內(nèi)網(wǎng)安全管理系統(tǒng)解決方案

1 2 2 2 3 3 3 3 4 4 4 5 5 6 6 6 7 7 7 8 9 92.計算機(jī)終端安全防護(hù)解決方案 10 10 11 12 12.物理網(wǎng)絡(luò)拓?fù)鋱D 13.流量控制 13 13.故障定位 14 14 14 14 15 15.非法外聯(lián)控制 15 15 16.注冊授權(quán) 18 18.數(shù)據(jù)保護(hù) 19 19.操作記錄 19 20.非法主機(jī)的定義 20.非法接入控制策略 20.非法接入阻斷技術(shù)實現(xiàn)原理 21 22.主機(jī)信息收集 22 23 23.預(yù)警平臺 23 32 32 32 32 32 34 344.系統(tǒng)特色與系統(tǒng)部署 36 36 38 38 38 39 39信息數(shù)字化大幅度提供了工作效率，也使得海量的信息存儲和處理成為了現(xiàn)實。全問題。目前隨著制造業(yè)單位規(guī)模不斷增大，IT硬件成本降低、更新?lián)Q代速度比較管理問題卻越來越重了。首先是網(wǎng)絡(luò)的管理，IP混亂、網(wǎng)絡(luò)擁塞、出現(xiàn)故障無管理員疲于資產(chǎn)的統(tǒng)計。業(yè)內(nèi)部數(shù)字信息的安全性已經(jīng)關(guān)系到了計算機(jī)和計算機(jī)網(wǎng)絡(luò)能否真正成為有實這些都是制造業(yè)目前在進(jìn)行網(wǎng)絡(luò)化過程中必須解決的問題。內(nèi)部系統(tǒng)的順利運行。為了確保制造業(yè)單位內(nèi)部的IT系統(tǒng)的平穩(wěn)運行，一個健壯的內(nèi)網(wǎng)安全管理體系是十分重要的。作為制造業(yè)的計算機(jī)終端安全管理方案而言，需要解決如下問題：1.1.網(wǎng)絡(luò)管理極大的困難，設(shè)備的分布不明確；流量管理沒有依據(jù)；對于靜態(tài)IP地址環(huán)境地址混亂、沖突也是很棘手的問題。針對網(wǎng)絡(luò)管理方面主要包括一下幾個方面：單位的內(nèi)部網(wǎng)絡(luò)是由網(wǎng)絡(luò)設(shè)備共同作用，協(xié)同工作建立起來的，主要設(shè)備行控制就可以了。因此物理拓?fù)鋱D顯示設(shè)備與端口的物理連接關(guān)系會給管理帶來極大的方便。借助物理網(wǎng)絡(luò)拓?fù)鋱D上設(shè)備的物理連接關(guān)系，通過可網(wǎng)管交換機(jī)端口的流量使用，又可以防范在非法使用P2P下載軟件搶占帶寬和病毒爆發(fā)時給網(wǎng)絡(luò)速度帶來的擁塞，這對于管理來說才是實用的管理手段。水平不同，很可能造成隨意修改IP地址帶來的內(nèi)網(wǎng)地址沖突，這給內(nèi)網(wǎng)管理帶來很繁瑣的問題。雖然通過在核心或二層交換機(jī)上，可以通過命令來綁定問題是網(wǎng)絡(luò)管理必須要做的。很多制造業(yè)內(nèi)部網(wǎng)絡(luò)龐大，分支繁多，一旦終端機(jī)器或網(wǎng)絡(luò)鏈路出現(xiàn)問題，絡(luò)鏈路備份信息表（每次增加機(jī)器都需要逐臺進(jìn)行記錄否則從眾多網(wǎng)絡(luò)排線中找出問題鏈路將是一件十分費時、費力的事情。1.2.終端安全防護(hù)的正常運行包括以下幾個方面：的都是windows2000,XP或以上的到威脅。防病毒軟件的安裝、正常運行、及時升級。作的軟件(如網(wǎng)絡(luò)嗅探器)。速度減慢，影響了內(nèi)網(wǎng)的正常辦公。起的網(wǎng)絡(luò)安全事件，提高我們的工作效率。