电信终端安全保障解决方案建议书

《电信终端安全保障解决方案建议书》由会员分享，可在线阅读，更多相关《电信终端安全保障解决方案建议书（49页珍藏版）》请在装配图网上搜索。

1、电信终端安全保障解决方案建议书项目概述某省电信公司网点机构的终端数目众多，遍布各个角落，分布较广。没有一套统一的能够将所有终端纳入安全管理与审计的技术系统与安全管理制度，安全事件各地方时有发生，可无法上报到上一级机构，无法进行统一管理。为适应业务发展需要，规范IT安全管理，有效控制内网风险，完善安全审 计功能，符合监管当局的内部网络安全要求， 某省电信实施本次“终端安全管理 平台”项目。概括来说，某省电信公司通过内网终端安全体系建设，将实现以下的目标：保障业务连续性，促进业务稳定发展（根本目标）保证内网终端的安全性、可控性、统一管理性、稳定并可扩展性（直接目标） 构建技术与管理相结合的全方位、

2、多层次、可动态发展的全网终端安全使用 规范体系针对某省电信公司的项目情况，提出了采用“ 集中控管、分域自治、子承父 控、策略同步”的设计原则的终端安全管理平台的解决方案。目录项目概述 2一、概述 . 4二、目前存在的信息安全隐患. 4三、我们建议的解决方案 . 61. 保障内网边界安全，确保生产网不被外网非法控制 62. 解决客户端使用资源异常，保障日常运维管理 63. 解决办公生产网计算机违规外联、保障边界问题： 64. 解决移动存储设备监控使用问题 75. 解决网络安全的根本问题 76. 解决终端行为可控的问题 77. 采用远程维护可以降低较大管理成本 88. 解决终端各种行为操作审计问题

3、 8四、解决方案说明 . 84.1 全网终端安全统一管理总体思路 84.2 解决方案系统架构 10五、功能模块说明 . 125.1资产安全 . 125.2 客户端运维管理. 155.3 补丁安全 . 165.4 应用安全 . 195.5 远程维护 . 215.6 安全检查及加固. 235.7 外联安全 . 255.8 外设安全 . 275.9 网络安全 . 295.10 系统功能模块首页 . 325.11 系统功能模块注册管理. 335.12 系统功能模块报警事件. 355.13 系统功能模块查询统计. 375.14 系统功能模块策略中心. 395.15 系统功能模块任务中心. 445.16

4、系统功能模块系统设置. 46概述根据最近客户经常反应业务系统运行很缓慢， 业务部门反应网络速度时断时 续，以及奥运后我国重要国家部门、 重大基础设施的信息安全保障形势将日趋严 峻的现状， 信息产业部强调， 把通信业信息科技风险纳入总体风险监管框架， 切 实加强制度建设和风险监控， 确保运营商业务信息系统安全稳定运行， 提供优质 业务运维服务。目前省公司下面营业网点分布广，终端设备数量多。每个营业厅下属计算机 都在 100 台左右，终端设备数量估计达到 5000 台左右，分布在长沙市区、各街 道、乡镇、营业所机构内，遍布长沙各个角落。虽然省公司在内网终端安全方面 做了很多工作，部署了防火墙、安全

5、 VLAN的划分、病毒防护系统，但是经常有 各营业所反应网络堵塞，业务系统很慢，不能从根源上解决相关的问题。二、目前存在的信息安全隐患1. 营业厅的终端设备如果出现流量异常了怎么办？ 营业厅的电脑由于经常变 换使用人员，很有可能被中毒或者中了木马，导致终端流量出现异常，并且 没有办法判断与控制，能够集中平台报警吗？2. 营业厅终端出现ARP欺骗现象，怎么快速定位并且隔离？出现ARF病毒最头 疼了，因为一台机器发生ARP欺骗很可能会影响一片终端。怎么快速定位ARP病毒并且将带有ARP攻击的机器隔离呢?3. 怎么限制营业厅机器不能擅自安装或者运行不允许的程序呢？普通营业员经常自己安装像连连看、俄罗

6、斯方块等等小游戏程序，由于这些 从外面带进来的程序没有被审查，授权，很容易是带病毒的程序。十分容易 带来安全隐患，并且影响电信公司的整体形象。4. 一些营业厅机器不能使用 U盘，如何保证呢？从安全或者保密角度考虑，一些营业厅机器不能使用 U盘，但还是经常看到 员工用U盘拷贝歌曲、游戏等等现象，如何保证 U盘的安全使用？5. 怎么知道内部机器是安全的呢？ 如何保证内部PC机的操作系统没有漏洞，补丁全部打齐呢？如何保证所有的机器杀毒软件版本及病毒库都更新到最 新呢？如何来保证终端用户的账号密码是具有一定强度的呢？6. 内部人员把机器带进带出内网了怎么办？ 如果工作人员把电脑带回家或者出差连接了互联

7、网，进行了违规的外联操作，那么再次接回到我局办公信息 网，很容易把木马、病毒带入。怎么来检查并且杜绝这种行为发生呢？7. 如何及时了解机器状态呢？，如何才能知道所有内网PC或者外网PC的分布情况以及目前状态呢？现在全局有这么多的机器， 怎么样才能知道是否有机 器既连了内网又连了外网的呢？8. 内网机器存在很多漏洞补丁， 需要修复怎么办？ 如何保证接入内网中的终端是处于健康状态的呢？同时如果存在安全隐患的终端又有什么样的机制或者平台来为他们修复安全隐患做保障呢？甚至强制让内网机器修复其安全隐患！9. 如何将异常状态的终端快速隔离？ 如何快速有效的定位网络中病毒、 黑客的引入点，快速、安全的切断安

