解决方案_北信源内网安全管理系统解决方案v20_北信源
- 格式:docx
- 大小:3.29 MB
- 文档页数:38
北信源内网终端管理问题解决方案-局域网解决方案计算机终端面临的安全问题一直以来,计算机安全防御一直局限在常规的网关、网络边界(防火墙、漏洞扫描、防病毒、IDS)等方面的防御,重要的安全设施大致集中于机房或网络入口处,来自网络外部的安全威胁确实可以大大减小。
相反,来自网络内部的计算机终端的安全威胁却是众多安全管理人员所普遍反映的问题。
近两年的安全防御调查也表明,政府、企业单位中超过80%的管理和安全问题来自终端,网络安全呈现出了新的发展趋势,安全战场已经逐步由核心与主干的防护,转向网络边缘的每一个终端。
终端问题解决方案网络接入的控制:在单位内部可能会出现外来笔记本接入的问题,可能会造成单位内部的涉密文件被窃取,引入病毒等严重后果。
北信源对于未经过认证的笔记本接入内网,采取未注册阻断功能。
如果有笔记本等移动计算机必须接入内网,需经过细致的802.1x认证,经过身份及安全双认证后才可以连接内网。
移动存储设备管理及安全审计管理:外来移动存储设备随意接入网络内终端同样可能会造成单位内部的涉密文件被窃取,引入病毒等严重后果,对于具有防火墙、网关等硬件防范的网络,移动存储介质在网络内部造成病毒感染是病毒在内网传播的主要方式。
北信源可以在驱动级总的禁用移动存储设备,在允许使用的情况下,还可以详细控制读、写等权限。
而且可以对USB设备加入认证标签,被加标签的移动存储设备只能够在指定策略对象中使用,其他机器无法识别。
病毒问题:计算机病毒是目前对网络及计算机安全最大的威胁,很多单位内部虽然已经统一配置网络版杀毒软件,但是仍存在终端升级不及时,版本不统一,管理不规则等问题。
北信源可以识别多种杀毒软件,显示其版本,对其升级,可以远程调用其启动,未安装杀毒软件认为安全等级低,阻止入网等多种方式和杀毒软件联动。
而补丁分发更是为了增强终端系统自身的健壮性,来抵御病毒及黑客攻击行为。
软件使用管理:办公环境的计算机不允许安装和使用与办公无关的软件。
北信源内网终端安全管理系统解决方案北京北信源软件股份有限公司目录1.前言 (4)1.1. 概述 (4)1.2. 应对策略 (5)2.终端安全防护理念 (6)2.1. 安全理念 (6)2.2. 安全体系 (7)3.终端安全管理解决方案 (9)3.1. 终端安全管理建设目标 (9)3.2. 终端安全管理方案设计原则 (9)3.3. 终端安全管理方案设计思路 (10)3.4. 终端安全管理解决方案实现 (12)3.4.1. 网络接入管理设计实现 ........................................ 错误!未定义书签。
3.4.1.1. 网络接入管理概述 ........................................ 错误!未定义书签。
3.4.1.2. 网络接入管理方案及思路............................... 错误!未定义书签。
3.4.2. 补丁及软件自动分发管理设计实现 (12)3.4.2.1. 补丁及软件自动分发管理概述 (12)3.4.2.2. 补丁及软件自动分发管理方案及思路 (12)3.4.3. 移动存储介质管理设计实现 (17)3.4.3.1. 移动存储介质管理概述 (17)3.4.3.2. 移动存储介质管理方案及思路 (18)3.4.4. 桌面终端管理设计实现 (21)3.4.4.1. 桌面终端管理概述 (21)3.4.4.2. 桌面终端管理方案及思路 (22)3.4.5. 终端安全审计设计实现 ........................................ 错误!未定义书签。
3.4.5.1. 终端安全审计概述 ........................................ 错误!未定义书签。
3.4.5.2. 终端安全审计方案及思路............................... 错误!未定义书签。
中铁信托终端安全管理系统北京北信源软件股份有限公司2010年3月1目 录一、前言 (1)二、北信源内网安全管理系统解决方案 (4)1、功能实现方式 (4)2、安全监控强审计功能 (5)3、移动存储介质操作信息审计 (5)4、文件保护及访问审计 (5)5、桌面文件输出审计 (7)6、打印审计 (7)7、系统日志审计 (8)三、具体实施方案 (9)1、部署的主要组建 (9)2、实施建议 (9)3、系统部署时软硬件配置 (9)4、系统部署时网络环境准备 (9)一、前言中铁信托的网络已具有相当的规模,网络安全要求非常高。