某些員工訪問Internet時，由此必須對內(nèi)網(wǎng)機(jī)器的網(wǎng)絡(luò)訪問進(jìn)行必要的過濾。單位內(nèi)部的局域網(wǎng)會在網(wǎng)絡(luò)的出口上，增加相關(guān)的安全硬件防護(hù)設(shè)備，例1.3.終端涉密信息防護(hù)來說，機(jī)密信息的存儲、使用和傳遞過程中，會面臨各種各樣的泄漏風(fēng)險。信息外泄的途徑包括：l工作人員由于對計算機(jī)專業(yè)知識的不熟悉而泄密。從泄密行為的區(qū)別上，分為兩種泄密：被動泄密和主動泄密。乏防護(hù)意識，如沒有及時升級病毒庫和更新系統(tǒng)補丁，導(dǎo)致病毒和木馬的入侵，在不知不覺中泄露了機(jī)密信息。分子打入計算機(jī)網(wǎng)絡(luò)，竊取信息系統(tǒng)、數(shù)據(jù)庫內(nèi)的重要秘密。護(hù)需求主要包括如下幾個方面：令方式雖然簡單，但是存在很大的安全隱患：便利的同時，也為機(jī)密信息的擴(kuò)散和泄露帶來了可能。尤其是USB接口的計算機(jī)周邊設(shè)備的豐富，使得計算機(jī)與其他外部設(shè)備，如U盤，USB打印機(jī)等連接十分方便，并能輕而易舉地通過USB設(shè)備將外部數(shù)據(jù)導(dǎo)入或者內(nèi)部數(shù)據(jù)導(dǎo)出，為重要數(shù)據(jù)的保護(hù)帶來了巨大的安全隱患。作為數(shù)據(jù)最終處理的計算機(jī)終端，存儲著大量的業(yè)務(wù)數(shù)據(jù)。由于Windows進(jìn)入操作系統(tǒng)，都能非常方便地實現(xiàn)對磁盤數(shù)據(jù)的訪問和閱讀。須考慮的問題。由于計算機(jī)終端大多使用Windows操作系統(tǒng)，而該操作系統(tǒng)安裝后即開放夠較為方便地通過遠(yuǎn)程網(wǎng)絡(luò)實現(xiàn)對他人網(wǎng)絡(luò)共享數(shù)據(jù)的訪問。安全管理的重要內(nèi)容。享授權(quán)以及詳細(xì)的訪問日志信息。涉密內(nèi)網(wǎng)雖然不與互聯(lián)網(wǎng)直接連接，但是內(nèi)部人員可能會出于各種原因通過Modem撥號、ADSL上網(wǎng)、無線上網(wǎng)等技術(shù)手段將個人終端計算機(jī)接入互聯(lián)險，從而導(dǎo)致由互聯(lián)網(wǎng)入侵或者木馬程序等方式造成內(nèi)網(wǎng)機(jī)密信息的被動泄密。1.4.移動存儲介質(zhì)的管理料被存貯在移動存儲介質(zhì)里，大量的秘密文件和資料變?yōu)榇判越橘|(zhì)、光學(xué)介質(zhì)，全、有效的管理是保證企業(yè)信息安全的重要手段。移動存儲介質(zhì)使用過程中常見的風(fēng)險包括：3)企業(yè)內(nèi)部移動存儲介質(zhì)及信息資源被帶出4)使用過程的疏忽；5)存貯在媒體中的秘密信息在聯(lián)網(wǎng)交換時被泄露或被竊取，存貯在媒體中的秘密信息在進(jìn)行人工交換時泄密；6)處理廢舊移動存儲介質(zhì)時，由于磁盤經(jīng)消磁十余次后，仍有辦法恢復(fù)原來記錄的信息，存有秘密信息的磁盤很可能被利用磁盤剩磁提取原記錄的信息—這很容易發(fā)生在對磁盤的報廢時，或存貯過秘密信息的磁盤，用戶認(rèn)為已經(jīng)清除了信息，而給其他人使用；7)移動存儲介質(zhì)發(fā)生故障時，存有秘密信息的介質(zhì)不經(jīng)處理或無人監(jiān)督就帶出修理，或修理時沒有懂技術(shù)的人員在場監(jiān)督，而造成泄密；8)移動存儲介質(zhì)管理不規(guī)范，秘密信息和非秘密信息放在同一媒體上，明密不分，媒體介質(zhì)不標(biāo)密級，不按有關(guān)規(guī)定管理秘密信息的媒體，容易造成泄密；9)移動存儲設(shè)備在更新?lián)Q代時沒有進(jìn)行技術(shù)10)媒體失竊，存有秘密信息的磁盤等媒體被盜，就會造成大量的國綜上所述，移動存儲介質(zhì)的管理對制造業(yè)來說，是一個必須關(guān)注的問題。