1、實(shí)用文檔北信源法院系統(tǒng)終端安全管理系統(tǒng)解決方案他信樨VRV北京北信源軟件股份有限公司2015年3月標(biāo)準(zhǔn)北信部IVRV內(nèi)網(wǎng)安全管理系統(tǒng)設(shè)計(jì)方案目錄1 .前言31.1. 概述31.2. 應(yīng)對(duì)策略42 .終端安全防護(hù)理念52.1. 安全理念52.2. 安全體系63 .終端安全管理解決方案73.1. 終端安全管理建設(shè)目標(biāo)73.2. 終端安全管理方案設(shè)計(jì)原則73.3. 終端安全管理方案設(shè)計(jì)思路83.4. 終端安全管理解決方案實(shí)現(xiàn)103.4.1. 網(wǎng)絡(luò)接入管理設(shè)計(jì)實(shí)現(xiàn). 網(wǎng)絡(luò)接入管理概述. 網(wǎng)絡(luò)接入管理方案及思路103.4.2. 補(bǔ)丁及軟件自動(dòng)分發(fā)管理設(shè)計(jì)實(shí)現(xiàn)153.4

2、.2.1. 補(bǔ)丁及軟件自動(dòng)分發(fā)管理概述. 補(bǔ)丁及軟件自動(dòng)分發(fā)管理方案及思路153.4.3. 移動(dòng)存儲(chǔ)介質(zhì)管理設(shè)計(jì)實(shí)現(xiàn). 移動(dòng)存儲(chǔ)介質(zhì)管理概述. 移動(dòng)存儲(chǔ)介質(zhì)管理方案及思路203.4.4. 桌面終端管理設(shè)計(jì)實(shí)現(xiàn). 桌面終端管理概述. 桌面終端管理方案及思路243.4.5. 終端安全審計(jì)設(shè)計(jì)實(shí)現(xiàn)3. 終端安全審計(jì)概述3. 終端安全審計(jì)方案及思路364 .方案總結(jié)42北聿匕憎牌裳幃部緋有附介品BEUINGVRVSCFTWAFtECO.LTO.*如%比京市中工M史每單其時(shí)44拄*蹙

3、用紅唐-D1O42«4O4eK«7KM.100091_|VrVKRQ1087144484WWWCK內(nèi)網(wǎng)安全管理系統(tǒng)設(shè)計(jì)方案北信部IVRV1.前言1.1, 概述隨著法院信息化的飛速發(fā)展，業(yè)務(wù)和應(yīng)用逐漸完全依賴于計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)終端。為進(jìn)一步提高法院信息系統(tǒng)內(nèi)部的安全管理與技術(shù)控制水平，必須建立一套完整的終端安全管理體系，提高終端的安全管理水平。由于法院信息系統(tǒng)內(nèi)部缺乏必要管理手段，導(dǎo)致網(wǎng)絡(luò)管理人員對(duì)終端管理的難度很大，難以發(fā)現(xiàn)有問題的電腦，從而計(jì)算機(jī)感染病毒，計(jì)算機(jī)被安裝木馬，部分員工使用非法軟件，非法連接互聯(lián)網(wǎng)等情況時(shí)有發(fā)生，無法對(duì)這些電腦進(jìn)行定位，這些問題一旦發(fā)生，往往

4、故障排查的時(shí)間非常長(zhǎng)。如果同時(shí)有多臺(tái)計(jì)算機(jī)感染網(wǎng)絡(luò)病毒或者進(jìn)行非法操作，容易導(dǎo)致網(wǎng)絡(luò)擁塞，甚至業(yè)務(wù)無法正常開展。建立終端安全管理體系的意義在于：解決大批量的計(jì)算機(jī)安全管理問題。具體來說，這些問題包括：?實(shí)現(xiàn)對(duì)法院信息系統(tǒng)內(nèi)部所有的終端計(jì)算機(jī)信息進(jìn)行匯總，包括基本信息、審計(jì)信息、報(bào)警信息等，批量管理終端計(jì)算機(jī)并提高安全性、降低日常維護(hù)工作量；?實(shí)現(xiàn)對(duì)法院信息系統(tǒng)內(nèi)部所有的終端計(jì)算機(jī)的準(zhǔn)入控制，防止外來電腦或違規(guī)的電腦接入法院信息系統(tǒng)內(nèi)部網(wǎng)絡(luò)中；?實(shí)現(xiàn)對(duì)法院信息系統(tǒng)內(nèi)部所有的終端計(jì)算機(jī)進(jìn)行補(bǔ)丁的自動(dòng)下載、安裝與匯總，最大程度減少病毒、木馬攻擊存在漏洞的計(jì)算機(jī)而導(dǎo)致的安全風(fēng)險(xiǎn)；?實(shí)現(xiàn)對(duì)法院信息系統(tǒng)內(nèi)

5、部所有的移動(dòng)存儲(chǔ)設(shè)備的統(tǒng)一管理，防止部分人員通過US暇備將法院信息系統(tǒng)大量的機(jī)密文件傳播出去，同時(shí)也極大減少了病毒、木馬通過us暇備在網(wǎng)絡(luò)中傳播等情況的發(fā)生；?實(shí)現(xiàn)對(duì)法院信息系統(tǒng)內(nèi)部所有的終端計(jì)算機(jī)進(jìn)行終端安全管理與分析，包括比塞北慎曳苴警卻縛KW（健屈HEUIMGVRVSCFTWAFtECO-,LTD.九京需中工M史同單夏小出景惠如祖It$D1O421MMBM6fl7VM.IKOfli才七后V71VffiWQT卻WMWWWVRV.COMU4，!3內(nèi)網(wǎng)安全管理系統(tǒng)設(shè)計(jì)方案北信部IVRV第一時(shí)間禁止非法外聯(lián)行為的發(fā)生，實(shí)時(shí)監(jiān)控異常流量，檢測(cè)非法軟件，禁用部分硬件設(shè)備等，將計(jì)算機(jī)與人結(jié)合起來管理，

6、防止非法操作導(dǎo)致發(fā)生不必要的安全事件。1.2, 應(yīng)對(duì)策略從網(wǎng)絡(luò)空間應(yīng)用接入方式來來說，網(wǎng)絡(luò)空間應(yīng)用從傳統(tǒng)的互聯(lián)網(wǎng)應(yīng)用接入發(fā)展到以移動(dòng)/無線通信應(yīng)用接入乃至移動(dòng)互聯(lián)網(wǎng)接入等多種方式。tLBVW而針對(duì)網(wǎng)絡(luò)空間安全方面的問題，北信源公司基于多年的產(chǎn)品開發(fā)與超大規(guī)模成功部署與應(yīng)用經(jīng)驗(yàn)基礎(chǔ)，組建了面向網(wǎng)絡(luò)空間的終端安全管理產(chǎn)品體系。該產(chǎn)品體系主要面向重要網(wǎng)絡(luò)、信息系統(tǒng)及基礎(chǔ)設(shè)施的失泄密檢測(cè)與防范，實(shí)現(xiàn)從終端、區(qū)域網(wǎng)到互聯(lián)網(wǎng)的一體化檢測(cè)、管理與防范。該體系從終端接入控制、終端行為管控制、終端數(shù)據(jù)防泄密，以及終端安全審計(jì)等方面，實(shí)現(xiàn)了多層次、全方位、立體化縱深失竊密檢測(cè)與防范，形成了面向復(fù)雜網(wǎng)絡(luò)空間的終端安

7、全管理一體化解決方案，有效地實(shí)現(xiàn)了網(wǎng)絡(luò)空間下對(duì)終端計(jì)算機(jī)的安全管理體系。北節(jié)北修曲蛾許般竹有北合第BEUINGVRtfSOFTWARbCd.LTD.克京市中工朝史力X，中夏忖拄景惠度跖偈;010421404«»«71:100091將曉72圳WWWRVCCMCM內(nèi)網(wǎng)安全管理系統(tǒng)設(shè)計(jì)方案2 .終端安全防護(hù)理念2.1. 安全理念針對(duì)目前法院信息系統(tǒng)網(wǎng)絡(luò)中終端計(jì)算機(jī)面臨的各種安全問題，作為終端安全管理市場(chǎng)的領(lǐng)導(dǎo)者，北信源公司特推出了面向網(wǎng)絡(luò)空間的VRVSpecSEC終端安全管理體系。VRVSpecSEC終端安全管理體系以APPDR模型為依據(jù)，遵循國(guó)家和行業(yè)等級(jí)保護(hù)，基于安

