極地銀河內(nèi)網(wǎng)與安全管理系統(tǒng)產(chǎn)品介紹

1、極地銀河內(nèi)網(wǎng)與安全管理系統(tǒng)功能介紹極地銀河（北京）信息科技有限公司二0二0年一月.、八、-刖言1公司介紹1.1 產(chǎn)品架構(gòu)1.1.1 系統(tǒng)架構(gòu)1.1.2 產(chǎn)品各模塊功能1.2 極地銀河內(nèi)網(wǎng)與安全產(chǎn)品功能模塊介紹 1.2.1 桌面安全管理1.2.2 補(bǔ)丁分發(fā)管理1.2.3 外設(shè)與接口管理1.2.4 安全接入管理1.2.5 非法外聯(lián)監(jiān)控1.2.6 資產(chǎn)管理1.2.7 主要功能列表1.3 產(chǎn)品特點(diǎn)1.3.1 P2P文件傳輸1.3.2 防火墻聯(lián)動(dòng)1.3.3 詳細(xì)的文件審計(jì)1.3.4 在線/離線可設(shè)置不同策略進(jìn)行控制 1.3.5 USB移動(dòng)存儲(chǔ)設(shè)備管理1.4 產(chǎn)品部署1.4.1 部署方法、八 、-刖言隨著

2、計(jì)算機(jī)網(wǎng)絡(luò)的不斷發(fā)展，信息產(chǎn)業(yè)已經(jīng)成為人類社會(huì)的支柱產(chǎn)業(yè)， 全球 信息化已成為人類社會(huì)發(fā)展的大趨勢(shì)，由此帶動(dòng)了計(jì)算機(jī)網(wǎng)絡(luò)的迅猛發(fā)展和普遍 應(yīng)用。但由于計(jì)算機(jī)網(wǎng)絡(luò)具有聯(lián)結(jié)形式多樣性、 終端分布不均勻性和網(wǎng)絡(luò)的開放 性、互連性等特征，致使網(wǎng)絡(luò)易受黑客、病毒、蠕蟲、惡意軟件和其他惡意的攻 擊，所以網(wǎng)上信息的安全和保密是一個(gè)至關(guān)重要的問題。 無論是有意的攻擊，還 是無意的誤操作，都將會(huì)給系統(tǒng)帶來不可估量的損失。 攻擊者可以竊聽網(wǎng)絡(luò)上的 信息，竊取用戶的口令、數(shù)據(jù)庫的信息；還可以篡改數(shù)據(jù)庫內(nèi)容，偽造用戶身份， 否認(rèn)自己的簽名。更有甚者，可以刪除數(shù)據(jù)庫內(nèi)容，摧毀網(wǎng)絡(luò)節(jié)點(diǎn)，釋放計(jì)算機(jī) 病毒等等，這些都使信息

3、安全問題越來越復(fù)雜。 所以網(wǎng)絡(luò)的安全性也就成為廣大 網(wǎng)絡(luò)用戶普遍關(guān)心的問題。無論是在局域網(wǎng)還是在廣域網(wǎng)中都存在著自然和人為 等諸多因素的脆弱性和潛在威脅。發(fā)展和推廣網(wǎng)絡(luò)應(yīng)用的同時(shí)進(jìn)一步提高網(wǎng)絡(luò)的 安全性，真正做到“既要使網(wǎng)絡(luò)開放又要使網(wǎng)絡(luò)安全” 這一問題已成為了網(wǎng)絡(luò)界 積極研究的課題。在我國，近幾年隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)應(yīng)用的普及和豐富，網(wǎng)絡(luò)安全的 問題也日益嚴(yán)重，利用信息技術(shù)進(jìn)行的高科技犯罪事件呈現(xiàn)增長態(tài)勢(shì)。應(yīng)該說，網(wǎng)絡(luò)技術(shù)是一把雙刃劍，它在為我國國民經(jīng)濟(jì)建設(shè)、 人民的物質(zhì)文 化生活帶來促進(jìn)和豐富的同時(shí)，也對(duì)傳統(tǒng)的安全體系提出了嚴(yán)峻的挑戰(zhàn)， 使得國 家機(jī)密、金融信息等面臨巨大的威脅。但是，

4、正確的態(tài)度應(yīng)該是辨證的態(tài)度。一 方面不能因噎廢食，拒絕先進(jìn)的網(wǎng)絡(luò)技術(shù)和文化，但另一方面一定要對(duì)網(wǎng)絡(luò)威脅 給予充分的重視。中國工程院院士沈昌祥說：構(gòu)筑信息與網(wǎng)絡(luò)安全防線一事關(guān)重 大、刻不容緩。國家領(lǐng)導(dǎo)人也多次組織召開信息安全工作會(huì)議，強(qiáng)調(diào)信息安全的 重要性，提高信息安全防護(hù)意識(shí)，大力推進(jìn)我國信息安全的建設(shè)工作。為此，國 內(nèi)眾多的信息安全廠商也不斷的提高自身的信息安全技術(shù)與管理的水平，不斷地向用戶提供完整的解決方案和服務(wù)，幫助客戶提高信息安全防護(hù)的水平和等級(jí)， 構(gòu)筑起中國的信息安全“長城”01 公司介紹作為專業(yè)化的網(wǎng)絡(luò)安全保障公司， 現(xiàn)已獨(dú)立研制開發(fā)出了內(nèi)網(wǎng)安全等多項(xiàng)具 有國際先進(jìn)水平的網(wǎng)絡(luò)安全產(chǎn)

