行业全面内网安全与网络行为管理解决方案(共30页).doc

《行业全面内网安全与网络行为管理解决方案(共30页).doc》由会员分享，可在线阅读，更多相关《行业全面内网安全与网络行为管理解决方案(共30页).doc（30页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、精选优质文档-倾情为你奉上解决方案济南华软金盾软件有限公司2022年5月21日目 录1. 内网安全面临的挑战随着计算机网络技术、Internet 、Intranet和数字通信技术飞速发展，信息网络技术的应用层次不断深入，应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展，如电子政务、电子商务、CIMS、知识管理、电子金融、社会保障、GIS系统等。大量的技术和业务机密存储在计算机和网络中，对网络安全性要求变得越来越高，需要有效地制定安全策略以保护机密数据信息。通常的安全策略的一个基本假设是：网络的一边即外部的所有人是不可信任的，另一边即内部的所有人是可信任的。通常认为黑客、病毒以及各种蠕

2、虫的攻击大都来自外部的侵袭。但是，根据美国FBI的统计，各种计算机网络、存储数据遭受的攻击和破坏，80是内部人员所为。来自内部的数据失窃和破坏，远远高于外部黑客的攻击。企业内部竞争性情报信息是企业无形资产管理的重要部分。俗话说“知己知彼，百战不殆”，如何保护企业自身重要情报不被竞争对手窃取，使企业在使用网络来提高工作效率的同时避免企业重要的知识产权遭受侵害，将是文档安全管理的一个重要课题。传统的安全解决方案比如防火墙、入侵检测、防病毒在网络安全中起到非常重要的作用。由于现在网络边界的概念逐渐模糊，通过VPN、无线上网、远程拨号等方式连接到内部网络变得非常普遍，内网上各种信息滥用、误用、恶用行为

3、增加，严重影响内网安全。对于以上安全问题，传统安全技术显得力不从心。 企业内部竞争性情报类型主要有： 企业的机密技术文件、产品研发资料 设计图稿 会计账目、财务报表资 战略计划书 外购竞标信息和供应链合作伙伴信息 重要研究成果 研究论文 市场营销策划资料 其他：如董事会、投融资等方面管理类资料，客户资料 据IDC统计，80%以上的安全威胁来自于内部，企业内网所面临的安全隐患主要表现在如下几个方面： 1. 补丁升级与病毒库更新不及时、蠕虫病毒利用漏洞传播危害大 2. 非法外联难以控制、内部重要机密信息泄露频繁发生 3. 移动电脑设备随意接入、网络边界安全形同虚设 4. 攻击方法日新月异，内部安全

4、难以防范 5. 软硬件资产滥用、资产安全无法保障，网络故障频发6. 网络应用缺乏监控，网络滥用严重 7. 缺乏外设管理手段，数据泄密、病毒传播无法控制 8. 内部竞争情报和具有知识产权图档泄露严重9. 管理制度缺乏依据，无法取证，安全策略无法有效落实 2. 企业需求分析2.1. 信息安全管理背景市场竞争越来越表现为技术的竞争、知识的竞争和决策能力的竞争。以网络技术、计算机技术、电子信息技术为支撑的管理信息系统为企业提供了有力的支持。但是，不少商业企业已将企业信息化建设提到战略高度来看待，不惜投入重金进行管理信息系统的开发和建设。但从整体上来看，其建设效果多数未能达到企业所期望的目标和结果。因此

5、，认真研究其原因，特别是对商业企业信息化建设过程中存在的各种阻碍性问题加以剖析和研究。我们必须认识到，管理信息系统是企业经营目标服务的应用系统，是企业管理的延伸和变革。企业信息化建设是企业全局性工作，关系到企业生产力的解放和经济效益的提高。因此，加强组织领导是实现信息化建设的保证。2.2. 内网安全现状整体需求分析2.2.1. 企业信息管理的可控性互联网给企业带来的好处简直太多了。然而开放的网络中充斥着各种与业务无关的信息，色情、暴力、反动等不健康内容随处可见，这些内容常常不请自来，通过邮件，BBS等，简直到了无孔不入的地步。有的员工视单位电脑如免费网吧，浏览不相干的网站、下载游戏、QQ聊天、

