【文章內(nèi)容簡(jiǎn)介】 網(wǎng)站后，Web 網(wǎng)頁(yè)自動(dòng)檢測(cè)顯示客戶(hù)段補(bǔ)丁安裝信息，用戶(hù)可進(jìn)行補(bǔ)丁下載安裝；管理員還可以在管理控制臺(tái)上遠(yuǎn)程檢測(cè)終端計(jì)算機(jī)補(bǔ)丁安裝狀況。 內(nèi)網(wǎng)安全管理系統(tǒng)設(shè)計(jì)方案17補(bǔ)丁自動(dòng)檢測(cè)2． 補(bǔ)丁下載增量式補(bǔ)丁自動(dòng)分離技術(shù)在外網(wǎng)分離出已安裝、未安裝補(bǔ)丁，分類(lèi)導(dǎo)入系統(tǒng)補(bǔ)丁庫(kù)，僅對(duì)內(nèi)網(wǎng)的補(bǔ)丁進(jìn)行“增量式”升級(jí)，以減少拷貝工作量；互聯(lián)網(wǎng)補(bǔ)丁自動(dòng)實(shí)時(shí)探測(cè)，支持補(bǔ)丁導(dǎo)出前病毒過(guò)濾。3． 補(bǔ)丁分析自動(dòng)建立補(bǔ)丁庫(kù)，支持補(bǔ)丁庫(kù)信息查詢(xún)。針對(duì)下載的補(bǔ)丁進(jìn)行歸類(lèi)存放，按照不同操作系統(tǒng)、補(bǔ)丁編號(hào)、補(bǔ)丁發(fā)布時(shí)間、補(bǔ)丁風(fēng)險(xiǎn)等級(jí)、補(bǔ)丁公告等進(jìn)行歸類(lèi)，幫助管理人員快速識(shí)別補(bǔ)丁。4． 補(bǔ)丁策略制訂（分發(fā)）支持用戶(hù)自定義補(bǔ)丁策略并自由配置分發(fā)，基于終端計(jì)算機(jī)網(wǎng)絡(luò) IP 范圍、操作系統(tǒng)種類(lèi)、補(bǔ)丁類(lèi)別（系統(tǒng)補(bǔ)丁、IE 補(bǔ)丁、應(yīng)用程序補(bǔ)丁以及網(wǎng)管自定義補(bǔ)丁類(lèi)等）等制訂策略，發(fā)送至終端計(jì)算機(jī)后統(tǒng)一按策略執(zhí)行應(yīng)用。 內(nèi)網(wǎng)安全管理系統(tǒng)設(shè)計(jì)方案18補(bǔ)丁分發(fā)策略5． 補(bǔ)丁自動(dòng)修復(fù)在指定時(shí)間、指定網(wǎng)絡(luò)范圍內(nèi)以不同方式（如推、拉）分發(fā)補(bǔ)丁，或者根據(jù)腳本策略統(tǒng)一控制終端計(jì)算機(jī)下載補(bǔ)丁，當(dāng)監(jiān)測(cè)到有終端計(jì)算機(jī)未打補(bǔ)丁時(shí)，可對(duì)漏打補(bǔ)丁終端計(jì)算機(jī)進(jìn)行推送補(bǔ)丁。補(bǔ)丁分發(fā)支持流量和連接數(shù)控制，以免占用太大帶寬，影響網(wǎng)絡(luò)正常工作。6． 補(bǔ)丁下載轉(zhuǎn)發(fā)代理提供補(bǔ)丁自動(dòng)代理轉(zhuǎn)發(fā)功能，提高補(bǔ)丁下發(fā)效率，減少網(wǎng)絡(luò)帶寬的占用率，節(jié)省網(wǎng)絡(luò)資源。7． 補(bǔ)丁安全性測(cè)試補(bǔ)丁分發(fā)前閉環(huán)自動(dòng)測(cè)試，對(duì)下載的補(bǔ)丁進(jìn)行自動(dòng)測(cè)試（建立測(cè)試網(wǎng)絡(luò)組） ，測(cè)試完成后將其存入補(bǔ)丁庫(kù)，以提高打補(bǔ)丁的成功性、安全性、可靠性。8． 