某政府行業(yè)信 息化主要包括信息的采集、傳輸、存儲和應(yīng)用，這四個方面通過網(wǎng)絡(luò)有機成為一體，其中信息的采集、傳輸和存儲，一般稱為信息系統(tǒng)的基礎(chǔ)設(shè)施，主要為應(yīng)用提供 服務(wù)。目前應(yīng)用業(yè)務(wù)主要包括電子政務(wù)、水情測報預(yù)報、防汛指揮調(diào)度、水資源調(diào)度與管理、水質(zhì)監(jiān)控、水土流失監(jiān)測、建設(shè)管理、視頻會議等。

1.1 某政府行業(yè)信息化建設(shè)現(xiàn)狀

1.1.1 信息化重點工程建設(shè) 

? 國家防汛抗旱指揮系統(tǒng)

? 國家水資源管理信息系統(tǒng)

? 全國水土保持監(jiān)測網(wǎng)絡(luò)和管理系統(tǒng)

? 中國農(nóng)村水利管理信息系統(tǒng)

? 水利建設(shè)與水庫移民管理信息系統(tǒng)

? 水利電子政務(wù)系統(tǒng)

? 國家水利數(shù)據(jù)中心

? 水利網(wǎng)絡(luò)與信息安全保障系統(tǒng)

1.1.2 信息化制度建設(shè)  

《水利信息網(wǎng)絡(luò)運行管理辦法》、《水利部政務(wù)內(nèi)網(wǎng)管理辦法》、《水利部政務(wù)內(nèi)網(wǎng)身份認(rèn)證系統(tǒng)及數(shù)字身份證書管理規(guī)定》和《水利部政務(wù)內(nèi)網(wǎng)命名及IP地址分配規(guī)定》等一批管理辦法出臺并實施。 

1.1 當(dāng)前某政府行業(yè)信息化工作

某政府行業(yè)信息化建設(shè)的近期主要任務(wù)是： 

1.基本建成覆蓋全國水利系統(tǒng)的水利信息網(wǎng)絡(luò)，全面開發(fā)水利信息資源，建設(shè)和完善一批水利基礎(chǔ)數(shù)據(jù)庫。

2.健全信息化管理體制，形成法規(guī)、標(biāo)準(zhǔn)規(guī)范和安全體系框架，全面提供準(zhǔn)確、及時、有效的信息服務(wù)。

3.重點建設(shè)國家防汛抗旱指揮系統(tǒng)、國家水資源管理決策支持系統(tǒng)、國家水質(zhì)監(jiān)測和評價信息系統(tǒng)、全國水土保持監(jiān)測與管理信息系統(tǒng)、全國水利政務(wù)信息系統(tǒng)等，并部署實施其他應(yīng)用系統(tǒng)的建設(shè)。

4.建立水利信息化教育培訓(xùn)體系，加快水利系統(tǒng)內(nèi)部專業(yè)技術(shù)人員的選拔培養(yǎng)，為今后的發(fā)展奠定人才基礎(chǔ)。 

今后3~5年，水利信息化發(fā)展的總體目標(biāo)：一是建成完善的水利信息化基礎(chǔ)設(shè)施，二是形成完善的水利信息化業(yè)務(wù)應(yīng)用體系，三是建立完善的水利信息化保障環(huán)境。 

 2、某政府行業(yè)行業(yè)終端安全建設(shè)依據(jù)

某政府行業(yè)行業(yè)內(nèi)網(wǎng)終端安全管理建設(shè)將主要遵循和參照如下信息安全法律法規(guī)、政策要求和安全標(biāo)準(zhǔn)，及其他相關(guān)規(guī)定和標(biāo)準(zhǔn)： 

?《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)技術(shù)要求》（GB/T 22239-2008）

2008年頒布的信息安全等級保護(hù)國家標(biāo)準(zhǔn)——《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)技術(shù)要求》中，在邊界完整性檢查、主機安全、身份鑒別、安全審計、數(shù)據(jù)安全與備份恢復(fù)等幾個方面明確規(guī)定了必須對內(nèi)網(wǎng)終端計算機應(yīng)采取安全管理、準(zhǔn)入控制管理、非法外聯(lián)控制、身份認(rèn)證、安全審計管理、文件加密保護(hù)、介質(zhì)管理、資產(chǎn)管理等相關(guān)措施。 

