解决方案 - 北信源内网安全管理系统解决方案v2.0 - 北信源 - 图

更新时间：2024-04-28 09:08:01 阅读量：综合文库文档下载

说明：文章内容仅供预览，部分内容可能不全。下载后的文档，内容与下面显示的完全一致。下载之前请确认下面内容是否您想要的，是否完整无缺。

解决方案英文推荐度：
相关推荐

北信源内网终端安全管理系统

解决方案

北京北信源软件股份有限公司

内网安全管理系统设计方案

前言 ..................................................................................................... 3

1.1. 概述 ................................................................................................................................. 3 1.2. 应对策略 ......................................................................................................................... 4

2. 终端安全防护理念 ................................................................................ 5

2.1. 安全理念 ......................................................................................................................... 5 2.2. 安全体系 ......................................................................................................................... 6

3.1. 3.2. 3.3. 3.4.

终端安全管理解决方案 ........................................................................ 7

终端安全管理建设目标 ................................................................................................. 7 终端安全管理方案设计原则 ......................................................................................... 7 终端安全管理方案设计思路 ......................................................................................... 8 终端安全管理解决方案实现 ....................................................................................... 10 3.4.1. 网络接入管理设计实现 ................................................................................. 10

3.4.1.1. 网络接入管理概述 ................................................................................. 10 3.4.1.2. 网络接入管理方案及思路 ..................................................................... 10 3.4.2. 补丁及软件自动分发管理设计实现 ............................................................. 15

3.4.2.1. 补丁及软件自动分发管理概述 ............................................................. 15 3.4.2.2. 补丁及软件自动分发管理方案及思路 ................................................. 15 3.4.3. 移动存储介质管理设计实现 ......................................................................... 19

3.4.3.1. 移动存储介质管理概述 ......................................................................... 19 3.4.3.2. 移动存储介质管理方案及思路 ............................................................. 20 3.4.4. 桌面终端管理设计实现 ................................................................................. 23

3.4.4.1. 桌面终端管理概述 ................................................................................. 23 3.4.4.2. 桌面终端管理方案及思路 ..................................................................... 24 3.4.5. 终端安全审计设计实现 ................................................................................. 36

3.4.5.1. 终端安全审计概述 ................................................................................. 36 3.4.5.2. 终端安全审计方案及思路 ..................................................................... 36

方案总结 ............................................................................................ 42

内网安全管理系统设计方案

1. 前言

1.1. 概述

随着信息化的飞速发展，业务和应用逐渐完全依赖于计算机网络和计算机终端。为进一步提高单位内部的安全管理与技术控制水平，必须建立一套完整的终端安全管理体系，提高终端的安全管理水平。

由于单位内部缺乏管理手段，导致网络管理人员对终端管理的难度很大，难以发现有问题的电脑，从而计算机感染病毒，计算机被安装木马，部分员工使用非法软件，非法连接互联网等情况时有发生，无法对这些电脑进行定位，这些问题一旦发生，往往故障排查的时间非常长。如果同时有多台计算机感染网络病毒或者进行非法操作，容易导致网络拥塞，甚至业务无法正常开展。

