信息安全等級保護建設(shè)項目方案書2

1、目錄1項目背景32建設(shè)目標43信息安全等級保護綜合管理系統(tǒng)43.1 信息安全等級保護綜合管理系統(tǒng)概述43.2 系統(tǒng)架構(gòu)73.3 系統(tǒng)功能93.3.1 定級備案管理93.3.2 建設(shè)整改管理103.3.3 等級測評管理113.3.4 安全檢查管理123.3.5 風(fēng)險評估管理133.3.6 風(fēng)險評估測評133.3.7 風(fēng)險評估管理143.3.8 日常辦公管理153.3.9 統(tǒng)計分析163.3.10 基礎(chǔ)數(shù)據(jù)管理163.3.11 分級管理183.3.12 系統(tǒng)接口183.4 系統(tǒng)安全性193.5 系統(tǒng)部署203.6 系統(tǒng)配置要求204內(nèi)網(wǎng)安全管理系統(tǒng)214.1 內(nèi)網(wǎng)安全管理系統(tǒng)概述214.2 產(chǎn)品架

2、構(gòu)214.2.1 終端監(jiān)控引擎224.2.2 總控中心224.2.3 管理控制臺224.2.4 系統(tǒng)數(shù)據(jù)庫224.3 產(chǎn)品功能234.3.1 終端運維管理234.3.2 終端安全加固244.3.3 終端安全審計254.3.4 網(wǎng)絡(luò)準入控制254.3.5 移動存儲管理264.4 產(chǎn)品性能264.4.1 終端引擎性能264.4.2 總控性能264.4.3 產(chǎn)品性能指標274.5 產(chǎn)品規(guī)范274.6 產(chǎn)品部署275內(nèi)控管理平臺（堡壘主機）295.1 堡壘主機概述29掛步H拽5.2 產(chǎn)品功能295.2.1 賬號管理295.2.2 主賬號管理305.2.3 從賬號管理305.2.4 授權(quán)管理305.2.

3、5 靈活的授權(quán)管理305.2.6 細粒度的訪問控制管理315.2.7 認證管理315.2.8 審計管理325.3 產(chǎn)品特點325.3.6高可用性335.4 客戶收益335.5 產(chǎn)品部署356數(shù)據(jù)庫安全防護平臺356.1 數(shù)據(jù)庫風(fēng)險分析356.2 產(chǎn)品概述366.3 功能特性376.4 產(chǎn)品價值376.5 多種應(yīng)用模式386.6 產(chǎn)品優(yōu)勢396.7 產(chǎn)品部署396.8 .2旁路模式406.9 .3混合部署模式401項目背景隨著互聯(lián)網(wǎng)技術(shù)飛速發(fā)展，網(wǎng)絡(luò)狀況日趨復(fù)雜和重要，網(wǎng)絡(luò)信息安全已經(jīng)提高到國家安全的高度?，F(xiàn)在各單位、企業(yè)已經(jīng)重視網(wǎng)絡(luò)安全建設(shè)，但網(wǎng)絡(luò)自身仍然比較脆弱。為了達到信息系統(tǒng)安全等級保護

4、工作的縱深要求，依據(jù)信息安全等級保護技術(shù)標準規(guī)范，建設(shè)網(wǎng)絡(luò)安全和開展等級保護管理工作。信息安全等級保護整體的安全保障體系包括技術(shù)和管理兩大部分，其中技術(shù)部分根據(jù)信息系統(tǒng)安全等級保護基本要求分為物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全五個方面進行建設(shè)；而管理部分根據(jù)信息系統(tǒng)安全等級保護基本要求則分為安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理五個方面。整個安全保障體系各部分既有機結(jié)合，又相互支撐。之間的關(guān)系可以理解為“構(gòu)建安全管理機構(gòu)，制定完善的安全管理制度及安全策略，由相關(guān)人員，利用技術(shù)工手段及相關(guān)工具，進行系統(tǒng)建設(shè)和運行維護?！备鶕?jù)等級化安全保障體系的設(shè)計思路