?《水利信息網(wǎng)運行管理辦法》水辦[2006]495號

該辦法明確提出“接入水利信息網(wǎng)政務(wù)外網(wǎng)”的水利行業(yè)各單位要加強網(wǎng)絡(luò)安全管理，落實網(wǎng)絡(luò)安全責(zé)任制；定期分析、評估所屬網(wǎng)絡(luò)的安全狀況，配備網(wǎng)絡(luò)安全設(shè)施，制定有效的安全保障方案；加強網(wǎng)絡(luò)安全監(jiān)視，落實安全保障措施；明確專門的網(wǎng)絡(luò)安全管理人員，負(fù)責(zé)網(wǎng)絡(luò)安全管理工作。

政務(wù)內(nèi)網(wǎng)運行管理按照《水利部政務(wù)內(nèi)網(wǎng)管理辦法》（水辦[2006]254號）執(zhí)行。 

?《水利網(wǎng)絡(luò)與信息安全體系建設(shè)基本技術(shù)要求》

2010年水利部組織并審議通過的《水利網(wǎng)絡(luò)與信息安全體系建設(shè)基本技術(shù)要求》依據(jù)國家信息系統(tǒng)等級保護(hù)要求，結(jié)合水利信息化實際，提出“兩網(wǎng)三區(qū)四級”的水利網(wǎng)絡(luò)與信息安全體系框架和分區(qū)、分域防護(hù)的安全策略和各安全區(qū)域的安全要素，明確要求采取相應(yīng)措施實現(xiàn)各安全要素。 

3、某政府行業(yè)行業(yè)終端安全管理解決方案

本方案將通過對內(nèi)網(wǎng)終端計算機的桌面使用安全管理子系統(tǒng)、終端準(zhǔn)入控制子系統(tǒng)、終端身份認(rèn)證子系統(tǒng)、移動存儲介質(zhì)管理子系統(tǒng)，以及終端安全綜合審計等五個子系統(tǒng)進(jìn)行設(shè)計與闡述。 

3.1 某政府行業(yè)行業(yè)終端安全解決方案

3.1.1 桌面使用管理子系統(tǒng)

桌 面使用管理子系統(tǒng)用于評估并檢驗終端計算機的安全性，同時管理終端計算機的軟硬件資源，以及監(jiān)控終端計算機的運行狀態(tài)和外聯(lián)行為，完成對終端計算機的資產(chǎn) 管理、安全加固、外設(shè)管理、運行異常監(jiān)控與遠(yuǎn)程維護(hù)協(xié)助，確保經(jīng)過授權(quán)用戶能夠按照授權(quán)許可的安全策略正確地使用和操作終端系統(tǒng)。 

桌面使用管理子系統(tǒng)主要通過部署北信源內(nèi)網(wǎng)安全管理系統(tǒng)來評估并檢驗終端計算機的安全性，實行補丁檢測下發(fā)和防病毒軟件檢測等終端加固措施，提供軟硬件資源登記及終端設(shè)備變化報警、進(jìn)行遠(yuǎn)程維護(hù)、軟件進(jìn)程保護(hù)和終端流量監(jiān)控，以及非法外聯(lián)監(jiān)控等功能，防止通過其他途徑而造成的敏感信息的泄漏。 

