某内网终端安全管理系统解决方案

某内网终端安全管理系统解决方案

北信源内网终端安全管理系统

解决方案

北京北信源软件股份有限公司

目录

1.前言 (3)

1.1. 概述 (3)

1.2. 应对策略 (4)

2.终端安全防护理念 (5)

2.1. 安全理念 (5)

2.2. 安全体系 (6)

3.终端安全管理解决方案 (7)

3.1. 终端安全管理建设目标 (7)

3.2. 终端安全管理方案设计原则 (7)

3.3. 终端安全管理方案设计思路 (8)

3.4. 终端安全管理解决方案实现 (10)

3.4.1. 网络接入管理设计实现.............................................. 错误！未定义书签。

3.4.1.1. 网络接入管理概述.............................................. 错误！未定义书签。

3.4.1.2. 网络接入管理方案及思路.................................. 错误！未定义书签。

3.4.2. 补丁及软件自动分发管理设计实现 (10)

3.4.2.1. 补丁及软件自动分发管理概述 (10)

3.4.2.2. 补丁及软件自动分发管理方案及思路 (10)

3.4.3. 移动存储介质管理设计实现 (15)

3.4.3.1. 移动存储介质管理概述 (15)

3.4.3.2. 移动存储介质管理方案及思路 (15)

3.4.4. 桌面终端管理设计实现 (18)

3.4.4.1. 桌面终端管理概述 (18)

3.4.4.2. 桌面终端管理方案及思路 (19)

3.4.5. 终端安全审计设计实现.............................................. 错误！未定义书签。

3.4.5.1. 终端安全审计概述.............................................. 错误！未定义书签。

3.4.5.2. 终端安全审计方案及思路.................................. 错误！未定义书签。

4.方案总结 (37)

5.附录：系统硬件要求 (37)

6.预算 (39)

1.前言

1.1. 概述

随着信息化的飞速发展，业务和应用逐渐完全依赖于计算机网络和计算机终端。为进一步提高单位内部的安全管理与技术控制水平，必须建立一套完整的终端安全管理体系，提高终端的安全管理水平。

由于单位内部缺乏管理手段，导致网络管理人员对终端管理的难度很大，难以发现有问题的电脑，从而计算机感染病毒，计算机被安装木马，部分员工使用非法软件，非法连接互联网等情况时有发生，无法对这些电脑进行定位，这些问题一旦发生，往往故障排查的时间非常长。如果同时有多台计算机感染网络病毒或者进行非法操作，容易导致网络拥塞，甚至业务无法正常开展。

建立终端安全管理体系的意义在于：解决大批量的计算机安全管理问题。具体来说，这些问题包括：

实现对单位内部所有的终端计算机信息进行汇总，包括基本信息、审计信息、报警信息等，批量管理终端计算机并提高安全性、降低日常维护工作量；

实现对单位内部所有的终端计算机的准入控制，防止外来电脑或违规的电脑接入单位内部网络中；

实现对单位内部所有的终端计算机进行补丁的自动下载、安装与汇总，最大程度减少病毒、木马攻击存在漏洞的计算机而导致的安全风险；

实现对单位内部所有的移动存储设备的统一管理，防止部分人员通过USB 设备将单位大量的机密文件传播出去，同时也极大减少了病毒、木马通过USB 设备在网络中传播等情况的发生；

实现对单位内部所有的终端计算机进行终端安全管理与分析，包括第一时间禁止非法外联行为的发生，实时监控异常流量，检测非法软件，禁用部分硬件设备等，将计算机与人结合起来管理，防止非法操作导致发生不必要的安

全事件。

1.2. 应对策略

从网络空间应用接入方式来来说，网络空间应用从传统的互联网应用接入发展到以移动/无线通信应用接入乃至移动互联网接入等多种方式。

而针对网络空间安全方面的问题，北信源公司基于多年的产品开发与超大规模成功部署与应用经验基础，组建了面向网络空间的终端安全管理产品体系。该产品体系主要面向重要网络、信息系统及基础设施的失泄密检测与防范，实现从终端、区域网到互联网的一体化检测、管理与防范。该体系从终端接入控制、终端行为管控制、终端数据防泄密，以及终端安全审计等方面，实现了多层次、全方位、立体化纵深失窃密检测与防范，形成了面向复杂网络空间的终端安全管理一体化解决方案，有效地实现了网络空间下对终端计算机的安全管理体系。

2.终端安全防护理念

2.1. 安全理念

针对目前网络中终端计算机面临的各种安全问题，作为终端安全管理市场的领导者，北信源公司特推出了面向网络空间的VRV SpecSEC终端安全管理体系。

VRV SpecSEC终端安全管理体系以APPDR模型为依据，遵循国家和行业等级保护，基于安全工程的思想，以独特的终端安全配置策略为核心，以终端安全风险测试与评估为依据，实现组件化可动态组合配置的终端安全管理。其核心理念如下图所示：

VRV SpecSEC终端安全管理体系核心理念

安全产品法规符合性开发（S pecification-based Products

Development）

策略引导的终端安全配置（P olicy-based Configure Management）

评估驱动的终端安全管理（E valuation-driven Security Management）

组件化终端安全管理体系（Component-based Plug-in/out Security

Architecture ）

2.2. 安全体系

北信源VRV SpecSEC体系覆盖终端的资产安全管理、终端数据安全管理、终端行为安全管理、终端服务安全管理等多个方面，涉及管理计算机本身、计算机应用、计算机操作者、计算机使用单位管理规范等多个方面，形成全方位、多层次、立体化终端安全管理。VRV SpecSEC终端安全管理体系层次结构图如下所示：

VRV SpecSEC终端安全管理体系层次结构图

本解决方案正是基于上述核心理念和安全体系的基础上而组建的基于终端各方面安全管理和控制的一体化解决方案。

3.终端安全管理解决方案

3.1. 终端安全管理建设目标

(1) 当终端接入时要落实安全保护技术措施，保障内部网络的运行安全和信息安全；

(2) 对已接入内部网络的终端计算机，要做好用户权限设定工作，不能开放其规定以外的操作权限。

(3) 发现有违规情形的，应当保留有关原始记录，并可直接了解到该违规信息及违规方式等。

(4) 网络管理人员能够利用该管理方式，便捷的管理内网终端计算机，并能够利用该种方式对终端计算机现状一目了然。

3.2. 终端安全管理方案设计原则

方案设计遵循如下原则：

(1)安全性原则：对性能影响小，与其它业务系统无冲突。

(2)可靠性原则：在反复操作与长期实践之后依然能够保持高度的稳定性。

(3)可扩展性原则：能够符合IT发展方向，并随业务增长的同时保持高度的

可扩充性。

(4)易用性原则：提供简单、友好界面，能够进行直观的操作，形成丰富的

图形界面与报表。

(5)兼容性原则：能够与主流厂商的系统、软件、主机设备、安全设备、网

络设备保持高度的兼容性。

3.3. 终端安全管理方案设计思路

1、遵循IT服务标准

随着信息技术的发展以及对信息技术依赖程度的提高，IT已成为许多业务流程必不可少的部分，甚至是某些业务流程赖以运作的基础。IT部门要承担更大的责任，即提高业务运作效率，降低业务流程的运作成本，遵循ITIL标准，协调IT服务部门内部运作，改善IT部门与业务部门之间的沟通，帮助单位对信息化系统的规划、研发、实施和运营进行有效管理的方法。IT服务管理将流程、人和技术三方面整合在一起来解决IT服务管理问题。并结合单位内部组织结构、IT资源与管理流程等，对业务需求进行整体管理与服务。解决方案设计要采用IT服务管理的理念，按照ITIL最佳实践标准来设计。

