中软统终端安全管理系统80系统介绍31009.docx

《中软统终端安全管理系统80系统介绍31009.docx》由会员分享，可在线阅读，更多相关《中软统终端安全管理系统80系统介绍31009.docx（35页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、目 录录第一章系系统概述述1第二章体体系结构构和运行行环境332.1系系统体系系结构332.2 推荐硬硬件需求求42.3 推荐软软件需求求4第三章系系统功能能63.1 基本功功能63.1.3 用用户身份份认证663.1.2 网网络访问问控制773.1.3 非非法外联联控制773.1.4 接接口外设设管理883.1.5 移移动存储储介质管管理83.1.6 CCDROOM/CCDRWW/刻录录机的控控制83.1.7 辅辅助硬盘盘的控制制83.1.8 打打印机管管理83.2可可信移动动存储介介质管理理*93.2终终端接入入管理*1103.2.1终端端接入认认证1003.2.2 终终端安全全检查110

2、3.2.3内网网安全扫扫描1003.3补补丁管理理与软件件分发管管理*1003.3.1 补补丁分发发管理1103.3.2软件件分发管管理1113.4 终端安安全运维维管理*1123.4.1 系系统运行行状况监监控1223.4.2 软软硬件资资产管理理133.4.3 安安全策略略管理1133.4.4 防防病毒软软件监测测143.4.5网络络进程管管理1443.4.6文件件安全删删除1443.4.7 进进程管理理153.5远远程管理理*153.6 安全存存储与传传输管理理*163.6.1 我我的加密密文件夹夹163.6.2 硬硬盘保护护区1663.6.3 文文件安全全分发1163.7 安全文文档管

3、理理*163.8安安全文档档隔离管管理 *1173.9电电子文档档权限管管理*1773.100 文档档密级标标识与轨轨迹跟踪踪管理*1173.111文件打打印审批批管理*1183.122 U盘盘拷贝审审批管理理*183.133 光盘盘刻录审审批管理理*193.144系统管管理与审审计1993.144.1 组织结结构管理理193.144.2 统计审审计分析析193.144.3分分级报警警管理1193.144.4 响应与与知识库库管理2203.144.5 服务器器数据存存储空间间管理2203.144.6 系统升升级管理理203.144.7 B/SS管理功功能支持持203.144.8系系统参数数设置

4、220第四章系系统特点点214.1全全面的终终端防护护能力2214.2 分权分分级的管管理模式式214.3 方便灵灵活的安安全策略略214.4 终端安安全风险险量化管管理2114.5 周全详详细的系系统报表表224.6 丰富的的应急响响应知识识库2224.7 完善的的插件式式系统架架构2224.8 方便快快捷的安安装、卸卸载和升升级2224.9 多级部部署支持持23附件一：名词解解释244第一章 系统概述第一章 系统统概述随着信息息化安全全技术的的不断发发展，各各种内网网安全管管理问题题逐步凸凸现出来来。据IIDC调调查报告告显示超超过855%的网网络安全全威胁来来自于内内部，其其危害程程度更

5、是是远远超超过黑客客攻击所所造成的的损失，而而这些威威胁绝大大部分是是内部各各种非法法和违规规的操作作行为所所造成的的。内网安全全问题已已经引起起了各级级单位的的广泛重重视，随随着安全全意识的的不断增强强，安全全投入逐逐步增加加，但是是内网的的安全事事件却不不断地增多。分分析其原原因我们们认为主主要有以以下几个个方面：u 有章不循循，有规规不依，企企业内网网安全合合规性受受到挑战战。很多公司司明文规规定安装装操作系系统必须须打最新新的补丁丁，但是是终端用户户依然我我行我素素导致操操作系统统补丁状状况不一一，从而而给蠕虫虫病毒、木木马程序序和黑客客软件带带来了可可乘之机机。同时时有些单单位购买买

6、了防病病毒软件件，但是是终端用用户没有有按照单单位统一一部署的的要求安安装防病病毒软件件，或者者有些终终端用户户虽然安安装了防防病毒软软件，但是没没有及时时更新病病毒库，导导致计算算机病毒毒有机可可乘。对对于终端端安全管管理，公司建建立了很很多安全全制度，但但是终端端用户不不按照公公司安全全规定要要求，将将不安全全的计算算机接入入网络，从而引引入了内内网安全全威胁，企企业内网网的安全全合规性性受到了了严峻的的挑战。u 谋一时，而而未谋全全局，终终端系统统被划分分为多个个独立的的信息安安全孤岛岛。各单位在在解决各种种内网安安全问题题上，通常缺缺乏统一一、全面面的内网安全全解决方方案。按按照“头痛

