北信源内网安全管理系统

北信源内网安全管理系统

北信源内网安全管理系统可分为五个软件包组合销售，全方位地为网络用户提供安全管理功能。这五个软件包具体为：基本产品包、终端桌面管理产品包、终端安全管理产品包、网络主机运维产品包、非法外联管理产品包。

基本产品包

基本产品包主要包含终端基本管理、IT资产管理、事件报表及报警处置、第三方接口联动（可扩展）等功能。

1.终端基本管理

1)终端注册管理

2)IP和MAC绑定管理

3)禁止修改网关、禁用冗余网卡管理

4)未注册终端拒绝入网管理（软阻断技术）

2.IT资产管理

1)硬件资产管理

2)软件资产管理

3)软、硬件设备信息变更管理

3.事件报表及报警处置

1)终端信息数据统计分类管理

2)图形化信息数据输出管理

3)用户自定义组态报表输出及查询管理

4)报警结果处置管理

5)安全事件源远程阻断管理

4.第三方接口联动（可扩展）

1)PKI/CA认证联动接口

2)防火墙联动接口

3)网管软件联动接口

4)安全管理平台联动接口

5)其它第三方接口

●终端桌面管理产品包

1)终端流量管理

2)进程运行黑白名单控制

3)进程保护管理

4)进程执行汇总

5)终端服务管理

6)软件黑白名单控制

7)软件安装汇总

8)终端消息推送

9)远程协助管理

10)外设及端口控制

11)垃圾文件清理

12)终端点对点管理

13)系统自动关机管理

14)终端时间同步管理

●终端安全管理产品包

1)桌面密码权限管理

2)可网管配置的统一防火墙

3)终端防网络攻击管理

4)终端杀毒软件管理

5)终端安全等级管理

6)IE安全设置

7)恶意软件免疫

8)注册表监控/保护

9)终端在线/离线策略管理

●网络主机运维产品包

1)运行资源监控

2)流量异常监控

3)进程异常监控

4)客户端文件备份

非法外联管理产品包

1)内部终端非法接入互联网行为监控

2)离网终端非法接入互联网行为监控

3)内部终端非法接入其它网络行为监控

4)内部终端非法外联行为告警和网络锁定

5)内部终端非法外联行为取证

北信源内网安全管理系统(服务器版)安装说明

快速阅读指南 1.本使用手册为北信源终端安全管理系列产品全功能用户手册，请按照所购买产品对应相关的产品说明进行配置使用（该手册第一、二、三章为终端安全管理产品共有部分，凡购买任何一款终端安全管理产品都应首先详细阅读此三个章节）。 2.详细阅读本软件组件功能、组成、作用、应用构架，确切了解本软件的系统应用。 3.安装准备软件环境：Microsoft SQL Server2000、Windows2000Server、Internet服务管理器。SQL安装注意事项请参照第二章2-3-1所示。建议将数据库管理系统、区域管理器、WEB管理平台安装在同一服务器上,确认区域管理器所在机器的88端口不被占用（即非主域控制器）；防火墙应允许打开88，2388，2399，22105，8900，8901，22106，22108，8889端口。 4.按步骤安装各组件后，通过http://*.*.*.*/vrveis登录Web管理平台，首先对Web管理平台进行如下配置：添加区域→划分该区域IP范围→指定区域管理器→指定区域扫描器。 5.双击屏幕右下角区域管理器、单击主机保护进行通讯参数配置。 6.在\VRV\VRVEIS\download目录中，使用RegTools.exe工具修改DeviceRegist.exe文件中的本地区域管理器IP，将修改后的注册程序DeviceRegist.exe放在机构网站上进行静态网页注册，或者在机构网站上加载动态网页检测注册脚本语句，进行动态设备注册。 7.系统升级：联系北信源公司获取最新的软件组件升级包，确保Web管理平台、区域管理器、客户端注册程序等组件的升级。 8.如果本说明书中的插图与实际应用的产品有出入，以实际产品为主。 特别提示：默认管理员用户：admin，密码：123456；系统指定审计用户名：audit,密码：123456请注意修改。

