中软统一终端安全管理系统系统介绍
目录
第一章系统概述 (1)
第二章体系结构和运行环境 (3)
2.1系统体系结构 (3)
2.2推荐硬件需求 (4)
2.3推荐软件需求 (4)
第三章系统功能 (6)
3.1传播途径管理[*] (6)
3.1.1用户身份认证 (6)
3.1.2 网络访问控制 (7)
3.1.3 非法外联控制 (7)
3.1.4 接口外设管理 (8)
3.1.5 移动存储介质管理 (8)
3.1.6 CDROM/CDRW/刻录机的控制 (8)
3.1.7 辅助硬盘的控制 (8)
3.1.8 打印机管理 (8)
3.1.9 截屏键控制 (9)
3.2可信移动存储介质管理[*] (9)
3.3终端接入管理[*] (10)
3.3.1终端接入认证 (10)
3.3.2 终端安全检查 (10)
3.3.3内网安全扫描 (10)
3.4补丁管理与软件分发管理[*] (11)
3.4.1 补丁分发管理 (11)
3.4.2软件分发管理 (11)
3.5终端安全运维管理[*] (12)
3.5.1 系统运行状况监控 (12)
3.5.2 软硬件资产管理 (13)
3.5.3 安全策略管理 (13)
3.5.4 防病毒软件监测 (14)
3.5.5网络进程管理 (14)
3.5.6文件安全删除 (14)
3.6远程管理[*] (15)
3.7安全存储与传输管理[*] (16)
3.7.1 我的加密文件夹 (16)
3.7.2 硬盘保护区 (16)
3.7.3 文件安全分发 (16)
3.8可信计算管理[*] (16)
3.9文档加密管理[*] (16)
3.9.1加密控制 (17)
3.9.2 解密控制 (17)
3.9.3 打印控制 (18)
3.9.5保护感知 (18)
3.9.6 剪贴板控制 (19)
3.9.7 截录屏控制 (19)
3.9.8 离线控制 (20)
3.9.9 非加密进程控制 (20)
3.9.10 审批管理 (20)
3.9.11 备份管理 (21)
3.9.12 全盘扫描管理 (21)
3.9.13 隔离管理 (21)
3.9.14 密级标识 (22)
3.9.15邮件附件加解密控制 (22)
3.9.16移动存储介质文件保护 (22)
3.9.17回家模式 (22)
3.10业务系统数据防泄密管理[*] (23)
3.10.1在线访问控制 (23)
3.10.2本地访问控制 (24)
3.10.3防伪冒控制 (24)
3.11文档权限管理[*] (24)
3.12文档密级标识与轨迹追踪管理[*] (27)
3.13文件打印审批管理[*] (28)
3.14U盘拷贝审批管理[*] (29)
3.15光盘刻录审批管理[*] (30)
3.16支持L INUX系统透明加解密[*] (30)
3.16.1智能透明加解密 (31)
3.16.2加密文件强保护 (31)
3.16.3截屏键控制 (31)
3.16.4文件扫描加密 (31)
3.17系统管理与审计 (31)
3.17.1 组织结构管理 (31)
3.17.2 统计审计分析 (32)
3.17.3分级报警管理 (32)
3.17.4 响应与知识库管理 (32)
3.17.5 服务器数据存储空间管理 (32)
3.17.6 系统升级管理 (32)
3.17.7 B/S管理功能支持 (33)
3.17.8系统参数设置 (33)
第四章系统特点 (34)
4.1全面的终端防护能力 (34)
4.2分权分级的管理模式 (34)
4.3方便灵活的安全策略 (34)
4.4终端安全风险量化管理 (34)
4.5周全详细的系统报表 (35)
4.6丰富的应急响应知识库 (35)
4.8方便快捷的安装、卸载和升级 (35)
4.9多级部署支持 (36)
