项目背景

随着计算机技术、宽带技术的迅速发展，外接设备、U盘、打印机、应用程序、邮件、聊天、浏览网页等也随之发展起来了。

计算机、互联网以及配套的软硬件已经成为人们工作中不可或缺、便捷高效的工具。但是，在享受着计算机办公和互联网应用带来便捷的同时，普遍存在着计算机、互联网滥用的严重问题。

对于现代化的企业，计算机、宽带、打印机等都是企业的办公资源，如何合理的使用这些资源，节省成本、提高工作效率、保证计算机正常运行成为企业必须面对和思考的问题。

在企业中，您是否对以下行为似曾相识，却又苦无良策？

早晨上班，员工长时间沉溺于新闻浏览而无法快速投入到工作当中；

员工专注的敲击键盘，希望他在努力工作，而不是沉迷于无谓的聊天行为；

您殚精竭虑制作的企业计划，这份计划竟然很快就摆在竞争对手的桌面上；

您耗巨资购买的网络带宽，很快被非业务下载占满，核心业务却慢的无法忍受；

有过激的言论从您的企业网络发出，却又无法知道是何人、何时所为；

员工工作期间肆意运行炒股、游戏等软件，却又没有有效的管控措施；

打印机一天到晚都在辛勤工作，却无法得知具体打印的是哪些资料；

公司关于互联网访问等规章制度醒目的贴在墙上，却鲜有人执行；

传统的网络安全设备，如防火墙、入侵检测系统、防病毒软件、反垃圾邮件系统等，构成了企业网络的边界防护屏障，能够有效防护来自互联网的攻击，然而他们对于内部员工行为不当引起的安全和管理隐患却无能为力。

二、风险现状及需求

内网系统承载了企业绝大部分的业务，因为缺乏有效的管理措施，内网常常面临如下几个方面的风险：

2.1 桌面行为失控

由于企业内网行为多样并且不受控制，内部员工的不合规桌面行为将直接影响工作效率，并且可能给内网带来安全隐患，主要体现在以下方面：

1. 上班时间在线炒股、打游戏、看视频、购物等，访问与工作无关的网站，直接影响工作效率；
2. 疯狂下载电影、歌曲软件、P2P下载超大影音文件等，不但影响工作效率，还大量占用网络带宽，影响公司正常业务；
3. 无意或有意地运行病毒或者挂马应用程序，造成企业内网感染病毒、木马；
4. 企业微信、QQ（TIM）、MSN、Skype等即时通讯工具的广泛使用，方便用户沟通的同时也可能造成违规发送包含机密信息的文档；过多的私人聊天，降低员工的工作效率；
5. 大部分的企业都利用电子邮件进行业务往来的沟通，存在私人邮箱和公司邮箱混合使用的情况，对外沟通不规范，极有可能通过邮件泄漏公司机密数据，而公司无法审计邮件内容；
6. 通过3G上网卡、随身WiFi、手机、USB Modem等接入外网，使网络访问不受控；
7. 把U盘、移动硬盘、光盘等移动存储设备接入公司电脑，外来人员拷贝走重要文件；
8. 通过外部的U盘有意或无意地运行病毒或者木马等，造成内网病毒、木马传播。

2.2 资产管理混乱，运维效率低

随着企业规模的逐年扩大，对IT管理者来说资产的盘点、终端的维护等工作是一件非常困难、繁琐且效率低下的事情，体现在以下几方面：

1. 计算机软、硬件数量无法确实掌握，无法统计正版、盗版软件使用情况，资产信息收集不够快速、全面，盘点困难；
2. 硬件设备被私下挪用、窃取，无法及时提醒和查证，造成财产损失；
3. 无法掌握各计算机补丁安装情况，造成内部安全漏洞越来越多，安全风险大；
4. 无法通过一个平台统一部署软件，影响系统日常维护的工作效率；
5. 终端计算机数量较多，出现故障时，需要现场解决客户问题，无法进行远程维护，降低了运维效率。

