软件说明
一、背景
现今,企业比以往任何时候都更依赖IT系统,IT系统不仅是企业运营的平台,而且逐渐成为业务发展的重要驱动力量。与此同时,针对企业IT系统的威胁也逐渐增多,使得IT管理人员在IT安全管理和维护方面面临诸多挑战:
1、分布式布署,计算机分散,管理难度大;
2、系统故障具有突发性,问题无论大小都需IT人员亲临现场,使得IT人员沦为“救火队员”;
3、信息技术的发展,使黑客和病毒的破坏性更强,速度也更快,留给IT人员的时间更短。
二、功能
1、全面管理IT资产
IP-guard 自动搜集统计所有软硬件资产信息,能够根据指定条件进行查询,还可以导出为报表形式,帮助IT人员和管理者对IT资产进行管理和维护;
IP-guard还对软硬件资产的变更进行统计,一方面可以防止企业资产被挪用,另一方面帮助IT人员进行系统内软件许可的丈量,实现软件授权的合规管理。
2、支持大规模软件分发
IP-guard 允许通过单一控制台向指定计算机部署并安装某种软件程序,比如杀毒软件、ERP系统和CRM系统等,节省逐一部署安装的人力和时间。
3、补丁和漏洞集中管理
IP-guard自动扫描各台计算机的补丁和漏洞,IT人员在控制台就能够了解每台计算机的补丁和漏洞信息,同时能够选择需要的补丁进行下载并安装到指定的计算机上。
4、统一网络权限控制
IP-guard可以对通讯方向、IP地址范围和端口做以限制,以控制计算机使用网络的权限和与非法计算机之间的通讯,同时防止病毒通过恶意端口进行入侵。
5、通过单一控制台远程维护
IP-guard 支持通过单一控制台了解各台计算机的运行状况,包括运行的应用程序、进程、性能服务等,并能够进行远程文件传送,来帮助搜集故障样本和分析故障原因,同时能够远程控制故障计算机,迅速排除故障。节省IT人员精力的同时,也不给病毒、黑客留可乘之机。
三、客户收益
1、借助IP-guard 的集中管理功能,通过单一控制台即能够掌控整个系统的资产和运行信息,同时完成系统的维护,再大规模的系统也能应付自如。
2、IP-guard 对各计算机运行状况进行实时检测,自动扫描补丁和漏洞情况,一改以往出现故障再解决的被动局面,并可通过控制网络通讯,降低病毒攻击的风险。
3、IP-guard系统管理让IT系统时刻运行于顶峰状态,保证业务发展提供动力。
序号 | 模块 | 子功能 | 功能描述 |
1 | 基本功能V01 | 基本信息 | 统计客户端计算机基本信息,包括计算机名称,网络地址,操作系统,登录用户,当前状态等信息 |
基本日志 | 对客户端计算机的开机/关机、用户登入/登出、拨号等的事件记录 | ||
策略日志 | 记录客户端计算机在执行策略时的操作日志,如禁止、报警、警告和锁定计算机等 | ||
基本控制 | 对网内任意客户端计算机进行锁定、关闭、重启、注销和发送通知信息等 | ||
基本策略 | 设置客户端计算机的本地系统的操作权限,包括控制面板、计算机管理、系统管理、网络属性、插件管理等,并可实现IP/MAC地址绑定 | ||
安全检测 | 对客户端计算机安全状态是否合规进行检测,包括杀毒软件检查、软件安装检查、程序检查、系统服务检查、补丁检查等 | ||
系统报警 | 设置当客户端计算机系统状态变化时报警,包括硬件异动,存储设备和通讯设备插拔,软件安装卸载,系统信息和网络配置变化等 | ||
2 | 应用程序管控V02 | 应用程序日志 | 详细记录应用程序的启动、退出、窗口切换和标题变化,并进行查询 |
应用程序统计 | 多种方式统计各种应用程序的使用时间和使用百分比,并以列表和图表两种方式显示 | ||
应用程序运行控制 | 可按时间限制特定应用程序的运行,并可在受限程序运行时向控制台报警 | ||
软件安装管理 | 可限制特定应用程序的安装及卸载权限,实现非法程序禁止安装,合法程序禁止卸载 | ||
屏幕水印 | 支持在计算机屏幕显示图片、文字、二维码、点阵水印,防止拍照泄密 | ||
3 | 网页浏览管控V03 | 网页浏览日志 | 详细记录每台计算机(用户)浏览网页的网址和标题,并提供查询功能 |
网页浏览统计 | 多种方式统计网页浏览情况,以列表和图表两种方式显示统计结果,统计方式包括按网站类别、明细统计以及按计算机分项统计 | ||
