内网安全管理系统解决方案.pdf

《内网安全管理系统解决方案.pdf》由会员分享，可在线阅读，更多相关《内网安全管理系统解决方案.pdf（23页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 目 录 1 方案概述.1 内网安全管理系统解决方案 1.1 需求分析.1 1.1.1 流量控制.2 1.1.2 IP地址管理.2 1.1.3 进程防护.2 1.1.4 防病毒防护.3 1.1.5 补丁安装防护.3 1.1.6 网页过滤.3 1.1.7 计算机资产管理.3 1.1.8 移动存储介质.4 1.1.9 计算机接入控制.4 1.1.10 终端计算机系统帐户监控.5 1.1.11 计算机的远程维护.5 1.1.12 I/O接口管理.5 1.1.13 文件安全共享管理.6 1.1.14 安全管理软件卸载控制.6 1.1.15 灵活的系统部署.6 1.2 方案目标和内容.6 2 桌面内网安

2、全管理产品解决方案.7 2.1 流量控制.7 2.2 IP地址绑定.7 2.3 进程控制.7 2.4 防病毒控制.8 2.5 补丁管理.8 2.6 网页过滤控制.8 2.7 资产管理.8 2.8 终端移动存储介质管理.9 2.9 终端接入控制.9 2.10 系统账号监控.10 2.11 终端行为监控.10 2.12 终端配置管理.11 2.13 终端远程维护.11 2.14 I/O接口管理.12 2.15 软件安装审计.12 2.16 系统部署.12 3 内网安全管理系统设计概述.12 3.1 产品设计思路.13 3.2 产品的设计原则.14 3.3 产品的功能.14 3.4 产品的组成.15

3、 3.4.1 系统部署结构.16 3.4.2 产品模块组成图.16 3.5 产品一体化设计.18 3.5.1 统一用户权限管理.18 3.5.2 系统分权管理.18 3.5.3 统一资产管理.18 3.5.4 策略集中部署.18 3.5.5 统一预警平台.19 3.5.6 可快速恢复的产品部署结构.19 3.6 系统安全性设计.19 3.6.1 系统代码安全.19 3.6.2 客户端进程防关闭.20 3.7 客户端防卸载.20 3.8 系统部署设计.20 4 报价.22 1 方案概述 1.1 需求分析 榆次市 XX 酒店有限公司作为高品质的涉外酒店,是榆次市重要企业。随着信息化建设的深入发展，

4、单位部门内部，单位部门之间，单位与公众，单位部门与企业等的沟通越来越紧密，因此，需要通过搭建稳定可靠的信息化沟通平台，以数字化系统为建设目标，全面提升公司的办公效率，提升系统整体的信息化竞争实力。网络稳定性是单位网络建设的基础保障，而网络安全是保障网络系统稳定性的前提。同时，网络安全问题也是造成单位内部信息泄漏的主要原因，因此，针对公司的信息化建设，网络安全需要从网络系统的保障、用户的入网行为控制、网络病毒和攻击防护等几个方面充分考虑公司网络安全的建设。有调查显示，各单位中超过 85%的管理和安全问题来自终端。因此，网络安全呈现出了新的发展趋势，安全战场已经逐步由核心与主干的防护，转向网络边缘

5、的每一个终端。目前，90%以上的终端用户使用的是 windows2000,XP 或以上的操作系统，而这几种系统的安全漏洞又非常多，微软公司会通过定期发布安全补丁的方式来弥补这些漏洞，但由于终端用户缺乏相关知识，导致补丁安装的不完全，不及时，这就会严重影响终端计算机的安全，从而导致更严重的整个内网安全问题。计算机终端作为信息存储、传输、应用处理的基础设施，其自身安全性涉及到系统安全、数据安全、网络安全等各个方面，任何一个节点都有可能影响整个网络的安全。而计算机终端广泛涉及每个计算机用户，由于其分散性、不被重视、安全手段缺乏的特点，已成为信息安全体系的薄弱环节。作为计算机内网安全管理方案而言，其需

