产品背景
随着单位信息化程度的提高,终端数量的快速增长,网络拓扑也日趋复杂,管理员承担大量繁琐、沉重的事务性工作,例如:
1.计算机软、硬件数量无法确实掌握,盘点困难;
2.单位的计算机数量越来越多,无法集中管理;
3.无法有效防止员工私装软件,造成非法版权使用威胁;
4.硬件设备私下挪用、窃取,造成财产损失;
5.使用者将计算机IP随易变更,造成故障频传;
6.软件单机安装浪费人力,应用软件版本不易控制;
7.重要数据遭非法拷贝,数据外泄,无法监督;
8.设备故障或资源不足,无法事先得到预警;
9.应用软件购买后,员工真正使用状况如何,无从分析;
10. 居高不下的信息化资源成本,不知如何改善。
产品概述峰盛桌面安全管理产品(Desktop Security Management, 简称DSM)是在信息化运营阶段IT管理系统的重要组成部分,通过运维管理制度的规范,管理工具的支持,引导和辅助IT管理人员对庞大的终端桌面资源进行有效的监控和管理,保证整个终端系统稳定、可靠和永续运行,为业务的开展优化终端平台。
峰盛桌面安全管理产品分为桌面管理模块和桌面安全模块,桌面管理模块能够集中实现对计算机或用户的控制与管理,减轻管理员的维护工作;桌面安全模块能够对文件、外设、用户行为进行管控,从而减少信息外泄的风险。桌面安全管理产品是峰盛内网安全管理系列产品之一,可与终端准入管理、终端补丁管理、存储介质管理、上网行为管理、数据泄漏防护等产品无缝结合,为客户提供整体内网安全解决方案。(如图)
图 DSM产品简介
产品功能:
|
产品模块
|
编号
|
产品功能
|
备注
|
|
用户
认证
管理
|
DSM1.1
|
口令认证
|
输入安全管理中心统一分配的平台用户名和密码到服务器进行认证,如果认证成功,则允许进入操作系统,否则拒绝进入操作系统。
|
|
DSM1.2
|
USBKEY+密码认证
|
在终端上插入USBKEY并输入密码,通过认证可登录操作系统,拨出USBKEY时自动锁定系统。
|
|
|
DSM1.3
|
数字证书认证
|
支持数字证书方式认证,通过认证后可登陆操作系统。
|
|
|
DSM1.4
|
指纹认证
|
可以通过指纹系统进行验证登录系统,如果没有正确的指纹,将无法系统,更安全的保护我们的信息安全。
|
|
|
DSM1.5
|
域用户认证
|
通过与windows域相结合,通过域设定的权限对用户的信息进行认证。
|
|
|
DSM1.6
|
用户认证策略
|
支持对密码强弱、复杂度控制。支持账户和机器的一对一或者一对多绑定。能实现账户登录错误超过设定阀值后自动锁定。
|
|
|
DSM1.7
|
用户批量导入
|
支持SMMsv、exSMMel格式和DSMD域导入用户。可以实现批量的用户导入、创建。
|
|
|
DSM1.8
|
用户认证日志、报表审计
|
用户登录、注销,所属机器名、机器IP、时间及状态、原因等日志信息。客户端名称、IP、登录次数、最后活跃时间,图形化报表显示。
|
|
|
主机密码保护
|
DSM2.1
|
主机密码策略
|
本地密码策略设置、本地账户锁定设置、系统屏保设置。密码复杂度、使用期限等,并可以锁定多次登陆失败的终端、指定屏保图片等。
|
|
软件
分发
|
DSM3.1
|
软件分发安装
|
可向指定用户或分组下发软件安装包,客户端会自动进行安装,支持静默方式安装软件。
在安装前支持名称检查、文件检查规则与注册表规则检查软件是否安装。可基于操作系统划分。 |
|
DSM3.2
|
软件(脚本)执行
|
可向指定用户或分组发送绿色软件,并执行打开下发的程序。支持即时、开机、周期性执行选择。
|
|
|
DSM3.3
|
文件传输
|
