教育行业终端与内网安全管理系统解决方案

教育行业终端与内网安全管理系统解决方案内容摘要：

信息泄露甚至黑客攻击事件的发生。 因此，维护每台客户机自身的系统安全性，也是应该予以考虑的。 4 方案设计原则 设计原则 在 教育行业 内网安全管理系统 的方案设计中，我们遵循了以下的原则：  整体安全和全网统一的原则 教育行业 内网安全管理系统 设计从一个完整的安全体系结构出发，综合考虑信息网络的各种实体和各个环节，综合使用不同层次的不同安全手段，为信息网络和安全业务提供全方位的管理和服务。  标准化、一致性原则 教育行业 桌面安全管理系统采购项目 安全体系的设计遵循一系列 国家标准，整个系统安全地互联互通。  需求、风险、成本折衷原则 任何网络和信息系统都不能做到绝对的安全，设计时在不影响原网络性能和教育行业终端与 内网安全管理系统解决方案 北京兆维亿方科技发展有限公司 9 设计要求的情况下，在安全需求、安全风险和安全成本之间进行平衡和折衷。  实用、高效、可扩展原则 安全保障系统所采用的产品，便于操作、实用高效。 同时随着技术发展， 教育行业 信息系统也将发生各种变化，在系统实施过程中，系统的结构、配置也会发生变化，系统的安全工程要有一定的灵活性来适应这种变化，做到层次性、体系性，既有利于系统的安全，又有利于系统的扩展。  技术和管理相结合原则 各种安全技术应 该与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合，从社会工程学的角度综合考虑。 遵循 与参考的 标准 和 规范 1） 国家保密标准 BMZ22020《涉及国家秘密的计算机信息系统安全保密方案设计指南》 2） 国家保密标准 BMZ12020，《涉及国家秘密的计算机信息系统保密技术要求》 3） 国家保密标准《计算机信息系统保密管理暂行规定》（国保发 {1998}1 号） 4） 国家标准 GB178591999，《计算机信息系统安全保护等级划分准则》 5） 国家标准 GB/，《信息技术 安全技术 信息技术安全性评估 准则 第 2 部分 : 安全功能要求》 6） ISO27001/ISO17799:2020/BS7799,《信息安全管理技术规范》。 5 解决方案 选型依据 在 教育行业 网络信息 安全建设中，对产品选型应遵循以下原则： 教育行业终端与 内网安全管理系统解决方案 北京兆维亿方科技发展有限公司 10 考虑到 教育行业 网络 的规模和终端计算机的多样性，客户端程序必须有良好的兼容性和稳定性、较小的系统开销以减少对系统资源的占用，并且，考虑到 教育行业 网络 的用户环境，客户端程序应具备卸载管理，防止未经授权的卸载使终端计算机脱离管理。 根据上述选型原则， 本方案在 教育行业 网络信息 安全建设中采用 极地银河终端与内网安全管理系统。 极地银河终端与内网安全管理系统 主要功能 补丁分发管理 补丁分发管理主要完成客户端的补丁检测和安装，强化客户端自身健壮性。 允许管理员自定义软件分发，完成用户自由系统的补丁管理。 可以远程进行软件分发。 可以深入结合对客户端防病毒程序安装和运行情况的检测，为安全接入管理系统提供授权认证凭据。  终端漏洞自动分析 可以自动对终端上存在的安全漏洞进行监测，并将监测结果上报至服务器。 教育行业终端与 内网安全管理系统解决方案 北京兆维亿方科技发展有限公司 11  补丁分发 可以根据终端上存在的安全漏洞，分析到对应的补丁，并下发至终端进行安装。 分发支持强制安装和通知安装两种方式，安装支持静默安 装和非静默安装两种方式。 教育行业终端与 内网安全管理系统解决方案 北京兆维亿方科技发展有限公司 12  补丁完整性和兼容性测试 极地银河终端与内网安全管理系统 可以利用补丁的数字签名等信息验证补丁来源的可靠性和完整性。 可以挑选网络中典型应用的主机进行补丁兼容性测试，在确认补丁无兼容性问题后再进行全网分发。  补丁增量更新导入 极地银河终端与内网安全管理系统 可以检查服务器上的补丁信息是否是最新的，如果不是最新的，能够自动分析出来和最新补丁的差异，并将差异部分下载和导入，实现补丁的增量更新。  