6、要解决如下安全问题：1.1.1 流量控制 单位内部网络环境中不可能所有的交换机全部都是可网管的，所以不能完全依赖交换机进行流量管理；而且管理员不可能时刻关注每台机器的流量状况，除非是出现异常的网络攻击和拥塞时，才会采取如此非常手段。因此对于日常的控制来说，最有效的方法是通过控制每个终端设备的网卡流量，如果能将设备的流量控制在一定的范围内，既保证了设备的正常工作使用，又可以防范在非法使用P2P 下载软件抢占带宽和病毒爆发时给网络速度带来的拥塞，这对于管理来说才是实用的管理手段。1.1.2 IP 地址管理 为了便于管理，出现问题能够及时追查，网络建设时管理员通常使用静态IP地址，这对于管理来说确实

7、是一个有效可行的措施。但是由于员工的计算机操作水平不同，很可能造成随意修改 IP 地址带来的内网地址冲突，这给内网管理带来很繁琐的问题。虽然通过在核心或二层交换机上，可以通过命令来绑定IP/MAC地址从而消除上述问题，但是工作量庞大，因此彻底屏蔽 IP 地址冲突的问题是网络管理必须要做的。1.1.3 进程防护 由于当前大量病毒以及恶意程序的存在，而这些程序对于普通用户而言并不知情，甚至有些恶意程序通过技术手段使得用户无法通过任务管理器看到其工作进程；另一方面，有些用户可能有意或无意地运行一些可能会影响他人或自己工作的软件(如网络嗅探器)。公司采购机器目的是提高员工的生产效率，充分利用上班时间来

8、服务于工作，但是某些娱乐性软件严重影响了员工的工作效率，某些下载软件造成网络速度减慢，影响了内网的正常办公。因此通过制定策略，实现对非法进程的监控并阻止，能够大大减少由内部引起的网络安全事件，提高我们的工作效率。1.1.4 防病毒防护 员工由于防范病毒意识较淡薄，没有安装防病毒软件；或者由于个人对防病毒品牌的倾向性，从而发生没有安装防病毒软件，甚至意外卸载，或防病毒软件没有运行，这样不仅使单台PC 机受到病毒侵害，而且一旦感染病毒，可能回向内网的其他机器传播，导致整个内网病毒泛滥，甚至网络拥塞。因此一定要保证防病毒软件的安装、正常运行、及时升级。1.1.5 补丁安装防护 目前在制造业的单位中，

9、承载各种应用的操作系统90%以上的端终用户使用的都是 windows2000,XP或以上的操作系统，但是这几种操作系统的安全漏洞非常多，很容易收到攻击。微软公司会通过定期发布安全补丁的方式来弥补这些漏洞，但由于某些员工用户缺乏相关知识，或者处于研发部门的设计网是和单位局域网物理隔离的网络，从而导致补丁安装的不完全，不及时，这就会严重影响终端计算机的安全，一旦发生针对微软操作系统漏洞的攻击，就会导致整个网络受到威胁。1.1.6 网页过滤 某些员工访问 Internet 时，由于安全防范意识不够，登陆恶意网站，造成机器受到攻击，从而产生病毒感染、机器不能正常使用，注册表被修改、浏览器无法正常的访问

10、网络；严重的甚至会植入木马，造成机器重要数据的网络泄密。因此必须对内网机器的网络访问进行必要的过滤。1.1.7 计算机资产管理 对于规模较大的用户，由于终端计算机众多，依靠传统的资产登记管理办法，根本无法做到对计算机配置信息的准确掌握，对计算机配置的变化也无法及时跟踪。例如，要准确掌握每台计算机的软硬件配置信息，通过手工方式将是非常耗时和繁琐的工作。当内网终端计算机的硬件资产发生变化后，管理员是无法进行追查，不能找到具体什么时间、发生什么事情？只能是在很久的时间后，或者在现场维护时才能发现，但是为时已晚。所以对于内部资产的流失要进行有效的管理和统计，避免内部的资产不明和流失。必须通过技术手段和

