北信源法院系统终端安全系统管理系统解决设计2015

1、实用文档北信源法院系统终端安全管理系统解决方案他信樨VRV北京北信源软件股份有限公司2015年3月标准北信部IVRV内网安全管理系统设计方案目录1 .前言31.1. 概述31.2. 应对策略42 .终端安全防护理念52.1. 安全理念52.2. 安全体系63 .终端安全管理解决方案73.1. 终端安全管理建设目标73.2. 终端安全管理方案设计原则73.3. 终端安全管理方案设计思路83.4. 终端安全管理解决方案实现103.4.1. 网络接入管理设计实现. 网络接入管理概述. 网络接入管理方案及思路103.4.2. 补丁及软件自动分发管理设计实现153.4

2、.2.1. 补丁及软件自动分发管理概述. 补丁及软件自动分发管理方案及思路153.4.3. 移动存储介质管理设计实现. 移动存储介质管理概述. 移动存储介质管理方案及思路203.4.4. 桌面终端管理设计实现. 桌面终端管理概述. 桌面终端管理方案及思路243.4.5. 终端安全审计设计实现3. 终端安全审计概述3. 终端安全审计方案及思路364 .方案总结42北聿匕憎牌裳帏部绯有附介品BEUINGVRVSCFTWAFtECO.LTO.*如%比京市中工M史每单其时44拄*蹙

3、用红唐-D1O42«4O4eK«7KM.100091_|VrVKRQ1087144484WWWCK内网安全管理系统设计方案北信部IVRV1.前言1.1, 概述随着法院信息化的飞速发展，业务和应用逐渐完全依赖于计算机网络和计算机终端。为进一步提高法院信息系统内部的安全管理与技术控制水平，必须建立一套完整的终端安全管理体系，提高终端的安全管理水平。由于法院信息系统内部缺乏必要管理手段，导致网络管理人员对终端管理的难度很大，难以发现有问题的电脑，从而计算机感染病毒，计算机被安装木马，部分员工使用非法软件，非法连接互联网等情况时有发生，无法对这些电脑进行定位，这些问题一旦发生，往往

4、故障排查的时间非常长。如果同时有多台计算机感染网络病毒或者进行非法操作，容易导致网络拥塞，甚至业务无法正常开展。建立终端安全管理体系的意义在于：解决大批量的计算机安全管理问题。具体来说，这些问题包括：?实现对法院信息系统内部所有的终端计算机信息进行汇总，包括基本信息、审计信息、报警信息等，批量管理终端计算机并提高安全性、降低日常维护工作量；?实现对法院信息系统内部所有的终端计算机的准入控制，防止外来电脑或违规的电脑接入法院信息系统内部网络中；?实现对法院信息系统内部所有的终端计算机进行补丁的自动下载、安装与汇总，最大程度减少病毒、木马攻击存在漏洞的计算机而导致的安全风险；?实现对法院信息系统内

5、部所有的移动存储设备的统一管理，防止部分人员通过US暇备将法院信息系统大量的机密文件传播出去，同时也极大减少了病毒、木马通过us暇备在网络中传播等情况的发生；?实现对法院信息系统内部所有的终端计算机进行终端安全管理与分析，包括比塞北慎曳苴警却缚KW（健屈HEUIMGVRVSCFTWAFtECO-,LTD.九京需中工M史同单夏小出景惠如祖It$D1O421MMBM6fl7VM.IKOfli才七后V71VffiWQT却WMWWWVRV.COMU4，!3内网安全管理系统设计方案北信部IVRV第一时间禁止非法外联行为的发生，实时监控异常流量，检测非法软件，禁用部分硬件设备等，将计算机与人结合起来管理，

6、防止非法操作导致发生不必要的安全事件。1.2, 应对策略从网络空间应用接入方式来来说，网络空间应用从传统的互联网应用接入发展到以移动/无线通信应用接入乃至移动互联网接入等多种方式。tLBVW而针对网络空间安全方面的问题，北信源公司基于多年的产品开发与超大规模成功部署与应用经验基础，组建了面向网络空间的终端安全管理产品体系。该产品体系主要面向重要网络、信息系统及基础设施的失泄密检测与防范，实现从终端、区域网到互联网的一体化检测、管理与防范。该体系从终端接入控制、终端行为管控制、终端数据防泄密，以及终端安全审计等方面，实现了多层次、全方位、立体化纵深失窃密检测与防范，形成了面向复杂网络空间的终端安

7、全管理一体化解决方案，有效地实现了网络空间下对终端计算机的安全管理体系。北节北修曲蛾许般竹有北合第BEUINGVRtfSOFTWARbCd.LTD.克京市中工朝史力X，中夏忖拄景惠度跖偈;010421404«»«71:100091将晓72圳WWWRVCCMCM内网安全管理系统设计方案2 .终端安全防护理念2.1. 安全理念针对目前法院信息系统网络中终端计算机面临的各种安全问题，作为终端安全管理市场的领导者，北信源公司特推出了面向网络空间的VRVSpecSEC终端安全管理体系。VRVSpecSEC终端安全管理体系以APPDR模型为依据，遵循国家和行业等级保护，基于安

