无忧在线终端与内网安全管理系统产品白皮书

无忧在线终端与内网安全管理系统终端与内网安全管理系统产品白皮书全面的终端运维管理终端主机可进行全面的安全保护、监控、审计和管理，功能不分模块销售。实名制的管理与审计管理策略根据人员身份制定，做到策略到人，控制到人，审计到人，解决一机多人、一人多机的难题。三级联防的准入控制体系系统采用端点控制、局域接入控制、边界网关控制三级接入控制体系，可最大程度上适应用户网络环境，提供方便的准入管理。数据防泄漏数据信息及信息交换做到可加密、可控制、可审计。文件保密设置简单，移动存储加密保护，可保证私人专用要求。全面联动防护与防火墙产品联动可实现终端的准入控制与IDS/IPS产品联动可实现入侵行为的阻断与SAG产品联动可实现远程用户的准入控制和身份的策略管理目录一、终端与内网安全管理系统背景511终端与内网安全概述612终端与内网安全管理的重要性8121内网威胁8122如何加强内网安全10二、终端与内网安全管理系统概述12三、终端与内网安全管理系统架构13四、终端与内网安全管理系统功能1641产品九大功能16411准入控制管理16412数据防泄漏17413实名制管理20414终端维护管理21415补丁分发管理24416终端资产管理25417上网行为管理26418报警控制台27419产品联动防护28五、内网安全管理系统功效2951整体功效2952文件监控与审计30521杜绝文件操作不留痕迹现象30522杜绝信息拷贝的无管理状态3053网络行政监管30531屏幕监控30532应用程序报告及应用程序日志31533浏览网站报告及浏览网站日志31534应用程序禁用3154网络辅助管理31541远程桌面管理31542远程控制31543远端计算机事件日志管理32544远程计算机管理32545信息化资产管理3255网络客户机安全维护32551补丁分发管理32552网络漏洞扫描3356安全接入管理33561非法主机网络阻断34562网络白名单策略管理34563IP和MAC绑定管理3457策略管理34571基于策略优先级的用户行为管理功能34572基于网络场景的管理策略35573基于用户帐户的策略管理35574基于在线、离线状态的策略管理35575基于分组的策略管理36六、终端与内网安全管理系统特色3761全网产品联动防护3762定向访问控制3763实名制管理3764报警控制台3865流量管理3866ARP病毒免疫3867可扩展的高端应用接口3968补丁统一分发3969管理策略强制执行39610多元化的管理模式39611虚拟安全域管理40612策略的优先级管理40七、实施部署4171产品部署示意图41711典型部署41712多级部署4272部署位置4273部署方式43一、终端与内网安全管理系统背景信息技术发展到今天，人们的工作和生活已经越来越依赖于计算机和网络；然而，自网络诞生的那一天起，它就存在着一个重大隐患安全问题，人们在享受着网络所带来的便捷同时，不得不承受着网络安全问题带来的隐痛。说到网络安全，人们自然就会想到网络边界安全，但是实际情况是网络的大部分安全风险均来自于内部。常规安全防御手段往往局限于网关级别、网络边界（防火墙、IDS、漏洞扫描）等方面的防御、重要的安全设施大致集中于机房或网络入口处，在这些设备的严密监控，来自网络外部的安全威胁大大减小。相反，来自网络内部的计算机终端的安全威胁却是众多安全管理人员所面临的棘手的问题。自2003年来。以SQL蠕虫、“尼姆达”、“冲击波”、“震荡波”、“熊猫烧香”等病毒的连续性爆发为起点，到计算机文件泄露、口令泄露、硬件资产丢失、服务器系统瘫痪等诸多终端安全事件在各地网络频繁发生，使政府机关和企事业单位的网络管理人员头痛不已。总结起来，政府机关和企事业单位的内部网络管理大致面对着以下问题如何获知全网所有计算机资产的风险状况和脆弱性，发现终端设备的系统漏洞并自动分发补丁。如何防范移动计算机和存储设备随意接入内网。如何防止U盘造成的病毒传播和信息泄露。如何防范内网设备非法外联。如何对终端计算机在不同网络环境中及时应用不同的规则策略。如何管理终端资产、保障网络设备的正常运行。如何在全网制定统一的安全策略。如何规避终端用户随意访问网络带来的不必要的法律风险。如何及时发现网络中占用带宽最大的终端。如何点对点控制异常终端的运行。如何防范内部涉密重要信息的泄露。如何对原有终端应用软件进行统一监控、管理。如何快速有效的定位网络中病毒、蠕虫、黑客的引入点，及时、准确的切断安全事件发生点和网络。如何架构功能强大的统一网络安全报警处置平台，进行安全事件响应和事件查询，全面管理网络资源。这些终端安全隐患随时随地都可能威胁到用户网络的正常进行。对于内部网络的安全建设，我们建议从管理和技术两个方面入手，我们认为“管理和技术合二为一，才能达到网络安全目的”；我们不能夸大技术手段的能力，也不能偏颇管理的效力，以前的“技术30，管理70”的说法，我们认为并不是很科学的。正确的解决途径应该是“管理和技术的有机结合”，用技术来实现管理目标，用管理来保障技术应用。无忧在线终端与内网安全管理系统，就是一款将管理和技术合二为一的内网以及终端安全解决方案。11终端与内网安全概述信息技术发展到今天，人们的工作和生活已经越来越依赖于计算机和网络；然而，自网络诞生的那一天起，它就存在着一个重大隐患安全问题，使人们在一边享受着网络所带来的便捷，一边又不得不承受着网络安全问题带来的隐痛。