北信源内网安全管理系统解决方案法院样本.doc

《北信源内网安全管理系统解决方案法院样本.doc》由会员分享，可在线阅读，更多相关《北信源内网安全管理系统解决方案法院样本.doc（41页珍藏版）》请在咨信网上搜索。

北信源内网终端安全管理系统 处理方案 北京北信源软件股份 目 录 1. 序言 3 1.1. 概述 3 1.2. 应对策略 4 2. 终端安全防护理念 5 2.1. 安全理念 5 2.2. 安全体系 6 3. 终端安全管了处理方案 7 3.1. 终端安全管理建设目标 7 3.2. 终端安全管理方案设计标准 7 3.3. 终端安全管理方案设计思绪 8 3.4. 终端安全管了处理方案实现 10 3.4.1. 网络接入管理设计实现 10 3.4.1.1. 网络接入管理概述 10 3.4.1.2. 网络接入管理方案及思绪 10 3.4.2. 补丁及软件自动分发管理设计实现 17 3.4.2.1. 补丁及软件自动分发管理概述 17 3.4.2.2. 补丁及软件自动分发管理方案及思绪 17 3.4.3. 移动存放介质管理设计实现 22 3.4.3.1. 移动存放介质管理概述 22 3.4.3.2. 移动存放介质管理方案及思绪 23 3.4.4. 桌面终端管理设计实现 26 3.4.4.1. 桌面终端管理概述 26 3.4.4.2. 桌面终端管理方案及思绪 27 3.4.5. 终端安全审计设计实现 45 3.4.5.1. 终端安全审计概述 45 3.4.5.2. 终端安全审计方案及思绪 45 4. 方案总结 51 5. 附录：系统硬件要求 51 6. 预算 53 1. 序言 1.1. 概述 伴随信息化飞速发展，业务和应用逐步完全依靠于计算机网络和计算机终端。为深入提升单位内部安全管理和技术控制水平，必需建立一套完整终端安全管理体系，提升终端安全管理水平。 因为单位内部缺乏管理手段，造成网络管理人员对终端管理难度很大，难以发觉有问题电脑，从而计算机感染病毒，计算机被安装木马，部分职员使用非法软件，非法连接互联网等情况时有发生，无法对这些电脑进行定位，这些问题一旦发生，往往故障排查时间很长。假如同时有多台计算机感染网络病毒或进行非法操作，轻易造成网络拥塞，甚至业务无法正常开展。 建立终端安全管理体系意义在于：处理大批量计算机安全管理问题。具体来说，这些问题包含： Ø 实现对单位内部全部终端计算机信息进行汇总，包含基础信息、审计信息、报警信息等，批量管理终端计算机并提升安全性、降低日常维护工作量； Ø 实现对单位内部全部终端计算机准入控制，预防外来电脑或违规电脑接入单位内部网络中； Ø 实现对单位内部全部终端计算机进行补丁自动下载、安装和汇总，最大程度降低病毒、木马攻击存在漏洞计算机而造成安全风险； Ø 实现对单位内部全部移动存放设备统一管理，预防部分人员经过USB设备将单位大量机密文件传输出去，同时也极大降低了病毒、木马经过USB设备在网络中传输等情况发生； Ø 实现对单位内部全部终端计算机进行终端安全管理和分析，包含第一时间严禁非法外联行为发生，实时监控异常流量，检测非法软件，禁用部分硬件设备等，将计算机和人结合起来管理，预防非法操作造成发生无须要安全事件。 1.2. 应对策略 从网络空间应用接入方法来来说，网络空间应用从传统互联网应用接入发展到以移动/无线通信应用接入乃至移动互联网接入等多个方法。 而针对网络空间安全方面问题，北信源企业基于多年产品开发和超大规模成功布署和应用经验基础，组建了面向网络空间终端安全管理产品体系。该产品体系关键面向关键网络、信息系统及基础设施失泄密检测和防范，实现从终端、区域网到互联网一体化检测、管理和防范。该体系从终端接入控制、终端行为管控制、终端数据防泄密，和终端安全审计等方面，实现了多层次、全方位、立体化纵深失窃密检测和防范，形成了面向复杂网络空间终端安全管理一体化处理方案，有效地实现了网络空间下对终端计算机安全管理体系。 