内网终端安全管理系统项目解决方案
北信源内网终端安全管理系统
解决方案
北京北信源软件股份有限公司
目录
1.前言 (4)
1.1. 概述 (4)
1.2. 应对策略 (5)
2.终端安全防护理念 (6)
2.1. 安全理念 (6)
2.2. 安全体系 (7)
3.终端安全管理解决方案 (9)
3.1. 终端安全管理建设目标 (9)
3.2. 终端安全管理方案设计原则 (9)
3.3. 终端安全管理方案设计思路 (10)
3.4. 终端安全管理解决方案实现 (12)
3.4.1. 网络接入管理设计实现 ........................................ 错误!未定义书签。
3.4.1.1. 网络接入管理概述 ........................................ 错误!未定义书签。
3.4.1.2. 网络接入管理方案及思路............................... 错误!未定义书签。
3.4.2. 补丁及软件自动分发管理设计实现 (12)
3.4.2.1. 补丁及软件自动分发管理概述 (12)
3.4.2.2. 补丁及软件自动分发管理方案及思路 (12)
3.4.3. 移动存储介质管理设计实现 (17)
3.4.3.1. 移动存储介质管理概述 (17)
3.4.3.2. 移动存储介质管理方案及思路 (18)
3.4.4. 桌面终端管理设计实现 (21)
3.4.4.1. 桌面终端管理概述 (21)
3.4.4.2. 桌面终端管理方案及思路 (22)
3.4.5. 终端安全审计设计实现 ........................................ 错误!未定义书签。
3.4.5.1. 终端安全审计概述 ........................................ 错误!未定义书签。
3.4.5.2. 终端安全审计方案及思路............................... 错误!未定义书签。
4.方案总结 (41)
5.附录:系统硬件要求 (41)
6.预算 (43)
1.前言
1.1.概述
随着信息化的飞速发展,业务和应用逐渐完全依赖于计算机网络和计算机终端。为进一步提高单位内部的安全管理与技术控制水平,必须建立一套完整的终端安全管理体系,提高终端的安全管理水平。
由于单位内部缺乏管理手段,导致网络管理人员对终端管理的难度很大,难以发现有问题的电脑,从而计算机感染病毒,计算机被安装木马,部分员工使用非法软件,非法连接互联网等情况时有发生,无法对这些电脑进行定位,这些问题一旦发生,往往故障排查的时间非常长。如果同时有多台计算机感染网络病毒或者进行非法操作,容易导致网络拥塞,甚至业务无法正常开展。
建立终端安全管理体系的意义在于:解决大批量的计算机安全管理问题。具体来说,这些问题包括:
?实现对单位内部所有的终端计算机信息进行汇总,包括基本信息、审计信息、报警信息等,批量管理终端计算机并提高安全性、降低日常维护工作量;
?实现对单位内部所有的终端计算机的准入控制,防止外来电脑或违规的电脑接入单位内部网络中;
?实现对单位内部所有的终端计算机进行补丁的自动下载、安装与汇总,最大程度减少病毒、木马攻击存在漏洞的计算机而导致的安全风险;
?实现对单位内部所有的移动存储设备的统一管理,防止部分人员通过USB 设备将单位大量的机密文件传播出去,同时也极大减少了病毒、木马通过USB设备在网络中传播等情况的发生;
?实现对单位内部所有的终端计算机进行终端安全管理与分析,包括第一时间禁止非法外联行为的发生,实时监控异常流量,检测非法软件,禁用部分硬件设备等,将计算机与人结合起来管理,防止非法操作导致发生不必要的安全事件。
1.2.应对策略
从网络空间应用接入方式来来说,网络空间应用从传统的互联网应用接入发展到以移动/无线通信应用接入乃至移动互联网接入等多种方式。
而针对网络空间安全方面的问题,北信源公司基于多年的产品开发与超大规模成功部署与应用经验基础,组建了面向网络空间的终端安全管理产品体系。该产品体系主要面向重要网络、信息系统及基础设施的失泄密检测与防范,实现从终端、区域网到互联网的一体化检测、管理与防范。该体系从终端接入控制、终端行为管控制、终端数据防泄密,以及终端安全审计等方面,实现了多层次、全方位、立体化纵深失窃密检测与防范,形成了面向复杂网络空间的终端安全管理一体化解决方案,有效地实现了网络空间下对终端计算机的安全管理体系。
2.终端安全防护理念
2.1.安全理念
针对目前网络中终端计算机面临的各种安全问题,作为终端安全管理市场的领导者,北信源公司特推出了面向网络空间的VRV SpecSEC终端安全管理体系。
VRV SpecSEC终端安全管理体系以APPDR模型为依据,遵循国家和行业等级保护,基于安全工程的思想,以独特的终端安全配置策略为核心,以终端安全风险测试与评估为依据,实现组件化可动态组合配置的终端安全管理。其核心理念如下图所示:
VRV SpecSEC终端安全管理体系核心理念
安全产品法规符合性开发(S pecification-based Products
Development)
策略引导的终端安全配置(P olicy-based Configure Management)
评估驱动的终端安全管理(E valuation-driven Security
Management)
组件化终端安全管理体系(Component-based Plug-in/out Security
Architecture )
2.2.安全体系
北信源VRV SpecSEC体系覆盖终端的资产安全管理、终端数据安全管理、终端行为安全管理、终端服务安全管理等多个方面,涉及管理计算机本身、计算机应用、计算机操作者、计算机使用单位管理规范等多个方面,形成全方位、多层次、立体化终端安全管理。VRV SpecSEC终端安全管理体系层次结构图如下所示:
VRV SpecSEC终端安全管理体系层次结构图
本解决方案正是基于上述核心理念和安全体系的基础上而组建的基于终端
各方面安全管理和控制的一体化解决方案。
3.终端安全管理解决方案
3.1.终端安全管理建设目标
(1) 当终端接入时要落实安全保护技术措施,保障内部网络的运行安全和信息安全;
(2) 对已接入内部网络的终端计算机,要做好用户权限设定工作,不能开放其规定以外的操作权限。
(3) 发现有违规情形的,应当保留有关原始记录,并可直接了解到该违规信息及违规方式等。
(4) 网络管理人员能够利用该管理方式,便捷的管理内网终端计算机,并能够利用该种方式对终端计算机现状一目了然。
3.2.终端安全管理方案设计原则
方案设计遵循如下原则:
(1)安全性原则:对性能影响小,与其它业务系统无冲突。
(2)可靠性原则:在反复操作与长期实践之后依然能够保持高度的稳定性。
(3)可扩展性原则:能够符合IT发展方向,并随业务增长的同时保持高度的
可扩充性。
(4)易用性原则:提供简单、友好界面,能够进行直观的操作,形成丰富的
图形界面与报表。
(5)兼容性原则:能够与主流厂商的系统、软件、主机设备、安全设备、网
络设备保持高度的兼容性。
3.3.终端安全管理方案设计思路
1、遵循IT服务标准
