圣安桌面终端管理系统技术白皮书

《圣安桌面终端管理系统技术白皮书》由会员分享，可在线阅读，更多相关《圣安桌面终端管理系统技术白皮书（24页珍藏版）》请在装配图网上搜索。

1、圣安桌面终端管理系统圣安桌面终端管理系统技术白皮书技术白皮书上海圣安信息工程有限公司上海圣安信息工程有限公司 圣安桌面终端管理系统技术白皮书圣安桌面终端管理系统技术白皮书2版权声明上海圣安信息工程有限公司上海圣安信息工程有限公司（以下简称圣安公司）拥有本文档（包括所涉及的主题）的专利、专利申请、商标、版权及其他知识产权。圣安公司授予您阅读本文档的权利；但是，除非有圣安明确提供的书面特许协议，本文档的提供并不意味着授予您相关专利、商标、版权或其他任何知识产权的特许。复制与传播复制与传播 遵守所有生效的版权法是用户的责任。在未经圣安公司明确书面许可的情况下，不得对本文档的任何部分进行复制（备份目的

2、除外） ，不得将其保存于或引进到公开的检索系统中，不得以任何形式和任何方式（电子、影印、录制、机械或其他任何此处未指明的方式）进行传播或用于任何目的。示例示例 如果本文档有示例部分，则在示例部分中所描述的公司、组织、产品、人及事件均属虚构，与真实的公司、组织、产品、人及事件无任何关系。变更变更 本文档的参考资料中所提及的包括 Web 站点、Internet 资源、第三方的技术标准与规范等在内的信息，如在本文档交付后有变更，恕不另行通知。版权所有者版权所有者 版权所有 上海圣安信息工程有限公司(ShangHai Sasun S&T Co., Ltd.)，2021。地址： 上海市虹桥路 333 号

3、 607A（200230） 。所有权利均予保留。商标商标 SASUN、GAP 和/或其他本文档中提及的圣安产品，是圣安科技的商标或注册商标。本文档所提到的真实的公司和产品的名称可能是其各自所有者的商标。联系人联系人 如有任何疑问或问题，请与 AdminS 联系。未经本使用规定明确授予的任何权利均予保留未经本使用规定明确授予的任何权利均予保留 圣安桌面终端管理系统技术白皮书圣安桌面终端管理系统技术白皮书3目目 录录公司简介公司简介.4 41 1 客户端终端管理的现状和需求客户端终端管理的现状和需求.5 52“2“圣安桌面终端管理系统圣安桌面终端管理系统”介绍介绍.6 62.1“桌面终端管理系统”

4、系统简介.72.2 系统架构.72.3.“桌面终端管理系统”系统特点.83 3 圣安桌面终端管理系统功能简介：圣安桌面终端管理系统功能简介：.9 93.1存储设备监视和管理功能.93.1.1 通过驱动模式监控所有进/出储设备数据.93.1.2 USB 存储设备控制.93.1.3 指定 USB 存储设备使用控制.93.1.4 移动存储设备接入管理.103.1.5 移动存储设备标签认证管理.103.1.6 移动存储数据读写控制管理.103.1.7 移动存储设备分区管理.103.1.8 移动存储设备的加密管理.103.1.9 指定设备读写指定移动存储设备的访问控制管理.103.1.10 移动存储设备

5、使用行为审计管理.113.1.11 软驱及光驱使用管理功能.113.1.12 及时报警、集中分析管理.113.2 终端安全平台.113.2.1 通过驱动的模式管理终端的所有协议.123.2.2 通过驱动的模式管理终端的所有端口.123.2.3 应用程序上网管理.123.2.4 绿色上网控制.133.2.5 图形化分析和显示当前网络状态.133.2.6 系统进程保护.133.3 终端安全管理及系统维护功能模块.143.4 软件集中下发功能模块.143.5 资产管理功能模块.143.6 注册表备份&恢复功能模块 .153.7 自动升级功能模块.153.8 重要文件备份功能模块.163.9 桌面终端

6、登录控制及上网记录.163.10 桌面功能控制模块.173.11 桌面终端indows 操作系统补丁包自动升级模块.173.12 集中管理控制（中央控制台）.174 4圣安圣安“桌面终端管理系统桌面终端管理系统”在网络中的典型部署方案在网络中的典型部署方案.1818 圣安桌面终端管理系统技术白皮书圣安桌面终端管理系统技术白皮书4公司简介公司简介上海圣安信息工程有限公司成立于 2001 年 9 月，公司主要的业务是致力于计算机网络、通信等高科技领域的产品开发及市场开拓，主要经营产品有网络安全隔离系统、计算机终端综合管理平台、入侵检测系统（SA-IDS） 、公文流转系统、电子邮件系统、视讯管理及点

