BroadviewDCC产品简要介绍

1、Broaddvieww DCCC产品白皮书书2008.03北京广通信信达科技有有限公司Broaddvieww DCCC产品白皮皮书版权声明明本文中的所所有内容及及格式的版版权属于北北京广通信信达科技有有限公司（以以下简称广广通信达）所所有，未经经广通信达达许可，任任何人不得得仿制、拷拷贝、转译译或任意引引用。版权所有 不得翻翻印 20008广通信达达商标声明本文中所谈谈及的产品品名称仅做做识别之用用。手册中中涉及的其其他公司的的注册商标标或是版权权属各商标标注册人所所有，恕不不逐一列明明。Broadda 广通信达达信息反馈目 录TOC o 1-3 h z u定义Broaddvieww：Broo

2、adviiew是北北京广通信信达科技有有限公司产产品系列的的名称，已已申请注册册商标。目目前版本为为3.0，全全名为Brroadvview IT运维维管理平台台。DCC：为为Broaadvieew产品系系列中的桌桌面产品模模块，为DDeskttop CContrrol CCenteer的缩写写，中文名名称为桌面面监控中心心。背景当前计算机机网络安全全形势随着信息网网络的迅速速发展,在在当今的信信息时代，信信息技术已已经彻底改改变我们的的生活和工工作方式，也改变现行企事业单位的管理模式。作为信息的管理部门，必须考虑当前技术的发展给我们的工作所带来的利益和威胁。如何利用信息网络进行安全的通信，同时

3、保护计算机自身信息的安全性，成为当前网络安全和信息安全迫在眉睫的问题。针对日益严严重的内部部信息泄漏漏问题，FFBI对4484 家家公司调查查显示：面面对来自于于公司内部部的安全威威胁，855的安全全损失是由由企业内部部原因造成成的。对于于很多国内内企业来说说，这可能能有点耸人人听闻。但但是，他们们肯定遇到到过类似的的事情,由由于某一员员工误操作作造成公司司服务器上上重要文档档丢失；由由于没有定定义每位员员工在系统统内的访问问权限，使使本该由一一定级别的的人员才能能掌握的业业务秘密泄泄露给竞争争对手对于这些些来自公司司内部的安安全问题，不不是靠单纯纯安装杀毒毒软件或防防火墙就能能解决的。目前，

4、900%以上的的端终用户户使用的是是winddows22000,XP或以以上的操作作系统，而而这几种系系统的安全全漏洞又非非常多，微微软公司会会通过定期期发布安全全补丁的方方式来弥补补这些漏洞洞，但由于于端终用户户缺乏相关关知识，导导致补丁安安装的不完完全，不及及时，这就就会严重影影响终端计计算机的安安全，从而而导致更严严重的整个个内网安全全问题。终端的安全全管理和运运维支持问问题突现据Garttner Grouup调查表表明，五年年内PC及及服务器的的软硬件采采购成本仅仅占所有成成本的122，177是管理理监督的花花费，144花在技技术支持上上，57则是花在在用户端操操作。因此此，降低在在管

5、理监督督、技术支支持和用户户端操作上上的运营维维护，是有有效降低企企业运营维维护成本的的重点。现实情况也也的确如此此，为了满满足不断增增长的商务务拓展需求求，企业必必须迅速提提高生产力力，更多的的IT设备备和应用被被投入到企企业环境中中，使得企企业IT基基础架构管管理变的日日趋复杂。研究表明明，超过550%的IIT预算都都花费在持持续不断的的部署，配配置，更新新，移植和和管理ITT资产。为为了有效的的控制成本本，企业正正在购买系系统管理软软件来提高高IT资产产的可靠性性和有效性性。然后，大大多数系统统管理软件件厂商仅仅仅关注ITT管理的一一两个方面面。他们只只能解决某某一方面的的问题，而而企业

6、的IIT管理人人员必须决决定如何使使得这些软软件与其他他的软件和和系统协同同工作。企业网络桌桌面计算机机安全现状状尤其是中大大型企事业业单位、政政府办公网网络，桌面面计算机数数量众多，管管理难度很很大。感染染病毒、被被安装木马马（像目前前最严重的的灰鸽子），有有些不明程程序不断抢抢占IP地地址造成其其他机器无无法正常工工作，还有有部分员工工使用BTT、电驴下下载工具时时有发生。由于难于于发现有问问题的电脑脑，难以对对这些危险险电脑进行行定位，一一旦问题发发生，往往往故障排查查时间非常常长。如果果同时有多多台计算机机感染网络络病毒或者者进行非法法操作，非非常容易导导致网络阻阻塞，从而而致使其他他