2、遵循ISO 27001标准

ISO27001作为信息系统安全管理标准，已经成为全球公认的安全管理最佳实践，成为全国大型机构在设计、管理信息系统安全时的实践指南。其中除了安全思路之外，给出了许多非常细致的安全管理指导规范。在ISO27001中有一个非常有名的安全模型，称为PDCA安全模型。PDCA安全模型的核心思想是：信息系统的安全需求是不断变化的，要使得信息系统的安全能够满足业务需要，必须建立动态的“计划、设计和部署、监控评估、改进提高”管理方法，持续不断地改进信息系统的安全性。

北信源认为，终端安全管理，也将是一个持续、动态、不断改进的过程，北信源将提供统一的、集成化的平台和工具，帮助对其终端进行统一的安全控制、安全评估、安全审计及安全改进策略部署。

3、遵循VRV SpecSEC安全理念

依据业界最佳安全实践和行业信息安全管理体系的建设流程，结合北信源VRV SpecSEC核心安全理念，本方案的总体架构共分为“网络接入管理、补丁及软件分发管理、移动存储介质管理、桌面终端管理、终端安全审计”等安全管理组件，并通过统一、联动的安全管控与审计平台实现对不同层次架构的集中策略配置与管理，完成对网络终端的分级部署、统一管控，最终实现对内网终端全方

位的控制管理，形成完整的终端安全管理体系。

方案设计思路

3.4. 终端安全管理解决方案实现

本方案通过网络接入控制管理、补丁及软件分发管理、移动存储介质管理、桌面终端安全管理，以及终端安全审计管理等五大部分，并由集中统一的管控和策略平台，完成对上述安全管理组件的统一策略配置与下发、集中管理与审计，最终形成联动化的、集成化的、完整的终端安全体系建设。

3.4.1.补丁及软件自动分发管理设计实现

3.4.1.1. 补丁及软件自动分发管理概述

补丁及软件自动分发管理能够自动识别终端计算机操作系统类型，并根据需求自动下载所需补丁，自动安装并提示。系统向指定终端计算机（用户组）分发文件或安装软件，分发时可提供软件的运行参数和必要的运行控制。该管理体系可减轻网络管理人员的工作负担，软件分发时可报告软件安装的状态，无论软件正确安装与否，管理员均可及时了解情况。

3.4.1.2. 补丁及软件自动分发管理方案及思路

补丁及软件自动分发管理支持推、拉两种方式自动下载补丁。整个补丁管理运行平台构架是：通过北信源外网补丁下载服务器及时从补丁厂商网站获取最新补丁；补丁安全测试后，通过补丁分发管理中心服务器对网络用户进行分发安装；补丁安装支持自动和手动两种方式。

动态下载...

...级联级联补丁分发管理体系

网络应用对象：○1连通互联网的网络：直接通过补丁下载服务器将补丁下载至补丁分发服务器；○2物理隔离网络：在互联网连通网络上安装补丁下载服务器模块，通过补丁下载增量分离工具，区分内网已导入和未导入的补丁，将最新补丁导入到内网补丁分发服务器。补丁及软件自动分发管理包括：补丁下载、补丁分析、补丁策略制订、补丁文件分发、终端计算机补丁漏洞检测、补丁安全性测试、补丁分发控制、普通文件自动分发等，包括功能如下：1． 终端计算机漏洞自动侦测

终端计算机补丁自检测，在内网中建立补丁检测网站，终端计算机用户访问网站后，Web 网页自动检测显示客户段补丁安装信息，用户可进行补丁下载安装；管理员还可以在管理控制台上远程检测终端计算机补丁安装状况。

补丁自动检测

2．补丁下载

增量式补丁自动分离技术在外网分离出已安装、未安装补丁，分类导入系统补丁库，仅对内网的补丁进行“增量式”升级，以减少拷贝工作量；互联网补丁自动实时探测，支持补丁导出前病毒过滤。

3．补丁分析

自动建立补丁库，支持补丁库信息查询。针对下载的补丁进行归类存放，按照不同操作系统、补丁编号、补丁发布时间、补丁风险等级、补丁公告等进行归类，帮助管理人员快速识别补丁。

4．补丁策略制订（分发）

支持用户自定义补丁策略并自由配置分发，基于终端计算机网络IP范围、操作系统种类、补丁类别（系统补丁、IE补丁、应用程序补丁以及网管

自定义补丁类等）等制订策略，发送至终端计算机后统一按策略执行应用。

补丁分发策略

5．补丁自动修复

在指定时间、指定网络范围内以不同方式（如推、拉）分发补丁，或者根据脚本策略统一控制终端计算机下载补丁，当监测到有终端计算机未打补丁时，可对漏打补丁终端计算机进行推送补丁。补丁分发支持流量和连接数控制，以免占用太大带宽，影响网络正常工作。

6．补丁下载转发代理

提供补丁自动代理转发功能，提高补丁下发效率，减少网络带宽的占用率，节省网络资源。

7．补丁安全性测试

补丁分发前闭环自动测试，对下载的补丁进行自动测试（建立测试网络组），测试完成后将其存入补丁库，以提高打补丁的成功性、安全性、可靠性。

8．普通文件分发及文件自动执行

可以提供分发普通文件也可以分发可执行文件及MSI等形式的压缩文件并

自动执行。

软件分发策略制定

下发成功示意图

软件下发完成后，管理员可以在管理平台里查看软件下发/安装情况，根据查看的结果即使调整软件下发策略：

软件下发回馈信息查询

3.4.2.移动存储介质管理设计实现

3.4.2.1. 移动存储介质管理概述

该设计针对内网移动存储介质管理的特点进行，以移动数据生命周期为主导，紧扣其存储和交换的安全需求，针对移动数据全生命周期各个环节潜在的安全隐患，综合运用各种安全技术和手段，进行有效全程防护的安全产品。设计时考虑到了区域访问控制，信息保密、文件走查审计等方面，确保单位内网的信息不因使用移动存储而造成威胁，做到事前有保护，事后可追查，提供安全、简单易用的数据交换安全解决方案。

该设计以数据为中心，用户作为数据的使用者，主机作为数据的存储者，移动存储介质作为数据的迁移者，在管理范围内均赋予唯一的标识，三者进行相互认证。只有经认证和授权成功后，才保证合法的用户在合法的机器上访问合法存储介质上的数据，并形成详尽的日志供审计。

移动数据安全访问模型

3.4.2.2. 移动存储介质管理方案及思路

体系设计对移动存储介质安全管理范围应该包括U盘、移动硬盘、MP3、手机、智能卡设备等移动存储介质，以及打印机等外设，体系设计与利用移动存储设备或其他方式进行数据交换的相关终端计算机接口管理，包括光驱、软驱、USB 移动存储接口、USB全部接口、打印机接口、红外设及蓝牙设备等。

因此，体系技术设计主要包括5类的USB设备控制问题，包括存储类（Mass Storage）、打印机类（Printer Class）、智能卡类（Smart Card Class）、图像类（Imaging Class）、HID设备类等，并通过相关的技术手段提供统一的管理平台及适用于各类存储介质的应用管理策略，确保提供完整有效的移动存储环境和移动存储设备的安全使用方案。移动存储设备接入管理具体功能如下：