7、医医头，脚脚痛医脚脚”的内网网安全防防护加强强思路，采购并部署了多款终端安全管理的产品，比如：身份认证、补丁管理、软件分发、病毒防护软件等等。但是这些终端安全防护软件来自于不同的安全厂商，各种软件之间各自为政，缺乏统一管理、协调工作的机制，最终导致个人桌面系统被划分为一个个独立的信息安全孤岛，因此出现了终端安全管理混乱、内网安全漏洞百出，内网安全事件防不胜防。u 百花齐放放，百家家争鸣，终终端系统统终因难难堪负重，系系统性能能急剧下下降。为了加强强终端安安全管理理，在个个人桌面面系统上上同时安装装了不同同厂家的的终端代理理。每种种代理程程序都需需要实现现自我防防护、网网络通信信、运行行监控等等

8、程序调度度机制，需要重复的占用系统有限的CPU、内存等系统资源，导致个人桌面系统运行速度变慢，系统性能急剧下降。同时，由于不同厂家的软件存在很多功能重叠的部分，而这些重叠部分往往是采用类似技术开发，从而导致不同软件之间频繁发生应用冲突。u 治标不治治本，本末倒倒置，软软件购买买费用增加加，系统统维护成成本成倍倍增长。通常终端端管理软软件大致致分为三三个组件件，即：服务器器、控制制端、客户端端代理。每种服务器软件都需要独立的数据库和硬件服务器支撑，无形中增加了软件的部署成本。同时，由于每种软件都有自己的控制台程序，管理员要针对每套系统生成它的控制策略，每套系统的数据审计都是分开的，管理工作非常多

9、，管理员为每天的维护工作疲于奔命，从而导致管理疏忽。针对以上上几种原原因，以以及中软公司在对对企业内内网安全全管理展展开全面面调查的的基础上上，创造性性地形成成了一套套完备的的终端安安全“一体化化”解决方方案。在在过去的的几年里里中软公公司一直直致力于于内网安安全的研研究，并并在国内内最早提提出了一一系列的内网安安全管理理理论体体系和解解决方案案。内网网失泄密密防护软件件-中中软防水水墙系统统的推出出填补了了国内内内网安全全管理软软件的空空白，并并获得了了若干国国家专利利局的技技术专利利。防水水墙系统统连年获获奖，其其中在220066年“防水墙墙”被计算算机杂志志评为220055年度新新名词。

10、中软公司司早在220011年就开开始致力力于内网网失泄密密软件的的开发，先后向市场推出了中软防水墙系统7.0版本、7.0+版本和7.2版本。随着内网安全管理的复杂化，中软公司在复用防水墙系统成熟技术的基础上，引入先进的内网安全管理理念和新的内网安全管理技术重新搭建系统体系结构，自主研发了中软统一终端安全管理系统8.0（CSS United End-Point Management System,简称UEM8.0）。该系统是是以“木桶原原理”为理论论依据，以安全策略为驱动，按照PDR安全模型的“保护-检测-响应”工作流程循环检测，同时结合保密规定的“等级防护”指导方针，采用多种安全技术实现了对终

11、端主机全方位、多层次的安全防护。按照“保护-检测-响应”的工作流程逐步完善终端安全防护策略，并将事件处理方；式和处理流程登录到用户知识库，逐步形成内网事故应急响应流程和共享安全解决方案的知识库。2第二章 体系结构和运行环境第二章 体系结构构和运行行环境2.1系系统体系系结构系统分为为三个组组件：客客户端、服服务器和和控制台台，系统统采用分分布式监监控，集集中式管管理的工工作模式式。组件件之间采采用C/S工作作模式，组组件的通通信是采采用HTTTP/HTTTPS加加密传输输方式。支持任意层级的服务器级联，上下级服务器之间采用HTTPS协议进行数据交换。体系结构如图 1所示。图 1 系统统体系结结

12、构图n 客户端：安装在在受保护护的终端端计算机机上，实实时监测测客户端端的用户户行为和和安全状状态，实实现客户户端安全全策略管管理。一一旦发现现用户的的违规行行为或计计算机的的安全状状态异常常，系统统及时向向服务器器发送告告警信息息，并执行行预定义义的应急急响应策策略。n 服务器：安装在在专业的的数据服服务器上上，需要要数据库库的支持持。通过过安全认认证建立立与多个个客户端端系统的的连接，实实现客户户端策略略的存储储和下发发、日志志的收集集和存储储。上下下级服务务器间基基于HTTTPSS进行通通信，实实现组织织结构、告告警、日日志统计计信息等等数据的的搜集。n 控制台：人机交交互界面面，是管管

