极地银河内网与安全管理系统产品介绍范本11322.docx

《极地银河内网与安全管理系统产品介绍范本11322.docx》由会员分享，可在线阅读，更多相关《极地银河内网与安全管理系统产品介绍范本11322.docx（23页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、极地银河内内网与安全全管理系统统功能介绍极地银河河（北京）信信息科技有有限公司二二二年十一月目 录录前言11公司介介绍21.1产产品架构21.1.11系统架构构21.1.22产品各模模块功能31.2极极地银河内内网与安全全产品功能能模块介绍绍51.2.11桌面安全全管理51.2.22补丁分发发管理81.2.33外设与接接口管理91.2.44安全接入入管理101.2.55非法外联联监控101.2.6资产管理理111.2.77主要功能能列表121.3产产品特点171.3.11P2P文件件传输171.3.22防火墙联联动171.3.33详细的文文件审计171.3.44在线/离线可设设置不同策策略进行

2、控控制181.3.55USB移动动存储设备备管理181.4产产品部署181.4.11部署方法法18 - 2 -极地银河内网与安全管理系统产品介绍前言随着计算机机网络的不不断发展，信信息产业已已经成为人人类社会的的支柱产业业，全球信信息化已成成为人类社社会发展的的大趋势，由由此带动了了计算机网网络的迅猛猛发展和普普遍应用。但但由于计算算机网络具具有联结形形式多样性性、终端分分布不均匀匀性和网络络的开放性性、互连性性等特征，致致使网络易易受黑客、病病毒、蠕虫虫、恶意软软件和其他他恶意的攻攻击，所以以网上信息息的安全和和保密是一一个至关重重要的问题题。无论是是有意的攻攻击，还是是无意的误误操作，都都

3、将会给系系统带来不不可估量的的损失。攻攻击者可以以窃听网络络上的信息息，窃取用用户的口令令、数据库库的信息；还可以篡篡改数据库库内容，伪伪造用户身身份，否认认自己的签签名。更有有甚者，可可以删除数数据库内容容，摧毁网网络节点，释释放计算机机病毒等等等，这些都都使信息安安全问题越越来越复杂杂。所以网网络的安全全性也就成成为广大网网络用户普普遍关心的的问题。无无论是在局局域网还是是在广域网网中都存在在着自然和和人为等诸诸多因素的的脆弱性和和潜在威胁胁。发展和和推广网络络应用的同同时进一步步提高网络络的安全性性，真正做做到“既要使网网络开放又又要使网络络安全”这一问题题已成为了了网络界积积极研究的的

4、课题。在我国，近近几年随着着网络技术术的发展，网网络应用的的普及和丰丰富，网络络安全的问问题也日益益严重，利利用信息技技术进行的的高科技犯犯罪事件呈呈现增长态态势。应该说，网网络技术是是一把双刃刃剑，它在在为我国国国民经济建建设、人民民的物质文文化生活带带来促进和和丰富的同同时，也对对传统的安安全体系提提出了严峻峻的挑战，使使得国家机机密、金融融信息等面面临巨大的的威胁。但但是，正确确的态度应应该是辨证证的态度。一一方面不能能因噎废食食，拒绝先先进的网络络技术和文文化，但另另一方面一一定要对网网络威胁给给予充分的的重视。中中国工程院院院士沈昌昌祥说：构构筑信息与与网络安全全防线事关重大大、刻不

5、容容缓。国家家领导人也也多次组织织召开信息息安全工作作会议，强强调信息安安全的重要要性，提高高信息安全全防护意识识，大力推推进我国信信息安全的的建设工作作。为此，国国内众多的的信息安全全厂商也不不断的提高高自身的信信息安全技技术与管理理的水平，不不断地向用用户提供完完整的解决决方案和服服务，帮助助客户提高高信息安全全防护的水水平和等级级，构筑起起中国的信信息安全“长城”。1 公司介绍作为专业化化的网络安安全保障公公司，现已已独立研制制开发出了了内网安全全等多项具具有国际先先进水平的的网络安全全产品，并并且与国内内外许多著著名安全产产品商建立立了战略合合作伙伴关关系，从安安全防护、报报警、响应应