5、品， 并且與國內(nèi)外許多著名安全產(chǎn)品商建立了戰(zhàn)略 合作伙伴關(guān)系，從安全防護(hù)、報(bào)警、響應(yīng)、追蹤、恢復(fù)、報(bào)表和證據(jù)采集等各個(gè) 方面對(duì)網(wǎng)絡(luò)系統(tǒng)提供安全可靠的保障服務(wù)。通過對(duì)多項(xiàng)大型政府電子政務(wù)、 金融、石油石化、 電信等行業(yè)網(wǎng)絡(luò)安全保障 工程的建設(shè)實(shí)踐，我們深切的體會(huì)到任何網(wǎng)絡(luò)工程的建設(shè)都離不開信息安全技術(shù) 和信息安全管理的建設(shè)工作。 正是出于對(duì)廣大用戶和企業(yè)切身利益的考慮， 本著 “提供本行業(yè)最全面、最權(quán)威的系列網(wǎng)絡(luò)安全與管理的保障解決方案”的宗旨， 我們薈萃全球的尖端技術(shù)， 推出了優(yōu)秀的終端與內(nèi)網(wǎng)安全保障解決方案極地 銀河終端與內(nèi)網(wǎng)管理系統(tǒng)解決方案。1.1 產(chǎn)品架構(gòu)1.1.1 系統(tǒng)架構(gòu)本系統(tǒng)由三部

6、分組成， 客戶端代理模塊、 控制臺(tái)模塊和服務(wù)器模塊。 客戶端 代理模塊安裝在每一臺(tái)需要被監(jiān)視的計(jì)算機(jī)上， 用來收集數(shù)據(jù)信息， 并執(zhí)行來自 服務(wù)器模塊的指令。服務(wù)器模塊一般安裝在一臺(tái)具有高性能 CPU和大容量內(nèi)存的 用作服務(wù)器的計(jì)算機(jī)上，用來存儲(chǔ)和管理所有安裝有代理模塊的計(jì)算機(jī)的數(shù)據(jù)。 控制臺(tái)模塊一般安裝在公司的管理人員的計(jì)算機(jī)上， 用來監(jiān)控每臺(tái)安裝有代理模 塊的計(jì)算機(jī)，管理各類審計(jì)系統(tǒng)，制定安全策略。系統(tǒng)的基本框架如下圖所示：1.1.2 產(chǎn)品各模塊功能1、極地銀河終端與內(nèi)網(wǎng)管理系統(tǒng)服務(wù)器模塊： 服務(wù)器模塊包括服務(wù)器端軟件和支持?jǐn)?shù)據(jù)庫。支持操作系統(tǒng)為 MicrosoftWindows2000 和

7、 Microsoft WindowsXP。數(shù)據(jù)庫支持 Microsoft SQLServer 2000 和 Microsoft Acces(s 建議在客戶端超過 10 0點(diǎn)，使用 Microsoft SQLServer 2000 數(shù)據(jù)庫）。服務(wù)器模塊主要功能如下：定時(shí)搜索網(wǎng)絡(luò)，管理所有已安裝客戶端代理模塊的計(jì)算機(jī)，并向代理模 塊傳遞相關(guān)的設(shè)置和命令信息； 接收控制臺(tái)用戶數(shù)據(jù)請(qǐng)求指令，傳送數(shù)據(jù)文件到控制臺(tái)，由控制臺(tái)進(jìn)行 解密查看分析；保存客戶端代理用戶信息； 存儲(chǔ)系統(tǒng)組織結(jié)構(gòu)，用戶信息和系統(tǒng)工作配置參數(shù)； 收集客戶端代理模塊采集的數(shù)據(jù)，并保存到數(shù)據(jù)庫中； 提供方便靈活的歷史記錄管理、歸檔、搜索、

8、查看等功能；2、極地銀河終端與內(nèi)網(wǎng)管理系統(tǒng)控制臺(tái)模塊：控制臺(tái)模塊是實(shí)現(xiàn)系統(tǒng)管理、 參數(shù)配置、策略管理、 系統(tǒng)審計(jì)的人機(jī)交互界 面軟件。系統(tǒng)運(yùn)行平臺(tái)為 Microsft Windows 2000/XP ?？刂婆_(tái)模塊功能如下： 參數(shù)設(shè)置，包括控制臺(tái)和服務(wù)器的工作參數(shù)； 用戶（管理員）管理，包括：添加、刪除、修改；系統(tǒng)管理員采用分權(quán) 分級(jí)的管理方式，每個(gè)管理員都有其授權(quán)工作范圍和管理權(quán)限； 安全工作域結(jié)構(gòu)管理，包括創(chuàng)建組織結(jié)構(gòu)層次深度以及添加、刪除系統(tǒng) 組織結(jié)構(gòu)；客戶端代理的添加、安裝和卸載； 客戶端代理策略的配置和下發(fā)； 實(shí)時(shí)獲取被監(jiān)視計(jì)算機(jī)的屏幕快照等信息； 設(shè)置監(jiān)視和控制規(guī)則；查看并播放記錄在

9、服務(wù)器端的歷史記錄； 查詢特定機(jī)器特定時(shí)刻的歷史記錄； 監(jiān)測日志的查看、分析和審計(jì)；3、極地銀河終端與內(nèi)網(wǎng)管理系統(tǒng)客戶端代理模塊：客戶端代理模塊是安裝于受管理主機(jī)上的軟件。 軟件安裝支持本地安裝和網(wǎng) 絡(luò)安裝等多種方式；客戶端代理的卸載只從服務(wù)器接收控制臺(tái)發(fā)出的卸載指令， 本地用戶不能自行卸載、關(guān)閉管理程序?？蛻舳舜淼墓ぷ髌脚_(tái)目前支持Microsoft Windows系列操作系統(tǒng)包括 Windows98/Me、Windows2000和 WindowsXP。客戶端代理模塊主要功能如下：接收服務(wù)器下發(fā)的工作策略， 并按照該策略控制客戶端代理的工作模式； 信息泄露防護(hù)，該模塊包括對(duì)網(wǎng)絡(luò)層、應(yīng)用層、媒

