网络安全产品的优点

㈠ 各种杀毒软件的优缺点

瑞星的优劣：
1.瑞星2007的最大亮点是添加了脱壳技术，这对有些顽固的病毒绝对是致命的打击！
2.预杀式无毒安装；首创网络游戏防盗抢功能的个人防火墙；针对冲击波等漏洞型网络病毒设计的漏洞扫描系统；这些都做的很好！
3.瑞星2007虽然在占用资源方面有很大的改变，但是其最大的问题仍然是占有的资源较大，让有些新手有点不适应，由于他们不明白进程，如果进程开多了，安装这个软件容易死机。 4.这个软件对有些木马几乎成为摆设，没有用途，它防杀木马效果差。
5.瑞星虽然2009版本扫描速度有所改进，但是这速度明显不如江民。
6. 瑞星2010从操作界面到杀毒能力，比09版都有很大的进步，特别是上报文件系统，没有任何的不清楚的地方，设置较人性化，杀毒能力进步也很明显。
金山毒霸2009功能和技术亮点
1.超大病毒库+智能主动防御+互联网可信认证 病毒库病毒样本数量增加5倍；
2.7×24小时全天候主动实时升级 日最大病毒处理能力提高100倍；文件实时防毒 紧急病毒响应时间缩短到1小时以内；
3.智能主动漏洞修复 采用快速漏洞补丁下载技术和漏洞数据自动收集技术；
4.MSN 聊天加密功能 网页防挂马，嵌入式防毒，隐私保护；木马/黑客防火墙 邮件实时监控，垃圾邮件快捷过滤；
5.智能主动漏洞修复 采用快速漏洞补丁下载技术和漏洞数据自动收集技术；
6.彻底查杀木马/病毒 抢杀技术，首创流行病毒免疫器，定时杀毒；
7. 恶意行为主动拦截 金山网镖自动识别联网程序的安全性自保护能力提升；
8. 新的病毒收集客户端模块集成金山清理专家 在线系统诊断，集合系统修复工具系统安全增强计划；
9. 在线客服，虚拟上门服务，一对一安全诊断。
卡巴斯基的优缺点
卡巴斯基随着360的宣传，已经是国内家喻户晓的反病毒产品了，相对有些国内的杀毒软件，它绝对是个好东东，让我们来认识它一下：
1.几乎所有的功能都是在后台模式下运行，但是占用资源很高！（256MB以上内存运行可以很流畅）
2.最具特色的是该产品每2小时更新病毒代码！
3.更新文件只有3-20kb，对网络带宽的影响极其微小，能确保用户系统得到最为安全的保护！ 4.对木马的查杀优于很多国内软件！
5.但是该软件对电脑的硬件和软件要求相对较高！如IE最好要在5.5以上等等。
6.有些电脑是老爷机，那就一定不要用这个软件！（CPU最好在2.0以上，内存最好在256MB以上）
7.杀毒速度慢。（扫描文件过多）
江民的优点和不足：
1.KV2005采用了先进的“立体联动防杀技术”，即杀毒软件与防火墙联动防毒、同步升级，对于防范集蠕虫、木马、后门程序等特性于一体的混合型病毒更有效！
2.KV2008突出特点是独创的“系统级深度防护技术”与操作系统互动防毒，彻底改变以往杀毒软件独立于操作系统和防火墙的单一应用模式，开创杀毒软件系统级病毒防护新纪元，还加入了“沙盘”技术，很有自己的特点。
3.采用先进的“驱动级编程技术”，能够与操作系统底层技术更紧密结合，具有更好的兼容性，占用系统资源更小。
4.防火墙是江民2008年推出的新产品，但是显然技术含量不高，效果也不好。
5.对木马的查杀虽优于瑞星，但仍显不足，但它的病毒库小，可能是因为使用的人少，所以举报病毒的人也少了！（江民新增启发式，可以防杀未知病毒）
6.占用内存过大，由于监控方面过多。但是江民2009的主动防御有着明显的改善，完全可以通过自己的设置节省资源。
7.扫描速度国内最快，因为排除了一些无用的文件（ctf,fps等），大大节省扫描时间！
麦咖啡（McAfee®）杀毒软件
1.革命性的 McAfee 主动保护技术可针对当前的威胁提供即时保护，并可达到最高的检测率。
2.新技术能够识别未知的病毒，并及时阻止新威胁。
3.McAfee 以静默方式在后台运行，同时改进了性能（升级功能），顺畅地玩游戏、看视频和工作，丝毫不受干扰。
4.身份信息窃取防护和反网络钓鱼软件都有助于确保身份信息的安全，更安全地在线购物、处理银行业务和交易。
5.Parental Controls 功能可让您对孩子上网的时间和所能浏览的内容进行控制。
6.全新的电池模式可以降低功耗，将耗电的扫描工作推迟到 PC 插入电源后再进行，增加笔记本在繁忙时刻的使用时间。
7.在线帐户管理功能可以轻松将其他 PC 添加到您的订购当中，保护家中所有的 PC。 8.QuickClean 能够安全删除那些既降低 PC 运行速度又占用硬盘空间的垃圾文件。 McAfee 让每个人都能轻松使用 PC 保护和在线保护。此“设置好即可高枕无忧”的解决方案可以保护您的家人和您的 PC 免受病毒、间谍软件、黑客、在线诈骗者、身份信息窃贼和其他计算机罪犯的侵扰。
McAfee 的安全产品使用屡获殊荣的技术，不但易于安装，而且提供无限的电子邮件和聊天帮助。McAfee 通过不间断的自动更新来确保您在订购期内获得最新的安全保护，抵御 Internet 上不断变化的威胁。
诺顿的优缺点
诺顿09版优点：
1.界面比较友好，人性化，操作简单易懂；
2.Norton Insight 此功能很新颖，对加快计算机运行速度很有用；
3.在网络防护方面很强大，智能性较高；
4.运行时占内存较少
诺顿09版缺点：
1. 安装诺顿09后系统启动很慢，瑞星杀毒软件对系统的启动速度几乎没什么影响，相比之下诺顿在这方面差很多；
2. 运行时占CPU高，特别是当系统在做一些平常操作时（未连网络）；
3. Norton Insight收集好文件信息后不能批量检查安全性，比较麻烦；
4. 界面上的语言有些过于术语化，比起其它杀毒软件来说更适用于专业人士，一般人可能不懂含义，比如：“Rootkit 和隐藏项目扫描”，“SONAR 高级防护”，“脉动更新”，“网络安全拓扑图”等等；
5. 文件扫描速度较慢，且占CPU很高
360安全卫士的优缺点
优点——360安全卫士使用很方便，也是免费的，用户应该是木马类最多的。对待正在发生或者即将发生的程序360有提前抵御的本领，而且拦截网页木马也非常奏效。这里提醒大家360安全卫士搭建360浏览器是一个不错的选择。
