产品概述
威盾®终端准入管理系统产品采用分布式设计思想,具有多级管理能力,适用于不同规模和不同复杂程度的局域网管理需求。为网管人员提供一个集安全、管理和维护三位一体的综合型桌面终端管理平台。它突破终端管理太弱、可视化程度太低、安全/管理/维护脱节、往往是事后救火的传统管理模式,从发现和修补安全漏洞入手,到直观详细的展示网络运行状态,并辅以实施强大的管理机制,使网络管理循序渐进,宜张宜弛。通软产品可以帮助用户做到:
1) 建立实名制、可视化管理平台,对网络静态配置、动态资源运行情况心中有数,彻底消除“黑箱”现象;
2) 从网络准入、联出、外设、系统漏洞等多方面做好安全保障,保障用户业务内网成为真正封闭的安全内网;
3) 通过规范网络配置、充分发挥杀毒软件功效、细化网络资源分配,从而保障网络的稳定运行;
4) 员工行为得到有效规范,工作效率明显提高,实现价值最大化;
5) 信息中心的网络维护工作及时、高效,特别是可以快速准确地定位和排除网络故障,大大缩短误工时间,降低运维成本。
1.安全管理中心
a) 网络安全
准入管理
非法IP地址管理:采用ARP技术,能够定义合法IP地址列表,在列表中不仅可以定义合法IP的范围,而且可以定义每个合法IP对应的MAC地址。如果一个被使用的IP不在合法IP的范围内,或者对应的MAC地址不符,系统将阻断该IP的网络通信。并能够绑定本系统的客户端,客户机未运行本系统的客户端则不能进行网络通信,有效地杜绝了非法IP的联入。支持多种类型的管理,可设置计算机为合法、阻断、特权IP、特权MAC及绑定客户端,仅当设置为阻断时,发现非法计算机可阻断其通讯,其他管理类型提供报警。支持IP地址列表的导出。
非法外联管理
外联管理:通过操作系统的API接口技术实现对终端计算机的外联管理,能够监控和管理通过拨号、WIFI、带宽置为零等方式连接网络,杜绝违规外联行为,减少局域网安全隐患。
b) 主机安全
补丁管理
补丁扫描:能够自动扫描出计算机已经安装了哪些补丁和需要安装的补丁。支持任务立即执行或定时执行,对于未在线的计算机,支持计算机上线后补做任务。对扫描出有补丁漏洞的计算机,可设置直接阻断其网络通信。
补丁修复:能够修复计算机的补丁漏洞,可以实现监控客户机补丁安装情况及补丁管理。支持安全补丁信息自动更新、补丁文件自动下载及无人值守的分发,并且补丁的分发高效快速。可选择立即执行或是设置时间自动执行,对于未在线的计算机,支持计算机上线后补做任务。支持的补丁有:Windows 2000 Server、Windows XP、Windows Server 2003、Windows Vista、Windows 7、Office2003、Office2007、SQL Server2000、SQL Server2005补丁。
补丁安装检查:基于微软官方发布的补丁安装公告,采用通软自主研发的补丁扫描技术,识别已安装补丁和未安装补丁,检查终端补丁安装情况是否符合标准,对于未安装指定补丁的终端计算机可以报警或阻断其网络通信。
杀毒软件管理
杀毒软件管理:可以绑定指定的杀毒软件,如果客户端未运行绑定的杀毒软件或检测到杀毒软件版本不是为最新版本,可以提供报警或阻断其通讯,保证计算机都能够安装并运行杀毒软件,保障网络安全。提供杀毒软件总体情况、杀毒软件产品分布情况、杀毒软件更新情况和杀毒软件违规使用排名报表,可查看详细信息。杀毒软件的检测支持操作系统为Windows XP SP2和Windows XP SP3的计算机。支持离线策略。
无死角杀毒:可通过远程运行程序同一时间统一运行杀毒软件进行杀毒。对于未开机的客户机,开机后能够第一时间自动进行杀毒补课,彻底实现无死角杀毒。
安全选项管理
操作系统安全选项:可以帮助用户对终端操作系统安全进行优化,用于提升终端操作系统安全级别。可设置拦截U盘、光驱、磁盘自启动、禁止用户建立空连接、禁止自动登录操作系统等。
共享管理
共享资源管理:网络管理员可以快速查看网络内的所有共享文件和文件夹,并且能够停止指定的共享资源。还可以限制计算机设置文件共享,支持共享名的筛选,可以对共享行为进行审计,从而有效阻止大多数病毒通过共享文件传播。支持离线策略。
