终端安全管理体系

1 面向网络空间的终端安全管理体系 北信源 SpecSEC终端安全管理体系解决方案 2 4. 部分案例展示 1. 信息安全 趋势 分析 2. 终 端安全管理体系建 设 新思路 目 录 3. VRV SpecSEC终 端安全管理体系 3 1. 信息安全趋势分析 4 Intranet 1. 保护网络基础设施 2. 保护区域边界 3. 保护内部计算环境 安全趋势分析 5 终端安全现状分析 安全需求多样化 操作系统和 文件安全：文件病毒、蠕虫病毒、木马病毒 身份认证安全：密码认证、证书认证、指纹认证、双因素认证 终端运维安全：资产管理、外设管理、进程管理、非法外联 数据安全管理：文档加密、介质管理、敏感信息消除 安全审计管理：终端操作和访问行为审计与分析 网络边界动态化 网络的边界：数据传输网络构建 设备的边界：路由器、交换机、服务器、 PC机、手机 人员的边界：移动办公、异地漫游 安全产品联动化 单个产品无法解决所有安全问题 1+12的联动防护 密码认证 证书认证 双因素认证 主机防病毒 终端安全市场分析 文档加密管理 存储介质管理 介质信息消除 敏感信息检查 资产管理 外设管理 补丁管理 非法外联 OS和文件保护 桌面终端安全管理 终端身份认证 数据安全管理 7 前沿安全动态分析 网络空间安全的解读： 网络空间安全 被认为是 计算机 网络上的信息安全，是指网络 上 的硬件 （如骨干网设备、终端设备、线路、辅助设备等）、软件（如操作系统、应用系统、用户系统等），及其运行的数据、提供的应用服务不因偶然的、恶意的原因而遭到破坏、更改、泄露和失控。 当 网络 病毒和木马、 计算机 黑客，以及信息战等越来越严重的影响到公众利益和国家利益的时候， 网络空间安全 (Cyberspace Security)也继国防安全、政治安全、经济安全、金融安全之后成为国家安全体系中的一项重要内容，受到包括美国、欧洲和中国政府的高度关注。 网络空间安全的应对 对于 整体安全建设 而言， 需要研究和开发全新的安全体系结构，包括一些新的 安全理念、 安全技术，以便从根本上为 IT基础设施提供整体安全性保障。 对于 终端安全建设 而言，需要建立完整的终端安全管理体系，包括终端安全理念和模型、终端安全技术，以及终端安全建设思路等。 8 2.终端安全管理体系建设新思路 设计参考依据 国家安全标准及政策法规的要求 中华人民共和国保守国家秘密法 信息安全技术 信息系统安全等级保护技术要求 （ GB/T 22239-2008） 信息安全技术 终端计算机系统安全等级技术要求 （ GA/T 671-2006） 信息安全技术 信息安全风险评估规范 （ GB/T 20984-2007） 互联网安全保护技术措施规定 （ 公安部第 82号令） 行业安全规范的指导要求 证券行业： 证券公司风险控制指标管理办法 、 关于加强对投资者网上交易安全保护的通知 金融行业： 商业银行内部控制指引 、 银行业信息系统灾难恢复管理规范 电力行业： 电力二次系统安全防护规定 （电监会 5号令） 电信行业： 移动终端信息安全测试方法 （ YD/T 1700-2007）、 移动终端信息安全技术要求 （ YD/T 1699-2007） 行业自身发展的实际需要 为了保证行业业务系统的安全稳定运营，必须确保其信息安全保障水平与网络系统的建设同步进行。 关于信息安全等级保护工作的实施意见 66号文、 信息安全等级保护管理办法 43号文、 861号文、 信息系统安全等级保护技术要求 （ GB/T 22239-2008）等政策文件和安全标准。其中与终端安全相关的要求包括： 等级保护对终端安全的要求 11 VRV SpecSEC：面向网络空间的 终端安全管理体系 Specification： 安全产品符合性开发 . Policy：基于 策略的安全配置 . Evaluation： 终端 检查与评估 . Component： 组件化 的应用模式 . Security:安全体系建设 . 12 VRV SpecSEC终端安全管理体系模型 Specification： 安全产品 的 符合性开发 ：遵循国家、行业安全政策和法律法规而研发。 Policy： 基于 策略的安全配置 ：通过统一的策略中心为终端计算机配置和下发各种安全策略。 Evaluation： 终端 检查与评估：通过对终端系统的安全性策略检查，确保终端计算机的安全准入。 