北信源内网安全系统方案.docVIP

北信源内网安全及补丁分发系统解决方案建议书 北京北信源自动化技术有限公司 2008年4月  目 录 一、 前言 1 二、 系统需求分析 2 2.1、客户网络现状 2 2.2、客户端管理需求 2 三、 北信源内网安全管理系统解决方案 3 3.1、功能实现方式 3 3.2、系统构架图 4 3.2.1、系统管理结构建议 4 3.3、产品基本功能 5 3.4、安全监控强审计功能 5 3.4.1、文件保护及访问审计 5 3.4.2、桌面文件输出审计 7 3.4.3、打印审计 7 3.4.4、系统日志审计 8 3.4.5、文件内容检查 9 3.4.6、特殊行为审计 9 四、 具体实施方案 9 4.1、部署的主要组建 9 4.3、实施建议 10 4.4、系统部署时软硬件配置 13 4.5、系统部署时网络环境准备 14 前言 随着XXXX单位信息化工作建设的推进，目前XXXX单位的IT系统的建设已经具备了相当的规模，已经具有了自己的信息操作平台，业务系统也越来越依赖于IT系统。但由于网络终端分布非常广泛，计算机的操作者使用水平参差不齐，员工对系统的滥用、错误配置以及恶意访问导致业务面临很多现实的安全威胁完全不受控的这会导致容易遭受网络攻击，引起机密信息的泄露，以及其它的代价高昂的损失 系统逻辑图 3.2、系统构架图 3.2.1、系统管理结构建议 某单位是一个多网络连接方式的分散式网络，同时客户端用途具有多样性，所以我们建议采用单服务器/多分区的构架。 此外，如果某单位网络因为业务的需要进行了改动或客户端数据增加，北信源内网安全系统可根据实际需要在客户端数量、管理层次和功能扩展上进行无缝平滑扩展。 3.3、产品基本功能 北信源内网安全及补丁分发系统具有强大的管理功能，通过北信源内网安全的解决方案可以很好的为某单位信息网络进行全方位的管理。北信源内网安全及补丁分发系统的基本产品功能主要包含终端基本管理、IT资产管理、终端桌面管理、终端安全管理、网络主机运维、非法外联行为监控、Intel vPro (AMT) 管理支持、事件报表及报警处置、第三方接口联动（可扩展）等功能。 3.4、安全监控强审计功能 北信源内网解决方案中提供全面的强审计功能，某单位可以通过此模块对网络中重要文件的访问情况、键盘行为、窗口情况、文件网络输出情况、终端访问行为和打印文件等等行为进程颗粒度的审计，网管人员可以时时跟踪审计结果。这样某单位能够很好的保护重要的文件不被未授权人员查看；不被恶意修改和删除能够很好的防止通过打印、邮件和网络共享拷贝等方式的文件信息泄密；能够全方位的对客户端用户的各项电脑操作进行审计，以便需要的时候有据可查等等。 3.4.1、网站访问审计 系统可限制用户访问特定的网站，可设置黑白名单，同时可以设置策略有效时间，下班时可设置成允许访问所有网站 上网访问控制策略图例 高级设置图例 3.4.2、文件保护及访问审计 系统可保护指定的文件或文件夹，根据需要禁止本地和远程对其进行读取、修改、删除等操作。系统也可对指定的目录或文件进行读取、修改、删除、拷贝、移动、 实例图 为了保护客户端的指定文件或文件夹的数据安全，可以把该文件夹设置为工作目录，并对其实施保护，给终端使用者分配相应的权限如：只读、读写、拷贝、修改等，指定部分进程允许或不允许执行工作目录下的文件，设置界面如下图所示： 实例图 3.4.3、桌面文件输出审计 对网络重要服务器的文件输出行为进行审计和管理，可根据情况审计或禁止使用打印输出、邮件附件输出、网络文件拷贝等文件输出行为。可根据需要禁止指定用户（组）的上述行为，或对指定用户（组）的上述行为进行审计。 实例图 3.4.4、打印审计 对网络重要服务器的文件输出行为进行审计和管理，可根据情况审计或禁止使用文件打印等输出行为。可根据需要禁止指定用户（组）的上述行为，或对指定用户（组）的上述行为进行审计。 3.4.5、系统日志审计 客户端日志审计主要包括两方面的审计： 1、客户端用户在本操作系统中所有操作进行审计主要包括：设备信息审计、注册资产审计、安装软件审计、安装软件审计、共享目录审计、设备IP占用状况列表 、硬件变化审计、移动设备审计、上网访问审计、文件输出审计、文件保护审计 、违规软件及进程、安全策略违规、涉密检查审计、消息确认审计、软件分发审计 、软件分发统计等 2、操作系统本身生成的系统日志、安全日志和应用日志进行审计，审计的结果都上报到数据库中，供管理人员任何时间进行审计。 所有生成的审计结果，都可以页面的形式体现，并且根据管理人员实际需求生成excle表格。 3.4.6、文件内容检查 系统可检查终端是否存在违规文件（如涉密、色情、反动文件等），并检查某一文件夹或某一类型文件内是否有违规的信息。检查可针对指