內(nèi)網(wǎng)安全管理系統(tǒng)解決方案

1、最新資料歡迎閱讀內(nèi)網(wǎng)安全管理系統(tǒng)解決方案1、計算機(jī)終端安全管理需求分析11、1、網(wǎng)絡(luò)管理21、1、1、物理網(wǎng)絡(luò)拓?fù)鋱D21、1、2、流量控制21、1、3、IP地址管理31、1、4、故障定位31、2、終端安全防護(hù)31、2、1、補(bǔ)丁安裝防護(hù)31、2、2、防病毒防護(hù)41、2、3、進(jìn)程防護(hù)41、2、4、網(wǎng)頁過濾41、2、5、非法外聯(lián)防護(hù)51、3、終端涉密信息防護(hù)51、3、1、終端登錄安全認(rèn)證61、3、2、I/O 接口管理61、3、3、桌面文件安全管理61、3、4、文件安全共享管理71、3、5、網(wǎng)絡(luò)外聯(lián)控制71、4、移動存儲介質(zhì)的管理71、5、網(wǎng)絡(luò)接入控制81、6、計算機(jī)終端管理與維護(hù)91、7、分級分權(quán)管

2、理92、計算機(jī)終端安全防護(hù)解決方案102、1、方案目標(biāo)102、2、遵循標(biāo)準(zhǔn)112、3、方案內(nèi)容122、3、1、網(wǎng)絡(luò)管理122、3、1、1、物理網(wǎng)絡(luò)拓?fù)鋱D132、3、1、2、流量控制1最新資料歡迎閱讀32、3、1、3、IP地址綁定132、3、1、4、故障定位142、3、2、終端安全控制142、3、2、1、補(bǔ)丁管理 142、3、2、2、防病毒控制142、3、2、3、進(jìn)程監(jiān)控152、3、2、4、網(wǎng)頁過濾控制152、3、2、5、非法外聯(lián)控制152、3、3、終端安全審計152、3、4、移動存儲介質(zhì)管理162、3、4、1、注冊授權(quán)182、3、4、2、訪問控制182、3、4、3、數(shù)據(jù)保護(hù)192、3、4、4、

3、自我保護(hù)192、3、4、5、操作記錄192、3、5、計算機(jī)終端接入控制202、3、5、1、非法主機(jī)的定義202、3、5、2、非法接入控制策略202、3、5、3、非法接入阻斷技術(shù)實現(xiàn)原理212、3、6、計算機(jī)終端管理與維護(hù)222、3、6、1、主機(jī)信息收集222、3、6、2、網(wǎng)絡(luò)參數(shù)配置232、3、6、3、遠(yuǎn)程協(xié)助232、3、6、4、預(yù)警平臺233、系統(tǒng)設(shè)計323、1、LanSecS系統(tǒng)安全性設(shè)計323、1、1、控制中心安全性323、1、2、主機(jī)代理安全性323、1、3、數(shù)據(jù)庫安全性323、1、4、策略分發(fā)與存儲安全性3最新資料歡迎閱讀43、1、5、主機(jī)代理與控制中心通訊安全性344、系統(tǒng)特色與系

4、統(tǒng)部署364、1、LanSecS 系統(tǒng)特色 364、2、LanSecS 典型部署 384、2、1、簡單內(nèi)網(wǎng)環(huán)境384、2、2、本地多內(nèi)網(wǎng)環(huán)境384、2、3、分級部署環(huán)境395、產(chǎn)品配置要求391、計算機(jī)終端安全管理需求分析隨著科技的發(fā)展，計算機(jī)和網(wǎng)絡(luò)作為現(xiàn)代 企業(yè)重要的工具，在日常辦公過程中發(fā)揮著越來越重要的角色。計算機(jī)和計算機(jī) 網(wǎng)絡(luò)已經(jīng)成為企業(yè)、政府和其它各種組織的重要信息載體和傳輸渠道。很明顯， 計算機(jī)、計算機(jī)網(wǎng)絡(luò)和其所帶來的信息數(shù)字化大幅度提供了工作效率，也使得海 量的信息存儲和處理成為了現(xiàn)實。但是，在享受到計算機(jī)以及計算機(jī)網(wǎng)絡(luò)所帶來 的方便性的同時，也出現(xiàn)了目前受到廣泛關(guān)注的對內(nèi)網(wǎng)設(shè)備

5、如何進(jìn)行有效管理的 問題，以及由此帶來的網(wǎng)絡(luò)信息安全問題。目前隨著制造業(yè)單位規(guī)模不斷增大， IT硬件成本降低、更新?lián)Q代速度比較快，單位為了提高工作效率，不斷的增加 新的設(shè)備；因此機(jī)器數(shù)量和網(wǎng)絡(luò)規(guī)模也隨之增多、增大。員工辦公感覺是越來越 方便了，但是給網(wǎng)絡(luò)管理員帶來的內(nèi)網(wǎng)管理問題卻越來越重了。首先是網(wǎng)絡(luò)的管 理，IP混亂、網(wǎng)絡(luò)擁塞、出現(xiàn)故障無法及時定位進(jìn)行解決；其次是資產(chǎn)的管理, 越來越多的設(shè)備使資產(chǎn)管理處于混亂，管理員疲于資產(chǎn)的統(tǒng)計。在內(nèi)網(wǎng)信息安全 管理方面，尤其是設(shè)備自身的健壯性，如何保證設(shè)備硬件所承載的系統(tǒng)能夠正常 運行；另一方面對于單位內(nèi)部的設(shè)計部門，由于數(shù)字信息本身具有易于復(fù)制的特 性

6、，利用這個特性，信息更易于受到難以控制和追溯的盜取威脅，網(wǎng)絡(luò)使信息更 容易受到破壞、更改和盜取。很明顯，能否最大限度確保企業(yè)內(nèi)部數(shù)字信息的安 全性已經(jīng)關(guān)系到了計算機(jī)和計算機(jī)網(wǎng)絡(luò)能否真正成為有實質(zhì)意義大規(guī)模應(yīng)用的 關(guān)鍵因素。如何提髙安全性保證機(jī)器的正常辦公、如何將非法入侵者拒之門外、 如何防止內(nèi)部信息外泄，如何更好的保證網(wǎng)絡(luò)快速高效運行，這些都是制造業(yè)目 前在進(jìn)行網(wǎng)絡(luò)化過程中必須解決的問題。目前各行業(yè)內(nèi)部網(wǎng)絡(luò)所采取的安全措施 基本上是采用防火墻、入侵檢測等安全產(chǎn)品放置于內(nèi)部網(wǎng)絡(luò)和外網(wǎng)連接處保證網(wǎng) 最新資料歡迎閱讀絡(luò)層的安全，并采用操作系統(tǒng)或應(yīng)用系統(tǒng)所帶的身份驗證機(jī)制，或通過安裝物理 隔離卡將內(nèi)部