2004年公安部公共信息网络安全监察局对7072家政府、金融证券、教育科研、电信、广电、能源交通、国防和商贸企业等部门和行业的重要信息网络、信息系统使用单位进行了调查，其中发生网络安全事件的比例占58。从这些数据我们看到，网络安全已成为阻碍网络应用的关键所在，要使企事业的IT资源能够得到有效的利用，首先需要解决的是基本的网络安全威胁。值得欣喜的是，网络安全得到越来越多人的重视，已经有许多企业在网络边界部署了防火墙，网络中安装了杀病毒软件，部署了入侵检测、身份认证、漏洞扫描等系统来防止外界威胁。然而，这些安全措施并没有对内网，尤其是没有对各个计算机终端进行有效监控，从而无法避免内部IT资源滥用、内部网络信息泄露、内部员工的故意攻击等问题，更不能对各种因内部因素产生的网络安全问题进行有效的预防、监控和审计。事实上，堡垒最容易从内部攻破目前，比较流行或者说应用比较广泛的一些网络安全系统主要有防火墙、杀病毒、入侵检测、身份认证、漏洞扫描等等，但这些网络安全系统基本都是专门针对某一类型网络安全威胁的工具，主要定位在防范来自外部网络的安全威胁，并不能够解决大部分内部网络安全问题防火墙关注的是边界安全，对于内部的各种非法滥用和攻击行为无能为力；杀病毒的定位更为清晰和专业，就是针对病毒等恶意代码的攻击，不管内部网络行为和设备的应用等等。我们都知道，进行网络安全体系建设，要综合考虑、注重实效，在我们考虑防火墙杀病毒、入侵检测，甚至身份认证等系统来解决有关外部黑客入侵、病毒困扰时，也要同时考虑来自内部网络的可信环境下的非授权网络行为和授权滥用行为，因为这些才是网络安全面临的最大威胁，也是网络安全的最大挑战。最理想的状态是，我们能够有效的分析各内部网络环境下比较具体和重要的网络安全威胁，并组织相应的技术、产品以组合方案的方式，统一解决；既考虑到投入成本与效益之比，又能最大程度上避免“木桶原理”的安全诅咒。12终端与内网安全管理的重要性121内网威胁随着信息网络不断发展，内部泄密和内部攻击破坏已经成为威胁网络安全应用的最大隐患。在众多的内部网络安全威胁中，最主要和最应关注的有首先，内部人员或设备的主动或者被动泄密泄密问题一直是内部网络的一个头疼问题，尤其是对于涉及国家机密或者事关企业生存和发展的核心秘密，如国防军队/军工单位和政府行政办公的有关信息、设计行业的设计方案信息、数据提供企业和商业企业的关键数据及公司战略竞争信息等等，都不可避免的需要在内部计算机和网络中产生、传输、存储、修改和应用，涉及到的人员、设备也比较多，因此泄密的危险性也比较大。泄密的途径，也主要有两个，一是人员，二是机器设备；从主观态度上来看，一种是无心的过失泄密，另一种则是蓄意的主动泄密行为。无论是什么形式的泄密行为，都将会给企业带来不可忍受的损失，有的甚至侵害到国家的安全、利益。因此，我们需要对内部人员的计算机和网络操作行为进行规范，对网络内部的各种设备进行统一管理、授权。其次，内部人员主动或被动的制造传播病毒等恶意代码在网络应用非常深入的单位，总会有一些对网络技术非常感兴趣的人员，这些人也许是有着某种目的，或者纯粹为了好奇，而制造、传播一些有病毒、后门等特征的恶意代码，这些代码如果不进行及时的处理，有可能会引起网络的混乱，使得部分甚至全部的网络资源不可用，从而影响单位的生产、办公。还有些人员或设备，在没有防备的情况下，中了内部或者外部“恶性病毒”的“招”，成为病毒攻击内部网络的“桥”，从主观上来讲，这些设备和人员是被动的，他们不知道已经被利用，然而他们的这些无意识行为也给网络运行造成了不良影响。这些病毒、木马等恶意程序往往利用系统漏洞进行破坏。第三，非授权使用或者授权滥用大部分单位都有管理制度来规范网络资源的使用，详细规定了某人或某机器在什么时间、什么地点做什么类型的事情。也就是说，区分了授权和非授权操作。但事实上实际情况往往不是这么简单。众多内网用户，会探测、尝试进入非授权的领域。例如某公司规定程序员在上班期间不许上网，但员工却能想出很多办法，在上班期间也能上网；还比如，某员工无权访问单位的业务数据库，他通过攻击、欺骗等等手段，获得了访问数据库的权限；至于网络资源滥用的实例就不胜枚举了有权上网的员工，没有利用互联网去开展业务，而是在下载电影、玩游戏等等，非工作需要拷贝、修改公司的关键数据等等。大部分单位都想通过相应的制度来控制这些情况，然而实际效果却并不理想。非授权使用或授权滥用依旧是我们最头疼的。第四，内部人员或者设备的主动或者被动攻击从网络诞生的那一天开始，黑客就存在，发展到今天已经到了无孔不入的地步，而且还在进一步蔓延，许多黑客攻击行为已经不需要太多的网络攻击知识，只需简单的攻击程序和设置就可以实现。在内部人员和设备中，也不乏这样的角色，他们本身不具有很高超的攻击水平，而只是应用现成的攻击程序来实现“黑客”目的，主动或者干脆被一些真正的黑客利用被动的去攻击内部网络的一些目标。黑客技术正在不断的迅速发展与变化，从一个漏洞发现到攻击代码实现，到蠕虫病毒产生，几年前可能是几个月甚至半年多，而现在几周甚至一天就可以完成。在微软发布MS04011公告时，NGS的DAVID在看到公告的8分钟后写出了攻击代码，XFOCUS成员也在6小时内写出了通用的攻击代码。