信息安全管理系统

信息安全管理系统 一、产品聚焦 1、随着企业信息化进程的不断推进，信息安全问题日益凸显。信息技术水平不断在提升的同时，为何信息泄露，信息安全事件仍然时有发生 2、对于信息安全事件为何我们不能更多的在“事前”及时的发现并控制，而是在“事后”进行补救 3、信息安全管理工作“三分技术、七分管理”的原因何在 4、信息安全管理工作种类繁多，安全管理人员疲于应付，是否有合适的管理手段对其归类，有的放矢，加强针对性、提升工作效率是否需要有持续提升信息安全意识和增强知识学习的管理体系 二、产品简介 该产品通过与企业信息安全管理的现状紧密结合，融合国际主流及先进的风险管理方法、工具、设计理念，有效结合国内外对信息安全管理工作提出的相关安全标准体系要求，通过建立企业信息安全风险全生命周期、全面风险来源、全目标管理的全方位风险管理模型，以监测预警防风险、风险流程查隐患、风险应对控事态、监督评价促改进、保障体系提意识，保证信息安全风险管理在企业的落地生效。 三、产品特点 1、业务的无缝集成 无缝集成企业终端防护类安全系统、边界防护类安全系统、系统防护类安全系统、数据防护类安全系统、综合监管类安全管理系统以及相关的基础认证和授权平台等，实现对信息安全事件引发因素的全面监测和智能分析，有的放矢的对信息安全工作进行管理。 2、“上医未病，自律慎独”的风险管理体系 目标鲜明、方法合理、注重实效，为企业信息化进程保驾护航。基于企业现有管理制度和安全防御体系构建，实现系统的行之有效、行之有依。 3、合理的改进咨询建议 通过系统建设对企业信息安全管理现状进行梳理和分析，提供合理有效的改进咨询建议。 4、创新实用的管理工具 蝴蝶结模型、风险矩阵、风险热图等主流风险管理模型的实用化创新应用；德尔菲打分法、层次分析法、灰色评价法等科学分析方法的灵活嵌入；正态分布、泊松分布等概率模型的预测分析，致力于提升风险管理工作的精细度和准确度。 5、预置的信息安全风险事件库 由信息安全及风险管理专家组成的专家团队结合国内外的相关信息安全管理标准梳理的风险事件库基础信息，可在系统建设初期提供有力的业务数据支持。 6、持续渐进的信息安全知识管理 信息安全风险知识管理不仅仅是信息安全相关知识的积累和技术的提升、还在于信息安全管理意识的提升，通过信息安全知识管理体系的建立，提升全员的信息安全管理意识，并提供最新的信息安全知识储备。 四、应用效果 对信息安全风险管理全过程的数据、重点关注的风险主题进行全方位的数据分析，采用科学合理的数据分析模型，以灵活多样化的图表进行展现以辅助决策。 五、产品功能 1、目标管理 维护企业信息安全战略目标、不同层级风险管理目标、目标预警指标、目标风险等。以目标为龙头开展企业信息安全风险管理工作。 2、风险识别 利用层次分析法逐层分析，识别企业信息安全工作中包含的资产、资产脆弱性和面临的威胁，全面辨识风险源并制定相应的防控措施，并针对风险事件制定缓解措施。 3、风险评估 创新利用科学合理的风险评估方法对威胁发生概率、严重程度进行评估，量化风险指数，借助评估工具得出防范风险优先级并对风险分布进行展示。 4、监测预警 依托企业现有的信息安全防范体系架构，设置风险监控点，以风险管理视角对各重要的信息安全指标进行实时的数据监控，发挥信息系统“摄像头”的职能，针对信息安全关注的重大风险进行实时预警提示，确保风险的提前警示和预先处理。

北信源终端安全管理系统802.1x准入流程

北信源终端安全管理系统 802.1x准入流程 1．802.1x的认证过程可以描述如下 (1) 客户端（PC）向接入设备（交换机）发送一个EAPoL-Start 报文，开始802.1x认证接入; (2) 接入设备（交换机）向客户端（PC）发送EAP-Request/Identity 报文，要求客户端（PC）将用户名送上来; (3) 客户端（PC）回应一个EAP-Response/Identity给接入设备（交换机）的请求，其中包括用户名; (4) 接入设备（交换机）将EAP-Response/Identity报文封装到RADIUS Access-Request报文中，通过路由器发送给认证服务器; (5) 认证服务器产生一个Challenge，通过接入设备（交换机）将RADIUS Access-Challenge报文发送给客户端（PC），其中包含有EAP-Request/MD5-Challenge; (6) 接入设备（交换机）通过EAP-Request/MD5-Challenge发送给客户端（PC），要求客户端（PC）进行认证 (7) 客户端（PC）收到EAP-Request/MD5-Challenge报文后，将密码和Challenge做MD5算法后的Challenged-Pass-word，在EAP-Response/MD5-Challenge回应给接入设备（交换机） (8) 接入设备（交换机）将Challenge，Challenged Password和

用户名一起送到RADIUS服务器，由RADIUS服务器进行认证 (9)RADIUS服务器根据用户信息，做MD5算法，判断用户是否合法，然后回应认证成功/失败报文到接入设备（交换机）。如果成功，携带协商参数，以及用户的相关业务属性给用户授权。如果认证失败，则流程到此结束; (10) 如果认证通过，用户通过标准的DHCP协议 (可以是DHCP Relay) ，通过接入设备（交换机）获取规划的IP地址; (11) 如果认证通过，用户正常上网。同时终端图标显示为 。 (12)根据服务器策略进行安检，安检成功不做任何动作。安检不成功则根据策略内容进行客户端限制.只能访问某些特定服务器地址,修复成功后放开限制。 2．终端用户安全安检： 当终端存在安全检查策略时，如下图：

中软统一终端安全管理平台8.0安装手册(单机版)

（单机版
Version：8.0.7.x）
中国软件与技术服务股份有限公司 CHINA NATIONAL SOFTWARE ＆ SERVICE CO.,LTD.

版 权 声 明
非常感谢您选用我们的产品， 本手册用于指导用户安装中软统一终端安全管理平台 8.0 （中文简称安全管理平台） ，请您在安装本系统前，详细阅读本手册。本手册和系统一并出售且 仅提供电子文档。 。 Copyright ? 2005 by CS&S，中国软件与技术服务股份有限公司版权所有。 中软统一终端安全管理平台 8.0 是中国软件与技术服务股份有限公司自主研发的受法 律保护的商业软件。遵守法律是共同的责任，任何人未经授权人许可，不得以任何形式或方法 及出于任何目的复制或传播本软件和手册，权利人将追究侵权者责任并保留要求赔偿的权利。 任何人或实体由于该手册提供的信息造成的任何损失或损害，中国软件与技术服务股 份有限公司不承担任何义务或责任。
系统版权 中文名称：中软统一终端安全管理平台 8.0 英文简称：UEM8.0 开发单位：中国软件与技术服务股份有限公司
本系统的版权单位 中国软件与技术服务股份有限公司 地址：北京市海淀区学院南路 55 号中软大厦，100081 电话： （010）51508031/32/33 邮箱：waterbox@https://www.sodocs.net/doc/7a17853310.html,
2