缺点——360安全卫士在这次测试中非常不幸，没有一个过了，360杀毒软件安装了等于没安装，除了对付几年前的老病毒还有点用外，对于新木马、新毒种以及未知病毒的查杀能力就像耗子见到猫一样。 这里还要说，360安全卫士的自我防御体系非常差，僵尸木马完全可以提前控制360安全卫士，令它不能打开自我保护。而360顽固木马查杀也不奏效，它必须在联网的模式下才能查杀，但是一旦联网，僵尸木马又会突破防火墙下载病毒木马，这是一个非常严重的弊端。说句实话，瑞星卡卡的生命力的确比360安全卫士更坚韧，当然，这其中肯定包括不少木马是针对防御360而设计的。所以在这点上两者可以互补。
有如下特点：
1、完全免费。
2、拥有免费的ARP病毒防火墙，可阻挡ARP病毒，迅速查找ARP病毒源，有效防止ARP病毒泛滥。
3、清理流氓软件，让你的系统运行速度加快。
4、检测系统漏洞，及时更新补丁，尤其适用于盗版用户。
5、检测第三方软件漏洞，堵塞病毒木马的最新入口。

㈡ 计算机网络安全防范的好处

1. 网络安全的具体含义会随着“角度”的变化而变化。比如：从用户（个人、企业等）的角度来说，他们希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护，避免其他人或对手利用窃听、冒充、篡改、抵赖等手段侵犯用户的利益和隐私。
2.
随着计算机技术的飞速发展，信息网络已经成为社会发展的重要保证。有很多是敏感信息，甚至是国家机密。所以难免会吸引来自世界各地的各种人为攻击（例如信息泄漏、信息窃取、数据篡改、数据删添、计算机病毒等）。同时，网络实体还要经受诸如水灾、火灾、地震、电磁辐射等方面的考验。
计算机犯罪案件也急剧上升，计算机犯罪已经成为普遍的国际性问题。据美国联邦调查局的报告，计算机犯罪是商业犯罪中最大的犯罪类型之一，每笔犯罪的平均金额为45000美元，每年计算机犯罪造成的经济损失高达50亿美元。
3.威胁网络安全因素
自然灾害、意外事故；计算机犯罪； 人为行为，比如使用不当，安全意识差等；黑客” 行为：由于黑客的入侵或侵扰，比如非法访问、拒绝服务计算机病毒、非法连接等；内部泄密；外部泄密；信息丢失；电子谍报，比如信息流量分析、信息窃取等； 信息战；网络协议中的缺陷，例如TCP/IP协议的安全问题等等。
网络安全威胁主要包括两类：渗入威胁和植入威胁渗入威胁主要有：假冒、旁路控制、授权侵犯；
植入威胁主要有：特洛伊木马、陷门。
陷门：将某一“特征”设立于某个系统或系统部件之中，使得在提供特定的输入数据时，允许安全策略被违反。
4. 在网络设备和网络应用市场蓬勃发展的带动下，近年来网络安全市场迎来了高速发展期，一方面随着网络的延伸，网络规模迅速扩大，安全问题变得日益复杂，建设可管、可控、可信的网络也是进一步推进网络应用发展的前提；另一方面随着网络所承载的业务日益复杂，保证应用层安全是网络安全发展的新的方向。
随着网络技术的快速发展，原来网络威胁单点叠加式的防护手段已经难以有效抵御日趋严重的混合型安全威胁。构建一个局部安全、全局安全、智能安全的整体安全体系，为用户提供多层次、全方位的立体防护体系成为信息安全建设的新理念。在此理念下，网络安全产品将发生了一系列的变革。
结合实际应用需求，在新的网络安全理念的指引下，网络安全解决方案正向着以下几个方向来发展：
主动防御走向市场
主动防御的理念已经发展了一些年，但是从理论走向应用一直存在着多种阻碍。主动防御主要是通过分析并扫描指定程序或线程的行为，根据预先设定的规则，判定是否属于危险程序或病毒，从而进行防御或者清除操作。不过，从主动防御理念向产品发展的最重要因素就是智能化问题。由于计算机是在一系列的规则下产生的，如何发现、判断、检测威胁并主动防御，成为主动防御理念走向市场的最大阻碍。
由于主动防御可以提升安全策略的执行效率，对企业推进网络安全建设起到了积极作用，所以尽管其产品还不完善，但是随着未来几年技术的进步，以程序自动监控、程序自动分析、程序自动诊断为主要功能的主动防御型产品将与传统网络安全设备相结合。尤其是随着技术的发展，高效准确的对病毒、蠕虫、木马等恶意攻击行为的主动防御产品将逐步发展成熟并推向市场，主动防御技术走向市场将成为一种必然的趋势。
安全技术融合备受重视
随着网络技术的日新月异，网络普及率的快速提高，网络所面临的潜在威胁也越来越大，单一的防护产品早已不能满足市场的需要。发展网络安全整体解决方案已经成为必然趋势，用户对务实有效的安全整体解决方案需求愈加迫切。安全整体解决方案需要产品更加集成化、智能化、便于集中管理。未来几年开发网络安全整体解决方案将成为主要厂商差异化竞争的重要手段。
软硬结合，管理策略走入安全整体解决方案
面对规模越来越庞大和复杂的网络，仅依靠传统的网络安全设备来保证网络层的安全和畅通已经不能满足网络的可管、可控要求，因此以终端准入解决方案为代表的网络管理软件开始融合进整体的安全解决方案。终端准入解决方案通过控制用户终端安全接入网络入手，对接入用户终端强制实施用户安全策略，严格控制终端网络使用行为，为网络安全提供了有效保障，帮助用户实现更加主动的安全防护，实现高效、便捷地网络管理目标，全面推动网络整体安全体系建设的进程。

㈢ 金盾全面内网安全软件的优势

金盾CIS5采用了高度模块化设计，包含了网络安全管理、网络行为管理、网络维护管理、加密解密管理、windows补丁管理、IT资产和维修管理、网络通信管理、网络工具、报警管理9大子系统，其核心是实现全面内网安全的管理、控制、监督、决策。与传统的网管软件、防火墙、内网安全软件、加密软件相比，她具有更强的监控和防范功能。一体化的解决方案安全设计，并广泛支持各种复杂的网络和集团化应用。同时，他具有高度模块化的商业智能，用户可根据自己的安全需要，任意组合，自由选择，构建一套为客户按需定做的面向不同行业，不同用户的独特解决方案和应用软件包。