北信源內(nèi)網(wǎng)安全管理系統(tǒng)工作流程

北信源內(nèi)網(wǎng)安全管理系統(tǒng)主要實現(xiàn)功能如下：
 

l 能夠?qū)K端電腦硬件資源、軟件資源，以及軟、硬件資源變更的信息統(tǒng)一與管理；能夠解決終端電腦外圍設(shè)備（軟驅(qū)、光驅(qū)、刻錄機、U 盤、移動硬盤、撥號連接、無線上網(wǎng)、紅外傳輸、藍(lán)牙、串并口、打印機等）的使用管理與控制；
 

l 能夠?qū)?/span>終端電腦軟件安裝、進(jìn)程運行、服務(wù)加載的監(jiān)控與保護(hù)的安全問題；能夠快速有效地定位網(wǎng)絡(luò)中病毒、蠕蟲、黑客的引入點，及時、準(zhǔn)確地切斷安全事件發(fā)生點和網(wǎng)絡(luò)；
 

l 能夠?qū)K端電腦登錄密碼、用戶權(quán)限、IP訪問控制、IE安全設(shè)置、注冊表監(jiān)控與保護(hù)的安全問題；對終端電腦運行資源、異常流量、異常進(jìn)程的監(jiān)控與管理；
 

l 能夠?qū)K端補丁安裝進(jìn)行管理，能夠統(tǒng)計每臺終端補丁安裝情況，能夠根據(jù)補丁策略選擇補丁自動分發(fā)和人工選擇補丁分發(fā)，根據(jù)不同需要制定不同策略實現(xiàn)補丁的自動分發(fā)。
 

l 能夠?qū)K端安裝防病毒軟件進(jìn)行管理，監(jiān)控終端是否安裝殺毒軟件，安裝哪款殺毒軟件、殺毒軟件是否運行等。
 

l 能夠?qū)K端用戶的非法外聯(lián)進(jìn)行管理，如未經(jīng)允許私自連入單位內(nèi)非授權(quán)網(wǎng)絡(luò)或者外聯(lián)網(wǎng)的行為；并可以監(jiān)控受控終端離開受控網(wǎng)絡(luò)后，是否有違規(guī)連入外聯(lián)網(wǎng)等行為。 

通過對終端計算機的桌面使用安全管理，最終實現(xiàn)對終端計算機的安全使用控制與管理，實現(xiàn)對終端計算機的資產(chǎn)登記與管理，防止終端用戶非法外聯(lián)，保證終端計算機的使用和運行安全。| 

3.1.2 終端準(zhǔn)入控制子系統(tǒng)

終端安全準(zhǔn)入控制的核心思想在于屏蔽一切不安全的終端計算機接入網(wǎng)絡(luò)，或者規(guī)范用戶接入網(wǎng)絡(luò)的行為。它主要用于管理所有非內(nèi)網(wǎng)終端試圖接入內(nèi)網(wǎng)或其他網(wǎng)絡(luò)的行為，以及行業(yè)內(nèi)網(wǎng)終端離開本地內(nèi)網(wǎng)，接入行業(yè)內(nèi)其他單位內(nèi)網(wǎng)的漫游行為控制。 

終端安全準(zhǔn)入控制管理子系統(tǒng)主要通過應(yīng)用北信源網(wǎng)絡(luò)接入控制管理系統(tǒng)來完成對未知終端、授權(quán)終端的安全準(zhǔn)入管理與控制。該系統(tǒng)能夠完成基于802.1x協(xié)議的準(zhǔn)入控制技術(shù)、基于ARP協(xié)議的分布式阻斷技術(shù)、基于虛擬強制隔離的準(zhǔn)入控制技術(shù)等多種環(huán)境下的安全準(zhǔn)入管理控制，為內(nèi)網(wǎng)終端的安全接入控制提供了一道綠色的保護(hù)屏障。

終端接入控制管理流程圖 

北信源網(wǎng)絡(luò)接入控制管理系統(tǒng)能夠確保終端電腦只有在安裝終端安全管理組件，并符合必要的安全策略的前提下才能被允許接入內(nèi)部網(wǎng)絡(luò)，否則會強制終端電腦跳轉(zhuǎn)到訪客隔離區(qū)，待完成終端管理軟件的下載和安裝成功后，且符合既定安全策略要求時才可準(zhǔn)許接入內(nèi)部網(wǎng)絡(luò)。必要的安全策略包括： 

