XX移动终端安全管理.doc

XX移动终端安全管理技术方案XX科技有限公司目 录1建立统一的终端安全管理的必要性11.1通信行业的信息系统发展趋势11.2山西移动的终端安全管理面临的困难和压力31.3建立统一的终端安全管理52为什么选择SmartTM73SmartTM解决方案总体概述103.1山西移动的终端安全管理需求103.1.1提高设备利用率103.1.2提升人员效率103.1.3满足星级服务要求113.1.4实现设备状态监控113.1.5资产管理123.1.6策略管理123.2SmartTM解决方案总体设计思路123.2.1方案设计原则123.2.2统一的集成化管理平台133.2.3支持多厂商设备133.3SmartTM系统架构144SmartTM终端安全管理功能实现174.1提高设备利用率174.2提升人员效率174.3满足星级服务要求184.4实现设备状态监控194.5资产管理244.6策略管理274.6.1软件使用监控274.6.2文件操作监控294.6.3网络访问和外联管理304.6.4客户端流量管理控制314.6.5违规客户端远程阻断324.6.6策略支持上级锁定并强制下级执行324.6.7统计报表325SmartTM系统安全性335.1多用户管理335.2安全审计335.3HTTPS支持335.4SNMP V3支持345.5数据传输加密346SmartTM项目实施方案356.1SmartTM终端安全管理系统部署（带参考图）356.1.1SmartTM终端安全管理服务器部署356.1.2管理客户端部署366.2终端安全管理服务器软硬件配置建议366.3实施计划367附录387.1SmartTM应用案例387.1.1电信行业成功案例387.1.2金融行业成功案例387.1.3政府行业成功案例387.1.4大型企业成功案例397.2典型案例说明39图表目录图 51 神州数码IT运行管理平台系统结构图14图 52 山西移动IT综合运维管理系统整体结构图15图 53 TopN统计16图 511 客户端代理安装检测策略19图 519 客户端安全漏洞扫描20图 58 杀毒软件检测策略配置21图 59 事件处理预案定义界面22图 510 将安全策略与事件处理流程绑定23图 54 客户端注册界面25图 55 客户端注册后显示的代理安装选项页面26图 56 客户端注册信息查看27图 526 主机进程安全策略定义界面29图 518 网络流量异常配置32表格 1 软硬件配置清单36表格 2 实施计划371 建立统一的终端安全管理的必要性1.1 通信行业的信息系统发展趋势作为现代经济的重要组成部分，通信行业通过数据交换，在提高社会运行发展效率中发挥着基础性作用。特别是在当今信息时代，通信业既面临着高科技带来的巨大发展机遇，也面临着行业壁垒被高科技企业和综合服务攻破之后的激烈竞争，传统通信行业面临向现代金融服务业转变的艰巨任务。我们调查发现，一直以来，通信行业都非常重视信息技术的应用，信息技术不但在建设方便、高效、安全的金融服务体系中发挥基础作用，而且对于提高企业内部管理水平进而提高资源配置效率更是具有重要意义。通信业是现代服务业的重要组成部分，它通过沟通整个社会的经济活动而成为现代经济的核心。作为知识密集型产业，现代通信行业在组织结构、业务流程、业务开拓以及客户服务等方面，日益体现出以知识和信息为基础的特征。这种行业属性决定了现代通信业必须以飞速发展的信息技术为支撑，通信信息化顺势而生。在通信业日益显现对社会运行发展的强大支撑能力之时，信息化已经成为现代通信服务的命脉。总之，随着通信行业信息化的不端发展，信息化发展已经涉及通讯系统、备份系统、应急系统、加密系统、维护系统、监控系统等一整套系统的建设，从而对网络、服务器、通信线路、信息系统的安全等各方面的要求大大提高了，对整个IT系统的管理和维护服务要求也大大提高。近年来，网络安全威胁愈演愈烈，网络攻击工具越来越多样，越来越容易获得，所需要的技能越来越低，只需拷贝一个黑客程序就可以进行攻击，漏洞利用的时间越来越短。攻击的目的性，过去纯粹为了比技术，现在商业目的越来越明显。下面有一组数据，说明当前网络安全的严峻形势：据公安部2005年度针对1.2万家信息网络使用单位，涉及政府机关、电信广电、能源交通、金融证券、教育科研、商业和制造业等领域的全国信息网络安全状况暨计算机病毒疫情调查结果显示：l 2005年，感染过计算机病毒的用户数占被调查总数的80%l 多次感染计算机病毒的比率为54.7%l 2005年中国有将近90%的用户遭受间谍软件的袭击另根据中国国家计算机网络应急技术处理协调中心公布的数据：2005年6月9月国内发现较大规模僵尸网络59个，平均每天有3万台电脑被控制。统计分析近年来频繁发生的网络安全事件可以发现，其中相当大的比例是由于内部网络的桌面电脑遭受黑客、病毒、间谍件攻击，导致大规模的网络瘫痪。为什么在安全已经受到高度重视的今天，还频频发生如此之多的安全事件呢？