【文章內(nèi)容簡介】 以以組件的方式在系統(tǒng)上加載、運(yùn)行，接受系統(tǒng)的統(tǒng)一管理；所有產(chǎn)生的運(yùn)行日志寫入統(tǒng)一數(shù)據(jù)庫中供系統(tǒng)查詢、分析、綜合。 VRVEDP系統(tǒng)功能介紹 客戶端安全管理功能補(bǔ)丁管理主要功能1. 補(bǔ)丁增量導(dǎo)入功能：其內(nèi)部補(bǔ)丁升級服務(wù)器中的補(bǔ)丁必須從外部獲得，因此，要求從可以連接Internet的專用補(bǔ)丁下載服務(wù)器下載補(bǔ)丁。但十分巨大的補(bǔ)丁庫使得每次補(bǔ)丁導(dǎo)入的工作煩瑣，因此北信源針對此類物理隔離的內(nèi)網(wǎng)，使用增量式補(bǔ)丁自動分離技術(shù)，在外網(wǎng)分離出已安裝、未安裝補(bǔ)丁，分類導(dǎo)入，即僅對內(nèi)網(wǎng)的補(bǔ)丁進(jìn)行“增量式”的升級，減少拷貝工作量?；ヂ?lián)網(wǎng)補(bǔ)丁自動實時探測，支持補(bǔ)丁導(dǎo)出前病毒過濾。2. 補(bǔ)丁分析功能：自動建立補(bǔ)丁庫，支持補(bǔ)丁庫信息查詢。針對下載的補(bǔ)丁進(jìn)行歸類存放，按照不同操作系統(tǒng)、補(bǔ)丁編號、補(bǔ)丁發(fā)布時間、補(bǔ)丁風(fēng)險等級、補(bǔ)丁公告等進(jìn)行歸類，幫助管理人員快速識別補(bǔ)丁。3. 補(bǔ)丁策略制訂（分發(fā)）功能：支持用戶自定義補(bǔ)丁策略自由配置分發(fā)，發(fā)送至客戶端后統(tǒng)一按策略執(zhí)行應(yīng)用。l 補(bǔ)丁策略制定：具體可支持定時、定周期、分類、分部門、分范圍、客戶機(jī)狀態(tài)和用戶自定義等策略。l 補(bǔ)丁策略分發(fā)：具備詳盡的補(bǔ)丁分發(fā)策略，補(bǔ)丁可以定時、定周期、分類、分范圍、分部門、客戶機(jī)狀態(tài)和用戶自定義等進(jìn)行分發(fā)。l 補(bǔ)丁文件任務(wù)制定：針對特定的一個補(bǔ)丁或多個補(bǔ)丁，對指定計算機(jī)或者計算機(jī)網(wǎng)絡(luò)進(jìn)行補(bǔ)丁自動分發(fā)安裝。4. 補(bǔ)丁文件自動分發(fā)功能：在指定時間、指定網(wǎng)絡(luò)范圍內(nèi)以不同方式（如推、拉）分發(fā)補(bǔ)丁，或者根據(jù)腳本策略統(tǒng)一控制客戶端下載補(bǔ)丁。當(dāng)系統(tǒng)監(jiān)測到有客戶端未打補(bǔ)丁時，可對漏打補(bǔ)丁客戶端進(jìn)行推送補(bǔ)丁。同時，通過推送安裝，也可以為SUS系統(tǒng)不支持的客戶端安裝補(bǔ)丁及應(yīng)用軟件（補(bǔ)?。?。5. 補(bǔ)丁分發(fā)流量控制功能：為了適應(yīng)將來可能的系統(tǒng)擴(kuò)展，系統(tǒng)特別設(shè)計了利用多種方式進(jìn)行下載流量控制：l 系統(tǒng)能夠根據(jù)網(wǎng)絡(luò)的負(fù)載情況自動調(diào)整分發(fā)補(bǔ)丁時所占的網(wǎng)絡(luò)帶寬和并發(fā)連接數(shù)。l 根據(jù)手動設(shè)置允許的帶寬或服務(wù)器并發(fā)連接數(shù)及每個連接所允許使用的帶寬。l 系統(tǒng)同時支持客戶端轉(zhuǎn)發(fā)代理補(bǔ)丁下載以減少網(wǎng)絡(luò)帶寬流量，提高效率。l 下級級聯(lián)同步下載補(bǔ)丁的連接數(shù)和下載流量的大小進(jìn)行自動的判別或者根據(jù)需要進(jìn)行手動調(diào)整?？蛻舳搜a(bǔ)丁檢測：支持客戶端補(bǔ)丁多重探測周期配置。