2020年(安全生产)LAND终端桌面安全管理通用解决方案

LANDesk 桌面管理与安全解决方案蓝代斯克（北京）软件有限公司目录1前言 (1)2项目需求 (3)2.1项目背景 (3)2.2LANDesk桌面管理顾问针对用户需求管理理念分析 (5)2.3LANDesk桌面管理产品优势 (11)3方案设计 (13)3.1设计原则 (13)3.1.1产品定位： (13)3.1.2高可实施性： (13)3.1.3高可管理性： (13)3.1.4高灵活性： (14)3.1.5高可扩展性： (14)3.2设计框架概述 (15)3.2.1产品架构 (15)3.2.2管理模式介绍 (15)3.2.3基于角色的管理 (16)3.2.4本地账户管理 (16)3.2.5客户端部署方式 (17)3.2.6异构客户端支持 (17)3.3LANDesk产品优势 (18)3.3.1公司及产品成熟度 (18)3.3.2良好的用户口碑 (18)3.3.3系统的稳定性 (19)3.3.4高效的管理效率 (19)3.3.5安全性高 (19)3.4LANDesk桌面管理系统管理解决方案 (20)3.4.1IT资产管理 (20)3.4.2客户端远程协助 (22)3.4.3应用程序授权管理 (24)3.4.4应用程序分发 (25)3.4.5电源管理 (27)3.4.6操作系统部署 (27)3.5LANDesk桌面管理系统安全解决方案 (28)3.5.1补丁管理系统 (28)3.5.2客户端安全威胁管理 (30)3.5.3间谍软件检测与防护 (34)3.5.4防病毒软件管理 (35)3.5.5外设控制管理 (36)3.5.6软件禁用管理 (37)3.5.7LANDesk主机入侵保护解决方案 (39)附件 (42)3.6LANDesk公司简介 (42)3.7LANDesk软件分发技术说明 (43)3.7.1LANDesk有目标的多址广播 (43)3.7.2LANDesk对等下载 (45)3.7.3LANDesk动态带宽调整 (46)1前言当企业内部客户端计算机出现各种各样的管理问题的时候（可能是计算机出现故障需要管理员维护，也有可能是需要企业信息安全管理者为其安装某个软件，或者内网发生病毒攻击），企业信息安全管理者往往认为需要快速解决客户端的维护问题（通过直接地远程控制以及强制的分发软件）以及考虑通过强制的控制模式应付用户的行为（不允许连接未经安全验证的互联网络导致病毒感染以及攻击），因此导致企业不断地增加安全设备以及软件应付内部网络安全。

企业如何有效管控移动终端的安全风险在当今数字化的商业环境中，移动终端已经成为企业运营的重要工具。

员工们使用智能手机、平板电脑等设备访问公司数据、处理业务，极大地提高了工作效率。

然而，这也带来了一系列的安全风险，如数据泄露、恶意软件攻击、设备丢失或被盗等。

如果这些风险得不到有效管控，可能会给企业带来巨大的损失，包括财务损失、声誉损害以及法律责任。

因此，企业必须采取有效的措施来管控移动终端的安全风险。

一、制定明确的移动终端安全策略企业首先需要制定一份全面、明确的移动终端安全策略。

这份策略应该涵盖设备的使用规范、数据的保护措施、应用程序的安装和使用规则、密码策略等方面。

例如，规定员工只能使用公司批准的移动设备访问公司数据，禁止在公共无线网络上传输敏感信息，要求设置强密码并定期更改等。

同时，安全策略还应该明确违反规定的后果，以起到约束作用。

二、选择合适的移动设备管理（MDM）解决方案移动设备管理（MDM）解决方案是企业管控移动终端安全的重要工具。

通过 MDM，企业可以对移动设备进行集中管理，包括设备的注册、配置、监控和远程擦除等。

例如，企业可以通过 MDM 强制安装安全软件、更新操作系统、限制设备的功能（如禁止拍照、蓝牙连接等），还可以在设备丢失或被盗时远程锁定或擦除设备上的数据，以防止数据泄露。

