1、實用文檔北信源法院系統終端安全管理系統解決方案他信樨VRV北京北信源軟件股份有限公司2015年3月標準北信部IVRV內網安全管理系統設計方案目錄1 .前言31.1. 概述31.2. 應對策略42 .終端安全防護理念52.1. 安全理念52.2. 安全體系63 .終端安全管理解決方案73.1. 終端安全管理建設目標73.2. 終端安全管理方案設計原則73.3. 終端安全管理方案設計思路83.4. 終端安全管理解決方案實現103.4.1. 網絡接入管理設計實現. 網絡接入管理概述. 網絡接入管理方案及思路103.4.2. 補丁及軟件自動分發管理設計實現153.4

2、.2.1. 補丁及軟件自動分發管理概述. 補丁及軟件自動分發管理方案及思路153.4.3. 移動存儲介質管理設計實現. 移動存儲介質管理概述. 移動存儲介質管理方案及思路203.4.4. 桌面終端管理設計實現. 桌面終端管理概述. 桌面終端管理方案及思路243.4.5. 終端安全審計設計實現3. 終端安全審計概述3. 終端安全審計方案及思路364 .方案總結42北聿匕憎牌裳幃部緋有附介品BEUINGVRVSCFTWAFtECO.LTO.*如%比京市中工M史每單其時44拄*蹙

3、用紅唐-D1O42«4O4eK«7KM.100091_|VrVKRQ1087144484WWWCK內網安全管理系統設計方案北信部IVRV1.前言1.1, 概述隨著法院信息化的飛速發展，業務和應用逐漸完全依賴于計算機網絡和計算機終端。為進一步提高法院信息系統內部的安全管理與技術控制水平，必須建立一套完整的終端安全管理體系，提高終端的安全管理水平。由于法院信息系統內部缺乏必要管理手段，導致網絡管理人員對終端管理的難度很大，難以發現有問題的電腦，從而計算機感染病毒，計算機被安裝木馬，部分員工使用非法軟件，非法連接互聯網等情況時有發生，無法對這些電腦進行定位，這些問題一旦發生，往往

4、故障排查的時間非常長。如果同時有多臺計算機感染網絡病毒或者進行非法操作，容易導致網絡擁塞，甚至業務無法正常開展。建立終端安全管理體系的意義在于：解決大批量的計算機安全管理問題。具體來說，這些問題包括：?實現對法院信息系統內部所有的終端計算機信息進行匯總，包括基本信息、審計信息、報警信息等，批量管理終端計算機并提高安全性、降低日常維護工作量；?實現對法院信息系統內部所有的終端計算機的準入控制，防止外來電腦或違規的電腦接入法院信息系統內部網絡中；?實現對法院信息系統內部所有的終端計算機進行補丁的自動下載、安裝與匯總，最大程度減少病毒、木馬攻擊存在漏洞的計算機而導致的安全風險；?實現對法院信息系統內

5、部所有的移動存儲設備的統一管理，防止部分人員通過US暇備將法院信息系統大量的機密文件傳播出去，同時也極大減少了病毒、木馬通過us暇備在網絡中傳播等情況的發生；?實現對法院信息系統內部所有的終端計算機進行終端安全管理與分析，包括比塞北慎曳苴警卻縛KW（健屈HEUIMGVRVSCFTWAFtECO-,LTD.九京需中工M史同單夏小出景惠如祖It$D1O421MMBM6fl7VM.IKOfli才七后V71VffiWQT卻WMWWWVRV.COMU4，!3內網安全管理系統設計方案北信部IVRV第一時間禁止非法外聯行為的發生，實時監控異常流量，檢測非法軟件，禁用部分硬件設備等，將計算機與人結合起來管理，

6、防止非法操作導致發生不必要的安全事件。1.2, 應對策略從網絡空間應用接入方式來來說，網絡空間應用從傳統的互聯網應用接入發展到以移動/無線通信應用接入乃至移動互聯網接入等多種方式。tLBVW而針對網絡空間安全方面的問題，北信源公司基于多年的產品開發與超大規模成功部署與應用經驗基礎，組建了面向網絡空間的終端安全管理產品體系。該產品體系主要面向重要網絡、信息系統及基礎設施的失泄密檢測與防范，實現從終端、區域網到互聯網的一體化檢測、管理與防范。該體系從終端接入控制、終端行為管控制、終端數據防泄密，以及終端安全審計等方面，實現了多層次、全方位、立體化縱深失竊密檢測與防范，形成了面向復雜網絡空間的終端安

7、全管理一體化解決方案，有效地實現了網絡空間下對終端計算機的安全管理體系。北節北修曲蛾許般竹有北合第BEUINGVRtfSOFTWARbCd.LTD.克京市中工朝史力X，中夏忖拄景惠度跖偈;010421404«»«71:100091將曉72圳WWWRVCCMCM內網安全管理系統設計方案2 .終端安全防護理念2.1. 安全理念針對目前法院信息系統網絡中終端計算機面臨的各種安全問題，作為終端安全管理市場的領導者，北信源公司特推出了面向網絡空間的VRVSpecSEC終端安全管理體系。VRVSpecSEC終端安全管理體系以APPDR模型為依據，遵循國家和行業等級保護，基于安