8、全工程的思想，以独特的终端安全配置策略为核心，以终端安全风险测试与评估为依据，实现组件化可动态组合配置的终端安全管理。其核心理念如下图所示：VRVSpecSEC终端安全管理体系核心理念输安全产品法规符合性开发(Specification-basedProductsDevelopment)策略引导的终端安全配置(Policy-basedConfigureManagement)评估驱动的终端安全管理(Evaluation-drivenSecurityManagement)赛组件化终端安全管理体系(Component-basedPlug-in/outSecurity比事北值霞蛾帏&毋相M介海

9、BEUINGVRVSOFTWARECO.L1D电京市中工行史电反忖和里胞度强景.40403M蹲7KM.1D00B1H01082,1040(1WWWRVCQWCM内网安全管理系统设计方案北信部IVRVArchitecture2.2. 安全体系北信源VRVSpecSEC体系覆盖终端的资产安全管理、终端数据安全管理、终端行为安全管理、终端服务安全管理等多个方面，涉及管理计算机本身、计算机应用、计算机操作者、计算机使用、法院信息系统管理规范等多个方面，形成全方位、多层次、立体化终端安全管理。tLBVW本解决方案正是基于上述核心理念和安全体系的基础上而组建的基于终端各方面安全管理和控制的一体化解决方案。

10、北节北修曲蛾许般竹有北合第BEUINGVRtfSOFTWARbCd.LTD.克京市中工朝史力X，中夏忖拄景惠度跖偈;010421404«»«71:100091将晓72圳WWWRVCCMCM内网安全管理系统设计方案北信部IVRV3 .终端安全管理解决方案3.1. 终端安全管理建设目标(1)当终端接入时要落实安全保护技术措施，保障内部网络的运行安全和信息安全；(2)对已接入内部网络的终端计算机，要做好用户权限设定工作，不能开放其规定以外的操作权限。(3)发现有违规情形的，应当保留有关原始记录，并可直接了解到该违规信息及违规方式等。(4)网络管理人员能够利用该管理方式，

11、便捷的管理内网终端计算机，并能够利用该种方式对终端计算机现状一目了然。3.2. 终端安全管理方案设计原则方案设计遵循如下原则：(1)安全性原则：对性能影响小，与其它业务系统无冲突。(2)可靠性原则：在反复操作与长期实践之后依然能够保持高度的稳定性。(3)可扩展性原则：能够符合IT发展方向，并随业务增长的同时保持高度的可扩充性。(4)易用性原则：提供简单、友好界面，能够进行直观的操作，形成丰富的图形界面与报表。tLBVW(5)兼容性原则：能够与主流厂商的系统、软件、主机设备、安全设备、网络设备保持高度的兼容性。北节北修曲蛾许般竹有北合第BEUINGVRtfSOFTWARbCd.LTD.克京市中工

12、朝史力X，中夏忖拄景惠度跖偈;1:100091将晓72圳WWWRVCCMCM内网安全管理系统设计方案北信部IVRV3.3. 终端安全管理方案设计思路1、遵循IT服务标准随着信息技术的发展以及对信息技术依赖程度的提高，IT已成为许多业务流程必不可少的部分，甚至是某些业务流程赖以运作的基础。IT部门要承担更大的责任，即提高业务运作效率，降低业务流程的运作成本，遵循ITIL标准，协调IT服务部门内部运作，改善IT部门与业务部门之间的沟通，帮助法院信息系统对信息化系统的规划、研发、实施和运营进行有效管理的方法。IT服务管理将流程、人和技术三方面整合在一起来解决IT服务管理问题。并结合法院信息系统内部组

13、织结构、IT资源与管理流程等，对业务需求进行整体管理与服务。解决方案设计要采用IT服务管理的理念，按照ITIL最佳实践标准来设计。2、遵循ISO27001标准ISO27001作为信息系统安全管理标准，已经成为全球公认的安全管理最佳实践，成为全国大型机构在设计、管理信息系统安全时的实践指南。其中除了安全思路之外，给出了许多非常细致的安全管理指导规范。在ISO27001中有一个非常有名的安全模型，称为PDC较全模型。PDC岐全模型的核心思想是：信息系统的安全需求是不断变化的，要使得信息系统的安全能够满足业务需要，必须建立动态的“计划、设计和部署、监控评估、改进提高”管理方法，持续不断地改进信息系统

14、的安全性。北信源认为，终端安全管理，也将是一个持续、动态、不断改进的过程，北信源将提供统一的、集成化的平台和工具，帮助对其终端进行统一的安全控制、安全评估、安全审计及安全改进策略部署。3、遵循VRVSpecSE或全理念依据业界最佳安全实践和行业信息安全管理体系的建设流程，结合北信源VRVSpecSECK心安全理念，本方案的总体架构共分为“网络接入管理、补丁及软件分发管理、移动存储介质管理、桌面终端管理、终端安全审计”等安全管理比塞北慎曳蛾曾如批KW（健屈HEUIMGVRVSCFTWAFtECO-,LTD.九京需中工M史同单夏小出景惠如祖It$D1O421MMBM6fl7VM.IKOfli才七后