5、，等級保護的設(shè)計與實施通過以下步驟進行：1 .系統(tǒng)識別與定級：確定保護對象，通過分析系統(tǒng)所屬類型、所屬信息類別、服務(wù)范圍以及業(yè)務(wù)對系統(tǒng)的依賴程度確定系統(tǒng)的等級。通過此步驟充分了解系統(tǒng)狀況，包括系統(tǒng)業(yè)務(wù)流程和功能模塊，以及確定系統(tǒng)的等級，為下一步安全域設(shè)計、安全保障體系框架設(shè)計、安全要求選擇以及安全措施選擇提供依據(jù)。2 .安全域設(shè)計：根據(jù)第一步的結(jié)果，通過分析系統(tǒng)業(yè)務(wù)流程、功能模塊，根據(jù)安全域劃分原則設(shè)計系統(tǒng)安全域架構(gòu)。通過安全域設(shè)計將系統(tǒng)分解為多個層次，為下一步安全保障體系框架設(shè)計提供基礎(chǔ)框架。3 .確定安全域安全要求：參照國家相關(guān)等級保護安全要求，設(shè)計不同安全域的安全要求。通過安全域適用安全

6、等級選擇方法確定系統(tǒng)各區(qū)域等級,明確各安全域所需采用的安全指標。4 .評估現(xiàn)狀：根據(jù)各等級的安全要求確定各等級的評估內(nèi)容，根據(jù)國家相關(guān)風(fēng)險評估方法，對系統(tǒng)各層次安全域進行有針對性的等級風(fēng)險評估。并找出系統(tǒng)安全現(xiàn)狀與等級要求的差距，形成完整準確的按需防御的安全需求。通過等級風(fēng)險評估，可以明確各層次安全域相應(yīng)等級的安全差距，為下一步安全技術(shù)解決方案設(shè)計和安全管理建設(shè)提供依據(jù)。5 .安全保障體系方案設(shè)計：根據(jù)安全域框架，設(shè)計系統(tǒng)各個層次的安全保障體系框架以及具體方案。包括：各層次的安全保障體系框架形成系統(tǒng)整體的安全保障體系框架；詳細安全技術(shù)設(shè)計、安全管理設(shè)計。6 .安全建設(shè)：根據(jù)方案設(shè)計內(nèi)容逐步進行

7、安全建設(shè)，滿足方案設(shè)計做要符合的安全需求，滿足等級保護相應(yīng)等級的基本要求，實現(xiàn)按需防御。7 .持續(xù)安全運維：通過安全預(yù)警、安全監(jiān)控、安全加固、安全審計、應(yīng)急響應(yīng)等，從事前、事中、事后三個方面進行安全運行維護，確保系統(tǒng)的持續(xù)安全，滿足持續(xù)性按需防御的安全需求。通過如上步驟，系統(tǒng)可以形成整體的等級化的安全保障體系,同時根據(jù)安全術(shù)建設(shè)和安全管理建設(shè)，保障系統(tǒng)整體的安全。而應(yīng)該特別注意的是：等級保護不是一個項目，它應(yīng)該是一個不斷循環(huán)的過程，所以通過整個安全項目、安全服務(wù)的實施，來保證用戶等級保護的建設(shè)能夠持續(xù)的運行，能夠使整個系統(tǒng)隨著環(huán)境的變化達到持續(xù)的安全。在整個信息安全等級保護體系實施過程中，管理

8、工作尤為重要，廣西桂盾科技有限責(zé)任公司推出了LanSecS轉(zhuǎn)息安全等級保護綜合管理系統(tǒng)，該系統(tǒng)是一套適用于信息安全等級保護工作業(yè)務(wù)管理的綜合信息管理平臺。作為信息安全等級保護工作的常態(tài)化管理工具，該系統(tǒng)緊密結(jié)合我國信息安全等級保護政策，實現(xiàn)了對信息安全等級保護工作中定級備案、安全建設(shè)整改、等級測評、風(fēng)險評估和安全檢查等各個環(huán)節(jié)信息與數(shù)據(jù)的集中管理和工作流程管理。針對以上體系中提到了安全建設(shè)與持續(xù)安全運維，推出了LanSecS兩網(wǎng)安全管理系統(tǒng)、LanSecS?內(nèi)控管理平臺（堡壘主機）、LanSecS數(shù)據(jù)庫安全防護平臺，三款產(chǎn)品符合信息安全等級保護相關(guān)技術(shù)要求，也符合等保安全建設(shè)與持續(xù)安全運維的需

