Broadview DCC 產(chǎn)品白皮書

1、broadview dccbroadview dcc產(chǎn)品白皮書產(chǎn)品白皮書2008.03廣通信達科技broadview dcc 產(chǎn)品白皮書聲明聲明本文中的所有容及格式的屬于廣通信達科技 （以下簡稱廣通信達）所有，未經(jīng)廣通信達許可，任何人不得仿制、拷貝、轉(zhuǎn)譯或任意引用。所有不得翻印 2008 廣通信達商標聲明商標聲明本文中所談及的產(chǎn)品名稱僅做識別之用。 手冊中涉及的其他公司的注冊商標或是屬各商標注冊人所有，恕不逐一列明。broada 廣通信達信息反饋信息反饋.broada.目目錄錄1.定義 12.背景 12.1.當前計算機網(wǎng)絡安全形勢12.2.終端的安全管理和運維支持問題突現(xiàn)12.3.企業(yè)網(wǎng)絡桌面

2、計算機安全現(xiàn)狀12.4.企業(yè)在桌面計算機管理方面的其它需要22.5.建設桌面終端安全管理系統(tǒng)的意義22.6.信息安全的新趨勢是網(wǎng)絡防護與端點防護并重23.broadview dcc 產(chǎn)品簡介 34.功能模塊說明 55.產(chǎn)品部署 86.安裝要求 91.1. 定義定義broadview：broadview 是廣通信達科技產(chǎn)品系列的名稱，已申請注冊商標。目前版本為 3.0，全名為 broadview it 運維管理平臺。dcc：為 broadview 產(chǎn)品系列中的桌面產(chǎn)品模塊，為desktop control center的縮寫，中文名稱為桌面監(jiān)控中心。2.2. 背景背景2.1.2.1. 當前計算機

3、網(wǎng)絡安全形勢當前計算機網(wǎng)絡安全形勢隨著信息網(wǎng)絡的迅速發(fā)展,在當今的信息時代，信息技術已經(jīng)徹底改變我們的生活和工作方式，也改變現(xiàn)行企事業(yè)單位的管理模式。 作為信息的管理部門，必須考慮當前技術的發(fā)展給我們的工作所帶來的利益和威脅。 如何利用信息網(wǎng)絡進行安全的通信， 同時保護計算機自身信息的安全性，成為當前網(wǎng)絡安全和信息安全迫在眉睫的問題。針對日益嚴重的部信息泄漏問題， fbi 對 484 家公司調(diào)查顯示： 面對來自于公司部的安全威脅，85的安全損失是由企業(yè)部原因造成的。 對于很多國企業(yè)來說，這可能有點聳人聽聞。但是，他們肯定遇到過類似的事情,由于某一員工誤操作造成公司服務器上重要文檔丟失； 由于沒

4、有定義每位員工在系統(tǒng)的訪問權限， 使本該由一定級別的人員才能掌握的業(yè)務秘密泄露給競爭對手對于這些來自公司部的安全問題， 不是靠單純安裝殺毒軟件或防火墻就能解決的。目前， 90%以上的端終用戶使用的是windows2000,xp或以上的操作系統(tǒng)， 而這幾種系統(tǒng)的安全漏洞又非常多， 微軟公司會通過定期發(fā)布安全補丁的方式來彌補這些漏洞， 但由于端終用戶缺乏相關知識， 導致補丁安裝的不完全， 不及時， 這就會嚴重影響終端計算機的安全，從而導致更嚴重的整個網(wǎng)安全問題。2.2.2.2. 終端的安全管理和運維支持問題突現(xiàn)終端的安全管理和運維支持問題突現(xiàn)據(jù) gartner group 調(diào)查表明， 五年 pc

5、及服務器的軟硬件采購成本僅占所有成本的12，17是管理監(jiān)督的花費，14花在技術支持上，57則是花在用戶端操作。因此，降低在管理監(jiān)督、技術支持和用戶端操作上的運營維護，是有效降低企業(yè)運營維護成本的重點。現(xiàn)實情況也的確如此，為了滿足不斷增長的商務拓展需求，企業(yè)必須迅速提高生產(chǎn)力，更多的 it 設備和應用被投入到企業(yè)環(huán)境中， 使得企業(yè) it 基礎架構管理變的日趨復雜。 研究表明，超過50%的 it 預算都花費在持續(xù)不斷的部署，配置，更新，移植和管理it 資產(chǎn)。為了有效的控制成本，企業(yè)正在購買系統(tǒng)管理軟件來提高it 資產(chǎn)的可靠性和有效性。然后，大多數(shù)系統(tǒng)管理軟件廠商僅僅關注 it 管理的一兩個方面。他