10、體介質(zhì)、打印機(jī)和外 設(shè)接口等的監(jiān)視控制； 運(yùn)行監(jiān)測：實(shí)時(shí)記錄文件的操作，進(jìn)程、服務(wù)、驅(qū)動(dòng)、用戶和組的變化 情況；資產(chǎn)管理：接收服務(wù)器指令，上傳系統(tǒng)的軟件、硬件信息； 定時(shí)采集數(shù)據(jù)并保存，并將采集的數(shù)據(jù)傳送到服務(wù)器； 響應(yīng)控制臺(tái)發(fā)出的監(jiān)視請(qǐng)求，傳送實(shí)時(shí)的屏幕快照信息； 根據(jù)系統(tǒng)的設(shè)置控制計(jì)算機(jī)的操作； 和服務(wù)器通信完成補(bǔ)丁的檢測、下載和安裝； 完成安全接入管理的實(shí)際功能。1.2 極地銀河內(nèi)網(wǎng)與安全產(chǎn)品功能模塊介紹1.2.1 桌面安全管理桌面安全管理重點(diǎn)解決客戶端計(jì)算機(jī)桌面安全管理和行為的審計(jì)。 極地銀河 終端與內(nèi)網(wǎng)管理系統(tǒng)可以管理客戶端的用戶密碼和防病毒軟件等安全相關(guān)系統(tǒng) 的管理，并可以詳細(xì)記錄

11、客戶端計(jì)算機(jī)上的文件、網(wǎng)站、程序、端口、即時(shí)通信 工具等的使用情況。同時(shí)可以對(duì)允許用戶使用的文檔、程序、網(wǎng)站、端口等進(jìn)行 管理。桌面安全管理可以分為桌面安全及審計(jì)和桌面管理與運(yùn)維兩個(gè)大的功能 項(xiàng)。1.2.1.1 桌面安全及審計(jì)桌面密碼權(quán)限管理可以查看計(jì)算機(jī)上所有已有的用戶及其權(quán)限， 并可以遠(yuǎn)程修改密碼以增強(qiáng)其 密碼安全性。終端統(tǒng)一防火墻終端具有主機(jī)防火墻功能，可以統(tǒng)一設(shè)置終端的本地 / 遠(yuǎn)程端口訪問策略， 屏蔽不必要的端口，提高終端網(wǎng)絡(luò)安全性。防病毒軟件管理可以檢測終端上是否安裝有防病毒軟件， 以及安裝的防病毒軟件是否處于工 作狀態(tài)，病毒庫是否過期等信息。 極地銀河終端與內(nèi)網(wǎng)管理系統(tǒng)可以輔助客

12、戶端 完成防病毒軟件病毒庫的更新， 對(duì)于未安裝防病毒系統(tǒng)的客戶端， 也可以遠(yuǎn)程為 其安裝指定的防病毒軟件。終端在線 / 離線策略管理極地銀河終端與內(nèi)網(wǎng)管理系統(tǒng)可以對(duì)終端在線 / 離線 2 種狀態(tài)下應(yīng)用的策略 分別予以設(shè)置。 客戶端和服務(wù)器連接能夠進(jìn)行通信時(shí)為在線狀態(tài)， 無法和服務(wù)器 完成通信時(shí)即為離線狀態(tài)。通過對(duì)在線 /離線 2 中狀態(tài)設(shè)置不同的策略，對(duì)于經(jīng) 常移動(dòng)辦公的設(shè)備（如筆記本）可以提供更加靈活實(shí)用的管理。硬件變化審計(jì)可以獲取終端硬件的配置信息， 能夠監(jiān)測其變化， 對(duì)于硬件變化能夠記錄日 志并根據(jù)策略產(chǎn)生系統(tǒng)報(bào)警信息。軟件變化審計(jì)可以獲取終端軟件的安裝情況， 能夠監(jiān)測其變化， 對(duì)于軟件

13、的添加刪除等變 化能夠記錄日志并根據(jù)策略產(chǎn)生系統(tǒng)報(bào)警信息。終端用戶變化審計(jì)可以發(fā)現(xiàn)終端用戶的變化 （如添加 / 刪除用戶），記錄日志并根據(jù)策略產(chǎn)生系 統(tǒng)報(bào)警信息。文件訪問審計(jì)與管理可以記錄計(jì)算機(jī)上對(duì)各種文件和文件夾的訪問和操作情況， 并可以根據(jù)管理 員的設(shè)置，禁止對(duì)指定文件的操作。上網(wǎng)訪問行為審計(jì)與管理可以記錄終端系統(tǒng)瀏覽互聯(lián)網(wǎng)的情況， 并能產(chǎn)生統(tǒng)計(jì)圖表讓管理員查看用戶 的使用情況?？梢宰柚褂?jì)算機(jī)瀏覽指定的網(wǎng)站。系統(tǒng)進(jìn)程審計(jì)與管理可以記錄終端系統(tǒng)上所有使用過的程序和運(yùn)行過的進(jìn)程， 并能產(chǎn)生統(tǒng)計(jì)圖表 讓管理員查看用戶的程序使用情況。可以阻止指定的進(jìn)程在計(jì)算機(jī)上運(yùn)行。網(wǎng)絡(luò)共享審計(jì)與管理 可以記錄終

14、端系統(tǒng)上所有的共享文件夾，并可以遠(yuǎn)程對(duì)共享文件夾予以關(guān)閉。網(wǎng)絡(luò)端口通信審計(jì) 可以對(duì)終端的網(wǎng)絡(luò)端口與協(xié)議使用情況進(jìn)行監(jiān)測和審計(jì)。終端用戶屏幕審計(jì) 可以定時(shí)抓取終端計(jì)算的屏幕，并按照時(shí)間順序予以記錄，供管理員查閱。打印審計(jì)與管理可以監(jiān)測終端計(jì)算機(jī)進(jìn)行打印的事件， 記錄日志并可以根據(jù)策略產(chǎn)生報(bào)警信 息。可以禁止終端計(jì)算機(jī)的打印操作。1.2.1.2 桌面管理及運(yùn)維網(wǎng)絡(luò)連接與流量管理 極地銀河終端與內(nèi)網(wǎng)管理系統(tǒng)能夠監(jiān)控網(wǎng)絡(luò)接口的連接狀態(tài)， 可以實(shí)時(shí)監(jiān)控 客戶端的網(wǎng)絡(luò)流量狀態(tài)。 對(duì)于在單位時(shí)間內(nèi)超出流量閥值的終端， 可以自動(dòng)對(duì)其 進(jìn)行網(wǎng)絡(luò)中斷等限制措施，防止其過度占用網(wǎng)絡(luò)帶寬。進(jìn)程運(yùn)行管理 可以實(shí)時(shí)報(bào)告終