第五，因安全管理不善，引发的IT资源不可用或者资源损失这里的管理不善，主要是指没有一套科学的内部网络资源使用管理制度，或者制度执行不力。比如，我们规定在某一些工作计算机上，不能安装运行某些软件，可是还是有人安装了；对内部网络的IP/MAC地址，做了统一的部署，可是还是有人任意的修改；任意的将非本网络的设备接入内部网络；任意添加或删除各种硬件设备、修改网络属性等等，这些行为都应该得到彻底的规范。第六，客户机自身存在安全缺陷，导致网络内部安全隐患网络当中的客户机很多，终端的存在安全隐患容易导致网络安全事件。如客户机存在安全漏洞，可能会引发蠕虫病毒等威胁。如果配置不完善，则容易导致信息泄露甚至黑客攻击事件的发生。因此，维护每台客户机自身的系统安全性，也是应该予以考虑的。122如何加强内网安全根据内部人员违规、犯罪特点，要加强内网安全必须采取事先预防、事中监控、事后审计的方针。事先预防就是要防患于未然。利用漏洞进行攻击也成为黑客最常用的手段之一。攻击者首先通过扫描工具发现漏洞，然后利用相应的攻击工具实施攻击。这种攻击模式简单易行，危害极大。由此可见，操作系统或者应用程序的漏洞是导致网络风险的重要因素。消除漏洞的根本办法就是安装软件补丁，补丁分发管理越来越成为安全管理的一个重要环节。补丁管理也需要有很强的及时性由于黑客技术的不断积累和发展，留给网络管理员进行漏洞修补的时间将会越来越少。因此补丁管理也就需要有很强的及时性，如果补丁管理工作晚于攻击程序，那么企业就有可能被攻击，造成机密信息泄漏。然而，在一个较大的局域网中，普遍存在机器配置档次高低各异、操作系统分门别类、系统软件千差万别等问题，网络管理员要想同时对这几百台甚至上千台终端设备及时快速地打上新的补丁程序，几乎是不可能的。要靠手工保障每一个补丁在安装后正常运行，不对整个网络系统造成其它破坏和隐患，更是完全不可想象的。因此对于终端节点众多的用户，繁杂的手工补丁安装已经远远不能适应目前大规模的网络管理，必须依靠新的技术手段来实现对操作系统的补丁自动修补。自动化的补丁分发管理工具已经成为网络安全管理人员实现及时、严密、持续的补丁管理的必备工具。同时，除以上技术手段外，还应该从制度入手，严格规定人员、设备、数据资源的安全级别，制订明确的规章制度并严格执行。严格限制重要信息数据的传播范围，限制能够接触重要信息的人的行为。例如，对于数据传输、复制设备要控制使用，避免造成信息泄露；对于接触重要信息数据的设备和人员进行严密监控，防止非法操作；对于执行的程序和上网行为进行限制，防止运行危险软件和对非法网站的访问；禁止非法外联和非授权主机接入，防止来自外部的威胁。事先预防要通过必要的技术手段来实现，包括设备使用、应用程序、上网行为、文件操作、网络访问等的监控，使具有一定权限的人员只能使用指定的设备，完成指定的操作。将机要信息完全封闭在有限的网络区域内，防止信息被无意泄露和有意窃取。事中监控仅次于事先预防，对于违反安全策略的行为要及时报警，通过策略机制进行响应，将损失减到最小，多种。事后审计是内网安全的必要措施，所有网络、终端的用户重要行为都应严格记录、储存，便于事后查找。二、终端与内网安全管理系统概述无忧在线终端与内网安全管理系统应用部署在企业的内部网络中，用于保护企业内部资源和网络的安全性。无忧在线终端与内网安全管理系统可以对内部终端计算机进行集中的安全保护、监控、审计和管理，可自动向终端计算机分发系统补丁，禁止重要信息通过外设和端口泄漏，防止终端计算机非法外联，防范非法设备接入内网，有效地管理终端资产等。无忧在线内网安全管理系统可以与防火墙、漏洞扫描设备进行有机联动，共同提供全网安全解决方案。三、终端与内网安全管理系统架构无忧在线终端与内网安全管理系统由客户端模块、服务器模块、控制台三部分组成。客户端代理模块对终端计算机进行监控，需要部署于每台需要被管理的终端计算机上，用于收集数据信息，并执行来自服务器模块的指令。服务器模块存储终端安全策略、终端计算机信息、漏洞补丁数据等等，并由服务器向终端计算机客户代理模块发送指令。此模块安装在具有高性能CPU和大容量内存的服务器上。控制台采用B/S结构可以运行在网络中的任意一台计算机上，用来监控每台安装有代理模块的计算机，管理各类审计系统，制定安全策略。系统结构如下图所示1、无忧在线终端与内网安全管理系统服务器模块服务器模块包括服务器端软件和支持数据库。支持操作系统为WINDOWS2000SP4、WINDOWSXPSP1、WINDOWSXPSP2、WINDOWS20003和WINDOWSVISTA。数据库支持MYSQL、MICROSOFTSQLSERVER、SYBASE和ORACALE（建议在客户端超过100000点，使用MICROSOFTSQLSERVER、SYBASE和ORACALE数据库）。服务器模块主要功能如下定时搜索网络，管理所有已安装客户端代理模块的计算机，并向代理模块传递相关的设置和命令信息；接收控制台用户数据请求指令，传送数据文件到控制台，由控制台进行解密查看分析；保存客户端代理用户信息；存储系统组织结构，用户信息和系统工作配置参数；收集客户端代理模块采集的数据，并保存到数据库中；提供方便灵活的历史记录管理、归档、搜索、查看等功能；2、无忧在线终端与内网安全管理系统控制台模块控制台模块是实现系统管理、参数配置、策略管理、系统审计的人机交互WEB界面。