终端安全配置管理系统
技术白皮书
国家信息中心
目录
第一章终端安全配置管理系统简介 (1)
1.1 为什么要做终端安全配置 (1)
1.2 机构如何实现机构高效的终端安全配置管理 (2)
1.3 终端安全配置管理系统技术优势 (3)
第二章终端安全配置管理系统逻辑结构 (5)
第三章终端安全配置管理系统功能 (7)
第四章终端安全配置基线介绍 (9)
4.1 基线概述 (9)
4.2 终端硬件安全配置 (9)
4.3 终端软件安全配置 (10)
4.4 终端核心安全配置 (11)
第五章系统应用方案 (14)
5.1 应用架构 (14)
5.2 实施流程 (16)
5.3 运行环境要求 (16)
第六章技术支持服务 (18)
附录一W INDOW7操作系统安全配置清单(示例) (19)
附录二国家信息中心简介 (24)
i
第一章终端安全配置管理系统简介
1.1 为什么要做终端安全配置
在构成信息系统的网络、服务器和终端三要素中,对终端的攻击和利用终端实施的窃密事件急剧增多,终端安全问题日益突显。攻击和窃密是终端安全的外部原因,计算机系统存在缺陷或漏洞、系统配置不当是终端安全的内部原因。外因通过内因起作用,内因是决定因素。据调查,针对系统核心的攻击中,5%是零日攻击,30%是没有打补丁,65%是由于错误的配置。因此正确的安全配置才是保障终端安全性的必要条件。
计算机终端核心配置最早由美国联邦政府提出,称为联邦桌面核心配置计划(FDCC)。该计划由美国联邦预算管理办公室(OMB)负责推动,旨在提高美国联邦政府计算机终端的安全性,并实现计算机管理的统一化和标准化。美国空军最先实施桌面标准配置并取得了良好的应用效果。2007年,美国联邦政府强制规定所有使用Windows的计算机必须符合FDCC的配置要求。
近年来,我国逐步认识到终端安全配置管理对于加强计算机终端安全保障工作的重要作用,对美国联邦政府实施的桌面核心配置进行了跟踪研究,并开展了我国终端安全配置标准的研制工作。多家科研院所和安全厂商参与了相关研究工作,其中,国家信息中心是国内最早开展终端安全配置研究的单位之一,目前已编制完成政务终端安全核心配置标准草案,并开发出一整套标准应用支撑工具—终端安全配置管理系统。该系统在各地方的试点应用取得了明显的成效。
终端安全配置分为硬件安全配置、软件安全配置和核心安全配置,如图1所示。分别介绍如下:
硬件安全配置:根据计算机硬件列装的安全要求,仅可安装符合规定的硬件和外联设备,关闭存在安全隐患的接口以及驱动,以满足政府机构和大型企业对硬件环境的安全需求。包括计算机部件清单、外联设备清单、外联接口安全配置和硬件驱动安全配置;
软件安全配置:根据计算机软件安装的安全要求,仅可安装符合规定的操作系统和软件,禁止非法软件安装,以满足政府机构和大型机构对软件环境的安全需求。包括应安装软件列表、可安装软件列表和禁止安装软件列表;
核心安全配置:对终端操作系统、办公软件和浏览器、邮件系统软件、其它常用软件等与安全有关的可选项进行参数设置,限制或禁止存在安全隐患或漏洞的功能,启用
或加强安全保护功能,增强终端抵抗安全风险的能力。包括操作系统安全配置、常用软件安全配置和业务应用软件安全配置。
图1 终端安全配置分类
正确合理的应用终端安全配置,不仅可以使机构的用户终端规避安全风险,同时可以帮助机构领导掌握全网终端的安全状况,提高安全措施实施效率,大大降低运维和检查成本。
1.2 机构如何实现机构高效的终端安全配置管理
为了实现高效的终端安全配置管理,充分发挥“安全配置”最大作用,终端安全配置管理系统从机构管理需求角度出发,实现了“四化”要求:
●终端安全“基线化”
制定并部署终端安全基线是实现高效配置管理的核心动力。安全配置基线是根据机构终端安全要求制定的关于终端硬件、软件及核心方面的最低配置要求。它是安全配置项的列表,是为机构衡量和评估终端安全性划定的一条基准线。满足这条基准线就可保证终端处于安全状态,并大大提高终端抵抗安全风险的能力。终端安全配置管理系统可按照基线内容对终端进行全面配置部署,并对每台终端的配置合规情况进行周期性检查,对合规和不合规标情况进行详细统计报告。将终端中纷繁杂乱的配置项按照“基线”进行统一管理,实现了终端安全有标准可依、可量化管理。
●配置管理“统一化”
集中统一化的管理模式是实现终端高效配置管理的重要保障。终端安全配置管理系统架构在终端安全护理平台(PCcare)之上,通过C/S的管理模式,对注册终端进行统一集成化的配置管理,保障了终端配置的统一性和一致性。同时,可以实现不同安全域
等级化,差异化的安全配置管理,加强了对注册终端的集中分类管理和设备更新管理。使管理者对机构终端安全做到“心中有数,可控可管”。
●部署实施“自动化”
自动化的实施手段是实现终端高效配置管理的必要条件。对于拥有大量终端的政府部门和企事业单位来说,管理员通过网络执行远程配置部署是最佳方案。终端安全配置管理系统采用C/S模式建立起一种高效、稳定、灵活的配置自动化部署方案,实现了从配置编辑、到配置部署,再到配置监测的全程化自动管理,实现了从手动配置到工具化大规模部署的跨越,保证了配置实施的效率。
●运维操作“简单化”
操作简便对于实现终端高效配置管理来说非常重要。终端安全配置管理系统界面友好易用,功能布局简明清晰,操作方便快捷,管理员只需简单的点击几下鼠标,就可完成包含数百条策略的安全配置基线的轻松部署和管理。并且在运维人力、物力和财力方面,大大节约了投入成本。
1.3 终端安全配置管理系统技术优势
终端安全配置管理系统的突出优势在于除了对软硬件进行安全配置之外,实现了针对操作系统及常用软件核心的安全配置管理,主要特点在于:
(1)与国家等级保护基本要求相衔接,提出核心安全配置基本要求,如图2所示。
图2 核心安全配置基本要求
针对操作系统以及各类常用软件从身份鉴别、访问控制、信息保护、安全审计和补丁升级等方面进行安全配置。
(2)对核心安全选项进行参数设置,实现系统深层加固,配置内容涉及应用层至链路层。例如,端口限制、口令加密存储方式、邮件系统附件类型限制、SYN攻击保护、
命名管道共享管理、链路层拓扑发现管理等。
第二章终端安全配置管理系统逻辑结构
终端安全配置管理系统依托PCcare终端安全护理平台,采用分布式体系结构,如图3所示。整个系统分为级联服务器、前端服务器和客户端三级模式,并可根据用户分布情况灵活扩展和设立分支节点。每节点部署前端服务器一台和级联服务器一台,前端服务器负责为本节点管理范围内的终端提供安全配置管理服务功能;级联服务器负责汇总上报安全状态统计信息,并为下级节点分发安全配置基线包。
图3 终端安全配置管理系统架构
(1)WEB管理平台
Web管理平台包括前端服务器配置平台和级联服务器监测平台,前端服务器主要功能是配置策略、设置终端探头扫描时间,选择扫描对象、查询终端数据、系统维护等操作,所有操作均通过更改服务器的数据库来实现。数据库被更改后,会触发区域管理器中的配置管理模块根据类别进行相应的操作,如传递给服务器层的设备扫描模块对网络
段内的终端信息进行扫描;或者根据策略部署选项传递给终端部署的客户端代理程序对终端的各项安全策略进行更改配置。级联服务器主要功能是级联服务器监测平台,通过Web网页查看所有节点的计算机安全概况信息。
(2)数据库
数据库用来存储和管理系统初始化信息,包括终端设备属性信息、区域管理器信息、设备扫描器信息、区域管理范围信息、注册(未注册)机器信息、设备属性变化信息、报警信息;以及系统运行过程中产生的各种信息,包括安全配置基线、配置项参数、终端安全状态信息、报警信息、日志信息等等。这些数据分别通过客户端、配置管理模块、状态收集模块等汇集到区域管理器并经过处理后存储到关系数据库中。
(3)服务
服务层包括配置管理、状态监测、设备扫描等服务,服务是系统的数据处理中心,是整个系统的上传和下达枢纽。“配置管理”主要是从数据库层获取来自控制台的各种安全配置项和命令操作,监听各种信息改动,并将命令操作分类发送到客户端程序和扫描器执行;“状态监测”主要是接收扫描器的信息和客户端程序提供的各类安全状态和报警信息,发送至管理信息库,以备管理人员通过web管理平台查阅。“设备扫描”主要扫描网络中设备及其状态,巡检网络设备状态变化信息(负责扫描网络环境内的计算机终端的Mac地址、设备信息、IP地址、计算机名、开关机信息、实施未注册阻断、运用SNMP协议扫描交换机端口等)。
