企业终端安全管控平台技术白皮书

1、企业终端安全管控技术白皮书目录 TOC o 1-3 h z u HYPERLINK l _Toc55809282 第1章引言 PAGEREF _Toc55809282 h 1 HYPERLINK l _Toc55809283 1.1文档用途 PAGEREF _Toc55809283 h 1 HYPERLINK l _Toc55809284 1.2阅读对象 PAGEREF _Toc55809284 h 1 HYPERLINK l _Toc55809285 1.3名词术语 PAGEREF _Toc55809285 h 1 HYPERLINK l _Toc55809286 1.4参考资料 PAGER

2、EF _Toc55809286 h 2 HYPERLINK l _Toc55809287 第2章概述 PAGEREF _Toc55809287 h 3 HYPERLINK l _Toc55809288 2.1系统概述 PAGEREF _Toc55809288 h 3 HYPERLINK l _Toc55809289 2.2系统价值 PAGEREF _Toc55809289 h 3 HYPERLINK l _Toc55809290 2.2.1即严格又实用的准入管理 PAGEREF _Toc55809290 h 3 HYPERLINK l _Toc55809291 2.2.2强大的U盘管理 PAG

3、EREF _Toc55809291 h 6 HYPERLINK l _Toc55809292 2.3系统功能性需求 PAGEREF _Toc55809292 h 8 HYPERLINK l _Toc55809293 2.4系统非功能性需求 PAGEREF _Toc55809293 h 9 HYPERLINK l _Toc55809294 2.4.1性能 PAGEREF _Toc55809294 h 9 HYPERLINK l _Toc55809295 2.4.2安全性需求 PAGEREF _Toc55809295 h 9 HYPERLINK l _Toc55809296 第3章系统体系结构 P

4、AGEREF _Toc55809296 h 11 HYPERLINK l _Toc55809297 3.1系统总体结构 PAGEREF _Toc55809297 h 11 HYPERLINK l _Toc55809298 3.1.1系统定位 PAGEREF _Toc55809298 h 11 HYPERLINK l _Toc55809299 3.2终端基础框架 PAGEREF _Toc55809299 h 11 HYPERLINK l _Toc55809300 3.2.1机构分级管理 PAGEREF _Toc55809300 h 11 HYPERLINK l _Toc55809301 3.2.

5、2资产管理 PAGEREF _Toc55809301 h 14 HYPERLINK l _Toc55809302 3.2.3报警中心 PAGEREF _Toc55809302 h 16 HYPERLINK l _Toc55809303 3.2.4客户端管理 PAGEREF _Toc55809303 h 20 HYPERLINK l _Toc55809304 3.3终端桌面管理 PAGEREF _Toc55809304 h 22 HYPERLINK l _Toc55809305 3.3.1桌管基础功能 PAGEREF _Toc55809305 h 22 HYPERLINK l _Toc55809

6、306 3.3.2终端外设管理 PAGEREF _Toc55809306 h 23 HYPERLINK l _Toc55809307 3.3.3终端网络访问控制&网络流量控制 PAGEREF _Toc55809307 h 25 HYPERLINK l _Toc55809308 3.4终端审计管理 PAGEREF _Toc55809308 h 30 HYPERLINK l _Toc55809309 3.4.1网址日志 PAGEREF _Toc55809309 h 30 HYPERLINK l _Toc55809310 3.4.2屏幕日志 PAGEREF _Toc55809310 h 32 HYP

7、ERLINK l _Toc55809311 3.4.3程序日志 PAGEREF _Toc55809311 h 35 HYPERLINK l _Toc55809312 3.4.4文件日志 PAGEREF _Toc55809312 h 38 HYPERLINK l _Toc55809313 3.4.5打印日志 PAGEREF _Toc55809313 h 39 HYPERLINK l _Toc55809314 3.4.6USB使用日志 PAGEREF _Toc55809314 h 40 HYPERLINK l _Toc55809315 3.4.7聊天日志 PAGEREF _Toc55809315

8、h 42 HYPERLINK l _Toc55809316 3.4.8邮件日志 PAGEREF _Toc55809316 h 43 HYPERLINK l _Toc55809317 3.4.9网络流量日志 PAGEREF _Toc55809317 h 44 HYPERLINK l _Toc55809318 3.4.10开关机日志 PAGEREF _Toc55809318 h 45 HYPERLINK l _Toc55809319 3.4.11操作系统日志 PAGEREF _Toc55809319 h 47 HYPERLINK l _Toc55809320 3.4.12共享目录日志 PAGERE

9、F _Toc55809320 h 48 HYPERLINK l _Toc55809321 3.5终端运维管理 PAGEREF _Toc55809321 h 48 HYPERLINK l _Toc55809322 3.5.1远程协助 PAGEREF _Toc55809322 h 48 HYPERLINK l _Toc55809323 3.5.2文件分发 PAGEREF _Toc55809323 h 49 HYPERLINK l _Toc55809324 3.5.3软件分发 PAGEREF _Toc55809324 h 50 HYPERLINK l _Toc55809325 3.5.4补丁管理（新

10、增） PAGEREF _Toc55809325 h 51 HYPERLINK l _Toc55809326 3.5.5远程硬件管理 PAGEREF _Toc55809326 h 56 HYPERLINK l _Toc55809327 3.5.6远程进程管理 PAGEREF _Toc55809327 h 57 HYPERLINK l _Toc55809328 3.5.7共享目录管理 PAGEREF _Toc55809328 h 58 HYPERLINK l _Toc55809329 3.5.8实时网络状态 PAGEREF _Toc55809329 h 59 HYPERLINK l _Toc558

