商業(yè)銀行內(nèi)網(wǎng)安全管理技術(shù)方案

1、最新資料歡迎閱讀商業(yè)銀行內(nèi)網(wǎng)安全管理技術(shù)方案1、1方案概述31、2某商業(yè)銀行計(jì)算機(jī)終端安全管理需求31、2、1總體目標(biāo)31、2、2建設(shè)與管理范圍41、2、3模塊功能要求41、3某商業(yè)銀行需求分析與難點(diǎn)分析91、3、1需求分析91、3、2面臨的技術(shù)和實(shí)施難點(diǎn)91、4總體體系架構(gòu)建議101、5接入控制101、5、1非法內(nèi)聯(lián)101、6資產(chǎn)管理191、6、1資產(chǎn)信息采集191、6、2硬件資產(chǎn)信息管理201、6、3軟件資產(chǎn)信息管理211、6、4基于網(wǎng)絡(luò)資源的管理221、6、5資產(chǎn)報(bào)表管理221、7設(shè)備管理221、8移動存儲介質(zhì)221、8、1注冊授權(quán)241、8、2訪問控制241、8、3數(shù)據(jù)保護(hù)251、8、

2、4自我保護(hù)251、8、5操作記錄251、8、6遵循的國家標(biāo)準(zhǔn)標(biāo)準(zhǔn)261、9安全監(jiān)控261、10網(wǎng)絡(luò)安全271、10、1防病毒軟件監(jiān)控271、最新資料歡迎閱讀10、2客戶端防卸載28T10、3斷網(wǎng)策略281、10、4離線策略281、10、5終端流量監(jiān)控281、10、6網(wǎng)頁過濾291、10、7端口控制291、11非法外聯(lián)291、12軟件管理建議291、12、1軟件分發(fā)291、12、2補(bǔ)丁管理301、13網(wǎng)絡(luò)管理311、14安全服務(wù)321、1、1、1、主機(jī)信息收集321、1、1、2、網(wǎng)絡(luò)參數(shù)配置321、1、1、3、遠(yuǎn)程協(xié)助321、1、1、4、預(yù)警平臺331、15其他功能331、15、1軟件安裝監(jiān)控3

3、31、15、2報(bào)表管理341、16、ILanSecS產(chǎn)品構(gòu)架36U16、2LanSecS軟件模塊組成381、16、3系統(tǒng)內(nèi)部模塊數(shù)據(jù)處理流程圖381、16、4LanSecS系統(tǒng)管理流程簡介391、16、5系統(tǒng)安全示意圖401、16、6產(chǎn)品設(shè)計(jì)思路401、16、7產(chǎn)品的設(shè)計(jì)原則411、16、8產(chǎn)品的功能411、16、9產(chǎn)品一體化設(shè)計(jì)421、16、10關(guān)鍵技術(shù)441、17系統(tǒng)自身管理451、17、ILanSecS角色管理451、17、2LanSecS分級管理461、17、3LanSecS系統(tǒng)審計(jì)管理461、18系統(tǒng)安全方案461、18、1控制中心安全性設(shè)計(jì)4最新資料歡迎閱讀71、18、2主機(jī)代理安

4、全性設(shè)計(jì)471、18、3數(shù)據(jù)庫安全性設(shè)計(jì)481、18、4策略安全性設(shè)計(jì)481、18、5組件通訊安全性設(shè)計(jì)491、19系統(tǒng)功能清單491、20軟硬件配置方案551、21金融系統(tǒng)典型案例5613方案概述某商業(yè)銀行需要完整的計(jì)算機(jī)終端管理解決方案來解決運(yùn)行維護(hù)中棘手的計(jì)算機(jī)終端管理問題，同時(shí)該解決方案應(yīng)考慮與未來不斷完善的IT管理體系的緊密集成，提高IT管理的規(guī)范化和自動化。計(jì)算機(jī)終端管理是一個(gè)復(fù)雜的管理范疇，它不僅包含我們常見的日常運(yùn)行維護(hù)管理(如電話支持平臺和現(xiàn)場服務(wù)支持)而且包含了安全管理、資產(chǎn)管理以及運(yùn)維管理等諸多管理內(nèi)容的綜合性管理，涵蓋了所有桌面設(shè)備的整個(gè)生命周期的管理。圣博潤公司在桌面

5、管理方面有著豐富的經(jīng)驗(yàn)，不但為諸多國內(nèi)政府部門和大型企業(yè)提供整體的桌面管理建設(shè)方案，而且有著豐富的實(shí)際操作管理經(jīng)驗(yàn)。1、2某商業(yè)銀行計(jì)算機(jī)終端安全管理需求1、2、1總體目標(biāo)1)通過本項(xiàng)目建設(shè)構(gòu)建銀行桌面端安全管理軟件總體架構(gòu)集中管理，統(tǒng)一某商業(yè)銀行桌面終端運(yùn)維流程，規(guī)范桌面端安全管理軟件功能，提高桌面終端用戶安全防護(hù)能力，提升某商業(yè)銀行桌面終端運(yùn)行維護(hù)自動化程度，提高某商業(yè)銀行桌面終端服務(wù)水平，使日常的桌面終端由被動管理向標(biāo)準(zhǔn)化管理轉(zhuǎn)變。2)實(shí)施完成各項(xiàng)目單位桌面端安全管理軟件建設(shè)，滿足項(xiàng)目單位資產(chǎn)管理、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)控制、遠(yuǎn)程控制、軟件分發(fā)等的需要。3)實(shí)現(xiàn)各級桌面端安全管理軟件數(shù)據(jù)的上下貫

6、通，建成統(tǒng)一監(jiān)視的桌面端安全管理軟件體系，實(shí)現(xiàn)終端的標(biāo)準(zhǔn)化運(yùn)維工作，促進(jìn)某商業(yè)銀行IT資產(chǎn)的精細(xì)化管理。4）試點(diǎn)實(shí)施具有良好的擴(kuò)展性和適應(yīng)性，為桌面端安全管理軟件建設(shè)的全面推廣奠定基礎(chǔ)。1、2、2建設(shè)與管理范圍1、2、2、1建設(shè)與適應(yīng)范圍結(jié)合某商業(yè)銀行的運(yùn)維現(xiàn)狀，桌面終端標(biāo)準(zhǔn)化擬采取集中管理模式。集中負(fù)責(zé)全行范圍內(nèi)桌面標(biāo)準(zhǔn)化的管理標(biāo)準(zhǔn)、技術(shù)規(guī)范及管理策略的制定，并負(fù)責(zé)本地桌面終端的管理1、2、2、2桌面端安全管理軟件管理范圍在本項(xiàng)目中，桌面終端的范圍包括信息內(nèi)網(wǎng)的所有桌面終端，包括所有個(gè)人桌面（臺式機(jī)、筆記本電腦等）及相關(guān)外設(shè)等桌面終端。桌面終端標(biāo)準(zhǔn)化管理的主要范疇包括資產(chǎn)管理、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)

