圣安終端管理系統(tǒng)(SasunCMS)技術(shù)白皮書

1、G圣殳科技圣安終端管理系統(tǒng)技術(shù)白皮書圣安終端管理系統(tǒng)技術(shù)白皮書至支科技上海圣安信息工程有限公司版權(quán)聲明上海圣安信息工程有限公司（以下簡稱圣安公司）擁有本文檔（包括所涉及的主 題）的專利、專利申請、商標、版權(quán)及其他知識產(chǎn)權(quán)。圣安公司授予您閱讀本文 檔的權(quán)利；但是，除非有圣安明確提供的書面特許協(xié)議， 本文檔的提供并不 意味 著授予您相關(guān)專利、商標、版權(quán)或其他任何知識產(chǎn)權(quán)的特許。復(fù)制與傳播遵守所有生效的版權(quán)法是用戶的責任。在未經(jīng)圣安公司明確書面許 可的情況下，不得對本文檔的任何部分進行復(fù)制（備份目的除外），不得將其保 存于或引進到公開的檢索系統(tǒng)中，不得以任何形式和任何方式（電子、影印、錄 制、機械或

2、其他任何此處未指明的方式）進行傳播或用于任何目的。示例如果本文檔有示例部分，則在示例部分中所描述的公司、組織、產(chǎn)品、人 及事件均屬虛構(gòu)，與真實的公司、組織、產(chǎn)品、人及事件無任何關(guān)系。變更 本文檔的參考資料中所提及的包括Web站點、In ternet資源、第三方的技 術(shù)標準與規(guī)范等在內(nèi)的信息，如在本文檔交付后有變更，恕不另行通知。版權(quán)所有者？版權(quán)所有 上海圣安信息工程有限公司（ShangHai Sasun S&T Co.,Ltd.），2020。地址： 上海市中山南二路 777弄1號樓1603室（200230）。所有權(quán)利均予保留。商標SASUN、GAP和/或其他本文檔中提及的圣安產(chǎn)品，是圣

3、安科技的商標或 注冊商標。本文檔所提到的真實的公司和產(chǎn)品的名稱可能是其各自所有者的商 標。聯(lián)系人 如有任何疑問或問題，請與 adminSasun.ne聯(lián)系。未經(jīng)本使用規(guī)定明確授予的任何權(quán)利均予保留#G荃殳科技圣安終端管理系統(tǒng)技術(shù)白皮書4公司簡介客戶端終端管理的現(xiàn)狀和需求“圣安終端管理系統(tǒng)”介紹2.3.桌'面終端管理系統(tǒng)”系統(tǒng)特點圣安終端管理系統(tǒng)功能簡介:3.13.23.33.43.53.63.73.83.93.103.113.123.143.153.16USB設(shè)備監(jiān)控和管理功能 網(wǎng)絡(luò)行為管理記錄功能. 網(wǎng)絡(luò)設(shè)置管理功能 接入管理控制功能 違規(guī)外聯(lián)管理控制功能. 打印管理控制功能 消息管

4、理功能 未安裝管理功能 資產(chǎn)管理功能模塊 連接網(wǎng)絡(luò)進程管理 防ARP欺騙功能 目錄只讀/隱藏功能 遠程桌面連接功能 系統(tǒng)設(shè)置模塊 系統(tǒng)日志模塊14161717181819192020212121224“圣安終端管理系統(tǒng)”在網(wǎng)絡(luò)中的典型部署方案235.支持的操作系統(tǒng):233G荃殳科技圣安終端管理系統(tǒng)技術(shù)白皮書7公司簡介上海圣安信息工程有限公司成立于 2001年9月，公司主要的業(yè)務(wù)是致力于計算機網(wǎng)絡(luò)、通信等高科技領(lǐng)域的產(chǎn)品開發(fā)及市場開拓，主要經(jīng)營產(chǎn)品有終端管 理系統(tǒng)(Sasun-CMS)、計算機終端綜合管理平臺、入侵檢測系統(tǒng)(Sasun-IDS)、 公文流轉(zhuǎn)系統(tǒng)、電子郵件系統(tǒng)、視訊管理及點播系統(tǒng)，

5、并提供完整的用戶解決方 案和專業(yè)的售后服務(wù)。圣安科技依靠自身強大的技術(shù)、研發(fā)實力以及完善的服務(wù)體系，在眾多網(wǎng)絡(luò) 安全產(chǎn)品廠商中脫穎而出，在較短的時間內(nèi)已成為國內(nèi)網(wǎng)絡(luò)安全廠商中發(fā)展較快 的領(lǐng)先者。目前圣安科技的產(chǎn)品已廣泛應(yīng)用于政府、軍隊、電信、金融、醫(yī)療等領(lǐng)域, 得到廣大用戶的一致好評。隨著圣安科技的迅速發(fā)展，現(xiàn)已在全國各地建立近 20家分銷渠道，用戶遍布全國10余個省市自治區(qū)。圣安科技擁有國內(nèi)一流的網(wǎng)絡(luò)安全產(chǎn)品線體系， 主要網(wǎng)絡(luò)安全產(chǎn)品全部獲得 了計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證、國家信息安全產(chǎn)品測評認證證98%書；此外，其核心安全產(chǎn)品還通過了國家保密局技術(shù)鑒定。圣安科技擁有一支強大的員工

6、隊伍，本科以上學歷占公司員工總數(shù)的以上。在經(jīng)營管理上，積極利用股東資源，引入先進的企業(yè)管理制度和市場營銷 模式，確保了公司的長遠發(fā)展。在技術(shù)開發(fā)上，圣安科技依托多年網(wǎng)絡(luò)安全研究 的技術(shù)積淀，匯聚了一大批專門從事網(wǎng)絡(luò)安全研究并擁有豐富軟件開發(fā)經(jīng)驗的技 術(shù)人員，通過不斷的實踐和積極的探索，積累了大量的實戰(zhàn)經(jīng)驗和極為寶貴的安 全數(shù)據(jù)，這些，已成為圣安科技重要的無形資產(chǎn)。 依托長年的專業(yè)積累將不斷對 產(chǎn)品與服務(wù)進行升級和完善，圣安科技的軟件產(chǎn)品將始終在國內(nèi)保持領(lǐng)先地位。圣安科技將繼續(xù)堅持“以領(lǐng)先的技術(shù)、專業(yè)化的服務(wù)為客戶提供計算機系統(tǒng) 安全產(chǎn)品、服務(wù)及整體解決方案”的經(jīng)營宗旨，以打造優(yōu)秀的網(wǎng)絡(luò)技術(shù)安全

