网强桌面管理系统技术解决方案

桌面管理系统（高级版）技术解决方案目录一、企业内网平安管理现状 3二、产品定位 4三、系统架构 41、PCMaster平安管理系统服务器 42、PCMaster平安管理系统管理机 53、PCMaster平安管理系统客户端 5四、功能列表 7五、技术优势 121、网址管控 122、程序管控 123、屏幕管控 134、文件记录 165、外发限制 166、闲聊记录 177、邮件记录 178、流量管理 189、网络访问限制 1910、U盘限制 1911、日志查询 2012、日志统计 2013、违规报警 2214、软、硬件资产管理 2215、网络隔离 2316、文件分发 2317、Windows补丁升级 2418、系统运维 2519、多管理员管理 25六、运行环境 271、安装模块选定策略 272、系统要求 273、网络要求 284、数据库要求 285、跨互联网支持 28五、关于网强 291、网强简介 292、网强产品 303、资质荣誉 304、联系我们 31

一、企业内网平安管理现状近年来，随着网络平安事务的频频发生，人们对外部入侵和Internet的平安日益重视，但来自内部网络的攻击却有愈演愈烈之势，内网平安成为企业管理的隐患。信息资料被非法泄露、拷贝、篡改，往往给各行业企事业单位造成重大损失。而如何使内部网络始终处于平安、牢靠、保密的环境下运行，帮助企业各类业务统一优化、规范管理，保障各类业务正常平安运行等一系列问题困扰着企事业单位的IT部门。经调查分析，企业内网主要面临的平安威逼有如下几条：单位资产，员工私产——资产管理失控网络中终端用户随意增减调换，每个终端硬件配备（CPU、硬盘、内存等）肆意组装拆卸、操作系统随意更换、各类应用软件胡乱安装卸载，各种外设（软驱、光驱、U盘、打印机、Modem等）无节制运用蠕虫泛滥，业务瘫痪——病毒蠕虫入侵由于补丁不刚好、网络滥用、非法接入等因素导致网络内病毒蠕虫泛滥、网络堵塞、数据损坏丢失，而且无法找到灾难的源头以快速实行隔离等处理措施，从而为正常业务带来灾难性的持续的影响。网络无限，自由无限——网络资源滥用IP地址滥用，流量滥用，甚至工作时间闲聊、嬉戏、疯狂下载、登陆各种消遣、购物网站等行为影响工作效率，影响网络正常运用。电脑私用，行为无章——计算机无统一管理内网规模越来越大，计算机数目越来越多，单位没有统一的计算机运用规范。员工对于计算机的随意运用，导致计算机系统常常出现故障，信息平安也受到了极大的威逼。网络无界，一损俱损——重要信息泄密因系统漏洞、病毒入侵、非法接入、非法外联、网络滥用、外设滥用等各种缘由与管理不善导致组织内部重要信息泄露或毁灭，造成不行弥补的重大损失。千里之堤，毁于蚁穴——补丁管理混乱终端用户不了解系统补丁状态，不刚好打补丁，也没有方法统一进行补丁的下载、分析、测试和分发，从而为蠕虫与黑客入侵保留了通道。肆意下载，龟速网络——下载占用大量带宽终端用户应用迅雷、BT等下载软件大量的占用了网络带宽。没有统一的网络流量管理限制，导致员工上网速度缓慢，影响正常办公。

二、产品定位网强桌面管理系统（PCMaster）高级版被定义为一款内网平安管理软件，是为了帮助企业解决上述问题。网强桌面管理系统划分为网络应用审计、终端程序、远程桌面管理、设备管理、软硬件资产管理、Windows补丁升级等十余个大型功能模块，覆盖了内网平安管理的各个方案，它运用系统管理思想，充分利用行为审计，分级授权，访问限制，集中管理等技术手段，全面解决信息平安、应用效率、系统管理三项内网平安难题。