北信源内网安全管理系统解决方案v30-法院9246.docx

《北信源内网安全管理系统解决方案v30-法院9246.docx》由会员分享，可在线阅读，更多相关《北信源内网安全管理系统解决方案v30-法院9246.docx（40页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 内网安全管理系统设计方案Evaluation Warning: The document was created with Spire.Doc for .NET.北信源内内网终端端安全管管理系统统解决方案案北京北信信源软件件股份有有限公司司目录1.前言言31.1.概述31.2.应对策策略42.终端端安全防防护理念念52.1.安全理理念52.2.安全体体系63.终端端安全管管理解决决方案773.1.终端安安全管理理建设目目标73.2.终端安安全管理理方案设设计原则则73.3.终端安安全管理理方案设设计思路路83.4.终端安安全管理理解决方方案实现现103.4.1.网网络接入入管理设设计实现现1

2、03.4.1.11.网络络接入管管理概述述103.4.1.22.网络络接入管管理方案案及思路路103.4.2.补补丁及软软件自动动分发管管理设计计实现1173.4.2.11.补丁丁及软件件自动分分发管理理概述1173.4.2.22.补丁丁及软件件自动分分发管理理方案及及思路1173.4.3.移移动存储储介质管管理设计计实现2223.4.3.11.移动动存储介介质管理理概述2223.4.3.22.移动动存储介介质管理理方案及及思路2233.4.4.桌桌面终端端管理设设计实现现263.4.4.11.桌面面终端管管理概述述263.4.4.22.桌面面终端管管理方案案及思路路273.4.5.终终端安全

3、全审计设设计实现现453.4.5.11.终端端安全审审计概述述453.4.5.22.终端端安全审审计方案案及思路路454.方案案总结5515.附录录：系统统硬件要要求5116.预算算531. 前言1.1. 概述随着信息息化的飞飞速发展展，业务务和应用用逐渐完全全依赖于于计算机机网络和和计算机机终端。为为进一步步提高单单位内部部的安全全管理与与技术控控制水平平，必须须建立一一套完整整的终端端安全管管理体系系，提高高终端的的安全管管理水平平。由于单位位内部缺缺乏管理理手段，导导致网络络管理人人员对终终端管理理的难度度很大，难以发现有问题的电脑，从而计算机感染病毒，计算机被安装木马，部分员工使用非法

4、软件，非法连接互联网等情况时有发生，无法对这些电脑进行定位，这些问题一旦发生，往往故障排查的时间非常长。如果同时有多台计算机感染网络病毒或者进行非法操作，容易导致网络拥塞，甚至业务无法正常开展。建立终端端安全管管理体系系的意义义在于：解决大大批量的的计算机机安全管管理问题题。具体体来说，这这些问题题包括： 实现对单单位内部部所有的的终端计算算机信息息进行汇汇总，包包括基本本信息、审审计信息息、报警警信息等等，批量量管理终终端计算算机并提提高安全全性、降低日日常维护护工作量量； 实现对单单位内部部所有的的终端计算算机的准准入控制制，防止止外来电电脑或违违规的电电脑接入入单位内部部网络中中； 实现

5、对单单位内部部所有的的终端计算算机进行行补丁的的自动下下载、安装与汇总，最最大程度度减少病病毒、木木马攻击击存在漏漏洞的计计算机而而导致的的安全风风险； 实现对单单位内部部所有的移移动存储储设备的的统一管管理，防防止部分分人员通通过USSB设备备将单位位大量的的机密文文件传播播出去，同同时也极极大减少少了病毒毒、木马马通过UUSB设设备在网网络中传传播等情情况的发发生； 实现对单单位内部部所有的的终端计算算机进行行终端安安全管理理与分析析，包括括第一时时间禁止止非法外外联行为为的发生生，实时时监控异异常流量量，检测测非法软软件，禁禁用部分分硬件设设备等，将计算机与人结合起来管理，防止非法操作导

6、致发生不必要的安全事件。1.2. 应对策略略从网络空空间应用用接入方方式来来来说，网网络空间间应用从从传统的的互联网网应用接接入发展展到以移移动/无无线通信信应用接接入乃至至移动互互联网接接入等多多种方式式。而针对网网络空间间安全方方面的问问题，北北信源公公司基于于多年的的产品开开发与超超大规模模成功部部署与应应用经验验基础，组组建了面面向网络络空间的的终端安安全管理理产品体体系。该该产品体系系主要面面向重要要网络、信信息系统统及基础础设施的的失泄密密检测与与防范，实实现从终终端、区区域网到到互联网网的一体体化检测测、管理理与防范范。该体体系从终终端接入入控制、终终端行为为管控制制、终端端数据