15、端上運(yùn)行的進(jìn)程，并可以遠(yuǎn)程關(guān)閉指定的進(jìn)程。軟件和啟動(dòng)組管理 能夠記錄終端上安裝的軟件和雖系統(tǒng)啟動(dòng)自動(dòng)運(yùn)行的軟件， 可以遠(yuǎn)程對(duì)允許 系統(tǒng)自動(dòng)啟動(dòng)的程序進(jìn)行管理。桌面消息通知能夠根據(jù)管理員的設(shè)置， 在指定的一臺(tái)或者多臺(tái)終端上產(chǎn)生一個(gè)桌面消息通 知，該消息會(huì)立即彈出在桌面上，對(duì)用戶予以提醒。遠(yuǎn)程計(jì)算機(jī)管理 能夠?qū)?duì)遠(yuǎn)程終端計(jì)算機(jī)執(zhí)行鎖定、注銷、重啟、關(guān)機(jī)等操作。鎖定計(jì)算機(jī) 除非管理員解鎖，否則無論強(qiáng)制重新啟動(dòng)或者進(jìn)入安全模式均不能使用。遠(yuǎn)程協(xié)助管理員可以向終端發(fā)送一個(gè)遠(yuǎn)程協(xié)助請(qǐng)求， 通過用戶許可后， 可以接管遠(yuǎn)程 用戶的桌面操作，幫助用戶解決問題。遠(yuǎn)程控制管理員可以遠(yuǎn)程直接控制一臺(tái)終端設(shè)備， 接管遠(yuǎn)

16、程終端的桌面操作， 進(jìn)行服 務(wù)器桌面管理或者幫助用戶解決問題。系統(tǒng)設(shè)置管理可以禁止終端用戶自行修改網(wǎng)絡(luò)屬性， IE 屬性等設(shè)置，防止用戶的更改對(duì) 網(wǎng)絡(luò)安全造成影響或引入安全風(fēng)險(xiǎn)。防火墻聯(lián)動(dòng)對(duì)于系統(tǒng)上發(fā)生的各種違規(guī)行為， 如試圖訪問未授權(quán)的文件， 使用不被許可 的程序，訪問非法網(wǎng)站等行為， 可以和防火墻進(jìn)行聯(lián)動(dòng)， 用戶的網(wǎng)絡(luò)連接予以阻 斷。運(yùn)行統(tǒng)計(jì)可以記錄終端的計(jì)算機(jī)運(yùn)行狀況， 上線和離線時(shí)間等信息， 以供對(duì)計(jì)算機(jī)的 使用情況進(jìn)行分析。1.2.2 補(bǔ)丁分發(fā)管理補(bǔ)丁分發(fā)管理主要完成客戶端的補(bǔ)丁檢測和安裝，強(qiáng)化客戶端自身健壯性。 允許管理員自定義軟件分發(fā)， 完成用戶自由系統(tǒng)的補(bǔ)丁管理。 可以遠(yuǎn)程進(jìn)行

17、軟件 分發(fā)?？梢陨钊虢Y(jié)合對(duì)客戶端防病毒程序安裝和運(yùn)行情況的檢測， 為安全接入管 理系統(tǒng)提供授權(quán)認(rèn)證憑據(jù)。終端漏洞自動(dòng)分析 可以自動(dòng)對(duì)終端上存在的安全漏洞進(jìn)行監(jiān)測，并將監(jiān)測結(jié)果上報(bào)至服務(wù)器。補(bǔ)丁分發(fā)可以根據(jù)終端上存在的安全漏洞， 分析到對(duì)應(yīng)的補(bǔ)丁， 并下發(fā)至終端進(jìn)行安 裝。分發(fā)支持強(qiáng)制安裝和通知安裝兩種方式， 安裝支持靜默安裝和非靜默安裝兩 種方式。補(bǔ)丁完整性和兼容性測試 極地銀河終端與內(nèi)網(wǎng)管理系統(tǒng)可以利用補(bǔ)丁的數(shù)字簽名等信息驗(yàn)證補(bǔ)丁來 源的可靠性和完整性。 可以挑選網(wǎng)絡(luò)中典型應(yīng)用的主機(jī)進(jìn)行補(bǔ)丁兼容性測試， 在 確認(rèn)補(bǔ)丁無兼容性問題后再進(jìn)行全網(wǎng)分發(fā)。補(bǔ)丁增量更新導(dǎo)入 極地銀河終端與內(nèi)網(wǎng)管理系統(tǒng)可

18、以檢查服務(wù)器上的補(bǔ)丁信息是否是最新的， 如果不是最新的， 能夠自動(dòng)分析出來和最新補(bǔ)丁的差異， 并將差異部分下載和導(dǎo) 入，實(shí)現(xiàn)補(bǔ)丁的增量更新。自定義補(bǔ)丁管理極地銀河終端與內(nèi)網(wǎng)管理系統(tǒng)允許添加自定義補(bǔ)丁文件， 并對(duì)添加的自定義 補(bǔ)丁文件進(jìn)行管理， 自定義補(bǔ)丁的管理支持添加、 刪除、查詢，信息修改等操作。自動(dòng)補(bǔ)丁分發(fā)策略制定管理極地銀河終端與內(nèi)網(wǎng)管理系統(tǒng)可以設(shè)置自動(dòng)補(bǔ)丁分發(fā)策略， 實(shí)現(xiàn)對(duì)終端補(bǔ)丁 的自動(dòng)分發(fā)管理。極地銀河終端與內(nèi)網(wǎng)管理系統(tǒng)可以按照終端缺少補(bǔ)丁的風(fēng)險(xiǎn)級(jí) 別，分別制定不同的分發(fā)和安裝策略。管理員可以對(duì)現(xiàn)有的進(jìn)行更改。流量控制 極地銀河終端與內(nèi)網(wǎng)管理系統(tǒng)可以對(duì)補(bǔ)丁分發(fā)時(shí)允許使用的網(wǎng)絡(luò)帶寬進(jìn)

