【IT168 资讯】产品概述

　　信盾终端安全管理系统是深圳任子行网络技术股份有限公司自主研发的内网安全管理类产品，产品融合了任子行10年之久网络安全产品研制经验和对市场的深刻理解，以客户需求为市场导向，围绕企业或者机关单位内部网络的计算机终端接入安全、计算机桌面安全、网络行为安全、网络活动安全等为目标;通过产品帮助客户解决内部网络信息的安全防护、监控、审计、统计等功能，实现了内网中的数据安全传输、身份认证、资源授权、网络行为审计等功能，产品细粒度的授权和日志存储为事后取证提供可靠依据。

　　信盾终端安全管理系统主要应用于企业、政府、军工、军队、能源、电信等行业，帮助用户解决内部网络安全管理和信息内容的安全防护，从而提高企业的员工工作效率，提升企业竞争力，降低企业内部核心数据的泄露事件的发生。

　　产品功能详解

 　　用户及组管理

　　系统支持用户及组的增加、删除、修改、查询功能;

　　系统支持手工添加用户和批量添加用户;

　　支持用户权限管理，可实现基于角色管理;

　　可详细添加用户信息，信息包括基本信息、网络信息、其它信息;

　　系统管理员区别为系统管理员、安全管理员、安全审计管理员、临时管理员;有效地区别管理员来保证系统的安全。

　　机器管理

　　支持机器信息的自动获取和添加方式;自动获取支持基于IP地址、IP范围段的查询和检测功能;添加方式支持手工录入和批量导入方法;

　　系统支持IP地址增加、删除、修改、查找功能;

　　支持管理主机IP地址限制功能，以保证系统主机的安全。

　　实名认证

　　实名信息关联配置：系统支持对用户账户、计算机IP地址、卡片、实名信息进行设置和配置，以实现登录账户实名认证;

　　多认证方式：系统支持用户名和密码，刷卡、指纹、USbkey等识别认证方式;系统默认支持用户名和密码与刷卡认证，而指纹、Usbkey等方式提供定制化开发;

　　系统能在Windows普通模式和Windows域用户模式下进行用户验证而登录系统;

　　支持基于工作组可以做认证授权，从而满足不同组内认证方式不同;

　　系统基于IP地址认证;

　　系统支持IP地址和MAC地址捆绑认证，保证“一人一台机器”认证唯一性;

　　系统认证可以满足“一人一台机器”、“一人多台机器”、“多人一台机器”的使用。根据安全级别可以配置应用使用方式;

　　认证日志，系统记录用户登录、登录时间、退出等行为。

　　终端锁屏

　　系统支持锁屏功能，主要是帮助您解决计算机桌面的安全防护问题，这样保证在计算机开启登录前或者屏幕保护开启前必须经过身份认证，身份验证通过即可登录系统，身份非法者则阻止登录系统，这样有效地防止了非授权用户登录计算机系统的威胁，从而保证了终端系统的安全。

　　锁屏程序对于计算机安全防护起到了“大门”的作用，通过用户身份验证和识别，有效地阻止了非法用户进入终端的安全威胁。

　　锁屏程序与后台管理控制中心联动可以实现远程锁屏功能，当后台程序对捕获的数据包进行分析，分析结果只要发现终端有异常行为，则给管理员发送报警信息，管理员根据报警情况进行实时屏幕跟踪，确认异常情况时，就可以对跟踪的终端进行屏幕锁屏，并发送告知信息，从而阻止当前用户的所有操作，最终保证企业内部信息的安全。

　　信息提醒功能

　　针对一些涉密部门的终端计算机，系统在屏幕锁定的情况下显示安全警告信息，目的是提醒即将要登录计算机的用户不要去从事一些违规或者安全信息泄密活动，主动防御人为无意的泄密，从而保证了操作者不被追究法律或法规责任。

　　桌面屏幕监控

　　为了保证整个系统的安全，该产品系统提供桌面监控程序，系统默认情况下指记录日志而不进行屏幕抓取活动，当后台发现该终端桌面有异常情况并收到报警，则进行远程桌面监控和跟踪，并且可以记录用户桌面的所有操作动作，根据事件情况可以实现桌面屏幕回放功能，从而为企业内部取证管理工作提供便利。

