2022年内网安全解决方案.doc

《2022年内网安全解决方案.doc》由会员分享，可在线阅读，更多相关《2022年内网安全解决方案.doc（48页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、内网平安处理方案目录第一章 方案概况41.1 概述41.2. 需求分析41.2.1 客户需求41.2.2 需求分析5第二章 方案原则、依照及目的102.1 方案原则102.2 方案依照112.3 方案目的12第三章 系统架构123.1 平安策略规划123.2 内网平安系统的建立133.2.1 智能平安网管143.2.2 内网审计153.2.3 内网监控163.2.4 详细的审计、分析与报告163.2.5 技术特色173.2.6 网络拓扑自动生成193.2.7 领先的平安监控和治理技术20第四章 系统应用部署和平安策略214.1 系统部署214.1.2 集中式部署214.1.2 分布式治理部署2

2、14.2 平安策略224.2.1 平安技术234.2.2 平安治理策略24第五章 内网平安治理系统处理方案设计255.1 简述255.2 内网平安治理系统设计思路255.3 内网平安治理系统工作模块功能分析275.3.1 监控治理操纵中心功能实现描绘275.3.2 客户端治理模块功能实现描绘295.3.3 客户端工作引擎的功能实现描绘30第六章 系统技术和选型原则346.1 系统功能参数346.2 产品选型原则36第七章 工程施行377.1 工程施行组织机构377.2 工程施行计划397.2.1 工程施行前期397.2.2 工程施行中期427.2.3 工程施行后期457.3 效劳体系457.3

3、.1 培训体系457.3.2 售后效劳46第一章 方案概况1.1 概述随着信息网络的迅速开展,在当今的信息时代，信息技术已经完全改变我们的生活和工作方式，也改变现行企事业单位的治理方式。作为信息的治理部门，必须考虑当前技术的开展给我们的工作所带来的利益和威胁.如何利用信息网络进展平安的通讯，同时保护计算机本身信息的平安性，成为当前网络平安和信息平安迫在眉睫的征询题。针对日益严峻的内部信息泄漏征询题，FBI对484 家公司调查显示。面对来自于公司内部的平安威胁，85的平安损失是由企业内部缘故造成的。关于特别多国内企业来说，这可能有点耸人听闻，但是，他们确信遇到过类似的事情,由于某一员工误操作造成

4、公司效劳器上重要文档丧失；由于没有定义每位员工在系统内的访征询权限，使本该由一定级别的人员才能掌握的业务机密泄露给竞争对手关于这些来自公司内部的平安征询题，不是靠单纯安装杀毒软件或防火墙就能处理的。1.2. 需求分析1.2.1 客户需求此处为真正的客户的需求.要描绘出当前客户的详细的需求情况.XXX大型机构在网络化过程中面临的平安征询题可包括网络系统平安和数据平安。针对网络系统平安方面，机构需要防止网络系统遭到没有受权访征询及非法入侵；在数据平安方面机构则需要防止机要、敏感数据被窃取或非法复制、使用等。各类计算机病毒、系统圈套（Trapdoors）、隐蔽访征询通道、黑客攻击等造成敏感数据泄密、

5、Web 站点瘫痪等等征询题，都是机构实现网络化面临的外部威胁。如何搭建平安的网络架构，如何将非法入侵者拒之门外、如何防止内部信息外泄，这些都是企业/机构在进展网络化过程中必须处理的征询题。目前，机构仅仅利用Firewall 在网络的边缘设置了快速有效的网络防火墙及IDS/IPS系统，能够对网络入侵进展监控和防护，抵御低阶通讯层次的攻击、防止主机及个人电脑的入侵、检测恶意的可执行程序和阻绝网络的滥用。这种处理方案是针对外部入侵的防备，关于机构内部信息保密平安治理却无任何作用。关于一个大型机构特别是政府机关，保密单位信息保密平安防备尤为重要。以往人为操纵的教育加监视（人工填写日志）的平安治理方式是

6、无法阻止内部工作人员运用现今的高科技信息载体主动或被动泄密（如利用EMAIL，FTP，笔记本，光盘，可挪动硬盘等）的，这是每一个平安治理人员必须认真对待的征询题。Internet 是一个开放的网络，同其高速开展相关的负面结果确实是严峻的网络平安征询题。特别是日益严峻的内部信息泄漏征询题。面对来自于公司内部的平安威胁，必要的平安措施对企业是如何重要。当前，国内的企业用重金购置防火墙，防病毒软件来防止外界威胁的同时，往往无视了对内部平安威胁的对策。1.2.2 需求分析XXXXXX单位的内部网络平安本质上是一种治理需求，目的是使XXXXXXX的各项消费任务在信息化工作方式下能够平安的进展，治理是主要