(4)客户端
客户端用于网络管理员通过web网页平台的各种指令,负责执行通讯和安全服务功能,可按安全配置基线自动探测终端软硬件相关信息和状态上报给服务层,然后存入管理信息库,并可通过服务层接收策略并执行对应动作,执行Web管理平台下发的各种配置操作,完成对终端计算机指定的安全配置更改、系统维护、查询安全状态信息,进行本机安全配置信息变化监视。
第三章终端安全配置管理系统功能
安全配置管理系统应用支撑平台由三个部分构成,分别是配置编辑系统、配置部署系统和配置监测系统,如图4所示。其中,配置编辑系统主要用于将配置清单自动转换生成安全配置基线包,配置验证系统用于对安全配置基线包进行验证和测试;配置部署系统用于对安全配置基线包进行自动化部署;配置监测系统用于对安全配置状态进行全面实时监测。
图4 安全配置平台框架
(1)配置编辑系统
配置编辑系统用来生成安全配置基线包,安全管理员依照安全配置基本要求对配置清单中所选配置项进行转换和处理,生成可以编辑、可以解析、可以分发和可以部署的
安全配置基线包。配置编辑系统应包括基线包生成器和基线包编辑器两个构成部分:
●基线包生成器主要用于生成原始的安全配置基线包,可根据清单内容逐项录入
或由清单模版自动录入;
●基线包编辑器主要用于修改安全配置基线包中的配置项的基值,并可进行添加、
修改、合并、删除等编辑操作。
(2)配置部署系统
配置部署系统可进行安全配置基线包管理、分发、配置项赋值,由基线包管理工具、基线包分发系统和配置执行工具三个部分组成。
●基线包管理工具包括安全配置基线包上载、配置信息查看、安全配置基线包按
照IP或部门区域指派、安全配置基线包更新和删除等功能;
●基线包分发系统将基线包按照指派分发到客户端,可采用服务器推送和客户端
下载双向通道模式进行分发;
●配置执行工具按照配置基线包自动对操作系统的注册表、WMI、Admx等进行参
数赋值,可在赋值前备份当前环境,可启用system权限在后台进行赋值。
(3)配置监测平台
配置状态监测系统是安全管理员掌握终端安全配置状况的一个重要手段,主要由安装在终端上的配置状态收集器、配置状态上报系统和部署在服务器上的配置状态分析器、配置状态图展示平台、配置状态预警系统组成。
●配置状态收集器定时收集当前终端的安全配置项参数设置情况;
●配置状态上报系统用于将收集的配置状态上传至服务器;
●配置状态分析器用于对上报的配置状态与安全配置基线包中的配置项基值进行
比对和统计分析;
●配置状态图展示平台通过图、表等展示手段输出分析结果。
第四章终端安全配置基线介绍
4.1 基线概述
终端安全配置基线主要涉及终端硬件安全配置、终端软件安全配置和终端核心安全配置,如图5所示。
图5 终端安全配置基线
4.2 终端硬件安全配置
为了避免存在不可信硬件以及外联端口给终端带来的危险,通过对Windows系统设备管理器中的相应参数进行设置“启用”或者“禁用”,控制计算机终端输入、输出设备的使用。同时,加强对网络端口、网络协议、网络接入认证以及通信地址的安全管理,全面保证硬件设备层的可知、可控、可信的安全要求。
(1)硬件设备管理
控制硬件外设的使用,包括光驱、软驱、USB移动存储、USB全部接口、打印机并行口、调制解调器、串行口、并行口、1394控制器、红外设备、蓝牙设备、PCMCIA
卡、冗余硬盘、磁带机、冗余SCSI设备等;监控CPU、内存、硬盘等关键硬件的信息,保障它们的正常运行。
(2)网络端口管理
基于各种网络协议的原理和各种网络软件对网络的实际应用,控制各种网络和计算机端口的使用,降低被利用的风险。例如需要关闭的端口包括21端口、80端口、135端口、137端口、138端口、139端口、445端口,在客观上起到防火墙的作用。
(3)ICMP协议管理
ICMP协议是判断计算机间的互相通信信息的重要手段,根据实际需求,可以对其进行以下控制:
●“禁止ping入”,是指不允许其他计算机(包括局域网计算机和远程计算机)用
ping命令来探测本地计算机的通信状态;
●“禁止ping出”,是指不允许设置的对象客户端机器用ping命令来探测其他计
算机(包括局域网计算机和远程计算机)的通信状态;
●“禁止双向”,指同时禁止任意两台计算机(至少有一台是本地计算机)的通信
检测。
(4)MAC与IP绑定
绑定客户端IP和MAC,防止非法接入。当绑定内容发生变化时,启用安全保护机制,包括:
●启用IP保护-防止其它设备使用与本机相同IP地址而造成的地址冲突;
●禁止修改网关-如果网关改变则自动恢复原先的设置;
●禁用冗余网卡-保留与区域管理器通信的网卡;
●禁用其它的网卡。
(5)网络接入认证
用户可通过本地认证、Radius认证、或IP/MAC绑定认证后接入网络,网络管理员可对辖内用户的带宽、网络应用类别、网络访问时间、网站过滤、内容审计、Web推送等进行设定,便于进行用户行为管理及审计和违规外联监控。
4.3 终端软件安全配置
根据应安装软件列表、可安装软件列表和禁止安装软件列表,实现监控已经安装
的软件,限制要安装的软件。
(1)软件安装监控
用于监控客户机安装的软件是否违规并做出相应的处理。输入禁止安装软件的主程序名称,并支持模糊查询技术。还可以添加自定义的黑名单和白名单,并分别配置违规处理措施,高级策略项等配置。
(2)软件安装行为限制
限制软件安装行为,包括“禁止在注册表Run项里添加自启动项”,“禁止在注册表Services项里添加自启动项”,“禁止在程序启动项中添加项”,“禁止在程序项中添加快捷方式”,同时可以填写例外的进程和文件名,使之策略不对其起作用。
4.4 终端核心安全配置
对终端操作系统、办公软件和浏览器、邮件系统软件、其它常用软件等与安全有关的可选项进行参数设置,限制或禁止存在安全隐患或漏洞的功能,启用或加强安全保护功能,增强终端抵抗安全风险的能力。
4.4.1操作系统安全配置
(1)身份鉴别配置
–加强账户登录管理,账户登录时应启动身份验证机制,连续多次登录失败后应锁定账户;启动账户登录界面时,应禁止无关进程的启动和运行。
–加强口令管理,应配置安全的口令长度、复杂度、有效期和加密强度,禁止不设置口令。
(2)访问控制配置
–加强账户管理,禁用匿名账户(anonymous)、来宾账户(guest)、产品支持账户(Support),限用管理员账户(administrator),限制普通用户的访问权限,禁
止所有账户或未登录账户远程访问。
–加强权限管理,限制对文件、硬件、驱动、内存和进程等重要资源的访问权限。
–加强服务管理,禁用信息共享、动态数据交换(DDE)、互联网信息服务(IIS)、FTP和Telnet等网络连接、远程网络访问等服务,限制蓝牙等无线连接。
–加强操作管理,限制权限提升和授权访问等操作,禁止介质自动运行(Auto run),
限制软件下载、安装和升级操作。
(3)数据保密配置
应启用磁盘加密系统等数据保密配置。
(4)剩余信息保护配置
–关闭系统时应清除虚拟内存页面文件;
–断开会话时应清除临时文件夹;
–禁止剪切薄存储信息与远程计算机共享。
(5)安全审计配置
–启用安全日志,记录账户的创建、更改、删除、启用、禁用和重命名等操作,记录账户登录和注销、开关机、配置变更等操作;
–启用系统日志,记录对文件、文件夹、注册表和系统资源的访问操作。
(6)系统组件安全配置
–启用资源管理器数据执行保护(DEP)模式和Shell协议保护模式;
–打开邮件的附件时,应启用杀毒软件进行扫描;
–应启动屏幕保护和休眠功能,设置唤醒口令;
–应开启系统定期备份功能。
4.4.2办公软件安全配置
–禁止ActiveX控件的使用;
–禁用所有未经验证的加载项;
–限用未数字签名的宏;
–限制在线自动更新升级、网上下载剪贴画和模板等资源、访问超级链接。
4.4.3浏览器安全配置
(1)浏览器设置
–禁止运行java小程序脚本;