前
言
目前，个人计算机系统成为组成企业、单位网络的主体，也是绝大多数泄密事件发生的源头。 针对这一现状，中软自主研发的终端安全管理平台是内网安全管理的有力武器，是加强个人计算机 内部安全管理的重要工具。它作为国内市场上第一款成熟的内部安全管理软件，填补了国内在该领 域的空白，为我国信息安全保障工作注入了新的活力。 本书详细介绍了中软统一终端安全管理平台 8.0 安装方法，为用户在安装本系统时提供参考， 全书共为五章。 第一章：系统概述 第二章：体系结构和运行所需软硬件环境 第三章：服务器安装与卸载 第四章：控制台安装与卸载 第五章：客户端安装与卸载 本书内容全面，深入浅出，适合安装、使用中软统一终端安全管理平台的用户读者；检测、评 估中软统一终端安全管理平台的技术人员和专家以及希望使用中软统一终端安全管理平台协助对其 组织、机构或企业进行管理的管理人员等。 本手册适用于中软统一终端安全管理平台 8.0 的 8.0.7.x 单机版本的安装使用，随相应版本的产 品光盘附带，对该产品的其他版本，如未作特殊说明或者更新，该手册同样适用。 本手册在编写过程中，尽管我们做了最大努力力求完美和准确，但由于水平有限，难免存在疏 漏和缺陷之处。如果您对本手册有任何疑问、意见或建议，请与我们联系。感谢您对我们的支持和 帮助。
通用产品研发中心 2008 年 3 月
3

ISMS手册信息安全管理体系手册

ISMS 手册-信息安全管理体系手册7 信息安全管理IT 服务管理体系手册 发布令 本公司按照ISO20000:2005 《信息技术服务管理—规范》和ISO27001 ：2005 《信息安全管理体系要求》以及本公司业务特点编制《信息安全管理&IT 服务管理体系手册》，建立与本公司业务相一致的信息安全与IT 服务管理体系， 现予以颁布实施。 本手册是公司法规性文件，用于贯彻公司信息安全管理方针和目标，贯彻IT 服务管理理念方针和服务目标。为实现信息安全管理与IT 服务管理，开展持续改进 服务质量，不断提高客户满意度活动，加强信息安全建设的纲领性文件和行动准 则。是全体员工必须遵守的原则性规范。体现公司对社会的承诺，通过有效的PDCA 活动向顾客提供满足要求的信息安全管理和IT 服务。 本手册符合有关信息安全法律法规要求以及ISO20000:2005 《信息技术服务 管理—规范》、ISO27001 ：2005 《信息安全管理体系要求》和公司实际情况。为能更好的贯彻公司管理层在信息安全与IT 服务管理方面的策略和方针，根据 ISO20000:2005 《信息技术服务管理—规范》和ISO27001 ：2005 《信息安全管理体系要求》的要求任命XXXXX 为管理者代表，作为本公司组织和实施“信息安全管理与IT 服务管理体系”的负责人。直接向公司管理层报告。 全体员工必须严格按照《信息安全管理&IT 服务管理体系手册》要求，自觉遵守本手册各项要求，努力实现公司的信息安全与IT 服务的方针和目标。 管理者代表职责：

a）建立服务管理计划； b）向组织传达满足服务管理目标和持续改进的重要性； e）确定并提供策划、实施、监视、评审和改进服务交付和管理所需的资源，如招聘合适的人员，管理人员的更新； 1．确保按照ISO207001:2005 标准的要求，进行资产识别和风险评估，全面建立、实施和保持信息安全管理体系；按照ISO/IEC20000 《信息技术服务管理－规范》的要求，组织相关资源，建立、实施和保持IT 服务管理体系，不断改进IT 服务管理体系，确保其有效性、适宜性和符合性。 2．负责与信息安全管理体系有关的协调和联络工作；向公司管理层报告 IT 服务管理体系的业绩，如：服务方针和服务目标的业绩、客户满意度状况、各项服务活动及改进的要求和结果等。 3．确保在整个组织内提高信息安全风险的意识； 4．审核风险评估报告、风险处理计划； 5．批准发布程序文件； 6．主持信息安全管理体系内部审核，任命审核组长，批准内审工作报告； 向最高管理者报告信息安全管理体系的业绩和改进要求，包括信息安全管理体系运行情况、内外部审核情况。 7．推动公司各部门领导，积极组织全体员工，通过工作实践、教育培训、业务指导等方式不断提高员工对满足客户需求的重要性的认知程度，以及为达到公司服 务管理目标所应做出的贡献。 总经理：

