企業(yè)上網(wǎng)行為控制審計系統(tǒng)需求說明書

1、江西優(yōu)碼創(chuàng)達軟件技術(shù)有限公司文檔編號密級機密文檔類型部門網(wǎng)安研發(fā)文檔狀態(tài)草稿審核 批準作廢版本號1.0共 0 頁企業(yè)上網(wǎng)行為控制審計系統(tǒng)需求說明書編寫： 日期：2012/9/3審核：日期：批準：日期：江西優(yōu)碼創(chuàng)達軟件技術(shù)有限公司2012-9-3目 錄1. 引言21.1.編寫目的21.1.背景31.2.參考資料32. 需求分析42.1項目目標(biāo)42.2架構(gòu)設(shè)計要求42.2.1設(shè)計原則42.2.2系統(tǒng)架構(gòu)特點52.2.3系統(tǒng)架構(gòu)簡圖52.3需求說明62.3.1 應(yīng)用程序管控62.3.2 網(wǎng)頁瀏覽管控82.3.3 文檔操作管控102.3.4 打印內(nèi)容管控112.3.5 設(shè)備管控122.3.6 網(wǎng)絡(luò)控制

2、132.3.7 網(wǎng)絡(luò)流量管控132.3.8. 屏幕監(jiān)控142.3.9. 郵件管控152.3.10. 即時通訊控制162.3.11 資產(chǎn)管理172.3.12 遠程維護182.3.13 移動存儲控制193. 總體設(shè)計203.1網(wǎng)絡(luò)拓撲結(jié)構(gòu)203.2硬件系統(tǒng)設(shè)計203.2.1服務(wù)器及網(wǎng)絡(luò)設(shè)備203.3安全設(shè)計213.3.1身份認證213.3.2信息安全213.3.3網(wǎng)絡(luò)系統(tǒng)安全213.3.4應(yīng)用安全223.4關(guān)鍵技術(shù)實現(xiàn)22附錄一 公司簡介23附錄二 硬件設(shè)備清單251. 引言 1.1.編寫目的今天，隨著信息科技的高速發(fā)展，IT給企業(yè)的運營帶來了前所未有的便利，并且逐漸成為企業(yè)發(fā)展的重要驅(qū)動力。但與

3、此同時，IT也給企業(yè)帶來了風(fēng)險和挑戰(zhàn)。v 企業(yè)信息安全隱患激增現(xiàn)在，越來越多的企業(yè)認識到，信息泄漏對企業(yè)的危害之重，它不僅給企業(yè)帶來法律風(fēng)險、巨額的經(jīng)濟損失，還可能危及企業(yè)的生存發(fā)展。雇員被列為最有可能制造信息安全事件的素。v 系統(tǒng)應(yīng)用效率難以評估和控制最近公布的一項調(diào)查結(jié)果表明，在工作中使用MSN、QQ等聊天的人數(shù)高達89.2%，網(wǎng)頁瀏覽中新聞網(wǎng)頁占65.9%居于首位。一個月薪2000元的員工，每天“隱性曠工”2小時，每年為企業(yè)帶來的直接損失高達6000元。一個擁有50人的企業(yè)僅此一項每年將損失30萬。并且濫用網(wǎng)絡(luò)和系統(tǒng)資源還可能將暗藏于互聯(lián)網(wǎng)的安全隱患帶入企業(yè)網(wǎng)絡(luò)內(nèi)，威脅系統(tǒng)安全。v 系統(tǒng)

4、維護，資產(chǎn)管理繁瑣IT部門接近一半的工作時間用于為計算機安裝及升級軟件，IT 人員為PC 做簡單的日常維護工作占其總工作量的70-80%，大大增加計算機網(wǎng)絡(luò)的綜合管理成本。如果問題沒有得到及時有效的處理，也會極大影響企業(yè)的業(yè)務(wù)連續(xù)性。v 讀者 需求提出者 企業(yè)行政管理層 項目組成員1.1.背景v 系統(tǒng)的名稱暫定企業(yè)上網(wǎng)行為控制審計系統(tǒng)網(wǎng)狼1.0v 提出者公司行政管理層，決策層v 開發(fā)者網(wǎng)安行業(yè)研發(fā)人員v 用戶企業(yè)網(wǎng)絡(luò)管理人員1.2.參考資料v 盈高多維終端安全管理平臺技術(shù)白皮書.pdfv 威盾3.2用戶使用手冊.docv 聯(lián)軟上網(wǎng)行為管理系統(tǒng).docv 交通管理業(yè)務(wù)信息綜合分析研判平臺.doc