7、播系统、有线/无线宽带产品，并提供完整的用户解决方案和专业的售后服务。圣安科技依靠自身强大的技术、研发实力以及完善的服务体系，在众多网络安全产品厂商中脱颖而出，在较短的时间内已成为国内网络安全厂商中发展较快的领先者。目前圣安科技的产品已广泛应用于政府、军队、电信、金融、医疗等领域，得到广大用户的一致好评。随着圣安科技的迅速发展，现已在全国各地建立近20 家分销渠道，用户遍布全国 10 余个省市自治区。圣安科技拥有国内一流的网络安全产品线体系，主要网络安全产品全部获得了计算机信息系统安全专用产品销售许可证 、 国家信息安全产品测评认证证书 ；此外，其核心安全产品还通过了国家保密局技术鉴定。圣安科

8、技拥有一支强大的员工队伍，本科以上学历占公司员工总数的 98%以上。在经营管理上，积极利用股东资源，引入先进的企业管理制度和市场营销模式，确保了公司的长远发展。在技术开发上，圣安科技依托多年网络安全研究的技术积淀，汇聚了一大批专门从事网络安全研究并拥有丰富软件开发经验的技术人员，通过不断的实践和积极的探索，积累了大量的实战经验和极为宝贵的安全数据，这些，已成为圣安科技重要的无形资产。依托长年的专业积累将不断对产品与服务进行升级和完善，圣安科技的软件产品将始终在国内保持领先地位。圣安科技将继续坚持“以领先的技术、专业化的服务为客户提供计算机系统安全产品、服务及整体解决方案”的经营宗旨，以打造优秀

9、的网络技术安全民族企业为已任，以不懈努力，不断创新，开发具有更高安全性能和品质的网络安全产品，提供更及时更有效的安全保障服务，为我国的信息化建设保驾护航。 圣安桌面终端管理系统技术白皮书圣安桌面终端管理系统技术白皮书51 客户端终端管理的现状和需求客户端终端管理的现状和需求随着网络办公应用的广泛使用和蓬勃发展，计算机网络已经成为生活和办公中不可缺少的部分。尤其在政府和高技术企业的办公网络中越来越多地出现了内部重要信息和机密资料地流转，这些信息和资料的安全性及稳定性成为了办公网络中计算机终端维护管理的核心安全问题。目前网络管理员在计算机终端维护管理工作中，经常碰到以下几个令人头痛的问题：怎样彻底

10、隔离网络上日益增多的黑客攻击与漏洞攻击，在有限的预算内快怎样彻底隔离网络上日益增多的黑客攻击与漏洞攻击，在有限的预算内快速有效的搭建统一的终端综合管理平台速有效的搭建统一的终端综合管理平台? ?如何防止和记录且能准确追踪到内部网络的信息和机密资料可能存在的非如何防止和记录且能准确追踪到内部网络的信息和机密资料可能存在的非法拷贝和泄露？法拷贝和泄露？怎样控制日益增多的局域网内突发性的病毒木马的大面积感染？怎样控制日益增多的局域网内突发性的病毒木马的大面积感染？有什么办法可以让网管摆脱繁琐的重复逐台安装应用软件，高速有效的进有什么办法可以让网管摆脱繁琐的重复逐台安装应用软件，高速有效的进行业务或应

11、用软件的全网分发？行业务或应用软件的全网分发？在无需对最终用户技术培训的情况下，怎么利用技术手段防止企业内部的在无需对最终用户技术培训的情况下，怎么利用技术手段防止企业内部的计算机终端之间的恶意攻击和非授权访问？计算机终端之间的恶意攻击和非授权访问？如何能够摆脱古老的资产人工登记、核对方式，利用技术手段自动的对全如何能够摆脱古老的资产人工登记、核对方式，利用技术手段自动的对全网内的计算机终端进行资产统计管理、资产变化监控以及报表自动生成工网内的计算机终端进行资产统计管理、资产变化监控以及报表自动生成工作？作？怎么样能够全方位的保护计算机终端的重要资料备份，而不会因为硬件故怎么样能够全方位的保护

12、计算机终端的重要资料备份，而不会因为硬件故障或误操作障或误操作, ,使单位蒙受重大的损失？使单位蒙受重大的损失？在网络中电脑的使用者的技术水平参差不齐的情况下，可以提供哪些方便在网络中电脑的使用者的技术水平参差不齐的情况下，可以提供哪些方便易用的维护软件，使最终用户无需培训就可对计算机进行简单的系统维护？易用的维护软件，使最终用户无需培训就可对计算机进行简单的系统维护？怎样充分利用网络通讯的便利性，完成局域网内的点对点的即时通信，文怎样充分利用网络通讯的便利性，完成局域网内的点对点的即时通信，文件互发？件互发？如何保障业务的正常运行，利用方便安全的技术手段令各计算机终端之间如何保障业务的正常运

