【正文】 端計(jì)算機(jī)進(jìn)行補(bǔ)丁的自動(dòng)下載、安裝與匯總，最大程度減少病毒、木馬攻擊存在漏洞的計(jì)算機(jī)而導(dǎo)致的安全風(fēng)險(xiǎn)；? 實(shí) 現(xiàn) 對(duì) 單位內(nèi)部所有的移動(dòng)存儲(chǔ)設(shè)備的統(tǒng)一管理，防止部分人員通過(guò) USB設(shè)備將單位大量的機(jī)密文件傳播出去，同時(shí)也極大減少了病毒、木馬通過(guò)USB 設(shè)備在網(wǎng)絡(luò)中傳播等情況的發(fā)生；? 實(shí)現(xiàn)對(duì)單位內(nèi)部所有的終端計(jì)算機(jī)進(jìn)行終端安全管理與分析，包括第一時(shí)間禁止非法外聯(lián)行為的發(fā)生，實(shí)時(shí)監(jiān)控異常流量，檢測(cè)非法軟件，禁用部4 / 40分硬件設(shè)備等，將計(jì)算機(jī)與人結(jié)合起來(lái)管理，防止非法操作導(dǎo)致發(fā)生不必要的安全事件。而針對(duì)網(wǎng)絡(luò)空間安全方面的問(wèn)題，北信源公司基于多年的產(chǎn)品開(kāi)發(fā)與超大規(guī)模成功部署與應(yīng)用經(jīng)驗(yàn)基礎(chǔ)，組建了面向網(wǎng)絡(luò)空間的終端安全管理產(chǎn)品體系。該體系從終端接入控制、終端行為管控制、終端數(shù)據(jù)防泄密，以及終端安全審計(jì)等方面，實(shí)現(xiàn)了多層次、全方位、立體化縱深失竊密檢測(cè)與防范，形成了面向復(fù)雜網(wǎng)絡(luò)空間的終端安全管理一體化解決方案，有效地實(shí)現(xiàn)了網(wǎng)絡(luò)空間下對(duì)終端計(jì)算機(jī)的安全管理體系。VRV SpecSEC 終端安全管理體系以 APPDR 模型為依據(jù)，遵循國(guó)家和行業(yè)等級(jí)保護(hù)，基于安全工程的思想，以獨(dú)特的終端安全配置策略為核心，以終端安全風(fēng)險(xiǎn)測(cè)試與評(píng)估為依據(jù)，實(shí)現(xiàn)組件化可動(dòng)態(tài)組合配置的終端安全管理。VRV SpecSEC 終端安全管理體系層次結(jié)構(gòu)圖如下所示：VRV SpecSEC 終端安全管理體系層次結(jié)構(gòu)圖本解決方案正是基于上述核心理念和安全體系的基礎(chǔ)上而組建的基于終端各方面安全管理和控制的一體化解決方案。 (3) 發(fā)現(xiàn)有違規(guī)情形的，應(yīng)當(dāng)保留有關(guān)原始記錄，并可直接了解到該違規(guī)信息及違規(guī)方式等。方案設(shè)計(jì)遵循如下原則：(1) 安全性原則：對(duì)性能影響小，與其它業(yè)務(wù)系統(tǒng)無(wú)沖突。(3) 可擴(kuò)展性原則：能夠符合 IT 發(fā)展方向，并隨業(yè)務(wù)增長(zhǎng)的同時(shí)保持高度的可擴(kuò)充性。(5) 兼容性原則：能夠與主流廠商的系統(tǒng)、軟件、主機(jī)設(shè)備、安全設(shè)備、網(wǎng)絡(luò)設(shè)備保持高度的兼容性。IT 部門(mén)要承擔(dān)更大的責(zé)任，即提高業(yè)務(wù)運(yùn)作效率，降低業(yè)務(wù)流程的運(yùn)作成本，遵循 ITIL 標(biāo)準(zhǔn)，協(xié)調(diào) IT 服務(wù)部門(mén)內(nèi)部運(yùn)作，改善 IT 部門(mén)與業(yè)務(wù)部門(mén)之間的溝通，幫助單位對(duì)信息化系統(tǒng)的規(guī)劃、研發(fā)、實(shí)施和運(yùn)營(yíng)進(jìn)行有效管理的方法。并結(jié)合單位內(nèi)部組織結(jié)構(gòu)、IT 資源與管理流程等，對(duì)業(yè)務(wù)需求進(jìn)行整體管理與服務(wù)。