盈高多維終端安全安全管理平臺(tái)產(chǎn)品說明書

1、PAGE2MSEP 多維終端安全管理平臺(tái)產(chǎn)品說明杭州盈高科技有限公司杭州市教工路552號(hào)杭州國際服務(wù)外包示范基地301室電話：+86571-88271902傳真：+86571-56839385MSEP多維終端安全管理平臺(tái)產(chǎn)品說明版權(quán)聲明本文中的所有內(nèi)容及格式的版權(quán)屬于杭州盈高科技有限公司（以下簡(jiǎn)稱盈高科技）所有，未經(jīng)盈高科技許可，任何人不得仿制、拷貝、轉(zhuǎn)譯或任意引用。版權(quán)所有 不得翻印 2007盈高科技公司 商標(biāo)聲明本文中所談及的產(chǎn)品名稱僅做識(shí)別之用。手冊(cè)中涉及的其他公司的注冊(cè)商標(biāo)或是版權(quán)屬各商標(biāo)注冊(cè)人所有，恕不逐一列明。盈高多維終端安全管理平臺(tái)信息反饋盈高多維終端安全管理平臺(tái)產(chǎn)品說明書 PA

2、GE ii目錄 TOC o 1-3 h z u HYPERLINK l _Toc229884970 一 產(chǎn)品的安全策略 PAGEREF _Toc229884970 h 3 HYPERLINK l _Toc229884971 二、多維終端安全管理平臺(tái)的特色 PAGEREF _Toc229884971 h 4 HYPERLINK l _Toc229884972 實(shí)時(shí)風(fēng)險(xiǎn)展示，隨時(shí)了解狀況 PAGEREF _Toc229884972 h 4 HYPERLINK l _Toc229884973 全面安全檢查，規(guī)避安全漏洞 PAGEREF _Toc229884973 h 4 HYPERLINK l _T

3、oc229884974 多種報(bào)警方式，查詢形象直觀 PAGEREF _Toc229884974 h 5 HYPERLINK l _Toc229884975 缺陷自動(dòng)修復(fù)，減少人工干預(yù) PAGEREF _Toc229884975 h 6 HYPERLINK l _Toc229884976 無任何網(wǎng)絡(luò)改造，避免網(wǎng)絡(luò)影響 PAGEREF _Toc229884976 h 6 HYPERLINK l _Toc229884977 多種部署方式，降低部署成本 PAGEREF _Toc229884977 h 7 HYPERLINK l _Toc229884978 深入系統(tǒng)內(nèi)核，確保終端穩(wěn)定和兼容性 PAGER

4、EF _Toc229884978 h 9 HYPERLINK l _Toc229884979 整體代碼優(yōu)化，減少終端資源消耗 PAGEREF _Toc229884979 h 9 HYPERLINK l _Toc229884980 三、產(chǎn)品的安全目標(biāo)和外部接口說明 PAGEREF _Toc229884980 h 11 HYPERLINK l _Toc229884981 四、產(chǎn)品設(shè)計(jì)原則與架構(gòu) PAGEREF _Toc229884981 h 13 HYPERLINK l _Toc229884982 4.1.整體方案設(shè)計(jì)原則 PAGEREF _Toc229884982 h 13 HYPERLINK

5、l _Toc229884983 4.2.統(tǒng)一的集成化融合管理平臺(tái) PAGEREF _Toc229884983 h 14 HYPERLINK l _Toc229884984 4.3.系統(tǒng)架構(gòu)說明 PAGEREF _Toc229884984 h 15 HYPERLINK l _Toc229884985 五、產(chǎn)品的功能特點(diǎn) PAGEREF _Toc229884985 h 16 HYPERLINK l _Toc229884986 5.1.集合資產(chǎn)配置管理與安全加固管理于一體 PAGEREF _Toc229884986 h 16 HYPERLINK l _Toc229884987 5.2.統(tǒng)一定制、強(qiáng)制

6、執(zhí)行的安全策略管理 PAGEREF _Toc229884987 h 17 HYPERLINK l _Toc229884988 5.3.集中管理的主機(jī)防火墻 PAGEREF _Toc229884988 h 17 HYPERLINK l _Toc229884989 5.4.補(bǔ)丁管理系統(tǒng) PAGEREF _Toc229884989 h 17 HYPERLINK l _Toc229884990 5.5.“主動(dòng)式”安全策略防御體系 PAGEREF _Toc229884990 h 18 HYPERLINK l _Toc229884991 5.6.桌面設(shè)置及運(yùn)維 PAGEREF _Toc229884991

7、h 18 HYPERLINK l _Toc229884992 5.7.殺毒軟件版本檢測(cè) PAGEREF _Toc229884992 h 18 HYPERLINK l _Toc229884993 5.8.全面的資產(chǎn)管理 PAGEREF _Toc229884993 h 18 HYPERLINK l _Toc229884994 5.9.軟件分發(fā)與安裝 PAGEREF _Toc229884994 h 19 HYPERLINK l _Toc229884995 5.10.黑白進(jìn)程管理 PAGEREF _Toc229884995 h 19 HYPERLINK l _Toc229884996 5.11.網(wǎng)站訪

8、問安全控制 PAGEREF _Toc229884996 h 19 HYPERLINK l _Toc229884997 5.12.違規(guī)外聯(lián) PAGEREF _Toc229884997 h 19 HYPERLINK l _Toc229884998 5.13.便捷的遠(yuǎn)程維護(hù) PAGEREF _Toc229884998 h 20 HYPERLINK l _Toc229884999 5.14.強(qiáng)大的外設(shè)監(jiān)控功能 PAGEREF _Toc229884999 h 20 HYPERLINK l _Toc229885000 5.15.安全檢查及加固管理 PAGEREF _Toc229885000 h 20 HY

9、PERLINK l _Toc229885001 5.16.弱口令檢查功能 PAGEREF _Toc229885001 h 22 HYPERLINK l _Toc229885002 5.17.可信移動(dòng)存儲(chǔ)設(shè)備監(jiān)控 PAGEREF _Toc229885002 h 22 HYPERLINK l _Toc229885003 5.18.客戶端資源運(yùn)行管理 PAGEREF _Toc229885003 h 23 HYPERLINK l _Toc229885004 5.19.網(wǎng)絡(luò)流量安全管理 PAGEREF _Toc229885004 h 24 HYPERLINK l _Toc229885005 5.20.反

10、ARP欺騙安全管理 PAGEREF _Toc229885005 h 24 HYPERLINK l _Toc229885006 六、產(chǎn)品系統(tǒng)特點(diǎn) PAGEREF _Toc229885006 h 26 HYPERLINK l _Toc229885007 6.1.友好的用戶WEB界面，易于部署迅速實(shí)施 PAGEREF _Toc229885007 h 26 HYPERLINK l _Toc229885008 6.2.模塊化系統(tǒng)功能，真正提供所需服務(wù) PAGEREF _Toc229885008 h 26 HYPERLINK l _Toc229885009 6.3.具有較高的系統(tǒng)性能 PAGEREF _T

11、oc229885009 h 26 HYPERLINK l _Toc229885010 6.4.實(shí)時(shí)性 PAGEREF _Toc229885010 h 27 HYPERLINK l _Toc229885011 6.5.易用性 PAGEREF _Toc229885011 h 27 HYPERLINK l _Toc229885012 6.6.安全性 PAGEREF _Toc229885012 h 27 HYPERLINK l _Toc229885013 6.7.支持完善、安全的用戶管理與認(rèn)證機(jī)制 PAGEREF _Toc229885013 h 27 HYPERLINK l _Toc229885014

