内网安全管理系统解决方案20659.docx

《内网安全管理系统解决方案20659.docx》由会员分享，可在线阅读，更多相关《内网安全管理系统解决方案20659.docx（40页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 LanSSecss内网管管理系统统目 录1.计算算机终端端安全管管理需求求分析111.1.网络管管理21.1.1.物理理网络拓拓扑图221.1.2.流流量控制制21.1.3.IIP地址址管理331.1.4.故故障定位位31.2.终端安安全防护护31.2.1.补补丁安装装防护331.2.2.防防病毒防防护41.2.3.进进程防护护41.2.4.网网页过滤滤41.2.5.非非法外联联防护551.3.终端涉涉密信息息防护551.3.1.终终端登录录安全认认证61.3.2.II/O接接口管理理61.3.3.桌桌面文件件安全管管理61.3.4.文文件安全全共享管管理71.3.5.网网络外联联控制771

2、.4.移动存存储介质质的管理理71.5.网络接接入控制制81.6.计算机机终端管管理与维维护91.7.分级分分权管理理92.计算算机终端端安全防防护解决决方案1102.1.方案目目标1002.2.遵循标标准1112.3.方案内内容1222.3.1.网网络管理理122.3.1.11.物理理网络拓拓扑图1132.3.1.22.流量量控制1132.3.1.33.IPP地址绑绑定1332.3.1.44.故障障定位1142.3.2.终终端安全全控制1142.3.2.11.补丁丁管理1142.3.2.22.防病病毒控制制142.3.2.33.进程程监控1152.3.2.44.网页页过滤控控制1552.3.

3、2.55.非法法外联控控制1552.3.3.终终端安全全审计1152.3.4.移移动存储储介质管管理1662.3.4.11.注册册授权1182.3.4.22.访问问控制1182.3.4.33.数据据保护1192.3.4.44.自我我保护1192.3.4.55.操作作记录1192.3.5.计计算机终终端接入入控制2202.3.5.11.非法法主机的的定义2202.3.5.22.非法法接入控控制策略略202.3.5.33.非法法接入阻阻断技术术实现原原理2112.3.6.计计算机终终端管理理与维护护222.3.6.11.主机机信息收收集2222.3.6.22.网络络参数配配置2332.3.6.33

4、.远程程协助2232.3.6.44.预警警平台2233.系统统设计3323.1.LannSeccS系统安全性性设计323.1.1.控控制中心心安全性323.1.2.主主机代理理安全性323.1.3.数数据库安安全性3323.1.4.策策略分发发与存储储安全性性343.1.5.主主机代理理与控制制中心通通讯安全全性344.系统统特色与与系统部署364.1.LannSeccS系统统特色364.2.LannSeccS典型型部署3384.2.1.简简单内网网环境3384.2.2.本本地多内内网环境境384.2.3.分分级部署署环境3395.产品品配置要要求39 第23页1. 计算机终终端安全全管理需求

5、求分析随着科技技的发展展，计算算机和网网络作为为现代企企业重要要的工具具，在日日常办公公过程中中发挥着着越来越越重要的的角色。计算机和计算机网络已经成为企业、政府和其它各种组织的重要信息载体和传输渠道。很明显，计算机、计算机网络和其所带来的信息数字化大幅度提供了工作效率，也使得海量的信息存储和处理成为了现实。但是，在享受到计算机以及计算机网络所带来的方便性的同时，也出现了目前受到广泛关注的对内网设备如何进行有效管理的问题，以及由此带来的网络信息安全问题。目前随着着制造业业单位规规模不断断增大，IIT硬件件成本降降低、更更新换代代速度比比较快，单单位为了了提高工工作效率率，不断断的增加加新的设设

6、备；因因此机器器数量和和网络规规模也随随之增多多、增大大。员工工办公感感觉是越越来越方方便了，但但是给网网络管理理员带来来的内网网管理问问题却越越来越重重了。首首先是网网络的管管理，IIP混乱乱、网络络拥塞、出出现故障障无法及及时定位位进行解解决；其其次是资资产的管管理，越越来越多多的设备备使资产产管理处处于混乱乱，管理理员疲于于资产的的统计。在内网信信息安全全管理方方面，尤尤其是设设备自身身的健壮壮性，如何保保证设备备硬件所所承载的的系统能能够正常常运行；另一方面对对于单位位内部的的设计部部门，由由于数字字信息本本身具有有易于复复制的特特性，利利用这个个特性，信信息更易易于受到到难以控控制和