系统运行平台为IE60以上版本。控制台模块功能如下参数设置，包括控制台和服务器的工作参数；用户（管理员）管理，包括添加、删除、修改；系统管理员采用分权分级的管理方式，每个管理员都有其授权工作范围和管理权限；虚拟安全工作域结构管理，包括创建组织结构层次深度以及添加、删除系统组织结构；客户端代理的添加、安装和卸载；客户端代理策略的配置和下发；实时获取被监视计算机的屏幕快照等信息；设置监视和控制规则；查看并播放记录在服务器端的历史记录；查询特定机器特定时刻的历史记录；监测日志的查看、分析和审计；指定用户使用固定IP登陆控制台，提高安全性。为保证客户端与服务器正常通信，禁用IE设置代理服务器项，避免因不当的代理设置造成客户端无法与服务器正常通信。3、无忧在线终端与内网安全管理系统客户端代理模块客户端代理模块是安装于受管理主机上的软件。软件安装支持本地安装和网络安装等多种方式；客户端代理的卸载只从服务器接收控制台发出的卸载指令，本地用户不能自行卸载、关闭管理程序。客户端代理的工作平台目前支持WINDOWS2000SP4、WINDOWSXPSP1、WINDOWSXPSP2、WINDOWS20003和WINDOWSVISTA。客户端代理模块主要功能如下接收服务器下发的工作策略，并按照该策略控制客户端代理的工作模式；信息泄露防护，该模块包括对网络层、应用层、媒体介质、打印机和外设接口等的监视控制；运行监测实时记录文件的操作，进程、服务、驱动、用户和组的变化情况；资产管理接收服务器指令，上传系统的软件、硬件信息；定时采集数据并保存，并将采集的数据传送到服务器；响应控制台发出的监视请求，传送实时的屏幕快照信息；根据系统的设置控制计算机的操作；和服务器通信完成补丁的检测、下载和安装；完成安全接入管理的实际功能。客户端升级后，重启确认框中加入了最小化按钮，避免弹出对话框影响用户工作。四、终端与内网安全管理系统功能41产品九大功能411准入控制管理在线主机监测可以通过监听和主动探测等方式检测系统中所有在线的主机，并判别在线主机是否是经过系统授权认证的信任主机。主机授权认证可以通过在线主机是否安装客户端代理程序，并结合客户端代理报告的主机补丁安装情况，防病毒程序安装和工作情况等信息，进行网络的授权认证，只允许通过授权认证的主机使用网络资源。非法主机网络阻断对于探测到的非法主机，系统可以主动阻止其访问任何网络资源，从而保证非法主机不对网络产生影响，无法有意或无意的对网络攻击或者试图窃密。网络白名单策略管理无忧在线内网安全管理系统可以自动生成默认的合法主机列表，根据是否安装安全管理客户端或者是否执行安全策略，来过滤合法主机列表，快速实现合法主机列表的生成，降低管理员的工作量。同时允许管理员设置白名单例外列表，允许例外列表的主机不安装客户端但是仍然授予网络使用权限，并根据需要授予可以和其他授权认证过的主机通信的权限或者允许和任意主机通信的权限。IP和MAC绑定管理可以将终端的IP和MAC地址绑定，禁止用户修改自身的IP和MAC地址，并在用户试图更改IP和MAC地址时，产生相应的报警信息。防病毒软件管理可以检测终端上是否安装有防病毒软件，以及安装的防病毒软件是否处于工作状态，病毒库是否过期等信息。无忧在线内网安全管理系统可以辅助客户端完成防病毒软件病毒库的更新，对于未安装防病毒系统的客户端，可以对其进行网络访问管理控制，新版本增加了对360安全卫士检测。412数据防泄漏企业的商业合同、财务报表、软件程序代码等等商业秘密信息都分散地保存在员工的终端主机中。对于企业来说，企业老板电脑笔记本的文件重要程度已经不亚于企业核心数据库。因此，对终端主机文件数据的加密存储和可控交换控制，已经越来越受到企业所重视。主机文件数据防泄露基于“谁的数据安全谁负责”的原则设计，终端用户可按照自己的安全需求，自主对文件进行加密保护。操作简单1终端主机的接受管理服务器的允许启用此功能，终端就拥有了此功能。2终端用户选定文件，单击鼠标右键就可实现加密或解密操作。密钥简单无需复杂的密钥管理，可采用口令信息或本机硬件特征码或二者组合信息，对文件实现加密。对于采用组合信息加密的文件，只有知道口令的用户，只有在加密的终端上，才能对文件解密。文件访问审计可根据设定的策略对终端主机的所有文件访问进行审计，对文件的打开、拷贝、复制、粘贴、打印、删除等所有操作均可进行审计。移动存储介质安全管理基于内网统一策略管理，可实现对外来U盘的全部禁止；按照不同的安全需求，选用注册U盘、保密U盘或安全U盘，实现文件安全交换。对外来U盘的注册管理1外来普通U盘必须在网络管理员处注册成为注册U盘，方可在注册地内网使用。注册U盘在外网主机的使用不受影响。2内网可以下达统一的安全策略，来限制注册U盘的使用范围，从而实现指定的注册U盘只有在指定的终端进行操作。3支持终端主机对注册U盘的在线和离线管理。4全程审计注册U盘在终端上的使用。保密U盘只能在内网使用1普通U盘经过内网安全管理系统处理和注册后成为保密U盘，只能在注册内网使用，在其他网络中无法使用。2通过安全策略，对可对使用保密U盘的终端主机范围和用户做出控制。3支持终端主机对保密U盘的在线和离线管理。4全程审计保密U盘在终端主机上的使用。