经过分析，我们可以发现产生这些内网安全事件的主要原因在于：n 对内部终端安全管理的重要性认识不足。绝大多数遭受内网安全事件的组织，原先对网络安全的认识就是要防范来自外部网络的攻击，在内部终端安全管理上不够重视。多数组织仅仅建立边界安全控制，如：防火墙，IDS，IPS，但是边界安全控制不能完全阻断病毒、黑客的侵入。很多安全事件是由于外来笔记本电脑直接接入内部网络，或者内部网络的桌面电脑直接拨号上网引起。n 需要保护的对象太多/应用环境复杂。以往解决网络安全问题，只需要保护好网络设备、服务器系统的安全即可。现在却需要保护数以百计的桌面电脑的安全，只要有个别桌面电脑感染网络病毒或者被安装木马，即会导致网络瘫痪。采用传统的技术手段来保护数以百计的计算机安全是很困难的，因为桌面电脑的用户大多是非计算机专业人员，对安全设置、补丁管理认识不足。n 技术手段限制。在没有技术手段的情况下，终端安全管理员既不能及时掌握系统的整体安全(漏洞)状况，也不能及时发现被感染/攻击/中招的电脑。一旦发生桌面电脑感染病毒或被安装破坏力强的木马，必然导致严重的网络安全事故。n 资源投入限制。由于人力、物力的限制，任何政府单位、企业都不可能为保障安全投入无限的资源和费用，也很难对众多的设备进行分级、分类安全管理。分析这些安全事件，一个非常值得注意的趋势是：网络安全已经不仅仅是网络设备、服务器系统的安全问题，终端电脑的安全问题已经成为网络安全中最为严重的问题。此外，由于计算机系统是一个复杂的系统，电子器件老化、线路与电源故障，或者设备配置失误，都有可能导致系统的中断。如何在系统发生故障的情况下，第一时间发现故障源并且及时恢复系统运行，这是一个至关重要的问题。为解决安全、故障、性能管理问题，以及IT系统运行管理中的其它问题，我们需要建立一整套IT运行监控与终端安全管理系统，对IT系统进行全面的综合管理和监控。1.2 山西移动的终端安全管理面临的困难和压力山西移动网络采用全省数据大集中模式，目前网络已基本建成连接省中心、市中心、县中心、营业网点的计算机主干网和各级局域网，网络已经覆盖全省的乡镇。约有4000-5000台左右营业终端，分布在全省11个地市近千个营业厅中，为用户提供着高水平的服务。在这些终端中，有些终端在相当长一段时间内处于闲置状态。有些终端出现了软件或者硬件的故障。这些终端分布的地域非常广，而IT管理人员不可能花费巨大的人力物力去逐台检查。网络拓扑如下：山西移动的维护人员疲于被动地应对多套管理工具，多种形式的告警。分离的故障和投诉不仅大大降低了已有网络资源的利用效率和维护人员的工作效率，也造成IT管理严重脱节于企业业务的整体管理，新业务的扩展不断引起IT建设和维护成本的飞涨。随着山西移动网络规模的不断扩大，网络设备数量和各种应用软件系统的渐渐增多，软件和硬件设备出现问题的情况也越来越多，技术管理人员现在处于一种“救火员”工作方式，就是哪里出现问题，就去哪里救火解决问题。因此，建设IT系统综合管理平台实现对所有IT系统和资源的24小时无人值守就成了当务之急山西移动目前运维系统面临的主要困难是：一是资源分散，缺乏统一全面的了解；二是运维手段较落后，对系统故障和效率下降缺乏预警和分析工具；三是缺乏与系统管理紧密结合的运维管理工具；四是缺乏对运维管理人员绩效考核的有效工具。山西移动的信息部门面临着前所未有的IT系统运行维护压力，这些压力包括：（1） 如何对遍布全省的支撑业务系统的计算机网络系统（包括线路、网络、桌面电脑、移动笔记本等）进行故障、性能和安全管理监控，确保计算机网络的安全、稳定运行；（2） 如何对遍布全省各地的IT维护人员进行有效管理，确保IT维护人员能够确实有效执行各项工作任务以及避免误操作；（3） 如何对网络系统进行有效监控，在网络系统出现软、硬件故障时对其进行及时的处理和报告；（4） 如何确保单位的信息系统管理机制能够正常、准确运作，在发生各种物理故障（线路、设备），人为故障（内部误操作、外部攻击）的情况下，这些问题能够得到及时、有效的处理。此外，愈演愈烈的安全攻击和安全威胁，网络病毒、外来黑客攻击、内部人员的非法行为等加剧了IT部门的运行维护压力。1.3 建立统一的终端安全管理为加强对IT系统的管理监控，应对面临的各种安全威胁，保障各项通信业务能够正常、有效地开展，建立一个统一的终端安全管理系统刻不容缓。分析山西移动的信息系统，我们认为给IT系统的正常运行维护带来的主要困难来自于：（1） 山西移动分支多，物理位置分散，人工管理困难。山西移动的计算机网络系统遍布每个营业网点，各种计算机设备、通信线路遍布全省，简单的人工管理根本无法做到及时发现设备、线路的故障和问题；（2） 频频发生的病毒、网络安全威胁给维护工作带来了极大的困扰。近年来，各种网络病毒、网络安全攻击事件频频报道于各种媒体，山西移动的计算机网络因为非常分散，非常容易遭受各种外来认为、内部人员的安全攻击，也非常容易遭受网络病毒的侵害；（3） 山西移动信息系统复杂、庞大，IT系统可能出现的问题种类繁多，出现问题后定位困难。