盈高多维终端安全管理平台产品说明书

1、MSEP多维终端安全管理平台产品说明InfbBo盈高科技杭州盈高科技有限公司杭州市教工路552号杭州国际服务外包示范基地301室电话：+86571-88271902 传真：+86571-56839385 http:/www.i .c nMSEF多维终端安全管理平台产品说明版权声明 本文中的所有内容及格式的版权属于杭州盈高科技 有限公司 （以下简称盈高科技） 所有，未经盈高科技许可， 任何人不得仿制、拷贝、转译或任意引用。版权所有 不得翻印 ? 2007 盈高科技公司商标声明 本文中所谈及的产品名称仅做识别之用。 手册中涉及 的其他公司的注册商标或是版权属各商标注册人所有， 恕 不逐一列明。盈高

2、? 多维终端安全管理平台信息反馈目录一 产品的安全策略 3.二、多维终端安全管理平台的特色 4.实时风险展示，随时了解状况 4全面安全检查，规避安全漏洞 4多种报警方式，查询形象直观 5缺陷自动修复，减少人工干预 6无任何网络改造，避免网络影响 6多种部署方式，降低部署成本 7深入系统内核，确保终端稳定和兼容性 9整体代码优化，减少终端资源消耗 9三、产品的安全目标和外部接口说明 1.1四、产品设计原则与架构 . 整体方案设计原则 134.2. 统一的集成化融合管理平台 144.3. 系统架构说明 15五、产品的功能特点 . 集合资产配置管理与安全加固管理于一体 1

3、65.2. 统一定制、强制执行的安全策略管理 175.3. 集中管理的主机防火墙 175.4. 补丁管理系统 175.5. “主动式”安全策略防御体系 185.6. 桌面设置及运维 185.7. 杀毒软件版本检测 185.8. 全面的资产管理 185.9. 软件分发与安装 195.10. 黑白进程管理 195.11. 网站访问安全控制 195.12. 违规外联 195.13. 便捷的远程维护 205.14. 强大的外设监控功能 205.15. 安全检查及加固管理 205.16. 弱口令检查功能 225.17. 可信移动存储设备监控 225.18. 客户端资源运行管理 235.19. 网络流量安

4、全管理 245.20. 反 ARP 欺骗安全管理 24六、 产品系统特点 .友好的用户 WEB 界面，易于部署迅速实施 266.2. 模块化系统功能，真正提供所需服务 266.3. 具有较高的系统性能 266.4. 实时性 276.5. 易用性 276.6. 安全性 276.7. 支持完善、安全的用户管理与认证机制 276.8. 面向终端用户的完全透明性 276.9. 基于开源平台，无任何知识产权风险 28七、 产品的安全功能相关的术语及定义说： 2. 9产品的安全策略随着网络技术的广泛应用，各种网络环境中的安全问题正威胁着用户的正常工作， 目前边界安全技术及产品已非常成熟， 从

5、 2003-2006 年的网络安全情况来看， 尽管大多数用 户采用了专门的网络通道技术、物理隔离技术、安全网段划分、安全防护设施（如防火墙、 入侵检测、漏洞扫描）等方式保证自己的网络安全，但是，对类似下面的安全问题仍然无法 做到真正意义上的解决：如何防范频繁出现的内部攻击？如何及时发现桌面设备的系统漏洞并最快自动分发补丁；如何规范、方便、有效、安全地管理移动存储设备的日常使用，如何确保没有 登记的移动存储设备无法在内部网络正常使用？如何防范用户绕过防火墙等边界防护设施， 直接联入外网带来的严重安全隐患 的行为？如何确保需控制的岗位严格执行上班时间不允许炒股、玩游戏、聊天等管理制度？如何为每台终

6、端设备加固安全策略，减少日常用户使用的安全事故？如何快速有效的定位网络中病毒、黑客的引入点，快速、安全的切断安全事件 发生点和相关网络。如何控制外来笔记本电脑以及其它移动设备的随意接入问题？如何有效管理计算机设备资源，确保资产的不丢失？如何优化 IT 运行维护流程，降低运维成本？为保证移动办公用户的安全，防御未知的黑客攻击、内部攻击、内部信息泄露，以及加 强每一台内网设备的安全策略，解决安全问题是迫在眉睫的！盈高科技为解决以上问题，定制了一整套安全解决方案，并推出了 “ MSEF多维终端安全管理平台”。MSEP桌面安全管理套件基于 Apache WEB服务器，MYSQ数据库。管理平台基于 B/

