圣博润测评报告
框架结构
功能 | 软件功能模块 | 软件子功能模块 | 内容 | 备注 |
框架结构 | 基本模块 | 安全管理平台 | 是整个系统的控制中心。其主要功能是通过搜索网络中的交换机、路由器、PC、服务器等各种设备后,收集交换机基本配置信息和各种动态信息,动态生成网络物理连接拓扑图;对各种事件通过声音报警和屏幕提示报警进行响应;对客户端设备实行屏幕监控;定制客户端的审计、监控、补丁分发、软件分发等规则;采集受控终端的各种配置信息和审计日志,生成丰富实用的统计报表和图表,为系统管理员维护监控网络及其设备的正常运行提供了方便实用的工具。 | |
审计监控客户端 | 安装在被监控的pc机上,负责采集受控终端的软、硬件配置信息,当受控终端的软件、硬件配置发生变动时能自动向安全管理核心平台发出报警信息。同时,审计监控客户端能够对用户在受控终端上进行的文件、网络操作进行审计,自动安装系统补丁,控制用户对网络和各种外设的操作,当发生非法操作时,能够及时向安全管理核心平台发出报警信息。 | |||
设备智能探测器 | 自动探测网络中的SNMP 设备,读取交换机的信息库,通过LanSecS 独创的算法计算出内网中所有设备的物理连接拓扑图; 对未注册的机器或未安装客户端的机器进行非法接入阻断,以防止外来计算机随意接入内部网络。 | |||
管理方式 |
|
|
| |
Agent安装方式 | 自动发现pc | 通过SNMP协议,NetBIOS协议,若为已注册PC,则在管理平台显示为蓝色图标,若为未注册PC,则在管理平台显示为红色图标。 | 支持对未注册的pc的自动检测 | |
pc注册安装agent(客户端) | 客户端安装程序(install.exe)须在每个被管PC机上手动安装,安装之后向管理平台发送ping包,由管理平台注册之后,向被管PC机发送ping包,相应注册完毕。 | |||
可扩展性 | 是否模块化 | 非模块化 |
| |
开发语言 | VC++ 6.0开发 |
| ||
所用通信协议 | 底层通讯协议 | 底层通讯协议为TCP/IP协议,使用Sockect套接字。 | TCP/IP Sockect
| |
客户端与管理平台通讯所用协议 | ICMP协议,(发现IP地址存在的其中一种方式) |
| ||
数据库连接协议 | 数据库连接所用端口:1433 | TCP/IP协议 | ||
其他通信协议 | NETBIOS协议,UDP端口137(为了发现机器名和MAC地址); SNMP协议,TCP端口161(为了发现网络设备如路由器、交换机等); | NETBIOS协议; SNMP协议 | ||
跨平台性 | 对于Linux,UNIX操作系统的支持 | VC++开发的.exe的可执行程序无法在Linux,UNIX等操作系统下运行,只可在Windows平台下部署。 | 不支持,只能运行在Windows平台 | |
被管客户端数量 | 采用基本框架部署 | 由Ikey的点数决定。 |
|
部署
部署方式 | 基本框架 | 基本构架: u 对于一般网络,每个网段部署一个探测器,探测器是与控制台分离的单独使用的程序,它可安装在网络中任何一台机器上,由控制台对它进行消息指令自动收集网络中SNMP设备的信息,在拓扑中,探测器通过SNMP协议获取交换机、路由器等网络设备的信息及当前状态,管理所有设备;若只对PC机进行管理则不用部署探测器。 u 客户端负责采集受控终端的软、硬件配置信息,当受控终端的软件、硬件配置发生变动时,能自动向安全管理核心平台发出报警信息。 u 管理平台直接与客户端通信,客户端将采集到的受控终端的软、硬件配置信息发送给管理平台;探测器将获取到的网络设备的信息及当前状态发送给管理平台,由管理平台对其进行管理。 | |
级联方式(多级) | 不支持 |
|
PC机管理功能介绍
功能 | 软件功能模块 | 软件子功能模块 | 内容 | 备注 | |
流
量 | 无 | 无 | 无 |
| |
行 为 管 理 | 审计规则 (如果客户端所在的设备有符合规则的行为发生,则在服务器的日志里会有相应记录)
| 设计规则
| 系统配置审计:在客户端的用户,工作组和逻辑驱动器等系统配置发生变化时,会产生日志信息 |
| |
硬件配置审计:在客户端的硬件信息发生变化时,会产生日志信息 |
| ||||
系统服务:在客户端的机器安装或卸载了系统服务后,会有日志信息产生 |
| ||||
安装卸载程序审计:在安装卸载程序时,会产生日志信息; |
| ||||
进程审计:进程的启动或停止的时候,会产生日志信息 |
| ||||
客户端运行日志:对客户端的运行状态进行监测,会产生日志信息 |
| ||||
打印、拨号及可移动存储设备的审计:在使用上述外设的时候,会产生日志信息 |
| ||||
