1、北信源内网终端安全管理系统北信源内网终端安全管理系统 解决方案解决方案 北京北信源软件股份有限公司北京北信源软件股份有限公司 内网安全管理系统设计方案 2 目目 录录 1.1.前言前言3 1.1.概述3 1.2.应对策略4 2.2.终端安全防护理念终端安全防护理念.5 2.1.安全理念5 2.2.安全体系6 3.3.终端安全管理解决方案终端安全管理解决方案 .7 3.1.终端安全管理建设目标7 3.2.终端安全管理方案设计原则7 3.3.终端安全管理方案设计思路8 3.4.终端安全管理解决方案实现10 3.4.1.网络接入管理设计实现10 3.4.1.1.网络接入管理概述10 3.4.1.2.网络接入管理方案及思路10 3.4.2.补丁及软件自动分发管理设计实现17 3.4.2.1.补丁及软件自动分发管理概述17 3.4.2.2.补丁及软件自动分发管理方案及思路17 3.4.3.移动存储介质管理设计实现22 3.4.3.1.移动存储介质管理概述22 3.4.3.2.移动存储介质管理方案及思路23 3.4.4.桌面终端管理设计实现26 3.4.4.1.桌面终端管理概述26 3.4.4.2
2、.桌面终端管理方案及思路27 3.4.5.终端安全审计设计实现45 3.4.5.1.终端安全审计概述45 3.4.5.2.终端安全审计方案及思路45 4.4.方案总结方案总结.51 5.5.附录:系统硬件要求附录:系统硬件要求.51 6.6.预算预算53 内网安全管理系统设计方案 3 1.1. 前言前言 1.1. 概述概述 随着信息化的飞速发展,业务和应用逐渐完全依赖于计算机网络和计算机 终端。为进一步提高单位内部的安全管理与技术控制水平,必须建立一套完整 的终端安全管理体系,提高终端的安全管理水平。 由于单位内部缺乏管理手段,导致网络管理人员对终端管理的难度很大, 难以发现有问题的电脑,从而计算机感染病毒,计算机被安装木马,部分员工 使用非法软件,非法连接互联网等情况时有发生,无法对这些电脑进行定位, 这些问题一旦发生,往往故障排查的时间非常长。如果同时有多台计算机感染 网络病毒或者进行非法操作,容易导致网络拥塞,甚至业务无法正常开展。 建立终端安全管理体系的意义在于:解决大批量的计算机安全管理问题。 具体来说,这些问题包括: 实现对单位内部所有的终端计算机信息进行汇总,包括基本信息
3、、审计信 息、报警信息等,批量管理终端计算机并提高安全性、降低日常维护工作 量; 实现对单位内部所有的终端计算机的准入控制,防止外来电脑或违规的电 脑接入单位内部网络中; 实现对单位内部所有的终端计算机进行补丁的自动下载、安装与汇总,最 大程度减少病毒、木马攻击存在漏洞的计算机而导致的安全风险; 实现对 单位内部所有的移动存储设备的统一管理,防止部分人员通过 USB 设备将单位大量的机密文件传播出去,同时也极大减少了病毒、木马通过 USB 设备在网络中传播等情况的发生; 实现对单位内部所有的终端计算机进行终端安全管理与分析,包括第一时 内网安全管理系统设计方案 4 间禁止非法外联行为的发生,实时监控异常流量,检测非法软件,禁用部 分硬件设备等,将计算机与人结合起来管理,防止非法操作导致发生不必 要的安全事件。 1.2. 应对策略应对策略 从网络空间应用接入方式来来说,网络空间应用从传统的互联网应用接入 发展到以移动/无线通信应用接入乃至移动互联网接入等多种方式。 而针对网络空间安全方面的问题,北信源公司基于多年的产品开发与超大 规模成功部署与应用经验基础,组建了面向网络空间的终端安全管