7、正常网络络业务无法法使用。没有相关的的技术与管管理手段，企企业许多管管理规定也也难以执行行。比如：不准上班班时间聊QQQ，不准准安装BTT、电驴等等下载工具具，不准玩玩网络游戏戏，不准私私自修改电电脑安全设设置，不准准通过IEE代理私自自浏览与工工作无关的的网站，需需要设置操操作系统密密码，必须须安装防病病毒软件并并更新到最最新病毒库库等等。这这些行为违违反了单位位的信息化化管理规定定，也极大大地影响了了企业内部部网络的安安全性。企业在桌面面计算机管管理方面的的其它需要要随着信息化化的不断发发展，现在在企业桌面面终端数量量非常多，地地理位置也也很分散，给给IT管理理员日常的的管理维护护带来了很

8、很大困难。所以ITT管理层面面临着重重重实际问题题难以对计算算机的资产产、配置进进行统计、跟踪，防防止资产流流失；如何防止滥滥用公司电电脑，提高高生产力？由于微软补补丁、漏洞洞、其他应应用程序升升级等问题题频繁，日日常维护工工作量极大大；如何对网络络终端进行行有效工作作状态监控控，监督使使用人员规规范操作电电脑。计算机使用用人员技能能不一，有有些很小的的问题都需需要维护人人员现场解解决，降低低了维护的的效率；无法对计算算机进行批批量维护，像像安装软件件、打补丁丁、设置计计算机参数数；如何追查意意外事件，并并做有效审审计？如何进行外外来笔记本本电脑以及及其它移动动设备的随随意接入控控制。建设桌面

9、终终端安全管管理系统的的意义建立桌面终终端安全管管理系统的的意义在于于，解决大大批量的桌桌面安全管管理问题，提提升IT服服务部门的的工作效率率，解决大大部分手工工操作工作作，对员工工行为操作作做审计并并规范。加固桌面终终端的安全全性，通过过策略部署署，可以保保障所有桌桌面终端统统一执行安安全防护策策略，及时时更新桌面面终端的安安全补丁，减减少被攻击击的可能。实时评估桌桌面计算机机的安全状状态，是否否符合企业业信息管理理规定。评评估桌面终终端网络流流量是否异异常？评估估是否做了了非法操作作（像拨号号上网、安安装非法软软件，运行行非法程序序，浏览非非法网站等等等），评评估计算机机用户登录录密码是否

10、否合理等等等。快速部署应应用软件升升级包，批批量修改网网络参数；防止外来电电脑非法接接入，避免免网络安全全受到破坏坏或信息泄泄密；轻松了解计计算机目前前资产状态态，方便管管理与控制制计算机资资产。信息安全的的新趋势是是网络防护护与端点防防护并重以往提起信信息安全，人人们更多地地把注意力力集中在防防火墙、防防病毒、IIDS（入入侵检测）、网络互联联设备即对对交换机、集线器和和路由器等等的管理，却却忽略了对对网络环境境中的计算算单元服务器、台式机乃乃至便携机机的管理。正确、全全面的认识识终端桌面面管理的发发展趋势和和技术特点点，是ITT研发厂商商面临的发发展抉择，同同时也是企企、事业IIT管理人人

11、员和高层层决策人员员在进行终终端桌面安安全防护部部署时必须须考虑的议议题。终端桌面安安全管理技技术的兴起起是伴随着着网络管理理事务密集集度的增加加，作为网网络管理技技术的边缘缘产物而衍衍生的，它它同传统安安全防御体体系的缺陷陷相关联，是是传统网络络安全防范范体系的补补充，也是是未来网络络安全防范范体系重要要的组成部部分。因此此，终端桌桌面安全管管理技术无无论在现在在还是未来来都应当归归入基础网网络安全产产品体系之之列。近两年的安安全防御调调查也表明明，政府、企业单位位中超过880%的管管理和安全全问题来自自终端，计计算机终端端广泛涉及及每个用户户，由于其其分散性、不被重视视、安全手手段缺乏的的

12、特点，已已成为信息息安全体系系的薄弱环环节。因此此，网络安安全呈现出出了新的发发展趋势，安安全战场已已经逐步由由核心与主主干的防护护，转向网网络边缘的的每一个终终端。因此，采用用联网桌面面安全管理理平台是大大势所趋！Broaddvieww DCCC产品简介介Broaddvieww DCCC专为大型型企事业单单位、政府府解决数量量众多的桌桌面电脑安安全管理维维护问题而而设计，可可以很好地地解决系统统管理员面面临众多问问题，解决决数量众多多的桌面电电脑批量安安全管理，行行为审计和和远程维护护等难题。Broaddvieww DCCC在设计时时参考了国国际上信息息安全管理理最佳实践践BS77799规范