15、V71VtfiIdQT却必瞄WWWVRV.COMa48内网安全管理系统设计方案北信部iVRV组件，并通过统一、联动的安全管控与审计平台实现对不同层次架构的集中策略配置与管理，完成对网络终端的分级部署、统一管控，最终实现对内网终端全方位的控制管理，形成完整的终端安全管理体系。VRVSpecSEC终端特管理体系网络接入控制管理补丁及软件分誉理移动存储介质管理桌面终端安全管理终端安全审计管理北信源统一管校与策略平台CFDPSprver：方案设计思路Jt5JtlSJtWfi雅后屈HEUINGVRVSOFTWARECO.LID电窗市中工M史力X，中意时也拄景JRrUC度友号：Dia42«4O4

16、fl»K«T«M.1(X1091H010睫"收圳WWWRV.CQMCM内网安全管理系统设计方案北信部IVRV3.4. 终端安全管理解决方案实现本方案通过网络接入控制管理、补丁及软件分发管理、移动存储介质管理、桌面终端安全管理，以及终端安全审计管理等五大部分，并由集中统一的管控和策略平台，完成对上述安全管理组件的统一策略配置与下发、集中管理与审计，最终形成联动化的、集成化的、完整的终端安全体系建设。3.4.1. 网络接入管理设计实现. 网络接入管理概述通过网络接入控制能够完成对未知终端、授权终端的安全准入管理与控制。该系统能够完成基于802.

17、1x协议的准入控制技术的安全准入管理控制，为内网终端的安全接入控制提供了一道绿色的保护屏障。. 网络接入管理方案及思路tLBVW系统能够确保终端电脑只有在通过认证，即安装终端安全管理组件，并符合必要的安全策略的前提下才能被允许接入内部网络，否则会强制终端电脑跳转到访客隔离区（guest区），完成认证后还需要完成安检，即终端管理软件的下载和安装，且符合既定安全策略要求时才可准许接入内部网络。具体接入流程如下：北节北修曲蛾许般竹有北合第BEUINGVRtfSOFTWARbCd.LTD.克京市中工朝史力X，中夏忖拄景惠度跖偈;1:100091将晓72圳WWWRVCCMCM10内网安全管

18、理系统设计方案理中心（二级）北信源补理中心（二级）北信源补网络接入控制管理系统流程图自动测试组（真实环境）补丁自动识别客户端策略客户补丁查询客户端以上过程完全满足网络准入控制的目的和意义：能确保合法的、健康的终端接入内部网络访问被授权的资源。通过网络准入控制技术，确保接入网络的电脑终端符合预定义要求，必要的安全策略功能包括：1、802.1x接入认证管理802.1x接入认证管理具有对接入策略和安检策略整体的配置和管理功能。接入是通过用户名密码的认证方式，对终端接入网络进行限制。对认证成功的终端进行安全健康检测。比事匕僮>蛾帏的也/1«赞*BLJJIMGVRVSOFTWARECO.

19、LID克京市中工M史CM，单戛忖M慢啜康度亚鼠心蹲T«M.1DOOB1特中。眼7收加WWWVRV.COMCM11内网安全管理系统设计方案802.1X接入认证2、未注册终端接入访问区域限制（vlan限制）未注册终端会因认证不成功进入guestVlan,在guestVlan中终端只可以与服务器通信只有在终端注册成功后方可以通过认证。3、未安装杀毒软件等必备软件自动安装下载管理针对终端计算机安装及运行杀毒软件情况，管理员可以设置安全策略检查终端用户是否正常启动、运行防病毒软件，并且强制检查防病毒软件的版本和病毒库版本，确保所有终端版本必须满足安检的规定方可接入内部网络。如有违规，即刻跳转到

20、修复区或者直接断开终端网络连接；针对终端计算机安装的必备软件情况，管理员可以设置可控软件名单，检查必备软件的安装运行情况，如有违规，即刻跳转到修复区或者直接断开终端网络连接；在网络中专门划分出修复区域，防病毒软件服务器放置在网络修复区中。终端计算机根据安全策略要求安装及升级杀毒软件。比亨馥蛾帏谷世育H登海HEUIMGVRVSOFTWARECO.L1D*京密中工时史CM，单戛构M慢啜康度；鼠心D1O42«4O4eM«7100091HQ100214140(WWWRVCQWCM12北信部IVRV内网安全管理系统设计方案杀毒软件检测4、未打补丁终端接入限制通过北信源补丁索引检测终端

21、用户是否安装系统补丁，检测注册终端未打或漏打补丁时，将会提示终端计算机有哪些需要安装的补丁并且会自动弹出下载的补丁的WEBJ面，如若不满足补丁预定义策略，即刻跳转到修复区或者直接断开终端网络连接。在网络中专门划分出修复区域，系统补丁文件服务器放置在网络隔离区中。根据北信源补丁索引要求升级操作系统软件补丁。北聿北修士斌帏JB绯有史公屈BEUIMGVRtfSCFTWARtCO.LTD.克寞布中工行史CM，单苴时14检啜度；404gg蹲TVM.100091将晓隅WWWffiVCCMCMR信*WV13北信躺VRV内网安全管理系统设计方案«口EM；餐上以m-十二4«»送正M

22、SA；"丁勺*部认it*«*»!*：口曰畀赤齿E尸，晔跑；7谢3田，盯下TtniJln士工网GEH.=E/田J/H皿£*i®*-riiii-ii>-2Ji：3门i：柳TW”EHWiWNK-W£|/曲时/抬JI?DKt3PIno?trflAri#h轲MLBD船理8后tlfP*寸Bfi-EUM'C'MiiJiMW*G主如BMU口爵京至EDMBStuntB-DDET直4<im*sw(trrjMiw:曹千nfGSM-am4/"EMEilN!JBZM.ltIJIMjIFTIHlajMIijai-II8电外.