自定义 补丁管理 极地银河终端与内网安全管理系统 允许添加自定义补丁文件，并对添加的自定义补丁文件 进行管理，自定义补丁的管理支持添加、删除、查询，信息修改等操作。  自动补丁分发 策略 制定 管理 极地银河终端与内网安全管理系统 可以设置自动补丁分发策略，实现对终端补丁的自动分发管理。 极地银河终端与内网安全管理系统 可以按照终端缺少补丁教育行业终端与 内网安全管理系统解决方案 北京兆维亿方科技发展有限公司 13 的风险级别，分别制定不同的分发和安装策略。 管理员可以对现有的进行更改。  流量控制 极地银河终端与内网安全管理系统 可以对补丁分发时允许使用的网络带宽进行设置，防止大规模补丁分发时占用过多网络带宽，影响正常业务使用：  点对点文件传输 极地银河终端与内网安全管理系统 能够通过服务器的调配，实 现点对点（ P2P）的文件传输。 点对点的文件传输支持补丁分发和软件分发等各种文件传输过程。  自定义补丁分发和软件分发 极地银河终端与内网安全管理系统 允许在系统中添加自定义补丁或者自定义软件，并下发至客户端。 下发的文件类型可以支持任意格式文件。 对于可执行程序，系统能够自动执行，对于非可执行类文件，系统能够自动使用关联程序打开。 教育行业终端与 内网安全管理系统解决方案 北京兆维亿方科技发展有限公司 14 网络行为管理 注：带“ *”者需要加装极地银河网关旁路型 Inter 监控系统模块。 网页浏览 完全监控与纪录到员工在何时上过哪些网站，访问过哪些网页。 可以记录终端系统浏览互联网的情 况， 并可以用多种图表形式（饼图、柱形图、表格）显示出来， 让管理员查看用户的使用情况。 可以阻止计算机浏览指定的网站。 邮件监控 * 能够完全详细监控与记录到员工发送的全部邮件的全部内容，无论他是通过FOXMAIL， OUTLOOK， OUTLOOK EXPRESS 还是任何其它邮件收发工具。 包括邮件附件你都可以直接查看与打开。 教育行业终端与 内网安全管理系统解决方案 北京兆维亿方科技发展有限公司 15 在线发邮件监控 * 员工在线 登录 ,通过 WEB(如 163,YAHOO....邮箱 )发送邮件 .所发送的邮件的全部内容都可以监控与看到 .甚至他所发送的附件 ,软件也为您截取到本地 ,你可以直接 打开 . 在线提交信息 * 能够完全记录员工通过 Web 发送的所有资料都记录下来 (包括网站登录、发送的文章帖子等等 ), 以附件形式发送也能记录。 甚至包括他的用户名密码。 操作一目了然。 聊天监控 能够对 MSN， ， Skype， YAHOO 通，阿里巴巴贸易通等聊天工具的登录监控。 可看到员工在 MSN， YAHOO 通上聊的每句话的内容，并有详细纪录可以为做证据。 MSN监视 监视 教育行业终端与 内网安全管理系统解决方案 北京兆维亿方科技发展有限公司 16 远程登录 * 详细记录 FTP、 Tel 等操作全部过程和内容。 P2P 管理 * 对主流 P2P 下载（如 BT、 eMule、 PP 点点通、 POCO、卡盟、酷狗等）的信息监控记录和封堵，解决很多单位因为 P2P 下载不能有效管理的问题。 用户使用这些 P2P 技术各种客户端软件都能监控，如： BT 精灵、 BitComet、迅雷下载、电骡或者电驴、 vagaa 哇嘎画时代版、 PP 点点通、 POCO、卡盟、酷狗等，并且监控这些客户端软件的并发连接。 轻松管理网络资源。 文件传输 * 无论他使用网页 ,FTP,,MSN,YAHOO 通等等哪种方式对文件进行传输 ,都可以详细的纪录与监控下来。 我们的软件为您直接截取到本地 ,您可以直接打开。 网络应 用 监控 功能 根据设置记录计算机的所有网络访问操作，然后根据安全策略决定是否允许相应的网络行为。 可 阻止计算机运行某些指定的应用程序或浏览指定的网站。 控制上网行为。 包括：按时段封堵 MSN 、 ，让员工无法上网聊天 ,即使他们使用代理也能封杀；限制上网站点、网页过滤（如色情网）、端口过滤、 IP过滤、规定上网时间。 可以起到昂贵防火墙的作用。 