存储设备禁用无忧在线内网安全管理系统可以禁止如下存储设备的使用软驱（FLOPPY）、光驱（CD/DVD/HDDVD/BLUERAY）、磁带机、FLASH存储设备（U盘及MP3播放器）、移动硬盘（USB或1394）等，新增的U盘只读功能，保证数据读取的前提之下，防止利用U盘拷贝数据和某些U盘病毒的传播。外设和接口禁用无忧在线内网安全管理系统可以禁止如下外设计口的使用串口和并口（COM/LPT）、SCSI接口、蓝牙设备、红外线设备、打印机、调制解调器、USB接口、火线接口（1394）、PCMCIA插槽等。设置移动存储设备只读可以设置将所有移动存储设备置于只读状态，不允许用户修改或者写入。移动存储设备认证管理员可以通过无忧在线内网安全管理系统对指定的移动存储设备进行认证，并将认证信息存储在系统中，同时下发到指定客户端上，经过认证的移动存储设备可以在指定的客户端上全权使用。文件访问审计可以记录计算机上对各种文件和文件夹的访问和操作情况，并可以根据管理员的设置，对客户端产生桌面消息通知、锁定计算机、断网和向服务器发送邮件等系统报警信息。上网访问行为审计可以记录终端系统上网行为的情况，并可以根据管理员的设置，对客户端产生桌面消息通知、锁定计算机、弹出URL地址、断网和向服务器发送邮件等系统报警信息。程序行为审计可以记录终端系统上所有使用过的程序，并可以根据管理员的设置，对客户端产生桌面消息通知、锁定计算机、断网和向服务器发送邮件等系统报警信息。网络共享审计与管理可以记录终端系统上所有的共享文件夹，并可以远程对共享文件夹予以关闭。网络端口通信审计可以对终端的网络端口与协议使用情况进行监测和审计。终端用户屏幕审计可以定时抓取终端计算的屏幕，并按照时间顺序予以记录，供管理员查阅。打印审计与管理可以监测终端计算机进行打印的事件，记录日志并可以根据策略产生报警信息。可以禁止终端计算机的打印操作。终端用户变化审计可以发现终端用户的变化（如添加/删除用户），记录日志并根据策略产生系统报警信息。文件操作管理系统可以通过文件名和文件类型的方式制定管理策略，管理客户端上的文件访问、复制、粘贴、共享、移动、删除等行为，并可以根据客户端的违规情况，对客户端进行桌面消息通知、锁定计算机、断网和向服务器发送邮件等控制。413实名制管理实名制管理安全就是根据受控人员身份定义安全策略，最终实现“策略到人，控制到人，审计到人”的管理目标。实名制管理包括以下内容身份管理、认证管理、授权管理，以及综合审计。身份管理对已有用户身份管理体系的企事业单位，内网安全管理系统可与第三方身份管理系统融合。（包含使用WINDOWS域的企事业单位）。对无用户管理系统的企事业单位，内网安全管理系统内嵌RADIUS用户管理系统。认证管理内网安全管理系统兼容各种认证系统，可以实现无缝结合，如需变更现有认证体系。员工启动终端主机，提示输入认证信息（账号），根据认证信息（账号）进行管理策略的匹配和执行。授权管理终端主机系统启动，员工如不输入认证信息（账号），安全策略定义的授权范围为最小，只能进行受限的主机操作。员工登陆终端主机输入认证信息（账号）进行管理策略的匹配，强制员工遵守此安全策略授权的行为权限。综合审计终端审计可实现全部操作事件与用户身份的一一对应，并可按用户查询审计记录。网络审计配合实名IP策略，基于全网范围内IP地址与人员身份的一一对应，实现全部网络设备上的审计记录均可对应到具体用户。“一机多人”不同用户使用同一终端主机时，不同用户受到不同的安全策略的限制和管理；“一人多机”同一用户使用不同终端主机时，受到相同的安全策略的限制和管理。414终端维护管理内网安全管理重点解决客户端计算机内网安全管理和行为的审计。无忧在线内网安全管理系统可以对客户端的防病毒软件的安装、运行及病毒库升级与否进行管理，可以对用户的文件、进程、上网行为等进行管理，并可以对客户端计算机上的文件、应用程序、上网行为等进行详细的审计，同时支持进程白名单功能。内网安全管理可以分为内网安全管理和桌面行为两个大的功能项。服务和进程管理系统可以通过控制服务名和进程名的方式制定管理策略，管理客户端上运行的服务和进程，并可以根据客户端的违规情况，对客户端进行桌面消息通知、锁定计算机、断网和向服务器发送邮件等控制。终端在线/离线策略管理无忧在线内网安全管理系统可以对终端在线/离线2种状态下应用的策略分别予以设置。客户端和服务器连接能够进行通信时为在线状态，无法和服务器完成通信时即为离线状态。通过对在线/离线2种状态设置不同的策略，对于经常移动办公的设备（如笔记本）可以提供更加灵活实用的管理。远程监视管理员可以远程直接控制一台终端设备，接管远程终端的桌面操作，进行服务器桌面管理或者帮助用户解决问题。远程计算机管理能够对对远程终端计算机执行锁定、注销、重启、关机等操作。锁定计算机除非管理员解锁，否则无论强制重新启动或者进入安全模式均不能使用。系统设置管理可以禁止终端用户自行修改网络属性，IE属性等设置，防止用户的更改对网络安全造成影响或引入安全风险。远程控制管理人员可以通过控制台远程取得客户机的控制权，身临其境般进行操作。对于远端客户机出现的问题，管理人员能够即时、方便的解决。在远程维护或者远程操作业务系统中发挥多方面的作用。用户/权限管理无忧在线内网安全管理系统的用户和权限管理采用的是由美国国家标准协会提出的RBAC模型，即基于角色访问控制模型。