(精)XX内网终端安全管理系统解决方案
某内网终端安全管理系统解决方案解决方案
北京北信源软件股份有限公司
目录
1. 前言5
1.1. 概述 5
1.2. 应对策略6
2. 终端安全防护理念7
2.1. 安全理念7
2.2. 安全体系7
3. 终端安全管理解决方案9
3.1. 终端安全管理建设目标9
3.2. 终端安全管理方案设计原则9
3.3. 终端安全管理方案设计思路9
3.4. 终端安全管理解决方案实现11
3.4.1. 网络接入管理设计实现错误!未定义书签。
3.4.1.1. 网络接入管理概述错误!未定义书签。
3.4.1.2. 网络接入管理方案及思路错误!未定义书签。
3.4.2. 补丁及软件自动分发管理设计实现11
3.4.2.1. 补丁及软件自动分发管理概述11
3.4.2.2. 补丁及软件自动分发管理方案及思路11
3.4.3. 移动存储介质管理设计实现13
3.4.3.1. 移动存储介质管理概述13
3.4.3.2. 移动存储介质管理方案及思路14
3.4.4. 桌面终端管理设计实现15
3.4.4.1. 桌面终端管理概述15
3.4.4.2. 桌面终端管理方案及思路16
3.4.5. 终端安全审计设计实现错误!未定义书签。3.4.5.1. 终端安全审计概述错误!未定义书签。
3.4.5.2. 终端安全审计方案及思路错误!未定义书签。
4. 方案总结25
5. 附录:系统硬件要求25
6. 预算27
前言
概述
随着信息化的飞速发展,业务和应用逐渐完全依赖于计算机网络和计算机终端。为进一步提高单位内部的安全管理与技术控制水平,必须建立一套完整的终端安全管理体系,提高终端的安全管理水平。
由于单位内部缺乏管理手段,导致网络管理人员对终端管理的难度很大,难以发现有问题的电脑,从而计算机感染病毒,计算机被安装木马,部分员工使用非法软件,非法连接互联网等情况时有发生,无法对这些电脑进行定位,这些问题一旦发生,往往故障排查的时间非常长。如果同时有多台计算机感染网络病毒或者进行非法操作,容易导致网络拥塞,甚至业务无法正常开展。
建立终端安全管理体系的意义在于:解决大批量的计算机安全管理问题。具体来说,这些问题包括:
实现对单位内部所有的终端计算机信息进行汇总,包括基本信息、审计信息、报警信息等,批量管理终端计算机并提高安全性、降低日常维护工作量;
实现对单位内部所有的终端计算机的准入控制,防止外来电脑或违规的电脑接入单位内部网络中;
实现对单位内部所有的终端计算机进行补丁的自动下载、安装与汇总,最大程度减少病毒、木马攻击存在漏洞的计算机而导致的安全风险;
实现对单位内部所有的移动存储设备的统一管理,防止部分人员通过U SB设备将单位大量的机密文件传播出去,同时也极大减少了病毒、木马通过USB设备在网络中传播等情况的发生;
实现对单位内部所有的终端计算机进行终端安全管理与分析,包括第一时间禁止非法外联行为的发生,实时监控异常流量,检测非法软件,禁用部分硬件设备等,将计算机与人结合起来管理,防止非法操作导致发生不必要的安全事件。
应对策略
从网络空间应用接入方式来来说,网络空间应用从传统的互联网应用接入发展到以移动/无线通信应用接入乃至移动互联网接入等多种方式。
而针对网络空间安全方面的问题,北信源公司基于多年的产品开发与超大规模成功部署与应用经验基础,组建了面向网络空间的终端安全管理产品体系。该产品体系主要面向重要网络、信息系统及基础设施的失泄密检测与防范,实现从终端、区域网到互联网的一体化检测、管理与防范。该体系从终端接入控制、终端行为管控制、终端数据防泄密,以及终端安全审计等方面,实现了多层次、全方位、立体化纵深失窃密检测与防范,形成了面向复杂网络空间的终端安全管理一体化解决方案,有效地实现了网络空间下对终端计算机的安全管理体系。
终端安全防护理念
安全理念
针对目前网络中终端计算机面临的各种安全问题,作为终端安全管理市场的领导者,北信源公司特推出了面向网络空间的VRV SpecSEC终端安全管理体系。
VRV SpecSEC终端安全管理体系以APPDR模型为依据,遵循国家和行业等级保护,基于安全工程的思想,以独特的终端安全配置策略为核心,以终端安全风险测试与评估为依据,实现组件化可动态组合配置的终端安全管理。其核心理念如下图所示:
VRV SpecSEC终端安全管理体系核心理念
安全产品法规符合性开发(Specification-based Products Developmen t)
策略引导的终端安全配置(Policy-based Configure Management)
评估驱动的终端安全管理(Evaluation-driven Security Management)组件化终端安全管理体系(Component-based Plug-in/out Security Ar chitecture )
安全体系
北信源VRV SpecSEC体系覆盖终端的资产安全管理、终端数据安全管理、终端行为安全管理、终端服务安全管理等多个方面,涉及管理计算机本身、计算机应用、计算机操作者、计算机使用单位管理规范等多个方面,形成全方位、多层次、立体化终端安全管理。VRV SpecSEC终端安全管理体系层次结构图如下所示:
VRV SpecSEC终端安全管理体系层次结构图
本解决方案正是基于上述核心理念和安全体系的基础上而组建的基于终端各方面安全管理和控制的一体化解决方案。
终端安全管理解决方案
终端安全管理建设目标
(1) 当终端接入时要落实安全保护技术措施,保障内部网络的运行安全和信息安全;
(2) 对已接入内部网络的终端计算机,要做好用户权限设定工作,不能开放其规定以外的操作权限。
(3) 发现有违规情形的,应当保留有关原始记录,并可直接了解到该违规信息及违规方式等。
(4) 网络管理人员能够利用该管理方式,便捷的管理内网终端计算机,并能够利用该种方式对终端计算机现状一目了然。
终端安全管理方案设计原则
方案设计遵循如下原则:
安全性原则:对性能影响小,与其它业务系统无冲突。
可靠性原则:在反复操作与长期实践之后依然能够保持高度的稳定性。
可扩展性原则:能够符合IT发展方向,并随业务增长的同时保持高度的可扩充性。
易用性原则:提供简单、友好界面,能够进行直观的操作,形成丰富的图形界面与报表。
兼容性原则:能够与主流厂商的系统、软件、主机设备、安全设备、网络设备保持高度的兼容性。
终端安全管理方案设计思路
1、遵循IT服务标准
随着信息技术的发展以及对信息技术依赖程度的提高,IT已成为许多业务流程必不可少的部分,甚至是某些业务流程赖以运作的基础。IT部门要承担更大的责任,即提高业务运作效率,降低业务流程的运作成本,遵循ITIL标准,协调IT服务部门内部运作,改善IT部门与业务部门之间的
沟通,帮助单位对信息化系统的规划、研发、实施和运营进行有效管理的方法。IT服务管理将流程、人和技术三方面整合在一起来解决IT服务管理问题。并结合单位内部组织结构、IT资源与管理流程等,对业务需求进行整体管理与服务。解决方案设计要采用IT服务管理的理念,按照ITIL最佳实践标准来设计。
2、遵循ISO 27001标准
ISO27001作为信息系统安全管理标准,已经成为全球公认的安全管理最佳实践,成为全国大型机构在设计、管理信息系统安全时的实践指南。其中除了安全思路之外,给出了许多非常细致的安全管理指导规范。在IS O27001中有一个非常有名的安全模型,称为PDCA安全模型。PDCA安全模型的核心思想是:信息系统的安全需求是不断变化的,要使得信息系统的安全能够满足业务需要,必须建立动态的“计划、设计和部署、监控评估、改进提高”管理方法,持续不断地改进信息系统的安全性。
北信源认为,终端安全管理,也将是一个持续、动态、不断改进的过程,北信源将提供统一的、集成化的平台和工具,帮助对其终端进行统一的安全控制、安全评估、安全审计及安全改进策略部署。
3、遵循VRV SpecSEC安全理念
