IP-guard内网安全解决方案.docx

IP-guard内网安全管理整体解决方案广州网宝信息科技有限公司 目 录一、概述3二、企业内网安全需求分析：3三、IP-guard内网安全整体解决方案73.1信息防泄漏的三重保护73.1.1第一重，详尽细致的操作审计73.1.2第二重，全面严格的操作控制103.1.3第三重，安全稳定的透明加密123.1.4客户收益143.2 应用效率的管理153.2.1 对工作情况进行统计分析153.2.2 网络流量统计分析153.2.3 对行为进行控制管理153.2.4 对网络流量的控制管理163.2.5 客户收益163.3系统的维护和资产管理173.3.1 对计算机基本属性的保护173.3.2 实时查看客户端运行状态173.3.3 对使用者进行远程协助173.3.4 系统补丁和漏洞管理183.3.5资产管理183.3.6客户收益19四、IP-guard方案优势205.1 易部署205.2 易使用205.3 易管理205.4 功能全面205.5 运行稳定，值得信赖205.6灵活扩展215.7 强大的技术支持21五、IP-guard介绍22六、关于我们28IP-guard成功案例31IP-guard荣誉客户37内网安全法律法规39一、概述内网安全系统管理的市场背景随着网络的高度发达，人、数据和各种事物已经以不同方式联入网络，各个领域的边界也正在逐渐溶解，领域之间交互的信息量激增，新的协作方式导致信息的流转变得更为复杂。对于企业来说，在进行商务活动的时候始终面临着各种风险，这些风险是固有的，不仅存在于企业与客户和合作伙伴的日常接触之中，也存在于企业内部。信息系统作为企业商务活动的重要组成系统，同样也无法避免各种风险的威胁。IT系统的依赖度与IT风险的关系就像中国的典故“水涨船高”，即依赖度越强，IT风险越大。调查显示，2011年，企业内网的风险主要存在以下几个方面：首先，信息资产已经成为任何企业、组织发展壮大的至关重要的因素，但这些资产却暴露在越来越多的威胁之中。除了传统的黑客、病毒等来自互联网外部的攻击，根据美国FBI 调查显示，80%的安全威胁来自企业内部，将近60%的离职者或被辞退者在离开时会携带企业数据。来自中国公安部的调查也显示，国内75%以上的泄密事件是由内部员工造成的。内部泄密是造成企业信息泄漏的最大原因。因此在信息化时代，上至国家政府机构，下到企业商业机构，都在遭受一场空前的内部信息防泄漏考验。同时，Ponemon研究机构得出，数据泄漏事故对企业造成的损失成本已经持续增长五个年头，2010年高达720万美元，每条泄漏记录的平均成本增加到214美元。其次，企业内部员工对网络资源的滥用令人触目惊心，工作效率低下。网上游戏，网上聊天，网上炒股等网络行为严重地分散了员工的精力，根据Dynamic Markets Limited对全球办公室上网情况的调查：在上班时间，中国员工每周比其他国家的员工多花7.6小时来使用即时通讯工具、玩游戏、P2P下载或在线媒体。中国员工上网下载音乐的时间比拉美国家高16%，进入聊天室和玩在线游戏花费的时间分别比其他国家高约8%和12%。在互联网发达的印度，只有26% 员工在工作场合浏览个人信件，而在中国，这个数字则是60%。我们可以按以下方法大致估算出一个普通员工每年浏览业务无关网站带来的生产力流失，以职工年平均工资30000元为标准，工作时间一年240天，每天8小时来计算，平均每小时工资15.6元左右，我们按照这一单位小时工资标准，乘以个人与业务无关的浏览时间（仅计算15%的生产力流失），最后乘以企业员工的数目。按照这种方式可以大致估算出这样一个500名员工的企业，每年将损失人民币约220万元在与业务无关的网络浏览上，而且大多数企业员工的实际收入远远高于这个平均值。另外，企业规模的逐年扩大，内部的IT资产管理和终端维护工作量剧增。由于缺少高效的管理工具，这些基本的工作消耗了IT管理人员大量的精力和时间，即使整日东奔西走，问题仍不断出现且越来越难以及时解决，甚至威胁到企业的网络安全。轻松应对各种小而繁琐的系统管理问题，是每一个企业的IT部门需要解决的问题。