您的当前位置:首页正文

终端安全管理体系解决方案

2024-01-14 来源:意榕旅游网
终端安全管理体系解决方案

北信源终端安全管理体系解决方案

北京北信源软件股份有限公司 2010年10月

终端安全管理体系解决方案 目 录 1. 安全现

状 ................................................................................................................................... 3 1.1. 现状概

述 ........................................................................................................................... 3 1.2. 应对策

略 ........................................................................................................................... 4 2. 安全理

念 ................................................................................................................................... 5 2.1. 安全理

念 ........................................................................................................................... 5 2.2. 安全体

系 ........................................................................................................................... 6 2.3. 参考标

准 ........................................................................................................................... 7 3. 北信源终端安全管理体系设

计 ................................................................................................. 9 3.1. 方案设计思

路 .................................................................................................................... 9 3.2. 北信源终端安全管理体设计实

现.................................................................................... 11

3.2.1. 接入认证授权设计实

现 ........................................................................................... 11

3.2.2. 终端使用控制设计实

现 ........................................................................................... 13

3.2.3. 终端行为管控设计实

现 ........................................................................................... 19

3.2.4. 终端数据安全设计实

现 ........................................................................................... 22

3.2.5. 终端安全审计设计实

现 ........................................................................................... 35 3.3. 北信源终端安全管理体系组

成 ....................................................................................... 51 4. 方案总

结 ................................................................................................................................. 52

终端安全管理体系解决方案 1. 安全现状 1.1. 现状概述

随着网络应用的不断普及和应用,网络应用向多层次、立体化、空间化方向发展,网络空间电子文档的安全问题越来越突出,电子文档和数据被有意无意的窃取、丢失、泄密等给数字化的文档安全管理带来很大挑战。

网络空间安全通常被认为是计算机网络上的信息安全,是指网络系统的硬件如骨干网设备、终端设备、线路、辅助设备等)、软件(如操作系统、应用系统、用

户系统等),及其系统中运行的数据、提供的应用服务不因偶然的、恶意的原因而遭到破坏、更改、泄露和失控。

首先,对于行业信息网络而言,当DDos攻击、病毒、木马威胁、非法入侵、非法接入、敏感数据泄密、移动介质随意接入,以及电子信息战等越来越严重的影响到公众利益和国家利益的时候,网络空间安全(Cyberspace Security)也继国防安全、政治安全、经济安全、金融安全之后成为了国家安全体系中的一项重要内容,受到包括美国、欧洲和中国政府的高度关注。

其次,在国家行业信息化推进的大环境下,行业专网的运营安全在国民经济建设中日益显得举足轻重。特别是在政府机关网络中,工作秘密的泄露会使政府机关工作遭受损失,带来不必要的被动;而国家秘密的泄露会使国家的安全和利益遭到严重损害,而泄密者受到降职、降衔的严肃处理,甚至移交司法机关处理。

同时,对于很多无意识泄密事件中,大多数都是由于外部终端设备随意接入内部网络引发安全事故、病毒木马防控不严、U盘等外设存储使用不当、擅自连接其他网络、重要文档被非授权访问和复制、未经授权而进行数据拷贝和光盘刻录,以及对存储敏感信息的介质和文件没有彻底消除而造成的。

由此,如何应对上述安全问题,减少直至杜绝内部敏感信息的泄漏和重要数据的丢失而引发的安全事故,建设面向网络空间的、安全和谐的内网运行环境,则成为了政府机关网络、行业信息网络主管领导日常工作的重中之重。

终端安全管理体系解决方案 1.2. 应对策略

从网络空间应用接入方式来来说,网络空间应用从传统的互联网应用接入发展到以移动/无线通信应用接入乃至移动互联网接入等多种方式。

而针对网络空间安全方面的问题,北信源公司基于多年的产品开发与超大规模成功部署与应用经验基础,组建了面向网络空间的终端安全管理产品体系。该产品体系主要面向重要网络、信息系统及基础设施的失泄密检测与防范,实现从终端、

区域网到互联网的一体化检测、管理与防范。该体系从终端身份认证、终端接入控制、终端行为管控制、终端数据防泄密,以及终端安全审计等方面,实现了多层次、全方位、立体化纵深失窃密检测与防范,形成了面向复杂网络空间的终端安全管理一体化解决方案,有效地实现了网络空间下对终端计算机的安全管理体系。

终端安全管理体系解决方案 2. 安全理念 2.1. 安全理念

针对目前网络中终端计算机面临的各种安全问题,作为终端安全管理市场的领导者,北信源公司特推出了面向网络空间的VRV SpecSEC终端安全管理体系。

VRV SpecSEC终端安全管理体系以APPDR模型为依据,遵循国家和行业等级保护,基于安全工程的思想,以独特的终端安全配置策略为核心,以终端安全风险测试与评估为依据,实现组件化可动态组合配置的终端安全管理。其核心理念如下图所示:

VRV SpecSEC终端安全管理体系核心理念

, 安全产品法规符合性开发(Specification-based Products Development)

, 策略引导的终端安全配置(Policy-based Configure Management) , 评估驱动的终端安全管理(Evaluation-driven Security Management)

, 组件化终端安全管理体系(Component-based Plug-in/out Security

Architecture )

终端安全管理体系解决方案 2.2. 安全体系

北信源VRV SpecSEC体系覆盖终端的资产安全管理、终端数据安全管理、终端行为安全管理、终端服务安全管理等多个方面,涉及管理计算机本身、计算机应用、计算机操作者、计算机使用单位管理规范等多个方面,形成全方位、多层次、立体化终端安全管理。VRV SpecSEC终端安全管理体系层次结构图如下所示:

VRV SpecSEC终端安全管理体系层次结构图

本解决方案正是基于上述核心理念和安全体系的基础上而组建的基于终端各方面安全管理和控制的一体化解决方案。

终端安全管理体系解决方案 2.3. 参考标准

本方案将主要遵循和参照如下信息安全法律法规、政策要求和安全标准,及其他相关规定和标准:

, 《中华人民共和国保守国家秘密法》及相关法规

新修订的《中华人民共和国保守国家秘密法》及相关法规均对涉及保密行为做出明确的规定和要求,如一切国家机关、武装力量、政党、社会团体、企业事业单位和公民都有保守国家秘密的义务。如何保证内网(业务专网)没有国家涉密信息,不会泄漏相关敏感信息,则必须采取相应的技术手段和管理手段来防止安全保密事件的发生。

, 《信息安全技术 信息系统安全等级保护技术要求》(GB/T 22239-2008) 2008年颁布的信息安全等级保护国家标准——《信息安全技术 信息系统安全等级保护技术要求》中,在边界完整性检查、主机安全、身份鉴别、安全审计、数据安全与备份恢复等几个方面明确规定了必须对内网终端计算机应采取终端安全管理、准入控制管理、非法外联控制、身份认证、安全审计管理、文件加密保护、介质管理、资产管理等相关措施。

, 《信息安全技术 信息安全风险评估规范》(GB/T 20984-2007) 风险评估是以安全设计与建设为出发点,它的重要意义就在于改变传统的以技术驱动为导向的安全体系结构设计及详细安全方案制定,通过对用户关心的重要资产的分级、安全威胁发生的可能性及严重性分析、对系统物理环境、硬件设备、网络平台、基础系统平台、业务应用系统、安全管理、运行措施等等方面的安全脆弱性的分析,并通过对已有安全控制措施的确认,借助定量、定性分析的方法,推断出用户关心的重要资产当前的安全风险,并根据风险的严重级别制定风险处置计划,确定下一步的安全需求方向。

国家标准《信息安全技术 信息安全风险评估规范》提出了风险评估的基本概念、要素关系、分析原理、实施流程和评估方法,以及风险评估在信息系统生命周期不同阶段的实施要点和工作形式。

, 《信息技术 安全技术 信息技术安全性评估准则》(GB/ T 18336)

终端安全管理体系解决方案

GB/T 18336《信息技术 安全技术 信息技术安全性评估准则》(等同于ISO/IEC 15408,通常也简称通用准则——CC),该标准是评估信息技术产品和系统安全特性的基础准则。它提出了目前公认的表述信息技术安全性的结构,即把安全要求分为规范产品和系统安全行为的功能要求以及解决如何正确有效的实施这些功能的保证要求。功能和保证要求又以类——子类——组件的结构表述,组件作为安全要求的最小构件块,可以用于保护轮廓、安全目标和包的构建,例如由保证组件构成典型的包——评估保证级。

, 《信息技术 安全技术 信息安全管理体系要求》(ISO/IEC 27001:2005)

在信息安全管理体系方面,国际标准ISO 27001:2005已经成为世界上应用最广泛与典型的信息安全管理标准。目前国家已经等同采用该国际标准成为国家标准《信息技术 安全技术 信息安全管理体系要求》(GB/T 22080-2008)。它详细说明了建立、实施和维护信息安全管理体系的要求,指出实施机构应该遵循的风险评估标准。

, 《信息技术 安全技术 信息安全管理实用规则》(ISO/IEC 27002:2005)

信息安全管理使用规则ISO27002:2005综合了信息安全管理方面优秀的控制措施,为组织在信息安全方面提供建议性指南。目前我国已经等同采用了ISO

27002:2005国际标准,成为了国家标准《信息技术 安全技术 信息安全管理实用规则》(GB/T 22081-2008)。

在本方案的设计与实现中,也同样遵循和参考上述两个信息安全管理体系的实践和要求。

, 其它有关法律法规和规范制度要求

终端安全管理体系解决方案 3. 北信源终端安全管理体系设计 3.1. 方案设计思路

依据业界最佳安全实践和行业信息安全管理体系的建设流程,结合北信源VRV SpecSEC核心安全理念,本方案的总体架构共分为“接入认证授权、终端使用控制、终端行为管控、终端数据安全、终端安全审计”等安全管理组件,并通过统一、联动的安全管控与审计平台实现对不同层次架构的集中策略配置与管理,完成对网络终端的分级部署、统一管控,最终实现对内网终端全方位的控制管理,形成完整的终端安全管理体系。

方案结构图

具体解决思路如下:

, 接入认证授权(Authentication)

该组件用于识别和确认终端用户的身份信息,完成对终端用户的身份鉴别,确保只有合法的终端用户才能使用终端计算机,同时结合“终端使用控制安全管

终端安全管理体系解决方案 理组件”完成对终端用户的授权管理,便于后续的授权访问策略的制定和执行,避免非授权用户使用终端计算机而引起的数据泄密。

, 终端使用控制(Usage Control)

用于评估并检验终端计算机的安全性,避免不符合安全策略和安全规定的终端计算机进入内部网络,同时管理终端计算机的软硬件资源,以及监控终端计算机的运行状态和外联行为,完成对终端计算机的资产管理、安全加固、外设管理、运行异常监控与远程维护协助,确保经过认证授权的用户能够按照授权许可的安全策略正确地使用和操作终端系统,避免因非受控终端而引起的敏感信息泄漏。

, 终端行为管控(Behavior Control)

终端行为管控主要对终端用户的网站浏览控制、网络应用使用控制、网络下载控制、带宽使用控制等各种网络访问和使用行为进行管理和控制。通过上述对终端的行为管控,实现对终端网络访问行为的可管、可控,保障网络访问、网络流量、网站访问的安全与顺畅。

