内网管理系统

secdocx内网安全管理系统是广东南方信息安全产业基地公司，依据国家重要信息系统安全等级保护标准和法规，以及企业数字知识产权保护需求，自主研发的产品。它以全面数据文件安全策略、加解密技术与强制访问控制有机结合为设计思想，对信息媒介上的各种数据资产，实施不同安全等级的控制，有效杜绝机密信息泄漏和窃取事件。

secdocx内网安全管理系统的保护对象主要是政府及企业的各种敏感数据文档，包括设计文档、设计图纸源代码、营销方案、财务报表及其他各种涉及国家机密和企业商业秘密的文档，可以广泛应用于政府研发、设计、制造等行业。

1.  透明加解密技术：提供对涉密或敏感文档的加密保护，达到机密数据资产防盗窃、防丢失的效果，同时不影响用户正常使用。

2.  泄密保护：通过对文档进行读写控制、打印控制、剪切板控制、拖拽、拷屏/截屏控制、和内存窃取控制等技术，防止泄漏机密数据。

3.  强制访问控制：根据用户的身份和权限以及文档的密级，可对机密文档实施多种访问权限控制，如共享交流、带出或解密等。

4.  双因子认证：系统中所有的用户都使用USB-KEY进行身份认证，保证了业务域内用户身份的安全性和可信性。

5.  文档审计：能够有效地审计出，用户对加密文档的常规操作事件。

6.  三权分立：系统借鉴了企业和机关的实际工作流程，采用了分权的管理策略，在管理方法上采用了职权分离模式，审批，执行和监督机制。

7.  安全协议：确保密钥操作和存储的安全，密钥存放和主机分离。

1.  密指定程序生成的文档

强制加密指定程序编辑的文档。用户访问加密文档时，需要连接服务器（在线，非脱机状态），并且具有合适的访问权限。该加密过程完全透明，不影响现有应用和用户习惯。通过共享、离线和外发管理可以实行更多的访问控制。

2.  泄密控制

对打开加密文档的应用程序进行如下控制：打印、内存窃取、拖拽和剪贴板等，用户不能主动或被动地泄漏机密数据。

3.  审批管理

支持共享、离线和外发文档，管理员可以按照实际工作需求，配置是否对这些操作进行强制审批。用户在执行加密文档的共享、离线和外发等操作时，将视管理员的权限许可，可能需要经过审批管理员审批。

4.  离线文档管理

客户端需要连接服务器才能访问加密文档。通过本功能制作离线文档，即使客户端未连接服务器，用户也可以阅读这些离线的文档。根据管理员权限许可，离线文档可能需要经过审批管理员审批离线时，可以控制客户端的离线时间和离线时是否允许打印。

5.  外发文档管理

外部人员不能阅读加密文档的内容。本功能制作外发文档，即使在未安装客户端的机器上，也可以阅读这些外发的文档。根据管理员权限许可，外发文档可能需要经过审批管理员审批外发的文档，和内部使用一样，受到加密保护和泄密控制，不会造成文档泄露，同时增加口令和机器码验证，增强外发文档的安全性。

6.  用户/鉴权

集成了统一的用户/鉴权管理，用户统一使用USB-KEY 进行身份认证，客户端支持双因子认证。

7.  审计管理

对加密文档的常规操作，进行详细且有效的审计。控制台提供了基于WEB的管理方式。审计管理员可以方便地通过浏览器进行系统的审计管理。

8.  自我保护

通过在操作系统的驱动层对系统自身进行自我保护，保障客户端不被非法破坏，并且始终运行在安全可信状态。即使客户端被意外破坏，客户端计算机里的加密文档也不会丢失或泄漏。

1.  数据资产保护

只有通过身份认证，并在服务器管理下，才能访问这些文档。因此，无论是因为计算机失窃，还是由于内部员工通过移动存储设备、电子邮件或即时通讯工具把加密文档外传，都能够保证加密文档无法阅读。

