中軟基地項目實施方案

項目背 引 建設目 全網用戶 重點涉密終端 項目需求分 全網用戶 涉密用戶 系統(tǒng)概 管理策 技術架 系統(tǒng)體系架 三合一產 總體方案設 部署模 功能規(guī) 方案建 主機安全狀態(tài)............................................主機狀態(tài)與審計 配置信息與審計 帳戶與審計 進程與審計 服務與審計 主機流量和審計 外設接口管理 介質管理 用戶行為................................................網絡與審計 打印與審計 光盤刻錄與審計 共享與審計 文件和 操作審 終端安全運維管 安全策略管理 防軟件監(jiān)測 網絡進程管理 終端資產管 文件安全管 我的加密文件夾 級聯管 三合一產 外聯 單向導入 介質管理 系統(tǒng)特 中軟主機與審 三合 2003年、轉發(fā)的《息化小組關于加強（，文件明確“保障能力不強，成為制約信息化發(fā)展的重要瓶頸”，要求以“信息化發(fā)展與相結合”為原則把“著力提高保障能力”作為十二五期間企業(yè)信息化工作的重點任務之一?！断⒒〗M關于加強保障工作的意見》（[2003]27號）明確：“要重點保護基礎信息網絡和關系國家安全、經濟命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立等級保護制度，制定信息安全等級保護的管理辦法和技術指南”等級保護制度是提高信息安設健康發(fā)展的一項基本制度，是開展保護工作的有效辦法，是保護工作的發(fā)展方向，是國家對重要信息系統(tǒng)安全保護建設強制性要求實行等級保護制度有利于在信息化建設過程中同步建設信息系統(tǒng)的安全；能夠明確國家、法人和其他組織、公民的管理。實行等級保護制度具有重大的現實意義和戰(zhàn)略意義本方案主要為及各成員單位提供涉密網建設的解決方案方案的最終目標是在不影響員工工作效率的基礎上為中核公司及各成員單位的終端用戶提供外設接口管理、終端安全、移動介質等桌面運維管理功能。全網用戶為達到及各成員單位內網的管理及安全需要在全網部署中軟主機、在西安中心部署一級，在近程試驗區(qū)試驗區(qū)分別部署二級管、對于重點涉密終端或涉密筆記本需要安裝三合一系統(tǒng)部署在200統(tǒng)內終端介質管理，外聯阻斷審計，普通介質單項導入，共400點。全網用戶移動介對可信介質的使用臺賬 臺賬 尋對于及各成員單位的員工計算機可制定統(tǒng)一安全策略下發(fā)對于記ROM，對網絡層及應用層進行黑白控制中的地址無法，并且可記錄日志。，在策略時如果用戶執(zhí)行打印操作系統(tǒng)立即向服務器發(fā)送軟、硬件資源和審本系統(tǒng)能夠自動發(fā)現和收集計算機上的軟硬件資產信息軟硬件資產信及軟件安裝情況進行實時和審計能夠對受控主機的服務和進程變化情況進行和審計。系統(tǒng)需具備統(tǒng)一制定安全組策略功能，可支持賬戶、共享、屏保等Windows涉密用戶涉密計算機外聯系統(tǒng)能夠及時發(fā)現涉密計算機試圖連接互聯MODEM/ISDN/ADSLWLAN/GPRS/CDMA，——移動介質管理：通過使用操作系統(tǒng)內核技術使用所有普使用。移動介質管理系統(tǒng)由管理端軟件和客戶端軟件兩部分組成。，一，并對、領用情況進行統(tǒng)一管理。系統(tǒng)基于PDR安全理論模型搭建。PDR模型是1995年國防部一（Protection系統(tǒng)將通過三大實施對桌面終端的統(tǒng)一管理即安全、安全實現對策略的統(tǒng)一配置并借助終端程（即保護工具）首先，管理員通過安全制定終端安全管理策略然后，系統(tǒng)借助終端（即保護工具）實現對桌面終端實施安全防護各種行為和安全，上報至應急響應中心；隨后，應急響應中心對終端實施應急響應策略，或者消除安全；最后，管理員通過審計分析中心得到的安全分析報告，識別新的安全，并針對新的安全，制定新的安全防護策略HTTPSRMI/HTTPS數 定義各個業(yè)務系統(tǒng)之間的調用接口方式為各系統(tǒng)構件之間和處理業(yè)務邏輯提供統(tǒng)一的服務接口將應用系統(tǒng)提供的構件業(yè)務以標準化的方式出來，供的方式降低構件間的耦合度，為非侵入式的操作提供基礎。有效地減少了能夠與第系統(tǒng)進行集成，使系統(tǒng)更具有靈活性。AOP、依賴注入的方式編程，提供邏輯的編排能力。JDBC立與多個客戶端系統(tǒng)的連接實現客戶端策略的和下發(fā)日志的收集和。HTTPS中軟涉密計算機及移動介質管理系統(tǒng)，根據國家局發(fā)布的《涉家管理要求。杜絕移動介質使用造成失泄對涉密U盤的、鎖定/、注銷等全生命周期管理。