8、全工程的思想，以獨特的終端安全配置策略為核心，以終端安全風險測試與評估為依據，實現組件化可動態組合配置的終端安全管理。其核心理念如下圖所示：VRVSpecSEC終端安全管理體系核心理念輸安全產品法規符合性開發(Specification-basedProductsDevelopment)策略引導的終端安全配置(Policy-basedConfigureManagement)評估驅動的終端安全管理(Evaluation-drivenSecurityManagement)賽組件化終端安全管理體系(Component-basedPlug-in/outSecurity比事北值霞蛾幃&毋相M介海

9、BEUINGVRVSOFTWARECO.L1D電京市中工行史電反忖和里胞度強景.40403M蹲7KM.1D00B1H01082,1040(1WWWRVCQWCM內網安全管理系統設計方案北信部IVRVArchitecture2.2. 安全體系北信源VRVSpecSEC體系覆蓋終端的資產安全管理、終端數據安全管理、終端行為安全管理、終端服務安全管理等多個方面，涉及管理計算機本身、計算機應用、計算機操作者、計算機使用、法院信息系統管理規范等多個方面，形成全方位、多層次、立體化終端安全管理。tLBVW本解決方案正是基于上述核心理念和安全體系的基礎上而組建的基于終端各方面安全管理和控制的一體化解決方案。

10、北節北修曲蛾許般竹有北合第BEUINGVRtfSOFTWARbCd.LTD.克京市中工朝史力X，中夏忖拄景惠度跖偈;010421404«»«71:100091將曉72圳WWWRVCCMCM內網安全管理系統設計方案北信部IVRV3 .終端安全管理解決方案3.1. 終端安全管理建設目標(1)當終端接入時要落實安全保護技術措施，保障內部網絡的運行安全和信息安全；(2)對已接入內部網絡的終端計算機，要做好用戶權限設定工作，不能開放其規定以外的操作權限。(3)發現有違規情形的，應當保留有關原始記錄，并可直接了解到該違規信息及違規方式等。(4)網絡管理人員能夠利用該管理方式，

11、便捷的管理內網終端計算機，并能夠利用該種方式對終端計算機現狀一目了然。3.2. 終端安全管理方案設計原則方案設計遵循如下原則：(1)安全性原則：對性能影響小，與其它業務系統無沖突。(2)可靠性原則：在反復操作與長期實踐之后依然能夠保持高度的穩定性。(3)可擴展性原則：能夠符合IT發展方向，并隨業務增長的同時保持高度的可擴充性。(4)易用性原則：提供簡單、友好界面，能夠進行直觀的操作，形成豐富的圖形界面與報表。tLBVW(5)兼容性原則：能夠與主流廠商的系統、軟件、主機設備、安全設備、網絡設備保持高度的兼容性。北節北修曲蛾許般竹有北合第BEUINGVRtfSOFTWARbCd.LTD.克京市中工

12、朝史力X，中夏忖拄景惠度跖偈;1:100091將曉72圳WWWRVCCMCM內網安全管理系統設計方案北信部IVRV3.3. 終端安全管理方案設計思路1、遵循IT服務標準隨著信息技術的發展以及對信息技術依賴程度的提高，IT已成為許多業務流程必不可少的部分，甚至是某些業務流程賴以運作的基礎。IT部門要承擔更大的責任，即提高業務運作效率，降低業務流程的運作成本，遵循ITIL標準，協調IT服務部門內部運作，改善IT部門與業務部門之間的溝通，幫助法院信息系統對信息化系統的規劃、研發、實施和運營進行有效管理的方法。IT服務管理將流程、人和技術三方面整合在一起來解決IT服務管理問題。并結合法院信息系統內部組

13、織結構、IT資源與管理流程等，對業務需求進行整體管理與服務。解決方案設計要采用IT服務管理的理念，按照ITIL最佳實踐標準來設計。2、遵循ISO27001標準ISO27001作為信息系統安全管理標準，已經成為全球公認的安全管理最佳實踐，成為全國大型機構在設計、管理信息系統安全時的實踐指南。其中除了安全思路之外，給出了許多非常細致的安全管理指導規范。在ISO27001中有一個非常有名的安全模型，稱為PDC較全模型。PDC岐全模型的核心思想是：信息系統的安全需求是不斷變化的，要使得信息系統的安全能夠滿足業務需要，必須建立動態的“計劃、設計和部署、監控評估、改進提高”管理方法，持續不斷地改進信息系統

14、的安全性。北信源認為，終端安全管理，也將是一個持續、動態、不斷改進的過程，北信源將提供統一的、集成化的平臺和工具，幫助對其終端進行統一的安全控制、安全評估、安全審計及安全改進策略部署。3、遵循VRVSpecSE或全理念依據業界最佳安全實踐和行業信息安全管理體系的建設流程，結合北信源VRVSpecSECK心安全理念，本方案的總體架構共分為“網絡接入管理、補丁及軟件分發管理、移動存儲介質管理、桌面終端管理、終端安全審計”等安全管理比塞北慎曳蛾曾如批KW（健屈HEUIMGVRVSCFTWAFtECO-,LTD.九京需中工M史同單夏小出景惠如祖It$D1O421MMBM6fl7VM.IKOfli才七后

