公司信息安全规划方案

由天下分享时间：2024/7/27 0:29:36 加入收藏我要投稿点赞

? 智能的应用程序控制，控制文件和注册表访问权限，以及设置允许进程如何运行；

? 可用于限制对选定硬件的访问，并控制哪些类型的设备可以上传或下载信息的外设

控制。外设控制可以结合应用程序控制，提供更灵活的控制策略。

管理层面—入网准入控制

在管理层面上需要实现两个目标：“技术管理化”与“管理技术化”。技术管理化要求对以上这些安全技术进行有效的管理，使其真正发挥作用。通过统一、集中、实时地集中管理，构建坚固的技术保障体系。管理技术化体现在终端的策略和行为约束，把停留在口号阶段的“三分技术、七分管理”变成可操作控制程序，这就需要辅以技术手段，通过准入控制等技术把对最终用户的管理要求真正落实下去。

根据XX现状，在企业办公网中无法确定现在网络中有多少各种设备、终端，是什么种类；无法确定入网终端的安全状况、合法性；无法确定此时有哪些人员入网访问，访问了何种资源；机构的安全规范无法得到有效遵从；私接 hub 及无线路由器无法进行有效的管理；无法迅速安全定位到终端设备和使用者。此方案将从以下几个方面解决上述问题。边界控制管理

在当今的计算环境中，公司和网络管理员面临着严峻的挑战，即为不断扩大的用户群提供访问公司资源的权限。现在，维护网络环境完整性的任务面临着前所未有的挑战。准入技术可以与AD域系统联动，在连接到资源以前验证端点的健康状况，而且在端点连接到资源之后，要对端点进行持续验证。可以确保在允许端点连接到公司 LAN、WAN、WLAN 或 VPN 之前遵从 IT策略。

利用各种网络控制技术，实现在各种网络环境下适应性，准入系统能够帮助用户快速实现，对于内网边界的规划。可以实现基于接入层边界的控制和基于重要资源边界的控制。

人员认证管理

入网流程管理系统能够提供广泛的身份认证功能，以及基于人员角色的权限控制功能，从而在识别、授权、审计等多个角度对内网边界设立好人员管理的第一道防线。

设备规范管理

准入系统通过设备识别、用户认证、防病毒软件健康保障、系统补丁健康保障来规范入网终端的合规性，同时可以进行持续的监控，一旦发现问题，可以精确定位。

6 / 21

操作行为管理

准入系统可以针对人员和设备入网后的行为、状态变更、维护等综合管理。能够在用户及设备入网后，提供机构管理策略的延展性，可配置的策略能够搭建用户/设备入网后的全面管理规范

视角报表管理

准入系统提供多种查看安全威胁点的方法和方式。系统使用人员可以从自己关注的起始点出发逐级进行查看。所有安全状态均提供了丰富的报表输出。

部署方式

入网规范管理系统设备采用旁路模式部署在汇聚层交换机或者核心路由交换器旁，采用策略路由技术与核心交换机进行联动管理，实现对网内终端的准入控制。

技术特点

? 每当用户连接网络时，确认公司管理终端是否符合公司策略，根据检查结果授予或

者拒绝其接入权限。

? 网络准入系统可以与防病毒系统联动，自动下载和安装任何缺失的病毒特征库，防

火墙策略，入侵检测特征库，软件补丁和安全工具，将公司端点修复到可信状态。 ? 支持多样化的身份认证方式，既提供用户名、密码身份认证也支持与LDAP、USB-KEY、

手机短信、EMAIL、AD域等第三方身份认证系统联动。 ? 入网规范管理系统除了在边界位置履行对人员和设备进行准入控制，还提供对人员

和设备入网后的行为、状态变更、维护等综合管理，如违规外联管控、对用户各种操作的监控和响应。

7 / 21

? 入网规范管理系统拥有丰富的安全检查规范，不仅包含杀毒软件检查、补丁检查、

IP/MAC绑定等规范检查，也包含桌面客户端运行状态检查、域用户检查、必须/禁止安装软件检查等个性化安全检查项，通过对终端进行安全检查，并提供一键式智能修复，在加固终端安全防护能力的同时，节约了运维成本，提高了工作效率。 ? 管理员可以事先配置来宾可以访问的资源，比如只能上互联网、收发邮件等。这样

