该系统可分为三个版本：
科教2000网络安全管理系统（不含补丁分发系统）V1.0；
科教2000补丁自动分发管理系统V1.0；
科教2000网络安全管理系统（含补丁分发系统）V1.0。

--------------------------------------------------------------------------------------
有了杀毒软件，有了防火墙，为什么我们的电脑仍然会被“冲击波”、“震荡波”所困扰？
我们的网络环境真的安全了吗？
“在所有的安全事件中，有超过70%是发生在内网上的”，由此可见，内网安全尤为重要。
伴随着一系列利用系统漏洞传播的病毒的爆发，我们终端的电脑面临着如下的问题：
1、 如何发现终端设备的系统漏洞并自动分发补丁；
2、 如何防范移动电脑和存储设备随意介入内网；
3、 如何防范内网设备非法外联；
4、 如何管理终端资产并保障设备运行；
5、 如何统一制定全网安全策略；
6、 如何及时发现网络中占用带宽最大的终端；
7、 如何点对点控制异常终端的运行；
8、 如何构架功能强大的网络客户端综合安全报警平台；
9、 如何发现终端设备的系统漏洞并自动分发补丁。
一直以来，清华泰豪都一直关注着网络环境对教学环境的影响，在网络环境越来越复杂，计算机病毒及黑客攻击手段越来越智能，影响范围越来越广、破坏力也越来越大的情况下，科教2000网络安全管理系统，就是致力于利用软件的方式来实现对终端电脑的行为的控制，通过策略的制定及时的发现终端电脑的违规行为，并采取提示、断网、关机等相关操作。也可通过点对点的控制实现对违规终端的操作，切实解决了内网当中存在的种种问题。
补丁下载服务器，实时的下载Microsoft官方升级补丁，并通过策略的制定分发到终端电脑，保证了终端电脑不再受系统漏洞的影响，还网络一个安全的状态。

---------------------------------------------------------------------------------------
科教2000网络安全管理系统（不含补丁分发系统）V1.0

产品组成：
    科教2000网络安全管理系统由8部分组成：SQLserver管理信息库（安装包：环境初始化程序）、Web中央管理配置平台（安装包：网页管理平台）、区域管理器(安装包：Region Manage)、设备扫描器(安装包：Region Scan)、客户端注册程序（安装包：注册程序）、WinPcap程序、补丁下载服务器等。
    环境初始化程序：SQLserver管理信息库，建立机房网络安全管理系统的初始化数据库。包括：网络客户端设备属性信息、区域管理器信息、设备扫描器信息、区域管理范围信息、注册（未注册）机器信息、设备属性变化信息、报警信息等。扫描器将设备最新状态信息同数据库中原有信息进行遍历搜索对比，根据规则要求在管理平台上报警。
    网页管理平台：Web中央管理配置平台，本系统的管理配置中心。包括区域管理器、扫描器、注册客户端的功能参数设定，网络设备信息发现、系统应用策略制订、报警信息显示、定义任务功能制订、系统用户维护等配置操作。
    Region Manage：区域管理器，系统数据处理中心。与管理信息数据库通讯，接收注册程序提供的用户信息，将用户信息（用户填写的物理信息和系统自动采集的硬件信息）并行存入数据库；接受来自控制台的命令操作，发送到客户端、扫描器执行。
    对于存在多级管理要求的广域网，网络中可以存在多个区域管理器，系统数据提供逐级上报（转发）模式。
    Region Scan：设备扫描器，扫描网络中主机状态。查看是否已经安装注册程序，巡检网络设备状态变化信息，及时通知客户端驻留程序更新应用参数。对客户端违规行为的阻断也是由扫描器在接收控制台命令后执行。(注：扫描器已集成至区域管理器内，功能不变)
    扫描器配合区域管理器进行工作，可以在分级模式下使用。扫描器只依据Web管理平台中配置的工作范围进行扫描，超越其范围，将不负责执行操作。
    WinPcap程序：嗅探驱动软件，监听共享网络上传送的数据。
    客户端注册程序：用户访问指定网站自动获得，用户填写本机信息，填写必要信息后上报区域管理器。注册程序自动探测系统硬件信息，连同用户填写的信息一同上报区域管理器。用户将本机注册信息发送到区域管理器后，区域管理器自动将客户端驻留程序应用策略发送给用户，并自动更新。
    客户端驻留程序功能：
      1. 进行本机硬件属性信息变化监视；
      2. 进行本机IP、MAC地址变化审计；
      3. 本机系统补丁、软件安装、运行进程状况监测；
      4. 探测本机是否有违规联网行为，在内网管理中心或外网报警平台报警；
      5. 接受Web管理平台的管理命令；
      6. 阻断本机非法外联行为；
      7. 执行Web管理平台下发的各种策略操作。
    补丁下载服务器：安装在与Internet网络连接的机器上，用于实时下载补丁厂商发布的补丁。
应用架构
    科教2000网络安全管理系统应用于局域网、广域网构架，支持跨网段、跨地域的内网远程客户端管理及非法移动设备接入检测、网内计算机违规联网监视、网络安全隔离度监控等。
系统应用主要分为以下两种构架：
    基本构架：对于一般网络（例如1个C类地址或若干个C类地址的局域网范围），可使用一套本系统软件，集中管理所属区域内的所有设备。
    扩展构架：对于大规模的多个局域网或者跨地域广域网（包括基于国家、省、市、县等多级管理模式的网络结构），可使用本系统提供的多区域集中管理构架，即一个或多个网段各拥有一套独立科教2000网络安全管理系统的同时，将本级所有设备信息再转发给上级管理数据库，使得上一级管理人员对整个网络的设备状况也能够完全掌握。