2.3 数据泄露

企业内网由于缺乏对数据流通的管控手段，终端数据经常会在不经意间被带出，数据外泄途径多种多样，体现在以下几方面：

1. 公司财务部、研发部门等重要部门的文档机密性极高，但没有对这部分文档进行传播渠道的控制，轻易可以通过打印、U盘拷贝、网络传输等方式带出；
2. 公司拥有OA、ERP、文件服务器等应用系统，如何保证系统上重要数据下载至本地计算机后的文档安全；
3. 公司经常与客户、合作伙伴进行文档的交互，如何确保相互之间的文档沟通是符合公司规定的；
4. 公司对于内部终端的文件操作和数据传播过程，没有一套可视化的管理系统进行审计追踪，未能及时发现泄密行为。

三、解决方案

3.1 外接设备管理

3.1.1 禁止接入非法外设

网巡可协助管理者对以下外接设备（包括但不仅限于）进行细粒化控制，例如：

光盘可读但不允许刻录；

禁用随身wifi共享热点；

禁用智能手机便携设备；

禁用USB存储、USB映像设备；

指定笔记本只允许连接指定的wifi热点；

网巡对于外设的控制非常全面，包含类型有：存储设备、通讯接口设备、拨号设备、USB设备、网络设备及其他未知设备，均能有效管控。

 

3.1.2 禁止外来U盘使用

网巡可对移动存储设备进行注册管理，只有注册以后的U盘才能接入内网，其他U盘无法接入，避免外来U盘随意接入内网拷贝数据，支持对U盘的生命周期做管理，包括对设备的分类、挂失、注销、过期等。

 

3.1.3 控制移动存储使用权限

支持对U盘进行读、写控制，例如：允许外来U盘的读操作，禁止写操作，防止拷贝数据泄露；支持对U盘的使用范围进行控制，比如：注册以后的U盘能在A部门使用，但是不能在B部门使用。

3.1.4 移动存储加密，防止U盘泄密

将企业内部U盘制作成加密盘，限制U盘只能在内部使用，在非客户端电脑无法识别，无法打开U盘，可防止U盘丢失、或私自拷贝机密数据造成泄密。

企业内部拷贝到U盘的数据进行加密，在非客户端计算机上无法识别该文件，一旦拷贝到企业内部计算机，文件会自动解密，这样可以保证企业数据只能在内部流通。

3.1.5 移动存储拷贝审计

准确识别接入到企业内网的所有移动存储设备，并记录设备详细信息，掌握移动存储设备使用情况，如拷贝文件到U盘、在U盘内删除文件、U盘的插拔等，都能详细记录下来。

 

3.2 内网行为管理

3.2.1 记录所有打印内容

详细记录每一次打印操作的时间、用户、文件名、页数等信息，获取打印内容映像并以图片形式进行备份，追溯打印内容，方便管理者发现打印的安全风险。

3.2.2 打印纸质文件上添加浮水印及二维码

管理者可对终端设置打印浮水印权限，如添加公司logo、计算机名称、IP、用户名等信息在纸质文件上，可对打印出来的纸质文件进行源头追溯，并且可以添加二维码，将打印信息隐藏在二维码中，在一定程度上保护版权及防止泄密风险。

3.2.3 打印权限管理

管理对各类打印机的使用权限，包括虚拟打印机、共享打印机、本地打印机、网络打印机等，如限制随意使用高成本打印机进行打印，节省成本；限制能够进行打印的应用程序，防止如ERP、CRM等重要程序打印造成泄密。

3.2.4 记录文档的操作行为

全面细致地审计存储于服务器、硬盘、光盘、移动盘、网盘等各种位置的文档，包括创建、访问、修改、移动、复制、删除等操作行为，同时，其他计算机对本机共享文件夹的创建、重命名、修改和删除等操作也能一一记录，全面审计有助于及时发现终端安全风险。

3.2.5 恶意修改、删除文档备份

大量恶意删除和拷贝文件出去，通过文档操作审计可以直观发现其行为，并且可在文档被复制、篡改或删除前做备份策略，可防止敏感文档损坏，同时留存备案。

 

3.2.6 禁止运行非法应用程序

员工在工作时间看视频、玩游戏、炒股等影响工作效率的同时还会产生“蝴蝶效应”让坏风气在企业内蔓延。网巡帮助企业管理者禁止使用与工作无关的应用程序，分时段限制视频程序、游戏程序、炒股程序等的使用。