例如，要维持业务系统的正常运行，必须确保省联社和各市联社网络设备、通信线路、操作系统、数据库、电脑PC等各种设备和系统的正常工作，任何一个环结的问题都会导致业务中断；（4） 维护人员多，对维护人员本身的管理难度大。由于维护人员的数量多，而且有相当数量的维护人员分散在各个营业网点，如何规范维护人员的日常维护操作行为，避免误操作或不按规定操作维护；以及如何对维护人员的工作进行有效的管理和评估。所有这些，对信息部门的主管来说均有很大难度。通过分析山西移动在终端安全管理上所面临的各种困难、压力和安全风险，我们认为山西移动非常有必要建立统一的终端安全管理系统，以解决如下几个方面的问题：（1） 对包括通信线路、网络、桌面电脑等在内的，所有与业务系统相关的设备、系统的集中统一的故障、性能和安全监控；（2） 对接入网络的各种计算机设备进行控制，防止非法接入。防止非法接入的计算机因为感染病毒或者人为恶意破坏导致计算机网络系统或者服务器系统的瘫痪；（3） 对维护人员的行为规范进行管理，建立各种故障的处理流程，确保信息系统一旦出现问题即会有人及时去处理、排查直至消除故障。综上所述，山西移动急需规划建立一套集中式运维和监控管理电脑系统，以技术促业务，逐步完善公司的IT运维保障体系，满足公司管理和业务对IT系统安全运行的需要。2 为什么选择SmartTMSmartTM系统能够很好满足山西移动IT安全运维管理系统的需求，和其他产品相比，有如下特点： 集成平台，统一管理 支持对桌面和网络设备、线路的集中监控； 无需学习多套系统，维护简便； 上手快，轻松管理； 设备自动发现与资产管理 自动发现网络上的所有接入设备； 可依据IP/MAC/主机名以及资产的配置对接入设备快速定位； 自动发现组织内所有桌面电脑的软硬件配置信息、桌面电脑网络连接信息和运行状态信息，建立资产基线； 支持配置变更自动发现与报警； 自动维护软硬件配置变更历史信息。 桌面电脑安全主动评估，发现安全隐患 自动发现存在安全隐患的桌面电脑，并提示系统管理员和用户要采取的弥补措施； 桌面电脑网络流量异常评估，及时发现异常流量桌面电脑； 桌面电脑安全配置评估，及时发现安全设置不完善的桌面电脑； 可疑注册表项、可疑文件检查； 灵活配置各种安全隐患条件； 多种方式控制/限制存在安全隐患的桌面电脑接入内部网络。 桌面电脑安全加固，防患于未然 补丁漏洞自动修复，支持桌面电脑操作系统补丁、MS应用软件补丁自动更新、自动升级； 支持登录口令强度检查、Guest帐户检查、屏幕保护检测等桌面电脑安全加固功能； 禁止各种默认共享、禁止修改IP地址、禁止修改注册表； 强制安装防病毒软件与更新病毒库； 禁止运行非法进程； 内置桌面电脑个人防火墙，既可限制外部网络直接访问桌面电脑，又可以限制桌面电脑去访问一些不允许的网络服务； 非法操作监管，让管理规定令行禁止 检查桌面电脑是否安装了非法软件； 支持对USB硬盘、Modem拨号、无线通讯、红外通讯、蓝牙通讯、同时使用内外网卡等非法操作的监控、审计和禁止使用； 支持对网上聊天、BT下载的监控、审计和禁止； 支持对HTTP访问、Email、网络文件拷贝等行为进行审计，或禁止； 支持离线管理，可以支持桌面电脑在离开网络之后安全策略仍然有效； 软件分发，功能强大、快速分发 在不对客户端用户造成负担的前提下，确保安全补丁和病毒特征码的正常发放和安装； 支持大规模数量的客户机、大型软件的快速分发，支持MultiCast分发、断点续传、多文件服务器等技术； 支持自动安装、手段安装，支持多种打包工具和打包格式，如：Wise、MSI打包。 可以方便灵活地按网段、部门、IP、操作系统类型等条件选择软件分发目标。 远程协助与监控，不到现场、胜过现场 实时监控客户端画面； 可以选择远程控制或者只监视不控制，满足各种场合的需要； 可以同时监控多台客户端画面。 分级、分域、分权限管理SmartTM支持信息资产安全分级管理，各种安全管理策略可以按照：部门、IP网段、IP范围、设备组、操作系统类型、操作系统语言等条件定义安全管理策略的应用范围。 全中文web管理界面SmartTM支持全中文的WEB管理界面，管理员可以在任何能够联网的地方访问“IT安全运维管理系统”，完成管理维护工作。 源代码级技术支持神州数码科技拥有SmartTM的全部知识产权，向用户提供源代码级技术支持。多年来我们积累了丰富的系统管理方面的开发经验，能很好地满足企业个性化信息平台运营维护方面的需求。3 SmartTM解决方案总体概述3.1 山西移动的终端安全管理需求3.1.1 提高设备利用率 收集设备使用信息首先需要对设备的开机情况例如开机运行时间等，进行信息的收集。可以使用客户端运行的代理程序来统计开机运行时间。 统计设备使用情况利用收集到数据库的设备运行信息进行统计分析。借助保存终端运行信息的数据库，通过指定时间范围（按日、周、月、年以及任意时间段等）、指定终端范围（单个、厅、县、地市、省以及任意自定义范围）来生成报表。 