北信源内网终端安全管理系统
解决方案
北京北信源软件股份有限公司
内网安全管理系统设计方案
目 录
1.
前言 ..................................................................................................... 3
1.1. 概述 ................................................................................................................................. 3 1.2. 应对策略 ......................................................................................................................... 4
2. 终端安全防护理念 ................................................................................ 5
2.1. 安全理念 ......................................................................................................................... 5 2.2. 安全体系 ......................................................................................................................... 6
3.
3.1. 3.2. 3.3. 3.4.
终端安全管理解决方案 ........................................................................ 7
终端安全管理建设目标 ................................................................................................. 7 终端安全管理方案设计原则 ......................................................................................... 7 终端安全管理方案设计思路 ......................................................................................... 8 终端安全管理解决方案实现 ....................................................................................... 10 3.4.1. 网络接入管理设计实现 ................................................................................. 10
3.4.1.1. 网络接入管理概述 ................................................................................. 10 3.4.1.2. 网络接入管理方案及思路 ..................................................................... 10 3.4.2. 补丁及软件自动分发管理设计实现 ............................................................. 15
3.4.2.1. 补丁及软件自动分发管理概述 ............................................................. 15 3.4.2.2. 补丁及软件自动分发管理方案及思路 ................................................. 15 3.4.3. 移动存储介质管理设计实现 ......................................................................... 19
3.4.3.1. 移动存储介质管理概述 ......................................................................... 19 3.4.3.2. 移动存储介质管理方案及思路 ............................................................. 20 3.4.4. 桌面终端管理设计实现 ................................................................................. 23
3.4.4.1. 桌面终端管理概述 ................................................................................. 23 3.4.4.2. 桌面终端管理方案及思路 ..................................................................... 24 3.4.5. 终端安全审计设计实现 ................................................................................. 36
3.4.5.1. 终端安全审计概述 ................................................................................. 36 3.4.5.2. 终端安全审计方案及思路 ..................................................................... 36
4.
方案总结 ............................................................................................ 42
2
内网安全管理系统设计方案
1. 前言
1.1. 概述
随着信息化的飞速发展,业务和应用逐渐完全依赖于计算机网络和计算机终端。为进一步提高单位内部的安全管理与技术控制水平,必须建立一套完整的终端安全管理体系,提高终端的安全管理水平。
由于单位内部缺乏管理手段,导致网络管理人员对终端管理的难度很大,难以发现有问题的电脑,从而计算机感染病毒,计算机被安装木马,部分员工使用非法软件,非法连接互联网等情况时有发生,无法对这些电脑进行定位,这些问题一旦发生,往往故障排查的时间非常长。如果同时有多台计算机感染网络病毒或者进行非法操作,容易导致网络拥塞,甚至业务无法正常开展。
建立终端安全管理体系的意义在于:解决大批量的计算机安全管理问题。具体来说,这些问题包括:
? 实现对单位内部所有的终端计算机信息进行汇总,包括基本信息、审计信息、
报警信息等,批量管理终端计算机并提高安全性、降低日常维护工作量; ? 实现对单位内部所有的终端计算机的准入控制,防止外来电脑或违规的电脑
接入单位内部网络中;
? 实现对单位内部所有的终端计算机进行补丁的自动下载、安装与汇总,最大
程度减少病毒、木马攻击存在漏洞的计算机而导致的安全风险; ? 实现对单位内部所有的移动存储设备的统一管理,防止部分人员通过USB
设备将单位大量的机密文件传播出去,同时也极大减少了病毒、木马通过USB设备在网络中传播等情况的发生;
? 实现对单位内部所有的终端计算机进行终端安全管理与分析,包括第一时间
禁止非法外联行为的发生,实时监控异常流量,检测非法软件,禁用部分硬
3
内网安全管理系统设计方案
件设备等,将计算机与人结合起来管理,防止非法操作导致发生不必要的安全事件。
1.2. 应对策略
从网络空间应用接入方式来来说,网络空间应用从传统的互联网应用接入发展到以移动/无线通信应用接入乃至移动互联网接入等多种方式。
而针对网络空间安全方面的问题,北信源公司基于多年的产品开发与超大规模成功部署与应用经验基础,组建了面向网络空间的终端安全管理产品体系。该产品体系主要面向重要网络、信息系统及基础设施的失泄密检测与防范,实现从终端、区域网到互联网的一体化检测、管理与防范。该体系从终端接入控制、终端行为管控制、终端数据防泄密,以及终端安全审计等方面,实现了多层次、全方位、立体化纵深失窃密检测与防范,形成了面向复杂网络空间的终端安全管理一体化解决方案,有效地实现了网络空间下对终端计算机的安全管理体系。
4
内网安全管理系统设计方案
2. 终端安全防护理念
2.1. 安全理念
针对目前网络中终端计算机面临的各种安全问题,作为终端安全管理市场的领导者,北信源公司特推出了面向网络空间的VRV SpecSEC终端安全管理体系。
VRV SpecSEC终端安全管理体系以APPDR模型为依据,遵循国家和行业等级保护,基于安全工程的思想,以独特的终端安全配置策略为核心,以终端安全风险测试与评估为依据,实现组件化可动态组合配置的终端安全管理。其核心理念如下图所示:
VRV SpecSEC终端安全管理体系核心理念
安全产品法规符合性开发(Specification-based Products Development) 策略引导的终端安全配置(Policy-based Configure Management) 评估驱动的终端安全管理(Evaluation-driven Security Management) 组件化终端安全管理体系(Component-based Plug-in/out Security Architecture )
5