7、方式。信息化工作方式建立在技术含量较高的计算机及网络技术之上，在治理过程中仅仅依托人力不能够满足网络平安治理的需要，也不能够面对今后随着技术开展带来的更多平安需求，因而必须依托各种技术手段来为网络平安治理提供有效的工具，降低治理本钱，提高治理效率。 内网平安治理现状在XXXXXXX的信息化工作方式中，涉密信息从产生到最终被处理、接受共经历三层，终端层、传输层、效劳器层。对每一层，都有同样的总体要求，即信息不非法外泄、不被篡改、不被恶意消灭。终端层是最初产生信息和最终接受信息的层面，是工作人员接对话的信息化系统的界面，传输层是信息流的通道，效劳器层是信息流的中心操纵区域及存储区域。针对每层有其特

8、点，采取的平安防护措施也不同。效劳器层所需要的机房环境能够根本满足国家对与机房的平安要求，机房防护系统完善，有温、湿度监控， 防火、防盗、电视监控。效劳器层是信息数据的存放中心，因而海量数据存在物理介质损坏、病毒攻击损坏等等损坏或丧失的风险，同时威胁特别大。传输层的设备如交换机、路由器在专用房间存放，传输层的电信号线路在工作时会产生电磁泄漏，因而存在一定的电磁信号被窃听风险。传输层设备根本采纳交换机，使用VLAN以及路由访征询操纵技术进展数据交换，同时设备口令和设置进展严格治理，关于网络欺骗、网络侦听等黑客行为有特别强的阻挠行为，威胁特别小，符合保密要求。终端层包括XXXXXXX的近XX台个人

9、计算机，所在的环境比拟复杂，一部分涉密程度较高的计算机处于远离XXXXXXX物理边界附近，终端层计算机因工作需要安装软件时不慎带入计算机病毒产生特别大的威胁。终端层计算机如今根本上使用WINDOWS操作系统，WINDOWS操作系统经常被发觉有严峻的破绽存在，直截了当威胁到计算机之间的非法访征询，如直截了当在未受权的情况下从一台机器访征询到另一台机器的文件。 内网平安的征询题在终端层随着挪动存储器技术的普及，从计算机中将数字信息带出XXXXX网变得特别简易，挪动存储介质体积轻巧，容易隐藏，安装方便，因而针对挪动存储行为的有效治理成为我们面临的重要课题。同时，随着打印机在各单位的普及，也产生了打印

10、文件无序的部分场面。单位内部也要加强对一般工作人员的治理，安装单位内指定的防病毒软件，安装操作系统修补程序。关于一般企业来说，既缺乏专业的人才，又没有相应的软件，要做好企业信息平安会有更多的困难。随着当前信息化建立的深化，企业内部网络节点不断增加，各项业务数据库不断增长，如何确保网络及数据的平安，已经成为我们信息化工作的一个重要任务。系统的平安是一个整体的征询题，要在整体看的同时,我们还要分解来看，多个方面不同角度分别考虑和施行。关于一些内部网与互联网有物理隔离，因而与互联网相比，其平安性较高，但在日常运转治理中我们仍然面临用户修正系统配置、IP地址治理、随意安装一些软件，上班时间做本人私事，

11、违规使用网络事件等征询题出现,严峻的妨碍了正常的办公和业务来往. 内部网络与外部网络相比而言，内部网络速度更快、防备疏漏、平安措施简单。内网存在如下平安隐患： 局域网速度快，信息容易快速被窃取，监控时机转眼即失； 局域网接入容易，通常只要选用通用的信息设备即可连入网络； 一般局域网接入身份验证措施简单； 绝大多数局域网上的信息都未被加密，采纳明文传输； 内网的用户往往有权直截了当对数据库、效劳器进展操作，有对关键数据进展误操作、有意窃取或者破坏的时机； 计算机系统外部设备的使用不当会造成泄密； 许多内网用户对口令不注重，采纳弱口令，使得内网中黑客的口令破解程序更易奏效； 内网多采纳基于Clie

12、nt/Server方式，客户端直截了当对效劳器操作，信息数据在内网上传输特别不平安。另一方面，内部网络的数据治理本身通常不是特别严谨。核心的机密数据一般只是采纳了简单的受权口令保护，产品研发过程中的各种核心技术材料和工作材料就更没有任何的保护措施，至少对整个开发组而言，全部的开发成果和数据都是透明的和共享的，关于防误操作、防失窃和防破坏的保护几乎没有采取任何措施。如此就使得在内网中非法获得受权和获得材料变得特别的容易。没有内部网络平安治理的信息系统，使得任何人都可能有意或无意造成平安隐患、导致灾难。 详细的内网平安征询题能够归结为: 离线存储设备泄密治理离线存储设备防泄密治理主要集中各种挪动存

