通软桌面终端安全管理解决方案-2010

1 通软公司 2010/6/15 通软™桌面终端 安全管理 企业安全管理考核细则加油站安全管理机构环境和安全管理程序安全管理考核细则外来器械及植入物管理 解决 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 通软™桌面终端安全管理解决方案 I 目 录 1前言 ................................................................................................................................................... 1 1.1通软公司简介 ........................................................................................................................ 1 1.2通软™产品定位 .................................................................................................................... 1 1.3通软™产品特点 .................................................................................................................... 2 2桌面终端安全管理面对的主要问题 ............................................................................................... 3 2.1桌面终端安全管理用户面对的主要问题 ............................................................................ 3 2.2桌面终端安全管理领域面对的主要问题 ............................................................................ 3 3通软™解决方案的平台架构 ............................................................................................................ 4 3.1平台组成 ................................................................................................................................ 5 3.2多级管理 ................................................................................................................................ 5 3.3权限管理 ................................................................................................................................ 5 3.4主动式管理 ............................................................................................................................ 5 4通软™解决方案构成 ........................................................................................................................ 8 4.1打造可视化网络：真正做到心中有数 ................................................................................ 8 4.2打造安全的网络：保护核心数据安全 .............................................................................. 11 4.3打造稳定的网络：保障业务系统稳定运行 ...................................................................... 13 4.4打造高效的网络：规范行为专注工作 .............................................................................. 16 4.5打造可维护网络：提高效率快速处理故障 ...................................................................... 