法院信息系统安全建设解决方案

法院信息系统安全建设解决方案

目录

1. 前言 (3)

1.1. 概述 (3)

1.2. 应对策略 (4)

2. 终端安全防护理念 (5)

2.1. 安全理念 (5)

2.2. 安全体系 (6)

3. 终端安全管理解决方案 (7)

3.1. 终端安全管理建设目标 (7)

3.2. 终端安全管理方案设计原则 (7)

3.3. 终端安全管理方案设计思路 (7)

3.4. 终端安全管理解决方案实现 (10)

3.4.1. 网络接入管理设计实现 (10)

3.4.1.1. 网络接入管理概述 (10)

3.4.1.2. 网络接入管理方案及思路 (10)

3.4.2. 补丁及软件自动分发管理设计实现 (14)

3.4.2.1. 补丁及软件自动分发管理概述 (14)

3.4.2.2. 补丁及软件自动分发管理方案及思路 (14)

3.4.3. 移动存储介质管理设计实现 (18)

3.4.3.1. 移动存储介质管理概述 (18)

3.4.3.2. 移动存储介质管理方案及思路 (19)

3.4.4. 桌面终端管理设计实现 (22)

3.4.4.1. 桌面终端管理概述 (22)

3.4.4.2. 桌面终端管理方案及思路 (23)

3.4.5. 终端安全审计设计实现 (34)

3.4.5.1. 终端安全审计概述 (34)

3.4.5.2. 终端安全审计方案及思路 (34)

4. 方案总结 ...................................................................................................

39

2

1.前言

1.1. 概述

随着法院信息化的飞速发展，业务和应用逐渐完全依赖于计算机网络和计算机终端。为进一步提高法院信息系统内部的安全管理与技术控制水平，必须建立一套完整的终端安全管理体系，提高终端的安全管理水平。

由于法院信息系统内部缺乏必要管理手段，导致网络管理人员对终端管理的难度很大，难以发现有问题的电脑，从而计算机感染病毒，计算机被安装木马，部分员工使用非法软件，非法连接互联网等情况时有发生，无法对这些电脑进行定位，这些问题一旦发生，往往故障排查的时间非常长。如果同时有多台计算机感染网络病毒或者进行非法操作，容易导致网络拥塞，甚至业务无法正常开展。

建立终端安全管理体系的意义在于：解决大批量的计算机安全管理问题。具体来说，这些问题包括：

实现对法院信息系统内部所有的终端计算机信息进行汇总，包括基本信息、审计信息、报警信息等，批量管理终端计算机并提高安全性、降低日常维护工作量；实现对法院信息系统内部所有的终端计算机的准入控制，防止外来电脑或违规的电脑接入法院信息系统内部网络中；

实现对法院信息系统内部所有的终端计算机进行补丁的自动下载、安装与汇总，最大程度减少病毒、木马攻击存在漏洞的计算机而导致的安全风险；

实现对法院信息系统内部所有的移动存储设备的统一管理，防止部分人员通过

USB设备将法院信息系统大量的机密文件传播出去，同时也极大减少了病毒、木马通过USB设备在网络中传播等情况的发生；

实现对法院信息系统内部所有的终端计算机进行终端安全管理与分析，包括?

第一时间禁止非法外联行为的发生，实时监控异常流量，检测非法软件，禁3

用部分硬件设备等，将计算机与人结合起来管理，防止非法操作导致发生不必要的安全事件。

1.2. 应对策略

从网络空间应用接入方式来来说，网络空间应用从传统的互联网应用接入发展到以移动/无线通信应用接入乃至移动互联网接入等多种方式。

而针对网络空间安全方面的问题，北信源公司基于多年的产品开发与超大规模成功部署与应用经验基础，组建了面向网络空间的终端安全管理产品体系。该产品体系主要面向重要网络、信息系统及基础设施的失泄密检测与防范，实现从终端、区域网到互联网的一体化检测、管理与防范。该体系从终端接入控制、终端行为管控制、终端数据防泄密，以及终端安全审计等方面，实现了多层次、全方位、立体化纵深失窃密检测与防范，形成了面向复杂网络空间的终端安全管理一体化解决方案，有效地实现了网络空间下对终端计算机的安全管理体系。

4

2.终端安全防护理念

2.1. 安全理念

针对目前法院信息系统网络中终端计算机面临的各种安全问题，作为终端安全管理市场的领导者，北信源公司特推出了面向网络空间的VRV SpecSEC终端安全管理体系。

VRV SpecSEC终端安全管理体系以APPDR模型为依据，遵循国家和行业等级保护，基于安全工程的思想，以独特的终端安全配置策略为核心，以终端安全风险测试与评估为依据，实现组件化可动态组合配置的终端安全管理。其核心理念如下图所示：

VRV SpecSEC终端安全管理体系核心理念

安全产品法规符合性开发（S pecification-based Products Development）

策略引导的终端安全配置（P olicy-based Configure Management）

评估驱动的终端安全管理（E valuation-driven Security Management）

组件化终端安全管理体系（Component-based Plug-in/out Security Architecture ）

5

2.2. 安全体系

北信源VRV SpecSEC体系覆盖终端的资产安全管理、终端数据安全管理、终端行为安全管理、终端服务安全管理等多个方面，涉及管理计算机本身、计算机应用、计算机操作者、计算机使用、法院信息系统管理规范等多个方面，形成全方位、多层次、立体化终端安全管理。

本解决方案正是基于上述核心理念和安全体系的基础上而组建的基于终端各方面安全管理和控制的一体化解决方案。

6

3.终端安全管理解决方案

3.1. 终端安全管理建设目标

(1) 当终端接入时要落实安全保护技术措施，保障内部网络的运行安全和信息安全；

(2) 对已接入内部网络的终端计算机，要做好用户权限设定工作，不能开放

其规定以外的操作权限。

(3) 发现有违规情形的，应当保留有关原始记录，并可直接了解到该违规信息及违规方式等。

(4) 网络管理人员能够利用该管理方式，便捷的管理内网终端计算机，并能够利用该种方式对终端计算机现状一目了然。

3.2. 终端安全管理方案设计原则

方案设计遵循如下原则：