7、民族 企業(yè)為已任，以不懈努力，不斷創(chuàng)新，開發(fā)具有更高安全性能和品質(zhì)的網(wǎng)絡(luò)安全 產(chǎn)品，提供更及時更有效的安全保障服務(wù)，為我國的信息化建設(shè)保駕護航。1客戶端終端管理的現(xiàn)狀和需求隨著網(wǎng)絡(luò)辦公應(yīng)用的廣泛使用和蓬勃發(fā)展， 計算機網(wǎng)絡(luò)已經(jīng)成為生活和辦公 中不可缺少的部分。尤其在政府和高技術(shù)企業(yè)的辦公網(wǎng)絡(luò)中越來越多地出現(xiàn)了內(nèi) 部重要信息和機密資料地流轉(zhuǎn)，這些重要的資料往往采用電子文檔的形式存在。這些信息和資料的安全性成為了辦公網(wǎng)絡(luò)中計算機終端維護管理的核心安全問 題。目前網(wǎng)絡(luò)管理員在計算機終端維護管理工作中，經(jīng)常碰到以下幾個令人頭痛 的問題:怎樣在有限的預(yù)算內(nèi)快速有效的搭建統(tǒng)一的終端綜合管理平臺，且可根據(jù)網(wǎng)

8、絡(luò)管理中碰到的實際問題隨時進行升級? 如何防止和記錄且能準確追蹤到內(nèi)部網(wǎng)絡(luò)的信息和機密資料可能存在的非法拷貝和泄露？若一旦出現(xiàn)泄密事件是否存在可追查依據(jù)?USB設(shè)備使用已經(jīng)越來越普遍，網(wǎng)絡(luò)中是否存在不應(yīng)該接入的 USB設(shè)備？如:USB藍牙、USB無線網(wǎng)卡 ? 網(wǎng)絡(luò)中是否存在外來的U盤插入? 網(wǎng)絡(luò)中是否存在私自接入互聯(lián)網(wǎng)的現(xiàn)象? U盤目前已經(jīng)變得非常廉價使用也非常普遍，一旦遺失損失不大；但若 U盤中的重要數(shù)據(jù)一起被遺失，該數(shù)據(jù)存在被人利用的風險，是否存在技術(shù)措施最大限度避免該風險出現(xiàn)?網(wǎng)絡(luò)管理人員往往非常頭痛網(wǎng)絡(luò)中經(jīng)常出現(xiàn)的 ARP 病毒的傳播和發(fā)作，導致網(wǎng)絡(luò)訪問不順暢甚至造成網(wǎng)絡(luò)癱瘓；能否采用

9、合適的技術(shù)手段加以防范? 如何輕松簡便的對網(wǎng)內(nèi)計算機終端進行上網(wǎng)行為的管理，例如對網(wǎng)內(nèi)計算機終端的訪問端口、目的地址、上網(wǎng)應(yīng)用程序、域名訪問進行控制等 ? 隨著網(wǎng)內(nèi)計算機終端的增多，如何有效防止并快速定位用戶下私自修改自己網(wǎng)內(nèi)的IP地址，造成網(wǎng)內(nèi)IP地址沖突?U盤中怎樣控制日益增多的局域網(wǎng)內(nèi)突發(fā)性的病毒木馬的大面積感染？如:經(jīng)常隱藏出現(xiàn)AutoRun病毒等。? 打印機已經(jīng)是現(xiàn)代辦公的必備設(shè)備，但網(wǎng)絡(luò)中是否存在打印資源被濫用的情況？? 如何能夠擺脫古老的資產(chǎn)人工登記、 核對方式，利用技術(shù)手段自動的對全網(wǎng)內(nèi)的計算機終端進行資產(chǎn)統(tǒng)計管理、 資產(chǎn)變化監(jiān)控以及報表自動生成工作? 網(wǎng)絡(luò)中是否存在未經(jīng)允許接

10、入的計算機?以上這些問題，成為了網(wǎng)絡(luò)管理人員的一個重要工作任務(wù)， 也是日常工作是 實際碰到的問題。因此，需要一種能解決以上問題的軟件產(chǎn)品， 來保障這些維護 工作方便有效的正常運行成為了日常維護工作中的重中之重。為了保證核心網(wǎng)絡(luò)的安全性防止泄密事件的發(fā)生， 很多單位都已將核心網(wǎng)絡(luò)（或稱內(nèi)網(wǎng)等）與外部網(wǎng)絡(luò)從物理上進行了隔離，這種方式從很大程度上能保證 網(wǎng)絡(luò)的安全性，以及內(nèi)部資料和內(nèi)部重要信息的安全性。但這種已經(jīng)通過物理與外界隔離了的網(wǎng)絡(luò)中仍然不斷出現(xiàn)了病毒的傳播和資料泄密的事件發(fā)生。這種現(xiàn) 象只能有一種解釋：問題出在內(nèi)部。出現(xiàn)這種現(xiàn)象主要有以下幾種方式： 內(nèi)部人員將外部的病毒或木馬程序通過存儲設(shè)備

11、（如：USB設(shè)備、帶存儲功能的手機、 私自外接的硬盤等）有意或無意地帶入了內(nèi)部網(wǎng)絡(luò)的電腦中； 并通過網(wǎng)絡(luò)將這些 病毒或木馬程序傳播開來?；蛘邇?nèi)部人員主動將內(nèi)部重要資料或者通過入侵內(nèi)部 網(wǎng)絡(luò)中的電腦系統(tǒng)，并將這些重要資料通過這些移動存儲設(shè)備帶出。 由于技術(shù)措施的缺乏，導致這些事件無從追查。據(jù)統(tǒng)計約有50%的用戶會利用U盤中存儲 重要數(shù)據(jù)。若U盤無意中遺失，可能導致 U盤中的重要數(shù)據(jù)被人利用，導致發(fā) 生泄密事件（該類案例已經(jīng)發(fā)生過很多次）。由于USB接口的使用簡單方便，已 導致各種USB設(shè)備不斷涌現(xiàn)；如：USB藍牙設(shè)備、USB無線設(shè)備、帶無線功能 的手機等,雖然很多重要網(wǎng)絡(luò)已經(jīng)采取了從物理上與互聯(lián)