8、全工程的思想，以獨(dú)特的終端安全配置策略為核心，以終端安全風(fēng)險(xiǎn)測(cè)試與評(píng)估為依據(jù)，實(shí)現(xiàn)組件化可動(dòng)態(tài)組合配置的終端安全管理。其核心理念如下圖所示：VRVSpecSEC終端安全管理體系核心理念輸安全產(chǎn)品法規(guī)符合性開發(fā)(Specification-basedProductsDevelopment)策略引導(dǎo)的終端安全配置(Policy-basedConfigureManagement)評(píng)估驅(qū)動(dòng)的終端安全管理(Evaluation-drivenSecurityManagement)賽組件化終端安全管理體系(Component-basedPlug-in/outSecurity比事北值霞蛾幃&毋相M介海

9、BEUINGVRVSOFTWARECO.L1D電京市中工行史電反忖和里胞度強(qiáng)景.40403M蹲7KM.1D00B1H01082,1040(1WWWRVCQWCM內(nèi)網(wǎng)安全管理系統(tǒng)設(shè)計(jì)方案北信部IVRVArchitecture2.2. 安全體系北信源VRVSpecSEC體系覆蓋終端的資產(chǎn)安全管理、終端數(shù)據(jù)安全管理、終端行為安全管理、終端服務(wù)安全管理等多個(gè)方面，涉及管理計(jì)算機(jī)本身、計(jì)算機(jī)應(yīng)用、計(jì)算機(jī)操作者、計(jì)算機(jī)使用、法院信息系統(tǒng)管理規(guī)范等多個(gè)方面，形成全方位、多層次、立體化終端安全管理。tLBVW本解決方案正是基于上述核心理念和安全體系的基礎(chǔ)上而組建的基于終端各方面安全管理和控制的一體化解決方案。

10、北節(jié)北修曲蛾許般竹有北合第BEUINGVRtfSOFTWARbCd.LTD.克京市中工朝史力X，中夏忖拄景惠度跖偈;010421404«»«71:100091將曉72圳WWWRVCCMCM內(nèi)網(wǎng)安全管理系統(tǒng)設(shè)計(jì)方案北信部IVRV3 .終端安全管理解決方案3.1. 終端安全管理建設(shè)目標(biāo)(1)當(dāng)終端接入時(shí)要落實(shí)安全保護(hù)技術(shù)措施，保障內(nèi)部網(wǎng)絡(luò)的運(yùn)行安全和信息安全；(2)對(duì)已接入內(nèi)部網(wǎng)絡(luò)的終端計(jì)算機(jī)，要做好用戶權(quán)限設(shè)定工作，不能開放其規(guī)定以外的操作權(quán)限。(3)發(fā)現(xiàn)有違規(guī)情形的，應(yīng)當(dāng)保留有關(guān)原始記錄，并可直接了解到該違規(guī)信息及違規(guī)方式等。(4)網(wǎng)絡(luò)管理人員能夠利用該管理方式，

11、便捷的管理內(nèi)網(wǎng)終端計(jì)算機(jī)，并能夠利用該種方式對(duì)終端計(jì)算機(jī)現(xiàn)狀一目了然。3.2. 終端安全管理方案設(shè)計(jì)原則方案設(shè)計(jì)遵循如下原則：(1)安全性原則：對(duì)性能影響小，與其它業(yè)務(wù)系統(tǒng)無沖突。(2)可靠性原則：在反復(fù)操作與長(zhǎng)期實(shí)踐之后依然能夠保持高度的穩(wěn)定性。(3)可擴(kuò)展性原則：能夠符合IT發(fā)展方向，并隨業(yè)務(wù)增長(zhǎng)的同時(shí)保持高度的可擴(kuò)充性。(4)易用性原則：提供簡(jiǎn)單、友好界面，能夠進(jìn)行直觀的操作，形成豐富的圖形界面與報(bào)表。tLBVW(5)兼容性原則：能夠與主流廠商的系統(tǒng)、軟件、主機(jī)設(shè)備、安全設(shè)備、網(wǎng)絡(luò)設(shè)備保持高度的兼容性。北節(jié)北修曲蛾許般竹有北合第BEUINGVRtfSOFTWARbCd.LTD.克京市中工

12、朝史力X，中夏忖拄景惠度跖偈;1:100091將曉72圳WWWRVCCMCM內(nèi)網(wǎng)安全管理系統(tǒng)設(shè)計(jì)方案北信部IVRV3.3. 終端安全管理方案設(shè)計(jì)思路1、遵循IT服務(wù)標(biāo)準(zhǔn)隨著信息技術(shù)的發(fā)展以及對(duì)信息技術(shù)依賴程度的提高，IT已成為許多業(yè)務(wù)流程必不可少的部分，甚至是某些業(yè)務(wù)流程賴以運(yùn)作的基礎(chǔ)。IT部門要承擔(dān)更大的責(zé)任，即提高業(yè)務(wù)運(yùn)作效率，降低業(yè)務(wù)流程的運(yùn)作成本，遵循ITIL標(biāo)準(zhǔn)，協(xié)調(diào)IT服務(wù)部門內(nèi)部運(yùn)作，改善IT部門與業(yè)務(wù)部門之間的溝通，幫助法院信息系統(tǒng)對(duì)信息化系統(tǒng)的規(guī)劃、研發(fā)、實(shí)施和運(yùn)營(yíng)進(jìn)行有效管理的方法。IT服務(wù)管理將流程、人和技術(shù)三方面整合在一起來解決IT服務(wù)管理問題。并結(jié)合法院信息系統(tǒng)內(nèi)部組

13、織結(jié)構(gòu)、IT資源與管理流程等，對(duì)業(yè)務(wù)需求進(jìn)行整體管理與服務(wù)。解決方案設(shè)計(jì)要采用IT服務(wù)管理的理念，按照ITIL最佳實(shí)踐標(biāo)準(zhǔn)來設(shè)計(jì)。2、遵循ISO27001標(biāo)準(zhǔn)ISO27001作為信息系統(tǒng)安全管理標(biāo)準(zhǔn)，已經(jīng)成為全球公認(rèn)的安全管理最佳實(shí)踐，成為全國(guó)大型機(jī)構(gòu)在設(shè)計(jì)、管理信息系統(tǒng)安全時(shí)的實(shí)踐指南。其中除了安全思路之外，給出了許多非常細(xì)致的安全管理指導(dǎo)規(guī)范。在ISO27001中有一個(gè)非常有名的安全模型，稱為PDC較全模型。PDC岐全模型的核心思想是：信息系統(tǒng)的安全需求是不斷變化的，要使得信息系統(tǒng)的安全能夠滿足業(yè)務(wù)需要，必須建立動(dòng)態(tài)的“計(jì)劃、設(shè)計(jì)和部署、監(jiān)控評(píng)估、改進(jìn)提高”管理方法，持續(xù)不斷地改進(jìn)信息系統(tǒng)

14、的安全性。北信源認(rèn)為，終端安全管理，也將是一個(gè)持續(xù)、動(dòng)態(tài)、不斷改進(jìn)的過程，北信源將提供統(tǒng)一的、集成化的平臺(tái)和工具，幫助對(duì)其終端進(jìn)行統(tǒng)一的安全控制、安全評(píng)估、安全審計(jì)及安全改進(jìn)策略部署。3、遵循VRVSpecSE或全理念依據(jù)業(yè)界最佳安全實(shí)踐和行業(yè)信息安全管理體系的建設(shè)流程，結(jié)合北信源VRVSpecSECK心安全理念，本方案的總體架構(gòu)共分為“網(wǎng)絡(luò)接入管理、補(bǔ)丁及軟件分發(fā)管理、移動(dòng)存儲(chǔ)介質(zhì)管理、桌面終端管理、終端安全審計(jì)”等安全管理比塞北慎曳蛾曾如批KW（健屈HEUIMGVRVSCFTWAFtECO-,LTD.九京需中工M史同單夏小出景惠如祖It$D1O421MMBM6fl7VM.IKOfli才七后