15、V71VtfiIdQT卻必瞄WWWVRV.COMa48內網安全管理系統設計方案北信部iVRV組件，并通過統一、聯動的安全管控與審計平臺實現對不同層次架構的集中策略配置與管理，完成對網絡終端的分級部署、統一管控，最終實現對內網終端全方位的控制管理，形成完整的終端安全管理體系。VRVSpecSEC終端特管理體系網絡接入控制管理補丁及軟件分譽理移動存儲介質管理桌面終端安全管理終端安全審計管理北信源統一管校與策略平臺CFDPSprver：方案設計思路Jt5JtlSJtWfi雅后屈HEUINGVRVSOFTWARECO.LID電窗市中工M史力X，中意時也拄景JRrUC度友號：Dia42«4O4

16、fl»K«T«M.1(X1091H010睫"收圳WWWRV.CQMCM內網安全管理系統設計方案北信部IVRV3.4. 終端安全管理解決方案實現本方案通過網絡接入控制管理、補丁及軟件分發管理、移動存儲介質管理、桌面終端安全管理，以及終端安全審計管理等五大部分，并由集中統一的管控和策略平臺，完成對上述安全管理組件的統一策略配置與下發、集中管理與審計，最終形成聯動化的、集成化的、完整的終端安全體系建設。3.4.1. 網絡接入管理設計實現. 網絡接入管理概述通過網絡接入控制能夠完成對未知終端、授權終端的安全準入管理與控制。該系統能夠完成基于802.

17、1x協議的準入控制技術的安全準入管理控制，為內網終端的安全接入控制提供了一道綠色的保護屏障。. 網絡接入管理方案及思路tLBVW系統能夠確保終端電腦只有在通過認證，即安裝終端安全管理組件，并符合必要的安全策略的前提下才能被允許接入內部網絡，否則會強制終端電腦跳轉到訪客隔離區（guest區），完成認證后還需要完成安檢，即終端管理軟件的下載和安裝，且符合既定安全策略要求時才可準許接入內部網絡。具體接入流程如下：北節北修曲蛾許般竹有北合第BEUINGVRtfSOFTWARbCd.LTD.克京市中工朝史力X，中夏忖拄景惠度跖偈;1:100091將曉72圳WWWRVCCMCM10內網安全管

18、理系統設計方案理中心（二級）北信源補理中心（二級）北信源補網絡接入控制管理系統流程圖自動測試組（真實環境）補丁自動識別客戶端策略客戶補丁查詢客戶端以上過程完全滿足網絡準入控制的目的和意義：能確保合法的、健康的終端接入內部網絡訪問被授權的資源。通過網絡準入控制技術，確保接入網絡的電腦終端符合預定義要求，必要的安全策略功能包括：1、802.1x接入認證管理802.1x接入認證管理具有對接入策略和安檢策略整體的配置和管理功能。接入是通過用戶名密碼的認證方式，對終端接入網絡進行限制。對認證成功的終端進行安全健康檢測。比事匕僮>蛾幃的也/1«贊*BLJJIMGVRVSOFTWARECO.

19、LID克京市中工M史CM，單戛忖M慢啜康度亞鼠心蹲T«M.1DOOB1特中。眼7收加WWWVRV.COMCM11內網安全管理系統設計方案802.1X接入認證2、未注冊終端接入訪問區域限制（vlan限制）未注冊終端會因認證不成功進入guestVlan,在guestVlan中終端只可以與服務器通信只有在終端注冊成功后方可以通過認證。3、未安裝殺毒軟件等必備軟件自動安裝下載管理針對終端計算機安裝及運行殺毒軟件情況，管理員可以設置安全策略檢查終端用戶是否正常啟動、運行防病毒軟件，并且強制檢查防病毒軟件的版本和病毒庫版本，確保所有終端版本必須滿足安檢的規定方可接入內部網絡。如有違規，即刻跳轉到

20、修復區或者直接斷開終端網絡連接；針對終端計算機安裝的必備軟件情況，管理員可以設置可控軟件名單，檢查必備軟件的安裝運行情況，如有違規，即刻跳轉到修復區或者直接斷開終端網絡連接；在網絡中專門劃分出修復區域，防病毒軟件服務器放置在網絡修復區中。終端計算機根據安全策略要求安裝及升級殺毒軟件。比亨馥蛾幃谷世育H登海HEUIMGVRVSOFTWARECO.L1D*京密中工時史CM，單戛構M慢啜康度；鼠心D1O42«4O4eM«7100091HQ100214140(WWWRVCQWCM12北信部IVRV內網安全管理系統設計方案殺毒軟件檢測4、未打補丁終端接入限制通過北信源補丁索引檢測終端

21、用戶是否安裝系統補丁，檢測注冊終端未打或漏打補丁時，將會提示終端計算機有哪些需要安裝的補丁并且會自動彈出下載的補丁的WEBJ面，如若不滿足補丁預定義策略，即刻跳轉到修復區或者直接斷開終端網絡連接。在網絡中專門劃分出修復區域，系統補丁文件服務器放置在網絡隔離區中。根據北信源補丁索引要求升級操作系統軟件補丁。北聿北修士斌幃JB緋有史公屈BEUIMGVRtfSCFTWARtCO.LTD.克寞布中工行史CM，單苴時14檢啜度；404gg蹲TVM.100091將曉隅WWWffiVCCMCMR信*WV13北信躺VRV內網安全管理系統設計方案«口EM；餐上以m-十二4«»送正M

22、SA；"丁勺*部認it*«*»!*：口曰畀赤齒E尸，曄跑；7謝3田，盯下TtniJln士工網GEH.=E/田J/H皿£*i®*-riiii-ii>-2Ji：3門i：柳TW”EHWiWNK-W£|/曲時/抬JI?DKt3PIno?trflAri#h軻MLBD船理8后tlfP*寸Bfi-EUM'C'MiiJiMW*G主如BMU口爵京至EDMBStuntB-DDET直4<im*sw(trrjMiw:曹千nfGSM-am4/"EMEilN!JBZM.ltIJIMjIFTIHlajMIijai-II8電外.