7、控制、遠(yuǎn)程控制、軟件分發(fā)等。其中，資產(chǎn)管理主要針對桌面終端詳細(xì)的軟、硬件資產(chǎn)現(xiàn)狀及變更等進(jìn)行管理；網(wǎng)絡(luò)安全管理包括對病毒防范、性能監(jiān)控等，從而支持對桌面終端完整的全生命周期管理。1、2、3模塊功能要求1、2、3、1接入控制要求能夠?qū)B接到網(wǎng)絡(luò)中的計(jì)算機(jī)進(jìn)行注冊管理，只有注冊的計(jì)算機(jī)才可以接入網(wǎng)絡(luò)。要求支持計(jì)算機(jī)分組功能，按照不同的區(qū)域、部門進(jìn)行劃分管理組。自動檢測網(wǎng)絡(luò)中計(jì)算機(jī)資源使用情況，列表注冊客戶端、客戶端工作狀態(tài)及機(jī)器在線情況，以取代原始的數(shù)據(jù)資料記載的手段，增強(qiáng)設(shè)備管理信息的實(shí)時(shí)性、準(zhǔn)確性。要求對非法計(jì)算機(jī)的接入進(jìn)行阻斷，發(fā)送阻斷包的終端計(jì)算機(jī)應(yīng)該能夠自動選舉，不應(yīng)該固定在某一臺主機(jī)。

8、要求能夠?qū)Ψ欠ń尤氲骄W(wǎng)絡(luò)中計(jì)算機(jī)進(jìn)行報(bào)警，并能夠自動阻斷違規(guī)行為。要求支持對未授權(quán)的終端設(shè)備接入具有阻斷能力，可以通過交換機(jī)端口操作，也可以通過其他方式實(shí)現(xiàn)阻斷功能。要能夠在系統(tǒng)的管轄范圍內(nèi)，能夠跨越網(wǎng)段并可以跨VLAN對的計(jì)算機(jī)設(shè)備進(jìn)行自動阻斷。支持特權(quán)地址設(shè)置功能，例如：IP和MAC地址綁定、特權(quán)IP、特權(quán)MAC等。支持802、IX認(rèn)證方式進(jìn)行訪問管理控制，可與網(wǎng)絡(luò)設(shè)備進(jìn)行有機(jī)聯(lián)動，防止非法計(jì)算機(jī)接入網(wǎng)絡(luò)。1、2、3、2資產(chǎn)管理查看每臺電腦的相關(guān)硬件信息、可以禁用硬件設(shè)備、關(guān)鍵設(shè)備管理、能夠管理計(jì)算機(jī)信息?？梢圆殚喌矫颗_電腦所有的硬件以及外設(shè)，當(dāng)有外設(shè)接入時(shí)可隨時(shí)偵測。若有硬件變動，也可及

9、時(shí)發(fā)現(xiàn)。并建立數(shù)據(jù)庫，信息人為手動更改，防止自動更改無法控制?？梢詫γ颗_電腦的各項(xiàng)設(shè)備，端口實(shí)施禁用?？梢詫﹃P(guān)鍵設(shè)備進(jìn)行管理，如服務(wù)器等?？梢詫λM(jìn)行實(shí)時(shí)監(jiān)控，對各項(xiàng)性能參數(shù)進(jìn)行記錄，并做出相應(yīng)表格?？梢栽O(shè)置閥值，當(dāng)性能參數(shù)超過這個(gè)閥值時(shí)，可以及時(shí)報(bào)警。可以鎖定IP地址，使員工無法隨意更改。1、2、3、3設(shè)備管理隨著計(jì)算機(jī)外設(shè)的增多，各種各樣的輸出設(shè)備(軟驅(qū)、刻錄機(jī)、打印機(jī)、繪圖儀、移動存儲設(shè)備、紅外、藍(lán)牙、無線網(wǎng)絡(luò)設(shè)備)為信息處理和傳輸提供極大便利的同時(shí)，也為機(jī)密信息的擴(kuò)散和泄露帶來了可能。尤其是USB接口的計(jì)算機(jī)周邊設(shè)備的豐富，使得計(jì)算機(jī)與其他外部設(shè)備，如U盤，USB打印機(jī)等連接分方便，并

10、能輕而易舉地通過USB設(shè)備將外部數(shù)據(jù)導(dǎo)入或者內(nèi)部數(shù)據(jù)導(dǎo)出，為重要數(shù)據(jù)的保護(hù)帶來了巨大的安全隱患。1、2、3、4移動存儲介質(zhì)管理移動存儲介質(zhì)已經(jīng)得到普及應(yīng)用，移動存儲介質(zhì)使用靈活、方便，使它在各個(gè)單位的信息化過程中迅速得到普及，越來越多的敏感信息、秘密數(shù)據(jù)和檔案資料被存貯在移動存儲介質(zhì)里，大量的秘密文件和資料變?yōu)榇判越橘|(zhì)、光學(xué)介質(zhì)，存貯在無保護(hù)的移動存儲介質(zhì)中，這給銀行涉及設(shè)計(jì)、研發(fā)信息資源帶來相當(dāng)大的安全隱患。存儲介質(zhì)作為銀行核心商業(yè)機(jī)密和敏感信息的載體，實(shí)現(xiàn)對它們安全、有效的管理是保證銀行信息安全的重要手段。移動存儲介質(zhì)使用過程中常見的風(fēng)險(xiǎn)包括：I)非法拷貝敏感信息和涉密信息到磁盤、U盤或其

11、他移動存儲介質(zhì)中；2)銀行外部移動存儲介質(zhì)未經(jīng)授權(quán)在內(nèi)部使用；3)銀行內(nèi)部移動存儲介質(zhì)及信息資源被帶出，在外部非授權(quán)使用；4)使用過程的疏忽；5)存貯在媒體中的秘密信息在聯(lián)網(wǎng)交換時(shí)被泄露或被竊取，存貯在媒體中的秘密信息在進(jìn)行人工交換時(shí)泄密；6)處理廢I日移動存儲介質(zhì)時(shí)，由于磁盤經(jīng)消磁余次后，仍有辦法恢復(fù)原來記錄的信息，存有秘密信息的磁盤很可能被利用磁盤剩磁提取原記錄的信息一這很容易發(fā)生在對磁盤的報(bào)廢時(shí)，或存貯過秘密信息的磁盤，用戶認(rèn)為已經(jīng)清除了信息，而給其他人使用；7)移動存儲介質(zhì)發(fā)生故障時(shí)，存有秘密信息的介質(zhì)不經(jīng)處理或無人監(jiān)督就帶出修理，或修理時(shí)沒有懂技術(shù)的人員在場監(jiān)督，而造成泄密；8)移動

