终端访问控制系统UEM解决方案

终端访问控制方案终端访问控制方案是一种用于保护计算机系统安全的措施，旨在限制未经授权的用户或恶意软件对计算机终端的访问。

通过实施终端访问控制方案，可以有效减少信息泄露、数据损坏等安全风险，并提升整体系统的可信度。

本文将介绍终端访问控制方案的重要性、原则和实施方法。

一、终端访问控制方案的重要性随着互联网的普及和计算机技术的不断发展，信息安全问题日益突出。

黑客攻击、病毒传播等安全威胁不断增加，给个人和组织的财产安全和隐私带来了严重威胁。

终端访问控制方案作为信息安全的重要组成部分，具有以下重要性：1. 保护隐私和敏感信息：终端访问控制方案可以限制未经授权的人员访问终端设备，确保个人隐私和敏感信息不被泄露。

2. 防止未知恶意软件：终端访问控制方案可以有效防止未知恶意软件进入计算机系统，避免病毒感染、木马植入等安全风险。

3. 提升系统可信度：终端访问控制方案可以限制临时工、外包人员等非信任用户对系统的访问，增加系统整体的可信度和安全性。

二、终端访问控制方案的原则设计终端访问控制方案时应遵循以下原则，以确保系统安全和用户体验的平衡：1. 最小权限原则：用户只能获得实现其业务需求所必需的最低权限，在必要时可通过身份验证获得额外权限。

2. 多层次访问控制原则：通过多种安全技术手段，如身份验证、访问令牌等，对终端访问进行多层次的控制。

3. 时效性原则：用户的访问权限应根据实际需要进行时效性管理，及时撤销过期或不再需要的权限。

三、终端访问控制方案的实施方法在实施终端访问控制方案时，可以采用以下方法：1. 身份验证：采用常见的身份验证方式，如用户名密码、指纹识别、双因素认证等，确保用户身份的真实性和合法性。

2. 访问令牌：通过访问令牌实现终端访问的授权管理，可以根据用户的身份和权限进行精确的控制。

3. 定期密码更换：要求用户定期更换密码，避免密码长期被滥用，增加密码破解的难度。

4. 安全审计：记录和分析终端访问行为，及时发现和处理潜在的安全威胁。

终端安全管理系统在原有EDR平台授权的基础上，对终端授权数量进行扩容。

基于A1智能分析引擎+行为检测机制为核心构建终端主动防御能力。

通过灵活多样的处置方式、微隔离等自研技术达到快速响应的效果，本项目应能在运维、管理、技术支持、巡检等方面提供优质服务，运维方便，在服务期内提供不少于每半年一次的上门巡检服务，同时提供高效、安全、便捷的技术响应服务。

（二）需满足的质量、安全、技术规格、物理特性等要求二、项目其他要求（一）网络信息安全要求11认证授权：保证用户的合法性和用户使用信息资源的权利，避免内部敏感信息泄露和服务所提供的信息资源被非法访问，造成严重的安全事故。

12.信息保密：充分利用密码技术，对于需要保密的信息，采用密码技术进行加解密处理，防止信息的非授权泄露，确保涉密信息在产生、存储、传递和处理过程中的保密。

1.3.数据完整性：建立数据完整性检验机制，保证收发双方数据的一致性,防止信息被非授权修改。

14.审计：记录应用运维、管理及运行日志，对事件进行分析，并能提供预警信息。

1. 5.数据备份；利用数据库的备份功能将建设的平台和系统数据备份到指定的服务器或存储系统上。

16.要求投标人从物理安全、网络安全、系统安全、应用软件安全、用户安全、数据安全等几个方面提出配套的安全体系完善方案，以便防范安全风险，网络安全要求达到网络安全等级保护2.O或以上要求并提供相关证明文件或承诺上线符合网络安全等级保护2.O的要求。

（二）准入要求2.1.系统准入规范：项目系统部署应遵循学校信息化建设项目和网络安全相关制度或规范要求，对学校网络服务、云计算资源服务、域名服务等都应落实专人负责，定期巡检。

