內(nèi)網(wǎng)安全管理系統(tǒng)解決方案

經(jīng)典word整理文檔，僅參考，雙擊此處可刪除頁眉頁腳。本資料屬于網(wǎng)絡(luò)整理，如有侵權(quán)，請聯(lián)系刪除，謝謝！最新資料歡迎閱讀內(nèi)網(wǎng)安全管理系統(tǒng)解決方案1、計算機終端安全管理需求分析11、1、網(wǎng)絡(luò)管理21、1、1、物理網(wǎng)絡(luò)拓撲圖21、1、2、流量控制21、1、3、IP地址管理31、1、4、故障定位31、2、終端安全防護31、2、1、補丁安裝防護31、2、2、防病毒防護41、2、3、進程防護41、2、4、網(wǎng)頁過濾41、2、5、非法外聯(lián)防護51、3、終端涉密信息防護51、3、1、終端登錄安全認證61、3、2、I/O接口管理61、3、3、桌面文件安全管理61、3、4、文件安全共享管理71、3、5、網(wǎng)絡(luò)外聯(lián)控制71、4、移動存儲介質(zhì)的管理71、5、網(wǎng)絡(luò)接入控制81、6、計算機終端管理與維護91、7、分級分權(quán)管理92、計算機終端安全防護解決方案102、1、方案目標102、2、遵循標準112、3、方案內(nèi)容122、3、1、網(wǎng)絡(luò)管理122、3、1、1、物理網(wǎng)絡(luò)拓撲圖132、3、1、2、流量控制132、3、1、3、IP地址綁定11最新資料歡迎閱讀32、3、1、4、故障定位142、3、2、終端安全控制142、3、2、1、補丁管理142、3、2、2、防病毒控制142、3、2、3、進程監(jiān)控152、3、2、4、網(wǎng)頁過濾控制152、3、2、5、非法外聯(lián)控制152、3、3、終端安全審計152、3、4、移動存儲介質(zhì)管理162、3、4、1、注冊授權(quán)182、3、4、2、訪問控制182、3、4、3、數(shù)據(jù)保護192、3、4、4、自我保護192、3、4、5、操作記錄12、非法接入控制策略202、3、5、3、非法接入阻斷技術(shù)實現(xiàn)原理212、3、6、計算機終端管理與維護222、3、6、1、主機信息收集222、3、6、2、網(wǎng)絡(luò)參數(shù)配置232、3、6、3、遠程協(xié)助232、3、6、4、預(yù)警平臺233、系統(tǒng)設(shè)計323、1、LanSecS系統(tǒng)安全性設(shè)計323、1、1、控制中心安全性323、1、2、主機代理安全性323、1、3、數(shù)據(jù)庫安全性323、1、4、策略分發(fā)與存儲安全性343、1、5、主機代理與控制中心通訊安全性344、系統(tǒng)特色與系統(tǒng)部署32最新資料歡迎閱讀64、1、LanSecS系統(tǒng)特色364、2、LanSecS典型部署384、2、1、簡單內(nèi)網(wǎng)環(huán)境384、2、2、本地多內(nèi)網(wǎng)環(huán)境384、2、3、分級部署環(huán)境395、產(chǎn)品配置要求39網(wǎng)絡(luò)已經(jīng)成為企業(yè)、政府和其它各種組織的重要信息載體和傳輸渠道。很明顯，問題，以及由此帶來的網(wǎng)絡(luò)信息安全問題。目前隨著制造業(yè)單位規(guī)模不斷增大，IT硬件成本降低、更新?lián)Q代速度比較快，單位為了提高工作效率，不斷的增加混亂、網(wǎng)絡(luò)擁塞、出現(xiàn)故障無法及時定位進行解決；其次是資產(chǎn)的管理，全性已經(jīng)關(guān)系到了計算機和計算機網(wǎng)絡(luò)能否真正成為有實質(zhì)意義大規(guī)模應(yīng)用的關(guān)鍵因素。