12、存儲介質(zhì)管理不規(guī)范，秘密信息和非秘密信息放在同一媒體上，明密不分，媒體介質(zhì)不標(biāo)密級，不按有關(guān)規(guī)定管理秘密信息的媒體，容易造成泄密；9)移動存儲設(shè)備在更新?lián)Q代時(shí)沒有進(jìn)行技術(shù)處理；10)媒體失竊，存有秘密信息的磁盤等媒體被盜，就會造成大量的國家或銀行秘密信息外泄，其危害程度將是難以估量的，丟失造成后果非常嚴(yán)重。綜上所述，移動存儲介質(zhì)的管理對教育行業(yè)來說，是一個(gè)必須關(guān)注的問題。1、2、3、5安全監(jiān)控作為數(shù)據(jù)最終處理的桌面終端，存儲著大量的業(yè)務(wù)數(shù)據(jù)。由于Windows操作系統(tǒng)默認(rèn)將數(shù)據(jù)以明文方式存儲于磁盤上，因此一旦其他未被授權(quán)用戶能夠進(jìn)入操作系統(tǒng)，或者將磁盤取走，都能非常方便地實(shí)現(xiàn)對磁盤數(shù)據(jù)的訪問和

13、閱讀。同時(shí)，利用Windows的數(shù)據(jù)刪除方式并不能實(shí)現(xiàn)對數(shù)據(jù)的徹底刪除。當(dāng)前有越來越多的文件刪除/恢復(fù)工具能夠?qū)⒁褎h除的文件恢復(fù)出來，甚至完全還原。因此，如何確保數(shù)據(jù)信息在桌面終端的安全，也是內(nèi)網(wǎng)安全管理必須考慮的問題。1、2、3、6網(wǎng)絡(luò)安全可以實(shí)時(shí)監(jiān)控每臺電腦的流量，如發(fā)現(xiàn)不正常流量及時(shí)斷網(wǎng)，保證全行網(wǎng)絡(luò)正常運(yùn)行。能隨時(shí)偵測網(wǎng)絡(luò)內(nèi)所有未管理的計(jì)算機(jī)。記錄客戶端文件操作、傳遞、拷貝、更名等信息，并可導(dǎo)出。系統(tǒng)資源占用要小，使員工不會覺得慢，不會影響工作。要求兼容性好，可以支持各種主流操作系統(tǒng)(包括服務(wù)器)。與各種使用軟件不會產(chǎn)生沖突，不影響其他軟件的正常使用。對用戶、組的網(wǎng)頁瀏覽進(jìn)行記錄，并能

14、根據(jù)條件做策略控制。對客戶端的訪問端口進(jìn)行控制，用策略模式進(jìn)行端口控制。1、2、3、7非法外聯(lián)單位內(nèi)部的局域網(wǎng)會在網(wǎng)絡(luò)的出口上，增加相關(guān)的安全硬件防護(hù)設(shè)備，例如：防火墻、IDS、IPS、防病毒網(wǎng)關(guān)等設(shè)備來加強(qiáng)邊界的防護(hù)，保證內(nèi)網(wǎng)的安裝。但是員工由于好奇，或者厭煩上網(wǎng)出口的種種限制，通過Modem或ADSL撥號方式訪問Internet,極易受到外部網(wǎng)絡(luò)的攻擊；當(dāng)該機(jī)器一旦受到攻擊，回到內(nèi)網(wǎng)后很容易將相關(guān)病毒、木馬向內(nèi)網(wǎng)傳播。1、2、3、8軟件管理補(bǔ)丁分發(fā)、軟件分發(fā)功能需求?？梢酝ㄟ^掃描，即時(shí)或定時(shí)的計(jì)劃任務(wù)對客戶端補(bǔ)丁修復(fù)。能對客戶端進(jìn)行即時(shí)或定時(shí)的漏洞掃描及修復(fù)。當(dāng)需要大量安裝軟件時(shí)，可以實(shí)現(xiàn)

15、分發(fā)功能，并不占用很大帶寬，不影響正常使用。當(dāng)有新電腦接入銀行網(wǎng)絡(luò)時(shí)，可以對單臺電腦進(jìn)行軟件安裝。1、2、3、9網(wǎng)絡(luò)管理單位的內(nèi)部網(wǎng)絡(luò)是由網(wǎng)絡(luò)設(shè)備共同作用，協(xié)同工作建立起來的，主要設(shè)備有：路由器、交換機(jī)、HUB,而在局域網(wǎng)中對數(shù)據(jù)交互起核心作用的是交換機(jī)。目前的網(wǎng)管軟件可以對邏輯拓?fù)鋱D進(jìn)行繪制，對交換機(jī)的面板信息進(jìn)行提取和控制，但是無法看到終端設(shè)備和交換機(jī)端口的物理連接關(guān)系，無法從拓?fù)鋱D上看到下連設(shè)備的信息。如何建立起交換機(jī)端口和設(shè)備的連接關(guān)系是至關(guān)重要的，因?yàn)槎丝诘牧髁啃畔⑵鋵?shí)就是設(shè)備的流量信息；想要掌控設(shè)備，只要對交換機(jī)端口進(jìn)行控制就可以了。因此物理拓?fù)鋱D顯示設(shè)備與端口的物理連接關(guān)系會給管

16、理帶來極大的方便1、2、3、10安全服務(wù)對于規(guī)模較大的用戶，由于終端計(jì)算機(jī)眾多，依靠傳統(tǒng)的資產(chǎn)登記管理辦法，根本無法做到對計(jì)算機(jī)配置信息的準(zhǔn)確掌握，對計(jì)算機(jī)配置的變化也無法及時(shí)跟蹤。例如，要準(zhǔn)確掌握每臺計(jì)算機(jī)的軟硬件配置信息，通過手工方式將是非常耗時(shí)和繁瑣的工作。要想實(shí)時(shí)并準(zhǔn)確地掌握內(nèi)網(wǎng)終端計(jì)算機(jī)的配置狀況與配置變更狀況，必須通過技術(shù)手段和工具來輔助實(shí)現(xiàn)，才能有效節(jié)省成本和資源，提高內(nèi)網(wǎng)管理的效率。對于大多數(shù)銀行用戶來說，由于技術(shù)的原因，IT管理人員無法實(shí)時(shí)掌握每臺終端計(jì)算機(jī)的運(yùn)行狀態(tài)。當(dāng)終端計(jì)算機(jī)出現(xiàn)故障需要維護(hù)時(shí)，IT管理人員如果采用現(xiàn)場維護(hù)的方式，一方面增加了人力成本，另外由于人力資源有

