盈高多维终端安全管理平台产品说明书

《盈高多维终端安全管理平台产品说明书》由会员分享，可在线阅读，更多相关《盈高多维终端安全管理平台产品说明书（28页珍藏版）》请在装配图网上搜索。

1、MSEP多维终端安全管理平台产品说明盈高科技市教工路552号国际服务外包示基地301室：+862：+865.infogo.26 / 28MSEP多维终端安全管理平台产品说明声明本文中的所有容及格式的属于盈高科技（以下简称盈高科技）所有，未经盈高科技许可，任何人不得仿制、拷贝、转译或任意引用。所有 不得翻印 2007盈高科技公司 商标声明本文中所谈及的产品名称仅做识别之用。手册中涉及的其他公司的注册商标或是属各商标注册人所有，恕不逐一列明。盈高多维终端安全管理平台信息反馈.infogo.目录一产品的安全策略3二、多维终端安全管理平台的特色4u实时风险展示，随时了解状况4u全面安全检查，规避安全漏

2、洞4u多种报警方式，查询形象直观5u缺陷自动修复，减少人工干预6u无任何网络改造，避免网络影响6u多种部署方式，降低部署成本7u深入系统核，确保终端稳定和兼容性9u整体代码优化，减少终端资源消耗9三、产品的安全目标和外部接口说明11四、产品设计原则与架构134.1.整体方案设计原则134.2.统一的集成化融合管理平台144.3.系统架构说明15五、产品的功能特点165.1.集合资产配置管理与安全加固管理于一体165.2.统一定制、强制执行的安全策略管理175.3.集中管理的主机防火墙175.4.补丁管理系统175.5.“主动式”安全策略防御体系185.6.桌面设置及运维185.7.杀毒软件版本

3、检测185.8.全面的资产管理185.9.软件分发与安装195.10.黑白进程管理195.11.访问安全控制195.12.违规外联195.13.便捷的远程维护205.14.强大的外设监控功能205.15.安全检查及加固管理205.16.弱口令检查功能225.17.可信移动存储设备监控225.18.客户端资源运行管理235.19.网络流量安全管理245.20.反ARP欺骗安全管理24六、产品系统特点266.1.友好的用户WEB界面，易于部署迅速实施266.2.模块化系统功能，真正提供所需服务266.3.具有较高的系统性能266.4.实时性276.5.易用性276.6.安全性276.7.支持完善、

4、安全的用户管理与认证机制276.8.面向终端用户的完全透明性276.9.基于开源平台，无任何知识产权风险28七、产品的安全功能相关的术语及定义说：29一 产品的安全策略随着网络技术的广泛应用，各种网络环境中的安全问题正威胁着用户的正常工作，目前边界安全技术及产品已非常成熟，从2003-20XX的网络安全情况来看，尽管大多数用户采用了专门的网络通道技术、物理隔离技术、安全网段划分、安全防护设施（如防火墙、入侵检测、漏洞扫描）等方式保证自己的网络安全，但是，对类似下面的安全问题仍然无法做到真正意义上的解决：u 如何防频繁出现的部攻击？u 如何及时发现桌面设备的系统漏洞并最快自动分发补丁；u 如何规

5、、方便、有效、安全地管理移动存储设备的日常使用，如何确保没有登记的移动存储设备无法在部网络正常使用？u 如何防用户绕过防火墙等边界防护设施，直接联入外网带来的严重安全隐患的行为？u 如何确保需控制的岗位严格执行上班时间不允许炒股、玩游戏、聊天等管理制度？u 如何为每台终端设备加固安全策略，减少日常用户使用的安全事故？u 如何快速有效的定位网络中病毒、黑客的引入点，快速、安全的切断安全事件发生点和相关网络。u 如何控制外来笔记本电脑以及其它移动设备的随意接入问题？u 如何有效管理计算机设备资源，确保资产的不丢失？u 如何优化IT运行维护流程，降低运维成本？为保证移动办公用户的安全，防御未知的黑客

6、攻击、部攻击、部信息泄露，以及加强每一台网设备的安全策略，解决安全问题是迫在眉睫的！盈高科技为解决以上问题，定制了一整套安全解决方案，并推出了“MSEP多维终端安全管理平台”。MSEP桌面安全管理套件基于Apache WEB服务器，MYSQL数据库。管理平台基于B/S结构，管理员可以从任何一台安装了浏览器的终端进行登录管理，后台应用服务器实现基于C/S结构。客户端具有强大的自主防护功能，没有使用界面后台运行。Agent作为系统的功能实现体，需要安装在桌面系统中，实现了主机防火墙、主机入侵检测、防病毒软件检测功能，对系统状态（进程、端口、软件、硬件、CPU占用率、磁盘占用率、存占用率）的信息采集