建立终端安全管理体系的意义在于：解决大批量的计算机安全管理问题。具体来说，这些问题包括：

? 实现对单位内部所有的终端计算机信息进行汇总，包括基本信息、审计信息、

报警信息等，批量管理终端计算机并提高安全性、降低日常维护工作量； ? 实现对单位内部所有的终端计算机的准入控制，防止外来电脑或违规的电脑

接入单位内部网络中；

? 实现对单位内部所有的终端计算机进行补丁的自动下载、安装与汇总，最大

程度减少病毒、木马攻击存在漏洞的计算机而导致的安全风险； ? 实现对单位内部所有的移动存储设备的统一管理，防止部分人员通过USB

设备将单位大量的机密文件传播出去，同时也极大减少了病毒、木马通过USB设备在网络中传播等情况的发生；

? 实现对单位内部所有的终端计算机进行终端安全管理与分析，包括第一时间

禁止非法外联行为的发生，实时监控异常流量，检测非法软件，禁用部分硬

内网安全管理系统设计方案

件设备等，将计算机与人结合起来管理，防止非法操作导致发生不必要的安全事件。

1.2. 应对策略

从网络空间应用接入方式来来说，网络空间应用从传统的互联网应用接入发展到以移动/无线通信应用接入乃至移动互联网接入等多种方式。

而针对网络空间安全方面的问题，北信源公司基于多年的产品开发与超大规模成功部署与应用经验基础，组建了面向网络空间的终端安全管理产品体系。该产品体系主要面向重要网络、信息系统及基础设施的失泄密检测与防范，实现从终端、区域网到互联网的一体化检测、管理与防范。该体系从终端接入控制、终端行为管控制、终端数据防泄密，以及终端安全审计等方面，实现了多层次、全方位、立体化纵深失窃密检测与防范，形成了面向复杂网络空间的终端安全管理一体化解决方案，有效地实现了网络空间下对终端计算机的安全管理体系。

内网安全管理系统设计方案

2. 终端安全防护理念

2.1. 安全理念

针对目前网络中终端计算机面临的各种安全问题，作为终端安全管理市场的领导者，北信源公司特推出了面向网络空间的VRV SpecSEC终端安全管理体系。

VRV SpecSEC终端安全管理体系以APPDR模型为依据，遵循国家和行业等级保护，基于安全工程的思想，以独特的终端安全配置策略为核心，以终端安全风险测试与评估为依据，实现组件化可动态组合配置的终端安全管理。其核心理念如下图所示：

VRV SpecSEC终端安全管理体系核心理念

安全产品法规符合性开发（Specification-based Products Development）策略引导的终端安全配置（Policy-based Configure Management）评估驱动的终端安全管理（Evaluation-driven Security Management）组件化终端安全管理体系（Component-based Plug-in/out Security Architecture ）

内网安全管理系统设计方案

2.2. 安全体系

北信源VRV SpecSEC体系覆盖终端的资产安全管理、终端数据安全管理、终端行为安全管理、终端服务安全管理等多个方面，涉及管理计算机本身、计算机应用、计算机操作者、计算机使用单位管理规范等多个方面，形成全方位、多层次、立体化终端安全管理。VRV SpecSEC终端安全管理体系层次结构图如下所示：

VRV SpecSEC终端安全管理体系层次结构图

本解决方案正是基于上述核心理念和安全体系的基础上而组建的基于终端各方面安全管理和控制的一体化解决方案。

内网安全管理系统设计方案

3. 终端安全管理解决方案

3.1. 终端安全管理建设目标

(1) 当终端接入时要落实安全保护技术措施，保障内部网络的运行安全和信息安全；

(2) 对已接入内部网络的终端计算机，要做好用户权限设定工作，不能开放其规定以外的操作权限。

(3) 发现有违规情形的，应当保留有关原始记录，并可直接了解到该违规信息及违规方式等。

(4) 网络管理人员能够利用该管理方式，便捷的管理内网终端计算机，并能够利用该种方式对终端计算机现状一目了然。

3.2. 终端安全管理方案设计原则

方案设计遵循如下原则：

(1) 安全性原则：对性能影响小，与其它业务系统无冲突。

(2) 可靠性原则：在反复操作与长期实践之后依然能够保持高度的稳定性。 (3) 可扩展性原则：能够符合IT发展方向，并随业务增长的同时保持高度的可扩充性。

(4) 易用性原则：提供简单、友好界面，能够进行直观的操作，形成丰富的图形界面与报表。

(5) 兼容性原则：能够与主流厂商的系统、软件、主机设备、安全设备、网络设备保持高度的兼容性。

内网安全管理系统设计方案

3.3. 终端安全管理方案设计思路

1、遵循IT服务标准

随着信息技术的发展以及对信息技术依赖程度的提高，IT已成为许多业务流程必不可少的部分，甚至是某些业务流程赖以运作的基础。IT部门要承担更大的责任，即提高业务运作效率，降低业务流程的运作成本，遵循ITIL标准，协调IT服务部门内部运作，改善IT部门与业务部门之间的沟通，帮助单位对信息化系统的规划、研发、实施和运营进行有效管理的方法。IT服务管理将流程、人和技术三方面整合在一起来解决IT服务管理问题。并结合单位内部组织结构、IT资源与管理流程等，对业务需求进行整体管理与服务。解决方案设计要采用IT服务管理的理念，按照ITIL最佳实践标准来设计。