1.5.網(wǎng)絡(luò)接入控制取必要的方式進(jìn)行阻斷和隔離，從而保證該計算機(jī)無法訪問內(nèi)網(wǎng)的相關(guān)資源。的安全狀態(tài)，才能根據(jù)其安全狀態(tài)判斷是否應(yīng)該對其進(jìn)行阻斷和隔離。1.6.計算機(jī)終端管理與維護(hù)源，提高內(nèi)網(wǎng)管理的效率。維護(hù)，是制造業(yè)單位網(wǎng)絡(luò)管理人員迫切需要解決的問題。1.7.分級分權(quán)管理管理的計算機(jī)數(shù)量眾多。管理這么多的計算機(jī)，依靠某一位管理員是不現(xiàn)實的，度和強度無法把握。權(quán)管理的思想。所謂分權(quán)管理，包括兩層含義。計的查看等。個管理員則可以配置安全審計的策略。的需求。以由上級機(jī)構(gòu)自主設(shè)定。例如可能上級機(jī)構(gòu)希望取消下級機(jī)構(gòu)的所有管理權(quán)限，分級管理的主要需求分為如下兩個方面：略，下級無法更改。上來，審查下級機(jī)構(gòu)的策略執(zhí)行情況以及違規(guī)事件等。2.1.方案目標(biāo)本方案的目標(biāo)是為延邊天池工貿(mào)有限公司提供一套計算機(jī)終端安全管理解決方案。為機(jī)密信息的防護(hù)和計算機(jī)終端的運行維護(hù)提供有效的工具和手段。通過本方案，能夠?qū)崿F(xiàn)對單位內(nèi)部局域網(wǎng)進(jìn)行網(wǎng)絡(luò)的統(tǒng)一管理、檢測局域網(wǎng)內(nèi)計算機(jī)終端是否安裝有殺毒軟件，實現(xiàn)對內(nèi)網(wǎng)終端計算機(jī)的流量控制、規(guī)范上網(wǎng)管理、安全管理、終端涉密信息防護(hù)、網(wǎng)絡(luò)接入/質(zhì)的管理、審計和計算機(jī)的日常運行維護(hù)。2.2.遵循標(biāo)準(zhǔn)保護(hù)技術(shù)要求》（BMB17-2006同時，還參考了以下標(biāo)準(zhǔn)和法規(guī)、文件：l國家標(biāo)準(zhǔn)GB/T9387.2-1995信息處理系統(tǒng)l國家標(biāo)準(zhǔn)GB/T18336-2001信息技術(shù)安全技術(shù)信息技術(shù)安全性評l國家保密標(biāo)準(zhǔn)BMB2-1998《使用現(xiàn)場的信息設(shè)備電磁泄漏發(fā)射檢查測l國家保密標(biāo)準(zhǔn)BMB3-1999《處理涉密信息的電磁屏蔽室的技術(shù)要求和測試方法》國家保密標(biāo)準(zhǔn)BMB4-2000《電磁干擾器技術(shù)要求和測試方l國家保密標(biāo)準(zhǔn)BMB5-2000《涉密信息設(shè)備使用現(xiàn)場的電磁泄漏發(fā)射防l國家保密指南BMZ1-2000《涉及國家秘密的計算機(jī)信息系統(tǒng)保密技術(shù)l國家保密指南BMZ2-2001《涉及國家秘密的計算機(jī)信息系統(tǒng)安全保密l國家保密指南BM23-2000《涉及國家秘密的計算機(jī)信息系統(tǒng)安全保密l中共中央辦公廳國務(wù)院辦公廳關(guān)于轉(zhuǎn)發(fā)《中共中央保密委員會辦公室、l《涉及國家秘密德信息系統(tǒng)分級保護(hù)管理辦法碼管理局國務(wù)院信息化工作辦公室公通字[2006]7號。