随着信息技术的发展以及对信息技术依赖程度的提高,IT已成为许多业务流程必不可少的部分,甚至是某些业务流程赖以运作的基础。IT部门要承担更大的责任,即提高业务运作效率,降低业务流程的运作成本,遵循ITIL标准,协调IT服务部门内部运作,改善IT部门与业务部门之间的沟通,帮助单位对信息化系统的规划、研发、实施和运营进行有效管理的方法。IT服务管理将流程、人和技术三方面整合在一起来解决IT服务管理问题。并结合单位内部组织结构、IT资源与管理流程等,对业务需求进行整体管理与服务。解决方案设计要采用IT服务管理的理念,按照ITIL最佳实践标准来设计。
2、遵循ISO 27001标准
ISO27001作为信息系统安全管理标准,已经成为全球公认的安全管理最佳实践,成为全国大型机构在设计、管理信息系统安全时的实践指南。其中除了安全思路之外,给出了许多非常细致的安全管理指导规范。在ISO27001中有一个非常有名的安全模型,称为PDCA安全模型。PDCA安全模型的核心思想是:信息系统的安全需求是不断变化的,要使得信息系统的安全能够满足业务需要,必须建立动态的“计划、设计和部署、监控评估、改进提高”管理方法,持续不
断地改进信息系统的安全性。
北信源认为,终端安全管理,也将是一个持续、动态、不断改进的过程,北信源将提供统一的、集成化的平台和工具,帮助对其终端进行统一的安全控制、安全评估、安全审计及安全改进策略部署。
3、遵循VRV SpecSEC安全理念
依据业界最佳安全实践和行业信息安全管理体系的建设流程,结合北信源VRV SpecSEC核心安全理念,本方案的总体架构共分为“网络接入管理、补丁及软件分发管理、移动存储介质管理、桌面终端管理、终端安全审计”等安全管理组件,并通过统一、联动的安全管控与审计平台实现对不同层次架构的集中策略配置与管理,完成对网络终端的分级部署、统一管控,最终实现对内网终端全方位的控制管理,形成完整的终端安全管理体系。
方案设计思路
3.4.终端安全管理解决方案实现
本方案通过网络接入控制管理、补丁及软件分发管理、移动存储介质管理、桌面终端安全管理,以及终端安全审计管理等五大部分,并由集中统一的管控和策略平台,完成对上述安全管理组件的统一策略配置与下发、集中管理与审计,最终形成联动化的、集成化的、完整的终端安全体系建设。
3.4.1.补丁及软件自动分发管理设计实现
3.4.1.1.补丁及软件自动分发管理概述
补丁及软件自动分发管理能够自动识别终端计算机操作系统类型,并根据需求自动下载所需补丁,自动安装并提示。系统向指定终端计算机(用户组)分发文件或安装软件,分发时可提供软件的运行参数和必要的运行控制。该管理体系可减轻网络管理人员的工作负担,软件分发时可报告软件安装的状态,无论软件正确安装与否,管理员均可及时了解情况。
3.4.1.2.补丁及软件自动分发管理方案及思路
补丁及软件自动分发管理支持推、拉两种方式自动下载补丁。整个补丁管理运行平台构架是:通过北信源外网补丁下载服务器及时从补丁厂商网站获取最新补丁;补丁安全测试后,通过补丁分发管理中心服务器对网络用户进行分发安装;
补丁安装支持自动和手动两种方式。
动态下载...
...级联级联补丁分发管理体系
网络应用对象:○1连通互联网的网络:直接通过补丁下载服务器将补丁下载至补丁分发服务器;○2物理隔离网络:在互联网连通网络上安装补丁下载服务器模块,通过补丁下载增量分离工具,区分内网已导入和未导入的补丁,将最新补丁导入到内网补丁分发服务器。
补丁及软件自动分发管理包括:补丁下载、补丁分析、补丁策略制订、补丁文件分发、终端计算机补丁漏洞检测、补丁安全性测试、补丁分发控制、普通文件自动分发等,包括功能如下:
1. 终端计算机漏洞自动侦测
终端计算机补丁自检测,在内网中建立补丁检测网站,终端计算机用户访问网站后,Web 网页自动检测显示客户段补丁安装信息,用户可进行补丁下载安装;管理员还可以在管理控制台上远程检测终端计算机补丁安装状况。
补丁自动检测
2.补丁下载
增量式补丁自动分离技术在外网分离出已安装、未安装补丁,分类导入系统补丁库,仅对内网的补丁进行“增量式”升级,以减少拷贝工作量;互联网补丁自动实时探测,支持补丁导出前病毒过滤。
3.补丁分析
自动建立补丁库,支持补丁库信息查询。针对下载的补丁进行归类存放,按照不同操作系统、补丁编号、补丁发布时间、补丁风险等级、补丁公告等进行归类,帮助管理人员快速识别补丁。
4.补丁策略制订(分发)
支持用户自定义补丁策略并自由配置分发,基于终端计算机网络IP范围、操作系统种类、补丁类别(系统补丁、IE补丁、应用程序补丁以及网管自定
义补丁类等)等制订策略,发送至终端计算机后统一按策略执行应用。
补丁分发策略
5.补丁自动修复
在指定时间、指定网络范围内以不同方式(如推、拉)分发补丁,或者根据脚本策略统一控制终端计算机下载补丁,当监测到有终端计算机未打补丁时,可对漏打补丁终端计算机进行推送补丁。补丁分发支持流量和连接数控制,以免占用太大带宽,影响网络正常工作。
6.补丁下载转发代理
提供补丁自动代理转发功能,提高补丁下发效率,减少网络带宽的占用率,节省网络资源。
7.补丁安全性测试
补丁分发前闭环自动测试,对下载的补丁进行自动测试(建立测试网络
组),测试完成后将其存入补丁库,以提高打补丁的成功性、安全性、可靠性。
8.普通文件分发及文件自动执行
可以提供分发普通文件也可以分发可执行文件及MSI等形式的压缩文件并自动执行。
软件分发策略制定
下发成功示意图
软件下发完成后,管理员可以在管理平台里查看软件下发/安装情况,根据
查看的结果即使调整软件下发策略:
软件下发回馈信息查询
3.4.2.移动存储介质管理设计实现
3.4.2.1.移动存储介质管理概述
该设计针对内网移动存储介质管理的特点进行,以移动数据生命周期为主导,紧扣其存储和交换的安全需求,针对移动数据全生命周期各个环节潜在的安全隐患,综合运用各种安全技术和手段,进行有效全程防护的安全产品。设计时考虑到了区域访问控制,信息保密、文件走查审计等方面,确保单位内网的信息不因使用移动存储而造成威胁,做到事前有保护,事后可追查,提供安全、简单易用的数据交换安全解决方案。
该设计以数据为中心,用户作为数据的使用者,主机作为数据的存储者,移动存储介质作为数据的迁移者,在管理范围内均赋予唯一的标识,三者进行相互认证。只有经认证和授权成功后,才保证合法的用户在合法的机器上访问合法存储介质上的数据,并形成详尽的日志供审计。
移动数据安全访问模型
3.4.2.2.移动存储介质管理方案及思路
体系设计对移动存储介质安全管理范围应该包括U盘、移动硬盘、MP3、手机、智能卡设备等移动存储介质,以及打印机等外设,体系设计与利用移动存储设备或其他方式进行数据交换的相关终端计算机接口管理,包括光驱、软驱、USB移动存储接口、USB全部接口、打印机接口、红外设及蓝牙设备等。
因此,体系技术设计主要包括5类的USB设备控制问题,包括存储类(Mass Storage)、打印机类(Printer Class)、智能卡类(Smart Card Class)、图像类(Imaging Class)、HID设备类等,并通过相关的技术手段提供统一的管理平台及适用于各类存储介质的应用管理策略,确保提供完整有效的移动存储环境和移动存储设备的安全使用方案。移动存储设备接入管理具体功能如下:1.移动存储设备(分设备、网段等的)接入认证管理,保障指定设备读写指定
移动存储设备的访问控制管理;
2.移动存储数据读写控制管理;
3.移动存储设备标签认证管理;
4.移动存储设备分区(普通区和加密区)管理;
分区格式化
5.移动存储设备的加密管理,防止加密区的敏感信息外泄;
6.移动存储设备接入行为审计;
7.移动存储设备数据交换行为审计管理,比如设定文件后缀名等条件;
8.设计对文件操作详细审计记录:包括文件的创建、复制、删除、修改和重命