6、們只能解決某一方面的問題，而企業(yè)的 it 管理人員必須決定如何使得這些軟件與其他的軟件和系統(tǒng)協(xié)同工作。2.3.2.3. 企業(yè)網(wǎng)絡桌面計算機安全現(xiàn)狀企業(yè)網(wǎng)絡桌面計算機安全現(xiàn)狀尤其是型企事業(yè)單位、 政府辦公網(wǎng)絡， 桌面計算機數(shù)量眾多， 管理難度很大。 感染病毒、被安裝木馬 （像目前最嚴重的灰鴿子） ， 有些不明程序不斷搶占ip 地址造成其他機器無常工作，還有部分員工使用 bt、電驢下載工具時有發(fā)生。由于難于發(fā)現(xiàn)有問題的電腦，難以對這些危險電腦進行定位， 一旦問題發(fā)生，往往故障排查時間非常長。 如果同時有多臺計算機感染網(wǎng)絡病毒或者進行非法操作， 非常容易導致網(wǎng)絡阻塞， 從而致使其他正常網(wǎng)絡業(yè)務無法使

7、用。沒有相關的技術與管理手段，企業(yè)許多管理規(guī)定也難以執(zhí)行。比如：不準上班時間聊qq，不準安裝 bt、電驢等下載工具，不準玩網(wǎng)絡游戲，不準私自修改電腦安全設置，不準通過 ie 代理私自瀏覽與工作無關的，需要設置操作系統(tǒng)密碼，必須安裝防病毒軟件并更新到最新病毒庫等等。 這些行為違反了單位的信息化管理規(guī)定， 也極影響了企業(yè)部網(wǎng)絡的安全性。2.4.2.4. 企業(yè)在桌面計算機管理方面的其它需要企業(yè)在桌面計算機管理方面的其它需要隨著信息化的不斷發(fā)展，現(xiàn)在企業(yè)桌面終端數(shù)量非常多，地理位置也很分散，給it 管理員日常的管理維護帶來了很大困難。所以it 管理層面臨著重重實際問題難以對計算機的資產(chǎn)、配置進行統(tǒng)計、

8、跟蹤，防止資產(chǎn)流失；如何防止濫用公司電腦，提高生產(chǎn)力？由于微軟補丁、漏洞、其他應用程序升級等問題頻繁，日常維護工作量極大；如何對網(wǎng)絡終端進行有效工作狀態(tài)監(jiān)控，監(jiān)督使用人員規(guī)操作電腦。計算機使用人員技能不一， 有些很小的問題都需要維護人員現(xiàn)場解決， 降低了維護的效率；無法對計算機進行批量維護，像安裝軟件、打補丁、設置計算機參數(shù)；如何追查意外事件，并做有效審計？如何進行外來筆記本電腦以及其它移動設備的隨意接入控制。2.5.2.5. 建設桌面終端安全管理系統(tǒng)的意義建設桌面終端安全管理系統(tǒng)的意義建立桌面終端安全管理系統(tǒng)的意義在于，解決大批量的桌面安全管理問題，提升it 服務部門的工作效率，解決大部分手

9、工操作工作，對員工行為操作做審計并規(guī)。加固桌面終端的安全性， 通過策略部署， 可以保障所有桌面終端統(tǒng)一執(zhí)行安全防護策略，及時更新桌面終端的安全補丁，減少被攻擊的可能。實時評估桌面計算機的安全狀態(tài)， 是否符合企業(yè)信息管理規(guī)定。 評估桌面終端網(wǎng)絡流量是否異常？評估是否做了非法操作 （像撥號上網(wǎng)、安裝非法軟件，運行非法程序，瀏覽非法等等） ，評估計算機用戶登錄密碼是否合理等等?？焖俨渴饝密浖壈?，批量修改網(wǎng)絡參數(shù)；防止外來電腦非法接入，避免網(wǎng)絡安全受到破壞或信息泄密；輕松了解計算機目前資產(chǎn)狀態(tài)，方便管理與控制計算機資產(chǎn)。2.6.2.6. 信息安全的新趨勢是網(wǎng)絡防護與端點防護并重信息安全的新趨勢是

