《BroadviewDCC产品简要介绍.docx》由会员分享,可在线阅读,更多相关《BroadviewDCC产品简要介绍.docx(12页珍藏版)》请在三一办公上搜索。
1、Broadview DCC产品白皮书2008.03北京广通信达科技有限公司Broadview DCC产品白皮书版权声明本文中的所有内容及格式的版权属于北京广通信达科技有限公司(以下简称广通信达)所有,未经广通信达许可,任何人不得仿制、拷贝、转译或任意引用。版权所有 不得翻印 2008广通信达商标声明本文中所谈及的产品名称仅做识别之用。手册中涉及的其他公司的注册商标或是版权属各商标注册人所有,恕不逐一列明。Broada 广通信达信息反馈目 录1. 定义Broadview:Broadview是北京广通信达科技有限公司产品系列的名称,已申请注册商标。目前版本为3.0,全名为Broadview IT运
2、维管理平台。DCC:为Broadview产品系列中的桌面产品模块,为Desktop Control Center的缩写,中文名称为桌面监控中心。2. 背景2.1. 当前计算机网络安全形势随着信息网络的迅速发展,在当今的信息时代,信息技术已经彻底改变我们的生活和工作方式,也改变现行企事业单位的管理模式。作为信息的管理部门,必须考虑当前技术的发展给我们的工作所带来的利益和威胁。如何利用信息网络进行安全的通信,同时保护计算机自身信息的安全性,成为当前网络安全和信息安全迫在眉睫的问题。针对日益严重的内部信息泄漏问题,FBI对484 家公司调查显示:面对来自于公司内部的安全威胁,85的安全损失是由企业内
3、部原因造成的。对于很多国内企业来说,这可能有点耸人听闻。但是,他们肯定遇到过类似的事情,由于某一员工误操作造成公司服务器上重要文档丢失;由于没有定义每位员工在系统内的访问权限,使本该由一定级别的人员才能掌握的业务秘密泄露给竞争对手对于这些来自公司内部的安全问题,不是靠单纯安装杀毒软件或防火墙就能解决的。目前,90%以上的端终用户使用的是windows2000,XP或以上的操作系统,而这几种系统的安全漏洞又非常多,微软公司会通过定期发布安全补丁的方式来弥补这些漏洞,但由于端终用户缺乏相关知识,导致补丁安装的不完全,不及时,这就会严重影响终端计算机的安全,从而导致更严重的整个内网安全问题。2.2.
4、 终端的安全管理和运维支持问题突现据Gartner Group调查表明,五年内PC及服务器的软硬件采购成本仅占所有成本的12,17是管理监督的花费,14花在技术支持上,57则是花在用户端操作。因此,降低在管理监督、技术支持和用户端操作上的运营维护,是有效降低企业运营维护成本的重点。现实情况也的确如此,为了满足不断增长的商务拓展需求,企业必须迅速提高生产力,更多的IT设备和应用被投入到企业环境中,使得企业IT基础架构管理变的日趋复杂。研究表明,超过50%的IT预算都花费在持续不断的部署,配置,更新,移植和管理IT资产。为了有效的控制成本,企业正在购买系统管理软件来提高IT资产的可靠性和有效性。然
5、后,大多数系统管理软件厂商仅仅关注IT管理的一两个方面。他们只能解决某一方面的问题,而企业的IT管理人员必须决定如何使得这些软件与其他的软件和系统协同工作。2.3. 企业网络桌面计算机安全现状尤其是中大型企事业单位、政府办公网络,桌面计算机数量众多,管理难度很大。感染病毒、被安装木马(像目前最严重的灰鸽子),有些不明程序不断抢占IP地址造成其他机器无法正常工作,还有部分员工使用BT、电驴下载工具时有发生。由于难于发现有问题的电脑,难以对这些危险电脑进行定位,一旦问题发生,往往故障排查时间非常长。如果同时有多台计算机感染网络病毒或者进行非法操作,非常容易导致网络阻塞,从而致使其他正常网络业务无法