19、行 設(shè)置，防止大規(guī)模補(bǔ)丁分發(fā)時(shí)占用過多網(wǎng)絡(luò)帶寬，影響正常業(yè)務(wù)使用：點(diǎn)對(duì)點(diǎn)文件傳輸極地銀河終端與內(nèi)網(wǎng)管理系統(tǒng)能夠通過服務(wù)器的調(diào)配，實(shí)現(xiàn)點(diǎn)對(duì)點(diǎn)(P2P)的文件傳輸。點(diǎn)對(duì)點(diǎn)的文件傳輸支持補(bǔ)丁分發(fā)和軟件分發(fā)等各種文件傳輸過程。自定義補(bǔ)丁分發(fā)和軟件分發(fā) 極地銀河終端與內(nèi)網(wǎng)管理系統(tǒng)允許在系統(tǒng)中添加自定義補(bǔ)丁或者自定義軟 件，并下發(fā)至客戶端。 下發(fā)的文件類型可以支持任意格式文件。 對(duì)于可執(zhí)行程序， 系統(tǒng)能夠自動(dòng)執(zhí)行，對(duì)于非可執(zhí)行類文件，系統(tǒng)能夠自動(dòng)使用關(guān)聯(lián)程序打開。1.2.3 外設(shè)與接口管理外設(shè)與接口管理主要對(duì)終端上的各種外設(shè)和接口進(jìn)行管理。 極地銀河終端與 內(nèi)網(wǎng)管理系統(tǒng)可以禁用系統(tǒng)的外設(shè)和接口， 防止用戶

20、非法使用。 在外部存儲(chǔ)設(shè)備 的禁用方面， 可以在禁止使用通用移動(dòng)存儲(chǔ)設(shè)備的同時(shí)， 對(duì)經(jīng)過認(rèn)證的移動(dòng)存儲(chǔ) 設(shè)備允許使用。存儲(chǔ)設(shè)備禁用極地銀河終端與內(nèi)網(wǎng)管 理系統(tǒng)可以禁止如下 存儲(chǔ)設(shè)備的使用：軟驅(qū) (Floppy )、光驅(qū)(CD/DVD/HD-DVD/BlueRa) 磁帶機(jī)、Flash 存儲(chǔ)設(shè)備(U盤及 MP3播放器)、移動(dòng)硬盤(USB或 1394)等。外設(shè)和接口禁用 極地銀河終端與內(nèi)網(wǎng)管理系統(tǒng)可以禁止如下外設(shè)計(jì)口的使用：串口和并口(COM/LP) SCSI接口、藍(lán)牙設(shè)備、紅外線設(shè)備、調(diào)制解調(diào)器、USB接口、火線接口（ 1394）、PCMCIA插槽等。設(shè)置移動(dòng)存儲(chǔ)設(shè)備只讀可以設(shè)置將所有移動(dòng)存儲(chǔ)設(shè)備

21、置于只讀狀態(tài)，不允許用戶修改或者寫入。移動(dòng)存儲(chǔ)設(shè)備認(rèn)證 管理員可以通過極地銀河終端與內(nèi)網(wǎng)管理系統(tǒng)對(duì)指定的移動(dòng)存儲(chǔ)設(shè)備進(jìn)行 認(rèn)證，并將認(rèn)證信息存儲(chǔ)在系統(tǒng)中， 同時(shí)下發(fā)到指定客戶端上， 經(jīng)過認(rèn)證的移動(dòng) 存儲(chǔ)設(shè)備可以在指定的客戶端上全權(quán)使用。1.2.4 安全接入管理在線主機(jī)監(jiān)測可以通過監(jiān)聽和主動(dòng)探測等方式檢測系統(tǒng)中所有在線的主機(jī)， 并判別在線主 機(jī)是否是經(jīng)過系統(tǒng)授權(quán)認(rèn)證的信任主機(jī)。主機(jī)授權(quán)認(rèn)證可以通過在線主機(jī)是否安裝客戶端代理程序， 并結(jié)合客戶端代理報(bào)告的主機(jī) 補(bǔ)丁安裝情況， 防病毒程序安裝和工作情況等信息， 進(jìn)行網(wǎng)絡(luò)的授權(quán)認(rèn)證， 只允 許通過授權(quán)認(rèn)證的主機(jī)使用網(wǎng)絡(luò)資源。非法主機(jī)網(wǎng)絡(luò)阻斷對(duì)于探測到的

22、非法主機(jī)， 系統(tǒng)可以主動(dòng)阻止其訪問任何網(wǎng)絡(luò)資源， 從而保證 非法主機(jī)不對(duì)網(wǎng)絡(luò)產(chǎn)生影響，無法有意或無意的對(duì)網(wǎng)絡(luò)攻擊或者試圖竊密。網(wǎng)絡(luò)白名單策略管理極地銀河終端與內(nèi)網(wǎng)管理系統(tǒng)可以自動(dòng)生成默認(rèn)的合法主機(jī)列表， 根據(jù)是否 安裝安全管理客戶端或者是否執(zhí)行安全策略， 來過濾合法主機(jī)列表， 快速實(shí)現(xiàn)合 法主機(jī)列表的生成，降低管理員的工作量。 同時(shí)允許管理員設(shè)置白名單例外列表， 允許例外列表的主機(jī)不安裝客戶端但是仍然授予網(wǎng)絡(luò)使用權(quán)限， 并根據(jù)需要授予 可以和其他授權(quán)認(rèn)證過的主機(jī)通信的權(quán)限或者允許和任意主機(jī)通信的權(quán)限。IP和MAC綁定管理可以將終端的IP和MAC地址綁定，禁止用戶修改自身的IP和MAC地址，并

