1、北信源内网终端安全管理系统处理方案北京北信源软件股份目 录1.序言31.1.概述31.2.应对策略42.终端安全防护理念52.1.安全理念52.2.安全体系63.终端安全管了处理方案73.1.终端安全管理建设目标73.2.终端安全管理方案设计标准73.3.终端安全管理方案设计思绪83.4.终端安全管了处理方案实现103.4.1.网络接入管理设计实现103.4.1.1.网络接入管理概述103.4.1.2.网络接入管理方案及思绪103.4.2.补丁及软件自动分发管理设计实现153.4.2.1.补丁及软件自动分发管理概述153.4.2.2.补丁及软件自动分发管理方案及思绪153.4.3.移动存放介质
2、管理设计实现193.4.3.1.移动存放介质管理概述193.4.3.2.移动存放介质管理方案及思绪203.4.4.桌面终端管理设计实现233.4.4.1.桌面终端管理概述233.4.4.2.桌面终端管理方案及思绪243.4.5.终端安全审计设计实现363.4.5.1.终端安全审计概述363.4.5.2.终端安全审计方案及思绪364.方案总结421. 序言1.1. 概述伴随信息化飞速发展,业务和应用逐步完全依靠于计算机网络和计算机终端。为深入提升单位内部安全管理和技术控制水平,必需建立一套完整终端安全管理体系,提升终端安全管理水平。因为单位内部缺乏管理手段,造成网络管理人员对终端管理难度很大,难
3、以发觉有问题电脑,从而计算机感染病毒,计算机被安装木马,部分职员使用非法软件,非法连接互联网等情况时有发生,无法对这些电脑进行定位,这些问题一旦发生,往往故障排查时间很长。假如同时有多台计算机感染网络病毒或进行非法操作,轻易造成网络拥塞,甚至业务无法正常开展。建立终端安全管理体系意义在于:处理大批量计算机安全管理问题。具体来说,这些问题包含: 实现对单位内部全部终端计算机信息进行汇总,包含基础信息、审计信息、报警信息等,批量管理终端计算机并提升安全性、降低日常维护工作量; 实现对单位内部全部终端计算机准入控制,预防外来电脑或违规电脑接入单位内部网络中; 实现对单位内部全部终端计算机进行补丁自动
4、下载、安装和汇总,最大程度降低病毒、木马攻击存在漏洞计算机而造成安全风险; 实现对单位内部全部移动存放设备统一管理,预防部分人员经过USB设备将单位大量机密文件传输出去,同时也极大降低了病毒、木马经过USB设备在网络中传输等情况发生; 实现对单位内部全部终端计算机进行终端安全管理和分析,包含第一时间严禁非法外联行为发生,实时监控异常流量,检测非法软件,禁用部分硬件设备等,将计算机和人结合起来管理,预防非法操作造成发生无须要安全事件。1.2. 应对策略从网络空间应用接入方法来来说,网络空间应用从传统互联网应用接入发展到以移动/无线通信应用接入乃至移动互联网接入等多个方法。而针对网络空间安全方面问
5、题,北信源企业基于多年产品开发和超大规模成功布署和应用经验基础,组建了面向网络空间终端安全管理产品体系。该产品体系关键面向关键网络、信息系统及基础设施失泄密检测和防范,实现从终端、区域网到互联网一体化检测、管理和防范。该体系从终端接入控制、终端行为管控制、终端数据防泄密,和终端安全审计等方面,实现了多层次、全方位、立体化纵深失窃密检测和防范,形成了面向复杂网络空间终端安全管理一体化处理方案,有效地实现了网络空间下对终端计算机安全管理体系。2. 终端安全防护理念2.1. 安全理念针对现在网络中终端计算机面临多种安全问题,作为终端安全管理市场领导者,北信源企业特推出了面向网络空间VRV SpecS