6、、追踪、恢恢复、报表表和证据采采集等各个个方面对网网络系统提提供安全可可靠的保障障服务。通过对多项项大型政府府电子政务务、金融、石石油石化、电电信等行业业网络安全全保障工程程的建设实实践，我们们深切的体体会到任何何网络工程程的建设都都离不开信信息安全技技术和信息息安全管理理的建设工工作。正是是出于对广广大用户和和企业切身身利益的考考虑，本着着“提供本行行业最全面面、最权威威的系列网网络安全与与管理的保保障解决方方案”的宗旨，我我们荟萃全全球的尖端端技术，推推出了优秀秀的终端与与内网安全全保障解决决方案极地银河河终端与内内网管理系系统解决方方案。1.1 产品架构1.1.1 系统架构本系统由三三部

7、分组成成，客户端端代理模块块、控制台台模块和服服务器模块块。客户端端代理模块块安装在每每一台需要要被监视的的计算机上上，用来收收集数据信信息，并执执行来自服服务器模块块的指令。服服务器模块块一般安装装在一台具具有高性能能CPU和和大容量内内存的用作作服务器的的计算机上上，用来存存储和管理理所有安装装有代理模模块的计算算机的数据据。控制台台模块一般般安装在公公司的管理理人员的计计算机上，用用来监控每每台安装有有代理模块块的计算机机，管理各各类审计系系统，制定定安全策略略。系统的基本本框架如下下图所示：1.1.2 产品各模块块功能1、极地银河河终端与内内网管理系系统服务器器模块：服务器模块块包括服

8、务务器端软件件和支持数数据库。支支持操作系系统为Miicrossoft Winddows 20000和Miccrosooft WWindoows XXP。数据据库支持MMicroosoftt SQLL Serrver 20000和Miccrosooft AAccesss（建议议在客户端端超过1000点，使使用Miccrosooft SSQL SServeer 20000数据据库）。服服务器模块块主要功能能如下： 定时搜索网网络，管理理所有已安安装客户端端代理模块块的计算机机，并向代代理模块传传递相关的的设置和命命令信息； 接收控制台台用户数据据请求指令令，传送数数据文件到到控制台，由由控制台进

9、进行解密查查看分析； 保存客户端端代理用户户信息； 存储系统组组织结构，用用户信息和和系统工作作配置参数数； 收集客户端端代理模块块采集的数数据，并保保存到数据据库中； 提供方便灵灵活的历史史记录管理理、归档、搜搜索、查看看等功能；2、极地银河河终端与内内网管理系系统控制台台模块：控制台模块块是实现系系统管理、参参数配置、策策略管理、系系统审计的的人机交互互界面软件件。系统运运行平台为为Micrrosftt Winndowss 20000/XPP。控制台台模块功能能如下： 参数设置，包包括控制台台和服务器器的工作参参数； 用户（管理理员）管理理，包括：添加、删删除、修改改；系统管管理员采用用分

10、权分级级的管理方方式，每个个管理员都都有其授权权工作范围围和管理权权限； 安全工作域域结构管理理，包括创创建组织结结构层次深深度以及添添加、删除除系统组织织结构； 客户端代理理的添加、安安装和卸载载； 客户端代理理策略的配配置和下发发； 实时获取被被监视计算算机的屏幕幕快照等信信息； 设置监视和和控制规则则； 查看并播放放记录在服服务器端的的历史记录录； 查询特定机机器特定时时刻的历史史记录； 监测日志的的查看、分分析和审计计；3、极地银河河终端与内内网管理系系统客户端端代理模块块：客户端代理理模块是安安装于受管管理主机上上的软件。软软件安装支支持本地安安装和网络络安装等多多种方式；客户端代代

11、理的卸载载只从服务务器接收控控制台发出出的卸载指指令，本地地用户不能能自行卸载载、关闭管管理程序。客客户端代理理的工作平平台目前支支持Miccrosooft WWindoows系列列操作系统统包括Wiindowws 988/Me、WWindoows 22000和和Winddows XP。客客户端代理理模块主要要功能如下下： 接收服务器器下发的工工作策略，并并按照该策策略控制客客户端代理理的工作模模式； 信息泄露防防护，该模模块包括对对网络层、应应用层、媒媒体介质、打打印机和外外设接口等等的监视控控制； 运行监测：实时记录录文件的操操作，进程程、服务、驱驱动、用户户和组的变变化情况； 资产管理：

12、接收服务务器指令，上上传系统的的软件、硬硬件信息； 定时采集数数据并保存存，并将采采集的数据据传送到服服务器； 响应控制台台发出的监监视请求，传传送实时的的屏幕快照照信息； 根据系统的的设置控制制计算机的的操作； 和服务器通通信完成补补丁的检测测、下载和和安装； 完成安全接接入管理的的实际功能能。1.2 极地银河内内网与安全全产品功能能模块介绍绍1.2.1 桌面安全管管理桌面安全管管理重点解解决客户端端计算机桌桌面安全管管理和行为为的审计。极地银河终端与内网管理系统可以管理客户端的用户密码和防病毒软件等安全相关系统的管理，并可以详细记录客户端计算机上的文件、网站、程序、端口、即时通信工具等的使