12、 6.8.面向終端用戶的完全透明性 PAGEREF _Toc229885014 h 27 HYPERLINK l _Toc229885015 6.9.基于開源平臺(tái)，無任何知識(shí)產(chǎn)權(quán)風(fēng)險(xiǎn) PAGEREF _Toc229885015 h 28 HYPERLINK l _Toc229885016 七、產(chǎn)品的安全功能相關(guān)的術(shù)語及定義說： PAGEREF _Toc229885016 h 29 盈高多維終端安全管理平臺(tái)產(chǎn)品說明書第 PAGE 30 頁 共 NUMPAGES 32 頁 盈高多維終端安全管理平臺(tái)產(chǎn)品說明書第 PAGE 3 頁 共 NUMPAGES 32 頁一 產(chǎn)品的安全策略隨著網(wǎng)絡(luò)技術(shù)的廣泛應(yīng)用

13、，各種網(wǎng)絡(luò)環(huán)境中的安全問題正威脅著用戶的正常工作，目前邊界安全技術(shù)及產(chǎn)品已非常成熟，從2003-2006年的網(wǎng)絡(luò)安全情況來看，盡管大多數(shù)用戶采用了專門的網(wǎng)絡(luò)通道技術(shù)、物理隔離技術(shù)、安全網(wǎng)段劃分、安全防護(hù)設(shè)施（如防火墻、入侵檢測(cè)、漏洞掃描）等方式保證自己的網(wǎng)絡(luò)安全，但是，對(duì)類似下面的安全問題仍然無法做到真正意義上的解決：如何防范頻繁出現(xiàn)的內(nèi)部攻擊？如何及時(shí)發(fā)現(xiàn)桌面設(shè)備的系統(tǒng)漏洞并最快自動(dòng)分發(fā)補(bǔ)丁；如何規(guī)范、方便、有效、安全地管理移動(dòng)存儲(chǔ)設(shè)備的日常使用，如何確保沒有登記的移動(dòng)存儲(chǔ)設(shè)備無法在內(nèi)部網(wǎng)絡(luò)正常使用？如何防范用戶繞過防火墻等邊界防護(hù)設(shè)施，直接聯(lián)入外網(wǎng)帶來的嚴(yán)重安全隱患的行為？ 如何確保需控制

14、的崗位嚴(yán)格執(zhí)行上班時(shí)間不允許炒股、玩游戲、聊天等管理制度？如何為每臺(tái)終端設(shè)備加固安全策略，減少日常用戶使用的安全事故？如何快速有效的定位網(wǎng)絡(luò)中病毒、黑客的引入點(diǎn)，快速、安全的切斷安全事件發(fā)生點(diǎn)和相關(guān)網(wǎng)絡(luò)。如何控制外來筆記本電腦以及其它移動(dòng)設(shè)備的隨意接入問題？如何有效管理計(jì)算機(jī)設(shè)備資源，確保資產(chǎn)的不丟失？ 如何優(yōu)化IT運(yùn)行維護(hù)流程，降低運(yùn)維成本？為保證移動(dòng)辦公用戶的安全，防御未知的黑客攻擊、內(nèi)部攻擊、內(nèi)部信息泄露，以及加強(qiáng)每一臺(tái)內(nèi)網(wǎng)設(shè)備的安全策略，解決安全問題是迫在眉睫的！盈高科技為解決以上問題，定制了一整套安全解決方案，并推出了“MSEP多維終端安全管理平臺(tái)”。MSEP桌面安全管理套件基于Ap

15、ache WEB服務(wù)器，MYSQL數(shù)據(jù)庫。管理平臺(tái)基于B/S結(jié)構(gòu)，管理員可以從任何一臺(tái)安裝了瀏覽器的終端進(jìn)行登錄管理，后臺(tái)應(yīng)用服務(wù)器實(shí)現(xiàn)基于C/S結(jié)構(gòu)?？蛻舳司哂袕?qiáng)大的自主防護(hù)功能，沒有使用界面后臺(tái)運(yùn)行。Agent作為系統(tǒng)的功能實(shí)現(xiàn)體，需要安裝在桌面系統(tǒng)中，實(shí)現(xiàn)了主機(jī)防火墻、主機(jī)入侵檢測(cè)、防病毒軟件檢測(cè)功能，對(duì)系統(tǒng)狀態(tài)（進(jìn)程、端口、軟件、硬件、CPU占用率、磁盤占用率、內(nèi)存占用率）的信息采集功能，對(duì)撥號(hào)、打印、文件操作、外存使用的行為監(jiān)管功能。報(bào)表子系統(tǒng)為管理員提供了豐富的報(bào)表功能，實(shí)現(xiàn)了分析結(jié)果的可視化，可幫助網(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò)中的異常情況進(jìn)行深度挖掘分析。多維終端安全管理平臺(tái)的特色實(shí)時(shí)風(fēng)險(xiǎn)展

16、示，隨時(shí)了解狀況通過多維終端安全管理平臺(tái)的安全檢查與加固，系統(tǒng)管理員可以對(duì)全網(wǎng)的終端設(shè)備建立各種安全檢查與評(píng)估任務(wù)，實(shí)時(shí)的了解目前網(wǎng)內(nèi)設(shè)備的風(fēng)險(xiǎn)狀況。通過圖形化的展示方式，管理員可以了解目前網(wǎng)內(nèi)處于安全和高、中、低等各個(gè)級(jí)別風(fēng)險(xiǎn)的設(shè)備比例，了解各個(gè)終端目前的具體風(fēng)險(xiǎn)情況，并且系統(tǒng)可以根據(jù)目前的風(fēng)險(xiǎn)情況，提出存在問題的原因和對(duì)如何進(jìn)行修復(fù)提出修改的建議。全面安全檢查，規(guī)避安全漏洞多維終端安全管理平臺(tái)可以對(duì)內(nèi)網(wǎng)終端各種安全情況進(jìn)行仔細(xì)檢查，比如可以檢查終端的用戶密碼是否安全，用戶的殺毒軟件是否安裝，用戶的補(bǔ)丁安裝是否及時(shí)，用戶是否開啟了一些不容許開啟的共享，用戶是否運(yùn)行了一些風(fēng)險(xiǎn)比較高的后臺(tái)服務(wù)和

17、程序等。通過對(duì)系統(tǒng)的細(xì)致全面檢查，我們可以得出一臺(tái)終端的具體風(fēng)險(xiǎn)分值，并對(duì)這些分值進(jìn)行排名和統(tǒng)計(jì)，可以判斷出目前那些設(shè)備的危險(xiǎn)程度最高，盡早的引起管理員的重視，通過提前了解風(fēng)險(xiǎn)并解決這些風(fēng)險(xiǎn)來規(guī)避系統(tǒng)的各種安全漏洞。多種報(bào)警方式，查詢形象直觀多維終端安全管理平臺(tái)在系統(tǒng)的運(yùn)行中會(huì)根據(jù)實(shí)際的情況產(chǎn)生各種報(bào)警，為了便于管理員及時(shí)迅速的了解這些系統(tǒng)意外狀況，多維終端安全管理平臺(tái)提供了豐富多樣的報(bào)警方式。目前管理員可以通過報(bào)警查看平臺(tái)、WEB管理平臺(tái)來了解系統(tǒng)產(chǎn)生的報(bào)警，另外對(duì)于一些實(shí)時(shí)性比較高，比較重要的報(bào)警我們可以通過短信SMS的方式第一時(shí)間通知給管理員，便于管理員立即進(jìn)行處理。同時(shí)系統(tǒng)可以根據(jù)管理