9、求。2建設(shè)目標開展信息安全等級保護體系建設(shè)，已經(jīng)成為許多單位、企業(yè)的重大目標，廣西桂盾科技有限責(zé)任公司推出的北京圣博潤LanSecS產(chǎn)品不僅符合信息安全等級保護的技術(shù)要求，而且進一步加強了等保工作的管理，加固了網(wǎng)絡(luò)安全防護。信息安全等級保護綜合管理系統(tǒng)能將等保管理中的數(shù)據(jù)集中管理，有效提高工作效率。讓多個工作環(huán)節(jié)按流程化管理，促進等保工作的標準化和規(guī)范化。通過此平臺將等保工作融入日常信息安全管理工作中。內(nèi)網(wǎng)安全管理系統(tǒng)可以對計算機準入控制、計算機安全加固、計算機運行維護、計算機安全審計、移動存儲介質(zhì)注冊等多個方面的綜合管理，可以為各單位、企業(yè)打造一個安全、可信、規(guī)范、健康的網(wǎng)絡(luò)環(huán)境。內(nèi)控管理平

10、臺（堡壘主機）通過賬號集中管理，統(tǒng)一所有網(wǎng)絡(luò)設(shè)備、服務(wù)器運維請求的入口，未通過授權(quán)的請求擋在入口外面，從而根本上解決了共享賬戶、賬戶泄露等問題引起的安全風(fēng)險，提高了運維訪問的安全性。通過審計功能，將堡壘主機上所有運維操作錄屏回放，可在安全事件發(fā)生時，做到有據(jù)可查，責(zé)任落實。通過數(shù)據(jù)庫安全防護平臺可以防止針對數(shù)據(jù)庫的外部黑客攻擊、防止內(nèi)部高危操作、防止敏感數(shù)據(jù)泄漏、審計追蹤非法行為，實時監(jiān)控數(shù)據(jù)庫運行狀態(tài)。保障了重要信息的安全。3信息安全等級保護綜合管理系統(tǒng)3.1信息安全等級保護綜合管理系統(tǒng)概述圣博潤很早就開始與相關(guān)職能部門進行密切的交流，了解和跟蹤信息安全等級保護綜合管理系統(tǒng)的實際應(yīng)用需求，從

11、2007年開始信息安全等級保護綜合管理系統(tǒng)的相關(guān)技術(shù)研究、產(chǎn)品研發(fā)和持續(xù)改進等工作。并推出了具有自主知識產(chǎn)權(quán)的LanSecS信息安全等級保護綜合管理系統(tǒng)。產(chǎn)品可解決如下幾個方面的問題：1）信息安全等級保護信息與數(shù)據(jù)缺乏集中管理當(dāng)前信息安全等級保護工作中各種信息和數(shù)據(jù)大多依靠簡單的EXCELS格進行管理，手工操作任務(wù)繁瑣，不利于信息與數(shù)據(jù)的匯總和統(tǒng)計，本項目產(chǎn)品將解決這一難題，有效提高等級保護工作效率。2）信息安全等級保護工作流程缺乏必要的約束各行業(yè)開展等級保護功過過程中，難以有效避免因人而異、因時而異、因事而異的工作狀態(tài)，各項工作流程缺乏必要的約束。本項目產(chǎn)品的應(yīng)用，將有利于提高等級保護工作流

12、程的規(guī)范性。3）缺乏有效的信息安全等級保護工作考核依據(jù)各行業(yè)等級保護主管部門對等級保護工作的執(zhí)行和工作成效的考核沒有統(tǒng)一的量化的標準，對等保工作和人員的考核缺乏依據(jù)。本項目產(chǎn)品將有效解決這一難題。通過提供標準化、流程化的辦公平臺，為等級保護工作的考核提供數(shù)據(jù)支持。4）信息安全建設(shè)整改工作統(tǒng)一指揮和協(xié)調(diào)難等級保護安全建設(shè)與整改工作是一項任務(wù)緊迫、形勢復(fù)雜、周期較長的工作。這一工作必須要統(tǒng)一指揮和協(xié)調(diào)，才會取得良好的工作成效。本產(chǎn)品為各行業(yè)的安全建設(shè)整改工作提供了一個統(tǒng)一指揮和協(xié)調(diào)的工作平臺，將有效解決安全建設(shè)整改工作的指揮和調(diào)度困難問題。作為等級保護工作開展所依賴的基礎(chǔ)工作平臺，信息安全等級保護

