产品白皮书-北信源内网安全管理系统白皮书v20-北信源-20100403

北信源内网安全管理系统产品白皮书PAGEPAGE50北信源内网安全管理系统产品白皮书北京北信源软件股份有限公司2010年4月

版权声明本手册的所有内容，其版权属于北京北信源软件股份有限公司（以下简称北信源公司）所有，未经北信源许可，任何人不得仿制、拷贝、转译或任意引用。本手册没有任何形式的担保、立场倾向或其他暗示。商标声明本手册中所谈及的产品名称仅做识别之用，而这些名称可能属于其他公司的注册商标或是版权，其他提到的商标，均属各该商标注册人所有，恕不逐一列明。产品声明本手册中提到的产品功能或性能可能因产品具体型号、配备环境、配置方法不同而有所差异，由此可能产生的差异为正常现象，相关问题请咨询北信源公司技术服务人员。免责声明若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失，北信源公司及其员工均不承担任何责任。

目录1. 引言 42. 产品背景 53. 产品架构 63.1管理构架 63.1.1局域网构架 63.1.2广域网构架 83.2统一策略管理 83.3自身安全设计 94. 产品功能 114.1终端基本管理功能 114.2IT资产管理功能 134.3终端桌面管理功能 154.4终端安全管理功能 224.5主机运维管理功能 264.6非法外联管理功能 304.7补丁分发管理（可选） 314.8文件分发管理（可选） 374.9安全监控审计功能 394.10报表管理功能 434.11事件报警管理 454.12第三方接口管理 465. 产品运行配置 465.1硬件配置 465.2软件配置 476. 关于北信源 486.1. 公司简介 486.2. 联系方式 49

引言终端桌面安全管理技术的兴起是伴随着网络管理事务密集度的增加、网络管理技术的逐步发展而衍生的，它同传统安全防御体系的缺陷相关联，是传统网络安全防范体系的补充，也是未来网络安全防范体系重要的组成部分。因此，终端桌面安全管理技术无论在现在还是未来都应当归入基础体系网络安全产品之列。现代网络安全管理体系的日臻完善，使得对网络终端桌面安全管理的需求强烈凸现出来。正确、全面地认识终端管理产品的发展趋势和技术特点，是IT研发厂商面临的发展抉择，同时也是企、事业IT管理人员和高层决策人员在进行终端桌面安全防护部署时必须考虑的议题。近两年的安全防御调查也表明，政府、企业以及金融证券等单位中超过80%的管理和安全问题来自终端，计算机终端广泛涉及每个用户，由于其分散、不被重视、安全手段缺乏的特点，已使得终端安全成为信息安全体系的薄弱环节。因此，网络安全呈现出了新的发展趋势，对于各政府企业网络来说，安全战场已经逐步由核心与主干的防护，转向网络内部的每一个终端。

产品背景提起网络安全，人们自然就会想到网络边界安全，但实际情况是网络的大部分安全风险均来自于内部。常规安全防御理念往往局限在网关级别、网络边界（防火墙、IDS、漏洞扫描）等方面，重要的安全设施大致集中于机房或网络入口处，在这些设备的严密监控下，来自网络外部的安全威胁大大减小。相反，来自网络内部计算机终端的安全威胁却是众多安全管理人员所普遍面临的棘手问题。总结起来，政府机关和企业单位的内部网络管理大致面临着以下一些常见问题：如何发现终端设备的系统漏洞并自动分发补丁;如何有效解决移动存储介质使用管理问题;如何有效解决终端随意接入网络问题;如何防范内网设备非法外联;如何管理终端资产，保障网络设备正常运行;如何在全网制订统一的安全策略;如何及时发现网络中占用带宽最大的终端;如何方便地进行远程点对点维护;如何防范内部敏感信息的泄露;如何对原有终端应用软件进行统一监控、管理;如何快速有效地定位网络中病毒、蠕虫、黑客的引入点，及时、准确地切断安全事件发生点和网络;如何构架功能强大的统一网络安全报警处置平台，进行安全事件响应和事件查询，全面管理网络资源。这些终端安全隐患随时随地都可能威胁到用户网络的正常运行。针对如上系列问题北信源公司提供领先业界的内网安全管理产品及解决方案。

