接入管理产品线fy产品市场和fy市场规划

客户交流接入管理与内网安全管理防水墙DCSM产品2007年4月内容一、要为用户解决什么样的问题二、组网方式、公司相应的产品三、基本功能及原理四、适用于哪些用户或行业一、要为用户解决什么样的问题

操作系统补丁、防病毒的问题公司内部网Internet公司内部网InternetWorms.win32.scotti安全漏洞病毒一、要为用户解决什么样的问题外来人员的非法接入问题通过有线网络接入通过无线网络接入公司内部网Internet外来无线接入外来有线接入一、要为用户解决什么样的问题私自改动IP、冒用IP内网黑客攻击、病毒入侵的起点；IP地址冲突，降低网络的可用性，造成重要主机（如服务器、特权主机）的不正常使用；无法对违规操作进行追溯，不利于事后侦查、总结；服务器主机名、IP地址都改掉，看看公司有什么新文件，机密消息早知道服务器IP地址冲突！服务器不可用！一、要为用户解决什么样的问题内部员工的非法外联问题破坏整体安全防护体系，在内外网之间开辟了一个旁路网络安全防护机制的“后门”；机密资料的外泄容易引入恶意的入侵引发病毒感染的捷径不良信息的访问和传播（如黄色、反动信息）；聊天、打游戏降低工作效率，浪费公司资源；

公司内部网InternetXModem/ADSL或其它方式接入外网接入终端（客户端）违规操作不遵守规定安装使用软件：私自安装游戏、聊天、黑客软件等等引入了潜在的安全漏洞可能惹来版权诉讼的麻烦随意安装、使用可移动的存储设备：通过移动存储介质间接地与外网进行数据交换导致病毒的传入导致敏感信息、机密数据的传播与泄漏一、要为用户解决什么样的问题一、要为用户解决什么样的问题公司的资产管理、终端的软/硬件配置情况无法自动获取：我们的网络中共有多少台计算机？哪些用户在使用这些计算机？这些计算机的硬件配置情况如何？这些计算机安装的什么操作系统，是否安装了最新的补丁？这些计算机有没有非法使用相关资源？下属单位2下属单位1总部。。。。。。内网安全管理的挑战----IT管理员的烦恼一、要为用户解决什么样的问题网段2网段1每天都有人报修，可单位网络太复杂，无法马上判断故障点，烦死了！单位的电脑又多又分散，如何保管登记哪？？？服务器又不能正常工作了，提示IP地址冲突，。。。单位禁止安装一些软件，可就是有人不执行，还有人自行拨号上网，领导要我管，可我这么管哪？？？张三的电脑没有运行Norton防病毒软件，危险！二、组网方式、公司相应的产品假设用户的原有网络如下：Internet二层LAN二层LAN二层LAN二层LAN二层LAN二层LAN二层LAN二层LAN二、组网方式式、公司相应应的产品增加了基于DCSM的接接入安全管理理后，用户的的网络如下：：Internet二层LAN二层LAN二层LAN二层LAN二层LAN二层LAN二层LAN二层LANDCSM-3000（自带一个DCSM-Agent）DCSM-Agent（可管理三个个LAN）WSUS系统补丁服务器和防病毒服务器二、组网方式式、公司相应应的产品系统的组成:DCSM中央央控制器（简称CM，自自带一个DCSM-Agent）IP地址管理理代理（DCSM-Agent）DCSM客户户端WSUS操作作系统补丁服服务器和WSUS监控控端二、组网方式式、公司相应应的产品DCSM中央央控制器（简简称CM）DCSM中央央控制器是DCSM产品品体系的管理理核心，在操操作上采用B/S模式、、软硬件一体体化设计，实实现对全网数数据的收集统统计和分析。。型号有DCSM-100、DCSM-500、、DCSM-2000、、DCSM-3000。。一个DCSM中央控制器器自带一个DCSM-Agent，，而一个DSCM-Agent可管管理三个二层层网络。也就就是说，如果果用户的二层层网络不超过过三个，则只只用一个DCSM中央控控制器即可。。二、组网方式式、公司相应应的产品IP地址管理理代理（DCSM-Agent）DCSM中央央控制器对各各个二层网段段的监视和控控制是通过DCSM-Agent连连到相应的网网络上实现的的。