LanSecS內網安全管理系統(tǒng)V7.0技術白皮書

1、lansecslansecs 內網安全管理系統(tǒng)（內網安全管理系統(tǒng)（v7.0v7.0）技技術術白白皮皮書書北京圣博潤高新技術股份有限公司北京圣博潤高新技術股份有限公司20112011 年年lansecs 內網安全管理系統(tǒng) 7.0 版技術白皮書目目錄錄1. 1.2. 2.產品簡介產品簡介 . .1 1產品架構產品架構 . .2 ..3. 3.終端監(jiān)控引擎 .2總控中心 .2管理控制臺 .3系統(tǒng)數(shù)據(jù)庫 .3產品功能產品功能 . .4 ..3.5.終端運維管理 .4終端安全加固 .5終端主機準入控制 .5移動存儲介質管理 .7終端安全審計 .

2、84. 4.產品性能產品性能 . .9 ..總控中心性能 .9終端監(jiān)控引擎性能 .9產品性能指標 .10自身安全性 .105. 5.產品部署產品部署 . 11 . .產品形態(tài) .11部署模式 .115.2.1.本地部署 .115.2.2.分級部署 .12 版權所有圣博潤lansecs 內網安全管理系統(tǒng) 7.0 版技術白皮書1.1. 產品簡介產品簡介lansecs內網安全管理系統(tǒng) v7.0 版是一款定位于為政府和企業(yè)用戶提供集中的終端 （桌面） 綜合安全管理的桌面管理產品。 系統(tǒng)通過對計算機準入控制、計算機安全加固、計算機運行維護、計算機安全審計、

3、移動存儲介質注冊等多個方面的綜合管理，為政府和企業(yè)用戶打造一個安全、可信、規(guī)范、健康的內網環(huán)境。lansecs內網安全管理系統(tǒng) v7.0 版是北京圣博潤高新技術股份有限公司（以下簡稱圣博潤）一個里程碑式的、戰(zhàn)略性的產品版本，該版本通過對用戶需求的持續(xù)跟蹤使得產品功能進一步豐富， 通過系統(tǒng)架構的優(yōu)化調整使得產品性能顯著提升，借助 lansecs內網安全管理系統(tǒng) v7.0 版的發(fā)布，圣博潤公司更加明確地宣告了其專注于內網安全管理領域的決心與實力。lansecs內網安全管理系統(tǒng)在為用戶提供終端安全保護手段的同時，更加強調為用戶提供便利的終端運維管理手段。集中式、人性化的終端管理能力是lansecs內

4、網安全管理系統(tǒng)的特色之一，也是圣博潤公司一直以來的努力方向。lansecs內網安全管理系統(tǒng)的設計參考了如下國家標準： gb/t18336-2008 信息技術 安全技術 信息技術安全性評估準則 gb/t22239-2008： 信息系統(tǒng)安全等級保護基本要求 mstl_jgf_04-012信息安全技術遠程主機檢測產品檢驗規(guī)范 mstl_jgf_04-011信息安全技術非授權外聯(lián)檢測產品檢驗規(guī)范 bmb15-2004涉及國家秘密的信息系統(tǒng)安全審計產品技術要求 bmb17-2006： 涉及國家秘密的信息系統(tǒng)分級保護技術要求 bmb20-2007： 涉及國家秘密的信息系統(tǒng)分級保護管理規(guī)范 bmb22-20

5、07： 涉及國家秘密的計算機信息系統(tǒng)分級保護測評指南 gbt 22240-2008： 信息系統(tǒng)安全等級保護定級指南 gbt 22241-2008： 信息系統(tǒng)安全等級保護實施指南版權所有 2001-2010 1/15lansecs 內網安全管理系統(tǒng) 7.0 版技術白皮書2.2. 產品架構產品架構圖 1lansecs內網安全管理系統(tǒng)架構lansecs內網安全管理系統(tǒng)在架構設計上采用了三層管理結構： 終端監(jiān)控引擎、總控中心、管理控制臺，. 終端監(jiān)控引擎終端監(jiān)控引擎終端監(jiān)控引擎以服務的形式運行于終端計算機上， 是終端計算機管理的核心和基礎部件， 用于對被管理終端計算機的安全加固、運行維護

