【正文】 北信源終端安全管理體系解決方案 北京北信源軟件股份有限公司 2020 年 10月 終端安全管理體系解決 方案 2 目 錄 1. 安全現(xiàn)狀 ................................................................................................................... 3 . 現(xiàn)狀概述 ........................................................................................................................................3 . 應對策略 ........................................................................................................................................4 2. 安全理念 ................................................................................................................... 5 . 安全理念 ........................................................................................................................................5 . 安全體系 ........................................................................................................................................6 . 參考標準 ........................................................................................................................................7 3. 北信源終端安全管理體系設計 ..................................................................................... 9 . 方案設計思路 ................................................................................................................................9 . 北信源終端安全管理體設計實現(xiàn) ........................................................................................... 11 . 接入認證授權設計實現(xiàn) ................................................................................................... 11 . 終端使 用控制設計實現(xiàn) ................................................................................................... 13 . 終端行為管控設計實現(xiàn) ................................................................................................... 19 . 終端數(shù)據安全設計實現(xiàn) ................................................................................................... 22 . 終端安全 審計設計實現(xiàn) ................................................................................................... 35 . 北信源終端安全管理體系組成 ............................................................................................... 51 4. 方案總結 ................................................................................................................. 52 終端安全管理體系解決 方案 3 1. 安全現(xiàn)狀 . 現(xiàn)狀概述 隨著網絡應用的不斷普及和應用，網絡應用向多層次、立體化、空間化方向發(fā)展，網絡空間電 子文檔的安全問題越來越突出，電子文檔和數(shù)據被有意無意的竊取、丟失、泄密等給數(shù)字化的文檔安全管理帶來很大挑戰(zhàn)。 