《BroadviewDCC产品简要介绍3632.docx》由会员分享,可在线阅读,更多相关《BroadviewDCC产品简要介绍3632.docx(22页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、Broadviiew DCCC产品白皮书2008.033北京广通信达科科技有限公司司Broadviiew DCCC产品白皮皮书版权声明本文中的所有内内容及格式的的版权属于北北京广通信达达科技有限公公司(以下简简称广通信达达)所有,未未经广通信达达许可,任何何人不得仿制制、拷贝、转转译或任意引引用。版权所有 不不得翻印 20008广通信达商标声明本文中所谈及的的产品名称仅仅做识别之用用。手册中涉涉及的其他公公司的注册商商标或是版权权属各商标注注册人所有,恕恕不逐一列明明。Broada 广通信达信息反馈目 录1. 定义Broadviiew:Brroadviiew是北京京广通信达科科技有限公司司产品
2、系列的的名称,已申申请注册商标标。目前版本本为3.0,全全名为Brooadvieew IT运运维管理平台台。DCC:为Brroadviiew产品系系列中的桌面面产品模块,为为Deskttop Coontroll Centter的缩写写,中文名称称为桌面监控控中心。2. 背景2.1. 当前计算机网络络安全形势随着信息网络的的迅速发展,在当今的信信息时代,信信息技术已经经彻底改变我我们的生活和和工作方式,也改变现行企事业单位的管理模式。作为信息的管理部门,必须考虑当前技术的发展给我们的工作所带来的利益和威胁。如何利用信息网络进行安全的通信,同时保护计算机自身信息的安全性,成为当前网络安全和信息安全
3、迫在眉睫的问题。针对日益严重的的内部信息泄泄漏问题,FFBI对4884 家公司司调查显示:面对来自于于公司内部的的安全威胁,885的安全全损失是由企企业内部原因因造成的。对对于很多国内内企业来说,这这可能有点耸耸人听闻。但但是,他们肯肯定遇到过类类似的事情,由于某一员员工误操作造造成公司服务务器上重要文文档丢失;由由于没有定义义每位员工在在系统内的访访问权限,使使本该由一定定级别的人员员才能掌握的的业务秘密泄泄露给竞争对对手对于这些些来自公司内内部的安全问问题,不是靠靠单纯安装杀杀毒软件或防防火墙就能解解决的。目前,90%以以上的端终用用户使用的是是windoows20000,XP或或以上的操
4、作作系统,而这这几种系统的的安全漏洞又又非常多,微微软公司会通通过定期发布布安全补丁的的方式来弥补补这些漏洞,但但由于端终用用户缺乏相关关知识,导致致补丁安装的的不完全,不不及时,这就就会严重影响响终端计算机机的安全,从从而导致更严严重的整个内内网安全问题题。2.2. 终端的安全管理理和运维支持持问题突现据Gartneer Grooup调查表表明,五年内内PC及服务务器的软硬件件采购成本仅仅占所有成本本的12,117是管理理监督的花费费,14花花在技术支持持上,57则是花在用用户端操作。因此,降低在管理监督、技术支持和用户端操作上的运营维护,是有效降低企业运营维护成本的重点。现实情况也的确确如
5、此,为了了满足不断增增长的商务拓拓展需求,企企业必须迅速速提高生产力力,更多的IIT设备和应应用被投入到到企业环境中中,使得企业业IT基础架架构管理变的的日趋复杂。研研究表明,超超过50%的的IT预算都都花费在持续续不断的部署署,配置,更更新,移植和和管理IT资资产。为了有有效的控制成成本,企业正正在购买系统统管理软件来来提高IT资资产的可靠性性和有效性。然然后,大多数数系统管理软软件厂商仅仅仅关注IT管管理的一两个个方面。他们们只能解决某某一方面的问问题,而企业业的IT管理理人员必须决决定如何使得得这些软件与与其他的软件件和系统协同同工作。2.3. 企业网络桌面计计算机安全现现状尤其是中大型