7、功能，对拨号、打印、文件操作、外存使用的行为监管功能。报表子系统为管理员提供了丰富的报表功能，实现了分析结果的可视化，可帮助网络管理员对网络中的异常情况进行深度挖掘分析。二、 多维终端安全管理平台的特色u 实时风险展示，随时了解状况通过多维终端安全管理平台的安全检查与加固，系统管理员可以对全网的终端设备建立各种安全检查与评估任务，实时的了解目前网设备的风险状况。通过图形化的展示方式，管理员可以了解目前网处于安全和高、中、低等各个级别风险的设备比例，了解各个终端目前的具体风险情况，并且系统可以根据目前的风险情况，提出存在问题的原因和对如何进行修复提出修改的建议。u 全面安全检查，规避安全漏洞多维

8、终端安全管理平台可以对网终端各种安全情况进行仔细检查，比如可以检查终端的用户密码是否安全，用户的杀毒软件是否安装，用户的补丁安装是否及时，用户是否开启了一些不容许开启的共享，用户是否运行了一些风险比较高的后台服务和程序等。通过对系统的细致全面检查，我们可以得出一台终端的具体风险分值，并对这些分值进行排名和统计，可以判断出目前那些设备的危险程度最高，尽早的引起管理员的重视，通过提前了解风险并解决这些风险来规避系统的各种安全漏洞。u 多种报警方式，查询形象直观多维终端安全管理平台在系统的运行中会根据实际的情况产生各种报警，为了便于管理员及时迅速的了解这些系统意外状况，多维终端安全管理平台提供了丰富

9、多样的报警方式。目前管理员可以通过报警查看平台、WEB管理平台来了解系统产生的报警，另外对于一些实时性比较高，比较重要的报警我们可以通过短信SMS的方式第一时间通知给管理员，便于管理员立即进行处理。同时系统可以根据管理员和企业的实际需求，在每个周末和每个月末将系统的报警周报表和月报表通过EMAIL的方式发送给管理员。u 缺陷自动修复，减少人工干预多维终端安全管理平台遵循一个“采集”“展示”“报警”“控制”“采集”的全套闭环的管理模型，和其它的厂家不同的是通过多维终端安全管理平台的控制功能，管理员可以对系统中出现的各种缺陷，风险等问题进行控制，通过多维终端安全管理平台提供的丰富控制功能，多维终端

10、安全管理平台的客户端可以对终端的各种缺陷进行自动的修复，严格的安装管理员的设置进行操作，避免管理员在出现问题或者问题将要出现的时候的人工参与，减少管理员的日常维护工作量，真正的将管理员从繁琐的日常维护中解放出来，将工作的重心专注与业务相关的优化上面，降低IT服务管理部门的TCO，提高IT服务管理部门的KPI。u 无任何网络改造，避免网络影响平台采用的假想式程序设计的基本隔离方法，不用改变企业当前的网络拓扑，不需要特定型号交换机的支持；不受802.1x协议以及Dynamic VLAN的限制；只要在存在网络的地方，随意接入网络，就能实现网络的准入控制；可以在最短的时间有效地阻止非法用户的接入，适用

11、于各种不同的网络环境。u 多种部署方式，降低部署成本企业网管理要求在企业的网终端上面安装客户端程序，由于企业的网终端数目巨大，如果要管理员逐台的进行客户端的安装，这个对于系统管理员来说就是一个噩梦。为了降低管理员的部署难度和工作量，多维终端安全管理平台提供了多达10种的部署方式，通过这些方式的组合可以极大的降低管理员的部署时间，降低企业的部署成本。1. 使用多维终端安全管理平台 Client Deploy Tool若网络中部署了Active Directory，则可以使用多维终端安全管理平台 Client分发工具安装多维终端安全管理平台 Client。通过多维终端安全管理平台 Client分发

12、工具安装多维终端安全管理平台 Client。2. 网页浏览安装方式若网络中没有部署Microsoft Active Directory，而且也没有使用登录脚本，则可使用网页浏览方式分发客户端，当用户浏览该网页时会主动检查客户端是否已安装了多维终端安全管理平台客户端，如果还没有安装则自动安装多维终端安全管理平台客户端。3. 手工安装多维终端安全管理平台 Client 总是可以通过在每台计算机上手工运行多维终端安全管理平台 Client安装程序来进行安装。这对于较少数目的计算机来说是一个快速且有效的方法。必须以管理员权限登录目标计算机并进行安装。4. 通过MSI安装可以使用Microsoft In