7、防防泄密，以以及终端端安全审审计等方方面，实实现了多层次次、全方方位、立立体化纵纵深失窃窃密检测测与防范范，形成成了面向向复杂网网络空间间的终端端安全管管理一体体化解决决方案，有有效地实实现了网网络空间间下对终端端计算机机的安全全管理体系系。2. 终端安全全防护理念念2.1. 安全理念念针对目前前网络中中终端计计算机面面临的各各种安全全问题，作作为终端端安全管管理市场场的领导导者，北北信源公公司特推推出了面面向网络络空间的的VRVV SppecSSEC终终端安全全管理体体系。VRV SpeecSEEC终端端安全管管理体系系以APPPDRR模型为为依据，遵遵循国家家和行业业等级保保护，基基于安全

8、全工程的的思想，以以独特的的终端安安全配置置策略为为核心，以以终端安安全风险险测试与与评估为为依据，实实现组件件化可动动态组合合配置的的终端安安全管理理。其核核心理念念如下图图所示：VRV SpeecSEEC终端端安全管管理体系系核心理理念l 安全产品品法规符符合性开开发（SSpeccifiicattionn-baasedd Prroduuctss Deevellopmmentt）l 策略引导导的终端端安全配配置（PPoliicy-bassed Connfigguree Maanaggemeent）l 评估驱动动的终端端安全管管理（EEvalluattionn-drriveen SSecuur

9、itty MManaagemmentt）l 组件化终终端安全全管理体体系（CCompponeent-bassed Pluug-iin/oout Seccuriity Arcchittectturee ）2.2. 安全体系系北信源VVRV SpeecSEEC体系系覆盖终终端的资产安安全管理理、终端端数据安安全管理理、终端端行为安安全管理理、终端端服务安安全管理理等多个个方面，涉涉及管理理计算机机本身、计计算机应应用、计计算机操操作者、计计算机使使用单位位管理规规范等多多个方面面，形成成全方位位、多层层次、立立体化终终端安全全管理。VRV SpecSEC终端安全管理体系层次结构图如下所示：VRV

10、SpeecSEEC终端端安全管管理体系系层次结结构图本解决方方案正是是基于上上述核心心理念和和安全体体系的基基础上而而组建的的基于终终端各方方面安全全管理和和控制的的一体化化解决方方案。3. 终端安全全管理解解决方案案3.1. 终端安全全管理建建设目标标(1) 当终端端接入时时要落实实安全保保护技术术措施，保保障内部部网络的的运行安安全和信信息安全全； (2) 对已接入内部部网络的的终端计计算机，要要做好用用户权限限设定工工作，不不能开放放 其规规定以外外的操作作权限。 (3) 发现有有违规情形的的，应当当保留有有关原始始记录，并并可直接接了解到到该违规规信息及及违规方方式等。(4) 网络管管

11、理人员员能够利利用该管管理方式式，便捷的的管理内内网终端端计算机机，并能能够利用用该种方方式对终终端计算算机现状状一目了了然。3.2. 终端安全全管理方方案设计计原则方案设计计遵循如如下原则则：(1) 安全性原原则：对对性能影影响小，与与其它业业务系统统无冲突突。(2) 可靠性原原则：在在反复操操作与长长期实践践之后依依然能够够保持高高度的稳稳定性。(3) 可扩展性性原则：能够符符合ITT发展方方向，并并随业务务增长的的同时保保持高度度的可扩扩充性。(4) 易用性原原则：提提供简单单、友好好界面，能够进行直观的操作，形成丰富的图形界面与报表。(5) 兼容性原原则：能能够与主主流厂商商的系统统、

12、软件件、主机机设备、安安全设备备、网络络设备保保持高度度的兼容容性。3.3. 终端安全全管理方方案设计计思路1、遵循循IT服服务标准准随着信息息技术的的发展以以及对信信息技术术依赖程程度的提提高，IIT已成成为许多多业务流流程必不不可少的的部分，甚甚至是某某些业务务流程赖赖以运作作的基础础。ITT部门要要承担更更大的责责任，即即提高业业务运作作效率，降降低业务务流程的的运作成成本，遵循IITILL标准，协调IIT服务务部门内内部运作作，改善善IT部部门与业业务部门门之间的的沟通，帮帮助单位位对信息息化系统统的规划划、研发发、实施施和运营营进行有有效管理理的方法法。ITT服务管管理将流流程、人人

