北信源法院系统终端安全管理系统解决方案2015.docVIP

北信源法院系统终端安全管理系统 解决方案 北京北信源软件股份有限公司 2015年3月 目 录 1. 前言 3 1.1. 概述 3 1.2. 应对策略 4 2. 终端安全防护理念 5 2.1. 安全理念 5 2.2. 安全体系 6 3. 终端安全管理解决方案 7 3.1. 终端安全管理建设目标 7 3.2. 终端安全管理方案设计原则 7 3.3. 终端安全管理方案设计思路 8 3.4. 终端安全管理解决方案实现 10 3.4.1. 网络接入管理设计实现 10 3.4.1.1. 网络接入管理概述 10 3.4.1.2. 网络接入管理方案及思路 10 3.4.2. 补丁及软件自动分发管理设计实现 15 3.4.2.1. 补丁及软件自动分发管理概述 15 3.4.2.2. 补丁及软件自动分发管理方案及思路 15 3.4.3. 移动存储介质管理设计实现 19 3.4.3.1. 移动存储介质管理概述 19 3.4.3.2. 移动存储介质管理方案及思路 20 3.4.4. 桌面终端管理设计实现 23 3.4.4.1. 桌面终端管理概述 23 3.4.4.2. 桌面终端管理方案及思路 24 3.4.5. 终端安全审计设计实现 36 3.4.5.1. 终端安全审计概述 36 3.4.5.2. 终端安全审计方案及思路 36 4. 方案总结 42  前言 概述 随着法院信息化的飞速发展，业务和应用逐渐完全依赖于计算机网络和计算机终端。为进一步提高法院信息系统内部的安全管理与技术控制水平，必须建立一套完整的终端安全管理体系，提高终端的安全管理水平。 由于法院信息系统内部缺乏必要管理手段，导致网络管理人员对终端管理的难度很大，难以发现有问题的电脑，从而计算机感染病毒，计算机被安装木马，部分员工使用非法软件，非法连接互联网等情况时有发生，无法对这些电脑进行定位，这些问题一旦发生，往往故障排查的时间非常长。如果同时有多台计算机感染网络病毒或者进行非法操作，容易导致网络拥塞，甚至业务无法正常开展。 建立终端安全管理体系的意义在于：解决大批量的计算机安全管理问题。具体来说，这些问题包括： 实现对法院信息系统内部所有的计算机提高安全性降低日常维护工作量 实现对内部所有的计算机，防止外来电脑或的电脑接入中； 所有的计算机 实现对法院信息系统内部所有 实现对法院信息系统内部所有的计算机 应对策略 从网络空间应用接入方式来来说，网络空间应用从传统的互联网应用接入发展到以移动/无线通信应用接入乃至移动互联网接入等多种方式。针对网络空间安全方面的问题，北信源基于多年的产品开发与超大规模成功部署与应用经验产品面向重要网络、信息系统及基础设施的失泄密检测与防范，实现从终端、区域网到互联网的一体化检测与防范。，实现多层次、全方位、立体化纵深失窃密检测与防范，网络空间管理。 终端安全防护理念 安全理念 针对目前法院信息系统网络中终端计算机面临的各种安全问题，作为终端安全管理市场的领导者，北信源公司特推出了面向网络空间的VRV SpecSEC终端安全管理体系 VRV SpecSEC终端安全管理体系以APPDR模型为依据，遵循国家和行业等级保护，基于安全工程的思想，以独特的终端安全配置策略为核心，以终端安全风险测试与评估为依据，实现组件化可动态组合配置的终端安全管理。其核心理念如下图所示： VRV SpecSEC终端安全管理理念安全产品法规符合性开发（Specification-based Products Development） 策略引导的终端安全配置（Policy-based Configure Management） 评估驱动的终端安全管理（Evaluation-driven Security Management） 组件化终端安全管理体系（Component-based Plug-in/out Security Architecture ） 安全体系 北信源VRV SpecSEC体系覆盖终端资产安全管理、终端数据安全管理、终端行为安全管理、终端服务安全管理等多个方面，涉及管理计算机本身、计算机应用、计算机操作者、计算机使用信息系统管理规范等多个方面全方位、多层次、立体化终端安全管理。 终端安全管理解决方案 终端安全管理建设目标 (1) 当终端接入时要落实安全保护技术措施，保障网络的运行安全和信息安全； 对接入的，要做好用户权限设定工作，不能开放 其操作权限。 发现有违情形的，应当保留有关原始记录，并。 终端安全管理方案设计思路 1、遵循IT服务标准 随着信息技术的发展以及对信息技术依赖程度的提高，IT已成为许多业务流程必不可少的部分，甚至是某些业务流程赖以运作的基础。IT部门要承担更大的责任，即提高业务运作效率，降低