7、追追溯的盗盗取威胁胁，网络络使信息息更容易易受到破破坏、更更改和盗盗取。很很明显，能能否最大大限度确确保企业业内部数数字信息息的安全全性已经经关系到到了计算算机和计计算机网网络能否否真正成成为有实实质意义义大规模模应用的的关键因因素。如如何提高高安全性性保证机机器的正正常办公公、如何何将非法法入侵者者拒之门门外、如如何防止止内部信信息外泄泄，如何何更好的的保证网网络快速速高效运运行，这这些都是是制造业业目前在在进行网网络化过过程中必必须解决决的问题题。目前各行行业内部部网络所所采取的的安全措措施基本本上是采采用防火火墙、入入侵检测测等安全全产品放放置于内内部网络络和外网网连接处处保证网网络层的

8、的安全，并并采用操操作系统统或应用用系统所所带的身身份验证证机制，或或通过安安装物理理隔离卡卡将内部部局域网网划分成成内网与与外网两两个组成成部分。内部网网络上大大多数的的应用对对制造业业单位是是至关重要要的，甚甚至是严严格保密密的。一旦出出现病毒毒传播、破破坏的事事件，将将产生严严重后果果。这些些都使得得内网安安全问题题变得越越来越重重要和突突出。而而内网安安全存在在许多问问题，为为了防范范各种各各样的安安全风险险，必须须在内网网建立可可靠的网网络管理理、安全全监控和和审计控控制，以以保证内内部系统统的顺利利运行。为为了确保保制造业业单位内内部的IIT系统统的平稳稳运行，一一个健壮壮的内网网

9、安全管管理体系系是十分分重要的的。作为制造造业的计算算机终端端安全管管理方案案而言，需要解决如下问题：1.1. 网络管理理在制造业业的网络络环境中中，由于于单位规规模、单单位办公公的需要要，存在在很多的的工作区区域，甚甚至在外外地也有有自己的的办事处处和生产产车间，为为了便于于企业内内部的信信息共享享，一般般采用专专线或其其他网络络互联技技术，使使之与内内部网络络连接，便便于单位位内部的的数据管管理和办办公管理理。但是是大规模模的网络络环境、复复杂的分分支机构构，给网网络管理理带来了了极大的的困难，设设备的分分布不明明确；流流量管理理没有依依据；对对于静态态IP地地址环境境地址混混乱、冲冲突也

10、是是很棘手手的问题题。针对网络络管理方方面主要要包括一一下几个个方面：1.1.1. 物理网络络拓扑图图单位的内内部网络络是由网络络设备共共同作用用，协同同工作建建立起来来的，主主要设备备有：路路由器、交交换机、HHUB，而而在局域域网中对对数据交交互起核核心作用用的是交交换机。目目前的网网管软件件可以对对逻辑拓拓扑图进进行绘制制，对交交换机的的面板信信息进行行提取和和控制，但但是无法法看到终终端设备备和交换换机端口口的物理理连接关关系，无无法从拓拓扑图上上看到下下连设备备的信息息。如何建建立起交交换机端端口和设设备的连连接关系系是至关关重要的的，因为端端口的流流量信息息其实就就是设备备的流量量

11、信息；想要掌控控设备，只要对交换机端口进行控制就可以了。因此物理理拓扑图图显示设设备与端端口的物物理连接接关系会会给管理理带来极极大的方方便。1.1.2. 流量控制制借助物理理网络拓拓扑图上上设备的的物理连连接关系系，通过过可网管管交换机机端口的的流量控控制，能够对对交换机机下连的的设备进进行端口口控制，关关闭端口口或是打打开端口口。但是是内部网网络环境境中不可可能所有有的交换换机全部部都是可可网管的的，而且且管理员员不可能能天天进进行端口口的打开开、闭合合操作，除除非是出出现异常常的网络络攻击和和拥塞时时，才会会采取如如此非常常手段。因此对于日常的控制来说，最有效的方法是通过控制每个终端设备

12、的网卡流量，如果能将设备的流量控制在一定的范围内，既保证了设备的正常工作使用，又可以防范在非法使用P2P下载软件抢占带宽和病毒爆发时给网络速度带来的拥塞，这对于管理来说才是实用的管理手段。1.1.3. IP地址址管理为了便于于管理，出出现问题题能够及及时追查查，网络络建设时时管理员员通常使使用静态态IP地地址，这这对于管管理来说说确实是是一个有效效可行的的措施。但但是由于于员工的的计算机机操作水水平不同同，很可可能造成成随意修修改IPP地址带带来的内内网地址址冲突，这这给内网网管理带带来很繁繁琐的问问题。虽虽然通过过在核心心或二层层交换机机上，可可以通过过命令来来绑定IIP/MMAC地地址从而

