IP-guard安全管理系统
- 2019-06-25
-
关于IP-guard
信息化应用的广泛与深入,显著提升企业办公效率,与此同时企业内网信息安全威胁、资源应用效率低下及系统管理复杂的困扰日渐突出,IP-guard作为具有国际竞争力的局域网安全管理软件,不断挖掘客户需求,功能日臻完善,始终践行助力企业成长的使命,成为客户信赖的局域网安全软件。
IP-guard功能详细介绍
注:以上功能是基于Windows系统的功能。IP-guard 安全管理同时也支持Mac、Linux系统以及移动智能终端。详情请拨打:180-2899-0096咨询。模块 子功能 功能描述 应用场景 基本功能 基本信息 统计客户端计算机基本信息,包括计算机名称,网络地址,操作系统,登录用户,当前状态等信息 【高效统计终端基础信息】
统计终端的计算机名、用户名、操作系统、IP/MAC地址等基础信息
【禁止随意修改系统配置】
支持限制控制面板、计算机管理、任务管理器、注册表、IP/MAC绑定、ActiveX控件的使用
【健康检查】
检测终端杀毒软件运行、工作软件安装、程序运行、系统服务运行、补丁安装等情况
【风险报警】
支持对硬件异动、磁盘空间不足、私自拆卸硬盘、软件变化、网络配置变更进行报警基本日志 对客户端计算机的开机/关机、用户登入/登出、拨号等的事件记录 策略日志 记录客户端计算机在执行策略时的操作日志,如禁止、报警、警告和锁定计算机等 基本控制 对网内任意客户端计算机进行锁定、关闭、重启、注销和发送通知信息等 基本策略 设置客户端计算机的本地系统的操作权限,包括控制面板、计算机管理、系统管理、网络属性、插件管理等,并可实现IP/MAC地址绑定 安全检测 对客户端计算机安全状态是否合规进行检测,包括杀毒软件检查、软件安装检查、程序检查、系统服务检查、补丁检查等 系统报警 设置当客户端计算机系统状态变化时报警,包括硬件异动,存储设备和通讯设备插拔,软件安装卸载,系统信息和网络配置变化等 文档操作管控 文档操作日志 记录客户端计算机所有文档操作信息,包括在硬盘、移动存储、网络路径、共享目录上所有文档的创建、访问、修改、复制、移动、删除、恢复、重命名等操作 【审计文档操作】
审计文档的使用和传播流转情况,帮助发现将文档复制到U盘和上传到网络的行为,为信息泄密行为提供证据
【限制敏感文档操作】
指定员工对重要文档可进行读取、修改、删除等操作而其他员工只能访问
【敏感操作备份】
对将离职员工设置删除前备份策略,防止离职人员把重要文件删除文档操作控制 控制客户端计算机在指定的磁盘类型或者网络上对指定文档的读取、修改和删除操作的权限 刻录审计 记录刻录的计算机、用户、光盘名称、文件大小、源文件、总个数、刻录份数、刻录机等信息,支持备份刻录文件 文档备份 为防止重要文档被误删或者篡改,可以在文档内容被篡改或删除时进行备份 打印管控 打印操作记录 详细记录所有打印操作的时间、终端、用户、应用程序、页数、打印机类型和名称,并能够根据时间,文件名,计算机等信息进行查询 【审计打印内容】
审计打印时间、用户、文件名、页数等,支持备份打印内容
【禁止敏感程序打印】
限制通过ERP、金蝶EAS直接打印,防止如供应链、财务数据等机密信息打印外泄
【增强版权标识】
对打印的纸质文档添加浮水印,显示打印者信息,在纸质文档上标识版权信息
【申请打印】
需要临时打印时,通过申请,管理员审核通过后即可打印打印内容备份 完整记录在所有类型打印机上的文档打印映像,查看打印的原始内容 打印控制 控制终端打印权限,限制终端对指定类型打印机或指定打印机的使用;控制应用程序打印权限,阻止非法应用程序打印 打印浮水印 可自定义打印浮水印(文字、图片、二维码、点阵水印)内容,打印纸张上呈现出打印者计算机名、用户名、IP地址、打印时间等信息,并支持微信扫描出二维码信息 打印审批 没有打印权限的用户可申请临时放开打印权限,受水印策略控制的用户可临时申请取消打印水印 设备管控 设备控制 控制客户端各种设备类型的使用权限:
存储设备:U盘、移动硬盘、软驱、光驱、磁带机、移动存储设备等;
通讯设备:串/并口、SCSI、1394、蓝牙、红外线、MODEM、直接对联线等;
USB设备:USB 键盘、鼠标、MODEM、映像设备、存储、光驱、硬盘和其他USB设备;
网络设备:无线网卡、即插即用网卡、虚拟网卡等;
其他设备:声音设备、虚拟光驱等;
禁止任何新增加的设备【常用外设管控】
对常用的外联设备如U盘、移动硬盘、智能手机、刻录机、4G上网卡、无线网卡、蓝牙等进行限制,防止信息泄露
【智能手机管控】
记录通过智能手机外传的文件,备份外传文件,禁止智能手机接入
【刻录管控】
可禁止员工使用刻录工具,防止文件通过刻录泄密
【wifi连接管控】
设置内部计算机只允许连接公司指定wifi热点
【未知设备管控】
禁止其他一切未知新设备的接入,保证公司内部网络的安全移动智能终端 移动智能终端以便携式设备、U盘存储、手机助手接入,支持对文件外传进行审计和控制 刻录控制 支持禁止用户使用其他刻录工具,可仅允许使用专用的刻录工具 审批管理 受设备策略控制的用户,可通过申请临时放开指定设备的使用权限 移动存储管控 移动存储日志 自动收集接入客户端机器的移动存储信息,并对移动存储的各种文档操作进行详细记录 【外盘外用】
禁止员工自带U盘在公司内部使用,做到外盘外用
【内盘内用】
将企业内部U盘制作成专用的加密盘,只能在企业内部使用
【申请使用U盘】
当需要临时使用U盘时,可以在客户端申请临时放开该U盘的读写权限,审批通过后即可使用
【移动存储审计】
查询指定U盘在各个计算机的插拔和文档拷贝情况注册管理 对U盘进行注册管理,注册U盘可接入内网,未注册U盘将无法在客户端上使用,实现“外盘外用” 移动存储授权 对移动存储的使用进行授权,限制U盘的读、写权限及使用范围 制成加密盘 将普通U盘制作成加密盘,加密盘只能在内部客户端机器上识别使用,实现“内盘内用” 移动存储加密 对指定移动存储设备上存取的文档自动进行透明加解密,其他未经授权的客户端或外部的计算机无法读取该移动存储设备中的加密文档 审批管理 当客户端移动存储被禁止使用时,客户端可以通过提交申请,请求读、写U盘 网页浏览管控 网页浏览日志 详细记录每台计算机(用户)浏览网页的网址和标题,并提供查询功能 【网页浏览统计】
统计网站访问时长,呈现统计报表,分析员工工作效率
【限制访问违规网站】
禁止访问与工作无关的网站,规范上网行为
【禁止通过Http/FTP上传文件】
禁止通过Http/FTP上传文件,防止上传机密信息泄密网页浏览统计 多种方式统计网页浏览情况,以列表和图表两种方式显示统计结果,统计方式包括按网站类别、明细统计以及按计算机分项统计 网站访问控制 对指定的客户端在指定的时间范围内访问指定的网站或者网址进行管控 上传控制 控制通过Http、FTP协议进行网络上传,防止上传泄密 邮件管控 邮件日志 记录标准协议邮件、Exchange邮件收发的收件人、发件人、正文及完整附件;记录网页邮件、Lotus邮件发送的收件人、发件人、正文及完整附件 【邮件内容审计】
定期查看企业外发邮件的内容,确保邮件外发的合规性
【规范邮箱使用】
限定只能使用企业邮箱发送邮件
【强制抄送邮件】
邮件发送到外部必须抄送部门主管才能发送成功
【邮件内容检测】
检查邮件主题、正文内容、附件名是否包含敏感关键字,支持拦截包含敏感关键字的邮件邮件外发控制 通过邮件的发送人、接收人、主题、附件及邮件大小等条件限制,控制发送邮件的账户,阻止向不被允许的收件人发送邮件,阻止发送特定名称或者超出规定大小的附件 强制抄送 必须抄送指定收件人才能外发邮件 即时通讯管控 即时通讯日志 完整记录微信、企业微信、QQ、TIM、RTX、钉钉、MSN、Skype、IMO、ICQ、Yahoo通、Sina UC、PoPo、阿里巴巴贸易通,阿里旺旺等主流即时通讯工具的对话时间,对话人、对话内容等信息 【聊天内容审计】