7、S结 构，管理员可以从任何一台安装了浏览器的终端进行登录管理，后台应用服务器实现基于 C/S 结构。客户端具有强大的自主防护功能，没有使用界面后台运行。Agent 作为系统的功能实现体，需要安装在桌面系统中，实现了主机防火墙、主机入侵检测、防病毒软件检测功能，对系统状态（进程、端口、软件、硬件、CPU占用率、磁盘占用率、 内存占用率） 的信息采集功能， 对拨号、 打印、 文件操作、 外存使用的行为监管功能。报表子系统为管理员提供了丰富的报表功能，实现了分析结果的可视化，可帮助网络管 理员对网络中的异常情况进行深度挖掘分析。多维终端安全管理平台的特色实时风险展示，随时了解状况通过多维终端安全管理

8、平台的安全检查与加固，系统管理员可以对全网的终端设备建立各种安全检查与评估任务， 实时的了解目前网内设备的风险状况。 通过图形化的展示方式，管理员可以了解目前网内处于安全和高、中、低等各个级别风险的设备比例，了解各个终端目前的具体风险情况， 并且系统可以根据目前的风险情况，提出存在问题的原因和对如何进行修复提出修改的建议。创亞用5= ：42 3mm K S 54dLPIW妊心 皓4切 韦irnti 帀 Xl 怡蔘圧僵医緘F詁社毋时吕石盘斗聃产列fT?F刃af F anenif-rsjJuTi7zcnrrin23SMI-HI7-293MeI7-Z330OMFt3 13 5S 5D 3&X? a

9、13 审恥 arouru th uf站 13*51 14S3r- Li lL3 注u善乱3 UT-Q! 13 世U.站.更JTW-CT-EJ L3 W JEamr-幻応隹i弭L3 F 4斤33XHZF-口 13 S SI全面安全检查，规避安全漏洞多维终端安全管理平台可以对内网终端各种安全情况进行仔细检查，比如可 以检查终端的用户密码是否安全，用户的杀毒软件是否安装，用户的补丁安装是 否及时，用户是否开启了一些不容许开启的共享， 用户是否运行了一些风险比较 高的后台服务和程序等。通过对系统的细致全面检查，我们可以得出一台终端的 具体风险分值，并对这些分值进行排名和统计，可以判断出目前那些设备的危

10、险 程度最高，尽早的引起管理员的重视，通过提前了解风险并解决这些风险来规避 系统的各种安全漏洞。多种报警方式，查询形象直观多维终端安全管理平台在系统的运行中会根据实际的情况产生各种报警，为 了便于管理员及时迅速的了解这些系统意外状况，多维终端安全管理平台提供了 丰富多样的报警方式。目前管理员可以通过报警查看平台、WEBf理平台来了解系统产生的报警，另外对于一些实时性比较高，比较重要的报警我们可以通过短 信SMS勺方式第一时间通知给管理员，便于管理员立即进行处理。同时系统可以 根据管理员和企业的实际需求，在每个周末和每个月末将系统的报警周报表和月 报表通过邮件EMAIL的方式发送给管理员。缺陷自

11、动修复，减少人工干预多维终端安全管理平台遵循一个“采集”展示”报警” 一“控制” 一“采集”的全套闭环的管理模型，和其它的厂家不同的是通过多维终端 安全管理平台的控制功能，管理员可以对系统中出现的各种缺陷，风险等问题进 行控制，通过多维终端安全管理平台提供的丰富控制功能，多维终端安全管理平台的客户端可以对终端的各种缺陷进行自动的修复， 严格的安装管理员的设置进 行操作，避免管理员在出现问题或者问题将要出现的时候的人工参与，减少管理员的日常维护工作量，真正的将管理员从繁琐的日常维护中解放出来，将工作的重心专注与业务相关的优化上面，降低IT服务管理部门的TCO提高IT服务管 理部门的KPI。*3f