11、09330 3.5.9磁盘信息 PAGEREF _Toc55809330 h 60 HYPERLINK l _Toc55809331 3.5.10窗口进程 PAGEREF _Toc55809331 h 61 HYPERLINK l _Toc55809332 3.5.11系统用户管理 PAGEREF _Toc55809332 h 62 HYPERLINK l _Toc55809333 3.5.12启动项管理 PAGEREF _Toc55809333 h 63 HYPERLINK l _Toc55809334 3.5.13水印控制 PAGEREF _Toc55809334 h 63 HYPERLI

12、NK l _Toc55809335 3.6文件加解密管理（DLP） PAGEREF _Toc55809335 h 64 HYPERLINK l _Toc55809336 3.6.1驱动层透明加密 PAGEREF _Toc55809336 h 65 HYPERLINK l _Toc55809337 3.6.2申请解密/申请防泄密外发及相关审批流程设置 PAGEREF _Toc55809337 h 66 HYPERLINK l _Toc55809338 3.6.3文件密级管理 PAGEREF _Toc55809338 h 73 HYPERLINK l _Toc55809339 3.6.4服务器白名

13、单 PAGEREF _Toc55809339 h 74 HYPERLINK l _Toc55809340 3.6.5邮件管理、邮件白名单 PAGEREF _Toc55809340 h 75 HYPERLINK l _Toc55809341 3.6.6剪贴板控制、自动加解密、禁止截屏 PAGEREF _Toc55809341 h 76 HYPERLINK l _Toc55809342 3.6.7离线管理 PAGEREF _Toc55809342 h 77 HYPERLINK l _Toc55809343 3.6.8解密Ukey管理 PAGEREF _Toc55809343 h 78 HYPERL

14、INK l _Toc55809344 3.6.9加密文件备份 PAGEREF _Toc55809344 h 79 HYPERLINK l _Toc55809345 3.6.10加密文件打印禁止、水印打印 PAGEREF _Toc55809345 h 80 HYPERLINK l _Toc55809346 3.6.11全盘加解密 PAGEREF _Toc55809346 h 81 HYPERLINK l _Toc55809347 3.6.12密钥管理 PAGEREF _Toc55809347 h 82 HYPERLINK l _Toc55809348 3.7网络准入控制 PAGEREF _Toc

15、55809348 h 83 HYPERLINK l _Toc55809349 3.7.1干路/旁路/策略路由/802.1x准入控制 PAGEREF _Toc55809349 h 83 HYPERLINK l _Toc55809350 3.7.2合规入网控制 PAGEREF _Toc55809350 h 84 HYPERLINK l _Toc55809351 3.7.3强制安装认证终端 PAGEREF _Toc55809351 h 87 HYPERLINK l _Toc55809352 3.7.4用户名/密码入网、手机短信入网、AD域入网、指纹入网、UKEY入网 PAGEREF _Toc5580

16、9352 h 89 HYPERLINK l _Toc55809353 3.7.5访客入网模式 PAGEREF _Toc55809353 h 96 HYPERLINK l _Toc55809354 3.7.6非法外联 PAGEREF _Toc55809354 h 99 HYPERLINK l _Toc55809355 3.7.7与officeScan联动 PAGEREF _Toc55809355 h 100引言文档用途此文档用于指导终端管控系统的总体技术设计，包括产品的功能描述、界面、应用技术等内容，用以向整个设计期提供关于终端管控的功能设计与技术实现的总体指导，从而对终端管控系统进一步的详细设

17、计给出明确的系统设计框架。阅读对象PO产品需求分析工程师产品开发工程师产品测试工程师其他相关人员名词术语名词解释AD域Active Directory，活动目录，动态的建立整个域模式网络中的对象的数据库或索引，是一种存储协议，基于LDAP。安装了AD的服务器称为DC域控制器,存储整个域的对象的信息并周期性更新。APIApplication Programming Interface，应用程序编程接口，是一些预先定义的函数，目的是提供应用程序与开发人员基于某软件或硬件得以访问一组例程的能力，而又无需访问源码，或理解内部工作机制的细节。COM口Cluster Communication Port

18、，即串行通讯端口。微机上的com口通常是9针，也有25针的接口，最大速率115200bps。通常用于连接鼠标（串口）及通讯设备（如连接外置式MODEM进行数据通讯或一些工厂的CNC机接口）等。DLLDLL是Dynamic Link Library的缩写，意为动态链接库。在Windows中，许多应用程序并不是一个完整的可执行文件，它们被分割成一些相对独立的动态链接库，即DLL文件，放置于系统中。当我们执行某一个程序时，相应的DLL文件就会被调用。ERP企业资源计划即 ERP (Enterprise Resource Planning)，是由美国计算机技术咨询和评估集团 Gartner Group

19、 Inc 提出的一种供应链的管理思想。企业资源计划是指建立在信息技术基础上，以系统化的管理思想，为企业决策层及员工提供决策运行手段的管理平台。GDI+GDI是Graphics Device Interface的缩写，含义是图形设备接口，它的主要任务是负责系统与绘图程序之间的信息交换，处理所有Windows程序的图形输出。HOOKHook是Windows中提供的一种用以替换DOS下“中断”的系统机制，中文译为“挂钩”或“钩子”。在对特定的系统事件进行hook后，一旦发生已hook事件，对该事件进行hook的程序就会受到系统的通知，这时程序就能在第一时间对该事件做出响应。LSPLabel Swit