15、V71VtfiIdQT卻必瞄WWWVRV.COMa48內(nèi)網(wǎng)安全管理系統(tǒng)設(shè)計(jì)方案北信部iVRV組件，并通過統(tǒng)一、聯(lián)動(dòng)的安全管控與審計(jì)平臺(tái)實(shí)現(xiàn)對(duì)不同層次架構(gòu)的集中策略配置與管理，完成對(duì)網(wǎng)絡(luò)終端的分級(jí)部署、統(tǒng)一管控，最終實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)終端全方位的控制管理，形成完整的終端安全管理體系。VRVSpecSEC終端特管理體系網(wǎng)絡(luò)接入控制管理補(bǔ)丁及軟件分譽(yù)理移動(dòng)存儲(chǔ)介質(zhì)管理桌面終端安全管理終端安全審計(jì)管理北信源統(tǒng)一管校與策略平臺(tái)CFDPSprver：方案設(shè)計(jì)思路Jt5JtlSJtWfi雅后屈HEUINGVRVSOFTWARECO.LID電窗市中工M史力X，中意時(shí)也拄景JRrUC度友號(hào)：Dia42«4O4

16、fl»K«T«M.1(X1091H010睫"收圳WWWRV.CQMCM內(nèi)網(wǎng)安全管理系統(tǒng)設(shè)計(jì)方案北信部IVRV3.4. 終端安全管理解決方案實(shí)現(xiàn)本方案通過網(wǎng)絡(luò)接入控制管理、補(bǔ)丁及軟件分發(fā)管理、移動(dòng)存儲(chǔ)介質(zhì)管理、桌面終端安全管理，以及終端安全審計(jì)管理等五大部分，并由集中統(tǒng)一的管控和策略平臺(tái)，完成對(duì)上述安全管理組件的統(tǒng)一策略配置與下發(fā)、集中管理與審計(jì)，最終形成聯(lián)動(dòng)化的、集成化的、完整的終端安全體系建設(shè)。3.4.1. 網(wǎng)絡(luò)接入管理設(shè)計(jì)實(shí)現(xiàn). 網(wǎng)絡(luò)接入管理概述通過網(wǎng)絡(luò)接入控制能夠完成對(duì)未知終端、授權(quán)終端的安全準(zhǔn)入管理與控制。該系統(tǒng)能夠完成基于802.

17、1x協(xié)議的準(zhǔn)入控制技術(shù)的安全準(zhǔn)入管理控制，為內(nèi)網(wǎng)終端的安全接入控制提供了一道綠色的保護(hù)屏障。. 網(wǎng)絡(luò)接入管理方案及思路tLBVW系統(tǒng)能夠確保終端電腦只有在通過認(rèn)證，即安裝終端安全管理組件，并符合必要的安全策略的前提下才能被允許接入內(nèi)部網(wǎng)絡(luò)，否則會(huì)強(qiáng)制終端電腦跳轉(zhuǎn)到訪客隔離區(qū)（guest區(qū)），完成認(rèn)證后還需要完成安檢，即終端管理軟件的下載和安裝，且符合既定安全策略要求時(shí)才可準(zhǔn)許接入內(nèi)部網(wǎng)絡(luò)。具體接入流程如下：北節(jié)北修曲蛾許般竹有北合第BEUINGVRtfSOFTWARbCd.LTD.克京市中工朝史力X，中夏忖拄景惠度跖偈;1:100091將曉72圳WWWRVCCMCM10內(nèi)網(wǎng)安全管

18、理系統(tǒng)設(shè)計(jì)方案理中心（二級(jí)）北信源補(bǔ)理中心（二級(jí)）北信源補(bǔ)網(wǎng)絡(luò)接入控制管理系統(tǒng)流程圖自動(dòng)測(cè)試組（真實(shí)環(huán)境）補(bǔ)丁自動(dòng)識(shí)別客戶端策略客戶補(bǔ)丁查詢客戶端以上過程完全滿足網(wǎng)絡(luò)準(zhǔn)入控制的目的和意義：能確保合法的、健康的終端接入內(nèi)部網(wǎng)絡(luò)訪問被授權(quán)的資源。通過網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)，確保接入網(wǎng)絡(luò)的電腦終端符合預(yù)定義要求，必要的安全策略功能包括：1、802.1x接入認(rèn)證管理802.1x接入認(rèn)證管理具有對(duì)接入策略和安檢策略整體的配置和管理功能。接入是通過用戶名密碼的認(rèn)證方式，對(duì)終端接入網(wǎng)絡(luò)進(jìn)行限制。對(duì)認(rèn)證成功的終端進(jìn)行安全健康檢測(cè)。比事匕僮>蛾幃的也/1«贊*BLJJIMGVRVSOFTWARECO.

19、LID克京市中工M史CM，單戛忖M慢啜康度亞鼠心蹲T«M.1DOOB1特中。眼7收加WWWVRV.COMCM11內(nèi)網(wǎng)安全管理系統(tǒng)設(shè)計(jì)方案802.1X接入認(rèn)證2、未注冊(cè)終端接入訪問區(qū)域限制（vlan限制）未注冊(cè)終端會(huì)因認(rèn)證不成功進(jìn)入guestVlan,在guestVlan中終端只可以與服務(wù)器通信只有在終端注冊(cè)成功后方可以通過認(rèn)證。3、未安裝殺毒軟件等必備軟件自動(dòng)安裝下載管理針對(duì)終端計(jì)算機(jī)安裝及運(yùn)行殺毒軟件情況，管理員可以設(shè)置安全策略檢查終端用戶是否正常啟動(dòng)、運(yùn)行防病毒軟件，并且強(qiáng)制檢查防病毒軟件的版本和病毒庫(kù)版本，確保所有終端版本必須滿足安檢的規(guī)定方可接入內(nèi)部網(wǎng)絡(luò)。如有違規(guī)，即刻跳轉(zhuǎn)到

20、修復(fù)區(qū)或者直接斷開終端網(wǎng)絡(luò)連接；針對(duì)終端計(jì)算機(jī)安裝的必備軟件情況，管理員可以設(shè)置可控軟件名單，檢查必備軟件的安裝運(yùn)行情況，如有違規(guī)，即刻跳轉(zhuǎn)到修復(fù)區(qū)或者直接斷開終端網(wǎng)絡(luò)連接；在網(wǎng)絡(luò)中專門劃分出修復(fù)區(qū)域，防病毒軟件服務(wù)器放置在網(wǎng)絡(luò)修復(fù)區(qū)中。終端計(jì)算機(jī)根據(jù)安全策略要求安裝及升級(jí)殺毒軟件。比亨馥蛾幃谷世育H登海HEUIMGVRVSOFTWARECO.L1D*京密中工時(shí)史CM，單戛構(gòu)M慢啜康度；鼠心D1O42«4O4eM«7100091HQ100214140(WWWRVCQWCM12北信部IVRV內(nèi)網(wǎng)安全管理系統(tǒng)設(shè)計(jì)方案殺毒軟件檢測(cè)4、未打補(bǔ)丁終端接入限制通過北信源補(bǔ)丁索引檢測(cè)終端

21、用戶是否安裝系統(tǒng)補(bǔ)丁，檢測(cè)注冊(cè)終端未打或漏打補(bǔ)丁時(shí)，將會(huì)提示終端計(jì)算機(jī)有哪些需要安裝的補(bǔ)丁并且會(huì)自動(dòng)彈出下載的補(bǔ)丁的WEBJ面，如若不滿足補(bǔ)丁預(yù)定義策略，即刻跳轉(zhuǎn)到修復(fù)區(qū)或者直接斷開終端網(wǎng)絡(luò)連接。在網(wǎng)絡(luò)中專門劃分出修復(fù)區(qū)域，系統(tǒng)補(bǔ)丁文件服務(wù)器放置在網(wǎng)絡(luò)隔離區(qū)中。根據(jù)北信源補(bǔ)丁索引要求升級(jí)操作系統(tǒng)軟件補(bǔ)丁。北聿北修士斌幃JB緋有史公屈BEUIMGVRtfSCFTWARtCO.LTD.克寞布中工行史CM，單苴時(shí)14檢啜度；404gg蹲TVM.100091將曉隅WWWffiVCCMCMR信*WV13北信躺VRV內(nèi)網(wǎng)安全管理系統(tǒng)設(shè)計(jì)方案«口EM；餐上以m-十二4«»送正M

22、SA；"丁勺*部認(rèn)it*«*»!*：口曰畀赤齒E尸，曄跑；7謝3田，盯下TtniJln士工網(wǎng)GEH.=E/田J/H皿£*i®*-riiii-ii>-2Ji：3門i：柳TW”EHWiWNK-W£|/曲時(shí)/抬JI?DKt3PIno?trflAri#h軻MLBD船理8后tlfP*寸Bfi-EUM'C'MiiJiMW*G主如BMU口爵京至EDMBStuntB-DDET直4<im*sw(trrjMiw:曹千nfGSM-am4/"EMEilN!JBZM.ltIJIMjIFTIHlajMIijai-II8電外.