2. 2.部署运维：部署在学校内私有云环境，投标人有责任和义务配合相关业务完成私有云环境申请，负责规范部署系统所在操作系统和应用、数据库等环境。

部署在公有云环境，投标人有责任和义务配合相关业务完成公有云环境申请,负责部署系统所在操作系统和应用、数据库等环境。

目录第一章系统概述 (1)第二章体系结构和运行环境 (3)2.1系统体系结构 (3)2.2推荐硬件需求 (4)2.3推荐软件需求 (4)第三章系统功能 (6)3.1终端安全管理 (8)3.1.1 终端健康检查 (8)3.1.2 安全策略管理 (8)3.1.3 用户身份认证 (8)3.1.4 网络进程管理 (9)3.1.5 防病毒软件监测 (9)3.1.6 补丁分发管理 (10)3.1.7文件安全删除 (10)3.2终端运维管理 (11)3.2.1软件分发管理 (11)3.2.2 软硬件资产管理 (11)3.2.3 系统运行状况监控 (12)3.2.4 远程管理 (13)3.3用户行为管理 (14)3.3.1 网络行为管理 (14)3.3.2 非法外联控制 (14)3.3.3 存储介质管理 (14)3.3.4 打印机管理 (15)3.3.5 外设接口管理 (15)3.4数据安全管理 (16)3.4.1 我的加密文件夹 (16)3.4.2 硬盘保护区 (16)3.4.3 文件安全分发 (16)3.4.4 安全文档管理 (16)3.4.5可信移动存储介质管理 (17)3.4.6 基于密级标识的文档安全管理 (18)3.5终端接入管理 (19)3.5.1终端接入认证 (19)3.5.2 内网安全扫描 (19)3.6系统管理与审计 (19)3.6.1 组织结构管理 (19)3.6.2 统计审计分析 (20)3.6.3分级报警管理 (20)3.6.4 响应与知识库管理 (20)3.6.5 服务器数据存储空间管理 (20)3.6.6 系统升级管理 (20)3.6.7 B/S管理功能支持 (21)3.6.7系统参数设置 (21)3.7文档外发管理 (21)3.7.1外发包的制作方式 (21)3.7.2 外发包的使用方式 (22)3.7.3 外发包的权限控制 (22)3.7.4日志信息的查看 (23)第四章系统特点 (24)4.1全面的终端防护能力 (24)4.2分权分级的管理模式 (24)4.3方便灵活的安全策略 (24)4.4终端安全风险量化管理 (24)4.5周全详细的系统报表 (25)4.6丰富的应急响应知识库 (25)4.7完善的插件式系统架构 (25)4.8方便快捷的安装、卸载和升级 (25)4.9多级部署支持 (26)附件一：名词解释 (27)第一章系统概述随着信息化安全技术的不断发展，各种内网安全管理问题逐步凸现出来。

北信源内网终端安全管理系统解决方案北京北信源软件股份有限公司目录1.前言 (4)1.1. 概述 (4)1.2. 应对策略 (5)2.终端安全防护理念 (6)2.1. 安全理念 (6)2.2. 安全体系 (7)3.终端安全管理解决方案 (9)3.1. 终端安全管理建设目标 (9)3.2. 终端安全管理方案设计原则 (9)3.3. 终端安全管理方案设计思路 (10)3.4. 终端安全管理解决方案实现 (12)3.4.1. 网络接入管理设计实现 ........................................ 错误!未定义书签。

3.4.1.1. 网络接入管理概述 ........................................ 错误!未定义书签。

3.4.1.2. 网络接入管理方案及思路............................... 错误!未定义书签。

3.4.2. 补丁及软件自动分发管理设计实现 (12)3.4.2.1. 补丁及软件自动分发管理概述 (12)3.4.2.2. 补丁及软件自动分发管理方案及思路 (12)3.4.3. 移动存储介质管理设计实现 (17)3.4.3.1. 移动存储介质管理概述 (17)3.4.3.2. 移动存储介质管理方案及思路 (18)3.4.4. 桌面终端管理设计实现 (21)3.4.4.1. 桌面终端管理概述 (21)3.4.4.2. 桌面终端管理方案及思路 (22)3.4.5. 终端安全审计设计实现 ........................................ 错误!未定义书签。

3.4.5.1. 终端安全审计概述 ........................................ 错误!未定义书签。

3.4.5.2. 终端安全审计方案及思路............................... 错误!未定义书签。

“中软统一终端安全管理系统(United Endpoint Management，简称UEM）”,以其全新的安全理念、强大的功能体系、完善的技术架构，改变了传统的内网安全管理模式，实现了主机监控与审计的完美统一.该系统采用了终端安全“一体化"的安全防护技术，整合了病毒防护监测、网络接入认证、终端健康性检查、系统身份认证、资产管理、补丁管理、运行监控和失泄密防护等等终端软件的安全功能,是终端安全的完整解决方案。

【系统功能】该系统的主要从以下几个方面保障内部安全：一．终端安全管理1．安全策略管理按照企业终端计算机安全管理规定，统一配置终端计算机的Windows安全策略,实现集中的安全策略配置管理，统一提高终端计算机用户的安全策略基线。

系统所能配置的安全策略有：帐户密码策略监视、帐户锁定策略监视、审核策略监视、共享策略监视、屏保策略监视.2．终端入网认证对接入内网的计算机进行统一的管理，未经许可的计算机不能接入内网,接入内网的计算机必须通过安全性检查才能访问内部网络资源，其主要功能为：非法用户内联控制、主机安全性检查。

3．用户身份认证身份认证是系统应用安全的起点,通过硬件USBKey和口令认证登录Windows系统用户身份，保证进入Windows系统用户身份的合法性；对登录用户权限进行合法性检查，保证用户权限的合规性。