8、全事件发生点和相关网络？10. 如何解决在内外网数据交换的安全？ 一些员工因为工作需要从外网向网传输资料，怎么保证在不影响工作的前提下可控可管？三、我们建议的解决方案通过内网终端安全防护管理解决方案， 可以帮助电信公司建立全公司营业厅 计算机终端集中管理和监督平台：1. 保障内网边界安全，确保生产网不被外网非法控制通过对内网终端的安全状况实时评估和集中管理， 将全公司生产内网建成真 正的可集中管理的网络系统； 达到“分级部署、 集中管理、实时掌控、保障边界” 的效果；2. 解决客户端使用资源异常，保障日常运维管理由于客户端经常出现CPU占用过高，内存高位使用，硬盘使用不合理，这些都会造成客户端

9、操作很缓慢， 所以需要提供出现超过警戒线的情况时， 提供日常 报警，保障日常业务运维管理。3. 解决办公生产网计算机违规外联、保障边界问题：办公生产网内的用户不允许连接互联网，但是移动设备（笔记本电脑等）和 新增设备未经过安全过滤和检查， 违规接入内部网络； 以及内部网络用户通过调制解调器、 双网卡、无线网卡等网络设备进行在线违规拨号上网、 违规离线上网 等行为可能会有发生， 这些都使得网络边界安全技术无法发挥自身的力量对边界 进行保护；因此作为一个安全的网络系统，必须杜绝这种现象的产生。除了相应的管理 制度以外，（边界完整性检查类产品）违规外联正是其技术保障，它可以发现本 应该被隔离的内部主

10、机建立其他的网络通道的情况， 以技术手段保障办公生产网 网络隔离度的有效性。4. 解决移动存储设备监控使用问题通过外设安全管理 可以对终端的外设进行统一控制， 是否启用完全可以由管 理员根据管理需要定义。 同时对移动存储介质写入保护标签的方法， 首先对存在 于 U 盘、移动硬盘等设备内的涉密信息进行保护。 然后通过策略， 分配可以识别 此标签的终端的权限， 分配对象可以是一台计算机， 也可以是一个区域、 一个部 门或自定义的计算机组。 可以做到只有经过授权的移动存储设备方可在管理网内 使用。5. 解决网络安全的根本问题提供从漏洞补丁自动分发、客户端网络流量监控、客户端点对点控制密码监 控以及进

11、程、端口、访问区域、流量异常、注册表、安装软件的监控管理，全方 位的监控客户端使用的各个环节， 最大程度上保证客户端系统的健壮性， 保证网 络客户端的安全，从而保证整个内网的安全；6. 解决终端行为可控的问题通过程序管理策略， 可以定义各个时间段员工只能运行规定的程序或者不能 运行指定的程序，还可以规定桌面属性统一设置，定义统一的 IE 首页等等，从 而净化办公环境，提高工作效率，维护公众形象；7. 采用远程维护可以降低较大管理成本将很多需要手工处理的工作自动化， 使管理人员在本地接管并解决远程终端 的维护问题，大幅度降低管理成本， 提高维护效率； 并且所有的远程维护操作都 有记录，既方便管理

12、又有日志审计。8. 解决终端各种行为操作审计问题通过对文档的操作、 网络协议的行为、 终端运行的可疑进程、 添加删除软件、 系统安全事件日志等等员工操作行为， 可以让您随时了解终端用户的行为操作情 况，让管理者从多个角度来了解网络内每台计算机的全面的日志信息， 为故障排 除和网络管理提供有力支持，一旦发生事故也可以有记录可全面审查。四、解决方案说明4.1 全网终端安全统一管理总体思路终端安全管理平台系统对所有终端进行安全管理的总体思路是： 第一，通过融合的准入控制技术，确保接入网络的电脑终端符合如下要求： 1）必须安装 LcAgent ，如果是未安装 Agent 的电脑终端接入网络，其打开 W

13、EB浏览器访问任何 Web网站时，将被重定向到管理员指定的一个页面，提醒其安装 LcAgent 。不安装 LcAgent 的电脑将无法访问内部网络（特殊电脑和访客电脑可以例外）；2）必须符合网络接入安全管理规定，例如：拥有合法的访问帐号、安装了指定 的防病毒软件、安装了指定的操作系统补丁等。如果不符合管理规定，将拒 绝其接入， 或者通过网络对该电脑进行自动隔离， 并且指引其进行安全修复。第二，对安装了 LcAgent 的电脑终端，进行进一步的管理控制，包括：1）安全检查、评估、加固，非法操作的管理、限制；2）U盘使用的可信授权管理，防止文件非法外传，终端行为安全审计等等；3）终端的集中式管理，

14、例如，资产管理、软件分发、远程维护控制、补丁管理、 应用程序安全管理、非法外联管理。第三，要防止电脑终端私自、非法卸载 LcAgent 或者停止 LcAgent 的运行, 确保 管理策略的执行。1）LcAgent 自带反卸载、反非法中止、非法删除功能；2）如果电脑终端私自卸载 LcAge nt （如重新安装操作系统）或者中止 Age nt的运行，全网统一管理平台可以及时发现这种行为。可以依据有关安全管理规范对其进行警告或者处罚，防范这种行为的再次发生。甚至在下面私自接入的NAT网络也可以支持管理4.2解决方案系统架构某省电信公司的网络属于大型网络环境复杂，而且终端数多，分布在全省各 地市，考虑

15、普通pc的维护管理由各地市自主负责，以及对网络负载的有效利用， 我们建议采用“分布级联式部署，统一集中式管理”的全网终端安全统一管理解 决方案。严格做到管理由省中心统一，维护由各地市自主完成，报警信息统一上 报到省中心，系统的网络拓扑结构图如下：市好和鼻图2:分布级联部署拓扑图平台需要在省中心部署一台全网终端安全统一管理中心服务器，下面各地市 分别部署一台中心服务器，通过级联服务器到省中心服务器，管理员的权限也统 一由省中心分配管理。 由于系统管理采用 B/S 构架，管理员可在网络中的任何客 户端端通过登录内网管理服务器的管理页面进行管理和各种信息查询； 所有网络 中终端需要安装客户端程序以对