12、網(wǎng)隔離的辦法保證 網(wǎng)絡(luò)安全。但這些設(shè)備的出現(xiàn)，卻給這些從物理上與互聯(lián)網(wǎng)隔離的網(wǎng)絡(luò)帶來了空 前挑戰(zhàn)。網(wǎng)絡(luò)中的某些用戶在有意或無意中的使用又可能導致整個網(wǎng)絡(luò)與互聯(lián)網(wǎng) 相連接，出現(xiàn)重大網(wǎng)絡(luò)安全隱患。很多大型辦公網(wǎng)絡(luò)從地理上分布較為分散， 各個分布點的計算機經(jīng)常出現(xiàn)故 障,且絕大多數(shù)故障原因卻是很簡單的原因或只是因為用戶操作不當導致。網(wǎng)絡(luò)管理人員整天奔波于各個故障點去處理這些很簡單的問題，工作量大，且效率低下，網(wǎng)絡(luò)管理人員往往希望能通過遠程連接解決這些簡單的問題，用以提高工作 效率、減輕工作負荷。通過以上對現(xiàn)狀和需求的分析；網(wǎng)絡(luò)管理部門希望通過技術(shù)手段來保障終端 設(shè)備的基本安全、能記錄所有對外部存儲設(shè)

13、備拷貝的動作、能對終端安全軟件進 行集中管理和配置、Arp欺騙防護、遠程管理、網(wǎng)絡(luò)接入管理等網(wǎng)絡(luò)管理中實用的功能以及能集中分析所有產(chǎn)生的記錄日志的綜合安全管理平臺。由圣安公司自 主開發(fā)的“終端管理系統(tǒng)”綜合安全管理系統(tǒng)能很好地滿足以上需求和愿望。2 “圣安終端管理系統(tǒng)”介紹“圣安終端管理系統(tǒng)” (Sasun-CMS)是圣安信息工程有限公司自主開發(fā)的計算機終端綜合管理系統(tǒng)，為方便部署及管理，本系統(tǒng)應(yīng)使用Cli net + Server +Browse( C + S + B)模式實現(xiàn)。規(guī)則策略通過服務(wù)器(控制臺)分組定制下發(fā)。該產(chǎn)品能夠極大地方便網(wǎng)絡(luò)管理人員最終用戶實時地掌握，局域網(wǎng)內(nèi)所有計算機終

14、端的工作狀態(tài)。集個人防火墻、主機監(jiān)控與審計、USB設(shè)備使用控制/加密/ 注冊/分發(fā)管理、上網(wǎng)行為控制、進程管理、軟件更新、資產(chǎn)管理等功能為一身的桌面PC集中管理軟件。系統(tǒng)管理員只需要通過訪問集中管理控制臺的WEB 網(wǎng)頁，即可實現(xiàn)對網(wǎng)內(nèi)的所有桌面 PC進行上述功能的分組管理、 根據(jù)不同組的 性質(zhì)實施集中策略定制、分發(fā)、管理及查詢。能有效提高計算機終端綜合應(yīng)用安 全高效管理的保障工作?！笆グ步K端管理系統(tǒng)”，通過集中管理，策略統(tǒng)一定制下發(fā)。提供安全、易 用、有效的安全管理的解決方案。該系統(tǒng)以計算機終端的可管理性、安全性及數(shù) 據(jù)的安全性為設(shè)計原則，緊扣日常網(wǎng)絡(luò)管理中碰到的問題和網(wǎng)絡(luò)安全管理需求,針對網(wǎng)

15、絡(luò)數(shù)據(jù)及移動存儲設(shè)備的數(shù)據(jù)流動中各個環(huán)節(jié)潛在的安全隱患，綜合運用 各種安全技術(shù)和手段，進行有效全程防護和管理的產(chǎn)品。6荃支朮"技圣安終端管理系統(tǒng)技術(shù)白皮書rum嚴 V* ?: ?- i ffTErtUE :2峠站I L *訂話耳： J 疋ft I - inwu-MILAJ1 1 4 陥咄 l-: I'V.A I'i-jjpVn II »-.TMH "IF：砂 au*鹿 :. * FMifH - IJ* 'f j*ri-Ijm '看工二立 iftzlW nr|魂曲ftA«h 7驚冃直I 'Q林鼻 IJtrS Tzr：

16、 應(yīng)薊斤IB如KUi iFzn HijtS'WrVPii-ii,-# tMH 1.7：皿劇事則碑:;J fl .：! liirtM* 仝SMrt 屮 flnwjiir圖：控制臺主界面«入透人fi1<imao0-iff去陽去?7K1000&Ut應(yīng)用程區(qū)nmysqlj, eu?! Ti»t i rifo fVP2 Explorer.風E *1ale. tuefiV±k*st. SliieseAQQ eKe-l,instsc. eie墻 BSfrvic*. Bit9<?鬧£羽rot5 1 笳rin 551? %1中 fiFifuiw

17、n6.00 2901 551 £ bipi; 030413-.5. L £600.5512 bipip. 080413-0. 1.2600 512 C»,p£p.000413-2.S. 1. S600. 6024 C3cpsp_Ep3_g<ir. 1( 51, ITSC, nE. 1, £600. 5E12 Op =p. 000413-2. e.O.&OOl. 16539 (vi5t4sp_edr.1.0.D 1JJAFrflgj-aa F訂es(1ySQLMySt|L -. T1 - S WTKTritf? 如 t PE麗右 n

18、a rvS D:ffI100tfEKplorir EUE D:ffIHWtfSSrst8r*3ed<. Gut D: tfurootff Vcy!tift?2h*st.D iVffllfDOttSVaysten*32spoolsV. exe D : VPragran Files.?ezicentBi Ji. D rWIHDOWf .=y!tsr»32li= = D -釧UOO昨systemEVrntsc txe D Frceran F訂«sSASUll圣左.圖：客戶端主界面9G荃殳科技圣安終端管理系統(tǒng)技術(shù)白皮書23 “桌面終端管理系統(tǒng)”系統(tǒng)特點上海圣安信息工程有限公司

