內(nèi)網(wǎng)安全管理系統(tǒng)解決方案

1、I、II、2121213131313141414151516161617171718191內(nèi)網(wǎng)安全管理系統(tǒng)解決方案計(jì)算機(jī)終端安全管理需求分析1、網(wǎng)絡(luò)管理、1、1、物理網(wǎng)絡(luò)拓?fù)鋱D、1、2、流量控制、1、3、IP地址管理、1、4、故障定位、2、終端安全防護(hù)、2、1、補(bǔ)丁安裝防護(hù)、2、2、防病毒防護(hù)、2、3、進(jìn)程防護(hù)、2、4、網(wǎng)頁(yè)過(guò)濾、2、5、非法外聯(lián)防護(hù)、3、終端涉密信息防護(hù)、3、1、終端登錄安全認(rèn)證、3、2、I/O接口管理、3、3、桌面文件安全管理、3、4、文件安全共享管理、3、5、網(wǎng)絡(luò)外聯(lián)控制、4、移動(dòng)存儲(chǔ)介質(zhì)的管理、5、網(wǎng)絡(luò)接入控制、6、計(jì)算機(jī)終端管理與維護(hù) 、7、分級(jí)分權(quán)管理92、計(jì)算機(jī)終

2、端安全防護(hù)解決方案102、1、方案目標(biāo)102、2、遵循標(biāo)準(zhǔn)112、3、方案內(nèi)容122、3、1、網(wǎng)絡(luò)管理122、3、1、1、物理網(wǎng)絡(luò)拓?fù)鋱D132、3、1、2、流量控制132、3、1、3、IP地址綁定132、3、1、4、故障定位142、3、2、終端安全控制142、3、2、1、補(bǔ)丁管理 142、3、2、2、防病毒控制142、3、2、3、進(jìn)程監(jiān)控152、3、2、4、網(wǎng)頁(yè)過(guò)濾控制152、3、2、5、非法外聯(lián)控制152、3、3、終端安全審計(jì)152、3、4、移動(dòng)存儲(chǔ)介質(zhì)管理162、3、4、1、注冊(cè)授權(quán)182、3、4、2、訪問(wèn)控制182、3、4、3、數(shù)據(jù)保護(hù)192、3、4、4、自我保護(hù)192、3、4、5、操作

3、記錄192、3、5、計(jì)算機(jī)終端接入控制202、3、5、1、非法主機(jī)的定義202、3、5、2、非法接入控制策略202、3、5、3、非法接入阻斷技術(shù)實(shí)現(xiàn)原理212、3、6、計(jì)算機(jī)終端管理與維護(hù)222、3、6、1、主機(jī)信息收集222、3、6、2、網(wǎng)絡(luò)參數(shù)配置2 32、3、6、3、遠(yuǎn)程協(xié)助 232、3、6、4、預(yù)警平臺(tái)233、系統(tǒng)設(shè)計(jì)323、1、LanSecS系統(tǒng)安全性設(shè)計(jì)323、1、1、控制中心安全性323、1、2、主機(jī)代理安全性323、1、3、數(shù)據(jù)庫(kù)安全性323、1、4、策略分發(fā)與存儲(chǔ)安全性343 1、5、主機(jī)代理與控制中心通訊安全性 344、系統(tǒng)特色與系統(tǒng)部署364、1、LanSecS 系統(tǒng)特色

4、 364、2、LanSecS 典型部署 384、2、1、簡(jiǎn)單內(nèi)網(wǎng)環(huán)境384、2、2、本地多內(nèi)網(wǎng)環(huán)境384、2、3、分級(jí)部署環(huán)境395、產(chǎn)品配置要求391、計(jì)算機(jī)終端安全管理需求分析隨著科技的發(fā)展，計(jì)算機(jī)和網(wǎng)絡(luò)作為現(xiàn)代企業(yè)重要的工具，在日常辦公過(guò)程中發(fā)揮著越來(lái)越重要的角色。計(jì)算機(jī)和計(jì)算機(jī) 網(wǎng)絡(luò)已經(jīng)成為企業(yè)、政府和其它各種組織的重要信息載體和傳輸渠道。很明顯，計(jì)算機(jī)、計(jì)算機(jī)網(wǎng)絡(luò)和其所帶來(lái)的信息數(shù)字化大幅度提供了工作效率，也使得海 量的信息存 儲(chǔ)和處理成為了現(xiàn)實(shí)。但是， 在享受到計(jì)算機(jī)以及計(jì)算機(jī)網(wǎng)絡(luò)所帶來(lái)的方便個(gè)生的同時(shí)，也出現(xiàn)了目前受到廣泛尖注的 對(duì)內(nèi)網(wǎng)設(shè)備如何進(jìn)行有效管理的問(wèn)題，以及由此帶來(lái)的網(wǎng)

5、絡(luò)信息安全問(wèn)題。目前隨著制造 業(yè)單位規(guī)模不斷增大，IT硬件成本降低、更新?lián)Q代速度比較快，單位為了提高工作效率，不斷的增加新的設(shè)備；因此機(jī)器數(shù)量 和網(wǎng)絡(luò)規(guī)模也隨之增多、增大。員工辦公感覺(jué)是越來(lái) 越方便了，但是給網(wǎng)絡(luò)管理員帶 來(lái)的內(nèi)網(wǎng)管理問(wèn)題卻越來(lái)越重了。首先是網(wǎng)絡(luò)的管理，IP 混亂、網(wǎng)絡(luò)擁塞、出現(xiàn)故 障無(wú)法及時(shí)定位進(jìn)行解決其次是資產(chǎn)的管理，越來(lái)越多的設(shè)備使資產(chǎn)管理處于混亂， 管理員疲于資產(chǎn)的統(tǒng)計(jì)。在內(nèi)網(wǎng)信息安全管理方面，尤其是設(shè)備自身 的健壯，性，如何 保證設(shè)備硬件所承載的系統(tǒng)能夠正常 運(yùn)行；另一方面對(duì)于單位內(nèi)部的設(shè) 計(jì)部門，由 于數(shù)字信息本身具有易于復(fù)制的特性，利用這個(gè)特性，信息更易于受到難以

6、控 制和 追溯的盜取威脅，網(wǎng)絡(luò)使信息更容易受到破壞、更改和盜取。很明顯，能否最大限度 確保企業(yè)內(nèi)部數(shù)字信息的安 全性已經(jīng)尖系到了計(jì)算機(jī)和計(jì)算機(jī)網(wǎng)絡(luò)能否真正成為有 實(shí)質(zhì)意 義大規(guī)模應(yīng)用的矢鍵因素。如何提高安全T生保證機(jī)器的正常辦公、如何將非 法入侵者拒 之門外、如何防止內(nèi)部信息外泄，如何更好的保證網(wǎng)絡(luò)快速高效運(yùn)行，這些都是制造業(yè)目前在進(jìn)行網(wǎng)絡(luò)化過(guò)程中必須解決的問(wèn)題。目前各行業(yè)內(nèi)部網(wǎng)絡(luò)所采取的安全措施 基本上是采用防火墻、入侵檢測(cè)等安全產(chǎn)品放置于內(nèi)部網(wǎng)絡(luò)和外網(wǎng)連接處保證網(wǎng) 絡(luò)層的安全，并采用操作系統(tǒng)或應(yīng)用系統(tǒng)所帶的身份驗(yàn)證機(jī)制，或通過(guò)安裝物理隔離卡將內(nèi)部局域網(wǎng)劃分成內(nèi)網(wǎng)與外網(wǎng)兩個(gè)組成部分。內(nèi)部網(wǎng)絡(luò)

