北信源法院系統(tǒng)終端安全管理系統(tǒng)解決方案XX

解決方案

北信源VRV'

信比安全曾0

北京北信源軟件股份有限公司

2015年3月

目錄

1.前言..............................................................3

1.1.Mii..............................................................................................................................3

1.2.應(yīng)計策略.................................................................4

2.終端安全防護(hù)理念.................................................5

2.1.安全理念.................................................................5

2.2.安全體系.................................................................6

3.終端安全管懂得決方案.............................................7

3.1.終端安全管理建設(shè)目標(biāo)....................................................7

3.2.終端安全管理方案設(shè)計原則................................................7

3.3.終端安全管理方案設(shè)計思路................................................7

3.4.終端安全管懂得決方案實(shí)現(xiàn)...............................................10

3.4.1.網(wǎng)絡(luò)接入管理設(shè)計實(shí)現(xiàn)..............................................10

3.4.1.1.網(wǎng)絡(luò)接入管理概述...........................................10

3.4.1.2.網(wǎng)絡(luò)接入管埋方案及思路.....................................10

3.4.2.補(bǔ)丁及軟件自動分發(fā)管理設(shè)計實(shí)現(xiàn)...................................14

3.4.2.1.補(bǔ)丁及軟件自動分發(fā)管理概述.................................14

3.4.2.2.補(bǔ)丁及軟件自動分發(fā)管理方案及思路...........................14

3.4.3.移動存儲介質(zhì)管理設(shè)計實(shí)現(xiàn).........................................18

3.4.3.1.移動存儲介質(zhì)管理概述.......................................18

3.4.3.2.移動存儲介質(zhì)管理方案及思路.................................19

3.4.4.桌面終端管理設(shè)計實(shí)現(xiàn).............................................22

3.4.4.1.桌面終端管理概述..........................................22

344.2.桌面終端管理方案及思路.....................................23

3.4.5.終端安全審計設(shè)計實(shí)現(xiàn).............................................34

3.4.5.1.終端安全審計概述..........................................34

3.4.52終端安全審計方案及思路.....................................34

4.方案總結(jié)........................................................39

1.前言

1.1.概述

隨著法院信息化的飛速進(jìn)展，業(yè)務(wù)與應(yīng)用逐步完全依靠于計算機(jī)網(wǎng)絡(luò)與計算

機(jī)終端。為進(jìn)一步提高法院信息系統(tǒng)內(nèi)部的安全管理與技術(shù)操縱水平，務(wù)必建立

一套完整的終端安全管理體系，提高終端的安全管理水平。

由于法院信息系統(tǒng)內(nèi)部缺乏必要管理手段，導(dǎo)致網(wǎng)絡(luò)管理人員對終端管理的

難度很大，難以發(fā)現(xiàn)有問題的電腦，從而計算機(jī)感染病毒，計算機(jī)被安裝木馬，

部分員工使用非法軟件，非法連接互聯(lián)網(wǎng)等情況時有發(fā)生，無法對這些電腦進(jìn)行

定位，這些問題一旦發(fā)生，往往故障排查的時間非常長。假如同時有多臺計算機(jī)

感染網(wǎng)絡(luò)病毒或者者進(jìn)行非法操作，容易導(dǎo)致網(wǎng)絡(luò)擁塞，甚至業(yè)務(wù)無法正常尸展。

建立終端安全管理體系的意義在于：解決大批量的計算機(jī)安全管理問題。具

體來說，這些問題包含：

＞實(shí)現(xiàn)對法院信息系統(tǒng)內(nèi)部所有的終端計算機(jī)信息進(jìn)行匯總，包含基本信息、

審計信息、報警信息等，批量管理終端計算機(jī)并提高安全性、降低日常保護(hù)

