【IT168 资讯】任子行信盾计算机终端监控系统(TS-EPS)是一套基于WEB管理方式的“客户/服务”架构的网络安全管理软件，该系统主要是为企业和机构用户提供网络行为审计、监控和终端计算机用户操作行为的审计与监控系统;通过在企业内部部署信盾终端安全管理系统，可以帮助您随时随地的了解企业内部各个终端运行情况与安全威胁，能详细的了解到那些计算机终端接入过外设及接入外设频繁程度，同时还可以了解到计算机终端上运行了那些应用程序，该运行的应用程序对计算机造成了怎样的影响，比如大量占用资源、感染病毒等现象，然后根据后台系统分析，可以对该运行的应用程序进行阻止处理。针对用户访问网络，系统可以详细记录“谁，什么时间，什么地点，访问了什么资源”，访问频繁程度，由于访问会给网络造成怎样影响，比如导致网络拥塞、内网网络中毒、工作人员工作效率下降等不良影响;通过审计用户、机器、上网等活动制定企业内部安全风险管理策略，最终目标帮助您的企业提高员工工作效率、净化内网环境，提升内网安全管理与防范能力。

　　体系结构

 产品结构

　　产品包括系统服务中心、管理控制中心和客户端;在整个产品中系统服务中心主要起到通讯、数据存储、协议分析等功能;而管理控制中心主要是对终端计算机进行管理与控制，可以实现系统参数配置、网络参数配置、终端计算机受控设置与授权、用户及用户组管理、机器管理、上班时间管理，可以对网络终端的应用程序、端口、网络行为和终端控制行为可以控制和设置，可以查看日志并进行数据分析等功能。管理控制中心是基于WEB页面管理，应用简单、便捷。客户端程序主要是进行数据采集和上传，同时可实现桌面终端监控，实现用户操作终端的行为监控。客户端程序只有安装到用户的机器上才可以实现终端控制和监控，不安装的设备则不在监控范围。

　　服务中心的程序可以在Linux和Windows系统下部署，但是为了系统的稳定行和可维护行，建议把服务器和数据库分别部署在Linux操作系统，这样尽量降低Windows病毒的破坏，从而保证其稳定性;

　　整个产品架构完全是按照基于WEB浏览器设计的，在实现客户端与服务中心程序的通讯，产品中采用了 WinPcap核心技术原理机制，通过客户端捕获数据包，服务器对数据包进行分析和统计，最终形成网络行为审计结果。同时产品还支持了应用协议分析功能，系统可以支持HTTP协议、HTTPS协议(含POST自动识别)、FTP协议、POP3协议、SMTP协议、Telnet协议、SSH、P2P下载、QQ及MSN等即时工具、部分网络游戏等应用，系统通过对协议分析和底层捕获数据包等工作机制而实现网络行为审计、终端行为操作等日志信息分析和统计，从而为用户提供整个网络系统中用户、用户组及机器的网络行为和终端应用状况。

　　主要功能

　　用户及组管理

　　系统支持用户及组的增加、删除、修改、查询功能;

　　系统支持手工添加用户和批量添加用户;

　　支持用户权限管理，可实现基于角色管理;

　　可详细添加用户信息，信息包括基本信息、网络信息、其它信息;

　　系统管理员区别为系统管理员、安全管理员、安全审计管理员、临时管理员;有效地区别管理员来保证系统的安全。

　　机器管理

　　支持机器信息的自动获取和添加方式;自动获取支持基于IP地址、IP范围段的查询和检测功能;添加方式支持手工录入和批量导入方法;

　　系统支持IP地址增加、删除、修改、查找功能;

　　支持管理主机IP地址限制功能，以保证系统主机的安全;

　　实名认证

　　实名信息关联配置。系统支持对用户账户、计算机IP地址、卡片、实名信息进行设置和配置，以实现登录账户实名认证;

　　多认证方式;系统支持用户名和密码、，刷卡、指纹、USbkey等识别认证方式;系统默认支持用户名和密码与刷卡认证，而指纹、Usbkey等方式提供定制化开发。

　　系统能在Windows普通模式和Windows域用户模式下进行用户验证而登录系统;

　　支持基于工作组可以做认证授权，从而满足不同组内认证方式不同。

　　系统基于IP地址认证。

　　系统支持IP地址和MAC地址捆绑认证，保证“一人一台机器”认证唯一性;

　　系统认证可以满足“一人一台机器”、“一人多台机器”、“多人一台机器”的使用。根据安全级别可以配置应用使用方式。

　　认证日志，系统记录用户登录、登录时间、退出等行为。

　　终端锁屏

　　系统支持锁屏功能，主要是帮助您解决计算机桌面的安全防护问题，这样保证在计算机开启登录前或者屏幕保护开启前必须经过身份认证，身份验证通过即可登录系统，身份非法者则阻止登录系统，这样有效地防止了非授权用户登录计算机系统的威胁，从而保证了终端系统的安全。