13、和技术术三方面面整合在在一起来来解决IIT服务务管理问问题。并并结合单单位内部部组织结结构、IIT资源源与管理理流程等等，对业业务需求求进行整整体管理理与服务务。解决决方案设设计要采采用ITT服务管管理的理理念，按按照ITTIL最最佳实践践标准来来设计。2、遵循循ISOO 2770011标准ISO2270001作为为信息系系统安全全管理标标准，已已经成为为全球公公认的安安全管理理最佳实实践，成成为全国国大型机机构在设设计、管管理信息息系统安安全时的的实践指指南。其其中除了了安全思思路之外外，给出出了许多多非常细细致的安安全管理理指导规规范。在在ISOO270001中中有一个个非常有有名的安安全

14、模型型，称为为PDCCA安全全模型。PPDCAA安全模模型的核核心思想想是：信信息系统统的安全全需求是是不断变变化的，要要使得信信息系统统的安全全能够满满足业务务需要，必必须建立立动态的的“计划、设设计和部部署、监监控评估估、改进进提高”管理方方法，持持续不断断地改进进信息系系统的安安全性。北信源认认为，终终端安全全管理，也也将是一一个持续续、动态态、不断断改进的的过程，北信源将提供统一的、集成化的平台和工具，帮助对其终端进行统一的安全控制、安全评估、安全审计及安全改进策略部署。3、遵遵循VRRV SSpeccSECC安全理念念依据业界界最佳安安全实践践和行业业信息安安全管理理体系的的建设流流

15、程，结结合北信信源VRRV SSpeccSECC核心安安全理念念，本方方案的总总体架构构共分为为“网络接接入管理理、补丁丁及软件件分发管管理、移移动存储储介质管管理、桌桌面终端端管理、终终端安全全审计”等安全全管理组组件，并并通过统统一、联联动的安安全管控控与审计计平台实实现对不不同层次次架构的的集中策策略配置置与管理理，完成成对网络络终端的的分级部部署、统统一管控控，最终终实现对对内网终终端全方方位的控控制管理理，形成完整整的终端端安全管管理体系系。方案设计计思路3.4. 终端安全全管理解解决方案案实现本方案通通过网络络接入控控制管理理、补丁丁及软件件分发管管理、移移动存储储介质管管理、桌桌

16、面终端端安全管管理，以以及终端端安全审审计管理理等五大大部分，并并由集中中统一的的管控和和策略平台台，完成成对上述述安全管管理组件件的统一一策略配配置与下下发、集集中管理理与审计计，最终终形成联联动化的的、集成成化的、完完整的终终端安全全体系建建设。3.4.1. 补丁及软软件自动动分发管管理设计计实现3.4.1.1. 补丁及软软件自动动分发管管理概述述补丁及软软件自动动分发管管理能够够自动识识别终端端计算机机操作系系统类型型，并根根据需求求自动下下载所需需补丁，自自动安装装并提示示。系统统向指定定终端计计算机（用用户组）分分发文件件或安装装软件，分分发时可可提供软软件的运运行参数数和必要要的运

17、行行控制。该管理体系可减轻网络管理人员的工作负担，软件分发时可报告软件安装的状态，无论软件正确安装与否，管理员均可及时了解情况。3.4.1.2. 补丁及软软件自动动分发管管理方案案及思路路补丁及软软件自动动分发管管理支持持推、拉拉两种方方式自动动下载补补丁。整整个补丁丁管理运运行平台台构架是是：通过过北信源源外网补补丁下载载服务器器及时从从补丁厂厂商网站站获取最最新补丁丁；补丁丁安全测测试后，通通过补丁丁分发管管理中心心服务器器对网络络用户进进行分发发安装；补丁安安装支持持自动和和手动两两种方式式。补丁分发发管理体体系网络应用用对象：连通互互联网的的网络：直接通通过补丁丁下载服服务器将将补丁下

18、下载至补补丁分发发服务器器；物理理隔离网网络：在在互联网网连通网网络上安安装补丁丁下载服服务器模模块，通通过补丁丁下载增增量分离离工具，区区分内网网已导入入和未导导入的补补丁，将将最新补补丁导入入到内网网补丁分分发服务务器。补丁及软软件自动动分发管管理包括括：补丁丁下载、补补丁分析析、补丁丁策略制制订、补补丁文件件分发、终端计算机补丁漏洞检测、补丁安全性测试、补丁分发控制、普通文件自动分发等，包括功能如下：1 终端计算算机漏洞洞自动侦侦测终端计算算机补丁丁自检测测，在内内网中建建立补丁丁检测网网站，终终端计算算机用户户访问网网站后，WWeb网网页自动动检测显显示客户户段补丁丁安装信信息，用用户

