中软统一终端安全管理系统8.0系统介绍
中软统一终端安全管理系统(UEM)8.0系统介绍
目录第一章系统概述 (1)第二章体系结构和运行环境 (3)2.1系统体系结构 (3)2.2推荐硬件需求 (4)2.3推荐软件需求 (4)第三章系统功能 (6)3.1终端安全管理 (8)3.1.1 终端健康检查 (8)3.1.2 安全策略管理 (8)3.1.3 用户身份认证 (8)3.1.4 网络进程管理 (9)3.1.5 防病毒软件监测 (9)3.1.6 补丁分发管理 (10)3.1.7文件安全删除 (10)3.2终端运维管理 (11)3.2.1软件分发管理 (11)3.2.2 软硬件资产管理 (11)3.2.3 系统运行状况监控 (12)3.2.4 远程管理 (13)3.3用户行为管理 (14)3.3.1 网络行为管理 (14)3.3.2 非法外联控制 (14)3.3.3 存储介质管理 (14)3.3.4 打印机管理 (15)3.3.5 外设接口管理 (15)3.4数据安全管理 (16)3.4.1 我的加密文件夹 (16)3.4.2 硬盘保护区 (16)3.4.3 文件安全分发 (16)3.4.4 安全文档管理 (16)3.4.5可信移动存储介质管理 (17)3.4.6 基于密级标识的文档安全管理 (18)3.5终端接入管理 (19)3.5.1终端接入认证 (19)3.5.2 内网安全扫描 (19)3.6系统管理与审计 (19)3.6.1 组织结构管理 (19)3.6.2 统计审计分析 (20)3.6.3分级报警管理 (20)3.6.4 响应与知识库管理 (20)3.6.5 服务器数据存储空间管理 (20)3.6.6 系统升级管理 (20)3.6.7 B/S管理功能支持 (21)3.6.7系统参数设置 (21)3.7文档外发管理 (21)3.7.1外发包的制作方式 (21)3.7.2 外发包的使用方式 (22)3.7.3 外发包的权限控制 (22)3.7.4日志信息的查看 (23)第四章系统特点 (24)4.1全面的终端防护能力 (24)4.2分权分级的管理模式 (24)4.3方便灵活的安全策略 (24)4.4终端安全风险量化管理 (24)4.5周全详细的系统报表 (25)4.6丰富的应急响应知识库 (25)4.7完善的插件式系统架构 (25)4.8方便快捷的安装、卸载和升级 (25)4.9多级部署支持 (26)附件一:名词解释 (27)第一章系统概述随着信息化安全技术的不断发展,各种内网安全管理问题逐步凸现出来。
360终端安全管理系统
360终端安全管理系统360终端安全管理系统是一款针对企业终端设备安全管理的全面解决方案,它集成了360安全大脑、威胁情报中心、终端安全管理平台等多项安全技术,能够为企业提供全方位的终端安全防护和管理服务。
本文将从系统架构、功能特点、应用场景等方面对360终端安全管理系统进行介绍。
首先,360终端安全管理系统的系统架构包括终端安全管理平台、终端安全代理、安全大脑和威胁情报中心四个主要组成部分。
其中,终端安全管理平台是系统的核心,负责统一管理和监控企业终端设备的安全状态,实现对终端设备的安全策略配置、风险评估和安全事件响应等功能。
终端安全代理则部署在企业终端设备上,负责收集终端设备的安全数据,并将其传输给终端安全管理平台进行分析和处理。
安全大脑和威胁情报中心则提供实时的威胁情报和安全事件响应支持,为终端安全管理平台提供持续更新的安全威胁情报和安全事件响应能力。
其次,360终端安全管理系统具有多项功能特点。
首先,它能够实现对企业终端设备的全面安全管理,包括基础安全配置、漏洞修复、威胁防护、安全监控等多个方面。
其次,系统具有智能化的安全管理能力,能够通过安全大脑分析和识别潜在的安全威胁,并及时做出响应和处理。
再次,系统支持多种终端设备类型,包括PC、移动设备、物联网设备等,能够实现对不同类型终端设备的统一管理。
最后,系统具有灵活的部署方式,支持云端部署和本地部署两种方式,能够满足不同企业的安全管理需求。
最后,360终端安全管理系统适用于各种企业的安全管理场景。
首先,对于大型企业而言,系统能够实现对规模庞大的终端设备进行集中化管理,提高安全管理效率和精度。