13、理员实实现对系系统管理理的工具具。通过过安全认认证建立立与服务务器的信信任连接接，实现策策略的制制定下发发以及数数据的审审计和管理。2.2 推荐硬硬件需求求客户端个个数10000服务器主主机个数数1111+服务器CPU P4 3.00RAM 1GBBHDissk 1120GGB CPU P4 3.00 ATTRAM 2GBBHDissk 2240GGBCPU P4 3.00 ATTRAM 4GBBHDissk4880GBBCPU Xeoon 11G*44RAM44GBSCSIIDissk 2240GGBRAIDD 5控制台CPU P4 2.00 RAMM 5112MBBHDissk 440GB

14、BCPU P4 2.00RAM 1GBBHDissk 440GBBCPU P4 3.00RAM 1GBBHDissk 440GBBCPU P4 3.00RAM 1GBBHDissk 880GBB客户端CPU P4 2.00/ RRAM 5122MB/HDissk 440GBB审计平台台CPU P4 2.00/ RRAM 5122MB/ HDissk 440GBB表格1 系统统推荐硬硬件需求求2.3 推荐软软件需求求操作系统统所需其他他软件支支持服务器Micrrosooft Winndowws SServver 20003 / Advvancced Serrverr（322/644位）SQL S

15、errverr 20000+SP44SQL Serrverr 20005SQL Serrverr20008或达达梦数据库库。硬件件“加密锁锁”驱动程程序控制台Micrrosooft Winndowws SServver 20003, Miicroosofft WWinddowss 20000 Proofesssioonall / Serrverr / Advvancced Serrverr, MMicrrosooft Winndowws XXP 客户端Micrrosooft Winndowws 220000 Prrofeessiionaal / Seerveer / Addvanncedd S

16、eerveer, Miccrossoftt Wiindoows XPPProffesssionnal，Miccrossoftt Wiindoows Serrverr 20003，Miccrossoftt Wiindoows Vissta (Ulltimmatee / Bussineess)，Miicroosofft WWinddowss7（UUltiimatte / Ennterrpriise / BBusiinesss）（332/664位）审计系统统Micrrosooft Winndowws 220000 Prrofeessiionaal / Seerveer / Addvanncedd S

17、eerveer, Miccrossoftt Wiindoows XP, Miicroosofft WWinddowss Seerveer 220033SQL Serrverr 20000+SP44SQL Serrverr 20005SQL Serrverr20008或达达梦数据库库表格 2系统软软件需求求提示：n 安全管理理系统服服务器，包包括服务务器软件件和后台台支持数数据库。建建议在专专用主机机上安装装安全管管理系统统服务器器，并且且关闭所所有与安安全管理理系统无无关的不不必要的的服务。支支持操作作系统为为MS Winndowws 220033 系列列，推荐荐Advvancced Serr

18、verr版本。n 以上操作作系统，没没有特别别说明，仅仅指322位操作作系统。n 安全管理理系统客客户端不不支持LLinuux系统统，不能能在wiindoows双双系统下下同时安安装UEEM客户户端。n 为保证用用户正常常使用安安全管理理系统，最最好将安安全管理理系统服服务器、控制台和客户端分别运行于独立的系统之上，同时用户安装前应将Windows版本进行升级，安装各自版本最高补丁。31第四章 系统特点第三章 系统统功能随着内网网终端安全全地位的的合理化化，终端安全全管理将进进一步沿沿着整合合化、平平台化、统统一化、基基础化的的方向发发展。内内网终端端安全一一体化的的需求越越来越强强烈，终终端

19、安全全产品的的形态将将逐步发发生变化化，最后后发展为为兼顾安安全防御御与安全全管理。终端安全发展的历史使命终将通过一款“大、一、统”的终端安全产品来实现。所谓“大”就是该产品功能所涵盖的范围大，它不但要包含网络接入认证、系统身份认证、资产管理、补丁管理、软件分发，还要包涵系统运行监控、用户行为监控等终端软件的所有功能。所谓“一”就是一个终端代理、一台服务器就可以实现上述所有功能，一个网络管理员就可以全局控制整个内网安全。所谓“统”就是指对所有的桌面系统应用统一的安全策略，对所有的终端用户采用统一的终端管理策略，对终端产生的日志进行统一的日志分析，为所有管理员提供统一的应急响应知识库。各功能部件