对于内网安全问题，国家非常重视，颁布了专门的法律要求对企业内部的信息安全采取强制保护。2004年国家颁布了关于信息安全等级保护工作的实施意见明确规定了对政府、军工领域展开信息安全等级保护工作。其后的一系列有关等级保护的法律法规中，对于内网安全都有明确要求。2005年03月，公安部发布了第82号令互联网安全保护技术措施规定明确规定接入到互联网上的单位需要通过技术手段对内部上网行为进行审计，审计信息必须留存6个月以上备查。同时，近年颁布的中国版“塞班斯法案”企业内部控制基本规范，也对组织内部信息的存储与传递做出了强制性规定。二、企业内网安全需求分析：内网系统承载了企业绝大部分的业务，企业内网系统能否安全有序地运行直接关系到企业日常工作的开展。从以上企业内网安全现状的分析可看出，企业内网主要存在机密信息防护、上网行为规范、资产和系统管理的安全问题，下面对这三个方面进行详细分析，进而提炼出其安全需求。1、 机密信息保护的安全风险及需求财务报表、技术档案、营销计划等企业珍视的机密资产，一旦泄漏出去，将会带给企业不可估量的影响。但现代企业又经常使用网络、其他工具来提高工作效率，在这样的环境之下，随便上传下载和移动网络中的文件，可以随便很轻松地把企业的许多重要信息流通到网络外部，从而使企业重要的知识产权受到严重侵害。编号存在的风险对应需求1重要资料被有意、无意删除、修改、破坏，缺乏有效手段，即使泄密事件发生，也无从追查。需要建立完善的审计机制，记录文档全生命周期的操作，详细掌握内网操作，做到事前预防，事后追踪。2缺乏合理的文档权限的划分，导致机密文档被随意访问，传播范围扩大。控制核心数据的使用权限，按照部门或级别划分文档的使用权限。3重要文档可通过U盘、智能手机等设备被带出企业而导致的信息外泄。需要管理计算机的外部设备使用，包括U盘、智能手机、MODEM、打印机、光驱等。对内部网络中使用的移动存储设备进行分类和细粒度的权限控制，按照需求禁止使用或做到“内盘内用，外盘外用”4储存在计算机上的敏感、机密信息被随意打印及泄露。需要对打印内容进行记录，同时控制各类型打印机的打印权限。5机密信息通过QQ、MSN、飞信等聊天工具传播出去。需要对即时通讯工具进行监管，包括记录和限制文档的随意外发。6通过普通邮件、lotus、Notes、web等常用E-mail把核心资料传播出去。需要对等各种方式发送的邮件进行控制，并且记录包括附件在内的发送内容。7内部员工通过3G上网卡等连接网络，把信息通过网络带走，或外来计算机非法接入企业内网盗取机密信息。需要对3G上网卡等无线上网设备做控制，同时对外来计算机接入内部网络时进行控制，如未授权，则禁止接入内部网络。8关系企业生存发展的高度机密文档被外泄出去。需要对安全性要求最高的文档，进行文档透明加密，保证敏感资料即使被非法泄露，也无法打开应用。2、 上网行为带来的安全风险及其需求安全、高效，是企业内网都追求的理想状态。因此，企业内部的敏感信息以及员工的行为需要得到有效的控制：一是规范员工的操作行为，确保工作时间的高效率；二是对敏感操作进行控制，防止病毒、木马的危害，降低内网安全风险。编号存在风险对应需求1上班时间炒股、打游戏、使用与工作无关的应用程序需要对应用程序的安装进行控制，限制与工作无关软件的安装。2玩网络游戏、浏览与工作无关的网站、进行与工作无关的网络聊天。需要对终端用户访问的网站、允许使用的网络应用程序进行控制。3疯狂下载电影、歌曲、程序，在线看网络电影、听音乐，滥用内部网络带宽。需要对终端用户使用的网络带宽和网络流量进行控制。4无意或有意访问到黄色、反政府等非法网站，造成病毒、木马泛滥。需要禁止一切黄色、反动、挂马等非法网站，降低内部遭受病毒、木马入侵的风险。5缺乏对员工上网、桌面行为的了解，无法掌握员工的业绩和工作状态。需要应用程序和访问网站记录的统计报表，掌握内部的操作动态。3、 资产和系统的管理的安全风险和需求随着企业规模的扩大，内部的PC数量不断增加，IT部门面对这成百上千甚至过万的PC，缺乏一套完整有效的管理工具，依然沿用单机作业的模式，付出大量时间精力维护系统稳定。其次，IT系统管理的目标之一就是要保证企业计算机系统运行的稳定性和可靠性。