依据业界最佳安全实践和行业信息安全管理体系的建设流程,结合北信源VRV SpecSEC核心安全理念,本方案的总体架构共分为“网络接入管理、补丁及软件分发管理、移动存储介质管理、桌面终端管理、终端安全审计”等安全管理组件,并通过统一、联动的安全管控与审计平台实现对不同层次架构的集中策略配置与管理,完成对网络终端的分级部署、统一管控,最终实现对内网终端全方位的控制管理,形成完整的终端安全管理体系。
方案设计思路
终端安全管理解决方案实现
本方案通过网络接入控制管理、补丁及软件分发管理、移动存储介质管理、桌面终端安全管理,以及终端安全审计管理等五大部分,并由集中统一的管控和策略平台,完成对上述安全管理组件的统一策略配置与下发、集中管理与审计,最终形成联动化的、集成化的、完整的终端安全体系建设。
补丁及软件自动分发管理设计实现
补丁及软件自动分发管理概述
补丁及软件自动分发管理能够自动识别终端计算机操作系统类型,并根据需求自动下载所需补丁,自动安装并提示。系统向指定终端计算机(用户组)分发文件或安装软件,分发时可提供软件的运行参数和必要的运行控制。该管理体系可减轻网络管理人员的工作负担,软件分发时可报告软件安装的状态,无论软件正确安装与否,管理员均可及时了解情况。 补丁及软件自动分发管理方案及思路 补丁及软件自动分发管理支持推、拉两种方式自动下载补丁。整个补丁管理运行平台构架是:通过北信源外网补丁下载服务器及时从补丁厂商网站获取最新补丁;补丁安全测试后,通过补丁分发管理中心服务器对网络用户进行分发安装;补丁安装支持自动和手动两种方式。 北信源补丁中心(一级)补丁库分类北信源补丁管
理中心(二级)补丁增量导入补丁测试
策略控制推拉分发控制流量控制多级级联控制补丁分发检索 补丁自动识别客户端策略客户补丁查询动态下载转发代理报表中心北信源补丁管理中
心(二级)
......客户端自动测试组(真实环境)级联同步级联同步补丁分发管理体系
网络应用对象:○1连通互联网的网络:直接通过补丁下载服务器将补丁下载至补丁分发服务器;○2物理隔离网络:在互联网连通网络上安装补丁下载服务器模块,通过补丁下载增量分离工具,区分内网已导入和未导入的补丁,将最新补丁导入到内网补丁分发服务器。
补丁及软件自动分发管理包括:补丁下载、补丁分析、补丁策略制订、补丁文件分发、终端计算机补丁漏洞检测、补丁安全性测试、补丁分发控制、普通文件自动分发等,包括功能如下:
终端计算机漏洞自动侦测
终端计算机补丁自检测,在内网中建立补丁检测网站,终端计算机用户访问网站后,Web网页自动检测显示客户段补丁安装信息,用户可进行补丁下载安装;管理员还可以在管理控制台上远程检测终端计算机补丁安装状况。
补丁自动检测
补丁下载
增量式补丁自动分离技术在外网分离出已安装、未安装补丁,分类导入系统补丁库,仅对内网的补丁进行“增量式”升级,以减少拷贝工作量;互联网补丁自动实时探测,支持补丁导出前病毒过滤。
补丁分析
自动建立补丁库,支持补丁库信息查询。针对下载的补丁进行归类存放,按照不同操作系统、补丁编号、补丁发布时间、补丁风险等级、补丁公告等进行归类,帮助管理人员快速识别补丁。
补丁策略制订(分发)
支持用户自定义补丁策略并自由配置分发,基于终端计算机网络IP范围、操作系统种类、补丁类别(系统补丁、IE补丁、应用程序补丁以及网管自定义补丁类等)等制订策略,发送至终端计算机后统一按策略执行应用。
补丁分发策略
补丁自动修复
在指定时间、指定网络范围内以不同方式(如推、拉)分发补丁,或者根据脚本策略统一控制终端计算机下载补丁,当监测到有终端计算机未打补丁时,可对漏打补丁终端计算机进行推送补丁。补丁分发支持流量和连接数控制,以免占用太大带宽,影响网络正常工作。
补丁下载转发代理
提供补丁自动代理转发功能,提高补丁下发效率,减少网络带宽的占用率,节省网络资源。
补丁安全性测试
补丁分发前闭环自动测试,对下载的补丁进行自动测试(建立测试网络组),测试完成后将其存入补丁库,以提高打补丁的成功性、安全性、可靠性。
普通文件分发及文件自动执行
可以提供分发普通文件也可以分发可执行文件及MSI等形式的压缩文件并自动执行。
软件分发策略制定
下发成功示意图
软件下发完成后,管理员可以在管理平台里查看软件下发/安装情况,根据查看的结果即使调整软件下发策略:
软件下发回馈信息查询
移动存储介质管理设计实现
移动存储介质管理概述
该设计针对内网移动存储介质管理的特点进行,以移动数据生命周期为主导,紧扣其存储和交换的安全需求,针对移动数据全生命周期各个环节潜在的安全隐患,综合运用各种安全技术和手段,进行有效全程防护的安全产品。设计时考虑到了区域访问控制,信息保密、文件走查审计等方面,确保单位内网的信息不因使用移动存储而造成威胁,做到事前有保护,事后可追查,提供安全、简单易用的数据交换安全解决方案。
该设计以数据为中心,用户作为数据的使用者,主机作为数据的存储者,移动存储介质作为数据的迁移者,在管理范围内均赋予唯一的标识,三者进行相互认证。只有经认证和授权成功后,才保证合法的用户在合法的机器上访问合法存储介质上的数据,并形成详尽的日志供审计。
移动数据安全访问模型
移动存储介质管理方案及思路
体系设计对移动存储介质安全管理范围应该包括U盘、移动硬盘、MP 3、手机、智能卡设备等移动存储介质,以及打印机等外设,体系设计与利用移动存储设备或其他方式进行数据交换的相关终端计算机接口管理,包括光驱、软驱、USB移动存储接口、USB全部接口、打印机接口、红外设及蓝牙设备等。
因此,体系技术设计主要包括5类的USB设备控制问题,包括存储类(Mass Storage)、打印机类(Printer Class)、智能卡类(Smart Card Cla ss)、图像类(Imaging Class)、HID设备类等,并通过相关的技术手段提供统一的管理平台及适用于各类存储介质的应用管理策略,确保提供完整有效的移动存储环境和移动存储设备的安全使用方案。移动存储设备接入管理具体功能如下:
移动存储设备(分设备、网段等的)接入认证管理,保障指定设备读写指定移动存储设备的访问控制管理;
移动存储数据读写控制管理;
移动存储设备标签认证管理;
移动存储设备分区(普通区和加密区)管理;
分区格式化
移动存储设备的加密管理,防止加密区的敏感信息外泄;
移动存储设备接入行为审计;
移动存储设备数据交换行为审计管理,比如设定文件后缀名等条件;
设计对文件操作详细审计记录:包括文件的创建、复制、删除、修改和重命名等操作,(包括文件名、审计描述、时间、用户名、计算机IP地址和其他必要的信息);
设计对移动存储介质的插入和拔出动作的详细记录,具体包括事件类型、移动存储介质的名称、用户、计算机IP地址、事件时间;
移动存储审计
设计对终端计算机大量的文件拷贝行为可自主设定阈值,超过阈值的不进行审计。如拷贝超过1000个文件不进行审计(这主要是因为这样的大量拷贝行为一般不会是违规的行为);移动存储标签制作记录:对于在网络内使用的移动存储设备(如U盘等)设置一个标签,不同管理员可以获得不同的标签类型分配。当U盘接入到网络终端时,能够自动识别标签,如果识别通过,则该U盘可以使用,否则不可使用。
该设计运用商用密码技术,实现商用密码算法的加密、解密和认证等功能的技术,通过密码算法编程技术、密码算法芯片或加密卡等以实现移动信息保护、访问控制、审计监控等,以满足移动介质标记认证管理的功能需求。
移动存储管理策略
桌面终端管理设计实现
桌面终端管理概述
网络终端安全是一个综合的系统问题,涉及管理计算机本身、计算机应用、计算机操作、计算机使用单位管理规范等多个方面。因此体系设计需采用C/S与B/S混合设计模式,并支持分布式部署,具有模块化定制,支持标准API、无缝功能扩展与升级等优点。设计应遵循网络防护与断点防护并重理念,对网络安全管理人员在网络管理、终端管理过程中所面临的种种问题提供解决方案,实现内部网络终端的可控管理。
北信源桌面终端管理体系强化了对网络计算机终端状态、行为以及事件的管理,并针对基本管理、资产管理、安全管理、运维管理、桌面管理、审计管理等提供的模块化的防护功能,并能够同其它安全设备进行安全集成和报警联动。
终端安全模型图
桌面终端管理方案及思路