20、之间协调工作，统一管理，形成一个高效有机的安全代理。通过统一的桌面管理平台降低系统的复杂度，提高了个人桌面系统的工作性能，降低了用户的维护管理成本。针对以上上终端计计算机用用户的安安全需求求，中软软公司对对政府、军军工和高高新技术术企业的的终端计计算机管管理问题题展开了全面的调查，借借鉴中软软防水墙墙系统的的开发经经验，以以等级防防护和国国家关于于涉密计计算机管管理的相相关规定定为蓝本本，创造造性地形形成了一一款终端端安全管管理系统统，该系统从终端安安全管理理、终端端运维管管理、用户行行为管理理、数据安安全管理理、系统统身份认认证管理理，同时时辅助这这些功能能系统提提供了监监控日志志的统计计与

21、分析析功能和和系统运运行管理理功能。特别说明明：UEEM默认认情况只只提供基基本功能能，带有有*标记的的功能为为可选功功能，见见3.XX章节所所述。可可选功能能由产品品Liccensse控制制。3.1 基本功功能3.1.3用户户身份认认证身份认证证是系统统应用安安全的起起点，通通过硬件件USBBKeyy和口令令认证登登录Wiindoows系系统用户户身份，保保证进入入Winndowws系统统用户身身份的合合法性；对登录录用户权权限进行行合法性性检查，保保证用户户权限的的合规性性。具体体功能如如下：u 基于USSBKeey的身身份认证证，将用户户信息和和证书内内置于UUSBKKey硬硬件中，通过

22、读取USBKey中的用户信息实现登录用户身份认证，实现双因子认证，提高了主机身份认证的安全强度。同时为了增强系统的灵活性，对于USBKey用户，系统管理员可要求该用户进行USBKey和Windows双因子认证登录系统，也可允许该用户无需输入Windows口令，只使用USBKey完成登录认证。u 登录用户户权限合合法性检检查，检查登登录Wiindoows系系统的用用户权限限，当发现现登录用用户权限限与策略略设置的的登录用用户权限限不一致致时，系系统及时时阻止非非法用户户登录，并并向服务务器发送送告警信信息。该该项功能能主要是是防止用用户通过过非法途途径提升升自身用户户权限而而达到某某种非法法目的

23、，例例如：策策略设置置只能是是USEER权限限用户登登录计算算机，如如果登录录计算机机的用户户拥有AAdmiinisstraatorr或PowwerUUserr权限则则系统自自动阻止止该用户户登录。3.1.2 网络络访问控控制规范计算算机用户户的网络络访问行行为，根根据业务务相关性性和保密密的重要要程度建建立信任任的虚拟拟安全局局域网。网网络防护护有两个个层面的的含义：第一是是防止用用户误操操作或蓄蓄意泄漏漏企业的的敏感信信息；第第二是防防止黑客客通过互互联网透透过防火火墙非法法获取客客户端的的敏感信信息。实实现了从从网络层层到应用用层的多多层次防防护，具具体功能能如下：u 网络层防防护：II

24、P地址址访问控控制、TTCP/UDPP/ICCMP协协议控制制；u 应用层防防护：HHTTPP/FTTP/TTELNNET/SMTTP/WWEBMMAILL/BBBS/NNETBBIOSS控制；控制策略略有：禁禁止访问问、自由访访问。禁禁止访问问时提供供仅开放放白名单单功能，实实现只开开放白名名单地址址，其它它地址全全部禁止止；自由访访问时提提供黑名名单功能能，实现现只禁止止黑名单地地址，其其它地址址全部开开放；同同时提供供三种日日志记录录模式：记记录被禁禁止的访访问、记记录未知知的访问问和记录录信任的的访问，对对FTPP、SMMTP访访问控制制和文件件打印，可可以记录录文件内内容。3.1.3

25、 非法法外联控控制通过对MModeem的控控制实现现非法外外联的监监控。控制策略略有：禁禁止访问问、自由访访问和条条件访问问。禁止止访问时提提供仅开开放白名名单功能能，实现现只开放放白名单单地址，其其它地址址全部禁禁止；自由访访问时提提供黑名名单功能能，实现现只禁止止黑名单地地址，其其它地址址全部开开放；同同时提供供三种层层次的记记录：记记录被禁禁止的访访问、记记录未知知的访问问和记录录信任的的访问，同同时对FFTP、SSMTPP、和打打印可以以提供文文件备份份功能。3.1.4接口外设设管理统一配置置计算机机外设接接口的控控制策略略，动态态的关闭闭与开启启外设接接口。所所能控制制的接口口有：U