13、staller (MSI)版本的多维终端安全管理平台 Client安装程序来进行自动安装。你可以直接运行这个程序来直接安装client，或者调用它的参数进行安装。通过使用MSI版本的client安装程序，可以为多维终端安全管理平台 Client MSI的分发创建一个组策略对象（Group Policy Object ，GPO）。有关更多的组策略方面的信息，参见微软的知识库文章support.microsoft./kb/887405。5. 使用软件分发工具如果已经有某些软件分发工具，比如Microsoft SMS 或者Mcafee网络版杀毒软件，并且所有要安装的目标计算机都能使用这些工具，则可以

14、通过软件分发工具来分发多维终端安全管理平台 Client的安装包。6. 使用组策略可以通过使用Active Directory Group Policy Objects (GPO)来定义一个策略，强制在特定组（比如组织单位，域，等）的每台计算机上安装多维终端安全管理平台 Client，这个策略在每次用户登录到这个特定的域的时候应用到客户端计算机。如果有GPO功能则可以高效的部署多维终端安全管理平台 Client。7. 嵌入操作系统镜像文件如果使用一个特定的系统镜像或者通用操作环境来安装新计算机，则可以在镜像中加入多维终端安全管理平台 Client。8. 使用登录脚本在一个NT 或 AD域，登录

15、脚本可以用来检查多维终端安全管理平台 Client是否存在。当计算机登录的时候发现多维终端安全管理平台 Client不在客户端计算机上，它可以自动从存放多维终端安全管理平台 Client安装程序的位置启动安装。如果网络中不断的增加新计算机，则这种方法非常方便，可确保多维终端安全管理平台 Server会自动发现并管理新加入的计算机。在一些使用Windows 2000 或 XP的网络环境，用户必须以管理员身份登录才能让这种方式工作。9. 使用Email可以给目标系统用户发送一个正文带有URL的email，让他们在登录网络的时候安装多维终端安全管理平台 Client。这对于Window9x计算机是一

16、个很有效的方式，因为他们没有对使用操作系统的用户的权限限制。然而，对于需要划分管理权限的系统，这种方式要求用户以管理员权限登录计算机。10. 使用多维终端安全管理平台 RemoteInstall远程推送工具如果知道对方设备的管理员用户名和管理员密码，那么可以通过多维终端安全管理平台 提供的RemoteInstall工具对远程的设备逐台或者成批的进行多维终端安全管理平台 Client的安装。u 深入系统核，确保终端稳定和兼容性为了保证终端的稳定性、兼容性和安全性，要求终端的客户端必须和终端的系统紧密结合，和其它厂商的终端程序不同的是多维终端安全管理平台 Client的大部分功能都已经深入到Win

17、dows的系统核中。多维终端安全管理平台 Client通过采用Microsoft 提供的WDK开发工具，同时结合最新的WDF(Windows Driver Foundation)开发框架进行开发。通过在系统的核级进行操作，除了可以和微软的Windows系统更好的结合，还可以避免一些恶意的软件或者病毒对客户端的修改和注入，保证了客户端本身的安全性，由于我们的客户端采用了驱动级的开发方式，所以绝大多数的病毒都不能对多维终端安全管理平台 Cient进行侵犯，进而影响到客户端安全性。通过在核级进行操作，可以保证客户端可以在第一时间对于各种突发事件进行了解，并采取相应的措施。经过测试表明通过在核级进行系

18、统监控，对于进程创建的响应时间比在应用层进行监控对于进程创建的响应时间快了将近300毫秒。在核级进行开发，对于多维终端安全管理平台 Client的稳定性提出了更高的要求，这就要求我们的应用要更稳定，更可靠的运行在系统这一级别，值得称赞的是多维终端安全管理平台的所有驱动程序都经过了微软的官方驱动验证程序管理器的验证！关于微软的驱动验证程序管理器的详细信息可以参考 support.microsoft./kb/244617。而且经过长达3年的近10万客户端的实际检验，也证明多维终端安全管理平台 Client的稳定性和可靠性！u 整体代码优化，减少终端资源消耗企业员工终端电脑的资源都非常有限，不能因为