23、iti.m.匚*ehlt修燈秀守弄*升-B«各市苜尸上叫*.L»*丁號pT9>I|IWEIBWTIHHTFITTJ.II，JHI|ffT正、仃.一工互tiEdJ口曰一金£忙MH/力:F.n-rREh切vrELSH»Ai=£mETnwifWicr?%£>»£r*_M13MMtoi.mrl補丁檢測5、運行不可信進程、服務、注冊表終端接入限制不可信進程、服務、注冊表是針對可信進程、服務、注冊表進行判斷的，通過自定義設置可信進程、服務、注冊表來判斷終端是否允許接入到工作區。對于終端計算機沒有運行可信進程、服務、

24、注冊表的視為不可信終端，即運行了不可信進程、服務、注冊表，并對終端接入進行限制一電信5wv進程、服務、注冊表檢測比事匕僧說蚊幃&毋相M兮號BELIINGVRVSOFTWARECO.LID電京市中工時史ex，電且忖料區地度*tt»mzuows陋VM.loooai特I中0睦I*物制WWWVRVCCMCM14內網安全管理系統設計方案北信部IVRV6、自定義終端安全接入必須的桌面運行安全環境可以結合需求自定義終端安全策略，也可以按照現實環境的需要個性化搭配各個安全檢查策略組合，已達到最佳的桌面安全管理效果。3.4.2, 補丁及軟件自動分發管理設計實現, 補丁及軟件自動分

25、發管理概述補丁及軟件自動分發管理能夠自動識別終端計算機操作系統類型，并根據需求自動下載所需補丁，自動安裝并提示。系統向指定終端計算機（用戶組）分發文件或安裝軟件，分發時可提供軟件的運行參數和必要的運行控制。該管理體系可減輕網絡管理人員的工作負擔，軟件分發時可報告軟件安裝的狀態，無論軟件正確安裝與否，管理員均可及時了解情況。, 補丁及軟件自動分發管理方案及思路tLBVW補丁及軟件自動分發管理支持推、拉兩種方式自動下載補丁。整個補丁管理運行平臺構架是：通過北信源外網補丁下載服務器及時從補丁廠商網站獲取最新補丁；補丁安全測試后，通過補丁分發管理中心服務器對網絡用戶進行分發安裝；補丁安裝

26、支持自動和手動兩種方式。北節北修曲蛾許般竹有北合第BEUINGVRtfSOFTWARbCd.LTD.克京市中工朝史力單夏忖門拄景惠度跖偈:Dia4214C4flK«71:100091將曉72圳WWWRVCCMCM15內網安全管理系統設計方案北信源補丁中心（一級）動態下載轉發代理報表中心自動測試組（真實環境）客尸端補丁自動識別客戶端策略客戶補丁查詢補丁分發管理體系網絡應用對象：連通互聯網的網絡：直接通過補丁下載服務器將補丁下載至補丁分發服務器；物理隔離網絡：在互聯網連通網絡上安裝補丁下載服務器模塊，通過補丁下載增量分離工具，區分內網已導入和未導入的補丁，將最新補丁導入到內網補丁分發服務

27、器。補丁及軟件自動分發管理包括：補丁下載、補丁分析、補丁策略制訂、補丁文件分發、終端計算機補丁漏洞檢測、補丁安全性測試、補丁分發控制、普通文件自動分發等，包括功能如下：1 .終端計算機漏洞自動偵測*喈5wv終端計算機補丁自檢測，在內網中建立補丁檢測網站，終端計算機用戶訪問網站后，Web網頁自動檢測顯示客戶段補丁安裝信息，用戶可進行補丁下載安裝；管理員還可以在管理控制臺上遠程檢測終端計算機補丁安裝狀況。比亨馥蛾幃JB繼育收窖司HEUIMGVRVSOFTWARECO.L1D克京市中工V史比X，電反忖M檢啜康度；tJLD104214C4flBJK«TVM.100091特眼7收圳WWWRVC

28、OMCM16北信部iVRV內網安全管理系統設計方案補丁自動檢測2 .補丁下載增量式補丁自動分離技術在外網分離出已安裝、未安裝補丁，分類導入系統補丁庫，僅對內網的補丁進行“增量式”升級，以減少拷貝工作量；互聯網補丁自動實時探測，支持補丁導出前病毒過濾。3 .補丁分析自動建立補丁庫，支持補丁庫信息查詢。針對下載的補丁進行歸類存放,按照不同操作系統、補丁編號、補丁發布時間、補丁風險等級、補丁公告等進行歸類，幫助管理人員快速識別補丁。4 .補丁策略制訂（分發）支持用戶自定義補丁策略并自由配置分發，基于終端計算機網絡IP范圍、操作系統種類、補丁類別（系統補丁、IE補丁、應用程序補丁以及網管自定義補丁類等