13、而消除上上述问题题，但是是工作量量庞大，因因此彻底底屏蔽IIP地址址冲突的的问题是是网络管管理必须须要做的的。1.1.4. 故障定位位很多制造造业内部部网络庞庞大，分分支繁多多，一旦旦终端机机器或网网络链路路出现问问题，很很难迅速速定义问问题点，如如果从链链路着手手解决问问题，除除非管理理员此前前做了详详尽的网网络链路路备份信信息表（每每次增加加机器都都需要逐逐台进行行记录），否则从众多网络排线中找出问题链路将是一件十分费时、费力的事情。1.2. 终端安全全防护单位内网网进行办办公所运运行的各各种服务务都是应应用在终终端设备备的基础础上，一一旦终端端设备的的安全性性出现问问题，那那么所有有其承

14、载载的服务务将无法法运行，严严重影响响单位的的工作效效率，给给单位的的生产造造成损失失。因此此必须保保证机器器的健壮壮性，为为了保证证机器的的正常运运行包括括以下几几个方面面：1.2.1. 补丁安装装防护目前在制制造业的的单位中中，承载载各种应应用的操操作系统统90%以上的的端终用用户使用用的都是wiindoows220000,XPP或以上上的操作作系统，但但是这几几种操作作系统的的安全漏漏洞非常常多，很很容易收收到攻击击。微软软公司会会通过定定期发布布安全补补丁的方方式来弥弥补这些些漏洞，但但由于某某些员工工用户缺缺乏相关关知识，或者处于研发部门的设计网是和单位局域网物理隔离的网络，从而导致

15、补丁安装的不完全，不及时，这就会严重影响终端计算机的安全，一旦发生针对微软操作系统漏洞的攻击，就会导致整个网络受到威胁。1.2.2. 防病毒防防护员工由于于防范病病毒意识识较淡薄薄，没有有安装防防病毒软软件；或或者由于于个人对对防病毒毒品牌的的倾向性性，从而而发生没没有安装装防病毒毒软件，甚甚至意外外卸载，或防病毒软件没有运行，这样不仅使单台PC机受到病毒侵害，而且一旦感染病毒，可能回向内网的其他机器传播，导致整个内网病毒泛滥，甚至网络拥塞。因此一定要保证防病毒软件的安装、正常运行、及时升级。1.2.3. 进程防护护由于当前前大量病病毒以及及恶意程程序的存存在，而而这些程程序对于于普通用用户而

16、言言并不知知情，甚甚至有些些恶意程程序通过过技术手手段使得得用户无无法通过过任务管管理器看看到其工工作进程程；另一一方面，有有些用户户可能有有意或无无意地运运行一些些可能会会影响他他人或自自己工作作的软件件(如网网络嗅探探器)。单位的机机器目的的是提高高员工的的生产效效率，充充分利用用上班时时间为单单位创造造更多效效益，但但是某些些娱乐性性软件严严重影响响了员工工的工作作效率，某某些下载载软件造造成网络络速度减减慢，影影响了内内网的正正常办公公。因此通过过制定策策略，实实现对非非法进程程的监控控并阻止止，能够够大大减减少由内内部引起起的网络络安全事事件，提提高我们们的工作作效率。1.2.4.

17、网页过滤滤某些员工工访问IInteerneet时，由由于安全全防范意意识不够够，登陆陆恶意网网站，造造成机器器受到攻攻击，从从而产生生病毒感感染、机机器不能能正常使使用，注注册表被被修改、浏浏览器无无法正常常的访问问网络；严重的的甚至会会植入木木马，造造成机器器重要数数据的网网络泄密密。因此此必须对对内网机机器的网网络访问问进行必必要的过过滤。1.2.5. 非法外联联防护单位内部部的局域域网会在在网络的的出口上上，增加加相关的的安全硬硬件防护护设备，例例如：防防火墙、IIDS、IIPS、防防病毒网网关等设设备来加加强边界界的防护护，保证证内网的的安装。但但是员工工由于好好奇，或或者厌烦烦上网出

18、出口的种种种限制制，通过过Moddem或或ADSSL拨号号方式访访问Innterrnett，极易易受到外外部网络络的攻击击；当该该机器一一旦受到到攻击，回回到内网网后很容易将将相关病病毒、木木马向内内网传播播。1.3. 终端涉密密信息防防护在现代生生活中，信信息就是是财富。无无论是国国家、政政府、企企业和个个人都不不希望机机密信息息被别人人窃取，造造成各种种经济和和社会损损失。对对制造业业单位的的设计、研研发部门门来说，机机密信息息的存储储、使用用和传递递过程中中，会面面临各种种各样的的泄漏风风险。信息外泄泄的途径径包括：l 本地打印印机、网网络打印印机的非非法输出出涉密文文件；l 终端计算算

