北信源终端安全管理解决方案.doc

北信源终端安全管理解决方案1

北信源终端安全管理解决方案

客户端安全管理概述

客户端桌面安全管理技术的兴起是伴随着网络管理事务密集度的增加，作为网络管理技术的边缘产物而衍生的，它同传统安全防御体系的缺陷相关联，是传统网络安全防范体系的补充，也是未来网络安全防范体系重要的组成部分。因此，客户端桌面安全管理技术无论在现在还是未来都应当归入网络安全产品体系之列。

客户端桌面安全管理强化了对网络计算机终端的控制，对计算机终端的管理包括：资源资产、终端安全策略、桌面风险控制、补丁分发、终端运行状态监控以及终端涉密审计等。客户端桌面安全管理系统提供了防火墙、IDS、防病毒系统、专业网管软件所不能提供的防护功能，对它们管理的盲区进行监控，扩展成为一个实时的安全监控系统，并能够同其它网络安全设备进行安全集成和报警联动。

客户端桌面安全管理技术近几年来逐渐被网络管理者和机构管理决策者们所重视。对于那些机器数量庞大，几百台甚至几千、几万台设备终端的网络，网络管理人员面临的不仅仅是处理繁杂的终端安全管理事务，还要从事基础的网络运行维护。2003~2004年，“冲击波”、“震荡波”在互联网、企事业网络猖獗传播的时候，也正是网络管理人员忙于对众多计算机进行病毒查杀、升级操作系统补丁的时候，同时爱情后门变种病毒在网络中此起彼伏的传播，可谓让网络管理人员费尽脑力。国家安检、军机、政务等涉密机构部门也面临着内务专网中的客户端用户进行不规范或违规操作所带来的危害威胁，如黑客入侵、病毒入侵、资料泄密等危险性行为。

总体上，对于客户端桌面安全管理的要求要根据用户自身的需求出发，不同的用户具有不同的侧重点。本文对该类产品的用户进行细化：

①行业应用

按照网络应用存在的行业进行划分，如电信、金融、政府、能源、院校、媒体、交通、以及大型企业等集团级企业，这些用户存在着自上而下行业应用广域网络，特点在于网络终端数量大、操作人员水平层次不齐、管理难度高。

②规模层次

按照对计算机数量的密集程度、信息化应用程度高低进行划分，如经济发达地区企、事业用户（大、中城市），信息化应用水平要求高的行业（金融、电信、税务、电力）等，这些用户的计算机数量大、应用程度高。

③涉密隔离机构

特定的用户，如政府（政法、政务）、军机、金融、研究机构等用户，规模实体中的财务、决策层次的网络，都面临信息保密的要求。

④近期/远期管理需要

企事业在发展的不同阶段，所面临的管理要求也不同，对于网络管理的严格化在近期可能不需要，但在长远的阶段，可能存在强制管理的要求。

用户客户群范围

只要终端数量在100个以上的网络都有可能成为该类产品的用户，不止国内是这样，国外也是这样。

国内客户端桌面安全管理产品大致是最近一至二年在市场上开始初露端

倪。在此之前，市场上出现的是国外的少数几种产品，由于国外产品不能够根据国内用户的实际需求进行应用，因此在国内的推广效果并不是十分显著，国内厂商由于在技术和经验上的局限，只是隐隐约约的吆喝，并没有几家能够真正进行大规模推广使用。

2003年下半年，随着对病毒、边界、网关的安全管理体系的完善，在国内外网络安全厂商、行业用户的酝酿和推动下，客户端桌面安全管理产品作为整体网络安全解决方案中的重要组成部分在国内开始大规模应用。应当看到，在国内各方的推动下，经过近1年半时间的发展，国内客户端桌面安全管理产品已经成熟，而且能够全面满足用户的各种管理要求。

目前国内市场存在着极大的用户群体，无论从行业、应用规模还是长期、短期发展需要来看，网络用户都存在着对客户端桌面安全管理产品的亟切需要。尤其是一些特殊的用户，如政务、金融等网络对客户端的管理存在着极其强烈的需求，并且要求厂家能够根据其自身实际情况要求追加特殊功能模块。相对于普通用户来说，客户端桌面安全管理产品将是同防病毒、防黑客产品一样不可或缺的安全保障设施，在保护网络客户端资源资产的同时，进行客户端安全运行保障。

客户端网络管理过程中会遇到的安全问题

问题一：客户端防病毒软件及应用软件管理问题

问题二：病毒引入点确定问题

问题三：非正常终端阻止入网问题

问题四：网络隔离度保障问题

问题五：网络资源有效管理问题

问题六：网络客户端任务分发问题

问题七：硬件资源管理问题

问题八：客户端补丁安全管理控制问题

北信源安全产品支持完善客户端防护体系建立

北信源根据多年为国家机关、大型企业网络安全服务的实践经验，研发的补丁管理系统可以为用户网络系统建设一个完整的客户端防护体系，从外部对用户的网络边界的完整性进行有效监控（即网络隔离度监控），从内部通过补丁管理，防病毒软件管理，入网设备联网状况管理，软件安装状况管理，客户硬件状况管理等手段，完成对网络客户端的全面监控和管理，为用户网络建设一个完善的客户端防护体系，解决网络客户端安全管理的问题。

系统功能

主要功能可以综合为：九大子功能模块、一个策略中心模块、一个终端控制模块。

九大子功能

系统策略中心、数据查询、终端控制、补丁分发、运维信息、报警事件、级联总控、统计报表、系统维护等模块。

①系统策略中心

区域划分与配置：对网络中的客户端进行区域划分管理，配置系统组件运行参数。临时组定义与管理：根据管理需要建立临时管理组对网络客户端进行管理。

策略中心：定义补丁管理系统各种安全策略。

②数据查询：提供对网络设备信息、网络划分信息、网络中相关的设备安全状态信息的综合查询。

设备信息查询：查询信息包括计算机所属区域、部门、使用人、设备IP、MAC 、注册、重新注册、信任、

保护、阻断、开机、杀毒软件、杀毒厂商、系统等信息。

设备信息组态查询：依照下列属性进行计算机查询，包括使用人、联系电话、设备所在地、所属区域、设备名称、设备IP地址、设备MAC地址、操作系统、Servicepack号、IE版本、语言、使用人、是否注册、是否信任、是否为受保护、是否被阻断、开机状态、防范等级、运行状态等。

设备安装软件查询：对计算机安装的软件进行查询，如必须安装软件、禁止安装的软件。

设备运行进程查询：依照进程名称、文件大小、版本、进程所在路径、进程所打开的端口、进程运行次数等进行查询。

违规软件以及进程查询：查询事件内容包括软件违规方式（安装未禁止安装软件、未安装必须安装软件）、进程违规方式（运行禁止运行进程、停止必须运行进程）、进程类别（检索禁止执行的进程、非信任进程、信任进程、可疑进程、非可疑进程、所有进程）。