附件一:名词解释 (37)
第一章系统概述
随着信息化安全技术的不断发展,各种内网安全管理问题逐步凸现出来。据IDC调查报告显示超过85%的网络安全威胁来自于内部,其危害程度更是远远超过黑客攻击所造成的损失,而这些威胁绝大部分是内部各种非法和违规的操作行为所造成的。
内网安全问题已经引起了各级单位的广泛重视,随着安全意识的不断增强,安全投入逐步增加,但是内网的安全事件却不断地增多。分析其原因我们认为主要有以下几个方面:
◆有章不循,有规不依,企业内网安全合规性受到挑战。
很多公司明文规定安装操作系统必须打最新的补丁,但是终端用户依然我行我素导致操作系统补丁状况不一,从而给蠕虫病毒、木马程序和黑客软件带来了可乘之机。同时有些单位购买了防病毒软件,但是终端用户没有按照单位统一部署的要求安装防病毒软件,或者有些终端用户虽然安装了防病毒软件,但是没有及时更新病毒库,导致计算机病毒有机可乘。对于终端安全管理,公司建立了很多安全制度,但是终端用户不按照公司安全规定要求,将不安全的计算机接入网络,从而引入了内网安全威胁,企业内网的安全合规性受到了严峻的挑战。
◆谋一时,而未谋全局,终端系统被划分为多个独立的信息安全孤岛。
各单位在解决各种内网安全问题上,通常缺乏统一、全面的内网安全解决方案。按照“头痛医头,脚痛医脚”的内网安全防护加强思路,采购并部署了多款终端安全管理的产品,比如:身份认证、补丁管理、软件分发、病毒防护软件等等。但是这些终端安全防护软件来自于不同的安全厂商,各种软件之间各自为政,缺乏统一管理、协调工作的机制,最终导致个人桌面系统被划分为一个个独立的信息安全孤岛,因此出现了终端安全管理混乱、内网安全漏洞百出,内网安全事件防不胜防。
◆百花齐放,百家争鸣,终端系统终因难堪负重,系统性能急剧下降。
为了加强终端安全管理,在个人桌面系统上同时安装了不同厂家的终端代理。每种代理程序都需要实现自我防护、网络通信、运行监控等程序调度机制,需要重复的占用系统有限的CPU、内存等系统资源,导致个人桌面系统运行速度变慢,系统性能急剧下降。同时,由于不同厂家的软件存在很多功能重叠的部分,而这些重叠部分往往是采用类似技术开发,从而导致不同软件之间频繁发生应用冲突。
治标不治本,本末倒置,软件购买费用增加,系统维护成本成倍增长。
通常终端管理软件大致分为三个组件,即:服务器、控制端、客户端代理。每种服务器软件都需要独立的数据库和硬件服务器支撑,无形中增加了软件的部署成本。同时,由于每种软件都有自己的控制台程序,管理员要针对每套系统生成它的控制策略,每套系统的数据审计都是分开的,管理工作非常多,管理员为每天的维护工作疲于奔命,从而导致管理疏忽。
针对以上几种原因,以及中软公司在对企业内网安全管理展开全面调查的基础上,创造性地形成了一套完备的终端安全“一体化”解决方案。在过去的几年里中软公司一直致力于内网安全的研究,并在国内最早提出了一系列的内网安全管理理论体系和解决方案。内网失泄密防护软件--中软防水墙系统的推出填补了国内内网安全管理软件的空白,并获得了若干国家专利局的技术专利。防水墙系统连年获奖,其中在2006年“防水墙”被计算机杂志评为2005年度新名词。
中软公司早在2001年就开始致力于内网失泄密软件的开发,先后向市场推出了中软防水墙系统7.0版本、7.0+版本和7.2版本。随着内网安全管理的复杂化,中软公司在复用防水墙系统成熟技术的基础上,引入先进的内网安全管理理念和新的内网安全管理技术重新搭建系统体系结构,自主研发了中软统一终端安全管理系统8.0(CSS United End-Point Management System,简称UEM8.0)。