19、机非法法拨号、非非法外联联访问； l 离线存储储设备存存储涉密密文件遗遗失；l 内部员工工使用涉涉密计算算机连接接外部网网络致使使泄密；l 工作人员员由于对对计算机机专业知知识的不不熟悉而而泄密。从泄密行行为的区区别上，分分为两种种泄密：被动泄泄密和主主动泄密密。被动泄密密：由于于员工的的电子信信息保密密的意识识还不强强，常常常由于专专业知识识不熟悉悉或者工工作疏忽忽而造成泄密。如如有些人人由于不不知道计计算机的的电磁波波辐射会会泄露秘秘密信息息，计算算机工作作时未采采取任何何措施，因因而给他他人提供供窃密的的机会；有些人人由于不不知道计计算机软软盘上的的剩磁可可以提取取还原，将将曾经存存贮过

20、秘秘密信息息的软盘盘交流出出去，因因而造成成泄密；有些人人因事离离机时没没有及时时关机，或或者采取取屏幕保保护加密密措施，使使各种输输入、输输出信息息暴露在在界面上上；有些些人对自自己使用用的计算算机终端端缺乏防防护意识识，如没没有及时时升级病病毒库和和更新系系统补丁丁，导致致病毒和和木马的的入侵，在在不知不不觉中泄泄露了机机密信息息。主动泄密密：这种种情况是是由于内内部员工工出于个个人利益益或者发发泄不满满情绪，有有意识的的收集和和窃取机机密信息息。由于于电子信信息文档档不像传传统文档档那样直直观，极极易被复复制，且且不会留留下痕迹迹，所以以窃取秘秘密也非非常容易易。电子子计算机机操作人人员

21、徇私私枉法，受受亲友或或朋友委委托，通通过计算算机查询询有关案案情，就就可以向向有关人人员泄露露案情。计计算机操操作人员员被收买买，泄露露计算机机系统软软件保密密措施，口口令或密密钥，就就会使不不法分子子打入计计算机网网络，窃窃取信息息系统、数数据库内内的重要要秘密。对于制造造业单位位来说，涉涉密终端端计算机机作为涉涉密信息息处理的的工具，在在其上存存储、传传输和处处理的涉涉密信息息的安全全性保护护相当重重要。任任何一个个环节的的疏漏均均可导致致涉密信信息的丢丢失。因因此，必必须加强强对涉密密信息的的防护。当当前，对对涉密信信息的防防护需求求主要包包括如下下几个方方面：1.3.1. 终端登录录

22、安全认认证终端用户户当前通通过用户户名/口口令方式式进行计计算机本本地/域域登录，然然而用户户名/口口令方式式虽然简简单，但但是存在在很大的的安全隐隐患：l 密码管理理复杂l 密码容易易泄漏l 存在暴力力破解的的可能性性l 无法阻止止他人恶恶意非法法盗用因此，作作为终端端安全管管理的第第一步，首首先需要要解决终终端登录录安全认认证的问问题。1.3.2. I/O接接口管理理随着计算算机外设设的增多多，各种种各样的的输出设设备（软软驱、刻刻录机、打打印机、绘绘图仪、移移动存储储设备、红红外、蓝蓝牙、无无线网络络设备）为信息处理和传输提供极大便利的同时，也为机密信息的扩散和泄露带来了可能。尤其是US

23、B接口的计算机周边设备的丰富，使得计算机与其他外部设备，如U盘，USB打印机等连接十分方便，并能轻而易举地通过USB设备将外部数据导入或者内部数据导出，为重要数据的保护带来了巨大的安全隐患。1.3.3. 桌面文件件安全管管理作为数据据最终处处理的计计算机终终端，存存储着大大量的业业务数据据。由于于Winndowws操作作系统默默认将数数据以明明文方式式存储于于磁盘上上，因此此一旦其其他未被被授权用用户能够够进入操操作系统统，都能能非常方方便地实实现对磁磁盘数据据的访问问和阅读读。因此，如如何确保保数据信信息在计计算机终终端的安安全，也也是计算算机终端端安全管管理必须须考虑的的问题。1.3.4.