26、USB接接口、SSCSII接口、串串行总线线、并行行总线、红红外接口口、PCCMCIIA接口口、软盘盘控制器器、火线线13994接口口、无线线网卡接接口、DDVD/CD-ROMM驱动器器、蓝牙牙接口、第第二块网网卡接口口。接口访问问控制的的策略分分为：允许和禁止两种，在在禁止策策略下的的尝试访访问向安安全管理理系统服服务器报报警。同同时提供供了接口口设备白白名单和和黑名单单定义的的功能，实实现在接接口禁止止或者接接口开放放情况下下某些设设备放开开或禁止止使用。3.1.5移动存存储介质质管理对移动存存储介质质的访问问进行统统一的控控制，控控制模式式可以分分为：自自由使用用、禁止止使用、设设置为只

27、只读、拷拷贝文件件加密、拷拷贝文件件记录日日志并备备份文件件内容等等五种控控制策略略。其中拷拷贝文件件加密为为个人加加密的加加密方式式，个人人加密只只能在当当前主机机的当前前个人用用户下才才能解密密。3.1.6 CCDROOM/CCDRWW/刻录录机的控控制对光盘介介质的访访问进行行统一的的控制，控控制模式式可以分分为：自自由使用用、禁止止使用。刻录机控制支持：禁止使用、自用使用、只读使用等三种。3.1.7辅助助硬盘的的控制对计算机机上挂接接第二块块硬盘的的访问进进行统一一的控制制，控制制模式可可以分为为：自由由使用辅辅助硬盘盘和禁止止使用辅辅助硬盘盘。3.1.8 打印印机管理理根据企业业的打

28、印印机管理理制度和和计算机机用户业业务关系系统一制制定打印印机的管管理策略略，具体体的功能能控制项项如下：u 监控用户户打印行行为：统统一制定定计算机机用户的的打印管管理策略略，控制制模式可可以分为为：自由由使用打打印机、禁禁止使用用打印机机和允许许使用打打印机并并记录打打印文件件名称（可可选项为为备份文文件内容容）。使使用打印印机能够够基于打打印机名名称、打打印进程程以及虚虚实打印印机进行行控制。u 打印行为为违规报报警：在在禁止打打印机策策略时如如果用户户执行打打印操作作，系统统立即向向服务器器发送违违规打印印操作信信息。3.2可可信移动动存储介介质管理理*该功能实实现了用用户对移移动存储

29、储介质管管理的要要求，对对可信移移动存储储介质从从购买到到销毁的的整个生生命周期期进行管管理和控控制。可信移动动存储介介质管理理通过授授权认证证、身份份验证、密密级识别别、锁定定自毁、扇扇区级加加解密、日日志审计计等六个个途径对可可移动存存储设备备的数据据进行安安全防护护，使得得未通过过身份验验证的用用户或密密级不够够的主机机，不可可访问存存储在可可信移动动存储介介质上的的文件。u 授权认证证：管理理员对移移动存储储介质进进行注册册授权，写写入授权权信息。u 身份验证证：客户户端使用用可信移移动存储储介质时时，对用用户的身身份信息息进行验验证。u 密级识别别：客户户端使用用可信移移动存储储介质

30、时时，需对对客户端端主机密密级进行行验证。u 锁定自毁毁：客户户违规使使用可信信移动存存储介质质时，对磁磁盘进行行锁定或或自毁，保保证数据据的安全全性。u 扇区级加加解密：文件数数据的加加解密由由系统底底层驱动动自动进进行，对对用户是是透明的的。u 日志审计计：对用用户使用用可信移移动存储储介质所所产生的的日志进进行审计计和查看看。可信盘的的制作和和管理主主要由系系统管理理员完成成：n 磁盘的库库存管理理系统管理理员完成成对普通通磁盘的的入库登登记，以以备制作作可信盘盘，或对对入库的的磁盘进进行信息息销毁等等。n 磁盘授权权管理管理员对对移动存存储介质质进行注注册授权权，写入入授权信信息，即即