5、2. 需求分析2.1項目目標(biāo) 該系統(tǒng)的實現(xiàn)將讓企業(yè)對所有計算機的使用情況了如指掌，它將是企業(yè)對信息的安全防護和技術(shù)的廣泛應(yīng)用而應(yīng)運而生的，其功能強大的計算機監(jiān)視、控制與管理系統(tǒng)軟件，是為現(xiàn)代企事業(yè)的管理人員量身定做的企業(yè)管理軟件。不但可以對員工電腦的屏幕、上網(wǎng)、聊天、郵件和文件操作進行全面的監(jiān)控、記錄和管理，而且還可以防止員工盜竊公司機密資料，并對員工的工作進行一個客觀的評價。它可以大幅度提高企業(yè)生產(chǎn)效率，減少不必要的資源浪費，幫助企事業(yè)管理人員培養(yǎng)企事業(yè)優(yōu)良風(fēng)氣。2.2架構(gòu)設(shè)計要求2.2.1設(shè)計原則1、規(guī)范性：系統(tǒng)設(shè)計按公安部頒發(fā)信息系統(tǒng)數(shù)據(jù)庫標(biāo)準以及有關(guān)管理辦法。2、整體性：系統(tǒng)整體設(shè)計統(tǒng)

6、一規(guī)范，功能模塊清晰合理。3、先進性：系統(tǒng)設(shè)計規(guī)劃采用符合應(yīng)用系統(tǒng)發(fā)展趨勢的主流技術(shù)，采用B/S三層架構(gòu)與C/S結(jié)合，充分利用兩者的優(yōu)勢。4、實用性：系統(tǒng)設(shè)計充分考慮當(dāng)前企業(yè)上網(wǎng)管理的工作實際，具有較強的實用性和可操作性。5、穩(wěn)定性：為保證系統(tǒng)最大限度地發(fā)揮作用，系統(tǒng)設(shè)計采用目前業(yè)界主流信息化技術(shù)及產(chǎn)品平臺，整體系統(tǒng)具有較高穩(wěn)定性。6、安全性：為確保系統(tǒng)安全，應(yīng)該具有完善的安全解決方案。7、可擴展性：系統(tǒng)具有較高的靈活性和健壯性，支持多種主流開發(fā)軟件，支持組件化、插件模式開發(fā)，具備擴展性強、易于集成的二次開發(fā)能力，以滿足各方面應(yīng)用擴展的需要，維護簡單、升級方便。8、易用性：提供統(tǒng)一美觀的界面、

7、詳盡方便的幫助、智能化的提示、簡便的操作等。2.2.2系統(tǒng)架構(gòu)特點省略2.2.3系統(tǒng)架構(gòu)簡圖 本系統(tǒng)相關(guān)比較獨立，主要分前端數(shù)據(jù)獲取及被控層，區(qū)域管理層和中心管理層，數(shù)據(jù)層。2.3需求說明2.3.1 應(yīng)用程序管控2.3.1.1 需求描述 應(yīng)用程序日志系統(tǒng)自動記錄客戶端機器打開或關(guān)閉的應(yīng)用程序，或者應(yīng)用程序窗口切換信息。管理員可以通過控制臺查看相關(guān)日志；應(yīng)用程序日志類型包括：啟動/停止日志類型說明啟動/停止記錄客戶端機器上啟動/停止應(yīng)用程序的情況；系統(tǒng)應(yīng)用程序日志記錄包含的屬性有：操作類型、時間、計算機、用戶、應(yīng)用程序、路徑/標(biāo)題等信息屬性名稱說明操作類型應(yīng)用程序啟動/停止和窗口標(biāo)題切換；應(yīng)用程