通过对每一个网络设备的监视和限制、网络用户行为的监视和记录，将网络的平安隐患可视化，能最大限度地防止敏感信息的泄漏、破坏和违规外传，并完整记录涉及敏感信息的操作日志以便事后审计和追究泄密责任，同时也能对个人桌面系统的软硬件资源实施平安管理，并对个人桌面系统的工作状况进行监控和审计，从而有效的限制和防范信息平安事故。最终实现内部网络始终处于平安、牢靠、保密的环境下运行，帮助用户各类业务统一优化、规范管理，保障各类业务正常平安运行。三、系统架构完整的PCMaster平安管理系统由三部分组成，服务器（PCMasterServer）、管理机（PCMasterConsole）和客户端（PCMasterAgent）。客户端安装在每一台须要被监管的计算机上。服务器用来存储和管理全部安装有客户端的计算机，用于管理监视所产生的资料，一般安装在一台具有高性能CPU和大容量内存的用作服务器的计算机上。管理机主要用于监视每台安装有客户端的计算机及查看历史记录，一般安装在公司的管理人员的计算机上，也可以和服务器模块安装在同一台计算机上。系统的基本框架如下图所示：1、PCMaster平安管理系统服务器包括服务器端软件和支持数据库。支持操作系统为MicrosoftWindows2000/XP/2003/Win7/2008系列。服务器以MySQL为后台数据库，同时也支持SqlServer数据库。服务器主要功能如下：定时搜寻网络，管理全部已安装代理程序的机器，并向代理模块传递相关的设置和吩咐信息；接收管理机用户数据恳求指令，传送数据文件到管理机，由管理机进行解密查看分析；保存客户端代理用户信息；存储系统组织结构，用户信息和系统工作配置参数；收集代理模块的采集的数据，并将其保存到数据库中；供应便利敏捷的历史记录管理、归档、搜寻、查看等功能；2、PCMaster平安管理系统管理机PCMaster管理机是实现系统管理、参数配置、策略管理、系统审计的人机交互界面软件系统。系统运行平台为MicrosoftWindows2000/XP/2003系列。管理机功能如下：参数设置，包括管理机和服务器的工作参数；用户管理，包括：添加、删除、修改；系统用户采纳分权分级的管理方式，每个用户都有其授权工作范围和管理权限；平安工作域结构管理，包括创建组织结构层次深度以及添加、删除系统组织结构；客户端代理的添加、安装和卸载；客户端代理策略的配置和下发；实时获得被监视计算机的屏幕快照等信息；设置监视和限制规则；查看并播放记录在服务器端的历史记录；查询特定机器特定时刻的历史记录；监测日志的查看、分析和审计。3、PCMaster平安管理系统客户端客户端模块是安装于受监控主机上的监测软件。软件安装支持本地安装和远程安装两种方式；客户端的卸载只接收服务器的卸载指令，本地用户不能自行卸载、关闭监控程序。客户端的工作平台目前支持MicrosoftWindows系列操作系统包括Windows98/Me、Windows2000、WindowsXP和Windows2003。PCMaster客户端模块主要功能如下：接收服务器下发的工作策略，并依据该策略限制客户端的工作模式；信息泄露防护，该模块包括：网络层、应用层、媒体介质、打印机和外设接口等造成的信息泄露防护；运行监测：实时记录文件的删除、重命名、进程、服务、驱动、用户和组的改变状况；资源获得：接收服务器指令，上传系统的软件、硬件信息；定时采集数据并保存，定时将采集的数据传送到服务器；响应管理机发出的监视恳求，传送实时的屏幕快照信息；依据系统的设置限制计算机的操作。