6、企企事业单位、政政府办公网络络,桌面计算算机数量众多多,管理难度度很大。感染染病毒、被安安装木马(像像目前最严重重的灰鸽子),有有些不明程序序不断抢占IIP地址造成成其他机器无无法正常工作作,还有部分分员工使用BBT、电驴下下载工具时有有发生。由于于难于发现有有问题的电脑脑,难以对这这些危险电脑脑进行定位,一一旦问题发生生,往往故障障排查时间非非常长。如果果同时有多台台计算机感染染网络病毒或或者进行非法法操作,非常常容易导致网网络阻塞,从从而致使其他他正常网络业业务无法使用用。没有相关的技术术与管理手段段,企业许多多管理规定也也难以执行。比比如:不准上上班时间聊QQQ,不准安安装BT、电电驴等
7、下载工工具,不准玩玩网络游戏,不不准私自修改改电脑安全设设置,不准通通过IE代理理私自浏览与与工作无关的的网站,需要要设置操作系系统密码,必必须安装防病病毒软件并更更新到最新病病毒库等等。这些些行为违反了了单位的信息息化管理规定定,也极大地地影响了企业业内部网络的的安全性。2.4. 企业在桌面计算算机管理方面面的其它需要要随着信息化的不不断发展,现现在企业桌面面终端数量非非常多,地理理位置也很分分散,给ITT管理员日常常的管理维护护带来了很大大困难。所以以IT管理层层面临着重重重实际问题l 难以对计算机的的资产、配置置进行统计、跟跟踪,防止资资产流失;l 如何防止滥用公公司电脑,提提高生产力?
8、l 由于微软补丁、漏漏洞、其他应应用程序升级级等问题频繁繁,日常维护护工作量极大大;l 如何对网络终端端进行有效工工作状态监控控,监督使用用人员规范操操作电脑。l 计算机使用人员员技能不一,有有些很小的问问题都需要维维护人员现场场解决,降低低了维护的效效率;l 无法对计算机进进行批量维护护,像安装软软件、打补丁丁、设置计算算机参数;l 如何追查意外事事件,并做有有效审计?l 如何进行外来笔笔记本电脑以以及其它移动动设备的随意意接入控制。2.5. 建设桌面终端安安全管理系统统的意义建立桌面终端安安全管理系统统的意义在于于,解决大批批量的桌面安安全管理问题题,提升ITT服务部门的的工作效率,解解决
9、大部分手手工操作工作作,对员工行行为操作做审审计并规范。l 加固桌面终端的的安全性,通通过策略部署署,可以保障障所有桌面终终端统一执行行安全防护策策略,及时更更新桌面终端端的安全补丁丁,减少被攻攻击的可能。l 实时评估桌面计计算机的安全全状态,是否否符合企业信信息管理规定定。评估桌面面终端网络流流量是否异常常?评估是否否做了非法操操作(像拨号号上网、安装装非法软件,运运行非法程序序,浏览非法法网站等等),评评估计算机用用户登录密码码是否合理等等等。l 快速部署应用软软件升级包,批批量修改网络络参数;l 防止外来电脑非非法接入,避避免网络安全全受到破坏或或信息泄密;l 轻松了解计算机机目前资产状
10、状态,方便管管理与控制计计算机资产。2.6. 信息安全的新趋趋势是网络防防护与端点防防护并重以往提起信息安安全,人们更更多地把注意意力集中在防防火墙、防病病毒、IDSS(入侵检测测)、网络互互联设备即对对交换机、集集线器和路由由器等的管理理,却忽略了了对网络环境境中的计算单单元服务器、台台式机乃至便便携机的管理理。正确、全全面的认识终终端桌面管理理的发展趋势势和技术特点点,是IT研研发厂商面临临的发展抉择择,同时也是是企、事业IIT管理人员员和高层决策策人员在进行行终端桌面安安全防护部署署时必须考虑虑的议题。终端桌面安全管管理技术的兴兴起是伴随着着网络管理事事务密集度的的增加,作为为网络管理技