6、和監(jiān)測審計等管理職能。終端監(jiān)控引擎可以部署在所有 windows 系列操作系統(tǒng)上，包括 windows2000、windows xp、windows 2003、windows vista、windows 2008、windows 7。終端監(jiān)控引擎的設計充分考慮了穩(wěn)定性、 安全性和兼容性要求。終端監(jiān)控引擎可防止惡意停止，并全面兼容防病毒軟件、防火墻軟件、設計開發(fā)軟件、業(yè)務軟件、辦公軟件。. 總控中心總控中心總控中心用于計算機的集中管理， 為終端監(jiān)控引擎和管理控制臺提供一系列的管理服務；由策略管理服務、審計管理服務、radius 認證服務、文件備份服務、補丁與軟件分發(fā)服務、時間同步服

7、務、網絡管理服務、分級管理服務、事件訂閱服務、健康狀態(tài)監(jiān)測服務等組成。視內網規(guī)模和性能要求，這些服務可分別部署在不同的硬件平臺上，也可部署在同一個硬件平臺上。版權所有 2001-2010 2/15lansecs 內網安全管理系統(tǒng) 7.0 版技術白皮書策略管理服務策略管理服務：負責終端計算機策略的配置和更新。審計管理服務審計管理服務：負責接收終端監(jiān)控引擎發(fā)送的審計信息與事件報警，并存儲到數(shù)據(jù)庫中。接入認證服務接入認證服務：負責對接入內網的終端計算機身份和健康狀況進行認證。文件備份服務文件備份服務：提供集中的文件備份。文件備份服務支持用戶身份認證。補丁分發(fā)服務補丁分發(fā)服務：提供補丁文件和軟件的下載

8、服務， 支持 ftp 和 http 兩種方式。時間同步服務時間同步服務：為終端計算機提供統(tǒng)一的標準時間服務，便于終端計算機的時間管理。網絡管理服務網絡管理服務：提供網絡拓撲掃描服務，可繪制網絡的鏈路層拓撲。分級管理服務分級管理服務：提供分級部署環(huán)境下的分級管理。事件訂閱服務事件訂閱服務：接受報警監(jiān)控程序的事件訂閱，根據(jù)訂閱條件向報警監(jiān)控程序發(fā)送符合要求的報警事件，可向多個報警監(jiān)控程序同時提供服務。健康檢測服務健康檢測服務：用于總控中心自身各服務的運行狀態(tài)監(jiān)控。. 管理控制臺管理控制臺管理控制臺為系統(tǒng)管理人員提供系統(tǒng)管理入口； 采用 bs 方式進行系統(tǒng)管理，通過管理控制臺完成全部系

9、統(tǒng)管理操作。. 系統(tǒng)數(shù)據(jù)庫系統(tǒng)數(shù)據(jù)庫系統(tǒng)數(shù)據(jù)庫用于存儲策略、信息和事件，全面支持目前主流數(shù)據(jù)庫，包括：sql server、oracle 、mysql 、ibm db2、postgresql、gbase總控中心與數(shù)據(jù)庫之間采用數(shù)據(jù)庫訪問中間件和網絡緩存技術實現(xiàn)高速數(shù)據(jù)訪問。通過數(shù)據(jù)庫訪問中間件和網絡緩存，可以大大降低數(shù)據(jù)庫的訪問壓力，提高數(shù)據(jù)的存儲和訪問能力。終端監(jiān)控引擎和總控中心之間采用 ice 網絡通訊中間件進行相互通訊。 通過ssl 協(xié)議對通信過程進行認證和加密，增強組件間通信的安全性。三層管理結構大大提高了系統(tǒng)設計開發(fā)、 安裝部署和運行維護的靈活性、便利性和擴展性。版權所

