北信源内网终端安全管理系统解决方案北京北信源软件股份有限公司目录1.前言 (4)1.1. 概述 (4)1.2. 应对策略 (5)2.终端安全防护理念 (6)2.1. 安全理念 (6)2.2. 安全体系 (7)3.终端安全管理解决方案 (9)3.1. 终端安全管理建设目标 (9)3.2. 终端安全管理方案设计原则 (9)3.3. 终端安全管理方案设计思路 (10)3.4. 终端安全管理解决方案实现 (12)3.4.1. 网络接入管理设计实现 ........................................ 错误!未定义书签。

3.4.1.1. 网络接入管理概述 ........................................ 错误!未定义书签。

3.4.1.2. 网络接入管理方案及思路............................... 错误!未定义书签。

3.4.2. 补丁及软件自动分发管理设计实现 (12)3.4.2.1. 补丁及软件自动分发管理概述 (12)3.4.2.2. 补丁及软件自动分发管理方案及思路 (12)3.4.3. 移动存储介质管理设计实现 (17)3.4.3.1. 移动存储介质管理概述 (17)3.4.3.2. 移动存储介质管理方案及思路 (18)3.4.4. 桌面终端管理设计实现 (21)3.4.4.1. 桌面终端管理概述 (21)3.4.4.2. 桌面终端管理方案及思路 (22)3.4.5. 终端安全审计设计实现 ........................................ 错误!未定义书签。

3.4.5.1. 终端安全审计概述 ........................................ 错误!未定义书签。

3.4.5.2. 终端安全审计方案及思路............................... 错误!未定义书签。

4.方案总结 (41)5.附录：系统硬件要求 (41)6.预算 (43)1.前言1.1.概述随着信息化的飞速发展，业务和应用逐渐完全依赖于计算机网络和计算机终端。

为进一步提高单位内部的安全管理与技术控制水平，必须建立一套完整的终端安全管理体系，提高终端的安全管理水平。

由于单位内部缺乏管理手段，导致网络管理人员对终端管理的难度很大，难以发现有问题的电脑，从而计算机感染病毒，计算机被安装木马，部分员工使用非法软件，非法连接互联网等情况时有发生，无法对这些电脑进行定位，这些问题一旦发生，往往故障排查的时间非常长。

如果同时有多台计算机感染网络病毒或者进行非法操作，容易导致网络拥塞，甚至业务无法正常开展。

建立终端安全管理体系的意义在于：解决大批量的计算机安全管理问题。

具体来说，这些问题包括：➢实现对单位内部所有的终端计算机信息进行汇总，包括基本信息、审计信息、报警信息等，批量管理终端计算机并提高安全性、降低日常维护工作量；➢实现对单位内部所有的终端计算机的准入控制，防止外来电脑或违规的电脑接入单位内部网络中；➢实现对单位内部所有的终端计算机进行补丁的自动下载、安装与汇总，最大程度减少病毒、木马攻击存在漏洞的计算机而导致的安全风险；➢实现对单位内部所有的移动存储设备的统一管理，防止部分人员通过USB 设备将单位大量的机密文件传播出去，同时也极大减少了病毒、木马通过USB设备在网络中传播等情况的发生；➢实现对单位内部所有的终端计算机进行终端安全管理与分析，包括第一时间禁止非法外联行为的发生，实时监控异常流量，检测非法软件，禁用部分硬件设备等，将计算机与人结合起来管理，防止非法操作导致发生不必要的安全事件。

1.2.应对策略从网络空间应用接入方式来来说，网络空间应用从传统的互联网应用接入发展到以移动/无线通信应用接入乃至移动互联网接入等多种方式。

而针对网络空间安全方面的问题，北信源公司基于多年的产品开发与超大规模成功部署与应用经验基础，组建了面向网络空间的终端安全管理产品体系。

该产品体系主要面向重要网络、信息系统及基础设施的失泄密检测与防范，实现从终端、区域网到互联网的一体化检测、管理与防范。

该体系从终端接入控制、终端行为管控制、终端数据防泄密，以及终端安全审计等方面，实现了多层次、全方位、立体化纵深失窃密检测与防范，形成了面向复杂网络空间的终端安全管理一体化解决方案，有效地实现了网络空间下对终端计算机的安全管理体系。

2.终端安全防护理念2.1.安全理念针对目前网络中终端计算机面临的各种安全问题，作为终端安全管理市场的领导者，北信源公司特推出了面向网络空间的VRV SpecSEC终端安全管理体系。

VRV SpecSEC终端安全管理体系以APPDR模型为依据，遵循国家和行业等级保护，基于安全工程的思想，以独特的终端安全配置策略为核心，以终端安全风险测试与评估为依据，实现组件化可动态组合配置的终端安全管理。

其核心理念如下图所示：VRV SpecSEC终端安全管理体系核心理念安全产品法规符合性开发（S pecification-based ProductsDevelopment）策略引导的终端安全配置（P olicy-based Configure Management）评估驱动的终端安全管理（E valuation-driven SecurityManagement）组件化终端安全管理体系（Component-based Plug-in/out SecurityArchitecture ）2.2.安全体系北信源VRV SpecSEC体系覆盖终端的资产安全管理、终端数据安全管理、终端行为安全管理、终端服务安全管理等多个方面，涉及管理计算机本身、计算机应用、计算机操作者、计算机使用单位管理规范等多个方面，形成全方位、多层次、立体化终端安全管理。

