神盾终端桌面管理系统

Chinasec（安元）桌面管理系统产品概述Chinasec桌面管理系统对内网计算机终端进行集中的资源管理，并提供详细的审计记录，减少单位内网的安全漏洞和风险，提高了管理效率。

系统包括实时监控、远程控制、应用程序控制、IP端口控制管理、网址访问控制等功能。

所有监控策略，根据客户端的状态，可以分为离线策略和在线策略两种。

在线策略是指客户端计算机在系统服务器的实时管理网络中，能实时接收服务器的管理，比如接入单位内部网络的时候，自动启用在线策略。

离线策略则是指客户端计算机不能接入服务器所在的网络的时候，比如笔记本电脑出差或者带回家的时候，这时候客户端自动执行离线策略。

基于这两种策略模式，管理员可以根据用户计算机的不同环境设置不同的用户使用策略，比如在单位（在线）设置宽松的策略，离开单位（离线）设置严格的策略。

产品功能•主机监控与审计对主机的软件、硬件配置，系统设置，运行的软件，文件操作、上网操作等各种信息和行为进行监控与审计。

•非授权外连管理对双网卡、WIFI、3G、蓝牙、红外等违规连接方式进行监测、审计和阻断，且可以对审计和控制策略设置适用场景，确保在安全的基础上实现灵活办公。

•上网行为控制与审计对终端用户访问网络的行为进行控制，包括上网、发帖、上传文件等，均可控制与审计；可按网站类型进行分类控制。

•即时通讯管理对飞信、MSN、QQ等即时通讯工具进行管控，包含收发信息、收发文件、收发图片的审计和阻止；审计信息可按聊天对话框做场景式还原。

•软件分发可实现用户自助按需进行软件安装或者管理员进行远程推送安装。

支持中继分发、时段控制、流量控制功能。

•打印管理对打印动作、打印内容的审计；还可灵活的实现打印机使用权绑定。

•文件操作行为管理对光驱（含刻录机）、外部存储介质、软驱等外设的文件进出的行为进行审计，并且可自动备份指定条件的文件。

•敏感字审计对本地文件进行自动扫描、发现并自动上传符合策略的文件到文件服务器。

360网神终端安全管理系统解决方案V1.0.........................................................................................................................................1.1安全趋势 (8)1.2项目背景 (9)1.3面临挑战 (10)1.3.1原有终端安全建设集成度弱 (10)1.3.2缺乏防御各类型威胁的能力 (11)1.3.3缺少统一安全运维处置能力 (13)1.3.4无法对身份资产外设全管理 (14)1.3.5欠缺对高级威胁的有效识别 (15)1.3.6整体安全决策力未形成闭环 (16)...............................................................................................................................2.1安全技术需求分析 (17)2.1.1一体化的集中安全管理需求 (17)2.1.2大量恶意威胁积极防护需求 (18)2.1.3统一终端安全运维合规需求 (19)2.1.4身份准入资产设备管理需求 (21)2.1.5高级可持续性威胁处置需求 (23)2.1.6实时安全数据分析决策需求 (23)2.2安全运营需求分析 (24)2.2.1掌握信息资产需求 (24)2.2.2日常安全运营需求 (24)2.2.3重要时期安全保障需求 (25)2.2.4专家安全运营支撑需求 (25)..................................................................................................................3.1方案设计依据 (26)3.2方案设计原则 (27)3.2.1整体性原则 (27)3.2.2统一性原则 (27)3.2.3一致性原则 (27)3.2.4适应性原则 (28)3.3方案设计思路 (28)3.3.1风险分析与合规要求相结合 (28)3.3.2统一体系化的安全保障框架 (29)3.3.3以积极防御为主的设计思路 (29)......................................................................................................4.1总体设计架构 (32)4.2安全技术体系 (33)4.3安全管理体系 (34)4.4安全运营体系 (34)......................................................................................................................5.1一体化集中安全管理平台 (35)5.1.1针对高级威胁有效防护 (35)5.1.2全网终端安全态势监控 (35)5.1.3建立终端立体防护体系 (35)5.1.4终端安全，统一管理 (36)5.2终端病毒与恶意代码防范 (36)5.2.1防病毒功能架构与组成 (36)5.2.2双擎双库的病毒特征检测 (37)5.2.3奇安信云查杀检测引擎 (38)5.2.4恶意URL检测引擎 (39)5.2.6样本黑白名单管理 (42)5.2.7私有云平台（隔离网环境） (42)5.2.8特点与优势 (43)5.3终端综合评估系统 (45)5.3.1配置脆弱评估 (45)5.3.2数据价值评估 (45)5.3.3沦陷迹象评估 (46)5.4业务服务器安全加固 (46)5.5XP系统遁甲安全加固 (48)5.5.1系统加固 (49)5.5.2热补丁修复 (49)5.5.3危险应用隔离 (50)5.5.4“非白即黑”策略 (51)5.6全网终端漏洞统一管理 (51)5.6.1国内高速补丁下载源 (52)5.6.2安全的补丁回退机制 (52)5.6.3补丁安装智能化 (52)5.6.4补丁强制安装 (52)5.6.5特点与优势 (53)5.7软件供应链合规管理 (55)5.7.1软件生命周期管理 (55)5.7.2软件安全鉴定 (55)5.7.3云中心软件管理 (56)5.7.4软件应用分发 (56)5.7.5系统架构与组成 (57)5.8终端安全管控措施 (59)5.8.1流量监控 (59)5.8.2违规外联 (60)5.8.3应用程序安全 (60)5.8.4网络安全 (60)5.8.5远程控制 (60)5.8.6外设管理 (61)5.8.7桌面加固 (61)5.8.8屏幕水印 (63)5.8.9客户端强制自保护 (63)5.9终端信息审计管理 (63)5.9.1安全策略审计 (64)5.9.2文件操作审计 (64)5.9.3文件打印审计 (64)5.9.4外设使用审计 (65)5.9.5邮件记录审计 (65)5.9.6账号使用审计 (65)5.9.7安全U盘审计 (65)5.9.8文件追踪审计（受控） (65)5.10身份认证合规准入 (66)5.10.1系统架构组成 (66)5.10.2主机身份识别 (67)5.10.3802.1x接入认证 (67)5.10.4Web Portal认证 (68)5.10.5入网合规检查 (68)5.11多网切换隔离管控 (74)5.12软硬件资产登记管理 (75)5.12.1软硬件信息收集 (75)5.12.2自助登记 (75)5.12.3Ldap联动 (76)5.12.4特点与优势 (76)5.13移动存储介质管理 (76)5.13.1移动存储介质注册 (77)5.13.2设备授权 (77)5.13.3挂失管理 (78)5.13.4外出管理 (78)5.13.5U盘漫游 (78)5.13.6设备例外 (79)5.13.7安全U盘（硬件） (79)5.13.8特点与优势 (79)5.14终端威胁检测与响应系统 (80)5.14.1终端大数据采集 (80)5.14.2主动式威胁检测 (81)5.14.3终端威胁追踪 (81)5.14.4威胁应急响应 (81)5.14.5安全状况全面评估 (81)5.14.6特点与优势 (81)5.15可视化安全数据分析与决策 (82)5.15.1系统架构与组成 (83)5.15.2安全可视化系统功能 (84)5.16一体化平台典型部署 (88)5.16.1互联网络部署 (88)5.16.2隔离网络部署 (89)5.16.3大型网级联部署 (90)5.16.4强制合规（NAC）旁路部署 (92)5.16.5强制合规（NAC）802.1x部署 (93)5.17终端安全风险治理思路 (95)......................................................................................................6.1安全运营总体思路 (96)6.2安全运营服务内容 (96)6.2.1终端安全运营服务（基础版）—工作内容 (97)6.2.2终端安全运营服务（基础版）—交付物 (99).................................................................................................................... 7.1售后服务组织机构—客户服务中心 (100)7.2售后服务内容 (102)7.3售后服务手段 (102)7.4售后服务流程 (103)7.5顾客档案管理—服务管理系统 (106)7.6服务响应时间 (107)............................................................................................................................ 8.1终端安全一体化.. (108)8.2病毒防御多维化 (108)8.3安全管控智能化 (108)8.4全面满足合规要求 (109)..................................................................................................................... 9.1完善的终端安全防御体系. (110)9.2强大的终端安全管理能力 (111)9.3良好的用户体验与易用性 (111)1.概述1.1安全趋势当前全球网络安全形势严峻，网络安全面临着各种新的挑战，网络攻击层出不穷，且攻击来源、攻击目的、攻击方法以及攻击规模都在发生着巨大的变化。