可指定用户或分组进行自动文件推送,并推送到指定文件夹。
|
|
|
DSM3.4
|
终端升级
|
可实现对科盾客户端版本进行自动加固升级。
|
|
|
DSM3.5
|
软件分发日志
|
所有管理员发起的分发行为统一记入日志,日志信息包括机器名、IP、操作类型、文件名称、执行情况、时间。终端的执行情况也可以进行查询。
|
|
|
进程
管理
|
DSM4.1
|
进程运行控制
|
支持进程名称控制、MD5签名控制等方式,可对指定的程序组执行允许或者禁止操作。
|
|
DSM4.2
|
时段控制
|
可以按全天或指定的时间段对指定的程序进行控制,最小时间段为15分钟。
|
|
|
DSM4.3
|
进程手动填写
|
对需要控制进程可手动填写。
|
|
|
DSM4.4
|
进程知识库选择
|
对需要控制进程可从知识库的进程分类中选取。知识库中有不同分类的进程对象。
|
|
|
DSM4.5
|
进程自动上报
|
对需要控制进程可从终端上报的进程列表中选择。
|
|
|
DSM4.6
|
进程运行日志审计
|
可以详细记录所有受控程序的日志,可以按机器、用户、分组、IP或整个网络查询,可以按时间、进程名以及控制结果查询日志。
|
|
|
桌面
资源
管理
|
DSM5.1
|
共享信息控制
|
能够枚举共享文档属性、类型和当前连接情况,能够删除共享文件夹,对文档共享情况进行控制,解决了终端用户随意共享文件或忘记取消文件共享所带来的文件泄密隐患。
|
|
DSM5.2
|
用户账号管理
|
能够枚举目标主机中所有的账号和分组情况;能够新增用户、删除用户;能够锁定某个账号,并对账号进行解锁;能够修改账号的密码,能够对账号的权限进行管理。
|
|
|
DSM5.3
|
终端进程管理
|
实时监视终端用户当前运行的进程的详细信息,能够实时查看进程所占的SMMPU及内存占用率等信息,并且允许安全管理员进行远程终止。
|
|
|
DSM5.4
|
终端服务管理
|
能够枚举终端的服务情况,并进行禁用、启动、重启、停止等控制。实时监视终端用户当前运行的服务的详细信息,并且允许安全管理员可以从服务列表中选择特定进程进行远程开启、停止。并预设服务启动方式。
|
|
|
DSM5.5
|
终端启动项管理
|
可以通过查看、删除管理终端开机启动项。
|
|
|
DSM5.6
|
实时软硬件资产监控
|
图形化的硬件资产显示,详细的硬件信息描述。表格式的软件资产显示,并能对选定软件执行即时卸载。
|
|
|
DSM5.7
|
流量管理
|
可以显示进程名及进程ID、上传下载的速度、流量以及连接数。
|
|
|
DSM5.8
|
网络连接
|
详细显示网络连接状态信息,包括协议、源IP、目标IP、端口,连接状态。
|
|
|
DSM5.9
|
终端资源监视
|
可以查看终端的SMMPU、磁盘、内存的使用情况。动态图形化显示。
|
|
|
远程
协助
管理
|
DSM6.1
|
屏幕锁定、解锁,终端重启、关机
|
管理员可以远程锁定、解锁指定终端达到停止、开启用户操作的目的,还可以远程重启或者关闭某个指定终端。
|
|
DSM6.2
|
远程屏幕监视
|
实时监视终端用户的计算机屏幕状态,提供抓屏功能,为终端用户的操作行为保留现场。
|
|
|
DSM6.3
|
远程终端控制
|
能够接管终端用户操作,给用户提供远程协助,在管理员接管用户屏幕时,需要得到用户同意。
|
|
|
DSM6.4
|
屏幕录像取证
|
可以对终端的所有操作进行录像取证。
|
|
|
管理消息
|
DSM7.1
|
即时消息
|
为终端用户和管理员提供了一个交流通道,方便他们及时进行沟通。
|
|
DSM7.2
|
终端提醒
|