目前网络中大量使用计算机及其它网络交换设备,客户端数量已经达到150台。
尽管已经物理隔离技术、安全网段划分、安全防护设施(如防火墙、防病毒软件)等方式保证自己的网络安全,但由于操作系统和人为因素,客户端自身确实存在着安全风险隐患,随着用户应用系统的不断增加,在网络中传播的病毒造成的风险和管理上的风险也会不断增加,由于单个计算机的病毒引起的损害可能传播到其他系统和主机上,引起网络瘫痪,造成重大损失。
系统对网络的安全稳定运行有较高的要求。
同时,其它桌面安全和桌面管理方面的问题也十分繁杂,而专网的网络维护管理人员十分有限,因此需要专业的内网安全安全管理系统。
在实际使用中,来自网络内部的安全威胁是我们网络管理人员真正需要面2对的问题:据统计结果,约80%的安全事件来自与网络内部;网络管理工作量最大的部分是终端安全管理部分,对网络的正常运转威胁最大的也同样是客户端安全管理。
由于大型网络一般结构较为复杂,用户使用水平参差不齐,而网络管理人员编制有限,往往难以面对数量重大的客户端事件。
因此,只有解决网络内部的安全问题,才可以排除网络中最大的安全隐患,北信源内网安全管理系统可以从技术层面帮助网管人员处理好繁杂的客户端问题。
《北信源的内网安系统》作为一套整体的客户端节点安全防护体系,遵循网络防护和客户端防护并重理念,针对网络安全管理人员在网络管理、防病毒管理、桌面管理过程中所面临的种种问题提供解决方案,强化对桌面的管理控制。
解决方案北信源内网安全管理系统解决方案v2.0北信源图综合文库嘿,大家好!今天咱们来聊聊北信源内网安全管理系统解决方案v2.0,这个方案可是经过了无数次的优化和升级,专为解决企业内网安全问题而量身定制的。
就让我们一起揭开这个神秘的面纱吧!一、问题背景企业内网安全一直是IT管理员们头疼的问题,各种病毒、木马、黑客攻击让人防不胜防。
如何确保内网安全,降低企业风险,提高工作效率,成为了当务之急。
二、解决方案概述1.网络隔离:通过物理或虚拟手段,将内网与外部网络进行有效隔离,降低外部攻击的风险。
2.访问控制:对内网用户进行身份认证和权限分配,确保只有合法用户才能访问内网资源。
3.数据保护:对内网数据进行加密、备份,防止数据泄露、篡改等风险。
4.安全审计:对内网用户行为进行实时监控和记录,便于事后追踪和分析。
5.安全防护:通过防火墙、入侵检测、病毒防护等手段,抵御外部攻击。
三、详细解决方案1.网络隔离(1)物理隔离:采用物理手段,如光纤、专线等,实现内网与外部网络的物理隔离。
(2)虚拟隔离:通过虚拟专用网络(VPN)技术,实现内网与外部网络的逻辑隔离。
2.访问控制(1)身份认证:采用双因素认证、生物识别等技术,确保用户身份的真实性。
(2)权限分配:根据用户角色、部门等信息,为用户分配相应的访问权限。
3.数据保护(1)数据加密:对内网数据进行加密存储和传输,防止数据泄露。
(2)数据备份:定期对内网数据进行备份,确保数据的安全性和完整性。
4.安全审计(1)实时监控:通过安全审计系统,对内网用户行为进行实时监控。
(2)日志记录:记录内网用户操作日志,便于事后追踪和分析。
5.安全防护(1)防火墙:部署防火墙,阻止非法访问和攻击。
(2)入侵检测:通过入侵检测系统,实时检测并报警异常行为。
(3)病毒防护:部署病毒防护软件,防止病毒、木马等恶意代码入侵。
四、实施方案1.项目筹备:成立项目组,明确项目目标、范围、进度等。
北信源终端安全管理解决方案北信源终端安全管理解决方案客户端安全管理概述客户端桌面安全管理技术的兴起是伴随着网络管理事务密集度的增加,作为网络管理技术的边缘产物而衍生的,它同传统安全防御体系的缺陷相关联,是传统网络安全防范体系的补充,也是未来网络安全防范体系重要的组成部分。
因此,客户端桌面安全管理技术无论在现在还是未来都应当归入网络安全产品体系之列。
客户端桌面安全管理强化了对网络计算机终端的控制,对计算机终端的管理包括:资源资产、终端安全策略、桌面风险控制、补丁分发、终端运行状态监控以及终端涉密审计等。
客户端桌面安全管理系统提供了防火墙、IDS、防病毒系统、专业网管软件所不能提供的防护功能,对它们管理的盲区进行监控,扩展成为一个实时的安全监控系统,并能够同其它网络安全设备进行安全集成和报警联动。
客户端桌面安全管理技术近几年来逐渐被网络管理者和机构管理决策者们所重视。
对于那些机器数量庞大,几百台甚至几千、几万台设备终端的网络,网络管理人员面临的不仅仅是处理繁杂的终端安全管理事务,还要从事基础的网络运行维护。