监测资源使用情况监测资源的使用情况，在高于或者低于特定阀值的时候，进行资源调配。通过对数据库记录的服务时间信息，可以设定一些特定阀值。当统计数据超过阀值的时候，可以借由报表体现出来，方便进行相应的调整。3.1.2 提升人员效率 收集人员工作时间使用客户端代理程序的人员终端代理模块，收集客户服务人员的服务时间信息，对每一次客户服务时间进行累计。获得人员工作时间。 计算人员工作效率根据收集的人员工作时间信息，计算客户服务人员工作效率。通过数据库里保存的时间信息来产生客户服务工作情况报表，报表可以根据不同时间周期（按日、周、月、年以及任意时间段等）来计算人员（某个人或任意范围的人员）工作效率。l 监测资源使用情况监测资源的使用情况，在高于或者低于特定阀值的时候，进行资源调配。通过对数据库记录的服务时间信息，可以设定一些特定阀值。当统计数据超过阀值的时候，可以借由报表体现出来，方便进行相应的调整。3.1.3 满足星级服务要求l 收集服务响应时间信息服务响应时间指的是从客户开始办理业务到业务办理完成的整个阶段的时长。可以通过排队机记录的信息或者特制的硬件开关配合人员终端代理模块记录信息来进行收集。l 统计服务响应时间通过统计服务响应时间，能够发现哪些地方容易形成服务响应过慢的情况，结合其它的信息，可以进行判断，是否是由于客户服务人员不熟练、是否是由于终端故障、是否由于网络问题等等。3.1.4 实现设备状态监控通过对设备的监控，及时发现出现故障和推出服务的设备，以及时响应或者调配资源。l 监控设备运行情况扫描和监控设备运行的情况，定时将信息提交服务器，并在系统出现故障时向服务器告警。l 统计设备运行状况根据收集的设备运行信息，可以统计设备的运行状况，既有多少终端当前在用、多少终端出现故障、多少终端报损等等。l 统计退服率可预先定义一个超时阀值，当终端超过这个时限未能与服务器联系，则认为该终端已经退出服务。通过在服务器上借助数据库，统计未在指定时限内更新数据的客户端，即可统计退服率。l 统计故障率利用设备终端代理模块，可以上报出现故障的客户端。通过在服务器上借助数据库，统计有故障的客户端，即可统计故障率。实现这一需求需要使用到的技术模块是后台服务模块、设备代理模块、数据库模块、报表模块。3.1.5 资产管理利用成熟软件加上个性化开发，实现软硬件资产的自动上报，并根据收集的数据，生成相应的报表。可以针对需求自定义报表及用户界面。3.1.6 策略管理利用成熟软件加上个性化开发，实现对终端的行为控制的策略化管理。通过统一定制的策略来管理终端的运行行为，并且可以实现分级管理。例如对特定程序进行限制、阻止访问特定设备等等。3.2 SmartTM解决方案总体设计思路3.2.1 方案设计原则在“IT管理”方面，目前全球各大企业均在部署实施IT服务管理系统，IT服务管理是用来提升IT服务效率，协调IT服务部门内部运作，改善IT部门与业务部门之间的沟通，帮助企业对信息化系统的规划、研发、实施和运营进行有效管理的方法。IT服务管理结合企业环境、组织结构、IT资源和管理流程特点，将流程、人和技术三方面整合在一起来解决IT服务管理问题。IT服务管理以客户需求（在企业内部则为企业内各部门的业务需求）为中心，支持企业的业务服务。IT服务管理实施有一套被国际上大公司普遍采用的行业标准IT基础架构库（ITIL），即IT服务管理最佳实践。ITIL最佳实践为IT服务管理定义了十个管理流程和一个管理职能，它们包括：事故管理流程、问题管理流程、变更管理流程、发布管理流程、配置管理流程、服务级别管理流程、可用性管理流程、能力管理流程、IT财务管理流程、可持续性管理流程、服务台。前五个管理流程加上服务台是IT服务管理日常运行中的流程，是基础流程；后五个管理流程是IT服务战略性流程，是为了评估、考核IT服务管理水平的流程。全球超过10000个IT用户实践经验表明，ITIL是IT服务管理的最佳实践。解决方案的设计要采用IT服务管理的理念，按照ITIL最佳实践标准来设计。整体系统的设计采用以下具体原则： 先进性原则：提供一致的管理平台和管理界面，在复杂的IT异构环境中实现统一管理，实现分布式、跨平台、跨系统的集中管理。 开放性原则：能够提供标准的和开放的应用接口及开发工具，符合IT技术未来的发展方向。 可扩展性原则：具有高度可扩充性，能随IT系统和企业业务的增长而增长。 安全性原则：对监控对象性能影响小，安全策略执行有效。 易用性原则：提供运行维护管理平台与工具，简单、友好的界面，进行直观的操作和管理，提供丰富准确的报表和统计数据。3.2.2 统一的集成化管理平台IT系统管理是多层次、多视图立体的管理系统。从管理对象角度，IT系统管理需要覆盖到网络设备、主机设备、标准的和非标准的应用系统。从管理功能角度，IT系统管理需要提供整个IT系统的故障管理功能、性能管理功能、配置管理功能和安全管理功能。