2.3.方案內(nèi)容功能需求，我們提出如下內(nèi)網(wǎng)安全管理解決方案。網(wǎng)絡(luò)管理是建立在內(nèi)網(wǎng)中支持SNMP協(xié)議的可網(wǎng)管交換機(jī)，自動進(jìn)行拓?fù)鋫涔收隙ㄎ?，結(jié)合客戶端控制軟件的IP地址管理功能、網(wǎng)卡流量控制功能，全在出現(xiàn)問題時能夠盡快解決。.物理網(wǎng)絡(luò)拓?fù)鋱D括三層和二層設(shè)備通過系統(tǒng)提供的智能學(xué)習(xí)功能，自動識別網(wǎng)絡(luò)的物理拓?fù)浣Y(jié)構(gòu)，生成網(wǎng)絡(luò)物理連接拓?fù)鋱D?？纯蛻舳酥鳈C(jī)與網(wǎng)絡(luò)設(shè)備之間的端口連接關(guān)系。等。情況，使整個網(wǎng)絡(luò)了然于胸。.流量控制流量控制包括兩個方面，既可以通過控制交換機(jī)的端口，使用端口的打開定的流量范圍內(nèi)進(jìn)行網(wǎng)絡(luò)連通。既保證了其正常工作，又不會影響網(wǎng)絡(luò)帶寬。杜絕了單位內(nèi)部的IP地址沖突問題。.故障定位掌握內(nèi)網(wǎng)鏈路流量狀況。證內(nèi)網(wǎng)機(jī)器的安全性和健壯性，避免由于自身安全性不完善而造成的系統(tǒng)崩潰，抵御已知的一切外部攻擊。監(jiān)控。避免該終端計算機(jī)對內(nèi)網(wǎng)其它主機(jī)造成安全威脅。啟動后必須運行，否則會強制斷網(wǎng)，直到開啟了該程序，網(wǎng)絡(luò)才會恢復(fù)連接。法或易受攻擊的網(wǎng)站，在事前保證機(jī)器訪問網(wǎng)站的合法性。.非法外聯(lián)控制通過禁用設(shè)備的Modem、ADSL撥號、雙網(wǎng)卡、代理上網(wǎng)等方式，禁的預(yù)警信息，及時同時管理員。類措施主要是應(yīng)對合法用戶由于疏忽導(dǎo)致的被動泄密行為。行為，一旦用戶有違保密規(guī)定的行為發(fā)生，管理員能夠快速得到報警信息。故的寶貴資料。安全審計應(yīng)包括如下幾個方面：涉密審計：涉密文件被操作使用、存儲和傳輸審計功能；入網(wǎng)審計：非法設(shè)備接入審計功能；系統(tǒng)發(fā)出報警信息；系統(tǒng)審計：自動記錄受控終端操作系統(tǒng)配置的用戶、工作組、邏輯驅(qū)動器，當(dāng)其發(fā)生變化時，自動向安全管理核心系統(tǒng)發(fā)出報警信息；加載服務(wù)審計：對受控終端安裝的系統(tǒng)服務(wù)進(jìn)行審計，自動記錄系統(tǒng)服務(wù)的啟動和停止；安裝和卸載審計：自動記錄受控終端上應(yīng)用程序的安裝與卸載情況；文件審計：對文件操作進(jìn)行審計，記錄用戶對規(guī)則指定文件進(jìn)行的各種操作；網(wǎng)絡(luò)訪問審計：對網(wǎng)絡(luò)訪問進(jìn)行審計，記錄用戶對規(guī)則指定網(wǎng)址進(jìn)行的訪問操作；打印機(jī)操作審計：對本地打印機(jī)使用情況進(jìn)行審計；非法外聯(lián)審計：對撥號、無線網(wǎng)卡、手機(jī)紅外等訪問情況進(jìn)行審計。進(jìn)程審計：通過對終端計算機(jī)運行的進(jìn)程進(jìn)行審計，可以發(fā)現(xiàn)用戶正在運行的程序?？梢酝ㄟ^進(jìn)程黑名單的方式限制用戶運行某些程序，例如行與工作無關(guān)的操作?？