产品架构北信源内网安全管理系统遵循网络防护和端点防护并重理念，对网络安全管理人员在网络管理、终端管理过程中所面临的种种问题提供解决方案，实现内部网络终端的可控管理，并能够支持多级级联广域网构架，达到最佳的管理效果。北信源内网安全管理系统强化了对网络计算机终端状态、行为以及事件的管理，它提供了防火墙、IDS、防病毒系统、专业网管软件所不能提供的防护功能，对它们管理的盲区进行监控，扩展成为一个实时的可控内网管理平台，并能够同其它安全设备进行安全集成和报警联动。北信源内网安全管理系统可分为五个软件功能包，全方位地为网络用户提供安全管理功能。这五个软件包具体为：基本产品包、终端桌面管理产品包、终端安全管理产品包、网络主机运维产品包、非法外联管理产品包。3.1管理构架3.1.1局域网构架对于一般网络（例如1个C类地址或若干个C类地址的局域网范围），可使用一套本系统软件，集中管理所属区域内的所有设备。本系统在网络中安装数据库，用于存储网络客户端设备信息。当上述系统数据库、网页管理平台、区域管理器安装完毕后，即可对网络中客户端进行注册。用户在取得注册程序，执行后添加计算机使用信息，如使用人姓名、单位、联系方式等，注册程序自动采集系统的硬件设备信息，经过区域管理器处理后存入数据库，同时区域管理器将代理驻留程序发送到计算机终端，实时运行。通过探头、区域扫描器等对计算机的网络连接行为实施探测，根据需要发送本机缺少的相关系统补丁、安全策略、命令或文件等，在遇到数据库中定义的非法行为时实施阻断。系统正常运行后，主要通过网页WEB管理平台来对整个计算机设备信息系统进行配置管理，在网络内设置区域管理器、扫描器IP地址。对于一般网络(如1个C类地址或若干个C类地址的局域网范围)适用一套本系统，集中管理所属区域内的设备。对于大规模的多个局域网或者跨地域的广域网，提供多区域集中管理模式，即下级管理系统可将本级所有设备信息再传递给上级管理数据库，使得上一级管理人员对整个网络的设备状况能够完全掌握。设备管理信息系统的配置，要根据网络客户端规模、网络管理实际情况来选择。可以在网络中安装多个区域管理器，区域管理器只负责一定范围内的客户端，对于该范围以外的客户端，不予以处理；每个区域管理器下属多个扫描器，提供对本区域网络的分段扫描，及时检查该网络客户端注册情况。系统逻辑图3.1.2广域网构架对于大规模的多个局域网或者跨地域广域网（包括基于国家、省、市、县等多级管理模式的网络结构），可使用本系统提供的多区域级联集中管理构架，即一个或多个网段各拥有一套独立的北信源内网安全管理系统的同时，将本级的统计和报警信息转发给上级管理系统，上一级管理人员对整个网络的状况也能够完全掌握。多级级联集中管理构架3.2统一策略管理北信源内网安全管理系统采用统一策略管理中心实现对内部网络终端的统一安全管理。策略管理中心内置终端安全防护需要的所有安全管理参数，提供对计算机终端的安全规则配置、安全功能策略开启/关闭、安全策略执行范围/周期设定等一系列安全措施的管理。北信源内网安全管理系统内置安全策略分为全局策略、本地策略、备份策略三种，管理员通过属性设置决定其类型。统一策略管理图3.3自身安全设计1．分级管理：系统支持对管理员分级管理，实现不同管理员管理不同内容,可分为授权、管理和审计等多种角色划分，具有安全性高、可靠性强的特点，适合集中授权、多角色参与监控的管理模式。