19、，結(jié)合多年的底層驅(qū)動開發(fā)經(jīng)驗設(shè)計并開發(fā)了計 算機終端管理監(jiān)控系統(tǒng)-“終端管理系統(tǒng)” (Sasun-CMS)。該系統(tǒng)主要具備以 下幾個特點:1、采用安全、高效及可靠的三層管理架構(gòu)，所有管理及設(shè)置工作實現(xiàn)全WEB方式，管理員或技術(shù)維護人員在網(wǎng)絡(luò)中的任意位置都能完成查看和管理。2、對網(wǎng)絡(luò)中計算機進行分組管理，方便管理員針對不同的計算機用戶的性 質(zhì)采用不同的管理策略。3、提高計算機終端的安全性，圣安公司利用全國領(lǐng)先的個人防火墻技術(shù), 全面保護計算機終端在網(wǎng)絡(luò)運行中的安全性及可靠性。4、核心功能均采用底層驅(qū)動技術(shù)，實現(xiàn)了 USB設(shè)備管理、上網(wǎng)行為管理、 磁盤加密、通訊加密、網(wǎng)絡(luò)接入管理 ；從而徹底地、完

20、整地實現(xiàn)終端管理中所需要的核心功能。5、信息顯示準確、直觀易操作，“圣安終端管理系統(tǒng)” (Sasun-CMS)系統(tǒng) 將局域網(wǎng)內(nèi)所有的計算機終端都集中顯示在管理主界面上， 實時反映所有計算機終端當前狀態(tài)，若出現(xiàn)非正?，F(xiàn)象立即通過顯示變化、 聲音等方式告知 管理人員。方便管理人員及時了解網(wǎng)絡(luò)中所有計算機終端當前的運行狀態(tài)，及時發(fā)現(xiàn)可能突然發(fā)生的故障。6支持各種Windows操作系統(tǒng)，“圣安終端管理系統(tǒng)” (Sasun-CMS)目前 支持絕大多數(shù)主流操作系統(tǒng)，只要是安裝了瀏覽器的操作系統(tǒng)，并且與終端 管理系統(tǒng)服務(wù)器聯(lián)網(wǎng)，都可以通過輸入圣安終端管理系統(tǒng)的 IP輕松進行訪問。3圣安終端管理系統(tǒng)功能簡介:

21、3.1 USB設(shè)備監(jiān)控和管理功能“圣安終端管理系統(tǒng)”可通過管理員設(shè)定的策略，主動控制被控的終端計算機所有的USB接口接入的設(shè)備。如：USB存儲設(shè)備（U盤、USB移動硬盤等）、USB藍牙設(shè)備、USB無線3G設(shè)備、USB圖像設(shè)備（如：USB掃描儀等）。尤其 是對于USB存儲設(shè)備，實現(xiàn)了細粒度的管理和控制?？紤]到用戶實際使用的可 操作性，本功能模塊能夠按管理員設(shè)定的策略靈活的實現(xiàn)以下功能:USB全部禁用/啟用控制;USB存儲設(shè)備分組管理;USB存儲設(shè)備注冊/加密管理;注冊/加密USB存儲設(shè)備持有者分組管理;指定U盤使用控制;USB設(shè)備插拔記錄;增加/刪除/自定義USB設(shè)備管理類別;USB設(shè)備文件操作

22、記錄;U 盤防 autorun.inf 功能;靈活的策略定義下發(fā)。詳細功能介紹如下: 3.1.1通過驅(qū)動模式監(jiān)控所有進/出儲設(shè)備數(shù)據(jù)要實現(xiàn)對存儲設(shè)備的監(jiān)控，也就是對電腦主板的I/O進行記錄和還原。因此,“圣安終端管理系統(tǒng)”通過自主開發(fā)和編寫的驅(qū)動模式； 來完成識別是否是外接的存儲設(shè)備（如：USB設(shè)備、軟盤、數(shù)碼設(shè)備、私自外接的硬盤等），并能同時 記錄時間、外接設(shè)備的名稱、VID （產(chǎn)品信息）、PID （廠商信息）等信息。當用 戶向內(nèi)或者向外進行拷貝動作時，“圣安終端管理系統(tǒng)”立即將向內(nèi)/外拷貝的文 件名、文件大小、事件時間等信息記錄下來并通過網(wǎng)絡(luò)將該記錄的信息發(fā)送到中 央控制臺數(shù)據(jù)庫內(nèi)，作為以

23、后追蹤和分析的依據(jù)。3.1.2 USB存儲設(shè)備控制“圣安終端管理系統(tǒng)”具有 USB存儲設(shè)備控制功能，管理員通過中央控制臺可以根據(jù)單位內(nèi)不同部門和人員的使用權(quán)限或使用管理規(guī)定，任意定義網(wǎng)內(nèi)的 某臺計算機終端是否允許使用 USB設(shè)備或USB存儲設(shè)備。在最大程度上防止了 11荃支利技圣安終端管理系統(tǒng)技術(shù)白皮書機密信息的泄露渠道。3.1.3指定USB存儲設(shè)備使用控制隨著USB存儲設(shè)備及數(shù)碼設(shè)備使用的日益增多，如何方便有效的對網(wǎng)內(nèi)計算 機的USB設(shè)備使用進行控制，只允許網(wǎng)內(nèi)的桌面終端使用單位內(nèi)指定的 USB存儲 設(shè)備，防止未經(jīng)授權(quán)的USB設(shè)備使用，也成為了信息主管領(lǐng)導及網(wǎng)絡(luò)管理人員經(jīng) 常頭痛的問題。利用

24、“圣安終端管理系統(tǒng)”的USB存儲設(shè)備的黑白名單管理控制 功能，管理員只需將網(wǎng)內(nèi)允許使用的 USB設(shè)備進行認證登記后，即可對網(wǎng)內(nèi)的任 意桌面終端進行指定USB存儲設(shè)備使用功能。則被下發(fā)策略的客戶端USB接口只 對部分認證的USB存儲設(shè)備提供使用權(quán)，防止了網(wǎng)內(nèi) USB設(shè)備的濫用。3.1.4移動存儲設(shè)備接入管理系統(tǒng)能夠自動識別任意移動存儲介質(zhì)的接入， 可以通過策略分配在驅(qū)動級對 移動存儲設(shè)備的使用進行禁用。在允許使用的情況下，進行更細致的移動存儲設(shè) 備管理。如：只允許使用注冊 U盤、只允許使用加密U盤 usBfi tflSSSW 畔:礙訪址看陜丿.：廠=允S.flSiSS廣只允盧匡:業(yè)三盥 廣兵-十