23、iti.m.匚*ehlt修燈秀守弄*升-B«各市苜尸上叫*.L»*丁號(hào)pT9>I|IWEIBWTIHHTFITTJ.II，JHI|ffT正、仃.一工互tiEdJ口曰一金£忙MH/力:F.n-rREh切vrELSH»Ai=£mETnwifWicr?%£>»£r*_M13MMtoi.mrl補(bǔ)丁檢測(cè)5、運(yùn)行不可信進(jìn)程、服務(wù)、注冊(cè)表終端接入限制不可信進(jìn)程、服務(wù)、注冊(cè)表是針對(duì)可信進(jìn)程、服務(wù)、注冊(cè)表進(jìn)行判斷的，通過自定義設(shè)置可信進(jìn)程、服務(wù)、注冊(cè)表來判斷終端是否允許接入到工作區(qū)。對(duì)于終端計(jì)算機(jī)沒有運(yùn)行可信進(jìn)程、服務(wù)、

24、注冊(cè)表的視為不可信終端，即運(yùn)行了不可信進(jìn)程、服務(wù)、注冊(cè)表，并對(duì)終端接入進(jìn)行限制一電信5wv進(jìn)程、服務(wù)、注冊(cè)表檢測(cè)比事匕僧說蚊幃&毋相M兮號(hào)BELIINGVRVSOFTWARECO.LID電京市中工時(shí)史ex，電且忖料區(qū)地度*tt»mzuows陋VM.loooai特I中0睦I*物制WWWVRVCCMCM14內(nèi)網(wǎng)安全管理系統(tǒng)設(shè)計(jì)方案北信部IVRV6、自定義終端安全接入必須的桌面運(yùn)行安全環(huán)境可以結(jié)合需求自定義終端安全策略，也可以按照現(xiàn)實(shí)環(huán)境的需要個(gè)性化搭配各個(gè)安全檢查策略組合，已達(dá)到最佳的桌面安全管理效果。3.4.2, 補(bǔ)丁及軟件自動(dòng)分發(fā)管理設(shè)計(jì)實(shí)現(xiàn), 補(bǔ)丁及軟件自動(dòng)分

25、發(fā)管理概述補(bǔ)丁及軟件自動(dòng)分發(fā)管理能夠自動(dòng)識(shí)別終端計(jì)算機(jī)操作系統(tǒng)類型，并根據(jù)需求自動(dòng)下載所需補(bǔ)丁，自動(dòng)安裝并提示。系統(tǒng)向指定終端計(jì)算機(jī)（用戶組）分發(fā)文件或安裝軟件，分發(fā)時(shí)可提供軟件的運(yùn)行參數(shù)和必要的運(yùn)行控制。該管理體系可減輕網(wǎng)絡(luò)管理人員的工作負(fù)擔(dān)，軟件分發(fā)時(shí)可報(bào)告軟件安裝的狀態(tài)，無論軟件正確安裝與否，管理員均可及時(shí)了解情況。, 補(bǔ)丁及軟件自動(dòng)分發(fā)管理方案及思路tLBVW補(bǔ)丁及軟件自動(dòng)分發(fā)管理支持推、拉兩種方式自動(dòng)下載補(bǔ)丁。整個(gè)補(bǔ)丁管理運(yùn)行平臺(tái)構(gòu)架是：通過北信源外網(wǎng)補(bǔ)丁下載服務(wù)器及時(shí)從補(bǔ)丁廠商網(wǎng)站獲取最新補(bǔ)丁；補(bǔ)丁安全測(cè)試后，通過補(bǔ)丁分發(fā)管理中心服務(wù)器對(duì)網(wǎng)絡(luò)用戶進(jìn)行分發(fā)安裝；補(bǔ)丁安裝

26、支持自動(dòng)和手動(dòng)兩種方式。北節(jié)北修曲蛾許般竹有北合第BEUINGVRtfSOFTWARbCd.LTD.克京市中工朝史力單夏忖門拄景惠度跖偈:Dia4214C4flK«71:100091將曉72圳WWWRVCCMCM15內(nèi)網(wǎng)安全管理系統(tǒng)設(shè)計(jì)方案北信源補(bǔ)丁中心（一級(jí)）動(dòng)態(tài)下載轉(zhuǎn)發(fā)代理報(bào)表中心自動(dòng)測(cè)試組（真實(shí)環(huán)境）客尸端補(bǔ)丁自動(dòng)識(shí)別客戶端策略客戶補(bǔ)丁查詢補(bǔ)丁分發(fā)管理體系網(wǎng)絡(luò)應(yīng)用對(duì)象：連通互聯(lián)網(wǎng)的網(wǎng)絡(luò)：直接通過補(bǔ)丁下載服務(wù)器將補(bǔ)丁下載至補(bǔ)丁分發(fā)服務(wù)器；物理隔離網(wǎng)絡(luò)：在互聯(lián)網(wǎng)連通網(wǎng)絡(luò)上安裝補(bǔ)丁下載服務(wù)器模塊，通過補(bǔ)丁下載增量分離工具，區(qū)分內(nèi)網(wǎng)已導(dǎo)入和未導(dǎo)入的補(bǔ)丁，將最新補(bǔ)丁導(dǎo)入到內(nèi)網(wǎng)補(bǔ)丁分發(fā)服務(wù)

27、器。補(bǔ)丁及軟件自動(dòng)分發(fā)管理包括：補(bǔ)丁下載、補(bǔ)丁分析、補(bǔ)丁策略制訂、補(bǔ)丁文件分發(fā)、終端計(jì)算機(jī)補(bǔ)丁漏洞檢測(cè)、補(bǔ)丁安全性測(cè)試、補(bǔ)丁分發(fā)控制、普通文件自動(dòng)分發(fā)等，包括功能如下：1 .終端計(jì)算機(jī)漏洞自動(dòng)偵測(cè)*喈5wv終端計(jì)算機(jī)補(bǔ)丁自檢測(cè)，在內(nèi)網(wǎng)中建立補(bǔ)丁檢測(cè)網(wǎng)站，終端計(jì)算機(jī)用戶訪問網(wǎng)站后，Web網(wǎng)頁自動(dòng)檢測(cè)顯示客戶段補(bǔ)丁安裝信息，用戶可進(jìn)行補(bǔ)丁下載安裝；管理員還可以在管理控制臺(tái)上遠(yuǎn)程檢測(cè)終端計(jì)算機(jī)補(bǔ)丁安裝狀況。比亨馥蛾幃JB繼育收窖司HEUIMGVRVSOFTWARECO.L1D克京市中工V史比X，電反忖M檢啜康度；tJLD104214C4flBJK«TVM.100091特眼7收圳WWWRVC

