DM3桌面管理解决方案发布日期:2011-4-15 19:19:14
背景
以往提起信息安全,人们更多地把注意力集中在防火墙、防病毒、IDS(入侵检测)、网络互联设备即对交换机、集线器和路由器等的管理,却忽略了对网络环境中的计算单元——服务器、台式机乃至便携机的管理。正确、全面的认识终端桌面管理的发展趋势和技术特点,是IT研发厂商面临的发展抉择,同时也是企事业IT管理人员和高层决策人员在进行终端桌面安全防护部署时必须考虑的议题。根据研究调查发现,80%的内网安全问题根源出自终端。
有过这些担心?
● 高薪聘请的网管员,70%以上的工作时间耗费在维护终端PC上
● 等级保护即将实行,终端的安全等级如何保证
● 内网员工不遵守安全操作规定,上班时间任意访问外网和使用非法软件
● 内网终端自身的安全强度不够,漏洞百出、漏打补丁、不运行防病毒软件和个人防火墙,使内网终端被感 染并成为病毒源
● 系统管理员对内网终端和服务器缺乏评估手段,不了解内部脆弱环节,无法采取事前的防范措施
● 客户端私自建立互联网连接,造成物理隔离网络被攻破,导致网关型安全设备失效
● 各种移动介质和移动存储设备的广泛使用,使信息的拷贝非常容易,造成信息泄露
● 终端的软硬件资产、配置等被随意变动,造成资产风险和资产流失
解决方案
现在的网络规模越来越大,繁杂的手工终端管理已经远远不能适应大规模的网络管理,自动化的终端与内网安全管理工具已经成为网络安全管理人员实现及时、严密、持续的终端管理所必备的工具。用友 DM3桌面管理具有网络行为监控、进程和服务监控、补丁分发管理、漏洞扫描、终端安全加固、移动存储管理、资产管理、安全接入、非法外联监控等功能,可以加固网络终端、提升信息系统安全等级。
图1 用友DM3桌面管理系统架构图
DM3桌面管理是用友内网安全运维方案中的重要组成部分,部署在企业的内部网络中,用于保护企业内部资源和网络的安全性。
用友 DM3可以对内部终端计算机进行集中的安全保护、监控、审计和管理,可自动向终端计算机分发系统补丁,禁止重要信息通过外设和端口泄漏,防止终端计算机非法外联,防范非法设备接入内网,有效地管理终端资产等。用友 DM3可以与防火墙、漏洞扫描设备进行有机联动,共同提供全网安全解决方案。配合用友ITOM3运维管理一体化平台 ,更可提升网络运维与服务整体质量,提高IT部门工作效率。
产品特点
■ 完全的国内自主知识产权
用友DM3是国内自主开发的信息安全产品,具有完全自主的国内知识产权。不会出现国外产品所带来的后门、控制权外泄等问题。
■ 支持P2P的高性能补丁与软件分发
针对软件、补丁分发等耗费带宽的操作,可以采用P2P的方式完成文件传输,提高整体网络性能。精心设计的服务器调度算法,单台服务器能支持多达10000台客户端;独特的区域管理员功能,可以在一台服务器上实现分级管理,减少用户投资。
■ 虚拟安全域
用友DM3管理策略引入了优先级的概念,对终端策略进行集中管理。客户端最终应用的策略依据自身和所属组的策略,按照优先级自动合成。不同分组的客户端可以形成统一的对外访问规则,不用进行大量的网关硬件投资,就可实现安全域的划分和管理。
■ 用户策略场景
用友DM3支持用户场景、时间场景、网络场景等,可以实现对不同用户不同时间使用不同网络应用不同的策略,突破了只能针对主机进行管理的限制,实现以终端用户为主体的安全保障。
■ 结合漏洞扫描的有效补丁分发
补丁分发是提高终端安全性的重要手段,但是随意分发会耗费带宽和影响正常应用。用友DM3结合漏洞扫描结果,对补丁进行有针对性的有效分发。不仅发现漏洞,而且修补漏洞。
■ 具备补丁回退功能