13、綜合管理系統(tǒng)可在如下方面促進信息安全等級保護工作的開展。1）實現(xiàn)信息與數(shù)據(jù)的集中管理和分析處理信息安全等級保護綜合管理系統(tǒng)可對各種信息安全等級保護基礎(chǔ)數(shù)據(jù)實現(xiàn)集中存儲和管理，不但保證了數(shù)據(jù)的完整性和一致性，也為行業(yè)等級保護工作的開展提供了可靠的數(shù)據(jù)支持。通過數(shù)據(jù)統(tǒng)計和分析，可為等級保護工作的進一步開展提供決策支持。該系統(tǒng)可管理的數(shù)據(jù)包括如下多種類型：?系統(tǒng)定級、備案數(shù)據(jù)；?建設(shè)整改數(shù)據(jù)；?等級測評數(shù)據(jù)；?安全檢查數(shù)據(jù)；?風(fēng)險評估數(shù)據(jù)；?等級保護政策標準；?安全管理制度與管理措施；?信息資產(chǎn)；?安全事件；?測評機構(gòu)與人員；?專家?guī)欤?教育培訓(xùn)數(shù)據(jù)。針對上面各類數(shù)據(jù)，本系統(tǒng)能夠進行集中管理和統(tǒng)計查

14、詢，并快速生成種類豐富的報告和報表，極大的方便了等級保護工作的信息系統(tǒng)定級、備案、安全建設(shè)整改、安全測評、安全檢查等工作。2) 規(guī)范等級保護工作流程，提高工作效率信息安全等級保護綜合管理系統(tǒng)為信息安全等級保護的多個工作環(huán)節(jié)提供了基于工作流引擎的工作流程管理功能，如安全建設(shè)整改、安全檢查、風(fēng)險評估等。通過流程定制，使得行業(yè)管理人員可按照統(tǒng)一的工作流程開展行業(yè)的等級保護工作，避免了不同單位、不同管理人員在執(zhí)行等級保護工作過程中的隨意性。促進了等級保護工作環(huán)節(jié)的標準化和規(guī)范化。另外，通過流程管理，使得數(shù)據(jù)處理和工作部署實施的自動化程度大大增強，從而有效提高了等級保護工作的效率。3) 提升行業(yè)等級保護

15、工作管理的透明度信息安全等級保護綜合管理系統(tǒng)通過預(yù)置部門、人員、角色和工作流程，實現(xiàn)了行業(yè)用戶等級保護工作開展過程中的部門、角色的分工協(xié)作。通過內(nèi)置的辦公管理模塊，讓等級保護工作執(zhí)行人員及時受理和完成分配的工作任務(wù)，讓管理人員及時掌握等級保護工作的開展情況，實現(xiàn)可視化的等級保護工作管理。行業(yè)主管部門通過該系統(tǒng)可以對等級保護工作的進度進行跟蹤?？捎行Ц纳圃械燃壉Ｗo工作對整體管理過程的不可跟蹤性和管理效果的不可預(yù)見性。行業(yè)主管部門通過該系統(tǒng)還可對每個等級保護參與人員的工作進度、工作狀況、工作結(jié)果進行直觀的檢視。同時，根據(jù)預(yù)定義的評價指標，對等級保護工作的執(zhí)行效果進行客觀的考核和評價，大大增加了管

16、理的透明度。4) 提升行業(yè)等級保護工作的整體實施能力通常，各行業(yè)的等級保護工作執(zhí)行人員并不一定是安全領(lǐng)域的技術(shù)專家，這往往會導(dǎo)致等級保護工作中出現(xiàn)領(lǐng)導(dǎo)層與執(zhí)行層工作脫節(jié)，具體執(zhí)行工作難于直觀的反映到信息安全保障工作的直屬領(lǐng)導(dǎo)層面，出現(xiàn)信息安全等級保護工作執(zhí)行上的不透明，直接導(dǎo)致管理工作的執(zhí)行不徹底和不到位。信息安全等級保護綜合管理系統(tǒng)在各行業(yè)開展等級保護工作的過程中，通過規(guī)范工作流程、完善數(shù)據(jù)管理、提供教育與培訓(xùn)等，提高等級保護工作人員的等級保護工作意識、理解等級保護工作職責(zé)、促進等級保護工作的規(guī)范化。利用系統(tǒng)的內(nèi)置的各種工作流程，可將等級保護工作要求迅速分解到相關(guān)技術(shù)部門和人員，大大降低了單