17 5通软™特色解决方案 ..................................................................................................................... 20 5.1既严格又实用的准入管理 .................................................................................................. 20 通软™桌面终端安全管理解决方案 II 5.2完善的U盘管理 ................................................................................................................... 22 5.3网络可视化及异常排查 ...................................................................................................... 25 5.4确保客户端长期驻留 .......................................................................................................... 28 6预期实施效果 ................................................................................................................................. 30 7我们的优势 ..................................................................................................................................... 31 7.1公司优势 .............................................................................................................................. 31 7.2产品优势 .............................................................................................................................. 32 通软™桌面终端安全管理解决方案 1 1前言 1.1通软公司简介 通软公司（简称 GSC）成立于 2001 年，是由多名留美软件专家创建的，致力于研发和 销售通用计算机网络安全和管理产品的高新技术企业。公司持有多项国内外发明专利及创新 技术，经过多年不懈努力，成功推出了通软™系列产品。该产品以桌面终端的安全与行为管 理为核心，在一个可视化平台上提供桌面终端管理的整体解决方案。通软™产品是中国唯一 通过微软WHQL产品测试的桌面终端安全管理产品，已获得全部四项国家级信息安全产品资 质认证，并在第十一届中国信息安全大会上获得 2010 年度“中国信息安全优秀产品奖”。通 软™产品已成为桌面终端管理市场上极具品牌地位的领先产品，并在全国各行各业拥有成千 上万的单位用户，数百万台桌面终端在通软™系统管理下高效运行。 2006年通软公司成为 Intel在中国网络安全领域的重要合作伙伴（ISV），2008年被 Intel 评为“中国最佳桌面管理解决方案合作伙伴”。同年，通软公司在众多竞争者中胜出，成为联 想集团商用电脑捆绑安全管理软件唯一全行业提供商。 通软公司始终秉承创新、效率、诚信的公司理念，以为计算机网络的安全、管理和维护 提供实用的解决方案为使命，持续为广大用户提供优质的网络管理软件，从而推动中国乃至 世界计算机网络应用的发展。 1.2通软™产品定位  从全网安全运维的角度出发，提供安全、管理和维护三位一体的综合型桌面终端安全管 理平台；  把边界管理作为安全管理的重中之重，从准入控制、非法外联和移动存储三个方面做好 完整的边界管理；  在流量应用层面彻底打开“网络黑箱”，真正实现全网可视化管理。 通软™桌面终端安全管理解决方案 2 1.3通软™产品特点  实用性和完整性 通软™产品把网络中的服务器、网络设备和众多的桌面终端作为一个整体进行管理，保障全网 的安全运行和业务系统的稳定运转。通软™解决方案包括降低终端安全风险、防范机密信息泄漏、 避免员工非工作行为、防止网络出现大面积故障、监控业务系统运行状态以及高效的远程维护等。 经过多年的经验积累，产品功能贴近中国网管实际需求，从用户应用的角度出发，为用户打造实用、 易用的专家级产品。  成熟性和稳定性 通软™产品拥有分布于全国的数千家成功案例，近万家试用客户，大量用户真实环境下的稳定 运行，充分展示了通软™产品所具有的成熟性。通软™产品通过四大国家级信息安全产品测评认证 中心测试，拥有权威资质认证，并且通过英特尔、联想、微软三大公司的严格产品测试，通软™产 品是：  英特尔首选展示博锐™（vPro®）技术的桌面终端安全管理产品；  联想指定唯一全行业商用电脑捆绑安全管理软件；  中国唯一通过微软WHQL产品测试的桌面终端安全管理产品。  系统兼容性 通软™产品已通过严格的微软WHQL测试，具有稳定性高、和微软操作系统 100%兼容的特 性。