6、EC终端安全管理体系。VRV SpecSEC终端安全管理体系以APPDR模型为依据,遵照国家和行业等级保护,基于安全工程思想,以独特终端安全配置策略为关键,以终端安全风险测试和评定为依据,实现组件化可动态组合配置终端安全管理。其关键理念以下图所表示:VRV SpecSEC终端安全管理体系关键理念l 安全产品法规符合性开发(Specification-based Products Development)l 策略引导终端安全配置(Policy-based Configure Management)l 评定驱动终端安全管理(Evaluation-driven Security Management
7、)l 组件化终端安全管理体系(Component-based Plug-in/out Security Architecture )2.2. 安全体系北信源VRV SpecSEC体系覆盖终端资产安全管理、终端数据安全管理、终端行为安全管理、终端服务安全管理等多个方面,包含管理计算机本身、计算机应用、计算机操作者、计算机使用单位管理规范等多个方面,形成全方位、多层次、立体化终端安全管理。VRV SpecSEC终端安全管理体系层次结构图以下所表示:VRV SpecSEC终端安全管理体系层次结构图本处理方案正是基于上述关键理念和安全体系基础上而组建基于终端各方面安全管理和控制一体化处理方案。3. 终
8、端安全管了处理方案3.1. 终端安全管理建设目标(1) 当终端接入时要落实安全保护技术方法,保障内部网络运行安全和信息安全; (2) 对已接入内部网络终端计算机,要做好用户权限设定工作,不能开放 其要求以外操作权限。 (3) 发觉有违规情形,应该保留相关原始统计,并可直接了解到该违规信息及违规方法等。(4) 网络管理人员能够利用该管理方法,便捷管理内网终端计算机,并能够利用该种方法对终端计算机现实状况一目了然。3.2. 终端安全管理方案设计标准方案设计遵照以下标准:(1) 安全性标准:对性能影响小,和其它业务系统无冲突。(2) 可靠性标准:在反复操作和长久实践以后仍然能够保持高度稳定性。(3)
9、 可扩展性标准:能够符合IT发展方向,并随业务增加同时保持高度可扩充性。(4) 易用性标准:提供简单、友好界面,能够进行直观操作,形成丰富图形界面和报表。(5) 兼容性标准:能够和主流厂商系统、软件、主机设备、安全设备、网络设备保持高度兼容性。3.3. 终端安全管理方案设计思绪1、遵照IT服务标准伴随信息技术发展和对信息技术依靠程度提升,IT已成为很多业务步骤必不可少部分,甚至是一些业务步骤赖以运作基础。IT部门要负担更大责任,即提升业务运作效率,降低业务步骤运作成本,遵照ITIL标准,协调IT服务部门内部运作,改善IT部门和业务部门之间沟通,帮助单位对信息化系统计划、研发、实施和运行进行有效
10、管理方法。IT服务管理将步骤、人和技术三方面整合在一起来处理IT服务管理问题。并结合单位内部组织结构、IT资源和管理步骤等,对业务需求进行整体管理和服务。处理方案设计要采取IT服务管理理念,根据ITIL最好实践标准来设计。2、遵照ISO 27001标准ISO27001作为信息系统安全管理标准,已经成为全球公认安全管理最好实践,成为全国大型机构在设计、管理信息系统安全时实践指南。其中除了安全思绪之外,给出了很多很细致安全管理指导规范。在ISO27001中有一个很有名安全模型,称为PDCA安全模型。PDCA安全模型关键思想是:信息系统安全需求是不停改变,要使得信息系统安全能够满足业务需要,必需建立
11、动态“计划、设计和布署、监控评定、改善提升”管理方法,连续不停地改善信息系统安全性。北信源认为,终端安全管理,也将是一个连续、动态、不停改善过程,北信源将提供统一、集成化平台和工具,帮助对其终端进行统一安全控制、安全评定、安全审计及安全改善策略布署。3、遵照VRV SpecSEC安全理念依据业界最好安全实践和行业信息安全管理体系建设步骤,结合北信源VRV SpecSEC关键安全理念,本方案总体架构共分为“网络接入管理、补丁及软件分发管理、移动存放介质管理、桌面终端管理、终端安全审计”等安全管理组件,并经过统一、联动安全管控和审计平台实现对不一样层次架构集中策略配置和管理,完成对网络终端分级布署