17、位內(nèi)部的協(xié)調(diào)復(fù)雜性，提升了行業(yè)等級保護工作的整體實施能力。5) 促進等級保護工作管理的常態(tài)化信息安全等級保護綜合管理系統(tǒng)提供了安全整改活動、等級測評活動、安全檢查活動和風(fēng)險評估活動的流程管理功能，為各行業(yè)開展的新一輪安全建設(shè)與整改工作以及等級測評工作提供了可靠的技術(shù)支撐。信息安全等級保護綜合管理系統(tǒng)的定位和目標是為我國各行業(yè)開展的等級保護工作建設(shè)一套運行可靠、管理嚴密、控制有效、信息全面、監(jiān)管有力、便于維護、高效安全的工作平臺。實現(xiàn)信息系統(tǒng)定級備案、安全建設(shè)整改、等級測評和安全檢查等工作的信息化管理，提升等級保護工作的效率和管理水平。信息安全等級保護綜合管理系統(tǒng)提供了涵蓋等級保護工作所有工作環(huán)

18、節(jié)的管理功能，是一個以等級保護為核心的集成的、綜合的信息安全基礎(chǔ)工作平臺。該系統(tǒng)可有效促進各行業(yè)等級保護工作管理的常態(tài)化。3.2系統(tǒng)架構(gòu)業(yè)務(wù)管理層等保工作管理日常辦公平臺信息奈統(tǒng)統(tǒng)計資百二一贏i+一數(shù)據(jù)現(xiàn)計分析中，匚基礎(chǔ)數(shù)據(jù)層與其它安全運維管埋系統(tǒng)、等級保護備案管理系統(tǒng)接口軍療方現(xiàn)落口安全事社落口密產(chǎn)倍同同步攙口耳但新盤共享拷口上圖是LanSecS信息安全等級保護綜合管理系統(tǒng)的總體框架結(jié)構(gòu)示意圖。系統(tǒng)總體分為業(yè)務(wù)管理層、基礎(chǔ)數(shù)據(jù)層和接口層三個層次。業(yè)務(wù)功能層是軟件主體功能，包括等級保護工作管理、日常辦公管理、數(shù)據(jù)統(tǒng)計與分析和系統(tǒng)管理幾個部分?；A(chǔ)數(shù)據(jù)層維護等級保護工作所需的各類基礎(chǔ)數(shù)據(jù)，接口層

19、負責(zé)與其它安全運維管理系統(tǒng)或等級保護相關(guān)系統(tǒng)的數(shù)據(jù)共享和交互。1) 等級保護工作管理等級保護工作管理以信息安全等級保護工作為主線，對等級保護工作中的定級備案、安全建設(shè)整改、等級測評、安全檢查、風(fēng)險評估、安全評價等各個工作環(huán)節(jié)進行規(guī)范化管理，包括信息與數(shù)據(jù)的收集、工作流程管理等。2) 基礎(chǔ)數(shù)據(jù)層基礎(chǔ)數(shù)據(jù)管理為信息安全等級保護綜合管理所需的各種基礎(chǔ)信息與數(shù)據(jù)提供統(tǒng)一的維護與管理。包括政策法規(guī)、標準規(guī)范庫的管理，安全管理機構(gòu)、人員和管理制度庫的管理，災(zāi)備信息、應(yīng)急預(yù)案、應(yīng)急演練的管理，教育培訓(xùn)管理，專家?guī)旃芾恚Y產(chǎn)信息管理，信息安全事件管理等。3) 接口層接口層負責(zé)提供本系統(tǒng)與其他系統(tǒng)之間的數(shù)據(jù)共享

20、和交互接口。例如本系統(tǒng)的定級備案數(shù)據(jù)向公安部定級備案信息管理系統(tǒng)的數(shù)據(jù)輸出接口，信息安全運維管理系統(tǒng)收集的數(shù)據(jù)向本系統(tǒng)的數(shù)據(jù)輸入接口等。LanSecS信息安全等級保護綜合管理系統(tǒng)的業(yè)務(wù)體系架構(gòu)以及各業(yè)務(wù)模塊之間的關(guān)系如下圖所示。系統(tǒng)用戶通過瀏覽器訪問LanSecS信息安全等級保護綜合管理系統(tǒng)，經(jīng)過系統(tǒng)身份認證和權(quán)限控制，進行等級保護業(yè)務(wù)管理工作。普通用戶以日常辦公管理作為主要操作界面。系統(tǒng)管理員則可對基礎(chǔ)數(shù)據(jù)、工作流程、具體等級保護工作環(huán)節(jié)的業(yè)務(wù)活動進行統(tǒng)一維護管理并可對工作過程進行監(jiān)控、對信息和數(shù)據(jù)進行統(tǒng)計分析等。信息中心工作人員定理褊筌臼常辦公工沿要門瑪強制評安殳桂育,*甘母苧為制沖粒育潼

