【正文】 化的文檔安全管理帶來很大挑戰(zhàn)。 而 針對網絡空間安全方面的問題，北信源 公司 基于多年的產品開發(fā)與超大規(guī)模成功部署與應用經驗 基礎，組建了面向網絡空間的終端安全管理產品體系。 如何保證內網（業(yè)務專網）沒有國家涉密信息，不會泄漏相關敏感信息，則必須采取相應的技術手段和管理手段來防止安全保密事件的發(fā)生。 目前國家已經等同采用該國際標準成為國家標準《信息技術 安全技術 信息安全管理體系要求》（ GB/T 220802020）。 ? 終端行為管控（ Behavior Control） 終端行為管控主要對終端用戶的網站瀏覽控制 、網絡應用使用控制、網絡下載控制、帶寬使用控制等各種網絡訪問和使用行為進行管理和控制。由于 USBKey 本身的唯一性，從而保證了登錄用 戶的唯一性。 1. 接入控制管理 接入控制管理可提供細粒度的接入管理和控制功能，它的部署使用要求網絡中 的交換機支持 協(xié)議，要求網絡管理人員會進行簡單的交換機配置，從而保障終端殺毒軟件以及補丁擁有最新的時效性，使網絡安全得到有效提升。 4) 未打補丁終端接入限制； 通過北信源補丁索引檢測終端用戶是否安裝系統(tǒng)補丁，檢測注冊終端未打或漏打補丁時，將會提示終端用戶有哪些需要安裝的補丁并且會自動彈出下載的補丁的 WEB 頁面，即刻終端用戶跳轉到修復區(qū)或者直接斷開終端網絡連接； 終端安全管理體系解決 方案 15 在網絡中專門劃分出修復區(qū)域，系統(tǒng)補丁文件服務器放置在網絡隔離區(qū)中。并且系統(tǒng)可以面向所有的網絡架構工作，不必進行復雜的網絡架構改造。 ? 通過策略配置快速的實現(xiàn) IP、 MAC 綁定，綁定后，對私自修改 IP 計算機進行地址恢復，或斷網，同時上報服務器保存。例如：對未注冊用戶的入網行為進行管理（包含 URL 重定向功能），對已注冊的用戶不做任何的阻斷操作，記錄合法的注冊信息等功能，從而達到終端用戶的入網管理與控制，優(yōu)化網絡資源分配的目的。包括移動存儲介質使用控制、電子文檔安全管理、光盤刻錄行為控制以及保密信息檢查 終端安全管理體系解決 方案 23 控制等，確保授權終端用戶使用行為和訪問行為的合規(guī)性、可控性，避免不合規(guī)終端計算機和非 受控行為而引發(fā)的重要文件信息泄漏事故。 ? 具備移動存儲介質審計和文件操作審計功能，能夠對移動存儲的插拔動作進行審計；能夠對文件操作的各種行為進行審計，包括讀、寫、刪除、修改、拷貝等。 ? 能夠對于郵件傳輸具備自動解密策略，能夠支持對設定的郵件在發(fā)送時自動 解密。能夠對終端文件操作的審計，包括用戶名、計算機名、應用程序名稱、文件路徑及名稱、對文件的操作方式、時間。 ? 具備刻錄行為審計，能夠對刻錄的行為進行審計，包括：刻錄電腦 IP、MAC、刻錄時間、源文件絕對路徑、目的文件絕對路徑等信息。 ? 具備上網歷史記錄檢查功能，能夠提供計算機上網歷史記錄信息的檢查，其中包括本機網頁歷史記錄（網頁名稱、最后一次訪問時間、網頁鏈接地址）、 Cookie 文件（文件名、最后一次修改時間、文件路徑）、 IE 緩存（網頁地址）、 IE 收藏夾（收藏名稱、收藏 時間、網頁鏈接地址）、下載記錄（軟件名稱、下載鏈接地址）。功能實現(xiàn)如下描述： ? 網絡訪問行為審計和控制 以黑白名單的方式對用戶的網絡訪問行為進行控制，并對用戶訪問的網絡等進行審計和記錄。其功能實現(xiàn)闡述如下： ? 