19、可进进行补丁丁下载安安装；管管理员还还可以在在管理控控制台上上远程检检测终端端计算机机补丁安安装状况况。补丁自动动检测2 补丁下载载增量式补补丁自动动分离技技术在外外网分离离出已安安装、未未安装补补丁，分分类导入入系统补补丁库，仅仅对内网网的补丁丁进行“增量式式”升级，以以减少拷拷贝工作作量；互互联网补补丁自动动实时探探测，支支持补丁丁导出前前病毒过过滤。3 补丁分析析自动建立立补丁库库，支持持补丁库库信息查查询。针针对下载载的补丁丁进行归归类存放放，按照照不同操操作系统统、补丁丁编号、补补丁发布布时间、补补丁风险险等级、补补丁公告告等进行行归类，帮帮助管理理人员快快速识别别补丁。4 补丁策略

20、略制订（分分发）支持用户户自定义义补丁策策略并自自由配置置分发，基基于终端端计算机机网络IIP范围围、操作作系统种种类、补补丁类别别（系统统补丁、IIE补丁丁、应用用程序补补丁以及及网管自自定义补补丁类等等）等制制订策略略，发送送至终端端计算机机后统一一按策略略执行应应用。补丁分发发策略5 补丁自动动修复在指定时时间、指指定网络络范围内内以不同同方式（如如推、拉拉）分发发补丁，或或者根据据脚本策策略统一一控制终终端计算算机下载载补丁，当当监测到到有终端端计算机机未打补补丁时，可可对漏打打补丁终终端计算算机进行行推送补补丁。补补丁分发发支持流流量和连连接数控控制，以以免占用用太大带带宽，影影响网

21、络络正常工工作。6 补丁下载载转发代代理提供补丁丁自动代代理转发发功能，提提高补丁丁下发效效率，减减少网络络带宽的的占用率率，节省省网络资资源。7 补丁安全全性测试试补丁分发发前闭环环自动测测试，对对下载的的补丁进进行自动动测试（建建立测试试网络组组），测测试完成成后将其其存入补补丁库，以以提高打打补丁的的成功性性、安全全性、可可靠性。8 普通文件件分发及及文件自自动执行行可以提供供分发普普通文件件也可以以分发可可执行文文件及MMSI等等形式的的压缩文文件并自自动执行行。软件分发发策略制制定下发成功功示意图图软件下发发完成后后，管理理员可以以在管理理平台里里查看软软件下发发/安装装情况，根根据

22、查看看的结果果即使调调整软件件下发策策略：软件下发发回馈信信息查询询3.4.2. 移动存储储介质管管理设计计实现3.4.2.1. 移动存储储介质管管理概述述该设计针针对内网网移动存存储介质质管理的特特点进行行，以移动动数据生生命周期期为主导导，紧扣扣其存储储和交换换的安全全需求，针针对移动动数据全全生命周周期各个个环节潜潜在的安安全隐患患，综合合运用各各种安全全技术和和手段，进进行有效效全程防防护的安安全产品品。设计计时考虑虑到了区区域访问问控制，信信息保密密、文件件走查审审计等方方面，确确保单位位内网的的信息不不因使用用移动存存储而造造成威胁胁，做到事事前有保保护，事事后可追追查，提提供安全

23、全、简单单易用的的数据交交换安全全解决方方案。该设计以以数据为为中心，用用户作为为数据的的使用者者，主机机作为数数据的存存储者，移移动存储储介质作作为数据据的迁移移者，在在管理范围围内均赋赋予唯一一的标识识，三者者进行相相互认证证。只有有经认证证和授权权成功后后，才保保证合法法的用户户在合法法的机器器上访问问合法存存储介质质上的数数据，并并形成详详尽的日日志供审审计。移动数据据安全访访问模型型3.4.2.2. 移动存储储介质管管理方案案及思路路体系设计计对移动动存储介介质安全全管理范范围应该该包括UU盘、移移动硬盘盘、MPP3、手手机、智智能卡设设备等移移动存储储介质，以及打印机等外设，体系设