3.2.7 应用程序安装、卸载管理

可对应用程序的安装和卸载进行控制，允许白名单程序安装，禁止其他程序安装，限制工作需要的应用程序卸载，实现终端应用程序标准化管理。

 

 

3.2.8 应用程序使用情况统计

从多角度统计应用程序的使用时间和百分比，以图表方式显示统计结果，也可通过时间范围，对应用程序使用情况进行统计，统计方式多种多样，可根据员工使用程序的情况和频率，客观的评估员工的工作情况。

 

3.2.9 记录屏幕画面

网巡能够把用户的屏幕画面储存为通用的视频文件，管理者可以在像看VCR录像一样观看用户使用计算机的情况，为事后追踪保留证据。

可自定义频率、自定义应用程序（如QQ）进行屏幕审计，实现快速取证。

应用了增量记录，高速压缩后进行存储，优化了存储空间，保证屏幕记录的数据量偏小。

 

 

3.2.10 实时监控屏幕画面

网巡可实时、多屏查看网内计算机的屏幕画面，直观的了解员工的桌面使用情况，管理者可以在同一时间对多台计算机进行集中监控，最大支持16屏。

3.3 网络行为管理

3.3.1 限制计算机的网络通讯

通过端口、网络地址、通讯方向等限制客户端计算机对企业内部网络、互联网的访问权限，避免随意的网络访问带来的风险。

防止外来计算机或内部职员自带的计算机，在未授权的情况下，私自接入公司网络访问客户端计算机，使公司数据泄露，导致泄密风险。

3.3.2 记录IM聊天内容

详细记录用户聊天的对象、时间、聊天工具、聊天内容等信息，支持数十种聊天工具的聊天内容，帮助管理员了解用户聊天动态，审核用户工作时间是否进行与工作无关的聊天行为或通过聊天泄密企业的机密信息，及时发现企业内潜在的威胁行为。

3.3.3控制传送文件和截图，审计附件

禁止与工作无关的用户通过即时通讯工具如QQ、MSN等发送文件或截图，或禁止发送指定类型的附件；允许授权的用户发送文件和截图，支持对文件和截图的备份，可供管理者查阅源文件，追踪泄密根源。

3.3.4记录邮件内容

详细记录邮件正文、附件、收件人、发件人、发送时间、用户、计算机等信息，支持对标准邮件、网页邮件、exchange邮件、lotus邮件的审计。让企业管理者对邮件的使用情况一清二楚，便于对用户是否有泄漏企业内部机密信息进行安全审查。

3.4资产管理及运维

3.4.1统计软硬件资产信息

支持统计计算机的软硬件资产信息，支持自定义添加其他资产，如：路由器、交换机等，并可和其它资产信息一样进行查询。在软硬件发生变化时，支持记录日志并向管理员报警。方便管理者了解员工软、硬件的变化，为排除故障提供依据。为企业进行IT资产的整理提供便利的平台。

 

3.4.2微软补丁、漏洞管理

支持检测安装了客户端的计算机补丁情况，及时自动检测并下载微软的官方的最新补丁，给未安装补丁的客户端打上补丁，保障系统的安全。网巡还能通过查看计算机的系统漏洞信息、并给出解决漏洞问题的解决方法，解除系统的安全隐患。

 

3.4.3软件分发

管理员可向计算机批量分发安装程序并安装，自动分发各种文件到指定的目录下；或分发其它执行程序到终端计算机，从而实现安装软件自动化部署，大大提高软件部署的效率；提高IT管理人员的工作效率。

3.4.4软件卸载管理

用户在计算机上安装各种与工作无关的软件，管理员可对计算机上安装的软件进行批量卸载，实现自动化管理，提高软件的合规性，提升IT管理人员的工作效率。

 

3.4.5远程控制计算机

管理员可强制或通过对方授权的方式远程连接到客户端计算机，像操作本地计算机一样操作客户端的计算机，可以通过控制台远程连接到员工计算机桌面，方便对计算机进行维护，排除故障等。

