西安安智科技-SPM安全策略管理系统

产品定位
有内部网络和安全管理需求的政府、企业、学校及各种行业用户。

需求分析
在您的网络中是否存在以下问题：

花费巨额购买的安全设备却无法防止来自内部的攻击和互相之间的非法访问 ;
终端用户擅自在主机上安装非法软件，导致系统性能下降、安全问题倍增 ;
上班时间终端用户私自打游戏、访问非法网站，管理员却没有办法发现和阻止 ;
企业的 IT 资产无法自动统计和防止遗失 ;
已经安装了最新的防病毒软件，但当很多病毒或木马出现时仍然防不胜防 ;
微软发布了很多补丁，如何才能快速地给每个客户端部署下去？
管理员人数有限，要维护和监控众多的终端主机显得人手不够；或者维护支持中心人手太多，导致成本过高 ;
终端主机经常需要重装操作系统，浪费了管理员很多时间 ;
网络很大，经常有外来的用户私自接入单位内网，导致信息泄密或带来病毒 ;
涉密网的用户私自通过无线设备或拨号等方式上网 ;
单位内有很多非常敏感的信息在不知不觉中被泄漏出去 ;
安全服务厂商制定了非常丰富的安全策略，却无法有效的实施？
单位要求所有相关人员遵循安全策略，了解安全知识，导致培训成本急剧增加 ;
单位内不同部门要有不同的安全考虑，一般设备很难实现 ;
……

针对以上问题，安智科技推出了业界领先的安全策略管理解决方案，来帮助用户构建安全、高效、可靠的网络环境。

产品概述
安全策略管理系统（ SPM ）采用集成化网络安全防卫思想，遵循 P2DR 安全模型 ，应用集成防卫的理论与技术，采用分布式的体系结构，通过集中化的安全管理控制将为客户提供一套完整的安全策略的制定、发布、执行的平台；在降低网络安全管理成本的同时，能有效的保护网络和主机系统的安全，既能防止内部的信息泄漏，也可以阻止内外的攻击。

系统组成
统支持平台（SSP）
负责系统的认证授权、日志管理、策略管理的后台支持；保存着企业信息资产和安全策略数据库；负责收集整个系统的安全信息、策略的发布和保存；为管理人员提供管理接口；为强认证网关提供安全策略联动确认服务，从而形成联动安全防御体系。支持分布式部署，能够适用于大规模网络环境的应用。

策略管理中心（PMC）
为管理人员提供图形化操作界面，与系统支持平台建立安全通讯，完成系统的各项管理和操作功能，如用户管理、策略定义和应用、系统设置、日志查询和报表分析等。

策略执行点（PEP）
安装在受保护的终端主机（如个人主机、笔记本电脑、服务器等）中，是企业安全策略的具体执行者，负责保护终端主机的安全，同时对终端用户的访问行为进行审计。

日志与审计服务（Log）
负责完成来自终端用户和管理人员日志的收集和审计。

SPM 强认证网关（SPM－GW）
该部分为可选项。放置在网络的边界处，负责对访问敏感信息资源的用户进行身份鉴别，防止未通过 SPM 认证用户访问该敏感区域的网络资源。

产品形态
工作组级 部门级 企业级
SSP 硬件描述 网络接口 100M × 2 1000M×1+100M×1 1000M × 2
性能描述 并发在线用户数 300 1000 2000
管理描述 组织机构级别 3 5 5

产品功能
使用 SPM ，终端用户可以透明地获得各种不同层面的安全保护， SPM 系统为客户提供了以下功能模块。

分类 小类 软件界面功能体现 对客户的价值
在线安全策略 个人防火墙策略 基于灵活的协议和端口访问控制
基于 Netbios 的文件共享控制
客户端之间通信保证
防止网络黑客的攻击
防止未授权的访问
保护终端主机的安全

网络应用程序策略 IE 、 Outlook 等应用软件版本控制、完整性校验
自定义特定网络程序文件版本控制、完整性校验
限制用户安装和执行非法或禁止的网络应用程序
本机应用程序策略 限制腾讯 QQ 、单机游戏、媒体播放器等本机程序
灵活的自定义本机应用程序
限制间谍软件的运行
限制非法软件的使用

设备控制策略 控制存储设备、打印设备使用
控制上网设备使用
控制 1394 、红外设备等使用
防止用户滥用硬件设备
防止保密信息通过外部存储设备散播出去

移动存储设备审计 对通过 USB 、软盘、光盘拷贝的文件进行内容记录和审计 防止敏感文件的泄漏
注册表策略 保护 IE 启动、系统启动配置等项不被病毒修改
保护自定义的注册表项不被病毒或终端用户修改
保护主机注册表信息的安全。
打印策略 限制用户可使用的打印机类型
可限制的打印机类型包括：本地打印机、网络打印机、网络邻居打印机、本地文件、其他打印机
防止用户滥用打印资源
防止保密信息通过打印设备散播出去

防病毒联动策略 和kill 、金山、Symantec、Trend Micro、Kaspersky、Mcafee等知名防病毒软件联动 统一管理防病毒软件，形成自防御的安全网络体系
软件联动策略 系统补丁的强制升级
应用软件的强制升级
保证整个网络内主机安全的及时性和同步性
高级策略 客户端自动升级
群发信息通知
保证整体内网主机的客户端软件的最新版本
信息过滤 基于权值的智能化内容过滤
提供网站黑白名单和基于地址对象的网站过滤
限制访问非法网站
限制发布非法帖子

离线保护策略 在线安全策略中的全部内容 防止用户在离线时进行非法操作和泄密
其他安全功能 非法用户发现 及时发现网络中的非法用户，同时支持跨广域网检测
控制非法用户对合法用户的访问
防止非法用户联入内网
用户行为管理 禁止客户端修改 IP
IP 、 MAC 和主机信息与用户名绑定
防止用户任意篡改网络配置导致管理混乱
上网时长限制 基于时长的资费限制
基于资费的时长限制
限制用户的网络访问时间
保证工作效率

文件保护 客户可自定义的文件保护功能
指定文件或目录的定义读、写、删除操作权限
防止保密文件被别人窃取和修改
资产管理 自动收集客户端软、硬件配置信息
动态检测各主机硬件配置的变化， 保证硬件资产不被更换和丢失； 动态监测各主机软件的变化
保证客户 IT 资产不被滥用，防止终端用户非法安装程序
个人主机系统和数据备份与恢复 动态、快速备份和恢复某个分区的系统和数据
动态、快速备份和恢复整个硬盘的系统和数据
智能化的数据备份，在操作系统补丁安装后自动对客户端主机进行数据备份
避免对客户端主机频繁重装系统，降低管理员的维护工作量，防止未知病毒对系统的破坏。
自防御体系 客户端防卸载，避免客户端试图逃避检查
和主流防病毒软件联动，集中管理多种防病毒软件
将未安装系统补丁或未达到安全级别的用户进行隔离
和网关（可选）联动，实现网络准入
和 802.1X 网络设备联动，实现网络准入
和其他安全产品形成立体、纵深的安全防御体系
网络
监控 用户行为监控 监控客户端主机基本信息