2. 终端安全防护理念 2.1. 安全理念 针对现在网络中终端计算机面临多种安全问题，作为终端安全管理市场领导者，北信源企业特推出了面向网络空间VRV SpecSEC终端安全管理体系。 VRV SpecSEC终端安全管理体系以APPDR模型为依据，遵照国家和行业等级保护，基于安全工程思想，以独特终端安全配置策略为关键，以终端安全风险测试和评定为依据，实现组件化可动态组合配置终端安全管理。其关键理念以下图所表示： VRV SpecSEC终端安全管理体系关键理念 l 安全产品法规符合性开发（Specification-based Products Development） l 策略引导终端安全配置（Policy-based Configure Management） l 评定驱动终端安全管理（Evaluation-driven Security Management） l 组件化终端安全管理体系（Component-based Plug-in/out Security Architecture ） 2.2. 安全体系 北信源VRV SpecSEC体系覆盖终端资产安全管理、终端数据安全管理、终端行为安全管理、终端服务安全管理等多个方面，包含管理计算机本身、计算机应用、计算机操作者、计算机使用单位管理规范等多个方面，形成全方位、多层次、立体化终端安全管理。VRV SpecSEC终端安全管理体系层次结构图以下所表示： VRV SpecSEC终端安全管理体系层次结构图 本处理方案正是基于上述关键理念和安全体系基础上而组建基于终端各方面安全管理和控制一体化处理方案。 3. 终端安全管了处理方案 3.1. 终端安全管理建设目标 (1) 当终端接入时要落实安全保护技术方法，保障内部网络运行安全和信息安全； (2) 对已接入内部网络终端计算机，要做好用户权限设定工作，不能开放 其要求以外操作权限。 (3) 发觉有违规情形，应该保留相关原始统计，并可直接了解到该违规信息及违规方法等。 (4) 网络管理人员能够利用该管理方法，便捷管理内网终端计算机，并能够利用该种方法对终端计算机现实状况一目了然。 3.2. 终端安全管理方案设计标准 方案设计遵照以下标准： (1) 安全性标准：对性能影响小，和其它业务系统无冲突。 (2) 可靠性标准：在反复操作和长久实践以后仍然能够保持高度稳定性。 (3) 可扩展性标准：能够符合IT发展方向，并随业务增加同时保持高度可扩充性。 (4) 易用性标准：提供简单、友好界面，能够进行直观操作，形成丰富图形界面和报表。 (5) 兼容性标准：能够和主流厂商系统、软件、主机设备、安全设备、网络设备保持高度兼容性。 3.3. 终端安全管理方案设计思绪 1、遵照IT服务标准 伴随信息技术发展和对信息技术依靠程度提升，IT已成为很多业务步骤必不可少部分，甚至是一些业务步骤赖以运作基础。IT部门要负担更大责任，即提升业务运作效率，降低业务步骤运作成本，遵照ITIL标准，协调IT服务部门内部运作，改善IT部门和业务部门之间沟通，帮助单位对信息化系统计划、研发、实施和运行进行有效管理方法。IT服务管理将步骤、人和技术三方面整合在一起来处理IT服务管理问题。并结合单位内部组织结构、IT资源和管理步骤等，对业务需求进行整体管理和服务。处理方案设计要采取IT服务管理理念，根据ITIL最好实践标准来设计。 2、遵照ISO 27001标准 ISO27001作为信息系统安全管理标准，已经成为全球公认安全管理最好实践，成为全国大型机构在设计、管理信息系统安全时实践指南。其中除了安全思绪之外，给出了很多很细致安全管理指导规范。在ISO27001中有一个很有名安全模型，称为PDCA安全模型。