1、北信源 VRVEDP 内网安全管理系统(技术功能)序号 功能名称 功能介绍 备注1移动存储设备接入管理1 移动存储设备接入管理a) 移动存储设备接入管理:监控移动存储设备的接入,及时发现,确认是否符合设定安全策略。2 移动存储设备认证b) 移动存储设备认证:通过标签方式对移动存储设备硬件进行鉴证,确保接入设备的应用权限(如读/写操作、识别操作、网络区域划分等) 。3 移动存储数据读写控制C) 移动存储数据读写控制:根据设定的安全认证级别,对移动存储设备进行数据读、写操作控制。4. 笔记本使用范围管理D) 可控制笔记本只能在单位使用。2. 非法外联行为监控1 客户端非法外联互联网行为监控a)客户
2、端非法外联互联网行为监控:对于已注册的设备,通过不同方式(双网卡、代理等)连接互联网进行的通讯,系统能够自动阻断连接行为并报警。2 客户端非法接入其它网络行为监控b)客户端非法接入其它网络行为监控:对于已注册的设备,监控其网络连接行为,如改变网络地址接入其它网络,根据接入网络环境因素判定其是否非法接入其它网络。3 非法外联行为告警c)非法外联行为告警:如果客户端非法入网,可以在报警平台和报警查询处获知信息,并且可以对客户端提示信息,自动关机,阻断联网等处理。3. 补丁及文件分发管理 客户端漏洞自动侦测a)客户端漏洞自动侦测:客户端补丁自检测,在内网中建立补丁检测网站,客户端用户访问网站后,We
3、b 网页自动检测显示客户段补丁安装信息,用户可进行补丁下载安装;管理员还可以在管理控制台上远程检测客户端补丁安装状况。 普通文件分发及文件自动执行h)普通文件分发及文件自动执行:系统可以分发普通文件也可以分发可执行文件及 MSI 等形式的压缩文件并自动执行。4. 桌面管理及运维1 桌面流量管理 a)桌面流量管理:对网络客户端流量进行监控报警,客户端输入或输出流量超过管理员设定阈值时报警,对可疑发包、可以并发连接进行阻断,防止非法入侵、滥用网络资源。2 进程运行管理 b)进程运行管理:远程查看客户端运行进程列表,支持进程强制中止,对需要控制的或异常的进程进行强制管理。3 客户端服务管理 c)客户
4、端服务管理:远程查看系统服务管理列表,支持对各项服务的启用/禁用设置。4 软件安装管理 d)软件安装管理:管理监控客户端软件的安装状况,定义软件安装黑白名单,对必须安装和禁止安装的软件进行控制。5 桌面消息通知 e)桌面消息通知:管理员通过发送消息的方式对客户端用户进行提醒、消息通知并确认回馈、发送消息要求客户端用户重新注册、同步客户端数据和对客户端的升级。6 桌面脚本控制 f)桌面脚本控制:安全管理员在本系统新建脚本(如打开一个网页、下载一个文件、运行一个文件等操作) ,发送至客户端执行。7 远程协助 g)远程协助:客户端用户在遇到客户端故障时通过呼叫平台联系网管人员,网管人员通过屏幕控制方
5、式对该客户端进行远程控制,为其排除故障。8 外设及端口控制 h)外设及端口控制:管理员可以在 Web 控制台禁用或启用客户端用户的外部设备,禁用或启用客户端用户的某一端口。9 垃圾文件清理 i)垃圾文件清理:支持管理员在 Web 控制台对客户端用户某一文件夹下或全盘某些后缀的垃圾文件或临时文件进行集中清理。10 点对点客户端控制j)点对点客户端控制:管理员在 Web 控制台对客户端用户进行点对点控制,包括设备和软件信息查询,客户端进程、服务和端口的管理,修改客户端用户网络配置,以及断开/恢复网络连接,升级和卸载客户端等。11 运行资源监控 k)运行资源监控:在 Web 控制台对客户端的 CPU
6、、内存、硬盘的资源占用率和剩余空间进行监控,设定危险等级报警阀门。12 流量异常监控 l)流量异常监控:在 Web 控制台对客户端的网络流入、流出和总流量进行监控和管理。13 进程异常监控 m)进程异常监控:在 Web 控制台对客户端未响应窗口进行监控并结束或重启该进程,对意外退出的进程进行监控和保护。5.桌面安全及审计1 桌面密码权限管理a) 桌面密码权限管理:系统提供对客户端系统密码的安全性检测,包括开机和屏保密码的设置规则,提供弱口令的安全提示,使用户的密码符合安全管理要求。2 客户端统一防火墙b) 客户端统一防火墙:管理员在 Web 控制台对客户端进行统一的的防火墙设置,对网络 IP
