北信源测评报告
(测试部)
目录
总体结论
l pc管理功能齐全
l 部署灵活,方便
l 支持多级
l pc管理远程控制
l b/s结构
l 自动发现pc
框架结构
功能 |
软件功能模块 |
软件子功能模块 |
内容 |
备注 |
框架结构 |
基本模块 |
区域管理器 |
RegionManage:系统数据处理中心。与管理信息数据库通讯,接收注册程序提供的用户信息,将用户信息(用户填写的物理信息和系统自动采集的硬件信息)并行存入数据库;接受来自控制台的命令操作,发送到客户端、扫描器执行 对于存在多级管理要求的广域网,网络中可以存在多个区域管理器,系统数据提供逐级上报(转发)模式。 |
|
区域扫描器 |
RegionScan:扫描网络中主机状态。查看是否已经安装注册程序,巡检网络设备状态变化信息,对客户端的违规行为的阻断也是由扫描器在接收控制台命令后执行。 扫描器配合区域管理器进行工作,可以在分级模式下使用。扫描器只依据WEB管理平台中配置的工作范围进行扫描,超越其范围,将不负责执行操作。 |
|||
客户端注册程序 |
客户端驻留程序功能: 进行本机硬件属性信息变化监视; 进行本机IP、MAC地址变化侦测; 本机系统补丁、软件安装、运行进程状况监测; 探测本机是否有违规联网行为,在内网管理中心或外网报警平台报警; 接受Web管理平台的管理命令; 阻断本机非法外联行为; 执行web管理平台下发的各种策略操作。 |
|||
补丁下载服务器 |
安装在与Internet网络连接的机器上,用于实时下载补丁厂商发布的补丁。 |
|||
外网报警服务器 |
安装在互联网上,将内网用户非法联网接入Internet行为在外网上报警,并记录行为状态。 |
|||
管理方式 |
B/S模式 |
任意可访问Web Server网页管理平台的PC机通过浏览器Explorer登录到网页管理平台界面,且拥有管理员权限即可管理。 |
|
|
Agent安装方式 |
自动发现pc |
通过ICMP协议、NETBIOS协议、SNMP协议发现pc |
|
|
pc注册安装agent(安装探头) |
任意可访问Web Server网页管理平台的客户端通过浏览器Explorer登录到网页管理平台界面下载客户端注册程序,大小2.97M,填写客户基本信息之后即可注册。 客户端注册原理: 执行注册程序,根据要求填入指定信息,系统自动将所添加信息和系统自动采集获得的设备信息发送到区域管理器(设置为转发模式的将发送到上级区域管理器),区域管理器将注册信息导入SQL数据库保存,在WEB管理平台中设置的客户端参数策略将由区域扫描器扫描客户端后,发送给客户端驻留程序保存执行。 |
|||
可扩展性 |
是否模块化 |
区域管理器(Region Manage),区域扫描器(Region Scan),数据库(SQL Server),网页管理平台(Web Server)等模块相对独立,可安装在不同的机器上。 |
模块化设计 |
|
开发语言 |
区域管理器(Region Manage),区域扫描器(Region Scan),补丁下载服务器,客户端注册程序是用VC++ 6.0开发。 |
VC++ |
||
Web Server网页管理平台是用ASP开发。 |
ASP |
|||
所用通信协议 |
底层通讯协议 |
底层通讯协议为TCP/IP协议,使用Sockect套接字。 监控服务器给客户端下达策略的端口为:TCP端口22105; |
TCP/IP Sockect
|
|
Web访问通信协议 |
被管理客户端可以正常连接服务器的两个端口为:TCP端口80,88; |
TCP/IP协议 |
||
区域扫描器发现客户端所用协议 |