四、功能列表分类功能管理简述一、基础框架部门、员工、计算机管理可以针对系统内计算机、员工和部门进行管理。每个计算机对应着一个员工，属于同一个部门。管理员管理部门可以设置管理员管辖的部门管理员管理功能配置可以设置管理员管理的具体功能客户端密码可以设置客户端的管理密码。数据库备份系统供应了高效、敏捷的备份策略。管理员可以选择每周几、每月几号、每天几点进行数据库的备份。系统与SQLSERVER数据库备份功能无缝对接，备份时系统占用资源少、速度快。实现无人值守，平安、稳定备份数据。数据库还原管理员可以依据备份信息，选择要还原的备份条目，进行数据还原。远程执行吩咐管理员可以对远程计算机执行吩咐。远程电源管理对远程计算机执行开机、关机、重启、注销等操作模块价值供应计算机基本远程管理功能，可以设置多管理员分部门、分功能功能远程管理。可以将每一台计算机设置为员工的名称。二、文件管控文件操作记录客户端会自动记录用户文档的操作路径、所在磁盘和所运用的文档编辑程序等，包括复制、剪切、重命名、删除、外发等动作。。文件外发记录客户端会自动记录用户文档外发行为。包括QQ外发、USB外发、阅读器外发等，同是可以记录外发的源文件。文件操作报表系统生成文件操作统计报表。文件外发限制禁止用户通过阅读器外发文件禁止QQ外发文件禁止U盘外发文件禁止拷贝文件到USB设备。禁止拷贝文件到共享书目。禁止拷贝文件到网络硬盘。禁止从USB拷贝文件到本地计算机。禁止从共享书目拷贝文件到本地计算机从网络硬盘拷贝文件到本地计算机限制USB设备拷贝文件的大小。模块价值系统针对文件管控的核心设计思想为严格记录与多渠道外发限制进行双重爱护，严格规范企业员工内部的文件运用行为。严格限制公司机密文件外泄。管理员可以很清楚的了解到员工的文件操作行为，外发行为，对于外发途径进行严格限制，同时将外发文件完整的备份一份到服务器上，员工通过改名、压缩将文件外发也难以逃脱追查。三、屏幕管控屏幕快照可以查看整个部门当前屏幕快照。屏幕日志系统可以每隔一段时间记录客户端的屏幕状况。管理员可以设置抓屏间隔以及抓屏质量。远程屏幕帮助管理员可以远程监看或者限制客户端的计算机。多屏墙管理员可以实时查看多个计算机的电脑屏幕，最大支持25屏同时监看。同时支持25个屏幕定时轮播。屏幕质量设置可以设置屏幕日志保存成图片的质量。也可以设置屏幕限制时的屏幕质量。模块价值企业的核心管理者可以通过对于客户端屏幕的多渠道记录与监看，可以很好的了解企业员工的工作状态。管理者也可以通过多屏幕墙来同时查看多个员工的屏幕的实时画面。针对企业计算机数目众多，所在地比较分散的状况，IT管理员通过远程帮助功能，远程给员工处理日常计算机故障，大幅度提高IT管理员的工作效率四、网址管控网址访问黑名单可以禁止访问添加在黑名单中的网址。网址访问白名单仅允许员工访问白名单网址库中的网址。网址访问记录自动记录客户端访问的网站地址，同时管理人员可以便利的打开记录网址。违规网址访问报警当客户端访问违规网址时，管理机会即时提示报警。网址访问报表以饼状图、柱状图等方式生成网址访问报表。网址库更新支持在线升级海量网址过滤库。模块价值系统供应了网址的黑、百名单的访问限制功能。管理员可以禁止掉与工作无关的网站如淘宝网、快乐网等网站。也可以设置员工只允许的网站，比如企业网站，技术资料网站，行业营销网站等。并可以设置设置网址访问限制的时间段，使得管理限制更加的人性化。对于员工违规访问的网站，系统供应了刚好报警功能。管理员可以针对报警信息，做出刚好的异样处理。五．流量管控流量限制可以设置企业内部网络的连接Internet网络的流量，包括总流量、上行流量和下行流量。实时流量查看管理者随时查看当前时间网络内客户端的实时流量。历史流量可以具体记录员工随意时段的运用的外网流量。模块价值随着企业日常办公针对网络的依靠增加，网络带宽的合理利用已经是企业管理者比较重视的问题。系统供应了流量限制功能，可以安排给每个员工指定的网络带宽，可以保证企业网络带宽的有效利用。