xx省财政it运维项目投资立项申报建议书

xx省财政it运维项目投资立项申报建议书内容摘要：

义一定要经过身份认证者才可以接入到内网中。 用户角色划分 可以按照需求将两种用户划分为不同角色。 每种角色执行不同的安全和访问控制策略。 访问自动重定向 新入网用户在访问网络时会被自动重定向到 ASM 设备的安检页面 ,终端用户可按照身份类型选择不同的用户角色进行登录 ,目前主要分为员工和来宾两种角色。 根据用户选择角色类型的不同 ,ASM 会自动执行相关的验证、 安检、以及修复等操作。 双实名制 ,保障人员与设备的双重合法性 ASM 入网规范管理系统在提供多样式的身份认证保障接入网络人员合法性的同时 ,也提供了对接入网络终端设备合法性的保障 ,从而加强内部网络的可控性 ,方便管理员对网络的统一管理。 身份认证方式 身份认证可以有效的杜绝非授权用户的非法接入 ,ASM 目前支持对来宾和员工用户的身份两种角色用户的认证 ,且 ASM 支持多种身份认证系统 (如 Email、AD、 LDAP、 UKey 等 ),可以有效的利用已有的用户名 /密码系统进行身份的验证识别。 安全隐患检查及修复功能 身份认证通过以后的用户终端 ,会根据相应的安全策略进行安全扫描 ,ASM目前支持多达 20 余种安全检查项 ,可有效发现终端存在的各种安全隐患问题。 接入设备的安全性检查 对于入网终端提供了细致化的安全状态检测 ,包括各种防病毒软件版本、终端补丁漏洞、应用软件黑、白、红名单检测、非法外联、非法代理、异常流量、敏感操作行为检测等。 优化的补丁检测技术 ,能在 7 秒内检测出终端补丁状况。 支持市面上主流的防病毒软件 ,如 :瑞星、江民、金山毒霸、 McAfee、 Norton、趋势、 NOD3卡巴斯基、 FSecure 等。 还支持基于资产、注册表项、桌面属性、本地安全策略、系统设置项、外设管理等非常细致化的检测项 ,为客户提供了更好的实用效果。 与当前国内外 10多种杀毒软件联动 ,如 :微软 MSE、 Symantec、瑞星、 McAfee等防病毒软件联动工作 ,不仅能检测防病毒软件的运行状况 ,还可以将杀毒软件版本、病毒库等做为检查项 ,强制用户必须安装指定的杀毒软件以及病毒定义必须最新。 安全状态显示及修复 安检结果将在 web 页面以评分和检查项的方式显示给用户 ,检查后不符合要求 (如防病毒软件未装 ,必须安装的软件未安装等 )的用户将被禁止访问核心服务器 ,只有通过 web 界面中的提示信息进行一键式智能修复或引导至修复区进行修复后重新进行安检 ,才能最终获得正常的访问权限 ,针对终端存在的各种安全问题 ,ASM 还可进行人性化的修复工作。 实现内网终端安全的“诊治”一条龙工作。 严禁私接 NAT 转换的路由设备 在管理网络内的任何一上网络信息节点上 ,如果员工私自把网络信息节点接到一个具有 NAT 转换的路由设备 ,比如无线路由 ,那么如何发现此类设备 ,并且严格禁止使用此类设备。 严格使用管理员分配的 IP 参数 在网络中 IP 代表一台设备的地址 ,在 一个网络中希望使用固定的 IP 来代表终端的地址与身份 ,但是如何来控制终端一定使用管理员分配的 IP 地址呢 ?如果他们使用了别人的 IP 地址 ,那么终端接入网络的时候就会受到隔离控制。 桌面终端管理系统 桌面终端管理系统 ,由资产安全、应用安全、补丁安全、远程维护、安全检查及加固、外联安全、移动介质管理、网络安全、行为审计共 9 个模块组成。 系统通过 Web 方式对整个系统进行应用策略配置、下发 ,管理网络和查询报警数据 ,客户端接收到策略后自动执行并上报相关信息 ,方便管理员操作 ,不影响用户日常办公。 支持基于局域网、广域网的国家 、省、市、县多级级联管理模式。 真正做到对内部网络的完全管理 ,强化网络管理员对计算机终端的控制。 信息资产管理 具有强大的资产管理功能 ,能够自动监测和管理终端计算机的各种软硬件资产信息 : 硬件资产 能自动监测终端计算机的运行状态 ,系统记录各计算机的 CPU 型号及主频、内存型号及大小、硬盘型号及大小、设备标识、主板信息、 IP 地址、计算机名、 MAC 地址、网卡型号和生产商、 软件资产 能够自动收集应用程序信息 ,包括操作系统和应用软件种类、版本号以及安装时间、计算机所在域、物理位置等信息。 资产管理 能 够将用户信息 (单位、部门等 )和计算机信息 (资产编号、 IP 等 )进行对应 ,能够手工添加硬件的描述信息 ,能从采购时输入一直到接入网络、日常维修、一直到报废的信息描述。 