用户登录:对用户登录事件进行审计,产生日志信息 |
| ||||
网络访问:对用户访问外网的行为进行审计 |
| ||||
共享文件夹:记录共享文件夹是否被更改 |
| ||||
文件审计
| 文件审计:记录对指定文件夹的操作行为,包括对文件的新建、修改、删除等。
|
| |||
监控规则 (以禁止或允许的方式直接对客户端进行规则下发,并且向控制台发出报警信息。)
| 外设控制 | 允许或阻断用户对受控终端的各种输出设备进行访问,包括USB可移动存储设备、打印机、DVD/CD-ROM、软盘、磁带机、PCMCIA设备、COM/LPT端口、1394设备、红外设备;
|
| ||
网络访问
| 对网络访问进行控制,允许或禁止对网络及相应端口的访问,并可设置访问时段; |
| |||
监控规则
| 对受控终端进行IP地址和MAC地址的绑定,防止用户随意更改网络配置; | IP/MAC地址绑定:当要求客户端不得随意更改其IP或MAC地址时,在此控制台进行绑定选择。实现绑定后,若客户端有更改其IP或MAC地址的行为,控制台一律视为违规,进行强制性还原。 | |||
对受控终端运行的进程进行控制,允许或禁止某些进程的启用 |
| ||||
允许或阻断用户通过拨号访问Internet; | 禁止或允许客户端以拔号方式上网。 | ||||
允许或阻断用户对打印机进行访问; | 禁止或允许客户端打印。 | ||||
可要求用户是否安装某种防病毒软件; |
| ||||
对用户安装的个人防火墙是否阻断客户端代理进行控制; | 禁止或允许客户端使用个人防火墙对客户端代理程序进行阻断。
| ||||
设置进程监控黑白名单。若选择
|
| ||||
统计查询
| 规则查询
| 对所有管理者操作行为及下发规则的查询 | |||
审计日志查询
| 只针对审计规则(系统配置,硬件设备,用户,组,逻辑驱动器,系统服务,安装卸载程序,进程,客户端运行日志,打印,拨号,可移动存储设备,用户登录,网络访问,共享文件夹,文件)行为写入日志 | ||||
告警消息查询 | 分一般事件、告警事件、错误事件、严重错误事件四个等级 |
| |||
软 件 分 发 | 补丁管理 | 补丁管理设置 | 设置控制台从补丁服务器上获取所有补丁信息及安装文件 | 可以部署单独的补丁服务器,由于手册中标注“增加补丁信息,此处信息由圣博润公司编辑后上传给服务器”不确定服务器是否可以自动从互联网上下载下来 | |
补丁自动分发 | 设置补丁自动分发时间(1开机自动更新 2定时自动更新 3关闭自动更新)及类别(自动更新安装补丁级别) |
| |||
补丁手动分发 | 手动进行补丁分发 | 不明确是对单个设备手动分发还是批量手动分发 | |||
软件分发
| 软件分发 | 进行软件的统一下发,以强制性方式要求客户端安装同类软件 | 不确定软件类型(只看到exe) | ||
统计查询 | 补丁查询 | 查询客户端的补丁安装情况 | 补丁查询条件可以保存便于下次查看 | ||
资产管理 | 资产信息 | 硬件资产信息
| 含有设备列表及调整设备属性;添加、删除、合并设备 |
| |
报表 | 设备报表 | 展示所有设备的基本信息 |
| ||
资产报表 | 列出资产信息包括系统、处理器型号、物理内存的大小等 | 不明确是单个设备还是多个设备 | |||
远程控制(协助) | 远程开关机、重启、键盘、鼠标的锁定 | 远程开机:在设备处于待机状态下时可以远程将设备恢复到主界面 键盘锁定:将被控机的键盘和鼠标锁定 |
| ||
远程协助 | 远程接管客户端,实现协助操作 | 主控端与被控端争夺控制权
| |||
其他功能
数据库维护 | 系统数据 | 所有搜索到的数据(包括机器与网络设备) | 设定起止时间,进行数据删除、备份、清理全部日志 |
审计日志数据 | 审计规则下发后产生的日志信息 | 同上 | |
操作日志数据 | 操作行为产生的日志信息 | 同上 | |
系统消息数据 | 违规事件或客户端产生非正常状态所产生的日志信息 | 同上 | |
其它 | 工作组管理 | 划分相应的工作组,形成规则的组策略,便于规则的分批处理和统一下发 | 对工作组进行增加、删除、修改 |
权限管理
| 系统管理员和系统审计员 |
| |
查询所有的操作过程 | 分为事件类别与操作类型 事件类别:对各类规则的设置,以及常用的管理设置如工作组建立、帐户的增删修改和对日志的维护。操作类型则:具体的操作过程,包括规则的下发、装入、系统的登录、日志的删除等具体行为。 | 查证管理者的操作行为 | |
SNMP设备管理 | 显示网络设备各项(包括:系统、Interface、IpAddress表、Routing表、ARP表、MacAddress表和IfOctects)配置信息及交换机的端口流量与曲线动态显示 |
|