通过聊天记录功能,查找用户是否在聊天中涉及敏感信息
【文档外发控制】
禁止通过QQ、微信、Skype等工具外发文档和截屏,备份外发的文档和截图
【限制聊天账号】
指定登陆公司的QQ账号,提高员工工作效率的同时也防止客户QQ账号的流失传输文档控制 通过文档名称和文档大小等条件的设定,控制即时通讯工具对外发送文档 IM文件传送备份 备份通过即时通讯工具外发的文档 网络流量管控 网络流量统计 统计客户端在指定时间范围内的网络通讯流量,统计方式包括按地址、协议和端口的类别或明细统计以及按计算机分项统计 【流量统计】
统计终端流量使用情况,并以图表形式输出统计结果,发现流量滥用的情况
【流量控制】
限制互联网访问的流量,合理分配带宽,避免影响其他员工正常的互联网应用网络流量控制 可按网络地址、端口、发送接收方向等对计算机流量进行限制,确保带宽合理利用 网络控制 网络通讯控制 按应用程序、网络地址范围、通讯方向、端口范围等限制网络访问权限 【内网计算机发现】
检测所有接入内网的计算机,及时发现客户端被非法卸载的计算机
【网络隔离】
建立企业内部的网络区隔,如设置为财务部与市场部的计算机不能互访
【防止大量占用流量】
可通过限制应用程序网络访问权限,如迅雷等P2P下载软件,防止其占用大量网络带宽控制客户端与外来计算机的网络通讯 应用程序管控 应用程序日志 详细记录应用程序的启动、退出、窗口切换和标题变化,并进行查询 【统计工作效率】
统计应用程序运行时间,呈现统计图表,分析员工的工作状态及效率
【禁止运行高危软件】
禁止运行炒股、游戏、云盘等程序,避免影响工作效率,带来泄密风险
【禁止安装与工作无关的软件】
禁止终端随意安装软件,防止随意安装软件引起的系统故障及版权纠纷
【禁止卸载工作软件】
禁止随意卸载工作软件,避免增加运维工作量
【防止拍照泄密】
支持在屏幕上显示水印信息,通过照片追溯泄密者信息应用程序统计 多种方式统计各种应用程序的使用时间和使用百分比,并以列表和图表两种方式显示 应用程序运行控制 可按时间限制特定应用程序的运行,并可在受限程序运行时向控制台报警 软件安装卸载管理 可限制特定应用程序的安装及卸载权限,实现非法程序禁止安装,合法程序禁止卸载 屏幕水印 支持在计算机屏幕显示图片、文字、二维码、点阵水印,防止拍照泄密 屏幕监控 实时屏幕快照 实时查看客户端的屏幕快照,并进行追踪 【多屏实时监控】
管理者可以查看多台客户端的实时屏幕画面
【记录重要程序屏幕历史】
对重要程序(财务软件)进行高频监控,例如:财务软件开启时才进行屏幕记录,并且支持通过应用程序快速追查屏幕画面证据多屏监视 实时查看多个用户的屏幕画面,支持对多显示器的监控,可同时对一组计算机进行实时监控 屏幕历史记录 记录客户端的历史屏幕画面,根据不同应用实现变频记录;配合日志记录查看当时的屏幕情况;支持将屏幕历史转存为通用视频文件,并进行播放 文档云备份 即时备份 用户对文档进行新建、修改、重命名、复制、移动等操作时,支持对文档进行实时备份 【集中存储】
企业所有终端计算机上的数据,都可以全部或指定部分备份到文档服务器上,以便集中存储和管理
【及时备份】
终端软件对文档进行自动监控,一旦检测到文档有变化,即实时、准确地备份到文档服务器上,大大提高数据的安全性
【快速恢复】