基于角色的访问控制提供了一种简单灵活的访问控制机制，只给角色分配权限，用户通过成为角色的成员来获得权限。这与过去系统中直接给用户授权的管理模型相比更灵活方便。流量审计/控制系统可以对客户端的网络流量进行分时审计，管理员可以在服务器端看到用户的分时审计流量值，根据流量值管理员可以判断网络中部分用户在使用迅雷下载或P2P。同时管理员可以根据流量审计数据做出一些控制，在流量当上传、下载流量超过设定的阀值时，将会触发用户策略，根据策略可以做出告警、计算机锁定、客户端限时断网。流量的审计与控制是为管理员提供了有效可靠的流量控制方案，并在数据库查询模块中增加客户端流量查询功能。日志管理系统提供强大的日志管理功能并且支持日志的实时输出，可以与4A，SOC等主流管理软件相结合构造整体安全解决方案。同时提供多种方式的日志检索分析功能便于用户查询分析，对于终端网络操作过程中出现问题的分析与解决具有重要意义。日志管理包括日志查询、日志分析、日志删除等。详细的审计、分析与报告无忧在线内网安全管理系统会根据管理人员的要求生成所关心的计算机应用的各种统计报表，从而可以对内部人员计算机的使用情况进行评估，例如查询网站访问记录、应用程序记录、文件使用记录、历史屏幕快照记录等。系统提供了功能强大的报表功能，报表格式支持WORD、PDF、HTML、TXT、EXCEL、XML等，预定义了多种报表模板，同时支持用户自定义报表模板。报表类型包括上网行为统计、网站访问统计、资产信息报告、漏洞信息报告、补丁安装信息报告等。基于策略优先级的用户行为管理功能系统提供了策略优先级的管理功能，管理员可以设置不同级别的策略，各种策略可以按照优先级进行排序，当策略间发生冲突时，高优先级的策略可以覆盖低优先级的策略。基于场景的管理策略系统提供了基于场景的安全管理策略，管理员可以设置不同的场景，如根据工作时间和休息时间设定不同的策略，在工作时间设定的策略在休息时间不生效，休息时间场景的策略在工作时间亦不生效。对于违反策略的客户端操作，可以以多种方式触发报警，通知管理员进行处理，例如按文件名、资产类型等信息触发警报。415补丁分发管理补丁分发管理主要完成客户端的补丁检测和安装，强化客户端自身健壮性。允许管理员自定义软件分发，完成用户自由系统的补丁管理。可以远程进行软件分发。可以深入结合对客户端防病毒程序安装和运行情况的检测，为安全接入管理系统提供授权认证凭据。网络漏洞扫描提供网络扫描与主机扫描两种模式，内置NESSUS扫描引擎，也可与市场上主流漏洞扫描设备进行联动。扫描完成后可以根据扫描结果自动对系统漏洞下发补丁并报警。补丁分发客户端集成本机扫描功能。通过进行本机扫描，可以根据终端上存在的安全漏洞，分析到对应的补丁，并下发至终端进行安装。分发支持强制安装和通知安装两种方式，安装支持静默安装和非静默安装两种方式，新增的补丁下载器功能，提供补丁高效下载。补丁完整性和兼容性测试无忧在线终端与内网安全管理系统可以利用补丁的数字签名等信息验证补丁来源的可靠性和完整性。可以挑选网络中典型应用的主机进行补丁兼容性测试，在确认补丁无兼容性问题后再进行全网分发。补丁增量更新导入无忧在线终端与内网安全管理系统可以检查服务器上的补丁信息是否是最新的，如果不是最新的，能够自动分析出来和最新补丁的差异，并将差异部分下载和导入，实现补丁的增量更新。自定义补丁管理无忧在线终端与内网安全管理系统允许添加自定义补丁文件，并对添加的自定义补丁文件进行管理，自定义补丁的管理支持添加、删除、查询，信息修改等操作。自动补丁分发策略制定管理无忧在线终端与内网安全管理系统可以设置自动补丁分发策略，实现对终端补丁的自动分发管理。无忧在线终端与内网安全管理系统可以按照终端缺少补丁的风险级别，分别制定不同的分发和安装策略。管理员可以对现有的进行更改。点对点文件传输无忧在线终端与内网安全管理系统能够通过服务器的调配，实现点对点（P2P）的文件传输。点对点的文件传输支持补丁分发和软件分发等各种文件传输过程，利用断点续传特性，防止大规模补丁分发时占用过多网络带宽，影响正常业务使用自定义补丁分发和软件分发无忧在线终端与内网安全管理系统允许在系统中添加自定义补丁或者自定义软件，并下发至客户端。下发的文件类型可以支持任意格式文件。对于可执行程序，系统能够自动执行，对于非可执行类文件，系统能够自动使用关联程序打开。416终端资产管理硬件资产统计可以自动收集分析终端计算机的物理内存、处理器类型、处理器速度、处理器个数、数学协处理器、总线类型等各种计算机硬件信息。系统可以通过组合查询，报告硬件的各种，查询可以基于硬件、存储容量等多种关键字进行。软件资产统计无忧在线终端与内网安全管理系统可以自动收集分析终端计算机安装的软件信息，并通过多种条件进行查询和统计。硬件变化审计可以获取终端硬件的配置信息，能够监测其变化，对于硬件变化能够记录日志并根据策略产生系统报警信息。软件变化审计可以获取终端软件的安装情况，能够监测其变化，对于软件的添加删除等变化能够记录日志并根据策略产生系统报警信息。资产变更处理无忧在线终端与内网安全管理系统可以自动监测系统软硬件资产的变动，记录日志并可以产生报警，同时可以根据策略自主采用响应措施，防止资产变更给客户端或者网络带来更大的危害。417上网行为管理非法外联监控主要解决发现和管理用户非法自行建立通路连接非授权网络的行为。