12、、统一管控,最终实现对内网终端全方位控制管理,形成完整终端安全管理体系。方案设计思绪3.4. 终端安全管了处理方案实现本方案经过网络接入控制管理、补丁及软件分发管理、移动存放介质管理、桌面终端安全管理,和终端安全审计管理等五大部分,并由集中统一管控和策略平台,完成对上述安全管理组件统一策略配置和下发、集中管理和审计,最终形成联动化、集成化、完整终端安全体系建设。3.4.1. 网络接入管理设计实现3.4.1.1. 网络接入管理概述经过网络接入控制能够完成对未知终端、授权终端安全准入管理和控制。该系统能够完成基于802.1x协议准入控制技术安全准入管理控制,为内网终端安全接入控制提供了一道绿色保护
13、屏障。3.4.1.2. 网络接入管理方案及思绪系统能够确保终端电脑只有在经过认证,即安装终端安全管理组件,并符合必需安全策略前提下才能被许可接入内部网络,不然会强制终端电脑跳转到访客隔离区(guest区),完成认证后还需要完成安检,即终端管理软件下载和安装,且符合既定安全策略要求时才可准许接入内部网络。具体接入步骤以下:网络接入控制管理系统步骤图以上过程完全满足网络准入控制目标和意义:能确保正当、健康终端接入内部网络访问被授权资源。经过网络准入控制技术,确保接入网络电脑终端符合预定义要求,必需安全策略功效包含:1、802.1x接入认证管理802.1x接入认证管理含有对接入策略和安检策略整体配置
14、和管理功效。接入是经过用户名密码认证方法,对终端接入网络进行限制。对认证成功终端进行安全健康检测。802.1X接入认证2、未注册终端接入访问区域限制(vlan限制)未注册终端会因认证不成功进入guest Vlan,在guest Vlan中终端只能够和服务器通信只有在终端注册成功后方能够经过认证。3、未安装杀毒软件等必备软件自动安装下载管理针对终端计算机安装及运行杀毒软件情况,管理员能够设置安全策略检验终端用户是否正常开启、运行防病毒软件,而且强制检验防病毒软件版本和病毒库版本,确保全部终端版本必需满足安检要求方可接入内部网络。如有违规,立即跳转到修复区或直接断开终端网络连接;针对终端计算机安装
15、必备软件情况,管理员能够设置可控软件名单,检验必备软件安装运行情况,如有违规,立即跳转到修复区或直接断开终端网络连接;在网络中专门划分出修复区域,防病毒软件服务器放置在网络修复区中。终端计算机依据安全策略要求安装及升级杀毒软件。杀毒软件检测4、未打补丁终端接入限制经过北信源补丁索引检测终端用户是否安装系统补丁,检测注册终端未打或漏打补丁时,将会提醒终端计算机有哪些需要安装补丁而且会自动弹出下载补丁WEB页面,如若不满足补丁预定义策略,立即跳转到修复区或直接断开终端网络连接。在网络中专门划分出修复区域,系统补丁文件服务器放置在网络隔离区中。依据北信源补丁索引要求升级操作系统软件补丁。补丁检测5、
16、运行不可信进程、服务、注册表终端接入限制不可信进程、服务、注册表是针对可信进程、服务、注册表进行判定,经过自定义设置可信进程、服务、注册表来判定终端是否许可接入到工作区。对于终端计算机没有运行可信进程、服务、注册表视为不可信终端,即运行了不可信进程、服务、注册表,并对终端接入进行限制。进程、服务、注册表检测6、自定义终端安全接入必需桌面运行安全环境能够结合需求自定义终端安全策略,也能够根据现实环境需要个性化搭配各个安全检验策略组合,已达成最好桌面安全管理效果。3.4.2. 补丁及软件自动分发管理设计实现3.4.2.1. 补丁及软件自动分发管理概述补丁及软件自动分发管理能够自动识别终端计算机操作