普通文件分發(fā)及文件自動(dòng)執(zhí)行 內(nèi)網(wǎng)安全管理系統(tǒng)設(shè)計(jì)方案19可以提供分發(fā)普通文件也可以分發(fā)可執(zhí)行文件及 MSI 等形式的壓縮文件并自動(dòng)執(zhí)行。文件分發(fā)策略. 移動(dòng)存儲(chǔ)介質(zhì)管理設(shè)計(jì)實(shí)現(xiàn). 移動(dòng)存儲(chǔ)介質(zhì)管理概述該設(shè)計(jì)針對(duì)內(nèi)網(wǎng)移動(dòng)存儲(chǔ)介質(zhì)管理的特點(diǎn)進(jìn)行，以移動(dòng)數(shù)據(jù)生命周期為主導(dǎo)，緊扣其存儲(chǔ)和交換的安全需求，針對(duì)移動(dòng)數(shù)據(jù)全生命周期各個(gè)環(huán)節(jié)潛在的安全隱患，綜合運(yùn)用各種安全技術(shù)和手段，進(jìn)行有效全程防護(hù)的安全產(chǎn)品。設(shè)計(jì)時(shí)考慮到了區(qū)域訪問(wèn)控制，信息保密、文件走查審計(jì)等方面，確保法院信息系統(tǒng)內(nèi)網(wǎng)的信息不因使用移動(dòng)存儲(chǔ)而造成威脅，做到事前有保護(hù)，事后可追查，提供安全、簡(jiǎn)單易用的數(shù)據(jù)交換安全解決方案。該設(shè)計(jì)以數(shù)據(jù)為中心，用戶(hù)作為數(shù)據(jù)的使用者，主機(jī)作為數(shù)據(jù)的存儲(chǔ)者，移動(dòng)存儲(chǔ)介質(zhì)作為數(shù)據(jù)的遷移者，在管理范圍內(nèi)均賦予唯一的標(biāo)識(shí)，三者進(jìn)行 內(nèi)網(wǎng)安全管理系統(tǒng)設(shè)計(jì)方案20相互認(rèn)證。只有經(jīng)認(rèn)證和授權(quán)成功后，才保證合法的用戶(hù)在合法的機(jī)器上訪問(wèn)合法存儲(chǔ)介質(zhì)上的數(shù)據(jù)，并形成詳盡的日志供審計(jì)。移動(dòng)數(shù)據(jù)安全訪問(wèn)模型. 移動(dòng)存儲(chǔ)介質(zhì)管理方案及思路體系設(shè)計(jì)對(duì)移動(dòng)存儲(chǔ)介質(zhì)安全管理范圍應(yīng)該包括 U 盤(pán)、移動(dòng)硬盤(pán)、MP手機(jī)、智能卡設(shè)備等移動(dòng)存儲(chǔ)介質(zhì)，以及打印機(jī)等外設(shè)，體系設(shè)計(jì)與利用移動(dòng)存儲(chǔ)設(shè)備或其他方式進(jìn)行數(shù)據(jù)交換的相關(guān)終端計(jì)算機(jī)接口管理，包括光驅(qū)、軟驅(qū)、USB 移動(dòng)存儲(chǔ)接口、USB 全部接口、打印機(jī)接口、紅外設(shè)及藍(lán)牙設(shè)備等。因此，體系技術(shù)設(shè)計(jì)主要包括 5 類(lèi)的 USB 設(shè)備控制問(wèn)題，包括存儲(chǔ)類(lèi)（Mass Storage） 、打印機(jī)類(lèi)（Printer Class） 、智能卡類(lèi)（Smart Card Class） 、圖像類(lèi)（Imaging Class） 、HID 設(shè)備類(lèi)等，并通過(guò)相關(guān)的技術(shù)手段提供統(tǒng)一的管理平臺(tái)及適用于各類(lèi)存儲(chǔ)介質(zhì)的應(yīng)用管理策略，確保提供完整有效的移動(dòng)存儲(chǔ)環(huán)境和移動(dòng)存儲(chǔ)設(shè)備的安全使用方案。