25、匸隹用加密盎廠二十；衣科巨冊j確盍 叮貿(mào)國耕占件慵設(shè)If I 言世3.1.5移動存儲設(shè)備標簽認證（注冊）管理系統(tǒng)能夠通過策略對寫入不同標簽（普通標簽和加密標簽）的移動存儲介質(zhì) 進行標簽認證管理，防止未授權(quán)移動存儲介質(zhì)隨意接入， 能準確記錄已認證過的USB移動存儲設(shè)備在網(wǎng)絡(luò)內(nèi)中對文件操作。 防止因授權(quán)移動存儲介質(zhì)帶外使用造 成的信息泄密。3.1.6移動存儲數(shù)據(jù)讀寫控制管理系統(tǒng)能夠?qū)Π惭b客戶端的主機使用移動存儲介質(zhì)時進行讀寫、只讀、只寫等 行為的管理及控制；適應(yīng)某些對數(shù)據(jù)比較敏感的單位對 USB移動存儲設(shè)備使用 的特別規(guī)定。如：所有網(wǎng)絡(luò)數(shù)據(jù)只允許流入，不允許流出的需求。3.1.7移動存儲設(shè)備（U盤

26、）的加密管理系統(tǒng)對移動存儲介質(zhì)劃分加密區(qū)后，只有在分配到該移動存儲介質(zhì)對應(yīng)的標 簽認證策略的終端主機上并且通過正確的密碼驗證才可以訪問保護區(qū)的內(nèi)容;一旦該USB存儲設(shè)備（U盤）被遺失，也不用擔心U盤中的數(shù)據(jù)內(nèi)容。若無本系 統(tǒng)提供的驅(qū)動和正確的密碼，該遺失的U盤也只能被格式化，最大程度地保證了 因U盤遺失導致的數(shù)據(jù)內(nèi)容不被非法利用。加養(yǎng)檢查珪冊信息:磁監(jiān)卷標:*毎芳？尸克匕疋護義丈窯擰備注:逅回圖：USB注冊及USB加密3.1.8指定設(shè)備讀與指定移動存儲設(shè)備的訪冋控制管理系統(tǒng)能夠通過對移動存儲介質(zhì)寫入標簽，再將對應(yīng)該標簽的策略分配給指定 的終端主機，未分配到該策略的終端主機無法訪問寫入該標簽的移

27、動存儲設(shè)備。實現(xiàn)只有指定的終端主機用戶才能通過指定的主機訪冋指定移動存儲設(shè)備中的 數(shù)據(jù)。3.1.9移動存儲設(shè)備使用行為審計管理系統(tǒng)能夠詳細的記錄移動存儲設(shè)備的插拔、標簽的分配情況、移動存儲設(shè)備中數(shù)據(jù)的訪問、修改、拷貝、復(fù)制等各種行為。一旦發(fā)生網(wǎng)絡(luò)泄密事件，這些數(shù)13據(jù)將成為重要的事件追溯依據(jù)之一。3.1.10 USB設(shè)備管理控制USB設(shè)備的使用已經(jīng)越來越廣泛和深入,通過USB接 口接入的USB設(shè)備幾乎包含了所有設(shè)備（如：USB手機、USB藍牙、USB無線、USB打印、USB掃描） 在機密性要求比較高或管理比較嚴格的網(wǎng)絡(luò)中，某些USB設(shè)備是不允許接入和使 用的。本系統(tǒng)提供最完整的USB設(shè)備管理策

28、略，直接通過USB底層驅(qū)動對所有接入的USB設(shè)備進行識別和分類管理（市面上存在很多USB管理系統(tǒng)，是通過對Windows注冊表進行監(jiān)控和修改來實現(xiàn)對 USB設(shè)備管理，這種模式的管理不可能 徹底和高效）。通過對分組USB設(shè)備策略的制訂，可實現(xiàn)最為細致的 USB設(shè)備管 理方案。Fi詞譯盪丘庫P就呈TA* r F心t乓主$注$丄淫埜F社用L強詞hi設(shè)專7 £（11人恬工甲諭岳何啟甲|_遐仰F后甲1斤q牙料評弓冋啟用W聯(lián)展設(shè)老I* 辰用廠星用零fUEB說舀<"SiLfFR <沽開睜用? * ”：學'二J庁齊譏'金吆心空立4參戒占費£竽圖：USB

29、設(shè)備管理G荃殳科技圣安終端管理系統(tǒng)技術(shù)白皮書gK兮 A L 、 BIr亠IPS'認f11 L. Tr i: *i比生堂乂認jsa-Th-r；.-L1TfiPITS¥10rssnIVEA眸器號cfr«n-Jli-3I1a-J”卜蠱I P一林工半0333 #訊乜亂吟翻FpROZ1 - -出占H-Cii-w-su?efF-aR*3 H?nfl-fe- *直時“Hill=f,i MT偲nr：- -二 亠嗣 IPfT平 iFnffa*M VPfGV =LfiSST-半a申眶 i : wDt- .+1 -Lw刮:r沁.UN甜電曲盍如:力眞T沐需副 Iff 百 FFfinD：J3

30、OlUl»lLMfr嗣MY fl 盲圖：USB設(shè)備分類管理3.2網(wǎng)絡(luò)行為管理記錄功能許多用戶很重視網(wǎng)關(guān)的安全性，往往配置了防火墻、入侵檢測等網(wǎng)絡(luò)安全產(chǎn)品，甚至采用物理隔離的方式防止外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)入侵的事件發(fā)生。這些防 護措施雖然很有效，但卻忽視了內(nèi)部網(wǎng)絡(luò)中桌面終端的安全性。 根據(jù)權(quán)威機構(gòu)調(diào) 查統(tǒng)計，泄密事件往往主要來自于內(nèi)部。內(nèi)部人員若想入侵所在的內(nèi)部網(wǎng)絡(luò)往往 變得非常容易，由于對內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)和安全措施比較了解， 這種行為將很有可 能不留下任何痕跡，當入侵和泄密事件發(fā)生以后卻無從追查。因此，桌面終端的 安全同樣是非常重要的?！笆グ步K端管理系統(tǒng)”通過自主開發(fā)和編寫的網(wǎng)絡(luò)驅(qū)動，將所