13、储设备、打印机等设备的防泄密治理，我们通过对如下泄密途径的治理，来最终实现我们的离线存储设备防泄密治理需求，包括：1 挪动硬盘信息防泄密治理；2 挪动U 盘信息防泄密治理；3 IDE 硬盘信息防泄密治理；4 SCSI 硬盘信息防泄密治理；5 软盘信息防泄密治理；6 光盘信息防泄密治理；7 红外1394防泄 密治理； 内部信息泄密在大量的平安事件中，最为严峻的是企业内部员工直截了当造成或者参与的非法信息外泄事件，同时由于内部员工关于内部的组织构造、人员部署、机构设置相关于外部人员要熟悉的多，因而，内部员工造成致使的信息外泄事件往往情节严峻，同时损失宏大！信息外泄的途径包括：8 对本地打印机、受控

14、终端拨号访征询情况进展审计； 9 内部员工使用涉密计算机连接外部网络致使泄密。10 计算机工作人员由于对专业知识的不熟悉而泄密。对电子信息保密的认识还不强，常常由于专业知识不熟悉而泄密。如有些人由于不明白计算机的电磁波辐射会泄露机密信息，计算机工作时未采取任何措施，因而给别人提供窃密的时机。有些人由于不明白计算机软盘上的剩滋能够提取复原，将曾经存贮过机密信息的软盘交流出去，因而造成泄密。有些人因事离机时没有及时关机，或者采取屏幕保护加密措施，使各种输入、输出信息暴露在界面上。11 规章制度不健全或者违背规章制度泄密。如有的单位没有装备专门的计算机维护治理人员，或者机房治理不严格，无关人员能够随

15、意进出机房。当机器发生毛病时，随意叫本人的朋友或者外面的人进入机房维修，或者将发生毛病的计算机送修前既不做消磁处理，又不安排专人监修，造成机密数据被窃。操作人员对涉密信息与非涉密信息没有分开存储，甚至将所有的文件都放在一个公共目录里，也没有进展加密处理或者保护处理，使涉密信息处于无密可保的状。12 成心泄密。由于电子信息文档不象传统文档那样直观，极易被复制，且不会留下痕迹，因而窃取机密也特别容易。电子计算机操作人员徇私枉法，受亲友或朋友委托，通过计算机查询有关案情，就能够向有关人员泄露案情。计算机操作人员被收购，泄露计算机系统软件保密措施，口令或密钥，就会使不法分子打入计算机网络，窃取信息系统

16、、数据库内的重要机密。 缺乏有效的治理机制企业内部往往都缺乏比拟有效的治理机制，来对内部平安进展有效的治理：13 终端计算机操作人员没有及时安装防病毒软件造成病毒攻击损失或泄密14 终端计算机操作人员没有及时安装系统补丁致使恶意代码入侵造成泄密。15 终端计算机有少部分仍然使用win95、win98等没有登录机制的操作系统，应该予以更换，功能不够的计算机应该被交换。16 不完善的内部平安治理机制。企业内部有一定数量的治理机制，但是这些治理机制本身存在着一些征询题和缺乏，也导致了内部平安治理没有得到“制度性”的保障；17 内部平安治理机制不能被有效执行。企业内部缺乏有效的治理制度执行机制，使得治

17、理制度不被执行，为数不少的治理制度仍然还只是停留着纸面上。 缺乏内网的平安处理方案对内网平安系统和方案的缺乏，也对内网的平安治理带来了一定的阻碍：大多数平安系统都只是来自于外部的入侵。针关于来自外部的入侵，已经大量成熟的平安系统来防备，但是内部的平安威胁和隐患，却特别少被留意到，或者已经留意到，却没有完善的平安系统和平安来处理企业的内部平安征询题；内部平安系统还不够成熟。在少数的内部平安系统中，多数都只是关注某个详细的访征询，比方拨号连接操纵、文件保护等，仅仅是一个技术意义上的产品，不能提出全面的内部平安治理方案。LanSecS内网平安治理系统集智能平安网管、内网审计、内网监控于一体，助有关企

