北信源法院系统终端安全管理系统解决方案2015
北信源网络接入控制系统用户使用手册
用户使用手册
北京北信源软件股份有限公司 2012 年 10 月
北信源网络接入控制系统用户使用手册
版权声明 本手册的所有内容,其版权属于北京北信源软件股份有限公司(以下简称北
信源公司)所有,未经北信源许可,任何人不得仿制、拷贝、转译或任意引用。 本手册没有任何形式的担保、立场倾向或其他暗示。 商标声明
2.1 丰富的部署模式,适应性强------------------------------------------------------------------------- 7 2.2 流程化入网规范,统一性强------------------------------------------------------------------------- 7 2.3 人性化入网提醒,可用性强------------------------------------------------------------------------- 7 2.4 基于角色的访问控制,控制力强 ------------------------------------------- 8 2.5 访客自助入网,操作性强 ---------------------------------------------------------------------------- 8 3 产品安装 ........................................................................................................................... 8 3.1 硬件安装 --------------------------------------------------------------------------------------------------- 8 3.2 产品实施 --------------------------------------------------------------------------------------------------- 8 3.3 工作模式 --------------------------------------------------------------------------------------------------- 8 3.4 系统登录 --------------------------------------------------------------------------------------------------- 9 4 系统监控 ......................................................................................................................... 10 4.1 整个系统 ------------------------------------------------------------------------------------------------- 10
VRVedp北信源内网管理系统用户使用手册
北信源内网安全管理系统用户使用手册北信源软件股份XX二〇一一年支持信息在北信源内网安全管理系统使用过程中,如您有任何疑问都可以通过访问我公司.vrv..或者致电我司客服中心获得帮助和支持!热线支持:400-8188-110客户服务:5/86/87在您使用该产品过程中,如果有好的意见或建议的话也请联系我们的客服中心,感谢您对我公司产品的信任和支持!正文目录第一章概述1特别说明1产品构架1应用构架3第二章北信源内网安全管理系统4策略中心4策略管理中心4网关接入认证配置25阻断违规接入管理25补丁分发25数据查询25本地注册情况统计26本地设备资源统计26本地设备类型统计26USB标签信息查询26设备信息查询27审计数据查询28分发数据查询28非Windows操作系统设备29终端管理29终端管理29行为控制29远程协助30运维监控30报表管理31报警管理31报警数据查询32本地区域报警数据统计32本地报警数据汇总32级联总控32级联注册情况统计32级联设备资源统计33级联设备类型统计33级联管理控制33区域管理器状态查询34区域扫描器状态查询35级联上报数据35级联报警数据35系统维护35系统用户分配与管理36用户设置38数据重整39审计用户39第三章北信源补丁及文件分发管理系统41区域管理器补丁管理设置41补丁下载配置41文件分发策略配置42策略中心42补丁分发策略42软件分发策略45其他策略46补丁分发46补丁自动下载分发47补丁下载服务器47补丁库分类48补丁下载转发代理48客户端补丁检测(一)49客户端补丁检测(二)51第四章北信源主机监控审计系统52策略中心52行为管理及审计52涉密检查策略53其他策略54数据查询54第五章北信源移动存储介质使用管理系统55策略中心55可移动存储管理55其他策略56数据查询56第六章北信源网络接入控制管理系统56网关接入配置认证56策略中心58接入认证策略58其他策略62环境准备方法62安装RADIUS (windows IAS)62各厂商交换机配置81Cisco2950配置方法81华为3 3628配置82锐捷RGS21配置85第七章北信源接入认证网关87网关接入配置认证87策略中心88第八章系统备份及系统升级89系统数据库数据备份及还原89系统组件升级89区域管理器、扫描器模块升级89升级网页管理平台90客户端注册程序升级90检查系统是否升级成功90级联管理模式升级及配置90附录91附录(一)北信源内网安全管理系统名词注释91附录(二)移动存储设备认证工具操作说明92USB标签制作92USB标签制作工具94USB标签制作历史查询105移动存储审计策略106移动存储审计数据107附录(三)主机保护工具操作说明107附录(四)组态报表管理系统操作说明108模版制定108报表输出114附录(五)报警平台操作说明117设置117日志查询120窗口120更换界面121帮助121附录(六)漫游功能说明121漫游功能介绍121漫游功能配置123附录(七)IIS服务器配置说明127WIN2003-32位IIS配置说明127WIN2003-64位IIS配置说明129WIN2008-64位IIS配置说明131图目录图1-1北信源终端安全管理应用拓扑4图2-1创建新策略4图2-2下发策略5图2-3策略控制5图2-4硬件设备控制8图2-5软件安装监控策略9图2-6进程执行监控策略11图2-7进程保护策略11图2-8协议防火墙策略14图2-9注册表15图2-10IP与MAC绑定策略16图2-11防违规外联策略18图2-12违规提示18图2-13文件备份路径设置23图2-14注册码配置24图2-15阻断违规接入控制设置25图2-16本地注册情况信息26图2-17本地设备资源信息26图2-18本地设备类型统计26图2-19软件变化信息28图2-20注册日志信息28图2-21交换机扫描管理配置31图2-22设备信息统计图表32图2-23级联设备信息33图2-24级联设备系统类型统计33图2-25级联管理控制34图2-26下级级联区域管理器信息34图2-27区域管理器状态信息34图2-28区域扫描器状态信息35图2-29级联上报数据35图2-30系统用户列表36图2-31添加系统用户界面36图2-32用户管理列表36图2-33终端控制权限37图2-34屏幕监控权限37图2-35密码初始化提示框38图2-36密码初始化完成提示框38图2-37修改ADMIN用户密码38图2-38数据重整信息表39图2-39审计用户登录40图3-1区域管理器补丁管理设置41图3-2分发参数设置42图3-3补丁自动分发44图3-4补丁下载服务器界面47图3-5补丁下载服务器设置48图3-6补丁代理传发支持49图3-7补丁下载设置49图3-8登录页面50图3-9工具下载页面50图3-10补丁检测中心51图3-11客户端补丁漏打检测51图6-1网关接入认证57图6-2重定向配置57图6-3用户添加58图6-4补丁与杀毒软件认证策略59图6-5接入认证策略60图6-6802.1X认证界面60图6-7802.1X认证界面61图6-8安全检查没有通过,802.1X不启动认证61图6-9认证失败61图6-10添加I NTERNET验证服务组件63图6-11IAS配置界面63图6-12新建RADIUS客户端64图6-13新建RADIUS客户端64图6-14新建远程访问策略65图6-15设置远程访问策略65图6-16设置远程访问策略66图6-17设置远程访问策略选择用户66图6-18设置远程访问策略使用MD5质询67图6-19设置远程访问策略新建的策略67图6-20选择D AY-A ND-T IME-R ESTRICTIONS68图6-21选择允许68图6-22设置属性69图6-23添加属性值VLAN69图6-24添加属性值80270图6-25添加属性值60070图6-26添加属性值60071图6-27编辑拨入配置文件71图6-28新建连接请求策略72图6-29为策略取名字72图6-30策略配置73图6-31添加远程登录用户73图6-32设置用户属性74图6-33设置TEST用户74图6-34设置启用75图6-35VRV