内网安全管理产品2008亮点PK

    在企业环境当中，处理内网安全问题的管理挑战要远远高于计算机病毒的横行，这主要是由于企业应用环境的复杂性。随着终端数量和企业结构的扩张，内网安全复杂程度的增长往往趋于几何级数。由于每个企业的应用类型和构成都有所不同，而且每个企业的技术力量以及IT设施管理方式也都各不相同，所以不合适的产品会在很大程度上增加企业的应用负担。当今的产品选择特别是企业产品选择已经不能只局限于技术能力了，标准的符合性以及产品的稳定性同样成为用户重视的层面，厂商产品的分析是为了给您提供一些有用的意见和建议，对产品乃至整个产业的发展有所促进。

    LanSecS：遵循国际先进的网络和信息安全管理标准，针对Intranet拓扑结构特点以解决网络中存在的安全管理隐患和各种攻击手段为核心，融合了内网安全管理、智能网络管理和内网设备管理等多项功能的内网安全保障系统。产品架构先进合理，采用系统工程学方法，形成特有的网络安全理论模型，成熟稳定，扩展性和兼容性好；实现了严密的集中管理、自我安全保护，并建立了信息安全管理体系。产品设计思想先进，拥有完全自主的知识产权。

    LanSecS：功能5星 防护4.5星 稳定性 5星 符合标准 5星 易用性5星
 
    VRVEDP：以内网安全为着眼点，以国内特定行业客户的定制需求为驱动，逐步添加和整合了众多的终端安全功能。设计理念以公安、国税等特 定行业客户定制需求出发，有一定局限性；产品最近2年才从病毒和补丁系统转向内网安全，缺乏成熟和稳定性。

    VRVEDP：功能4星 防护4星 稳定性 4星 符合标准 3星 易用性4.5星

    安全审计

    对设备监控及审计

    LanSecS：提供所有输入输出设备的使用情况的监控功能，如：光驱，软驱，打印机，usb存储设备，调制解调器，串口，并口，红外设备，pcmcia卡，兰牙设备，智能卡等，规则设定灵活、准确，对于各种硬件使用违规行为可通过多种渠道及时通知管理员。

    VRVEDP：可以对硬件及接口进行控制审计，但对于已经禁用的硬件恢复使用时必须停止策略并要求客户端手工自行启动，加大客户工作量。

    网络行为监控

    LanSecS：行为审计：对即时通讯/邮件收发/网站访问等用户行为进行审计；访问控制：提供基于协议、IP地址和端口的网络访问控制功能。只允许主机访问授权网段；流量监控：监控主机的网络流量。

    VRVEDP：行为审计中没有即时通讯（QQ、MSN等）审计功能，邮件审计中只能对邮件主题、接/发邮件者审计，客户端将缓存和收藏夹删除后对上网行为审计将不准确。主机流量无法实时监控，只允许设定上下限。

    用户权限管理

    LanSecS：对本地账户与组进行管理（添加/删除/修改），对其变化进行审计。

    VRVEDP：此功能还处于测试阶段，功能很不稳定，尚无成功案例。

    进程管理

    LanSecS：提供进程信息和运行状态的远程实时管理功能，以及基于黑名单的自动控制功能。方便网络管理人员从专业人员的角度对应用者提供安全建议。

    VRVEDP：进行黑名单时效性很差，客户端经常在运行很长时间后才可以禁用，无法在刚启动时杀掉进程。通过更改进程名就很容易使“进行运行监控”功能失效。

    安全加固

    U盘监控

    LanSecS：通过U盘注册管理可以实现移动存储介质的使用与访问控制。支持U盘、移动硬盘、闪存卡等多种移动存储介质。U盘必须经过认证方可使用。支持在线认证和离线认证两种认证模式。可限制移动存储介质的使用范围（全局、部门、指定主机）、可限定移动存储介质的读写权限（只读、读写、透明加密）、可限定移动存储介质的有效时间范围和使用次数。

    VRVEDP：U盘打标签功能及其不稳定，经常损坏介质，给客户带来经济损失。必须到指定的服务器上授权或者取消授权，也无使用时间和次数的限制，这必然会导致控制的灵活性。

    补丁管理

    LanSecS：提供操作系统、应用软件补丁的下载、安装和检测。补丁下载方式提供多种方式：可以到微软下载、到公司网站下载和使用代理下载。

    VRVEDP：终端补丁检测结果不准确导致客户端经常会出现提示安装补丁界面，影响客户端正常工作。这也导致了全网补丁统计查询出错。

    用户密码策略

    LanSecS：可启用密码复杂度检查策略，设置长度值、最长最短保留期。同时支持强制修改密码功能，对于违规的用户可以禁用其账号或通过邮件、手机短信、报警平台进行报警处理。

    VRVEDP：可对密码强度只能进行审计，但无法对密码进行强制修改，管理起来很不方便。

    非法接入管理

    LanSecS：禁止未注册的计算机接入本地网络，并实时报警和阻断。

    VRVEDP：阻断提示信息固定也与网络中真正的IP冲突提示信息一样，容易混淆。系统对非法接入管理的控制在管理界面中多处设置，操作繁琐。

    杀毒软件管理

    LanSecS：对客户端防病毒软件进行监控，.支持的防病毒软件有：瑞星Rising、Symantec、卡巴斯基Kaspersky、Nod32、北信源VRV、金山毒霸2007、PC-cillin2007、McAfee2007、KILL安全胄甲等。