2、遵循ISO 27001标准

ISO27001作为信息系统安全管理标准，已经成为全球公认的安全管理最佳实践，成为全国大型机构在设计、管理信息系统安全时的实践指南。其中除了安全思路之外，给出了许多非常细致的安全管理指导规范。在ISO27001中有一个非常有名的安全模型，称为PDCA安全模型。PDCA安全模型的核心思想是：信息系统的安全需求是不断变化的，要使得信息系统的安全能够满足业务需要，必须建立动态的“计划、设计和部署、监控评估、改进提高”管理方法，持续不断地改进信息系统的安全性。

北信源认为，终端安全管理，也将是一个持续、动态、不断改进的过程，北信源将提供统一的、集成化的平台和工具，帮助对其终端进行统一的安全控制、安全评估、安全审计及安全改进策略部署。

3、遵循VRV SpecSEC安全理念

依据业界最佳安全实践和行业信息安全管理体系的建设流程，结合北信源VRV SpecSEC核心安全理念，本方案的总体架构共分为“网络接入管理、补丁及软件分发管理、移动存储介质管理、桌面终端管理、终端安全审计”等安全管理

内网安全管理系统设计方案

组件，并通过统一、联动的安全管控与审计平台实现对不同层次架构的集中策略配置与管理，完成对网络终端的分级部署、统一管控，最终实现对内网终端全方位的控制管理，形成完整的终端安全管理体系。

方案设计思路

内网安全管理系统设计方案

3.4. 终端安全管理解决方案实现

本方案通过网络接入控制管理、补丁及软件分发管理、移动存储介质管理、桌面终端安全管理，以及终端安全审计管理等五大部分，并由集中统一的管控和策略平台，完成对上述安全管理组件的统一策略配置与下发、集中管理与审计，最终形成联动化的、集成化的、完整的终端安全体系建设。

3.4.1. 网络接入管理设计实现 3.4.1.1. 网络接入管理概述

通过网络接入控制能够完成对未知终端、授权终端的安全准入管理与控制。该系统能够完成基于802.1x协议的准入控制技术的安全准入管理控制，为内网终端的安全接入控制提供了一道绿色的保护屏障。

3.4.1.2. 网络接入管理方案及思路

系统能够确保终端电脑只有在通过认证，即安装终端安全管理组件，并符合必要的安全策略的前提下才能被允许接入内部网络，否则会强制终端电脑跳转到访客隔离区(guest区)，完成认证后还需要完成安检，即终端管理软件的下载和安装，且符合既定安全策略要求时才可准许接入内部网络。具体接入流程如下：

内网安全管理系统设计方案

修复区修复完成认证通过不合格终端认证安检安检合格工作区认证未通过非法用户进入guest区网络接入控制管理系统流程图

以上过程完全满足网络准入控制的目的和意义：能确保合法的、健康的终端接入内部网络访问被授权的资源。

通过网络准入控制技术，确保接入网络的电脑终端符合预定义要求，必要的安全策略功能包括： 1、802.1x接入认证管理

802.1x接入认证管理具有对接入策略和安检策略整体的配置和管理功能。接入是通过用户名密码的认证方式，对终端接入网络进行限制。对认证成功的终端进行安全健康检测。

内网安全管理系统设计方案

802.1X接入认证

2、未注册终端接入访问区域限制（vlan限制）

未注册终端会因认证不成功进入guest Vlan，在guest Vlan中终端只可以与服务器通信只有在终端注册成功后方可以通过认证。

3、未安装杀毒软件等必备软件自动安装下载管理

针对终端计算机安装及运行杀毒软件情况，管理员可以设置安全策略检查终端用户是否正常启动、运行防病毒软件，并且强制检查防病毒软件的版本和病毒库版本，确保所有终端版本必须满足安检的规定方可接入内部网络。如有违规，即刻跳转到修复区或者直接断开终端网络连接；

