终端管理中普遍存在的问题
违规操作行为的 监控
重要文档的 任意流转
IT资产信息 汇总
异常流量导致 网络阻塞
终端管理中普遍 存在的问题
系统补丁的及时 统一修补
非法外联 一机两用
陌生计算机违 规接入网络
移动存储介质造成 的病毒传播和信息
泄露
终端安全趋势分析
主机防病毒
密码认证 证书认证 双因素认证
资产管理 外设管理 补丁管理 非法外联
安全体系建设的对策
终
安全准入控制设计思路与实现
端
安 行为安全管控设计思路与实现
全
管 理
桌面安全管理设计思路与实现
体
系 数据安全管理设计思路与实现
建
设 安全审计管理设计思路与实现
• 即时通讯审计 • 上网行为审计 • 邮件审计 • OS及文件操作审计 • 文件输出审计
北信源主机监控审计系统
要求对主机系统的操作行为进行审计。对应用系统的操作行为进行审计。《等级保护－安全审计》
终端安全 事件取证
安全管理
安全体系设计与建设的支撑模型
国家信息安全标准与政策法规
桌面终端安全技术 可信网络认证技术 安全准入控制技术 移动存储/文档安全技术
终端云安全技术 VRV终端安全技术体系
信息安全管理组织 信息安全管理制度
管理制度的落实 VRV终端安全管理体系
日常运维制度 日常运维流程 安全应急响应 VRV终端安全运维体系
安 装 管 理
密 码 管 理
消端 息口 通控 知制
协 助 管 理
运 维 管 理
实现对终端非法外 联的控制；
安全体系建设的对策
终
安全准入控制设计思路与实现
端
安 行为安全管控设计思路与实现
全
管 理
桌面安全管理设计思路与实现
体
系 数据安全管理设计思路与实现
建
设 安全审计管理设计思路与实现
• 文档信息加密 • 移动介质管理 • 数据安全销毁 • 敏感信息检查 • 数据备份与恢复
文档加密管理 存储介质管理 介质信息消除 敏感信息检查
OS和文件管理
终端身份认证
桌面终端安全管理
数据安全管理
安全体系建设的依据
安全体系建设的依据
• 国家安全标准及政策法规的明确要求
– 《信息安全技术 信息系统安全等级保护技术要求》（GB/T 22239-2008） – 《信息安全技术 终端计算机系统安全等级技术要求》（GA/T 671-2006） – 《涉及国家秘密的计算机信息系统分级保护技术要求》（BMB 17-2006） – 《互联网安全保护技术措施规定》（公安部第82号令）
实现终端用户对文件的 操作行为审计； 实现终端用户对OS的 操作行为审计； 实现终端用户对外设的 操作行为审计； 实现与上网行为管理系 统的联动，完成终端用 户上网访问行为的审计； 完成终端用户邮件发送、 外网发贴、bbs论坛内 容的审计； 完成终端用户即时通信 行为的审计；
终端安全管理体系建设示意图
“一机两用”系统率先应用于全国公安系统。 历年来在终端桌面管理领域保持领先地位，产品和服务对象涉及
政府、军队、金融、财税、能源……等关系到国计民生的重要部 门及行业。 2009年是里程碑式发展的一年，完成股改，注册资金达到5000 万元。
持续领先的市场份额
2006—2007中国终端安全管理及审计 市场占有率最高产品
2. 常规安全检查：违规上网、敏感信息、U盘使 用记录、系统账户安全等
3. 深度安全检查：扇区检查、已删文件检查等
已删除敏感信息检查
实现计算机应用信息、 常规安全检查、深度 安全检查三级架构检 查；
实现多种违规操作行 为的检查取证，如重 装系统、格式化硬盘 等；
适合多种运行环境， 如硬盘安装、光盘和 U盘单独运行等；
终端安全管理体系建设的效果
来进 不
走拿 不
改 不 了
看
跑
不
不
懂
了
可
审
打不垮
查
我们的优势
技术优势
1、解决方案优势 拥有10多年的底层安全产品研发经验，多项技术领先业界，产品解决方案
覆盖了内网安全管理的各个方面。
公安部科学技术奖证书
实现刻录软件权限控制，其 他刻录软件无法刻录 ；
实现数据光盘的加密刻录， 只有使用密钥才可正常读 取；
实现刻录行为的安全审计， 包括刻录计算机IP、MAC、 刻录时间、源文件绝对路 径、目的文件绝对路径等 信息 ；
北信源计算机信息系统保密检查工具
上网信息检查
U盘使用信息检查
1. 基本信息检查：系统进程、服务和端口、上网 记录、连接状态、已装软件等
安全体系建设的依据
• 《涉及国家秘密的计算机信息系统分级保护技术要求》（BMB 17-2006）
安全体系建设思路与对策