网站访问控制 | 对指定的客户端在指定的时间范围内访问指定的网站或者网址进行管控 | ||
上传控制 | 控制通过Http、FTP协议进行网络上传,防止上传泄密 | ||
4 | 网络流量管控V04 | 网络流量统计 | 统计客户端在指定时间范围内的网络通讯流量,统计方式包括按地址、协议和端口的类别或明细统计以及按计算机分项统计 |
网络流量控制 | 可按网络地址、端口、发送接收方向等对计算机流量进行限制,确保带宽合理利用 | ||
5 | 文档操作管控V05 | 文档操作日志 | 记录客户端计算机所有文档操作信息,包括在硬盘、移动存储、网络路径、共享目录上所有文档的创建、访问、修改、复制、移动、删除、恢复、重命名等操作 |
文档操作控制 | 控制客户端计算机在指定的磁盘类型或者网络上对指定文档的读取、修改和删除操作的权限 | ||
文档备份 | 为防止重要文档被误删或者篡改,可以在文档内容被改变或破坏前进行备份 | ||
6 | 打印管控V06 | 打印操作记录 | 详细记录所有打印操作的时间、终端、用户、应用程序、页数、打印机类型和名称,并能够根据时间,文件名,计算机等信息进行查询 |
打印内容备份 | 完整记录在所有类型打印机上的文档打印映像,查看打印的原始内容 | ||
打印控制 | 控制终端打印权限,限制终端对指定类型打印机或指定打印机的使用;控制应用程序打印权限,阻止非法应用程序打印 | ||
打印浮水印 | 可自定义打印浮水印(文字、图片、二维码、点阵水印)内容,打印纸张上呈现出打印者计算机名、用户名、IP地址、打印时间等信息,并支持微信扫描出二维码信息 | ||
打印审批 | 没有打印权限的用户可申请临时放开打印权限,受水印策略控制的用户可临时申请取消打印水印 | ||
7 | 屏幕监控V07 | 实时屏幕快照 | 实时查看客户端的屏幕快照,并进行追踪 |
多屏监视 | 实时查看多个用户的屏幕画面,支持对多显示器的监控,可同时对一组计算机进行实时监控 | ||
屏幕历史记录 | 记录客户端的历史屏幕画面,根据不同应用实现变频记录;配合日志记录查看当时的屏幕情况;支持将屏幕历史转存为通用视频文件,并进行播放 | ||
8 | 远程维护V08 | 查看运维信息 | 实时查看客户端的运行信息(如当前应用程序、进程、服务等),远程分析客户端运行状况和故障原因,并可以执行远程操作,帮助解决问题 |
远程控制 | 远程连接到客户端计算机的桌面,直接操作客户端,方便进行远程协助或操作示范 | ||
远程文件传送 | 远程打开指定客户端的文件夹,传送文件和搜集故障样本 | ||
9 | 设备管控V09 | 设备控制 | 控制客户端各种设备类型的使用权限: 存储设备:U盘、移动硬盘、软驱、光驱、磁带机、移动存储设备等; 通讯设备:串/并口、SCSI、1394、蓝牙、红外线、MODEM、直接对联线等; USB设备:USB 键盘、鼠标、MODEM、映像设备、存储、光驱、硬盘和其他USB设备; 网络设备:无线网卡、即插即用网卡、虚拟网卡等; 其他设备:声音设备、虚拟光驱等; 禁止任何新增加的设备 |
移动智能终端 | 移动智能终端以便携式设备、U盘存储、手机助手接入,支持对文件外传进行审计和控制 | ||
刻录控制 | 记录刻录的计算机、用户、光盘名称、文件大小、源文件、总个数、刻录份数、刻录机等信息,支持禁止用户使用刻录设备 | ||
审批管理 | 受设备策略控制的用户,可通过申请临时放开指定设备的使用权限 | ||
10 | 网络控制V10 | 网络通讯控制 | 按应用程序、网络地址范围、通讯方向、端口范围等限制网络访问权限 |
控制客户端与外来计算机的网络通讯 | |||
11 | 邮件管控V11 | 邮件日志 | 记录标准协议邮件、Exchange邮件收发的收件人、发件人、正文及完整附件;记录网页邮件、Lotus邮件发送的收件人、发件人、正文及完整附件 |
邮件外发控制 | 通过邮件的发送人、接收人、主题、附件及邮件大小等条件限制,控制发送邮件的账户,阻止向不被允许的收件人发送邮件,阻止发送特定名称或者超出规定大小的附件 | ||
强制抄送 | 必须抄送指定收件人才能外发邮件 | ||