遵循 ISO 27001 標(biāo)準(zhǔn)ISO27001 作為信息系統(tǒng)安全管理標(biāo)準(zhǔn)，已經(jīng)成為全球公認(rèn)的安全管理最佳實(shí)踐，成為全國(guó)大型機(jī)構(gòu)在設(shè)計(jì)、管理信息系統(tǒng)安全時(shí)的實(shí)踐指南。在 ISO27001 中有一個(gè)非常有名的安全模型，稱(chēng)為 PDCA 安全模型。北信源認(rèn)為，終端安全管理，也將是一個(gè)持續(xù)、動(dòng)態(tài)、不斷改進(jìn)的過(guò)程，北信源將提供統(tǒng)一的、集成化的平臺(tái)和工具，幫助對(duì)其終端進(jìn)行統(tǒng)一的安全控制、安全評(píng)估、安全審計(jì)及安全改進(jìn)策略部署。方案設(shè)計(jì)思路10 / 40本方案通過(guò)網(wǎng)絡(luò)接入控制管理、補(bǔ)丁及軟件分發(fā)管理、移動(dòng)存儲(chǔ)介質(zhì)管理、桌面終端安全管理，以及終端安全審計(jì)管理等五大部分，并由集中統(tǒng)一的管控和策略平臺(tái)，完成對(duì)上述安全管理組件的統(tǒng)一策略配置與下發(fā)、集中管理與審計(jì)，最終形成聯(lián)動(dòng)化的、集成化的、完整的終端安全體系建設(shè)。系統(tǒng)向指定終端計(jì)算機(jī)（用戶(hù)組）分發(fā)文件或安裝軟件，分發(fā)時(shí)可提供軟件的運(yùn)行參數(shù)和必要的運(yùn)行控制。. 補(bǔ)丁及軟件自動(dòng)分發(fā)管理方案及思路補(bǔ)丁及軟件自動(dòng)分發(fā)管理支持推、拉兩種方式自動(dòng)下載補(bǔ)丁。11 / 40北 信源 補(bǔ)丁 中心(一 級(jí) )補(bǔ) 丁 庫(kù) 分 類(lèi)北 信源 補(bǔ)丁 管理 中心(二 級(jí) ) 補(bǔ) 丁 增 量 導(dǎo) 入補(bǔ) 丁 測(cè) 試策 略 控 制推 拉 分 發(fā) 控 制流 量 控 制多 級(jí) 級(jí) 聯(lián) 控 制補(bǔ) 丁 分 發(fā) 檢 索 補(bǔ) 丁 自 動(dòng) 識(shí) 別客 戶(hù) 端 策 略客 戶(hù) 補(bǔ) 丁 查 詢(xún)動(dòng) 態(tài) 下 載轉(zhuǎn) 發(fā) 代 理報(bào) 表 中 心北 信源 補(bǔ)丁 管理 中心(二 級(jí) ).. 客 戶(hù) 端自 動(dòng) 測(cè) 試 組(真 實(shí) 環(huán) 境 )級(jí) 聯(lián)同 步級(jí) 聯(lián)同 步補(bǔ)丁分發(fā)管理體系網(wǎng)絡(luò)應(yīng)用對(duì)象： 連通互聯(lián)網(wǎng)的網(wǎng)絡(luò)：直接通過(guò)補(bǔ)丁下載服務(wù)器將補(bǔ)丁下○ 1載至補(bǔ)丁分發(fā)服務(wù)器； 物理隔離網(wǎng)絡(luò)：在互聯(lián)網(wǎng)連通網(wǎng)絡(luò)上安裝補(bǔ)丁下載服○ 2務(wù)器模塊，通過(guò)補(bǔ)丁下載增量分離工具，區(qū)分內(nèi)網(wǎng)已導(dǎo)入和未導(dǎo)入的補(bǔ)丁，將最新補(bǔ)丁導(dǎo)入到內(nèi)網(wǎng)補(bǔ)丁分發(fā)服務(wù)器。12 / 40補(bǔ)丁自動(dòng)檢測(cè)2． 補(bǔ)丁下載增量式補(bǔ)丁自動(dòng)分離技術(shù)在外網(wǎng)分離出已安裝、未安裝補(bǔ)丁，分類(lèi)導(dǎo)入系統(tǒng)補(bǔ)丁庫(kù)，僅對(duì)內(nèi)網(wǎng)的補(bǔ)丁進(jìn)行“增量式”升級(jí)，以減少拷貝工作量；互聯(lián)網(wǎng)補(bǔ)丁自動(dòng)實(shí)時(shí)探測(cè)，支持補(bǔ)丁導(dǎo)出前病毒過(guò)濾。