一台DCSM-Agent可管理三三个网段。当所管理的网网段过多时，，需求相应地地配置多台DCSM-Agent。。二、组网方式式、公司相应应的产品DCSM客户户端DCSM客户户端管理插件件，安装在受受管理的终端端上，实现客客户端管理功功能。该客户端程序序可直接从CM的登录页页面上点击下下载安装，安安装后驻留在在终端后台。。DCSM客户户端安装完后后，不需要上上网用户对DCSM客户户端进行任何何配置或操作作，也不需要要拨号上网的的操作，而是是作为一个系系统后台进程程驻留在系统统中。用户不不能通过PC机卸载，只只能由管理员员在DCSM管理端遥控控卸载。二、组网方式式、公司相应应的产品WSUS操作作系统补丁服服务器和WSUS监控控端WSUS操作作系统补丁服服务器是由操操作系统厂家家免费提供。。在组网后实实现与DCSM的联动。。WSUS监监控端是DCSM系统补补丁管理插件件，安装在内内网WSUS服务器上，，实时检测WSUS服务务器上的补丁丁信息，并将将信息及时发发送到中央控控制器上，以以协助中央控控制器实现系系统补丁管理理的功能。三、基本功能能及原理DCSM接入入安全管理系系统与802.1x方案案相比的特点点：保护用户原有有投资：本系系统适用于任任何厂家的交交换机组成的的网络，不需需要更换用户户的原有交换换机，只需要要在原有网络络上很少的投投资即可实现现接入安全管管理功能。系统出现故障障，不影响网网络通畅：本本系统所有设设备采用旁路路的组网方式式。即使本系系统的任何组组件发生故障障，都不会影影响网络的正正常使用，不不能情况网络络的性能。全网用户，可可通过访问某某个主页自动动安装DCSM客户户端，安装完后不需需要对安全客客户端进行任任何配置的操操作，上网不不需要认证。。用户感觉上上象完全没有有安装过该客客户端一样使使用这台计算算机。因此不不会对上网用用户造成任何何影响。三、基本功能能及原理Internet二层LAN二层LAN二层LAN二层LAN二层LAN二层LAN二层LAN二层LANDCSM-3000（自带一个DCSM-Agent）DCSM-Agent（可管理三个个LAN）收集数据过程程：(1),(2)控制的过程:(3),(4)(1)(2)(3)(4)三、基本功能能及原理神州数码接入入安全管理DCSM系统统通过两方面面来保证网络络的接入安全全：IP/MAC地址的管理理：实现对网网络终端准入入的控制客户端安全管管理：即接入终端的的安全管理。保证终端的接接入安全，并并通过与IP/MAC地地址管理的联联动，实现诸诸多接入安全全管理功能。。三、基本功能能及原理实时扫描与分分析在线计算算机的IP、、MAC地址址信息，显显示在线的合合法/非法用用户，实现全全网的接入监监控。三、基本功能能及原理IP地址、MAC地址的的合法性判定定：支持“IP-MAC绑定”、““DHCP-MAC绑定定”和“特权权MAC”配配置三种合法法性管理方式式，符合这三三种配置之一一的接入终端端是系统认为为是合法接入入终端；以上三种注册册之外的接入入终端，认为为是“非法””接入终端。。三、基本功能能及原理三种方便的合合法终端的配配置方式：““从在线非法法节点中添加加”、“从历历史违规记录录中添加”、、“手工添加加”：三、基本功能能及原理接入安全策略略的配置对非法接入终终端的告警功功能：可发送送指定的消息息；对非法接入终终端的阻断功功能：全部阻断：对对全部认为““非法”的接接入终端进行行阻断。