2003~2004年,“冲击波”、“震荡波”在互联网、企事业网络猖獗传播的时候,也正是网络管理人员忙于对众多计算机进行病毒查杀、升级操作系统补丁的时候,同时爱情后门变种病毒在网络中此起彼伏的传播,可谓让网络管理人员费尽脑力。
国家安检、军机、政务等涉密机构部门也面临着内务专网中的客户端用户进行不规范或违规操作所带来的危害威胁,如黑客入侵、病毒入侵、资料泄密等危险性行为。
总体上,对于客户端桌面安全管理的要求要根据用户自身的需求出发,不同的用户具有不同的侧重点。
本文对该类产品的用户进行细化:①行业应用按照网络应用存在的行业进行划分,如电信、金融、政府、能源、院校、媒体、交通、以及大型企业等集团级企业,这些用户存在着自上而下行业应用广域网络,特点在于网络终端数量大、操作人员水平层次不齐、管理难度高。
②规模层次按照对计算机数量的密集程度、信息化应用程度高低进行划分,如经济发达地区企、事业用户(大、中城市),信息化应用水平要求高的行业(金融、电信、税务、电力)等,这些用户的计算机数量大、应用程度高。
北信源内网安全管理系统北信源内网安全管理系统是一种专门针对企业内部网络安全问题而设计的解决方案。
随着信息技术的快速发展,企业内部网络安全问题日益凸显,内网安全管理系统的重要性也日益凸显。
本文将对北信源内网安全管理系统进行详细介绍,包括其功能、特点、优势以及应用范围。
首先,北信源内网安全管理系统具有多种功能,包括但不限于网络入侵检测、安全策略管理、流量监控、漏洞扫描、安全日志管理等。
这些功能可以帮助企业及时发现和应对内网安全威胁,保障企业内部网络的安全稳定运行。
其次,北信源内网安全管理系统具有以下特点,一是全面性,能够全面覆盖企业内部网络的安全管理需求;二是实时性,能够实时监控网络安全状态,及时发现并应对安全威胁;三是智能化,能够通过智能算法对网络安全事件进行分析和处理,提高安全管理效率。
此外,北信源内网安全管理系统还具有诸多优势。
首先,它能够帮助企业建立起完善的内网安全管理体系,提高网络安全防护能力;其次,它能够降低企业内网安全管理的成本,提高管理效率;再次,它能够帮助企业及时应对各类网络安全威胁,保障企业信息资产的安全。
最后,北信源内网安全管理系统的应用范围非常广泛,几乎适用于所有需要进行内网安全管理的企业。
无论企业规模大小,无论行业类型,都可以通过部署北信源内网安全管理系统来提升企业内网安全管理水平,保障企业网络的安全稳定运行。
综上所述,北信源内网安全管理系统是一种功能全面、特点显著、优势明显、应用广泛的内网安全管理解决方案。
它的出现填补了企业内网安全管理领域的空白,为企业提供了一种全新的内网安全管理思路和方法。
相信随着信息技术的不断发展,北信源内网安全管理系统将在企业内网安全管理领域发挥越来越重要的作用。
北信源内网终端安全管理系统解决方案北京北信源软件股份有限公司目录1.前言 (3)1.1.概述 (3)1.2.应对策略 (4)2.终端安全防护理念 (5)2.1.安全理念 (5)2.2.安全体系 (6)3.终端安全管理解决方案 (7)3.1.终端安全管理建设目标 (7)3.2.终端安全管理方案设计原则 (7)3.3.终端安全管理方案设计思路 (8)3.4.终端安全管理解决方案实现 (10)3.4.1.网络接入管理设计实现 (10)3.4.1.1.网络接入管理概述 (10)3.4.1.2.网络接入管理方案及思路 (10)3.4.2.补丁及软件自动分发管理设计实现 (15)3.4.2.1.补丁及软件自动分发管理概述 (15)3.4.2.2.补丁及软件自动分发管理方案及思路 (15)3.4.3.移动存储介质管理设计实现 (19)3.4.3.1.移动存储介质管理概述 (19)3.4.3.2.移动存储介质管理方案及思路 (20)3.4.4.桌面终端管理设计实现 (23)3.4.4.1.桌面终端管理概述 (23)3.4.4.2.桌面终端管理方案及思路 (24)3.4.5.终端安全审计设计实现 (36)3.4.5.1.终端安全审计概述 (36)3.4.5.2.终端安全审计方案及思路 (36)4.方案总结 (42)1.前言1.1. 概述随着信息化的飞速发展,业务和应用逐渐完全依赖于计算机网络和计算机终端。
为进一步提高单位内部的安全管理与技术控制水平,必须建立一套完整的终端安全管理体系,提高终端的安全管理水平。
由于单位内部缺乏管理手段,导致网络管理人员对终端管理的难度很大,难以发现有问题的电脑,从而计算机感染病毒,计算机被安装木马,部分员工使用非法软件,非法连接互联网等情况时有发生,无法对这些电脑进行定位,这些问题一旦发生,往往故障排查的时间非常长。
如果同时有多台计算机感染网络病毒或者进行非法操作,容易导致网络拥塞,甚至业务无法正常开展。