WHQL（Microsoft Windows Hardware Quality Lab）主要从事计算机硬件产品、驱动程 序与Windows操作系统的兼容性和稳定性测试，该测试针对送检软件进行几十个种类，累计数千 项的测试。通过WHQL测试证明通软™产品与Windows操作系统可以达到 100%兼容，特别是 在驱动程序层面具有良好的可靠性和兼容性，是能够在Windows操作系统下安全稳定运行的、值 得信赖的软件系统，并能够提供高质量的Windows用户体验，从而确保使用该产品的计算机系统 达到高度的稳定。 通软™桌面终端安全管理解决方案 3 2桌面终端安全管理面对的主要问题 2.1桌面终端安全管理用户面对的主要问题 基于对普遍存在的计算机网络安全与管理现状的理解，通软公司 总结 初级经济法重点总结下载党员个人总结TXt高中句型全总结.doc高中句型全总结.doc理论力学知识点总结pdf 当前用户急需解决 的问题主要有如下几点： a) 由于缺乏可视化管理平台，计算机网络的实时运行情况在相当大程度上，对信息中 心而言，还是一个“黑箱子”，因此，对于很多网络故障，只能处于被动的事后手工 救火，严重影响工作质量和工作效率； b) 为保证业务系统稳定运行或核心数据的安全，用户常将内、外网进行了物理隔离， 但仍有外来计算机随意接入内网，给内网带来安全隐患； c) 在内网私自使用移动存储外设或非法外联，可能导致核心数据的流失； d) 网络中病毒屡杀不绝，造成单位网络运行不稳定，甚至影响业务系统的正常运行； e) 员工工作时间的非工作行为，严重降低工作效率，并且可能成为安全事故的诱因， 因此，急需切实有效的技术手段规范员工的计算机使用行为； f) ERP、OA、HIS 等业务系统的安装和频繁升级占据了信息中心的大量人力、终端计 算机经常出现问题，需要信息中心维护，而低效的手工维护无法适应用户的信息化 发展需求。 2.2桌面终端安全管理领域面对的主要问题 近十年来，随着计算机在各行各业的快速普及和应用，用户桌面终端管理的需求日益强 烈，为满足广大用户的各种管理需求，市场上的桌面终端安全管理类产品如雨后春笋般大量 涌现。但是桌面终端安全管理类产品面向的是数量庞大的桌面终端，环境异常复杂，需求多 种多样，是很难在短时间内研发出适用于复杂网络环境中的成熟产品的，因此，广大用户正 面对着一个产品多、功能多，令人眼花缭乱，但真正稳定、成熟、实用的产品却不多的桌面 终端安全管理市场。通软公司通过对大量业内具有代表性产品的使用和分析，总结出桌面终 端安全管理领域面对的问题主要有如下几点： a) 大多数单位已经很重视桌面终端安全管理，但产品应用效果不佳； 通软™桌面终端安全管理解决方案 4 b) 在规模化网络中，客户端长期驻留难以解决； c) 网络的准入控制漏洞很多，安全的基础不扎实； d) 虽然有了桌面管理和很多其它工具，但网络实时运行状态还是“黑箱”； e) 大多数桌面终端管理产品实用性、易用性太差，好听不好用。 3通软™解决方案的平台架构 由通软公司独立自主开发的通软™桌面终端安全管理平台，采用分布式多级管理的系统 结构，以适应不同规模的局域网的管理需求。平台采用安全性和实时性俱佳的 C/S 架构，而 为了便于多位管理人员在网络的不同位置实施不同的管理，通软™平台提供多控制台机制， 既保证了平台的灵活、易用又保证了平台的安全、实效。 管理人员可以在信息中心通过通软™服务端统一配置安全策略、汇总终端信息以及进行其 它的管理维护工作，并通过层级立即下发到所有终端，极大的提高了配置效率。通软™系统提 供统一的平台，各个部分都在平台的基础上实现，使各类数据整合良好，各个部分交互顺畅， 大大降低本系统对资源的占用，提高了系统的整体性能。 图 通软™平台架构 通软™桌面终端安全管理解决方案 5 3.1平台组成 通软™平台是由服务器引擎、客户端和控制台组成。  服务器引擎：通软™平台逻辑层的核心，在控制台、数据库和客户端之间起着中心 枢纽的作用。在一个多级管理的系统中，引擎的架构决定了系统的架构。  控制台：系统的 UI层。接受命令和策略，并传输给系统的逻辑层。同时也显示系统 的当前状态。  客户端：在被管理的计算机上运行的通软™代理程序（Agent）。 3.2多级管理 为了提供良好的可扩展性，通软™平台采用了经典的三层架构，这种三层架构使得该平 台可以提供强大的多级管理机制，用户可以根据自己网络的规模和复杂程度，利用本平台的 基本组件，如控制台、服务器引擎、数据库和客户端，搭建不同形式的管理结构，从而实现 无规模限制的任意多级管理，可以支持跨越省、市、区、县多区域的统一管理。 3.3权限管理 通软™平台依据管理、操作、审计三权分立的原则，提供三种不同权限的帐户，不同的 帐户可以管理不同的终端计算机范围和执行不同的策略操作。  系统维护员：可以添加/删除平台登录账户，分配账户角色、权限、管理范围、操作 权限等；  操作员：系统的主要功能都由操作员来使用，可对计算机实施管理及下发策略；  审计员：可查看系统运行日志和系统维护员/操作员操作日志信息，审查各管理员账 户的具体操作。 3.4主动式管理 经过数年的实践，人们已经意识到桌面终端安全管理面对的最大挑战不是任何一个具体 功能，而是客户端大面积部署和长期驻留问题。针对大规模的桌面终端安全管理平台而言， 无论采用何种方式进行管理，都必须由功能强大的客户端（Agent）来实现，因此确保客户端 通软™桌面终端安全管理解决方案 6 程序的稳固常驻是管理平台实施所有管理的基本前提。然而现有桌面终端安全管理产品面对 的最大难题就是客户端随着时间的推移不断减少，最终使得用户投入重金购买的管理产品处 于近乎无用状态。