【正文】 化的文檔安全管理帶來很大挑戰(zhàn)。 而 針對網(wǎng)絡(luò)空間安全方面的問題，北信源 公司 基于多年的產(chǎn)品開發(fā)與超大規(guī)模成功部署與應(yīng)用經(jīng)驗 基礎(chǔ)，組建了面向網(wǎng)絡(luò)空間的終端安全管理產(chǎn)品體系。 如何保證內(nèi)網(wǎng)（業(yè)務(wù)專網(wǎng)）沒有國家涉密信息，不會泄漏相關(guān)敏感信息，則必須采取相應(yīng)的技術(shù)手段和管理手段來防止安全保密事件的發(fā)生。 目前國家已經(jīng)等同采用該國際標(biāo)準(zhǔn)成為國家標(biāo)準(zhǔn)《信息技術(shù) 安全技術(shù) 信息安全管理體系要求》（ GB/T 220802020）。 ? 終端行為管控（ Behavior Control） 終端行為管控主要對終端用戶的網(wǎng)站瀏覽控制 、網(wǎng)絡(luò)應(yīng)用使用控制、網(wǎng)絡(luò)下載控制、帶寬使用控制等各種網(wǎng)絡(luò)訪問和使用行為進(jìn)行管理和控制。由于 USBKey 本身的唯一性，從而保證了登錄用 戶的唯一性。 1. 接入控制管理 接入控制管理可提供細(xì)粒度的接入管理和控制功能，它的部署使用要求網(wǎng)絡(luò)中 的交換機支持 協(xié)議，要求網(wǎng)絡(luò)管理人員會進(jìn)行簡單的交換機配置，從而保障終端殺毒軟件以及補丁擁有最新的時效性，使網(wǎng)絡(luò)安全得到有效提升。 4) 未打補丁終端接入限制； 通過北信源補丁索引檢測終端用戶是否安裝系統(tǒng)補丁，檢測注冊終端未打或漏打補丁時，將會提示終端用戶有哪些需要安裝的補丁并且會自動彈出下載的補丁的 WEB 頁面，即刻終端用戶跳轉(zhuǎn)到修復(fù)區(qū)或者直接斷開終端網(wǎng)絡(luò)連接； 終端安全管理體系解決 方案 15 在網(wǎng)絡(luò)中專門劃分出修復(fù)區(qū)域，系統(tǒng)補丁文件服務(wù)器放置在網(wǎng)絡(luò)隔離區(qū)中。并且系統(tǒng)可以面向所有的網(wǎng)絡(luò)架構(gòu)工作，不必進(jìn)行復(fù)雜的網(wǎng)絡(luò)架構(gòu)改造。 ? 通過策略配置快速的實現(xiàn) IP、 MAC 綁定，綁定后，對私自修改 IP 計算機進(jìn)行地址恢復(fù)，或斷網(wǎng)，同時上報服務(wù)器保存。例如：對未注冊用戶的入網(wǎng)行為進(jìn)行管理（包含 URL 重定向功能），對已注冊的用戶不做任何的阻斷操作，記錄合法的注冊信息等功能，從而達(dá)到終端用戶的入網(wǎng)管理與控制，優(yōu)化網(wǎng)絡(luò)資源分配的目的。包括移動存儲介質(zhì)使用控制、電子文檔安全管理、光盤刻錄行為控制以及保密信息檢查 終端安全管理體系解決 方案 23 控制等，確保授權(quán)終端用戶使用行為和訪問行為的合規(guī)性、可控性，避免不合規(guī)終端計算機和非 受控行為而引發(fā)的重要文件信息泄漏事故。 ? 具備移動存儲介質(zhì)審計和文件操作審計功能，能夠?qū)σ苿哟鎯Φ牟灏蝿幼鬟M(jìn)行審計；能夠?qū)ξ募僮鞯母鞣N行為進(jìn)行審計，包括讀、寫、刪除、修改、拷貝等。 ? 能夠?qū)τ卩]件傳輸具備自動解密策略，能夠支持對設(shè)定的郵件在發(fā)送時自動 解密。能夠?qū)K端文件操作的審計，包括用戶名、計算機名、應(yīng)用程序名稱、文件路徑及名稱、對文件的操作方式、時間。 ? 具備刻錄行為審計，能夠?qū)啼浀男袨檫M(jìn)行審計，包括：刻錄電腦 IP、MAC、刻錄時間、源文件絕對路徑、目的文件絕對路徑等信息。 ? 具備上網(wǎng)歷史記錄檢查功能，能夠提供計算機上網(wǎng)歷史記錄信息的檢查，其中包括本機網(wǎng)頁歷史記錄（網(wǎng)頁名稱、最后一次訪問時間、網(wǎng)頁鏈接地址）、 Cookie 文件（文件名、最后一次修改時間、文件路徑）、 IE 緩存（網(wǎng)頁地址）、 IE 收藏夾（收藏名稱、收藏 時間、網(wǎng)頁鏈接地址）、下載記錄（軟件名稱、下載鏈接地址）。功能實現(xiàn)如下描述： ? 網(wǎng)絡(luò)訪問行為審計和控制 以黑白名單的方式對用戶的網(wǎng)絡(luò)訪問行為進(jìn)行控制，并對用戶訪問的網(wǎng)絡(luò)等進(jìn)行審計和記錄。