终端安全管理产品调查报告

目前可能还没有
今年新上市产品
覆盖补丁管理、接 资产管理、补丁管 接入控制、非法外 入控制、资产管理 理、外联监测、设 联监控、资产管理 、外联监控 备管理 支持场景、优先级 （？） 无用户身份场景 弱
终端软件，服务管 理，远程协助，桌 面消息通知，异常 流量监控，监控非 法外联
IP，MAC绑定，不 能随意更改配置， 外联监控，文件审 网络访问控制，防 计，打印管理 火墙安装探测
功能对比 文档管理、资产管 安全准入、补丁管 覆盖补丁管理、网 补丁弱、接入无、 理、终端安全管理 主要侧重于资产管 理、资产管理、外 络接入控制、资产 移动介质弱、无漏 、主要偏重于信息 理、补丁管理 联监控、产品联动 管理、外联监控 洞扫描 防泄露管理 等 支持身份认证管 支持身份认证管 弱 理，无优先级、无 理，无优先级、无 弱 场景 场景 无用户身份场景 弱
策略联动
有报警与响应机 制，不全面
弱
弱
流量控制
在服务器端进行补 简单检测与分发， 基于WSUS，无流量 丁分发流量控制 无流量控制 控制
文件审计
仅对文件的打印、 仅有对逻辑驱动器 仅对移动存储、本 邮件、共享进行审 改变和网络共享的 地共享、远程共享 计 审计
管理
无管理员权限优先 级控制 仅支持逻辑组
控制台采用B/S结 构
分安全管理控制台 控制台采用B/S结 、探测器、审计监 构 控控制端三部分 技术特点
安装部署
windous平台，安 装部署时需要在网 windows平台，安 络设备上开放多个 装时分步骤安装数 端口，操作较复 据库和各个子系统 杂，需要专业的技 术人员安装部署
硬件平台，安装时 设置网络参数，然 后下载客户端软件 进行安装。控制台 采用B/S模式
支持微软系统补 丁，终端漏洞侦 测，补丁分发
简单补丁检测与分 借用微软WSUS系统 发功能
支持
支持Fra Baidu bibliotek策略简单
支持
两级体系，网络层 主要用ARP，边界 无/弱 控制弱
实时检测ip和 mac，阻断非法ip 接入
资产管理
包含丰富的客户机资产信 息，尤其可以自己定制一 些用户个人信息，如计算 机别名，领用人和领用时 间，计算机所处房间，端 口位置，计算机品牌和责 任人、联系电话等内容， 这将极大的方便管理员对 所以机器的管理。
采用C/S架构，B/S 采用C/S机构 控制台 不明 无流量控制 支持
采用B/S结构，服 务器仅windows平 台 支持
CS结构
基于域的流量均衡 有流量控制
无流量控制
不清楚
不清楚
资源占用较多
不清楚
不清楚
基本不会支持 初次介入终端管理 侧重于资产管理和 努力发展UTM2 解 单纯做防水墙，无 市场，产品刚发布 补丁分发，研发特 其他安全产品。 不久，未见到实际 决方案 别不针对中国国情 产品 偏重于信息防泄露 没有，只做终端安 补丁源厂商，非常 偏重于UTM2 解决 全管理 好 方案
身份场景
终端软件，服务管 应用软件监控，上 外联监控，文件审 理，远程协助，桌 网行为监控、网络 计，打印管理，介 支持远程桌面管理 面消息通知，异常 特色 配置参数强制、强 质管理 流量监控，监控非 制域登录等 法外联
SMS采用专用技 术，专用客户端实 支持微软系统补 现，必须依赖于域 借用微软WSUS系统 借助微软WSUS系统 丁，终端漏洞侦 环境才能工作，功 测，补丁分发 能较强，支持软件 分发
弱
可以对受控终端存 不确定，可能不支 储设备的使用进行 不支持 持 控制和使用审计
支持
无认证U盘功能
无
采用域的安全登录 机制，没有用户名 802.1x支持,ARP控 支持，使用802.1X 和口令不能登录 无 协议 制弱 域，不支持对非法 主机阻断
自动收集软硬件信 息，可以收集所有 自动收集软硬件信 自动收集软硬件信 自动收集软硬件信 多种方式展现资产 客户端上所有文件 息 息 息 信息 信息，信息内容全 面
自动收集资产作为 审计依据，对网络 自动收集软硬件信 自动收集软硬件信 设备信息的收集， 息 息 可以绘制网络拓扑 结构图
程序自身
软件采用组件的构建模 式，优化设计，方便不同 模块的分开部署，自身安 全性高、稳定性好、维护 方便、定制开发方便 服务器和控制台采用旁路 连接方式接入网络，向全 网提供终端管理服务。旁 路连接方式可以减少单点 故障点，保证系统的可用 性。客户端在客户机上安 装部署后，进驻操作系统 核心，与操作系统内核捆 绑，具有很高的安全级 别，可以监控客户机上发 所有策略均支持报警与响 应机制，可对不同策略定 制不同响应。响应包括报 警、锁定、截屏、断网等 。 断网采用三级控制体系， 避免占用过多网络带宽， 影响用户正常的业务流 量，对网络流量进行合理 有效的控制。在大规模补 丁分发过程中采用服务器 端控制、客户端控制、P2P 分发等多种方式进行流量 可限制对指定文档的访 问，限制指定的计算机或 组的用户对文档进行的操 作，包括访问、创建、复 制、移动、改名、删除、 恢复以及文档打印等操作 支持管理员多级管理，可 设定管理员权限和优先级 范围，设定管理员管理范 围。支持分区管理。 客户端管理支持实体分组 和逻辑分组，可允许一台 客户端在不同组内使用不