16、其进行监控和管理； 系统同时需要部署一台补丁 下载服务器（和互联网相连，可独立部署） ，用来更新补丁信息（此服务器也可 用来下载病毒库升级文件） ，下面各地市可直接连接到此补丁下载服务器，不需 要独立连接互联网。平台通过中心管理服务器对全网进行客户端的各种策略和配置、 补丁以及文 件的下发、流量监控、违规联网监控、 入网设备联网状况监控、 终端软硬件管理、 应用程序安全、U盘使用信息监控、禁止安装不允许的软件、只能运行允许的程 序等工作， 并对客户端进行各种行为和状态的审计与监控。 网络终端上的客户端 程序可将各种网络终端的状态信息、 日志信息和报警信息上报， 可通过管理节点 对异常计算机进行

17、断网等处理，也可通过系统远程对客户端进行故障诊断和维 护。平台可以进行无限制的多级级联部署，各级网络独立安装相应的管理软件。 下级管理节点统一汇总本级的报警信息和统计信息， 统一上报管理节点； 上级管 理节点的管理策略、命令、各种补丁或病毒库升级文件统一下发下级管理节点。 平台将来可根据实际需要在客户端数量、 管理层次和功能扩展上进行无缝平滑扩 展。i I 口呱帚?:射舟心护育护春胖眄沁L审龙述拄E惬亜氐士 M掛咋蛊謝F幕城:十*他葩押蜿#加 睡兰丸Ejcj址f直土 孑沁jm纯玄十/磔金卅可込并土岂讣五、功能模块说明5.1 资产安全资产安全模块展现了全网计算机的资产情况，【计算机设备】包含了全

18、网的计算机，并详细的记录了各个计算机的软硬件资产、 软硬件资产变动、软硬件资 产清单的对比（初始丨当前）以及维护记录。【硬件资产】、【软件资产】对全网的软硬件进行了统一集中管理，【资产变动】对全网软硬件的变动情况进行了跟 踪记录，【资产策略】方便您定制有针对性的策略对全网资产进行监控。当1恆且；谒广畫主）际卫马雷戶唆盘 便方空曲弊昭辺Jt.林M卅户匹卫H弁：圭啊*尿；隹冃计琬的輕严住.也LWTISU內吉？圭內如J1孔舟卿曲吐r討；-算册侔烧幷第.、敬榭熨 厂册戦加贞E*和泅L（ mpi护瞬.SWHn【叶曳戸）对丄r曲卅屮进t：T比1卫屮忧虹t悝科驴绚滇:Wfi心划lhRC*i【贡厂耒切巧低唱益

19、驳呕対MH貞尸NK.令圧i.壮恳L点全网的?ttA LtUUl. jgtfaJ M页WUi,可UU事mu了耶童剛刊必-*5 农抽穴存.岂.巴_廿&?tk LJ田昼畫驰】E . k.rK（l（!*fl- liflrtftt+zSL KirPWTA也电吐乂产主IftH,戏TH rf才切齐-tfr峠IT #旷占录1莅 CAESFiTl 中 SKflTS-rSLStFtPS（资产安全实例图）资产安全功能清单模块功能说明资产视图计算机设备查看全网计算机设备信息，包括计设备名称、设备状态、使用者、设备IP地址、通讯MAC地址、所 属部门、操作系统信息、软件信息等多种信息，用 户可手动编辑设备信息。提供按部

20、门、区域、IP地址等多种条件快速查询或用户自定义条件查询。硬件资产查看全网硬件资产信息，包括硬件类型、厂商、硬 件名称、硬件个数，可按区域或部门查询或用户自 定义条件查询。软件资产查看全网软件资产信息，包括软件名称、厂商、软 件类型、版本以及软件许可信息。提供软件归类管 理、修改许可和涉及进程管理。用户可按部门、区 域、软件类别和许可状态查询或用户自定义条件查 询。资产变动查看全网软硬件资产变动信息，包括资产类型、资 产名称、设备名称、ip地址、变动类型、变动时间。 用户可按部门、区域、硬件类型、软件类型查询或 自定义条件查询。资产维护资产维护记录添加或查询资产维护记录，记录信息包括设备名称、

21、所属区域、所属部门、故障类别、修复日期、 修复结果等。用户可按部门和区域查询或自定义条 件查询。待处理资产维添加或查询待处理资产维护记录，记录信息包括设护记录备名称、所属区域、所属部门、故障类别、修复日 期、修复结果等。用户可按部门和区域查询或自定 义条件查询。资产状态变更添加或查询资产状态变更记录，记录信息包括设备 名称、所属区域、所属部门、故障类别、修复日期、 修复结果等。用户可按部门和区域查询或自定义条 件查询。资产策略硬件变动报警策略创建策略，对终端硬件变动进行监控，硬件的类型 包括CPU内存、硬盘、声卡、显卡、键盘、鼠标 等所有常见的硬件。软件变动报警策略创建策略，对终端软件变动进行

22、监控，可按软件类 型、软件名称、进程名称导入策略对象列表。软件安装监控策略创建策略，对终端软件安装进行监控，可按软件类 型、软件名称、进程名称导入策略对象列表。控制 状态包括必须安装和禁止安装，对违规的操作处理 包括提示用户、产生报警、断开网络和立即安装。资产报表本地设备注册信息统计图表显示本地设备注册信息统计，包括设备总数、 已注册计算机、未注册计算机、开机计算机、关机 计算机、已转杀毒软件计算机。操作系统报表统计图表显示操作系统报表，并提供统计百分比数据。资产维护记录图表显示资产维护记录报表，并提供统计百分比数报表统计据。CPU报表统计图表显示CPU统计报表，支持按型号、厂商和频率 统计。