18、員和企業(yè)的實(shí)際需求，在每個(gè)周末和每個(gè)月末將系統(tǒng)的報(bào)警周報(bào)表和月報(bào)表通過郵件EMAIL的方式發(fā)送給管理員。缺陷自動(dòng)修復(fù)，減少人工干預(yù)多維終端安全管理平臺(tái)遵循一個(gè)“采集” “展示” “報(bào)警” “控制” “采集”的全套閉環(huán)的管理模型，和其它的廠家不同的是通過多維終端安全管理平臺(tái)的控制功能，管理員可以對(duì)系統(tǒng)中出現(xiàn)的各種缺陷，風(fēng)險(xiǎn)等問題進(jìn)行控制，通過多維終端安全管理平臺(tái)提供的豐富控制功能，多維終端安全管理平臺(tái)的客戶端可以對(duì)終端的各種缺陷進(jìn)行自動(dòng)的修復(fù)，嚴(yán)格的安裝管理員的設(shè)置進(jìn)行操作，避免管理員在出現(xiàn)問題或者問題將要出現(xiàn)的時(shí)候的人工參與，減少管理員的日常維護(hù)工作量，真正的將管理員從繁瑣的日常維護(hù)中解放出來

19、，將工作的重心專注與業(yè)務(wù)相關(guān)的優(yōu)化上面，降低IT服務(wù)管理部門的TCO，提高IT服務(wù)管理部門的KPI。無任何網(wǎng)絡(luò)改造，避免網(wǎng)絡(luò)影響平臺(tái)采用的假想式程序設(shè)計(jì)的基本隔離方法，不用改變企業(yè)當(dāng)前的網(wǎng)絡(luò)拓?fù)?，不需要特定型?hào)交換機(jī)的支持；不受802.1x協(xié)議以及Dynamic VLAN的限制；只要在存在網(wǎng)絡(luò)的地方，隨意接入網(wǎng)絡(luò)，就能實(shí)現(xiàn)網(wǎng)絡(luò)的準(zhǔn)入控制；可以在最短的時(shí)間內(nèi)有效地阻止非法用戶的接入，適用于各種不同的網(wǎng)絡(luò)環(huán)境。多種部署方式，降低部署成本企業(yè)內(nèi)網(wǎng)管理要求在企業(yè)的內(nèi)網(wǎng)終端上面安裝客戶端程序，由于企業(yè)的內(nèi)網(wǎng)終端數(shù)目巨大，如果要管理員逐臺(tái)的進(jìn)行客戶端的安裝，這個(gè)對(duì)于系統(tǒng)管理員來說就是一個(gè)噩夢(mèng)。為了降低管理

20、員的部署難度和工作量，多維終端安全管理平臺(tái)提供了多達(dá)10種的部署方式，通過這些方式的組合可以極大的降低管理員的部署時(shí)間，降低企業(yè)的部署成本。使用多維終端安全管理平臺(tái) Client Deploy Tool若網(wǎng)絡(luò)中部署了Active Directory，則可以使用多維終端安全管理平臺(tái) Client分發(fā)工具安裝多維終端安全管理平臺(tái) Client。通過多維終端安全管理平臺(tái) Client分發(fā)工具安裝多維終端安全管理平臺(tái) Client。網(wǎng)頁瀏覽安裝方式若網(wǎng)絡(luò)中沒有部署Microsoft Active Directory，而且也沒有使用登錄腳本，則可使用網(wǎng)頁瀏覽方式分發(fā)客戶端，當(dāng)用戶瀏覽該網(wǎng)頁時(shí)會(huì)主動(dòng)檢查客

21、戶端是否已安裝了多維終端安全管理平臺(tái)客戶端，如果還沒有安裝則自動(dòng)安裝多維終端安全管理平臺(tái)客戶端。手工安裝多維終端安全管理平臺(tái) Client 總是可以通過在每臺(tái)計(jì)算機(jī)上手工運(yùn)行多維終端安全管理平臺(tái) Client安裝程序來進(jìn)行安裝。這對(duì)于較少數(shù)目的計(jì)算機(jī)來說是一個(gè)快速且有效的方法。必須以管理員權(quán)限登錄目標(biāo)計(jì)算機(jī)并進(jìn)行安裝。通過MSI安裝可以使用Microsoft Installer (MSI)版本的多維終端安全管理平臺(tái) Client安裝程序來進(jìn)行自動(dòng)安裝。你可以直接運(yùn)行這個(gè)程序來直接安裝client，或者調(diào)用它的參數(shù)進(jìn)行安裝。通過使用MSI版本的client安裝程序，可以為多維終端安全管理平臺(tái) C

22、lient MSI的分發(fā)創(chuàng)建一個(gè)組策略對(duì)象（Group Policy Object ，GPO）。有關(guān)更多的組策略方面的信息，參見微軟的知識(shí)庫文章/kb/887405。使用軟件分發(fā)工具如果已經(jīng)有某些軟件分發(fā)工具，比如Microsoft SMS 或者M(jìn)cafee網(wǎng)絡(luò)版殺毒軟件，并且所有要安裝的目標(biāo)計(jì)算機(jī)都能使用這些工具，則可以通過軟件分發(fā)工具來分發(fā)多維終端安全管理平臺(tái) Client的安裝包。使用組策略可以通過使用Active Directory Group Policy Objects (GPO)來定義一個(gè)策略，強(qiáng)制在特定組（比如組織單位，域，等）的每臺(tái)計(jì)算機(jī)上安裝多維終端安全管理平臺(tái) Clien

23、t，這個(gè)策略在每次用戶登錄到這個(gè)特定的域的時(shí)候應(yīng)用到客戶端計(jì)算機(jī)。如果有GPO功能則可以高效的部署多維終端安全管理平臺(tái) Client。嵌入操作系統(tǒng)鏡像文件如果使用一個(gè)特定的系統(tǒng)鏡像或者通用操作環(huán)境來安裝新計(jì)算機(jī)，則可以在鏡像中加入多維終端安全管理平臺(tái) Client。使用登錄腳本在一個(gè)NT 或 AD域，登錄腳本可以用來檢查多維終端安全管理平臺(tái) Client是否存在。當(dāng)計(jì)算機(jī)登錄的時(shí)候發(fā)現(xiàn)多維終端安全管理平臺(tái) Client不在客戶端計(jì)算機(jī)上，它可以自動(dòng)從存放多維終端安全管理平臺(tái) Client安裝程序的位置啟動(dòng)安裝。如果網(wǎng)絡(luò)中不斷的增加新計(jì)算機(jī)，則這種方法非常方便，可確保多維終端安全管理平臺(tái) Ser