, 终端数据安全(Data Security)

按照相应的授权级别和终端安全管理策略完成对终端授权用户的操作行为控制和文件加密管理(包括目录和文件操作行为控制、移动存储介质使用控制、电子文档管理控制、光盘刻录行为控制以及保密信息检查控制),确保授权终端用户对不同的应用系统、不同的目录和文件进行可控操作和访问,实现授权终端用户的可信访问控制,避免引发的重要文件信息泄漏事故。

, 终端安全审计(Audit)

通过集中统一的管控和审计平台,完成对上述安全管理组件的统一策略配置与下发、集中管理与审计,最终形成联动化的、集成化的、完整的数据防泄密体系的建设。

终端安全管理体系解决方案

3.2. 北信源终端安全管理体设计实现 3.2.1. 接入认证授权设计实现

认证授权管理组件能够完成对终端用户的身份鉴别,确保只有经过合法验证的终端用户才能使用终端计算机。

接入认证授权综合利用登录身份认证、文件系统加密等核心技术开发的身份认证授权保护系统。具体采用USBKeyClient和USBKey相结合的方式,实现所有功能,其操作流程如下:

USBKeyManagerUSBKeyClient 插入USBKey插入USBKey

新建USBKey的管理员账户新建USBKey的普通用户账户 派发绑定USBKey与受控计算机

设置USBKey登录系统的方式设置USBKey的控制效果 使用

删除USBKey的管理员账户PIN码丢失修改SOPIN码修改PIN码 由母Key授权子Key的使用权限 审计USBKey的使用信息 激活PIN码

首先,它通过硬件(USBKey)和软件(USBKeyClient)相结合的方式实现了物理身份与用户身份的双重认证;同时还能够将USBKey与操作系统不同权限用户的绑定,实现对USBKey的权限划分。如下图:

终端安全管理体系解决方案

其次,采用的登录key能够与计算机管理相互结合,如拔除实时锁屏管理,屏保锁屏管理,注销锁屏管理;同时,还能够禁止在安全模式下通过key进行登录。由于USBKey本身的唯一性,从而保证了登录用户的唯一性。如下图:

通过认证授权管理组件,将完成对终端用户的身份认证与授权管理,同时执行“终端安全管理组件”的既定策略,防止非法用户或非授权用户擅自进入内部网络而造成的敏感数据信息的失密、窃密事件发生。

终端安全管理体系解决方案 3.2.2. 终端使用控制设计实现

终端使用控制安全管理组件主要用于对内部网络的终端电脑进行统一管理和策略下发,以达到通过技术手段对终端电脑的操作行为和运行状态的可控、可管,防止终端用户随意接入网络和任意操作而造成的数据泄密事故的发生。该组件包括网络接入控制、桌面安全管理两大部分。

3.2.2.1. 网络接入控制

通过网络接入控制能够完成对未知终端、授权终端的安全准入管理与控制。该系统能够完成基于802.1x协议的准入控制技术、基于ARP协议的分布式阻断技术、基于虚拟隔离强制注册技术等多种环境下的安全准入管理控制,为内网终端的安全接入控制提供了一道绿色的保护屏障。

网络接入控制管理能够确保终端电脑只有在安装终端安全管理组件,并符合必要的安全策略的前提下才能被允许接入内部网络,否则会强制终端电脑跳转到访客隔离区,待完成终端管理软件的下载和安装成功后,且符合既定安全策略要求时才可准许接入内部网络。必要的安全策略包括:

, 终端电脑只有在安装主流防病毒软件,并且升级到最新病毒库的前提下 才能被允许接入内部网络;否则会强制终端电脑跳转到指定安全修复区 进行病毒软件安装和病毒库升级等修复动作,修复完成后且符合既定安 全策略要求时准许接入内部网络;

, 终端电脑只有在安装必要的OS补丁或者应用程序补丁的前提下才能被 允许接入内部网络;否则会强制终端电脑跳转到指定安全修复区进行补

丁软件安装和升级等修复动作,修复完成后且符合既定安全策略要求时 准许接入内部网络。 1. 802.1X接入控制管理

802.1X接入控制管理可提供细粒度的接入管理和控制功能,它的部署使用要求网络中的交换机支持802.1X协议,要求网络管理人员会进行简单的交换机配置,从而保障终端杀毒软件以及补丁拥有最新的时效性,使网络安全得到有效提升。

终端安全管理体系解决方案

修复区修复不合格完成

认证通过安检合格

终端认证安检工作区

认证未通过

非法用户

进入guest区

网络接入控制管理系统流程图 1) 802.1x接入认证管理;

802.1x接入认证管理具有对接入策略和安检策略整体的配置和管理功能。接入是通过用户名密码的认证方式,对终端接入网络进行限制。对认证成功的终端进行安全健康检测。

2) 未注册终端接入访问区域限制(vlan限制);

未注册终端会因认证不成功进入guest Vlan,在guest Vlan中终端只可以与服务器通信只有在终端注册成功后方可以通过认证。

3) 未安装杀毒软件等必备软件自动安装下载管理;

针对终端用户安装及运行杀毒软件情况,管理员可以设置安全策略检查终端用户是否正常启动、运行防病毒软件,并且强制检查防病毒软件的版本和病毒库版本,确保所有终端版本必须满足安检的规定方可接入内部网络。如有违规即刻终端用户跳转到修复区或者直接断开终端网络连接;

针对终端用户安装的必备软件情况,管理员可以设置可控软件名单,检查必备软件的安装运行情况,如有违规即刻终端用户跳转到修复区或者直接断开终端网络连接;