定時檢測注冊客戶端系統(tǒng)補(bǔ)丁安裝狀況，同補(bǔ)丁信息庫比較后，顯示客戶端補(bǔ)丁安裝狀況（客戶端訪問指定網(wǎng)頁自動獲得漏打補(bǔ)丁信息，物理隔離網(wǎng)絡(luò)中自動生成補(bǔ)丁分發(fā)網(wǎng)站）。6. 補(bǔ)丁安全性測試：測試是補(bǔ)丁安裝前必須進(jìn)行的，系統(tǒng)支持網(wǎng)管測試組定義進(jìn)行自動補(bǔ)丁安全性測試，即首先選定一定區(qū)域的計算機(jī)作為測試計算機(jī)，首先對這些計算機(jī)進(jìn)行新補(bǔ)丁的安裝測試，以便網(wǎng)管可選擇有效對象，進(jìn)行非模擬性自動測試。補(bǔ)丁自動測試可提高打補(bǔ)丁的成功性、安全性、可靠性，降低網(wǎng)管工作量。7. 報表輸出查詢功能：服務(wù)器端補(bǔ)丁查詢模塊基于補(bǔ)丁名稱等關(guān)鍵字對區(qū)域網(wǎng)絡(luò)范圍內(nèi)的計算機(jī)終端進(jìn)行補(bǔ)丁安裝狀況查詢，通過相應(yīng)的查詢條件，能快速的獲知所查詢補(bǔ)丁的安裝情況并生成報表，以保證補(bǔ)丁及時的安裝。8. 客戶端網(wǎng)頁查詢補(bǔ)丁安裝信息功能：系統(tǒng)客戶端的計算機(jī)可以通過訪問內(nèi)網(wǎng)的特定網(wǎng)頁，對本機(jī)所缺少的計算機(jī)補(bǔ)丁進(jìn)行查詢，查詢結(jié)果在網(wǎng)頁上進(jìn)行顯示，計算機(jī)用戶根據(jù)需要進(jìn)行安裝。9. 新（長時間關(guān)機(jī)）客戶端入網(wǎng)先打補(bǔ)丁功能：系統(tǒng)可保證此新（常時間關(guān)機(jī)）的客戶端剛接入網(wǎng)絡(luò)時，不與網(wǎng)絡(luò)中除補(bǔ)丁服務(wù)器外其它計算機(jī)的通訊，只有在上網(wǎng)后首先進(jìn)行補(bǔ)丁安裝工作；只有在補(bǔ)丁安裝完成后，才開放其與網(wǎng)內(nèi)其它計算機(jī)的通訊，防止有漏洞的計算機(jī)在網(wǎng)上出現(xiàn)。特別說明1. 客戶端統(tǒng)一安全管理系統(tǒng)具有良好的兼容性，支持主流操作系統(tǒng)，如Windows200Windows2000 Pro、Windows 2000 Server、Windows xp Pro、Windows XP home、Windows、Windwos9X等。2. 因為補(bǔ)丁索引文件為自主開發(fā)，因此補(bǔ)丁索引的結(jié)構(gòu)具備可擴(kuò)展和可編輯性，索引的結(jié)構(gòu)和定義可以支持除了支持微軟補(bǔ)丁外，還可以支持非微軟系統(tǒng)補(bǔ)丁、各種數(shù)據(jù)庫補(bǔ)丁，甚至可以支持各種用戶應(yīng)用程序的更新補(bǔ)丁。3. 系統(tǒng)擁有專門的外網(wǎng)補(bǔ)丁下載服務(wù)器，能根據(jù)索引自動下載新增的計算機(jī)補(bǔ)丁，補(bǔ)丁校驗功能對所下載的補(bǔ)丁進(jìn)行校驗，保證計算機(jī)補(bǔ)丁的可靠性、完整性、安全性。4. 補(bǔ)丁在導(dǎo)入時并具有病毒檢測功能，保證導(dǎo)入到補(bǔ)丁庫中的補(bǔ)丁不被病毒感染。5. 可定期進(jìn)行同步校驗，也可自主設(shè)定同步校驗周期和時間。在有新補(bǔ)丁導(dǎo)入時，也可以自動觸發(fā)與下級服務(wù)器間的同步操作。所有的同步過程均可自動完成，上級服務(wù)器可以了解下級服務(wù)器補(bǔ)丁庫是否同步成功。 