针对系统策略技术资料1、设备控制1.2 设置设备控制策略&.点击添加按钮，出现如下图片：名称可以随便取。

&.设备选项点击设备后面的按钮，出现如下图片：选择设备里面包含三种：存储设备、外设、其它。

可单选也可全选。

点击确定，完成设备的选择。

&.时间选项，分为全天和自定义两个选项。

全天：自定义：时间可以自定义选择。

白色为选中的，蓝色为没有选中。

如下图：星期一的8点到12点，13点到17点。

&. 操作选项：包含允许、禁用、不操作、忽略。

&.到期时间选项：包含时间始终有效、时间可以自定义。

2、网络控制网络控制的设置：1．点击添加按钮2．名称选项可以自己取。

3．网络协议选项有TCP和UDP两个选项。

4．通讯方向：分为三种双向、接收、发送。

双向：双向接收发送网络包。

接收：接收网络包。

发送：发送网络包。

5．端口：本地端口范围：就是本地可以对外提供服务或与外界连接的接口.目标地址：针对于局域网内的电脑，可以对间一IP也可以自定义IP范围。

目标端口范围：就是与本地端口相对的的所有可以与外界相连的非本地机器或服务器的连接端口.端口范围一般是从事1--65535。

6．时间和操作：时间可以选择全天也可以自定义单独设置。

7．操作：包含启用、禁用、忽略三个选项。

8．到期时间：也是可以自定义。

3、流量控制名称：自定义名称。

程序名：软件里面自带了比较常用的下载工具；如果软件里面没有，可以选择，包含电脑里所有的程序。

上传流量：限制上传文件的流量大小。

下载流量：限制下载文件的流量大小。

时间：规则控制的时间。

可以是全天也可以是自定义某个时间表段。

操作：允许；禁止；忽略。

到期时间：设置的规则到期的时间。

4、网站策略名称：自定义名称。

网站名称：访问网站的地址。

可以是网站域名的全称（如下左图），设置好以后，用户是不能访问这个网站地址。

也可以中间写关键字，前后用通配符*代替(如下右图)，设置好以后，只要是地址里面含有baidu关键字的用户是都不能访问的。

神盾系列巡更机使用手册（巡更巡检管理系统）H-5B/H8/T1/T5RFID LI-ION目录一、巡更巡检管理系统组成二、产品功能及技术参数三、设备安装四、软件使用及说明五、常见故障处理六、客户服务及技术服务承诺一．巡更巡检管理系统组成神盾巡更巡检系统由以下几部分组成1、管理电脑（*）2、巡更机（神盾H-5B/H-8/T1/T5）3、巡逻点（普通/夜光/钉子/玻璃）（*）4、人员卡（适合多人使用一台设备）（*）5、智能巡检管理软件6、锂电池充电器7、锂电池8、皮套9、USB通讯数据线注* 为选配件二，主要功能及技术参数1.感应巡更机提示方式：震动和信号指示灯通讯方式：高速USB通讯使用电池：2900MA 3.7V可充电锂电池，一次充电可读点二十万次（限H-5B）存储容量：30000条巡逻记录使用寿命：约20年感应距离：3-5 CM外管材质：航天级铝材6061-T6軍工级阳极氧化，（限H-5B/T1）灯炮参数：大功率3W LED （限/T1/T5）照射距离：200米（限/T1/T5）灯光功能：三档（强光，弱光，SOS求救）（限/T1/T5）安全电路：读点功耗低至0.001W，防反接电路，可防电池反接，更安全外观尺寸：H-5B 16.8*34cm/H-8 13.2*6*3.2cm/T1 17.5*3.2cm/T5 18.5*4.3cm防水等级：IPX-8 水中型长时间浸没在一定压力的水中照样能使用2、巡更点集成电路芯片密封在外壳内，防水防腐蚀，坚固耐用，可在各种恶劣环境中使用。

每个感应器编号不重码，无需供电。

普通型为白天和照明效果佳的巡逻地点使用，夜光型适合晚上黑暗无光巡逻地点。

识读卡次数：〉35万次寿命：一体式〉20年；卡片式〉10年环境温度：-40℃∽+85℃尺寸：直径8.5CM，，厚度：1CM重量：50g还有其他异形卡，如钉子点，玻璃点及夜光标签可选。