在网络中专门划分出修复区域,防病毒软件服务器放置在网络修复区中。终端用户根据安全策略要求安装及升级杀毒软件。

4) 未打补丁终端接入限制;

通过北信源补丁索引检测终端用户是否安装系统补丁,检测注册终端未打或漏打补丁时,将会提示终端用户有哪些需要安装的补丁并且会自动弹出下载的补丁的WEB页面,即刻终端用户跳转到修复区或者直接断开终端网络连接;

终端安全管理体系解决方案

在网络中专门划分出修复区域,系统补丁文件服务器放置在网络隔离区中。根据北信源补丁索引要求升级操作系统软件补丁。

5) 运行不可信进程、服务、注册表终端接入限制;

不可信进程、服务、注册表是针对可信进程、服务、注册表进行判断的,通过用户自定义设置可信进程、服务、注册表来判断终端是否允许接入到工作区。对于终端用户没有运行可信进程、服务、注册表的视为不可信终端,即运行了不可信进程、服务、注册表,并对终端接入进行限制。

6) 未达到预定义安全级别的终端接入访问区域限制;

预定义安全级别指的是VRVEDP服务器制定的安全等级,其中包括补丁、杀毒软件的检测,进程、服务、注册表、文件存在,IP、MAC绑定的制定等安全级别,通过对终端的安全等级的检测,判断终端是否满足安全级别,若不满足终端将会进去限制区域,限制区域内终端可以对自身进行安全修复,当满足预定义的安全级别后,终端将会正常接入工作区。

7) 自定义终端安全接入必须的桌面运行安全环境;

用户可以结合自身的需求自定义终端安全策略,也可以按照用户现实环境的需要个性化搭配各个安全检查策略组合,已达到最佳的桌面安全管理效果,为保障基本的桌面安全环境,杀毒软件和补丁是必须要求管理的,对没有安装杀毒软件或未打补丁的终端要对其加以限制。

2. 虚拟隔离强制注册技术 1) 虚拟隔离强制注册技术:

虚拟隔离强制注册技术基于最基本的网络协议实现,具有广泛的适用性,对接入单位内部网络的计算机进行安全认证,用于保护单位整个内部网络,包括可管理的(单位台式机、手提电脑、服务器)以及不可管理的(外部访客、合作伙伴、客户)终端。能够强制提升单位网络终端的安全,使网络安全得到更有效提升。并且系统可以面向所有的网络架构工作,不必进行复杂的网络架构改造。

2) 虚拟隔离强制注册的实现:

北信源虚拟隔离强制注册技术实现方式灵活,只需在服务器进行简单配置即可,技术要求较低,不需要其他软、硬件设备的支持,并且对服务器的部署位置无特殊要求,实现简单。系统采用被动发现模式,对网络影响极小。

终端安全管理体系解决方案 3) 未注册终端接入访问限制:

没有安装安全管理客户端的计算机在接入网络时,可在极短时间被发现阻断,限制未注册终端进入内部网络访问的权限,只有终端注册成功后才可以通过检测。

4) 未注册终端重定向;

未注册的终端只保留与安全管理服务器的通讯,在被阻断之后,终端会及时弹出重定向网页,提示使用者下载安装安全管理客户端。

3.2.2.2. 桌面安全管理

通过桌面安全管理可以评估并检验终端计算机的安全性,实行补丁下发和防病毒软件的检测等终端加固措施,提供软硬件资源登记及终端设备变化报警、进行远程维护、软件进程保护和终端流量监控,以及非法外联监控等功能,防止通过其他途径而造成的敏感信息的泄漏。主要实现如下:

, 能够对终端电脑硬件资源、软件资源,以及软、硬件资源变更的信息统 一与管理;

, 能够解决终端电脑外围设备(软驱、光驱、刻录机、 U 盘、移动硬盘、 拨号连接、无线上网、红外传输、蓝牙、串并口、打印机等)的使用管 理与控制;

终端安全管理体系解决方案

, 能够对终端电脑软件安装、进程运行、服务加载的监控与保护的安全问 题;能够快速有效地定位网络中病毒、蠕虫、黑客的引入点,及时、准 确地切断安全事件发生点和网络;

, 能够对终端电脑登录密码、用户权限、IP访问控制、IE安全设置、注册 表监控与保护的安全问题;对终端电脑运行资源、异常流量、异常进程 的监控与管理;

终端安全管理体系解决方案

, 能够对终端补丁安装进行管理,能够统计每台终端补丁安装情况,能够 根据补丁策略选择补丁自动分发和人工选择补丁分发,根据不同需要制 定不同策略实现补丁的自动分发。

, 能够对终端安装防病毒软件进行管理,监控终端是否安装杀毒软件,安 装哪款杀毒软件、杀毒软件是否运行等。

, 通过策略配置快速的实现IP、MAC绑定,绑定后,对私自修改IP计算 机进行地址恢复,或断网,同时上报服务器保存。

终端安全管理体系解决方案

, 能够对终端用户的非法外联进行管理,如未经允许私自连入单位内非授 权网络或者外联网的行为;并可以监控受控终端离开受控网络后,是否 有违规连入外联网等行为。

通过对终端使用控制管理与防护,最终实现对桌面终端的安全控制与合规性管理,实现桌面终端的可管理性、可控性,杜绝不安全的终端电脑在网络中的运行,防止各种不安全因素在网络中运行而造成的安全隐患。