1.移动存储设备（分设备、网段等的）接入认证管理，保障指定设备读写指定

移动存储设备的访问控制管理；

2.移动存储数据读写控制管理；

3.移动存储设备标签认证管理；

4.移动存储设备分区（普通区和加密区）管理；

分区格式化

5.移动存储设备的加密管理，防止加密区的敏感信息外泄；

6.移动存储设备接入行为审计；

7.移动存储设备数据交换行为审计管理，比如设定文件后缀名等条件；

设计对文件操作详细审计记录：包括文件的创建、复制、删除、修改和重命名等操作，（包括文件名、审计描述、时间、用户名、计算机IP地址和其他必要的信息）；

设计对移动存储介质的插入和拔出动作的详细记录，具体包括事件类型、移动存储介质的名称、用户、计算机IP地址、事件时间；

移动存储审计

设计对终端计算机大量的文件拷贝行为可自主设定阈值，超过阈值的不进行审计。如拷贝超过1000个文件不进行审计（这主要是因为这样的大量拷贝行为一般不会是违规的行为）；移动存储标签制作记录：对于在网络内使用的移动存储设备（如U盘等）设置一个标签，不同管理员可以获得不同的标签类型分配。当U盘接入到网络终端时，能够自动识别标签，如果识别通过，则该U盘可以使用，否则不可使用。

该设计运用商用密码技术，实现商用密码算法的加密、解密和认证等功能的技术，通过密码算法编程技术、密码算法芯片或加密卡等以实现移动信息保护、访问控制、审计监控等，以满足移动介质标记认证管理的功能需求。

移动存储管理策略

3.4.3.桌面终端管理设计实现

3.4.3.1. 桌面终端管理概述

网络终端安全是一个综合的系统问题，涉及管理计算机本身、计算机应用、计算机操作、计算机使用单位管理规范等多个方面。因此体系设计需采用C/S 与B/S混合设计模式，并支持分布式部署，具有模块化定制，支持标准API、无缝功能扩展与升级等优点。设计应遵循网络防护与断点防护并重理念，对网络安全管理人员在网络管理、终端管理过程中所面临的种种问题提供解决方案，实现内部网络终端的可控管理。

北信源桌面终端管理体系强化了对网络计算机终端状态、行为以及事件的管理，并针对基本管理、资产管理、安全管理、运维管理、桌面管理、审计管理等

提供的模块化的防护功能，并能够同其它安全设备进行安全集成和报警联动。

终端安全模型图

3.4.3.2. 桌面终端管理方案及思路

桌面终端管理需从使用人的基本信息开始记录，同时包括IP地址、MAC地址、软硬件资产、进程信息、软件信息、密码信息、杀毒软件、计算机资源、流量信息等方面进行统计，形成立体式数据库，当发生信息改变或资源报警时，能够第一时间通知管理人员，便于排查错误，并能够提供给管理人员相应的应急措施与手段，帮助管理人员迅速解决问题。桌面终端管理具体功能还应包括以下功能。

应用界面

1.终端注册管理

该设计采用C/S和B/S模式混合管理方式，在被管理的桌面计算机上安装VRVEDP客户端程序。在安装客户端程序需要填写当前计算机使用人的个人相关信息，如使用人、单位、部门、联系电话、邮件、所在地、计算机类型等，进行实名化的管理便于快速定位，无论是违规，还是网络安全事件发生时都可以快速

定位到事件源。

个人信息填写

填写的个人相关信息会上报到服务器，保存在后台数据库里，供前台管理平

台查询，实现实名化管理。

北信源内网安全管理系统(服务器版)安装说明

快速阅读指南 1.本使用手册为北信源终端安全管理系列产品全功能用户手册，请按照所购买产品对应相关的产品说明进行配置使用（该手册第一、二、三章为终端安全管理产品共有部分，凡购买任何一款终端安全管理产品都应首先详细阅读此三个章节）。 2.详细阅读本软件组件功能、组成、作用、应用构架，确切了解本软件的系统应用。 3.安装准备软件环境：Microsoft SQL Server2000、Windows2000Server、Internet服务管理器。SQL安装注意事项请参照第二章2-3-1所示。建议将数据库管理系统、区域管理器、WEB管理平台安装在同一服务器上,确认区域管理器所在机器的88端口不被占用（即非主域控制器）；防火墙应允许打开88，2388，2399，22105，8900，8901，22106，22108，8889端口。 4.按步骤安装各组件后，通过http://*.*.*.*/vrveis登录Web管理平台，首先对Web管理平台进行如下配置：添加区域→划分该区域IP范围→指定区域管理器→指定区域扫描器。 5.双击屏幕右下角区域管理器、单击主机保护进行通讯参数配置。 6.在\VRV\VRVEIS\download目录中，使用RegTools.exe工具修改DeviceRegist.exe文件中的本地区域管理器IP，将修改后的注册程序DeviceRegist.exe放在机构网站上进行静态网页注册，或者在机构网站上加载动态网页检测注册脚本语句，进行动态设备注册。 7.系统升级：联系北信源公司获取最新的软件组件升级包，确保Web管理平台、区域管理器、客户端注册程序等组件的升级。 8.如果本说明书中的插图与实际应用的产品有出入，以实际产品为主。 特别提示：默认管理员用户：admin，密码：123456；系统指定审计用户名：audit,密码：123456请注意修改。

内网安全整体解决方案

内网安全整体解决方案 二〇一八年五月

目录 第一章总体方案设计 (3) 1.1 依据政策标准 (3) 1.1.1国内政策和标准 (3) 1.1.2国际标准及规范 (5) 1.2 设计原则 (5) 1.3 总体设计思想 (6) 第二章技术体系详细设计 (8) 2.1 技术体系总体防护框架 (8) 2.2 内网安全计算环境详细设计 (8) 2.2.1传统内网安全计算环境总体防护设计 (8) 2.2.2虚拟化内网安全计算环境总体防护设计 (16) 2.3 内网安全数据分析 (25) 2.3.1内网安全风险态势感知 (25) 2.3.2内网全景流量分析 (25) 2.3.3内网多源威胁情报分析 (27) 2.4 内网安全管控措施 (27) 2.4.1内网安全风险主动识别 (27) 2.4.2内网统一身份认证与权限管理 (29) 2.4.1内网安全漏洞统一管理平台 (32) 第三章内网安全防护设备清单 (33)

第一章总体方案设计 1.1 依据政策标准 1.1.1 国内政策和标准 1．《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）2．《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发〔2003〕27号） 3．《关于信息安全等级保护工作的实施意见》（公通字〔2004〕66号） 4．《信息安全等级保护管理办法》（公通字〔2007〕43号) 5．《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安〔2007〕861号） 6．《信息安全等级保护备案实施细则》（公信安〔2007〕1360号） 7．《公安机关信息安全等级保护检查工作规范》（公信安〔2008〕736号）8．《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》（发改高技〔2008〕2071号） 9．《关于开展信息安全等级保护安全建设整改工作的指导意见》（公信安〔2009〕1429号） 10．国资委、公安部《关于进一步推进中央企业信息安全等级保护工作的通知》（公通字[2010]70号文） 11．《关于推动信息安全等级保护测评体系建设和开展等保测评工作的通知》（公信安[2010]303号文） 12．国资委《中央企业商业秘密保护暂行规定》（国资发〔2010〕41号）13．《GB/T 22239.1-XXXX 信息安全技术网络安全等级保护基本要求第1部分安全通用要求（征求意见稿）》 14．《GB/T 22239.2-XXXX 信息安全技术网络安全等级保护基本要求

