第一篇：內(nèi)網(wǎng)安全管理系統(tǒng)7.0產(chǎn)品白皮書

產(chǎn)品白皮書

內(nèi)網(wǎng)安全管理系統(tǒng)V7.0

產(chǎn)品白皮書

第1頁

產(chǎn)品白皮書

目錄

1.產(chǎn)品簡介.......................................................................................................................................................1 2.產(chǎn)品構(gòu)架.......................................................................................................................................................1 3.產(chǎn)品功能.......................................................................................................................................................2 4.產(chǎn)品特點(diǎn).......................................................................................................................................................2 5.產(chǎn)品性能.......................................................................................................................................................3 6.產(chǎn)品部署.......................................................................................................................................................4

第2頁

1.產(chǎn)品簡介

內(nèi)網(wǎng)安全管理系統(tǒng)是用于政府和企業(yè)終端安全管理系統(tǒng)。系統(tǒng)通過對計算機(jī)準(zhǔn)入控制、計算機(jī)安全加固、計算機(jī)運(yùn)行維護(hù)、計算機(jī)安全審計、移動存儲介質(zhì)注冊等多個方面的綜合管理，為政府和企業(yè)用戶打造一個安全、可信、規(guī)范、健康的內(nèi)網(wǎng)環(huán)境。內(nèi)網(wǎng)安全管理系統(tǒng)可為用戶解決如下一系列的內(nèi)網(wǎng)安全管理問題：

? 確保入網(wǎng)終端符合要求 ? 全面監(jiān)測終端健康狀況 ? 保證終端信息安全可控 ? 動態(tài)監(jiān)測內(nèi)網(wǎng)安全態(tài)勢 ? 快速定位解決終端故障 ? 規(guī)范企業(yè)員工網(wǎng)絡(luò)行為 ? 統(tǒng)一內(nèi)網(wǎng)用戶身份管理 ? 杜絕移動存儲介質(zhì)濫用 ? 提高和實(shí)現(xiàn)軟件正版化

2.產(chǎn)品構(gòu)架

內(nèi)網(wǎng)安全管理系統(tǒng)在架構(gòu)設(shè)計上采用了三層管理結(jié)構(gòu)：終端監(jiān)控引擎、總控中心、管理控制臺。

終端監(jiān)控引擎以服務(wù)的形式運(yùn)行于終端計算機(jī)上，是終端計算機(jī)管理的核心和基礎(chǔ)部件，用于對被管理終端計算機(jī)的安全加固、運(yùn)行維護(hù)和監(jiān)測審計等管理職能。終端監(jiān)控引擎的設(shè)計充分考慮了穩(wěn)定性、安全性和兼容性要求。終端監(jiān)控引擎可防止惡意停止，并全面兼容防病毒軟件、防火墻軟件、設(shè)計開發(fā)軟件、業(yè)務(wù)軟件、辦公軟件。

總控中心用于計算機(jī)的集中管理，為終端監(jiān)控引擎和管理控制臺提供一系列的管理服務(wù)。由策略管理服務(wù)、審計管理服務(wù)、Radius認(rèn)證服務(wù)、文件備份服務(wù)、補(bǔ)丁與軟件分發(fā)服務(wù)、時間同步服務(wù)、網(wǎng)絡(luò)管理服務(wù)、分級管理服務(wù)、事件訂閱服務(wù)、健康狀態(tài)監(jiān)測服務(wù)等組成。視內(nèi)網(wǎng)規(guī)模和性能要求，這些服務(wù)可分別部署在不同的硬件平臺上，也可部署在同一個硬件平臺上。

管理控制臺是系統(tǒng)管理人員提供系統(tǒng)管理入口。采用了B/S方式進(jìn)行系統(tǒng)管理，通過管理控制臺可以完成系統(tǒng)管理的全部操作。三層管理結(jié)構(gòu)大大提高了系統(tǒng)設(shè)計開發(fā)、安裝部署和運(yùn)行維護(hù)的靈活性、便利性和擴(kuò)展性。

圖1 LanSecS?內(nèi)網(wǎng)安全管理系統(tǒng)架構(gòu)

3.產(chǎn)品功能

安全審計：提供內(nèi)網(wǎng)主機(jī)安全事件的審計功能，包括文件操作、文檔打印、共享訪問、服務(wù)與進(jìn)程活動、系統(tǒng)日志、系統(tǒng)賬戶監(jiān)控等。提供終端計算機(jī)用戶行為的監(jiān)控與審計，包括信息泄密、資源濫用、即時通訊、郵件收發(fā)和網(wǎng)站訪問等。

安全服務(wù)：通過預(yù)警平臺、遠(yuǎn)程協(xié)助、軟件及文件分發(fā)等功能實(shí)現(xiàn)遠(yuǎn)程桌面維護(hù)以及安全動態(tài)、桌面通知、信息發(fā)布。

安全加固：提供強(qiáng)大的補(bǔ)丁自動分發(fā)機(jī)制、病毒庫自動下載機(jī)制、本地文件安全存儲以及移動存儲介質(zhì)的認(rèn)證與注冊管理等功能，保證終端運(yùn)行環(huán)境的安全可控，保障內(nèi)網(wǎng)運(yùn)行的可靠性。另外，還提供主機(jī)安全策略和IE安全策略的統(tǒng)一設(shè)置，加強(qiáng)主機(jī)的安全性。

資產(chǎn)管理：提供對內(nèi)網(wǎng)資產(chǎn)和資源的集中管理能力，包括計算機(jī)、交換機(jī)、操作系統(tǒng)、軟件、硬件，并對資產(chǎn)和資源的變更進(jìn)行監(jiān)控和預(yù)警。

準(zhǔn)入控制：采用可信接入技術(shù)，對于接入內(nèi)網(wǎng)的計算機(jī)進(jìn)行嚴(yán)格的身份認(rèn)證和健康檢查，保證內(nèi)網(wǎng)業(yè)務(wù)數(shù)據(jù)和系統(tǒng)環(huán)境的安全。

4.產(chǎn)品特點(diǎn)

完善的分級管理架構(gòu)，“分散不分立”：通過分級管理，系統(tǒng)可實(shí)現(xiàn)跨地域分散部署和集中管理。“分散不分立”，形成有效的和有機(jī)的內(nèi)網(wǎng)安全管理架構(gòu)。

靈活的分權(quán)管理機(jī)制，“集中不集權(quán)”:系統(tǒng)提供了基于安全角色的授權(quán)管理機(jī)制，根據(jù)功能模塊或行政機(jī)構(gòu)的劃分自定義安全角色，一種安全角色只能執(zhí)行其所轄部門范圍內(nèi)的相應(yīng)安全代理的安全策略和審計事件的管理?！凹胁患瘷?quán)”，保證了管理的安全性。

多層次的安全措施，保證系統(tǒng)運(yùn)行的安全可靠:系統(tǒng)從數(shù)據(jù)庫、網(wǎng)絡(luò)通訊、策略分發(fā)與存儲等多個層面加強(qiáng)了安全保護(hù)，確保系統(tǒng)運(yùn)行的安全可靠。

全方位的安全審計功能，有效地防止信息泄密:系統(tǒng)提供對所有輸入/輸出設(shè)備、文件系統(tǒng)、進(jìn)程、服務(wù)、注冊表、網(wǎng)絡(luò)應(yīng)用、用戶身份、操作系統(tǒng)安全策略等進(jìn)行綜合的監(jiān)控和審計，全方位的監(jiān)控操作系統(tǒng)的運(yùn)行狀態(tài)以及用戶的操作行為，實(shí)現(xiàn)涉密信息的全程審計與跟蹤。

完善的基于數(shù)字證書的身份認(rèn)證機(jī)制:系統(tǒng)內(nèi)嵌身份認(rèn)證服務(wù)，實(shí)現(xiàn)了與數(shù)字證書的完美結(jié)合，管理控制臺、監(jiān)控代理、總控中心以及所有系統(tǒng)管理用戶和計算機(jī)終端用戶均通過數(shù)字證書進(jìn)行身份認(rèn)證。

豐富、多樣的統(tǒng)計報表功能:系統(tǒng)提供列表和統(tǒng)計圖的報表輸出，報表的輸出支持HTML、EXCEL、PDF、RTF等四種格式。同時提供手動報表、自動報表等兩種運(yùn)行模式。

高度模塊化設(shè)計，需求響應(yīng)迅速:系統(tǒng)管理控制臺、安全代理和總控中心均采用模塊化設(shè)計，并提供用戶設(shè)計、開發(fā)接口和示例，用戶可以根據(jù)企業(yè)的安全需求定制采購，同時也可以根據(jù)需求的變化，在運(yùn)行時動態(tài)改變其工作狀態(tài)，提高系統(tǒng)的運(yùn)行效率。

所有組件支持自動升級，系統(tǒng)維護(hù)方便、快捷:系統(tǒng)的主機(jī)代理及其功能模塊均支持基于版本號的網(wǎng)絡(luò)自動下載更新，只需要在總控中心一次部署即可以完成全網(wǎng)的自動升級。系統(tǒng)的維護(hù)和升級非常方便。

客戶端監(jiān)控代理安裝部署方式靈活、多樣: 內(nèi)網(wǎng)安全管理系統(tǒng)客戶端監(jiān)控代理同時支持域模式安裝、本地安裝、網(wǎng)絡(luò)分發(fā)安裝以及WEB安裝等多種安裝部署方式，用戶可以根據(jù)實(shí)際網(wǎng)絡(luò)環(huán)境自由選擇。

5.產(chǎn)品性能

內(nèi)網(wǎng)安全管理系統(tǒng)主要性能指標(biāo)如下：

? 總控中心最大并發(fā)連接數(shù)：3000；

? 總控中心最大可管理注冊主機(jī)數(shù)量：20000臺； ? 總控中心網(wǎng)絡(luò)帶寬占用：100K/1000客戶端； ? 終端監(jiān)控引擎CPU占用（靜態(tài)模式）：< 1%；

? 終端監(jiān)控引擎內(nèi)存占用（靜態(tài)模式）：8M。

6.產(chǎn)品部署

內(nèi)網(wǎng)安全管理系統(tǒng)支持本地部署和分級部署，分級部署示意圖如下：

圖 2分級部署示意圖

第二篇：產(chǎn)品白皮書_北信源內(nèi)網(wǎng)安全管理系統(tǒng)白皮書v2.0_北信源_20100403

北信源內(nèi)網(wǎng)安全管理系統(tǒng)

產(chǎn)品白皮書

北京北信源軟件股份有限公司

2010年4月

北信源內(nèi)網(wǎng)安全管理系統(tǒng)產(chǎn)品白皮書

版權(quán)聲明

本手冊的所有內(nèi)容，其版權(quán)屬于北京北信源軟件股份有限公司（以下簡稱北信源公司）所有，未經(jīng)北信源許可，任何人不得仿制、拷貝、轉(zhuǎn)譯或任意引用。本手冊沒有任何形式的擔(dān)保、立場傾向或其他暗示。

商標(biāo)聲明

本手冊中所談及的產(chǎn)品名稱僅做識別之用，而這些名稱可能屬于其他公司的注冊商標(biāo)或是版權(quán)，其他提到的商標(biāo)，均屬各該商標(biāo)注冊人所有，恕不逐一列明。

產(chǎn)品聲明

本手冊中提到的產(chǎn)品功能或性能可能因產(chǎn)品具體型號、配備環(huán)境、配置方法不同而有所差異，由此可能產(chǎn)生的差異為正?，F(xiàn)象，相關(guān)問題請咨詢北信源公司技術(shù)服務(wù)人員。

免責(zé)聲明

若因本手冊或其所提到的任何信息引起的直接或間接的資料流失、利益損失，北信源公司及其員工均不承擔(dān)任何責(zé)任。

北信源內(nèi)網(wǎng)安全管理系統(tǒng)產(chǎn)品白皮書

目錄

1.引言...........................................................................................................4 2.產(chǎn)品背景....................................................................................................5 3.產(chǎn)品架構(gòu)....................................................................................................6

3.1管理構(gòu)架.............................................................................................................................6

3.1.1局域網(wǎng)構(gòu)架..............................................................................................................6 3.1.2廣域網(wǎng)構(gòu)架..............................................................................................................8 3.2統(tǒng)一策略管理.....................................................................................................................8 3.3自身安全設(shè)計.....................................................................................................................9

4.產(chǎn)品功能..................................................................................................11

4.1終端基本管理功能...........................................................................................................11 4.2 IT資產(chǎn)管理功能..............................................................................................................13 4.3終端桌面管理功能...........................................................................................................15 4.4終端安全管理功能...........................................................................................................22 4.5主機(jī)運(yùn)維管理功能...........................................................................................................26 4.6非法外聯(lián)管理功能...........................................................................................................30 4.7補(bǔ)丁分發(fā)管理（可選）...................................................................................................31 4.8文件分發(fā)管理（可選）...................................................................................................37 4.9安全監(jiān)控審計功能...........................................................................................................39 4.10報表管理功能.................................................................................................................43 4.11事件報警管理.................................................................................................................45 4.12第三方接口管理.............................................................................................................46

5.產(chǎn)品運(yùn)行配置...........................................................................................46

5.1硬件配置...........................................................................................................................46 5.2軟件配置...........................................................................................................................47

6.關(guān)于北信源...............................................................................................48

6.1.6.2.公司簡介.....................................................................................................................48 聯(lián)系方式.....................................................................................................................49

北信源內(nèi)網(wǎng)安全管理系統(tǒng)產(chǎn)品白皮書

1.引言

終端桌面安全管理技術(shù)的興起是伴隨著網(wǎng)絡(luò)管理事務(wù)密集度的增加、網(wǎng)絡(luò)管理技術(shù)的逐步發(fā)展而衍生的，它同傳統(tǒng)安全防御體系的缺陷相關(guān)聯(lián)，是傳統(tǒng)網(wǎng)絡(luò)安全防范體系的補(bǔ)充，也是未來網(wǎng)絡(luò)安全防范體系重要的組成部分。因此，終端桌面安全管理技術(shù)無論在現(xiàn)在還是未來都應(yīng)當(dāng)歸入基礎(chǔ)體系網(wǎng)絡(luò)安全產(chǎn)品之列。

現(xiàn)代網(wǎng)絡(luò)安全管理體系的日臻完善，使得對網(wǎng)絡(luò)終端桌面安全管理的需求強(qiáng)烈凸現(xiàn)出來。正確、全面地認(rèn)識終端管理產(chǎn)品的發(fā)展趨勢和技術(shù)特點(diǎn)，是IT研發(fā)廠商面臨的發(fā)展抉擇，同時也是企、事業(yè)IT管理人員和高層決策人員在進(jìn)行終端桌面安全防護(hù)部署時必須考慮的議題。

近兩年的安全防御調(diào)查也表明，政府、企業(yè)以及金融證券等單位中超過80%的管理和安全問題來自終端，計算機(jī)終端廣泛涉及每個用戶，由于其分散、不被重視、安全手段缺乏的特點(diǎn)，已使得終端安全成為信息安全體系的薄弱環(huán)節(jié)。因此，網(wǎng)絡(luò)安全呈現(xiàn)出了新的發(fā)展趨勢，對于各政府企業(yè)網(wǎng)絡(luò)來說，安全戰(zhàn)場已經(jīng)逐步由核心與主干的防護(hù)，轉(zhuǎn)向網(wǎng)絡(luò)內(nèi)部的每一個終端。