基于上述问题，通软公司从多角度出发提供多重防护机制，保证客户端常 驻，并精确识别以确保每台客户机时时处于有效的管理之下。 3.4.1通软™网络访问控制服务器 通软™网络访问控制服务器（GeneralSoft Network Access Controller），英文缩写 GNAC， 是通软公司自主研发的软硬件结合的服务器产品。GNAC 提供强大的访问控制机制，既可有 效地防止通软™客户端丢失，又便于在大规模网络中快速部署客户端。GNAC 实现的网络访 问控制不会产生单点控制可能带来的瓶颈问题，适用于任何网络类型，无需网络设备支持或 修改网络配置。 图 通软™网络访问控制服务器 另外，GNAC 提供浏览器重定向机制，可以协助未安装客户端的新入网用户主动安装客 户端并向管理员获取访问授权。当未安装客户端的计算机接入网络并使用浏览器访问重要服 务器或互联网时，将自动显示友好的提醒网页，指导用户安装客户端，从而实现客户端的快 速部署。 说明：详细内容见第 5章通软™特色解决方案之 5.4确保客户端长期驻留。 3.4.2客户端精确识别 市场上很多终端管理产品当客户机配置信息发生变更时（如修改 IP地址、重装操作系统 等）无法正确识别，而将其定义为一台新的客户机，从而造成原有的组信息错误以及策略或 任务执行的失败，长此以往会形成很多无效的客户机信息。通软™平台能够根据计算机的多 个硬件组合信息加上客户端程序的唯一标识精确识别客户机，即使重新安装操作系统或更换 了 IP地址等信息，也能够自动匹配到正确的客户机信息。 通软™桌面终端安全管理解决方案 7 3.4.3客户端自我保护 为保证用户整个局域网长期处于被管理状态，通软™客户端所有文件均具有自我保护功 能，如果通过非正规卸载手段将客户端文件删除，文件会自动恢复；客户端正常安装并运行 后，系统进程内的所有客户端进程都不可被停止；相应的服务不能删除，如果被手动停止后， 也会自动重新启动；客户端的自我保护机制在操作系统安全模式下也生效；客户端的正常卸 载需要输入网管密码，没有网管密码或输入的密码不正确，则不能正确卸载。即使在客户机 断线离网的状态下，通软™平台所实施的管理策略仍可生效。因此，通软™客户端程序具有良 好的自保护能力，不可被终端用户私自删除。 通软™桌面终端安全管理解决方案 8 4通软™解决方案构成 通软™桌面终端安全管理解决方案由五大部分构成，将为用户打造可视化网络、安全的 网络、稳定的网络、高效的网络和可维护的网络。 图 通软™桌面终端安全管理解决方案 4.1打造可视化网络：真正做到心中有数 4.1.1网络静态资源配置心中有数 4.1.1.1实名制管理 随着信息化建设的深入，计算机数量逐年增加，网络规模越来越大，当出现问题后，不 容易定位问题，即使通过某些工具找到了问题计算机，但是仅凭 IP 或者 MAC 很难知道这是 哪个部门的哪位员工的计算机，难以和具体的使用人一一对应，即建立有效的人机对应的管 理机制。 通软™桌面终端安全管理解决方案 9 通软™平台通过自动获取结合主动收录的方法，使计算机信息与使用人、部门、联系方 式、地理位置等信息一一对应。当出现问题时能快速对应到具体的使用人员，使管理更有针 对性。 图 通软™实名制管理平台 4.1.1.2软/硬件资产管理 在一个规模较大的局域网内，如果没有一个有效的技术手段，仅仅想了解单位内有多少 台计算机，每台计算机属于哪个部门或使用者，也不是一个易于完成的任务，更何谈详细了 解局域网内的软硬件资产情况。 通软™平台可以详细展示网内计算机软硬件资产信息，若资产发生变更则立即报警，防 止资产流失。具体方案如下：  自动收集软硬件清单：管理员可以查询部分或所有计算机的软件和硬件配置信息， 解决计算机设备配置情况统计难问题。  资产统计报表：可对计算机的硬件信息，如 CPU、内存、硬盘、显卡等信息进行数 据统计和对其进行详细或粗略的查询，轻松解决局域网中计算机众多，对其硬件配 置不好统计的难题，并能够提供详细的报表。  资产变更报警及统计：由于技术水平和素质的差异，计算机使用者常会有意无意的 破坏或更换了计算机的硬件设备，硬盘、内存条丢失时有发生，这不仅是单位硬件 资产上的损失，更严重的后果是无形的信息技术资产的流失。通软™平台当检测到 通软™桌面终端安全管理解决方案 10 硬件资产发生变化时，将立即发出报警，并定位问题计算机，使网管人员及时发现 资产流失。 4.1.2网络动态资源分配心中有数 由于网络运行情况不易了解，对于管理者而言，网络就像一个“黑箱子”，里面到底在运 行什么，运行情况怎么样，都不清楚，只有当问题爆发时才会引起关注，经常处于被动救火 的状态。 通软™平台从流量大小、关系和行为三个角度进行全方位的网络动态情况展示，使信息 中心能够查看到网络中实时的流量信息，所有信息以曲线、饼图、柱状图、列表等各种形式 进行展示，并且提供实时的排名、分布等情况，让管理人员对网络运行状态了如指掌，使网 络运行的情况更加清晰、透明，据此可以快速分析网络运行趋势，把问题扼杀在摇篮之中。 图 网络动态资源使用情况 4.1.3丰富报表更加强化心中有数 通软™报表系统为用户提供丰富的报表资源，可以全面反映局域网中桌面终端各个方面 的信息，使管理者可以掌握网络运行情况、使用情况、资源分布情况等历史真实数据，认识 优势与不足，为进一步规划网络及持续发展提供有力的数据支撑。  系统预置几十种常用报表模板，无须自定义即可查看网络及终端情况；  提供强大的数据过滤机制，可以快速生成自定义报表。 通软™桌面终端安全管理解决方案 11 图 网络占用情况报表 4.2打造安全的网络：保护核心数据安全 4.2.1既严格又实用的准入管理 单位的网络中往往保存和传输着大量的重要数据或机密信息，为了防止重要信息外泄， 很多单位实施了内、外网物理隔离。