6、收发个人E-MAIL、看电影，甚至逐渐演变成为打发上班时间的主要活动。但是，企业的工作效率因而大大降低，不少企业管理者为此忧心忡忡。2004年美国财富杂志称：“没有控制的互联网是办公室里资源浪费最多的设置之一。”2.2.2. 企业信息的保密随着现在企业与人才之间双向选择的推广,在企业规模的不断扩大的过程中,企业会经历不只一次的大的人事变动,以及数量频繁的小的人事流动,而在人员流动的过程中难免出现信息的泄露，比如:销售人员带走你的客户资源等,也不可能保证每个员工对你的都是忠诚的,通过公司的网络,公司的e-mail发走公司的机密信息,U盘软盘拷贝走公司的秘密资料,用公司的打印机打印敏感的文件,显而

7、易见这会给公司造成很大的损失。2.2.3. 管理的可靠性和安全性现今网络里的病毒,木马和各种攻击,入侵方式多的不计其数,它们对网络造成了极大的损失,特别是对我们这些现代化企业危害更为明显,只要我们的网络被病毒或者攻击等方式导致瘫痪,在信息化高度应用的今天，企业也会陷入瘫痪。.现在对于安全的考虑大多是事后解决,防火墙只能执行事先设定好的规则,而IDS的误报率很高,杀毒也只能是在病毒出现后给出解决,怎么样找出一个综合的解决方案。对于企业来讲，必须面对或希望解决这些的安全和管理问题，这也造成了企业对这方面产品的需求。3. 全面内网安全建设总目标全面内网安全=网管软件+监控软件+传统内网安全+加密软件

8、技术层面和管理层面的良好配合，是组织实现全面内网安全系统的有效途径。其中，全面内网安全技术通过采用包括建设安全的主机系统和安全的网络系统以及可信的客户端系统的安全产品的方法来实现。在管理层面，则通过构架信息安全管理体系来实现。以集团公司信息中心为中枢建立主控计算机网络系统，在各地分公司、办事处分设分控服务器，将全国各个分公司、办事处的工作情况，资产信息，通过VPN来实现与总部信息中心互通，汇总后与总部网络的互连，总部可以通过总控平台对全国各地分公司、办事处办公人员的PC、笔记本实现监控管理，分支机构也可使用分控中心管理自己的客户端。改善公司内部管理。使总部对各地办事处管理纳入稳固的良性运行机制

9、。同时使公司内部及时的“上情下达、下请上报”，使决策者随时掌握内部的各种资源状态，并逐步在全部门形成“快速准确获取信息、高效统一实施管理、人财物合理调配、产供销互相协调”的新局面。q 事前控制。对信息传递途径进行控制，实现全面的终端通讯设备和存储设备的彻底控制；进行局域网接入保护，实现外来电脑的接入局域网络限制；制定详细的报警策略，对非法接入设备进行及时报警提示；制定详细的互联网信息传递阻断策略，对非法信息传递进行阻断；q 事中审计。操作屏幕监控，对泄密过程进行屏幕记录及自动保存，方便现场查看，事后录像回放；进行全面的电子文档操作记录，包括对电子文档的访问、创建、复制、移动、改名、删除、恢复、

10、打印等操作，实现完整的电子文档操作痕迹保留；q 事后审计。进行电子文档操作历史及屏幕记录，便于信息泄密后审计；对互联网信息传递进行备份，便于信息泄密后审计。q 让员工快速融入到单位的网络文化中来。通过我们的禁用网站、禁用应用程序、禁用设备等功能，以及客观的网络行为审计报告，避免新员工带来不良的网络行为，杜绝不良的网络行为在新单位的蔓延！q 在职员工网络行为管理更优化。让员工在公司规定的时间访问指定的网站和程序，充分利用网络资源，营造轻松愉快的工作氛围，大大提高办公效率！q 离职员工的离职网络行为管理。实施离职员工的网络行为针对性管理，杜绝情绪化离职员工恶意网络行为的发生，避免离职员工将公司机密

11、信息泄密。q 保护企业所有竞争情报和图档保护企业内部董事会和办公室等各职能部门的office、WPS文件，保护去也设计研发中心的cad二维或三维图纸，全部实施加密保护，杜绝所有可泄密图档路径。q 及时掌握软、硬件资产情况。获取大量所管理设备的最新信息，是信息化资产核对有效的依据。实现远程信息管理，同时，对异常的软件、硬件变化及时报警；q 实现自动化网络管理。轻松的记录和查看异地网络的计算机使用情况和配置信息，实现远程桌面管理、程序修复等远程控制和管理功能。q WINDOWS升级方便快捷的为局域网内每台不同的WINDOWS操作系统进行补丁升级，及时补缺漏洞，提高公司网络安全性q 应用程序全局安装