12 | 即时通讯管控V12 | 即时通讯日志 | 完整记录微信、企业微信、QQ、TIM、RTX、钉钉、MSN、Skype、IMO、ICQ、Yahoo通、Sina UC、PoPo、阿里巴巴贸易通,阿里旺旺等主流即时通讯工具的对话时间,对话人、对话内容等信息 |
传输文档控制 | 通过文档名称和文档大小等条件的设定,控制即时通讯工具对外发送文档 | ||
IM文件传送备份 | 备份通过即时通讯工具外发的文档 | ||
13 | 资产管理V13 | 资产管理 | 自动扫描并完整记录每台终端软硬件资产信息,详尽记录资产变更信息,可自定义资产属性进行辅助信息管理 |
补丁管理 | 自动扫描客户端的微软产品补丁安装情况,并进行分发安装 | ||
漏洞管理 | 自动扫描客户端的安全漏洞情况,并提供分析报告和解决方案 | ||
软件分发 | 自动部署和安装软件、执行程序或者派送文档,支持断点续传,支持后台安装和交互安装 | ||
软件卸载 | 支持对违规软件进行批量卸载 | ||
14 | 移动存储管控V14 | 移动存储日志 | 自动收集接入客户端机器的移动存储信息,并对移动存储的各种文档操作进行详细记录 |
注册管理 | 对U盘进行注册管理,注册U盘可接入内网,未注册U盘将无法在客户端上使用,实现“外盘外用” | ||
移动存储授权 | 对移动存储的使用进行授权,限制U盘的读、写权限及使用范围 | ||
制成加密盘 | 将普通U盘制作成加密盘,加密盘只能在内部客户端机器上识别使用,实现“内盘内用” | ||
移动存储加密 | 对指定移动存储设备上存取的文档自动进行透明加解密,其他未经授权的客户端或外部的计算机无法读取该移动存储设备中的加密文档 | ||
审批管理 | 当客户端移动存储被禁止使用时,客户端可以通过提交申请,请求读、写U盘 | ||
15 | 慧眼风险审计报表V15 | 统计表 | 从多种纬度统计分析每一项操作行为,包括打印、电子邮件、移动存储、文档操作、程序应用、上网浏览、即时通讯、文档加密、解密和外发等,帮助快速掌握内网计算机的应用情况 |
趋势表 | 直观展现用户行为的变化趋势,为管理者后续改善管控策略提供依据 | ||
风险征兆报表 | 提供分级征兆预警机制,当行为达到设定的阈值时,自动记录征兆事件及其级别,提醒管理人员关注和处理 | ||
私人定制报表 | 根据企业管理需要,设置个性化的统计分析条件,获取自定义私人报表 | ||
周期报表 | 设定固定的时间周期,自动生成周期报表,并支持邮件订阅,定时将周期报表发送给指定相关人员 | ||
16 | 敏感内容识别V16 | 敏感内容定义 | 支持通过关键字、正则式定义敏感信息,也支持从样本文档中提取特征信息,定义敏感信息 |
敏感内容发现 | 通过本地扫描、远程扫描敏感内容,发现包含敏感内容的文档 | ||
敏感内容监视 | 实时监视新建、修改、下载、接收文件的行为,对含敏感内容的文件进行审计、报警和警告。 实时监视通过即时通信、邮件、网页上传、网络盘、存储设备传输的文件,对包含敏感内容的文件进行审计、备份、报警和警告。 |
||
敏感内容保护 | 实时监视通过即时通信、邮件、网页上传、网络盘、存储设备外传的文件,对包含敏感内容的文件实施阻断传输。 实时监视新建、修改保存、下载、接收文件的行为,对包含敏感内容的文件进行加密保护。 |
||
日志审计 | 可详细记录敏感信息外传、落地的操作,包括操作类型、时间、计算机/组、用户/组、源文件、文件大小、路径、磁盘类型等信息备注:此模块必须配合其它模块一起使用。 【常用组合】 V+文档加密+V03网页浏览管控+V05文档操作管控+V06文档打印管控+V09设备管控+V11邮件管控+V12即时通讯管控+V14移动存储管控,有效保护敏感信息。 |
||
17 | 文档云备份V17 | 自动备份 | 强制对终端文档进行备份。 支持及时备份和定时备份。 |
云存储机制 | 支持文档存储容量的无限扩充。 对相同的文档只保存一个副本,较少冗余。 |
||
版本管理 | 支持保留一个文档多个备份版本,有利于追溯历史备份文件。 | ||
文档检索和恢复 | 支持快速检索相关文档。 支持在线查看备份的文档。 实现快速恢复文档到终端电脑。 |
||