解决方案要向IT系统管理员呈现整个计算机网络系统整体运行状况，有一个统一入口，有整体的运行状况监控图和统一的事件控制台。在系统运行状况监控图中，系统管理员不仅可以看到网络设备的运行状况，也能够看到主机设备、各种应用系统的运行状况；不仅能够看到故障信息，也能够看到整个计算机网络系统运行的性能信息、配置信息和安全信息。3.2.3 支持多厂商设备解决方案设计的系统要能够实现对主流厂商的网络设备、主机设备、网络安全设备、应用系统和各种PC机的管理，是一个采用国际、国家或者行业标准的开放系统，以便能够支持升级后的IT系统管理。3.3 SmartTM系统架构SmartTM系统（简称为SmartTM）是深圳神州数码科技自主研发的IT安全运维管理产品，专门为企业和政府解决大量桌面PC安全管理和支撑关键业务的网络、主机、应用系统运行监控而设计，在设计上遵循国际IT服务管理标准ITIL标准和IT安全管理标准ISO17799标准。SmartTM产品架构如下图所示。图 51 神州数码IT运行管理平台系统结构图SmartTM分为三个层次：（1） IT安全运行管理门户。将所有IT运行管理相关的工作和任务以综合门户方式展现，提高管理效率并简易操作。IT运行管理门户向IT管理员展现整个IT系统包括网络、主机、数据库、各种应用系统的运行状况信息和IT系统资源配置信息，记录事件处理过程的历史信息，为用户提供知识库查询帮助。通过屏幕、Email、短信、声音、Message、电话等通知IT管理员。IT运行管理门户部分实现了ITIL最佳实践的服务台功能。（2） IT管理业务。IT管理业务层包括了各种IT服务管理业务实现模块。配置管理是IT管理业务层的基础，它负责自动收集IT系统的各种配置信息，为其它IT管理业务模块提供统一的配置数据库。事故管理、发布管理、服务级别管理模块、安全管理模块实现ITIL的服务支持流程。（3） 采集器/控制器。采集器和控制器与被管理IT资源进行数据通信，通过标准和非标准通信协议从被管理IT资源采集运行状况信息、控制被管理IT资源。其中最重要的两个采集器和控制器是SNMP代理和UniAccessTM代理。SNMP代理实现对宿主机器和应用系统运行状况的实时监控，主流的网络设备、主机设备和标准应用系统都会提供SNMP代理。UniAccessTM代理是神州数码科技提供的私有代理，实现对宿主机的软硬件配置信息采集、安全策略控制、软件自动安装、网络准入控制功能。SmartTM将网络、主机、数据库等关键IT设施的监控和办公网中的桌面PC的安全管理集成在同一个产品平台上，可以为山西移动IT系统的安全运维管理提供完整解决方案，如下图所示。图 52 山西移动IT综合运维管理系统整体结构图作为通用系统管理平台，SmartTM实现了网络、防火墙、IDS、主机、数据库、应用系统等的运行状况监控。SmartTM的统一运行监控体系如下图所示。SmartTM为用户提供的多层次的安全防御体系，其体系结构如下图所示：图 53 TopN统计4 SmartTM终端安全管理功能实现4.1 提高设备利用率l 收集设备使用信息桌面电脑接入网络后，在不需要安装任何代理的情况下，SmartTM可以在第一时间发现该桌面电脑，包括：桌面电脑的MAC地址、IP地址、设备名、连接的网络交换机、连接的网络交换机端口、信息点号。桌面电脑离线时SmartTM也能够在第一时间发现。l 统计设备使用情况对设备接入网络和离开网络行为进行审计，记录设备地址信息、接入网络时间、离开网络时间、连接的网络交换机及其端口信息。用户可以按条件查询，指定时间范围（按日、周、月、年以及任意时间段等）、指定终端范围（单个、厅、县、地市、省以及任意自定义范围）来生成报表。l 监测资源使用情况用户可以按各种配置条件和运行状态条件对设备进行分组管理，如可以按操作系统、硬盘大小、内存大小、IP地址范围、部门、用户、MAC地址范围、是否安装SmartTM代理、是否在线等分组显示设备信息。对于新接入的设备、或者配置和状态发生变化的设备，系统会自动按分组规则将设备划到相应设备组中。用户也可以手工将某个设备指定为某些设备组。设备分组管理有助于向用户展现他最关心的设备信息，进行资源调配。并可以统计数据生成报表。4.2 提升人员效率注：该部分功能需要定制开发。 收集人员工作时间山西移动的业务办理系统中，应该会保存有每笔业务的相关数据，包括业务开始办理时间、业务结束办理时间、业务办理结果、业务办理人员等。可以从业务数据库中采集这些信息，然后进行分析、统计。 计算人员工作效率综合以上数据，可以产生以下统计报表：各类业务处理时间统计表可以统计、分析任意时间范围、任意范围人员（按照分公司、部门等）的各种业务的处理时间。人员效率统计表可以统计、分析任意时间范围、任意范围人员（按照分公司、部门等）的工作效率，每天处理多少业务，每笔业务花费多少时间等。l 监测资源使用情况综合以上数据，可以产生以下统计报表：业务终端利用率统计表可以统计分析任意时间范围、任意范围的终端的利用率，每台终端每天有多少时间用于处理业务，有多少时间闲置。