　　桌面屏幕监控，主要是监控当前用户桌面的鼠标动作和键盘动作，以及桌面上的操作行为，比如文件的操作、外来设备的接入、外联网络的访问、URL访问等。通过客户端程序记录日志和上报日志，最终通过后台分析获得当前终端桌面活动状态。

　　桌面监控，实现了整个终端桌面的安全管理，方便了系统管理管理员对每一个网络中的终端进行实时监控和桌面跟踪。特别是桌面异常时，系统根据报警设置机制进行即时报警通知管理员。

　　进程管理与监控

　　进程管理与监控，主要是实现桌面终端中的应用程序及系统程序的管理和控制;系统采用黑白名单策略，对于一些禁止运行的程序设置为黑名单，从而阻止该应用程序在终端的运行。只要后台对应用程序对应的进程名设置了黑名单，则不管终端用户如何操作，只要发现该应用程序对应的进程特征就进行阻止处理，这样有效地防止企业内部一些非工作范畴内软件的应用或者病毒、木马程序的运行，即提供了员工工作效率又保证了企业内部网络不被病毒或者木马程序干扰。而对于白名单应用程序或系统程序，则不进行限制。

　　整个功能模块，针对黑名单应用程序对应的进程进行了特征分析并进行安全签名处理，这样保证不会因为进程名称变更而绕开安全控制策略。另外针对一些黑名单设置，则是根据网络系统内部应用程序的活跃程度，通过网络行为或者终端行为分析，而判断该应用程序是否运行?如果是非工作范畴并且是需要限制的软件，则系统管理员就会把该应用程序对应的进程设置为黑名单。比如一些网络游戏、占用网络带宽的下载程序或者使用程序，除了对URL地址封堵外，还可以对其客户端运行的进程名称进行限制。

　　外设管理与监控

　　系统提供外设管理与控制功能，主要是解决企业内部资源滥用，文件拷贝、打印、刻录等信息泄密问题;同时通过对外设限制，防止内部网络因为外部存储介质的使用而感染病毒，避免网络的瘫痪;

　　系统可以对USB端口、软驱、光驱等存储设备进行限制，限制功能支持“禁止和启用”，对USB存储设备限制外，但是仍然可以保证USB接口的鼠标、键盘的使用;

　　系统还可以对串口、并口、红外接口、1394接口等进行“禁止和启用”限制。

　　系统支持单机端口设置限制和组内所有计算机的端口设置限制，系统初始化后，不对任何计算机端口进行限制，当管理员设置策略后，则限制策略生效。

　　系统可以满足，即设即生效的能力，当后台管理系统对某一台或某一组计算机进行端口设置，设置完成了，终端安全防护立即生效。

　　网络控制

　　系统支持网络应用控制、站点控制、黑白名单控制;系统配置支持全局设置和自定义方式;对网络控制支持禁止和启用策略;系统提供增加、删除、修改、查找等基本操作功能。

　　网络应用控制支持网页访问、加密网页访问、文件传输、发送邮件、接收邮件、远程登录、远程控制、端口控制、即时通讯、网络游戏、股票财经、P2P下载、文件下载;主要对给定的控制项进行禁止和允许设置;针对一些内容项可以由管理员自定义增加或删除。

　　站点访问，系统支持站点分类访问控制，同时也提供自定义站点设置，用户可以手工增加一些站点，然后对站点进行黑白名单设置。

　　黑白名单，主要是针对部门及机器进行设置，可以设置IP段设置，也可以对单个IP设置，同时支持基于工作组的机器设置，通过设置黑白名单来限制网络访问行为。

　　网络审计

　　系统提供上网用户行为审计，行为审计主要对网页访问、文件传输、邮件收发(含Webmail页面、客户端方式)、P2P下载、网络游戏、股票、远程登录、远程控制、即时通讯(如QQ、MSN、雅虎通、飞信等)、视频等网络活动行为进行详细记录，然后根据客户端记录的日志，在管理中心进行分析并获得审计结果。日志可以详细的记录使用者、所在工作组、访问时间、源IP地址、源端口、源MAC地址、目的IP地址、目的端口、访问类型、访问地址、标识、通讯内容等关键数据。