13、用情况。同时可以对允许用户使用的文档、程序、网站、端口等进行管理。桌面安全管理可以分为桌面安全及审计和桌面管理与运维两个大的功能项。1.2.1.1 桌面安全及及审计 桌面密码权权限管理可以查看计计算机上所所有已有的的用户及其其权限，并并可以远程程修改密码码以增强其其密码安全全性。 终端统一防防火墙终端具有主主机防火墙墙功能，可可以统一设设置终端的的本地/远远程端口访访问策略，屏屏蔽不必要要的端口，提提高终端网网络安全性性。 防病毒软件件管理可以检测终终端上是否否安装有防防病毒软件件，以及安安装的防病病毒软件是是否处于工工作状态，病病毒库是否否过期等信信息。极地银河河终端与内内网管理系系统可以辅

14、辅助客户端端完成防病病毒软件病病毒库的更更新，对于于未安装防防病毒系统统的客户端端，也可以以远程为其其安装指定定的防病毒毒软件。 终端在线/离线策略略管理极地银河河终端与内内网管理系系统可以对对终端在线线/离线22种状态下下应用的策策略分别予予以设置。客客户端和服服务器连接接能够进行行通信时为为在线状态态，无法和和服务器完完成通信时时即为离线线状态。通通过对在线线/离线22中状态设设置不同的的策略，对对于经常移移动办公的的设备（如如笔记本）可可以提供更更加灵活实实用的管理理。 硬件变化审审计可以获取终终端硬件的的配置信息息，能够监监测其变化化，对于硬硬件变化能能够记录日日志并根据据策略产生生系

15、统报警警信息。 软件变化审审计可以获取终终端软件的的安装情况况，能够监监测其变化化，对于软软件的添加加删除等变变化能够记记录日志并并根据策略略产生系统统报警信息息。 终端用户变变化审计可以发现终终端用户的的变化（如如添加/删删除用户），记记录日志并并根据策略略产生系统统报警信息息。 文件访问审审计与管理理可以记录计计算机上对对各种文件件和文件夹夹的访问和和操作情况况，并可以以根据管理理员的设置置，禁止对对指定文件件的操作。 上网访问行行为审计与与管理可以记录终终端系统浏浏览互联网网的情况，并并能产生统统计图表让让管理员查查看用户的的使用情况况。可以阻阻止计算机机浏览指定定的网站。 系统进程审审

16、计与管理理可以记录终终端系统上上所有使用用过的程序序和运行过过的进程，并并能产生统统计图表让让管理员查查看用户的的程序使用用情况。可可以阻止指指定的进程程在计算机机上运行。 网络共享审审计与管理理可以记录终终端系统上上所有的共共享文件夹夹，并可以以远程对共共享文件夹夹予以关闭闭。 网络端口通通信审计可以对终端端的网络端端口与协议议使用情况况进行监测测和审计。 终端用户屏屏幕审计可以定时抓抓取终端计计算的屏幕幕，并按照照时间顺序序予以记录录，供管理理员查阅。 打印审计与与管理可以监测终终端计算机机进行打印印的事件，记记录日志并并可以根据据策略产生生报警信息息。可以禁禁止终端计计算机的打打印操作。

17、1.2.1.2 桌面管理及及运维 网络连接与与流量管理理极地银河河终端与内内网管理系系统能够监监控网络接接口的连接接状态，可可以实时监监控客户端端的网络流流量状态。对对于在单位位时间内超超出流量阀阀值的终端端，可以自自动对其进进行网络中中断等限制制措施，防防止其过度度占用网络络带宽。 进程运行管管理可以实时报报告终端上上运行的进进程，并可可以远程关关闭指定的的进程。 软件和启动动组管理能够记录终终端上安装装的软件和和虽系统启启动自动运运行的软件件，可以远远程对允许许系统自动动启动的程程序进行管管理。 桌面消息通通知能够根据管管理员的设设置，在指指定的一台台或者多台台终端上产产生一个桌桌面消息通