终端文档出现损坏、丢失,可以快速从文档服务器上恢复,找回原始文档,保证文档的完整性定期备份 定期对终端的文档进行备份,可设置定期扫描的日期和扫描的时段 全盘扫描备份 支持通过设置全盘扫描任务,批量将终端的文档备份到服务器,可设置备份文档的类型、文件大小、扫描时段等等 备份策略 可设置备份文档类型、排除文件,备份文件大小、备份间隔、备份流量、备份的日期和时段等条件,终端计算机依据设置的条件进行备份 副本管理 支持设置保留多个历史副本 防存储冗余 支持通过文档内容和文件大小进行判断,如果是相同的文档,则只会将其中一份上传到服务器,有效提升带宽和存储空间利用率 备份预览 支持查看备份库的组织架构用户列表,备份文档以终端实际盘符目录的形式呈现,显示备份文档名称、文件类型、大小和修改时间 备份文件查找 支持通过用户、计算机、修改时间的起始/终止时间、文件大小等条件查找备份文档 权限管理 支持角色管理,可通过角色赋予不同用户对备份文档的查看、下载和删除权限 磁盘空间告警 磁盘空间剩余量达到阈值时,支持发送警报和停止备份的措施 磁盘空间清理 当磁盘空间剩余量小于指定的阈值时执行自动清理,可设置保留的历史副本数量,支持自动清理指定天数前的备份文档及副本 文档备份操作日志 记录文档备份的类型、时间、计算机、计算机组、用户、用户组、关联用户、文件名、文件大小等信息 审计管理员操作日志 记录管理员的操作行为,包括:登录计算机、登录用户、被浏览计算机、操作类型(登录系统、退出系统、下载、删除、修改设置)、详细信息 资产管理 资产管理 自动扫描并完整记录每台终端软硬件资产信息,详尽记录资产变更信息,可自定义资产属性进行辅助信息管理 【资产管理】
提供清晰的软硬件资产报表,及时了解企业IT资产变更情况
【版权管理】
统计正版授权的Office的数量和已安装Office的数量,发现盗版软件,防止版权纠纷
【补丁管理】
及时为计算机安装最新微软补丁,防范漏洞威胁
【软件分发】
集中部署ERP、Office等软件到客户端,提升部署效率补丁管理 自动扫描客户端的微软产品补丁安装情况,并进行分发安装 漏洞管理 自动扫描客户端的安全漏洞情况,并提供漏洞说明和解决方案 软件分发 自动部署和安装软件、执行程序或者派送文档,支持断点续传,支持后台安装和交互安装 软件卸载 支持对违规软件进行批量卸载 远程维护 查看运维信息 实时查看客户端的运行信息(如当前应用程序、进程、服务等),远程分析客户端运行状况和故障原因,并可以执行远程操作,帮助解决问题 【远程控制员工电脑】
远程操作客户端计算机进行故障修复及收集故障样本
【查看状态信息】
管理员在控制台远程查看终端的基本信息及运行状态信息
【卸载软件】
支持远程协助客户端电脑的违规软件远程控制 远程连接到客户端计算机的桌面,直接操作客户端,方便进行远程协助或操作示范 远程文件传送 远程打开指定客户端的文件夹,传送文件和搜集故障样本 慧眼风险审计报表 统计表 从多种纬度统计分析每一项操作行为,包括打印、电子邮件、移动存储、文档操作、程序应用、上网浏览、即时通讯、文档加密、解密和外发等,帮助快速掌握内网计算机的应用情况 【U盘拷贝风险征兆统计】
用户U盘拷贝的文档次数到达设置的阈值时,报表系统就会产生相对应级别的报警信息,便于管理员及时盘查并发现潜在的安全风险
【网页浏览统计】
有效的统计用户的上网浏览时间及排名情况,为规范上网行为提供依据,并可作为绩效考核凭证
【打印变化趋势】
有效发现各种打印情况,特别是高成本打印机的使用情况,为后续制定更加合理的管控策略提供依据,节约打印资源
【快速发现大量解密、外发行为】
统计用户解密、外发文档的数量,及时发现解密、外发文档过多的行为,快速对问题进行询问和排查,避免大规模的泄密风险趋势表 直观展现用户行为的变化趋势,为管理者后续改善管控策略提供依据 风险征兆报表 提供分级征兆预警机制,当行为达到设定的阈值时,自动记录征兆事件及其级别,提醒管理人员关注和处理 私人定制报表 根据企业管理需要,设置个性化的统计分析条件,获取自定义私人报表 周期报表 设定固定的时间周期,自动生成周期报表,并支持邮件订阅,定时将周期报表发送给指定相关人员 敏感内容识别 敏感内容定义 支持通过关键字、正则式定义敏感信息,也支持从样本文档中提取特征信息,定义敏感信息 【敏感信息发现】