8、序應(yīng)用程序的進程名稱；文件路徑當(dāng)操作類型是啟動/停止時，記錄應(yīng)用程序在客戶端機器上的詳細路徑；窗口標(biāo)題當(dāng)操作類型是切換窗口/切換標(biāo)題時，記錄當(dāng)前的應(yīng)用程序的窗口標(biāo)題。 應(yīng)用程序控制系統(tǒng)可以按全天或指定的時間段對指定的程序禁止，對違規(guī)網(wǎng)絡(luò)行為在事前進行控制。應(yīng)用程序的控制支持以下2種方式：通過進程名稱來禁止：管理員直接添加應(yīng)用程序的名稱，如QQ.exe；通過應(yīng)用程序分類來禁止：管理員可以按照某種規(guī)則產(chǎn)生相應(yīng)的程序分類，如聊天軟件: (QQ， MSN， 阿里旺旺， 飛信等)統(tǒng)一劃分為一類， 系統(tǒng)可以把通過設(shè)置應(yīng)用程序分類來禁止在這分類中的所有程序運行。2.3.1.2 統(tǒng)計查詢系統(tǒng)可以針對計算機每天

9、的工作情況和應(yīng)用程序使用的情況進行人性化統(tǒng)計和分析. 為管理者評估員工工作效率提供了可靠的依據(jù)，并且提供了統(tǒng)計數(shù)據(jù)的導(dǎo)出功能. 系統(tǒng)應(yīng)支持以下幾種統(tǒng)計方式: 應(yīng)用程序類別統(tǒng)計系統(tǒng)按照管理員設(shè)置的應(yīng)用程序分類進行統(tǒng)計。 可以統(tǒng)計出各計算機的開機時間，以及各種分類應(yīng)用程序的使用時間， 以及占總開機時間的百分比。 應(yīng)用程序名稱統(tǒng)計系統(tǒng)可以統(tǒng)計出各計算機的開機時間。各應(yīng)用程序的使用時間，以及其使用時間占總開機時間的百分比。 分項統(tǒng)計系統(tǒng)可以把設(shè)置某些應(yīng)用程序為工作應(yīng)用程序（如： Office系統(tǒng)，開發(fā)環(huán)境VC，VB，DEPHI之類）。如果用戶在使用這些應(yīng)用程序，則視為工作。系統(tǒng)可以統(tǒng)計出第個計算機的開

10、機時間，以及工作時間。系統(tǒng)支持各種統(tǒng)計數(shù)據(jù)以圖形方式顯示如:柱狀圖餅狀圖2.3.2 網(wǎng)頁瀏覽管控2.3.2.1 需求描述 上網(wǎng)瀏覽日志系統(tǒng)支持詳細記錄員工訪問網(wǎng)站情況，可以按網(wǎng)站名稱、標(biāo)題名稱、時間、范圍查詢?nèi)罩? 屬性名稱說明標(biāo)題瀏覽的網(wǎng)站標(biāo)題；網(wǎng)址瀏覽的網(wǎng)站的詳細網(wǎng)址；時間瀏覽時間計算機名稱計算機名稱或IP地址用戶登錄用戶名稱 上網(wǎng)瀏覽控制 系統(tǒng)支持限制客戶端計算機的網(wǎng)站訪問，限制對于工作無 關(guān)的網(wǎng)站、惡意網(wǎng)站等的訪問. 系統(tǒng)支持對網(wǎng)站URL分類管理，支持添加/刪除/修改網(wǎng)站URL分類，添加/修改網(wǎng)站URL分類時，支持批量導(dǎo)入網(wǎng)站URL列表。 系統(tǒng)可以按全天或指定的時間段對指定URL或UR

11、L分類設(shè)置策略，用于控制用戶對網(wǎng)站URL的訪問。 策略動作可分為允許，禁止，告警; 1，允許為用戶可以正常訪問URL; 2，禁止為用戶訪問URL會被中止；3，告警指用戶可以正常訪問URL，但在系統(tǒng)后臺會產(chǎn)生相應(yīng)的告警。2.3.2.2 統(tǒng)計查詢系統(tǒng)支持網(wǎng)頁瀏覽信息做以統(tǒng)計分析，分為按明細統(tǒng)計和按類別統(tǒng)計，并以直觀形象的圖標(biāo)方式展現(xiàn)出來，查看統(tǒng)計圖表即可了解哪類甚至哪些網(wǎng)站被訪問的時間比較長，從而判斷是否有影響正常工作的情況發(fā)生； 按網(wǎng)站類別統(tǒng)計系統(tǒng)按照管理員設(shè)置的應(yīng)用網(wǎng)站URL分類進行統(tǒng)計。 可以統(tǒng)計出各計算機的各分類URL訪問時間； 按網(wǎng)站明細統(tǒng)計系統(tǒng)按照網(wǎng)絡(luò)URL列表明細進行統(tǒng)計。統(tǒng)計各計算