23、在用戶試圖更改IP和MAC地址時(shí)，產(chǎn)生相應(yīng)的報(bào)警信息。防火墻聯(lián)動(dòng)可以同防火墻產(chǎn)品聯(lián)動(dòng)， 共同防止非法設(shè)備接入內(nèi)部網(wǎng)絡(luò)中。 對(duì)于違反安全策略的客戶機(jī)，可以通知防火墻阻斷其網(wǎng)絡(luò)訪問行為。1.2.5 非法外聯(lián)監(jiān)控非法外聯(lián)監(jiān)控主要解決發(fā)現(xiàn)和管理用戶非法自行建立通路連接非授權(quán)網(wǎng)絡(luò) 的行為。通過非法外聯(lián)監(jiān)控的管理， 可以防止用戶訪問非信任網(wǎng)絡(luò)資源， 并防止 由于訪問非信任網(wǎng)絡(luò)資源而引入安全風(fēng)險(xiǎn)或者導(dǎo)致信息泄密。終端非法外聯(lián)行為監(jiān)控 可以發(fā)現(xiàn)終端試圖訪問非授信網(wǎng)絡(luò)資源的行為， 如試圖與沒有通過系統(tǒng)授權(quán) 許可的終端進(jìn)行通信， 自行試圖通過撥號(hào)連接互聯(lián)網(wǎng)等行為。 對(duì)于發(fā)現(xiàn)的非法外 聯(lián)行為，可以記錄日志并產(chǎn)生報(bào)警

24、信息。終端非法外聯(lián)行為管理 可以禁止終端與沒有通過系統(tǒng)授權(quán)許可的終端進(jìn)行通信，禁止撥號(hào)上網(wǎng)行 為。防火墻聯(lián)動(dòng) 對(duì)于發(fā)現(xiàn)有非法外聯(lián)行為的主機(jī)，可以和防火墻聯(lián)動(dòng)，利用防火墻的功能， 防止其危害行為給網(wǎng)絡(luò)帶來安全風(fēng)險(xiǎn)。1.2.6 資產(chǎn)管理硬件設(shè)備信息統(tǒng)計(jì)可以自動(dòng)收集分析終端計(jì)算機(jī)的物理內(nèi)存、 處理器類型、處理器速度、 處理 器個(gè)數(shù)、數(shù)學(xué)協(xié)處理器、 總線類型等各種計(jì)算機(jī)硬件信息。 系統(tǒng)可以通過組合查 詢，報(bào)告硬件的各種，查詢可以基于硬件、存儲(chǔ)容量等多種關(guān)鍵字進(jìn)行。軟件資產(chǎn)統(tǒng)計(jì) 極地銀河終端與內(nèi)網(wǎng)管理系統(tǒng)可以自動(dòng)收集分析終端計(jì)算機(jī)安裝的軟件信 息，并通過多種條件進(jìn)行查詢和統(tǒng)計(jì)。資產(chǎn)變更處理 極地銀河終端

25、與內(nèi)網(wǎng)管理系統(tǒng)可以自動(dòng)監(jiān)測系統(tǒng)軟硬件資產(chǎn)的變動(dòng)， 記錄日 志并可以產(chǎn)生報(bào)警， 同時(shí)可以根據(jù)策略自主采用響應(yīng)措施， 防止資產(chǎn)變更給客戶 端或者網(wǎng)絡(luò)帶來更大的危害。軟件授權(quán)管理可以自動(dòng)分析已安裝軟件并和授權(quán)登記表中的信息相比對(duì)，統(tǒng)計(jì)非授權(quán)軟件的使用并告警。127主要功能列表桌面安全管理桌面安全終端用戶和權(quán)限查看終端用戶密碼修改終端禁止訪問的外部端口配置終端禁止被訪問的內(nèi)部端口配置防病毒軟件檢測防病毒軟件病毒庫升級(jí)遠(yuǎn)程防病毒軟件安裝桌面審計(jì)硬件信息變化告警與審計(jì)軟件信息變化告警與審計(jì)終端用戶變化告警與審計(jì)文件訪冋行為告警與審計(jì)網(wǎng)站訪問行為告警與審計(jì)程序使用行為告經(jīng)與審計(jì)網(wǎng)絡(luò)共享審計(jì)網(wǎng)絡(luò)端口使用行為審

26、計(jì)終端用戶屏幕抓取與審計(jì)打印審計(jì)桌面管理用戶允許使用的文件設(shè)置管理用戶允許訪問的網(wǎng)站設(shè)置管理用戶允許使用的程序設(shè)置管理終端自啟動(dòng)軟件管理終端運(yùn)行進(jìn)程管理桌面消息通知鎖定遠(yuǎn)程計(jì)算機(jī)遠(yuǎn)程注銷登錄計(jì)算機(jī)的用戶遠(yuǎn)程重新啟動(dòng)計(jì)算機(jī)遠(yuǎn)程關(guān)閉計(jì)算機(jī)遠(yuǎn)程協(xié)助遠(yuǎn)程控制禁止用戶使用設(shè)備管理器禁止用戶打開網(wǎng)絡(luò)屬性禁止快速用戶切換禁止打開IE屬性關(guān)閉系統(tǒng)默認(rèn)共享和用戶共享防火墻聯(lián)動(dòng)阻止終端網(wǎng)絡(luò)通信主機(jī)運(yùn)維終端上線離線時(shí)間統(tǒng)計(jì)流量異常監(jiān)控進(jìn)程異常監(jiān)控補(bǔ)丁分發(fā)管理補(bǔ)丁分發(fā)主機(jī)漏洞補(bǔ)丁分析下發(fā)主機(jī)缺少補(bǔ)丁下發(fā)用戶自選補(bǔ)丁測試組計(jì)算機(jī)補(bǔ)丁測試補(bǔ)丁管理補(bǔ)丁升級(jí)自定義補(bǔ)丁管理軟件分發(fā)自定義軟件管理自定義軟件分發(fā)任務(wù)管理當(dāng)前任務(wù)管

27、理歷史任務(wù)管理計(jì)劃任務(wù)管理流量控制補(bǔ)丁傳輸流量控制P2P文件傳輸外設(shè)和接口 管理存儲(chǔ)設(shè)備管理禁用軟驅(qū)禁用光驅(qū)禁用磁帶機(jī)禁用移動(dòng)存儲(chǔ)設(shè)備設(shè)置禁用的移動(dòng)存儲(chǔ)設(shè)備只讀認(rèn)證移動(dòng)存儲(chǔ)設(shè)備外設(shè)管理禁用串口和并口禁用SCSI接口禁用藍(lán)牙設(shè)備禁用紅外設(shè)備禁用調(diào)制解調(diào)器禁用USB設(shè)備禁用1394設(shè)備禁用PCMCIA插槽安全接入管理接入控制在線主機(jī)偵聽檢測非法主機(jī)網(wǎng)絡(luò)阻斷禁止修改IP地址禁止修改MAC地址接入管理設(shè)置合法主機(jī)設(shè)置超級(jí)主機(jī)防火墻聯(lián)動(dòng)外聯(lián)監(jiān)控非法外聯(lián)監(jiān)控非法撥號(hào)監(jiān)控連接非法主機(jī)監(jiān)控非法外聯(lián)管理禁止撥號(hào)網(wǎng)絡(luò)禁止連接非法主機(jī)防火墻聯(lián)動(dòng)網(wǎng)絡(luò)阻斷資產(chǎn)管理資產(chǎn)統(tǒng)計(jì)硬件信息收集統(tǒng)計(jì)軟件信息收集統(tǒng)計(jì)資產(chǎn)變更處理硬件