通过非法外联监控的管理，可以防止用户访问非信任网络资源，并防止由于访问非信任网络资源而引入安全风险或者导致信息泄密。终端非法外联行为监控可以发现终端试图访问非授信网络资源的行为，如试图与没有通过系统授权许可的终端进行通信，自行试图通过拨号连接互联网等行为。对于发现的非法外联行为，可以记录日志并产生报警信息。终端非法外联行为管理可以禁止终端与没有通过系统授权许可的终端进行通信，禁止拨号上网行为。上网行为管理系统能够通过IP地址、URL地址、域名和端口等多种方式制定不同的管理策略，管理客户端的上网行为，并可以根据客户端的违规情况，对客户端进行桌面消息通知、锁定计算机、断网和向服务器发送邮件等控制。网络连接与流量管理无忧在线终端与内网安全管理系统能够监控网络接口的连接状态，可以实时监控客户端的网络流量状态并进行限速，对于在单位时间内超出流量阀值的终端，可以自动对其进行断网等限制措施，防止其过度占用网络带宽。418报警控制台无忧在线终端与内网安全管理系统支持策略的自动报警与响应，所有策略均可设置报警与响应，方式包括服务器报警（从蓝色报警到红色报警的四级报警）、客户端消息提示、锁定终端计算机、弹出指定URL、断网等多种操作。无忧在线终端与内网安全管理系统在设定断网响应时，可设定修复服务器地址，多个地址以分号区隔。指定的地址不被断网限制，仍可与客户端连通。同时，断网操作支持设定一个时间段，超过此时间段后，断网失效，客户端网络恢复正常。不填写时间段则永久断网，直到管理员手工恢复。无忧在线终端与内网安全管理系统的报警控制台策略均可设置接受所有的报警信息，可设置报警等级（从蓝色报警到红色报警的四级报警），告警级别可按照声音、邮件、短信、弹出窗口等多种方式进行报警响应。419产品联动防护无忧在线终端与内网安全管理系统主要由局域网内及远程终端准入控制解决方案、入侵行为管理解决方案、上网行为管理解决方案、身份实名制管理解决方案组成。系统采用P2DR安全机制，结合产品整体的联动防护，可进行安全策略的统一制定、统一分发、统一响应，实现“一次设定、自动运行”的低应用成本、可靠的管理目标，从而进一步提升内网安全。与防火墙产品联动可实现终端的准入控制与IDS/IPS产品联动可实现入侵行为的阻断与SAG产品联动可实现远程用户的准入控制和身份的策略管理五、终端与内网安全管理系统功效51整体功效无忧在线终端与内网安全管理系统采用目前先进可靠的P2DR安全机制。在整体的安全策略POLICY的控制和指导下，综合运用防护工具PROTECTION（如防火墙、加密机、防病毒等手段）的同时，利用检测工具DETECTION（如隐患扫描、入侵检测等）了解和评估系统的安全状态，通过适当的安全响应RESPONSE将系统调整到“最安全”和“风险最低”的状态。52文件监控与审计521杜绝文件操作不留痕迹现象A详细记录在某个时间对某个文件进行的某些操作记录文件操作类型包括创建、打印、访问、复制、改名、恢复、删除、移动等WINDOWS中文件操作的所有类型。B记录文件操作时的屏幕针对每个文件的操作，详细记录该操作的屏幕，方便进行文件查阅。522杜绝信息拷贝的无管理状态A通过对设备的开关管理，对信息传输途径进行统一管理，包括的设备有相关通讯设备（软驱、光驱、刻录机、磁带驱动器、USB存储设备）、存储设备（串口、并口、调制解调器、USB、SCSI、1394总线、红外通讯设备、以及笔记本电脑使用的PCMCIA卡接口）。B实施网络保护，将公司的电脑置于保护之中，防止外来电脑侵入公司网络，有效保护终端电脑的共享文件夹和系统安全。53网络行政监管531屏幕监控通过对员工的操作屏幕进行及时监控和录像，防止员工违规操作公司的电脑。532应用程序报告及应用程序日志通过对员工操作的应用程序进行统计分析，第一、可以查看到每个员工使用计算机的应用程序状况，方便系统维护；第二、可以客观的评估每个员工的工作效率。533浏览网站报告及浏览网站日志通过对员工浏览网站的情况，可以及时了解到企业员工使用互联网的情况，并为网络浏览管理提供依据。534应用程序禁用通过对员工的应用程序管理，防止员工利用上班时间做与工作不相干的工作，停止一些WINDOWS进程，可以有效的防止病毒入侵，提高终端的工作效率。54网络辅助管理541远程桌面管理IT主管可以通过远程控制来进行远端电脑的维护管理，提高IT部门的工作效率，让IT部门上升到企业的核心管理层，为公司提供更高层次的信息化服务。542远程控制负责行政监管和安全管理的部门可以通过消息管理器向远端违规员工发送信息，让违规员工停止行为，也可以采取更加严厉的措施，对远端电脑进行锁定、注销、关闭、重新启动等操作。543远端计算机事件日志管理详细记录远端计算机的所有操作日志信息，包括系统事件、应用程序事件、浏览网页事件、控制事件、硬件事件、软件事件、启动程序事件、窗口事件。方便企业信息部门对远端电脑的维护，大大缩短远端电脑维修周期，提高信息化部门的工作效率。544远程计算机管理通过对远端计算机的读写设备的开关管理，避免员工带入病毒程序，感染内网，造成网络瘫痪。同时本产品还提供了远程更改客户端计算机名、工作组名、IP地址和修改用户帐号密码等多项功能，使管理员更便捷的维护客户端。对于违规操作的客户端计算机，管理员可以强制锁定用户计算机，即使处于离线状态客户端仍然被锁定。