–限制下载和安装未签名的Active X控件;
–开启浏览器的保护模式。
(2)域管理配置
–访问以太网的安全级别应设为中或高;
–访问企业专网的安全级别可设为中;
–受信站点的安全级别可设为低;
–限制访问受限站点,禁止从受限站点下载或保存文件。
(3)隐私保护配置
–退出网页时,删除Cookie文件、下载记录、访问网站历史记录和临时文件夹;
–限制输入框自动关联功能。
4.4.4邮件系统安全配置
–应配置安全的邮箱登录口令的长度和复杂度;
–对本地存储的邮件应开启加密功能;
–发送邮件应使用数字签名和数字加密技术,接收邮件应对数字签名进行验证;
–应开启加密协议收发邮件;
–禁止直接运行附件中存在安全隐患的类型文件;
–禁止运行邮件中的超链接;
–启用垃圾邮件过滤功能。
4.4.5其它常用软件安全配置
–账户及密码应进行安全配置;
–开启或增强安全保护功能;
–限制或禁止存在的安全漏洞的服务和功能。
第五章系统应用方案
5.1 应用架构
5.1.1单网模式
单网模式适用于中小型企业,系统部署结构如图6所示。企业办公网络中设置一台前端服务器,负责终端提供安全配置管理服务功能。部署的软件包括安全配置管理系统服务器端及其客户端,以及安全配置编辑工具软件。安全配置管理系统服务器端具有配置基线管理、配置基线分发和配置状态发布等功能;安全配置管理系统客户端具有配置基线执行、配置状态检测功能;安全配置编辑工具软件用于制定和修改安全配置基线。
图6 应用案例-单网模式
5.1.2双网模式
双网模式适用于存在内网和外网双网应用的政府和企业,系统部署结构如图7所示。内网及外网各自的部署方法同单网模式。内外网间可部署单向导入设备将外网应用的安全配置基线直接导入内网应用。
图7 应用案例-双网模式
5.1.3级联模式
级联模式适用于具有垂直管理结构的政府和大型企业,系统部署结构如图8所示。公司总部设主节点,地方分公司设分支节点。主节点部署一台级联服务器和一台前端服务器,前端服务器用于主节点终端安全配置管理,级联服务器用于汇总各分公司安全状态统计信息。同样,每个分支节点也需分别部署一台前端服务器和一台级联服务器,分别用于分节点终端安全配置管理,并向主节点上报安全配置状况。
图8 应用案例-级联模式
5.2 实施流程
终端安全配置实施流程,包括实施准备、基线制定、验证测试、配置部署、配置检查、和例外处理六个阶段:
(1)实施准备阶段重点从技术和管理两个方面,做好核心安全配置实施前的准备工作,主要包括需求分析和调研、制定总体实施方案、搭建核心安全配置应用支撑平台、建立组织管理架构、制定相关管理制度等。
(2)基线制定阶段主要根据机构确定的核心安全配置基本要求,制定安全配置清单,并利用应用支撑平台生成安全配置基线包。
(3)验证测试阶段主要目标是验证安全配置基线包的有效性、适用性和兼容性,尽量避免首次部署安全配置基线所可能引发的安全风险。
(4)配置部署阶段主要完成安全配置基线包的分发和本地执行过程。通过应用支撑平台在一定的网络范围内,自动分发安全配置基线包。利用配置部署系统的客户端执行安全配置项赋值过程。
(5)安全配置部署完成后定期进行配置检查是保障终端处于安全状态的重要手段。本阶段的工作重点是进行安全配置合规性检查,并及时纠正存在偏差的配置项值。
(6)公司首次部署核心安全配置基线时,应充分考虑到不同终端在软硬件配置方面的差异性。如个别终端的操作系统或版本过低,不适用于部署核心安全配置基线,或者发生软硬件不兼容的情况,均应作为例外处理。主要是进行审批备案,并提出整改计划。
5.3 运行环境要求
第六章技术支持服务地址:国家信息中心信息安全研究与服务中心
邮编:100081
客服:(010)68557158
传真:(010)68557158
网站:https://www.doczj.com/doc/1d7561803.html,
邮件:xutao@https://www.doczj.com/doc/1d7561803.html,
快速阅读指南 1.本使用手册为北信源终端安全管理系列产品全功能用户手册,请按照所购买产品对应相关的产品说明进行配置使用(该手册第一、二、三章为终端安全管理产品共有部分,凡购买任何一款终端安全管理产品都应首先详细阅读此三个章节)。 2.详细阅读本软件组件功能、组成、作用、应用构架,确切了解本软件的系统应用。 3.安装准备软件环境:Microsoft SQL Server2000、Windows2000Server、Internet服务管理器。SQL安装注意事项请参照第二章2-3-1所示。建议将数据库管理系统、区域管理器、WEB管理平台安装在同一服务器上,确认区域管理器所在机器的88端口不被占用(即非主域控制器);防火墙应允许打开88,2388,2399,22105,8900,8901,22106,22108,8889端口。 4.按步骤安装各组件后,通过http://*.*.*.*/vrveis登录Web管理平台,首先对Web管理平台进行如下配置:添加区域→划分该区域IP范围→指定区域管理器→指定区域扫描器。 5.双击屏幕右下角区域管理器、单击主机保护进行通讯参数配置。 6.在\VRV\VRVEIS\download目录中,使用RegTools.exe工具修改DeviceRegist.exe文件中的本地区域管理器IP,将修改后的注册程序DeviceRegist.exe放在机构网站上进行静态网页注册,或者在机构网站上加载动态网页检测注册脚本语句,进行动态设备注册。 7.系统升级:联系北信源公司获取最新的软件组件升级包,确保Web管理平台、区域管理器、客户端注册程序等组件的升级。 8.如果本说明书中的插图与实际应用的产品有出入,以实际产品为主。 特别提示:默认管理员用户:admin,密码:123456;系统指定审计用户名:audit,密码:123456请注意修改。
移动终端安全管理与接入控制 1 范围 本标准规定了移动终端安全管理与接入控制产品的安全功能要求、安全保障要求及等级划分要求。 本标准适用于移动终端安全管理与接入控制产品的设计、开发及测试。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T 18336.3-2015 信息技术安全技术信息技术安全评估准则第3部分:安全保障组件 GB/T 25069-2010 信息安全技术术语 3 术语和定义 GB/T 18336.3-2015和GB/T 25069-2010界定的以及下列术语和定义适用于本文件。 3.1 移动终端 mobile terminal 可以在移动中使用的计算机设备,包括手机、笔记本、平板电脑等;终端应用场景如POS机、执法记录仪、医疗终端、公司办公终端等。 3.2 越狱jailbreak 获取IOS操作系统移动终端的系统管理员权限,经过越狱的苹果终端拥有对系统底层的读写权限。 3.3 移动终端ROOT mobile terminal ROOT 获取Android操作系统移动终端的系统管理员权限,经过ROOT的移动终端拥有对系统底层的读写权限。 3.4 移动终端安全管理与接入控制产品mobile terminal security management and access control product 为增强移动终端的安全性、可控性和时效性,通过定制安全策略对移动终端进行统一管理和安全接入控制的产品。 4 移动终端安全管理与接入控制产品描述 移动终端安全管理与接入控制产品(mobile terminal security management and access control product)通过对终端实施安全防护,防止不安全或无权限的终端接入被保护的网络,访问被保护的应用;避免引起的内网安全威胁,保护在移动终端上缓存的敏感业务数据不被泄露。实现了对移动终端的统一设备管理、统一接入认证管理、统一的安全策略管理。 图1是移动终端安全管理与接入控制产品的一个典型运行环境。
(单机版
Version:8.0.7.x)
中国软件与技术服务股份有限公司 CHINA NATIONAL SOFTWARE & SERVICE CO.,LTD.