教育行业终端与 内网安全管理系统解决方案 北京兆维亿方科技发展有限公司 17 教育行业终端与 内网安全管理系统解决方案 北京兆维亿方科技发展有限公司 18 网络连接 与流量 管理 极地银河终端与内网安全管理系统 能够 详细纪录与监控每人使用的网络流量。 监控网络接口的连接状态，可以实时监控客户端的网络流量状态。 对于在 单位时间内超出流量阀值的终端，可以自动对其进行网络中断等限制措施，防止其过度占用网络带宽。 端口封杀 限制网络设备对外联系端口 ,规定只能通过哪些端口和外界联系 ,从而限制用户。 教育行业终端与 内网安全管理系统解决方案 北京兆维亿方科技发展有限公司 19 屏幕监视 可以定时抓取终端计算的屏幕，并按照时间顺序予以记录，供管理员查阅。 教育行业终端与 内网安全管理系统解决方案 北京兆维亿方科技发展有限公司 20 外联行为监控 外联监控主要解决发现和管理用户非法自行建立通路连接非授权网络的行为。 通过非法外联监控的管理，可以防止用户访问非信任网络资源，并防止由于访问非信任网络资源而引入安全风险或者导致信息泄密。 教育行业终端与 内网安全管理系统解决方案 北京兆维亿方科技发展有限公司 21 桌面安全 管理 桌面 安全管理重点解决客户端计算机桌面安全管理和行为的审计。 极地银河终端与内网安全管理系统 可以管理客户端的用户密码和防病毒软件等安全相关系统的管理，并可以详细记录客户端计算机上的文件、网站、程序、端口、即时通信工具等的使用情况。 同时可以对允许用户使用的文档、程序、网站、端口等进行管理。 桌面安全管理可以分为桌面安全及审计和桌面管理与运维两个大的功能项。 桌面安全 及审计  桌面密码权限管理 可以查看计算机上所有已有的用户及其权限，并可以远程修改密码以增强其密码安全性。  终端统一防火墙 终端具有主机防火墙功能，可以统 一设置终端的本地 /远程端口访问策略，屏蔽不必要的端口，提高终端网络安全性。  防病毒软件管理 可以检测终端上是否安装有防病毒软件，以及安装的防病毒软件是否处于工作状态，病毒库是否过期等信息。 极地银河终端与内网安全管理系统 可以辅助客户端完成防病毒软件病毒库的更新，对于未安装防病毒系统的客户端，也可以远程为其安装指定的防病毒软件。  终端在线 /离线策略管理 极地银河终端与内网安全管理系统 可以对终端在线 /离线 2 种状态下应用的策略分别予以设置。 客户端和服务器连接能够进行通信时为在线状态，无法和服教育行业终端与 内网安全管理系统解决方案 北京兆维亿方科技发展有限公司 22 务器完成通信时即为离线状态。 通过对在线 /离线 2 中状态设置不同的策略，对于经常移动办公的设备（如笔记本）可以提供更加灵活实用的管理。  硬件变化审计 可以获取终端硬件的配置信息，能够监测其变化，对于硬件变化能够记录日志并根据策略产生系统报警信息。  软件变化审计 可以获取终端软件的安装情况，能够监测其变化，对于软件的添加删除等变化能够记录日志并根据策略产生系统报警信息。  终端用户变化审计 可以发现终端用户的变化（如添 加 /删除用户），记录日志并根据策略产生系统报警信息。 教育行业终端与 内网安全管理系统解决方案 北京兆维亿方科技发展有限公司 23  文件访问审计与管理 可以记录计算机上对各种文件和文件夹的访问和操作情况，并可以根据管理员的设置，禁止对指定文件的操作。  上网 访问行为审计与管理 可以记录终端系统浏览互联网的情况，并能产生统计图表让管理员查看用户的使用情况。 可以阻止计算机浏览指定的网站。  系统进程审计与管理 可以记录终端系统上所有使用过的程序和运行过的进程，并能产生统计图表让管理员查看用户的程序使用情况。 可以阻止指定的进程在计算机上运行。 教育行业终端与 内网安全管理系统解决方案 北京兆维亿方科技发展有限公司 24  网络共享审计与管理 可以记录终 端系统上所有的共享文件夹，并可以远程对共享文件夹予以关闭。  网络端口通信审计 可以对终端的网络端口与协议使用情况进行监测和审计。  终端用户屏幕审计 可以定时抓取终端计算的屏幕，并按照时间顺序予以记录，供管。