7、局域網(wǎng)劃分成內(nèi)網(wǎng)與外網(wǎng)兩個組成部分。內(nèi)部網(wǎng)絡(luò)上大多數(shù)的應(yīng)用 對制造業(yè)單位是至關(guān)重要的，甚至是嚴(yán)格保密的。一旦出現(xiàn)病毒傳播、破壞的事 件，將產(chǎn)生嚴(yán)重后果。這些都使得內(nèi)網(wǎng)安全問題變得越來越重要和突出。而內(nèi)網(wǎng) 安全存在許多問題，為了防范各種各樣的安全風(fēng)險，必須在內(nèi)網(wǎng)建立可靠的網(wǎng)絡(luò) 管理、安全監(jiān)控和審計控制，以保證內(nèi)部系統(tǒng)的順利運行。為了確保制造業(yè)單位 內(nèi)部的IT系統(tǒng)的平穩(wěn)運行，一個健壯的內(nèi)網(wǎng)安全管理體系是分重要的。作為制 造業(yè)的計算機(jī)終端安全管理方案而言，需要解決如下問題：1、1、網(wǎng)絡(luò)管理在制造業(yè)的網(wǎng)絡(luò)環(huán)境中，由于單位規(guī)模、單位辦公的需要，存 在很多的工作區(qū)域，甚至在外地也有自己的辦事處和生產(chǎn)車間，

8、為了便于企業(yè)內(nèi) 部的信息共享，一般采用專線或其他網(wǎng)絡(luò)互聯(lián)技術(shù)，使之與內(nèi)部網(wǎng)絡(luò)連接，便于 單位內(nèi)部的數(shù)據(jù)管理和辦公管理。但是大規(guī)模的網(wǎng)絡(luò)環(huán)境、復(fù)雜的分支機(jī)構(gòu)，給 網(wǎng)絡(luò)管理帶來了極大的困難，設(shè)備的分布不明確；流量管理沒有依據(jù)；對于靜態(tài) IP地址環(huán)境地址混亂、沖突也是很棘手的問題。針對網(wǎng)絡(luò)管理方面主要包括一 下幾個方面：1、1、1、物理網(wǎng)絡(luò)拓?fù)鋱D單位的內(nèi)部網(wǎng)絡(luò)是由網(wǎng)絡(luò)設(shè)備共同作用，協(xié)同工作建 立起來的，主要設(shè)備有：路由器、交換機(jī)、HUB,而在局域網(wǎng)中對數(shù)據(jù)交互起核 心作用的是交換機(jī)。目前的網(wǎng)管軟件可以對邏輯拓?fù)鋱D進(jìn)行繪制，對交換機(jī)的面 板信息進(jìn)行提取和控制，但是無法看到終端設(shè)備和交換機(jī)端口的物理連接

9、關(guān)系， 無法從拓?fù)鋱D上看到下連設(shè)備的信息。如何建立起交換機(jī)端口和設(shè)備的連接關(guān)系 是至關(guān)重要的，因為端口的流量信息其實就是設(shè)備的流量信息；想要掌控設(shè)備， 只要對交換機(jī)端口進(jìn)行控制就可以了。因此物理拓?fù)鋱D顯示設(shè)備與端口的物理連 接關(guān)系會給管理帶來極大的方便。1、1、2、流量控制借助物理網(wǎng)絡(luò)拓?fù)鋱D上設(shè)備的物理連接關(guān)系，通過可 網(wǎng)管交換機(jī)端口的流量控制，能夠?qū)粨Q機(jī)下連的設(shè)備進(jìn)行端口控制，關(guān)閉端口 或是打開端口。但是內(nèi)部網(wǎng)絡(luò)環(huán)境中不可能所有的交換機(jī)全部都是可網(wǎng)管的，而 最新資料歡迎閱讀且管理員不可能天天進(jìn)行端口的打開、閉合操作，除非是出現(xiàn)異常的網(wǎng)絡(luò)攻擊和 擁塞時，才會采取如此非常手段。因此對于日常的控

10、制來說，最有效的方法是通 過控制每個終端設(shè)備的網(wǎng)卡流量，如果能將設(shè)備的流量控制在一定的范圍內(nèi)，既 保證了設(shè)備的正常工作使用，又可以防范在非法使用P2P下載軟件搶占帶寬和病 毒爆發(fā)時給網(wǎng)絡(luò)速度帶來的擁塞，這對于管理來說才是實用的管理手段。1、1、3、 IP地址管理為了便于管理，出現(xiàn)問題能夠及時追查，網(wǎng)絡(luò)建設(shè) 時管理員通常使用靜態(tài)IP地址，這對于管理來說確實是一個有效可行的措施。 但是由于員工的計算機(jī)操作水平不同，很可能造成隨意修改IP地址帶來的內(nèi)網(wǎng) 地址沖突，這給內(nèi)網(wǎng)管理帶來很繁瑣的問題。雖然通過在核心或二層交換機(jī)上， 可以通過命令來綁定IP/MAC地址從而消除上述問題，但是工作量龐大，因此徹

11、底屏蔽IP地址沖突的問題是網(wǎng)絡(luò)管理必須要做的。1、1、4、故障定位很多制造業(yè)內(nèi)部網(wǎng)絡(luò)龐大，分支繁多，一旦終端機(jī)器 或網(wǎng)絡(luò)鏈路出現(xiàn)問題，很難迅速定義問題點，如果從鏈路著手解決問題，除非管 理員此前做了詳盡的網(wǎng)絡(luò)鏈路備份信息表（每次增加機(jī)器都需要逐臺進(jìn)行記錄）, 否則從眾多網(wǎng)絡(luò)排線中找出問題鏈路將是一件分費時、費力的事情。1、2、終端安全防護(hù)單位內(nèi)網(wǎng)進(jìn)行辦公所運行的各種服務(wù)都是應(yīng)用在終端 設(shè)備的基礎(chǔ)上，一旦終端設(shè)備的安全性出現(xiàn)問題，那么所有其承載的服務(wù)將無法 運行，嚴(yán)重影響單位的工作效率，給單位的生產(chǎn)造成損失。因此必須保證機(jī)器的 健壯性，為了保證機(jī)器的正常運行包括以下幾個方面：1、2、1、補(bǔ)丁安裝