21、程監(jiān)抻趨才整欲以檔二也同齡潸估號勢*計g-l,H皂3.3系統(tǒng)功能“LanSecS信息安全等級保護綜合管理系統(tǒng)”主要功能包括如下幾個方面：1) 定級備案管理2) 建設(shè)整改管理3) 等級測評管理4) 安全檢查管理5) 風(fēng)險評估管理6) 日常辦公管理7) 統(tǒng)計分析8) 基礎(chǔ)數(shù)據(jù)維護3.3.1定級備案管理重要信息系統(tǒng)的定級與備案工作是我國信息安全等級保護工作開展的基礎(chǔ)。各行業(yè)均應(yīng)對本行業(yè)內(nèi)各單位的重要信息系統(tǒng)進行定級，并將定級情況向公安機關(guān)備案。目前大部分行業(yè)用戶，均通過手動方式填寫備案登記表，備案表在本單位的留存也是以離散文檔的形式存儲。這種備案方式非常不利于備案信息的維護，也不利于備案信息的查詢、

22、檢索和統(tǒng)計。也就無法為主管部門快速提供本單位的信息系統(tǒng)備案狀況。本系統(tǒng)可為各行業(yè)的重要信息系統(tǒng)的定級和備案提供方便的管理功能。定級備案管理模塊功能邏輯結(jié)構(gòu)如下：備案信息錄入入導(dǎo).出導(dǎo)統(tǒng)計杳誼單位信息不統(tǒng)信息工具圖3定級看案管理模塊邏輯結(jié)構(gòu)“定級備案管理”主要完成重要信息系統(tǒng)的定級備案信息維護與管理，包括備案信息的錄入、查詢、統(tǒng)計，備案信息表的導(dǎo)出和導(dǎo)入、備案數(shù)據(jù)采集等。具體如下：1）備案信息填報：完成重要信息系統(tǒng)備案信息的填報；2）備案情況查詢（更改）：按照備案單位或備案信息表中任何一個字段進行單項查詢或組合查詢，查詢結(jié)果顯示為備案信息（分為以單位為主導(dǎo)和以信息系統(tǒng)為主導(dǎo)兩類，即允許用戶按單位

23、查也可以按信息系統(tǒng)查），為一項或多項。提供關(guān)鍵字段的準確和模糊查詢；3）備案信息導(dǎo)出：將備案信息導(dǎo)出，供導(dǎo)入備案數(shù)據(jù)采集工具或監(jiān)督檢查工具使用；4）備案情況統(tǒng)計：提供特定備案時間段的信息系統(tǒng)數(shù)量、單位數(shù)量等，統(tǒng)計顯示形式為統(tǒng)計表；5）附加信息管理：完成備案附加信息的添加;6）備案數(shù)據(jù)采集工具 &案表填報：完成備案表信息的填報; 備案表校馬和審核：完成備案表信息的校驗和核對，以及系統(tǒng)自動給用戶提供一個備案表編號供用戶酌情選擇使用； &案表WORD檔生成：完成備案表xml格式到word文件格式的轉(zhuǎn)換和具體文件的生成；&案表信息打包：完成備案表信息、附件的合并和壓縮，生成可上

24、傳文件比量入庫：實現(xiàn)文件包的解析和批量入庫3.3.2建設(shè)整改管理本系統(tǒng)將整改建設(shè)分為五個步驟環(huán)節(jié)：1 ）工作部署：制定信息系統(tǒng)安全建設(shè)整改工作規(guī)劃，對信息系統(tǒng)安全建設(shè)整改工作進行總體部署；2 ）現(xiàn)狀分析：開展信息系統(tǒng)安全保護現(xiàn)狀分析，從管理和技術(shù)兩個方面確定信息系統(tǒng)安全建設(shè)整改需求；3 ）整改方案：確定安全保護策略，制定信息系統(tǒng)安全建設(shè)整改方案；4 ）整改實施：開展信息系統(tǒng)安全建設(shè)整改工作，建立并落實安全管理制度，落實安全責(zé)任制，建設(shè)安全設(shè)施，落實安全措施；5）整改結(jié)果：開展安全自查和等級測評，及時發(fā)現(xiàn)信息系統(tǒng)中存在安全隱患和威脅，進一步開展安全建設(shè)整改工作。建設(shè)整改執(zhí)行流程如下圖所示。圖4建