2.  防止泄密

有效防止用户主动或被动泄漏机密数据，用户无法通过拷贝、打印、内存窃取、外传等方式外泄这些加密文档的内容，即使是通过黑客工具也无法窃取加密文档的内容。

3.  文档访问管理

用户只能访问属于本人的加密文档，根据管理员配置，对加密文档的指定操作需要管理员审批才能进行，例如共享和解密文档。

4.  灵活、容易操作

不改变用户使用习惯和业务操作流程，根据实际应用需求，可进行系统配置，支持加密文档的共享、解密以及带出功能，同时允许设置管理员进行审批，规范了文档的管理,降低了管理成本。

5.  事件追踪

全面的系统管理，及数据文档操作事件审计，系统详细记录了管理员管理系统的事件，用户操作加密文档的事件，做到系统发生的事件均可追溯相关责任人。

6.  无需值守，管理成本低

提供基于WEB的管理方法，管理员可以通过浏览器进行系统管理。用户与计算机设备绑定，同时使用USB-KEY身份认证技术，每个用户依据配置的策略进行操作，即使“管理员不在场”也不会发生违规操作和窃、泄密事故。

　　WinShield以终端监控系统为依托，在统一的管理平台系统中集成了终端管理、网络管理、内容管理、资产管理等诸多功能。

　　 　　WinShield采用主动发现和主动防御的方式，对信息资产进行管理，以终端和文件作为主要的信息安全保护重点，对信息资产的生命周期进行跟踪和保护，是一款专为保障内部信息资产安全的产品。

WinShield内网管理系统

　　WinShield以终端监控系统为依托，在统一的管理平台系统中集成了终端管理、网络管理、内容管理、资产管理等诸多功能。

　　 　　WinShield采用主动发现和主动防御的方式，对信息资产进行管理，以终端和文件作为主要的信息安全保护重点，对信息资产的生命周期进行跟踪和保护，是一款专为保障内部信息资产安全的产品。

　　•终端管理

　　 　　包括对设备、外设、程序及上网行为的控制。此部分功能实现对Window终端的全面控制，

　　 　　•网络管理

　　 　　此部分功能实现对内网运行的控制，包括对网络端口、网络浏览的控制。

　　 　　•安全审计

　　 　　此部分功能实现对内网终端的纪录和监视，包括对程序、打印、即时通讯、文件、邮件等全方位的纪录，实现事后查证。

　　 　　•内容安全管理

　　 　　此部分实现对文件的操作控制和权限管理，保护重要文件的授权使用。

　　 　　•资产管理

　　 　　此部分实现对设备、文档等信息资产的分类管理、跟踪管理，自动纪录设备配置和设备变化。

　　 　　•IT支持管理

　　 　　系统提供IT部门进行安全管理的工具，包括补丁分发、漏洞扫描、远程维护、安全即时通讯等工具。

　　•按照信息资产管理模型和安全标准设计

　　 　　WinShield以信息安全等级保护为指导思想，从信息资产的保护级别和安全威胁大小的角度对信息资产进行分类安全管理。

　　 　　•功能全面，覆盖内网管理的各个领域

　　 　　WinShield把终端管理、网络管理、安全审计、内容管理、安全工具等有机结合，全面覆盖了当前内网管理的各个领域，极大方便了IT部门的管理。

　　 　　•系统部署容易，操作简单方便，终端用户透明

　　 　　WinShield把对用户友好放在首先考虑的位置， WinShield安装环境要求简单，只需几步就可以安装系统，使用简易。

　　 　　•高效的数据压缩和归挡功能，确保系统运行性能优异

　　 　　由于数据量巨大，因此系统的压缩传输是影响系统性能的重要标准，本系统优化的数据压缩算法确保了资料的高效存取。客户端CPU平均占用率小于5%，内存平均占用小于10M,在100M带宽中占用的网络带宽0.27%。

　　 　　•高可靠性，确保系统在大范围网络稳定运行

　　 　　由于系统部署在成千上万的不同系统的终端，系统的稳定可靠性是非常重要的，WinShield经过各种环境的压力测试及防毒测试，确保系统稳定可靠。

　　 　　•采用高级别的加密技术，确保本身系统的安全

　　 　　要实现内网的安全，首先需要保证管理系统本身的安全，本系统工作站与服务器之间的数据传输利用DES算法进行加密。这种加密的处理让系统有足够的能力保护资料和防止非法资料截获。通过系统独特的服务器、代理及控制台之间的认证功能，工作站的代理只向经过认证的服务器响应，从而有效防止非法服务器窃取系统资料。