北信源内网安全管理系统方案1XX单位内网安全管理系统解决方案北京北信源自动化技术有限公司 2008年 04月2目录目录 (2)一、系统需求分析 (3)1.1网络管理中面临的问题 (3)1.1.1终端安全管理问题 (3)1.1.2IP 地址管理问题 (4)1.1.3非法外联问题 (4)1.1.4IT 资产管理问题 (4)二、内网安全解决方案 (5)2.1系统部署和管理构架 (5)2.2系统部署时的硬件配置 (6)2.3终端节点加固 (7)2.3.1可统一配置的主机防火墙(网管控制包过滤) 2.3.2弱(7)口令监控 (8)2.3.3用户权限变化监控 (8)2.3.4关键进程加固 (9)2.3.5注册表加固 (9)2.4终端全面管理 (10)2.4.1IP 地址管理 (10)242 IP、MAC地址绑定(12)2.4.3禁止修改网关、禁用冗余网卡 (12)244 IT资产管理(13)2.4.5终端桌面管理 (17)2.4.6终端安全管理 (25)2.4.7网络主机运维监控 (27)2.4.8非法外联行为监控 (28)2.4.9普通文件分发 (28)三、预计可达到的效果 (29)3一、系统需求分析网络管理中面临的问题随着信息技术的发展,网络安全问题已不再只是外部攻击和简单的病毒防护。
当企业花费大量资金和精力构建起庞杂的网络架构和安全防护体系时,殊不知,威胁企业生存和发展的是来自内部网络的安全隐患,而且其危害远大于一次黑客攻击或一次病毒骚扰。
据 FBI和CSI曾对484家公司进行的网络安全调查结果显示:超过 85%的安全威胁来自公司内部,由于内部人员泄密所导致的资产损失高达 6000多万美元,它是黑客所造成损失的 16倍、病毒所造成损失的 12倍。
XX单位已经建立了比较完善的网络管理行政制度,但是以往在网络管理工作因为缺少相对应的技术手段,网络管理制度无法得以落实,致使管理员的日常维护工作琐碎,同时还有信息泄密的风险。
XXXX终端安全管理解决方案北京北信源软件股份有限公司2010-03-22目录1、前言 .................................................................................................................... 错误!未定义书签。
2、需求分析 ............................................................................................................ 错误!未定义书签。
2.1、XXXX信息系统现状............................................................................. 错误!未定义书签。
2.2、XXXX网络终端管理需求..................................................................... 错误!未定义书签。
2.3、XXXX网络终端安全管理系统需求分析 ............................................. 错误!未定义书签。
3、北信源终端安全管理解决方案 ........................................................................ 错误!未定义书签。
3.1、VRVEDP系统概述................................................................................. 错误!未定义书签。
3.3、网络接入管理系统 ................................................................................. 错误!未定义书签。
北信源内网安全管理系统(服务器版)安装说明北信源内网安全管理系统(服务器版)安装说明一、引言在当今互联网高速发展的背景下,网络安全问题日益突出。
为确保企业内部信息的安全性和稳定性,北信源内网安全管理系统(服务器版)成为一种必备的安全解决方案。
本文将详细介绍该系统的安装步骤和相关注意事项。
二、安装准备1. 硬件要求- 服务器配置:至少8GB内存、500GB硬盘空间- 操作系统:建议使用Windows Server 2016或更高版本2. 软件准备- 安装介质:确保已获得北信源内网安全管理系统(服务器版)的最新安装介质。
