神州数码电子政务易管理解决方案

　　随着电子政务信息化进程的不断深入，各种网络产品及应用系统分步建设，同时引发了管理上的难题，一种网络设备需要一种管理软件，一套服务器或应用系统需要一种管理软件，多套管理系统的运行维护给网络及应用管理人员带来了极大的工作压力和难度。在金税三期网路扩容、数据集中的大背景下，如果没有一套全方位的管理系统，那么对信息中心的技术管理人将是一场工作上的灾难。

　　神州数码网络深知信息化建设的进程，急用户所急，经过多年的开发，推出了神州数码Linkmanager5.0网络管理软件。神州数码网络管理软件集合了大管理的概念，能够对多种网络产品、服务器、服务进程、中间件、数据库等进行全方位、多角度的管理，真正实现了一套管理软件管理整个网络软硬件系统的功能，将极大的解决管理员的工作难题。

　　Linkmanager5.0分为两个管理套件：网络管理平台和应用&服务器管理平台。

　　1、网络管理平台

　　网络管理平台可以支持对大多数国内外主流厂商的网络设备的管理，主要实现基于网络设备的各种管理、监控及报表功能。

　　1)设备管理：查看所有设备列表、按类型查看设备列表、按子网查看设备列表、设备列表查询结果过滤、设备列表导出、设备列表打印、设备信息发现、设备概况、基本信息查看与配置、端口信息查询、网管信息查询、查找设备、设备备份、IP地址占用情况、端口管理。

　　2)拓扑管理：网络发现、缩放拓扑、排列拓扑、鹰眼导航、显示与标注、拓扑属性修改、拓扑位置保存、手工添加网络、手工添加设备、手工添加线路、设备CPU性能展现、设备内存性能展现、线路速率展现、线路包速展现、线路带宽展现、建立与编辑子图、设备节点与线路复制、节点子图关联、节点超链接设置、节点浏览器脚本设置、设置默认拓扑。

　　3)性能管理：设备CPU监测、设备内存监测、设备端口监测、设备负荷快照、设备负荷统计、终端活动快照、终端活动统计、查询结果过滤、列表导出、列表打印、监测器选择、监测器参数配置、监测频率间隔设置、监测时间段设置、告警内容设置。

　　4)故障管理：故障节点列表查询、告警事件查询、确认告警事件、查询结果过滤、列表导出、列表打印、告警通知策略配置、通知动作配置。

　　5)流量分析：全局流量统计、终端流量统计、所有协议统计、IP协议统计、ICMP插件、NetFlow插件、sFlow插件。

　　6)报表展现：网络运行统计、节点延时统计、节点端口流量统计、设备CPU负载统计、设备内存占用统计、查询结果导出。

　　7)安全管理：合法终端地址查询、登记与撤消记录、手工编辑记录、安全检查手段、非法终端查询、重新登记、手工拦截、手工放行、列表导入、列表导出、列表打印。

　　8)系统管理：系统信息统计、CPU使用率TOP10、内存使用率TOP10、速率速率TOP10、最新事件列表、性能趋势添加、发现向导、系统配置、密码修改、用户管理。

　　2、应用&服务器管理平台

　　1)细颗粒度系统管理：服务器管理、数据库管理、J2EE管理、MQSeries管理、Lotus Domino/Notes管理、存储备份管理、应用服务管理。

　　2)运行维护管理：运行值班管理、告警事件管理、用户申告、告警与通知、值班日志、交接班管理、故障处理流程管理。

　　3)全面的资源管理：设备管理、合同管理、知识库管理。

　　4)丰富的报表与运行考核：提供打印和以多种格式的数据导出、可由用户灵活定制报表、提供日报、周报、月报、年报报表生成、提供图形方式(包括曲线图、直方图和饼图)的呈现。

　　可信终端管理安全现状　　终端作为电子政务信息系统的基本组成单位，拥有多种角色属性，承载着传输、处理、存储等复杂的业务应用。因此终端所面临的安全问题是纷繁多样的，并且由于网络应用的大规模普及，导致存在于任何一个终端节点的安全问题都可能威胁到整个电子政务信息网络的安全。然而长时间以来，各类已有的信息安全产品始终无法有效应对庞杂的终端安全威胁。

　　在一个已经部署防毒软件、防火墙、IDS、VPN等传统信息安全产品的企业，却依然会不断上演以下场景

　　场景一

　　未经许可而接入到电子政务网络的计算机非法访问电子政务信息资源

　　场景二

　　未执行电子政务安全策略的染毒计算机在网络内传播病毒

　　场景三

　　由于存储有重要数据的便携计算机丢失所导致的政府机密泄露

　　场景四

　　堆砌了不同品牌大量的安全设备却始终无法智能、联动地解决网络内的安全问题

　　……

　　随着安全技术的发展和安全管理模型的细构，以及电子政务信息安全从终端使用者角度“自愿安全”到电子政务信息资产角度的“强制安全”的观念转变，人们对信息安全的关注已经不仅仅局限于传统的边界安全和分散的端点安全，系统化的终端安全管理正在日益成为新的焦点。也正是这种切合实际的需求促使终端安全管理产品现身安全市场。