24、计与利用移动存储设备或其他方式进行数据交换的相关终端计算机接口管理，包括光驱、软驱、USB移动存储接口、USB全部接口、打印机接口、红外设及蓝牙设备等。因此，体体系技术术设计主主要包括括5类的的USBB设备控控制问题题，包括括存储类类（Maass Stooragge）、打打印机类类（Prrintter Claass）、智智能卡类类（Smmartt Caard Claass）、图图像类（Imaging Class）、HID设备类等，并通过相关的技术手段提供统一的管理平台及适用于各类存储介质的应用管理策略，确保提供完整有效的移动存储环境和移动存储设备的安全使用方案。移动存储设备接入管理具体功能如下

25、：1. 移动存储储设备（分分设备、网网段等的的）接入入认证管管理，保保障指定定设备读读写指定定移动存存储设备备的访问问控制管管理；2. 移动存储储数据读读写控制制管理；3. 移动存储储设备标标签认证证管理；4. 移动存储储设备分分区（普普通区和和加密区区）管理理；分区格式式化5. 移动存储储设备的的加密管管理，防防止加密密区的敏敏感信息息外泄；6. 移动存储储设备接接入行为为审计；7. 移动存储储设备数数据交换换行为审审计管理理，比如如设定文文件后缀缀名等条条件；8. 设计对文文件操作作详细审审计记录录：包括括文件的的创建、复复制、删删除、修修改和重重命名等等操作，（包括文件名、审计描述、时间

26、、用户名、计算机IP地址和其他必要的信息）；9. 设计对移移动存储储介质的的插入和和拔出动动作的详详细记录录，具体体包括事事件类型型、移动动存储介介质的名名称、用用户、计计算机IIP地址址、事件件时间；移动存储储审计设计对终终端计算算机大量量的文件件拷贝行行为可自自主设定定阈值，超超过阈值值的不进进行审计计。如拷拷贝超过过10000个文文件不进进行审计计（这主主要是因因为这样样的大量量拷贝行行为一般般不会是是违规的的行为）；移动存存储标签签制作记记录：对对于在网网络内使使用的移移动存储储设备（如如U盘等等）设置置一个标标签，不不同管理理员可以以获得不不同的标标签类型型分配。当当U盘接接入到网网

27、络终端端时，能能够自动动识别标标签，如如果识别别通过，则则该U盘盘可以使使用，否否则不可可使用。该设计运运用商用用密码技技术，实实现商用用密码算算法的加加密、解解密和认认证等功功能的技技术，通通过密码码算法编编程技术术、密码码算法芯芯片或加加密卡等等以实现现移动信信息保护护、访问问控制、审审计监控控等，以以满足移移动介质质标记认认证管理理的功能能需求。移动存储储管理策策略3.4.3. 桌面终端端管理设设计实现现3.4.3.1. 桌面终端端管理概概述网络终端端安全是是一个综综合的系系统问题题，涉及及管理计计算机本本身、计计算机应应用、计计算机操操作、计计算机使使用单位位管理规规范等多多个方面面。

28、因此此体系设设计需采采用C/S与BB/S混混合设计计模式，并并支持分分布式部部署，具具有模块块化定制制，支持持标准AAPI、无无缝功能能扩展与与升级等等优点。设计应遵循网络防护与断点防护并重理念，对网络安全管理人员在网络管理、终端管理过程中所面临的种种问题提供解决方案，实现内部网络终端的可控管理。北信源桌桌面终端端管理体体系强化化了对网网络计算算机终端端状态、行行为以及及事件的的管理，并针对基本管理、资产管理、安全管理、运维管理、桌面管理、审计管理等提供的模块化的防护功能，并能够同其它安全设备进行安全集成和报警联动。终端安全全模型图图3.4.3.2. 桌面终端端管理方方案及思思路桌面终端端管理

29、需需从使用用人的基基本信息息开始记记录，同时包括括IP地地址、MMAC地地址、软软硬件资资产、进进程信息息、软件件信息、密密码信息息、杀毒毒软件、计计算机资资源、流流量信息息等方面面进行统统计，形形成立体体式数据据库，当当发生信信息改变变或资源源报警时时，能够够第一时时间通知知管理人人员，便便于排查查错误，并并能够提提供给管管理人员员相应的的应急措措施与手手段，帮帮助管理理人员迅迅速解决决问题。桌桌面终端端管理具具体功能能还应包包括以下下功能。应用界面面1. 终端注册册管理该设计采采用C/S和BB/S模模式混合合管理方方式，在在被管理理的桌面面计算机机上安装装VRVVEDPP客户端端程序。在在