11、技术的边缘产产物而衍生的的,它同传统统安全防御体体系的缺陷相相关联,是传传统网络安全全防范体系的的补充,也是是未来网络安安全防范体系系重要的组成成部分。因此此,终端桌面面安全管理技技术无论在现现在还是未来来都应当归入入基础网络安安全产品体系系之列。近两年的安全防防御调查也表表明,政府、企企业单位中超超过80%的的管理和安全全问题来自终终端,计算机机终端广泛涉涉及每个用户户,由于其分分散性、不被被重视、安全全手段缺乏的的特点,已成成为信息安全全体系的薄弱弱环节。因此此,网络安全全呈现出了新新的发展趋势势,安全战场场已经逐步由由核心与主干干的防护,转转向网络边缘缘的每一个终终端。因此,采用联网网桌
12、面安全管理理平台是大势势所趋!3. Broadviiew DCCC产品简介介Broadviiew DCCC专为大型型企事业单位位、政府解决决数量众多的的桌面电脑安安全管理维护护问题而设计计,可以很好好地解决系统统管理员面临临众多问题,解解决数量众多多的桌面电脑脑批量安全管管理,行为审审计和远程维维护等难题。Broadviiew DCCC在设计时时参考了国际际上信息安全全管理最佳实实践BS77799规范。整整体系统架构构图如下:具体来说Brooadvieew DCCC采用C/SS、B/S混混合架构,通通过集中式WWEB管理平平台,主要提提供了以下多多方面的管理理功能:l IT资产综合管管理,合理
13、易易用n 自动发现网络上上所有接入设设备;n 桌面软、硬件资资产信息全面面收集;n 及时跟踪各项资资产变动信息息并提供预警警信息;n 全线设备信息维维护记录;n 从设备采购、日日常使用的维维护一直到设设备报废提供供全周期管理理;n 提供详细全面的的资产报表;l 行为审计,规范范员工日常操操作;n 支持桌面终端屏屏幕行为审计计;n 支持员工日常文文档操作审计计;n 支持网络浏览记记录行为审计计;n 提供对员工日常常运行程序的的审计;n 对员工的日常邮邮件、即时消消息的内容做做监控与审计计;n 支持对打印文件件的审计。l 补丁综合管理n 采用底层技术协协议,桌面电电脑及时自动动检测补丁漏漏洞;n
14、后台服务直接下下载企业所需需补丁;n 支持多种补丁安安装策略模式式;n 支持微软全系列列补丁类型,包包括Winddows全系系列、OFFFICE全系系列、SQLLServeer全系列及及其他所有微微软提供的补补丁;n 提供详细的未安安装补丁机器器列表;l 桌面安全评估及及终端加固n 自动发现存在安安全隐患的终终端设备;n 可提供终端网络络流量异常评评估;n 支持用户密码强强度检查、GGuest帐帐户检查、屏屏幕保护设置置检查;n 支持各种共享检检查、支持禁禁止修改IPP地址;l 终端安全接入控控制,防止非非法终端接入入n 用户可以自行定定义多种准备备控制策略;n 采用的假想式程程序安排的基基本
15、隔离方法法可以在最短短的时间内有有效地阻止没没有被认证的的用户。不受受电闸8022.1x或DDynamiic VLAAN的限制,并并适用于任何何网络环境n 不符合特定程序序(如未安装装杀病毒软件件,DMS程程序等),不不符合安全补补丁的用户的的操作将被阻阻止l 软件分发,功能能强大、快速速部署n 不影响客户端用用户资源负担担,确保软件件正常发放与与安装;n 支持有策略分发发范围,支持持大规模数量量的终端;n 支持自动安装、手手工安装,支支持多种打包包工具和打包包格式;l 非法操作监控管管理,让管理理规定令行禁禁止n 检查桌面终端是是否安装非法法软件;n 支持对USB设设备、USBB存储设备、M
16、Modem拨拨号、无线通通讯、红外通通讯、蓝牙通通讯、软驱、光光驱等非法操操作的监控、审审计和禁止使使用;n 支持离线管理,桌桌面终端在离离开网络之后后安全策略仍仍然有效;n 可以制定黑白进进程名单,规规范企业程序序应用;n 支持控制企业网网络浏览控制制,制定黑白白网站,规定定企业上网范范围;l 远程维护与协助助,不到现场场、胜过现场场n 实时监控客户端端画面;n 不用到现场即可可了解远程桌桌面发生的状状况;n 可以选择远程控控制或者只监监视桌面,满满足各种场合合的需要;n 可以同时支持多多个桌面实时时跟踪;n 可以与远程客户户端发送消息息通知;l 强大的事件预警警平台n 根据桌面审计信信息数
