北信源内网终端安全管理系统解决方案北京北信源软件股份有限公司目录1.前言31.1.概述31.2.应对策略42.终端安全防护理念52.1.安全理念52.2.安全体系63.终端安全管理解决方案73.1.终端安全管理建设目标73.2.终端安全管理方案设计原则73.3.终端安全管理方案设计思路83.4.终端安全管理解决方案实现103.4.1.网络接入管理设计实现103.4.1.1.网络接入管理概述103.4.1.2.网络接入管理方案及思路103.4.2.补丁及软件自动分发管理设计实现153.4.2.1.补丁及软件自动分发管理概述153.4.2.2.补丁及软件自动分发管理方案及思路153.4.3.移动存储介质管理设计实现193.4.3.1.移动存储介质管理概述193.4.3.2.移动存储介质管理方案及思路203.4.4.桌面终端管理设计实现233.4.4.1.桌面终端管理概述233.4.4.2.桌面终端管理方案及思路243.4.5.终端安全审计设计实现363.4.5.1.终端安全审计概述363.4.5.2.终端安全审计方案及思路364.方案总结42前言概述随着信息化的飞速发展业务和应用逐渐完全依赖于计算机网络和计算机终端。为进一步提高单位内部的安全管理与技术控制水平必须建立一套完整的终端安全管理体系提高终端的安全管理水平。由于单位内部缺乏管理手段导致网络管理人员对终端管理的难度很大难以发现有问题的电脑从而计算机感染病毒计算机被安装木马部分员工使用非法软件非法连接互联网等情况时有发生无法对这些电脑进行定位这些问题一旦发生往往故障排查的时间非常长。如果同时有多台计算机感染网络病毒或者进行非法操作容易导致网络拥塞甚至业务无法正常开展。建立终端安全管理体系的意义在于：解决大批量的计算机安全管理问题。具体来说这些问题包括：实现对单位内部所有的终端计算机信息进行汇总包括基本信息、审计信息、报警信息等批量管理终端计算机并提高安全性、降低日常维护工作量；实现对单位内部所有的终端计算机的准入控制防止外来电脑或违规的电脑接入单位内部网络中；实现对单位内部所有的终端计算机进行补丁的自动下载、安装与汇总最大程度减少病毒、木马攻击存在漏洞的计算机而导致的安全风险；实现对单位内部所有的移动存储设备的统一管理防止部分人员通过USB设备将单位大量的机密文件传播出去同时也极大减少了病毒、木马通过USB设备在网络中传播等情况的发生；实现对单位内部所有的终端计算机进行终端安全管理与分析包括第一时间禁止非法外联行为的发生实时监控异常流量检测非法软件禁用部分硬件设备等将计算机与人结合起来管理防止非法操作导致发生不必要的安全事件。应对策略从网络空间应用接入方式来来说网络空间应用从传统的互联网应用接入发展到以移动/无线通信应用接入乃至移动互联网接入等多种方式。而针对网络空间安全方面的问题北信源公司基于多年的产品开发与超大规模成功部署与应用经验基础组建了面向网络空间的终端安全管理产品体系。该产品体系主要面向重要网络、信息系统及基础设施的失泄密检测与防范实现从终端、区域网到互联网的一体化检测、管理与防范。该体系从终端接入控制、终端行为管控制、终端数据防泄密以及终端安全审计等方面实现了多层次、全方位、立体化纵深失窃密检测与防范形成了面向复杂网络空间的终端安全管理一体化解决方案有效地实现了网络空间下对终端计算机的安全管理体系。终端安全防护理念安全理念针对目前网络中终端计算机面临的各种安全问题作为终端安全管理市场的领导者北信源公司特推出了面向网络空间的VRVSpecSEC终端安全管理体系。VRVSpecSEC终端安全管理体系以APPDR模型为依据遵循国家和行业等级保护基于安全工程的思想以独特的终端安全配置策略为核心以终端安全风险测试与评估为依据实现组件化可动态组合配置的终端安全管理。其核心理念如下图所示：VRVSpecSEC终端安全管理体系核心理念安全产品法规符合性开发（Specification-basedProductsDevelopment）策略引导的终端安全配置（Policy-basedConfigureManagement）评估驱动的终端安全管理（Evaluation-drivenSecurityManagement）组件化终端安全管理体系（Component-basedPlug-in/outSecurityArchitecture）安全体系北信源VRVSpecSEC体系覆盖终端的资产安全管理、终端数据安全管理、终端行为安全管理、终端服务安全管理等多个方面涉及管理计算机本身、计算机应用、计算机操作者、计算机使用单位管理规范等多个方面形成全方位、多层次、立体化终端安全管理。VRVSpecSEC终端安全管理体系层次结构图如下所示：VRVSpecSEC终