31、完成可可信磁盘盘的制作作、解锁锁、回收收、以及及商旅盘盘的使用用激活与与反激活活等操作作管理，同同时当可可信磁盘盘需要跨跨服务器器使用时时，可启启用该功功能。另另外，客客户端也也可通过过在线审审批方式式进行可可信磁盘盘的授权权。n 授权信息息管理系统管理理员可查查询可信信磁盘信信息、撤撤销可信信盘的授授权等。n 可信磁盘盘文件操操作策略略定义包括定义义可信磁磁盘文件件读、写写操作的的监控策策略，以以及设置置是否允允许在可可信磁盘盘上直接接运行可可执行文文件等，以以防止病病毒的运运行和传传播。n 可信磁盘盘日志审审计无论是普普通可信信磁盘，还还是商旅旅磁盘，在在磁盘使使用过程程中所产产生的日日志

32、都需需要上传传到服务务器中，所要求记录的日志包括：可信磁盘盘使用台台帐、磁磁盘锁定定与自毁毁日志、磁磁盘违规规使用日日志、磁磁盘使用用口令更更改日志志、磁盘盘的文件件操作日日志、可可信磁盘盘跨服务务器使用用功能的的启用与与关闭日日志、以以及跨服服务器使使用过程程的日志志记录。3.2终终端接入入管理*对接入内内网的计计算机进进行统一一的管理理，未经经许可的的计算机机不能接接入内网网，其主主要功能能如下：3.2.1终端端接入认认证通过登录录用户的的用户名名和口令令检查接接入用户户的合法法性，阻阻止外来来主机在在没有得得到管理理员许可可的情况况下非法法接入内内部网络络。3.2.2 终端端安全检查查对

33、接入内内网的计计算机必必须通过过安全性性检查才才能访问问内部网网络资源源，主要要功能如如下：对通过接接入认证证的计算算机进行行安全性性检查，检检查的策策略包括括两个方方面：防防病毒软软件检查查、操作作系统补补丁检查查和必备备软件安安装运行行检查。如如果没有有达到安安全检查查的基准准，则系系统只能能访问内内部修复复服务器器，不能能访问内内部网络络资源。当当系统执执行自我我修复操操作后（如如：安装装操作系系统补丁丁或安装装防病毒毒软件），如如果安全全状态达达到相应应的标准准那么该该计算机机即可正正常访问问内部网网络资源源。3.2.3内网安安全扫描描内网安全全扫描是是终端安安全管理理系统的的一个组件

34、件，它的的主要功功能是扫扫描局域域网内部部的存活活计算机机信息，并并对这些些计算机机进行合合法性分分析。通通过子网网配置和和参数设设置后，各各个网段段的代理理向本网网段发送送探测数数据，并并收集数数据提取取存活主主机信息息，然后后各网段段代理分分别将本网段段数据信信息发送送至服务器器。服务务器在分分析数据据之后，通过控制台显示被探测到主机的相关信息。这些信息包括主机的IP地址、Mac地址、是否安装UEM客户端、合法性、一致性、是否例外主机等。该组件可以通过交换机阻断功能或ARP欺骗阻断功能来阻断不合法主机，并记录扫描产生的日志信息。3.3补补丁管理理与软件件分发管管理*3.3.1 补丁丁分发管

35、管理统一配置置终端计计算机的的补丁管管理策略略，实现现对系统统补丁状状况的扫扫描，自自动完成成补丁分分发。系系统所支支持的补补丁包括括：Wiindoows操操作系统统补丁系系列、offficee系列办办公软件件补丁、SSQL Serrverr系列补补丁等微微软产品品的补丁丁，具体体功能如如下：u 制定统一一的补丁丁管理策策略，通通过设置置补丁来来源确定定补丁服服务器WWSUSS的地址和和WSUUS统计计地址，按照补丁检测周期定期检测客户端补丁安装状况。u 实现统一一的补丁丁更新管管理，通过设设置终端端策略实实现系统统补丁更更新，更更新模式式有两种种：手动动更新补补丁和自自动更新新补丁。o 手动

36、更新新补丁模模式，通通过策略略设定对对特定补补丁的检检测，如如果客户户端没有有安装这这类的补补丁，则则根据事事先设定定的下载载优先级级从补丁丁服务器器下载补补丁并安安装补丁丁。o 自动更新新补丁模模式，通通过设定定自动更更新方式式，实现现三种方方式的安安装和下下载：通通知下载载和通知知安装、自自动下载载和通知知安装、自自动下载载和自动动安装三三种方式式，通过过设定自自动更新新时间点点和更新新完成是是否重启启计算机机等参数数实现客客户端补补丁的自自动安装装。3.3.2软件分分发管理理规划企业业统一分分发的软软件安装装包，按按照统一一的软件件分发策策略，自自动完成成企业软软件的部部署，其其主要功功

