一体化终端安全管控三年规划解决方案.docx
- 文档编号:15190472
- 上传时间:2023-07-02
- 格式:DOCX
- 页数:68
- 大小:2.16MB
一体化终端安全管控三年规划解决方案.docx
《一体化终端安全管控三年规划解决方案.docx》由会员分享,可在线阅读,更多相关《一体化终端安全管控三年规划解决方案.docx(68页珍藏版)》请在冰点文库上搜索。
一体化终端安全管控三年规划解决方案
中国人寿股份一体化终管控
设计规划
V1.3
2019年2月
1.安全现状
1.1.项目背景
网络空间安全通常被认为是计算机网络上的信息安全,是指网络系统的硬件如骨干网设备、终端设备、线路、辅助设备等)、软件(如操作系统、应用系统、用户系统等),及其系统中运行的数据、提供的应用服务不因偶然的、恶意的原因而遭到破坏、更改、泄露和失控。
首先,对于国寿股份终端信息网络而言,当DDos攻击、病毒、未知威胁、非法入侵、非法接入、敏感数据泄密、移动介质随意接入,以及电子信息战等越来越严重的影响到公众利益和国家利益的时候,网络空间安全(CyberspaceSecurity)也继国防安全、政治安全、经济安全、金融安全之后成为了国家安全体系中的一项重要内容,受到包括美国、欧洲和中国政府的高度关注。
其次,在国家行业信息化推进的大环境下,行业专网的运营安全在国民经济建设中日益显得举足轻重。
特别是在政府机关网络中,工作秘密的泄露会使政府机关工作遭受损失,带来不必要的被动;而国家秘密的泄露会使国家的安全和利益遭到严重损害,而泄密者受到降职、降衔的严肃处理,甚至移交司法机关处理。
同时,对于很多无意识泄密事件中,大多数都是由于外部终端设备随意接入内部网络引发安全事故、病毒木马防控不严、U盘等外设存储使用不当、擅自连接其他网络、重要文档被非授权访问和复制、XX而进行数据拷贝和光盘刻录,以及对存储敏感信息的介质和文件没有彻底消除而造成的。
由此,如何应对上述安全问题,减少直至杜绝内部敏感信息和重要数据的丢失而引发的安全事故,建设面向网络空间的、安全和谐的内网终端运行环境,则成为了中国人寿股份信息中心主管领导工作的重中之重。
1.2.面临挑战
Ø恶意攻击数量快速增加,攻击手段不断丰富,最新的未知威胁防不胜防:
如何防范未知威胁,抵御不同攻击手段和攻击途径带来的信息安全冲击?
2017年,国家信息安全中心发现了超过35亿次的恶意攻击,这个数量比2016年增加了70%。
此外,特殊恶意软件变种数量增加至160.1亿个,超过75%的恶意代码攻击都是有针对性的,仅仅依靠基于特征码的单一终端防护安全软件已经力不从心!
有必要利用最新的高级别先进的基于云的文件信誉对比技术和基于程序行为判断的主动防御方式来防止大量的未知恶意威胁。
Ø高级、有针对性的高危持续性攻击APT已蔓延至各类规模企业:
如何阻止不同的攻击手段?
不仅仅是防病毒!
需要多层次的综合防护考虑!
APT攻击:
“高危持续性风险”是2014年以来最有威胁的攻击手段,攻击者利用不同的针对性攻击手段做长时间的不同攻击尝试和潜伏。
有针对性的攻击正在不断增加,截至2015年底,有针对性攻击的数量从每日78个增加至89个。
有针对性的攻击利用社会工程学原理和定制化的恶意软件来非法访问敏感信息。
这些高级的有针对性的攻击过去一直以大型政府企业为首要目标。
Ø复杂混乱的应用与外接设备环境:
如何确保应用和设备的合法控制?
虽然很多分支机构信息技术部都根据自身的情况建立了完备的信息系统管理制度,但由于缺乏自动化、强制性的技术手段,这些管理制度往往变得流于形式——终端用户随意私自安装外来的应用程序,通过U盘等方式传播XX的资料,私自重新安装终端操作系统,XX将外来终端(笔记本电脑)接入企业业务网等等。
所有这些行为都带来一个结果,就是让企业的业务应用环境变得复杂、混乱,难以管理。
Ø繁琐的系统维护安全管理:
如何更有效利用有限的IT人力资源?