網 頁訪問審計 詳細記錄每條 URL 訪問記錄產生的時間、終端主機、 URL 鏈接、 URL 所屬網站分類以及命中的訪問控制策略，并且提供可查詢的接口。 ? 其他功能實現(xiàn) 終端安全管理體系解決 方案 42 在對信息系統(tǒng)內部員工上網行為進行審計的基礎上，北信源上網行為管理系統(tǒng)依據(jù)審計結果可 以提供一定的風險控制手段，例如準入控制、訪問控制、內容過濾以及應用控制等。 ? 數(shù)據(jù)庫攻擊檢測 能夠通過審計記錄發(fā)現(xiàn)生產數(shù)據(jù)庫一些潛在的安全威脅，比如 SQL 注入，密碼猜解，執(zhí)行操作系統(tǒng)級的命令等，同時內置了豐富的數(shù)據(jù)庫入侵檢測規(guī)則庫，及時發(fā)現(xiàn)并阻止生產數(shù)據(jù)庫安全威脅，保證生產數(shù)據(jù)庫更加安全運行。 終端安全管理體系解決 方案 48 ? 數(shù)據(jù)高壓縮比例存儲： 擁有高達 95%以上的高壓縮比例保存，而且所有的壓縮解壓過程都是按照預定策略自動實現(xiàn)的。對客戶端可以審計到不同的層面（比如網絡 IP/MAC 等，到業(yè)務層面的數(shù)據(jù)庫用戶等）。 終端安全管理體系解決 方案 52 4. 方案總結 本方案基 于 北信源 VRV SpecSEC 終端安全管理 體系核心 理念 ，通過對終端用戶的認證授權管理、終端使用控制安全管理、終端數(shù)據(jù)安全防護、終端安全審計等 安全管理組件 對終端數(shù)據(jù)信息防泄密一體化解決方案進行了詳細闡述。 終端數(shù)據(jù)安全管理 北信源移動存儲介質使用管理系統(tǒng)、北信源存儲介質信息消除系統(tǒng)、北信源電子文檔安全管理系統(tǒng)、北信源光盤刻錄監(jiān)控與審計系統(tǒng)、北信源 網絡信息保密檢查監(jiān)控系統(tǒng) 。 通過細粒度的審計，可以實現(xiàn)對用戶的登錄過程以及權限變更記錄進行審計，及時發(fā)現(xiàn)異常用戶活動，可以對生產數(shù)據(jù)庫用戶角色權限的授予情況進行跟蹤，特別是對 DBA 權限的授予情況。用戶可以自定義實時顯示的刷新頻率和條數(shù)等參數(shù)。 ? 審計預警 支持用戶自定義預警策略，對自己所關 注的敏感信息進行獨立記錄和郵件告警。 終端安全管理體系解決 方案 41 ? MMS 訪問審計 詳細記錄 MMS 行為產生的時間、涉及的終端主機、涉及的端口、訪問的服務器、執(zhí)行的命令以及詳細的文件名，并且提供可查詢的接口。 終端安全管理體系解決 方案 38 ? 系統(tǒng)日志審計 支持不同權限管理員在 Web 控制臺對終端用戶的日志（系統(tǒng)日志、應用日志、安全日志等）進行遠程讀取查看。 終端安全管理體系解決 方案 35 . 終端安全審計設計實現(xiàn) 終端安全審計采用主機監(jiān)控審計系統(tǒng)、網絡行為審計、數(shù)據(jù)庫審計系統(tǒng)能夠實現(xiàn) 對終端用戶網絡訪問行為、設定目錄文件的操作行為、共享文件的輸出行為，以及對終端用戶的打印行為、 網站瀏覽行為、郵件外發(fā)、網絡發(fā)帖、數(shù)據(jù)庫訪問等各種網絡行為、主機操作行為進行統(tǒng)一監(jiān)控與綜合審計。 ? 