19、安装了管理客户端之后有任何的性能影响，不能因为安装了管理客户端之后影响员工的正常业务使用。为此我们除在设计和编写代码的时候进行充分的优化之外，我们还使用了专业的代码检测工具对我们的客户端程序进行检测，我们的代码完全经过了IBM Rational Purify的专业检测，通过使用专业的第三方工具对我们的代码进行了更进一步的优化，确保对终端资源的消耗最少。关于IBM Rational Purify的详细资料可以参考。-306.ibm./software/awdtools/purify/win/经过实际用户的统计分析多维终端安全管理平台 Client在终端电脑上面占用CPU资源平均不到1%，峰值不到

20、5%。客户端占用存资源平均不到 2.5MB，峰值不到5MB。三、 产品的安全目标和外部接口说明盈高多维终端安全管理平台（MSEP）是一款基于安全策略的终端管理产品，采用了开放式B/S与C/S相互结合的体系结构和标准化数据通讯方式，对局域网部的网络安全行为进行全面监管，检测并保障桌面系统的安全。MSEP共分下面几大模块：资产安全管理模块、桌面安全管理模块、行为审计管理模块、资产管理模块、系统资源管理，通过统一定制、下发安全策略并强制执行的机制，实现对局域网部桌面系统的管理和维护，能有效保障桌面系统及数据的安全。桌面安全管理模块，通过统一配置策略的主机防火墙，实现对桌面系统的网络安全检测和防护。并

21、且能够自动检测桌面系统的安全状态，检测桌面系统的病毒防护软件是否工作正常。快速部署全网机器确保阻断非法端口的异常行为。行为审计管理模块，对桌面系统上拨号行为、违规外联行为、访问行为、违规程序执行行为、打印行为、移动存储设备使用行为、文件操作行为的监控（目前只提供文件操作行为的监视），确保数据的安全，避免了部数据的泄漏。资产管理模块，使管理员能够轻松进行局域网的管理维护，解决了桌面系统基础信息难以及时、准确掌控的问题，规了客户端操作行为，提高了桌面系统的安全等级。通过系统监管模块管理员能够远程查看桌面系统当前的详细信息，包括：已安装软件、已安装硬件、进程、端口、CPU、磁盘、存、软硬件变动信息、

22、日常设备维护等。系统资源管理，MSEP系统为管理员提供了Agent管理、IP管理、补丁管理等功能，能对网络的Agent进行有效管理，避免IP地址混乱、非法接入等情况，还可以轻松完成网络对桌面系统的补丁检测、自动分发和安装、并支持离线模式的补丁检测分发；并提供了用户很方便的像可执行程序、MSI安装包或者文档数据文件自动下发与安装的功能。SvrManager为MSEP系统的中枢系统，负责系统数据的转发，派发及处理Console、Agent传来的信息。Console Portal是MSEP系统的用户使用接口。通过Console Portal，用户可以使用MSEP系统的所有功能，如查看桌面系统的详细信

23、息、定制/下发策略、管理系统资源等。Patch Server 为系统提供了桌面未安装补丁的检测、下载、更新、查询等功能。DB Server提供了系统日志、事件报警、系统数据等信息的持久化功能，便于管理员分析网络的历史状态。四、 产品设计原则与架构4.1. 整体方案设计原则首先，盈高科技认为有必要参考国际、国的安全管理经验，来设计的“多维终端安全管理平台”解决方案。BS7799作为英国政府颁发的一项信息系统安全管理规，目前已经成为全球公认的安全管理最佳实践，成为全国大型机构在设计、管理信息系统安全时的实践指南。BS7799认为，设计信息安全系统时，必须掌握以下安全原则：n 相对安全原则 没有10

24、0%的信息安全，安全是相对的，在安全保护方面投入的资源是有限的 保护的目的是要使信息资产得以有效利用，不能为了保护而过度限制对信息资产的使用n 分级/分组保护原则 对信息系统分类，不同对象定义不同的安全级别 首先要保障安全级别高的对象n 全局性原则 解决安全问题不只是一个技术问题 要从组织、流程、管理上予以整体考虑、解决在设计“多维终端安全管理平台”解决方案时，非常有必要参考BS7799中的有关重要安全原则。BS7799中，除了安全原则之外，给出了许多非常细致的安全管理指导规。在BS7799中有一个非常有名的安全模型，称为PDCA安全模型。PDCA安全模型的核心思想是：信息系统的安全需不断变化

25、的，要使得信息系统的安全能够满足业务需要，必须建立动态的“计划、设计和部署、监控评估、改进提高”管理方法，持续不断地改进信息系统的安全性。以下是图 1PDCA安全模型。图 1PDCA安全模型的终端安全管理，也将是一个持续、动态、不断改进的过程，多维终端安全管理平台将为提供统一的、集成化的平台和工具，融合接入、检查、隔离、修复等机制，帮助对其终端进行统一的安全控制、安全评估、安全审计及安全改进策略部署。4.2. 统一的集成化融合管理平台多维终端安全管理平台必须提供统一的、集成化融合管理平台。解决方案要向IT系统管理员、安全审计员提供一个统一的登录入口，有整体的终端安全视图，呈现整个计算机网络系统