管理员通过批量扫描发现销售部中含有特定关键字的文档。
设置公共计算机不允许存在含有敏感信息的文档,如果发现报警提示且记录日志
【敏感信息防泄露】
客服部通过IM工具、邮件、U盘传输含有“敏感信息”的文件,会触发阻断或报警提示敏感内容发现 通过本地扫描、远程扫描敏感内容,发现包含敏感内容的文档 敏感内容监视 实时监视新建、修改、下载、接收文件的行为,对含敏感内容的文件进行审计、报警和警告
实时监视通过即时通信、邮件、网页上传、网络盘、存储设备传输的文件,对包含敏感内容的文件进行审计、备份、报警和警告敏感内容保护 实时监视通过即时通信、邮件、网页上传、网络盘、存储设备外传的文件,对包含敏感内容的文件实施阻断传输。
实时监视新建、修改保存、下载、接收文件的行为,对包含敏感内容的文件进行加密保护。日志审计 可详细记录敏感信息外传、落地的操作,包括操作类型、时间、计算机/组、用户/组、源文件、文件大小、路径、磁盘类型等信息 文档透明加密 透明加密 采用高强度加密技术,对文档进行强制透明加密,使得无论何时何地文档都以密文形式存在。在授信环境中,文档能自动解密,丝毫不影响用户原有的使用习惯;在非授信环境中,加密文档则无法正常打开和使用。
在加密文档的使用过程中, 能够防止用户通过剪贴板,截屏,虚拟打印等方式窃取加密文档内容。【文档加密保护】
将设计图纸、开发代码、财务信息、客户资料等重要的电子文档在完全不改变用户的习惯下进行自动加密,即使这些文档被非法带离企业也无法解密和应用
【部门文档隔离】
根据企业不同的部门,如市场部、技术部等创建不同的安全区域,确保不能跨部门访问加密文档,实现文档的部门隔离
【防止二次泄密】
授予客户、合作伙伴等外部对象使用外发查看器,限制其在指定客户端上打开加密文档,规定使用加密文档的打开时间、打开次数等
【出差办公】
对于需要出差的同事,给予有限的离线授权,允许外出继续使用加密文档,文档仍能保持加密状态,不影响正常办公
【移动办公】
通过手机、平板(iOS、Android)等移动终端审批用户解密、外发申请,查看办公类加密文档,满足企业移动办公的需要加密模式 强制加密:指定类型文档进行强制性自动加密,整个过程无需人工参与,自动完成加密。
智能加密:加密文档修改、另存以后,仍旧是加密文档,普通文档修改、保存后仍是明文状态。
只读加密:新建的文档不加密,但能以只读的方式查看加密文档,不能对加密文档进行修改。权限控制 根据文档的重要程度不同,可将加密文档划归不同的安全区域和级别,以便让不同部门和职位的用户使用,建立分部门分级别的保密机制。
用户可调整文档的区域和级别,对重要文档可采取提高其级别的方法来禁止普通用户的使用。外发管理 支持用户通过申请解密、直接解密和邮件白名单的方式解密文件,然后将明文文件外发出去给客户、合作伙伴等企业外部人员。
能够对需要进行外发的文档进行加密控制,只允许授权的外部人员查看,同时可限制外发文档的查看期限、次数及其他使用权限,防止二次泄密。离线授权 根据实际需要授予用户离开授信环境后的加密文档的使用权限,支持单独设置用户离线时能使用的加密软件类别和文档使用权限 安全审批APP
安全查看器APP支持移动端(手机、PAD)安全审批,能在移动端即时接收申请通知并进行审批。
支持在移动端(手机、PAD)直接预览加密文件。离线权限USBkey 员工携带计算机出差,插入离线权限USBKEY(类似U盘),可保证离线的情况下,加密功能继续使用,也可以临时提升解密、外发的权限 U盘加密客户端 插入U盘加密客户端(类似U盘)能打开加密文件,拔出U盘加密客户端则不能打开加密文件,不用另外安装加密客户端 灾备机制 备用服务器设计能够应对各种硬件和系统崩溃的情况,保证加密系统连续运转;同时采用的文档备份服务器能够以明文完整备份所有加密文档,即使意外出现,用户的文档依然完整可用 安全网关