其次,对于中小型企业而言,系统提供了简单易用的安全管理界面和功能,能够帮助企业快速建立起完善的终端安全管理体系。
再次,对于行业特定的安全管理需求,系统能够根据不同行业的安全特点和需求,提供定制化的安全管理方案,满足不同行业的安全管理需求。
综上所述,360终端安全管理系统是一款功能强大、灵活多样、适用广泛的终端安全管理解决方案,能够为企业提供全面的终端安全防护和管理服务。
V8+终端安全系统.安装部署手册 V1.0
安装部署手册版权声明本文件所有内容受版权受中国著作权法等有关知识产权法保护,为北京金山安全软件有限公司(以下简称“金山安全软件”)所有。
、是金山安全软件享有权利的注册商标,本文中涉及到的其它产品名称和品牌为其相关公司或组织的商标或注册商标,特此鸣谢。
金山安全软件不对本文件的内容、使用,或本文件中说明的产品负担任何责任或保证,特别对有关商业机能和适用任何特殊目的的隐含性保证不负担任何责任。
另外,金山安全软件保留修改本文件和本文件中所描述产品的权力。
如有修改,恕不另行通知。
北京金山安全管理系统技术有限公司400-033-9009地址:北京市海淀区中关村大街1号海龙大厦14层网址:技术支持:***********************目录版权声明------------------------------------------------------------------------------------------- 2第一章安装需知 ------------------------------------------------------------------------------ 41.1 软硬件需求 --------------------------------------------------------------------------- 41.2 端口准备 ------------------------------------------------------------------------------ 41.3 系统中心安装 ------------------------------------------------------------------------ 51.4 客户端安装 --------------------------------------------------------------------------- 51.5 部署案例 ------------------------------------------------------------------------------ 6第二章实施安装 ------------------------------------------------------------------------------ 82.1 安装系统中心 ------------------------------------------------------------------------ 82.2 安装客户端 --------------------------------------------------------------------------- 92.2.1 网页安装 --------------------------------------------------------------------- 92.2.2 远程安装 -------------------------------------------------------------------- 102.2.3 光盘安装 -------------------------------------------------------------------- 112.3 部署一体化平台 -------------------------------------------------------------------- 12第三章系统卸载 ----------------------------------------------------------------------------- 