背景：
    2003年，国家出台《国家信息化领导小组关于加强信息安全保障工作的意见》，明确要求我国信息安全保障工作实行等级保护制度，2007年又公布了《信息安全等级保护管理办法》。随着两项标志性文件的下发，各级党委政府信息安全管理部门立即启动信息安全等级保护定级工作，并且按照相应等级保护条例对现有信息系统进行安全加固。经过初期建设，防火墙、IPS、网络防病毒、安全审计、数据容灾等基础安全软、硬件已经较为完善，但对网络内部终端的安全管理还是空白。解决网络内部终端安全、通过国家信息安全等级保护检查成为政府行业信息安全管理工作的当务之急。
    需求分析：
    目前，政府行业信息安全防护建设风险及需求主要体现在如下几个方面：
    1、实现终端非法接入防护。防止任何终端都可以随意接入网络，减少意外断网情况，内网主机感染病毒后容易确定病毒的来源，方便内部泄密事件发生后进行追查。
    2、加强移动存储介质管理。对移动存储介质进行有效管理，防止内网中的敏感信息资源被非法访问和窃取，对于移动介质，特别是对U盘这样的存储设备，来源渠道多样，如在使用中不区分单位办公和个人应用，使用场合、使用目的不受限制，存储的内容不受限制，极容易导致保密文档泄漏等失泄密事故发生。
    3、防止终端主机非法外联。由于管理制度的不健全或缺乏有效的终端监控技术，内部网络中个别用户利用电话拨号、即插即用的互联网接入设备，外连互联网进行违规操作，物理隔离环境被破坏，应当禁止以下行为发生：
    严禁涉密计算机联接互联网
    严禁私人计算机联接涉密网
    严禁计算机在涉密网和互联网之间交叉联接
    4、实现可控补丁分发管理。管理员能够及时掌握终端下载补丁和修复系统漏洞的各类情况，这就需要终端能将下载和安装补丁的行为上报给管理员，发现有终端未能下载或安装某一补丁时能及时做出响应，此外还必须能够支持自定义报表输出功能，减轻管理员的运维工作量。
    5、实现桌面管理的标准化。需要对日益增加的计算机进行远程清查、控制和许可管理，使得管理员不用到现场就可以解决终端发生的众多问题。
    6、涉密信息集中管控。需要建立一套集中存储、加密保护、授权使用、精确控制、全程审计的系统，要提供对用户的权限信息、角色属性等进行统一管理，授权管理系统与身份认证系统配套使用，实现系统用户集中的身份管理与权限控制，通过集中化的管理、技术手 段防止泄密事件的发生。
    7、加强上网行为管理。防止玩网络游戏、浏览与工作无关的网站、进行与工作无关的聊天，防止疯狂下载电影、歌曲、程序，在线看网络电影、听音乐，防止通过网络论坛，将内网系统中的敏感信息通过粘贴、剪切等方式泄露出去，禁止终端用户访问含木马、病毒或涉黄的网站，并且禁止在上班期间使用炒股软件等网络应用程序。
    8、实现强身份认证与审计。病毒、木马、蠕虫等危险对OA办公系统、业务应用系统等应用造成巨大威胁，内部机密用户账号存在被黑客窃取并造成信息泄漏的风险，原有简单的认证手段已成为内网信息安全的短板，因此各单位需进一步加固原有的身份认证体系。

峰盛科技政府行业内网安全解决方案
    1、针对终端非法接入防护需求，峰盛科技提出终端接入认证管理系统：科盾终端接入认证管理系统。
    该系统主要通过身份认证和安全策略检查的方式，对外来终端、未通过身份认证或不符合安全策略要求的终端进行网络隔离，并帮助终端进行强制安全修复，以防范不安全用户终端给内部网络带来的安全威胁，从而加强内网终端的主动防御能力。三种接入认证802.1x接入认证、科盾网关接入认证、主机阻断接入。
    2、加强移动存储介质管理。
