【正文】 WINDOWS存在的帳戶進行密碼強度的控制。系統(tǒng)清理系統(tǒng)臨時文件和歷史記錄的自動清理功能。. 安全服務類別功能名稱功能描述安全服務預警平臺提供管理員和終端用戶之間的實時消息通知以及文檔發(fā)布的功能。遠程協(xié)助提供管理員遠程登錄終端用戶桌面進行安全維護以及故障診斷等操作的功能。軟件分發(fā)管理提供應用軟件的自動分發(fā)功能。時鐘同步通過時間服務同步內網(wǎng)所有主機的系統(tǒng)時間. 安全網(wǎng)管類別功能名稱功能描述安全網(wǎng)管網(wǎng)絡參數(shù)配置提供IP地址、MAC地址、DNS、網(wǎng)關、網(wǎng)絡掩碼等網(wǎng)絡配置參數(shù)的遠程管理功能，防止惡意修改網(wǎng)絡參數(shù)，濫用網(wǎng)絡資源。主機資源監(jiān)控對服務器和計算機終端的CPU、內存、網(wǎng)絡接口流量進行監(jiān)控，一旦超出設定的閾值，立即向預警中心報警。非法接入監(jiān)控禁止未注冊的計算機接入本地網(wǎng)絡，并實時報警和阻斷。網(wǎng)絡拓撲自動發(fā)現(xiàn)自動發(fā)現(xiàn)并收集所有網(wǎng)絡設備的基本信息以及連接關系。自定義網(wǎng)絡拓撲提供網(wǎng)絡拓撲圖中網(wǎng)絡設備的手動增加、刪除功能，以及網(wǎng)絡設備之間連接關系的變更功能?？梢暬W(wǎng)絡管理提供地圖模式的網(wǎng)絡拓撲顯示功能以及網(wǎng)絡設備的面板圖管理功能。端口流量統(tǒng)計提供交換機端口的流量圖統(tǒng)計功能，對于異常的網(wǎng)絡端口流量進行報警。. 資產(chǎn)管理類別功能名稱功能描述資產(chǎn)管理軟硬件資產(chǎn)自動收集能夠自動收集并記錄網(wǎng)絡中的設備資產(chǎn)信息。資產(chǎn)變更管理提供資產(chǎn)手動錄入、注銷功能。資產(chǎn)統(tǒng)計提供資產(chǎn)過濾查詢以及自動、手動報表功能。資產(chǎn)變更報警提供資產(chǎn)變更時郵件、短信消息通知報警功能。. LanSecS系統(tǒng)安全性設計作為內網(wǎng)安全管理系統(tǒng)，系統(tǒng)自身的安全性對內網(wǎng)來說十分重要。LanSecS內網(wǎng)安全管理系統(tǒng)設計之初便對其自身安全性做了充分的考慮和技術處理，使得LanSecS內網(wǎng)安全管理系統(tǒng)的安全性得到了有效的保障。LanSecS內網(wǎng)安全管理系統(tǒng)自身安全性體現(xiàn)在如下幾個方面：l 控制中心安全性l 主機代理安全性l 數(shù)據(jù)庫安全性l 策略安全性l 主機代理與控制中心通訊安全性. 控制中心安全性控制中心作為LanSecS內網(wǎng)安全管理系統(tǒng)的集中服務提供部件，一旦停止服務或者被惡意破壞，對整個安全管理系統(tǒng)的影響十分巨大。LanSecS內網(wǎng)安全管理系統(tǒng)從以下方面確?？刂浦行牡陌踩?) 操作系統(tǒng)增強與加固：控制中心采用硬件化封裝，硬件采用基于Linux內核的操作系統(tǒng)。經(jīng)過內核優(yōu)化、修補和重新編譯，確保操作系統(tǒng)的穩(wěn)定性和安全性。另外，系統(tǒng)除了提供管理服務、組件通訊服務和代理通訊服務外，不提供任何其它的服務，避免了潛在的系統(tǒng)服務缺陷導致的系統(tǒng)崩潰和受攻擊的可能性。2) 系統(tǒng)管理控制：LanSecS內網(wǎng)安全管理系統(tǒng)控制中心的管理采用了嚴格的身份認證和訪問控制策略，保證了只有授權管理人員才能訪問系統(tǒng)。在認證方式上，管理人員通過數(shù)字證書進行身份認證，提高了認證的強度和安全性；在訪問控制上，系統(tǒng)采用了多網(wǎng)絡接口設計，將管理接口和代理服務接口分開，系統(tǒng)管理采用獨立的網(wǎng)絡接口進行，減少了受攻擊的可能性。除此之外，LanSecS控制中心還內置了防火墻，對系統(tǒng)管理控制臺的地址進行必要的訪問控制，只有特定的地址才允許管理系統(tǒng)。