20、ched Path，分层服务提供程序。MD5Message Digest Algorithm MD5（中文名为消息摘要算法第五版）为计算机安全领域广泛使用的一种散列函数，用以提供消息的完整性保护。MODEM调制解调器，其实就是Modulator（调制器）与Demodula-tor（解调器）的简称。是一种把要传输的数字信号调制到载波上或从载波上把数字信号分离出来。NDISNetwork Driver Interface Specification，网络驱动接口规范。OA办公自动化（Office Automation，简称OA）是将现代化办公和计算机技术结合起来的一种新型的办公方式。POP3POP

21、3，全名为“Post Office Protocol - Version 3”，即“邮局协议版本3”。是TCP/IP协议族中的一员，由RFC1939 定义。本协议主要用于支持使用客户端远程管理在服务器上的电子邮件。UKEYUKey是一种通过USB (通用串行总线接口)直接与计算机相连、具有密码验证功能、可靠高速的小型存储设备。WMIWMI（Windows Management Instrumentation,Windows 管理规范）是一项核心的 Windows 管理技术；用户可以使用 WMI 管理本地和远程计算机。参考资料无概述系统概述终端安全管控系统是一款面向电信、政府、军队、金融、制造业

22、、医疗、教育等大中型企事业单位的终端安全管理解决方案。它以安全管控为核心、以运维管控为重点、以可视化管理为支撑、以可靠服务为保障，以此打造全方位终端安全管理体系。包括网络准入、桌面管理、安全审计、上网行为管理、数据防泄密管理等诸多功能。系统价值即严格又实用的准入管理用户问题网络的准入管理不是简单的网络入口的管理，网内的每一台设备，每一台终端都可能成为非法接入者利用的对象，即使购买了网络准入类产品也很难彻底杜绝，非法接入者常常通过仿冒网内合法计算机的IP和计算机名、与网内合法计算机直连、私接路由的方式躲避网络准入管理产品的监控，这些非法入网的途径防不胜防，觊觎者时刻威胁着网络的安全。另一方面，由

23、于单位的业务需求，对于入网的计算机不适合采用单一的管理方式，既要能够防止非法入网，又应该允许一些合法的外来计算机临时性入网，而且对这些合法入网的外来计算机也需要进行有效的管理，不能全网全盘开放，使其成为合法的入侵者。而对于网内新增的合法计算机或者合法的外来计算机，也不能随意的任其入网，因为它很可能成为病毒的传播者。因此，只有实施完整的管理和必要的检查才能真正地保证网络安全。综上所述，用户面对的不是简单的网络准入管理产品品牌或技术层面的筛选，而是对解决方案实用性的评估和选择。方案构成亚信网络准入管理解决方案是通过定义一个可信域，允许可信域内的计算机互相访问，而禁止非可信域内的计算机与可信域内的计

24、算机进行通讯，从而杜绝任何形式的非法入网，彻底防止非法计算机利用直插网线、仿冒内网合法计算机IP和计算机名、直连网内合法计算机、私接路由这些常见和难以管理的方式违规入网。同时，对于外来合法入网的计算机，如厂家服务人员或各类外协人员携带的计算机，当其接入网络时可同步实施严格的管理，有效限制其访问的网络范围，既可保证外来计算机在限定的网络空间内顺利的完成工作，又可以防止其触及网内高密级区，威胁敏感信息的安全。另外，对所有合法进入网络的计算机在入网前将进行必要的安全检查，确保每台计算机都符合既定的安全规范，防止其成为病毒携带者威胁网络安全和稳定。亚信网络准入管理解决方案主要分为三方面：终端合法检查，

25、检查终端入网的合法性，比如：终端是否安装了客户端，终端的IP/MAC是否合法等。终端权限管理，对合法、合规联入的终端进行权限的管理控制，例如：联入内网的终端不能外联，联入内网的终端只能访问指定的服务器，联入内网的终端只能使用与业务相关的应用程序等。典型的应用场景场景一：外来人员或内部员工将非法计算机私自接入网络场景描述：入网途径仿冒入网，即将非法笔记本的IP和计算机名修改为网内合法计算机的IP和计算机名后直插网线入网；入网途径直连入网，即将非法笔记本和网络中的合法计算机用网线直接相连，通过笔记本将此台合法计算机上的重要数据拷走；入网途径私接路由入网，即将一个路由器接入网络，并将其IP和MAC修

26、改为网内合法计算机的IP和MAC，在路由器后面连接多个计算机入网。潜在风险：对网内机密信息造成严重威胁，同时可能会把病毒传染给网内计算机。 管理需求：严格禁止各种途径的非法入网行为。解决方案：能够及时发现并阻止所有途径的非法入网，记录非法入网发生的时间及相关计算机信息（IP、MAC、计算机名等），并及时报警。场景二：外来人员正当入网场景描述：由于工作的需要，外聘开发或服务人员带笔记本通过网线接入网络或直接和网内计算机连接。潜在风险：外来计算机上极易感染病毒，并且接入网络后的行为不受限制。管理需求：限定外来计算机的访问区域，只能看与其工作相关的信息。解决方案：针对外来人员正当入网的情况，要形成外