移動(dòng)存儲(chǔ)設(shè)備接入管理具體功能如下：1. 移動(dòng)存儲(chǔ)設(shè)備（分設(shè)備、網(wǎng)段等的）接入認(rèn)證管理，保障指定設(shè)備讀寫(xiě)指定移動(dòng)存儲(chǔ)設(shè)備的訪問(wèn)控制管理；2. 移動(dòng)存儲(chǔ)數(shù)據(jù)讀寫(xiě)控制管理；3. 移動(dòng)存儲(chǔ)設(shè)備標(biāo)簽認(rèn)證管理； 內(nèi)網(wǎng)安全管理系統(tǒng)設(shè)計(jì)方案214. 移動(dòng)存儲(chǔ)設(shè)備分區(qū)（普通區(qū)和加密區(qū)）管理；分區(qū)格式化5. 移動(dòng)存儲(chǔ)設(shè)備的加密管理，防止加密區(qū)的敏感信息外泄；6. 移動(dòng)存儲(chǔ)設(shè)備接入行為審計(jì)；7. 移動(dòng)存儲(chǔ)設(shè)備數(shù)據(jù)交換行為審計(jì)管理，比如設(shè)定文件后綴名等條件；8. 設(shè)計(jì)對(duì)文件操作詳細(xì)審計(jì)記錄：包括文件的創(chuàng)建、復(fù)制、刪除、修改和重命名等操作， （包括文件名、審計(jì)描述、時(shí)間、用戶(hù)名、計(jì)算機(jī) IP 地址和其他必要的信息） ；9. 設(shè)計(jì)對(duì)移動(dòng)存儲(chǔ)介質(zhì)的插入和拔出動(dòng)作的詳細(xì)記錄，具體包括事件類(lèi)型、移動(dòng)存儲(chǔ)介質(zhì)的名稱(chēng)、用戶(hù)、計(jì)算機(jī) IP 地址、事件時(shí)間； 內(nèi)網(wǎng)安全管理系統(tǒng)設(shè)計(jì)方案22移動(dòng)存儲(chǔ)審計(jì)設(shè)計(jì)對(duì)終端計(jì)算機(jī)大量的文件拷貝行為可自主設(shè)定閾值，超過(guò)閾值的不進(jìn)行審計(jì)。如拷貝超過(guò) 1000 個(gè)文件不進(jìn)行審計(jì)（這主要是因?yàn)檫@樣的大量拷貝行為一般不會(huì)是違規(guī)的行為） ；移動(dòng)存儲(chǔ)標(biāo)簽制作記錄：對(duì)于在網(wǎng)絡(luò)內(nèi)使用的移動(dòng)存儲(chǔ)設(shè)備（如 U 盤(pán)等）設(shè)置一個(gè)標(biāo)簽，不同管理員可以獲得不同的標(biāo)簽類(lèi)型分配。當(dāng) U 盤(pán)接入到網(wǎng)絡(luò)終端時(shí)，能夠自動(dòng)識(shí)別標(biāo)簽，如果識(shí)別通過(guò)，則該 U 盤(pán)可以使用，否則不可使用。該設(shè)計(jì)運(yùn)用商用密碼技術(shù)，實(shí)現(xiàn)商用密碼算法的加密、解密和認(rèn)證等功能的技術(shù)，通過(guò)密碼算法編程技術(shù)、密碼算法芯片或加密卡等以實(shí)現(xiàn)移動(dòng)信息保護(hù)、訪問(wèn)控制、審計(jì)監(jiān)控等，以滿(mǎn)足移動(dòng)介質(zhì)標(biāo)記認(rèn)證管理的功能需求。 內(nèi)網(wǎng)安全管理系統(tǒng)設(shè)計(jì)方案23移動(dòng)存儲(chǔ)管理策略. 