XX移动终端安全管理 - 图文

XX移动 终端安全管理

技术方案

XX科技有限公司

目 录

1

建立统一的终端安全管理的必要性................................................................... 1 1.1 1.2 1.3 2 3

通信行业的信息系统发展趋势............................................................... 1 山西移动的终端安全管理面临的困难和压力....................................... 3 建立统一的终端安全管理....................................................................... 5

为什么选择SmartTM .......................................................................................... 7 SmartTM解决方案总体概述 ............................................................................ 10 3.1

山西移动的终端安全管理需求............................................................. 10 3.1.1 提高设备利用率.............................................................................. 10 3.1.2 提升人员效率.................................................................................. 10 3.1.3 满足星级服务要求.......................................................................... 11 3.1.4 实现设备状态监控.......................................................................... 11 3.1.5 资产管理.......................................................................................... 12 3.1.6 策略管理.......................................................................................... 12 3.2

SmartTM解决方案总体设计思路 ........................................................ 12 3.2.1 方案设计原则.................................................................................. 12 3.2.2 统一的集成化管理平台.................................................................. 13 3.2.3 支持多厂商设备.............................................................................. 13 3.3

SmartTM系统架构 ................................................................................ 14

4 SmartTM终端安全管理功能实现 .................................................................... 17 4.1 4.2 4.3 4.4 4.5 4.6

提高设备利用率..................................................................................... 17 提升人员效率......................................................................................... 17 满足星级服务要求................................................................................. 18 实现设备状态监控................................................................................. 19 资产管理................................................................................................. 24 策略管理................................................................................................. 27 4.6.1 软件使用监控.................................................................................. 27 4.6.2 文件操作监控.................................................................................. 29

页

4.6.3 网络访问和外联管理...................................................................... 30 4.6.4 客户端流量管理控制...................................................................... 31 4.6.5 违规客户端远程阻断...................................................................... 32 4.6.6 策略支持上级锁定并强制下级执行.............................................. 32 4.6.7 统计报表.......................................................................................... 32

5

SmartTM系统安全性 ........................................................................................ 33 5.1 5.2 5.3 5.4 5.5 6

多用户管理............................................................................................. 33 安全审计................................................................................................. 33 HTTPS支持 ........................................................................................... 33 SNMP V3支持 ....................................................................................... 34 数据传输加密......................................................................................... 34

SmartTM项目实施方案 .................................................................................... 35 6.1

SmartTM终端安全管理系统部署（带参考图） ................................ 35 6.1.1 SmartTM终端安全管理服务器部署 ............................................. 35 6.1.2 管理客户端部署.............................................................................. 36 6.2 6.3

终端安全管理服务器软硬件配置建议................................................. 36 实施计划................................................................................................. 36

7 附录..................................................................................................................... 38 7.1

SmartTM应用案例 ................................................................................ 38 7.1.1 电信行业成功案例.......................................................................... 38 7.1.2 金融行业成功案例.......................................................................... 38 7.1.3 政府行业成功案例.......................................................................... 38 7.1.4 大型企业成功案例.......................................................................... 39 7.2

典型案例说明......................................................................................... 39

图表目录

图 5-1 神州数码IT运行管理平台系统结构图 .............................................. 14 图 5-2 山西移动IT综合运维管理系统整体结构图 ...................................... 15 图 5-3 TopN统计 ............................................................................................... 16

页

图 5-11 客户端代理安装检测策略 .................................................................. 19 图 5-19 客户端安全漏洞扫描 .......................................................................... 20 图 5-8 杀毒软件检测策略配置 ........................................................................ 21 图 5-9 事件处理预案定义界面 ........................................................................ 22 图 5-10 将安全策略与事件处理流程绑定 ...................................................... 23 图 5-4 客户端注册界面 .................................................................................... 25 图 5-5 客户端注册后显示的代理安装选项页面 ............................................ 26 图 5-6 客户端注册信息查看 ............................................................................ 27 图 5-26 主机进程安全策略定义界面 .............................................................. 29 图 5-18 网络流量异常配置 .............................................................................. 32

表格 1 软硬件配置清单.................................................................................... 36 表格 2 实施计划................................................................................................ 36

页

终端安全管理_技术方案

1 建立统一的终端安全管理的必要性

1.1 通信行业的信息系统发展趋势

作为现代经济的重要组成部分，通信行业通过数据交换，在提高社会运行发展效率中发挥着基础性作用。特别是在当今信息时代，通信业既面临着高科技带来的巨大发展机遇，也面临着行业壁垒被高科技企业和综合服务攻破之后的激烈竞争，传统通信行业面临向现代金融服务业转变的艰巨任务。我们调查发现，一直以来，通信行业都非常重视信息技术的应用，信息技术不但在建设方便、高效、安全的金融服务体系中发挥基础作用，而且对于提高企业内部管理水平进而提高资源配置效率更是具有重要意义。

通信业是现代服务业的重要组成部分，它通过沟通整个社会的经济活动而成为现代经济的核心。作为知识密集型产业，现代通信行业在组织结构、业务流程、业务开拓以及客户服务等方面，日益体现出以知识和信息为基础的特征。这种行业属性决定了现代通信业必须以飞速发展的信息技术为支撑，通信信息化顺势而生。在通信业日益显现对社会运行发展的强大支撑能力之时，信息化已经成为现代通信服务的命脉。

总之，随着通信行业信息化的不端发展，信息化发展已经涉及通讯系统、备份系统、应急系统、加密系统、维护系统、监控系统等一整套系统的建设，从而对网络、服务器、通信线路、信息系统的安全等各方面的要求大大提高了，对整个IT系统的管理和维护服务要求也大大提高。

近年来，网络安全威胁愈演愈烈，网络攻击工具越来越多样，越来越容易获得，所需要的技能越来越低，只需拷贝一个黑客程序就可以进行攻击，漏洞利用的时间越来越短。攻击的目的性，过去纯粹为了比技术，现在商业目的越来越明显。下面有一组数据，说明当前网络安全的严峻形势：

据公安部2005年度针对1.2万家信息网络使用单位，涉及政府机关、电信广电、能源交通、金融证券、教育科研、商业和制造业等领域的全国信息网络安全状况暨计算机病毒疫情调查结果显示：

? 2005年，感染过计算机病毒的用户数占被调查总数的80%

第 1 页

终端安全管理_技术方案

? 多次感染计算机病毒的比率为54.7%

? 2005年中国有将近90%的用户遭受间谍软件的袭击

另根据中国国家计算机网络应急技术处理协调中心公布的数据：2005年6月－9月国内发现较大规模僵尸网络59个，平均每天有3万台电脑被控制。

统计分析近年来频繁发生的网络安全事件可以发现，其中相当大的比例是由于内部网络的桌面电脑遭受黑客、病毒、间谍件攻击，导致大规模的网络瘫痪。为什么在安全已经受到高度重视的今天，还频频发生如此之多的安全事件呢？经过分析，我们可以发现产生这些内网安全事件的主要原因在于： ? 对内部终端安全管理的重要性认识不足。

绝大多数遭受内网安全事件的组织，原先对网络安全的认识就是要防范来自外部网络的攻击，在内部终端安全管理上不够重视。

多数组织仅仅建立边界安全控制，如：防火墙，IDS，IPS，但是边界安全控制不能完全阻断病毒、黑客的侵入。

很多安全事件是由于外来笔记本电脑直接接入内部网络，或者内部网络的桌面电脑直接拨号上网引起。 ? 需要保护的对象太多/应用环境复杂。

以往解决网络安全问题，只需要保护好网络设备、服务器系统的安全即可。现在却需要保护数以百计的桌面电脑的安全，只要有个别桌面电脑感染网络病毒或者被安装木马，即会导致网络瘫痪。