即便如此，仍会有很多危险威胁着内网的安全，非法接 入行为即是内网重要数据流失和引入病毒的主要隐患之一。 对于已经实施了物理隔离的内网而言，严格有效的网络准入管理是最为重要的安全管理 措施。目前市场上出现了很多网络准入类产品，此类产品主要采用两种技术手段来实现，一 是基于 ARP技术的非法 IP地址管理，二是基于 802.1X标准的入网认证。但是上述技术都存 在一定的局限性，基于 ARP技术的非法 IP地址管理不可跨越 VLAN，并对装有 ARP防火墙 的计算机不能限制；基于 802.1X标准的认证对网络设备有很大的依赖性，且无法解决私接路 由的问题。上述两种方案更无法解决两台计算机直连拷贝数据的非法接入行为。总的来说， 业内现有大部分解决方案不易于全网实施，且存在明显的缺陷和管理漏洞。 鉴于业内缺乏完整的网络准入管理解决方案的现状，通软公司首创“无漏洞”准入管理 方案。该产品支持各种类型网络，无需用户修改任何网络配置，不受网络设备和防火墙的限 通软™桌面终端安全管理解决方案 12 制，即使是私接路由或计算机直连的入网行为也能够有效禁止，彻底杜绝外来计算机随意接 入网络。而对于不便安装本产品客户端的特殊管理点（如重要服务器等），可通过部署通软™ 网络访问控制服务器（GNAC）来保障安全性，从而杜绝管理盲点的存在。通软“接入管理” 与“GNAC”的完美结合为用户提供了天衣无缝的网络接入管理解决方案，真正实现“无漏洞” 的接入控制，打造严格密闭的网络空间。另外，也可以采用“接入管理”与“802.1X”结合 的方式达到同样效果。 说明：详细内容见第 5章通软™特色解决方案之 5.1既严格又实用的准入管理。 4.2.2非法外联管理 即使用户内、外网进行了物理隔离，但是仍有内网的计算机使用者想方设法的连接互联 网，炒股、打游戏、看电影等，给内网带来了巨大的安全隐患。针对这类问题通软™平台能 够从三方面提供解决方案：  拨号管理：可以对拨号行为进行监视和限制，一旦发现有违规行为会发送报警信息 给管理员，并且可存储报警记录，提供查询。支持多种拨号形式的管理，如 3G 拨 号、Modem、ADSL、VPN等，防止通过拨号私自连接互联网。  代理软件管理：可以防止计算机通过私自设置代理访问网络。可设置“禁止软路由 接入”、“禁止代理软件接入”和“禁止拨号接入”。  带宽管理：通过与外网的计算机搭桥或私设代理上网也是一种常见的非法外联方式。 为了控制这种隐蔽性极强的“网络后门”，通软™平台可以分别限制内网带宽和外网 带宽。对于内网计算机而言，只要把外网带宽设为零，无论其如何搭桥或私设代理 都不能访问外网。 4.2.3移动存储管理 在各种计算机外设给信息交换带来极大方便的同时，也给很多数据安全敏感单位带来很 多麻烦。现今非常常见的 USB移动存储设备是造成内网机密信息流失的主要途径，一个小小 的 U 盘便能在不被人察觉的情况下将核心数据拷走。然而由于工作的需要，内网的一些计算 机却不能封闭 U 口，需要在工作中用 U 盘进行信息的传递，因此 USB 移动存储设备成为内 网机密信息流失和引入病毒的主要途径。针对上述问题，通软™提供如下解决方案： 通软™桌面终端安全管理解决方案 13  外部设备管理：可以屏蔽 USB 设备，禁止使用 U 盘和移动硬盘等存储类设备，而 仅可以使用 USB鼠标和 USB打印机等非存储类设备。此外，还能够对光驱、软驱、 移动存储设备、红外、串/并口、1394、蓝牙等设备进行管理。  U盘管理：可以防止 U盘传播病毒，设置 U盘的使用权限和属性，信息只能入网不 能出网，即使 U盘丢失信息也不会被获取，有效防止网内机密信息通过 U盘外泄。 说明：详细内容见第 5章通软™特色解决方案之 5.2完善的U盘管理。 4.2.4安全审计 可监控并记录对重要文件所做的修改、创建、重命名、删除、复制、移动、打印等操作， 当出现安全事故时，便于快速查清事故成因，准确定位责任人。  文件访问审计：监控终端用户在服务器、计算机本地、通过 U盘、网络访问文件（文 件夹）的相关信息记录；  文件打印审计：记录文件的打印操作，如哪些人打印哪些文件等。 4.3打造稳定的网络：保障业务系统稳定运行 4.3.1网络配置统一规范 对 IP地址及相关网络配置的集中统一管理是确保计算机网络正常运行的基础性工作。通 软™平台系统提供了一个非常直观的管理界面以检查和配置被管理的网络计算机 IP地址、计 算机名、网关等系统配置信息，并可集中监控、远程点对多点的配置任务，轻松直观地实现 IP地址、计算机名、网关的规划和配置。  统一分配并绑定 IP地址资源，杜绝滥用、盗用、更改 IP地址的行为发生；  统一分配并绑定计算机网络配置信息，如网关、DNS、计算机名等；  统一设置并绑定计算机控制面板、计算机管理、"我的电脑"属性、"本地连接"属性和 组策略、电源管理和 IE配置等信息。 通软™桌面终端安全管理解决方案 14 4.3.2封堵各类系统漏洞 4.3.2.1操作系统补丁管理 众所周知，微软推出的常用软件存在很多安全漏洞，如操作系统、Office和 SQL Server 等。这些安全漏洞是网络中病毒泛滥和网上攻击等问题的重要原因之一。因此，针对这些安 全漏洞及时完整地打上安全补丁，是净化网络环境的最重要的基础性工作之一。然而，由于 安全补丁的数量众多，而局域网中计算机也逐年增多，因此，这项工作几乎不可能靠手工完 成。为此，通软 ™产品提供了实用的安全补丁自动升级功能模块。支持安全补丁信息自动更新、 计算机补丁漏洞扫描、补丁文件自动下载及分发，并可完成客户端补丁自动安装。  