版 权 声 明
非常感谢您选用我们的产品, 本手册用于指导用户安装中软统一终端安全管理平台 8.0 (中文简称安全管理平台) ,请您在安装本系统前,详细阅读本手册。本手册和系统一并出售且 仅提供电子文档。 。 Copyright ? 2005 by CS&S,中国软件与技术服务股份有限公司版权所有。 中软统一终端安全管理平台 8.0 是中国软件与技术服务股份有限公司自主研发的受法 律保护的商业软件。遵守法律是共同的责任,任何人未经授权人许可,不得以任何形式或方法 及出于任何目的复制或传播本软件和手册,权利人将追究侵权者责任并保留要求赔偿的权利。 任何人或实体由于该手册提供的信息造成的任何损失或损害,中国软件与技术服务股 份有限公司不承担任何义务或责任。
系统版权 中文名称:中软统一终端安全管理平台 8.0 英文简称:UEM8.0 开发单位:中国软件与技术服务股份有限公司
本系统的版权单位 中国软件与技术服务股份有限公司 地址:北京市海淀区学院南路 55 号中软大厦,100081 电话: (010)51508031/32/33 邮箱:waterbox@https://www.doczj.com/doc/1d7561803.html,
2
前
言
目前,个人计算机系统成为组成企业、单位网络的主体,也是绝大多数泄密事件发生的源头。 针对这一现状,中软自主研发的终端安全管理平台是内网安全管理的有力武器,是加强个人计算机 内部安全管理的重要工具。它作为国内市场上第一款成熟的内部安全管理软件,填补了国内在该领 域的空白,为我国信息安全保障工作注入了新的活力。 本书详细介绍了中软统一终端安全管理平台 8.0 安装方法,为用户在安装本系统时提供参考, 全书共为五章。 第一章:系统概述 第二章:体系结构和运行所需软硬件环境 第三章:服务器安装与卸载 第四章:控制台安装与卸载 第五章:客户端安装与卸载 本书内容全面,深入浅出,适合安装、使用中软统一终端安全管理平台的用户读者;检测、评 估中软统一终端安全管理平台的技术人员和专家以及希望使用中软统一终端安全管理平台协助对其 组织、机构或企业进行管理的管理人员等。 本手册适用于中软统一终端安全管理平台 8.0 的 8.0.7.x 单机版本的安装使用,随相应版本的产 品光盘附带,对该产品的其他版本,如未作特殊说明或者更新,该手册同样适用。 本手册在编写过程中,尽管我们做了最大努力力求完美和准确,但由于水平有限,难免存在疏 漏和缺陷之处。如果您对本手册有任何疑问、意见或建议,请与我们联系。感谢您对我们的支持和 帮助。
通用产品研发中心 2008 年 3 月
3
第三次全国经济普查数据处理培训文档之移动终端管理系统 移动终端管理系统(客户端) 使用说明书 国家统计局 2013年11月
目录 概述 (3) 1用户注册及登录 (4) 2功能概况 (4) 2.1 消息管理 (5) 2.2 应用文件管理 (6) 2.3 系统设置 (8) 2.4 系统管理 (9) 2.5 软件升级 (10) 2.6 关于 (10) 3需要注意的问题 (11)
概述 移动终端管理客户端是移动终端管理系统的一部分。在移动终端上安装此程序并进行移动终端的远程在线注册,实现客户端与管理平台端的通信。经过注册的终端并可以接收各级管理员通过管理平台发送的消息、文件、应用程序,以及三经普用地图、底册、制度包等。 本手册主要介绍移动终端管理系统客户端程序的各项功能。移动终端管理平台各项功能见《移动终端管理系统(管理平台)使用说明书》。
1用户注册及登录 客户端程序安装激活后需要在线注册。客户端注册的目的是为了实现与管理平台的通信;同时为地址点采集程序和经普数据采集客户端程序创建登录注册信息,实现几个客户端程序的单点登录。 在PDA的应用程序列表中找到【终端管理】蓝色图标,点击进入注册界面;也可以在地质点采集程序及经普数据采集客户端程序中点击【注册】按钮,也可打开移动终端管理系统客户端的注册页面(如图1-1)。 【操作步骤】 1、打开PDA应用程序列表中的【终端管理】蓝色图标,进入客户端注册界面。 2、输入用户名和密码,电话号码以及14位区划码信息,然后点击【注册】按钮。注册成功后,系统会在14位区划码的基础上自动增加两位顺序码,此16位码将会作为区别设备的唯一标识。 注: 14位区划码必须是有效的,并要求到普查小区一级,如果还未生成普查小区代码,则输入前12位普查区码,后两位补“00”。 3、完成注册后,MDM系统会自动登录。下次登录时,点击【移动终端】图标即可。 图1-1 2功能概况
移动设备使用安全管理办法 一、总则 (一) 为了加强我司计算机信息网络系统的安全管理,保证我司移动设备办公安全,结合我司笔记本电脑使用实际情况、制定本办法。 (二) 凡配备或使用公用笔记本电脑及移动存储设备的人员,务必遵守此管理办法。 二、移动设备安全使用规定 (一) 移动设备范畴:笔记本、移动硬盘、U盘等存储设备。 (二) 笔记本电脑必须设置开机密码,公用笔记本开机密码统一设置为123借用人不得随意修改。 (三) 笔记本电脑必须设置硬盘加密,防止丢失带来损失,目前只支持WIN7旗舰版,总部公用笔记本电脑硬盘密码统一设置为1232014。 (四) 公用笔记本电脑资料请不要放在桌面及C盘,可放置D、E 等盘,公用笔记本重启后将进行还原,桌面资料及安装软件将进行清除,以保证电脑为最新状态。如果有特殊原因需要长期使用,可向系统管理员申请取消还原功能,使用完成后自行卸载安装软件并删除文件。 (五) 笔记本电脑上网用户必须安装杀毒软件并且注意更新病毒,定期清查计算机病毒,防止笔记本电脑中的病毒到处传播。 (六) 凡是存放有我司资料的移动存储设备均需要进行加密,防止
丢失带来不可预计的损失。 三、移动设备的使用及注意事项 (一) 笔记本需注意使用环境,特别要注意远离饮料和食品。 (二) 在开关机时不要急于移动笔记本,应注意防震,否则硬盘容易损坏。 (三) 笔记本电脑,不要放在软垫上使用(如毛巾、布料、棉被等),否则易堵塞散热口,散热不好,造成机器故障。 (四) 光驱容易损坏,请注意保养,减少不必要的损耗,不宜使用质量差的光盘和软盘。 (五) 液晶板不宜用手触摸,不能与硬物接触。清洁时要特别注意用眼镜布轻轻擦拭。 (六) 插拔外接部件时,要特别小心,一旦插口出现问题,可能要换主板,损失较大。 (七) 笔记本电脑随机软件只有操作系统(WINDOWS),并安装常用办公软件,请不要随意安装其它软件。 (八) 笔记本电脑和附件重量轻、体积小,在出租车、办公室等公共场所容易丢失和被盗。 (九) 移动硬盘及U盘应轻拿轻放,容易摔坏。 (十) 注意移动硬盘和U盘存放位置,请勿放置桌面及显眼的位置防止丢失。 (十一) 凡是人为造成笔记本及移动硬盘等设备损坏,将自行承担
北信源内网终端安全管理系统 解决方案 北京北信源软件股份有限公司