尚乓苿咏橘|(zhì)解決方案，主要是實現(xiàn)如下目標(biāo)：2)數(shù)據(jù)交換前必須通過正確的身份認(rèn)證，包括密碼認(rèn)證或USBKEY等授權(quán)硬件的身份認(rèn)證；4)未經(jīng)授權(quán)的移動介質(zhì)，在工作環(huán)境中不可用，只有經(jīng)過企業(yè)授權(quán)的移動介質(zhì)才能進(jìn)入到企業(yè)的辦公環(huán)境；5)工作配發(fā)的移動介質(zhì)帶出辦公環(huán)境后變?yōu)椴豢捎?。為滿足以上要求，公司在原有產(chǎn)品內(nèi)容安全監(jiān)控系統(tǒng)的基礎(chǔ)上，通過擴(kuò)展，全的“五不”原則，即：“進(jìn)不來、拿不走、讀不懂、改不了、走不脫”?！斑M(jìn)不來”，是指外部的移動存儲介質(zhì)拿到單位內(nèi)部的存儲介質(zhì)拿出去使不了；“讀不懂”是指只有授權(quán)的人才能解密閱讀，能，對違反策略的行為和事件可以跟蹤審計?？尚乓苿咏橘|(zhì)管理模塊的對象定位即移動存儲設(shè)備，包括以下種類：4)各種移動存儲卡。可信移動介質(zhì)管理模塊的功能包括：首先，它可以集中管理移動存儲設(shè)備；方式，防止信息泄露；最后，實行數(shù)據(jù)加解密和操作行為的安全審計等。定密級。注冊并設(shè)定密級的移動存儲介質(zhì)受以下保密原則約束：3)低密級移動存儲不能（或者只讀）在高密級計4)非授權(quán)的移動存儲介質(zhì)不能在涉密計算機(jī)上密、日志審計等技術(shù)手段對可移動存儲設(shè)備進(jìn)行失泄密防護(hù)，真正做到了“拿進(jìn)下：.注冊授權(quán)移動存儲介質(zhì)將被嚴(yán)格控制使用。移動存儲介質(zhì)，則依據(jù)其授權(quán)信息進(jìn)行多層次的訪問控制。正確的訪問口令，方可正常加載可信移動存儲介質(zhì)；2)密級識別：用戶在使用可信移動存儲介質(zhì)的時候，需要與客戶端主級相匹配。高密級的磁盤將被禁止在低密級的主機(jī)上使用；也禁止從高密級的主機(jī)上拷貝數(shù)據(jù)到低密級的磁盤上；3)身份驗證：用戶在使用可信移動存儲介質(zhì)的時候，需對其身份信驗證，不在使用許可范圍的將禁止使用；4)使用限制條件：通過上述三個條件的檢查后，系統(tǒng)還提供了對使用次數(shù)和使用日期的限制，超過使用限制條件后將禁止其使用。所有的使用過程，系統(tǒng)都會記錄相應(yīng)的使用日志。.數(shù)據(jù)保護(hù)操作系統(tǒng)原有的文件關(guān)聯(lián)和文件的級聯(lián)打開。護(hù)的處理方式有：1)以只讀方式加載磁盤：加載后的磁盤只能查往磁盤上寫入任何內(nèi)容；2)磁盤鎖定：禁止用戶再使用該磁盤，需交到授權(quán)中心進(jìn)行解鎖后方可重新使用。.操作記錄臺帳、使用臺帳、違規(guī)臺帳、鎖定與自毀臺帳、解鎖臺帳、授權(quán)回收臺帳。功能，借助它，可以方便地看到磁盤的整個使用過程。面：維修和銷毀等；l標(biāo)準(zhǔn)BMB17－2006對信息密碼措施的要求，包括對移動存儲介質(zhì)的身份鑒別和加密保護(hù)。合法的主機(jī)，系統(tǒng)將其阻斷或限制與內(nèi)網(wǎng)的通信。非法接入控制功能主要目的是保證內(nèi)網(wǎng)涉密信息及文件不受非法接入設(shè)備的探測、拷貝、刪除和修改等威脅。.非法主機(jī)的定義裝補丁和防火墻軟件）的計算機(jī)隔離出內(nèi)網(wǎng)，保證內(nèi)網(wǎng)整體的安全性。對非法主機(jī)的定義，采取以下方式：.非法接入控制策略性和簡單易用。1)非法接入控制策略靈活性：管理員可以靈活設(shè)定非法接入控制策略，選定不同的管理顆粒度；2)非法接入控制策略模版化：管理員可以設(shè)置不入控制策略，并且根據(jù)實際情況或意外情況修改或改變使用不同的策略模版。