针对终端计算机安装的必备软件情况，管理员可以设置可控软件名单，检查必备软件的安装运行情况，如有违规，即刻跳转到修复区或者直接断开终端网络连接；

在网络中专门划分出修复区域，防病毒软件服务器放置在网络修复区中。终端计算机根据安全策略要求安装及升级杀毒软件。

内网安全管理系统设计方案

杀毒软件检测

4、未打补丁终端接入限制

通过北信源补丁索引检测终端用户是否安装系统补丁，检测注册终端未打或漏打补丁时，将会提示终端计算机有哪些需要安装的补丁并且会自动弹出下载的补丁的WEB页面，如若不满足补丁预定义策略，即刻跳转到修复区或者直接断开终端网络连接。

在网络中专门划分出修复区域，系统补丁文件服务器放置在网络隔离区中。根据北信源补丁索引要求升级操作系统软件补丁。

内网安全管理系统设计方案

补丁检测

5、运行不可信进程、服务、注册表终端接入限制

不可信进程、服务、注册表是针对可信进程、服务、注册表进行判断的，通过自定义设置可信进程、服务、注册表来判断终端是否允许接入到工作区。对于终端计算机没有运行可信进程、服务、注册表的视为不可信终端，即运行了不可信进程、服务、注册表，并对终端接入进行限制。

进程、服务、注册表检测

内网安全管理系统设计方案

6、自定义终端安全接入必须的桌面运行安全环境

可以结合需求自定义终端安全策略，也可以按照现实环境的需要个性化搭配各个安全检查策略组合，已达到最佳的桌面安全管理效果。

3.4.2. 补丁及软件自动分发管理设计实现 3.4.2.1. 补丁及软件自动分发管理概述

补丁及软件自动分发管理能够自动识别终端计算机操作系统类型，并根据需求自动下载所需补丁，自动安装并提示。系统向指定终端计算机（用户组）分发文件或安装软件，分发时可提供软件的运行参数和必要的运行控制。该管理体系可减轻网络管理人员的工作负担，软件分发时可报告软件安装的状态，无论软件正确安装与否，管理员均可及时了解情况。

3.4.2.2. 补丁及软件自动分发管理方案及思路

补丁及软件自动分发管理支持推、拉两种方式自动下载补丁。整个补丁管理运行平台构架是：通过北信源外网补丁下载服务器及时从补丁厂商网站获取最新补丁；补丁安全测试后，通过补丁分发管理中心服务器对网络用户进行分发安装；补丁安装支持自动和手动两种方式。

内网安全管理系统设计方案

......北信源补丁管理中心(二级)级联同步补丁增量导入北信源补丁管理中心(二级)级联同步北信源补丁中心(一级)补丁库分类补丁测试策略控制推拉分发控制流量控制补丁分发检索多级级联控制动态下载转发代理自动测试组(真实环境)客户端补丁自动识别客户端策略客户补丁查询报表中心补丁分发管理体系

网络应用对象：○1连通互联网的网络：直接通过补丁下载服务器将补丁下载至补丁分发服务器；○2物理隔离网络：在互联网连通网络上安装补丁下载服务器模块，通过补丁下载增量分离工具，区分内网已导入和未导入的补丁，将最新补丁导入到内网补丁分发服务器。

补丁及软件自动分发管理包括：补丁下载、补丁分析、补丁策略制订、补丁文件分发、终端计算机补丁漏洞检测、补丁安全性测试、补丁分发控制、普通文件自动分发等，包括功能如下：

1．终端计算机漏洞自动侦测

终端计算机补丁自检测，在内网中建立补丁检测网站，终端计算机用户访问网站后，Web网页自动检测显示客户段补丁安装信息，用户可进行补丁下载安装；管理员还可以在管理控制台上远程检测终端计算机补丁安装状况。

内网安全管理系统设计方案

补丁自动检测

2．补丁下载

增量式补丁自动分离技术在外网分离出已安装、未安装补丁，分类导入系统补丁库，仅对内网的补丁进行“增量式”升级，以减少拷贝工作量；互联网补丁自动实时探测，支持补丁导出前病毒过滤。

3．补丁分析

自动建立补丁库，支持补丁库信息查询。针对下载的补丁进行归类存放，按照不同操作系统、补丁编号、补丁发布时间、补丁风险等级、补丁公告等进行归类，帮助管理人员快速识别补丁。