7、上大多數(shù)的應(yīng)用對(duì)制造業(yè)單位是至矢重要的，甚至是嚴(yán)格保密的。一旦出現(xiàn)病毒傳播、破壞的 事件，將產(chǎn)生嚴(yán)重后果。這些都使得內(nèi)網(wǎng)安全問(wèn) 題變得越來(lái)越重要和突出。而內(nèi)網(wǎng) 安全存在許多問(wèn)題，為了防范各種各樣的安全風(fēng)險(xiǎn)，必 須在內(nèi)網(wǎng)建立可靠的網(wǎng)絡(luò) 管理、安全監(jiān)控和審計(jì)控制，以保證內(nèi)部系統(tǒng)的順利運(yùn)行。為了 確保制造業(yè)單位內(nèi)部的IT系統(tǒng)的平穩(wěn)運(yùn)行，一個(gè)健壯的內(nèi)網(wǎng)安全管理體系是分重要的。作為制造業(yè)的計(jì)算 機(jī)終端安全管理方案而言，需要解決如下問(wèn)題：1、1、網(wǎng)絡(luò)管理在制造業(yè)的網(wǎng)絡(luò)環(huán)境中，由于單位規(guī)模、單位辦公的需要，存在 很多的 工作區(qū)域，甚至在外地也有自己的辦事處和生產(chǎn)車間，為了便于企業(yè)內(nèi)部的信息共享，一般采用專線

8、或其他網(wǎng)絡(luò)互聯(lián)技術(shù)，使之與內(nèi)部網(wǎng)絡(luò)連接，便于單位內(nèi)部的數(shù)據(jù)管理和辦公管理。但是大規(guī)模的網(wǎng)絡(luò)環(huán)境、復(fù)雜的分支機(jī)構(gòu)，給網(wǎng)絡(luò)管理帶來(lái) 了極大的困難，設(shè)備的 分布不明確；流量管理沒(méi)有依據(jù)；對(duì)于靜態(tài)IP地址環(huán)境地址 混亂、沖突也是很棘手的問(wèn)題。 針對(duì)網(wǎng)絡(luò)管理方面主要包括一下幾個(gè)方面：1、1、1、物理網(wǎng)絡(luò)拓?fù)鋱D單位的內(nèi)部網(wǎng)絡(luò)是由網(wǎng)絡(luò)設(shè)備共同作用，協(xié)同工作建立起 來(lái)的， 主要設(shè)備有：路由器、交換機(jī)、HUB,而在局域網(wǎng)中對(duì)數(shù)據(jù)交互起核心作用的 是交換機(jī)。目 前的網(wǎng)管軟件可以對(duì)邏輯拓?fù)鋱D進(jìn)行繪制，對(duì)交換機(jī)的面板信息進(jìn)行 提取和控制，但是無(wú)法看到終端設(shè)備和交換機(jī)端口的物理連接尖系，無(wú)法從拓?fù)鋱D上看到下連設(shè)備的信息

9、。如何建立起交換機(jī)端口和設(shè)備的連接尖系 是至尖重要的， 因?yàn)槎丝诘牧髁啃畔⑵鋵?shí)就是設(shè)備 的流量信息；想要掌控設(shè)備，只要對(duì)交換機(jī)端口進(jìn)行控制就可以了。因此物理拓?fù)鋱D顯示設(shè)備與端口的物理連接尖系會(huì)給管理帶來(lái)極大的方便。1、1、2、流量控制借助物理網(wǎng)絡(luò)拓?fù)鋱D上設(shè)備的物理連接尖系，通過(guò)可網(wǎng)管交換機(jī)端口的流量控制，能夠?qū)粨Q機(jī)下連的設(shè)備進(jìn)行端口控制，尖閉端口或是打開(kāi)端口。但是內(nèi)部網(wǎng)絡(luò)環(huán)境中不可能所有的交換機(jī)全部都是可網(wǎng)管的，而且管理員 不可能天天進(jìn)行端口的打開(kāi)、閉合操作，除非是出現(xiàn)異常的網(wǎng)絡(luò)攻擊和擁塞時(shí)，才會(huì)采取如此非常手段。因此對(duì)于日常的控制來(lái)說(shuō)，最有效的方法是通過(guò)控制每個(gè)終端設(shè)備的網(wǎng)卡流量，如果能將

10、設(shè)備的流量控制在一定的范圍內(nèi)，既 保證了設(shè)備的正常 工作使用，又可以防范在非法使用 P2P下 載軟件搶占帶寬和病毒爆發(fā)時(shí)給網(wǎng)絡(luò)速度 帶來(lái)的擁塞，這對(duì)于管理來(lái)說(shuō)才是實(shí)用的管理手 段。1、1、3、IP地址管理為了便于管理，出現(xiàn)問(wèn)題能夠及時(shí)追查，網(wǎng)絡(luò)建設(shè)時(shí)管 理員通 常使用靜態(tài)IP地址，這對(duì)于管理來(lái)說(shuō)確實(shí)是一個(gè)有效可行的措施。但是由于 員工的計(jì)算機(jī) 操作水平不同，很可能造成隨意修改IP地址帶來(lái)的內(nèi)網(wǎng)地址沖突，這 給內(nèi)網(wǎng)管理帶來(lái)很繁 瑣的問(wèn)題。雖然通過(guò)在核心或二層交換機(jī)上， 可以通過(guò)命令來(lái) 綁定IP/MAC地址從而消除上 述問(wèn)題，但是工作量龐大，因此徹底屏蔽IP地址沖突 的問(wèn)題是網(wǎng)絡(luò)管理必須要做的。1

11、、1、4、故障定位很多制造業(yè)內(nèi)部網(wǎng)絡(luò)龐大，分支繁多，一旦終端機(jī)器或網(wǎng) 絡(luò)鏈路 出現(xiàn)問(wèn)題，很難迅速定義問(wèn)題點(diǎn)，如果從鏈路著手解決問(wèn)題，除非管理員此前 做了詳盡的 網(wǎng)絡(luò)鏈路備份信息表（每次增加機(jī)器都需要逐臺(tái)進(jìn)行記錄），否則從眾多網(wǎng)絡(luò)排線中找出問(wèn)題鏈路將是一件分費(fèi)時(shí)、費(fèi)力的事情。1、2、終端安全防護(hù)單位內(nèi)網(wǎng)進(jìn)行辦公所運(yùn)行的各種服務(wù)都是應(yīng)用在終端設(shè)備的基礎(chǔ)上，一旦終端設(shè)備的安全性出現(xiàn)問(wèn)題，那么所有其承載的服務(wù)將無(wú)法運(yùn)行，嚴(yán) 重影響單 位的工作效率，給單位的生產(chǎn)造成損失。因此必須保證機(jī)器的健壯性，為了 保證機(jī)器的正 常運(yùn)行包括以下幾個(gè)方面：1、2、1、補(bǔ)丁安裝防護(hù)目前在制造業(yè)的單位中，承載各種應(yīng)用的操作