移动设备审计：查询事件内容包括设备接入，从移动设备拷入，拷出到移动设备。

安全策略违规查询：查询事件内容包括注册表键值检测、系统弱口令用户

权限变化。

涉密检查：包括IE访问涉密检查（IE缓存、IE清单、cookie信息、收藏夹），文件内容涉密检查。

IP使用查询：注册IP、未注册IP 、空闲IP等。

③终端控制：补丁管理系统能够对网络中客户端终端信息进行点对点式的控制管理，这些管理的方式包括：客户端控制和连接阻断、消息通知、客户端注册以及升级管理、客户端安全属性管理。

具体功能模块包括终端点对点控制、消息通知、重新注册、终端升级、终端阻断、终端保护、终端信任。

④补丁分发：对补丁进行分类显示，设置补丁检测页面的运行参数；支持多种方式对补丁分发结果信息进行查询。

⑤运维信息：监测网络中客户端流量信息并进行排名，报警异常网络流量，能够对客户端进行流量报警。

⑥报警事件：提供网络设备信息非法外联、IP绑定等事件性安全信息进行报警统计，并支持级联方式下的报警数据查询。

⑦级联总控：支持多级补丁管理级联，上级管理系统能够查询下级补丁管理信息。

⑧统计报表：统计网络中设备硬件信息、系统信息、注册状态，以及级联系统数据信息。具体包括：本地设备注册情况统计、本地设备系统信息统计、本地设备硬件信息统计、级联设备注册情况统计、级联设备系统信息统计、级联设备硬件信息统计。

⑨系统维护：包括补丁管理系统数据库整理、用户权限管理、管理员登陆和操作管理。

策略中心

①硬件资源管理:控制硬件外设的使用，启用或禁用光驱、软驱、USB移动设备、打印机、调制解调器、串、并行口。

②进程及软件监控：包括软件安装监控、进程执行监控。

③客户端违规联网策略：监视违规网络连接，并对其它做出相应的处理。

④行为管理及审：移动设备审计：对移动设备的接入，接出，审计处理，记录其操作时间。文件审计：审计打印文件，电子邮件，以及对系统文件提供保护。进程审计(进程黑名单，白名单)：对违规启动或停止的进程报警或停止已启动进程，启动已停止进程等。对进程全路径审计，审计非特定目录的程序运行。

⑤软件分发执行策略：补丁文件分发：向客户端分发指定的补丁，提供补丁的运行参数和提供必要的运行控制。普通文件分发：向客户端分发指定的文件或安装软件，提供软件的运行参数和必要的运行控制。

⑥自动补丁分发策略：提供客户端补丁的自动下载及安装，可设置补丁探测时间，运行参数及运行形式。

⑦客户端涉密安全检查：IE访问检查：检查访问某一特定网络的历史信息，如IE缓存，Cookie信息，收藏夹等。文件内容检查：对指定的某一文件夹或某一类型文件，检查是否有违规的信息。

⑧安全策略：注册表检查：检查系统注册表键或者键值是否符合某一条

件。用户密码策略：检测系统用户，网络共享，屏幕保护等密码是否符合规范。用户权限策略：监控系统用户及用户组的变化。

⑨流量管理策略：提供对系统网络流量的控制，并给出相应的处理方式，包括流量采样策略、流量控制策略。

⑩运行维护策略：运行资源监控策略（CPU信息、内存信息、硬盘信息等监控）、客户端流量异常监控、进程异常监控（未响应窗口监控、意外退出进程监控）。

?消息推送策略：向客户端发送消息通知，请求重注册信息以及要求升级等消息。

?脚本策略：向客户端分发用户脚本(该脚本通过脚本编辑器创建，可以控制客户端的进程启停，以及软件的下载，安装等)。注册表脚本分发：向客户端分发注册表脚本(该脚本通过脚本编辑器创建，可对客户端的注册表进行新建修改，删除的操作)。

终端控制管理

①终端信息查看：包括设备基本信息；查看运行进程；查看安装软件；查看运行状态；查看漏打补丁；终端安全审计。

②终端行为控制：客户端消息通知；客户端重新注册；客户端网络配置修改；客户端运行程序监控、客户端网络连结断开；客户端计算机关闭。

北信源内网安全管理系统(服务器版)安装说明

快速阅读指南 1.本使用手册为北信源终端安全管理系列产品全功能用户手册，请按照所购买产品对应相关的产品说明进行配置使用（该手册第一、二、三章为终端安全管理产品共有部分，凡购买任何一款终端安全管理产品都应首先详细阅读此三个章节）。 2.详细阅读本软件组件功能、组成、作用、应用构架，确切了解本软件的系统应用。 3.安装准备软件环境：Microsoft SQL Server2000、Windows2000Server、Internet服务管理器。SQL安装注意事项请参照第二章2-3-1所示。建议将数据库管理系统、区域管理器、WEB管理平台安装在同一服务器上,确认区域管理器所在机器的88端口不被占用（即非主域控制器）；防火墙应允许打开88，2388，2399，22105，8900，8901，22106，22108，8889端口。 4.按步骤安装各组件后，通过http://*.*.*.*/vrveis登录Web管理平台，首先对Web管理平台进行如下配置：添加区域→划分该区域IP范围→指定区域管理器→指定区域扫描器。 5.双击屏幕右下角区域管理器、单击主机保护进行通讯参数配置。 6.在\VRV\VRVEIS\download目录中，使用RegTools.exe工具修改DeviceRegist.exe文件中的本地区域管理器IP，将修改后的注册程序DeviceRegist.exe放在机构网站上进行静态网页注册，或者在机构网站上加载动态网页检测注册脚本语句，进行动态设备注册。 7.系统升级：联系北信源公司获取最新的软件组件升级包，确保Web管理平台、区域管理器、客户端注册程序等组件的升级。 8.如果本说明书中的插图与实际应用的产品有出入，以实际产品为主。 特别提示：默认管理员用户：admin，密码：123456；系统指定审计用户名：audit,密码：123456请注意修改。

