中軟統(tǒng)一終端安全管理系統(tǒng)

1、“中軟統(tǒng)一終端安全管理系統(tǒng)（United Endpoint Management, 簡(jiǎn)稱UEM）”，以其全新的安全理念、強(qiáng)大的功能體系、完善的技術(shù)架構(gòu)，改變了傳統(tǒng)的內(nèi)網(wǎng)安全管理模式，實(shí)現(xiàn)了主機(jī)監(jiān)控與審計(jì)的完美統(tǒng)一。該系統(tǒng)采用了終端安全“一體化”的安全防護(hù)技術(shù)，整合了病毒防護(hù)監(jiān)測(cè)、網(wǎng)絡(luò)接入認(rèn)證、終端健康性檢查、系統(tǒng)身份認(rèn)證、資產(chǎn)管理、補(bǔ)丁管理、運(yùn)行監(jiān)控和失泄密防護(hù)等等終端軟件的安全功能，是終端安全的完整解決方案。 【系統(tǒng)功能】該系統(tǒng)的主要從以下幾個(gè)方面保障內(nèi)部安全： 一 終端安全管理1安全策略管理按照企業(yè)終端計(jì)算機(jī)安全管理規(guī)定，統(tǒng)一配置終端計(jì)算機(jī)的Windows安全策略，實(shí)現(xiàn)集中的安全

2、策略配置管理，統(tǒng)一提高終端計(jì)算機(jī)用戶的安全策略基線。系統(tǒng)所能配置的安全策略有：帳戶密碼策略監(jiān)視、帳戶鎖定策略監(jiān)視、審核策略監(jiān)視、共享策略監(jiān)視、屏保策略監(jiān)視。2終端入網(wǎng)認(rèn)證對(duì)接入內(nèi)網(wǎng)的計(jì)算機(jī)進(jìn)行統(tǒng)一的管理，未經(jīng)許可的計(jì)算機(jī)不能接入內(nèi)網(wǎng)，接入內(nèi)網(wǎng)的計(jì)算機(jī)必須通過(guò)安全性檢查才能訪問(wèn)內(nèi)部網(wǎng)絡(luò)資源，其主要功能為：非法用戶內(nèi)聯(lián)控制、主機(jī)安全性檢查。3用戶身份認(rèn)證身份認(rèn)證是系統(tǒng)應(yīng)用安全的起點(diǎn)，通過(guò)硬件USBKey和口令認(rèn)證登錄Windows系統(tǒng)用戶身份，保證進(jìn)入Windows系統(tǒng)用戶身份的合法性；對(duì)登錄用戶權(quán)限進(jìn)行合法性檢查，保證用戶權(quán)限的合規(guī)性。具體功能為：基于USBKey的身份認(rèn)證、登錄用戶權(quán)限合法性檢

3、查。4網(wǎng)絡(luò)進(jìn)程管理通過(guò)對(duì)網(wǎng)絡(luò)進(jìn)程的統(tǒng)一管理，規(guī)范計(jì)算機(jī)用戶的網(wǎng)絡(luò)行為，實(shí)現(xiàn)“外面的網(wǎng)路連接未經(jīng)許可進(jìn)不來(lái)，里面的網(wǎng)絡(luò)進(jìn)程未經(jīng)許可出不去”。具體功能為：管理向外發(fā)起連接的網(wǎng)絡(luò)進(jìn)程、管理接收外部連入的網(wǎng)絡(luò)進(jìn)程、實(shí)時(shí)獲取網(wǎng)絡(luò)進(jìn)程信息和會(huì)話連接狀態(tài)。5防病毒軟件監(jiān)測(cè)通過(guò)策略設(shè)置輸入防病毒軟件特征，按照統(tǒng)一的策略監(jiān)測(cè)防病毒軟件使用狀況，并進(jìn)行統(tǒng)計(jì)分析形成統(tǒng)一的數(shù)據(jù)報(bào)表。具體功能為：監(jiān)視防病毒軟件的使用狀況、防病毒軟件監(jiān)測(cè)特征的自定義。6補(bǔ)丁分發(fā)管理統(tǒng)一配置終端計(jì)算機(jī)的補(bǔ)丁管理策略，實(shí)現(xiàn)對(duì)系統(tǒng)補(bǔ)丁狀況的掃描，自動(dòng)完成補(bǔ)丁分發(fā)。系統(tǒng)所支持的補(bǔ)丁包括：Windows操作系統(tǒng)補(bǔ)丁系列、office系列辦公軟件補(bǔ)