28、OMCM16北信部iVRV內(nèi)網(wǎng)安全管理系統(tǒng)設(shè)計(jì)方案補(bǔ)丁自動(dòng)檢測(cè)2 .補(bǔ)丁下載增量式補(bǔ)丁自動(dòng)分離技術(shù)在外網(wǎng)分離出已安裝、未安裝補(bǔ)丁，分類導(dǎo)入系統(tǒng)補(bǔ)丁庫(kù)，僅對(duì)內(nèi)網(wǎng)的補(bǔ)丁進(jìn)行“增量式”升級(jí)，以減少拷貝工作量；互聯(lián)網(wǎng)補(bǔ)丁自動(dòng)實(shí)時(shí)探測(cè)，支持補(bǔ)丁導(dǎo)出前病毒過濾。3 .補(bǔ)丁分析自動(dòng)建立補(bǔ)丁庫(kù)，支持補(bǔ)丁庫(kù)信息查詢。針對(duì)下載的補(bǔ)丁進(jìn)行歸類存放,按照不同操作系統(tǒng)、補(bǔ)丁編號(hào)、補(bǔ)丁發(fā)布時(shí)間、補(bǔ)丁風(fēng)險(xiǎn)等級(jí)、補(bǔ)丁公告等進(jìn)行歸類，幫助管理人員快速識(shí)別補(bǔ)丁。4 .補(bǔ)丁策略制訂（分發(fā)）支持用戶自定義補(bǔ)丁策略并自由配置分發(fā)，基于終端計(jì)算機(jī)網(wǎng)絡(luò)IP范圍、操作系統(tǒng)種類、補(bǔ)丁類別（系統(tǒng)補(bǔ)丁、IE補(bǔ)丁、應(yīng)用程序補(bǔ)丁以及網(wǎng)管自定義補(bǔ)丁類等

29、）等制訂策略，發(fā)送至終端計(jì)算機(jī)后統(tǒng)一按策略執(zhí)行應(yīng)用。北京JtltJtWfi收窖司BLJJIMGVRVSOFTWARECO.LTO.克寞市中工行史CM，電夏時(shí)也慢啜JRF0C度亞庭居：DW42«4O4flKfi7100091特曉M收圳WWWRVCOMCM一電信4iWV17北信部IVRV內(nèi)網(wǎng)安全管理系統(tǒng)設(shè)計(jì)方案補(bǔ)丁分發(fā)策略5 .補(bǔ)丁自動(dòng)修復(fù)在指定時(shí)間、指定網(wǎng)絡(luò)范圍內(nèi)以不同方式（如推、拉）分發(fā)補(bǔ)丁，或者根據(jù)腳本策略統(tǒng)一控制終端計(jì)算機(jī)下載補(bǔ)丁，當(dāng)監(jiān)測(cè)到有終端計(jì)算機(jī)未打補(bǔ)丁時(shí)，可對(duì)漏打補(bǔ)丁終端計(jì)算機(jī)進(jìn)行推送補(bǔ)丁。補(bǔ)丁分發(fā)支持流量和連接數(shù)控制，以免占用太大帶寬，影響網(wǎng)絡(luò)正常工作。6 .補(bǔ)丁下載轉(zhuǎn)

30、發(fā)代理提供補(bǔ)丁自動(dòng)代理轉(zhuǎn)發(fā)功能，提高補(bǔ)丁下發(fā)效率，減少網(wǎng)絡(luò)帶寬的占用率，節(jié)省網(wǎng)絡(luò)資源。7 .補(bǔ)丁安全性測(cè)試補(bǔ)丁分發(fā)前閉環(huán)自動(dòng)測(cè)試，對(duì)下載的補(bǔ)丁進(jìn)行自動(dòng)測(cè)試（建立測(cè)試網(wǎng)絡(luò)組），測(cè)試完成后將其存入補(bǔ)丁庫(kù)，以提高打補(bǔ)丁的成功性、安全性、可靠性。8 .普通文件分發(fā)及文件自動(dòng)執(zhí)行比亨北值馥WfiH窖NBEUIMGVRVSOFTWARECO.LID克京市中工導(dǎo)史CM，單夏忖也慢啜犬鼻。度kttt意7100091一電信aswv18特Q10睫|40*啊WWW/RVCOMCM北信部iVRV內(nèi)網(wǎng)安全管理系統(tǒng)設(shè)計(jì)方案可以提供分發(fā)普通文件也可以分發(fā)可執(zhí)行文件及MSI等形式的壓縮文件并自動(dòng)執(zhí)行文件分發(fā)策略3.4.3,移

31、動(dòng)存儲(chǔ)介質(zhì)管理設(shè)計(jì)實(shí)現(xiàn),移動(dòng)存儲(chǔ)介質(zhì)管理概述該設(shè)計(jì)針對(duì)內(nèi)網(wǎng)移動(dòng)存儲(chǔ)介質(zhì)管理的特點(diǎn)進(jìn)行，以移動(dòng)數(shù)據(jù)生命周期為主導(dǎo)，緊扣其存儲(chǔ)和交換的安全需求，針對(duì)移動(dòng)數(shù)據(jù)全生命周期各個(gè)環(huán)節(jié)潛在的安全隱患，綜合運(yùn)用各種安全技術(shù)和手段，進(jìn)行有效全程防護(hù)的安全產(chǎn)品。設(shè)計(jì)時(shí)考慮到了區(qū)域訪問控制，信息保密、文件走查審計(jì)等方面，確保法院信息系統(tǒng)內(nèi)網(wǎng)的信息不因使用移動(dòng)存儲(chǔ)而造成威脅，做到事前有保護(hù)，事后可追查，提供安全、簡(jiǎn)單易用的數(shù)據(jù)交換安全解決方案。該設(shè)計(jì)以數(shù)據(jù)為中心，用戶作為數(shù)據(jù)的使用者，主機(jī)作為數(shù)據(jù)的存儲(chǔ)者，移動(dòng)存儲(chǔ)介質(zhì)作為數(shù)據(jù)的遷移者，在管理范圍內(nèi)均賦予唯一的標(biāo)識(shí)，三者進(jìn)行相互比烹光僧馥Wfi收窖a(bǔ)BE

32、LJIMGVRVSOFTWARECO.LTD.克京市中工M史力M,中期時(shí)也及圣康RlIC度；跖&D4O42«4O4eK«7KM.IDQOBt19內(nèi)網(wǎng)安全管理系統(tǒng)設(shè)計(jì)方案北信躺VRV認(rèn)證。只有經(jīng)認(rèn)證和授權(quán)成功后，才保證合法的用戶在合法的機(jī)器上訪問合法存儲(chǔ)介質(zhì)上的數(shù)據(jù)，并形成詳盡的日志供審計(jì)。移動(dòng)數(shù)據(jù)安全訪問模型3.4.32移動(dòng)存儲(chǔ)介質(zhì)管理方案及思路體系設(shè)計(jì)對(duì)移動(dòng)存儲(chǔ)介質(zhì)安全管理范圍應(yīng)該包括U盤、移動(dòng)硬盤、MP3手機(jī)、智能卡設(shè)備等移動(dòng)存儲(chǔ)介質(zhì)，以及打印機(jī)等外設(shè)，體系設(shè)計(jì)與利用移動(dòng)存儲(chǔ)設(shè)備或其他方式進(jìn)行數(shù)據(jù)交換的相關(guān)終端計(jì)算機(jī)接口管理，包括光驅(qū)、軟驅(qū)、USB移動(dòng)存儲(chǔ)接口、

33、US暉部接口、打印機(jī)接口、紅外設(shè)及藍(lán)牙設(shè)備等。因此，體系技術(shù)設(shè)計(jì)主要包括5類的US暇備控制問題，包括存儲(chǔ)類(MassStorage)>打印機(jī)類(PrinterClass)、智能卡類(SmartCardClass)、圖像類(ImagingClass)>HID設(shè)備類等，并通過相關(guān)的技術(shù)手段提供統(tǒng)一的管理平臺(tái)及適用于各類存儲(chǔ)介質(zhì)的應(yīng)用管理策略，確保提供完整有效的移動(dòng)存儲(chǔ)環(huán)境和移動(dòng)存儲(chǔ)設(shè)備的安全使用方案。移動(dòng)存儲(chǔ)設(shè)備接入管理具體功能如下：1 .移動(dòng)存儲(chǔ)設(shè)備(分設(shè)備、網(wǎng)段等的)接入認(rèn)證管理，保障指定設(shè)備讀寫指定移動(dòng)存儲(chǔ)設(shè)備的訪問控制管理；2 .移動(dòng)存儲(chǔ)數(shù)據(jù)讀寫控制管理；3 .移動(dòng)存儲(chǔ)設(shè)備標(biāo)簽