信息技术部的维护人员总是每天重复这样一些事情:
重装系统、打补丁、修改配置、安装应用软件、配置网络、配置应用参数……,这些事情不仅大量浪费了维护人员的时间,让他们没有精力去做更加重要的事情,而且让整个信息科的运维水平一直处于低层次重复的怪圈之中,无法有效提升信息系统管理运维能力。
Ø相互独立的安全软件:
如何保证安全策略的强制要求,统一管理和实施效果?
为了解决前面几方面的挑战,部分国寿用户采用了一些单点的防护软件解决方案,但这些工具却带来了新的问题。
如何确保新的安全软件的统一管理,拥有不同管理方式的软件将反而大大增加信息安全管理人员的复杂性和可操作性。
部署不同的安全软件,我们如何了解这些工具的实施效果?
如何让运维工作向标准化、流程化的更高阶段提升。
Ø终端接入不受控:
如何确保终端满足制定的终端安全策略?
传统的安全解决方案往往比较强调网关安全,所以很多国寿分支机构购买了防火墙、入侵检测与防御(IDS)等产品。
但当前更多的安全隐患来自终端——透过防御薄弱的终端,往往能够更加容易地接触到企业的核心内网,而终端使用者安全意识的缺乏为安全威胁打开了便利的大门。
虽然很多国寿分支机构都采用内外网隔离的方式进行基本的安全接入控制,但隔离策略往往因为内外网终端的接入监管不严格而无法有效执行。
Ø网页式攻击已成为最主流的攻击手法:
如何确保访问可靠网站?
网页式攻击系当有漏洞的终端浏览内嵌恶意代码的网页时,即于该终端植入恶意代码。
相较于传统的病毒扩散管道与攻击手法,网页式攻击不但更加隐密,且更难预测与防范。
而僵尸网络仍持续盛行,已成为散播垃圾邮件、架设网络钓鱼网站及发动分布式拒绝服务攻击(DDoS)的最佳途径。
Ø内外部有意无意的信息泄露将严重影响企业的声誉和重大经济损失
国内越来越多曝光的客户个人隐私数据,个人信息泄露事件受到公众和监管部门的关注和重视。
如何保证防止这类数据以及保险信息的泄露是国寿在数据防泄密上的主要关注对象,这些数据的泄露将严重影响中国人寿保险的声誉,监管上的违规,经济利益上的重大损失。
Ø法律法规监管的加强-如何确保进行的信息安全建设符合等保要求
《中华人民共和国刑法修正案(七)》第253条、第285条等对个人信息泄密的规定》;
《侵权责任法》第36条、第61条、第62条等对客户及人员要求妥善保管机密信息的规定;
Ø公安部“信息安全等级保护”对行业信息系统的信息安全保护要求;
随着国家各种相关法律法规对保险行业信息安全的规范逐步加强,保险信息中心在终端管理方面的重要性正在变得越来越高,但同时由于缺乏灵活、自动化的安全管理手段导致的被动境地也正在变得越来越明显。
如何更加主动地应对法律法规的监管,是信息部门今后工作重点之一。
1.3.应对策略
从网络空间应用接入方式来说,网络空间应用从传统的互联网应用接入发展到以移动/无线通信应用接入乃至移动互联网接入等多种方式。
而针对网络空间安全方面的问题,我们需要与具备多年产品开发与超大规模成功部署与应用经验基础经验的安全厂商共同合作,来组建面向网络空间的终端安全一体化管理体系。
该体系主要面向重要终端、网络、信息系统及基础设施的安全防病毒管控与失泄密检测防范,实现从终端、区域网到互联网的一体化检测、管理与防范。
该体系从终端病毒防护、终端身份认证、终端准入控制、终端可信管控制、终端数据防泄密,以及终端安全审计等方面,实现了多层次、全方位、立体化纵深检测与防范,形成了面向复杂网络空间的终端安全管理一体化解决方案,有效地实现了网络空间下对终端计算机的安全管理体系。
2.整体规划
2.1.安全理念
针对目前网络中终端计算机面临的各种安全问题,我方需要建立起面向网络空间的终端安全一体化管理体系。
终端安全一体化管理体系原则以PDCA分析过程模型为依据,遵循国家和行业等级保护,基于安全工程的思想,以独特的终端安全配置策略为核心,以终端安全风险测试与评估为依据,实现组件化可动态组合配置的终端安全管理。
其核心理念如下图所示:
一体化安全建设模型
终端安全管理体系核心理念:
Ø一体化安全基础能力(安全防护、安全合规、安全运维、信息保密、可信安全、业务安全)
Ø安全控制能力(检测与响应、命令与控制)
Ø安全治理能力(规则、决策、战略)
Ø组件化终端安全管理体系(Component-basedPlug-in/outSecurityArchitecture)
2.2.安全体系
本项目中,国寿的终端一体化安全体系需覆盖终端的资产安全管理、终端数据安全管理、终端可信安全管理、终端服务安全管理等多个方面,涉及管理计算机本身、计算机应用、计算机操作者、计算机使用单位管理规范等多个方面,形成全方位、多层次、立体化终端安全管理。
终端安全管理体系层次结构图如下所示:
终端一体化安全管理体系层次结构图
本方案正是基于上述核心理念和安全体系的基础上而组建的基于终端各方面安全管理和控制的一体化解决方案。
2.3.参考标准
本方案将主要遵循和参照如下信息安全法律法规、政策要求和安全标准,及其他相关规定和标准:
Ø《中华人民共和国保守国家秘密法》及相关法规
新修订的《中华人民共和国保守国家秘密法》及相关法规均对涉及保密行为做出明确的规定和要求,如一切国家机关、武装力量、政党、社会团体、企业事业单位和公民都有保守国家秘密的义务。
如何保证内网(业务专网)没有国家涉密信息,不会泄漏相关敏感信息,则必须采取相应的技术手段和管理手段来防止安全保密事件的发生。
Ø《信息安全技术信息系统安全等级保护技术要求》(GB/T22239-2008)
2008年颁布的信息安全等级保护国家标准——《信息安全技术信息系统安全等级保护技术要求》中,在边界完整性检查、主机安全、身份鉴别、安全审计、数据安全与备份恢复等几个方面明确规定了必须对内网终端计算机应采取终端安全管理、准入控制管理、非法外联控制、身份认证、安全审计管理、文件加密保护、介质管理、资产管理等相关措施。
Ø《信息安全技术信息安全风险评估规范》(GB/T20984-2007)
风险评估是以安全设计与建设为出发点,它的重要意义就在于改变传统的以技术驱动为导向的安全体系结构设计及详细安全方案制定,通过对用户关心的重要资产的分级、安全威胁发生的可能性及严重性分析、对系统物理环境、硬件设备、网络平台、基础系统平台、业务应用系统、安全管理、运行措施等等方面的安全脆弱性的分析,并通过对已有安全控制措施的确认,借助定量、定性分析的方法,推断出用户关心的重要资产当前的安全风险,并根据风险的严重级别制定风险处置计划,确定下一步的安全需求方向。
国家标准《信息安全技术信息安全风险评估规范》提出了风险评估的基本概念、要素关系、分析原理、实施流程和评估方法,以及风险评估在信息系统生命周期不同阶段的实施要点和工作形式。
Ø《信息技术安全技术信息技术安全性评估准则》(GB/T18336)
GB/T18336《信息技术安全技术信息技术安全性评估准则》(等同于ISO/IEC15408,通常也简称通用准则——CC),该标准是评估信息技术产品和系统安全特性的基础准则。
它提出了目前公认的表述信息技术安全性的结构,即把安全要求分为规范产品和系统安全行为的功能要求以及解决如何正确有效的实施这些功能的保证要求。
功能和保证要求又以类——子类——组件的结构表述,组件作为安全要求的最小构件块,可以用于保护轮廓、安全目标和包的构建,例如由保证组件构成典型的包——评估保证级。
Ø《信息技术安全技术信息安全管理体系要求》(ISO/IEC27001:
2005)
在信息安全管理体系方面,国际标准ISO27001:
2005已经成为世界上应用最广泛与典型的信息安全管理标准。
目前国家已经等同采用该国际标准成为国家标准《信息技术安全技术信息安全管理体系要求》(GB/T22080-2008)。
它详细说明了建立、实施和维护信息安全管理体系的要求,指出实施机构应该遵循的风险评估标准。
Ø《信息技术安全技术信息安全管理实用规则》(ISO/IEC27002:
2005)
信息安全管理使用规则ISO27002:
2005综合了信息安全管理方面优秀的控制措施,为组织在信息安全方面提供建议性指南。