針對(duì)下載的補(bǔ)丁進(jìn)行歸類(lèi)存放，按照不同操作系統(tǒng)、補(bǔ)丁編號(hào)、補(bǔ)丁發(fā)布時(shí)間、補(bǔ)丁風(fēng)險(xiǎn)等級(jí)、補(bǔ)丁公告等進(jìn)行歸類(lèi)，幫助管理人員快速識(shí)別補(bǔ)丁。13 / 40補(bǔ)丁分發(fā)策略5． 補(bǔ)丁自動(dòng)修復(fù)在指定時(shí)間、指定網(wǎng)絡(luò)范圍內(nèi)以不同方式（如推、拉）分發(fā)補(bǔ)丁，或者根據(jù)腳本策略統(tǒng)一控制終端計(jì)算機(jī)下載補(bǔ)丁，當(dāng)監(jiān)測(cè)到有終端計(jì)算機(jī)未打補(bǔ)丁時(shí)，可對(duì)漏打補(bǔ)丁終端計(jì)算機(jī)進(jìn)行推送補(bǔ)丁。6． 補(bǔ)丁下載轉(zhuǎn)發(fā)代理提供補(bǔ)丁自動(dòng)代理轉(zhuǎn)發(fā)功能，提高補(bǔ)丁下發(fā)效率，減少網(wǎng)絡(luò)帶寬的占用率，節(jié)省網(wǎng)絡(luò)資源。8． 普通文件分發(fā)及文件自動(dòng)執(zhí)行 可以提供分發(fā)普通文件也可以分發(fā)可執(zhí)行文件及 MSI 等形式的壓縮文件并14 / 40自動(dòng)執(zhí)行。設(shè)計(jì)時(shí)考慮到了區(qū)域訪(fǎng)問(wèn)控制，信息保密、文件走查審計(jì)等方面，確保單位內(nèi)網(wǎng)的信息不因使用移動(dòng)存儲(chǔ)而造成威脅，做到事前有保護(hù)，事后可追查，提供安全、簡(jiǎn)單易用的數(shù)據(jù)交換安全解決方案。只有經(jīng)認(rèn)證和授權(quán)成功后，才保證合法的用戶(hù)在合法的機(jī)器上訪(fǎng)問(wèn)合法存儲(chǔ)介質(zhì)上的數(shù)據(jù)，并形成詳盡的日志供審計(jì)。16 / 40因此，體系技術(shù)設(shè)計(jì)主要包括 5 類(lèi)的 USB 設(shè)備控制問(wèn)題，包括存儲(chǔ)類(lèi)（Mass Storage） 、打印機(jī)類(lèi)（Printer Class） 、智能卡類(lèi)（Smart Card Class） 、圖像類(lèi)（Imaging Class） 、HID 設(shè)備類(lèi)等，并通過(guò)相關(guān)的技術(shù)手段提供統(tǒng)一的管理平臺(tái)及適用于各類(lèi)存儲(chǔ)介質(zhì)的應(yīng)用管理策略，確保提供完整有效的移動(dòng)存儲(chǔ)環(huán)境和移動(dòng)存儲(chǔ)設(shè)備的安全使用方案。如拷貝超過(guò) 1000 個(gè)文件不進(jìn)行審計(jì)（這主要是因?yàn)檫@樣的大量拷貝行為一般不會(huì)是違規(guī)的行為） ；移動(dòng)存儲(chǔ)標(biāo)簽制作記錄：對(duì)于在網(wǎng)絡(luò)內(nèi)使用的移動(dòng)存儲(chǔ)設(shè)備（如 U 盤(pán)等）設(shè)置一個(gè)標(biāo)簽，不同管理員可以獲得不同的標(biāo)簽類(lèi)型分配。該設(shè)計(jì)運(yùn)用商用密碼技術(shù)，實(shí)現(xiàn)商用密碼算法的加密、解密和認(rèn)證等功能的技術(shù)，通過(guò)密碼算法編程技術(shù)、密碼算法芯片或加密卡等以實(shí)現(xiàn)移動(dòng)信息保護(hù)、訪(fǎng)問(wèn)控制、審計(jì)監(jiān)控等，以滿(mǎn)足移動(dòng)介質(zhì)標(biāo)記認(rèn)證管理的功能需求。因此體系設(shè)計(jì)需采用 C/S與 B/S 混合設(shè)計(jì)模式，并支持分布式部署，具有模塊化定制，支持標(biāo)準(zhǔn) API、無(wú)縫功能擴(kuò)展與升級(jí)等優(yōu)點(diǎn)。北信源桌面終端管理體系強(qiáng)化了對(duì)網(wǎng)絡(luò)計(jì)算機(jī)終端狀態(tài)、行為以及事件的管理，并