采用传统的技术手段来保护数以百计的计算机安全是很困难的，因为桌面电脑的用户大多是非计算机专业人员，对安全设置、补丁管理认识不足。 ? 技术手段限制。

在没有技术手段的情况下，终端安全管理员既不能及时掌握系统的整体安全(漏洞)状况，也不能及时发现被感染/攻击/中招的电脑。一旦发生桌面电脑感染病毒或被安装破坏力强的木马，必然导致严重的网络安全事故。 ? 资源投入限制。

由于人力、物力的限制，任何政府单位、企业都不可能为保障安全投入无限的资源和费用，也很难对众多的设备进行分级、分类安全管理。分析这些安全事件，一个非常值得注意的趋势是：网络安全已经不仅仅是网络设备、服务器系统

第 2 页

终端安全管理_技术方案

的安全问题，终端电脑的安全问题已经成为网络安全中最为严重的问题。

此外，由于计算机系统是一个复杂的系统，电子器件老化、线路与电源故障，或者设备配置失误，都有可能导致系统的中断。如何在系统发生故障的情况下，第一时间发现故障源并且及时恢复系统运行，这是一个至关重要的问题。

为解决安全、故障、性能管理问题，以及IT系统运行管理中的其它问题，我们需要建立一整套IT运行监控与终端安全管理系统，对IT系统进行全面的综合管理和监控。

1.2 山西移动的终端安全管理面临的困难和压力

山西移动网络采用全省数据大集中模式，目前网络已基本建成连接省中心、市中心、县中心、营业网点的计算机主干网和各级局域网，网络已经覆盖全省的乡镇。约有4000-5000台左右营业终端，分布在全省11个地市近千个营业厅中，为用户提供着高水平的服务。

在这些终端中，有些终端在相当长一段时间内处于闲置状态。有些终端出现了软件或者硬件的故障。这些终端分布的地域非常广，而IT管理人员不可能花费巨大的人力物力去逐台检查。

网络拓扑如下：

第 3 页

终端安全管理_技术方案

山西移动的维护人员疲于被动地应对多套管理工具，多种形式的告警。分离的故障和投诉不仅大大降低了已有网络资源的利用效率和维护人员的工作效率，也造成IT管理严重脱节于企业业务的整体管理，新业务的扩展不断引起IT建设和维护成本的飞涨。随着山西移动网络规模的不断扩大，网络设备数量和各种应用软件系统的渐渐增多，软件和硬件设备出现问题的情况也越来越多，技术管理人员现在处于一种“救火员”工作方式，就是哪里出现问题，就去哪里救火解决问题。因此，建设IT系统综合管理平台实现对所有IT系统和资源的24小时无人值守就成了当务之急

山西移动目前运维系统面临的主要困难是：一是资源分散，缺乏统一全面的了解；二是运维手段较落后，对系统故障和效率下降缺乏预警和分析工具；三是缺乏与系统管理紧密结合的运维管理工具；四是缺乏对运维管理人员绩效考核的有效工具。山西移动的信息部门面临着前所未有的IT系统运行维护压力，这些压力包括：

（1） 如何对遍布全省的支撑业务系统的计算机网络系统（包括线路、网络、

桌面电脑、移动笔记本等）进行故障、性能和安全管理监控，确保计

第 4 页

终端安全管理_技术方案

算机网络的安全、稳定运行；

（2） 如何对遍布全省各地的IT维护人员进行有效管理，确保IT维护人员

能够确实有效执行各项工作任务以及避免误操作；

（3） 如何对网络系统进行有效监控，在网络系统出现软、硬件故障时对其

进行及时的处理和报告；

（4） 如何确保单位的信息系统管理机制能够正常、准确运作，在发生各种

物理故障（线路、设备），人为故障（内部误操作、外部攻击）的情况下，这些问题能够得到及时、有效的处理。

此外，愈演愈烈的安全攻击和安全威胁，网络病毒、外来黑客攻击、内部人员的非法行为等加剧了IT部门的运行维护压力。

1.3 建立统一的终端安全管理

为加强对IT系统的管理监控，应对面临的各种安全威胁，保障各项通信业务能够正常、有效地开展，建立一个统一的终端安全管理系统刻不容缓。

分析山西移动的信息系统，我们认为给IT系统的正常运行维护带来的主要困难来自于：

（1） 山西移动分支多，物理位置分散，人工管理困难。山西移动的计算机

网络系统遍布每个营业网点，各种计算机设备、通信线路遍布全省，简单的人工管理根本无法做到及时发现设备、线路的故障和问题；

（2） 频频发生的病毒、网络安全威胁给维护工作带来了极大的困扰。近年

来，各种网络病毒、网络安全攻击事件频频报道于各种媒体，山西移动的计算机网络因为非常分散，非常容易遭受各种外来认为、内部人员的安全攻击，也非常容易遭受网络病毒的侵害；

（3） 山西移动信息系统复杂、庞大，IT系统可能出现的问题种类繁多，出

现问题后定位困难。例如，要维持业务系统的正常运行，必须确保省联社和各市联社网络设备、通信线路、操作系统、数据库、电脑PC等各种设备和系统的正常工作，任何一个环结的问题都会导致业务中断；

第 5 页

终端安全管理_技术方案

（4） 维护人员多，对维护人员本身的管理难度大。由于维护人员的数量多，

而且有相当数量的维护人员分散在各个营业网点，如何规范维护人员的日常维护操作行为，避免误操作或不按规定操作维护；以及如何对维护人员的工作进行有效的管理和评估。所有这些，对信息部门的主管来说均有很大难度。

通过分析山西移动在终端安全管理上所面临的各种困难、压力和安全风险，我们认为山西移动非常有必要建立统一的终端安全管理系统，以解决如下几个方面的问题：

（1） 对包括通信线路、网络、桌面电脑等在内的，所有与业务系统相关的

设备、系统的集中统一的故障、性能和安全监控；

（2） 对接入网络的各种计算机设备进行控制，防止非法接入。防止非法接

入的计算机因为感染病毒或者人为恶意破坏导致计算机网络系统或者服务器系统的瘫痪；

（3） 对维护人员的行为规范进行管理，建立各种故障的处理流程，确保信

息系统一旦出现问题即会有人及时去处理、排查直至消除故障。

综上所述，山西移动急需规划建立一套集中式运维和监控管理电脑系统，以技术促业务，逐步完善公司的IT运维保障体系，满足公司管理和业务对IT系统安全运行的需要。

第 6 页

终端安全管理_技术方案

2 为什么选择SmartTM

SmartTM系统能够很好满足山西移动IT安全运维管理系统的需求，和其他产品相比，有如下特点： ? 集成平台，统一管理

? 支持对桌面和网络设备、线路的集中监控； ? 无需学习多套系统，维护简便； ? 上手快，轻松管理； ? 设备自动发现与资产管理

? 自动发现网络上的所有接入设备；

? 可依据IP/MAC/主机名以及资产的配置对接入设备快速定位； ? 自动发现组织内所有桌面电脑的软硬件配置信息、桌面电脑网络连接信

息和运行状态信息，建立资产基线； ? 支持配置变更自动发现与报警； ? 自动维护软硬件配置变更历史信息。 ? 桌面电脑安全主动评估，发现安全隐患

? 自动发现存在安全隐患的桌面电脑，并提示系统管理员和用户要采取的

弥补措施；

? 桌面电脑网络流量异常评估，及时发现异常流量桌面电脑； ? 桌面电脑安全配置评估，及时发现安全设置不完善的桌面电脑； ? 可疑注册表项、可疑文件检查； ? 灵活配置各种安全隐患条件；