30、安装客客户端程程序需要要填写当当前计算算机使用用人的个个人相关关信息，如如使用人人、单位位、部门门、联系系电话、邮邮件、所所在地、计计算机类类型等，进进行实名名化的管管理便于于快速定定位，无无论是违违规，还还是网络络安全事事件发生生时都可可以快速速定位到到事件源源。个人信息息填写填写的个个人相关关信息会会上报到到服务器器，保存存在后台台数据库库里，供供前台管管理平台台查询，实实现实名名化管理理。实名化管管理示意意图2. 非法外联联监控管理理功能1. 网络内部部终端非非法外联联互联网网行为监监控终端非法法外联互互联网行行为监控控：对于于已注册册的设备备，通过过不同方方式（如如双网卡卡、代理理、无

31、线线、手机机、手机机蓝牙等等）连接接互联网网进行的的通讯，能能够自动动阻断其其连接行行为并报报警。北北信源产产品不关关心违规规计算机机当前采采用何种种方式违违规外联联，只关关心违规规计算机机是否具具备违规规外联（连连接互联联网）的的能力，一一旦具备备连接互互联网的的能力即即认为违违规外联联时间发发生，立立即采用用事先设设置的处处理手段段处理，如如断网、重重启电脑脑等处理理手段，同同时记录录违规事事件上报报服务器器端。2. 网络内部部终端非非法接入入其它网网络行为为监控对于已注注册的设设备，监监控其网网络连接接行为，根根据接入入网络环环境因素素判定其其是否非非法接入入其它网网络。3. 离网（带带

32、外）终终端非法法外联互互联网行行为监控控对于已经经注册的的计算机机，非法法带出到到另外一一个网络络的行为为进行监监控，发发现有外外联互联联网行为为时可以以采取警警告、阻阻断、自自动关机机等操作作，同时时记录违违规事件件，在计计算机重重新接回回网络时时立即上上报到服服务器端端。如果对带带外终端端非法外外联行为为要求报报警时效效性高，北北信源提提供外网网报警服服务器组组件，带带外计算算机一旦旦连接互互联网，外外网报警警服务器器即能收收到违规规外联报报警信息息。4. 非法外联联行为告告警和网网络锁定定如果终端端非法入入网，可可以在报报警平台台和报警警查询处处获知信信息，并并且可以以对终端端提示信信息

33、，自自动关机机，阻断断联网等等处理。5. 非法外联联行为取取证对于非法法外联行行为进行行实时告告警功能能，同时时记录该该行为发发生的事事件、IIP地址址、MAAC地址址、使用用人等相相关信息息上报到到服务器器进行记记录取证证。终端非法法外联管管理3. IP和MMAC绑绑定管理理对固定IIP网络络的MAAC和IIP地址址进行绑绑定管理理，当探测到到IP变变化后根根据策略略设置恢恢复其原原有IPP地址，或或者阻断断其联网网，同时时禁止修修改网关关、禁用用冗余网网卡。IP、MMAC绑绑定策略略4. 外设接口口使用管管理在实际办办公应用用中，部部分计算算机的外外设接口口不允许许使用。北北信源产产品通过

34、过对接口口的驱动动程序进进行操作作控制以以达到禁禁止外设设接口的的目的。可可以对常常见的外外设接口口进行控控制，如如光驱、软软驱、UUSB接接口、打打印机、调调制解调调器、串串/并口口、冗余余硬盘等等。外设接口口策略配配置接口禁用用效果示示意图5. 杀毒软件件管理北信源产产品能够够识别市市场上常常见的110余种种杀毒软软件品牌牌，如VVRV杀杀毒、金金山、瑞瑞星、诺诺顿、卡卡巴斯基基、趋势势、KIILL、NNOD332等。能能够监控控各种杀杀毒软件件的运行行状态、病病毒库升升级状态态，并能能够通过过远程调调用杀毒毒软件进进行杀毒毒。杀毒软件件运行状状态监控控杀毒软件件识别杀毒软件件安装情情况通

35、过杀毒毒软件管管理可以以帮助武武汉船用用机械有有限责任任公司管管理员清清楚知道道网络内内计算机机杀毒软软件的安安装情况况，运行行情况，以以及病毒毒库升级级情况。6. 禁止修改改网关、禁禁用冗余余网卡管管理支持禁止止修改网网关、禁禁用冗余余网卡等等功能。7. 硬件资产产管理自动搜集集包括CCPU、内内存、硬硬盘分区区总和、设设备标识识的大小小和其他他详细信信息以及及其他如如主板、光光驱、软软驱、显显卡、键键盘、鼠鼠标、监监视器、红红外设备备、键盘盘等所有有的硬件件信息。硬件资产产管理当内存、硬硬盘、CCPU、主主机名发发生变化化时，接接入非法法U盘时时，北信信源系统统会提供供报警信信息，报报警信