网络管理软件起 偏重于内网安全管 家，无其他网络安 无其他网络安全产 理和防病毒技术 全产品，不支持联 品，不支持联动 动 偏重于内网安全管 偏重于网络性能管 偏重于服务器管理 理 理
公安案例较多
集中于企业案例
表 中软 中软防水墙 矩阵 绿盟 SMS 微软 启明星辰 南京金鹰 APA® eosEyeTM易 视 桌面监控审计 系统
一台计算机只能在一个分组中。组策略
产品性能
BS结构，服务器支持 windows/linux操作系统 操作系统支 支持windows2000、XP、 持 2003、Vista，兼容win98 采用了流量控制技术，网 网络性能 络资源占用少，不影响用 户正常业务的使用 占用终端资源少，对网络 客户端资源 带宽影响小，与其它应用 占用 软件无冲突 系统架构
极地银河内网安全管理系统总体对比表 极地银河 产品名称 极地银河终端与内网安全 管理系统 北信源 圣博润 宝信
内网安全及补丁分 内网安全管理系统 内网安全管理专家 发管理系统
功能全面性
策略与流程 管理 策略场景
终端安全管 理
补丁管理
移动介质管 理
安全接入
覆盖补丁管理、接入控制 、终端安全管理、资产管 理、移动介质管理、外联 监控等各个方面 策略支持丰富场景，支持 优先级，支持用户身份认 证管理 可定义时间场景、地点场 景（在线、离线）、用户 身份场景 电脑使用监控：限制无 关应用程序的使用，禁止 浏览禁止网站；定时记录 电脑屏幕操作，直观察看 员工的电脑操作记录；工 作情况监控：详细记录使 用的应用程序，详细记录 浏览的网页，使用电脑情 况图表分析；协助企业内 网管理：完善丰富的报表 功能，自动生成、发送邮 件报告，远程控制，远程 不仅可以支持微软全系列 操作系统和应用软件，而 且可以通过自定义程序补 丁，自定义脚本补丁（解 决配置漏洞）等功能实现 无限制补丁对象扩展。自 定义补丁格式支持exe等多 种格式。同时可以实现文 件分发，将单位公告文件 等内容放置到用户桌面或 支持管理的介质包括存储 设备（软驱、光驱、刻录 机、磁带驱动器、USB存储 设备）、通讯设备（串口 、并口、调制解调器、USB 、SCSI、1394总线、红外 通讯设备、以及笔记本电 脑使用的PCMCIA卡接口） 及文件打印控制 三级接入控制体系，对安 装客户端的受控主机使用 端点控制，非受控主机可 采用802.1x或ARP阻断进行 网络控制。同时支持网络
采用B/S结构，服 务器仅windows平 台 支持 有流量控制
采用C/S结构 不明
采用B/S结构，硬 件平台 不支持Vista
补丁分发时无流量 补丁分发时无流量 控制 控制 不清楚 不清楚
不清楚
其他 自主产权，开发能力强， 迅速响应客户定制需求 全面的网络安全研发团 公司研发实 队，安全产品线齐全，对 力 安全有全面了解，各个安 全产品之间可以联动 是否具有专 具有专业内网与补丁研究 门的补丁研 队伍 究团队支持 大型网络部署经验，在教 育、部队、公安、金融、 电信、交通、能源各行业 成功案例 均有高质量成功案例，总 结出成熟的行业解决方案 与宝贵的实施经验。 二次开发
采用C/S结构
控制台采用B/S架 构
采用微软专用 MMC管理控制台 管理
控制台采用B/S结 构
CS结构
Windows平台，依 windows平台，安 Windows平台，安 赖于域环境，需要 装时分步骤安装数 装配置复杂程度不 分别安装软件和数 据库和系统 详 据库系统，安装配 置较烦琐
windous平台，安 装部署时需要在网 硬件版，旁路部署 络设备上开放多个 服务器、控制台、 端口，操作较复 Agent三级架构 杂，需要专业的技 术人员安装部署
弱
弱
无
无
无联动功能
无流量控制
需要多建立管理服 基于WSUS，无统一 在服务器端进行补 务器，依靠域配合 无 网络流量控制 丁分发流量控制 实现流量均衡
主要支持加密文件 支持文件审计，具 不支持文件使用审 的审计 体做法不详 计
详细
只能在一个分组中。组策略支持较弱
采用域管理机制
可采用域管理机制
采用C/S结构 不支持Vista 无流量控制