37、能如下下：u 软件包管管理，按按照软件件包信息息和安装装环境创创建需要要分发的的软件包包，它包包含软件件位置、安安装环境境等相关关信息。可可支持MMSI、可可执行文文件、批批处理文文件三种种形式的的软件包包。u 软件包分分发，选择分分发软件件包的类类型，根根据统一一设定的的分发策策略可实实现多种种类型的的软件分分发，具具体类型型如下：o 软件下载载优先级级，根据据程序运运行的优优先级可可以设置置为：前前台、高高、中、低低四种优优先级；o 软件下载载类型，根根据下载载的紧迫迫性要求求可以分分为：立立即下载载、时间间点下载载和分时时段下载载三种下下载模式式。而时时间点下下载有可可以设置置立即下下载

38、的起起始时间间；分时时段下载载可以分分为多个个时段下下载，每每个时段段需要设设置起始始和终止止时间。o 安装类型型，可以以分为静静默安装装和交互互安装两两种方式式。o 安装时间间类型，可可以分为为立即安安装、时时间点安安装和等等待N分分钟后安安装。同时系统统对标准准格式的的安装包包在终端端主机上上安装结结果（成成功/失失败）进进行跟踪踪反馈，管管理员可可以根据据反馈结结果形成成统计报报表。3.4终终端安全全运维管管理*按照统一一的安全全策略监监控客户户端的运运行状况况，通过过软件自自动分发发和软硬硬件资产产的统一一管理大大大节约约了企业业信息系系统的维维护成本本，通过过系统远程程帮助控控制实现

39、现远程维护护计算机机，清除除系统故故障。系系统具体体功能如如下：3.4.1系统运行行状况监控控为管理员员随时提提供远程程终端主主机的运运行状态态变化信信息，自自动对指指定的异异常情况况进行报报警，根据管管理员预预定义策策略及时时阻断远远程主机机的违规规行为。具体功能能项如下下：u 监控信息息管理，实时监监测计算算机的资资源使用用情况，当当发现系系统资源源超过管管理员设设定的监监测阀值值时，根根据管理理员预定定义的响响应策略略阻止用用户行为为或向服服务器发发送告警警，具体体所能监监控的信信息如下下：o 计算机名名称监控控，禁止止计算机机用户修修改计算算机名称称的行为为。o 系统资源源监测，监测C

40、PPU、内内存的使使用情况况，当CCPU、内内存超过过管理员员设置的的监测阀阀值时，系系统向服服务器发发送告警警信息；监测硬硬盘的使使用情况况，当硬硬盘空闲闲空间小小于管理理员设置置的阀值值时，系系统向服服务器发发送告警警信息。o 网络流量量监测，监测计计算机网网络的实实时流量量和总流流量，当当网络流流量超过过阀值时时系统向向服务器器发送告告警信息息。o 文件共享享监测，监测共共享文件件夹的添添加、删删除，当当系统共共享文件件夹发生生变化时时，系统统向服务务器发送送告警信信息。o 文件操作作监测，监测用用户创建建文件、读读写文件件、重命命名文件件和删除除文件的的操作行行为，可可以设置置所监测测

41、的文件件名、文文件后缀缀和文件件路径。o 用户和组组操作监监测，监测用用户和组组的添加加、删除除和属性性改变的的用户操操作行为为。o 系统服务务监测，监测系系统服务务的启动动和停止止的变化化情况，并并记录日日志。o 网络配置置，监控系统网网络配置置的变化化情况，禁止用户修改IP地址。o 系统日志志，设置获获取远程程计算机机的系统日志志上传周周期。u 查看系统统信息，及及时获取取远程主主机的资资源信息息，包括括：进程程、网络络、帐户户和组、服服务、共共享、活活动窗口口、驱动动、硬件件、内存存、会话话信息、系统信息和系统日志。3.4.2 软软硬件资资产管理理自动发现现和收集集计算机机上的软软硬件资