17、限，也無法保證維護(hù)的及時(shí)性。如何實(shí)時(shí)監(jiān)視終端計(jì)算機(jī)的運(yùn)行狀況，并且方便地對終端計(jì)算機(jī)進(jìn)行遠(yuǎn)程維護(hù)，是1T管理人員迫切需要解決的問題。1、2、3、11其他功能可以記錄并錄制下計(jì)算機(jī)的具體使用情況，并且合理占用服務(wù)器資源。提供自動統(tǒng)計(jì)分析某軟件合法使用的計(jì)算機(jī)及未授權(quán)使用的計(jì)算機(jī)分布狀況，有效的控管軟件的使用權(quán)、并加強(qiáng)管理。能夠提供事件、系統(tǒng)、策略、資產(chǎn)、歷史等的查詢、統(tǒng)計(jì)及導(dǎo)出，并能根據(jù)日、周、月自動生成報(bào)表，且能手動定制報(bào)表模板，數(shù)據(jù)準(zhǔn)確。1、3某商業(yè)銀行需求分析與難點(diǎn)分析1、3、1需求分析某商業(yè)銀行的管理需求涉及到桌面端安全管理的主要功能,實(shí)現(xiàn)此管理需求可以解決絕大多數(shù)的管理問題。圣博潤公司

18、推薦某商業(yè)銀行采用LanSecS內(nèi)網(wǎng)安全管理系統(tǒng)實(shí)現(xiàn)集中管理，全面對終端計(jì)算機(jī)進(jìn)行資產(chǎn)管理、軟件管理、補(bǔ)丁管理及安全管理。通過部署LanSecS內(nèi)網(wǎng)安全管理系統(tǒng)的不同功能包，可以有效解決滿足某商業(yè)銀行的計(jì)算機(jī)終端管理需求。1、3、2面臨的技術(shù)和實(shí)施難點(diǎn)圣博潤公司基于多年計(jì)算機(jī)終端管理的經(jīng)驗(yàn),認(rèn)為實(shí)現(xiàn)某商業(yè)銀行全面的計(jì)算機(jī)終端管理，需要克服以下技術(shù)難點(diǎn):1、IT終端標(biāo)準(zhǔn)化，這是企業(yè)信息化建設(shè)的重要基礎(chǔ)和組成部分，它包含硬件配置標(biāo)準(zhǔn)化、軟件配置標(biāo)準(zhǔn)化、安全管理標(biāo)準(zhǔn)化多個(gè)部分。2、某商業(yè)銀行的目標(biāo)是建立全網(wǎng)統(tǒng)一的管理體系。3、系統(tǒng)部署后，如何進(jìn)行管理與維護(hù)？全面的集中管理是存在困難的，因此，必須統(tǒng)籌

19、考慮何種信息需要集中管理、應(yīng)該具有何種權(quán)限。1、4總體體系架構(gòu)建議針對某商業(yè)銀行實(shí)際情況，我們建議某商業(yè)銀行采用分級部署管理模式。大體架構(gòu)示意圖如下：1、5接入控制1、5、1非法內(nèi)聯(lián)內(nèi)網(wǎng)安全管理系統(tǒng)將所有內(nèi)網(wǎng)的主機(jī)進(jìn)行入網(wǎng)身份判斷，符合安全標(biāo)準(zhǔn)或合法的主機(jī)將允許運(yùn)行在內(nèi)網(wǎng)中、正常使用。沒有在內(nèi)網(wǎng)安全管理系統(tǒng)中定義的合法的主機(jī)，系統(tǒng)將其阻斷或限制與內(nèi)網(wǎng)的通信。非法接入控制功能主要目的是保證內(nèi)網(wǎng)涉密信息及文件不受非法接入設(shè)備的探測、拷貝、刪除和修改等威脅。1、5、1、1非法主機(jī)所謂的接入控制，是指對接入內(nèi)網(wǎng)的計(jì)算機(jī)終端進(jìn)行身份鑒別或者安全狀態(tài)檢查，阻止未授權(quán)或不安全的計(jì)算機(jī)終端接入內(nèi)網(wǎng)和訪問內(nèi)網(wǎng)資

20、源。通過接入控制，可以將外來計(jì)算機(jī)阻擋在內(nèi)網(wǎng)之外，也可以將內(nèi)網(wǎng)中安全性較差(未及時(shí)安裝補(bǔ)丁和防火墻軟件)的計(jì)算機(jī)隔離出內(nèi)網(wǎng)，保證內(nèi)網(wǎng)整體的安全性。對非法主機(jī)的定義，采取以下方式：1)主機(jī)系統(tǒng)存在嚴(yán)重漏洞，影響內(nèi)網(wǎng)整體安全；2)主機(jī)系統(tǒng)無反病毒軟件保護(hù)或反病毒軟件未運(yùn)行；3)主機(jī)系統(tǒng)從未在內(nèi)網(wǎng)管理系統(tǒng)中注冊，不受審計(jì)、監(jiān)控的主機(jī)；4)管理員自定義的非法主機(jī)系統(tǒng)1、5、1、2網(wǎng)絡(luò)接入控制策略對非法主機(jī)的接入控制，應(yīng)有安全策略來指定。安全策略應(yīng)滿足一定的靈活性和簡單易用。1)非法接入控制策略靈活性：管理員可以靈活設(shè)定非法接入控制對象策略，選定不同的管理顆粒度；2)非法接入控制策略模版化：管理員可以設(shè)

21、置不同安全級別的非法接入控制策略,并且根據(jù)實(shí)際情況或意外情況修改或改變使用不同的策略模版。3)非法接入策略包括：注冊合法主機(jī)檢查策略；主機(jī)安全性檢查策略；管理員自定義策略。當(dāng)主機(jī)入網(wǎng)后，內(nèi)網(wǎng)管理系統(tǒng)按照非法接入策略進(jìn)行檢查，同時(shí)對合法主機(jī)檢查入網(wǎng)身份，并驗(yàn)證此主機(jī)是否已經(jīng)在身份數(shù)據(jù)庫中注冊。然后檢查主機(jī)的安全狀態(tài)是否符合策略要求。任何一項(xiàng)的不滿足均將導(dǎo)致該主機(jī)被阻止在xxxx之外。圖：非法接入控制示意圖1、5、1、3LanSecSNAC簡介LanSecSNAC接入控制解決方案，是一種基于“主動防護(hù)”+“動態(tài)監(jiān)測”的終端安全管理理念的接入控制解決方案。在保護(hù)用戶現(xiàn)有網(wǎng)絡(luò)投資的情況下，提供了適用于