133.1 卸载系统中心 ----------------------------------------------------------------------- 133.2 卸载云引擎 -------------------------------------------------------------------------- 133.3 卸载升级服务器 -------------------------------------------------------------------- 133.4 卸载客户端 -------------------------------------------------------------------------- 14第一章安装需知1.1软硬件需求1)服务器(系统中心):⏹Windows Server 2003及Windows 2003 Server X64、WindowsServer 2008以及Windows Server 2008 X64位版本,WindowsServer 2012版本。
安全管理系统使用手册全功能模块
• 访问权限的审批
• 访问记录的记录与审计
访问控制模块可以保护企业资源,防止未授权访问
• 文件与数据的保护
• 网络与系统的保护
• 应用与服务的保护
访问控制模块有助于企业合规,满足法律法规的要求
• 遵循行业法规
• 保护客户隐私
• 遵守数据保护法规
身份认证与权限管理模块
身份认证与权限管理模块用于验证用
问题2:访问记录不完整
• 解决方案:检查访问记录模块的配置,确保访问记录完整。
身份认证与权限管理模块常见问题及解决方案
01
问题1:用户身份验证失败
• 解决方案:检查身份认证模块的配置,确保验证方式正
确。
02
问题2:用户权限分配不合理
• 解决方案:检查权限管理模块的配置,确保权限分配合
理。
03
问题3:用户身份被盗用
• 解决方案:加强身份认证模块的安全措施,提高安全性。
数据加密与保护模块常见问题及解决方案
01
问题1:数据加密和解密速度慢
• 解决方案:优化数据加密与保护模块的性能,提高处理
速度。
02
问题2:数据完整性检查不准确
• 解决方案:检查数完整性检查模块的配置,确保检查
准确。
03
问题3:数据丢失或损坏
• 解决方案:加强数据备份与恢复模块的安全措施,提高
理模块的性能
• 优化数据加密与保护模
块的性能
系统性能调优与升级
系统性能调优
系统升级
系统维护
• 调整系统参数,提高系统性能
• 升级系统软件,提高系统功能
• 定期检查系统状态
• 优化系统配置,降低资源消耗
安全审计概述
安全审计概述分类:学术文章2009-11-24 15:45 201人阅读评论(0) 收藏举报文/陈尚义一、什么是安全审计安全审计,一般地,是指由专业审计人员根据有关的法律法规、财产所有者的委托和管理当局的授权,对计算机网络环境下的有关活动或行为进行系统的、独立的检查验证,并做出相应评价。
按照这个说法,审计可以是来自内部的,也可以是来自外部的。
GB/T 20945-2007《信息安全技术——信息系统安全审计产品技术要求和评价方法》对“安全审计”的定义是:对信息系统的各种事件及行为实行监测、信息采集、分析并针对特定事件及行为采取相应的比较动作。
安全审计产品为评估信息系统的安全性和风险、完善安全策略的制定提供审计数据和审计服务支撑,从而达到保障信息系统正常运行的目的。
同时,信息系统安全审计产品对信息系统各组成要素进行事件采集,将采集数据进行自动综合和系统分析,能够提高信息系统安全管理的效率。
传统的商业与管理审计,与计算机安全审计的过程是完全相同的,但它们各自关注的问题有很大不同。
计算机安全审计是通过一定的策略,利用记录和分析历史操作事件发现系统漏洞并改进系统的性能和安全。
计算机安全审计需要达到的目的包括:对潜在的攻击者起到震慑和警告的作用;对于已经发生的系统破坏行为提供有效的追究责任的证据;为系统管理员提供有价值的系统使用日志,帮助系统管理员及时发现系统入侵行为或潜在的系统漏洞。
具体到内网安全管理,安全审计是对计算机终端及其应用进行量化检查与评估的技术和过程。