　　同时系统还对传输的文件内容进行分析和检测，实现信息审核机制，对于设定的敏感信息、关键字或词进行监控，一经发现，则系统报警告知管理进行策略管理(阻止或记录等);通过内容检测机制，有效地降低企业信息泄漏事故的发生，同时也是避免因为上网散布不良言论或者发动言论而造成法律惩罚，从而给企业带来不良影响。

　　报警功能

　　报警内容设置，可以配置敏感信息、关键字、系统违规、终端违规和不合法等内容。

　　系统报警机制，可以提供报警方式、报警级别、报警处理等功能;其中报警方式包含邮件、短信、弹出窗口;报警级别包含严重、一般、中等;报警处理包含阻止、记录但不阻止。

　　后台管理控制中心提供报警设置页面，帮助您完成邮件服务器设置和短信中心设置，从而实现报警功能。

　　报警功能与其它所有功能模块互动，完成系统、终端、网络行为的报警任务，比如当该系统有异常事后，则系统通过报警通知管理员，终端有异常行为或者操作行为而触动报警开关，则报警启动而通知管理员，网络行为也是根据报警策略，严格监控上网用户行为活动，一旦出现异常而触动报警开关，则后台通过设置的报警方式通知管理员。

　　数据分析

　　提供趋势分析、虚拟身份分析、实时分析等功能。每一个分析项提供条件分析和图形展示;可以根据某一个控制项、某段时间等条件信息进行分析当前的网络行为状况和终端安全应用使用情况，然后以图形的方式展示于屏幕上。

　　实时分析，主要对终端计算机和上网行为活动进行实时跟踪，及时了解当前整个网络状态即安全程度，通过实时分析，可以随时掌握企业内部终端安全及上网行为活动行为监控。比如在线人员、机器、访问资源、什么时段做了那些，可以根据部门、机器组、网络活动类型、终端资源等进行实时查询和检查。

　　趋势分析，主要是提供某段时间、某一项网络控制和网络行为的活动状态，管理通过该趋势分析获得当前企业内部网络活动，通过不同时段的查询和比对，从而可以清晰的了解到该企业内部的上网行为活动;系统也可以提供基于某个人(机器)或者某个工作组进行趋势分析，可以提供按照天、月、时间段方式完成网络行为活动趋势分析。管理员根据分析统计结果可实现安全风险评估，为下一阶段安全防护与管理提供依据。

　　虚拟身份分析，主要提供一些网络账户的统计功能，比如BBS论坛账户、QQ账户、MSN账户等等，从而了解到整个网络环境下的虚拟账户应用情况，通过后台实名账户关联，而最终了解到虚拟账户与实名账户的对应关系，可以根据虚拟账户类型、证件类型、证件号、卡号、虚拟身份特征、用户姓名等条件进行精确、模糊查询功能。

　　日志管理

　　日志收集。通过客户端程序记录所有终端用户操作和行为日志;

　　日志上传。日志以加密的格式传送到后台服务器，并以加密形式存储，存储时间可以达到60天或者用户自定义的周期;

　　日志查询、统计;系统提供日志类型、时间等条件查询;可以对不同类型、所有日志进行统计与分析;

　　日志报表，可以根据日志类型和设定条件形成日志报表;

　　日志备份，系统支持日志备份、导出功能。

　　角色管理

　　为了保证系统的安全，系统区分系统管理员、安全管理员、安全审计管理员，不同管理员根据角色不同具有该系统的不同管理权限;

　　系统管理员可进行系统配置和系统维护;

　　安全管理员，主要是针对安全控制和监控任务进行管理和操作。对用户、机器进行授权等管理动作，最终形成安全访问控制列表和安全级别检查等列表。

　　安全审计管理员，主要是对日志进行审计，实施系统的审计跟踪管理。

　　系统管理

　　系统维护，实现系统重启、关机、注销等操作。

　　系统配置管理，对系统参数、时间资源、用户、机器等资源进行设置与配置。

　　系统升级管理，主要是解决系统升级、补丁更新、配置导入和导出工作。

　　系统安全设置，比如管理员密码修改、权限分配等操作。

　　网络诊断，通过系统工具帮助管理员实现网络故障诊断。

　　产品特色

　　多种身份认证方式，满足不同场景下灵活选择

　　系统提供基于用户名和密码的认证授权，采用基于IP地址统一认证管理模式，节省了用户投资的同时极大的方便了管理员对终端用户账户进行统一的管理和配置，很大程度上降低了支持和维护的成本。同时，提供基于Agent客户端的认证方式和刷卡认证，灵活的满足了个人计算机专用终端、公共计算机终端的安全认证和管理需求。