金盾CIS5是一个强有力的软件包，她提炼并升华了国内市场上的主流产品的优势以及华软近3000家用户的管理需求，同时注入了互联网时代企业管理面临的众多挑战的管理理念。金盾CIS5在强调企业内部管理的同时，同时关注外网的安全，尤其是内网人员在访问外网时的规范，如“程序黑白名单、网站黑白名单，互联网带宽分配”等，有效防止内网人群对互联网资源的滥用和带宽的非法占用。金盾CIS5可以帮助企业的高管或信息主管把众多的客户端纳入到一个紧密的管控平台，根据不同的角色和权限，针对每个客户端施加不同的策略，既保证每个客户端的正常有序工作，又能全程监控客户端的所有操作，如：“网站审计、文件审计、打印审计、IM（QQ/MSN/YAHOO通/UC/SKYPE/淘宝旺旺/贸易通）审计、邮件审计、屏幕快照、多屏监视、屏幕录像”等，满足企业对网络使用规范和管理制度的有效执行，以期进一步提高市场竞争的比较优势。
金盾CIS5全面满足集团化企业的应用，支持多组织架构管理，可分散部署，集中管理或集中部署，集中管理，其管理特征为，一个数据中心，二大管控平台，三层产品架构，九大产品子系统，N个服务端，N个总控中心或分控中心。随着中国经济持续高速增长，企业的兼并重组、合纵连横步伐明显加快，集团性经营成为发展的必然趋势。面对全球一体化和激烈的市场竞争，集团企业面临更加复杂和严峻的生存环境。在管理方面，集团与单体企业相比具有跨地域、跨行业等特点，面临的管理问题更多，更为复杂：由于管理跨度大、层次多，集团对分子公司的控制乏力；由于信息不能及时、准确地收集和传递，导致集团决策滞后、市场反馈迟缓；由于缺乏有效的调配手段，网络利用率低、成本高、风险大。为适应市场发展需求，华软在国内独家推出全面支持集团化管理的软件产品，在金盾CIS5一套软件中，可实现集团公司对N个下属机构一体化管理，也可实现分支机构的自我管理，从根本上实现了集中管控和分权控制的对立统一。
信息安全的终极目标是保障信息在存储和使用时的安全。信息安全的漏洞既可以存在于有线或无线、固定或移动网络之中，也可以是通过USB 等设备接口经由直接的物理接触构成，例如，封堵USB 盘窃取文件，但仅仅有这些是远远不够的，从理论上讲，只要图档是明文存放的就有泄密的可能。金盾CIS5在内网安全方面为用户提供了众多的安全漏洞的封堵和管理，如：“USB设备和存储管理、红外设备、蓝牙、打印机、新增设备、新装软件”等管理。同时又提供了加密解密管控平台，从根本上杜绝图档等重要数据的泄露，而且在泄密途径上进行防范，如：收发邮件加密，IM工具传输加密，防复制粘贴等所有可能的泄密途径进行规避，本功能采取了国内领先的透明加密解密技术，以不影响客户端的正常工作为目标，以不损坏文件的内容为终极设计理念，具有全盘数据加密以及灾难恢复等独到功能。而且在国内首次采用了指纹设备的认证技术，方便用户的移动办公，只有具有相符指纹特征的人员可对文件进行读写，达到了在内网和离开内网同样强度防护的目的。本设备采用美国最先进活体指纹采集技术，精确可靠，航天级特种纳米涂层工艺处理指纹采集头，经久耐用。
金盾CIS5产品不仅是企业全面内网安全的应用平台，而且也是企业中各个部门或下级与上级协同工作的管控平台，针对大型企业规范化程度高、流程环节严密，内部数据保密强度高等特点，金盾CIS5提供了工作流管理,主要应对加密文件的解密的审批流程。通过解密流程管理，用户可根据自己的组织架构的特点设计解密审批流程和权限，并且采用了推的管理方法将审批信息自动传递给相关领导，极大的提高了解密处理的灵活性。智能化的系统提示，图形化的使用界面，让使用者可以在一个友善的环境中利用最少的时间完成最有效的工作，解决了业内软件普遍存在的解密流程复杂或不可控的顽疾。
在一个庞大的网络内，网管人员维护客户端的工作量是巨大的，同时病毒也是一个需要面对的首要命题。金盾CIS5为网管提供了强大的维护网络的工具，如：远程控制、远程文件管理、远程配置、远程IP资源维护等，使得的网管足不出户就可实现对全网的客户端维护，极大减轻了网管人员的工作量。面对病毒的肆虐，金盾CIS5提供了有力的防护工具，可全自动实现windows补丁以及office等所有微软产品补丁的同步下载和分发，及时封堵漏洞，不给危险分子以可乘之机。同时金盾CIS5实现了与各大杀毒软件的联动，如：瑞星、江民、金山、卡巴斯基、趋势、诺顿等，没有安装杀毒软件的禁止接入内网，客户端出现病毒，自动报警，自动阻断，为有效防止病毒侵入内网提供了安全的管理工具。近几年，“内贼”事件频繁发生，其特征为一种确为内部人员所为，一种是非法接入内网的非法用户所为，在金盾CIS5中，除深度关注合法内网人群的非法行为之外，还重点对非法接入内网的用户进行了众多功能上的防范，例如：“禁止非法外联、IP与MAC地址绑定、非法用户接入内网报警、非法用户禁止访问内网外网”等，在内网的合法用户之间构筑一道不可逾越的安全的“墙”，把非法用户坚决隔离在“墙”外。

㈣ 网络安全技术的使用益处

保护脆弱的服务
通过过滤不安全的服务，Firewall可以极大地提高网络安全和减少子网中主机的风险。
例如，Firewall可以禁止NIS、NFS服务通过，Firewall同时可以拒绝源路由和ICMP重定向封包。
控制对系统的访问
Firewall可以提供对系统的访问控制。如允许从外部访问某些主机，同时禁止访问另外的主机。例如，Firewall允许外部访问特定的Mail Server和Web Server。
集中的安全管理
Firewall对企业内部网实现集中的安全管理，在Firewall定义的安全规则可以运用于整个内部网络系统，而无须在内部网每台机器上分别设立安全策略。如在Firewall可以定义不同的认证方法，而不需在每台机器上分别安装特定的认证软件。外部用户也只需要经过—次认证即可访问内部网。
增强的保密性
使用Firewall可以阻止攻击者获取攻击网络系统的有用信息，如Finger和DNS。
记录和统计网络利用数据以及非法使用数据
Firewall可以记录和统计通过Firewall的网络通讯，提供关于网络使用的统计数据，并且，Firewall可以提供统计数据，来判断可能的攻击和探测。
