【正文】 器而言，通過網(wǎng)絡發(fā)現(xiàn)后，使用軟件安全策略，在發(fā)現(xiàn)這些機器不符合政府部門網(wǎng)絡的安全要求時，網(wǎng)絡 補丁服務器將自動把補丁發(fā)到這些機器上，并且在這些機器安裝完補丁前，將禁止這些機器在網(wǎng)絡中的權限和使用。該 XML 文件包含哪些安全更新可用于特定的 MIcrosoft 產(chǎn)品的信息。 ? 補丁分發(fā)機制 /自動識別版本 通過網(wǎng)絡管理員對不同系統(tǒng)集合的管理和定制，結合補丁分析 Microsoft Baseline Security Analyzer 即 Microsoft 基準安全分析器 MBSA（以下簡稱 MBSA 工具 ） 的掃描，可以讓系統(tǒng)自動識別軟件的版本情況 。建立保障系統(tǒng)安全運行的補丁分發(fā)體系，對于保障電子政務網(wǎng)絡安全具有重要意義，可以最大限度的減少由于系統(tǒng)漏洞導致的病毒攻擊或黑客入侵。 System Center Configuration Manager 2020 的安全修補程序管理特性將參照記錄著已發(fā)布重要更新的 Microsoft 網(wǎng)上在線數(shù)據(jù)庫對所有 受控系統(tǒng)上的已安裝軟件進行檢驗，并就每臺受控計算機所需安全修補程序做出報告。 在 Configuration Manager 中， WSUS 能夠在一個集中位置進行所有更新管理。 補丁中心 功能 通過為所有軟件更新和所需配置管理信息創(chuàng)建一個新的基于狀態(tài)的高優(yōu)先級通道，System Center Configuration Manager 2020 將向托管代理推出更新和定期程序包的方法分離 14 出來。 ? 服務器應用軟件 補丁 。服務器系統(tǒng) 補丁類型有 ： ? 服務器操作系統(tǒng) 補丁 。 ? 服務器系統(tǒng)的補丁管理 服務器系統(tǒng)是 政務網(wǎng) 信息系統(tǒng)運行核心業(yè)務應用的服務器，因此，對服務器系統(tǒng)的補丁需要經(jīng)過評估對現(xiàn)有系統(tǒng)的影響，避 免出現(xiàn)業(yè)務系統(tǒng)故障。及時安裝應用程序的補丁，減少安全隱患，增加應用程序穩(wěn)定性和功能。及時安裝操作系統(tǒng)更新補丁，避免成為黑客和病毒的攻擊對象。 用戶無需參與，實現(xiàn)系統(tǒng)自動的檢測、自動分發(fā)和安裝。管理員通過電子郵件通知用戶及時安裝安全補丁。 ? 桌面系統(tǒng)的補丁管理 通常意義上的桌面系統(tǒng)補丁管理 的方式有以下兩種 手段 ： ? 用戶自助。 主要提供功能包括： ? 對計算機軟硬件資產(chǎn)自動掃描發(fā)現(xiàn) ? 統(tǒng)計分析系統(tǒng)存在漏洞 ? 自動下載最新補丁包并根據(jù)各系統(tǒng)基于 MBSA 掃描結果的安全漏洞進行更新安裝 13 ? 可自動分發(fā)安裝其它應用程序 ? 可支持斷點續(xù)傳及管理節(jié)點冗余 ? 對客戶端進行遠程診斷管理 ? 定制生成資產(chǎn)及軟件或補丁分發(fā)管理報表 補丁 中心 補丁管理內(nèi)容 在 本方案 中，如何快速 有效的 為政務網(wǎng) 的 桌面終端提供一個統(tǒng)一、及時、高效和便捷的補丁中心是一 個 最重要的環(huán)節(jié) 。的桌面計算機和服務器系統(tǒng)提供了極具成本效益的、可伸縮性的資產(chǎn)與補丁管理。 System Center Capacity Planner 可用于容量規(guī)劃和基礎結構部署的假設性分析。 System Center Data Protection Manager 提供企業(yè)系統(tǒng)備份和恢復。 Operations Framework (MOF) 和信息技術基礎結構庫 (ITIL) 派生的自動化和最佳實踐，并可用于組織的所有級別。 