4.3 满足星级服务要求注：该部分功能需要定制开发。l 收集服务响应时间信息业务监控是从人员、设备的角度来提高效率，而服务响应监控则从客户的角度来帮助进一步优化资源配置，改进业务流程。客户在进入营业厅到开始办理业务之间一般都要排队等待，对于已经配备了自动排队机的营业厅，则可以从排队机中获取相关的数据，和业务监控的数据结合起来分析每个客户的排队等候时间。如果有可能，需要修改现有业务系统，将排队号码录入到每笔业务记录中，这样可以建立起每个排队号码与每笔业务的关联关系，更便于进行服务响应的分析。l 统计服务响应时间综合以上数据，可以产生以下统计报表：客户排队等待时间统计可以统计、分析任意时间范围、任意分公司、部门的客户排队等待时间客户放弃排队情况统计可以统计、分析人员时间范围、人员分公司、部门的客户放弃排队和办理业务的次数以上报表可以作为优化资源配置，改进业务流程，提升用户满意度的各项措施的重要依据。4.4 实现设备状态监控l 监控设备运行情况SmartTM系统就可以自动发现网络上所有可网管的网络设备和主机设备，发现这些网络设备之间的物理连接关系，发现网络设备与主机设备之间的运行状态，可以将二层拓扑发现的结果以图形方式显示。SmartTM可以设置策略来检查接入到网络的终端设备是否安装了客户端代理，当未安装客户端代理或者客户端代理被卸载的终端设备接入到网络时，可以自动产生告警事件，通知系统管理员。安全策略配置界面如下图所示。图 54 客户端代理安装检测策略SmartTM可以对客户端操作系统漏洞进行扫描，包括是否存在弱口令账号、是否启用Guest账号、账号口令是否很长时间没有修改、是否没有设置屏保口令、是否存在可写的共享目录、是否为加入到规定AD域、是否存在已知的黑客程序、是否安装了违禁软件、是否未安装必须安装的软件如防病毒软件、是否启用违禁进程等。所有这些漏洞信息都会在客户端按如下界面显示，提醒用户自己机器存在的安全漏洞，并且给出漏洞修复指南，用户可以按指南说明修复这些漏洞。另外所有漏洞也会通知管理员。图 55 客户端安全漏洞扫描SmartTM主机安全漏洞检测功能可以检查终端设备是否存在安全漏洞，包括指定版本的防病毒软件是否安装、防病毒软件的病毒特征库是否为最新的。管理员可以配置一个防病毒软件检测策略，界面如下：图 56 杀毒软件检测策略配置当检查出规定杀毒软件未安装或者病毒特征库不是最新时，将产生告警事件，并可以按照管理员定义的事件处理流程通知管理员，也可以通过客户端界面显示给终端用户。SmartTM事件处理流程预案是全局性的配置，管理员可以单独配置好需要的事件流程预案，然后将其与具体的安全策略绑定起来。下图是事件处理预案的配置界面。图 57 事件处理预案定义界面管理员可以定义告警事件发生时应该按什么流程来处理告警事件，如Email通知、短信通知、Message通知、通知到客户端代理，也可以与防火墙、网络交换机进行联动控制客户端。当告警事件恢复时，也可以按流程进行处理。当定义安全策略时，可以指定违反该安全策略产生的告警事件采用什么事件处理流程进行处理，如下图所示。图 58 将安全策略与事件处理流程绑定l 统计设备运行状况SmartTM可以统计客户端代理安装信息、设备在线信息、设备离线信息、安全漏洞信息。管理员可以对这些审计信息进行按条件查询，并可以将报表导出到excel、本地打印。l 统计退服率SmartTM不仅可以发现新接入网络的设备，也可以发现长期未运行的设备，例如：系统管理员可以定义连续30天未连接到网络的设备为长期未运行设备，进而加强企业对固定资产的管理。l 统计故障率管理员可以在SmartTM管理界面上查询到设置的安全策略信息和所有安全漏洞信息，包括：设置的安全策略信息、终端安全漏洞信息、防病毒软件检测信息、客户端代理审计信息。管理员可以对这些审计信息进行按条件查询。SmartTM为上述安全审计信息提供报表，管理员可以将报表导出到excel、本地打印。4.5 资产管理SmartTM能够自动采集桌面电脑的软硬件配置信息并保存在中心数据库中。用户可以按条件查询具体配置信息。SmartTM可以管理的硬件配置信息有： CPU信息 主板信息：包括BIOS信息、PCI插槽信息 内存信息：物理内存大小、具体的内存条信息 硬盘信息：硬盘大小、速度、厂商、型号 光驱信息：光驱速度、厂商、型号 网卡信息 外设信息：通过串口、并口、USB口连接的设备信息，Modem状态信息 操作系统信息SmartTM可管理的软件配置信息有： 安装的软件名 软件厂商 版本 语言 安装日期 配置变更管理系统管理员可以配置需要关心的软件和硬件配置变更，一旦客户端相应配置发生变化，SmartTM即会立刻通知系统管理员，并且记录变更信息，如硬盘由40G变为80G、安装或者卸载了某个软件等。系统管理员可以事后对配置变更进行确认。SmartTM记录每台机器的配置变更历史信息，包括发生变更的时间、系统管理员对变更的确认，系统管理员可以按条件查询。 