该系统是以“木桶原理”为理论依据,以安全策略为驱动,按照PDR安全模型的“保护-检测-响应”工作流程循环检测,同时结合保密规定的“等级防护”指导方针,采用多种安全技术实现了对终端主机全方位、多层次的安全防护。按照“保护-检测-响应”的工作流程逐步完善终端安全防护策略,并将事件处理方;式和处理流程登录到用户知识库,逐步形成内网事故应急响应流程和共享安全解决方案的知识库。
第二章体系结构和运行环境
2.1系统体系结构
系统分为三个组件:客户端、服务器和控制台,系统采用分布式监控,集中式管理的工作模式。组件之间采用C/S工作模式,组件的通信是采用HTTP/HTTPS加密传输方式。支持任意层级的服务器级联,上下级服务器之间采用HTTPS协议进行数据交换。体系结构如图1 所示。
图 1 系统体系结构图
?客户端:安装在受保护的终端计算机上,实时监测客户端的用户行为和安全状态,实
现客户端安全策略管理。一旦发现用户的违规行为或计算机的安全状态异常,系统及时向服务器发送告警信息,并执行预定义的应急响应策略。
?服务器:安装在专业的数据服务器上,需要数据库的支持。通过安全认证建立与多个
客户端系统的连接,实现客户端策略的存储和下发、日志的收集和存储。上下级服务器间基于HTTPS进行通信,实现组织结构、告警、日志统计信息等数据的搜集。
? 控制台:人机交互界面,是管理员实现对系统管理的工具。通过安全认证建立与服务
器的信任连接,实现策略的制定下发以及数据的审计和管理。
2.2 推荐硬件需求
表格1 系统推荐硬件需求
2.3 推荐软件需求
表格 2 系统软件需求
提示:
? 安全管理系统服务器,包括服务器软件和后台支持数据库。建议在专用主机上安装安全管
理系统服务器,并且关闭所有与安全管理系统无关的不必要的服务。支持操作系统为MS
Windows 2003 系列,推荐Advanced Server 版本。
?以上操作系统,没有特别说明,仅指32位操作系统。
?安全管理系统客户端不支持Linux系统,不能在windows双系统下同时安装UEM客户端。
?为保证用户正常使用安全管理系统,最好将安全管理系统服务器、控制台和客户端分别运
行于独立的系统之上,同时用户安装前应将Windows版本进行升级,安装各自版本最高补丁。
第三章系统功能
随着内网终端安全地位的合理化,终端安全管理将进一步沿着整合化、平台化、统一化、基础化的方向发展。内网终端安全一体化的需求越来越强烈,终端安全产品的形态将逐步发生变化,最后发展为兼顾安全防御与安全管理。终端安全发展的历史使命终将通过一款“大、一、统”的终端安全产品来实现。所谓“大”就是该产品功能所涵盖的范围大,它不但要包含网络接入认证、系统身份认证、资产管理、补丁管理、软件分发,还要包涵系统运行监控、用户行为监控等终端软件的所有功能。所谓“一”就是一个终端代理、一台服务器就可以实现上述所有功能,一个网络管理员就可以全局控制整个内网安全。所谓“统”就是指对所有的桌面系统应用统一的安全策略,对所有的终端用户采用统一的终端管理策略,对终端产生的日志进行统一的日志分析,为所有管理员提供统一的应急响应知识库。各功能部件之间协调工作,统一管理,形成一个高效有机的安全代理。通过统一的桌面管理平台降低系统的复杂度,提高了个人桌面系统的工作性能,降低了用户的维护管理成本。
针对以上终端计算机用户的安全需求,中软公司对政府、军工和高新技术企业的终端计算机管理问题展开了全面的调查,借鉴中软防水墙系统的开发经验,以等级防护和国家关于涉密计算机管理的相关规定为蓝本,创造性地形成了一款终端安全管理系统,该系统从终端安全管理、终端运维管理、用户行为管理、数据安全管理、系统身份认证管理,同时辅助这些功能系统提供了监控日志的统计与分析功能和系统运行管理功能。