补丁能够解决操作系统和应用软件的漏洞,但也可能引发兼容性问题。用友DM3支持补丁回退功能,可以解决补丁引起的兼容性问题,保证业务系统的持续正常运行。
■ 服务器支持安全的Linux系统
产品设计基于C/S、B/S混合管理模式架构。系统服务器端支持Linux系统,为安全性要求更高的环境提供技术保障,并可大大降低管理员的系统维护工作量。
■ 基于角色的管理权限
用友DM3系统用户分帐号管理员、审计员、系统操作员等,分别对应不同的权限,互相监督、互相制约,防止管理员权力过分集中产生的安全隐患。
■ 灵活的模块化组合部署
不同用户的信息安全需求是不一样的,用友DM3采用灵活的模块封装形式,可以灵活部署并分步启用,极大减低推广和部署难度。
产品功能
用友DM3桌面管理提供了针对桌面PC的软硬件资产自动收集、远程管理和维护、软件和补丁分发、外设及非法外联、流量控制、文档审计、终端安全、端口策略、非法设备接入检测、IP与MAC绑定、终端病毒防范等多种策略管理,同时提供了终端行为控制、审计和告警、报表管理等多种功能。
◆ 桌面资产管理
系统具有强大的资产管理功能,能够自动监测和管理终端计算机的各种软硬件资产信息:
◆ 远程维护
系统远程专注于终端计算机的设置与运行维护管理。
系统管理员通过远程管理能够对网内终端计算机远程管理进程、共享文件夹、远程的重启、注销、锁定、解锁、关闭甚至卸载终端等操作,实现足不出办公室的办公模式,有效提高运维效率。系统同时提供了远程截屏的功能。
◆ 补丁分发和漏洞扫描
支持微软全系列补丁以及用户自定义的针对应用系统的补丁分发。内置扫描引擎,可对全网计算机进行安全扫描。
◆ 防病毒软件监控
能够监控防病毒软件信息,包括是否安装、是否运行、病毒库版本更新状态,并主动进行报警和响应处理。
◆ 客户机安全状态检查与联动响应
检查客户端的硬件、软件、共享、用户帐户等信息是否符合安全策略的要求,同时可对违反既定策略的终端进行断网等响应措施。对于客户机的补丁、防病毒程序和病毒库情况可进行检查并强制修复。
◆ ARP防病毒防范功能
内置网络版ARP防火墙,防止ARP病毒干扰网络通信。
◆ 网络参数动态绑定
可进行IP/MAC绑定,还可根据安全策略对客户端网络参数做动态绑定。
◆ 主机防火墙功能
提供主机防火墙功能,可对客户端进行基于网络地址、端口、协议等的网络防火墙控制,还可对终端通讯流量进行分析并进行有效控制。
◆ 流量监控和管理
提供对终端流量的实时监控审计。
◆ 准入控制
提供基于802.1x、ARP及网关联动等多种手段的准入控制功能,可有效阻止非法计算机接入网络。
◆ 外设与接口管理
提供对外设和接口的管理,可以禁止非授权外设使用,包括软驱、光驱、USB等存储设备,串口、并口、USB、SCSI、1394、红外、蓝牙等接口。
◆ 移动存储设备管理
可彻底禁用USB接口,也可以只禁用存储设备,还可以对USB存储设备进行认证,做授权使用及加密USB存储设备数据。
◆ 非法外联监控
能够发现并防止内网主机私自建立外网连接的行为。
◆ 终端行为监控
终端访问非授权网站、运行非法程序、越权操作文件等行为,都可以详细记录审计日志并进行访问权限控制。
◆ 统一身份认证及用户实名制管理
确定用户在网络中的唯一身份,进行相应授权控制,有效解决“一人多机,一机多人”而带来的管理问题,实现完整的实名控制、实名审计。
◆ 文件访问监控功能
可针对计算机内所有的文件访问进行有效监控,监控范围包括本地文件和网络文件,监控动作包括打开、复制、改名、共享、打印等所有的文件操作行为。
◆ 报表管理
系统提供对客户软硬件资产的查询功能,并且可以自定义字段,提供报表及打印功能报表查询中提供部门信息、硬件信息,根据不同的信息生成不同的报表