3.2.3. 终端行为管控设计实现

终端行为管控主要对终端用户的网站浏览控制、网络应用使用控制、网络下载控制、带宽使用控制等各种网络访问和使用行为进行管理和控制。

其主要用于解决终端用户接入互联网或外联网可能引发的各种安全问题,可实现网络安全准入控制、二次授权访问、敏感信息过滤、行为安全审计、网络带宽资源优化以及对P2P软件、游戏软件、股票软件、即时通信等各种应用软件的管理和控制功能,同时实现对上述各种网络行为的管理和审计。该组件主要功能实现如下:

, 模块化的功能应用组合

终端行为管控采用模块化的应用功能加载模式,真正实现了功能应用模块化。它将某些特性功能划分为不同的应用组件,可根据用户自身的需求特点,选择和启用不同的功能组件实现任意组合与扩展,保护安全投资,减轻系统负载,

终端安全管理体系解决方案 提交系统运行效率。

, 网络准入控制

加载安全准入组件后,可以实现对计算机终端的网络安全准入控制。例如:对未注册用户的入网行为进行管理(包含URL重定向功能),对已注册的用户不做任何的阻断操作,记录合法的注册信息等功能,从而达到终端用户的入网管理与控制,优化网络资源分配的目的。

, 网络访问控制:

内置用户访问控制规则,并通过二次授权认证管理策略,对不符合外网访问

终端安全管理体系解决方案 条件的用户和主机禁止访问外网或者限制外网访问范围。

, 网络应用行为管理:

采用深度业务识别DSI(Deep Service Inspection)技术,通过自身内置100余种常见网络应用的业务特征,综合运用HADL继承式应用描述语言,允许网络管理者针对不同的内网用户、不同时段,结合企业的实际需求制定适合本企业的网络应用行为管理规范。

, 网页过滤检查:

内置36大类超过100万条的中文网页过滤分类数据库,能够实现基于URL预分类网站列表的访问控制、基于用户和访问时间段的控制管理、基于URL关键字的URL过滤、支持URL访问记录的查询,以及可以对访问内容、访问量和访问者的统计排名等功能。

, 敏感信息及非法关键字过滤:

采用业界独创的技术,在不影响产品性能的情况下可以实时的针对网页、邮件、搜索引擎关键字和论坛发帖内容进行过滤,大大的规避了企业的法律风险。

, 带宽流量管理:

针对内网的不同访问需求公平合理的分配网络访问带宽,防止某些用户独占过多带宽带来网络拥塞。

, 综合内容审计:

采用领先的知识发现KDT(Knowledge Discovery Technology)技术(该技

终端安全管理体系解决方案 术是数据挖掘与DSI深度业务识别检测两种技术的结晶,它可以根据不同的业务类型进行有针对性的内容还原解码),能够对邮件内容、聊天内容、网络发贴等综合信息进行安全审计、综合检索和完整备份.

, 分布式部署、集中化管理

对于拥有多个分支机构的组织,可能面临分布式部署的集中管理问题,VRV BMG支持多级结构的集中管理,支持策略统一下发。

, 人性化的报表分析统计:

内置人性化的报表模块,可以按照用户的需求定义报表类型,全面有效的展现用户最关心的报表内容.

3.2.4. 终端数据安全设计实现

终端数据安全防护主要是通过加密技术实现对敏感文档的安全防护。包括移动存储介质使用控制、电子文档安全管理、光盘刻录行为控制以及保密信息检查

终端安全管理体系解决方案 控制等,确保授权终端用户使用行为和访问行为的合规性、可控性,避免不合规终端计算机和非受控行为而引发的重要文件信息泄漏事故。该组件具体实现如下:

3.2.4.1. 移动存储介质使用控制

移动存储介质使用控制则通过对存储介质管理和介质信息消除来共同实现。 1. 存储介质管理

存储介质管理可以将整个移动存储介质划分成任意两部分容量的交换区和保密区,并需要通过密码认证才可以访问。它具有USB标签制作工具,能够对移动存储介质进行保护和加密,对移动存储设备进行使用范围授权,访问控制等综合的管理。主要实现功能如下:

, 能够对移动存储设备统一进行接入认证管理,能够支持终端识别指定的 移动存储设备。

, 能够对存储介质进行分区管理,能够通过标签方式将存储介质分为交换 区和保密区,并可灵活设置分区大小、访问密码,数据存储方式均为加 密存储。

, 能够对存储数据采取加密管理方式,如采用AES加密算法对存储数据进 行加密。

, 能够对移动存储介质的读写权限进行管理;能够通过对移动存储介质写

终端安全管理体系解决方案 入标签,实现分级权限控制。

, 具备移动存储介质审计和文件操作审计功能,能够对移动存储的插拔动 作进行审计;能够对文件操作的各种行为进行审计,包括读、写、删除、 修改、拷贝等。

2. 介质信息消除

介质信息消除能够对移动存储介质进行信息消除或销毁处理,防止介质内的敏感信息泄露。本系统能够保证存储在移动介质上的重要数据通过反复对文件磁道的改写和重写,对需要删除的数据进行不可恢复的彻底粉碎,最终达到完全粉碎的目的。其功能特性如下:

, 能够对重要磁盘介质进行彻底擦除,并且不可恢复; , 对磁盘介质的擦除速度不能低于3GB/分钟

, 能够支持00擦除、FF擦除、00擦除+FF擦除、BMB21-2007标准擦除

方式;

, 能够支持USB、IDE以及SATA接口类型;

, 操作直观方便,易于使用,如通过触摸屏进行操作等。

终端安全管理体系解决方案 3.2.4.2. 电子文档安全管理

电子文档安全管理集电子文档使用权限控制、用户身份验证、文档透明加解密、文档访问控制、文档密级与安全策略控制、文档监控与审计等多种技术于一身,有效防止电子文档主动和被动泄密。其实现功能如下:

, 具备文档生命期全程保护,能够支持电子文档创建、使用、流传、归档 与销毁全过程的加密保护功能。

, 具备应用程序进程指纹识别保护,能够支持进程指纹的设置,可以防止 非法篡改应用程序文件,保障应用程序安全。

, 具备多种身份认证保护,能够支持操作系统默认认证、用户自定义口令 认证、USB KEY 认证、单点登录认证和PKI认证等。

, 能够对于邮件传输具备自动解密策略,能够支持对设定的邮件在发送时 自动解密。

, 具备对文档主动授权保护,能够支持用户对文档操作方式、被授权者对

文件打开次数、文件生命期进行授权。

, 要求具备加密文档外发(离线授权)保护,能够支持加密文档外发时密

终端安全管理体系解决方案 码和证书的双重认证。

, 系统在加密过程中不会生成临时文件,不影响办公软件的正常使用和改 变用户正常使用软件行为方式。

, 具备系统审批管理功能,能够支持用户申请加密权限、文档授权权限、 文档解密权限、修改密码权限、离线使用权限等,并可以由系统自动判 断是否需要管理员给予权限。

终端安全管理体系解决方案

, 具备自保护功能,用户无法自行删除注册程序或者通过恶意工具破坏软 件进程。

, 具备安全审计功能,能够对授权文档的名称、文档作者、授权时间、授 权权限、授权方式和认证方式进行审计和查询。能够对授权文件的操作 行为进行审计,包括授权文件名、使用者、授权方式、认证方式、打开 方式、对文件操作结果、操作时间等。能够对终端文件操作的审计,包 括用户名、计算机名、应用程序名称、文件路径及名称、对文件的操作 方式、时间。

终端安全管理体系解决方案

, 文档打印审计功能,能够对文档打印的授权控制及监控与审计,包括打 印文件的用户名、文件所在计算机名、计算机IP 地址、打印结果、打印

页数、打印时间和打印文档类型等。

终端安全管理体系解决方案

3.2.4.3. 光盘刻录行为控制

光盘刻录行为控制可以实现网络内部对于各类光盘的数据信息刻录行为的控制与管理、加密刻录管理,以及统一策略设置与下发。本系统采用三权分立原则,集权限控制、数据刻录控制、安全光盘读取和日志审计于一身,方便、有效的控制内网敏感信息通过CD/DVD盘片进行的数据交换。该系统实现功能包括:

, 具备用户授权管理,能够对不同用户的授权功能,包括:禁止刻录、对 指定格式的文件设定刻录权限、设定过滤关键字保护涉密文件无法刻录、 刻录次数限定,可根据工作日及时间段授权刻录、并可设定刻录许可码。

终端安全管理体系解决方案

, 具备数据刻录管理,能够实现只能使用本软件进行数据刻录,而不能再

使用其它刻录软件进行数据刻录。

, 具备光盘读取认证,能够支持刻录光盘密码认证功能。 系统支持对软 件刻录的光盘设置密钥,读取时需认证此密钥才可以读取数据。

, 具备刻录行为审计,能够对刻录的行为进行审计,包括:刻录电脑IP、 MAC、刻录时间、源文件绝对路径、目的文件绝对路径等信息。 , 具备统一管理功能,能够实现内网所有终端的刻录行为统一管理。

终端安全管理体系解决方案

3.2.4.4. 敏感信息检查

敏感信息检查则可以实现对内部人员随意存储、携带的敏感信息进行准确的检索,及时发现并处理。本系统解决了对敏感信息的准确检测与审查,使相应的安全保密管理制度得到有效落实,为信息安全保密检查提供了可靠的技术检测手段。该系统功能特性如下:

, 具备本机常规信息检查功能,能够提供计算机常规信息的检查,其中包 括计算机名、系统类型、系统安装时间、系统目录、处理器、硬盘序列 号、硬盘分区大小、内存大小、多操作系统信息、网络连接信息、共享 目录信息。

终端安全管理体系解决方案

, 具备系统进程信息检查功能,能够提供计算机系统进程信息的检查,其 中包括本机进程名、进程ID、用户名、命令行,还可以根据需求结束选 中进程。

, 具备系统服务信息检查功能,能够提供计算机系统服务信息的检查,其 中包括本机服务名称、状态(运行、停止)、启动方式(自动启动、手动 启动)、命令行、描述,可根据需求启动或结束选中服务。

, 具备网络连接状态检查功能,能够查看本机进程名、进程ID、协议类型、 本机地址、本地端口、目标地址、目标端口、状态,根据需求结束选中

终端安全管理体系解决方案 进程。

, 具备上网历史记录检查功能,能够提供计算机上网历史记录信息的检查, 其中包括本机网页历史记录(网页名称、最后一次访问时间、网页链接 地址)、Cookie文件(文件名、最后一次修改时间、文件路径)、IE缓存 (网页地址)、IE收藏夹(收藏名称、收藏时间、网页链接地址)、下载 记录(软件名称、下载链接地址)。

, 具备违规上网记录检查功能,能够提供计算机违规上网记录信息的检查, 并以列表树形式展示。

, 具备上网记录深度检查,能够提供计算机上网记录信息的深度检查(可 分别对C盘、D盘等盘符进行查询),对磁盘所对应的扇区进行全方位 检查,即使操作系统重装后也可以查询相关信息。

终端安全管理体系解决方案

, 具备U盘使用记录检查,能够提供针对本机使用过的所有U盘使用记录 的检查,包括U盘型号、序列号、第一次时间、最后一次时间。

, 具备敏感信息安全检查功能,能够针对本机内敏感信息进行检查,分别 包括文件检查、已删文件检查、扇区检查(可分别对C盘、D盘等盘符 进行查询);还可对已删除文件进行敏感信息的检查,根据自定义关键字、 文件格式等配置进行检查。