24、ver會(huì)自動(dòng)發(fā)現(xiàn)并管理新加入的計(jì)算機(jī)。在一些使用Windows 2000 或 XP的網(wǎng)絡(luò)環(huán)境，用戶必須以管理員身份登錄才能讓這種方式工作。使用Email可以給目標(biāo)系統(tǒng)用戶發(fā)送一個(gè)正文帶有URL鏈接的email，讓他們?cè)诘卿浘W(wǎng)絡(luò)的時(shí)候安裝多維終端安全管理平臺(tái) Client。這對(duì)于Window9x計(jì)算機(jī)是一個(gè)很有效的方式，因?yàn)樗麄儧]有對(duì)使用操作系統(tǒng)的用戶的權(quán)限限制。然而，對(duì)于需要?jiǎng)澐止芾頇?quán)限的系統(tǒng)，這種方式要求用戶以管理員權(quán)限登錄計(jì)算機(jī)。使用多維終端安全管理平臺(tái) RemoteInstall遠(yuǎn)程推送工具如果知道對(duì)方設(shè)備的管理員用戶名和管理員密碼，那么可以通過多維終端安全管理平臺(tái) 提供的RemoteI

25、nstall工具對(duì)遠(yuǎn)程的設(shè)備逐臺(tái)或者成批的進(jìn)行多維終端安全管理平臺(tái) Client的安裝。深入系統(tǒng)內(nèi)核，確保終端穩(wěn)定和兼容性為了保證終端的穩(wěn)定性、兼容性和安全性，要求終端的客戶端必須和終端的系統(tǒng)緊密結(jié)合，和其它廠商的終端程序不同的是多維終端安全管理平臺(tái) Client的大部分功能都已經(jīng)深入到Windows的系統(tǒng)內(nèi)核中。多維終端安全管理平臺(tái) Client通過采用Microsoft 提供的WDK開發(fā)工具，同時(shí)結(jié)合最新的WDF(Windows Driver Foundation)開發(fā)框架進(jìn)行開發(fā)。通過在系統(tǒng)的內(nèi)核級(jí)進(jìn)行操作，除了可以和微軟的Windows系統(tǒng)更好的結(jié)合，還可以避免一些惡意的軟件或者病毒對(duì)

26、客戶端的修改和注入，保證了客戶端本身的安全性，由于我們的客戶端采用了驅(qū)動(dòng)級(jí)的開發(fā)方式，所以絕大多數(shù)的病毒都不能對(duì)多維終端安全管理平臺(tái) Cient進(jìn)行侵犯，進(jìn)而影響到客戶端安全性。通過在內(nèi)核級(jí)進(jìn)行操作，可以保證客戶端可以在第一時(shí)間對(duì)于各種突發(fā)事件進(jìn)行了解，并采取相應(yīng)的措施。經(jīng)過測(cè)試表明通過在內(nèi)核級(jí)進(jìn)行系統(tǒng)監(jiān)控，對(duì)于進(jìn)程創(chuàng)建的響應(yīng)時(shí)間比在應(yīng)用層進(jìn)行監(jiān)控對(duì)于進(jìn)程創(chuàng)建的響應(yīng)時(shí)間快了將近300毫秒。在內(nèi)核級(jí)進(jìn)行開發(fā)，對(duì)于多維終端安全管理平臺(tái) Client的穩(wěn)定性提出了更高的要求，這就要求我們的應(yīng)用要更穩(wěn)定，更可靠的運(yùn)行在系統(tǒng)這一級(jí)別，值得稱贊的是多維終端安全管理平臺(tái)的所有驅(qū)動(dòng)程序都經(jīng)過了微軟的官方驅(qū)動(dòng)驗(yàn)

27、證程序管理器的驗(yàn)證！關(guān)于微軟的驅(qū)動(dòng)驗(yàn)證程序管理器的詳細(xì)信息可以參考 HYPERLINK /kb/244617 /kb/244617。而且經(jīng)過長(zhǎng)達(dá)3年的近10萬客戶端的實(shí)際檢驗(yàn)，也證明多維終端安全管理平臺(tái) Client的穩(wěn)定性和可靠性！整體代碼優(yōu)化，減少終端資源消耗企業(yè)員工終端電腦的資源都非常有限，不能因?yàn)榘惭b了管理客戶端之后有任何的性能影響，不能因?yàn)榘惭b了管理客戶端之后影響員工的正常業(yè)務(wù)使用。為此我們除在設(shè)計(jì)和編寫代碼的時(shí)候進(jìn)行充分的優(yōu)化之外，我們還使用了專業(yè)的代碼檢測(cè)工具對(duì)我們的客戶端程序進(jìn)行檢測(cè)，我們的代碼完全經(jīng)過了 IBM Rational Purify的專業(yè)檢測(cè)，通過使用專業(yè)的第三方工

28、具對(duì)我們的代碼進(jìn)行了更進(jìn)一步的優(yōu)化，確保對(duì)終端資源的消耗最少。關(guān)于IBM Rational Purify的詳細(xì)資料可以參考。 HYPERLINK /software/awdtools/purify/win/ /software/awdtools/purify/win/經(jīng)過實(shí)際用戶的統(tǒng)計(jì)分析多維終端安全管理平臺(tái) Client在終端電腦上面占用CPU資源平均不到1%，峰值不到5%?？蛻舳苏加脙?nèi)存資源平均不到 2.5MB，峰值不到5MB。產(chǎn)品的安全目標(biāo)和外部接口說明盈高多維終端安全管理平臺(tái)（MSEP）是一款基于安全策略的終端管理產(chǎn)品，采用了開放式B/S與C/S相互結(jié)合的體系結(jié)構(gòu)和標(biāo)準(zhǔn)化數(shù)據(jù)通訊方式，

29、對(duì)局域網(wǎng)內(nèi)部的網(wǎng)絡(luò)安全行為進(jìn)行全面監(jiān)管，檢測(cè)并保障桌面系統(tǒng)的安全。MSEP共分下面幾大模塊：資產(chǎn)安全管理模塊、桌面安全管理模塊、行為審計(jì)管理模塊、資產(chǎn)管理模塊、系統(tǒng)資源管理，通過統(tǒng)一定制、下發(fā)安全策略并強(qiáng)制執(zhí)行的機(jī)制，實(shí)現(xiàn)對(duì)局域網(wǎng)內(nèi)部桌面系統(tǒng)的管理和維護(hù)，能有效保障桌面系統(tǒng)及機(jī)密數(shù)據(jù)的安全。桌面安全管理模塊，通過統(tǒng)一配置策略的主機(jī)防火墻，實(shí)現(xiàn)對(duì)桌面系統(tǒng)的網(wǎng)絡(luò)安全檢測(cè)和防護(hù)。并且能夠自動(dòng)檢測(cè)桌面系統(tǒng)的安全狀態(tài)，檢測(cè)桌面系統(tǒng)的病毒防護(hù)軟件是否工作正常?？焖俨渴鹑W(wǎng)機(jī)器確保阻斷非法端口的異常行為。行為審計(jì)管理模塊，對(duì)桌面系統(tǒng)上撥號(hào)行為、違規(guī)外聯(lián)行為、網(wǎng)站訪問行為、違規(guī)程序執(zhí)行行為、打印行為、移動(dòng)存儲(chǔ)