目录 1.前言 (4) 1.1. 概述 (4) 1.2. 应对策略 (5) 2.终端安全防护理念 (6) 2.1. 安全理念 (6) 2.2. 安全体系 (7) 3.终端安全管理解决方案 (9) 3.1. 终端安全管理建设目标 (9) 3.2. 终端安全管理方案设计原则 (9) 3.3. 终端安全管理方案设计思路 (10) 3.4. 终端安全管理解决方案实现 (12) 3.4.1. 网络接入管理设计实现 ........................................ 错误!未定义书签。 3.4.1.1. 网络接入管理概述 ........................................ 错误!未定义书签。 3.4.1.2. 网络接入管理方案及思路............................... 错误!未定义书签。 3.4.2. 补丁及软件自动分发管理设计实现 (12) 3.4.2.1. 补丁及软件自动分发管理概述 (12) 3.4.2.2. 补丁及软件自动分发管理方案及思路 (12) 3.4.3. 移动存储介质管理设计实现 (17) 3.4.3.1. 移动存储介质管理概述 (17) 3.4.3.2. 移动存储介质管理方案及思路 (18) 3.4.4. 桌面终端管理设计实现 (21) 3.4.4.1. 桌面终端管理概述 (21) 3.4.4.2. 桌面终端管理方案及思路 (22) 3.4.5. 终端安全审计设计实现 ........................................ 错误!未定义书签。 3.4.5.1. 终端安全审计概述 ........................................ 错误!未定义书签。 3.4.5.2. 终端安全审计方案及思路............................... 错误!未定义书签。 4.方案总结 (41) 5.附录:系统硬件要求 (41) 6.预算 (43)
内网终端安全管理系统解决方案
北信源内网终端安全管理系统 解决方案 北京北信源软件股份有限公司
目录 1.前言................................ 错误!未定义书签。 1.1.概述 错误!未定义书签。 1.2.应对策略 错误!未定义书签。 2.终端安全防护理念.................... 错误!未定义书签。 2.1.安全理念 错误!未定义书签。 2.2.安全体系 错误!未定义书签。 3.终端安全管理解决方案................ 错误!未定义书签。 3.1.终端安全管理建设目标 错误!未定义书签。 3.2.终端安全管理方案设计原则 错误!未定义书签。 3.3.终端安全管理方案设计思路 错误!未定义书签。 3.4.终端安全管理解决方案实现 错误!未定义书签。 3.4.1.网络接入管理设计实现 错误!未定义书签。 3.4.1.1.网络接入管理概述
3.4.1.2.网络接入管理方案及思路 错误!未定义书签。 3.4.2.补丁及软件自动分发管理设计实现 错误!未定义书签。 3.4.2.1.补丁及软件自动分发管理概述 错误!未定义书签。 3.4.2.2.补丁及软件自动分发管理方案及思路 错误!未定义书签。 3.4.3.移动存储介质管理设计实现 错误!未定义书签。 3.4.3.1.移动存储介质管理概述 错误!未定义书签。 3.4.3.2.移动存储介质管理方案及思路 错误!未定义书签。 3.4.4.桌面终端管理设计实现 错误!未定义书签。 3.4.4.1.桌面终端管理概述 错误!未定义书签。 3.4.4.2.桌面终端管理方案及思路 错误!未定义书签。 3.4.5.终端安全审计设计实现 错误!未定义书签。 3.4.5.1.终端安全审计概述
移动应用安全管理系统设计方案 2014年
目录 2 系统设计原则 (4) 2.1 安全性原则 (4) 2.2 标准性原则 (5) 2.3 规划先进性原则 (5) 2.4 安全服务细致化原则 (6) 3 建设思路 (6) 4 整体分析 (7) 4.1 业务需求 (7) 4.1.1 移动采集 (7) 4.1.2 移动办公 (7) 4.2 业务类型 (8) 4.2.1 数据交换和数据采集 (8) 4.2.2 授权访问 (8) 4.3 功能域划分 (9) 4.3.1 业务域 (9) 4.3.2 接入域 (10) 4.3.3 监管域 (10) 4.3.4 用户域 (11) 4.4 安全需求分析 (11) 4.4.1 安全技术需求分析 (12) 4.4.2 安全管理需求分析 (15) 5 平台设计 (16) 5.1 设计目标 (16) 5.2 设计思路 (16) 5.3 设计内容 (17) 5.4 安全技术体系设计 (18) 5.4.1 终端环境安全设计 (18) 5.4.2 接入域边界安全设计 (20) 5.4.3 通信网络安全设计 (24) 5.4.4 集中监测与管理设计 (27) 5.5 性能设计 (30) 5.5.1 链路带宽 (30) 5.5.2 业务并发数 (31) 5.5.3 吞吐量 (31) 5.7.2 安全管理机构 (33) 5.7.3 人员安全管理 (34) 6 方案特点 (34) 7 移动安全管理平台关键技术 (35) 8 建设效果 (36)
1 概述 安徽省电子认证管理中心(简称“安徽 CA”)移动应用安全管理系统是从用户的应用安全和安全管理需求出发,基于PKI技术构建可信身份体系、鉴权体系及行为追溯体系,实现信息系统可信、可控、可管理,满足用户自身信息化建设发展要求和相关法规政策要求的网络信任体系支撑平台。 由于历史的原因,也是计算机技术日新月异发展的结果,信息化要求较高的行业现有的多套应用系统从当时的设计和建设看来可以说是非常科学和满足业务需求的,但以现在的标准来看,由于不同的应用系统建立在不同的硬件和操作平台上,不同的应用系统是由不同的系统集成商使用不同的语言和开发工具开发出来的,将不可避免的导致不同业务系统之间的用户无法统一管理,资源无法统一授权,审计系统也分别独立,且基于数字证书的强身份认证也可能没有实现。由于用户角色以及资源的改变使得业务运作不够顺畅,导致业务流程被割裂,需要过多的人工介入,效率下降,数据精确度降低,使的信息系统失去了其应有的作用。 从信息化建设的长远发展来看,要形成相互一致的业务基础信息系统和有效运行的信息层次化可信安全体系,必然需要将原来已分别建设的各个业务应用系统平滑地整合在一起,在一个可信的安全基础平台上实现统一用户管理、统一安全审计以及基于数字证书的集中身份认证,统一Web管理界面方式让各个业务系统间形成一个有机的整体,在整个可信网络体系范围内实现系统信息的高度共享,针对快速
天珣内网安全风险管理与审计系统 安装配置手册 (V6.6.9.4) 启明星辰 Beijing Venustech Cybervision Co., Ltd. 2012年11月
版权声明 北京启明星辰信息安全技术有限公司版权所有,并保留对本文档及本声明的最终解释权和修改权。 本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明外,其著作权或其他相关权利均属于北京启明星辰信息安全技术有限公司。未经北京启明星辰信息安全技术有限公司书面同意,任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其它语言、将其全部或部分用于商业用途。 “天珣”为北京启明星辰信息安全技术有限公司的注册商标,不得侵犯。 免责条款 本文档依据现有信息制作,其内容如有更改,恕不另行通知。 北京启明星辰信息安全技术有限公司在编写该文档的时候已尽最大努力保证其内容准确可靠,但北京启明星辰信息安全技术有限公司不对本文档中的遗漏、不准确、或错误导致的损失和损害承担责任。