12、防護(hù)目前在制造業(yè)的單位中，承載各種應(yīng)用的操作系統(tǒng)90%以 上的端終用戶使用的都是windows2000,XP或以上的操作系統(tǒng)，但是這幾種操作 系統(tǒng)的安全漏洞非常多，很容易收到攻擊。微軟公司會通過定期發(fā)布安全補(bǔ)丁的 方式來彌補(bǔ)這些漏洞，但由于某些員工用戶缺乏相關(guān)知識，或者處于研發(fā)部門的 設(shè)計網(wǎng)是和單位局域網(wǎng)物理隔離的網(wǎng)絡(luò)，從而導(dǎo)致補(bǔ)丁安裝的不完全，不及時， 這就會嚴(yán)重影響終端計算機(jī)的安全，一旦發(fā)生針對微軟操作系統(tǒng)漏洞的攻擊，就 會導(dǎo)致整個網(wǎng)絡(luò)受到威脅。1、2、2、防病毒防護(hù)員工由于防范病毒意識較淡薄，沒有安裝防病毒軟 最新資料歡迎閱讀件；或者由于個人對防病毒品牌的傾向性，從而發(fā)生沒有安裝防病毒軟

13、件，甚至 意外卸載，或防病毒軟件沒有運行，這樣不僅使單臺PC機(jī)受到病毒侵害，而且 一旦感染病毒，可能回向內(nèi)網(wǎng)的其他機(jī)器傳播，導(dǎo)致整個內(nèi)網(wǎng)病毒泛濫，甚至網(wǎng) 絡(luò)擁塞。因此一定要保證防病毒軟件的安裝、正常運行、及時升級。1、2、3、進(jìn)程防護(hù)由于當(dāng)前大量病毒以及惡意程序的存在，而這些程序 對于普通用戶而言并不知情，甚至有些惡意程序通過技術(shù)手段使得用戶無法通過 任務(wù)管理器看到其工作進(jìn)程；另一方面，有些用戶可能有意或無意地運行一些可 能會影響他人或自己工作的軟件（如網(wǎng)絡(luò)嗅探器）。單位的機(jī)器目的是提髙員工的 生產(chǎn)效率，充分利用上班時間為單位創(chuàng)造更多效益，但是某些娛樂性軟件嚴(yán)重影 響了員工的工作效率，某些下載

14、軟件造成網(wǎng)絡(luò)速度減慢，影響了內(nèi)網(wǎng)的正常辦公。 因此通過制定策略，實現(xiàn)對非法進(jìn)程的監(jiān)控并阻止，能夠大大減少由內(nèi)部引起的 網(wǎng)絡(luò)安全事件，提髙我們的工作效率。1、2、4、網(wǎng)頁過濾某些員工訪問Internet時，由于安全防范意識不夠， 登陸惡意網(wǎng)站，造成機(jī)器受到攻擊，從而產(chǎn)生病毒感染、機(jī)器不能正常使用，注 冊表被修改、瀏覽器無法正常的訪問網(wǎng)絡(luò)；嚴(yán)重的甚至?xí)踩肽抉R，造成機(jī)器重 要數(shù)據(jù)的網(wǎng)絡(luò)泄密。因此必須對內(nèi)網(wǎng)機(jī)器的網(wǎng)絡(luò)訪問進(jìn)行必要的過濾。1、2、5、非法外聯(lián)防護(hù)單位內(nèi)部的局域網(wǎng)會在網(wǎng)絡(luò)的出口上，增加相關(guān) 的安全硬件防護(hù)設(shè)備，例如：防火墻、IDS、IPS、防病毒網(wǎng)關(guān)等設(shè)備來加強(qiáng)邊界 的防護(hù)，保證內(nèi)網(wǎng)的安

15、裝。但是員工由于好奇，或者厭煩上網(wǎng)出口的種種限制， 通過Modem或ADSL撥號方式訪問Internet,極易受到外部網(wǎng)絡(luò)的攻擊；當(dāng)該機(jī) 器一旦受到攻擊，回到內(nèi)網(wǎng)后很容易將相關(guān)病毒、木馬向內(nèi)網(wǎng)傳播。1、3、終端涉密信息防護(hù)在現(xiàn)代生活中，信息就是財富。無論是國家、政 府、企業(yè)和個人都不希望機(jī)密信息被別人竊取，造成各種經(jīng)濟(jì)和社會損失。對制 造業(yè)單位的設(shè)計、研發(fā)部門來說，機(jī)密信息的存儲、使用和傳遞過程中，會面臨 各種各樣的泄漏風(fēng)險。信息外泄的途徑包括：1本地打印機(jī)、網(wǎng)絡(luò)打印機(jī)的非法 輸出涉密文件；1終端計算機(jī)非法撥號、非法外聯(lián)訪問；1離線存儲設(shè)備存儲 涉密文件遺失；1內(nèi)部員工使用涉密計算機(jī)連接外部網(wǎng)

16、絡(luò)致使泄密；1工作人員 由于對計算機(jī)專業(yè)知識的不熟悉而泄密。從泄密行為的區(qū)別上，分為兩種泄密： 被動泄密和主動泄密。被動泄密：由于員工的電子信息保密的意識還不強(qiáng)，常常 最新資料歡迎閱讀由于專業(yè)知識不熟悉或者工作疏忽而造成泄密。如有些人由于不知道計算機(jī)的電 磁波輻射會泄露秘密信息，計算機(jī)工作時未采取任何措施，因而給他人提供竊密 的機(jī)會；有些人由于不知道計算機(jī)軟盤上的剩磁可以提取還原，將曾經(jīng)存貯過秘 密信息的軟盤交流出去，因而造成泄密；有些人因事離機(jī)時沒有及時關(guān)機(jī)，或者 采取屏幕保護(hù)加密措施，使各種輸入、輸出信息暴廳在界面上；有些人對自己使 用的計算機(jī)終端缺乏防護(hù)意識，如沒有及時升級病毒庫和更新系

17、統(tǒng)補(bǔ)丁，導(dǎo)致病 毒和木馬的入侵，在不知不覺中泄靂了機(jī)密信息。主動泄密：這種情況是由于內(nèi) 部員工出于個人利益或者發(fā)泄不滿情緒，有意識的收集和竊取機(jī)密信息。由于電 子信息文檔不像傳統(tǒng)文檔那樣直觀，極易被復(fù)制，且不會留下痕跡，所以竊取秘 密也非常容易。電子計算機(jī)操作人員徇私枉法，受親友或朋友委托，通過計算機(jī) 查詢有關(guān)案情，就可以向有關(guān)人員泄靂案情。計算機(jī)操作人員被收買，泄露計算 機(jī)系統(tǒng)軟件保密措施，口令或密鑰，就會使不法分子打入計算機(jī)網(wǎng)絡(luò)，竊取信息 系統(tǒng)、數(shù)據(jù)庫內(nèi)的重要秘密。對于制造業(yè)單位來說，涉密終端計算機(jī)作為涉密信 息處理的工具，在其上存儲、傳輸和處理的涉密信息的安全性保護(hù)相當(dāng)重要。任 何一個環(huán)