23、内存报表统计图表显示内存统计报表，并提供统计百分比数据。硬盘报表统计图表显示硬盘统计报表，并提供统计百分比数据。硬件资产类型报表统计显示硬件资产类型统计报表。软件厂商报表统计显示软件厂商统计报表。软件资产报表统计显示软件资产统计报表软件许可证报表统计显示软件许可证统计报表，并根据统计信息判断是 否过期。5.2 客户端运维管理硬件运行资源管理功能：检测终端设备的CPU、硬盘 （含每个硬盘分区）、 内存等的资源占用情况，可自主设定阈值，以确定终端系统资源占用是否达到上 限，是否应该升级；并且会结合重要进程异常监控以及异常流量监控等来统一监视客户端运维信息。像重要进程异常报警和自动恢复： 对未响应进

24、程和意外退出进程进行 （如退出、退出并重起等）处理；以及异常流量监控：基于主机方式对网络中客户端流量、分支网络带宽流量进行分析，防止非法入侵、滥用网络资源。当流量（含 出、入或总流量）超过一定限度并持续一定时间后，进行有关信息上报，以便网管了解客户端流量异常，从而快速分析是否是网络安全事故5.3补丁安全补丁安全模块展现了全网计算机的补丁安装情况，【补丁列表】展现了微软提供的所有补丁，各个补丁均有详细介绍以及该补丁在网内的安装情况。【计算机列表】展现了所有计算机的补丁安装情况， 系包含补丁安装历史，【选项设置】 为您定制所需下载的补丁以及补丁的下载通道，【补丁策略】方便您定制有针对 性的策略对全

25、网计算机进行补丁部署。诃 J Ufil补丁册:t更*川|岁.烹 :帶址卜円沖-rsfj. *.4-矜一亠如十轩沪Ti fl ：疋戸丸tih牀十青J RritJd|吵 i nu亍.ILLi：鲜 g.卄：XHjM；-丁任务必 iLZSA毀 1ZE= ? TrtrM卄丸札“丁主卞曲彗朮a 卄.5-71* C円士frT* J-J :缺吭总田卄JlMf - H：电墩Jt艾却H J Jrtt.介：舟JsaKKATnif innwnffra丁程皱册测嵋补门鸟“卜i如沁価口芨觀卜r在问和旺 j I Cir trfi t；n电i魁斛I n+w棚tit亠环世ini!旳灯也-恤瞅忖a：煩.養心鼻 H JhT，I L

26、r-以 I 丁T111 e r*站诵J2Z* i-itK仙?-彳署二输HTnstr-TK-r.T .跑亦耳壬可l卫耳刃事；卜丁筛狂馬W谛時庐打戸补丁打上.* t:JE生某甜卜丁由朮蜒丫E rTTiritia中.彌nr.”w：音-tatr,vt.ts.（补丁安全实例图）补丁安全功能清单模块功能说明补丁视图补列表图表显示所有补丁，并提供每个补丁的安装情况。关键更新程序补列表图表显示关键更新程序补丁，并提供每个补丁的 安装情况。微软取新发布补丁图表显示微软最新发布补丁，并提供每个补丁的 安装情况。计算机列表计算机列表展示所有计算机补丁安装总体情况，并提供每台计算机补丁安装详细情况。有补丁未装的计算机

27、展示所有有补丁未装的计算机列表，并提供每台计算机补丁安装详细情况。选项设置更新源设置设置补丁服务器的更新源，支持从MicrosoftUpdate进行同步、从指定路径同步、从 WSU服务器同步。产品和分类设置可根据软件产品和补丁分类选择需要更新的补丁 类型。同步计划支扌寸手动同步和自动同步。补丁策略补丁审核策略创建补丁审核策略，只有经过策略审核的补丁， 才会自动安装到客户端。补丁安装策略创建策略，作为补丁安装执行策，定义补丁检测 扫扌田方式、安装时间和安装方式，系统提供默认 补丁安装策略略。补丁报警策略创建策略，对没有安装指定补丁的客户端提供报 警。补丁任务补丁安装创建任务，以任务的形式对客户端

28、手动推送补丁。补丁安装日志提供补丁安装日志信息，需要审计员权限。补丁报表计算机补丁安装情况报表展示每台计算机的补丁安装情况，包括已装数、 未装数和具体未装的补丁列表。各个补丁安装情况报表展示每个补丁的安装情况报表，包括已装台数、 未装台数和具体未装计算机列表。补丁下载服务器对于物理隔离的内部网络，其补丁升级服务器中的补丁数据必须从外部获得，因此，要求在In ternet上进行补丁下载，巨大的补丁库使得每次补丁导入 工作非常烦琐。针对此类物理隔离的内网，使用增量式补丁分离技术，在外网补 丁下载服务器分离出内网已安装、 未安装补丁，分类导入系统补丁，即仅对内网 的补丁进行“增量式”的升级，以提高效

29、率。通过增量补丁分离器，在每次导入 导出补丁时，可减少拷贝工作量。5.4 应用安全应用安全模块提供了全网内应用运行和准许的安全保证， 通过应用安全模块你可用实时的了解全网内可疑和异常的应用，了解目前全网内应用的风险，并通过您的控制来降低应用的风险。另外您还可以通过该模块来对您全网内的一些重 Fn medt嵯虚瓊d 卄黒I也电* 1i压用吝崎-竝泌钳加a2异诜塚连訓卯 wo锻强目滋ISJM安土要应用进行跟踪了解这些应用的实际运行情况应用安全功能清单模块功能说明进程监控运行进程总揽显示全网运行进程总揽，包括所属软件、首次运 行机器及时间、末次运行机器及时间、运行总次 数。可疑进程监控显示全网可疑进