? 多种方式控制/限制存在安全隐患的桌面电脑接入内部网络。 ? 桌面电脑安全加固，防患于未然

? 补丁漏洞自动修复，支持桌面电脑操作系统补丁、MS应用软件补丁自

动更新、自动升级；

? 支持登录口令强度检查、Guest帐户检查、屏幕保护检测等桌面电脑安全

加固功能；

第 7 页

终端安全管理_技术方案

? 禁止各种默认共享、禁止修改IP地址、禁止修改注册表； ? 强制安装防病毒软件与更新病毒库； ? 禁止运行非法进程；

? 内置桌面电脑个人防火墙，既可限制外部网络直接访问桌面电脑，又可

以限制桌面电脑去访问一些不允许的网络服务；

? 非法操作监管，让管理规定令行禁止

? 检查桌面电脑是否安装了非法软件；

? 支持对USB硬盘、Modem拨号、无线通讯、红外通讯、蓝牙通讯、同

时使用内外网卡等非法操作的监控、审计和禁止使用； ? 支持对网上聊天、BT下载的监控、审计和禁止；

? 支持对HTTP访问、Email、网络文件拷贝等行为进行审计，或禁止； ? 支持离线管理，可以支持桌面电脑在离开网络之后安全策略仍然有效； ? 软件分发，功能强大、快速分发

? 在不对客户端用户造成负担的前提下，确保安全补丁和病毒特征码的正

常发放和安装；

? 支持大规模数量的客户机、大型软件的快速分发，支持MultiCast分发、

断点续传、多文件服务器等技术；

? 支持自动安装、手段安装，支持多种打包工具和打包格式，如：Wise、

MSI打包。

? 可以方便灵活地按网段、部门、IP、操作系统类型等条件选择软件分发

目标。

? 远程协助与监控，不到现场、胜过现场

? 实时监控客户端画面；

? 可以选择远程控制或者只监视不控制，满足各种场合的需要； ? 可以同时监控多台客户端画面。 ? 分级、分域、分权限管理

SmartTM支持信息资产安全分级管理，各种安全管理策略可以按照：部门、IP网段、IP范围、设备组、操作系统类型、操作系统语言等条件定义安全管理策略的应用范围。

第 8 页

终端安全管理_技术方案

? 全中文web管理界面

SmartTM支持全中文的WEB管理界面，管理员可以在任何能够联网的地方访问“IT安全运维管理系统”，完成管理维护工作。 ? 源代码级技术支持

神州数码科技拥有SmartTM的全部知识产权，向用户提供源代码级技术支持。多年来我们积累了丰富的系统管理方面的开发经验，能很好地满足企业个性化信息平台运营维护方面的需求。

第 9 页

终端安全管理_技术方案

3 SmartTM解决方案总体概述

3.1 山西移动的终端安全管理需求 3.1.1 提高设备利用率

? 收集设备使用信息

首先需要对设备的开机情况例如开机运行时间等，进行信息的收集。可以使用客户端运行的代理程序来统计开机运行时间。 ? 统计设备使用情况

利用收集到数据库的设备运行信息进行统计分析。借助保存终端运行信息的数据库，通过指定时间范围（按日、周、月、年以及任意时间段等）、指定终端范围（单个、厅、县、地市、省以及任意自定义范围）来生成报表。 ? 监测资源使用情况

监测资源的使用情况，在高于或者低于特定阀值的时候，进行资源调配。通过对数据库记录的服务时间信息，可以设定一些特定阀值。当统计数据超过阀值的时候，可以借由报表体现出来，方便进行相应的调整。

3.1.2 提升人员效率

? 收集人员工作时间

使用客户端代理程序的人员终端代理模块，收集客户服务人员的服务时间信息，对每一次客户服务时间进行累计。获得人员工作时间。 ? 计算人员工作效率

根据收集的人员工作时间信息，计算客户服务人员工作效率。

通过数据库里保存的时间信息来产生客户服务工作情况报表，报表可以根据不同时间周期（按日、周、月、年以及任意时间段等）来计算人员（某个人或任意范围的人员）工作效率。 ? 监测资源使用情况

监测资源的使用情况，在高于或者低于特定阀值的时候，进行资源调配。 通过对数据库记录的服务时间信息，可以设定一些特定阀值。当统计数据超

第 10 页

终端安全管理_技术方案

过阀值的时候，可以借由报表体现出来，方便进行相应的调整。

3.1.3 满足星级服务要求

? 收集服务响应时间信息

服务响应时间指的是从客户开始办理业务到业务办理完成的整个阶段的时长。可以通过排队机记录的信息或者特制的硬件开关配合人员终端代理模块记录信息来进行收集。 ? 统计服务响应时间

通过统计服务响应时间，能够发现哪些地方容易形成服务响应过慢的情况，结合其它的信息，可以进行判断，是否是由于客户服务人员不熟练、是否是由于终端故障、是否由于网络问题等等。

3.1.4 实现设备状态监控

通过对设备的监控，及时发现出现故障和推出服务的设备，以及时响应或者调配资源。

? 监控设备运行情况

扫描和监控设备运行的情况，定时将信息提交服务器，并在系统出现故障时向服务器告警。

? 统计设备运行状况

根据收集的设备运行信息，可以统计设备的运行状况，既有多少终端当前在用、多少终端出现故障、多少终端报损等等。 ? 统计退服率

可预先定义一个超时阀值，当终端超过这个时限未能与服务器联系，则认为该终端已经退出服务。

通过在服务器上借助数据库，统计未在指定时限内更新数据的客户端，即可统计退服率。 ? 统计故障率

利用设备终端代理模块，可以上报出现故障的客户端。

通过在服务器上借助数据库，统计有故障的客户端，即可统计故障率。 实现这一需求需要使用到的技术模块是后台服务模块、设备代理模块、数据库模

第 11 页

终端安全管理_技术方案

块、报表模块。

3.1.5 资产管理

利用成熟软件加上个性化开发，实现软硬件资产的自动上报，并根据收集的数据，生成相应的报表。

可以针对需求自定义报表及用户界面。

3.1.6 策略管理

利用成熟软件加上个性化开发，实现对终端的行为控制的策略化管理。通过统一定制的策略来管理终端的运行行为，并且可以实现分级管理。例如对特定程序进行限制、阻止访问特定设备等等。

3.2 SmartTM解决方案总体设计思路 3.2.1 方案设计原则

在“IT管理”方面，目前全球各大企业均在部署实施IT服务管理系统，IT服务管理是用来提升IT服务效率，协调IT服务部门内部运作，改善IT部门与业务部门之间的沟通，帮助企业对信息化系统的规划、研发、实施和运营进行有效管理的方法。IT服务管理结合企业环境、组织结构、IT资源和管理流程特点，将流程、人和技术三方面整合在一起来解决IT服务管理问题。IT服务管理以客户需求（在企业内部则为企业内各部门的业务需求）为中心，支持企业的业务服务。