18、節(jié)的疏漏均可導(dǎo)致涉密信息的丟失。因此，必須加強(qiáng)對涉密信息的防護(hù)。 當(dāng)前，對涉密信息的防護(hù)需求主要包括如下幾個方面：1、3、1、終端登錄安全認(rèn)證終端用戶當(dāng)前通過用戶名/口令方式進(jìn)行計算機(jī)本地/ 域登錄，然而用戶名/ 口令方式雖然簡單，但是存在很大的安全隱患：1密碼管 理復(fù)雜1密碼容易泄漏1存在暴力破解的可能性1無法阻止他人惡意非法盜用 因此，作為終端安全管理的第一步，首先需要解決終端登錄安全認(rèn)證的問題。1、3、2、I/O接口管理隨著計算機(jī)外設(shè)的增多，各種各樣的輸出設(shè)備（軟 驅(qū)、刻錄機(jī)、打印機(jī)、繪圖儀、移動存儲設(shè)備、紅外、藍(lán)牙、無線網(wǎng)絡(luò)設(shè)備）為 信息處理和傳輸提供極大便利的同時，也為機(jī)密信息的擴(kuò)散

19、和泄露帶來了可能。 尤其是USB接口的計算機(jī)周邊設(shè)備的豐富，使得計算機(jī)與其他外部設(shè)備，如U 盤，USB打印機(jī)等連接分方便，并能輕而易舉地通過USB設(shè)備將外部數(shù)據(jù)導(dǎo)入或 者內(nèi)部數(shù)據(jù)導(dǎo)出，為重要數(shù)據(jù)的保護(hù)帶來了巨大的安全隱患。1、3、3、桌面文件安全管理作為數(shù)據(jù)最終處理的計算機(jī)終端，存儲著大 最新資料歡迎閱讀量的業(yè)務(wù)數(shù)據(jù)。由于Windows操作系統(tǒng)默認(rèn)將數(shù)據(jù)以明文方式存儲于磁盤上，因 此一旦其他未被授權(quán)用戶能夠進(jìn)入操作系統(tǒng)，都能非常方便地實現(xiàn)對磁盤數(shù)據(jù)的 訪問和閱讀。因此，如何確保數(shù)據(jù)信息在計算機(jī)終端的安全，也是計算機(jī)終端安 全管理必須考慮的問題。1、3、4、文件安全共享管理由于計算機(jī)終端大多使用

20、Windows操作系統(tǒng), 而該操作系統(tǒng)安裝后即開放了部分共享目錄，同時由于許多用戶并未采用安全的 訪問密碼，造成其他用戶能夠較為方便地通過遠(yuǎn)程網(wǎng)絡(luò)實現(xiàn)對他人網(wǎng)絡(luò)共享數(shù)據(jù) 的訪問。因此嚴(yán)格控制終端的文件共享，尤其是涉密終端的文件共享，也是桌面 系統(tǒng)安全管理的重要內(nèi)容。同時，作為常見的文件共享，應(yīng)能提供安全的用戶身 份認(rèn)證機(jī)制、完善的共享授權(quán)以及詳細(xì)的訪問日志信息。1、3、5、網(wǎng)絡(luò)外聯(lián)控制涉密內(nèi)網(wǎng)雖然不與互聯(lián)網(wǎng)直接連接，但是內(nèi)部人 員可能會出于各種原因通過Modem撥號、ADSL上網(wǎng)、無線上網(wǎng)等技術(shù)手段將個 人終端計算機(jī)接入互聯(lián)網(wǎng)。這種行為帶來的危害不僅包括內(nèi)部員工通過主動的郵 件發(fā)送、即時通訊等

21、手段將機(jī)密信息發(fā)送到內(nèi)網(wǎng)之外，也為內(nèi)網(wǎng)增加了來自互聯(lián) 網(wǎng)上的攻擊和破壞的風(fēng)險，從而導(dǎo)致由互聯(lián)網(wǎng)入侵或者木馬程序等方式造成內(nèi)網(wǎng) 機(jī)密信息的被動泄密。因此對終端計算機(jī)的網(wǎng)絡(luò)外聯(lián)控制是防泄密管理的重要內(nèi) 容之一。1、4、移動存儲介質(zhì)的管理移動存儲介質(zhì)已經(jīng)得到普及應(yīng)用，移動存儲介 質(zhì)使用靈活、方便，使它在各個單位的信息化過程中迅速得到普及，越來越多的 敏感信息、秘密數(shù)據(jù)和檔案資料被存貯在移動存儲介質(zhì)里，大量的秘密文件和資 料變?yōu)榇判越橘|(zhì)、光學(xué)介質(zhì)，存貯在無保護(hù)的移動存儲介質(zhì)中，這給企業(yè)涉及設(shè) 計、研發(fā)信息資源帶來相當(dāng)大的安全隱患。存儲介質(zhì)作為企業(yè)核心商業(yè)機(jī)密和敏 感信息的載體，實現(xiàn)對它們安全、有效的管

22、理是保證企業(yè)信息安全的重要手段。移動存儲介質(zhì)使用過程中常見的風(fēng)險包括：1)非法拷貝敏感信息和涉密信息到磁盤、U盤或其他移動存儲介質(zhì)中；2) 企業(yè)外部移動存儲介質(zhì)未經(jīng)授權(quán)在內(nèi)部使用；3)企業(yè)內(nèi)部移動存儲介質(zhì)及信息資源被帶出，在外部非授權(quán)使用；4)使用過程的疏忽；5)存貯在媒體中的秘密信息在聯(lián)網(wǎng)交換時被泄露或被竊取，存貯在媒體中的秘 密信息在進(jìn)行人工交換時泄密；6)處理廢舊移動存儲介質(zhì)時，由于磁盤經(jīng)消磁余次后，仍有辦法恢復(fù)原來記錄 最新資料歡迎閱讀的信息，存有秘密信息的磁盤很可能被利用磁盤剩磁提取原記錄的信息一這很容 易發(fā)生在對磁盤的報廢時，或存貯過祕密信息的磁盤，用戶認(rèn)為已經(jīng)清除了信息, 而給其