25、設(shè)整改工作流程“建設(shè)整改管理”主要完成已備案信息系統(tǒng)的建設(shè)整改活動的跟蹤記錄與管理。包括建設(shè)整改信息的錄入、查詢、統(tǒng)計。1 ）建設(shè)整改信息錄入：將建設(shè)整改活動過程中的所有相關(guān)信息記錄入庫；2 ）建設(shè)整改信息查詢：對入庫的建設(shè)整改信息，按照單位、系統(tǒng)或者整改信息表中的任何一個字段進行信息檢索和查詢，查詢結(jié)果可生成報表；3）建設(shè)整改信息導(dǎo)出：將建設(shè)整改信息導(dǎo)出，生成可以閱讀的word文檔格式3.3,3等級測評管理等級測評管理模塊負責(zé)對行業(yè)用戶發(fā)起的由第三方測評機構(gòu)主導(dǎo)實施的等級測評活動的組織和管理。行業(yè)用戶在新上線的信息系統(tǒng)建設(shè)完畢或者對舊的信息系統(tǒng)安全建設(shè)整改完成時，均需要委托第三方測評機構(gòu)對信

26、息進行等級測評，以驗證信息系統(tǒng)的安全建設(shè)是否符合定級要求。等級測評模塊主要負責(zé)對測評機構(gòu)的管理、測評流程的管理、測評結(jié)果的匯總與記錄、測評活動的監(jiān)控等子模塊。各子模塊之間的關(guān)系如下圖所示：借意系統(tǒng)用告周評磯構(gòu)稻患摩怡本圖5等級靂評管理示意圖RSHWDh1 ）等級測評信息錄入：將等級測評過程中的所有相關(guān)信息記錄入庫；2 ）等級測評信息查詢：對入庫的等級測評信息，按照單位、系統(tǒng)或者等級測評信息表中的任何一個字段進行信息檢索和查詢，查詢結(jié)果可生成報表；3 ）等級測評信息導(dǎo)出：將等級測評信息導(dǎo)出，生成可以閱讀的word文檔格式;4 ）等級測評機構(gòu)管理：等級測評機構(gòu)的相關(guān)信息管理；5 ）等級測評報告管理

27、：對已經(jīng)取得等級測評報告的信息系統(tǒng)所對應(yīng)的測評報告進行集中歸檔管理。3.3.4安全檢查管理“安全檢查管理”提供對安全自查、主管部門檢查和公安機關(guān)檢查等安全檢查活動狀況的跟蹤記錄管理。包括：1 ）監(jiān)督檢查制度管理：對監(jiān)督檢查規(guī)章制度等級入庫，并提供查詢和打印服務(wù)；2 ）安全自查管理：對安全自查活動狀況進行信息記錄，并提供查詢、統(tǒng)計服務(wù)；3）主管部門檢查管理：對主管部門的檢查活動狀況進行信息記錄，并提供查詢和統(tǒng)服務(wù)；4 ）監(jiān)督檢查數(shù)據(jù)導(dǎo)出：完成用戶從主系統(tǒng)中導(dǎo)出需要監(jiān)督檢查單位及其系統(tǒng)的相關(guān)信息，并轉(zhuǎn)換為桌面系統(tǒng)能解析識別的文件系統(tǒng)；5 ）監(jiān)督檢查信息錄入：供用戶直接在主系統(tǒng)上填寫監(jiān)督檢查相關(guān)數(shù)據(jù)

28、（或直接導(dǎo)入監(jiān)督檢查工具生成的檢查數(shù)據(jù)包），填寫完成后可生成符合信息系統(tǒng)安全等級保護監(jiān)督檢查表格式和內(nèi)容的Word文本；6 ）監(jiān)督檢查情況查詢：要求按照檢查表中任何一個字段（包括檢查時間等）單項或組合進行查詢，還可按檢查次數(shù)、是否超過檢查期限等條件查詢，查詢結(jié)果顯示為一項或多項，信息為單位或信息系統(tǒng)監(jiān)督檢查信息；7 ）合規(guī)性檢查：對檢查結(jié)果進行分析，并與已知標準進行比對，判斷所檢查的信息系統(tǒng)是否合規(guī)。8 ）監(jiān)督檢查工具備案信息導(dǎo)入：可以將主系統(tǒng)導(dǎo)出的數(shù)據(jù)導(dǎo)入到監(jiān)督檢查工具中，便于在監(jiān)督檢查過程中實時查詢信息系統(tǒng)的備案信息；監(jiān)督檢查填報：完成用戶獨立填寫監(jiān)督檢查數(shù)據(jù)，登記信息、填寫完成后可生成符

