终端安全管理体系解决方案

终端安全管理体系解决方案内容摘要：

的安装运行情况，如有违规即刻终端用户跳转到修复区或者直 接断开终端网络连接； 在网络中专门划分出修复区域，防病毒软件服务器放置在网络修复区中。 终端用户根据安全策略要求安装及升级杀毒软件。 4) 未打补丁终端接入限制； 通过北信源补丁索引检测终端用户是否安装系统补丁，检测注册终端未打或漏打补丁时，将会提示终端用户有哪些需要安装的补丁并且会自动弹出下载的补丁的 WEB 页面，即刻终端用户跳转到修复区或者直接断开终端网络连接； 终端安全管理体系解决 方案 15 在网络中专门划分出修复区域，系统补丁文件服务器放置在网络隔离区中。 根据北信源补丁索引要求升级操作系统软件补丁。 5) 运行不可信进程、服务、注册表终端接入限制 ； 不可信进程、服务、注册表是针对可信进程、服务、注册表进行判断的，通过用户自定义设置可信进程、服务、注册表来判断终端是否允许接入到工作区。 对于终端用户没有运行可信进程、服务、注册表的视为不可信终端，即运行了不可信进程、服务、注册表，并对终端接入进行限制。 6) 未达到预定义安全级别的终端接入访问区域限制； 预定义安全级别指的是 VRVEDP 服务器制定的安全等级，其中包括补丁、杀毒软件的检测，进程、服务、注册表、文件存在， IP、 MAC 绑定的制定等安全级别，通过对终端的安全等级的检测，判断终端是否满足安全级别，若不满 足终端将会进去限制区域，限制区域内终端可以对自身进行安全修复，当满足预定义的安全级别后，终端将会正常接入工作区。 7) 自定义终端安全接入必须的桌面运行安全环境； 用户可以结合自身的需求自定义终端安全策略，也可以按照用户现实环境的需要个性化搭配各个安全检查策略组合，已达到最佳的桌面安全管理效果，为保障基本的桌面安全环境，杀毒软件和补丁是必须要求管理的，对没有安装杀毒软件或未打补丁的终端要对其加以限制。 2. 虚拟隔离强制注册技术 1) 虚拟隔离强制注册技术： 虚拟隔离强制注册技术基于最基本的网络协议实现，具有广泛的适用性，对接入单位内部网络的计算机进行安全认证，用于保护单位整个内部网络，包括可管理的（单位台式机、手提电脑、服务器）以及不可管理的（外部访客、合作伙伴、客户）终端。 能够强制提升单位网络终端的安全，使网络安全得到更有效提升。 并且系统可以面向所有的网络架构工作，不必进行复杂的网络架构改造。 2) 虚拟隔离强制注册的实现： 北信源虚拟隔离强制注册技术实现方式灵活，只需在服务器进行简单配置即可，技术要求较低，不需要其他软、硬件设备的支持，并且对服务器的部署位置无特殊要求，实现简单。 系统采用被动发现模式，对网络影响极小。 终端安全管理体系解决 方案 16 3) 未注册终 端接入访问限制： 没有安装安全管理客户端的计算机在接入网络时，可在极短时间被发现阻断，限制未注册终端进入内部网络访问的权限，只有终端注册成功后才可以通过检测。 4) 未注册终端重定向； 未注册的终端只保留与安全管理服务器的通讯，在被阻断之后，终端会及时弹出重定向网页，提示使用者下载安装安全管理客户端。 . 桌面安全管理 通过桌面安全管理可以评估并检验终端计算机的安全性，实行补丁下发和防病毒软件的检测等终端加固措施，提供软硬件资源登记及终端设备变化报警、进行远程维护、软件进程保护和终端流量监控，以及非法外联监控等功能， 防止通过其他途径而造成的敏感信息的泄漏。 主要实现如下：  能够对终端电脑硬件资源、软件资源，以及软、硬件资源变更的信息统一与管理；  能够解决终端电脑 外围设备 （软驱、光驱、刻录机、 U 盘、移动硬盘、拨号连接、无线上网、红外传输、蓝牙、串并口、打印机等）的使用管理与控制； 终端安全管理体系解决 方案 17  能够对 终端电脑软件安装、进程运行、服务加载的监控与保护的安全问题；能够 快速有效地定位网络中病毒、蠕虫、黑客的引入点，及时、准确地切断安全事件发生点和网络；  能够对终端电脑登录密码、用户权限、 IP 访问控制、 IE 安全设置、注册表监控与 保护的安全问题；对终端电脑运行资源、异常流量、异常进程的监控与管理； 终端安全管理体系解决 方案 18  能够对终端补丁安装进行管理，能够统计每台终端补丁安装情况，能够根据补丁策略选择补丁自动分发和人工选择补丁分发，根据不同需要制定不同策略实现补丁的自动分发。  能够对终端安装防病毒软件进行管理，监控终端是否安装杀毒软件，安装哪款杀毒软件、杀毒软件是否运行等。  通过策略配置快速的实现 IP、 MAC 绑定，绑定后，对私自修改 IP 计算机进行地址恢复，或断网，同时上报服务器保存。 终端安全管理体系解决 方案 19  能够对终端用户的非法外联进行管理，如未经允许私自连入单位内非授权网络或者外联网的行为；并可以监控受控终端离开受控网络后，是否有违规连入外联网等行为。 