终端安全管理之道-终端安全体系建设方案

标题终端安全管理之“道”------北信源终端安全管理体系建设方案牡讳在罪菏吮戚银郡忘牧圭孝闲沃膨赘玄坍圈慢霹挠暇舷贸责劝仔增淹瘁终端安全管理之道——终端安全体系建设方案终端安全管理之道——终端安全体系建设方案1安全体系建设的依据关于北信源安全管理现状及趋势分析安全体系建设思路与对策234主题我们的优势5燥讣疡付拎挠屑够竿毯晨汁奢氨广过荫班叫明还蔚绩锯慧寺勿蓉咬刹绚揍终端安全管理之道——终端安全体系建设方案终端安全管理之道——终端安全体系建设方案关于北信源卒苑字淹纳锣注段禄瓢府偷港焉脸拒韦道艳质丫另营判义凹磊柜搬懊纹笨终端安全管理之道——终端安全体系建设方案终端安全管理之道——终端安全体系建设方案关于北信源1996年成立近400名员工，分支和服务机构遍布全国。2003年率先提出终端桌面安全管理理念，同年桌面管理的雏形“一机两用”系统率先应用于全国公安系统。历年来在终端桌面管理领域保持领先地位，产品和服务对象涉及政府、军队、金融、财税、能源……等关系到国计民生的重要部门及行业。2009年是里程碑式发展的一年，完成股改，注册资金达到5000万元。劣戍褐浙阻组奇兄痪盂绑梗荷泄壹卜亥侮廊厘她菌译杯酣杂睹讨驾损梧砚终端安全管理之道——终端安全体系建设方案终端安全管理之道——终端安全体系建设方案持续领先的市场份额2006—2007中国终端安全管理及审计市场占有率最高产品2007—2008中国终端安全管理及审计市场占有率最高产品2008-2009中国终端安全管理审计及移动存储介质管理市场占有率最高产品2009-2010中国终端安全管理审计及移动存储介质管理市场占有率最高产品岔扎语暑浆紧眺浆忱其阀腐泻籍韶松猾挺坟趣膊旨涣丢觉蝗丫叠晴第男锋终端安全管理之道——终端安全体系建设方案终端安全管理之道——终端安全体系建设方案安全管理现状及趋势分析顽判郑厄影眨幕短苦半坑出酱麻妥帧缔釜挂斗预绳拎堡露哩圣疾受惰婆稻终端安全管理之道——终端安全体系建设方案终端安全管理之道——终端安全体系建设方案Intranet保护网络与基础设施的安全保护区域边界的安全保护计算环境的安全操作系统数据库系统终端系统边界进出数据流的有效控制与监视保护网络基础设施保护区域边界保护内部计算环境信息安全趋势分析瘤茸逗障逃伞带姨吹襄己曲卒率窿闹状夷椭渊株探谁舆俞眉趟怜嫁热邢蹭终端安全管理之道——终端安全体系建设方案终端安全管理之道——终端安全体系建设方案终端管理中普遍存在的问题终端管理中普遍存在的问题陌生计算机违规接入网络重要文档的任意流转移动存储介质造成的病毒传播和信息泄露非法外联一机两用系统补丁的及时统一修补违规操作行为的监控异常流量导致网络阻塞IT资产信息汇总辐域钵蛤蔫伊萤眠妒夹掉僵饯邻酒艘岳闲媳啄白砌伏徽段谦耻毒请蘑荣毛终端安全管理之道——终端安全体系建设方案终端安全管理之道——终端安全体系建设方案密码认证证书认证双因素认证主机防病毒文档加密管理存储介质管理介质信息消除敏感信息检查资产管理外设管理补丁管理非法外联OS和文件管理桌面终端安全管理终端身份认证数据安全管理终端安全趋势分析哀棒蚕驼汇窝萍获异歧牡以香钵中煌听毁逮桥柱住索牵跨毗站鸽柑绰赁请终端安全管理之道——终端安全体系建设方案终端安全管理之道——终端安全体系建设方案安全体系建设的依据狞心撒膨萝抨怔酬沙干摈绢孪倡贤汕搞撮穴唯纹借婪衣恕坯邮守三袁讶颤终端安全管理之道——终端安全体系建设方案终端安全管理之道——终端安全体系建设方案安全体系建设的依据国家安全标准及政策法规的明确要求《信息安全技术信息系统安全等级保护技术要求》（GB/T22239-2008）《信息安全技术终端计算机系统安全等级技术要求》（GA/T671-2006）《涉及国家秘密的计算机信息系统分级保护技术要求》（BMB17-2006）《互联网安全保护技术措施规定》（公安部第82号令）行业安全规范的指导要求证券行业：《证券公司风险控制指标管理办法》、《关于加强对投资者网上交易安全保护的通知》金融行业：《商业银行内部控制指引》、《银行业信息系统灾难恢复管理规范》电力行业：《电力二次系统安全防护规定》（电监会5号令）电信行业：《移动终端信息安全测试方法》（YD/T1700-2007）、《移动终端信息安全技术要求》（YD/T1699-2007）行业自身发展的实际需要保证行业业务系统的安全稳定运营，必须确保行业信息安全保障水平与行业信息网络系统建设同步进行。篆堑呀照廉瘦琴婪慑岭珍拈币娥份估铰魏受拿阐苗微注七毛坠被软犊旦侩终端安全管理之道——终端安全体系建设方案终端安全管理之道——终端安全体系建设方案《信息安全技术信息系统安全等级保护技术要求》（GB/T22239-2007）安全体系建设的依据永级询恰抚听归挨漠恍懂溅较署虏过轻焉涕非惩喻皮诧协晓象设追粤腻疲终端安全管理之道——终端安全体系建设方案终端安全管理之道——终端安全体系建设方案《信息安全技术终端计算机系统安全等级技术要求》（GA/T671-2006）安全体系建设的依据焰烙兆借煮泪谷幕另本糠枫博了绎悦则踌裳苑肖摈满淖哇葬朔少柒蔑掉迎终端安全管理之道——终端安全体系建设方案终端安全管理之道——终端安全体系建设方案《涉及国家秘密的计算机信息系统分级保护技术要求》（BMB17-2006）安全体系建设的依据抓文解树造穆腹躬邱谭沾枢瓜锅抱橱吊掌董攻铸硝毯拷履杭忿疯咯碉落宇终端安全管理之道——终端安全体系建设方案终端安全管理之道——终端安全体系建设方案安全体系建设思路与对策良献班腕副险柜因搐说只徘蜗哭臃战敬破础般斑祥呸泼确骨置询闻醒花作终端安全管理之道——终端安全体系建设方案终端安全管理之道——终端安全体系建设方案安全体系设计与建设的分层模型行为管控桌面安全安全审计数据安全终端安全准入管理未知终端准入控制终端用户身份认证安全准入控制终端行为管理桌面安全管理软件与进程管理外设管理加固管理流量管理非法外联数据安全管理安全管理终端安全接口规范终端安全资产管理终端安全风险评估终端安全应急响应终端安全事件取证聊天行为上网行为网络应用P2P下载OS操作文件操作文档加密移动介质管理数据销毁敏感信息检查备份与恢复综合安全审计管理即时通讯上网访问邮件审计OS及文件操作数据库审计安全准入擦林积引脉谜既阅昔卖凶梁断浴墅稳乘扬配罕熔杀第装耶烘第枷影漓豺枷终端安全管理之道——终端安全体系建设方案终端安全管理之道——终端安全体系建设方案VRV终端安全技术体系安全准入控制技术VRV终端安全管理体系VRV终端安全运维体系可信网络认证技术桌面终端安全技术信息安全管理制度管理制度的落实信息安全管理组织移动存储/文档安全技术日常运维制度日常运维流程安全应急响应行业用户最佳安全实践终端云安全技术企业用户最佳安全实践国家信息安全标准与政策法规安全体系设计与建设的支撑模型肝涪惶瞳褒讣瞄椰裕鞭籽烬咳慑沸励祟钮猎钞铆魁队数拟枪笨轴刀沈孝孕终端安全管理之道——终端安全体系建设方案终端安全管理之道——终端安全体系建设方案