特别说明:以下章节中带有[*]标记的功能均为可选功能,用户可以根据自己的需要选择其中的功能,最终结果由产品License控制。
3.1 传播途径管理[*]
3.1.1用户身份认证
身份认证是系统应用安全的起点,通过硬件USBKey和口令认证登录Windows系统用户身份,保证进入Windows系统用户身份的合法性;对登录用户权限进行合法性检查,保证用户权限的合规性。具体功能如下:
基于USBKey的身份认证,将用户信息和证书内置于USBKey硬件中,通过读取USBKey
中的用户信息实现登录用户身份认证,实现双因子认证,提高了主机身份认证的安全强
度。同时为了增强系统的灵活性,对于USBKey用户,系统管理员可要求该用户进行
USBKey和Windows双因子认证登录系统,也可允许该用户无需输入Windows口令,只使
用USBKey完成登录认证。
◆登录用户权限合法性检查,检查登录Windows系统的用户权限,当发现登录用户权限与
策略设置的登录用户权限不一致时,系统及时阻止非法用户登录,并向服务器发送告警
信息。该项功能主要是防止用户通过非法途径提升自身用户权限而达到某种非法目的,
例如:策略设置只能是USER权限用户登录计算机,如果登录计算机的用户拥有
Administrator或PowerUser权限则系统自动阻止该用户登录。
3.1.2 网络访问控制
规范计算机用户的网络访问行为,根据业务相关性和保密的重要程度建立信任的虚拟安全局域网。网络防护有两个层面的含义:第一是防止用户误操作或蓄意泄漏企业的敏感信息;第二是防止黑客通过互联网透过防火墙非法获取客户端的敏感信息。实现了从网络层到应用层的多层次防护,具体功能如下:
◆网络层防护:IP地址访问控制、TCP/UDP/ICMP协议控制;
◆应用层防护:HTTP/FTP/TELNET/SMTP/WEBMAIL/BBS/NETBIOS控制;
控制策略有:禁止访问、自由访问。禁止访问时提供仅开放白名单功能,实现只开放白名单地址,其它地址全部禁止;自由访问时提供黑名单功能,实现只禁止黑名单地址,其它地址全部开放;同时提供三种日志记录模式:记录被禁止的访问、记录未知的访问和记录信任的访问,对FTP、SMTP 访问控制和文件打印,可以记录文件内容。
3.1.3 非法外联控制
通过对Modem的控制实现非法外联的监控。
控制策略有:禁止访问、自由访问和条件访问。禁止访问时提供仅开放白名单功能,实现只开放白名单地址,其它地址全部禁止;自由访问时提供黑名单功能,实现只禁止黑名单地址,其它地址全部开放;同时提供三种层次的记录:记录被禁止的访问、记录未知的访问和记录信任的访问,同时对FTP、SMTP、和打印可以提供文件备份功能。
3.1.4 接口外设管理
统一配置计算机外设接口的控制策略,动态的关闭与开启外设接口。所能控制的接口有:USB 接口、SCSI接口、串行总线、并行总线、红外接口、PCMCIA接口、软盘控制器、火线1394接口、无线网卡接口、DVD/CD-ROM驱动器、蓝牙接口、第二块网卡接口。
接口访问控制的策略分为:允许和禁止两种,在禁止策略下的尝试访问向安全管理系统服务器报警。同时提供了接口设备白名单和黑名单定义的功能,实现在接口禁止或者接口开放情况下某些设备放开或禁止使用。
3.1.5 移动存储介质管理
对移动存储介质的访问进行统一的控制,控制模式可以分为:自由使用、禁止使用、设置为只读、拷贝文件加密、拷贝文件记录日志并备份文件内容等五种控制策略。其中拷贝文件加密为个人加密的加密方式,个人加密只能在当前主机的当前个人用户下才能解密。
3.1.6 CDROM/CDRW/刻录机的控制
对光盘介质的访问进行统一的控制,控制模式可以分为:自由使用、禁止使用。刻录机控制支持:禁止使用、自用使用、只读使用等三种。
3.1.7 辅助硬盘的控制