　　 　　•对多种设备的识别支持能力

　　 　　系统通过配置库的实现，可以实现多种设备的识别和管理。

　　 　　•参数化和自定义技术

　　 　　由于各机构的管理模式不尽相同，因此使用户可自定义和配置灵活，是一个关系到系统实用性的问题，WinShield安全策略管理器可以实现策略的定义和继承等管理，使IT部门灵活定制各种管理策略，保证系统满足日益增强的管理需求。

　　•WinShield Terminal Server 终端服务器

　　 　　终端服务器是系统的核心，负责终端代理的控制和数据交换，管理所有代理，并向代理传递相关的设置和命令和收集代理采集的数据，将系统运行状态和报告发给用户并集成分发服务器。

　　 　　u            定时搜索网络，管理已安装代理程序的机器，并向代理模块传递相关的设置和命令信息

　　 　　u            收集代理模块的采集的数据，并将其保存到数据库中

　　 　　u            备份历史资料

　　 　　u            提供方便灵活的历史记录管理、归档、搜索、查看等功能

　　 　　u            根据用户的需要可以将系统运行的状态和报告通过邮件发给远程的用户

　　 　　•WinShield Terminal Agent 代理模块

　　 　　安装在每一台需要被监视的计算机上。代理模块在安装到需要被监视的计算机上后，每次在被监视的计算机启动时，代理模块会自动运行。安装有代理模块的计算器具有很强的自我安全保护功能。代理模块经过安装后在系统后台运行，用户看不到代理模块的运行痕迹，可防止被用户非法删除。用户可以利用控制台模块来实时了解安装有代理模块的计算机的代理程序运行情况，并且根据需要卸载代理模块，目前广泛支持Windows终端。

　　 　　•WinShield Terminal Control 管理控制台

　　 　　主要用于监视每台安装有代理模块的计算机及查看历史记录，一般安装在公司的管理人员的计算机上，也可和服务器模块安装在同一台计算机上。

　　 　　u            实时获取被监视计算机的屏幕快照等信息

　　 　　u            按需要，对单个或对一组目标机进行实时监视

　　 　　u            设置监视和控制规则

　　 　　u            查看并播放记录在服务器端的历史记录

　　 　　u            查询特定机器特定时刻的历史记录

　　 　　•WinShield Asset Management 信息资产管理模块

　　 　　负责信息资产的安全管理，并与设备管理系统接口。

　　 　　u           企业信息资产登记，包括机器和主要信息文件

　　 　　u           提供终端设备与企业资产管理系统接口，并提供完整的资产管理系统

　　 　　u           获取被监视的信息资产安全情况

　　 　　u           按需查询企业信息资产情况及产生各类报表

　　 　　•WinShield Portal 是整体系统的接口系统，负责用户管理入口。

　　 　　•WinShield Service Desk 是服务台模块，支持IT进行服务管理。

　　 　　•WinShield Identity Authority 是身份认证管理模块

　　 　　其中，WinShield主要实现了Terminal Server、Terminal Agent、Terminal Control、Asset Management。

　　部署简易是WinShield一大特点。购买WinShield软件后，服务工程师将指导用户组织开展软件实施工作，以保证软件成功应用。

　　 　　WinShield基本系统由四个不同的模块组成：代理模块（Terminal Agent）、服务器模块（Terminal  Server）、控制台模块（Terminal Console）。用户可以根据具体需要将它们安装在网络中的计算机上。

　　 　　WinShield支持Access及Microsoft SQL Server两种数据库。在较大规模的网络环境下，建议使用SQL数据库。

　　 　　•服务器模块（Terminal Server）

　　 　　硬件需求：

　　 　　· Pentium III 900 MHz 或更高；512 MB RAM (或更高)

　　 　　· 1G可用硬盘空间，50G或更高额外的硬盘空间用来存储日志和备份文件

　　 　　· 一张10/100M(或更高)以太网卡(安装有TCP/IP 协议)