工作量；

＞實(shí)現(xiàn)對法院信息系統(tǒng)內(nèi)部所有的終端計算機(jī)的準(zhǔn)入操縱，防止外來電腦或者

違規(guī)的電腦接入法院信息系統(tǒng)內(nèi)部網(wǎng)絡(luò)中；

＞實(shí)現(xiàn)對法院信息系統(tǒng)內(nèi)部所有的終端計算機(jī)進(jìn)行補(bǔ)丁的自動下載、安裝與匯

總，最大程度減少病毒、木馬攻擊存在漏洞的計算機(jī)而導(dǎo)致的安全風(fēng)險；

＞實(shí)現(xiàn)對法院信息系統(tǒng)內(nèi)部所有的移動存儲設(shè)備的統(tǒng)一管理，防止部分人員

通過USB設(shè)備將法院信息系統(tǒng)大量的機(jī)密文件傳播出去，同時也極大減少了

病毒、木馬通過USB設(shè)備在網(wǎng)絡(luò)中傳播等情況的發(fā)生；

＞實(shí)現(xiàn)對法院信息系統(tǒng)內(nèi)部所有的終端計算機(jī)進(jìn)行終端安全管理與分析，包含

第一時間禁止非法外聯(lián)行為的發(fā)生，實(shí)時監(jiān)控特殊流量，檢測非法軟件，禁

2.終端安全防護(hù)理念

2.1.安全理念

針對目前法院信息系統(tǒng)網(wǎng)絡(luò)中終端計算機(jī)面臨的各類安全問題，作為終端安

全管理市場的領(lǐng)導(dǎo)者，北信源公司特推出了面向網(wǎng)絡(luò)空間的VRVSpecSEC終端

安全管理體系。

VRVSpecSEC終端安全管理體系以APPDR模型為根據(jù)，遵循國家與行業(yè)等

級保護(hù)，基于安全工程的思想，以特殊的終端安全配置策略為核心，以終端安全

風(fēng)險測試與評估為根據(jù)，實(shí)現(xiàn)組件化可動態(tài)組合配置的終端安全管理。其核心理

念如下圖所示：

VRVSpecSEC終端安全管理體系核心理念

?安全產(chǎn)品法規(guī)符合性開發(fā)(Specification-basedProductsDevelopment)

?策略引導(dǎo)的終端安全配置(Policy-basedConfigureManagement)

?評估驅(qū)動的終端安全管理(Evaluation-drivenSecurityManagement)

?組件化終端安全管理體系(Component-basedPlug-in/outSecurity

Architecture)

2.2.安全體系

北信源VRVSpecSEC體系覆蓋終端的資產(chǎn)安全管理、終端數(shù)據(jù)安全管理、

終端行為安全管理、終端服務(wù)安全管理等多個方面，涉及管理計算機(jī)本身、計算

機(jī)應(yīng)用、計算機(jī)操作者、計算機(jī)使用、法院信息系統(tǒng)管理規(guī)范等多個方面，形成

全方位、多層次、立體化終端安全管理。

本解決方案正是基于上述核心理念與安全體系的基礎(chǔ)上而組建的基于終端

各方面安全管理與操縱的一體化解決方案。

3.終端安全管懂得決方案

3.1.終端安全管理建設(shè)目標(biāo)

(1)當(dāng)終端接入時要落實(shí)安全保護(hù)技術(shù)措施，保隙內(nèi)部網(wǎng)絡(luò)的運(yùn)行安全與信

息安全；

(2)對己接入內(nèi)部網(wǎng)絡(luò)的終端計算機(jī)，要做好用戶權(quán)限設(shè)定工作，不能開放

其規(guī)定以外的操作權(quán)限。

(3)發(fā)現(xiàn)有違規(guī)情形的，應(yīng)當(dāng)保留有關(guān)原始記錄，并可直接熟悉到該違規(guī)信

息及違規(guī)方式等。

(4)網(wǎng)絡(luò)管理人員能夠利用該管理方式，便利的管理內(nèi)網(wǎng)終端計算機(jī)，并能

夠利用該種方式對終端計算機(jī)現(xiàn)狀一目了然。

3.2.終端安全管理方案設(shè)計原則

方案設(shè)計遵循如下原則：

(1)安全性原則：對性能影響小，與其它業(yè)務(wù)系統(tǒng)無沖突。

(2)可靠性原則：在反復(fù)操作與長期實(shí)踐之后依然能夠保持高度的穩(wěn)固性。

(3)可擴(kuò)展性原則：能夠符合IT進(jìn)展方向，并隨業(yè)務(wù)增長的同時保持高度的

可擴(kuò)充性。

(4)易用性原則：亮供簡單、友好界而，能夠進(jìn)行直觀的操作，形成豐富的

圖形界面與報表。

(5)兼容性原則：能夠與主流廠商的系統(tǒng)、軟件、主機(jī)設(shè)備、安全設(shè)備、網(wǎng)

絡(luò)設(shè)備保持高度的兼容性。

3.3.終端安全管理方案設(shè)計思路

1、遵循IT服務(wù)標(biāo)準(zhǔn)

隨著信息技術(shù)的進(jìn)展與對信息技術(shù)依靠程度的提高，IT已成為許多業(yè)務(wù)流程

必不可少的部分，甚至是某些'業(yè)務(wù)流程賴以運(yùn)作的基礎(chǔ)。IT部門要承擔(dān)更大的

責(zé)任，即提高業(yè)務(wù)運(yùn)作效率，降低業(yè)務(wù)流程的運(yùn)作成本，遵循ITIL標(biāo)準(zhǔn)，協(xié)調(diào)

IT服務(wù)部門內(nèi)部運(yùn)作，改善IT部門與業(yè)務(wù)部門之間的溝通，幫助法院信息系統(tǒng)

對信息化系統(tǒng)的規(guī)劃、研發(fā)、實(shí)施與運(yùn)營進(jìn)行有效管理的方法。1T服務(wù)管理將

流程、人與技術(shù)三方面整合在一起來解決IT服務(wù)管理問題。并結(jié)合法院信息系

統(tǒng)內(nèi)部組織結(jié)構(gòu)、IT資源與管理流程等，對業(yè)務(wù)需求進(jìn)行整體管理與服務(wù)，解

決方案設(shè)計要使用IT服務(wù)管理的理念，按照ITIL最佳實(shí)踐標(biāo)準(zhǔn)來設(shè)計。

2、遵循ISO27001標(biāo)準(zhǔn)

