【正文】 。 ? 能夠?qū)τ卩]件傳輸具備自動(dòng)解密策略，能夠支持對設(shè)定的郵件在發(fā)送時(shí)自動(dòng) 解密。 ? 具備應(yīng)用程序進(jìn)程指紋識別保護(hù)，能夠支持進(jìn)程指紋的設(shè)置，可以防止非法篡改應(yīng)用程序文件，保障應(yīng)用程序安全。 終端安全管理體系解決 方案 25 . 電子文檔安全管理 電子文檔安全管理集電子文檔使用權(quán)限控制、用戶身份驗(yàn)證、文檔透明加解密 、文檔訪問控制、文檔密級與安全策略控制、文檔監(jiān)控與審計(jì)等多種技術(shù)于一身，有效防止電子文檔主動(dòng)和被動(dòng)泄密。本系統(tǒng)能夠保證存儲(chǔ)在移動(dòng)介質(zhì)上的重要數(shù)據(jù)通過反復(fù)對文件磁道的改寫和重寫，對需要?jiǎng)h除的數(shù)據(jù)進(jìn)行不可恢復(fù)的徹底粉碎，最終達(dá)到完全粉碎的目的。 ? 具備移動(dòng)存儲(chǔ)介質(zhì)審計(jì)和文件操作審計(jì)功能，能夠?qū)σ苿?dòng)存儲(chǔ)的插拔動(dòng)作進(jìn)行審計(jì)；能夠?qū)ξ募僮鞯母鞣N行為進(jìn)行審計(jì)，包括讀、寫、刪除、修改、拷貝等。 ? 能夠?qū)Υ鎯?chǔ)數(shù)據(jù)采取加密管理方式，如采用 AES 加密算法對存儲(chǔ)數(shù)據(jù)進(jìn)行加密。主要實(shí)現(xiàn)功能如下： ? 能夠?qū)σ苿?dòng)存儲(chǔ)設(shè)備統(tǒng)一進(jìn)行接入認(rèn)證管理，能夠支持終端識別指定的移動(dòng)存儲(chǔ)設(shè)備。 1. 存儲(chǔ)介質(zhì)管理 存儲(chǔ)介質(zhì)管理可以將整個(gè)移動(dòng)存儲(chǔ)介質(zhì)劃分成任意兩部分容量的交換區(qū)和保密區(qū)，并需要通過密碼認(rèn)證才可以訪問。包括移動(dòng)存儲(chǔ)介質(zhì)使用控制、電子文檔安全管理、光盤刻錄行為控制以及保密信息檢查 終端安全管理體系解決 方案 23 控制等，確保授權(quán)終端用戶使用行為和訪問行為的合規(guī)性、可控性，避免不合規(guī)終端計(jì)算機(jī)和非 受控行為而引發(fā)的重要文件信息泄漏事故。 ? 綜合內(nèi)容審計(jì)： 采用領(lǐng)先的 知識發(fā)現(xiàn) KDT（ Knowledge Discovery Technology）技術(shù) （該技 終端安全管理體系解決 方案 22 術(shù)是 數(shù)據(jù)挖掘與 DSI 深度業(yè)務(wù)識別檢測 兩種 技術(shù) 的結(jié)晶，它 可以根據(jù)不同的業(yè)務(wù)類型進(jìn)行有針對性的內(nèi)容還原解碼 ），能夠?qū)︵]件內(nèi)容、聊天內(nèi)容、網(wǎng)絡(luò)發(fā)貼等綜合信息進(jìn)行安全審計(jì)、綜合檢索和完整備份 . ? 分 布式部署、集中化管理 對于擁有多個(gè)分支機(jī)構(gòu)的組織，可能面臨分布式部署的集中管理問題， VRV BMG 支持多級結(jié)構(gòu)的集中管理，支持策略統(tǒng)一下發(fā)。 ? 敏感信息及非法關(guān)鍵字過濾： 采用業(yè)界獨(dú)創(chuàng)的技術(shù)，在不影響產(chǎn)品性 能的情況下可以實(shí)時(shí)的針對網(wǎng)頁、郵件、搜索引擎關(guān)鍵字和論壇發(fā)帖內(nèi)容進(jìn)行過濾，大大的規(guī)避了企業(yè)的法律風(fēng)險(xiǎn)。 ? 