操作系统管理
操作系统管理:通过修改操作系统的引导记录,实现对终端主机操作系统的管理功能。该功能可以审计终端主机操作系统的重装和安装多个系统的行为,能够禁止多操作系统的使用,当出现违规行为,可发出报警并记录报警审计记录。
c) 数据安全
移动存储管理
基于设备过滤驱动程序,可以屏蔽USB设备,禁止使用U盘和移动硬盘等存储类设备,而仅可以使用USB鼠标和USB打印机等非存储类设备。此外,还能够对光驱、软驱、移动存储设备、串/并口、红外、蓝牙、磁带、1394等设备进行管理。系统提供禁止、允许、监视、关机和阻断通讯等管理方式,对U盘的管理可设置只读或只写等,支持离线策略。
基于设备过滤驱动程序、虚拟磁盘技术、磁盘加/解密技术,提供授权/保密/安全U盘机制,授权U盘和保密U盘功能都是对普通U盘进行修改,在U盘的关键部位添加识别码,使其成为特殊的U盘。当实施了禁用普通U盘策略后,已经授权的U盘仍可以在被授权的客户端上使用,未授权的U盘将被禁止使用,授权U盘在未安装客户端的计算机上也可以正常使用。当U盘被设置成保密U盘后,将无法在未安装本系统客户端的算机上使用,并且保密U盘仅能在被授权的客户端上使用。当U盘被设置成安全U盘后,可将U盘的使用区域分成两个部分,其中安全区域相当于保密U盘,公共区域在授权的客户端和未安装客户端的计算机上可以正常使用,在未授权的客户端上受USB移动存储管理策略的限制。设置U盘的使用权限和属性,信息只能入网不能出网,即使U盘丢失信息也不会被获取,有效防止网内机密信息通过U盘外泄,防止通过U盘传播病毒。
当发生违规操作时,可发出报警,记录报警信息,并提供U盘使用情况分布报表、U盘使用次数排名报表、U盘使用时间分布报表。
基于设备过滤驱动程序,采用PNP技术,可以对终端的USB存储设备进行审计,记录审计信息。
安全审计
打印监控与审计:通过监视打印API函数的调用实现监视计算机的打印行为,可记录是哪台计算机、哪些进程打印过哪些文件,同时也可设置禁止计算机打印文件,并可提供多种方式的报警。针对打印的文件,提供文件备份机制。可添加例外进程,允许这些进程进行打印,既对打印行为进行了管理,又满足了正常打印业务的需求。通过将打印机授权给客户端可满足特定用户的打印机使用需求。设置阻止打印策略后,对违规使用提供报警、审计记录及报表。
邮件发送审计:邮件发送审计功能可以审计终端用户使用网页和邮件软件发送的所有邮件信息,并提供报警机制,确保网管人员及时发现通过邮件形式散播敏感信息或文件的行为,并可快速定位是哪台终端在什么时间、通过什么方式发送了敏感邮件,以及发送邮件的详细信息和附件。支持按照邮件的大小及邮件关键字内容设置报警,关键字长度支持1-50个字,输入范围是汉字、数字、字母、下划线;邮件大小范围为1~9999,单位(MB和KB)。
此外,安全审计还包括文件监控、文件审计、刻录监控与审计、操作系统帐号审计、网络连接审计。
(2)网络维护中心
软件分发:采用独创的级联分发技术,能够提供高效率的文件分发,例如对500台计算机发送100M的文件,耗时在5分钟之内。可以对任何形式的文件进行定时自动分发,支持断点续传、自行设置占用带宽比率以及无人干预下的自动安装,对未在线的计算机,开机后自动补做任务。并通过软件打包工具,能够自动安装软件,软件打包支持office等大型软件。另外,对于分发和安装情况在服务端会及时显示详细信息,包括已成功分发的百分比、未在线需要补做的百分比等。若分发的程序在安装过程中需要修改计算机的注册表等,可添加注册表信息或环境变量等。本系统还可以检测分发的软件是否已经被安装。
远程协助:该功能为服务器登录客户机并对客户机进行远程协助。当因管理、维护或故障排除需要时,网络管理员可以通过本功能远程登录客户机,当服务器显示客户机桌面后,即可以对其进行相应的操作。
远程监视:该功能能够实时看到计算机的屏幕信息,但不对其进行鼠标、键盘进行操作,远程监视计算机的使用情况,并且不影响其使用。此功能需要客户机处进行确认方能进行远程监视,可对屏幕信息截图。客户端处可自行停止远程监视。