11、工具来辅助实现，才能有效节省成本和资源，提高内网管理的效率。1.1.8 移动存储介质 系统网络化的飞速发展和高新技术设备的应用，作为网络系统重要组成部分的移动存储介质的安全和保密问题开始显著的突现出来。以 U 盘为代表的移动存储介质的出现和普及，极大方便了数据交换和存储便利性，但是与此同时也给内网带来了巨大的隐患。由于移动存储设备小型化、形式多样化和存储量大的特点，使得文件管理、信息管理、和行为管理变成了难上加难。个人移动存储设备在内网的随意应用首先就成了机密外泄的重要途径之一，设备的遗失、监管的不严都可能造成存储在里面的大量单位敏感数据失控。而且对于怀有恶意的内部人员或外部人员都可以将单位的

12、敏感信息随意复制出去进行传播。其次移动存储设备也是内网病毒泛滥的罪魁祸首之一。移动存储设备在无限制随意使用的情况下，可以在极短的时间内使病毒源扩散到全部网络。造成内网的大面积瘫痪。再有就是对于移动存储设备的行为控制。传统模式下很难做到对于移动存储设备进行明确的权限划分，如一个设备能够应对哪些部门、能够做何种操作等。一旦当问题出现时管理员很难对事故源头进行追查。因此移动存储介质在带来方便性和快捷性的同时，如何同时达到保密性、安全性、可控性等要求，成为每个IT 管理人员极为关注的问题 1.1.9 计算机接入控制 随着信息化建设发展，内网计算机数量与日俱增，同时各个单位之间的合作日益频繁，经常有不属

13、于本单位或者本企业的终端计算机连接到内网。在这种情况下，IT 管理人员很难统计内网计算机的确切数量，也无法区分哪些是内网授权使用的计算机，哪些是外来的非授权使用的计算机。这种状况下，对于未授权使用的计算机接入不能进行控制，当系统感染了病毒和木马后，接入内网，病毒会在整个内网进行快速传播和扩散，给内部网络带来严重的安全威胁。同时对外来人员随意的计算机接入无法控制，很容易导致企业内网机密信息的泄漏，往往等泄密事件发生了，却还无法判断到底是哪一个环节出了差错。当安全事件发生过程中，IT 管理人员也无法及时定位和自动阻断该计算机的破坏行为。往往需要花费很长的时间才能判断和定位该计算机，然后再通过手动的

14、方式断网。对安全强度差的终端计算机缺乏有效的安全状态检测和内网接入控制，是 IT 管理人员比较头疼的问题之一。1.1.10 终端计算机系统帐户监控 现在很多黑客工具、木马及病毒都具备弱口令猜解的功能，如果系统口令设置过于简单，一旦被恶意猜解，黑客或木马会立即提升自身账户的运行权限，达到完全控制主机的目的，在无AD 域的环境中，如何强制终端用户采用符合一定强度要求的口令，是需要IT 管理人员迫切解决的问题。1.1.11 计算机的远程维护 对于大多数企业用户来说，由于技术的原因，IT 管理人员无法实时掌握每台终端计算机的运行状态。当终端计算机出现故障需要维护时，IT 管理人员如果采用现场维护的方式

15、，一方面增加了人力成本，另外由于人力资源有限，也无法保证维护的及时性。如何实时监视终端计算机的运行状况，并且方便地对终端计算机进行远程维护，是 IT 管理人员迫切需要解决的问题。1.1.12 I/O 接口管理 随着 USB 接口的计算机周边设备的丰富，使得计算机与其他外部设备，如 U盘，USB 打印机等连接十分方便，并能轻而易举地通过 USB 设备将外部数据导入或者内部数据导出，移动存储介质体积轻巧，容易隐藏，使用方便，为重要数据的保护带来了巨大的安全隐患，因此针对移动存储行为的有效管理成为我们面临的重要课题。1.1.13 文件安全共享管理 由于桌面终端大多使用Windows操作系统，而该操作