23、iti.m.匚*ehlt修灯秀守弄*升-B«各市苜尸上叫*.L»*丁号pT9>I|IWEIBWTIHHTFITTJ.II，JHI|ffT正、仃.一工互tiEdJ口曰一金£忙MH/力:F.n-rREh切vrELSH»Ai=£mETnwifWicr?%£>»£r*_M13MMtoi.mrl补丁检测5、运行不可信进程、服务、注册表终端接入限制不可信进程、服务、注册表是针对可信进程、服务、注册表进行判断的，通过自定义设置可信进程、服务、注册表来判断终端是否允许接入到工作区。对于终端计算机没有运行可信进程、服务、

24、注册表的视为不可信终端，即运行了不可信进程、服务、注册表，并对终端接入进行限制一电信5wv进程、服务、注册表检测比事匕僧说蚊帏&毋相M兮号BELIINGVRVSOFTWARECO.LID电京市中工时史ex，电且忖料区地度*tt»mzuows陋VM.loooai特I中0睦I*物制WWWVRVCCMCM14内网安全管理系统设计方案北信部IVRV6、自定义终端安全接入必须的桌面运行安全环境可以结合需求自定义终端安全策略，也可以按照现实环境的需要个性化搭配各个安全检查策略组合，已达到最佳的桌面安全管理效果。3.4.2, 补丁及软件自动分发管理设计实现, 补丁及软件自动分

25、发管理概述补丁及软件自动分发管理能够自动识别终端计算机操作系统类型，并根据需求自动下载所需补丁，自动安装并提示。系统向指定终端计算机（用户组）分发文件或安装软件，分发时可提供软件的运行参数和必要的运行控制。该管理体系可减轻网络管理人员的工作负担，软件分发时可报告软件安装的状态，无论软件正确安装与否，管理员均可及时了解情况。, 补丁及软件自动分发管理方案及思路tLBVW补丁及软件自动分发管理支持推、拉两种方式自动下载补丁。整个补丁管理运行平台构架是：通过北信源外网补丁下载服务器及时从补丁厂商网站获取最新补丁；补丁安全测试后，通过补丁分发管理中心服务器对网络用户进行分发安装；补丁安装

26、支持自动和手动两种方式。北节北修曲蛾许般竹有北合第BEUINGVRtfSOFTWARbCd.LTD.克京市中工朝史力单夏忖门拄景惠度跖偈:Dia4214C4flK«71:100091将晓72圳WWWRVCCMCM15内网安全管理系统设计方案北信源补丁中心（一级）动态下载转发代理报表中心自动测试组（真实环境）客尸端补丁自动识别客户端策略客户补丁查询补丁分发管理体系网络应用对象：连通互联网的网络：直接通过补丁下载服务器将补丁下载至补丁分发服务器；物理隔离网络：在互联网连通网络上安装补丁下载服务器模块，通过补丁下载增量分离工具，区分内网已导入和未导入的补丁，将最新补丁导入到内网补丁分发服务

27、器。补丁及软件自动分发管理包括：补丁下载、补丁分析、补丁策略制订、补丁文件分发、终端计算机补丁漏洞检测、补丁安全性测试、补丁分发控制、普通文件自动分发等，包括功能如下：1 .终端计算机漏洞自动侦测*喈5wv终端计算机补丁自检测，在内网中建立补丁检测网站，终端计算机用户访问网站后，Web网页自动检测显示客户段补丁安装信息，用户可进行补丁下载安装；管理员还可以在管理控制台上远程检测终端计算机补丁安装状况。比亨馥蛾帏JB继育收窖司HEUIMGVRVSOFTWARECO.L1D克京市中工V史比X，电反忖M检啜康度；tJLD104214C4flBJK«TVM.100091特眼7收圳WWWRVC

28、OMCM16北信部iVRV内网安全管理系统设计方案补丁自动检测2 .补丁下载增量式补丁自动分离技术在外网分离出已安装、未安装补丁，分类导入系统补丁库，仅对内网的补丁进行“增量式”升级，以减少拷贝工作量；互联网补丁自动实时探测，支持补丁导出前病毒过滤。3 .补丁分析自动建立补丁库，支持补丁库信息查询。针对下载的补丁进行归类存放,按照不同操作系统、补丁编号、补丁发布时间、补丁风险等级、补丁公告等进行归类，帮助管理人员快速识别补丁。4 .补丁策略制订（分发）支持用户自定义补丁策略并自由配置分发，基于终端计算机网络IP范围、操作系统种类、补丁类别（系统补丁、IE补丁、应用程序补丁以及网管自定义补丁类等