- 网络环境:保证服务器能够正常连接至Internet以进行必要的下载和更新。
三、安装步骤1. 解压安装包将下载的北信源内网安全管理系统(服务器版)安装包解压到合适的目录下。
2. 打开安装程序找到解压后的文件夹,双击运行安装程序。
3. 安装向导按照安装向导的指示逐步执行以下步骤:- 选择安装路径:请根据实际需求选择一个合适的安装路径。
- 接受许可协议:阅读并接受许可协议。
- 选择组件:根据需求选择要安装的组件。
- 配置数据库:指定数据库名称和数据库管理员账号密码。
- 配置管理服务:设置管理服务的账号和密码,用于管理系统的远程访问等。
- 完成安装:等待安装程序完成软件的安装和相关配置。
4. 启动系统完成安装后,在开始菜单中找到北信源内网安全管理系统(服务器版)的快捷方式,单击启动系统。
四、注意事项1. 防火墙配置为了确保系统正常运行,需要在服务器上配置防火墙,允许北信源内网安全管理系统(服务器版)所需的端口通过。
2. 数据库备份定期进行数据库备份是保证数据安全的重要手段。
请根据系统需要设置定期的数据库备份计划,并将备份数据妥善保存。
3. 安全策略优化针对具体的网络环境和需求,建议定期评估和优化北信源内网安全管理系统(服务器版)的安全策略,以提高系统的安全性。
五、总结本文详细介绍了北信源内网安全管理系统(服务器版)的安装步骤和注意事项。
北信源内网安全及补丁分发系统解决方案建议书北京北信源自动化技术有限公司2008年4月12目 录一、前言 ................................................................................................................................... 3 二、 系统需求分析 . (4)2.1、客户网络现状 (4)2.2、客户端管理需求 ............................................................................................................. 4 三、 北信源内网安全管理系统解决方案 . (4)3.1、功能实现方式 (4)3.2、系统构架图 (6)3.2.1、系统管理结构建议 (6)3.3、产品基本功能 (6)3.4、安全监控强审计功能 (6)3.4.1、文件保护及访问审计 (7)3.4.2、桌面文件输出审计 (9)3.4.3、打印审计 (10)3.4.4、系统日志审计 (10)3.4.5、文件内容检查 (11)3.4.6、特殊行为审计 ..................................................................................................... 11 四、 具体实施方案 .. (12)4.1、部署的主要组建 (12)4.3、实施建议 (12)4.4、系统部署时软硬件配置 (16)4.5、系统部署时网络环境准备 (16)3一、 前言随着XXXX 单位信息化工作建设的推进,目前XXXX 单位的IT 系统的建设已经具备了相当的规模,已经具有了自己的信息操作平台,业务系统也越来越依赖于IT 系统。
www.cismag 40方案应用对于内部专网而言,防范信息泄露和病毒传播无疑是重中之重。
网络安全现状威胁正在悄然改变,在互联互通的今天,利益驱使下的黑客攻击充斥着网络社会。
仅仅出于好玩或出名而入侵网站已经成为渐渐离我们远去的“太平盛世”,主流的、更为危险的攻击已经袭来—网络犯罪。
它表现在:单个病毒、木马的入侵具有极强的针对性,可以具体到指定的某个IP 地址段内的电脑,而且由于同类病毒的总量庞大,破坏性不容忽视。
恶意攻击和违规行为的直接结果是:轻则影响机器速度、破坏文件或造成死机,重则导致网络瘫痪、重要文件丢失、信息泄密等,这无疑都是威胁信息安全、业务正常运作的重大隐患。
而终端用户的安全观念薄弱,甚至绝大多数人缺乏基本的安全观念和安全措施,对信息安全违规违法行为缺乏认识和自我管理。
实际上,在高速的网络时代,完全依靠常规概念里的边界防护(防火墙、IDS 等)以及杀毒软件的传统方式已经很难适应新的信息安全防护要求,网络攻击方式的变化,用户的被动防御远远应对不了发展变化的新型攻击,而安全手段缺失导致的终端脆弱性更加剧了网络安全管理的难度。
用户安全威胁及管理复杂性分析以某专用内部网络为例,虽然已经采取了多种方式相结合的安全防护手段,但事实上,由于网络复杂、终端数目庞大、用户使用水平参差不齐等多种原因导致了网络安全防护系统也未能达到真正理想的效果。