建立电子档案 ,形成“人机绑定 ,责任到人”的户籍式管理体系。 远程管理 系统管理员通过远程管理能够对网内终端计算机远程管理进程、共享文件夹、远程的重启、注销、锁定、解锁、关闭甚至卸载终端等操作 ,实现足不出办公室的办公模式 ,有效提高运维效率。 系统同时提供了远程截屏的功能。 远程维护 系统远程维护功能对计算机进行远程查看和远程 控制 ,配合消息交换功能 ,可以很好的让 IT 管理员进行远程故障的诊断和排除 ,很好的提高工作效率。 系统远程管理功能支持客户端确认过程 ,没有用户的确认无法实现远程接管终端 ,终端远程服务也只是在需要的时候开启 ,使用动态密码保证远程服务的安全性。 该方法很好的兼顾了终端系统用户的数据安全和隐私 ,确保终端计算机的安全性。 远程设置 系统管理员通过终端运维管理能够对终端机的网络属性进行设置 ,比如设定网络参数、修改计算机名称、工作组名称等。 系统管理员还能通过终端管理对网络内终端机算计的 IP地址 /MAC地址的绑定 ,禁止 用户私自更改 IP 地址。 对私自更改 IP 地址的用户 ,可自动进行 “自动恢复原 IP 地址、锁定计算机、隔离网络、自动关机”等处理 远程消息 系统提供远程消息功能 ,支持对在线、不在线的计算机按照分组、单机的方式发送消息。 在线的计算机能实时收到管理员发出的消息 ,不在线的计算机在系统上线后能够马上收到管理员发出的消息。 通过系统远程消息功能 ,管理员能够将通知、终端异常告警、友好提示等信息方便的传达给终端用户。 软件分发管理 能够支持可执行程序、 MSI 安装包或文档数据文件自动下发与安装。 能够支持指定组范围、指定 时间进行安装、能够指定客户端安装目录。 并且支持其他程序、脚本的分发安装 ,提供打包工具 ,能够判断检测指定程序是否在运行 ,如果运行则提示系统需要升级提供一个提示对话框如果按确认则将指定程序退出开始安装 ,如果选择取消则不安装 ,如果未运行则马上开始安装。 能够提供带参数运行程序包。 能够指定执行安装之后是否重启、关闭机器。 能够查询软件分发的详情与历史情况。 同时能够支持后台运行功能 ,根据脚本后台安装的参数进行设置 ,通过脚本定义的参数让脚本或可执行程序在后台运行。 策略管理 管理员通过制定策略模版 ,强制实现被管终 端安全策略的统一配置。 策略模版是一组策略的集合 ,每个策略模版可以应用到一个部门 (群组 ),并且默认的适用于该部门的所有下级部门。 系统根据设定的安全策略 ,能够对终端计算机安全进行有效评估 ,并对终端进行加固。 同时对终端策略后若出现违反策略的操作会分别生成相应的告警和日志 ,帮助管理员及时发现与事后追踪。 主要的策略管理列表如下 : 外设管理 :对终端计算机的外设进行统一管理 ,启用或禁用光驱、软驱、 USB全部接口、打印机、调制解调器、 1394 控制器、红外设备、无线网卡等。 当禁用 USB 存储设备时 ,像 USB 打印机、 USBKey 可以照常使用。 外设管理策略在安全模式下同样生效。 黑白程序管理 :能够按全天或指定的时间对指定的程序进行禁止 ,或者采取反选 ,对指定的程序外的程序进行禁止。 能够防止客户端通过修改文件名和目录的方式运行非法程序。 违规外联监控 :当部署了违规外联策略的客户机或者群组在终端设备通过model、红外设备、无线设备或蓝牙设备等等方式违规接入 Inter 等行为 ,立即告警 ,系统会记录外联时间与目标地址 ,操作用户等等信息 ,同时会提供报警及数据查询等功能。 当有违规外联现象发生时处理操作 ,可以提示、断线、报警等操作。 移动存储设备使用监控与管理 :USB 设备策略能够对所有安装客户端主机的USB 移动存储设备进行统一的管理 ,启用或禁用 USB 接口。 需要指出的是 ,该策略在对 USB接口进行管理时只对 USB硬盘和 U盘等存储接口进行管理 ,不会限制 USB键盘和鼠标的使用。 通过这样的手段来防止非法拷贝重要的数据。 并且能够对拷贝的文件名进行审计。 黑白网站管理 :能够对用户访问的 url 地址进行监控 ,并且能够按全天或指定的时间对指定的网站、域名进行禁止 ,或者采取反选 ,对指定的网站域名外的网站进行禁止。 对用户访问的 url 地址能够进行审计 ,帮助管理员 进行事后查证。 流量控制策略 :提供对客户端计算机的流量审计与控制策略 ,通过控制策略 ,对终端用户的流量进行监控 ,可以限定客户端流入、流出、总流量大小及连接数、icmp 包数量等进行监测。 当流量或连接数或包数超过预定的阀值时能够告警、断网、提示等操作。 系统同时能够通过插件方式生成。