终端安全管理之道-终端安全体系建设方案

标题终端平安管理之“道〞------北信源终端平安管理体系建设方案1平安体系建设的依据关于北信源平安管理现状及趋势分析平安体系建设思路与对策234主题我们的优势5关于北信源关于北信源持续领先的市场份额2006—2007中国终端平安管理及审计市场占有率最高产品2007—2021中国终端平安管理及审计市场占有率最高产品2021-2021中国终端平安管理审计及移动存储介质管理市场占有率最高产品2021-2021中国终端平安管理审计及移动存储介质管理市场占有率最高产品平安管理现状及趋势分析Intranet保护网络与基础设施的安全保护区域边界的安全保护计算环境的安全操作系统数据库系统终端系统边界进出数据流的有效控制与监视保护网络根底设施保护区域边界保护内部计算环境信息平安趋势分析终端管理中普遍存在的问题终端管理中普遍存在的问题陌生计算机违规接入网络重要文档的任意流转移动存储介质造成的病毒传播和信息泄露非法外联一机两用系统补丁的及时统一修补违规操作行为的监控异常流量导致网络阻塞IT资产信息汇总密码认证证书认证双因素认证主机防病毒文档加密管理存储介质管理介质信息消除敏感信息检查资产管理外设管理补丁管理非法外联OS和文件管理桌面终端安全管理终端身份认证数据安全管理终端平安趋势分析平安体系建设的依据平安体系建设的依据平安体系建设的依据平安体系建设的依据平安体系建设的依据平安体系建设思路与对策平安体系设计与建设的分层模型行为管控桌面平安平安审计数据平安终端平安准入管理未知终端准入控制终端用户身份认证平安准入控制终端行为管理桌面平安管理软件与进程管理外设管理加固管理流量管理非法外联数据平安管理平安管理终端平安接口标准终端平安资产管理终端平安风险评估终端平安应急响应终端平安事件取证聊天行为上网行为网络应用P2P下载OS操作文件操作文档加密移动介质管理数据销毁敏感信息检查备份与恢复综合平安审计管理即时通讯上网访问邮件审计OS及文件操作数据库审计平安准入安全准入控制技术VRV终端平安管理体系VRV终端平安运维体系可信网络认证技术桌面终端安全技术信息安全管理制度管理制度的落实信息平安管理组织移动存储/文档安全技术日常运维制度日常运维流程安全应急响应行业用户最正确平安实践终端云安全技术企业用户最正确平安实践平安体系设计与建设的支撑模型

行为安全管控设计与实现桌面安全管理设计与实现数据安全管理设计与实现安全审计管理设计与实现安全准入控制设计与实现终端平安管理体系建设未知终端准入控制终端用户认证管理终端安全准入控制平安体系建设的对策采用用户名、密码认证的方式，实现计算机入网的身份认证和平安检测，与市场主流交换机完全兼容。1.802.1X接入认证系统专有硬件产品，置于网络节点，进行HTTP、DNS的重定向，实现客户端安装检测，从而达到未注册终端无法使用网络。2.北信源接入认证网关分布式ARP干扰，不同VLAN和网段均可实现。3.ARP干扰隔离技术专有技术，采用私有协议，能够实现未注册终端强制隔离出网。4.虚拟强制隔离准入技术实现对未知终端的隔离与控制；实现对授权终端基于防病毒策略的平安检查准入控制；实现对授权终端基于补丁策略的平安检查准入控制；实现终端通过有线、无线多种接入方式的准入控制；实现终端在异地漫游状态下的准入控制；对非授权设备私自联到内部网络的行为进行检查，并阻断。?等级保护－边界完整性检查?北信源网络准入控制管理系统实现对终端用户的双因素身份认证；实现登录key与OS用户的权限绑定；实现登录key授权权限的的划分管理；实现用户登录行为的平安审计；北信源终端平安登录与监控审计系统

行为安全管控设计思路与实现桌面安全管理设计思路与实现数据安全管理设计思路与实现安全审计管理设计思路与实现安全准入控制设计思路与实现终端平安管理体系建设聊天行为OS操作行为文件操作上网行为P2P下载网络应用使用平安体系建设的对策网络行为管控网络带宽管理访问控制管理网址过滤管理外发内容内容审计身份认证准入管理网络应用监控网络状态监控北信源上网行为管理系统

行为安全管控设计思路与实现桌面安全管理设计思路与实现数据安全管理设计思路与实现安全审计管理设计思路与实现安全准入控制设计思路与实现终端平安管理体系建设资产管理

异常监控违规外联外设管理终端加固平安体系建设的对策补丁及文件分发

终端

IP绑

定管理信息资产管理违规外联监控进程运行管理软件安装管理用户密码管理终端消息通知外设端口控制远程协助管理主机运维管理实现内网信息资产的统计与管理；实现终端电脑外设接口的控制与管理实现终端OS、应用系统的补丁分发与自动安装管理；实现对终端异常进程、异常流量等的监控；实现对终端非法外联的控制；编制与信息系统相关的资产清单，包括资产责任部门、重要程度和所处位置等内容。?等级保护－资产管理?对内部网络用户私自联到外部网络的行为进行检查，并阻断。?等级保护－边界完整性检查?北信源内网平安管理系统