18、通知，该消消息会立即即弹出在桌桌面上，对对用户予以以提醒。 远程计算机机管理能够对对远远程终端计计算机执行行锁定、注注销、重启启、关机等等操作。锁锁定计算机机除非管理理员解锁，否否则无论强强制重新启启动或者进进入安全模模式均不能能使用。 远程协助管理员可以以向终端发发送一个远远程协助请请求，通过过用户许可可后，可以以接管远程程用户的桌桌面操作，帮帮助用户解解决问题。 远程控制管理员可以以远程直接接控制一台台终端设备备，接管远远程终端的的桌面操作作，进行服服务器桌面面管理或者者帮助用户户解决问题题。 系统设置管管理可以禁止终终端用户自自行修改网网络属性，IIE属性等等设置，防防止用户的的更改对网

19、网络安全造造成影响或或引入安全全风险。 防火墙联动动对于系统上上发生的各各种违规行行为，如试试图访问未未授权的文文件，使用用不被许可可的程序，访访问非法网网站等行为为，可以和和防火墙进进行联动，用用户的网络络连接予以以阻断。 运行统计可以记录终终端的计算算机运行状状况，上线线和离线时时间等信息息，以供对对计算机的的使用情况况进行分析析。1.2.2 补丁分发管管理补丁分发管管理主要完完成客户端端的补丁检检测和安装装，强化客客户端自身身健壮性。允允许管理员员自定义软软件分发，完完成用户自自由系统的的补丁管理理。可以远远程进行软软件分发。可可以深入结结合对客户户端防病毒毒程序安装装和运行情情况的检测

20、测，为安全全接入管理理系统提供供授权认证证凭据。 终端漏洞自自动分析可以自动对对终端上存存在的安全全漏洞进行行监测，并并将监测结结果上报至至服务器。 补丁分发可以根据终终端上存在在的安全漏漏洞，分析析到对应的的补丁，并并下发至终终端进行安安装。分发发支持强制制安装和通通知安装两两种方式，安安装支持静静默安装和和非静默安安装两种方方式。 补丁完整性性和兼容性性测试极地银河河终端与内内网管理系系统可以利利用补丁的的数字签名名等信息验验证补丁来来源的可靠靠性和完整整性。可以以挑选网络络中典型应应用的主机机进行补丁丁兼容性测测试，在确确认补丁无无兼容性问问题后再进进行全网分分发。 补丁增量更更新导入极

21、地银河河终端与内内网管理系系统可以检检查服务器器上的补丁丁信息是否否是最新的的，如果不不是最新的的，能够自自动分析出出来和最新新补丁的差差异，并将将差异部分分下载和导导入，实现现补丁的增增量更新。 自定义补丁丁管理极地银河河终端与内内网管理系系统允许添添加自定义义补丁文件件，并对添添加的自定定义补丁文文件进行管管理，自定定义补丁的的管理支持持添加、删删除、查询询，信息修修改等操作作。 自动补丁分分发策略制定管理极地银河河终端与内内网管理系系统可以设设置自动补补丁分发策策略，实现现对终端补补丁的自动动分发管理理。极地银河河终端与内内网管理系系统可以按按照终端缺缺少补丁的的风险级别别，分别制制定不

22、同的的分发和安安装策略。管管理员可以以对现有的的进行更改改。 流量控制极地银河河终端与内内网管理系系统可以对对补丁分发发时允许使使用的网络络带宽进行行设置，防防止大规模模补丁分发发时占用过过多网络带带宽，影响响正常业务务使用： 点对点文件件传输极地银河河终端与内内网管理系系统能够通通过服务器器的调配，实实现点对点点（P2PP）的文件件传输。点点对点的文文件传输支支持补丁分分发和软件件分发等各各种文件传传输过程。 自定义补丁丁分发和软软件分发极地银河河终端与内内网管理系系统允许在在系统中添添加自定义义补丁或者者自定义软软件，并下下发至客户户端。下发发的文件类类型可以支支持任意格格式文件。对对于可

23、执行行程序，系系统能够自自动执行，对对于非可执执行类文件件，系统能能够自动使使用关联程程序打开。1.2.3 外设与接口口管理外设与接口口管理主要要对终端上上的各种外外设和接口口进行管理理。极地银河河终端与内内网管理系系统可以禁禁用系统的的外设和接接口，防止止用户非法法使用。在在外部存储储设备的禁禁用方面，可可以在禁止止使用通用用移动存储储设备的同同时，对经经过认证的的移动存储储设备允许许使用。 存储设备禁禁用极地银河河终端与内内网管理系系统可以禁禁止如下存存储设备的的使用：软软驱（Flloppyy）、光驱驱（CD/DVD/HD-DDVD/BBlueRRay）、磁磁带机、FFlashh存储设备备

