微软政府桌面安全管理解决方案.doc

微软政府桌面安全管理解决方案 微软（中国）有限公司 2005年2月21日 目 录 1 综述 4 1.1 背景 4 1.2 安全需求 4 1.3 设计原则 5 1.3.1 可管理性 5 1.3.2 性能与支持能力 5 1.3.3 系统整合与互用性 6 1.3.4 参照标准和指导方针 6 2 安全体系架构建设 8 2.1 安全体系架构定义 8 2.2 建立层次化安全防御体系 8 2.3 安全体系架构建设要素 8 2.3.1 人-建立安全小组 8 2.3.2 过程-风险评估 10 2.3.3 优化与完善 15 2.4 主机层防御-桌面安全管理 15 2.4.1 桌面安全管理需求分析 15 2.4.2 微软桌面安全管理系统 16 3 桌面安全管理系统详述 18 3.1 产品结构 18 3.2 软硬件资产收集 19 3.3 软硬件资产报表 19 3.4 补丁管理 20 3.5 应用软件分发 22 3.6 远程访问 23 3.7 AD目录服务集成 24 3.8 高级管理特点 24 4 方案优势 26 4.1 产品优势 26 4.2 技术优势 26 4.3 实施优势 27 5 总结 28 综述 实现确保电子政务信息系统的安全稳定运行，建立电子政务信息系统安全体系，更好的为我国“以信息化带动工业化”的基本国策，为国民生产发展服务的目标。 背景 电子政务是指政府运用现代电脑和网络技术，将其承担的公共管理和服务职能转移到网络上进行，同时实现政府组织结构和工作流程的重组优化，超越时间、空间和部门分隔的制约，向社会提供高效优质、规范透明和全方位的管理与服务。电子政务的实施为政府和组织承担的公共管理和服务实现电子化、网络化和透明、高效开辟了广阔的空间。然而电子政务信息系统的安全问题也变得更加突出、严重影响电子政务信息系统功能的发挥，甚至对政府部门和社会公众产生危害，严重的还将对国家信息安全乃至国家安全产生威胁认识电子政务信息系统安全的威胁，把握系统安全的影响因素和要求，建设系统安全保障体系，对保证电子政务的有效运行具有重要意义电子政务信息系统通过政务信息的共享、交流、协作，使电子政务的管理活动成为电子政务的增值过程：通过该系统实现政府在政治、经济、社会、生活等领域的管理服务职能；实现政府决策信息的发布与存取，支持决策活动：实现办公业务信息交流和交互式处理，支持政务执行活动，以完成政务活动的全过程。然而，电子政务信息系统功能的发挥，是建立在系统安全、有效的基础上的，电子政务信息系统的安全是实现系统功能的关键所在 机密性：需要保护，不能向非授权用户公开的信息。机密性可以确保只有授权用户才可以访问这些信息，其具体的实现方法是在数据处理的每个阶段上强制执行必要的安全性级别，以防止信息的未授权公开。在数据处理的各个阶段（驻留在系统中时、在传输过程中驻留在网络间层上时，以及到达目的地后）都应该维护数据机密的一致性级别。 完整性：必须进行保护，以使其免受未授权修改、意外修改或是无意识修改的信息，如调查统计信息、经济指示器和财务处理数据。数据完整性保护的实现方法是对信息的准确性和完全性以及数据的处理方法进行保护，以使其免受未授权修改的破坏。 可用性：一些特定服务或具有一些特定信息，这些服务或信息都必须及时提供才能满足关键任务的要求或避免造成实际损失。可用性保证网络和信息系统随时可用，运行过程中不出现故障，若遇意外打击能够尽量减少损失并尽快恢复正常 设计原则 实现成功的安全体系架构，在进行设计时就需要考虑到规划、实施、未来发展等方面的关键内容，因此，在设计解决方案时还需要考虑以下内容： “可管理性”，“性能”，“支持能力”，“整合”，“互操作性”，“标准和指导方针”。 可管理性 安全体系结构的可管理性是它的基本定义特征。在没有监视机制的情况下，很难对不可管理的安全体系结构进行保护，还可能在不注意时使潜在的安全性威胁通过。如果没有诊断手段，要解决安全性问题会更加困难。 基于角色的管理-安全角色群集的存在可以确保企业数据的机密性、完整性和可用性。 系统管理-对安全管理人员而言，集中管理安全性的方法既简单又直接，因为它将所有风险都集中到了一块儿。 性能与支持能力 安全体系结构的性能主要取决于实际环境中实施的技术与限制。从某一方面说，安全是要牺牲一部分性能的，一个系统不能为了达到最高安全而导致不可用，例如把应用系统的网络连接断掉，锁在机房里，所以人员不可访问；也不能把它放置在公共区域，甚至没有口令保护，所有人可以做任何操作。安全需要掌握安全与性能的平衡点。另外，安全体系架构的建设应考虑到目前系统的支持能力，以及未来一段时间的业务发展所带来新的负载压力，提供良好的扩展能力。 系统整合与互用性 安全体系架构与其支持的网络和软件系统体系结构，可能完全不同，也可能十分统一。安