System Center 是一系列 Microsoft 產(chǎn)品，旨在相互協(xié)作使復雜 IT 基礎結構的日常管理變得更加容易、更加經(jīng)濟高效。 Systems Management Server (SMS) 2020 已成為面向全球管理員的重要配置管理和軟件交付工具。 架構的桌面計算機。這項完整的 Windows 管理解決方案，是以內(nèi)建在 Windows 操作系統(tǒng)內(nèi)的管理服務和技術，以及從 Microsoft 所取得可使用的獨立管理產(chǎn)品等整合為基礎。 12 第三 章 建 議方案 微軟的 System Center Configuration Manager 2020（ SCCM） 正是為實現(xiàn)上述目標而推出 的企業(yè)級 IT 系統(tǒng)管理平臺，可幫助組織輕松 實現(xiàn) 一目了然 的系統(tǒng)資產(chǎn)管理、 “ 外科手術” 般精確的軟件分發(fā)、靈活的遠程控制等，并具有良好的系統(tǒng)擴展能力 。 參照國際流行的 IT管理最佳實踐方法，在桌面計算機管理的建設原則指導下，最終完成適合的一整套完善的桌面計算機運維支撐管理流程，實現(xiàn)桌面計算機服務體系的搭建和管理。桌面計算機用戶管理規(guī)范包括如下主要內(nèi)容： 1. 終端設備使用職責； 2. 安全保密規(guī)范 ； 3. 知識產(chǎn)權相關規(guī)定 ； 4. 身份識別相關規(guī)定 ； 5. 終端設備使用安全區(qū)域 ； 6. 桌面和屏幕管理規(guī)范 ； 7. 終端設備及信息媒介的使用與處置規(guī)范； 8. 操作系統(tǒng)使用規(guī)范； 9. 電子郵件使用規(guī)范； 10. 互聯(lián)網(wǎng)訪問和使用規(guī)范； 11. 惡意代碼和計算機犯罪防御。 圖 10 內(nèi)部定期進行桌面計算機安全管理規(guī)范檢查。 管理規(guī)范、標準及流程 為了 有效地管理 IT資源的使用， 有效地實施最終用戶管理，完成本項目桌面計算機安全管理的目標，有必要針對 IT 桌面計算機的管理制定一系列管理制度，內(nèi)容包括規(guī)范、標準和流程。而且報表也可以靈活定制，生成滿足企業(yè)不同級別管理人員要求的報表。 ? 報表生成：管理系統(tǒng)提供 智 能和靈活的報表生成功 能，它預制多個針對系統(tǒng)、應用系統(tǒng)和 IT環(huán)境的報表模板。 ? 知識庫支持：管理系統(tǒng)通過內(nèi)置的職能知識庫系統(tǒng)幫助系統(tǒng)管理員根據(jù)發(fā)生的事件盡快診斷出問題所在，以便對癥下藥，解決問題。 ? 及時報警：當管理系統(tǒng)捕獲、評估各種事件后，可以通過預先配置的手段及時報警，通知系統(tǒng)管理員。 在管理中心，通過集中的管理監(jiān)控系統(tǒng)，可以集中監(jiān)控、管理基于桌面計算機支撐平臺內(nèi)的各種應用服務器。 通過建設管理監(jiān)控系統(tǒng)，技術上可以實現(xiàn)： ? 系統(tǒng)、服務的實時監(jiān)控 ； ? 及時報警，以便及時發(fā)現(xiàn)系統(tǒng)故障隱患，盡快采取措施解決； ? 生成各種統(tǒng)計報表，為 IT系統(tǒng)規(guī)劃提供有力支持。 9 管理監(jiān)控 建立桌面管理監(jiān)控中心，對整個 政務網(wǎng) 范圍內(nèi)的桌面計算機進行集中管理、維護和支持。 隔斷病毒桌面的技術手段是通過定位獲得了病毒桌面的局域網(wǎng)絡交換機的端口號，然后通過 SNMP指令向局域網(wǎng)交換機下達關閉的指令。這兩個方面共同構成了病毒桌面隔離的解決方案。 病毒桌面隔離 一旦桌面感染病毒，桌面系統(tǒng)就可能成為一個病毒源感染其他桌面，或者通過大量發(fā)送數(shù)據(jù)包影響局域網(wǎng)絡的正常運行，從而造成用戶無法使用網(wǎng)絡資源。 