名等操作,(包括文件名、审计描述、时间、用户名、计算机IP地址和其他必要的信息);
9.设计对移动存储介质的插入和拔出动作的详细记录,具体包括事件类型、移
动存储介质的名称、用户、计算机IP地址、事件时间;
移动存储审计
设计对终端计算机大量的文件拷贝行为可自主设定阈值,超过阈值的不进行审计。如拷贝超过1000个文件不进行审计(这主要是因为这样的大量拷贝行为一般不会是违规的行为);移动存储标签制作记录:对于在网络内使用的移动存储设备(如U盘等)设置一个标签,不同管理员可以获得不同的标签类型分配。当U盘接入到网络终端时,能够自动识别标签,如果识别通过,则该U盘可以使用,否则不可使用。
该设计运用商用密码技术,实现商用密码算法的加密、解密和认证等功能的技术,通过密码算法编程技术、密码算法芯片或加密卡等以实现移动信息保护、访问控制、审计监控等,以满足移动介质标记认证管理的功能需求。
北信源内网安全管理系统(服务器版)安装说明
快速阅读指南 1.本使用手册为北信源终端安全管理系列产品全功能用户手册,请按照所购买产品对应相关的产品说明进行配置使用(该手册第一、二、三章为终端安全管理产品共有部分,凡购买任何一款终端安全管理产品都应首先详细阅读此三个章节)。 2.详细阅读本软件组件功能、组成、作用、应用构架,确切了解本软件的系统应用。 3.安装准备软件环境:Microsoft SQL Server2000、Windows2000Server、Internet服务管理器。SQL安装注意事项请参照第二章2-3-1所示。建议将数据库管理系统、区域管理器、WEB管理平台安装在同一服务器上,确认区域管理器所在机器的88端口不被占用(即非主域控制器);防火墙应允许打开88,2388,2399,22105,8900,8901,22106,22108,8889端口。 4.按步骤安装各组件后,通过http://*.*.*.*/vrveis登录Web管理平台,首先对Web管理平台进行如下配置:添加区域→划分该区域IP范围→指定区域管理器→指定区域扫描器。 5.双击屏幕右下角区域管理器、单击主机保护进行通讯参数配置。 6.在\VRV\VRVEIS\download目录中,使用RegTools.exe工具修改DeviceRegist.exe文件中的本地区域管理器IP,将修改后的注册程序DeviceRegist.exe放在机构网站上进行静态网页注册,或者在机构网站上加载动态网页检测注册脚本语句,进行动态设备注册。 7.系统升级:联系北信源公司获取最新的软件组件升级包,确保Web管理平台、区域管理器、客户端注册程序等组件的升级。 8.如果本说明书中的插图与实际应用的产品有出入,以实际产品为主。 特别提示:默认管理员用户:admin,密码:123456;系统指定审计用户名:audit,密码:123456请注意修改。
信息系统安全管理方案措施.doc
信息系统安全管理方案措施1 信息系统安全管理方案措施 为保证医院信息系统的安全性、可靠性,确保数据的完整性和准确性,防止计算机网络失密、泄密时间发生,制定本方案。信息中心安全职责 信息中心负责医院信息系统及业务数据的安全管理。明确信息中心主要安全职责如下: (一)负责业务软件系统数据库的正常运行与业务软件的安全运行;(二)保证业务软件调存数据的准确获取与运用; (三)负责医院办公网络与通信的正常运行与安全维护; (四)负责医院服务器的正常运行与上网行为的安全管理; (五)负责公司杀毒软件的安装与应用维护; (六)信息中心负责管理医院各服务器管理员用户名与密码,不得外泄。 (七)定期监测检查各服务器运行情况,如业务软件系统数据库出现异常情况,首先做好系统日志,并及时向信息室负责人及主管领导汇报,提出应急解决方案。如其他业务服务器出现异常,及时与合作方联系,协助处理。 (八)数据库是公司信息数据的核心部位,非经信息中心负责人同意,不得擅自进入数据库访问或者查询数据,否则按严重违纪处理。(九)信息中心在做系统需求更新测试时,需先进入
备份数据库中测试成功后,方可对正式系统进行更新操作。 (十)业务软件系统服务器是公司数据信息的核心部位,也是各项数 据的最原始存储位置,信息中心必须做好设备的监测与记录工作,如遇异常及时汇报。 (十一)信息中心每天监测检查数据库备份系统,并认真做好日志记录,如遇异常及时向信息中心主管领导汇报。 (十二)机房重地,严禁入内。中心机房环境要求严格,摆放设备异常重要,非经信息中心负责人同意严禁入内。外单位人员进入机房需由信息中心人员专人陪同进入。如需要进行各项操作须经信息中心负责人同意后方可进行操作。 (十三)信息中心负责医院网络与各终端机IP地址的规划、分配和管理工作。包括IP地址的规划、备案、分配、IP地址和网卡地址的绑定、IP地址的监管和网络故障监测等。个人不得擅自更改或者盗用IP地址。 (十四)医院IP地址的设置均采用固定IP分配方式,外来人员的电脑需要在信息中心主管领导的批准下分配IP进行办公。 (十五)用户发现有人未经同意擅自盗用、挪用他人或本人的IP地址,应及时向信息中心报告。 (十六)信息中心负责医院办公网络与通信网络的规划与实施,任何个人或科室不得擅自挪动或关闭科室内存放的信息设备(交换机、网络模块)。
内外网隔离网络安全解决方案
内外网隔离网络安全解决方案 ●网络现状与安全隐患 目前,大多数企业都安装有隔离卡等设备将企业分为两个网络:内网与外网,内网用作内部得办公自动化,外网用来对外发布信息、获得因特网上得即时消息,以及用电子邮件进行信息交流。为了数据得安全性,内网与外网都通过隔离卡或网闸等方式实现内外网得物理隔离,从一定程度上杜绝了内外网得混合使用造成得信息外泄.如下图所示: 然而,对于内网中移动存储介质得随意使用以及外部终端非法接入内网来泄露内部信息得安全隐患,仍然得不到解决。存在得安全隐患主要有: 1、移动存储介质泄密 ◆外来移动存储介质拷去内网信息; ◆内网移动存储介质相互混用,造成泄密; ◆涉密介质丢失造成泄密 2、终端造成泄密 ◆计算机终端各种端口得随意使用,造成泄密; ◆外部终端非法接入内网泄密; ◆内网终端非法外联外部网络泄密 ●捍卫者解决方案 <1>终端外设端口管理
1)对于非常用端口: 使用捍卫者USB安全管理系统,根据具体情况将该终端得不常使用得外设 (如红外、蓝牙、串口、并口等)设置为禁用或就是只读(刻录机,USB端口有该功能),一旦设定则无法从“设备管理器“启用,只能通过捍卫者启用,如下图所示部分终端外设禁用状态,这样可以有效得解决终端外设泄密。 2)USB端口: 内网终端得USB端口建议设置为只读,这样外网使用得存储介质可以向内网拷贝数据,但就是不能从内网终端拷贝出数据。从防病毒考虑,也可以设置为完全禁用,这样只有授权存储介质才能根据授权使用,外部移动存储介质无法使用。 〈2〉移动存储介质授权管理 对内部得移动存储介质进行统一得授权管理,然后在根据需求设定当前USB端口得状态(即USB端口加密),这样外来得移动存储介质在内部终端不可以使用或就是只读,即解决了移动储存介质得随意插拔使用又防止了木马、病毒得传播泛滥。 在授权过程中,首先选择给移动存储介质得使用范围,可以分域授权使用,一对一或一对多得与终端绑定使用(这样移动存储介质在一定得范围内可以任意使用);然后输入移
中软统一终端安全管理平台8.0安装手册(单机版)
(单机版
Version:8.0.7.x)
中国软件与技术服务股份有限公司 CHINA NATIONAL SOFTWARE & SERVICE CO.,LTD.