桌面终端管理需从使用人的基本信息开始记录,同时包括IP地址、M AC地址、软硬件资产、进程信息、软件信息、密码信息、杀毒软件、计算机资源、流量信息等方面进行统计,形成立体式数据库,当发生信息改变或资源报警时,能够第一时间通知管理人员,便于排查错误,并能够提供给管理人员相应的应急措施与手段,帮助管理人员迅速解决问题。桌面终端管理具体功能还应包括以下功能。
应用界面
终端注册管理
该设计采用C/S和B/S模式混合管理方式,在被管理的桌面计算机上安装VRVEDP客户端程序。在安装客户端程序需要填写当前计算机使用人的个人相关信息,如使用人、单位、部门、联系电话、邮件、所在地、计算机类型等,进行实名化的管理便于快速定位,无论是违规,还是网络安全事件发生时都可以快速定位到事件源。
个人信息填写
填写的个人相关信息会上报到服务器,保存在后台数据库里,供前台管理平台查询,实现实名化管理。
实名化管理示意图
非法外联监控管理功能
网络内部终端非法外联互联网行为监控
终端非法外联互联网行为监控:对于已注册的设备,通过不同方式(如双网卡、代理、无线、手机、手机蓝牙等)连接互联网进行的通讯,能够自动阻断其连接行为并报警。北信源产品不关心违规计算机当前采用何种方式违规外联,只关心违规计算机是否具备违规外联(连接互联网)的能力,一旦具备连接互联网的能力即认为违规外联时间发生,立即采用事先设置的处理手段处理,如断网、重启电脑等处理手段,同时记录违规事件上报服务器端。
网络内部终端非法接入其它网络行为监控
对于已注册的设备,监控其网络连接行为,根据接入网络环境因素判定其是否非法接入其它网络。
离网(带外)终端非法外联互联网行为监控
对于已经注册的计算机,非法带出到另外一个网络的行为进行监控,发现有外联互联网行为时可以采取警告、阻断、自动关机等操作,同时记录违规事件,在计算机重新接回网络时立即上报到服务器端。
如果对带外终端非法外联行为要求报警时效性高,北信源提供外网报警服务器组件,带外计算机一旦连接互联网,外网报警服务器即能收到违规外联报警信息。
非法外联行为告警和网络锁定
如果终端非法入网,可以在报警平台和报警查询处获知信息,并且可以对终端提示信息,自动关机,阻断联网等处理。
非法外联行为取证
对于非法外联行为进行实时告警功能,同时记录该行为发生的事件、I P地址、MAC地址、使用人等相关信息上报到服务器进行记录取证。
终端非法外联管理
IP和MAC绑定管理
对固定IP网络的MAC和IP地址进行绑定管理,当探测到IP变化后根据策略设置恢复其原有IP地址,或者阻断其联网,同时禁止修改网关、禁用冗余网卡。
IP、MAC绑定策略
外设接口使用管理
在实际办公应用中,部分计算机的外设接口不允许使用。北信源产品通过对接口的驱动程序进行操作控制以达到禁止外设接口的目的。可以对常见的外设接口进行控制,如光驱、软驱、USB接口、打印机、调制解调器、串/并口、冗余硬盘等。
外设接口策略配置
接口禁用效果示意图
杀毒软件管理
北信源产品能够识别市场上常见的10余种杀毒软件品牌,如VRV杀毒、金山、瑞星、诺顿、卡巴斯基、趋势、KILL、NOD32等。能够监控各种杀毒软件的运行状态、病毒库升级状态,并能够通过远程调用杀毒软件进行杀毒。
杀毒软件运行状态监控
杀毒软件识别
杀毒软件安装情况
通过杀毒软件管理可以帮助武汉船用机械有限责任公司管理员清楚知道网络内计算机杀毒软件的安装情况,运行情况,以及病毒库升级情况。
禁止修改网关、禁用冗余网卡管理
支持禁止修改网关、禁用冗余网卡等功能。
硬件资产管理
自动搜集包括CPU、内存、硬盘分区总和、设备标识的大小和其他详细信息以及其他如主板、光驱、软驱、显卡、键盘、鼠标、监视器、红外设备、键盘等所有的硬件信息。
硬件资产管理
当内存、硬盘、CPU、主机名发生变化时,接入非法U盘时,北信源系统会提供报警信息,报警信息可采用声音、邮件、短信等方式发送到管理员计算机上。
软件资产管理
自动发现识别客户端安装的所有软件信息(名称、版本、安装时间、发现时间等),将相关数据入库,检测客户端运行软件信息,供管理员在W eb控制台查询。
软件资产管理
软、硬件设备信息变更管理
报警未注册设备、注册程序卸载行为,实时检测硬件设备变化情况(如设备硬件变化、网络地址更改、USB设备接入等)。
进程保护管理
对重要的进程进行守护,防止由于意外或人为原因造成重要进程中断。
进程保护管理
桌面密码权限管理
对终端的密码管理权限变化及使用状况(包括密码长度、安全性、弱口令等方面)进行审计检查及报警,同时对不符合要求的终端进行提示或强制修改等处置,达到防止病毒及黑客入侵的目的。
终端密码管理
终端权限管理
终端统一防火墙
管理员在Web控制台对终端进行统一的防火墙设置,对网络IP及协议访问进行限制,在网络内建立虚拟的终端隔离区。
北信源内网安全管理系统(服务器版)安装说明
快速阅读指南 1.本使用手册为北信源终端安全管理系列产品全功能用户手册,请按照所购买产品对应相关的产品说明进行配置使用(该手册第一、二、三章为终端安全管理产品共有部分,凡购买任何一款终端安全管理产品都应首先详细阅读此三个章节)。 2.详细阅读本软件组件功能、组成、作用、应用构架,确切了解本软件的系统应用。 3.安装准备软件环境:Microsoft SQL Server2000、Windows2000Server、Internet服务管理器。SQL安装注意事项请参照第二章2-3-1所示。建议将数据库管理系统、区域管理器、WEB管理平台安装在同一服务器上,确认区域管理器所在机器的88端口不被占用(即非主域控制器);防火墙应允许打开88,2388,2399,22105,8900,8901,22106,22108,8889端口。 4.按步骤安装各组件后,通过http://*.*.*.*/vrveis登录Web管理平台,首先对Web管理平台进行如下配置:添加区域→划分该区域IP范围→指定区域管理器→指定区域扫描器。 5.双击屏幕右下角区域管理器、单击主机保护进行通讯参数配置。 6.在\VRV\VRVEIS\download目录中,使用RegTools.exe工具修改DeviceRegist.exe文件中的本地区域管理器IP,将修改后的注册程序DeviceRegist.exe放在机构网站上进行静态网页注册,或者在机构网站上加载动态网页检测注册脚本语句,进行动态设备注册。 7.系统升级:联系北信源公司获取最新的软件组件升级包,确保Web管理平台、区域管理器、客户端注册程序等组件的升级。 8.如果本说明书中的插图与实际应用的产品有出入,以实际产品为主。 特别提示:默认管理员用户:admin,密码:123456;系统指定审计用户名:audit,密码:123456请注意修改。
信息系统安全管理方案措施.doc
信息系统安全管理方案措施1 信息系统安全管理方案措施 为保证医院信息系统的安全性、可靠性,确保数据的完整性和准确性,防止计算机网络失密、泄密时间发生,制定本方案。信息中心安全职责 信息中心负责医院信息系统及业务数据的安全管理。明确信息中心主要安全职责如下: (一)负责业务软件系统数据库的正常运行与业务软件的安全运行;(二)保证业务软件调存数据的准确获取与运用; (三)负责医院办公网络与通信的正常运行与安全维护; (四)负责医院服务器的正常运行与上网行为的安全管理; (五)负责公司杀毒软件的安装与应用维护; (六)信息中心负责管理医院各服务器管理员用户名与密码,不得外泄。 (七)定期监测检查各服务器运行情况,如业务软件系统数据库出现异常情况,首先做好系统日志,并及时向信息室负责人及主管领导汇报,提出应急解决方案。如其他业务服务器出现异常,及时与合作方联系,协助处理。 (八)数据库是公司信息数据的核心部位,非经信息中心负责人同意,不得擅自进入数据库访问或者查询数据,否则按严重违纪处理。(九)信息中心在做系统需求更新测试时,需先进入