用户信息管理除了可以追踪PC机固定的软硬件配置信息外，系统管理员还可以追踪PC机的用户名、所属部门、用户职务、电子邮件等信息，从而将用户与桌面电脑捆绑在一起，便于管理。SmartTM的客户端代理支持通过Web方式安装。当客户端用户输入安装URL后，SmartTM会显示如下图所示界面，让用户输入注册信息。图 59 客户端注册界面 客户端只有注册后才能安装SmartTM代理，显示如下图所示的SmartTM代理安装界面。图 510 客户端注册后显示的代理安装选项页面客户端用户输入的注册信息被作为组织架构信息的一部分保存在数据库中。管理员可以通过如下界面浏览客户端注册信息。图 511 客户端注册信息查看 资产信息维护将设备与使用人、资产编号、购买合同、维修合同、购买日期、设备价值、报废日期、维护记录、历史用户等信息关联，便于日常资产管理工作。4.6 策略管理4.6.1 软件使用监控SmartTM可以通过白名单、黑名单方式定义违禁软件，这些违禁软件被运行时可以产生告警事件通知管理员，或者直接禁止违禁软件的使用。白名单是指只有指定软件为合法软件，除此之外的所有非系统软件都是非法软件。黑名单是指指定软件为非法软件，其他都是合法软件。在白名单定义方式中，SmartTM可以自动过滤掉Windows系统软件和SmartTM客户端代理。SmartTM支持三种方式来定义违禁软件：（1）通过进程名来定义，即软件运行后为指定进程名的即为违禁软件；（2）通过安装软件名称；（3）通过安装目录。SmartTM可以禁止用户通过直接运行exe程序、快捷方式、数据文件等方式来启动违禁软件。SmartTM的主机进程安全策略定义界面如下图所示。图 512 主机进程安全策略定义界面 4.6.2 文件操作监控SmartTM能够对文件拷贝进行监控，可以设置策略审计或者禁止文件拷贝到软盘、U盘、网络共享目录。审计信息包括何时、哪个终端、哪个用户、文件拷贝目标、文件名称、是否成功等。SmartTM可以设置策略监控客户端设备的某些指定目录下的文件操作，审计或者禁止客户端用户对文件做操作，包括文件的修改、删除、创建、打印、访问、复制、改名、恢复、移动等。审计信息包括何时、哪个终端、哪个用户、哪个文件、做了什么操作、是否成功等。SmartTM可以在指定的目标终端设备中搜索指定文件是否存在，并向管理员显示哪些终端设备存在指定文件以及所在的目录。4.6.3 网络访问和外联管理 网络行为审计与控制SmartTM的网络行为审计功能实现终端用户上网行为审计和控制，包括：（1） 通过白名单和黑名单，审计和控制web网站的访问，可以禁止终端用户访问一些非法web网站；（2） 通过白名单和黑名单，审计和控制通过POP3和SMTP服务器收发邮件，可以禁止终端用户通过外部邮箱收发邮件；（3） 对文件拷贝进行审计和控制；（4） 对MSN、QQ等聊天软件的使用进行审计和控制，可以禁止某个时间段内使用这些聊天工具；（5） 对BT、电驴等P2P软件的使用进行审计和控制，可以禁止这些P2P软件的使用。管理员可以为网络行为审计与控制策略定义适用场景，如终端在办公环境中策略生效，在家里就不生效等。上网行为的审计信息包括：何时、哪个终端、哪个用户、通过哪个程序访问网络、具体的网络行为、是否被终止、是否离线访问。 非授权外连SmartTM的非授权外连审计功能实现对非授权外连方式的审计和控制，包括USB大容量硬盘、Modem拨号、GPRS无线上网卡、CDMA无线上网卡、红外、蓝牙、光驱、软驱、双网卡等。SmartTM可以设置审计或者禁止使用这些外连方式。审计信息包括何时、哪台终端、哪个用户、使用什么外连方式、开始使用时间、结束时间、是否被阻止。管理员可以为非授权外连审计策略设置适用场景，如终端在办公环境中不能通过Modem拨号，但在外出差则可以Modem拨号通过VPN访问内部网络。 U盘控制SmartTM的U盘控制功能实现U盘的读写控制。管理员可以设置允许读的U判标识、允许写的U盘标识、对读写是否要审计。当U盘接入到客户端时，SmartTM会判断该U盘是可以被读、被写还是不可以接入到客户端，同时控制用户对U盘的操作。SmartTM可以审计U盘操作，审计内容包括何时、哪台终端、哪个用户、使用的U盘标识、做的操作、文件名称和大小等信息。4.6.4 客户端流量管理控制SmartTM实现对终端设备流量、广播包、TCP连接数进行监控，监测是否有异常，当异常时产生告警事件通知管理员。管理员可以通过安全策略来设置终端设备正常的流量范围、广播包数和TCP连接数，设置统计时间段。为了避免偶然峰值引起误报，如拷贝大文件，SmartTM可以统计连续多个采用周期的平均值来判断。下图是SmartTM网络流量异常配置界面。图 513 网络流量异常配置SmartTM可以向管理员展示所有终端设备的某个时间流量统计、流量排名和TCP连接数，并且提示管理员终端设备是否有可疑的TCP连接、流量是否可以、广播包是否可疑。