策略执行
Firewall提供了制定和执行网络安全策略的手段。未设置Firewall时，网络安全取决于每台主机的用户。 网络策略
影响Firewall系统设计、安装和使用的网络策略可分为两级，高级的网络策略定义允许和禁止的服务以及如何使用服务，低级的网络策略描述Firewall如何限制和过滤在高级策略中定义的服务。
服务访问策略
服务访问策略集中在Internet访问服务以及外部网络访问（如拨入策略、SLIP/PPP连接等）。
服务访问策略必须是可行的和合理的。可行的策略必须在阻止己知的网络风险和提供用户服务之间获得平衡。典型的服务访问策略是：允许通过增强认证的用户在必要的情况下从Internet访问某些内部主机和服务；允许内部用户访问指定的Internet主机和服务。
Firewall设计策略
Firewall设计策略基于特定的firewall，定义完成服务访问策略的规则。通常有两种基本的设计策略：
允许任何服务除非被明确禁止；
禁止任何服务除非被明确允许。
通常采用第二种类型的设计策略。 虚拟补丁
虚拟补丁也成VPatch，旨在通过控制受影响的应用程序的输入或输出，来改变或消除漏洞。这些漏洞给入侵者敞开了大门，数据库厂商会定期推出数据库漏洞补丁，由于数据库打补丁工作的复杂性和对应用稳定性的考虑，大多数企业无法及时更新补丁。数据库防火墙提供了虚拟补丁功能，在数据库外的网络层创建了一个安全层，在用户在无需补丁情况下，完成数据库漏洞防护。DBFirewall支持22类，460个以上虚拟补丁。
包过滤型
包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术.网络上的数据都是以包为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址,目标地址,TCP/UDP源端口和目标端口等.防火墙通过读取数据包中的地址信息来判断这些包是否来自可信任的安全站点 ,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外.系统管理员也可以根据实际情况灵活制订判断规则.
包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全.
但包过滤技术的缺陷也是明显的.包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源,目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒.有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙.
网络地址转换(NAT)
是一种用于把IP地址转换成临时的,外部的,注册的IP地址标准.它允许具有私有IP地址的内部网络访问因特网.它还意味着用户不需要为其网络中每一台机器取得注册的IP地址.
在内部网络通过安全网卡访问外部网络时,将产生一个映射记录.系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址.在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问.OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全.当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中.当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求.网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可.
代理型
代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展.代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流.从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机.当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机.由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统.
代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效.其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。
监测型
防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义.监测型防火墙能够对各层的数据进行主动的,实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入.同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用.据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部.因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品
虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以在实用中的防火墙产品仍然以第二代代理型产品为主,但在某些方面也已经开始使用监测型防火墙.基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术.这样既能够保证网络系统的安全性需求,同时也能有效地控制安全系统的总拥有成本.