北信源法院系统终端安全管理系统解决方案2015

北信源法院系统终端安全管理系统 解决方案 北京北信源软件股份有限公司 2015年3月

目录 1. 前言 (4) 1.1. 概述 (4) 1.2. 应对策略 (5) 2. 终端安全防护理念 (6) 2.1. 安全理念 (6) 2.2. 安全体系 (7) 3. 终端安全管理解决方案 (8) 3.1. 终端安全管理建设目标 (8) 3.2. 终端安全管理方案设计原则 (8) 3.3. 终端安全管理方案设计思路 (9) 3.4. 终端安全管理解决方案实现 (11) 3.4.1. 网络接入管理设计实现 (11) 3.4.1.1. 网络接入管理概述 (11) 3.4.1.2. 网络接入管理方案及思路 (11) 3.4.2. 补丁及软件自动分发管理设计实现 (16) 3.4.2.1. 补丁及软件自动分发管理概述 (16) 3.4.2.2. 补丁及软件自动分发管理方案及思路 (16) 3.4.3. 移动存储介质管理设计实现 (20) 3.4.3.1. 移动存储介质管理概述 (20) 3.4.3.2. 移动存储介质管理方案及思路 (20) 3.4.4. 桌面终端管理设计实现 (23) 3.4.4.1. 桌面终端管理概述 (23) 3.4.4.2. 桌面终端管理方案及思路 (24) 3.4.5. 终端安全审计设计实现 (35)

3.4.5.1. 终端安全审计概述 (35) 3.4.5.2. 终端安全审计方案及思路 (36) 4. 方案总结 (41)

1.前言 1.1.概述 随着法院信息化的飞速发展，业务和应用逐渐完全依赖于计算机网络和计算机终端。为进一步提高法院信息系统内部的安全管理与技术控制水平，必须建立一套完整的终端安全管理体系，提高终端的安全管理水平。 由于法院信息系统内部缺乏必要管理手段，导致网络管理人员对终端管理的难度很大，难以发现有问题的电脑，从而计算机感染病毒，计算机被安装木马，部分员工使用非法软件，非法连接互联网等情况时有发生，无法对这些电脑进行定位，这些问题一旦发生，往往故障排查的时间非常长。如果同时有多台计算机感染网络病毒或者进行非法操作，容易导致网络拥塞，甚至业务无法正常开展。 建立终端安全管理体系的意义在于：解决大批量的计算机安全管理问题。具体来说，这些问题包括： 实现对法院信息系统内部所有的终端计算机信息进行汇总，包括基本信息、审计信息、报警信息等，批量管理终端计算机并提高安全性、降低日常维护工作量； 实现对法院信息系统内部所有的终端计算机的准入控制，防止外来电脑或违规的电脑接入法院信息系统内部网络中； 实现对法院信息系统内部所有的终端计算机进行补丁的自动下载、安装与汇总，最大程度减少病毒、木马攻击存在漏洞的计算机而导致的安全风险； 实现对法院信息系统内部所有的移动存储设备的统一管理，防止部分人员通过USB设备将法院信息系统大量的机密文件传播出去，同时也极大减少了病毒、木马通过USB设备在网络中传播等情况的发生；

信息安全管理系统的规范

信息安全管理系统的规范 第二部分:信息安全管理系统的规范 1 1. 范围 BS 7799的这个部分指明了对建立、实现和文档化信息安全管理系统(ISMSs)的需求。它指明了将要按照个别机构的需要而实现的安全控制的需求。 注:第一部分给出了对最佳惯例的推荐建议，这些惯例支持该规范中的需求。BS 7799的这个部分的条款4给出的那些控制目标和控制来自于BS 7799-1:1999并与改部分的内容保持一致。 2. 术语与定义 为了BS 7799的这个部分，BS 7799-1给出的定义适用于该部分，并有以下专用术语: 2.1 适用性说明 适用于机构的安全要求的目标和控制的批评。 3.信息安全管理系统的要求 3.1概要 机构应建立及维护一个信息安全管理系统，目的是保护信息资产，订立机构的风险管理办法、安全控制目标及安全控制，以及达到什么程度的保障。 3.2建立一个管理框架 以下的步骤是用来找出及记录安全控制目标及安全控制的(参看图一): a) 应定义信息安全策略; b) 应定义信息安全管理系统的范围，定义范围可以是机构的特征、位置、资产及 技术;

c) 应进行合适的风险评估。风险评估应确认对资产的安全威胁、漏洞及对机构的 冲击，从而定出风险的严重程度; d) 根据机构的信息安全策略及所要求达到的保障程度定出要管理的风险; e) 从以下第四条款选出机构要实现的安全控制目标及要实施的安全控制; f) 应准备一份适用性声明书，说明选出哪些安全控制目标及安全控制以及选择的 原因。 以上步骤应定期重复，确定系统的适用性。 2 3.3实施 选出的安全控制目标及安全控制应由机构有效地执行，实施控制的执行程序是否有效应根据4.10.2的规定进行检查。 3.4文档 信息安全管理系统的说明文档应包括以下信息: a) 按照3.2所定的步骤实现的证据; b) 管理架构的总结，其中包括信息安全策略、在适用性声明书所提及的安全控制 目标和已经实现的安全控制; c) 为了实现3.3所指定的控制而采用的程序;这些程序应该刻画责任以及相关行 动; d) 覆盖该ISMS中的管理和操作的程序，这些程序应该指出有哪些责任及其有关