6、使用。没有相关的技术与管理手段,企业许多管理规定也难以执行。比如:不准上班时间聊QQ,不准安装BT、电驴等下载工具,不准玩网络游戏,不准私自修改电脑安全设置,不准通过IE代理私自浏览与工作无关的网站,需要设置操作系统密码,必须安装防病毒软件并更新到最新病毒库等等。这些行为违反了单位的信息化管理规定,也极大地影响了企业内部网络的安全性。2.4. 企业在桌面计算机管理方面的其它需要随着信息化的不断发展,现在企业桌面终端数量非常多,地理位置也很分散,给IT管理员日常的管理维护带来了很大困难。所以IT管理层面临着重重实际问题l 难以对计算机的资产、配置进行统计、跟踪,防止资产流失;l 如何防止滥用公司
7、电脑,提高生产力?l 由于微软补丁、漏洞、其他应用程序升级等问题频繁,日常维护工作量极大;l 如何对网络终端进行有效工作状态监控,监督使用人员规范操作电脑。l 计算机使用人员技能不一,有些很小的问题都需要维护人员现场解决,降低了维护的效率;l 无法对计算机进行批量维护,像安装软件、打补丁、设置计算机参数;l 如何追查意外事件,并做有效审计?l 如何进行外来笔记本电脑以及其它移动设备的随意接入控制。2.5. 建设桌面终端安全管理系统的意义建立桌面终端安全管理系统的意义在于,解决大批量的桌面安全管理问题,提升IT服务部门的工作效率,解决大部分手工操作工作,对员工行为操作做审计并规范。l 加固桌面终
8、端的安全性,通过策略部署,可以保障所有桌面终端统一执行安全防护策略,及时更新桌面终端的安全补丁,减少被攻击的可能。l 实时评估桌面计算机的安全状态,是否符合企业信息管理规定。评估桌面终端网络流量是否异常?评估是否做了非法操作(像拨号上网、安装非法软件,运行非法程序,浏览非法网站等等),评估计算机用户登录密码是否合理等等。l 快速部署应用软件升级包,批量修改网络参数;l 防止外来电脑非法接入,避免网络安全受到破坏或信息泄密;l 轻松了解计算机目前资产状态,方便管理与控制计算机资产。2.6. 信息安全的新趋势是网络防护与端点防护并重以往提起信息安全,人们更多地把注意力集中在防火墙、防病毒、IDS(
9、入侵检测)、网络互联设备即对交换机、集线器和路由器等的管理,却忽略了对网络环境中的计算单元服务器、台式机乃至便携机的管理。正确、全面的认识终端桌面管理的发展趋势和技术特点,是IT研发厂商面临的发展抉择,同时也是企、事业IT管理人员和高层决策人员在进行终端桌面安全防护部署时必须考虑的议题。终端桌面安全管理技术的兴起是伴随着网络管理事务密集度的增加,作为网络管理技术的边缘产物而衍生的,它同传统安全防御体系的缺陷相关联,是传统网络安全防范体系的补充,也是未来网络安全防范体系重要的组成部分。因此,终端桌面安全管理技术无论在现在还是未来都应当归入基础网络安全产品体系之列。近两年的安全防御调查也表明,政府
10、、企业单位中超过80%的管理和安全问题来自终端,计算机终端广泛涉及每个用户,由于其分散性、不被重视、安全手段缺乏的特点,已成为信息安全体系的薄弱环节。因此,网络安全呈现出了新的发展趋势,安全战场已经逐步由核心与主干的防护,转向网络边缘的每一个终端。因此,采用联网桌面安全管理平台是大势所趋!3. Broadview DCC产品简介Broadview DCC专为大型企事业单位、政府解决数量众多的桌面电脑安全管理维护问题而设计,可以很好地解决系统管理员面临众多问题,解决数量众多的桌面电脑批量安全管理,行为审计和远程维护等难题。Broadview DCC在设计时参考了国际上信息安全管理最佳实践BS77
11、99规范。整体系统架构图如下:具体来说Broadview DCC采用C/S、B/S混合架构,通过集中式WEB管理平台,主要提供了以下多方面的管理功能:l IT资产综合管理,合理易用n 自动发现网络上所有接入设备;n 桌面软、硬件资产信息全面收集;n 及时跟踪各项资产变动信息并提供预警信息;n 全线设备信息维护记录;n 从设备采购、日常使用的维护一直到设备报废提供全周期管理;n 提供详细全面的资产报表;l 行为审计,规范员工日常操作;n 支持桌面终端屏幕行为审计;n 支持员工日常文档操作审计;n 支持网络浏览记录行为审计;n 提供对员工日常运行程序的审计;n 对员工的日常邮件、即时消息的内容做监
