解决方案_北信源内网安全管理系统解决方案v20_北信源

北信源内网终端安全管理系统解决方案北京北信源软件股份有限公司内网安全管理系统设计方案2目录1.前言.....................................................................................................31.1.概述.................................................................................................................................31.2.应对策略.........................................................................................................................42.终端安全防护理念................................................................................52.1.安全理念.........................................................................................................................52.2.安全体系.........................................................................................................................63.终端安全管理解决方案........................................................................73.1.终端安全管理建设目标.................................................................................................73.2.终端安全管理方案设计原则.........................................................................................73.3.终端安全管理方案设计思路.........................................................................................83.4.终端安全管理解决方案实现.......................................................................................103.4.1.网络接入管理设计实现.................................................................................103.4.1.1.网络接入管理概述.................................................................................103.4.1.2.网络接入管理方案及思路.....................................................................103.4.2.补丁及软件自动分发管理设计实现.............................................................153.4.2.1.补丁及软件自动分发管理概述.............................................................153.4.2.2.补丁及软件自动分发管理方案及思路.................................................153.4.3.移动存储介质管理设计实现.........................................................................193.4.3.1.移动存储介质管理概述.........................................................................193.4.3.2.移动存储介质管理方案及思路.............................................................203.4.4.桌面终端管理设计实现.................................................................................233.4.4.1.桌面终端管理概述.................................................................................233.4.4.2.桌面终端管理方案及思路.....................................................................243.4.5.终端安全审计设计实现.................................................................................363.4.5.1.终端安全审计概述.................................................................................363.4.5.2.终端安全审计方案及思路.....................................................................364.方案总结............................................................................................42内网安全管理系统设计方案31.前言1.1.概述随着信息化的飞速发展，业务和应用逐渐完全依赖于计算机网络和计算机终端。为进一步提高单位内部的安全管理与技术控制水平，必须建立一套完整的终端安全管理体系，提高终端的安全管理水平。由于单位内部缺乏管理手段，导致网络管理人员对终端管理的难度很大，难以发现有问题的电脑，从而计算机感染病毒，计算机被安装木马，部分员工使用非法软件，非法连接互联网等情况时有发生，无法对这些电脑进行定位，这些问题一旦发生，往往故障排查的时间非常长。如果同时有多台计算机感染网络病毒或者进行非法操作，容易导致网络拥塞，甚至业务无法正常开展。建立终端安全管理体系的意义在于：解决大批量的计算机安全管理问题。具体来说，这些问题包括：实现对单位内部所有的终端计算机信息进行汇总，包括基本信息、审计信息、报警信息等，批量管理终端计算机并提高安全性、降低日常维护工作量；实现对单位内部所有的终端计算机的准入控制，防止外来电脑或违规的电脑接入单位内部网络中；实现对单位内部所有的终端计算机进行补丁的自动下载、安装与汇总，最大程度减少病毒、木马攻击存在漏洞的计算机而导致的安全风险；实现对单位内部所有的移动存储设备的统一管理，防止部分人员通过USB设备将单位大量的机密文件传播出去，同时也极大减少了病毒、木马通过USB设备在网络中传播等情况的发生；实现对单位内部所有的终端计算机进行终端安全管理与分析，包括第一时间禁止非法外联行为的发生，实时监控异常流量，检测非法软件，禁用部分硬内网安全管理系统设计方案4件设备等，将计算机与人结合起来管理，防止非法操作导致发生不必要的安全事件。1.2.应对策略从网络空间应用接入方式来来说，网络空间应用从传统的互联网应用接入发展到以移动/无线通信应用接入乃至移动互联网接入等多种方式。而针对网络空间安全方面的问题，北信源公司基于多年的产品开发与超大规模成功部署与应用经验基础，组建了面向网络空间的终端安全管理产品体系。该产品体系主要面向重要网络、信息系统及基础设施的失泄密检测与防范，实现从终端、区域网到互联网的一体化检测、管理与防范。该体系从终端接入控制、终端行为管控制、终端数据防泄密，以及终端安全审计等方面，实现了多层次、全方位、立体化纵深失窃密检测与防范，形成了面向复杂网络空间的终端安全管理一体化解决方案，有效地实现了网络空间下对终端计算机的安全管理体系。内网安全管理系统设计方案52.终端安全防护理念2.1.安全理念针对目前网络中终端计算机面临的各种安全问题，作为终端安全管理市场的领导者，北信源公司特推出了面向网络空间的VRVSpecSEC终端安全管理体系。VRVSpecSEC终端安全管理体系以APPDR模型为依据，遵循国家和行业等级保护，基于安全工程的思想，以独特的终端安全配置策略为核心，以终端安全风险测试与评估为依据，实现组件化可动态组合配置的终端安全管理。其核心理念如下图所示：VRVSpecSEC终端安全管理体系核心理念安全产品法规符合性开发（Specification-basedProductsDevelopment）策略引导的终端安全配置（Policy-basedConfigureManagement）评估驱动的终端安全管理（Evaluation-drivenSecurityManagement）组件化终端安全管理体系（Component-basedPlug-in/outSecurityArchitecture）内网安全管理系统设计方案62.2.安全体系北信源VRVSpecSEC体系覆盖终端的资产安全管理、终端数据安全管理、终端行为安全管理、终端服务安全管理等多个方面，涉及管理计算机本身、计算机应用、计算机操作者、计算机使用单位管理规范等多个方面，形成全方位、多层次、立体化终端安全管理。VRVSpecSEC终端安全管理体系层次结构图如下所示：VRVSpecSEC终端安全管理体系层次结构图本解决方案正是基于上述核心理念和安全体系的基础上而组建的基于终端各方面安全管理和控制的一体化解决方案。内网安全管理系统设计方案73.终端安全管理解决方案3.1.终端安全管理建设目标(1)当终端接入时要落实安全保护技术措施，保障内部网络的运行安全和信息安全；(2)对已接入内部网络的终端计算机，要做好用户权限设定工作，不能开放其规定以外的操作权限。(3)发现有违规情形的，应当保留有关原始记录，并可直接了解到该违规信息及违规方式等。(4)网络管理人员能够利用该管理方式，便捷的管理内网终端计算机，并能够利用该种方式对终端计算机现状一目了然。3.2.终端安全管理方案设计原则方案设计遵循如下原则：(1)安全性原则：对性能影响小，与其它业务系统无冲突。(2)可靠性原则：在反复操作与长期实践之后依然能够保持高度的稳定性。(3)可扩展性原则：能够符合IT发展方向，并随业务增长的同时保持高度的可扩充性。(4)易用性原则：提供简单、友好界面，能够进行直观的操作，形成丰富的图形界面与报表。(5)兼容性原则：能够与主流厂商的系统、软件、主机设备、安全设备、网络设备保持高度的兼容性。内网安全管理系统设计方案83.3.终端安全管理方案设计思路1、遵循IT服务标准随着信息技术的发展以及对信息技术依赖程度的提高，IT已成为许多业务流程必不可少的部分，甚至是某些业务流程赖以运作的基础。IT部门要承担更大的责任，即提高业