12、只要鼠标轻松一击，便可使应用程序安装在每台计算机上，免除烦杂的重复作业。q 文件派发内部文件资料迅速派发到每台终端，让员工及时掌握公司动态。q 。3.1. 企业网络需求分析A. 一些重要文档如：财务报表、设计图纸、客户资料、源代码等以明文形式保存，通过邮件、即时通讯工具（QQ、TM、MSN）、U盘等移动存储设备、拆卸硬盘等发往外网造成泄密；B. PC机和网络设备的软硬件IT资产管理混乱；C. 科室和PC机众多管理不方便，登记混乱；D. 要求合理利用IP，杜绝IP冲突，防止arp病毒的攻击；E. 对员工的桌面工作情况无法准确定位判断分析；F. 员工在上班时间玩游戏、下载、上传、看在线影视影响企业

13、形象，占用网络带宽资源造成其他办公系统无法正常运作、而且降低工作效率甚至引发病毒。G. 特定的文件程序共享后分发安装繁琐。H. 打印机、外部接口随意使用。I. 非法机器设备接入内网，随意访问内网资源；内部机器违规非法外联；J. 信息中心摘除了PC的光驱软驱，软驱，但是U盘使用广泛，病毒从U盘感染到内网，扩散很快，无法彻底清除。K. 对大量PC客户端的维护工作量大，不便于维护管理。L. 要求对网络行为时时控制，时时记录并保存日志。M. 要求对网络中潜在的危险行为做到主动防御，事前预防，事后追踪。N. PC总会遭到病毒的攻击，如何及时的打补丁给相关部门提出了新的要求。O. 对浏览过的网站和文件的操

14、作新建、修改、删除、重命名等没有详细记录日志。P. Windows系统补丁及时自动下载安装。3.2 企业网络解决方案通过华软的金盾内网安全的部署，成功的解决了以上问题。A. 通过金盾CIS加密解密模块在不影响用户使用习惯的情况下,强制透明自动加密涉密资料以及重要数据；控制泄密资料以邮件、即时通信工具、U盘拷贝等方式泄密。即使发到外网数据在没有金盾客户端的情况下无法正常使用，强制打开将以乱码方式显示，看不到文件的明文。这也是杜绝泄密的有效办法从泄密文件根源上来解决问题。B. 通过金盾CIS的USB存储管理功能解决U盘等移动存储设备的任意混乱使用，可分组、分时效、分个人、分权限使用注册USB存储设

15、备；可将外部设备和内部设备做出区分对待；C. 通过软、硬件资产审计功能，能够对内网的PC进行软硬、件资产的审计，防止国有资产流失。D. 通过金盾CIS的移动外发管理可以灵活区分泄密资料数据在各种应用场景下的处理与应用；场景详情详见下图：泄密流程图解决方案图E. 通过IP绑定功能，可以对内网中IP合理管理，让IP冲突成为幻影。F. 通过多屏监控和每日应用程序审计功能可以实时观看员工的桌面行为，以及每天的访问应用程序记录，可以客观的评估员工绩效；G. 通过网络拓扑功能，可以对网络中的设备可视化查看管理。H. 通过程序黑名单功能，可以禁止客户机使用类似游戏，下载、上传、在线影视一类的软件。I. 通过

16、远程文件程序分发功能，可以对所有PC客户端轻而易举的远程安装分发。J. 通过打印机管理、外部接口管理功能，可以限制PC客户端的打印机和外部接口使用。K. 通过入侵检测功能，可以对非法接入到内网中的主机进行限制告警。L. 通过USB存储管理功能，对外部USB类存储设备禁用。M. 通过远程调试功能，可以轻松的远程解决各客户端的故障问题。N. 通过文件审计功能，对PC客户端的所有操作准确记录。O. 通过非法外联报警功能，可以禁止内网PC访问互联网。P. 通过补丁管理功能，自动对下面的PC的操作系统进行升级打补丁。3.3 企业网络方案总结通过华软部署方案可以有效防范和应对各种网络安全问题。加强了网络安

17、全技术平台建设，实现对网络安全运行情况的全方位监控，提高网络安全事件的异常发现能力和分析能力，确保骨干通信网络和重要信息系统安全可靠。健全和完善网络信息化系统，软件能有针对性、实效性的监视网络性能，而且有强大的应急处置能力和协调处理能力，确保在网络安全紧急事件发生时能够主动预防，准确判断、快速反映和有效应对，尽可能避免或减少网络安全突发事件对经济社会发展带来的影响和破坏。4. 全面内网安全管控平台-金盾CIS5 4.1. 金盾CIS5概述金盾全面内网安全与网络行为管理软件V5.0（Jin Dun Comprehensive Intranet Security & Network Behavio