通过终端数据安全防护组件可以实现内部重要电子文档资料和移动介质载体的统一管理与控制,完成重要移动介质或磁盘的机密信息彻底消除,防范敏感信息的外发控制和泄漏风险。

终端安全管理体系解决方案 3.2.5. 终端安全审计设计实现

终端安全审计采用主机监控审计系统、网络行为审计、数据库审计系统能够实现对终端用户网络访问行为、设定目录文件的操作行为、共享文件的输出行为,以及对终端用户的打印行为、网站浏览行为、邮件外发、网络发帖、数据库访问等各种网络行为、主机操作行为进行统一监控与综合审计。

3.2.5.1. 主机监控审计

主机监控审计通过对整个系统进行应用策略配置,管理网络和查询审计数据,方便用户操作,有效防范不安全因素对内部终端构成的威胁,真正做到内部终端的安全管理,防止信息泄密,满足客户对内部终端管理的功能需求。功能实现如下描述:

, 网络访问行为审计和控制

以黑白名单的方式对用户的网络访问行为进行控制,并对用户访问的网络等进行审计和记录。

, 文件保护及审计

提供对终端的OS系统、软件和共享等目录中的文件的保护功能,设定访问、删除、修改权限;支持对设定目录文件的操作审计,包括文件创建、打印、读写、复制、改名、删除、移动等的记录,同时将信息上报管理信息库供查询。

终端安全管理体系解决方案

, 网络文件输出审计

对主机通过共享文件等方式进行的网络文件输出行为进行审计和记录。

, 打印审计

根据策略对主机打印行为进行监控审计,防止非授权的信息被打印,同时根 据要求还可以备份打印内容。

终端安全管理体系解决方案

, 敏感信息检查

根据用户自主设定的敏感信息查询条件,设定对指定目录或盘符下的指定类型文件进行内容检查,检查其是否包含敏感内容,系统支持进行包含“或”、“与”等多种逻辑的组合监测和模糊监测。

, 用户权限审计

能够审计用户权限更改,及操作系统内用户增加和删除操作。

终端安全管理体系解决方案

, 系统日志审计

支持不同权限管理员在Web控制台对终端用户的日志(系统日志、应用日志、安全日志等)进行远程读取查看。

3.2.5.2. 网络行为审计

网络行为审计可以针对终端行为实现“行为前、行为中、行为后”三位一体的管理解决方案,为企业/机构的信息安全及互联网安全提供高质量的保障,既可以即时审计企业/机构内部员工的互联网行为,同时还可以有效的管理企业/机构的网络带宽分配和员工的工作效率。其功能实现阐述如下:

, 网页访问审计

详细记录每条URL访问记录产生的时间、终端主机、URL链接、URL所属网站分类以及命中的访问控制策略,并且提供可查询的接口。

终端安全管理体系解决方案

, 邮件审计

详细记录邮件的发送和接收帐号、邮件发送时间、涉及的主机、邮件的内容及附件,并且提供可查询的接口,同时支持对邮件内容的还原。

, 即时聊天审计

详细记录使用的聊天工具类型、发送和接收的帐号、聊天记录产生的时间、涉及的终端主机以及消息内容等,并且提供可查询的接口。

, 网络发帖审计

终端安全管理体系解决方案

详细记录发帖记录产生的时间、涉及的终端主机、发帖记录产生的网站以及发帖标题等,并且提供可查询的接口。

, FTP审计

详细记录FTP行为产生的时间、涉及的终端主机、涉及的端口、访问的FTP服务器、执行的命令以及涉及的参数,可以详细审计具体涉及到的文件等,并且提供可查询的接口。

, Telnet审计

详细记录Telnet行为产生的时间、涉及的终端主机、涉及的端口、访问的服务器以及执行的命令,并且提供可查询的接口。

终端安全管理体系解决方案

, MMS访问审计

详细记录MMS行为产生的时间、涉及的终端主机、涉及的端口、访问的服务器、执行的命令以及详细的文件名,并且提供可查询的接口。

, RTSP访问审计

详细记录RTSP行为产生的时间、涉及的终端主机、涉及的端口、访问的服务器、执行的命令以及详细的文件名,并且提供可查询的接口。

, 其他功能实现

终端安全管理体系解决方案

在对信息系统内部员工上网行为进行审计的基础上,北信源上网行为管理系统依据审计结果可以提供一定的风险控制手段,例如准入控制、访问控制、内容过滤以及应用控制等。通过对网络访问行为设置准入门槛,可以有效的降低企业内部出现的网络风险事件。

3.2.5.3. 数据库审计

数据库审计通过审计核心业务系统的网络访问行为,能够加强对关键信息系统的访问控制与审计,尤其是针对信息系统后台的数据库的内控与审计,确保核心业务的正常运行,防范内部违规行为和误操作,跟踪用户的全部操作,这也使审计系统具有一种威慑力,提醒用户安全使用数据库。

同时还可以提供业务流量实时监控与审计事件统计分析功能,能够直观地反映网络环境的安全状况,特别是访问量、业务流量、业务访问分布、业务拓扑、行为分析等重要信息,使得管理者可以直观的实时了解业务系统安全状况。数据库审计功能实现如下所述:

, 数据采集过滤

支持审计引擎在进行数据捕包时,接受用户自定义的采集过滤规则(其中,过滤的条件包括操作源IP、操作源MAC、计算机名、程序名、生产数据库名、生产数据库用户名、操作内容、表名等),从而只采集用户关心的数据,剔除垃圾数据,减少查询时没用信息的干扰。该功能对数据量非常大,但是所关注审计数据又清晰可定义的用户很有帮助。