31、有進/出網(wǎng)卡 的數(shù)據(jù)包進行分析和記錄；通過自主設(shè)定的規(guī)則來阻止或放開這些數(shù)據(jù)流的通 行。通過“圣安終端管理系統(tǒng)”的終端安全平臺功能模塊可實現(xiàn)以下功能: 3.2.1通過網(wǎng)卡驅(qū)動管理終端的上網(wǎng)協(xié)議實現(xiàn)對本機進/出協(xié)議的控制和過濾功能。如：禁止本機 ICMP響應(yīng)，本機Ping外部的機器不受影響，但外部機器Ping本機將不做響應(yīng)；外部機器將無法通過這種方式來探察本機的存在。并且有很多木馬程序（如：“沖擊波”、“震蕩 波”等）都是通過先Ping后植入的方式進行攻擊的，若停止ICMP的響應(yīng)這類 木馬程序?qū)o法植入；很大程度上能防止這類木馬和病毒在網(wǎng)絡(luò)中的蔓延。322通過網(wǎng)卡驅(qū)動管理終端的所有訪問端口實現(xiàn)對

32、訪問目的地址和端口的控制和過濾功能。 通常的應(yīng)用中需要訪問的目 的端口只有21、25、80、110等，但大部分的木馬程序卻使用的是不常用的端口, 若對訪問目標地址做嚴格限制；這些即使被植入木馬程序這些程序也將無法與外 界聯(lián)系。實現(xiàn)對本地端口開放的允許/禁止。在眾多的入侵事件中大部分都是因為被入侵的機器中打開了一些高度危險的端口（服務(wù)）如：139、445、23等；若在 非必要的情況下關(guān)閉這些端口，將大大地提高本機的安全性；也極大程度上減少 了入侵事件發(fā)生的可能性。3.2.3應(yīng)用程序連接網(wǎng)絡(luò)管理基于應(yīng)用程序的上網(wǎng)軟件控制（如聊天軟件、下載軟件、網(wǎng)絡(luò)游戲等） 中管理綠色上網(wǎng)策略，定制與分發(fā)安全保護策

33、略設(shè)定。本軟件提供應(yīng)用程序白名 單和黑名單功能，在不影響用戶使用本地軟件的前提下， 方便地限制用戶可以使 用哪些指定程序上網(wǎng)，通過對應(yīng)用程序的版本號、安裝路徑、對應(yīng)端口的開放以 及數(shù)據(jù)流方向的策略管理，保證只有允許的程序才能訪問網(wǎng)絡(luò)， 通過計算機對外 通訊的“通道”。3.2.4網(wǎng)站訪問控制除了以上提供的功能外，圣安終端管理系統(tǒng)還為用戶提供了方便有效的， 上 網(wǎng)行為控制功能，通過本軟件的域名黑白名單功能，用戶可通過常用與知名服務(wù) 控制、端口控制、時間控制、域名關(guān)鍵字過濾等設(shè)置。對終端用戶的上網(wǎng)行為進 行有效管理及記錄，方便了網(wǎng)絡(luò)管理員對終端用戶的網(wǎng)絡(luò)使用狀況的管理及追 查，徹底杜絕病毒網(wǎng)站及不良

34、網(wǎng)站的干擾。326網(wǎng)絡(luò)限速局域網(wǎng)內(nèi)部與外部網(wǎng)絡(luò)之間的通訊，流量的大小通常會受到帶寬的限制。受 迅雷、電驢等下載軟件的影響，如果一個人使用迅雷下載，將占用大量的流量, 造成局域網(wǎng)內(nèi)其他人訪問外部網(wǎng)絡(luò)速度變慢，甚至無法通過 IE正常訪問網(wǎng)站， 給內(nèi)部網(wǎng)絡(luò)中其他人正常的工作使用帶來很多不便。 而如果單純的對局域網(wǎng)內(nèi)部 網(wǎng)絡(luò)流量進行限速的話，又會影響正常的局域網(wǎng)電腦之間的文件操作， 使得互相 之間的共享訪問變得緩慢。還可以圣安終端管理系統(tǒng)不僅僅可以限制當前客戶端電腦的總體網(wǎng)絡(luò)流量。分別針對內(nèi)網(wǎng)流量、外網(wǎng)流量、UDP協(xié)議流量、TCP議流量、上傳速度、下載 速度進行細化管理，這樣管理人員就可以很方便的針對

35、性的對網(wǎng)絡(luò)內(nèi)部的流量進 行管理了。3.3網(wǎng)絡(luò)設(shè)置管理功能在實際的應(yīng)用中，尤其是機關(guān)單位，需要對計算機進行統(tǒng)一格式的計算機名設(shè)置，并對IP地址做詳細的規(guī)劃，以方便進行管理。但是計算機名與IP地址都 是用戶可以自行設(shè)置的，這樣會造成計算機的命名混亂，通過計算機名無法判斷 是誰在使用。而擅自修改IP地址也容易與別人的IP產(chǎn)生沖突，不僅受沖突影響的計算機斷網(wǎng)，而且擾亂了整個網(wǎng)絡(luò)內(nèi)部的IP規(guī)劃。圣安終端管理系統(tǒng)的網(wǎng)絡(luò)設(shè)置管理功能分為兩個模塊，第一個是計算機名控 制，管理人員啟用了計算機名控制功能以后， 客戶端電腦將無法自己設(shè)置計算機名，而管理人員則可以在圣安終端管理系統(tǒng)更改。第二個模塊是IP管理功能，啟