2．通信保护：系统的组件间通信时，数据传输是经过加密的，客户端和服务器端相互通信使用双向认证机制，防止已安装同类客户端的非本网络计算机非法进入网络，同时也防止模拟的假客户端和服务器进行通信。3．客户端软件强保护机制：系统的客户端系统具有自我防护机制，防止用户随意停止、卸载。4．服务器安全设计：服务器系统具备保护服务器功能。保证管理系统服务器端使用的安全性，保证其受到恶意修改IP地址的方式攻击时仍可正常工作,网络中出现恶意修改成与管理服务器相同属性（如相同的IP地址、相同的MAC地址等）的机器时，出现IP地址或MAC地址冲突等现象时，管理服务器将不会被阻断出网（即不会出现地址冲突的现象），只有发起恶意攻击的设备才会被自动阻断，不会影响管理服务器的正常管理。5．提供系统审计员、系统管理员、系统操作员三权分立的权限管理体系。6．系统日志：系统提供运行审计和操作审计机制，保证系统的稳定运行。

产品功能4.1终端基本管理功能1.终端注册管理系统采用C/S和B/S模式混合管理方式，在被管理的桌面计算机上安装VRVEDP客户端程序。在安装客户端程序需要填写当前计算机使用人的个人相关信息，如使用人、单位、部门、联系电话、邮件、所在地、计算机类型等，进行实名化的管理便于快速定位，无论是违规，还是网络安全事件发生时都可以快速定位到事件源。个人信息填写填写的个人相关信息会上报到服务器，保存在后台数据库里，供前台管理平台查询。系统注册信息填写页可以由用户自己自由选择设定，可以设定显示的注册内容项、标题项、是否启用、是否必填、是否为选择性填充等，并可以设定扩充选项，提供给不用需求的用户进行选择性注册管理。用户填写项自由设定页面2.IP和MAC绑定管理对固定IP网络的MAC和IP地址进行绑定管理，系统探测到IP变化后根据策略设置恢复其原有IP地址，或者阻断其联网，同时禁止修改网关、禁用冗余网卡。3.禁止修改网关、禁用冗余网卡管理系统支持禁止修改网关、禁用冗余网卡等功能。4.未注册终端拒绝入网管理（软阻断技术）系统采取对未注册终端Arp阻断管理：对于接入网络未注册终端进行Arp阻断，禁止其联网。4.2IT资产管理功能硬件资产管理自动搜集包括CPU、内存、硬盘分区总和、设备标识的大小和其他详细信息以及其他如主板、光驱、软驱、显卡、键盘、鼠标、监视器、红外设备、键盘等所有的硬件信息。网管可自主添加相关的附加信息。软件资产管理自动发现识别客户端安装的所有软件信息（名称、版本、安装时间、发现时间等），将相关数据入库，检测客户端运行软件信息，供管理员在Web控制台查询。软件资源统一监控：自动收集安装在每台计算机上的每种应用程序信息，包括安装的操作系统种类、版本号以及当前补丁情况、客户机安装的软件等信息和驱动程序情况，并进行汇总管理。系统能够及时检测主机软件信息变化情况。根据条件查询客户机安装的软件或指定软件被哪些客户端安装等信息。软、硬件设备信息变更管理报警未注册设备、注册程序卸载行为，实时检测硬件设备变化情况（如设备硬件变化、网络地址更改、USB设备接入等）。4.3终端桌面管理功能进程运行黑白名单控制对进程执行进行黑白名单控制，即根据策略设定禁止执行的进程和必须执行的进程。对违规的客户端进行客户端提示和断网处理等相应措施。进程保护管理对重要的进程进行守护，防止由于意外或人为原因造成重要进程中断。进程执行汇总统一汇总和监视网络各终端的进程，可以增量式的显示网络中新出现的进程，也可统计网络中最常运行的进程，从而统计出网络客户端软件的使用情况。此系统可对网络中出现的异常进程（很可能病毒进程）进行定位和报警，在必要时可直接阻断。