北信源內(nèi)網(wǎng)安全管理系統(tǒng)產(chǎn)品白皮書

2.產(chǎn)品背景

提起網(wǎng)絡(luò)安全，人們自然就會想到網(wǎng)絡(luò)邊界安全，但實(shí)際情況是網(wǎng)絡(luò)的大部分安全風(fēng)險均來自于內(nèi)部。常規(guī)安全防御理念往往局限在網(wǎng)關(guān)級別、網(wǎng)絡(luò)邊界（防火墻、IDS、漏洞掃描）等方面，重要的安全設(shè)施大致集中于機(jī)房或網(wǎng)絡(luò)入口處，在這些設(shè)備的嚴(yán)密監(jiān)控下，來自網(wǎng)絡(luò)外部的安全威脅大大減小。相反，來自網(wǎng)絡(luò)內(nèi)部計算機(jī)終端的安全威脅卻是眾多安全管理人員所普遍面臨的棘手問題。

總結(jié)起來，政府機(jī)關(guān)和企業(yè)單位的內(nèi)部網(wǎng)絡(luò)管理大致面臨著以下一些常見問題：

? 如何發(fā)現(xiàn)終端設(shè)備的系統(tǒng)漏洞并自動分發(fā)補(bǔ)丁;? 如何有效解決移動存儲介質(zhì)使用管理問題;? 如何有效解決終端隨意接入網(wǎng)絡(luò)問題;? 如何防范內(nèi)網(wǎng)設(shè)備非法外聯(lián);? 如何管理終端資產(chǎn)，保障網(wǎng)絡(luò)設(shè)備正常運(yùn)行;? 如何在全網(wǎng)制訂統(tǒng)一的安全策略;? 如何及時發(fā)現(xiàn)網(wǎng)絡(luò)中占用帶寬最大的終端;? 如何方便地進(jìn)行遠(yuǎn)程點(diǎn)對點(diǎn)維護(hù);? 如何防范內(nèi)部敏感信息的泄露;? 如何對原有終端應(yīng)用軟件進(jìn)行統(tǒng)一監(jiān)控、管理;? 如何快速有效地定位網(wǎng)絡(luò)中病毒、蠕蟲、黑客的引入點(diǎn)，及時、準(zhǔn)確地切斷安全事件發(fā)生點(diǎn)和網(wǎng)絡(luò);? 如何構(gòu)架功能強(qiáng)大的統(tǒng)一網(wǎng)絡(luò)安全報警處置平臺，進(jìn)行安全事件響應(yīng)和事件查詢，全面管理網(wǎng)絡(luò)資源。

這些終端安全隱患隨時隨地都可能威脅到用戶網(wǎng)絡(luò)的正常運(yùn)行。針對如上系列問題北信源公司提供領(lǐng)先業(yè)界的內(nèi)網(wǎng)安全管理產(chǎn)品及解決方案。

北信源內(nèi)網(wǎng)安全管理系統(tǒng)產(chǎn)品白皮書

3.產(chǎn)品架構(gòu)

北信源內(nèi)網(wǎng)安全管理系統(tǒng)遵循網(wǎng)絡(luò)防護(hù)和端點(diǎn)防護(hù)并重理念，對網(wǎng)絡(luò)安全管理人員在網(wǎng)絡(luò)管理、終端管理過程中所面臨的種種問題提供解決方案，實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)終端的可控管理，并能夠支持多級級聯(lián)廣域網(wǎng)構(gòu)架，達(dá)到最佳的管理效果。

北信源內(nèi)網(wǎng)安全管理系統(tǒng)強(qiáng)化了對網(wǎng)絡(luò)計算機(jī)終端狀態(tài)、行為以及事件的管理，它提供了防火墻、IDS、防病毒系統(tǒng)、專業(yè)網(wǎng)管軟件所不能提供的防護(hù)功能，對它們管理的盲區(qū)進(jìn)行監(jiān)控，擴(kuò)展成為一個實(shí)時的可控內(nèi)網(wǎng)管理平臺，并能夠同其它安全設(shè)備進(jìn)行安全集成和報警聯(lián)動。

北信源內(nèi)網(wǎng)安全管理系統(tǒng)可分為五個軟件功能包，全方位地為網(wǎng)絡(luò)用戶提供安全管理功能。這五個軟件包具體為：基本產(chǎn)品包、終端桌面管理產(chǎn)品包、終端安全管理產(chǎn)品包、網(wǎng)絡(luò)主機(jī)運(yùn)維產(chǎn)品包、非法外聯(lián)管理產(chǎn)品包。

3.1管理構(gòu)架 3.1.1局域網(wǎng)構(gòu)架

對于一般網(wǎng)絡(luò)（例如1個C類地址或若干個C類地址的局域網(wǎng)范圍），可使用一套本系統(tǒng)軟件，集中管理所屬區(qū)域內(nèi)的所有設(shè)備。

本系統(tǒng)在網(wǎng)絡(luò)中安裝數(shù)據(jù)庫，用于存儲網(wǎng)絡(luò)客戶端設(shè)備信息。當(dāng)上述系統(tǒng)數(shù)據(jù)庫、網(wǎng)頁管理平臺、區(qū)域管理器安裝完畢后，即可對網(wǎng)絡(luò)中客戶端進(jìn)行注冊。用戶在取得注冊程序，執(zhí)行后添加計算機(jī)使用信息，如使用人姓名、單位、聯(lián)系方式等，注冊程序自動采集系統(tǒng)的硬件設(shè)備信息，經(jīng)過區(qū)域管理器處理后存入數(shù)據(jù)庫，同時區(qū)域管理器將代理駐留程序發(fā)送到計算機(jī)終端，實(shí)時運(yùn)行。通過探頭、區(qū)域掃描器等對計算機(jī)的網(wǎng)絡(luò)連接行為實(shí)施探測，根據(jù)需要發(fā)送本機(jī)缺少的相關(guān)系統(tǒng)補(bǔ)丁、安全策略、命令或文件等，在遇到數(shù)據(jù)庫中定義的非法行為時實(shí)施阻斷。

系統(tǒng)正常運(yùn)行后，主要通過網(wǎng)頁WEB管理平臺來對整個計算機(jī)設(shè)備信息系統(tǒng)

北信源內(nèi)網(wǎng)安全管理系統(tǒng)產(chǎn)品白皮書

進(jìn)行配置管理，在網(wǎng)絡(luò)內(nèi)設(shè)置區(qū)域管理器、掃描器IP地址。對于一般網(wǎng)絡(luò)(如1個C類地址或若干個C類地址的局域網(wǎng)范圍)適用一套本系統(tǒng)，集中管理所屬區(qū)域內(nèi)的設(shè)備。對于大規(guī)模的多個局域網(wǎng)或者跨地域的廣域網(wǎng)，提供多區(qū)域集中管理模式，即下級管理系統(tǒng)可將本級所有設(shè)備信息再傳遞給上級管理數(shù)據(jù)庫，使得上一級管理人員對整個網(wǎng)絡(luò)的設(shè)備狀況能夠完全掌握。

設(shè)備管理信息系統(tǒng)的配置，要根據(jù)網(wǎng)絡(luò)客戶端規(guī)模、網(wǎng)絡(luò)管理實(shí)際情況來選擇。可以在網(wǎng)絡(luò)中安裝多個區(qū)域管理器，區(qū)域管理器只負(fù)責(zé)一定范圍內(nèi)的客戶端，對于該范圍以外的客戶端，不予以處理；每個區(qū)域管理器下屬多個掃描器，提供對本區(qū)域網(wǎng)絡(luò)的分段掃描，及時檢查該網(wǎng)絡(luò)客戶端注冊情況。

Internet補(bǔ)丁下載服務(wù)器物理隔離中央管理配置平臺數(shù)據(jù)交換指令下達(dá)數(shù)據(jù)交換補(bǔ)丁增量導(dǎo)入管理信息庫補(bǔ)丁分析模塊指令、策略獲取狀態(tài)、數(shù)據(jù)上報補(bǔ)丁獲取區(qū)域掃描器指令下達(dá)數(shù)據(jù)交換區(qū)域管理器A.注冊B.驗(yàn)證C.管理D.補(bǔ)丁獲取級聯(lián)A.掃描發(fā)現(xiàn)B.阻斷違規(guī)客戶端（安裝客戶端程序）系統(tǒng)邏輯圖

下級區(qū)域管理器7

北信源內(nèi)網(wǎng)安全管理系統(tǒng)產(chǎn)品白皮書

3.1.2廣域網(wǎng)構(gòu)架

對于大規(guī)模的多個局域網(wǎng)或者跨地域廣域網(wǎng)（包括基于國家、省、市、縣等多級管理模式的網(wǎng)絡(luò)結(jié)構(gòu)），可使用本系統(tǒng)提供的多區(qū)域級聯(lián)集中管理構(gòu)架，即一個或多個網(wǎng)段各擁有一套獨(dú)立的北信源內(nèi)網(wǎng)安全管理系統(tǒng)的同時，將本級的統(tǒng)計和報警信息轉(zhuǎn)發(fā)給上級管理系統(tǒng)，上一級管理人員對整個網(wǎng)絡(luò)的狀況也能夠完全掌握。

多級級聯(lián)集中管理構(gòu)架

3.2統(tǒng)一策略管理

北信源內(nèi)網(wǎng)安全管理系統(tǒng)采用統(tǒng)一策略管理中心實(shí)現(xiàn)對內(nèi)部網(wǎng)絡(luò)終端的統(tǒng)一安全管理。策略管理中心內(nèi)置終端安全防護(hù)需要的所有安全管理參數(shù)，提供對計算機(jī)終端的安全規(guī)則配置、安全功能策略開啟/關(guān)閉、安全策略執(zhí)行范圍/周期設(shè)定等一系列安全措施的管理。

北信源內(nèi)網(wǎng)安全管理系統(tǒng)內(nèi)置安全策略分為全局策略、本地策略、備份策略三種，管理員通過屬性設(shè)置決定其類型。

北信源內(nèi)網(wǎng)安全管理系統(tǒng)產(chǎn)品白皮書

統(tǒng)一策略管理圖

3.3自身安全設(shè)計

1．分級管理：系統(tǒng)支持對管理員分級管理，實(shí)現(xiàn)不同管理員管理不同內(nèi)容,可分為授權(quán)、管理和審計等多種角色劃分，具有安全性高、可靠性強(qiáng)的特點(diǎn)，適合集中授權(quán)、多角色參與監(jiān)控的管理模式。

2．通信保護(hù)：系統(tǒng)的組件間通信時，數(shù)據(jù)傳輸是經(jīng)過加密的，客戶端和服務(wù)器端相互通信使用雙向認(rèn)證機(jī)制，防止已安裝同類客戶端的非本網(wǎng)絡(luò)計算機(jī)非法進(jìn)入網(wǎng)絡(luò)，同時也防止模擬的假客戶端和服務(wù)器進(jìn)行通信。

3．客戶端軟件強(qiáng)保護(hù)機(jī)制：系統(tǒng)的客戶端系統(tǒng)具有自我防護(hù)機(jī)制，防止用戶隨意停止、卸載。

4．服務(wù)器安全設(shè)計：服務(wù)器系統(tǒng)具備保護(hù)服務(wù)器功能。保證管理系統(tǒng)服務(wù)器端使用的安全性，保證其受到惡意修改IP地址的方式攻擊時仍可正常工作,網(wǎng)絡(luò)中出現(xiàn)惡意修改成與管理服務(wù)器相同屬性（如相同的IP地址、相同的MAC地址等）的機(jī)器時，出現(xiàn)IP地址或MAC地址沖突等現(xiàn)象時，管理服務(wù)器將不會

北信源內(nèi)網(wǎng)安全管理系統(tǒng)產(chǎn)品白皮書

被阻斷出網(wǎng)（即不會出現(xiàn)地址沖突的現(xiàn)象），只有發(fā)起惡意攻擊的設(shè)備才會被自動阻斷，不會影響管理服務(wù)器的正常管理。

5．提供系統(tǒng)審計員、系統(tǒng)管理員、系統(tǒng)操作員三權(quán)分立的權(quán)限管理體系。6．系統(tǒng)日志：系統(tǒng)提供運(yùn)行審計和操作審計機(jī)制，保證系統(tǒng)的穩(wěn)定運(yùn)行。

北信源內(nèi)網(wǎng)安全管理系統(tǒng)產(chǎn)品白皮書

4.產(chǎn)品功能

4.1終端基本管理功能

1.終端注冊管理

系統(tǒng)采用C/S和B/S模式混合管理方式，在被管理的桌面計算機(jī)上安裝VRVEDP客戶端程序。在安裝客戶端程序需要填寫當(dāng)前計算機(jī)使用人的個人相關(guān)信息，如使用人、單位、部門、聯(lián)系電話、郵件、所在地、計算機(jī)類型等，進(jìn)行實(shí)名化的管理便于快速定位，無論是違規(guī)，還是網(wǎng)絡(luò)安全事件發(fā)生時都可以快速定位到事件源。

個人信息填寫

填寫的個人相關(guān)信息會上報到服務(wù)器，保存在后臺數(shù)據(jù)庫里，供前臺管理平臺查詢。

系統(tǒng)注冊信息填寫頁可以由用戶自己自由選擇設(shè)定，可以設(shè)定顯示的注冊內(nèi)容項(xiàng)、標(biāo)題項(xiàng)、是否啟用、是否必填、是否為選擇性填充等，并可以設(shè)定擴(kuò)充選項(xiàng)，提供給不用需求的用戶進(jìn)行選擇性注冊管理。

北信源內(nèi)網(wǎng)安全管理系統(tǒng)產(chǎn)品白皮書

用戶填寫項(xiàng)自由設(shè)定頁面

2.IP和MAC綁定管理

對固定IP網(wǎng)絡(luò)的MAC和IP地址進(jìn)行綁定管理，系統(tǒng)探測到IP變化后根據(jù)策略設(shè)置恢復(fù)其原有IP地址，或者阻斷其聯(lián)網(wǎng)，同時禁止修改網(wǎng)關(guān)、禁用冗余網(wǎng)卡。

3.禁止修改網(wǎng)關(guān)、禁用冗余網(wǎng)卡管理

系統(tǒng)支持禁止修改網(wǎng)關(guān)、禁用冗余網(wǎng)卡等功能。4.未注冊終端拒絕入網(wǎng)管理（軟阻斷技術(shù)）

系統(tǒng)采取對未注冊終端Arp阻斷管理：對于接入網(wǎng)絡(luò)未注冊終端進(jìn)行Arp

北信源內(nèi)網(wǎng)安全管理系統(tǒng)產(chǎn)品白皮書

阻斷，禁止其聯(lián)網(wǎng)。

4.2 IT資產(chǎn)管理功能

1.硬件資產(chǎn)管理

自動搜集包括CPU、內(nèi)存、硬盤分區(qū)總和、設(shè)備標(biāo)識的大小和其他詳細(xì)信息以及其他如主板、光驅(qū)、軟驅(qū)、顯卡、鍵盤、鼠標(biāo)、監(jiān)視器、紅外設(shè)備、鍵盤等所有的硬件信息。

