内网安全管理系统解决方案模板11868.docx

《内网安全管理系统解决方案模板11868.docx》由会员分享，可在线阅读，更多相关《内网安全管理系统解决方案模板11868.docx（68页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、内网安全全管理系系统解决方案案模板目录1.方案案概述551.1信信息安全全现状分分析51.1.1信息息安全现现状51.1.2建设设内网安安全管理理系统的的必要性性51.1.3内网网安全管管理最终终目标661.1.4Xxxx内网安安全管理理系统设设计标准准72.内网网安全需需求分析析82.1终终端运维维管理需需求分析析82.1.1系统统运行管管理分析析82.1.2系统统监测需需求分析析102.2终终端安全全加固需需求分析析102.3终终端安全全审计需需求分析析123.XXXX内网网安全管管理系统统解决方方案1333.1方方案目标标和内容容133.2终终端运维维管理解解决方案案143.2.1防病病

2、毒软件件管理1143.2.2文件件安全1143.2.3系统统日志管管理1553.2.4时间间同步1153.2.5远程程协助1163.2.6资产产管理1163.2.7补丁丁管理1183.2.8软件件及消息息分发2203.2.9设备备入网监监测2333.2.10网网络流量量监测2243.2.11健健康监测测243.2.12主主机性能能监控2243.3终终端安全全加固解解决方案案263.3.1终端端安全配配置2663.3.2终端端防火墙墙273.3.3终端端主机准准入控制制283.3.4移动动存储介介质管理理283.3.5网络络参数配配置3333.4终终端安全全审计解解决方案案353.4.1进程程监

3、控3353.4.2服务务监控3363.4.3打印印监控3363.4.4文件件监控3373.4.5注册册表监控控383.4.6共享享监控3393.4.7设备备监控3393.4.8账户户监控4403.4.9网络络行为审审计4113.4.10违违规外联联监控4413.4.11软软件安装装监控4424.内网网安全管管理系统统部署及及建议4424.1系系统部署署434.2其其他建议议435.内网网安全管管理系统统设计概概述4335.1产产品设计计思路4435.2产产品的设设计原则则445.3产产品架构构445.3.1客户户端程序序455.3.2总控控中心4455.3.3管理理控制台台465.3.4系统统

4、数据库库465.4产产品性能能465.4.1总控控中心性性能4665.4.2客户户端程序序性能4465.4.3产品品性能指指标4775.4.4自身身安全性性475.5产产品部署署475.5.1部署署模式4475.5.2本地地部署4485.5.3分级级部署4486.成功功案例（部部分）5501. 方案概述述1.1 信息安全全现状分析析1.1.1 信息安全全现状随着业务务的飞速速发展，单单位网络络结构日日趋复杂杂，总部部对部门门、分支支机构的的管理比比较困难难，在网网络中各各个节点点均可能能造成病病毒传播播、非法法接入和和终端违违规操作作等问题题，内网网安全风风险日益益凸显；各节点点随意连连接互联

5、联网，各各用户在在工作时时间P22P下载载占用较较大的带带宽资源源，用户户随意接接入一些些不良网网站，造造成网络络中大量量木马、病病毒的传传播，引引发安全全风险，论论坛发帖帖带来潜潜在的法法律风险险也非常常大，内内部ARRP欺骗骗现象严严重，网网络故障障无法准准确定位位，单位位涉密信信息被非非法泄漏漏，严重重的破坏坏了业务务发展。分析表明明，单位位的网络络信息安安全建设设是一项项复杂的的系统工工程，科科学的建建立内、外外网是网网络安全全的基础础，应用用软、硬硬件技术术是保证证网络安安全的手手段，建建立单位位信息安安全管理理制度是是网络安安全的保保证。1.1.2 建设内网网安全管管理系统统的必要

6、要性目前，单单位的网网络建设设有了很很大的发发展，但但还比较较脆弱，自自身安全全性不高高，在日日常管理理中还存存在着不不少问题题：l 难以监控控外来计计算机接接入内网网。办公公楼层规规模化的的网络接接口方便便了员工工接入网网络，同同时也方方便了外外来计算算机接入入网络，管管理人员员对此类类情况难难以判定定并加以以监视和和控制。l IP地址址使用存存在一定定混乱。如如果没有有严格的的管理策策略，员员工随意意设置IIP地址址，可能能造成IIP地址址冲突，甚甚至导致致关键设设备的工工作异常常。若出出现恶意意盗用、冒冒用IPP地址以以谋求非非法利益益，后果果将更为为严重。l 各类网络络基础信信息搜集集