13、范。整体系系统架构图图如下：具体来说BBroaddvieww DCCC采用C/S、B/S混合架架构，通过过集中式WWEB管理理平台，主主要提供了了以下多方方面的管理理功能：IT资产综综合管理，合合理易用自动发现网网络上所有有接入设备备；桌面软、硬硬件资产信信息全面收收集；及时跟踪各各项资产变变动信息并并提供预警警信息；全线设备信信息维护记记录；从设备采购购、日常使使用的维护护一直到设设备报废提提供全周期期管理；提供详细全全面的资产产报表；行为审计，规规范员工日日常操作；支持桌面终终端屏幕行行为审计；支持员工日日常文档操操作审计；支持网络浏浏览记录行行为审计；提供对员工工日常运行行程序的审审计；

14、对员工的日日常邮件、即时消息息的内容做做监控与审审计；支持对打印印文件的审审计。补丁综合管管理采用底层技技术协议，桌桌面电脑及及时自动检检测补丁漏漏洞；后台服务直直接下载企企业所需补补丁；支持多种补补丁安装策策略模式；支持微软全全系列补丁丁类型，包包括Winndowss全系列、OFFIICE全系系列、SQQLSerrver全全系列及其其他所有微微软提供的的补丁；提供详细的的未安装补补丁机器列列表；桌面安全评评估及终端端加固自动发现存存在安全隐隐患的终端端设备；可提供终端端网络流量量异常评估估；支持用户密密码强度检检查、Guuest帐帐户检查、屏幕保护护设置检查查；支持各种共共享检查、支持禁止止

15、修改IPP地址；终端安全接接入控制，防防止非法终终端接入用户可以自自行定义多多种准备控控制策略；采用的假想想式程序安安排的基本本隔离方法法可以在最最短的时间间内有效地地阻止没有有被认证的的用户。不不受电闸8802.11x或Dyynamiic VLLAN的限限制，并适适用于任何何网络环境境不符合特定定程序（如如未安装杀杀病毒软件件，DMSS程序等），不不符合安全全补丁的用用户的操作作将被阻止止软件分发，功功能强大、快速部署署不影响客户户端用户资资源负担，确确保软件正正常发放与与安装；支持有策略略分发范围围，支持大大规模数量量的终端；支持自动安安装、手工工安装，支支持多种打打包工具和和打包格式式；

16、非法操作监监控管理，让让管理规定定令行禁止止检查桌面终终端是否安安装非法软软件；支持对USSB设备、USB存存储设备、Modeem拨号、无线通讯讯、红外通通讯、蓝牙牙通讯、软软驱、光驱驱等非法操操作的监控控、审计和和禁止使用用；支持离线管管理，桌面面终端在离离开网络之之后安全策策略仍然有有效；可以制定黑黑白进程名名单，规范范企业程序序应用；支持控制企企业网络浏浏览控制，制制定黑白网网站，规定定企业上网网范围；远程维护与与协助，不不到现场、胜过现场场实时监控客客户端画面面；不用到现场场即可了解解远程桌面面发生的状状况；可以选择远远程控制或或者只监视视桌面，满满足各种场场合的需要要；可以同时支支持

17、多个桌桌面实时跟跟踪；可以与远程程客户端发发送消息通通知；强大的事件件预警平台台根据桌面审审计信息数数据统计分分类报警结果处处置管理，支支持EMAAIL、消消息等方式式多种可扩展展策略定制制预警情况况；丰富的报表表输出功能能对于资产管管理、行为为审计等结结果可以输输出报表输出报表支支持导出为为.xlss文件可自动输出出排序分析析类报表，TTOP NN类的报表表此外，Brroadvview DCC支支持多级级级联管理模模式，各种种安全管理理策略可以以按照不同同模式进行行应用范围围部署。功能模块说说明项目功能项功能说明备注基本要求系统架构和和整体安全全性基于B/SS、C/SS混合构架架，具有较较好

18、的系统统安全性，管管理平台采采用WEBB方式。多级级联的的网络结构构采用部署区区域服务器器的模式并并且配置上上级服务器器IP地址址，策略下下发，采集集数据上报报的方式实实现多级级级联。安全模式下下正常运行行USB的控控制、进程程黑白名单单、客户端端防删除等等控制策略略在安全模模式下正常常运行。系统管理员员的安全性性可定义不同同的功能权权限的管理理角色、同同时定义操操作员可管管理的组织织范围，而而且可以限限制管理员员在指定的的IP范围围登录平台台。客户端对CCPU、mmemorry的资源源占用要求客户端端占用cppu正常情情况下3；内内存占用在在5M以内离线管理模模式能够支持客客户端不在在联网状