17、系统类型,并依据需求自动下载所需补丁,自动安装并提醒。系统向指定终端计算机(用户组)分发文件或安装软件,分发时可提供软件运行参数和必需运行控制。该管理体系可减轻网络管理人员工作负担,软件分发时可汇报软件安装状态,不管软件正确安装是否,管理员均可立即了解情况。3.4.2.2. 补丁及软件自动分发管理方案及思绪补丁及软件自动分发管理支持推、拉两种方法自动下载补丁。整个补丁管理运行平台构架是:经过北信源外网补丁下载服务器立即从补丁厂商网站获取最新补丁;补丁安全测试后,经过补丁分发管理中心服务器对网络用户进行分发安装;补丁安装支持自动和手动两种方法。补丁分发管理体系网络应用对象:连通互联网网络:直接经
18、过补丁下载服务器将补丁下载至补丁分发服务器;物理隔离网络:在互联网连通网络上安装补丁下载服务器模块,经过补丁下载增量分离工具,区分内网已导入和未导入补丁,将最新补丁导入到内网补丁分发服务器。补丁及软件自动分发管理包含:补丁下载、补丁分析、补丁策略制订、补丁文件分发、终端计算机补丁漏洞检测、补丁安全性测试、补丁分发控制、一般文件自动分发等,包含功效以下:1 终端计算机漏洞自动侦测终端计算机补丁自检测,在内网中建立补丁检测网站,终端计算机用户访问网站后,Web网页自动检测显示用户段补丁安装信息,用户可进行补丁下载安装;管理员还能够在管理控制台上远程检测终端计算机补丁安装情况。补丁自动检测2 补丁下
19、载增量式补丁自动分离技术在外网分离出已安装、未安装补丁,分类导入系统补丁库,仅对内网补丁进行“增量式”升级,以降低拷贝工作量;互联网补丁自动实时探测,支持补丁导出前病毒过滤。3 补丁分析自动建立补丁库,支持补丁库信息查询。针对下载补丁进行归类存放,根据不一样操作系统、补丁编号、补丁公布时间、补丁风险等级、补丁公告等进行归类,帮助管理人员快速识别补丁。4 补丁策略制订(分发)支持用户自定义补丁策略并自由配置分发,基于终端计算机网络IP范围、操作系统种类、补丁类别(系统补丁、IE补丁、应用程序补丁和网管自定义补丁类等)等制订策略,发送至终端计算机后统一按策略实施应用。补丁分发策略5 补丁自动修复在
20、指定时间、指定网络范围内以不一样方法(如推、拉)分发补丁,或依据脚本策略统一控制终端计算机下载补丁,当监测到有终端计算机未打补丁时,可对漏打补丁终端计算机进行推送补丁。补丁分发支持流量和连接数控制,以免占用太大带宽,影响网络正常工作。6 补丁下载转发代理提供补丁自动代理转发功效,提升补丁下发效率,降低网络带宽占用率,节省网络资源。7 补丁安全性测试补丁分发前闭环自动测试,对下载补丁进行自动测试(建立测试网络组),测试完成后将其存入补丁库,以提升打补丁成功性、安全性、可靠性。8 一般文件分发及文件自动实施能够提供分发一般文件也能够分发可实施文件及MSI等形式压缩文件并自动实施。文件分发策略3.4
21、.3. 移动存放介质管理设计实现3.4.3.1. 移动存放介质管理概述该设计针对内网移动存放介质管理特点进行,以移动数据生命周期为主导,紧紧围绕其存放和交换安全需求,针对移动数据全生命周期各个步骤潜在安全隐患,综合利用多种安全技术和手段,进行有效全程防护安全产品。设计时考虑到了区域访问控制,信息保密、文件走查审计等方面,确保单位内网信息不因使用移动存放而造成威胁,做到事前有保护,事后可追查,提供安全、简单易用数据交换安全处理方案。该设计以数据为中心,用户作为数据使用者,主机作为数据存放者,移动存放介质作为数据迁移者,在管理范围内均给予唯一标识,三者进行相互认证。只有经认证和授权成功后,才确保正
22、当用户在正当机器上访问正当存放介质上数据,并形成详尽日志供审计。移动数据安全访问模型3.4.3.2. 移动存放介质管理方案及思绪体系设计对移动存放介质安全管理范围应该包含U盘、移动硬盘、MP3、手机、智能卡设备等移动存放介质,和打印机等外设,体系设计和利用移动存放设备或其它方法进行数据交换相关终端计算机接口管理,包含光驱、软驱、USB移动存放接口、USB全部接口、打印机接口、红外设及蓝牙设备等。所以,体系技术设计关键包含5类USB设备控制问题,包含存放类(Mass Storage)、打印机类(Printer Class)、智能卡类(Smart Card Class)、图像类(Imaging C