目录 版权声明 (1) 免责条款 (1) 信息反馈........................................... 错误!未定义书签。1综述 . (4) 2安装环境及要求 (4) 3.天珣内网安全风险管理与审计系统主要组件介绍 (6) 3.1.服务器组件 (6) 3.1.1. 中心策略服务器 (6) 3.1.2. 本地策略服务器 (6) 3.1.3. 资产管理服务器................................错误!未定义书签。 3.1.4. Radius服务器 (6) 3.1.5. 攻击告警服务器 (6) 3.1.6. 软件分发服务器 (7) 3.1.7. HOD远程桌面服务器 (7) 3.2.策略网关组件 (7) 3.2.1. 策略网关代理 (7) 3.2.2. 中性策略网关 (7) 3.2.3. IIS策略网关 (8) 3.2.4. ISA策略网关 (8) 3.2.5. EXCHANGE策略网关 (8) 3.2.6. DNS策略网关及旁路监听式DNS策略网关 (8) 3.2.7. 客户端 (9) 3.2.8. 按需支援管理端 (9) 3.2.9. 客户端打包程序 (9) 4.天珣内网安全风险管理与审计系统的安装 (9) 4.1.快速安装 (10) 4.1.1 快速安装部署 (10) 4.1.2 基本配置 (27) 4.2.自定义安装 (31) 4.2.1 自定义安装中心服务器 (32) 4.3.本地服务器的安装配置 (33) 4.3.1 添加策略服务器 (37) 4.4.策略网关配置 (38) 4.4.1 添加策略网关代理 (38) 4.4.2 安装中性策略网关 (39) 4.5.远程桌面的系统配置 (46) 4.5.1 安装添加远程桌面服务器 (46) 4.5.2 添加远程桌面管理员 (46) 4.5.3 安装按需支援管理员端程序 (47) 4.5.4 用户请求管理员远程帮助 (49) 4.6.软件分发安装与配置 (49) 4.6.1 安装软件分发服务器 (49)
360终端安全管理系统 测试方案 ? 2018 360企业安全集团■版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明外,所有版权均属360企业安全集团所有,受到有关产权及版权法保护。任何个人、机构未经360企业安全集团的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录| Contents 1. 产品简介 (1) 2. 部署拓扑 (1) 2.1. 硬件配置要求 (2) 3. 天擎管理中心功能测试 (3) 3.1. 天擎分级部署 (3) 3.1.1. 天擎多级部署 (3) 3.2. 客户端分组管理 (3) 3.2.1. 客户端分组 (3) 3.2.2. 自动分组 (3) 3.2.3. 客户端分组切换 (4) 3.3. 客户端任务管理 (4) 3.3.1. 客户端天擎版本升级 (4) 3.3.2. 病毒库升级 (4) 3.3.3. 客户端任务分配管理 (4) 3.3.4. 手动杀毒任务 (5) 3.3.5. 终端查杀引擎设置 (5) 3.3.6. 定时杀毒任务 (6) 3.3.7. 消息推送 (6) 3.4. 客户端策略管理 (6) 3.4.1. 客户端软件常规安装部署方式 (6) 3.4.2. 终端自保护能力测试 (6) 3.4.3. 客户端防退出、卸载 (7) 3.4.4. 离线客户端管理 (7) 3.4.5. 文件溯源 (7) 3.4.6. 黑白名单管理 (8) 3.4.7. 终端安全防护功能管理 (8) 3.4.8. 终端弹窗管理 (8) 3.5. 日志报表功能测试 (9) 3.5.1. 查杀病毒和木马日志报表 (9) 3.5.2. 客户端病毒情况报表 (9) 3.5.3. 客户端感染病毒排名榜或趋势图 (9) 3.5.4. 汇总多级管理架构的数据 (10) 3.5.5. 管理控制操作审计日志报表 (10) 3.6. 系统管理测试 (10) 3.6.1. 帐号管理及权限分配管理 (10) 3.6.2. 客户端与管理中心通讯间隔设置 (11) 3.6.3. 控制中心升级测试 (11) 3.6.4. 安全报告订阅 (11) 3.6.5. 管理服务器备份与恢复 (12) 4. 天擎客户端功能验证 (13) 4.1. 病毒、木马查杀 (13) 4.2. 手动杀毒 (13) 4.3. 实时防护 (13)
移动终端管理(DM,Device Manage)DM是Device Manage的简称,也就是设备管理的意思。对于任何设备都会有这个课题,无论是工业设备还是机械或是家用电器,而在所有行业里没有一个像移动设备,准确的说就是手机设备对设备管理技术有着迫切的诉求,固然是由于这个产品类的消费的要求,也是这个行业向前发展的追求。最终一些欧洲移动运营商都建立起了一定规模的终端管理体系,它们或根据自行标准,或遵循OMA标准来统一手机设备的设备管理规范。所以每个产商或运营商都提出各自的DM解决技术,这里要讨论是在这个行业影响最广的组织的技术方案,就是OMA DM. OMA DM 1.1.2规范是OMA 国际标准化组织制订的用于实现终端设备管理的标准。利用终端管理技术,可以通过OTA 的方式来采集终端信息,配置终端的参数信息,将数据包从网络下载到终端上安装并更新永久性信息,处理终端设备产生的事件和告警信息。本文主要研究基于OMA DM的终端管理系统。 ??DM系统功能 ??终端管理系统 ??系统实现 ??DM数据内容 DM系统功能 它所支持的功能主要有: 1 固件更新 通过空中数据链路对固件版本进行升级。主要用于终端软件BUG修复和终端软件版本升级。 如今OTA技术的用途被不断扩展,如近年来出现的FOTA技术就是通过空中接口远程管理、更新手机固件的措施。通过FOTA,不仅可以下载升级应用软件,而且可以更新手机的操作系统。 2 配置管理 配置更新是为了让用户更好地使用各种应用。目前,最终用户要激活WAP、电子邮件和MMS等移动数据服务,这是一项复杂的任务,许多最终用户不愿通过复杂的过程配置手机,因此导致新的数据服务不被接受或者干脆被忽略了。 如果用户从一个运营商转到另一个运营商,两家的配置参数肯定不相同,更改参数只有专业技术人员才能做到。以往的解决方式是,要么用户去营业厅修改,要么就放弃使用。使用配置更新后,运营商可以用无线网络检测并修改手机配置参数,而这一切用户都不必知道,只是手机的使用变得没有障碍。这些工作都可以通过OTA技术来远程解决。 3 故障诊断 随着OTA技术被应用到监测、诊断、手机修复,客户服务将得到大大改善。客服人员可以
移动终端管理系统(管理平台) 使用说明书 国家统计局 2014年9月
目录 1 登录 (4) 2 区划管理(本调查不需要此操作) (5) 2.1区划 (5) 2.2普查小区下载(略) (5) 3 上传管理(本调查不需要此操作) (6) 3.1上传应用 (6) 3.2 文件、地图、底册与制度包上传管理 (9) 4 推送管理(如上级无通知要求,则本调查不需要此操作) (11) 4.1应用分发 (11) 4.2 文件、地图、底册、制度包推送管理 (14) 5 消息管理 (16) 6 推送统计(本调查不需要此操作) (17) 7 终端管理 (18) 8 用户管理 (19)
概述 为了配合以移动终端设备为终端和载体的数据采集任务,提高数据采集的整体质量,开发了移动终端管理系统。本系统将对国家统计局移动终端数据采集设备从运行状态、数据推送和软件安装(卸载)等情况进行统一管理;以支撑第三次全国经济普查和国家统计局利用移动终端的数据统计工作。 移动终端管理系统简称MDM系统,主要实现由管理员对移动设备(手机,PDA)等的远程管理。本系统与数据采集程序紧密结合,对操作系统为安卓的智能终端进行管理。管理内容主要包括对设备的注册、注销管理、PDA的安全管理、推送管理等。 本系统有两个部分组成,一是安装在PDA上的移动终端管理客户端程序(简称MDM 客户端程序),另外一个是部署在服务器上,各级管理员根据权限进行管理和使用的移动终端管理平台(简称MDM平台)。 本手册主要介绍移动终端管理系统管理平台端的各项功能。移动终端管理客户端程序各项功能见《移动终端管理系统(客户端程序)使用说明书》。