19、态态下正常管管理，并且且保存操作作记录行为为；基础平台知知识产权风风险性要求提供的的基础服务务平台不存存在任何的的知识产权权的风险性性；WEBB服务器、数据库等等等方面；策略管理要要求制定策略可可继承，方方便部署；也同时可可以指定某某个组可某某台机器个个性策略部部署；功能模块外设管理对所有外部部设备能够够控制其使使用，包含含USB设设备/USSB存储设设备/软驱驱/光驱/串口/并并口/调制制解调器等等等；当禁禁用USBB存储设备备时，像UUSB打印印机、USSB-Keey可以照照常使用。外设管理理策略在安安全模式下下同样生效效；资产管理能够自动收收集所有客客户机的软软硬件详细细信息，并并且导出

20、相相应的报表表。能够记录各各计算机的的IP地址址、计算机机名、MAAC地址、网卡型号号和生产厂厂商、计算算机所在域域、操作系系统、主要要硬、软件件信息、物物理位置，IIT资产从从采购时输输入一直到到接入网络络、日常维维修、一直直到报废。能够按照部部门、IPP地址范围围、MACC地址、设设备类型、操作系统统类别、操操作系统语语言、资产产各种配置置、设备在在线状态等等方式分类类。要求软软件包含系系统补丁、应用程序序、启动程程序项等类类型。远程协助能够进行远远程桌面查查看，方便便看到对方方的桌面操操作界面；能够远程程上去控制制对方的桌桌面操作，辅辅导对方行行为；能够够在需要远远程协助时时，客户端端才

21、唤醒远远程服务，否否则远程服服务不启动动；能够做做到远程协协助的服务务采用动态态密码方式式做校验，只只能通过管管理平台登登录才有效效；事件日志审审计客户端用户户登录事件件、关机事事件、打开开窗口事件件、操作文文档事件等等等一系列列的操作事事件日志都都需要记录录与查询。违规外联管管理当部署了违违规外联策策略的客户户机或者群群组在访问问了在限制制之外的网网络时，系系统会记录录外联时间间与目标地地址，操作作用户等等等信息，同同时会提供供报警及数数据查询等等功能。当当有违规外外联现象发发生时处理理操作，可可以提示、断线、报报警等操作作。报警信息模模块报警我们可可以提供窗窗口报警、EMAIIL报警、报警

22、规则则的设置、部署。IP地址综综合管理能够远程修修改各客户户端的IPP地址；能能够控制客客户端无法法擅自修改改自己的IIP地址。黑白进程管管理能够按全天天或指定的的时间对指指定的程序序进行禁止止，或者采采取反选，对对指定的程程序外的程程序进行禁禁止；能够够防止客户户端通过修修改文件名名和目录的的方式运行行非法程序序。；黑白网站管管理能够按全天天或指定的的时间对指指定的网站站域名进行行禁止，或或者采取反反选，对指指定的网站站域名外的的网站进行行禁止；端口统一管管理能够对网络络中的所有有客户端软软件端口进进行统一的的管理和控控制；能够够统一控制制客户端的的本地软件件端口和远远程软件端端口的开关关。

23、安全补丁统统一分发能够将微软软安全补丁丁统一配置置并分发到到网络中的的所有客户户端上，并并在客户端端上自动运运行补丁安安装程序；能够支持持微软全系系列补丁类类型，包括括Winddows全全系列、OOFFICCE全系列列、SQLLServver全系系列及其他他所有微软软提供的补补丁；能够够人工审核核的流程，对对一些补丁丁不需要安安装的可以以采用人工工审核；能能够提供所所有机器没没有安装补补丁的分布布列表；支支持服务器器在离线状状态下更新新补丁库。客户端进程程查看要求能够查查看和管理理各客户端端当前和曾曾经运行的的进程；能能够远程关关闭实时进进程；共享信息查查看并管理理能够查看客客户端开放放的所有

24、实实时共享；能够取消消相应的共共享信息；远程修改计计算机名要求能够远远程修改客客户端的主主机名；远程修改网网络参数通过WEBB平台就可可以远程修修改客户机机的网络IIP参数，包包括DNSS，网关等等。软件分发能够支持可可执行程序序、MSII安装包或或者文档数数据文件自自动下发与与安装；能能够支持指指定组范围围、指定时时间进行安安装、能够够指定客户户端安装目目录；并且支持其其他系统补补丁的分发发安装，提提供打包工工具，能够够判断检测测指定程序序是否在运运行，如果果运行则提提示系统需需要升级提提供一个提提示对话框框如果按确确认则将指指定程序退退出开始安安装，如果果选择取消消则不安装装，如果没没运行则马马上开始安安装。能够够提供带参参数运行程程序包；能能够指定执执行安装之之后是否重重启、关闭闭机器；能能够查询软软件分发的的详情与历历史情况；全网PC设设备扫描输入网络扫扫描范围，可可以将全网网内的PCC情况列出出来，IPP、