    科盾可信移动磁盘管理系统可以实现对移动存储设备的有效管理。管理员可以设定没有注册的移动存储设备（U盘或者移动硬盘等）默认的使用策略，可选策略包括禁用（没有注册的磁盘禁止使用）、只读（可以将没注册磁盘数据拷入到网内的计算机，但不能拷出数据）或者加密读写（所有写入该未注册磁盘的数据自动加密，加密的数据只能在计算机所在的组内使用）。如果移动存储设备要在获得默认策略以外的权限，则必须经过管理员注册，注册的权限包括：只读、加密读写和直接读写，并可以设定信任组是否也能够使用。
    3、防止终端主机非法外联。
    峰盛科技通过多种手段来防止非法外联：如禁止修改网卡配置，禁止架设双网卡，禁止违规拨号外联（如目前常用的3G上网卡），主动探测外联状态，利用安全域防止非法内外联。
    4、实现可控补丁分发管理。
    峰盛科技提出了终端补丁管理系统。主要包括服务器补丁下载导入，终端可控下载管理以及终端补丁情况的完整报表统计。可以根据自身网络环境和应用情况配置一个或多个补丁存储服务器，通过下发策略至不同的终端对象，指定终端到规定的补丁存储服务器上下载补丁文件进行系统漏洞修复，从而有效降低单台补丁存储服务器的负载，从而达到负载均衡的目的。限制终端下载补丁的流量，避免下载补丁过多占用终端和网络的资源，影响正常业务的使用。对于终端的补丁安装情况进行统计，同时能对终端下载补丁、安装补丁的情况进行审计查询，并生成详细统计报表。
    5、实现桌面管理的标准化。
    提供终端软、硬件资产的查询以及硬件资产的统计和变更审计，并能将统计结果以报表的形式输出；提供外设控制，对外设端口、存储设备控制管理（串口、并口、调制解调器、光驱、软驱）；提供共享目录控制、用户账户管理、终端服务管理；提供文件操作控制，对终端主机间文件访问进行管理，并生成详细审计日志；提供软件分发、进程管理、远程协助管理，对终端进行统一软件安装、非法软件控制及终端屏幕的时时抓屏记录；提供服务器安全管理，控制访问服务器的终端范围，记录终端操作行为。
    6、涉密信息集中管控。
    科盾安全集中管控系统为用户提供“集中管控、全面防护”的解决方案，客户端软件在每个用户计算机上提供一个安全、可控的工作平台。通过身份认证的用户才能进入安全工作平台，并且在系统管理中心指定的权限范围内才能对受保护的涉密资源进行访问操作。未安装客户端软件的计算机无法访问到被保护的涉密资源，只能登录普通内网。客户端在完成涉密工作的处理后，所有文件强制保存在数据服务器上，退出本系统后，所产生的临时数据会全部消失，客户端不保存任何涉密数据。终端运行在工作模式时虽然能够查看涉密文件，对网络控制、外设控制，使得用户无法通过任何手段对涉密资源进行非允许的泄漏。安全工作环境中禁止通过另存、复制、粘贴、截屏、打印等方式将涉密资料导出。系统通过细分的权限设置保证涉密文档的使用安全，灵活便捷的授权机制实现文档共享和流转。
    7、加强上网行为管理。
    峰盛终端上网行为管理系统含流量控制、网络控制和日志审计等功能，是客户网络信息化管理的重要组成部分。通过在用户终端上部署产品，规范上网管理制度，引导和辅助IT管理人员对用户的上网行为进行有效的监控和管理，在管理网络带宽、提升工作效率、保障内网安全和规避泄密和法律风险等方面为客户带来的巨大价值。
    8、实现强身份认证与审计。
    峰盛科技提供与用户名密码结合的四种强身份认证手段：智能卡认证、数字证书认证、域用户认证、指纹认证。各种认证方式均预留接口，可以与单位原有的身份认证系统相结合，实现可靠方便的认证。系统在对涉密信息保护的同时，对各类涉密数据信息从初期生成、分发使用、编辑、直到最终数据被删除等整个生命周期的安全保护，并提供详细的日志审计。