而终端用户的不安全行为导致的信息泄密、病毒传播、黑客攻击等问题,无疑是造成该网络瘫痪、重要数据损坏、涉密信息泄露等安全事故的严重隐患。
显然,单单依靠现有的边界防护而忽略了网络终端的保障,是无法做到真正意义上的网络安全的,这无疑也加剧了网络管理和安全防范的难度和强度。
由于终端安全措施缺失,使得许多恶意攻击利用系统漏洞潜入信息服务器和计算机,而目前的防御体系和应急预案尚未能做到快速准确的定位及数据的及时恢复,专用网络的信息安全处于前所未有的风险之中,主要包括以下问题:① 移动终端(笔记本电脑等)和新增设备未经过安全检查和处理违规接入内部网络,缺乏完善的计算机入网注册登记监管手段和注册管理机制,以致未经允许擅自接入的电脑设备带来的病毒传播、黑客入侵等不安全因素;② 网络出现病毒、蠕虫攻击等安全问题后,被感染终端成为了网络内部的传染源,使得更多的终端遭到病毒、木马和蠕虫等侵袭,对此不能做到安全事件源的实时、快速、精确定位、远程阻断隔离操作;③ 缺乏终端操作系统和应用软件的漏洞监测、补丁下载安装等防护手段;④ 大规模病毒(安全)事件发生后,网管无法快速确定病毒黑客事件源头,找到网络中的薄弱环节,很难有效做到事后分析、加强安全预警;⑤ 终端用户行为监管不利导致的设备安全措施(杀毒软件安装与升级、防火墙设置、系统漏洞、违规联网等)脆弱。
某内网终端安全管理系统解决方案解决方案北京北信源软件股份有限公司目录1. 前言51.1. 概述 51.2. 应对策略62. 终端安全防护理念72.1. 安全理念72.2. 安全体系73. 终端安全管理解决方案93.1. 终端安全管理建设目标93.2. 终端安全管理方案设计原则93.3. 终端安全管理方案设计思路93.4. 终端安全管理解决方案实现113.4.1. 网络接入管理设计实现错误!未定义书签。
3.4.1.1. 网络接入管理概述错误!未定义书签。
3.4.1.2. 网络接入管理方案及思路错误!未定义书签。
3.4.2. 补丁及软件自动分发管理设计实现113.4.2.1. 补丁及软件自动分发管理概述113.4.2.2. 补丁及软件自动分发管理方案及思路113.4.3. 移动存储介质管理设计实现133.4.3.1. 移动存储介质管理概述133.4.3.2. 移动存储介质管理方案及思路143.4.4. 桌面终端管理设计实现153.4.4.1. 桌面终端管理概述153.4.4.2. 桌面终端管理方案及思路163.4.5. 终端安全审计设计实现错误!未定义书签。
3.4.5.1. 终端安全审计概述错误!未定义书签。
3.4.5.2. 终端安全审计方案及思路错误!未定义书签。
4. 方案总结255. 附录:系统硬件要求256. 预算27前言概述随着信息化的飞速发展,业务和应用逐渐完全依赖于计算机网络和计算机终端。
为进一步提高单位内部的安全管理与技术控制水平,必须建立一套完整的终端安全管理体系,提高终端的安全管理水平。
由于单位内部缺乏管理手段,导致网络管理人员对终端管理的难度很大,难以发现有问题的电脑,从而计算机感染病毒,计算机被安装木马,部分员工使用非法软件,非法连接互联网等情况时有发生,无法对这些电脑进行定位,这些问题一旦发生,往往故障排查的时间非常长。
如果同时有多台计算机感染网络病毒或者进行非法操作,容易导致网络拥塞,甚至业务无法正常开展。
北信源内网终端安全管理系统解决方案北京北信源软件股份有限公司目录1.前言 (33)1.1. 概述 (33)1.2. 应对策略 (44)2.终端安全防护理念 (55)2.1. 安全理念 (55)2.2. 安全体系 (55)3.终端安全管理解决方案 (77)3.1. 终端安全管理建设目标 (77)3.2. 终端安全管理方案设计原则 (77)3.3. 终端安全管理方案设计思路 (77)3.4. 终端安全管理解决方案实现 (1010)3.4.1. 网络接入管理设计实现 (1010)3.4.1.1. .......................................... 网络接入管理概述 10103.4.1.2. .................................... 网络接入管理方案及思路 10103.4.2. 补丁及软件自动分发管理设计实现 (1414)3.4.2.1. ................................ 补丁及软件自动分发管理概述 14143.4.2.2. .......................... 补丁及软件自动分发管理方案及思路 14143.4.3. 