13、行，利用方便安全的技术手段令各计算机终端之间的文件可以高速传输及共享？的文件可以高速传输及共享？以上这些问题，成为了网络管理人员的一个重要工作任务。因此，需要一 圣安桌面终端管理系统技术白皮书圣安桌面终端管理系统技术白皮书6种能通过技术手段的软件产品，来保障这些维护工作方便有效的正常运行成为了日常维护工作中的重中之重。为了保证核心网络的安全性，很多单位都已将核心网络（或称内网等）与外部网络从物理上进行了隔离，这种方式从很大程度上能保证网络的安全性，以及内部资料和内部重要信息的安全性。但这种已经通过物理与外界隔离了的网络中仍然不断出现了病毒的传播和资料泄密的事件发生。这种现象只能有一种解释：问题

14、出在内部。出现这种现象主要有以下两种方式：内部人员将外部的病毒或木马程序通过存储设备（如：USB 设备、软盘、私自外接的硬盘等）有意或无意地带入了内部网络的电脑中；并通过网络将这些病毒或木马程序传播开来。或者内部人员主动将内部重要资料或者通过入侵内部网络中的电脑系统，并将这些重要资料通过存储设备带出。不难看出内部网络中终端设备的基本安全以及对存储设备的管理和记录显得非常重要。因此，网络管理人员需要一种能保障网络内终端设备基本安全的技术手段和产品。由于网络中电脑的使用者的技术水平参差不齐，对相关的安全设置不理解以及对下发的软件不会安装造成了网络管理人员整天将大量的时间和精力花费在这些简单的劳动中

15、。因此，网络管理人员希望通过技术手段和产品对网络中的终端设备中的安全软件能集中管理控制，并将需要下发的软件能够通过集中下发的方式得到实现。通过以上对现状和需求的分析；网络管理人员希望通过技术手段和产品来保障终端设备的基本安全、能记录所有对外部存储设备拷贝的动作、能对终端安全软件进行集中管理和配置、能集中下发软件以及能集中分析所有产生的记录日志的综合安全平台。由圣安公司自主开发的“桌面终端管理系统”综合安全系统能很好地满足以上需求和愿望。2“圣安桌面终端管理系统圣安桌面终端管理系统”介绍介绍“圣安桌面终端管理系统” （SA-Client Manager ）是圣安科技自主开发的计算机终端综合管理系

16、统，能极大地方便网络管理人员最终用户实时地掌握， 圣安桌面终端管理系统技术白皮书圣安桌面终端管理系统技术白皮书7局域网内所有计算机终端的工作状态、移动介质使用管理、安全状态、资产信息以及各项应用功能的使用，能有效提高计算机终端综合应用安全高效管理的保障工作。“圣安桌面终端管理系统圣安桌面终端管理系统” ，致力于提供安全、易用、有效的数据交换安全解决方案。该系统以计算机终端的安全性及移动数据安全为主导，紧扣其网络交换和数据移动的安全需求，针对网络数据及移动存储设备的数据流动中各个环节潜在的安全隐患，综合运用各种安全技术和手段，进行有效全程防护的安全产品。2.1“桌面终端管理系统桌面终端管理系统”

17、系统系统简介简介随着网络信息化的普及和办公自动化的不断发展，各单位也相应的建立了自己的局域网络，并不断地增加在网络上的应用。因此网络规模也在不断扩大，网络中的计算机终端也在一年一年地不断增加。同时也带来了很多全新的问题： 网络内的计算机终端工作是否正常可控？ 每台计算机终端的资产变化情况怎么样？ 各台计算机终端的应用是否正常？ 终端的安全保障是否完善，是否存在不应出现的服务或被植入了木马程序？ 网络资源是否被终端用户恶意占用？ 如何做好计算机终端的重要文件及资料的备份及恢复工作？等等问题作为网络管理员或技术维护人员很难做到时刻对各台计算机终端一一进行查看及管理；这也就要求通过技术手段将各计算机