图1 科教2000网络安全管理系统应用拓扑

图2 级联部署架构图

---------------------------------------------------------------------------------------

科教2000补丁自动分发管理系统V1.0

产品背景
    “蠕虫”、“后门”、“震荡波”……都是利用系统或者应用程序的漏洞来攻击网络环境，那么解决漏洞的最根本的方法就是安装补丁。
    什么时候需要安装补丁？要安装多少补丁？安装什么补丁？这一系列的问题提是我们如何统一的将补丁及时统一的安装到网络当中每台终端中是非常麻烦的一件事情！
    因此科教2000补丁自动分发管理系统V1.0，连通互联网的网络：直接通过补丁下载服务器将补丁下载至补丁分发服务器，进而将补丁进行分发，保证了终端免受漏洞攻击之苦！
    科教2000补丁自动分发管理系统是分析当前网络客户端实际安全管理要求研发的，系统支持自动下载补丁，同时，系统本身也可作为违规联网——内网安全管理系统的增强模块综合使用。整个补丁管理运行平台构架是：通过泰豪外网补丁下载服务器及时从补丁厂商网站获取最新补丁；补丁安全测试后，通过补丁分发管理中心服务器对网络用户进行分发、安装；补丁安装支持自动和手动两种方式。
产品介绍
    科教2000补丁自动分发管理系统是分析当前网络客户端实际安全管理要求研发的，系统支持推、拉两种方式自动下载补丁，同时，系统本身也可作为违规联网——内网安全管理系统的增强模块综合使用。整个补丁管理运行平台构架是：通过泰豪外网补丁下载服务器及时从补丁厂商网站获取最新补丁；补丁安全测试后，通过补丁分发管理中心服务器对网络用户进行分发、安装；补丁安装支持自动和手动两种方式。
    网络应用
      １、连通互联网的网络：直接通过补丁下载服务器将补丁下载至补丁分发服务器。
      ２、物理隔离网络：在互联网连通网络上安装补丁下载服务器模块，通过补丁下载增量分离工具，区分内网已导入和未导入的补丁，将最新补丁导入到内网补丁分发服务器。
系统功能
    科教2000补丁自动分发管理系统依据客户端注册优势，提供补丁检测、安装等远程功能。客户端访问网络WEB站点，根据页面自动弹出提示进行注册，注册程序将在系统中实时运行，检测补丁安装状况，并上报给补丁控制中心。
    补丁控制中心提供补丁策略制订、补丁文件直接分发，补丁测试提供对软件厂商新发布补丁的前期测试，严格测试后才可以配发到网络客户端，保障客户端补丁安装安全性。
    按照网段、补丁类型进行补丁配置分发，支持漏打补丁、特殊补丁的推送下发。自定义分网段、分区域的补丁下载升级设定策略，从而避免造成网络堵塞，合理控制网络带宽。
    科教2000补丁自动分发管理系统具体组件和功能包括：补丁下载服务器、补丁分析器、补丁策略制订（分发）、补丁文件分发、补丁动态下载转发代理、客户端补丁检测、补丁安全性测试、补丁分发控制等。
补定下载分发流程