具体功能为:基于USBKey的身份认证、登录用户权限合法性检查。

4．网络进程管理通过对网络进程的统一管理，规范计算机用户的网络行为，实现“外面的网路连接未经许可进不来，里面的网络进程未经许可出不去”.具体功能为:管理向外发起连接的网络进程、管理接收外部连入的网络进程、实时获取网络进程信息和会话连接状态。

5．防病毒软件监测通过策略设置输入防病毒软件特征，按照统一的策略监测防病毒软件使用状况,并进行统计分析形成统一的数据报表。

具体功能为：监视防病毒软件的使用状况、防病毒软件监测特征的自定义.6．补丁分发管理统一配置终端计算机的补丁管理策略,实现对系统补丁状况的扫描,自动完成补丁分发。

现有Workspace ONE UEM 和Horizon 集成当前在集成产品时的注意事项使用UEM 转储Horizon 黄金级镜像自动将Horizon 的克隆虚机注册到UEM改进UEM 和Horizon 集成议程通过常用工具和实践转储和管理设备生命周期物理虚拟通过常用工具和实践转储和管理设备生命周期虚拟WS1 UEM 支持完全克隆、专用分配（持久性）Horizon 虚拟机管理持久性克隆虚机的生命周期支持Horizon on vSphere支持Horizon Cloud on AzureOSOT 兼容性Workspace ONE Assist注意事项Horizon 黄金级镜像转储和生命周期黄金级镜像转储和维护需要第三方工具安装Intelligent Hub 并将桌面注册到Workspace ONE UEM必须在每个克隆上安装Intelligent Hub需要本地管理员权限才能安装Hub存储在客户机上的纯文本注册凭证只运行一次的注册脚本难以更新转储Horizon 黄金级镜像借助Workspace ONE UEM使用UEM 管理的专用虚拟机概述可以将Horizon 虚拟机注册到Workspace ONE UEM，然后使用UEM 转储该虚拟机，向其分发一组应用程序、配置文件等内容。

发布黄金级镜像需要先从UEM 注销虚拟机，然后才能创建克隆。

为安全起见，UEM 的默认注销行为是会删除在转储期间已分发的应用程序和其他组件。

以下将介绍的是一种变通的解决方案，它允许您在保留已安装应用程序的同时，从黄金级镜像中卸载UEM。

使用UEM 代管的专用虚拟机从您打算在其基础上创建黄金级镜像的虚拟机开始。

第1 步：创建快照第2 步：根据该快照创建磁盘第3 步：将操作系统磁盘换成您刚创建的磁盘第4 步：启动并运行脚本•此脚本将卸载UEM 并删除代管注册表项。

第5 步：发布镜像现在，您的虚拟机应该能够转换为镜像了。

注意：此解决方案假定虚拟机已注册到UEM，并且所有必需应用都已正确安装。

终端设备管理平台解决方案终端设备管理平台解决方案是为了帮助企业有效地管理和维护其终端设备而设计的。

该解决方案提供了一套完整的工具和功能，用于远程监控、配置、维修和更新终端设备，以提高效率和降低运营成本。

下面将详细介绍终端设备管理平台解决方案及其主要功能。

1.设备管理：该功能主要用于注册、识别和跟踪终端设备。

通过该功能，管理员可以在平台上注册终端设备，并为每个设备分配一个唯一的标识符。

管理员可以通过设备标识符来跟踪设备的位置、使用状态和操作历史。

此外，管理员还可以通过该功能对设备进行分组管理，以便更好地组织和管理设备。

2.远程监控：该功能允许管理员从任何地方远程监控终端设备的状态和操作。

管理员可以通过该功能查看设备的实时数据、运行状态和故障报告。

此外，管理员还可以远程监控设备的网络连接和电源供应，以确保设备正常工作。

3.配置管理：该功能用于远程配置和管理终端设备。

管理员可以通过该功能对设备进行软件设置、参数配置和安全策略设置等操作。

此外，管理员还可以通过该功能对设备进行批量配置和集中管理，以提高工作效率。

4.维修管理：该功能用于远程诊断和维修终端设备。

管理员可以通过该功能查看设备的故障报告和错误日志，以帮助快速定位和解决问题。

此外，管理员还可以通过该功能远程执行故障排除操作、固件更新和设备重启等操作，以减少故障处理时间和维修成本。

5.安全管理：该功能用于保护终端设备的安全性和隐私性。

管理员可以通过该功能对设备进行远程访问控制、用户权限管理和数据加密等操作，以防止未经授权的访问和数据泄露。

6.统计和报告：该功能用于生成和分析终端设备的统计数据和报告。

管理员可以通过该功能查看设备的使用情况、性能指标和故障率等数据，以帮助制定决策和优化设备管理策略。

综上所述，终端设备管理平台解决方案通过提供一套完整的工具和功能，帮助企业实现对终端设备的远程监控、配置、维修和更新，从而提高工作效率、降低运营成本，并确保设备的安全性和稳定性。