34、認(rèn)證管理；4 .移動(dòng)存儲(chǔ)設(shè)備分區(qū)(普通區(qū)和加密區(qū))管理；比孽北偏敏曾注繼首建翌屈BEUINGVRVSCFTWARECO.,LTO.4-lUi有京需中工M史ax，單戛忖和里地度電*況蹲T*JLIsSiVrW特Ph01*睫WWWVRV.COMCM20內(nèi)網(wǎng)安全管理系統(tǒng)設(shè)計(jì)方案分區(qū)格式化5 .移動(dòng)存儲(chǔ)設(shè)備的加密管理，防止加密區(qū)的敏感信息外泄；6 .移動(dòng)存儲(chǔ)設(shè)備接入行為審計(jì)；7 .移動(dòng)存儲(chǔ)設(shè)備數(shù)據(jù)交換行為審計(jì)管理，比如設(shè)定文件后綴名等條件；8 .設(shè)計(jì)對(duì)文件操作詳細(xì)審計(jì)記錄：包括文件的創(chuàng)建、復(fù)制、刪除、修改和重命名等操作，（包括文件名、審計(jì)描述、時(shí)間、用戶名、計(jì)算機(jī)IP地址和其他必要的信息）；姓陪SiWV

35、9 .設(shè)計(jì)對(duì)移動(dòng)存儲(chǔ)介質(zhì)的插入和拔出動(dòng)作的詳細(xì)記錄，具體包括事件類型、移動(dòng)存儲(chǔ)介質(zhì)的名稱、用戶、計(jì)算機(jī)IP地址、事件時(shí)間；北聿北修也敏幃心竹苕皿省第BEUIMGVRWSOFTWARE:Cd.LID.電京市中工M史CM，單夏忖修慢啜康度匿號(hào)：D1O4214O4eK«TVM.1DOOB1H«01082,4040(1WWWRVCQMCM21內(nèi)網(wǎng)安全管理系統(tǒng)設(shè)計(jì)方案移動(dòng)存儲(chǔ)審計(jì)設(shè)計(jì)對(duì)終端計(jì)算機(jī)大量的文件拷貝行為可自主設(shè)定閾值，超過閾值的不進(jìn)行審計(jì)。如拷貝超過1000個(gè)文件不進(jìn)行審計(jì)（這主要是因?yàn)檫@樣的大量拷貝行為一般不會(huì)是違規(guī)的行為）；移動(dòng)存儲(chǔ)標(biāo)簽制作記錄：對(duì)于在網(wǎng)絡(luò)內(nèi)使用的移動(dòng)存

36、儲(chǔ)設(shè)備（如u盤等）設(shè)置一個(gè)標(biāo)簽，不同管理員可以獲得不同的標(biāo)簽類型分配。當(dāng)U盤接入到網(wǎng)絡(luò)終端時(shí)，能夠自動(dòng)識(shí)別標(biāo)簽，如果識(shí)別通過，則該U盤可以使用，否則不可使用。且信iwvw該設(shè)計(jì)運(yùn)用商用密碼技術(shù)，實(shí)現(xiàn)商用密碼算法的加密、解密和認(rèn)證等功能的技術(shù)，通過密碼算法編程技術(shù)、密碼算法芯片或加密卡等以實(shí)現(xiàn)移動(dòng)信息保護(hù)、訪問控制、審計(jì)監(jiān)控等，以滿足移動(dòng)介質(zhì)標(biāo)記認(rèn)證管理的功能需求。比亨JtlSAWfi收段屈HEUIMGVRVSOFTWARECO.LID克京市中工M史單意時(shí)也拄景惠KUC蹙，E月巨唐-«M.IDQOBt將中眼7收加WWWVRVCCMCM22北陪躺VRV內(nèi)網(wǎng)安全管理系統(tǒng)設(shè)計(jì)方案移動(dòng)存儲(chǔ)管理

37、策略3.4.4, 桌面終端管理設(shè)計(jì)實(shí)現(xiàn), 桌面終端管理概述網(wǎng)絡(luò)終端安全是一個(gè)綜合的系統(tǒng)問題，涉及管理計(jì)算機(jī)本身、計(jì)算機(jī)應(yīng)用、計(jì)算機(jī)操作、計(jì)算機(jī)使用法院信息系統(tǒng)管理規(guī)范等多個(gè)方面。因此體系設(shè)計(jì)需采用C/S與B/S混合設(shè)計(jì)模式，并支持分布式部署，具有模塊化定制，支持標(biāo)準(zhǔn)API、無縫功能擴(kuò)展與升級(jí)等優(yōu)點(diǎn)。設(shè)計(jì)應(yīng)遵循網(wǎng)絡(luò)防護(hù)與斷點(diǎn)防護(hù)并重理念，對(duì)網(wǎng)絡(luò)安全管理人員在網(wǎng)絡(luò)管理、終端管理過程中所面臨的種種問題提供解決方案，實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)終端的可控管理。北信源桌面終端管理體系強(qiáng)化了對(duì)網(wǎng)絡(luò)計(jì)算機(jī)終端狀態(tài)、行為以及事件的管理，并針對(duì)基本管理、資產(chǎn)管理、安全管理、運(yùn)維管理、桌面管理、審計(jì)管理等提供的模塊

38、化的防護(hù)功能，并能夠同其它安全設(shè)備進(jìn)行安全集成和報(bào)警聯(lián)動(dòng)。北京比值E飄許JB世朝就輕*BEU1NGVRVSOFTWARECO.L1D克京市中工M史單夏忖M檢出度強(qiáng)值.皿IDQOBt將Hi中0睫NOMEWWW/RVCOMCM23真而管理資產(chǎn)首審計(jì)笞a運(yùn)維管理安全苣S基本首H內(nèi)網(wǎng)安全管理系統(tǒng)設(shè)計(jì)方案北信部IVRV3.4.42桌面終端管理方案及思路桌面終端管理需從使用人的基本信息開始記錄，同時(shí)包括IP地址、MAC地北信&WV址、軟硬件資產(chǎn)、進(jìn)程信息、軟件信息、密碼信息、殺毒軟件、計(jì)算機(jī)資源、流量信息等方面進(jìn)行統(tǒng)計(jì)，形成立體式數(shù)據(jù)庫(kù)，當(dāng)發(fā)生信息改變或資源報(bào)警時(shí)，能夠第一時(shí)間通知管理人員，便于排

39、查錯(cuò)誤，并能夠提供給管理人員相應(yīng)的應(yīng)急措施與手段，幫助管理人員迅速解決問題。桌面終端管理具體功能還應(yīng)包括以下功北聿北憎金敏幃用繡有班段記BEUIMGSUFTWARbCd.LTD.克京甯中工M史中夏忖M慢地度；kA.VM.1D00B1tfiI01。睚咖1WWkVVRV.CCMCM24內(nèi)網(wǎng)安全管理系統(tǒng)設(shè)計(jì)方案北億需ivav口MStit+rW口工ruum,|-t:M計(jì)f3D,4年置舞DB!(hUrHHD鑰”正更>«311«*|1.-M”*口Tt!TW9&TflJlIWdIT-vf9-»->B'網(wǎng)H：.Ti：l'用門量|rw、，力

40、65;，書口、，：nF打M,+-f7.W0*，MWHIT>*K4且4W*的一史ek-EZrE£>3'F*-MW*E>ff±t.BWrMMaDjiTMiT-J.W,Tfif：W*fMSilfiMM.I»«-Wtir«>KZ4flMUi.liMji!-mqUMW-A1J*F7MUIA4«1.,IQ工州辦金.匕»制地，3易”-*單悔E“；c="硒.:h眄7憧Ui加卜干菩厘EN，HE!麻行崎什4體解Mgg；«-fl-awm-MwanirSHWfcA.h*用"立工用/科問.