北信源终端安全管理系统802.1x准入流程

北信源终端安全管理系统 802.1x准入流程 1．802.1x的认证过程可以描述如下 (1) 客户端（PC）向接入设备（交换机）发送一个EAPoL-Start 报文，开始802.1x认证接入; (2) 接入设备（交换机）向客户端（PC）发送EAP-Request/Identity 报文，要求客户端（PC）将用户名送上来; (3) 客户端（PC）回应一个EAP-Response/Identity给接入设备（交换机）的请求，其中包括用户名; (4) 接入设备（交换机）将EAP-Response/Identity报文封装到RADIUS Access-Request报文中，通过路由器发送给认证服务器; (5) 认证服务器产生一个Challenge，通过接入设备（交换机）将RADIUS Access-Challenge报文发送给客户端（PC），其中包含有EAP-Request/MD5-Challenge; (6) 接入设备（交换机）通过EAP-Request/MD5-Challenge发送给客户端（PC），要求客户端（PC）进行认证 (7) 客户端（PC）收到EAP-Request/MD5-Challenge报文后，将密码和Challenge做MD5算法后的Challenged-Pass-word，在EAP-Response/MD5-Challenge回应给接入设备（交换机） (8) 接入设备（交换机）将Challenge，Challenged Password和

用户名一起送到RADIUS服务器，由RADIUS服务器进行认证 (9)RADIUS服务器根据用户信息，做MD5算法，判断用户是否合法，然后回应认证成功/失败报文到接入设备（交换机）。如果成功，携带协商参数，以及用户的相关业务属性给用户授权。如果认证失败，则流程到此结束; (10) 如果认证通过，用户通过标准的DHCP协议 (可以是DHCP Relay) ，通过接入设备（交换机）获取规划的IP地址; (11) 如果认证通过，用户正常上网。同时终端图标显示为 。 (12)根据服务器策略进行安检，安检成功不做任何动作。安检不成功则根据策略内容进行客户端限制.只能访问某些特定服务器地址,修复成功后放开限制。 2．终端用户安全安检： 当终端存在安全检查策略时，如下图：

北信源网络接入控制系统工作原理与功能对比

北信源网络接入控制系统 工作原理与功能 北京北信源软件股份有限公司 1

目录 1.整体说明 (3) 2.核心技术 (3) 2.1.重定向技术 (3) 2.2.策略路由准入控制技术 (4) 2.3.旁路干扰准入控制技术 (6) 2.4.透明网桥准入控制技术 (7) 2.5.虚拟网关准入控制技术 (7) 2.6.局域网控制技术 (8) 2.7.身份认证技术 (8) 2.8.安检修复技术 (9) 2.9.桌面系统联动 (9) 3.产品功能对比 (10) 2

1.整体说明 准入网关对接入设备进行访问控制，对于未注册用户进行WEB重定向进行注册；注册后的用户进行认证或安检后可以访问网络； 管理员可以配置采取何种准入控制方式，如策略路由，旁路监听，透明网桥，虚拟网关等；同时可以选择使用不同的认证类型，如本地认证，Radius认证，AD域认证等，而认证途径采取网关强制重定向； 准入网关整体上对准入的控制可分为两类，一类是网关自己控制数据的流通，另一类则是通过配置交换机，让交换机来控制数据包的流通。目前准入网关实现的策略路由和旁路监听，透明网桥等准入控制均属于前者，也就是网关自己通过放行或丢弃、阻断数据包，来达到准入控制，对于数据包的阻断是基于tcp 实现的；而虚拟网关则是通过控制交换机VLAN来达到准入控制； 2.核心技术 为了适应不同业务环境下的统一入网控制，北信源网络接入控制系统采用多种核心技术设计，支持多种准入控制模式，实现从多角度多维度的终端入网安全控制。 2.1. 重定向技术 接入控制的目的是为了阻止不可信终端随意接入网络，对于不可信终端的判定需要一个过程，如何在判定过程中进行良好的提示,这就对产品的人机界面设计提出了较高的要求。业界通常的做法是针对http性质的业务访问进行重定向，以往针对http的业务区分主要基于业务端口（主要为80端口），对于非80业务端口的http业务不能有效区分。针对以上情况，北信源网络接入控制系统对http业务进行了深度识别，除80端口的http业务可以进行有效重定向之外， 3

北信源法院系统终端安全管理系统解决方案2015

北信源法院系统终端安全管理系统 解决方案 北京北信源软件股份有限公司 2015年3月

目录 1. 前言 (4) 1.1. 概述 (4) 1.2. 应对策略 (5) 2. 终端安全防护理念 (6) 2.1. 安全理念 (6) 2.2. 安全体系 (7) 3. 终端安全管理解决方案 (8) 3.1. 终端安全管理建设目标 (8) 3.2. 终端安全管理方案设计原则 (8) 3.3. 终端安全管理方案设计思路 (9) 3.4. 终端安全管理解决方案实现 (11) 3.4.1. 网络接入管理设计实现 (11) 3.4.1.1. 网络接入管理概述 (11) 3.4.1.2. 网络接入管理方案及思路 (11) 3.4.2. 补丁及软件自动分发管理设计实现 (16) 3.4.2.1. 补丁及软件自动分发管理概述 (16) 3.4.2.2. 补丁及软件自动分发管理方案及思路 (16) 3.4.3. 移动存储介质管理设计实现 (20) 3.4.3.1. 移动存储介质管理概述 (20) 3.4.3.2. 移动存储介质管理方案及思路 (20) 3.4.4. 桌面终端管理设计实现 (23) 3.4.4.1. 桌面终端管理概述 (23) 3.4.4.2. 桌面终端管理方案及思路 (24) 3.4.5. 终端安全审计设计实现 (35)

3.4.5.1. 终端安全审计概述 (35) 3.4.5.2. 终端安全审计方案及思路 (36) 4. 方案总结 (41)

1.前言 1.1.概述 随着法院信息化的飞速发展，业务和应用逐渐完全依赖于计算机网络和计算机终端。为进一步提高法院信息系统内部的安全管理与技术控制水平，必须建立一套完整的终端安全管理体系，提高终端的安全管理水平。 由于法院信息系统内部缺乏必要管理手段，导致网络管理人员对终端管理的难度很大，难以发现有问题的电脑，从而计算机感染病毒，计算机被安装木马，部分员工使用非法软件，非法连接互联网等情况时有发生，无法对这些电脑进行定位，这些问题一旦发生，往往故障排查的时间非常长。如果同时有多台计算机感染网络病毒或者进行非法操作，容易导致网络拥塞，甚至业务无法正常开展。 建立终端安全管理体系的意义在于：解决大批量的计算机安全管理问题。具体来说，这些问题包括： 实现对法院信息系统内部所有的终端计算机信息进行汇总，包括基本信息、审计信息、报警信息等，批量管理终端计算机并提高安全性、降低日常维护工作量； 实现对法院信息系统内部所有的终端计算机的准入控制，防止外来电脑或违规的电脑接入法院信息系统内部网络中； 实现对法院信息系统内部所有的终端计算机进行补丁的自动下载、安装与汇总，最大程度减少病毒、木马攻击存在漏洞的计算机而导致的安全风险； 实现对法院信息系统内部所有的移动存储设备的统一管理，防止部分人员通过USB设备将法院信息系统大量的机密文件传播出去，同时也极大减少了病毒、木马通过USB设备在网络中传播等情况的发生；