　　 　　软件需求：

　　 　　·操作系统  Win NT/2000/XP

　　 　　·Windows 2003 Server标准版/企业版 （SP1 或更高）；

　　 　　· Internet Information Services 5.0/6.0 (可选，安装有Web服务)

　　 　　· Microsoft SQL 2000 client (可选)

　　 　　•控制台模块（Terminal Console）

　　 　　普通PC安装Windows操作系统 和Microsoft SQL 2000 clien，

　　 　　•代理模块（Terminal Agent）

　　 　　WinShield自动识别用户操作系统，并可以采用多种方式安装代理模块：

　　WinShield策略管理

　　 　　WinShield通过策略管理，实施对终端、网络等的完善控制，只需要在WinShield控制台上定义策略项目，WinShield终端服务器通过心跳协议和主机完整性修复的能力来分发这些控制属性的。客户端利用心跳协议来和管理服务器通讯。心跳间隔是可以设置的，每当心跳发生时，终端代理向管理服务器发送一个请求，按组和用户分类来检查安全策略更新。如果有了新策略，终端请求管理服务器发送新策略。如果当前策略已经为最新，则不发送新策略。

　　 　　WinShield策略包括在线和离线策略，离线策略能够确保终端不在内网的时候同样可以起到作用，策略可以继承组策略，策略包括属性设置和策略内容设置，其中属性设置包括

　　 　　•策略时段

　　 　　可以设置在工作时间、休息时间等或自定义的日期和时间，因此，可以确保策略在规定的时间生效。

　　 　　•策略动作

　　 　　可以设置允许、禁止等，同时可以设置在事件符合策略管理范围时系统应采取的动作，包括纪录屏幕、发出报警信息、锁定计算机及纪录日志或启动另一程序。因此，对于如进行某用户在下班时间进行非法外接或拷贝文件时，可以及时警告并自动启动屏幕纪录功能，并可以禁止其操作。

　　 　　WinShield允许企业向终端分发下列项目：

　　 　　纪录及统计策略

　　 　　•终端日志纪录

　　 　　包括设置在哪个时段纪录终端计算机的事件，纪录的事件类型包括应用程序执行窗口、设备配置变化、文件操作、即时通讯、打印操作等。

　　 　　•屏幕终端日志纪录

　　 　　包括设置在哪个时段、哪些事件发生后进行纪录屏幕历史的设置，如进行QQ、执行关键程序等，以及设置纪录的频率。

　　 　　本机控制策略

　　 　　•Window 系统运行参数

　　 　　包括是否允许修改注册表、修改Windows属性等。

　　 　　•应用程序控制策略

　　 　　包括是否允许某一程序在哪个时段运行、对应的控制策略包括屏幕纪录、机器锁定及报警，因此企业可控制是否允许安装程序、聊天、上网等行为。

　　 　　•上网控制策略

　　 　　包括是否允许在某一时段浏览某一网站。

　　 　　•设备控制策略

　　 　　包括是否允许计算机外设如USB、CDROM、MODEM等设备在某一时段的使用。

　　 　　•打印控制策略

　　 　　包括是否允许计算机在某一时段使用打印机、可以打印的文件和数量。

　　 　　网络控制策略

　　 　　•端口控制策略

　　 　　包括是否允许在哪些时段使用哪些端口，如禁止UDP8000端口。

　　 　　文件管理策略

　　 　　•文件操作控制策略

　　 　　包括是否允许在哪些时段哪些文件可以被拷贝、删除、查看、移动及是否可以转移到外设，并可以设置删除时是否自动备份，有效防止重要文件的泄密和破坏。

　　 　　安全管理工具策略设置

　　 　　•补丁分发策略

　　 　　包括设置补丁分发的间隔周期、是否自动扫描、是否自动下载、分发和安装。

　　强大的终端管理，阻止一切非法操作

　　 　　•阻止终端计算机运行指定的应用程序，或者使用USB等终端外设

　　 　　WinShield可以通过管理控制台的规则设置，达到对终端计算机运行指定应用程序的时候，阻止或者报警的目的；同样可以通过类似的规则设置，能够及时发现对使用类似USB口硬件设备的行为，并且阻止或者报警。