IT服务管理实施有一套被国际上大公司普遍采用的行业标准——IT基础架构库（ITIL），即IT服务管理最佳实践。ITIL最佳实践为IT服务管理定义了十个管理流程和一个管理职能，它们包括：事故管理流程、问题管理流程、变更管理流程、发布管理流程、配置管理流程、服务级别管理流程、可用性管理流程、能力管理流程、IT财务管理流程、可持续性管理流程、服务台。前五个管理流程加上服务台是IT服务管理日常运行中的流程，是基础流程；后五个管理流程

第 12 页

终端安全管理_技术方案

是IT服务战略性流程，是为了评估、考核IT服务管理水平的流程。全球超过10000个IT用户实践经验表明，ITIL是IT服务管理的最佳实践。

解决方案的设计要采用IT服务管理的理念，按照ITIL最佳实践标准来设计。

整体系统的设计采用以下具体原则：

? 先进性原则：提供一致的管理平台和管理界面，在复杂的IT异构环境中

实现统一管理，实现分布式、跨平台、跨系统的集中管理。

? 开放性原则：能够提供标准的和开放的应用接口及开发工具，符合IT技

术未来的发展方向。

? 可扩展性原则：具有高度可扩充性，能随IT系统和企业业务的增长而增

长。

? 安全性原则：对监控对象性能影响小，安全策略执行有效。

? 易用性原则：提供运行维护管理平台与工具，简单、友好的界面，进行

直观的操作和管理，提供丰富准确的报表和统计数据。

3.2.2 统一的集成化管理平台

IT系统管理是多层次、多视图立体的管理系统。从管理对象角度，IT系统管理需要覆盖到网络设备、主机设备、标准的和非标准的应用系统。从管理功能角度，IT系统管理需要提供整个IT系统的故障管理功能、性能管理功能、配置管理功能和安全管理功能。解决方案要向IT系统管理员呈现整个计算机网络系统整体运行状况，有一个统一入口，有整体的运行状况监控图和统一的事件控制台。在系统运行状况监控图中，系统管理员不仅可以看到网络设备的运行状况，也能够看到主机设备、各种应用系统的运行状况；不仅能够看到故障信息，也能够看到整个计算机网络系统运行的性能信息、配置信息和安全信息。

3.2.3 支持多厂商设备

解决方案设计的系统要能够实现对主流厂商的网络设备、主机设备、网络安全设备、应用系统和各种PC机的管理，是一个采用国际、国家或者行业标准的

第 13 页

终端安全管理_技术方案

开放系统，以便能够支持升级后的IT系统管理。

3.3 SmartTM系统架构

SmartTM系统（简称为SmartTM）是深圳神州数码科技自主研发的IT安全运维管理产品，专门为企业和政府解决大量桌面PC安全管理和支撑关键业务的网络、主机、应用系统运行监控而设计，在设计上遵循国际IT服务管理标准－－ITIL标准和IT安全管理标准――ISO17799标准。

SmartTM产品架构如下图所示。

IT服务外包商系统管理员业务部门用户声音电话短信EmailMessageIT安全运行管理门户配置管理故障管理性能管理安全管理发布管理服务级别管理配置管理采集器/控制器SNMPPingARPHTTPOPSECSMTPSyslogJDBCTCP…..IT资源DesktopNetworkNetworkAccessUNIX Mainframe NT NetWare AppsDatabases 图 5-1 神州数码IT运行管理平台系统结构图

SmartTM分为三个层次：

（1） IT安全运行管理门户。将所有IT运行管理相关的工作和任务以综合门户

方式展现，提高管理效率并简易操作。IT运行管理门户向IT管理员展现整个IT系统包括网络、主机、数据库、各种应用系统的运行状况信息和IT系统资源配置信息，记录事件处理过程的历史信息，为用户提供知识库查询帮助。通过屏幕、Email、短信、声音、Message、电话等通知IT管理员。IT运行管理门户部分实现了ITIL最佳实践的服务台功能。 （2） IT管理业务。IT管理业务层包括了各种IT服务管理业务实现模块。配置

管理是IT管理业务层的基础，它负责自动收集IT系统的各种配置信息，

第 14 页

终端安全管理_技术方案

为其它IT管理业务模块提供统一的配置数据库。事故管理、发布管理、服务级别管理模块、安全管理模块实现ITIL的服务支持流程。 （3） 采集器/控制器。采集器和控制器与被管理IT资源进行数据通信，通过标

准和非标准通信协议从被管理IT资源采集运行状况信息、控制被管理IT资源。其中最重要的两个采集器和控制器是SNMP代理和UniAccessTM代理。SNMP代理实现对宿主机器和应用系统运行状况的实时监控，主流的网络设备、主机设备和标准应用系统都会提供SNMP代理。UniAccessTM代理是神州数码科技提供的私有代理，实现对宿主机的软硬件配置信息采集、安全策略控制、软件自动安装、网络准入控制功能。

SmartTM将网络、主机、数据库等关键IT设施的监控和办公网中的桌面PC的安全管理集成在同一个产品平台上，可以为山西移动IT系统的安全运维管理提供完整解决方案，如下图所示。

图 5-2 山西移动IT综合运维管理系统整体结构图

作为通用系统管理平台，SmartTM实现了网络、防火墙、IDS、主机、数据库、应用系统等的运行状况监控。SmartTM的统一运行监控体系如下图所示。

第 15 页

终端安全管理_技术方案

SmartTM为用户提供的多层次的安全防御体系，其体系结构如下图所示：

图 5-3 TopN统计

第 16 页

终端安全管理_技术方案

4 SmartTM终端安全管理功能实现

4.1 提高设备利用率

? 收集设备使用信息

桌面电脑接入网络后，在不需要安装任何代理的情况下，SmartTM可以在第一时间发现该桌面电脑，包括：桌面电脑的MAC地址、IP地址、设备名、连接的网络交换机、连接的网络交换机端口、信息点号。桌面电脑离线时SmartTM也能够在第一时间发现。 ? 统计设备使用情况

对设备接入网络和离开网络行为进行审计，记录设备地址信息、接入网络时间、离开网络时间、连接的网络交换机及其端口信息。用户可以按条件查询，指定时间范围（按日、周、月、年以及任意时间段等）、指定终端范围（单个、厅、县、地市、省以及任意自定义范围）来生成报表。 ? 监测资源使用情况

用户可以按各种配置条件和运行状态条件对设备进行分组管理，如可以按操作系统、硬盘大小、内存大小、IP地址范围、部门、用户、MAC地址范围、是否安装SmartTM代理、是否在线等分组显示设备信息。对于新接入的设备、或者配置和状态发生变化的设备，系统会自动按分组规则将设备划到相应设备组中。用户也可以手工将某个设备指定为某些设备组。