备份数据库中测试成功后,方可对正式系统进行更新操作。 (十)业务软件系统服务器是公司数据信息的核心部位,也是各项数 据的最原始存储位置,信息中心必须做好设备的监测与记录工作,如遇异常及时汇报。 (十一)信息中心每天监测检查数据库备份系统,并认真做好日志记录,如遇异常及时向信息中心主管领导汇报。 (十二)机房重地,严禁入内。中心机房环境要求严格,摆放设备异常重要,非经信息中心负责人同意严禁入内。外单位人员进入机房需由信息中心人员专人陪同进入。如需要进行各项操作须经信息中心负责人同意后方可进行操作。 (十三)信息中心负责医院网络与各终端机IP地址的规划、分配和管理工作。包括IP地址的规划、备案、分配、IP地址和网卡地址的绑定、IP地址的监管和网络故障监测等。个人不得擅自更改或者盗用IP地址。 (十四)医院IP地址的设置均采用固定IP分配方式,外来人员的电脑需要在信息中心主管领导的批准下分配IP进行办公。 (十五)用户发现有人未经同意擅自盗用、挪用他人或本人的IP地址,应及时向信息中心报告。 (十六)信息中心负责医院办公网络与通信网络的规划与实施,任何个人或科室不得擅自挪动或关闭科室内存放的信息设备(交换机、网络模块)。
移动终端安全管理与接入控制
移动终端安全管理与接入控制 1 范围 本标准规定了移动终端安全管理与接入控制产品的安全功能要求、安全保障要求及等级划分要求。 本标准适用于移动终端安全管理与接入控制产品的设计、开发及测试。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T 18336.3-2015 信息技术安全技术信息技术安全评估准则第3部分:安全保障组件 GB/T 25069-2010 信息安全技术术语 3 术语和定义 GB/T 18336.3-2015和GB/T 25069-2010界定的以及下列术语和定义适用于本文件。 3.1 移动终端 mobile terminal 可以在移动中使用的计算机设备,包括手机、笔记本、平板电脑等;终端应用场景如POS机、执法记录仪、医疗终端、公司办公终端等。 3.2 越狱jailbreak 获取IOS操作系统移动终端的系统管理员权限,经过越狱的苹果终端拥有对系统底层的读写权限。 3.3 移动终端ROOT mobile terminal ROOT 获取Android操作系统移动终端的系统管理员权限,经过ROOT的移动终端拥有对系统底层的读写权限。 3.4 移动终端安全管理与接入控制产品mobile terminal security management and access control product 为增强移动终端的安全性、可控性和时效性,通过定制安全策略对移动终端进行统一管理和安全接入控制的产品。 4 移动终端安全管理与接入控制产品描述 移动终端安全管理与接入控制产品(mobile terminal security management and access control product)通过对终端实施安全防护,防止不安全或无权限的终端接入被保护的网络,访问被保护的应用;避免引起的内网安全威胁,保护在移动终端上缓存的敏感业务数据不被泄露。实现了对移动终端的统一设备管理、统一接入认证管理、统一的安全策略管理。 图1是移动终端安全管理与接入控制产品的一个典型运行环境。
中软统一终端安全管理平台8.0安装手册(单机版)
(单机版
Version:8.0.7.x)
中国软件与技术服务股份有限公司 CHINA NATIONAL SOFTWARE & SERVICE CO.,LTD.
版 权 声 明
非常感谢您选用我们的产品, 本手册用于指导用户安装中软统一终端安全管理平台 8.0 (中文简称安全管理平台) ,请您在安装本系统前,详细阅读本手册。本手册和系统一并出售且 仅提供电子文档。 。 Copyright ? 2005 by CS&S,中国软件与技术服务股份有限公司版权所有。 中软统一终端安全管理平台 8.0 是中国软件与技术服务股份有限公司自主研发的受法 律保护的商业软件。遵守法律是共同的责任,任何人未经授权人许可,不得以任何形式或方法 及出于任何目的复制或传播本软件和手册,权利人将追究侵权者责任并保留要求赔偿的权利。 任何人或实体由于该手册提供的信息造成的任何损失或损害,中国软件与技术服务股 份有限公司不承担任何义务或责任。
系统版权 中文名称:中软统一终端安全管理平台 8.0 英文简称:UEM8.0 开发单位:中国软件与技术服务股份有限公司
本系统的版权单位 中国软件与技术服务股份有限公司 地址:北京市海淀区学院南路 55 号中软大厦,100081 电话: (010)51508031/32/33 邮箱:waterbox@https://www.360docs.net/doc/e611796739.html,
2
前
言
目前,个人计算机系统成为组成企业、单位网络的主体,也是绝大多数泄密事件发生的源头。 针对这一现状,中软自主研发的终端安全管理平台是内网安全管理的有力武器,是加强个人计算机 内部安全管理的重要工具。它作为国内市场上第一款成熟的内部安全管理软件,填补了国内在该领 域的空白,为我国信息安全保障工作注入了新的活力。 本书详细介绍了中软统一终端安全管理平台 8.0 安装方法,为用户在安装本系统时提供参考, 全书共为五章。 第一章:系统概述 第二章:体系结构和运行所需软硬件环境 第三章:服务器安装与卸载 第四章:控制台安装与卸载 第五章:客户端安装与卸载 本书内容全面,深入浅出,适合安装、使用中软统一终端安全管理平台的用户读者;检测、评 估中软统一终端安全管理平台的技术人员和专家以及希望使用中软统一终端安全管理平台协助对其 组织、机构或企业进行管理的管理人员等。 本手册适用于中软统一终端安全管理平台 8.0 的 8.0.7.x 单机版本的安装使用,随相应版本的产 品光盘附带,对该产品的其他版本,如未作特殊说明或者更新,该手册同样适用。 本手册在编写过程中,尽管我们做了最大努力力求完美和准确,但由于水平有限,难免存在疏 漏和缺陷之处。如果您对本手册有任何疑问、意见或建议,请与我们联系。感谢您对我们的支持和 帮助。
通用产品研发中心 2008 年 3 月
3
安全管理体系和保障措施方案
安全管理体系及保障措施 1.19.1、安全目标 坚持“安全第一、预防为主”和“管生产必须管安全”的原则。本项目部安全目标为: “五无”:即无人身伤亡事故、无重大行车事故、无重大交通责任事故、无火灾事故、无压力容器爆炸事故。 “两控制”:职工重伤频率控制在0.6‰以下,轻伤频率控制在1.2‰以下。 “三消灭”:消灭违章指挥,消灭违章作业,消灭惯性事故。 1.29.2、安全管理体系 9.2.1安全管理体系 1、安全管理组织机构 建立健全安全生产管理机构,成立以项目经理为组长的安全生产 领导小组,全面负责并领导本项目的安全生产工作,项目总工程师为 安全生产的技术负责人。
图9-1 安全管理组织图 2、安全管理办公室设置及职责 项目经理部安全管理办公室设在安全质量部,安质部下设安全组,设专职安全员,具体负责本项目部的安全管理工作。 安质部对本项目部工程项目的施工安全工作行使监督检查职权。做好安全管理和监督检查工作。贯彻执行劳动保护法规。督促实施各项安全技术措施。开展安全生产教育工作。组织安全生产检查,研究解决施工中的不安全因素。参加事故调查,提出事故处理意见,制止违章作业,遇有险情有权停止生产。健全安全管理工作台帐。 3、安全防范重点 根据本项目部项目工程特点,施工场地中安全防范的重点为:(1)、生产设备的施工生产安全; (2)、起重设备的施工安全; (3)、施工用电安全; 4、安全保证体系框图
图9-2 安全保障体系框图
9.2.2、安全管理制度 1、建立健全安全生产责任制度 牢固树立安全意识,严格执行施工过程中的各项规章制度,建立健全各项安全生产责任制度,落实安全措施和责任,确保施工安全。对施工安全工作做到有检查、有落实、有总结评比、有考核。施工中认真落实安全措施,做到责任到人。在施工生产中,按照定岗定责的原则,增加安全人员的责任心,避免发生各种责任事故,并对发生安全事故的责任人进行处罚。 从项目经理到生产工人的安全管理系统必须做到纵向到底,一环不漏;各职能部门和人员的安全生产责任制横向到边,人人有责。项目经理是安全生产的第一责任人。 (1)项目经理(副经理)安全职责: 对安全生产和劳动保护负领导和管理责任; 贯彻国家、行业和公司有关安全生产的方针、政策和规章制度; 组织制定安全管理制度,研究解决安全生产中的问题,组织安全生产检查; 监督各级、各职能部门贯彻安全生产责任制情况; 主持重大伤亡事故的调查处理。 (2)项目总工(副总工)安全职责: 对安全生产和劳动保护方面工作负技术领导责任; 在组织编制实施性施工组织设计时,同时编制相应的安全技术措施;