24、 文件安全全共享管管理由于计算算机终端端大多使使用Wiindoows操操作系统统，而该该操作系系统安装装后即开开放了部部分共享享目录，同同时由于于许多用用户并未未采用安安全的访访问密码码，造成成其他用用户能够够较为方方便地通通过远程程网络实实现对他他人网络络共享数数据的访访问。因此严格格控制终终端的文文件共享享，尤其其是涉密密终端的的文件共共享，也也是桌面面系统安安全管理理的重要要内容。同时，作作为常见见的文件件共享，应应能提供供安全的的用户身身份认证证机制、完完善的共共享授权权以及详详细的访访问日志志信息。1.3.5. 网络外联联控制涉密内网网虽然不与与互联网网直接连连接，但但是内部部人员可

25、能能会出于于各种原原因通过过Moddem拨拨号、AADSLL上网、无无线上网网等技术术手段将将个人终终端计算算机接入入互联网网。这种种行为带带来的危危害不仅仅包括内内部员工工通过主主动的邮邮件发送送、即时时通讯等等手段将将机密信信息发送送到内网网之外，也也为内网网增加了了来自互互联网上上的攻击击和破坏坏的风险险，从而而导致由由互联网网入侵或或者木马马程序等等方式造造成内网网机密信信息的被被动泄密密。因此对终终端计算算机的网网络外联联控制是是防泄密密管理的的重要内内容之一一。1.4. 移动存储储介质的的管理移动存储储介质已已经得到到普及应应用，移移动存储储介质使使用灵活活、方便便，使它它在各个个

26、单位的的信息化化过程中中迅速得得到普及及，越来来越多的的敏感信信息、秘秘密数据据和档案案资料被被存贮在在移动存存储介质质里，大大量的秘秘密文件件和资料料变为磁磁性介质质、光学学介质，存存贮在无无保护的的移动存存储介质质中，这这给企业业涉及设设计、研研发信息息资源带带来相当当大的安安全隐患患。存储储介质作作为企业业核心商商业机密密和敏感感信息的的载体，实实现对它它们安全全、有效效的管理理是保证证企业信信息安全全的重要要手段。 移动存储储介质使使用过程程中常见见的风险险包括：1) 非法拷贝贝敏感信信息和涉涉密信息息到磁盘盘、U盘盘或其他他移动存存储介质质中；2) 企业外部部移动存存储介质质未经授授

27、权在内内部使用用；3) 企业内部部移动存存储介质质及信息息资源被被带出，在在外部非非授权使使用；4) 使用过程程的疏忽忽；5) 存贮在媒媒体中的的秘密信信息在联联网交换换时被泄泄露或被被窃取，存存贮在媒媒体中的的秘密信信息在进进行人工工交换时时泄密；6) 处理废旧旧移动存存储介质质时，由由于磁盘盘经消磁磁十余次次后，仍仍有办法法恢复原原来记录录的信息息，存有有秘密信信息的磁磁盘很可可能被利利用磁盘盘剩磁提提取原记记录的信信息这这很容易易发生在在对磁盘盘的报废废时，或或存贮过过秘密信信息的磁磁盘，用用户认为为已经清清除了信信息，而而给其他他人使用用；7) 移动存储储介质发发生故障障时，存存有秘密

28、密信息的的介质不不经处理理或无人人监督就就带出修修理，或或修理时时没有懂懂技术的的人员在在场监督督，而造造成泄密密；8) 移动存储储介质管管理不规规范，秘秘密信息息和非秘秘密信息息放在同同一媒体体上，明明密不分分，媒体体介质不不标密级级，不按按有关规规定管理理秘密信信息的媒媒体，容容易造成成泄密；9) 移动存储储设备在在更新换换代时没没有进行行技术处处理；10) 媒体失窃窃，存有有秘密信信息的磁磁盘等媒媒体被盗盗，就会会造成大大量的国国家或企企业秘密密信息外外泄，其其危害程程度将是是难以估估量的，丢失造成后果非常严重。综上所述述，移动动存储介介质的管管理对制制造业来来说，是是一个必必须关注注的

29、问题题。1.5. 网络接入入控制若不对接接入网络络的计算算机设备备进行认认证，则则每一台台外来的的计算机机设备只只要通过过涉密网网内的任任何一个个端口连连接，则则整个网网络都将将向其开开放，这这显然对对于内部部网络安全全而言是是巨大的的安全隐隐患。因因此，需需要对计计算机终终端的接接入进行行有效的的监视和和控制。通通过提取取接入计计算机的的物理特特征，可可以判断断该计算算机是否否为企业业内网上上授权接接入的计计算机，如如果为非非授权计计算机，则则视为非非法主机机。对非非法主机机需要采采取必要要的方式式进行阻阻断和隔隔离，从从而保证证该计算算机无法法访问内内网的相相关资源源。另外，对对于内网网授