10、有 2001-2010 3/15lansecs 內網安全管理系統(tǒng) 7.0 版技術白皮書3.3. 產品功能產品功能. 終端運維管理終端運維管理內網的可靠運行是業(yè)務系統(tǒng)可靠運行的保障， 內網的可靠運行依賴于網絡設備、服務器和個人終端計算機的安全運行，任何一個環(huán)節(jié)出現(xiàn)故障，都可能對內網的可靠性產生不可估量的沖擊。內網中主要設備是終端計算機， 終端計算機的安全運行與管理對整個內網安全有至關重要。系統(tǒng)對終端計算機的管理采取了兩種不同的安全措施：系統(tǒng)運行管理和系統(tǒng)監(jiān)測。系統(tǒng)運行管理方面主要包括補丁管理、主機資產管理、主機防病毒管理、系統(tǒng)日志管理、時間同步、消息分發(fā)及文件備份，通過系統(tǒng)運行管理

11、確保終端主機以最安全的狀態(tài)運行，有效地減少病毒爆發(fā)和木馬泛濫帶來的內網安全隱患，減少終端計算機被入侵的可能性。系統(tǒng)監(jiān)測方面主要包括主機性能、網絡流量、健康狀態(tài)、設備入網、時間同步與安全態(tài)勢分析等。 通過系統(tǒng)檢測可以讓管理員及時了解整個網絡內終端主機的狀態(tài)，針對存在的安全隱患及時采取有效措施，更好地保證內網的可靠性。具體功能如下：模塊名稱模塊名稱功能描述功能描述可以實現(xiàn) windows 平臺下的補丁審批、分發(fā)和補丁修復狀態(tài)統(tǒng)計，管理、 分發(fā)和自動安裝 windows 系列操作系統(tǒng)補丁和微軟應用程序補丁。提供計算機資產自動收集、資產注冊登記、資產變更管理、設備維修管理、資產查詢與統(tǒng)計等管理。提供防

12、病毒軟件信息收集和狀態(tài)監(jiān)測功能， 信息收集包括防病毒軟件名稱、軟件版本、病毒庫版本等。提供對終端計算機本地日志收集、 日志集中存儲、日志轉儲、日志清理和日志查詢分析功能以安裝有時間服務的計算機硬件時間為時間源， 為內網終端計算機提供標準的 internet 時間服務提供對內網全部或者部分終端計算機的消息通知功能提供對內網全部或者部分終端計算機的軟件分發(fā)管理。 由分發(fā)管理中心、文件下載服務和終端監(jiān)控引擎等組件組成補丁管理資產管理防病毒軟件管理系統(tǒng)日志管理時間同步消息分發(fā)軟件分發(fā)版權所有 2001-2010 4/15lansecs 內網安全管理系統(tǒng) 7.0 版技術白皮書主機性能監(jiān)測網絡流量監(jiān)測健康

13、監(jiān)測與自評估設備入網監(jiān)測遠程協(xié)助文件備份對終端計算機的 cpu 使用、內存使用和磁盤使用情況的動態(tài)監(jiān)測對終端計算機的網絡通訊流量的控制、審計和統(tǒng)計對終端計算機的安全狀況的動態(tài)監(jiān)測， 并為終端計算機用戶提供手動評估計算機安全狀況的手段對內網設備入網的實時發(fā)現(xiàn)、狀態(tài)報告和阻斷對終端計算機的遠程監(jiān)控管理和遠程桌面接管等功能實現(xiàn)用戶身份認證、文件備份、文件恢復、備份文件歷史查詢，由文件備份服務和文件備份代理組成對終端計算機安全管理數(shù)十種關鍵指標進行態(tài)勢分析， 可為用戶內網環(huán)境的安全狀況以及安全變化態(tài)勢提供準確可靠的關鍵指標數(shù)據(jù)支持安全態(tài)勢分析. 終端安全加固終端安全加固終端主機的安全運行