12、控与审计;n 支持对打印文件的审计。l 补丁综合管理n 采用底层技术协议,桌面电脑及时自动检测补丁漏洞;n 后台服务直接下载企业所需补丁;n 支持多种补丁安装策略模式;n 支持微软全系列补丁类型,包括Windows全系列、OFFICE全系列、SQLServer全系列及其他所有微软提供的补丁;n 提供详细的未安装补丁机器列表;l 桌面安全评估及终端加固n 自动发现存在安全隐患的终端设备;n 可提供终端网络流量异常评估;n 支持用户密码强度检查、Guest帐户检查、屏幕保护设置检查;n 支持各种共享检查、支持禁止修改IP地址;l 终端安全接入控制,防止非法终端接入n 用户可以自行定义多种准备控制策
13、略;n 采用的假想式程序安排的基本隔离方法可以在最短的时间内有效地阻止没有被认证的用户。不受电闸802.1x或Dynamic VLAN的限制,并适用于任何网络环境n 不符合特定程序(如未安装杀病毒软件,DMS程序等),不符合安全补丁的用户的操作将被阻止l 软件分发,功能强大、快速部署n 不影响客户端用户资源负担,确保软件正常发放与安装;n 支持有策略分发范围,支持大规模数量的终端;n 支持自动安装、手工安装,支持多种打包工具和打包格式;l 非法操作监控管理,让管理规定令行禁止n 检查桌面终端是否安装非法软件;n 支持对USB设备、USB存储设备、Modem拨号、无线通讯、红外通讯、蓝牙通讯、软
14、驱、光驱等非法操作的监控、审计和禁止使用;n 支持离线管理,桌面终端在离开网络之后安全策略仍然有效;n 可以制定黑白进程名单,规范企业程序应用;n 支持控制企业网络浏览控制,制定黑白网站,规定企业上网范围;l 远程维护与协助,不到现场、胜过现场n 实时监控客户端画面;n 不用到现场即可了解远程桌面发生的状况;n 可以选择远程控制或者只监视桌面,满足各种场合的需要;n 可以同时支持多个桌面实时跟踪;n 可以与远程客户端发送消息通知;l 强大的事件预警平台n 根据桌面审计信息数据统计分类n 报警结果处置管理,支持EMAIL、消息等方式n 多种可扩展策略定制预警情况;l 丰富的报表输出功能n 对于资
15、产管理、行为审计等结果可以输出报表n 输出报表支持导出为.xls文件n 可自动输出排序分析类报表,TOP N类的报表此外,Broadview DCC支持多级级联管理模式,各种安全管理策略可以按照不同模式进行应用范围部署。4. 功能模块说明项目功能项功能说明备注基本要求系统架构和整体安全性基于B/S、C/S混合构架,具有较好的系统安全性,管理平台采用WEB方式。多级级联的网络结构采用部署区域服务器的模式并且配置上级服务器IP地址,策略下发,采集数据上报的方式实现多级级联。安全模式下正常运行USB的控制、进程黑白名单、客户端防删除等控制策略在安全模式下正常运行。系统管理员的安全性可定义不同的功能权
16、限的管理角色、同时定义操作员可管理的组织范围,而且可以限制管理员在指定的IP范围登录平台。客户端对CPU、memory的资源占用要求客户端占用cpu正常情况下3;内存占用在5M以内离线管理模式能够支持客户端不在联网状态下正常管理,并且保存操作记录行为;基础平台知识产权风险性要求提供的基础服务平台不存在任何的知识产权的风险性;WEB服务器、数据库等等方面;策略管理要求制定策略可继承,方便部署;也同时可以指定某个组可某台机器个性策略部署;功能模块外设管理对所有外部设备能够控制其使用,包含USB设备/USB存储设备/软驱/光驱/串口/并口/调制解调器等等;当禁用USB存储设备时,像USB打印机、US
17、B-Key可以照常使用。外设管理策略在安全模式下同样生效;资产管理能够自动收集所有客户机的软硬件详细信息,并且导出相应的报表。能够记录各计算机的IP地址、计算机名、MAC地址、网卡型号和生产厂商、计算机所在域、操作系统、主要硬、软件信息、物理位置,IT资产从采购时输入一直到接入网络、日常维修、一直到报废。能够按照部门、IP地址范围、MAC地址、设备类型、操作系统类别、操作系统语言、资产各种配置、设备在线状态等方式分类。要求软件包含系统补丁、应用程序、启动程序项等类型。远程协助能够进行远程桌面查看,方便看到对方的桌面操作界面;能够远程上去控制对方的桌面操作,辅导对方行为;能够在需要远程协助时,客