23、lass)、HID设备类等,并经过相关技术手段提供统一管理平台及适适用于各类存放介质应用管理策略,确保提供完整有效移动存放环境和移动存放设备安全使用方案。移动存放设备接入管理具体功效以下:1. 移动存放设备(分设备、网段等)接入认证管理,保障指定设备读写指定移动存放设备访问控制管理;2. 移动存放数据读写控制管理;3. 移动存放设备标签认证管理;4. 移动存放设备分区(一般区和加密区)管理;分区格式化5. 移动存放设备加密管理,预防加密区敏感信息外泄;6. 移动存放设备接入行为审计;7. 移动存放设备数据交换行为审计管理,比如设定文件后缀名等条件;8. 设计对文件操作具体审计统计:包含文件创建
24、、复制、删除、修改和重命名等操作,(包含文件名、审计描述、时间、用户名、计算机IP地址和其它必需信息);9. 设计对移动存放介质插入和拔出动作具体统计,具体包含事件类型、移动存放介质名称、用户、计算机IP地址、事件时间;移动存放审计设计对终端计算机大量文件拷贝行为可自主设定阈值,超出阈值不进行审计。如拷贝超出1000个文件不进行审计(这关键是因为这么大量拷贝行为通常不会是违规行为);移动存放标签制作统计:对于在网络内使用移动存放设备(如U盘等)设置一个标签,不一样管理员能够取得不一样标签类型分配。当U盘接入到网络终端时,能够自动识别标签,假如识别经过,则该U盘能够使用,不然不可使用。该设计利用
25、商用密码技术,实现商用密码算法加密、解密和认证等功效技术,经过密码算法编程技术、密码算法芯片或加密卡等以实现移动信息保护、访问控制、审计监控等,以满足移动介质标识认证管理功效需求。移动存放管理策略3.4.4. 桌面终端管理设计实现3.4.4.1. 桌面终端管理概述网络终端安全是一个综合系统问题,包含管理计算机本身、计算机应用、计算机操作、计算机使用单位管理规范等多个方面。所以体系设计需采取C/S和B/S混合设计模式,并支持分布式布署,含有模块化定制,支持标准API、无缝功效扩展和升级等优点。设计应遵照网络防护和断点防护并重理念,对网络安全管理人员在网络管理、终端管理过程中所面临种种问题提供处理
26、方案,实现内部网络终端可控管理。北信源桌面终端管理体系强化了对网络计算机终端状态、行为和事件管理,并针对基础管理、资产管理、安全管理、运维管理、桌面管理、审计管理等提供模块化防护功效,并能够同其它安全设备进行安全集成和报警联动。终端安全模型图3.4.4.2. 桌面终端管理方案及思绪桌面终端管理需从使用人基础信息开始统计,同时包含IP地址、MAC地址、软硬件资产、进程信息、软件信息、密码信息、杀毒软件、计算机资源、流量信息等方面进行统计,形成立体式数据库,当发生信息改变或资源报警时,能够第一时间通知管理人员,便于排查错误,并能够提供给管理人员对应应急方法和手段,帮助管理人员快速处理问题。桌面终端
27、管理具体功效还应包含以下功效。应用界面1. 终端注册管理该设计采取C/S和B/S模式混合管理方法,在被管理桌面计算机上安装VRVEDP用户端程序。在安装用户端程序需要填写目前计算机使用人个人相关信息,如使用人、单位、部门、联络电话、邮件、所在地、计算机类型等,进行实名化管理便于快速定位,不管是违规,还是网络安全事件发生时全部能够快速定位到事件源。个人信息填写2. IP和MAC绑定管理对固定IP网络MAC和IP地址进行绑定管理,当探测到IP改变后依据策略设置恢复其原有IP地址,或阻断其联网,同时严禁修改网关、禁用冗余网卡。IP、MAC绑定策略3. 严禁修改网关、禁用冗余网卡管理支持严禁修改网关、