28、資產(chǎn)變更處理軟件資產(chǎn)變更處理安全性系統(tǒng)安全性服務(wù)器與客戶機(jī)之間的通信經(jīng)過必要的加密措施有管理員帳號(hào)管理功能控制臺(tái)支持分級(jí)、分組、分權(quán)限管理服務(wù)器與客戶機(jī)的認(rèn)證防止未獲授權(quán)使用十電子郵件內(nèi)容加密備份數(shù)據(jù)加密數(shù)據(jù)安全性提供自動(dòng)備份功能支持多種備份裝置（如磁帶機(jī)、CDRWDVDRW網(wǎng)絡(luò)驅(qū)動(dòng)器）系統(tǒng)性能數(shù)據(jù)庫性能高性能的后臺(tái)數(shù)據(jù)庫網(wǎng)絡(luò)性能高性能的數(shù)據(jù)壓縮和數(shù)據(jù)傳輸，降低數(shù)據(jù)大小及傳輸時(shí)間快速客戶機(jī)并發(fā)輪詢客戶機(jī)網(wǎng)絡(luò)流量控制管理功能客戶端程序功 能客戶端程序兼容WINDOWS系列操作系統(tǒng)客戶端程序卸載必須通過控制臺(tái)客戶端程序具有反安裝保護(hù)功能安裝方式單獨(dú)安裝域安裝WEB安裝遠(yuǎn)程推送內(nèi)部郵件發(fā)送客戶端下載

29、連接配置功能用戶轉(zhuǎn)換修改密碼計(jì)算機(jī)管理描述管理用戶及權(quán)限管理查詢歷史選項(xiàng)設(shè)置數(shù)據(jù)清除周期升級(jí)序列號(hào)客戶端自動(dòng)升級(jí)桌面安全管理客戶機(jī)屏幕監(jiān)控功能監(jiān)控平臺(tái)自動(dòng)定時(shí)截屏并儲(chǔ)存截屏記錄的刪除、備份等管理功能客戶機(jī)程序管 理功能禁止客戶機(jī)運(yùn)行任意指定的程序禁止客戶機(jī)訪問指定的 WEB站點(diǎn)客戶機(jī)控制功 能遠(yuǎn)程鎖定客戶機(jī)遠(yuǎn)程注銷/關(guān)閉/重啟客戶機(jī)遠(yuǎn)程控制客戶機(jī)斷開客戶機(jī)的網(wǎng)絡(luò)連接向客戶機(jī)發(fā)出實(shí)時(shí)訊息審計(jì)功能統(tǒng)計(jì)客戶機(jī)的程序使用情況（餅狀圖、柱狀圖、圖表）統(tǒng)計(jì)客戶機(jī)的訪問 WEB的情況（餅狀圖、柱狀圖、圖表）統(tǒng)計(jì)客戶機(jī)的事件日志情況統(tǒng)計(jì)客戶機(jī)的所有文件操作記錄主機(jī)防火墻可以監(jiān)測主機(jī)開放端口可以監(jiān)測應(yīng)用程序網(wǎng)絡(luò)

30、訪問情況可以關(guān)閉主機(jī)上的指定端口可以過濾網(wǎng)絡(luò)通訊，禁止未許可程序的網(wǎng)絡(luò)訪問過濾已知網(wǎng)絡(luò)攻擊行為補(bǔ)丁分發(fā)任務(wù)管理當(dāng)前任務(wù)管理歷史任務(wù)管理計(jì)劃任務(wù)管理補(bǔ)丁分發(fā)下發(fā)主機(jī)缺少補(bǔ)丁下發(fā)用戶自選補(bǔ)丁主機(jī)缺少補(bǔ)丁分析自定義軟件分發(fā)補(bǔ)丁管理補(bǔ)丁庫查詢自定義補(bǔ)丁管理自定義軟件管理安全接入管理非法主機(jī)阻斷監(jiān)測所有在線主機(jī)主機(jī)授權(quán)識(shí)別非法主機(jī)網(wǎng)絡(luò)通信阻斷白名單管理設(shè)置合法主機(jī)設(shè)置超級(jí)主機(jī)白名單管理資產(chǎn)管理客戶機(jī)信息管 理功能保存客戶機(jī)的硬件信息保存客戶機(jī)的軟件信息保存客戶機(jī)的IP地址保存客戶機(jī)的主機(jī)名保存客戶機(jī)的用戶登陸信息自定義信息管 理設(shè)置主機(jī)別名設(shè)置硬件資產(chǎn)購置和品牌信息設(shè)置硬件使用人員信息設(shè)置硬件物理位置信

31、息外設(shè)和接口管理外設(shè)管理軟盤驅(qū)動(dòng)器光盤驅(qū)動(dòng)器光盤刻錄機(jī)磁帶驅(qū)動(dòng)器USB存儲(chǔ)設(shè)備調(diào)制解調(diào)器接口管理USB接 口SCSI1394總線紅外線通訊設(shè)備PCMCIA卡接口串口、并口其他管理禁止修改網(wǎng)絡(luò)屬性禁止XP操作系統(tǒng)上快速切換用戶設(shè)備管理器非法外聯(lián)管理外聯(lián)檢控探測主機(jī)試圖撥號(hào)上網(wǎng)的行為探測與非授權(quán)地址的網(wǎng)絡(luò)通信阻斷違規(guī)網(wǎng)絡(luò)外聯(lián)行為防火墻聯(lián)動(dòng)與防火墻聯(lián)動(dòng)阻斷違規(guī)主機(jī)網(wǎng)絡(luò)通信安全性系統(tǒng)安全性服務(wù)器與客戶機(jī)之間的通信經(jīng)過必要的加密措施具有管理員帳號(hào)管理功能控制臺(tái)支持分級(jí)、分組、分權(quán)限管理服務(wù)器與客戶機(jī)的認(rèn)證防止未獲授權(quán)使用電子郵件內(nèi)容加密備份數(shù)據(jù)加密數(shù)據(jù)安全性提供自動(dòng)備份功能支持多種備份裝置（如磁帶機(jī)，如

