碎的管理事务 提高企业 IT 设施运维管 理水平 提升企业生产效率 力求实现对终端桌面管理自动化维护 系统部署 日常使用 和维护管理的各个环节均提供了较为先进的管理策略 大大降低了企业网的日常管理成本 和系统的使用成本 七 策略与对象的灵动管理 策略的灵活制定与应用对象动态自定义有机结合 确保 预置定 管理策略的执行 基于对象的分组 分区域策略控制模式 使系统功能能够灵活的应用于有需求的对象 实 现桌面控制管理 游刃有余 疏而不漏 八 灵活的权限管理与 三权分立 DeskMaster 提供了灵活的系统管理权限 既提供了适用于中小网络的集权模式 又提 供了适用于大型网络的 三权分立 模式 九 日志报警与信息检索 系统除提供桌面管理事件全面记录供事后审计取证功能外 还详细记录了系统管理过 程中管理人员每一步的操作行为日志 通过信息检索引擎进行桌面事件与系统管理事件的 检查和分析 1 2 系统架构 D e s k M a s t e r 体 系 架 构 安 全 代 理 接 入 控 制 模 块 用 户 行 为 监 控 站 点 检 查 模 块 涉 密 检 查 模 块 W e b 控 制 台 策 略 管 理 审 计 管 理 系 统 管 理 资 产 管 理 终 端 安 全 模 块 运 维 监 控 模 块 移 动 介 质 监 控 补 丁 分 发 模 块 杭 州 正 杰 M i c r o s o f t 产 品 补 丁 升 级 站 点 1 3 系统主要功能 3 1 1 IT 资产管理 DeskMaster 的资产管理功能实现了对应用中的资产和备用资产的统一管理 以及资产 使用过程中的资产维护 真正实现了无论是使用中的资产还是备用资产 履历 的记录和 分析 资产管理包含 注册和非注册设备资产信息 使用中资产的管理和备用资产的管理 1 注册设备和非注册设备资产信息 1 注册设备基本信息 当前注册设备运行的操作系统类型和版本 内存和硬盘 大小空间信息 个人注册信息 IP 和 MAC 等 2 注册设备软件信息 当前注册设备运行的应用软件类型和版本等详细资产信 息 3 注册设备硬件信息 当前注册设备各个部件的详细信息 4 非注册设备信息 IP 和 MAC 信息 2 使用中资产的管理 资产的统计 包括软硬件资产的变更 资产的维护等 3 备用资产的管理 包括库存管理 资产厂商的管理 采购分析等 在资产维护的过程中 根据对资产不同方面的管理 可以将管理权分化为 库存管理 员 设备维修员 资产采购员 每个角色各司其职 为终端用户的维修任务提供便利 高 效的处理存在问题 使企业的 IT 资产管理更加实际化 具体化 为企业带来真正意义上 的资产管理革命 3 1 2 网络访问控制 非法外联控制 非法外联问题 目前是存在敏感信息单位头等关心的技术难题 借助 DeskMaster 非 法外联控制技术 可对内网 此 内网 特指涉密网 政府专网和企业生产网等与国际互 联网物理隔离的网络 的终端设备予以控制 监控内网终端是否与国际互联网进行通讯 结合以下防护措施可有效解决通过互联网等非可信任网络的泄密问题 防止内网计算机通过 ADSL 拨号 无线 代理等任何方式与互联网发生信息交换 防止受管计算机脱离内网后通过 ADSL 拨号 无线 代理等任何方式与互联网发 生信息交换 针对违规外联终端采用 提示 断网 或 关机 等措施 并向管理端上报外 联行为 外网预警中心 用于监控脱离内网的客户端连接到互联网的违规行为 监控日志 包含客户端的 IP MAC 上网时间 使用人 单位部门 路由 IP 等 网络准入控制 DeskMaster 网络准入控制技术 可对接入网络的终端设备予以控制 只有身份合法和 满足安全要求的终端方能接入网络 据此可有效解决如下问题 防止非法外来计算机接入网络 影响内部网安全 防止感染病毒 木马的终端直接接入 影响内部网正常运行 确保接入网络的终端符合安全管理要求 防止内部用户私自接入 HUB 无线 AP 等设备 DeskMaster 