目前我国已经等同采用了ISO27002:
2005国际标准,成为了国家标准《信息技术安全技术信息安全管理实用规则》(GB/T22081-2008)。
在本方案的设计与实现中,也同样遵循和参考上述两个信息安全管理体系的实践和要求。
Ø其它有关法律法规和规范制度要求
3.终端安全管理体系设计
3.1.方案设计思路
本项目中,中国人寿股份信息中心将依据业界最佳安全实践和行业信息安全管理体系的建设流程,结合针对国寿项目的核心安全理念,将方案总体架构设计为“安全综合防护系统、统一运维管理系统、身份接入认证系统、威胁检测与响应系统、数据安全系统”等安全管理组件,并通过统一、联动的安全管控与审计平台实现对不同层次架构的集中策略配置与管理,完成对网络终端的分级部署、统一管控,最终实现对内网终端全方位的控制管理,形成完整的终端安全管理体系。
整体方案结构图
具体解决思路如下:
Ø终端安全综合防护
用于评估并检验全网范围内终端计算机的防病毒能力及安全性,通过病毒云查、恶意URL检测与智能分析等技术,避免不符合安全策略和有威胁漏洞的终端计算机成为内部网络的攻击面。
Ø终端统一运维管理
统一运维管理主要对终端用户的应用软件使用控制、网络使用控制、带宽使用控制等各种应用及网络访问使用进行管理和控制。
通过上述对终端的行为管控,实现对终端网络访问行为的可管、可控,保障软件供应链合规、网络访问、网络流量的安全与顺畅。
同时管理终端计算机的软硬件资源,以及监控终端计算机的运行状态和外联行为,完成对终端计算机的资产管理、安全加固、外设管理、运行异常监控与远程维护协助,确保经过认证授权的用户能够按照授权许可的安全策略正确地使用和操作终端系统。
Ø接入身份认证
准入功能用于识别和确认终端用户的身份信息,完成对终端用户的身份鉴别,确保只有合法的终端用户才能使用终端计算机,同时结合“终端使用控制安全管理组件”完成对终端用户的授权管理,便于后续的授权访问策略的制定和执行,避免非授权用户使用终端计算机而引起的数据泄密。
Ø未知威胁检测与响应
针对于高级威胁进行快速检测和响应的终端安全系统,它可以持续洞察内网终端的安全活动信息,并结合国内最大的大数据威胁情报等线索对内网沦陷终端进行快速的检索和定位,提供针对威胁事件的自动化响应和修复能力,在对抗高级威胁中获得更好的效果与更快的效率,最大限度压缩攻击者的攻击时间,减少高级威胁最终达到目的可能性。
Ø终端数据安全
针对内部数据资产,按照相应的授权级别和终端安全管理策略完成对授权用户的操作行为控制和文件加密管理(包括文件操作行为控制、移动存储介质使用控制、电子文档权限控制、光盘刻录行为控制以及保密信息检查控制),确保授权终端用户对不同的应用系统、不同的目录和文件进行可控操作和访问,实现授权终端用户的可信访问控制,避免引发的重要文件信息泄漏事故。
3.2.建设规划框架
任何一个安全工作的落实,都依赖于组织(人)、技术、流程作为支撑,终端安全的建设也不例外,最终是要落实企业上述终端建设目标。
分解上述国寿股份公司的终端安全建设的目标。
依据Gartner的建议,结合国内的实际情况,中国人寿股份公司信息中心提出了从终端、网络、系统、数据、行为,乃至终端整体管理几个方面的全方位终端安全总体建设框架(如下图所示),并提出了相应的三年规划内容。
终端安全建设总体框架
就上述终端安全整体建设总体结构思路来看,分为两个大层次,五个方面:
●第一层:
安全专业防护层:
从终端个体在信息系统中的可能发生的各种行为,以及相应的各种威胁角度,提供对应的安全技术手段。
技术手段又分为4个方面:
1)端点安全保护:
这是终端安全的基础,保持终端自身的良好环境,防止各种途径的外部入侵和攻击,是降低企业整体风险的一个基本条件。
2)终端准入控制:
在终端自身系统保护条件基础上,对各类受控和不受控终端入网进行网络层面的准入控制是有效防范病毒、蠕虫传播,防止风险进一步扩大,同时也是企业进一步落实终端安全策略的一个重要的手段。
3)终端可信管控:
终端自身系统的保护并不能解决来自对互联网应用的安全威胁,这个威胁包括了来自不可信网页访问给终端带来的各类威胁,还包括了内部员工滥用网络资源进行盗版软件下载等威胁,加强终端用户的可信管理和内容访问的管理,是进一步增强终端安全的一个重要内容。
4)信息防止外泄:
终端在自身环境和网络层面的管控得以保障后,进一步的在终端进行操作、存储的各类数据信息层面需要具备相应的安全手段加强防护,以保证企业最关心的信息数据不被非法的访问和窃取。
●第二层:
安全集中管理层:
实现终端标准化管理和法规遵从,需要通过相应的技术支撑升段,才能达到高效的管理,最为主要的是集中管控和合规审计的手段。
1)集中管控:
在专业防护基础上通过提供安全管理、维护管理、数据管理等功能,实现终端的集中安全管控。
2)合规审计:
当在端点专业安全防护的各项功能中已经基本实现了终端的安全策略的执行,可以通过集中的日志和安全事件管理,包括终端违规日志、操作日志、威胁行为日志等,形成集中的收集和综合分析,形成终端合规管理的报告。
4.终端安全整体建设方案
4.1.综述
我们整合了多年保险行业信息安全建设的经验,为中国人寿股份公司业务用户提供了一套完整的终端信息安全解决方案理念。
如上图所示,本项目中终端标准化模块、执行策略和分析评估是整个信息安全的基础,且终端类型包括PC,打印机,柜面排号机,大屏等。
同时,终端安全体系的建设是一个综合、复杂和循序渐进的过程。
完成初期终端安全综合防护、统一运维管理后,再进一步细化泛终端的身份可信、准入控制的安全能力,待安全综合评估管控等对主要风险的防御能力建设之后,可结合实际应用场景与管理诉求的不断变化,逐步考虑后续数据安全、终端威胁分析与响应系统、移动智能终端综合安全防护等方案的设计和建设,以达到体系日渐完整、管理不断精进的目标。
4.1.1.三年规划
●第一期:
安全制度的建立和终端合规管理的普及
首先,通过终端标准化规范制度的建立,实现对接入业务系统终端的规范化管理,普及业务人员对终端安全使用制度的认同,从而为利用技术手段建立全网范围内终端安全防护做好合规铺垫;
其次,是大量分支机构的各类终端存在安全漏洞,非法外联等问题,易被攻击、被仿冒,只有通过全网覆盖安装统一运维客户端,才能减少系统安全漏洞、降低管理负担,实现对终端设备有效的安全控制能力,才能逐渐缩小内部攻击面的范围;
最后,是各类终端安全行为信息的发现与软件供应链合规检查,对后期主动积极的信息安全防护建设,有重大意义。
●第二期:
身份认证准入与自助终端安全管控推广
首先,在一期对终端基础防护能力覆盖率到达90%以上的基础上,进行安全审计数据的采集与分析。
终端安全审计采用主动采集监控、网络行为审计、数据文件使用行为审计来实现对终端用户各种主机操作行为进行统一采集与综合审计;
其次,通过身份管理实现计算机系统与真实人的身份对接,确保计算机系统中信息的输入、流转和输出是由真实的、受信任的人所进行的操作;
最后,通过综合评估分析与积极主动、自主管控联动,实现各类型泛终端自助终端操作的实时监控和对违规操作的阻断,确保关键的内部业务终端不被恶意或无意的操作破坏。
●第三期:
高级防护能力的提升,全面加强精细化管控
通过上述两期方案所收集的所有安全事件,进行集中的智能化关联分析,结合大数据威胁情报分析,找到其中最具威胁性的安全事件,不当操作使用和网络访问行为,追溯沦陷的原因等(EDR),让安全管理人员可以更加主动和有针对性地制定安全策略并作出快速响应。
而安全策略管理平台则可以有机的结合安全事件与法规遵从,更加有效、灵活和准确地制定安全策略,确保合规遵从的实现。
在有了终端积极防御标准化、管控与审计、身份可信管理、检测与响应保护等基础之后,以数据资产为中心的安全管理建设就成为最关键的安全核心,而信息防泄密就是基于内容的信息安全管理。
通过信息防泄密的建设(DLP),将为中国人寿带来更加主动、能见度更高的信息管理,特别是针对“客户个人隐私”等问题就有了更加直接的管理手段。
4.1.2.方案效果
●“零”病毒的内外网终端安全
