❖ 管理员的系统管理工具 ❖通过安全认证建立与防水墙服务器的连接 ❖实现策略的制定下发以及数据的审计管理
四、系统功能
功能概述
覆盖了终端安全的整个生命周期
终端用户管理 用户行为管理 终端准入(健康检查) 终端策略管理 终端的数据管理 补丁管理 软件分发 个人防火墙 远程维护 资产管理 性能监控 ……
计算机安全损失
5%
12% 14% 16%
42%
[ 美国 ]
85%
0
20%
40%
60%
80%
100%
信息来源 : CSI/FBI 2005 Computer Crime & Security Survey
结论：在全部的安全事件中，信息外泄这样的内部安全威胁占85%
根据美国CSI/FBI Computer Crime and Security Survey，在计算机 安全事件中信息泄露造成的经济损失连续5年排在第一位,同时中 国的CNCERT也作了相关调查，结论基本一致。
Window2000 终端用户
windows2003 终端用户
Window XP 终端用户
统计报表
自定义报表
OFFICE 终端用户
网络进程控制
对主机的网络服务和网络连接进行管理，控制非授权或禁止的网络服
务和网络连接，实现黑客和病毒“进不来、出不去”。
一、禁止未授权网络进程访问网络，黑、白名单控制方式有：
CDROM与CDRW 辅助硬盘
NETBIOS
BBS/WEBMAIL
非法外联，MODEM
USB SCSI 串行总线 并行总线 红外接口
PCMCIA 火线1394 无线网卡 蓝牙接口 自定义接口
本地打印机 网络打印机 虚拟打印机
文件安全柜 数据强制加密
网络层失泄密
IP地址控制 TCP端口控制
只开放白名单 只开放白名单
远程管理
通过远程管理的方式对特定的系统资源进行控制，维护远程计算机: 系统信息,硬件、驱动信息，系统进程、CPU、内存状态,网络连接, 用户和组,服务信息,程序窗口,数据共享,安装程序,硬盘信息,系统 日志,实时截屏,会话信息,鼠标键盘监控。
管理员
Internet
关闭端口 停止服务 查杀进程 关闭共享
CD-R/RW E-Mail / Web-Mail / Web-HDD HDD theft FD / ZIP / MO JAZZ/USB/1394 Serial /Parallel Flash Device / P2P/ FTP
防止内部信息 泄漏
Waterbox
(防水墙)
二、解决方案
安全防护模型--PDR
❖……
企业面临的问题
如何保证关键数据不被木马、摆渡病毒窃取。 如何发现终端设备的系统漏洞并自动分发补丁。 如何防范移动电脑和存储设备随意接入内网。 如何防范内网设备非法外联。 如何管理终端资产，保障网络设备正常运行。 如何在全网制订统一的安全策略。 如何及时发现网络中占用带宽最大的终端。 如何排查异常终端的运行。 如何防范内部涉密重要信息的泄露。
② 加密数据，只能本小组查看
③ 加密数据，只能本安全域查
看
5.自由使用，带出文件记录日志
可选项为是否备份文件。
IDS
(入侵检测系统)
Firewall
Router(防火墙)
安全解决方案
Firewall : 阻止外部攻击的安全系统 (象一扇门) IDS : 阻止外部智能攻击 ( 象一台安全摄象机 ) 病毒防护: 计算机病毒疫苗 WaterBox : 站在用户身边的保密员 ……
内部信息安全漏洞
病毒防护
Printing Paper
序号 计算机名
病毒软件名称 安装时间 病毒库版本 备注
1
SECPATRON 瑞星2005
2
COMPUTOR
NO
3
WATERBOX
毒霸2006
20050201 060801
No
N/A
N/A
No
20050201 060910
No
4
PROGRAMTEAM Norton 9.0
20050201 060321
不需要更换现有的交换机 可以方便自定义策略
支持802.1x，不需要增添 任何软件
用户身份认证
1、登录系统身份认证，采用与格尔USBKEY相结合的认证方式，实现双 因子认证提高系统登录的安全性。 2、登录帐户权限监视 ，统一配置登录帐户的用户权限，有效地管理 Windows用户。
登录系统身份认证
登录帐户权限监视
终端安全管理
用 户 登 录 身 份 认 证
PWR1 FAN HA VPN PCMCIA
STAT US ALARM
PWR2 TEMP FW SESSION SHAPE