18、r Management Soft），简称金盾CIS5,是一套融合了最新信息技术和“全面内网安全管理”及“终端统一威胁管理”先进管理理念的里程碑式的软件产品。她融合了监控软件、网管软件、加密软件、内网安全等产品的功能，构建了一套可信赖的全面内网安全管控平台，使得用户的网络行为管理更规范，从根本上提升网络和PC有效利用，全面提高工作效率；使得内网安全的诸多隐患得到全面的管理和监控，实时监测内网的运行，洞察客户端的一举一动；使得图档更加安全，内网的竞争情报和具有知识产权的数据信息不再担心外泄，几乎封堵了现在能够想到的所有泄密的途径，是目前国内极具竞争力的全面内网安全解决方案。 金盾CIS5采用了高

19、度模块化设计，包含了网络安全管理、网络行为管理、网络维护管理、加密解密管理、windows补丁管理、IT资产和维修管理、网络通信管理、网络工具、报警管理9大子系统，其核心是实现全面内网安全的管理、控制、监督、决策。与传统的网管软件、防水墙、内网安全软件、加密软件相比，她具有更强的监控和防范功能。一体化的解决方案安全设计，并广泛支持各种复杂的网络和集团化应用。同时，他具有高度模块化的商业智能，用户可根据自己的安全需要，任意组合，自由选择，构建一套为客户按需定做的面向不同行业，不同用户的独特解决方案和应用软件包。金盾CIS5是一个强有力的软件包，她提炼并升华了国内市场上的主流产品的优势以及华软近3

20、000家用户的管理需求，同时注入了互联网时代企业管理面临的众多挑战的管理理念。金盾CIS5在强调企业内部管理的同时，同时关注外网的安全，尤其是内网人员在访问外网时的规范，如“程序黑白名单、网站黑白名单，互联网带宽分配”等，有效防止内网人群对互联网资源的滥用和带宽的非法占用。金盾CIS5可以帮助企业的高管或信息主管把众多的客户端纳入到一个紧密的管控平台，根据不同的角色和权限，针对每个客户端施加不同的策略，既保证每个客户端的正常有序工作，又能全程监控客户端的所有操作，如：“网站审计、文件审计、打印审计、IM（QQ/MSN/YAHOO通/UC/SKYPE/淘宝旺旺/贸易通）审计、邮件审计、屏幕快照、

21、多屏监视、屏幕录像”等，满足企业对网络使用规范和管理制度的有效执行，以期进一步提高市场竞争的比较优势。金盾CIS5全面满足集团化企业的应用，支持多组织架构管理，可分散部署，集中管理或集中部署，集中管理，其管理特征为，一个数据中心，二大管控平台，三层产品架构，九大产品子系统，N个服务端，N个总控中心或分控中心。随着中国经济持续高速增长，企业的兼并重组、合纵连横步伐明显加快，集团性经营成为发展的必然趋势。面对全球一体化和激烈的市场竞争，集团企业面临更加复杂和严峻的生存环境。在管理方面，集团与单体企业相比具有跨地域、跨行业等特点，面临的管理问题更多，更为复杂：由于管理跨度大、层次多，集团对分子公司的

22、控制乏力；由于信息不能及时、准确地收集和传递，导致集团决策滞后、市场反馈迟缓；由于缺乏有效的调配手段，网络利用率低、成本高、风险大。为适应市场发展需求，华软在国内独家推出全面支持集团化管理的软件产品，在金盾CIS5一套软件中，可实现集团公司对N个下属机构一体化管理，也可实现分支机构的自我管理，从根本上实现了集中管控和分权控制的对立统一。信息安全的终极目标是保障信息在存储和使用时的安全。信息安全的漏洞既可以存在于有线或无线、固定或移动网络之中，也可以是通过USB 等设备接口经由直接的物理接触构成，例如，封堵USB 盘窃取文件，但仅仅有这些是远远不够的，从理论上讲，只要图档是明文存放的就有泄密的可

23、能。金盾CIS5在内网安全方面为用户提供了众多的安全漏洞的封堵和管理，如：“USB设备和存储管理、红外设备、蓝牙、打印机、新增设备、新装软件”等管理。同时又提供了加密解密管控平台，从根本上杜绝图档等重要数据的泄露，而且在泄密途径上进行防范，如：收发邮件加密，IM工具传输加密，防复制粘贴等所有可能的泄密途径进行规避，本功能采取了国内领先的透明加密解密技术，以不影响客户端的正常工作为目标，以不损坏文件的内容为终极设计理念，具有全盘数据加密以及灾难恢复等独到功能。而且在国内首次采用了指纹设备的认证技术，方便用户的移动办公，只有具有相符指纹特征的人员可对文件进行读写，达到了在内网和离开内网同样强度防护