網(wǎng)絡(luò)應(yīng)用行為管理： 采用 深度業(yè)務(wù)識別 DSI（ Deep Service Inspection）技術(shù)，通過自身內(nèi)置100 余種常見網(wǎng)絡(luò)應(yīng)用的業(yè)務(wù)特征，綜合運(yùn)用 HADL 繼承式應(yīng)用描述語言 ,允許網(wǎng)絡(luò)管理者針對不同的內(nèi)網(wǎng)用戶、不同時(shí)段，結(jié)合企業(yè)的實(shí)際需求制定適合本企業(yè)的網(wǎng)絡(luò)應(yīng)用行為管理規(guī)范。例如：對未注冊用戶的入網(wǎng)行為進(jìn)行管理（包含 URL 重定向功能），對已注冊的用戶不做任何的阻斷操作，記錄合法的注冊信息等功能，從而達(dá)到終端用戶的入網(wǎng)管理與控制，優(yōu)化網(wǎng)絡(luò)資源分配的目的。它將某些特性功能劃分為不同的應(yīng)用組件，可根據(jù)用戶自身的需求特點(diǎn)，選擇和啟用不同的功能組件實(shí)現(xiàn)任意組合與擴(kuò)展，保護(hù)安全投資，減輕系統(tǒng)負(fù) 載， 終端安全管理體系解決 方案 20 提交系統(tǒng)運(yùn)行效率。 其主要用于解決終端用戶接入互聯(lián)網(wǎng)或外聯(lián)網(wǎng)可能引發(fā)的各種安全問題，可實(shí)現(xiàn)網(wǎng)絡(luò)安全準(zhǔn)入控制、二次授權(quán)訪問、敏感信息過濾、行為安全審計(jì)、網(wǎng)絡(luò)帶寬資源優(yōu)化以及對 P2P 軟件、游戲軟件、股票軟件、即時(shí)通信等各種應(yīng)用軟件的管理和控制功能，同時(shí)實(shí)現(xiàn)對上述各種網(wǎng)絡(luò)行為的管理和審計(jì)。 通過對終端使用控制管理與防護(hù)，最終實(shí)現(xiàn)對桌面終端的安全控制與合規(guī)性管理，實(shí)現(xiàn)桌面終端的可管理性、可控性，杜絕不安全的終端電腦在網(wǎng)絡(luò)中的運(yùn)行，防止各種不安全因素在網(wǎng)絡(luò)中運(yùn)行而造成的安全隱患。 ? 通過策略配置快速的實(shí)現(xiàn) IP、 MAC 綁定，綁定后，對私自修改 IP 計(jì)算機(jī)進(jìn)行地址恢復(fù)，或斷網(wǎng)，同時(shí)上報(bào)服務(wù)器保存。主要實(shí)現(xiàn)如下： ? 能夠?qū)K端電腦硬件資源、軟件資源，以及軟、硬件資源變更的信息統(tǒng)一與管理； ? 能夠解決終端電腦 外圍設(shè)備 （軟驅(qū)、光驅(qū)、刻錄機(jī)、 U 盤、移動(dòng)硬盤、撥號連接、無線上網(wǎng)、紅外傳輸、藍(lán)牙、串并口、打印機(jī)等）的使用管理與控制； 終端安全管理體系解決 方案 17 ? 能夠?qū)?終端電腦軟件安裝、進(jìn)程運(yùn)行、服務(wù)加載的監(jiān)控與保護(hù)的安全問題；能夠 快速有效地定位網(wǎng)絡(luò)中病毒、蠕蟲、黑客的引入點(diǎn)，及時(shí)、準(zhǔn)確地切斷安全事件發(fā)生點(diǎn)和網(wǎng)絡(luò)； ? 能夠?qū)K端電腦登錄密碼、用戶權(quán)限、 IP 訪問控制、 IE 安全設(shè)置、注冊表監(jiān)控與 保護(hù)的安全問題；對終端電腦運(yùn)行資源、異常流量、異常進(jìn)程的監(jiān)控與管理； 終端安全管理體系解決 方案 18 ? 能夠?qū)K端補(bǔ)丁安裝進(jìn)行管理，能夠統(tǒng)計(jì)每臺(tái)終端補(bǔ)丁安裝情況，能夠根據(jù)補(bǔ)丁策略選擇補(bǔ)丁自動(dòng)分發(fā)和人工選擇補(bǔ)丁分發(fā)，根據(jù)不同需要制定不同策略實(shí)現(xiàn)補(bǔ)丁的自動(dòng)分發(fā)。 