【正文】 制，避免引發(fā)的重要文件信息泄漏事故。 ? 終端行為管控（ Behavior Control） 終端行為管控主要對終端用戶的網(wǎng)站瀏覽控制 、網(wǎng)絡應用使用控制、網(wǎng)絡下載控制、帶寬使用控制等各種網(wǎng)絡訪問和使用行為進行管理和控制。 方案結(jié)構(gòu)圖 具體解決思路如下： ? 接入認證授權(quán) (Authentication) 該組件用于識別和確認終端用戶的身份信息，完成對終端用戶的身份鑒別，確保只有合法的終端用戶才能使用終端計算機，同時結(jié)合“終端使用控制安全管 終端安全管理體系解決 方案 10 理組件”完成對終端用戶的授權(quán)管理，便于后續(xù)的授權(quán)訪問策略的制定和執(zhí)行，避免非授權(quán)用戶使用終 端計算機而引起的數(shù)據(jù)泄密。 在本方案的設計與實現(xiàn)中，也同樣遵循和參考上述兩個信息安全管理體系的實踐和要求。 ? 《 信息技術(shù) 安全技術(shù) 信息安全管理實用規(guī)則》 （ ISO/IEC 27002:2020） 信息安全管理使用規(guī)則 ISO27002:2020 綜合了信息安全管理方面優(yōu)秀的控制措施，為組織在信息安全方面提 供建議性指南 。 目前國家已經(jīng)等同采用該國際標準成為國家標準《信息技術(shù) 安全技術(shù) 信息安全管理體系要求》（ GB/T 220802020）。功能和保證要求又以類 —— 子類 —— 組件的結(jié)構(gòu)表述，組件作為安全要求的最小構(gòu)件塊，可以用于保護輪廓、安全目標和包的構(gòu)建，例如由保證組件構(gòu)成典型的包 —— 評估保證級 。 ? 《信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評估準則》（ GB/ T 18336） 終端安全管理體系解決 方案 8 GB/T 18336《信息技術(shù) 安全技術(shù) 信息技術(shù)安全性 評估準則》（等同于ISO/IEC 15408， 通常也簡稱通用準則 —— CC），該標準是評估信息技術(shù)產(chǎn)品和系統(tǒng)安全特性的基礎(chǔ)準則。 ? 《 信息安全技術(shù) 信息安全風險評估規(guī)范 》（ GB/T 209842020） 風險評估是以安全 設計與 建設為出發(fā)點，它的重要意義就在于改變傳統(tǒng)的以技術(shù)驅(qū)動為導向的安全體系結(jié)構(gòu)設計及詳細安全方案制定，通過對用戶關(guān)心的重要資產(chǎn)的分級、安全威脅發(fā)生的可能性及嚴重性分析、對系統(tǒng)物理環(huán)境、硬件設備、網(wǎng)絡平臺、基礎(chǔ)系統(tǒng)平臺、業(yè)務應用系統(tǒng)、安 全管理、運行措施等等方面的安全脆弱性的分析，并通過對已有安全控制措施的確認，借助定量、定性分析的方法，推斷出用戶關(guān)心的重要資產(chǎn)當前的安全風險，并根據(jù)風險的嚴重級別制定風險處置計劃，確定下一步的安全需求方向。 如何保證內(nèi)網(wǎng)（業(yè)務專網(wǎng)）沒有國家涉密信息，不會泄漏相關(guān)敏感信息，則必須采取相應的技術(shù)手段和管理手段來防止安全保密事件的發(fā)生。 VRV SpecSEC 終端安全 管理體系層次結(jié)構(gòu)圖如下所示： VRV SpecSEC 終端安全 管理體系層次結(jié)構(gòu)圖 本解決方案正是基于上述核心理念和安全體系的基礎(chǔ)上而組建的基于終端各方面安全管理和控制的一體化解決方案。 VRV SpecSEC 終端安全管理體系以 APPDR 模型為依據(jù)，遵循國家和行業(yè)等級保護，基于安全工程的思想，以獨特的終端安全配置策略為核心，以終端安全風險測試與評估為依據(jù)，實現(xiàn)組件化可動態(tài)組合配置的終端安全管理。 該體系從終端身份認證、終端接入控制、終端行為管控制、終端數(shù)據(jù)防泄密，以及終端安全審計等方面 ，實現(xiàn) 了 多層次、全方位、立體化縱深失竊密檢測與防范， 形成了面向復雜網(wǎng)絡空間的終端安全管理一體化解決方案，有效地實現(xiàn)了 網(wǎng)絡空間 下對終端計算機的安全管理 體系 。 而 針對網(wǎng)絡空間安全方面的問題，北信源 公司 基于多年的產(chǎn)品開發(fā)與超大規(guī)模成功部署與應用經(jīng)驗 基礎(chǔ)，組建了面向網(wǎng)絡空間的終端安全管理產(chǎn)品體系。 由此，如何應對上述安全問題，減少直至杜絕內(nèi)部敏感信息的泄漏和重要數(shù)據(jù)的丟失而引發(fā)的安全事故， 建設 面向網(wǎng)絡空間的、 安全 和諧 的內(nèi)網(wǎng) 運行 環(huán)境 ，則成為了 政府 機關(guān) 網(wǎng)絡 、行業(yè)信息網(wǎng)絡主管領(lǐng)導日常工作的重中之重 。特別是在政府機關(guān)網(wǎng)絡中， 工作秘密的泄露會使政府機關(guān)工作遭受損失，帶來不必要的被動 ；而 國家秘密的泄露會使國家的安全和利益遭到嚴重損害 ， 而泄密者受到降職、降銜的嚴肅處理 ，甚至移交司法機關(guān)處理 。 首先，對于行業(yè)信息網(wǎng)絡而言，當 DDos 攻擊、病毒、木馬威脅、非法入侵、非法 接入、 敏感 數(shù)據(jù)泄密、移動介質(zhì) 隨意 接入 ，以及電子信息戰(zhàn)等越來越嚴重的影響到公眾利益和國家 利益的時候，網(wǎng)絡空間安全 (Cyberspace Security)也繼國防安全、政治安全、經(jīng)濟安全、金融安全之后成為了國家安全體系中的一項重要內(nèi)容，受到包括美國、歐洲和中國政府的高度關(guān)注。 北信源終端安全管理體系解決方案 北京北信源軟件股份有限公司 2020 年 10月 終端安全管理體系解決 方案 2 目 錄 1. 安全現(xiàn)狀 ................................................................................................................... 3 . 