实际上,作为当前防火墙产品的主流趋势,大多数代理服务器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势.由于这种产品是基于应用的,应用网关能提供对协议的过滤.例如,它可以过滤掉FTP连接中的PUT命令,而且通过代理应用,应用网关能够有效地避免内部网络的信息外泄.正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。 分析安全和服务需求
以下问题有助于分析安全和服务需求：
√ 计划使用哪些Internet服务(如http，ftp，gopher)，从何处使用Internet服务(本地网，拨号，远程办公室)。
√ 增加的需要，如加密或拔号接入支持。
√ 提供以上服务和访问的风险。
√ 提供网络安全控制的同时，对系统应用服务牺牲的代价。
策略的灵活性
Internet相关的网络安全策略总的来说，应该保持一定的灵活性，主要有以下原因：
√ Internet自身发展非常快，机构可能需要不断使用Internet提供的新服务开展业务。新的协议和服务大量涌现带来新的安全问题，安全策略必须能反应和处理这些问题。
√ 机构面临的风险并非是静态的，机构职能转变、网络设置改变都有可能改变风险。
远程用户认证策略
√ 远程用户不能通过放置于Firewall后的未经认证的Modem访问系统。
√ PPP/SLIP连接必须通过Firewall认证。
√ 对远程用户进行认证方法培训。
拨入/拨出策略
√ 拨入/拨出能力必须在设计Firewall时进行考虑和集成。
√ 外部拨入用户必须通过Firewall的认证。
Information Server策略
√公共信息服务器的安全必须集成到Firewall中。
√ 必须对公共信息服务器进行严格的安全控制，否则将成为系统安全的缺口。
√ 为Information server定义折中的安全策略允许提供公共服务。
√ 对公共信息服务和商业信息(如email)讲行安全策略区分。
Firewall系统的基本特征
√ Firewall必须支持．“禁止任何服务除非被明确允许”的设计策略。
√ Firewall必须支持实际的安全政策，而非改变安全策略适应Firewall。
√ Firewall必须是灵活的，以适应新的服务和机构智能改变带来的安全策略的改变。
√ Firewall必须支持增强的认证机制。
√ Firewall应该使用过滤技术以允许或拒绝对特定主机的访问。
√ IP过滤描述语言应该灵活，界面友好，并支持源IP和目的IP，协议类型，源和目的TCP/UDP口，以及到达和离开界面。
√ Firewall应该为FTP、TELNET提供代理服务，以提供增强和集中的认证管理机制。如果提供其它的服务(如NNTP，http等)也必须通过代理服务器。
√ Firewall应该支持集中的SMTP处理，减少内部网和远程系统的直接连接。
√ Firewall应该支持对公共Information server的访问，支持对公共Information server的保护，并且将Information server同内部网隔离。
√ Firewall可支持对拨号接入的集中管理和过滤。
√ Firewall应支持对交通、可疑活动的日志记录。
√ 如果Firewall需要通用的操作系统，必须保证使用的操作系统安装了所有己知的安全漏洞Patch。
√ Firewall的设计应该是可理解和管理的。
√ Firewall依赖的操作系统应及时地升级以弥补安全漏洞。 (1) 安全性：即是否通过了严格的入侵测试。
(2) 抗攻击能力：对典型攻击的防御能力
(3) 性能：是否能够提供足够的网络吞吐能力
(4) 自我完备能力：自身的安全性，Fail-close
(5) 可管理能力：是否支持SNMP网管
(6) VPN支持
(7) 认证和加密特性
(8) 服务的类型和原理
(9)网络地址转换能力 病毒历来是信息系统安全的主要问题之一。由于网络的广泛互联，病毒的传播途径和速度大大加快。
我们将病毒的途径分为：
(1 ) 通过FTP，电子邮件传播。
(2) 通过软盘、光盘、磁带传播。
(3) 通过Web游览传播，主要是恶意的Java控件网站。
(4) 通过群件系统传播。
病毒防护的主要技术如下：
(1) 阻止病毒的传播。
在防火墙、代理服务器、SMTP服务器、网络服务器、群件服务器上安装病毒过滤软件。在桌面PC安装病毒监控软件。
(2) 检查和清除病毒。
使用防病毒软件检查和清除病毒。
(3) 病毒数据库的升级。
病毒数据库应不断更新，并下发到桌面系统。
(4) 在防火墙、代理服务器及PC上安装Java及ActiveX控制扫描软件，禁止未经许可的控件下载和安装。 利用防火墙技术，经过仔细的配置，通常能够在内外网之间提供安全的网络保护，降低了网络安全风险。但是，仅仅使用防火墙、网络安全还远远不够：
(1) 入侵者可寻找防火墙背后可能敞开的后门。
(2) 入侵者可能就在防火墙内。
(3) 由于性能的限制，防火墙通常不能提供实时的入侵检测能力。
入侵检测系统是新型网络安全技术，目的是提供实时的入侵检测及采取相应的防护手段，如记录证据用于跟踪和恢复、断开网络连接等。
实时入侵检测能力之所以重要首先它能够对付来自内部网络的攻击，其次它能够缩短hacker入侵的时间。
入侵检测系统可分为两类：
√ 基于主机
√ 基于网络
基于主机的入侵检测系统用于保护关键应用的服务器，实时监视可疑的连接、系统日志检查，非法访问的闯入等，并且提供对典型应用的监视如Web服务器应用。
基于网络的入侵检测系统用于实时监控网络关键路径的信息，其基本模型如右图示：
上述模型由四个部分组成：
(1) Passive protocol Analyzer网络数据包的协议分析器、将结果送给模式匹配部分并根据需要保存。
(2) Pattern-Matching Signature Analysis根据协议分析器的结果匹配入侵特征，结果传送给Countermeasure部分。
(3) countermeasure执行规定的动作。
(4) Storage保存分析结果及相关数据。
基于主机的安全监控系统具备如下特点：
(1) 精确，可以精确地判断入侵事件。