27、来人员计算机入网管理制度。入网必须先提出申请，批准后，对其进行必要的安全检查，如果不符合要求则禁止入网，符合要求后才能入网，入网后限制该计算机访问的网络资源，比如只能访问特定的计算机或服务器，防止重要数据的泄漏。场景三：入网安全检查场景描述：网中的计算机不符合一些安全条件，比如没有安装指定的杀毒软件等。潜在风险：网中的计算机如果不符合安全条件（如杀毒软件的安装）就接入到网络中，其自身很可能是病毒的温床，从而造成病毒泛滥，给内网的稳定运行造成极大的影响。管理需求：合法的计算机符合必要的安全条件才能允许入网。解决方案：针对所有合法入网的计算机进行入网的安全检查，设置安全条件（如是否安装指定的杀毒软

28、件），符合条件的计算机方可入网。另外，对于入网的计算机进行访问权限的定义，根据每台计算机的使用目的来设定其网络访问的权限，最大限度地控制网中可能发生的违规访问。场景四：分支机构或合作伙伴远程接入内网场景描述：由于工作需要，本单位分支机构或合作伙伴通过VPN拨号等形式远程接入单位内网。潜在风险：外来计算机如果不符合安全条件（如杀毒软件的安装）就接入到内网网络中，极易将自身病毒带入内网，并且接入网络后的行为不受限制，给内网的稳定运行造成极大的影响。管理需求：分支机构或合作伙伴计算机联入单位内网前要接受安全检查，联入内网后行为要符合单位规范要求。解决方案：分支机构或合作伙伴计算机联入单位内网前通过G

29、TMA安装客户端插件，安装后进行入网安全检查，通过检查的计算机才能够联入内网，并受内网安全策略的管理限制。方案优势无需网络设备支持，适用于任何类型网络；无需修改任何网络配置，不受防火墙限制；有效控制仿冒合法IP和计算机名入网；有效控制与网内计算机直连入网；有效控制私接路由入网。针对跨互联网连接的窄带网络提供小于300K的GTMA客户端，下载安装更快。强大的U盘管理用户问题U盘的普遍使用给信息交换带来了极大便利，但同时也引入了严重的安全隐患，U盘已成为病毒传播和重要数据泄露的主要途径之一。据了解，大部分单位中的重要数据和各类保密信息都在内网环境中保存和使用，为保障信息安全和防止病毒感染，一般单位

30、都已将存有重要数据的网络与互联网进行了物理隔离，然而，内网中常常还会充斥着大量的木马和病毒，而且内网的机密信息外泄事件也时有发生。造成上述问题的主要根源便是大家最常见的移动存储设备，例如U盘。病毒通过U盘介质侵入单位内网，敏感信息通过U盘被带出内网。然而，由于工作的需要，内网的一些计算机却不能封闭U口，需要允许使用工作用U盘进行信息的传递，从而造成U盘成为造成内网机密信息流失和引入病毒的主要途径。从上面的阐述可以看出，单位面对着想管却不知如何管的境遇，既不能一味的禁止使用，也不能随意的任其使用，如何让U盘既能发挥易用、便捷的长处，又能保证其安全性，防止网内信息外泄，避免病毒传播。因此，用户急需

31、一个能够满足工作需求且安全可行的U盘管理解决方案。方案构成亚信U盘管理解决方案具有防病毒、防泄密、适应多样需求的特点。针对病毒传播的原理机制分析并控制病毒传播，发挥U盘便捷存储的作用，而避免其成为病毒传播介质的弊端。还可以设置U盘的使用权限，外部U盘不能入网，内部U盘根据授权进行受控使用。通过设置U盘的属性，只允许U盘向网内提交信息而不能带出任何信息，防止机密信息泄露。U盘权限：可以为U盘设置只读、只写操作权限，并可开启病毒防护机制，既防止终端用户对U盘进行不必要的操作，还可避免U盘成为病毒传播的工具；授权U盘：当禁止使用普通U盘后，授权U盘仍可以在网内指定的计算机上使用，未授权的U盘将被禁止

32、使用，此种U盘被带出单位也可使用，易用性较高；保密U盘：当禁止使用普通U盘后，保密U盘仅可在安装了亚信客户端且指定的计算机上使用，即使U盘被带出单位或者丢失，甚至使用文件恢复软件也无法获取U盘中的信息，确保敏感数据的安全。典型应用场景场景一：单一网络环境网络环境：单位网络不区分内、外网，所有计算机在同一网络环境下。潜在风险：病毒通过U盘传播到网中造成网络不稳定。 管理需求：对U盘无管理限制，应可以有效防止病毒通过U盘进行传播。解决方案：不限制U盘的使用，只开启防病毒机制。此方案适用于密级较低且存在使用外部U盘进行数据交互的单位，如学校；禁止使用外来U盘，并开启防病毒机制。将单位内部U盘制作成“

33、授权U盘”，对所有网内计算机进行授权，员工在单位内或在家中都能使用“授权U盘”。此方案适用于密级较低且不存在使用外部U盘进行数据交互的单位，如医疗行业。场景二：多重网络环境网络环境：单位网络区分内、外网，内外网之间实施物理隔离，外网环境的计算机可以登录互联网，内网环境的计算机不可登录互联网，单位内网往往运行着重要的业务系统或存储着敏感信息。外网环境（同场景一）内网环境潜在风险：病毒通过U盘传播到网中造成网络不稳定；外来U盘随意接入网内计算机，通过U盘泄露敏感数据。管理需求：需求外来U盘可以向内网拷入数据，但不能从内网拷出数据；单位内部U盘在内网指定计算机和家中计算机上可以使用，应可以有效防止病