? 終端電腦只有在安裝主流防病毒軟件，并且升級到最新病毒庫的前提下才能被允許接入內(nèi)部網(wǎng)絡(luò)；否則會強制終端電腦跳轉(zhuǎn)到指定安全修復(fù)區(qū)進(jìn)行病毒軟件安裝和病毒庫升級等修復(fù)動作，修復(fù)完成后且符合既定安全策略要求時準(zhǔn)許接入內(nèi)部網(wǎng)絡(luò)； 

? 終端電腦只有在安裝必要的OS補丁或者應(yīng)用程序補丁的前提下才能被允許接入內(nèi)部網(wǎng)絡(luò)；否則會強制終端電腦跳轉(zhuǎn)到指定安全修復(fù)區(qū)進(jìn)行補丁軟件安裝和升級等修復(fù)動作，修復(fù)完成后且符合既定安全策略要求時準(zhǔn)許接入內(nèi)部網(wǎng)絡(luò)；

終端安全準(zhǔn)入控制實現(xiàn)示意圖如下：

終端安全準(zhǔn)入控制實現(xiàn)示意圖

通過對終端安全準(zhǔn)入控制管理，最終實現(xiàn)對終端計算機的安全控制與合規(guī)性管理，實現(xiàn)終端系統(tǒng)的可管理性、可控性，杜絕不安全的終端電腦在網(wǎng)絡(luò)中的運行，防止各種不安全因素在網(wǎng)絡(luò)中運行而造成的敏感數(shù)據(jù)泄漏的風(fēng)險。

3.1.3 終端身份認(rèn)證子系統(tǒng) 

終端身份認(rèn)證子系統(tǒng)用于識別和確認(rèn)終端用戶的身份信息，完成對終端用戶的身份鑒別，確保只有合法的終端用戶才能使用終端計算機，避免非授權(quán)用戶擅自使用終端計算機系統(tǒng)。

終端身份認(rèn)證子系統(tǒng)通過北信源安全登錄與監(jiān)控審計系統(tǒng)來完成對終端用戶的身份鑒別，確保只有經(jīng)過合法驗證的終端用戶才能使用終端計算機。

該產(chǎn)品是綜合利用登錄身份認(rèn)證、文件系統(tǒng)加密等核心技術(shù)開發(fā)的身份認(rèn)證授權(quán)保護(hù)系統(tǒng)。該產(chǎn)品認(rèn)證工作流程如下圖：

認(rèn)證工作流程示意圖

首先，它通過硬件(USBKey)和軟件(USBKeyClient)相結(jié)合的方式實現(xiàn)了物理身份與用戶身份的雙重認(rèn)證；同時還能夠?qū)?/span>USBKey與操作系統(tǒng)不同權(quán)限用戶的綁定，實現(xiàn)對USBKey的權(quán)限劃分。

其次，采用的登錄key能夠與計算機管理相互結(jié)合，如拔除實時鎖屏管理，屏保鎖屏管理，注銷鎖屏管理；同時，還能夠禁止在安全模式下通過key進(jìn)行登錄。由于USBKey本身的唯一性，從而保證了登錄用戶的唯一性。

通過終端身份認(rèn)證管理子系統(tǒng)可以完成對終端用戶的身份認(rèn)證與授權(quán)管理，防止非法用戶或非授權(quán)用戶擅自終端計算機而造成的數(shù)據(jù)信息的失密、竊密事件發(fā)生。

3.1.4 移動存儲介質(zhì)管理子系統(tǒng)  

移動存儲介質(zhì)管理子系統(tǒng)主要完成對移動存儲介質(zhì)規(guī)范化的管理，實現(xiàn)內(nèi)部的移動存儲介質(zhì)未經(jīng)授權(quán)無法在外部使用,而外部的移動存儲介質(zhì)未經(jīng)許可則不能在內(nèi)部使用的管理控制,最大限度保障移動存儲介質(zhì)的安全使用，避免網(wǎng)絡(luò)病毒的肆意傳播、敏感信息的泄漏。