18、业信息平安、泄密征询题排忧解难，相信会对您的工作有所协助。为什么我们的企业长期以来都是打兵来将挡，水来土掩的被动防备战？究其缘故，是由于我们的企业看重的只是传统的基于网络层面的防护系统，而关于今后平安防备的新兴力量LanSecS(菜恩赛克)内网平安治理软件认识不够。第二章 方案原则、依照及目的2.1 方案原则为保证方案的能够最终到达国家保密部门规定的相关保密要求,在设计方案时遵照如下的设计原则: 方案先进原则：XXXXX网的内网平安治理系统要求功能完善、技术先进、平安可靠、效劳领先； 系统平安原则：治理系统本身平安包括物理平安、系统平安、数据平安和运转平安等； 可扩展原则：统一规划，兼顾长远，

19、既要满足现有的需求，又要兼顾系统的可扩展性，保证分布施行的连续性。系统在构造、规模、应用才能等各个方面都必须具备特别强的扩展才能； 按照GB17859-1999计算机信息系统平安保护等级划分准则的要求建立； 可靠性原则。执行ISO9002质量认证体系要求，确保平安保密设备的高可靠性和稳定性； 经济性原则。内网平安治理系统的建立、运转维护以及今后的扩展建立，必须符合经济性原则； 易操作原则。内网平安治理系统的使用、维护、治理、发行等方面要易操作； 高效原则。内网平安治理系统的处理才能要求能满足现阶段的实际需求，保证系统的高效运转，并能依照系统的开展进展不断提升； 功能完好原则。内网平安治理系统的

20、功能完好，应用平安扩展系统功能完好； 灵敏性原则。内网平安治理系统的系统扩展、应用平安建立方面都必须满足灵敏性要求。2.2 方案依照本设计方案的主要依照是国家保密局文件 “涉及国家机密的计算机信息系统平安保密方案设计指南” （BMZ2-2001），同时，还参考了以下标准和法规、文件： 国家标准GB2887-2000电子计算机场地通用标准； 国家标准GB9254-1998信息技术设备的无线电骚扰限值和测量方法； 国家标准GB9361-1998计算站场地平安要求； 国家标准GB17859-1999计算机信息系统平安保护等级划分准则； 国家标准GB50174-1993电子计算机机房设计标准； 国家军

21、用标准GJB3433-1998军用计算机网络平安体系构造； 国家公共平安和保密标准GGBB1-1999信息设备电磁泄漏发射限值； 国家保密标准BMB2-1998使用现场的信息设备电磁泄漏发射检查测 试 方法和平安判据； 国家保密标准BMB3-1999处理涉密信息的电磁屏蔽室的技术要求和 测试方法国家保密标准BMB4-2000电磁干扰器技术要求和测试方法； 国家保密标准BMB5-2000涉密信息设备使用现场的电磁泄漏发射防 护要求； 国家保密指南BMZ1-2000涉及国家机密的计算机信息系统保密技术 要求； 国家保密指南BMZ2-2001涉及国家机密的计算机信息系统平安保密方案设计指南 国家保密

22、指南BM23-2000涉及国家机密的计算机信息系统平安保密测评指南； CISPR22信息技术设备无线电干扰特征极限值和测量方法； CISPR24信息技术设备免疫性特征极限值和测量方法； 国务院令147号中华人民共和国计算机信息系统平安保护条例； 国务院令195号中华人民共和国计算机信息网络国际联网治理暂行规定； 中华人民共和国公安部令32号计算机信息系统平安专用产品检测和销售许可证治理方法； 国家保密局文件计算机信息系统保密治理暂行规定（国保发19981号）； 中央保密委员会办公室、国家保密局文件涉及国家机密的通讯、办公自动化和计算机信息系统审批暂行方法（中保办发19986号）； 中共中央办公

23、厅国务院办公厅关于转发中共中央保密委员会办公室、国家保密局关于国家机密载体保密治理的规定的通知（厅字200058号）。2.3 方案目的XXXXX要求最大可能的保护其办公网络和系统资源与数据能够得到充分的信任，获得良好的治理。本工程的总体目的是在不妨碍XXXXX网络正常工作的前提下，实现对网络的全面平安加固，最终到达国家保密部门规定的相关保密要求。北京圣博润高新技术（以下简称圣博润）依照XXXXXX的需求和国家涉密计算机系统平安要求，提供包括整体平安策略、规划、设计、部署、治理、紧急响应以及配套效劳组成的网络平安整体处理方案。平安治理的平安目的：平安治理是整个内部平安治理体系的核心，使得平安策略