22、大部分網(wǎng)絡(luò)環(huán)境下的終端計(jì)算機(jī)的接入控制能力。與當(dāng)前其它主流接入控制解決方案相比，不僅彌補(bǔ)了其它接入控制方案的漏洞，又有效的保護(hù)了用戶現(xiàn)有網(wǎng)絡(luò)投資，從而具有較高的性價(jià)比。利用LanSecSNAC接入控制方案，可以實(shí)現(xiàn)如下功能：1維護(hù)全網(wǎng)統(tǒng)一的安全策略，利用LanSecSNAC的策略服務(wù)器，可以為全網(wǎng)終端計(jì)算機(jī)制定統(tǒng)一的基線安全策略，并且根據(jù)網(wǎng)絡(luò)環(huán)境的變化動態(tài)修改這一基線策略，保證基線策略能夠反應(yīng)最新的安全管理需要;1在終端計(jì)算機(jī)接入網(wǎng)絡(luò)之前，對接入計(jì)算機(jī)的身份進(jìn)行認(rèn)證，身份信息既可以是用戶名/口令，也可以是硬件唯一標(biāo)識。如果計(jì)算機(jī)無法提供正確的身份信息，則禁止計(jì)算機(jī)接入網(wǎng)絡(luò)；1在終端計(jì)算機(jī)接入網(wǎng)

23、絡(luò)之前，對接入計(jì)算機(jī)的安全狀態(tài)進(jìn)行認(rèn)證,這些安全狀態(tài)包括：是否啟用了防火墻、是否安裝了防病毒軟件以及防病毒軟件的病毒庫是否更新到最新、是否受到惡意軟件的感染、是否安裝了要求的操作系統(tǒng)安全補(bǔ)丁、是否運(yùn)行了未授權(quán)的進(jìn)程和服務(wù)等等。這些條件可以由管理員在策略中統(tǒng)一設(shè)置，如果計(jì)算機(jī)不滿足策略中規(guī)定的條件，則禁止計(jì)算機(jī)接入網(wǎng)絡(luò)；1對于未能提供合法身份信息以及安全狀態(tài)不符合要求的計(jì)算機(jī)，自動將其隔離到獨(dú)立的網(wǎng)絡(luò)中并完成修復(fù)工作。在該網(wǎng)絡(luò)中，計(jì)算機(jī)僅能訪問有限的網(wǎng)絡(luò)資源。包括安裝LanSecS代理程序、訪問補(bǔ)丁服務(wù)器、防病毒軟件服務(wù)器等。在該區(qū)域中，計(jì)算機(jī)可以根據(jù)修復(fù)策略進(jìn)行手動或者自動的修復(fù)工作；1對接入

24、網(wǎng)絡(luò)的計(jì)算機(jī)，根據(jù)其身份信息和安全級別，動態(tài)授予其對核心網(wǎng)絡(luò)保護(hù)區(qū)域的訪問權(quán)限。例如，安全級別較高的計(jì)算機(jī)可以訪問所有核心網(wǎng)絡(luò)保護(hù)區(qū)域的資源，而安全較差的計(jì)算機(jī)則僅允許訪問部分資源，該功能可以對核心網(wǎng)絡(luò)區(qū)域?qū)嵤└行У谋Ｗo(hù)；1對接入網(wǎng)絡(luò)的計(jì)算機(jī)持續(xù)的監(jiān)控其身份信息和安全狀態(tài)信息，一旦發(fā)現(xiàn)計(jì)算機(jī)無法再次提供有效的身份信息或者安全狀態(tài)發(fā)生變化，可立即再次將其進(jìn)行隔離，直至其再次修復(fù)完成為止；1對接入網(wǎng)絡(luò)的計(jì)算機(jī)，在其與其它合法計(jì)算機(jī)進(jìn)行IP層通訊之前，要求提供有效的身份信息，并對通訊過程進(jìn)行加密；從而有效的規(guī)避了假冒計(jì)算機(jī)的非授權(quán)網(wǎng)絡(luò)訪問，這也是該解決方案的最大特色。1、5、1、4LanSecSN

25、AC架構(gòu)LanSecSNAC采用四層體系架構(gòu)，從外圍到核心層依次是訪問請求者、策略執(zhí)行者、策略決策者和策略制定/發(fā)布者。如下圖所示：訪問請求者策略執(zhí)行者策略決策者網(wǎng)絡(luò)邊界核心保護(hù)區(qū)域策略執(zhí)行者策略制定/發(fā)布者1訪問請求者：是發(fā)起網(wǎng)絡(luò)訪問請求的主體，可以是安裝或者未安裝LanSecS代理程序的計(jì)算機(jī)。訪問請求負(fù)責(zé)向策略執(zhí)行者發(fā)起網(wǎng)絡(luò)接入請求，并根據(jù)策略執(zhí)行者的要求提供響應(yīng)的身份信息和安全狀態(tài)信息。1策略執(zhí)行者：是將訪問請求者的身份信息和安全狀態(tài)信息轉(zhuǎn)發(fā)給策略決策者，并根據(jù)策略決策者的結(jié)果決定是否允許訪問請求者接入網(wǎng)絡(luò)的主體。一般地，策略執(zhí)行者是網(wǎng)絡(luò)設(shè)備，如交換機(jī)、路由器、防火墻、專用網(wǎng)關(guān)等。策略

26、執(zhí)行者要求訪問請求者提供身份信息證明自己的身份，也要求訪問請求者提供自己的安全狀態(tài)。策略執(zhí)行者并不對這些信息進(jìn)行檢查，而是直接將其轉(zhuǎn)發(fā)給策略決策者，由決策者對其進(jìn)行驗(yàn)證，并得到一個(gè)最終的驗(yàn)證結(jié)果。1策略決策者：策略決策者是對接入請求者提供的身份信息和安全信息進(jìn)行認(rèn)證的主體。在LanSecS解決方案中，它是一個(gè)集成化Radius認(rèn)證服務(wù)。該服務(wù)將認(rèn)證的結(jié)果轉(zhuǎn)發(fā)給策略執(zhí)行者，然后由策略執(zhí)行者決定是否允許計(jì)算機(jī)的接入。1策略制定/發(fā)布者：策略制定/發(fā)布者負(fù)責(zé)維護(hù)全網(wǎng)統(tǒng)一的安全策略，存儲和更新策略請求者的所有相關(guān)信息，如安全狀態(tài)、系統(tǒng)信息、身份信息、資產(chǎn)狀況等。這些信息可以為策略決策者的認(rèn)證過程提供必