29、）等制訂策略，發送至終端計算機后統一按策略執行應用。北京JtltJtWfi收窖司BLJJIMGVRVSOFTWARECO.LTO.克寞市中工行史CM，電夏時也慢啜JRF0C度亞庭居：DW42«4O4flKfi7100091特曉M收圳WWWRVCOMCM一電信4iWV17北信部IVRV內網安全管理系統設計方案補丁分發策略5 .補丁自動修復在指定時間、指定網絡范圍內以不同方式（如推、拉）分發補丁，或者根據腳本策略統一控制終端計算機下載補丁，當監測到有終端計算機未打補丁時，可對漏打補丁終端計算機進行推送補丁。補丁分發支持流量和連接數控制，以免占用太大帶寬，影響網絡正常工作。6 .補丁下載轉

30、發代理提供補丁自動代理轉發功能，提高補丁下發效率，減少網絡帶寬的占用率，節省網絡資源。7 .補丁安全性測試補丁分發前閉環自動測試，對下載的補丁進行自動測試（建立測試網絡組），測試完成后將其存入補丁庫，以提高打補丁的成功性、安全性、可靠性。8 .普通文件分發及文件自動執行比亨北值馥WfiH窖NBEUIMGVRVSOFTWARECO.LID克京市中工導史CM，單夏忖也慢啜犬鼻。度kttt意7100091一電信aswv18特Q10睫|40*啊WWW/RVCOMCM北信部iVRV內網安全管理系統設計方案可以提供分發普通文件也可以分發可執行文件及MSI等形式的壓縮文件并自動執行文件分發策略3.4.3,移

31、動存儲介質管理設計實現,移動存儲介質管理概述該設計針對內網移動存儲介質管理的特點進行，以移動數據生命周期為主導，緊扣其存儲和交換的安全需求，針對移動數據全生命周期各個環節潛在的安全隱患，綜合運用各種安全技術和手段，進行有效全程防護的安全產品。設計時考慮到了區域訪問控制，信息保密、文件走查審計等方面，確保法院信息系統內網的信息不因使用移動存儲而造成威脅，做到事前有保護，事后可追查，提供安全、簡單易用的數據交換安全解決方案。該設計以數據為中心，用戶作為數據的使用者，主機作為數據的存儲者，移動存儲介質作為數據的遷移者，在管理范圍內均賦予唯一的標識，三者進行相互比烹光僧馥Wfi收窖aBE

32、LJIMGVRVSOFTWARECO.LTD.克京市中工M史力M,中期時也及圣康RlIC度；跖&D4O42«4O4eK«7KM.IDQOBt19內網安全管理系統設計方案北信躺VRV認證。只有經認證和授權成功后，才保證合法的用戶在合法的機器上訪問合法存儲介質上的數據，并形成詳盡的日志供審計。移動數據安全訪問模型3.4.32移動存儲介質管理方案及思路體系設計對移動存儲介質安全管理范圍應該包括U盤、移動硬盤、MP3手機、智能卡設備等移動存儲介質，以及打印機等外設，體系設計與利用移動存儲設備或其他方式進行數據交換的相關終端計算機接口管理，包括光驅、軟驅、USB移動存儲接口、

33、US暉部接口、打印機接口、紅外設及藍牙設備等。因此，體系技術設計主要包括5類的US暇備控制問題，包括存儲類(MassStorage)>打印機類(PrinterClass)、智能卡類(SmartCardClass)、圖像類(ImagingClass)>HID設備類等，并通過相關的技術手段提供統一的管理平臺及適用于各類存儲介質的應用管理策略，確保提供完整有效的移動存儲環境和移動存儲設備的安全使用方案。移動存儲設備接入管理具體功能如下：1 .移動存儲設備(分設備、網段等的)接入認證管理，保障指定設備讀寫指定移動存儲設備的訪問控制管理；2 .移動存儲數據讀寫控制管理；3 .移動存儲設備標簽

34、認證管理；4 .移動存儲設備分區(普通區和加密區)管理；比孽北偏敏曾注繼首建翌屈BEUINGVRVSCFTWARECO.,LTO.4-lUi有京需中工M史ax，單戛忖和里地度電*況蹲T*JLIsSiVrW特Ph01*睫WWWVRV.COMCM20內網安全管理系統設計方案分區格式化5 .移動存儲設備的加密管理，防止加密區的敏感信息外泄；6 .移動存儲設備接入行為審計；7 .移動存儲設備數據交換行為審計管理，比如設定文件后綴名等條件；8 .設計對文件操作詳細審計記錄：包括文件的創建、復制、刪除、修改和重命名等操作，（包括文件名、審計描述、時間、用戶名、計算機IP地址和其他必要的信息）；姓陪SiWV

35、9 .設計對移動存儲介質的插入和拔出動作的詳細記錄，具體包括事件類型、移動存儲介質的名稱、用戶、計算機IP地址、事件時間；北聿北修也敏幃心竹苕皿省第BEUIMGVRWSOFTWARE:Cd.LID.電京市中工M史CM，單夏忖修慢啜康度匿號：D1O4214O4eK«TVM.1DOOB1H«01082,4040(1WWWRVCQMCM21內網安全管理系統設計方案移動存儲審計設計對終端計算機大量的文件拷貝行為可自主設定閾值，超過閾值的不進行審計。如拷貝超過1000個文件不進行審計（這主要是因為這樣的大量拷貝行為一般不會是違規的行為）；移動存儲標簽制作記錄：對于在網絡內使用的移動存