24、、和平安系统最终构成一个统一的平安整体，为企业制造真正的价值，依照实际情况，规划不同密级的平安，为不同用户制定相应的平安策略，并统一的治理所有设备；第三章 系统架构3.1 平安策略规划内网平安策略是企业实现内网平安治理的根底，内网平安策略是企业网络信息系统平安建立的指导原则、配置规则和检查依照。内网平安系统的建立主要依照企业网络信息系统统一的内部平安策略。内部平安策略是一种指导方法，通常都以一种标准、制度、流程等表达出来，用以指导我们快速、合理、全面的建立内部平安系统，同时我们所规划和实现的内部平安策略本身又是可扩展的，随着时间的不断推移和内部平安需求的进一步变化，我们都是依照调整企业的内部平

25、安策略来更好的指导我们建立内部平安系统。我们认为，内部平安策略分为：（1） 主机资源审计与保护策略主机资源审计策略是对主机资源进展搜集、并如今统一治理的内部平安策略，它指导如何精确、便捷的搜集企业内网内所有主机的相关信息，同时指导我们依照不同主机的资源现状制定不同的保护手段和治理制度。（2） 在线信息保护策略在线信息保护策略是指依照企业的实际情况，并结合相关的法规政策、企业制度，对企业内部暴露在网络上面的重要信息进展保护的内部平安策略，它指导企业如何定义重要信息、区分不同的信息的重要程度、并依照不同信息的重要程度制定不同的保护方案和访征询操纵规则，同时也保证了我们企业的内部网络资源得到最大化的

26、合理应用。（3） 离线信息保护策略离线信息保护策略是指依照企业的实际情况，并结合相关的法规政策、企业制度，对企业内部能够通过能够离线方式（包括挪动存储设备、打印设备等等）传递的重要信息进展保护的内部平安策略，它指导企业如在学会了定义重要信息以及信息的密级后，同时能够有效的将各种离线的信息传递设备（方式）进展统一的规划和操纵。3.2 内网平安系统的建立一套统一的、平安的、可扩展的内部平安系统是我们构建整个平安目的的重要要素，内部平安系统是我们整个内部平安体系的根底框架，通过我们的内部平安系统，我们能够 详细完成我们的平安治理工作，使我们的治理电子化、自动化； 实现平安策略，把平安策略作为系统配置

27、的方式下发到所有终端主机； 科学的划分平安域，我们的治理工作趋于统一化、合理化、高效化。3.2.1 智能平安网管智能平安网管模块提供强大的内网网络治理和维护功能，是系统治理员理想的平安毛病治理系统。主要功能包括： 自动发觉网络内所有网络设备（包括三层和二层设备），通过系统提供的智能学习功能，自动识别网络的物理拓扑构造，生成网络物理连接拓扑图； 能够方便地查看可治理设备的配置信息，如System、Interface、IP Address、Routing、ARP、MAC Address、Flow等； 动态显示交换机端口状态、流量等信息，能够设置端口流量阀值，当端口流量超过阀值时自动报警，协助系统治

28、理员监视、分析网络功能； 提供未知（未登记）IP地址、MAC地址列表,自动发觉有未知受控终端接入的交换机端口，方便系统治理员发觉非法入侵者； 实现交换机端口的打开和阻断操纵； 自动识别网络中所有设备的IP地址、MAC地址、设备名称等根本设备信息； 动态显示受控终端的当前状态，对各种不正常状态(如IP和MAC地址随意更改、关机、受控终端Ping不通、未知设备接入等)均提供声音报警和屏幕显示报警； 能够按设备类型（如效劳器、主机、打印机、交换机、路由器、网关）、vlan、子网、部门等方法对设备进展分类治理，列表显示出设备的名称、所属部门、IP地址、MAC地址、发觉时间等信息； 能够依照交换机端口连

29、接的工位对计算机进展治理,方便网络治理员迅速定位出现毛病的计算机连接的交换机端口； 能够方便地查看受控终端的配置信息、审计日志信息，对受控终端进展屏幕监控； 自动生成网络拓扑图（该网络的真实物理连接构造图），并能动态显示当前的网络状态，能够对自动生成的网络拓扑图进展简单编辑； 既能够在网络拓扑图中显示所有设备（交换机、路由器、受控终端、打印机等）及其连接关系，也能够只显示所有交换机及其连接关系。3.2.2 内网审计在拥有了有效的防止内部信息泄漏的方式后，对计算机资源的审计和治理也变的同样重要，如何有效的、最大化的掌握每一个主机的资源状态，对统一的平安治理尤为重要！通过实时审计网络数据流，依照用