32、磁帶機(jī)，CDR，, DVDRW 網(wǎng)絡(luò)驅(qū)動(dòng)器，網(wǎng)絡(luò)驅(qū)動(dòng)器 ）管理功能處理機(jī)制米用高性能的后臺(tái)數(shù)據(jù)庫高性能的數(shù)據(jù)壓縮和數(shù)據(jù)傳輸，減低數(shù)據(jù)的大小及數(shù)據(jù)傳輸?shù)臅r(shí)間具有快速的客戶機(jī)并發(fā)輪詢機(jī)制客戶機(jī)網(wǎng)絡(luò)流量控制客戶端程序功 能客戶端程序兼容WINDOWS系列操作系統(tǒng)客戶端程序卸載必須通過控制臺(tái)客戶端程序具有反安裝保護(hù)功能事務(wù)日志功能以數(shù)據(jù)庫的方式記錄日志分類顯示不同內(nèi)容的日志輸入條件查詢指定內(nèi)容的日志對(duì)客戶機(jī)訪問 WEB站點(diǎn)的情況記錄日志對(duì)客戶機(jī)使用程序的情況記錄日志對(duì)客戶機(jī)的所有文件操作記錄日志對(duì)客戶機(jī)的所有打印操作記錄日志對(duì)客戶機(jī)的上線/離線操作記錄日志安裝方式單獨(dú)安裝域安裝WEB安裝遠(yuǎn)程推送內(nèi)部郵

33、件發(fā)送客戶端下載連接配置功能用戶轉(zhuǎn)換修改密碼計(jì)算機(jī)管理描述管理用戶及權(quán)限管理查詢歷史選項(xiàng)設(shè)置屏幕間隔、數(shù)據(jù)庫、跨網(wǎng)段、郵件發(fā)送升級(jí)序列號(hào)升級(jí)文件，自動(dòng)升級(jí)1.3 產(chǎn)品特點(diǎn)1.3.1 P2P 文件傳輸極地銀河終端與內(nèi)網(wǎng)管理系統(tǒng)在進(jìn)行補(bǔ)丁分發(fā)或者軟件分發(fā)等操作時(shí)， 可以 采用P2P的方式完成文件的傳輸。服務(wù)器首先會(huì)將要下發(fā)的文件在每個(gè)網(wǎng)段范圍 之內(nèi)選擇一臺(tái)主機(jī)下發(fā)， 然后自動(dòng)將其他主機(jī)的對(duì)同一個(gè)文件的請(qǐng)求重定向到指 定的客戶端上，即可通過客戶端之間的直接通信連接，完成文件的傳輸。P2P的文件傳輸方式可以極大的節(jié)約服務(wù)器端的網(wǎng)絡(luò)帶寬， 減少服務(wù)器端的 網(wǎng)絡(luò)流量， 從而允許一臺(tái)服務(wù)器在同等配置情況下可

34、以支持更多的客戶端， 緩解 服務(wù)器端的網(wǎng)絡(luò)帶寬瓶頸。1.3.2 防火墻聯(lián)動(dòng)極地銀河終端與內(nèi)網(wǎng)管理系統(tǒng)可以和防火墻進(jìn)行聯(lián)動(dòng)， 實(shí)現(xiàn)更靈活和更可靠 的安全控制。防火墻聯(lián)動(dòng)可以和安全接入進(jìn)行協(xié)作。在發(fā)現(xiàn)網(wǎng)絡(luò)當(dāng)中的未授權(quán)非法主機(jī) 時(shí)，安全接入管理系統(tǒng)可以將非法主機(jī)的相關(guān)信息報(bào)告給防火墻， 通過防火墻阻 斷非法主機(jī)的網(wǎng)絡(luò)通信行為。同時(shí)，防火墻聯(lián)動(dòng)可以作為系統(tǒng)的事件響應(yīng)策略， 當(dāng)網(wǎng)絡(luò)客戶端發(fā)生違反安全策略的行為時(shí)， 系統(tǒng)能夠自動(dòng)發(fā)現(xiàn)， 并按照策略的配 置，自動(dòng)通知防火墻對(duì)違反安全策略的主機(jī)進(jìn)行網(wǎng)絡(luò)通信的中端， 將安全事件范 圍控制在邊界以內(nèi)，防止安全威脅的進(jìn)一步擴(kuò)大。1.3.3 詳細(xì)的文件審計(jì)極地銀河終端與內(nèi)網(wǎng)管理系統(tǒng)可以對(duì)文件或文件夾的操作進(jìn)行審計(jì)， 能夠?qū)?計(jì)的具體操作包括：訪問、修改、復(fù)制、移動(dòng)、創(chuàng)建、刪除、打印、網(wǎng)絡(luò)、改名、 恢復(fù)、共享等。系統(tǒng)能夠詳細(xì)記錄發(fā)生事件的時(shí)間、計(jì)算機(jī)，以及進(jìn)行文件操作 的用戶，操作的類型，被操作的文件名和文件路徑等信息。此外，還能夠在指定 的事件發(fā)生時(shí)， 觸發(fā)相應(yīng)的報(bào)警與響應(yīng)措施， 及時(shí)通知管理員并阻止用戶的違規(guī) 行為。通過文件操作的詳細(xì)審計(jì)， 能夠防止文件泄密行為的發(fā)生， 并且在安全事件發(fā)生以后，做到有據(jù)可查，方便安全事件發(fā)生原因的準(zhǔn)確定位以及責(zé)任的追查。1.3.4 在線 /離線