设备分组管理有助于向用户展现他最关心的设备信息，进行资源调配。并可以统计数据生成报表。

4.2 提升人员效率

注：该部分功能需要定制开发。

? 收集人员工作时间

山西移动的业务办理系统中，应该会保存有每笔业务的相关数据，包括业务

第 17 页

终端安全管理_技术方案

开始办理时间、业务结束办理时间、业务办理结果、业务办理人员等。可以从业务数据库中采集这些信息，然后进行分析、统计。 ? 计算人员工作效率

综合以上数据，可以产生以下统计报表：

各类业务处理时间统计表——可以统计、分析任意时间范围、任意范围人员（按照分公司、部门等）的各种业务的处理时间。

人员效率统计表——可以统计、分析任意时间范围、任意范围人员（按照分公司、部门等）的工作效率，每天处理多少业务，每笔业务花费多少时间等。 ? 监测资源使用情况

综合以上数据，可以产生以下统计报表：

业务终端利用率统计表——可以统计分析任意时间范围、任意范围的终端的利用率，每台终端每天有多少时间用于处理业务，有多少时间闲置。

4.3 满足星级服务要求

注：该部分功能需要定制开发。

? 收集服务响应时间信息

业务监控是从人员、设备的角度来提高效率，而服务响应监控则从客户的角度来帮助进一步优化资源配置，改进业务流程。

客户在进入营业厅到开始办理业务之间一般都要排队等待，对于已经配备了自动排队机的营业厅，则可以从排队机中获取相关的数据，和业务监控的数据结合起来分析每个客户的排队等候时间。

如果有可能，需要修改现有业务系统，将排队号码录入到每笔业务记录中，这样可以建立起每个排队号码与每笔业务的关联关系，更便于进行服务响应的分析。

? 统计服务响应时间

综合以上数据，可以产生以下统计报表：

客户排队等待时间统计——可以统计、分析任意时间范围、任意分公司、部门的客户排队等待时间

客户放弃排队情况统计——可以统计、分析人员时间范围、人员分公司、部

第 18 页

终端安全管理_技术方案

门的客户放弃排队和办理业务的次数

以上报表可以作为优化资源配置，改进业务流程，提升用户满意度的各项措施的重要依据。

4.4 实现设备状态监控

? 监控设备运行情况

SmartTM系统就可以自动发现网络上所有可网管的网络设备和主机设备，发现这些网络设备之间的物理连接关系，发现网络设备与主机设备之间的运行状态，可以将二层拓扑发现的结果以图形方式显示。

SmartTM可以设置策略来检查接入到网络的终端设备是否安装了客户端代理，当未安装客户端代理或者客户端代理被卸载的终端设备接入到网络时，可以自动产生告警事件，通知系统管理员。安全策略配置界面如下图所示。

图 5-4 客户端代理安装检测策略

SmartTM可以对客户端操作系统漏洞进行扫描，包括是否存在弱口令账号、是否启用Guest账号、账号口令是否很长时间没有修改、是否没有设置屏保口令、

第 19 页

终端安全管理_技术方案

是否存在可写的共享目录、是否为加入到规定AD域、是否存在已知的黑客程序、是否安装了违禁软件、是否未安装必须安装的软件如防病毒软件、是否启用违禁进程等。所有这些漏洞信息都会在客户端按如下界面显示，提醒用户自己机器存在的安全漏洞，并且给出漏洞修复指南，用户可以按指南说明修复这些漏洞。另外所有漏洞也会通知管理员。

图 5-5 客户端安全漏洞扫描

SmartTM主机安全漏洞检测功能可以检查终端设备是否存在安全漏洞，包括指定版本的防病毒软件是否安装、防病毒软件的病毒特征库是否为最新的。

管理员可以配置一个防病毒软件检测策略，界面如下：

第 20 页

终端安全管理_技术方案

图 5-6 杀毒软件检测策略配置

当检查出规定杀毒软件未安装或者病毒特征库不是最新时，将产生告警事件，并可以按照管理员定义的事件处理流程通知管理员，也可以通过客户端界面显示给终端用户。

SmartTM事件处理流程预案是全局性的配置，管理员可以单独配置好需要的事件流程预案，然后将其与具体的安全策略绑定起来。下图是事件处理预案的配置界面。

第 21 页

终端安全管理_技术方案

图 5-7 事件处理预案定义界面

管理员可以定义告警事件发生时应该按什么流程来处理告警事件，如Email通知、短信通知、Message通知、通知到客户端代理，也可以与防火墙、网络交换机进行联动控制客户端。当告警事件恢复时，也可以按流程进行处理。

当定义安全策略时，可以指定违反该安全策略产生的告警事件采用什么事件处理流程进行处理，如下图所示。

第 22 页

终端安全管理_技术方案

图 5-8 将安全策略与事件处理流程绑定

? 统计设备运行状况

SmartTM可以统计客户端代理安装信息、设备在线信息、设备离线信息、安全漏洞信息。管理员可以对这些审计信息进行按条件查询，并可以将报表导出到excel、本地打印。 ? 统计退服率

SmartTM不仅可以发现新接入网络的设备，也可以发现长期未运行的设备，例如：系统管理员可以定义连续30天未连接到网络的设备为长期未运行设备，进而加强企业对固定资产的管理。 ? 统计故障率

管理员可以在SmartTM管理界面上查询到设置的安全策略信息和所有安全漏洞信息，包括：设置的安全策略信息、终端安全漏洞信息、防病毒软件检测信息、客户端代理审计信息。管理员可以对这些审计信息进行按条件查询。

SmartTM为上述安全审计信息提供报表，管理员可以将报表导出到excel、本地打印。

第 23 页

终端安全管理_技术方案

4.5 资产管理

SmartTM能够自动采集桌面电脑的软硬件配置信息并保存在中心数据库中。用户可以按条件查询具体配置信息。SmartTM可以管理的硬件配置信息有：

? CPU信息

? 主板信息：包括BIOS信息、PCI插槽信息 ? 内存信息：物理内存大小、具体的内存条信息 ? 硬盘信息：硬盘大小、速度、厂商、型号 ? 光驱信息：光驱速度、厂商、型号 ? 网卡信息

? 外设信息：通过串口、并口、USB口连接的设备信息，Modem状态信息 ? 操作系统信息

SmartTM可管理的软件配置信息有： ? 安装的软件名 ? 软件厂商 ? 版本 ? 语言 ? 安装日期 ? 配置变更管理

系统管理员可以配置需要关心的软件和硬件配置变更，一旦客户端相应配置发生变化，SmartTM即会立刻通知系统管理员，并且记录变更信息，如硬盘由40G变为80G、安装或者卸载了某个软件等。系统管理员可以事后对配置变更进行确认。

SmartTM记录每台机器的配置变更历史信息，包括发生变更的时间、系统管理员对变更的确认，系统管理员可以按条件查询。 ? 用户信息管理

除了可以追踪PC机固定的软硬件配置信息外，系统管理员还可以追踪PC机的用户名、所属部门、用户职务、电子邮件等信息，从而将用户与桌面电脑捆绑在一起，便于管理。

第 24 页

终端安全管理_技术方案

SmartTM的客户端代理支持通过Web方式安装。当客户端用户输入安装URL后，SmartTM会显示如下图所示界面，让用户输入注册信息。

图 5-9 客户端注册界面

客户端只有注册后才能安装SmartTM代理，显示如下图所示的SmartTM代理安装界面。

第 25 页

终端安全管理_技术方案

图 5-10 客户端注册后显示的代理安装选项页面

客户端用户输入的注册信息被作为组织架构信息的一部分保存在数据库中。管理员可以通过如下界面浏览客户端注册信息。

第 26 页

终端安全管理_技术方案

图 5-11 客户端注册信息查看

? 资产信息维护

将设备与使用人、资产编号、购买合同、维修合同、购买日期、设备价值、报废日期、维护记录、历史用户等信息关联，便于日常资产管理工作。

4.6 策略管理 4.6.1 软件使用监控

SmartTM可以通过白名单、黑名单方式定义违禁软件，这些违禁软件被运行时可以产生告警事件通知管理员，或者直接禁止违禁软件的使用。白名单是指只有指定软件为合法软件，除此之外的所有非系统软件都是非法软件。黑名单是指指定软件为非法软件，其他都是合法软件。在白名单定义方式中，SmartTM可以自动过滤掉Windows系统软件和SmartTM客户端代理。