12、系統(tǒng)90%以上的端終用戶使用的都是windows2000,XP 或以上的操作系統(tǒng)，但是這幾種操作系統(tǒng)的 安全漏洞非常 多，很容易收到攻擊。微軟公司會(huì)通過(guò)定期發(fā)布安全補(bǔ)丁的 方式來(lái)彌 補(bǔ)這些漏洞，但由于 某些員工用戶缺乏相尖知識(shí)，或者處于研發(fā)部門的設(shè)計(jì)網(wǎng)是和單位局域網(wǎng)物理隔離的網(wǎng)絡(luò)， 從而導(dǎo)致補(bǔ)丁安裝的不完全，不及時(shí)，這就會(huì)嚴(yán)重影響 終端計(jì)算機(jī)的安全，一旦發(fā)生針對(duì) 微軟操作系統(tǒng)漏洞的攻擊，就會(huì)導(dǎo)致整個(gè)網(wǎng)絡(luò)受 到威脅。1、2、2、防病毒防護(hù)員工由于防范病毒意識(shí)較淡薄，沒(méi)有安裝防病毒軟件；或者由 于個(gè)人對(duì)防病毒品牌的傾向性，從而發(fā)生沒(méi)有安裝防病毒軟件，甚至意外卸載，或防病毒軟件沒(méi)有運(yùn)行，這樣不僅使單

13、臺(tái)PC機(jī)受到病毒侵害，而且一旦感染病 毒，可能回向內(nèi)網(wǎng)的 其他機(jī)器傳播，導(dǎo)致整個(gè)內(nèi)網(wǎng)病毒泛濫，甚至網(wǎng)絡(luò)擁塞。因此一定要保證防病毒軟件的安裝、正常運(yùn)行、及時(shí)升級(jí)。1、2、3、進(jìn)程防護(hù)由于當(dāng)前大量病毒以及惡意程序的存在，而這些程序?qū)τ谄胀ㄓ脩舳圆⒉恢?，甚至有些惡意程序通過(guò)技術(shù)手段使得用戶無(wú)法通過(guò)任務(wù)管理器看到其工作進(jìn)程；另一方面，有些用戶可能有意或無(wú)意地運(yùn)行一些可能會(huì)影響 他人或自己工作的軟件（如網(wǎng)絡(luò)嗅探器）。單位的機(jī)器目的是提高員工的生產(chǎn)效率，充分利用上班時(shí)間為單位創(chuàng)造更多效益，但是某些娛樂(lè)性軟件嚴(yán)重影響了員工的工作效率，某些下載軟件造成網(wǎng)絡(luò)速度減慢，影響了內(nèi)網(wǎng)的正常辦公 o因此通過(guò)制定策

14、略，實(shí)現(xiàn)對(duì)非法進(jìn)程的監(jiān)控并阻止， 能夠大大減少由內(nèi)部引起的網(wǎng)絡(luò)安全事件，提高我們的工作效率。1、2、4、網(wǎng)頁(yè)過(guò)濾某些員工訪問(wèn)Internet時(shí)，由于安全防范意識(shí)不夠，登陸惡 意網(wǎng) 站，造成機(jī)器受到攻擊，從而產(chǎn)生病毒感染、機(jī)器不能正常使用，注 冊(cè)表被修改？瀏覽器 無(wú)法正常的訪問(wèn)網(wǎng)絡(luò)；嚴(yán)重的甚至?xí)踩肽抉R，造成機(jī)器重要數(shù)據(jù)的網(wǎng)絡(luò) 泄密。因此必須 對(duì)內(nèi)網(wǎng)機(jī)器的網(wǎng)絡(luò)訪問(wèn)進(jìn)行必要的過(guò)濾。1、2、5、非法外聯(lián)防護(hù)單位內(nèi)部的局域網(wǎng)會(huì)在網(wǎng)絡(luò)的出口上，增加相尖 的安全硬件防護(hù)設(shè)備，例如：防火墻、IDS、IPS、防病毒網(wǎng)矢等設(shè)備來(lái)加強(qiáng)邊界的防護(hù)，保證內(nèi)網(wǎng)的安裝。但是員工由于好奇，或者厭煩上網(wǎng)出口的種種限制，通過(guò)

15、Modem或ADSL撥號(hào)方式訪 問(wèn)Internet,極易受到外部網(wǎng)絡(luò)的攻擊；當(dāng)該機(jī)器一旦受到攻擊，回到內(nèi)網(wǎng)后很容易將相矢病 毒、木馬向內(nèi)網(wǎng)傳播。1、3、終端涉密信息防護(hù)在現(xiàn)代生活中，信息就是財(cái)富。無(wú)論是國(guó)家、政府、 企業(yè) 和個(gè)人都不希望機(jī)密信息被別人竊取，造成各種經(jīng)濟(jì)和社會(huì)損失。對(duì)制 造業(yè)單位的設(shè)計(jì)、 研發(fā)部門來(lái)說(shuō)，機(jī)密信息的存儲(chǔ)、使用和傳遞過(guò)程中，會(huì)面臨各種各樣的 泄漏風(fēng)險(xiǎn)。信息外泄的途徑包括：1本地打印機(jī)、網(wǎng)絡(luò)打印機(jī)的非法 輸出涉密文件；1終端計(jì)算機(jī)非法撥 號(hào)、非法外聯(lián)訪問(wèn)；1離線存儲(chǔ)設(shè)備存儲(chǔ)涉密文件遺失；1內(nèi)部員工使用涉密計(jì)算機(jī)連接外 部網(wǎng)絡(luò)致使泄密；1工作人員由于對(duì)計(jì)算機(jī)專業(yè)知識(shí)的不

16、熟悉而泄密。從泄密行為的區(qū)別 上，分為兩種泄密：被動(dòng)泄密和主動(dòng)泄密。被動(dòng)泄 密：由于員工的電子信息保密的意識(shí)還 不強(qiáng)，常常由于專業(yè)知識(shí)不熟悉或者工作疏忽而造成泄密。如有些人由于不知道計(jì)算機(jī)的 電磁波輻射會(huì)泄露秘密信息，計(jì)算機(jī)工作時(shí)未采取任何措施，因而給他人提供竊密 的機(jī)會(huì); 有些人由于不知道計(jì)算機(jī)軟 盤上的剩磁可以提取還原，將曾經(jīng)存貯過(guò)秘密信息的軟盤交流 出去，因而造成泄密； 有些人因事離機(jī)時(shí)沒(méi)有及時(shí)矢機(jī)，或者采取屏幕保護(hù)加密措施，使 各種輸入、輸出信 息暴盛在界面上；有些人對(duì)自己使 用的計(jì)算機(jī)終端缺乏防護(hù)意識(shí)，如沒(méi) 有及時(shí)升級(jí) 病毒庫(kù)和更新系統(tǒng)補(bǔ)丁，導(dǎo)致病毒和木馬的入侵，在不知不覺(jué)中泄:8了

17、機(jī)密信 息。主動(dòng)泄密：這種情況是由于內(nèi) 部員工出于個(gè)人利益或者發(fā)泄不滿情緒，有意識(shí)的收集 和竊取機(jī)密信息。由于電子信息文檔不像傳統(tǒng)文檔那樣直觀，極易被復(fù)制，且不會(huì)留下痕跡，所以竊取秘密也非常容易。電子計(jì)算機(jī)操作人員徇私枉法，受親友或朋友委托，通過(guò)計(jì)算機(jī)查詢有尖案情，就可以向有矢人員泄案情。計(jì)算機(jī)操作人員被收買，泄露計(jì)算機(jī)系統(tǒng)軟件保密措施，口令或密鑰，就會(huì)使不法分子打入計(jì)算機(jī)網(wǎng)絡(luò)，竊取信息系統(tǒng)、數(shù)據(jù)庫(kù)內(nèi)的重要秘密。對(duì)于制造業(yè)單位來(lái)說(shuō)，涉密終端計(jì)算機(jī)作為涉密信息處理的工具，在其上存儲(chǔ)、傳輸和處理的涉密信息的安全性保護(hù)相當(dāng)重要。任 何一個(gè)環(huán)節(jié)的疏漏均可導(dǎo)致涉 密信息的丟失。因此，必須加強(qiáng)對(duì)涉密信息的