現(xiàn)狀概述 ........................................................................................................................................3 . 應對策略 ........................................................................................................................................4 2. 安全理念 ................................................................................................................... 5 . 安全理念 ........................................................................................................................................5 . 安全體系 ........................................................................................................................................6 . 參考標準 ........................................................................................................................................7 3. 北信源終端安全管理體系設計 ..................................................................................... 9 . 方案設計思路 ................................................................................................................................9 . 北信源終端安全管理體設計實現(xiàn) ........................................................................................... 11 . 接入認證授權(quán)設計實現(xiàn) ................................................................................................... 11 . 終端使 用控制設計實現(xiàn) ................................................................................................... 13 . 終端行為管控設計實現(xiàn) ................................................................................................... 19 . 終端數(shù)據(jù)安全設計實現(xiàn) ................................................................................................... 22 . 終端安全 審計設計實現(xiàn) ................................................................................................... 35 . 北信源終端安全管理體系組成 ............................................................................................... 51 4. 方案總結(jié) ................................................................................................................. 52 終端安全管理體系解決 方案 3 1. 安全現(xiàn)狀 . 現(xiàn)狀概述 隨著網(wǎng)絡應用的不斷普及和應用，網(wǎng)絡應用向多層次、立體化、空間化方向發(fā)展，網(wǎng)絡空間電 子文檔的安全問題越來越突出，電子文檔和數(shù)據(jù)被有意無意的竊取、丟失、泄密等給數(shù)字化的文檔安全管理帶來很大挑戰(zhàn)。 網(wǎng)絡空間安全通常被認為是計算機網(wǎng)絡上的信息安全，是指網(wǎng)絡系統(tǒng)的硬件如骨干網(wǎng)設備、終端設備、線路、輔助設備等）、軟件（如操作系統(tǒng)、應用系統(tǒng)、用戶系統(tǒng)等），及其系統(tǒng)中運行的數(shù)據(jù)、提供的應用服務不因偶然的、惡意的原因而遭到破壞、更改、泄露和失控。 其次，在國家行業(yè)信息化推進的大環(huán)境下，行業(yè)專網(wǎng)的運營安全在國民經(jīng)濟建設中日益顯得舉足輕重。 同時，對于很多無意識 泄密事件 中 ，大多 數(shù)都是 由于 外部終端設備隨意接入內(nèi)部網(wǎng)絡引發(fā)安全事故、病毒 木馬防控不嚴、 U 盤 等 外設 存儲 使用不當、 擅自連接其他網(wǎng)絡、重要文檔被非授權(quán)訪問和復制、未經(jīng)授權(quán)而進行數(shù)據(jù)拷貝和光盤刻錄，以及對存儲敏感信息的介質(zhì)和文件沒有徹底消除而 造成的 。 終端安全管理體系解決 方案 4 . 應對策略 從網(wǎng)絡空間應用接入方式來來說，網(wǎng)絡空間應用從傳統(tǒng)的互聯(lián)網(wǎng)應用接入發(fā)展到以移動 /無 線通信應用接入