10、網(wǎng)絡防護與端點防護并重以往提起信息安全，人們更多地把注意力集中在防火墻、防病毒、 ids（入侵檢測） 、網(wǎng)絡互聯(lián)設備即對交換機、 集線器和路由器等的管理， 卻忽略了對網(wǎng)絡環(huán)境中的計算單元服務器、臺式機乃至便攜機的管理。正確、全面的認識終端桌面管理的發(fā)展趨勢和技術特點，是 it 研發(fā)廠商面臨的發(fā)展抉擇， 同時也是企、 事業(yè) it 管理人員和高層決策人員在進行終端桌面安全防護部署時必須考慮的議題。終端桌面安全管理技術的興起是伴隨著網(wǎng)絡管理事務密集度的增加， 作為網(wǎng)絡管理技術的邊緣產(chǎn)物而衍生的， 它同傳統(tǒng)安全防御體系的缺陷相關聯(lián)， 是傳統(tǒng)網(wǎng)絡安全防體系的補充，也是未來網(wǎng)絡安全防體系重要的組成部分。

11、因此， 終端桌面安全管理技術無論在現(xiàn)在還是未來都應當歸入基礎網(wǎng)絡安全產(chǎn)品體系之列。近兩年的安全防御調(diào)查也表明， 政府、 企業(yè)單位中超過 80%的管理和安全問題來自終端，計算機終端廣泛涉及每個用戶，由于其分散性、不被重視、安全手段缺乏的特點， 已成為信息安全體系的薄弱環(huán)節(jié)。 因此，網(wǎng)絡安全呈現(xiàn)出了新的發(fā)展趨勢， 安全戰(zhàn)場已經(jīng)逐步由核心與主干的防護，轉(zhuǎn)向網(wǎng)絡邊緣的每一個終端。因此，采用聯(lián)網(wǎng)桌面安全管理平臺是大勢所趨！因此，采用聯(lián)網(wǎng)桌面安全管理平臺是大勢所趨！3.3. broadview dccbroadview dcc 產(chǎn)品簡介產(chǎn)品簡介broadview dcc 專為大型企事業(yè)單位、政府解決數(shù)量眾

12、多的桌面電腦安全管理維護問題而設計， 可以很好地解決系統(tǒng)管理員面臨眾多問題， 解決數(shù)量眾多的桌面電腦批量安全管理，行為審計和遠程維護等難題。broadview dcc 在設計時參考了國際上信息安全管理最佳實踐 bs7799 規(guī)。整體系統(tǒng)架構圖如下：具體來說 broadview dcc 采用 c/s、b/s 混合架構，通過集中式 web 管理平臺，主要提供了以下多方面的管理功能：it 資產(chǎn)綜合管理，合理易用 自動發(fā)現(xiàn)網(wǎng)絡上所有接入設備； 桌面軟、硬件資產(chǎn)信息全面收集； 及時跟蹤各項資產(chǎn)變動信息并提供預警信息； 全線設備信息維護記錄； 從設備采購、日常使用的維護一直到設備報廢提供全周期管理； 提供

13、詳細全面的資產(chǎn)報表；行為審計，規(guī)員工日常操作； 支持桌面終端屏幕行為審計； 支持員工日常文檔操作審計； 支持網(wǎng)絡瀏覽記錄行為審計； 提供對員工日常運行程序的審計； 對員工的日常、即時消息的容做監(jiān)控與審計； 支持對打印文件的審計。補丁綜合管理 采用底層技術協(xié)議，桌面電腦及時自動檢測補丁漏洞； 后臺服務直接下載企業(yè)所需補?。?支持多種補丁安裝策略模式； 支持微軟全系列補丁類型，包括 windows 全系列、office 全系列、sqlserver全系列及其他所有微軟提供的補丁； 提供詳細的未安裝補丁機器列表；桌面安全評估及終端加固 自動發(fā)現(xiàn)存在安全隱患的終端設備； 可提供終端網(wǎng)絡流量異常評估； 支