北信源-终端准入控制系统

北信源VRV-BMG终端准入控制系统 产品背景 网络接入控制管理系统能够强制提升企业网络终端的接入安全，保证企业网络保护机制不被间断，使网络安全得到更有效提升。与此同时基于设备接入控制网关，还可以对于远程接入企业内部网络的计算机进行身份、唯一性及安全认证。 通过网络接入控制管理系统可以满足企业要求，将设备接入控制扩展到超出简单远程访问及路由器、专有协议和已管理设备的限定之外；能够覆盖到企业网络的每一个角落，甚至是当使用者拿着他们的移动设备离开企业网络时，仍能有效的提供设备接入控制的执行。网络接入控制管理系统针对所有的网络架构工作，并且不必进行昂贵的网络架构改造。 北信源VRV-BMG终端准入控制系统产品是一款基于内网用户网络行为管理和控制的硬件网关。有如下具体特点： 1)具有网络访问控制、网络行为管理、网页过滤检查、带宽流量管理、综合内容审计等功能。主要用于解决企业内网、行业用户接入互联网或外联网可能引发的各种安全问题。通过对内网用户的网络行为管理和控制，从而解决网络规范访问控制、网页浏览过滤、网络带宽资源滥用，以及对P2P软件、游戏软件、股票软件、即时通信等各种应用软件的管理和控制，并实现对上述各种网络行为的管理和审计功能； 2)采用先进的深度业务识别DSI技术，能够快速识别包括多种流行P2P及其

变种协议、网络流媒体协议、网路游戏、股票软件以及行业用户专用网络协议。深度业务识别DSI技术是在DPI和DFI技术上发展起来的一种新型的7层应用识别技术。由于深度业务识别检测DSI技术基于业务本身的特征而不是报文数据细节，对于检测加密或加扰应用协议具有更高的识别率，特别是对于新增和变种的网络应用和业务类型，DSI更具备良好的适应性； 3)通过系统内置的网络应用业务特征，综合运用继承式应用描述语言HADL，从而允许网络管理者针对不同的内网用户、不同时段，综合企业的实际需求制定适合本企业的网络行为管理规范。继承式应用描述语言HADL通过业务拓扑级——流特征级——报文特征的继承描述关系精确描述某项业务的特征。并突破了原有单一的报文特征或者流特征所带来的误识别问题，从报文、流和业务拓扑3个层次综合描述应用并且精确定位了3中特征之间的关系，从而将DSI 技术更好地贯彻在应用识别产品中； 4)采用领先的知识发现KDT技术（该技术是数据挖掘技术与深度业务识别检测DSI两种技术的结晶，它可以根据不同的业务类型进行有针对性的内容还原解码），能够对邮件内容、聊天内容、网络发帖等综合信息进行安全审计、综合检索和完整备份； 5)部署在企业内网与外网的边界处或者不同的可信安全域之间，完成内网用户跨边界安全行为管理的实施。同时，该产品与北信源终端管理软件还可以通过终端准入控制技术、二次授权访问控制技术、综合行为审计技术、统一策略配置与管理等方面，实现无缝结合与深层联动，从而将企业内网建设成从终端到边界节点的一体化内网安全管理体系，为保障内网从终端到边界安全形成了一道绿色的屏障。 系统管理构架北信源网络接入控制管理系统由以下几部分组成： 1)策略服务器：系统策略管理中心，提供系统的参数配置和安全策略管理。 2)认证客户端：安装在终端计算机，通过用户名和密码向认证服务器发起 认证，实现正常工作区、访客隔离区、安全修复区的自动切换。 3）Radius认证服务器：接收客户端认证请求信息数据包并进行验证。 4）Radius认证系统(交换机) ：可网管支持802.1x的网络设备（交换机），接收认证客户端的认证请求数据包与Radius认证服务器完成认证过程。

内网终端安全管理系统解决方案

内网终端安全管理系统解决方案

北信源内网终端安全管理系统 解决方案 北京北信源软件股份有限公司

目录 1.前言................................ 错误!未定义书签。 1.1.概述 错误!未定义书签。 1.2.应对策略 错误!未定义书签。 2.终端安全防护理念.................... 错误!未定义书签。 2.1.安全理念 错误!未定义书签。 2.2.安全体系 错误!未定义书签。 3.终端安全管理解决方案................ 错误!未定义书签。 3.1.终端安全管理建设目标 错误!未定义书签。 3.2.终端安全管理方案设计原则 错误!未定义书签。 3.3.终端安全管理方案设计思路 错误!未定义书签。 3.4.终端安全管理解决方案实现 错误!未定义书签。 3.4.1.网络接入管理设计实现 错误!未定义书签。 3.4.1.1.网络接入管理概述

3.4.1.2.网络接入管理方案及思路 错误!未定义书签。 3.4.2.补丁及软件自动分发管理设计实现 错误!未定义书签。 3.4.2.1.补丁及软件自动分发管理概述 错误!未定义书签。 3.4.2.2.补丁及软件自动分发管理方案及思路 错误!未定义书签。 3.4.3.移动存储介质管理设计实现 错误!未定义书签。 3.4.3.1.移动存储介质管理概述 错误!未定义书签。 3.4.3.2.移动存储介质管理方案及思路 错误!未定义书签。 3.4.4.桌面终端管理设计实现 错误!未定义书签。 3.4.4.1.桌面终端管理概述 错误!未定义书签。 3.4.4.2.桌面终端管理方案及思路 错误!未定义书签。 3.4.5.终端安全审计设计实现 错误!未定义书签。 3.4.5.1.终端安全审计概述

VRVed北信源内网管理系统用户使用手册

北信源内网安全管理系统 用户使用手册 北京北信源软件股份有限公司 二〇一一年

支持信息 在北信源内网安全管理系统使用过程中，如您有任何疑问都可以通过访问我公司网站或者致电我司客服中心获得帮助和支持！ 热线支持：400-8188-110 客户服务电话： 在您使用该产品过程中，如果有好的意见或建议的话也请联系我们的客服中心，感谢您对我公司产品的信任和支持！

