安全生产北信源法院系统终端安全管理系统解决方案

《安全生产北信源法院系统终端安全管理系统解决方案》由会员分享，可在线阅读，更多相关《安全生产北信源法院系统终端安全管理系统解决方案（42页珍藏版）》请在金锄头文库上搜索。

1、北信源法院系统终端安全管理系统北信源法院系统终端安全管理系统 解决方案解决方案 北京北信源软件股份有限公司北京北信源软件股份有限公司 20152015 年年 3 3 月月 内网安全管理系统设计方案 2 目目 录录 1 1 前言前言 3 1 1 概述 3 1 2 应对策略 4 2 2 终端安全防护理念终端安全防护理念 5 2 1 安全理念 5 2 2 安全体系 6 3 3 终端安全管理解决方案终端安全管理解决方案 7 3 1 终端安全管理建设目标 7 3 2 终端安全管理方案设计原则 7 3 3 终端安全管理方案设计思路 8 3 4 终端安全管理解决方案实现 10 3 4 1 网络接入管理设计实

2、现 10 3 4 1 1 网络接入管理概述 10 3 4 1 2 网络接入管理方案及思路 10 3 4 2 补丁及软件自动分发管理设计实现 15 3 4 2 1 补丁及软件自动分发管理概述 15 3 4 2 2 补丁及软件自动分发管理方案及思路 15 3 4 3 移动存储介质管理设计实现 19 3 4 3 1 移动存储介质管理概述 19 3 4 3 2 移动存储介质管理方案及思路 20 3 4 4 桌面终端管理设计实现 23 3 4 4 1 桌面终端管理概述 23 3 4 4 2 桌面终端管理方案及思路 24 3 4 5 终端安全审计设计实现 36 3 4 5 1 终端安全审计概述 36 3

3、4 5 2 终端安全审计方案及思路 36 4 4 方案总结方案总结 42 内网安全管理系统设计方案 3 1 1 前言前言 1 1 概述概述 随着法院信息化的飞速发展 业务和应用逐渐完全依赖于计算机网络和计 算机终端 为进一步提高法院信息系统内部的安全管理与技术控制水平 必须 建立一套完整的终端安全管理体系 提高终端的安全管理水平 由于法院信息系统内部缺乏必要管理手段 导致网络管理人员对终端管理 的难度很大 难以发现有问题的电脑 从而计算机感染病毒 计算机被安装木 马 部分员工使用非法软件 非法连接互联网等情况时有发生 无法对这些电 脑进行定位 这些问题一旦发生 往往故障排查的时间非常长 如果同

4、时有多 台计算机感染网络病毒或者进行非法操作 容易导致网络拥塞 甚至业务无法 正常开展 建立终端安全管理体系的意义在于 解决大批量的计算机安全管理问题 具体来说 这些问题包括 实现对法院信息系统内部所有的终端计算机信息进行汇总 包括基本信息 审计信息 报警信息等 批量管理终端计算机并提高安全性 降低日常维 护工作量 实现对法院信息系统内部所有的终端计算机的准入控制 防止外来电脑或 违规的电脑接入法院信息系统内部网络中 实现对法院信息系统内部所有的终端计算机进行补丁的自动下载 安装与 汇总 最大程度减少病毒 木马攻击存在漏洞的计算机而导致的安全风险 内网安全管理系统设计方案 4 实现对 法院信息

5、系统内部所有的移动存储设备的统一管理 防止部分人员 通过 USB 设备将法院信息系统大量的机密文件传播出去 同时也极大减少 了病毒 木马通过 USB 设备在网络中传播等情况的发生 实现对法院信息系统内部所有的终端计算机进行终端安全管理与分析 包 括第一时间禁止非法外联行为的发生 实时监控异常流量 检测非法软件 禁用部分硬件设备等 将计算机与人结合起来管理 防止非法操作导致发 生不必要的安全事件 1 2 应对策略应对策略 从网络空间应用接入方式来来说 网络空间应用从传统的互联网应用接入 发展到以移动 无线通信应用接入乃至移动互联网接入等多种方式 而针对网络空间安全方面的问题 北信源公司基于多年的