14、持用戶密碼強度檢查、guest 檢查、屏幕保護設置檢查； 支持各種共享檢查、支持禁止修改ip 地址；終端安全接入控制，防止非法終端接入 用戶可以自行定義多種準備控制策略； 采用的假想式程序安排的基本隔離方法可以在最短的時間有效地阻止沒有被認證的用戶。不受電閘802.1x 或 dynamic vlan 的限制，并適用于任何網(wǎng)絡環(huán)境 不符合特定程序（如未安裝殺病毒軟件，dms 程序等） ，不符合安全補丁的用戶的操作將被阻止軟件分發(fā)，功能強大、快速部署 不影響客戶端用戶資源負擔，確保軟件正常發(fā)放與安裝； 支持有策略分發(fā)圍，支持大規(guī)模數(shù)量的終端； 支持自動安裝、手工安裝，支持多種打包工具和打包格式；非

15、法操作監(jiān)控管理，讓管理規(guī)定令行禁止 檢查桌面終端是否安裝非法軟件； 支持對 usb 設備、usb 存儲設備、modem 撥號、無線通訊、 紅外通訊、藍牙通訊、軟驅(qū)、光驅(qū)等非法操作的監(jiān)控、審計和禁止使用； 支持離線管理，桌面終端在離開網(wǎng)絡之后安全策略仍然有效； 可以制定黑白進程，規(guī)企業(yè)程序應用； 支持控制企業(yè)網(wǎng)絡瀏覽控制，制定黑白，規(guī)定企業(yè)上網(wǎng)圍；遠程維護與協(xié)助，不到現(xiàn)場、勝過現(xiàn)場 實時監(jiān)控客戶端畫面； 不用到現(xiàn)場即可了解遠程桌面發(fā)生的狀況； 可以選擇遠程控制或者只監(jiān)視桌面，滿足各種場合的需要； 可以同時支持多個桌面實時跟蹤； 可以與遠程客戶端發(fā)送消息通知；強大的事件預警平臺 根據(jù)桌面審計信息數(shù)

16、據(jù)統(tǒng)計分類 報警結果處置管理，支持email、消息等方式 多種可擴展策略定制預警情況；豐富的報表輸出功能對于資產(chǎn)管理、行為審計等結果可以輸出報表輸出報表支持導出為.xls 文件可自動輸出排序分析類報表，top n 類的報表此外，broadview dcc 支持多級級聯(lián)管理模式，各種安全管理策略可以按照不同模式進行應用圍部署。4.4. 功能模塊說明功能模塊說明項目項目基本要求基本要求功能項功能項系統(tǒng)架構和整體安全性多級級聯(lián)的網(wǎng)絡結構功能說明功能說明基于 b/s、c/s 混合構架，具有較好的系統(tǒng)安全性，管理平臺采用 web 方式。采用部署區(qū)域服務器的模式并且配置上級服務器 ip 地址，策略下發(fā)，采

17、集數(shù)據(jù)上報的方式實現(xiàn)多級級聯(lián)。usb 的控制、 進程黑白、 客戶端防刪除等控制策略在安全模式下正常運行?？啥x不同的功能權限的管理角色、同時定義操作員可管理的組織圍，而且可以限制管理員在指定的 ip 圍登錄平臺。要求客戶端占用 cpu 正常情況下3；存占用在 5m 以能夠支持客戶端不在聯(lián)網(wǎng)狀態(tài)下正常管理，并且保存操作記錄行為；備注備注安全模式下正常運行系統(tǒng)管理員的安全性客戶端對 cpu、memory 的資源占用離線管理模式基礎平臺知識產(chǎn)權風險性要求提供的基礎服務平臺不存在任何的知識產(chǎn)權的風險性； web 服務器、 數(shù)據(jù)庫等等方面；策略管理要求外設管理制定策略可繼承，方便部署；也同時可以指定某個

18、組可某臺機器個性策略部署；對所有外部設備能夠控制其使用，包含 usb設備/usb 存儲設備/軟驅(qū)/光驅(qū)/串口/并口/調(diào)制解調(diào)器等等；當禁用 usb 存儲設備時，像 usb 打印機、 usb-key 可以照常使用。 外設管理策略在安全模式下同樣生效；項目項目功能模塊功能模塊功能項功能項資產(chǎn)管理功能說明功能說明能夠自動收集所有客戶機的軟硬件詳細信息，并且導出相應的報表。能夠記錄各計算機的 ip 地址、計算機名、mac 地址、 網(wǎng)卡型號和生產(chǎn)廠商、 計算機所在域、操作系統(tǒng)、主要硬、軟件信息、物理位置，it 資產(chǎn)從采購時輸入一直到接入網(wǎng)絡、日常維修、一直到報廢。能夠按照部門、ip 地址圍、mac 地址