终端服务管理查询当前终端运行的服务，可以远程关闭或开启服务。软件黑白名单控制对软件安装进行黑白名单控制，即根据策略设定禁止安装的软件和必须安装的软件。违规软件禁止安装功能，禁止在注册表Run项里添加自启动项，禁止在注册表Services项里添加自启动项，禁止在程序启动项中添加项，禁止在程序项中添加快捷方式限制违规软件的安装，所有安装软件均可进行审计。软件安装汇总系统能够对所安装的软件进行统计汇总，并能将汇总情况统计生成报表，支持多种报表导出方式。终端消息推送可精确地对选定的对象或个人进行消息传送，而不依赖于Windows自身的信使服务功能，系统还提供多种策略模式传送消息。远程协助当客户端用户以及服务器用户在使用计算机时遇到难以解决的问题，可以通过访问特定网页式，主动向多个网管工作台（可自主选择的）进行并发协助请求呼叫，呼叫网管对其进行远程协助。当管理员接收到客户端的请求可以后，调用远程客户端的桌面，帮助客户端用户解决相应的问题。呼叫中心示意图管理员是否接受请求示意图管理员接收请求后，系统将自动调用远程计算机的桌面，就如同管理员亲自到现场，进行软件安装、软件调试、系统维护、打印机安装等工作，省去管理员来回现场和办公室之间的时间，提高了系统维护的效率和管理员的工作效率。外设及端口控制系统可以设置受控主机允许或禁止使用USB设备、串口、并口、软驱、光驱、红外设备、蓝牙设备、网络设备（无线网卡、网卡、PCMCIA）、1394接口、打印设备。系统采用硬件设备驱动级的禁用方式实现对上述设备的禁用。垃圾文件清理管理员可在Web控制台对终端用户某一文件夹下或全盘某些后缀的垃圾文件或临时文件进行集中清理。目前的系统临时文件众多，而绝大部分业务用户均不会手动清除大量的临时文件，这样会占用大量的硬盘资源，因此需要靠第三方系统主动的对其加以清理。系统可协助用户维护（指定目录下的）临时文件、备份文件、帮助的历史文件、IE临时文件、安装临时文件、异常临时文件等各种应删除的文件。终端点对点管理系统管理员可通过系统以点对点的方式对客户端进行详细的监控审计，具体包括以下内容：（1）硬件资产清单：自动搜集包括CPU、内存、硬盘分区总和、设备标识的大小和其他详细信息以及其他如主板、光驱、软驱、显卡、键盘、鼠标、监视器、红外设备、键盘等所有的硬件信息；网管可自主添加相关的附加信息。（2）安装软件查询：查询设备所有安装的软件。（3）终端进程管理：查询当前终端所有运行的进程，并可通过系统关闭非系统进程。（4）终端服务管理：查询当前终端运行的服务，可以远程关闭或开启服务。（5）终端流量查询：包括当前与网络连接的进程及其流量的统计。（6）系统运行资源查看：具体包括：CPU频率和使用率、内存大小和使用率、系统各硬盘分区大小和使用情况。（7）补丁查询：查看系统漏打的补丁。（8）日志查询：查看终端的系统日志、安全日志和应用程序日志。（9）终端安全审计：查看用户的登录、历史记录、下载信息等各种信息。（10）消息通知：向用户发送消息，并可要求用户进行消息回馈。（11）远程运行进程：可远程加载进程。（12）共享目录检查：检查当前终端的共享目录。（13）修改网络配置：可查看网络终端的IP、MAC、子网掩码和网关信息，并可远程修改用户的IP地址。（14）远程卸载客户端程序。（15）远程断开/恢复网络终端的网络。（16）远程重新启动计算机。系统自动关机管理对客户端关机时间的设定，实现自动关机，并可以在发现计算机空闲时间过长时锁屏或关机。终端时间同步管理所有客户端时间的同步，防止擅自修改系统时间。4.4终端安全管理功能桌面密码权限管理对终端的密码管理权限变化及使用状况（包括密码长度、安全性、弱口令等方面）进行审计检查及报警，同时对不符合要求的终端进行提示或强制修改等处置，达到防止病毒及黑客入侵的目的。