移动存储介质管理设计实现 (1818)3.4.3.1. ...................................... 移动存储介质管理概述 18183.4.3.2. ................................ 移动存储介质管理方案及思路 19193.4.4. 桌面终端管理设计实现 (2121)3.4.4.1. .......................................... 桌面终端管理概述 21213.4.4.2. .................................... 桌面终端管理方案及思路 22223.4.5. 终端安全审计设计实现 (3232)3.4.5.1. .......................................... 终端安全审计概述 32323.4.5.2. .................................... 终端安全审计方案及思路 33334.方案总结 (3838)1.前言1.1. 概述随着信息化的飞速发展,业务和应用逐渐完全依赖于计算机网络和计算机终端。
为进一步提高单位内部的安全管理与技术控制水平,必须建立一套完整的终端安全管理体系,提高终端的安全管理水平。
由于单位内部缺乏管理手段,导致网络管理人员对终端管理的难度很大,难以发现有问题的电脑,从而计算机感染病毒,计算机被安装木马,部分员工使用非法软件,非法连接互联网等情况时有发生,无法对这些电脑进行定位,这些问题一旦发生,往往故障排查的时间非常长。
如果同时有多台计算机感染网络病毒或者进行非法操作,容易导致网络拥塞,甚至业务无法正常开展。
建立终端安全管理体系的意义在于:解决大批量的计算机安全管理问题。
具体来说,这些问题包括:➢实现对单位内部所有的终端计算机信息进行汇总,包括基本信息、审计信息、报警信息等,批量管理终端计算机并提高安全性、降低日常维护工作量;➢实现对单位内部所有的终端计算机的准入控制,防止外来电脑或违规的电脑接入单位内部网络中;➢实现对单位内部所有的终端计算机进行补丁的自动下载、安装与汇总,最大程度减少病毒、木马攻击存在漏洞的计算机而导致的安全风险;➢实现对单位内部所有的移动存储设备的统一管理,防止部分人员通过USB设备将单位大量的机密文件传播出去,同时也极大减少了病毒、木马通过USB设备在网络中传播等情况的发生;➢实现对单位内部所有的终端计算机进行终端安全管理与分析,包括第一时间禁止非法外联行为的发生,实时监控异常流量,检测非法软件,禁用部分硬件设备等,将计算机与人结合起来管理,防止非法操作导致发生不必要的安全事件。
1.2. 应对策略从网络空间应用接入方式来来说,网络空间应用从传统的互联网应用接入发展到以移动/无线通信应用接入乃至移动互联网接入等多种方式。
而针对网络空间安全方面的问题,北信源公司基于多年的产品开发与超大规模成功部署与应用经验基础,组建了面向网络空间的终端安全管理产品体系。
该产品体系主要面向重要网络、信息系统及基础设施的失泄密检测与防范,实现从终端、区域网到互联网的一体化检测、管理与防范。
该体系从终端接入控制、终端行为管控制、终端数据防泄密,以及终端安全审计等方面,实现了多层次、全方位、立体化纵深失窃密检测与防范,形成了面向复杂网络空间的终端安全管理一体化解决方案,有效地实现了网络空间下对终端计算机的安全管理体系。
2.终端安全防护理念2.1. 安全理念针对目前网络中终端计算机面临的各种安全问题,作为终端安全管理市场的领导者,北信源公司特推出了面向网络空间的VRV SpecSEC终端安全管理体系。
VRV SpecSEC终端安全管理体系以APPDR模型为依据,遵循国家和行业等级保护,基于安全工程的思想,以独特的终端安全配置策略为核心,以终端安全风险测试与评估为依据,实现组件化可动态组合配置的终端安全管理。
其核心理念如下图所示:VRV SpecSEC终端安全管理体系核心理念安全产品法规符合性开发(S pecification-based Products Development)策略引导的终端安全配置(P olicy-based Configure Management)评估驱动的终端安全管理(E valuation-driven Security Management)组件化终端安全管理体系(Component-based Plug-in/out Security Architecture )2.2. 安全体系北信源VRV SpecSEC体系覆盖终端的资产安全管理、终端数据安全管理、终端行为安全管理、终端服务安全管理等多个方面,涉及管理计算机本身、计算机应用、计算机操作者、计算机使用单位管理规范等多个方面,形成全方位、多层次、立体化终端安全管理。