42、资产信息息，跟踪踪软硬件件资产信信息变化化情况，对对非授权权的软硬硬件资产产的变更更产生报报警。具具体功能能相如下下：u 资产信息息查看，自自动收集集计算机机用户的的软硬件件资产信信息。其其中硬件件信息包包括处理理器、硬硬盘、内内存、BBIOSS、光驱驱、显卡卡、声卡卡、网卡卡、显示示器、输输入设备备、接口口控制器器、调制制解调器器、系统统端口和和插槽共共计144种类型型的硬件件资产；软件资资产包括括系统软软件、应应用软件件两种类类型；还还包括有有操作系系统信息息和客户户端信息息。u 软件管理理策略，规范用用户使用用软件的的范围，通通过设置置安装程程序黑白白名单或或基线方方式保证证用户启启动进

43、程程的合法法性。获获取计算算机用户户的软件件安装情情况，并并能对全全网的软软件安装装情况进进行统计计。u 硬件管理理策略，定义非法硬件名单单，可定定义的非非法硬件件包括：调制解解调器、无无线网卡卡、打印印机、采采集卡、刻刻录机、软软驱、移移动存储储器、键键盘和鼠鼠标。系系统一旦旦识别出出非法硬硬件后立立即向服服务器发发送告警警信息。u 硬件基线线设置，定定义硬件件设备的的运行基基线，当当发现硬硬件设备备与运行行基线不不一致时时，系统统立即向向服务器器发送告告警信息息。能定定义为基基线的硬硬件设备备有CPPU、BBIOSS、硬盘盘、网卡卡、显卡卡、光驱驱、内存存和声卡卡。3.4.3安全策策略管理

44、理按照企业业终端计计算机安安全管理理规定，统统一配置置终端计计算机的的Winndowws安全全策略，实实现集中中的安全全策略配配置管理理，统一一提高终终端计算算机用户户的安全全策略基基线。系统所所能配置置的安全全策略如如下：u 帐户密码码策略监监视，统一监监视Wiindoows密密码策略略的启用用情况和和策略参参数，对对不符合合安全策策略的状状态进行行报警。u 帐户锁定定策略监监视，统一监视视Winndowws帐户户锁定策策略的启启用情况况和策略略参数，对对不符合合安全策策略的状状态进行行报警。u 审核策略略监视，统一监视视Winndowws审核核策略的的启用情情况和策策略参数数，对不不符合安

45、安全策略略的状态态进行报报警。u 共享策略略监视，统一监视视Winndowws共享享（包含含默认共共享）情情况，对对不符合合安全策策略的状状态进行行报警。u 屏保策略略监视，统一监视视屏幕保保护策略略的启用用情况和和策略参参数，对对不符合合安全策策略的状状态进行行报警。3.4.4 防病病毒软件件监测通过策略略设置防防病毒软软件特征征，按照照统一的的策略监监测防病病毒软件件使用状状况，并并进行统统计分析析形成统统一的数数据报表表。具体体功能如如下：u 监视防病病毒软件件的使用用状况，通过防防病毒软软件的特特征监视视防病毒毒软件的的安装情况况、运行行状态和和病毒库库版本，对对不符合合安全策策略的状

46、状态进行行报警。u 防病毒软软件监测测特征的的自定义义，通过对对未知防防病毒软软件的特特征自定定义实现现对未知知防病毒毒软件的的监测，其其特征包包括杀毒毒程序名名称、病病毒库版版本标识识的注册册表项等等。3.4.5网络进进程管理理通过对网网络进程程的统一一管理，规规范计算算机用户户的网络络行为，实现“外面的网路连接未经许可进不来，里面的网络进程未经许可出不去”。具体功能描述如下：管理向外外发起连连接的网网络进程程，通过过设置网网络访问问进程的的黑、白白名单，实实现对计计算机用用户访问问网络的的控制；管理接收收外部连连入的网网络进程程，通过过网络进进程与本本地监听听端口绑绑定，规规范计算算机用户

47、户所提供供的网络络服务程程序，例例如“SUFFTP.EXEE授权监听听端口为为21，如如果将SSUFTTP.EEXE的的监听端端口改为为11333，则则进程不不能对外外提供服服务”。实时获取取网络进进程信息息和会话话连接状状态，当当管理员员通过控控制台获获取网络络进程信信息时，客户端以快照的方式上传当前的网络信息和会话状态。3.4.6文件安全全删除通过控制制台设置置临时文文件管理理策略，实实现临时时文件的的统一删删除管理理，系统所所能删除除的文件件包括有有：u 清除IEE缓存，按照策略定期删除IE所产生的临时文件；u 清除IEE地址栏栏，按照照策略定定期删除除IE地地址栏中中的临时时信息；u 清除历史史记录，按按照策略略定期删删除历史史记录文文件；u 清除COOOKIIE，按按照策略略定期删删除系统统访问