在选择 MDM 解决方案时，企业需要考虑自身的规模、业务需求、预算等因素。

一些大型企业可能需要功能强大、定制化程度高的 MDM 解决方案，而小型企业则可以选择一些简单易用、成本较低的产品。

此外，企业还应该选择具有良好口碑、技术支持完善的MDM 供应商，以确保系统的稳定运行和及时的问题解决。

三、加强移动应用程序的管理企业使用的移动应用程序也可能存在安全风险。

因此，企业需要对应用程序进行严格的管理。

首先，只允许员工从官方应用商店下载应用程序，避免从第三方不可信的渠道下载。

其次，对企业内部开发的应用程序进行安全测试和审核，确保其没有漏洞和安全隐患。

移动办公的安全解决方案随着移动设备的普及和移动办公的兴起，越来越多的企业开始关注移动办公的安全问题。

为了保护企业的机密信息和数据安全，制定一套科学合理的移动办公安全解决方案是至关重要的。

本文将详细介绍一套完整的移动办公安全解决方案，以确保企业的移动办公环境安全可靠。

一、设备安全管理1. 设备管理政策制定明确的设备管理政策，规定员工使用移动设备的权限和限制，明确设备的责任归属和使用规范。

要求员工将设备进行注册和绑定，以便追踪和管理设备。

2. 设备加密对移动设备中存储的敏感数据进行加密，确保数据在传输和存储过程中不会被未授权的人访问。

可以采用硬件加密或软件加密的方式，确保数据的安全性。

3. 设备远程锁定与擦除在设备丢失或被盗的情况下，能够远程锁定设备或擦除设备中的数据，以防止未授权的访问和数据泄露。

4. 设备更新和漏洞修补及时更新设备的操作系统和应用程序，以修复已知的漏洞和安全问题。

建立一个自动更新系统，确保设备始终处于最新的安全状态。

二、网络安全管理1. 虚拟专用网络（VPN）建立一套安全的虚拟专用网络，为移动设备提供加密的通信通道，防止数据在传输过程中被窃听和篡改。

2. 防火墙和入侵检测系统（IDS/IPS）在企业网络的边界部署防火墙和入侵检测系统，监控和阻止未经授权的访问和攻击。

确保移动设备连接到企业网络时能够受到有效的保护。

3. 访问控制和身份验证采用多因素身份验证机制，如指纹识别、面部识别、密码等，确保只有经过授权的人员才能访问企业网络和敏感数据。

4. 网络流量监控和日志记录监控企业网络中的流量情况，及时发现异常活动和潜在的安全威胁。

同时，建立日志记录系统，记录网络活动和事件，以便后期的审计和调查。

三、应用程序安全管理1. 应用程序安全审查对企业内部开发的移动应用程序进行安全审查，确保应用程序没有漏洞和安全隐患。

同时，对第三方应用程序进行筛选和审核，只允许安全可靠的应用程序在企业设备上运行。

桌面安全需求解决方案（优选.) 桌面安全管理解决方案北京北信源软件股份有限公司目录目录 (3)一、系统需求分析 (7)1.1当前网络环境 (7)1.2网络管理中面临的问题 (7)1.2.1非法接入问题 (7)1.2.2终端安全管理问题 (7)1.2.3 IP地址管理问题 (8)1.2.4移动存储设备管理及安全审计管理问题 (9)1.2.5非法外联问题 (9)1.2.6终端补丁管理和软件分发问题 (9)1.2.7资产管理问题 (10)1.2.8缺乏统一的远程帮助平台问题 (10)二、内网安全解决方案 (11)2.1系统部署和管理构架 (11)2.2系统部署时的硬件配置 (13)2.3终端节点加固 (14)2.3.1 补丁自动分发和管理 (14)2.3.2 网管可统一配置的主机防火墙（网管控制包过滤） (20)2.3.3 弱口令监控 (22)2.3.4 用户权限变化监控 (22)2.3.5 关键进程加固 (23)2.3.6 注册表加固 (23)2.4终端全面管理 (24)2.4.1 IP地址管理 (24)2.4.2 IP、MAC地址绑定 (26)2.4.3禁止修改网关、禁用冗余网卡 (26)2.4.4资产管理 (27)2.4.5终端桌面管理 (28)2.4.5.1流量管理和控制 (28)2.4.5.2软件及进程监控 (30)2.4.5.3硬件及端口控制 (32)2.4.5.4点对点审计和维护 (33)2.4.5.5上网访问控制 (35)2.4.5.6垃圾文件清理 (36)2.4.5.7其他管理 (37)2.4.5.8终端消息通知 (37)2.4.6终端安全管理 (38)2.4.6.1桌面密码权限管理 (38)2.4.6.2终端统一防火墙和杀毒软件管理 (38)2.4.6.3注册表监控/保护 (39)2.4.6.4终端连线/离线策略管理 (41)2.4.7网络主机运维监控 (41)2.4.8非法外联行为监控 (42)2.4.9普通文件分发 (42)2.5网络接入控制管理 (43)2.5.1 VRV设备接入控制概述 (43)2.5.2设备接入控制实现模式 (44)2.5.2.1基于802.1x协议的交换机端口接入认证 (44)2.5.2.2基于设备接入网关的互联网接入认证 (46)2.5.2.3基于设备接入网关的业务服务器接入认证 (47)2.5.2.4基于VPN的访问控制 (48)2.5.3身份认证系统与EDP Agent双重认证 (49)2.5.3.1双重认证功能描述 (49)2.5.3.2双重认证功能实现方法 (50)2.6移动存储管理及安全监控强审计管理 (51)2.6.1移动存储管理 (51)2.6.2文件保护和访问审计 (53)2.6.3文件输出审计 (54)2.6.4注册表审计 (55)2.6.5上网访问行为审计 (55)2.6.6聊天行为审计 (56)2.6.7其他行为审计 (57)2.7档案、报警和日志管理 (57)2.7.1档案管理 (57)2.7.2 日志管理 (60)2.8实名化管理 (61)2.9远程呼叫帮助平台 (62)2.10远程数据包和流量分析工具 (63)三、预计可达到的成效 (66)一、系统需求分析1.1当前网络环境为了维护网络内部的安全及提高系统的管理控制，需要对单位内部终端统一部署配置网络，并实施安装统一的网络安全产品进行管理。

LANDesk 终端信息安全管理平台解决方案蓝代斯克（北京）软件有限公司2010年5月目录1前言 (1)2需求分析 (3)2.1层出不穷的安全威胁 (3)2.2充分利用现有IT资产 (4)2.3提高IT服务水平 (5)3LANDesk终端信息安全管理平台 (7)3.1设计原则 (7)3.1.1产品定位 (7)3.1.2高可实施性 (7)3.1.3高可管理性 (7)3.1.4高灵活性 (8)3.1.5高可扩展性 (8)3.2LANDesk终端信息安全框架 (9)3.3安全框架PDCA模型 (10)3.4策略设计 (10)3.4.1安全扫描策略 (11)3.4.2主机加固策略 (12)3.4.3健康性扫描策略 (13)3.4.4维护管理策略 (13)3.4.5合规性策略 (14)3.5策略运行 (14)3.6策略检查 (15)3.7策略调整 (16)3.8LANDesk产品优势 (16)3.8.1公司及产品成熟度 (16)3.8.2良好的用户口碑 (16)3.8.3高度集成化 (17)3.8.4功能全面性 (17)3.8.5功能可靠性 (17)3.8.6高度安全性 (17)3.8.7支持本地化 (18)4LANDesk产品介绍 (19)4.1设计框架概述 (19)4.1.1产品架构 (19)4.1.2管理模式介绍 (19)4.1.3基于角色的管理 (20)4.1.4客户端部署方式 (20)4.1.5异构客户端支持 (20)4.2LANDesk系统管理解决方案 (21)4.2.1IT资产管理 (21)4.2.2客户端远程协助 (24)4.2.3应用程序授权管理 (26)4.2.4应用程序分发 (26)4.2.5操作系统部署 (28)4.2.6电源管理 (29)4.2.7本地账户管理 (31)4.3LANDesk系统安全解决方案 (31)4.3.1安全统一管理，以“防”为主 (31)4.3.2补丁管理 (32)4.3.3端点安全的LANDesk防火墙 (34)4.3.4端点安全的主机侵入保护系统 (35)4.3.5端点安全的设备控制 (37)4.3.6端点安全的位置感知策略 (39)4.3.7客户端安全威胁分析 (39)4.3.8间谍软件检测与防护 (40)4.3.9LANDesk A V (41)4.3.10防病毒软件联动 (41)4.3.11软件禁用管理 (42)4.3.12网络安全准入 (43)4.4LANDesk管理网关解决方案 (43)5附件 (46)5.1LANDesk公司简介 (46)5.2LANDesk软件分发技术说明 (47)5.2.1LANDesk有目标的多址广播 (47)5.2.2LANDesk对等下载 (49)5.2.3LANDesk动态带宽调整 (50)5.3LANDesk安全准入 (51)5.3.1设计思想 (52)5.3.2实现原理 (53)5.3.3主要功能 (55)5.3.4技术特点 (57)5.3.5术语定义 (58)1前言随着企业信息化工作的快速发展及IT技术的日益复杂，企业员工的日常办公越来越离不开email，OA，即时通讯和业务系统，网络应用和移动存储越来越普及，而且随着移动、电信、联通等运营商3G网络的普及，随时随地上网成为现实，企业的信息安全面临越来越大的挑战。