对计算机上挂接第二块硬盘的访问进行统一的控制,控制模式可以分为:自由使用辅助硬盘和禁止使用辅助硬盘。
3.1.8 打印机管理
根据企业的打印机管理制度和计算机用户业务关系统一制定打印机的管理策略,具体的功能控制项如下:
◆监控用户打印行为:统一制定计算机用户的打印管理策略,控制模式可以分为:自由使
用打印机、禁止使用打印机和允许使用打印机并记录打印文件名称(可选项为备份文件
内容)。使用打印机能够基于打印机名称、打印进程以及虚实打印机进行控制。
◆打印行为违规报警:在禁止打印机策略时如果用户执行打印操作,系统立即向服务器发
送违规打印操作信息。
3.1.9 截屏键控制
支持对截屏键控制,禁止和放开截屏键,禁止的情况下使用截屏键系统将报警。
3.2可信移动存储介质管理[*]
该功能实现了用户对移动存储介质管理的要求,对可信移动存储介质从购买到销毁的整个生命周期进行管理和控制。
可信移动存储介质管理通过授权认证、身份验证、密级识别、锁定自毁、扇区级加解密、日志审计等六个途径对可移动存储设备的数据进行安全防护,使得未通过身份验证的用户或密级不够的主机,不可访问存储在可信移动存储介质上的文件。
◆授权认证:管理员对移动存储介质进行注册授权,写入授权信息。
◆身份验证:客户端使用可信移动存储介质时,对用户的身份信息进行验证。
◆密级识别:客户端使用可信移动存储介质时,需对客户端主机密级进行验证。
◆锁定自毁:客户违规使用可信移动存储介质时,对磁盘进行锁定或自毁,保证数据的安
全性。
◆扇区级加解密:文件数据的加解密由系统底层驱动自动进行,对用户是透明的。
◆日志审计:对用户使用可信移动存储介质所产生的日志进行审计和查看。
可信盘的制作和管理主要由系统管理员完成:
?磁盘的库存管理
系统管理员完成对普通磁盘的入库登记,以备制作可信盘,或对入库的磁盘进行信息销毁等。
?磁盘授权管理
管理员对移动存储介质进行注册授权,写入授权信息,即完成可信磁盘的制作、解锁、回收、以及商旅盘的使用激活与反激活等操作管理,同时当可信磁盘需要跨服务器使用时,可启用该功能。另外,客户端也可通过在线审批方式进行可信磁盘的授权。
?授权信息管理
系统管理员可查询可信磁盘信息、撤销可信盘的授权等。
?可信磁盘文件操作策略定义
包括定义可信磁盘文件读、写操作的监控策略,以及设置是否允许在可信磁盘上直接运行可执行文件等,以防止病毒的运行和传播。
?可信磁盘日志审计
无论是普通可信磁盘,还是商旅磁盘,在磁盘使用过程中所产生的日志都需要上传到服务器中,所要求记录的日志包括:
可信磁盘使用台帐、磁盘锁定与自毁日志、磁盘违规使用日志、磁盘使用口令更改日志、磁盘的文件操作日志、可信磁盘跨服务器使用功能的启用与关闭日志、以及跨服务器使用过程的日志记录。
3.3终端接入管理[*]
对接入内网的计算机进行统一的管理,未经许可的计算机不能接入内网,其主要功能如下:3.3.1终端接入认证
通过登录用户的用户名和口令检查接入用户的合法性,阻止外来主机在没有得到管理员许可的情况下非法接入内部网络。
3.3.2 终端安全检查
对接入内网的计算机必须通过安全性检查才能访问内部网络资源,主要功能如下:
对通过接入认证的计算机进行安全性检查,检查的策略包括两个方面:防病毒软件检查、操作系统补丁检查和必备软件安装运行检查。如果没有达到安全检查的基准,则系统只能访问内部修复服务器,不能访问内部网络资源。当系统执行自我修复操作后(如:安装操作系统补丁或安装防病毒软件),如果安全状态达到相应的标准那么该计算机即可正常访问内部网络资源。
3.3.3内网安全扫描