27、要的決策依據(jù)。1、5、1、5接入層認(rèn)證LanSecSNAC的接入層認(rèn)證，是由訪問請求者、策略執(zhí)行者和策略決策者三者之間共同完成的。接入層認(rèn)證的目的是判斷接入計(jì)算機(jī)是否可信，并決定其是否可以接入網(wǎng)絡(luò)。如果計(jì)算機(jī)是不可信的，在接入層就可將其阻隔在網(wǎng)絡(luò)外圍，從而較好的保護(hù)了網(wǎng)絡(luò)的安全性。LanSecSNAC的接入層認(rèn)證包含兩個(gè)方面的工作：對接入計(jì)算機(jī)的合法身份進(jìn)行認(rèn)證和對接入計(jì)算機(jī)的安全狀態(tài)進(jìn)行認(rèn)證。為實(shí)現(xiàn)這兩個(gè)目標(biāo)，LanSecSNAC采用了擴(kuò)展的802、lx協(xié)議。接入層認(rèn)證的結(jié)構(gòu)示意圖如下：PostureValidatorPostureValidator客戶端代理網(wǎng)絡(luò)訪問請求器網(wǎng)絡(luò)執(zhí)行控制點(diǎn)網(wǎng)絡(luò)

28、訪問授權(quán)器服務(wù)器端代理安全狀態(tài)檢驗(yàn)12345678訪問請求者策略執(zhí)行者策略決策者PostureCollectorPostureCollector安全狀態(tài)收集LanSecSNAC的接入層認(rèn)證的工作流程如下：1)當(dāng)訪問請求者收到網(wǎng)絡(luò)執(zhí)行控制點(diǎn)的要求認(rèn)證的信息時(shí)，將由LanSecS安全代理收集本地的安全狀態(tài)。這些安全狀態(tài)信息包括防病毒軟件安裝與病毒庫更新狀況、防火墻啟用狀況、補(bǔ)丁修補(bǔ)狀況、進(jìn)程運(yùn)行狀況等等，收集何種安全狀態(tài)，是由策略發(fā)布者統(tǒng)一設(shè)定并下發(fā)至LanSecS安全代理的；2)LanSecS安全代理根據(jù)策略發(fā)布者的安全策略決定采用何種身份認(rèn)證方式，LanSecSNAC支持用戶名/口令、PKI數(shù)

29、字證書以及設(shè)備特征標(biāo)識三種身份信息，它們可以互相組合使用；3)LanSecS安全代理將收集到的安全信息連同身份信息一起發(fā)送給策略執(zhí)行者并等待回應(yīng)；4)策略執(zhí)行者收到安全狀態(tài)信息和身份信息后，將這些信息直接轉(zhuǎn)發(fā)給策略決策者中的Radius服務(wù)，然后等待回應(yīng)；5)策略決策者接受來自策略執(zhí)行者的安全狀態(tài)信息和身份信息，并進(jìn)行解碼工作;6)策略決策者向策略制定/發(fā)布者要求與該請求者相關(guān)的安全狀態(tài)數(shù)據(jù)，并與策略決策者提供的安全狀態(tài)信息進(jìn)行比較。確認(rèn)安裝狀態(tài)是否達(dá)標(biāo)；7)策略決策者通過Radius服務(wù)認(rèn)證請求者的身份信息；8)策略決策者將身份認(rèn)證結(jié)果和安全狀態(tài)認(rèn)證結(jié)果返回給策略執(zhí)行者。策略執(zhí)行者根據(jù)認(rèn)證結(jié)

30、果決定是否運(yùn)行計(jì)算機(jī)接入。在接入層認(rèn)證中，要完整地執(zhí)行認(rèn)證過程，必須在接入計(jì)算機(jī)上安MLanSecS代理。代理負(fù)責(zé)收集計(jì)算機(jī)的安全狀態(tài)。如果僅需要驗(yàn)證身份信息，則可以不必安裝LanSecS代理。對于新入網(wǎng)的計(jì)算機(jī)，LanSecSNAC提供了自動隔離自動修復(fù)的方案，來實(shí)現(xiàn)自動化的LanSecS代理安裝。該技術(shù)方案詳見4、2、3節(jié)。在某些特定的網(wǎng)絡(luò)環(huán)境中，如H3c網(wǎng)絡(luò)環(huán)境，LanSecS接入層可以實(shí)現(xiàn)基于MAC地址的身份認(rèn)證，從而解決基于端口的認(rèn)證模式帶來的身份假冒”問題。對于不支持基于MAC地址認(rèn)證的環(huán)境，則需要依靠4、2、5節(jié)中的IP通訊控制技術(shù)來實(shí)現(xiàn)對一身份假冒”計(jì)算機(jī)的訪問控制。1、5、1

31、、61P通信認(rèn)證雖然安全認(rèn)證網(wǎng)關(guān)可以有效的對核心資源進(jìn)行保護(hù)，杜絕非法接入主機(jī)的惡意攻擊和信息盜竊，但是卻無法阻止非法主機(jī)訪問其它資源。如網(wǎng)絡(luò)中的其它計(jì)算機(jī)和服務(wù)器，這也是眾多接入控制解決方案中最為缺失的一環(huán)。如果無法限制非法主機(jī)訪問網(wǎng)絡(luò)中的任意資源，接入控制也就失去了它的意義。LanSecSNAC通過采用IP通訊控制技術(shù)來解決上述問題。該技術(shù)的根本特點(diǎn)是當(dāng)非法主機(jī)與合法主機(jī)進(jìn)行IP通訊時(shí)，合法主機(jī)會要求非法主機(jī)提供其身份證明，如果非法主機(jī)無法提供有效的身份證明，合法主機(jī)將拒絕與其建立通訊。合法主機(jī)之間由于相互可以驗(yàn)證身份，因此合法主機(jī)之間的IP通訊是被允許的。合法主機(jī)之間的通訊采用PKI數(shù)字

32、證書來標(biāo)識雙方的身份。另外，當(dāng)合法主機(jī)建立IP通訊時(shí),LanSecSNAC還可以對通訊數(shù)據(jù)進(jìn)行加密。從而保證了非法主機(jī)無法監(jiān)聽和竊取這些通訊數(shù)據(jù)。進(jìn)一步保證了網(wǎng)絡(luò)的安全性。LanSecSNAC的IP通訊控制，提供兩種控制措施，一種是身份認(rèn)證、一種是數(shù)據(jù)加密。LanSecSNAC采用了專有的協(xié)議，該協(xié)議負(fù)責(zé)對IP數(shù)據(jù)進(jìn)行封裝。封裝后的IP數(shù)據(jù)攜帶有認(rèn)證信息，并且IP數(shù)據(jù)被加密。封裝示意圖如下：認(rèn)證頭的目的是用來增加IP數(shù)據(jù)包的安全性。認(rèn)證頭提供無連接的完整性、數(shù)據(jù)源認(rèn)證服務(wù)，認(rèn)證頭提供IP數(shù)據(jù)報(bào)完整性和身份認(rèn)證機(jī)制，但是不提供數(shù)據(jù)機(jī)密性保護(hù)。LanSecSNAC驗(yàn)證頭提供了兩種認(rèn)證算法：一種是基