倘若出现大规模严重的问题，会使整个单位的生产经营活动都陷入混乱。另外，企业内部的IT资产和非IT资产也在日益增长，如果采用传统的人手统计方式，将会消耗大量时间和精力。编号存在风险对应需求1单位的PC数量越来越多，无法集中管理，一旦大规模出现问题，影响效率的同时还危机企业信息安全。需要通过单一控制台，对内网PC进行统一管理，通过远程维护，集中管理和控制内部所有计算机。2计算机软、硬件数量无法确实掌握，盘点困难需要自动统计企业内部的IT资产，同时对及时更新软硬件变动情况。3硬件设备私下挪用、窃取，造成财产损失需要对异常的软件、硬件变化进行及时报警，提高 IT 管理的准确性、及时性和自动化水平4无法及时更新微软的补丁，造成内部漏洞越来越多，安全风险大需要自动检测PC的补丁安全情况，根据需要及时更新。5软件单机安装浪费人力，应用软件版本不易控制支持程序分发、程序修复、文件分发，方便网内计算机进行软件部署三、IP-guard内网安全整体解决方案3.1信息防泄漏的三重保护推荐功能组合： 文档透明加密 文档操作管控 设备管控 移动存储管控 打印管控 即时通讯管控 邮件管控 应用程序管控 网络控制 屏幕监视 针对企业的内网信息安全管理需求，IP-guard提出信息防泄漏三重保护方案，第一重保护是对内网信息做详尽细致的审计，让我们知道知道发生了什么；第二重保护是对信息的流动做全面严格的控管，让机密信息拿不走；第三重保护是通过安全稳定的加密，使我们重要的信息就算拿走了也不怕。3.1.1第一重，详尽细致的操作审计第一重保护也是最重要的保护。详尽细致的操作审计不仅仅能提供事后审查，更能让我们发现内网安全隐患，增强系统安全性。管理者不知道内部的信息是被谁在使用，何时在使用，信息有进行怎样的流转，那么很难能发现其中可能存在着的安全隐患，也就不知道怎么去防止它泄露。因此对信息的使用和流转进行详细的监督和审计，是一切安全控管行为的前提和基础。详尽细致的操作审计包括以下三方面：3.1.1.1文档全生命周期审计详细记录包括创建、访问、修改、移动、复制、删除在内的每一项文档操作，同时，其他计算机对本机共享文件夹内文档的创建、修改等操作也能一一记录。另外，对于修改、删除等相关操作发生前及时备份，有效防范文档被泄露、篡改和删除的风险。l 详细而完整的记录存储于硬盘、光盘、移动盘、网络盘等各种位置的文档的创建、修改、复制、删除等每一项文档操作。记录对重要文件的访问、以及内部移动操作，关注文档的使用情况，及时了解重要文档被什么人访问过。l 记录修改、删除操作，对敏感内容的修改和删除，可作修改前或删除前备份，防止被有意或无意破坏导致数据丢失。3.1.1.2文档传播全过程审计细致记录文档通过打印机、外部设备、即时通讯工具、邮件等工具进行传播的过程，有效警惕重要资料被随意复制、移动造成外泄。l 详细记录文档的复制、剪切等移动过程，关注往移动存储设备拷贝等操作，并能详细记录移动内容，方便地达到内容审计。l 记录收发的标准协议与Exchange格式邮件的收发内容，以及Lotus和网页邮件的包括附件在内的发送内容。记录的内容包括收件人、发件人、邮件正文及附件等l 应用先进的打印映像记录技术，记录打印内容，可记录各种类型打印机的文档打印映像，即使是OA、ERP中无文档形式的打印内容也能够记录下来。记录映像会上传到服务器上，保证保存的内容即是打印的内容，以备后期审计之用。l 对于使用即时通讯工具进行的文件传输也能进行记录。l 对于一些非经常使用的如智能机同步文件、光盘刻录等操作也会有相应的记录。3.1.1.3桌面行为全面审计除了对文档的审计以外，对于信息安全要求较高的客户使用功能更为强大的桌面行为审计。IP-guard强大的屏幕监控功能严密监视计算机的屏幕画面，无需摄像头即可清楚了解用户的桌面操作。不但能够方便管理者同一时间对多名用户进行观察，还能结合日志对历史屏幕记录情况进行查看。l 能实时跟踪查看网内一台或一组计算机的屏幕画面，同时监控多台计算机当前屏幕状况。IP-guard强大的屏幕监控功能严密监视计算机的屏幕画面，无需摄像头即可清楚了解用户的桌面操作。l 按自定义时间间隔记录计算机屏幕，并可由日志记录直接查看当时屏幕历史。