支持对微软操作系统、Office及 SQL Server等进行补丁自动发现及分发操作；  支持无人值守的补丁分发；  所有补丁文件下载均直接通过 Internet 连接微软网站获得，通软的技术人员针对每 一个补丁进行测试筛选后，方可将索引链接地址添加至平台中，避免某些补丁给用 户带来不便。 4.3.2.2通讯端口安全管理 计算机随意开放 TCP/IP通讯端口，给黑客和网络恶意攻击等留有后门，造成多种不安全 隐患。通软™平台提供通讯端口管理功能对计算机的端口进行扫描，能够查看端口的开放情 况，并可设置通讯端口白名单和黑名单，仅开启必须开启的通讯端口，其余端口一律禁止使 用，及时封堵安全隐患入侵通道。 4.3.2.3 ARP安全保护 在局域网中常有一些利用 ARP特性进行网络攻击或者欺骗的软件或病毒，如网络执法官 等和一些 ARP 蠕虫病毒或后门（如“密码高手”等），最终导致整个网络变慢或者瘫痪。这 给网络使用者和其单位都带来了很大的影响和损失。 通软™平台采用全新的可靠机制，在全网内独自建立真实的地址解析表并分发到每一个 被管理的网络节点。同时，在网卡驱动层过滤每一个数据包，保证识别并阻止每一个 ARP欺 骗包。不仅能够识别和禁止 ARP 欺骗，更能准确的定位哪个节点、进程和登录账号是 ARP 欺骗的源头。此外，在系统内部采取了一系列安全措施，未经授权根本无法使用该系统，即 通软™桌面终端安全管理解决方案 15 使是授权的网管人员，也不可能利用该系统进行与 ARP欺骗相关的恶意操作。 4.3.2.4网络共享文件管理 网络中的共享资源，如文件夹等，也是传播病毒、引入网络攻击和信息外泄的途径之一。 通软™平台可使网管人员及时准确地掌握共享资源的分布情况，并且可以停止和禁用共享， 及时阻断病毒传播和机密泄露途径。 4.3.3全网无死角杀毒 计算机病毒的干扰是用户局域网管理的主要烦恼之一，然而为什么购买了杀毒软件还是 不能彻底解决病毒问题呢？主要原因是杀毒软件本身保证不了在网络中彻底杀毒，就连全部 安装指定的杀毒软件这个基本条件也是杀毒软件本身所无法保证的。如果不能实现统一彻底 杀毒，目前常见的网络蠕虫病毒就很容易卷土重来。针对这种情况，通软™为了实现统一杀 毒、无死角杀毒，提供如下机制：  无死角安装杀毒软件，不安装指定的杀毒软件不能入网（支持同时指定多个合法的 杀毒软件）；  监控网内杀毒软件产品分布情况，及时发现未安装杀毒软件或者未安装指定杀毒软 件的计算机；  监控杀毒软件病毒库更新情况；  无死角同一时间统一运行杀毒软件，对未开机的计算机在开机后即刻自动杀毒补课。 图 杀毒软件分布情况 通软™桌面终端安全管理解决方案 16 4.3.4网络资源合理分配 通软™平台提供全面、灵活网络资源分配机制，可以根据用户的网络行为，如进程、协 议、端口及目标地址等，进行带宽的分配。一方面通过配置指定的网络行为来对单位网络的 利用情况进行规范，例如限制或禁止上网浏览、上网聊天、网络游戏、下载等网络行为，当 有禁止或限制的网络行为发生时，阻断该网络行为的通讯或限制行为带宽，从而能够有效的 对终端的行为进行限制。另一方面，可保证单位正常的核心业务能够使用足够的带宽，使正 常的业务高效运转。此外，利用时间段管理功能，可以按照工作时间和休息时间等不同的时 间段进行分别的管理，使管理策略更加灵活、人性化。 4.4打造高效的网络：规范行为专注工作 4.4.1有效的本地行为管理 随着局域网内通用 PC功能日益强大，如何在局域网内实施有效的行为管理，成为很多单 位面临的问题。单位局域网内的通用 PC作为提高办公效率工作工具的同时也成为某些人的娱 乐手段，而且这些与工作无关的计算机行为往往是引入病毒、网络攻击等有害结果的主要原 因，不正当的网络行为也通常会占用大量网络资源并浪费工作时间，仅仅靠行政手段很难从 根本上解决这些问题。 基于信息安全的基本原则——最小权限原则（The Principle of Least Privilege），管理员 可以通过通软™平台设置计算机可以运行什么或不可以运行什么，工作需要做什么，使用者 用计算机仅可做什么，不该做的不能做，将普通 PC 塑造成“工作专用机”，既明显提高了员 工工作效率，同时也是最佳的防毒措施。另外，通软™平台还提供严格或宽松两种管理方式， 使管理更加灵活。  以组的方式设定计算机只允许运行的程序（白名单），或禁止运行的程序（黑名单）；  对于已安装的黑名单（或非白名单）程序将不可运行，对于未安装的黑名单（或非 白名单）程序将不可安装，即使终端用户修改了进程名仍可对其进行管理；  详细记录计算机非法程序的运行情况，通过排名信息清晰地展现哪种类型软件违规 使用率高、哪些员工违规使用非法软件的行为次数多等等。 通软™桌面终端安全管理解决方案 17 4.4.2严格或宽松的网站访问管理 当今互联网已是人们获得信息的最主要途径之一，很多单位的工作都离不开互联网。但 访问互联网也是很多网络管理和网络安全问题的根源。此外，沉迷于互联网也必然会降低工 作效率。因此如何使访问互联网成为有益无害的信息交换手段，成了网络管理所面临的又一 大难题。 通软™网站访问管理可以审计及管理计算机的上网情况，如对访问过哪些网页和访问时 间等进行实时的监视。此外，管理员还可以配置严格的管理策略，如客户端“只允许”访问 的网站，或禁止访问的网站，从而对上网行为实施有效管理；也可以设置宽松的管理策略， 提供详实的审计机制，真实记录网站访问过程，为事后调查提供有力依据。 4.4.3上网权限管理 可对计算机的网络权限进行设置，禁止计算机访问网页、FTP及邮件服务。通软™平台采 用禁用或开启端口的方式实施设置，默认网页端口 80，FTP端口 20、21，邮件端口 25、110。 