终端安全管理解决方案
《终端安全管理解决方案》
在当今信息化的社会中，终端安全管理已经成为企业和个人必须重视的问题。

随着网络技术的不断发展，终端设备如手机、电脑等成为了信息交流和存储的重要工具，也因此成为了黑客和病毒的重要目标。

为了有效保障终端设备的安全，必须采取终端安全管理解决方案。

首先，终端安全管理解决方案需具备全面的防御能力。

这包括防火墙、杀毒软件、漏洞修补等措施，以确保终端设备在面对网络威胁时能够做出有效的反应。

其次，终端安全管理解决方案需要具备全面的监控和管理能力。

通过监控软件，可以及时发现终端设备上的异常行为，并及时采取措施，避免安全事件的发生。

同时，管理软件能够对终端设备进行统一的管理，确保安全策略的实施和执行。

另外，终端安全管理解决方案还需要具备一定的教育和培训能力。

通过对员工进行网络安全意识的培训，可以提高员工的安全意识，降低安全事件的发生率。

终端安全管理解决方案的实施需要企业和个人充分认识到终端安全管理的重要性，并对此给予足够的重视。

同时，也需要选择合适的终端安全管理解决方案，根据实际情况进行定制和调整，以达到最佳的安全效果。

只有通过全面的终端安全管理解决方案，才能有效保障终端设备的安全，为个人和企业提供一个安全的信息环境。

移动办公的安全解决方案移动办公的兴起给企业带来了便利和高效，但同时也带来了数据泄露和安全风险。

为了确保移动办公的安全性，企业需要采取一系列的安全解决方案。

一、设备安全1. 建立设备管理政策：制定明确的设备使用政策，包括设备的购买、分配、维护和报废等流程，明确设备的责任归属。

2. 强制使用密码和指纹识别：要求员工在设备上设置密码或使用指纹识别，以确保设备只能被授权人员访问。

3. 远程锁定和擦除功能：在设备丢失或被盗时，远程锁定或擦除设备上的数据，以防止敏感信息泄露。

4. 定期更新操作系统和应用程序：及时更新设备上的操作系统和应用程序，以修复已知的安全漏洞和问题。

二、网络安全1. 使用虚拟专用网络（VPN）：建立企业内部的VPN连接，加密数据传输，防止数据在传输过程中被窃取或篡改。

2. 强化Wi-Fi安全：使用加密的Wi-Fi网络，并限制员工连接未经授权的公共Wi-Fi网络，以防止中间人攻击和数据泄露。

3. 防火墙和入侵检测系统（IDS）：在企业网络中部署防火墙和IDS，监控网络流量，及时发现和阻止潜在的攻击行为。

4. 多因素身份验证：要求员工在登录企业网络或访问敏感信息时进行多因素身份验证，提高账户的安全性。

三、应用程序安全1. 安全的应用程序开发：在开发移动应用程序时，要遵循安全开发最佳实践，确保应用程序的代码和功能没有安全漏洞。

2. 应用程序访问控制：限制应用程序对设备上的敏感数据的访问权限，只允许应用程序访问必要的数据。

3. 应用程序审查和更新：定期审查已安装的应用程序，并及时更新应用程序以修复已知的安全漏洞。

四、数据安全1. 数据加密：对存储在设备上和传输的敏感数据进行加密，确保即使数据被盗取，也无法被未经授权的人员访问。

2. 远程数据备份：定期将设备上的数据备份到安全的云存储中，以防止数据丢失或设备损坏。