34、毒通过U盘进行传播。需求外来U盘不允许在内网使用，单位内部U盘仅在内网指定计算机上可以使用，回到家中不可以使用。解决方案：方案对U盘使用进行管理，受限使用外来U盘，并开启防病毒机制。对外来U盘设置为只读属性，只能将数据拷贝到内网，不能将内网数据拷贝出去，不能将病毒带入内网；此方案适用于密级较高且存在使用外部U盘进行数据输入的单位，如税务部门、财政部门、工商部门、能源行业、部分企业；方案对U盘使用进行管理，禁止使用外来U盘，并开启防病毒机制。将单位内部U盘制作成“保密U盘”，对指定的内网计算机进行授权，在授权的计算机上可以使用“保密U盘”，在内网未授权计算机或家中计算机上无法使用“保密U盘”。此

35、方案适用于密级高、不存在使用外部U盘进行数据交互，且对内部U盘管理严格的单位，如政府机关、军工企业、设计院。方案优势纯软件产品，支持所有类型U盘，无须额外采购U盘；可以过滤病毒，分析并控制病毒传播，有效防范病毒。针对密级较低的环境可以在不改变现有U盘使用方式和习惯的前提下防范病毒的传播；方案灵活多样，适应性强，适用于各种密级要求；具有自我保护能力，防止格式化等误操作破坏U盘数据；采用TTDS等加密技术，防止通过U盘恢复工具进行数据窃取。系统功能性需求需求名称需求简要描述终端基础框架为管控基本功能提供展示框架。终端桌面管理管控终端桌面程序使用、网址访问、流量控制、外设监管等操作。终端审计管理审计

36、用户上网、程序操作、外设使用、聊天与邮件记录等行为。终端运维管理实现文件与软件分发、远程进程和硬件管理、共享目录管理、远程备份与恢复，甚至远程协助等操作。数据防泄密（DLP）自由加解密保存在终端上的各种文件，减轻文件外带泄密风险。网络准入控制采用准入设备，制定终端合规策略，控制企业内终端对外访问的权限。系统非功能性需求性能资源占用率资源占用率：网络资源占用：10000点客户端，引擎带宽6K/秒，客户端带宽0.023K/秒；系统资源占用：通过内存不足、低配置计算机的极端情况下测试（例如CPU1GHz，内存512M）管理实时性：大规模实施管理，终端即时生效，10000点策略下生效10秒；高性能海量

37、数据处理，10000000条记录查询统计10秒网络适应性：网络规模：支持N级网络架构，单点引擎可支持10000点终端管理；网络类型：适应VPN、NAT及跨互联网等各种网络环境终端适应性：外接设备兼容性：中国唯一通过WHQL微软授权认证的终端管理产品；系统软件兼容性：操作系统支持2000以上各种版本，完美支持64位操作系统；应用软件方面，与20款主流杀毒软件、上百种常用办公软件进行严格兼容性测试安全性需求输入数据确认所有有输入需要的界面都需要进行数据校验，包含但不限于：范围之外的值；数据字段中的无效子字符；丢失或不完整的数据；未授权的数据防SQL注入所有用户点击触发的操作功能都需要有操作日志记录

38、。内部处理控制本产品在设计时需确保导致完整性损坏的处理故障的风险减至最小，需要考虑包括但不限于以下内容：使用增加、修改、删除功能，以实现数据变更；防止程序以错误次序运行或在前面处理出现故障后运行的规程；使用适当的规程恢复故障，以确保数据的正确处理；防范利用缓冲区溢出进行的攻击；创建处理中所涉及的活动的日志；消息的完整性应用间有消息通信时，需要确保消息的真实性和完整性。输出数据确认导出数据时需要创建操作日志，对敏感数据的导出，有审批权限的控制需求。系统体系结构系统总体结构系统定位系统针对内网行为以及外网访问进行全面管控，包括程序进程的使用、网络访问限制、流量控制、非法外联、日志审计、远程运维管控

39、、DLP防泄密等，分成终端基础框架、终端桌管基础功能、终端安全审计、终端远程运维管理、文件加解密管理、网络准入控制六大模块进行外售。终端基础框架终端基础框架提供机构分级管理、资产管理、客户端管理、程序黑白名单设置与管理、报警监控等管控功能，帮助企业监管组织内基本架构与资产信息，控制程序准入原则，监控非法操作。机构分级管理功能概述组件名称：机构分级管理组件类型：功能模块目标：采用机构分级策略对终端进行分类管理。功能描述：机构分级管理帮助企业管理部门、用户、机器信息，监控客户端在线情况。适用场景： 属于基础框架必选项。部门管理功能说明帮助企业根据部门对用户以及用户终端进行分类管理。关键技术 管理流

40、程，无关键技术。用户管理功能说明添加管理部门用户信息，帮助企业内终端归属到最终责任人。关键技术 管理流程，无关键技术。机器管理功能说明设置录入终端机器信息，监控终端机器在线情况。可以根据机器IP自动分配到不同的部门。关键技术 管理流程，无关键技术。资产管理功能概述组件名称：资产管理组件类型：功能模块目标：监控企业内软硬件资产。功能描述：自动检测企业内软硬件资产信息。适用场景： 属于基础框架必选项。硬件资产管理功能说明系统提供硬件资产信息统计查询功能，可以根据关键字模糊查询。管理员可以方便的查看客户端计算机硬件情况，包括CPU、内存、硬盘、网卡、显卡、鼠标、键盘等信息。也提供了导出功能，可以将所