数据传输安全解决方案

数据传输安全解决方案 传输安全解决方案 (1) 一.总体框架 (2) 二.安全需求 (3) 2.1 应用集成和政务集成中的安全需求 (3) 2.2 OA 产品的安全需求 (4) 1．安全电子邮件 (4) 2．电子签章 (5) 3．数字水印 (5) 4．防拷屏 (5) 5．安全加密文档 (5) 2.3方案中解决的安全问题和需求 (6) 三 PKI 方案 (7) 3.1 PKI 简介 (7) (1) 提供用户身份合法性验证机制 (7) (2) 保证敏感数据通过公用网络传输时的保密性 (8) (3) 保证数据完整性 (8) (4) 提供不可否认性支持 (8) 3.2 非对称密钥加密技术简介 (8) 3.3 PKI 的组成部分 (9) 3.3.1 认证和注册审核机构(CA/RA) (10) 3.3.2 密钥管理中心 (11) 3.3.3 安全中间件 (12) 四. PMI 部分 (13) 4.1 什么是PMI (13) 4.2 为什么需要PMI (14) 4.3 PMI 发展的几个阶段 (15) 4.4 PMI 的安全体系模型 (16) 二十一世纪是信息化世纪，随着网络技术的发展，特别是Internet 的全球化，信息共享的程度进一步提高。数字信息越来越深入的影响着社会生活的各个方面，各种基于互联网技术的网上应用，如电子政务、电子商务等也得到了迅猛发展。网络正逐步成为人们工作、生活中不可分割的一部分。由于互联网的开放性和通用性，网上的所有信息对所有人都是公开的，所以网络上的信息安全问题也日益突出。目前政府部门、金融部门、企事业单位和个人都日益重视这一重要问题。如何保护信息安全和网络安全，最大限度的减少或避免因信息泄密、破坏等安全问题所造成的经济损失及对企业形象的影响，是摆在我们面前亟需妥善解决的一项具有重大战略意义的课题。 网络的飞速发展推动社会的发展，大批用户借助网络极大地提高了工作效率，创

企业数据安全,防泄密解决方案

技术白皮书 苏州深信达2013年10月

目录 第一章. 概述 (3) 1.1 常见的机密电子文件泄密途径 (3) 1.2 防泄密的现状 (3) 1.3 深信达SDC机密数据保密系统 (4) 第二章SDC系统介绍 (6) 2.1 SDC系统架构 (6) 2.2 SDC系统功能 (7) 2.2.1客户端涉密文件自动加密 (7) 2.2.2涉密网络内部通畅，隔离外来PC (7) 2.2.3非涉密受限白名单 (8) 2.2.4涉密文件外发 (9) 2.2.5打印内容日志 (10) 2.2.6离线客户端 (10) 2.2.7 客户端涉密文件自动备份 (10) 2.2.8涉密文件加密导出导入 (11) 2.2.9 服务器端数据保护 (11) 第三章SDC系统特点 (13) 3.1沙盒加密是个容器，和软件类型无关，文件类型无关 (13) 3.2能和文件共享服务器，应用服务器无缝结合 (13) 3.3安全稳定，不破坏数据 (13) 3.4使用便利，操作机密数据的同时，可以上网 (14) 3.5超强的反截屏 (14) 第四章推荐运行环境 (15) 4.1 管理端（可以和机密端装在一起） (15) 4.2 机密端（可以和管理端装在一起） (15) 4.3 外发审核服务器（可以和管理端装在一起） (15) 4.4 客户端 (15) 第五章关于深信达 (16) 5.1深信达介绍 (16) 5.2联系我们............................................................................................. 错误!未定义书签。附录一：透明加密技术发展 (17) 附录二：SDC沙盒资质及成功客户.............................................................. 错误!未定义书签。

内外网数据交互解决方案

政府机构内外网数据交换安全解决方案（内外网物理隔离光盘交换系统） 福州新华时代信息技术有限公司 2017-3

一、研发背景 国家保密局2000年1月1日起颁布实施的《计算机信息系统国际互联网保密管理规定》对国家机要部门使用互联网规定如下：“涉及国家秘密的计算机信息系统，不得直接或间接的与国际互联网或其他公共信息网络链接，必须实行“物理隔离”，所谓“物理隔离”是指企业内部局域网如果在任何时间都不存在与互联网直接的物理连接，则企业的网络安全才能得到真正的保护。 但随着INTERNET的迅速发展，各政府和企事业单位利用互联网开展工作已成为不可逆转的趋势，各个机构都需要在内网和互联网之间进行大量的信息交换，以提升效率。从而在网络安全和效率之间产生了巨大的矛盾，而且矛盾日渐扩大化。 网络隔离的目的是为了保护内部网络的安全,而网络互连的目的是方便高效的进行数据交换。在此背景下，我们采用十五年技术积累的核心技术开发成功了完全自动化的双网隔离数据光盘交换系统，面向高安全数据传输场合，实现网络完全隔离情况下的数据自动交换，

二、系统简介 （一）现行数据交换的模式及问题 “内网”与互联网实现严格的物理隔离后，内外网数据交换成为突出问题，影响了应用系统的有效部署， 1 、完全物理隔离。采用人工刻盘，将外部（或内部）网络的数据刻录到光盘，再由人工经过安全处理后将数据加载到内部（或外部）网络上。这种方式虽实现了外部与内部网络的物理隔离，但存在资源消耗大、效率低下和不易管理的弊端。 2 、采用逻辑隔离的方式。即互联网与内部网络之间采用单向导入设备连接，如网闸或光闸，虽然效率高，但不属于完全的物理隔离，不符合现行国家有关内外网数据安全交换的要求。 鉴于上述两种数据交换方式存在的弊端，因此提出以“物理隔离”为准则，建立以智能、可控、安全为基础的“内外网数据安全摆渡系统”具有十分重要的意义。

内网终端安全管理系统项目解决方案

北信源内网终端安全管理系统 解决方案 北京北信源软件股份有限公司

目录 1.前言 (4) 1.1. 概述 (4) 1.2. 应对策略 (5) 2.终端安全防护理念 (6) 2.1. 安全理念 (6) 2.2. 安全体系 (7) 3.终端安全管理解决方案 (9) 3.1. 终端安全管理建设目标 (9) 3.2. 终端安全管理方案设计原则 (9) 3.3. 终端安全管理方案设计思路 (10) 3.4. 终端安全管理解决方案实现 (12) 3.4.1. 网络接入管理设计实现 ........................................ 错误!未定义书签。 3.4.1.1. 网络接入管理概述 ........................................ 错误!未定义书签。 3.4.1.2. 网络接入管理方案及思路............................... 错误!未定义书签。 3.4.2. 补丁及软件自动分发管理设计实现 (12) 3.4.2.1. 补丁及软件自动分发管理概述 (12) 3.4.2.2. 补丁及软件自动分发管理方案及思路 (12) 3.4.3. 移动存储介质管理设计实现 (17) 3.4.3.1. 移动存储介质管理概述 (17) 3.4.3.2. 移动存储介质管理方案及思路 (18) 3.4.4. 桌面终端管理设计实现 (21) 3.4.4.1. 桌面终端管理概述 (21) 3.4.4.2. 桌面终端管理方案及思路 (22) 3.4.5. 终端安全审计设计实现 ........................................ 错误!未定义书签。 3.4.5.1. 终端安全审计概述 ........................................ 错误!未定义书签。 3.4.5.2. 终端安全审计方案及思路............................... 错误!未定义书签。 4.方案总结 (41) 5.附录：系统硬件要求 (41) 6.预算 (43)

内网终端安全管理系统解决方案

内网终端安全管理系统解决方案

北信源内网终端安全管理系统 解决方案 北京北信源软件股份有限公司

目录 1.前言................................ 错误!未定义书签。 1.1.概述 错误!未定义书签。 1.2.应对策略 错误!未定义书签。 2.终端安全防护理念.................... 错误!未定义书签。 2.1.安全理念 错误!未定义书签。 2.2.安全体系 错误!未定义书签。 3.终端安全管理解决方案................ 错误!未定义书签。 3.1.终端安全管理建设目标 错误!未定义书签。 3.2.终端安全管理方案设计原则 错误!未定义书签。 3.3.终端安全管理方案设计思路 错误!未定义书签。 3.4.终端安全管理解决方案实现 错误!未定义书签。 3.4.1.网络接入管理设计实现 错误!未定义书签。 3.4.1.1.网络接入管理概述