版 权 声 明
非常感谢您选用我们的产品, 本手册用于指导用户安装中软统一终端安全管理平台 8.0 (中文简称安全管理平台) ,请您在安装本系统前,详细阅读本手册。本手册和系统一并出售且 仅提供电子文档。 。 Copyright ? 2005 by CS&S,中国软件与技术服务股份有限公司版权所有。 中软统一终端安全管理平台 8.0 是中国软件与技术服务股份有限公司自主研发的受法 律保护的商业软件。遵守法律是共同的责任,任何人未经授权人许可,不得以任何形式或方法 及出于任何目的复制或传播本软件和手册,权利人将追究侵权者责任并保留要求赔偿的权利。 任何人或实体由于该手册提供的信息造成的任何损失或损害,中国软件与技术服务股 份有限公司不承担任何义务或责任。
系统版权 中文名称:中软统一终端安全管理平台 8.0 英文简称:UEM8.0 开发单位:中国软件与技术服务股份有限公司
本系统的版权单位 中国软件与技术服务股份有限公司 地址:北京市海淀区学院南路 55 号中软大厦,100081 电话: (010)51508031/32/33 邮箱:waterbox@https://www.sodocs.net/doc/2013008741.html,
2
前
言
目前,个人计算机系统成为组成企业、单位网络的主体,也是绝大多数泄密事件发生的源头。 针对这一现状,中软自主研发的终端安全管理平台是内网安全管理的有力武器,是加强个人计算机 内部安全管理的重要工具。它作为国内市场上第一款成熟的内部安全管理软件,填补了国内在该领 域的空白,为我国信息安全保障工作注入了新的活力。 本书详细介绍了中软统一终端安全管理平台 8.0 安装方法,为用户在安装本系统时提供参考, 全书共为五章。 第一章:系统概述 第二章:体系结构和运行所需软硬件环境 第三章:服务器安装与卸载 第四章:控制台安装与卸载 第五章:客户端安装与卸载 本书内容全面,深入浅出,适合安装、使用中软统一终端安全管理平台的用户读者;检测、评 估中软统一终端安全管理平台的技术人员和专家以及希望使用中软统一终端安全管理平台协助对其 组织、机构或企业进行管理的管理人员等。 本手册适用于中软统一终端安全管理平台 8.0 的 8.0.7.x 单机版本的安装使用,随相应版本的产 品光盘附带,对该产品的其他版本,如未作特殊说明或者更新,该手册同样适用。 本手册在编写过程中,尽管我们做了最大努力力求完美和准确,但由于水平有限,难免存在疏 漏和缺陷之处。如果您对本手册有任何疑问、意见或建议,请与我们联系。感谢您对我们的支持和 帮助。
通用产品研发中心 2008 年 3 月
3
安全管理体系和保障措施方案
安全管理体系及保障措施 1.19.1、安全目标 坚持“安全第一、预防为主”和“管生产必须管安全”的原则。本项目部安全目标为: “五无”:即无人身伤亡事故、无重大行车事故、无重大交通责任事故、无火灾事故、无压力容器爆炸事故。 “两控制”:职工重伤频率控制在0.6‰以下,轻伤频率控制在1.2‰以下。 “三消灭”:消灭违章指挥,消灭违章作业,消灭惯性事故。 1.29.2、安全管理体系 9.2.1安全管理体系 1、安全管理组织机构 建立健全安全生产管理机构,成立以项目经理为组长的安全生产 领导小组,全面负责并领导本项目的安全生产工作,项目总工程师为 安全生产的技术负责人。
图9-1 安全管理组织图 2、安全管理办公室设置及职责 项目经理部安全管理办公室设在安全质量部,安质部下设安全组,设专职安全员,具体负责本项目部的安全管理工作。 安质部对本项目部工程项目的施工安全工作行使监督检查职权。做好安全管理和监督检查工作。贯彻执行劳动保护法规。督促实施各项安全技术措施。开展安全生产教育工作。组织安全生产检查,研究解决施工中的不安全因素。参加事故调查,提出事故处理意见,制止违章作业,遇有险情有权停止生产。健全安全管理工作台帐。 3、安全防范重点 根据本项目部项目工程特点,施工场地中安全防范的重点为:(1)、生产设备的施工生产安全; (2)、起重设备的施工安全; (3)、施工用电安全; 4、安全保证体系框图
图9-2 安全保障体系框图
9.2.2、安全管理制度 1、建立健全安全生产责任制度 牢固树立安全意识,严格执行施工过程中的各项规章制度,建立健全各项安全生产责任制度,落实安全措施和责任,确保施工安全。对施工安全工作做到有检查、有落实、有总结评比、有考核。施工中认真落实安全措施,做到责任到人。在施工生产中,按照定岗定责的原则,增加安全人员的责任心,避免发生各种责任事故,并对发生安全事故的责任人进行处罚。 从项目经理到生产工人的安全管理系统必须做到纵向到底,一环不漏;各职能部门和人员的安全生产责任制横向到边,人人有责。项目经理是安全生产的第一责任人。 (1)项目经理(副经理)安全职责: 对安全生产和劳动保护负领导和管理责任; 贯彻国家、行业和公司有关安全生产的方针、政策和规章制度; 组织制定安全管理制度,研究解决安全生产中的问题,组织安全生产检查; 监督各级、各职能部门贯彻安全生产责任制情况; 主持重大伤亡事故的调查处理。 (2)项目总工(副总工)安全职责: 对安全生产和劳动保护方面工作负技术领导责任; 在组织编制实施性施工组织设计时,同时编制相应的安全技术措施;
终端安全解决方案
基于“金财工程应用支撑平台”构建财政一体化信息系统 终端安全建设项目实施方案 长沙艾灵信息技术有限公司 2011年11月
目录 _________________________________________________________________________________________________________________________________________________________ 1 终端安全管理概述 (1) 1.1 终端安全概述 (1) 2 风险与需求分析 (2) 2.1 网络资源的非授权使用或者授权滥用 (2) 2.2 因安全管理不善,引发的IT资源不可用或者资源损失 (2) 2.3 非法接入带来的网络安全威胁 (3) 2.4 移动介质和外设端口的管理 (3) 2.5 终端行为控制与上网行为监控 (3) 2.6 客户机自身存在安全缺陷,导致网络内部安全隐患 (4) 3 终端安全管理需求 (4) 4 终端安全管理发展趋势 (6) 5 终端安全产品选型 (7) 5.1 选型原则 (7) 5.2 系统功能介绍 (9) 5.2.1 桌面安全管理 (9) 5.2.2 存储、外设管理 (11) 5.2.3 安全准入管理 (12) 5.2.4 非法外联监控 (13) 5.2.5 补丁分发管理 (13) 5.3 系统组成 (15) 6 系统部署 (15) 6.1 部署位置 (15) 6.2 部署方式 (15) 7 系统功效 (16) 7.1 接入控制 (16) 7.2 存储、外设管理 (17) 7.3 非法外联 (17) 7.4 终端使用行为 (18) 7.5 补丁分发 (18) 8 成功案例 (18) 8.1 典型应用 (18)
4A(统一安全管理平台)解决方案