VRV SpecSEC终端安全管理体系层次结构图如下所示：VRV SpecSEC终端安全管理体系层次结构图本解决方案正是基于上述核心理念和安全体系的基础上而组建的基于终端各方面安全管理和控制的一体化解决方案。

3.终端安全管理解决方案3.1.终端安全管理建设目标(1) 当终端接入时要落实安全保护技术措施，保障内部网络的运行安全和信息安全；(2) 对已接入内部网络的终端计算机，要做好用户权限设定工作，不能开放其规定以外的操作权限。

(3) 发现有违规情形的，应当保留有关原始记录，并可直接了解到该违规信息及违规方式等。

(4) 网络管理人员能够利用该管理方式，便捷的管理内网终端计算机，并能够利用该种方式对终端计算机现状一目了然。

3.2.终端安全管理方案设计原则方案设计遵循如下原则：(1)安全性原则：对性能影响小，与其它业务系统无冲突。

(2)可靠性原则：在反复操作与长期实践之后依然能够保持高度的稳定性。

(3)可扩展性原则：能够符合IT发展方向，并随业务增长的同时保持高度的可扩充性。

(4)易用性原则：提供简单、友好界面，能够进行直观的操作，形成丰富的图形界面与报表。

(5)兼容性原则：能够与主流厂商的系统、软件、主机设备、安全设备、网络设备保持高度的兼容性。

3.3.终端安全管理方案设计思路1、遵循IT服务标准随着信息技术的发展以及对信息技术依赖程度的提高，IT已成为许多业务流程必不可少的部分，甚至是某些业务流程赖以运作的基础。

IT部门要承担更大的责任，即提高业务运作效率，降低业务流程的运作成本，遵循ITIL标准，协调IT服务部门内部运作，改善IT部门与业务部门之间的沟通，帮助单位对信息化系统的规划、研发、实施和运营进行有效管理的方法。

IT服务管理将流程、人和技术三方面整合在一起来解决IT服务管理问题。

并结合单位内部组织结构、IT资源与管理流程等，对业务需求进行整体管理与服务。

解决方案设计要采用IT服务管理的理念，按照ITIL最佳实践标准来设计。

2、遵循ISO 27001标准ISO27001作为信息系统安全管理标准，已经成为全球公认的安全管理最佳实践，成为全国大型机构在设计、管理信息系统安全时的实践指南。

其中除了安全思路之外，给出了许多非常细致的安全管理指导规范。

在ISO27001中有一个非常有名的安全模型，称为PDCA安全模型。

PDCA安全模型的核心思想是：信息系统的安全需求是不断变化的，要使得信息系统的安全能够满足业务需要，必须建立动态的“计划、设计和部署、监控评估、改进提高”管理方法，持续不断地改进信息系统的安全性。

北信源认为，终端安全管理，也将是一个持续、动态、不断改进的过程，北信源将提供统一的、集成化的平台和工具，帮助对其终端进行统一的安全控制、安全评估、安全审计及安全改进策略部署。

3、遵循VRV SpecSEC安全理念依据业界最佳安全实践和行业信息安全管理体系的建设流程，结合北信源VRV SpecSEC核心安全理念，本方案的总体架构共分为“网络接入管理、补丁及软件分发管理、移动存储介质管理、桌面终端管理、终端安全审计”等安全管理组件，并通过统一、联动的安全管控与审计平台实现对不同层次架构的集中策略配置与管理，完成对网络终端的分级部署、统一管控，最终实现对内网终端全方位的控制管理，形成完整的终端安全管理体系。

方案设计思路3.4.终端安全管理解决方案实现本方案通过网络接入控制管理、补丁及软件分发管理、移动存储介质管理、桌面终端安全管理，以及终端安全审计管理等五大部分，并由集中统一的管控和策略平台，完成对上述安全管理组件的统一策略配置与下发、集中管理与审计，最终形成联动化的、集成化的、完整的终端安全体系建设。

3.4.1.补丁及软件自动分发管理设计实现3.4.1.1.补丁及软件自动分发管理概述补丁及软件自动分发管理能够自动识别终端计算机操作系统类型，并根据需求自动下载所需补丁，自动安装并提示。

系统向指定终端计算机（用户组）分发文件或安装软件，分发时可提供软件的运行参数和必要的运行控制。

该管理体系可减轻网络管理人员的工作负担，软件分发时可报告软件安装的状态，无论软件正确安装与否，管理员均可及时了解情况。

3.4.1.2.补丁及软件自动分发管理方案及思路补丁及软件自动分发管理支持推、拉两种方式自动下载补丁。

整个补丁管理运行平台构架是：通过北信源外网补丁下载服务器及时从补丁厂商网站获取最新补丁；补丁安全测试后，通过补丁分发管理中心服务器对网络用户进行分发安装；补丁安装支持自动和手动两种方式。

动态下载......级联级联补丁分发管理体系网络应用对象：○1连通互联网的网络：直接通过补丁下载服务器将补丁下载至补丁分发服务器；○2物理隔离网络：在互联网连通网络上安装补丁下载服务器模块，通过补丁下载增量分离工具，区分内网已导入和未导入的补丁，将最新补丁导入到内网补丁分发服务器。