3.4.1.2.网络接入管理方案及思路 错误!未定义书签。 3.4.2.补丁及软件自动分发管理设计实现 错误!未定义书签。 3.4.2.1.补丁及软件自动分发管理概述 错误!未定义书签。 3.4.2.2.补丁及软件自动分发管理方案及思路 错误!未定义书签。 3.4.3.移动存储介质管理设计实现 错误!未定义书签。 3.4.3.1.移动存储介质管理概述 错误!未定义书签。 3.4.3.2.移动存储介质管理方案及思路 错误!未定义书签。 3.4.4.桌面终端管理设计实现 错误!未定义书签。 3.4.4.1.桌面终端管理概述 错误!未定义书签。 3.4.4.2.桌面终端管理方案及思路 错误!未定义书签。 3.4.5.终端安全审计设计实现 错误!未定义书签。 3.4.5.1.终端安全审计概述

数据安全解决方案(DOC)

绿盾信息安全管理软件 解决方案 广东南方数码科技有限公司 2013年3月 ?版权所有·南方数码科技有限公司

一、背景简介 (4) 二、现状 (4) 三、绿盾简介 (5) 3.1系统架构 (5) 3.2系统概述 (5) 3.3绿盾主要功能 (6) 四、绿盾功能介绍 (6) 1、文件自动加密 (6) 1.1 文件自动加密 (6) 1.2文件外发途径管理 (7) 1.3文件审批流程 (8) 1.4文件自动备份 (8) 1.5离线管理 (8) 1.6终端操作员管理 (9) 2外网安全管理 (10) 2.1网页浏览监控 (10) 2.2上网规则 (10) 2.3 流量统计 (10) 2.4 邮件内容监控 (10) 3、内网安全管理 (11) 3.1屏幕监控 (11) 3.2实时日志 (11) 3.3聊天内容记录 (11) 3.4程序窗口变化记录 (11) 3.5文件操作日志 (11) 3.6应用程序限制 (11) 3.7远程操作 (12) 3.8资源管理器 (12) 4、设备限制 (12) 5、USB存储设备认证 (12)

五、绿盾优势 (12) 1、产品优势 (12) 2、功能优势 (13) 2.1高强度的加密体系 (13) 2.2完全透明的文件自动、实时加密 (13) 2.3文件外发管理功能 (13) 2.4灵活的自定义加密策略 (14) 2.5强大的文件备份功能 (14) 2.6全面的内网管理功能 (14) 2.7良好的平台兼容性 (14) 3、技术优势 (14) 3.1驱动层加密技术 (14) 3.2自主研发性能优越的数据库 (15) 3.3可自定义的受控程序 (15) 4、实施优势 (16) 六、服务体系 (16) 1、技术支持服务内容 (16) 2、响应时间 (16) 3、维护 (16)

天珣内网安全风险管理与审计系统

天珣内网安全风险管理与审计系统 安装配置手册 （V6.6.9.4） 启明星辰 Beijing Venustech Cybervision Co., Ltd. 2012年11月

版权声明 北京启明星辰信息安全技术有限公司版权所有，并保留对本文档及本声明的最终解释权和修改权。 本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明外，其著作权或其他相关权利均属于北京启明星辰信息安全技术有限公司。未经北京启明星辰信息安全技术有限公司书面同意，任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其它语言、将其全部或部分用于商业用途。 “天珣”为北京启明星辰信息安全技术有限公司的注册商标，不得侵犯。 免责条款 本文档依据现有信息制作，其内容如有更改，恕不另行通知。 北京启明星辰信息安全技术有限公司在编写该文档的时候已尽最大努力保证其内容准确可靠，但北京启明星辰信息安全技术有限公司不对本文档中的遗漏、不准确、或错误导致的损失和损害承担责任。

目录 版权声明 (1) 免责条款 (1) 信息反馈........................................... 错误!未定义书签。1综述 . (4) 2安装环境及要求 (4) 3.天珣内网安全风险管理与审计系统主要组件介绍 (6) 3.1.服务器组件 (6) 3.1.1. 中心策略服务器 (6) 3.1.2. 本地策略服务器 (6) 3.1.3. 资产管理服务器................................错误!未定义书签。 3.1.4. Radius服务器 (6) 3.1.5. 攻击告警服务器 (6) 3.1.6. 软件分发服务器 (7) 3.1.7. HOD远程桌面服务器 (7) 3.2.策略网关组件 (7) 3.2.1. 策略网关代理 (7) 3.2.2. 中性策略网关 (7) 3.2.3. IIS策略网关 (8) 3.2.4. ISA策略网关 (8) 3.2.5. EXCHANGE策略网关 (8) 3.2.6. DNS策略网关及旁路监听式DNS策略网关 (8) 3.2.7. 客户端 (9) 3.2.8. 按需支援管理端 (9) 3.2.9. 客户端打包程序 (9) 4.天珣内网安全风险管理与审计系统的安装 (9) 4.1.快速安装 (10) 4.1.1 快速安装部署 (10) 4.1.2 基本配置 (27) 4.2.自定义安装 (31) 4.2.1 自定义安装中心服务器 (32) 4.3.本地服务器的安装配置 (33) 4.3.1 添加策略服务器 (37) 4.4.策略网关配置 (38) 4.4.1 添加策略网关代理 (38) 4.4.2 安装中性策略网关 (39) 4.5.远程桌面的系统配置 (46) 4.5.1 安装添加远程桌面服务器 (46) 4.5.2 添加远程桌面管理员 (46) 4.5.3 安装按需支援管理员端程序 (47) 4.5.4 用户请求管理员远程帮助 (49) 4.6.软件分发安装与配置 (49) 4.6.1 安装软件分发服务器 (49)

企业网络安全系统方案设计

企业网络安全方案设计 摘要：在这个信息技术飞速发展的时代，许多有远见的企业都认识到很有必要依托先进的IT技术构建企业自身的业务和运营平台来极大地提升企业的核心竞争力，使企业在残酷的竞争环境中脱颖而出。经营管理对计算机应用系统的依赖性增强，计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大，网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。本文主要通过安全体系建设原则、实例化的企业整体网络安全方案以及该方案的组织和实施等方面的阐述，为企业提供一个可靠地、完整的方案。 关键词：信息安全、企业网络安全、安全防护 一、引言 随着国计算机和网络技术的迅猛发展和广泛普及，企业经营活动的各种业务系统都立足于Internet/Intranet环境中。但随之而来的安全问题也在困扰着用户。Internet所具有的开放性、国际性和自由性在增加应用自由度的同时，对安全提出了更高的要求。一旦网络系统安全受到严重威胁，甚至处于瘫痪状态，将会给企业、社会、乃至整个国家带来巨大的经济损失。应此如何使企业信息网络系统免受黑客和病毒的入侵，已成为信息事业健康发展所要考虑的重要事情之一。 一般企业网络的应用系统，主要有WEB、E-mail、OA、MIS、财务系统、人事系统等。而且随着企业的发展，网络体系结构也会变得越来越复杂，应用系统也会越来越多。但从整个网络系统的管理上来看，通常包括部用户，也有外部用户，以及外网之间。因此，一般整个企业的网络系统存在三个方面的安全问题：（1）Internet的安全性：随着互联网的发展，网络安全事件层出不穷。近