6、产品开发与超大 规模成功部署与应用经验基础 组建了面向网络空间的终端安全管理产品体系 该产品体系主要面向重要网络 信息系统及基础设施的失泄密检测与防范 实 现从终端 区域网到互联网的一体化检测 管理与防范 该体系从终端接入控 制 终端行为管控制 终端数据防泄密 以及终端安全审计等方面 实现了多 层次 全方位 立体化纵深失窃密检测与防范 形成了面向复杂网络空间的终 端安全管理一体化解决方案 有效地实现了网络空间下对终端计算机的安全管 理体系 内网安全管理系统设计方案 5 2 2 终端安全防护理念终端安全防护理念 2 1 安全理念安全理念 针对目前法院信息系统网络中终端计算机面临的各种安全问题 作

7、为终端 安全管理市场的领导者 北信源公司特推出了面向网络空间的 VRV SpecSEC 终端安全管理体系 VRV SpecSEC 终端安全管理体系以 APPDR 模型为依据 遵循国家和行业 等级保护 基于安全工程的思想 以独特的终端安全配置策略为核心 以终端 安全风险测试与评估为依据 实现组件化可动态组合配置的终端安全管理 其 核心理念如下图所示 VRV SpecSEC 终端安全管理体系核心理念终端安全管理体系核心理念 安全产品法规符合性开发 S Specification based Products Development 策略引导的终端安全配置 P Policy based Config

8、ure Management 评估驱动的终端安全管理 E Evaluation driven Security Management 内网安全管理系统设计方案 6 组件化终端安全管理体系 Component based Plug in out Security Architecture 2 2 安全体系安全体系 北信源 VRV SpecSEC 体系覆盖终端的资产安全管理 终端数据安全管理 终端行为安全管理 终端服务安全管理等多个方面 涉及管理计算机本身 计 算机应用 计算机操作者 计算机使用 法院信息系统管理规范等多个方面 形成全方位 多层次 立体化终端安全管理 本解决方案正是基于上述核心理念

9、和安全体系的基础上而组建的基于终端 各方面安全管理和控制的一体化解决方案 内网安全管理系统设计方案 7 3 3 终端安全管理解决方案终端安全管理解决方案 3 1 终端安全管理建设目标终端安全管理建设目标 1 当终端接入时要落实安全保护技术措施 保障内部网络的运行安全和 信息安全 2 对已接入内部网络的终端计算机 要做好用户权限设定工作 不能开 放 其规定以外的操作权限 3 发现有违规情形的 应当保留有关原始记录 并可直接了解到该违规 信息及违规方式等 4 网络管理人员能够利用该管理方式 便捷的管理内网终端计算机 并 能够利用该种方式对终端计算机现状一目了然 3 2 终端安全管理方案设计原则终端

10、安全管理方案设计原则 方案设计遵循如下原则 1 安全性原则 对性能影响小 与其它业务系统无冲突 2 可靠性原则 在反复操作与长期实践之后依然能够保持高度的稳定性 3 可扩展性原则 能够符合 IT 发展方向 并随业务增长的同时保持高度 的可扩充性 4 易用性原则 提供简单 友好界面 能够进行直观的操作 形成丰富的 图形界面与报表 5 兼容性原则 能够与主流厂商的系统 软件 主机设备 安全设备 网 络设备保持高度的兼容性 内网安全管理系统设计方案 8 3 3 终端安全管理方案设计思路终端安全管理方案设计思路 1 1 遵循 遵循 ITIT 服务标准服务标准 随着信息技术的发展以及对信息技术依赖程度的

11、提高 IT 已成为许多业务 流程必不可少的部分 甚至是某些业务流程赖以运作的基础 IT 部门要承担更 大的责任 即提高业务运作效率 降低业务流程的运作成本 遵循 ITIL 标准 协调 IT 服务部门内部运作 改善 IT 部门与业务部门之间的沟通 帮助法院信 息系统对信息化系统的规划 研发 实施和运营进行有效管理的方法 IT 服务 管理将流程 人和技术三方面整合在一起来解决 IT 服务管理问题 并结合法院 信息系统内部组织结构 IT 资源与管理流程等 对业务需求进行整体管理与服 务 解决方案设计要采用 IT 服务管理的理念 按照 ITIL 最佳实践标准来设计 2 2 遵循 遵循 ISOISO 2