7、不全。信信息管理理中心对对所管辖辖网络的的用户和和资源状状况难以以掌握，设设备软硬硬件配置置与变更更也难以以知晓，发发生违规规事件时时很难及及时将问问题定位位到具体体用户。l 外围设备备使用控控制困难难。为了了保证内内部安全全，要求求对网内内各计算算机设备备的外围围设备使使用情况况进行控控制，禁禁止或限限制使用用软驱、光光驱、UUSB盘盘、并行行、串行行口、红红外口、113944口、MModeem等外外围设备备，防止止利用移移动存储储设备进进行数据据文件的的拷贝。l 操作系统统补丁问问题。每每隔一段段时间微微软发布布修复系系统漏洞洞的补丁丁，但很很多用户户不能及及时使用用这些补补丁修复复系统，

8、造造成重大大损失。现现在网络络结构庞庞大，网网管要保保证每台台终端及及时全面面的安装装响应补补丁，工工作量很很大，且且很难实实现。l 文件拷出出与打印印等难以以管理监监控。政政府常有有重要的的文件，如如设计图图纸、报报表等，对对这些重重要且必必须保密密的资料料的拷入入拷出、打打印等操操作无法法监控，出出现信息息泄露事事件也无无从追溯溯。1.1.3 内网安全全管理最最终目标标为单位提提供集中中的终端端（桌面面）综合合安全管管理的桌桌面管理理产品，打打造一个个安全、可可信、规规范、健健康的内内网环境境。满足用户户的以下下需求：l 确保入网网终端符符合要求求l 全面监测测终端健健康状况况l 保证终端

9、端信息安安全可控控l 动态监测测内网安安全态势势l 快速定位位解决终终端故障障l 规范员工工网络行行为l 统一内网网用户身身份管理理l 杜绝移动动存储介介质滥用用l 提高和实实现软件件正版化化在为单位位提供终终端安全全保护手手段的同同时，内内网安全全管理系系统还要要强调为为单位提供供便利的的终端运运维管理理手段。集中式、人人性化的的终端管管理能力力是内网网安全管管理系统统的特色色。1.1.4 Xxx内网安安全管理理系统设设计标准准Xxx内网安安全管理理系统的的设计参参考了如如下国家家标准：l GB/TT222239-20008：信信息系统统安全等等级保护护基本要要求l GBT 222240-2

10、0008：信信息系统统安全等等级保护护定级指指南l GBT 222241-20008：信息息系统安安全等级级保护实实施指南南l 公安部中间件传输技术标准规范l 公共数数据交换换系统标标准l 请求服服务系统统标准l 信息授授权策略略标准l 数字证证书格式式标准2. 内网安全全需求分分析内网安全全设计应应从实际际需求出出发，实实现内网网信息严严格保密密的需要要，完成成终端安安全防护护和网络络安全防防护，同同时系统统应是一一个具有有灵活性性，开放放性，便便于扩充充升级的的综合系系统。网络安全全管理平平台方案案应具有有以下特特点：1.采用用最新的的高科技技成果，使使其在网网络信息息管理领领域具有有较高

11、的的水平。2.扩充充方便，修修改灵活活，操作作维护简简单，系系统重启启时间短短，能适适应业务务的快速速变化。3.充分分利用现现有各种种系统的的资源，以以节省运运行成本本。4.规范范系统，从从整体的的角度来来考虑系系统的结结构设计计，基本包包括计算算机管理理系统、相相关数据据库系统统间的直直接或间接接互连。2.1 终端运维维管理需需求分析析2.1.1 系统运行行管理分分析通过系统统运行管管理确保保终端主主机以最最安全的的状态运运行，有有效地减减少病毒毒爆发和和木马泛泛滥带来来的内网网安全隐隐患，减少终终端计算算机被入入侵的可可能性。具体分析析如下：1.防病病毒软件件管理防病毒软软件是计计算机终终

12、端防病病毒的最最终防线线，也是是最重要要的一部部分。防防病毒软软件要保保证长期期、稳定定的运行行并保持持最新的的病毒库库更新才才能真正正起到防防病毒作作用.2.文件件安全普通终端端计算机机的不稳稳定性、安安全性造造成重要要、涉密密数据存存在流失失、丢失失和泄密密的威胁胁，需要要把重要要数据存存储在更更为安全全的服务务器上规规避信息息风险.3.时间间同步员工对计计算机网网络日益益依赖，几几乎所有有的业务务都通过过计算机机来实现现。然而而，计算算机本身身的时间间精度并并不高，走走时不准准；可能能因时间间差异造造成业务务无法正正常完成成。特别别是指挥挥系统、调调度系统统、网管系系统、计计费系统统、分