4、丁、SQL Server系列補(bǔ)丁等微軟產(chǎn)品的補(bǔ)丁，具體功能為：制定統(tǒng)一的補(bǔ)丁管理策略、實(shí)現(xiàn)統(tǒng)一的補(bǔ)丁更新管理。7臨時(shí)文件刪除通過(guò)控制臺(tái)設(shè)置臨時(shí)文件管理策略，實(shí)現(xiàn)臨時(shí)文件的統(tǒng)一刪除管理，系統(tǒng)所能刪除的文件包括有：清除IE緩存、清除IE地址欄、清除歷史記錄、清除COOKIE、清除系統(tǒng)臨時(shí)目錄、清除最近打開(kāi)的文檔、清除運(yùn)行中的運(yùn)行命令、清除回收站。8文件安全擦除提供對(duì)存儲(chǔ)在本地的敏感文件進(jìn)行安全擦除功能，通過(guò)多次數(shù)據(jù)回填的方式實(shí)現(xiàn)敏感文件的安全擦除；經(jīng)過(guò)安全擦除處理后的文件無(wú)法通過(guò)磁盤剩磁的方式恢復(fù)數(shù)據(jù)。管理員可以配置擦寫次數(shù)實(shí)現(xiàn)統(tǒng)一的文件擦出管理。二 終端運(yùn)維管理按照統(tǒng)一的安全策略監(jiān)控客戶端的運(yùn)行

5、狀況，通過(guò)軟件自動(dòng)分發(fā)和軟硬件資產(chǎn)的統(tǒng)一管理大大節(jié)約了企業(yè)信息系統(tǒng)的維護(hù)成本，通過(guò)系統(tǒng)遠(yuǎn)程幫助控制實(shí)現(xiàn)遠(yuǎn)程維護(hù)計(jì)算機(jī)，清除系統(tǒng)故障。系統(tǒng)具體功能如下：1軟件分發(fā)管理規(guī)劃企業(yè)統(tǒng)一分發(fā)的軟件安裝包，按照統(tǒng)一的軟件分發(fā)策略，自動(dòng)完成企業(yè)軟件的部署，其主要功能為：軟件包管理、軟件包分發(fā)。2軟硬件資產(chǎn)管理自動(dòng)發(fā)現(xiàn)和收集計(jì)算機(jī)上的軟硬件資產(chǎn)信息，跟蹤軟硬件資產(chǎn)信息變化情況，對(duì)非授權(quán)的軟硬件資產(chǎn)的變更產(chǎn)生報(bào)警。具體功能為：資產(chǎn)信息查看、軟件管理策略、硬件管理策略、硬件基線設(shè)置。3系統(tǒng)運(yùn)行狀況監(jiān)控為管理員隨時(shí)提供遠(yuǎn)程終端主機(jī)的運(yùn)行狀態(tài)變化信息，自動(dòng)對(duì)指定的異常情況進(jìn)行報(bào)警，根據(jù)管理員預(yù)定義策略及時(shí)阻斷遠(yuǎn)程主機(jī)

6、的違規(guī)行為。具體功能項(xiàng)為：監(jiān)控信息管理、查看系統(tǒng)信息。4遠(yuǎn)程用戶幫助通過(guò)終端用戶與服務(wù)器相互授權(quán)的機(jī)制建立終端與服務(wù)器之間的信任通信體系，管理員通過(guò)服務(wù)器實(shí)現(xiàn)對(duì)終端用戶提供幫助。三 失泄密防護(hù)通過(guò)控制信息外泄途徑的方式保護(hù)企業(yè)敏感信息的安全，防止用戶誤操作或違規(guī)行為帶出企業(yè)敏感信息。1網(wǎng)絡(luò)失泄密管理規(guī)范計(jì)算機(jī)用戶的網(wǎng)絡(luò)訪問(wèn)行為，根據(jù)業(yè)務(wù)相關(guān)性和保密的重要程度建立信任的虛擬安全局域網(wǎng)。網(wǎng)絡(luò)防護(hù)有兩個(gè)層面的含義：第一是防止用戶誤操作或蓄意泄漏企業(yè)的敏感信息；第二是防止黑客通過(guò)互聯(lián)網(wǎng)透過(guò)防火墻非法獲取客戶端的敏感信息。實(shí)現(xiàn)了從網(wǎng)絡(luò)層到應(yīng)用層的多層次防護(hù)，具體功能為：網(wǎng)絡(luò)層防護(hù)、應(yīng)用層防護(hù)、非法外聯(lián)防