14、是整個網絡的基礎，而終端主機運行參數(shù)、運行策略的穩(wěn)定又是終端主機安全運行的保障，系統(tǒng)的具體加固措施包括如下方面：模塊名稱模塊名稱功能描述功能描述對終端計算機的網絡相關參數(shù)的配置和變更監(jiān)控管理， 包括參數(shù)綁定、 參數(shù)變更監(jiān)控、arp 攻擊防護與 ip 地址保護，具有支持多個網絡參數(shù)的統(tǒng)一配置管理、支持多個同類參數(shù)的綁定、支持ip 地址范圍控制等特點。管理終端計算機的本地安全策略、 對本地系統(tǒng)環(huán)境進行安全設置管理， 從而實現(xiàn)主機運行安全策略的最優(yōu)化，確保終端主機的安全管理系統(tǒng)內置防火墻是基于ndis 的桌面防火墻， 對終端計算機的訪問目標進行限定， 對終端計算機的網絡訪問進行控制。 具有基于優(yōu)先級

15、的網絡訪問控制能力、提供網絡訪問審計能力、支持策略模板詳細見 3.3詳細見 3.4網絡參數(shù)配置網絡參數(shù)配置終端安全配置終端安全配置終端防火墻終端防火墻終端主機準入終端主機準入控制控制移動存儲介質移動存儲介質管理管理. 終端主機準入控制終端主機準入控制系統(tǒng)提供了“主動防護”和“動態(tài)監(jiān)控”相結合的計算機準入控制機制。 “主動防護”是指：第一是指在計算機接入網絡之前，首先驗證其身份和安全狀態(tài)，以決定是否允許其接入網絡；第二是指計算機接入網絡后，如果要訪問核心區(qū)域的資源， 也必須先進行身份認證和安全認證，根據(jù)驗證結果決定是否允許其訪問核心區(qū)域資源。這與以往的安全思路“先接入網絡，再驗證其

16、身份”相比，極大版權所有 2001-2010 5/15lansecs 內網安全管理系統(tǒng) 7.0 版技術白皮書地提高了網絡的安全性?！皠討B(tài)監(jiān)控”是指：當計算機驗證通過并接入網絡后，并非該計算機就可以在接入期間不受控制地訪問網絡資源。 系統(tǒng)還會動態(tài)的對接入計算機的身份和安全狀態(tài)進行跟蹤和檢測， 一旦發(fā)現(xiàn)身份信息和安全狀態(tài)有變， 即刻對其重新隔離。終端主機準入控制功能結構如下圖所示：終端主機準入控制策略管理(802.1x)終端主機準入控制策略管理(網關認證 )接入前控制接入后控制接入前控制接入后控制接入層安全認證修復/訪客/工作否是是接入層安全認證修復/訪客/工作否是是接入層身份認證否否動態(tài)身份監(jiān)測

17、接入層身份認證否否動態(tài)身份監(jiān)測隔離動態(tài)安全狀態(tài)監(jiān)測隔離動態(tài)安全狀態(tài)監(jiān)測ip通訊認證與加密核心區(qū)域訪問認證圖 2 準入控制（802.1x認證）示意圖圖 3準入控制（網關認證）示意圖主機健康檢查：主機健康檢查：對接入內網的計算機的安全狀況進行檢查接入認證：接入認證：對主機進行身份認證，系統(tǒng)支持用戶名/口令、pki數(shù)字證書以及設備特征標識三種身份信息的認證方式。主機隔離與修復：主機隔離與修復：根據(jù)策略將未通過認證的主機隔離到修復區(qū)/工作區(qū)/訪客區(qū)。主機狀態(tài)動態(tài)檢測：主機狀態(tài)動態(tài)檢測：對接入網絡的計算機進行動態(tài)監(jiān)測， 監(jiān)測的內容包括身份確認、安全狀態(tài)確認等ipip通訊控制：通訊控制：網內主機之間的通訊