28、禁用冗余网卡等功效。4. 硬件资产管理自动搜集包含CPU、内存、硬盘分区总和、设备标识大小和其它具体信息和其它如主板、光驱、软驱、显卡、键盘、鼠标、监视器、红外设备、键盘等全部硬件信息。硬件资产管理5. 软件资产管理自动发觉识别用户端安装全部软件信息(名称、版本、安装时间、发觉时间等),将相关数据入库,检测用户端运行软件信息,供管理员在Web控制台查询。软件资产管理6. 软、硬件设备信息变更管理报警未注册设备、注册程序卸载行为,实时检测硬件设备改变情况(如设备硬件改变、网络地址更改、USB设备接入等)。7. 进程保护管理对关键进程进行守护,预防因为意外或人为原因造成关键进程中止。进程保护管理8
29、. 桌面密码权限管理对终端密码管理权限改变及使用情况(包含密码长度、安全性、弱口令等方面)进行审计检验及报警,同时对不符合要求终端进行提醒或强制修改等处理,达成预防病毒及黑客入侵目标。终端密码管理终端权限管理9. 终端统一防火墙管理员在Web控制台对终端进行统一防火墙设置,对网络IP及协议访问进行限制,在网络内建立虚拟终端隔离区。另外对于大型网络,网络用户端因为用户使用水平差异,会出现用户卸载甚至退出统一安装防病毒软件情况,也会出现有部分用户被遗漏,未安装防病毒软件情况。管理员可利用Web控制台对终端所安装杀毒软件情况进行监控和管理,并能够对终端杀毒软件实施远程操作(病毒查杀、升级、软件安装等
30、)。还可统一监控网络内防病毒软件(中国主流厂商均可)安装情况和使用状态,了解网络中病毒软件安装情况,必需时可经过此设计强制为用户端安装防病毒程序,假如需要,也可监控终端软件安装情况,并进行对应管理(如安装杀毒软件软件,强行升级病毒库、自动分发并自动实施病毒专杀工具等)。终端防火墙管理10. 终端杀毒软件管理可统一审计网络内终端防病毒软件(主流厂商均可)安装和使用情况,必需时可强制为用户端安装防病毒程序。假如需要,也可监控终端防病毒软件安装情况,并进行对应管理(如安装杀毒软件软件,强行升级病毒库、自动分发并自动实施病毒专杀工具等)。终端杀毒软件管理11. 终端在线/离线策略管理提供针对不一样网络
31、接入情况,设定终端在线、离线策略。当终端处于不一样网络中,能够实现不一样实施策略。12. 运行资源监控在Web控制台对终端CPU、内存、硬盘资源占用率和剩下空间进行监控,设定危险等级报警阀门。终端运行资源管理13. 流量管理和控制蠕虫病毒和BT下载等行为在很多情况下会严重占用网络带宽,造成网络拥塞甚至瘫痪,对此可利用流量进行管理和监控。 关键功效: l 流量采样阈值设定:用户自主设定采样阈值,当流量(含出、入或总流量)超出一定程度并连续一定时间后,进行相关信息上报,预防上报数据过多给网络带来负担。l 上报目前流量进行汇总,对目前流量进行时实排序,方便网络管理人员进行快速分析是否是网络安全事故。
32、l 对网络用户端历史流量进行统计和排序,并可生成报表。l 对并发连接数设定阈值并进行采样。l 对网络扫描可疑行为进行阈值设定和报警。l 对用户端大量发包可疑行为进行阈值设定和报警。l 对含有可疑行为用户端进行报警上报、自动阻断、用户端提醒等管理。l 设定网络用户端流量上限阈值,对超出进行报警上报、自动阻断、用户端提醒等管理。终端流量采样管理14. 流量异常监控在Web控制台对终端网络流入、流出和总流量进行监控和管理。并能够对产生总流量过大、分时段瞬时流量过大进程进行统计,辅助分析产生流量过大原因。终端流量异常管理15. 进程异常监控在Web控制台对终端未响应窗口进行监控并结束或重启该进程,对意