同时系统供应了实时网络流量和历史网络流量等多种查询方式，可以很好的查看、分析当前企业的网络资源利用状况。六、网络管控网络运用限制管理员可以设置指定的计算机禁止访问外网。非法IP接入报警可以发觉网络内是否有非法（非授权）计算机接入，可对检测到计算机设置授权、非法、爱护状态。IP地址过滤管理员通过设置IP地址范围设置，禁止对特定IP地址的访问。端口过滤管理员可以设置禁止员工访问的端口。网络隔离管理员可以设置随意计算机分组，分组内的计算机才可以相互访问网络。对于未经授权的计算机无法对于爱护计算机进行网络访问。对于非法接入内网的计算机也是无法访问组内计算机的模块价值可以针对企业的实际状况，设置某个员工禁止运用互联网以及禁止运用互联网的时间段。对于非法接入的计算机，系统供应了刚好报警功能。管理员可以第一时间了解企业内存在非法计算机接入，同时禁止非法接入的计算机对于内网计算机的访问。七、程序管控程序访问限制管理者可以设置员工禁止访问的程序。程序访问审计具体记录客户端程序运用日志。程序违规访问报警对违规程序运用行为进行自动报警。程序日志查询统计针对程序访问日志供应了敏捷的查询统计功能。程序访问报表以饼状图、柱状图等方式显示程序运用信息。程序库升级支持在线升级海量程序过滤库。模块价值管理员通过程序日志，清楚的了解员工每天运行了什么程序，针对嬉戏、木马进行严格的限制，保证内网平安。八、邮件管控邮件客户端发送记录具体记录FOXMAIL、OUTLOOK等邮件客户端发送邮件的信息。包括主题、收件人、内容、附件等。Web邮件记录具体WEB邮箱记录，如网易、雅虎、QQ邮箱、新浪、搜狐等WEB邮箱发送的邮件，包括主题、收件人、内容、附件等。模块价值随着企业的规模壮大，信息外发的管控已经成为企业领导者比较注意的问题，大多数企业信息外发都是通过邮件方式进行的。系统供应了邮件记录的功能，可以精准的记录员工外发的任何邮件，包括邮收件人、邮件地址、内容和附件等信息。九、设备管控禁用USB管理者可以禁止客户端的USB接口的存储功能。同时保证非USB存储设备的正常运用。禁用光驱禁止客户端运用光驱。禁止运用打印机禁止运用打印机。打印操作记录记录打印机的运用信息。保密U盘管理员可以制作保密U盘，制作好后的U盘，只能在制定的计算机上运用。非授权计算机插入U盘不识别。模块价值系统供应了常规IT设备的限制功能，可以对于员工的设备运用权限进行合理的限制十、资产管理硬件资产管理管理者可以查询硬件资产统计报表，自动收集硬件资产的变更状况。软件资产管理管理者可以查询软件统计报表，自动收集软件的变更状况。资产异动报警当客户端软硬件资产出现变动时，管理端会即时报警。杀毒软件检测管理员可以按计算机模式查看全部客户端的杀毒软件状况，包括是否安装杀毒软件、杀毒软件状态、杀毒软件版本号等。模块价值系统供应便利的软件硬件资产信息统计查询功能，也供应了导出功能，可以将全部信息导出成EXCEL表格。同时，系统供应了硬件资产改变报警功能，可以很好限制企业计算机硬件资产流失十一、系统运维文件分发管理员可以对远程计算机进行文件传送。可以自定义文件分发位置。支持多人传送。软件安装管理员可以对计算机实行远程推送安装软件。系统信息管理端可以查看客户端的系统信息。正在运行进程可以查看客户端正在运行的程序。Windows服务查看客户端的windows服务状况，可以设置WINDOWS服务端状态，如禁用、启用服务等。共享书目查看客户端的共享书目状况。磁盘信息查看客户端的磁盘信息，可以设置磁盘空间小于肯定的磁盘大小时，系统刚好报警。窗口信息查看客户端的窗口信息，管理与可以对与特别规窗口进行远程关闭。