Component： 组件化 的应用模式：通过提供模块化的产品组合，为各种功能扩展提供灵活的选择空间。 Security: 安全体系建设：通过上述体系模型最终构建成为面向网络空间的、完整的终端安全管理体系，为整体信息安全体系建设打下坚实的基础 。 V R V S p e c S e c北 信 源 终 端 安 全 管 理组 件 化终 端 安 全（ C o m p o n e n t ）行 业 规 范（ S p e c i f i c a t i o n ）策 略（ P o l i c y ）评 估（ E v a l u a t i o n ）行为管控 桌面安全 安全审计 数据安全 终端安全准入管理 未知终端准入控制 终端用户身份认证 安全准入控制 终端行为管理 桌面安全管理 软件与进程管理 外设管理 防病毒管理 异常流量 非法外联 数据安全管理 安全管理 终端安全 接口规范 终端安全 资产管理 终端安全 检查评估 终端安全 应急响应 终端安全 事件取证 聊天行为 上网行为 网络应用 P2P下载 OS操作 文件操作 文档加密 移动介质管理 数据销毁 敏感信息检查 备份与恢复 安全审计管理 即时通讯 上网访问 邮件审计 OS及文件操作 数据库审计 安全准入 VRV SpecSEC终端安全管理体系架构 14 VRV SpecSEC终端安全管理体系支撑模型 终端安全技术体系 安全准入控制技术 终端安全管理体系 终端安全运维体系 可信网络认证技术 桌面终端安全技术 信息安全管理制度 管理制度的落实 信息安全管理组织 移动存储 /文档安全技术 日常运维制度 日常运维流程 安全应急响应 行业用户最佳安全实践 终端云安全技术 企业用户最佳安全实践 国家信息安全标准与政策法规 15 VRV SpecSEC终端安全管理体系产品架构 VRV SpecSEC产品体系架构 北信源信息安全管理通告平台 软件产品 终端安全管理系列 电子文档安全管理 光盘刻录监控审计 数据安全 KDSEC 敏感信息保密检查 . 硬件产品 硬件接入网关 上网行为管理网关 安全登录认证 key 安全管理 U盘 介质信息消除机 . 定制产品 Intel vPro管理系统 政务终端护理系统 16 3. VRV SpecSEC 终端安全管理体系设计与实现 行为安全管控设计与实现 桌面安全管理设计与实现 数据安全管理设计与实现 安全审计管理设计与实现 安全准入控制设计与实现 终端安全管理体系建设 未知终端准入控制 终端用户认证管理 终端安全准入控制 VRV SpecSEC终端安全管理体系设计与实现 实现对终端用户的 双因素身份认证； 实现登录 key与 OS 用户的权限绑定； 实现登录 key授权权 限的的划分管理； 实现用户登录行为的 安全审计； 要采取两种或以上技术对管理用户进行身份认证；要根据管理用户的角色分配权限，实现管理用户的权限分离。 等级保护主机安全 终端身份认证 采用用户名、密码认证的方式，实现计算机入网的身份认证和安全检测，与市场主流交换机完全兼容。 1. 802.1X接入认证系统 专有硬件产品，置于网络节点，进行 HTTP、DNS的重定向，实现客户端安装检测，从而达到未注册终端无法使用网络。 2.北信源接入认证网关 分布式 ARP干扰，不同 VLAN和网段均可实现。 3.ARP干扰隔离技术 专有技术，采用私有协议，能够实现未注册终端强制隔离出网。 4.虚拟隔离强制注册技术 实现对未知终端 的隔离与控制； 实现对授权终端 基于防病毒策略 的安全检查准入 控制； 实现对授权终端基 于补丁策略的安全 检查准入控制； 实现终端通过有线、 无线多种接入方式 的准入控制； 实现终端在异地漫 游状态下的准入控制； 对非授权设备私自联到内部网络的行为进行检查，并阻断。 等级保护边界完整性检查 安全准入控制 20 行为安全管控设计与实现 桌面安全管理设计与实现 数据安全管理设计与实现 安全审计管理设计与实现 安全准入控制设计与实现 终端安全管理体系建设 聊天行为 OS操作行为 文件操作 上网行为 P2P下载 网络应用使用 VRV SpecSEC终端安全管理体系设计与实现 内部员工随意上网浏览各种非法网站、视频聊天、玩网络游戏、炒股票、 P2P软件下载电影和视频文件，不仅造成工作效率低下，甚至影响行业业务系统的正常运行。 