联想网御内网安全管理系统是联想网御安全管理系统的重要组成部分，由终端管理系统、补丁管理系统和文件保密管理系统组成。终端管理系统帮助用户实现桌面行为监管、外设和接口管理、准入控制、非法外联监控和终端资产管理功能。补丁管理系统帮助用户实现系统漏洞分析、补丁自动分发、分发策略管理和分发流量控制功能。文件保密管理系统帮助用户实现对文件、目录、磁盘和U盘的保密管理功能。

终端隐患一网打尽
系统采用底层监控技术对终端用户的外设接口使用行为进行控制，可以禁止使用USB存储设备、打印机、红外接口等外设和接口，同时支持对敏感文件进行加密，防止重要数据外泄。系统支持对终端用户的程序使用、文件访问、上网行为、端口通信、网络共享、资产变更等行为进行监控、审计和管理，消除终端安全隐患。

　　系统以强制执行内部安全策略为核心，通过在服务器端统一编辑安全策略并下发到内部各终端计算机上强制执行，完成对终端计算机集中的安全防护和行为监管，防止用户对内部资源的非授权访问和重要信息外泄，提高终端自身安全性，实现终端从自主安全管理到强制安全管理的飞跃，保证内网用户行为的合规性。

　　系统遵循CSC关联安全标准，可以与防火墙/网闸/UTM等网关设备进行有机联动，共同防御网络内部和边界的安全威胁，实现全网安全。当内部终端计算机发生违规行为，或有外来主机非法接入内部网络时，系统可以通知网关设备对违规主机和非法主机进行阻断，保证网络资源的安全性。

　　联想网御内网安全管理系统由服务器、客户端和控制台三部分组成。

服务器：用于管理终端计算机的资产和系统信息、漏洞补丁数据、所应用的安全略等，并向终端计算机的客户端发送监控指令等。

控制台：是对服务器进行操作的控制界面，用于监控每台安装有客户端的终端计算机，制定安全策略，下达对终端计算机的监控指令等。

 

　　联想网御内网安全管理系统部署简单方便，只需将服务器部署在服务器区内，控制台部署在管理区内，客户端程序安装到被管理的终端计算机上，对系统进行策略配置，就可以实现对内网计算机的安全管理功能。典型部署方式图所示。

 

　　补丁管理系统支持多级部署方式，可满足大型网络和分布式网络补丁分发管理的需求，部署方式如图所示。

产品特性与功能 

功能分类
功能点
功能详细描述

桌面安全

桌面保护
可查看终端上的用户账号及权限，并可修改用户密码

可配置终端允许访问的网络端口和被访问的本地网络端口

可检测终端是否安装防病毒软件

桌面审计
可对终端的用户变化、文件访问、上网、程序使用、端口通信、网络共享、打印等行为进行审计与管理

可对即时通讯程序（MSN、QQ等）内容进行审计与管理

可对终端用户屏幕进行抓取与审计

桌面管理
支持对终端的运行进程、已安装软件和自启动组进行管理

支持远程锁定、注销、重启、关闭终端计算机

支持远程协助、远程控制、桌面消息通知

遵循CSC关联安全标准，对于违规计算机，可通过防火墙/网闸/UTM联动阻止其网络通信

外设控制

可禁用软驱、光驱、磁带机、移动存储设备等，可设置移动存储设备为只读，并可对移动存储设备进行认证，通过认证的移动存储设备可在指定的终端上使用

可禁用串口和并口、SCSI接口、蓝牙设备、红外设备、调制解调器、USB接口、1394接口、PCMCIA插槽等

可针对终端在线/离线状态分别配置外设安全控制策略

安全准入
准入控制
可检测在线主机，识别非法主机

可阻断非法主机的网络连接

支持IP/MAC地址绑定

准入管理
可设置信任主机、超级主机等

遵循CSC关联安全标准，对于非法接入主机，可通过防火墙/网闸/UTM联动阻止其网络通信

外联监控
非法外联监控
可监控用户的非法拨号行为

可监控终端连接非法主机行为

非法外联管理
可禁止终端拨号网络功能，禁止终端连接非法主机

资产管理
资产统计
可收集终端硬件和软件信息

资产变更处理
可对终端硬件和软件资产变更进行审计和处理

软件授权管理
可统计终端上非授权软件的使用情况

补丁分发
补丁分发
可进行终端漏洞分析，下发所缺补丁/自选补丁/自定义补丁

可配置补丁分发策略

支持通过测试组计算机进行补丁完整性和兼容性测试

支持补丁回退和补丁增量更新

补丁管理
支持对自定义补丁进行添加、删除、查询和信息修改

软件分发
支持对自定义软件进行管理和分发

任务管理
可配置补丁分发的当前任务、历史任务、计划任务

流量控制
支持分发线程数调节、占用网络带宽设置、P2P文件传输

级联功能
补丁分发服务器可支持无限级联功能

文件保密
文件加密
可对指定文件进行加密

保密目录
可对指定文件目录进行加密、隐藏和网络防护

保密磁盘
可对指定磁盘进行加密、隐藏和网络防护

保密U盘
可对U盘进行整盘加密