4、理产品体系。 该产品体系主要面向重要网络、信息系统及基础设施的失泄密检测与防范,实 现从终端、区域网到互联网的一体化检测、管理与防范。该体系从终端接入控 制、终端行为管控制、终端数据防泄密,以及终端安全审计等方面,实现了多 层次、全方位、立体化纵深失窃密检测与防范,形成了面向复杂网络空间的终 端安全管理一体化解决方案,有效地实现了网络空间下对终端计算机的安全管 理体系。 内网安全管理系统设计方案 5 2.2. 终端安全防护理念终端安全防护理念 2.1. 安全理念安全理念 针对目前网络中终端计算机面临的各种安全问题,作为终端安全管理市场 的领导者,北信源公司特推出了面向网络空间的 VRV SpecSEC 终端安全管理 体系。 VRV SpecSEC 终端安全管理体系以 APPDR 模型为依据,遵循国家和行业 等级保护,基于安全工程的思想,以独特的终端安全配置策略为核心,以终端 安全风险测试与评估为依据,实现组件化可动态组合配置的终端安全管理。其 核心理念如下图所示: VRV SpecSEC 终端安全管理体系核心理念终端安全管理体系核心理念 安全产品法规符合性开发(S Specificat
5、ion-based Products Development) 策略引导的终端安全配置(P Policy-based Configure Management) 评估驱动的终端安全管理(E Evaluation-driven Security Management) 内网安全管理系统设计方案 6 组件化终端安全管理体系(Component-based Plug-in/out Security Architecture ) 2.2. 安全体系安全体系 北信源 VRV SpecSEC 体系覆盖终端的资产安全管理、终端数据安全管理、 终端行为安全管理、终端服务安全管理等多个方面,涉及管理计算机本身、计 算机应用、计算机操作者、计算机使用单位管理规范等多个方面,形成全方位、 多层次、立体化终端安全管理。VRV SpecSEC 终端安全管理体系层次结构图如 下所示: VRV SpecSEC 终端安全管理体系层次结构图终端安全管理体系层次结构图 本解决方案正是基于上述核心理念和安全体系的基础上而组建的基于终端 各方面安全管理和控制的一体化解决方案。 内网安全管理系统设计方案 7 3.3. 终端安全
6、管理解决方案终端安全管理解决方案 3.1. 终端安全管理建设目标终端安全管理建设目标 (1) 当终端接入时要落实安全保护技术措施,保障内部网络的运行安全和 信息安全; (2) 对已接入内部网络的终端计算机,要做好用户权限设定工作,不能开 放 其规定以外的操作权限。 (3) 发现有违规情形的,应当保留有关原始记录,并可直接了解到该违规 信息及违规方式等。 (4) 网络管理人员能够利用该管理方式,便捷的管理内网终端计算机,并 能够利用该种方式对终端计算机现状一目了然。 3.2. 终端安全管理方案设计原则终端安全管理方案设计原则 方案设计遵循如下原则: (1) 安全性原则:对性能影响小,与其它业务系统无冲突。 (2) 可靠性原则:在反复操作与长期实践之后依然能够保持高度的稳定性。 (3) 可扩展性原则:能够符合 IT 发展方向,并随业务增长的同时保持高度 的可扩充性。 (4) 易用性原则:提供简单、友好界面,能够进行直观的操作,形成丰富的 图形界面与报表。 (5) 兼容性原则:能够与主流厂商的系统、软件、主机设备、安全设备、网 络设备保持高度的兼容性。 内网安全管理系统设计方案 8 3.3.