30、設(shè)備使用行為、文件操作行為的監(jiān)控（目前只提供文件操作行為的監(jiān)視），確保機(jī)密數(shù)據(jù)的安全，避免了內(nèi)部保密數(shù)據(jù)的泄漏。資產(chǎn)管理模塊，使管理員能夠輕松進(jìn)行局域網(wǎng)的管理維護(hù)，解決了桌面系統(tǒng)基礎(chǔ)信息難以及時(shí)、準(zhǔn)確掌控的問題，規(guī)范了客戶端操作行為，提高了桌面系統(tǒng)的安全等級(jí)。通過系統(tǒng)監(jiān)管模塊管理員能夠遠(yuǎn)程查看桌面系統(tǒng)當(dāng)前的詳細(xì)信息，包括：已安裝軟件、已安裝硬件、進(jìn)程、端口、CPU、磁盤、內(nèi)存、軟硬件變動(dòng)信息、日常設(shè)備維護(hù)等。系統(tǒng)資源管理，MSEP系統(tǒng)為管理員提供了Agent管理、IP管理、補(bǔ)丁管理等功能，能對(duì)網(wǎng)絡(luò)內(nèi)的Agent進(jìn)行有效管理，避免IP地址混亂、非法接入等情況，還可以輕松完成網(wǎng)絡(luò)內(nèi)對(duì)桌面系統(tǒng)的補(bǔ)丁

31、檢測(cè)、自動(dòng)分發(fā)和安裝、并支持離線模式的補(bǔ)丁檢測(cè)分發(fā)；并提供了用戶很方便的像可執(zhí)行程序、MSI安裝包或者文檔數(shù)據(jù)文件自動(dòng)下發(fā)與安裝的功能。SvrManager為MSEP系統(tǒng)的中樞系統(tǒng)，負(fù)責(zé)系統(tǒng)數(shù)據(jù)的轉(zhuǎn)發(fā)，派發(fā)及處理Console、Agent傳來的信息。Console Portal是MSEP系統(tǒng)的用戶使用接口。通過Console Portal，用戶可以使用MSEP系統(tǒng)的所有功能，如查看桌面系統(tǒng)的詳細(xì)信息、定制/下發(fā)策略、管理系統(tǒng)資源等。Patch Server 為系統(tǒng)提供了桌面未安裝補(bǔ)丁的檢測(cè)、下載、更新、查詢等功能。DB Server提供了系統(tǒng)日志、事件報(bào)警、系統(tǒng)數(shù)據(jù)等信息的持久化功能，便于管理

32、員分析網(wǎng)絡(luò)的歷史狀態(tài)。產(chǎn)品設(shè)計(jì)原則與架構(gòu)整體方案設(shè)計(jì)原則首先，盈高科技認(rèn)為有必要參考國際、國內(nèi)的安全管理經(jīng)驗(yàn)，來設(shè)計(jì)的“多維終端安全管理平臺(tái)”解決方案。BS7799作為英國政府頒發(fā)的一項(xiàng)信息系統(tǒng)安全管理規(guī)范，目前已經(jīng)成為全球公認(rèn)的安全管理最佳實(shí)踐，成為全國大型機(jī)構(gòu)在設(shè)計(jì)、管理信息系統(tǒng)安全時(shí)的實(shí)踐指南。BS7799認(rèn)為，設(shè)計(jì)信息安全系統(tǒng)時(shí)，必須掌握以下安全原則：相對(duì)安全原則 沒有100%的信息安全，安全是相對(duì)的，在安全保護(hù)方面投入的資源是有限的保護(hù)的目的是要使信息資產(chǎn)得以有效利用，不能為了保護(hù)而過度限制對(duì)信息資產(chǎn)的使用分級(jí)/分組保護(hù)原則對(duì)信息系統(tǒng)分類，不同對(duì)象定義不同的安全級(jí)別首先要保障安全級(jí)別

33、高的對(duì)象全局性原則解決安全問題不只是一個(gè)技術(shù)問題要從組織、流程、管理上予以整體考慮、解決在設(shè)計(jì)“多維終端安全管理平臺(tái)”解決方案時(shí)，非常有必要參考BS7799中的有關(guān)重要安全原則。BS7799中，除了安全原則之外，給出了許多非常細(xì)致的安全管理指導(dǎo)規(guī)范。在BS7799中有一個(gè)非常有名的安全模型，稱為PDCA安全模型。PDCA安全模型的核心思想是：信息系統(tǒng)的安全需求是不斷變化的，要使得信息系統(tǒng)的安全能夠滿足業(yè)務(wù)需要，必須建立動(dòng)態(tài)的“計(jì)劃、設(shè)計(jì)和部署、監(jiān)控評(píng)估、改進(jìn)提高”管理方法，持續(xù)不斷地改進(jìn)信息系統(tǒng)的安全性。以下是 REF _Ref127503572 h * MERGEFORMAT 圖 1 PDC

34、A安全模型。圖 SEQ 圖 * ARABIC 1 PDCA安全模型的終端安全管理，也將是一個(gè)持續(xù)、動(dòng)態(tài)、不斷改進(jìn)的過程，多維終端安全管理平臺(tái)將為提供統(tǒng)一的、集成化的平臺(tái)和工具，融合接入、檢查、隔離、修復(fù)等機(jī)制，幫助對(duì)其終端進(jìn)行統(tǒng)一的安全控制、安全評(píng)估、安全審計(jì)及安全改進(jìn)策略部署。統(tǒng)一的集成化融合管理平臺(tái)多維終端安全管理平臺(tái)必須提供統(tǒng)一的、集成化融合管理平臺(tái)。解決方案要向IT系統(tǒng)管理員、安全審計(jì)員提供一個(gè)統(tǒng)一的登錄入口，有整體的終端安全視圖，呈現(xiàn)整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中所有終端設(shè)備的安全運(yùn)行狀況。管理員不僅可以看到終端安全的運(yùn)行狀況，終端的安全設(shè)置，也能夠看到終端的軟件配置、硬件配置、終端的物理位置

35、等信息。通過統(tǒng)一的集成化的管理平臺(tái)，安全管理員可以完成所有與終端安全管理維護(hù)相關(guān)的各種任務(wù)，具體包括：外來或者不滿足安全規(guī)定的設(shè)備統(tǒng)一接入阻斷干擾管理；建立“人機(jī)對(duì)應(yīng)”管理機(jī)制，可以快速定位全網(wǎng)當(dāng)中任一臺(tái)終端設(shè)備；建立統(tǒng)一的全網(wǎng)終端安全補(bǔ)丁升級(jí)機(jī)制，確保每一臺(tái)終端都安裝安全補(bǔ)?。淮_保全網(wǎng)終端都必須安裝防病毒軟件，建立一套安裝并升級(jí)防病毒軟件的機(jī)制；建立“可信移動(dòng)存儲(chǔ)設(shè)備”的管理機(jī)制，可對(duì)指定機(jī)器禁止拷貝資料到移動(dòng)存儲(chǔ)設(shè)備中；平臺(tái)可以對(duì)全網(wǎng)所有不允許連接互聯(lián)網(wǎng)的主機(jī)撥號(hào)上網(wǎng)、雙網(wǎng)卡、代理、無線上網(wǎng)等違規(guī)行為監(jiān)控及阻斷；同時(shí)結(jié)合“等?！?的指導(dǎo)方針，對(duì)全網(wǎng)所有終端的主機(jī)完整安全性做檢查、評(píng)估、加固