23、他人使用；7)移動存儲介質(zhì)發(fā)生故障時，存有秘密信息的介質(zhì)不經(jīng)處理或無人監(jiān)督就帶出 修理，或修理時沒有懂技術(shù)的人員在場監(jiān)替，而造成泄密；8)移動存儲介質(zhì)管理不規(guī)范，秘密信息和非秘密信息放在同一媒體上，明密不 分，媒體介質(zhì)不標(biāo)密級，不按有關(guān)規(guī)定管理秘密信息的媒體，容易造成泄密；9) 移動存儲設(shè)備在更新?lián)Q代時沒有進(jìn)行技術(shù)處理；10)媒體失竊，存有秘密信息的磁盤等媒體被盜，就會造成大量的國家或企業(yè)秘 密信息外泄，其危害程度將是難以估量的，丟失造成后果非常嚴(yán)重。綜上所述， 移動存儲介質(zhì)的管理對制造業(yè)來說，是一個必須關(guān)注的問題。1、5、網(wǎng)絡(luò)接入控制若不對接入網(wǎng)絡(luò)的計算機(jī)設(shè)備進(jìn)行認(rèn)證，則每一臺外 來的計算機(jī)

24、設(shè)備只要通過涉密網(wǎng)內(nèi)的任何一個端口連接，則整個網(wǎng)絡(luò)都將向其開 放，這顯然對于內(nèi)部網(wǎng)絡(luò)安全而言是巨大的安全隱患。因此，需要對計算機(jī)終端 的接入進(jìn)行有效的監(jiān)視和控制。通過提取接入計算機(jī)的物理特征，可以判斷該計 算機(jī)是否為企業(yè)內(nèi)網(wǎng)上授權(quán)接入的計算機(jī)，如果為非授權(quán)計算機(jī)，則視為非法主 機(jī)。對非法主機(jī)需要采取必要的方式進(jìn)行阻斷和隔離，從而保證該計算機(jī)無法訪 問內(nèi)網(wǎng)的相關(guān)資源。另外，對于內(nèi)網(wǎng)授權(quán)使用的計算機(jī)，任何一臺感染了病毒和 木馬，管理人員也無法及時定位和自動阻斷該計算機(jī)的破壞行為。往往需要花費 很長的時間才能判斷和定位該計算機(jī)，然后再通過手動的方式斷網(wǎng)。對安全強(qiáng)度 差的終端計算機(jī)缺乏有效的安全狀態(tài)檢

25、測和內(nèi)網(wǎng)接入控制，也是內(nèi)網(wǎng)管理人員比 較頭疼的問題之一。要想對此類計算機(jī)進(jìn)行接入的控制，首先應(yīng)該對計算機(jī)的安 全狀態(tài)能夠?qū)崟r掌握，例如病毒庫的升級情況和操作系統(tǒng)補(bǔ)丁的修補(bǔ)情況等。只 有掌握了計算機(jī)的安全狀態(tài)，才能根據(jù)其安全狀態(tài)判斷是否應(yīng)該對其進(jìn)行阻斷和 隔離。1、6、計算機(jī)終端管理與維護(hù)對于制造業(yè)單位龐大的網(wǎng)絡(luò)和眾多的終端計 算機(jī)來說，依靠傳統(tǒng)的資產(chǎn)登記管理辦法，根本無法做到對計算機(jī)配置信息的準(zhǔn) 確掌握，對計算機(jī)配置的變化也無法及時跟蹤。例如，要準(zhǔn)確掌握每臺計算機(jī)的 最新資料歡迎閱讀軟硬件配置信息，通過手工方式將是非常耗時和繁瑣的工作。要想實時并準(zhǔn)確地 掌握內(nèi)網(wǎng)終端計算機(jī)的配置狀況與配置變更狀

26、況，必須通過技術(shù)手段和工具來輔 助實現(xiàn)，才能有效節(jié)省成本和資源，提高內(nèi)網(wǎng)管理的效率。另外，由于終端計算 機(jī)的數(shù)量眾多，管理人員也無法實時掌握每臺終端計算機(jī)的運行狀態(tài)。當(dāng)終端計 算機(jī)出現(xiàn)故障需要維護(hù)時，管理人員如果采用現(xiàn)場維護(hù)的方式，一方面增加了人 力成本，另外由于人力資源有限，也無法保證維護(hù)的及時性。如何實時監(jiān)視終端 計算機(jī)的運行狀況，并且方便地對終端計算機(jī)進(jìn)行遠(yuǎn)程維護(hù)，是制造業(yè)單位網(wǎng)絡(luò) 管理人員迫切需要解決的問題。1、7、分級分權(quán)管理內(nèi)網(wǎng)安全管理系統(tǒng)作為一個計算機(jī)終端防護(hù)、檢測、 維護(hù)和工具，其特點是管理的計算機(jī)數(shù)量眾多。管理這么多的計算機(jī)，依靠某一 位管理員是不現(xiàn)實的，另外，如果企業(yè)的部門

27、設(shè)置較為復(fù)雜，分支機(jī)構(gòu)多，則會 加劇管理的難度。因為一個管理員不可能了解所有計算機(jī)終端用戶的計算機(jī)使用 細(xì)節(jié)，所以對管理的深度和強(qiáng)度無法把握。由于以上的原因，對以一個大型企業(yè), 從科學(xué)管理的角度來講，必須采用分權(quán)管理的思想。所謂分權(quán)管理，包括兩層含 義。1是把所管理的計算機(jī)終端范圍進(jìn)行劃分和分配，采取誰熟悉、誰管理的原 則，不同管理員自己管理自己范圍內(nèi)的計算機(jī)、包括策略的設(shè)置和審計的查看等。 1是把系統(tǒng)策略的配置進(jìn)行劃分和分配，采取誰適合、誰管理的原則，不同管理 員有不同的策略配置權(quán)限。這樣處理可以保證策略的配置不會違反單位的保密規(guī) 定。例如，某管理員可以配置補(bǔ)丁分發(fā)的策略，而另一個管理員則可

28、以配置安全 審計的策略。對于規(guī)模巨大的制造業(yè)單位，往往都在管理層次上劃分為多個垂直 單位，如集團(tuán)、所、部門等?？紤]到制造業(yè)單位對管理上的需求往往希望能夠由 上級部門直接設(shè)定下級部門的安全策略和查看下級單位的審計信息。這就提出了 分級管理的需求。所謂分級管理，就是由上級機(jī)構(gòu)對下級直接進(jìn)行管理，管理上 的控制力度可以由上級機(jī)構(gòu)自主設(shè)定。例如可能上級機(jī)構(gòu)希望取消下級機(jī)構(gòu)的所 有管理權(quán)限，或者希望為下級機(jī)構(gòu)分配一定范圍的管理權(quán)限，而關(guān)鍵策略的設(shè)置 則由自己設(shè)定。分級管理的主要需求分為如下兩個方面：1策略配置，上級機(jī)構(gòu) 可以直接接管下級的策略配置權(quán)限，上級設(shè)定的策略，下級無法更改。1審計報 表查看，上級