7、 终端安全管理方案设计思路终端安全管理方案设计思路 1 1、遵循、遵循 ITIT 服务标准服务标准 随着信息技术的发展以及对信息技术依赖程度的提高,IT 已成为许多业务 流程必不可少的部分,甚至是某些业务流程赖以运作的基础。IT 部门要承担更 大的责任,即提高业务运作效率,降低业务流程的运作成本,遵循 ITIL 标准, 协调 IT 服务部门内部运作,改善 IT 部门与业务部门之间的沟通,帮助单位对 信息化系统的规划、研发、实施和运营进行有效管理的方法。IT 服务管理将流 程、人和技术三方面整合在一起来解决 IT 服务管理问题。并结合单位内部组织 结构、IT 资源与管理流程等,对业务需求进行整体管理与服务。解决方案设计 要采用 IT 服务管理的理念,按照 ITIL 最佳实践标准来设计。 2 2、遵循、遵循 ISOISO 2700127001 标准标准 ISO27001 作为信息系统安全管理标准,已经成为全球公认的安全管理最佳 实践,成为全国大型机构在设计、管理信息系统安全时的实践指南。其中除了 安全思路之外,给出了许多非常细致的安全管理指导规范。在 ISO27001 中有一 个非常有名的
8、安全模型,称为 PDCA 安全模型。PDCA 安全模型的核心思想是: 信息系统的安全需求是不断变化的,要使得信息系统的安全能够满足业务需要, 必须建立动态的“计划、设计和部署、监控评估、改进提高”管理方法,持续 不断地改进信息系统的安全性。 北信源认为,终端安全管理,也将是一个持续、动态、不断改进的过程, 北信源将提供统一的、集成化的平台和工具,帮助对其终端进行统一的安全控 制、安全评估、安全审计及安全改进策略部署。 3 3、遵循、遵循 VRVVRV SpecSECSpecSEC 安全理念安全理念 依据业界最佳安全实践和行业信息安全管理体系的建设流程,结合北信源 VRV SpecSEC 核心安全理念,本方案的总体架构共分为“网络接入管理、补丁 及软件分发管理、移动存储介质管理、桌面终端管理、终端安全审计”等安全 内网安全管理系统设计方案 9 管理组件,并通过统一、联动的安全管控与审计平台实现对不同层次架构的集 中策略配置与管理,完成对网络终端的分级部署、统一管控,最终实现对内网 终端全方位的控制管理,形成完整的终端安全管理体系。 方案设计思路方案设计思路 内网安全管理系统设计方案 10
9、 3.4. 终端安全管理解决方案实现终端安全管理解决方案实现 本方案通过网络接入控制管理、补丁及软件分发管理、移动存储介质管理、 桌面终端安全管理,以及终端安全审计管理等五大部分,并由集中统一的管控 和策略平台,完成对上述安全管理组件的统一策略配置与下发、集中管理与审 计,最终形成联动化的、集成化的、完整的终端安全体系建设。 3.4.1. 补丁及软件自动分发管理设计实现补丁及软件自动分发管理设计实现 3.4.1.1.补丁及软件自动分发管理概述补丁及软件自动分发管理概述 补丁及软件自动分发管理能够自动识别终端计算机操作系统类型,并根据 需求自动下载所需补丁,自动安装并提示。系统向指定终端计算机(用户组) 分发文件或安装软件,分发时可提供软件的运行参数和必要的运行控制。该管 理体系可减轻网络管理人员的工作负担,软件分发时可报告软件安装的状态, 无论软件正确安装与否,管理员均可及时了解情况。 3.4.1.2.补丁及软件自动分发管理方案及思路补丁及软件自动分发管理方案及思路 补丁及软件自动分发管理支持推、拉两种方式自动下载补丁。整个补丁管 理运行平台构架是:通过北信源外网补丁下载服务器及时从补丁厂商网站获取 最新补丁;补丁安全测试后,通过补丁分发管理中心服务器对网络用户进行分 发安装;补丁安装支持自动和手动两种方式。 内网安全管理系统设计方案 11 北北信信 源源补补 丁丁中中 心心 ( (一一级级) ) 补补丁丁库库分分类类 北北信信 源源补补 丁丁管管 理理中中 心心 ( (二二级级) ) 补补丁丁增增量量导导入入 补补丁丁测测试试 策策略略控控制制 推推拉拉分分发发控控制制 流流量量控控制制 多多级级级级联联控控制制 补补丁丁分分发发检检索索 补补丁丁自自动动识识别别 客客户户端端策策略略 客客户户补补丁丁查查询询 动动态态下下载载 转转发发代代理理 报报表表中中心心 北北信信 源源补补 丁丁管管 理理中中 心心 ( (二二级级) ) . . . . . . . . . . . . 客客户户端端 自自动动测测试试组组 ( (真真实实环环境境) ) 级级联联 同同步步 级级联联 同同步步 补丁分发管理体系补丁分发管理体系 网络应用对象:连通互联网的网络:直接通过补丁下载服务器将补丁下 1 载至补丁分发服务器;物理隔离网络:在互联网连通网络上安装补丁下载服
《某内网终端安全管理系统解决方案》由会员F****n分享,可在线阅读,更多相关《某内网终端安全管理系统解决方案》请在金锄头文库上搜索。