系统资源清单:利用操作系统进程相关API,能够快速取得客户机的进程信息,包括进程名、占用内存、线程数等信息,并能够远程终止指定的进程。能够查看系统服务信息及CPU利用率、内存使用总量、当前使用量、使用百分比及网络利用率等性能情况。可远程停止服务,支持进程信息及服务信息的导出。
远程运行程序;发送消息;开机、关机、重启、注销;注册表管理;锁定/解锁计算机;阻断/恢复网络通讯;IE配置;绑定IP地址;计算机名管理;配置网络;桌面策略配置;电源管理。
(3)行为管理中心
应用程序管理:· 可以设定计算机只允许运行什么程序或禁止运行什么程序,在操作系统驱动层对进程的运行进行监视和控制,当进程在启动过程中,如果发现有不应该运行的进程,则终止其运行,即使终端用户修改了进程名仍可对其进行管理,对于设置只允许运行某些程序的策略,支持子进程管理。· 可审计终端运行的软件,提供列外进程列表,可以设置不进行审计的操作系统进程。· 提供应用程序列表库供策略设置,提供详细的应用程序类型归类,例如聊天软件、多媒体软件、系统工具等。所有策略可设置时间段进行管理。· 对于违规操作,提供多种方式的报警,支持离线策略。· 同时,提供应用程序管理报表,当发现违规操作,可记录信息并提供违规使用进程类型排名、违规使用进程类型的客户机排名、违规使用进程排名和违规使用进程的客户机排名报表。将计算机变成工作专用机,提高工作效率。
网站访问管理:在操作系统驱动层对所有的网络通信进行监控,能够审计及管理客户机的上网情况,如对访问过哪些网页等进行实时的监视。而且,这些上网记录都保留在数据库中,以供查询。此外,支持所有浏览器的网站访问管理,管理方式包括仅审计、禁止访问和只允许访问某些网站,从而对上网行为做到了有效管理。
上网痕迹检查:上网痕迹检查功能可检测计算机是否访问过网站,设置策略后,当检测到计算机访问过网站后,可阻断访问过网站的计算机的网络通讯。支持对当前系统的扫描和对磁盘上的历史上网记录进行扫描。
上网权限管理:可对客户机的网络权限进行设置。默认网页端口80,FTP端口21,邮件端口110,系统采用禁用计算机访问其他计算机相应端口的方式实施实现禁止客户机访问网页、FTP及邮件服务。系统除提供常用的默认端口外还提供自行设置端口权限功能,并能够设置不同的时间段执行策略,发现违规操作,可发出报警,并记录违规访问的报警信息。支持离线策略。
绑定第三方软件:该功能可绑定任意需要安装的软件,执行绑定策略后,当检测到计算机不安装规定的软件时,可以阻断其通讯也可仅提供报警,系统提供多种方式的报警,如控制台报警、客户端报警、邮件报警及短信报警。提供绑定第三方软件报警趋势图和绑定第三方软件客户机报警排名报表,报表支持打印和导出。
此外,行为管理还包括带宽管理、定时录屏、定时截屏、终端服务管理、软件安装监控与审计。
(4)资产管理中心
资产管理能够为用户提供计算机的软、硬件资产情况的统计及监视,并能够提供详细的报表,让网络管理员对资产的情况一目了然。
硬件资产统计:可以快速的获取计算机硬件配置的详细信息,信息包括CPU、内存、硬盘、显卡、光驱、软驱、主板、声卡、显示器等硬件资产的统计查询,提供资产清单,支持清单的导出。提供CPU-主频分布报表、硬盘-容量报表、硬盘-个数统计报表、内存-容量报表、显卡-容量报表、声卡-制造商统计报表、光驱-个数统计报表、软驱-个数统计报表、网卡-个数统计报表、显示器-名称统计报表、主板-制造商报表。各种报表均提供饼图及详细列表信息,支持导出及打印。
另外,软件管理中心还包括软件资产统计、硬件变更信息统计、软件变更信息统计、系统资源监控。
无需网络设备支持,适用于任何类型网络;无需修改任何网络配置,不受防火墙限制;“无漏洞”的准入管理:
1. 五合一(硬件服务器、服务器操作系统、数据库系统、准入控制服务器、终端安全管理平台)的软硬件结合产品,极佳的兼容性和稳定性,并且最大程度的为用户节省了建设成本。
2. 快速部署,仅需配置IP地址即可投入使用。
3. 轻松维护,出现故障自动修复,快速完成。
4. 有效控制仿冒合法IP和计算机名入网。
5. 有效控制与网内计算机直连入网。
6. 有效控制私接路由入网。