行为安全管控设计思路与实现桌面安全管理设计思路与实现数据安全管理设计思路与实现安全审计管理设计思路与实现安全准入控制设计思路与实现终端平安管理体系建设移动介质管理

数据备份与恢复数据平安销毁敏感信息检查

文档信息加密平安体系建设的对策采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据传输、存储保密性；?等级保护－数据平安?文档透明加密应用指纹识别文档水印显示用户权限申请文档外发文档操作授权自定义密钥密级管理离网管理实现文档透明加密；实现文档操作授权；实现文档外发平安管理；邮件透明加密北信源电子文档平安管理系统策略标签认证扇区加密USB接口控制数据区权限控制分组管理控制文件过滤控制灾难恢复其他USB设备控制信息审计要根据所承载数据和软件的重要程度对介质进行分类和标识管理。?等级保护－介质管理?实现移动存储设备的使用权限控制；实现移动存储设备读写权限控制；实现移动存储设备识别管理。北信源移动存储介质管理系统未经专业销密，不得将涉密计算机和涉密移动存储介质淘汰处理。?计算机保密规定?对需要送出维修或销毁的介质，首先去除其中的敏感数据，防止信息的非法泄漏。?等级保护－介质管理?00擦除1次。FF擦除1次。00、FF各10次，随机擦除数十次，00、FF各10次。00擦除1次，FF擦除1次,00擦除1次。实现存储介质数据信息的永久擦除；实现存储介质数据信息不可恢复；符合国家保密局BMB21-2007标准的要求；北信源存储介质信息消除系统要根据所承载数据和软件的重要程度对介质进行分类和标识管理。?等级保护－介质管理?实现用户权限控制，未授权用户无法使用刻录软件；实现刻录软件权限控制，其他刻录软件无法刻录；实现数据光盘的加密刻录，只有使用密钥才可正常读取；实现刻录行为的平安审计，包括刻录计算机IP、MAC、刻录时间、源文件绝对路径、目的文件绝对路径等信息；北信源光盘刻录监控与审计系统实现计算机应用信息、常规平安检查、深度平安检查三级架构检查；实现多种违规操作行为的检查取证，如重装系统、格式化硬盘等；适合多种运行环境，如硬盘安装、光盘和U盘单独运行等；上网信息检查已删除敏感信息检查U盘使用信息检查根本信息检查：系统进程、效劳和端口、上网 记录、连接状态、已装软件等常规平安检查：违规上网、敏感信息、U盘使 用记录、系统账户平安等深度平安检查：扇区检查、已删文件检查等北信源计算机信息系统保密检查工具

行为安全管控设计思路与实现桌面安全管理设计思路与实现数据安全管理设计思路与实现安全审计管理设计思路与实现安全准入控制设计思路与实现终端平安管理体系建设邮件审计

上网行为审计即时通讯审计

OS及文件操作审计文件输出审计平安体系建设的对策要求对主机系统的操作行为进行审计。对应用系统的操作行为进行审计。?等级保护－平安审计?实现终端用户对文件的操作行为审计；实现终端用户对OS的操作行为审计；实现终端用户对外设的操作行为审计；实现与上网行为管理系统的联动，完成终端用户上网访问行为的审计；完成终端用户邮件发送、外网发贴、bbs论坛内容的审计；完成终端用户即时通信行为的审计；北信源主机监控审计系统互联网专网外联单位总部分支机构路由器移动办公ERP系统MES系统上网行为管理系统终端终端数据库无线区域审计中心平安准入控制设计实现BT下载、上网、游戏等行为控制设计与实现数据平安管理设计实现综合平安审计设计与实现数据平安管理设计实现统一管理和联动平台终端平安管理设计与实现终端平安管理体系建设示意图看不懂进不来拿不走改不了跑不了可审查打不垮终端平安管理体系建设的效果我们的优势2、产品稳定性优势支持多级分布式部署集中式管理，分级别权限层次化管理，产品稳定性经得起考验。一级管理中心二级管理中心级联监控级联监控数据上报数据上报二级管理中心二级管理中心

3、可扩展性优势效劳优势具有国家认可的高度政治可靠性：连续六年为全国人大、全国政协会议内网平安保障单位；担任2021年北京奥运会、残奥会信息网络平安保卫工作；担任多届在中国举办的世界级、国家级会议现场保障工作。正在参与2021年上海世博会、2021年26届世界大学生运动会安保工程，并向多个国家部委、大型企事业单位常年派驻效劳人员。为2021年第29届奥运会、残奥会提供现场信息安保效劳为自2021以来“全国人大〞、“全国政协〞会议提供现场信息安保效劳效劳网络热线支持：400-8188-110

市场优势业界权威机构认定“北信源终端平安管理产品〞为中国终端平安管理审计及移动存储介质管理市场占有率最高产品。2006—2007中国终端平安管理及审计市场占有率最高产品2007—2021中国终端平安管理及审计市场占有率最高产品2021-2021中国终端平安