１、补丁下载服务器（互联网）：对于物理隔离的内部网络，其内部补丁升级服务器中的补丁必须从外部获得，因此，要求从Internet上下载补丁，十分巨大的补丁库使得每次补丁导入的工作烦琐。科教2000补丁自动分发管理系统针对此类物理隔离的内网，使用增量式补丁自动分离技术，在外网分离出已安装、未安装补丁，分类导入，即仅对内网的补丁进行“增量式”的升级，减少拷贝工作量。互联网补丁自动实时探测，支持补丁导出前病毒过滤。
２、补丁分析器：自动建立补丁库，支持补丁库信息查询。针对下载的补丁进行归类存放，按照不同操作系统、补丁编号、补丁发布时间、补丁风险等级、补丁公告等进行归类，帮助管理人员快速识别补丁。
３、补丁策略制订（分发）：支持用户自定义补丁策略自由配置分发，基于客户端网络IP范围、操作系统种类、补丁检测周期、补丁类别（系统补丁、IE补丁、应用程序补丁以及网管自定义补丁类等）等制订策略，发送至客户端后统一按策略执行应用。
４、补丁文件分发：在指定时间、指定网络范围内以不同方式（如推、拉）分发补丁，或者根据脚本策略统一控制客户端下载补丁。当系统监测到有客户端未打补丁时，可对漏打补丁客户端进行推送补丁。同时，通过推送安装，也可以为SUS系统不支持的客户端安装补丁和应用软件（补丁）。
５、补丁动态下载转发代理：系统提供补丁自动代理转发功能，提高补丁下发效率，减少网络带宽的占用率，节省网络资源。
６、客户端补丁检测：支持客户端补丁多重探测周期配置。定时检测注册客户端系统补丁安装状况，同补丁信息库比较后，显示客户端补丁安装状况（客户端访问指定网页自动获得漏打补丁信息，物理隔离网络中自动生成补丁分发网站）。
７、补丁安全性测试：补丁分发前测试，支持网管测试组定义进行补丁安全性测试，提高打补丁的成功性、安全性、可靠性。
８、报表输出查询：提供网络客户端补丁安装信息查询、提供补丁下载失败/成功、安装失败/成功的信息查询。
系统构架
    该系统贴近用户对网络、网络终端管理的要求，适用于局域网、广域网等多种构架。
标准构架（小型网络）：在局域网中全面部署应用北信源补丁分发管理系统，包括各种功能模块：补丁下载、补丁分析、补丁策略分发制订、文件分发、客户端补丁监测、漏洞补丁扫描、补丁分发控制台等。
    级联构架（大型网络）：对于网络分布广泛、规模庞大，并且拥有多个网络管理中心的广域网，北信源补丁分发管理系统支持在标准构架上建立多级级联模式，实现下级网络补丁管理系统从上级补丁管理系统自动获取补丁，以及相关补丁审计、系统组件升级功能。
运行配置
系统管理主机： 专用服务器或高档PC服务器，Windows2000 Server（SP4）以上操作系统（安装IIS），MS SQL（SP3） 数据库（可以采用桌面数据库版本）。
基本配置：P3 800 以上CPU，512 M以上内存，硬盘40G。
建议配置：P4 2.4G 以上CPU，1G以上内存，硬盘40G以上。
用户管理控制台：建议安装在系统管理主机上，IE6.0以上版本。

---------------------------------------------------------------------------------------

科教2000网络安全管理系统（含补丁分发系统）V1.0
科教2000网络安全管理系统（含补丁分发系统）V1.0是将科教2000网络安全管理系统（不含补丁分发系统）和科教2000补丁自动分发系统结合形成的版本。