18、采用pki數(shù)字證書標識雙方的身份，并同時對通訊數(shù)據(jù)進行加密。內網核心區(qū)域保護：內網核心區(qū)域保護：在核心資源與接入層計算機之間設置安全認證網關， 代替無法細粒度認證接入計算機身份的網絡設備，行使二次身份認證的使命。準入控制部署：準入控制部署：啟用接入計算機的身份認證，網絡設備必須啟用802.1x協(xié)議支持；啟用接入計算機自動隔離和修復功能，網絡設備不需啟用guest vlan支持。版權所有 2001-2010 6/15lansecs 內網安全管理系統(tǒng) 7.0 版技術白皮書. 移動存儲介質管理移動存儲介質管理usb 移動存儲介質是目前使用最為廣泛的數(shù)據(jù)交換手段。 也正因為 usb 移動

19、存儲介質使用的廣泛性， 為政府和企業(yè)內網信息的安全防護帶來了很大的安全隱患，如何對其進行有效的管理，成為政府、企業(yè)和信息安全產品提供商需要共同面對的問題。系統(tǒng)通過對移動存儲介質實施注冊管理，有效避免了移動存儲介質的濫用，以此提高政府和企業(yè)內網信息的安全性。移動存儲介質注冊管理是指將移動存儲介質進行特殊處理后， 在移動存儲介質無法被直接訪問的區(qū)域寫入該移動存儲介質相對應的注冊信息， 注冊信息包括兩種類型：標記信息：標記信息：用于表明該移動存儲介質的所有者、聯(lián)系方式、管理者、所屬部門等。訪問控制信息：訪問控制信息：當該移動存儲介質插入計算機時，依靠訪問控制信息決定是否允許在計算機上使用。根據(jù)用戶管

20、理需求的不同，系統(tǒng)將移動存儲介質的管理分為五種管理模式管理模式：未授權移動存儲介質、加密移動存儲介質、多分區(qū) u 盤、專用安全 u 盤、特權移動存儲介質。注冊介質的授權使用范圍授權使用范圍包括全局、部門與主機三個選項。注冊介質的授權操作權限授權操作權限包括只讀、讀寫與禁用、只寫四種工作模式。系統(tǒng)通過專用工具對各種存儲介質進行注冊管理，系統(tǒng)自帶 u 盤資源管理器， 實現(xiàn)對注冊移動存儲介質的訪問與文件操作，有效地保證了移動存儲介質管理的安全性。系統(tǒng)采用了文件操作動態(tài)監(jiān)控和審計的技術思路。 當有文件在加密移動存儲介質和本地磁盤進行拷貝時，系統(tǒng)將自動記錄文件操作行為，包括訪問、創(chuàng)建、刪除、修改等。類型

21、未授權移動存儲介質加密移動存儲介質多分區(qū) u 盤專用安全 u 盤特權移動存儲介質說明所有未在系統(tǒng)中進行注冊管理的移動存儲介質。 系統(tǒng)默認將自動禁止其在裝有終端監(jiān)控引擎的計算機上使用。經過系統(tǒng)加密格式化并注冊的移動存儲介質。經過系統(tǒng)格式化為多個分區(qū)并注冊的u 盤，包括啟動區(qū)、交換區(qū)、加密區(qū)、日志區(qū)，用戶的訪問操作權限可細化到分區(qū)。與系統(tǒng)配套提供的專用 u 盤，可格式化為多個分區(qū)，自帶 cos 操作系統(tǒng)。經系統(tǒng)注冊并打印特權標簽的移動存儲介質，尤其適用于各種數(shù)碼產品存儲卡。版權所有 2001-2010 7/15lansecs 內網安全管理系統(tǒng) 7.0 版技術白皮書. 終端安全審計終端