4．补丁策略制订（分发）

支持用户自定义补丁策略并自由配置分发，基于终端计算机网络IP范围、操作系统种类、补丁类别（系统补丁、IE补丁、应用程序补丁以及网管自定义补丁类等）等制订策略，发送至终端计算机后统一按策略执行应用。

内网安全管理系统设计方案

补丁分发策略

5．补丁自动修复

在指定时间、指定网络范围内以不同方式（如推、拉）分发补丁，或者根据脚本策略统一控制终端计算机下载补丁，当监测到有终端计算机未打补丁时，可对漏打补丁终端计算机进行推送补丁。补丁分发支持流量和连接数控制，以免占用太大带宽，影响网络正常工作。

6．补丁下载转发代理

提供补丁自动代理转发功能，提高补丁下发效率，减少网络带宽的占用率，节省网络资源。

7．补丁安全性测试

补丁分发前闭环自动测试，对下载的补丁进行自动测试（建立测试网络组），测试完成后将其存入补丁库，以提高打补丁的成功性、安全性、可靠性。

8．普通文件分发及文件自动执行

内网安全管理系统设计方案

可以提供分发普通文件也可以分发可执行文件及MSI等形式的压缩文件并自动执行。

文件分发策略

3.4.3. 移动存储介质管理设计实现 3.4.3.1. 移动存储介质管理概述

该设计针对内网移动存储介质管理的特点进行，以移动数据生命周期为主导，紧扣其存储和交换的安全需求，针对移动数据全生命周期各个环节潜在的安全隐患，综合运用各种安全技术和手段，进行有效全程防护的安全产品。设计时考虑到了区域访问控制，信息保密、文件走查审计等方面，确保单位内网的信息不因使用移动存储而造成威胁，做到事前有保护，事后可追查，提供安全、简单易用的数据交换安全解决方案。

该设计以数据为中心，用户作为数据的使用者，主机作为数据的存储者，移动存储介质作为数据的迁移者，在管理范围内均赋予唯一的标识，三者进行相互

内网安全管理系统设计方案

认证。只有经认证和授权成功后，才保证合法的用户在合法的机器上访问合法存储介质上的数据，并形成详尽的日志供审计。

移动数据安全访问模型

3.4.3.2. 移动存储介质管理方案及思路

体系设计对移动存储介质安全管理范围应该包括U盘、移动硬盘、MP3、手机、智能卡设备等移动存储介质，以及打印机等外设，体系设计与利用移动存储设备或其他方式进行数据交换的相关终端计算机接口管理，包括光驱、软驱、USB移动存储接口、USB全部接口、打印机接口、红外设及蓝牙设备等。

因此，体系技术设计主要包括5类的USB设备控制问题，包括存储类（Mass Storage）、打印机类（Printer Class）、智能卡类（Smart Card Class）、图像类（Imaging Class）、HID设备类等，并通过相关的技术手段提供统一的管理平台及适用于各类存储介质的应用管理策略，确保提供完整有效的移动存储环境和移动存储设备的安全使用方案。移动存储设备接入管理具体功能如下： 1. 移动存储设备（分设备、网段等的）接入认证管理，保障指定设备读写指定

移动存储设备的访问控制管理； 2. 移动存储数据读写控制管理； 3. 移动存储设备标签认证管理；

4. 移动存储设备分区（普通区和加密区）管理；

内网安全管理系统设计方案

分区格式化

5. 移动存储设备的加密管理，防止加密区的敏感信息外泄； 6. 移动存储设备接入行为审计；

7. 移动存储设备数据交换行为审计管理，比如设定文件后缀名等条件； 8. 设计对文件操作详细审计记录：包括文件的创建、复制、删除、修改和重命

名等操作，（包括文件名、审计描述、时间、用户名、计算机IP地址和其他必要的信息）；

9. 设计对移动存储介质的插入和拔出动作的详细记录，具体包括事件类型、移

动存储介质的名称、用户、计算机IP地址、事件时间；

内网安全管理系统设计方案

移动存储审计

设计对终端计算机大量的文件拷贝行为可自主设定阈值，超过阈值的不进行审计。如拷贝超过1000个文件不进行审计（这主要是因为这样的大量拷贝行为一般不会是违规的行为）；移动存储标签制作记录：对于在网络内使用的移动存储设备（如U盘等）设置一个标签，不同管理员可以获得不同的标签类型分配。当U盘接入到网络终端时，能够自动识别标签，如果识别通过，则该U盘可以使用，否则不可使用。