18、防護(hù)。當(dāng) 前，對(duì)涉密信息的防護(hù)需求主要包 括如下幾個(gè)方面：1、3、1、終端登錄安全認(rèn)證終端用戶當(dāng)前通過(guò)用戶名/口令方式進(jìn)行計(jì)算機(jī)本地/域登 錄，然而用戶名/ 口令方式雖然簡(jiǎn)單，但是存在很大的安全隱患：1密碼管理復(fù)雜1密碼容易泄漏1存在暴力破解的可能性1無(wú)法阻止他人惡意非法盜用因此，作為終端安全管理的 第一步，首先需要解決終端登錄安全認(rèn)證的問(wèn)題。1、3、2、I/O接口管理隨著計(jì)算機(jī)外設(shè)的增多，各種各樣的輸出設(shè)備（軟驅(qū)、刻錄機(jī)、打印機(jī)、繪圖儀、移動(dòng)存儲(chǔ)設(shè)備、紅外、藍(lán)牙、無(wú)線網(wǎng)絡(luò)設(shè)備）為信息處理和傳輸提供極大便利的同時(shí)，也為機(jī)密信息的擴(kuò)散和泄露帶來(lái)了可能。尤其是USB接口的計(jì)算機(jī)周邊設(shè)備的豐富，使得

19、計(jì)算機(jī)與其他外部設(shè)備，如 U盤，USB打印機(jī)等連接分方便，并能輕而易舉地通過(guò)USB設(shè)備將外部數(shù)據(jù)導(dǎo)入或者內(nèi)部數(shù)據(jù)導(dǎo)出，為 重要數(shù)據(jù)的保護(hù)帶來(lái)了巨大 的安全隱患。1、3、3、桌面文件安全管理作為數(shù)據(jù)最終處理的計(jì)算機(jī)終端，存儲(chǔ)著大量的 業(yè)務(wù)數(shù)據(jù)。由于Windows操作系統(tǒng)默認(rèn)將數(shù)據(jù)以明文方式存儲(chǔ)于磁盤上，因此一旦其他未被授權(quán)用戶能夠進(jìn)入操作系統(tǒng)，都能非常方便地實(shí)現(xiàn)對(duì)磁盤數(shù)據(jù)的訪問(wèn)和閱 讀。因此，如何確保數(shù)據(jù)信息在計(jì)算機(jī)終端的安全，也是計(jì)算機(jī)終端安全管理必須考 慮的問(wèn)題。1、3、4、文件安全共享管理由于計(jì)算機(jī)終端大多使用 Windows操作系統(tǒng)，而 該操 作系統(tǒng)安裝后即開(kāi)放了部分共享目錄，同時(shí)由于許

20、多用戶并未采用安全的訪問(wèn)密碼，造成其他用戶能夠較為方便地通過(guò)遠(yuǎn)程網(wǎng)絡(luò)實(shí)現(xiàn)對(duì)他人網(wǎng)絡(luò)共享數(shù)據(jù)的訪問(wèn)。因此嚴(yán)格控制終端的文件共享，尤其是涉密終端的文件共享，也是桌面系統(tǒng)安全管 理的重要內(nèi)容。同時(shí)，作為常見(jiàn)的文件共享，應(yīng)能提供安全的用戶身份認(rèn)證機(jī)制、完善的共享授權(quán)以及詳細(xì)的訪問(wèn)日志信息。1、3、5、網(wǎng)絡(luò)外聯(lián)控制涉密內(nèi)網(wǎng)雖然不與互聯(lián)網(wǎng)直接連接，但是內(nèi)部人員可能會(huì)出于各種原因通過(guò)Modem撥號(hào)、ADSL 土網(wǎng)、無(wú)線上網(wǎng)等技術(shù)手段將個(gè)人終端計(jì)算機(jī)接入互聯(lián) 網(wǎng)。這種行為帶來(lái)的危害不僅包括內(nèi)部員工通過(guò)主動(dòng)的郵件發(fā)送、即時(shí)通訊等手段將機(jī)密信息發(fā)送到內(nèi)網(wǎng)之外，也為內(nèi)網(wǎng)增加了來(lái)自互聯(lián) 網(wǎng)上的攻擊 和破壞的風(fēng)險(xiǎn)，從而

21、導(dǎo)致由互 聯(lián)網(wǎng)入侵或者木馬程序等方式造成內(nèi)網(wǎng) 機(jī)密信息的被 動(dòng)泄密。因此對(duì)終端計(jì)算機(jī)的網(wǎng)絡(luò)外 聯(lián)控制是防泄密管理的重要內(nèi)容之一。1、4、移動(dòng)存儲(chǔ)介質(zhì)的管理移動(dòng)存儲(chǔ)介質(zhì)已經(jīng)得到普及應(yīng)用，移動(dòng)存儲(chǔ)介質(zhì)使 用靈活、方便，使它在各個(gè)單位的信息化過(guò)程中迅速得到普及，越來(lái)越多的 敏感信息、秘密數(shù) 據(jù)和檔案資料被存貯在移動(dòng)存儲(chǔ)介質(zhì)里，大量的秘密文件和資 料變?yōu)榇?性介質(zhì)、光學(xué)介質(zhì)， 存貯在無(wú)保護(hù)的移動(dòng)存儲(chǔ)介質(zhì)中，這給企業(yè)涉及設(shè)計(jì)、研發(fā)信息資源帶來(lái)相當(dāng)大的安全隱患。存儲(chǔ)介質(zhì)作為企業(yè)核心商業(yè)機(jī)密和敏感信息的載體，實(shí)現(xiàn)對(duì)它們安全、有效的管理是 保證企業(yè)信息安全的重要手段。移動(dòng)存儲(chǔ)介質(zhì)使用過(guò)程中常見(jiàn)的風(fēng)險(xiǎn)包括：1)

22、非法拷貝敏感信息和涉密信息到磁盤、U盤或其他移動(dòng)存儲(chǔ)介質(zhì)中；2)企業(yè)外部移動(dòng)存儲(chǔ)介質(zhì)未經(jīng)授權(quán)在內(nèi)部使用；3)企業(yè)內(nèi)部移動(dòng)存儲(chǔ)介質(zhì)及信息資源被帶出，在外部非授權(quán)使用；4)使用過(guò)程的疏忽；5)存貯在媒體中的秘密信息在聯(lián)網(wǎng)交換時(shí)被泄露或被竊取，存貯在媒體中的秘密信息在進(jìn)行人工交換時(shí)泄密；6)處理廢舊移動(dòng)存儲(chǔ)介質(zhì)時(shí)，由于磁盤經(jīng)消磁余次后，仍有辦法恢復(fù)原來(lái)記錄的信息,存有秘密信息的磁盤很可能被利用磁盤剩磁提取原記錄的信息一這很容 易發(fā)生在對(duì)磁盤的 報(bào)廢時(shí)，或存貯過(guò)祕(mì)密信息的磁盤，用戶認(rèn)為已經(jīng)清除了信息，而給其 他人使用；7)移動(dòng)存儲(chǔ)介質(zhì)發(fā)生故障時(shí)，存有秘密信息的介質(zhì)不經(jīng)處理或無(wú)人監(jiān)督就帶出修理，或修理時(shí)