网络准入控制杜绝非法外来终端接入内部网 同时将有问题的终端予以隔 离或限制其访问 直到问题终端得以修复 一方面 可防止这些终端成为蠕虫或病毒的攻 击目标 另一方面 可防止这些终端成为病毒传播源头 DeskMaster 提供两种准入控制方案 用户可根据自身网络环境选择部署 一是基于 802 1x 的网络准入控制 二是非 802 1x 网络环境下的准入控制 两种方案可同时在一个 网络系统中部署 优先采用 802 1x 的网络准入控制 不满足条件的部分网络再采用非 802 1x 的网络准入控制 实现全方位的接入控制 一 基于 802 1x 的网络准入控制 对于支持 802 1x 的网络设施 建议选用基于 802 1x 的网络准入控制方案 基于 802 1x 的网络准入控制方案本质上是依据接入终端的身份验证情况以及其对既定安全策 略的满足情况 由 RADIUS 服务器向交换机派发指令 控制网络交换机的端口是否打开并 可动态切换端口所属的 VLAN 不同 VLAN 具有不同的权责划分 确保网络资源安全使用 DeskMaster 可支持思科 华为 H3C 北电等主流厂家网络设备 可在多家设备共存环境 中实现基于 802 1x 的网络准入控制 管理员需要为整个网络划分不同的 VLAN 并将这些 VLAN 分配给不同部门 用户组或 用户 有两个特殊 VLAN 一个是修复区 VLAN 供不满足安全策略要求的终端打补丁 安 装防病毒软件或更新防病毒软件特征库 另一个是访客区 VLAN 主要是一些可公共访问的 资源 如对外的网站服务器等 对内部合法终端的接入 DeskMaster 将采取如下控制策略 1 用户输入的用户名和口令是否合法 检查终端是否满足安全策略要求 2 只有合法身份的用户以及满足安全规范的终端才能接入网络 否则系统会将此终 端 包括没有安装终端代理的终端 自动切换至修复 VLAN 中 终端在此访问修复安全漏 洞必须的网络资源 3 合法身份的用户以及满足安全规范的终端接入网络时 系统会根据用户身份自动 将终端切换至属于该用户的工作 VLAN 中 确保不同权限的终端访问规定的网络资源 4 拒绝外部非法终端接入网络 5 将外部终端设置到访客区 VLAN 中 6 RADIUS 服务器可以到 DeskMaster 内部用户数据库中验证终端的用户身份信息 二 非 802 1x 网络准入控制 对于非 802 1x 交换机管控的部分网络 可采用非 802 1x 网络准入控制方案 通过选定一个 DeskMaster 区域扫描器监测本网段所有机器 并判断出哪些机器安装 了终端代理 哪些机器未安装终端代理 限制或禁止未安装终端代理的终端访问服务器资 源 安全健康检查 对于新接入的计算机 能够自动对其安装杀毒软件 系统漏洞补丁 危险进程 系统 弱口令 黑白名单软件进行检查 对不符合要求的计算机进行自动网络隔离 隔离区提供 杀毒软件的下载 补丁的下载等服务 3 1 3 系统仓库 一 文件仓库 共享文件的存储仓库 文件仓库实现了对企业共享文件的统一管理 可以针对不同性 质的文件建立不同的目录存储结构 使文件管理更加人性化 实用化 此外文件仓库还为 文件分发和软件部署提供所分发和部署的源文件 二 URL 仓库 1 URL 分类 可以对不同服务类别的网站进行 URL 分类管理 如 新闻类 体育类 娱乐类 并且 可以针对不同的类别制定相应的采样规则 就体育类而言 可以制定以下采样规则 Host 中含有 sports 或网页中包含 姚明 将采样规则下发给终端代理 2 URL 采样 终端代理对本设备的 URL 访问内容进行审计 并且对内容及 Host 进行采样匹配 匹 配成功 则将其所属分类上报中心服务器 3 URL 规则库 上报分类所产生的规则分两种 默认生效规则 人工干预规则 从 Host 中采样成功 的 URL 将会默认生效 而从网页中采样成功的 URL 会提示 IT 管理员 让 IT 管理员人工干 预来生效规则 中心服务器将 URL 