18、终端当前运行的状态、资产信息以及在网络工作的基本应用等信息集中，并能够让网络管理人员或技术维护人员进行统一有效的管理。2.2 系统架构系统架构 圣安桌面终端管理系统采用 B/S 与 C/S 相结合的管理构架，支持多级级 圣安桌面终端管理系统技术白皮书圣安桌面终端管理系统技术白皮书8联模式。系统侧重安全与管理，服务端制订统一的策略，分发给客户端执行。是国内首套集个人防火墙、USB 设备使用控制、绿色上网控制、文件异地备份/恢复、网内即时通讯、注册表及进程管理、软件集中下发、资产管理等功能为一身的桌面 PC 集中管理软件。系统管理员可通过集中管理控制台对网内的所有桌面 PC 进行上述功能的集中管理

19、及查询。图：控制台主界面 圣安桌面终端管理系统技术白皮书圣安桌面终端管理系统技术白皮书9图：客户端主界面2.3.“桌面终端管理系统桌面终端管理系统”系统特点系统特点上海圣安公司，结合多年的底层驱动开发经验设计并开发了计算机终端管理监控系统 “桌面终端管理系统” （Client Manager） 。该系统主要具备以下几个特点：1、采用安全可靠的 C/S 管理架构，方便网络管理员或技术维护人员在网络中的任意位置都能查看和管理。2、对网络中计算机进行分组管理，方便管理员针对不同的计算机用户采用不同的管理策略。3、提高计算机终端的安全性，圣安公司利用全国领先的个人防火墙技术，全面保护计算机终端在网络运

20、行中的安全性及可靠性。 圣安桌面终端管理系统技术白皮书圣安桌面终端管理系统技术白皮书104、客户端采用底层驱动技术，能够从通讯协议、IP 地址、端口、应用程序、域名解析全方面准确的获取和管理计算机终端的网络通讯状况。5、采用网络多地备份技术，对计算机终端的重要资料采用本地及服务器备份双重模式，彻底解决了重要资料丢失的后顾之忧。6、信息显示准确、直观易操作，圣安“桌面终端管理系统” （Client Manager）系统将局域网内所有的计算机终端都集中显示在管理主界面上，实时反映所有计算机终端当前状态，若出现非正常现象立即通过显示变化、声音等方式告知管理人员。方便管理人员及时了解网络中所有计算机终

21、端当前的运行状态，及时发现可能突然发生的故障。7、支持各种操作系统，圣安“桌面终端管理系统” （Client Manager）目前支持绝大多数主流操作系统，如：WindowNT4.0、Windows2000、WindowsXP、Windows2003 操作系统。3 圣安桌面终端管理系统功能简介：圣安桌面终端管理系统功能简介：3.1存储设备监视和管理存储设备监视和管理功能功能3.1.13.1.1 通过驱动模式监控所有进通过驱动模式监控所有进/ /出储设备数据出储设备数据要实现对存储设备的监控，也就是对电脑主板的 I/O 进行记录和还原。因此，圣安“桌面终端管理系统”通过自主开发和编写的驱动模式；

22、来完成识别是否是外接的存储设备（如：USB 设备、软盘、数码设备、私自外接的硬盘等） ，并能同时记录时间、外接设备的名称、容量的大小等信息。当用户向内或者向外进行拷贝动作时，圣安“桌面终端管理系统”立即将向内/外拷贝的文件名、文件大小、事件时间等信息记录下来并通过网络将该记录的信息发送到中央控制台数据库内，作为以后追踪和分析的依据。3.1.23.1.2 USBUSB 存储设备控制存储设备控制 圣安“桌面终端管理系统”具有 USB 存储设备控制功能，管理员通过中央控制台可以根据单位内不同部门和人员的使用权限或使用管理规定，任意定 圣安桌面终端管理系统技术白皮书圣安桌面终端管理系统技术白皮书11义

23、网内的某台计算机终端是否允许使用 USB 设备或 USB 存储设备。在最大程度上防止了机密信息的泄露渠道。3.1.33.1.3 指定指定 USBUSB 存储设备使用控制存储设备使用控制随着 USB 存储设备及数码设备使用的日益增多，如何方便有效的对网内计算机的 USB 设备使用进行控制，只允许网内的桌面终端使用单位内指定的 USB存储设备，防止未经授权的 USB 设备使用，也成为了信息主管领导及网络管理人员经常头痛的问题。利用圣安“桌面终端管理系统”的 USB 存储设备的黑白名单管理控制功能，管理员只需将网内允许使用的 USB 设备进行认证登记后，即可对网内的任意桌面终端进行指定 USB 存储