4.6.5 违规客户端远程阻断SmartTM可以在事件处理预案中设置访问控制动作，包括：（1）SmartTM代理阻止终端访问网络；（2）关闭网络交换机端口；（3）控制防火墙禁止违规客户端访问网络资源。4.6.6 策略支持上级锁定并强制下级执行SmartTM有两种分级模式：一种是管理员权限分级；第二种是服务器分级。管理员权限分级模式，超级管理员和普通管理员权限划分，超级管理员可以修改任何普通管理员设置的策略，反之则不行。普通管理员可以修改本管理员组其他管理员设置的策略，但不能修改非本管理员组管理员设置的策略。服务器分级模式中，SmartTM上级管理域服务器设置的策略被强制下发到SmartTM下级管理域中，下级管理域的管理员不能修改上级设置的策略。4.6.7 统计报表管理员可以在SmartTM管理界面上查询到设置的安全策略信息和所有安全漏洞信息，包括：设置的安全策略信息、终端安全漏洞信息、网络异常审计信息、非授权外来信息（USB存储设备、Modem、无线上网卡、无线网卡、红外、蓝牙、双网卡等）、网络行为审计信息（上网行为、Email、文件拷贝、聊天、BT/电驴下载）、设备接入审计信息。管理员可以对这些审计信息进行按条件查询。SmartTM为上述安全审计信息提供报表，管理员可以将报表导出到excel、本地打印。5 SmartTM系统安全性5.1 多用户管理SmartTM系统实现了多用户管理。超级管理员可以创建不同的用户，给这些用户赋予不同的权限。权限的划分可以是按设备、按界面菜单、按监控画面（能够按功能和监控对象进行组合控制）。每个用户只能管理其具有管理权限的设备，只能使用SmartTM系统管理界面上其具有权限的菜单，只能查看其具有权限的监控画面。通过定义用户和配置用户权限，可以实现灵活的多用户管理和分级管理。这些用户，不论物理位置在何处，都可以通过IE浏览器登录到SmartTM系统的管理界面，不需要安装任何客户端软件就可以对自己权限范围内的设备、监控画面进行管理、查看。这样就可以实现集中式管理，既为企业节省了部署、安装的成本，又提高了管理水平与安全程度。5.2 安全审计 SmartTM对管理员做的登录、退出、增删改操作进行审计，审计内容包括哪个用户、通过哪个客户端、在什么时间、做了哪些动作。SmartTM的administators组管理员可以按条件查询这些审计日志信息。5.3 HTTPS支持为了防止管理员在通过Web登录后台时被人通过抓包方式获得管理员的口令，SmartTM支持两种方式的Web数据包加密通讯：（1） 整个访问都采用HTTPS协议，这样IE浏览器和SmartTM服务器之间的所有数据包都被加密传输。这种方式安全，但页面访问速度慢；（2） 只对登录过程的数据包采用HTTPS协议加密传输，其他页面的访问仍采用HTTP。这种方式即可以防止管理员口令被窃取，又可以不影响管理页面的正常访问。5.4 SNMP V3支持SmartTM全面支持SNMP V3，这样可以保证采集数据在SmartTM后台和被管理设备之间传输的安全性。5.5 数据传输加密SmartTM代理与SmartTM服务器之间的通讯可以采用SSL协议，能够对所有采集数据和策略进行加密传输。6 SmartTM项目实施方案6.1 SmartTM终端安全管理系统部署（带参考图）6.1.1 SmartTM终端安全管理服务器部署我们建议所有服务器端软件包括数据库系统都可以安装在同一台服务器中。SmartTM服务器要求能够访问到所有被管理的下一级服务器和终端计算机、设备。（1） 省中心安置2台SmartTM管理服务器，在服务器上部署SmartTM服务器端软件；（2） 11个地市中心各安置一台SmartTM管理服务器，在各服务器上部署SmartTM服务器端软件；（3） 在服务器上配置分级管理，省中心可直接对11个地市中心SmartTM管理服务器进行配置。6.1.2 管理客户端部署（1） 所有网络设备和服务器设备都配置好SNMP代理，在服务器上部署监控参数采集脚本；（2） 所有网络和服务器设备，配置其syslog服务，在Windows操作系统的PC服务器上安装神州数码日志收集代理；（3） 建立日常正常运行的性能基线（Baseline），结合性能基线，设立合适的监控参数、采样间隔。（4） 在SmartTM管理服务器上创建客户端安装包，并建立安装包共享；（5） 采用“推”和“拉”的方式进行大规模客户端安装。6.2 终端安全管理服务器软硬件配置建议表格 1 软硬件配置清单序号服务器建议配置数量备注1 2CPU(双核心)，主频 3.0G Hz以上 DRAM ，2GB以上 Hard disk，146GB2 SCSI RAID 10/100/1000Mbps NIC 2，要求支持802.1Q Display 15” (15彩显) 预装Windows 200314台SmartTM主服务器2Microsoft SQL Server 2000中文标准版（10user）14