网络行为管控 网络带宽管理 访问控制管理 网址过滤管理 外发内容内容审计 身份认证准入管理 网络应用监控 网络状态监控 实现对网址信息过滤， 防止对非授权网站的 访问； 实现对网络游戏软件、 股票软件、聊天软件 等应用的管理和控制； 实现对 p2p软件、网络 视频的控制，优化网路 带宽； 实现与终端软件联动， 完成对文件操作、 OS 操作行为的管理和授权 上网行为管控 VRV BMG 22 行为安全管控设计与实现 桌面安全管理设计与实现 数据安全管理设计与实现 安全审计管理设计与实现 安全准入控制设计与实现 终端安全管理体系建设 资产管理 异常监控 违规外联 外设管理 终端加固 VRV SpecSEC终端安全管理体系设计与实现 补 丁 及 文 件 分 发 终 端 IP 绑 定 管 理 信 息 资 产 管 理 违 规 外 联 监 控 进 程 运 行 管 理 软 件 安 装 管 理 用 户 密 码 管 理 终 端 消 息 通 知 外 设 端 口 控 制 远 程 协 助 管 理 主 机 运 维 管 理 实现终端信息资产 的统计与管理； 实现终端电脑外设 接口的控制与管理 实现终端 OS、应用 系统的补丁分发与 自动安装管理； 实现对终端异常进 程、异常流量等的 监控； 实现对终端非法外 联的控制； 编制与信息系统相关的资产清单，包括资产责任部门、重要程度和所处位置等内容。 等级保护资产管理 对内部网络用户私自联到外部网络的行为进行检查，并阻断。 等级保护边界完整性检查 桌面安全管理 24 行为安全管控设计与实现 桌面安全管理设计与实现 数据安全管理设计与实现 安全审计管理设计与实现 安全准入控制设计与实现 终端安全管理体系建设 移动介质管理 数据备份与恢复 数据安全销毁 敏感信息检查 文档信息加密 VRV SpecSEC终端安全管理体系设计与实现 采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据传输、存储保密性； 等级保护数据安全 文档透明加密 应用指纹识别 文档水印显示 用户权限申请 文档外发 文档操作授权 自定义密钥 密级管理 离网管理 实现文档透明 加密； 实现文档操作 授权； 实现文档外发 安全管理； 文档安全管理 邮件透明加密 策略 标签认证 扇区加密 USB接口控制 数据区权限控制 分组管理控制 文件过滤控制 灾难恢复 其他 USB设备控制 信息审计 要根据所承载数据和软件的重要程度对介质进行分类和标识管理。 等级保护介质管理 实现移动存储设备 的使用权限控制； 实现移动存储设备 读写权限控制； 实现移动存储设备 识别管理。 移动介质管理 未经专业销密，不得将涉密计算机和涉密移动存储介质淘汰处理。 计算机保密规定 对需要送出维修或销毁的介质，首先清除其中的敏感数据，防止信息的非法泄漏。 等级保护介质管理 1. 00擦除 1次。 2. FF擦除 1次。 3. 00、 FF各 10次，随机擦除数十次， 00、 FF各10次。 4. 00 擦除 1次， FF擦除 1次 ,00擦除 1次。 介质信息消除 实现存储介质数据 信息的永久擦除； 实现存储介质数据 信息不可恢复； 符合国家保密局 BMB21-2007标准 的要求； 要根据所承载数据和软件的重要程度对介质进行分类和标识管理。 等级保护介质管理 光盘刻录监控 实现用户权限控制，未授权 用户无法使用刻录软件； 实现刻录软件权限控制，其 他刻录软件无法刻录 ； 实现数据光盘的加密刻录， 只有使用密钥才可正常读 取 ； 实现刻录行为的安全审计， 包括刻录计算机 IP、 MAC、 刻录时间、源文件绝对路 径、目的文件绝对路径等 信息 ； 敏感信息检查 实现计算机应用信息、 常规安全检查、深度 安全检查三级架构检 查； 实现多种违规操作行 为的检查取证，如重 装系统、格式化硬盘 等； 适合多种运行环境， 如硬盘安装、光盘和 U盘单独运行等； 上网信息检查 已删除敏感信息检查 U盘使用信息检查 1. 基本信息检查：系统进程、服务和端口、上网 记录、连接状态、已装软件等 2. 常规安全检查：违规上网、敏感信息、 U盘使 用记录、系统账户安全等 3. 深度安全检查：扇区检查、已删文件检查等 30 行为安全管控设计与实现 桌面安全管理设计与实现 数据安全管理设计与实现 安全审计管理设计与实现 安全准入控制设计与实现 终端安全管理体系建设 邮件审计 上网行为审计 即时通讯审计 OS及文件操作审计 文件输出审计 VRV SpecSEC终端安全管理体系设计与实现 要求对主机系统的操作行为进行审计。 