4) 未注冊終端重定向； 未注冊的終端只保留與安全管理服務(wù)器的通訊，在被阻斷之后，終端會(huì)及時(shí)彈出重定向網(wǎng)頁，提示使用者下載安裝安全管理客戶端。系統(tǒng)采用被動(dòng)發(fā)現(xiàn)模式，對網(wǎng)絡(luò)影響極小。并且系統(tǒng)可以面向所有的網(wǎng)絡(luò)架構(gòu)工作，不必進(jìn)行復(fù)雜的網(wǎng)絡(luò)架構(gòu)改造。 2. 虛擬隔離強(qiáng)制注冊技術(shù) 1) 虛擬隔離強(qiáng)制注冊技術(shù)： 虛擬隔離強(qiáng)制注冊技術(shù)基于最基本的網(wǎng)絡(luò)協(xié)議實(shí)現(xiàn)，具有廣泛的適用性，對接入單位內(nèi)部網(wǎng)絡(luò)的計(jì)算機(jī)進(jìn)行安全認(rèn)證，用于保護(hù)單位整個(gè)內(nèi)部網(wǎng)絡(luò)，包括可管理的（單位臺(tái)式機(jī)、手提電腦、服務(wù)器）以及不可管理的（外部訪客、合作伙伴、客戶）終端。 6) 未達(dá)到預(yù)定義安全級別的終端接入訪問區(qū)域限制； 預(yù)定義安全級別指的是 VRVEDP 服務(wù)器制定的安全等級，其中包括補(bǔ)丁、殺毒軟件的檢測，進(jìn)程、服務(wù)、注冊表、文件存在， IP、 MAC 綁定的制定等安全級別，通過對終端的安全等級的檢測，判斷終端是否滿足安全級別，若不滿 足終端將會(huì)進(jìn)去限制區(qū)域，限制區(qū)域內(nèi)終端可以對自身進(jìn)行安全修復(fù)，當(dāng)滿足預(yù)定義的安全級別后，終端將會(huì)正常接入工作區(qū)。 5) 運(yùn)行不可信進(jìn)程、服務(wù)、注冊表終端接入限制 ； 不可信進(jìn)程、服務(wù)、注冊表是針對可信進(jìn)程、服務(wù)、注冊表進(jìn)行判斷的，通過用戶自定義設(shè)置可信進(jìn)程、服務(wù)、注冊表來判斷終端是否允許接入到工作區(qū)。 4) 未打補(bǔ)丁終端接入限制； 通過北信源補(bǔ)丁索引檢測終端用戶是否安裝系統(tǒng)補(bǔ)丁，檢測注冊終端未打或漏打補(bǔ)丁時(shí)，將會(huì)提示終端用戶有哪些需要安裝的補(bǔ)丁并且會(huì)自動(dòng)彈出下載的補(bǔ)丁的 WEB 頁面，即刻終端用戶跳轉(zhuǎn)到修復(fù)區(qū)或者直接斷開終端網(wǎng)絡(luò)連接； 終端安全管理體系解決 方案 15 在網(wǎng)絡(luò)中專門劃分出修復(fù)區(qū)域，系統(tǒng)補(bǔ)丁文件服務(wù)器放置在網(wǎng)絡(luò)隔離區(qū)中。如有違規(guī)即刻終端用戶跳轉(zhuǎn)到修復(fù)區(qū)或者直接斷開終端網(wǎng)絡(luò)連接； 針對終端用戶安裝的必備軟件情況，管理員可以設(shè)置可控軟件名單，檢查必備軟件的安裝運(yùn)行情況，如有違規(guī)即刻終端用戶跳轉(zhuǎn)到修復(fù)區(qū)或者直 接斷開終端網(wǎng)絡(luò)連接； 在網(wǎng)絡(luò)中專門劃分出修復(fù)區(qū)域，防病毒軟件服務(wù)器放置在網(wǎng)絡(luò)修復(fù)區(qū)中。 2) 未注冊終端接入訪問區(qū)域限制（ vlan 限制）； 未注冊終端會(huì)因認(rèn)證不成功進(jìn)入 guest Vlan，在 guest Vlan 中終端只可以與服務(wù)器通信只有在終端注冊成功后方可以通過認(rèn)證。接入是通過用戶名密碼的認(rèn)證方式，對終端接入網(wǎng)絡(luò)進(jìn)行限制。 1. 