30、户设定的平安操纵策略，对受控对象的活动进展审计。采纳基于主机和基于网络相结合的操纵机制和技术手段，能够多层次、多手段地实现对网络的操纵治理。通过集中治理、自我防护机制，全面表达了治理层对内网关键资源的全局操纵、把握和调度才能，为网络治理人员提供了一种审计、检查当前系统运转状态的有效手段。对受控终端进展审计是通过规则进展的。审计规则设置的是对效劳器规则操纵下的行为的记录和统计。在效劳器设置相应的审计规则后，假如客户端所在的设备有符合规则的行为发生，则在效劳器的日志中会有相应记录。能够依照需要配置受控终端的文件操作、进程、网络访征询等事件的规则。系统依照规则自动记录平安审计日志并存入系统日志信息库

31、，这些信息是事后理解和推断网络平安事故的珍贵材料。审计功能包括： 自动登记受控终端的硬件配置（包括CPU、内存、硬盘、显示卡、网卡等等），当受控终端的硬件发生变动时能自动向平安治理核心系统发出报警信息； 自动记录受控终端操作系统配置的用户、工作组、逻辑驱动器，当其发生变化时，自动向平安治理核心系统发出报警信息； 对受控终端安装的系统效劳进展审计，自动记录系统效劳的启动和停顿； 自动记录受控终端上应用程序的安装与卸载情况； 对受控终端上运转的进程进展审计，自动记录进程的启动和停顿； 对文件操作进展审计，记录用户对规则指定文件进展的各种操作； 对网络访征询进展审计，记录用户对规则指定网址进展的访征

32、询操作； 对本地打印机使用情况进展审计； 对受控终端的可挪动存储设备的使用情况进展审计； 对拨号访征询情况进展审计。3.2.3 内网监控对受控终端进展监控是通过监控规则进展的。平安治理核心系统负责集中配置监控规则，下发到受控节点。能够依照需要设置规则，系统依照规则自动阻止非法操作，同时向操纵台发出报警信息。内网监控模块功能包括： 对受控终端进展屏幕监视或操纵（可选）； 同意或阻断用户对受控终端的各种输出设备进展访征询，包括USB可挪动存储设备、打印机、DVD/CD-ROM、软盘、磁带机、PCMCIA设备、COM/LPT端口、1394设备、红外设备等； 对受控终端进展IP地址和MAC地址的绑定，

33、防止用户随意更改网络配置； 对受控终端上运转的进程进展操纵，同意或禁止某些进程的启动； 对网络访征询进展操纵，同意或阻断对某些网络地址的访征询； 同意或阻断用户通过拨号访征询Internet； 同意或阻断用户对本地打印机进展访征询。3.2.4 详细的审计、分析与报告审计统计报表为系统治理员分析诊断网络毛病提供了数据分析的根底。能够依照部门、设备、事件类别等多种条件进展查询统计，生成各种审计统计报表。包括： 平安事件分析报告 计算机配置报告 计算机运转情况报告 系统进程审计监控报告 系统效劳审计监控报告 系统日志审计监控报告 打印输出审计报告 文件存储、传输审计监控报告 网络访征询监控报告对生成

34、的审计统计报表（或审计日志报表、系统事件报表），能够通过系统提供的“报表查看器”进展阅读，同时提供打印预览功能，支持报表打印。3.2.5 技术特色LanSecS内网平安治理系统凝聚了先进的网络平安治理思想，把平安治理的流程和技术手段加以总结提高，既能保证计算机网络平安运转，也能提供对内网计算机信息平安的监控和审计，能够处理企业和政府内部专用网络的平安治理、平安操纵和行为监视。通过主动的平安治理和平安操纵的方式，将内部网络的平安隐患以技术的手段进展有效的操纵。 符合当前网络平安治理的国际、国内标准符合国际信息平安治理体系标准和技术工程标准，BS 7799、ISO 17799、SSE-CMM等。符

35、合中华人民共和国国家标准GB17895-1999计算机信息系统平安保护等级划分准则。 独特的平安治理思想和技术手段结合信息平安行为方式理论以及多年从事网络平安和风险评估领域的经历积累，构成了独特的平安治理的方法论，以此方法论为根底设计了专业的智能的LanSecS内网平安治理系统。实现了紧密的集中治理、自我平安保护，并建立了信息平安治理体系。产品设计思想先进，拥有完全自主的知识产权。 基于主机和网络相结合的操纵机制基于主机操纵机制能够监控指定的主机系统，其操纵力度细；基于网络的操纵机制能够实时监控内网的平安隐患，实现了缜密的内网资源保护。 集成的系统治理：端到端、全面的集成监控优秀的IT系统治理