30、权使使用的计计算机，任任何一台台感染了了病毒和和木马，管管理人员员也无法法及时定定位和自自动阻断断该计算算机的破破坏行为为。往往往需要花花费很长长的时间间才能判判断和定定位该计计算机，然然后再通通过手动动的方式式断网。对对安全强强度差的的终端计计算机缺缺乏有效效的安全全状态检检测和内内网接入入控制，也是内网管理人员比较头疼的问题之一。要想对此类计算机进行接入的控制，首先应该对计算机的安全状态能够实时掌握，例如病毒库的升级情况和操作系统补丁的修补情况等。只有掌握了计算机的安全状态，才能根据其安全状态判断是否应该对其进行阻断和隔离。1.6. 计算机终终端管理理与维护护对于制造造业单位位庞大的的网络

31、和和众多的的终端计计算机来来说，依依靠传统统的资产产登记管管理办法法，根本本无法做做到对计计算机配配置信息息的准确确掌握，对对计算机机配置的的变化也也无法及及时跟踪踪。例如如，要准准确掌握握每台计计算机的的软硬件件配置信信息，通通过手工工方式将将是非常常耗时和和繁琐的的工作。要要想实时时并准确确地掌握握内网终终端计算算机的配配置状况况与配置置变更状状况，必必须通过过技术手手段和工工具来辅辅助实现现，才能能有效节节省成本本和资源源，提高高内网管管理的效效率。另外，由由于终端端计算机机的数量量众多，管管理人员员也无法实实时掌握握每台终终端计算算机的运运行状态态。当终终端计算算机出现现故障需需要维护

32、护时，管管理人员员如果采采用现场场维护的的方式，一一方面增增加了人人力成本本，另外外由于人人力资源源有限，也也无法保保证维护护的及时时性。如如何实时时监视终终端计算算机的运运行状况况，并且且方便地地对终端端计算机机进行远远程维护护，是制制造业单单位网络络管理人人员迫切切需要解解决的问问题。1.7. 分级分权权管理内网安全全管理系系统作为为一个计计算机终终端防护护、检测测、维护护和工具具，其特特点是管管理的计计算机数数量众多多。管理理这么多多的计算算机，依依靠某一一位管理理员是不不现实的的，另外外，如果果企业的的部门设设置较为为复杂，分分支机构构多，则则会加剧剧管理的的难度。因因为一个个管理员员

33、不可能能了解所所有计算算机终端端用户的的计算机机使用细细节，所所以对管管理的深深度和强强度无法法把握。由于以上上的原因因，对以以一个大大型企业业，从科科学管理理的角度度来讲，必必须采用用分权管管理的思思想。所所谓分权权管理，包包括两层层含义。l 是把所管管理的计计算机终终端范围围进行划划分和分分配，采采取谁熟熟悉、谁谁管理的的原则，不不同管理理员自己己管理自自己范围围内的计计算机、包包括策略略的设置置和审计计的查看看等。l 是把系统统策略的的配置进进行划分分和分配配，采取取谁适合合、谁管管理的原原则，不不同管理理员有不不同的策策略配置置权限。这这样处理理可以保保证策略略的配置置不会违违反单位位

34、的保密密规定。例例如，某某管理员员可以配配置补丁丁分发的的策略，而而另一个个管理员员则可以以配置安安全审计计的策略略。对于规模模巨大的的制造业业单位，往往往都在在管理层层次上划划分为多多个垂直直单位，如如集团、所所、部门门等。考考虑到制制造业单单位对管管理上的的需求往往往希望望能够由由上级部部门直接接设定下下级部门门的安全全策略和和查看下下级单位位的审计计信息。这这就提出出了分级级管理的的需求。所谓分级级管理，就就是由上上级机构构对下级级直接进进行管理理，管理理上的控控制力度度可以由由上级机机构自主主设定。例例如可能能上级机机构希望望取消下下级机构构的所有有管理权权限，或或者希望望为下级级机构

35、分分配一定定范围的的管理权权限，而而关键策策略的设设置则由由自己设设定。分级管理理的主要要需求分分为如下下两个方方面：l 策略配置置，上级级机构可可以直接接接管下下级的策策略配置置权限，上上级设定定的策略略，下级级无法更更改。l 审计报表表查看，上上级机构构可以随随时要求求下级机机构将上上级关心心的报表表传递上上来，审审查下级级机构的的策略执执行情况况以及违违规事件件等。2. 计算机终终端安全全防护解解决方案案2.1. 方案目标标本方案的的目标是是为延边边天池工工贸有限限公司提提供一套套计算机机终端安安全管理理解决方方案。为为机密信信息的防防护和计计算机终终端的运运行维护护提供有有效的工工具和