终端统一防火墙管理员在Web控制台对终端进行统一的防火墙设置，对网络IP及协议访问进行限制，在网络内建立虚拟的终端隔离区。另外对于大型网络，网络客户端由于用户使用水平的差别，会出现用户卸载甚至退出统一安装的防病毒软件的情况，也会出现有个别用户被遗漏，未安装防病毒软件的情况。管理员可利用Web控制台对终端所安装的杀毒软件情况进行监控和管理，并能够对终端杀毒软件实施远程操作（病毒查杀、升级、软件安装等）。还可统一监控网络内的防病毒软件（国内主流厂商的均可）安装情况和使用状态，了解网络中的病毒软件安装状况，必要时可通过此系统强制为客户端安装防病毒程序，如果需要，此系统也可监控终端软件的安装情况，并进行相应的管理（如安装杀毒软件软件，强行升级病毒库、自动分发并自动执行病毒专杀工具等）。终端杀毒软件管理可统一审计网络内终端的防病毒软件（主流厂商的均可）安装和使用情况，必要时可强制为客户端安装防病毒程序。如果需要，也可监控终端防病毒软件的安装情况，并进行相应的管理（如安装杀毒软件软件，强行升级病毒库、自动分发并自动执行病毒专杀工具等）。注册表监控/保护系统提供注册表检查功能，对于病毒行为修改的注册表，可以通过强制注册表策略对其进行操作，可以自动创建、删除、修改相应的注册表键值，实现注册表安全管理。系统可屏蔽选定用户计算机的一些程序进程对注册表的使用，通过该策略可以有效的防止违规进程对用户注册表的破坏。终端在线/离线策略管理系统可以针对不同的网络接入情况，设定终端的在线、离线策略。当终端处于不同的网络中，可以实现不同的执行策略。4.5主机运维管理功能运行资源监控在Web控制台对终端的CPU、内存、硬盘的资源占用率和剩余空间进行监控，设定危险等级报警阀门。流量管理和控制蠕虫病毒和BT下载等行为在很多情况下会严重占用网络带宽，造成网络的拥塞甚至瘫痪，对此可利用本系统进行流量的管理与监控。主要功能：流量采样阈值设定：用户自主设定采样阈值，当流量（含出、入或总流量）超过一定限度并持续一定时间后，进行有关信息上报，防止上报数据过多给网络带来负担。上报的当前流量进行汇总，对当前的流量进行时实排序，以便网络管理人员进行快速分析是否是网络安全事故。对网络客户端的历史流量进行统计和排序，并可生成报表。对并发连接数设定阈值并进行采样。对网络扫描的可疑行为进行阈值设定和报警。对客户端大量发包的可疑行为进行阈值设定和报警。对具备可疑行为的客户端进行报警上报、自动阻断、客户端提示等管理。设定网络客户端流量上限阈值，对超过的进行报警上报、自动阻断、客户端提示等管理。流量异常监控在Web控制台对终端的网络流入、流出和总流量进行监控和管理。并能够对产生总流量过大、分时段瞬时流量过大的进程进行统计，辅助分析产生流量过大的原因。进程异常监控在Web控制台对终端未响应窗口进行监控并结束或重启该进程，对意外退出的进程进行监控和保护。客户端文件备份针对终端计算机进行数据实时备份，将本机计算机目录文件数据实时或定时备份到数据服务器或其它计算机上存储。针对局域网服务器数据存储等提供安全数据同步备份解决方案。4.6非法外联管理功能网络内部终端非法外联互联网行为监控终端非法外联互联网行为监控：对于已注册的设备，通过不同方式（如双网卡、代理等）连接互联网进行的通讯，系统能够自动阻断其连接行为并报警。网络内部终端非法接入其它网络行为监控对于已注册的设备，监控其网络连接行为，根据接入网络环境因素判定其是否非法接入其它网络（同上图）。离网终端非法外联互联网行为监控对于已经注册的计算机，非法带出到另外一个网络的行为进行监控，发现有外联互联网行为时可以采取警告、阻断、自动关机等操作（同上图）。