29、）等制订策略，发送至终端计算机后统一按策略执行应用。北京JtltJtWfi收窖司BLJJIMGVRVSOFTWARECO.LTO.克寞市中工行史CM，电夏时也慢啜JRF0C度亚庭居：DW42«4O4flKfi7100091特晓M收圳WWWRVCOMCM一电信4iWV17北信部IVRV内网安全管理系统设计方案补丁分发策略5 .补丁自动修复在指定时间、指定网络范围内以不同方式（如推、拉）分发补丁，或者根据脚本策略统一控制终端计算机下载补丁，当监测到有终端计算机未打补丁时，可对漏打补丁终端计算机进行推送补丁。补丁分发支持流量和连接数控制，以免占用太大带宽，影响网络正常工作。6 .补丁下载转

30、发代理提供补丁自动代理转发功能，提高补丁下发效率，减少网络带宽的占用率，节省网络资源。7 .补丁安全性测试补丁分发前闭环自动测试，对下载的补丁进行自动测试（建立测试网络组），测试完成后将其存入补丁库，以提高打补丁的成功性、安全性、可靠性。8 .普通文件分发及文件自动执行比亨北值馥WfiH窖NBEUIMGVRVSOFTWARECO.LID克京市中工导史CM，单夏忖也慢啜犬鼻。度kttt意7100091一电信aswv18特Q10睫|40*啊WWW/RVCOMCM北信部iVRV内网安全管理系统设计方案可以提供分发普通文件也可以分发可执行文件及MSI等形式的压缩文件并自动执行文件分发策略3.4.3,移

31、动存储介质管理设计实现,移动存储介质管理概述该设计针对内网移动存储介质管理的特点进行，以移动数据生命周期为主导，紧扣其存储和交换的安全需求，针对移动数据全生命周期各个环节潜在的安全隐患，综合运用各种安全技术和手段，进行有效全程防护的安全产品。设计时考虑到了区域访问控制，信息保密、文件走查审计等方面，确保法院信息系统内网的信息不因使用移动存储而造成威胁，做到事前有保护，事后可追查，提供安全、简单易用的数据交换安全解决方案。该设计以数据为中心，用户作为数据的使用者，主机作为数据的存储者，移动存储介质作为数据的迁移者，在管理范围内均赋予唯一的标识，三者进行相互比烹光僧馥Wfi收窖aBE

32、LJIMGVRVSOFTWARECO.LTD.克京市中工M史力M,中期时也及圣康RlIC度；跖&D4O42«4O4eK«7KM.IDQOBt19内网安全管理系统设计方案北信躺VRV认证。只有经认证和授权成功后，才保证合法的用户在合法的机器上访问合法存储介质上的数据，并形成详尽的日志供审计。移动数据安全访问模型3.4.32移动存储介质管理方案及思路体系设计对移动存储介质安全管理范围应该包括U盘、移动硬盘、MP3手机、智能卡设备等移动存储介质，以及打印机等外设，体系设计与利用移动存储设备或其他方式进行数据交换的相关终端计算机接口管理，包括光驱、软驱、USB移动存储接口、

33、US晖部接口、打印机接口、红外设及蓝牙设备等。因此，体系技术设计主要包括5类的US暇备控制问题，包括存储类(MassStorage)>打印机类(PrinterClass)、智能卡类(SmartCardClass)、图像类(ImagingClass)>HID设备类等，并通过相关的技术手段提供统一的管理平台及适用于各类存储介质的应用管理策略，确保提供完整有效的移动存储环境和移动存储设备的安全使用方案。移动存储设备接入管理具体功能如下：1 .移动存储设备(分设备、网段等的)接入认证管理，保障指定设备读写指定移动存储设备的访问控制管理；2 .移动存储数据读写控制管理；3 .移动存储设备标签

34、认证管理；4 .移动存储设备分区(普通区和加密区)管理；比孽北偏敏曾注继首建翌屈BEUINGVRVSCFTWARECO.,LTO.4-lUi有京需中工M史ax，单戛忖和里地度电*况蹲T*JLIsSiVrW特Ph01*睫WWWVRV.COMCM20内网安全管理系统设计方案分区格式化5 .移动存储设备的加密管理，防止加密区的敏感信息外泄；6 .移动存储设备接入行为审计；7 .移动存储设备数据交换行为审计管理，比如设定文件后缀名等条件；8 .设计对文件操作详细审计记录：包括文件的创建、复制、删除、修改和重命名等操作，（包括文件名、审计描述、时间、用户名、计算机IP地址和其他必要的信息）；姓陪SiWV

35、9 .设计对移动存储介质的插入和拔出动作的详细记录，具体包括事件类型、移动存储介质的名称、用户、计算机IP地址、事件时间；北聿北修也敏帏心竹苕皿省第BEUIMGVRWSOFTWARE:Cd.LID.电京市中工M史CM，单夏忖修慢啜康度匿号：D1O4214O4eK«TVM.1DOOB1H«01082,4040(1WWWRVCQMCM21内网安全管理系统设计方案移动存储审计设计对终端计算机大量的文件拷贝行为可自主设定阈值，超过阈值的不进行审计。如拷贝超过1000个文件不进行审计（这主要是因为这样的大量拷贝行为一般不会是违规的行为）；移动存储标签制作记录：对于在网络内使用的移动存