接入控制管理 接入控制管理可提供細(xì)粒度的接入管理和控制功能，它的部署使用要求網(wǎng)絡(luò)中 的交換機(jī)支持 協(xié)議，要求網(wǎng)絡(luò)管理人員會(huì)進(jìn)行簡單的交換機(jī)配置，從而保障終端殺毒軟件以及補(bǔ)丁擁有最新的時(shí)效性，使網(wǎng)絡(luò)安全得到有效提升。 網(wǎng)絡(luò)接入控制管理能夠確保終端電腦只有在安裝終端安全管理組件，并符合必要的安全策略的前提下才能被允許接入內(nèi)部網(wǎng)絡(luò)，否則會(huì)強(qiáng)制終端電腦跳轉(zhuǎn)到訪客隔離區(qū)，待完成終端管理軟件的下載和安裝成功后，且符合既定安全策略要求時(shí)才可準(zhǔn)許接入內(nèi)部網(wǎng)絡(luò)。 . 網(wǎng)絡(luò)接入控制 通過網(wǎng)絡(luò)接入控制 能夠完成 對未知終端、授權(quán)終端的安全準(zhǔn)入管理與控制。 終端安全管理體系解決 方案 13 . 終端使用控制設(shè)計(jì)實(shí)現(xiàn) 終端使用控制安全管理組件主要用于對內(nèi)部網(wǎng)絡(luò)的終端電腦進(jìn)行統(tǒng)一管理和策略下發(fā)，以達(dá)到通過技術(shù)手段對終端電腦的操作行為和運(yùn)行狀態(tài)的可控、可管，防止終端用戶隨意接入網(wǎng)絡(luò)和任意操作而造成的數(shù)據(jù)泄密事故的發(fā)生。由于 USBKey 本身的唯一性，從而保證了登錄用 戶的唯一性。具體采用 USBKeyClient 和 USBKey相結(jié)合的方式，實(shí)現(xiàn)所有功能，其操作流程如下： 新 建 U S B K e y 的 管 理 員 賬 戶設(shè) 置 U S B K e y 登 錄 系 統(tǒng) 的 方 式新 建 U S B K e y 的 普 通 用 戶 賬 戶設(shè) 置 U S B K e y 的 控 制 效 果U S B K e y M a n a g e r U S B K e y C l i e n t綁 定 U S B K e y 與 受 控 計(jì) 算 機(jī)插 入 U S B K e y刪 除 U S B K e y 的 管 理 員 賬 戶修 改 S O P I N 碼修 改 P I N 碼由 母 K e y 授 權(quán) 子 K e y 的 使 用 權(quán) 限審 計(jì) U S B K e y 的 使 用 信 息使 用激 活 P I N 碼插 入 U S B K e y派 發(fā)P I N 碼 丟 失 首先，它通過硬件 (USBKey)和軟件 (USBKeyClient)相結(jié)合的方式實(shí)現(xiàn)了物理身份與用戶身份的雙重認(rèn)證；同時(shí)還能夠?qū)?USBKey 與操作系統(tǒng)不同權(quán)限用戶的綁定，實(shí)現(xiàn)對 USBKey 的權(quán)限劃分。 終端安全管理體系解決 方案 11 . 北信源終端安全管理體設(shè)計(jì)實(shí)現(xiàn) . 接入認(rèn)證授權(quán)設(shè)計(jì)實(shí)現(xiàn) 認(rèn)證授權(quán)管理組件能夠完成對終端用戶的身份鑒別，確保只有經(jīng)過合法驗(yàn)證的終端用戶才能使用終端計(jì)算機(jī)。 ? 終端數(shù)據(jù)安全（ Data Security） 按照相應(yīng)的授權(quán)級別和終端安全管理策略完成對終端授權(quán)用戶的操作行為控制和文件加密管理（包括目錄和文件操作行為控制、移動(dòng)存儲(chǔ)介質(zhì)使用控制、電子文檔管理控制、光盤刻錄行為控制以及保密信息檢查控制），確保授權(quán)終端用戶對不同的應(yīng)用系統(tǒng)、不同的目錄和文件進(jìn)行可控操作和訪問，實(shí)現(xiàn)授權(quán)終 端用戶的可信訪問控