22、安全審計任何政府部門和企業(yè)單位，均擁有自己的機密信息。這些機密信息，如果沒有良好的技術防護手段，很容易發(fā)生侵害政府和企業(yè)利益的信息泄露事件。政府和企業(yè)面臨的信息泄露威脅有兩種：被動信息泄露和主動信息泄露。被動信息泄露：被動信息泄露：由于人員缺乏信息保密意識， 常常由于專業(yè)知識不熟悉或者工作疏忽而造成泄密。如有些人由于不知道計算機的電磁波輻射會泄露秘密信息，計算機工作時未采取任何措施，因而給他人提供竊密的機會；有些人由于不知道計算機軟盤上的剩磁可以提取還原，將曾經存貯過秘密信息的軟盤交流出去，因而造成泄密；有些人因事離機時沒有及時關機，或者采取屏幕保護加密措施，使各種輸入、輸出信息暴露在界面上；

23、有些人對自己使用的計算機終端缺乏防護意識，如沒有及時升級病毒庫和更新系統(tǒng)補丁，導致病毒和木馬的入侵，在不知不覺中泄露了機密信息。主動信息泄露：主動信息泄露：這種情況是由于內部人員出于個人利益或者發(fā)泄不滿情緒，有意識的收集和竊取機密信息。由于電子信息文檔不象傳統(tǒng)文檔那樣直觀，極易被復制，且不會留下痕跡，所以竊取秘密也非常容易。電子計算機操作人員徇私枉法，受親友或朋友委托，通過計算機查詢有關案情，就可以向有關人員泄露案情。計算機操作人員被收買，泄露計算機系統(tǒng)軟件保密措施，口令或密鑰，就會使不法分子打入計算機網絡，竊取信息系統(tǒng)、數(shù)據(jù)庫內的重要秘密。對于政府部門和企業(yè)來說，計算機終端作為信息處理的工具

24、，在其上存儲、傳輸和處理的信息的安全性保護相當重要。 任何一個環(huán)節(jié)的疏漏均可導致信息的丟失。因此，必須加強對信息的監(jiān)控和審計管理。lansecs內網安全管理系統(tǒng)提供了設備輸出監(jiān)控、違規(guī)外聯(lián)監(jiān)控、共享監(jiān)控、打印監(jiān)控、文件監(jiān)控、帳戶監(jiān)控、進程監(jiān)控、服務監(jiān)控、軟件安裝監(jiān)控、注冊表監(jiān)控和網絡行為審計等一系列信息監(jiān)控與審計功能， 為政府和企業(yè)的信息保密與信息防護提供了有力的技術手段和工具。模塊名稱模塊名稱i/o 設備輸出審計違規(guī)外聯(lián)監(jiān)控普通光驅和刻錄機。實時監(jiān)測和阻斷終端計算機的modem 撥號、adsl 撥號、網關上網、代理上網等行為，實現(xiàn)對終端計算機連接互聯(lián)網或者其它網絡行為的嚴格控版權所有 200

25、1-2010 8/15功能描述功能描述對硬件設備的使用進行監(jiān)控。采取黑名單和白名單的控制方式，可區(qū)分lansecs 內網安全管理系統(tǒng) 7.0 版技術白皮書制。文檔打印審計文件審計與文件保護對終端計算機的打印操作進行監(jiān)控與管理。全面監(jiān)控本地打印、虛擬打印和共享打印。1)對文件的創(chuàng)建、刪除、改名、訪問等操作行為進行審計；2)對文件內容進行關鍵字掃描監(jiān)控；3)對指定文件或文件夾的安全進行保護，限定特定進程對被保護對象的操作。共享審計與共享訪問控制本地帳戶審計進程管理服務管理軟件安裝監(jiān)控注冊表監(jiān)控網絡行為審計對終端計算機的系統(tǒng)默認共享、用戶文件夾共享及共享文件夾的操作權限情況進行監(jiān)控，避免內網用戶通過