年来，计算机病毒传播、蠕虫攻击、垃圾泛滥、敏感信息泄露等已成为影响最为广泛的安全威胁。对于企业级用户，每当遭遇这些威胁时，往往会造成数据破坏、系统异常、网络瘫痪、信息失窃，工作效率下降，直接或间接的经济损失也很大。 （2）企业网的安全性：最新调查显示，在受调查的企业中60%以上的员工利用网络处理私人事务。对网络的不正当使用，降低了生产率、阻碍电脑网络、消耗企业网络资源、并引入病毒和间谍，或者使得不法员工可以通过网络泄漏企业，从而导致企业数千万美金的损失。所以企业部的网络安全同样需要重视，存在的安全隐患主要有未授权访问、破坏数据完整性、拒绝服务攻击、计算机病毒传播、缺乏完整的安全策略、缺乏监控和防技术手段、缺乏有效的手段来评估网络系统和操作系统的安全性、缺乏自动化的集中数据备份及灾难恢复措施等。 （3）部网络之间、外网络之间的连接安全：随着企业的发展壮大及移动办公的普及，逐渐形成了企业总部、各地分支机构、移动办公人员这样的新型互动运营模式。怎么处理总部与分支机构、移动办公人员的信息共享安全，既要保证信息的及时共享，又要防止的泄漏已经成为企业成长过程中不得不考虑的问题。各地机构与总部之间的网络连接安全直接影响企业的高效运作。 二、以某公司为例，综合型企业网络简图如下，分析现状并分析 需求：

企业信息安全综合解决方案设计

要求有具体的问题，比如，信息系统安全（硬件，场地，软件，病毒，木马，），网络安全（网络入侵，服务器/客户端的连通性，vpn的安全问题），人员安全（身份识别，分权访 问，人员管理），电子商务安全（密钥，PKI），或者其它！ 【为保护隐私，公司原名用XX代替。 内容涉及企业网络安全防护，入侵检测，VPN加密、数据安全、用户认证等企业信息安全案例，供参考】 XX企业信息安全综合解决方案设计 一．引言 随着全球信息化及宽带网络建设的飞速发展，具有跨区域远程办公及内部信息平台远程共享的企业越来越多，并且这种企业运营模式也逐渐成为现代企业的主流需求。企业总部和各地的分公司、办事处以及出差的员工需要实时地进行信息传输和资源共享等，企业之间的业务来往越来越多地依赖于网络。但是由于互联网的开放性和通信协议原始设计的局限性影响，所有信息采用明文传输，导致互联网的安全性问题日益严重，非法访问、网络攻击、信息窃取等频频发生，给公司的正常运行带来安全隐患，甚至造成不可估量的损失。因此必须利用信息安全技术来确保网络的安全问题，这就使得网络安全成了企业信息化建设中一个永恒的话题。 目前企业信息化的安全威胁主要来自以下几个方面：一是来自网络攻击的威胁，会造成我们的服务器或者工作站瘫痪。二是来自信息窃取的威胁，造成我们的商业机密泄漏，内部服务器被非法访问，破坏传输信息的完整性或者被直接假冒。三是来自公共网络中计算机病毒的威胁，造成服务器或者工作站被计算机病毒感染，而使系统崩溃或陷入瘫痪，甚至造成网络瘫痪。如前段时间在互联网上流行的“熊猫烧香”、“灰鸽子”等病毒就造成了这样的后果。那么如何构建一个全面的企业网络安全防护体系，以确保企业的信息网络和数据安全，避免由于安全事故给企业造成不必要的损失呢？ 二．XX企业需求分析 该企业目前已建成覆盖整个企业的网络平台，网络设备以Cisco为主。在数据通信方面，以企业所在地为中心与数个城市通过1M帧中继专线实现点对点连接，其他城市和移动用户使用ADSL、CDMA登录互联网后通过VPN连接到企业内网，或者通过PSTN拨号连接。在公司的网络平台上运行着办公自动化系统、SAP的ERP系统、电子邮件系统、网络视频会议系统、VoIP语音系统、企业Web网站，以及FHS自动加油系统接口、互联网接入、网上银行等数字化应用，对企业的日常办公和经营管理起到重要的支撑作用。 1. 外部网络的安全威胁 企业网络与外网有互连。基于网络系统的范围大、函盖面广，内部网络将面临更加严重的安全威胁，入侵者每天都在试图闯入网络节点。网络系统中办公系统及员工主机上都有涉密信息。假如内部网络的一台电脑安全受损（被攻击或者被病毒感染），就会同时影响在同一网络上的许多其他系统。透过网络传播，还会影响到与本系统网络有连接的外单位网络。 如果系统内部局域网与系统外部网络间没有采取一定的安全防护措施，内部网络容易遭到来自外网一些不怀好意的入侵者的攻击。 2.内部局域网的安全威胁

内网安全管理系统项目方案

内网安全管理系统项目方案

目录 第一章概述 (4) 1.1 建立内网安全管理系统的必要性 (4) 1.2 现状分析 (4) 1.3 项目需求 (4) 第二章系统建设目标与原则 (5) 2.1 系统建设目标 (5) 2.2 系统建设原则 (6) 2.2.1 先进性原则 (6) 2.2.2 易于管理、操作和维护原则 (6) 2.2.3 充分利用现有资源原则 (6) 2.2.4 安全与性能负载均衡原则 (6) 第三章总体设计方案 (6) 3.1 系统总体架构 (7) 3.2 系统功能架构设计 (9) 3.2.1 基于进程的文档加密驱动 (9) 3.2.2 端口控制驱动 (10) 3.2.3 移动存储设备控制驱动 (10) 3.3 系统配置清单 (11) 第四章系统功能设计 (11) 4.1 认证授权系统设计 (11) 4.1.1 客户端动态注册，浮动License 管理 (11) 4.1.2 控制台和客户端的网络身份认证 (12) 4.1.3 多种身份认证相结合 (12) 4.1.4 策略集中分级管理 (12) 4.1.5 支持按分组和单个计算机灵活定制策略 (13) 4.1.6 限时有效策略 (13) 4.2 数据安全保密系统设计 (13) 4.2.1 文件透明加解密 (14) 4.2.2 涉密文件安全防护 (15) 4.3 硬件安全防护系统设计 (16) 4.3.1 存储设备控制 (16) 4.3.2 通讯设备控制 (16) 4.3.3 存储设备准入认证 (16) 4.4 IT 资产管理系统设计 (17) 4.4.1 资产的完备性 (17) 4.4.2 资产变更的准实时性 (17) 4.4.3 详细的报告 (17)

数据安全设计处理方案.doc

数据安全处理设计方案 一、说明： 为保证税务数据的存储安全，保障数据的访问安全，对数据库的用户采取监控机制，分布式处理各种应用类型的数据，特采取三层式数据库连接机制。 二、作用机理： 1、对于整个系统而言，均采用统一的用户名称、用户密码进行登陆。这个阶 段的登陆主要用于获取数据库的对应访问用户、密码及其对应访问权限。 2、登陆成功后，读取用户本地机的注册信息、密码校验信息，然后到通用用 户对应的数据表中去读取对应的记录。该记录主要为新的用户名和密码。 3、获取对应权限、用户和密码后，断开数据库连接，然后按新的数据库用户 和密码进行连接。 4、连接成功后，开始个人用户的登陆。 三、核心内容： 该安全方案的核心内容为：三层式数据访问机制、数据加密处理机制。 三层式数据访问机制的内容： 第一层：通用用户方式登陆。对于通用用户而言，所有用户均只有一个表的访问权限，并且对该表只能读取和修改。 第二层：本地注册（或安装）信息的读取和专用数据库用户密码的对应获取。 根据安装类型，获取对应的（数据库）用户和密码，此用户一般有多个表的操作权限。 第三层：断开通用连接，以新的用户和密码进行登陆。登陆成功后，再用个人用户帐号和密码进行登陆处理。 数据加密处理机制主要对数据库的访问密码和个人密码进行加密处理。采用当前较为流行的基数数据加密机制，主要方式为：采用数据基数数组方式进行加密与解密。变动加解密机制时，只需修改对应的基数位置或基数值即可。实现方式简单方便，而解密则极为困难。 四、数据库设计： 系统主要涉及到的数据库为用户登陆数据库表。这张表与数据库的使用用户表数据内容类似，主要保存类用户信息。