正文目录图目录表目录

第一章概述 特别说明 北信源终端安全管理系列产品由《北信源内网安全管理系统》、《北信源补丁及文件分发管理系统》、《北信源主机监控审计系统》、《北信源移动存储介质使用管理系统》、《北信源网络接入控制管理系统》及《北信源接入认证网关》6大套件构成。 本手册内容将随着北信源软件的不断升级而改变(以光盘中电子版发行时为最新版)，恕不另行通知。需要者请从北信源公司网站下载本手册的最新电子版或者直接联系北信源公司索取。 本手册与本系统的安装配置手册中的所有图片均为示意图，请以实际产品为准。 本使用手册为北信源终端安全管理系列产品通用说明书。若您独立购买《北信源内网安全管理系统》或《北信源补丁及文件分发管理系统》等其中之一产品，本说明书的其它功能将不具备。 感谢您购买北京北信源软件股份有限公司研制开发的北信源终端安全管理系列产品。请在使用本软件之前认真阅读本使用手册，当您开始使用该软件时，北信源公司认为您已经阅读了本使用手册。 产品构架 北信源终端安全管理产品由8部分组成：WinPcap程序、SQL Server管理信息库（安装包：环境初始化程序）、Web中央管理配置平台（安装包：网页管理平台）、区域管理器(安装包：Region Manage，原区域扫描器已作为模块集成到区域管理器)、客户端注册程序（安装包：注册程序）、补丁下载服务器、管理器主机保护模块、报警中心模块。 环境初始化程序 SQL Server管理信息库，建立北信源终端安全管理产品的初始化数据库。初始化的信息包括：网络客户端设备属性信息、区域管理器信息、设备扫描器信息、区域管理范围信息、注册（未注册）机器信息、设备属性变化信息、报警信息等。扫描器将设备最新状态信息同数据库中原有信息进行遍历搜索对比，根据规则要求在管理平台上报警。 网页管理平台（web管理平台） Web中央管理配置平台，本系统的管理配置中心。包括区域管理器、扫描器、注册客户端的功能参数设定，网络设备信息发现、系统应用策略制订、报警信息显示、定义任务功能制订、系统用户维护等配置操作。 Region Manage 区域管理器，系统数据处理中心，负责与管理信息数据库通讯扫描终端设备、控制服务器、客户端之间的信息、指令的下达、接受。比如：接收注册程序提供的用户信息，将用户信息（用户填写的物理信息和系统自动采集的硬件信息）并行存入数据库；接受来自控制台的命令操作，发送到客户端、扫描器执行。 对于存在多级管理要求的广域网，网络中可以存在多个区域管理器，实现系统数据逐级上报（转发），对网络终端的多级管理。 区域管理器内置网络扫描器，扫描器用来发现网络的终端设备。将发现的设备信息交由区域管理器处理。、设备最新状态信息报送至区域管理器，由区域管理器处理后，同数据库中原有信息进行遍历搜索对比，根据管理规则在管理平台上报警。 扫描器配合区域管理器进行工作，可以在分级模式下使用。扫描器只依据Web管理平台中配置的工作范围进行扫描，如果终端IP超越其范围，将不负责执行操作。 Winpcap程序 嗅探驱动软件，监听共享网络上传送的数据。 客户端注册程序 将接收并执行服务器下发的指令。该程序可以在“工具下载->用户注册器下载”处下载。访问指定网站自动获得，用户填写必要的信息后，运行该程序，区域管理器将收到注册终端的相关信息，同时终端可以接收、执行各种下发的指令。注册程序自动探测系统硬件信息，连同用户填写的信息一同上报区域管理器。

内网终端安全管理系统项目解决方案

北信源内网终端安全管理系统 解决方案 北京北信源软件股份有限公司

目录 1.前言 (4) 1.1. 概述 (4) 1.2. 应对策略 (5) 2.终端安全防护理念 (6) 2.1. 安全理念 (6) 2.2. 安全体系 (7) 3.终端安全管理解决方案 (9) 3.1. 终端安全管理建设目标 (9) 3.2. 终端安全管理方案设计原则 (9) 3.3. 终端安全管理方案设计思路 (10) 3.4. 终端安全管理解决方案实现 (12) 3.4.1. 网络接入管理设计实现 ........................................ 错误!未定义书签。 3.4.1.1. 网络接入管理概述 ........................................ 错误!未定义书签。 3.4.1.2. 网络接入管理方案及思路............................... 错误!未定义书签。 3.4.2. 补丁及软件自动分发管理设计实现 (12) 3.4.2.1. 补丁及软件自动分发管理概述 (12) 3.4.2.2. 补丁及软件自动分发管理方案及思路 (12) 3.4.3. 移动存储介质管理设计实现 (17) 3.4.3.1. 移动存储介质管理概述 (17) 3.4.3.2. 移动存储介质管理方案及思路 (18) 3.4.4. 桌面终端管理设计实现 (21) 3.4.4.1. 桌面终端管理概述 (21) 3.4.4.2. 桌面终端管理方案及思路 (22) 3.4.5. 终端安全审计设计实现 ........................................ 错误!未定义书签。 3.4.5.1. 终端安全审计概述 ........................................ 错误!未定义书签。 3.4.5.2. 终端安全审计方案及思路............................... 错误!未定义书签。 4.方案总结 (41) 5.附录：系统硬件要求 (41) 6.预算 (43)

北信源内网安全解决方案

北信源内网安全解 决方案 1

XXXX 终 端 安 全 管 理 解 决 方 案 北京北信源软件股份有限公司 -03－22 目录 1、前言 ................................................................................. 错误!未定义书签。 2、需求分析 ......................................................................... 错误!未定义书签。

2.1、XXXX信息系统现状........................................... 错误!未定义书签。 2.2、XXXX网络终端管理需求................................... 错误!未定义书签。 2.3、XXXX网络终端安全管理系统需求分析........... 错误!未定义书签。 3、北信源终端安全管理解决方案..................................... 错误!未定义书签。 3.1、VRVEDP系统概述............................................... 错误!未定义书签。 3.3、网络接入管理系统 ............................................... 错误!未定义书签。 3.3.1、ARP阻断隔离 ............................................. 错误!未定义书签。 3.3.2、接入设备审核及有效期.............................. 错误!未定义书签。 3.3.3、802.1X认证方式......................................... 错误!未定义书签。 3.3.4、接入控制网关(硬件) ................................... 错误!未定义书签。 3.4、内网安全管理系统 ............................................... 错误!未定义书签。 3.4.1、终端注册管理.............................................. 错误!未定义书签。 3.4.2、IP/MAC绑定策略 ....................................... 错误!未定义书签。 3.4.3、IT资产管理 ................................................. 错误!未定义书签。 3.4.4、终端流量管理.............................................. 错误!未定义书签。 3.4.5、进程限制策略.............................................. 错误!未定义书签。 3.4.6、互联网访问控制.......................................... 错误!未定义书签。 3.4.7、防病毒策略.................................................. 错误!未定义书签。 3.4.8、软件安装限制.............................................. 错误!未定义书签。 3.4.9、多线程计算机远程维护平台...................... 错误!未定义书签。 3.4.10、防火墙策略................................................ 错误!未定义书签。 3

