亚信终端安全管控QA20170915.docxVIP

需要对普通移动存储介质进行加密，并且要求可区分安全级别：普通加密区：通过密码即可打开；专用加密区：只能在内部环境打开。 支持 终管客户端，支持winServer2008R2系统吗？ 终端管理是针对终端系统设计的，目前不支持服务器操作系统 需要对普通移动存储介质进行加密，并且要求可区分安全级别：普通加密区：通过密码即可打开；专用加密区：只能在内部环境打开。 移动存储加密目前是针对移动存储设备，比如U盘的引导进行加密。 装了客户端并且授权的机器?可以使用加密过的U盘，也可以设置这个加密过的U盘 是否需要密码 才可以打开，目前暂时不支持按照安全级别进行区分。 .终端管控与终端准入是否可以实现统一平台管理？ 答：终端管控和网络准入控制系统是同一套管理界面，统一客户端。也就是同一管理平台。 2.终端管控系统支持版本？（Linux、Windows2000、WindowsXP等Windows服务器版本和一些老旧系统版本是否支持） 答：支持WINDOWS系列操作系统，不支持LINUX 终端管控隔离组功能是否能识别IP通信的打印机设备、摄像头设备等? 答：根据IP/MAC识别，未识别设备协议。 准入设备实现阻断的原理与技术优势。（客户目前使用VRV，要进行更换） 答：准入控制部署方式是旁路部署，旁路都用户的核心交换上，在核心上将外网访问数据和服务器访问数据镜像到准入设备中。 准入设备识别镜像过来的网络数据采用，TCP阻断技术（非ARP），对于非认证设备的TCP CONNECT连接进行关闭。 当终端进行TCP访问时候，第一个步骤是CONNECT操作，CONNECT是三次握手，准入设备识别第一次握手数据后，如果为非法数据，则立刻回应TCP CLOSE包，关闭非法TCP连接，实现准入。 准入设备放在网络核心交换位置如何发现底层的设备接入情况与阻断（分支机构较多，比较零散），或建议如何部署 答：镜像核心业务访问数据，准入设备进行识别控制。 准入系统记录设备非法接入设备的相关信息吗？如何记录是否能实现具体从哪个端口非法接入的？ 答：及时阻断，记录阻断次数，不记录相关端口。 准入系统对于底层直接配置IP的通信是否实现阻断？（准入在核心层，两台在接入层的电脑通过IP通信是否能阻断） 答：不阻断。 11、?本钢终端管控和准入方案 1、推荐采用端口镜像方式，我们采用的阻断技术是TCP阻断技术，而不是通过ARP实现。 所有数据镜像到准入设备后，准入设备识别TCP的CONNECT的操作，TCP的CONNECT操作为三次握手，当识别第一次握手数据后，判断其是否非认证，如果是非认证数据，则发送一个TCP阻断包（也称呼TCP RESET包），这样当前非认证TCP连接则关闭，完成阻断操作，整个过程与ARP数据包无关，而且阻断一次只发送一个数据包（比一个正常TCP连接的数据包都少），不会对于网络带来任何负担，从江苏移动的项目上来看，效果很好。 2、由于用户网络规模庞大，802.1X部署方式，需要配置每个交换机的每个端口，工作量巨大，实施性不强，不推荐。 ? 3、网络准入设备挂接点：TEL NE40?接?1台、 CNC NE40?接?1台、能管中心 接1台、白楼数据中心 接1台、北台数据中心 接1台 12、系统中存在计算机名、硬件信息、ip地址、MAC地址、操作系统版本、补丁 状态、防火墙、服务策略、自动更新状态等信息，补丁状态、防火墙、自动更新装状态确实没有 13、产品能够对指定客户端的防火墙、服务、自动更新等策略进行管理 产品没有对指定客户端的防火墙，服务，自动更新等策略进行管理。对服务的操作提示成功，但是并没有相应的更改 ，补丁推送、无法选择电脑，补丁程序也需要一条一条勾选这个功能无法选择电脑，并且只能一条一条选 14、产品能够对指定客户端的应用信息进行识别，并能够统一安装、更新或删除指定应用 应用可以通过软件资产查看，但是无法对这些软件进行操作 15、产品提供便捷可行的批量部署及升级功能 如果有域的环境下，客户端可以通过域推送安装的 16没有发现和AD或LDAP，同步的地方 桌面管理没有和AD和LDAP的同步 准入可以通过AD或者LDAP认证 17流量监控不生效问题： Nondis的配置，设置是否卸载网卡驱动，值为1时，代表卸载网卡驱动，流量监控就会失效 18 加密功能是否满足对硬盘加密之后，硬盘拆卸到其他机器也能继续加密？ 不可以 19亚信终端安全系统支持断点续传吗？ 可以断点重传，如果传入的过程终端或者其他情况发生，服务器端判断没有正确下发，会重新再传输。 20、终端审计日志可以定时上传吗？ 可以设置 21、系统使用的MySQL数据库可以备份已经够配置好的策略吗? 可以 22、系统支持远程控制，实时画面，QQ聊天记录吗？ 系统支持远程控制，远程多屏监视，对远