等级保护安全审计 实现终端用户对文件的 操作行为审计； 实现终端用户对 OS的 操作行为审计； 实现终端用户对外设的 操作行为审计； 完成终端用户即时通信 行为的审计； 主机行为审计 记录并留存用户访问的互联网地址或域名”，“在公共信息服务中发现、停止传输违法信息，能够记录并留存发布的信息内容及发布时间”， “应当至少保存 60天记录备份” 公安部第 82号令 网络行为管控 邮件内容审计 网页访问审计 网址过滤管理 网络发帖审计 Ftp/Telnet应用协议 BBS论坛审计 即时聊天审计 实现对每条 URL访问记录 产生的时间、终端主机、 URL链接审计，及所属网 站分类； 实现对邮件发送和接收 帐号、邮件发送时间、涉 及的主机、邮件的内容及 附件的审计； 实现对聊天工具类型、发 送和接收的帐号、聊天记 录产生的时间、涉及的终 端主机以及消息内容的审计； 实现对发帖时间、涉及的 终端主机、发帖记录产生 的网站以及发帖标题审计； 网络行为审计 VRV BMG 33 数据库安全审计 审计范围应覆盖到服务器和重要客户端上的每个 OS用户和数据库用户。 等级保护安全审计 34 互联网 专网 外联单位 总部 分支机构 路由器 移动办公 ERP系统 MES系统 防火墙 上网行为管理系统 终端 终端 数据库 无线区域 审计中心 VRV SpecSEC终端安全管理体系建设示意图 安全准入控制防护 BT下载、上网、游戏等行为安全防护 数据安全管理防护 综合安全审计防护 数据安全管理防护 统一管控和联动平台 终端安全管理防护 看不懂 进不来 拿不走 改不了 跑不了 可审查 打不垮 建设效果 36 4.部分案例展示 公安部全网安全管理通告平台 级联部署架构 部署管理服务器数百台，终端计算机远远超过百万台； 实现全网范围内的违规外联监控，延伸至每个派出所； 使用补丁分发功能，增强终端安全性； 将各软件功能集成在一个客户端中，减少资源占用； 建设设备资产统一管理平台； 建立了公安部信息安全管理、检查和考核的制度办法。 行业案例 -公安部金盾工程“一机两用”系统 38 建设成果 建立起了百万级的终端和网络设备的资产库 达到了全国范围内 96.65%的终端设备注册率 终端计算机的补丁分发率达到了 99%以上 100余人管理百万级的终端计算机及网络设备 平均每万台计算机中，病毒的总报警次数低于 3次 /日 网内计算机设备的杀毒软件覆盖率达到 99%以上 形成了以公安部行政架构为主体的统一管理体系 通过统一的信息收集处理方式，大大减少了安全事件的响应时间 全国范围内违规事件逐级上报，总部或省单位的管理人员可在半小时内锁定违规事件责任人 通过北信源信息安全管理平台，制订了信息安全管理制度、信息安全考核制度及用户日常工作规范 通过严格有效的检查及考核制度，使终端用户形成良好的安全意识、养成良好的工作习惯 桌面终端标准化管理系统的建设为国家电网公司信息化建设工程（“ SG186工程”）的一个组成部分，即在国家电网公司构筑由信息网络、数据交换、数据中心、应用集成、企业门户五个部分组成的一体化企业级信息集成平台； “ SG186工程” ： 重点建设“一个系统、二级中心、三层应用”。一个系统就是构筑一体化企业级信息系统，实现信息纵向贯通、横向集成，支撑集团化运作；二级中心就是建设总部、 省 级 公司两级数据中心，共享数据资源，促进集约化发展；三层应用就是部署总部、省 级 公司、地市县公司三层业务应用，优化业务流程，实现精细化管理。 行业案例 -国家电网桌面终端管理系统 国家电网信息管理综合监管平台 综合监管平台结构图 全网范围内部署了数十万多个计算机终端，制作并分发了十万个以上的移动存储介质； 制定了国家电网内网终端防护和移动存储介质使用标准； 建立了整个国家电网公司终端资产管理平台和终端安全管理体系； 按照国家电网公司要求建立起统一部署、分级管理的级联架构； 通过桌面标准化改造，提高了终端安全性，加强了用户安全防范意识； 建设成果 41 终端安全管理：完成了终端资产统计管理、终端注册管理、终端外设管理和终端异常监控管理。 终端加固管理：实现了计算机终端漏洞自动检测与补丁分发管理。 移动存储管理：实现了