30、程信息，包括进程名和可疑原因， 可设置可疑条件来判断进程是否可疑，可疑条件 包括进程名称长度、进程包含的特殊字符、进程 频繁运行次数等。重点进程跟踪显示根据“重点进程跟踪策略”指定的进程运行 情况。计算机重点进显示在每台计算机上，根据“重点进程跟踪策略”程概括指定的进程运行情况。应用策略黑白应用策略创建策略，定义全网哪些程序能够运行，哪些程 丿予不能运行。独特的MD5检验技术可保证程序进 程的唯一性。重点进程跟踪策略创建策略，定义重点进程，跟踪进程的运行情况。异常进程监控创建策略，监控异常进程，异常进程的定义选项策略包括：CPU使用率、内存占用、I/O读写字节数、建立TCP连接个数、UDP监听

31、端口数目等。重要应用保护策略创建策略，保护定义的重要应用程序，当程序被 关闭时可产生报警或断网处理。应用任务软件分发任务创建软件分发任务。分发软件分发日志提供软件分发日志，需要审计员权限。应用报表新增可疑进程图表显示全网一定时间内的新增可疑进程统计报统计表。新增进程概括图表显示全网一定时间内的全部新增进程统计报统计表。5.5远程维护远程维护模块展示了远程设备的当前运行情况，并提供了【远程协助】方便 m创 tu昶沙.S石Mf兴F*r.耳4-話rTF 北门山山一工阶征Q您对全网设备进行管理控制，【远程协助】的功能将大大提高全网内设备维护效 率。iirca -吐證 Dtyjtr申 IT523JDI.

32、 11 过H介；护j才贾吐丄网倉营芒:習趙屯盘.t Z44ilhi負全柯氏也匚堆产垃汇WHAMMcrstpi诒*云巴込竝护?力世爭賀鼻T *芯尸硒）I封详J电屯社期啲审叫*，n.則（正昶&于UM五阴rs?通TT正工；住 WiX色）年 jftBtfrftf 讥4 Ag 菇 t r 矶 atai0 bkh时了単远环&缶裤 亓吕減另7丄鮭昔謹灯舌理】息示了设僵当mi-足樹Ek負世JTO舷E诚童上血各了葩霍业湖1庁曲區倉返曲删.4J HT r古舟兰曲；*匸呪：可-Aitt* flji r.p-Ult 帥 5=-说:手對貯丫厚止11*1.世粘t粒rtES3 TiraUM 倔”砒rrItj.31 :fwq

33、妊珂店寸工QTET i F=S1E H： JUEH 1左35谨电_H妞目P . JFiDU S- 3卡1 址N计担机.A戌l-11软芦蛍寓伯 bJHlc A.Z. 陰就申工苹忡（炖n ：媳itr）奸壬也ii nrtni眸甲师K农苗u询匡t；“t :Frtn Fk .# G =劣-jLETFQ4E；寻穷T（F.（远程维护实例图）远程维护功能清单模块功能说明终端控制基本信息提供终端基本信息，包括软硬件信息、使用 者、物理位置、配置信息等。进程管理展示终端所有进程详细信息，并进行管理， 可远程结束进程。服务管理展示终端所有服务详细信息，并进行管理， 可远程启动或停止服务。共享管理展示终端所有共享，可

34、远程关闭共享。端口管理展示终端所有开启端口的详细信息，并进行 管理。网络连接显示终端网络连接信息，可进行修改配置。系统用户显示终端的所有用户信息，并进行管理。事件日志显示终端的所有日志信息，包括应用程序日 志、安全日志和系统日志，为管理员提供远 程诊断的依据。自启动项显示终端的开机自启动项，可远程启用或禁 用某项。其它发送消息向终端发送屏幕消息。运行程序在远程终端上启动某个程序。终端操作对远程终端进行操作动作执行，包括锁定、 解锁、注销、关闭、重启。远程协助查看远程终端桌面或控制远程终端桌面，查 看需要第三方审计员批准，控制需要终端用 户确认。软件安装信息显示远程终端的所有软件安装信息，可远程

35、 卸载软件。5.6安全检查及加固安全检查及加固提供了对网内设备的安全状况量化的描述，通过量化的数据可以了解到网内设备的危险情况， 便于对危险设备进行跟踪和关注，同时可以对 危险的设备进行各种强制的安全策略控制，确保终端的安全，降低终端的风险。T in _ =,屮细.43屮：It一 |右：.+生丄必査曲I型集电.用-电融比，,卷主巴站f- :L；i巴；：只环；女化it：昙集缶 丄:H占去K：?, 1 世:口里屯 k5TIIL3-盖埜检更曲帼血炯如3百矍5颐重空豁札S?rEi FmniVUH堆3連盖兀行新师昭穴1T所仃* if xISiKf?* -JtPLiMT W =5tSW tlfcS?忌过邊

36、JE丘3二SJ弄归旻全艸牯a：各+吐二【胃怙錨果一菲亞B评甘径暑朗筵果.3iTJS7浬世&H【冠冏M童慈】手円査S工拭U（安全检查及加固实例图）安全检查及加固功能清单模块功能说明安全评估评估任务一览创建任务，对终端进行安全性评估打分，评估项参 数包括：账号密码安全、屏幕保护安全、杀毒软件 安全、文件共享安全、分区类型及空间、指定服务 安全、指定进程安全，用户可对每个评估项只有设 定权重。评估结果一览针对评估任务提供每台机器的评估结果， 包括评估 任务的完成率。评估任务日志显示评估任务日志，需要审计员权限。安全检查及加固策略用户密码策略创建策略，对终端密码安全性进行检查，检查条件 包括密码长度，