规则库分发到全网的终端代理 终端代理通过查询规则库对 URL 的 访问进行细致的分类 并将已经分好类的 URL 信息上报中心服务器 IT 管理员通过数据分 析中心 可以很直观的洞察各个终端使用人的 URL 访问情况 3 1 4 系统知识库 计算机系统通过各个功能模块向用户提供了强大而全面的服务 以满足用户各种各样 的工作需求 通过它们所承担的服务角色可以将这些功能模块分为 系统层 应用层 系 统层模块通过对计算机硬件系统的合理控制向上层 应用层 提供了基础的支撑服务 应 用层在不用关心底层 系统层 的情况下向用户提供了全面的优质的计算服务 可以说 我们现在的计算系统是由所属这两层的众多模块组成的 我们必须保证这些模块的正常工 作 才能享受到高效的计算服务 DeskMaster 系统对每一个工作模块都指定了全球唯一标识 知识指纹 我们可以认 为两个指纹不同的模块所提供的服务是不同的 通过指纹来识别模块的身份 我们通过安全检测技术对所收集到的功能模块进行身份鉴定 据其所表现出来的功能 可以将其分为 安全 危险 可疑 未知 没经过我们登记或者无法识别其功能的模块 等四个级别 并且以库的形式将其按照服务特性分为 进程 插件 驱动 模块 软件等 五类知识库 DeskMaster 系统通过从哈默瑞斯对外服务平台下载相应知识库 并且分发给所有终端 代理 终端代理采用了一种学习的知识采集策略 将从本主机采集到的知识信息与知识库 进行匹配 并且执行相应的策略对知识信息进行有效的控制 由于是学习的采集策略 所 以在 DeskMaster 数据分析系统上所呈现的都是属于本企业所拥有的知识信息 有效的控 制了知识信息数量 从而便于 IT 管理员比较全面和清晰的对本企业的知识信息进行管理 3 1 5 桌面管理 一 终端点对点控制 随着计算机网络规模的膨胀 几乎每个 IT 管理员都面临着众多工作终端的故障处理 并且疲于奔波于这些故障终端之间 其中大多数故障都是简单故障 只需 IT 管理员对其 进行简单分析处理即可 终端点对点 是一个有效应对于简单问题处理的工具 可以从任何一个可以访问网 络的主机来登陆 DeskMaster 网页平台 找到相应的故障终端 点击控制 网页会自动加 载 下载 终端点对点 工具 该工具从系统状态 进程管理 服务管理等三方面入手 对远程终端的基本运行状态 进行了比较全面的动态分析展现 并且可以同时启动多个 终端点对点 对某些重要的 服务器的运行实时监控 比如 关键服务器的 CPU 内存使用走势图 以及所运行的关键 应用程序的 CPU 内存使用走势图 二 进程执行控制 通过终端代理对本终端进程知识信息的采集上报 为 IT 管理员对本单位的进程运行 许可策略的定制带来了便利 IT 管理员可以根据对不同类别的进程制定相应的管理策略 比如对一些聊天性质的进程 QQ MSN 等进行禁止 从而规范对员工的管理 提高工作效 率 并且还可以对某些关键服务器的应用进程进行保护 确保其在某一时间段内必须运行 三 服务执行控制 通过终端对本主机服务知识信息的采集 并且实时更新采集信息 将信息上报中心服 务器 IT 管理员可以依据终端的工作特性 制定相应的控制策略 比如将某些没有必要的 影响工作性能的 或者有安全隐患的服务禁止掉 并且可以对关键服务器的某些关键服务 制定在某段时间必须运行的策略 四 文件分发 文件分发功能用于集中从管理端向客户端分发文件 考虑到文件大规模分发可能带来 的网络拥塞问题 DeskMaster 系统采用了自主研发的网络负载平衡数据传输技术 使多文 件 大文件 在不影响网络质量的情况下尽可能快的分发到每个终端 为用户的文件共享 资源的快速传播提供了便利 同时能够对终端按单位部门 自定义组 IP 段及全部设备进 行消息分发 五 软件部署 DeskMaster 系统的软件部署功能作为文件分发的一个补充 他的确从应用层面给 IT 管理员的软件安装部署工作代来充分便利 可以让安装软件的时间大大节省 单个软件安装时间 终端数 