PDCA安全模型关键思想是：信息系统安全需求是不停改变，要使得信息系统安全能够满足业务需要，必需建立动态“计划、设计和布署、监控评定、改善提升”管理方法，连续不停地改善信息系统安全性。 北信源认为，终端安全管理，也将是一个连续、动态、不停改善过程，北信源将提供统一、集成化平台和工具，帮助对其终端进行统一安全控制、安全评定、安全审计及安全改善策略布署。 3、遵照VRV SpecSEC安全理念 依据业界最好安全实践和行业信息安全管理体系建设步骤，结合北信源VRV SpecSEC关键安全理念，本方案总体架构共分为“网络接入管理、补丁及软件分发管理、移动存放介质管理、桌面终端管理、终端安全审计”等安全管理组件，并经过统一、联动安全管控和审计平台实现对不一样层次架构集中策略配置和管理，完成对网络终端分级布署、统一管控，最终实现对内网终端全方位控制管理，形成完整终端安全管理体系。 方案设计思绪 3.4. 终端安全管了处理方案实现 本方案经过网络接入控制管理、补丁及软件分发管理、移动存放介质管理、桌面终端安全管理，和终端安全审计管理等五大部分，并由集中统一管控和策略平台，完成对上述安全管理组件统一策略配置和下发、集中管理和审计，最终形成联动化、集成化、完整终端安全体系建设。 3.4.1. 补丁及软件自动分发管理设计实现 3.4.1.1. 补丁及软件自动分发管理概述 补丁及软件自动分发管理能够自动识别终端计算机操作系统类型，并依据需求自动下载所需补丁，自动安装并提醒。系统向指定终端计算机（用户组）分发文件或安装软件，分发时可提供软件运行参数和必需运行控制。该管理体系可减轻网络管理人员工作负担，软件分发时可汇报软件安装状态，不管软件正确安装是否，管理员均可立即了解情况。 3.4.1.2. 补丁及软件自动分发管理方案及思绪 补丁及软件自动分发管理支持推、拉两种方法自动下载补丁。整个补丁管理运行平台构架是：经过北信源外网补丁下载服务器立即从补丁厂商网站获取最新补丁；补丁安全测试后，经过补丁分发管理中心服务器对网络用户进行分发安装；补丁安装支持自动和手动两种方法。 补丁分发管理体系 网络应用对象：连通互联网网络：直接经过补丁下载服务器将补丁下载至补丁分发服务器；物理隔离网络：在互联网连通网络上安装补丁下载服务器模块，经过补丁下载增量分离工具，区分内网已导入和未导入补丁，将最新补丁导入到内网补丁分发服务器。 补丁及软件自动分发管理包含：补丁下载、补丁分析、补丁策略制订、补丁文件分发、终端计算机补丁漏洞检测、补丁安全性测试、补丁分发控制、一般文件自动分发等，包含功效以下： 1． 终端计算机漏洞自动侦测 终端计算机补丁自检测，在内网中建立补丁检测网站，终端计算机用户访问网站后，Web网页自动检测显示用户段补丁安装信息，用户可进行补丁下载安装；管理员还能够在管理控制台上远程检测终端计算机补丁安装情况。 补丁自动检测 2． 补丁下载 增量式补丁自动分离技术在外网分离出已安装、未安装补丁，分类导入系统补丁库，仅对内网补丁进行“增量式”升级，以降低拷贝工作量；互联网补丁自动实时探测，支持补丁导出前病毒过滤。 3． 补丁分析 自动建立补丁库，支持补丁库信息查询。针对下载补丁进行归类存放，根据不一样操作系统、补丁编号、补丁公布时间、补丁风险等级、补丁公告等进行归类，帮助管理人员快速识别补丁。 4． 补丁策略制订（分发） 支持用户自定义补丁策略并自由配置分发，基于终端计算机网络IP范围、操作系统种类、补丁类别（系统补丁、IE补丁、应用程序补丁和网管自定义补丁类等）等制订策略，发送至终端计算机后统一按策略实施应用。 补丁分发策略 5． 补丁自动修复 在指定时间、指定网络范围内以不一样方法（如推、拉）分发补丁，或依据脚本策略统一控制终端计算机下载补丁，当监测到有终端计算机未打补丁时，可对漏打补丁终端计算机进行推送补丁。补丁分发支持流量和连接数控制，以免占用太大带宽，影响网络正常工作。 