PCMCIA
LINK/ ACTIV ITY
1 UNTRUST
CONSOLE
LINK/ ACTIV ITY
2 DMZ
MODEM
10/100 MGT
1、禁止所有 2、开放所有 3、禁止黑名单 4、开放白名单
二、网络访问进程的端口绑定，包括本地监听端口和远程连接端口。 三、动态监测网络连接状况
网络进程连出
进程名黑白名单检测
网络监听进程
进程名黑白名单检测
绑定端口黑白名单检测
绑定端口黑白名单检测
动态监测网络并记录日志
动态监测网络并记录日志
安全操作管理
业务目标
• 内网终端安全一体化、平台化的需求越来越强 烈，迫切需要“一体化”（ “大、一、统” ）的安全 解决方案，该产品的主要目标：
• 一、整合各种内网终端技术； • 二、清理桌面各种冗余的安全组件； • 三、统一内网终端安全管理； • 四、提供安全、高效、可信的终端运行平台。
Internet
HA-1
LI NK /ACTI VIT Y
3 TRUST
4 EMPTY
HA-2
TOP = LINK/ACTIVIT Y BOTT OM = 10/100 Mbps
13 24
终端准入（健康性检查）
病毒软件监测 系统补丁管理
网 络 进 程 访 问 控 制
安全策略管理
安全操作管理
终端入网健康检查
支持VPN、局域网、 无线网
？ ❖禁止存有重要数据的电脑上网
❖禁止使用移动存储设备（如U盘） ❖拆除光驱、软驱
有没有更好更科学的方法 呢
❖贴封条，定期检查
❖……
❖人为控制，监督管理的安全管理方式
❖人工填写日志
❖相对松散的管理机制
❖……
❖风险和问题
❖存在安全隐患--依靠员工的责任心，无法自觉杜绝失泄密，
❖工作效率下降--本方案带来使用上的不便，
只禁止黑名单 只禁止黑名单
条件访问
条件访问
黑名单
黑名单
白名单
白名单
UDP端口控制 ICMP控制 IP/PORT
只开放白名单
只开放白名单 只开放白名单
只禁止黑名单
只禁止黑名单 只禁止黑名单
条件访问
条件访问
条件访问
黑名单
黑名单
黑名单
白名单
白名单
白名单
应用层失泄密
SMTP控制 HTTP控制 TELNET控制 FTP控制 WEBMAIL控制
运行监控
及时报告客户端的运行情况和资源使用情况，为管理员的远程监控提供帮助. 系统资源占用情况监控，包括CPU、MEM、硬盘占用情况等，超出门限值告 警； 监测网络流量情况，包括静态获取终端主机网络实时流量；实时监控终端 主机网络流量，当前终端主机网络实时流量超过了报警阀值设定的值，就向 服务器报警； 网络共享文件夹监控，静态获取终端主机共享信息；管理员能够远程取消 客户端的共享文件夹；对共享文件夹的增加、删除等变化进行监控。 监控计算机名称、IP地址、系统服务、用户和组的变化情况； 获取系统日志，跟踪系统运行状况。
一体化平台通过“安全管理中心”、“应急响应中心”、“统计分析中心 ”推动“防护、检测、响应”螺旋上升，达到持续改进的目的。
法规依据-保密规范
根据国家关于涉密系统 安全管理的相关标准， 综合平衡考虑系统安全 要求、系统所面临安全 风险和实施安全保护措 施的成本，进行安全保 护
加强 领导
积极防御 综合防范
远程协助管理员
远程帮助安全通道
请升级病毒库
211.157.248.123
192.168.0.11
故障终端
用户行为管理
网络控制
存储介质
外设接口
打印机 文件安全服务
网络层控制，
软盘
IP/TCP/UDP/ICMP以 及PORT
移动存储：
U盘、移动硬盘
应用层控制：
MP3、数码相机
FTP
存储卡
HTTP SMTP TELNET
通过程序化的软件自动分发方式，简化企业大规模软件部署的复杂度， 缩短软件部署时间。
资产管理
建立终端主机上的软硬件资产的运行基线； 根据“软硬件黑白名单”，发现非授权的软硬件时告警； 支持自定义的硬件黑名单配置，发现黑名单硬件能够实时阻止黑名 单硬件的启动，“软硬件黑白名单”可配置。 形成企业资产信息报表；
网介 络质 管管 理理
支撑体系
行业 标准
国家 法律
笔密 记级 本管 管理 理
企业 规划
技术 方向
三、产品介绍
平台组成
终端安全管理系统有三部分组成
终端安全管理里系统客户端 UNITIFIED DESKTOP MANAGMENT
终端安全管理里系统服务器 UNITIFIED DESKTOP MANAGMENT
求助计算机