13、布布式数据据库服务务器等应应用系统统对时间间同步的的要求更更为严格格；4.系统统日志管管理为保证单单位中每每一台主主机能正正常运转转，最简简洁且有有效的方方式是管管理员通通过系统统日志有有针对性性地管理理。5.远程程协助网络管理理员任务务繁重，如如何不用用到每台台计算机机的现场场就解决决远程计计算机维维护工作作，把管管理员从从日常繁繁重工作作中解脱脱出来？远程协协助功能能在此可可以发挥挥作用。6.资产产管理由于用内内网中的的计算机机众多，管管理人员员对网内内的资源源占用和和用户情情况难以以准确掌掌握和更更新，对对实际接接入的计计算机数数量难以以进行精精确的统统计，对对面临的的危害难难以做出出动

14、态的的评估和和有效的的防范。内网中资资产管理理、变更更的统计计、分析析及报警警是保护护单位利益益的重要要方式单单位对此此项功能能的需求求非常强强烈。资产信息息管理报报表可作作为单位位合规部部门的重重要数据据。7.补丁丁管理系统补丁丁管理是是内网安安全管理理的重要要环节，成成熟的系系统补丁丁管理可可以使管管理人员员对操作作系统及及应用软软件的补补丁进行行部署和和维护控控制，可可以帮助助保持终终端运作作效率和和有效性性，克服服安全漏漏洞并保保持办公公环境的的稳定性性。通过过成熟稳稳定的补补丁管理理程序在在网络环环境中评评估并保保持系统统软件的的完整性性，也是是成功实实施信息息安全程程序的关关键步骤

15、骤。目前，很很多单位位在网络络部署了了微软的的软件更更新服务务(WSSUS)，但单单纯的WWSUSS在补丁丁管理上上存在以以下问题题：（1）配配置复杂杂：如果果网络区区域没有有实现域域管理，无无法方便便配置众众多终端端计算机机的补丁丁更新策策略，使使得补丁丁更新不不可控。（2）信信息获取取有延时时：重要要补丁不不能及时时安装后后果可能能非常严严重，终终端计算算机从内内网WSSUS获获得最新新补丁信信息并下下载安装装，可能能有222244小时的的延时。（3）无无法明确确补丁安安装情况况：WSSUS不不能获取取各终端端计算机机的补丁丁信息，无无法迅速速定位处处于危险险中的计计算机。8.软件件及消息

16、息分发员工多、更更新软件件多及单单位的单位公用用消息多多为当前前单位信息息化建设设中需着着重考虑虑的问题题，软件件分发、消消息分发发可方便便、快捷捷地满足足单位的信信息化要要求。2.1.2 系统监测测需求分分析通过系统统监测可可以让管管理员及及时了解解整个网网络内终终端主机机的状态态，针对对存在的的安全隐隐患及时时采取有有效措施施，更好好地保证证内网的的可靠性性。具体分析析如下：1.设备备入网接入内网网的计算算机应该该是专用用于业务务工作的的计算机机，其他他外来用用户随意意接入网网络，可可能会造造成病毒毒传播、重重要机密密数据泄泄露等危危险。从传统的的网络管管理手段段来说，可可以通过过在交换换

17、机上进进行MAAC地址址与端口口的绑定定来达到到防止外外来用户户随意接接入的目目的。但但是这种种方法会会给管理理人员带带来比较较大的工工作量，特特别是大大型网络络的管理理工作更更繁重，使使用这种种方式缺缺少操作作的灵活活性，对对于任何何一台新新接入的的设备都都必须要要在相应应的交换换机上进进行配置置，管理理非常不不便。2.网络络流量监监测网络健康康运行，对对流量的的监控、管管理极为为重要，网网络流量量的控制制和审计计已经成成为能否否使网络络正常运运行的重重要手段段。3.健康康监测每个接入入内网的的计算机机应该是是健康的的，即操操作系统统补丁、病病毒库更更新及时时、终端端安全配配置和在在遵守单单

18、位的单位相关关规定前前提下策策略要求求，只要要每台计计算机是是健康的的，网络络才是健健康的。4.性能能监测对终端计计算机的的CPUU使用、内内存使用用和磁盘盘使用情情况的动动态监测测，对终终端计算算机的网网络通讯讯流量的的控制、审审计和统统计，同同时对终终端计算算机的安安全状况况的动态态监测，并并为终端端计算机机用户提提供手动动评估计计算机安安全状况况及掌握握内网环环境的安安全状况况以及安安全变化化态势，是是保证内内网及终终端计算算机的健健康运行行的基础础。2.2 终端安全全加固需需求分析析1.终端端安全配配置为实现主主机运行行安全策策略的最最优化，确确保终端端主机的的安全管管理，对对每台终终