如何提高安全性保證機器的正常辦公、如何將非法入侵者拒之門外、3最新資料歡迎閱讀內(nèi)部的IT系統(tǒng)的平穩(wěn)運行，一個健壯的內(nèi)網(wǎng)安全管理體系是分重要的。作為制造業(yè)的計算機終端安全管理方案而言，需要解決如下問題：1、1、網(wǎng)絡(luò)管理在制造業(yè)的網(wǎng)絡(luò)環(huán)境中，由于單位規(guī)模、單位辦公的需要，存IP地址環(huán)境地址混亂、沖突也是很棘手的問題。針對網(wǎng)絡(luò)管理方面主要包括一下幾個方面：1、1、1、物理網(wǎng)絡(luò)拓撲圖單位的內(nèi)部網(wǎng)絡(luò)是由網(wǎng)絡(luò)設(shè)備共同作用，協(xié)同工作建立起來的，主要設(shè)備有：路由器、交換機、HUB，而在局域網(wǎng)中對數(shù)據(jù)交互起核板信息進行提取和控制，但是無法看到終端設(shè)備和交換機端口的物理連接關(guān)系，是至關(guān)重要的，因為端口的流量信息其實就是設(shè)備的流量信息；想要掌控設(shè)備，接關(guān)系會給管理帶來極大的方便。流量控制借助物理網(wǎng)絡(luò)拓撲圖上設(shè)備的物理連接關(guān)系，通過可4最新資料歡迎閱讀P2P下載軟件搶占帶寬和病毒爆發(fā)時給網(wǎng)絡(luò)速度帶來的擁塞，這對于管理來說才是實用的管理手段。IP地址管理為了便于管理，出現(xiàn)問題能夠及時追查，網(wǎng)絡(luò)建設(shè)時管理員通常使用靜態(tài)IP地址，這對于管理來說確實是一個有效可行的措施。但是由于員工的計算機操作水平不同，很可能造成隨意修改IP地址帶來的內(nèi)網(wǎng)地址沖突，這給內(nèi)網(wǎng)管理帶來很繁瑣的問題。雖然通過在核心或二層交換機上，可以通過命令來綁定IP/MAC地址從而消除上述問題，但是工作量龐大，因此徹底屏蔽IP地址沖突的問題是網(wǎng)絡(luò)管理必須要做的。1、1、4、故障定位很多制造業(yè)內(nèi)部網(wǎng)絡(luò)龐大，分支繁多，一旦終端機器否則從眾多網(wǎng)絡(luò)排線中找出問題鏈路將是一件分費時、費力的事情。終端安全防護單位內(nèi)網(wǎng)進行辦公所運行的各種服務(wù)都是應(yīng)用在終端健壯性，為了保證機器的正常運行包括以下幾個方面：1、2、1、補丁安裝防護目前在制造業(yè)的單位中，承載各種應(yīng)用的操作系統(tǒng)90%以上的端終用戶使用的都是windows2000,XP或以上的操作系統(tǒng)，但是這幾種操作設(shè)計網(wǎng)是和單位局域網(wǎng)物理隔離的網(wǎng)絡(luò)，從而導(dǎo)致補丁安裝的不完全，不及時，會導(dǎo)致整個網(wǎng)絡(luò)受到威脅。1、2、2、防病毒防護員工由于防范病毒意識較淡薄，沒有安裝防病毒軟意外卸載，或防病毒軟件沒有運行，這樣不僅使單臺PC機受到病毒侵害，而且絡(luò)擁塞。因此一定要保證防病毒軟件的安裝、正常運行、及時升級。5最新資料歡迎閱讀1、2、3、進程防護由于當前大量病毒以及惡意程序的存在，而這些程序網(wǎng)絡(luò)安全事件，提高我們的工作效率。1、2、4、網(wǎng)頁過濾某些員工訪問Internet時，由于安全防范意識不夠，登陸惡意網(wǎng)站，造成機器受到攻擊，從而產(chǎn)生病毒感染、機器不能正常使用，注要數(shù)據(jù)的網(wǎng)絡(luò)泄密。因此必須對內(nèi)網(wǎng)機器的網(wǎng)絡(luò)訪問進行必要的過濾。