注冊合法主機(jī)檢查策略；主機(jī)安全性檢查策略；主機(jī)反病毒檢測策略；管理員自定義策略。查入網(wǎng)身份，并驗證此主機(jī)是否已經(jīng)在身份數(shù)據(jù)庫中注冊。.非法接入阻斷技術(shù)實現(xiàn)原理實現(xiàn)了非法接入控制。阻止其訪問網(wǎng)絡(luò)資源的目的。2)主機(jī)防火墻方式：通過安裝在目標(biāo)計算機(jī)上的的網(wǎng)絡(luò)訪問進(jìn)行控制；3)交換機(jī)聯(lián)動方式：自動定位接入計算機(jī)所在的交換機(jī)端口，通過4)三種非法接入控制方式不是簡單的選擇使用或者堆疊使用，而是根據(jù)管理員設(shè)定的不同策略進(jìn)行有機(jī)搭配使用。要求。統(tǒng)資源的訪問；違規(guī)接入進(jìn)行告警。量地對終端計算機(jī)的運行參數(shù)進(jìn)行遠(yuǎn)程修改。.主機(jī)信息收集收集終端計算機(jī)相關(guān)信息，如主機(jī)名、IP地址、網(wǎng)絡(luò)參數(shù)、帳戶信息、安終端計算機(jī)的維護(hù)和故障診斷提供參考。設(shè)置終端計算機(jī)的網(wǎng)絡(luò)參數(shù)，包括IP地址、網(wǎng)關(guān)、WINS等。當(dāng)網(wǎng)絡(luò)結(jié)構(gòu)壓力。和日常維護(hù)等。程終端計算機(jī)，進(jìn)行本地化操作。例如：開關(guān)機(jī)、搜索可疑文件、服務(wù)/進(jìn)程查算機(jī)的接管。戶的交流和交互。2.4.LanSecS系統(tǒng)簡介用身份認(rèn)證、文件系統(tǒng)監(jiān)控、設(shè)備監(jiān)控、網(wǎng)絡(luò)監(jiān)控、注冊表監(jiān)控、進(jìn)程/服務(wù)監(jiān)心技術(shù)開發(fā)的新一代內(nèi)網(wǎng)安全管理系統(tǒng)。LanSecS根據(jù)系統(tǒng)提供安全服務(wù)的不同，劃分為五個安全組件：安全審計、單個獨立內(nèi)網(wǎng)的安全管理，更適用于大型廣域網(wǎng)絡(luò)的分級安全管理（級數(shù)不限）。了用戶角色的設(shè)計思路。內(nèi)網(wǎng)中所有人員均分配一定的角色（管理員、操作員、管理系統(tǒng)的分權(quán)管理，增強了系統(tǒng)應(yīng)用和管理的靈活性。各安全組件提供的服務(wù)內(nèi)容如下：安全審計：提供內(nèi)網(wǎng)主機(jī)安全事件的審計功能，包括文件操作、文檔打印、發(fā)和網(wǎng)站訪問行為等。主機(jī)網(wǎng)絡(luò)參數(shù)的配置和監(jiān)控等。為內(nèi)網(wǎng)用戶提供方便的軟件分發(fā)和時間同步服務(wù)。供主機(jī)安全策略和IE安全策略的統(tǒng)一設(shè)置，加強主機(jī)的安全性。操作系統(tǒng)、軟件、硬件。并對資產(chǎn)和資源的變更進(jìn)行監(jiān)控和預(yù)警。2.5.LanSecS系統(tǒng)架構(gòu)設(shè)計證設(shè)備、數(shù)據(jù)庫和安全代理五個系統(tǒng)功能模塊組成。各模塊的功能描述如下：用戶證書用于操作系統(tǒng)登錄認(rèn)證。l管理控制臺：LanSecS系統(tǒng)管理入口，管理和維護(hù)行狀態(tài)；負(fù)責(zé)總控中心的策略配置、補丁部署、審計查看和預(yù)警響應(yīng)；負(fù)責(zé)安全代理的運行策略設(shè)置。