19、端计算算机的本本地安全全策略、对对本地系系统环境境进行安安全设置置管理是是非常必必要的。2.终端端防火墙墙通过系统统内置防防火墙，对对终端计计算机的的访问目目标进行行限定，对对终端计计算机的的网络访访问进行行控制，对对网内计计算机互互访权限限设定，可可有效地地保护网网内重要要、涉密密信息的的安全。3.终端端主机准准入控制制随着信息息化建设设发展，单位内网计算机数量与日俱增，同时各个单位合作日益频繁，经常有不属于本单位的第三方运维人员终端计算机连接到内网。在这种情况下，也无法区分哪些是内网授权使用的计算机，哪些是外来的非授权使用的计算机。这种状况下，对于未授权使用的计算机接入不能进行控制，当系统

20、中某台感染了病毒和木马后接入内网，病毒会在整个内网进行快速传播和扩散，给内部网络带来严重的安全威胁。而对于合合法的主主机接入入内网也也要防止止访问重重要级别别的服务务器，需需要采用用有效手手段逻辑辑隔离。4.移动动存储介介质管理理当前，移移动存储储介质作作为一种种非常便便利的数数据传输输载体已已被大量量应用，如如U盘、移移动硬盘盘等。移移动存储储介质的的使用方方便了信信息和数数据的交交换和传传递，已已成为一一种不可可缺少的的信息传传递工具具。然而，移移动存储储介质本本身在便便利的同同时也存存在着极极大的安安全隐患患，如果果对移动动存储设设备管理理不完善善，可能能对我行行信息安安全造成成多种威威

21、胁，如如：（1）移移动存储储介质在在不同计计算机和和网络随随意使用用，容易易造成计计算机病病毒交叉叉感染和和大规模模泛滥；（2）怀怀有恶意意的内部部人员或或外部人人员可以以使用移移动存储储介质将将单位内部部重要信信息复制制出去，容容易造成成敏感信信息泄密密；（3）移移动存储储介质一一旦无意意丢失，存存储在里里面的大大量敏感感数据可可能失控控，造成成泄密。在单位存存在着把把私人的的移动存存储介质质并协助助自工作作，把单单位的移移动存储储介质私私用的现现象。由由于缺乏乏有效的的管理，移移动存储储介质的的使用基基本上无无安全性性可言。可见，以以上种种种风险严严重威胁胁着单位位的信息息安全，为为保障重

22、重要信息息不在使使用移动动存储介介质的过过程中造造成泄密密与丢失失，规避避移动存存储介质质带来的的种种风风险，急急需从技技术上配配合管理理制度对对移动存存储介质质进行统统一管理理、监控控和审计计。5.网络络参数配配置IP地址址和计算算机名乱乱用、冒冒用的危危险以及及IP地地址的冲冲突的发发生，严严重阻碍碍了合法法或重要要设备正正常工作作，影响响单位业务务工作的的开展，对对网络参参数的配配置必须须进行控控制。2.3 终端安全全审计需需求分析析1.进程程管理终端计算算机随意意安装使使用游戏戏软件、黑黑客软件件等，容容易引入入了潜在在的安全全漏洞，降降低了计计算机系系统的安安全系数数，并可可能占用用

23、大量的的单位的网网络资源源。2.服务务管理对本地计计算机上上所运行行服务的的合法、合合规等运运行状况况进行控控制，有有效管理理每台终终端计算算机的健健康运行行。3.打印印监控如果对办办公人员员的终端端操作无无法有效效控制和和监视，会会导致一一些机密密的办公公文件泄泄露。急需对终终端计算算机的打打印操作作进行监监控与管管理，且且能够全全面监控控本地打打印、虚虚拟打印印和共享享打印。4.文件件监控单位的终终端计算算机对文文件的创创建、删删除、改改名、访访问等操操作行为为，绝大大部分为为单位公公文，均均会涉及及单位的机机密，应应对文件件的操作作行为进进行审计计，应细细化到文文件内容容，同时时对重要要

24、文件进进行保护护，完成成文件的的完整性性、可用用性和机机密性的的全程审审计。5.注册册表监控控计算机的的注册表表是保证证操作系系统正常常运行的的基础，应应禁止普普通员工工随意修修改注册册表信息息，可细细化到对对某个键键值的控控制，保保证单位位的信息息工作不不会在操操作系统统层面出出现故障障。6.共享享监控文件共享享是造成成泄密的的重要途途径，急急需对访访问权限限、共享享权限做做控制。7.设备备监控计算机的的外围设设备（包包括软驱驱、光驱驱、USSB盘等等）为各各种信息息在不同同的计算算机之间间交流提提供了一一个方便便的途径径，也带带来了病病毒、涉涉密信息息等随意意传播的的危险。8.帐户户监控本