管理员可以下发公告,即时提醒、开机提醒或定期提醒等,支持文字、和网页链接形式。
|
|
|
资产
管理
|
DSM8.1
|
软件资产审计
|
记录下终端的所有软件安装信息并且进行日志记录。
|
|
DSM8.2
|
硬件资产审计
|
记录下终端的所有硬件信息,记录的硬件类型包括:键盘、鼠标、主板、操作系统、CPU、内存、硬盘、网卡、声卡等。
|
|
|
DSM8.3
|
资产变动审计
|
检测终端发生变动的软硬件信息,并且提供对照信息。
|
|
|
DSM8.4
|
告警方式
|
短信、邮件警告方式。
|
|
|
DSM8.5
|
多种报表输出方式
|
支持打印、邮件发送以及exel、word、pdEPM等多种导出方式。
|
|
|
文件
操作
审计
|
DSM9.1
|
共享文件访问控制
|
提供了两种访问控制:控制其他主机对本主机共享文件的访问;控制本主机对其他主机共享文件的访问。
|
|
DSM9.2
|
共享文件访问审计
|
对访问其他主机共享文件的操作进行日志记录。记录的操作日志包括文件的新建、打开、删除、重命名以及修改等操作。
|
|
|
DSM9.3
|
本地文件访问审计
|
对访问本地文件的操作进行日志记录。记录的操作日志包括文件的新建、打开、删除、重命名以及修改等操作,支持文件访问统计及访问排行。
|
|
|
服务器
保护
|
DSM10.1
|
服务器访问控制
|
控制指定终端对HTTP、EPMTP、数据库等常用服务器的访问。支持在指定时间段内禁止或者允许访问服务器。
|
|
DSM10.2
|
访问操作记录
|
记录每个终端对服务器的操作行为,例如对数据库服务的查询、插入、删除、更新操作。
|
|
|
DSM10.3
|
自定义服务器
|
除了对常规服务,如文件服务器、数据库服务器的访问控制,还可以根据IP和端口结合,来自定义服务资源,并加以控制。
|
|
|
DSMRP防火墙
|
DSM11.1
|
DSMRP防火墙
|
禁止客户端机器进行DSMRP攻击,从攻击源禁止DSMRP攻击。同时对网关实现静态绑定,防止网关欺骗、恶意篡改。
|
|
注册表保护
|
DSM12.1
|
系统类注册表保护控制
|
可以对系统自启动项、系统服务项、IE设置项进行保护控制。
|
|
DSM12.2
|
自定义注册表保护控制
|
可以手动添加需要保护的注册表路径和键名进行保护控制。
|
|
|
DSM12.3
|
多保护方式
|
支持以允许修改、禁止修改、询问用户三种方式。
|
|
|
DSM12.4
|
信任进程控制
|
在开启注册表保护功能后,仅能通过被添加为信任进程的程序对注册表进行修改。
|
|
|
外设
控制
|
DSM13.1
|
外设端口控制
|
包括串口并口、调制解调器、多功能接口卡、读卡器、红外、蓝牙、图像处理设备、无线网卡。
|
|
DSM13.2
|
存储设备
|
包括光驱、USB存储介质(U盘、移动硬盘等)、软驱等等
|
|
|
DSM13.3
|
打印设备
|
包括本地、共享、网络打印机的准许和禁止,支持打印水印、打印审批。
|
|
|
DSM13.4
|
其他控制
|
包括设备管理器、控制面板、任务管理器、组策略编辑器
|
|
|
DSM13.5
|
刻录设备
|
包括光驱的禁止刻录、禁止读、加密方式刻录。
|
|
|
文件内容检查
|
DSM14.1
|
文件内容检查功能
|
通过关全网键字搜索的方式实现文件内容的深度检查。
|
|
非法外联控制策略
|
DSM15.1
|
非法外联探测
|
对非法外联的主机进行,提示、断网、锁定、关机处理。
|
|
DSM15.2
|
IE代理上网设置
|
禁止主机通过代理上网,确保网络控制有效。
|
产品特性:
|
编号