EDP A GENT认证成功75图6-36创建用户界面76图6-37用户添加76图6-38设置用户密码77图6-39进入N ETWORK C ONFIGURATION77图6-40AAA C LIENT 配置78图6-41AAA S ERVER 配置78图6-42进入I NTERFACE C ONFIGURATION79图6-43进入RADIUS(IETF)79图6-44进入G ROUP S ETUP80图6-45进入E DIT S ETTINGSP80图7-1网关接入认证87图7-2重定向配置88图7-3用户添加88图7-4网关接入认证策略88图8-1级联管理配置91附图-1修改用户 ADMIN USB标签93附图-2下载D EVICE N UMBER.EXE93附图-3全局参数94附图-4U SB T OOL登录96附图-5U SB T OOL界面96附图-6分区格式化97附图-7制作移动硬盘标签197附图-8制作移动硬盘标签298附图-9制作移动硬盘标签398附图-10制作移动硬盘标签498附图-11制作移动硬盘标签599附图-12制作移动硬盘标签699附图-13制作移动硬盘标签7100附图-14制作移动硬盘标签8100附图-15制作移动硬盘标签9100附图-16制作移动硬盘标签10101附图-17制作移动硬盘标签11101附图-183个分区的优盘和移动硬盘内网登录界面102附图-19整盘加密的优盘和移动硬盘内网登录界面102附图-20外网插入3个分区的优盘或移动硬盘盘符102附图-21交换区登录界面103附图-22外网插入整盘加密优盘或移动盘符103附图-23信息提示103附图-24U SB T OOL登录104附图-25U SB T OOL界面104附图-26初始化密码105附图-27标签历史查询105附图-28访问控制配置说明107附图-29DOS/DDOS配置说明108附图-30创建模板109附图-31确定报表标题及报表尾109附图-32定义报表输入项110附图-33确定输出条件110附图-34确定关联111附图-35保存模板112附图-36修改模板名称112附图-37修改模版的输出标题和表尾113附图-38修改输出列选项113附图-39修改关联选项114附图-40修改时间X围统计114附图-41模板预览115附图-42输出EXCEL报表模板信息115附图-43时间定义116附图-44模板导入116附图-45模板导出117附图-46报警平台设置117附图-47高级设置118附图-48报警设置上119附图-49报警设置下119附图-50日志查询120附图-51报警中心界面120附图-52漫游示意122附图-53结合接入认证漫游示意图122附图-54CA服务器界面123附图-55区域管理器配置界面123附图-56客户端迁移策略配置界面124附图-57重原管理区漫游出去的客户端124附图-58漫游到新管理器的客户端125附图-59进去漫游组中的漫游客户端125附图-60漫游回原管理器的客户端126附图-61漫游查询状态选项126附图-62IIS服务管理器127附图-63虚拟目录属性128附图-64选择用户域组128附图-65用户域组高级选项129附图-66用户属性变更129附图-67命令执行结果130附图-68输出结果130附图-70添加角色向导131表目录表2-1策略的高级设置参数说明6表2-2硬件设备控制参数说明7表2-3软件安装监控策略参数说明9表2-4进程执行监控策略参数说明10表2-5用户密码策略参数说明12表2-6协议防火墙策略参数说明14表2-7注册表检查策略参数说明15表2-8IP与MAC绑定策略参数说明15表2-9杀毒软件运行监控16表2-10防违规外联策略参数说明18表2-11运行资源监控策略参数说明19表2-12进程异常监控策略参数说明20表2-13流量采样策略参数说明20表2-14流量控制策略参数说明21表2-15消息推送策略参数说明22表2-16客户端文件备份策略参数说明22表2-17终端配置策略参数说明23表3-1区域管理器补丁管理参数说明41表3-2补丁自动分发策略参数说明43表3-3人工选择补丁分发策略参数说明45表3-4普通文件分发策略参数说明45表3-5补丁下载设置参数说明50表4-1文件输出审计策略参数说明52表4-2上网访问审计策略参数说明53表4-3文件内容检查策略参数说明54表6-1补丁与杀毒软件认证策略参数说明58表6-2VIFR接入认证策略参数说明62附表-1移动存储审计策略参数说明107第一章概述特别说明北信源终端安全管理系列产品由《北信源内网安全管理系统》、《北信源补丁及文件分发管理系统》、《北信源主机监控审计系统》、《北信源移动存储介质使用管理系统》、《北信源网络接入控制管理系统》及《北信源接入认证网关》6大套件构成。