24、设备使用功能。则被下发策略的客户端 USB 接口只对部分认证的 USB 存储设备提供使用权，防止了网内 USB 设备的滥用。3.1.4 移动存储设备接入管理移动存储设备接入管理 系统能够自动识别任意移动存储介质的接入，可以通过策略分配在驱动级对移动存储设备的使用进行禁用。在允许使用的情况下，进行更细致的移动存储设备管理； 3.1.5 移动存储设备标签认证管理移动存储设备标签认证管理 系统能够通过策略对写入不同标签（普通标签和加密标签）的移动存储介质进行标签认证管理，防止未授权移动存储介质随意接入，防止因授权移动存储介质带外使用造成的信息泄密。 3.1.6 移动存储数据读写控制管理移动存储数据读

25、写控制管理 系统能够对安装客户端的主机使用移动存储介质时进行读写、只读、只写等行为的管理及控制； 圣安桌面终端管理系统技术白皮书圣安桌面终端管理系统技术白皮书123.1.7 移动存储设备分区管理移动存储设备分区管理 系统能够根据用户需要和用户使用情况将移动存储介质进行分区管理，可以进行三分区（启动区、 交换区 、保密区） ，两分区（交换区、保密区） ，整盘加密的分区管理，系统能够自由划分交换区及保密区的大小。 3.1.8 移动存储设备的加密管理移动存储设备的加密管理 系统对移动存储介质划分加密区后，只有在分配到该移动存储介质对应的标签认证策略的终端主机上并且通过正确的密码验证才可以访问保护区的

26、内容； 3.1.9 指定设备读写指定移动存储设备的访问控制管理指定设备读写指定移动存储设备的访问控制管理 系统能够通过对移动存储介质写入标签，再将对应该标签的策略分配给指定的终端主机，未分配到该策略的终端主机无法访问写入该标签的移动存储设备。实现只有指定的终端主机用户才能通过指定的主机访问指定移动存储设备中的数据。 3.1.10 移动存储设备使用行为审计管理移动存储设备使用行为审计管理 系统能够详细的记录移动存储设备的插拔、标签的分配情况、移动存储设备中数据的访问、修改、拷贝、复制等各种行为。3.1.11 软驱及光驱使用管理功能软驱及光驱使用管理功能本软件除了能对使用 USB 类产品进行监控管

27、理以外，圣安“桌面终端管理系统”还能够对计算机桌面终端上传统的存储设备，例如：软驱、只读光驱、读写光驱等设备进行是否允许使用的控制。这样在最大范围里防止了桌面终端上的机密文件对外的流失，同时全面防止了病毒或恶意攻击软件通过存储类设备的流入。 圣安桌面终端管理系统技术白皮书圣安桌面终端管理系统技术白皮书133.1.123.1.12 及时报警、集中分析管理及时报警、集中分析管理圣安“桌面终端管理系统”将采集到的有关私自外接存储设备的信息发送到中央控制台。当发生的事件信息，系统将自动通过颜色区分、闪烁和声音等方式报警，提醒管理人员此时正发生私自外接存储设备并正在拷贝文件等的信息，管理人员可通过该信息

28、追查或制止改行为。同时中央控制台可以将搜集到的信息进行分类、保存和组合查询等操作。图：USB 管理（控制台订制策略） 圣安桌面终端管理系统技术白皮书圣安桌面终端管理系统技术白皮书14图：USB 注册及 USB 加密3.2 终端安全平台终端安全平台许多用户很重视网关的安全性，往往配置了防火墙、入侵检测等网络安全产品，甚至采用物理隔离的方式防止外部网络对内部网络入侵的事件发生。这些防护措施虽然很有效，但却忽视了内部网络中桌面终端的安全性。根据权威机构调查统计，泄密事件往往主要来自于内部。内部人员若想入侵所在的内部网络往往变得非常容易，由于对内部网络的结构和安全措施比较了解，这种行为将很有可能不留下

29、任何痕迹，当入侵和泄密事件发生以后却无从追查。因此，桌面终端的安全同样是非常重要的。圣安“桌面终端管理系统”通过自主开发和编写的网络驱动，将所有进/出网卡的数据包进行分析和记录；通过自主设定的规则来阻止或放开这些数据流的通行。通过圣安“桌面终端管理系统”的终端安全平台功能模块可实现以下 圣安桌面终端管理系统技术白皮书圣安桌面终端管理系统技术白皮书15功能：3.2.13.2.1 通过驱动的模式管理终端的所有协议通过驱动的模式管理终端的所有协议实现对本机进/出协议的控制和过滤功能。如：禁止本机 ICMP 响应，本机 Ping 外部的机器不受影响，但外部机器 Ping 本机将不做响应；外部机器将无法