3、电脑通讯电缆采用高速USB数据通讯线，使用简单方便，下载数据速度快4、电池及充电器锂电池购买产品时所带的电池为不饱和状态，因此需要充满后再使用。

ManageEngine终端安全管理系统系统概述：ManageEngine Desktop Central是来自卓豪ManageEngine的企业级PC桌面终端安全及移动设备管理(MDM)系统，可对桌面机以及移动设备管理的整个生命周期提供完全的支持，提供软件分发、补丁管理、资产管理、系统配置、远程控制、USB外设管理、移动设备及应用管理等功能模块，帮助IT管理员集中远程管理大量的Windows、Mac计算机PC和iOS/Android/Windows Phone移动设备。

桌面终端安全管理功能：软件分发从系统中央控制台，通过远程的方式，为服务器和PC机部署软件。

支持批量作业功能，缩短软件部署周期。

同时可配置部署计划，在非工作时间自动执行软件部署任务，避免影响正常业务。

补丁管理自动扫描和发现系统漏洞，连接系统漏洞补丁库，下载并安装补丁。

有效防止因各种系统漏洞而引发的攻击，保障企业网络安全。

资产管理自动发现软硬件资产，建立完整的IT资产清单。

通过定期扫描网络和实时告警，监测资产的变动、使用频率等。

灵活个性化的资产报表，清晰呈现企业的资产信息。

USB外设管理可根据用户角色和部门，控制USB设备的使用，防止未经授权的上传和下载，帮助管理员保障网络安全。

Windows配置管理预置超过25种Windows配置选项，帮助管理员配置Windows应用程序、系统、桌面和安全策略，满足日常的管理需求。

远程协助方便地连接和控制远程计算机，协助远程用户排除故障，如对计算机进行配置、软件安装程序、修改等工作。

系统工具内建丰富的Windows系统管理工具，如磁盘碎片整理、磁盘检查和磁盘清理、远程开机/关机等，以保持计算机的优越性能。

与帮助台系统集成可与卓豪ManageEngine帮助台系统(ServicesDesk Plus)无缝集成。

终端用户可直接提交请求工单至帮助台，进入IT服务流程。

帮助企业建立完善的IT服务管理体系。

版权声明本文件是由济南亚东软件科技有限公司免费提供，其内容专供用于评估济南亚东软件科技有限公司为其提供产品及服务的能力，仅供参考。

本文件以及所提及的数据、图标、名称、所有权皆属于济南亚东软件科技有限公司所有。

未得到济南亚东软件科技有限公司的书面认可，任何个人或组织均不得以任何手段与形式对本方案内容进行复制、转印和传播。

本文件中的内容，济南亚东软件科技有限公司拥有最终解释权。

1、系统架构服务端程序服务端用于存储系统的各项数据，并处理来自于客户端的各项验证，避免客户端可以随意安装和使用。

服务端程序需要运行在不关机的服务器电脑上。

用于管理密钥及各种策略；用于存储终端的屏幕录像数据、实时程序窗口切换记录、文件操作记录聊天内容等。

服务端程序支持扩容，支持海量数据存储。

控制台程序控制台通过网络与系统管理中心联接,对系统管理中心进行在线配置和管理。

只有持有管理员密钥的用户才能登录控制台。

控制台程序运行在管理员电脑上。

是系统的管理配置界面。

主要功能包括：实时监视终端操作行为；配置终端策略；查看历史记录；查询统计信息。

客户端程序客户端程序可以有两种方法：有界面提示的安装和无界面提示的安装。

安装成功以后，终端会随操作系统的启动而自动启动，每次启动时，终端会从服务器获取最新的安全策略及系统密钥，所有策略范围内的文件都会被自动加密，并且在使用过程中被全程监控，并生成操作日志，留待日志审计员事后追踪责任人。

2、模块介绍系统设置神盾系统配置是为系统管理员配置系统的运行所遵循的规则以及产品参数的所提供的功能，根据本单位使用内网安全要求，通过简单的设置，可构建一套“按需定制”的独特解决方案。

生成客户端:用于生成客户端安装程序，包括静默安装和标准安装两种。

升级客户端：管理的客户端多了对客户端软件升级会非常不方便，使用此功能可以方便的对客户端软件进行升级，而不用一台一台的去升级。

系统账户：本功能用于编辑系统管理员账户，可以添加、删除、修改账户，可以设置账户的类型、管理的成员、可以使用的功能组。