湖南电信计算机终端安全管理平台解决方案.doc

湖南电信终端安全保障 解决方案建议书 项目概述 湖南省电信公司网点机构的终端数目众多，遍布各个角落，分布较广。没有一套统一的能够将所有终端纳入安全管理与审计的技术系统与安全管理制度，安全事件各地方时有发生，可无法上报到上一级机构，无法进行统一管理。 为适应业务发展需要，规范IT 安全管理，有效控制内网风险，完善安全审计功能，符合监管当局的内部网络安全要求，湖南省电信实施本次“终端安全管理平台”项目。 概括来说，湖南省电信公司通过内网终端安全体系建设，将实现以下的目标： 保障业务连续性，促进业务稳定发展（根本目标） 保证内网终端的安全性、可控性、统一管理性、稳定并可扩展性（直接目标） 构建技术与管理相结合的全方位、多层次、可动态发展的全网终端安全使用规范体系 针对湖南省电信公司的项目情况，提出了采用“集中控管、分域自治、子承父控、策略同步”的设计原则的终端安全管理平台的解决方案。 目录 TOC \o "1-3" \h \z \u 项目概述 2 一、 概述 4 二、 目前存在的信息安全隐患 4 三、 我们建议的解决方案 5 1. 保障内网边界安全，确保生产网不被外网非法控制 5 2. 解决客户端使用资源异常，保障日常运维管理 6 3. 解决办公生产网计算机违规外联、保障边界问题： 6 4. 解决移动存储设备监控使用问题 6 5. 解决网络安全的根本问题 6 6. 解决终端行为可控的问题 7 7. 采用远程维护可以降低较大管理成本 7 8. 解决终端各种行为操作审计问题 7 四、 解决方案说明 7 4.1 全网终端安全统一管理总体思路 7 4.2 解决方案系统架构 9 五、 功能模块说明 10 5.1 资产安全 10 5.2 客户端运维管理 13 5.3 补丁安全 14 5.4 应用安全 16 5.5 远程维护 18 5.6 安全检查及加固 19 5.7 外联安全 21 5.8 外设安全 23 5.9 网络安全 24 5.10 系统功能模块－首页 26 5.11 系统功能模块－注册管理 27 5.12 系统功能模块－报警事件 29 5.13 系统功能模块－查询统计 30 5.14 系统功能模块－策略中心 32 5.15 系统功能模块－任务中心 36 5.16 系统功能模块－系统设置 37  概述 根据最近客户经常反应业务系统运行很缓慢，业务部门反应网络速度时断时续，以及奥运后我国重要国家部门、重大基础设施的信息安全保障形势将日趋严峻的现状，信息产业部强调，把通信业信息科技风险纳入总体风险监管框架，切实加强制度建设和风险监控，确保运营商业务信息系统安全稳定运行，提供优质业务运维服务。 目前省公司下面营业网点分布广，终端设备数量多。每个营业厅下属计算机都在100台左右，终端设备数量估计达到5000台左右，分布在长沙市区、各街道、乡镇、营业所机构内，遍布长沙各个角落。虽然省公司在内网终端安全方面做了很多工作，部署了防火墙、安全VLAN的划分、病毒防护系统，但是经常有各营业所反应网络堵塞，业务系统很慢，不能从根源上解决相关的问题。 目前存在的信息安全隐患 营业厅的终端设备如果出现流量异常了怎么办？营业厅的电脑由于经常变换使用人员，很有可能被中毒或者中了木马，导致终端流量出现异常，并且没有办法判断与控制，能够集中平台报警吗？ 营业厅终端出现ARP欺骗现象，怎么快速定位并且隔离？出现ARP病毒最头疼了，因为一台机器发生ARP欺骗很可能会影响一片终端。怎么快速定位ARP病毒并且将带有ARP攻击的机器隔离呢？ 怎么限制营业厅机器不能擅自安装或者运行不允许的程序呢？ 普通营业员经常自己安装像连连看、俄罗斯方块等等小游戏程序，由于这些从外面带进来的程序没有被审查，授权，很容易是带病毒的程序。十分容易带来安全隐患，并且影响电信公司的整体形象。 一些营业厅机器不能使用U盘，如何保证呢？ 从安全或者保密角度考虑，一些营业厅机器不能使用U盘，但还是经常看到员工用U盘拷贝歌曲、游戏等等现象，如何保证U盘的安全使用？ 怎么知道内部机器是安全的呢？如何保证内部PC机的操作系统没有漏洞，补丁全部打齐呢？如何保证所有的机器杀毒软件版本及病毒库都更新到最新呢？如何来保证终端用户的账号密码是具有一定强度的呢？ 内部人员把机器带进带出内网了怎么办？如果工作人员把电脑带回家或者出差连接了互联网，进行了违规的外联操作，那么再次接回到我局办公信息网，很容易把木马、病毒带入。怎么来检查并且杜绝这种行为发生呢？ 如何及时了解机器状态呢？，如何才能知道所有内网PC或者外网PC的分布情况