能够将屏幕历史记录输出为wmv格式视频。能通过屏幕历史记录做严格的屏幕审计，查看泄密事件发生时的屏幕情况。l 对计算机硬件的插拔记录，并提供报警。l 对计算机的启动、登录、注销、关闭作详细记录。3.1.1.4安全审计的作用l 可以用作事后审计，追踪责任。对信息使用行为进行有效的监督和审查，能有效地避免法律风险和商业风险。l 可以对可能的窃取行为产生强大的心理威慑力，降低犯罪欲望。l 可以发现可能的危险趋向，及时做出预防。l 可以发现系统里可能存在着的各项风险和隐患，以供补救；3.1.2第二重，全面严格的操作控制第二重保护，就是对机密信息的使用进行全面严格的控管。在了解了文档使用的情况下，我们就可以了解这些机密信息的使用状况，可以制定相应的策略对文档流转进行有效的控管，防止通过各种渠道的主动窃取和被动失密。对于操作控制，应包括以下几方面：3. 1.2.1网络边界防护信息安全防护首先应该做的就是对安全边界的防护，而安全边界的防护，首先应该防护的就是网络边界。网络是信息交流最便捷的地方，也是信息泄露最常见的途径。网络边界防护应该断绝一切与工作无关的网络应用，对工作必须的网络应用，选择性地在规则范围内进行开放。l 网络准入控制。只允许满足要求的计算机接入到网络以内，禁止非法计算机访问网络。阻止外来非法计算机通过接入内网获取重要文件信息。l 网络通信控制。限制计算机的行为规则，限定哪些计算机只能跟哪些计算机进行通讯。可阻隔与外界结计算机的通讯。同时也可对敏感的计算机与其他计算机进行隔离，降低信息泄露的危险。l 邮件控制。能对邮件软件方式的邮件进行控制，可以对指定的发件人、收件人、附件或主题名称等进行邮件和附件的发送控制。3.1.2.2外设边界防护外设边界是除了网络边界外的另外一个重要的安全边界。外部设备种类繁多，并且功能越来越多，对外部设备的管控必须全面、严格而且细致。其中移动存储设备是信息通过设备边界交互最常见的途径，需要更严谨的控制。l 设备控制。限制U盘、移动硬盘、光驱、刻录机等各类存储设备的使用，禁止通讯接口和无线网卡、即插即用网卡等网络设备，避免非法外联，管理声卡等的使用，杜绝视听等无关应用，禁止其他一些新增设备，杜绝安全隐患。l 移动存储控制。能单独控制每一个移动存储设备的读写权限，能将普通移动存储设备格式化为加密盘，是移动存储设备只能在内部使用，做到内盘内用，外盘外用。3.1.2.3内部使用控制对内网信息的使用控制也是信息保护中重要的一环。对重要的信息应该设置对应的使用权限，防止文档的权限失控。另外，须对系统进行加固，原有的操作系统可能存在一定的安全隐患，可能导致无意的信息泄密，应通过技术手段规范设置系统属性。l 文档权限管理。精确控制用户对本地、网络等各种位置的文件甚至文件夹的操作权限，包括访问、复制、修改、删除等，防范非法的文档操作，同时根据用户不同的部门和级别设置相应的文档操作权限。l 打印控制。管理用户对各类打印机的使用权限，包括虚拟打印机、共享打印机、本地打印机、网络打印机等。限制能够进行打印的应用程序，防止对业务系统中的无文档形式打印。l 桌面安全控制。通过对计算机的桌面使用作规范管理，减少安全隐患，降低因无意的过失使用，导致信息泄露。具体内容包括禁止使用控制面板、关闭本地的网络共享、禁止修改网络属性等。3.1.2.4违规报警管理人员必须对违规行为能及时发现，并作出处理。l 用户违规变动系统配置或触发策略时可以报警并警告违规操作，必要时锁定计算机。l 报警信息可发送到指定邮箱，通过邮件的形式告诉相应的响应人员。3.1.2.5操作控制的作用l 严格地对信息的带出进行控制，防范内部人员把机密信息带出单位。l 有效阻止外部人员进入内部窃取资料l 极大降低因安全意识不强造成的信息泄露3.1.3第三重，安全稳定的透明加密虽然我们实行了严格的控管，但是百密难免一疏，例如硬盘失窃或者笔记本电脑失窃，都会造成机密信息的泄露。通过文件加密的方法从源头上对文件进行保护，防止信息泄露。3.1.3.1强制透明加密通过在用户计算机上部署客户端，IP-guard能对需要保护的电子文档进行强制性的加密，合法用户使用时自动解密，整个过程完全自动并且不影响用户原有的使用习惯。