網(wǎng)管可自主添加相關(guān)的附加信息。

2.軟件資產(chǎn)管理

自動發(fā)現(xiàn)識別客戶端安裝的所有軟件信息（名稱、版本、安裝時間、發(fā)現(xiàn)時間等），將相關(guān)數(shù)據(jù)入庫，檢測客戶端運(yùn)行軟件信息，供管理員在Web控制臺查詢。

北信源內(nèi)網(wǎng)安全管理系統(tǒng)產(chǎn)品白皮書

軟件資源統(tǒng)一監(jiān)控：自動收集安裝在每臺計算機(jī)上的每種應(yīng)用程序信息，包括安裝的操作系統(tǒng)種類、版本號以及當(dāng)前補(bǔ)丁情況、客戶機(jī)安裝的軟件等信息和驅(qū)動程序情況，并進(jìn)行匯總管理。

系統(tǒng)能夠及時檢測主機(jī)軟件信息變化情況。

根據(jù)條件查詢客戶機(jī)安裝的軟件或指定軟件被哪些客戶端安裝等信息。3.軟、硬件設(shè)備信息變更管理

報警未注冊設(shè)備、注冊程序卸載行為，實(shí)時檢測硬件設(shè)備變化情況（如設(shè)備硬件變化、網(wǎng)絡(luò)地址更改、USB設(shè)備接入等）。

北信源內(nèi)網(wǎng)安全管理系統(tǒng)產(chǎn)品白皮書

4.3終端桌面管理功能

1.進(jìn)程運(yùn)行黑白名單控制

對進(jìn)程執(zhí)行進(jìn)行黑白名單控制，即根據(jù)策略設(shè)定禁止執(zhí)行的進(jìn)程和必須執(zhí)行的進(jìn)程。對違規(guī)的客戶端進(jìn)行客戶端提示和斷網(wǎng)處理等相應(yīng)措施。

2.進(jìn)程保護(hù)管理

對重要的進(jìn)程進(jìn)行守護(hù)，防止由于意外或人為原因造成重要進(jìn)程中斷。

北信源內(nèi)網(wǎng)安全管理系統(tǒng)產(chǎn)品白皮書

3.進(jìn)程執(zhí)行匯總

統(tǒng)一匯總和監(jiān)視網(wǎng)絡(luò)各終端的進(jìn)程，可以增量式的顯示網(wǎng)絡(luò)中新出現(xiàn)的進(jìn)程，也可統(tǒng)計網(wǎng)絡(luò)中最常運(yùn)行的進(jìn)程，從而統(tǒng)計出網(wǎng)絡(luò)客戶端軟件的使用情況。此系統(tǒng)可對網(wǎng)絡(luò)中出現(xiàn)的異常進(jìn)程（很可能病毒進(jìn)程）進(jìn)行定位和報警，在必要時可直接阻斷。

4.終端服務(wù)管理

查詢當(dāng)前終端運(yùn)行的服務(wù)，可以遠(yuǎn)程關(guān)閉或開啟服務(wù)。

5.軟件黑白名單控制

對軟件安裝進(jìn)行黑白名單控制，即根據(jù)策略設(shè)定禁止安裝的軟件和必須安裝的軟件。違規(guī)軟件禁止安裝功能，禁止在注冊表Run項(xiàng)里添加自啟動項(xiàng)，禁止在注冊表Services項(xiàng)里添加自啟動項(xiàng)，禁止在程序啟動項(xiàng)中添加項(xiàng)，禁止在程序項(xiàng)中添加快捷方式限制違規(guī)軟件的安裝，所有安裝軟件均可進(jìn)行審計。

北信源內(nèi)網(wǎng)安全管理系統(tǒng)產(chǎn)品白皮書

6.軟件安裝匯總

系統(tǒng)能夠?qū)λ惭b的軟件進(jìn)行統(tǒng)計匯總，并能將匯總情況統(tǒng)計生成報表，支持多種報表導(dǎo)出方式。

7.終端消息推送

可精確地對選定的對象或個人進(jìn)行消息傳送，而不依賴于Windows自身的信使服務(wù)功能，系統(tǒng)還提供多種策略模式傳送消息。

北信源內(nèi)網(wǎng)安全管理系統(tǒng)產(chǎn)品白皮書

8.遠(yuǎn)程協(xié)助

當(dāng)客戶端用戶以及服務(wù)器用戶在使用計算機(jī)時遇到難以解決的問題，可以通過訪問特定網(wǎng)頁式，主動向多個網(wǎng)管工作臺（可自主選擇的）進(jìn)行并發(fā)協(xié)助請求呼叫，呼叫網(wǎng)管對其進(jìn)行遠(yuǎn)程協(xié)助。當(dāng)管理員接收到客戶端的請求可以后，調(diào)用遠(yuǎn)程客戶端的桌面，幫助客戶端用戶解決相應(yīng)的問題。

呼叫中心示意圖

管理員是否接受請求示意圖

管理員接收請求后，系統(tǒng)將自動調(diào)用遠(yuǎn)程計算機(jī)的桌面，就如同管理員親自到現(xiàn)場，進(jìn)行軟件安裝、軟件調(diào)試、系統(tǒng)維護(hù)、打印機(jī)安裝等工作，省去管理員 來回現(xiàn)場和辦公室之間的時間，提高了系統(tǒng)維護(hù)的效率和管理員的工作效率。

北信源內(nèi)網(wǎng)安全管理系統(tǒng)產(chǎn)品白皮書

9.外設(shè)及端口控制

系統(tǒng)可以設(shè)置受控主機(jī)允許或禁止使用USB設(shè)備、串口、并口、軟驅(qū)、光驅(qū)、紅外設(shè)備、藍(lán)牙設(shè)備、網(wǎng)絡(luò)設(shè)備（無線網(wǎng)卡、網(wǎng)卡、PCMCIA）、1394接口、打印設(shè)備。系統(tǒng)采用硬件設(shè)備驅(qū)動級的禁用方式實(shí)現(xiàn)對上述設(shè)備的禁用。

10.垃圾文件清理

管理員可在Web控制臺對終端用戶某一文件夾下或全盤某些后綴的垃圾文件或臨時文件進(jìn)行集中清理。

目前的系統(tǒng)臨時文件眾多，而絕大部分業(yè)務(wù)用戶均不會手動清除大量的臨時文件，這樣會占用大量的硬盤資源，因此需要靠第三方系統(tǒng)主動的對其加以清理。

系統(tǒng)可協(xié)助用戶維護(hù)（指定目錄下的）臨時文件、備份文件、幫助的歷史文件、IE臨時文件、安裝臨時文件、異常臨時文件等各種應(yīng)刪除的文件。

北信源內(nèi)網(wǎng)安全管理系統(tǒng)產(chǎn)品白皮書

11.終端點(diǎn)對點(diǎn)管理

系統(tǒng)管理員可通過系統(tǒng)以點(diǎn)對點(diǎn)的方式對客戶端進(jìn)行詳細(xì)的監(jiān)控審計，具體包括以下內(nèi)容：

（1）硬件資產(chǎn)清單：自動搜集包括CPU、內(nèi)存、硬盤分區(qū)總和、設(shè)備標(biāo)識的大小和其他詳細(xì)信息以及其他如主板、光驅(qū)、軟驅(qū)、顯卡、鍵盤、鼠標(biāo)、監(jiān)視器、紅外設(shè)備、鍵盤等所有的硬件信息；網(wǎng)管可自主添加相關(guān)的附加信息。（2）安裝軟件查詢：查詢設(shè)備所有安裝的軟件。

（3）終端進(jìn)程管理：查詢當(dāng)前終端所有運(yùn)行的進(jìn)程，并可通過系統(tǒng)關(guān)閉非系統(tǒng)進(jìn)程。

（4）終端服務(wù)管理：查詢當(dāng)前終端運(yùn)行的服務(wù)，可以遠(yuǎn)程關(guān)閉或開啟服務(wù)。（5）終端流量查詢：包括當(dāng)前與網(wǎng)絡(luò)連接的進(jìn)程及其流量的統(tǒng)計。（6）系統(tǒng)運(yùn)行資源查看：具體包括：CPU頻率和使用率、內(nèi)存大小和使用率、系統(tǒng)各硬盤分區(qū)大小和使用情況。

（7）補(bǔ)丁查詢：查看系統(tǒng)漏打的補(bǔ)丁。

（8）日志查詢：查看終端的系統(tǒng)日志、安全日志和應(yīng)用程序日志。（9）終端安全審計：查看用戶的登錄、歷史記錄、下載信息等各種信息。（10）消息通知：向用戶發(fā)送消息，并可要求用戶進(jìn)行消息回饋。（11）遠(yuǎn)程運(yùn)行進(jìn)程：可遠(yuǎn)程加載進(jìn)程。（12）共享目錄檢查：檢查當(dāng)前終端的共享目錄。

北信源內(nèi)網(wǎng)安全管理系統(tǒng)產(chǎn)品白皮書

（13）修改網(wǎng)絡(luò)配置：可查看網(wǎng)絡(luò)終端的IP、MAC、子網(wǎng)掩碼和網(wǎng)關(guān)信息，并可遠(yuǎn)程修改用戶的IP地址。（14）遠(yuǎn)程卸載客戶端程序。

（15）遠(yuǎn)程斷開/恢復(fù)網(wǎng)絡(luò)終端的網(wǎng)絡(luò)。（16）遠(yuǎn)程重新啟動計算機(jī)。

12.系統(tǒng)自動關(guān)機(jī)管理

北信源內(nèi)網(wǎng)安全管理系統(tǒng)產(chǎn)品白皮書

對客戶端關(guān)機(jī)時間的設(shè)定，實(shí)現(xiàn)自動關(guān)機(jī)，并可以在發(fā)現(xiàn)計算機(jī)空閑時間過長時鎖屏或關(guān)機(jī)。

13.終端時間同步管理

所有客戶端時間的同步，防止擅自修改系統(tǒng)時間。

4.4終端安全管理功能

1.桌面密碼權(quán)限管理

對終端的密碼管理權(quán)限變化及使用狀況（包括密碼長度、安全性、弱口令等方面）進(jìn)行審計檢查及報警，同時對不符合要求的終端進(jìn)行提示或強(qiáng)制修改等處置，達(dá)到防止病毒及黑客入侵的目的。

北信源內(nèi)網(wǎng)安全管理系統(tǒng)產(chǎn)品白皮書

2.終端統(tǒng)一防火墻

管理員在Web控制臺對終端進(jìn)行統(tǒng)一的防火墻設(shè)置，對網(wǎng)絡(luò)IP及協(xié)議訪問進(jìn)行限制，在網(wǎng)絡(luò)內(nèi)建立虛擬的終端隔離區(qū)。

另外對于大型網(wǎng)絡(luò)，網(wǎng)絡(luò)客戶端由于用戶使用水平的差別，會出現(xiàn)用戶卸載甚至退出統(tǒng)一安裝的防病毒軟件的情況，也會出現(xiàn)有個別用戶被遺漏，未安裝防病毒軟件的情況。

管理員可利用Web控制臺對終端所安裝的殺毒軟件情況進(jìn)行監(jiān)控和管理，并能夠?qū)K端殺毒軟件實(shí)施遠(yuǎn)程操作（病毒查殺、升級、軟件安裝等）。還可統(tǒng)一監(jiān)控網(wǎng)絡(luò)內(nèi)的防病毒軟件（國內(nèi)主流廠商的均可）安裝情況和使用狀態(tài)，了解網(wǎng)絡(luò)中的病毒軟件安裝狀況，必要時可通過此系統(tǒng)強(qiáng)制為客戶端安裝防病毒程序，如果需要，此系統(tǒng)也可監(jiān)控終端軟件的安裝情況，并進(jìn)行相應(yīng)的管理（如安裝殺毒軟件軟件，強(qiáng)行升級病毒庫、自動分發(fā)并自動執(zhí)行病毒專殺工具等）。

北信源內(nèi)網(wǎng)安全管理系統(tǒng)產(chǎn)品白皮書

3.終端殺毒軟件管理

可統(tǒng)一審計網(wǎng)絡(luò)內(nèi)終端的防病毒軟件（主流廠商的均可）安裝和使用情況，必要時可強(qiáng)制為客戶端安裝防病毒程序。如果需要，也可監(jiān)控終端防病毒軟件的安裝情況，并進(jìn)行相應(yīng)的管理（如安裝殺毒軟件軟件，強(qiáng)行升級病毒庫、自動分發(fā)并自動執(zhí)行病毒專殺工具等）。

北信源內(nèi)網(wǎng)安全管理系統(tǒng)產(chǎn)品白皮書

4.注冊表監(jiān)控/保護(hù)

系統(tǒng)提供注冊表檢查功能，對于病毒行為修改的注冊表，可以通過強(qiáng)制注冊表策略對其進(jìn)行操作，可以自動創(chuàng)建、刪除、修改相應(yīng)的注冊表鍵值，實(shí)現(xiàn)注冊表安全管理。

系統(tǒng)可屏蔽選定用戶計算機(jī)的一些程序進(jìn)程對注冊表的使用，通過該策略可以有效的防止違規(guī)進(jìn)程對用戶注冊表的破壞。

北信源內(nèi)網(wǎng)安全管理系統(tǒng)產(chǎn)品白皮書

5.終端在線/離線策略管理

系統(tǒng)可以針對不同的網(wǎng)絡(luò)接入情況，設(shè)定終端的在線、離線策略。當(dāng)終端處于不同的網(wǎng)絡(luò)中，可以實(shí)現(xiàn)不同的執(zhí)行策略。

4.5主機(jī)運(yùn)維管理功能

1.運(yùn)行資源監(jiān)控

在Web控制臺對終端的CPU、內(nèi)存、硬盤的資源占用率和剩余空間進(jìn)行監(jiān)控，設(shè)定危險等級報警閥門。

北信源內(nèi)網(wǎng)安全管理系統(tǒng)產(chǎn)品白皮書

2.流量管理和控制

蠕蟲病毒和BT下載等行為在很多情況下會嚴(yán)重占用網(wǎng)絡(luò)帶寬，造成網(wǎng)絡(luò)的擁塞甚至癱瘓，對此可利用本系統(tǒng)進(jìn)行流量的管理與監(jiān)控。主要功能：

? 流量采樣閾值設(shè)定：用戶自主設(shè)定采樣閾值，當(dāng)流量（含出、入或總流量）超過一定限度并持續(xù)一定時間后，進(jìn)行有關(guān)信息上報，防止上報數(shù)據(jù)過多給網(wǎng)絡(luò)帶來負(fù)擔(dān)。

? 上報的當(dāng)前流量進(jìn)行匯總，對當(dāng)前的流量進(jìn)行時實(shí)排序，以便網(wǎng)絡(luò)管理人員進(jìn)行快速分析是否是網(wǎng)絡(luò)安全事故。

? 對網(wǎng)絡(luò)客戶端的歷史流量進(jìn)行統(tǒng)計和排序，并可生成報表。? 對并發(fā)連接數(shù)設(shè)定閾值并進(jìn)行采樣。? 對網(wǎng)絡(luò)掃描的可疑行為進(jìn)行閾值設(shè)定和報警。? 對客戶端大量發(fā)包的可疑行為進(jìn)行閾值設(shè)定和報警。