25、地计算算机的帐帐户安全全涉及到到账户建建立、使使用、密密码复杂杂度及权权限，管管理员需需要对网网内的所所有账户户做监控控，保证证在使用用性上做做好信息息防护工工作。9.网络络行为审审计对于允许许接入互互联网的的计算机机，应对对其接入入方式和和上网行行为进行行管理，应应规定通通过标准准网关上上网，并并对其上上网行为为做记录录，包括括HTTTP访问问、SMMTP/POPP3邮件件收发、WWEB邮邮件收发发等，并并需要基基于规则则的访问问控制手手段。10.违违规外联联监控涉密网段段的计算算机不可可连入互互联网，否否则会使使涉密计计算机及及重要网网段受到到以下安安全威胁胁：（1）破破坏整体体安全防防护

26、体系系，引入入恶意的的入侵；（2）引引起病毒毒的感染染和传播播；（3）某某些互联联网行为为，例如如BT、电电驴等下下载行为为可能占占有很大大网络资资源，造造成办公公网络性性能下降降，影响响金融业业务正常常运转。9.软件件安装监监控需要对终终端计算算机上的的软件安安装行为为进行监监控与控控制，保保证安装装的程序序为正版版、有效效、免攻攻击。3. Xxx内内网安全全管理系系统解决决方案3.1 方案目标标和内容容通过本项项目建设设单位内网网安全管管理体系系总体架架构分级部部署、分分级和分分权管理理，统一一内网安全全管理运运维流程程，规范范内网安安全管理理系统功功能，提提高桌面面终端用用户安全全防护能

27、能力，提提升桌面面终端运运行维护护自动化化程度，提提高桌面面终端服服务水平平，使日日常的桌桌面终端端由被动动管理向向标准化化管理转转变。进一步完完善对终终端用户户的管理理，监控控、审计计员工是是否能够够遵循单单位对信信息保密密的要求求。满足单位位的资产产管理、软软件管理理、补丁丁管理、安安全管理理、安全全网管和和安全服服务的需需要。内网安全全设计从从实际需需求出发发，实现现内网信信息严格格保密的的需要，完完成终端端安全防防护和网网络安全全防护，同同时系统统应是一一个具有有灵活性性，开放放性，便便于扩充充升级的的综合系系统。内网安全全管理平平台具有有以下特特点：1.采用用最新的的高科技技成果，使

28、使其在网网络信息息管理领领域具有有较高的的水平。2.扩充充方便，修修改灵活活，操作作维护简简单，系系统重启启时间短短，能适适应业务务的快速速变化。3.充分分利用现现有各种种系统的的资源，以以节省运运行成本本。4.规范范系统，从从整体的的角度来来考虑系系统的结结构设计计，基本包包括计算算机管理理系统、相相关数据据库系统统间的直直接或间接接互连。3.2 终端运维维管理解解决方案案3.2.1 防病毒软软件管理理主要是对对代理终终端上的的防病毒毒软件安安装、运运行、病病毒库更更新情况况进行监监测。Xxx内内网安全全管理系系统可监监控主流流的133种防病病毒软件件的运行行状况、安安装情况况、病毒毒库更新

29、新情况等等，提供供防病毒毒软件信信息收集集和状态态监测功功能，收收集防病病毒软件件名称、软软件版本本、病毒毒库版本本等，为为防病毒毒软件的的使用保保驾护航航。代理终端端没有安安装本单位统一一规定的的杀毒软软件、病病毒库不不符合指指定更新新周期或或者指定定版本的的情况下下，均可可响应策策略中指指定的响响应方式式。如果响应应了阻断断方式，在在病毒库库更新到到指定周周期或者者指定版版本的情情况下，阻阻断可以以自动解解除。3.2.2 文件安全全由于终端端计算机机安全性性、保密密性级别别较低，所所以重要要数据存存储在终终端计算算机上存存在风险险，内网网安全管管理系统统可实现现为客户户端提供供服务器器备份

30、的的功能，通通过文件件备份保保证了单单位重要要数据的的完整性性，并提提供用户户身份认认证、文文件备份份、文件件恢复、备备份文件件历史查查询等功功能。为保证文文件的保保密性和和可用性性，文件件备份服服务支持持用户身身份认证证访问方方式。文件备份份模块由由用户身身份认证证、文件件备份、文文件恢复复、备份份文件历历史查询询组成，备备份系统统由文件件备份服服务和文文件备份份代理组组成。3.2.3 系统日志志管理管理员可可通过系系统日志志有针对对性地管管理可保保证单位位中每一一台主机机能正常常运转，。系统日志志可记录录系统的的启动情情况,运运行情况况,跟踪踪信息等等等,当当系统出出现异常常的时候候可通过