6． 补丁下载转发代理 提供补丁自动代理转发功效，提升补丁下发效率，降低网络带宽占用率，节省网络资源。 7． 补丁安全性测试 补丁分发前闭环自动测试，对下载补丁进行自动测试（建立测试网络组），测试完成后将其存入补丁库，以提升打补丁成功性、安全性、可靠性。 8． 一般文件分发及文件自动实施 能够提供分发一般文件也能够分发可实施文件及MSI等形式压缩文件并自动实施。 软件分发策略制订 下发成功示意图 软件下发完成后，管理员能够在管理平台里查看软件下发/安装情况，依据查看结果即使调整软件下发策略： 软件下发回馈信息查询 3.4.2. 移动存放介质管理设计实现 3.4.2.1. 移动存放介质管理概述 该设计针对内网移动存放介质管理特点进行，以移动数据生命周期为主导，紧紧围绕其存放和交换安全需求，针对移动数据全生命周期各个步骤潜在安全隐患，综合利用多种安全技术和手段，进行有效全程防护安全产品。设计时考虑到了区域访问控制，信息保密、文件走查审计等方面，确保单位内网信息不因使用移动存放而造成威胁，做到事前有保护，事后可追查，提供安全、简单易用数据交换安全处理方案。 该设计以数据为中心，用户作为数据使用者，主机作为数据存放者，移动存放介质作为数据迁移者，在管理范围内均给予唯一标识，三者进行相互认证。只有经认证和授权成功后，才确保正当用户在正当机器上访问正当存放介质上数据，并形成详尽日志供审计。 移动数据安全访问模型 3.4.2.2. 移动存放介质管理方案及思绪 体系设计对移动存放介质安全管理范围应该包含U盘、移动硬盘、MP3、手机、智能卡设备等移动存放介质，和打印机等外设，体系设计和利用移动存放设备或其它方法进行数据交换相关终端计算机接口管理，包含光驱、软驱、USB移动存放接口、USB全部接口、打印机接口、红外设及蓝牙设备等。 所以，体系技术设计关键包含5类USB设备控制问题，包含存放类（Mass Storage）、打印机类（Printer Class）、智能卡类（Smart Card Class）、图像类（Imaging Class）、HID设备类等，并经过相关技术手段提供统一管理平台及适适用于各类存放介质应用管理策略，确保提供完整有效移动存放环境和移动存放设备安全使用方案。移动存放设备接入管理具体功效以下： 1. 移动存放设备（分设备、网段等）接入认证管理，保障指定设备读写指定移动存放设备访问控制管理； 2. 移动存放数据读写控制管理； 3. 移动存放设备标签认证管理； 4. 移动存放设备分区（一般区和加密区）管理； 分区格式化 5. 移动存放设备加密管理，预防加密区敏感信息外泄； 6. 移动存放设备接入行为审计； 7. 移动存放设备数据交换行为审计管理，比如设定文件后缀名等条件； 8. 设计对文件操作具体审计统计：包含文件创建、复制、删除、修改和重命名等操作，（包含文件名、审计描述、时间、用户名、计算机IP地址和其它必需信息）； 9. 设计对移动存放介质插入和拔出动作具体统计，具体包含事件类型、移动存放介质名称、用户、计算机IP地址、事件时间； 移动存放审计 设计对终端计算机大量文件拷贝行为可自主设定阈值，超出阈值不进行审计。如拷贝超出1000个文件不进行审计（这关键是因为这么大量拷贝行为通常不会是违规行为）；移动存放标签制作统计：对于在网络内使用移动存放设备（如U盘等）设置一个标签，不一样管理员能够取得不一样标签类型分配。当U盘接入到网络终端时，能够自动识别标签，假如识别经过，则该U盘能够使用，不然不可使用。 该设计利用商用密码技术，实现商用密码算法加密、解密和认证等功效技术，经过密码算法编程技术、密码算法芯片或加密卡等以实现移动信息保护、访问控制、审计监控等，以满足移动介质标识认证管理功效需求。 移动存放管理策略 3.4.3. 桌面终端管理设计实现 3.4.3.1. 