12、lkl呻沖氛肖世和- li- I 甲事料卜、也|# !1P iUW : 1 ts 邑旦_L *E* 评*俯书*J3hlHl： ME!iCP.OCBI；1lK :M -X. iUft 1WKW- 31CT*豪时4口 O7-E3 14 AftalSg0川 arrtw訂.血和IFW：iwr4 去一 b* h 理iix_事丁眼甲氐A idjivihJHijn申If 曲 OfF 1*14乐祇uMil .r：- i. Eb :.iWEne叩ris if* w iw:UfiF 営 jcfi H i|ci*.阁切 1“Lm tc -k?i w ml 114 “ IM ZtM 处RE印i和OT-Z3 14 14

13、jk.TBML itt iM- alEW工m口EC. PT 務 畫胃IL ClJ m.-t诗延fl IWP-tl.l*:u %-imi世讪 * !悒四BF I-5CC n|M *血 IK drt “ Ih* e枷E皿-IZT 1ST IM ID Lfl Fl.1 iri IM IU M*lfEn強即.空兀RL*TM *严 iK-fi 1* CM-r-nnB ir h-n v i iattXUHU feu 斤門 h rr話 jit di h jh F JI 祜.IT w9VW1 H 3HIM sN :B 111百“血-jf-p n i*4带r謔啊?眸kLV9BI4Jru il -feWH M w

14、tacz. i/r-a |r 曲OL曲g却弔Il-VT 亠 j a?-st i e i ihmt刈-眄ci i 1*lA-Jarlli in au 4 Ils皿OLE和THHX_i-皿昭肝半II僭Mt4N3tMEZl 5n *- dbfc UF-t5 IO-啊 f|riDr4 4s別 IStCi卫辭4裡 iUifi年UuL.iU-C 1,盘VW常禱l*W无任何网络改造，避免网络影响平台采用的假想式程序设计的基本隔离方法，不用改变企业当前的网络拓扑，不需要特定型号交换机的支持；不受802.1X协议以及Dynamic VLAN的限 制；只要在存在网络的地方，随意接入网络，就能实现网络的准入控制；可

15、以在 最短的时间内有效地阻止非法用户的接入，适用于各种不同的网络环境。多种部署方式，降低部署成本企业内网管理要求在企业的内网终端上面安装客户端程序，由于企业的内网 终端数目巨大， 如果要管理员逐台的进行客户端的安装， 这个对于系统管理员来 说就是一个噩梦。 为了降低管理员的部署难度和工作量， 多维终端安全管理平台 提供了多达 10 种的部署方式，通过这些方式的组合可以极大的降低管理员的部 署时间，降低企业的部署成本。1. 使用多维终端安全管理平台 Client Deploy Tool若网络中部署了 Active Directory ，则可以使用多维终端安全管理平台 Client 分发工具安装多

16、维终端安全管理平台 Client 。通过多维终端安全管理平 台 Client 分发工具安装多维终端安全管理平台 Client 。2. 网页浏览安装方式若网络中没有部署 Microsoft Active Directory ，而且也没有使用登录脚本， 则可使用网页浏览方式分发客户端， 当用户浏览该网页时会主动检查客户端是否 已安装了多维终端安全管理平台客户端， 如果还没有安装则自动安装多维终端安 全管理平台客户端。3. 手工安装多维终端安全管理平台 Client 总是可以通过在每台计算机上手工运行多维 终端安全管理平台 Client 安装程序来进行安装。这对于较少数目的计算机来说 是一个快速且有

17、效的方法。必须以管理员权限登录目标计算机并进行安装。4. 通过 MSI 安装可以使用 Microsoft Installer (MSI) 版本的多维终端安全管理平台 Client 安装程序来进行自动安装。你可以直接运行这个程序来直接安装 client ，或者 调用它的参数进行安装。通过使用MSI 版本的 client 安装程序，可以为多维终端安全管理平台 Client MSI 的分发创建一个组策略对象( Group Policy Object , GPO。有关更多的组策略方面的信息，参见微软的知识库文章 。5. 使用软件分发工具如果已经有某些软件分发工具，比如 Microsoft SMS 或者

18、 Mcafee 网络版杀 毒软件，并且所有要安装的目标计算机都能使用这些工具， 则可以通过软件分发 工具来分发多维终端安全管理平台 Client 的安装包。6. 使用组策略可以通过使用 Active Directory Group Policy Objects (GPO) 来定义一个 策略，强制在特定组(比如组织单位，域，等)的每台计算机上安装多维终端安 全管理平台 Client ，这个策略在每次用户登录到这个特定的域的时候应用到客 户端计算机。如果有GPO功能则可以高效的部署多维终端安全管理平台Client mntat*直=址*帯*屮Hl冋二虫三站41* ;I卫吆，.I肘E回2匚町回羊林宙盹