24、（U盘及及MP3播播放器）、移移动硬盘（UUSB或11394）等等。 外设和接口口禁用极地银河河终端与内内网管理系系统可以禁禁止如下外外设计口的的使用：串串口和并口口（COMM/LPTT）、SCCSI接口口、蓝牙设设备、红外外线设备、调调制解调器器、USBB接口、火火线接口（11394）、PPCMCIIA插槽等等。 设置移动存存储设备只只读可以设置将将所有移动动存储设备备置于只读读状态，不不允许用户户修改或者者写入。 移动存储设设备认证管理员可以以通过极地银河河终端与内内网管理系系统对指定定的移动存存储设备进进行认证，并并将认证信信息存储在在系统中，同同时下发到到指定客户户端上，经经过认证的的

25、移动存储储设备可以以在指定的的客户端上上全权使用用。1.2.4 安全接入管管理 在线主机监监测可以通过监监听和主动动探测等方方式检测系系统中所有有在线的主主机，并判判别在线主主机是否是是经过系统统授权认证证的信任主主机。 主机授权认认证可以通过在在线主机是是否安装客客户端代理理程序，并并结合客户户端代理报报告的主机机补丁安装装情况，防防病毒程序序安装和工工作情况等等信息，进进行网络的的授权认证证，只允许许通过授权权认证的主主机使用网网络资源。 非法主机网网络阻断对于探测到到的非法主主机，系统统可以主动动阻止其访访问任何网网络资源，从从而保证非非法主机不不对网络产产生影响，无无法有意或或无意的对

26、对网络攻击击或者试图图窃密。 网络白名单单策略管理理极地银河河终端与内内网管理系系统可以自自动生成默默认的合法法主机列表表，根据是是否安装安安全管理客客户端或者者是否执行行安全策略略，来过滤滤合法主机机列表，快快速实现合合法主机列列表的生成成，降低管管理员的工工作量。同同时允许管管理员设置置白名单例例外列表，允允许例外列列表的主机机不安装客客户端但是是仍然授予予网络使用用权限，并并根据需要要授予可以以和其他授授权认证过过的主机通通信的权限限或者允许许和任意主主机通信的的权限。 IP和MAAC绑定管管理可以将终端端的IP和和MAC地地址绑定，禁禁止用户修修改自身的的IP和MMAC地址址，并在用用

27、户试图更更改IP和和MAC地地址时，产产生相应的的报警信息息。 防火墙联动动可以同防火火墙产品联联动，共同同防止非法法设备接入入内部网络络中。对于于违反安全全策略的客客户机，可可以通知防防火墙阻断断其网络访访问行为。1.2.5 非法外联监监控非法外联监监控主要解解决发现和和管理用户户非法自行行建立通路路连接非授授权网络的的行为。通通过非法外外联监控的的管理，可可以防止用用户访问非非信任网络络资源，并并防止由于于访问非信信任网络资资源而引入入安全风险险或者导致致信息泄密密。 终端非法外外联行为监监控可以发现终终端试图访访问非授信信网络资源源的行为，如如试图与没没有通过系系统授权许许可的终端端进行

28、通信信，自行试试图通过拨拨号连接互互联网等行行为。对于于发现的非非法外联行行为，可以以记录日志志并产生报报警信息。 终端非法外外联行为管管理可以禁止终终端与没有有通过系统统授权许可可的终端进进行通信，禁禁止拨号上上网行为。 防火墙联动动对于发现有有非法外联联行为的主主机，可以以和防火墙墙联动，利利用防火墙墙的功能，防防止其危害害行为给网网络带来安安全风险。1.2.6 资产管理 硬件设备信信息统计可以自动收收集分析终终端计算机机的物理内内存、处理器类类型、处理器速速度、处理器个个数、数学协处处理器、总线类型型等各种计计算机硬件件信息。系系统可以通通过组合查查询，报告告硬件的各各种，查询询可以基于

29、于硬件、存存储容量等等多种关键键字进行。 软件资产统统计极地银河河终端与内内网管理系系统可以自自动收集分分析终端计计算机安装装的软件信信息，并通通过多种条条件进行查查询和统计计。 资产变更处处理极地银河河终端与内内网管理系系统可以自自动监测系系统软硬件件资产的变变动，记录录日志并可可以产生报报警，同时时可以根据据策略自主主采用响应应措施，防防止资产变变更给客户户端或者网网络带来更更大的危害害。 软件授权管管理可以自动分分析已安装装软件并和和授权登记记表中的信信息相比对对，统计非非授权软件件的使用并并告警。1.2.7 主要功能列列表桌面安全管管理桌面安全终端用户和和权限查看看终端用户密密码修改终