? 對具備可疑行為的客戶端進(jìn)行報警上報、自動阻斷、客戶端提示等管理。? 設(shè)定網(wǎng)絡(luò)客戶端流量上限閾值，對超過的進(jìn)行報警上報、自動阻斷、客戶端提示等管理。

北信源內(nèi)網(wǎng)安全管理系統(tǒng)產(chǎn)品白皮書

3.流量異常監(jiān)控

在Web控制臺對終端的網(wǎng)絡(luò)流入、流出和總流量進(jìn)行監(jiān)控和管理。并能夠?qū)Ξa(chǎn)生總流量過大、分時段瞬時流量過大的進(jìn)程進(jìn)行統(tǒng)計，輔助分析產(chǎn)生流量過大的原因。

4.進(jìn)程異常監(jiān)控

在Web控制臺對終端未響應(yīng)窗口進(jìn)行監(jiān)控并結(jié)束或重啟該進(jìn)程，對意外退出的進(jìn)程進(jìn)行監(jiān)控和保護(hù)。

北信源內(nèi)網(wǎng)安全管理系統(tǒng)產(chǎn)品白皮書

5.客戶端文件備份

針對終端計算機(jī)進(jìn)行數(shù)據(jù)實(shí)時備份，將本機(jī)計算機(jī)目錄文件數(shù)據(jù)實(shí)時或定時備份到數(shù)據(jù)服務(wù)器或其它計算機(jī)上存儲。針對局域網(wǎng)服務(wù)器數(shù)據(jù)存儲等提供安全數(shù)據(jù)同步備份解決方案。

北信源內(nèi)網(wǎng)安全管理系統(tǒng)產(chǎn)品白皮書

4.6非法外聯(lián)管理功能

1.網(wǎng)絡(luò)內(nèi)部終端非法外聯(lián)互聯(lián)網(wǎng)行為監(jiān)控

終端非法外聯(lián)互聯(lián)網(wǎng)行為監(jiān)控：對于已注冊的設(shè)備，通過不同方式（如雙網(wǎng)卡、代理等）連接互聯(lián)網(wǎng)進(jìn)行的通訊，系統(tǒng)能夠自動阻斷其連接行為并報警。

2.網(wǎng)絡(luò)內(nèi)部終端非法接入其它網(wǎng)絡(luò)行為監(jiān)控

對于已注冊的設(shè)備，監(jiān)控其網(wǎng)絡(luò)連接行為，根據(jù)接入網(wǎng)絡(luò)環(huán)境因素判定其是否非法接入其它網(wǎng)絡(luò)（同上圖）。

3.離網(wǎng)終端非法外聯(lián)互聯(lián)網(wǎng)行為監(jiān)控

對于已經(jīng)注冊的計算機(jī)，非法帶出到另外一個網(wǎng)絡(luò)的行為進(jìn)行監(jiān)控，發(fā)現(xiàn)有外聯(lián)互聯(lián)網(wǎng)行為時可以采取警告、阻斷、自動關(guān)機(jī)等操作（同上圖）。

4.非法外聯(lián)行為告警和網(wǎng)絡(luò)鎖定

如果終端非法入網(wǎng)，可以在報警平臺和報警查詢處獲知信息，并且可以對終端提示信息，自動關(guān)機(jī)，阻斷聯(lián)網(wǎng)等處理（同上圖）。

5.非法外聯(lián)行為取證

對于非法外聯(lián)行為進(jìn)行實(shí)時告警功能，同時記錄該行為發(fā)生的事件、IP地址、MAC地址、使用人等相關(guān)信息上報到服務(wù)器進(jìn)行記錄取證。

北信源內(nèi)網(wǎng)安全管理系統(tǒng)產(chǎn)品白皮書

4.7補(bǔ)丁分發(fā)管理（可選）

系統(tǒng)功能概述

北信源補(bǔ)丁分發(fā)管理系統(tǒng)是北信源公司在為國家各大部委機(jī)關(guān)、各大行業(yè)網(wǎng)絡(luò)用戶進(jìn)行病毒安全服務(wù)、總結(jié)安全運(yùn)營保障經(jīng)驗(yàn)的基礎(chǔ)上，分析當(dāng)前網(wǎng)絡(luò)客戶端實(shí)際安全管理要求研發(fā)的，系統(tǒng)支持推、拉兩種方式自動下載補(bǔ)丁。整個補(bǔ)丁管理運(yùn)行平臺構(gòu)架是：通過北信源外網(wǎng)補(bǔ)丁下載服務(wù)器及時從補(bǔ)丁廠商網(wǎng)站獲取最新補(bǔ)??；補(bǔ)丁安全測試后，通過補(bǔ)丁分發(fā)管理中心服務(wù)器對網(wǎng)絡(luò)用戶進(jìn)行分發(fā)安裝；補(bǔ)丁安裝支持自動和手動兩種方式。

......北信源補(bǔ)丁管理中心(二級)級聯(lián)同步補(bǔ)丁增量導(dǎo)入北信源補(bǔ)丁管理中心(二級)級聯(lián)同步北信源補(bǔ)丁中心(一級)補(bǔ)丁庫分類補(bǔ)丁測試策略控制推拉分發(fā)控制流量控制補(bǔ)丁分發(fā)檢索多級級聯(lián)控制客戶補(bǔ)丁查詢動態(tài)下載轉(zhuǎn)發(fā)代理自動測試組(真實(shí)環(huán)境)客戶端 補(bǔ)丁自動識別客戶端策略報表中心補(bǔ)丁監(jiān)控功能

系統(tǒng)可監(jiān)控管理網(wǎng)絡(luò)補(bǔ)丁狀況，其具體功能如下： 1.補(bǔ)丁索引的適應(yīng)和擴(kuò)展性

內(nèi)網(wǎng)安全管理系統(tǒng)具有良好的兼容性，支持主流操作系統(tǒng)，如Windows2003、Windows2000 Pro、Windows 2000 Server、Windows Pro、Windows XP home、Windows、Windwos9X等。

因?yàn)檠a(bǔ)丁索引文件為北信源自主開發(fā)，補(bǔ)丁索引的結(jié)構(gòu)具備可擴(kuò)展性和可編輯性，索引的結(jié)構(gòu)和定義除了可以支持微軟補(bǔ)丁外，還可以支持非微軟系統(tǒng)補(bǔ)丁、各種數(shù)據(jù)庫補(bǔ)丁，甚至可以支持各種用戶應(yīng)用程序的更新補(bǔ)丁。

北信源內(nèi)網(wǎng)安全管理系統(tǒng)產(chǎn)品白皮書

補(bǔ)丁索引編輯界面

2.補(bǔ)丁下載檢測和增量式導(dǎo)入功能

對于物理隔離的內(nèi)部網(wǎng)絡(luò)，其內(nèi)部的補(bǔ)丁升級服務(wù)器中的補(bǔ)丁數(shù)據(jù)必須從外部導(dǎo)入，巨大的補(bǔ)丁數(shù)據(jù)庫使得每次補(bǔ)丁導(dǎo)入相當(dāng)煩瑣。為此，北信源使用增量式補(bǔ)丁分離技術(shù)，在外網(wǎng)導(dǎo)出補(bǔ)丁時，可分離出內(nèi)網(wǎng)已經(jīng)安裝的補(bǔ)丁，只導(dǎo)入內(nèi)網(wǎng)尚未安裝的系統(tǒng)補(bǔ)丁，即僅對內(nèi)網(wǎng)的補(bǔ)丁進(jìn)行“增量式”的升級，以提高效率。

當(dāng)有新的計算機(jī)補(bǔ)丁公布可以下載后，北信源公司由專門的人員在第一時間內(nèi)獲得，并進(jìn)行相應(yīng)的分析，更新補(bǔ)丁索引文件。

系統(tǒng)擁有專門的外網(wǎng)補(bǔ)丁下載服務(wù)器，能根據(jù)索引自動下載新增的計算機(jī)補(bǔ)丁，補(bǔ)丁校驗(yàn)功能對所下載的補(bǔ)丁進(jìn)行校驗(yàn)，保證計算機(jī)補(bǔ)丁的可靠性、完整性、安全性。

補(bǔ)丁在導(dǎo)入時并具有病毒檢測功能，保證導(dǎo)入到補(bǔ)丁庫中的補(bǔ)丁不被病毒感染。

3.補(bǔ)丁安全自動測試功能

用戶的真實(shí)環(huán)境中，可能會包含特殊的應(yīng)用或特殊的軟件版本，在這些環(huán)境

北信源內(nèi)網(wǎng)安全管理系統(tǒng)產(chǎn)品白皮書

中，有時會出現(xiàn)打補(bǔ)丁后系統(tǒng)或應(yīng)用異常的情況，所以在大規(guī)模補(bǔ)丁分發(fā)前需要進(jìn)行真實(shí)環(huán)境的補(bǔ)丁測試。北信源系統(tǒng)獨(dú)創(chuàng)了真實(shí)環(huán)境閉環(huán)測試技術(shù)，具體的流程是首先由網(wǎng)管選定某些計算機(jī)作為測試計算機(jī)作為測試組，每次補(bǔ)丁導(dǎo)入后內(nèi)網(wǎng)后，首先自動分發(fā)至這些選定計算機(jī)進(jìn)行新補(bǔ)丁的安裝測試，從而自動地進(jìn)行非模擬性自動測試。如果補(bǔ)丁安裝后對測試計算機(jī)未產(chǎn)生影響，被測試計算機(jī)能正常運(yùn)行，網(wǎng)管員便可根據(jù)相應(yīng)得策略對網(wǎng)絡(luò)內(nèi)的計算機(jī)進(jìn)行大面積的推送。此技術(shù)可以很好的減輕網(wǎng)管的測試工作量，并提高補(bǔ)丁安裝的安全性。

補(bǔ)丁自動測試圖

4.補(bǔ)丁庫自動分類功能

系統(tǒng)對存放到服務(wù)器上的計算機(jī)系統(tǒng)補(bǔ)丁能進(jìn)行相應(yīng)的分析，自動得出補(bǔ)丁屬性、類型和與之相關(guān)的補(bǔ)丁說明，并在網(wǎng)頁中進(jìn)行清晰明了的顯示?？梢苑奖愎芾砣藛T根據(jù)相應(yīng)的需求，高效快捷定義補(bǔ)丁分發(fā)策略，及時地針對不同的系統(tǒng)和需要分發(fā)計算機(jī)補(bǔ)丁。

系統(tǒng)同時提供管理員自定義補(bǔ)丁類別的補(bǔ)丁管理方式，如果需要也可由相關(guān)的管理人員自行設(shè)定相應(yīng)的自定義補(bǔ)丁類別以符合其管理的需要。

5.補(bǔ)丁庫的級聯(lián)和同步功能

系統(tǒng)可以針對補(bǔ)丁進(jìn)行級聯(lián)式的分發(fā)和管理，在級聯(lián)級數(shù)沒有任何限制并在三級的基礎(chǔ)上進(jìn)行無縫平滑擴(kuò)展。

可定期進(jìn)行同步校驗(yàn)，也可自主設(shè)定同步校驗(yàn)周期和時間。在有新補(bǔ)丁導(dǎo)入時，也可以自動觸發(fā)與下級服務(wù)器間的同步操作。

所有的同步過程均可自動完成，上級服務(wù)器可以了解下級服務(wù)器補(bǔ)丁庫是否同步成功。

6.補(bǔ)丁安裝檢測、自動分發(fā)補(bǔ)丁功能

北信源內(nèi)網(wǎng)安全管理系統(tǒng)產(chǎn)品白皮書

北信源補(bǔ)丁管理依據(jù)自身注冊客戶端優(yōu)勢，為網(wǎng)絡(luò)用戶提供強(qiáng)大的系統(tǒng)補(bǔ)丁檢測、分發(fā)、安裝等遠(yuǎn)程控制功能。網(wǎng)絡(luò)管理人員通過本模塊全面檢測網(wǎng)絡(luò)系統(tǒng)終端補(bǔ)丁的安裝狀況，并通過此模塊，對沒有安裝補(bǔ)丁的設(shè)備進(jìn)行遠(yuǎn)程補(bǔ)丁安裝,可將最新補(bǔ)丁升級包及時分發(fā)到終端計算機(jī)，并提示安裝修補(bǔ)，在客戶端有明顯提示，通知用戶打補(bǔ)丁。

系統(tǒng)可以對客戶端安裝的系統(tǒng)的版本，IE版本的補(bǔ)丁安裝情況進(jìn)行自動探測和維護(hù)（客戶端計算機(jī)的補(bǔ)丁安裝情況包括Windows、Office、IE、微軟媒體播放器等），自動搜集客戶端系統(tǒng)資料和安裝補(bǔ)丁資料，以根據(jù)客戶端系統(tǒng)的實(shí)際狀況自動分發(fā)所需的補(bǔ)丁。

客戶端程序安裝檢測：網(wǎng)絡(luò)中的客戶端訪問本地的WEB網(wǎng)站進(jìn)行自動注冊。注冊后客戶端檢測程序?qū)⒃谙到y(tǒng)中實(shí)時運(yùn)行，檢測補(bǔ)丁安裝狀況，并上報給補(bǔ)丁管理中心。用戶WEB網(wǎng)頁自動探測提示，支持大面積用戶快速安裝?？蛻舳瞬渴穑涸谙到y(tǒng)內(nèi)部網(wǎng)絡(luò)中，未注冊客戶端訪問本地網(wǎng)站、以及訪問上級網(wǎng)站均會出現(xiàn)提示用戶注冊窗口。

補(bǔ)丁推送安裝：當(dāng)系統(tǒng)檢測到有客戶端未打補(bǔ)丁時，可對漏打的補(bǔ)丁進(jìn)行推送式的安裝。同時，通過推送安裝，也可以為客戶端安裝應(yīng)用軟件。

補(bǔ)丁推送分發(fā)可以跨網(wǎng)段，跨VLAN,補(bǔ)丁分發(fā)支持?jǐn)帱c(diǎn)續(xù)傳功能。補(bǔ)丁下發(fā)過程中，如遇到特殊事件造成網(wǎng)絡(luò)中斷，則在下次網(wǎng)絡(luò)連通時通過校驗(yàn)得出已傳輸?shù)臄?shù)據(jù)和斷點(diǎn)位置，進(jìn)行續(xù)傳。

系統(tǒng)補(bǔ)丁報表：監(jiān)控程序?qū)⒕W(wǎng)絡(luò)客戶端補(bǔ)丁信息上報管理中心后寫入數(shù)據(jù)庫，在WEB管理平臺可進(jìn)行補(bǔ)丁報表察看，統(tǒng)計網(wǎng)絡(luò)客戶端補(bǔ)丁安裝狀況。

7.補(bǔ)丁策略制定功能

包括補(bǔ)丁應(yīng)用策略制定、補(bǔ)丁文件分發(fā)任務(wù)制定。

可以根據(jù)要求按照不同的區(qū)域進(jìn)行劃分，可按照IP地址、部門、操作系統(tǒng)、用戶自定義等方式進(jìn)行區(qū)域劃分。

補(bǔ)丁策略制定：具體可支持定時、定周期、分類、分部門、分范圍、客戶機(jī)狀態(tài)和用戶自定義等策略。

補(bǔ)丁策略分發(fā)：具備詳盡的補(bǔ)丁分發(fā)策略，補(bǔ)丁可以定時、定周期、分類、分范圍、分部門、分范圍、客戶機(jī)狀態(tài)和用戶自定義等進(jìn)行分發(fā)。