　　终端安全管理系统DCSM的产品理念体现在如下三个方面：

　　通过统一的终端安全平台降低安全管理成本提高安全管理效率; 通过多安全功能模块联动来实现网络安全策略的强制执行; 通过加密技术与细粒度的操作行为审计加强网络的防信息泄露管理。 1) 通过统一的终端安全平台降低安全管理成本提高安全管理效率

　　终端面临的安全威胁是复杂的，如：病毒、木马、蠕虫、未授权访问、信息泄露、间谍软件、操作系统漏洞、系统资源误用、系统资源滥用等。我们使用的终端安全防护软件也是多样的，如：主机防毒软件、主机防火墙、主机入侵检测系统、间谍软件清除工具、操作系统补丁升级工具、文件加密系统等。而每一种终端安全产品都需要配置相应的策略才可以保证其作用得到有效发挥，这些情况导致产生了两方面的主要问题：

　　高昂的终端安全产品拥有成本让政府采购难度加大，从而难以拥有完整的全系列终端信息安全防护产品。 分散烦琐的终端安全产品配置，在增加政府管理维护成本的同时，也令政府丧失了应对终端安全威胁的最佳时机。　　改变这种现状的解决办法是：

　　统一终端安全产品平台，将主要的终端安全管理产品整合为一个系统提供给用户。其中产品模块应是可选的，以利于保护用户的前期终端安全产品投资，如防毒软件。 统一终端安全管理平台，在同一策略服务器制定所有终端安全产品的安全策略，并将策略下发到终端进行执行。 2)通过多安全功能模块联动来实现网络安全策略的强制执行

　　目前的终端安全产品功能相对单一，且各自为政，无法智能有效地解决复杂安全问题，导致终端层面安全孤岛的形成。面对这种挑战我们需要的是多安全功能模块依照安全策略进行联动，从而使网络的安全策略得到真正的强制执行。例如，未安装关键更新的终端将被与其他终端隔离，只能访问操作系统补丁升级服务器，并在完成关键更新安装后，必须通过网络安全策略的符合性检测，才能恢复其内网资源访问权限。并且，该产品还可以和802.1x交换机进行联动，充分实现基础网络的安全准入。

　　3)通过外设控制技术与细粒度的操作行为审计，加强防信息泄露管理

　　在边界安全为主的安全模型中，内部终端长久以来被当作潜在受害者进行保护，随着硬件介质遗失和被窃事件的频繁发生，我们需要为受保护的内部终端提供独立于操作系统的加密工具，从而有效控制硬件介质遗失和被窃所造成的政府损失。同时我们也应该看到随着各种内网安全事件带来的损失越来越大，以及对内部终端防信息泄露的要求越来越高，内部终端作为潜在攻击者的角色也必须受到我们的重视，于是针对内部终端的细粒度应用控制与操作行为审计势在必行。例如终端应用进程的黑白名单控制;终端网络行为审计;终端外设使用控制与审计等。

　　实现功能

　　DCSM 主要功能模块

　　主机防火墙

　　适用于多适配器环境，包括多条复杂的规则匹配条件。能够保存应用程序网络连接状态表，提供双向的状态检测功能。

　　主机IDS

　　安全代理中集成的入侵检测引擎可捕获进、出主机的网络数据包，进行基于签名的检测，并根据检测结果做出响应。

　　网络区域自适应

　　安全代理可按照管理员预先设定的区域探测规则，实时检测终端所处的网络环境，并切换到相应的防火墙策略。

　　完整性检查与自动修复

　　支持自定义的完整性检查规则，可检查进程、文件系统、注册表等的完整性，保证企业的安全措施，例如防毒软件安装以及病毒库更新。当某条规则规定的条件不满足时将自动执行完整性修复，手段包括执行本地修复命令。

　　网关强制认证

　　强制认证模块是运行在强制认证网关中的一个访问控制模块。它作为外部的安全强制手段，保证被保护信息资产的安全。该模块根据安全代理提供的安全状态，被访问的地址及服务，及中心策略管理服务器提供的验证信息决定采取通过或阻止网络连接的动作。