23、沒(méi)有懂技術(shù)的人員在場(chǎng)監(jiān)替，而造成泄密；8)移動(dòng)存儲(chǔ)介質(zhì)管理不規(guī)范，秘密信息和非秘密信息放在同一媒體上，明密不分， 媒 體介質(zhì)不標(biāo)密級(jí)，不按有矢規(guī)定管理秘密信息的媒體，容易造成泄密； 9)移動(dòng)存儲(chǔ) 設(shè)備在 更新?lián)Q代時(shí)沒(méi)有進(jìn)行技術(shù)處理；10)媒體失竊，存有秘密信息的磁盤等媒體被盜，就會(huì)造成大量的國(guó)家或企業(yè)秘密 信息 外泄，其危害程度將是難以估量的，丟失造成后果非常嚴(yán)重。綜上所述，移動(dòng)存 儲(chǔ)介質(zhì)的 管理對(duì)制造業(yè)來(lái)說(shuō)，是一個(gè)必須尖注的問(wèn)題。1、5、網(wǎng)絡(luò)接入控制若不對(duì)接入網(wǎng)絡(luò)的計(jì)算機(jī)設(shè)備進(jìn)行認(rèn)證，則每一臺(tái)外來(lái)的 計(jì)算 機(jī)設(shè)備只要通過(guò)涉密網(wǎng)內(nèi)的任何一個(gè)端口連接，則整個(gè)網(wǎng)絡(luò)都將向其開(kāi)放，這 顯然對(duì)于內(nèi)部網(wǎng)絡(luò)

24、安全而言是巨大的安全隱患。因此，需要對(duì)計(jì)算機(jī)終端的接入進(jìn)行有效的監(jiān)視和控制。通過(guò)提取接入計(jì)算機(jī)的物理特征，可以判斷該計(jì) 算機(jī)是否為 企業(yè)內(nèi)網(wǎng)上授權(quán)接入的計(jì) 算機(jī)，如果為非授權(quán)計(jì)算機(jī)，則視為非法主機(jī)。對(duì)非法主機(jī)需要采取必要的方式進(jìn)行阻斷和隔離，從而保證該計(jì)算機(jī)無(wú)法訪問(wèn)內(nèi)網(wǎng)的相尖資源。另外，對(duì)于內(nèi)網(wǎng)授權(quán)使用的計(jì)算機(jī)，任何一臺(tái)感染了病毒和木馬，管理人員也無(wú)法及時(shí)定位和自動(dòng)阻斷該計(jì)算機(jī)的破壞行為。往往需要花費(fèi)很長(zhǎng)的時(shí)間才能判斷和定位該計(jì)算機(jī)，然后再通過(guò)手動(dòng)的方式斷網(wǎng)。對(duì)安全 強(qiáng)度差的終端計(jì)算機(jī)缺乏有效的安 全狀態(tài)檢測(cè)和內(nèi)網(wǎng)接入控制，也是內(nèi)網(wǎng)管理人員比 較頭 疼的問(wèn)題之一。要想對(duì)此類 計(jì)算機(jī)進(jìn)行接入的控

25、制，首先應(yīng)該對(duì)計(jì)算機(jī)的安全狀態(tài)能夠?qū)?時(shí)掌握，例如病毒庫(kù)的升級(jí)情況和操作系統(tǒng)補(bǔ)丁的修補(bǔ)情況等。只 有掌握了計(jì)算機(jī)的安全 狀態(tài)，才能根 據(jù)其安全狀態(tài)判斷是否應(yīng)該對(duì)其進(jìn)行阻斷和隔離。1、6、計(jì)算機(jī)終端管理與維護(hù)對(duì)于制造業(yè)單位龐大的網(wǎng)絡(luò)和眾多的終端計(jì)算機(jī)來(lái)說(shuō)，依靠傳統(tǒng)的資產(chǎn)登記管理辦法，根本無(wú)法做到對(duì)計(jì)算機(jī)配置信息的準(zhǔn)確掌握，對(duì)計(jì)算機(jī)配置的變化也無(wú)法及時(shí)跟蹤。例如，要準(zhǔn)確掌握每臺(tái)計(jì)算機(jī)的軟硬件配置 信息，通過(guò)手工方式將是非常耗時(shí)和繁瑣的工作。要想實(shí)時(shí)并準(zhǔn)確地 掌握內(nèi)網(wǎng)終端計(jì)算機(jī)的配置狀況與配置 變更狀況，必須通過(guò)技術(shù)手段和工具來(lái)輔 助實(shí)現(xiàn)，才能有 效節(jié)省成本和資源，提高內(nèi)網(wǎng)管 理的效率o另外，由于終

26、端計(jì)算機(jī)的數(shù)量眾多，管理 人員也無(wú)法實(shí)時(shí)掌握每臺(tái)終端計(jì)算機(jī) 的運(yùn)行狀態(tài)。當(dāng)終端計(jì)算機(jī)出現(xiàn)故障需要維護(hù)時(shí)，管理人員如果采用現(xiàn)場(chǎng)維護(hù)的方式，一方面增加了人力成本，另外由于人力資源 有限，也無(wú)法保證維護(hù)的及時(shí)性。如何實(shí)時(shí)監(jiān)視 終端計(jì)算機(jī)的運(yùn)行狀況，并且方便地 對(duì)終端計(jì)算機(jī)進(jìn)行遠(yuǎn)程維護(hù)，是制造業(yè)單位網(wǎng)絡(luò)管理 人員迫切需要解決的問(wèn)題。1、7、分級(jí)分權(quán)管理內(nèi)網(wǎng)安全管理系統(tǒng)作為一個(gè)計(jì)算機(jī)終端防護(hù)、檢測(cè)、維護(hù) 和工 具，其特點(diǎn)是管理的計(jì)算機(jī)數(shù)量眾多。管理這么多的計(jì)算機(jī)，依靠某一位管理員是不現(xiàn)實(shí)的，另外，如果企業(yè)的部門設(shè)置較為復(fù)雜，分支機(jī)構(gòu)多，則會(huì)加劇管理的難 度。因?yàn)橐粋€(gè)管 理員不可能了解所有計(jì)算機(jī)終端用戶的

27、計(jì)算機(jī)使用 細(xì)節(jié)，所以對(duì)管 理的深度和強(qiáng)度無(wú)法把 握。由于以上的原因，對(duì)以一個(gè)大型企業(yè)，從科學(xué)管理的角度來(lái)講，必須采用分權(quán)管理的思想。所謂分權(quán)管理，包括兩層含義。1是把所管理的計(jì)算機(jī)終端范圍進(jìn)行劃分和分配，采 取誰(shuí)熟悉、誰(shuí)管理的原則，不同管理員自己管理自己范圍內(nèi)的計(jì)算機(jī)、包括策略的設(shè)置和審計(jì)的查看等o 1是把系統(tǒng)策略的配置進(jìn)行劃分和分配，采取誰(shuí)適合、誰(shuí)管理的原則，不同 管理員有不同的策略配置權(quán)限。這樣處 理可以保證策略的配置不會(huì)違反單位的保密規(guī) 定。 例如，某管理員可以配置補(bǔ)丁分 發(fā)的策略，而另一個(gè)管理員則可以配置安全審計(jì)的策略。對(duì)于規(guī)模巨大的制造業(yè)單 位，往往都在管理層次上劃分為多個(gè)垂直單位