7、及协议访问进行限制,在网络内建立虚拟的终端隔离区。3 客户端杀毒软件管理c) 客户端杀毒软件管理:管理员在 Web 控制台对客户端安装杀毒软件的情况进行监控和管理,并能够对客户端杀毒软件实施远程操作(病毒查杀、升级、软件安装等) 。4 客户端安全等级管理d) 客户端安全等级管理:依据客户端计算机的安全防范措施,如补丁修补、防毒安全、注册安全、系统口令等,系统自动评估客户端计算机的安全等级。5 客户端数据实时备份e) 客户端数据实时备份:针对终端计算机进行数据实时备份,将本机计算机目录文件数据实时(定时)备份到数据服务器或其它第三方计算机上存储。针对局域网服务器数据存储等提供安全数据同步备份解决
8、方案,不要投入巨额的资金购买网络版的数据备份软件。6 客户端连线/离线策略管理f) 客户端连线/离线策略管理:注册客户端自动侦测网络连接情况,根据连线/离线状况调用不同的安全策略,客户端自适应采用离线安全策略或者连线安全策略,满足网络中计算机接入带出的安全管理要求。7 硬件控制审计 g) 硬件控制审计:系统能够对客户端的硬件进行管理控制,对光/软驱、USB/并串口、打印机、1394 控制器、冗余硬盘/磁带机等外设硬件使用控制的同时,详细记录其使用情况,并可以实时报警。8 客户端密码强度审计h) 客户端密码强度审计:系统支持对客户端的密码使用状况包括密码长度、安全性、弱口令等方面进行审计检查及报
9、警,同时对不符合要求的客户端进行提示或强制修改等处置。9 客户端权限变化审计i) 客户端权限变化审计:系统支持对客户端的管理权限变化的审计报警,保证其管理权限不被私自修改或添加,达到防止病毒及黑客入侵的目的。10 文件保护及审计 j) 文件保护及审计:系统提供对客户端的系统、软件和共享等目录中的文件的保护功能,设定访问、删除、修改权限;支持对设定目录文件的操作审计,包括文件创建、打印、访问、复制、改名、恢复、删除、移动等的记录,同时将信息上报管理信息库供查询。11 文件输出审计 k) 文件输出审计:对客户端文件的打印输出、网络共享输出、邮件输出等行为操作进行管理控制,并详细记录其行为信息。12
10、 注册表保护与审计l) 注册表保护与审计:管理员可以在 Web 控制台对客户端注册表的特定进程进行保护,防止被修改、删除;针对不同的操作系统,提供注册表项、键名、值类型和键值的安全检测,报警不安全注册表信息。13 网络共享审计 m) 网络共享审计:支持管理员在 Web 控制台审计列表客户端开放的网络共享文件,进行远程通知告警。14 上网访问行为审计n) 上网访问行为审计:管理员在 Web 控制台对客户端用户的上网访问的 http 网页进行审计和记录。15 系统日志审计 o) 系统日志审计:管理员在 Web 控制台对客户端用户的日志(系统日志、应用日志、安全日志等)进行远程读取查看。6. 接入管
11、理1 客户端注册管理 将客户端所属人员信息(使用人、单位名称、部门名称、计算机所在地、 联系电话、电子邮件、注册密码、资产号、终端计算机类型等)经过注册后存储到数据库中,方便管理员通过web 管理平台查询管理。 客户端拓扑管理 系统具有终端网络拓扑扫描功能,其强大的设备认知能力实现对网络不同设备的全面搜索发现,自动发现整个网络中的终端系统的 IP 地址、机器名和 MAC 地址,允许管理者对终端系统按部门进行登记管理,形成网络基本情况数据库,自动生成网络结构拓扑图。提供了图形化管理界面,管理员在 web 控制台查看终端定位连接交换机的信息,详细列表终端连接交换机端口状况信息。 客户端带入带出网络