SmartTM支持三种方式来定义违禁软件：（1）通过进程名来定义，即软件运行后为指定进程名的即为违禁软件；（2）通过安装软件名称；（3）通过安装目录。SmartTM可以禁止用户通过直接运行exe程序、快捷方式、数据文件等方式来启动违禁软件。

SmartTM的主机进程安全策略定义界面如下图所示。

第 27 页

终端安全管理_技术方案

第 28 页

终端安全管理_技术方案

图 5-12 主机进程安全策略定义界面

4.6.2 文件操作监控

SmartTM能够对文件拷贝进行监控，可以设置策略审计或者禁止文件拷贝到软盘、U盘、网络共享目录。审计信息包括何时、哪个终端、哪个用户、文件拷贝目标、文件名称、是否成功等。

SmartTM可以设置策略监控客户端设备的某些指定目录下的文件操作，审计或者禁止客户端用户对文件做操作，包括文件的修改、删除、创建、打印、访问、复制、改名、恢复、移动等。审计信息包括何时、哪个终端、哪个用户、哪个文件、做了什么操作、是否成功等。

SmartTM可以在指定的目标终端设备中搜索指定文件是否存在，并向管理员显示哪些终端设备存在指定文件以及所在的目录。

第 29 页

终端安全管理_技术方案

4.6.3 网络访问和外联管理

4.6.3.1 网络行为审计与控制

SmartTM的网络行为审计功能实现终端用户上网行为审计和控制，包括： （1）

通过白名单和黑名单，审计和控制web网站的访问，可以禁止终端用户访问一些非法web网站；

（2）

通过白名单和黑名单，审计和控制通过POP3和SMTP服务器收发邮件，可以禁止终端用户通过外部邮箱收发邮件；

（3） （4）

对文件拷贝进行审计和控制；

对MSN、QQ等聊天软件的使用进行审计和控制，可以禁止某个时间段内使用这些聊天工具；

（5）

对BT、电驴等P2P软件的使用进行审计和控制，可以禁止这些P2P软件的使用。

管理员可以为网络行为审计与控制策略定义适用场景，如终端在办公环境中策略生效，在家里就不生效等。

上网行为的审计信息包括：何时、哪个终端、哪个用户、通过哪个程序访问网络、具体的网络行为、是否被终止、是否离线访问。

4.6.3.2 非授权外连

SmartTM的非授权外连审计功能实现对非授权外连方式的审计和控制，包括USB大容量硬盘、Modem拨号、GPRS无线上网卡、CDMA无线上网卡、红外、蓝牙、光驱、软驱、双网卡等。SmartTM可以设置审计或者禁止使用这些外连方式。审计信息包括何时、哪台终端、哪个用户、使用什么外连方式、开始使用时间、结束时间、是否被阻止。

管理员可以为非授权外连审计策略设置适用场景，如终端在办公环境中不能通过Modem拨号，但在外出差则可以Modem拨号通过VPN访问内部网络。

第 30 页

终端安全管理_技术方案

4.6.3.3 U盘控制

SmartTM的U盘控制功能实现U盘的读写控制。管理员可以设置允许读的U判标识、允许写的U盘标识、对读写是否要审计。当U盘接入到客户端时，SmartTM会判断该U盘是可以被读、被写还是不可以接入到客户端，同时控制用户对U盘的操作。

SmartTM可以审计U盘操作，审计内容包括何时、哪台终端、哪个用户、使用的U盘标识、做的操作、文件名称和大小等信息。

4.6.4 客户端流量管理控制

SmartTM实现对终端设备流量、广播包、TCP连接数进行监控，监测是否有异常，当异常时产生告警事件通知管理员。

管理员可以通过安全策略来设置终端设备正常的流量范围、广播包数和TCP连接数，设置统计时间段。为了避免偶然峰值引起误报，如拷贝大文件，SmartTM可以统计连续多个采用周期的平均值来判断。

下图是SmartTM网络流量异常配置界面。

第 31 页

终端安全管理_技术方案

图 5-13 网络流量异常配置

SmartTM可以向管理员展示所有终端设备的某个时间流量统计、流量排名和TCP连接数，并且提示管理员终端设备是否有可疑的TCP连接、流量是否可以、广播包是否可疑。

4.6.5 违规客户端远程阻断

SmartTM可以在事件处理预案中设置访问控制动作，包括：（1）SmartTM代理阻止终端访问网络；（2）关闭网络交换机端口；（3）控制防火墙禁止违规客户端访问网络资源。

4.6.6 策略支持上级锁定并强制下级执行

SmartTM有两种分级模式：一种是管理员权限分级；第二种是服务器分级。 管理员权限分级模式，超级管理员和普通管理员权限划分，超级管理员可以修改任何普通管理员设置的策略，反之则不行。普通管理员可以修改本管理员组其他管理员设置的策略，但不能修改非本管理员组管理员设置的策略。

服务器分级模式中，SmartTM上级管理域服务器设置的策略被强制下发到SmartTM下级管理域中，下级管理域的管理员不能修改上级设置的策略。

4.6.7 统计报表

管理员可以在SmartTM管理界面上查询到设置的安全策略信息和所有安全漏洞信息，包括：设置的安全策略信息、终端安全漏洞信息、网络异常审计信息、非授权外来信息（USB存储设备、Modem、无线上网卡、无线网卡、红外、蓝牙、双网卡等）、网络行为审计信息（上网行为、Email、文件拷贝、聊天、BT/电驴下载）、设备接入审计信息。管理员可以对这些审计信息进行按条件查询。

SmartTM为上述安全审计信息提供报表，管理员可以将报表导出到excel、本地打印。

第 32 页

终端安全管理_技术方案

5 SmartTM系统安全性

5.1 多用户管理

SmartTM系统实现了多用户管理。超级管理员可以创建不同的用户，给这些用户赋予不同的权限。权限的划分可以是按设备、按界面菜单、按监控画面（能够按功能和监控对象进行组合控制）。

每个用户只能管理其具有管理权限的设备，只能使用SmartTM系统管理界面上其具有权限的菜单，只能查看其具有权限的监控画面。

通过定义用户和配置用户权限，可以实现灵活的多用户管理和分级管理。 这些用户，不论物理位置在何处，都可以通过IE浏览器登录到SmartTM系统的管理界面，不需要安装任何客户端软件就可以对自己权限范围内的设备、监控画面进行管理、查看。这样就可以实现集中式管理，既为企业节省了部署、安装的成本，又提高了管理水平与安全程度。

5.2 安全审计

SmartTM对管理员做的登录、退出、增删改操作进行审计，审计内容包括哪个用户、通过哪个客户端、在什么时间、做了哪些动作。SmartTM的administators组管理员可以按条件查询这些审计日志信息。