16、系统安装后即开放了部分共享目录，同时由于许多用户并未采用安全的访问密码，造成其他用户能够较为方便地通过远程网络实现对他人网络共享数据的访问。因此严格控制终端的文件共享，尤其是涉密终端的文件共享，也是桌面系统安全管理的重要内容。同时，作为常见的文件共享，系统应能提供自动发现并且根据需求进行共享文件夹的屏蔽，及详细的访问日志信息。1.1.14 安全管理软件卸载控制 内网安全管理软件安装后，应能够防止用户有意/无意地对其卸载删除，只有管理员通过专用工具才能够实现对客户端软件的卸载。同时服务管理平台能够方便地获悉当前网络中有哪些桌面终端系统处于非受控状态。1.1.15 灵活的系统部署 内网安全管理系统

17、能够实现灵活的系统部署，能支持分级部署管理模式，要求能够对系统的管理员进行分权处理。1.2 方案目标和内容 北京圣博润高新技术股份有限公司(以下简称“圣博润”)作为国内领先的内网安全管理系统提供商，承建了国内多个省级、多个行业内网安全管理系统以及应用推广，积累总结了大量的应用安全经验。本方案的目标为向提供一套内网安全管理系统的解决方案。通过本方案，能够实现对内网的计算机终端的统一安全管理，达到终端计算机的系统加固、进程控制、补丁及防病毒管理、资产管理、远程维护等方面的管理。2 桌面内网安全管理产品解决方案 内部网络中大概有 50 个终端机器，局域网利用率较低，主要此用账户拨号方式到路由器，然后

18、统一上到Internet 进行办公。交换机为不可网管交换机，机器间共享、数据交换不是很频繁。但是信息中心的IT 管理人员在实际工作中遇到了上面所说的许多问题，为了使用户对内网终端计算机的管理逐渐形成了较为完善的、符合本行业特点的内网安全管理解决方案。我们提出了如下的解决方案：2.1 流量控制 流量控制能够实现对每个终端机器的网卡进行流量控制，对于超过指定阀值和并发连接数的设备进行自动的网络阻断，当网卡流量恢复到正常时，网卡自动开启、恢复网络连接，保证受控端在指定的流量范围内进行网络连通。由此既保证了终端的正常办公流量需求，又可以杜绝由于未知的 P2P 等非法下载软件的使用带来的网速过慢、甚至断

19、网的问题。2.2 IP 地址绑定 通过使 IP 地址和每台机器的ID 号相对应，以一一对应的关系为依据，从而保证每个 IP 有一个唯一的标识与之对应。当客户端程序检测到IP 地址进行修改时，IP 地址会自动恢复到此前已经绑定了的IP 值，保证 IP 地址不会被随意修改。杜绝了单位内部的IP 地址冲突问题，保证IP 地址的唯一性。2.3 进程控制 通过进程的控制，禁止已知的非法应用程序的使用，杜绝由于非法软件的使用影响工作效率、BT 软件占用带宽、危险软件的随意滥用给单位内网安全带来隐患的问题。通过进程控制功能，可以有效控制终端机器的软件使用，屏蔽掉无助于工作、单位网络安全的应用程序的运行。2.