12、機訪問URL列表明細時間。2.3.3 文檔操作管控2.3.3.1 需求描述 文檔操作日志文檔操作日志記錄客戶端機器用戶對文檔的操作信息，可以讓管理員通過查看日志記錄可以發(fā)現(xiàn)用戶的文檔操作行為，同時為事后追查資料泄密事件提供可靠線索，增強電子文檔管理的安全性; 日志記錄的內(nèi)容包括: 屬性名稱說明操作類型包括：創(chuàng)建、訪問、修改、重命名、復(fù)制、移動、刪除、恢復(fù)以及上傳/發(fā)送源文件用戶操作的文檔名稱；路徑用戶操作的文檔的詳細路徑，當(dāng)操作類型為復(fù)制、移動、重命名時，路徑會記錄文檔的源路徑和目的路徑；盤符類型用戶操作的文檔所在的盤符類型，包括：硬盤、軟盤、光盤、可移動盤、網(wǎng)絡(luò)盤。當(dāng)操作類型為復(fù)制、移動時，

13、會顯示源和目的盤符類型；應(yīng)用程序操作該文檔使用的應(yīng)用程序進程名稱；標(biāo)題操作該文檔時的窗口標(biāo)題。 文檔操作控制 系統(tǒng)可以在指定的時間，禁止對指定文檔的操作。操作 類型包含：創(chuàng)建、復(fù)制、移動、刪除、重命名、修改、恢復(fù)及訪問; 系統(tǒng)可以按全天或指定的時間段對指定文檔設(shè)置策略,用于控制用戶對該文檔的操作。 策略動作為禁止，告警，備份。1，禁止指用戶禁止操作此文檔。2，告警指用戶操作此文檔是后臺會產(chǎn)生告警。3，備份指用戶操作些文檔之前。文檔會被自動在后臺產(chǎn)生備份。2.3.4 打印內(nèi)容管控2.3.4.1 需求描述 文件打印日志系統(tǒng)可以記錄和查詢員工打印文檔情況，包含打印時間，目標(biāo)文檔路徑，打印頁數(shù)，打印機

14、名稱，執(zhí)行打印任務(wù)的PC機器各登錄用戶名。 文件打印控制對客戶端計算機的打印權(quán)限進行控制，從而實現(xiàn)對打印資源合理分配，限制非法應(yīng)用程序打印,有效避免敏感或機密信息通過打印而外泄。控制條件包括：時間，打印機名稱，執(zhí)行打印任務(wù)的用戶名。2.3.5 設(shè)備管控2.3.5.1 需求描述系統(tǒng)可以限制各類設(shè)備的使用：設(shè)備分類功能介紹管理作用驅(qū)動類設(shè)備可以按某臺、某組或者整個網(wǎng)絡(luò)禁止使用哪些存儲設(shè)備。包含：軟驅(qū)，光驅(qū)，刻錄機，磁帶機，可移動設(shè)備（U盤，移動硬盤，記憶棒，智能卡，MO，Zip）避免員工使用與工作不相關(guān)的計算機設(shè)備，錯誤修改網(wǎng)絡(luò)屬性，方便統(tǒng)一部署屏保程序或畫面。根據(jù)風(fēng)險評估，制定事前預(yù)防策略，根據(jù)

15、策略對相應(yīng)的設(shè)備進行禁止，預(yù)防文件泄密。可以靈活的開啟設(shè)備，不影響員工的正常使用。通訊類設(shè)備可以按某臺、某組或者整個網(wǎng)絡(luò)禁止使用哪些通訊設(shè)備。包含：串口，并口，USB 控制器和連接器(HUB)，SCSI接口，1394控制器，紅外線，PCMICA卡，藍牙設(shè)備，MODEM，直接電纜連接（串口，并口，USB），撥號連接防止隨意通過無線、藍牙、紅外、拔號等方式上網(wǎng)，從而避免機密文件外泄。USB類相關(guān)設(shè)備可以按某臺、某組或者整個網(wǎng)絡(luò)禁止使用哪些USB設(shè)備。包含：USB 鍵盤，USB 鼠標(biāo)，USB Modem，USB 映像設(shè)備，USB CDROM，USB 存儲，USB 硬盤，USB 網(wǎng)卡，USB 其他設(shè)備