36、儲設備（如u盤等）設置一個標簽，不同管理員可以獲得不同的標簽類型分配。當U盤接入到網絡終端時，能夠自動識別標簽，如果識別通過，則該U盤可以使用，否則不可使用。且信iwvw該設計運用商用密碼技術，實現商用密碼算法的加密、解密和認證等功能的技術，通過密碼算法編程技術、密碼算法芯片或加密卡等以實現移動信息保護、訪問控制、審計監控等，以滿足移動介質標記認證管理的功能需求。比亨JtlSAWfi收段屈HEUIMGVRVSOFTWARECO.LID克京市中工M史單意時也拄景惠KUC蹙，E月巨唐-«M.IDQOBt將中眼7收加WWWVRVCCMCM22北陪躺VRV內網安全管理系統設計方案移動存儲管理

37、策略3.4.4, 桌面終端管理設計實現, 桌面終端管理概述網絡終端安全是一個綜合的系統問題，涉及管理計算機本身、計算機應用、計算機操作、計算機使用法院信息系統管理規范等多個方面。因此體系設計需采用C/S與B/S混合設計模式，并支持分布式部署，具有模塊化定制，支持標準API、無縫功能擴展與升級等優點。設計應遵循網絡防護與斷點防護并重理念，對網絡安全管理人員在網絡管理、終端管理過程中所面臨的種種問題提供解決方案，實現內部網絡終端的可控管理。北信源桌面終端管理體系強化了對網絡計算機終端狀態、行為以及事件的管理，并針對基本管理、資產管理、安全管理、運維管理、桌面管理、審計管理等提供的模塊

38、化的防護功能，并能夠同其它安全設備進行安全集成和報警聯動。北京比值E飄許JB世朝就輕*BEU1NGVRVSOFTWARECO.L1D克京市中工M史單夏忖M檢出度強值.皿IDQOBt將Hi中0睫NOMEWWW/RVCOMCM23真而管理資產首審計笞a運維管理安全苣S基本首H內網安全管理系統設計方案北信部IVRV3.4.42桌面終端管理方案及思路桌面終端管理需從使用人的基本信息開始記錄，同時包括IP地址、MAC地北信&WV址、軟硬件資產、進程信息、軟件信息、密碼信息、殺毒軟件、計算機資源、流量信息等方面進行統計，形成立體式數據庫，當發生信息改變或資源報警時，能夠第一時間通知管理人員，便于排

39、查錯誤，并能夠提供給管理人員相應的應急措施與手段，幫助管理人員迅速解決問題。桌面終端管理具體功能還應包括以下功北聿北憎金敏幃用繡有班段記BEUIMGSUFTWARbCd.LTD.克京甯中工M史中夏忖M慢地度；kA.VM.1D00B1tfiI01。睚咖1WWkVVRV.CCMCM24內網安全管理系統設計方案北億需ivav口MStit+rW口工ruum,|-t:M計f3D,4年置舞DB!(hUrHHD鑰”正更>«311«*|1.-M”*口Tt!TW9&TflJlIWdIT-vf9-»->B'網H：.Ti：l'用門量|rw、，力

40、65;，書口、，：nF打M,+-f7.W0*，MWHIT>*K4且4W*的一史ek-EZrE£>3'F*-MW*E>ff±t.BWrMMaDjiTMiT-J.W,Tfif：W*fMSilfiMM.I»«-Wtir«>KZ4flMUi.liMji!-mqUMW-A1J*F7MUIA4«1.,IQ工州辦金.匕»制地，3易”-*單悔E“；c="硒.:h眄7憧Ui加卜干菩厘EN，HE!麻行崎什4體解Mgg；«-fl-awm-MwanirSHWfcA.h*用"立工用/科問.

41、ffiW-Wr丁五.的.H*WBW7&行.f端期.國*而劭0"手門.1WfiK-U*.MlZ*O：-己三現皿I，三Itj工供口MNHJFW!IW；Xtii!l*rMUR：-工/工4口it里工Ikt3H1rlMT,>TTUPjS+=nXl*Hi曰底肛伸ET田FWlW五flF工W包府*天曲中3次.母:曲i刊昉E附1到再當真口代在厄立*3咫*丁5：嗨%才丈的：47對于"riMMEeiiHfE曰點%市51客*立言聃崎，1*HI*i»i7W«l犯宜淳七恍：任M氏企母/舌件HIEX血:女""FHhBX3n-rrKF*imUfinfi

42、l:11(1Rlii-UFaWTWFfltrilA?,*rUKL也士9二一配*2：+犀!tL嗎!£kE9干工如WXlJIK-Wi=EMe1WEtfH-Z：S>T*l2手3人f!a.EMWflWFmCTWm-H朋中WSaenMWWtffiWWWM:中姓1卜丁."RhBMfccIMKflM«"王應用界面1 .終端注冊管理該設計采用C/S和B/S模式混合管理方式，在被管理的桌面計算機上安裝VRVED苗戶端程序。在安裝客戶端程序需要填寫當前計算機使用人的個人相關信息，如使用人、法院信息系統、部門、聯系電話、郵件、所在地、計算機類型等，進行實名化的管理便于快