20、4 防病毒控制 通过防病毒软件监测，可以判断终端计算机是否安装了防病毒软件、防病毒软件运行是否正常以及病毒库是否保持最新等情况。如果上述条件不满足设定的策略要求，监测系统可以向管理人员发送报警信息。另外，监测系统还可阻断终端计算机的内网接入和内网访问，确保易被感染的终端计算机无法使用内网。未安装防病毒软件的计算机进行网络访问控制和隔离，使其形成内网中的“孤岛”。避免该终端计算机对内网其它主机造成安全威胁。2.5 补丁管理 通过补丁管理，能够对内网终端计算机缺失补丁进行定期检测和自动安装与更新，保证系统与软件缺陷一经发现便可及时修补。通过补丁分发管理，大大减少了操作系统和应用软件漏洞被利用所造成

21、的安全隐患和经济损失。同时，管理人员还可以实时统计当前各终端计算机的补丁缺失情况、补丁安装情况以及补丁安装的进度等，得到全网的终端计算机补丁安装快照。方便了对补丁分发过程的监控。2.6 网页过滤控制 通过网页过滤，可以有效屏蔽掉管理员禁止访问的网站，避免误入已知的非法或易受攻击的网站，在事前保证机器访问网站的合法性。从而有效保障了机器的网络访问安全，降低了机器意外染毒的可能性。2.7 资产管理 LanSecS内网安全管理系统自动登记终端计算机的硬件配置（包括CPU类型、主频、内存、硬盘、显示卡、网卡等等）,这样可以使得网管人员在控制台的机器上，可以观察到各个机器的配置信息，方便了网管人员的操作

22、管理。能够自动将终端计算机的操作系统、安装的软件、运行的程序和服务、系统日志、共享资源、以及补丁、端口等信息统计汇总，可以按设备类型、部门等方法对设备进行分类管理，使得系统管理员能够轻松自如地管理着整个网络的软件资源，及时洞察系统配置的变动。2.8 终端移动存储介质管理 通过移动存储介质管理，IT 管理人员可以对诸如：U 盘、移动硬盘以及其他移动存储卡进行保密性、安全性、可控性的管理。从而保证了内网机密信息和内部网络环境的安全性。介质初始化 对于想要在内网中进行使用的移动存储设备。必须经过一个格式化的过程重新写入一个隐藏加密信息。通过策略的下发，客户端主机在工作时只会对能够读取到加密信息的移动

23、存储设备进行挂载。而且已注册过的移动存储设备在未安装客户端的主机上不能够进行使用。从而保证了内部机密信息不能通过移动存储设备外泄，并且外部的病毒也不能通过移动存储设备进入内网。大大加强了内网的保密性和安全性。注册管理 通过注册管理，管理人员可以很便捷的对移动存储设备进行相应的授权。如：该设备可以在哪些部门使用，工作的权限为只读还是读写，工作周期为多少等等。此种机制即保证了管理人员对移动存储介质的可操控性，而且在事故发生时可追诉的目标范围大幅度缩减。从而解决了许多IT 管理人员以前为之头疼的问题。2.9 终端接入控制 所谓的接入控制，是指对接入内网的终端计算机进行身份鉴别或者安全状态检查，阻止未

24、授权或不安全的终端计算机接入内网和访问内网资源。通过接入控制，可以将外来计算机阻挡在内网之外，也可以将内网中安全性较差（未及时安装补丁和防火墙软件）的计算机隔离出内网，保证内网整体的安全性。与交换机联动阻断(支持 802.1X)通过与交换机的联动，自动判断接入计算机的交换机接口，如果发现接入计算机未经过授权或者安全性较差，则通知交换机禁用该计算机患。2.12 终端配置管理 配置管理主要完成终端计算机的各种信息的收集和系统参数的配置。通过配置管理，IT 管理人员可以准确掌握每台终端计算机的配置状况和运行参数，并对批量地对终端计算机的运行参数进行远程修改。主机信息收集 收集终端计算机相关信息，如主

25、机名、IP 地址、网络参数、帐户信息、安装软件清单、硬件清单、驱动程序清单、服务清单、进程清单、系统日志等。为终端计算机的维护和故障诊断提供参考。网络参数设定 设置终端计算机的网络参数，包括 IP 地址、网关、DNS、WINS 等。当网络结构发生变动时，可以快速重新变更计算机网络参数。大大减轻IT 管理人员的网络管理压力。2.13 终端远程维护 LanSecS内网安全管理系统远程维护作为IT 管理人员一项不可缺少的工作，如果没有良好的技术手段做支撑，仅仅依靠电话、邮件等方式往往无法解决问题。从而加重了 IT 管理人员的负担。远程维护就是依靠技术手段和工具，远程对终端计算机进行故障诊断、系统修复