　　锁屏程序对于计算机安全防护起到了“大门”的作用，通过用户身份验证和识别，有效地阻止了非法用户进入终端的安全威胁。

　　锁屏程序与后台管理控制中心联动可以实现远程锁屏功能，当后台程序对捕获的数据包进行分析，分析结果只要发现终端有异常行为，则给管理员发送报警信息，管理员根据报警情况进行实时屏幕跟踪，确认异常情况时，就可以对跟踪的终端进行屏幕锁屏，并发送告知信息，从而阻止当前用户的所有操作，最终保证企业内部信息的安全。

　　信息提醒功能

　　针对一些涉密部门的终端计算机，系统在屏幕锁定的情况下显示安全警告信息，目的是提醒即将要登录计算机的用户不要去从事一些违规或者安全信息泄密活动，主动防御人为无意的泄密，从而保证了操作者不被追究法律或法规责任。

　　桌面屏幕监控

　　为了保证整个系统的安全，该产品系统提供桌面监控程序，系统默认情况下指记录日志而不进行屏幕抓取活动，当后台发现该终端桌面有异常情况并收到报警，则进行远程桌面监控和跟踪，并且可以记录用户桌面的所有操作动作，根据事件情况可以实现桌面屏幕回放功能，从而为企业内部取证管理工作提供便利。

　　桌面屏幕监控，主要是监控当前用户桌面的鼠标动作和键盘动作，以及桌面上的操作行为，比如文件的操作、外来设备的接入、外联网络的访问、URL访问等。通过客户端程序记录日志和上报日志，最终通过后台分析获得当前终端桌面活动状态。

　　桌面监控，实现了整个终端桌面的安全管理，方便了系统管理管理员对每一个网络中的终端进行实时监控和桌面跟踪。特别是桌面异常时，系统根据报警设置机制进行即时报警通知管理员。

　　进程管理与监控

　　进程管理与监控，主要是实现桌面终端中的应用程序及系统程序的管理和控制;系统采用黑白名单策略，对于一些禁止运行的程序设置为黑名单，从而阻止该应用程序在终端的运行。只要后台对应用程序对应的进程名设置了黑名单，则不管终端用户如何操作，只要发现该应用程序对应的进程特征就进行阻止处理，这样有效地防止企业内部一些非工作范畴内软件的应用或者病毒、木马程序的运行，即提供了员工工作效率又保证了企业内部网络不被病毒或者木马程序干扰。而对于白名单应用程序或系统程序，则不进行限制。

　　整个功能模块，针对黑名单应用程序对应的进程进行了特征分析并进行安全签名处理，这样保证不会因为进程名称变更而绕开安全控制策略。另外针对一些黑名单设置，则是根据网络系统内部应用程序的活跃程度，通过网络行为或者终端行为分析，而判断该应用程序是否运行?如果是非工作范畴并且是需要限制的软件，则系统管理员就会把该应用程序对应的进程设置为黑名单。比如一些网络游戏、占用网络带宽的下载程序或者使用程序，除了对URL地址封堵外，还可以对其客户端运行的进程名称进行限制。

　　外设管理与控制

　　系统提供外设管理与控制功能，主要是解决企业内部资源滥用，文件拷贝、打印、刻录等信息泄密问题;同时通过对外设限制，防止内部网络因为外部存储介质的使用而感染病毒，避免网络的瘫痪;

　　系统可以对USB端口、软驱、光驱等存储设备进行限制，限制功能支持“禁止和启用”，对USB存储设备限制外，但是仍然可以保证USB接口的鼠标、键盘的使用;

　　系统还可以对串口、并口、红外接口、1394接口等进行“禁止和启用”限制。

　　系统支持单机端口设置限制和组内所有计算机的端口设置限制，系统初始化后，不对任何计算机端口进行限制，当管理员设置策略后，则限制策略生效。

　　系统可以满足，即设即生效的能力，当后台管理系统对某一台或某一组计算机进行端口设置，设置完成了，终端安全防护立即生效。

　　网络控制

　　系统支持网络应用控制、站点控制、黑白名单控制;系统配置支持全局设置和自定义方式;对网络控制支持禁止和启用策略;系统提供增加、删除、修改、查找等基本操作功能。

　　网络应用控制支持网页访问、加密网页访问、文件传输、发送邮件、接收邮件、远程登录、远程控制、端口控制、即时通讯、网络游戏、股票财经、P2P下载、文件下载;主要对给定的控制项进行禁止和允许设置;针对一些内容项可以由管理员自定义增加或删除。