30、通过这种方式来探察本机的存在。并且有很多木马程序（如：“冲击波” 、 “震荡波”等）都是通过先 Ping 后植入的方式进行攻击的，若停止 ICMP 的响应这类木马程序将无法植入；很大程度上能防止这类木马和病毒在网络中的蔓延。3.2.23.2.2 通过驱动的模式管理终端的所有端口通过驱动的模式管理终端的所有端口实现对访问目的地址和端口的控制和过滤功能。通常的应用中需要访问的目的端口只有 21、25、80、110 等，但大部分的木马程序却使用的是非常用的端口，若对访问目标地址做严格限制；这些即使被植入木马程序这些程序也将无法与外界联系。实现对本地端口开放的允许/禁止。在众多的入侵事件中大部分都是因

31、为被入侵的机器中打开了一些高度危险的端口（服务）如：139、445、23等；若在非必要的情况下关闭这些端口，将大大地提高本机的安全性；也极大程度上减少了入侵事件发生的可能性。3.2.3 应用程序上网管理应用程序上网管理 基于应用程序的上网软件控制（如聊天软件、下载软件、网络游戏等） 。 集中管理绿色上网策略，定制与分发安全保护策略设定。本软件提供应用程序白名单和黑名单功能，在不影响用户使用本地软件的前提下，方便地限制用户可以使用哪些指定程序上网，通过对应用程序的版本号、安装路径、对应端口的开放以及数据流方向的策略管理，保证只有允许的程序才能访问网络，通过计算机对外通讯的“通道” 。 圣安桌面终

32、端管理系统技术白皮书圣安桌面终端管理系统技术白皮书163.2.4 绿色上网控制绿色上网控制 除了以上提供的功能外，圣安桌面终端管理系统还为用户提供了方便有效的，绿色上网控制功能，通过本软件的域名黑白名单功能，用户可通过常用与知名服务控制、端口控制、时间控制、域名关键字过滤等设置。对终端用户的上网行为进行有效管理及记录，方便了网络管理员对终端用户的网络使用状况的管理及追查，彻底杜绝病毒网站及不良网站的干扰。3.2.5 图形化分析和显示当前网络状态图形化分析和显示当前网络状态通过分析和统计进出网卡的数据包，将当前流量和协议分布等信息通过图形模式显示给用户，让用户及时判别本机当前是否存在着非正常的流

33、量；方便用户及时发现可疑的情况。显示当前正在与外界通讯的应用程序。圣安“桌面终端管理系统”终端安全平台将获取到正在与外界联系的应用程序的名称、路径和该程序的ICON，用户通过查看该图形列表能及时查看和发现正在与外界通讯的程序中是否存在可疑的程序。3.2.63.2.6 系统进程系统进程保护保护网络中的用户很少有人愿意将自己的系统处于被监视的状态下。但为了网络地安全运行以及内部重要资料和信息的安全保密需要，进程保护和全后台监控运行模式成为了必要。因此，圣安“桌面终端管理系统”可以将该功能采用完全在后台监控运行的模式。让终端用户在不知情的状态下接受本系统的监控和检查。 圣安桌面终端管理系统技术白皮书

34、圣安桌面终端管理系统技术白皮书17图：防火墙规则设置（控制台设置，集中下发）图：防火墙规则设置（控制台设置，集中下发）3.3 终端安全管理及系统维护功能模块终端安全管理及系统维护功能模块圣安“桌面终端管理”客户端软件，提供“进程管理” 、 “启动项管理”、 “IE 一键恢复” 、 “计算机服务管理”等实用功能。让终端用户可随时了解本机的运行状态，并自我解决一些简单的系统配置和问题，全面减轻系统管理人员的维护工作量。3.4 软件集中下发功能软件集中下发功能模块模块随着日益增多的客户端软件及应用的增加,终端平台的软件下发及升级管理工作成为了网络管理人员日常管理工作中不可避免的重复劳动。 圣安桌面终

35、端管理系统技术白皮书圣安桌面终端管理系统技术白皮书18由于网络管理人员的工作繁重，往往遇到一些软件需要在全网内进行终端安装；传统的安装模式网络管理人员只能是每一个办公室、每一台机器地重复安装。花费的时间长、协调工作繁多、下发软件不能及时发挥作用、人员不够等矛盾也就暴露出来了。圣安“桌面终端管理系统”终端安全平台提供了软件集中下发的功能模块；用户只需要在一台机器上进行安装和打包，将打包好的软件包上传到中央控制台，整个网络内安装了圣安“桌面终端管理系统”终端安全平台的机器将自动联系上中央控制台，并立即下载和自动安装该软件包，当该机器重新启动的时候该下发软件也就安装完成了。通过这种方式网络管理人员只