17、据统计计分类n 报警结果处置管管理,支持EEMAIL、消消息等方式n 多种可扩展策略略定制预警情情况;l 丰富的报表输出出功能n 对于资产管理、行行为审计等结结果可以输出出报表n 输出报表支持导导出为.xlls文件n 可自动输出排序序分析类报表表,TOP N类的报表表此外,Broaadvieww DCC支支持多级级联联管理模式,各各种安全管理理策略可以按按照不同模式式进行应用范范围部署。4. 功能模块说明项目功能项功能说明备注基本要求系统架构和整体体安全性基于B/S、CC/S混合构构架,具有较较好的系统安安全性,管理理平台采用WWEB方式。多级级联的网络络结构采用部署区域服服务器的模式式并且配
18、置上上级服务器IIP地址,策策略下发,采采集数据上报报的方式实现现多级级联。安全模式下正常常运行USB的控制、进进程黑白名单单、客户端防防删除等控制制策略在安全全模式下正常常运行。系统管理员的安安全性可定义不同的功功能权限的管管理角色、同同时定义操作作员可管理的的组织范围,而而且可以限制制管理员在指指定的IP范范围登录平台台。客户端对CPUU、memoory的资源源占用要求客户端占用用cpu正常常情况下3;内存存占用在5MM以内离线管理模式能够支持客户端端不在联网状状态下正常管管理,并且保保存操作记录录行为;基础平台知识产产权风险性要求提供的基础础服务平台不不存在任何的的知识产权的的风险性;W
19、WEB服务器器、数据库等等等方面;策略管理要求制定策略可继承承,方便部署署;也同时可可以指定某个个组可某台机机器个性策略略部署;功能模块外设管理对所有外部设备备能够控制其其使用,包含含USB设备备/USB存存储设备/软软驱/光驱/串口/并口口/调制解调调器等等;当当禁用USBB存储设备时时,像USBB打印机、UUSB-Keey可以照常常使用。外设设管理策略在在安全模式下下同样生效;资产管理能够自动收集所所有客户机的的软硬件详细细信息,并且且导出相应的的报表。能够记录各计算算机的IP地地址、计算机机名、MACC地址、网卡卡型号和生产产厂商、计算算机所在域、操操作系统、主主要硬、软件件信息、物理理
20、位置,ITT资产从采购购时输入一直直到接入网络络、日常维修修、一直到报报废。能够按照部门、IIP地址范围围、MAC地地址、设备类类型、操作系系统类别、操操作系统语言言、资产各种种配置、设备备在线状态等等方式分类。要要求软件包含含系统补丁、应应用程序、启启动程序项等等类型。远程协助能够进行远程桌桌面查看,方方便看到对方方的桌面操作作界面;能够够远程上去控控制对方的桌桌面操作,辅辅导对方行为为;能够在需需要远程协助助时,客户端端才唤醒远程程服务,否则则远程服务不不启动;能够够做到远程协协助的服务采采用动态密码码方式做校验验,只能通过过管理平台登登录才有效;事件日志审计客户端用户登录录事件、关机机事
21、件、打开开窗口事件、操操作文档事件件等等一系列列的操作事件件日志都需要要记录与查询询。违规外联管理当部署了违规外外联策略的客客户机或者群群组在访问了了在限制之外外的网络时,系系统会记录外外联时间与目目标地址,操操作用户等等等信息,同时时会提供报警警及数据查询询等功能。当当有违规外联联现象发生时时处理操作,可可以提示、断断线、报警等等操作。报警信息模块报警我们可以提提供窗口报警警、EMAIIL报警、报报警规则的设设置、部署。IP地址综合管管理能够远程修改各各客户端的IIP地址;能能够控制客户户端无法擅自自修改自己的的IP地址。黑白进程管理能够按全天或指指定的时间对对指定的程序序进行禁止,或或者采