24、的目的。本设备采用美国最先进活体指纹采集技术，精确可靠，航天级特种纳米涂层工艺处理指纹采集头，经久耐用。金盾CIS5产品不仅是企业全面内网安全的应用平台，而且也是企业中各个部门或下级与上级协同工作的管控平台，针对大型企业规范化程度高、流程环节严密，内部数据保密强度高等特点，金盾CIS5提供了工作流管理,主要应对加密文件的解密的审批流程。通过解密流程管理，用户可根据自己的组织架构的特点设计解密审批流程和权限，并且采用了推的管理方法将审批信息自动传递给相关领导，极大的提高了解密处理的灵活性。智能化的系统提示，图形化的使用界面，让使用者可以在一个友善的环境中利用最少的时间完成最有效的工作，解决了业内

25、软件普遍存在的解密流程复杂或不可控的顽疾。在一个庞大的网络内，网管人员维护客户端的工作量是巨大的，同时病毒也是一个需要面对的首要命题。金盾CIS5为网管提供了强大的维护网络的工具，如：远程控制、远程文件管理、远程配置、远程IP资源维护等，使得的网管足不出户就可实现对全网的客户端维护，极大减轻了网管人员的工作量。面对病毒的肆虐，金盾CIS5提供了有力的防护工具，可全自动实现windows补丁以及office等所有微软产品补丁的同步下载和分发，及时封堵漏洞，不给危险分子以可乘之机。同时金盾CIS5实现了与各大杀毒软件的联动，如：瑞星、江民、金山、卡巴斯基、趋势、诺顿等，没有安装杀毒软件的禁止接入内

26、网，客户端出现病毒，自动报警，自动阻断，为有效防止病毒侵入内网提供了安全的管理工具。近几年，“内贼”事件频繁发生，其特征为一种确为内部人员所为，一种是非法接入内网的非法用户所为，在金盾CIS5中，除深度关注合法内网人群的非法行为之外，还重点对非法接入内网的用户进行了众多功能上的防范，如：“禁止非法外联、IP与MAC地址绑定、非法用户接入内网报警、非法用户禁止访问内网外网”等，在内网的合法用户之间构筑一道不可逾越的安全的“墙”，把非法用户坚决隔离在“墙”外。4.2. 金盾CIS5系统特色q 国内“全面内网安全”和“全面内部威胁管理”理念的首倡者和实践者。q 产品稳定可靠，支持海量客户端管理q C

27、/S多层技术架构，全部采用VC+开发q 全面满足集团化应用和多组织架构管理q 软件应用架构科学，支持分散部署，集中管理q 跨VLAN,支持多网段，域控制器（AD模式），VPN q 全面兼容近20种杀毒软件，穿透各大软件防火墙q 客户端升级便捷迅速，全网自动升级q 客户端占用资源少，全面支持VISTA操作系统q 网管与加密统一集成管控平台，统一终端安全管理q 掌控网络终端，规范网络行为，实时监控PC运行q IT资产尽在掌握，维修保养全程记录q 联动杀毒软件，杜绝病毒网内肆虐q 同步windows补丁升级，集成WSUS补丁服务器q 实时流量监控，带宽分配，入侵监测实时报警并阻断q 实用的网络工具，

28、极大减轻网管的运维压力q 领先业界的强制透明加密技术，提供身份认证，非法用户不能开机或登陆系统q 自定义加密图档格式，支持任意图档格式加密q 独家采用金盾指纹识别设备保护脱网图档安全q 独家采用硬盘数据全加密和灾难图档自恢复技术q 八大实时报警信息，四大报警处理选择q 强大的图文报表管理功能，提供灵活的解密工作流q 国内近3000家用户的信心保障，近20家客服中心提供本地化服务4.3. 金盾CIS5主要功能列表CIS5类别CIS5主要功能模块CIS5功能详细说明网络安全管理浏览网站审计记录上网信息，对客户端所登录的网站进行详细记录文件操作审计详细记录文件复制、粘贴、剪切、改名、删除等操作文件操