26、中所有终端设备的安全运行状况。管理员不仅可以看到终端安全的运行状况，终端的安全设置，也能够看到终端的软件配置、硬件配置、终端的物理位置等信息。通过统一的集成化的管理平台，安全管理员可以完成所有与终端安全管理维护相关的各种任务，具体包括：n 外来或者不满足安全规定的设备统一接入阻断干扰管理；n 建立“人机对应”管理机制，可以快速定位全网当中任一台终端设备；n 建立统一的全网终端安全补丁升级机制，确保每一台终端都安装安全补丁；n 确保全网终端都必须安装防病毒软件，建立一套安装并升级防病毒软件的机制；n 建立“可信移动存储设备”的管理机制，可对指定机器禁止拷贝资料到移动存储设备中；n 平台可以对全网

27、所有不允许连接互联网的主机拨号上网、双网卡、代理、无线上网等违规行为监控及阻断；n 同时结合“等保”的指导方针，对全网所有终端的主机完整安全性做检查、评估、加固控制。统一的集成化融合管理平台对管理员的各种操作，应提供审计功能，以备事后审计，建立管理员、审计员两权分立的有效监督机制。4.3. 系统架构说明MSEP基本系统由三个不同的模块组成：代理模块（Agent）、服务器模块（Server）、WEB管理与控制平台模块（WebConsole）。用户可以根据具体需要将它们安装在网络中的计算机上。代理模块安装在每一台需要被监视的计算机上。服务器模块用来存储和管理所有安装有代理模块的计算机，用于管理监视

28、所产生的资料，一般安装在一台具有大容量存的用作服务器的计算机上。WEB管理与控制平台主要用于监视每台安装有代理模块的计算机、查看历史记录及查询统计，一般是给公司管理人员使用，由于采用WEB浏览器的模式，所以无需安装模块程序只需使用IE浏览器就可以使用功能。其中，WEB控制管理中心WEBConsole是管理员进行策略配置、系统配置、下发命令、监控工作站点，即可以单独使用一台PC，也可以和其他系统共用。应用服务器MSEPServer是系统的核心，在后台常驻运行，负责执行管理员提交的策略配置、系统配置、指令等，完成和数据库的交互，将管理员的指令下达到被管终端的MSEPAgent。应用服务器和数据库可

29、以使用两台不同的计算机，也可以共同使用一台计算机。盈高TMMSEP多维终端安全管理平台基于Apache WEB服务器，MYSQL数据库。管理平台基于B/S结构，管理员可以从任何一台安装了浏览器的终端进行登录管理，后台应用服务器实现基于C/S结构。客户端具有强大的自主防护功能，没有使用界面后台运行。五、 产品的功能特点5.1. 集合资产配置管理与安全加固管理于一体MSEP多维终端安全管理平台不仅能够自动显示网络中的所有节点信息以及软硬件信息，而且能够将这些信息与组织人事信息合理组合在一起，从而方便网络中的所有资源得到统一管理和配置。另外，桌面管理软件能够通过控制管理客户端用户安装的软件以及运行的

30、程序来对其行为进行控制，从而达到一个网络和主机的统一管理，极提高了安全管理力度。5.2. 统一定制、强制执行的安全策略管理MSEP系统提供了强大的策略定制机制。管理员根据自身网络特点，能够通过MSEP有效地实施全局网络配置和安全管理、监控策略，实现了真正的统一安全策略。管理员可以灵活的创建不同的安全策略，从而系统中的不同类型的桌面系统可以应用不同的安全策略，策略、桌面系统形成多对多的关系，为整个系统提供了灵活的、弹性的安全机制。支持分组、分区域，跨网段管理。5.3. 集中管理的主机防火墙MSEP为网络所有联网的桌面系统提供以应用程序为中心的主机防火墙保护功能。它除了提供传统的主机型防火墙功能(