北信源
1公司简介北京北信源软件股份有限公司创立于1996年,注册资金5000万,是中国第一批自主品牌的信息安全产品及整体解决方案供应商,中国终端安全管理领域的市场领导者。
北信源总部位于北京,下设多个全资子公司及北京、南京两个研发中心。
拥有近500名信息安全专业研发、咨询与服务人员,构建了全国七大区、近三十个省市的营销与服务网络,为用户提供业界领先的产品与服务。
十几年来,北信源致力于信息安全技术的研究与开发,在业内屡创佳绩,成果斐然。
曾革命性推出中国首款桌面安全管理产品,开启“桌面安全管理”技术革新之先河,并迅速做到国内销量第一;前瞻性推出了面向个人用户的数据安全产品—数据装甲,引领进入“全民数据安全”新时代;证券安全监控系统在国内券商使用率中也曾排行第一。
作为公司的产品核心:面向网络空间的终端安全管理体系--VRV SpecSEC是国内第一个面向网络空间的终端安全管理体系。
体系遵循安全产品符合性开发、基于策略的终端安全配置、评估为准的终端安全管理、组件化终端安全管理四大核心理念,并首次将受控云技术运用于终端安全体系和产品中,完整覆盖准入控制、补丁分发、介质管理、数据安全、安全审计、安全检查、行为管控、桌面管理、管理平台等全方位、多层次、立体化的网络空间终端安全各个层面。
作为中国终端安全管理领域的市场领导者,北信源终端安全管理产品在中国终端安全管理市场占有率连续五年保持第一(数据来源:CCID)。
产品覆盖政府、国防、军队军工、公安、金融、能源、通信、交通、水利、教育等重要行业,用户涉及各行业数千家单位,连续多年入围中央政府采购,成功部署数千万终端。
北信源公司在业界屡获殊荣,荣获国务院颁发的国家科学技术进步二等奖、部级科技进步奖等多项荣誉。
在标准制定、重大专项等方面积极配合政府行动,同国家政府部门、国内顶级院校、国际顶级IT厂商长期保持战略合作关系,公司现已成功打造信息安全知名品牌“北信源”、“VRV”。
北信源VRVEDP内网安全管理系统手册
北信源V R V E D P内网安全管理系统手册Prepared on 22 November 2020特别声明⏹本使用手册由《北信源内网安全及补丁分发管理系统》产品安装配置指导手册、用户手册、产品维护手册三部分组成,其内容将随着北信源软件的不断升级而改变(以光盘中电子版发行时为最新版),恕不另行通知。
需要者请从北信源公司网站下载本手册的最新电子版或者直接联系北信源公司索取。
⏹《北信源内网安全及补丁分发管理系统》产品由《北信源内网安全管理系统》及《补丁分发管理系统》两大套件构成。
⏹本使用手册为《北信源内网安全及补丁分发管理系统》通用说明书。
若您独立购买《北信源内网安全管理系统》或《北信源补丁分发管理系统》之一产品,本说明书的其它功能将不具备。
⏹两大套件主要区别:《北信源补丁分发管理系统》不具备违规联网监控、客户端安全管理和桌面管理功能;《北信源内网安全管理系统》不具备补丁自动分发功能。
请您在使用过程中选择性阅读相应章节。
⏹感谢您购买北京北信源自动化技术有限公司研制开发的内网安全管理及补丁自动分发系列软件。
请在使用本软件之前认真阅读本使用手册,当您开始使用该软件时,北信源公司认为您已经阅读了本使用手册。
快速阅读指南1.详细阅读本软件组件功能、组成、作用、应用构架,确切了解本软件的系统应用。
2.安装准备软件环境:MicrosoftSQLServer2000、Windows2000Server、Internet服务管理器;建议将数据库管理系统、区域管理器、WEB管理平台安装在同一服务器上,确认区域管理器所在机器的88端口不被占用(即非主域控制器);防火墙应允许打开88,2388,2399,22105,8900,8901,22106,22108,8889端口。
3.按步骤安装各组件后,通过,首先对Web管理平台进行如下配置:添加区域→划分该区域IP范围→指定区域管理器→指定区域扫描器。
4.双击屏幕右下角区域管理器、单击主机保护进行通讯参数配置。
北信源内网终端管理产品与360天擎对比
通道防护:对所有的外发途径如邮件、QQ、共享、USB等 自动加密
管理系统与360天擎产品对比
北信源
Windows server2000/2003/2008/2012 32位及64位 WinXP/VISRA/7/8/10 SQLserver2000/2005/2008/2012 支持 支持 支持