4A(统一安全管理平台)简介 企业信息门户系统供稿1、介绍 企业信息化软件,一般经历下面几个阶段:无纸化办公—信息共享—信息安全等三个阶段,随着企业承载应用的越来越多,对所有应用的统一访问、统一控制、统一授权的需求也随着出现,4A就是针对此类问题的综合解决方案。4A是指:认证Authentication、账号Account、授权Authorization、审计Audit,中文名称为统一安全管理平台解决方案。融合统一用户账号管理、统一认证管理、统一授权管理和统一安全审计四要素后的解决方案将涵盖单点登录(SSO)等安全功能,既能够为客户提供功能完善的、高安全级别的4A管理,也能够为用户提供符合萨班斯法案(SOX)要求的内控报表。 2、4A系统背景 随着信息技术的不断发展和信息化建设的不断进步,业务应用、办公系统、商务平台不断推出和投入运行,信息系统在企业的运营中全面渗透。电信行业、财政、税务、公安、金融、电力、石油、大中型企业和门户网站,使用数量众多的网络设备、服务器主机来提供基础网络服务、运行关键业务,提供电子商务、数据库应用、ERP和协同工作群件等服务。由于设备和服务器众多,系统管理员压力太大等因素,越权访问、误操作、滥用、恶意破坏等情况时有发生,这严重影响企业的经济运行效能,并对企业声誉造成重大影响。另外黑客的恶意访问也有可能获取系统权限,闯入部门或企业内部网络,造成不可估量的损失。如何提高系统运维管理水平,跟踪服务器上用户的操作行为,防止黑客的入侵和破坏,提供控制和审计依据,降低运维成本,满足相关标准要求,越来越成为企业关心的问题。
3、4A平台的管理功能 为用户提供统一集中的帐号管理,支持管理的资源包括主流的操作系统、网络设备和应用系统;不仅能够实现被管理资源帐号的创建、删除及同步等帐号管理生命周期所包含的基本功能,而且也可以通过平台进行帐号密码策略,密码强度、生存周期的设定。 2)集中认证(authentication)管理 可以根据用户应用的实际需要,为用户提供不同强度的认证方式,既可以保持原有的静态口令方式,又可以提供具有双因子认证方式的高强度认证(一次性口令、数字证书、动态口令),而且还能够集成现有其它如生物特征等新型的认证方式。不仅可以实现用户认证的统一管理,并且能够为用户提供统一的认证门户,实现企业信息资源访问的单点登录。 3)集中权限(authorization)管理 可以对用户的资源访问权限进行集中控制。它既可以实现对B/S、C/S应用系统资源的访问权限控制,也可以实现对数据库、主机及网络设备的操作的权限控制,资源控制类型既包括B/S的URL、C/S的功能模块,也包括数据库的数据、记录及主机、网络设备的操作命令、IP地址及端口。
内网终端安全管理系统解决方案
内网终端安全管理系统解决方案
北信源内网终端安全管理系统 解决方案 北京北信源软件股份有限公司
目录 1.前言................................ 错误!未定义书签。 1.1.概述 错误!未定义书签。 1.2.应对策略 错误!未定义书签。 2.终端安全防护理念.................... 错误!未定义书签。 2.1.安全理念 错误!未定义书签。 2.2.安全体系 错误!未定义书签。 3.终端安全管理解决方案................ 错误!未定义书签。 3.1.终端安全管理建设目标 错误!未定义书签。 3.2.终端安全管理方案设计原则 错误!未定义书签。 3.3.终端安全管理方案设计思路 错误!未定义书签。 3.4.终端安全管理解决方案实现 错误!未定义书签。 3.4.1.网络接入管理设计实现 错误!未定义书签。 3.4.1.1.网络接入管理概述
3.4.1.2.网络接入管理方案及思路 错误!未定义书签。 3.4.2.补丁及软件自动分发管理设计实现 错误!未定义书签。 3.4.2.1.补丁及软件自动分发管理概述 错误!未定义书签。 3.4.2.2.补丁及软件自动分发管理方案及思路 错误!未定义书签。 3.4.3.移动存储介质管理设计实现 错误!未定义书签。 3.4.3.1.移动存储介质管理概述 错误!未定义书签。 3.4.3.2.移动存储介质管理方案及思路 错误!未定义书签。 3.4.4.桌面终端管理设计实现 错误!未定义书签。 3.4.4.1.桌面终端管理概述 错误!未定义书签。 3.4.4.2.桌面终端管理方案及思路 错误!未定义书签。 3.4.5.终端安全审计设计实现 错误!未定义书签。 3.4.5.1.终端安全审计概述
安全管理体系总体设计方案
1安全管理体系总体设计案 1.1安全组织结构 省农垦总局总医院安全管理组织应形成由主管领导牵头的信息安全领导小组、具体信息安全职能部门负责日常工作的组织模式,组织结构图如下所示: 图8-1安全组织结构图 1.1.1信息安全领导小组职责 信息安全领导小组是由省农垦总局总医院主管领导牵头,各部门的负责人为组成成员的组织机构,主要负责批准省农垦总局总医院安全策略、分配安全责任并协调安全策略能够实施,确保安全管理工作有一个明确的向,从管理和决策层角度对信息安全管理提供支持。信息安全领导小组的主要责任如下:
(一)确定网络与信息安全工作的总体向、目标、总体原则和安全工作法; (二)审查并批准政府的信息安全策略和安全责任; (三)分配和指导安全管理总体职责与工作; (四)在网络与信息面临重大安全风险时,监督控制可能发生的重大变化; (五)对安全管理的重大更改事项(例如:组织机构调整、关键人事变动、信 息系统更改等)进行决策; (六)指挥、协调、督促并审查重大安全事件的处理,并协调改进措施; (七)审核网络安全建设和管理的重要活动,如重要安全项目建设、重要的安 全管理措施出台等; (八)定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进 行审定。 1.1.2信息安全工作组职责 信息安全工作组是信息安全工作的日常执行机构,设专职的安全管理组织和岗位,负责日常具体安全工作的落实、组织和协调。信息安全工作组的主要职责如下: (一)贯彻执行和解释信息安全领导小组的决议; (二)贯彻执行和解释主管机构下发的信息安全策略; (三)负责组织和协调各类信息安全规划、案、实施、测试和验收评审会议; (四)负责落实和执行各类信息安全具体工作,并对具体落实情况进行总结和汇报;
终端安全解决方案
终端安全解决方案 第一部分、终端问题的处理方法 一、首先需要查到攻击源: 1物理查看方法,查看网卡显示灯。 没有运行应用的机器,网卡的收发两个灯或发送灯在不停的闪烁,可判定这台终端有问题; 2、终端查看连接状态的方法,查看终端开放的端口,协议等。 在DOS命令状态下输入netstat -an 查看连接状态,查看是否有异常 端口开放,是否有异常的连接等,通过 arp -a查看arp表,主要看网关和已经终端的MAC地址学习是否正确,用arp -d删除错误IP对应的MA(地址,net share 查看一下共享信息,无用文件共享关闭。netstat -rn查看终端的路由信息是否 正常,而ipconfig /all 看一下网卡启用状态,一般需要将无用的和虚拟的网 卡禁用。 查看网络连接,即“本地连接”或其他名称的网络连接,无用连接需要禁用。有用连接中的相关无用服务关闭掉,尤其是“ QO数据包计划”经常导致系统出现问题。在测试时可仅保留“ mircosofe客户端”和“ in ternet 协议 (TCP/IP)这两个协议,其他的测试时可保留终端防火墙和终端抓包的两类协议,但一定要确认是本地软件安装的协议,必要时可卸载然后重新用干净软件安装一下; 3、采用sniffer或ethtool这样的抓包工具查看攻击,一般发包比较多的为攻击源。sniffer你直接看流量的图,哪个终端与服务器的直连线最高说明发起的攻击最