3.4.6远程查看计算机运维信息

支持远程查看计算机的状态，包括：应用程序、进程、性能、设备管理、系统服务、磁盘管理、共享文件夹、计划任务、用户和组等，方便管理员查询计算机的运行状态，对违规的程序或进程即时制止，如结束进程等。

3.4.7统计计算机基本信息

支持查询客户端计算机的基本信息和策略总览，记录计算机及用户的启动、登陆、注销、关闭等日志，随时掌握了解客户端计算机的基本信息，如计算机名、IP/mac地址、登陆用户、操作系统等信息。

3.4.8对计算机进行系统控制措施

能够在控制台对网内任意客户端计算机进行锁定、关闭、重启、注销和发送通知信息等，发现不安全行为时，可及时采取措施进行制止。

支持对客户端计算机的控制面板、网络属性、计算机管理、IP/MAC绑定、ActiveX控件、系统还原等配置工具的操作权限进行控制，如不允许修改IP/MAC地址、修改网络属性、计算机名称等，有违规变动，可以设报警并警告。

3.4.9对计算机安全状态进行检测

管理员可对客户端计算机安全状态是否合规进行检测，包括杀毒软件检查、软件安装检查、程序运行检查、系统服务检查、补丁检查等，若不合规可禁止接入网络或给予警告信息。

3.5统计报表

3.5.1统计表，统计用户行为

网巡报表从多种维度统计分析每一项操作行为，包括打印、电子邮件、移动存储、文档操作、程序应用、上网浏览、即时通讯等，帮助快速掌握内网计算机的使用情况。

例如，管理员可以针对用户的上网行为，设置查询条件，如选择时段、部门等条件进行统计，得到某个部门本月上网行为统计报表，有效统计用户的上网浏览时间及排名情况，为规范上网行为提供依据，并可作为绩效考核凭证。

 