43、速定位，無論是違規，還是網絡安全事件發生時都可以快速定位到事件源。此信LVTW個人信息填寫北聿匕上苴幃屐縉有皿公品BEUIMGVR1/SCFTWARECC1.LTD.Mtti克京市中工借史CM，巾苴時以及景康犬鼻。度*跖號：MQ與1如情3M蹲TKM.1D0081HQ108;<0*(111WWWfflV.COWCM25內網安全管理系統設計方案北信躺VRV2 .IP和MAO定管理對固定IP網絡的MAC口IP地址進行綁定管理，當探測到IP變化后根據策略設置恢復其原有IP地址，或者阻斷其聯網，同時禁止修改網關、禁用冗余網卡。IP、MAC綁定策略3 .禁止修改網關、禁用冗余網卡管理支持禁止修改網關

44、、禁用冗余網卡等功能。4 .硬件資產管理JL信SSWV自動搜集包括CPU內存、硬盤分區總和、設備標識的大小和其他詳細信息以及其他如主板、光驅、軟驅、顯卡、鍵盤、鼠標、監視器、紅外設備、鍵盤等所有的硬件信息。北京止值«VHEUIMGVRVSOFTWARECO.LID克京需中耳忖大輯X，中夏時也及景TdlC度庭號：VM.IDOOBI特眼78圳WWWCOMCM26內網安全管理系統設計方案1陣6產-卜”gu代.LiM.erneltXplui'D叫第區磔;北：那IS*iHtU：:IK.L0D.CI.3LMMhNMT電稅：UULQl?"5bHJO2醞宓岐任后總巽呈二:匚uron

45、工jCTI；工.鶴匕JLi因存三妲二:血mg分區節制追尋尋安主¥京占伊A!448HTSETTHIttyt*,"1-十，：dtF¥匚HTnrniaB-2-pTHca到£他卻由G-WSS-S5EX七在蚤工整|1遇；彳由“由nOOU?后*Ht丁jlLA*JU=J'CQCTSiBIP5“叮也:L5：U3-Lip1.(BOOtIOSMXQREWCT15:0335UN:顯球舉京必占EUkLCkrDr«TroTSP健髭幅唯LJ1/1CE鍵電Hlcr*£?ft自然ts/z星基MILh反urb口wdDtvice監理至即亂即用房粗理品有前百言死針

46、行將Tj/SC«rip.iLlb±4n<1l£4次標的修益Hict。“住TS住Pw，E證配普VIA.IItnH.1btlk?batEEk.TE.+d怔克河啾MNN跖僑TfI:二占科，OO00.1203/21/47|EE.硬件資產管理5 .軟件資產管理自動發現識別客戶端安裝的所有軟件信息（名稱、版本、安裝時間、發現時間等），將相關數據入庫，檢測客戶端運行軟件信息，供管理員在Web空制臺查詢。北京光信A現件思世育收贊BELIINGVRVSOFTWARECO.L1D電京市中工M史單意時也檢塞度跖&蹲7:100091HQ10曉圳WWWRV.CCMCM27內網

47、安全管理系統設計方案北信樂IVRV3|牧科皆產1巾看|量討，心?的w,TJQJWVIT戛i更新fJCHJtil-LIH)£U£LM21znces-s?1交08主印YIkBJ/ZII通更新1£LaU2220415:E-36與1H3ZBW3KF實*KM(KKMfliX?此1Kti日m1.5匚也注定YC3JWSIf宏卞亭新<KNiT»q)1£O»X?甌的噌E第>3打制n:if安箱MgmLO»<23過比1與TT1匕國箕IDilXY；U星串i哂kTMjsLWT'jiS第55-3T1工國第毋tlXUM：li更胤

48、iXL-yjJJILLUabJJMHJJ2iILUb上，3Ufqli里端X胎/優31avpjs以行p-2i1匚氏茂，7T此了七n串站uiaisT”1affT12j9S0®-5-27IS:W35VOTQIJ甲笥QM4St?lL田升息傳S06K-5-2T1E：S%n菅新m&MA'Tj1加El值?nr»-?Tsne第刖rmwnn諫"網y才州M32O0W-：TISWJfWTWJ?-nftllM.ij0MMM3)iMrTi州M+VIF優茂，檢me廿*n電C。專-演出號21IJ佛法63vmAfi壓死玄呻歸3國-n®-：2Ti=re及64VTEWEK1

49、尸匚口M5一arosHTi岳國的器品M白舌3l¥：MQwnr中wt”圖禹希麗的19135EW1BOT03時5噸TIS'06擊61牙»>_毗相1山仙LijfTltt?.D1D£t£HKMB*«rii：oes>施上1超:bLLU'Jl)22n閆回日HKB4-971史也主千，KJ去f_L士3.?2D-B-5-2T1.5-DE主*ra昵件2DLH-5-2TK-DE壬軟件資產管理6 .軟、硬件設備信息變更管理報警未注冊設備、注冊程序卸載行為，實時檢測硬件設備變化情況（如設備硬件變化、網絡地址更改、US暇備接入等）。7 .進程保