29、作保护保护客户端文件，可设定访问、修改、改名或删除等文件操作权限打印内容审计对客户端打印的文件的名字和页数及其相关内容记录光驱管理禁止使用或允许使用“光驱”软驱管理禁止使用或允许使用“软驱”刻录机管理禁止使用或允许使用“刻录机”增加打印机管理禁止使用或允许使用“增加打印机”本地打印机管理禁止使用或允许使用“本地打印机”网络打印机管理禁止使用或允许使用“网络打印机”USB存储管理禁止使用或允许使用“USB存储设备” 如：U盘，智能手机，可细分为只读，只写或读写权限Modem管理禁止使用或允许使用“Modem” USB外设管理禁止使用或允许使用“USB外设” 如:扫描仪PCMCIA管理禁止使用或允

30、许使用“PCMCIA” 红外线接口管理禁止使用或允许使用“红外线” 蓝牙设备管理禁止使用或允许使用“蓝牙设备” 1394设备管理禁止使用或允许使用“1394设备”COM端口管理禁止使用或允许使用“COM端口”禁止截屏禁止使用或允许使用“屏幕截取功能”新安装软件管理禁止使用或允许使用“新安装软件”新增加设备管理禁止使用或允许使用“新增加设备”屏幕属性管理禁止或允许使用“屏幕属性”控制面板管理禁止或允许使用“控制面板”任务管理器管理禁止或允许使用“任务管理器”设备管理器管理禁止或允许使用“设备管理器”网络行为管理实时进程管理终止客户端正在运行的程序进程，可批量终止进程实时服务管理远程查看系统服务管

31、理列表，支持对各项服务的启用/禁用设置事件日志管理查看客户端windows日志，可维护锁定键盘/鼠标锁定客户端键盘/鼠标注销/重启/关机注销/重启/定时关机，可自定义关机时间程序黑白名单禁止或允许使用的应用软件，分时段控制，支持模糊关键字，如“QQ”每日应用程序报告统计每日应用程序（数据、饼图、柱图）网站黑白名单禁止或允许使用的应用软件，分时段控制, 支持模糊关键字，如“163”每日上网报告统计每日上网（数据、饼图、柱图）客户端程序保护强制客户端运行某程序,如”ERP客户端程序”注册表保护保护客户端的注册表，不允许修改，编辑上传管理禁止使用或允许使用“文件上传”下载管理禁止使用或允许使用“下载

32、文件”上网时间管理可自定义客户端上网的时间，如：从8：00-12：00不能上网聊天内容和文件监控QQ/MSN/TM/RTX/SKYPE/贸易通/UC/雅虎通/淘宝旺旺等聊天内容和文件发送监控多屏监视同时监控多个客户端屏幕，一屏显示支持2X2,3X3,4X4,屏幕快照远程截取客户端即时屏幕屏幕录像远程实时监视屏幕并录像，可后台播放所有记录屏幕影像邮件监控监控客户端的邮件发送的正文、标题、收发件人以及附件加密解密管理自动加密根据客户端所对应的策略自动强制加密相应客户端文件手动加密解密文件对任何文件加密解密手动加密解密目录对任何目录加密解密移动指纹识别系统生成生成移动指纹识别系统，文件拷贝到本设备后

33、，指纹相符的人可使用文件外网用户系统生成对脱离局域网的外网用户，如：合作伙伴、供应商等离线文件操作保护硬盘数据全加密加密客户端全部要加密的格式文件，不论老文件还是新文件灾难加密数据恢复解密客户端全部文件，灾难恢复（数据库崩溃，密钥丢失）网络维护管理远程网络配置对客户端进行远程网络配置，如：IP地址，网关，DNS,电脑名称等信息批量网络配置对所有计算机批量网络配置，如：IP地址，网关，DNS等信息网络属性管理禁止使用或允许修改IP地址，网关，DNS等信息拨号连接管理禁止使用或允许使用“拨号连接 非法外联”IE浏览器设置远程修改客户端IE设置，如：主页，安全级别等信息垃圾文件清理定时清理客户端垃圾

34、文件网络共享资源管理管理客户端共享资源，可分类阻止共享任何文件夹远程调试远程调试客户端，可完全接管客户端的键盘，鼠标，屏幕Windows补丁管理（集成微软WSUS）补丁服务器设置详细设置补丁服务器下载参数，集成WSUS管理web界面补丁信息分类查询查询下载的所有各操作系统的补丁信息补丁自动分发设置自动给客户端分发补丁查询补丁安装信息查询客户端所有补丁安装信息IT资产管理硬件资产信息自动生成所有客户端计算机硬件资产 硬件资产信息查询多条件查询所有客户端的硬件信息软件资产信息自动生成所有客户端计算机软件安装信息 软件资产信息查询多条件查询所有客户端的软件安装信息 硬件资产维护可编辑硬件资产信息，增