41、有信息导出成EXCEL表格，协助资产管控。关键技术 无软件资产管理功能说明系统提供软件资产信息统计查询功能，可以根据姓名、机器名、IP地址、安装软件名称、版本号、安装日期、发布者进行模糊查询，方便的查看客户端计算机软件安装情况。也提供了导出功能，可以将所有信息导出成EXCEL表格，协助资产管控。关键技术系统通过WMI和设备过滤驱动进行设备资产信息搜索，搜集数据准确，及时。通过设备过滤驱动可以对于USB设备和串口设备准确识别。报警中心功能概述组件名称：报警中心组件类型：功能模块目标：展示终端违规报警信息。功能描述：系统提供了违规上网、违规程序使用、非法接入IP、系统CPU使用率等参数超标、软硬件

42、资产变化等情况的实时报警服务，可协助管理员对于网络内部突发事件进行及时处理。适用场景： 属于基础框架必选项。报警类型功能说明系统针对违规上网、违规程序使用、非法接入IP、文件外发、系统参数超标、IP地址变化、软硬件资产变更进行报警，记录报警信息，并可通过邮件发送报警信息。关键技术 管理员设置好邮件报警信息后，当系统产生报警时会及时通过POP3协议发送给管理员邮箱，报警动作实施性强，内容准确。客户端管理功能概述组件名称：客户端管理组件类型：功能模块目标：管理客户端基本功能。功能描述：可远程操作客户端机器的基本开关机等操作，并可对客户端机器下发即时消息。适用场景： 属于基础框架必选项。客户端管理

43、管理流程，无关键技术。功能说明管理员可以对远程客户端计算机进行注销、关机、重启、开机等操作，实现客户端电源管理功能，并可修改客户端管理密码， 向客户端发送即时消息等。也可批量实现客户端电源管理、消息群发等功能。关键技术 远程开机功能，服务器与终端设备的主板唤醒机制进行联动，可以很好的给主板发送远程唤醒命令，实现远程开机。终端桌面管理终端桌面管理主要用于管控程序运行、外设使用、网络访问，以及流量控制等终端功能，帮助企业保证内部的终端规范，以及优化资源的合理使用。桌管基础功能功能概述组件名称：桌管基础功能组件类型：功能模块目标：控制桌面程序黑白名单功能描述：进行程序管控，即黑白名单过滤。适用场景：

44、 适用于对程序使用有准入限制的企业。程序管控功能说明管理员也可以对应用程序进行黑白名单过滤，对于员工使用的程序进行控制，系统也提供了可在线升级海量程序库供管理员选择使用。关键技术系统采用双核进程管控过滤体系，第一层为核心层，通过过滤驱动实现，主要对于具备自保护功能的恶意程序进行控制，使得被管控的程序无法完整加载到内存中即被释放掉。第二层通过HOOK对于应用程序启动进行匹配控制，这种比对方式轻便，速度快。双核检测都可以通过程序的进程名、MD5值、加载的DLL信息进行程序比对。终端外设管理功能概述组件名称：终端外设管理组件类型：功能模块目标：管理外设使用情况功能描述：企业内终端存在很多接入和使用外

45、部设备的情况，如USB、光驱、打印机、无线网卡、蓝牙等，针对这些外部设备往往难以管控，常引发许多安全问题。亚信终端安全管控系统提供外设管理功能，支持仅放开特定外设，或特定外设权限等方式，实现外设的安全接入和使用。适用场景： 适用于对外设接入有准入限制的企业。USB管理（禁用、可用、例外、加密）功能说明终端可以设置为禁止使用U盘，也可以设置接入U盘为只读或只写权限，支持U盘插入报警，并对于鼠标键盘等USB非存储设备不生效禁用功能。针对指定U盘，可制作例外U盘，制作后的U盘，可以在单位内部按权使用。关键技术系统采用内核级USB过滤驱动控制，比对U盘的启动扇区，对于非认证的U盘的存储设备禁止挂接到终

46、端计算机上。光驱管理（禁用、可用）功能说明终端可以禁止使用光驱设备。关键技术 系统采用设备过滤驱动，禁止光驱设备加载到操作系统中，控制速度快，力度强，几乎没有对于系统资源的占用。打印机管理功能说明终端可以禁止使用打印机设备。关键技术 系统采用打印机成像过滤驱动，对于终端用户的打印行为进行管理控制，控制精准，即时性强。红外/蓝牙/Modem/声卡/COM口/无线网卡/图形图像设备/便携设备管理功能说明终端计算机可禁止使用软驱，光驱，红外，蓝牙，MODEM，声卡，COM口，禁用图形图像设备，禁用便携式设备，禁用无线网卡。关键技术系统采用虚拟设备过滤驱动对于不同的设备进行相关的侦测与控制，同时不拦截