ICMP协议,(发现IP地址存在的其中一种方式); NETBIOS协议,UDP端口137(为了发现机器名和MAC地址); SNMP协议,TCP端口161(为了发现网络设备如路由器、交换机等);
|
ICMP协议; NETBIOS协议; SNMP协议; |
||
数据库连接协议 |
数据库连接所用端口:1433 |
TCP/IP协议
|
||
其他通信协议 |
其他通信协议所用端口:6800,8800,8900,2388,2399 |
|
||
跨平台性 |
对于Linux,UNIX操作系统的支持 |
VC++开发的.exe的可执行程序无法在Linux,UNIX等操作系统下运行,只可在Windows平台下部署监控服务器。 |
不支持,只能运行在Windows平台。 |
|
ASP开发的动态网页,只能运行在Windows平台,只可在Windows平台下部署网页管理平台。 |
不支持,只能运行在Windows平台。 |
|||
被管客户端数量 |
采用基本框架部署 |
区域扫描器平均4~5分钟可扫描1000台PC机。 |
区域扫描器平均4~5分钟可扫描1000台PC机。 |
部署
部署方式 |
基本框架 |
基本构架:对于一般网络(例如1个C类地址或若干个C类地址的局域网范围),可使用一套本系统软件,集中管理所属区域内的所有设备。 区域管理器(RegionManage)、扫描器(Regionscan)、注册程序部分系统的参数配置集中体现在网页管理平台操作上,上述三部分功能参数、功能项数值统一在网页管理平台中进行配置。区域管理器(RegionManage)、扫描器(Regionscan)部分参数在自身软件组件中配置。外网报警服务器:安装在互联网上,将内网用户非法联网接入Internet行为在外网上报警,并记录行为状态。在不同机器上安装SQL数据库、WebServer服务器、区域管理器、区域扫描器等。 |
(核实)基本框架图 |
级联方式(多级) |
扩展构架:对于大规模的多个局域网或者跨地域广域网(包括基于国家、省、市、县等多级管理模式的网络结构),可使用本系统提供的多区域集中管理构架,即一个或多个网段各拥有一套独立内网安全管理软件的同时,将本级所有设备信息再转发给上级管理数据库,使得上一级管理人员对整个网络的设备状况也能够完全掌握。不同程序也可安装在同一台计算机上。区域管理器支持多级关联,如国家、省、市、县多级规模网络管理构架,下属区域管理器将其所有计算机报警信息转报到上级数据库。 |
(核实)级联方式图 |
|
|
网中子网 |
对于网络中存在网中网现象,如采用NAT地址转化或者代理方式在10.*.* .*网络中接入192.* .* .*网段,这些子网用户的管理方式如下: 情况一:子网有专人管理,并且有独立机房 应在该子网中安装一套完整的监控系统。 情况二:子网无专人管理,或无独立机房,可采用以下3种方式之一处理: 1.机器数量少的建议统一更改ip为10.* .* .*网段。 2.由管理员监督子网中所有机器进行注册并保证不得遗漏。 3.在该网络中指定一台工作站专门安装区域管理器软件和区域扫描软件,并将区域管理器配置中SQL服务器地址指向监控服务器。 |
(核实)网中子网图 |
PC机管理功能介绍
功能 |
软件功能模块 |
软件子功能模块 |
内容 |
备注 |
流
量 |
流量管理策略 |
流量采样策略 |
1 采样流量阈值 2 并发连接可疑定义 3 发包可疑定义 |
|
流量控制策略 |
1 客户端总流量阈值 2 并发连接数可疑违规 3 发包可疑违规 4 违规客户端执行行为 |
(3、4核实) |
||
运维信息 |
客户端流量排名 |
Top10流量 Top20流量 Top50流量 Top100流量 |
只出现过top1,而且2台机器数据不一样或者或没有数据的情况 |
|
客户端流量统计
|
30分钟内最大值 当天内最大 本周内最大 最后瞬间值 |