北信源-终端准入控制系统

北信源VRV-BMG终端准入控制系统 产品背景 网络接入控制管理系统能够强制提升企业网络终端的接入安全，保证企业网络保护机制不被间断，使网络安全得到更有效提升。与此同时基于设备接入控制网关，还可以对于远程接入企业内部网络的计算机进行身份、唯一性及安全认证。 通过网络接入控制管理系统可以满足企业要求，将设备接入控制扩展到超出简单远程访问及路由器、专有协议和已管理设备的限定之外；能够覆盖到企业网络的每一个角落，甚至是当使用者拿着他们的移动设备离开企业网络时，仍能有效的提供设备接入控制的执行。网络接入控制管理系统针对所有的网络架构工作，并且不必进行昂贵的网络架构改造。 北信源VRV-BMG终端准入控制系统产品是一款基于内网用户网络行为管理和控制的硬件网关。有如下具体特点： 1)具有网络访问控制、网络行为管理、网页过滤检查、带宽流量管理、综合内容审计等功能。主要用于解决企业内网、行业用户接入互联网或外联网可能引发的各种安全问题。通过对内网用户的网络行为管理和控制，从而解决网络规范访问控制、网页浏览过滤、网络带宽资源滥用，以及对P2P软件、游戏软件、股票软件、即时通信等各种应用软件的管理和控制，并实现对上述各种网络行为的管理和审计功能； 2)采用先进的深度业务识别DSI技术，能够快速识别包括多种流行P2P及其

变种协议、网络流媒体协议、网路游戏、股票软件以及行业用户专用网络协议。深度业务识别DSI技术是在DPI和DFI技术上发展起来的一种新型的7层应用识别技术。由于深度业务识别检测DSI技术基于业务本身的特征而不是报文数据细节，对于检测加密或加扰应用协议具有更高的识别率，特别是对于新增和变种的网络应用和业务类型，DSI更具备良好的适应性； 3)通过系统内置的网络应用业务特征，综合运用继承式应用描述语言HADL，从而允许网络管理者针对不同的内网用户、不同时段，综合企业的实际需求制定适合本企业的网络行为管理规范。继承式应用描述语言HADL通过业务拓扑级——流特征级——报文特征的继承描述关系精确描述某项业务的特征。并突破了原有单一的报文特征或者流特征所带来的误识别问题，从报文、流和业务拓扑3个层次综合描述应用并且精确定位了3中特征之间的关系，从而将DSI 技术更好地贯彻在应用识别产品中； 4)采用领先的知识发现KDT技术（该技术是数据挖掘技术与深度业务识别检测DSI两种技术的结晶，它可以根据不同的业务类型进行有针对性的内容还原解码），能够对邮件内容、聊天内容、网络发帖等综合信息进行安全审计、综合检索和完整备份； 5)部署在企业内网与外网的边界处或者不同的可信安全域之间，完成内网用户跨边界安全行为管理的实施。同时，该产品与北信源终端管理软件还可以通过终端准入控制技术、二次授权访问控制技术、综合行为审计技术、统一策略配置与管理等方面，实现无缝结合与深层联动，从而将企业内网建设成从终端到边界节点的一体化内网安全管理体系，为保障内网从终端到边界安全形成了一道绿色的屏障。 系统管理构架北信源网络接入控制管理系统由以下几部分组成： 1)策略服务器：系统策略管理中心，提供系统的参数配置和安全策略管理。 2)认证客户端：安装在终端计算机，通过用户名和密码向认证服务器发起 认证，实现正常工作区、访客隔离区、安全修复区的自动切换。 3）Radius认证服务器：接收客户端认证请求信息数据包并进行验证。 4）Radius认证系统(交换机) ：可网管支持802.1x的网络设备（交换机），接收认证客户端的认证请求数据包与Radius认证服务器完成认证过程。

内网终端安全管理系统项目解决方案

北信源内网终端安全管理系统 解决方案 北京北信源软件股份有限公司

目录 1.前言 (4) 1.1. 概述 (4) 1.2. 应对策略 (5) 2.终端安全防护理念 (6) 2.1. 安全理念 (6) 2.2. 安全体系 (7) 3.终端安全管理解决方案 (9) 3.1. 终端安全管理建设目标 (9) 3.2. 终端安全管理方案设计原则 (9) 3.3. 终端安全管理方案设计思路 (10) 3.4. 终端安全管理解决方案实现 (12) 3.4.1. 网络接入管理设计实现 ........................................ 错误!未定义书签。 3.4.1.1. 网络接入管理概述 ........................................ 错误!未定义书签。 3.4.1.2. 网络接入管理方案及思路............................... 错误!未定义书签。 3.4.2. 补丁及软件自动分发管理设计实现 (12) 3.4.2.1. 补丁及软件自动分发管理概述 (12) 3.4.2.2. 补丁及软件自动分发管理方案及思路 (12) 3.4.3. 移动存储介质管理设计实现 (17) 3.4.3.1. 移动存储介质管理概述 (17) 3.4.3.2. 移动存储介质管理方案及思路 (18) 3.4.4. 桌面终端管理设计实现 (21) 3.4.4.1. 桌面终端管理概述 (21) 3.4.4.2. 桌面终端管理方案及思路 (22) 3.4.5. 终端安全审计设计实现 ........................................ 错误!未定义书签。 3.4.5.1. 终端安全审计概述 ........................................ 错误!未定义书签。 3.4.5.2. 终端安全审计方案及思路............................... 错误!未定义书签。 4.方案总结 (41) 5.附录：系统硬件要求 (41) 6.预算 (43)