|
产品特点
|
特点描述
|
|
1
|
终端全生命周期管理
|
对终端的管控涵盖了身份认证、授权管理、软件分发、资源管控、远程协助、资产管理、审计与报表分析,体现出对终端的全生命周期管理。
|
|
2
|
整体安全防护
|
从终端的文件操作、运行进程监控、用户帐户管理到服务器端的服务器访问控制,以及整体网络的ARP病毒防护,体现出对终端和网络的整体安全防护。
|
|
3
|
驱动层的功能实现
|
在底层驱动实现终端的管理控制功能,终端程序稳定、有效主要体现在:采用三进程保护、进程注入、注册表驱动保护等手段,保障终端软件自身安全性;终端软件与杀毒软件、木马查杀工具无冲突;终端软件极少的资源占用。
|
峰盛桌面管理解决方案包括了桌面管理模块和桌面安全模块两部分
桌面管理模块:能够集中实现对计算机或用户的控制与管理,减轻管理员的维护工作。
桌面安全模块:能够对文件、外设、用户行为进行管控,从而减少信息外泄的风险。
提供终端软、硬件资产的查询以及硬件资产的统计和变更审计,并能将统计结果以报表的形式输出;提供外设控制,对外设端口、存储设备控制管理(串口、并口、调制解调器、光驱、软驱);提供共享目录控制、用户账户管理、终端服务管理;提供文件操作控制,对终端主机间文件访问进行管理,并生成详细审计日志;提供软件分发、进程管理、远程协助管理,对终端进行统一软件安装、非法软件控制及终端屏幕的时时抓屏记录;提供服务器安全管理,控制访问服务器的终端范围,记录终端操作行为。
成功案例:
目前,科盾内网安全平台在政府、金融、公安、检察、通信、医疗、制造、教育等行业得到广泛应用,具体如下表所示:
|
政府单位 |
||
|
黑龙江省委办公网 |
广西区党委办公网 |
北京市住房贷款担保中心 |
|
新华社 |
福建省委办公网 |
甘肃省委办公网 |
|
贵州省委办公网 |
贵阳市委办公网 |
广西区委办公网 |
|
吉林省委办公网 |
兵团办公网 |
黑龙江省政府 |
|
天津市委办公网 |
重庆市密码管理局 |
河北省委办公网 |
|
湖南省委办公网 |
重庆市规划局 |
福建省委办公网 |
|
内蒙古党委 |
山西省委办公网 |
山西省财政厅 |
|
哈尔滨信访局 |
黑龙江省信访局 |
新邵县水利局 |
|
华容县民政局 |
益阳赫山区国土资源局 |
永州市劳动和社会保障局 |
|
吉林省委机要局 |
黑龙江省人防 |
江西省委办公厅 |
|
宁夏区党委 |
河南省委机要局 |
吉林政法委 |
|
重庆合川区委 |
宁夏密码管理局 |
民航西南地区管理局 |
|
长沙岳麓区政府 |
珠海市住房公积金 |
重庆发改委 |
|
云南省人民政府 |
成都市委 |
成都交通发展研究院 |
|
湖南省国家密码管理局 |
广州省委宣传部 |
甘肃省委机要局 |
|
部队、军工 |
||
|
航天时代230厂 |
63921部队 |
总装测通所 |
|
中国航天科工集团 |
539厂 |
中核504厂 |
|
航天时代704所 |
航天时代公司13所 |
九院12所 |
|
航天激光惯导 |
航天时代研究院 |
航空工业 |
|
九院七所 |
上海航天电子539厂 |
611所 |
|
国防科技大学 |
六一九七五部队 |
成都十所 |
|
公安 |
||
|
公安部 |
广东女子监狱 |
司法部燕城监狱 |
|
湖北沙洋监狱 |
黑龙江省新康监狱 |
黑龙江女子监狱 |
|
大理州局机关 |
宾川县公安局 |
剑川县公安局 |
|
大理市公安局 |
大理市交警支队 |
消防支队 |
|
弥渡县公安局 |
大理市永平县 |
漾濞县公安局 |
|
微山县公安局 |
保山市公安局 |
黑龙江省未成年管教所 |
|