桌面终端管理概述 网络终端安全是一个综合系统问题，包含管理计算机本身、计算机应用、计算机操作、计算机使用单位管理规范等多个方面。所以体系设计需采取C/S和B/S混合设计模式，并支持分布式布署，含有模块化定制，支持标准API、无缝功效扩展和升级等优点。设计应遵照网络防护和断点防护并重理念，对网络安全管理人员在网络管理、终端管理过程中所面临种种问题提供处理方案，实现内部网络终端可控管理。 北信源桌面终端管理体系强化了对网络计算机终端状态、行为和事件管理，并针对基础管理、资产管理、安全管理、运维管理、桌面管理、审计管理等提供模块化防护功效，并能够同其它安全设备进行安全集成和报警联动。 终端安全模型图 3.4.3.2. 桌面终端管理方案及思绪 桌面终端管理需从使用人基础信息开始统计，同时包含IP地址、MAC地址、软硬件资产、进程信息、软件信息、密码信息、杀毒软件、计算机资源、流量信息等方面进行统计，形成立体式数据库，当发生信息改变或资源报警时，能够第一时间通知管理人员，便于排查错误，并能够提供给管理人员对应应急方法和手段，帮助管理人员快速处理问题。桌面终端管理具体功效还应包含以下功效。 应用界面 1. 终端注册管理 该设计采取C/S和B/S模式混合管理方法，在被管理桌面计算机上安装VRVEDP用户端程序。在安装用户端程序需要填写目前计算机使用人个人相关信息，如使用人、单位、部门、联络电话、邮件、所在地、计算机类型等，进行实名化管理便于快速定位，不管是违规，还是网络安全事件发生时全部能够快速定位到事件源。 个人信息填写 填写个人相关信息会上报到服务器，保留在后台数据库里，供前台管理平台查询，实现实名化管理。 实名化管理示意图 2. 非法外联监控管理功效 1. 网络内部终端非法外联互联网行为监控 终端非法外联互联网行为监控：对于已注册设备，经过不一样方法（如双网卡、代理、无线、手机、手机蓝牙等）连接互联网进行通讯，能够自动阻断其连接行为并报警。北信源产品不关心违规计算机目前采取何种方法违规外联，只关心违规计算机是否含有违规外联（连接互联网）能力，一旦含有连接互联网能力即认为违规外联时间发生，立即采取事先设置处理手段处理，如断网、重启电脑等处理手段，同时统计违规事件上报服务器端。 2. 网络内部终端非法接入其它网络行为监控 对于已注册设备，监控其网络连接行为，依据接入网络环境原因判定其是否非法接入其它网络。 3. 离网（带外）终端非法外联互联网行为监控 对于已经注册计算机，非法带出到另外一个网络行为进行监控，发觉有外联互联网行为时能够采取警告、阻断、自动关机等操作，同时统计违规事件，在计算机重新接回网络时立即上报到服务器端。 假如对带外终端非法外联行为要求报警时效性高，北信源提供外网报警服务器组件，带外计算机一旦连接互联网，外网报警服务器即能收到违规外联报警信息。 4. 非法外联行为告警和网络锁定 假如终端非法入网，能够在报警平台和报警查询处获知信息，而且能够对终端提醒信息，自动关机，阻断联网等处理。 5. 非法外联行为取证 对于非法外联行为进行实时告警功效，同时统计该行为发生事件、IP地址、MAC地址、使用人等相关信息上报到服务器进行统计取证。 终端非法外联管理 3. IP和MAC绑定管理 对固定IP网络MAC和IP地址进行绑定管理，当探测到IP改变后依据策略设置恢复其原有IP地址，或阻断其联网，同时严禁修改网关、禁用冗余网卡。 IP、MAC绑定策略 4. 外设接口使用管理 在实际办公应用中，部分计算机外设接口不许可使用。北信源产品经过对接口驱动程序进行操作控制以达成严禁外设接口目标。能够对常见外设接口进行控制，如光驱、软驱、USB接口、打印机、调制解调器、串/并口、冗余硬盘等。 外设接口策略配置 接口禁用效果示意图 5. 杀毒软件管理 北信源产品能够识别市场上常见10余种杀毒软件品牌，如VRV杀毒、金山、瑞星、诺顿、卡巴斯基、趋势、KILL、NOD32等。