　　安全策略管理

　　管理员通过策略中心，可以进行安全策略新增，修改和删除等管理维护，包括全局策略，安全防护策略，安全防护策略模板，告警审计策略和文件审计策略等。

　　Sensor Agent探测、Sensor Agent阻断

　　Sensor Agent可以根据策略对企业网络中未安装安全代理的非法终端进行探测，并对非法终端试图在企业网络内建立网络连接的行为进行阻止，从而避免非法终端的未授权接入给企业网络带来的安全威胁和隐患。

　　资产管理

　　安全代理安装后，可以收集到各种资产信息，存放在服务器的数据库中。收集的信息包括各种硬件信息，如网卡信息、CPU、内存、硬盘等配置;各种软件信息，如操作系统版本、已安装的软件产品、补丁等;资产的财务属性，如资产编号、使用者信息等。

　　安全代理会不断跟踪终端软、硬件配置的变化，从而保证管理员随时得到最新的信息。终端的硬件改变还会在管理服务器上生成告警，使管理员及时了解资产的变化，也可查看资产硬件变化的历史。

　　文件分发

　　支持从管理员控制台将各种文件上传至服务器，客户端可以检测并选择需要下载的文件。可支持多个从分发服务器，减少文件分发带来的带宽占用。

　　补丁分发

　　采用微软的WSUS补丁更新机制，管理员通过策略中心设置补丁更新模板，强制终端执行对应的补丁更新策略。

　　代理查询

　　提供丰富的查询条件，以便在大面积部署后准确查询某一代理。

　　代理密码卸载

　　代理除了通过管理页面进行卸载外，还可以通过密码进行自卸载，但密码必须有管理员提供。

　　IP/MAC绑定

　　可对安装安全代理的终端提供IP与Mac地址锁定功能，可以防止其他设备使用与本机相同的IP地址而造成地址冲突，同时防止终端随意改变IP地址。一旦发现终端计算机的IP与Mac地址不匹配，将采取相应的处理措施，保证IP与Mac地址的一致匹配。

　　进程/服务/共享监控

　　通过进程/服务/共享 监控，管理员可以实时查看终端的进程/服务运行状态以及文件共享设置，并可以根据需要立即结束终端的进程/服务/共享，或修改终端服务的启动设置。

　　资源利用监控

　　安全代理可以监控终端的CPU、内存、磁盘、网络等系统资源的利用情况，并根据设置的告警阀值进行记录，便于管理员掌握企业中终端系统资源的异常利用情况。

　　策略模板

　　策略管理提供策略模板的编辑方式，支持导入、导出功能。管理员可以将通用的管理策略编辑成策略模板，从而在设置代理组策略时能够方便的引用，提高系统管理的工作效率。

　　审计中心

　　通过审计中心，可以查看当天实时的告警审计信息和告警审计信息的统计分析结果，并能够针对全部的告警审计信息进行查询与输出，同时还可以查看系统自身的运行审计记录和管理员的系统操作审计记录。

　　报表中心

　　报表中心为用户提供方便、快捷的模块化报表输出模板，只需简单的设置报表输出条件，即可获得所关注内容的统计分析报告，并提供Top10柱型图和分布统计饼状图以便于更直观的展现统计分析结果。

　　远程消息

　　管理员在控制台可以对单个、多个安全代理或指定代理组发送消息。可以编写消息内容，并设置发送消息的等级，从而使消息以不同的方式在终端显示，提醒终端用户查看发送的消息内容。

　　远程控制

　　经过授权的管理员能够对终端进行远程控制管理，可以实现终端计算机的实时屏幕查看监视、询问接管远程控制和强行接管远程控制，方便管理员远程帮助终端进行故障诊断和管理监控。

　　外设控制

　　可以对安全代理所在主机的输入输出设备进行控制，如在高度涉密的部门禁止使用U盘、打印机、无线网卡、红外接口等可能泄露企业机密的设备。

　　进程/服务审计

　　通过制定进程、服务审计规则，对终端运行的进程和服务进行审计，当终端运行非法的进程或服务时会触发报警日志，方便管理员掌握非法应用情况。支持告警级别和审计时间段的设置。

　　URL审计

　　通过制定URL审计规则，对终端的网页访问行为进行审计，当URL中存在非法关键字时将触发报警日志。支持告警级别和审计时间段的设置。

　　系统管理三权分立

　　提供三权分立的管理体系，设定三类系统管理角色：安全员、系统管理员和审计员。安全员负责审批新增系统管理员和审计员德操作权限，系统管理员负责对整个终端安全管理系统日常的运行维护，审计员负责审查安全员和系统管理员对整个终端安全管理系统的操作行为。

　　方案特点　　1、提供给用户设备、应用、终端全方位的易管理、统一管理方案，即使在异构网络中，也能做到对网络状况了如指掌，对各种突发情况轻松应对;

　　2、可视化管理和可视化安全融合，降低网络运维成本，构建高价值的电子政务网络。