SPM安全策略管理系统English

产品定位

有内部网络和安全管理需求的政府、企业、学校及各种行业用户。

需求分析

在您的网络中是否存在以下问题：

• 花费巨额购买的安全设备却无法防止来自内部的攻击和互相之间的非法访问 ;
• 终端用户擅自在主机上安装非法软件，导致系统性能下降、安全问题倍增 ;
• 上班时间终端用户私自打游戏、访问非法网站，管理员却没有办法发现和阻止 ;
• 企业的 IT 资产无法自动统计和防止遗失 ;
• 已经安装了最新的防病毒软件，但当很多病毒或木马出现时仍然防不胜防 ;
• 微软发布了很多补丁，如何才能快速地给每个客户端部署下去？
• 管理员人数有限，要维护和监控众多的终端主机显得人手不够；或者维护支持中心人手太多，导致成本过高 ;
• 终端主机经常需要重装操作系统，浪费了管理员很多时间 ;
• 网络很大，经常有外来的用户私自接入单位内网，导致信息泄密或带来病毒 ;
• 涉密网的用户私自通过无线设备或拨号等方式上网 ;
• 单位内有很多非常敏感的信息在不知不觉中被泄漏出去 ;
• 安全服务厂商制定了非常丰富的安全策略，却无法有效的实施？
• 单位要求所有相关人员遵循安全策略，了解安全知识，导致培训成本急剧增加 ;
• 单位内不同部门要有不同的安全考虑，一般设备很难实现 ;

……

针对以上问题，安智科技推出了业界领先的安全策略管理解决方案，来帮助用户构建安全、高效、可靠的网络环境。

产品概述

安全策略管理系统（ SPM ）采用集成化网络安全防卫思想，遵循 P2DR 安全模型 ，应用集成防卫的理论与技术，采用分布式的体系结构，通过集中化的安全管理控制将为客户提供一套完整的安全策略的制定、发布、执行的平台；在降低网络安全管理成本的同时，能有效的保护网络和主机系统的安全，既能防止内部的信息泄漏，也可以阻止内外的攻击。

系统组成

系统支持平台（SSP）

负责系统的认证授权、日志管理、策略管理的后台支持；保存着企业信息资产和安全策略数据库；负责收集整个系统的安全信息、策略的发布和保存；为管理人员提供管理接口；为强认证网关提供安全策略联动确认服务，从而形成联动安全防御体系。支持分布式部署，能够适用于大规模网络环境的应用。

策略管理中心（PMC）

为管理人员提供图形化操作界面，与系统支持平台建立安全通讯，完成系统的各项管理和操作功能，如用户管理、策略定义和应用、系统设置、日志查询和报表分析等。

策略执行点（PEP）

安装在受保护的终端主机（如个人主机、笔记本电脑、服务器等）中，是企业安全策略的具体执行者，负责保护终端主机的安全，同时对终端用户的访问行为进行审计。

日志与审计服务（Log）

负责完成来自终端用户和管理人员日志的收集和审计。

SPM 强认证网关（SPM－GW）

该部分为可选项。放置在网络的边界处，负责对访问敏感信息资源的用户进行身份鉴别，防止未通过 SPM 认证用户访问该敏感区域的网络资源。

产品形态

		工作组级	部门级	企业级
SSP 硬件描述	网络接口	100M × 2	1000M×1+100M×1	1000M × 2
性能描述	并发在线用户数	300	1000	2000
管理描述	组织机构级别	3	5	5