内网安全扫描是终端安全管理系统的一个组件,它的主要功能是扫描局域网内部的存活计算机信息,并对这些计算机进行合法性分析。通过子网配置和参数设置后,各个网段的代理向本网段发送探测数据,并收集数据提取存活主机信息,然后各网段代理分别将本网段数据信息发送至服务器。服务器在分析数据之后,通过控制台显示被探测到主机的相关信息。这些信息包括主机的IP地址、Mac地址、是否安装UEM客户端、合法性、一致性、是否例外主机等。该组件可以通过交换机阻断功能或ARP欺骗阻断功能来阻断不合法主机,并记录扫描产生的日志信息。
3.4补丁管理与软件分发管理[*]
3.4.1 补丁分发管理
统一配置终端计算机的补丁管理策略,实现对系统补丁状况的扫描,自动完成补丁分发。系统所支持的补丁包括:Windows操作系统补丁系列、office系列办公软件补丁、SQL Server系列补丁等微软产品的补丁,具体功能如下:
◆制定统一的补丁管理策略,通过设置补丁来源确定补丁服务器WSUS的地址和WSUS统计
地址,按照补丁检测周期定期检测客户端补丁安装状况。
◆实现统一的补丁更新管理,通过设置终端策略实现系统补丁更新,更新模式有两种:手
动更新补丁和自动更新补丁。
?手动更新补丁模式,通过策略设定对特定补丁的检测,如果客户端没有安装这类的补丁,则根据事先设定的下载优先级从补丁服务器下载补丁并安装补丁。
?自动更新补丁模式,通过设定自动更新方式,实现三种方式的安装和下载:通知下载和通知安装、自动下载和通知安装、自动下载和自动安装三种方式,通过设定自动更新时间点和更新完成是否重启计算机等参数实现客户端补丁的自动安装。
3.4.2软件分发管理
规划企业统一分发的软件安装包,按照统一的软件分发策略,自动完成企业软件的部署,其主要功能如下:
◆软件包管理,按照软件包信息和安装环境创建需要分发的软件包,它包含软件位置、安
装环境等相关信息。可支持MSI、可执行文件、批处理文件三种形式的软件包。
◆软件包分发,选择分发软件包的类型,根据统一设定的分发策略可实现多种类型的软件
分发,具体类型如下:
?软件下载优先级,根据程序运行的优先级可以设置为:前台、高、中、低四种优先级;
?软件下载类型,根据下载的紧迫性要求可以分为:立即下载、时间点下载和分时段下载三种下载模式。而时间点下载有可以设置立即下载的起始时间;分时段下载可以分为多个时段下载,每个时段需要设置起始和终止时间。
?安装类型,可以分为静默安装和交互安装两种方式。
?安装时间类型,可以分为立即安装、时间点安装和等待N分钟后安装。
同时系统对标准格式的安装包在终端主机上安装结果(成功/失败)进行跟踪反馈,管理员可以根据反馈结果形成统计报表。
3.5 终端安全运维管理[*]
按照统一的安全策略监控客户端的运行状况,通过软件自动分发和软硬件资产的统一管理大大节约了企业信息系统的维护成本,通过系统远程帮助控制实现远程维护计算机,清除系统故障。系统具体功能如下:
3.5.1 系统运行状况监控
为管理员随时提供远程终端主机的运行状态变化信息,自动对指定的异常情况进行报警,根据管理员预定义策略及时阻断远程主机的违规行为。具体功能项如下:
◆监控信息管理,实时监测计算机的资源使用情况,当发现系统资源超过管理员设定的监测阀值
时,根据管理员预定义的响应策略阻止用户行为或向服务器发送告警,具体所能监控的信息如下:
?计算机名称监控,禁止计算机用户修改计算机名称的行为。
?系统资源监测,监测CPU、内存的使用情况,当CPU、内存超过管理员设置的监测阀值时,系统向服务器发送告警信息;监测硬盘的使用情况,当硬盘空闲空间小于管理员设置的阀值时,系统向服务器发送告警信息。
?网络流量监测,监测计算机网络的实时流量和总流量,当网络流量超过阀值时系统向服务器发送告警信息。
?文件共享监测,监测共享文件夹的添加、删除,当系统共享文件夹发生变化时,系统向服务器发送告警信息。