(2) 高级，可以判断应用层的入侵事件。
(3) 对入侵时间立即进行反应。
(4) 针对不同操作系统特点。
(5) 占用主机宝贵资源。
基于网络的安全监控系统具备如下特点：
(1) 能够监视经过本网段的任何活动。
(2) 实时网络监视。
(3) 监视粒度更细致。
(4) 精确度较差。
(5) 防入侵欺骗的能力较差。
(6) 交换网络环境难于配置。
基于主机及网络的入侵监控系统通常均可配置为分布式模式：
(1) 在需要监视的服务器上安装监视模块(agent)，分别向管理服务器报告及上传证据，提供跨平台的入侵监视解决方案。
(2) 在需要监视的网络路径上，放置监视模块(sensor),分别向管理服务器报告及上传证据，提供跨网络的入侵监视解决方案。
选择入侵监视系统的要点是：
(1) 协议分析及检测能力。
(2) 解码效率(速度)。
(3) 自身安全的完备性。
(4) 精确度及完整度，防欺骗能力。
(5) 模式更新速度。 网络安全技术中，另一类重要技术为安全扫描技术。安全扫描技术与防火墙、安全监控系统互相配合能够提供很高安全性的网络。
安全扫描工具源于Hacker在入侵网络系统时采用的工具。商品化的安全扫描工具为网络安全漏洞的发现提供了强大的支持。
安全扫描工具通常也分为基于服务器和基于网络的扫描器。
基于服务器的扫描器主要扫描服务器相关的安全漏洞，如password文件，目录和文件权限，共享文件系统，敏感服务，软件，系统漏洞等，并给出相应的解决办法建议。通常与相应的服务器操作系统紧密相关。
基于网络的安全扫描主要扫描设定网络内的服务器、路由器、网桥、变换机、访问服务器、防火墙等设备的安全漏洞，并可设定模拟攻击，以测试系统的防御能力。通常该类扫描器限制使用范围(IP地址或路由器跳数)。网络安全扫描的主要性能应该考虑以下方面：
(1) 速度。在网络内进行安全扫描非常耗时。
(2) 网络拓扑。通过GUI的图形界面，可迭择一步或某些区域的设备。
(3) 能够发现的漏洞数量。
(4) 是否支持可定制的攻击方法。通常提供强大的工具构造特定的攻击方法。因为网络内服务器及其它设备对相同协议的实现存在差别，所以预制的扫描方法肯定不能满足客户的需求。
(5) 报告，扫描器应该能够给出清楚的安全漏洞报告。
(6) 更新周期。提供该项产品的厂商应尽快给出新发现的安生漏洞扫描特性升级，并给出相应的改进建议。
安全扫描器不能实时监视网络上的入侵，但是能够测试和评价系统的安全性，并及时发现安全漏洞。 认证技术主要解决网络通讯过程中通讯双方的身份认可，数字签名作为身份认证技术中的一种具体技术，同时数字签名还可用于通信过程中的不可抵赖要求的实现。
认证技术将应用到企业网络中的以下方面：
(1) 路由器认证，路由器和交换机之间的认证。
(2) 操作系统认证。操作系统对用户的认证。
(3) 网管系统对网管设备之间的认证。
(4) VPN网关设备之间的认证。
(5) 拨号访问服务器与客户间的认证。
(6) 应用服务器(如Web Server)与客户的认证。
(7) 电子邮件通讯双方的认证。
数字签名技术主要用于：
(1) 基于PKI认证体系的认证过程。
(2) 基于PKI的电子邮件及交易(通过Web进行的交易)的不可抵赖记录。
认证过程通常涉及到加密和密钥交换。通常，加密可使用对称加密、不对称加密及两种加密方法的混合。
UserName/Password认证
该种认证方式是最常用的一种认证方式，用于操作系统登录、telnet、rlogin等，但由于此种认证方式过程不加密，即password容易被监听和解密。
使用摘要算法的认证
Radius(拨号认证协议)、路由协议(OSPF)、SNMP Security Protocol等均使用共享的Security Key，加上摘要算法(MD5)进行认证，由于摘要算法是一个不可逆的过程，因此，在认证过程中，由摘要信息不能计算出共享的security key，敏感信息不在网络上传输。市场上主要采用的摘要算法有MD5和SHA-1。
基于PKI的认证
使用公开密钥体系进行认证和加密。该种方法安全程度较高，综合采用了摘要算法、不对称加密、对称加密、数字签名等技术，很好地将安全性和高效率结合起来。后面描述了基于PKI认证的基本原理。这种认证方法应用在电子邮件、应用服务器访问、客户认证、防火墙验证等领域。
该种认证方法安全程度很高，但是涉及到比较繁重的证书管理任务。 1、 企业对VPN 技术的需求
企业总部和各分支机构之间采用internet网络进行连接，由于internet是公用网络，因此，必须保证其安全性。我们将利用公共网络实现的私用网络称为虚拟私用网(VPN)。
因为VPN利用了公共网络，所以其最大的弱点在于缺乏足够的安全性。企业网络接入到internet，暴露出两个主要危险：
来自internet的未经授权的对企业内部网的存取。
当企业通过INTERNET进行通讯时，信息可能受到窃听和非法修改。
完整的集成化的企业范围的VPN安全解决方案，提供在INTERNET上安全的双向通讯，以及透明的加密方案以保证数据的完整性和保密性。
企业网络的全面安全要求保证：
保密-通讯过程不被窃听。
通讯主体真实性确认-网络上的计算机不被假冒。
2、数字签名
数字签名作为验证发送者身份和消息完整性的根据。公共密钥系统(如RSA)基于私有/公共密钥对，作为验证发送者身份和消息完整性的根据。CA使用私有密钥计算其数字签名，利用CA提供的公共密钥，任何人均可验证签名的真实性。伪造数字签名从计算能力上是不可行的。
并且，如果消息随数字签名一同发送，对消息的任何修改在验证数字签名时都将会被发现。
通讯双方通过Diffie-Hellman密钥系统安全地获取共享的保密密钥，并使用该密钥对消息加密。Diffie-Hellman密钥由CA进行验证。
类 型 技 术 用 途
基本会话密钥 DES 加密通讯
加密密钥 Deff-Hellman 生成会话密钥
认证密钥 RSA 验证加密密钥
基于此种加密模式，需要管理的密钥数目与通讯者的数量为线性关系。而其它的加密模式需要管理的密钥数目与通讯者数目的平方成正比。
3、IPSEC
IPSec作为在IP v4及IP v6上的加密通讯框架，已为大多数厂商所支持，预计在1998年将确定为IETF标准，是VPN实现的Internet标准。