務(wù)器、預(yù)警平臺服務(wù)器、證書/認(rèn)證服務(wù)器以及補丁/軟件分發(fā)服務(wù)器組件平臺上，視內(nèi)網(wǎng)規(guī)模不同可采用不同的部署方式。n策略中心服務(wù)器：安全代理策略管理中心，提供安全管理員安全策略模版的管理、實時策略的管理、策略群發(fā)、策略查詢等功能。n審計中心服務(wù)器：接收安全代理發(fā)送的審計事件，并提供安全管理員統(tǒng)計查詢以及手動報表、自動報表的功能。n安全網(wǎng)管服務(wù)器：提供網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)、地址綁定、流量統(tǒng)計、交換機(jī)運行狀態(tài)管理、流量控制及報警等功能。n預(yù)警平臺服務(wù)器：提供網(wǎng)絡(luò)管理員和終端用戶實時交互的機(jī)制，統(tǒng)一發(fā)布相關(guān)安全管理規(guī)范、安全組織體系、安全宣傳資料以及最新安全動態(tài)等信息。功能。/軟件下載服務(wù)。2.6.LanSecS系統(tǒng)功能設(shè)計服務(wù)組件具體實現(xiàn)的功能如下。安全審計改名等操作。提供打印操作的監(jiān)控功能。以及共享目錄的遠(yuǎn)程管理功能。以及基于黑名單的自動控制功能。行審計。提供操作系統(tǒng)日志的自動收集、記錄的功能。提供對軟件/安裝卸載程序情況進(jìn)行審計。用戶行為進(jìn)行審計。其變化進(jìn)行審計。安全加固提供移動存儲介質(zhì)讀寫的透明加密功能。提供操作系統(tǒng)、應(yīng)用軟件補丁的下載、安裝和檢測。提供本地文件和目錄的加密存儲功能。登錄認(rèn)證提供基于數(shù)字證書的登錄認(rèn)證功能。對主機(jī)的安全策略進(jìn)行配置。提供對WINDOWS存在的帳戶進(jìn)行密碼強度的控制。系統(tǒng)臨時文件和歷史記錄的自動清理功能。安全服務(wù)提供管理員和終端用戶之間的實時消息通知以及文檔發(fā)布的功能。提供管理員遠(yuǎn)程登錄終端用戶桌面進(jìn)行安全維護(hù)以及故障診斷等操作的功能。提供應(yīng)用軟件的自動分發(fā)功能。掩碼等網(wǎng)絡(luò)配置參數(shù)的遠(yuǎn)程管理功能，防止惡意修改網(wǎng)絡(luò)參數(shù)，濫用網(wǎng)絡(luò)資源。安全網(wǎng)管向預(yù)警中心報警。禁止未注冊的計算機(jī)接入本地網(wǎng)絡(luò)，并實時報警和阻斷。連接關(guān)系。提供地圖模式的網(wǎng)絡(luò)拓?fù)滹@示功能以及網(wǎng)絡(luò)設(shè)備的面板圖管理功能。提供交換機(jī)端口的流量圖統(tǒng)計功能，對于異常的網(wǎng)絡(luò)端口流量進(jìn)行報警。資產(chǎn)管理能夠自動收集并記錄網(wǎng)絡(luò)中的設(shè)備資產(chǎn)信息。提供資產(chǎn)手動錄入、注銷功能。提供資產(chǎn)過濾查詢以及自動、手動報表功能。作為內(nèi)網(wǎng)安全管理系統(tǒng)，系統(tǒng)自身的安全性對內(nèi)網(wǎng)來說十分重要。La內(nèi)網(wǎng)安全管理系統(tǒng)設(shè)計之初便對其自身安全性做了充分的考慮和技術(shù)處理，使理系統(tǒng)自身安全性體現(xiàn)在如下幾個方面：理系統(tǒng)從以下方面確?？刂浦行牡陌踩合到y(tǒng)崩潰和受攻擊的可能性。2)系統(tǒng)管理控制：LanSecS內(nèi)網(wǎng)安全管理系統(tǒng)的身份認(rèn)證和訪問控制策略，保證了只有授權(quán)管理人員才能訪問系統(tǒng)。擊的可能性。除此之外，LanSecS控制中心還內(nèi)