22、取反选选,对指定的的程序外的程程序进行禁止止;能够防止止客户端通过过修改文件名名和目录的方方式运行非法法程序。;黑白网站管理能够按全天或指指定的时间对对指定的网站站域名进行禁禁止,或者采采取反选,对对指定的网站站域名外的网网站进行禁止止;端口统一管理能够对网络中的的所有客户端端软件端口进进行统一的管管理和控制;能够统一控控制客户端的的本地软件端端口和远程软软件端口的开开关。安全补丁统一分分发能够将微软安全全补丁统一配配置并分发到到网络中的所所有客户端上上,并在客户户端上自动运运行补丁安装装程序;能够够支持微软全全系列补丁类类型,包括WWindowws全系列、OOFFICEE全系列、SSQLSe
23、rrver全系系列及其他所所有微软提供供的补丁;能能够人工审核核的流程,对对一些补丁不不需要安装的的可以采用人人工审核;能能够提供所有有机器没有安安装补丁的分分布列表;支支持服务器在在离线状态下下更新补丁库库。客户端进程查看看要求能够查看和和管理各客户户端当前和曾曾经运行的进进程;能够远远程关闭实时时进程;共享信息查看并并管理能够查看客户端端开放的所有有实时共享;能够取消相相应的共享信信息;远程修改计算机机名要求能够远程修修改客户端的的主机名;远程修改网络参参数通过WEB平台台就可以远程程修改客户机机的网络IPP参数,包括括DNS,网网关等。软件分发能够支持可执行行程序、MSSI安装包或或者文
24、档数据据文件自动下下发与安装;能够支持指指定组范围、指指定时间进行行安装、能够够指定客户端端安装目录;并且支持其他系系统补丁的分分发安装,提提供打包工具具,能够判断断检测指定程程序是否在运运行,如果运运行则提示系系统需要升级级提供一个提提示对话框如如果按确认则则将指定程序序退出开始安安装,如果选选择取消则不不安装,如果果没运行则马马上开始安装装。能够提供供带参数运行行程序包;能能够指定执行行安装之后是是否重启、关关闭机器;能能够查询软件件分发的详情情与历史情况况;全网PC设备扫扫描输入网络扫描范范围,可以将将全网内的PPC情况列出出来,IP、MMAC、计算算机名、是否否开机、是否否有客户端等等
25、情况列出来来。或者可以以查看上一次次的扫描情况况。非法接入控制提供了安全接入入控制功能,通通过采用安全全接入控制功功能可以保证证一些非法的的或者外联的的新机器无法法接入到内部部网络或者只只有在经过信信息安全管理理人员的许可可之后,才可可以访问内网网的内部网络络资源,降低低外来非法机机器导致的内内网信息安全全风险。总结结需求重要一一点:所有经经过身份认证证的MAC地地址并且安装装了客户端软软件的机器可可以接入网络络,其他机器器一律不能接接到网络中来来。流量审计与流量量控制提供对客户端计计算机的流量量审计与控制制策略,通过过控制策略,可可以限定客户户端实时流量量大小及连接接数。5. 产品部署Bro
26、adviiew DCCC产品支持持分级部署与与管理,基本本部署结构如如下图:图表 1 Brroadviiew DCCC产品基本本部署Broadviiew DCCC包括补丁丁服务器,数数据库服务器器,Web管管理服务器及及本身的服务务器,可以由由一个安装包包来完成全部部安装。在各各个客户端计计算机上需安安装客户端程程序。下图是分级部署署图,Brooadvieew DCCC支持多级部部署,上级给给下级下发策策略与管理指指令,下级分分发并执行策策略,同时给给上级服务器器汇报本级服服务器信息。图表 2 Brroadviiew DCCC分级与区区域扩展部署署6. 安装要求l 服务器端 n 硬件:主流CPPU/5122M内存/10GG空闲硬盘 n 系统:winddows XXP/20000/20003n 环境:无Webb服务,winndows instaaller 3.0l 客户端 n 硬件:可以安装装运行winndows XPn 系统: winndows XP/20000/20003
黑公网安备:91230400333293403D