16、?？梢詫SB鍵盤、鼠標(biāo)、modem、MP3、移動硬盤等分別進行控制，啟到防止文件外泄、病毒擴散等。網(wǎng)絡(luò)設(shè)備可以按某臺、某組或者整個網(wǎng)絡(luò)禁止使用無線網(wǎng)卡，PnP網(wǎng)卡（USB，PCMICA），虛擬網(wǎng)卡等網(wǎng)絡(luò)設(shè)備可以控制網(wǎng)絡(luò)設(shè)備，避免違規(guī)聯(lián)網(wǎng)。其它類可以按某臺、某組或者整個網(wǎng)絡(luò)禁止使用聲音設(shè)備，虛擬光驅(qū)等設(shè)備可以控制多媒體設(shè)備，避免違規(guī)使用。禁用任何新設(shè)備可以按某臺、某組或者這個網(wǎng)絡(luò)禁止使用任何新設(shè)備不允許增加沒有經(jīng)過管理員認可的任何設(shè)備。2.3.6 網(wǎng)絡(luò)控制2.3.6.1 需求描述 系統(tǒng)支持對通訊方向、IP地址范圍、網(wǎng)絡(luò)端口范圍的設(shè)置限制客戶端計算機使用網(wǎng)絡(luò)的權(quán)限.通訊方向雙向，出站和入站三種(

17、是指物理上的通訊方向)。出站和入站是相對于客戶端機器來說的，也就是客戶端機器主動連接其他計算機，即為出站。端口范圍指通訊所使用的端口號范圍網(wǎng)絡(luò)地址范圍指通訊IP地址范圍 系統(tǒng)自動檢測網(wǎng)絡(luò)內(nèi)是否有非法計算機接入，有非法計算機接入時控制臺會報警以提醒管理人員. 系統(tǒng)支持將客戶端IP地址與MAC地址進行綁定， 防止客戶端隨意修改IP地址.2.3.7 網(wǎng)絡(luò)流量管控2.3.7.1 需求描述系統(tǒng)支持通過網(wǎng)絡(luò)地址、端口號、發(fā)送和接收方向來限制計算機的網(wǎng)絡(luò)流量. 系統(tǒng)可以根據(jù)網(wǎng)絡(luò)IP地址，端口號，以及發(fā)送,發(fā)送/接收/全部等，以及最大帶寬值等條件，設(shè)置相關(guān)策略?？刂颇繕?biāo)計算機的網(wǎng)絡(luò)流量。當(dāng)目標(biāo)計算機網(wǎng)絡(luò)流量達

18、到或超出設(shè)置的最大帶寬值時。系統(tǒng)能自動降低目標(biāo)計算機的網(wǎng)絡(luò)吞吐量,以達到網(wǎng)絡(luò)限速的目的。2.3.7.2 查詢統(tǒng)計系統(tǒng)支持按地址明細(IP, MAC地址)，地址類型（內(nèi)網(wǎng)，外網(wǎng)），端口明細，協(xié)議明細，計算機等條件進行網(wǎng)絡(luò)流量的查詢與統(tǒng)計。對統(tǒng)計結(jié)果可支持統(tǒng)計圖表顯示。2.3.8. 屏幕監(jiān)控2.3.8.1 需求描述 實時屏幕快照系統(tǒng)支持實時查看客戶端屏幕. 支持同時查看一組進行屏幕監(jiān)控，在同一屏幕顯示多個客戶端屏幕， 并可設(shè)備顯示客戶端屏幕的數(shù)量。 屏幕快照歷史記錄系統(tǒng)支持對客戶端屏幕快照歷史功能：可以通過設(shè)置時間范圍, 計算機組進行屏幕錄制等條件,設(shè)置策略,自動對客戶端進行屏幕監(jiān)控。監(jiān)控到的計算