当天最大和本周最大出现多条数据,Bug。 |
||
运维状态异常监控 |
对设备、区域、时间条件下, 运行资源、网络流量、 运行进程异常的查询
|
|
||
行 为 管 理 |
硬件资源管理 |
硬件设备控制 |
光驱、软驱、USB移动存储、打印机、调制解调器、串、并行口的启用和禁用 |
|
违规联网策略 |
违规联网络管理 |
客户端IP、MAC绑定后,发生变化:1不处理;2自动恢复;3断开网络4仅提示 |
|
|
探头发现设备违规(1若客户端同事连接内外网;2客户端仅在外网;客户端未运行病毒防火墙)后处理方法: 1不处理;2断开网络;3仅提示 |
|
|||
进程及软件监控 |
软件安装监控 |
监控禁止和必须安装的软件,如果违规处理:1不处理;2仅提示;3断开网络 |
(核实) |
|
进程执行监控 |
监控禁止和必须运行的进程,如果违规处理:1不处理;2仅提示;3断开网络 |
(核实) |
||
软 件 分 发 |
软件分发策略 |
普通文件分发 |
普通文件分发:向客户端分发指定的文件或安装软件,提供软件的运行参数和必要的运行控制 |
不能成功 |
自动补丁分发 |
补丁自动分 发 |
提供客户端补丁的自动下载及安装,可设置补丁探测时间,运行参数及运行形式。 |
(核实) |
|
人工选择补丁分 发 |
向客户端分发指定的补丁,提供补丁的运行参数和提供必要的运行控制。 |
|
||
补丁分发
|
补丁库分类列表 |
可以查找系统、IE、应用程序的补丁(从补丁服务器上下载下来的) |
(核实) |
|
补丁网页下载设 置 |
设置下载补丁超时时间和对应超时提示,以及没有适合补丁的提示 |
|
||
本地补丁分发综合查 询 |
可以按照各种条件(补丁号列表,IP以及范围、MAC、操作系统、所属区域、查询时间)查询已经安装、未分发、分发补丁 |
(核实) |
||
本地补丁分发统 计 |
查看本地各种补丁下载和安装的次数和成功率, |
(核实) |
||
资产管理
|
统计报表 |
本地设备注册情况统计 |
设备的注册情况统计报表内含有柱状图,如图1所示 |
(核实)设备报表柱状图 |
本地设备系统信息统计 |
包括操作系统信息和IE信息(含有饼状图标是各个部分占用的比例,如图2所示) |
(核实)系统信息饼状图 |
||
|
本地设备硬件信息统计 |
包含CPU、内存、硬盘的信息,罗列出各项的设备数和所占比率,该统计也有饼状图 |
(核实) |
|
终端管理
|
设备基本信息 |
设备的操作系统版本,CPU类型、内存大小,等设备信息 |
(核实)设备基本信息 |
|
远程控制(终端控制) |
终端管理
|
终端进程管理 |
查看、选择终端进程,被选中的进程可以被终止
|
(核实)终端进程管理 |
终端服务管理 |
终端的所有服务,显示出被启动和中止的服务,可以对服务进行操作
|
(核实)终端服务管理 |
||
终端端口管理 |
端口对应的进程,可以选择终止进程来关闭端口 |
(核实)终端端口管理 |
||
查看安装软件 |
显示出设备上已安装的软件和补丁的名字 |
(核实)查看安装软件 |
||
查看漏打补丁 |
查找出所有没有打的补丁的名字,同时介绍出补丁的危害程度 |
(核实)查看漏打补丁 |
||
查看运行资源 |
该设备的端口流量,CPU的使用情况,内存的使用情况,以及CPU的主频和内存的大小,系统磁盘的使用大小,及总容量等 |
(核实)查看运行资源 |
||
终端事件查看 |
查看系统日志 |
(核实) |
||
硬件资产查看 |
显示该设备上安装的硬件信息 |
(核实)硬件资产查看 |
||
终端访问审计 |
用于查看用户登录信息和历史信息 |
(核实)终端访问审计 |
||
行为控制
|
消息通知 |
向客户端发出消息通知 |