另一種技術方案是采用 IPSec通道在實際網(wǎng)絡中組建邏輯上的安全網(wǎng)域，其技術實現(xiàn)如下圖： 8 U1U2U2X XBDHCPDNSWINSDC安 全 域桌 面非 信 任 區(qū) 域測 試環(huán) 境外 來 機 器邊 界 服 務 器基 礎 服 務排 除 區(qū) 域東 風 有 限 網(wǎng) 絡電 子 郵 件 系 統(tǒng)企 業(yè) 門 戶辦 公 自 動 化其 他 機 器 安全域的建立是由 IPSec通道組建的， IPSec通道的部署可以通過目錄服務的策略進行下發(fā)，只要是加入到目錄服務域中的桌面都實施此策略，即建立 IPSec通道，加入到安全域，從而可以 訪問網(wǎng)絡資源，如電子郵件服務、企業(yè)門戶、辦公自動化等等。 部署計算機證書和部署用戶證書可以采用目錄服務的策略進行自動分發(fā)，前提條件是，在一個可聯(lián)網(wǎng)的環(huán)境中將兩個證書分發(fā)，然后，將桌面下發(fā)給用戶使用。而非桌面資產(chǎn)的計算機連接到局域網(wǎng)絡上，不可以訪問這 些網(wǎng)絡資源。 VPN接入控制的腳本也需要考慮用戶的使用體驗，不能夠過于復雜影響客戶端接入到內(nèi)部網(wǎng)絡的時間。 VPN接入控制需要在 VPN服務器端提供支持。 建議如下安全解決方案： ? 建立基于應用層的安全防火墻； ? 建立、健全 網(wǎng)絡 訪問 監(jiān)控 機制； ? 完善網(wǎng)絡 入侵檢測 系統(tǒng)； ? 構建 病毒過濾網(wǎng)關 防護機制； 采用的互聯(lián)網(wǎng)安全和加速（ Inter Security and Acceleration， ISA）服務器可實現(xiàn)上述功能，并同時提供訪問代理（ Proxy）和網(wǎng)站緩存服務（ Web Cache），且有良好的擴展性。商務互聯(lián)網(wǎng)應用對網(wǎng)絡的響應速度提出了更高的要求。員工通過 VPN 網(wǎng)絡使用企業(yè)信息化應用時，往往使用筆記本或者家庭中的計算機，這些計算機如果沒有防病毒軟件以及及時補丁的保護，會造成病毒從 VPN 網(wǎng)絡攻擊到內(nèi)部信息化應用； ? 郵件病毒和垃圾郵件 ? 桌面資產(chǎn)訪問許可：非信息產(chǎn)業(yè)局桌面資產(chǎn)的計算機使用網(wǎng)絡資源，例如外來辦事的人員隨意使用 局域網(wǎng)資源； ? 病毒桌面隔離。網(wǎng)絡資源是承載所有信息化應用的平臺，這個資源的合法合理使用，有利于保證整個信息化系統(tǒng)的正常運轉。 接入控制 接入控制主要解決桌面計算機對于網(wǎng)絡資 源的使用問題。理想情況下，每一層都應提供不同形式的安全對策，以阻擋在多個層中使用的同一種攻擊方法。 部署多層安全性可以保證在某個層受到損害時，其他的層仍能夠提供所需的安全性用于保護您的資源。深度防御有時被視為深層安全性或多層安全性，深度防御是描述安全性對策（用于形成一個具有凝聚力的安全性環(huán)境）層級的術語。我們推薦考慮采用深度防御的思想建立層次化的安全防御系統(tǒng)。 整體實現(xiàn)思路為通過建立以 政務信息中心 為一級管理中心、以各委辦局為二級管理中心的靈活且可擴展的信息安全管理架構。其內(nèi)容包括有： ? 管理監(jiān)控：平臺本身的自我監(jiān)視監(jiān)管能力 ? 信息安全：多層次的安全防御體系； ? 桌面目錄：統(tǒng)一認證和身份管理； ? 桌面管理： 應用程序軟件分發(fā)系統(tǒng)，資產(chǎn)收集和統(tǒng)計； ? 建設整體的層次化的安全防御體系（深度防御體系）。 3 ? 提供集中、統(tǒng)一的桌面補丁管理功能，可以對桌面終端補丁更新情況進行監(jiān)控和統(tǒng)計。很多用戶桌面計算機由于配置較低無法接受有效管理，從本質上不利于發(fā)揮工作人員的工作效率 ? 對于系統(tǒng)出現(xiàn)嚴重問題時的相應機制。 ? 