4A(统一安全管理平台)解决方案
4A(统一安全管理平台)简介 企业信息门户系统供稿1、介绍 企业信息化软件,一般经历下面几个阶段:无纸化办公—信息共享—信息安全等三个阶段,随着企业承载应用的越来越多,对所有应用的统一访问、统一控制、统一授权的需求也随着出现,4A就是针对此类问题的综合解决方案。4A是指:认证Authentication、账号Account、授权Authorization、审计Audit,中文名称为统一安全管理平台解决方案。融合统一用户账号管理、统一认证管理、统一授权管理和统一安全审计四要素后的解决方案将涵盖单点登录(SSO)等安全功能,既能够为客户提供功能完善的、高安全级别的4A管理,也能够为用户提供符合萨班斯法案(SOX)要求的内控报表。 2、4A系统背景 随着信息技术的不断发展和信息化建设的不断进步,业务应用、办公系统、商务平台不断推出和投入运行,信息系统在企业的运营中全面渗透。电信行业、财政、税务、公安、金融、电力、石油、大中型企业和门户网站,使用数量众多的网络设备、服务器主机来提供基础网络服务、运行关键业务,提供电子商务、数据库应用、ERP和协同工作群件等服务。由于设备和服务器众多,系统管理员压力太大等因素,越权访问、误操作、滥用、恶意破坏等情况时有发生,这严重影响企业的经济运行效能,并对企业声誉造成重大影响。另外黑客的恶意访问也有可能获取系统权限,闯入部门或企业内部网络,造成不可估量的损失。如何提高系统运维管理水平,跟踪服务器上用户的操作行为,防止黑客的入侵和破坏,提供控制和审计依据,降低运维成本,满足相关标准要求,越来越成为企业关心的问题。
3、4A平台的管理功能 为用户提供统一集中的帐号管理,支持管理的资源包括主流的操作系统、网络设备和应用系统;不仅能够实现被管理资源帐号的创建、删除及同步等帐号管理生命周期所包含的基本功能,而且也可以通过平台进行帐号密码策略,密码强度、生存周期的设定。 2)集中认证(authentication)管理 可以根据用户应用的实际需要,为用户提供不同强度的认证方式,既可以保持原有的静态口令方式,又可以提供具有双因子认证方式的高强度认证(一次性口令、数字证书、动态口令),而且还能够集成现有其它如生物特征等新型的认证方式。不仅可以实现用户认证的统一管理,并且能够为用户提供统一的认证门户,实现企业信息资源访问的单点登录。 3)集中权限(authorization)管理 可以对用户的资源访问权限进行集中控制。它既可以实现对B/S、C/S应用系统资源的访问权限控制,也可以实现对数据库、主机及网络设备的操作的权限控制,资源控制类型既包括B/S的URL、C/S的功能模块,也包括数据库的数据、记录及主机、网络设备的操作命令、IP地址及端口。
安全管理体系总体设计方案
1安全管理体系总体设计案 1.1安全组织结构 省农垦总局总医院安全管理组织应形成由主管领导牵头的信息安全领导小组、具体信息安全职能部门负责日常工作的组织模式,组织结构图如下所示: 图8-1安全组织结构图 1.1.1信息安全领导小组职责 信息安全领导小组是由省农垦总局总医院主管领导牵头,各部门的负责人为组成成员的组织机构,主要负责批准省农垦总局总医院安全策略、分配安全责任并协调安全策略能够实施,确保安全管理工作有一个明确的向,从管理和决策层角度对信息安全管理提供支持。信息安全领导小组的主要责任如下:
(一)确定网络与信息安全工作的总体向、目标、总体原则和安全工作法; (二)审查并批准政府的信息安全策略和安全责任; (三)分配和指导安全管理总体职责与工作; (四)在网络与信息面临重大安全风险时,监督控制可能发生的重大变化; (五)对安全管理的重大更改事项(例如:组织机构调整、关键人事变动、信 息系统更改等)进行决策; (六)指挥、协调、督促并审查重大安全事件的处理,并协调改进措施; (七)审核网络安全建设和管理的重要活动,如重要安全项目建设、重要的安 全管理措施出台等; (八)定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进 行审定。 1.1.2信息安全工作组职责 信息安全工作组是信息安全工作的日常执行机构,设专职的安全管理组织和岗位,负责日常具体安全工作的落实、组织和协调。信息安全工作组的主要职责如下: (一)贯彻执行和解释信息安全领导小组的决议; (二)贯彻执行和解释主管机构下发的信息安全策略; (三)负责组织和协调各类信息安全规划、案、实施、测试和验收评审会议; (四)负责落实和执行各类信息安全具体工作,并对具体落实情况进行总结和汇报;
移动设备使用安全管理办法
移动设备使用安全管理办法 一、总则 (一) 为了加强我司计算机信息网络系统的安全管理,保证我司移动设备办公安全,结合我司笔记本电脑使用实际情况、制定本办法。 (二) 凡配备或使用公用笔记本电脑及移动存储设备的人员,务必遵守此管理办法。 二、移动设备安全使用规定 (一) 移动设备范畴:笔记本、移动硬盘、U盘等存储设备。 (二) 笔记本电脑必须设置开机密码,公用笔记本开机密码统一设置为123借用人不得随意修改。 (三) 笔记本电脑必须设置硬盘加密,防止丢失带来损失,目前只支持WIN7旗舰版,总部公用笔记本电脑硬盘密码统一设置为1232014。 (四) 公用笔记本电脑资料请不要放在桌面及C盘,可放置D、E 等盘,公用笔记本重启后将进行还原,桌面资料及安装软件将进行清除,以保证电脑为最新状态。如果有特殊原因需要长期使用,可向系统管理员申请取消还原功能,使用完成后自行卸载安装软件并删除文件。 (五) 笔记本电脑上网用户必须安装杀毒软件并且注意更新病毒,定期清查计算机病毒,防止笔记本电脑中的病毒到处传播。 (六) 凡是存放有我司资料的移动存储设备均需要进行加密,防止
丢失带来不可预计的损失。 三、移动设备的使用及注意事项 (一) 笔记本需注意使用环境,特别要注意远离饮料和食品。 (二) 在开关机时不要急于移动笔记本,应注意防震,否则硬盘容易损坏。 (三) 笔记本电脑,不要放在软垫上使用(如毛巾、布料、棉被等),否则易堵塞散热口,散热不好,造成机器故障。 (四) 光驱容易损坏,请注意保养,减少不必要的损耗,不宜使用质量差的光盘和软盘。 (五) 液晶板不宜用手触摸,不能与硬物接触。清洁时要特别注意用眼镜布轻轻擦拭。 (六) 插拔外接部件时,要特别小心,一旦插口出现问题,可能要换主板,损失较大。 (七) 笔记本电脑随机软件只有操作系统(WINDOWS),并安装常用办公软件,请不要随意安装其它软件。 (八) 笔记本电脑和附件重量轻、体积小,在出租车、办公室等公共场所容易丢失和被盗。 (九) 移动硬盘及U盘应轻拿轻放,容易摔坏。 (十) 注意移动硬盘和U盘存放位置,请勿放置桌面及显眼的位置防止丢失。 (十一) 凡是人为造成笔记本及移动硬盘等设备损坏,将自行承担
内网终端安全管理系统项目解决方案
北信源内网终端安全管理系统 解决方案 北京北信源软件股份有限公司