29、機(jī)構(gòu)可以隨時要求下級機(jī)構(gòu)將上級關(guān)心的報表傳遞上來，審查下級 機(jī)構(gòu)的策略執(zhí)行情況以及違規(guī)事件等。最新資料歡迎閱讀2、 計算機(jī)終端安全防護(hù)解決方案2、1、方案目標(biāo)本方案的目標(biāo)是為延邊天池工貿(mào)有限公司提供一套計算機(jī)終端 安全管理解決方案。為機(jī)密信息的防護(hù)和計算機(jī)終端的運行維護(hù)提供有效的工具 和手段。通過本方案，能夠?qū)崿F(xiàn)對單位內(nèi)部局域網(wǎng)進(jìn)行網(wǎng)絡(luò)的統(tǒng)一管理、檢測局 域網(wǎng)內(nèi)計算機(jī)終端是否安裝有殺毒軟件，實現(xiàn)對內(nèi)網(wǎng)終端計算機(jī)的流量控制、規(guī) 范上網(wǎng)管理、安全管理、終端涉密信息防護(hù)、網(wǎng)絡(luò)接入/外聯(lián)管理、移動存儲介 質(zhì)的管理、審計和計算機(jī)的日常運行維護(hù)。2、2、遵循標(biāo)準(zhǔn)本設(shè)計方案的主要依據(jù)是國家保密局文件涉及國家

30、秘 密的信息系統(tǒng)分級保護(hù)技術(shù)要求（BMB17-xx）,同時，還參考了以下標(biāo)準(zhǔn)和法 規(guī)、文件：1國家標(biāo)準(zhǔn)GB/T2887-2000電子計算機(jī)場地通用規(guī)范；1國家標(biāo) 準(zhǔn)GB9254-1998信息技術(shù)設(shè)備的無線電騷擾限值和測量方法；1國家標(biāo)準(zhǔn) GB9361-1998計算站場地安全要求；1國家標(biāo)準(zhǔn)GB/T9387、2-1995信息處理系統(tǒng)開放系統(tǒng)互連基本參考模型第2部分:安全體系結(jié)構(gòu)（idt IS07498-2： 1989）； 1國家標(biāo)準(zhǔn)GB17859-1999計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則；1國家標(biāo)準(zhǔn)GB/T18336-2001信息 技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則（idt IS0/IEC15

31、40& 1999）； 1國家 標(biāo)準(zhǔn)GB50174-1993電子計算機(jī)機(jī)房設(shè)計規(guī)范；1國家軍用標(biāo)準(zhǔn)GJB3433-1998軍用計算機(jī)網(wǎng)絡(luò)安全體系結(jié)構(gòu)；1國家公共安全和保密標(biāo)準(zhǔn)GGBB1-1999信 息設(shè)備電磁泄漏發(fā)射限值；1國家保密標(biāo)準(zhǔn)BMB2-1998使用現(xiàn)場的信息設(shè)備 電磁泄漏發(fā)射檢查測試方法和安全判據(jù)；1國家保密標(biāo)準(zhǔn)BMB3-1999處理 涉密信息的電磁屏蔽室的技術(shù)要求和測試方法國家保密標(biāo)準(zhǔn)BMB4-2000電 磁干擾器技術(shù)要求和測試方法；1國家保密標(biāo)準(zhǔn)BMB5-2000涉密信息設(shè)備使 用現(xiàn)場的電磁泄漏發(fā)射防護(hù)要求；1國家保密指南BMZ1-2000涉及國家秘密 的計算機(jī)信息系統(tǒng)保密技術(shù)要求

32、；1國家保密指南BMZ2-2001涉及國家秘密 的計算機(jī)信息系統(tǒng)安全保密方案設(shè)計指南；1國家保密指南BM23-2000涉及 國家秘密的計算機(jī)信息系統(tǒng)安全保密測評指南；1國家信息化領(lǐng)導(dǎo)小組關(guān)于 加強(qiáng)信息安全保障工作的意見中共中央辦公廳國務(wù)院辦公廳中辦發(fā) 2003127號；1國家保密局文件計算機(jī)信息系統(tǒng)保密管理暫行規(guī)定（國保發(fā) 19981號）；1中央保密委員會辦公室、國家保密局文件涉及國家秘密的通 最新資料歡迎閱讀信、辦公自動化和計算機(jī)信息系統(tǒng)審批暫行辦法（中保辦發(fā)19986號）；1中 共中央辦公廳國務(wù)院辦公廳關(guān)于轉(zhuǎn)發(fā)中共中央保密委員會辦公室、國家保密局 關(guān)于國家秘密載體保密管理的規(guī)定的通知（廳字

33、200058號）；1關(guān)于加強(qiáng) 信息安全保障工作中保密管理的若干意見中共中央保密委員會中保委發(fā) 20047號；1涉及國家秘密德信息系統(tǒng)分級保護(hù)管理辦法國家保密局國 保發(fā)xx16號；1信息安全等級保護(hù)管理辦法（試行）公安部國家保密 局國家密碼管理局國務(wù)院信息化工作辦公室公通字xx7號。2、3、方案內(nèi)容針對以上我們分析內(nèi)網(wǎng)管理出現(xiàn)的實質(zhì)問題，結(jié)合信息化 安全建設(shè)已經(jīng)從最初的網(wǎng)絡(luò)安全焦點互聯(lián)網(wǎng)邊界防護(hù)向單位的內(nèi)網(wǎng)轉(zhuǎn)移，因此我 們必須認(rèn)識到內(nèi)網(wǎng)安全管理的重要性，對內(nèi)網(wǎng)安全進(jìn)行全面防護(hù)，“防患于未燃”。 為了加強(qiáng)延邊天池工貿(mào)有限公司的內(nèi)網(wǎng)安全防護(hù)，防止設(shè)計部門機(jī)密數(shù)據(jù)的泄 漏，加強(qiáng)內(nèi)網(wǎng)的健壯性，同時根據(jù)延