28、，如集團(tuán)、所、部 門等?？紤]到制造業(yè) 單位對(duì)管理上的需求往往希望能夠由上級(jí)部門直接設(shè)定下級(jí)部門的安 全策略和查看 下級(jí)單位的審計(jì)信息。這就提出了分級(jí)管理的需求。所謂分級(jí)管理，就是由 上級(jí)機(jī)構(gòu) 對(duì)下級(jí)直接進(jìn)行管理，管理上的控制力度可以由上級(jí)機(jī)構(gòu)自主設(shè)定。例如可能上 級(jí)機(jī)構(gòu)希望取消下級(jí)機(jī)構(gòu)的所有管理權(quán)限，或者希望為下級(jí)機(jī)構(gòu)分配一定范圍的管理 權(quán)限, 而尖鍵策略的設(shè)置則由自己設(shè)定。分級(jí)管理的主要需求分為如下兩個(gè)方面：1策略配置，上級(jí)機(jī)構(gòu)可以直接接管下級(jí)的策略配置權(quán)限， 上級(jí)設(shè)定的策略，下級(jí)無(wú)法 更改。1審計(jì)報(bào)表查 看，上級(jí)機(jī)構(gòu)可以隨時(shí)要求下級(jí)機(jī)構(gòu)將上級(jí)尖心的報(bào)表傳遞上來(lái)，審查下級(jí)機(jī)構(gòu)的策略執(zhí)行情況以

29、及違規(guī)事件等。2、 計(jì)算機(jī)終端安全防護(hù)解決方案2、1、方案目標(biāo)本方案的目標(biāo)是為延邊天池工貿(mào)有限公司提供一套計(jì)算機(jī)終端安全管理解決方案。為機(jī)密信息的防護(hù)和計(jì)算機(jī)終端的運(yùn)行維護(hù)提供有效的工具和手段。通過(guò)本方案，能夠?qū)崿F(xiàn)對(duì)單位內(nèi)部局域網(wǎng)進(jìn)行網(wǎng)絡(luò)的統(tǒng)一管理、檢測(cè)局域網(wǎng)內(nèi)計(jì)算機(jī)終端是否安裝有殺毒軟件，實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)終端計(jì)算機(jī)的流量控制、規(guī)范上網(wǎng)管理、安全管理、終端涉密信息防護(hù)、網(wǎng)絡(luò)接入/外聯(lián)管理、移動(dòng)存儲(chǔ)介質(zhì)的管理、審計(jì)和 計(jì)算機(jī)的日常運(yùn)行維護(hù)O2、2、遵循標(biāo)準(zhǔn)本設(shè)計(jì)方案的主要依據(jù)是國(guó)家保密局文件涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)技術(shù)要求(BMB17 ? xx),同時(shí)，還參考了以下標(biāo)準(zhǔn)和法規(guī)、文件：1國(guó)家標(biāo)準(zhǔn)G

30、B/T2887-2000電子計(jì)算機(jī)場(chǎng)地通用規(guī)范；1國(guó)家標(biāo)準(zhǔn)GB9254-1998信息技術(shù)設(shè)備的無(wú)線電騷擾限值和測(cè)量方法；1國(guó)家標(biāo)準(zhǔn)GB9361-1998計(jì)算站場(chǎng)地安全要求；1國(guó)家標(biāo)準(zhǔn)GB/T9387、2-1995信息處理系統(tǒng)開(kāi)放系統(tǒng)互連基本參考模型第2部分:安全體系結(jié)構(gòu)(MtIS07498 ? 2: 1989 ) ; 1國(guó)家標(biāo)準(zhǔn)GB17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則；1國(guó)家標(biāo)準(zhǔn)GB/T18336-2001信息技術(shù)安全 技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則 (idtIS0/IEC1540& 1999 ) ; 1國(guó)家標(biāo)準(zhǔn)GB50174- 1993電子 計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范；1國(guó)家軍用標(biāo)準(zhǔn)G

31、JB3433-1998軍用計(jì)算機(jī)網(wǎng)絡(luò)安全體系結(jié)構(gòu)；1國(guó)家公共安全和保密標(biāo)準(zhǔn) GGBBM999信息設(shè)備 電磁泄漏發(fā)射限值；1國(guó)家保密標(biāo)準(zhǔn)BMB2-1998使用現(xiàn)場(chǎng)的信息設(shè)備電磁泄漏發(fā)射檢 查測(cè)試方法和安全判據(jù)；1國(guó)家保密標(biāo)準(zhǔn)BMB3-1999處理 涉密信息 的電磁屏蔽室的技 術(shù)要求和測(cè)試方法國(guó)家保密標(biāo)準(zhǔn) BMB4-2000電磁干擾器技術(shù)要求和測(cè)試方法；1國(guó)家 保密標(biāo)準(zhǔn)BMB5-2000涉密信息設(shè)備使用現(xiàn)場(chǎng)的電磁泄漏發(fā)射防護(hù)要求；1國(guó)家保密指 南BMZ1-2000涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)保密技術(shù)要求；1國(guó)家保密指南BMZ2-2001涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)安全保密方案設(shè)計(jì)指南；1國(guó)家保密指

32、南BM23-2000涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)安 全保密測(cè)評(píng)指南；1國(guó)家信息化領(lǐng)導(dǎo)小組尖于 加強(qiáng)信息安全保障工作的意見(jiàn)中共中央辦公廳國(guó)務(wù)院辦公廳中辦發(fā)2003127號(hào)；1國(guó)家 保密局文件計(jì)算機(jī)信息系統(tǒng) 保密管理暫行規(guī)定(國(guó)保發(fā)1998 1號(hào))；1中央保密委員 會(huì)辦公室、國(guó)家保密局文 件涉及國(guó)家秘密的通信、辦公自動(dòng)化和計(jì)算機(jī)信息系統(tǒng)審批暫 行辦法(中保辦發(fā)19986號(hào))；1中共中央辦公廳國(guó)務(wù)院辦公廳矢于轉(zhuǎn)發(fā)中共中央保 密委員會(huì)辦公 室、國(guó)家保密局矢于國(guó)家秘密載體保密管理的規(guī)定的通知(廳字200058號(hào));1尖于加強(qiáng)信息安全保障工作中保密管理的若干意見(jiàn)中共中央保密委員會(huì)中保委發(fā)20047號(hào)；1涉

33、及國(guó)家秘密德信息系統(tǒng)分級(jí)保護(hù)管理辦法國(guó)家保密局國(guó)保發(fā) xx16號(hào); 1信息安全等級(jí)保護(hù)管理辦法（試行）公安部國(guó)家保密局國(guó)家密碼管 理局國(guó)務(wù)院信息化 工作辦公室公通字xx7號(hào)。2、3、方案內(nèi)容針對(duì)以上我們分析內(nèi)網(wǎng)管理出現(xiàn)的實(shí)質(zhì)問(wèn)題，結(jié)合信息化安全建設(shè)已經(jīng)從最初的網(wǎng)絡(luò)安全焦點(diǎn)互聯(lián)網(wǎng)邊界防護(hù)向單位的內(nèi)網(wǎng)轉(zhuǎn)移，因此我們必須 認(rèn)識(shí)到內(nèi)網(wǎng)安全管理的重要性，對(duì)內(nèi)網(wǎng)安全進(jìn)行全面防護(hù)，“防患于未燃”。為了加強(qiáng)延邊天池工貿(mào)有限公司的內(nèi)網(wǎng)安全防護(hù)，防止設(shè)計(jì)部門機(jī)密數(shù)據(jù)的泄漏，加強(qiáng)內(nèi) 網(wǎng)的健壯性，同時(shí)根據(jù)延邊天池工貿(mào)有限公司提出的一些新的方案功能需求，我們 提出如下內(nèi)網(wǎng)安全管理解決方案。2、3、1、網(wǎng)絡(luò)管理網(wǎng)絡(luò)管理是