内网安全管理系统项目方案
目录 第一章概述 (4) 1.1 建立内网安全管理系统的必要性 (4) 1.2 现状分析 (4) 1.3 项目需求 (4) 第二章系统建设目标与原则 (5) 2.1 系统建设目标 (5) 2.2 系统建设原则 (6) 2.2.1 先进性原则 (6) 2.2.2 易于管理、操作和维护原则 (6) 2.2.3 充分利用现有资源原则 (6) 2.2.4 安全与性能负载均衡原则 (6) 第三章总体设计方案 (6) 3.1 系统总体架构 (7) 3.2 系统功能架构设计 (9) 3.2.1 基于进程的文档加密驱动 (9) 3.2.2 端口控制驱动 (10) 3.2.3 移动存储设备控制驱动 (10) 3.3 系统配置清单 (11) 第四章系统功能设计 (11) 4.1 认证授权系统设计 (11) 4.1.1 客户端动态注册,浮动License 管理 (11) 4.1.2 控制台和客户端的网络身份认证 (12) 4.1.3 多种身份认证相结合 (12) 4.1.4 策略集中分级管理 (12) 4.1.5 支持按分组和单个计算机灵活定制策略 (13) 4.1.6 限时有效策略 (13) 4.2 数据安全保密系统设计 (13) 4.2.1 文件透明加解密 (14) 4.2.2 涉密文件安全防护 (15) 4.3 硬件安全防护系统设计 (16) 4.3.1 存储设备控制 (16) 4.3.2 通讯设备控制 (16) 4.3.3 存储设备准入认证 (16) 4.4 IT 资产管理系统设计 (17) 4.4.1 资产的完备性 (17) 4.4.2 资产变更的准实时性 (17) 4.4.3 详细的报告 (17)
“中软统一终端安全管理系统(United Endpoint Management, 简称UEM)”,以其全新的安全理念、强大的功能体系、完善的技术架构,改变了传统的内网安全管理模式,实现了主机监控与审计的完美统一。该系统采用了终端安全“一体化”的安全防护技术,整合了病毒防护监测、网络接入认证、终端健康性检查、系统身份认证、资产管理、补丁管理、运行监控和失泄密防护等等终端软件的安全功能,是终端安全的完整解决方案。 【系统功能】 该系统的主要从以下几个方面保障内部安全: 一.终端安全管理 1.安全策略管理 按照企业终端计算机安全管理规定,统一配置终端计算机的Windows安全策略,实现集中的安全策略配置管理,统一提高终端计算机用户的安全策略基线。系统所能配置的安全策略有:帐户密码策略监视、帐户锁定策略监视、审核策略监视、共享策略监视、屏保策略监视。 2.终端入网认证 对接入内网的计算机进行统一的管理,未经许可的计算机不能接入内网,接入内网的计算机必须通过安全性检查才能访问内部网络资源,其主要功能为:非法用户内联控制、主机安全性检查。 3.用户身份认证 身份认证是系统应用安全的起点,通过硬件USBKey和口令认证登录Windows系统用户身份,保证进入Windows系统用户身份的合法性;对登录用户权限进行合法性检查,保证用户权限的合规性。具体功能为:基于USBKey的身份认证、登录用户权限合法性检查。 4.网络进程管理 通过对网络进程的统一管理,规范计算机用户的网络行为,实现“外面的网路连接未经许可进不来,里面的网络进程未经许可出不去”。具体功能为:管理向外发起连接的网络进程、管理接收外部连入的网络进程、实时获取网络进程信息和会话连接状态。 5.防病毒软件监测 通过策略设置输入防病毒软件特征,按照统一的策略监测防病毒软件使用状况,并进行统计分析形成统一的数据报表。具体功能为:监视防病毒软件的使用状况、防病毒软件监测特征的自定义。 6.补丁分发管理 统一配置终端计算机的补丁管理策略,实现对系统补丁状况的扫描,自动完成补丁分发。系统所支持的补丁包括:Windows操作系统补丁系列、office系列办公软件补丁、SQL Server系列补丁等
成果上报申请书
基于移动终端的管线管理系统 摘要 目前上海移动通信管线及附属设备数目众多且十分密集,包括站点机房、光交、光缆、人手井、电杆、管道等。为了便于维护和管理,已逐步在实现统一资源管理系统进行管理,但具体线路维护人员在日常的外线维护工作中仍旧使用纸质图纸进行各项运维工作,不能做到与资源管理系统数据的即时同步。在遇到市政施工工地,
维护人员进行管线交底工作时,仅能依靠手头的纸质图纸及维护经验进行交底工作,精确度不高。日常运维信息的传递,如管线障碍信息、光交门告警信息等目前依靠电话沟通,不能做到即时定位到具体地点。管理人员不能掌握巡线人员的即时位置及当日的线路巡检轨迹,给运维事件人员调派及考核管理带来不便。 综上所述,为提高线路运维工作质量、加强管理手段,急需开发出一套运维管理系统,利用带GPS功能的手持终端,能够与资源管理系统、光缆线路监测系统、光交监控系统等平台传递即时信息,真正做到线路运维管理电子化,提高工作效率。 本文首先对课题研究的方向、范围、对象加以明确,并对上海移动管线资源管理现状进行分析,从实际情况中找出存在的问题,研究解决办法。 其次,对上海移动管线资源管理系统的建设背景、系统架构、实现的功能等进行了相关介绍。该系统的建立和完善是实现移动终端应用的前提。对资源管理系统在移动终端应用的意义、需实现的目标、相关技术条件进行了介绍。 最后,文章对目前上海移动管线资源管理系统在移动终端实现的功能进行了总结,提出了方案的创新点,并对未来的应用与实现提出了若干思路。 关键词:移动终端,资源管理,GIS,GPS
目录 摘要II 目录IV 第1章引言 (6) 课题背景 (6) 研究目的和意义 (6) 本文主要内容 (7) 第2章管线资源管理现状 (8) 2.1.上海移动管线资源管理现状 (8) 2.2.存在问题及解决思路 (8) 本章小结 (9) 第3章管线资源管理系统介绍 (10) 3.1系统的建设背景 (10) 3.1.1中国移动OSS2.0规划 (10) 3.1.2中国移动网络资源模型 (10) 3.2系统架构 (10) 3.3系统实现的功能 (12) 3.4系统资源范围及分类 (14) 本章小结 (15) 第4章管线系统在移动终端应用的研究 (16) 4.1移动终端应用的意义 (16) 4.2移动终端应用的目标 (16) 4.3移动终端应用实现的手段 (16) 4.3.1 组织架构 (16) 4.3.2系统接口方案 (17) 4.3.3基于Windows CE 和Android 平台对终端软件的开发 (19) 4.3.4基于GIS的管线系统移动应用 (19) 本章小结 (20) 第5章管线系统在移动终端应用的实现 (21) 5.1主要功能 (21) 5.1.1菜单选项 (22) 5.2系统配置功能 (24) 5.3地图功能 (24) 5.4数据功能 (25) 5.4.1综合查询 (25) 5.4GPS功能 (31) 5.5接入资源确认功能 (31) 5.5.1 根据建筑物名称查询 (31) 5.5.2 根据交叉道路名称查询 (32) 5.5.3 根据客户站点名称查询 (33)
北信源内网安全管理系统 用户使用手册 Newly compiled on November 23, 2020
北信源内网安全管理系统用户使用手册 北京北信源软件股份有限公司 二〇一一年
支持信息 在北信源内网安全管理系统使用过程中,如您有任何疑问 都可以通过访问我公司网站或者致电我司客服中心获得帮 助和支持! 热线支持:400-8188-110 客户服务电话: 在您使用该产品过程中,如果有好的意见或建议的话也请 联系我们的客服中心,感谢您对我公司产品的信任和支 持!