36、控制。統(tǒng)一的集成化融合管理平臺(tái)對(duì)管理員的各種操作，應(yīng)提供審計(jì)功能，以備事后審計(jì)，建立管理員、審計(jì)員兩權(quán)分立的有效監(jiān)督機(jī)制。系統(tǒng)架構(gòu)說明MSEP基本系統(tǒng)由三個(gè)不同的模塊組成：代理模塊（Agent）、服務(wù)器模塊（Server）、WEB管理與控制平臺(tái)模塊（WebConsole）。用戶可以根據(jù)具體需要將它們安裝在網(wǎng)絡(luò)中的計(jì)算機(jī)上。代理模塊安裝在每一臺(tái)需要被監(jiān)視的計(jì)算機(jī)上。服務(wù)器模塊用來存儲(chǔ)和管理所有安裝有代理模塊的計(jì)算機(jī)，用于管理監(jiān)視所產(chǎn)生的資料，一般安裝在一臺(tái)具有大容量?jī)?nèi)存的用作服務(wù)器的計(jì)算機(jī)上。WEB管理與控制平臺(tái)主要用于監(jiān)視每臺(tái)安裝有代理模塊的計(jì)算機(jī)、查看歷史記錄及查詢統(tǒng)計(jì)，一般是給公司管理人員

37、使用，由于采用WEB瀏覽器的模式，所以無需安裝模塊程序只需使用IE瀏覽器就可以使用功能。其中，WEB控制管理中心WEBConsole是管理員進(jìn)行策略配置、系統(tǒng)配置、下發(fā)命令、監(jiān)控工作站點(diǎn)，即可以單獨(dú)使用一臺(tái)PC，也可以和其他系統(tǒng)共用。應(yīng)用服務(wù)器MSEPServer是系統(tǒng)的核心，在后臺(tái)常駐運(yùn)行，負(fù)責(zé)執(zhí)行管理員提交的策略配置、系統(tǒng)配置、指令等，完成和數(shù)據(jù)庫的交互，將管理員的指令下達(dá)到被管終端的MSEPAgent。應(yīng)用服務(wù)器和數(shù)據(jù)庫可以使用兩臺(tái)不同的計(jì)算機(jī)，也可以共同使用一臺(tái)計(jì)算機(jī)。盈高TMMSEP多維終端安全管理平臺(tái)基于Apache WEB服務(wù)器，MYSQL數(shù)據(jù)庫。管理平臺(tái)基于B/S結(jié)構(gòu)，管理員可

38、以從任何一臺(tái)安裝了瀏覽器的終端進(jìn)行登錄管理，后臺(tái)應(yīng)用服務(wù)器實(shí)現(xiàn)基于C/S結(jié)構(gòu)?？蛻舳司哂袕?qiáng)大的自主防護(hù)功能，沒有使用界面后臺(tái)運(yùn)行。產(chǎn)品的功能特點(diǎn)集合資產(chǎn)配置管理與安全加固管理于一體MSEP多維終端安全管理平臺(tái)不僅能夠自動(dòng)顯示網(wǎng)絡(luò)中的所有節(jié)點(diǎn)信息以及軟硬件信息，而且能夠?qū)⑦@些信息與組織人事信息合理組合在一起，從而方便網(wǎng)絡(luò)中的所有資源得到統(tǒng)一管理和配置。另外，桌面管理軟件能夠通過控制管理客戶端用戶安裝的軟件以及運(yùn)行的程序來對(duì)其行為進(jìn)行控制，從而達(dá)到一個(gè)網(wǎng)絡(luò)和主機(jī)的統(tǒng)一管理，極大地提高了安全管理力度。統(tǒng)一定制、強(qiáng)制執(zhí)行的安全策略管理MSEP系統(tǒng)提供了強(qiáng)大的策略定制機(jī)制。管理員根據(jù)自身網(wǎng)絡(luò)特點(diǎn)，能夠通

39、過MSEP有效地實(shí)施全局網(wǎng)絡(luò)配置和安全管理、監(jiān)控策略，實(shí)現(xiàn)了真正的統(tǒng)一安全策略。管理員可以靈活的創(chuàng)建不同的安全策略，從而系統(tǒng)中的不同類型的桌面系統(tǒng)可以應(yīng)用不同的安全策略，策略、桌面系統(tǒng)形成多對(duì)多的關(guān)系，為整個(gè)系統(tǒng)提供了靈活的、彈性的安全機(jī)制。支持分組、分區(qū)域，跨網(wǎng)段管理。集中管理的主機(jī)防火墻MSEP為網(wǎng)絡(luò)所有聯(lián)網(wǎng)的桌面系統(tǒng)提供以應(yīng)用程序?yàn)橹行牡闹鳈C(jī)防火墻保護(hù)功能。它除了提供傳統(tǒng)的主機(jī)型防火墻功能(端口/協(xié)議過濾、應(yīng)用程序過濾等)以外，還可以鎖定合法應(yīng)用程序，防止惡意程序通過偽裝或代碼注入等手段繞過防火墻的檢測(cè)。當(dāng)系統(tǒng)探測(cè)到遠(yuǎn)程攻擊行為時(shí)，可以自動(dòng)阻斷所有來自攻擊方的網(wǎng)絡(luò)通訊，確保主機(jī)的安全。通

40、過與MSEP系統(tǒng)的IP管理、接入控制等模塊的聯(lián)動(dòng)，可根據(jù)模塊報(bào)警自動(dòng)切斷主機(jī)的網(wǎng)絡(luò)連接，并保證接受MSEP系統(tǒng)的統(tǒng)一管理。補(bǔ)丁管理系統(tǒng)MSEP 提供了桌面系統(tǒng)補(bǔ)丁管理的功能，幫助管理員對(duì)網(wǎng)內(nèi)基于 Windows 2000/XP/2003等機(jī)器快速部署最新的重要更新和安全更新。MSEP能檢測(cè)桌面系統(tǒng)已安全的補(bǔ)丁和需要安裝的補(bǔ)丁，管理員能通過Web Console Portal對(duì)桌面系統(tǒng)下發(fā)安裝未安裝補(bǔ)丁的命令, 通過MSEP的自動(dòng)補(bǔ)丁模塊，系統(tǒng)管理員可以對(duì)已知和未知的補(bǔ)丁制定下載和安裝策略，可以定義是否需要人工審核還是自動(dòng)安裝，如補(bǔ)丁是否安裝、安裝是否有提示進(jìn)度條、安裝的條件、安裝的時(shí)間等等，并

41、可跟蹤各終端的補(bǔ)丁安裝記錄。MSEP的策略都可以針對(duì)單臺(tái)終端，也可以采用繼承上級(jí)組的機(jī)制對(duì)一組或多臺(tái)終端生效。管理員可從微軟網(wǎng)站自動(dòng)下載更新補(bǔ)丁庫，并審核是否允許桌面系統(tǒng)安裝。通過策略定制，桌面系統(tǒng)可以自動(dòng)檢測(cè)、下載和安裝適用更新，MSEP 采用了后臺(tái)智能傳輸服務(wù)(BITS)技術(shù)提高帶寬使用效率。MSEP還提供軟件分發(fā)功能，管理員可根據(jù)實(shí)際需要針對(duì)內(nèi)網(wǎng)的終端計(jì)算機(jī)下發(fā)軟件。“主動(dòng)式”安全策略防御體系MSEP多維終端安全管理平臺(tái)的優(yōu)勢(shì)主要體現(xiàn)在其“主動(dòng)式”的安全防御方式上。目前，多數(shù)安全防御系統(tǒng)，如IDS，都是“被動(dòng)式的”，它們關(guān)注于在網(wǎng)絡(luò)被破壞時(shí)找出整個(gè)網(wǎng)絡(luò)的問題所在，并人為進(jìn)行相應(yīng)的改正，以