34、建立在內(nèi)網(wǎng)中支持 SNMP協(xié)議的可網(wǎng)管交換機(jī)，自動(dòng)進(jìn)行拓 撲圖的學(xué)習(xí)，從而生成物理網(wǎng)絡(luò)拓?fù)鋱D。在此基礎(chǔ)上實(shí)現(xiàn)對(duì)交換機(jī)流量的控制、設(shè)備故障定位，結(jié)合客戶端控制軟件的IP地址管理功能、網(wǎng)卡流量控制功能， 全面實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)從網(wǎng) 絡(luò)設(shè)備到終端機(jī)器的控制。既保證了網(wǎng)絡(luò)的正常運(yùn) 行，又可以在出現(xiàn)問(wèn)題時(shí)能夠盡快解決。2、 3、 1、1、物理網(wǎng)絡(luò)拓?fù)鋱D在支持公有 SNMP協(xié)議的交換機(jī)上，能夠自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi) 所有網(wǎng) 絡(luò)設(shè)備（包括三層和二層設(shè)備），通過(guò)系統(tǒng)提供的智能學(xué)習(xí)功能，自動(dòng)識(shí)別網(wǎng)絡(luò)的物理拓?fù)浣Y(jié)構(gòu)，生成網(wǎng)絡(luò)物理連接拓?fù)鋱D。物理拓?fù)鋱D包括兩種：鏈路拓?fù)浜腿滞負(fù)鋱D。鏈路拓?fù)鋱D只顯示交換機(jī)之間的端口連接尖系；全局拓

35、撲圖顯示所有的 網(wǎng)絡(luò)設(shè)備和客戶端主機(jī)可以直觀查看客戶端主機(jī)與網(wǎng)絡(luò)設(shè)備之間的端口連接矢系。拓?fù)鋱D可以進(jìn)行編輯、保存，并可以通過(guò)參數(shù)設(shè)置，按設(shè)置好的時(shí)間段對(duì)拓?fù)鋱D上的合法接入設(shè)備進(jìn)行實(shí)時(shí)更新。在拓?fù)鋱D上可以方便地查看 可管理設(shè)備的配置信息， 如System、Interface IP Address x Routing、 ARP、MAC Address. Flow 等。物理網(wǎng)絡(luò) 拓?fù)鋱D便于管理員掌握內(nèi)部網(wǎng)絡(luò)的分布情況，機(jī)器 連接鏈路的變化情況，使整個(gè)網(wǎng)絡(luò)了然于胸。2、3、1、2、流量控制流量控制包括兩個(gè)方面，既可以通過(guò)控制交換機(jī)的端口，使用端口的打開(kāi)和閉合功能實(shí)現(xiàn)對(duì)下連設(shè)備的鏈路流量的開(kāi)啟和尖閉，也

36、可以通過(guò)客戶端程序?qū)γ總€(gè)終端機(jī)器的網(wǎng)卡流量進(jìn)行設(shè)置，對(duì)于超過(guò)指定閥值的設(shè)備進(jìn) 行自動(dòng)的網(wǎng)絡(luò)阻斷，當(dāng)網(wǎng)卡流量恢復(fù)到正常時(shí)，網(wǎng)卡自動(dòng)開(kāi)啟、恢復(fù)網(wǎng)絡(luò)連接，保證受控端在指定的流量范圍內(nèi)進(jìn)行網(wǎng)絡(luò)連通。既保證了其正常工作，又不會(huì)影響網(wǎng)絡(luò)帶寬。2、3、1、3、IP地址綁定通過(guò)使IP地址和每臺(tái)機(jī)器的ID號(hào)相對(duì)應(yīng)，以對(duì)應(yīng)的尖系為依 據(jù)，從而保證每個(gè)IP有一個(gè)唯一的標(biāo)識(shí)與之對(duì)應(yīng)。當(dāng)客戶 端程序檢 測(cè)到IP地址進(jìn)行修改 時(shí)，IP地址會(huì)自動(dòng)恢復(fù)到此前已經(jīng)綁定了的IP值，保證IP地址 不會(huì)被隨意修改。杜絕了 單位內(nèi)部的IP地址沖突問(wèn)題。2、3、1、4、故障定位通過(guò)物理網(wǎng)絡(luò)拓?fù)鋱D顯示的物理網(wǎng)絡(luò)鏈路連接尖系，可 以得到 設(shè)

37、備和交換機(jī)的物理連接鏈路。一旦設(shè)備或鏈路出現(xiàn)故障，可以通過(guò)直 觀的圖象信息，準(zhǔn) 確定位故障點(diǎn)，對(duì)問(wèn)題進(jìn)行及時(shí)排查、處理。配合交換機(jī)端口流量閥值設(shè)置，一旦某條鏈路出現(xiàn)流量超限的事件，相應(yīng)錢路連接會(huì)產(chǎn)生顏色的變化，便于管 理員及時(shí)掌握內(nèi)網(wǎng)鏈路 流量狀況。2、3、2、終端安全控制通過(guò)對(duì)補(bǔ)丁分發(fā)、防病毒控制、進(jìn)程監(jiān)控、網(wǎng)頁(yè)過(guò)濾控制,來(lái)盡最大程度保證內(nèi)網(wǎng)機(jī)器的安全性和健壯性，避免由于自身安全性 不完善而 造成的系統(tǒng) 崩潰，抵御已知的一切外部攻擊。3、 2、補(bǔ)丁管理通過(guò)補(bǔ)丁管理，能夠?qū)?nèi)網(wǎng)終端計(jì)算機(jī)缺失補(bǔ)丁進(jìn)行定期檢測(cè)和自動(dòng)安裝與更新，保證系統(tǒng)與軟件缺陷一經(jīng)發(fā)現(xiàn)便可及時(shí)修補(bǔ)。通過(guò)補(bǔ)丁分發(fā)管理，大大減少了操

38、作系統(tǒng)和應(yīng)用軟件漏洞被利用所造成的安全隱患和經(jīng)濟(jì)損失。同時(shí)，管理人員還可以實(shí)時(shí)統(tǒng)計(jì)當(dāng)前各終端計(jì)算機(jī)的補(bǔ)丁缺失情況、補(bǔ)丁安裝情況以及補(bǔ)丁安裝的進(jìn)度等，得到全網(wǎng)的終端計(jì)算機(jī)補(bǔ)丁安裝快照。方便了對(duì)補(bǔ)丁分發(fā)過(guò)程的監(jiān)控。3、2、2、防病毒控制通過(guò)防病毒軟件監(jiān)測(cè)，可以判斷終端計(jì)算機(jī)是否安裝了防病毒軟件、防病毒軟件運(yùn)行是否正常以及病毒庫(kù)是否保持最新等情況。如果以上幾條不滿足設(shè)定的策略要求，監(jiān)測(cè)系統(tǒng)可以向管理人員發(fā)送報(bào)警信息。另外，監(jiān)測(cè)系統(tǒng)還可阻斷終端計(jì)算機(jī)的內(nèi)網(wǎng)接入和內(nèi)網(wǎng)訪問(wèn)，確保易被感染的終端計(jì)算機(jī)無(wú) 法使用內(nèi)網(wǎng)。未安裝防病毒軟件的計(jì)算機(jī)進(jìn)行網(wǎng)絡(luò)訪問(wèn)控制和隔離，使其形成內(nèi)網(wǎng)中的“孤島”。避免該終端計(jì)算機(jī)對(duì)