(硬件)杜绝非法计算机
访问服务器禁止非法计算机访问受保护的服务器,保障服务器的安全 【防止服务器文档泄密】
确保从ERP、OA等服务器下载的文档进行强制加密,防止服务器文档下载泄密
【应用系统0改造】
为避免加密文档造成ERP、OA系统的兼容性问题,上传加密文档到服务器时,自动解密成明文存储
上传解密
下载加密终端将加密文档上传到服务器自动解密,服务器文档下载到本地自动强制加密,防止服务器数据下载泄密 支持终端类型 支持Windows全系列,Mac OS,Linux,Android和iOS操作系统 支持服务器类型 支持企业常见的信息管理系统OA、ERP、PLM、SVN、文件服务器等等,支持B/S和C/S两种架构模式 认证方式 计算机安装了IP-guard客户端程序,通过指定的安全进程才可以访问服务器
对于特殊的计算机,比如公司领导的电脑或临时访客,可以通过设置IP/MAC地址白名单,允许其访问服务器网页跳转 对未安装IP-guard客户端的计算机和未启用安全通讯策略的客户端,访问受保护的服务器时,访问受阻会被引导至警告页面 容灾机制 具备ByPass功能,保证业务的连续性 部署方式 支持串接部署,不需要改变网络结构、路由配置等环境
支持旁路部署,即可同时保护多个物理位置的多台服务器准入网关
(硬件)准入控制 阻断非法计算机接入企业网络对服务器、互联网等进行访问,非法计算机可根据需要将其引导至隔离区进行修复,合法的计算机可直接连入企业网络访问受保护的服务器和互联网 【防止服务器数据泄密】
准入网关放置于服务器之前,非法计算机无法访问重要服务器,有效防止非法计算机下载导致泄密
【防止内网PC被非法访问】
结合IP-guard网络控制模块,禁止外来计算机对内网计算机的非法访问,保护内网计算机的安全
【防止内部PC脱离管控】
准入网关放置于互联网出口之前,阻断未安装客户端的计算机访问互联网,预防用户私自重装系统、运行多系统和破坏客户端的行为,保证内网安全策略可以有效执行安全状态检查 对通过准入网关连入企业网络的计算机进行安全状态合规检查(如:是否安装指定软件、杀毒软件,病毒库、系统补丁是否更新,是否允许指定程序、系统服务等),满足条件则允许接入网络,否则拒绝访问并发出警告信息,并强制其跳转至隔离区进行修复 访客管理 对临时来访的外来计算机,因工作需要接入企业内部网络时,可以设定访客账户,通过浏览器输入账号密码进行身份认证,通过后即可连入企业网络 认证方式 提供授权、信任、访客账户、白名单、例外地址等认证方式,适应企业多样化的接入场景 容灾机制 具备ByPass功能,保证网络高效稳定 部署方式 支持串接、旁路两种模式,不需要改变企业的网络结构 安全U盘
(硬件)分区使用 安全U盘设有保密区和交互区,保密区只能在内部授权的客户端机器上使用,交互区可在任意计算机上使用 【分区管理 灵活使用】
公司内部文档可以使用安全U盘的保密区进行流通,保密区在公司外部无法访问,避免U盘泄密;公司文档对外流通时,可以使用安全U盘的交互区进行交互
【防止U盘丢失导致泄密】
安全U盘在外使用时,需要通过专用资源管理器访问交互区数据,并且要输入密码认证,因此即使U盘无意丢失,捡到的人员也无法查看U盘上的文件,确保数据安全密码保护 安全U盘在外部使用时,必须先通过密码认证方可使用 专用资源管理器 安全U盘交互区只能通过专用资源管理器访问,病毒木马等无法调用专用资源管理器自动运行,有效防止了病毒木马的传播 日志审计 无论在公司内外部使用,都能对安全U盘使用情况及U盘文档的操作情况进行详细记录 防格式化 安全U盘通过硬件芯片级保护,禁止非授权的格式化操作,保证U盘的安全性和可靠性 - [返回首页] [打印] [ 下一篇: H3C F1000-C8100系列云防火墙 ] [上一篇: IP-guard ]