北信源內(nèi)網(wǎng)安全管理系統(tǒng)產(chǎn)品白皮書

補(bǔ)丁文件任務(wù)制定：針對特定的一個補(bǔ)丁或多個補(bǔ)丁，對指定計算機(jī)或者計算機(jī)網(wǎng)絡(luò)進(jìn)行補(bǔ)丁自動分發(fā)安裝。

補(bǔ)丁中心將網(wǎng)絡(luò)客戶端分類，設(shè)置測試類客戶端，補(bǔ)丁在測試類機(jī)器上經(jīng)過嚴(yán)格測試后，再正式對其他類網(wǎng)絡(luò)機(jī)器進(jìn)行分發(fā)。

此外，內(nèi)網(wǎng)安全管理系統(tǒng)還提供補(bǔ)丁下載流量控制功能，補(bǔ)丁管理中心區(qū)域管理模塊能夠?qū)W(wǎng)絡(luò)不同網(wǎng)段、不同區(qū)域的終端補(bǔ)丁升級進(jìn)行流量、數(shù)量控制，避免造成對網(wǎng)絡(luò)的流量影響，合理控制網(wǎng)絡(luò)帶寬。

8.補(bǔ)丁下載流量控制功能

系統(tǒng)可以利用多種方式進(jìn)行下載流量控制：

（1）系統(tǒng)能夠根據(jù)網(wǎng)絡(luò)的負(fù)載情況自動調(diào)整分發(fā)補(bǔ)丁時所占的網(wǎng)絡(luò)帶寬和并發(fā)連接數(shù)；

（2）根據(jù)手動設(shè)置允許的帶寬或服務(wù)器并發(fā)連接數(shù)及每個連接所允許使用的帶寬；

（3）系統(tǒng)同時支持客戶端轉(zhuǎn)發(fā)代理補(bǔ)丁下載，以減少網(wǎng)絡(luò)帶寬流量，提高效率。

代理轉(zhuǎn)發(fā)技術(shù)說明：補(bǔ)丁分發(fā)時，先由部分客戶端通過補(bǔ)丁分發(fā)系統(tǒng)下載服務(wù)器補(bǔ)丁，其他的計算機(jī)可不通過服務(wù)器，而是通過已下載補(bǔ)丁的客戶端進(jìn)行相應(yīng)補(bǔ)丁下載。下載時客戶端可自動搜索臨近的IP地址，選擇擁有此補(bǔ)丁文件并且下載速度最快的客戶端，從此客戶端上獲取由系統(tǒng)服務(wù)器下發(fā)的相關(guān)的補(bǔ)丁，以保證網(wǎng)絡(luò)的利用率，同時提高補(bǔ)丁分發(fā)效率。

9.服務(wù)器端補(bǔ)丁查詢功能

客戶端軟件實(shí)時監(jiān)控客戶端系統(tǒng)漏洞及補(bǔ)丁安裝情況，服務(wù)器端補(bǔ)丁查詢補(bǔ)丁可根據(jù)補(bǔ)丁名稱、待查詢IP范圍、操作系統(tǒng)、待查區(qū)域，查詢時間或其它條件對區(qū)域網(wǎng)絡(luò)范圍內(nèi)的計算機(jī)終端進(jìn)行補(bǔ)丁安裝狀況查詢，通過網(wǎng)管設(shè)定的查詢條件，能快速地獲知所查詢補(bǔ)丁的安裝情況（如補(bǔ)丁發(fā)送是否成功，補(bǔ)丁安裝是否成功，補(bǔ)丁是否已被安裝等），以保證補(bǔ)丁及時的安裝。

10.客戶端網(wǎng)頁查詢補(bǔ)丁安裝信息功能

因?yàn)楹芏嘤脩袅?xí)慣通過訪問微軟的Update網(wǎng)頁，檢查自己漏打的補(bǔ)丁，并進(jìn)行下載安裝。作為物理隔離的網(wǎng)絡(luò)，內(nèi)網(wǎng)中的用戶無法訪問此網(wǎng)頁，因此從用

北信源內(nèi)網(wǎng)安全管理系統(tǒng)產(chǎn)品白皮書

戶的習(xí)慣角度出發(fā)，內(nèi)網(wǎng)中也應(yīng)該有類似的網(wǎng)頁，以便用戶訪問和獲知本機(jī)補(bǔ)丁安裝情況，進(jìn)行補(bǔ)丁下載安裝。安裝了系統(tǒng)客戶端的計算機(jī)可以通過訪問內(nèi)網(wǎng)的特定網(wǎng)頁，對本機(jī)所缺少的計算機(jī)補(bǔ)丁進(jìn)行查詢，查詢結(jié)果在網(wǎng)頁上進(jìn)行顯示，計算機(jī)用戶根據(jù)需要進(jìn)行安裝。

北信源內(nèi)網(wǎng)安全管理系統(tǒng)產(chǎn)品白皮書

4.8文件分發(fā)管理（可選）

1.普通文件分發(fā)及文件自動執(zhí)行

系統(tǒng)向指定客戶端（用戶組）分發(fā)文件或安裝軟件，分發(fā)時可提供軟件的運(yùn)行參數(shù)和必要的運(yùn)行控制。此功能可減輕網(wǎng)絡(luò)管理人員的工作負(fù)擔(dān)，軟件分發(fā)時可報告軟件安裝的狀態(tài)，無論軟件正確安裝與否，管理員均可及時了解情況。系統(tǒng)還提供人性化的軟件安裝過程錄制工具，可以很方便的對軟件和它的安裝過程進(jìn)行錄制打包，軟件分發(fā)至終端后，系統(tǒng)可在終端對軟件安裝過程進(jìn)行回放，方便軟件在客戶端進(jìn)行自動安裝。

安裝后的客戶機(jī)端軟件包括基本部分和用戶工具，安裝在客戶機(jī)不同的目錄中。

北信源內(nèi)網(wǎng)安全管理系統(tǒng)產(chǎn)品白皮書

2.文件分發(fā)安裝結(jié)果統(tǒng)計

北信源內(nèi)網(wǎng)安全管理系統(tǒng)產(chǎn)品白皮書

4.9安全監(jiān)控審計功能

1．上網(wǎng)訪問行為審計和控制：

系統(tǒng)以黑白名單的方式對用戶的網(wǎng)頁訪問行為進(jìn)行控制；可對用戶上網(wǎng)訪問的網(wǎng)頁等進(jìn)行審計和記錄。

北信源內(nèi)網(wǎng)安全管理系統(tǒng)產(chǎn)品白皮書

2.文件保護(hù)及審計：系統(tǒng)提供對終端的系統(tǒng)、軟件和共享等目錄中的文件的保護(hù)功能，設(shè)定訪問、刪除、修改權(quán)限；支持對設(shè)定目錄文件的操作審計，包括文件創(chuàng)建、打印、讀寫、復(fù)制、改名、刪除、移動等的記錄，同時將信息上報管理信息庫供查詢。

3.網(wǎng)絡(luò)文件輸出審計：對主機(jī)通過共享文件等方式進(jìn)行的網(wǎng)絡(luò)文件輸出行為進(jìn)行審計和記錄（同下圖）。

北信源內(nèi)網(wǎng)安全管理系統(tǒng)產(chǎn)品白皮書

4.郵件審計：根據(jù)策略對主機(jī)發(fā)送的郵件及其附件進(jìn)行控制審計和記錄（同下圖）。

5.打印審計：根據(jù)策略對主機(jī)打印行為進(jìn)行監(jiān)控審計，從而防止打印輸出結(jié)果被非授權(quán)查看和獲取。

6.文件涉密信息檢查：根據(jù)用戶自主設(shè)定的涉密信息查詢條件，設(shè)定對指定目錄或盤符下的指定類型文件進(jìn)行內(nèi)容檢查，檢查其是否包含涉密內(nèi)容，系統(tǒng)支持進(jìn)行包含“或”、“與”等多種邏輯的組合監(jiān)測和模糊監(jiān)測。

北信源內(nèi)網(wǎng)安全管理系統(tǒng)產(chǎn)品白皮書

7.用戶權(quán)限審計：審計用戶權(quán)限更改及操作系統(tǒng)內(nèi)用戶增加和刪除。

8.各自獨(dú)立的權(quán)限分配體系：提供系統(tǒng)管理員、系統(tǒng)審核員（安全員）和系統(tǒng)審計員和一般操作員權(quán)限，分別進(jìn)行不同的管理操作。

北信源內(nèi)網(wǎng)安全管理系統(tǒng)產(chǎn)品白皮書

9.系統(tǒng)日志審計：不同權(quán)限管理員在Web控制臺對終端用戶的日志（系統(tǒng)日志、應(yīng)用日志、安全日志等）進(jìn)行遠(yuǎn)程讀取查看。

4.10報表管理功能

1.系統(tǒng)提供完善的報表功能，能夠根據(jù)按不同部門、不同操作系統(tǒng)提供軟

北信源內(nèi)網(wǎng)安全管理系統(tǒng)產(chǎn)品白皮書

硬件資產(chǎn)、審計信息、報警、狀態(tài)及其他情況匯總報表，提供多種報表功能。

2.具備獨(dú)有的“組態(tài)報表”查詢功能，對于有關(guān)報表，能根據(jù)不同的需要進(jìn)行多種不同條件組合（組合查詢條件包括所屬區(qū)域、單位名稱、設(shè)備所在部門、設(shè)備名稱、設(shè)備IP、操作系統(tǒng)及版本、IE版本、防范等級、運(yùn)行狀態(tài)、安裝殺毒軟件版本及廠商、CPU情況、內(nèi)存情況、硬盤情況、設(shè)備使用人、設(shè)備最后使用時間等等），還可以生成多種不同的報表格式。

組態(tài)查詢實(shí)例圖

3.報表以網(wǎng)頁的方式呈現(xiàn)，提供鏈接可在各項(xiàng)查詢功能中跳轉(zhuǎn)。報表可以方便的調(diào)整格式，并可以以Excel格式輸出，以便打印。

4.可以根據(jù)需要輸出成柱形圖、餅圖等。

北信源內(nèi)網(wǎng)安全管理系統(tǒng)產(chǎn)品白皮書

輸出柱狀圖實(shí)例

4.11事件報警管理

1.事件集中報警處理中心匯總所有內(nèi)外安全管理事件的報警信息，并將報警按種類、級別分類，同時支持短信、聲音、郵件、圖形等報警方式。同時，報警中心自動把各種報警信息匯總成為高、中、低三個等級，顯示各類發(fā)生事件的名稱和發(fā)生事件設(shè)備名稱、IP、MAC等信息，以便第一時間發(fā)現(xiàn)報警源頭和類型，發(fā)現(xiàn)對網(wǎng)絡(luò)危害最大的報警信息，以最快速度妥善處理事件，從而在最大程度上提高系統(tǒng)管理員對網(wǎng)絡(luò)突發(fā)事件的快速反應(yīng)能力。

2.客戶機(jī)發(fā)給管理服務(wù)器相關(guān)的報警信息可預(yù)設(shè)置級別，管理服務(wù)器把已注冊客戶機(jī)的報警信息記錄到異常情況記錄表，同時，按管理員預(yù)定義的規(guī)則將部分緊急的報警信息發(fā)送給管理員（本系統(tǒng)必須有與手機(jī)短信報警平臺的接口）。

3.對客戶機(jī)的不當(dāng)行為，管理服務(wù)器能按照預(yù)先制定的策略自動進(jìn)行警告，管理員也可以通過管理服務(wù)器對特定的客戶機(jī)發(fā)出警告信息或其它信息，這些信息的發(fā)送不會因客戶機(jī)關(guān)閉而無法完成，對離線機(jī)器發(fā)的信息在其開機(jī)后即彈出。彈出窗口以“閱畢”按鈕關(guān)閉。信息可以定義有效期，客戶機(jī)不會看到過期信息。管理員可以根據(jù)需要刪除發(fā)出的信息。

4.對客戶機(jī)的不當(dāng)行為，管理服務(wù)器能按照預(yù)先制定的策略自動進(jìn)行警告，管理員也可以通過管理服務(wù)器對特定的客戶機(jī)發(fā)出警告信息或其它信息，這些信息的發(fā)送不會因客戶機(jī)關(guān)閉而無法完成，對離線機(jī)器發(fā)的信息在其開機(jī)后即彈出。彈出窗口以“閱畢”按鈕關(guān)閉。信息可以定義有效期，客戶機(jī)不會看到過期信息。管理員可以根據(jù)需要刪除發(fā)出的信息。

5.系統(tǒng)將通過短信平臺將手機(jī)短信直接發(fā)送到下級安全管理員。

北信源內(nèi)網(wǎng)安全管理系統(tǒng)產(chǎn)品白皮書

報警設(shè)置實(shí)例圖

4.12第三方接口管理

1.PKI/CA認(rèn)證聯(lián)動接口 2.防火墻聯(lián)動接口 3.網(wǎng)管軟件聯(lián)動接口 4.安全管理平臺聯(lián)動接口 5.其它第三方接口

5.產(chǎn)品運(yùn)行配置 5.1硬件配置

建議配置：雙Intel至強(qiáng)CPU，主頻2.8G或以上；

120G硬盤或以上； 2G內(nèi)存或以上；

北信源內(nèi)網(wǎng)安全管理系統(tǒng)產(chǎn)品白皮書

注意：

所選擇的Windows服務(wù)器須支持冗余/高可用的配置，能夠保證系統(tǒng)無單點(diǎn)故障。能夠支持7*24小時連續(xù)運(yùn)行，同時具有良好的容錯能力。如需考慮未來管理計算機(jī)數(shù)量的增長，服務(wù)器還應(yīng)具備一定的擴(kuò)充能力。

5.2軟件配置

系統(tǒng)服務(wù)器所需的軟件環(huán)境：

1)操作系統(tǒng)：MS Windows 2000/2003 Server；

2)數(shù)據(jù)庫: MS SQL2000企業(yè)版或MS SQL2005企業(yè)版（SP4）； 3)服務(wù)器安裝IIS服務(wù)； 系統(tǒng)客戶端所需的軟件環(huán)境：

操作系統(tǒng)：Microsoft Windows 98/2000/2003/XP/win7/Vista

北信源內(nèi)網(wǎng)安全管理系統(tǒng)產(chǎn)品白皮書

6.關(guān)于北信源

6.1.公司簡介

北京北信源軟件股份有限公司（以下簡稱“北信源公司”）創(chuàng)立于1996年，注冊資金5000萬人民幣，主要從事內(nèi)網(wǎng)安全管理系列產(chǎn)品的研發(fā)、生產(chǎn)、咨詢和服務(wù)。公司總部位于中關(guān)村高新科技園區(qū)，有近400名信息安全專業(yè)研發(fā)、生產(chǎn)、咨詢和服務(wù)人員，下設(shè)上海分公司、華東支持中心、華南支持中心及各省市近三十個辦事處。