31、端口/协议过滤、应用程序过滤等)以外，还可以锁定合法应用程序，防止恶意程序通过伪装或代码注入等手段绕过防火墙的检测。当系统探测到远程攻击行为时，可以自动阻断所有来自攻击方的网络通讯，确保主机的安全。通过与MSEP系统的IP管理、接入控制等模块的联动，可根据模块报警自动切断主机的网络连接，并保证接受MSEP系统的统一管理。5.4. 补丁管理系统MSEP 提供了桌面系统补丁管理的功能，帮助管理员对网基于 Windows 2000/XP/2003等机器快速部署最新的重要更新和安全更新。MSEP能检测桌面系统已安全的补丁和需要安装的补丁，管理员能通过Web Console Portal对桌面系统下发安

32、装未安装补丁的命令, 通过MSEP的自动补丁模块，系统管理员可以对已知和未知的补丁制定下载和安装策略，可以定义是否需要人工审核还是自动安装，如补丁是否安装、安装是否有提示进度条、安装的条件、安装的时间等等，并可跟踪各终端的补丁安装记录。MSEP的策略都可以针对单台终端，也可以采用继承上级组的机制对一组或多台终端生效。管理员可从微软自动下载更新补丁库，并审核是否允许桌面系统安装。通过策略定制，桌面系统可以自动检测、下载和安装适用更新，MSEP 采用了后台智能传输服务(BITS)技术提高带宽使用效率。MSEP还提供软件分发功能，管理员可根据实际需要针对网的终端计算机下发软件。5.5. “主动式”安

33、全策略防御体系MSEP多维终端安全管理平台的优势主要体现在其“主动式”的安全防御方式上。目前，多数安全防御系统，如IDS，都是“被动式的”，它们关注于在网络被破坏时找出整个网络的问题所在，并人为进行相应的改正，以此来达到整个网络的安全防护目的。MSEP多维终端安全管理平台采用了一种更新的理念，采用“主动式”的安全防御策略。5.6. 桌面设置及运维系统管理员可以通过WEB管理平台，远程管理桌面终端的进程、共享文件夹、远程重启、注销、锁定、解锁、关闭甚至卸载终端，还可以获取远程桌面屏幕。可以通过WEB平台进行桌面网络属性设置，比如修改网络参数、修改计算机名称、工作组名称等等。5.7. 杀毒软件版本

34、检测MSEP 提供了对主机的杀毒软件的检测功能，可检测主机运行的杀毒软件版本和杀毒软件病毒库版本及升级时间等，目前支持检测国外绝大多数流行的杀毒软件，包括：瑞星、MacAfee、卡巴斯基等。5.8. 全面的资产管理MSEP提供Agent自动发现功能，已安装Agent程序的终端计算机会被MSEP自动发现并纳入管理围。能够自动收集管理该软件部署围的计算机的软/硬件信息，包括硬件设备信息统计、软件资产统计、设备变更信息统计，要求能够自动探测当前网络中的所有机器，记录各计算机的IP地址、计算机名、MAC地址、网卡型号和生产厂商、计算机所在域、操作系统、主要硬、软件信息、物理位置，IT资产从采购时输入一

35、直到接入网络、日常维修、一直到报废。一般按照部门、IP地址围、MAC地址、设备类型、操作系统类别、操作系统语言、资产各种配置、设备在线状态等等方式分类。能够手工添加设备编号以及设备使用人的信息（如使用者、物理位置、所在房间、配发时间等）。能够动态捕捉到客户端的设备变更情况，查询设备变更并生成相应的报表。硬件资产管理为IT管理员提供便捷的查看全网桌面终端硬件分布情况的有效手段。MSEP利用先进的自动硬件信息收集技术，及时全面地获取硬件信息，并以WEB报表有效地体现给管理员。5.9. 软件分发与安装MSEP提供了客户很方便的像可执行程序、MSI安装包或者文档数据文件自动下发与安装的功能。支持参数方

36、式增加软件分发时安装选项，这一功能可以使得IT管理员很方便快速部署软件，极降低了IT管理员的工作强度，提高工作效率。并且可以按照部署围进行分发，不会影响企业整体网络带宽。5.10. 黑白进程管理通过策略中心的黑白进程策略，网络管理员能够对网络中所有客户端主机中当前运行的所有进程进行实时监控，网络管理员可以根据需要直接终止非法进程（如木马程序、QQ、MSN和网络游戏以及蠕虫病毒等）的运行，并能在一些非法及非正常运行的进程时，根据网络管理员的安全策略自动报警或中止这些非法进程的运行。5.11. 访问安全控制对客户端访问的管理；全天或指定的时间对指定的域名进行禁止，或者采取反选。还可以定义星期几受控

37、以及如果离线是否有效。5.12. 违规外联目前许多安全级别要求较高的网络都规定必须将部网络与Internet物理隔离，然而网络中仍存在一些用户通过拨号或者加网卡的方式连接到Internet上，由于这种一机两用的非法外连方式隐蔽性非常高、对整个网络的危害性特别大，因此如何发现并杜绝网络中的一机两用现象是确保整个网络安全当务之急要解决的问题之一。部机器违规外联的及时发现、及时预警，当有不允许访问网络的情况发现时，系统能够及时发现并且预警采取措施。可以指定设备的访问网段围，当访问超过这些围时，系统会根据策略执行相应的处理操作。能够知道哪个进程在什么时间去访问远程的哪个IP主机的哪个端口。5.13.