18 | 文档透明加密V+ | 透明加密 | 采用高强度加密技术,对文档进行强制透明加密,使得无论何时何地文档都以密文形式存在。在授信环境中,文档能自动解密,丝毫不影响用户原有的使用习惯;在非授信环境中,加密文档则无法正常打开和使用。 在加密文档的使用过程中, 能够防止用户通过剪贴板,截屏,虚拟打印等方式窃取加密文档内容。 |
加密模式 | 强制加密:指定类型文档进行强制性自动加密,整个过程无需人工参与,自动完成加密。 智能加密:加密文档修改、另存以后,仍旧是加密文档,普通文档修改、保存后仍是明文状态。 只读加密:新建的文档不加密,但能以只读的方式查看加密文档,不能对加密文档进行修改。 |
||
权限控制 | 根据文档的重要程度不同,可将加密文档划归不同的安全区域和级别,以便让不同部门和职位的用户使用,建立分部门分级别的保密机制。 用户可调整文档的区域和级别,对重要文档可采取提高其级别的方法来禁止普通用户的使用。 |
||
外发管理 | 能够对需要进行外发的文档进行加密控制,只允许授权的外部人员查看,同时限制外发文档的查看期限、次数及使用权限,防止二次泄密 | ||
离线授权 | 根据实际需要授予用户离开授信环境后的加密文档的使用权限,支持单独设置用户离线时能使用的加密软件类别和文档使用权限 | ||
安全审批APP 安全查看器APP |
支持移动端(手机、PAD)安全审批,能在移动端即时接收申请通知并进行审批,可在移动端直接预览用户提交的加密文件 | ||
U盘加密客户端 | 插入U盘加密客户端(类似U盘)能打开加密文件,拔出U盘加密客户端则不能打开加密文件,不用另外安装加密客户端 | ||
灾备机制 | 备用服务器设计能够应对各种硬件和系统崩溃的情况,保证加密系统连续运转;同时采用的文档备份服务器能够以明文完整备份所有加密文档,即使意外出现,用户的文档依然完整可用 | ||
19 | 安全U盘(硬件) | 分区使用 | 安全U盘设有保密区和交互区,保密区只能在内部授权的客户端机器上使用,交互区可在任意计算机上使用 |
密码保护 | 安全U盘在外部使用时,必须先通过密码认证方可使用 | ||
专用资源管理器 | 安全U盘交互区只能通过专用资源管理器访问,病毒木马等无法调用专用资源管理器自动运行,有效防止了病毒木马的传播 | ||
日志审计 | 无论在公司内外部使用,都能对安全U盘使用情况及U盘文档的操作情况进行详细记录 | ||
防格式化 | 安全U盘通过硬件芯片级保护,禁止非授权的格式化操作,保证U盘的安全性和可靠性 | ||
20 | 准入网关(硬件) | 准入控制 | 阻断非法计算机接入企业网络对服务器、互联网等进行访问,非法计算机可根据需要将其引导至隔离区进行修复,合法的计算机可直接连入企业网络访问受保护的服务器和互联网 |
安全状态检查 | 对通过准入网关连入企业网络的计算机进行安全状态合规检查(如:是否安装指定软件、杀毒软件,病毒库、系统补丁是否更新,是否允许指定程序、系统服务等),满足条件则允许接入网络,否则拒绝访问并发出警告信息,并强制其跳转至隔离区进行修复 | ||
访客管理 | 对临时来访的外来计算机,因工作需要接入企业内部网络时,可以设定访客账户,通过浏览器输入账号密码进行身份认证,通过后即可连入企业网络 | ||
认证方式 | 提供授权、信任、访客账户、白名单、例外地址等认证方式,适应企业多样化的接入场景 | ||
容灾机制 | 具备ByPass功能,保证网络高效稳定 | ||
部署方式 | 支持串接、旁路两种模式,不需要改变企业的网络结构 | ||
21 | 安全网关(硬件) | 应用服务器保护 | 防止未授权的用户和程序访问服务器获取机密数据。 |
安全网关结合加密客户端,针对应用服务器(如OA、ERP、PLM等)实现“上传解密,下载加密”,防止下载泄密,并有效杜绝非法用户的访问;同时,实现数据在服务器上明文存放,不影响服务器正常运行 | |||
网络共享文件夹保护 | 在实现网关的基本功能基础上,支持对CIFS、NFS等服务器的不同目录实行的不同的管理策略。 | ||
22 | USB key(硬件) | 加密客户端提权工具 | 员工携带计算机出差,插入离线权限USBKEY(类似U盘),可保证离线的情况下,加密功能继续使用,也可以临时提升解密、外发的权限 |