26、和日常维护等。远程协助 通过远程协助，IT 管理人员可以响应远程终端计算机的协助请求，临时接管远程终端计算机，进行本地化操作。例如：开关机、搜索可疑文件、服务/进程查看、系统配置查看、资源使用监视等。IT 管理人员完成维护操作后，释放对终端计算机的接管。预警平台 预警平台可以为 IT 管理人员与终端用户建立一个即时通讯的平台，通过该平台，IT 管理人员可以接受和回复终端用户的咨询，可以得到终端计算机的安全告警，也可以定期向终端用户发布安全预警信息和安全管理策略等。方便了 IT 管理人员与用户的交流和交互。2.14 I/O 接口管理 LanSecS内网安全管理系统自动登记受控终端的硬件配置（包括

27、 CPU、内存、硬盘、显示卡、网卡等等），当受控终端的硬件发生变动时能自动向安全管理核心系统发出报警信息；允许或阻断用户对受控终端的各种输出设备进行访问，包括 USB 可移动存储设备、打印机、DVD/CD-ROM、软盘、磁带机、PCMCIA 设备、COM/LPT 端口、1394设备、红外设备等；对本地打印机使用情况进行审计；对受控终端的可移动存储设备的使用情况进行审计；对拨号访问情况进行审计。2.15 软件安装审计 对受控终端计算机上安装的软件进行控制，可以通过预警平台实施查看，终端计算机的违规行为，并且可以在安全事件中进行查询。对于软件的安装部署情况，可以通过资产管理进行在线软件安装情况检索

28、。2.16 系统部署 LanSecS 内网安全管理系统能提供多种产品部署方式，可以进行统一的集中管理，也可以进行分级的管理模式。客户端的部署支持共享方式安装、网页点击下载安装、域分发安装、邮件群发安装、客户端本地安装等模式。3 内网安全管理系统设计概述 桌面终端是网络的基础，其安全性将直接影响到本地安全、网络环境的安全以及网络应用的安全，桌面终端系统的安全在整体安全中占有重要的地位。在此方案中，我们采用由圣博润公司自主研发的“LanSecS 内网安全管理系统”产品实现桌面终端的统一安全管理。LanSecS 内网安全管理系统产品是圣博润将在网络安全和信息安全行业长达3.2 产品的设计原则 安全性

29、：系统支持采用 PKI 数字证书的身份认证管理；同时，系统能够基于用户关键行为提供详尽的审计日志报告，为客户端管理提供依据；紧凑性：通过 1 台安全设备以及配套的客户端软件即可解决北京市桌面内网安全管理问题；部署简易及快速：系统部署方便，对原有网络架构无需改动；管理员无需太多的专业知识，即可快速完成部署；简单易用：对每一个终端用户而言，非常的简单实用，不会带来麻烦，客户端可通过安装程序定制实现网络配置信息设定，最大化减少客户端的工作量；维护方便：在系统故障的时候，管理员能够快速定位故障，维护方便；3.3 产品的功能 LanSecS内网安全管理系统的产品功能包括：认证：网络接入认证各种移动存储设

30、备接入认证；监控 网络非法接入和外联监控设备监控文件监控打印监控进程服务监控共享监控软件监控；存储：文件的本地安全加密存储USB 存储设备安全加密存储文件网络加密存储文件授权使用；审计 用户对应用访问情况的审计 网络接入情况的审计 移动存储设备的接入审计各种监控日志的审计 管理 用户管理资产管理软件管理软件补丁管理和下发分权管理 其他 网络管理拓扑绘制流量监控系统报警 客户端消息发送等等。3.4 产品的组成 产品按照物理部署来分包括如下三部分：LanSecS客户端软件（圣博润提供）LanSecS控制台和服务器（圣博润提供）LanSecS服务器：文件、数据库、日志的统一存储服务器；注：LanSe