36、用該功能后，管理人員既可以統(tǒng)一管理一個組的子網(wǎng)掩碼、網(wǎng)關(guān)和 DNS，也 可以選擇單獨控制某一臺客戶端電腦的IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)與 DNS，同樣 地啟用控制功能以后，被控制組的電腦將無法自己修改 IP地址（IP地址修改的 地方變成了灰色），只有管理人員可以在管理中心修改。市面上有很多類似防止 用戶私自修改IP地址、計算機名稱的軟件，但絕大部分這類軟件無法防止用戶 通過命令行或其它工具軟件進行修改。本系統(tǒng)提供的該功能通過底層驅(qū)動方式來 監(jiān)控IP地址及計算機名稱的變化，完全杜絕了用戶通過命令行或其它工具軟件 私自修改的企圖。3.4接入管理控制功能網(wǎng)絡(luò)管理人員在日常工作中，往往頭痛一個問題。網(wǎng)絡(luò)中

37、總有人私自帶入電 腦，尤其是筆記本電腦。這些帶入的電腦中安全防護、管理軟件基本都不完備, 帶入的電腦用途也難以確定。這些現(xiàn)象不但可能導致網(wǎng)絡(luò)中的病毒爆發(fā)甚至可能 出現(xiàn)泄密事件，這些可能產(chǎn)生的危害還無法追蹤。本系統(tǒng)提供兩種方式對網(wǎng)絡(luò)接入進行管理和控制:A、協(xié)議加密方式若該功能被啟用，客戶端程序之間的通訊將被加密，與未安裝客戶端的計算 機將無法通訊。在啟用本功能之前，請確認網(wǎng)關(guān)、服務(wù)器都已經(jīng)安裝。或在相應(yīng) 列表中添加無需安裝的IP地址。這種接入管理控制方式適應(yīng)網(wǎng)絡(luò)規(guī)模小，所配 備的交換機不支持802.1X認證功能的網(wǎng)絡(luò)。B、802.1X接入管理方式本系統(tǒng)客戶端提供標準802.1X接入認證協(xié)議，可與

38、其它認證服務(wù)器配合使 用同時也可使用本系統(tǒng)自帶認證服務(wù)器。這種接入管理控制方式適應(yīng)網(wǎng)絡(luò)規(guī)模 大，所配備的交換機全部支持 802.1X認證功能的網(wǎng)絡(luò)。3.5違規(guī)外聯(lián)管理控制功能現(xiàn)在的網(wǎng)絡(luò)連接設(shè)備種類繁多，典型的比如無線路由器、無線網(wǎng)卡等等設(shè)備, 隨時都可以插上電腦撥號連接外網(wǎng)， 這類設(shè)備的存在，使得物理隔離網(wǎng)絡(luò)的隔離效果形同虛設(shè)，因此，必須在終端電腦上部署阻止和監(jiān)控這類設(shè)備的軟件，強化 物理隔離網(wǎng)絡(luò)的安全性能。圣安終端管理系統(tǒng)提供的外聯(lián)管理控制功能，可以在服務(wù)器端設(shè)定好需要監(jiān) 視的外聯(lián)地址后，客戶端定時連接的方式聯(lián)系測試地址， 偵測當前電腦是否可以 與設(shè)定地址連通。如果測試連接成功，客戶端將記錄

39、下連通的時間、連通地址、 設(shè)備類型等等信息，并上報到服務(wù)器；同時可根據(jù)策略的制定，在外網(wǎng)（大多數(shù)情況下是互聯(lián)網(wǎng)）下載一個只有外網(wǎng)的證據(jù)文件（可以是網(wǎng)頁或一個證據(jù)文件）， 防止違規(guī)人員抵賴。通過違規(guī)外聯(lián)管理控制功能，管理人員在服務(wù)器端就可以隨17G圣支科技圣安終端管理系統(tǒng)技術(shù)白皮書19時掌握到局域網(wǎng)內(nèi)部違規(guī)外聯(lián)的信息。F 豆 JEI當芒a縫蛋.老仝疥斷才撐此.至占&默N ；曲河疋予.詩的，.-汁汛巴F譜£卻苗試令曲疋礒a -用主商乍廣耒,廣sa/i予網(wǎng)縮亀扯刁 |vw. J Lal <il刁neva” I 餓 |TPi*iih3IM SISor11妣址31 M.iA133

40、pfPlH3I麵,24a146瑤n3030Ip3.6打印管理控制功能在一個單位內(nèi)部會有多臺打印機，這些打印機品牌不同，工作方式各異，并且分布在不同的樓層、房間。如何了解到這些打印機打印工作的相關(guān)信息，比如打印了什么文檔（是否存在與工作毫無關(guān)系的打印行為？），每臺打印機每天消耗的紙張數(shù)量等等，這成了一個管理的盲區(qū)，給打印機的管理工作帶來了許多不便。若啟用圣安終端管理系統(tǒng)的打印管理控制功能， 它將對客戶端連接打印機進行監(jiān)控。實時的記錄下客戶端電腦打印的時間、打印的文件名與文件大小及頁數(shù)、所使用的打印機或者打印服務(wù)器等相關(guān)信息， 并記錄下來，管理人員只需要在控制臺查閱打印機監(jiān)控日志，就可以掌握打印機

41、當前的使用動態(tài)了。3.7消息管理功能經(jīng)常出現(xiàn)這樣的情況，管理人員出于維護服務(wù)器或者其他特殊原因,閉或重新啟動某一臺服務(wù)器，比如郵件服務(wù)器。在郵件服務(wù)器關(guān)閉后,必將造成當前局域網(wǎng)內(nèi)電腦暫時無法收發(fā)郵件，這時候郵件使用者就會打電話來技術(shù)部或者給技術(shù)支持人員，詢問情況，而技術(shù)人員在維護服務(wù)器的同時還要接聽電話,G荃殳科技圣安終端管理系統(tǒng)技術(shù)白皮書還要給郵箱使用者解釋，造成不必要的麻煩，也不方便管理人員開展工作。圣安終端管理系統(tǒng)提供消息管理功能， 管理員可以在局域網(wǎng)內(nèi)任意一臺電腦 上打開IE訪問圣安終端管理系統(tǒng)，通過消息管理功能，即時發(fā)送消息給目標客 戶端電腦，消息將會在對應(yīng)客戶端電腦的屏幕右下方顯示