基于应用控制来宾访问权限，可以很好地解决既满足业务需要，又很好地保护好用户内网资源。

? 在现有的网络环境中已在思科防火墙建立了VPN，使用SSL协议完成用户的远程接

入，使出差或者第三方人员等这样的移动办公人员可以安全、方便、快捷的登录内网工作，同时网络准入系统可以对VPN接入用户进行身份认证、终端合规性检查，确保符合IT策略的终端接入网络，访问资源。

2.3.1.2统一的终端运维管理平台

随着计算机网络技术的不断发展和网络应用的不断深入，对于网络的安全性、可靠性的要求也越来越高，计算机网络的管理、维护和运行变得越来越复杂。这就迫切需要有先进的网络管理平台予以支撑。

终端运维管理系统在安全性上也提供了完整的解决方案。其基于证书授权的安全管理策略，形成了内部网络的一个强大的安全屏障，可以抵御各种形式的非法入侵。

主要功能

? 资产信息管理（软件、硬件信息，及用户定制信息等） ? 漏洞管理（统一的补丁下载、修复与杀毒软件病毒定义更新等） ? 软件分发（统一的软件分发等）

? 远程协助（远程的控制、文件传输等）资产管理

硬件资产

桌面管理系统可以将客户端的所有的硬件信息自动收集到服务器的管理数据库中。如BIOS、主板、CPU、内存、硬盘、网络配置、操作系统版本等等。这使得系统管理员随时可以对所管理的客户端的硬件情况了如指掌。软件资产

8 / 21

软件同样是资产信息的重要部分。软件的变化对于系统管理员来说更是无法管理。而通过软件信息的自动收集，不仅能够及时掌握每台客户机的系统软件信息，而且可以自动获得应用软件信息，满足软件正版化需求。

漏洞管理

自动下载漏洞特征及补丁程序

对漏洞特征及补丁程序的自动下载。只要根据需要，制定好自动下载的计划（如：每天、每周、每月），系统便会自动的从服务器群上下载最新的漏洞特征及补丁程序。自动分发安装系统安全补丁

对于检测到的系统安全漏洞可以实现自动分发安装，通过计划任务对客户端PC进行推送或者修复安装，减轻Internet接入的网络负担、提高了效率，且性能稳定。补丁安装考虑尽量减少对用户的影响，在进行自动分发的同时，可以支持静默方式安装。可以在用户没有任何感觉的情况下，为其安装上所有的操作系统补丁。软件分发

管理策略

? 可以根据管理的需要，基于不同的协议进行软件分发；

? 支持断点续传功能，对于分发一些大型的应用软件，例如：Office、ERP客户端软

件等，这一特点十分重要； ? 支持推（push）和拉（pull）两种软件分发的方式。可以为客户端配置任务完成功

能。 ? 在分发过程中，支持多种网络带宽优化及控制技术。

通过这样的管理策略，则可以使得对桌面系统的管理更加规范、高效、可靠。

通过计划任务和策略实现软件分发安装

软件分发作为计划任务来处理，既可以立即执行，也可以根据需要，安排在某一特定时间执行。远程协助远程控制

? 通过远程控制功能，系统管理员可以在信息中心直接获取客户端的显示数据，并在

控制台上显示出来。这就将客户端的PC虚拟到信息中心。系统管理员可以对客户端进行完全的操作，与现场进行操作效果相当。

? 远程控制功能可以在不登录网络的情况下，先于操作系统启动。 ? 支持同时对多个客户端进行远程控制。 ? 远程控制还可以设置为需要客户端授权的方式。

9 / 21