12、700127001 标准标准 ISO27001 作为信息系统安全管理标准 已经成为全球公认的安全管理最佳 实践 成为全国大型机构在设计 管理信息系统安全时的实践指南 其中除了 安全思路之外 给出了许多非常细致的安全管理指导规范 在 ISO27001 中有一 个非常有名的安全模型 称为 PDCA 安全模型 PDCA 安全模型的核心思想是 信息系统的安全需求是不断变化的 要使得信息系统的安全能够满足业务需要 必须建立动态的 计划 设计和部署 监控评估 改进提高 管理方法 持续 不断地改进信息系统的安全性 北信源认为 终端安全管理 也将是一个持续 动态 不断改进的过程 北信源将提供统一的 集成化的平

13、台和工具 帮助对其终端进行统一的安全控 制 安全评估 安全审计及安全改进策略部署 3 3 遵循 遵循 VRVVRV SpecSECSpecSEC 安全理念安全理念 依据业界最佳安全实践和行业信息安全管理体系的建设流程 结合北信源 VRV SpecSEC 核心安全理念 本方案的总体架构共分为 网络接入管理 补丁 内网安全管理系统设计方案 9 及软件分发管理 移动存储介质管理 桌面终端管理 终端安全审计 等安全 管理组件 并通过统一 联动的安全管控与审计平台实现对不同层次架构的集 中策略配置与管理 完成对网络终端的分级部署 统一管控 最终实现对内网 终端全方位的控制管理 形成完整的终端安全管理体系

14、 方案设计思路方案设计思路 内网安全管理系统设计方案 10 3 4 终端安全管理解决方案实现终端安全管理解决方案实现 本方案通过网络接入控制管理 补丁及软件分发管理 移动存储介质管理 桌面终端安全管理 以及终端安全审计管理等五大部分 并由集中统一的管控 和策略平台 完成对上述安全管理组件的统一策略配置与下发 集中管理与审 计 最终形成联动化的 集成化的 完整的终端安全体系建设 3 4 1 网络接入管理设计实现网络接入管理设计实现 3 4 1 1 网络接入管理概述网络接入管理概述 通过网络接入控制能够完成对未知终端 授权终端的安全准入管理与控制 该系统能够完成基于 802 1x 协议的准入控制技

15、术的安全准入管理控制 为内网 终端的安全接入控制提供了一道绿色的保护屏障 3 4 1 2 网络接入管理方案及思路网络接入管理方案及思路 系统能够确保终端电脑只有在通过认证 即安装终端安全管理组件 并符 合必要的安全策略的前提下才能被允许接入内部网络 否则会强制终端电脑跳 转到访客隔离区 guest 区 完成认证后还需要完成安检 即终端管理软件的下 载和安装 且符合既定安全策略要求时才可准许接入内部网络 具体接入流程 如下 内网安全管理系统设计方案 11 终端认证安检工作区 非法用户 进入guest区 修复区 安检合格 不合格 修 复 完 成 认证未通过 认证通过 网络接入控制管理系统流程图网络

16、接入控制管理系统流程图 以上过程完全满足网络准入控制的目的和意义 能确保合法的 健康的终 端接入内部网络访问被授权的资源 通过网络准入控制技术 确保接入网络的电脑终端符合预定义要求 必要 的安全策略功能包括 1 1 802 1x802 1x 接入认证管理接入认证管理 802 1x 接入认证管理具有对接入策略和安检策略整体的配置和管理功能 接入是通过用户名密码的认证方式 对终端接入网络进行限制 对认证成功的 终端进行安全健康检测 内网安全管理系统设计方案 12 802 1X 接入认证接入认证 2 2 未注册终端接入访问区域限制 未注册终端接入访问区域限制 vlanvlan 限制 限制 未注册终端会因认证不成功进入 guest Vlan 在 guest Vlan 中终端只可以 与服务器通信只有在终端注册成功后方可以通过认证 3 3 未安装杀毒软件等必备软件自动安装下载管理 未安装杀毒软件等必备软件自动安装下载管理 针对终端计算机安装及运行杀毒软件情况 管理员可以设置安全策略检查 终端用户是否正常启动 运行防病毒软件 并且强制检查防病毒软件的版本和 病毒库版本 确保所有终端版本必须满足安检的