目录 1.前言 (4) 1.1. 概述 (4) 1.2. 应对策略 (5) 2.终端安全防护理念 (6) 2.1. 安全理念 (6) 2.2. 安全体系 (7) 3.终端安全管理解决方案 (9) 3.1. 终端安全管理建设目标 (9) 3.2. 终端安全管理方案设计原则 (9) 3.3. 终端安全管理方案设计思路 (10) 3.4. 终端安全管理解决方案实现 (12) 3.4.1. 网络接入管理设计实现 ........................................ 错误!未定义书签。 3.4.1.1. 网络接入管理概述 ........................................ 错误!未定义书签。 3.4.1.2. 网络接入管理方案及思路............................... 错误!未定义书签。 3.4.2. 补丁及软件自动分发管理设计实现 (12) 3.4.2.1. 补丁及软件自动分发管理概述 (12) 3.4.2.2. 补丁及软件自动分发管理方案及思路 (12) 3.4.3. 移动存储介质管理设计实现 (17) 3.4.3.1. 移动存储介质管理概述 (17) 3.4.3.2. 移动存储介质管理方案及思路 (18) 3.4.4. 桌面终端管理设计实现 (21) 3.4.4.1. 桌面终端管理概述 (21) 3.4.4.2. 桌面终端管理方案及思路 (22) 3.4.5. 终端安全审计设计实现 ........................................ 错误!未定义书签。 3.4.5.1. 终端安全审计概述 ........................................ 错误!未定义书签。 3.4.5.2. 终端安全审计方案及思路............................... 错误!未定义书签。 4.方案总结 (41) 5.附录:系统硬件要求 (41) 6.预算 (43)
内网终端安全管理系统解决方案
内网终端安全管理系统解决方案
北信源内网终端安全管理系统 解决方案 北京北信源软件股份有限公司
目录 1.前言................................ 错误!未定义书签。 1.1.概述 错误!未定义书签。 1.2.应对策略 错误!未定义书签。 2.终端安全防护理念.................... 错误!未定义书签。 2.1.安全理念 错误!未定义书签。 2.2.安全体系 错误!未定义书签。 3.终端安全管理解决方案................ 错误!未定义书签。 3.1.终端安全管理建设目标 错误!未定义书签。 3.2.终端安全管理方案设计原则 错误!未定义书签。 3.3.终端安全管理方案设计思路 错误!未定义书签。 3.4.终端安全管理解决方案实现 错误!未定义书签。 3.4.1.网络接入管理设计实现 错误!未定义书签。 3.4.1.1.网络接入管理概述
3.4.1.2.网络接入管理方案及思路 错误!未定义书签。 3.4.2.补丁及软件自动分发管理设计实现 错误!未定义书签。 3.4.2.1.补丁及软件自动分发管理概述 错误!未定义书签。 3.4.2.2.补丁及软件自动分发管理方案及思路 错误!未定义书签。 3.4.3.移动存储介质管理设计实现 错误!未定义书签。 3.4.3.1.移动存储介质管理概述 错误!未定义书签。 3.4.3.2.移动存储介质管理方案及思路 错误!未定义书签。 3.4.4.桌面终端管理设计实现 错误!未定义书签。 3.4.4.1.桌面终端管理概述 错误!未定义书签。 3.4.4.2.桌面终端管理方案及思路 错误!未定义书签。 3.4.5.终端安全审计设计实现 错误!未定义书签。 3.4.5.1.终端安全审计概述
安全生产管理信息系统解决方案
安全生产管理信息系统解决方案 1
安全生产管理信息系统 解决方案 河北创巨圆科技发展有限公司 4月15日 II
目录 第1章系统概述............................................................ 错误!未定义书签。 1.1建设背景................................................................ 错误!未定义书签。 1.2指导思想................................................................ 错误!未定义书签。 1.3建设原则................................................................ 错误!未定义书签。 1.4建设目标................................................................ 错误!未定义书签。 1.5建设任务................................................................ 错误!未定义书签。 1.5.1为安全信息建立统一的基础平台................. 错误!未定义书签。 1.5.2为安全业务构建协同的执行平台................. 错误!未定义书签。 1.5.3为安全管理提供有效的监管平台................. 错误!未定义书签。 1.5.4为辅助决策提供可靠的支持平台................. 错误!未定义书签。 1.5.5为安全文化建设提供信息化支撑................. 错误!未定义书签。第2章总体设计............................................................ 错误!未定义书签。 2.1设计原则................................................................ 错误!未定义书签。 2.1.1统一性原则 ..................................................... 错误!未定义书签。 2.1.2规范性原则 ..................................................... 错误!未定义书签。 2.1.3先进性原则 ..................................................... 错误!未定义书签。 2.1.4安全性原则 ..................................................... 错误!未定义书签。 2.1.5集成性原则 ..................................................... 错误!未定义书签。 2.4.6实用性原则 ..................................................... 错误!未定义书签。 2.4.7灵活性原则 ..................................................... 错误!未定义书签。 I
移动应用安全管理系统设计方案
移动应用安全管理系统设计方案 2014年
目录 2 系统设计原则 (4) 2.1 安全性原则 (4) 2.2 标准性原则 (5) 2.3 规划先进性原则 (5) 2.4 安全服务细致化原则 (6) 3 建设思路 (6) 4 整体分析 (7) 4.1 业务需求 (7) 4.1.1 移动采集 (7) 4.1.2 移动办公 (7) 4.2 业务类型 (8) 4.2.1 数据交换和数据采集 (8) 4.2.2 授权访问 (8) 4.3 功能域划分 (9) 4.3.1 业务域 (9) 4.3.2 接入域 (10) 4.3.3 监管域 (10) 4.3.4 用户域 (11) 4.4 安全需求分析 (11) 4.4.1 安全技术需求分析 (12) 4.4.2 安全管理需求分析 (15) 5 平台设计 (16) 5.1 设计目标 (16) 5.2 设计思路 (16) 5.3 设计内容 (17) 5.4 安全技术体系设计 (18) 5.4.1 终端环境安全设计 (18) 5.4.2 接入域边界安全设计 (20) 5.4.3 通信网络安全设计 (24) 5.4.4 集中监测与管理设计 (27) 5.5 性能设计 (30) 5.5.1 链路带宽 (30) 5.5.2 业务并发数 (31) 5.5.3 吞吐量 (31) 5.7.2 安全管理机构 (33) 5.7.3 人员安全管理 (34) 6 方案特点 (34) 7 移动安全管理平台关键技术 (35) 8 建设效果 (36)