31、cS服务器一般由用户提供，并且按照产品的要求安装完操作系统（建议Windows 2000/2003）和SQL 数据库即可。LanSecS服务器的数量可由用户数据存储量来定，至少1 台。此设备可由圣博润负责采购，也可由用户自行采购 产品的模块组成分为四部分：系统总控中心组件 系统控制台组件 客户端代理组件 文件加密存储组件 3.4.1 系统部署结构 图中 LanSecS标注部分就是本技术方案的所要安装部署的内容。3.4.2 产品模块组成图 1，客户端模块组成 以服务的形式运行于终端计算机，负责功能模块管理、策略管理、审计事件报告等基本功能。安全审计、安全服务、安全加固、资产管理以及部分网管功能均

32、以模块的方式由安全代理加载、维护和管理，安全代理的设计充分考虑了稳定性、安全性和兼容性要求。代理服务可防止恶意停止；全面兼容防病毒软件、防火墙软件、设计开发软件、业务软件、办公软件；安全代理不受个人防火墙约束的限制；并可提供准确的代理状态。安全代理支持 Windows 2000、XP、2003 操作系统。2，总控中心模块组成 总控中心由策略中心服务器、审计中心服务器、安全网管服务器、预警平台服务器、证书/认证服务器以及补丁/软件分发服务器组成。这些服务器可分别部署在不同的硬件平台上，也可部署在同一个硬件平台上，视内网规模不同可采用不同的部署方式。策略中心服务器：安全代理策略管理中心，提供安全管

33、理员安全策略模版的管理、实时策略的管理、策略群发、策略查询等功能。审计中心服务器：接收安全代理发送的审计事件，并提供安全管理员统计查询以及手动报表、自动报表的功能。安全网管服务器：提供网络拓扑发现、地址绑定、流量统计、交换机运行状态管理、流量控制及报警等功能。预警平台服务器：提供网络管理员和终端用户实时交互的机制，统一发布相关安全管理规范、安全组织体系、安全宣传资料以及最新安全动态等信息。证书/认证服务器：提供系统内部使用证书的自动签发、用户身份认证以及授权的功能。补丁/软件分发服务器：提供补丁/软件下载策略管理的功能以及补丁/软件下载服务。时间服务器：提供内网标准的时间服务，用于内网主机的时

34、间同步。3，系统控制台模块组成 LanSecS 系统管理入口，管理和维护总控中心服务器的运行状态；负责总控中心的策略配置、补丁部署、审计查看和预警响应；负责安全代理的运行策略设置。4，身份认证模块组成 用于存储受控计算机终端用户以及管理员登录认证的数字证书。其中管理员证书用于 LanSecS 内网安全管理系统的登录认证，用户证书用于系统的文件加密功能。3.5 产品一体化设计 3.5.1 统一用户权限管理 LanSecS提供统一的用户管理模块，网络终端计算机权限划分和移动存储设备管理各组件可共享统一的用户信息来为用户分配使用权限；管理员能够通过LanSecS提供的用户管理模块实现 LanSecS

35、各组件的用户统一注册、管理，并根据用户具体应用需求情况进行不同权限的划分。3.5.2 系统分权管理 LanSecS服务器端将各个组件分散的管理员权限管理模块集中起来，提供了一个集中的权限管理模块，并且按照权限分离原则，定义多种角色的管理员：系统管理员：负责生成系统操作员，并对系统操作员的权限进行设置；并且对整个系统的单位、部门进行规划；安全管理员：负责生成安全操作员，并对安全操作员的权限进行设置；审计管理员：负责生成审计操作员，并对审计操作员进行权限设置；每种角色的管理员权限都互不交叉，管理员在进行业务操作过程中的操作信息也将进行审计。3.5.3 统一资产管理 LanSecS 包含资产管理模块