客户端漏洞自动侦测 补丁增量式下载 补丁分类 补丁策略 补丁自动修复 补丁下载转发代理 补丁安全测试 客户端web主动补丁查询 补丁安装审计 桌面密码权限审计 客户端统一防火墙 防病毒功能(支持设置发现病毒后的处理方式,可以设 置直接查杀或者主动提示,由用户选择病毒处理方式) 客户端权限变化审计 文件保护及审计 文件输出审计 注册表保护与审计 网络共享审计 文件内容检查(检测文件关键字) 上网访问行为审计/限制 系统日志审计 打印控制及审计(打印文件备份到服务器) 刻录监控及审计 客户端非法外联互联网行为监控 客户端非法接入其它网络行为监控 非法外联行为告警 移动存储设备接入管理 移动存储设备认证 原厂安全U盘(安全办公U盘、单向导出U盘等) 移动存储数据读写控制 本地查杀 断网查杀
支持
支持
支持
支持
不支持
不支持 不支持 支持 支持 支持 支பைடு நூலகம் 支持 支持 支持 支持 支持 不支持
不支持
不支持
不支持
不支持
支持
不支持
支持
支持 支持 支持
不支持
支持 支持 支持
支持 支持 支持 支持 支持 支持 支持 支持 支持 支持 支持
VRVed北信源内网管理系统用户使用手册
区域管理器内置网络扫描器,扫描器用来发现网络的终端设备。将发现的设备信息交由区域管理器处理。、设备最新状态信息报送至区域管理器,由区域管理器处理后,同数据库中原有信息进行遍历搜索对比,根据管理规则在管理平台上报警。
参数
说明
策略名称
此处可以修改策略名称
风险级别
分为低、中、高三个级别
停用锁定
选中【锁定对策略的停用操作】后,策略列表中的【停用】功能将不起作用,用于防止用户的误操作。
策略状态
制定策略的状态:启动/停止
策略存活时间范围
即策略以天为单位的存活时间段
策略无效工作日
即可在一星期中选中一天或多天使策略无效
策略无效时间段
正文目录
图目录
表目录
第一章概述
特别说明
北信源终端安全管理系列产品由《北信源内网安全管理系统》、《北信源补丁及文件分发管理系统》、《北信源主机监控审计系统》、《北信源移动存储介质使用管理系统》、《北信源网络接入控制管理系统》及《北信源接入认证网关》6大套件构成。
本手册内容将随着北信源软件的不断升级而改变(以光盘中电子版发行时为最新版),恕不另行通知。需要者请从北信源公司网站下载本手册的最新电子版或者直接联系北信源公司索取。
管理器主机保护模块
管理器主机保护模块可根据管理器或其他服务器具体使用的端口、网络协议、通信IP范围和具体的其他网络应用来定义该计算机使用的安全级较高的网络配置,从而防止该计算机受到恶意的IP冲突以及各种网络、病毒攻击。
报警中心模块
安装在可与区域管理器所在服务器正常通讯的计算机上,本模块可以根据管理员在系统中所配置的报警事件和危险级别提供给管理员包括电子邮件、信使服务、SNMP Trap、手机短信等多种报警方式。
北信源产品简介及资质
目录完整安全提升价值推进效益 (6)●内部网络面临的安全问题 (6)终端安全管理系列产品架构 (8)●产品系列 (9)●产品部署和管理构架 (10)●系列产品统一策略管理中心 (11)●系统自身安全 (11)●系统所需软硬件配置 (12)产品简介 (13)产品一北信源内网安全管理系统...................... . (14)●基本产品包 (14)●终端桌面管理产品包 (15)●终端安全管理产品包 (15)●网络主机运维产品包 (16)●非法外联管理产品包 (16)产品二北信源补丁及文件分发管理系统 (17)●产品背景 (17)●系统功能概述 (17)●系统功能描述 (18)●网络应用 (18)●系统组件 (18)●系统构架 (19)产品三北信源主机监控审计系统 (20)●产品背景 (20)●系统功能描述 (20)●管理功能描述 (21)产品四北信源终端安全登录与监控审计系统 (22)●功能概述 (22)●系统功能概述 (22)产品五北信源移动存储介质使用管理系统 (23)●移动存储介质数据交换引发的安全问题 (23)●技术特点及应用 (23)●系统功能描述 (24)●系统管理构架 (25)产品六北信源网络接入控制管理系统 (26)●产品背景 (26)●系统功能描述 (26)●系统管理构架 (26)产品七北信源移动存储介质信息消除系统 (28)●产品背景 (28)●功能概述 (28)●系统功能描述 (28)●系统管理构架 (29)产品八北信源安全U盘系统(专利技术) (30)●系统功能描述 (30)●加密 (30)产品九接入认证网关 (31)●功能概述 (31)●系统管理构架 (31)●系统功能描述 (31)●功能特点 (32)产品十北信源Intel vPro (AMT)管理支持系统 (33)●功能概述 (33)●系统功能描述 (33)产品十一北信源信息安全管理通告平台系统 (34)产品十二北信源网站防护系统 (36)●产品背景 (36)●产品概述 (36)●系统功能概述 (36)●系统部署 (37)产品资质 (38)公安部认证证书(内网安全管理及补丁分发系统) (39)公安部认证证书(移动存储管理系统) (39)公安部认证证书(网络接入管理系统)....................................................... .39 公安部认证证书(非法外联及客户端安全监控系统)....................................... .39 公安部认证证书(终端安全登陆与监控审计系统) ......................................... .40 公安部认证证书(网站防护系统) . (40)中国信息安全产品测评认证中心认证 (40)涉密信息系统产品检测证书(移动存储介质使用管理系统) (40)涉密信息系统产品检测证书(主机监控审计与补丁分发系统) (41)涉密信息系统产品检测证书(存储介质信息消除工具) (41)军用信息安全产品认证证书 (41)质量管理体系认证证书 (41)全国人大、全国政协现场工作保障证 (42)2008年奥运会、残奥会现场信息安保服务奖牌 (43)荣誉用户 (44)完整安全提升价值推进效益——构筑坚强有力的终端安全管理平台●内部网络面临的安全问题提起网络安全,人们自然就会想到网络边界安全,但实际情况是网络的大部分安全风险均来自于内部。
宝界终端准入与北信源桌管软件结合解决措施V
宝界终端准入与北信源桌管软件结合解决方案一、需求背景1.1、为什么要与北信源桌面管理软件结合?已经花重金购买了北信源桌面管理软件, 制定了详细的安全规范和标准,要求未安装北信源的客户端软件的主机不能入网、入网的主机要对应到人,但这些安全管理规范落实情况不尽如人意,究其原因是缺乏行之有效的管理手段。
私自卸载北信源源客户端,或北信源客户端不正常,造成服务端无法控制,要求能提示重新安装客户端,让该终端主机再次接入网络时重新认证。
1.2、什么样的网络环境, 准入能与北信源桌面管理软件相结合?1.DHCP网络环境。
2.核心交换机是思科交换机,支持EOU协议。
3.对固定IP地址网络环境,而且核心交换机不支持EOU协议的网络,允许使用ARP重定向技术。
二、解决方案2.1、方案部署拓朴图宝界终端准入网关……产品部署拓朴结构网络拓朴说明:1、终端准入设备是旁路方式接在核心交换机上, 由于准入设备是多接口的,对于网段数不多的网络,可以一个接口管理一个VLAN,各网段分别接入准入设备的不同接口,各自进行准入控制。
2、对于多VLAN的,可以采用核心交换机的TRUNK口接准入设备的一个接口,这样可以一个准入接口可以管理多个VLAN。
实现每个VLAN的准入控制。
3、准入与核心交换机通过TELNET/SSH方式联动。
4、汇聚层或接入层交换机启用DHCP Snooping +IP SOURCE GURARD或DAI,DHCP Snooping有效防止网络中的非法DHCP服务。
IP SOURCE GURARD或DAI功能有效解决终端主机私自设置IP,同时解决了内网中固定IP的服务器, 直接在交换机上建立合法的绑定表。
2.2采用DHCP准入与北信源结合宝界终端准入控制系统旁路接在三层核心交换机的一个TRUNK口,原有的三层核心提供的DHCP服务由宝界终端准入控制系统提供,由宝界终端准入控制系统对内网的所有终端做扫描检查,采用DHCP准入控制技术,所有主机先获取到隔离网段的IP地址,只有通过实名/CA认证检查,以及北信源客户端安装检查,通过后才能分配到内网的工作VLAN的IP。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
北信源法院系统终端安全管理系统解决方案北京北信源软件股份有限公司2015年3月目录1. 前言 (4)1.1. 概述 (4)1.2. 应对策略 (5)2. 终端安全防护理念 (6)2.1. 安全理念 (6)2.2. 安全体系 (7)3. 终端安全管理解决方案 (8)3.1. 终端安全管理建设目标 (8)3.2. 终端安全管理方案设计原则 (8)3.3. 终端安全管理方案设计思路 (9)3.4. 终端安全管理解决方案实现 (11)3.4.1. 网络接入管理设计实现 (11)3.4.1.1. 网络接入管理概述 (11)3.4.1.2. 网络接入管理方案及思路 (11)3.4.2. 补丁及软件自动分发管理设计实现 (16)3.4.2.1. 补丁及软件自动分发管理概述 (16)3.4.2.2. 补丁及软件自动分发管理方案及思路 (16)3.4.3. 移动存储介质管理设计实现 (20)3.4.3.1. 移动存储介质管理概述 (20)3.4.3.2. 移动存储介质管理方案及思路 (20)3.4.4. 桌面终端管理设计实现 (23)3.4.4.1. 桌面终端管理概述 (23)3.4.4.2. 桌面终端管理方案及思路 (24)3.4.5. 终端安全审计设计实现 (35)3.4.5.1. 终端安全审计概述 (35)3.4.5.2. 终端安全审计方案及思路 (36)4. 方案总结 (41)1.前言1.1.概述随着法院信息化的飞速发展,业务和应用逐渐完全依赖于计算机网络和计算机终端。