19、機屏幕按照視頻格式保存在服務(wù)器端。以便管理員可以隨時查看查看。2.3.9. 郵件管控2.3.9.1 需求描述 郵件內(nèi)容日志系統(tǒng)可以記錄郵件的收/發(fā)日志, 支持POP3， SMTP, 以及web方式的郵件。 日志應(yīng)包括計算機名，計算機IP，收件人地址，發(fā)件人地址， 郵件的標(biāo)題， 郵件正文內(nèi)容， 是否含有附件（有附件的能記錄附件內(nèi)容）， 以及發(fā)送/收取郵件的時間等內(nèi)容。 郵件發(fā)送監(jiān)管系統(tǒng)支持制定相關(guān)的策略，從不同維度去控制員工的郵件發(fā)送。策略維度包括：發(fā)件人地址，收件人地址，郵件標(biāo)題，郵件大小,是否包含附件,附件名稱,附件大小等。策略屬性名稱說明發(fā)件人對發(fā)件人的郵箱地址做控制，支持通配符，支持輸入

20、多個，以“,”“;”作為分隔符；收件人對收件人的郵箱地址做控制，收件人也包括抄送人和密送人的郵件地址，輸入規(guī)則同“發(fā)件人”；主題對發(fā)送郵件的主題名稱進行控制，如果主題名包含了設(shè)置的敏感詞，則視為違反了策略規(guī)則包含附件對發(fā)送的郵件是否包含附件做控制。附件名稱對發(fā)送郵件的附件名稱進行控制,如果發(fā)送郵件的附件名稱包含了設(shè)置的敏感詞,則視為違反了策略規(guī)則；郵件大小(=KB)對發(fā)送的郵件大小進行控制,如果郵件大小超過了管理員設(shè)置的值,則視為違反了策略規(guī)則對于違反了策略的郵件發(fā)送，策略可設(shè)置禁止發(fā)送， 以及告警等動作。 設(shè)為禁止時發(fā)送時郵件會發(fā)送失敗， 設(shè)置為告警時， 系統(tǒng)后臺會為此次的發(fā)送動作產(chǎn)生告警。

21、2.3.10. 即時通訊控制2.3.10.1 需求描述 即時通訊聊天內(nèi)容日志系統(tǒng)支持對主流聊天工具軟件（QQ， MSN， 阿里旺旺， 飛信， Yehoo通）聊天內(nèi)容的獲取， 并保存為日志。 日志包括， 計算機名， IP地址。 發(fā)送者賬號， 接收者賬號， 聊天內(nèi)容， 以及聊天時間.系統(tǒng)支持對聊天內(nèi)容設(shè)置敏感詞。 對涉及敏感詞的聊天內(nèi)容對其自動標(biāo)示。 即時通訊傳送文件控制系統(tǒng)支持設(shè)置相關(guān)策略以控制員工使用聊天工具軟件發(fā)送文件。策略內(nèi)容包含發(fā)送時間范圍， 文件名稱。 防止公司的機密文件通過即時通訊軟件外泄。策略屬性名稱說明文件名稱設(shè)置需要控制的IM傳送的文件名稱，支持通配符,當(dāng)文件名稱包含了管理員所

22、設(shè)置的敏感詞時,則視為違反了策略規(guī)則；限制文件大小當(dāng)發(fā)送的文件大小超過了管理員設(shè)置的限定值時，則視為違反了策略規(guī)則；發(fā)送時間范圍指策略在此時間范圍內(nèi)生效，可以設(shè)置為全天。即策略所有時間生效。對于違反了策略的即時通訊發(fā)送文件。 策略可設(shè)置禁止發(fā)送，告警， 備份等動作。 設(shè)置為禁止時， 發(fā)送文件會失敗， 設(shè)置為告警時，系統(tǒng)后臺會為此次的發(fā)送動作產(chǎn)生告警。 設(shè)置為備份時， 系統(tǒng)自動把發(fā)送的文件備份在后臺。2.3.10.2 查詢統(tǒng)計 系統(tǒng)可按計算機名或用戶名查詢所有聊天記錄列表，列表內(nèi)容包括聊天工具名稱，計算機名、用戶名、聊天賬號名稱、對方賬號名稱、開始時間、結(jié)束時間，聊天句數(shù)；統(tǒng)計每種工具聊天記錄總