北信源解决方案

中铁信托终端安全管理系统 北京北信源软件股份有限公司 2010年3月

1 目 录 一、前言 (1) 二、北信源内网安全管理系统解决方案 (4) 1、功能实现方式 (4) 2、安全监控强审计功能 (5) 3、移动存储介质操作信息审计 (5) 4、文件保护及访问审计 (5) 5、桌面文件输出审计 (7) 6、打印审计 (7) 7、系统日志审计 (8) 三、具体实施方案 (9) 1、部署的主要组建 (9) 2、实施建议 (9) 3、系统部署时软硬件配置 (9) 4、系统部署时网络环境准备 (9) 一、前言 中铁信托的网络已具有相当的规模，网络安全要求非常高。目前网络中大量使用计算机及其它网络交换设备，客户端数量已经达到150台。尽管已经物理隔离技术、安全网段划分、安全防护设施（如防火墙、防病毒软件）等方式保证自己的网络安全，但由于操作系统和人为因素，客户端自身确实存在着安全风险隐患，随着用户应用系统的不断增加，在网络中传播的病毒造成的风险和管理上的风险也会不断增加，由于单个计算机的病毒引起的损害可能传播到其他系统和主机上，引起网络瘫痪，造成重大损失。系统对网络的安全稳定运行有较高的要求。同时，其它桌面安全和桌面管理方面的问题也十分繁杂，而专网的网络维护管理人员十分有限，因此需要专业的内网安全安全管理系统。 在实际使用中，来自网络内部的安全威胁是我们网络管理人员真正需要面

2 对的问题：据统计结果，约80%的安全事件来自与网络内部； 网络管理工作量最大的部分是终端安全管理部分，对网络的正常运转威胁最大的也同样是客户端安全管理。由于大型网络一般结构较为复杂，用户使用水平参差不齐，而网络管理人员编制有限，往往难以面对数量重大的客户端事件。因此，只有解决网络内部的安全问题，才可以排除网络中最大的安全隐患，北信源内网安全管理系统可以从技术层面帮助网管人员处理好繁杂的客户端问题。

产品简介-北信源数据库审计系统

北信源数据库审计系统 VRV DBAS产品简介 北京北信源软件股份有限公司 2012年04月 1

版权声明 本手册的所有内容，其版权属于北京北信源软件股份有限公司（以下简称北信源公司）所有，未经北信源许可，任何人不得仿制、拷贝、转译或任意引用。本手册没有任何形式的担保、立场倾向或其他暗示。 商标声明 本手册中所谈及的产品名称仅做识别之用，而这些名称可能属于其他公司的注册商标或是版权，其他提到的商标，均属各该商标注册人所有，恕不逐一列明。 产品声明 本手册中提到的产品功能或性能可能因产品具体型号、配备环境、配置方法不同而有所差异，由此可能产生的差异为正常现象，相关问题请咨询北信源公司技术服务人员。 免责声明 若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失，北信源公司及其员工均不承担任何责任。 2

目录 1.产品优势（ADVANTAGE） (4) 2.产品概述（PRODUCT SUMMARY） (5) 3.系统架构(SYSTEM ARCHITECTURE) (6) 4.产品功能(PRODUCT FUNCTIONS) (7) 5.典型应用（TYPICAL APPLICATIONS） (15) 6.产品规格(PRODUCT SPECIFICATION) (16) 3

1.产品优势（Advantage） 采用分体式组件化设计 VRV-DBAS采用分体式组件化的设计理念，将整个系统划分为五大模块，各模块之间采用低耦合的方式进行设计，可以有效的对模块进行功能划分，各模块之间互不影响，同时又可以协同工作。采用分体式组件化的设计方式不仅可以合理利用系统资源，避免系统自身资源瓶颈，使得整个系统能以最优的性能运行，同时还可以方便的对整个系统进行扩展，最大化的满足使用者的需求。 海量数据离线审计 大容量的数据库系统通常会有海量的数据操作，这就要求数据库审计系统有大容量的存储空间以方便随时检索历史的操作记录。VRV-DBAS充分考虑了实际使用中的系统环境，采用高压缩比的文件型审计日志备份技术，使审计日志能够方便地长期保存，并且能够在事后随时按需导入进行解析查询。通常情况下，采用高压缩日志备份技术可以节约95%左右的存储空间。 细粒度审计结果分析 VRV-DBAS不仅支持针对SQL命令（如：Select、Insert、Delete、Create、Drop 等）以及存储过程的执行进行细粒度审计和分析，同时可以记录详细的用户行为信息，包括登录的时间、机器名、用户名、IP/MAC地址、客户端程序名以及数据库名等信息，对数据库操作维护命令、存储过程进行审计，可对查询，新增，修改，删除，授权等行为进行监控。另外，VRV-DBAS还可以深度解析数据库操作内容，准确解析出语句中的表名，操作方式及操作内容，并根据表名和操作方式进行归类和统计分析。 零风险并行部署 VRV-DBAS采用旁路监听部署的方式，部不需要对现有网络拓扑进行任何改变，只需要在交换机上将访问数据库的流量镜向或采用TAP分流监听，使数据库审计引擎能够监听到用户通过交换机与数据库进行通讯的所有操作，工作时不影 4

北信源内网管理系统用户使用手册

北信源内网安全管理系统用户使用手册 北京北信源软件股份有限公司 二〇一一年

支持信息 在北信源内网安全管理系统使用过程中，如您有任何疑问都可以通过 访问我公司网站或者致电我司客服中心获得帮助和支持！ 热线支持：400-8188-110 客户服务电话：0/86/87 在您使用该产品过程中，如果有好的意见或建议的话也请联系我们的 客服中心，感谢您对我公司产品的信任和支持！

正文目录图目录表目录

第一章概述 特别说明 北信源终端安全管理系列产品由《北信源内网安全管理系统》、《北 信源补丁及文件分发管理系统》、《北信源主机监控审计系统》、 《北信源移动存储介质使用管理系统》、《北信源网络接入控制管理 系统》及《北信源接入认证网关》6大套件构成。 本手册内容将随着北信源软件的不断升级而改变(以光盘中电子版发行 时为最新版)，恕不另行通知。需要者请从北信源公司网站下载本手册 的最新电子版或者直接联系北信源公司索取。 本手册与本系统的安装配置手册中的所有图片均为示意图，请以实际 产品为准。 本使用手册为北信源终端安全管理系列产品通用说明书。若您独立购 买《北信源内网安全管理系统》或《北信源补丁及文件分发管理系 统》等其中之一产品，本说明书的其它功能将不具备。