36、息息可采用用声音、邮邮件、短短信等方方式发送送到管理理员计算算机上。8. 软件资产产管理自动发现现识别客客户端安安装的所所有软件件信息（名名称、版版本、安安装时间间、发现现时间等等），将将相关数数据入库库，检测测客户端端运行软软件信息息，供管管理员在在Webb控制台台查询。软件资产产管理9. 软、硬件件设备信信息变更更管理报警未注注册设备备、注册册程序卸卸载行为为，实时时检测硬硬件设备备变化情情况（如如设备硬硬件变化化、网络络地址更更改、UUSB设设备接入入等）。10. 进程保护护管理对重要的的进程进进行守护护，防止止由于意意外或人人为原因因造成重重要进程程中断。进程保护护管理11. 桌面密码

37、码权限管管理对终端的的密码管管理权限限变化及及使用状状况（包包括密码码长度、安安全性、弱弱口令等等方面）进进行审计计检查及及报警，同同时对不不符合要要求的终终端进行行提示或或强制修修改等处处置，达到防防止病毒毒及黑客客入侵的的目的。终端密码码管理终端权限限管理12. 终端统一一防火墙墙管理员在在Webb控制台台对终端端进行统统一的防防火墙设设置，对对网络IIP及协协议访问问进行限限制，在在网络内内建立虚虚拟的终终端隔离离区。另外对于于大型网网络，网网络客户户端由于于用户使使用水平平的差别别，会出出现用户户卸载甚甚至退出出统一安安装的防防病毒软软件的情情况，也也会出现现有个别别用户被被遗漏，未未

38、安装防防病毒软软件的情情况。管理员可可利用WWeb控控制台对对终端所所安装的的杀毒软软件情况况进行监监控和管管理，并并能够对对终端杀杀毒软件件实施远远程操作作（病毒毒查杀、升升级、软软件安装装等）。还可统一监控网络内的防病毒软件（国内主流厂商的均可）安装情况和使用状态，了解网络中的病毒软件安装状况，必要时可通过此设计强制为客户端安装防病毒程序，如果需要，也可监控终端软件的安装情况，并进行相应的管理（如安装杀毒软件软件，强行升级病毒库、自动分发并自动执行病毒专杀工具等）。终端防火火墙管理理13. 终端实时时管理通过点对对点控制制，实现现对计算算机的实实时管理理，可查查看被控控计算机机当前运运行进

39、程程（选定定进程远远程结束束）、运运行服务务（修改改服务启启动方式式）、网网络进程程及端口口、软件件安装、漏漏打系统统补丁、运运行资源源占用、系系统账户户组/账账户、系系统日志志、共享享目录查查看（远远程关闭闭共享）、策策略执行行状态、终终端访问问审计、修修改网络络配置、修修改个人人信息、重重启计算算机、在在线卸载载客户端端、远程程控制（屏屏幕监控控）等。进程查看看网络进程程及端口口共享目录录查看终端访问问审计修改网络络配置远程系统统维护（屏屏幕监控控）在远程系系统维护护下还能能实现对对计算机机截屏、文文件传输输（系统统维护时时直接发发送驱动动、更新新文件到到受控计计算机上上、即时时文字聊聊天

40、等）。双向文件件传输即时文字字聊天14. 终端在线线/离线线策略管管理提供针对对不同的的网络接接入情况况，设定定终端的的在线、离离线策略略。当终终端处于于不同的的网络中中，可以以实现不不同的执执行策略略。15. 运行资源源监控在Webb控制台台对终端端的CPPU、内内存、硬硬盘的资资源占用用率和剩剩余空间间进行监监控，设设定危险险等级报报警阀门门。终端运行行资源管管理16. 流量管理理和控制制蠕虫病毒毒和BTT下载等等行为在在很多情情况下会会严重占占用网络络带宽，造造成网络络的拥塞塞甚至瘫瘫痪，对对此可利利用流量量进行管理理与监控控。主要功能能：l 流量采样样阈值设设定：用用户自主主设定采采样