7、護(hù)。2媒體介質(zhì)管理根據(jù)企業(yè)對(duì)計(jì)算機(jī)用戶的媒體介質(zhì)的控制策略，按照計(jì)算機(jī)用戶的防護(hù)等級(jí)和業(yè)務(wù)關(guān)系設(shè)置統(tǒng)一的媒體介質(zhì)控制策略，實(shí)現(xiàn)企業(yè)對(duì)媒體介質(zhì)的統(tǒng)一管理。3打印機(jī)管理根據(jù)企業(yè)的打印機(jī)管理制度和計(jì)算機(jī)用戶業(yè)務(wù)關(guān)系統(tǒng)一制定打印機(jī)的管理策略，主要功能為：監(jiān)控用戶打印行為、打印行為違規(guī)報(bào)警。4硬件接口管理統(tǒng)一配置計(jì)算機(jī)外設(shè)接口的控制策略，動(dòng)態(tài)的關(guān)閉與開(kāi)啟外設(shè)接口。所能控制的接口有：USB接口、SCSI接口、串行總線、并行總線、紅外接口、PCMCIA接口、軟盤控制器、火線1394接口、無(wú)線網(wǎng)卡接口、DVD/CD-ROM驅(qū)動(dòng)器、藍(lán)牙接口、第二塊網(wǎng)卡接口。四 數(shù)據(jù)安全管理1我的加密文件夾為終端用戶提供了個(gè)人文

8、件加密存儲(chǔ)的文件服務(wù)。2硬盤保護(hù)區(qū)在本地硬盤上提供一個(gè)或多個(gè)安全存放本地敏感文件的加密存儲(chǔ)空間，用戶可視為該文件保險(xiǎn)箱為可信空間，并可通過(guò)加載或卸載操作以使該保險(xiǎn)箱可見(jiàn)或不可見(jiàn)。3文件安全分發(fā)實(shí)現(xiàn)了文件在小組、域范圍內(nèi)的自動(dòng)加密或者自動(dòng)解密，和安全分發(fā)過(guò)程。4安全文檔管理基于透明加解密技術(shù)，在客戶終端上實(shí)施對(duì)客戶文件的透明加密、透明解密，確保文檔從創(chuàng)建到使用到銷毀的全程安全，有效防止內(nèi)部和外部竊取機(jī)密文件的行為，從根本上解決泄密防范問(wèn)題。該加解密過(guò)程對(duì)用戶來(lái)講是“透明”的，不改變用戶的任何操作行為。5可信移動(dòng)存儲(chǔ)介質(zhì)管理該功能實(shí)現(xiàn)了用戶對(duì)移動(dòng)存儲(chǔ)介質(zhì)管理的要求，對(duì)可信移動(dòng)存儲(chǔ)介質(zhì)從購(gòu)買到銷毀的

9、整個(gè)生命周期進(jìn)行管理和控制。包括磁盤授權(quán)、磁盤文件操作控制、操作日志審計(jì)等。五終端接入管理對(duì)接入內(nèi)網(wǎng)的計(jì)算機(jī)進(jìn)行統(tǒng)一的管理，未經(jīng)許可的計(jì)算機(jī)不能接入內(nèi)網(wǎng)。支持終端接入認(rèn)證和內(nèi)網(wǎng)安全掃描功能。 系統(tǒng)特點(diǎn) 全面的終端防護(hù)能力分權(quán)分級(jí)的管理模式方便靈活的安全策略終端安全風(fēng)險(xiǎn)量化管理周全詳細(xì)的系統(tǒng)報(bào)表豐富的應(yīng)急響應(yīng)知識(shí)庫(kù)完善的插件式系統(tǒng)架構(gòu)方便快捷的安裝、卸載和升級(jí)體系架構(gòu) 系統(tǒng)分為三個(gè)組件：客戶端、服務(wù)器和控制臺(tái)，系統(tǒng)采用分布式監(jiān)控，集中式管理的工作模式。組件之間采用C/S工作模式，組件的通信是采用HTTP/HTTPS加密傳輸方式。支持任意層級(jí)的服務(wù)器級(jí)聯(lián)，上下級(jí)服務(wù)器之間采用HTTPS協(xié)議進(jìn)行數(shù)據(jù)交換。  客戶端：安裝在受保護(hù)的終端計(jì)算機(jī)上，實(shí)時(shí)監(jiān)測(cè)客戶端的用戶行為和安全狀態(tài)，實(shí)現(xiàn)客戶端安全策略管理。一旦發(fā)現(xiàn)用戶的違規(guī)行為或計(jì)算機(jī)的安全狀態(tài)異常，系統(tǒng)及時(shí)向服務(wù)器發(fā)送告警信息，并執(zhí)行預(yù)定義的應(yīng)急響應(yīng)策略。 服務(wù)器：安裝在專業(yè)的數(shù)據(jù)服務(wù)器上，需要數(shù)據(jù)庫(kù)的支持。通過(guò)安全