l 采用高强度加密技术，对文档进行强制透明加密，使得无论何时何地文档都以密文形式存在。l 提供自定义密钥和选择加密算法，l 在授信环境中，文档能自动解密,丝毫不影响用户原有的使用习惯；在非授信环境中，加密文档则无法正常打开和使用。l 在加密文档的合法使用过程中默认禁止截屏、打印等操作，或者剪切、拖拽加密文档内容到QQ、Email等可能造成泄密的应用3.1.3.2内部权限控制对于多部门多层级的组织，IP-guard引入了分部门分级别的权限控制机制，根据文档所属部门和重要程度贴上标签，用户对不同标签的文档的访问权限的集合组合成其特有的内部文档使用权限。l 根据文档的重要程度不同，可将加密文档划归不同的安全区域和级别，以便让不同部门和职位的用户使用，建立分部门分级别的保密机制。l 用户可灵活调整文档的区域和级别，对重要文档可采取提高其级别的方法来禁止普通用户的使用。l 默认情况下，不允许离线使用加密文档。必要时可单独设置用户离线时能使用的加密软件和使用权限，如只读、禁止复制、编辑、打印等文档操作。3.1.3.3外部沟通安全对于合作伙伴等外部用户，IP-guard提供加密文档阅读器，可以保证外发的加密文档只能被指定的用户在指定的时间内正确的使用，保证加密文档离开内网环境后的安全。l 用户能够对需要进行外发的文档进行加密控制,只允许授权的外部人员查看,防止二次泄密。l 指定外发文档的查看期限以及使用权限。3.1.3.4可靠的防灾机制运用备用服务器机制，应对各种硬件及网络故障，保证系统持续不断的稳定运行。文档备用服务器和紧急模式的启用，保证文档在加密过程中的安全。3.1.3.5文档透明加解密的作用l 时时刻刻、随时随地保护机密信息l 最大限度防止信息外泄3.1.4客户收益一、全方位保护机密数据，避免因信息泄露造成不良影响。通过IP-guard建立全方位、立体化的信息防泄漏体系，针对各种可能信息泄露方式做到事前预防，事中控制，和事后审计，保护信息全生命周期的安全，有力保护财务数据、研发资料等机密资料的安全，避免了因泄密事件带来的巨大损失和不良影响。二、详细掌握内部所有操作。对企业内部的操作行为进行细粒度的审计，建立一套安全、合理、高效的管理规则，使用户操作的更加可视化、规范化、流程化。三、建立分级保密体系，提升企业信息安全水平。IP-guard内建的内部权限控制体系，能够满足实现现代组织结构下多部门多层级的内部保密需求，提高员工保密意识，提升组织信息安全水平，进而提升组织竞争力。四、避免法律和商业等风险“审计-管控-加密”三重保护体系，全面保护企业信息资产，帮助企业专注于核心事业，符合各类保密法律法规的政策要求，同时规避商业、法律、政治上的风险。 五、实现信息安全目标全方位的信息防泄漏解决方案，帮助企业构建 “事前防御事中控制事后审计”的完整的信息防泄漏体系，从而实现信息安全的透明性、可控性和不可否认性目标。六、符合遵守等级保护以及其他相关法律法规的要求完全符合国家正积极推进的等级保护和企业内部控制基本规范等要求加强企业内部信息安全保障工作等法律法规的要求。3.2 应用效率的管理推荐功能组合：文档打印管控 网页浏览管理 网络流量管理 网络通讯控制 设备管控 即时通讯管控 邮件管控 应用程序管理 屏幕监视 IP-guard的应用效率管理主要帮助企业管理者对企业员工的电脑使用行为进行统计分析，帮助管理者及时了解员工的工作状态，从而提高管理者对企业的把握能力和执行力，保证信息系统的应用效率。3.2.1 对工作情况进行统计分析IP-guard可以多角度统计应用程序的使用时间和百分比，可以图表方式显示统计结果。也可通过时间范围，对工作人员，部门或整个网络的计算机的应用程序使用情况进行统计，统计方式多种多样。通过对员工的应用程序使用进行个性化统计和分析，能根据员工使用程序的情况和频率，客观的评估职工的工作情况。3.2.2 网络流量统计分析IP-guard能从多角度统计网络流量资源的使用情况，统计方式包括按地址明细，端口明细，地址类别，端口类别。如：可以查看每一个用户每一个端口的流量，从而可以分析出该员工的工作效率。3.2.3 对行为进行控制管理IP-guard能根据管理者的意愿定义控制策略，控制是否允许客户端计算机上各种应用程序的使用。