23、數(shù)； 系統(tǒng)支持選定聊天記錄， 查詢此次聊天記錄的上下文。 系統(tǒng)支持按計算機名或用戶名統(tǒng)計敏感關(guān)鍵字出現(xiàn)的次數(shù)， 并查看涉及敏感關(guān)鍵字的聊天內(nèi)容的詳細日志，以及聊天上下文。2.3.11 資產(chǎn)管理2.3.11.1需求描述 硬件資產(chǎn)管理 系統(tǒng)自動掃描并記錄客戶端計算機的硬件信息日志，日志記錄包括，計算機名，CUP型號,內(nèi)容型號，硬盤型號，網(wǎng)卡型號，顯卡型號等。 系統(tǒng)自動檢測客戶端計算機硬件信息的添加/刪除信息。并把此信息記錄為日志。形成計算機硬件資產(chǎn)變更日志。 日志內(nèi)容包括，變更動作（添加/刪除），變更時間，計算機名，資產(chǎn)類型（CPU，硬盤等）. 以及描述（指硬件資產(chǎn)類型的描述， 如資產(chǎn)類型為CUP

24、時，描述可為CUP的型號，主頻等信息） 軟件資產(chǎn)管理 系統(tǒng)自動掃描并記錄客戶端計算機所安裝的指定的軟件信息日志,日志記錄包括,計算機名,軟件名稱,軟件描述等。 系統(tǒng)能自動檢測檢測客戶端計算機指定的軟件的添加/刪除信息。并把此信息記錄為日志。形成計算機軟件資產(chǎn)變更日志。日志內(nèi)容包括,變更動作（添加/刪除）,變更時間，計算機名，軟件類型，以及描述。 系統(tǒng)支持進行大規(guī)模的軟件部署和安裝,卸載。能夠自動進行大規(guī)模的軟件部署和安裝，也可以復(fù)制文件或者應(yīng)用程序到客戶端計算機，在傳輸過程中支持斷點續(xù)傳，安裝時允許通過后臺安裝或交互安裝兩種方式進行；能掃描出客戶端計算機上已安裝的軟件列表和版本；可在策略中設(shè)置

25、禁止安裝的應(yīng)用程序列表；管理員可對客戶端已安裝軟件進行卸載；2.3.12 遠程維護2.3.12.1 需求描述系統(tǒng)支持管理員對客戶機進行遠程控制， 以方便管理員對客戶機進行遠程維護。 控制時由客戶機發(fā)送請求。 管理員接收到請求，同意后就可以對客戶進行遠程控制， 對客戶機進行遠程維護， 控制功能參考windows自帶的遠程控制軟件。 遠程控制時，支持管理員向客戶機傳輸文件。2.3.13 移動存儲控制2.3.13.1 需求描述 記錄移動存儲設(shè)備在網(wǎng)絡(luò)內(nèi)的使用 系統(tǒng)自動檢測移動存儲設(shè)備的接入,拔出。對客戶端計算機移動存儲設(shè)備的接入,拔出記錄日志。 日志內(nèi)容包括：計算機名,動作類型(接入/拔出),時間，

26、 以及移動設(shè)備ID,卷標(biāo),容量等信息。 對移動存儲設(shè)備的讀寫控制系統(tǒng)可以設(shè)置相關(guān)策略，控制客戶端計算機對移動存儲設(shè)備的操作。 策略內(nèi)容包括，時間范圍，是否可讀,可寫。 策略屬性名稱說明時間滿園指策略在此時間范圍內(nèi)生效,可以設(shè)置為全天。即策略所有時間生效。可讀指客戶端計算機可以讀取移動存儲器的內(nèi)容。可寫指客戶端計算機可以寫移動存儲器。 移動存儲設(shè)備中的文檔進行加解密系統(tǒng)可以設(shè)置策略， 對客戶端計算機在讀取/寫入移動存儲設(shè)備時，自動進行加密/解密操作，以限制移動存儲設(shè)備在其它地方使用。3. 總體設(shè)計3.1網(wǎng)絡(luò)拓撲結(jié)構(gòu)3.2硬件系統(tǒng)設(shè)計3.2.1服務(wù)器及網(wǎng)絡(luò)設(shè)備目前計劃采用的方式是：1臺高性能服務(wù)器