桌面終端管理設(shè)計(jì)實(shí)現(xiàn). 桌面終端管理概述網(wǎng)絡(luò)終端安全是一個(gè)綜合的系統(tǒng)問(wèn)題，涉及管理計(jì)算機(jī)本身、計(jì)算機(jī)應(yīng)用、計(jì)算機(jī)操作、計(jì)算機(jī)使用法院信息系統(tǒng)管理規(guī)范等多個(gè)方面。因此體系設(shè)計(jì)需采用 C/S 與 B/S 混合設(shè)計(jì)模式，并支持分布式部署，具有模塊化定制，支持標(biāo)準(zhǔn) API、無(wú)縫功能擴(kuò)展與升級(jí)等優(yōu)點(diǎn)。設(shè)計(jì)應(yīng)遵循網(wǎng)絡(luò)防護(hù)與斷點(diǎn)防護(hù)并重理念，對(duì)網(wǎng)絡(luò)安全管理人員在網(wǎng)絡(luò)管理、終端管理過(guò)程中所面臨的種種問(wèn)題提供解決方案，實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)終端的可控管理。北信源桌面終端管理體系強(qiáng)化了對(duì)網(wǎng)絡(luò)計(jì)算機(jī)終端狀態(tài)、行為以及事件的管理，并針對(duì)基本管理、資產(chǎn)管理、安全管理、運(yùn)維管理、桌面管理、審計(jì)管理等提供的模塊化的防護(hù)功能，并能夠同其它安全設(shè)備進(jìn)行安全集成和報(bào)警聯(lián)動(dòng)。 內(nèi)網(wǎng)安全管理系統(tǒng)設(shè)計(jì)方案24終端安全模型圖. 桌面終端管理方案及思路桌面終端管理需從使用人的基本信息開(kāi)始記錄，同時(shí)包括 IP 地址、MAC 地址、軟硬件資產(chǎn)、進(jìn)程信息、軟件信息、密碼信息、殺毒軟件、計(jì)算機(jī)資源、流量信息等方面進(jìn)行統(tǒng)計(jì)，形成立體式數(shù)據(jù)庫(kù)，當(dāng)發(fā)生信息改變或資源報(bào)警時(shí)，能夠第一時(shí)間通知管理人員，便于排查錯(cuò)誤，并能夠提供給管理人員相應(yīng)的應(yīng)急措施與手段，幫助管理人員迅速解決問(wèn)題。桌面終端管理具體功能還應(yīng)包括以下功能。 內(nèi)網(wǎng)安全管理系統(tǒng)設(shè)計(jì)方案25應(yīng)用界面1. 終端注冊(cè)管理該設(shè)計(jì)采用 C/S 和 B/S 模式混合管理方式，在被管理的桌面計(jì)算機(jī)上安裝VRVEDP 客戶(hù)端程序。在安裝客戶(hù)端程序需要填寫(xiě)當(dāng)前計(jì)算機(jī)使用人的個(gè)人相關(guān)信息，如使用人、法院信息系統(tǒng)、部門(mén)、聯(lián)系電話(huà)、郵件、所在地、計(jì)算機(jī)類(lèi)型等，進(jìn)行實(shí)名化的管理便于快速定位，無(wú)論是違規(guī)，還是網(wǎng)絡(luò)安全事件發(fā)生時(shí)都可以快速定位到事件源。個(gè)人信息填寫(xiě) 內(nèi)網(wǎng)安全管理系統(tǒng)設(shè)計(jì)方案262. IP 和 MAC 綁定管理對(duì)固定 IP 網(wǎng)絡(luò)的 MAC 和 IP 地址進(jìn)行綁定管理，當(dāng)探測(cè)到 IP 變化后根據(jù)策略設(shè)置恢復(fù)其原有 IP 地址，或者阻斷其聯(lián)網(wǎng)，同時(shí)禁止修改網(wǎng)關(guān)、禁用冗余網(wǎng)卡。