31、过查看系系统日志志解决。内网安全全管理系系统可提提供对终终端计算算机本地地日志收收集、日日志集中中存储、日日志转储储、日志志清理和和日志查查询分析析功能。3.2.4 时间同步步为解决因因时间差差异造成成单位业务务故障甚至至无法正正常完成成，Xxxx系统提提供了时时间同步步功能。特别是是能满足足指挥系系统、调调度系统统、网管系系统、计计费系统统、分布布式数据据库服务务器等应应用系统统对时间间同步的的要求严严格的需需求。内网安全全管理系系统可以以通过安安装有时时间服务务的计算算机硬件件时间为为时间源源，为内内网终端端计算机机提供标标准的IInteerneet时间间服务。时间同步步由时间间同步服服务

32、和时时间同步步代理（集集成在终终端监控控引擎中中）组成成。时间间同步服服务以安安装有时时间服务务的计算算机硬件件时间为为时间源源，为内内网终端端计算机机提供标标准的IInteerneet时间间服务。时时间同步步代理根根据时间间同步策策略对本本地时间间进行监监控并加加以动态态调整，以以保持本本地时间间与时间间源的同同步。时时间同步步代理动动态比较较本地时时间与服服务器时时间，如如果时间间差超过过策略设设定的允允许误差差，则同同步本地地时间，使使其与服服务器时时间一致致。3.2.5 远程协助助为解决单单位网络络管理员员日常的的繁重维维护任务务及远程程快速对对存在网网络威胁胁的主机机做出相相应处理理

33、，Xxxx内网网安全管管理系统统拥有的的安全服服务功能能，可以以通过远远程协助助及远程程监控的的方式协协助解决决此问题题。远程协助助模块实实现对代代理终端端的远程程管理。是是管理员员与代理理终端交交互平台台，可以以方便的的帮助代代理终端端用户快快速解决决系统问问题。通过远程程桌面接接管完成成对各客客户端的的直接操操作。3.2.6 资产管理理为准确掌掌握内网网中众多多计算机机的资源源占用和和用户情情况，XXxx内内网安全全管理系系统对实实际接入入的计算算机数量量进行精精确的统统计，对对面临的的危害做做出动态态的评估估和有效效的防范范。提供计算算机资产产自动收收集、资资产注册册登记、资资产变更更管

34、理、设设备维修修管理、资资产查询询与统计计等管理理。可以以建立设设备资产产信息库库，对所所有接入入的计算算机的用用户信息息进行登登记注册册，在发发生安全全事件时时（例如如硬件丢丢失、重重要程序序被删除除，对网网络安全全有威胁胁的软件件安装行行为）能能够以最最快速度度定位到到具体的的用户。同时，也也能够做做到动态态地搜索索各终端端的软硬硬件信息息，并对对这些信信息进行行统计和和分析，生生成相应应报表。管管理系统统还能与与安全策策略紧密密结合，自自动收集集与安全全相关的的一些系系统信息息，包括括：操作作系统版版本信息息、操作作系统补补丁信息息等，同同时针对对这些收收集的信信息进行行统计和和分析，给

35、给出安全全状况报报告。Xxx内内网安全全管理系系统对部部门和代代理终端端的硬件件信息和和安装的的软件信信息进行行统计，可可形成报报表模式式，为2270001认证证、计算算机等级级保护认认证等工工作做辅辅助作用用。1.部门门资产统统计：（1）系系统摘要要：显示IPP地址、员员工姓名名、主机机名、MMAC地地址、操操作系统统/版本本、CPPU、内内存、硬硬盘、注注册时间间和最后后活动时时间；（2）主主机硬件件资产统统计及分分类查询询统计；（3）主主机软件件资产统统计及分分类查询询统计；2.设定定资产变变更报警警机制，可可以写入入日志，形形成报表表备查；3.设备备维修管管理：系系统提供供设备维维修记

36、录录功能，任任何设备备的送修修和返回回均可由由资产管管理员负负责填写写维修记记录，从从而准确确掌握资资产的维维修情况况；4.设备备台账：掌握单单位设备备资产状状况，反反映单位位设备拥拥有量及及其分布布变动情情况的主主要依据据。5.资产产状态提提醒：系系统可维维护所有有设备的的保修期期限和报报废期限限等信息息，在设设备临近近保修期期限和报报废期限限时，提提前提醒醒资产管管理员。资资产管理理员也可可以按照照日、周周、月等等周期查查询即将将到期的的设备；6.资产产查询与与统计：资产管管理中心心提供集集中的资资产信息息查询、统统计和报报表功能能。可按按照部门门、设备备类别、硬硬件参数数等一系系列指标标