1 概述 安徽省电子认证管理中心(简称“安徽 CA”)移动应用安全管理系统是从用户的应用安全和安全管理需求出发,基于PKI技术构建可信身份体系、鉴权体系及行为追溯体系,实现信息系统可信、可控、可管理,满足用户自身信息化建设发展要求和相关法规政策要求的网络信任体系支撑平台。 由于历史的原因,也是计算机技术日新月异发展的结果,信息化要求较高的行业现有的多套应用系统从当时的设计和建设看来可以说是非常科学和满足业务需求的,但以现在的标准来看,由于不同的应用系统建立在不同的硬件和操作平台上,不同的应用系统是由不同的系统集成商使用不同的语言和开发工具开发出来的,将不可避免的导致不同业务系统之间的用户无法统一管理,资源无法统一授权,审计系统也分别独立,且基于数字证书的强身份认证也可能没有实现。由于用户角色以及资源的改变使得业务运作不够顺畅,导致业务流程被割裂,需要过多的人工介入,效率下降,数据精确度降低,使的信息系统失去了其应有的作用。 从信息化建设的长远发展来看,要形成相互一致的业务基础信息系统和有效运行的信息层次化可信安全体系,必然需要将原来已分别建设的各个业务应用系统平滑地整合在一起,在一个可信的安全基础平台上实现统一用户管理、统一安全审计以及基于数字证书的集中身份认证,统一Web管理界面方式让各个业务系统间形成一个有机的整体,在整个可信网络体系范围内实现系统信息的高度共享,针对快速
天珣内网安全风险管理与审计系统
天珣内网安全风险管理与审计系统 安装配置手册 (V6.6.9.4) 启明星辰 Beijing Venustech Cybervision Co., Ltd. 2012年11月
版权声明 北京启明星辰信息安全技术有限公司版权所有,并保留对本文档及本声明的最终解释权和修改权。 本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明外,其著作权或其他相关权利均属于北京启明星辰信息安全技术有限公司。未经北京启明星辰信息安全技术有限公司书面同意,任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其它语言、将其全部或部分用于商业用途。 “天珣”为北京启明星辰信息安全技术有限公司的注册商标,不得侵犯。 免责条款 本文档依据现有信息制作,其内容如有更改,恕不另行通知。 北京启明星辰信息安全技术有限公司在编写该文档的时候已尽最大努力保证其内容准确可靠,但北京启明星辰信息安全技术有限公司不对本文档中的遗漏、不准确、或错误导致的损失和损害承担责任。
目录 版权声明 (1) 免责条款 (1) 信息反馈........................................... 错误!未定义书签。1综述 . (4) 2安装环境及要求 (4) 3.天珣内网安全风险管理与审计系统主要组件介绍 (6) 3.1.服务器组件 (6) 3.1.1. 中心策略服务器 (6) 3.1.2. 本地策略服务器 (6) 3.1.3. 资产管理服务器................................错误!未定义书签。 3.1.4. Radius服务器 (6) 3.1.5. 攻击告警服务器 (6) 3.1.6. 软件分发服务器 (7) 3.1.7. HOD远程桌面服务器 (7) 3.2.策略网关组件 (7) 3.2.1. 策略网关代理 (7) 3.2.2. 中性策略网关 (7) 3.2.3. IIS策略网关 (8) 3.2.4. ISA策略网关 (8) 3.2.5. EXCHANGE策略网关 (8) 3.2.6. DNS策略网关及旁路监听式DNS策略网关 (8) 3.2.7. 客户端 (9) 3.2.8. 按需支援管理端 (9) 3.2.9. 客户端打包程序 (9) 4.天珣内网安全风险管理与审计系统的安装 (9) 4.1.快速安装 (10) 4.1.1 快速安装部署 (10) 4.1.2 基本配置 (27) 4.2.自定义安装 (31) 4.2.1 自定义安装中心服务器 (32) 4.3.本地服务器的安装配置 (33) 4.3.1 添加策略服务器 (37) 4.4.策略网关配置 (38) 4.4.1 添加策略网关代理 (38) 4.4.2 安装中性策略网关 (39) 4.5.远程桌面的系统配置 (46) 4.5.1 安装添加远程桌面服务器 (46) 4.5.2 添加远程桌面管理员 (46) 4.5.3 安装按需支援管理员端程序 (47) 4.5.4 用户请求管理员远程帮助 (49) 4.6.软件分发安装与配置 (49) 4.6.1 安装软件分发服务器 (49)
信息系统安全管理方案
信息系统安全管理方案 Corporation standardization office #QS8QHH-HHGX8Q8-GNHHJ8
信息系统安全管理方案 信息系统的安全,是指为信息系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄漏,以保证系统连续正常运行。信息系统的安全方案是为发布、管理和保护敏感的信息资源而制定的一级法律、法规和措施的总和,是对信息资源使用、管理规则的正式描述,是院内所有人员都必须遵守的规则。信息系统的受到的安全威胁有:操作系统的不安全性、防火墙的不安全性、来自内部人员的安全威胁、缺乏有效的监督机制和评估网络系统的安全性手段、系统不能对病毒有效控制等。 一、机房设备的物理安全 硬件设备事故对信息系统危害极大,如电源事故引起的火灾,机房通风散热不好引起烧毁硬件等,严重的可使系统业务停顿,造成不可估量的损失;轻的也会使相应业务混乱,无法正常运转。对系统的管理、看护不善,可使一些不法分子盗窃计算机及网络硬件设备,从中牟利,使企业和国家财产遭受损失,还破坏了系统的正常运行。 因此,信息系统安全首先要保证机房和硬件设备的安全。要制定严格的机房管理制度和保卫制度,注意防火、防盗、防雷击等突发事件和自然灾害,采用隔离、防辐射措施实现系统安全运行。 二、管理制度 在制定安全策略的同时,要制定相关的信息与网络安全的技术标准与规范。技术标准着重从技术方面规定与规范实现安全策略的技术、机
制与安全产品的功能指标要求。管理规范是从政策组织、人力与流程方面对安全策略的实施进行规划。这些标准与规范是安全策略的技术保障与管理基础,没有一定政策法规制度保障的安全策略形同一堆废纸。 要备好国家有关法规,如:《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《计算机信息网络国际联网安全保护管理办法》、《计算机信息系统安全专用产品检测和销售许可证管理办法》、《中华人民共和国计算机信息网络国际联网管理暂行规定实施办法》、《商用密码管理条例》等,做到有据可查。同时,要制定信息系统及其环境安全管理的规则,规则应包含下列内容: 1、岗位职责:包括门卫在内的值班制度与职责,管理人员和工程技术人员的职责; 2、信息系统的使用规则,包括各用户的使用权限,建立与维护完整的网络用户数据库,严格对系统日志进行管理,对公共机房实行精确到人、到机位的登记制度,实现对网络客户、IP地址、MAC地址、服务帐号的精确管理; 3、软件管理制度; 4、机房设备(包括电源、空调)管理制度; 5、网络运行管理制度; 6、硬件维护制度; 7、软件维护制度; 8、定期安全检查与教育制度;
内网安全管理系统项目方案
内网安全管理系统项目方案