35、减字段，最后形成固定资产表格硬件资产维修管理可记录维修情况网络通信管理即时流量管理内、外网即时流量管理，超过设定峰值报警历史流量查询历史流量统计，内网输出，输入，外网输出，输入互联网流量管理互联网流量控制，可分配客户端带宽，如最大流量100K通信协议和端口管理协议和网络端口控制可阻断客户端的相关协议和端口入侵检测管理检测和防止非法机器接入内网，一旦接入，自动阻断网络工具管理远程文件分发集中、定时、不定时发送文件或安装程序远程文件管理可远程管理客户端硬盘上的所有文件，可拷贝，删除等操作端口扫描扫描客户端所有端口并可关闭端口终端杀毒软件管理对客户端安装杀毒软件的情况进行监控和管理，并能够对客户端杀

36、毒软件实施远程操作（病毒查杀、升级、软件安装等）阻断客户端可远程强行阻断客户端的通讯，使完全从网络隔离网络拓补图网内拓补图生成实时报警管理客户端异常报警客户端异常、非法卸载等报警，可自动阻断、关机 启动 发通知信息流量异常报警对网络客户端流量进行监控报警，客户端输入或输出流量超过管理员设定阈值时报警，可自动阻断、关机 启动 发通知信息硬件信息变化报警客户端硬件信息变化报警，可自动阻断、关机 启动 发通知信息软件信息变化报警客户端软件信息变化报警，可自动阻断、关机 启动 发通知信息违规联网报警非法连接互联网报警，可自动阻断、关机 启动 发通知信息非法设备报警非法外来设备报警，可自动阻断、关机 启

37、动 发通知信息IP/MAC绑定变化报警IP或MAC变化报警，可自动阻断、关机 启动 发通知信息电脑名称变化报警电脑名称发生变化报警，可自动阻断、关机 启动 发通知信息系统配置系统配置整个系统的基本配置，相关参数设置部门配置 根据单位组织结构,建立部门配置信息，包含部门密钥策略组管理自由定义客户端组策略加密图档格式定义软件预置大量常见格式，特殊格式可自定义加密策略定义以部门为单位定义要加密的图档格式浏览图档格式定义定义登录人员可浏览的图档格式加密解密管理组管理组人员可打开或解密下级文件数据库配置 SQL-SERVER2000数据库配置远程通知全网、分用户组和针对单独客户端发送消息客户端信息管理显

38、示客户端基本配置信息 系统维护系统锁定离开机器，锁定控制台客户端卸载密码维护可修改卸载客户端密码远程卸载客户端在控制台上远程卸载客户端删除客户端信息在控制台上删除客户端信息控制台帐号设置控制台帐号管理以及权限设置客户端帐号设置客户端帐号删除以及密码修改，可控制不允许修改客户端帐号和密码 操作日志登录用户使用功能的记录，尤其是解密文件的日志4.4. 金盾CIS5产品框架内网安全管理软件为了适应企业安全的需求，需要具备如下特性：1 高质量：能够深度满足用户需求，同时能为客户快速定制；2 低成本：模块化的管理软件系统结构，保证模块的重用特性；3 易调整：提供柔性化配置接口，能够快速满足客户个性化应用

39、的需要；4 可集成：提供开发性应用框架和标准化接口，使企业内部各安全系统能方便的集成，例如，与杀毒软件，网络设备管理软件等系统的集成。为了满足上面提出的一系列企业信息安全的建设目标，在提供完善的内网安全系统的基础上，从业务逻辑、业务环境、安全应用、安全集成四个方面华软开创性地推出了新一代全面内网安全管控平台金盾CIS5。金盾CIS5是华软积聚6年安全行业的管理经验自主研发的新一代内网安全管控平台。金盾CIS5采用了典型的多层开放式体系架构(n-tier)，支持多种客户端设备和多种数据库、操作系统，支持基于internet 的调用与传输标准和分布式计算模型，有效解决了系统安全性、开放性和海量数据

40、处理。4.5. 金盾CIS5产品部署金盾CIS5基本系统由四个不同的组件组成：客户端组件、服务器组件、控制台组件、WSUS补丁服务器组件。用户可以根据具体需要将它们安装在局域网中的计算机上。客户端组件安装在每一台需要被监视的计算机上。服务器组件用来存储和管理所有安装客户端组件的计算机，用于管理监视所产生的相关数据，一般安装在一台具有大容量内存和硬盘的服务器计算机上。控制台组件主要用于监视每台安装有客户端组件的计算机及查看历史记录，一般安装在网管和管理人员的计算机上，也可以和服务器组件安装在同一台计算机上，WSUS组件主要是定时或不定时从微软网站下载windows、office等微软产品的所有补