37、使用期限等。注册表设置策略创建策略，对终端注册表项进行安全检查，检查信 息包括项路径、键名、键类型、键值等。杀毒软件设置策略创建策略，对终端杀毒软件运行情况进行检查，包 括杀毒软件是否安装，是否运行，一定时间内是否 更新等，支持目前市面上所有主流杀毒软件。WSU更新设置策略创建策略，强制终端 WSUSE新策略，自动更新选 项包括：关闭自动更新、自动（建议）、下载更新， 但是由我决定什么时候安装、有可用下载时通知 我，但是不要自动下载或安装更新。文件共享策略创建策略，强制删除终端不符合要求的共享，包括删除默认共享、删除所有共享（不包括默认共享）、删除可写的共享、删除指定名字的共享、删除指定路径下

38、的共享、删除包含指定文件的共享目录。桌面属性设置策略创建策略，禁止终端的一些桌面属性设置，包括设 备管理器、磁盘管理器、本地用户与组、服务管理 器、磁盘碎片整理、事件查看器、注册表编辑器、 命令提示符、任务管理器、桌面属性设置、光盘自 动运行、控制面板、快速用户切换、添加打印机、 删除打印机、网上邻居、系统还原、In ternet选项、 网络属性设置、新建连接向导、拨号上网，可强制 设置终端IE主页。临时文件清理策略创建策略，对终端的临时文件进行清理，清理项包 括最近访问的文档、上网历史记录、用户临时文件 夹、回收站、office 临时文件、In ternet 临时文 件、cookies、浏览

39、器地址栏历史。本地审核策略创建策略，配置客户机审核策略，审核项操作将会 记录到客户机系统日志中，便于查看网内客户机上 是否有违反安全的事件发生。5.7外联安全外联安全模块提供了对全网内所有同外部进行连接的安全性控制。通过外联安全模块，您可以在内网和互联网物理隔离之后， 了解您网内是否有设备进行了非法的拨号行为并对这些异常的行为进行安全控制匕曲谢-Ttr 3： JUP-ii，壬贞严孔PI哼外肌史仝 山疋垃占EiSKi.TiklSS邛*史1；砂仰些令剛仙!坐碎提普了对笙陨加与冋片禺8廿谁接的史细制.电过朴1虺:SM”誉叩从崔划逐网领薊WHJ&” fffiSfAA 雯古=此曇世厅了土;屈片匸匚方芦刊

40、订些且乂由ir.FjamjsM饪取宝全31略二诒硏爭厂讦Ui第.皿何快運辰M舉T为空SilS训刪萬1覲対貼1联悟虬專逢線恬联刊如黨*a Ift5E*ai中* H r-ffiSABj厲2记利&峻H鸵町圭看劉亡軀，剧朋直I rrffJ-STWKlifiMil*圧对1汪風冋殆出问杞書策科】.t邓愠话用行耳碾drar匸】弋SHfim应忡首存対制卍助竟血6謳A IS或IKE音 llfei（外联安全实例图）外联安全功能清单模块功能说明违规查询今日违规记录根据外联安全策略的执行结果，显示今日违规记 录，包括设备名称、违规用户、违规类型、违规 方式、所属部门、违规时间等信息。违规记录列表根据外联安全策略的执行

41、结果，显示所有违规记 录，包括设备名称、违规用户、违规类型、违规 方式、所属部门、违规时间等信息。违规网络访问记录根据“违规网络访问检测策略”的执行结果，显 示所有违规网络访问记录，包括设备名称、违规 用户、违规类型、违规方式、所属部门、违规时 间等信息。违规联网行为根据“违规联网行为检测策略”的执行结果，显记录示违规联网行为记录，包括设备名称、违规用户、 违规类型、违规方式、所属部门、违规时间等信 息。外联安全策略违规网络访问检测策略创建策略，检测全网违规连接互联网的行为，检 测终端越权访冋内网行为，并提供对违规终端执 行断网、报警、锁疋机器等措施。违规联网行为检测策略创建策略，检测全网违规

42、联网行为，行为类型包 括拨号行为、双网卡行为、代理行为，并提供对 违规终端执行断网、报警、锁疋机器等措施。外联安全报表违规记录走势图图形展示违规记录走势，包括违规类型统计和违 规方式统计。违规记录概况统计图形展示违规记录概况，包括违规类型统计和违 规方式统计。5.8 外设安全移动存储安全管理，基于内核级文件系统驱动技术，从注册登记、认证授权、访问控制、加密锁定、违规监控、数据加密、安全审计等方面对移动存储介质进行失泄密防护管理，用技术手段实现移动存储设备信息安全的“五不”原则， 即: 进不来、拿不走、读不懂、改不了、走不脱代MtTHd JE膵勒换制介匕疳緘何连量整旅巴加伍艸累卿極CMffl珠

43、朋拦科ftffittS-融L!E整 觀主晚 j?kW7T 航帕細，牺于fits飙齡iTIlift哥fii息跖lM -11-； Jt. Bf I晟林.录框 网*.住下化 辭 U.弼邂建Iffl釣m低 愤电旺住0瓒工貝献嚇量侑印1为锁曲秫&S西畫TdFflfl円在別戍卅W力了廿帆ft咸无史 咼下电tf打嚼Th明忙|?诗管帚丁工賂1对嚇新樹術禺 丙的首碍i啄卑 Q.-F剤出tri? 冃抒牡“占士开 堆1詩7*Ci.*i6-lliSG. istlkn：JJ们fl.创睡町低前睛初比*#3）二比曲沖曲昭仲=电详手時7F申冃Tu MJ -1 rfc. NlU赃羽丄灯聲圧世阿” E些M_#jL自g礎 (TJk