經(jīng)CCID、中國計算機(jī)用戶協(xié)會等權(quán)威部門統(tǒng)計，北信源內(nèi)網(wǎng)安全管理系統(tǒng)在中國終端安全管理審計及移動存儲介質(zhì)管理市場占有率連續(xù)四年保持第一。榮獲“2006、2007、2008、2009中國終端安全管理審計及移動存儲介質(zhì)管理占有率最高產(chǎn)品”、“2006、2007、2008、2009中國終端安全管理審計及移動存儲介質(zhì)管理市場成功企業(yè)”、“2007-2008中國軟件十大領(lǐng)軍企業(yè)”、“2007十大金融科技創(chuàng)新企業(yè)”、“中國信息化突出貢獻(xiàn)單位”、“公安部科學(xué)技術(shù)獎”、“2007中國信息安全終端安全管理及審計產(chǎn)品值的信賴品牌獎”、“2007中國電子信息用戶滿意企業(yè)”、“2008中國信息安全行業(yè)影響力重大終端安全管理品牌”、“中關(guān)村十大軟件品牌”、“中關(guān)村十大IT產(chǎn)品最佳安全管理軟件品牌”、“Intel最佳桌面管理解決方案合作伙伴”、“2009內(nèi)網(wǎng)安全突出貢獻(xiàn)獎”、“中關(guān)村TOP100”等多項(xiàng)殊榮。公司現(xiàn)已成功打造國內(nèi)信息安全軟件知名品牌“北信源”、“VRV”。

作為我國民族信息安全產(chǎn)業(yè)的標(biāo)志性企業(yè)和優(yōu)秀代表，北信源公司將依靠自有的安全技術(shù)和產(chǎn)品本著繼往開來的創(chuàng)新姿態(tài)，為構(gòu)筑中華民族的信息安全長城而不懈努力。

北信源內(nèi)網(wǎng)安全管理系統(tǒng)產(chǎn)品白皮書

6.2.聯(lián)系方式

北京北信源軟件股份有限公司

地址：北京市中關(guān)村南大街34號中關(guān)村科技發(fā)展大廈C座16層 郵編：100081 電話：010-62140485/86/87

傳真：010-62140468 網(wǎng)址：004km.cn

第三篇：內(nèi)網(wǎng)安全管理系統(tǒng)軟件技術(shù)要求

附件二

內(nèi)網(wǎng)安全管理系統(tǒng)軟件招標(biāo)技術(shù)要求

一、產(chǎn)品總體要求

1、公司的資質(zhì):公司成立10年以上，具有自主研發(fā)能力，有成熟穩(wěn)定的研發(fā)隊(duì)伍的軟件行業(yè)企業(yè)。

2、產(chǎn)品資質(zhì)要求：必須是自主研發(fā)，穩(wěn)定銷售8年以上；擁有自主知識產(chǎn)權(quán)，通過公安部檢測，獲得公安部銷售許可證，至少擁有以下資質(zhì)證明： 公安部《計算機(jī)信息系統(tǒng)安全專用產(chǎn)品銷售許可證》； 國家版權(quán)局頒發(fā)的《計算機(jī)軟件著作權(quán)登記證書》； 國家版權(quán)局頒發(fā)的《計算機(jī)軟件產(chǎn)品登記證書》;ISO9000質(zhì)量管理體系認(rèn)證。

3、產(chǎn)品實(shí)施簡單，可操作性強(qiáng)，實(shí)施后必須保證網(wǎng)絡(luò)穩(wěn)定暢通，系統(tǒng)正常運(yùn)行，不影響正常開展工作。

4、*至少有五家500點(diǎn)客戶的安裝實(shí)施經(jīng)驗(yàn)。

5、有豐富的行業(yè)客戶服務(wù)經(jīng)驗(yàn)，能提供后續(xù)技術(shù)支持和維護(hù)更新等服務(wù)。

二、技術(shù)規(guī)范要求

2.1 系統(tǒng)要求

▲客戶端操作系統(tǒng)支持包括：Windows98/Me/NT/2000/XP/2003/Vista/Win7/2008,必須同時支持32位及64位系統(tǒng)。

▲所有監(jiān)控功能都能按計算機(jī)和用戶兩種模式實(shí)現(xiàn)。

▲必須支持瘦客戶機(jī)、終端服務(wù)器、無盤工作站等的使用模式。

*監(jiān)控系統(tǒng)的部署必須支持多種安裝方式，包括web安裝、域腳本安裝、遠(yuǎn)程安裝以及域組策略安裝等。

*必須提供分布式服務(wù)器管理功能，并且需要支持跨區(qū)域部署管理。*必須隱藏客戶端進(jìn)程。

*支持與AD域的結(jié)合，可與域組織架構(gòu)實(shí)時同步。管理端必須支持C/S架構(gòu)登錄。

客戶端在離線情況下，控制及日志記錄功能依然生效。

附件二

2.2 功能要求

2.2.1 基本功能

能獲取計算機(jī)的基本信息，包括計算機(jī)名稱，網(wǎng)絡(luò)地址，操作系統(tǒng)，登錄用戶，當(dāng)前狀態(tài)等信息，以及計算機(jī)多用戶登錄信息的查看。

▲支持增加管理員賬戶并對賬戶權(quán)限可實(shí)現(xiàn)細(xì)化，如管理范圍、功能權(quán)限。同時可對非系統(tǒng)管理員的賬戶可禁用、刪除以及修改密碼，方便權(quán)限回收。

*必須具備管理員以及審計員賬戶，且相互獨(dú)立，并且能夠提供記錄管理員操作的審計平臺，包括管理員登陸系統(tǒng)，查看日志，對內(nèi)網(wǎng)計算機(jī)的控制等等。

*支持對各終端所設(shè)置策略的總覽以及對策略的應(yīng)用查詢方便管理員掌握終端的策略情況，同時具有對策略的導(dǎo)入導(dǎo)出功能及復(fù)制功能。*支持郵件報警功能，可以將違規(guī)行為詳細(xì)記錄為日志形式并通過郵件發(fā)送至指定郵箱。*支持設(shè)定自動關(guān)機(jī)功能，提供在指定時間關(guān)機(jī)、注銷及重啟的功能

支持按工作時間段進(jìn)行策略設(shè)置，靈活管理。

支持遠(yuǎn)程對計算機(jī)進(jìn)行鍵盤鼠標(biāo)操作鎖定、關(guān)閉、重啟、注銷和發(fā)送通知信息等。支持對3g上網(wǎng)卡撥號的日志記錄。

2.2.2 基本控制功能（包括基本模塊及設(shè)備管控模塊）

能控制計算機(jī)對本機(jī)系統(tǒng)設(shè)置的操作權(quán)限，包括以下多項(xiàng)屬性，并且各項(xiàng)可以單獨(dú)控制： *IP/MAC綁定：修改網(wǎng)絡(luò)IP/MAC配置

控制面板：控制面板、設(shè)置屏幕屬性、添加打印機(jī)、刪除打印機(jī)、快速切換用戶。計算機(jī)管理：設(shè)備管理器、使用磁盤管理、本地用戶和組、系統(tǒng)服務(wù)管理、其它計算機(jī)管理。

系統(tǒng)：任務(wù)管理器、注冊表編輯器、命令提示符、運(yùn)行注冊表中Run下的程序、運(yùn)行注冊表中Run Once下的程序

網(wǎng)絡(luò)：修改網(wǎng)絡(luò)屬性、顯示網(wǎng)上鄰居、修改Internet選項(xiàng)、默認(rèn)網(wǎng)絡(luò)共享、使用網(wǎng)絡(luò)共享、增加網(wǎng)絡(luò)共享

其它：使用print screen鍵復(fù)制屏幕、系統(tǒng)還原、Windows自動更新

▲可以控制內(nèi)網(wǎng)計算機(jī)對常用設(shè)備的使用權(quán)限，支持對刻錄機(jī)可讀不可寫的控制

存儲設(shè)備包括：軟驅(qū)，光驅(qū)，刻錄機(jī)，磁帶機(jī)，可移動設(shè)備（U盤，移動硬盤，記憶棒，智能卡，MO，Zip）、便攜設(shè)備（智能手機(jī)）等；支持對上面各項(xiàng)的單獨(dú)控制。

通訊設(shè)備包括：串口、并口、USB 控制器和連接器(HUB)、SCSI接口、1394控制器紅外線、PCMICA卡、藍(lán)牙設(shè)備、MODEM、直接電纜連接、拔號連接等；支持對上面各項(xiàng)的單獨(dú)控制。

網(wǎng)絡(luò)接入設(shè)備：包括無線網(wǎng)卡，pnp網(wǎng)卡，虛擬網(wǎng)卡等；并且可以對它們單獨(dú)控制。其它：聲音設(shè)備，虛擬光驅(qū)，任何新設(shè)備等的使用。

▲支持USB設(shè)備的細(xì)分控制，即以下每項(xiàng)可單獨(dú)控制，支持3G上網(wǎng)卡的控制。USB設(shè)備：USB 鍵盤、USB 鼠標(biāo)、USB Modem（3G上網(wǎng)卡）、USB 映像設(shè)備、USB CDROM、USB 存儲、USB 硬盤、USB 網(wǎng)卡、USB其他USB設(shè)備；支持對上面各項(xiàng)的單

附件二

獨(dú)控制。

*支持禁止增加非系統(tǒng)硬盤。

*支持對Iphone等便攜式設(shè)備的控制 *支持對任何其他外設(shè)的控制

*支持對無線網(wǎng)絡(luò)的連接控制，限制禁止連接的無線網(wǎng)絡(luò)。

對計算機(jī)的硬件變化，設(shè)備的插入拔出，存儲設(shè)備變化，通訊設(shè)備變化，軟件變化，系統(tǒng)服務(wù)變化，啟動項(xiàng)變化，系統(tǒng)時鐘變化，計算機(jī)名稱變化，網(wǎng)絡(luò)配置變化等能提供報警信息并作為日志記錄。

2.2.3 移動存儲控制

支持對內(nèi)網(wǎng)計算機(jī)控制其對指定移動存儲設(shè)備的讀寫權(quán)限。支持自動收集客戶端上使用過的移動存儲信息，并可以自定義添加備注信息。同時支持移動存儲分類庫，允許對移動存儲進(jìn)行自定義分類，按類庫進(jìn)行管理。支持可按照對移動存儲的描述進(jìn)行控制。

支持所有通過USB接口方式連接計算機(jī)的存儲設(shè)備。

支持在指定計算機(jī)上使用制定移動存儲設(shè)備時，自動對復(fù)制/移動的文件進(jìn)行加解密控制，加密后的文檔只允許在具有自動解密權(quán)限的客戶端計算機(jī)處才能打開，否則打開為亂碼。

支持將指定移動存儲格式化成加密盤，只能在內(nèi)部裝了客戶端的計算機(jī)處正常使用，非客戶端計算機(jī)無法使用。

能夠記錄內(nèi)網(wǎng)計算機(jī)使用移動存儲設(shè)備的情況；包括操作時間，操作類型（插入/拔出），計算機(jī)、用戶、移動存儲類型等。

2.2.4應(yīng)用程序管控

支持通過禁止應(yīng)用程序分類或禁止應(yīng)用程序名稱、應(yīng)用程序窗口標(biāo)題的形式來禁止計算機(jī)使用非法程序。

針對應(yīng)用程序更改名稱或路徑的情況，所做的控制必須依然生效。能自動收集客戶端計算機(jī)運(yùn)行過的應(yīng)用程序，并支持分類管理。

支持記錄所有應(yīng)用程序的啟動/關(guān)閉、窗口的切換標(biāo)題動作；并可以按時間范圍，計算機(jī)范圍，應(yīng)用程序名稱，應(yīng)用程序路徑、窗口標(biāo)題這幾種查詢條件查詢。

支持通過自定義的時間范圍，對單個工作人員，部門，或整個網(wǎng)絡(luò)的計算機(jī)的應(yīng)用程序使用情況進(jìn)行統(tǒng)計；

統(tǒng)計結(jié)果必須有列表和圖表兩種顯示方式；

統(tǒng)計方式必須包括是：按應(yīng)用程序類別統(tǒng)計、按應(yīng)用程序名稱統(tǒng)計、分項(xiàng)統(tǒng)計（統(tǒng)計各組計算機(jī)的應(yīng)用程序使用），按明細(xì)統(tǒng)計等。

2.2.5遠(yuǎn)程維護(hù)

支持遠(yuǎn)程查看網(wǎng)絡(luò)內(nèi)的客戶端計算機(jī)當(dāng)前運(yùn)行的應(yīng)用程序，進(jìn)程，性能，設(shè)備管理，系統(tǒng)服務(wù)，磁盤管理，共享文件夾，計劃任務(wù)，用戶和組等。同時支持對應(yīng)用程序，進(jìn)程，附件二

設(shè)備管理，系統(tǒng)服務(wù)，共享文件夾，計劃任務(wù)的控制。支持對客戶端的遠(yuǎn)程控制。

支持遠(yuǎn)程文檔傳輸，提供客戶端與控制臺相互傳送文件的功能。必須支持經(jīng)過客戶端允許或密碼設(shè)定才能遠(yuǎn)程控制。支持遠(yuǎn)程卸載客戶端計算機(jī)上軟件功能

2.2.6屏幕監(jiān)控

▲屏幕歷史記錄的數(shù)據(jù)量：平均一幀數(shù)據(jù)量少于▲支持對指定應(yīng)用程序運(yùn)行過程的屏幕記錄?！С謱?yīng)用程序的變頻記錄。

25K 支持通過控制臺實(shí)時查看員工當(dāng)前工作的計算機(jī)桌面，并可將當(dāng)前屏幕保存為圖像，支持對終端用戶登錄的屏幕分屏查看。支持同時對多屏進(jìn)行監(jiān)視。支持?jǐn)U展顯示器的監(jiān)視。

能記錄計算機(jī)當(dāng)天的屏幕歷史畫面，并可以按指定的計算機(jī)查看指定日期范圍內(nèi)的屏幕歷史記錄，以播放器的方式播放某一天的屏幕歷史，并可將當(dāng)前播放的屏幕歷史另存為視頻文件。

2.2.7資產(chǎn)管理

支持對客戶端計算機(jī)的硬件和軟件資產(chǎn)信息的統(tǒng)計，并支持按分組或計算機(jī)統(tǒng)計硬件和軟件的分布情況，同時支持設(shè)置自定義查詢條件。

支持自定義添加企業(yè)內(nèi)的非軟硬件資產(chǎn)信息，并支持設(shè)置自定義查詢條件。

支持實(shí)時查看客戶端計算機(jī)補(bǔ)丁情況，并允許對補(bǔ)丁進(jìn)行修補(bǔ)，同時不需要另外搭建wsus服務(wù)器。

支持自動掃描計算機(jī)的系統(tǒng)漏洞并提供解決漏洞問題的建議。支持通過控制臺集中向客戶端自動分發(fā)安裝程序并自動安裝，或分發(fā)各種文件到指定的目錄下，以及分發(fā)其它執(zhí)行程序到目標(biāo)計算機(jī)的功能。支持對硬件資產(chǎn)添加自定義信息描述。

三、可靠性要求

數(shù)據(jù)庫的存儲能力及維護(hù)，為節(jié)省數(shù)據(jù)庫維護(hù)成本以及防止因部分?jǐn)?shù)據(jù)庫損壞而影響所有數(shù)據(jù)，需要對日志數(shù)據(jù)采用按天存儲的功能。每天產(chǎn)生獨(dú)立的數(shù)據(jù)庫，數(shù)據(jù)庫出錯無法修復(fù)也只影響受損數(shù)據(jù)庫所保存的當(dāng)天數(shù)據(jù)。