36、手手段。通过本方方案，能能够实现现对单位位内部局局域网进进行网络络的统一一管理、检测局域网内计算机终端是否安装有杀毒软件，实现对内网终端计算机的流量控制、规范上网管理、安全管理、终端涉密信息防护、网络接入/外联管理、移动存储介质的管理、审计和计算机的日常运行维护。2.2. 遵循标准准本设计方方案的主主要依据据是国家家保密局局文件 涉及国国家秘密密的信息息系统分分级保护护技术要要求 （BBMB117-220066），同时时，还参参考了以以下标准准和法规规、文件件：l 国家标准准GB/TT 28887-20000电电子计算算机场地地通用规规范；l 国家标准准GB992544-19998信信息技术术

37、设备的的无线电电骚扰限限值和测测量方法法；l 国家标准准GB993611-19998计计算站场场地安全全要求；l 国家标准准GB/T 993877.2-19995 信信息处理理系统 开放放系统互互连 基本参参考模型型 第第2部分分：安全全体系结结构（iidt ISOO 74498-2：119899）；l 国家标准准GB1178559-119999计算算机信息息系统安安全保护护等级划划分准则则；l 国家标准准GB/T 1183336-220011 信息息技术 安全全技术 信息息技术安安全性评评估准则则（iddt IISO/IECC 1554088：19999）；l 国家标准准GB5501774-

38、119933电子子计算机机机房设设计规范范；l 国家军用用标准GGJB334333-19998军军用计算算机网络络安全体体系结构构；l 国家公共共安全和和保密标标准GGGBB11-19999信信息设备备电磁泄泄漏发射射限值；l 国家保密密标准BBMB22-19998使使用现场场的信息息设备电电磁泄漏漏发射检检查测 试 方法和和安全判判据；l 国家保密密标准BBMB33-19999处处理涉密密信息的的电磁屏屏蔽室的的技术要要求和 测试方方法国国家保密密标准BBMB44-20000电电磁干扰扰器技术术要求和和测试方方法；l 国家保密密标准BBMB55-20000涉涉密信息息设备使使用现场场的电磁磁

39、泄漏发发射防 护要求求；l 国家保密密指南BBMZ11-20000涉涉及国家家秘密的的计算机机信息系系统保密密技术 要求；l 国家保密密指南BBMZ22-20001涉涉及国家家秘密的的计算机机信息系系统安全全保密方方案设计计指南；l 国家保密密指南BBM233-20000涉涉及国家家秘密的的计算机机信息系系统安全全保密测测评指南南；l 国家信信息化领领导小组组关于加加强信息息安全保保障工作作的意见见 中中共中央央办公厅厅 国国务院办办公厅 中办办发220033277号；l 国家保密密局文件件计算算机信息息系统保保密管理理暂行规规定（国国保发1999811号）；l 中央保密密委员会会办公室室、国

40、家家保密局局文件涉涉及国家家秘密的的通信、办办公自动动化和计计算机信信息系统统审批暂暂行办法法（中中保办发发199986号）；l 中共中央央办公厅厅国务院院办公厅厅关于转转发中中共中央央保密委委员会办办公室、国国家保密密局关于于国家秘秘密载体体保密管管理的规规定的的通知（厅厅字220000588号）；l 关于加加强信息息安全保保障工作作中保密密管理的的若干意意见 中共中中央保密密委员会会 中中保委发发200047号；l 涉及国国家秘密密德信息息系统分分级保护护管理办办法 国家保保密局 国保保发220055166号；l 信息安安全等级级保护管管理办法法（试行行） 公安部部 国家家保密局局 国家家

41、密码管管理局 国务务院信息息化工作作办公室室 公通字字200067号。2.3. 方案内容容针对以上上我们分析析内网管管理出现现的实质问问题，结结合信息息化安全全建设已已经从最最初的网网络安全全焦点互互联网边边界防护护向单位位的内网网转移，因因此我们们必须认认识到内内网安全全管理的的重要性性，对内内网安全全进行全全面防护护，“防患于于未燃”。为了加强强延边天天池工贸贸有限公公司的内内网安全全防护，防防止设计计部门机机密数据据的泄漏漏，加强强内网的的健壮性性，同时时根据延延边天池池工贸有有限公司司提出的的一些新新的方案案功能需需求，我我们提出出如下内内网安全全管理解解决方案案。2.3.1. 网络管

42、理理网络管理理是建立立在内网网中支持持SNMMP协议议的可网网管交换换机，自自动进行行拓扑图图的学习习，从而而生成物物理网络络拓扑图图。在此此基础上上实现对对交换机机流量的的控制、设设备故障障定位，结结合客户户端控制制软件的的IP地地址管理理功能、网网卡流量量控制功功能，全全面实现现对内网网从网络络设备到到终端机机器的控控制。既既保证了了网络的的正常运运行，又又可以在在出现问问题时能能够尽快快解决。2.3.1.1. 物理网络络拓扑图图在支持公公有SNNMP协协议的交交换机上上，能够够自动发发现网络络内所有有网络设设备（包包括三层层和二层层设备），通通过系统统提供的的智能学学习功能能，自动动识别