    VRVEDP：对公司的杀毒软件控制正常，对于其他公司的杀毒软件兼容性很差，经常出现软件冲突现象。

    安全网管

    网络参数设置

    LanSecS：提供IP地址、MAC地址、DNS、网关、网络掩码等网络配置参数的远程管理功能，防止恶意修改网络参数，滥用网络资源。

    VRVEDP：能查看到终端IP地址、MAC地址。

    主机资源监控

    LanSecS：对服务器和计算机终端的CPU、内存、网络接口流量进行监控，一旦超出设定的阈值，立即向预警中心报警。
    VRVEDP：对主机的流量进行监控，也仅限于对阀值的设定。

    网络拓扑自动发现

    LanSecS：自动发现并收集所有网络设备的基本信息以及连接关系。

    VRVEDP：对简单一层网络结构的设备信息的收集，其网络拓扑能力和精细程度远远弱于LanSecS。

    自定义网络拓扑

    LanSecS：提供网络拓扑图中网络设备的手动增加、删除功能，以及网络设备之间连接关系的变更功能。
    VRVEDP：不支持

    可视化网络管理

    LanSecS：提供地图模式的网络拓扑显示功能以及网络设备的面板图管理功能。

    VRVEDP：不支持

    端口流量统计

    LanSecS：提供交换机端口的流量图统计功能，对于异常的网络端口流量进行报警。

    VRVEDP：不支持

    安全服务  远程协助


  LanSecS：管理员远程登录终端用户桌面进行安全维护以及故障诊断等操作的功能。远程管理控制计算机使网络管理人员可以通过桌面快照查看当时计算机的操作状态，同时可以控制鼠标与键盘的使用。

    VRVEDP：不支持桌面快照功能，客户端远程发请求设置复杂，一般计算机使用者无法使用。屏幕接管功能不完善经常因端口问题无法连接。

    预警平台

    LanSecS：提供管理员和终端用户之间的实时消息通知以及文档发布的功能。对于各种报警，系统提供多元化方式，手机短信报警、邮件报警、声音报警、报警中心报警等等。

    VRVEDP：预警平台结果复杂，很难设置成功。报警方式很少不支持邮件报警，报警路径固定且不统一，管理员经常无法查到报警信息。

    资产管理

    LanSecS：能够自动收集并记录网络中的设备资产信息，提供资产手动录入、注销功能，对资产提供过滤查询功能，资产变更时报警。

    VRVEDP：不具有资产手动录入、注销功能，对资产查询的格式固定，无过滤选择查询功能。

    统计报表

    LanSecS：系统提供实时、定时（日、周、月）报表生成功能，对生成的报表支持图形化显示，生成报表可以删除和下载，报表支持RTF、PDF、HTML、EXCEL等格式文件的输出，支持模板预览。
 
    VRVEDP：报表只支持Excel和word两种方式输出，报表模板自定义、修改和删除操作繁琐，不容易掌握。

    系统安全
    控制中心安全性

    LanSecS：系统采用了严格的分权管理架构、支持多管理员账号同时登录与管理。不同管理员具有不同的管理权限，保证了多管理员账号登录的安全性。控制中心与代理、控制中心与管理控制台之间的通讯采用数字证书相互认证的方式，避免了控制中心被假冒攻击的可能性。

    VRVEDP：系统采用B/S模式，一个系统管理员可以在不同电脑上同时登陆，会造成管理的混乱。服务器网页的登录只采用密码认证方式，密码很容易被盗用，客户信息的安全性得不到保障。

    数据库安全性

    LanSecS：数据库访问权限采用最小授权访问策略，对数据库关键数据进行加密，从技术角度确保数据库免遭恶意入侵和拒绝服务攻击。另外数据库的备份完全采用在线实时备份，只有备份管理员才可以进行操作。

    VRVEDP：数据库不具有加密技术，所有重要数据都存放在VRVEIS.ldf 和 VRVEIS.mdf两个文件里面，这两个文件的丢失会给客户带来无法弥补的后果。且数据库不支持备份功能。

    数据传输安全性

    LanSecS：客户端与控制中心进行数据传输采用SSL加密通道技术，保证信息传输过程中的安全性；支持身份认证技术，即：主机代理与控制中心建立通信连接前，控制中心需要对主机代理进行身份认证，只有通过认证的主机代理才能建立通信连接。

    VRVEDP：服务器与客户端传输数据、策略时不带任何加密措施。

    客户端占用资源大小

    LanSecS：静态模式，占用的CPU在0-2%之间，内存<=7M。
    VRVEDP：静态模式，占用的CPU在5%左右，内存<=15M

    服务器配置

    LanSecS：服务器可运行在WINDOWS 2000/xp/2003的各版本上，数据库支持：SQL SERVER 2000个人版/标准版/企业版Oracle 9i

    VRVEDP：服务器仅能运行在WINDOWS 2000  Server和WINDOWS 2003  Server版本上，且数据库只能使用SQL SERVER 2000标准版。

    成功案例

    LanSecS：产品遍布全国各大行业客户，国内大型客户包括：
· 北京市人大常委办公厅、天津审计局等政府机构；
· 中国石油、鞍钢集团、北京市燃气集团等石油能源用户；
· 东北电网、水利部水土保持监测中心等水利电力客户；
· 航天科工委、航空一集团等军工重要单位；
· 内蒙古自治区通信公司、大庆网通、华夏银行股份有限公司呼和浩特分行等电信、银行用户；北京工业大、航天中心医院等教育、医疗行业；
· 北京人民广播电台、法制晚报社等传媒机构；
· 浙江巨石集团、大同齿轮集团等大型企业。
VRVEDP：客户主要集中在国内以下几个特定行业：
· 公安部、国税、人大、政协、统计局等政府部门。
· 银河证券等证券行业。
· 岳阳纸业、欧莱雅（中国）有限公司等企业。