, 审计预警

支持用户自定义预警策略,对自己所关注的敏感信息进行独立记录和邮件告警。

终端安全管理体系解决方案

同时,对预警的数据可以进一步进行查询获取关注数据。

, 数据库攻击检测

能够通过审计记录发现生产数据库一些潜在的安全威胁,比如SQL注入,密 码猜解,执行操作系统级的命令等,同时内置了丰富的数据库入侵检测规则库, 及时发现并阻止生产数据库安全威胁,保证生产数据库更加安全运行。

终端安全管理体系解决方案

, 审计告警

具备告警配置功能,方便用户在设置不同的规则或者触发事件,按照不同的 级别进行不同方式的告警方式,包括邮件告警,声音告警,短信告警等。

, 具备多种查询条件与方法:

能够为用户提供了基于时间、地址、数据库类型、用户名、操作类型、数据

终端安全管理体系解决方案

库名、表名、字段名等等多种丰富的组合查询模式,用户可以按照自己的需要查

找所关心的符合审计规则的数据库操作记录;还支持二次检索,模糊查询,快速

链接查询,select可选独立查询等功能以达到精确检索的目的。

能够对审计数据中提取出来的表名、IP地址、MAC地址等进行中文备注说明, 并在查询结果中进行备注替换显示,极大的提高数据库审计内容的易读性。

终端安全管理体系解决方案

查询结果支持按照不同视角进行归并展示,适合不同用户和观测重点需要。 , 专业化报表输出:

审计结果能够通过专业化的报表按照不同的内容和形式果直观地展现给用 户:

终端安全管理体系解决方案

, 具备实时审计功能:

具备实时审计数据的展示,方便用户及时发现数据库操作或者用户行为异常。用户可以自定义实时显示的刷新频率和条数等参数。实时审计功能包含“实时预警”、“实时会话”和“实时数据”几种情况

, 具备多种编码格式:

具备灵活多样的编码格式策略配置,适合不同数据库业务环境。

终端安全管理体系解决方案

, 数据高压缩比例存储:

拥有高达95%以上的高压缩比例保存,而且所有的压缩解压过程都是按照预定策略自动实现的。

, 具备缓存安全机制:

数据库审计引擎具有大容量的缓存安全机制,保证用户的审计数据在人为或者意外情况下,都可以最大限度的保证原始审计数据的安全。

, 历史数据回档与检索:

能够对压缩保存好的历史审计数据,可以自由选择需要重新检索的数据范围,进行自动回档操作,并对回档出来的数据重新检索。

, 可扩展的审计架构:

支持对ORACLE、 SQL Server、Sybase等数据库环境的审计。该架构的优势利于在业务环境变化或者升级的时候进行灵活简单的适应性变更,降低成本。

, 细料度审计分析:

支持对生产数据库的SQL操作进行细粒度审计,可以审计到详细的所有客户端对生产数据库访问的记录,包括客户端的IP地址、MAC地址、计算机名、目

终端安全管理体系解决方案 的地址、客户端程序名、数据库名、表名、操作方式、操作内容、返回成功与否,执行时长等。

通过细粒度的审计,可以实现对用户的登录过程以及权限变更记录进行审计,及时发现异常用户活动,可以对生产数据库用户角色权限的授予情况进行跟踪,特别是对DBA权限的授予情况。也可以发现异常的客户端登录,找到隐患。对客户端可以审计到不同的层面(比如网络IP/MAC等,到业务层面的数据库用户等)。

, 实现数据库会话审计:

能够实现数据库会话审计,能够完整的保存不同数据库客户端与数据库服务器的整个会话状态,并按照不同类型展示出来,允许用户通过多条件进行会话查询,以及该会话范围内的所有数据库语句,同时也为数据库服务器的性能优化有帮助。

终端安全管理体系解决方案

, 具备绑定变量审计:

具备对数据库会话的绑定变量的审计,不仅可以审计到调用绑定变量的数据库操作,同时也能够对该变量的实参也能够审计到,并进行关联分析,全面满足目前实际使用绑定变量的业务环境的审计需求。

通过主机审计、网络行为审计,以及数据库审计等综合安全审计,最终实现对终端操作行为、远程访问行为的集中记录与审计,便于对各种事件信息的统计分析和事后跟踪、追查。

终端安全管理体系解决方案 3.3. 北信源终端安全管理体系组成

组件名称 产品组成 备注 接入认证授权管理 北信源安全登录与监控审计系统。

终端行为管控 北信源上网行为管理系统

北信源网络接入控制管理系统、北信源内网安终端使用控制管理

全管理系统。

北信源移动存储介质使用管理系统、北信源存

储介质信息消除系统、北信源电子文档安全管终端数据安全管理 理系统、北信源光盘刻录监控与审计系统、北 信源网络信息保密检查监控系统。

北信源主机监控审计系统、北信源数据库审计终端安全审计管理 系统。

终端安全管理体系解决方案 4. 方案总结

本方案基于北信源VRV SpecSEC终端安全管理体系核心理念,通过对终端用户的认证授权管理、终端使用控制安全管理、终端数据安全防护、终端安全审计等安全管理组件对终端数据信息防泄密一体化解决方案进行了详细阐述。

同时,通过北信源集中管控与策略平台(EDP SERVER)对上述接入认证授权管理、终端使用控制安全管理、终端数据安全防护、终端安全审计等组件涉及到的安全产品进行集成化的管控;最终实现对内网授权终端用户的可控、可管、可审计,从而形成了完整的数据防泄密体系,为整个网络系统信息安全管理体系建设打下坚实的基础。

因篇幅问题不能全部显示,请点此查看更多更全内容