能够监控多种杀毒软件运行状态、病毒库升级状态，并能够经过远程调用杀毒软件进行杀毒。 杀毒软件运行状态监控 杀毒软件识别 杀毒软件安装情况 经过杀毒软件管理能够帮助武汉船用机械有限责任企业管理员清楚知道网络内计算机杀毒软件安装情况，运行情况，和病毒库升级情况。 6. 严禁修改网关、禁用冗余网卡管理 支持严禁修改网关、禁用冗余网卡等功效。 7. 硬件资产管理 自动搜集包含CPU、内存、硬盘分区总和、设备标识大小和其它具体信息和其它如主板、光驱、软驱、显卡、键盘、鼠标、监视器、红外设备、键盘等全部硬件信息。 硬件资产管理 当内存、硬盘、CPU、主机名发生改变时，接入非法U盘时，北信源系统会提供报警信息，报警信息可采取声音、邮件、短信等方法发送到管理员计算机上。 8. 软件资产管理 自动发觉识别用户端安装全部软件信息（名称、版本、安装时间、发觉时间等），将相关数据入库，检测用户端运行软件信息，供管理员在Web控制台查询。 软件资产管理 9. 软、硬件设备信息变更管理 报警未注册设备、注册程序卸载行为，实时检测硬件设备改变情况（如设备硬件改变、网络地址更改、USB设备接入等）。 10. 进程保护管理 对关键进程进行守护，预防因为意外或人为原因造成关键进程中止。 进程保护管理 11. 桌面密码权限管理 对终端密码管理权限改变及使用情况（包含密码长度、安全性、弱口令等方面）进行审计检验及报警，同时对不符合要求终端进行提醒或强制修改等处理，达成预防病毒及黑客入侵目标。 终端密码管理 终端权限管理 12. 终端统一防火墙 管理员在Web控制台对终端进行统一防火墙设置，对网络IP及协议访问进行限制，在网络内建立虚拟终端隔离区。 另外对于大型网络，网络用户端因为用户使用水平差异，会出现用户卸载甚至退出统一安装防病毒软件情况，也会出现有部分用户被遗漏，未安装防病毒软件情况。 管理员可利用Web控制台对终端所安装杀毒软件情况进行监控和管理，并能够对终端杀毒软件实施远程操作（病毒查杀、升级、软件安装等）。还可统一监控网络内防病毒软件（中国主流厂商均可）安装情况和使用状态，了解网络中病毒软件安装情况，必需时可经过此设计强制为用户端安装防病毒程序，假如需要，也可监控终端软件安装情况，并进行对应管理（如安装杀毒软件软件，强行升级病毒库、自动分发并自动实施病毒专杀工具等）。 终端防火墙管理 13. 终端实时管理 经过点对点控制，实现对计算机实时管理，可查看被控计算机目前运行进程（选定进程远程结束）、运行服务（修改服务开启方法）、网络进程及端口、软件安装、漏打系统补丁、运行资源占用、系统账户组/账户、系统日志、共享目录查看（远程关闭共享）、策略实施状态、终端访问审计、修改网络配置、修改个人信息、重启计算机、在线卸载用户端、远程控制（屏幕监控）等。 进程查看 网络进程及端口 共享目录查看 终端访问审计 修改网络配置 远程系统维护（屏幕监控） 在远程系统维护下还能实现对计算机截屏、文件传输（系统维护时直接发送驱动、更新文件到受控计算机上、即时文字聊天等）。 双向文件传输 即时文字聊天 14. 终端在线/离线策略管理 提供针对不一样网络接入情况，设定终端在线、离线策略。当终端处于不一样网络中，能够实现不一样实施策略。 15. 运行资源监控 在Web控制台对终端CPU、内存、硬盘资源占用率和剩下空间进行监控，设定危险等级报警阀门。 终端运行资源管理 16. 流量管理和控制 蠕虫病毒和BT下载等行为在很多情况下会严重占用网络带宽，造成网络拥塞甚至瘫痪，对此可利用流量进行管理和监控。 关键功效： l 流量采样阈值设定：用户自主设定采样阈值，当流量（含出、入或总流量）超出一定程度并连续一定时间后，进行相关信息上报，预防上报数据过多给网络带来负担。 