33、外退出进程进行监控和保护。进程异常管理16. 用户端文件备份针对终端计算机进行数据实时备份,将本机计算机目录文件数据实时或定时备份到数据服务器或其它计算机上存放。针对局域网服务器数据存放等提供安全数据同时备份处理方案。17. 非法外联管理功效1. 网络内部终端非法外联互联网行为监控终端非法外联互联网行为监控:对于已注册设备,经过不一样方法(如双网卡、代理等)连接互联网进行通讯,能够自动阻断其连接行为并报警。2. 网络内部终端非法接入其它网络行为监控对于已注册设备,监控其网络连接行为,依据接入网络环境原因判定其是否非法接入其它网络。3. 离网终端非法外联互联网行为监控对于已经注册计算机,非法带出
34、到另外一个网络行为进行监控,发觉有外联互联网行为时能够采取警告、阻断、自动关机等操作。4. 非法外联行为告警和网络锁定假如终端非法入网,能够在报警平台和报警查询处获知信息,而且能够对终端提醒信息,自动关机,阻断联网等处理。5. 非法外联行为取证对于非法外联行为进行实时告警功效,同时统计该行为发生事件、IP地址、MAC地址、使用人等相关信息上报到服务器进行统计取证。终端非法外联管理3.4.5. 终端安全审计设计实现3.4.5.1. 终端安全审计概述伴随信息安全技术和理念发展,安全监控关注点已经从设备转向对于设备使用者行为,用户对于设备使用人行为审计和行为控制需求越来越显著,由此中国外均已经有相关
35、政策和法规陆续出台,中国包含国家秘密信息系统分级保护技术要求、信息系统安全等级保护基础要求、信息系统安全等级保护测评准则和国外萨班斯奥克斯利法案也均明确提出了对主机行为监控和审计要求。北信源主机监控审计经过技术手段使多种管理条例落实,增强用户安全和保密意识,保护内部信息不外泄。3.4.5.2. 终端安全审计方案及思绪本方案中,终端安全审计经过Web方法对整个网络终端计算机进行应用策略配置,管理网络和查询审计数据,方便用户操作,有效防范不安全原因对内部终端组成威胁,真正做到内部终端安全管理,预防信息泄密,满足用户对内部终端管理功效需求:1. 网络访问行为审计和控制以黑白名单方法对用户网络访问行为
36、进行控制,并对用户访问网络等进行审计和统计。网络访问审计2. 文件保护及审计提供对终端OS系统目录、软件目录和共享目录中文件保护功效,设定访问、删除、修改权限;支持对设定目录文件操作审计,包含文件创建、打印、读写、复制、更名、删除、移动等统计,同时将信息上报管理信息库供查询。文件保护审计3. 网络文件输出审计对主机经过共享文件等方法进行网络文件输出行为进行审计和统计。文件输出审计4. 邮件审计依据策略对主机发送邮件进行控制。并审计发送邮件地址、IP等信息进行控制审计和统计。邮件审计5. 打印审计依据策略对主机打印行为进行监控审计,预防非授权信息被打印,同时依据要求还能够备份打印内容。打印审计6
37、. 敏感信息检验依据用户自主设定敏感信息查询条件,设定对指定目录或盘符下指定类型文件进行内容检验,检验其是否包含敏感内容,支持进行包含“或”、“和”等多个逻辑组合监测和模糊监测。敏感信息审计7. 用户权限审计能够审计用户权限更改,及操作系统内用户增加和删除操作。8. 独立权限分配体系提供系统管理员、系统审核员(安全员)、系统审计员和通常操作员权限分配,使之分别进行不一样管理操作。9. 系统日志审计支持不一样权限管理员在Web控制台对终端用户日志(系统日志、应用日志、安全日志等)进行远程读取查看。系统日志审计4. 方案总结本方案基于北信源VRV SpecSEC终端安全管理体系关键理念,经过对终端用户网络接入管理、补丁及软件分发管理、移动存放介质管理、桌面终端管理、终端安全审计等安全管理组件对终端安全一体化处理方案进行了具体叙述。同时,经过北信源集中管控和策略平台(EDP SERVER)对上述组件包含到功效模块和产品进行集成化管控;最终实现对内网授权终端用户可控、可管、可审计,从而形成了完整终端安全管理体系,为整个网络系统信息安全管理体系建设打下坚实基础。
浙ICP备2021020529号-1 | 浙B2-20240490 