26、共享的途徑達到機密信息外泄對本地計算機的帳戶安全相關參數(shù)進行配置，對帳戶變更進行監(jiān)控和審計。對本地計算機運行程序進行管理，包括運行控制、運行保護、運行統(tǒng)計與進程別名管理。對本地計算機上所運行服務進行管理，控制本地服務的運行狀況。通過黑名單、白名單和紅名單方式管理。對終端計算機上的軟件安裝行為進行監(jiān)控與控制對終端計算機本地注冊表的訪問進行監(jiān)控和保護對終端計算機的網絡訪問的監(jiān)控與審計。 包括 http 訪問、smtp/pop3 郵件收發(fā)、web 郵件收發(fā)等。系統(tǒng)提供基于規(guī)則的訪問控制手段4.4. 產品性能產品性能. 總控中心性能總控中心性能lansecs內網安全管理系總控中心采用了分

27、層設計理念，統(tǒng)架構設計時采用了分布式負載均衡技術和動態(tài)性能擴展技術，路由與定位服務、業(yè)務服務、數(shù)據(jù)庫服務均支持多個服務鏡像，從而有效分散終端計算機連接請求，實現(xiàn)負載均衡。同時，在系統(tǒng)運行過程中，可以根據(jù)業(yè)務需要隨時增加路由與定位服務、業(yè)務服務和數(shù)據(jù)庫服務鏡像，從而達到動態(tài)性能擴展的目的。系統(tǒng)可以在一個總控中心單元管理10萬臺終端計算機。. 終端監(jiān)控引擎性能終端監(jiān)控引擎性能終端監(jiān)控引擎設計時充分考慮了其可能對桌面計算機造成的性能影響， 通過多次優(yōu)化， 形成了現(xiàn)在的終端監(jiān)控引擎架構。該架構保證了終端監(jiān)控引擎在穩(wěn)定版權所有 2001-2010 9/15lansecs 內網安全管理系統(tǒng)

28、7.0 版技術白皮書可靠運行的前提下，仍能保持極少的靜態(tài)工作模式系統(tǒng)資源占用。經過嚴格的第三方測試， 以及大量用戶的實際使用證明，終端監(jiān)控引擎在靜態(tài)工作模式下，對系統(tǒng)資源的占用幾乎可以達到零消耗。靜態(tài)工作模式下， cpu的占用率低于1%，內存占用低于10m，網絡帶寬占用低于0.2k/s/客戶端。. 產品性能指標產品性能指標lansecs內網安全管理系統(tǒng)主要性能指標如下：1) 總控中心最大并發(fā)連接數(shù)：5502) 總控中心最大可管理注冊主機數(shù)量：50000 臺3) 總控中心網絡帶寬占用：100k/1000 客戶端4) 終端監(jiān)控引擎 cpu 占用（靜態(tài)模式） ： 1%5) 終端監(jiān)控引擎

29、內存占用（靜態(tài)模式） ：8m. 自身安全性自身安全性lansecs 系統(tǒng)設計之初便對其自身安全性做了充分的考慮和技術處理，使得lansecs 系統(tǒng)的安全性得到了有效的保障。自身安全性主要考慮了如下幾個方面的安全問題：總控中心安全性：總控中心安全性：系統(tǒng)通過采用最小服務原則、系統(tǒng)管理控制、代理訪問認證等幾個措施確?？偪刂行牡陌踩\行。終端監(jiān)控引擎安全性：終端監(jiān)控引擎安全性：系統(tǒng)通過采用監(jiān)控進程隱藏技術、本地文件訪問保護、多入口恢復技術及監(jiān)控引擎完整性校驗技術等確保終端監(jiān)控引擎的安全運行。數(shù)據(jù)庫安全性：數(shù)據(jù)庫安全性：系統(tǒng)通過采用數(shù)據(jù)庫訪問控制、數(shù)據(jù)加密與數(shù)據(jù)備份等措施確保數(shù)據(jù)庫的安全運行。策略安全性：策略安全性：系統(tǒng)通過策略訂單生成控制、加密策略傳遞與存儲、策略完整性校驗等措施確保策略的安全性通訊安全性：通訊安全性：系統(tǒng)通過采用加密傳輸、身份認證、本地安全存儲等措施確保終端監(jiān)控引擎與總控中心之間的