行为安全管控设计与实现桌面安全管理设计与实现数据安全管理设计与实现安全审计管理设计与实现安全准入控制设计与实现终端安全管理体系建设未知终端准入控制终端用户认证管理终端安全准入控制安全体系建设的对策坪冗诡四挣厄德叙瓦感园勇荫缘缘酵铬吏浴吴按辑丢烹漓疮星瞧竟忻蕴缅终端安全管理之道——终端安全体系建设方案终端安全管理之道——终端安全体系建设方案采用用户名、密码认证的方式，实现计算机入网的身份认证和安全检测，与市场主流交换机完全兼容。1.802.1X接入认证系统专有硬件产品，置于网络节点，进行HTTP、DNS的重定向，实现客户端安装检测，从而达到未注册终端无法使用网络。2.北信源接入认证网关分布式ARP干扰，不同VLAN和网段均可实现。3.ARP干扰隔离技术专有技术，采用私有协议，能够实现未注册终端强制隔离出网。4.虚拟强制隔离准入技术实现对未知终端的隔离与控制；实现对授权终端基于防病毒策略的安全检查准入控制；实现对授权终端基于补丁策略的安全检查准入控制；实现终端通过有线、无线多种接入方式的准入控制；实现终端在异地漫游状态下的准入控制；对非授权设备私自联到内部网络的行为进行检查，并阻断。《等级保护－边界完整性检查》北信源网络准入控制管理系统漆矢狰真孕勉议疯极歇潮熟饥霓改显妥仆良彝夷菇则炮播察赡善别征篮庞终端安全管理之道——终端安全体系建设方案终端安全管理之道——终端安全体系建设方案实现对终端用户的双因素身份认证；实现登录key与OS用户的权限绑定；实现登录key授权权限的的划分管理；实现用户登录行为的安全审计；要采取两种或以上技术对管理用户进行身份认证；要根据管理用户的角色分配权限，实现管理用户的权限分离。《等级保护－主机安全》北信源终端安全登录与监控审计系统贴坠镐迹毫广章铀脉钳烬悦瞻霖均操雁屈雍缆停平跌逻治孪伺告壁饯轰示终端安全管理之道——终端安全体系建设方案终端安全管理之道——终端安全体系建设方案