39、內(nèi)網(wǎng)其它主機(jī)造成安全威脅。2、3、2、3、進(jìn)程監(jiān)控通過(guò)進(jìn)程的黑、白名單對(duì)機(jī)器上運(yùn)行的應(yīng)用程序進(jìn)行控 制，黑 名單與白名單是一種“或”的尖系，可以同時(shí)配合使用，不同于以往同時(shí)只能 有一個(gè)處于 工作狀態(tài)。被列入黑名單的進(jìn)程是無(wú)法在系統(tǒng)中運(yùn)行的；而 列入白名單 的進(jìn)程，在系統(tǒng)啟 動(dòng)后必須運(yùn)行，否則會(huì)強(qiáng)制斷網(wǎng)，直到開(kāi)啟了該程序，網(wǎng)絡(luò)才會(huì)恢 復(fù)連接。2、3、2、4、網(wǎng)頁(yè)過(guò)濾控制通過(guò)網(wǎng)頁(yè)過(guò)濾，可以有效屏蔽掉管理員禁止訪問(wèn)的網(wǎng)站，避免誤入已知的非法或易受攻擊的網(wǎng)站，在事前保證機(jī)器訪問(wèn)網(wǎng)站的合法性。2、3、2、5、非法外聯(lián)控制通過(guò)禁用設(shè)備的 Modem. ADSL撥號(hào)、雙網(wǎng)卡、代 理上網(wǎng) 等方式，禁止工作于內(nèi)

40、網(wǎng)的設(shè)備與外網(wǎng)連通，發(fā)生數(shù)據(jù)泄密和被攻擊的事件，保證僅允許工作于內(nèi)網(wǎng)的設(shè)備的純粹，性、安全性、機(jī)密性。而且一旦產(chǎn)生 相尖的事 件，會(huì)產(chǎn)生相尖 的預(yù)警信息，及時(shí)同時(shí)管理員。2、3、3、終端安全審計(jì)終端計(jì)算機(jī)的防泄密解決措施對(duì)計(jì)算機(jī)終端進(jìn)行安全審計(jì),如網(wǎng)絡(luò)接入、網(wǎng)絡(luò)外聯(lián)、文件操作、共享訪問(wèn)、設(shè)備使用、進(jìn)程活動(dòng)等，通過(guò)安全審計(jì)可以實(shí)時(shí)掌握用戶的計(jì)算機(jī)使用行為。這類措施主要是應(yīng)對(duì)惡意用戶的主動(dòng)泄密行為。這類措施主要是應(yīng)對(duì)合法用戶由于疏忽導(dǎo)致的被動(dòng)泄密行為。計(jì)算機(jī)終端的安全審計(jì)包括了事前控制、事中監(jiān)控和事后審計(jì)在內(nèi)的一系列安全管理策略。通過(guò)安全審計(jì)，可以有效的控制、監(jiān)視和追蹤計(jì)算機(jī)終端用戶的行為，一旦用

41、戶有違保密規(guī)定的行為發(fā)生，管理員能夠快速得到報(bào)警信息。對(duì)受控終端進(jìn)行審計(jì)是通過(guò)規(guī)則進(jìn)行的。審計(jì)規(guī)則設(shè)置的是對(duì)服務(wù)器規(guī)則 控制下的 行為的記錄和統(tǒng)計(jì)。在服務(wù) 器設(shè)置相應(yīng)的審計(jì)規(guī)則后，如果客戶端所在的設(shè)備有 符合規(guī)則的行為發(fā)生，則在服 務(wù)器的日志中會(huì)有相應(yīng)記錄。可以根據(jù)需要配置受控終端的 文件操作、進(jìn)程、網(wǎng)絡(luò)訪 問(wèn)等事件的規(guī)則。系統(tǒng)根據(jù)規(guī)則自動(dòng)記錄安全 審計(jì)日志并存入系 統(tǒng)日志信息庫(kù)，這 些信息是事后了解和判斷網(wǎng)絡(luò)安全事故的寶貴資料安全審計(jì)應(yīng)包括如下 幾個(gè)方面：涉密審計(jì)：涉密文件被操作使用、存儲(chǔ)和傳輸審計(jì)功能；入網(wǎng)審計(jì)：非法設(shè)備接入審計(jì)功能；資產(chǎn)審計(jì)：自動(dòng)登記受控終端的硬件配置（包括 CPU、內(nèi)存

42、、硬盤、顯示卡、網(wǎng)卡 等等），當(dāng)受控終端的硬件發(fā)生變動(dòng)時(shí)能自動(dòng)向安全管理核心系統(tǒng)發(fā)出報(bào)警信息；系統(tǒng)審計(jì)：自動(dòng)記錄受控終端操作系統(tǒng)配置的用戶、 工作組、邏輯驅(qū)動(dòng) 器，當(dāng)其發(fā)生變化時(shí)，自動(dòng) 向安全管理核心系統(tǒng)發(fā)出報(bào)警信息；加載服務(wù)審計(jì)：對(duì)受控終端安裝的系統(tǒng)服務(wù)進(jìn)行審計(jì)， 自動(dòng)記錄系統(tǒng)服務(wù)的啟動(dòng) 和停止；安裝和卸載審 計(jì)：自動(dòng)記錄受控終端上應(yīng)用程序的安裝 與卸載情況；文件審計(jì)：對(duì)文件操作進(jìn)行審 計(jì)，記錄用戶對(duì)規(guī)則指定文件進(jìn)行的各種操作； 網(wǎng)絡(luò)訪問(wèn)審計(jì)：對(duì)網(wǎng)絡(luò)訪問(wèn)進(jìn)行審 計(jì)，記錄用戶對(duì)規(guī)則指定網(wǎng)址進(jìn)行的訪問(wèn)操作；打印機(jī) 操作審計(jì)：對(duì)本地打印機(jī)使用 情況進(jìn)行審計(jì)；移動(dòng)存儲(chǔ)設(shè)備審計(jì)：對(duì)受控終端的可移動(dòng)存

43、儲(chǔ)設(shè)備的使用情況進(jìn)行審計(jì)；非法外聯(lián)審計(jì)：對(duì)撥號(hào)、無(wú)線網(wǎng)卡、手機(jī)紅外等訪問(wèn)情況進(jìn)行審計(jì)。進(jìn)程審計(jì)：通過(guò)對(duì)終端計(jì)算機(jī)運(yùn)行的進(jìn)程進(jìn)行審計(jì)，可以發(fā)現(xiàn)用戶正在運(yùn)行的程序?？梢酝ㄟ^(guò)進(jìn)程黑名單的方式限制用戶運(yùn)行某些程序，例如游戲、攻擊工具、視頻播放器、MP3播放器等o限制用戶利用計(jì)算機(jī)進(jìn)行與工作無(wú)尖的操作。2、3、4、移動(dòng)存儲(chǔ)介質(zhì)管理可信移動(dòng)介質(zhì)解決方案，主要是實(shí)現(xiàn)如下目標(biāo)：1)通過(guò)移動(dòng)介質(zhì)交換的數(shù)據(jù)必須是密文，保證數(shù)據(jù)離開(kāi)應(yīng)用環(huán)境后不可用；2)數(shù)據(jù)交換前必須通 過(guò)正確的身份認(rèn)證，包括密碼認(rèn)證或USB KEY等授權(quán)硬件的身份認(rèn)證；3)記錄數(shù)據(jù)交換過(guò)程的工作日志，便于以后進(jìn)行跟蹤審計(jì)；4)未經(jīng)授權(quán)的移動(dòng)介質(zhì)，在工作環(huán)境中不可用，只有經(jīng)過(guò)企業(yè)授權(quán)的移動(dòng)介質(zhì)才能進(jìn)入到企業(yè)的辦公環(huán)境；5)工作配發(fā)的移動(dòng)介質(zhì)帶出辦公環(huán)境后變?yōu)椴?/p>