47、设备援用的驱动程序加载，实现被管控的设备“可驱动，不可以用”的效果，这样对于WINDOWS系统不会提示任何设备无法驱动的提示，用户的感受度好。终端网络访问控制&网络流量控制功能概述组件名称：终端网络访问控制&网络流量控制组件类型：功能模块目标：控制终端网络访问以及流量使用功能描述：随着企业日常办公针对网络的依赖增强，网址的访问控制以及网络带宽的合理利用已经是企业管理者比较重视的问题。亚信终端安全系统提供网址管控、IP管控、端口管控等方式，实现网络访问的有效控制，并支持为每个用户分配指定网络带宽，实现网络流量的合理利用，保障企业内部科学合理地进行网络办公。适用场景： 适用于Web访问业务繁多的企

48、业。URL访问控制功能说明管理员可以设置指定计算机禁止访问或只允许访问特定外网，内网访问不受控制。同时可以设置访问控制时间，进行人性化管控。若用户访问了违规网址，系统会记录报警信息。关键技术 系统通过NDIS网络过滤驱动实现网址审计及网址控制，NDIS层是微软在协议层和数据链路层中提供的虚拟网络过滤层，该层是WINDOWS系统中对于网络数据分析与拦截的最佳位置。通过NDIS层网络过滤驱动可以更完整的拦截操作系统所有的网络外流数据，配合高效的数据比对算法，对于网址的拦截和分析更加准确。IP地址访问控制功能说明管理员通过设置IP地址范围，禁止对特定IP地址或特定IP地址范围进行网络访问。同时可以设

49、置访问控制时间，进行人性化管控。关键技术 系统通过NDIS网络过滤驱动实现对于IP地址访问的管理和控制，NDIS层是微软在协议层和数据链路层中提供的虚拟网络过滤层，该层是WINDOWS系统中对于网络数据分析与拦截的最佳位置。通过NDIS层网络过滤驱动可以更完整的拦截操作系统所有的网络外流数据，配合高效的数据比对算法，对于IP地址的拦截和分析更加准确。目标端口访问控制功能说明管理员可以设置禁止员工网络访问的端口或端口范围，同时可以设置访问控制时间，进行人性化管控。关键技术 系统通过NDIS网络过滤驱动实现对于端口访问的管理和控制，NDIS层是微软在协议层和数据链路层中提供的虚拟网络过滤层，该层是

50、WINDOWS系统中对于网络数据分析与拦截的最佳位置。通过NDIS层网络过滤驱动可以更完整的拦截操作系统所有的网络外流数据，配合高效的数据比对算法，对于端口访问的拦截和分析更加准确。网络流量控制功能说明系统支持控制企业的外网访问流量，包括上行流量、下行流量，以及总流量管控。关键技术 系统通过NDIS网络过滤驱动实现对于网络流量的的管理和控制，NDIS层是微软在协议层和数据链路层中提供的虚拟网络过滤层，该层是WINDOWS系统中对于网络数据分析与拦截的最佳位置。通过NDIS层网络过滤驱动可以更完整的拦截操作系统所有的网络外流数据，可以对于网络流量进行完整的控制。外发文件控制功能说明系统针对文件外

51、发行为实行严格记录与多渠道外发控制双重保护策略，严格规范企业内员工的文件外发行为，防止公司机密文件外泄。系统会自动记录用户文档的外发行为，包括QQ外发、微信电脑版外发，USB外发、浏览器外发等。系统也可以直接禁止用户多种外发方式，包括浏览器外发、QQ外发、阿里旺旺外发、微信电脑版外发、MSN外发、U盘外发文件等。关键技术 系统采用HOOK技术对于终端用户的外发行为进行拦截、分析、比对和审计。拦截准确，不占用系统资源。终端审计管理企业信息化通讯的需求日益增多，员工日常操作难以审计，导致企业的信息安全一直无法提供可靠的保证。亚信终端安全管控系统提供全面的审计功能，可选择性监控企业内所有的外网访问、

52、程序使用、打印外发、即时聊天、邮件通讯等操作内容，满足信息安全的可审计性。网址日志功能概述组件名称：网址日志组件类型：功能模块目标：记录用户上网行为功能描述：管理员针对终端用户的网址访问行为进行审计，审计内容主要包括：访问网站的URL信息，网站的标题，访问时间，所使用的浏览器信息，是否违规等。也可针对网址进行访问量统计。适用场景：适用于WEB业务较多，审计需求较强的企事业单位。记录网址日志功能说明系统自动记录客户端访问的上网信息，管理人员可根据时间段查看员工访问网站的详细情况，如访问网址、访问时间、访问标题、使用浏览器信息等，可用于上网安全审计。另外，系统提供了详尽的日志查询方式，管理员可以把

53、所有查询出的日志导出成EXCEL表格。同时，系统可基于单台机器或所有机器统计信息，展示网站访问统计结果，提供详尽的图表、报表展示功能。关键技术系统提供了高精准的网址访问审计功能，采用LSP，NDIS双层数据拦截分析技术实现，LSP属于协议层网络分析体系，他的特点是协议层网络数据侦听分析，更接近用户浏览器生成的数据封包。NDIS是WINDOWS操作系统虚拟出的协议层与数据链路层之间的虚拟封包过滤引擎，该层的特点是数据流速快，更适合进行封包过滤。所以系统在该层实现了针对网址访问的过滤控制，实现网址访问的黑、白名单。屏幕日志功能概述组件名称：屏幕日志组件类型：功能模块目标：记录用户屏幕操作日志功能描