通过应用程序的控制，达到限制员工进行炒股、游戏等与工作无关的行为，提高员工的工作效率。3.2.4 对网络流量的控制管理IP-guard能通过指定时间范围，网络地址、端口范围、流量方向来限制计算机流量速度范围。避免因为BT下载或在线视听等行为影响了主要业务的流量，导致主要业务不能正常进行。3.2.5 客户收益一、规范网络行为，避免“网络旷工”IP-guard对上网行为进行行之有效的控制和规范，人性化管理企业上网行为，避免“网络旷工”给企业带来的隐形损失，提升业务办公效率，营造良好的工作氛围。二、全面带宽分配管理，保证关键业务应用IP-guard对网络带宽资源统一管理分配，避免BT下载、FTP等无关应用占用企业过多资源，确保关键业务顺利进行，同时还节省了企业的带宽支出。三、直观的统计报表，掌握员工工作动态。直观、清晰的网页浏览时间统计和应用程序统计报表，帮助企业详细掌握用户的桌面行为，同时，全面而细致的审计和分析，可以为企业人事考评提供参考。四、过滤网站访问，降低网络安全风险，规避法律风险利用IP-guard预先对高风险的网站以及色情、反动网站等进行封堵，减少病毒、间谍软件和黑客的侵扰和攻击，同时避免了利用公司资源浏览色情、反动网站等带来的法律风险。3.3系统的维护和资产管理推荐功能组合： 资产管理 远程维护 网络通讯控制 IP-guard的系统管理主要帮助企业的资讯部人员方便合理地管理计算机系统，他能帮助资讯部管理员了解各台计算机运行状态，进行系统安全管理和资产管理，同时还具有出色的远程维护能力，帮助管理员保障系统顺畅运行。3.3.1 对计算机基本属性的保护IP-guard帮助IT管理人员对计算机的基本设置（包括控制面板、系统设置、网络设置等）进行保护，让系统不会因为被随意修改而降低安全性，同时管理各个计算机基本设置能更方便IT管理人员对计算机的管理。3.3.2 实时查看客户端运行状态IP-guard能查看每台计算机的硬件和软件资产信息或按组、计算机来统计硬件和软件分布在哪些计算机。自定义添加企业内的资产信息如路由器、交换机等，并可像其它资产信息一样查询。在软硬件发生变化时，还能记录日志并向管理员报警。他能方便管理者对员工的软、硬件信息进行管理，为排除故障提供依据。为公司其它资产的整理提供了有利条件。IP-guard还能远程维护网络内的计算机当前运行的：应用程序列表、进程列表以及性能，设备管理，系统服务，磁盘管理，共享文件夹，计划任务，用户和组信息等。方便管理员查询任意一台电脑的系统运行状态，对违规的或不正常的程序或进程即时制止。 3.3.3 对使用者进行远程协助管理员可远程连接到客户端桌面，像操作本地计算机一样操作客户端的计算机，可以通过控制台远程连接到员工计算机桌面，方便对计算机系统的维护，排除故障等。管理员可向计算机自动分发安装程序并安装，自动分发各种文件到指定的目录下；或分发其它执行程序到计算机，从而实现安装软件自动化部署，大大提高程序部署的效率；提高IT管理人员的工作效率。3.3.4 系统补丁和漏洞管理IP-guard能通过查看计算机的系统漏洞信息、并给出了手工解决漏洞问题的建议，帮助解除系统的安全隐患，同时减少网管人员的工作量。通过IP-guard能随时查看安装了客户端的计算机补丁情况，及时检测并下载微软的官方的最新补丁，即时给未安装补丁的客户端打上补丁。能提高内网管理的工作效率，降低网络资源成本，保障了系统的安全。3.3.5资产管理IP-guard能查看每台计算机的硬件和软件资产信息或按组、计算机来统计硬件和软件分布在哪些计算机。自定义添加企业内的资产信息如路由器、交换机等，并可像其它资产信息一样查询。在软硬件发生变化时，还能记录日志并向管理员报警。他能方便管理者对员工的软、硬件信息进行管理，为排除故障提供依据。为公司其它资产的整理提供了有利条件。3.3.6客户收益一、集中管理维护，轻松自如掌控借助IP-guard 的集中管理功能，通过单一控制台即能够掌控整个系统的资产和运行信息，同时完成系统的维护，再大规模的系统也能应付自如，帮助IT管理员节约大量时间和精力。