该设计运用商用密码技术，实现商用密码算法的加密、解密和认证等功能的技术，通过密码算法编程技术、密码算法芯片或加密卡等以实现移动信息保护、访问控制、审计监控等，以满足移动介质标记认证管理的功能需求。

内网安全管理系统设计方案

移动存储管理策略

3.4.4. 桌面终端管理设计实现 3.4.4.1. 桌面终端管理概述

网络终端安全是一个综合的系统问题，涉及管理计算机本身、计算机应用、计算机操作、计算机使用单位管理规范等多个方面。因此体系设计需采用C/S与B/S混合设计模式，并支持分布式部署，具有模块化定制，支持标准API、无缝功能扩展与升级等优点。设计应遵循网络防护与断点防护并重理念，对网络安全管理人员在网络管理、终端管理过程中所面临的种种问题提供解决方案，实现内部网络终端的可控管理。

北信源桌面终端管理体系强化了对网络计算机终端状态、行为以及事件的管理，并针对基本管理、资产管理、安全管理、运维管理、桌面管理、审计管理等提供的模块化的防护功能，并能够同其它安全设备进行安全集成和报警联动。

内网安全管理系统设计方案

终端安全模型图

3.4.4.2. 桌面终端管理方案及思路

桌面终端管理需从使用人的基本信息开始记录，同时包括IP地址、MAC地址、软硬件资产、进程信息、软件信息、密码信息、杀毒软件、计算机资源、流量信息等方面进行统计，形成立体式数据库，当发生信息改变或资源报警时，能够第一时间通知管理人员，便于排查错误，并能够提供给管理人员相应的应急措施与手段，帮助管理人员迅速解决问题。桌面终端管理具体功能还应包括以下功能。

内网安全管理系统设计方案

应用界面

1. 终端注册管理

该设计采用C/S和B/S模式混合管理方式，在被管理的桌面计算机上安装VRVEDP客户端程序。在安装客户端程序需要填写当前计算机使用人的个人相关信息，如使用人、单位、部门、联系电话、邮件、所在地、计算机类型等，进行实名化的管理便于快速定位，无论是违规，还是网络安全事件发生时都可以快速定位到事件源。

个人信息填写

内网安全管理系统设计方案

终端非法外联管理

3.4.5. 终端安全审计设计实现 3.4.5.1. 终端安全审计概述

随着信息安全技术和理念的发展，安全监控的关注点已经从设备转向对于设备使用者的行为，用户对于设备使用人行为审计和行为控制的需求越来越明显，由此国内外均已有相关的政策和法规陆续出台，国内的《涉及国家秘密的信息系统分级保护技术要求》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评准则》和国外的《萨班斯·奥克斯利法案》也均明确的提出了对主机行为的监控和审计要求。

北信源主机监控审计通过技术手段使各种管理条例落实，增强用户的安全和保密意识，保护内部的信息不外泄。

3.4.5.2. 终端安全审计方案及思路

本方案中，终端安全审计通过Web方式对整个网络终端计算机进行应用策略

内网安全管理系统设计方案

配置，管理网络和查询审计数据，方便用户操作，有效防范不安全因素对内部终端构成的威胁，真正做到内部终端的安全管理，防止信息泄密，满足客户对内部终端管理的功能需求： 1. 网络访问行为审计和控制

以黑白名单的方式对用户的网络访问行为进行控制，并对用户访问的网络等进行审计和记录。

网络访问审计

2. 文件保护及审计

提供对终端的OS系统目录、软件目录和共享目录中的文件的保护功能，设定访问、删除、修改权限；支持对设定目录文件的操作审计，包括文件创建、打印、读写、复制、改名、删除、移动等的记录，同时将信息上报管理信息库供查询。

内网安全管理系统设计方案

文件保护审计

3. 网络文件输出审计