非法外联行为告警和网络锁定如果终端非法入网，可以在报警平台和报警查询处获知信息，并且可以对终端提示信息，自动关机，阻断联网等处理（同上图）。非法外联行为取证对于非法外联行为进行实时告警功能，同时记录该行为发生的事件、IP地址、MAC地址、使用人等相关信息上报到服务器进行记录取证。4.7补丁分发管理（可选）系统功能概述北信源补丁分发管理系统是北信源公司在为国家各大部委机关、各大行业网络用户进行病毒安全服务、总结安全运营保障经验的基础上，分析当前网络客户端实际安全管理要求研发的，系统支持推、拉两种方式自动下载补丁。整个补丁管理运行平台构架是：通过北信源外网补丁下载服务器及时从补丁厂商网站获取最新补丁；补丁安全测试后，通过补丁分发管理中心服务器对网络用户进行分发安装；补丁安装支持自动和手动两种方式。补丁监控功能系统可监控管理网络补丁状况，其具体功能如下：1.补丁索引的适应和扩展性内网安全管理系统具有良好的兼容性，支持主流操作系统，如Windows2003、Windows2000Pro、Windows2000Server、WindowsPro、WindowsXPhome、Windows、Windwos9X等。因为补丁索引文件为北信源自主开发，补丁索引的结构具备可扩展性和可编辑性，索引的结构和定义除了可以支持微软补丁外，还可以支持非微软系统补丁、各种数据库补丁，甚至可以支持各种用户应用程序的更新补丁。补丁索引编辑界面2.补丁下载检测和增量式导入功能对于物理隔离的内部网络，其内部的补丁升级服务器中的补丁数据必须从外部导入，巨大的补丁数据库使得每次补丁导入相当烦琐。为此，北信源使用增量式补丁分离技术，在外网导出补丁时，可分离出内网已经安装的补丁，只导入内网尚未安装的系统补丁，即仅对内网的补丁进行“增量式”的升级，以提高效率。当有新的计算机补丁公布可以下载后，北信源公司由专门的人员在第一时间内获得，并进行相应的分析，更新补丁索引文件。系统拥有专门的外网补丁下载服务器，能根据索引自动下载新增的计算机补丁，补丁校验功能对所下载的补丁进行校验，保证计算机补丁的可靠性、完整性、安全性。补丁在导入时并具有病毒检测功能，保证导入到补丁库中的补丁不被病毒感染。3.补丁安全自动测试功能用户的真实环境中，可能会包含特殊的应用或特殊的软件版本，在这些环境中，有时会出现打补丁后系统或应用异常的情况，所以在大规模补丁分发前需要进行真实环境的补丁测试。北信源系统独创了真实环境闭环测试技术，具体的流程是首先由网管选定某些计算机作为测试计算机作为测试组，每次补丁导入后内网后，首先自动分发至这些选定计算机进行新补丁的安装测试，从而自动地进行非模拟性自动测试。如果补丁安装后对测试计算机未产生影响，被测试计算机能正常运行，网管员便可根据相应得策略对网络内的计算机进行大面积的推送。此技术可以很好的减轻网管的测试工作量，并提高补丁安装的安全性。补丁自动测试图4.补丁库自动分类功能系统对存放到服务器上的计算机系统补丁能进行相应的分析，自动得出补丁属性、类型和与之相关的补丁说明，并在网页中进行清晰明了的显示。可以方便管理人员根据相应的需求，高效快捷定义补丁分发策略，及时地针对不同的系统和需要分发计算机补丁。系统同时提供管理员自定义补丁类别的补丁管理方式，如果需要也可由相关的管理人员自行设定相应的自定义补丁类别以符合其管理的需要。5.补丁库的级联和同步功能系统可以针对补丁进行级联式的分发和管理，在级联级数没有任何限制并在三级的基础上进行无缝平滑扩展。可定期进行同步校验，也可自主设定同步校验周期和时间。在有新补丁导入时，也可以自动触发与下级服务器间的同步操作。所有的同步过程均可自动完成，上级服务器可以了解下级服务器补丁库是否同步成功。