内网审计是通过对计算机终端中相关信息的收集、分析和报告,来判定现有终端安全控制的有效性,检查计算机终端的误用、滥用和泄密行为,验证当前安全策略的合规性,获取犯罪和违规的证据。
二、安全审计四要素一般认为,安全审计涉及四个基本要素:目标、漏洞、措施和检查。
目标是企业的安全控制要求;漏洞是指系统的薄弱环节;措施是为实现目标所制定的技术、配置方法及各种规章制度;检查是将各种措施与安全标准进行一致性比较,确定各项措施是否存在、是否得到执行、对漏洞的防范是否有效,评价企业安全措施的可依赖程度。
中软统终端安全管理系统系统介绍
中软统终端安全管理系统系统介绍1. 引言中软统终端安全管理系统是一种用于管理终端设备安全的软件系统。
在如今数字化普及的时代,终端设备已经成为人们生活和工作中不可或缺的一部分。
然而,随着终端设备的普及和使用范围的扩大,终端设备面临的安全威胁也在不断增加。
为了保护用户信息的安全和终端设备的稳定运行,中软统终端安全管理系统应运而生。
2. 功能特点中软统终端安全管理系统具有以下主要功能特点:2.1 终端设备监控与管理系统能够对接入终端设备进行实时监控和管理。
通过系统的监控功能,管理员可以实时查看终端设备的运行状态、网络连接情况以及是否存在异常行为。
管理员可以将终端设备进行分组管理,并对终端设备进行统一的配置和管理。
2.2 安全策略管理系统提供了丰富的安全策略管理功能,以确保终端设备的安全性。
管理员可以根据实际需求,制定各类安全策略,如访问控制策略、数据加密策略、防病毒策略等。
系统将自动对接入终端设备应用这些安全策略,并对违规行为进行预警和报警。
2.3 风险评估和分析系统可以进行风险评估和分析,帮助管理员及时发现和解决终端设备安全问题。
系统可以自动收集终端设备的安全事件和漏洞信息,并对其进行分析和评估,为管理员提供风险评估报告。
管理员可以根据报告中的信息,快速定位终端设备中存在的安全风险,并采取相应的措施加以解决。
2.4 安全日志管理系统对所有的终端设备操作和安全事件进行日志记录和管理。
管理员可以随时查看和分析终端设备的操作日志,快速判断终端设备的安全状态。
同时,系统支持对日志进行审计和追踪,确保终端设备安全管理的完整性和可靠性。
2.5 远程升级和维护系统支持对终端设备进行远程升级和维护。
管理员可以通过系统远程对接入终端设备进行操作和维护,包括软件升级、补丁安装、配置修改等。
远程升级和维护可以降低管理员的工作负担,提高终端设备安全管理的效率。
3. 系统架构中软统终端安全管理系统采用C/S架构,主要由以下几个组件构成:3.1 客户端组件客户端组件是安装在终端设备上的软件,用于收集终端设备的信息并与系统服务器进行通信。
中软统一终端安全管理系统
“中软统一终端安全管理系统(United Endpoint Management, 简称UEM)”,以其全新的安全理念、强大的功能体系、完善的技术架构,改变了传统的内网安全管理模式,实现了主机监控与审计的完美统一。
该系统采用了终端安全“一体化”的安全防护技术,整合了病毒防护监测、网络接入认证、终端健康性检查、系统身份认证、资产管理、补丁管理、运行监控和失泄密防护等等终端软件的安全功能,是终端安全的完整解决方案。
【系统功能】该系统的主要从以下几个方面保障内部安全:一.终端安全管理1.安全策略管理按照企业终端计算机安全管理规定,统一配置终端计算机的Windows安全策略,实现集中的安全策略配置管理,统一提高终端计算机用户的安全策略基线。
系统所能配置的安全策略有:帐户密码策略监视、帐户锁定策略监视、审核策略监视、共享策略监视、屏保策略监视。
2.终端入网认证对接入内网的计算机进行统一的管理,未经许可的计算机不能接入内网,接入内网的计算机必须通过安全性检查才能访问内部网络资源,其主要功能为:非法用户内联控制、主机安全性检查。
3.用户身份认证身份认证是系统应用安全的起点,通过硬件USBKey和口令认证登录Windows系统用户身份,保证进入Windows系统用户身份的合法性;对登录用户权限进行合法性检查,保证用户权限的合规性。
具体功能为:基于USBKey的身份认证、登录用户权限合法性检查。
4.网络进程管理通过对网络进程的统一管理,规范计算机用户的网络行为,实现“外面的网路连接未经许可进不来,里面的网络进程未经许可出不去”。