为进一步提高法院信息系统内部的安全管理与技术控制水平,必须建立一套完整的终端安全管理体系,提高终端的安全管理水平。
由于法院信息系统内部缺乏必要管理手段,导致网络管理人员对终端管理的难度很大,难以发现有问题的电脑,从而计算机感染病毒,计算机被安装木马,部分员工使用非法软件,非法连接互联网等情况时有发生,无法对这些电脑进行定位,这些问题一旦发生,往往故障排查的时间非常长。
如果同时有多台计算机感染网络病毒或者进行非法操作,容易导致网络拥塞,甚至业务无法正常开展。
建立终端安全管理体系的意义在于:解决大批量的计算机安全管理问题。
具体来说,这些问题包括:实现对法院信息系统内部所有的终端计算机信息进行汇总,包括基本信息、审计信息、报警信息等,批量管理终端计算机并提高安全性、降低日常维护工作量;实现对法院信息系统内部所有的终端计算机的准入控制,防止外来电脑或违规的电脑接入法院信息系统内部网络中;实现对法院信息系统内部所有的终端计算机进行补丁的自动下载、安装与汇总,最大程度减少病毒、木马攻击存在漏洞的计算机而导致的安全风险;实现对法院信息系统内部所有的移动存储设备的统一管理,防止部分人员通过USB设备将法院信息系统大量的机密文件传播出去,同时也极大减少了病毒、木马通过USB设备在网络中传播等情况的发生;实现对法院信息系统内部所有的终端计算机进行终端安全管理与分析,包括第一时间禁止非法外联行为的发生,实时监控异常流量,检测非法软件,禁用部分硬件设备等,将计算机与人结合起来管理,防止非法操作导致发生不必要的安全事件。
1.2.应对策略从网络空间应用接入方式来来说,网络空间应用从传统的互联网应用接入发展到以移动/无线通信应用接入乃至移动互联网接入等多种方式。
而针对网络空间安全方面的问题,北信源公司基于多年的产品开发与超大规模成功部署与应用经验基础,组建了面向网络空间的终端安全管理产品体系。
该产品体系主要面向重要网络、信息系统及基础设施的失泄密检测与防范,实现从终端、区域网到互联网的一体化检测、管理与防范。
该体系从终端接入控制、终端行为管控制、终端数据防泄密,以及终端安全审计等方面,实现了多层次、全方位、立体化纵深失窃密检测与防范,形成了面向复杂网络空间的终端安全管理一体化解决方案,有效地实现了网络空间下对终端计算机的安全管理体系。
2.终端安全防护理念2.1.安全理念针对目前法院信息系统网络中终端计算机面临的各种安全问题,作为终端安全管理市场的领导者,北信源公司特推出了面向网络空间的VRV SpecSEC终端安全管理体系。
VRV SpecSEC终端安全管理体系以APPDR模型为依据,遵循国家和行业等级保护,基于安全工程的思想,以独特的终端安全配置策略为核心,以终端安全风险测试与评估为依据,实现组件化可动态组合配置的终端安全管理。
其核心理念如下图所示:VRV SpecSEC终端安全管理体系核心理念安全产品法规符合性开发(S pecification-based Products Development)策略引导的终端安全配置(P olicy-based Configure Management)评估驱动的终端安全管理(E valuation-driven Security Management)组件化终端安全管理体系(Component-based Plug-in/out SecurityArchitecture )2.2.安全体系北信源VRV SpecSEC体系覆盖终端的资产安全管理、终端数据安全管理、终端行为安全管理、终端服务安全管理等多个方面,涉及管理计算机本身、计算机应用、计算机操作者、计算机使用、法院信息系统管理规范等多个方面,形成全方位、多层次、立体化终端安全管理。
本解决方案正是基于上述核心理念和安全体系的基础上而组建的基于终端各方面安全管理和控制的一体化解决方案。
3.终端安全管理解决方案3.1.终端安全管理建设目标(1) 当终端接入时要落实安全保护技术措施,保障内部网络的运行安全和信息安全;(2) 对已接入内部网络的终端计算机,要做好用户权限设定工作,不能开放其规定以外的操作权限。
(3) 发现有违规情形的,应当保留有关原始记录,并可直接了解到该违规信息及违规方式等。
(4) 网络管理人员能够利用该管理方式,便捷的管理内网终端计算机,并能够利用该种方式对终端计算机现状一目了然。
3.2.终端安全管理方案设计原则方案设计遵循如下原则:(1)安全性原则:对性能影响小,与其它业务系统无冲突。