37、进行查查询和统统计。7.软件件授权：能对定定义的软软件进行行正版检检查，分分为软件件正版定定义和软软件正版版统计两两部分。软软件正版版定义，可可以通过过定义软软件安装装的路径径，正版版检查的的条件以以及许可可证信息息的收集集，并提提供统计计功能。8.IPP地址管管理：对对内网IIP地址址的使用用情况进进行统计计，方便便管理员员查看与与分配管管理。3.2.7 补丁管理理系统补丁丁管理是是内网安安全管理理的重要要环节，Xxx内网安全管理系统通过简单的配置操作完成对系统补丁的及时更新，并可以明确补丁安装情况，获取各终端计算机的补丁信息，迅速定位处于危险中的计算机。Xxx内内网安全全管理系系统可以以更

38、好地地为用解解决计算算机补丁丁安装问问题，可可以实现现Winndowws平台台下的补补丁审批批、测试试、分发发和补丁丁修复状状态统计计，管理理、分发发和自动动安装WWinddowss系列操操作系统统补丁和和微软应应用程序序补丁。如下图所所示：补丁分发发模块的的流程应应通过以以下几个个步骤：1.补丁丁检测：提供操操作系统统的安全全、驱动动补丁、Service Pack，防病毒补丁、Office、OutLook、IE浏览器、SQL Server、Exchange等应用软件的补丁检测，并且支持自定义补丁，以满足第三方软件或用户自主开发系统的补丁升级。2.补丁丁测试分分析：测测试分析析应用系系统与发发

39、布的补补丁是否否完全兼兼容，减减小此类类问题带带来的风风险，在在测试计计算机上上先进行行测试安安装，确确定对现现在系统统及应用用无影响响后，再再全网发发放。3.补丁丁分发：Xxxx补丁分分发系统统为用户户提供多多种补丁丁分发的的方式，包包括补丁丁服务器器主动推推送和客客户端主主动下载载。定制制基于客客户端操操作系统统种类、网网络IPP范围、补补丁类别别、有效效时间、审审批状态态等方面面的补丁丁管理策策略及补补丁分发发策略，包包括：补补丁下载载提示、补补丁安装装方式。分分发流量量控制4.补丁丁安装统统计：补补丁分发发支持完完整的分分发过程程跟踪，包包括分发发状态和和非法结结果。可可按照多多种条件

40、件检索、查查询和统统计。管管理员可可通过报报表及时时进行掌掌握所辖辖范围内内终端补补丁安装装情况。按主机统统计补丁丁：可以以罗列出出不同主主机补丁丁更新的的状态信信息。也也可以设设定检索索条件，检检索出符符合条件件的主机机统计信信息。按补丁统统计主机机：可以以罗列出出不同补补丁在主主机上的的安装信信息。5.补丁丁增量导导入：系系统支持持对补丁丁库的内内网外迁迁移,提提供内外外网补丁丁迁移工工具。可可在外网网中对补补丁库进进行增量量分离下下载。通通过检测测确认无无病毒威威胁后迁迁移到内内网中，更更新内网网补丁库库，为内内网终端端计算机机进行补补丁升级级。补丁更新新模块的的特色：1.提供供补丁离离

41、线扫描描的方式式；2.提示示用户有有缺失补补丁需要要下载；3.可启启用P22P下载载的补丁丁就近分分发方式式；4.可设设置文件件下载完完毕后，在在代理主主机本地地保留的的天数；5.可设设置补丁丁类别控控制；6.可设设置补丁丁类别范范围。7.支持持内外网网隔离环环境下的的补丁分分发管理理，支持持增量补补丁导入入；8.补丁丁分发服服务器支支持多个个镜像，终终端监控控引擎可可随机选选择可用用的补丁丁分发服服务，如如此可有有效提高高补丁分分发效率率；9.补丁丁分发服服务支持持HTTTP和FFTP两两种服务务模式；10.补补丁分发发服务支支持带宽宽限制和和连接数数限制，以以此确保保补丁分分发服务务器的资