　　实名认证，使事后取证更加客观真实

　　在企业中部署了该系统后，终端用户登录计算机、上网访问行为、终端操作等均进行实名记录，当发生事件后，需要跟踪取证的时候，可以根据日志中实名信息获得该用户的上网行为或终端操作违规行为，从而快速界定责任人和处理违规事件。

　　基于IP地址的网络访问控制，保障企业核心业务系统安全

　　通过对企业内部终端计算机IP地址管控，严格控制企业员工、外方客户和合作伙伴等外带设备接入内网而进行资源访问，保障企业核心业务系统的安全。

　　强大的终端监控功能，满足企业对终端安全管控需求

　　提供终端用户的登录、桌面及屏幕、应用程序运行(即进程)、设备与端口、上网行为活动等进行实时监控，有效地防范终端信息安全，违规信息即时报警，随时通知管理员获得每一个终端的安全风险威胁，从而制定合规的管控策略。

　　灵活可配的安全策略管理，适应不同企业的安全管理政策

　　基于模板的动态策略管理方式，配置灵活，扩展方便，不同的用户、不同的部门、不同的时间可应用不同的安全策略;

　　安全策略即可生效机制，满足了安全管控时效性需要

　　系统采用了安全策略配置即可生效机制，即在管理控制端设置策略后，即可下发到终端计算机系统上，并且无需启动计算机就可立即生效，方便了安全管理部署，同时也不会因为内安全策略的变动而中断当前用户操作，从而满足管理的高效性。

　　强大的系统自我保护能力，降低了系统安全风险

　　系统管理员采用“三员原则”，互相监督作用，从而保证了整个系统的安全;

　　系统采用了管理主机认证授权机制，即只有符合授权的管理主机才可以登录管理系统，否则拒绝登录;从而防止了非法主机进入管理系统;

　　采用了系统防爆破机制，即通过管理员登录密码设置尝试次数，如果尝试次数超过设定，则管理系统系统锁定，并在一定时间内拒绝任何管理员服务。

　　使用方便，易学易用，零学习成本

　　系统分为管理平台和客户端应用平台，管理平台主要针对IT信息管理员使用，学习时间短，上手容易。每一个功能模块独立化操作，保证了配置、调试简单、易学;客户端平台满足普通终端用户使用，产品功能基本不改变用户习惯，实现了透明操作方式。

　　管理简单，系统安全可靠

　　系统采用基于HTTP协议的WEB管理平台，平台简单、易学，使系统管理员能快速的按照向导方式进行配置和管理系统，可短时间内完成管理和控制项目。

　　系统采用强身份认证、登录系统防爆破、管理主机IP地址限制等方式，从系统的登录入口进行严格安全控制，保证登录系统身份的有效性和安全性;

　　系统提供备份与还原机制，可以对系统配置、数据库进行备份，当系统发生故障时可以快速恢复。为了保证服务器时间的正确性，系统还提供时间校验功能，可以通过配置时钟系统实现服务器时间校验功能。

　　系统提供强大的日志系统，可以根据日志判断系统的异常情况，进而进行维护。

　　系统为了保证安全，采用了管理员“三权分立”机制，形成系统管理员、安全管理员、安全审计管理员的互相监督和自我审计。

　　典型部署

　　部署方式一般有两种，即集中部署和综合部署。

　　集中部署的情况下，系统采用了终端程序获取数据，服务器接收数据并进行分析设计结构，则部署方式无任何限制，只要安装了服务器，并保证客户端程序与服务器通讯即可。具体如下：

 
图一 集中部署

　　综合部署的情况下，企业内部一些设备或者临时出差人员设备的接入，无法安装信盾终端安全管理系统客户端程序，但是企业主又希望能对内部网络实现控制和上网活动行为监控，则可以采用任天行网络安全管理系统和信盾终端安全管理系统结合来解决此问题，具体如下：

 
图二 综合部署