l 上报目前流量进行汇总，对目前流量进行时实排序，方便网络管理人员进行快速分析是否是网络安全事故。 l 对网络用户端历史流量进行统计和排序，并可生成报表。 l 对并发连接数设定阈值并进行采样。 l 对网络扫描可疑行为进行阈值设定和报警。 l 对用户端大量发包可疑行为进行阈值设定和报警。 l 对含有可疑行为用户端进行报警上报、自动阻断、用户端提醒等管理。 l 设定网络用户端流量上限阈值，对超出进行报警上报、自动阻断、用户端提醒等管理。 终端流量采样管理 17. 流量异常监控 在Web控制台对终端网络流入、流出和总流量进行监控和管理。并能够对产生总流量过大、分时段瞬时流量过大进程进行统计，辅助分析产生流量过大原因。 终端流量异常管理 18. 进程异常监控 在Web控制台对终端未响应窗口进行监控并结束或重启该进程，对意外退出进程进行监控和保护。 进程异常管理 19. 用户端文件备份 针对终端计算机进行数据实时备份，将本机计算机目录文件数据实时或定时备份到数据服务器或其它计算机上存放。针对局域网服务器数据存放等提供安全数据同时备份处理方案。 系统日志审计 4. 方案总结 本方案基于北信源VRV SpecSEC终端安全管理体系关键理念，经过对终端用户网络接入管理、补丁及软件分发管理、移动存放介质管理、桌面终端管理、终端安全审计等安全管理组件对终端安全一体化处理方案进行了具体叙述。 同时，经过北信源集中管控和策略平台（EDP SERVER）对上述组件包含到功效模块和产品进行集成化管控；最终实现对内网授权终端用户可控、可管、可审计，从而形成了完整终端安全管理体系，为整个网络系统信息安全管理体系建设打下坚实基础。 5. 附录：系统硬件要求 用途 软硬件要求 数量 一、内网安全管理及补丁分发系统 内网服务器：安装内网安全管理及补丁分发系统管理控制中心 操作系统： Windows Server+SP1补丁+IIS 或Windows Server 数据库系统： SQL Server +SP4补丁或SQL Server 或SQL Server 硬件配置：志强 2.0G或以上 ，2GB内存，硬盘300G或以上 1台 外网补丁下载服务器：安装补丁下载服务器，实时跟踪新补丁公布 操作系统： Windows Server或Windows XP 硬件配置：P IV 2.0G或以上 ，512MB内存，硬盘20G或以上 1台 二、用户端计算机性能要求 用于安装内网安全管理及补丁分发系统用户端代理程序 操作系统： Windows 、Windows XP（含64位）、Windows 、Windows （含64位）、Vista和Windows 7等系统 硬件配置：P III 500 或以上 ，512MB内存或以上，系统盘剩下空间不少于500MB 根据网络内实际终端数量核定 6. 预算 产品名称 模块 单价 数量 小计 备注 北信源内网安全管理及补丁分发系统V6.6 管理控制中心 10000.00 1个 10000.00 内网安全管理系统：资产统计、外设端口管理、违规外联监控、软件使用控制、远程维护、终端安全管理等； 500.00 100用户端 50000.00 补丁及文件分发系统：操作系统补丁更新，文件及软件分发； 移动存放管理系统：对U盘、移动硬盘进行注册分权限管理； 服务器：浪潮 NF5270M3 1颗至强四核E5-2620V2（2.1GHZ/6C/7.2GT/15M L3)处理器，最大支持2颗；内存：2*8GB，Registered ECC DDR3硬盘：3块1TB SAS(2.5寸），RAID卡：SAS+KEY,支持RAID 0， 1， 5，10 ，光驱：DVDRW光驱；网络接口：集成2个高性能千兆以太网控制器，支持虚拟化加速、网络加速、负载均衡、冗余等高级功效；电源：700W冗余双电源 38000.00 1台 38000.00 累计 98000.00