12、监控系统对非法接入计算机的行为进行报警,并能够自动阻断,如便携式笔记本电脑和新增设备的接入(未经允许擅自接入的设备会给网络带来病毒传播、黑客入侵等不安全因素) ;监测笔记本电脑带出网络后接入其它网络等行为(此类设备重新接入网络后,如未通过安全检查程序的检测,系统将自动阻断这类设备入网) 。 802.1X 认证 基于端口在交换机端口对接入设备进行认证和控制,连接在该端口上的用户设备如果能通过认证就可以访问网络内的资源,否则无法访问网络内资源相当于物理上断开连接。 IP 和 MAC 绑定管理IP 和 MAC 绑定管理:对固定 IP 网络的 MAC 和 IP 地址进行绑定管理,系统探测到 IP 变化
13、后提供恢复原有 IP 地址和阻断其联网功能,同时提供主机 IP 保护、禁止修改网关、禁用冗余网卡功能。7. IT 资产管理 硬件设备资产统计a)硬件设备资产统计:自动发现识别客户端的硬件信息(CPU、内存、硬盘、键盘等) ,全面详细采集后将相关数据分类入库,供管理员在 WEB 控制台查询。 软件资产统计 b)软件资产统计:自动发现识别客户端安装的软件信息(名称、版本、安装时间) ,将相关数据入库,检测客户端运行软件信息,供管理员在 Web 控制台查询。 设备变更信息报警c)设备变更信息报警:报警未注册设备以及注册程序卸载行为,实时检测硬件设备变化状态(如设备硬件变化、USB 设备接入等) 。8
14、 事件报表查询分析1 设备信息查询 a) 设备信息查询:通过系统可以对已注册客户短的相关信息进行统一查询,查询信息包括计算机所属区域、部门、使用人、设备 IP、MAC 、注册、重新注册、信任、保护、阻断、开机、杀毒软件、杀毒厂商、系统等信息。2 注册设备资产查询b) 注册设备资产查询:系统可以对已经注册的设备进行设备资产查询,提供多个复合条件查询。3 设备安装软件查询c) 设备安装软件查询:系统可以对计算机安装的软件进行查询,根据软件类别,如必须安装的软件、禁止安装的软件。4 设备首次运行进程查询d) 设备首次运行进程查询:系统可以依照进程名称、文件大小、版本、进程所在路径、进程所打开的端口、
15、进程运行次数等进行查询。5 硬件变化设备查询e) 硬件变化设备查询:客户端注册后,已经把其硬件信息注册入库,如果客户端硬件有变化(增添或卸载) ,则可通过该查询条件查到。6 设备首次运行进 f) 设备首次运行进程查询:依照进程名称、文件大小、版程查询 本、进程所在路径、进程所打开的端口、进程运行次数等进行查询。可以用于对病毒、木马、黑客程序等进程的查询。7 违规软件以及进程查询g) 违规软件以及进程查询:查询事件内容包括软件违规方式(安装禁止安装软件、未安装必须安装软件) 、进程违规方式(运行禁止运行进程、停止必须运行进程) 、进程类别(检索禁止执行的进程、非信任进程、信任进程、可疑进程、非可
16、疑进程、所有进程) 。在策略中心中制定违规软件以及进程查询的定义项,根据定义项进行禁止、允许等,在本界面中查询数据结果。用于对病毒、木马、黑客程序等进程的查询。8 移动设备审计查询h) 移动设备审计查询:系统可以对移动设备审计查询,查询事件内容包括设备接入,从移动设备拷入,拷出到移动设备等方面。9 安全策略违规查询i) 安全策略违规查询:系统可以对安全策略违规现象进行查询,查询事件内容包括注册表键值检测、系统弱口令、用户权限变化。10 涉密检查查询 j) 涉密检查查询:根据策略中心中配置的策略,进行包括IE 访问涉密检查(IE 缓存、IE 清单、cookie 信息、收藏夹) ,文件内容涉密等方
17、面的查询。11 消息确认查询 k) 消息确认查询:用户可以通过消息确认查询察看客户端接收到消息通知后的反馈信息。12 设备 IP 占用状况列表l) 查询区域管理器所管辖的范围内的注册 IP、未注册IP、空闲 IP。13 软件分发查询 m) 软件分发查询:查询软件分发是否成功及软件运行安装情况,并查询记录的分发时间及运行时间。14 软件分发统计 n) 软件分发统计:对软件全网分发情况进行统计,并可以通过查询界面察看成功分发或失败分发的计算机信息,统计成功率。15 图形化信息数据输出o) 图形化信息数据输出:系统可以对客户端的相关信息进行统计,并以图形化的形式进行统计数据的输出。16 客户端流量排