安全体系设计与建设的分层模型
安全准入 行为管控
终端安全准入管理
未知终端准入控制 终端用户身份认证 安全准入控制
终端行为管理
聊天行为 上网行为 网络应用 P2P下载 OS操作 文件操作
网址过滤管理
安全体系建设的对策
终
安全准入控制设计思路与实现
端
安 行为安全管控设计思路与实现
全
管 理
桌面安全管理设计思路与实现
体
系 数据安全管理设计思路与实现
建
设 安全审计管理设计思路与实现
• 资产管理 • 外设管理 • 终端加固 • 异常监控 • 违规外联
北信源内网安全管理系统
编制与信息系统相关的资产清单，包括资产责任部门、重要程度和所处位置等内容。《等级保护－ 资产管理》 对内部网络用户私自联到外部网络的行为进行检查，并阻断。 《等级保护－边界完整性检查》
实现对授权终端基
于补丁策略的安全
检查准入控制；
分布式ARP干扰，不同VLAN和网段均
可实现。
实现终端通过有线、 无线多种接入方式
的准入控制；
实现终端在异地漫
4.虚拟强制隔离准入技术
专有技术，采用私有协议，能够游实状现态下未的注准入册控制； 终端强制隔离出网。
北信源终端安全登录与监控审计系统
要采取两种或以上技术对管理用户进行身份认证；要根据管理用户的角色分配权限，实现管理用户 的权限分离。 《等级保护－主机安全》
北信源电子文档安全管理系统
采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据传输、存储保密性；《等 级保护－数据安全》
实现文档透明 加密；
实现文档操作 授权；
实现文档外发 安全管理；
文 应 邮 文 文 用文 自 密 离
档 用 件 档 档 户档 定 级 网
透 指 透 操 外 权水 义 管 管
实现内网信息资产 的统计与管理；
实现终端电脑外设 接口的控制与管理
实现终端OS、应用 系统的补丁分发与 自动安装管理；
终
信补
违
进
软
பைடு நூலகம்
用
终外
远
主
实现对终端异常进 程、异常流量等的
端 息 丁 规 程 件 户 端 设 程 机 监控；
IP 绑 定 管 理
资 产 管 理
及 文 件 分 发
外 联 监 控
运 行 管 理
终端安标全题管理之“道”
------北信源终端安全管理体系建设方案
主题
1
关于北信源
2 安全管理现状及趋势分析
3
安全体系建设的依据
4
安全体系建设思路与对策
5
我们的优势
关于北信源
关于北信源
1996年成立 近400名员工，分支和服务机构遍布全国。 2003年率先提出终端桌面安全管理理念，同年桌面管理的雏形
实现移动存储设备 识别管理。
其他USB设备控制
信息审计
北信源存储介质信息消除系统
未经专业销密，不得将涉密计算机和涉密移动存储介质淘汰处理。《计算机保密规定》 对需要送出维修或销毁的介质，首先清除其中的敏感数据，防止信息的非法泄漏。《等 级保护－介质管理》
1. 00擦除1次。
2. FF擦除1次。
3. 00、FF各10次，随机擦除数十次，00、FF各 10次。
2007—2008中国终端安全管理及审计 市场占有率最高产品
2008-2009中国终端安全管理审计及移动存储 介质管理市场占有率最高产品
2009-2010中国终端安全管理审计及移动存储 介质管理市场占有率最高产品
安全管理现状及趋势分析
信息安全趋势分析
Intranet
1. 保护网络基础设施 2. 保护区域边界 3. 保护内部计算环境
明 纹 明 作 发 限印 密 理 理
加 识加授
申显 钥
密 别密权
请示
北信源移动存储介质管理系统
要根据所承载数据和软件的重要程度对介质进行分类和标识管理。《等级保护－介质 管理》
标签认证
扇区加密
USB接口控制
策略
数据区权限控制
分组管理控制
文件过滤控制
灾难恢复
实现移动存储设备 的使用权限控制；
实现移动存储设备 读写权限控制；
• 聊天行为 • 上网行为 • 网络应用使用 • OS操作行为 • 文件操作 • P2P下载
北信源上网行为管理系统
记录并留存用户访问的互联网地址或域名”，“在公共信息服务中发现、停止传输违法信息，能 够记录并留存发布的信息内容及发布时间”， “应当至少保存60天记录备份”《公安部第82号令》
内部员工随意上网浏览各种非法网站、视频聊天、玩网络游戏、炒股票、P2P软件下载电影和视 频文件，不仅造成工作效率低下，甚至影响行业业务系统的正常运行。
外联单位 终端安全管理 设计与实现