44、ZhE I临丟丁dr*0 电竝可3存麓设冠廉匹1 “存虽下T JIWF# 不.住咖 ITI（外设安全实例图）外设安全功能清单模块功能说明外联安全查询U盘标签管理创建标签，可定义标签是否加密和读写模 式。通过U盘标签制作工具给U盘打标签。已注册U盘清单显示全网已经注册的U盘清单及其标签属 性，可按条件查询。U盘插拔记录显示全网所有U盘插拔记录，包括U盘名称、容量、操作设备、时间等信息。U盘文件操作记录显示全网U盘对文件的操作记录，包括 U盘名称、使用设备、动作、文件名及路径、操作时间等。外设安全策略外设控制策略创建策略，定义外设是否可以使用，包括USB全部接口、USB移动存储、光驱、软驱、 打印

45、机、调制解调器、串行口、并行口、1394控制器、红外设备、蓝牙设备、PCMCIA 卡。可移动存储设备策创建可移动存储设备策略，包括未注册U略盘控制、已注册U盘控制、软盘使用控制、光盘使用控制。U盘文件访问控制创建策略，控制U盘是否可以访问包含指策略定字符的文件。U盘使用审计策略创建策略，对U盘的插拔行为和文件访问行为进行审计。5.9 网络安全网络安全模块提供当前网络中网络流量的统计，发现网络流量异常情况。可通过网络安全模块建立终端网络流量管理策略、反ARP欺骗策略、防火墙策略和 上网控制策略，加强内网管理，维护网络稳定讣瞞最&诚I1* JUHIW 口裳当fit!且：Mwii 1 r_n.$ J

46、wriuSFikH寸：mhtaH- *i jb也tj和4?.憬Ma盘宕亘憾也哥崔后一舷临十tMSMu剳.坯屉便昼 前 i=fflJB/fftSi irSri&?,E詰斥云检DTE*那言阮逊怫号 彳童叱nr*莉ay两E迓百锤疋7“自刊E“Tt4*厅力,訂酣切偉耳住*矽帕*汛i 虬j 17*1TE（网络安全实例图）网络安全功能清单模块功能说明网络流量统计TOP10流量设备图表显示全网TOP1（流量设备，并可按区域、 部门和时间范围查询。TOP10流量区域图表显示全网TOP1（流量区域，并可按区域、 部门和时间范围查询。TOP10流量部门图表显示全网TOP1（流量部门，并可按区域、 部门和时间范围查

47、询。设备流量统计显示设备的流量统计信息，包括设备名称、 使用者、总流量、上传流量、下载流量、平 均流速等。区域流量统计显示区域的流量统计信息，包括区域名称、统计设备数、总流量、上传流量、下载流量、设备平均流量、设备平均流速等。部门流量统计显示部门的流量统计信息，包括部门名称、统计设备数、总流量、上传流量、下载流量、设备平均流量、设备平均流速等。当前流速显示设备的当前流速，包括设备名称、IP地址、使用者、上传速度、下载速度、统计 时间等。信息查询TOP10网络异常设备显示TOP10网络异常设备，包括 TOP10AR 异常设备、TOP10网络流量异常设备、TOPIC 通信连接数异常设备。设备异常数

48、统计显示设备的异常情况统计，包括网络异常、ARP异常、流量异常、通信连接数异常。网络异常查询显示设备的网络异常情况，包括发生时间、 设备名称、使用者、异常扌田述等信息。反ARP欺骗查询显示全网ARP欺骗信息，包括发生时间、欺 骗类型、设备名称、使用者、源IP地址及 描述。网络安全策略终端流量统计策略创建策略，对终端进行流量统计，可统计所 有网络流量、与外网设备流量、与指定范围 内设备的网络流量。网络异常检测策略创建策略，对终端进行网络异常检测，检测 范围包括：ARP包统计、网络流量统计、通信连接数统计。终端流量控制策略创建策略，对终端流量进行控制，可控制上 传速度和下载速度。反ARP欺骗策略创

49、建策略，进行反 ARP欺骗，可设定网关IP/MAC,客户端根据设定的IP/MAC检测ARP 欺骗行为，但本机发生ARP攻击行为时提供 报警、断网等措施，当本机发现外部 ARP攻 击行为时提供报警、提示用户等扌日施。防火墙策略创建策略，进行主机防火墙设置，可以对网 络服务、协议及端口进行控制。上网控制策略创建策略，对终端上网行为进行控制，可设 定允许或禁止访冋的站点。5.10系统功能模块首页系统首页提供全网终端安全运维管理全局视图，包括基本状态信息、报警统计信息、最近配置策略信息、最近配置任务信息，便于管理员在第一时间了解终端 安全状况乙UX ;询|赳 e日启潮丄第上纹 weswn：rr4 Rj

50、豐龄i Wm遼甘:rJT)：tfx = EH -勇塔抿冒：* 严重并.粤：尬】 zrsts： TISAX 1 Lwjglj|-jD j&j t4N W*:曲少壬曰归详a rmO1丄丘甲放样曲亍任卷丄辿Q Qpt丁卜丁虽農毀塑鱼0 AJ（首页实例图）5.11系统功能模块注册管理注册管理模块展现了全网设备的注册情况，并提供了【区域 部门】方便 您对全网机器的组织结构进行划分，【部署客户端升级客户端】的功能将【部 署客户端】变得更为轻松。j Tiii.liEFe严豊垃1工 幻E百七皿2： 4 1忙 色芒即诃Lu 丄宴毘 |冲迄-兰=亡出电鸟广 ZES.H?B-：1f?7t：rEf冃黑翩潯 r砧旷辄W