禁止运用任务管理器管理员可以设置终端禁止运用任务管理器。禁止运用添加删除程序管理员可以设置终端禁止运用添加、删除程序。禁止运用注册表管理员可以设置终端禁止运用注册表。起先菜单限制管理员可以设置隐藏终端起先菜单中的运行、搜寻、网上邻居等选项。降低终端用户的运用权限，大大降低了终端的故障率。模块价值企业内部常规计算机问题都是来源于计算机的非权限管控运用。系统供应了详尽的权限策略和分析工具，可以很好的降低计算机的故障率，大幅度提高员工的工作效率。十二、即时通讯管理QQ闲聊记录可以具体记录QQ闲聊内容。MSN闲聊记录可以具体记录MSN闲聊内容。阿里旺旺闲聊记录可以具体记录阿里旺旺闲聊内容。模块价值可以具体记录主流闲聊工具的闲聊内容，防止公司敏感信息通过即时闲聊工具泄露。

五、技术优势1、网址管控可时间段查看某个员工打开每个网站的具体状况，可以客观的评估出员工访问网站的状况和效率，也可以通过设置网址访问黑、白名单，对于员工网址访问进行限制。同时，系统供应了可以在线升级的网址库，对于员工上网进行特性化限制。2、程序管控管理员可以查看员工的程序运用的状况。包括，程序名、运行时间、结束时间是否违规等信息。同时，管理员也可以应用程序过滤功能，对于禁止员工运用的程序进行限制。系统也供应了可在线升级海量程序库供管理员选择运用。3、屏幕管控系统可以定时记录员工计算机屏幕日志，数据保存到服务器上。管理员可以查看整幅屏幕图片，也可以通过缩略图方式查看。管理员可以通过远程帮助功能，实时查看并限制客户机的屏幕，也可以通过多屏查看，最多同时查看25个电脑的实时屏幕。软件通过显卡镜像驱动实现屏幕远程限制，性能好，效率高。屏幕记录的缩略图显示方式远程屏幕限制，限制速度快，客户端CPU占用温柔。实时多屏监看，可最多同时查看25个屏幕的实时画面 4、文件记录可以具体的记录每个员工在本机及网络上操作过的文件，包括复制、删除、剪切、重命名等操作。也可以记录员工对于文件外发的具体信息以及源文件，包括通过U盘外发、阅读器上传、QQ外发、MSN外发、阿里旺旺外发等，全部外发行为都可以记录源文件的，管理员可以打开源文件查看员工发送的具体文件。5、外发限制软件可以禁止员工通过工项QQ、通过U盘、通过阅读器、通过网络硬盘等方式随意外发，防止单位重要资料外泄。6、闲聊记录对QQ、MSN、阿里旺旺等闲聊工具的闲聊内容进行监控。便利管理者对员工互联网闲聊行为进行管理，避开员工上班时间过度聊与工作无关内容。（可选项功能）7、邮件记录在历史邮件记录选项中，我们可以实时的查看到连接到服务器上的客户端机器上所发送的历史邮件（通过SMTP、POP3、WebMail对外发送的邮件内容），能对邮件的内容以及附件进行监控以及备份。8、流量管理系统可以限制客户端电脑的外网访问流量，包括总流量、上行流量、下行流量。也可以查看全部计算机的实时网络流量以及历史网络流量。有助于网管软件对于客户端网络流量进行更好的分析和管理。9、网络访问限制管理员可以设置某些员工禁止访问互联网，对于ERP、OA等办公软件须要运用外网的软件，可以添加例外端口，放行这些软件的外网访问。10、U盘限制管理员可以对员工运用U盘进行严格限制，包括禁止运用U盘、只允许运用指定的U盘、U盘禁止读、U盘禁止写、记录U盘拷贝的文件。11、日志查询系统供应了详尽的日志查询方式，管理员可以把全部查询出的日志导出成EXCEL表格。12、日志统计系统供应了详尽的图标、报表功能。包括网址访问、程序访问、开机时间、程序运行时间的统计表。13、违规报警系统供应了违规上网、违规程序运用、非法接入IP、硬件资产改变的实时报警。可帮助管理员对于网络内部突发事务进行刚好处理。