42、资源占用用合理，提提高补丁丁分发服服务器的的可用性性；11.系系统提供供准确的的补丁修修复结果果统计，为为管理人人员了解解补丁分分发进程程提供直直观的统统计报表表。可见通过过补丁管管理，能能够对内内网终端端计算机机缺失补补丁进行行定期检检测和自自动安装装与更新新，保证证系统与与软件缺缺陷一经经发现便便可及时时修补。通通过补丁丁分发管管理，大大大减少少了操作作系统和和应用软软件漏洞洞被利用用所造成成的安全全隐患和和经济损损失。同同时，管管理人员员还可以以实时统统计当前前各终端端计算机机的补丁丁缺失情情况、补补丁安装装情况以以及补丁丁安装的的进度等等，得到到全网的的终端计计算机补补丁安装装快照。方

43、方便了对对补丁分分发过程程的监控控。因为单位位网络中中的涉密密内网与与互联网网不相连连，所以以对内网网的计算算机做补补丁升级级可在设设置某台台连接互互联网计计算机作作为补丁丁下载管管理器，用用增量方方式把补补丁传入入内网服服务器中中再做补补丁分发发。3.2.8 软件及消消息分发发软件及消消息分发发功能，方方便单位位对共用用软件、信信息的及及时发放放，内网网安全产产品提供供对内网网全部或或者部分分终端计计算机的的软件分分发管理理。由分分发管理理中心、文文件下载载服务和和终端监监控引擎擎等组件件组成，提提供对内内网全部部或者部部分终端端计算机机的软件件、消息息通知功功能。管理员可可以把软软件远程程

44、派送给给终端计计算机，如如果对分分发的eexe、mmsi模模式的文文件，可可选用静静默安装装模式，当当软件到到达终端端计算机机后，会会自动自自行软件件安装。也可以派派送文件件与脚本本，对于于单位内内规定必必须安装装的软件件、局内内统一部部署的软软件或发发放到每每个员工工的通知知、文件件等均可可通过此此服务功功能完成成，极大大地降低低了全网网部署软软件的工工作量。1 软件分发发（1）软软件分发发任务管管理：显示当前前用户创创建的软软件分发发任务列列表，实实现任务务的删除除和报表表。（2）软软件分发发管理：软件分发发管理定定制了分分发方式式，包括括分发到到主机、分分发到未未分发的的主机和和分发到到

45、部门（3）查查询统计计：对于任务务分发执执行的结结果可以以进行查查询统计计，系统统支持：按任务务统计、 按主主机统计计、按部部门统计计等统计计方式。查查询结果果可以导导出到报报表。2 消息分发发（1）消消息管理理：实现现消息的的创建、修修改、删删除与导导出报表表。（2）消消息添加加： （3）附附件：与消息一一起发布布的文件件附件，附附件文件件格式不不受限制制，附件件大小不不能超过过10MMb。（4）消消息分发发管理：分发管理理定制了了分发方方式，包包括分发发到主机机、分发发到未分分发的主主机和分分发到部部门（5）查查询统计计：对于消息息分发执执行的结结果可以以进行查查询统计计，系统统支持：按消

46、息息统计、 按主主机统计计、按部部门统计计等统计计方式。查查询结果果可以导导出到报报表。3.2.9 设备入网网监测Xxx内内网安全全管理系系统，设设备入网网监测功功能提供供对内网网设备入入网的实实时发现现、状态态报告和和阻断等等功能。通通过实时时设备扫扫描可发发现所有有当前在在线计算算机，通通过总控控中心的的计算机机注册信信息的同同步，可可区分合合法设备备和非法法设备。对对于非法法设备，可可采取入入网阻断断措施。对于非授授权计算算机和不不安全的的计算机机可以采采用ARRP欺骗骗的方式式，用虚虚假的MMAC地地址刷新新目标计计算机的的ARPP缓存，导导致该计计算机无无法与内内网其它它设备通通讯，

47、达达到阻止止其访问问网络资资源的目目的。3.2.10 网络流量量监测Xxx内内网安全全管理系系统，网网络流量量监测功功能提供供对终端端计算机机的网络络通讯流流量的控控制、审审计和统统计。1) 流量控制制：可以以限定终终端计算算机到特特定目标标的通讯讯带宽，可可区分目目标地址址范围，也也可区分分流入流流出方向向。可设设定多条条带宽规规则。系系统将按按照规则则顺序进进行带宽宽规则匹匹配。2) 流量审计计：可以以监控终终端计算算机到特特定目标标的通讯讯流量，可可区分目目标地址址范围，也也可区分分流入流流出方向向。可设设定多条条流量审审计规则则。系统统将按照照规则顺顺序进行行流量审审计规则则匹配。3) 流量统计计：系统统可自动动收集和和汇总终终端计算算机每天天发生的的网络总总流量和和流入流流出流量量，并可可统计与与本地计计算机发发生流量量最大的的前100个计算算