?文件操作监测,监测用户创建文件、读写文件、重命名文件和删除文件的操作行为,可以设置所监测的文件名、文件后缀和文件路径。
?用户和组操作监测,监测用户和组的添加、删除和属性改变的用户操作行为。
?系统服务监测,监测系统服务的启动和停止的变化情况,并记录日志。
?网络配置,监控系统网络配置的变化情况,禁止用户修改IP地址。
?系统进程,监测主机进程变化,可以监测所有进程的创建和关闭,也可以通过设置黑白名
单的方式设置系统的监控进程列表。
?系统日志,设置获取远程计算机的系统日志上传周期。
◆查看系统信息,及时获取远程主机的资源信息,包括:进程、网络、帐户和组、服务、共享、
活动窗口、驱动、硬件、内存、会话信息、系统信息和系统日志。
3.5.2 软硬件资产管理
自动发现和收集计算机上的软硬件资产信息,跟踪软硬件资产信息变化情况,对非授权的软硬件资产的变更产生报警。具体功能相如下:
◆资产信息查看,自动收集计算机用户的软硬件资产信息。其中硬件信息包括处理器、硬盘、
内存、BIOS、光驱、显卡、声卡、网卡、显示器、输入设备、接口控制器、调制解调器、
系统端口和插槽共计14种类型的硬件资产;软件资产包括系统软件、应用软件两种类型;
还包括有操作系统信息和客户端信息。
◆软件管理策略,规范用户使用软件的范围,通过设置安装程序黑白名单或基线方式保证用
户启动进程的合法性。获取计算机用户的软件安装情况,并能对全网的软件安装情况进行
统计。
◆硬件管理策略,定义非法硬件名单,可定义的非法硬件包括:调制解调器、无线网卡、打
印机、采集卡、刻录机、软驱、移动存储器、键盘和鼠标。系统一旦识别出非法硬件后立
即向服务器发送告警信息。
◆硬件基线设置,定义硬件设备的运行基线,当发现硬件设备与运行基线不一致时,系统立
即向服务器发送告警信息。能定义为基线的硬件设备有CPU、BIOS、硬盘、网卡、显卡、
光驱、内存和声卡。
3.5.3 安全策略管理
按照企业终端计算机安全管理规定,统一配置终端计算机的Windows安全策略,实现集中的安全策略配置管理,统一提高终端计算机用户的安全策略基线。系统所能配置的安全策略如下:
◆帐户密码策略监视,统一监视Windows密码策略的启用情况和策略参数,对不符合安全策
略的状态进行报警。
◆帐户锁定策略监视,统一监视Windows帐户锁定策略的启用情况和策略参数,对不符合安
全策略的状态进行报警。
◆审核策略监视,统一监视Windows审核策略的启用情况和策略参数,对不符合安全策略的
状态进行报警。
◆共享策略监视,统一监视Windows共享(包含默认共享)情况,对不符合安全策略的状态
进行报警。
◆屏保策略监视,统一监视屏幕保护策略的启用情况和策略参数,对不符合安全策略的状态
进行报警。
3.5.4 防病毒软件监测
通过策略设置防病毒软件特征,按照统一的策略监测防病毒软件使用状况,并进行统计分析形成统一的数据报表。具体功能如下:
◆监视防病毒软件的使用状况,通过防病毒软件的特征监视防病毒软件的安装情况、运行状
态和病毒库版本,对不符合安全策略的状态进行报警。
◆防病毒软件监测特征的自定义,通过对未知防病毒软件的特征自定义实现对未知防病毒软
件的监测,其特征包括杀毒程序名称、病毒库版本标识的注册表项等。
3.5.5网络进程管理
通过对网络进程的统一管理,规范计算机用户的网络行为,实现“外面的网路连接未经许可进不来,里面的网络进程未经许可出不去”。具体功能描述如下:
管理向外发起连接的网络进程,通过设置网络访问进程的黑、白名单,实现对计算机用户访问网络的控制;
管理接收外部连入的网络进程,通过网络进程与本地监听端口绑定,规范计算机用户所提供的网络服务程序,例如“SUFTP.EXE授权监听端口为21,如果将SUFTP.EXE的监听端口改为1133,则进程不能对外提供服务”。