根据网管实际工作需要，除提供常用的默认端口外还提供自行设置端口权限功能。 4.5打造可维护网络：提高效率快速处理故障 4.5.1准确定位故障点 病毒大量发包形成网络风暴、大量违规下载造成网络变慢、ARP欺骗造成网络时断时续、 网络中的部分计算机断网，这些都是网络中可能出现的问题，由于缺乏有效的安全管理，很 容易引入病毒问题，并造成网络运行不稳定，由于网络规模太大，一旦出现问题，很难定位 问题的源头。 通软™平台通过采集网络终端的流量、进程、 协议 离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载 、端口等数据，以大屏幕的形式将整 个网络的运行情况进行展示和监测，准确定位故障点（包括计算机 IP、登录账户、问题进程、 问题端口等），快速解决问题，还可以实施有效的管理策略，防止问题复发。实现多角度、全 方位，精确发现、查找、排除以及预防网络异常。从而实现在信息中心监控大屏幕上，可以 非常直观的看到每一个节点的实时运行状态，全网流量大小的变化趋势、交互关系的变化情 况及网络行为构成。一旦网络中出现异常或故障，将可以立即准确定位，并可以采取相应措 施排除故障，从而大大提高了网络维护的自动化程度。 通软™桌面终端安全管理解决方案 18 图 网络大屏幕精确定位故障点 说明：详细内容见第 5章通软™特色解决方案之 5.3网络可视化及异常排查。 4.5.2业务系统批量升级 业务系统的升级和安装是信息中心负责的主要日常工作之一，随着用户计算机数量不断 增加，而终端分布又比较分散，依靠网管人员逐台跑点升级或安装的维护方式已经明显不能 满足单位的需求。为此，通软™平台为网管人员提供实用而高效的软件分发功能，可以远程 对计算机分发、安装/升级各类业务软件如 ERP系统，特别是可以批量下发，使得大范围 的系统安装或升级变成了一次性的简单鼠标操作。  高效分发：独创的级联分发技术，对 500台终端发送 100M文件，耗时不到 5分钟；  定时分发：定时机制可利用网络闲时，例如午休时间，防止由于分发软件占用带宽 影响业务系统正常运转；  分发补课：对未在线的计算机，开机后自动补做任务；  断点续传：如果遇到网络故障出现分发中断时，不必重新分发，支持从已分发的部 分开始继续完成分发工作；  自动安装：打包安装过程,软件分发后，无需人工干预,自动在后台完成安装；  反馈结果：对于分发和安装情况在服务端会及时显示详细信息，包括已成功分发的 百分比、不在线需要补做的百分比等； 通软™桌面终端安全管理解决方案 19  分发内容广泛：支持软件（特别支持 Office等各类大型软件）、文档、图片等工作中 常见的各类电子信息的分发，发送单个文件或文件夹皆可。 4.5.3全面的远程维护 随着网络规模的不断扩大，如果没有一个自动化程度很高的远程维护平台，而仅靠信息 中心的网管人员跑来跑去的手工维护，是不可能适应业务的快速发展。因此，通软™产品为 信息中心的网管人员提供了一个功能非常丰富的远程维护平台。在此平台上，网管人员可以 进行远程故障诊断，查询/修改注册表、锁定/解锁计算机、阻断计算机通信、关闭/重启/注销 计算机、发送消息、批量网络配置，直至远程接管桌面等等。 另外，通软™平台在赋予网管人员强大的系统维护功能的同时，也充分考虑到了使用者的 计算机隐私和信息安全问题。例如可以使网管人员看到终端计算机屏幕上或磁盘上信息的“远 程协助”功能即提供终端“确认”机制。对于一般计算机，无需终端用户认可网管人员即可 进行协助，而对于高安全级别或者重要终端，没有终端用户的许可，网管人员不可对该计算 机进行远程协助操作。 通软™桌面终端安全管理解决方案 20 5通软™特色解决方案 5.1既严格又实用的准入管理 5.1.1用户问题 网络的准入管理不是简单的网络入口的管理，网内的每一台设备，每一台终端都可能成 为非法接入者利用的对象，即使购买了网络准入类产品也很难彻底杜绝，非法接入者常常通 过仿冒网内合法计算机的 IP和计算机名、与网内合法计算机直连、私接路由的方式躲避网络 准入管理产品的监控，这些非法入网的途径防不胜防，觊觎者时刻威胁着网络的安全。 另一方面，由于单位的业务需求，对于入网的计算机不适合采用单一的管理方式，既要 能够防止非法入网，又应该允许一些合法的外来计算机临时性入网，而且对这些合法入网的 外来计算机也需要进行有效的管理，不能全网全盘开放，使其成为合法的入侵者。而对于网 内新增的合法计算机或者合法的外来计算机，也不能随意的任其入网，因为它很可能成为病 毒的传播者。因此，只有实施完整的管理和必要的检查才能真正地保证网络安全。 综上所述，用户面对的不是简单的网络准入管理产品品牌或技术层面的筛选，而是对解 决方案实用性的评估和选择。 5.1.2方案构成 通软™网络准入管理解决方案是通过定义一个可信域，允许可信域内的计算机互相访问， 而禁止非可信域内的计算机与可信域内的计算机进行通讯，从而杜绝任何形式的非法入网， 彻底防止非法计算机利用直插网线、仿冒内网合法计算机 IP和计算机名、直连网内合法计算 机、私接路由这些常见和难以管理的方式违规入网。 同时，对于外来合法入网的计算机，如厂家服务人员或各类外协人员携带的计算机，当 其接入网络时可同步实施严格的管理，有效限制其访问的网络范围，既可保证外来计算机在 限定的网络空间内顺利的完成工作，又可以防止其触及网内高密级区，威胁敏感信息的安全。 另外，对所有合法进入网络的计算机在入网前将进行必要的安全检查，确保每台计算机都符 合既定的安全规范，防止其成为病毒携带者威胁网络安全和稳定。 