相應的監(jiān)管工具。桌面計算機用戶隨意安裝軟件，甚至自己格式化計算 機硬盤，重新安裝操作系統(tǒng)； ? 桌面資產(chǎn)完整統(tǒng)計的工具 ? 整體的、層次化的安全防御體系設計。 桌面 補丁不能及時安裝，給病毒，蠕蟲，木馬等惡意程序帶來可乘之機。 System Center Configuration Manager 2020 對政務網(wǎng)桌面終端 實現(xiàn) 資產(chǎn)、軟件分發(fā)、補丁管理 、信息安全和監(jiān)控系統(tǒng)的管理建議和手段 . 需求 分析 結合 政務網(wǎng) 的管理實際現(xiàn)狀，需要強化對桌面計算機的自動化管理能力的地方有如下幾個方面： ? 政務網(wǎng)內(nèi)的桌面終端由于不能和 Inter 網(wǎng)直接互連，導致桌面系統(tǒng)的補丁尤其是操作系統(tǒng)的補丁不方便更新，給政務網(wǎng)內(nèi)部的安全帶來極大的隱患。從降低整個政務網(wǎng) 運營 成本，確保內(nèi)部信息的安全和快速有效響應系統(tǒng)管理的 2 目標出發(fā)，對于 政務網(wǎng) 內(nèi)部客戶端桌面計算機， 急需 建立桌面計算機 安全 管理系統(tǒng)，減少病毒、蠕蟲、黑客攻擊等帶給內(nèi)部信息化系統(tǒng)的威脅， 實時高效地對政務網(wǎng)內(nèi)的桌面進行統(tǒng)一管理、補丁分發(fā)和補丁安裝情況監(jiān)控、統(tǒng)計和預警，用先進的技術手段來保障政務網(wǎng)桌面端的統(tǒng)一配置和系統(tǒng)安全。 但是，政務網(wǎng)與 INTERNET 的隔離也導致了政務網(wǎng)內(nèi)的 PC 不能從公網(wǎng)直接下載系統(tǒng)補丁，只能通過人工的方式先從能連接 INTERNET的 PC 上把補丁下載到本地，再通過 U 盤等介質拷貝到政務網(wǎng)的 PC 上進行手動更新，非常繁瑣和不方便，從而造成政務網(wǎng)的桌面終端不能 及時打上最新的系統(tǒng)補丁，給病毒一個可趁之機，在政務網(wǎng)內(nèi)部造成極大的安全隱患。 依托該 政務網(wǎng) 平臺來構建廈門市委、市政府各職能部門專用的 辦公網(wǎng)絡能夠很好的滿足系統(tǒng)對數(shù)據(jù)安全性和保密性的要求，各業(yè)務部門 IP 資源按照全市政務網(wǎng)進行統(tǒng)一規(guī)劃，各業(yè)務部門內(nèi) IP 地址可以采用私有 IP 地址段。 網(wǎng)絡覆蓋市委、市政府各職能部門，總共有 約 5000 余臺計算機設備，其中包括了 數(shù)十 臺 Windows 服務器。 政務內(nèi) 網(wǎng)網(wǎng)絡平臺在結構上與互聯(lián)網(wǎng) 物理 隔離，外 網(wǎng)網(wǎng)絡平臺在結構上與互聯(lián)網(wǎng) 邏輯 隔離，從而保證數(shù)據(jù)傳輸?shù)陌踩Ｃ?。安全體系結構的設計目標是為了保護 電子政務 信息的機密性、完整性和可用性。然而，電子政務信息系統(tǒng)功能的發(fā)揮，是建立在系統(tǒng)安全、有效的基礎上的，電子政務信息系統(tǒng)的安全是實現(xiàn)系統(tǒng)功能的關鍵所在 。當 業(yè)務 需求或技術需求變化時該設計可能會被修改和優(yōu)化。 1 桌面端安全管理 解決方案 System Center Configuration Manager 2020 微軟 (中國 )有限公司 2020 年 3 月 2 目 錄 第一章 綜述 .................................................................................................................... 1 背景 ......................................................