移動存儲介質(zhì)管理子系統(tǒng)將通過北信源移動存儲介質(zhì)使用管理系統(tǒng)來完成對各類移動存儲介質(zhì)的授權(quán)管理與控制。它通過為移動存儲介質(zhì)標(biāo)記不同的控制標(biāo)簽來劃分成任意容量的交換區(qū)和保密區(qū)，且需要通過密碼認(rèn)證才可以訪問。該產(chǎn)品自帶USB標(biāo)簽制作工具，能夠?qū)σ苿哟鎯橘|(zhì)進(jìn)行保護(hù)和加密，對移動存儲設(shè)備進(jìn)行使用范圍授權(quán)，訪問控制等綜合的管理。 

北信源移動存儲介質(zhì)管理應(yīng)用示意圖

北信源移動存儲介質(zhì)使用管理系統(tǒng)主要實現(xiàn)功能如下：

? 能夠?qū)σ苿哟鎯υO(shè)備統(tǒng)一進(jìn)行接入認(rèn)證管理，能夠支持終端識別指定的移動存儲設(shè)備。

? 能夠?qū)Υ鎯橘|(zhì)進(jìn)行分區(qū)管理，能夠通過標(biāo)簽方式將存儲介質(zhì)分為交換區(qū)和保密區(qū)，并可靈活設(shè)置分區(qū)大小、訪問密碼，數(shù)據(jù)存儲方式均為加密存儲。

? 能夠?qū)Υ鎯?shù)據(jù)采取加密管理方式，如采用AES加密算法對存儲數(shù)據(jù)進(jìn)行加密。

? 能夠?qū)σ苿哟鎯橘|(zhì)的讀寫權(quán)限進(jìn)行管理；能夠通過對移動存儲介質(zhì)寫入標(biāo)簽，實現(xiàn)分級權(quán)限控制。

? 具備移動存儲介質(zhì)審計和文件操作審計功能，能夠?qū)σ苿哟鎯Φ牟灏蝿幼鬟M(jìn)行審計；能夠?qū)ξ募僮鞯母鞣N行為進(jìn)行審計，包括讀、寫、刪除、修改、拷貝等。

3.1.5 終端安全審計子系統(tǒng)

終端安全審計子系統(tǒng)采用北信源主機監(jiān)控審計系統(tǒng)實現(xiàn)對終端用戶訪問行為、設(shè)定目錄文件的操作行為、共享文件的輸出行為，以及對終端用戶的打印行為進(jìn)行統(tǒng)一監(jiān)控與綜合審計。最終實現(xiàn)對終端操作行為、遠(yuǎn)程訪問行為的集中記錄與審計，便于對各種事件信息的統(tǒng)計分析和事后跟蹤、追查。

終端安全審計管理子系統(tǒng)通過集中統(tǒng)一的管控和審計平臺，完成對上述子系統(tǒng)的統(tǒng)一策略配置與下發(fā)、集中管理與審計。 

3.2 水利行業(yè)終端安全解決方案組件 

3.3 終端安全管理部署結(jié)構(gòu)

終端安全防護(hù)建設(shè)拓?fù)涫疽鈭D

4、方案總結(jié)

本方案基于某政府行業(yè)行業(yè)的信息化現(xiàn)狀與發(fā)展，結(jié)合其重要的應(yīng)用系統(tǒng)，通過對內(nèi)網(wǎng)終端計算機的桌面使用安全管理子系統(tǒng)、終端準(zhǔn)入控制子系統(tǒng)、終端身份認(rèn)證子系統(tǒng)、移動存儲介質(zhì)管理子系統(tǒng)，以及終端安全綜合審計等子系統(tǒng)的安全防護(hù)進(jìn)行了詳細(xì)闡述，形成了具有某政府行業(yè)行業(yè)特點的終端安全管理防護(hù)一體化解決方案。

同時，通過北信源集中管控與策略平臺（EDP SERVER）對上述子系統(tǒng)進(jìn)行集成化的管控；最終實現(xiàn)對內(nèi)網(wǎng)授權(quán)終端用戶的可控、可管、可審計，從而形成了完整的終端安全管理體系，為整個網(wǎng)絡(luò)系統(tǒng)信息安全管理體系建設(shè)打下堅實的基礎(chǔ)。