涉密計算機的數據交換只能通過涉密U涉密計算機使 的涉密U盤符合國家檢查要符合國家規(guī)范標準的涉密U盤格式符合國家規(guī)范標準的涉密U盤認證模式。符合國家規(guī)范標準的終端管理方式。采用級聯部署，在西安中心部署級服務器，在近程試驗區(qū)、試驗程管理、幫助等終端運行管理方面的功能體系。通過介質、密級標識等方式規(guī)范移動介質的使用行為。它包括有可信模式、 管理員帶出內網不可用。商旅模式解決了內部已授動介質管控。主機安全狀態(tài)主機狀態(tài)與審計自動發(fā)現和收集計算機上的軟硬件資產信息軟硬件資產信息變化情況，對非的軟硬件資產的變更產生。具體功能項如下：規(guī)范用戶使用軟件的范圍通過設置安裝程序黑白或基線方式保證定義硬件，可定義的硬件包括：調制解調器、無線網卡、、卡、刻錄機、軟驅、移動器、鍵盤和鼠標。系統(tǒng)一旦識別出硬件后立即向服務器發(fā)送告警信息。CPU、BIOS、開機監(jiān)對用戶非指定時間段內開機進行監(jiān)測，并告警配置信息與審計關鍵表項的對操作系統(tǒng)重要的配置信息進行黑/白式的管理和，主要包括計算機名稱系統(tǒng)網絡配置的變化情況，用戶修改IP地址帳戶與審計進程與審計對主機上的進程進行黑/白式的管理和。主機系統(tǒng)能夠自動收操作系統(tǒng)免被或木馬侵襲，實現操作系統(tǒng)的可信。和“文件庫”中收集到的進程信息和文件信息進行統(tǒng)一管理。，，通過下發(fā)“程序控制策略”程序的執(zhí)行變化情況程序的運行，并記錄日志；通過下發(fā)“文件策略”，文件的正常運行，防止被程序篡改。如果文件有變化，系統(tǒng)將會，，，服務與審計對主機上的系統(tǒng)服務進行黑/白式的管理和項包括服務名稱、主機流量和審計阻斷等措施，并記入審計日志。移動介質的管控制策略。其中拷貝文件加密為個人加密的的當前個人用戶下才能由使用輔助硬盤和使用輔助硬盤。用戶行為網絡與審計規(guī)范計算機用戶的網絡行為根據業(yè)務相關性和的重要程度建立可蓄意泄漏企業(yè)的敏感信息第二是防止通過互聯網透過獲取客戶網絡層防護：IP地址控制、TCP/UDP/ICMP協(xié)議控制 NET/SMTP/WEBMAIL/BBS/NETBIOS控制；現只開放白地址，其它地址全部；自由時提供功能，實現只的記錄未知的和記錄信任的對FTPSMTP控制和文件打印，打印 根據企業(yè)的管理制度和計算機用戶業(yè)務關系統(tǒng)一制定的管理、分為：自由使用使用和允許使用并記錄打印文件名稱（可選項為備份文件內容。使用能夠基于名稱、打印進程以及虛實進行控制。、光盤刻錄 與審對光盤介質的進行統(tǒng)一的控制?？啼洐C控制支持：使用、只讀使共享與審計息；支持阻斷用戶的共享行為，并告警。文件和 操作審按照統(tǒng)一的安全策略客戶端的運行狀況通過軟件自動分發(fā)和軟硬件資產的統(tǒng)一管理大大節(jié)約了企業(yè)信息系統(tǒng)的成本通過系統(tǒng)幫助控制實帳戶策略監(jiān)視，統(tǒng)一監(jiān)視Windows策略的啟用情況和策略參 Windows參數，對不符合安全策略的狀態(tài)進行。不符合安全策略的狀態(tài)進行。 合安全策略的狀態(tài)進行。防軟件監(jiān)測通過策略設置防軟件特征，按照統(tǒng)一的策略監(jiān)測防軟件使用狀況，監(jiān)視防軟件的使用狀況通過防軟件的特征監(jiān)視防軟件的安裝情況運行狀態(tài)和庫版本對不符合安全策略的狀態(tài)進行。 配置。根據配置“軟硬件黑白，對軟硬件資產的非變更進行告文件安全管我的加密文件夾為終端用戶提供了個人文件加密的文件服務拖進該件夾的文件自動生成以WSD為后綴的加密文件當本人加密文件夾中的加密文件時，系統(tǒng)會自動。系統(tǒng)支持任意層級的服務器級聯支持上級對下級管理控制中心進行管非外聯通過對撥號有線網卡等方式接入互聯網的行為進行探測與在違規(guī)行為發(fā)生時向行政管理部門設置的外聯互聯網端發(fā)送信息同時向管理服務器發(fā)送信息和日志信息并對外聯行為進行阻斷。通過對瀏覽器方式接入互聯網的行為進行在行為發(fā)生時向行政管理部門設置的外聯互聯網端發(fā)送信息同時向理服務器發(fā)送信息和日志信息，并對外聯行為進行阻斷單向導入USB介質管理口、第二塊網卡接口、圖像處理設備、智能卡。接口控制的策略分為：允許和兩種，在策略下的嘗試接口將自動產生操作日志。同時提供了USB接口設備白和定義的功能，實現在USB接口或者接口開放情況下某些設備放開或使用。涉密優(yōu)盤管對涉密優(yōu)盤進行、注銷和信息更改等管理，限定優(yōu)盤的使用范圍和責任人已的涉密優(yōu)盤只能通過多功能導入裝置在涉密計算機涉密優(yōu)盤接入涉密計算機連接的多功能