30、端禁止访访问的外部部端口配置置终端禁止被被访问的内内部端口配配置防病毒软件件检测防病毒软件件病毒库升升级远程防病毒毒软件安装装桌面审计硬件信息变变化告警与与审计软件信息变变化告警与与审计终端用户变变化告警与与审计文件访问行行为告警与与审计网站访问行行为告警与与审计程序使用行行为告经与与审计网络共享审审计网络端口使使用行为审审计终端用户屏屏幕抓取与与审计打印审计桌面管理用户允许使使用的文件件设置管理理用户允许访访问的网站站设置管理理用户允许使使用的程序序设置管理理终端自启动动软件管理理终端运行进进程管理桌面消息通通知锁定远程计计算机远程注销登登录计算机机的用户远程重新启启动计算机机远程关闭计计算

31、机远程协助远程控制禁止用户使使用设备管管理器禁止用户打打开网络属属性禁止快速用用户切换禁止打开IIE属性关闭系统默默认共享和和用户共享享防火墙联动动阻止终端端网络通信信主机运维终端上线离离线时间统统计流量异常监监控进程异常监监控补丁分发管管理补丁分发主机漏洞补补丁分析下发主机缺缺少补丁下发用户自自选补丁测试组计算算机补丁测测试补丁管理补丁升级自定义补丁丁管理软件分发自定义软件件管理自定义软件件分发任务管理当前任务管管理历史任务管管理计划任务管管理流量控制补丁传输流流量控制P2P文件件传输外设和接口口管理存储设备管管理禁用软驱禁用光驱禁用磁带机机禁用移动存存储设备设置禁用的的移动存储储设备只读读

32、认证移动存存储设备外设管理禁用串口和和并口禁用SCSSI接口禁用蓝牙设设备禁用红外设设备禁用调制解解调器禁用USBB设备禁用13994设备禁用PCMMCIA插插槽安全接入管管理接入控制在线主机侦侦听检测非法主机网网络阻断禁止修改IIP地址禁止修改MMAC地址址接入管理设置合法主主机设置超级主主机防火墙联动动外联监控非法外联监监控非法拨号监监控连接非法主主机监控非法外联管管理禁止拨号网网络禁止连接非非法主机防火墙联动动网络阻断断资产管理资产统计硬件信息收收集统计软件信息收收集统计资产变更处处理硬件资产变变更处理软件资产变变更处理安全性系统安全性性服务器与客客户机之间间的通信经经过必要的的加密措施

33、施有管理员帐帐号管理功功能控制台支持持分级、分分组、分权权限管理服务器与客客户机的认认证防止未未获授权使使用电子邮件内内容加密备份数据加加密数据安全性性提供自动备备份功能支持多种备备份装置(如磁带机机、CDRRW、DVDRRW、网络驱动动器)系统性能数据库性能能高性能的后后台数据库库网络性能高性能的数数据压缩和和数据传输输，降低数据大大小及传输输时间快速客户机机并发轮询询客户机网络络流量控制制管理功能客户端程序序功能客户端程序序兼容WIINDOWWS系列操操作系统客户端程序序卸载必须须通过控制制台客户端程序序具有反安安装保护功功能安装方式单独安装域安装WEB安装装远程推送内部邮件发发送客户端端

34、下载连接接配置功能用户转换修改密码计算机管理理描述管理用户及权限限管理查询历史选项设置数数据清除周周期升级序列号号客户端自动动升级桌面安全管管理客户机屏幕幕监控功能能监控平台自自动定时截截屏并储存存截屏记录的的删除、备备份等管理理功能客户机程序序管理功能能禁止客户机机运行任意意指定的程程序禁止客户机机访问指定定的WEBB站点客户机控制制功能远程锁定客客户机远程注销/关闭/重重启客户机机远程控制客客户机断开客户机机的网络连连接向客户机发发出实时讯讯息审计功能统计客户机机的程序使使用情况（饼饼状图、柱柱状图、图图表）统计客户机机的访问WWEB的情情况（饼状状图、柱状状图、图表表）统计客户机机的事件