目录 第一章概述 (4) 1.1 建立内网安全管理系统的必要性 (4) 1.2 现状分析 (4) 1.3 项目需求 (4) 第二章系统建设目标与原则 (5) 2.1 系统建设目标 (5) 2.2 系统建设原则 (6) 2.2.1 先进性原则 (6) 2.2.2 易于管理、操作和维护原则 (6) 2.2.3 充分利用现有资源原则 (6) 2.2.4 安全与性能负载均衡原则 (6) 第三章总体设计方案 (6) 3.1 系统总体架构 (7) 3.2 系统功能架构设计 (9) 3.2.1 基于进程的文档加密驱动 (9) 3.2.2 端口控制驱动 (10) 3.2.3 移动存储设备控制驱动 (10) 3.3 系统配置清单 (11) 第四章系统功能设计 (11) 4.1 认证授权系统设计 (11) 4.1.1 客户端动态注册,浮动License 管理 (11) 4.1.2 控制台和客户端的网络身份认证 (12) 4.1.3 多种身份认证相结合 (12) 4.1.4 策略集中分级管理 (12) 4.1.5 支持按分组和单个计算机灵活定制策略 (13) 4.1.6 限时有效策略 (13) 4.2 数据安全保密系统设计 (13) 4.2.1 文件透明加解密 (14) 4.2.2 涉密文件安全防护 (15) 4.3 硬件安全防护系统设计 (16) 4.3.1 存储设备控制 (16) 4.3.2 通讯设备控制 (16) 4.3.3 存储设备准入认证 (16) 4.4 IT 资产管理系统设计 (17) 4.4.1 资产的完备性 (17) 4.4.2 资产变更的准实时性 (17) 4.4.3 详细的报告 (17)
中软统一终端安全管理系统
“中软统一终端安全管理系统(United Endpoint Management, 简称UEM)”,以其全新的安全理念、强大的功能体系、完善的技术架构,改变了传统的内网安全管理模式,实现了主机监控与审计的完美统一。该系统采用了终端安全“一体化”的安全防护技术,整合了病毒防护监测、网络接入认证、终端健康性检查、系统身份认证、资产管理、补丁管理、运行监控和失泄密防护等等终端软件的安全功能,是终端安全的完整解决方案。 【系统功能】 该系统的主要从以下几个方面保障内部安全: 一.终端安全管理 1.安全策略管理 按照企业终端计算机安全管理规定,统一配置终端计算机的Windows安全策略,实现集中的安全策略配置管理,统一提高终端计算机用户的安全策略基线。系统所能配置的安全策略有:帐户密码策略监视、帐户锁定策略监视、审核策略监视、共享策略监视、屏保策略监视。 2.终端入网认证 对接入内网的计算机进行统一的管理,未经许可的计算机不能接入内网,接入内网的计算机必须通过安全性检查才能访问内部网络资源,其主要功能为:非法用户内联控制、主机安全性检查。 3.用户身份认证 身份认证是系统应用安全的起点,通过硬件USBKey和口令认证登录Windows系统用户身份,保证进入Windows系统用户身份的合法性;对登录用户权限进行合法性检查,保证用户权限的合规性。具体功能为:基于USBKey的身份认证、登录用户权限合法性检查。 4.网络进程管理 通过对网络进程的统一管理,规范计算机用户的网络行为,实现“外面的网路连接未经许可进不来,里面的网络进程未经许可出不去”。具体功能为:管理向外发起连接的网络进程、管理接收外部连入的网络进程、实时获取网络进程信息和会话连接状态。 5.防病毒软件监测 通过策略设置输入防病毒软件特征,按照统一的策略监测防病毒软件使用状况,并进行统计分析形成统一的数据报表。具体功能为:监视防病毒软件的使用状况、防病毒软件监测特征的自定义。 6.补丁分发管理 统一配置终端计算机的补丁管理策略,实现对系统补丁状况的扫描,自动完成补丁分发。系统所支持的补丁包括:Windows操作系统补丁系列、office系列办公软件补丁、SQL Server系列补丁等
北信源内网安全管理系统用户使用手册
北信源内网安全管理系统 用户使用手册 Newly compiled on November 23, 2020
北信源内网安全管理系统用户使用手册 北京北信源软件股份有限公司 二〇一一年
支持信息 在北信源内网安全管理系统使用过程中,如您有任何疑问 都可以通过访问我公司网站或者致电我司客服中心获得帮 助和支持! 热线支持:400-8188-110 客户服务电话: 在您使用该产品过程中,如果有好的意见或建议的话也请 联系我们的客服中心,感谢您对我公司产品的信任和支 持!
正文目录图目录表目录
第一章概述 特别说明 北信源终端安全管理系列产品由《北信源内网安全管理系 统》、《北信源补丁及文件分发管理系统》、《北信源主 机监控审计系统》、《北信源移动存储介质使用管理系 统》、《北信源网络接入控制管理系统》及《北信源接入 认证网关》6大套件构成。 本手册内容将随着北信源软件的不断升级而改变(以光盘 中电子版发行时为最新版),恕不另行通知。需要者请从 北信源公司网站下载本手册的最新电子版或者直接联系北 信源公司索取。 本手册与本系统的安装配置手册中的所有图片均为示意 图,请以实际产品为准。 本使用手册为北信源终端安全管理系列产品通用说明书。 若您独立购买《北信源内网安全管理系统》或《北信源补 丁及文件分发管理系统》等其中之一产品,本说明书的其 它功能将不具备。
感谢您购买北京北信源软件股份有限公司研制开发的北信 源终端安全管理系列产品。请在使用本软件之前认真阅读 本使用手册,当您开始使用该软件时,北信源公司认为您 已经阅读了本使用手册。 产品构架 北信源终端安全管理产品由8部分组成:WinPcap程序、 SQL Server管理信息库(安装包:环境初始化程序)、 Web中央管理配置平台(安装包:网页管理平台)、区域 管理器(安装包:Region Manage,原区域扫描器已作为模 块集成到区域管理器)、客户端注册程序(安装包:注册 程序)、补丁下载服务器、管理器主机保护模块、报警中 心模块。 环境初始化程序 SQL Server管理信息库,建立北信源终端安全管理产品 的初始化数据库。初始化的信息包括:网络客户端设备属 性信息、区域管理器信息、设备扫描器信息、区域管理范 围信息、注册(未注册)机器信息、设备属性变化信息、 报警信息等。扫描器将设备最新状态信息同数据库中原有 信息进行遍历搜索对比,根据规则要求在管理平台上报 警。 网页管理平台(web管理平台)
信息系统安全管理方案1.doc
信息系统安全管理方案1 信息系统安全管理方案 信息系统的安全,是指为信息系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄漏,以保证系统连续正常运行。信息系统的安全方案是为发布、管理和保护敏感的信息资源而制定的一级法律、法规和措施的总和,是对信息资源使用、管理规则的正式描述,是院内所有人员都必须遵守的规则。信息系统的受到的安全威胁有:操作系统的不安全性、防火墙的不安全性、来自内部人员的安全威胁、缺乏有效的监督机制和评估网络系统的安全性手段、系统不能对病毒有效控制等。 一、机房设备的物理安全 硬件设备事故对信息系统危害极大,如电源事故引起的火灾,机房通风散热不好引起烧毁硬件等,严重的可使系统业务停顿,造成不可估量的损失;轻的也会使相应业务混乱,无法正常运转。对系统的管理、看护不善,可使一些不法分子盗窃计算机及网络硬件设备,从中牟利,使企业和国家财产遭受损失,还破坏了系统的正常运行。 因此,信息系统安全首先要保证机房和硬件设备的安全。要制定严格的机房管理制度和保卫制度,注意防火、防盗、防雷击等突发事件和自然灾害,采用隔离、防辐射措施实现系统安全运行。 二、管理制度
在制定安全策略的同时,要制定相关的信息与网络安全的技术标准与规范。技术标准着重从技术方面规定与规范实现安全策略的技术、 机制与安全产品的功能指标要求。管理规范是从政策组织、人力与流程方面对安全策略的实施进行规划。这些标准与规范是安全策略的技术保障与管理基础,没有一定政策法规制度保障的安全策略形同一堆废纸。 要备好国家有关法规,如:《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《计算机信息网络国际联网安全保护管理办法》、《计算机信息系统安全专用产品检测和销售许可证管理办法》、《中华人民共和国计算机信息网络国际联网管理暂行规定实施办法》、《商用密码管理条例》等,做到有据可查。同时,要制定信息系统及其环境安全管理的规则,规则应包含下列内容: 1、岗位职责:包括门卫在内的值班制度与职责,管理人员和工程技术人员的职责; 2、信息系统的使用规则,包括各用户的使用权限,建立与维护完整的网络用户数据库,严格对系统日志进行管理,对公共机房实行精确到人、到机位的登记制度,实现对网络客户、IP地址、MAC地址、服务帐号的精确管理; 3、软件管理制度; 4、机房设备(包括电源、空调)管理制度; 5、网络运行管理制度;