當(dāng)操作系統(tǒng)處于正常模式和安全模式下都能正常監(jiān)控。

要求監(jiān)控系統(tǒng)有一定的自我保護(hù)能力，不會輕易遭到破壞，并且不能自行卸載，必須通過授權(quán)才能卸載。

每個服務(wù)器支持超過3000個終端在線管理。

系統(tǒng)進(jìn)行局域網(wǎng)發(fā)現(xiàn)時節(jié)點(diǎn)占用帶寬不超過20Kbps。

附件二

系統(tǒng)進(jìn)行文件分發(fā)、文件傳送等操作時占用帶寬不超過200Kbps。系統(tǒng)在局域網(wǎng)環(huán)境內(nèi)進(jìn)行一遍節(jié)點(diǎn)輪詢占用帶寬數(shù)不超過20Kbps。附注：三年免費(fèi)質(zhì)保，三年免費(fèi)服務(wù)。產(chǎn)品支持570個工作站。

第四篇：內(nèi)網(wǎng)邊界管理系統(tǒng)

網(wǎng)絡(luò)邊界安全

一、網(wǎng)絡(luò)邊界背景

早期的網(wǎng)絡(luò)只是為了使分布在不同區(qū)域的人們資源共享和通信而建立的。網(wǎng)絡(luò)發(fā)展到今天，全世界的計算機(jī)聯(lián)成了網(wǎng)絡(luò)。而網(wǎng)絡(luò)安全也隨之而來。信息泄密、外來攻擊、病毒木馬等等，越來越多的網(wǎng)絡(luò)安全問題讓網(wǎng)絡(luò)管理者難以應(yīng)對，而如將內(nèi)網(wǎng)與外網(wǎng)完全隔開，就會形成信息的“孤島”，業(yè)務(wù)無法互通，資源又重復(fù)建設(shè)，并且隨著信息化的深入，在各種網(wǎng)絡(luò)上信息共享需求也日益強(qiáng)烈。

二、網(wǎng)絡(luò)邊界防護(hù)手段

不同安全級別的網(wǎng)絡(luò)相連，就產(chǎn)生了網(wǎng)絡(luò)邊界。一般來說，防止來自網(wǎng)絡(luò)外界的入侵，就需要在網(wǎng)絡(luò)邊界上建立可靠的安全防御措施。

從防火墻技術(shù)的到多重安全網(wǎng)關(guān)技術(shù)，再到不同時連接兩個網(wǎng)絡(luò)的網(wǎng)閘技術(shù)，都是采用的關(guān)卡方式，“檢查”的技術(shù)各有不同，但對黑客的最新攻擊技術(shù)都不太好用，也沒有監(jiān)控的手段，對付“人”的攻擊行為來說，只有人才是最好的對手。

三、現(xiàn)有邊界防護(hù)技術(shù)的缺陷

面對各種各樣包含新技術(shù)的攻擊手段，現(xiàn)有的防護(hù)產(chǎn)品以及其附帶的防護(hù)技術(shù)是否能實(shí)現(xiàn)預(yù)定功能。現(xiàn)有的安全管理員還不能對這些防護(hù)產(chǎn)品性能足夠了解，就談不上正確使用，把產(chǎn)品功能發(fā)揮出來。

再說網(wǎng)絡(luò)邊界防護(hù)是一個長期需要大投入的工程，一般的主管安全的領(lǐng)導(dǎo)及安全管理員根本不清楚遭受攻擊的一些細(xì)節(jié)，安全管理員根本不知道該怎么防，往哪里防。

購買最新的安全防護(hù)產(chǎn)品，或是花大量的時間、資金培養(yǎng)幾個資深的安全管理員，且不說兩者能不能配合，能不能防住，使邊界安全防護(hù)達(dá)到預(yù)期的目標(biāo)，單單投入方面也不是現(xiàn)有的企業(yè)目前所能夠承受的。

根據(jù)我國現(xiàn)階段現(xiàn)狀，政府和企業(yè)不可能在網(wǎng)絡(luò)安全方面大量投入，而有限的資金又不能投入到最需要的地方去，造成大量的資金浪費(fèi)。該防的沒建設(shè)，目前不用防的反而建設(shè)了。

對于公開的攻擊，只有防護(hù)一條路，比如對付DDOS的攻擊；但對于入侵的行為，其關(guān)鍵是對入侵的識別，識別出來后阻斷它是容易的，但怎樣區(qū)分正常的業(yè)務(wù)申請與入侵者的行為是邊界防護(hù)的重點(diǎn)與難點(diǎn)。

四、符合中國特色的邊界管理

面對上述種種問題，現(xiàn)有邊界防護(hù)技術(shù)和產(chǎn)品遠(yuǎn)遠(yuǎn)不能滿足我國機(jī)構(gòu)和企業(yè)的需要。那么我們必須轉(zhuǎn)變思想，找出路！

既然我們現(xiàn)階段有資金，人員及技術(shù)各方面的限制，不可能把網(wǎng)絡(luò)邊界打造成“鋼墻鐵壁”。沒錢修“城墻”，守衛(wèi)又不合格，那么只能多裝攝像頭，對所有的邊界監(jiān)控起來，達(dá)到不留“死角”的程度。一旦發(fā)現(xiàn)有攻擊、入侵行為馬上報警，馬上處置，然后針對被攻擊或入侵的薄弱地點(diǎn)，修一段“城墻”，重點(diǎn)防御。較低的投入，把現(xiàn)階段安全問題管起來，最后達(dá)到一個可控可管，齊抓共管的局面。

網(wǎng)絡(luò)邊界安全問題主要可以分為兩個方面，一個是由于外網(wǎng)接入到內(nèi)網(wǎng)中，從而帶來的網(wǎng)絡(luò)安全問題，另一個是內(nèi)網(wǎng)內(nèi)部產(chǎn)生的網(wǎng)絡(luò)安全問題。對于外網(wǎng)的接入，一般網(wǎng)絡(luò)上都增加了防火墻、VPN路由器等來保證網(wǎng)絡(luò)的安全，對于在內(nèi)網(wǎng)出現(xiàn)的問題就沒有設(shè)備來保證網(wǎng)絡(luò)的安全問題了。浙江遠(yuǎn)望電子有限公司的內(nèi)網(wǎng)邊界檢查系統(tǒng)出現(xiàn)就解決這個問題，從內(nèi)部網(wǎng)絡(luò)開始檢查，查找相關(guān)的問題，找到問題的源頭，進(jìn)行預(yù)警，預(yù)警提示后在進(jìn)行技術(shù)或人工手段來阻斷相關(guān)的問題。遠(yuǎn)望內(nèi)網(wǎng)邊界檢查系統(tǒng)也可以對外網(wǎng)的接入進(jìn)行監(jiān)測，通過預(yù)警把相應(yīng)的情況報告給管理員，由管理員進(jìn)行手動直接斷開外來接入或通過網(wǎng)絡(luò)上技術(shù)的手段進(jìn)行網(wǎng)絡(luò)斷開。并且遠(yuǎn)望內(nèi)網(wǎng)邊界檢查系統(tǒng)可以實(shí)現(xiàn)多級級聯(lián)，逐級對網(wǎng)絡(luò)進(jìn)行安全管理。

五、遠(yuǎn)望內(nèi)網(wǎng)邊界檢查管理系統(tǒng)

遠(yuǎn)望內(nèi)網(wǎng)邊界檢查管理系統(tǒng)，通過對內(nèi)網(wǎng)邊界安全監(jiān)測和管理，防止外來計算機(jī)、網(wǎng)絡(luò)等通過非法手段接入內(nèi)網(wǎng)，防止因內(nèi)網(wǎng)邊界問題而導(dǎo)致信息泄密，病毒木馬入侵，帶寬資源因沒有注冊的設(shè)備增加而被嚴(yán)重胡亂占用。通過違規(guī)外聯(lián)和線路邊界的發(fā)現(xiàn)和監(jiān)測技術(shù)，配置網(wǎng)絡(luò)邊界發(fā)現(xiàn)策略，全面發(fā)現(xiàn)網(wǎng)內(nèi)的設(shè)備邊界和線路邊界的異常情況，實(shí)現(xiàn)對違規(guī)行為的阻斷，確保內(nèi)網(wǎng)的安全。

通過技術(shù)手段對網(wǎng)內(nèi)的設(shè)備邊界和線路邊界的異常情況進(jìn)行實(shí)時掃描、自動檢測，及時發(fā)現(xiàn)線路邊界問題，把相關(guān)信息反映到管理員控制頁面上。同時在規(guī)定時間內(nèi)對通過非法接入內(nèi)網(wǎng)等邊界問題進(jìn)行阻斷。

平臺通過邊界注冊建立合法邊界白名單，并依靠技術(shù)手段自動實(shí)現(xiàn)網(wǎng)絡(luò)邊界的檢查，及時發(fā)現(xiàn)存在的非法網(wǎng)絡(luò)邊界，并對違規(guī)事件進(jìn)行取證，方便查找相關(guān)責(zé)任人以及后續(xù)處理。同時支持對違規(guī)外聯(lián)和非法網(wǎng)絡(luò)邊界點(diǎn)的自動預(yù)警，將發(fā)現(xiàn)的邊界違規(guī)情況在安全管理平臺上產(chǎn)生預(yù)警和通報，第一時間責(zé)令相關(guān)人員進(jìn)行整改。

第五篇：加油IC卡系統(tǒng)產(chǎn)品白皮書

加油IC卡系統(tǒng)產(chǎn)品白皮書

一、前言

加油IC卡系統(tǒng)是西安賽思通公司專為成品油零售企業(yè)開發(fā)的一套信息管理系統(tǒng)，至今已有2年多的歷史。在中國石油天然氣集團(tuán)公司有上千家加油站在使用本系統(tǒng)，系統(tǒng)目前已為中國石油天然氣集團(tuán)公司的近萬家客戶提供了快速便捷的服務(wù)，獲得了用戶的高度認(rèn)可。為了方便用戶全面了解系統(tǒng)的情況，本公司編寫了此產(chǎn)品白皮書。

二、產(chǎn)品概述

1、市場背景

? 零售市場發(fā)展迅速

國內(nèi)石油公司近年來持續(xù)在終端銷售網(wǎng)絡(luò)建設(shè)上加大投入，新建、收購、合資、聯(lián)營、加盟等多種手段并舉，加油站數(shù)量快速擴(kuò)張，零售銷量比重日益提高并超過批發(fā)量，成為石油銷售公司經(jīng)營管理的重點(diǎn)關(guān)注領(lǐng)域。

? 市場競爭日益激烈

除國內(nèi)傳統(tǒng)的競爭對手外，還日益受到國際（如：殼牌、BP和艾克森美孚）石化企業(yè)的沖擊。目前零售市場已全面開放，下游市場基于服務(wù)和品牌的競爭，將隨著零售市場開放以及在2006年成品油批發(fā)市場開放后會進(jìn)一步加劇。

? 客戶要求不斷增加

隨著中國石化加油IC卡的全國聯(lián)網(wǎng)和推廣，以及國際石油公司成熟的多元化服務(wù)模式的引入，客戶對石油公司的要求增加，忠誠度降低，維持老客戶和吸引新客戶的成本會越來越高。

? 加油站客戶管理及服務(wù)手段亟待提高

零售業(yè)務(wù)主體面向終端用戶從事油品銷售及服務(wù)業(yè)務(wù)，加油站作為面向客戶的窗口，零售客戶尤其是集團(tuán)客戶的開發(fā)、管理與服務(wù)始終是其營銷工作的重中之重。借助先進(jìn)的信息化等技術(shù)手段提供方便、高效的客戶管理與服務(wù)，是目前零售業(yè)務(wù)經(jīng)營管理中亟待解決的問題。

2、產(chǎn)品目標(biāo) 加油IC卡系統(tǒng)利用現(xiàn)代化網(wǎng)絡(luò)技術(shù)、IC卡技術(shù)，以IC卡為載體，以加油站后臺電腦為操作平臺，支持客戶持卡在全公司范圍內(nèi)進(jìn)行加油結(jié)算，并通過該系統(tǒng)提供客戶IC卡賬務(wù)管理、集團(tuán)客戶加油管理與服務(wù)、個人客戶加油積分營銷、自用油管理，以及內(nèi)部結(jié)算、清算管理，實(shí)現(xiàn)整體營銷，提升客戶管理手段。最終達(dá)到一卡在手，全公司加油。

本系統(tǒng)的主要目標(biāo)是為客戶建立一個基于ＩＣ卡的銷售網(wǎng)絡(luò)，它是一個基于互聯(lián)網(wǎng)的在線銷售管理系統(tǒng)。這個系統(tǒng)一天２４小時，一年３６５天隨時在線，保證用戶隨時隨地的使用。它可以實(shí)現(xiàn)公司總部、營業(yè)網(wǎng)點(diǎn)、加油站銷售數(shù)據(jù)的即時管理，方便用戶對ＩＣ卡加油業(yè)務(wù)的管理。

3、產(chǎn)品說明

加油IC卡系統(tǒng)基于SOA的思想，采用多層架構(gòu)。充分體現(xiàn)了系統(tǒng)的易擴(kuò)展性、易維護(hù)性，為用戶今后在系統(tǒng)維護(hù)和功能擴(kuò)展方面留下了充分的余地。多層架構(gòu)在用戶數(shù)據(jù)量增加時，可以直接通過增加硬件進(jìn)行性能提升，不需要進(jìn)行軟件修改，保護(hù)了用戶的初始投資。

基于用戶使用分布面較廣的情況，系統(tǒng)基于Internet進(jìn)行工作。為了保證數(shù)據(jù)的一致性，采用集中式數(shù)據(jù)庫。整個系統(tǒng)是一個分布式的C/S架構(gòu)。

本系統(tǒng)主要包括以下幾個子系統(tǒng)： ? IC卡制卡系統(tǒng) ? IC卡業(yè)務(wù)管理系統(tǒng) ? 加油站管理系統(tǒng) ? 客戶自助IC卡查詢系統(tǒng) ? 系統(tǒng)管理系統(tǒng) ? 應(yīng)用服務(wù)管理系統(tǒng)

4、客戶價值

使用ＩＣ卡系統(tǒng)進(jìn)行加油管理，對客戶將帶來以下幾項(xiàng)收益：

１.在卡內(nèi)沉淀大量資金，給客戶提供了一份無息長期貸款。隨著用戶數(shù)的增加，一部分資金將可永久使用。

２.提高用戶使用滿意度，穩(wěn)定用戶群。

３．本系統(tǒng)采用SOA架構(gòu)，以后客戶可以方便的擴(kuò)展功能或與其它系統(tǒng)集成。最大限度的保護(hù)了用戶投資。避免了因業(yè)務(wù)增長，需要修改軟件而無法進(jìn)行，只好重新開發(fā)新系統(tǒng)的情況。

5、使用環(huán)境

? 系統(tǒng)軟件環(huán)境

數(shù)據(jù)庫服務(wù)器：Win2003 server或以上；SQL SERVER2000中文版或以上。應(yīng)用服務(wù)器：Win2003 server或以上?？蛻魴C(jī)：WinXP/Vista。