27、、3臺中檔次服務(wù)器、整個網(wǎng)絡(luò)使用10兆以太網(wǎng)或光纖網(wǎng)絡(luò)；具體配置建議，請參看硬件設(shè)備清單。3.3安全設(shè)計3.3.1身份認證為保證安全可信接入，平臺為Web操作平臺及第三方系統(tǒng)提供身份認證功能，實現(xiàn)它們安全接入平臺的相互身份認證。3.3.2信息安全信息安全主要包括信息完整性安全和信息保密傳輸安全，信息安全設(shè)計通過數(shù)據(jù)完整性、信息保密和抗抵賴等安全服務(wù)，使用國密局批準認可的SM1算法硬加密機制，保證移動應(yīng)用系統(tǒng)中信息內(nèi)容在存取、處理和傳輸中保持其機密性、完整性和可用性，確保信息系統(tǒng)主體的可控性和可審計性等特征。(1) 數(shù)據(jù)加密傳輸功能為各種警務(wù)信息傳輸安全，傳輸過程將對數(shù)據(jù)進行加密傳輸。(2) 數(shù)

28、據(jù)完整性保護功能可檢測和發(fā)現(xiàn)數(shù)據(jù)在傳輸過程中是否被修改。3.3.3網(wǎng)絡(luò)系統(tǒng)安全網(wǎng)絡(luò)系統(tǒng)安全是保障網(wǎng)絡(luò)通信基礎(chǔ)設(shè)施、網(wǎng)絡(luò)上的各種系統(tǒng)及各種應(yīng)用軟件的正常運行。它建立在物理安全的基礎(chǔ)之上，主要包括網(wǎng)絡(luò)隔離、操作系統(tǒng)安全、網(wǎng)絡(luò)通信系統(tǒng)安全、網(wǎng)絡(luò)攻擊防范、病毒防范、災(zāi)難應(yīng)急處理、日志管理與審計跟蹤等幾個方面，是實現(xiàn)整個應(yīng)用系統(tǒng)安全的基礎(chǔ)。3.3.4應(yīng)用安全防火墻、短消息安全接入系統(tǒng)、IP安全接入系統(tǒng)、鑒別評估管理系統(tǒng)、各種應(yīng)用服務(wù)器等都應(yīng)具備全面的訪問日志，以方便系統(tǒng)管理員對訪問該服務(wù)器的行為進行有效的審計和分析，以便發(fā)現(xiàn)攻擊、非法訪問的來源，及時調(diào)整系統(tǒng)安全策略，確保整個系統(tǒng)及相關(guān)信息的安全。3.4

29、關(guān)鍵技術(shù)實現(xiàn) 網(wǎng)絡(luò)流量的控制當(dāng)某些機器的網(wǎng)絡(luò)上傳下載流量影響到整個網(wǎng)絡(luò)時，可提供相關(guān)的功能對其進行限速，以達到網(wǎng)絡(luò)平衡的狀態(tài)，這項技術(shù)需要嘗試研究； 遠程控制功能類似QQ遠程協(xié)助，需要做技術(shù)研究；附錄一 公司簡介江西優(yōu)碼創(chuàng)達軟件技術(shù)有限公司是一家專業(yè)從事軟件技術(shù)開發(fā)服務(wù)及提供公共網(wǎng)絡(luò)應(yīng)用與安全管理整體解決方案的雙軟認定企業(yè)，是公安部授權(quán)認可的全國9家互聯(lián)網(wǎng)內(nèi)容安全與行為審計軟件供應(yīng)商之一。公司自2003年成立以來，一直保持全面快速成長，立足于行業(yè)軟件研發(fā)，廣泛從事著與互聯(lián)網(wǎng)安全、管理決策信息化有關(guān)的各項業(yè)務(wù)，專業(yè)提供互聯(lián)網(wǎng)內(nèi)容安全和行為審計與監(jiān)督整體解決方案及系統(tǒng)集成服務(wù)。2006年通過國家信息產(chǎn)業(yè)部門的軟件企業(yè)及產(chǎn)品資格認證。通過不斷自主知識產(chǎn)權(quán)核心