19、1 肯怡B名事 卅罚曲 左IB#幷昴杆款F利g魅才彤:不雪金窕軾悴更阱=?榕豪件：idQ 天倚匚玄牛*苧霽孑匚甘站“匚自帝霹哥爰寸匚有b进廊奄盍壬主有作：| & 亞& 0 |刼囲u e 电咖 o当舁茁再妊机号酌师点副啊耳苗* 斤注砸宝丁石和丁冋币尸呼用肝旳rm j Q楼筑评t时布哂兰申1戌口吐lift世朝IT5T冋耒邀打怪曲用僅*臭鼻1酱斗餐肝己風也22阳a浙舌用户醉与利眩件即啊相四氏* .定为WS码 庄啦冠走薜刃勻如I亓左走也#舶r至octi尬 撕亦申5 巫亦斗mrr岸即评用间叶干一窑rr陌列旳虔i*i mTFRK帕爲心曲世Gft MZHrt-E T騷皈人雹谒*刚負创 M彌血M旳辭卫案梅調也

20、山虫心 时JU耶M血站 jjMX賈佯空：杂蛊筋和 有疋巧 八w 捣存缶耳聊盛. 忖科斗 1斫徴麾蛋紳僧工亡疋甘5腿豺.北片3植安全评估参数实例图当安全评估任务执行完成后，会产生评估结果。可以查看所有机器的评估结果并且给出风险系数统计。参见下图ixife4_zmiNfttlH;用户：iJflKIfl 亠 4 aaot-nr-sj 口.卫 卫LHKV:耳 mtn、 si35trwj -srm& x J -:韦和側 i-jxj-O4ATFWllfiI BEe66赛P1HBQi41?EU !KIHgTCJKIH出IKT曲詈Wim?j nm寸tItt IH W呼IKlIfiiIKE Wlitlh U1&

21、说油.W.M辽04己NS： 髓餐血IIER应i&1G他1E1&tise曲曙itlT3Er巴mIIjSmr爭 WHWI-CT-n IJ iMaaownl KNsAv-iJ LJl.4如垃抽沪CT15 L3 -WJ3BK肝E為D%u sa2BQiEEHn-HWSSfiM&-fl7-a L3 锚MDMT-MdJH知jnH-iUT-O L3 WSDormL3:K3LfflM7-J 1.3 学4iaace-or-EdL3：a羽3MM7-E1 1.3-ffiW3BDP-评估结果查看图毒和黑客攻击。鼻立注翻或：iW.tf-站醉：萸豳蛊LB :ki 一.主吋切TH匹 人:話应有ie噸够加片5.16. 弱口令检

22、查功能目前很多病毒已经可以“猜”出用户机的口令，如果计算机使用弱口令，病 毒将会通过这些弱口令获得计算机的控制权， 并进行传播。这类病毒的传播行为 靠杀毒软件或者补丁加固均无法进行控制。系统可以检查开机密码是否是弱口令，以保障系统不因为弱口令的原因被病L2i良雄口 s Iff-hJl|： ”*”*K* r 4. f 剳 is*5.17. 可信移动存储设备监控对于带有涉密信息的逻辑隔离网，涉密信息一般都保存在本地或者移动存储 设备中。当涉密信息保存在流通于本地的移动存储设备中时，如果移动存储设备不经过加密或保护，那么一旦移动存储介质遗失，在其他计算机能够直接访问、 修改，将直接导致涉密信息外泄。

23、平台采取对移动存储介质写入保护标签的方法，首先对存在于USB移动硬盘等设备内的涉密信息进行保护。 然后通过策略，分配可以识别此标签的终端的 权限，分配对象可以是一台计算机，也可以是一个区域、一个部门或自定义的计 算机组。客户端移动设备行为审计：可以识别性移动存储设备的使用控制，可以对将 要访问终端的移动存储设备分类打标签，允许指定标签的移动存储设备访问，禁用其他移动存储设备的访问，同时可以设定哪些移动存储设备可以在哪个范围使 用。可以对不同公司或单位不同部门的 U盘进行认证，防止移动存储设备串用。1. 可以禁止USB移动存储设备的接入。2. 通过设置，保证终端只允许本单位或本地区的 USB移动