36、软件，协助用户稳定、可靠、方便、有效地治理企业级IT根底设备，真正实现了端到端的系统治理。 智能化的网络拓扑治理和可视化操控系统LanSecS能够自动、动态地发觉内网的所有节点，包括路由器、交换机、效劳器、PC机等，能够对实际网络自动、动态地学习，并映射成物理的网络拓扑图，同时能动态显示当前的网络状态。通过对可视化的网络拓扑图的操控，能够对图上的设备进展操作，治理网络或进展网络毛病的检测，加强了对网络的设备、主机进展治理操纵的力度，大大地提高了网络的治理效率。 强迫的审计监控进程在客户端隐藏审计/监控进程，使得受控客户端不能停顿和删除进程，确保平安审计和监控，同时不妨碍客户端的正常使用。 IP

37、和MAC地址绑定能够防止受控客户端改变IP地址，确保访征询操纵。 周全的内网系统信息防泄露体系系统治理和监控的范围广，策略周全，不会遗漏任何一个可能泄密的途径。 集中治理和监控对大量目的资源进展集中治理，能够监视的对象众多。系统对内网中设备、网络、文件集中治理平安策略、系统配置、平安事件等。 平安日志信息库所有网络、系统数据及平安事件，能够通过SQLSever2000数据库进展存储，便于网络平安治理审计、分析。 操作系统本身的平安性审计 能够发觉当前系统的补丁安装情况,同时针对不同单位的防病毒的需求,能够提示用户安装本单位要求的防病毒软件. 网络毛病、审计、监控治理及时发觉网络的毛病，按照毛病

38、的轻重缓急产生不同的报警信息，LanSecS系统图形化的网络IP拓扑构造，使网络治理员能够迅速方便地发觉局域网上出现毛病的IP资源并协助治理员分析毛病缘故。当网络中的设备出现毛病，网络链路中断，非法使用受保护的资源时，LanSecS系统会及时发出报警信息。 模块化设计、简单易用系统开发了独立模块以提供对目的主机多层次、多视角的审计，并提供了友好的平安审计中心图形界面，操作简单直截了当，大大降低了用户后期维护的投入以及网络系统/平安治理员的工作难度和工作量。3.2.6 网络拓扑自动生成LanSecS内网平安治理系统通过操纵台对核心数据效劳进展一系列参数配置(如IP范围、部门信息、支持SNMP协议

39、网络设备的读写团体名称等)后，运转网络拓扑自动学习功能，自动对实际的网络构造进展学习，并映射成与真实网络拓扑构造一样的网络物理构造图。网络治理员能够对图上的设备进展操作，治理网络或进展网络毛病的检测。在学习状态下，系统将按照人工智能的方法，自动学习网络拓扑构造，同时在网络拓扑图中动态显示当前的学习成果。3.2.7 领先的平安监控和治理技术LanSecS内网平安治理系统是一套集成了多项核心技术的有用平安系统。研究了以下关键技术根底上，自主研发了该项治理系统。 监控内网网络设备、计算机系统的稳定性和可靠性； 内网系统资源平安治理和监控； 阻止内网的信息通过网络向外泄漏； 防止内网中信息通过系统外设

40、向外泄漏； 审计客户端安装后不能删除或中止，确保内网所有用户都遭到平安策略操纵。第四章 系统应用部署和平安策略4.1 系统部署通过治理角色特别是治理端治理角色的变化，结合LanSecS内网平安治理系统应用数据效劳器支持多级别、分布式部署的特性，在实际中，LanSecS内网平安治理系统采纳以下两种部署方式：集中式部署和分布式治理部署。4.1.2 集中式部署集中式部署面向小型网络。LanSecS内网平安治理系统按照企业网络构造，将网络划分为一个平安域，通过对每一个网络用户行为的监视和记录，并构成完好的日志。集中部署4.1.2 分布式治理部署分布式部署面向复杂构造下的企业网络。在这种部署应用方式下，

41、LanSecS内网平安治理系统按照企业网络构造，能够将整个企业网络划分为一个以上的平安域；在某个平安域内，按照该平安域的类型，LanSecS内网平安治理系统能够将所有下级的平安数据信息集中到LanSecS平安治理核心系统。分布式部署1. 关于经常出差，策略是统一策略已下发到本机，因而依然能够保证数据的平安的，同时操作日志会在联通网之后将日志上传这到效劳，统一治理。2. 依照XXX的实际情况，规划不同策略，为为同平安级别制定相应的平安策略，并统一的来之不易所有网络网络。4.2 平安策略网络与信息平安=信息平安技术+信息平安治理体系技术层面和治理层面的良好配合，是组织实现网络与信息平安系统的有效途