IPSec主要提供IP网络层上的加密通讯能力。该标准为每个IP包增加了新的包头格式，Authentication Header(AH)及encapsualting security payload(ESP)。IPsec使用ISAKMP/Oakley及SKIP进行密钥交换、管理及加密通讯协商(Security Association)。
Ipsec包含两个部分：
(1) IP security Protocol proper，定义Ipsec报文格式。
(2) ISAKMP/Oakley，负责加密通讯协商。
Ipsec提供了两种加密通讯手段：
Ipsec Tunnel：整个IP封装在Ipsec报文。提供Ipsec-gateway之间的通讯。
Ipsec transport：对IP包内的数据进行加密，使用原来的源地址和目的地址。
Ipsec Tunnel不要求修改已配备好的设备和应用，网络黑客户不能看到实际的的通讯源地址和目的地址，并且能够提供专用网络通过Internet加密传输的通道，因此，绝大多数均使用该模式。
ISAKMP/Oakley使用X.509数字证书，因此，使VPN能够容易地扩大到企业级。(易于管理)。
在为远程拨号服务的Client端，也能够实现Ipsec的客户端，为拨号用户提供加密网络通讯。
由于Ipsec即将成为Internet标准，因此不同厂家提供的防火墙(VPN)产品可以实现互通。 由于应用系统的复杂性，有关应用平台的安全问题是整个安全体系中最复杂的部分。下面的几个部分列出了在Internet/Intranet中主要的应用平台服务的安全问题及相关技术。
1、域名服务
Internet域名服务为Internet/Intranet应用提供了极大的灵活性。几乎所有的网络应用均利用域名服务。
但是，域名服务通常为hacker提供了入侵网络的有用信息，如服务器的IP、操作系统信息、推导出可能的网络结构等。
同时，新发现的针对BIND-NDS实现的安全漏洞也开始发现，而绝大多数的域名系统均存在类似的问题。如由于DNS查询使用无连接的UDP协议，利用可预测的查询ID可欺骗域名服务器给出错误的主机名-IP对应关系。
因此，在利用域名服务时，应该注意到以上的安全问题。主要的措施有：
(1) 内部网和外部网使用不同的域名服务器，隐藏内部网络信息。
(2) 域名服务器及域名查找应用安装相应的安全补丁。
(3) 对付Denial-of-Service攻击，应设计备份域名服务器。
2、Web Server应用安全
Web Server是企业对外宣传、开展业务的重要基地。由于其重要性，成为Hacker攻击的首选目标之一。
Web Server经常成为Internet用户访问公司内部资源的通道之一，如Web server通过中间件访问主机系统，通过数据库连接部件访问数据库，利用CGI访问本地文件系统或网络系统中其它资源。
但Web服务器越来越复杂，其被发现的安全漏洞越来越多。为了防止Web服务器成为攻击的牺牲品或成为进入内部网络的跳板，我们需要给予更多的关心：
(1) Web服务器置于防火墙保护之下。
(2) 在Web服务器上安装实时安全监控软件。
(3) 在通往Web服务器的网络路径上安装基于网络的实时入侵监控系统。
(4) 经常审查Web服务器配置情况及运行日志。
(5) 运行新的应用前，先进行安全测试。如新的CGI应用。
(6) 认证过程采用加密通讯或使用X.509证书模式。
(7) 小心设置Web服务器的访问控制表。
3、电子邮件系统安全
电子邮件系统也是网络与外部必须开放的服务系统。由于电子邮件系统的复杂性，其被发现的安全漏洞非常多，并且危害很大。
加强电子邮件系统的安全性，通常有如下办法：
(1) 设置一台位于停火区的电子邮件服务器作为内外电子邮件通讯的中转站(或利用防火墙的电子邮件中转功能)。所有出入的电子邮件均通过该中转站中转。
(2) 同样为该服务器安装实施监控系统。
(3) 该邮件服务器作为专门的应用服务器，不运行任何其它业务(切断与内部网的通讯)。
(4) 升级到最新的安全版本。
4、 操作系统安全
市场上几乎所有的操作系统均已发现有安全漏洞，并且越流行的操作系统发现的问题越多。对操作系统的安全，除了不断地增加安全补丁外，还需要：
(1) 检查系统设置(敏感数据的存放方式，访问控制，口令选择/更新)。
(2) 基于系统的安全监控系统。

㈤ 网络安全管理的产品特点

特点
·按照信息资产管理模型和安全标准设计
WinShield以信息安全等级保护为指导思想，从信息资产的保护级别和安全威胁大小的角度对信息资产进行分类安全管理。
·功能全面，覆盖内网管理的各个领域
WinShield把终端管理、网络管理、安全审计、内容管理、安全工具等有机结合，全面覆盖了当前内网管理的各个领域，极大方便了IT部门的管理。
·系统部署容易，操作简单方便，终端用户透明
WinShield把对用户友好放在首先考虑的位置，WinShield安装环境要求简单，只需几步就可以安装系统，使用简易。
·高效的数据压缩和归挡功能，确保系统运行性能优异
由于数据量巨大，因此系统的压缩传输是影响系统性能的重要标准，本系统优化的数据压缩算法确保了资料的高效存取。客户端CPU平均占用率小于5%，内存平均占用小于10M，在100M带宽中占用的网络带宽0.27%。
·高可靠性，确保系统在大范围网络稳定运行
由于系统部署在成千上万的不同系统的终端，系统的稳定可靠性是非常重要的，WinShield经过各种环境的压力测试及防毒测试，确保系统稳定可靠。
·采用高级别的加密技术，确保本身系统的安全
要实现内网的安全，首先需要保证管理系统本身的安全，本系统工作站与服务器之间的数据传输利用DES算法进行加密。这种加密的处理让系统有足够的能力保护资料和防止非法资料截获。通过系统独特的服务器、代理及控制台之间的认证功能，工作站的代理只向经过认证的服务器响应，从而有效防止非法服务器窃取系统资料。
·对多种设备的识别支持能力
系统通过配置库的实现，可以实现多种设备的识别和管理。
·参数化和自定义技术