19、、設備類型、操作系統(tǒng)類別、操作系統(tǒng)語言、資產(chǎn)各種配置、設備在線狀態(tài)等方式分類。要求軟件包含系統(tǒng)補丁、應用程序、啟動程序項等類型。能夠進行遠程桌面查看，方便看到對方的桌面操作界面；能夠遠程上去控制對方的桌面操作，輔導對方行為；能夠在需要遠程協(xié)助時，客戶端才喚醒遠程服務，否則遠程服務不啟動；能夠做到遠程協(xié)助的服務采用動態(tài)密碼方式做校驗，只能通過管理平臺登錄才有效；客戶端用戶登錄事件、關機事件、打開窗口事件、操作文檔事件等等一系列的操作事件日志都需要記錄與查詢。備注備注遠程協(xié)助事件日志審計違規(guī)外聯(lián)管理當部署了違規(guī)外聯(lián)策略的客戶機或者群組在訪問了在限制之外的網(wǎng)絡時，系統(tǒng)會記錄外聯(lián)時間與目標地址，操作用

20、戶等等信息，同時會提供報警及數(shù)據(jù)查詢等功能。當有違規(guī)外聯(lián)現(xiàn)象發(fā)生時處理操作，可以提示、斷線、報警等操作。報警我們可以提供窗口報警、 email 報警、 報警規(guī)則的設置、部署。能夠遠程修改各客戶端的ip 地址；能夠控制客戶端無法擅自修改自己的ip 地址。能夠按全天或指定的時間對指定的程序進行禁止，或者采取反選，對指定的程序外的程序進行禁止；能夠防止客戶端通過修改文件名和目錄的方式運行非法程序。 ；能夠按全天或指定的時間對指定的域名進行禁止，或者采取反選，對指定的域名外的進行禁止；能夠?qū)W(wǎng)絡中的所有客戶端軟件端口進行統(tǒng)一的管理和控制；能夠統(tǒng)一控制客戶端的本地軟件端口和遠程軟件端口的開關。報警信息模

21、塊ip地址綜合管理黑白進程管理黑白管理端口統(tǒng)一管理項目項目功能項功能項功能說明功能說明能夠?qū)⑽④洶踩a丁統(tǒng)一配置并分發(fā)到網(wǎng)絡中的所有客戶端上，并在客戶端上自動運行補丁安裝程序；能夠支持微軟全系列補丁類型， 包括windows全系列、 office全系列、sqlserver全系列及其他所有微軟提供的補丁；能夠人工審核的流程，對一些補丁不需要安裝的可以采用人工審核；能夠提供所有機器沒有安裝補丁的分布列表；支持服務器在離線狀態(tài)下更新補丁庫。要求能夠查看和管理各客戶端當前和曾經(jīng)運行的進程；能夠遠程關閉實時進程；能夠查看客戶端開放的所有實時共享；能夠取消相應的共享信息；要求能夠遠程修改客戶端的主機名；通過web平臺就可以遠程修改客戶機的網(wǎng)絡ip參數(shù)，包括dns，網(wǎng)關等。能夠支持可執(zhí)行程序、 msi安裝包或者文檔數(shù)據(jù)文件自動下發(fā)與安裝；能夠支持指定組圍、指定時間進行安裝、能夠指定客戶端安裝目錄；并且支持其他系統(tǒng)補丁的分發(fā)安裝，提供打包工具，能夠判斷檢測指定程序是否在運行，如果運行則提示系統(tǒng)需要升級提供一個提示對話框如果按確認則將指定程序退出開始安裝，如果選擇取消則不安裝，如果沒運行則馬上開始安裝。能夠提供帶參數(shù)運行程序包；能夠指定執(zhí)行安裝之后是否重啟、關閉機器；能夠查詢軟件分發(fā)的詳情與歷史情況；輸入網(wǎng)絡掃描圍，可以將全網(wǎng)的pc情況列出來，ip、mac、計算機名、是否開機