41、丁，根据分发策略向所有客户端组件安装补丁。客户端组件的基本功能包括： 定时采集数据并保存 定时将采集的数据传送到服务器 执行服务器端和控制台的安全策略控制台组件的基本功能包括： 实时获取受监视计算机的所有信息 按需要，对单个或对一组目标机进行实时监视，并可以轮流显示多个目标机的屏幕 制定全局或组安全策略和设置监视和控制规则 查看并播放记录在服务器端的历史记录服务器组件的基本功能包括： 定时搜索网络，管理所有已安装客户端组件的机器，并向客户端组件传递相关的设置和命令信息 收集客户端组件的采集的数据，并将其保存到数据库中 备份历史资料 提供方便灵活的历史记录管理、归档、搜索、查看等功能WSUS服务

42、器组件的基本功能包括： 定时或不定时从微软网站下载windwos等微软产品的所有补丁 可定义是否安装补丁、或检测、或批准、或撤销等状态 根据分发策略向所有客户端安装补丁4.6. 金盾CIS5运行环境安装客户端组件的计算机的基本要求： 操作系统Win2000/XP/2003/Vista 最低配置Pentium 赛扬 /128MB 内存/10G 可用硬盘空间 建议配置Pentium III 500/256MB 内存/20GMB 可用硬盘空间安装控制台组件的计算机的基本要求： 操作系统Win2000/XP/2003 /Vista 最低配置Pentium III 500/256MB 内存/10GB 可

43、用硬盘空间 建议配置Pentium 3.0/512MB 内存/50GB 可用硬盘空间安装服务器端组件的计算机的基本要求： 操作系统Win2000/XP/2003/ Vista 最低配置Pentium III 500/256MB 内存/10GB 可用硬盘空间 建议配置Pentium 3.0/512MB 内存/50GB 可用硬盘空间安装WSUS服务器组件的计算机的基本要求： 操作系统Win2000/XP/2003/ Vista 最低配置Pentium III 500/256MB 内存/10GB 可用硬盘空间 建议配置Pentium 3.0/512MB 内存/50GB 可用硬盘空间注：建议服务器端组

44、件和WSUS补丁服务器装在同一个机器上根据客户端数量规模建议服务器端计算机配置：网络规模建议配置50台以下512M内存，CPU 2.0以上，高档PC50-100台1G内存，CPU 2.0以上，高档PC100-200台1G内存，CPU 3.0以上，PC服务器200-500台2G内存，CPU 3.0以上，PC服务器500-1000台4G内存，双CPU，CPU 3.0以上，PC服务器1000台以上4G内存，双CPU，CPU 3.0以上，高档PC服务器注：1、以上仅为参考值，具体应用时会有相应变动，大型网络需要实地调研后确定。2、当上网PC较多时，PC服务器硬盘最好采用SCSI接口的高速硬盘。3、对要

45、求7X24小时运行的网络，可以外接2个以上互联网出口和采用集群技术来实现。4、若客户同时安装WSUS补丁服务器，需适当增加服务器的配置4.7. 金盾CIS5核心思想金盾CIS5的核心理念是“掌控网络终端，规范网络行为；保护知识产权，杜绝图档外泄”，这是中国政府或企业单位在以互联网为核心的电子商务时代，构建全面内网安全所获得的最佳管理与业务实践，也代表着当今世界最先进的管理模式和未来内网安全发展的必然趋势。以客户为中心，提供满足客户实施全面内网安全安全策略的需求，从内网的所有安全隐患及可泄密途径全面监控客户端的一举一动，规范网络行为，保护知识产权。建立事前预防，事中监督、事后溯源追查的一体化安全体系，夯实客户端、网络、服务器的统一安全和集中控管。快速适应企业管理变革，深度满足个性化管理要求，全面提升客户价值。同时，最大限度利用最先进、稳定和成熟的技术，确保最低总拥有成本（TCO）。5. 华软荣誉资质6. 金盾CIS5部分典型客户福建兴业银行 北京市燕山地区国家税务局 深圳出入境管理局山东省济南市经济技术开发区 武汉钢铁集团有限公司 浙江省义乌市检察院成都市审计局 重庆隆鑫摩托 黑龙江国脉通讯山东省武警总医院 临沂市沂水中心医院（临沂市第二人民医院）贵阳联通 漳州市教育局 聊城电力集团公司中国进出口内贸管理处 天津津门信息产业集团