目前內(nèi)網(wǎng)采用了專門的物理隔離手段、安全網(wǎng)段劃分、安全防護(hù)設(shè)備（如防火墻、入侵檢測等）等方式以保證自身的網(wǎng)絡(luò)安全，但是移動設(shè)備（筆記本電腦等）和新增設(shè)備未經(jīng)過安全過濾和檢查，違規(guī)接入內(nèi)部網(wǎng)絡(luò)；以及內(nèi)部網(wǎng)絡(luò)用戶通過調(diào)制解調(diào)器、雙網(wǎng)卡、無線網(wǎng)卡等網(wǎng)絡(luò)設(shè)備進(jìn)行在線違規(guī)撥號上網(wǎng)、違規(guī)離線上網(wǎng)等行為的時有發(fā)生，這些都使得以上那些網(wǎng)絡(luò)安全技術(shù)無法發(fā)揮自身的力量對邊界進(jìn)行保護(hù)；因此作為一個安全的網(wǎng)絡(luò)系統(tǒng)，必須杜絕這種現(xiàn)象的產(chǎn)生。除了相應(yīng)的管理制度以外，邊界完整性檢查類產(chǎn)品正是其技術(shù)保障，它可以發(fā)現(xiàn)本應(yīng)該被隔離的內(nèi)部主機(jī)建立其他的網(wǎng)絡(luò)通道的情況，以技術(shù)手段保障網(wǎng)絡(luò)內(nèi)網(wǎng)保障隔離度的有效性。網(wǎng)絡(luò)隔離度不徹底主要可能造成以下的危害：1. 病毒攻擊，甚至可能導(dǎo)致網(wǎng)絡(luò)癱瘓；2. 黑客攻擊，影響網(wǎng)絡(luò)工作；3. 導(dǎo)致內(nèi)部機(jī)密信息泄漏。造成隔離度不夠的原因具體又可分為以下幾點：1. 網(wǎng)絡(luò)內(nèi)部電腦設(shè)備私自通過modem或者無線網(wǎng)卡等手段，未經(jīng)過安全代理，違規(guī)接入外網(wǎng)；2. 下級網(wǎng)絡(luò)私自開通出口訪問Internet；3. 非內(nèi)部網(wǎng)絡(luò)計算機(jī)未經(jīng)允許，通過有線或無線網(wǎng)絡(luò)的方式，違規(guī)接入內(nèi)部網(wǎng)絡(luò)；4. 便攜式PC帶出內(nèi)部網(wǎng)絡(luò)后，未經(jīng)過安全檢測（如病毒檢測、弱口令檢測），違規(guī)接入公司內(nèi)部網(wǎng)絡(luò)。北信源是國內(nèi)最先研究C/S模式的網(wǎng)絡(luò)隔離度保障安全產(chǎn)品的廠商，其內(nèi)網(wǎng)安全管理系統(tǒng)是最成熟和最強(qiáng)大的網(wǎng)絡(luò)隔離度保障系統(tǒng)，用于保障網(wǎng)絡(luò)的專網(wǎng)專用，它可以：1. 監(jiān)控移動設(shè)備（筆記本電腦等）和新增設(shè)備未經(jīng)過安全過濾和檢查，違規(guī)接入內(nèi)部網(wǎng)絡(luò)；（這里的安全檢查主要指病毒檢查和弱口令檢查）2. 監(jiān)測內(nèi)網(wǎng)計算機(jī)繞過防火墻等設(shè)備，違規(guī)接入網(wǎng)絡(luò)的行為；3. 監(jiān)控物理隔離的網(wǎng)絡(luò)內(nèi)部設(shè)備違規(guī)接入Internet的行為；4. 監(jiān)控違反規(guī)定將專網(wǎng)專用的計算機(jī)帶出網(wǎng)絡(luò)進(jìn)入到其他網(wǎng)絡(luò)的行為；5. 提供精確的IP和MAC地址綁定功能,可以自動恢復(fù)被修改的IP/MAC地址。蠕蟲病毒均是通過一定的端口進(jìn)行傳播和發(fā)包，如果網(wǎng)管可以統(tǒng)一控制網(wǎng)絡(luò)中計算機(jī)的端口，關(guān)閉病毒使用的端口，就可以有效阻止這些病毒的傳播和破壞。系統(tǒng)具備可由網(wǎng)管根據(jù)需要統(tǒng)一配置的客戶端主機(jī)防火墻，可按照策略控制客戶端的特定端口的連接，包括如禁用（開啟）指定的端口，禁止Ping入（出），設(shè)定IP區(qū)域訪問控制等。由于現(xiàn)有的殺毒軟件只能了解哪些網(wǎng)絡(luò)客戶端感染病毒，并不能獲知哪些網(wǎng)絡(luò)中的客戶端為網(wǎng)絡(luò)中引入了病毒。