18、名 p) 客户端流量排名:监测网络中客户端流量信息并进行排名,报警异常网络流量,能够对客户端进行流量报警。17 客户端流量统计 q) 客户端流量统计:根据流量统计满足各种条件(如:30分钟内最大值、当天最大值、本周最大值等)的计算机的 IP、名称以及所属的区域名称等信息。18 设备信息组态查询r) 设备信息组态查询:通过此项功能,系统可以依照下列属性自动组合进行计算机查询,包括使用人、联系电话、设备所在地、所属区域、设备名称、设备 IP 地址、设备 MAC 地址、操作系统、Service pack 号、IE 版本、语言、使用人、是否注册、是否信任、是否为受保护、是否被阻断、开机状态、防范等级、
19、运行状态等。19 根据选择的状态 s) 根据选择的状态组进行查询:通过选择设备 IP 地址、组进行查询 是否注册、操作系统、杀毒软件厂商等属性进行组态查询,最终显示同时具备上述条件的计算机,并可以针对管理员的要求的项目或字段进行报表的输出。9. 报警结果处置管理1 客户端非法外联报警处理a) 客户端非法外联报警处理:监视违规网络连接(拨号、双网卡、代理等) ,并对违规行为做出相应的处理。如果客户端违规上网,可以对客户端进行自动重启、断开网络、仅提示等处理方式。2 IP 与 MAC 绑定变化报警b) IP 与 MAC 绑定变化报警:实现对接收该策略的计算机实行IP 与 MAC 绑定,当 IP 与
20、 MAC 绑定发生变化时,可对其自动恢复、弹出提示框、或断开网络并持续阻断该计算机等。选中“主机 IP 保护”可防止其它设备使用与本机相同 IP地址而造成的地址冲突。3 流量异常报警及处理c) 流量异常报警及处理:实现对流量可疑、发包数可疑、并发连接数可疑的客户端进行阻断、提示、上报给上级区域管理器操作。4 阻断报警处理 d) 阻断报警处理:扫描报警,计算机曾经安装过探头,但探头被卸载,阻断其联网。扫描报警,设备没有注册, 阻断联网。5 安全事件源远程阻断e) 安全事件源远程阻断:当扫描器发现有外来设备接入内网时,该功能可以有效地控制外来设备接入内网而带来的安全威胁,通过选中“没有注册则阻断联
21、网” ;对于已注册的设备进行阻断,已注册设备如果有违规行为(如非法外联、设备变化、IP 绑定变化、探头被卸载、流量异常、主机运维异常、网络异常、病毒行为)进行阻断。10.IntelvPro( AMT)管理支持1 硬件级别的客户端程序保护及变化报警a) 硬件级别的客户端程序保护及变化报警: 利用 Intel AMT技术,管理平台可以实时有效地对客户端程序的运行状况进行监测, 禁止终端计算机使用者私自篡改、停用客户端程序,通过软硬级别的双重保护,最大程度的保障了客户端程序的安全运行。2 带外终端软硬件资产管理b) 带外终端软硬件资产管理: 通过 Intel vPro 的 AMT 技术(主动管理技术
22、),带外状态下终端可以将客户端的硬件设备信息(诸如硬盘、CPU、内存、PCI 插槽使用情况等) 、软件信息(客户端所安装软件)记录下来并保存到数据库,管理员通过管理平台获取数据库中客户端信息。3 资产变更报警 c) 资产变更报警:结合 Intel AMT 技术,如出现资产变更状况,处于带外状态下的客户端会将资产变更信息上报至管理平台,实现主动报警。4 带外状态下补丁分发d) 带外状态下补丁分发:结合 Intel AMT 技术,可以实现对外状态下的客户端统一进行补丁分发。5 远程开关机控制 e) 远程开关机控制:通过 Intel AMT 技术,可以选择不同的启动方式对客户端实现远程开关机控制。6 系统崩溃下的远 f) 系统崩溃下的远程修复与协助: 通过 Intel AMT 技术,利用程修复与协助 远程开机功能和 SOL 特性,实现客户端的远程镜项启动,即使在系统崩溃的情况下也可以对该客户端以屏幕接管等方式进行远程控制,为其诊断、排除故障。7 vPro 设备扫描认证g) vPro 设备扫描认证:设备入网前进行扫描认证,确认是否为 vPro 设备