36、，主要记录了终端 PC 设备以及服务器的基本信息(软件、硬件)，MAC 地址、具体使用位置、主要使用人等内容信息。作为终端防泄密、文件加密和权限设置、移动存储设备管理等组件可共享统一的资产信息来为终端 PC 分配使用权限；3.5.4 策略集中部署 管理员能够根据所在北京市网络的具体情况和安全需求，利用 LanSecS的策略定义模块定义LanSecS产品相关组件和模块的相关策略，并由策略中心将策略信息下发至各个模块以及 LanSecS 客户端执行。3.5.5 统一预警平台 LanSecS拥有统一的预警接口，各功能模块、组件的审计日志将集中发布至LanSecS 安全预警平台模块。用户进行的关键操作

37、由各模块产生相应的操作日志记录并提交至安全预警平台模块。预警平台模块提供多样报警方式，可以实现邮件、短信方式报警，并统一收集归档相关的日志信息，并通过数字签名确保审计信息的安全性、完整性以及可用性。同时，预警平台模块也能审计其他具有审计需求且符合审计模块接口的其他系统。3.5.6 可快速恢复的产品部署结构 由于产品提供的功能较多，若一旦发生单点故障将造成全网应用瘫痪，因此我们设计 LanSecS 将服务和数据存储分离。这样设计的好处有：易维护：一旦服务不正常，则可通过导入原先配置信息即可恢复至配置备份时的系统状态。易备份：LanSecS 协服务器群可以通过现有成熟的技术 RAID、磁带备份等技

38、术来完成服务数据的备份；安全性高：将服务与数据存储分离，安全的数据内容隔离在单独的小网中，不易攻击和侵害。3.6 系统安全性设计 3.6.1 系统代码安全 LanSecS 服务端和客户端核心模块都采用了代码签名技术，确保系统的核心模块真实可信。一旦核心模块被病毒感染或被替换，系统会自动识别有问题的核心模块，并提示。3.6.2 客户端进程防关闭 LanSecS 客户端软件的核心进程以服务的形式运行，并进行了进程守护、服务保护、注册表保护、文件保护等安全设计，确保了系统进程在运行过程中不会被用户强行关闭或杀死。同时，LanSecS 服务端能够自动检测客户端软件的运行状况，一旦发现异常则会立刻报警至

39、系统管理员，并将该事件以日志的方式记录在日志系统中。3.7 客户端防卸载 为了防止用户有意或无意的将客户端系统卸载，LanSecS 客户端设计了一种特殊的系统安装方式。与传统的安装程序不同，LanSecS 客户端提供给系统管理员一个安装程序生成工具，并由该生成工具产生一对客户端安装程序和客户端卸载程序。一个安装程序生成工具可以生成多组客户端安装程序和客户端卸载程序，且客户端安装程序仅能通过同时生成的客户端卸载程序进行卸载。该卸载工具仅提供给每个部门的维护人员即可，并由其来实现客户端软件在必要时间的卸载操作。每个部门的系统维护人员通过该卸载程序仅能卸载本部门终端上安装的客户端程序，不能卸载其他部

40、门终端的LanSecS客户端软件。3.8 系统部署设计 LanSecS 系统能够根据用户需求进行灵活部署。可以采用分级部署方式，也可以完成集中部署方式，采用集中管理控制方式。以下为集中部署采用的网络结构示意图：以下为采用分级部署采用的网络结构示意图：如图所示，LanSecS 系统能够以灵活的方式，既可以部署在北京市的信息中心，也可分布部署在各个部门内部或部门的独立专网内。通过对北京市的实际考察，建议采用集中部署。4 报价 货币:人民币/元 序号 名称 单价 数量 合计 1 客户端软件 800 40 32000 2 服务器端软件 12000 1 12000 总报价(大写):叁万捌仟圆整￥：44000.00