四、 全功能简介

网巡内网安全管理系统功能介绍
模块	子功能	功能描述
计算机管控	网页浏览管控	只允许访问的网址，禁止访问的网址
	应用程序管控	只允许运行的程序，禁止运行的程序
	打印管控	允许使用打印机，禁止使用打印机
	水印管理	屏幕水印，文档水印，打印水印
	设备管控	禁用软驱，光驱，红外，蓝牙，modem，便携设备（手机，摄像机之类的），无线网卡   声卡，com口，图像设备。
	U盘管控	U盘禁用，禁止U盘读或者写，可以制作加密U盘和分区U盘，U盘插入通知管理机，提供U盘注册功能
	网络访问管控	管控计算机IP通讯范围，网络端口开放与关闭，以及禁止使用网络，可以做例外端口，例外IP
	非法外联检测	启用IE代理检测，是否允许使用代理上网。
		检测到外联后客户端报警丶强制断网丶强制关机丶强制重启丶锁屏
	节能降耗	定时关机，空闲时间关闭显示器与计算机
	桌面管理	一键更换所有计算机桌面壁纸，自带内网聊天功能，计算机报修功能
	安全控制	禁止拷贝文件到USB设备
		禁止拷贝文件到共享目录丶禁止从共享目录拷贝文件
		禁止拷贝文件到网络硬盘丶腾讯微云丶百度网盘外发文件
		禁止从USB设备拷贝文件丶禁止复制和粘贴
		禁止QQ外发文件丶禁止微信外发文件丶禁止浏览器外发文件
	合规检测策略	常规检测丶安装软件丶运行程序丶弱口令检测丶自定义信息与补丁检测
	文件备份与还原	针对客户端文件路径进行备份（备份到服务器设定的路径下）
	WiFi白名单	客户端电脑只能连接白名单之内的WiFi
运维管理	系统信息	查看客户端电脑的IP，机器名，网卡地址，BIOS信息，硬盘系列号，Windows操作系统信息与序列号
	正在运行的进程	客户端正在运行的进程（右击可以结束进程）
	Windows系统服务	客户端电脑的服务（右击可以禁用，启动，停止）
	共享目录	客户端电脑的共享目录（右击可以删除共享）
	磁盘信息	磁盘信息
	窗口进程	正在运行的窗口
	实时网络状态	实时的网络状态
	系统用户管理	系统的用户（右击可以删除用户）
	启动项管理	系统的启动项（右击可以删除启动项）
	补丁列表	客户端电脑的补丁列表（右击可以导出补丁列表）
日志审计	网址日志	记录客户端上网日志，并可以右击记录直接查看
	屏幕日志	默认两分钟截屏一次桌面（可以手动调节时间）
	程序日志	记录客户端使用的进程，右击可以直接复制进程名
	文件日志	记录USB外发文件, 记录文件操作日志  记录QQ、微信外发文件  记录浏览器外发文件
	打印日志	日志记录可以直接看到打印信息
	USB使用日志	USB插拔的时间
	QQ、微信聊天日志	记录QQ、微信、RTX、MSN、阿里旺旺聊天记录
	邮件日志	可以查看邮件发送的内容，并且可以下载邮件附件
	开关机日志	客户端电脑开关机时间记录
安全中心	报警中心	上网报警（客户端访问禁止的网址）
		程序报警（客户端运行禁止的程序）
		非法接入IP（非法IP接入公司内部网络报警）
		文件外发报警（禁止外发，客户端外发就报警）
		系统安全报警（温度过高等）
		IP地址变化报警
		硬件资产变化报警
		软件资产变化报警
	安全中心	系统盘还原保护（类似于网吧重启还原电脑）
		多网卡管理（可禁止使用某个网卡）
		多操作系统管理
		杀毒软件安装情况
	任务推送	文件分发（管理机发送文件到指定的客户端电脑）
		软件分发（管理机发送程序到指定的客户端电脑并执行）
		补丁升级（管理机下发补丁任务到指定的客户端电脑）
		客户端升级（升级客户端）
文档透明加密	加密策略	勾选需要加密的程序，产生的文件加密，同时想打开加密文件，也要勾选相对应的程序
	加密参数	设定直接批量加密，批量解密，允许申请解密，允许申请外发，文件放入文件夹自动解密等功能
	解密审批	设定审批流程，包括并联审批与串联审批
	文件权限	设定文件权限功能，高等级可以访问低等级文件，低等级不能访问高等级文件
	解密ukey设置	硬件设备ukey，可以设定客户端电脑直接插入ukey进行文件解密
	离线策略	对离开服务器网络的客户端电脑进行加密文件打开时间的限制
	自定义策略	“加密策略”中没有的程序，可以在这里自定义相应的加密策略
	邮件白名单	发送人白名单与接收人白名单（加密文件发送或接收直接解密）
	服务器白名单	普通服务器系统上传加密文件自动解密（列如：OA、ERP）
	审批日志	查看审批人审批操作日志并可以导出
	加密备份	加密的文件自定义备份到服务器
	全盘加解密	全盘扫描指定的客户端电脑进行加密或解密所有指定的文件类型
	手机审批平台	支持安卓与苹果手机在线审批解密文件
数据防泄漏DLP	敏感内容定义	支持通过关键字、正则式定义敏感信息，也支持从样本文档中提取特征信息，定义敏感信息
	自定义扫描	可以每天1次丶每小时1次对计算机进行敏感文件发现。并自定义报保存扫描日志时间
	外发控制	可以控制包含敏感内容的文件外发，提供审批流程，审批后可以外发敏感内容文件
	扫描日志	可详细记录敏感信息文件信息、包括文件类型、时间、计算机/组、用户/组、源文件、文件大小、路径、磁盘类型等信息

 

五、系统架构

网巡基于TCP/IP协议的网络架构，可以灵活地从本地网络扩展到远程网络和异地网络。远程的计算机可以通过虚拟专用网（VPN）或互联网连接到服务器，实现大规模复杂网络的集中管理。控制台也可以通过互联网等方式连接到异地的服务器，实现对分支机构的远程监控。

网巡系统由三个部分组成：客户端、服务器和控制台。

服务器安装在系统内的一部高性能的计算机上，存储系统的管理策略和客户端采集的数据，向客户端计算机传递管理规则和指令。服务器是系统的管理核心。

控制台安装在管理者的计算机上。管理者通过控制台设置管理策略，查看日志和各类统计数据。

客户端程序安装在每一台被管理的计算机上。执行管理者设定的各种管理策略，采集计算机运行的各项数据并传送至服务器。