而對于539所網(wǎng)絡(luò)，由于網(wǎng)絡(luò)復(fù)雜，在網(wǎng)絡(luò)出現(xiàn)病毒、蠕蟲等安全問題后，難以確定和查找病毒引入點，也就更難以實時、快速、準(zhǔn)確的對其進(jìn)行封堵和事后處理。內(nèi)網(wǎng)安全管理系統(tǒng)采用獨家技術(shù)，在網(wǎng)絡(luò)出現(xiàn)病毒、蠕蟲攻擊等安全問題時，對安全事件源的實時、快速、精確定位、并可進(jìn)行遠(yuǎn)程阻斷隔離操作。在大規(guī)模病毒（安全）事件發(fā)生后，幫助網(wǎng)管確定病毒或黑客事件源頭，以做到事后分析、責(zé)任查處和加強(qiáng)安全預(yù)警的問題。蠕蟲病毒大量占用網(wǎng)絡(luò)帶寬，可能造成網(wǎng)絡(luò)阻塞，對網(wǎng)絡(luò)造成嚴(yán)重影響。目前相當(dāng)一部分網(wǎng)絡(luò)事故都是蠕蟲病毒造成的，如何對付蠕蟲病毒，特別是未知的蠕蟲病毒是經(jīng)常困擾網(wǎng)絡(luò)管理人員的一個重要問題。蠕蟲病毒在網(wǎng)絡(luò)上進(jìn)行掃描，而掃描的主要特征是對外發(fā)包數(shù)目和系統(tǒng)接收數(shù)據(jù)包的數(shù)目嚴(yán)重失衡，這也是掃描行為的一個主要的特征。同時，發(fā)包行為也會占用大量帶寬，內(nèi)網(wǎng)安全管理系統(tǒng)通過分析發(fā)包行為和帶寬占用情況，可發(fā)現(xiàn)蠕蟲病毒行為，并對其進(jìn)行報警和控制。迅雷下載行為在很多情況下會嚴(yán)重占用網(wǎng)絡(luò)帶寬，由于現(xiàn)在市面上常見的采用BT技術(shù)進(jìn)行下載的軟件眾多，而且還在迅速增加，因此通過安裝軟件的監(jiān)視和進(jìn)程監(jiān)視難以對其進(jìn)行控制。因此需要針對BT下載的特征，對其進(jìn)行控制。主要功能： 1. 流量采樣閾值設(shè)定：用戶自主設(shè)定采樣閾值，當(dāng)流量（含出、入或總流量）超過一定限度并持續(xù)一定時間后，進(jìn)行有關(guān)信息上報，防止上報數(shù)據(jù)過多給網(wǎng)絡(luò)帶來負(fù)擔(dān)。2. 上報的當(dāng)前流量進(jìn)行匯總，對當(dāng)前的流量進(jìn)行實時排序，以便網(wǎng)絡(luò)管理人員進(jìn)行快速分析是否是網(wǎng)絡(luò)安全事故。3. 對網(wǎng)絡(luò)客戶端的歷史流量進(jìn)行統(tǒng)計和排序，并可生成報表。4. 對并發(fā)連接數(shù)設(shè)定閾值并進(jìn)行采樣。5. 對網(wǎng)絡(luò)掃描的可疑行為進(jìn)行閾值設(shè)定和報警。6. 對客戶端大量發(fā)包的可疑行為進(jìn)行閾值設(shè)定和報警。7. 對具備可疑行為的客戶端進(jìn)行報警上報、自動阻斷、客戶端提示等管理。8. 設(shè)定網(wǎng)絡(luò)客戶端流量上限閾值，對超過的進(jìn)行報警上報、自動阻斷、客戶端提示等管理。標(biāo)準(zhǔn)網(wǎng)管軟件獲得的是路由器和交換機(jī)的接口流量，一般為網(wǎng)絡(luò)主干或支干流量，在網(wǎng)絡(luò)事件產(chǎn)生時，網(wǎng)管人員最關(guān)心的應(yīng)是具體終端的流量和排序。系統(tǒng)具備基于主機(jī)方式對網(wǎng)絡(luò)中客戶端流量、分支網(wǎng)絡(luò)帶寬流量進(jìn)行分析，防止非法入侵、濫用網(wǎng)絡(luò)資源。可由網(wǎng)絡(luò)管理人員設(shè)定流量的閾值參數(shù)，當(dāng)流量（含出、入或總流量）超過一定限度并持續(xù)一定時間后，進(jìn)行有關(guān)信息上報，以便網(wǎng)管了解客戶端異常流量，從而快速分析是否是網(wǎng)絡(luò)安全事故。