5.3 HTTPS支持

为了防止管理员在通过Web登录后台时被人通过抓包方式获得管理员的口令，SmartTM支持两种方式的Web数据包加密通讯：

（1）

整个访问都采用HTTPS协议，这样IE浏览器和SmartTM服务器之间的所有数据包都被加密传输。这种方式安全，但页面访问速度慢；

（2）

只对登录过程的数据包采用HTTPS协议加密传输，其他页面的访问仍采用HTTP。这种方式即可以防止管理员口令被窃取，又可以

第 33 页

终端安全管理_技术方案

不影响管理页面的正常访问。

5.4 SNMP V3支持

SmartTM全面支持SNMP V3，这样可以保证采集数据在SmartTM后台和被管理设备之间传输的安全性。

5.5 数据传输加密

SmartTM代理与SmartTM服务器之间的通讯可以采用SSL协议，能够对所有采集数据和策略进行加密传输。

第 34 页

终端安全管理_技术方案

6 SmartTM项目实施方案

6.1 SmartTM终端安全管理系统部署（带参考图）

6.1.1 SmartTM终端安全管理服务器部署

我们建议所有服务器端软件包括数据库系统都可以安装在同一台服务器中。SmartTM服务器要求能够访问到所有被管理的下一级服务器和终端计算机、设备。

（1） 省中心安置2台SmartTM管理服务器，在服务器上部署SmartTM服

务器端软件；

（2） 11个地市中心各安置一台SmartTM管理服务器，在各服务器上部署

SmartTM服务器端软件；

（3） 在服务器上配置分级管理，省中心可直接对11个地市中心SmartTM

管理服务器进行配置。

第 35 页

终端安全管理_技术方案

6.1.2 管理客户端部署

（1） 所有网络设备和服务器设备都配置好SNMP代理，在服务器上部署监

控参数采集脚本；

（2） 所有网络和服务器设备，配置其syslog服务，在Windows操作系统的

PC服务器上安装神州数码日志收集代理；

（3） 建立日常正常运行的性能基线（Baseline），结合性能基线，设立合适

的监控参数、采样间隔。

（4） 在SmartTM管理服务器上创建客户端安装包，并建立安装包共享； （5） 采用“推”和“拉”的方式进行大规模客户端安装。

6.2 终端安全管理服务器软硬件配置建议

表格 1 软硬件配置清单

序号 1 服务器建议配置 数量 14台 备注 SmartTM主服务器 ? ? ? ? 2×CPU(双核心)，主频 3.0G Hz以上 DRAM ，2GB以上 Hard disk，146GB×2 SCSI RAID 10/100/1000Mbps NIC × 2，要求支持802.1Q ? Display 15” (15彩显) ? 预装Windows 2003 2 Microsoft SQL Server 2000中文标准版（10user） 14套 6.3 实施计划

从大的步骤来说，我们建议山西移动按照如下方法部署SmartTM系统。 第一步：环境准备及测试，包括对网络设备的兼容性测试及版本升级； 第二步：小规模内部署，包括市联社内部和有代表性的省联社进行小规模部署，发现部署中可能遇到的问题，积累经验；

第三步：大规模部署，在整个终端安全管理范围内部署。在大规模部署之前，需要通过技术通告等形式，对内部员工进行必要的培训。

下面是此项目工程的总体计划。

表格 2 实施计划

第 36 页

终端安全管理_技术方案

序号 1. 2. 3. 4. 项目主要阶段 合同签订时间 产品交付 项目实施准备 SmartTM安装调试和客户端小规模部署（包括市联社和省联社） 项目启动 完成时间 合同签订后5工作日 产品交付后5工作日 产品交付后8工作日 5. 6. 经验整理和汇总 代理大规模部署（包括市联社和省联社） 产品交付后10工作日 产品交付后30个工作日 7. 8. 9. 培训 系统进入试运行 项目实施完成，进入系统保修维护期 产品交付后20个工作日 产品交付后1.5个月 产品交付后13个月

第 37 页

终端安全管理_技术方案

7 附录

7.1 SmartTM应用案例 7.1.1 电信行业成功案例

在电信行业的成功案例包括： 1．深圳联通，已经全面上线； 2．漳州联通，已经全面上线；

3．江门电信，已经在DCN网络系统中上线 4．深圳电信，在党政专用局系统中准备上线

7.1.2 金融行业成功案例

在金融行业的成功案例包括： 1．深圳证券交易所 2．中国人民银行深圳中支 3．证券登记结算公司 4．深圳发展银行 5．红塔证券 6．招商基金

7.1.3 政府行业成功案例

在政府行业的成功案例包括： 1. 深圳市政府 2. 深圳市检察院 3. 深圳市委

第 38 页

终端安全管理_技术方案

4. 深圳市政协 5. 中共市委党校 6. 深圳公安局南山分局

7.1.4 大型企业成功案例

在大型企业的成功案例包括：

1. 中国国际海运集装箱（集团）股份有限公司 2. 迈瑞集团（全国最大的医疗设备供应商） 3. 中国石化深圳分公司

4. COMTECH公司（NASDAQ上市公司，NASDAQ:COGO） 5. VPOWER金融押运公司 6. 深圳特发集团

7.2 典型案例说明

案例一 中国人民银行深圳中支：

深圳人民银行一直以来，非常重视网络和计算机的安全管理，从2005年开始，筹措建立深圳人民银行自己的终端安全管理系统。（事实上，几年前，央行曾经给所有分行下发过一套HP Openview网络管理软件，由于技术和使用复杂方面的问题，但是深圳人民单位一直没有将这套软件用起来。）

央行科技司在2005年中下发文件，要在2005年年底进行全行内部安全管理大检查，各分行相互检查各自的安全管理。央行的安全检查文件促使了深圳人民银行加快部署计算机及终端安全管理系统的需要。

深圳人民银行的关键需求包括：

1）对所有网络设备、服务器、应用系统在内的系统监控和安全管理； 2）桌面电脑的安全漏洞管理、非法安全操作管理。

在联系上神州数码之前，深圳人民银行已经考察、试用了多个其它厂商的产品。在获知深圳人民银行的项目后，神州数码通过安全典型案例参观、技术讲座、

第 39 页

终端安全管理_技术方案

软件测试等手段，使得深圳人民银行技术处对神州数码的产品和技术高度认可。深圳人民银行技术处最终决定全面采用SmartTM系统，解决深圳人民银行所面临的安全运行维护管理问题，并将这一决定上报给央行科技司。SmartTM系统全面解决深圳人民银行的系统监控和终端安全管理问题。

1）全面监控和统一管理，解决了困扰深圳人民银行很长时间的系统监控和故障管理问题；

2）终端安全管理与接入控制，解决了深圳人民银行非常关心的内网电脑的安全漏洞管理问题；

案例二 中国联通深圳分公司

深圳联通作为中国联通的子公司，在深圳有5个较大的办公场所，近百个营业网点，长期以来，由于办公场所地理位置分散，营业网点数量多，内部网络安全和桌面电脑的管理控制非常困难。

具体来说，这些需要解决的管理问题包括： （1） 防止非法外来接入以及信息安全保障问题

由于办公场地分散，某些办公场所有无线AP设备，如何防止外来的电脑通过无线AP等方式接入到深圳联通的内部网络窃取机密文件，防止员工通过深圳联通以外的电子邮件服务器收发邮件泄漏公司机密，防止员工通过USB、拨号上网等方式泄漏公司机密成为深圳联通非常关注的重要问题。 （2） 资产管理问题

由于深圳联通的桌面PC和手提电脑数量多，由于电脑的升级、更新频繁，如何对这些电脑的软件、硬件资产进行管理、统计，如何防止资产非正常流失，如何防止资产浪费一直是个难题。

