北信源内网终端安全管理系统处理方案北京北信源软件股份目录1.序言31.1.概述31.2.应对策略42.终端安全防护理念52.1.安全理念52.2.安全体系63.终端安全管了处理方案73.1.终端安全管理建设目标73.2.终端安全管理方案设计标准73.3.终端安全管理方案设计思绪83.4.终端安全管了处理方案实现103.4.1.网络接入管理设计实现103.4.1.1.网络接入管理概述103.4.1.2.网络接入管理方案及思绪103.4.2.补丁及软件自动分发管理设计实现153.4.2.1.补丁及软件自动分发管理概述153.4.2.2.补丁及软件自动分发管理方案及思绪153.4.3.移动存放介质管理设计实现193.4.3.1.移动存放介质管理概述193.4.3.2.移动存放介质管理方案及思绪203.4.4.桌面终端管理设计实现233.4.4.1.桌面终端管理概述233.4.4.2.桌面终端管理方案及思绪243.4.5.终端安全审计设计实现363.4.5.1.终端安全审计概述363.4.5.2.终端安全审计方案及思绪364.方案总结42序言概述伴随信息化飞速发展，业务和应用逐步完全依靠于计算机网络和计算机终端。为深入提升单位内部安全管理和技术控制水平，必需建立一套完整终端安全管理体系，提升终端安全管理水平。因为单位内部缺乏管理手段，造成网络管理人员对终端管理难度很大，难以发觉有问题电脑，从而计算机感染病毒，计算机被安装木马，部分职员使用非法软件，非法连接互联网等情况时有发生，无法对这些电脑进行定位，这些问题一旦发生，往往故障排查时间很长。假如同时有多台计算机感染网络病毒或进行非法操作，轻易造成网络拥塞，甚至业务无法正常开展。建立终端安全管理体系意义在于：处理大批量计算机安全管理问题。具体来说，这些问题包含：实现对单位内部全部终端计算机信息进行汇总，包含基础信息、审计信息、报警信息等，批量管理终端计算机并提升安全性、降低日常维护工作量；实现对单位内部全部终端计算机准入控制，预防外来电脑或违规电脑接入单位内部网络中；实现对单位内部全部终端计算机进行补丁自动下载、安装和汇总，最大程度降低病毒、木马攻击存在漏洞计算机而造成安全风险；实现对单位内部全部移动存放设备统一管理，预防部分人员经过USB设备将单位大量机密文件传输出去，同时也极大降低了病毒、木马经过USB设备在网络中传输等情况发生；实现对单位内部全部终端计算机进行终端安全管理和分析，包含第一时间严禁非法外联行为发生，实时监控异常流量，检测非法软件，禁用部分硬件设备等，将计算机和人结合起来管理，预防非法操作造成发生无须要安全事件。应对策略从网络空间应用接入方法来来说，网络空间应用从传统互联网应用接入发展到以移动/无线通信应用接入乃至移动互联网接入等多个方法。而针对网络空间安全方面问题，北信源企业基于多年产品开发和超大规模成功布署和应用经验基础，组建了面向网络空间终端安全管理产品体系。该产品体系关键面向关键网络、信息系统及基础设施失泄密检测和防范，实现从终端、区域网到互联网一体化检测、管理和防范。该体系从终端接入控制、终端行为管控制、终端数据防泄密，和终端安全审计等方面，实现了多层次、全方位、立体化纵深失窃密检测和防范，形成了面向复杂网络空间终端安全管理一体化处理方案，有效地实现了网络空间下对终端计算机安全管理体系。终端安全防护理念安全理念针对现在网络中终端计算机面临多种安全问题，作为终端安全管理市场领导者，北信源企业特推出了面向网络空间VRVSpecSEC终端安全管理体系。VRVSpecSEC终端安全管理体系以APPDR模型为依据，遵照国家和行业等级保护，基于安全工程思想，以独特终端安全配置策略为关键，以终端安全风险测试和评定为依据，实现组件化可动态组合配置终端安全管理。其关键理念以下图所表示：VRVSpecSEC终端安全管理体系关键理念安全产品法规符合性开发（Specification-basedProductsDevelopment）策略引导终端安全配置（Policy-basedConfigureManagement）评定驱动终端安全管理（Evaluation-drivenSecurityManagement）组件化终端安全管理体系（Component-basedPlug-in/outSecurityArchitecture）安全体系北信源VRVSpecSEC体系覆盖终端资产安全管理、终端数据安全管理、终端行为安全管理、终端服务安全管理等多个方面，包含管理计算机本身、计算机应用、计算机操作者、计算机使用单位管理规范等多个方面，形成全方位、多层次、立体化终端安全管理。VRVSpecSEC终端安全管理体系层次结构图以下所表示：VRVSpecSEC终端安全管理体系层次结构图本处理方案正是基