其功能實現(xiàn)闡述如下： ? 網(wǎng) 頁訪問審計 詳細(xì)記錄每條 URL 訪問記錄產(chǎn)生的時間、終端主機、 URL 鏈接、 URL 所屬網(wǎng)站分類以及命中的訪問控制策略，并且提供可查詢的接口。 ? 其他功能實現(xiàn) 終端安全管理體系解決 方案 42 在對信息系統(tǒng)內(nèi)部員工上網(wǎng)行為進(jìn)行審計的基礎(chǔ)上，北信源上網(wǎng)行為管理系統(tǒng)依據(jù)審計結(jié)果可 以提供一定的風(fēng)險控制手段，例如準(zhǔn)入控制、訪問控制、內(nèi)容過濾以及應(yīng)用控制等。 ? 數(shù)據(jù)庫攻擊檢測 能夠通過審計記錄發(fā)現(xiàn)生產(chǎn)數(shù)據(jù)庫一些潛在的安全威脅，比如 SQL 注入，密碼猜解，執(zhí)行操作系統(tǒng)級的命令等，同時內(nèi)置了豐富的數(shù)據(jù)庫入侵檢測規(guī)則庫，及時發(fā)現(xiàn)并阻止生產(chǎn)數(shù)據(jù)庫安全威脅，保證生產(chǎn)數(shù)據(jù)庫更加安全運行。 終端安全管理體系解決 方案 48 ? 數(shù)據(jù)高壓縮比例存儲： 擁有高達(dá) 95%以上的高壓縮比例保存，而且所有的壓縮解壓過程都是按照預(yù)定策略自動實現(xiàn)的。對客戶端可以審計到不同的層面（比如網(wǎng)絡(luò) IP/MAC 等，到業(yè)務(wù)層面的數(shù)據(jù)庫用戶等）。 終端安全管理體系解決 方案 52 4. 方案總結(jié) 本方案基 于 北信源 VRV SpecSEC 終端安全管理 體系核心 理念 ，通過對終端用戶的認(rèn)證授權(quán)管理、終端使用控制安全管理、終端數(shù)據(jù)安全防護(hù)、終端安全審計等 安全管理組件 對終端數(shù)據(jù)信息防泄密一體化解決方案進(jìn)行了詳細(xì)闡述。 終端數(shù)據(jù)安全管理 北信源移動存儲介質(zhì)使用管理系統(tǒng)、北信源存儲介質(zhì)信息消除系統(tǒng)、北信源電子文檔安全管理系統(tǒng)、北信源光盤刻錄監(jiān)控與審計系統(tǒng)、北信源 網(wǎng)絡(luò)信息保密檢查監(jiān)控系統(tǒng) 。 通過細(xì)粒度的審計，可以實現(xiàn)對用戶的登錄過程以及權(quán)限變更記錄進(jìn)行審計，及時發(fā)現(xiàn)異常用戶活動，可以對生產(chǎn)數(shù)據(jù)庫用戶角色權(quán)限的授予情況進(jìn)行跟蹤，特別是對 DBA 權(quán)限的授予情況。用戶可以自定義實時顯示的刷新頻率和條數(shù)等參數(shù)。 ? 審計預(yù)警 支持用戶自定義預(yù)警策略，對自己所關(guān) 注的敏感信息進(jìn)行獨立記錄和郵件告警。 終端安全管理體系解決 方案 41 ? MMS 訪問審計 詳細(xì)記錄 MMS 行為產(chǎn)生的時間、涉及的終端主機、涉及的端口、訪問的服務(wù)器、執(zhí)行的命令以及詳細(xì)的文件名，并且提供可查詢的接口。 終端安全管理體系解決 方案 38 ? 系統(tǒng)日志審計 支持不同權(quán)限管理員在 Web 控制臺對終端用戶的日志（系統(tǒng)日志、應(yīng)用日志、安全日志等）進(jìn)行遠(yuǎn)程讀取查看。 終端安全管理體系解決 方案 35 . 終端安全審計設(shè)計實現(xiàn) 終端安全審計采用主機監(jiān)控審計系統(tǒng)、網(wǎng)絡(luò)行為審計、數(shù)據(jù)庫審計系統(tǒng)能夠?qū)崿F(xiàn) 對終端用戶網(wǎng)絡(luò)訪問行為、設(shè)定目錄文件的操作行為、共享文件的輸出行為，以及對終端用戶的打印行為、 網(wǎng)站瀏覽行為、郵件外發(fā)、網(wǎng)絡(luò)發(fā)帖、數(shù)據(jù)庫訪問等各種網(wǎng)絡(luò)行為、主機操作行為進(jìn)行統(tǒng)一監(jiān)控與綜合審計。 ? 具備系統(tǒng)服務(wù)信息檢查功能，能夠提供計算機系統(tǒng)服務(wù)信 息的檢查，其中包括本機服務(wù)名稱、狀態(tài)（運行、停止）、啟動方式（自動啟動、手動啟動）、命令行、描述，可根據(jù)需求啟動或結(jié)束選中服務(wù)。 ? 具備光盤讀取認(rèn)證，能夠支持刻錄光盤密碼認(rèn)證功能。 ? 具備安全審計功能，能夠?qū)κ跈?quán)文檔的名稱、文檔作者、授權(quán)時間、授權(quán)權(quán)限、授權(quán)方式和認(rèn)證方式進(jìn)行審計和查詢。 ? 具備應(yīng)用程序進(jìn)程指紋識別保護(hù)，能夠支持進(jìn)程指紋的設(shè)置，可以防止非法篡改應(yīng)用程序文件，保障應(yīng)用程序安全。 ? 能夠?qū)Υ鎯?shù)據(jù)采取加密管理方式，如采用 AES 加密算法對存儲數(shù)據(jù)進(jìn)行加密。 ? 綜合內(nèi)容審計： 采用領(lǐng)先的 知識發(fā)現(xiàn) KDT（ Knowledge Discovery Technology）技術(shù) （該技 終端安全管理體系解決 方案 22 術(shù)是 數(shù)據(jù)挖掘與 DSI 深度業(yè)務(wù)識別檢測 兩種 技術(shù) 的結(jié)晶，它 可以根據(jù)不同的業(yè)務(wù)類型進(jìn)行有針對性的內(nèi)容還原解碼 ），能夠?qū)︵]件內(nèi)容、聊天內(nèi)容、網(wǎng)絡(luò)發(fā)貼等綜合信息進(jìn)行安全審計、綜合檢索和完整備份 . ? 分 布式部署、集中化管理 對于擁有多個分支機構(gòu)的組織，可能面臨分布式部署的集中管理問題， VRV BMG 支持多級結(jié)構(gòu)的集中管理，支持策略統(tǒng)一下發(fā)。它將某些特性功能劃分為不同的應(yīng)用組件，可根據(jù)用戶自身的需求特點，選擇和啟用不同的功能組件實現(xiàn)任意組合與擴展，保護(hù)安全投資，減輕系統(tǒng)負(fù) 載， 終端安全管理體系解決 方案 20 提交系統(tǒng)運行效率。主要實現(xiàn)如下： ? 能夠?qū)K端電腦硬件資源、軟件資源，以及軟、硬件資源變更的信息統(tǒng)一與管理； ? 能夠解決終端電腦 外圍設(shè)備 （軟驅(qū)、光驅(qū)、刻錄機、 U 盤、移動硬盤、撥號連接、無線上網(wǎng)、紅外傳輸、藍(lán)牙、串并口、打印機等）的使用管理與控制； 終端安全管理體系解決 方案 17 ? 能夠?qū)?終端電腦軟件安裝、進(jìn)程運行、服務(wù)加載的監(jiān)控與保護(hù)的安全問題；能夠 快速有效地定位網(wǎng)絡(luò)中病毒、蠕蟲、黑客的引入點，及時、準(zhǔn)確地切斷安全事件發(fā)生點和網(wǎng)絡(luò)； ? 能夠?qū)K端電腦登錄密碼、用戶權(quán)限、 IP 訪問控制、 IE 安全設(shè)置、注冊表監(jiān)控與 保護(hù)的安全問題；對終端電腦運行資源、異常流量、異常進(jìn)程的監(jiān)控與管理； 終端安全管理體系解決 方案 18 ? 能夠?qū)K端補丁安裝進(jìn)行管理，能夠統(tǒng)計每臺終端補丁安裝情況，能夠根據(jù)補丁策略選擇補丁自動分發(fā)和人工選擇補丁分發(fā)，根據(jù)不同需要制定不同策略實現(xiàn)補丁的自動分發(fā)。 2. 虛擬隔離強制注冊技術(shù) 1) 虛擬隔離強制注冊技術(shù)： 虛擬隔離強制注冊技術(shù)基于最基本的網(wǎng)絡(luò)協(xié)議實現(xiàn)，具有廣泛的適用性，對接入單位內(nèi)部網(wǎng)絡(luò)的計算機進(jìn)行安全認(rèn)證，用于保護(hù)單位整個內(nèi)部網(wǎng)絡(luò)，包括可管理的（單位臺式機、手提電腦、服務(wù)器）以及不可管理的（外部訪客、合作伙伴、客戶）終端。如有違規(guī)即刻終端用戶跳轉(zhuǎn)到修復(fù)區(qū)或者直接斷開終端網(wǎng)絡(luò)連接； 針對終端用戶安裝的必備軟件情況，管理員可以設(shè)置可控軟件名單，檢查必備軟件的安裝運行情況，如有違規(guī)即刻終端用戶跳轉(zhuǎn)到修復(fù)區(qū)或者直 接斷開終端網(wǎng)絡(luò)連接； 在網(wǎng)絡(luò)中專門劃分出修復(fù)區(qū)域，防病毒軟件服務(wù)器放置在網(wǎng)絡(luò)修復(fù)區(qū)中。 網(wǎng)絡(luò)接入控制管理能夠確保終端電腦只有在安裝終端安全管理組件，并符合必要的安全策略