6.补丁安装检测、自动分发补丁功能北信源补丁管理依据自身注册客户端优势，为网络用户提供强大的系统补丁检测、分发、安装等远程控制功能。网络管理人员通过本模块全面检测网络系统终端补丁的安装状况，并通过此模块，对没有安装补丁的设备进行远程补丁安装,可将最新补丁升级包及时分发到终端计算机，并提示安装修补，在客户端有明显提示，通知用户打补丁。系统可以对客户端安装的系统的版本，IE版本的补丁安装情况进行自动探测和维护（客户端计算机的补丁安装情况包括Windows、Office、IE、微软媒体播放器等），自动搜集客户端系统资料和安装补丁资料，以根据客户端系统的实际状况自动分发所需的补丁。客户端程序安装检测：网络中的客户端访问本地的WEB网站进行自动注册。注册后客户端检测程序将在系统中实时运行，检测补丁安装状况，并上报给补丁管理中心。用户WEB网页自动探测提示，支持大面积用户快速安装。客户端部署：在系统内部网络中，未注册客户端访问本地网站、以及访问上级网站均会出现提示用户注册窗口。补丁推送安装：当系统检测到有客户端未打补丁时，可对漏打的补丁进行推送式的安装。同时，通过推送安装，也可以为客户端安装应用软件。补丁推送分发可以跨网段，跨VLAN,补丁分发支持断点续传功能。补丁下发过程中，如遇到特殊事件造成网络中断，则在下次网络连通时通过校验得出已传输的数据和断点位置，进行续传。系统补丁报表：监控程序将网络客户端补丁信息上报管理中心后写入数据库，在WEB管理平台可进行补丁报表察看，统计网络客户端补丁安装状况。7.补丁策略制定功能包括补丁应用策略制定、补丁文件分发任务制定。可以根据要求按照不同的区域进行划分，可按照IP地址、部门、操作系统、用户自定义等方式进行区域划分。补丁策略制定：具体可支持定时、定周期、分类、分部门、分范围、客户机状态和用户自定义等策略。补丁策略分发：具备详尽的补丁分发策略，补丁可以定时、定周期、分类、分范围、分部门、分范围、客户机状态和用户自定义等进行分发。补丁文件任务制定：针对特定的一个补丁或多个补丁，对指定计算机或者计算机网络进行补丁自动分发安装。补丁中心将网络客户端分类，设置测试类客户端，补丁在测试类机器上经过严格测试后，再正式对其他类网络机器进行分发。此外，内网安全管理系统还提供补丁下载流量控制功能，补丁管理中心区域管理模块能够对网络不同网段、不同区域的终端补丁升级进行流量、数量控制，避免造成对网络的流量影响，合理控制网络带宽。8.补丁下载流量控制功能系统可以利用多种方式进行下载流量控制：（1）系统能够根据网络的负载情况自动调整分发补丁时所占的网络带宽和并发连接数；（2）根据手动设置允许的带宽或服务器并发连接数及每个连接所允许使用的带宽；（3）系统同时支持客户端转发代理补丁下载，以减少网络带宽流量，提高效率。代理转发技术说明：补丁分发时，先由部分客户端通过补丁分发系统下载服务器补丁，其他的计算机可不通过服务器，而是通过已下载补丁的客户端进行相应补丁下载。下载时客户端可自动搜索临近的IP地址，选择拥有此补丁文件并且下载速度最快的客户端，从此客户端上获取由系统服务器下发的相关的补丁，以保证网络的利用率，同时提高补丁分发效率。9.服务器端补丁查询功能客户端软件实时监控客户端系统漏洞及补丁安装情况，服务器端补丁查询补丁可根据补丁名称、待查询IP范围、操作系统、待查区域，查询时间或其它条件对区域网络范围内的计算机终端进行补丁安装状况查询，通过网管设定的查询条件，能快速地获知所查询补丁的安装情况（如补丁发送是否成功，补丁安装是否成功，补丁是否已被安装等），以保证补丁及时的安装。10.客户端网页查询补丁安装信息功能因为很多用户习惯通过访问微软的Update网页，检查自己漏打的补丁，并进行下载安装。作为物理隔离的网络，内网中的用户无法访问此网页，因此从用户的习惯角度出发，内网中也应该有类似的网页，以便用户访问和获知本机补丁安装情况，进行补丁下载安装。安装了系统客户端的计算机可以通过访问内网的特定网页，对本机所缺少的计算机补丁进行查询，查询结果在网页上进行显示，计算机用户根据需要进行安装。