　　 　　•禁止修改终端网络属性，包括控制IP及MAC地址修改

　　 　　同样通过与禁止软、硬件相同的办法，可以禁止对于网络设置等方面的更改，或者提示报警信息，加强对网络终端设备的网络合法性的管理。

　　 　　•完全记录软硬件变更日志，按策略记录终端操作日志

　　 　　客户端任意细小操作，都被记录在事件日志中，包括软硬件的变化，针对文档的各类操作，应用程序的使用等等各个方面。通过这些日志记录的细微变化，可以查出某一时间点客户端的操作行为，以此来作为统计资产信息数据以及终端操作信息数据的依据

　　 　　•实时屏幕快照监视，可以查看指定事件、程序的屏幕历史画面

　　 　　按照针对具体事件或者程序操作的策略设定，或者是每15秒，服务器端都会对客户终端实时抓屏一次，并且将所有图片存放在服务器上。可以通过管理控制台，对客户端的所有操作进行历史屏幕画面回放，来监测客户终端的各种行为。

　　 　　网络管理，控制非法外联和非法接入

　　 　　•提供网络和端口流量统计，并可控制网络端口和上传下载控制

　　 　　WinShield可以通过控制通讯端口，来达到限制网络应用的目的，例如通过限制对139，445端口的访问，来限制网络共享的行为。WinShield还可以通过对IP地址和端口的限制，来限制网络流量，不让网络资源过多的消耗在某台机器的上传下载数据中。

　　 　　严密的内容安全管理，确保机密信息不被非法获取

　　 　　•系统可以监控保护的文件被查看、复制和删除的记录

　　 　　WinShield可以记录文档的创建、访问、复制、改名、恢复、删除、移动、打印等各类操作，甚至能够控制通过各种软件工具外发文档，以此来保证单位内部重要文档，如开发资料文档和财务报表等的安全性。

　　 　　•能够记录客户端邮件和网页邮件内容

　　 　　WinShield可以对邮件系统进行安全保护。它不仅可以记录收发邮件的标题、正文、收件人、发件人等，甚至包括附件的名称都可以做仔细的检查，而且不局限于SMTP的邮件方式，连web mail都可以做详细的检查和记录。

　　 　　•统计打印日志和页数

　　 　　对于针对文档的打印功能，WinShield也可以做详细的统计。利用网络打印机进行打印操作，都会被WinShield详细的记录在操作日志中做参考。

　　 　　详尽的事件日志纪录、便于安全审计和统计管理

　　 　　•日志纪录

　　 　　WinShield详细纪录了下列事件：基本系统事件、应用程序启动日志、文档操作和打印、上网浏览、网络文件传送、上网拨号、上网拨号、文档操作和打印等操作事件，还详细纪录了系统硬件、系统软件及各种报警信息。

　　 　　管理员可察看某一时段某些终端的各种纪录，并可跟踪当时的屏幕纪录。

　　 　　•统计管理

　　 　　管理员可按时段、按终端对应用程序、上网浏览进行各种统计分析。

　　 　　自动设备配置获取，极大方便信息资产管理

　　 　　•全网硬件设备配置跟踪管理和资产统计

　　 　　WinShield有专门的信息资产管理模块，能够自动获取工作站的详细硬件配置，自动获取工作站的操作系统和所安装的应用程序信息，以及记录软硬件设备的异动并及时报警。

　　 　　丰富的IT支持管理工具，极大减轻IT维护的压力

　　 　　•网络消息传输，文件及系统补丁分发

　　 　　WinShield支持远程消息传输，可以通过管理控制台直接将一些紧急通知等及时的发送到各台终端工作站，同时支持远程的文件发送，以及系统安全补丁的检查下载和发送等功能，能够方便及简化用户对例如电子公告，杀毒软件升级文件，以及操作系统安全补丁等发送的操作，提高系统的安全性和稳定性。

　　 　　•管理者可远程实时控制终端电脑

　　 　　通过WinShield管理端的权限设置，可以远程直接接管控制工作站的电脑，方便管理人员和工作站员工实时互动，并且对工作站电脑做维护操作。