3) 代理訪問認證：LanSecS內網(wǎng)安全管理系統(tǒng)控制中心為主機代理提供服務，但是對代理也采取了嚴格的認證。LanSecS內網(wǎng)安全管理系統(tǒng)對主機代理采用注冊管理的方式，主機代理只有通過身份認證后才允許與控制中心通訊，獲取策略和上傳告警等。這樣可有效防止對控制中心的拒絕服務攻擊。. 主機代理安全性主機代理作為位于計算機終端上的監(jiān)控引擎，完成大部分的監(jiān)控、審計、告警功能。一旦主機代理被破壞，便無法對計算機終端進行監(jiān)控。主機代理從以下方面確保自身的安全性：1) 自我保護：主機代理對監(jiān)控進程采取了隱藏技術，防止通用進程管理工具的破壞；對自身的服務進行了保護處理、防止惡意停止服務造成監(jiān)控功能失效；對本地文件進行了訪問保護，防止被惡意刪除。2) 運行安全：主機代理通過對注冊表的技術處理，確保自身能夠隨操作系統(tǒng)的啟動而啟動（包括安全模式）；同時，主機代理采用了進程看護、多入口恢復等技術保證了進程被惡意破壞后的迅速恢復。從而保證主機代理能夠無間斷地提供監(jiān)控服務。3) 完整性校驗：主機代理對自身的程序文件和配置文件采用了完整性校驗技術，一旦發(fā)現(xiàn)某些文件被篡改，會立即向控制中心請求代理更新，確保主機代理自身是完整的和可控的。. 數(shù)據(jù)庫安全性數(shù)據(jù)庫是代理信息、主機信息、代理策略、審計信息和告警信息等的集中存儲倉庫，因此數(shù)據(jù)庫數(shù)據(jù)安全和數(shù)據(jù)庫安全也非常重要。對于數(shù)據(jù)庫，LanSecS內網(wǎng)安全管理系統(tǒng)采取了以下的措施保證其安全性：1) 數(shù)據(jù)庫訪問控制：LanSecS內網(wǎng)安全管理系統(tǒng)對數(shù)據(jù)庫采用最小授權訪問策略，通過配置，僅允許控制中心訪問，其它任何用戶和地址無權訪問。確保數(shù)據(jù)庫免遭惡意入侵和拒絕服務攻擊。2) 數(shù)據(jù)加密：對部分關鍵數(shù)據(jù)，如監(jiān)控策略，LanSecS內網(wǎng)安全管理系統(tǒng)采用了加密的方式存儲在數(shù)據(jù)庫中，防止被惡意篡改導致策略失效。3) 數(shù)據(jù)備份：LanSecS內網(wǎng)安全管理系統(tǒng)對數(shù)據(jù)庫采取了備份管理的方式，保證數(shù)據(jù)能夠在任何時候完整恢復。備份采用了在線方式，無需數(shù)據(jù)庫停止服務即可備份數(shù)據(jù)。數(shù)據(jù)的備份與恢復均由具有獨立身份的備份管理員完成。. 策略分發(fā)與存儲安全性策略是指導主機代理如何工作的核心，因此，策略的安全性不容忽視。策略的安全性包括策略訂單產(chǎn)生的安全性、策略傳遞的安全性和策略存儲的安全性1) 策略訂單生成控制：LanSecS內網(wǎng)安全管理系統(tǒng)中，策略訂單的生成和管理僅可由安全管理員完成，其他管理員均無權操作，保證了策略生成的安全性。2) 策略簽名：安全管理員生成的策略，在分發(fā)到主機代理端時會自動由控制中心服務簽名，簽名信息與策略信息一起發(fā)送到主機代理端。主機代理可以通過控制中心服務的公鑰對簽名進行驗證。3) 策略傳遞：策略由控制中心向主機代理傳遞時采用了加密通道，保證了策略不被竊取和破壞。4) 策略存儲：策略信息在數(shù)據(jù)庫中采用加密存儲的方式，另外策略分發(fā)到主機代理端后，也采用了安全存儲方式，保證策略信息不被刪除和破壞。5) 策略完整性校驗：主機代理在應用安全策略前，可對策略信息進行完整性校驗，一旦發(fā)現(xiàn)策略被篡改，會自動向控制中心申請重新分發(fā)策略。. 主機代理與控制中心通訊安全性主機代理與控制中心之間的通訊包括策略傳遞、審計上報和報警上報等。為保證通訊的安全性，LanSecS內網(wǎng)安全管理系統(tǒng)采用了如下措施：1) 加密傳輸：主機代理與控制中心之間采用了SSL加密通道傳送信息，保證信息傳輸過程中的安全性。2) 身份認證：主機代理與控制中心建立通信連接前，控制中心需要對主機代理進行身份認證，只有通過認證的主機代理才能建立通信連接。