实时获取网络进程信息和会话连接状态,当管理员通过控制台获取网络进程信息时,客户端以快照的方式上传当前的网络信息和会话状态。
3.5.6文件安全删除
通过控制台设置临时文件管理策略,实现临时文件的统一删除管理,系统所能删除的文件包括
有:
◆清除IE缓存,按照策略定期删除IE所产生的临时文件;
◆清除IE地址栏,按照策略定期删除IE地址栏中的临时信息;
◆清除历史记录,按照策略定期删除历史记录文件;
◆清除COOKIE,按照策略定期删除系统访问所产生的COOKIE文件;
◆清除系统临时目录,按照策略定期删除系统工作的临时目录;
◆清除最近打开的文档,按照策略定期删除系统最近打开文件的记录;
◆清除运行中的运行命令,按照策略定期删除系统运行中记录的用户运行命令;
◆清除回收站,按照策略定期清空回收站中的被删除信息。
同时提供文件安全擦除功能,实现对存储在本地的敏感文件进行安全擦除功能,通过多次数据回填的方式实现敏感文件的安全擦除,经过安全擦除处理后的文件无法通过磁盘剩磁的方式恢复数据。管理员可以配置擦写次数实现统一的文件擦除管理。
3.6远程管理[*]
通过终端用户与服务器相互授权的机制建立终端与服务器之间的信任通信体系,管理员通过服务器实现对终端用户提供帮助,具体功能如下:
◆实时获取客户端主机信息,通过UEM控制台远程实时获取客户端主机的相关的信息:如:
驱动信息、硬件信息、进程信息、内存信息、网络连接、活动窗口、服务信息、共享信息、系统信息、用户信息、组信息、会话信息、系统日志等。
◆远程关机、远程注销、远程重启,通过控制台对远程的客户端主机下发远程关机、远程注
销、远程重启等命令,实现远程对客户端主机的基本管理控制。
◆服务器-客户端远程消息管理,通过控制台向客户端发送消息通告。支持客户端通过消息传
递方式实现客户端和服务器一对一的消息交流。
◆远程协助支持,能通过控制台连接客户端主机远程协助功能,实现管理员远程协助客户端主
机进行故障排除。
3.7 安全存储与传输管理[*]
3.7.1 我的加密文件夹
我的加密文件夹为终端用户提供了个人文件加密存储的文件服务,拖进该文件夹的文件自动生成以.wsd为后缀的加密文件。当本人访问加密文件夹中的加密文件时,系统会自动解密。
3.7.2 硬盘保护区
硬盘保护区是在本地硬盘上提供一个或多个安全存放本地敏感文件的加密存储空间,用户可视为该文件保险箱为可信空间,并可通过加载或卸载操作以使该保险箱可见或不可见。所有放入保险箱的文件都是自动加密存储的,正常加载以后呈现给用户的是明文,用户感觉不到加解密过程。3.7.3 文件安全分发
文件安全分发实现了文件在指定范围内(个人、小组、公共用户和指定用户)的自动加密或者自动解密,在指定范围外的用户不能共享这些加密文件。
3.8 可信计算管理[*]
UEM系统能够自动收集受控终端的运行进程信息,并对收集的进程信息实施分类管理。通过可信计算策略控制,防范关键进程的重命名行为;另外,UEM系统对操作系统文件进行完整性校验,并实现强制访问控制,确保操作系统核心系统文件的安全,保证操作系统免被病毒或木马侵袭,实现操作系统的可信。
◆可信计算管理,通过添加、删除、导入、导出和批量更改分类等操作,对“应用程序库”
和“核心文件库”中收集到的进程信息和核心文件信息进行统一管理。
◆可信计算策略,通过下发“程序控制策略”,监控程序的执行变化情况,阻止非法程序的运
行,并记录日志;通过下发“核心文件策略”,监控核心文件的正常运行,防止被非法程序篡改。
如果核心文件有变化,系统将会报警,并通过消息方式通知用户。
3.9文档加密管理[*]
基于透明加解密技术,在客户终端上实施对客户文件的透明加密、透明解密,有效防止内部和