选择阻断：只只对“非法””的接入终端端中管理员指指定的终端进进行组断不阻断：对非非法的接入终终端不阻断三、基本功能能及原理1、资产信息息管理：双击击某一接入终终端的记录，，即可查看资资产信息：按组织结构管管理，实现设设备信息的注注册和审批；；自动扫描未未安装客户端端的终端；自动收集终端端的系统、硬硬件、软件信信息；信息变变更时，自动动记录，并可可根据策略向向管理员发送送报警；信息息可搜索查询询，可导出excel报报表；客户端程序收收集的系统信信息包括：操操作系统类型型、操作系统统版本号、IE浏览器代代理服务器设设置情况、当当前登录用户户、当前登录录域、客户端端程序的版本本号、操作系系统补丁信息息等；客户端程序收收集的硬件信信息包括：CPU型号、、CPU主频频、内存大小小、硬盘序列列号、磁盘容容量、磁盘剩剩余空间、网网卡型号、网网卡物理地址址、显卡型号号、声卡型号号、键盘型号号、鼠标型号号等；查询及报表统统计：可根据据上述收集的的各种信息，，包括用户信信息、硬件设设备信息、系系统信息和软软件信息进行行组合查询搜搜索，以查找找出满足条件件的计算机，，并生成相应应的统计报表表。资产信息管理理资产信息管理理---自动动记录终端的的软硬件变更更情况资产信息管理理---可自自动发现接入入终端的文件件信息共享情情况资产信息管理理---查看看接入终端的的软件信息资产信息管理理---查看看接入终端的的硬件信息资产信息管理理---实时时查看接入终终端的屏幕信信息资产信息管理理---查看看接入终端的的操作系统补补丁情况三、基本功能能及原理2、接入终端端的软件进程程监控管理人员可在在中央控制器器指定各计算算机必须运行行（白名单））和禁止运行行（黑名单））的进程；本机客户端程程序将实时检检查进程运行行的情况，发发现本机未运运行白名单进进程，客户端端将向中央控控制器发送违违规情况，并并向管理人员员发送报警；；一旦发现本机机正在运行黑黑名单的进程程，客户端则则自动结束该该进程，同时时向中央控制制器发送违规规通知与报警警。通过这一功能能，可实现与与防病毒软件件的联动、监监控功能。接入终端的软软件进程监控控---与防防病毒联动一一例在软件预案配置置中，将接入终端上上的Norton防病毒毒软件配置为为必须运行，，并通过Norton自自带的病毒库库升级功能自自动升级。三、基本功能能及原理3、外设与端端口监控管理人员可在在中央控制器器设定启用或或禁用各终端端计算机的外外设和端口；；外设与端口包包括软驱、光光驱、U盘、、MODEM、串口、并并口、红外接接口、1394口等外围围设备和接口口；客户端将根据据中央控制器器下发的配置置启用或禁用用，即使断开开内网，客户户端程序照样样具有控制作作用。外设与端口监监控的一个配配置界面三、基本功能能及原理4、非法外联联监控非法外联行为为的监视：客客户端程序定定周期检测该该计算机的网网络连接情况况，及时发现现终端连接其其他外部网络络的行为，记记录下其违规规外联的信息息并向中央控控制器发送违违规记录和报报警。即使断断开内网发生生外联，客户户端程序也可可检测到。非法外联行为为的控制：对对于发生非法法外联行为的的计算机，客客户端可自动动断开其各种种网络连接，，包括网卡连连接、拨号连连接、无线连连接等。管理理人员可在中中央控制器配配置自动恢复复或确认恢复复两种方式以以恢复终端的的内网连接。。非法外联判断断的原理非法外联判断断的原理要配置“外联联参考点”和和“标准网关关”。当“是否检查查标准网关””设置为“是是”时：就检检查接入终端端的外联路由由是否与配置置的“配置网网关”不一致致，如果不一一致，说明接接入终端可能能有其它上网网网的途径（（例如ADSL拨号后获获取的新的外外联路由）。。在这种情况况下，DCSM控制接入入终端向“外外联参考点””发起连通性性测试，如果果与“外联参参考点”是连连通的，则说说明该接入终终端存在非法法外联的情况况。当“是否检查查标准网关””设置为“否否”时：则DCSM直接接控制接入终终端向“外联联参考点”发发起连通性测测试，如果与与“外联参考考点”是连通通的，则说明明该接入终端端存在非法外外联的情况。。三、基本功能能及原理5、操作系统统补丁管理可与WSUS服务器联动动，自动实现现操作系统补补丁的更新。。三、基本功能能及原理6、文件审计计管理文件审计主要要记录从本机机拷贝文件到到其他存储设设备或网络上上设备的操作作。审计内容主要要包括：写软软驱、光驱、、U盘的操作作，向远程共共享目录写文文件，他人从从本机的共享享目录拷贝文文件，以及使