具体功能为:管理向外发起连接的网络进程、管理接收外部连入的网络进程、实时获取网络进程信息和会话连接状态。
5.防病毒软件监测通过策略设置输入防病毒软件特征,按照统一的策略监测防病毒软件使用状况,并进行统计分析形成统一的数据报表。
具体功能为:监视防病毒软件的使用状况、防病毒软件监测特征的自定义。
UEM 8I介绍(简版)
Firewall
Router
(防火墙)
病毒防护 安全解决方案
Firewall : 阻止外部攻击的安全系统 (象一扇门) IDS : 阻止外部智能攻击 ( 象一台安全摄象机 ) 病毒防护: 计算机病毒疫苗 UEM8.0 : 站在用户身边的保密员、终端运维管理 ……
内网安全管理
内部信息安全漏洞
UEM8.0
② 终端运维管理
③ 失泄密防护
可信移动存储介质管理
介质管理系统的主要目的是帮助企业或涉密单位加强对涉密存储介质 的管理、事后追踪,严格控制涉密移动存储介质的使用,防止人为或者介 质丢失等情况下引起的涉密信息外泄。它基于虚拟磁盘技术,从注册授权、 身份验证、密级识别、访问控制报警、锁定自毁、扇区级加解密、日至审 计等方面对可移动存储介质进行失泄密防护。
审计、报警、报表、知识库
接收告警
ቤተ መጻሕፍቲ ባይዱ
参考方案
处理报警
知识库更新
中软 UEM8.0 统一安全解决方案
谢
谢
中软 UEM8.0 统一安全管理系统
中国软件与服务股份有限公司 信息产品部 主讲人:陈 博 中软公司技术工程师
中软整体网络安全体系和解决方案
Internet IDS
(入侵检测系统)
CD-R/RW E-Mail / Web-Mail / Web-HDD HDD theft FD / ZIP / MO JAZZ/USB/1394 Serial /Parallel Flash Device / P2P/ FTP Printing Paper
目的: 未授权的存储器拿进来使不了 已授权的存储器拿出去不能用 可信移动存储介质特点:
具有与磁盘接口无关性 具有与磁盘类型无关性 具有自锁、自毁自我保护模式
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
目录第一章系统概述 (1)第二章体系结构和运行环境 (3)2.1系统体系结构 (3)2.2推荐硬件需求 (4)2.3推荐软件需求 (4)第三章系统功能 (6)3.1传播途径管理[*] (6)3.1.1用户身份认证 (6)3.1.2 网络访问控制 (7)3.1.3 非法外联控制 (7)3.1.4 接口外设管理 (8)3.1.5 移动存储介质管理 (8)3.1.6 CDROM/CDRW/刻录机的控制 (8)3.1.7 辅助硬盘的控制 (8)3.1.8 打印机管理 (8)3.1.9 截屏键控制 (9)3.2可信移动存储介质管理[*] (9)3.3终端接入管理[*] (10)3.3.1终端接入认证 (10)3.3.2 终端安全检查 (10)3.3.3内网安全扫描 (10)3.4补丁管理与软件分发管理[*] (11)3.4.1 补丁分发管理 (11)3.4.2软件分发管理 (11)3.5终端安全运维管理[*] (12)3.5.1 系统运行状况监控 (12)3.5.2 软硬件资产管理 (13)3.5.3 安全策略管理 (13)3.5.4 防病毒软件监测 (14)3.5.5网络进程管理 (14)3.5.6文件安全删除 (14)3.6远程管理[*] (15)3.7安全存储与传输管理[*] (16)3.7.1 我的加密文件夹 (16)3.7.2 硬盘保护区 (16)3.7.3 文件安全分发 (16)3.8可信计算管理[*] (16)3.9文档加密管理[*] (16)3.9.1加密控制 (17)3.9.2 解密控制 (17)3.9.3 打印控制 (18)3.9.5保护感知 (18)3.9.6 剪贴板控制 (19)3.9.7 截录屏控制 (19)3.9.8 离线控制 (20)3.9.9 非加密进程控制 (20)3.9.10 审批管理 (20)3.9.11 备份管理 (21)3.9.12 全盘扫描管理 (21)3.9.13 隔离管理 (21)3.9.14 密级标识 (22)3.9.15邮件附件加解密控制 (22)3.9.16移动存储介质文件保护 (22)3.9.17回家模式 (22)3.10业务系统数据防泄密管理[*] (23)3.10.1在线访问控制 (23)3.10.2本地访问控制 (24)3.10.3防伪冒控制 (24)3.11文档权限管理[*] (24)3.12文档密级标识与轨迹追踪管理[*] (27)3.13文件打印审批管理[*] (28)3.14U盘拷贝审批管理[*] (29)3.15光盘刻录审批管理[*] (30)3.16支持L INUX系统透明加解密[*] (30)3.16.1智能透明加解密 (31)3.16.2加密文件强保护 (31)3.16.3截屏键控制 (31)3.16.4文件扫描加密 (31)3.17系统管理与审计 (31)3.17.1 组织结构管理 (31)3.17.2 统计审计分析 (32)3.17.3分级报警管理 (32)3.17.4 响应与知识库管理 (32)3.17.5 服务器数据存储空间管理 (32)3.17.6 系统升级管理 (32)3.17.7 B/S管理功能支持 (33)3.17.8系统参数设置 (33)第四章系统特点 (34)4.1全面的终端防护能力 (34)4.2分权分级的管理模式 (34)4.3方便灵活的安全策略 (34)4.4终端安全风险量化管理 (34)4.5周全详细的系统报表 (35)4.6丰富的应急响应知识库 (35)4.8方便快捷的安装、卸载和升级 (35)4.9多级部署支持 (36)附件一:名词解释 (37)第一章系统概述随着信息化安全技术的不断发展,各种内网安全管理问题逐步凸现出来。
据IDC调查报告显示超过85%的网络安全威胁来自于内部,其危害程度更是远远超过黑客攻击所造成的损失,而这些威胁绝大部分是内部各种非法和违规的操作行为所造成的。
内网安全问题已经引起了各级单位的广泛重视,随着安全意识的不断增强,安全投入逐步增加,但是内网的安全事件却不断地增多。
分析其原因我们认为主要有以下几个方面:◆有章不循,有规不依,企业内网安全合规性受到挑战。
很多公司明文规定安装操作系统必须打最新的补丁,但是终端用户依然我行我素导致操作系统补丁状况不一,从而给蠕虫病毒、木马程序和黑客软件带来了可乘之机。
同时有些单位购买了防病毒软件,但是终端用户没有按照单位统一部署的要求安装防病毒软件,或者有些终端用户虽然安装了防病毒软件,但是没有及时更新病毒库,导致计算机病毒有机可乘。
对于终端安全管理,公司建立了很多安全制度,但是终端用户不按照公司安全规定要求,将不安全的计算机接入网络,从而引入了内网安全威胁,企业内网的安全合规性受到了严峻的挑战。
◆谋一时,而未谋全局,终端系统被划分为多个独立的信息安全孤岛。
各单位在解决各种内网安全问题上,通常缺乏统一、全面的内网安全解决方案。
按照“头痛医头,脚痛医脚”的内网安全防护加强思路,采购并部署了多款终端安全管理的产品,比如:身份认证、补丁管理、软件分发、病毒防护软件等等。
但是这些终端安全防护软件来自于不同的安全厂商,各种软件之间各自为政,缺乏统一管理、协调工作的机制,最终导致个人桌面系统被划分为一个个独立的信息安全孤岛,因此出现了终端安全管理混乱、内网安全漏洞百出,内网安全事件防不胜防。
◆百花齐放,百家争鸣,终端系统终因难堪负重,系统性能急剧下降。
为了加强终端安全管理,在个人桌面系统上同时安装了不同厂家的终端代理。
每种代理程序都需要实现自我防护、网络通信、运行监控等程序调度机制,需要重复的占用系统有限的CPU、内存等系统资源,导致个人桌面系统运行速度变慢,系统性能急剧下降。
同时,由于不同厂家的软件存在很多功能重叠的部分,而这些重叠部分往往是采用类似技术开发,从而导致不同软件之间频繁发生应用冲突。
治标不治本,本末倒置,软件购买费用增加,系统维护成本成倍增长。
通常终端管理软件大致分为三个组件,即:服务器、控制端、客户端代理。
每种服务器软件都需要独立的数据库和硬件服务器支撑,无形中增加了软件的部署成本。
同时,由于每种软件都有自己的控制台程序,管理员要针对每套系统生成它的控制策略,每套系统的数据审计都是分开的,管理工作非常多,管理员为每天的维护工作疲于奔命,从而导致管理疏忽。