多。而 ethtool 一般直接查看arp协议,点协议排序就可以,一般有问题的机器不停的问我是谁这样相关的信息; 4、查看终端补丁安装情况,一般需要确认相关操作系统安全补丁均已经正常安装,并查一下相关主要的应用软件是否也需要进行补丁安装或程序的版本升级,一般升到最新的稳定安装版本,不要升级测试版本; 5、采用任务管理器和安全卫士 360等工具查看服务器和终端当前应用 程序的运行情况,无用的相关应用程序进行关闭,同时查看IE的相关设置是否 有问题,建议删除无用的第三方IE插件; 二、确定问题后进行查杀: 1、物理上方法一般采用2层交换机端口进行绑定的方式进行终端的IP 和MAC#定; 2、将二层交换机向三层交换机进行汇聚连接,并在三层交换机上进行终端IP 和MAC绑定。在初始的情况下,如果哪个终端的MAC地址迅速网关或替 换其他IP的MAC则此终端存在问题,一般将其MAC S定为全零,然后进行arp 表的清除; 3、一般可采用安全卫士 360等终端查杀和系统恢复软件进行临时文件删除,服务的关闭和IE的清理等,或采用兵刃或红叶等安全套件进行清理,但兵刃和红叶中多是黑客的攻击软件需要保持其自身的安全性,防止前面驱虎,后面引狼; 4、终端软件重新安装也是比较快捷的方式,但是要注意简版的操作系统和低版本的应用软件均在先天就存在致命的漏洞。建议选择正版或全版和新整合的操作系统,在补丁安装完成前不要接入到网络中,并且注意安装软件自身的安全,应用软件可以逐步进行安装,但安装一个要确保其补丁升级完成。这个工作在前期准备需要相当长的时间,但是这个是保证终端可用性的前提,一定要重视。
内网终端安全管理系统项目解决方案
北信源内网终端安全管理系统 解决方案 北京北信源软件股份有限公司
目录 1.前言 (4) 1.1. 概述 (4) 1.2. 应对策略 (5) 2.终端安全防护理念 (6) 2.1. 安全理念 (6) 2.2. 安全体系 (7) 3.终端安全管理解决方案 (9) 3.1. 终端安全管理建设目标 (9) 3.2. 终端安全管理方案设计原则 (9) 3.3. 终端安全管理方案设计思路 (10) 3.4. 终端安全管理解决方案实现 (12) 3.4.1. 网络接入管理设计实现 ........................................ 错误!未定义书签。 3.4.1.1. 网络接入管理概述 ........................................ 错误!未定义书签。 3.4.1.2. 网络接入管理方案及思路............................... 错误!未定义书签。 3.4.2. 补丁及软件自动分发管理设计实现 (12) 3.4.2.1. 补丁及软件自动分发管理概述 (12) 3.4.2.2. 补丁及软件自动分发管理方案及思路 (12) 3.4.3. 移动存储介质管理设计实现 (17) 3.4.3.1. 移动存储介质管理概述 (17) 3.4.3.2. 移动存储介质管理方案及思路 (18) 3.4.4. 桌面终端管理设计实现 (21) 3.4.4.1. 桌面终端管理概述 (21) 3.4.4.2. 桌面终端管理方案及思路 (22) 3.4.5. 终端安全审计设计实现 ........................................ 错误!未定义书签。 3.4.5.1. 终端安全审计概述 ........................................ 错误!未定义书签。 3.4.5.2. 终端安全审计方案及思路............................... 错误!未定义书签。 4.方案总结 (41) 5.附录:系统硬件要求 (41) 6.预算 (43)
安全生产管理信息系统解决方案
安全生产管理信息系统解决方案 1
安全生产管理信息系统 解决方案 河北创巨圆科技发展有限公司 4月15日 II
目录 第1章系统概述............................................................ 错误!未定义书签。 1.1建设背景................................................................ 错误!未定义书签。 1.2指导思想................................................................ 错误!未定义书签。 1.3建设原则................................................................ 错误!未定义书签。 1.4建设目标................................................................ 错误!未定义书签。 1.5建设任务................................................................ 错误!未定义书签。 1.5.1为安全信息建立统一的基础平台................. 错误!未定义书签。 1.5.2为安全业务构建协同的执行平台................. 错误!未定义书签。 1.5.3为安全管理提供有效的监管平台................. 错误!未定义书签。 1.5.4为辅助决策提供可靠的支持平台................. 错误!未定义书签。 1.5.5为安全文化建设提供信息化支撑................. 错误!未定义书签。第2章总体设计............................................................ 错误!未定义书签。 2.1设计原则................................................................ 错误!未定义书签。 2.1.1统一性原则 ..................................................... 错误!未定义书签。 2.1.2规范性原则 ..................................................... 错误!未定义书签。 2.1.3先进性原则 ..................................................... 错误!未定义书签。 2.1.4安全性原则 ..................................................... 错误!未定义书签。 2.1.5集成性原则 ..................................................... 错误!未定义书签。 2.4.6实用性原则 ..................................................... 错误!未定义书签。 2.4.7灵活性原则 ..................................................... 错误!未定义书签。 I
天珣内网安全风险管理与审计系统