51、应i#-也刮诞L、匕心.“ !L*H1Ie7映入阻“揑刊$mJEW I炮时了苗阳阳弁：直控瑣匹寒仙f 曙叵蟲imntrHJ；”站口i丄工訓H ”1=廿二网；小吗.勺才尝户瓦爵虹苫4RJ =qy?Ek J!=ti?n：J Alix/rtl2.囂加呗P心 hTz. i j V-s k 7TT it2KSa巾*晰戶鹰时亍卡喘轴丹列怡朴 辻冊WifflBS*瑞*崎+EH4JT .：-昇行装宇户益，丸冋知s呂亠琵，如冋*i-&.L-jrKJrA ti.TP* n -I is r wtf带!倂丸屆詁煮丰*上存学炬常户mm丐上xr.商如过Kfaaeaau户云也bwe e宣户彌空帥eu 桶空崗i濮户茁*砒过型

52、进】杞立户於尿甘诸円FL审于*安鮭 户咖设缶i芸墉桁關描孚#WEii此设奋诳打我!f.十CSAESS）阴厝比噪曲1乩同札 巨击世齒曰壬 量召|胆1怛岂.3 TTl!SoG il ；-电=#. *7Flia#fcY区転示备钵辐1吳蓟克岳殛购時构.辿过区幽證宝适測医威，迪过3fiS3EftJ址辭订洁惴后 力世询肚城.加门.MTtftTw ：卄”也*喘匕忙di i *lS的？不蛰*砂一r*户（S. .FJM#- SFSs*i*ri-ffi&RiffiJwn:妬冋遊寸古户#护】（注册管理实例图）注册管理功能清单模块说明功能客户端管理设备列表信息展示全网终端设备列表信息，包括设备 名称、状态、使用者、I

53、P地址、MAC地 址等数十种信息。客户端安装配置配置客户端安装信息，非必须模块。客户端代理软件下载显示配置好的客户端代理软件信息，非 必须模块。客户端升级创建策略，用于客户端升级，非必须模 块。客户端卸载确认码用于生成客户端卸载缺人码，非必须模 块。客户端重注册任务创建任务，用于客户端重新注册，非必 须模块。配置管理区域划分与配置用于设置系统中区域，区域可对应客户 的实际物理位置或网段。区域控制器显示或修改区域控制器信息，区域控制 器用于和客户端通讯，一个区域只能有 一个区域控制器。部门管理与配置用于设置系统中的部门，部门可对应客户组织架构。自定义组管理用于创建客户自定义组，可在组中任意 添加

54、设备，而不受区域或部门限制。IP/MAC绑定用于将终端IP与MAC绑定，支持批量导 入。ARP阻 断设备阻断列表查看设备列表，可选择立即阻断或取消 阻断。今日阻断记录查看今日阻断的设备记录。历史阻断记录查看以往阻断的设备记录。接入阻断控制对于未注册或未实行IP/MAC绑定的客 户端，执行ARP阻断，提供阻断时间配 置。5.12系统功能模块-报警事件报警事件集中展示了网内终端设备产生的各种报警，根据您的设置不同系统可以产生不同级别，不同类型的报警信息，便于您实时了解网内的各种异常情况。当玄扭*彳 Srfe*_*l 丹 ffgwwl 吊亠* t *j疔#二劃分郭丁 1 m ajflgx _4gAf

55、cgjg J叶#工全Riiufi；锂&mrzffl .Jib嚴a工恺*卿片岂由肆握和4席耳*庐空#a+：!Et IfflI-F!超MU严土TWfllTh hEt出rj|詈洁屯.I?出-卯佬内血直忡H*鮭H购问H总竝冋电若仝壬苗豊雀花:誓吏讥】仪1肛町寸頌当云祇罄】fimffg.3如何盍舌辽自走甌誹再*7E【细讪】屮。肝了宵卽対lMJ5Jtl蓿2的盧希/疑何冃看聽十抽和釣描誉丁在俯番弱山 旳提誓了 Lai 竺J 1 W QTtEffl.VS.花罟苒迂缺】忙制沖.t喻轉警带目乃回尸看叼诜轴掃脾匸扎（报警事件实例图）报警时间功能模块清单模块功能说明报警查询当天报警显示当天的所有报警信息，可按条件查询

56、。未阅读报警显示管理员未阅读的报警信息，可按条件查 询。所有报警显示所有报警信息，可按条件查询。报警级别紧急（四星）显示根据策略条件触发的紧急报警信息。严重（三星）显示根据策略条件触发的严重报警信息。重要（二星）显示根据策略条件触发的重要报警信息。普通（一星）显示根据策略条件触发的普通报警信息。报警类别发现新设备显示发现新设备的报警信息，发现新设备是系 统默认报警策略。资产安全显示所有资产安全策略定义触发的报警信息。补丁安全显示所有补丁安全策略定义触发的报警信息。应用安全显示所有应用安全策略定义触发的报警信息。安全检查及加显示所有安全检查及加固策略定义触发的报固警信息。外联安全显示所有外联安全

57、策略定义触发的报警信息。5.13系统功能模块查询统计查询统计提供了详细的数据查询功能， 通过各种复杂条件的组合，您可以对 系统收集到的各种数据进行有效的查询，图文并茂的展示方式也便于您了解系统 的详细情况。（查询统计实例图）查询统计功能清单模块功能说明系统报表本地设备注册信息统计图表显示本地设备注册统计信息，包括设 备总数、已注册设备数量、未注册设备数 量、开机设备数量、关机设备数量和已装 杀毒软件设备数量。操作系统报表统计显示操作系统统计报表，并提供百分比数 据。报警报表报警报表统计图形显示报警统计报表，包括综合报表、 按登记报表、按类别报表，并可按区域、 部门、时间范围筛选。资产报表资产维护记录报表统图表显示资产维护记录报表，并提供统计计百分比数据。CPU报表统计图表显示CPU统计报表，支持按型号、厂 商和频率统计。内存报表统计图表显示内存