感谢您购买北京北信源软件股份有限公司研制开发的北信源终端安全 管理系列产品。请在使用本软件之前认真阅读本使用手册，当您开始 使用该软件时，北信源公司认为您已经阅读了本使用手册。 产品构架 北信源终端安全管理产品由8部分组成：WinPcap程序、SQL Server 管理信息库（安装包：环境初始化程序）、Web中央管理配置平台 （安装包：网页管理平台）、区域管理器(安装包：Region Manage， 原区域扫描器已作为模块集成到区域管理器)、客户端注册程序（安装 包：注册程序）、补丁下载服务器、管理器主机保护模块、报警中心 模块。 环境初始化程序 SQL Server管理信息库，建立北信源终端安全管理产品的初始化数据 库。初始化的信息包括：网络客户端设备属性信息、区域管理器信 息、设备扫描器信息、区域管理范围信息、注册（未注册）机器信 息、设备属性变化信息、报警信息等。扫描器将设备最新状态信息同 数据库中原有信息进行遍历搜索对比，根据规则要求在管理平台上报 警。 网页管理平台（web管理平台） Web中央管理配置平台，本系统的管理配置中心。包括区域管理器、 扫描器、注册客户端的功能参数设定，网络设备信息发现、系统应用

北信源产品体系简介

产品简介

一、准入操纵系列 产品1、北信源网络接入操纵治理系统 ●产品背景 北信源网络接入操纵治理系统能够强制提升企业网络终端的接入安全，确保企业网络爱护机制的连续性，实现企业网络安全从质到量的提升。同时，通过与北信源接入操纵网关的联动，还能够实现对远程接入企业内部网络的终端进行身份唯一性及安全性认证。 通过北信源网络接入操纵治理系统能够满足企业对终端接入网络的安全性要求，将终端接入操纵覆盖到企业网络的每一个角落。同时，使得终端接入操纵不再依靠于具体的网络或通信设备，甚至是当使用者拿着他们的移动设备离开企业网络时，仍能有效执行对终端下发的接入操纵策略。北信源网络接入操纵治理系统不需要对现有网络结构进行改造便可进行部署，具备简单、方便、安全、易扩展的特性。 ●系统功能描述 1)基于802.1X的终端接入认证治理; 2)外部终端接入访问限制； 3)外部终端接入身份认证； 4)杀毒软件检测及访问限制； 5)补丁自动检测及访问限制； 6)进程、服务、注册表信息检测及访问限制； 7)未达到预定义安全级不接入访问限制。

●系统功能特点 1)全面支持市场主流交换机； 2)能够实现无线802.1X接入认证； 3)能够与用户现有AD域或LDAP进行联动认证； 4)能够实现终端异地漫游的自动接管认证； 5)能够实现终端认证数据检测，防止虚假第三方认证。 ●系统治理构架 北信源网络接入操纵治理系统由以下几部分组成： 1)策略服务器：系统策略治理中心，提供系统的参数配置和安全策略治理。 2）认证客户端：安装在终端计算机，通过用户名和密码向认证服务器发起认证，实现正常工作区、访客隔离区、安全修复区的自动切换。 3）Radius认证服务器：接收客户端认证请求信息数据包并进行验证。 4）Radius认证系统 (交换机) ：可网管支持802.1x的网络设备（交换机），接收认证客户端的认证请求数据包与Radius认证服务器完成认证过程。 5）可选配强制注册网关（硬件）：在不完全支持802.1x的网络中可选装强制注册网关，完成未注册终端访问网页时进行DNS重定向或HTTP重定向，以达到强制注册目的。

LanSecS内网安全管理系统V7.0技术白皮书

LanSecS?内网安全管理系统（V7.0） 技 术 白 皮 书 北京圣博润高新技术股份有限公司 2011年

目录 1.产品简介 (1) 2.产品架构 (2) 2.1.终端监控引擎 (2) 2.2.总控中心 (2) 2.3.管理控制台 (3) 2.4.系统数据库 (3) 3.产品功能 (4) 3.1.终端运维管理 (4) 3.2.终端安全加固 (5) 3.3.终端主机准入控制 (5) 3.4.移动存储介质管理 (7) 3.5.终端安全审计 (8) 4.产品性能 (9) 4.1.总控中心性能 (9) 4.2.终端监控引擎性能 (9) 4.3.产品性能指标 (10) 4.4.自身安全性 (10) 5.产品部署 (11) 5.1.产品形态 (11) 5.2.部署模式 (11) 5.2.1.本地部署 (11) 5.2.2.分级部署 (12)

1.产品简介 LanSecS?内网安全管理系统V7.0版是一款定位于为政府和企业用户提供集中的终端（桌面）综合安全管理的桌面管理产品。系统通过对计算机准入控制、计算机安全加固、计算机运行维护、计算机安全审计、移动存储介质注册等多个方面的综合管理，为政府和企业用户打造一个安全、可信、规范、健康的内网环境。 LanSecS?内网安全管理系统V7.0版是北京圣博润高新技术股份有限公司（以下简称圣博润）一个里程碑式的、战略性的产品版本，该版本通过对用户需求的持续跟踪使得产品功能进一步丰富，通过系统架构的优化调整使得产品性能显著提升，借助LanSecS?内网安全管理系统V7.0版的发布，圣博润公司更加明确地宣告了其专注于内网安全管理领域的决心与实力。 LanSecS?内网安全管理系统在为用户提供终端安全保护手段的同时，更加强调为用户提供便利的终端运维管理手段。集中式、人性化的终端管理能力是LanSecS?内网安全管理系统的特色之一，也是圣博润公司一直以来的努力方向。 LanSecS?内网安全管理系统的设计参考了如下国家标准： ●GB/T18336-2008 《信息技术安全技术信息技术安全性评估准则》 ●GB/T22239-2008：《信息系统安全等级保护基本要求》 ●MSTL_JGF_04-012《信息安全技术远程主机检测产品检验规范》 ●MSTL_JGF_04-011《信息安全技术非授权外联检测产品检验规范》 ●BMB15-2004《涉及国家秘密的信息系统安全审计产品技术要求》 ●BMB17-2006：《涉及国家秘密的信息系统分级保护技术要求》 ●BMB20-2007：《涉及国家秘密的信息系统分级保护管理规范》 ●BMB22-2007：《涉及国家秘密的计算机信息系统分级保护测评指南》 ●GBT 22240-2008：《信息系统安全等级保护定级指南》 ●GBT 22241-2008：《信息系统安全等级保护实施指南》

北信源网络接入控制系统管理系统白皮书v3.0

北信源网络接入控制管理系统 产品白皮书 北信源软件股份

声明 本手册的所有容，其属于北信源软件股份（以下简称北信源公司）所有，未经北信源许可，任何人不得仿制、拷贝、转译或任意引用。本手册没有任何形式的担保、立场倾向或其他暗示。 商标声明 本手册中所谈及的产品名称仅做识别之用，而这些名称可能属于其他公司的注册商标或是，其他提到的商标，均属各该商标注册人所有，恕不逐一列明。 产品声明 本手册中提到的产品功能或性能可能因产品具体型号、配备环境、配置方法不同而有所差异，由此可能产生的差异为正常现象，相关问题请咨询北信源公司技术服务人员。 免责声明 若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失，北信源公司及其员工均不承担任何责任。