天珣内网安全风险管理与审计系统 安装配置手册 (V6.6.9.4) 启明星辰 Beijing Venustech Cybervision Co., Ltd. 2012年11月
版权声明 北京启明星辰信息安全技术有限公司版权所有,并保留对本文档及本声明的最终解释权和修改权。 本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明外,其著作权或其他相关权利均属于北京启明星辰信息安全技术有限公司。未经北京启明星辰信息安全技术有限公司书面同意,任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其它语言、将其全部或部分用于商业用途。 “天珣”为北京启明星辰信息安全技术有限公司的注册商标,不得侵犯。 免责条款 本文档依据现有信息制作,其内容如有更改,恕不另行通知。 北京启明星辰信息安全技术有限公司在编写该文档的时候已尽最大努力保证其内容准确可靠,但北京启明星辰信息安全技术有限公司不对本文档中的遗漏、不准确、或错误导致的损失和损害承担责任。
目录 版权声明 (1) 免责条款 (1) 信息反馈........................................... 错误!未定义书签。1综述 . (4) 2安装环境及要求 (4) 3.天珣内网安全风险管理与审计系统主要组件介绍 (6) 3.1.服务器组件 (6) 3.1.1. 中心策略服务器 (6) 3.1.2. 本地策略服务器 (6) 3.1.3. 资产管理服务器................................错误!未定义书签。 3.1.4. Radius服务器 (6) 3.1.5. 攻击告警服务器 (6) 3.1.6. 软件分发服务器 (7) 3.1.7. HOD远程桌面服务器 (7) 3.2.策略网关组件 (7) 3.2.1. 策略网关代理 (7) 3.2.2. 中性策略网关 (7) 3.2.3. IIS策略网关 (8) 3.2.4. ISA策略网关 (8) 3.2.5. EXCHANGE策略网关 (8) 3.2.6. DNS策略网关及旁路监听式DNS策略网关 (8) 3.2.7. 客户端 (9) 3.2.8. 按需支援管理端 (9) 3.2.9. 客户端打包程序 (9) 4.天珣内网安全风险管理与审计系统的安装 (9) 4.1.快速安装 (10) 4.1.1 快速安装部署 (10) 4.1.2 基本配置 (27) 4.2.自定义安装 (31) 4.2.1 自定义安装中心服务器 (32) 4.3.本地服务器的安装配置 (33) 4.3.1 添加策略服务器 (37) 4.4.策略网关配置 (38) 4.4.1 添加策略网关代理 (38) 4.4.2 安装中性策略网关 (39) 4.5.远程桌面的系统配置 (46) 4.5.1 安装添加远程桌面服务器 (46) 4.5.2 添加远程桌面管理员 (46) 4.5.3 安装按需支援管理员端程序 (47) 4.5.4 用户请求管理员远程帮助 (49) 4.6.软件分发安装与配置 (49) 4.6.1 安装软件分发服务器 (49)
信息系统安全管理方案
信息系统安全管理方案 Corporation standardization office #QS8QHH-HHGX8Q8-GNHHJ8
信息系统安全管理方案 信息系统的安全,是指为信息系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄漏,以保证系统连续正常运行。信息系统的安全方案是为发布、管理和保护敏感的信息资源而制定的一级法律、法规和措施的总和,是对信息资源使用、管理规则的正式描述,是院内所有人员都必须遵守的规则。信息系统的受到的安全威胁有:操作系统的不安全性、防火墙的不安全性、来自内部人员的安全威胁、缺乏有效的监督机制和评估网络系统的安全性手段、系统不能对病毒有效控制等。 一、机房设备的物理安全 硬件设备事故对信息系统危害极大,如电源事故引起的火灾,机房通风散热不好引起烧毁硬件等,严重的可使系统业务停顿,造成不可估量的损失;轻的也会使相应业务混乱,无法正常运转。对系统的管理、看护不善,可使一些不法分子盗窃计算机及网络硬件设备,从中牟利,使企业和国家财产遭受损失,还破坏了系统的正常运行。 因此,信息系统安全首先要保证机房和硬件设备的安全。要制定严格的机房管理制度和保卫制度,注意防火、防盗、防雷击等突发事件和自然灾害,采用隔离、防辐射措施实现系统安全运行。 二、管理制度 在制定安全策略的同时,要制定相关的信息与网络安全的技术标准与规范。技术标准着重从技术方面规定与规范实现安全策略的技术、机
制与安全产品的功能指标要求。管理规范是从政策组织、人力与流程方面对安全策略的实施进行规划。这些标准与规范是安全策略的技术保障与管理基础,没有一定政策法规制度保障的安全策略形同一堆废纸。 要备好国家有关法规,如:《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《计算机信息网络国际联网安全保护管理办法》、《计算机信息系统安全专用产品检测和销售许可证管理办法》、《中华人民共和国计算机信息网络国际联网管理暂行规定实施办法》、《商用密码管理条例》等,做到有据可查。同时,要制定信息系统及其环境安全管理的规则,规则应包含下列内容: 1、岗位职责:包括门卫在内的值班制度与职责,管理人员和工程技术人员的职责; 2、信息系统的使用规则,包括各用户的使用权限,建立与维护完整的网络用户数据库,严格对系统日志进行管理,对公共机房实行精确到人、到机位的登记制度,实现对网络客户、IP地址、MAC地址、服务帐号的精确管理; 3、软件管理制度; 4、机房设备(包括电源、空调)管理制度; 5、网络运行管理制度; 6、硬件维护制度; 7、软件维护制度; 8、定期安全检查与教育制度;
内网安全管理系统项目方案
内网安全管理系统项目方案
目录 第一章概述 (4) 1.1 建立内网安全管理系统的必要性 (4) 1.2 现状分析 (4) 1.3 项目需求 (4) 第二章系统建设目标与原则 (5) 2.1 系统建设目标 (5) 2.2 系统建设原则 (6) 2.2.1 先进性原则 (6) 2.2.2 易于管理、操作和维护原则 (6) 2.2.3 充分利用现有资源原则 (6) 2.2.4 安全与性能负载均衡原则 (6) 第三章总体设计方案 (6) 3.1 系统总体架构 (7) 3.2 系统功能架构设计 (9) 3.2.1 基于进程的文档加密驱动 (9) 3.2.2 端口控制驱动 (10) 3.2.3 移动存储设备控制驱动 (10) 3.3 系统配置清单 (11) 第四章系统功能设计 (11) 4.1 认证授权系统设计 (11) 4.1.1 客户端动态注册,浮动License 管理 (11) 4.1.2 控制台和客户端的网络身份认证 (12) 4.1.3 多种身份认证相结合 (12) 4.1.4 策略集中分级管理 (12) 4.1.5 支持按分组和单个计算机灵活定制策略 (13) 4.1.6 限时有效策略 (13) 4.2 数据安全保密系统设计 (13) 4.2.1 文件透明加解密 (14) 4.2.2 涉密文件安全防护 (15) 4.3 硬件安全防护系统设计 (16) 4.3.1 存储设备控制 (16) 4.3.2 通讯设备控制 (16) 4.3.3 存储设备准入认证 (16) 4.4 IT 资产管理系统设计 (17) 4.4.1 资产的完备性 (17) 4.4.2 资产变更的准实时性 (17) 4.4.3 详细的报告 (17)
