【正文】 北信源終端安全管理體系解決方案 北京北信源軟件股份有限公司 2020 年 10月 終端安全管理體系解決 方案 2 目 錄 1. 安全現(xiàn)狀 ................................................................................................................... 3 . 現(xiàn)狀概述 ........................................................................................................................................3 . 應(yīng)對策略 ........................................................................................................................................4 2. 安全理念 ................................................................................................................... 5 . 安全理念 ........................................................................................................................................5 . 安全體系 ........................................................................................................................................6 . 參考標(biāo)準(zhǔn) ........................................................................................................................................7 3. 北信源終端安全管理體系設(shè)計 ..................................................................................... 9 . 方案設(shè)計思路 ................................................................................................................................9 . 北信源終端安全管理體設(shè)計實現(xiàn) ........................................................................................... 11 . 接入認(rèn)證授權(quán)設(shè)計實現(xiàn) ................................................................................................... 11 . 終端使 用控制設(shè)計實現(xiàn) ................................................................................................... 13 . 終端行為管控設(shè)計實現(xiàn) ................................................................................................... 19 . 終端數(shù)據(jù)安全設(shè)計實現(xiàn) ................................................................................................... 22 . 終端安全 審計設(shè)計實現(xiàn) ................................................................................................... 35 . 北信源終端安全管理體系組成 ............................................................................................... 51 4. 方案總結(jié) ................................................................................................................. 52 終端安全管理體系解決 方案 3 1. 安全現(xiàn)狀 . 現(xiàn)狀概述 隨著網(wǎng)絡(luò)應(yīng)用的不斷普及和應(yīng)用，網(wǎng)絡(luò)應(yīng)用向多層次、立體化、空間化方向發(fā)展，網(wǎng)絡(luò)空間電 子文檔的安全問題越來越突出，電子文檔和數(shù)據(jù)被有意無意的竊取、丟失、泄密等給數(shù)字化的文檔安全管理帶來很大挑戰(zhàn)。 網(wǎng)絡(luò)空間安全通常被認(rèn)為是計算機(jī)網(wǎng)絡(luò)上的信息安全，是指網(wǎng)絡(luò)系統(tǒng)的硬件如骨干網(wǎng)設(shè)備、終端設(shè)備、線路、輔助設(shè)備等）、軟件（如操作系統(tǒng)、應(yīng)用系統(tǒng)、用戶系統(tǒng)等），及其系統(tǒng)中運(yùn)行的數(shù)據(jù)、提供的應(yīng)用服務(wù)不因偶然的、惡意的原因而遭到破壞、更改、泄露和失控。 首先，對于行業(yè)信息網(wǎng)絡(luò)而言，當(dāng) DDos 攻擊、病毒、木馬威脅、非法入侵、非法 接入、 敏感 數(shù)據(jù)泄密、移動介質(zhì) 隨意 接入 ，以及電子信息戰(zhàn)等越來越嚴(yán)重的影響到公眾利益和國家 利益的時候，網(wǎng)絡(luò)空間安全 (Cyberspace Security)也繼國防安全、政治安全、經(jīng)濟(jì)安全、金融安全之后成為了國家安全體系中的一項重要內(nèi)容，受到包括美國、歐洲和中國政府的高度關(guān)注。 