VRV SpecSEC终端安全管理体系层次结构图如下所示:VRV SpecSEC终端安全管理体系层次结构图本解决方案正是基于上述核心理念和安全体系的基础上而组建的基于终端各方面安全管理和控制的一体化解决方案。
3.终端安全管理解决方案3.1. 终端安全管理建设目标(1) 当终端接入时要落实安全保护技术措施,保障内部网络的运行安全和信息安全;(2) 对已接入内部网络的终端计算机,要做好用户权限设定工作,不能开放其规定以外的操作权限。
(3) 发现有违规情形的,应当保留有关原始记录,并可直接了解到该违规信息及违规方式等。
(4) 网络管理人员能够利用该管理方式,便捷的管理内网终端计算机,并能够利用该种方式对终端计算机现状一目了然。
3.2. 终端安全管理方案设计原则方案设计遵循如下原则:(1)安全性原则:对性能影响小,与其它业务系统无冲突。
(2)可靠性原则:在反复操作与长期实践之后依然能够保持高度的稳定性。
(3)可扩展性原则:能够符合IT发展方向,并随业务增长的同时保持高度的可扩充性。
(4)易用性原则:提供简单、友好界面,能够进行直观的操作,形成丰富的图形界面与报表。
(5)兼容性原则:能够与主流厂商的系统、软件、主机设备、安全设备、网络设备保持高度的兼容性。
3.3. 终端安全管理方案设计思路1、遵循IT服务标准随着信息技术的发展以及对信息技术依赖程度的提高,IT已成为许多业务流程必不可少的部分,甚至是某些业务流程赖以运作的基础。
IT部门要承担更大的责任,即提高业务运作效率,降低业务流程的运作成本,遵循ITIL标准,协调IT服务部门内部运作,改善IT部门与业务部门之间的沟通,帮助单位对信息化系统的规划、研发、实施和运营进行有效管理的方法。
IT服务管理将流程、人和技术三方面整合在一起来解决IT服务管理问题。
并结合单位内部组织结构、IT资源与管理流程等,对业务需求进行整体管理与服务。
解决方案设计要采用IT服务管理的理念,按照ITIL最佳实践标准来设计。
2、遵循ISO 27001标准ISO27001作为信息系统安全管理标准,已经成为全球公认的安全管理最佳实践,成为全国大型机构在设计、管理信息系统安全时的实践指南。
其中除了安全思路之外,给出了许多非常细致的安全管理指导规范。
在ISO27001中有一个非常有名的安全模型,称为PDCA 安全模型。
PDCA安全模型的核心思想是:信息系统的安全需求是不断变化的,要使得信息系统的安全能够满足业务需要,必须建立动态的“计划、设计和部署、监控评估、改进提高”管理方法,持续不断地改进信息系统的安全性。
北信源认为,终端安全管理,也将是一个持续、动态、不断改进的过程,北信源将提供统一的、集成化的平台和工具,帮助对其终端进行统一的安全控制、安全评估、安全审计及安全改进策略部署。
3、遵循VRV SpecSEC安全理念依据业界最佳安全实践和行业信息安全管理体系的建设流程,结合北信源VRV SpecSEC 核心安全理念,本方案的总体架构共分为“网络接入管理、补丁及软件分发管理、移动存储介质管理、桌面终端管理、终端安全审计”等安全管理组件,并通过统一、联动的安全管控与审计平台实现对不同层次架构的集中策略配置与管理,完成对网络终端的分级部署、统一管控,最终实现对内网终端全方位的控制管理,形成完整的终端安全管理体系。
方案设计思路3.4. 终端安全管理解决方案实现本方案通过网络接入控制管理、补丁及软件分发管理、移动存储介质管理、桌面终端安全管理,以及终端安全审计管理等五大部分,并由集中统一的管控和策略平台,完成对上述安全管理组件的统一策略配置与下发、集中管理与审计,最终形成联动化的、集成化的、完整的终端安全体系建设。
3.4.1.网络接入管理设计实现3.4.1.1. 网络接入管理概述通过网络接入控制能够完成对未知终端、授权终端的安全准入管理与控制。
该系统能够完成基于802.1x协议的准入控制技术的安全准入管理控制,为内网终端的安全接入控制提供了一道绿色的保护屏障。
3.4.1.2. 网络接入管理方案及思路系统能够确保终端电脑只有在通过认证,即安装终端安全管理组件,并符合必要的安全策略的前提下才能被允许接入内部网络,否则会强制终端电脑跳转到访客隔离区(guest区),制管理系统流程图以上过程完全满足网络准入控制的目的和意义:能确保合法的、健康的终端接入内部网络访问被授权的资源。
通过网络准入控制技术,确保接入网络的电脑终端符合预定义要求,必要的安全策略功能包括:1、802.1x接入认证管理802.1x接入认证管理具有对接入策略和安检策略整体的配置和管理功能。