具備系統(tǒng)服務信息檢查功能，能夠提供計算機系統(tǒng)服務信 息的檢查，其中包括本機服務名稱、狀態(tài)（運行、停止）、啟動方式（自動啟動、手動啟動）、命令行、描述，可根據(jù)需求啟動或結束選中服務。 ? 具備光盤讀取認證，能夠支持刻錄光盤密碼認證功能。 ? 具備安全審計功能，能夠對授權文檔的名稱、文檔作者、授權時間、授權權限、授權方式和認證方式進行審計和查詢。 ? 具備應用程序進程指紋識別保護，能夠支持進程指紋的設置，可以防止非法篡改應用程序文件，保障應用程序安全。 ? 能夠對存儲數(shù)據(jù)采取加密管理方式，如采用 AES 加密算法對存儲數(shù)據(jù)進行加密。 ? 綜合內容審計： 采用領先的 知識發(fā)現(xiàn) KDT（ Knowledge Discovery Technology）技術 （該技 終端安全管理體系解決 方案 22 術是 數(shù)據(jù)挖掘與 DSI 深度業(yè)務識別檢測 兩種 技術 的結晶，它 可以根據(jù)不同的業(yè)務類型進行有針對性的內容還原解碼 ），能夠對郵件內容、聊天內容、網絡發(fā)貼等綜合信息進行安全審計、綜合檢索和完整備份 . ? 分 布式部署、集中化管理 對于擁有多個分支機構的組織，可能面臨分布式部署的集中管理問題， VRV BMG 支持多級結構的集中管理，支持策略統(tǒng)一下發(fā)。它將某些特性功能劃分為不同的應用組件，可根據(jù)用戶自身的需求特點，選擇和啟用不同的功能組件實現(xiàn)任意組合與擴展，保護安全投資，減輕系統(tǒng)負 載， 終端安全管理體系解決 方案 20 提交系統(tǒng)運行效率。主要實現(xiàn)如下： ? 能夠對終端電腦硬件資源、軟件資源，以及軟、硬件資源變更的信息統(tǒng)一與管理； ? 能夠解決終端電腦 外圍設備 （軟驅、光驅、刻錄機、 U 盤、移動硬盤、撥號連接、無線上網、紅外傳輸、藍牙、串并口、打印機等）的使用管理與控制； 終端安全管理體系解決 方案 17 ? 能夠對 終端電腦軟件安裝、進程運行、服務加載的監(jiān)控與保護的安全問題；能夠 快速有效地定位網絡中病毒、蠕蟲、黑客的引入點，及時、準確地切斷安全事件發(fā)生點和網絡； ? 能夠對終端電腦登錄密碼、用戶權限、 IP 訪問控制、 IE 安全設置、注冊表監(jiān)控與 保護的安全問題；對終端電腦運行資源、異常流量、異常進程的監(jiān)控與管理； 終端安全管理體系解決 方案 18 ? 能夠對終端補丁安裝進行管理，能夠統(tǒng)計每臺終端補丁安裝情況，能夠根據(jù)補丁策略選擇補丁自動分發(fā)和人工選擇補丁分發(fā)，根據(jù)不同需要制定不同策略實現(xiàn)補丁的自動分發(fā)。 2. 虛擬隔離強制注冊技術 1) 虛擬隔離強制注冊技術： 虛擬隔離強制注冊技術基于最基本的網絡協(xié)議實現(xiàn)，具有廣泛的適用性，對接入單位內部網絡的計算機進行安全認證，用于保護單位整個內部網絡，包括可管理的（單位臺式機、手提電腦、服務器）以及不可管理的（外部訪客、合作伙伴、客戶）終端。如有違規(guī)即刻終端用戶跳轉到修復區(qū)或者直接斷開終端網絡連接； 針對終端用戶安裝的必備軟件情況，管理員可以設置可控軟件名單，檢查必備軟件的安裝運行情況，如有違規(guī)即刻終端用戶跳轉到修復區(qū)或者直 接斷開終端網絡連接； 在網絡中專門劃分出修復區(qū)域，防病毒軟件服務器放置在網絡修復區(qū)中。 網絡接入控制管理能夠確保終端電腦只有在安裝終端安全管理組件，并符合必要的安全策略