36、需要进行一次性安装下发工作后，整个网络中的终端在下次开机连进网络后都将自动完成该软件的下发任务。这样不但极大地减轻了网络管理人员的工作量、提高了工作的效率，而且能将需要下发的软件快速地安装网络中的每一台机器中，提早实现该下发软件的功能。该功能模块主要完成以下功能：软件打包功能。将需要下发的软件进行打包处理。将打包好的软件上传到中央控制台的软件仓库中，由圣安“桌面终端管理系统”终端安全平台自动下载和安装。3.5 资产管理功能模块资产管理功能模块每一个单位都会面临以下几个问题：当配发下去的电脑中的硬件发生变化的时候管理人员可能根本不知道（部分变动是被允许的、有些则是私自进行变更的）或不能及时发现、

37、每一台终端电脑里的具体配置很难统计和分析（单位的固定资产）等等。这些都给资产管理工作带来了很多的不便。圣安“桌面终端管理系统”为用户提供了分析和统计每台终端电脑硬件功能模块。通过终端安全平台实现对当前电脑所有硬件进行统计，并将所有统计的信息发送到中央控制台，当被统计的电脑里的硬件发生任何改变（如：内存更换了、硬盘型号或大小变化了、CPU 型号或频率变化了等等） ，终端安全平台将及时将改变了的资料信息发送给中央控制台，并报警。 圣安桌面终端管理系统技术白皮书圣安桌面终端管理系统技术白皮书19图：资产管理3.6 注册表备份注册表备份&恢复功能模块恢复功能模块Windows 注册表是 windows

38、 系统中最重要的系统文件之一；它的损坏和修改可能导致操作系统的崩溃和功能上的改变，尤其是在广域网或互联网用户，注册表经常被一些恶意软件修改。给用户带来了很多的烦恼以及产生了重大的安全隐患。因此提供对注册表的保护和恢复功能是一个安全平台的重要内容。圣安“桌面终端管理系统”采用了低资源损耗的全新注册表备份及恢复方式。除了能让终端用户方便快捷的对本机注册表进行备份、恢复操作外，还提供了简单易用的 IE 一键恢复默认状态功能。利用本终端功能用户再也无需因为恶意代码或恶意软件的篡改令自己的 IE 面目全非的苦恼，只需轻松点击就将自动删除所有无用键值，同时将所有的 IE 相关注册表键值恢复默认状态。3.7

39、 自动升级功能模块自动升级功能模块采用全新的应用程序自动升级功能。安装本终端软件的用户可以自动从互联网或局域网中获取最新版本的软件，使服务端与客户端软件版本保持同步。软件解决了网络管理员，为升级客户端软件而须每台机算机逐一升级的问题，改由客户端程序实现自动侦测、下载最新版本并将其更新，提高了软件更新的及时性。 圣安桌面终端管理系统技术白皮书圣安桌面终端管理系统技术白皮书20圣安“桌面终端管理系统”还根据用户提出的实际需求，预留了相关开发升级接口，如用户以后在其它网络应用中增加了客户端应用需求。系统管理员只需在服务器对客户端版本更新后，即可对所有的客户端软件进行版本更新及管理，从而大大减轻了系统

40、管理员的维护压力。3.8 重要文件备份功能模块重要文件备份功能模块系统的磁盘管理、文件备份和灾难恢复对于任何的单位用户来说都是非常重要的应用需求。为了保护有价值的公司数据，文件备份也成为了一个安全可靠的系统维护平台的重要手段之一。如果没有正确的维护与预先存储数据的日程安排，一旦客户的终端系统或存储设备出现问题，则有可能导致用户的重要文件丢失。终端用户可能几天、几周不能正常进行工作，甚至到最后也无法恢复重要的工作或个人数据。圣安“桌面终端管理系统”系统包含了文件备份的工具和集中管理控制台，使得这些备份管理任务更加容易和更加集中。灵活多变的备份方式灵活多变的备份方式文件备份工具包含灵活的选项，允许

41、用户备份所选文件夹到本地或远程服务器。编排日程界面也直接集成到个人防护统一终端，如用户决定使用定时备份则用户只需对所需要备份的文件夹进行设置及日程编排后就可对所定义的文件夹进行有效备份。如用户设定为增量备份，则只要当用户所定的文件夹的任何文件一旦发生修改，圣安“桌面终端管理系统”即会对所修改的文件进行有效增量备份。全新的网络化备份模式全新的网络化备份模式 圣安“桌面终端管理系统”功能强大的文件同步备份模块，能够将您重要的文件资料进行自动备份。用户不但能够自由设置所需备份的文件夹及时间，而且还提供全新的网络化备份模式。用户所需备份的文件不但能够在本地进行有效备份，还能够与远程的备份服务器进行文件