33、于對稱加密算法（如DES），另一種是基于單向哈希算法（如HD5或SHA-1）。LanSecSNAC驗(yàn)證頭對上層協(xié)議數(shù)據(jù)（傳輸層數(shù)據(jù)）和IP頭中的固定字段提供認(rèn)證保護(hù)。LanSecSNAC支持基于PKI數(shù)字證書的身份認(rèn)證方式和共享密碼的認(rèn)證方式。前者安全性更高。加密頭用于提高Internet協(xié)議（IP）協(xié)議的安全性。它可為IP提供機(jī)密性、數(shù)據(jù)完整性等安全服務(wù)功能。其中，數(shù)據(jù)機(jī)密性是加密頭提供的基本功能，數(shù)據(jù)完整性檢驗(yàn)是可選的。加密頭將需要保護(hù)的用戶數(shù)據(jù)進(jìn)行加密后再重新封裝到新的IP數(shù)據(jù)包中。從而保證了IP數(shù)據(jù)包網(wǎng)絡(luò)傳輸?shù)陌踩浴anSecSNAC通過對IP層數(shù)據(jù)附加認(rèn)證頭和加密頭的方式，將傳統(tǒng)

34、的IP協(xié)議的開放性變?yōu)樗接袇f(xié)議。這種協(xié)議只能被安裝了LanSecSNAC代理程序的計(jì)算機(jī)所識別。也就是說，所有安裝了LanSecSNAC代理程序的計(jì)算機(jī)之間都可以進(jìn)行IP數(shù)據(jù)通訊，而未安裝LanSecSNAC代理程序的計(jì)算機(jī)則無法與安裝有LanSecSNAC代理程序的計(jì)算機(jī)通訊。這種機(jī)制，保證了接入計(jì)算機(jī)的通訊控制，如果接入計(jì)算機(jī)是非法的，可以通過安裝認(rèn)證控制，保證接入計(jì)算機(jī)無法安裝LanSecSNAC代理程序，因而也就無法與接入網(wǎng)絡(luò)的合法計(jì)算機(jī)進(jìn)行通訊。減少了“假冒身份”計(jì)算機(jī)給網(wǎng)絡(luò)帶來的安全風(fēng)險(xiǎn)。1、5、1、7動態(tài)監(jiān)測與阻斷當(dāng)接入計(jì)算機(jī)通過了身份認(rèn)證和安全狀態(tài)認(rèn)證后，就獲得了接入網(wǎng)絡(luò)的許可

35、范圍網(wǎng)絡(luò)上任何授權(quán)的資源。但LanSecSNAC認(rèn)為網(wǎng)絡(luò)安全是動態(tài)的，這包括兩層含義：一是接入計(jì)算機(jī)的身份，尤其是安全狀態(tài)是動態(tài)變化的；二是網(wǎng)絡(luò)管理人員可以根據(jù)最新的安全動態(tài)修改和發(fā)布新的安全策略。任何一項(xiàng)更改，都可以導(dǎo)致接入計(jì)算機(jī)的安全狀態(tài)與最新安全策略的要求相背。有鑒于此，LanSecSNAC實(shí)行的是對接入計(jì)算機(jī)進(jìn)行動態(tài)監(jiān)測，監(jiān)測的內(nèi)容包括身份確認(rèn)、安全狀態(tài)確認(rèn)等。如果動態(tài)監(jiān)測的結(jié)果表明該計(jì)算機(jī)的身份和安全狀態(tài)等與安全策略的要求不符，LanSecSNAC會強(qiáng)制隔離該計(jì)算機(jī)，直至該計(jì)算機(jī)重新修復(fù)到與安全策略一致的狀態(tài)，方可再次接入網(wǎng)絡(luò)。LanSecSNAC的動態(tài)監(jiān)測示意圖如下：認(rèn)證服務(wù)器工作

36、區(qū)修復(fù)區(qū)身份+安全狀態(tài)LanSecSNAC代理程序負(fù)責(zé)接入計(jì)算機(jī)的身份和安全狀態(tài)的重認(rèn)證。重認(rèn)證周期是由策略服務(wù)器指定的。LanSecSNAC根據(jù)策略服務(wù)器發(fā)布的重認(rèn)證策略，周期性地提交計(jì)算機(jī)的身份信息和最新安全狀態(tài)信息，提交給認(rèn)證服務(wù)器進(jìn)行認(rèn)證。當(dāng)認(rèn)證成功時(shí)，保持計(jì)算機(jī)的接入，當(dāng)認(rèn)證失敗時(shí)，則強(qiáng)制計(jì)算機(jī)進(jìn)入修復(fù)區(qū)域。計(jì)算機(jī)在修復(fù)區(qū)域可以手動或者自動對計(jì)算機(jī)進(jìn)行修復(fù)，修復(fù)完成，經(jīng)過再次認(rèn)證后，可以再次接入網(wǎng)絡(luò)。LanSecSNAC會周期性的執(zhí)行上述過程，以保證接入計(jì)算機(jī)的可控性。1、6資產(chǎn)管理1、6、1資產(chǎn)信息采集LanSecS內(nèi)網(wǎng)安全管理系統(tǒng)支持自動和手動方式進(jìn)行資產(chǎn)采集，自動方式：由客戶端

37、Agent自動讀取系統(tǒng)硬件驅(qū)動信息及軟件安裝信息，并將結(jié)果上傳至服務(wù)器。系統(tǒng)可全面的收集終端系統(tǒng)的網(wǎng)絡(luò)配置信息，不僅包括：IP地址、MAC地址、計(jì)算機(jī)名稱，還包括：網(wǎng)絡(luò)掩碼、DNSs網(wǎng)關(guān)地址等。LanSecS內(nèi)網(wǎng)安全管理系統(tǒng)對收集到的資產(chǎn)信息不會重復(fù)收集，只有新增的或者變化的資產(chǎn)信息才會重新上報(bào)到服務(wù)器。系統(tǒng)對上報(bào)過程可以控制，管理員可設(shè)定上報(bào)的周期（從秒級到數(shù)個(gè)小時(shí)），信息的上報(bào)采用序列化的數(shù)據(jù)組織方式，當(dāng)本次上傳失敗時(shí)，系統(tǒng)會自動記憶最后一次上報(bào)的記錄位置，下次上報(bào)則從斷點(diǎn)處繼續(xù)上報(bào)。系統(tǒng)支持對客戶端占用的網(wǎng)絡(luò)帶寬進(jìn)行控制，客戶端只能在規(guī)定的帶寬范圍內(nèi)使用網(wǎng)絡(luò)資源?？蛻舳舜砜赏ㄟ^直接讀取