二、变被动为主动，降低安全风险IP-guard 对各计算机运行状况进行实时检测，自动扫描补丁和漏洞情况，一改以往出现故障再解决的被动局面，并可通过控制网络通讯，降低病毒攻击的风险。三、提升系统可用性，助力业务发展IP-guard 系统管理解决方案让IT系统时刻运行于顶峰状态，保证业务发展提供动力。四、自动统计IT资产，节省大量人力物力使用IP-guard后，一改以往的手动统计资产模式，自动统计内部资产并及时更新，大大减少IT管理员能工作量，节约了更多人力物力，帮助IT部门更专注企业信息化建设。四、IP-guard方案优势5.1 易部署5.1.1 IP-guard提供直接安装，远程推送和域登陆脚本安装等多种安装方法，方便企业根据自身网络情况选择最便利的方式进行部署。5.1.2 IP-guard具备优异的自我保护功能，能够有效避免用户自行卸载，IT管理人员不需要重复多次部署5.2 易使用5.2.1 IP-guard 界面十分友好，即使是非技术人员也能在短时间内运用自如5.2.2 IP-guard的策略继承与组合机制使得为每一台计算机各自设定策略变得简单易行。5.3 易管理 5.3.1通过灵活的策略继承与组合，IP-guard可以满足管理者多种多样的管理需求5.3.2 IP-guard能够分别针对计算机或者用户进行管理，针对同一台计算机，对不同的用户也可以进行差异性的设置5.4 功能全面IP-guard的解决方案涉及到内网安全管理的方方面面，从网络边界的防护，到计算机桌面安全的防护，全面的解决了用户的内网安全难题。5.5 运行稳定，值得信赖5.5.1 目前已经有超过了4000000的计算机在运行IP-guard，这些计算机分属于22个行业的超过一万家客户。5.5.2 在IP-guard服务的众多客户中，约11%的客户为部署超过1000节点的大规模客户，其中部分客户的服务时间已超过5年。5.5.3 IP-guard的客户遍及国内各行各业以及北美，日本，新加坡和台湾的知名企业，经过众多客户实际运行检验的产品稳定性，深受客户好评。5.6灵活扩展5.6.1 IP-guard的十五项功能相互间能够自由无缝集成，企业可以量体裁衣，小 也可以解决大问题5.6.2 单纯的允许与禁止在现代社会显得简单粗暴，无法满足客户的管理需求，而IP-guard提供的分时，分权限，分内容的多种灵活而又精准管理办法，帮助企业实现人性化管理。5.7 强大的技术支持能根据客户需求完成快速完成二次开发，也能在客户系统出现问题时第一时间作出及时的相应和处理。五、IP-guard介绍IP-guard企业信息监管系统，是一款领先的内网安全软件，它能够协助企业解决最棘手的内网安全问题。借助IP-guard强大的功能,企业能够有效地防范信息外泄，保护信息资产安全；营造健康安全的网络环境，提供工作效率的同时合理分配网络资源；IT人员还能够轻松进行系统维护，保证系统运行时刻处于巅峰状态，促进业务持续发展！目前，已经有近万家企事业单位部署了IP-guard，客户范围遍及科研、金融、军工、电信、教育、电子电气、制造、政府及公共事业单位等众多行业和领域，成功部署超过4百万台电脑，为诸如奔驰汽车、三一重工、索尼电子等国际知名企业和中国500强打造了可信赖的安全内网。另外，IP-guard已推出中文简体版、中文繁体版、英文版、日文版和俄文版5种语言版本，产品更远销至欧美、日本、印度、南非、俄罗斯及港台等36个国家和地区。因深谙用户所需，IP-guard提供模块化的销售方式，共包含15项强大的功能。根据实际需求，用户可以选择不同的模块进行组合，按需取用更能保证IT投资回报率。IP-guard十五大功能模块，依次如下：V+全向文档加密V+全向文档加密系统采用高安全性的透明加密技术保护服务器、终端、移动存储、网络等各类位置的敏感数据，让企业免受疏忽甚至恶意的敏感信息泄露造成的损失。自动而高效地加密图档、代码等各种数据，帮助构建“分级授权，内外有别”的立体信息防泄漏体系。提供系统内部密钥和自定义安全密钥，同时能让客户自由选择加密算法，安全性掌握在客户手中，同时，V+深知文档安全稳定性之重，采用采用虚拟计算技术，保证系统加密文档的安全性和稳定性；还运用了智能缓冲技术，有效减少加密对系统资源的开销。