本系统通过主机监控代理实现计算机的控制、监控与审计。不论计算机是否联网、登陆用户是否有超级权限,都能够有效控制计算机相关资源的使用;通过网管子系统的交换机端口和主机映射功能,实现计算机的******和控制。
另外,系统还包括其它一些辅助功能,例如***、补丁分发、操作系统日志收集。
控制功能
本系统能够管理控制(使用或禁用)的硬件设备包括所有的计算机***设备。这些***设备包括:USB设备、串口、并口、RAM盘、软驱、光驱、刻录机、红外设备、网络设备等。
一旦控制中心设定的策略不允许使用某个设备,即使本机超级用户也无法使用该设备。这种控制功能和系统内核进行了结合,达到了强制控制的目的,即被禁用的设备无法使用,即便超级管理员也无法启用该设备。
另外,系统还可控制新添加的***硬件设备。只要控制台的策略不允许使用任何新添加的设备,计算机上的新加设备便不可使用。
如果系统策略不允许用户私自安装应用软件,则用户安装任何应用软件时,主机监控代理均会要求用户输入正确的安装密码(该安装密码由控制台设置)。只有当用户输入正确的安装密码后,才能够继续安装应用软件。另外,对于已经安装的应用软件,系统可以采用黑名单的形式,禁止用户运行黑名单上的应用程序。
系统可对移动存储设备的使用进行控制,包括U盘、移动硬盘、软盘。控制包括两个层次,一是禁止移动设备的使用,当禁用移动设备后,用户无法向移动设备上拷贝任何文件,也无法访问移动设备上的文件;二是可以使用移动设备,但是任何存储到移动设备上的文件将自动加密,该移动设备只能在企业内部网络内使用,一旦移动设备脱离企业内网,移动设备上存储的文件将无法***,从而保护了文件内容,防止泄密事件的发生。
系统可禁止用户自行修改主机的IP地址,这主要通过IP与MAC地址绑定来实现。如果计算机采用了固定IP地址管理方式,系统可将IP和MAC地址绑定,如何试图改变IP地址的企图都将无效。这为计算机的管理提供了方便。也有效防止了用户通过私自更改计算机IP地址的方式,进行***操作。
系统可自动将内网计算机IP、MAC等信息与计算机所位于的交换机地址和端口号对应起来。如果禁止计算机接入内网,可通过禁用交换机端口实现;如果限制计算机接入,则可通过将该计算机位于的交换机端口划分到***的VLAN中实现对该计算机的隔离。对交换机端口的控制以及VLAN的划分通过SNMP协议自动实现,无须管理员登录到交换机进行设置。
监控功能
进程监控, 如果某个正在运行的进程或服务被加入黑名单,主机监控代理将立即***、停用该进程。其它位于黑名单中的未运行进程则永远不可运行,除非控制台将该进程从黑名单中移除。
硬件操作监控主要是监视用户对***硬件设备的启用和禁用等操作,并对用户操作进行实时报警。
文件系统监控可针对被监控的计算机制定文件监控策略,对用户的文件操作进行监控。
打印机监控对被监控计算机的文件打印操作进行监控,只要发现打印任务,立即向控制台发送报警信息。
***外联监控可根据设定的策略允许或者禁止用户访问互联网。系统一旦发现用户计算机连通了互联网,可立即禁止网络连接。该功能突破了传统的拨号上网连接控制,完全杜绝了***上网行为。
控制台的网络管理子系统按照设定的周期自动扫描网络上新发现的计算机,一旦发现有非注册的计算机接入了内网,立即发送报警信息。同时,根据控制台设置的策略,还可对***接入的计算机进行阻断或隔离。
能对计算机用户账号的更改情况进行监控,包括增加、删除、改名、修改属性等。一旦发现计算机用户账号有改动,立即向控制台发送报警信息。
审计功能
审计功能主要是针对系统监控所涉及的内容进行记录,并上传到控制台保存。如果被监控计算机处于离线状态,主机监控代理仍然可记录对于用户在离线状态下的行为,主机监控代理仍然进行记录,加密后保存在客户端。当该机器连接到内部网上后,这些记录可继续传输到控制台服务器,并由控制台写入后台数据库中。
网管功能
网络拓扑呈现可从用户指定的任何一个网络设备开始,自动扫描整个网络的拓扑结构,并将拓扑结构以树状格式显示。通过该网络拓扑,可方便地查看网络结构和各网络设备之间的层级关系。
对于一些无法自动发现的网络设备,系统提供手动添加的功能,可有系统管理员根据真实的网络结构将网络设备添加到设备树中,并可自动获取设备各种信息。
交换机管理可实时查看各交换机的信息,包括端口状态、端口流量、端口所属VLAN、端口类别、该端口所接入的主机IP地址和MAC地址等。还可以对交换机端口的工作状态进行控制、例如禁用和启用端口。另外,还可以改变端口所属的VLAN。通过这两个功能与主机监控代理的交互工作,可对***接入内网的计算机或者***计算机进行阻断或隔离。
系统可对交换机各个端口的流量进行统计,包括流入数据量和流出数据量。从而实现对各计算机的网络通讯流量的监控和分析。
系统管理功能
能够对安装的主机监控代理的运行状态进行监控,可实时监控主机代理的当前状态。通过代理状态监控,管理员可识别异常代理,也可对用户***卸载或***代理的情况进行监控。一旦发现异常,可通过控制台向管理员报警。
对各主机监控代理的安全策略进行统一管理,包括设置、查看、修改等。通过组策可实现安全策略的群发,从而为用户提供***率的策略配置方案。
系统可对策略进行集中查看,这大大方便了系统管理员对主机策略的监控和管理。
实现主机监控代理的自动升级。升级对用户本身是透明的,用户端感觉不到任何异常,且升级无须重新启动计算机。系统由控制台对代理升级模块进行统一管理。
通过注册实现内网计算机的统一管理。系统认为只有注册过的计算机才是内网合法计算机,如果任何其它计算机接入内网均视为***,通过***接入功能可对***接入的计算机采取阻断或隔离等响应措施。
系统还提供历史审计信息的统计和报表功能。管理员可按照各种模板实现历史日记的自动统计和报表(日报、周报、月报等),管理员还可自行定义统计和报表条件,对特定信息进行统计并生成报表。报表支持html、doc、excel、pdf等格式。
***
系统可自动收集计算机各种软硬件资源信息、包括安装的各种应用程序、CPU、内存、硬盘等,并可对硬件的改动进行跟踪和报警。该功能可为企业的资产清查、统计和管理提供一定的帮助。
系统提供补丁分发功能。
可自动收集操作系统日志,并将日志上传到控制台存储。为系统管理员诊断和检查各计算机的故障以及安全情况提供帮助。