通过对终端使用控制管理与防护，最终实现对桌面终端的安全控制与合规性管理，实现桌面终端的可管理性、可控性，杜绝不安全的终端电脑在网络中的运行，防止各种不安全因素在网络中运行而造成的安全隐患。 . 终端行为管控设计实现 终端 行为管控主要对终端用户的网站浏览控制、网络应用使用控制、网络下载控制、带宽使用控制等各种网络访问和使用行为进行管理和控制。 其主要用于解决终端用户接入互联网或外联网可能引发的各种安全问题，可实现网络安全准入控制、二次授权访问、敏感信息过滤、行为安全审计、网络带宽资源优化以及对 P2P 软件、游戏软件、股票软件、即时通信等各种应用软件的管理和控制功能，同时实现对上述各种网络行为的管理和审计。 该组件主要功能实现如下：  模块化的功能应用组合 终端行为管控采用模块化的应用功能加载模式，真正实现了功能应用模块化。 它将某些特性功能划分为不同的应用组件，可根据用户自身的需求特点，选择和启用不同的功能组件实现任意组合与扩展，保护安全投资，减轻系统负 载， 终端安全管理体系解决 方案 20 提交系统运行效率。  网络准入控制 加载安全准入组件后，可以实现对计算机终端的网络安全准入控制。 例如：对未注册用户的入网行为进行管理（包含 URL 重定向功能），对已注册的用户不做任何的阻断操作，记录合法的注册信息等功能，从而达到终端用户的入网管理与控制，优化网络资源分配的目的。  网络访问控制： 内置用户访问控制规则，并通过二次授权认证管理策略，对不符合外网访问 终端安全管理体系解决 方案 21 条件的用户和主机禁止访问外网或者限制外网访问范围。  网络应用行为管理： 采用 深度业务识别 DSI（ Deep Service Inspection）技术，通过自身内置100 余种常见网络应用的业务特征，综合运用 HADL 继承式应用描述语言 ,允许网络管理者针对不同的内网用户、不同时段，结合企业的实际需求制定适合本企业的网络应用行为管理规范。  网页过滤检查： 内置 36 大类超过 100 万条的 中文 网页过滤分类数据库 ，能够实现基于 URL预分类网站列表的访问控制、基于用户和访问时间段的控制管理、基于 URL 关键字的 URL 过滤、支持 URL 访问记录的查询，以及可以对访问内容、访问量和访问者的统计排名等功能。  敏感信息及非法关键字过滤： 采用业界独创的技术，在不影响产品性 能的情况下可以实时的针对网页、邮件、搜索引擎关键字和论坛发帖内容进行过滤，大大的规避了企业的法律风险。  带宽流量管理： 针对内网的不同访问需求公平合理的分配网络访问带宽，防止某些用户独占过多带宽带来网络拥塞。  综合内容审计： 采用领先的 知识发现 KDT（ Knowledge Discovery Technology）技术 （该技 终端安全管理体系解决 方案 22 术是 数据挖掘与 DSI 深度业务识别检测 两种 技术 的结晶，它 可以根据不同的业务类型进行有针对性的内容还原解码 ），能够对邮件内容、聊天内容、网络发贴等综合信息进行安全审计、综合检索和完整备份 .  分 布式部署、集中化管理 对于拥有多个分支机构的组织，可能面临分布式部署的集中管理问题， VRV BMG 支持多级结构的集中管理，支持策略统一下发。  人性化的报表分析统计： 内置人性化的报表模块，可以按照用户的需求定义报表类型，全面有效的展现用户最关心的报表内容 . . 终端数据安全设计实现 终端数据安全防护 主要是 通过加密技术实现对敏感文档的安全防护。 包括移动存储介质使用控制、电子文档安全管理、光盘刻录行为控制以及保密信息检查 终端安全管理体系解决 方案 23 控制等，确保授权终端用户使用行为和访问行为的合规性、可控性，避免不合规终端计算机和非 受控行为而引发的重要文件信息泄漏事故。 该组件具体实现如下： . 移动存储介质使用控制 移动存储介质使用控制则通过 对存储介质管理和介质信息消除来共同实现。 1. 存储介质管理 存储介质管理可以将整个移动存储介质划分成任意两部分容量的交换区和保密区，并需要通过密码认证才可以访问。 它具有 USB 标签制作工具，能够对移动存储介质进行保护和加密，对移动存储设备进行使用范围授权，访问控制等综合的管理。 主要实现功能如下：  能够对移动存储设备统一进行接入认证管理，能够支持终端识别指定的移动存储设备。  能够对存储介质进行分区管理，能 够通过标签方式将存储介质分为交换区和保密区，并可灵活设置分区大小、访问密码，数据存储方式均为加密存储。  能够对存储数据采取加密管理方式，如采用 AES 加密算法对存储数据进行加密。  能够对移动存储介质的读写权限进行管理；能够通过对移动存储介质写 终端安全管理体系解决 方案 24 入标签，实现分级权限控制。  具备移动存储介质审计和文件操作审计功能，能够对移动存储的插拔动作进行审计；能够对文件操作的各种行。