38、便捷的远程维护MSEP主要提供两种远程维护方式，远程桌面查看、远程终端控制，并且配合消息交换功能，可以很好地让IT管理员进行远程故障诊断和排除，很好地提高工作效率。并且支持可以让客户端确认的过程。如果没有用户的确认则无法接管终端。终端远程服务只是在需要的时候开启，使用动态密码方式保证远程服务的安全性。5.14. 强大的外设监控功能策略中心的设备策略能够对所有安装客户端主机的外接设备进行统一的管理，网络管理员只需在控制中心进行相应的配置即可控制这些主机是否允许其使用诸如USB接口、并口、串口、光驱、软驱等外接设备。该功能最大的特色是在对USB接口进行管理时，若用户使用USB键盘和鼠标时是不会限制

39、的，只有用户使用USB硬盘和优盘等存储设备时才会被禁止。5.15. 安全检查及加固管理平台结合“等保”的指导思想，根据系统可定义的安全检查项，对全网的设备，也可以指定一定区域进行安全评估检查。对所有的评估参数可作调整并权重打分。安全评估参数实例图当安全评估任务执行完成后，会产生评估结果。可以查看所有机器的评估结果并且给出风险系数统计。参见下图。评估结果查看图5.16. 弱口令检查功能目前很多病毒已经可以“猜”出用户机的口令，如果计算机使用弱口令，病毒将会通过这些弱口令获得计算机的控制权，并进行传播。这类病毒的传播行为靠杀毒软件或者补丁加固均无法进行控制。系统可以检查开码是否是弱口令，以保障系统

40、不因为弱口令的原因被病毒和黑客攻击。5.17. 可信移动存储设备监控对于带有涉密信息的逻辑隔离网，涉密信息一般都保存在本地或者移动存储设备中。当涉密信息保存在流通于本地的移动存储设备中时，如果移动存储设备不经过加密或保护，那么一旦移动存储介质遗失，在其他计算机能够直接访问、修改，将直接导致涉密信息外泄。平台采取对移动存储介质写入保护标签的方法，首先对存在于USB、移动硬盘等设备的涉密信息进行保护。然后通过策略，分配可以识别此标签的终端的权限，分配对象可以是一台计算机，也可以是一个区域、一个部门或自定义的计算机组。客户端移动设备行为审计：可以识别性移动存储设备的使用控制，可以对将要访问终端的移动

41、存储设备分类打标签，允许指定标签的移动存储设备访问，禁用其他移动存储设备的访问，同时可以设定哪些移动存储设备可以在哪个围使用。可以对不同公司或单位不同部门的U盘进行认证，防止移动存储设备串用。1. 可以禁止USB移动存储设备的接入。2. 通过设置，保证终端只允许本单位或本地区的USB移动存储设备接入。3. 对通过USB设备进行的文件拷入、拷出的行为进行审计，记录文件名称和操作时间。4. 可以禁止软盘的接入。5. 对通过软盘、光驱、刻录机进行的文件拷入、拷出的行为进行审计，记录文件名称和操作时间。6. 对终端大量的文件拷贝行为可自主设定阈值，超过阈值的不进行审计。如拷贝超过1000个文件不进行审

42、计5.18. 客户端资源运行管理l 硬件运行资源管理功能：检测终端设备的、硬盘(含每个硬盘分区)、存等的资源占用情况，可自主设定阈值,以确定终端系统资源占用是否达到上限，是否应该升级。l 网络行为异常监控：检测终端设备的I/O读写字节数、建立TCP连接个数、UDP监听端口数目、是否开启危险服务等容，可根据实际情况定义阀值策略，对于不符合要求的终端报警或隔离。l 重要进程异常报警和自动恢复：对未响应进程和意外退出进程进行（如退出、退出并重起等）处理。l 异常流量监控：基于主机方式对网络中客户端流量、分支网络带宽流量进行分析，防止非法入侵、滥用网络资源。当流量（含出、入或总流量）超过一定限度并持续