非法外聯(lián)防護單位內(nèi)部的局域網(wǎng)會在網(wǎng)絡(luò)的出口上，增加相關(guān)的防護，保證內(nèi)網(wǎng)的安裝。但是員工由于好奇，或者厭煩上網(wǎng)出口的種種限制，通過Modem或ADSL撥號方式訪問Internet，極易受到外部網(wǎng)絡(luò)的攻擊；當該機器一旦受到攻擊，回到內(nèi)網(wǎng)后很容易將相關(guān)病毒、木馬向內(nèi)網(wǎng)傳播。終端涉密信息防護在現(xiàn)代生活中，信息就是財富。無論是國家、政造業(yè)單位的設(shè)計、研發(fā)部門來說，機密信息的存儲、使用和傳遞過程中，會面臨輸出涉密文件；l終端計算機非法撥號、非法外聯(lián)訪問；l離線存儲設(shè)備存儲工作人員由于對計算機專業(yè)知識的不熟悉而泄密。從泄密行為的區(qū)別上，分為兩種泄密：6最新資料歡迎閱讀當前，對涉密信息的防護需求主要包括如下幾個方面：1、3、域登錄，然而用戶名/口令方式雖然簡單，但是存在很大的安全隱患：l密碼管理復(fù)雜l密碼容易泄漏l存在暴力破解的可能性l無法阻止他人惡意非法盜用因此，作為終端安全管理的第一步，首先需要解決終端登錄安全認證的問題。I/O驅(qū)、刻錄機、打印機、繪圖儀、移動存儲設(shè)備、紅外、藍牙、無線網(wǎng)絡(luò)設(shè)備）為信息處理和傳輸提供極大便利的同時，也為機密信息的擴散和泄露帶來了可能。尤其是USB接口的計算機周邊設(shè)備的豐富，使得計算機與其他外部設(shè)備，如U打印機等連接分方便，并能輕而易舉地通過USB設(shè)備將外部數(shù)據(jù)導(dǎo)入或者內(nèi)部數(shù)據(jù)導(dǎo)出，為重要數(shù)據(jù)的保護帶來了巨大的安全隱患。1、3、3、桌面文件安全管理作為數(shù)據(jù)最終處理的計算機終端，存儲著大Windows全管理必須考慮的問題。文件安全共享管理由于計算機終端大多使用Windows操作系統(tǒng)，7最新資料歡迎閱讀份認證機制、完善的共享授權(quán)以及詳細的訪問日志信息。1、3、5、網(wǎng)絡(luò)外聯(lián)控制涉密內(nèi)網(wǎng)雖然不與互聯(lián)網(wǎng)直接連接，但是內(nèi)部人員可能會出于各種原因通過Modem撥號、ADSL上網(wǎng)、無線上網(wǎng)等技術(shù)手段將個容之一。感信息的載體，實現(xiàn)對它們安全、有效的管理是保證企業(yè)信息安全的重要手段。移動存儲介質(zhì)使用過程中常見的風(fēng)險包括：1)非法拷貝敏感信息和涉密信息到磁盤、U盤或其他移動存儲介質(zhì)中；2)企業(yè)外部移動存儲介質(zhì)未經(jīng)授權(quán)在內(nèi)部使用；3)企業(yè)內(nèi)部移動存儲介質(zhì)及信息資源被帶出，在外部非授權(quán)使用；4)使用過程的疏忽；5)密信息在進行人工交換時泄密；6)而給其他人使用；7)8最新資料歡迎閱讀修理，或修理時沒有懂技術(shù)的人員在場監(jiān)督，而造成泄密；8)移動存儲設(shè)備在更新?lián)Q代時沒有進行技術(shù)處理；10)密信息外泄，其危害程度將是難以估量的，丟失造成后果非常嚴重。綜上所述，移動存儲介質(zhì)的管理對制造業(yè)來說，是一個必須關(guān)注的問題。隔離。計算機終端管理與維護對于制造業(yè)單位龐大的網(wǎng)絡(luò)和眾多的終端計助實現(xiàn)，才能有效節(jié)省成本和資源，提高內(nèi)網(wǎng)管理的效率。另外，由于終端計算9最新資料歡迎閱讀管理人員迫切需要解決的問題。