以上操作系統(tǒng)應(yīng)安裝有DotNet Framework2.0。? 硬件環(huán)境

數(shù)據(jù)庫服務(wù)器和應(yīng)用服務(wù)器：

Intel 至強(qiáng)雙核或四核CPU、最小內(nèi)存4G、硬盤最小剩余空間2G、100M/1000M網(wǎng)卡。

客戶端PC機(jī)：

Intel P4及以上、最小內(nèi)存512M、硬盤最小剩余空間500M、100M/1000M網(wǎng)卡、17寸顯示器、支持32位真彩色的顯卡。? 網(wǎng)絡(luò)環(huán)境

應(yīng)用服務(wù)器和數(shù)據(jù)庫服務(wù)器位于公司總部，布署在同一局域網(wǎng)內(nèi)，使用1000M網(wǎng)絡(luò)帶寬互聯(lián)。應(yīng)用服務(wù)器應(yīng)保證公網(wǎng)IP、端口以及域名，并以最小10M帶寬接入互聯(lián)網(wǎng)，保證遠(yuǎn)程客戶端的訪問?？偛績?nèi)部客戶機(jī)使用局域網(wǎng)接入系統(tǒng)應(yīng)用服務(wù)器；分公司、營業(yè)網(wǎng)點(diǎn)和加油站采用1M帶寬ADSL接入互聯(lián)網(wǎng)，通過域名或IP地址訪問應(yīng)用服務(wù)器。

6、名詞解釋

個人客戶

個人客戶主要包括加油地點(diǎn)較隨意、以現(xiàn)金方式為主、注重品牌與服務(wù)等，通過積分IC卡會員制、定額IC卡一次性購買優(yōu)惠等手段，實(shí)現(xiàn)優(yōu)質(zhì)服務(wù)、精細(xì)管理，達(dá)到鎖定客戶、促進(jìn)消費(fèi)，提高忠誠度的目標(biāo)。集團(tuán)客戶 集團(tuán)客戶（或稱為單位客戶）主要包括招投標(biāo)簽訂合同、車輛管理、定期結(jié)算、優(yōu)惠定價等等，可采用的解決途徑包括統(tǒng)一客戶資源、區(qū)域內(nèi)跨站加油、主副卡車輛管理、靈活優(yōu)惠策略等，通過記賬IC卡、預(yù)付費(fèi)IC卡方式實(shí)現(xiàn)對集團(tuán)客戶的管理與營銷。預(yù)付費(fèi)卡

預(yù)付費(fèi)卡主要面向集團(tuán)客戶及個人客戶。在開戶完畢后，需預(yù)先存入現(xiàn)金，才能持卡到加油站加油。在余額不足時，需進(jìn)行充值和結(jié)算操作。它的主要特點(diǎn)如下：

1、需辦理完整的開戶手續(xù)；

2、僅限于加油使用，不可提取現(xiàn)金、不能透支、不計利息；

3、有單用戶卡和多用戶卡兩種形式；

4、多用戶卡包括一張主卡和若干張副卡，主卡對副卡具有管理功能，副卡只能用于加油，所有的副卡共享使用主卡的賬戶金額，若需要限定副卡的使用額度，可由主卡對其設(shè)定。主卡只具有管理功能，不可用于加油；

5、可享受積分優(yōu)惠。記賬卡

記賬卡主要面向集團(tuán)客戶。在開戶時，需評定客戶的授信額度，設(shè)定結(jié)算周期，客戶才能持卡到加油站加油。記賬卡可用額度的初始值與其授信額度相等，持卡加油后，其可用額度逐步減少，在可用額度不足或到結(jié)算周期時，需到相關(guān)網(wǎng)點(diǎn)進(jìn)行結(jié)算，回滾可用額度才能允許繼續(xù)加油。它的主要特點(diǎn)如下：

1、需辦理完整的開戶手續(xù)，評定授信額度；

2、有單用戶卡和多用戶卡兩種形式；

3、多用戶卡包括一張主卡和若干張副卡，主卡對副卡具有管理功能，副卡只能用于加油，所有的副卡共享使用主卡的賬戶可用金額，若需要限定副卡的使用額度，可由主卡對其設(shè)定。主卡只具有管理功能，不可用于加油；

4、可享受積分優(yōu)惠。定額卡

定額卡在辦理時無需提供用戶資料，充值金額由客戶確定。定額卡不能享受積分、不能辦理掛失及清戶手續(xù)。自用油卡

自用油卡是主要面向內(nèi)部使用的IC卡，只做統(tǒng)計使用，不進(jìn)行帳務(wù)核算。

三、產(chǎn)品架構(gòu)

1、業(yè)務(wù)架構(gòu)

2、程序架構(gòu)：

本系統(tǒng)采用三層架構(gòu)，方案如下：

3、部署架構(gòu)

四、產(chǎn)品安全

1、基礎(chǔ)安全設(shè)計

系統(tǒng)的基礎(chǔ)安全主要包含四個方面的內(nèi)容：身份驗(yàn)證、授權(quán)訪問、安全審核、數(shù)據(jù)安全。整個系統(tǒng)安全采用RBAC模型，也就是基于角色的訪問控制。下面來分別對每一部分進(jìn)行說明。

1、身份驗(yàn)證

所有系統(tǒng)資源必須在用戶身份得到驗(yàn)證以后才可訪問，訪問權(quán)限由訪問身份決定。所有未經(jīng)授權(quán)的用戶，均無法訪問系統(tǒng)。身份驗(yàn)證采用用戶名加密碼的方式來實(shí)現(xiàn)，用戶名不能重復(fù)使用。在用戶忘記密碼時，系統(tǒng)管理員可以將密碼置為初始密碼，但無法查獲用戶原來使用密碼。用戶密碼使用單向加密碼算法進(jìn)行加密，程序員不可能利用算法推算出用戶密碼。在對用戶密碼進(jìn)行加密時采用帳號做為Salt進(jìn)行加密，保證不同用戶在密碼相同時，在數(shù)據(jù)庫中存儲也不相同。這樣將無法采用數(shù)據(jù)庫復(fù)制密碼的方式來破解系統(tǒng)。用戶密碼在數(shù)據(jù)庫采用加密方式存儲。

2、授權(quán)訪問

授權(quán)訪問主要是通過RBAC模型來實(shí)現(xiàn)的。系統(tǒng)的所有權(quán)限授予角色，用戶通過加入不同角色來獲取相應(yīng)權(quán)限。RBAC模型已很成熟，在此不再詳述。

3、安全審核

系統(tǒng)對所有涉及安全的訪問均進(jìn)行日志記錄，這樣即使系統(tǒng)安全被攻破，也能留下各種相關(guān)記錄，以便事后查詢。

4、數(shù)據(jù)安全

本系統(tǒng)的數(shù)據(jù)安全實(shí)現(xiàn)以下兩點(diǎn)：一是不同的平級部門的用戶不能互相查看任何業(yè)務(wù)數(shù)據(jù)。二是上級部門可以查看下級部門的任何業(yè)務(wù)數(shù)據(jù)。數(shù)據(jù)權(quán)限不能通過授權(quán)的方式來獲得。

2、通訊安全設(shè)計

本系統(tǒng)是一個基于互聯(lián)網(wǎng)的分布式系統(tǒng)，大量的關(guān)鍵業(yè)務(wù)數(shù)據(jù)在互聯(lián)網(wǎng)上傳送，通訊安全非常重要。本系統(tǒng)采用VPN+.Remoting的方式來實(shí)現(xiàn)互聯(lián)網(wǎng)上的通訊。VPN來保證傳輸?shù)陌踩裕?Remoting采用二進(jìn)制方式進(jìn)行傳輸，以此來保證系統(tǒng)的高效性。

3、IC卡系統(tǒng)的安全設(shè)計

1、生成密鑰

首先，由領(lǐng)導(dǎo)輸入初始密碼（8位），然后由系統(tǒng)根據(jù)該密碼進(jìn)行運(yùn)算，計算出系統(tǒng)的A密碼和B密碼，最后將A密碼保存至數(shù)據(jù)庫，將B密碼保存至IC卡中。

系統(tǒng)中的A密碼用于控制對加油卡讀取數(shù)據(jù)，B密碼用于控制對加油卡寫數(shù)據(jù)，只有驗(yàn)證B密碼正確，才能進(jìn)行密碼的更改及數(shù)據(jù)的寫入。

2、制卡

在進(jìn)行制卡時，讀取系統(tǒng)的A、B密碼，將A、B兩套密鑰裝載至卡中，然后將卡號寫入加油卡中。同時將卡的序列號讀出，系統(tǒng)將卡序列號，卡號及A密碼（該信息需加密存儲）記錄在數(shù)據(jù)庫中，防止卡被復(fù)制。

3、讀卡 需要讀數(shù)據(jù)時，先從卡中讀出卡序列號，然后在數(shù)據(jù)庫中查找該序列號對應(yīng)的卡號及A密碼，將該卡號和A密碼與卡中的相關(guān)信息進(jìn)行比對，若相同則認(rèn)為是合法卡，否則，給出錯誤提示，該卡不能使用。

4、其它安全設(shè)計

本系統(tǒng)是一個管理錢的系統(tǒng)，數(shù)據(jù)的準(zhǔn)確性與不可篡改性非常重要。系統(tǒng)內(nèi)部所有涉及錢的業(yè)務(wù)部分均采用標(biāo)準(zhǔn)財務(wù)記帳的方式來進(jìn)行處理。所有涉及錢的單據(jù)均不能刪除，只能采取紅字沖帳的方式進(jìn)行處理。系統(tǒng)設(shè)計有帳務(wù)自動審核系統(tǒng)，在夜間自動記帳時對帳務(wù)進(jìn)行審核。一旦出現(xiàn)非法修改系統(tǒng)數(shù)據(jù)現(xiàn)象，將會自動記錄日志報警。并對非法客戶或卡進(jìn)行封鎖。

五、產(chǎn)品主要功能

5.1業(yè)務(wù)管理子系統(tǒng)

5.1.1系統(tǒng)操作

1.登錄 2.修改密碼 3.系統(tǒng)初始化

5.1.2業(yè)務(wù)流程處理

1、發(fā)多用戶卡

2、發(fā)單用戶卡

3、發(fā)定額卡

4、多卡授信

5、客戶充值

6、充值撤單

7、定額卡銷售撤單

8、卡掛失

9、卡解掛

10、卡注銷

11、換卡

12、黑名單管理

13、優(yōu)惠管理

14、卡限制信息

15、票據(jù)管理

16、積分管理

5.1.3查詢操作

1、客戶分類統(tǒng)計

1）分卡類型統(tǒng)計 2）分客戶統(tǒng)計

2、客戶積分查詢

3、卡銷售統(tǒng)計

4、定額卡銷售查詢

5、特殊業(yè)務(wù)查詢

6、業(yè)務(wù)報表

1）銷售明細(xì)查詢(營業(yè)網(wǎng)點(diǎn))2）定額卡銷售日報(營業(yè)網(wǎng)點(diǎn))3）定額卡銷售日報 4）定額卡銷售月報 5）加油IC卡充值日報 6）加油IC卡充值月報 7）加油IC卡銷售日報 8）加油IC卡銷售月報 9）加油流水查詢

7、客戶往來查詢 1）客戶往來明細(xì)查詢 2）客戶往來日帳查詢 3）客戶往來月帳查詢 4）客戶IC卡加油查詢

8、加油站報表查詢

1）加油站日明細(xì)報表查詢 2）加油站日報表查詢 3）加油站月報表查詢

9、分公司報表查詢

10、定額卡賬務(wù)查詢 1）定額卡明細(xì)賬查詢 2）定額卡日賬查詢 3）定額卡月賬查詢

11、客戶消費(fèi)信息查詢 1）客戶累計消費(fèi)查詢 2）客戶消費(fèi)明細(xì)查詢

5.1.4自用油操作

1、自用油客戶管理

2、自用油報表查詢

1）加油站自用油明細(xì)查詢 2）加油站自用油日報 3）部門自用油月統(tǒng)計查詢

5.1.5清分清算

1.清分清算

2.清分清算明細(xì)查詢 5.2加油管理子系統(tǒng)

5.2.1系統(tǒng)操作

4.登錄 5.修改密碼 6.系統(tǒng)初始化

5.2.2業(yè)務(wù)處理

1.查看卡片基本信息 2.加油支付 3.錯單處理 4.打印單據(jù)

5.2.3報表

1.加油站班報 2.加油站日明細(xì)報表 3.加油站日報表查詢 4.加油站月報表查詢

5.3 IC卡管理子系統(tǒng)

5.3.1系統(tǒng)操作

1.登錄 2.修改密碼 3.系統(tǒng)初始化

5.3.1業(yè)務(wù)處理

1.管理卡制作 2.IC卡制卡 3.卡復(fù)位 5.4系統(tǒng)管理子系統(tǒng)

5.4.1系統(tǒng)操作

1.登錄 2.系統(tǒng)初始化 3.修改密碼

5.4.2基礎(chǔ)資料管理

1.內(nèi)部單位管理 2.地區(qū)管理 3.地區(qū)單位管理 4.油品資料管理 5.方式類別管理 6.零售價格錄入 7.記賬期間設(shè)置

5.4.3安全管理

1.角色管理 2.操作員管理 3.系統(tǒng)功能維護(hù) 4.角色功能授權(quán) 5.操作員授權(quán)管理 6.日志瀏覽

六、產(chǎn)品性能安全指標(biāo)

1、性能指標(biāo)

在給定的硬件環(huán)境下，用戶的界面響應(yīng)靈敏度小于1秒，響應(yīng)時間小于5秒。系統(tǒng)可支持１００個同時在線用戶。

2、網(wǎng)絡(luò)安全

1.提供通訊保護(hù)，通過觀察通信數(shù)據(jù)而不可能推斷出其中的機(jī)密信息。2.在網(wǎng)絡(luò)突然中斷時，不能發(fā)生數(shù)據(jù)錯誤。3.網(wǎng)絡(luò)用戶不能采用非法方式進(jìn)入系統(tǒng)。

3、系統(tǒng)安全

1.、身份驗(yàn)證。要求為所有進(jìn)入系統(tǒng)的用戶必須經(jīng)過身份驗(yàn)證。

2、系統(tǒng)功能采取授權(quán)方式訪問。

3、對關(guān)鍵數(shù)據(jù)訪問有審核，并記錄日志。

4、可以實(shí)現(xiàn)數(shù)據(jù)安全認(rèn)證。

七、結(jié)束語

加油IC卡系統(tǒng)作為一種以卡代幣的零售方式管理軟件，全面實(shí)現(xiàn)了IC卡的制作、發(fā)放、使用、管理、統(tǒng)計等各方面的功能。它對成品油零售企業(yè)提升管理水平，增強(qiáng)客戶忠誠度方面起到了積極的作用。系統(tǒng)在設(shè)計過程中，充分考慮了當(dāng)前各種IC卡、磁卡的使用模式，幾乎兼容現(xiàn)有各種模式。對方便最終用戶使用，方便客戶管理業(yè)務(wù)，提供了一個強(qiáng)大的管理工具。我們相信，通過使用本系統(tǒng)，一定會給客戶帶來意想不到的各種好處。如果您想要更深入的了解本系統(tǒng)，賽思通公司隨時歡迎您的垂詢。