18、户端才唤醒远程服务,否则远程服务不启动;能够做到远程协助的服务采用动态密码方式做校验,只能通过管理平台登录才有效;事件日志审计客户端用户登录事件、关机事件、打开窗口事件、操作文档事件等等一系列的操作事件日志都需要记录与查询。违规外联管理当部署了违规外联策略的客户机或者群组在访问了在限制之外的网络时,系统会记录外联时间与目标地址,操作用户等等信息,同时会提供报警及数据查询等功能。当有违规外联现象发生时处理操作,可以提示、断线、报警等操作。报警信息模块报警我们可以提供窗口报警、EMAIL报警、报警规则的设置、部署。IP地址综合管理能够远程修改各客户端的IP地址;能够控制客户端无法擅自修改自己的IP
19、地址。黑白进程管理能够按全天或指定的时间对指定的程序进行禁止,或者采取反选,对指定的程序外的程序进行禁止;能够防止客户端通过修改文件名和目录的方式运行非法程序。;黑白网站管理能够按全天或指定的时间对指定的网站域名进行禁止,或者采取反选,对指定的网站域名外的网站进行禁止;端口统一管理能够对网络中的所有客户端软件端口进行统一的管理和控制;能够统一控制客户端的本地软件端口和远程软件端口的开关。安全补丁统一分发能够将微软安全补丁统一配置并分发到网络中的所有客户端上,并在客户端上自动运行补丁安装程序;能够支持微软全系列补丁类型,包括Windows全系列、OFFICE全系列、SQLServer全系列及其他
20、所有微软提供的补丁;能够人工审核的流程,对一些补丁不需要安装的可以采用人工审核;能够提供所有机器没有安装补丁的分布列表;支持服务器在离线状态下更新补丁库。客户端进程查看要求能够查看和管理各客户端当前和曾经运行的进程;能够远程关闭实时进程;共享信息查看并管理能够查看客户端开放的所有实时共享;能够取消相应的共享信息;远程修改计算机名要求能够远程修改客户端的主机名;远程修改网络参数通过WEB平台就可以远程修改客户机的网络IP参数,包括DNS,网关等。软件分发能够支持可执行程序、MSI安装包或者文档数据文件自动下发与安装;能够支持指定组范围、指定时间进行安装、能够指定客户端安装目录;并且支持其他系统补
21、丁的分发安装,提供打包工具,能够判断检测指定程序是否在运行,如果运行则提示系统需要升级提供一个提示对话框如果按确认则将指定程序退出开始安装,如果选择取消则不安装,如果没运行则马上开始安装。能够提供带参数运行程序包;能够指定执行安装之后是否重启、关闭机器;能够查询软件分发的详情与历史情况;全网PC设备扫描输入网络扫描范围,可以将全网内的PC情况列出来,IP、MAC、计算机名、是否开机、是否有客户端等情况列出来。或者可以查看上一次的扫描情况。非法接入控制提供了安全接入控制功能,通过采用安全接入控制功能可以保证一些非法的或者外联的新机器无法接入到内部网络或者只有在经过信息安全管理人员的许可之后,才可
22、以访问内网的内部网络资源,降低外来非法机器导致的内网信息安全风险。总结需求重要一点:所有经过身份认证的MAC地址并且安装了客户端软件的机器可以接入网络,其他机器一律不能接到网络中来。流量审计与流量控制提供对客户端计算机的流量审计与控制策略,通过控制策略,可以限定客户端实时流量大小及连接数。5. 产品部署Broadview DCC产品支持分级部署与管理,基本部署结构如下图:图表 1 Broadview DCC产品基本部署Broadview DCC包括补丁服务器,数据库服务器,Web管理服务器及本身的服务器,可以由一个安装包来完成全部安装。在各个客户端计算机上需安装客户端程序。下图是分级部署图,Broadview DCC支持多级部署,上级给下级下发策略与管理指令,下级分发并执行策略,同时给上级服务器汇报本级服务器信息。图表 2 Broadview DCC分级与区域扩展部署6. 安装要求l 服务器端 n 硬件:主流CPU/512M内存/10G空闲硬盘 n 系统:windows XP/2000/2003n 环境:无Web服务,windows installer 3.0l 客户端 n 硬件:可以安装运行windows XPn 系统: windows XP/2000/2003