产品功能

使用 SPM ，终端用户可以透明地获得各种不同层面的安全保护， SPM 系统为客户提供了以下功能模块。

分类	小类	软件界面功能体现	对客户的价值
在线安全策略	个人防火墙策略	基于灵活的协议和端口访问控制 基于 Netbios 的文件共享控制 客户端之间通信保证	防止网络黑客的攻击 防止未授权的访问 保护终端主机的安全
	网络应用程序策略	IE 、 Outlook 等应用软件版本控制、完整性校验 自定义特定网络程序文件版本控制、完整性校验	限制用户安装和执行非法或禁止的网络应用程序
	本机应用程序策略	限制腾讯 QQ 、单机游戏、媒体播放器等本机程序 灵活的自定义本机应用程序	限制间谍软件的运行 限制非法软件的使用
	设备控制策略	控制存储设备、打印设备使用 控制上网设备使用 控制 1394 、红外设备等使用	防止用户滥用硬件设备 防止保密信息通过外部存储设备散播出去
	移动存储设备审计	对通过 USB 、软盘、光盘拷贝的文件进行内容记录和审计	防止敏感文件的泄漏
	注册表策略	保护 IE 启动、系统启动配置等项不被病毒修改 保护自定义的注册表项不被病毒或终端用户修改	保护主机注册表信息的安全。
	打印策略	限制用户可使用的打印机类型 可限制的打印机类型包括：本地打印机、网络打印机、网络邻居打印机、本地文件、其他打印机	防止用户滥用打印资源 防止保密信息通过打印设备散播出去
	防病毒联动策略	和kill 、金山、Symantec、Trend Micro、Kaspersky、Mcafee等知名防病毒软件联动	统一管理防病毒软件，形成自防御的安全网络体系
	软件联动策略	系统补丁的强制升级 应用软件的强制升级	保证整个网络内主机安全的及时性和同步性
	高级策略	客户端自动升级 群发信息通知	保证整体内网主机的客户端软件的最新版本
	信息过滤	基于权值的智能化内容过滤 提供网站黑白名单和基于地址对象的网站过滤	限制访问非法网站 限制发布非法帖子
离线保护策略	在线安全策略中的全部内容		防止用户在离线时进行非法操作和泄密
其他安全功能	非法用户发现	及时发现网络中的非法用户，同时支持跨广域网检测 控制非法用户对合法用户的访问	防止非法用户联入内网
	用户行为管理	禁止客户端修改 IP IP 、 MAC 和主机信息与用户名绑定	防止用户任意篡改网络配置导致管理混乱
	上网时长限制	基于时长的资费限制 基于资费的时长限制	限制用户的网络访问时间 保证工作效率
	文件保护	客户可自定义的文件保护功能 指定文件或目录的定义读、写、删除操作权限	防止保密文件被别人窃取和修改
	资产管理	自动收集客户端软、硬件配置信息 动态检测各主机硬件配置的变化， 保证硬件资产不被更换和丢失； 动态监测各主机软件的变化	保证客户 IT 资产不被滥用，防止终端用户非法安装程序
	个人主机系统和数据备份与恢复	动态、快速备份和恢复某个分区的系统和数据 动态、快速备份和恢复整个硬盘的系统和数据 智能化的数据备份，在操作系统补丁安装后自动对客户端主机进行数据备份	避免对客户端主机频繁重装系统，降低管理员的维护工作量，防止未知病毒对系统的破坏。
	自防御体系	客户端防卸载，避免客户端试图逃避检查 和主流防病毒软件联动，集中管理多种防病毒软件 将未安装系统补丁或未达到安全级别的用户进行隔离 和网关（可选）联动，实现网络准入 和 802.1X 网络设备联动，实现网络准入	和其他安全产品形成立体、纵深的安全防御体系
网络 监控	用户行为监控	监控客户端主机基本信息和系统资源利用率情况 监控客户端主机当前的进程、服务情况 监控客户主机网卡状态以及动态网络流量 监控客户端的硬件设备和软件安装使用情况	及时发现潜在问题，及时发现并协助用户弥补安全漏洞，远程协助用户进行安全检测
	屏幕监控	授权情况下，可监控并控制客户端主机的屏幕、键盘和鼠标（该功能可选）	监控违法行为
	远程维护	客户端用户许可情况下的远程维护	降低维护成本
辅助 功能	管理功能	针对用户群的消息广播 针对单一用户的消息发送 管理端和客户端远程对话和互传文件	便于管理员远程维护和管理
审计 管理	权限分配	系统管理员、日志管理员、特权管理员三权分立，互相制约。	互相制约，保证安全
	日志类别	提供多种日志类别和告警方式，利于分析和查询。 提供标准可信时间源，保证所有日志时间一致 提供多种日志报表和审计工具，方便管理员管理	标准、可信的日志 方便的审计管理
性能 特性	整体性能	一个管理员即可管理全网内所有的主机安全 支持远程跨广域网管理 支持分布式部署、负载均衡	简化网络管理 避免网关设备造成的性能瓶颈
	客户端性能	CPU平均占用率<1% 、 物理内存占用<3M
	网络性能	网络平均带宽占用率<1‰
	支持的客户端类型	Win2K ， WinXP ， winNT,Win2003 Win9X 提供部分功能

* 以上功能随版本不同而不同，请采购时与销售代表联系