42、， 管理人員既可以選擇 將消息發(fā)送給某一臺客戶端電腦，也可以發(fā)送給某一組客戶端電腦。當出現(xiàn)上述狀況時，管理人員可以先發(fā)送一條消息給同事，提醒郵件服務(wù)器 即將重啟，請等待幾分鐘后使用。這樣，就不會擾亂正常的工作秩序了。3.8未安裝管理功能管理人員可以通過圣安終端管理系統(tǒng)將客戶端電腦的計算機名，IP地址，U 盤使用等等都牢牢的掌握在手心，但是對于沒有安裝客戶端的電腦，又該怎么 辦？如何知道當前網(wǎng)絡(luò)內(nèi)部有哪些電腦是沒有安裝客戶端的， 無法控制起來的?圣安終端管理系統(tǒng)系統(tǒng)特別設(shè)計的未安裝管理功能，可以實現(xiàn)啟發(fā)式發(fā)現(xiàn),安裝有客戶端的電腦將自動記錄下當前網(wǎng)絡(luò)的計算機IP，并上報給服務(wù)器，這 樣管理人員就可

43、以在圣安終端管理系統(tǒng)看到當前網(wǎng)絡(luò)內(nèi)部有哪些電腦沒有安裝 客戶端了。3.9資產(chǎn)管理功能模塊每一個單位都會面臨以下幾個問題：當配發(fā)下去的電腦中的硬件發(fā)生變化的 時候管理人員可能根本不知道（部分變動是被允許的、有些則是私自進行變更的） 或不能及時發(fā)現(xiàn)、每一臺終端電腦里的具體配置很難統(tǒng)計和分析 （單位的固定資 產(chǎn)）等等。這些都給資產(chǎn)管理工作帶來了很多的不便。圣安終端管理系統(tǒng)”為用 戶提供了分析和統(tǒng)計每臺終端電腦硬件功能模塊。 通過終端安全平臺實現(xiàn)對當前 電腦所有硬件進行統(tǒng)計，并將所有統(tǒng)計的信息發(fā)送到中央控制臺， 當被統(tǒng)計的電腦里的硬件發(fā)生任何改變（如：內(nèi)存更換了、硬盤型號或大小變化了、CPL型號 或頻

44、率變化了等等），圣安終端管理系統(tǒng)客戶端將及時將改變了的資料信息發(fā)送 給管理中心，并報警。3.10連接網(wǎng)絡(luò)進程管理局域網(wǎng)內(nèi)部的電腦使用人員不同，運行的程序也各不相同，管理人員無法知 道當前局域網(wǎng)內(nèi)都運行了哪些程序， 什么時候運行的，在哪些電腦上運行過，對 于整個網(wǎng)絡(luò)內(nèi)部的應(yīng)用程序方面的了解是一個空缺。 如果有一款軟件能夠及時追 蹤顯示當前網(wǎng)絡(luò)內(nèi)部進程的信息，那么管理人員對局域網(wǎng)內(nèi)部的管理效率將上一 個性的臺階。圣安終端管理系統(tǒng)提供強大的連接網(wǎng)絡(luò)進程管理功能，客戶端將追蹤當前網(wǎng) 絡(luò)內(nèi)部活躍的連接網(wǎng)絡(luò)進程，并記錄下來。管理人員既可以看到某臺客戶端電腦 當前有哪些連接網(wǎng)絡(luò)的進程，也可以點擊某一個進程，

45、查看當前有哪些計算機正 在運行這個進程。同時還可以實時，在管理控制臺就可以實現(xiàn)的， 阻止進程的運 行。通過靈活的策略定制，這對于阻止病毒、惡意木馬的運行擴散傳播，將帶來 極大的益處。目前網(wǎng)絡(luò)互聯(lián)成為了計算機應(yīng)用的基本功能之一；但管理人員往往會碰到, 對外連接的應(yīng)用程序（或稱進程）是否全部為允許連接（如：游戲、炒股等） 是否全部為合法的程序連接（如：木馬等）等問題。本系統(tǒng)提供外聯(lián)進程管理功能,網(wǎng)絡(luò)管理員可通過策略配制，將常用的應(yīng)用設(shè)置為允許連接（白名單，一般 用于阻止未知程序的網(wǎng)絡(luò)連接，如：木馬），不在列表中的應(yīng)用程序?qū)o法對外 連接；或設(shè)置為不允許某些應(yīng)用程序連接網(wǎng)絡(luò) （黑名單，一般用于已知程

46、序的網(wǎng) 絡(luò)連接，如：游戲、炒股等）。能有效地對應(yīng)用程序外聯(lián)進行管理。3.11防ARP欺騙功能ARP攻擊的到來令人防不勝防，一旦爆發(fā)，整個網(wǎng)絡(luò)都將陷于癱瘓。對于這種攻擊最好的應(yīng)對辦法就是事先預(yù)防。圣安終端管理系統(tǒng)的防ARP欺騙功能攻擊,啟用后，可以將安裝了客戶端電腦的IP與該計算機真實的MAC地址進行綁定, 在網(wǎng)絡(luò)中的計算機都發(fā)送真實的 MAC地址信息，從而即使是存在 ARP 也不會對網(wǎng)絡(luò)的正常使用造成影響。管理人員可以輕松排查，消除根源。地址信注：若該功能被啟用，所有終端計算機將只能對外發(fā)送真實的MAC 息。將影響到 單一網(wǎng)卡多MAC地址應(yīng)用。如：虛擬機等。3.12目錄只讀/隱藏功能由于“圣安終端管理系統(tǒng)”系監(jiān)控管理類產(chǎn)品。網(wǎng)絡(luò)中個別用戶往往不希望 被監(jiān)管，往往采用各種手段希望使軟件功能失效。 因此，本系統(tǒng)提供程序目錄只 讀/隱藏功能，使得一般用戶難以自行操作或修改統(tǒng)一配發(fā)的策略。該功能可通 過控制臺的策略定制下發(fā)到每一臺被管理終端。3.14遠程桌面連接功能很多單位的辦公網(wǎng)絡(luò)從地理上相距比較遠，女口：某區(qū)政府網(wǎng)絡(luò)的各個點已經(jīng) 分散到這個區(qū)十幾個地方。大量的維護工作集中在比較簡單的問題上（據(jù)統(tǒng)計: 約有70%以上的問題完全可從遠程進行維護和故障排除），經(jīng)常是維護人員到達 現(xiàn)場不到一分鐘就解決了，而化在路途上的時間卻要將近1個小時。網(wǎng)絡(luò)維