内网终端安全管理系统解决方案

内网终端安全管理系统解决方案

北信源内网终端安全管理系统 解决方案 北京北信源软件股份有限公司

目录 1.前言................................ 错误!未定义书签。 1.1.概述 错误!未定义书签。 1.2.应对策略 错误!未定义书签。 2.终端安全防护理念.................... 错误!未定义书签。 2.1.安全理念 错误!未定义书签。 2.2.安全体系 错误!未定义书签。 3.终端安全管理解决方案................ 错误!未定义书签。 3.1.终端安全管理建设目标 错误!未定义书签。 3.2.终端安全管理方案设计原则 错误!未定义书签。 3.3.终端安全管理方案设计思路 错误!未定义书签。 3.4.终端安全管理解决方案实现 错误!未定义书签。 3.4.1.网络接入管理设计实现 错误!未定义书签。 3.4.1.1.网络接入管理概述

3.4.1.2.网络接入管理方案及思路 错误!未定义书签。 3.4.2.补丁及软件自动分发管理设计实现 错误!未定义书签。 3.4.2.1.补丁及软件自动分发管理概述 错误!未定义书签。 3.4.2.2.补丁及软件自动分发管理方案及思路 错误!未定义书签。 3.4.3.移动存储介质管理设计实现 错误!未定义书签。 3.4.3.1.移动存储介质管理概述 错误!未定义书签。 3.4.3.2.移动存储介质管理方案及思路 错误!未定义书签。 3.4.4.桌面终端管理设计实现 错误!未定义书签。 3.4.4.1.桌面终端管理概述 错误!未定义书签。 3.4.4.2.桌面终端管理方案及思路 错误!未定义书签。 3.4.5.终端安全审计设计实现 错误!未定义书签。 3.4.5.1.终端安全审计概述

信息安全系统管理系统要求规范

信息安全管理规范公司

版本信息 当前版本: 最新更新日期: 最新更新作者: 作者: 创建日期: 审批人: 审批日期: 修订历史 版本号更新日期修订作者主要修订摘要

Table of Contents（目录） 1. 公司信息安全要求 (5) 1.1信息安全方针 (5) 1.2信息安全工作准则 (5) 1.3职责 (6) 1.4信息资产的分类规定 (6) 1.5信息资产的分级（保密级别）规定 (7) 1.6现行保密级别与原有保密级别对照表 (7) 1.7信息标识与处置中的角色与职责 (8) 1.8信息资产标注管理规定 (9) 1.9允许的信息交换方式 (9) 1.10信息资产处理和保护要求对应表 (9) 1.11口令使用策略 (11) 1.12桌面、屏幕清空策略 (11) 1.13远程工作安全策略 (12) 1.14移动办公策略 (12) 1.15介质的申请、使用、挂失、报废要求 (13) 1.16信息安全事件管理流程 (14) 1.17电子邮件安全使用规范 (16) 1.18设备报废信息安全要求 (17) 1.19用户注册与权限管理策略 (17) 1.20用户口令管理 (18) 1.21终端网络接入准则 (18) 1.22终端使用安全准则 (18) 1.23出口防火墙的日常管理规定 (19) 1.24局域网的日常管理规定 (19) 1.25集线器、交换机、无线AP的日常管理规定 (19) 1.26网络专线的日常管理规定 (20) 1.27信息安全惩戒 (20) 2. 信息安全知识 (21) 2.1什么是信息？ (21) 2.2什么是信息安全？ (21)

天珣内网安全风险管理与审计系统

天珣内网安全风险管理与审计系统 安装配置手册 （V6.6.9.4） 启明星辰 Beijing Venustech Cybervision Co., Ltd. 2012年11月

版权声明 北京启明星辰信息安全技术有限公司版权所有，并保留对本文档及本声明的最终解释权和修改权。 本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明外，其著作权或其他相关权利均属于北京启明星辰信息安全技术有限公司。未经北京启明星辰信息安全技术有限公司书面同意，任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其它语言、将其全部或部分用于商业用途。 “天珣”为北京启明星辰信息安全技术有限公司的注册商标，不得侵犯。 免责条款 本文档依据现有信息制作，其内容如有更改，恕不另行通知。 北京启明星辰信息安全技术有限公司在编写该文档的时候已尽最大努力保证其内容准确可靠，但北京启明星辰信息安全技术有限公司不对本文档中的遗漏、不准确、或错误导致的损失和损害承担责任。

目录 版权声明 (1) 免责条款 (1) 信息反馈........................................... 错误!未定义书签。1综述 . (4) 2安装环境及要求 (4) 3.天珣内网安全风险管理与审计系统主要组件介绍 (6) 3.1.服务器组件 (6) 3.1.1. 中心策略服务器 (6) 3.1.2. 本地策略服务器 (6) 3.1.3. 资产管理服务器................................错误!未定义书签。 3.1.4. Radius服务器 (6) 3.1.5. 攻击告警服务器 (6) 3.1.6. 软件分发服务器 (7) 3.1.7. HOD远程桌面服务器 (7) 3.2.策略网关组件 (7) 3.2.1. 策略网关代理 (7) 3.2.2. 中性策略网关 (7) 3.2.3. IIS策略网关 (8) 3.2.4. ISA策略网关 (8) 3.2.5. EXCHANGE策略网关 (8) 3.2.6. DNS策略网关及旁路监听式DNS策略网关 (8) 3.2.7. 客户端 (9) 3.2.8. 按需支援管理端 (9) 3.2.9. 客户端打包程序 (9) 4.天珣内网安全风险管理与审计系统的安装 (9) 4.1.快速安装 (10) 4.1.1 快速安装部署 (10) 4.1.2 基本配置 (27) 4.2.自定义安装 (31) 4.2.1 自定义安装中心服务器 (32) 4.3.本地服务器的安装配置 (33) 4.3.1 添加策略服务器 (37) 4.4.策略网关配置 (38) 4.4.1 添加策略网关代理 (38) 4.4.2 安装中性策略网关 (39) 4.5.远程桌面的系统配置 (46) 4.5.1 安装添加远程桌面服务器 (46) 4.5.2 添加远程桌面管理员 (46) 4.5.3 安装按需支援管理员端程序 (47) 4.5.4 用户请求管理员远程帮助 (49) 4.6.软件分发安装与配置 (49) 4.6.1 安装软件分发服务器 (49)