IS027001作為信息系統(tǒng)安全管理標(biāo)準(zhǔn)，已經(jīng)成為全球公認(rèn)的安全管理最佳實(shí)

踐，成為全國大型機(jī)構(gòu)在設(shè)計、管理信息系統(tǒng)安全時的實(shí)踐指南.其中除了安全

思路之外，給出了許多非常細(xì)致的安全管理指導(dǎo)規(guī)范。在IS027001中有一個非

常有名的安全模型，稱之PDCA安全模型。PDCA安全模型的核心思想是：信息系

統(tǒng)的安全需求是不斷變化的，要使得信息系統(tǒng)的安全能夠滿足業(yè)務(wù)需要，務(wù)必建

立動態(tài)的“計劃、設(shè)計與部署、監(jiān)控評估、改進(jìn)提高“管理方法，持續(xù)不斷地改

進(jìn)信息系統(tǒng)的安全性。

北信源認(rèn)為，終端安全管理，也將是一個持續(xù)、動態(tài)、不斷改進(jìn)的過程，北

信源將提供統(tǒng)一的、集成化的平臺與工具，幫助對其終端進(jìn)行統(tǒng)一的安全操縱、

安全評估、安全審計及安全改進(jìn)策略部署。

3、遵循VRVSpecSEC安全理念

根據(jù)業(yè)界最佳安全實(shí)踐與行業(yè)信息安全管理體系的建設(shè)流程，結(jié)合北信源

VRVSpecSEC核心安全理念，本方案的總體架構(gòu)關(guān)分為“網(wǎng)絡(luò)接入管理、補(bǔ)丁及

軟件分發(fā)管理、移動存儲介質(zhì)管理、桌面終端管理、終端安全審計”等安全管理

組件，并通過統(tǒng)一、聯(lián)動的安全管控與審計平臺實(shí)現(xiàn)對不一致層次架構(gòu)的集中策

略配置與管理，完成對網(wǎng)絡(luò)終端的分級部署、統(tǒng)一管控，最終實(shí)現(xiàn)對內(nèi)網(wǎng)終端全

方位的操縱管理，形成完整的終端安全管理體系。

北信源統(tǒng)一管控與策略平臺(EDPServer)

方案設(shè)計思路

3.4.終端安全管懂得決方案實(shí)現(xiàn)

本方案通過網(wǎng)絡(luò)接入操縱管理、補(bǔ)丁及軟件分發(fā)管理、移動存儲介質(zhì)管理、

桌面終端安全管理，與終端安全審計管理等五大部分，并由集中統(tǒng)一的管控與策

略平臺，完成對上述安全管埋組件的統(tǒng)一策略配置與卜發(fā)、集中管理與審計，最

終形成聯(lián)動化的、集成化的、完整的終端安全體系建設(shè)。

3.4.1.網(wǎng)絡(luò)接入管理設(shè)計實(shí)現(xiàn)

3.4.1.1.網(wǎng)絡(luò)接入管理概述

通過網(wǎng)絡(luò)接入操縱能夠完成對未知終端、授權(quán)終端的安全準(zhǔn)入管理與操縱。

該系統(tǒng)能夠完成基于802.lx協(xié)議的準(zhǔn)入操縱技術(shù)的安全準(zhǔn)入管理操縱，為內(nèi)網(wǎng)

終端的安全接入操縱提供了一道綠色的保護(hù)屏障。

3.4.1.2.網(wǎng)絡(luò)接入管理方案及思路

系統(tǒng)能夠確保終端電腦只有在通過認(rèn)證，即安裝終端安全管理組件，并符合

必要的安全策略的前提下才能被同意接入內(nèi)部網(wǎng)絡(luò)，否則會強(qiáng)制終端電腦跳轉(zhuǎn)到

訪客隔離區(qū)（guest區(qū)），完成認(rèn)證后還需要完成安檢，即終端管理軟件的下載與安

裝，且符合既定安全策略要求時才可準(zhǔn)許接入內(nèi)部網(wǎng)絡(luò)。具體接入流程如下：

北信

源補(bǔ)

導(dǎo)入

增一

補(bǔ)丁

丁管級聯(lián)

同步

理中

類

庫分

補(bǔ)丁

6

北信

測試

補(bǔ)丁

*L

控制

策略

源補(bǔ)

控制

分發(fā)

推拉

端

客戶

丁中

載

動態(tài)下

控制

流■

理

北信轉(zhuǎn)發(fā)代

動識別

補(bǔ)丁向

級聯(lián)

一

心

檢索

分發(fā)

源補(bǔ)補(bǔ)丁

同步

策略

丁管客戶端

）

（一級

控制

級聯(lián)

多皴

丁查詢

理中客戶補(bǔ)

心

中心

報表

圖

流程

系統(tǒng)

管理

操縱

接入

網(wǎng)絡(luò)

終端

康的

、健

法的

保合

：能確

意義

的與

的目

操縱

準(zhǔn)入

網(wǎng)絡(luò)

滿足

完全

過程

以上

。

資源

權(quán)的

被授

訪問

網(wǎng)絡(luò)

內(nèi)部

接入

的

，必要

要求

定義

合預(yù)