(2)可靠性原则:在反复操作与长期实践之后依然能够保持高度的稳定性。
(3)可扩展性原则:能够符合IT发展方向,并随业务增长的同时保持高度的可扩充性。
(4)易用性原则:提供简单、友好界面,能够进行直观的操作,形成丰富的图形界面与报表。
(5)兼容性原则:能够与主流厂商的系统、软件、主机设备、安全设备、网络设备保持高度的兼容性。
3.3.终端安全管理方案设计思路1、遵循IT服务标准随着信息技术的发展以及对信息技术依赖程度的提高,IT已成为许多业务流程必不可少的部分,甚至是某些业务流程赖以运作的基础。
IT部门要承担更大的责任,即提高业务运作效率,降低业务流程的运作成本,遵循ITIL标准,协调IT 服务部门内部运作,改善IT部门与业务部门之间的沟通,帮助法院信息系统对信息化系统的规划、研发、实施和运营进行有效管理的方法。
IT服务管理将流程、人和技术三方面整合在一起来解决IT服务管理问题。
并结合法院信息系统内部组织结构、IT资源与管理流程等,对业务需求进行整体管理与服务。
解决方案设计要采用IT服务管理的理念,按照ITIL最佳实践标准来设计。
2、遵循ISO 27001标准ISO27001作为信息系统安全管理标准,已经成为全球公认的安全管理最佳实践,成为全国大型机构在设计、管理信息系统安全时的实践指南。
其中除了安全思路之外,给出了许多非常细致的安全管理指导规范。
在ISO27001中有一个非常有名的安全模型,称为PDCA安全模型。
PDCA安全模型的核心思想是:信息系统的安全需求是不断变化的,要使得信息系统的安全能够满足业务需要,必须建立动态的“计划、设计和部署、监控评估、改进提高”管理方法,持续不断地改进信息系统的安全性。
北信源认为,终端安全管理,也将是一个持续、动态、不断改进的过程,北信源将提供统一的、集成化的平台和工具,帮助对其终端进行统一的安全控制、安全评估、安全审计及安全改进策略部署。
3、遵循VRV SpecSEC安全理念依据业界最佳安全实践和行业信息安全管理体系的建设流程,结合北信源VRV SpecSEC核心安全理念,本方案的总体架构共分为“网络接入管理、补丁及软件分发管理、移动存储介质管理、桌面终端管理、终端安全审计”等安全管理组件,并通过统一、联动的安全管控与审计平台实现对不同层次架构的集中策略配置与管理,完成对网络终端的分级部署、统一管控,最终实现对内网终端全方位的控制管理,形成完整的终端安全管理体系。
方案设计思路3.4.终端安全管理解决方案实现本方案通过网络接入控制管理、补丁及软件分发管理、移动存储介质管理、桌面终端安全管理,以及终端安全审计管理等五大部分,并由集中统一的管控和策略平台,完成对上述安全管理组件的统一策略配置与下发、集中管理与审计,最终形成联动化的、集成化的、完整的终端安全体系建设。
3.4.1.网络接入管理设计实现3.4.1.1.网络接入管理概述通过网络接入控制能够完成对未知终端、授权终端的安全准入管理与控制。
该系统能够完成基于802.1x协议的准入控制技术的安全准入管理控制,为内网终端的安全接入控制提供了一道绿色的保护屏障。
3.4.1.2.网络接入管理方案及思路系统能够确保终端电脑只有在通过认证,即安装终端安全管理组件,并符合必要的安全策略的前提下才能被允许接入内部网络,否则会强制终端电脑跳转到访客隔离区(guest区),完成认证后还需要完成安检,即终端管理软件的下载和安装,且符合既定安全策略要求时才可准许接入内部网络。
具体接入流程如下:动态下载......级联级联网络接入控制管理系统流程图以上过程完全满足网络准入控制的目的和意义:能确保合法的、健康的终端接入内部网络访问被授权的资源。
通过网络准入控制技术,确保接入网络的电脑终端符合预定义要求,必要的安全策略功能包括: 1、802.1x 接入认证管理802.1x 接入认证管理具有对接入策略和安检策略整体的配置和管理功能。
接入是通过用户名密码的认证方式,对终端接入网络进行限制。
对认证成功的终端进行安全健康检测。
802.1X接入认证2、未注册终端接入访问区域限制(vlan限制)未注册终端会因认证不成功进入guest Vlan,在guest Vlan中终端只可以与服务器通信只有在终端注册成功后方可以通过认证。
3、未安装杀毒软件等必备软件自动安装下载管理针对终端计算机安装及运行杀毒软件情况,管理员可以设置安全策略检查终端用户是否正常启动、运行防病毒软件,并且强制检查防病毒软件的版本和病毒库版本,确保所有终端版本必须满足安检的规定方可接入内部网络。
如有违规,即刻跳转到修复区或者直接断开终端网络连接;针对终端计算机安装的必备软件情况,管理员可以设置可控软件名单,检查必备软件的安装运行情况,如有违规,即刻跳转到修复区或者直接断开终端网络连接;在网络中专门划分出修复区域,防病毒软件服务器放置在网络修复区中。