3) 本地安全存儲：一旦通訊過程中斷，主機代理會將審計信息和告警信息轉存到本地，數(shù)據(jù)存儲采用了加密措施和安全保護措施，防止被惡意破壞。一旦通訊連接重新建立，主機代理可將本地存儲的信息重新上傳給控制中心。保證了信息不被丟棄。4. 系統(tǒng)特色與系統(tǒng)部署. LanSecS系統(tǒng)特色1) 完善的分級管理架構，“分散不分立”LanSecS內網(wǎng)安全管理系統(tǒng)支持分級管理，上級可對下級進行實時的監(jiān)控，管理下級的安全策略；同時下級的安全事件可以按照設定的上報策略進行逐級上報。通過分級管理，LanSecS內網(wǎng)安全管理系統(tǒng)可實現(xiàn)跨地域分散部署和集中管理?！胺稚⒉环至ⅰ?，形成有效的和有機的內網(wǎng)安全管理架構。2) 靈活的分權管理機制，“集中不集權”在LanSecS內網(wǎng)安全管理系統(tǒng)中，由統(tǒng)一的管理中心對主機代理進行管理。但是，LanSecS系統(tǒng)提供了基于安全角色的授權管理機制，用戶可以根據(jù)功能模塊分類以及行政機構的劃分自定義安全角色，一種安全角色只能執(zhí)行其所轄部門范圍內的相應安全代理的安全策略和審計事件的管理。“集中不集權”，保證了管理的安全性。3) 多層次的安全性措施，保證系統(tǒng)運行的安全可靠LanSecS內網(wǎng)安全管理系統(tǒng)的設計充分考慮了自身的安全性，從系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡通訊、策略分發(fā)與存儲等多個層面加強了安全保護。確保系統(tǒng)運行的安全可靠。4) 全方位的安全審計功能，有效地防止泄密LanSecS內網(wǎng)安全管理系統(tǒng)提供對所有輸入/輸出設備、文件系統(tǒng)、進程、服務、注冊表、網(wǎng)絡應用、用戶身份、操作系統(tǒng)安全策略等進行綜合的監(jiān)控和審計，全方位的監(jiān)控操作系統(tǒng)的運行狀態(tài)以及終端用戶的操作行為，實現(xiàn)內網(wǎng)信息的全程審計與跟蹤。5) 可視化、自動化的安全網(wǎng)管功能，實現(xiàn)高效的網(wǎng)絡管理LanSecS內網(wǎng)安全管理系統(tǒng)提供網(wǎng)絡拓撲自動發(fā)現(xiàn)、可視化網(wǎng)絡拓撲管理、圖形化的網(wǎng)絡設備管理、VLAN管理、端口控制及流量統(tǒng)計等豐富的網(wǎng)絡管理功能，全面支持國內外主流品牌的交換機產(chǎn)品。6) 完善的基于數(shù)字證書的身份認證機制LanSecS內網(wǎng)安全管理系統(tǒng)內嵌身份認證服務，實現(xiàn)了與數(shù)字證書的完美結合，管理控制臺、監(jiān)控代理、總控中心以及所有系統(tǒng)管理用戶和計算機終端用戶均通過數(shù)字證書進行身份認證，并可通過外部介質（USB KEY）存儲數(shù)字證書。7) 豐富、多樣的統(tǒng)計報表功能LanSecS內網(wǎng)安全管理系統(tǒng)提供列表和統(tǒng)計圖的報表輸出，報表的輸出支持HTML、EXCEL、PDF、RTF等四種格式。同時提供手動報表、自動報表等兩種運行模式，用戶可以通過手動報表實時的定義過濾條件進行報表的輸出，也可以通過自動報表完成基于自定義報表模版的定時輸出，自動報表提供日報表、周報表、月報表等三種形式。8) 高度模塊化設計，需求響應迅速LanSecS內網(wǎng)安全管理系統(tǒng)管理控制臺、安全代理和總控中心均采用模塊化設計，并提供用戶設計、開發(fā)接口和示例，用戶可以根據(jù)醫(yī)院的安全需求定制采購，同時也可以根據(jù)需求的變化，在運行時動態(tài)改變其工作狀態(tài)，提高系統(tǒng)的運行效率。針對新的安全需求用戶可以采用委托開發(fā)或者自主開發(fā)方式擴展和增強內網(wǎng)安全管理功能。