其次，在國家行業(yè)信息化推進(jìn)的大環(huán)境下，行業(yè)專網(wǎng)的運(yùn)營安全在國民經(jīng)濟(jì)建設(shè)中日益顯得舉足輕重。特別是在政府機(jī)關(guān)網(wǎng)絡(luò)中， 工作秘密的泄露會使政府機(jī)關(guān)工作遭受損失，帶來不必要的被動 ；而 國家秘密的泄露會使國家的安全和利益遭到嚴(yán)重?fù)p害 ， 而泄密者受到降職、降銜的嚴(yán)肅處理 ，甚至移交司法機(jī)關(guān)處理 。 同時，對于很多無意識 泄密事件 中 ，大多 數(shù)都是 由于 外部終端設(shè)備隨意接入內(nèi)部網(wǎng)絡(luò)引發(fā)安全事故、病毒 木馬防控不嚴(yán)、 U 盤 等 外設(shè) 存儲 使用不當(dāng)、 擅自連接其他網(wǎng)絡(luò)、重要文檔被非授權(quán)訪問和復(fù)制、未經(jīng)授權(quán)而進(jìn)行數(shù)據(jù)拷貝和光盤刻錄，以及對存儲敏感信息的介質(zhì)和文件沒有徹底消除而 造成的 。 由此，如何應(yīng)對上述安全問題，減少直至杜絕內(nèi)部敏感信息的泄漏和重要數(shù)據(jù)的丟失而引發(fā)的安全事故， 建設(shè) 面向網(wǎng)絡(luò)空間的、 安全 和諧 的內(nèi)網(wǎng) 運(yùn)行 環(huán)境 ，則成為了 政府 機(jī)關(guān) 網(wǎng)絡(luò) 、行業(yè)信息網(wǎng)絡(luò)主管領(lǐng)導(dǎo)日常工作的重中之重 。 終端安全管理體系解決 方案 4 . 應(yīng)對策略 從網(wǎng)絡(luò)空間應(yīng)用接入方式來來說，網(wǎng)絡(luò)空間應(yīng)用從傳統(tǒng)的互聯(lián)網(wǎng)應(yīng)用接入發(fā)展到以移動 /無 線通信應(yīng)用接入乃至移動互聯(lián)網(wǎng)接入等多種方式。 而 針對網(wǎng)絡(luò)空間安全方面的問題，北信源 公司 基于多年的產(chǎn)品開發(fā)與超大規(guī)模成功部署與應(yīng)用經(jīng)驗 基礎(chǔ)，組建了面向網(wǎng)絡(luò)空間的終端安全管理產(chǎn)品體系。該產(chǎn)品 體系主要 面向重要網(wǎng)絡(luò)、信息系統(tǒng)及基礎(chǔ)設(shè)施的失泄密檢測與防范，實現(xiàn)從終端、區(qū)域網(wǎng)到互聯(lián)網(wǎng)的一體化檢測 、管理 與防范。 該體系從終端身份認(rèn)證、終端接入控制、終端行為管控制、終端數(shù)據(jù)防泄密，以及終端安全審計等方面 ，實現(xiàn) 了 多層次、全方位、立體化縱深失竊密檢測與防范， 形成了面向復(fù)雜網(wǎng)絡(luò)空間的終端安全管理一體化解決方案，有效地實現(xiàn)了 網(wǎng)絡(luò)空間 下對終端計算機(jī)的安全管理 體系 。 終端安全管理體系解決 方案 5 2. 安全理念 . 安全理念 針對目前網(wǎng)絡(luò)中終端計算機(jī)面臨的各種安全問題，作為終端安全管理市場的領(lǐng)導(dǎo)者，北信源公司特推出了面向網(wǎng)絡(luò)空間的 VRV SpecSEC 終端安全管理體系 。 VRV SpecSEC 終端安全管理體系以 APPDR 模型為依據(jù)，遵循國家和行業(yè)等級保護(hù)，基于安全工程的思想，以獨特的終端安全配置策略為核心，以終端安全風(fēng)險測試與評估為依據(jù)，實現(xiàn)組件化可動態(tài)組合配置的終端安全管理。其核心理念如下圖所示： VRV SpecSEC 終端安全管理 體系核心 理念 ? 安全產(chǎn)品法規(guī)符合性開發(fā) （ Specificationbased Products Development） ? 策略引導(dǎo)的終端安全配置（ Policybased Configure Management） ? 評估驅(qū)動的終端安全管理（ Evaluationdriven Security Management） ? 組件化終端安全管理體系（ Componentbased Plugin/out Security Architecture ） 終端安全管理體系解決 方案 6 . 安全體系 北信源 VRV SpecSEC 體系覆蓋終端 的 資產(chǎn)安全管理、終端數(shù)據(jù)安全管理、終端行為安全管理、 終端服務(wù)安全管理等多個方面，涉及管理計算機(jī)本身、計算機(jī)應(yīng)用、計算機(jī)操作者、計算機(jī)使用單位管理規(guī)范等多個方面 ，形成 全方位、多層次、立體化終端安全管理。 VRV SpecSEC 終端安全 管理體系層次結(jié)構(gòu)圖如下所示： VRV SpecSEC 終端安全 管理體系層次結(jié)構(gòu)圖 本解決方案正是基于上述核心理念和安全體系的基礎(chǔ)上而組建的基于終端各方面安全管理和控制的一體化解決方案。 終端安全管理體系解決 方案 7 . 參考標(biāo)準(zhǔn) 本方案將主要遵循和參照如下信息安全法律法規(guī)、政策要求和安全標(biāo)準(zhǔn)，及其他相關(guān)規(guī)定和標(biāo)準(zhǔn)： ? 《中華人民共和國保守國家秘密法》 及相關(guān)法規(guī) 新修訂的《中華人民共和國保守國家秘密法》及相關(guān)法規(guī)均對涉及保密行為做出明確的規(guī)定和要求，如一切國家機(jī)關(guān)、武裝力量、政黨、社會團(tuán)體、企業(yè)事業(yè)單位和公民都有保守國家秘密的義務(wù) 。 如何保證內(nèi)網(wǎng)（業(yè)務(wù)專網(wǎng)）沒有國家涉密信息，不會泄漏相關(guān)敏感信息，則必須采取相應(yīng)的技術(shù)手段和管理手段來防止安全保密事件的發(fā)生。 ? 《 信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)技術(shù)要求 》（ GB/T 222392020） 2020 年頒布的信息安全等級保護(hù)國家標(biāo)準(zhǔn) —— 《信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)技術(shù)要求》 中，在邊界完整性檢查、主機(jī)安全、身份鑒別、 安全審計、數(shù)據(jù)安全與備份恢復(fù)等幾個