42、此來達(dá)到整個(gè)網(wǎng)絡(luò)的安全防護(hù)目的。MSEP多維終端安全管理平臺(tái)采用了一種更新的理念，采用“主動(dòng)式”的安全防御策略。 桌面設(shè)置及運(yùn)維系統(tǒng)管理員可以通過WEB管理平臺(tái)，遠(yuǎn)程管理桌面終端的進(jìn)程、共享文件夾、遠(yuǎn)程重啟、注銷、鎖定、解鎖、關(guān)閉甚至卸載終端，還可以獲取遠(yuǎn)程桌面屏幕。可以通過WEB平臺(tái)進(jìn)行桌面網(wǎng)絡(luò)屬性設(shè)置，比如修改網(wǎng)絡(luò)參數(shù)、修改計(jì)算機(jī)名稱、工作組名稱等等。殺毒軟件版本檢測(cè)MSEP 提供了對(duì)主機(jī)的殺毒軟件的檢測(cè)功能，可檢測(cè)主機(jī)運(yùn)行的殺毒軟件版本和殺毒軟件病毒庫版本及升級(jí)時(shí)間等，目前支持檢測(cè)國內(nèi)外絕大多數(shù)流行的殺毒軟件，包括：瑞星、諾頓、MacAfee、卡巴斯基等。全面的資產(chǎn)管理MSEP提供Age

43、nt自動(dòng)發(fā)現(xiàn)功能，已安裝Agent程序的終端計(jì)算機(jī)會(huì)被MSEP自動(dòng)發(fā)現(xiàn)并納入管理范圍。能夠自動(dòng)收集管理該軟件部署范圍內(nèi)的計(jì)算機(jī)的軟/硬件信息，包括硬件設(shè)備信息統(tǒng)計(jì)、軟件資產(chǎn)統(tǒng)計(jì)、設(shè)備變更信息統(tǒng)計(jì)，要求能夠自動(dòng)探測(cè)當(dāng)前網(wǎng)絡(luò)中的所有機(jī)器，記錄各計(jì)算機(jī)的IP地址、計(jì)算機(jī)名、MAC地址、網(wǎng)卡型號(hào)和生產(chǎn)廠商、計(jì)算機(jī)所在域、操作系統(tǒng)、主要硬、軟件信息、物理位置，IT資產(chǎn)從采購時(shí)輸入一直到接入網(wǎng)絡(luò)、日常維修、一直到報(bào)廢。一般按照部門、IP地址范圍、MAC地址、設(shè)備類型、操作系統(tǒng)類別、操作系統(tǒng)語言、資產(chǎn)各種配置、設(shè)備在線狀態(tài)等等方式分類。能夠手工添加設(shè)備編號(hào)以及設(shè)備使用人的信息（如使用者姓名、物理位置、所在房

44、間、電話、配發(fā)時(shí)間等）。能夠動(dòng)態(tài)捕捉到客戶端的設(shè)備變更情況，查詢?cè)O(shè)備變更并生成相應(yīng)的報(bào)表。硬件資產(chǎn)管理為IT管理員提供便捷的查看全網(wǎng)桌面終端硬件分布情況的有效手段。MSEP利用先進(jìn)的自動(dòng)硬件信息收集技術(shù)，及時(shí)全面地獲取硬件信息，并以WEB報(bào)表有效地體現(xiàn)給管理員。軟件分發(fā)與安裝MSEP提供了客戶很方便的像可執(zhí)行程序、MSI安裝包或者文檔數(shù)據(jù)文件自動(dòng)下發(fā)與安裝的功能。支持參數(shù)方式增加軟件分發(fā)時(shí)安裝選項(xiàng)，這一功能可以使得IT管理員很方便快速部署軟件，極大地降低了IT管理員的工作強(qiáng)度，提高工作效率。并且可以按照部署范圍進(jìn)行分發(fā)，不會(huì)影響企業(yè)整體網(wǎng)絡(luò)帶寬。黑白進(jìn)程管理通過策略中心的黑白進(jìn)程策略，網(wǎng)絡(luò)管理

45、員能夠?qū)W(wǎng)絡(luò)中所有客戶端主機(jī)中當(dāng)前運(yùn)行的所有進(jìn)程進(jìn)行實(shí)時(shí)監(jiān)控，網(wǎng)絡(luò)管理員可以根據(jù)需要直接終止非法進(jìn)程（如木馬程序、QQ、MSN和網(wǎng)絡(luò)游戲以及蠕蟲病毒等）的運(yùn)行，并能在一些非法及非正常運(yùn)行的進(jìn)程時(shí)，根據(jù)網(wǎng)絡(luò)管理員的安全策略自動(dòng)報(bào)警或中止這些非法進(jìn)程的運(yùn)行。網(wǎng)站訪問安全控制對(duì)客戶端訪問網(wǎng)站的管理；全天或指定的時(shí)間對(duì)指定的網(wǎng)站域名進(jìn)行禁止，或者采取反選。還可以定義星期幾受控以及如果離線是否有效。違規(guī)外聯(lián)目前許多安全級(jí)別要求較高的網(wǎng)絡(luò)都規(guī)定必須將內(nèi)部網(wǎng)絡(luò)與Internet物理隔離，然而網(wǎng)絡(luò)中仍存在一些用戶通過撥號(hào)或者加網(wǎng)卡的方式連接到Internet上，由于這種一機(jī)兩用的非法外連方式隱蔽性非常高、對(duì)整

46、個(gè)網(wǎng)絡(luò)的危害性特別大，因此如何發(fā)現(xiàn)并杜絕網(wǎng)絡(luò)中的一機(jī)兩用現(xiàn)象是確保整個(gè)網(wǎng)絡(luò)安全當(dāng)務(wù)之急要解決的問題之一。內(nèi)部機(jī)器違規(guī)外聯(lián)的及時(shí)發(fā)現(xiàn)、及時(shí)預(yù)警，當(dāng)有不允許訪問網(wǎng)絡(luò)的情況發(fā)現(xiàn)時(shí)，系統(tǒng)能夠及時(shí)發(fā)現(xiàn)并且預(yù)警采取措施?？梢灾付ㄔO(shè)備的訪問網(wǎng)段范圍，當(dāng)訪問超過這些范圍時(shí)，系統(tǒng)會(huì)根據(jù)策略執(zhí)行相應(yīng)的處理操作。能夠知道哪個(gè)進(jìn)程在什么時(shí)間去訪問遠(yuǎn)程的哪個(gè)IP主機(jī)的哪個(gè)端口。便捷的遠(yuǎn)程維護(hù)MSEP主要提供兩種遠(yuǎn)程維護(hù)方式，遠(yuǎn)程桌面查看、遠(yuǎn)程終端控制，并且配合消息交換功能，可以很好地讓IT管理員進(jìn)行遠(yuǎn)程故障診斷和排除，很好地提高工作效率。并且支持可以讓客戶端確認(rèn)的過程。如果沒有用戶的確認(rèn)則無法接管終端。終端遠(yuǎn)程服務(wù)只是