36、储设备（如u盘等）设置一个标签，不同管理员可以获得不同的标签类型分配。当U盘接入到网络终端时，能够自动识别标签，如果识别通过，则该U盘可以使用，否则不可使用。且信iwvw该设计运用商用密码技术，实现商用密码算法的加密、解密和认证等功能的技术，通过密码算法编程技术、密码算法芯片或加密卡等以实现移动信息保护、访问控制、审计监控等，以满足移动介质标记认证管理的功能需求。比亨JtlSAWfi收段屈HEUIMGVRVSOFTWARECO.LID克京市中工M史单意时也拄景惠KUC蹙，E月巨唐-«M.IDQOBt将中眼7收加WWWVRVCCMCM22北陪躺VRV内网安全管理系统设计方案移动存储管理

37、策略3.4.4, 桌面终端管理设计实现, 桌面终端管理概述网络终端安全是一个综合的系统问题，涉及管理计算机本身、计算机应用、计算机操作、计算机使用法院信息系统管理规范等多个方面。因此体系设计需采用C/S与B/S混合设计模式，并支持分布式部署，具有模块化定制，支持标准API、无缝功能扩展与升级等优点。设计应遵循网络防护与断点防护并重理念，对网络安全管理人员在网络管理、终端管理过程中所面临的种种问题提供解决方案，实现内部网络终端的可控管理。北信源桌面终端管理体系强化了对网络计算机终端状态、行为以及事件的管理，并针对基本管理、资产管理、安全管理、运维管理、桌面管理、审计管理等提供的模块

38、化的防护功能，并能够同其它安全设备进行安全集成和报警联动。北京比值E飘许JB世朝就轻*BEU1NGVRVSOFTWARECO.L1D克京市中工M史单夏忖M检出度强值.皿IDQOBt将Hi中0睫NOMEWWW/RVCOMCM23真而管理资产首审计笞a运维管理安全苣S基本首H内网安全管理系统设计方案北信部IVRV3.4.42桌面终端管理方案及思路桌面终端管理需从使用人的基本信息开始记录，同时包括IP地址、MAC地北信&WV址、软硬件资产、进程信息、软件信息、密码信息、杀毒软件、计算机资源、流量信息等方面进行统计，形成立体式数据库，当发生信息改变或资源报警时，能够第一时间通知管理人员，便于排

39、查错误，并能够提供给管理人员相应的应急措施与手段，帮助管理人员迅速解决问题。桌面终端管理具体功能还应包括以下功北聿北憎金敏帏用绣有班段记BEUIMGSUFTWARbCd.LTD.克京甯中工M史中夏忖M慢地度；kA.VM.1D00B1tfiI01。睚咖1WWkVVRV.CCMCM24内网安全管理系统设计方案北亿需ivav口MStit+rW口工ruum,|-t:M计f3D,4年置舞DB!(hUrHHD钥”正更>«311«*|1.-M”*口Tt!TW9&TflJlIWdIT-vf9-»->B'网H：.Ti：l'用门量|rw、，力

40、65;，书口、，：nF打M,+-f7.W0*，MWHIT>*K4且4W*的一史ek-EZrE£>3'F*-MW*E>ff±t.BWrMMaDjiTMiT-J.W,Tfif：W*fMSilfiMM.I»«-Wtir«>KZ4flMUi.liMji!-mqUMW-A1J*F7MUIA4«1.,IQ工州办金.匕»制地，3易”-*单悔E“；c="硒.:h眄7憧Ui加卜干菩厘EN，HE!麻行崎什4体解Mgg；«-fl-awm-MwanirSHWfcA.h*用"立工用/科问.

41、ffiW-Wr丁五.的.H*WBW7&行.f端期.国*而劭0"手门.1WfiK-U*.MlZ*O：-己三现皿I，三Itj工供口MNHJFW!IW；Xtii!l*rMUR：-工/工4口it里工Ikt3H1rlMT,>TTUPjS+=nXl*Hi曰底肛伸ET田FWlW五flF工W包府*天曲中3次.母:曲i刊昉E附1到再当真口代在厄立*3咫*丁5：嗨%才丈的：47对于"riMMEeiiHfE曰点%市51客*立言聃崎，1*HI*i»i7W«l犯宜淳七恍：任M氏企母/舌件HIEX血:女""FHhBX3n-rrKF*imUfinfi

42、l:11(1Rlii-UFaWTWFfltrilA?,*rUKL也士9二一配*2：+犀!tL吗!£kE9干工如WXlJIK-Wi=EMe1WEtfH-Z：S>T*l2手3人f!a.EMWflWFmCTWm-H朋中WSaenMWWtffiWWWM:中姓1卜丁."RhBMfccIMKflM«"王应用界面1 .终端注册管理该设计采用C/S和B/S模式混合管理方式，在被管理的桌面计算机上安装VRVED苗户端程序。在安装客户端程序需要填写当前计算机使用人的个人相关信息，如使用人、法院信息系统、部门、联系电话、邮件、所在地、计算机类型等，进行实名化的管理便于快