在企业终端安全标准化中,我们得到的不仅仅是终端防病毒、防火墙、管控、审计等安全防范功能,而且通过终端应用程序控制的白名单机制(软件供应链合规),可以防止任何已知或未知病毒在业务网内传播。
利用特有的网关准入控制和802.1x强制方式可以严格保证接入业务网的终端完全符合保险行业预定义的安全规范,杜绝XX的终端和不符合安全策略的终端接入业务网,导致业务内网出现安全漏洞。
●“零”运维的终端管理
采用业界领先的资产生命周期管理运维系统,维护人员可以在完全无需人工值守的情况下对一台或多台终端设备进行日常的终端维护,维护人员可以在一个集中管理平台上进行实时的终端资产管理、软件分发、补丁管理,远程维护等操作,而所有这些管理任务,包括安全管理任务都已经统一在一个图形化管理界面之内。
●可定制化的软件供应链合规平台
企业级软件供应平台可为我们能够提供海量的云中心软件满足终端用户普遍性软件需求,允许快速搭建起一个软件资源丰富却有富含企业特色的软件管理平台,从而全面覆盖企业网内软件下载、使用需求。
同时软件平台具备软件安全鉴定的功能,在内部私有软件分发到内网之前,可利用云端海量病毒样本和云查杀引擎对私有软件进行安全鉴定,在软件传播的源头保障文件安全性,再经过安全厂商认证,保证第三方软件厂商提供的软件不含是安全可靠的。
●提高终端威胁检测与响应能力
通过积极的终端检测与响应能力提升终端安全防御能力,核心是在利用已有的经验和技术来阻止已知威胁的前提下,通过云端威胁情报的能力、攻防对抗的能力、机器学习等方式,来快速发现并阻止先进的恶意软件和零日漏洞等威胁事件。
同时基于终端的背景数据、恶意软件的行为、以及整体的高级威胁的生命周期的角度进行全面的检测和响应。
进行快速、自动化的阻止、补救、取证,从而有效的对终端进行防护。
●终端基于内容的数据防泄漏
通过终端信息防泄密系统的建设对所有可疑的泄密行为进行实时监控,对比较明显的泄密行为进行实时阻断,并配合实时告警、定时报告与行政干预等方式对泄密行为进行事中控制。
4.2.一期:
终端安全综合防护系统—实现“零”病毒
4.2.1.设计思路
●内网业务终端安全综合防护系统
在国寿股份的网络架构中分为内部网络和外部网络。
其中内部网络终端承载了国寿最重要的业务信息系统,包括了客户信息系统,业务计费系统等。
因此对于内部网络终端我们需要对其做最严格的终端信息安全防护。
通过进一步对内部终端的调研发现,处于内部网络的业务终端有如下的几个特征:
Ø业务固定
Ø使用人员和角色固定
Ø使用时间固定
Ø使用应用系统固定
Ø网络访问固定
Ø服务器硬件配置总体一致
通过内部终端的这些使用属性,对内部终端的保护采用关键业务保护系统管控进行系统和业务应用程序的锁定白名单设置和资源使用权限设定等配置,利用终端防护系统进行对已知威胁,入侵攻击和设备控制的管理。
对企业用户内部网络的业务终端和自主信息终端利用“云查引擎”、“漏洞管理”“综合评估”这两个系统的部署,实现对内部业务终端的安全统一策略配置和管理,实现“零”病毒,“零”威胁的内网终端信息安全防护的最终目标,确保内网终端始终处于安全的信息工作环境。
Ø通过核心操作系统服务策略配置选项,配置核心操作系统服务单独的行为控制,并作为操作系统的一部分安装核心操作系统服务。
Ø通过最严格限制防护策略,进行终端的系统锁定和白名单应用的设置。
限定可以使用的业务应用程序,限定进行系统升级的系统应用程序,其他任何未授权的应用程序和进程都无法启动和安装。
Ø通过资源访问控制,限定可以使用的操作系统服务,确定业务应用程序对资源的访问控制权限。
资源包含文件,文件夹,注册表,设备和网络。
任何未授权的资源访问都将被阻断,只有受信任的管理账号和应用,进程通过相应的配置后才可以对资源进行修改或配置。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 一体化 终端 安全 三年 规划 解决方案
![提示](https://static.bingdoc.com/images/bang_tan.gif)