42、夹加密备份及恢复，彻底解决了用户重要数据丢失的后顾之忧。人性化的文件恢复选择人性化的文件恢复选择 圣安“桌面终端管理系统”支持用户进行任意时间点文件夹或文件进行备份恢复，用户可对某一个时间点所备份的文件夹或文件进行有效的数据恢 圣安桌面终端管理系统技术白皮书圣安桌面终端管理系统技术白皮书21复。这样有效的阻止了用户因为对文件的错误修改或误操作而带来的工作不便。图：文件备份设置3.9 桌面终端登录控制及上网记录桌面终端登录控制及上网记录圣安“桌面终端管理系统”支持对网内重要的桌面终端，例如：展示机、集中上网机器或需要重点监管的机器使用桌面再次登录控制。管理员进行策略下发后，当最终用户需要使用该桌

43、面终端时，除需系统登录密码外必须通过本系统软件的用户名及密码认证机制后才能对桌面终端进行有效登录使用，同时本系统将记录该用户的所有上网记录。 圣安桌面终端管理系统技术白皮书圣安桌面终端管理系统技术白皮书223.103.10 桌面功能控制模块桌面功能控制模块 传统的桌面控制主要是采用，被动的屏幕监控和系统管理员远程操作控制功能来实现。这样的管理模式虽然能起到一定有效的管理效果，但是在使用的过程中却消耗了许多无必要的系统资源及网络流量，也在某些程度上影响了最终用户的个人隐私。另外由于其被动的工作模式，更大大的增加了系统管理员的工作强度及管理难度。圣安“桌面终端管理系统”桌面功能控制模块采用了目前国

44、际上最新的主动性桌面功能控制模式，系统管理员只需对被管理的终端设定相应功能控制规则后，则最后用户只能在管理员事先制定的有效规则下对终端的程序及桌面进行操作和运行。这样既减轻了系统管理员对最终用户的使用监控及事后跟踪审计的工作量，也大大的缓解了信息管理部门与最终用户因个人隐私问题而照成的冲突。3.11 桌面终端桌面终端indows 操作系统补丁包自动升级模块操作系统补丁包自动升级模块针对企事业单位内部计算机的系统补丁包升级及内外网物理隔离网络带来的操作系统补丁包无法即时升级，圣安“桌面终端管理系统”还增加了Windows 操作系统补丁包自动升级功能模块。系统管理员只需在控制台制定好相应的系统补丁

45、包定时升级策略，内网中安装了桌面终端客户端的计算机将自动判断安装的操作系统版本，并按照控制台下发的补丁包升级策略进行系统升级。从而大大降低了系统管理员对操作系统维护的工作量，并且对加强内部网络安全，防止计算机终端的病毒木马感染起到了很好的防护作用。图：系统补丁包自动升级设置 圣安桌面终端管理系统技术白皮书圣安桌面终端管理系统技术白皮书233.12 终端进程管理及控制功能模块终端进程管理及控制功能模块由于现代办公越来越离不开网络。但很多单位管理人员发现，员工在使用网络的过程中大量的时间却花在与工作无关的方面；如：炒股票、QQ 聊天等。这样违背了单位提供网络环境的初衷，工作效率也大大降低。本系统提

46、供对终端进程进行管理和控制功能。由中央控制台订制相应的规则，自动下发到各个电脑终端。终端系统将自动根据所下发的规则实时监控系统中所运行的进程，一旦发现禁止运行的进程系统将自动关闭、记录以及将记录的信息上报总控制台。3.133.13 集中管理控制（中央控制台）集中管理控制（中央控制台）圣安“桌面终端管理系统”终端安全平台系统提供集中管理控制功能中央控制台，该控制台也成为了整个系统的大脑。许多工作只需要在中央控制台就可以完成，方便了管理人员对整个网络的管理以及对整个网络中重要信息的分析和监督。该平台系统主要实现以下几个功能：收集所有外接存储设备信息，记录所有向外接存储设备进/出的文件名和路径。及时将当前正在外接的存储设备通过颜色区分、闪烁和声音等方式进行报警。 圣安桌面终端管理系统技术白皮书圣安桌面终端管理系统技术白皮书24提供日志分析和管理功能。管理人员可查阅和组合查询各类日志。分析和统计由终端发送过来的硬件资料信息（固定资产管理） ，并提供统计、分析、记录（日志）和报警功能。将打包好的下发软件集中到本控制中心，及时完成下发任务。对终端安全管理平台进行管理和规则配置。4圣安圣安“桌面终端管理系统桌面终端管理系统”在网络中的典型部署方案在网络中的典型部署方案