43、速定位，无论是违规，还是网络安全事件发生时都可以快速定位到事件源。此信LVTW个人信息填写北聿匕上苴帏屐缙有皿公品BEUIMGVR1/SCFTWARECC1.LTD.Mtti克京市中工借史CM，巾苴时以及景康犬鼻。度*跖号：MQ与1如情3M蹲TKM.1D0081HQ108;<0*(111WWWfflV.COWCM25内网安全管理系统设计方案北信躺VRV2 .IP和MAO定管理对固定IP网络的MAC口IP地址进行绑定管理，当探测到IP变化后根据策略设置恢复其原有IP地址，或者阻断其联网，同时禁止修改网关、禁用冗余网卡。IP、MAC绑定策略3 .禁止修改网关、禁用冗余网卡管理支持禁止修改网关

44、、禁用冗余网卡等功能。4 .硬件资产管理JL信SSWV自动搜集包括CPU内存、硬盘分区总和、设备标识的大小和其他详细信息以及其他如主板、光驱、软驱、显卡、键盘、鼠标、监视器、红外设备、键盘等所有的硬件信息。北京止值«VHEUIMGVRVSOFTWARECO.LID克京需中耳忖大辑X，中夏时也及景TdlC度庭号：VM.IDOOBI特眼78圳WWWCOMCM26内网安全管理系统设计方案1阵6产-卜”gu代.LiM.erneltXplui'D叫第区磔;北：那IS*iHtU：:IK.L0D.CI.3LMMhNMT电税：UULQl?"5bHJO2酝宓岐任后总巽呈二:匚uron

45、工jCTI；工.鹤匕JLi因存三妲二:血mg分区节制追寻寻安主¥京占伊A!448HTSETTHIttyt*,"1-十，：dtF¥匚HTnrniaB-2-pTHca到£他却由G-WSS-S5EX七在蚤工整|1遇；彳由“由nOOU?后*Ht丁jlLA*JU=J'CQCTSiBIP5“叮也:L5：U3-Lip1.(BOOtIOSMXQREWCT15:0335UN:显球举京必占EUkLCkrDr«TroTSP健髭幅唯LJ1/1CE键电Hlcr*£?ft自然ts/z星基MILh反urb口wdDtvice监理至即乱即用房粗理品有前百言死针

46、行将Tj/SC«rip.iLlb±4n<1l£4次标的修益Hict。“住TS住Pw，E证配普VIA.IItnH.1btlk?batEEk.TE.+d怔克河啾MNN跖侨TfI:二占科，OO00.1203/21/47|EE.硬件资产管理5 .软件资产管理自动发现识别客户端安装的所有软件信息（名称、版本、安装时间、发现时间等），将相关数据入库，检测客户端运行软件信息，供管理员在Web空制台查询。北京光信A现件思世育收赞BELIINGVRVSOFTWARECO.L1D电京市中工M史单意时也检塞度跖&蹲7:100091HQ10晓圳WWWRV.CCMCM27内网

47、安全管理系统设计方案北信乐IVRV3|牧科皆产1巾看|量讨，心?的w,TJQJWVIT戛i更新fJCHJtil-LIH)£U£LM21znces-s?1交08主印YIkBJ/ZII通更新1£LaU2220415:E-36与1H3ZBW3KF实*KM(KKMfliX?此1Kti日m1.5匚也注定YC3JWSIf宏卞亭新<KNiT»q)1£O»X?瓯的噌E第>3打制n:if安箱MgmLO»<23过比1与TT1匕国箕IDilXY；U星串i哂kTMjsLWT'jiS第55-3T1工国第毋tlXUM：li更胤

48、iXL-yjJJILLUabJJMHJJ2iILUb上，3Ufqli里端X胎/优31avpjs以行p-2i1匚氏茂，7T此了七n串站uiaisT”1affT12j9S0®-5-27IS:W35VOTQIJ甲笥QM4St?lL田升息传S06K-5-2T1E：S%n菅新m&MA'Tj1加El值?nr»-?Tsne第刖rmwnn谏"网y才州M32O0W-：TISWJfWTWJ?-nftllM.ij0MMM3)iMrTi州M+VIF优茂，检me廿*n电C。专-演出号21IJ佛法63vmAfi压死玄呻归3国-n®-：2Ti=re及64VTEWEK1

49、尸匚口M5一arosHTi岳国的器品M白舌3l¥：MQwnr中wt”图禹希丽的19135EW1BOT03时5吨TIS'06击61牙»>_毗相1山仙LijfTltt?.D1D£t£HKMB*«rii：oes>施上1超:bLLU'Jl)22n闫回日HKB4-971史也主千，KJ去f_L士3.?2D-B-5-2T1.5-DE主*ra昵件2DLH-5-2TK-DE壬软件资产管理6 .软、硬件设备信息变更管理报警未注册设备、注册程序卸载行为，实时检测硬件设备变化情况（如设备硬件变化、网络地址更改、US暇备接入等）。7 .进程保