47、在需要的時(shí)候開啟，使用動(dòng)態(tài)密碼方式保證遠(yuǎn)程服務(wù)的安全性。強(qiáng)大的外設(shè)監(jiān)控功能策略中心的設(shè)備策略能夠?qū)λ邪惭b客戶端主機(jī)的外接設(shè)備進(jìn)行統(tǒng)一的管理，網(wǎng)絡(luò)管理員只需在控制中心進(jìn)行相應(yīng)的配置即可控制這些主機(jī)是否允許其使用諸如USB接口、并口、串口、光驅(qū)、軟驅(qū)等外接設(shè)備。該功能最大的特色是在對(duì)USB接口進(jìn)行管理時(shí)，若用戶使用USB鍵盤和鼠標(biāo)時(shí)是不會(huì)限制的，只有用戶使用USB硬盤和優(yōu)盤等存儲(chǔ)設(shè)備時(shí)才會(huì)被禁止。安全檢查及加固管理平臺(tái)結(jié)合“等?！钡闹笇?dǎo)思想，根據(jù)系統(tǒng)可定義的安全檢查項(xiàng)，對(duì)全網(wǎng)的設(shè)備，也可以指定一定區(qū)域進(jìn)行安全評(píng)估檢查。對(duì)所有的評(píng)估參數(shù)可作調(diào)整并權(quán)重打分。安全評(píng)估參數(shù)實(shí)例圖當(dāng)安全評(píng)估任務(wù)執(zhí)行完成后

48、，會(huì)產(chǎn)生評(píng)估結(jié)果。可以查看所有機(jī)器的評(píng)估結(jié)果并且給出風(fēng)險(xiǎn)系數(shù)統(tǒng)計(jì)。參見下圖。評(píng)估結(jié)果查看圖弱口令檢查功能目前很多病毒已經(jīng)可以“猜”出用戶機(jī)的口令，如果計(jì)算機(jī)使用弱口令，病毒將會(huì)通過這些弱口令獲得計(jì)算機(jī)的控制權(quán)，并進(jìn)行傳播。這類病毒的傳播行為靠殺毒軟件或者補(bǔ)丁加固均無法進(jìn)行控制。系統(tǒng)可以檢查開機(jī)密碼是否是弱口令，以保障系統(tǒng)不因?yàn)槿蹩诹畹脑虮徊《竞秃诳凸簟？尚乓苿?dòng)存儲(chǔ)設(shè)備監(jiān)控對(duì)于帶有涉密信息的邏輯隔離網(wǎng)，涉密信息一般都保存在本地或者移動(dòng)存儲(chǔ)設(shè)備中。當(dāng)涉密信息保存在流通于本地的移動(dòng)存儲(chǔ)設(shè)備中時(shí)，如果移動(dòng)存儲(chǔ)設(shè)備不經(jīng)過加密或保護(hù)，那么一旦移動(dòng)存儲(chǔ)介質(zhì)遺失，在其他計(jì)算機(jī)能夠直接訪問、修改，將直接導(dǎo)致

49、涉密信息外泄。平臺(tái)采取對(duì)移動(dòng)存儲(chǔ)介質(zhì)寫入保護(hù)標(biāo)簽的方法，首先對(duì)存在于USB、移動(dòng)硬盤等設(shè)備內(nèi)的涉密信息進(jìn)行保護(hù)。然后通過策略，分配可以識(shí)別此標(biāo)簽的終端的權(quán)限，分配對(duì)象可以是一臺(tái)計(jì)算機(jī)，也可以是一個(gè)區(qū)域、一個(gè)部門或自定義的計(jì)算機(jī)組?？蛻舳艘苿?dòng)設(shè)備行為審計(jì)：可以識(shí)別性移動(dòng)存儲(chǔ)設(shè)備的使用控制，可以對(duì)將要訪問終端的移動(dòng)存儲(chǔ)設(shè)備分類打標(biāo)簽，允許指定標(biāo)簽的移動(dòng)存儲(chǔ)設(shè)備訪問，禁用其他移動(dòng)存儲(chǔ)設(shè)備的訪問，同時(shí)可以設(shè)定哪些移動(dòng)存儲(chǔ)設(shè)備可以在哪個(gè)范圍使用?？梢詫?duì)不同公司或單位不同部門的U盤進(jìn)行認(rèn)證，防止移動(dòng)存儲(chǔ)設(shè)備串用?？梢越筓SB移動(dòng)存儲(chǔ)設(shè)備的接入。通過設(shè)置，保證終端只允許本單位或本地區(qū)的USB移動(dòng)存儲(chǔ)設(shè)備接

50、入。對(duì)通過USB設(shè)備進(jìn)行的文件拷入、拷出的行為進(jìn)行審計(jì)，記錄文件名稱和操作時(shí)間?？梢越管洷P的接入。對(duì)通過軟盤、光驅(qū)、刻錄機(jī)進(jìn)行的文件拷入、拷出的行為進(jìn)行審計(jì)，記錄文件名稱和操作時(shí)間。對(duì)終端大量的文件拷貝行為可自主設(shè)定閾值，超過閾值的不進(jìn)行審計(jì)。如拷貝超過1000個(gè)文件不進(jìn)行審計(jì)客戶端資源運(yùn)行管理硬件運(yùn)行資源管理功能：檢測(cè)終端設(shè)備的、硬盤(含每個(gè)硬盤分區(qū))、內(nèi)存等的資源占用情況，可自主設(shè)定閾值,以確定終端系統(tǒng)資源占用是否達(dá)到上限，是否應(yīng)該升級(jí)。網(wǎng)絡(luò)行為異常監(jiān)控：檢測(cè)終端設(shè)備的I/O讀寫字節(jié)數(shù)、建立TCP連接個(gè)數(shù)、UDP監(jiān)聽端口數(shù)目、是否開啟危險(xiǎn)服務(wù)等內(nèi)容，可根據(jù)實(shí)際情況定義閥值策略，對(duì)于不符合要求的終端報(bào)警或隔離。重要進(jìn)程異常報(bào)警和自動(dòng)恢復(fù)：對(duì)未響應(yīng)進(jìn)程和意外退出進(jìn)程進(jìn)行（如退出、退出并重起等）處理。異常流量監(jiān)控：基于主機(jī)方式對(duì)網(wǎng)絡(luò)中客戶端流量、分支網(wǎng)絡(luò)帶寬流量進(jìn)行分析，防止非法入侵、濫用網(wǎng)絡(luò)資源。當(dāng)流量（含出、入或總流量）超過一定限度并持續(xù)一定時(shí)間后，進(jìn)行有關(guān)信息上報(bào)，以便網(wǎng)管了解客戶端流量異常，從而快速分析是否是網(wǎng)絡(luò)安全事故。網(wǎng)絡(luò)流量安全管理針對(duì)每個(gè)終端實(shí)現(xiàn)了對(duì)每個(gè)終端的流進(jìn)流出的流量，做到第一時(shí)間可疑情況預(yù)警的同時(shí)做到流量控制，實(shí)現(xiàn)對(duì)流量可疑、發(fā)包數(shù)可疑、并發(fā)連接