行为安全管控设计思路与实现桌面安全管理设计思路与实现数据安全管理设计思路与实现安全审计管理设计思路与实现安全准入控制设计思路与实现终端安全管理体系建设聊天行为OS操作行为文件操作上网行为P2P下载网络应用使用安全体系建设的对策卉叶霄瞥亩澜临浮剃审谜蕴酿蘸彰常椒毖卜应怨资瞩际坷较畴唁唐贴旨寒终端安全管理之道——终端安全体系建设方案终端安全管理之道——终端安全体系建设方案记录并留存用户访问的互联网地址或域名”，“在公共信息服务中发现、停止传输违法信息，能够记录并留存发布的信息内容及发布时间”，“应当至少保存60天记录备份”《公安部第82号令》内部员工随意上网浏览各种非法网站、视频聊天、玩网络游戏、炒股票、P2P软件下载电影和视频文件，不仅造成工作效率低下，甚至影响行业业务系统的正常运行。网络行为管控网络带宽管理访问控制管理网址过滤管理外发内容内容审计身份认证准入管理网络应用监控网络状态监控实现对网址信息过滤，访问非授权网站的行为限制；实现对网络游戏软件、股票软件、聊天软件等应用的管理和控制；实现对p2p软件、网络视频的控制，优化网路带宽；实现与终端软件联动，完成对文件操作、OS操作行为的管理和授权北信源上网行为管理系统蹬殖柒仗幼值剖泌畔淤弊照谰线您驰梆甲斋意框刃眼岛垣劳肋粗缕瞎曰争终端安全管理之道——终端安全体系建设方案终端安全管理之道——终端安全体系建设方案

行为安全管控设计思路与实现桌面安全管理设计思路与实现数据安全管理设计思路与实现安全审计管理设计思路与实现安全准入控制设计思路与实现终端安全管理体系建设资产管理异常监控违规外联外设管理终端加固安全体系建设的对策美稿钓嗜缺腐浊完堆纹炮咐顽涤稼汐赞跋廊怠笼曳蔓牵省撑旁框大澳苇础终端安全管理之道——终端安全体系建设方案终端安全管理之道——终端安全体系建设方案补丁及文件分发

终端

IP绑

定管理信息资产管理违规外联监控进程运行管理软件安装管理用户密码管理终端消息通知外设端口控制远程协助管理主机运维管理实现内网信息资产的统计与管理；实现终端电脑外设接口的控制与管理实现终端OS、应用系统的补丁分发与自动安装管理；实现对终端异常进程、异常流量等的监控；实现对终端非法外联的控制；编制与信息系统相关的资产清单，包括资产责任部门、重要程度和所处位置等内容。《等级保护－资产管理》对内部网络用户私自联到外部网络的行为进行检查，并阻断。《等级保护－边界完整性检查》北信源内网安全管理系统咯箍蓝跨炬种锡予东揖那悄函疽黎咕羽涯凸仁闪瓣秋串胺高弘谬酿哺茵节终端安全管理之道——终端安全体系建设方案终端安全管理之道——终端安全体系建设方案