54、述：定时截取终端页面，记录用户屏幕操作截图，并可保存屏幕操作日志。适用场景： 企事业单位需要审计屏幕操作内容。记录屏幕日志功能说明系统可以定时记录员工计算机屏幕日志，数据保存到服务器上。管理员可以通过缩略图方式大致浏览截屏信息，也可以双击查看整幅屏幕图片，通过键盘方向键实现截屏日志滚动播放。 管理员可选择是否记录屏幕日志，何时生效屏幕日志，特定网址触发截屏操作。也可以自定义截屏间隔时间，以及截屏图片质量，导出截屏日志。 关键技术计算机终端程序定时截取屏幕信息，压缩保存到本地磁盘，然后上传到服务器上。系统应用点矩阵式截屏技术，截屏速度快，不占用CPU时间片，用户没有任何感知。当用户在运行大型程序

55、占用较多的CPU和内存时，截屏操作也不会对于系统资源有任何占用。截取好的数据，终端系统进行一定比率的压缩，压缩后上传到服务器上。整个过程，终端使用者无感知，内网网络带宽占用低，效果好。程序日志功能概述组件名称：程序日志组件类型：功能模块目标：记录用户程序操作日志功能描述：在系统中查询用户程序操作信息。适用场景： 审计终端计算机的程序访问操作。对于使用与工作无关的程序，非安全程序可以很好的审计。记录程序日志功能说明管理员通过程序日志，可以了解员工每天运行了什么程序，针对游戏、木马进行严格的控制，保证内网安全。记录日志包括程序运行路径、开始时间、结束时间、产品名称、公司名称等信息。另外，系统提供了

56、详尽的日志查询方式，管理员可以把所有查询出的日志导出成EXCEL表格。系统针对程序的使用详情、使用次数、运行时间分别进行了统计分析，有利于后期审计。关键技术程序审计主要通过应用层HOOK与程序创建驱动两层实现的，常规程序通过应用层HOOK技术可以控制，对于具备一定自身安全性的程序，系统通过驱动层拦截技术实现拦截。双层的程序控制技术，使得程序控制安全、稳定。文件日志功能概述组件名称：文件日志组件类型：功能模块目标：记录用户文件操作日志功能描述：在系统中查询用户文件操作信息，如文件创建、访问、复制、删除、剪切、重命名、USB外发、QQ外发、浏览器上传文件、MSN外发文件、阿里旺旺外发文件、微信外发

57、文件等。适用场景： 适用于需要审计文件终端操作以及外发操作的企事业单位。记录文件日志功能说明系统详细记录每个员工在本机终端以及互联网络上对文件进行的操作，包括复制、删除、剪切、重命名等操作。也可以记录员工对于文件外发的详细信息，包括通过U盘外发、浏览器上传、QQ外发、MSN外发、阿里旺旺外发、微信外发等。关键技术针对终端用户的文件使用行为，系统通过系统采用内核层的文件过滤驱动技术，实现了精准的审计，该技术基于WINDOWS文件系统，拦截审计信息精准，速度快。经过压力测试获得结论，对于用户的常规的文件操作审计，所带来的CPU时间片占用几乎为0，不会影响计算性能。打印日志功能概述组件名称：打印日志

58、组件类型：功能模块目标：记录用户打印操作日志功能描述：在系统中查询用户打印操作信息。适用场景： 适用于需要审计外设打印操作的企事业单位。记录打印日志功能说明记录终端计算机的打印信息，包括打印时间，打印页数，打印文件名称，使用的打印机等信息，并将打印内容形成图片保存到服务器上，支持查看打印图像。另外，系统提供了详尽的日志查询方式，管理员可以把所有查询出的日志导出成EXCEL表格。关键技术系统可以提供针对终端用户的打印行为进行审计，通过打印过滤驱动实现，当终端用户进行打印时候，过滤驱动获取打印对象，该技术为目前的主流打印审计技术，审计信息精准，兼容性强。USB使用日志功能概述组件名称：USB使用日

59、志组件类型：功能模块目标：记录用户USB使用操作日志功能描述：在系统中查询用户USB使用操作信息。适用场景：适用于需要审计外设USB使用操作的企事业单位。记录USB使用日志功能说明系统可以详细记录客户端使用USB的信息，包括USB的插拔记录等。另外，系统提供了详尽的日志查询方式，管理员可以把所有查询出的日志导出成EXCEL表格。关键技术系统采用USB过滤驱动，对于U盘的插拔操作进行审计。该USB过滤驱动对于USB设备类型也机型了分析，只审计USB存储设备，对于鼠标、键盘、打印机等非USB移动存储设备自动放开，审计竞争，速度快。聊天日志功能概述组件名称：聊天日志组件类型：功能模块目标：记录用户聊

60、天日志功能描述：在系统中查询用户聊天信息，如QQ聊天日志、MSN聊天日志、Skype聊天日志、阿里旺旺聊天日志、微信聊天日志等。适用场景： 企事业单位对于员工的通讯信息具有强审计要求。记录聊天日志功能说明系统可对QQ、MSN、阿里旺旺等聊天工具的聊天内容进行监控，方便管理者对员工互联网聊天行为进行管理，避免员工上班时间过度讨论与工作无关内容，该功能为系统可选项。关键技术系统采用了多层技术实现对于技术通讯软件的聊天内容进行分析及审计，包括数据在即时通讯软件内存中的抓取，网络层数据拦截，针对高强度加密算法破密，获取数据后快速脱钩等技术，很好的实现了针对不同即时通讯软件进行聊天内容审计的功能。邮件日