網絡空間安全通常被認為是計算機網絡上的信息安全，是指網絡系統(tǒng)的硬件如骨干網設備、終端設備、線路、輔助設備等）、軟件（如操作系統(tǒng)、應用系統(tǒng)、用戶系統(tǒng)等），及其系統(tǒng)中運行的數(shù)據、提供的應用服務不因偶然的、惡意的原因而遭到破壞、更改、泄露和失控。 首先，對于行業(yè)信息網絡而言，當 DDos 攻擊、病毒、木馬威脅、非法入侵、非法 接入、 敏感 數(shù)據泄密、移動介質 隨意 接入 ，以及電子信息戰(zhàn)等越來越嚴重的影響到公眾利益和國家 利益的時候，網絡空間安全 (Cyberspace Security)也繼國防安全、政治安全、經濟安全、金融安全之后成為了國家安全體系中的一項重要內容，受到包括美國、歐洲和中國政府的高度關注。 其次，在國家行業(yè)信息化推進的大環(huán)境下，行業(yè)專網的運營安全在國民經濟建設中日益顯得舉足輕重。特別是在政府機關網絡中， 工作秘密的泄露會使政府機關工作遭受損失，帶來不必要的被動 ；而 國家秘密的泄露會使國家的安全和利益遭到嚴重損害 ， 而泄密者受到降職、降銜的嚴肅處理 ，甚至移交司法機關處理 。 同時，對于很多無意識 泄密事件 中 ，大多 數(shù)都是 由于 外部終端設備隨意接入內部網絡引發(fā)安全事故、病毒 木馬防控不嚴、 U 盤 等 外設 存儲 使用不當、 擅自連接其他網絡、重要文檔被非授權訪問和復制、未經授權而進行數(shù)據拷貝和光盤刻錄，以及對存儲敏感信息的介質和文件沒有徹底消除而 造成的 。 由此，如何應對上述安全問題，減少直至杜絕內部敏感信息的泄漏和重要數(shù)據的丟失而引發(fā)的安全事故， 建設 面向網絡空間的、 安全 和諧 的內網 運行 環(huán)境 ，則成為了 政府 機關 網絡 、行業(yè)信息網絡主管領導日常工作的重中之重 。 終端安全管理體系解決 方案 4 . 應對策略 從網絡空間應用接入方式來來說，網絡空間應用從傳統(tǒng)的互聯(lián)網應用接入發(fā)展到以移動 /無 線通信應用接入乃至移動互聯(lián)網接入等多種方式。 而 針對網絡空間安全方面的問題，北信源 公司 基于多年的產品開發(fā)與超大規(guī)模成功部署與應用經驗 基礎，組建了面向網絡空間的終端安全管理產品體系。該產品 體系主要 面向重要網絡、信息系統(tǒng)及基礎設施的失泄密檢測與防范，實現(xiàn)從終端、區(qū)域網到互聯(lián)網的一體化檢測 、管理 與防范。 該體系從終端身份認證、終端接入控制、終端行為管控制、終端數(shù)據防泄密，以及終端安全審計等方面 ，實現(xiàn) 了 多層次、全方位、立體化縱深失竊密檢測與防范， 形成了面向復雜網絡空間的終端安全管理一體化解決方案，有效地實現(xiàn)了 網絡空間 下對終端計算機的安全管理 體系 。 終端安全管理體系解決 方案 5 2. 安全理念 . 安全理念 針對目前網絡中終端計算機面臨的各種安全問題，作為終端安全管理市場的領導者，北信源公司特推出了面向網絡空間的 VRV SpecSEC 終端安全管理體系 。 VRV SpecSEC 終端安全管理體系以 APPDR 模型為依據，遵循國家和行業(yè)等級保護，基于安全工程的思想，以獨特的終端安全配置策略為核心，以終端安全風險測試與評估為依據，實現(xiàn)組件化可動態(tài)組合配置的終端安全管理。其核心理念如下圖所示： VRV SpecSEC 終端安全管理 體系核心 理念 ? 安全產品法規(guī)符合性開發(fā) （ Specificationbased Products Development） ? 策略引導的終端安全配置（ Policybased Configure Management） ? 評估驅動的終端安全管理（ Evaluationdriven Security Management） ? 組件化終端安全管理體系（ Componentbased Plugin/out Security Architecture ） 終端安全管理體系解決 方案 6 . 安全體系 北信源 VRV SpecSEC 體系覆蓋終端 的 資產安全管理、終端數(shù)據安全管理、終端行為安全管理、 終端服務安全管理等多個方面，涉及管理計算機本身、計算機應用、計算機操作者、計算機使用單位管理規(guī)范等多個方面 ，形成 全方位、多層次、立體化終端安全管理。 VRV SpecSEC 終端安全 管理體系層次結構圖如下所示： VRV SpecSEC 終端安全 管理體系層次結構圖 本解決方案正是基于上述核心理念和安全體系的基礎上而組建的基于終端各方面安全管理和控制的一體化解決方案。 終端安全管理體系解決 方案 7 . 參考標準 本方案將主要遵循和參照如下信息安全法律法規(guī)、政策要求和安全標準，及其他相關規(guī)定和標準： ? 《中華人民共和國保守國家秘密法》 及相關法規(guī) 新修訂的《中華人民共和國保守國家秘密法》及相關法規(guī)均對涉及保密行為做出明確的規(guī)定和要求，如一切國家機關、武裝力量、政黨、社會團體、企業(yè)事業(yè)單位和公民都有保守國家秘密的義務 。 如何保證內網（業(yè)務專網）沒有國家涉密信息，不會泄漏相關敏感信息，則必須采取相應的技術手段和管理手段來防止安全保密事件的發(fā)生。 ? 《 信息安全技術 信息系統(tǒng)安全等級保護技術要求 》（ GB/T 222392020） 2020 年頒布的信息安全等級保護國家標準 —— 《信息安全技術 信息系統(tǒng)安全等級保護技術要求》 中，在邊界完整性檢查、主機安全、身份鑒別、 安全審計、數(shù)據安全與備份恢復等幾個