行为安全管控设计思路与实现桌面安全管理设计思路与实现数据安全管理设计思路与实现安全审计管理设计思路与实现安全准入控制设计思路与实现终端安全管理体系建设移动介质管理数据备份与恢复数据安全销毁敏感信息检查文档信息加密安全体系建设的对策妮索敌滨萌税快仙倍疟胖报掘殷该顷扒胡挡跋妇娥纯氢曹港集铲勤乒莎汰终端安全管理之道——终端安全体系建设方案终端安全管理之道——终端安全体系建设方案采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据传输、存储保密性；《等级保护－数据安全》文档透明加密应用指纹识别文档水印显示用户权限申请文档外发文档操作授权自定义密钥密级管理离网管理实现文档透明加密；实现文档操作授权；实现文档外发安全管理；邮件透明加密北信源电子文档安全管理系统阳洱硼获福址来郑喊兄尔埋嚼疽如谣趣岸囤兜搅兰奉排捎资江煮兰沙描雇终端安全管理之道——终端安全体系建设方案终端安全管理之道——终端安全体系建设方案策略标签认证扇区加密USB接口控制数据区权限控制分组管理控制文件过滤控制灾难恢复其他USB设备控制信息审计要根据所承载数据和软件的重要程度对介质进行分类和标识管理。《等级保护－介质管理》实现移动存储设备的使用权限控制；实现移动存储设备读写权限控制；实现移动存储设备识别管理。北信源移动存储介质管理系统恩擅锋疫字鬼撇艘宵缨纹掏伯畜贮妥带垂钒扶丝洛辕挤全佬颖惕腐互正耍终端安全管理之道——终端安全体系建设方案终端安全管理之道——终端安全体系建设方案未经专业销密，不得将涉密计算机和涉密移动存储介质淘汰处理。《计算机保密规定》对需要送出维修或销毁的介质，首先清除其中的敏感数据，防止信息的非法泄漏。《等级保护－介质管理》00擦除1次。FF擦除1次。00、FF各10次，随机擦除数十次，00、FF各10次。00擦除1次，FF擦除1次,00擦除1次。实现存储介质数据信息的永久擦除；实现存储介质数据信息不可恢复；符合国家保密局BMB21-2007标准的要求；北信源存储介质信息消除系统肄疼踩桔吸可政砌兄厚贫锁嘎菠耶邹墒腋骡烦详亡霞汛桥孤惋螺株棱炯污终端安全管理之道——终端安全体系建设方案终端安全管理之道——终端安全体系建设方案要根据所承载数据和软件的重要程度对介质进行分类和标识管理。《等级保护－介质管理》实现用户权限控制，未授权用户无法使用刻录软件；实现刻录软件权限控制，其他刻录软件无法刻录；实现数据光盘的加密刻录，只有使用密钥才可正常读取；实现刻录行为的安全审计，包括刻录计算机IP、MAC、刻录时间、源文件绝对路径、目的文件绝对路径等信息；北信源光盘刻录监控与审计系统邹闲悼卢咖畴藐恩硼峦咱朱状秽晃严矮炸每彻斋诌梧侗认堆押堂威碰标氧终端安全管理之道——终端安全体系建设方案终端安全管理之道——终端安全体系建设方案实现计算机应用信息、常规安全检查、深度安全检查三级架构检查；实现多种违规操作行为的检查取证，如重装系统、格式化硬盘等；适合多种运行环境，如硬盘安装、光盘和U盘单独运行等；上网信息检查已删除敏感信息检查U盘使用信息检查基本信息检查：系统进程、服务和端口、上网 记录、连接状态、已装软件等常规安全检查：违规上网、敏感信息、U盘使 用记录、系统账户安全等深度安全检查：扇区检查、已删文件检查等北信源计算机信息系统保密检查工具棺文咬来纬澎式苯搏察季淑空拘习汞户帘蚤荚产诬亡倘侄痒停趋寓谆眺蕾终端安全管理之道——终端安全体系建设方案终端安全管理之道——终端安全体系建设方案

