中软主机监控与审计系统8.0目录第一章系统概述 (1)第二章体系结构和运行环境 (3)2.1系统体系结构 (3)2.2推荐硬件需求 (4)2.3推荐软件需求 (4)第三章系统功能 (6)3.1终端安全管理 (8)3.1.1 终端健康检查 (8)3.1.2 安全策略管理 (8)3.1.3 用户身份认证 (8)3.1.4 网络进程管理 (9)3.1.5 防病毒软件监测 (9)3.1.6 补丁分发管理 (10)3.1.7文件安全删除 (10)3.2终端运维管理 (11)3.2.1软件分发管理 (11)3.2.2 软硬件资产管理 (11)3.2.3 系统运行状况监控 (12)3.2.4 远程管理 (13)3.3用户行为管理 (14)3.3.1 网络行为管理 (14)3.3.2 非法外联控制 (14)3.3.3 存储介质管理 (14)3.3.4 打印机管理 (15)3.3.5 外设接口管理 (15)3.4数据安全管理 (16)3.4.1 我的加密文件夹 (16)3.4.2 硬盘保护区 (16)3.4.3 文件安全分发 (16)3.4.4 安全文档管理 (16)3.4.5可信移动存储介质管理 (17)3.4.6 基于密级标识的文档安全管理 (18)3.5终端接入管理 (19)3.5.1终端接入认证 (19)3.5.2 内网安全扫描 (19)3.6系统管理与审计 (19)3.6.1 组织结构管理 (19)3.6.2 统计审计分析 (20)3.6.3分级报警管理 (20)3.6.4 响应与知识库管理 (20)3.6.5 服务器数据存储空间管理 (20)3.6.6 系统升级管理 (20)3.6.7 B/S管理功能支持 (21)3.6.7系统参数设置 (21)3.7文档外发管理 (21)3.7.1外发包的制作方式 (21)3.7.2 外发包的使用方式 (22)3.7.3 外发包的权限控制 (22)3.7.4日志信息的查看 (23)第四章系统特点 (24)4.1全面的终端防护能力 (24)4.2分权分级的管理模式 (24)4.3方便灵活的安全策略 (24)4.4终端安全风险量化管理 (24)4.5周全详细的系统报表 (25)4.6丰富的应急响应知识库 (25)4.7完善的插件式系统架构 (25)4.8方便快捷的安装、卸载和升级 (25)4.9多级部署支持 (26)附件一：名词解释 (27)第一章系统概述随着信息化安全技术的不断发展，各种内网安全管理问题逐步凸现出来。

据IDC调查报告显示超过85%的网络安全威胁来自于内部，其危害程度更是远远超过黑客攻击所造成的损失，而这些威胁绝大部分是内部各种非法和违规的操作行为所造成的。

内网安全问题已经引起了各级单位的广泛重视，随着安全意识的不断增强，安全投入逐步增加，但是内网的安全事件却不断地增多。

分析其原因我们认为主要有以下几个方面：◆有章不循，有规不依，企业内网安全合规性受到挑战。

很多公司明文规定安装操作系统必须打最新的补丁，但是终端用户依然我行我素导致操作系统补丁状况不一，从而给蠕虫病毒、木马程序和黑客软件带来了可乘之机。

同时有些单位购买了防病毒软件，但是终端用户没有按照单位统一部署的要求安装防病毒软件，或者有些终端用户虽然安装了防病毒软件，但是没有及时更新病毒库，导致计算机病毒有机可乘。

对于终端安全管理，公司建立了很多安全制度，但是终端用户不按照公司安全规定要求，将不安全的计算机接入网络，从而引入了内网安全威胁，企业内网的安全合规性受到了严峻的挑战。

◆谋一时，而未谋全局，终端系统被划分为多个独立的信息安全孤岛。

各单位在解决各种内网安全问题上，通常缺乏统一、全面的内网安全解决方案。

按照“头痛医头，脚痛医脚”的内网安全防护加强思路，采购并部署了多款终端安全管理的产品，比如：身份认证、补丁管理、软件分发、病毒防护软件等等。

但是这些终端安全防护软件来自于不同的安全厂商，各种软件之间各自为政，缺乏统一管理、协调工作的机制，最终导致个人桌面系统被划分为一个个独立的信息安全孤岛，因此出现了终端安全管理混乱、内网安全漏洞百出，内网安全事件防不胜防。

◆百花齐放，百家争鸣，终端系统终因难堪负重，系统性能急剧下降。

为了加强终端安全管理，在个人桌面系统上同时安装了不同厂家的终端代理。

每种代理程序都需要实现自我防护、网络通信、运行监控等程序调度机制，需要重复的占用系统有限的CPU、内存等系统资源，导致个人桌面系统运行速度变慢，系统性能急剧下降。

同时，由于不同厂家的软件存在很多功能重叠的部分，而这些重叠部分往往是采用类似技术开发，从而导致不同软件之间频繁发生应用冲突。

治标不治本，本末倒置，软件购买费用增加，系统维护成本成倍增长。

通常终端管理软件大致分为三个组件，即：服务器、控制端、客户端代理。

每种服务器软件都需要独立的数据库和硬件服务器支撑，无形中增加了软件的部署成本。

同时，由于每种软件都有自己的控制台程序，管理员要针对每套系统生成它的控制策略，每套系统的数据审计都是分开的，管理工作非常多，管理员为每天的维护工作疲于奔命，从而导致管理疏忽。