1、7、分級分權(quán)管理內(nèi)網(wǎng)安全管理系統(tǒng)作為一個計算機終端防護、檢測、位管理員是不現(xiàn)實的，另外，如果企業(yè)的部門設(shè)置較為復(fù)雜，分支機構(gòu)多，則會l單位，如集團、所、部門等?？紤]到制造業(yè)單位對管理上的需求往往希望能夠由審計報機構(gòu)的策略執(zhí)行情況以及違規(guī)事件等。2、計算機終端安全防護解決方案2、10最新資料歡迎閱讀范上網(wǎng)管理、安全管理、終端涉密信息防護、網(wǎng)絡(luò)接入/外聯(lián)管理、移動存儲介質(zhì)的管理、審計和計算機的日常運行維護。2、2、遵循標準本設(shè)計方案的主要依據(jù)是國家保密局文件《涉及國家秘密的信息系統(tǒng)分級保護技術(shù)要求》規(guī)、文件：l國家標準國家標準GB9254-1998《信息技術(shù)設(shè)備的無線電騷擾限值和測量方法》；l國家標準國家標準GB/T9387、2-1995信息處理系統(tǒng)開放系統(tǒng)互連基本參考模型第2國家標準GB17859-1999國家標準GB/T18336-2001信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準則（idt國家標準國家軍用標準GJB3433-1998國家公共安全和保密標準國家保密標準BMB2-1998《使用現(xiàn)場的信息設(shè)備電磁泄漏發(fā)射檢查測試國家保密標準BMB3-1999《處理涉密信息的電磁屏蔽室的技術(shù)要求和測試方法》國家保密標準BMB4-2000《電國家保密標準BMB5-2000《涉密信息設(shè)備使用現(xiàn)場的電磁泄漏發(fā)射防國家保密指南的計算機信息系統(tǒng)保密技術(shù)國家保密指南國家保密指南BM23-2000《涉及《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》中共中央辦公廳國務(wù)院辦公廳中辦發(fā)[2003]27[1998]1中央保密委員會辦公室、國家保密局文件《涉及國家秘密的通中11最新資料歡迎閱讀《關(guān)于加強信息安全保障工作中保密管理的若干意見》中共中央保密委員會中保委發(fā)[2004]7《涉及國家秘密德信息系統(tǒng)分級保護管理辦法》國家保密局國保發(fā)[xx]16《信息安全等級保護管理辦法（試行）》公安部國家保密局國家密碼管理局國務(wù)院信息化工作辦公室公通字[xx]7號。為了加強延邊天池工貿(mào)有限公司的內(nèi)網(wǎng)安全防護，防止設(shè)計部門機密數(shù)據(jù)的泄能需求，我們提出如下內(nèi)網(wǎng)安全管理解決方案。2、3、1、網(wǎng)絡(luò)管理網(wǎng)絡(luò)管理是建立在內(nèi)網(wǎng)中支持SNMP協(xié)議的可網(wǎng)管交換機，自的控制、設(shè)備故障定位，結(jié)合客戶端控制軟件的IP地址管理功能、網(wǎng)卡流量控行，又可以在出現(xiàn)問題時能夠盡快解決。2、3、1、1、物理網(wǎng)絡(luò)拓撲圖在支持公有SNMP協(xié)議的交換機上，能夠自動發(fā)現(xiàn)網(wǎng)絡(luò)的端口連接關(guān)系。拓撲圖可以進行編輯、保存，并可以通過參數(shù)設(shè)置，按設(shè)置好可管理設(shè)備的配置信息，如System、Interface、IPAddress、Routing、ARP、MACAddress、Flow等。物理網(wǎng)絡(luò)拓撲圖便于管理員掌握內(nèi)部網(wǎng)絡(luò)的分布情況，機器連接鏈路的變化情況，使整個網(wǎng)絡(luò)了然于胸。