41、阈值值，当流流量（含含出、入入或总流流量）超超过一定定限度并并持续一一定时间间后，进进行有关关信息上上报，防防止上报报数据过过多给网网络带来来负担。l 上报的当当前流量量进行汇汇总，对对当前的的流量进进行时实实排序，以以便网络络管理人人员进行行快速分分析是否否是网络络安全事事故。l 对网络客客户端的的历史流流量进行行统计和和排序，并并可生成成报表。l 对并发连连接数设设定阈值值并进行行采样。l 对网络扫扫描的可可疑行为为进行阈阈值设定定和报警警。l 对客户端端大量发发包的可可疑行为为进行阈阈值设定定和报警警。l 对具备可可疑行为为的客户户端进行行报警上上报、自自动阻断断、客户户端提示示等管理理

42、。l 设定网络络客户端端流量上上限阈值值，对超超过的进进行报警警上报、自自动阻断断、客户户端提示示等管理理。终端流量量采样管管理17. 流量异常常监控在Webb控制台台对终端端的网络络流入、流流出和总总流量进进行监控控和管理理。并能能够对产产生总流流量过大大、分时时段瞬时时流量过过大的进进程进行行统计，辅辅助分析析产生流流量过大大的原因因。终端流量量异常管管理18. 进程异常常监控在Webb控制台台对终端端未响应应窗口进进行监控控并结束束或重启启该进程程，对意意外退出出的进程程进行监监控和保保护。进程异常常管理19. 客户端文文件备份份针对终端端计算机机进行数数据实时时备份，将将本机计计算机目

43、目录文件件数据实实时或定定时备份份到数据据服务器器或其它它计算机机上存储储。针对对局域网网服务器器数据存存储等提提供安全全数据同同步备份份解决方方案。系统日志志审计4. 方案总结结本方案基基于北信信源VRRV SSpeccSECC终端安安全管理理体系核核心理念念，通过过对终端端用户的的网络接接入管理理、补丁丁及软件件分发管管理、移移动存储储介质管管理、桌桌面终端端管理、终终端安全全审计等等安全管管理组件件对终端安全全一体化化解决方方案进行行了详细细阐述。同时，通通过北信信源集中中管控与与策略平平台（EEDP SERRVERR）对上述组件件涉及到到的功能能模块和和产品进进行集成成化的管管控；最终

44、实实现对内内网授权权终端用用户的可可控、可可管、可可审计，从从而形成成了完整整的终端端安全管管理体系系，为整整个网络络系统信信息安全全管理体体系建设设打下坚坚实的基基础。5. 附录：系系统硬件件要求用途软硬件要要求数量一、内网网安全管管理及补补丁分发发系统内网服务务器：安安装内网网安全管管理及补补丁分发发系统管管理控制制中心操作系统统： WWinddowss 20003 Serrverr+SPP1补丁丁+IIIS或Winndowws 220088 Seerveer数据库系系统： SQLL Seerveer 220000+SPP4补丁丁或SQQL SServver 20005 或或SQLL Se

45、erveer 220088硬件配置置：志强强 2.0G或或以上 ，2GGB内存存，硬盘盘3000G或以以上1台外网补丁丁下载服服务器：安装补补丁下载载服务器器，实时时跟踪新新补丁发发布操作系统统： WWinddowss 20003 Serrverr或Wiindoows XP硬件配置置：P IV 2.00G或以以上 ，5512MMB内存存，硬盘盘20GG或以上上1台二、客户户端计算算机性能能要求用于安装装内网安安全管理理及补丁丁分发系系统客户户端代理理程序操作系统统： WWinddowss 20003 、Wiindoows XP（含含64位位）、WWinddowss 20000、WWinddow

46、ss 20008（含含64位位）、VVistta和WWinddowss 7等等系统硬件配置置：P IIII 5000 或或以上 ，5112MBB内存或或以上，系系统盘剩剩余空间间不少于于5000MB按照网络络内实际际终端数数量核定定406. 预算产品名称称模块单价数量小计备注北信源内内网安全全管理及及补丁分分发系统统V6.6管理控制制中心100000.0001个100000.000内网安全全管理系系统：资资产统计计、外设设端口管管理、违违规外联联监控、软软件使用用控制、远远程维护护、终端端安全管管理等；500.00100客客户端500000.000补丁及文文件分发发系统：操作系系统补丁丁更新，文文件及软软件分发发；移动存储储管理系系统：对对U盘、移移动硬盘盘进行注注册分权权限管理理；服务器：浪潮NF52270MM31颗至强强四核EE5-226200V2（22.1GGHZ/6C/7.2GTT/155M LL3)处处理器，最最大支持持2颗；内存：2*8GGB，RRegiisteeredd ECCC DDDR33硬盘：3块11TB SASS(2.5寸），RAID卡：SAS2008+KEY,支持RAID 0， 1， 5，10 ，光驱：DVDRW光驱；网络接口：