天津边检 |
洱源县公安局 |
黑龙江省呼兰监狱 |
|
新建监狱 |
黑龙江省泰来监狱 |
黑龙江省六三监狱 |
|
齐齐哈尔监狱 |
华山监狱 |
凤凰山监狱 |
|
佳木斯监狱 |
黑龙江省香兰监狱 |
黑龙江省鸡西监狱 |
|
黑龙江省双鸭山监狱 |
黑龙江省牡丹江监狱 |
黑龙江省七台河监狱 |
|
检察院 |
||
|
云南省检察院 |
顺德检察院 |
昆明铁检 |
|
版纳检察院 |
大理检察院 |
迪庆检察院 |
|
红河检察院 |
丽江检察院 |
保山检察院 |
|
楚雄检察院 |
普洱检察院 |
昭通检察院 |
|
玉溪市人民检察院 |
临沧市人民检察院 |
昆明市人民检察院 |
|
文山州人民检察院 |
顺德检察院 |
珠海检察院 |
|
昭通市检察院 |
楚雄州人民检察院 |
德宏州人民检察院 |
|
保山检察院 |
宁夏区人检 |
|
|
金融 |
||
|
农业银行总行 |
人行西安分行 |
人行沈阳分行 |
|
人民银行银川分行 |
人行重庆分行 |
河北人行 |
|
国开行 |
人行石家庄中心支行 |
贵州人行 |
|
人民银行营业管理部 |
上海交行 |
人行济南分行 |
|
人行黔东南支行 |
建行山东分行 |
人行毕节地区中心支行 |
|
人行成都分行 |
人行乌鲁木齐中心支行 |
遵义支行 |
|
人行贵州省六盘水支行 |
贵州安顺支行 |
贵州省铜仁支行 |
|
农业银行信托管理 |
人行沈阳分行 |
|
|
通信 |
||
|
湖南网通 |
长沙联通 |
邵阳联通 |
|
中兴移动 |
重邮信科通讯技术公司 |
|
|
制造 |
||
|
保定星光印刷厂 |
中电13所 |
中物院11所 |
|
重庆长风机器 |
四川九州电器 |
北京联合拓扑人力资源 |
|
重庆巴山仪器厂 |
哈尔滨汽轮机厂 |
中远集团 |
|
中安网脉 |
北京应急信息处理中心 |
北理工 |
|
华渝仪表 |
甘肃万维信息技术 |
重庆木林森建筑装饰设计 |
|
成都晋林工业 |
广州联奕 |
中核兰州铀浓缩有限公司 |
|
凯鹏科技 |
江西毛巾厂 |
中山市科力高自动化设备 |
|
杭州横滨轮胎有限公司 |
广州杰赛第九事业部 |
杰西伍 |
|
丹阳市吉祥汽车配件厂 |
芜湖新联造船有限公司 |
广东利通 |
|
长沙同电测控有限公司 |
浙江威邦休闲用品公司 |
聊城市鲁西化工工程设计 |
|
长沙市轻工盐业集团 |
湖南星科科学仪器公司 |
芜湖新联造船有限公司 |
|
成都时代加华软件技术 |
湘潭龙畅投资集团 |
湖南航天信息有限公司 |
|
成都晋林工业 |
重庆长风机器责任公司 |
江西民生通道 |
|
重庆巴山仪器厂 |
重庆望江工业 |
重庆大江信达 |
|
镇江万新光学眼镜公司 |
日照电台 |
华恒园信息科技有限公司 |
|
泉州市信和涂料有限公司 |
宁波妈咪宝婴童用品制造 |
长沙盛隆机械有限公司 |
|
成都美美力成百货 |
中国有色集团抚顺红透山 |
锐安泉州技术服务中心 |
|
泉州闽金汽车配件公司 |
泉州源利鞋材有限公司 |
沈阳永源科技 |
|
重庆军通汽车有限公司 |
四川东才 |
五大连池 |
|
青山工业公司 |
成都光明光电 |
|
|
医疗 |
||
|
长沙市中心医院 |
中丹药物研究有限公司 |
郴州市第四人民医院 |
|
衡阳市妇幼保健院 |
湖南省第二人民医院 |
广西中医学院第1附属医院 |
|
南华大学附属第一医院 |
长丰信息有限公司 |
郴州市第一人民医院 |
|
广州市花都区中医院 |
广西壮族自治区卫生厅 |
广西水产畜牧兽医局 |
|
湖南航天医院 |
郴州市第四人民医院 |
永州市人民医院 |