35、日日志情况统计客户机机的所有文文件操作记记录主机防火墙墙可以监测主主机开放端端口可以监测应应用程序网网络访问情情况可以关闭主主机上的指指定端口可以过滤网网络通讯，禁禁止未许可可程序的网网络访问过滤已知网网络攻击行行为补丁分发任务管理当前任务管管理历史任务管管理计划任务管管理补丁分发下发主机缺缺少补丁下发用户自自选补丁主机缺少补补丁分析自定义软件件分发补丁管理补丁库查询询自定义补丁丁管理自定义软件件管理安全接入管管理非法主机阻阻断监测所有在在线主机主机授权识识别非法主机网网络通信阻阻断白名单管理理设置合法主主机设置超级主主机白名单管理理资产管理客户机信息息管理功能能保存客户机机的硬件信信息保存客

36、户机机的软件信信息保存客户机机的IP地地址保存客户机机的主机名名保存客户机机的用户登登陆信息自定义信息息管理设置主机别别名设置硬件资资产购置和和品牌信息息设置硬件使使用人员信信息设置硬件物物理位置信信息外设和接口口管理外设管理软盘驱动器器光盘驱动器器光盘刻录机机磁带驱动器器USB存储储设备调制解调器器接口管理USB接口口SCSI1394总总线红外线通讯讯设备PCMCIIA卡接口口串口、并口口其他管理禁止修改网网络属性禁止XP操操作系统上上快速切换换用户设备管理器器非法外联管管理外联检控探测主机试试图拨号上上网的行为为探测与非授授权地址的的网络通信信阻断违规网网络外联行行为防火墙联动动与防火墙联

37、联动阻断违违规主机网网络通信安全性系统安全性性服务器与客客户机之间间的通信经经过必要的的加密措施施具有管理员员帐号管理理功能控制台支持持分级、分分组、分权权限管理服务器与客客户机的认认证防止未未获授权使使用电子邮件内内容加密备份数据加加密数据安全性性提供自动备备份功能支持多种备备份装置(如磁带机机，如磁带带机，CDDRW，DVDDRW，网网络驱动器器，网络驱驱动器)管理功能处理机制采用高性能能的后台数数据库高性能的数数据压缩和和数据传输输，减低数数据的大小小及数据传传输的时间间具有快速的的客户机并并发轮询机机制客户机网络络流量控制制客户端程序序功能客户端程序序兼容WIINDOWWS系列操操作系

38、统客户端程序序卸载必须须通过控制制台客户端程序序具有反安安装保护功功能事务日志功功能以数据库的的方式记录录日志分类显示不不同内容的的日志输入条件查查询指定内内容的日志志对客户机访访问WEBB站点的情情况记录日日志对客户机使使用程序的的情况记录录日志对客户机的的所有文件件操作记录录日志对客户机的的所有打印印操作记录录日志对客户机的的上线/离离线操作记记录日志安装方式单独安装域安装WEB安装装远程推送内部邮件发发送客户端端下载连接接配置功能用户转换修改密码计算机管理理描述管理用户及权限限管理查询历史选项设置屏屏幕间隔、数数据库、跨跨网段、邮邮件发送升级序列号号升级文件，自自动升级1.3 产品特点1

39、.3.1 P2P文件件传输极地银河河终端与内内网管理系系统在进行行补丁分发发或者软件件分发等操操作时，可可以采用PP2P的方方式完成文文件的传输输。服务器器首先会将将要下发的的文件在每每个网段范范围之内选选择一台主主机下发，然然后自动将将其他主机机的对同一一个文件的的请求重定定向到指定定的客户端端上，即可可通过客户户端之间的的直接通信信连接，完完成文件的的传输。P2P的文文件传输方方式可以极极大的节约约服务器端端的网络带带宽，减少少服务器端端的网络流流量，从而而允许一台台服务器在在同等配置置情况下可可以支持更更多的客户户端，缓解解服务器端端的网络带带宽瓶颈。1.3.2 防火墙联动动极地银河河终

40、端与内内网管理系系统可以和和防火墙进进行联动，实实现更灵活活和更可靠靠的安全控控制。防火墙联动动可以和安安全接入进进行协作。在在发现网络络当中的未未授权非法法主机时，安安全接入管管理系统可可以将非法法主机的相相关信息报报告给防火火墙，通过过防火墙阻阻断非法主主机的网络络通信行为为。同时，防防火墙联动动可以作为为系统的事事件响应策策略，当网网络客户端端发生违反反安全策略略的行为时时，系统能能够自动发发现，并按按照策略的的配置，自自动通知防防火墙对违违反安全策策略的主机机进行网络络通信的中中端，将安安全事件范范围控制在在边界以内内，防止安安全威胁的的进一步扩扩大。1.3.3 详细的文件件审计极地银