2、3、1、2、流量控制流量控制包括兩個方面，既可以通過控制交換機12最新資料歡迎閱讀的端口，使用端口的打開和閉合功能實現(xiàn)對下連設(shè)備的鏈路流量的開啟和關(guān)閉，絡(luò)連接，保證受控端在指定的流量范圍內(nèi)進行網(wǎng)絡(luò)連通。既保證了其正常工作，又不會影響網(wǎng)絡(luò)帶寬。2、3、1、3、IP地址綁定通過使IP地址和每臺機器的ID號相對應(yīng)，以一一對應(yīng)的關(guān)系為依據(jù)，從而保證每個IP有一個唯一的標識與之對應(yīng)。當客戶端程序檢測到IP地址進行修改時，IP地址會自動恢復(fù)到此前已經(jīng)綁定了的IP值，保證IP地址不會被隨意修改。杜絕了單位內(nèi)部的IP地址沖突問題。故障定位通過物理網(wǎng)絡(luò)拓撲圖顯示的物理網(wǎng)絡(luò)鏈路連接關(guān)系，觀的圖象信息，準確定位故障點，對問題進行及時排查、處理。配合交換機端口變化，便于管理員及時掌握內(nèi)網(wǎng)鏈路流量狀況。2、3、2、終端安全控制通過對補丁分發(fā)、防病毒控制、進程監(jiān)控、網(wǎng)頁不完善而造成的系統(tǒng)崩潰，抵御已知的一切外部攻擊。2、3、2、管理，大大減少了操作系統(tǒng)和應(yīng)用軟件漏洞被利用所造成的安全隱患和經(jīng)濟損補丁分發(fā)過程的監(jiān)控。防病毒控制通過防病毒軟件監(jiān)測，可以判斷終端計算機是否安裝了防病毒軟件、防病毒軟件運行是否正常以及病毒庫是否保持最新等情況。如果以上幾條不滿足設(shè)定的策略要求，監(jiān)測系統(tǒng)可以向管理人員發(fā)送報警信息。端計算機無法使用內(nèi)網(wǎng)。未安裝防病毒軟件的計算機進行網(wǎng)絡(luò)訪問控制和隔離，13最新資料歡迎閱讀進程監(jiān)控通過進程的黑、白名單對機器上運行的應(yīng)用程序進行控制，黑名單與白名單是一種“或”的關(guān)系，可以同時配合使用，不同于以往序，網(wǎng)絡(luò)才會恢復(fù)連接。網(wǎng)頁過濾控制通過網(wǎng)頁過濾，可以有效屏蔽掉管理員禁止訪合法性。2、3、2、5、非法外聯(lián)控制通過禁用設(shè)備的Modem、ADSL撥號、雙網(wǎng)卡、事件，保證僅允許工作于內(nèi)網(wǎng)的設(shè)備的純粹性、安全性、機密性。而且一旦產(chǎn)生相關(guān)的事件，會產(chǎn)生相關(guān)的預(yù)警信息，及時同時管理員。2、3、3、終端安全審計終端計算機的防泄密解決措施對計算機終端進行安全審計，如網(wǎng)絡(luò)接入、網(wǎng)絡(luò)外聯(lián)、文件操作、共享訪問、設(shè)備使用、進程活動貴資料。安全審計應(yīng)包括如下幾個方面：涉密審計：涉密文件被操作使用、存儲和傳輸審計功能；入網(wǎng)審計：非法設(shè)備接入審計功能；資產(chǎn)審計：自動登記受控終端的硬件配置（包括CPU、內(nèi)14最新資料歡迎閱讀理核心系統(tǒng)發(fā)出報警信息；件審計：對文件操作進行審計，記錄用戶對規(guī)則指定文件進行的各種操作；網(wǎng)絡(luò)訪問審計：對網(wǎng)絡(luò)訪問進行審計，記錄用戶對規(guī)則指定網(wǎng)址進行的訪問操作；打印機操作審計：對本地打印機使用情況進行審計；移動存儲設(shè)備審計：對受控終端的可移動存儲設(shè)備的使用情況進行審計；非法外聯(lián)審計：對撥號、無線網(wǎng)卡、手機紅外等訪問情況進行審