目录 1.系统概述 (4) 2.系统架构 (4) 3.系统组成 (6) 3.1.策略服务器 (6) 3.2.认证客户端 (6) 3.3.Radius认证服务器 (7) 3.4.Radius认证系统 (7) 3.5.硬件接入网关（可选配） (8) 4.系统特性 (8) 4.1.全面的安全检查 (8) 4.2.技术的先进性 (8) 4.3.功能的可扩展性 (8) 4.4.系统可整合性 (9) 4.5.无缝扩展与升级 (9) 5.系统功能 (9) 5.1.准入身份认证 (9) 5.2.完整性检查功能 (10) 5.3.安全修复功能 (10) 5.4.管理与报表 (11) 5.5.终端安全策略设置 (12) 6.典型应用 (13) 6.1.802.1x环境应用 (13) 6.2.非802.1x环境应用 (14) 6.3.VPN环境应用 (15) 6.4.域环境应用 (15)

360天擎终端安全管理系统v6.0_测试方案(详细用例)

360终端安全管理系统 测试方案 ? 2016 360企业安全集团■版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明外，所有版权均属360企业安全集团所有，受到有关产权及版权法保护。任何个人、机构未经360企业安全集团的书面授权许可，不得以任何方式复制或引用本文的任何片断。

目录| Contents 1. 产品简介 (1) 2. 部署拓扑 (1) 2.1. 硬件配置要求 (2) 3. 天擎管理中心功能测试 (3) 3.1. 天擎分级部署 (3) 3.1.1. 天擎多级部署 (3) 3.2. 客户端分组管理 (3) 3.2.1. 客户端分组 (3) 3.2.2. 自动分组 (3) 3.2.3. 客户端分组切换 (4) 3.3. 客户端任务管理 (4) 3.3.1. 客户端天擎版本升级 (4) 3.3.2. 病毒库升级 (4) 3.3.3. 客户端任务分配管理 (4) 3.3.4. 手动杀毒任务 (5) 3.3.5. 终端查杀引擎设置 (5) 3.3.6. 定时杀毒任务 (6) 3.3.7. 消息推送 (6) 3.4. 客户端策略管理 (6) 3.4.1. 客户端软件常规安装部署方式 (6) 3.4.2. 终端自保护能力测试 (6) 3.4.3. 客户端防退出、卸载 (7) 3.4.4. 离线客户端管理 (7) 3.4.5. 文件溯源 (7) 3.4.6. 黑白名单管理 (8) 3.4.7. 终端安全防护功能管理 (8) 3.4.8. 终端弹窗管理 (8) 3.5. 日志报表功能测试 (9) 3.5.1. 查杀病毒和木马日志报表 (9) 3.5.2. 客户端病毒情况报表 (9) 3.5.3. 客户端感染病毒排名榜或趋势图 (9) 3.5.4. 汇总多级管理架构的数据 (10) 3.5.5. 管理控制操作审计日志报表 (10) 3.6. 系统管理测试 (10) 3.6.1. 帐号管理及权限分配管理 (10) 3.6.2. 客户端与管理中心通讯间隔设置 (11) 3.6.3. 控制中心升级测试 (11) 3.6.4. 安全报告订阅 (11) 3.6.5. 管理服务器备份与恢复 (12) 4. 天擎客户端功能验证 (13) 4.1. 病毒、木马查杀 (13) 4.2. 手动杀毒 (13) 4.3. 实时防护 (13)

北信源终端安全管理解决方案.doc

北信源终端安全管理解决方案1 北信源终端安全管理解决方案 客户端安全管理概述 客户端桌面安全管理技术的兴起是伴随着网络管理事务密集度的增加，作为网络管理技术的边缘产物而衍生的，它同传统安全防御体系的缺陷相关联，是传统网络安全防范体系的补充，也是未来网络安全防范体系重要的组成部分。因此，客户端桌面安全管理技术无论在现在还是未来都应当归入网络安全产品体系之列。 客户端桌面安全管理强化了对网络计算机终端的控制，对计算机终端的管理包括：资源资产、终端安全策略、桌面风险控制、补丁分发、终端运行状态监控以及终端涉密审计等。客户端桌面安全管理系统提供了防火墙、IDS、防病毒系统、专业网管软件所不能提供的防护功能，对它们管理的盲区进行监控，扩展成为一个实时的安全监控系统，并能够同其它网络安全设备进行安全集成和报警联动。 客户端桌面安全管理技术近几年来逐渐被网络管理者和机构管理决策者们所重视。对于那些机器数量庞大，几百台甚至几千、几万台设备终端的网络，网络管理人员面临的不仅仅是处理繁杂的终端安全管理事务，还要从事基础的网络运行维护。2003~2004年，“冲击波”、“震荡波”在互联网、企事业网络猖獗传播的时候，也正是网络管理人员忙于对众多计算机进行病毒查杀、升级操作系统补丁的时候，同时爱情后门变种病毒在网络中此起彼伏的传播，可谓让网络管理人员费尽脑力。国家安检、军机、政务等涉密机构部门也面临着内务专网中的客户端用户进行不规范或违规操作所带来的危害威胁，如黑客入侵、病毒入侵、资料泄密等危险性行为。

总体上，对于客户端桌面安全管理的要求要根据用户自身的需求出发，不同的用户具有不同的侧重点。本文对该类产品的用户进行细化： ①行业应用 按照网络应用存在的行业进行划分，如电信、金融、政府、能源、院校、媒体、交通、以及大型企业等集团级企业，这些用户存在着自上而下行业应用广域网络，特点在于网络终端数量大、操作人员水平层次不齐、管理难度高。 ②规模层次 按照对计算机数量的密集程度、信息化应用程度高低进行划分，如经济发达地区企、事业用户（大、中城市），信息化应用水平要求高的行业（金融、电信、税务、电力）等，这些用户的计算机数量大、应用程度高。 ③涉密隔离机构 特定的用户，如政府（政法、政务）、军机、金融、研究机构等用户，规模实体中的财务、决策层次的网络，都面临信息保密的要求。 ④近期/远期管理需要 企事业在发展的不同阶段，所面临的管理要求也不同，对于网络管理的严格化在近期可能不需要，但在长远的阶段，可能存在强制管理的要求。 用户客户群范围 只要终端数量在100个以上的网络都有可能成为该类产品的用户，不止国内是这样，国外也是这样。 国内客户端桌面安全管理产品大致是最近一至二年在市场上开始初露端