通软™桌面终端安全管理解决方案 21 5.1.3典型应用场景  场景一：外来人员或内部员工将非法计算机私自接入网络  场景描述：入网途径①仿冒入网，即将非法笔记本的 IP和计算机名修改为网内合法 计算机的 IP和计算机名后直插网线入网；入网途径②直连入网，即将非法笔记本和 网络中的合法计算机用网线直接相连，通过笔记本将此台合法计算机上的重要数据 拷走；入网途径③私接路由入网，即将一个路由器接入网络，并将其 IP 和 MAC 修 改为网内合法计算机的 IP和 MAC，在路由器后面连接多个计算机入网。  潜在风险：对网内机密信息造成严重威胁，同时可能会把病毒传染给网内计算机。  管理需求：严格禁止各种途径的非法入网行为。  解决方案：能够及时发现并阻止所有途径的非法入网，记录非法入网发生的时间及 相关计算机信息（IP、MAC、计算机名等），并及时报警。  场景二：外来人员正当入网  场景描述：由于工作的需要，外聘开发或服务人员带笔记本通过网线接入网络或直 接和网内计算机连接。  潜在风险：外来计算机上极易感染病毒，并且接入网络后的行为不受限制。  管理需求：限定外来计算机的访问区域，只能看与其工作相关的信息。  解决方案：针对外来人员正当入网的情况，要形成外来人员计算机入网 管理制度 档案管理制度下载食品安全管理制度下载三类维修管理制度下载财务管理制度免费下载安全设施管理制度下载 。 入网必须先提出申请，批准后，对其进行必要的安全检查，如果不符合要求则禁止 入网，符合要求后才能入网，入网后限制该计算机访问的网络资源，比如只能访问 特定的计算机或服务器，防止重要数据的泄漏。  场景三：入网安全检查  场景描述：网中的计算机不符合一些安全条件，比如没有安装指定的杀毒软件等。  潜在风险：网中的计算机如果不符合安全条件（如杀毒软件的安装）就接入到网络 中，其自身很可能是病毒的温床，从而造成病毒泛滥，给内网的稳定运行造成极大 的影响。  管理需求：合法的计算机符合必要的安全条件才能允许入网。 通软™桌面终端安全管理解决方案 22  解决方案：针对所有合法入网的计算机进行入网的安全检查，设置安全条件（如是 否安装指定的杀毒软件），符合条件的计算机方可入网。另外，对于入网的计算机进 行访问权限的定义，根据每台计算机的使用目的来设定其网络访问的权限，最大限 度地控制网中可能发生的违规访问。 5.1.4方案优势  无需网络设备支持，适用于任何类型网络；  无需修改任何网络配置，不受防火墙限制；  有效控制仿冒合法 IP和计算机名入网；  有效控制与网内计算机直连入网；  有效控制私接路由入网。 5.2强大的 U盘管理 5.2.1用户问题 U盘的普遍使用给信息交换带来了极大便利，但同时也引入了严重的安全隐患，U盘已成 为病毒传播和重要数据泄露的主要途径之一。据了解，大部分单位中的重要数据和各类保密 信息都在内网环境中保存和使用，为保障信息安全和防止病毒感染，一般单位都已将存有重 要数据的网络与互联网进行了物理隔离，然而，内网中常常还会充斥着大量的木马和病毒， 而且内网的机密信息外泄事件也时有发生。造成上述问题的主要根源便是大家最常见的移动 存储设备，例如 U盘。病毒通过 U盘介质侵入单位内网，敏感信息通过 U盘被带出内网。然 而，由于工作的需要，内网的一些计算机却不能封闭 U口，需要允许使用工作用 U盘进行信 息的传递，从而造成 U盘成为造成内网机密信息流失和引入病毒的主要途径。 从上面的阐述可以看出，单位面对着想管却不知如何管的境遇，既不能一味的禁止使用， 也不能随意的任其使用，如何让 U 盘既能发挥易用、便捷的长处，又能保证其安全性，防止 网内信息外泄，避免病毒传播。因此，用户急需一个能够满足工作需求且安全可行的 U 盘管 理解决方案。 通软™桌面终端安全管理解决方案 23 5.2.2方案构成 通软™U盘管理解决方案具有防病毒、防泄密、适应多样需求的特点。针对病毒传播的原 理机制分析并控制病毒传播，发挥 U盘便捷存储的作用，而避免其成为病毒传播介质的弊端。 还可以设置 U盘的使用权限，外部 U盘不能入网，内部 U盘根据授权进行受控使用。通过设 置 U盘的属性，只允许 U盘向网内提交信息而不能带出任何信息，防止机密信息泄露。  U盘权限：可以为 U盘设置只读、只写操作权限，并可开启病毒防护机制，既防止 终端用户对 U盘进行不必要的操作，还可避免 U盘成为病毒传播的工具；  授权 U盘：当禁止使用普通 U盘后，授权 U盘仍可以在网内指定的计算机上使用， 未授权的 U盘将被禁止使用，此种 U盘被带出单位也可使用，易用性较高；  安全 U 盘：此种 U 盘可根据需要划分为“公共区”和“安全区”，当禁止使用普通 U盘后，安全 U盘的“公共区”可在任何计算机上使用（在未授权且安装了通软™ 客户端的计算机上使用受 USB 移动存储管理策略的限制），而“安全区”仅可在网 内安装了通软™客户端且指定的计算机上使用，此种 U盘被带出单位后仅“公共区” 可用，既保证了 U盘的易用性，又保证 U盘中敏感数据的安全；  保密 U盘：当禁止使用普通 U盘后，保密 U盘仅可在安装了通软™客户端且指定的 计算机上使用，即使 U盘被带出单位或者丢失，甚至使用文件恢复软件也无法获取 U盘中的信息，确保敏感数据的安全。 5.2.3典型应用场景  场景一：单一网络环境  网络环境：单位网络不区分内、外网，所有计算机在同一网络环境下。  潜在风险：病毒通过 U盘传播到网中造成网络不稳定。  管理需求：对 U盘无管理限制，应可以有效防止病毒通过 U盘进行传播。  解决方案：方案①不限制 U 盘的使用，只开启防病毒机制。此方案适用于密级较低 且存在使用外部 U盘进行数据交互的单位，如学校…；方