IP、MAC 綁定策略3. 禁止修改網(wǎng)關(guān)、禁用冗余網(wǎng)卡管理支持禁止修改網(wǎng)關(guān)、禁用冗余網(wǎng)卡等功能。4. 硬件資產(chǎn)管理自動(dòng)搜集包括 CPU、內(nèi)存、硬盤(pán)分區(qū)總和、設(shè)備標(biāo)識(shí)的大小和其他詳細(xì)信息以及其他如主板、光驅(qū)、軟驅(qū)、顯卡、鍵盤(pán)、鼠標(biāo)、監(jiān)視器、紅外設(shè)備、鍵盤(pán)等所有的硬件信息。 內(nèi)網(wǎng)安全管理系統(tǒng)設(shè)計(jì)方案27硬件資產(chǎn)管理5. 軟件資產(chǎn)管理自動(dòng)發(fā)現(xiàn)識(shí)別客戶(hù)端安裝的所有軟件信息（名稱(chēng)、版本、安裝時(shí)間、發(fā)現(xiàn)時(shí)間等） ，將相關(guān)數(shù)據(jù)入庫(kù)，檢測(cè)客戶(hù)端運(yùn)行軟件信息，供管理員在 Web 控制臺(tái)查詢(xún)。 內(nèi)網(wǎng)安全管理系統(tǒng)設(shè)計(jì)方案28軟件資產(chǎn)管理6. 軟、硬件設(shè)備信息變更管理報(bào)警未注冊(cè)設(shè)備、注冊(cè)程序卸載行為，實(shí)時(shí)檢測(cè)硬件設(shè)備變化情況（如設(shè)備硬件變化、網(wǎng)絡(luò)地址更改、USB 設(shè)備接入等） 。7. 進(jìn)程保護(hù)管理對(duì)重要的進(jìn)程進(jìn)行守護(hù)，防止由于意外或人為原因造成重要進(jìn)程中斷。 內(nèi)網(wǎng)安全管理系統(tǒng)設(shè)計(jì)方案29進(jìn)程保護(hù)管理8. 桌面密碼權(quán)限管理對(duì)終端的密碼管理權(quán)限變化及使用狀況（包括密碼長(zhǎng)度、安全性、弱口令等方面）進(jìn)行審計(jì)檢查及報(bào)警，同時(shí)對(duì)不符合要求的終端進(jìn)行提示或強(qiáng)制修改等處置，達(dá)到防止病毒及黑客入侵的目的。終端密碼管理 內(nèi)網(wǎng)安全管理系統(tǒng)設(shè)計(jì)方案30終端權(quán)限管理9. 終端統(tǒng)一防火墻管理員在 Web 控制臺(tái)對(duì)終端進(jìn)行統(tǒng)一的防火墻設(shè)置，對(duì)網(wǎng)絡(luò) IP 及協(xié)議訪問(wèn)進(jìn)行限制，在網(wǎng)絡(luò)內(nèi)建立虛擬的終端隔離區(qū)。另外對(duì)于大型網(wǎng)絡(luò)，網(wǎng)絡(luò)客戶(hù)端由于用戶(hù)使用水平的差別，會(huì)出現(xiàn)用戶(hù)卸載甚至退出統(tǒng)一安裝的防病毒軟件的情況，也會(huì)出現(xiàn)有個(gè)別用戶(hù)被遺漏，未安裝防病毒軟件的情況。管理員可利用 Web 控制臺(tái)對(duì)終端所安裝的殺毒軟件情況進(jìn)行監(jiān)控和管理，并能夠?qū)K端殺毒軟件實(shí)施遠(yuǎn)程操作（病毒查殺、升級(jí)、軟件安裝等） 。還可統(tǒng)一監(jiān)控網(wǎng)絡(luò)內(nèi)的防病毒軟件（國(guó)內(nèi)主流廠商的均可）安裝情況和使用狀