14、软、硬件资产管理管理员可以便利的查看客户端计算机硬件状况，包括CPU、内存、硬盘、网卡、显卡、鼠标、键盘等信息。也可以查看当前计算机的软件安装状况。15、网络隔离管理员可以将指定的计算机加入隔离组内，只有在每个隔离组内的计算机才可以相互访问。不在同一个隔离组内的计算机是不能够相互访问的。16、文件分发管理员可以分发文件给指定计算机，可以设置分发文件保存的位置的。文件分发是以任务形式进行的，对于在线的客户端，文件立即分发到客户端。对于关机的客户端，会在开机会自动从服务端执行文件分发任务的。17、Windows补丁升级可以自动分发程序、修复程序和派发文件。实现程序的自动化部署，比如：补丁程序、应用程序，大大提高程序部署的效率，提升IT部门的工作水平，让IT管理者不再为大量的机械性、重复性的程序安装工作而奢侈精力！18、系统运维针对大型网络，软件供应了系统运维组合方案，包括查看客户端计算机基本网络信息、基本硬件信息、服务、共享书目、磁盘、正在运行程序、窗口等信息。对于网管人员对于客户端计算的维护进行了有力的支持。19、多管理员管理系统支持多管理员管理，超级管理员可以给一般管理员设置不同的部门管理权限和功能管理权限。

六、运行环境1、安装模块选定策略PCMaster平安管理系统由三个不同的模块组成：服务端、管理机、客户端。用户可以依据具体须要将它们安装在单位网络上的计算机上。服务端用来存储系统日志和管理全部安装有客户端的计算机的，主要负责日志存储和策略下发，一般安装在一台具有大容量硬盘空间的计算机上。这台计算机一般由公司的计算机操作员管理。客户端安装在每一台须要被监管的计算机上。客户端在安装到须要被监视的计算机上后，每次在被监管的计算机开机时，客户端会自动运行。安装有客户端的计算机具有较强的平安爱护功能。客户端经过安装后在系统后台运行，用户看不到客户端的安装文件以及进程，可防止被非授权用户删除。管理机模块主要用于实时监管每台安装有客户端的计算机，以及查看保存在服务器上的历史资料，一般安装在公司的经过授权的管理人员的计算机上。2、系统要求模块类型计算机系统及硬件基本要求服务端操作系统：Win2000XP/SP3/2003/Vista/Win7/2008最低配置：酷睿双核1.6G以上/内存1GB/可用磁盘空间：10GB建议配置：酷睿双核1.6G以上/内存≥2GB/可用磁盘空间：100GB管理机操作系统：WindowsXP/2003/Vista/Win7最低配置：PentiumⅢ1G/内存128MB/可用磁盘空间：/128MB建议配置：酷睿双核1.6G以上/内存≥1GB/可用磁盘空间：128MB客户端操作系统：WindowsXP/2003/Vista/Win7最低配置：PentiumⅢ1G/内存：128MB/可用磁盘空间：128MB建议配置：酷睿双核1.6G以上/内存≥1GB/可用磁盘空间：128MB3、网络要求PCMaster运行时运用以下的通讯协议与端口号,假如您在内部运用了防火墙此时应允许这些端口访问网络：TCPPort：6670-6684建议局域网内的数据传输率配置为10-100Mbps或者以上。4、数据库要求PCMaster支持多种数据库系统，包括：MySQLMicrosoftSQLServer2000及以上PCMasterServer/Console会以ODBC连接数据库，PCMaster安装程序内已经附有MYSQL安装程序，不用另外设置，但是假如您运用的是SQLServer服务器，那么必需在运用PCMaster平安管理系统之前先安装好SQLServer服务器。假如您选择运用MySQL数据库，请略过以上步骤，因为安装PCMasterServer时会自动安装MySQL