内网安全整体解决方案

内网安全整体解决方案

目录

第一章总体方案设计 1.1 依据政策标准 1.1.1 国内政策和标准 1．《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）2．《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发〔2003〕27号） 3．《关于信息安全等级保护工作的实施意见》（公通字〔2004〕66号） 4．《信息安全等级保护管理办法》（公通字〔2007〕43号) 5．《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安〔2007〕861号） 6．《信息安全等级保护备案实施细则》（公信安〔2007〕1360号） 7．《公安机关信息安全等级保护检查工作规范》（公信安〔2008〕736号）8．《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》（发改高技〔2008〕2071号） 9．《关于开展信息安全等级保护安全建设整改工作的指导意见》（公信安〔2009〕1429号） 10．国资委、公安部《关于进一步推进中央企业信息安全等级保护工作的通知》（公通字[2010]70号文） 11．《关于推动信息安全等级保护测评体系建设和开展等保测评工作的通知》（公信安[2010]303号文） 12．国资委《中央企业商业秘密保护暂行规定》（国资发〔2010〕41号）13．《 22239.1 信息安全技术网络安全等级保护基本要求第1部分安全通用要求（征求意见稿）》 14．《 22239.2 信息安全技术网络安全等级保护基本要求第2部分：

云计算安全扩展要求（征求意见稿）》 15．《 25070.2 信息安全技术网络安全等级保护设计技术要求第2部分：云计算安全要求（征求意见稿）》 16．《 20—信息安全技术网络安全等级保护定级指南（征求意见稿）》 17．《信息安全技术信息系统安全等级保护基本要求》 18．《信息安全技术信息系统等级保护安全设计技术要求》 19．《信息安全技术信息系统安全等级保护定级指南》 20．《信息安全技术信息系统安全等级保护实施指南》 21．《计算机信息系统安全等级保护划分准则》 22．《信息安全技术信息系统安全等级保护测评要求》 23．《信息安全技术信息系统安全等级保护测评过程指南》 24．《信息安全技术信息系统等级保护安全设计技术要求》 25．《信息安全技术网络基础安全技术要求》 26．《信息安全技术信息系统安全通用技术要求（技术类）》 27．《信息安全技术信息系统物理安全技术要求（技术类）》 28．《信息安全技术公共基础设施系统安全等级保护技术要求》 29．《信息安全技术信息系统安全管理要求（管理类）》 30．《信息安全技术信息系统安全工程管理要求（管理类）》 31．《信息安全技术信息安全风险评估规范》 32．《信息技术安全技术信息安全事件管理指南》 33．《信息安全技术信息安全事件分类分级指南》 34．《信息安全技术信息系统安全等级保护体系框架》 35．《信息安全技术信息系统安全等级保护基本模型》

北信源内网安全管理系统用户使用手册

北信源内网安全管理系统 用户使用手册 Newly compiled on November 23, 2020

北信源内网安全管理系统用户使用手册 北京北信源软件股份有限公司 二〇一一年

支持信息 在北信源内网安全管理系统使用过程中，如您有任何疑问 都可以通过访问我公司网站或者致电我司客服中心获得帮 助和支持！ 热线支持：400-8188-110 客户服务电话： 在您使用该产品过程中，如果有好的意见或建议的话也请 联系我们的客服中心，感谢您对我公司产品的信任和支 持！

正文目录图目录表目录

第一章概述 特别说明 北信源终端安全管理系列产品由《北信源内网安全管理系 统》、《北信源补丁及文件分发管理系统》、《北信源主 机监控审计系统》、《北信源移动存储介质使用管理系 统》、《北信源网络接入控制管理系统》及《北信源接入 认证网关》6大套件构成。 本手册内容将随着北信源软件的不断升级而改变(以光盘 中电子版发行时为最新版)，恕不另行通知。需要者请从 北信源公司网站下载本手册的最新电子版或者直接联系北 信源公司索取。 本手册与本系统的安装配置手册中的所有图片均为示意 图，请以实际产品为准。 本使用手册为北信源终端安全管理系列产品通用说明书。 若您独立购买《北信源内网安全管理系统》或《北信源补 丁及文件分发管理系统》等其中之一产品，本说明书的其 它功能将不具备。

感谢您购买北京北信源软件股份有限公司研制开发的北信 源终端安全管理系列产品。请在使用本软件之前认真阅读 本使用手册，当您开始使用该软件时，北信源公司认为您 已经阅读了本使用手册。 产品构架 北信源终端安全管理产品由8部分组成：WinPcap程序、 SQL Server管理信息库（安装包：环境初始化程序）、 Web中央管理配置平台（安装包：网页管理平台）、区域 管理器(安装包：Region Manage，原区域扫描器已作为模 块集成到区域管理器)、客户端注册程序（安装包：注册 程序）、补丁下载服务器、管理器主机保护模块、报警中 心模块。 环境初始化程序 SQL Server管理信息库，建立北信源终端安全管理产品 的初始化数据库。初始化的信息包括：网络客户端设备属 性信息、区域管理器信息、设备扫描器信息、区域管理范 围信息、注册（未注册）机器信息、设备属性变化信息、 报警信息等。扫描器将设备最新状态信息同数据库中原有 信息进行遍历搜索对比，根据规则要求在管理平台上报 警。 网页管理平台（web管理平台）

最新整理公司内网安全管理制度.docx

最新整理公司内网安全管理制度 第一条目的 为维护公司wang络安全，保障信息安全，保证公司wang络系统的畅通，有效防止病毒入侵，特制定本制度。 第二条适用范围 本制度适用于公司wang络系统管理。 第三条职责 1、技术开发部负责公司wang络系统的安全管理和日常系统维护，制定相关制度并参加检查。 2、办公室、安质部会同相关部门不定期抽查wang络内设备安全状态，发现隐患及时予以纠正。 3、各部门负责落实wang络安全的各项规定。 第四条 wang络安全管理范围 wang络安全管理须从以下几个方面进行规范：物理层、wang络层、平台安全，物理层包括环境安全和设备安全、wang络层安全包含wang络边界安全、平台安全包括系统层安全和应用层安全。 第五条机房安全 1、公司wang络机房是wang络系统的核心。除技术部管理人员外，其他人员未经允许不得入内。 2、技术部的管理人员不准在主机房内会客或带无关人员进入。 3、未经许可，不得动用机房内设施。 第六条机房工作人员进入机房必须遵守相关工作制度和条例，不得从事与本职工作无关的事宜，每天上、下班前须检查设备电源情况，在确保安全的情况下，方可离开。 第七条为防止磁化记录的破坏，机房内不准使用磁化杯、收音机等产生磁场的物体。