4.8文件分发管理（可选）普通文件分发及文件自动执行系统向指定客户端（用户组）分发文件或安装软件，分发时可提供软件的运行参数和必要的运行控制。此功能可减轻网络管理人员的工作负担，软件分发时可报告软件安装的状态，无论软件正确安装与否，管理员均可及时了解情况。系统还提供人性化的软件安装过程录制工具，可以很方便的对软件和它的安装过程进行录制打包，软件分发至终端后，系统可在终端对软件安装过程进行回放，方便软件在客户端进行自动安装。安装后的客户机端软件包括基本部分和用户工具，安装在客户机不同的目录中。文件分发安装结果统计4.9安全监控审计功能1．上网访问行为审计和控制：系统以黑白名单的方式对用户的网页访问行为进行控制；可对用户上网访问的网页等进行审计和记录。2.文件保护及审计：系统提供对终端的系统、软件和共享等目录中的文件的保护功能，设定访问、删除、修改权限；支持对设定目录文件的操作审计，包括文件创建、打印、读写、复制、改名、删除、移动等的记录，同时将信息上报管理信息库供查询。3.网络文件输出审计：对主机通过共享文件等方式进行的网络文件输出行为进行审计和记录（同下图）。4.邮件审计：根据策略对主机发送的邮件及其附件进行控制审计和记录（同下图）。5.打印审计：根据策略对主机打印行为进行监控审计，从而防止打印输出结果被非授权查看和获取。6.文件涉密信息检查：根据用户自主设定的涉密信息查询条件，设定对指定目录或盘符下的指定类型文件进行内容检查，检查其是否包含涉密内容，系统支持进行包含“或”、“与”等多种逻辑的组合监测和模糊监测。7.用户权限审计：审计用户权限更改及操作系统内用户增加和删除。8.各自独立的权限分配体系：提供系统管理员、系统审核员（安全员）和系统审计员和一般操作员权限，分别进行不同的管理操作。9.系统日志审计：不同权限管理员在Web控制台对终端用户的日志（系统日志、应用日志、安全日志等）进行远程读取查看。4.10报表管理功能1.系统提供完善的报表功能，能够根据按不同部门、不同操作系统提供软硬件资产、审计信息、报警、状态及其他情况汇总报表，提供多种报表功能。2.具备独有的“组态报表”查询功能，对于有关报表，能根据不同的需要进行多种不同条件组合（组合查询条件包括所属区域、单位名称、设备所在部门、设备名称、设备IP、操作系统及版本、IE版本、防范等级、运行状态、安装杀毒软件版本及厂商、CPU情况、内存情况、硬盘情况、设备使用人、设备最后使用时间等等），还可以生成多种不同的报表格式。组态查询实例图3.报表以网页的方式呈现，提供链接可在各项查询功能中跳转。报表可以方便的调整格式，并可以以Excel格式输出，以便打印。4.可以根据需要输出成柱形图、饼图等。输出柱状图实例4.11事件报警管理1.事件集中报警处理中心汇总所有内外安全管理事件的报警信息，并将报警按种类、级别分类，同时支持短信、声音、邮件、图形等报警方式。同时，报警中心自动把各种报警信息汇总成为高、中、低三个等级，显示各类发生事件的名称和发生事件设备名称、IP、MAC等信息，以便第一时间发现报警源头和类型，发现对网络危害最大的报警信息，以最快速度妥善处理事件，从而在最大程度上提高系统管理员对网络突发事件的快速反应能力。2.客户机发给管理服务器相关的报警信息可预设置级别，管理服务器把已注册客户机的报警信息记