34、邊天池工貿(mào)有限公司提出的一些新的方案功 能需求，我們提出如下內(nèi)網(wǎng)安全管理解決方案。2、3、1、網(wǎng)絡(luò)管理網(wǎng)絡(luò)管理是建立在內(nèi)網(wǎng)中支持SNMP協(xié)議的可網(wǎng)管交換機(jī)，自 動進(jìn)行拓?fù)鋱D的學(xué)習(xí)，從而生成物理網(wǎng)絡(luò)拓?fù)鋱D。在此基礎(chǔ)上實現(xiàn)對交換機(jī)流量 的控制、設(shè)備故障定位，結(jié)合客戶端控制軟件的IP地址管理功能、網(wǎng)卡流量控 制功能，全面實現(xiàn)對內(nèi)網(wǎng)從網(wǎng)絡(luò)設(shè)備到終端機(jī)器的控制。既保證了網(wǎng)絡(luò)的正常運 行，又可以在出現(xiàn)問題時能夠盡快解決。2、3、 1、1、物理網(wǎng)絡(luò)拓?fù)鋱D在支持公有SNMP協(xié)議的交換機(jī)上，能夠自動發(fā)現(xiàn)網(wǎng)絡(luò) 內(nèi)所有網(wǎng)絡(luò)設(shè)備（包括三層和二層設(shè)備），通過系統(tǒng)提供的智能學(xué)習(xí)功能，自動 識別網(wǎng)絡(luò)的物理拓?fù)浣Y(jié)構(gòu)，生成網(wǎng)絡(luò)

35、物理連接拓?fù)鋱D。物理拓?fù)鋱D包括兩種：鏈 路拓?fù)浜腿滞負(fù)鋱D。鏈路拓?fù)鋱D只顯示交換機(jī)之間的端口連接關(guān)系；全局拓?fù)?圖顯示所有的網(wǎng)絡(luò)設(shè)備和客戶端主機(jī)，可以直觀查看客戶端主機(jī)與網(wǎng)絡(luò)設(shè)備之間 的端口連接關(guān)系。拓?fù)鋱D可以進(jìn)行編輯、保存，并可以通過參數(shù)設(shè)置，按設(shè)置好 的時間段對拓?fù)鋱D上的合法接入設(shè)備進(jìn)行實時更新。在拓?fù)鋱D上可以方便地查看 可管理設(shè)備的配置信息，如 System、Interface、IP Addressx Routing、ARP、 MAC 最新資料歡迎閱讀Address. Flow等。物理網(wǎng)絡(luò)拓?fù)鋱D便于管理員掌握內(nèi)部網(wǎng)絡(luò)的分布情況， 機(jī)器連接鏈路的變化情況，使整個網(wǎng)絡(luò)了然于胸。2、3、1、2

36、、流量控制 流量控制包括兩個方面，既可以通過控制交換機(jī) 的端口，使用端口的打開和閉合功能實現(xiàn)對下連設(shè)備的鏈路流量的開啟和關(guān)閉， 也可以通過客戶端程序?qū)γ總€終端機(jī)器的網(wǎng)卡流量進(jìn)行設(shè)置，對于超過指定閥值 的設(shè)備進(jìn)行自動的網(wǎng)絡(luò)阻斷，當(dāng)網(wǎng)卡流量恢復(fù)到正常時，網(wǎng)卡自動開啟、恢復(fù)網(wǎng) 絡(luò)連接，保證受控端在指定的流量范圍內(nèi)進(jìn)行網(wǎng)絡(luò)連通。既保證了其正常工作， 又不會影響網(wǎng)絡(luò)帶寬。2、3、1、3、 IP地址綁定通過使IP地址和每臺機(jī)器的ID號相對應(yīng)，以 一一對應(yīng)的關(guān)系為依據(jù)，從而保證每個IP有一個唯一的標(biāo)識與之對應(yīng)。當(dāng)客戶 端程序檢測到IP地址進(jìn)行修改時，IP地址會自動恢復(fù)到此前已經(jīng)綁定了的IP 值，保證IP地址

37、不會被隨意修改。杜絕了單位內(nèi)部的IP地址沖突問題。2、3、1、4、故障定位通過物理網(wǎng)絡(luò)拓?fù)鋱D顯示的物理網(wǎng)絡(luò)鏈路連接關(guān)系， 可以得到設(shè)備和交換機(jī)的物理連接鏈路。一旦設(shè)備或鏈路出現(xiàn)故障，可以通過直 觀的圖象信息，準(zhǔn)確定位故障點，對問題進(jìn)行及時排查、處理。配合交換機(jī)端口 流量閥值設(shè)置，一旦某條鏈路出現(xiàn)流量超限的事件，相應(yīng)錢路連接會產(chǎn)生顏色的 變化，便于管理員及時掌握內(nèi)網(wǎng)鏈路流量狀況。2、3、2、終端安全控制通過對補(bǔ)丁分發(fā)、防病毒控制、進(jìn)程監(jiān)控、網(wǎng)頁 過濾控制，來盡最大程度保證內(nèi)網(wǎng)機(jī)器的安全性和健壯性，避免由于自身安全性 不完善而造成的系統(tǒng)崩潰，抵御已知的一切外部攻擊。2、 3、 2、1、補(bǔ)丁管理通過

38、補(bǔ)丁管理，能夠?qū)?nèi)網(wǎng)終端計算機(jī)缺失補(bǔ)丁進(jìn)行定期檢測 和自動安裝與更新，保證系統(tǒng)與軟件缺陷一經(jīng)發(fā)現(xiàn)便可及時修補(bǔ)。通過補(bǔ)丁分發(fā) 管理，大大減少了操作系統(tǒng)和應(yīng)用軟件漏洞被利用所造成的安全隱患和經(jīng)濟(jì)損 失。同時，管理人員還可以實時統(tǒng)計當(dāng)前各終端計算機(jī)的補(bǔ)丁缺失情況、補(bǔ)丁安 裝情況以及補(bǔ)丁安裝的進(jìn)度等，得到全網(wǎng)的終端計算機(jī)補(bǔ)丁安裝快照。方便了對 補(bǔ)丁分發(fā)過程的監(jiān)控。2、3、2、2、防病毒控制通過防病毒軟件監(jiān)測，可以判斷終端計算機(jī)是否 安裝了防病毒軟件、防病毒軟件運行是否正常以及病毒庫是否保持最新等情況。 如果以上幾條不滿足設(shè)定的策略要求，監(jiān)測系統(tǒng)可以向管理人員發(fā)送報警信息。 最新資料歡迎閱讀另外，監(jiān)測系