3. 数据权限控制：根据员工的职责和权限，限制他们对敏感数据的访问权限，避免数据被误用或泄露。

移动办公的安全解决方案随着移动互联网的发展，越来越多的企业开始采用移动办公方式，以提高工作效率和灵活性。

然而，移动办公也带来了一系列安全隐患，如数据泄露、网络攻击等。

因此，实施有效的安全解决方案对于保障企业信息安全至关重要。

一、设备安全1.1 制定设备管理政策：企业应建立明确的设备管理政策，规定员工使用何种设备、如何保护设备安全等。

1.2 加密数据传输：采用SSL加密等技术，确保数据在传输过程中不被窃取。

1.3 远程锁定和擦除：设备丢失或被盗时，可以通过远程锁定或擦除功能保护数据不被泄露。

二、应用程序安全2.1 安全应用商店：建议员工只从官方应用商店下载应用，避免下载恶意软件。

2.2 应用权限控制：应用程序在安装时需要获取一定的权限，企业可以对员工设备进行权限控制，防止恶意应用获取敏感信息。

2.3 及时更新应用程序：应用程序的安全漏洞会随着时间暴露，及时更新应用程序可以避免被攻击。

三、网络安全3.1 使用VPN加密连接：企业网络应提供VPN服务，员工通过VPN连接企业网络，确保数据传输的安全性。

3.2 防火墙和入侵检测系统：在企业网络中部署防火墙和入侵检测系统，及时发现并阻止网络攻击。

3.3 安全认证机制：采用双因素认证等安全机制，确保只有授权人员可以访问企业网络。

四、数据安全4.1 数据备份：定期对移动设备中的重要数据进行备份，以防止数据丢失或被篡改。

4.2 数据加密：对存储在设备或云端的敏感数据进行加密，确保数据在传输和存储过程中不被窃取。

4.3 访问控制：建立严格的访问控制策略，确保只有授权人员可以访问和修改数据。

五、员工安全意识5.1 安全培训：定期进行安全培训，提高员工对移动办公安全的意识，教育员工如何防范安全威胁。

5.2 安全政策宣传：向员工宣传企业的安全政策和规定，让员工了解何为安全行为，何为不安全行为。

5.3 安全报告和监控：建立安全报告和监控机制，及时发现员工的安全违规行为并进行处理。

终端安全——整盘数据保护一体化解决方案
风险分析
随着笔记本电脑、PC和各类终端的应用普及，党政军和重要行业的终端泄密事件也频频发生，不但使用户蒙受重大的经济损失，同时重要国家机密的外泄，也严重影响到国家安全，引发相关的政治法律问题。

据权威部门统计，终端泄密风险主要集中以下方面：中国系统集成在线提供
解决方案
针对上述风险，赞华公司率先提出基于底层驱动层技术的终端一体化解决方案：
通过启动前的身份鉴别，保证身份认证不可被绕过，防止采取Windows PE和安全模式等方式进入系统；整盘加密保护可对包括操作系统所在盘的整盘提供完整的保护，防止采用从盘挂载方式访问硬盘数据；通过主机监控与审计，有效地管控各类端口设备和记录用户行为，防止用户泄露机密数据；文件保险柜采取虚拟磁盘技术为机密数据提供加密保护，保证终端外联、文件共享、硬盘丢失时的机密数据的安全；移动介质保护通过专属Ｕ盘方式防止了介质的非法外联及滥用。

赞华公司的软猬甲终端一体化安全解决方案可对企业终端的重要信息资产提供360°的全过程安全防护，避免了终端在丢失、被窃、端口使用时的各种通道泄密，最有效的保证了终端数据的安全。