50、護管理一止信1QWV對重要的進程進行守護，防止由于意外或人為原因造成重要進程中斷。址亨JtltJt軟幃&也相M窖aBEUIMGVRVSOFTWARECO.LTD.克京布中工M史比單反忖M檢出康太鼻。度月也唐川舊”40403M蹲TVM.100091HQ1083'4440(1WWWRVCCMCM28北信如VRV內網安全管理系統設計方案當薊用戶一鼻：4里辛亭城附同:MDSTT；1B沾叩亶千安新癥碼|中霞噩:臟0金:千I41里是里出M國片iTlftiii青豆U岫事改，D眸博金卷郎甘芮忖砰3.酷布申ft時？3單府主靠目力»0盤的口也花工刷電算B=F?主smK0HTMKEBWTW

51、lrE捱3小口衽造嗯,野配芯&行學曾壽5什：-irg1t»!«；）Bf碎等H”DD近餌號憫垢苜口共田,堂修市量擇基¥曷弟嗎&Pf即事:片外虐盟名何典型用事Jrwfhs*進程保護管理8 .桌面密碼權限管理對終端的密碼管理權限變化及使用狀況（包括密碼長度、安全性、弱口令等方面）進行審計檢查及報警，同時對不符合要求的終端進行提示或強制修改等處置，達到防止病毒及黑客入侵的目的終端密碼管理北事梵惜出默許JS繼有用螢菽BEUINGVRVSOFTWARECO.,LTO.正坦，T,市小1M交更乂導中國HU拯般瞋工口匚徵邛區電唐網口后髀*3息G配用了rttt-WOf

52、ll特010AS'事3相WWWVRV.COMCM29北仔部iVRV內網安全管理系統設計方案終端權限管理9 .終端統一防火墻管理員在Web空制臺對終端進行統一的防火墻設置，對網絡IP及協議訪問進行限制，在網絡內建立虛擬的終端隔離區。另外對于大型網絡，網絡客戶端由于用戶使用水平的差別，會出現用戶卸載甚至退出統一安裝的防病毒軟件的情況，也會出現有個別用戶被遺漏，未安裝防病毒軟件的情況。管理員可利用Web空制臺對終端所安裝的殺毒軟件情況進行監控和管理，并能夠對終端殺毒軟件實施遠程操作（病毒查殺、升級、軟件安裝等）。還可統一監控網絡內的防病毒軟件（國內主流廠商的均可）安裝情況和使用狀態，了解網絡

53、中的病毒軟件安裝狀況，必要時可通過此設計強制為客戶端安裝防病毒程序，如果需要，也可監控終端軟件的安裝情況，并進行相應的管理（如安裝殺毒軟件軟件，強行升級病毒庫、自動分發并自動執行病毒專殺工具等）。比亨比便上跌幃段也相M咎屈BEUIMGVRVSOFTWARECO.LiD加%電京需中工M史MM烏電工時卻境地度kA.蹲TVM.100091HaQ10睦|48圳WWWRV.CQMCM30內網安全管理系統設計方案終端防火墻管理10 .終端殺毒軟件管理發并自動執行病毒專殺工具等）0終端殺毒軟件管理比？比值星紈幃毋育附合國BEUIMGVRWSCFTWARECQ.LTD.克京市中工朝史比M/單夏時口修盅靠度跖偈

54、:蹲7100091特眼72加WWWVRV.COMCMilfsiiVW31可統一審計網絡內終端的防病毒軟件（主流廠商的均可）安裝和使用情況，必要時可強制為客戶端安裝防病毒程序。如果需要，也可監控終端防病毒軟件的安裝情況，并進行相應的管理（如安裝殺毒軟件軟件，強行升級病毒庫、自動分內網安全管理系統設計方案11 .終端在線/離線策略管理提供針對不同的網絡接入情況，設定終端的在線、離線策略。當終端處于不同的網絡中，可以實現不同的執行策略。12 .運行資源監控在Web空制臺對終端的CPU內存、硬盤的資源占用率和剩余空間進行監控,設定危險等級報警閥門。終端運行資源管理13 .流量管理和控制蠕蟲病毒和BT下

55、載等行為在很多情況下會嚴重占用網絡帶寬，造成網絡的擁塞甚至癱瘓，對此可利用流量進行管理與監控。主要功能：流量采樣閾值設定：用戶自主設定采樣閾值，當流量（含出、入或總流量）超過一定限度并持續一定時間后，進行有關信息上報，防止上報數據過多給網絡帶來負擔。比享止值«幃香繼育HBEIJINGVRVSOFTWARECO.LID電京需中工導大VtM，中反忖M慢啜AtiJdlC度強40403M蹲T100091特睦1收詢WWWVRVCCMCM32it信3alyavI內網安全管理系統設計方案上報的當前流量進行匯總，對當前的流量進行時實排序，以便網絡管理人員進行快速分析是否是網絡安全事故。對網絡客戶端的歷史流量進行統計和排序，并可生成報表對并發連接數設定閾值并進行采樣。對網絡掃描的可疑行為進行閾值設定和報警。對客戶端大量發包的可疑行為進行閾值設定和報警。對具備可疑行為的客戶端進行報警上報、自動阻斷、客戶端提示等管理設定網絡客戶端流量上限閾值，對超過的進行報警上報、自動阻斷、客戶端提示等管理。終端流量采樣管理14 .流量異常監控在Web空制臺對終端的網絡流入、流出和總流量進行監控和管理。并能夠對產生總流量過大、分時段瞬時流量過大的進程進行統計，輔助分析產生流量過大的原因。北聿北慎止裳幃心維百附咎屈BEUIMGVRtf