北信源内网安全解决方案

北信源内网安全解 决方案 1

XXXX 终 端 安 全 管 理 解 决 方 案 北京北信源软件股份有限公司 -03－22 目录 1、前言 ................................................................................. 错误!未定义书签。 2、需求分析 ......................................................................... 错误!未定义书签。

2.1、XXXX信息系统现状........................................... 错误!未定义书签。 2.2、XXXX网络终端管理需求................................... 错误!未定义书签。 2.3、XXXX网络终端安全管理系统需求分析........... 错误!未定义书签。 3、北信源终端安全管理解决方案..................................... 错误!未定义书签。 3.1、VRVEDP系统概述............................................... 错误!未定义书签。 3.3、网络接入管理系统 ............................................... 错误!未定义书签。 3.3.1、ARP阻断隔离 ............................................. 错误!未定义书签。 3.3.2、接入设备审核及有效期.............................. 错误!未定义书签。 3.3.3、802.1X认证方式......................................... 错误!未定义书签。 3.3.4、接入控制网关(硬件) ................................... 错误!未定义书签。 3.4、内网安全管理系统 ............................................... 错误!未定义书签。 3.4.1、终端注册管理.............................................. 错误!未定义书签。 3.4.2、IP/MAC绑定策略 ....................................... 错误!未定义书签。 3.4.3、IT资产管理 ................................................. 错误!未定义书签。 3.4.4、终端流量管理.............................................. 错误!未定义书签。 3.4.5、进程限制策略.............................................. 错误!未定义书签。 3.4.6、互联网访问控制.......................................... 错误!未定义书签。 3.4.7、防病毒策略.................................................. 错误!未定义书签。 3.4.8、软件安装限制.............................................. 错误!未定义书签。 3.4.9、多线程计算机远程维护平台...................... 错误!未定义书签。 3.4.10、防火墙策略................................................ 错误!未定义书签。 3

系统与信息安全管理

一、资源界定 1、业务系统信息安全包括托管在联通机房的所有服务器、网络线 路、网络设备、安装在服务器上的操作系统、业务系统、应用系 统、软件、网络设备上的OS、配置等软硬件设施。 2、任何人未经允许不得对业务系统所包含的软硬件进行包括访问， 探测，利用，更改等操作。 二、网络管理 1、网络结构安全管理 A、网络物理结构和逻辑结构定期更新，拓扑结构图上应包含 IP地址，网络设备名称，专线供应商名称及联系方式，专 线带宽等，并妥善保存，未经许可不得对网络结构进行修 改。 B、网络结构必须严格保密，禁止泄漏网络结构相关信息。 C、网络结构的改变，必须提交更改预案，并经过信息总监的 批准方可进行。 2、网络访问控制 D、络访问控制列表包括山石磊科路由和华三S5620的ACL。

E、妥善保管现有的网络访问控制列表，其中应包含网络设备 及型号，网络设备的管理IP，当前的ACL列表，更新列表 的时间，更新的内容等。 F、定期检查网络访问控制列表与业务需求是否一致，如不一 致，申请更新ACL。 G、未经许可不得进行ACL相关的任何修改。 H、ACL时，必须备份原有ACL，以防误操作。 I、ACL配置完成以后，必须测试。 J、禁止泄漏任何ACL配置。 3、网络络设备安全 K、妥善保管现有网络设备清单，包括供应商及联系人信息，设备型号，IP地址，系统版本，设备当前配置清单。 L、定期检查设备配置是否与业务需求相符，如有不符，申请更新配置。 M、配置网络设备时，必须备份原有配置，以防误操作。 N、配置完成之后，必须进行全面测试。 O、禁止在网络设备上进行与工作无关的任何测试。 P、未经许可不得进行任何配置修。 Q、禁止泄漏网络设备配置。

内网安全管理系统项目方案

内网安全管理系统项目方案

目录 第一章概述 (4) 1.1 建立内网安全管理系统的必要性 (4) 1.2 现状分析 (4) 1.3 项目需求 (4) 第二章系统建设目标与原则 (5) 2.1 系统建设目标 (5) 2.2 系统建设原则 (6) 2.2.1 先进性原则 (6) 2.2.2 易于管理、操作和维护原则 (6) 2.2.3 充分利用现有资源原则 (6) 2.2.4 安全与性能负载均衡原则 (6) 第三章总体设计方案 (6) 3.1 系统总体架构 (7) 3.2 系统功能架构设计 (9) 3.2.1 基于进程的文档加密驱动 (9) 3.2.2 端口控制驱动 (10) 3.2.3 移动存储设备控制驱动 (10) 3.3 系统配置清单 (11) 第四章系统功能设计 (11) 4.1 认证授权系统设计 (11) 4.1.1 客户端动态注册，浮动License 管理 (11) 4.1.2 控制台和客户端的网络身份认证 (12) 4.1.3 多种身份认证相结合 (12) 4.1.4 策略集中分级管理 (12) 4.1.5 支持按分组和单个计算机灵活定制策略 (13) 4.1.6 限时有效策略 (13) 4.2 数据安全保密系统设计 (13) 4.2.1 文件透明加解密 (14) 4.2.2 涉密文件安全防护 (15) 4.3 硬件安全防护系统设计 (16) 4.3.1 存储设备控制 (16) 4.3.2 通讯设备控制 (16) 4.3.3 存储设备准入认证 (16) 4.4 IT 资产管理系统设计 (17) 4.4.1 资产的完备性 (17) 4.4.2 资产变更的准实时性 (17) 4.4.3 详细的报告 (17)