由于各机构的管理模式不尽相同，因此使用户可自定义和配置灵活，是一个关系到系统实用性的问题，WinShield安全策略管理器可以实现策略的定义和继承等管理，使IT部门灵活定制各种管理策略，保证系统满足日益增强的管理需求。
功能分类 功能分类 子功能 功能介绍 管理作用 日志记录 基本事件日志 可以详细记录客户端PC开机、关机时间，以及用户登录、登出时间。 了解计算机的日志信息，为故障排除和网络管理提供有力支持。 硬件变更日志 对于硬件添加、删除 软件变更日志 对于软件添加、删除 系统安全 动态密码身份认证 启用后用户需要用动态密码登陆系统 增强了企业内部安全管理 系统日志 记录服务器和控制台的基本事件 管理员的登录、操作等 应用程序 应用程序启动停止日志 可以详细记录所有应用程序启动/关闭和窗口/标题切换日志，可以按某台、某组或整个网络查询，可以按时间、应用程序以及路径/标题查询日志 可以很容易、客观的评估出员工使用程序的工作情况和效率，方便进行员工的网络行为管理。 应用程序统计 可以按时间、计算机（组）/用户（组）、应用程序明细查看并统计某个员工使用某个应用程序的时间，以及占全部工作时间的百分比 方便管理者对员工的网络行为进行个性化统计和分析。 应用程序控制策略 可以按全天或指定的时间对指定的程序禁止。 对违规网络行为在事前进行控制。 网站浏览 上网浏览日志 可以详细记录员工访问网站情况，可以按网站名称、标题名称、时间、范围查询日志 可以很容易、客观的评估出员工使用网站的工作情况和效率。 浏览网站统计 可以按时间、计算机（组）/用户（组）、浏览网站的明细查看并统计某个员工浏览某个网页的时间，以及占全部工作时间的百分比 为管理者制定合理的互联网行为策略提供决策支持。 多样的统计报表功能 浏览网站控制策略 可以按全天或指定的时间对指定的网页禁止 实现违规网络行为在事前得到控制。方便管理者对员工上网行为进行监控和管理。 网络控制 网络端口控制 可以通过对通讯方向、IP地址范围、网络端口范围的设置进行客户端端口管理 有效的防止外来计算机侵入单位内部就局域网，可根据需要灵活的设置外来计算机跟网内计算机的通讯方向。 文档操作 记录文档操作 可以详细的记录每个员工在本机及网络上操作过的文件，包括访问、创建、复制、移动、改名、删除、恢复以及文档打印等记录 让泄密行为的痕迹得到监控，为泄密行为的事中发现，事后追查提供了帮助，弥补了电子文档安全管理中的最薄弱环节。 注册表 远程操作用户注册表 文件操作 远程操作系统磁盘 可以远程地对客户端的进程、服务进行管理，包含结束继承、关闭服务、启动服务等，并可以远程唤醒客户端PC、清除客户端系统 管理员可以通过控制台来维护员工的电脑，包括软件的安装、修改、进程的管理等。 打印 打印日志 记录每次打印的服务器、打印机、用户、计算机、打印字节数、打印页数、打印时间、纸张大小、色彩、文档名、文档类型、打印费用等信息 打印内容 记录打印文档的具体内容 报警 报警日志 可按某台、某组或整个网络设置硬件或软件信息变化的报警规则 实现对违规网络行为的及时发现，提高了网络行规范管理的响应能力。 弹出式报警 报警信息列表 控制策略 基本策略 可以在控制端针对网内任意计算机进行锁定、关闭、重启、注销和发送即时通知信息 若发现网内计算机有非法操作，可以及时的采取行动，对非法行为进行及时控制，避免非法行为的继续，挽回损失。方便管理者进行远端电脑的强制性控制和系统维护管理，防止员工下班后或长时间离开办公位置忘记关闭计算机。 外部设备控制 可以按某台、某组或者整个网络禁止使用哪些存储设备。包含：软驱，光驱，刻录机，磁带机，可移动设备（U盘，移动硬盘，记忆棒等） 避免员工使用与工作不相关的计算机设备，错误修改网络属性，方便统一部署屏保程序或画面。根据风险评估，制定事前预防策略，根据策略对相应的设备进行禁止，预防文件泄密。可以灵活的开启设备，不影响员工的正常使用。 IP/Mac绑定 禁止修改网络属性 可以将客户端PC的IP地址与MAC地址进行绑 防止员工随意修改IP地址，造成IP经常冲突，给管理人员造成很大的麻烦。 防止通过第三方程序修改 屏幕快照 实时屏幕快照 可以看到网络内员工正在操作计算机的最新画面 方便管理者进行网络行为的巡视，发现违规行为，及时纠正。 记录屏幕快照历史 可以按天查看网络内员工操作过的历史画面、并连续播放历史画面 方便管理者进行网络行为的事后追查，客观的评估员工的网络行为。 即时通讯 即时通讯内容 QQ监控、MSN监控、淘宝监控、贸易通监控、Skype监控、飞信监控 可以设置对即时通讯进行监控记录，从而对事后审记追踪提供依据。 邮件 记录邮件客户端内容 outlook、foxmail邮件监控 实现互联网传递信息的安全管理，实现邮件备份管理，为防止邮件泄密提供事后追查方便。 记录WEB邮件 web邮件监控 [163邮箱，新浪邮箱。..] 远程维护 远程控制 可以远程登录、注销、重启计算机，支持键盘输入和登录快捷键操作 方便IT管理者对网内计算机进行远程维护，同时支持异地远程维护，实现了跨区域分支机构的集中管理和控制。 远程即时信息查看 可以查看客户端的基本信息，包含客户端的计算机名、登录的用户名、操作系统、IP/MAC、开机时间、网络共享、磁盘使用情况、计算机性能、共享的文件夹等 管理员可以很方便查询任意一台电脑的所有信息，从而了解每一台电脑的现状及工作情况。 远程文件传递 可以远程打开指定客户端文件夹，可以让控制台和客户端相互传送文件 公司如果有什么文件要下发的话，可以通过控制台来进行单发或群发，从而节省了时间，提高了工作效率。 资产管理 资产信息包含多个属性 可以自定义查看硬件或软件的资产分布情况、按组、计算机来查看某个硬件和软件分布在哪些计算机，并统计数量 管理者可以方便的进行员工的电脑的办软硬件信息进行监控，为故障排除提供依据，为软硬件的安全管理提供支持。 硬件资产查询/统计 硬件变更情况 软件资产查询/统计 软件变更情况 软件分发 分发软件安装 可以向客户端自动分发和安装软件，或者将指定的文件或者应用程序复制到客户端指定的位置 实现程序的自动化部署，比如：补丁程序、应用程序，大大提高程序部署的效率，提升IT部门的工作水平，让IT管理者不再为大量的机械性、重复性的程序安装工作而浪费精力！ 分发程序执行