　　站点访问，系统支持站点分类访问控制，同时也提供自定义站点设置，用户可以手工增加一些站点，然后对站点进行黑白名单设置。

　　黑白名单，主要是针对部门及机器进行设置，可以设置IP段设置，也可以对单个IP设置，同时支持基于工作组的机器设置，通过设置黑白名单来限制网络访问行为。

　　网络审计

　　系统提供上网用户行为审计，行为审计主要对网页访问、文件传输、邮件收发(含Webmail页面、客户端方式)、P2P下载、网络游戏、股票、远程登录、远程控制、即时通讯(如QQ、MSN、雅虎通、飞信等)、视频等网络活动行为进行详细记录，然后根据客户端记录的日志，在管理中心进行分析并获得审计结果。日志可以详细的记录使用者、所在工作组、访问时间、源IP地址、源端口、源MAC地址、目的IP地址、目的端口、访问类型、访问地址、标识、通讯内容等关键数据。

　　同时系统还对传输的文件内容进行分析和检测，实现信息审核机制，对于设定的敏感信息、关键字或词进行监控，一经发现，则系统报警告知管理进行策略管理(阻止或记录等);通过内容检测机制，有效地降低企业信息泄漏事故的发生，同时也是避免因为上网散布不良言论或者发动言论而造成法鲁惩罚，从而给企业带来不良影响。

　　报警功能

　　报警内容设置，可以配置敏感信息、关键字、系统违规、终端违规和不合法等内容。

　　系统报警机制，可以提供报警方式、报警级别、报警处理等功能;其中报警方式包含邮件、短信、弹出窗口;报警级别包含严重、一般、中等;报警处理包含阻止、记录但不阻止。

　　后台管理控制中心提供报警设置页面，帮助您完成邮件服务器设置和短信中心设置，从而实现报警功能。

　　报警功能与其它所有功能模块互动，完成系统、终端、网络行为的报警任务，比如当该系统有异常事后，则系统通过报警通知管理员，终端有异常行为或者操作行为而触动报警开关，则报警启动而通知管理员，网络行为也是根据报警策略，严格监控上网用户行为活动，一旦出现异常而触动报警开关，则后台通过设置的报警方式通知管理员。

　　数据分析

　　提供趋势分析、虚拟身份分析、实时分析等功能。每一个分析项提供条件分析和图形展示;可以根据某一个控制项、某段时间等条件信息进行分析当前的网络行为状况和终端安全应用使用情况，然后图形的方式展示于屏幕上。

　　实时分析，主要对终端计算机和上网行为活动进行实时跟踪，及时了解当前整个网络状态即安全程度，通过实时分析，可以随时掌握企业内部终端安全及上网行为活动行为监控。比如在线人员、机器、访问资源、什么时段做了那些，可以根据部门、机器组、网络活动类型、终端资源等进行实时查询和检查。

　　趋势分析，主要是提供某段时间、某一项网络控制和网络行为的活动状态，管理通过该趋势分析获得当前企业内部网络活动，通过不同时段的查询和比对，从而可以清晰的了解到该企业内部的上网行为活动;系统也可以提供基于某个人(机器)或者某个工作组进行趋势分析，可以提供按照天、月、时间段方式完成网络行为活动趋势分析。管理员根据分析统计结果可实现安全风险评估，为下一阶段安全防护与管理提供依据。

　　虚拟身份分析，主要提供一些网络账户的统计功能，比如BBS论坛账户、QQ账户、MSN账户，。。。，从而了解到整个网络环境下的虚拟账户应用情况，通过后台实名账户关联，而最终了解到虚拟账户与实名账户的对应关系，可以根据虚拟账户类型、证件类型、证件号、卡号、虚拟身份特征、用户姓名等条件进行精确、模糊查询功能。

　　日志管理

　　日志收集。通过客户端程序记录所有终端用户操作和行为日志;

　　日志上传。日志以加密的格式传送到后台服务器，并以加密形式存储，存储时间可以达到60天或者用户自定义的周期;

　　日志查询、统计;系统提供日志类型、时间等条件查询;可以对不同类型、所有日志进行统计与分析;

　　日志报表，可以根据日志类型和设定条件形成日志报表;

　　日志备份，系统支持日志备份、导出功能。

　　角色管理

　　为了保证系统的安全，系统区分系统管理员、安全管理员、安全审计管理员，不同管理根据角色不同具有该系统的不同管理权限;

　　系统管理员可进行系统配置和系统维护;

　　安全管理员，主要是针对安全控制和监控任务进行管理和操作。对用户、机器进行授权等管理动作，最终形成安全访问控制列表和安全级别检查等列表。

　　安全审计管理员，主要是对日志进行审计，实施系统的审计跟踪管理。

　　系统管理

　　系统维护，实现系统重启、关机、注销等操作。

　　系统配置管理，对系统参数、时间资源、用户、机器等资源进行设置与配置。

　　系统升级管理，主要是解决系统升级、补丁更新、配置导入和导出工作。

　　系统安全设置，比如管理员密码修改、权限分配等操作。

　　网络诊断，通过系统工具帮助管理员实现网络故障诊断。