免费提供对各种应用软件的加密支持，方便用户自己选择。文档操作管控完整记录内部网络中的文档使用与传播的全过程，发现违规使用行为，防止文档非法篡改或泄漏。文档操作管控系统提供对PC文档操作的全记录，包括从文件的创建、访问、修改、删除，乃至对于各种各样的文档流转传播，如上传、下载、刻录、发邮件、拷U盘等，甚至连计算机对文档服务器的共享目录的修改和删除操作，以及光盘刻录和智能手机等同步操作也都可以一一记录。并且，还能控制内网所有计算机对某些文档的读取/修改/删除权限；不同的计算机和不同的文档之间可以有不同的权限；支持对指定类型文件或者对整个文件夹的操作权限进行统一管理。对于内部重要的文档，IP-guard可在其被移动、修改或被删除前进行内容备份，防止文档因有意、无意的操作而被破坏。移动存储管控分类规范移动存储设备的使用，移动存储设备读写权限授权的控制与移动盘加密实现“内盘内用，外盘外用”，防范移动存储泄密。首先，移动存储管控系统可自动将在网络中使用过的移动存储设备的信息加入到移动存储类别库中，方便管理人员进行分类管理，例如将企业内部U盘按部门分类规范管理，做到专盘专用。并且，可将企业U盘统一制作成内部专用的加密盘，使其只能在内部使用，在外部无法读取，做到“内盘内用”；禁止外来U盘在企业内部使用，做到“外盘外用”。另外，提供对写入的文档进行自动加密和整盘加密两种灵活的加密方式，让移动存储管理更加安全。设备管控控制几乎所有计算机外部设备的使用，降低外设泄密风险，限制利用外设进行娱乐等无关应用。控制设备的类型包括几乎所有外设，并可选择对任何新设备进行禁用。同时在每一类的设备里，也能把设备的控制细化，如USB设备，会被细分为USB鼠标、USB键盘、USB硬盘等。 控制客户端各种类型的设备： 存储类设备：软/光盘、刻录机、磁带，可移动存储设备等； 通讯类设备：串/并口、SCSI、1394、蓝牙、红外线、MODEM、直接对联线等； USB类设备：USB 键盘、鼠标、MODEM、映像设备、存储、光驱、硬盘和其他USB设备； 网络类设备：无线网卡、即插即用网卡、虚拟网卡等； 其他类设备：声音设备、虚拟光驱等。 另外，设备管控功能还可分时间段灵活控制外设禁用，如上班时间禁止视听、视频娱乐设备，休息时间开放使用。打印管控有效审计每一次打印操作，灵活的控制打印权限，防止纸质渠道的信息外泄与打印浪费。应用打印管控可管理和记录包括虚拟打印机、网络打印机、共享打印机等各种类型打印机的打印操作。详细记录每一次打印操作的时间、用户、文件名等信息，同时还应用先进的打印映像获取技术，记录打印内容，即使是OA、ERP等无文档形式的打印内容也能够记录下来，保存的内容即是打印的内容即时通讯管控完整地审计QQ、MSN等即时通讯工具的聊天记录，了解用户工作状态，防止重要文件经由即时通讯工具泄漏。即时通讯管控提供对QQ、MSN、飞信、雅虎通、UC、SKYPE等多种聊天工具的内容记录，率先支持对QQ、SKYPE等内容加密传输的即时通讯工具的审计，同时还能随着即时通讯工具的升级而不断更新，确保管理有效。另外，能够根据传送文件的名称、文件大小的限制来控制传送文件的权限。并可通过即时通讯工具传送的文件内容。邮件管控帮助记录和审计用户收发的电子邮件，发现违规行为，同时控制电子邮件收发，防止重要信息泄漏。邮件管控系统能详细记录普通邮件和Exchange格式邮件包括附件在内的发送和接收内容，记录Lotus和网页邮件的包括附件在内的发送内容。能够对邮件的发送进行精确的控制，包括按指定的发件人、收件人、邮件主题、邮件大小的发送控制。应用程序管控帮助管理者清楚了解用户使用了哪些应用程序，直观多样的报表辅助制定黑白名单，防范不良程序风险，提升工作效率。可按照部门类型、应用类型等多个角度对应用程序进行分类统计，统计出的应用程序时长及百分比，以清晰的图表形式呈现。能根据管理者的意愿定义控制策略，控制是否允许客户端计算机上各种应用程序的使用；并且自动收集客户端应用程序的特征信息，用户即使将应用程序改名之后管控依然有效。网页浏览管控完整记录用户的网页浏览，限制与工作无关或有风险的网页访问，降低安全风险，提升工作效率。网