41、ffiW-Wr丁五.的.H*WBW7&行.f端期.國(guó)*而劭0"手門.1WfiK-U*.MlZ*O：-己三現(xiàn)皿I，三Itj工供口MNHJFW!IW；Xtii!l*rMUR：-工/工4口it里工Ikt3H1rlMT,>TTUPjS+=nXl*Hi曰底肛伸ET田FWlW五flF工W包府*天曲中3次.母:曲i刊昉E附1到再當(dāng)真口代在厄立*3咫*丁5：嗨%才丈的：47對(duì)于"riMMEeiiHfE曰點(diǎn)%市51客*立言聃崎，1*HI*i»i7W«l犯宜淳七恍：任M氏企母/舌件HIEX血:女""FHhBX3n-rrKF*imUfinfi

42、l:11(1Rlii-UFaWTWFfltrilA?,*rUKL也士9二一配*2：+犀!tL嗎!£kE9干工如WXlJIK-Wi=EMe1WEtfH-Z：S>T*l2手3人f!a.EMWflWFmCTWm-H朋中WSaenMWWtffiWWWM:中姓1卜丁."RhBMfccIMKflM«"王應(yīng)用界面1 .終端注冊(cè)管理該設(shè)計(jì)采用C/S和B/S模式混合管理方式，在被管理的桌面計(jì)算機(jī)上安裝VRVED苗戶端程序。在安裝客戶端程序需要填寫當(dāng)前計(jì)算機(jī)使用人的個(gè)人相關(guān)信息，如使用人、法院信息系統(tǒng)、部門、聯(lián)系電話、郵件、所在地、計(jì)算機(jī)類型等，進(jìn)行實(shí)名化的管理便于快

43、速定位，無論是違規(guī)，還是網(wǎng)絡(luò)安全事件發(fā)生時(shí)都可以快速定位到事件源。此信LVTW個(gè)人信息填寫北聿匕上苴幃屐縉有皿公品BEUIMGVR1/SCFTWARECC1.LTD.Mtti克京市中工借史CM，巾苴時(shí)以及景康犬鼻。度*跖號(hào)：MQ與1如情3M蹲TKM.1D0081HQ108;<0*(111WWWfflV.COWCM25內(nèi)網(wǎng)安全管理系統(tǒng)設(shè)計(jì)方案北信躺VRV2 .IP和MAO定管理對(duì)固定IP網(wǎng)絡(luò)的MAC口IP地址進(jìn)行綁定管理，當(dāng)探測(cè)到IP變化后根據(jù)策略設(shè)置恢復(fù)其原有IP地址，或者阻斷其聯(lián)網(wǎng)，同時(shí)禁止修改網(wǎng)關(guān)、禁用冗余網(wǎng)卡。IP、MAC綁定策略3 .禁止修改網(wǎng)關(guān)、禁用冗余網(wǎng)卡管理支持禁止修改網(wǎng)關(guān)

44、、禁用冗余網(wǎng)卡等功能。4 .硬件資產(chǎn)管理JL信SSWV自動(dòng)搜集包括CPU內(nèi)存、硬盤分區(qū)總和、設(shè)備標(biāo)識(shí)的大小和其他詳細(xì)信息以及其他如主板、光驅(qū)、軟驅(qū)、顯卡、鍵盤、鼠標(biāo)、監(jiān)視器、紅外設(shè)備、鍵盤等所有的硬件信息。北京止值«VHEUIMGVRVSOFTWARECO.LID克京需中耳忖大輯X，中夏時(shí)也及景TdlC度庭號(hào)：VM.IDOOBI特眼78圳WWWCOMCM26內(nèi)網(wǎng)安全管理系統(tǒng)設(shè)計(jì)方案1陣6產(chǎn)-卜”gu代.LiM.erneltXplui'D叫第區(qū)磔;北：那IS*iHtU：:IK.L0D.CI.3LMMhNMT電稅：UULQl?"5bHJO2醞宓岐任后總巽呈二:匚uron

45、工jCTI；工.鶴匕JLi因存三妲二:血mg分區(qū)節(jié)制追尋尋安主¥京占伊A!448HTSETTHIttyt*,"1-十，：dtF¥匚HTnrniaB-2-pTHca到£他卻由G-WSS-S5EX七在蚤工整|1遇；彳由“由nOOU?后*Ht丁jlLA*JU=J'CQCTSiBIP5“叮也:L5：U3-Lip1.(BOOtIOSMXQREWCT15:0335UN:顯球舉京必占EUkLCkrDr«TroTSP健髭幅唯LJ1/1CE鍵電Hlcr*£?ft自然ts/z星基MILh反urb口wdDtvice監(jiān)理至即亂即用房粗理品有前百言死針

46、行將Tj/SC«rip.iLlb±4n<1l£4次標(biāo)的修益Hict。“住TS住Pw，E證配普VIA.IItnH.1btlk?batEEk.TE.+d怔克河啾MNN跖僑TfI:二占科，OO00.1203/21/47|EE.硬件資產(chǎn)管理5 .軟件資產(chǎn)管理自動(dòng)發(fā)現(xiàn)識(shí)別客戶端安裝的所有軟件信息（名稱、版本、安裝時(shí)間、發(fā)現(xiàn)時(shí)間等），將相關(guān)數(shù)據(jù)入庫(kù)，檢測(cè)客戶端運(yùn)行軟件信息，供管理員在Web空制臺(tái)查詢。北京光信A現(xiàn)件思世育收贊BELIINGVRVSOFTWARECO.L1D電京市中工M史單意時(shí)也檢塞度跖&蹲7:100091HQ10曉圳WWWRV.CCMCM27內(nèi)網(wǎng)

47、安全管理系統(tǒng)設(shè)計(jì)方案北信樂IVRV3|牧科皆產(chǎn)1巾看|量討，心?的w,TJQJWVIT戛i更新fJCHJtil-LIH)£U£LM21znces-s?1交08主印YIkBJ/ZII通更新1£LaU2220415:E-36與1H3ZBW3KF實(shí)*KM(KKMfliX?此1Kti日m1.5匚也注定YC3JWSIf宏卞亭新<KNiT»q)1£O»X?甌的噌E第>3打制n:if安箱MgmLO»<23過比1與TT1匕國(guó)箕IDilXY；U星串i哂kTMjsLWT'jiS第55-3T1工國(guó)第毋tlXUM：li更胤

48、iXL-yjJJILLUabJJMHJJ2iILUb上，3Ufqli里端X胎/優(yōu)31avpjs以行p-2i1匚氏茂，7T此了七n串站uiaisT”1affT12j9S0®-5-27IS:W35VOTQIJ甲笥QM4St?lL田升息傳S06K-5-2T1E：S%n菅新m&MA'Tj1加El值?nr»-?Tsne第刖rmwnn諫"網(wǎng)y才州M32O0W-：TISWJfWTWJ?-nftllM.ij0MMM3)iMrTi州M+VIF優(yōu)茂，檢me廿*n電C。專-演出號(hào)21IJ佛法63vmAfi壓死玄呻歸3國(guó)-n®-：2Ti=re及64VTEWEK1

49、尸匚口M5一arosHTi岳國(guó)的器品M白舌3l¥：MQwnr中wt”圖禹希麗的19135EW1BOT03時(shí)5噸TIS'06擊61牙»>_毗相1山仙LijfTltt?.D1D£t£HKMB*«rii：oes>施上1超:bLLU'Jl)22n閆回日HKB4-971史也主千，KJ去f_L士3.?2D-B-5-2T1.5-DE主*ra昵件2DLH-5-2TK-DE壬軟件資產(chǎn)管理6 .軟、硬件設(shè)備信息變更管理報(bào)警未注冊(cè)設(shè)備、注冊(cè)程序卸載行為，實(shí)時(shí)檢測(cè)硬件設(shè)備變化情況（如設(shè)備硬件變化、網(wǎng)絡(luò)地址更改、US暇備接入等）。7 .進(jìn)程保