中软统一终端安全管理系统
“中软统一终端安全管理系统(United Endpoint Management, 简称UEM)”,以其全新的安全理念、强大的功能体系、完善的技术架构,改变了传统的内网安全管理模式,实现了主机监控与审计的完美统一。该系统采用了终端安全“一体化”的安全防护技术,整合了病毒防护监测、网络接入认证、终端健康性检查、系统身份认证、资产管理、补丁管理、运行监控和失泄密防护等等终端软件的安全功能,是终端安全的完整解决方案。 【系统功能】 该系统的主要从以下几个方面保障内部安全: 一.终端安全管理 1.安全策略管理 按照企业终端计算机安全管理规定,统一配置终端计算机的Windows安全策略,实现集中的安全策略配置管理,统一提高终端计算机用户的安全策略基线。系统所能配置的安全策略有:帐户密码策略监视、帐户锁定策略监视、审核策略监视、共享策略监视、屏保策略监视。 2.终端入网认证 对接入内网的计算机进行统一的管理,未经许可的计算机不能接入内网,接入内网的计算机必须通过安全性检查才能访问内部网络资源,其主要功能为:非法用户内联控制、主机安全性检查。 3.用户身份认证 身份认证是系统应用安全的起点,通过硬件USBKey和口令认证登录Windows系统用户身份,保证进入Windows系统用户身份的合法性;对登录用户权限进行合法性检查,保证用户权限的合规性。具体功能为:基于USBKey的身份认证、登录用户权限合法性检查。 4.网络进程管理 通过对网络进程的统一管理,规范计算机用户的网络行为,实现“外面的网路连接未经许可进不来,里面的网络进程未经许可出不去”。具体功能为:管理向外发起连接的网络进程、管理接收外部连入的网络进程、实时获取网络进程信息和会话连接状态。 5.防病毒软件监测 通过策略设置输入防病毒软件特征,按照统一的策略监测防病毒软件使用状况,并进行统计分析形成统一的数据报表。具体功能为:监视防病毒软件的使用状况、防病毒软件监测特征的自定义。 6.补丁分发管理 统一配置终端计算机的补丁管理策略,实现对系统补丁状况的扫描,自动完成补丁分发。系统所支持的补丁包括:Windows操作系统补丁系列、office系列办公软件补丁、SQL Server系列补丁等
北信源内网安全管理系统用户使用手册
北信源内网安全管理系统 用户使用手册 Newly compiled on November 23, 2020
北信源内网安全管理系统用户使用手册 北京北信源软件股份有限公司 二〇一一年
支持信息 在北信源内网安全管理系统使用过程中,如您有任何疑问 都可以通过访问我公司网站或者致电我司客服中心获得帮 助和支持! 热线支持:400-8188-110 客户服务电话: 在您使用该产品过程中,如果有好的意见或建议的话也请 联系我们的客服中心,感谢您对我公司产品的信任和支 持!
正文目录图目录表目录
第一章概述 特别说明 北信源终端安全管理系列产品由《北信源内网安全管理系 统》、《北信源补丁及文件分发管理系统》、《北信源主 机监控审计系统》、《北信源移动存储介质使用管理系 统》、《北信源网络接入控制管理系统》及《北信源接入 认证网关》6大套件构成。 本手册内容将随着北信源软件的不断升级而改变(以光盘 中电子版发行时为最新版),恕不另行通知。需要者请从 北信源公司网站下载本手册的最新电子版或者直接联系北 信源公司索取。 本手册与本系统的安装配置手册中的所有图片均为示意 图,请以实际产品为准。 本使用手册为北信源终端安全管理系列产品通用说明书。 若您独立购买《北信源内网安全管理系统》或《北信源补 丁及文件分发管理系统》等其中之一产品,本说明书的其 它功能将不具备。
感谢您购买北京北信源软件股份有限公司研制开发的北信 源终端安全管理系列产品。请在使用本软件之前认真阅读 本使用手册,当您开始使用该软件时,北信源公司认为您 已经阅读了本使用手册。 产品构架 北信源终端安全管理产品由8部分组成:WinPcap程序、 SQL Server管理信息库(安装包:环境初始化程序)、 Web中央管理配置平台(安装包:网页管理平台)、区域 管理器(安装包:Region Manage,原区域扫描器已作为模 块集成到区域管理器)、客户端注册程序(安装包:注册 程序)、补丁下载服务器、管理器主机保护模块、报警中 心模块。 环境初始化程序 SQL Server管理信息库,建立北信源终端安全管理产品 的初始化数据库。初始化的信息包括:网络客户端设备属 性信息、区域管理器信息、设备扫描器信息、区域管理范 围信息、注册(未注册)机器信息、设备属性变化信息、 报警信息等。扫描器将设备最新状态信息同数据库中原有 信息进行遍历搜索对比,根据规则要求在管理平台上报 警。 网页管理平台(web管理平台)
信息系统安全管理方案1.doc
信息系统安全管理方案1 信息系统安全管理方案 信息系统的安全,是指为信息系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄漏,以保证系统连续正常运行。信息系统的安全方案是为发布、管理和保护敏感的信息资源而制定的一级法律、法规和措施的总和,是对信息资源使用、管理规则的正式描述,是院内所有人员都必须遵守的规则。信息系统的受到的安全威胁有:操作系统的不安全性、防火墙的不安全性、来自内部人员的安全威胁、缺乏有效的监督机制和评估网络系统的安全性手段、系统不能对病毒有效控制等。 一、机房设备的物理安全 硬件设备事故对信息系统危害极大,如电源事故引起的火灾,机房通风散热不好引起烧毁硬件等,严重的可使系统业务停顿,造成不可估量的损失;轻的也会使相应业务混乱,无法正常运转。对系统的管理、看护不善,可使一些不法分子盗窃计算机及网络硬件设备,从中牟利,使企业和国家财产遭受损失,还破坏了系统的正常运行。 因此,信息系统安全首先要保证机房和硬件设备的安全。要制定严格的机房管理制度和保卫制度,注意防火、防盗、防雷击等突发事件和自然灾害,采用隔离、防辐射措施实现系统安全运行。 二、管理制度
在制定安全策略的同时,要制定相关的信息与网络安全的技术标准与规范。技术标准着重从技术方面规定与规范实现安全策略的技术、 机制与安全产品的功能指标要求。管理规范是从政策组织、人力与流程方面对安全策略的实施进行规划。这些标准与规范是安全策略的技术保障与管理基础,没有一定政策法规制度保障的安全策略形同一堆废纸。 要备好国家有关法规,如:《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《计算机信息网络国际联网安全保护管理办法》、《计算机信息系统安全专用产品检测和销售许可证管理办法》、《中华人民共和国计算机信息网络国际联网管理暂行规定实施办法》、《商用密码管理条例》等,做到有据可查。同时,要制定信息系统及其环境安全管理的规则,规则应包含下列内容: 1、岗位职责:包括门卫在内的值班制度与职责,管理人员和工程技术人员的职责; 2、信息系统的使用规则,包括各用户的使用权限,建立与维护完整的网络用户数据库,严格对系统日志进行管理,对公共机房实行精确到人、到机位的登记制度,实现对网络客户、IP地址、MAC地址、服务帐号的精确管理; 3、软件管理制度; 4、机房设备(包括电源、空调)管理制度; 5、网络运行管理制度;