一体化解决方案不改变用户使用习惯、对用户使用完全透明，兼容用户各种上层应用软件，同时也保证了用户的使用效率不受任何影响。

《学院办公终端桌面安全管理办法》（1）总则第一条本文档的编写是为了明确学院的办公终端桌面系统的安全配置，避免由于终端的配置不当而引发安全事故，从而保障学院的教务系统业务的安全进行。

第二条本文件主要针对学院的终端桌面命名管理，终端桌面系统的系统配置、系统使用安全管理等内容。

第三条本文档适用于学院下属院系的办公终端管理。

（2）系统安装配置第四条系统安装和更新。

当前学院终端使用Windows操作系统，该系统由学院的终端管理部门统一负责安装，遵循如下安全要求：第十一条第十二条账户及密码控制。

对终端桌面系统的账户，须采取如下安全策略：第二十九条终端操作系统密码策略中设置密码要求如下：第五十一条软件安装管理。

在终端系统安装时，须同时为终端用户安装好学院教育信息化推进处认可的办公所必须的软件。

第五十二条开启服务设置。

在终端系统安装时，须关闭终端用户所不需要的服务，依据需要，进行如下设置：第九十三条终端系统默认共享和关闭管理共享，如C$，D$，IPC$等。

通过注册表进行关闭共享的设置方式如下：第九十四条HKEY_LOCAL_MACHINE\SYSTEM\CurrentCon trolSet\Services\lanmanserver\parameters项中：第九十五条将AutoShareServer值改为0，以关闭硬盘各分区的共享；第九十六条将AutoShareWks值改为0，以关闭admin$共享。

第九十七条HKEY_LOCAL_MACHINE\SYSTEM\CurrentCon trolSet\Control\Lsa项中，将restrictanonymous改为1，以关闭IPC$共享。

第九十八条系统日志配置。

终端系统的系统日志策略，须设置安全要求如下：第百十三条安全选项设置。

对终端操作系统设置其安全选项，具体设置如下：第百七十四条审核策略设置。

终端操作系统的审核策略进行配置，如下所示：（3）系统使用配置第十一条网络配置管理。

移动办公的安全解决方案随着移动互联网的快速发展，越来越多的企业开始采用移动办公的方式，以提高工作效率和灵活性。

然而，移动办公也带来了一系列的安全挑战，如数据泄露、网络攻击等。

为了保障移动办公的安全，企业需要采取一系列的安全解决方案。

1. 设备安全移动设备是移动办公的基础，因此，确保设备的安全至关重要。

企业可以采取以下措施来保障设备的安全：- 强制使用密码锁屏，并设置复杂的密码要求。

- 定期更新设备的操作系统和应用程序，以修复已知的漏洞。

- 安装可靠的防病毒软件，以防止恶意软件的感染。

- 远程擦除功能，以防止设备丢失或被盗后敏感数据的泄露。

2. 数据加密移动办公中的数据传输是容易受到黑客攻击的重点。

为了保护数据的机密性，企业可以采取以下措施来加密数据：- 使用安全的传输协议，如HTTPS，以加密数据传输过程中的信息。

- 对敏感数据进行加密，确保即使在数据泄露的情况下，黑客也无法轻易获取到数据的内容。

3. 应用程序安全移动办公中使用的应用程序也是安全的关键。

以下是一些应用程序安全的建议：- 仅从可信任的应用商店下载应用程序，以减少恶意软件的风险。

- 定期更新应用程序，以修复已知的漏洞。

- 审查应用程序的权限要求，并仅授予必要的权限。

4. 远程访问控制移动办公的一个重要特点是可以随时随地远程访问企业的内部网络。

为了确保远程访问的安全，企业可以采取以下措施：- 实施多因素身份验证，如使用密码和验证码的组合，以增加访问的安全性。

- 限制远程访问的IP范围，并定期审查访问日志，以及时发现异常访问行为。

- 使用虚拟专用网络（VPN）来建立安全的远程连接，以加密数据传输。

5. 员工培训与意识提升企业的员工是移动办公的最终使用者，他们的安全意识和行为对整个系统的安全至关重要。

为了提高员工的安全意识，企业可以采取以下措施：- 提供定期的安全培训，包括如何识别和应对网络威胁。

- 强调员工对设备和应用程序的安全性的重要性，并提供相应的操作指南。