50、護(hù)管理一止信1QWV對(duì)重要的進(jìn)程進(jìn)行守護(hù)，防止由于意外或人為原因造成重要進(jìn)程中斷。址亨JtltJt軟幃&也相M窖a(bǔ)BEUIMGVRVSOFTWARECO.LTD.克京布中工M史比單反忖M檢出康太鼻。度月也唐川舊”40403M蹲TVM.100091HQ1083'4440(1WWWRVCCMCM28北信如VRV內(nèi)網(wǎng)安全管理系統(tǒng)設(shè)計(jì)方案當(dāng)薊用戶一鼻：4里辛亭城附同:MDSTT；1B沾叩亶千安新癥碼|中霞噩:臟0金:千I41里是里出M國(guó)片iTlftiii青豆U岫事改，D眸博金卷郎甘芮忖砰3.酷布申ft時(shí)？3單府主靠目力»0盤的口也花工刷電算B=F?主smK0HTMKEBWTW

51、lrE捱3小口衽造嗯,野配芯&行學(xué)曾壽5什：-irg1t»!«；）Bf碎等H”DD近餌號(hào)憫垢苜口共田,堂修市量擇基¥曷弟嗎&Pf即事:片外虐盟名何典型用事Jrwfhs*進(jìn)程保護(hù)管理8 .桌面密碼權(quán)限管理對(duì)終端的密碼管理權(quán)限變化及使用狀況（包括密碼長(zhǎng)度、安全性、弱口令等方面）進(jìn)行審計(jì)檢查及報(bào)警，同時(shí)對(duì)不符合要求的終端進(jìn)行提示或強(qiáng)制修改等處置，達(dá)到防止病毒及黑客入侵的目的終端密碼管理北事梵惜出默許JS繼有用螢菽BEUINGVRVSOFTWARECO.,LTO.正坦，T,市小1M交更乂導(dǎo)中國(guó)HU拯般瞋工口匚徵邛區(qū)電唐網(wǎng)口后髀*3息G配用了rttt-WOf

52、ll特010AS'事3相WWWVRV.COMCM29北仔部iVRV內(nèi)網(wǎng)安全管理系統(tǒng)設(shè)計(jì)方案終端權(quán)限管理9 .終端統(tǒng)一防火墻管理員在Web空制臺(tái)對(duì)終端進(jìn)行統(tǒng)一的防火墻設(shè)置，對(duì)網(wǎng)絡(luò)IP及協(xié)議訪問進(jìn)行限制，在網(wǎng)絡(luò)內(nèi)建立虛擬的終端隔離區(qū)。另外對(duì)于大型網(wǎng)絡(luò)，網(wǎng)絡(luò)客戶端由于用戶使用水平的差別，會(huì)出現(xiàn)用戶卸載甚至退出統(tǒng)一安裝的防病毒軟件的情況，也會(huì)出現(xiàn)有個(gè)別用戶被遺漏，未安裝防病毒軟件的情況。管理員可利用Web空制臺(tái)對(duì)終端所安裝的殺毒軟件情況進(jìn)行監(jiān)控和管理，并能夠?qū)K端殺毒軟件實(shí)施遠(yuǎn)程操作（病毒查殺、升級(jí)、軟件安裝等）。還可統(tǒng)一監(jiān)控網(wǎng)絡(luò)內(nèi)的防病毒軟件（國(guó)內(nèi)主流廠商的均可）安裝情況和使用狀態(tài)，了解網(wǎng)絡(luò)

53、中的病毒軟件安裝狀況，必要時(shí)可通過此設(shè)計(jì)強(qiáng)制為客戶端安裝防病毒程序，如果需要，也可監(jiān)控終端軟件的安裝情況，并進(jìn)行相應(yīng)的管理（如安裝殺毒軟件軟件，強(qiáng)行升級(jí)病毒庫(kù)、自動(dòng)分發(fā)并自動(dòng)執(zhí)行病毒專殺工具等）。比亨比便上跌幃段也相M咎屈BEUIMGVRVSOFTWARECO.LiD加%電京需中工M史MM烏電工時(shí)卻境地度kA.蹲TVM.100091HaQ10睦|48圳WWWRV.CQMCM30內(nèi)網(wǎng)安全管理系統(tǒng)設(shè)計(jì)方案終端防火墻管理10 .終端殺毒軟件管理發(fā)并自動(dòng)執(zhí)行病毒專殺工具等）0終端殺毒軟件管理比？比值星紈幃毋育附合國(guó)BEUIMGVRWSCFTWARECQ.LTD.克京市中工朝史比M/單夏時(shí)口修盅靠度跖偈

54、:蹲7100091特眼72加WWWVRV.COMCMilfsiiVW31可統(tǒng)一審計(jì)網(wǎng)絡(luò)內(nèi)終端的防病毒軟件（主流廠商的均可）安裝和使用情況，必要時(shí)可強(qiáng)制為客戶端安裝防病毒程序。如果需要，也可監(jiān)控終端防病毒軟件的安裝情況，并進(jìn)行相應(yīng)的管理（如安裝殺毒軟件軟件，強(qiáng)行升級(jí)病毒庫(kù)、自動(dòng)分內(nèi)網(wǎng)安全管理系統(tǒng)設(shè)計(jì)方案11 .終端在線/離線策略管理提供針對(duì)不同的網(wǎng)絡(luò)接入情況，設(shè)定終端的在線、離線策略。當(dāng)終端處于不同的網(wǎng)絡(luò)中，可以實(shí)現(xiàn)不同的執(zhí)行策略。12 .運(yùn)行資源監(jiān)控在Web空制臺(tái)對(duì)終端的CPU內(nèi)存、硬盤的資源占用率和剩余空間進(jìn)行監(jiān)控,設(shè)定危險(xiǎn)等級(jí)報(bào)警閥門。終端運(yùn)行資源管理13 .流量管理和控制蠕蟲病毒和BT下

55、載等行為在很多情況下會(huì)嚴(yán)重占用網(wǎng)絡(luò)帶寬，造成網(wǎng)絡(luò)的擁塞甚至癱瘓，對(duì)此可利用流量進(jìn)行管理與監(jiān)控。主要功能：流量采樣閾值設(shè)定：用戶自主設(shè)定采樣閾值，當(dāng)流量（含出、入或總流量）超過一定限度并持續(xù)一定時(shí)間后，進(jìn)行有關(guān)信息上報(bào)，防止上報(bào)數(shù)據(jù)過多給網(wǎng)絡(luò)帶來負(fù)擔(dān)。比享止值«幃香繼育HBEIJINGVRVSOFTWARECO.LID電京需中工導(dǎo)大VtM，中反忖M慢啜AtiJdlC度強(qiáng)40403M蹲T100091特睦1收詢WWWVRVCCMCM32it信3alyavI內(nèi)網(wǎng)安全管理系統(tǒng)設(shè)計(jì)方案上報(bào)的當(dāng)前流量進(jìn)行匯總，對(duì)當(dāng)前的流量進(jìn)行時(shí)實(shí)排序，以便網(wǎng)絡(luò)管理人員進(jìn)行快速分析是否是網(wǎng)絡(luò)安全事故。對(duì)網(wǎng)絡(luò)客戶端的歷史流量進(jìn)行統(tǒng)計(jì)和排序，并可生成報(bào)表對(duì)并發(fā)連接數(shù)設(shè)定閾值并進(jìn)行采樣。對(duì)網(wǎng)絡(luò)掃描的可疑行為進(jìn)行閾值設(shè)定和報(bào)警。對(duì)客戶端大量發(fā)包的可疑行為進(jìn)行閾值設(shè)定和報(bào)警。對(duì)具備可疑行為的客戶端進(jìn)行報(bào)警上報(bào)、自動(dòng)阻斷、客戶端提示等管理設(shè)定網(wǎng)絡(luò)客戶端流量上限閾值，對(duì)超過的進(jìn)行報(bào)警上報(bào)、自動(dòng)阻斷、客戶端提示等管理。終端流量采樣管理14 .流量異常監(jiān)控在Web空制臺(tái)對(duì)終端的網(wǎng)絡(luò)流入、流出和總流量進(jìn)行監(jiān)控和管理。并能夠?qū)Ξa(chǎn)生總流量過大、分時(shí)段瞬時(shí)流量過大的進(jìn)程進(jìn)行統(tǒng)計(jì)，輔助分析產(chǎn)生流量過大的原因。北聿北慎止裳幃心維百附咎屈BEUIMGVRtf