43、网网络的物物理拓扑扑结构，生生成网络络物理连连接拓扑扑图。物理拓扑扑图包括括两种：链路拓拓扑和全全局拓扑扑图。链链路拓扑扑图只显示交交换机之之间的端端口连接接关系；全局拓拓扑图显显示所有有的网络络设备和和客户端端主机，可可以直观观查看客客户端主主机与网网络设备备之间的的端口连连接关系系。拓扑图可可以进行行编辑、保保存，并并可以通通过参数数设置，按按设置好好的时间间段对拓拓扑图上上的合法法接入设设备进行行实时更更新。在在拓扑图图上可以以方便地地查看可可管理设设备的配配置信息息，如SSysttem、Intterffacee、IP Adddresss、Rouutinng、ARPP、MACC Addd

44、reess、Floow等。物理网络络拓扑图图便于管管理员掌掌握内部部网络的的分布情情况，机机器连接接链路的的变化情情况，使使整个网网络了然然于胸。2.3.1.2. 流量控制制流量控制制包括两两个方面面，既可以通通过控制制交换机机的端口口，使用用端口的的打开和和闭合功功能实现现对下连连设备的的链路流流量的开开启和关关闭，也也可以通通过客户户端程序序对每个个终端机机器的网网卡流量量进行设设置，对对于超过过指定阀阀值的设设备进行行自动的的网络阻阻断，当当网卡流流量恢复复到正常常时，网网卡自动动开启、恢恢复网络络连接，保保证受控控端在指指定的流流量范围围内进行行网络连连通。既既保证了了其正常常工作，又

45、又不会影影响网络络带宽。2.3.1.3. IP地址址绑定通过使IIP地址址和每台台机器的的ID号号相对应应，以一一对对应的关关系为依依据，从从而保证证每个IIP有一一个唯一一的标识识与之对对应。当当客户端端程序检检测到IIP地址址进行修修改时，IIP地址址会自动动恢复到到此前已已经绑定定了的IIP值，保保证IPP地址不不会被随随意修改改。杜绝绝了单位位内部的的IP地地址冲突突问题。2.3.1.4. 故障定位位通过物理理网络拓拓扑图显显示的物物理网络络链路连连接关系系，可以以得到设设备和交交换机的的物理连连接链路路。一旦旦设备或或链路出出现故障障，可以以通过直直观的图图象信息息，准确确定位故故障

46、点，对对问题进进行及时时排查、处处理。配配合交换换机端口口流量阀阀值设置置，一旦旦某条链链路出现现流量超超限的事事件，相相应链路路连接会会产生颜颜色的变变化，便便于管理理员及时时掌握内内网链路路流量状状况。2.3.2. 终端安全全控制通过对补补丁分发发、防病病毒控制制、进程程监控、网网页过滤滤控制，来来尽最大大程度保保证内网网机器的的安全性性和健壮壮性，避避免由于于自身安安全性不不完善而而造成的的系统崩崩溃，抵抵御已知知的一切切外部攻攻击。2.3.2.1. 补丁管理理通过补丁丁管理，能能够对内内网终端端计算机机缺失补补丁进行行定期检检测和自自动安装装与更新新，保证证系统与与软件缺缺陷一经经发现

47、便便可及时时修补。通通过补丁丁分发管管理，大大大减少少了操作作系统和和应用软软件漏洞洞被利用用所造成成的安全全隐患和和经济损损失。同同时，管管理人员员还可以以实时统统计当前前各终端端计算机机的补丁丁缺失情情况、补补丁安装装情况以以及补丁丁安装的的进度等等，得到到全网的的终端计计算机补补丁安装装快照。方方便了对对补丁分分发过程程的监控控。2.3.2.2. 防病毒控控制通过防病病毒软件件监测，可可以判断断终端计计算机是是否安装装了防病病毒软件件、防病病毒软件件运行是是否正常常以及病病毒库是是否保持持最新等等情况。如如果以上上几条不不满足设设定的策策略要求求，监测测系统可可以向管管理人员员发送报报警信息息。另外外，监测测系统还还可阻断断终端计计算机的的内网接接入和内内网访问问，确保保易被感感染的终终端计算算机无法法使用内内网。未未安装防防病毒软软件的计计算机进进行网络络访问控控制和隔隔离，使使其形成成内网中中的“孤岛”。避免免该终端端计算机机对内网网其它主主机造成成安全威威胁。2.3.2.3. 进程监控控通过进程程的黑、白