545信息化资产管理通过对远端电脑的硬件、软件资产及时获取，为IT资产管理提供方便，避免了传统IT资产统计信息不准确的现象，按资产类型筛选，使资产信息浏览更加清晰，同时，实现了及时的IT资产变化报警管理。55网络客户机安全维护551补丁分发管理通过对所有客户机进行主机分析，结合资产管理的内容，准确判断客户机的打补丁状况，自动将相应的补丁文件下发给客户机并进行安装，弥补客户机的安全漏洞，保证客户机自身的安全性。系统也允许管理员手工指定一批补丁文件进行下发。对于系统配置漏洞，可以通过自定义脚本加以解决。同时，可以实现辅助软件分发，自动将指定的软件分发到网络的所有客户机上。为增强补丁管理能力，客户端计算机启动之后将定期上报补丁信息，通过控制台可以及时了解到全网客户端计算机的补丁安装情况，为管理员提供行动依据。为了提高管理和传输效率在服务器级联部署时支持补丁实体文件同步更新，并添加了定时扫描功能，及时了解补订分发情况。补丁分发策略中添加了开机扫描（130）分钟的设置。避免因补丁安装造成客户端性能瓶颈。552网络漏洞扫描通过网络漏洞扫描，对网络整体安全风险级别进行判断，并指出网络中的脆弱点，方便管理员有针对性地进行问题的解决。56安全接入管理主机在线监测与授权认证无忧在线终端与内网安全管理系统可以通过监听和主动探测等方式检测系统中所有在线的主机，并判别在线主机是否是经过系统授权认证的信任主机。还可以通过监测在线主机是否安装客户端代理程序，并结合客户端代理报告的主机补丁安装情况，防病毒程序安装和工作情况等信息，进行网络的授权认证，只允许通过授权认证的主机使用网络资源，主机在线查询功能增加了按干扰机IP地址查询的选项。561非法主机网络阻断对于探测到的非法主机，系统可以主动阻止其访问任何网络资源，从而保证非法主机不对网络产生影响，使其无法有意或无意的对网络攻击或者试图窃密。562网络白名单策略管理无忧在线终端与内网安全管理系统可以自动生成默认的合法主机列表，根据是否安装安全管理客户端或者是否执行安全策略，来过滤合法主机列表，快速实现合法主机列表的生成，降低管理员的工作量。同时允许管理员设置白名单例外列表，允许例外列表的主机不安装客户端但是仍然授予网络使用权限，并根据需要授予可以和其他授权认证过的主机通信的权限或者允许和任意主机通信的权限。563IP和MAC绑定管理可以将终端的IP和MAC地址绑定，禁止用户修改自身的IP和MAC地址，并在用户试图更改IP和MAC地址时，产生相应的报警信息。57策略管理571基于策略优先级的用户行为管理功能提供了基于策略优先级的用户行为管理功能，可以按照策略的优先级进行排序，当策略间发生冲突时，高优先级的策略可以覆盖低优先级的策略，避免了由于策略冲突导致管理失效的问题，为多级管理提供有力支持，同时增加了级联服务器IP地址校验能力，增强复杂网络环境部署时的安全性，而且当删除下级服务器同时删除相关的级联信息，提高服务器维护效率。572基于网络场景的管理策略通过定义不同的时间场景、网络场景结合控制策略和安全域规则可以对全网精确控制，操作更灵活。网络场景策略指计算机处于不同网络环境下应应用不同的安全策略。内容包括网络地址范围（网段范围）、在/离线状态等。计算机处于某网络场景处，即应用此场景的策略。不同网络范围（网段）预先通过IP与端口绑定、防火墙、安全接入等功能将网络范围内计算机可获得的IP地址进行规范；网络场景策略为用户提供没有统一账户管理情况下的安全域管理，可方便地对同一网段内所有计算机运用相同策略。573基于用户帐户的策略管理将所有相同安全级别的客户端计算机归入同一虚拟的安全域中，并应用相同的安全策略对其进行管理，根据计算机上登录的用户决定所属的安全域，并应用其身份确定的权限应用相关策略，对计算机进行管理，提供用户的身份鉴别机制，并能根据不同的用户身份使用不同的安全策略对网络进行更细致的安全管理，当终端上有多个操作系统帐户时，可以针对不同帐户进行策略的配置和日志记录、查询等，操作更灵活。574基于在线、离线状态的策略管理对于外设和端口管理，无忧在线终端与内网安全管理系统允许管理员分别设置在线和离线两种管理策略。在线策略在客户端和服务器能够通信时生效，离线策略在客户端无法和服务器通信时生效。两种策略的设置可以不同，并且策略的切换和生效是自动完成的，无须管理员和用户参与。通过区分在线/离线两种策略，可以保证笔记本等移动设备使用的灵活性，适应办公环境和非办公环境对终端计算机安全策略要求的不同。575基于分组的策略管理为了增强策略管理定制的灵活性，无忧在线终端与内网安全管理系统允许用户按IP地址段进行分组，非本网段的客户端无法加入分组。同时又可以按客户端计算机的逻辑关系进行自定义分组，客户端计算机可以被加入多个分组，继承每个分组的策略，这样可以更加灵活的进行策略指派，集中的信息显示在线客户端和离线客户端个数显示，方便使用者了解客户端连接状态。六、终端与内网安全管理系统特色61全网产品联动防护无忧在线终端与内网安全管理系统主要由局域网内及远程终端准入控制解决方案、入侵行为管理解决方案、上网行为管理解决方案、身份实名制管理解决方案组成。系统采用P2DR安全机制，结合产品整体的联动防护，可进行安全策略的统一制定、统一分发、统一响应，实现“一次设定、自动运行”的低应用成本、可靠的管理目标，从而进一步提升内网安全。与防火墙产品联动可实现终端的准