x 单个软件安装时间 总时间 六 外设接口控制 可针对每个终端进行外设端口使用的授权 如允许或禁止 USB 存储设备的使用等 这 些端口和设备类型包括 USB 存储设备 USB 普通设备 Modem 拨号 无线通讯 红外 串 口 并口 打印端口 键盘鼠标 光驱 软驱和 1394 端口等 管理所有终端上的外围设 备 七 网络接口管理 从制定策略时起 终端代理对本地网络接口配置进行存根 在日后的工作中 无论在 线 连接本单位的中心服务器 还是离线 不能与本单位的中心服务器连接 终端代理 都可以严格执行 IT 管理员所制定的策略 可以对 IP 地址滥用 随意添加网络接口等进行 有效控制 3 1 6 安全防护 一 防火墙策略 可以灵活的对基于 IP TCP UDP ICMP 的网络访问进行全面的控制 以此限制终端 对网络资源的使用 并且可以屏蔽掉不安全的网络协议 使其免受不可预测的网络攻击 二 用户账号策略 从帐户策略 用户 组等三个方面来对系统用户进行管理 1 帐户策略 终端代理按照策略对本地的密码设置进行监测 同时对本系统登陆的 用户进行弱口令探测 并且本系统还向 IT 管理员提供了灵活的弱口令自定义功能 比如 IT 管理员可以根据自身的单位情况进行相应的弱口令提示 断网或关机设置 从而加强了 对网络恶意探测攻击的防护 2 用户 组 对用户 组的创建 以及其拥有的权限进行严密的监视 将监视到的 情况实时上报中心服务器 同时提示本地使用者 让其意识到可能的潜在危险 三 应用防护 制定对 系统知识库 所提供的各种知识信息的使用授权策略 终端实时监视每个进 程创建 以及进程对模块的加载 并通过 系统知识库 的安全定级 严格按照策略对其 运行与加载进行授权 五 ARP 防护 随着技术的发展 内网 ARP 攻击成为了内网中最普通的攻击方式之一 通过对内网中 IP 地址和 Mac 地址的绑定 使得内网中的设备具备防止 ARP 攻击的功能 同时对内网中的 设备进行监控 禁止 ARP 攻击行为的发生 六 共享管理 共享就像一个地下工作者 我们对其工作毫不知情 可能由于我们的疏忽 非常重要 的机密信息就暴露给了他人 并且悄无声息的被他人取走 对这种窃取是让人不可接受的 所以制定合理的共享管理策略 可以保证终端的重要资源不被他人窃取 3 1 7 用户行为 一 用户上网行为审计 控制 1 URL 审计 可以按照特定后缀名 html asp 对 URL 进行审计 并且提取文件标题 根据 URL 信息从 URL 库查找相应的归类 将这些信息上报中心服务器 IT 管理员可以通过数据分析 平台很直观的了解到本企业的 URL 访问情况 比如某人在某时访问了体育类网站 某时访 问了娱乐类网站 并且可以查看相应网站的标题 2 URL 控制 可以定制基于 URL 类别的控制策略 灵活的控制某一类网址访问 简化了 IT 管理员 的策略配置 使 IT 管理员可以灵活 有效的制定出相应的管理策略 3 邮件审计 可以灵活配置发送者和接收者的邮局地址 并且可以指定记录发送 接收的正文附件 并且将压缩后的邮件内容上报中心服务器 为日后审查提供数据依据 比如通过邮件泄露 公司的机密信息的事件 4 邮件控制 可以设定全部禁止 而只允许本司的邮箱等相应管理策略 从而可以严格限制企业员 工的滥发邮件 并由此导致机密信息的外泄 5 FTP 传输审计 可以定制相应审计策略详细记录某个 ftp 用户上传了什么文件 下载了什么文件 并 且可以灵活的设置针对文件名或者文件内容的记录 6 FTP 传输控制 可以定制相应控制策略 灵活的控制对 ftp 的使用 比如禁止影音类文件的下载 二 本地文件审计 对终端访问本地的文件资源进行详细的审计 可以检测到该主机上 创建文件 删 除文件 和 重命名 文件的操作 三 剪贴板审计 DeskMaster 提供了对微软剪帖板内容的审计 四 光驱使用控制 DeskMaster 通过下发光驱使用控制策略 可对终端的光盘读写 刻录 行为控制和记 