38、系統(tǒng)硬件驅(qū)動信息及已安裝的軟件信息，硬件驅(qū)動信息不僅包括：CPU、內(nèi)存、主板、物理磁盤、網(wǎng)卡、顯卡、顯示器、外設(shè)、IDE通道、網(wǎng)絡(luò)配置等信息，還包括：USB移動存儲設(shè)備、軟驅(qū)、光驅(qū)、打印機(jī)、撥號連接設(shè)備、串并口、1394通信端口、紅外及PCMCIA口等。已安裝的軟件信息是通過直接讀取系統(tǒng)注冊表中“安裝/刪除程序”所列部分，包括：已安裝軟件的軟件名稱、版本、安裝時(shí)間、最后使用時(shí)間、使用頻率及發(fā)現(xiàn)時(shí)間等。對桌面終端的軟件資產(chǎn)信息采集后，將相關(guān)數(shù)據(jù)分類存放到數(shù)據(jù)庫系統(tǒng)，不僅提供IP/MAC地址綁定功能，可綁定內(nèi)容還包括：網(wǎng)絡(luò)掩碼、網(wǎng)關(guān)地址、DNS及IP地址方式等。客戶端代理在接收到綁定策略后，先將需

39、要綁定的參數(shù)進(jìn)行加密存儲，然后實(shí)時(shí)檢測策略中需綁定項(xiàng)，一旦發(fā)現(xiàn)變更，立即將原數(shù)據(jù)還原。1、6、2硬件資產(chǎn)信息管理LanSecS系統(tǒng)根據(jù)管理員下發(fā)的資產(chǎn)管理策略中定義的時(shí)間周期，會定期將檢測到的終端設(shè)備硬件信息上傳至服務(wù)器，服務(wù)器中間件會根據(jù)不同終端將資產(chǎn)信息對應(yīng)存入數(shù)據(jù)庫。系統(tǒng)提供硬件信息快速檢索功能，用戶管理員可根據(jù)檢索條件，查詢到符合條件的終端主機(jī)列表，雙擊主機(jī)列表，可跳轉(zhuǎn)到該主機(jī)的基本情況頁面，并可查詢該主機(jī)相關(guān)的策略、資產(chǎn)、事件等信息。LanSecS系統(tǒng)可實(shí)時(shí)檢測終端計(jì)算機(jī)硬件變化，包括新硬件的啟用、已注冊硬件的停用及已注冊硬件型號（品牌、數(shù)量等）變更，不僅可詳細(xì)記錄變更情況（審計(jì)日志

40、上傳至服務(wù)器），還可根據(jù)報(bào)警策略，通過客戶端本地消息，在第一時(shí)間進(jìn)行報(bào)警。LanSecS系統(tǒng)提供實(shí)時(shí)預(yù)警平臺，可實(shí)時(shí)檢測終端硬件變化情況，可對資產(chǎn)變更信息作詳細(xì)記錄，包括：檢測變更時(shí)間、變更部件名稱、變更前類型、變更后類型等，針對不同報(bào)警項(xiàng)，可設(shè)置報(bào)警策略、報(bào)警級別、報(bào)警方式等。1、6、3軟件資產(chǎn)信息管理LanSecS系統(tǒng)根據(jù)管理員下發(fā)的資產(chǎn)管理策略中定義的時(shí)間周期，會定期將檢測到的終端設(shè)備軟件信息上傳至服務(wù)器，服務(wù)器中間件會根據(jù)不同終端將軟件資產(chǎn)信息對應(yīng)存入數(shù)據(jù)庫。LanSecS系統(tǒng)提供軟件信息快速檢索功能，用戶管理員可根據(jù)檢索條件（軟件名稱、部門），查詢到符合條件的終端主機(jī)列表，雙擊主機(jī)列

41、表，可跳轉(zhuǎn)到該主機(jī)的基本情況頁面，并可查詢該主機(jī)相關(guān)的策略、資產(chǎn)、事件等信息。LanSecS系統(tǒng)根據(jù)管理員下發(fā)的資產(chǎn)管理策略中定義的時(shí)間周期，會定期將檢測到的終端設(shè)備最新的軟件資產(chǎn)信息（包括軟件的新安裝、卸載、版本變更等）上傳至服務(wù)器，服務(wù)器中間件會根據(jù)不同終端將軟件資產(chǎn)信息的更新至數(shù)據(jù)庫。LanSecS系統(tǒng)可實(shí)時(shí)檢測終端計(jì)算機(jī)軟件變化，包括新軟件的安裝、已注冊軟件的卸載及已注冊軟件信息（版本、安裝位置等）變更，不僅可詳細(xì)記錄變更情況（審計(jì)日志上傳至服務(wù)器），還可根據(jù)報(bào)警策略，通過客戶端本地消息，在第一時(shí)間進(jìn)行報(bào)警。系統(tǒng)具有統(tǒng)一的報(bào)警管理中心，所有報(bào)警信息均統(tǒng)一由報(bào)警管理中心處理。所有報(bào)警信息均存儲到數(shù)據(jù)庫中，當(dāng)新的報(bào)警事件產(chǎn)生時(shí)，系統(tǒng)將根據(jù)管理員的設(shè)置，采取下列報(bào)警方式提醒用戶：1）界面報(bào)警：以動態(tài)列表的方式顯示新的報(bào)警信息;2）郵件報(bào)警：根據(jù)管理員設(shè)定的郵件地址，將報(bào)警信息發(fā)送給郵件接收人；3）短信報(bào)警：根據(jù)設(shè)定的短信參數(shù)，將報(bào)警信息發(fā)送到指定的手機(jī)；另外，系統(tǒng)還支持與第三方的短信平臺的集成，將報(bào)警信息直接發(fā)送到第三方短信平臺處理。1、6、4基于網(wǎng)絡(luò)資源的管理系統(tǒng)不僅提供IP/MAC地址綁定功能，可綁定內(nèi)容還包括：網(wǎng)絡(luò)掩碼、網(wǎng)關(guān)地址、DNS及IP地址獲取方式等?？蛻舳薃gent在接收到綁定策略后，先將需要綁定的參數(shù)進(jìn)行加密存儲，然后實(shí)時(shí)檢測策