中软统一终端安全管理系统

“中软统一终端安全管理系统（United Endpoint Management, 简称UEM）”，以其全新的安全理念、强大的功能体系、完善的技术架构，改变了传统的内网安全管理模式，实现了主机监控与审计的完美统一。该系统采用了终端安全“一体化”的安全防护技术，整合了病毒防护监测、网络接入认证、终端健康性检查、系统身份认证、资产管理、补丁管理、运行监控和失泄密防护等等终端软件的安全功能，是终端安全的完整解决方案。 【系统功能】 该系统的主要从以下几个方面保障内部安全： 一．终端安全管理 1．安全策略管理 按照企业终端计算机安全管理规定，统一配置终端计算机的Windows安全策略，实现集中的安全策略配置管理，统一提高终端计算机用户的安全策略基线。系统所能配置的安全策略有：帐户密码策略监视、帐户锁定策略监视、审核策略监视、共享策略监视、屏保策略监视。 2．终端入网认证 对接入内网的计算机进行统一的管理，未经许可的计算机不能接入内网，接入内网的计算机必须通过安全性检查才能访问内部网络资源，其主要功能为：非法用户内联控制、主机安全性检查。 3．用户身份认证 身份认证是系统应用安全的起点，通过硬件USBKey和口令认证登录Windows系统用户身份，保证进入Windows系统用户身份的合法性；对登录用户权限进行合法性检查，保证用户权限的合规性。具体功能为：基于USBKey的身份认证、登录用户权限合法性检查。 4．网络进程管理 通过对网络进程的统一管理，规范计算机用户的网络行为，实现“外面的网路连接未经许可进不来，里面的网络进程未经许可出不去”。具体功能为：管理向外发起连接的网络进程、管理接收外部连入的网络进程、实时获取网络进程信息和会话连接状态。 5．防病毒软件监测 通过策略设置输入防病毒软件特征，按照统一的策略监测防病毒软件使用状况，并进行统计分析形成统一的数据报表。具体功能为：监视防病毒软件的使用状况、防病毒软件监测特征的自定义。 6．补丁分发管理 统一配置终端计算机的补丁管理策略，实现对系统补丁状况的扫描，自动完成补丁分发。系统所支持的补丁包括：Windows操作系统补丁系列、office系列办公软件补丁、SQL Server系列补丁等

北信源内网安全管理系统用户使用手册

北信源内网安全管理系统 用户使用手册 Newly compiled on November 23, 2020

北信源内网安全管理系统用户使用手册 北京北信源软件股份有限公司 二〇一一年

支持信息 在北信源内网安全管理系统使用过程中，如您有任何疑问 都可以通过访问我公司网站或者致电我司客服中心获得帮 助和支持！ 热线支持：400-8188-110 客户服务电话： 在您使用该产品过程中，如果有好的意见或建议的话也请 联系我们的客服中心，感谢您对我公司产品的信任和支 持！

正文目录图目录表目录

第一章概述 特别说明 北信源终端安全管理系列产品由《北信源内网安全管理系 统》、《北信源补丁及文件分发管理系统》、《北信源主 机监控审计系统》、《北信源移动存储介质使用管理系 统》、《北信源网络接入控制管理系统》及《北信源接入 认证网关》6大套件构成。 本手册内容将随着北信源软件的不断升级而改变(以光盘 中电子版发行时为最新版)，恕不另行通知。需要者请从 北信源公司网站下载本手册的最新电子版或者直接联系北 信源公司索取。 本手册与本系统的安装配置手册中的所有图片均为示意 图，请以实际产品为准。 本使用手册为北信源终端安全管理系列产品通用说明书。 若您独立购买《北信源内网安全管理系统》或《北信源补 丁及文件分发管理系统》等其中之一产品，本说明书的其 它功能将不具备。

感谢您购买北京北信源软件股份有限公司研制开发的北信 源终端安全管理系列产品。请在使用本软件之前认真阅读 本使用手册，当您开始使用该软件时，北信源公司认为您 已经阅读了本使用手册。 产品构架 北信源终端安全管理产品由8部分组成：WinPcap程序、 SQL Server管理信息库（安装包：环境初始化程序）、 Web中央管理配置平台（安装包：网页管理平台）、区域 管理器(安装包：Region Manage，原区域扫描器已作为模 块集成到区域管理器)、客户端注册程序（安装包：注册 程序）、补丁下载服务器、管理器主机保护模块、报警中 心模块。 环境初始化程序 SQL Server管理信息库，建立北信源终端安全管理产品 的初始化数据库。初始化的信息包括：网络客户端设备属 性信息、区域管理器信息、设备扫描器信息、区域管理范 围信息、注册（未注册）机器信息、设备属性变化信息、 报警信息等。扫描器将设备最新状态信息同数据库中原有 信息进行遍历搜索对比，根据规则要求在管理平台上报 警。 网页管理平台（web管理平台）