录 五 访问共享审计 对终端访问他人的网络共享资源进行详细的审计跟踪 可以检测到对某个 IP 主机的 某文件夹读操作 写操作 修改操作 并且可以检测到对某文件的读操作 写操作 修改 操作 六 打印审计 控制 对打印文件的名称 内容进行详细记录 可以有效监管企业员工对打印的使用 七 文档安全柜 系统可为每台计算机自动划分一个文档安全柜 该文档需要输入密码 用户可将重要 的文档放到该安全柜中 同时支持安全柜拷贝到移动存储介质中 随身携带 3 1 8 移动介质管理 移动介质的使用不当已经造成了越来越多的政府和企事业机密信息的泄露 造成了巨 大的损失 人们对移动介质的管理的意识也越来越强 各单位也都加强了对移动介质管理 的力度 DeskMaster 采用了以下方法对移动介质进行管理 1 磁盘加密 采用高强度加密算法 对磁盘进行透明加密 保证磁盘上数据安全性 的同时 对用户的日常操作没有任何影响 2 入网授权 移动存储在注册之后要通过管理员的审核 才能在内网中使用 3 人机绑定 通过制定移动存储的访问策略 将通过授权的移动存储的使用绑定到 某个特定计算机上 达到专盘专机用的目的 4 人盘绑定 移动存储设备注册时 通过注册程序对移动存储打上标签 在移动存 储上对用户信息进行记录 达到人盘绑定的效果 5 操作日志审计 通过在移动存储上建立专门的日志区 保证了移动存储在网内 网外的使用记录得到全面的记录 6 身份认证体系 通过审核的移动存储在网内使用时 需要通过身份认证才能正常 的使用 移动存储不同的分区可以设置不同的身份认证密码 7 磁盘访问控制 移动存储访问需要专有的程序 从底层彻底杜绝了病毒和木马 通过策略对移动存储的访问模式进行控制 可对移动存储中的重要数据进行保护 内网 判断是否注 册 移动介质 U 未注册 注册 允许接入内网 以普通介质进 行管理 设备 A 设备 B 设备 C 绑定设备 C 绑定设备 B 绑定设备 A 信息交换中间机 设备 D 设备 E 设备 F 绑定中间机 未绑定设备 通过中间机进行数据交换 判断是否允 许 判断策略 允许接入内网 并按照策略执行 禁止接入内网 在内网中无法 使用 3 1 9 涉密检查 由于网络的不断普及 尤其是外网 政府或企事业单位与互联网有连接的网络 计算机 极易成为敌对势力 黑客或竞争对手入侵的目标 计算机上处理和存放的敏 感信息更是觊觎的对象 为了防止外网计算机上处理和存放敏感信息而造成泄密事件 DeskMaster 提供了 专业的涉密检查工具 通过敏感文件名称等关键词汇进行涉密文件检查 并及时上报 相关管理人员进行处理 3 1 10 补丁管理 借助 DeskMaster 的补丁管理机制 可对全网的各种补丁进行统一及时的更新 有效 阻止病毒在网络中传播 大大提高网络的病毒防护能力 1 补丁及时更新 可在第一时间获取补丁最新情况 并且在全网统一更新 2 补丁自动探测 可检测出已安装补丁 未安装补丁 需要安装补丁和补丁的类别 描述 安全级别等信息 3 补丁自动分发安装 利用分流技术可以快速的对补丁进行分发 对补丁的安装结 果 成功 失败 进行检测 4 补丁详细统计 可对全网补丁安装情况进行全面统计 已安装 未安装 安装时 间 补丁名称等 和查询 中心服务器 M i c r o s o f t U p d a t a 中心服务器 注册终端 判断是否 满足需求 补丁基础库 对基础库中更新 的补丁进行检验 分发策略 同步更新 检验补丁 满足的补丁放到 补丁库中 对不满足要求的 补丁进行剔除 满足的补丁放到 补丁库中 放到补丁库 更新至 下载补丁并 安装补丁 3 1 11 报表系统 报表管理 人性化的报表定制与强大的后台数据有效结合 能够让用户灵活定制所需 要的报表 系统报表分为三类 数据统计报表类 图形统计报表类 对比分析报表类 根据用户 不同的需求结合可定制化的模板而设计不同报表以满足管理上对报表的需求 更以人性化 的报表生成模式 让报表生成和管理任务不再变的复杂和繁重 