针对以上几种原因，以及中软公司在对企业内网安全管理展开全面调查的基础上，创造性地形成了一套完备的终端安全“一体化”解决方案。

在过去的几年里中软公司一直致力于内网安全的研究，并在国内最早提出了一系列的内网安全管理理论体系和解决方案。

内网失泄密防护软件--中软防水墙系统的推出填补了国内内网安全管理软件的空白，并获得了若干国家专利局的技术专利。

防水墙系统连年获奖，其中在2006年“防水墙”被计算机杂志评为2005年度新名词。

中软公司早在2001年就开始致力于内网失泄密软件的开发，先后向市场推出了中软防水墙系统7.0版本、7.0+版本和7.2版本。

随着内网安全管理的复杂化，中软公司在复用防水墙系统成熟技术的基础上，引入先进的内网安全管理理念和新的内网安全管理技术重新搭建系统体系结构，自主研发了中软主机监控与审计系统8.0（CSS United End-Point Management System,简称UEM8.0）。

该系统是以“木桶原理”为理论依据，以安全策略为驱动，按照PDR安全模型的“保护-检测-响应”工作流程循环检测，同时结合保密规定的“等级防护”指导方针，采用多种安全技术实现了对终端主机全方位、多层次的安全防护。

按照“保护-检测-响应”的工作流程逐步完善终端安全防护策略，并将事件处理方式和处理流程登录到用户知识库，逐步形成内网事故应急响应流程和共享安全解决方案的知识库。

第二章体系结构和运行环境2.1系统体系结构系统分为三个组件：客户端、服务器和控制台，系统采用分布式监控，集中式管理的工作模式。

组件之间采用C/S工作模式，组件的通信是采用HTTP/HTTPS加密传输方式。

支持任意层级的服务器级联，上下级服务器之间采用HTTPS协议进行数据交换。

体系结构如图1 所示。

图 1 系统体系结构图⏹客户端：安装在受保护的终端计算机上，实时监测客户端的用户行为和安全状态，实现客户端安全策略管理。

一旦发现用户的违规行为或计算机的安全状态异常，系统及时向服务器发送告警信息，并执行预定义的应急响应策略。

⏹服务器：安装在专业的数据服务器上，需要数据库的支持。

通过安全认证建立与多个客户端系统的连接，实现客户端策略的存储和下发、日志的收集和存储。

上下级服务器间基于HTTPS进行通信，实现组织结构、告警、日志统计信息等数据的搜集。

⏹ 控制台：人机交互界面，是管理员实现对系统管理的工具。

通过安全认证建立与服务器的信任连接，实现策略的制定下发以及数据的审计和管理。

2.2 推荐硬件需求表格1 系统推荐硬件需求2.3 推荐软件需求表格 2 系统软件需求提示：⏹ 主机监控系统服务器，包括服务器软件和后台支持数据库。

建议在专用主机上安装主机监控系统服务器，并且关闭所有与主机监控系统无关的不必要的服务。

支持操作系统为MS Windows 2003 系列，推荐Advanced Server 版本。

⏹主机监控系统客户端不支持Linux系统，不能在windows双系统下同时安装UEM客户端。

⏹为保证用户正常使用主机监控系统，最好将主机监控系统服务器、控制台和客户端分别运行于独立的系统之上,同时用户安装前应将Windows版本进行升级,安装各自版本最高补丁。

第三章系统功能随着内网终端安全地位的合理化，终端安全管理将进一步沿着整合化、平台化、统一化、基础化的方向发展。

内网终端安全一体化的需求越来越强烈，终端安全产品的形态将逐步发生变化，最后发展为兼顾安全防御与安全管理。

终端安全发展的历史使命终将通过一款“大、一、统”的终端安全产品来实现。

所谓“大”就是该产品功能所涵盖的范围大，它不但要包含网络接入认证、系统身份认证、资产管理、补丁管理、软件分发，还要包涵系统运行监控、用户行为监控等终端软件的所有功能。

所谓“一”就是一个终端代理、一台服务器就可以实现上述所有功能，一个网络管理员就可以全局控制整个内网安全。

所谓“统”就是指对所有的桌面系统应用统一的安全策略，对所有的终端用户采用统一的终端管理策略，对终端产生的日志进行统一的日志分析，为所有管理员提供统一的应急响应知识库。

各功能部件之间协调工作，统一管理，形成一个高效有机的安全代理。

通过统一的桌面管理平台降低系统的复杂度，提高了个人桌面系统的工作性能，降低了用户的维护管理成本。

针对以上终端计算机用户的安全需求，中软公司对政府、军工和高新技术企业的终端计算机管理问题展开了全面的调查，借鉴中软防水墙系统的开发经验，以等级防护和国家关于涉密计算机管理的相关规定为蓝本，创造性地形成了一款主机监控与审计系统，该系统从防护功能方面分为五大部分：终端安全管理、终端运维管理、用户行为管理、数据安全管理、系统身份认证管理，同时辅助这些功能系统提供了监控日志的统计与分析功能和系统运行管理功能。

中软主机监控与审计系统功能体系图具体每项功能特点简要描述如下：终端安全管理：保证安全策略的合规性，保障终端的安全运行环境。

它包括有安全策略管理、终端接入检查、终端出网许可、用户登录计算机的身份认证、网络进程访问控制、防病毒软件监测、系统补丁管理、安全操作管理等涉及主机安全管理、策略合规性管理的功能体系。

终端运维管理：监控远程终端的运行状况，管理内网的信息资产，为管理员的终端维护提供方便快捷的帮助。

它包括有软件分发、资产管理、运行监控、远程管理、远程帮助等终端运行维护管理方面的功能体系。

用户行为管理：规范终端用户信息带出行为，防止企业敏感信息泄露。

它包括有网络失泄密防护、存储介质泄密防护、打印机泄密防护、外设接口泄密防护等敏感信息失泄密防护方面的功能体系。