24、存储设备接入3. 对通过USB设备进行的文件拷入、拷出的行为进行审计，记录文件名称 和操作时间。4. 可以禁止软盘的接入。5. 对通过软盘、光驱、刻录机进行的文件拷入、拷出的行为进行审计，记 录文件名称和操作时间。6. 对终端大量的文件拷贝行为可自主设定阈值，超过阈值的不进行审计。 如拷贝超过1000个文件不进行审计*沖佐锂调*斗進廿lifeL型三帕五网r iKUm-Rg岂 Ex-=.ljtF:*E即塾宀一划向怪地IE e化一冃阳节建却星n -T孟用二工皿Liiijxtea.彌谊趕门劭洁竿#irft.ri irSL.1.耳谊| s 当柑弓.为I. UL1jSJ_*JJL1O 2益上m暹虫hi左

25、気山玉JEtarTailTSB2D(B-12. 11 01:012:-nia 邙3T5.18. 客户端资源运行管理硬件运行资源管理功能：检测终端设备的CPU、硬盘 （含每个硬盘分 区）、内存等的资源占用情况，可自主设定阈值，以确定终端系统资源占 用是否达到上限，是否应该升级。网络行为异常监控：检测终端设备的I/O读写字节数、建立TCP连接个 数、UDP监听端口数目、是否开启危险服务等内容，可根据实际情况定 义阀值策略，对于不符合要求的终端报警或隔离。重要进程异常报警和自动恢复：对未响应进程和意外退出进程进行（如退出、退出并重起等）处理。异常流量监控：基于主机方式对网络中客户端流量、分支网络带宽

26、流量进行分析，防止非法入侵、滥用网络资源。当流量（含出、入或总流量）超过一定限度并持续一定时间后，进行有关信息上报，以便网管了解客 户端流量异常，从而快速分析是否是网络安全事故。5.19. 网络流量安全管理针对每个终端实现了对每个终端的流进流出的流量， 做到第一时间可疑情况 预警的同时做到流量控制，实现对流量可疑、 发包数可疑、并发连接数可疑的客 户端进行阻断、提示、上报给上级区域管理器操作，并且可以对一些网络协议进 行控制，比如禁用BT协议等。I他近SIME j山口 u遊a；丘碱 Q JLF叩底壬畫寸（阴2妊* ”区磁淤6珈十r ft：远SSfc土岸佃in田需沿斎d焉M 吃城.十帕 I冋盘异

27、曲inlm 2气勺富刿割问电 印舸PN巒F略 t虽LAY好燕I 2 TUfjf-i曲用悼事22.12,Wt?A.32.12,12W5a.怡.15WSa.3l址垃Wa.32.12.32r JE .1Z. JZ輛丄tSlS-KWFJju.1Z 12.JZTTERa.JE 12. 3?Wi*価.JE IZ.1ZMWUJWI5.20. 反ARP欺骗安全管理将网关、文件服务器等关键服务器的IP、MAC地址对登记，然后可以定制策略部署终端采取启用ARP防护功能，所有安装有代理软件的客户端会设定静态的MAC地址，从而免受ARP的欺骗攻击。兰則便：至弩叫 卜丘匹3US强，些眼彳5111 *i WPiiuMKZ

28、加 扌册】wtsm门密吕塡厂$ xaa 好扌由FfltftHi证；0映=叱务：iOEJ310I1SC诃却【吝户冊區PH的WV汨曲心?0行“】rmimiiaH nunKHtWt3TJIIM外A”片钳: l !S胡户 口2.严主F譽 匚Jg网men%矽丹圧吟舌站：i庆胡戶 ：尸S5六、产品系统特点6.1. 友好的用户 WEB 界面，易于部署迅速实施MSEP 多维终端安全管理平台 采用 WEB 方式管理，采用人性化用户界面设计，布局 合理，操作方便。不论是高级网络管理员还是刚入门的新手，都能根据自己对 Windows 和 网络使用维护的了解和必要的系统提示方便地完成各种操作。MSEP 多维终端安全管理平台 提供多种客户端安装部署方式，有 WEB 部署、远程推 送、域脚本设置、直接安装等等。像基于 WEB 方式安装就可以帮助系统管理员快速部署所 有客户端。6.2. 模块化系统功能，真正提供所需服务M