39、統(tǒng)還可阻斷終端計算機(jī)的內(nèi)網(wǎng)接入和內(nèi)網(wǎng)訪問，確保易被感染的終 端計算機(jī)無法使用內(nèi)網(wǎng)。未安裝防病毒軟件的計算機(jī)進(jìn)行網(wǎng)絡(luò)訪問控制和隔離， 使其形成內(nèi)網(wǎng)中的孤島”。避免該終端計算機(jī)對內(nèi)網(wǎng)其它主機(jī)造成安全威脅。2、3、2、3、進(jìn)程監(jiān)控通過進(jìn)程的黑、白名單對機(jī)器上運行的應(yīng)用程序進(jìn) 行控制，黑名單與白名單是一種“或”的關(guān)系，可以同時配合使用，不同于以往 同時只能有一個處于工作狀態(tài)。被列入黑名單的進(jìn)程是無法在系統(tǒng)中運行的；而 列入白名單的進(jìn)程，在系統(tǒng)啟動后必須運行，否則會強(qiáng)制斷網(wǎng)，直到開啟了該程 序，網(wǎng)絡(luò)才會恢復(fù)連接。2、3、2、4、網(wǎng)頁過濾控制通過網(wǎng)頁過濾，可以有效屏蔽掉管理員禁止訪 問的網(wǎng)站，避免誤入已知

40、的非法或易受攻擊的網(wǎng)站，在事前保證機(jī)器訪問網(wǎng)站的 合法性。2、3、2、5、非法外聯(lián)控制通過禁用設(shè)備的Modem. ADSL撥號、雙網(wǎng)卡、 代理上網(wǎng)等方式，禁止工作于內(nèi)網(wǎng)的設(shè)備與外網(wǎng)連通，發(fā)生數(shù)據(jù)泄密和被攻擊的 事件，保證僅允許工作于內(nèi)網(wǎng)的設(shè)備的純粹性、安全性、機(jī)密性。而且一旦產(chǎn)生 相關(guān)的事件，會產(chǎn)生相關(guān)的預(yù)警信息，及時同時管理員。2、3、3、終端安全審計終端計算機(jī)的防泄密解決措施對計算機(jī)終端進(jìn)行 安全審計，如網(wǎng)絡(luò)接入、網(wǎng)絡(luò)外聯(lián)、文件操作、共享訪問、設(shè)備使用、進(jìn)程活動 等，通過安全審計可以實時掌握用戶的計算機(jī)使用行為。這類措施主要是應(yīng)對惡 意用戶的主動泄密行為。這類措施主要是應(yīng)對合法用戶由于疏忽

41、導(dǎo)致的被動泄密 行為。計算機(jī)終端的安全審計包括了事前控制、事中監(jiān)控和事后審計在內(nèi)的一系 列安全管理策略。通過安全審計，可以有效的控制、監(jiān)視和追蹤計算機(jī)終端用戶 的行為，一旦用戶有違保密規(guī)定的行為發(fā)生，管理員能夠快速得到報警信息。對 受控終端進(jìn)行審計是通過規(guī)則進(jìn)行的。審計規(guī)則設(shè)置的是對服務(wù)器規(guī)則控制下的 行為的記錄和統(tǒng)計。在服務(wù)器設(shè)置相應(yīng)的審計規(guī)則后，如果客戶端所在的設(shè)備有 符合規(guī)則的行為發(fā)生，則在服務(wù)器的日志中會有相應(yīng)記錄?？梢愿鶕?jù)需要配置受 控終端的文件操作、進(jìn)程、網(wǎng)絡(luò)訪問等事件的規(guī)則。系統(tǒng)根據(jù)規(guī)則自動記錄安全 審計日志并存入系統(tǒng)日志信息庫，這些信息是事后了解和判斷網(wǎng)絡(luò)安全事故的寶 貴資料。

42、安全審計應(yīng)包括如下幾個方面：涉密審計：涉密文件被操作使用、存儲和傳輸審計功能；入網(wǎng)審計：非法 最新資料歡迎閱讀設(shè)備接入審計功能；資產(chǎn)審計：自動登記受控終端的硬件配置（包括CPU、內(nèi) 存、硬盤、顯示卡、網(wǎng)卡等等），當(dāng)受控終端的硬件發(fā)生變動時能自動向安全管 理核心系統(tǒng)發(fā)出報警信息；系統(tǒng)審計：自動記錄受控終端操作系統(tǒng)配置的用戶、 工作組、邏輯驅(qū)動器，當(dāng)其發(fā)生變化時，自動向安全管理核心系統(tǒng)發(fā)出報警信息; 加載服務(wù)審計：對受控終端安裝的系統(tǒng)服務(wù)進(jìn)行審計，自動記錄系統(tǒng)服務(wù)的啟動 和停止；安裝和卸載審計：自動記錄受控終端上應(yīng)用程序的安裝與卸載情況；文 件審計：對文件操作進(jìn)行審計，記錄用戶對規(guī)則指定文件進(jìn)行的

43、各種操作；網(wǎng) 絡(luò)訪問審計：對網(wǎng)絡(luò)訪問進(jìn)行審計，記錄用戶對規(guī)則指定網(wǎng)址進(jìn)行的訪問操作； 打印機(jī)操作審計：對本地打印機(jī)使用情況進(jìn)行審計；移動存儲設(shè)備審計：對受 控終端的可移動存儲設(shè)備的使用情況進(jìn)行審計；非法外聯(lián)審計：對撥號、無線 網(wǎng)卡、手機(jī)紅外等訪問情況進(jìn)行審計。進(jìn)程審計：通過對終端計算機(jī)運行的進(jìn)程進(jìn)行審計，可以發(fā)現(xiàn)用戶正在運行 的程序?？梢酝ㄟ^進(jìn)程黑名單的方式限制用戶運行某些程序，例如游戲、攻擊工 具、視頻播放器、MP3播放器等。限制用戶利用計算機(jī)進(jìn)行與工作無關(guān)的操作。2、3、4、移動存儲介質(zhì)管理可信移動介質(zhì)解決方案，主要是實現(xiàn)如下目 標(biāo)：1)通過移動介質(zhì)交換的數(shù)據(jù)必須是密文，保證數(shù)據(jù)離開應(yīng)用環(huán)境后不可用；2) 數(shù)據(jù)交換前必須通過正確的身份認(rèn)證，包括密碼認(rèn)證或USB KEY等授權(quán)硬件 的身份認(rèn)證；3)記錄數(shù)據(jù)交換過程的工作日志，便于以后進(jìn)行跟蹤審計；4)未經(jīng)授權(quán)的移動介質(zhì)，在工作環(huán)境中不可用，只有經(jīng)過企業(yè)授權(quán)的移動介質(zhì) 才能進(jìn)入到企業(yè)的辦公環(huán)境；5)工作配發(fā)的移動介質(zhì)帶出辦公環(huán)境后變?yōu)椴豢捎谩闈M