43、一定时间后，进行有关信息上报，以便网管了解客户端流量异常，从而快速分析是否是网络安全事故。5.19. 网络流量安全管理针对每个终端实现了对每个终端的流进流出的流量，做到第一时间可疑情况预警的同时做到流量控制，实现对流量可疑、发包数可疑、并发连接数可疑的客户端进行阻断、提示、上报给上级区域管理器操作，并且可以对一些网络协议进行控制，比如禁用BT协议等。5.20. 反ARP欺骗安全管理将网关、文件服务器等关键服务器的IP、MAC地址对登记，然后可以定制策略部署终端采取启用ARP防护功能，所有安装有代理软件的客户端会设定静态的MAC地址，从而免受ARP的欺骗攻击。六、 产品系统特点6.1. 友好的用

44、户WEB界面，易于部署迅速实施MSEP多维终端安全管理平台采用WEB方式管理，采用人性化用户界面设计，布局合理，操作方便。不论是高级网络管理员还是刚入门的新手，都能根据自己对Windows和网络使用维护的了解和必要的系统提示方便地完成各种操作。MSEP多维终端安全管理平台提供多种客户端安装部署方式，有WEB部署、远程推送、域脚本设置、直接安装等等。像基于WEB方式安装就可以帮助系统管理员快速部署所有客户端。6.2. 模块化系统功能，真正提供所需服务MSEP多维终端安全管理平台采用模块组件化设计，优秀的可堆叠的系统架构，实现功能无缝升级，主要功能模块是全独立，可以分离、可以集成。完全按照用户的网

45、络现状、实际信息化管理需求进行选择组合，真正做到按客户所需提供合适服务。6.3. 具有较高的系统性能MSEP多维终端安全管理平台一般情况下占用cpu正常情况下3；存占用在5M以，尽可能对桌面终端用户透明，不影响用户的正常工作。很好地做到不影响原有网络和系统的性能，造成工作的瓶颈。后台数据库支持各类高性能数据库，同时也具有快速发现客户端注册机制。采用三权分立的管理体系，MSEP多维终端安全管理平台提供了授权管理者、系统管理员、日志管理员三个相互独立和制约的角色，避免了权力过度集中。6.4. 实时性实时地监控网络的活动，随时向管理员提供准确的报告。对各类异常行为按照预定的策略实施阻断，防止数据外泄

46、，并发出警报。6.5. 易用性系统提供了友好的WEB 图形化用户界面，可以进行全新的可视化管理与配置。强大的日志查询功能，可以根据各种条件进行快速查询统计。对受控主机的各种状态产生实时报警，并在控制端作详细的显示和统计分析。6.6. 安全性作为安全管理产品，MSEP自身具有很高的安全性。用户的认证基于角色的权限管理、管理围限定、指定登录IP围等等功能；MSEP可以向用户提供基于S协议的WEB管理、并且每次登录采用随机校验码验证。通过这些安全措施，有效地防止了由于网络监听或滥用造成的一系列安全问题。MSEP客户端Agent程序具有高度的安全性，提供基于系统核的进程运行，保证不会因为终端用户对进程

47、的停用、程序文件的删除而停止工作。6.7. 支持完善、安全的用户管理与认证机制支持多用户、多角色管理机制。审记、管理两权平等，互为监督，互不干涉，互不管理，具备自我防护和审记能力，能够有效地防止蛮力攻击等。6.8. 面向终端用户的完全透明性MSEP Agent对于终端用户是完全透明的，Agent的信息收集、策略执行、安装、升级等操作对用户完全透明，减少了管理的费用。6.9. 基于开源平台，无任何知识产权风险盈高拥有MSEP多维终端安全管理平台的全部知识产权，MSEP是一款完全基于开源级的基础平台的强大系统，向用户提供源代码级技术支持。多年来我们积累了丰富的IT系统管理方面的开发经验，十分有信心

48、地很好满足企业个性化信息建设运维平台方面的需求。七、 产品的安全功能相关的术语及定义说：1 ITIL：Information Technology Infrastructure Library，中文名为信息技术基础设施库。2 MSEP：中文名为多维终端安全管理平台。3 可信网络架构：（Trusted Network Architecture -TNA）：是一个试图通过现有网络安全产品和网络安全子系统的有效管理和整合，并结合可信网络的接入控制机制、网络部信息的保护和信息加密传输机制，实现全面提高网络整体安全防护能力的可信网络安全技术体系。4DES:Data Encryption Standard 数据加密标准5MBSA:Microsoft Baseline Security Analyze微软基准安全分析器