随时的备份机制 让报表 的备份工作可以随时进行 1 能够对基础日志定期 订制进行导出 2 对同一事件的设备排名进行定期 订制的导出 3 对设备的产生的日志进行定期 订制的统计 4 按照设计总数进行统计和分析 5 对系统内事件进行分组统计 6 对某事件进行数据统计 7 能够按照设备 组织结构 事件级别 所属分组等进行事件的统计和分析 8 支持即时生成的报表 能够对自定义时间段内的日志进行导出 第四章 存储介质信息消除工具 存储介质信息消除工具是针对我国涉密信息系统中数据消除不彻底的风险而开发 出的消除工具 该工具通过国家保密局测评中心检测 符合国家安全保密数据销毁标 准 可清除所有的储存信息 清除后的存储设备不会造成任何损坏 磁盘 介质可以 重复使用 有效解决了涉密敏感数据被泄漏和存储设备重复使用的问题 存储介质信息消除工具为涉密用户提供涉密数据消除服务 存储介质信息消除工具采用国家保密局批准的信息消除技术 符合国家保密消除 标准 BMB21 2007 涉及国家秘密的信息载体销毁与信息消除安全保密要求 存储介质信息消除工具采用合理流行的 UI 设计 界面友好 方便操作 可视化的 消除方式使您方便地了解信息消除的进程 采用国际通用接口设计 支持不同型号 不同厂家 不同格式 不同大小的存储介质 充分满足用户需求 存储介质信息消除工具主要功能 1 工具自带操作系统环境 采用光盘启动保证了销毁功能的实现 2 支持单个文件或多个文件销毁 支持多个文件以及子文件夹销毁 3 支持剩余磁盘空间信息进行完全销毁 4 支持单个逻辑盘以及多个逻辑盘数据销毁 支持单个物理磁盘以及多个物理磁 盘数据销毁 5 定制项目消毁 上网记录销毁 U 盘使用记录销毁 6 消除审计 操作日志 记录的审核 查阅 7 标准版消除方式 快速消除 标准消除 DOD 消除 彻底消除 8 专业版消除模式可定制 用户可以选择销毁方式 分为定制销毁 国家保密标 准销毁 DOD 标准销毁和 GTA 标准销毁 9 系统支持 各类 U 盘 硬盘 移动硬盘 各类磁介质 存储设备 存储介质信息消除工具主要特点 1 先进的磁盘物理读写技术 采用先进的磁盘读写技术 直接对磁盘的物理扇区 进行多次复写操作 直到擦写过后的磁盘扇区内数据无法恢复 2 完善的数据销毁算法 确保文件相关信息彻底销毁 根据不同的分区格式进行 采用不同的数据销毁处理算法 对文件在磁盘上所有存放位置进行一一销毁 确保文 件不会在磁盘上留下任何痕迹 3 可以进行目录 剩余磁盘空间或整个磁盘的数据销毁 销毁后的目录 剩余磁 盘空间或者整个磁盘不存在任何数据 无法通过软件技术手段恢复 4 本系统提供的专业数据销毁工具严格按照相关销毁标准 能够灵活地实现对各 种硬盘 软盘 U 盘 存储卡进行数据粉碎 该工具支持所有的磁盘分区格式 包括 FAT 系列 NTFS 系列等进行数据销毁 5 标准化 采用国家保密局 BMB21 2007 标准和 DOD 标准要求进行数据粉碎 6 操作简单快捷 界面友好 只需点击几下鼠标 即可完成相应数据的彻底销毁 存储介质信息消除工具适用场所 各级政府 军工 保密等涉密场所 也同样适用于大中型企事业单位 金融 证 券 医疗 能源 科研院所等组织中商业秘密保护 第五章 增强功能 管理端超时功能 为了防止 IT 管理员忘记退出 DeskMaster 管理界面或锁屏后 给恶意操作人员以可乘 之机 DeskMaster 提供了管理超时功能 即在 DeskMaster 管理界面在指定时间内无任何 操作 即提示超时并自动退出 终端防卸载功能 DeskMaster 成功消除了其它桌面产品代理端易被卸载的缺陷 DeskMaster 客户端除 了在管理端授权和格式化操作系统的情况下 用户无法私自卸载客户端代理软件 包括在 安全模式 下的任何操作 系统导航功能 为了更便于 IT 管理员找到 DeskMaster 丰富的功能项 DeskMaster 提供了友好的导航 界面 让 IT 管理员第一时间切入管理界面