9) 所有組件支持自動升級，系統(tǒng)維護方便、快捷LanSecS內網(wǎng)安全管理系統(tǒng)的主機代理及其功能模塊均支持基于版本號的網(wǎng)絡自動下載更新，只需要在總控中心一次部署即可以完成全網(wǎng)的自動升級。對于LanSecS總控中心的升級，則可采用系統(tǒng)升級補丁包本地運行的方式完成。系統(tǒng)的維護和升級非常方便。10) 客戶端監(jiān)控代理安裝部署方式靈活、多樣LanSecS內網(wǎng)安全管理系統(tǒng)客戶端監(jiān)控代理同時支持域模式安裝、本地安裝、網(wǎng)絡分發(fā)安裝以及WEB安裝等多種安裝部署方式，用戶可以根據(jù)實際網(wǎng)絡環(huán)境自由選擇。采取最適合自己環(huán)境的安裝部署方式，從而最大限度地滿足了不同網(wǎng)絡和不同用戶的LanSecS內網(wǎng)安全管理系統(tǒng)部署需求。. LanSecS典型部署. 簡單內網(wǎng)環(huán)境圖 3 LanSecS簡單內網(wǎng)環(huán)境下的部署. 本地多內網(wǎng)環(huán)境圖 4 LanSecS本地多內網(wǎng)環(huán)境下的部署. 分級部署環(huán)境圖 5 LanSecS異地多內網(wǎng)環(huán)境下的部署5. 技術服務. 售后技術服務178。 免費維護期限：公司提供的所有軟件產(chǎn)品提供一年的免費維護服務。合同上有明文規(guī)定的，按照合同執(zhí)行。硬件產(chǎn)品將按照合同的規(guī)定履行服務。178。 免費維護的對象：保修期內，在用戶正常使用的情況下，不能正常工作的我公司所銷售的產(chǎn)品。178。 軟件升級：對正式銷售的產(chǎn)品的標準版本的增強性或修補性系統(tǒng)升級。178。 維護方式：軟件升級包由用戶自行下載，自行安裝升級，公司負責電話技術指導,如用戶不能完成，公司可提供上門服務。公司所有由我們提供的產(chǎn)品提供及時的售后服務，合同上有明文規(guī)定的，按照合同執(zhí)行。具體事項如下：a) 熱線技術支持我公司將設置用戶技術服務熱線，能夠無阻塞地響應用戶的服務需求并及時提供操作指導和熱線技術咨詢，保持和用戶有關技術人員定期和不定期的密切聯(lián)絡, 并且提供全天候（24*7）的熱線電話響應服務。b) 故障的電話響應在保修期內，用戶網(wǎng)絡系統(tǒng)在出現(xiàn)問題并初步判斷為我方所提供的設備故障時，可立即以電話及傳真方式通知我方要求快速響應技術服務。我方技術人員在接到通知后，將及時了解情況并對問題做出初步判斷，指導用戶技術人員盡快排除故障。技術咨詢響應時間不超過2小時。c) 技術回訪約定在項目實施結束后，我方將根據(jù)實際情況進行相應技術回訪，以保證技術服務質量, 每兩個月必須提供不少于一次的例行電話巡檢服務。3．故障響應公司所提供的產(chǎn)品發(fā)生故障后，若現(xiàn)場人員不能解決問題，接報后兩小時內派技術人員到達現(xiàn)場，外埠三十六小時內前往用戶地點兩小時解決問題服務質量速度：接到通知后，迅速做出反應，快速解決問題服務隊伍：經(jīng)驗豐富、技術過硬、態(tài)度誠懇. 系統(tǒng)二次開發(fā)擴展支持《LanSecS內網(wǎng)安全管理系統(tǒng)》是本公司獨立開發(fā)的內網(wǎng)管理系統(tǒng)，本公司（圣博潤公司）擁有《LanSecS內網(wǎng)安全管理系統(tǒng)》的版權。《LanSecS內網(wǎng)安全管理系統(tǒng)》在產(chǎn)品設計的過程中就考慮到了與其他網(wǎng)管軟件和資產(chǎn)管理軟件的互聯(lián)互動，所以預設了全面的二次開發(fā)接口。當客戶購買我們的產(chǎn)品后，如果客戶存在需求，我們會向客戶提所需的二次開發(fā)接口標準文檔。6. 產(chǎn)品配置要求服務器端：硬件配置：CPU 至強2G以上，內存2G以上（推薦）操作系統(tǒng)：Win2000 Server SPWin2003 Server SP2(推薦)數(shù)據(jù)庫：SQL Server客戶端：硬件配置：CPU PIII 800以上，內存128M以上操作系統(tǒng)：Win2000、WinXP、Win2003