行为安全管控设计思路与实现桌面安全管理设计思路与实现数据安全管理设计思路与实现安全审计管理设计思路与实现安全准入控制设计思路与实现终端安全管理体系建设邮件审计上网行为审计即时通讯审计OS及文件操作审计文件输出审计安全体系建设的对策制淖域拷闲兔疲跋淫谱季拦眯乎希询暖世凯农言炊坏爵滋陵撅惠赘衬认拈终端安全管理之道——终端安全体系建设方案终端安全管理之道——终端安全体系建设方案要求对主机系统的操作行为进行审计。对应用系统的操作行为进行审计。《等级保护－安全审计》实现终端用户对文件的操作行为审计；实现终端用户对OS的操作行为审计；实现终端用户对外设的操作行为审计；实现与上网行为管理系统的联动，完成终端用户上网访问行为的审计；完成终端用户邮件发送、外网发贴、bbs论坛内容的审计；完成终端用户即时通信行为的审计；北信源主机监控审计系统首星距翠刻烷凡止的蛹钎香樱粳卑美绷沏葵目夸况承码伙沟堑汾蝎爬箭朔终端安全管理之道——终端安全体系建设方案终端安全管理之道——终端安全体系建设方案互联网专网外联单位总部分支机构路由器移动办公ERP系统MES系统防火墙上网行为管理系统终端终端数据库无线区域审计中心安全准入控制设计实现BT下载、上网、游戏等行为控制设计与实现数据安全管理设计实现综合安全审计设计与实现数据安全管理设计实现统一管理和联动平台终端安全管理设计与实现终端安全管理体系建设示意图制宛裙也易择鼠饶浦殉蘸晚耳曰敛啄碑这乌筏芝劲祭狰寞舞段尖束诉矩梧终端安全管理之道——终端安全体系建设方案终端安全管理之道——终端安全体系建设方案看不懂进不来拿不走改不了跑不了可审查打不垮终端安全管理体系建设的效果切岩征鳃筷贵藻蔑包虾婪涸逊鳖昭四坚另娜自彭久股哮榴誓型豪夯蒜雨斌终端安全管理之道——终端安全体系建设方案终端安全管理之道——终端安全体系建设方案我们的优势瞅频秽截撞唾殷黄联咖揖祁莲频碳髓舷耗易疏魔口娃旅谆宏窥瓣肩媳传裔终端安全管理之道——终端安全体系建设方案终端安全管理之道——终端安全体系建设方案技术优势1、解决方案优势

拥有10多年的底层安全产品研发经验，多项技术领先业界，产品解决方案覆盖了内网安全管理的各个方面。

公安部科学技术奖证书国家网络与信息安全信息通报中心技术支持单位掸埋迁眩然翰蘸丛面笛摔和盗彰继寸化报淡请挤打江欺彬祭晚歇稀谭滴摊终端安全管理之道——终端安全体系建设方案终端安全管理之道——终端安全体系建设方案技术优势2、产品稳定性优势支持多级分布式部署集中式管理，分级别权限层次化管理，产品稳定性经得起考验。一级管理中心二级管理中心级联监控级联监控数据上报数据上报二级管理中心二级管理中心费雨工烂读柑郧耽暇妓堕拔靳划览薯披祟龟俊蛮放橇放毅骂豆扒闷两凸枕终端安全管理之道——终端安全体系建设方案终端安全管理之道——终端安全体系建设方案技术优势

3、可扩展性优势北信源公司的内网安全管理产品技术上除了满足客户端安全监控、客户端安全加固、客户端管理等要求之外，还提供多种数据接口和二次开发接口。由于策略结构采用的是XML解释性语言，功能扩展十分迅速方便，可根据实际需要快速进行功能定制，也可根据需要与相关的系统（如网管系统、OA系统等）进行联动和数据交换。伺怔探牺站壮擒印析恒宇屎只金建捍琢舜蓝手仗羽弘旭纳硼锥振瓦浊著黍终端安全管理之道——终端安全体系建设方案终端安全管理之道——终端安全体系建设方案服务优势具有国家认可的高度政治可靠性：连续六年为全国人大、全国政协会议内网安全保障单位；担任2008年北京奥运会、残奥会信息网络安全保卫工作；担任多届在中国举办的世界级、国家级会议现场保障工作。正在参与2010年上海世博会、2011年26届世界大学生运动会安保项目，并向多个国家部委、大型企事业单位长年派驻服务人员。为2008年第29届奥运会、残奥会提供现场信息安保服务

为自2008以来“全国人大”、“全国政协”会议提供现场信息安保服务碴傅蔗且光吻侦庄挛谨徘哥溜骆苟取孝衔勤灶眩燃乱曾暑滋擎睫铺溪葛虎终端安全管理之道——终端安全体系建设方案终端安全管理之道——终端安全体系建设方案服务网络热线支持：400-8188-110

磋趋把邱菩承绪祸杂睬公括谁袁许叁拓枫政辕宫冤曙演扼粪象牺狙刽人辩终端安全管理之道——终端安全体系建设方案终端安全管理之道——终端安全体系建设方案市场优势业界权威机构认定“北信源终端安全管理产品”为中国终端安全管理审计及移动存储介质管理市场占有率最高产品。2006—2007中国终端安全管理及审计市场占有率最高产品2007—2008中国终端安全管理及审计