50、护管理一止信1QWV对重要的进程进行守护，防止由于意外或人为原因造成重要进程中断。址亨JtltJt软帏&也相M窖aBEUIMGVRVSOFTWARECO.LTD.克京布中工M史比单反忖M检出康太鼻。度月也唐川旧”40403M蹲TVM.100091HQ1083'4440(1WWWRVCCMCM28北信如VRV内网安全管理系统设计方案当蓟用户一鼻：4里辛亭城附同:MDSTT；1B沾叩亶千安新症码|中霞噩:脏0金:千I41里是里出M国片iTlftiii青豆U岫事改，D眸博金卷郎甘芮忖砰3.酷布申ft时？3单府主靠目力»0盘的口也花工刷电算B=F?主smK0HTMKEBWTW

51、lrE捱3小口衽造嗯,野配芯&行学曾寿5什：-irg1t»!«；）Bf碎等H”DD近饵号悯垢苜口共田,堂修市量择基¥曷弟吗&Pf即事:片外虐盟名何典型用事Jrwfhs*进程保护管理8 .桌面密码权限管理对终端的密码管理权限变化及使用状况（包括密码长度、安全性、弱口令等方面）进行审计检查及报警，同时对不符合要求的终端进行提示或强制修改等处置，达到防止病毒及黑客入侵的目的终端密码管理北事梵惜出默许JS继有用萤菽BEUINGVRVSOFTWARECO.,LTO.正坦，T,市小1M交更乂导中国HU拯般瞋工口匚徵邛区电唐网口后髀*3息G配用了rttt-WOf

52、ll特010AS'事3相WWWVRV.COMCM29北仔部iVRV内网安全管理系统设计方案终端权限管理9 .终端统一防火墙管理员在Web空制台对终端进行统一的防火墙设置，对网络IP及协议访问进行限制，在网络内建立虚拟的终端隔离区。另外对于大型网络，网络客户端由于用户使用水平的差别，会出现用户卸载甚至退出统一安装的防病毒软件的情况，也会出现有个别用户被遗漏，未安装防病毒软件的情况。管理员可利用Web空制台对终端所安装的杀毒软件情况进行监控和管理，并能够对终端杀毒软件实施远程操作（病毒查杀、升级、软件安装等）。还可统一监控网络内的防病毒软件（国内主流厂商的均可）安装情况和使用状态，了解网络

53、中的病毒软件安装状况，必要时可通过此设计强制为客户端安装防病毒程序，如果需要，也可监控终端软件的安装情况，并进行相应的管理（如安装杀毒软件软件，强行升级病毒库、自动分发并自动执行病毒专杀工具等）。比亨比便上跌帏段也相M咎屈BEUIMGVRVSOFTWARECO.LiD加%电京需中工M史MM乌电工时却境地度kA.蹲TVM.100091HaQ10睦|48圳WWWRV.CQMCM30内网安全管理系统设计方案终端防火墙管理10 .终端杀毒软件管理发并自动执行病毒专杀工具等）0终端杀毒软件管理比？比值星纨帏毋育附合国BEUIMGVRWSCFTWARECQ.LTD.克京市中工朝史比M/单夏时口修盅靠度跖偈

54、:蹲7100091特眼72加WWWVRV.COMCMilfsiiVW31可统一审计网络内终端的防病毒软件（主流厂商的均可）安装和使用情况，必要时可强制为客户端安装防病毒程序。如果需要，也可监控终端防病毒软件的安装情况，并进行相应的管理（如安装杀毒软件软件，强行升级病毒库、自动分内网安全管理系统设计方案11 .终端在线/离线策略管理提供针对不同的网络接入情况，设定终端的在线、离线策略。当终端处于不同的网络中，可以实现不同的执行策略。12 .运行资源监控在Web空制台对终端的CPU内存、硬盘的资源占用率和剩余空间进行监控,设定危险等级报警阀门。终端运行资源管理13 .流量管理和控制蠕虫病毒和BT下

55、载等行为在很多情况下会严重占用网络带宽，造成网络的拥塞甚至瘫痪，对此可利用流量进行管理与监控。主要功能：流量采样阈值设定：用户自主设定采样阈值，当流量（含出、入或总流量）超过一定限度并持续一定时间后，进行有关信息上报，防止上报数据过多给网络带来负担。比享止值«帏香继育HBEIJINGVRVSOFTWARECO.LID电京需中工导大VtM，中反忖M慢啜AtiJdlC度强40403M蹲T100091特睦1收询WWWVRVCCMCM32it信3alyavI内网安全管理系统设计方案上报的当前流量进行汇总，对当前的流量进行时实排序，以便网络管理人员进行快速分析是否是网络安全事故。对网络客户端的历史流量进行统计和排序，并可生成报表对并发连接数设定阈值并进行采样。对网络扫描的可疑行为进行阈值设定和报警。对客户端大量发包的可疑行为进行阈值设定和报警。对具备可疑行为的客户端进行报警上报、自动阻断、客户端提示等管理设定网络客户端流量上限阈值，对超过的进行报警上报、自动阻断、客户端提示等管理。终端流量采样管理14 .流量异常监控在Web空制台对终端的网络流入、流出和总流量进行监控和管理。并能够对产生总流量过大、分时段瞬时流量过大的进程进行统计，辅助分析产生流量过大的原因。北聿北慎止裳帏心维百附咎屈BEUIMGVRtf