對于帶有威脅的病毒的電腦和一些行為嚴(yán)重不正常（如大量發(fā)數(shù)據(jù)包，阻塞網(wǎng)絡(luò)等）的電腦，目前的主要手段是通過交換機(jī)進(jìn)行阻斷，具體可分為手工阻斷（拔網(wǎng)頭）和利用可管理交換機(jī)阻斷。這樣的方法存在一定的不便（需要具體查找需要阻斷的電腦及其端口）和風(fēng)險（可能阻斷錯誤造成網(wǎng)絡(luò)正常計算機(jī)無法入網(wǎng)）。此外，利用SNMP控制可管理交換機(jī)，通過命令切斷端口的方法，對非可管理交換機(jī)和HUB不可行，而當(dāng)前網(wǎng)絡(luò)中有許多單位采用此種非可管理設(shè)備。綜合分析，傳統(tǒng)的交換機(jī)阻斷方法主要有以下四個問題：1. 對非可管理交換機(jī)實現(xiàn)麻煩；2. 對可管理交換機(jī)使用自動阻斷存在一定風(fēng)險；3. 此種方法需要可控交換機(jī)的密碼；4. 難以精確定位安全事件的發(fā)生點。內(nèi)網(wǎng)安全管理系統(tǒng)的非正常終端軟阻斷功能內(nèi)網(wǎng)安全管理系統(tǒng)還可通過軟件進(jìn)行軟阻斷的方法對危險的病毒源進(jìn)行阻斷。此阻斷技術(shù)利用了分布式技術(shù)，可跨網(wǎng)段，跨VLAN，穿透防火墻，達(dá)到與進(jìn)行交換機(jī)操作同一的阻斷效果。用該系統(tǒng)進(jìn)行阻斷有風(fēng)險小，反應(yīng)速度快的優(yōu)點；同時，網(wǎng)管可在服務(wù)器端精確定位異常終端，并通過調(diào)度客戶端的（在同一網(wǎng)段內(nèi)的）注冊探頭對其阻斷。通過軟件手段對非正常終端進(jìn)行阻斷可達(dá)到與交換機(jī)阻斷相同的效果，其優(yōu)點如下：內(nèi)網(wǎng)安全管理系統(tǒng)所采用的軟阻斷方式還可以視需要與防火墻、交換機(jī)進(jìn)行聯(lián)動，以達(dá)到更好的效果。1. 反應(yīng)速度快，可以迅速精確的定位客戶端，不用查找其端口等相關(guān)信息； 2. 風(fēng)險小，每次只阻斷特定的一臺終端；3. 方便快捷。對于大型網(wǎng)絡(luò)，網(wǎng)絡(luò)客戶端由于用戶使用水平的差別，會出現(xiàn)用戶卸載甚至退出統(tǒng)一安裝的防病毒軟件的情況，也會出現(xiàn)有個別用戶被遺漏，未安裝防病毒軟件的情況。同樣也會出現(xiàn)個別客戶胡亂安裝非可靠軟件，甚至黑客掃描軟件的情況。這些均只有依靠技術(shù)手段才可以解決?？山y(tǒng)一監(jiān)控網(wǎng)絡(luò)內(nèi)的防病毒軟件（國內(nèi)主流廠商的均可）安裝情況和使用狀態(tài)，了解網(wǎng)絡(luò)中的病毒軟件安裝狀況，必要時可通過此系統(tǒng)強(qiáng)制為客戶端安裝防病毒程序，如果需要，此系統(tǒng)也可監(jiān)控終端軟件的安裝情況，并進(jìn)行相應(yīng)的管理（如安裝軟件，強(qiáng)行升級、禁止使用特定軟件，刪除軟件等）。Windows的所有安全策略都是基于注冊表的。通過改變注冊表的有關(guān)配置，可以在指定方面很大程度上增強(qiáng)客戶端的安全性。同時，木馬和病毒的開機(jī)自動啟動一般也是通過改變注冊表項，啟動時自動加載實現(xiàn)的。因此有必要對注冊表進(jìn)行檢查。系統(tǒng)相關(guān)功能1. 系統(tǒng)提供注冊表保護(hù)與訪問行為審計功能。l 系統(tǒng)可防止未授權(quán)用戶添加、更改、刪除注冊表相關(guān)內(nèi)容；l 系統(tǒng)可對用戶訪問注冊表的操作進(jìn)行審計。2. 對注冊表項、鍵名、鍵值進(jìn)行檢查，檢查