第八条机房工作人员要严格按照设备操作规程进行操作，保证设备处于良好的运行状态。 第九条机房温度要保持温度在20±5摄氏度，相对湿度在70％±5％。 第十条做好机房和设备的卫生清扫工作，定期对设备进行除尘，保证机房和设备卫生、整洁。 第十一条机房设备必须符合防雷、防静电规定的措施，每年进行一次全面检查处理，计算机及辅助设备的电源须是接地的电源。 第十二条工作人员必须遵守劳动纪律，坚守岗位，认真履行机房值班制度，做好防火、防水、防盗等工作。 第十三条机房电源不可以随意断开，对重要设备必须提供双套电源。并配备UPS电源供电。公司办公楼如长时间停电须通知技术部，制定相应的技术措施，并指明电源恢复时间。 设备安全管理 第十四条 wang络系统的主设备是连续运行的，技术部每天必须安排专职值班人员。 第十五条负责监视、检查wang络系统运行设备及其附属设备（如电源、空调等）的工作状况，发现问题及时向技术部领导报告，遇有紧急情况，须立即采取措施进行妥善处理。 第十六条负责填写系统运行（操作）日志，并将当日发生的重大事件填写在相关的记录本上。负责对必要的数据进行备份操作。 第十七条负责保持机房的卫生及对温度、湿度的调整，负责监视并制止违章操作及无关人员的操作。 第十八条不准带电拔插计算机及各种设备的信号连线。不准带电拔插计算机及各种设备。不准随意移动各种wang络设备，确需移动的要经技术部领导同意。 第十九条在维护与检修计算机及设备时，打开机箱外壳前须先关闭电源并释放掉自身所带静电。 wang络层安全

北信源内网管理系统用户使用手册

北信源内网安全管理系统用户使用手册 北京北信源软件股份有限公司 二〇一一年

支持信息 在北信源内网安全管理系统使用过程中，如您有任何疑问都可以通过 访问我公司网站或者致电我司客服中心获得帮助和支持！ 热线支持：400-8188-110 客户服务电话：0/86/87 在您使用该产品过程中，如果有好的意见或建议的话也请联系我们的 客服中心，感谢您对我公司产品的信任和支持！

正文目录图目录表目录

第一章概述 特别说明 北信源终端安全管理系列产品由《北信源内网安全管理系统》、《北 信源补丁及文件分发管理系统》、《北信源主机监控审计系统》、 《北信源移动存储介质使用管理系统》、《北信源网络接入控制管理 系统》及《北信源接入认证网关》6大套件构成。 本手册内容将随着北信源软件的不断升级而改变(以光盘中电子版发行 时为最新版)，恕不另行通知。需要者请从北信源公司网站下载本手册 的最新电子版或者直接联系北信源公司索取。 本手册与本系统的安装配置手册中的所有图片均为示意图，请以实际 产品为准。 本使用手册为北信源终端安全管理系列产品通用说明书。若您独立购 买《北信源内网安全管理系统》或《北信源补丁及文件分发管理系 统》等其中之一产品，本说明书的其它功能将不具备。

感谢您购买北京北信源软件股份有限公司研制开发的北信源终端安全 管理系列产品。请在使用本软件之前认真阅读本使用手册，当您开始 使用该软件时，北信源公司认为您已经阅读了本使用手册。 产品构架 北信源终端安全管理产品由8部分组成：WinPcap程序、SQL Server 管理信息库（安装包：环境初始化程序）、Web中央管理配置平台 （安装包：网页管理平台）、区域管理器(安装包：Region Manage， 原区域扫描器已作为模块集成到区域管理器)、客户端注册程序（安装 包：注册程序）、补丁下载服务器、管理器主机保护模块、报警中心 模块。 环境初始化程序 SQL Server管理信息库，建立北信源终端安全管理产品的初始化数据 库。初始化的信息包括：网络客户端设备属性信息、区域管理器信 息、设备扫描器信息、区域管理范围信息、注册（未注册）机器信 息、设备属性变化信息、报警信息等。扫描器将设备最新状态信息同 数据库中原有信息进行遍历搜索对比，根据规则要求在管理平台上报 警。 网页管理平台（web管理平台） Web中央管理配置平台，本系统的管理配置中心。包括区域管理器、 扫描器、注册客户端的功能参数设定，网络设备信息发现、系统应用

公司网络安全解决方案

公司网络安全解决方案集团标准化工作小组 #Q8QGGQT-GX8G08Q8-GNQGJ8-MHHGN#

XX公司网络安全解决方案 目录

1.公司网络安全现状及需求 XX公司是面向XX领域的公司，公司与下属各个单位有很深的业务关系，公司自主的软件也应用在XX集团各个下属单位。因此，公司的一些文档，资料，产品代码属于涉密安全信息，需要加强进行管理。但目前并没有对安全文档进行涉密分级及加密管理，具有安全隐患。此外，随着公司集团化，规模化的发展，公司办公网络已经变成由总分公司，办事处等组成的多地协同办公体系。公司的OA办公，网络报销，项目审批等均需要在网络进行，但目前的内网OA系统无法满足面向公网及远程接入办公。而且由于目前网络办公环境中，对于接入的外来终端计算机没有采取严格的授权接入方式，这些由于公司规模扩大引起的需求变化及需要统筹解决，针对安全电子文档，外网协同办公，内网接入控制，安全终端管理等方面需要提供总体的网络安全解决方案。 2.目前重点需要解决的问题 针对公司的网络安全现状以及未来发展的需求，目前我们重点需要解决的安全问题有三个方面： （1）内部涉及企业秘密的电子文档安全管理 作为商业企业的XX来说，可能给企业所带来的一个巨大潜在风险就是重要机密电子文档的泄密问题，企业人员在被解职或辞职时，他们是有很多种渠道将企业内部的像重要文档、机密图纸、设计资料、程序源代码和企业预研方向的阶段性成果等属于企业知识产权保护及涉及企业核心竞争力范畴的机密电子文档带出企业，企业员工一个电子邮件、一个U盘拷贝、一部口袋里的MP3播放器或一台随身携带的笔记本电脑，就可以轻松将企业的重要机密电子文档

内外网隔离网络安全解决方案

内外网隔离网络安全解决方案 ●网络现状与安全隐患 目前，大多数企业都安装有隔离卡等设备将企业分为两个网络：内网和外网，内网用作内部的办公自动化，外网用来对外发布信息、获得因特网上的即时消息，以及用电子邮件进行信息交流。为了数据的安全性，内网和外网都通过隔离卡或网闸等方式实现内外网的物理隔离，从一定程度上杜绝了内外网的混合使用造成的信息外泄。如下图所示： 然而，对于内网中移动存储介质的随意使用以及外部终端非法接入内网来泄露内部信息的安全隐患，仍然得不到解决。存在的安全隐患主要有： 1. 移动存储介质泄密 ◆外来移动存储介质拷去内网信息； ◆内网移动存储介质相互混用，造成泄密； ◆涉密介质丢失造成泄密 2. 终端造成泄密 ◆计算机终端各种端口的随意使用，造成泄密； ◆外部终端非法接入内网泄密； ◆内网终端非法外联外部网络泄密 ●捍卫者解决方案 <1> 终端外设端口管理

1)对于非常用端口： 使用捍卫者USB安全管理系统，根据具体情况将该终端的不常使用的外设（如红外、蓝牙、串口、并口等）设置为禁用或是只读（刻录机，USB端口有该功能），一旦设定则无法从“设备管理器“启用，只能通过捍卫者启用，如下图所示部分终端外设禁用状态，这样可以有效的解决终端外设泄密。 2）USB端口： 内网终端的USB端口建议设置为只读，这样外网使用的存储介质可以向内网拷贝数据，但是不能从内网终端拷贝出数据。从防病毒考虑，也可以设置为完全禁用，这样只有授权存储介质才能根据授权使用，外部移动存储介质无法使用。 <2> 移动存储介质授权管理 对内部的移动存储介质进行统一的授权管理，然后在根据需求设定当前USB端口的状态（即USB端口加密），这样外来的移动存储介质在内部终端不可以使用或是只读，即解决了移动储存介质的随意插拔使用又防止了木马、病毒的传播泛滥。 在授权过程中，首先选择给移动存储介质的使用范围，可以分域授权使用，一对一或一对多的和终端绑定使用（这样移动存储介质在一定的范围内可以任意使用）；然后输入移