41、河河终端与内内网管理系系统可以对对文件或文文件夹的操操作进行审审计，能够够审计的具具体操作包包括：访问问、修改、复复制、移动动、创建、删删除、打印印、网络、改改名、恢复复、共享等等。系统能能够详细记记录发生事事件的时间间、计算机机，以及进进行文件操操作的用户户，操作的的类型，被被操作的文文件名和文文件路径等等信息。此此外，还能能够在指定定的事件发发生时，触触发相应的的报警与响响应措施，及及时通知管管理员并阻阻止用户的的违规行为为。通过文件操操作的详细细审计，能能够防止文文件泄密行行为的发生生，并且在在安全事件件发生以后后，做到有有据可查，方方便安全事事件发生原原因的准确确定位以及及责任的追追查

42、。1.3.4 在线/离线线可设置不不同策略进进行控制对于外设和和端口管理理，极地银河河终端与内内网管理系系统允许管管理员分别别设置在线线和离线22中管理策策略。在线线策略在客客户端和服服务器能够够通信时生生效，离线线策略在客客户端无法法和服务器器通信时生生效。2种种策略的设设置可以不不同，并且且策略的切切换和生效效时自动完完成的，无无须管理员员和用户参参与。通过过区分在线线/离线22种策略，可可以方便笔笔记本等移移动设备使使用的灵活活性，适应应办公环境境和非办公公环境对主主机策略要要求的不同同。1.3.5 USB移动动存储设备备管理对于USBB的管理，可可以实现多多层次的灵灵活配置。极地银河终

43、端与内网管理系统可以彻底禁用USB接口，所有USB接口的设备都将无法使用。极地银河终端与内网管理系统也可以做到允许通用的USB设备使用，而只禁用U盘等USB存储设备，并可以配置对禁用的USB存储设备做只读访问。此外，希望还能够在禁止通用的USB存储设备的同时，允许管理员对U盘进行认证，认证过的U盘等移动存储设备，在网络中指定的主机上可以作无限的访问。通过对USSB的移动动存储设备备进行细化化管理，可可以做到防防止用户通通过USBB存储设备备将涉密文文件带走，同同时对U盘盘进行认证证还能满足足内网中对对USB移移动存储设设备的授信信使用需求求。1.4 产品部署1.4.1 部署方法极地银河河终端与

44、内内网管理系系统可支持持三种部署署方式：1、集中部部署方式全网部署一一台补丁服服务器，负负责全网补补丁系统中中的补丁文文件的存贮贮、发放和和管理。网网内部署补补丁管理控控制台，运运行补丁管管理中心。终终端计算机机上安装补补丁系统客客户端程序序。补丁管理中中心负责补补丁服务器器的配置管管理、补丁丁文件的更更新管理、补补丁分发策策略管理等等。终端计计算机上客客户端向补补丁服务器器发送自身身资产信息息、根据分分析结果向向服务器自自动请示补补丁文件，由由补丁服务务器下发至至需要打补补丁的各终终端计算机机。这种方式的的优势在于于部署简单单，实现容容易。缺点点在于不适适用于广域域网部署，否否则会加重重广域

45、网链链路的通讯讯负荷、需需要启用PP2P传输输方式，加加大系统管管理的难度度。2、分布部部署方式在主干网和和各子网均均部署极地银河河终端与内内网管理系系统服务器器，主服务务器上下发发补丁分发发策略，通通过自动传传递到各子子网补丁服服务器。各各子网服务务器可设置置各自的控控制台，其其权限由主主服务器进进行管理。终端计算机机客户端程程序同上。此方式好处处在于进行行分级管理理，各网络络只需要管管理本网络络范围内的的补丁策略略，清晰明明确。补丁丁分发的效效果很高。缺缺点在于部部署成本高高，各子网网都需要配配置补丁服服务器。3、混合方方式混合方式指指主网络部部署中心补补丁服务器器，各子网网根据情况况部署补丁丁服务器或或不部署，子子网补丁服服务器从中中心服务器器上获得策策略并执行行。未部署署服务器的的子网直接接由中心补补丁服务器器或其指定定的邻近子子网的补丁丁服务器上上进行补丁丁分发。这种方式的的优势在于于成本控制制越好，缺缺点在于部部署困难，管管理成本回回大。极地银河_xFF08_北京_xFF09_信息科技有限公司- 21 -