针对以上几种原因,以及中软公司在对企业内网安全管理展开全面调查的基础上,创造性地形成了一套完备的终端安全“一体化”解决方案。
在过去的几年里中软公司一直致力于内网安全的研究,并在国内最早提出了一系列的内网安全管理理论体系和解决方案。
内网失泄密防护软件--中软防水墙系统的推出填补了国内内网安全管理软件的空白,并获得了若干国家专利局的技术专利。
防水墙系统连年获奖,其中在2006年“防水墙”被计算机杂志评为2005年度新名词。
中软公司早在2001年就开始致力于内网失泄密软件的开发,先后向市场推出了中软防水墙系统7.0版本、7.0+版本和7.2版本。
随着内网安全管理的复杂化,中软公司在复用防水墙系统成熟技术的基础上,引入先进的内网安全管理理念和新的内网安全管理技术重新搭建系统体系结构,自主研发了中软统一终端安全管理系统8.0(CSS United End-Point Management System,简称UEM8.0)。
该系统是以“木桶原理”为理论依据,以安全策略为驱动,按照PDR安全模型的“保护-检测-响应”工作流程循环检测,同时结合保密规定的“等级防护”指导方针,采用多种安全技术实现了对终端主机全方位、多层次的安全防护。
按照“保护-检测-响应”的工作流程逐步完善终端安全防护策略,并将事件处理方;式和处理流程登录到用户知识库,逐步形成内网事故应急响应流程和共享安全解决方案的知识库。
第二章体系结构和运行环境2.1系统体系结构系统分为三个组件:客户端、服务器和控制台,系统采用分布式监控,集中式管理的工作模式。
组件之间采用C/S工作模式,组件的通信是采用HTTP/HTTPS加密传输方式。
支持任意层级的服务器级联,上下级服务器之间采用HTTPS协议进行数据交换。
体系结构如图1 所示。
图 1 系统体系结构图⏹客户端:安装在受保护的终端计算机上,实时监测客户端的用户行为和安全状态,实现客户端安全策略管理。
一旦发现用户的违规行为或计算机的安全状态异常,系统及时向服务器发送告警信息,并执行预定义的应急响应策略。
⏹服务器:安装在专业的数据服务器上,需要数据库的支持。
通过安全认证建立与多个客户端系统的连接,实现客户端策略的存储和下发、日志的收集和存储。
上下级服务器间基于HTTPS进行通信,实现组织结构、告警、日志统计信息等数据的搜集。
⏹ 控制台:人机交互界面,是管理员实现对系统管理的工具。
通过安全认证建立与服务器的信任连接,实现策略的制定下发以及数据的审计和管理。
2.2 推荐硬件需求表格1 系统推荐硬件需求2.3 推荐软件需求表格 2 系统软件需求提示:⏹ 安全管理系统服务器,包括服务器软件和后台支持数据库。
建议在专用主机上安装安全管理系统服务器,并且关闭所有与安全管理系统无关的不必要的服务。
支持操作系统为MSWindows 2003 系列,推荐Advanced Server 版本。
⏹以上操作系统,没有特别说明,仅指32位操作系统。
⏹安全管理系统客户端不支持Linux系统,不能在windows双系统下同时安装UEM客户端。
⏹为保证用户正常使用安全管理系统,最好将安全管理系统服务器、控制台和客户端分别运行于独立的系统之上,同时用户安装前应将Windows版本进行升级,安装各自版本最高补丁。
第三章系统功能第三章系统功能随着内网终端安全地位的合理化,终端安全管理将进一步沿着整合化、平台化、统一化、基础化的方向发展。
内网终端安全一体化的需求越来越强烈,终端安全产品的形态将逐步发生变化,最后发展为兼顾安全防御与安全管理。
终端安全发展的历史使命终将通过一款“大、一、统”的终端安全产品来实现。
所谓“大”就是该产品功能所涵盖的范围大,它不但要包含网络接入认证、系统身份认证、资产管理、补丁管理、软件分发,还要包涵系统运行监控、用户行为监控等终端软件的所有功能。
所谓“一”就是一个终端代理、一台服务器就可以实现上述所有功能,一个网络管理员就可以全局控制整个内网安全。
所谓“统”就是指对所有的桌面系统应用统一的安全策略,对所有的终端用户采用统一的终端管理策略,对终端产生的日志进行统一的日志分析,为所有管理员提供统一的应急响应知识库。
各功能部件之间协调工作,统一管理,形成一个高效有机的安全代理。
通过统一的桌面管理平台降低系统的复杂度,提高了个人桌面系统的工作性能,降低了用户的维护管理成本。