42、径。其中，信息平安技术通过采纳包括建立平安的主机系统和平安的网络系统，并装备适当的平安产品的方法来实现。在治理层面，则通过构架信息平安治理体系来实现。应用开发提供功能，系统治理确保功能。离开了关于功能和可用性的保障，系统应用无从谈起。保证网络本身平安和业务平安，首先要有一个可靠的网络，其次确实是要有强有力的网络治理和网络平安治理策略和手段。随着网络应用日趋复杂，单凭网络治理员的学问和经历进展网络治理和平安治理，已经不能习惯了。因而，我们必须借助一些工具和软件来治理网络，并构建信息平安治理体系。4.2.1 平安技术全网平安策略考虑如下：XXXXXXXX虽说是一个独立的局域网,内部办公都是依托此网

43、进展完成，因而必须考虑该监控系统安装后对原有系统的妨碍。包括对原有系统稳定性、网络带宽资源、系统平安性的妨碍。需要安装在原有系统上的模块是客户机端驻留引擎。该引擎我们做了测试，不会引起操作系统的不稳定，占用的系统CPU资源量特别小，约2.5%以下，内存占用量也特别小，1M以内。监控系统其它模块不再和原有的系统直截了当联络，都是独立的。包括发觉引擎、设备智能探测发引擎。 客户端引擎平安策略客户端驻留引擎所完成的功能是整个监控系统要完成的核心功能，实现客户端监控审计的功能。假如该系统出现平安征询题，主要的数据信息将失去意义。客户引擎完成的主要功能是操纵本机用户的使用权限，记录、上报本机用户的敏感操

44、作和状态信息，这使用户产生抵触心理。即便加强治理工作，用户仍可能想方设法破坏引擎的正常工作，包括将其卸载、停顿工作、删改记录、不正常运转等。因而，引擎必须保证本身平安可靠性。包括：1） 驻留模块在本操作系统下具有不可发觉、不可删除、不可停顿、不可篡改等特点,实现多层保护。第一层保护是不可发觉，假如能够发觉，就会给人以破坏的时机；第二层保护是不可删除，万一发觉后，也是删除不掉的，我们通过底层技术加以保护；第三层保护是不可停顿，万一发觉了该进程，通过一般的技术手段，包括系统提供的工具都停顿不了它；第四层保护是不可篡改，主要是针对该系统文件和日志记录，在非在线情况下，对用户的行为做日志特别重要，一旦

45、连接在线，会将记录传送到数据库中。2） 保证系统不可被病毒软件发觉。有一些同类软件尽管采纳了一些隐藏技术，但是防止不了被防病毒软件发觉。防病毒软件会将监控系统驻留引擎当成病毒处理，并对引擎隔离或删除。3） 自动启动客户机驻留引擎。试图通过启动配置、注册分区表发觉、修正或禁止引擎启动都不可能。4） 平安方式下引擎仍然正常发挥作用。4.2.2 平安治理策略关于XXXXXXXX，除平安外，采纳监控系统后还必须考虑对部门局域网和广域网（指专网广域网）的其它妨碍妨碍。 带宽的征询题在局域网内部，引擎搜集大量的数据信息,上传审计信息，对违法客户端发起的阻断功能都有可能引起局域网带宽的瓶颈。实际上，引擎搜集

46、网络信息采纳定时方式，除开机注册时需要上传单机多项信息外，定时时传送特别少量信息，而违法行为也不是大量出现，因而不会引起网络瓶颈。治理操纵台提供查询、配置、报警等功能，平时数据量都特别小，只在数据查询时稍大，显然不会对网络带宽造成大的妨碍。所以，随着逐步往中央集中，各地研究所数据传输量逐步增大。但是目前的带宽保证，总体都不会出现网络瓶颈。 第五章 内网平安治理系统处理方案设计5.1 简述运转本方案的目的是对XXX的主要信息进展审计和监控，以到达地对重要信息高效平安地保护，防止关键信息和数据的外传和泄密。从而保证内部网络能够高效、平安地运作，保证信息化XXX系统高效平安可靠地运转。本方案钍对XXX的内网平安治理的需求进展了需求分析，分绍了当前的主要的技术，提出了内网平安治理系统以及LanSecS内网平安治理系统的根本要求，给出详细的产品部署和系统施行建议。LanSecS内网平安治理系统将重点放在主动地（Actively）操纵风险而不是被动地(Passively)响应事件，提高整个信息平安系统的有效性和可治理性。LanSe