正文目录图目录表目录
第一章概述 特别说明 北信源终端安全管理系列产品由《北信源内网安全管理系 统》、《北信源补丁及文件分发管理系统》、《北信源主 机监控审计系统》、《北信源移动存储介质使用管理系 统》、《北信源网络接入控制管理系统》及《北信源接入 认证网关》6大套件构成。 本手册内容将随着北信源软件的不断升级而改变(以光盘 中电子版发行时为最新版),恕不另行通知。需要者请从 北信源公司网站下载本手册的最新电子版或者直接联系北 信源公司索取。 本手册与本系统的安装配置手册中的所有图片均为示意 图,请以实际产品为准。 本使用手册为北信源终端安全管理系列产品通用说明书。 若您独立购买《北信源内网安全管理系统》或《北信源补 丁及文件分发管理系统》等其中之一产品,本说明书的其 它功能将不具备。
感谢您购买北京北信源软件股份有限公司研制开发的北信 源终端安全管理系列产品。请在使用本软件之前认真阅读 本使用手册,当您开始使用该软件时,北信源公司认为您 已经阅读了本使用手册。 产品构架 北信源终端安全管理产品由8部分组成:WinPcap程序、 SQL Server管理信息库(安装包:环境初始化程序)、 Web中央管理配置平台(安装包:网页管理平台)、区域 管理器(安装包:Region Manage,原区域扫描器已作为模 块集成到区域管理器)、客户端注册程序(安装包:注册 程序)、补丁下载服务器、管理器主机保护模块、报警中 心模块。 环境初始化程序 SQL Server管理信息库,建立北信源终端安全管理产品 的初始化数据库。初始化的信息包括:网络客户端设备属 性信息、区域管理器信息、设备扫描器信息、区域管理范 围信息、注册(未注册)机器信息、设备属性变化信息、 报警信息等。扫描器将设备最新状态信息同数据库中原有 信息进行遍历搜索对比,根据规则要求在管理平台上报 警。 网页管理平台(web管理平台)
最新整理公司内网安全管理制度 第一条目的 为维护公司wang络安全,保障信息安全,保证公司wang络系统的畅通,有效防止病毒入侵,特制定本制度。 第二条适用范围 本制度适用于公司wang络系统管理。 第三条职责 1、技术开发部负责公司wang络系统的安全管理和日常系统维护,制定相关制度并参加检查。 2、办公室、安质部会同相关部门不定期抽查wang络内设备安全状态,发现隐患及时予以纠正。 3、各部门负责落实wang络安全的各项规定。 第四条 wang络安全管理范围 wang络安全管理须从以下几个方面进行规范:物理层、wang络层、平台安全,物理层包括环境安全和设备安全、wang络层安全包含wang络边界安全、平台安全包括系统层安全和应用层安全。 第五条机房安全 1、公司wang络机房是wang络系统的核心。除技术部管理人员外,其他人员未经允许不得入内。 2、技术部的管理人员不准在主机房内会客或带无关人员进入。 3、未经许可,不得动用机房内设施。 第六条机房工作人员进入机房必须遵守相关工作制度和条例,不得从事与本职工作无关的事宜,每天上、下班前须检查设备电源情况,在确保安全的情况下,方可离开。 第七条为防止磁化记录的破坏,机房内不准使用磁化杯、收音机等产生磁场的物体。
第八条机房工作人员要严格按照设备操作规程进行操作,保证设备处于良好的运行状态。 第九条机房温度要保持温度在20±5摄氏度,相对湿度在70%±5%。 第十条做好机房和设备的卫生清扫工作,定期对设备进行除尘,保证机房和设备卫生、整洁。 第十一条机房设备必须符合防雷、防静电规定的措施,每年进行一次全面检查处理,计算机及辅助设备的电源须是接地的电源。 第十二条工作人员必须遵守劳动纪律,坚守岗位,认真履行机房值班制度,做好防火、防水、防盗等工作。 第十三条机房电源不可以随意断开,对重要设备必须提供双套电源。并配备UPS电源供电。公司办公楼如长时间停电须通知技术部,制定相应的技术措施,并指明电源恢复时间。 设备安全管理 第十四条 wang络系统的主设备是连续运行的,技术部每天必须安排专职值班人员。 第十五条负责监视、检查wang络系统运行设备及其附属设备(如电源、空调等)的工作状况,发现问题及时向技术部领导报告,遇有紧急情况,须立即采取措施进行妥善处理。 第十六条负责填写系统运行(操作)日志,并将当日发生的重大事件填写在相关的记录本上。负责对必要的数据进行备份操作。 第十七条负责保持机房的卫生及对温度、湿度的调整,负责监视并制止违章操作及无关人员的操作。 第十八条不准带电拔插计算机及各种设备的信号连线。不准带电拔插计算机及各种设备。不准随意移动各种wang络设备,确需移动的要经技术部领导同意。 第十九条在维护与检修计算机及设备时,打开机箱外壳前须先关闭电源并释放掉自身所带静电。 wang络层安全
北信源内网安全管理系统用户使用手册 北京北信源软件股份有限公司 二〇一一年
支持信息 在北信源内网安全管理系统使用过程中,如您有任何疑问都可以通过 访问我公司网站或者致电我司客服中心获得帮助和支持! 热线支持:400-8188-110 客户服务电话:0/86/87 在您使用该产品过程中,如果有好的意见或建议的话也请联系我们的 客服中心,感谢您对我公司产品的信任和支持!
正文目录图目录表目录
第一章概述 特别说明 北信源终端安全管理系列产品由《北信源内网安全管理系统》、《北 信源补丁及文件分发管理系统》、《北信源主机监控审计系统》、 《北信源移动存储介质使用管理系统》、《北信源网络接入控制管理 系统》及《北信源接入认证网关》6大套件构成。 本手册内容将随着北信源软件的不断升级而改变(以光盘中电子版发行 时为最新版),恕不另行通知。需要者请从北信源公司网站下载本手册 的最新电子版或者直接联系北信源公司索取。 本手册与本系统的安装配置手册中的所有图片均为示意图,请以实际 产品为准。 本使用手册为北信源终端安全管理系列产品通用说明书。若您独立购 买《北信源内网安全管理系统》或《北信源补丁及文件分发管理系 统》等其中之一产品,本说明书的其它功能将不具备。
感谢您购买北京北信源软件股份有限公司研制开发的北信源终端安全 管理系列产品。请在使用本软件之前认真阅读本使用手册,当您开始 使用该软件时,北信源公司认为您已经阅读了本使用手册。 产品构架 北信源终端安全管理产品由8部分组成:WinPcap程序、SQL Server 管理信息库(安装包:环境初始化程序)、Web中央管理配置平台 (安装包:网页管理平台)、区域管理器(安装包:Region Manage, 原区域扫描器已作为模块集成到区域管理器)、客户端注册程序(安装 包:注册程序)、补丁下载服务器、管理器主机保护模块、报警中心 模块。 环境初始化程序 SQL Server管理信息库,建立北信源终端安全管理产品的初始化数据 库。初始化的信息包括:网络客户端设备属性信息、区域管理器信 息、设备扫描器信息、区域管理范围信息、注册(未注册)机器信 息、设备属性变化信息、报警信息等。扫描器将设备最新状态信息同 数据库中原有信息进行遍历搜索对比,根据规则要求在管理平台上报 警。 网页管理平台(web管理平台) Web中央管理配置平台,本系统的管理配置中心。包括区域管理器、 扫描器、注册客户端的功能参数设定,网络设备信息发现、系统应用