深圳联通的资产管理系统要求对网络上的电脑资产信息进行自动收集、统计，并可定期生成报表。在资产发生变更时及时报警，并自动生成各类资产报表。 （3） 远程管理及远程控制问题

深圳联通的在深圳有多个办公场所，由于地理位置分散，长期起来给桌面电脑的管理维护带来了极大的不便。

深圳联通的远程管理及远程控制系统要求以较小的网络带宽对远程主机进

第 40 页

终端安全管理_技术方案

行连接，不影响远程主机的业务操作。可分全权控制和旁观模式控制远程主机，实现远程操作主机，包括安装、删除程序，关机，重新启动等操作。 （4） 软件分发问题

由于病毒、补丁等问题，需要经常对桌面电脑的软件进行升级和维护，由于深圳联通的电脑数量庞大，手工方式很难保证所有的桌面电脑的软件和补丁及时升级。

深圳联通要求软件分发系统对主机进行分类，按照不同操作系统分发不同系统补丁、程序，可实现定时、定量、续传方式分发软件。

分发期间可按网络流量智能分配网络带宽，不影响主机的业务工作。 （5） 相关报表管理问题

为管理方便，深圳联通要求桌面电脑管理系统必须提供丰富的报表系统。 此外，深圳联通还有以下桌面电脑的管理要求。

（1） 设备快速定位。日常桌面管理中经常需要依据IP地址、MAC地址、主机

名等对桌面PC进行定位，如找到桌面PC在哪台交换机的哪个端口上，找到该PC在哪个房间的哪个信息点上，设备快速定位可以有效解决这方面的管理要求。

（2） 桌面PC安全漏洞管理。由于缺乏必要的管理手段和工具，许多企业桌面

PC经常爆发大规模的网络病毒，导致网络大范围瘫痪。爆发大规模网络病毒的主要原因在于缺乏必要的桌面PC安全漏洞管理。

（3） 对不符合安全要求或者外来的电脑接入到内部局域网时进行控制，例如：

对未安装防病毒软件的、有操作系统补丁漏洞的、或者外来的电脑接入网络进行控制。以提高内部网络的安全性，防止网络因为病毒、木马攻击而瘫痪。

深圳联通经过长时间的考察、选型，最终选择了深圳市神州数码科技有限公司的SmartTM安全接入管理系统解决其在桌面电脑管理方面所遇到的问题。SmartTM作为一款技术领先的终端安全管理产品，为深圳联通解决绝大多数桌面电脑和笔记本电脑管理中一直存在的诸多问题。这些问题包括：

? 资产管理与资产变更管理。SmartTM自动采集桌面电脑和笔记本电脑的软

件、硬件资产信息，自动发现资产变更。

第 41 页

终端安全管理_技术方案

? 信息安全管理。SmartTM能够自动发现接入到网络中的外来电脑，防止外来

电脑窃取机密文件，能够对内部网络的电脑拨号上网或者使用USB等行为进行监控，通过上网审计和上网过滤功能防止员工使用外部的邮件服务器收发邮件。

? 桌面电脑和手提电脑安全漏洞检测。SmartTM自动检测所有的操作系统漏

洞、微软应用系统漏洞，确保桌面系统的安全性。同时能够检测常见的终端安全设置。

? 网络接入控制。对不符合安全规定的电脑或者外来电脑，限制其接入内部网

络或者限制其访问重要服务器和网络资源。

? 集中式维护。SmartTM允许管理员对数以千计的桌面电脑进行集中管理、维

护，包括：

? 集中式软件分发，包括对应用软件、补丁软件的自动分发和自动安装。 ? 集中式远程管理，包括远程协助、远程监控多种管理模式。 ? 集中式安全设置，包括集中式Windows本地安全策略设置、集中式 ? 集中式设备定位，可以依据IP、MAC、用户名等信息进行快速定位，发

现异常的电脑。

? 集中式资产管理，可以依据资产的配置，对设备进行快速定位。 ? 丰富报表，便于决策和管理。SmartTM提供各种类型的资产、软件、安

全漏洞、变更等报表，方便管理和决策。

经过3个星期的部署，深圳联通的SmartTM系统全面上线。

案例三 深圳证券交易所

作为国内两家证券交易所之一，深圳证券交易所在金融、证券行业具有很强的影响力。多年来，围绕信息化和网络安全，该交易所在IT方面做了大量投资。为保障网络和系统安全，深圳交易所采取了如下措施：

? 建立多重防火墙保护体系，采用国际上最有名的软件、硬件防火墙对内

部网络进行安全保护；

? 建立入侵检测系统，采购了国内、国外的IDS产品，对网络入侵事件进

行安全检测；

第 42 页

终端安全管理_技术方案

? 建立防病毒系统，建立了可以动态更新病毒特征码的防病毒系统； ? 聘请专业的安全服务公司以及国际知名顾问企业，对其网络系统的安全

进行定期评估、检查、改进及支持。

在如此严密的安全手段、管理措施条件下，仍然发生了桌面电脑因为感染网络病毒，导致全所互联网访问中断超过6小时的安全事件。经过检查，发现该安全事件的直接原因是因为网络上有公用电脑，因为没有纳入管理体系，存在安全漏洞而被感染网络病毒，进而攻击网内和Internet上的其它电脑，产生了严重的安全事故。

经过长时间的论证、评估以及聘请国际知名顾问公司做规划和咨询之后，深圳交易所摈弃了采取Microsoft的桌面系统管理解决方案（事实上，该交易所之前几年前曾经购买过Microsoft的桌面系统管理产品），原因如下：

? MS的解决方案不能发现网络上的所有接入设备，特别是桌面PC或笔记

本安装了个人防火墙，其根本无法发现，更无法将这些未被发现的电脑纳入管理体系；

? MS的解决方案要求所有的计算机加入Windows域，由于交易所有许多

涉及股市、通信行业的机密，全部加入Windows域之后，系统管理员的权限过大，几乎可以操纵、访问所有桌面电脑的一切，但是没有对系统管理员很好的审计手段。

? MS的解决方案不能实现有效的按照部门、按照特定的组进行管理。分

组、例外条件不够灵活。

? 安全策略不够灵活、方便，例如在发现桌面PC拨号上网后，不能限制

其连接到内部网络，也不能即使通知管理员。

? 交易所员工素质普遍很高，企业文化是尽量给予员工较大的自由度，桌

面PC加入域之后，员工的自由度将受到很大的限制。

? 只限于传统PC上的一些功能，没有和网络集成使得MS解决方案在解

决网络环境中的桌面PC管理问题时力不从心。 ? 不能为用户进行二次开发。

在考察其它厂商的产品后，发现这些产品也存在与MS解决方案类似的问题。因此深圳证券交易所决定采取公开招标的方式，要求国内、国外的公司为其设计

第 43 页

终端安全管理_技术方案

这方面的解决方案及相关产品。

深圳市神州数码科技有限公司设计的解决方案，思路新颖，技术独创，将桌面PC管理和网络设备的管理紧密集成，配合传统桌面系统的软件、硬件资产管理技术，有效解决了深圳交易所遇到的管理难题。SmartTM软件系统全面上线之后，该交易所对SmartTM作出了高度评价：“SmartTM安全接入管理系统有效解决了交易所长期以来面临的数量众多的桌面管理难题，超出了用户需求，大大提高了内部网络的安全性”。

第 44 页

本文来源：https://www.bwwdw.com/article/nusp.html