29、合信息系統(tǒng)安全等級保護監(jiān)督檢查表格式和內(nèi)容的Word文本；監(jiān)督檢查數(shù)據(jù)導(dǎo)入：完成桌面系統(tǒng)特定文件格式（特定的格式包，內(nèi)可含文本、圖象文件等附件信息）的監(jiān)督檢查數(shù)據(jù)導(dǎo)入進服務(wù)器端主系統(tǒng)。3.3.5 風(fēng)險評估管理風(fēng)險評估管理主要負責(zé)對信息系統(tǒng)風(fēng)險評估活動的相關(guān)信息的維護管理，規(guī)范本單位在委托第三方進行風(fēng)險評估過程中需要進行配合的相關(guān)事項和流程，并對整個風(fēng)險評估活動過程中的各種數(shù)據(jù)進行匯總記錄。風(fēng)險評估管理主要由風(fēng)險評估測評、風(fēng)險評估管理兩個子模塊組成。風(fēng)險評估測評子模塊采用內(nèi)置工作流引擎進行風(fēng)險評估工作的流程規(guī)范及過程推動；風(fēng)險評估管理子模塊可對已經(jīng)進行過的風(fēng)險評估測評項目的相關(guān)信息進行查看管理，

30、并可對當(dāng)前正在進行風(fēng)險評估測評的項目的執(zhí)行情況進行監(jiān)控。3.3.6 風(fēng)險評估測評風(fēng)險評估測評通過內(nèi)置的工作流引擎，以系統(tǒng)預(yù)先定制的風(fēng)險評估流程引導(dǎo)并規(guī)范風(fēng)險評估測評工作的展開，具體的工作流程示意圖如下：風(fēng)險評估機利（梟統(tǒng)管等分圖6風(fēng)險評估流程圖如上圖所示，風(fēng)險評估流程主要由發(fā)起風(fēng)險評估、風(fēng)險評估準備資料上傳、風(fēng)險評估方案上傳、風(fēng)險評估協(xié)助任務(wù)制定劃分、風(fēng)險評估報告上傳、風(fēng)險評估資料匯總整理、風(fēng)險評估資料審核及風(fēng)險評估資料歸檔等幾個環(huán)節(jié)組成。1）發(fā)起風(fēng)險評估信息系統(tǒng)風(fēng)險評估的第一個流程是發(fā)起一個風(fēng)險評估項目，系統(tǒng)可記錄當(dāng)前項目發(fā)起的日期、主要目標、主要任務(wù)和發(fā)起人等相關(guān)信息。風(fēng)險評估發(fā)起后，此次

31、風(fēng)險評估即被納入流程管理，發(fā)起者可以指定相關(guān)人員進行下一步的風(fēng)險評估準備資料上傳工作。2 ）風(fēng)險評估準備資料上傳風(fēng)險評估準備資料上傳負責(zé)風(fēng)險評估所需的各種資料文件的上傳和管理，例如與第三方風(fēng)險評估機構(gòu)簽署風(fēng)險評估合同和保密協(xié)議等。系統(tǒng)可記錄的信息包括文件的簽署人，簽署日期和文件描述等相關(guān)信息。3 ）風(fēng)險評估方案上傳風(fēng)險評估方案上傳負責(zé)將本次風(fēng)險評估方案文件上傳并保存到系統(tǒng)中，系統(tǒng)可記錄信息包括方案提供方的單位及人員，方案接收方的人員、日期等信息。4 ）風(fēng)險評估協(xié)助任務(wù)分配風(fēng)險評估協(xié)助任務(wù)分配負責(zé)對風(fēng)險評估方案中的各項任務(wù)進行分配，需要協(xié)助的風(fēng)險評估任務(wù)主要包括為風(fēng)險評估單位提供信息系統(tǒng)相關(guān)的信

32、息，協(xié)助風(fēng)險評估人員入場、離場，并簽署入場離場相關(guān)文件，協(xié)助風(fēng)險評估單位人員執(zhí)行工具測評，并對測評結(jié)果簽字確認等相關(guān)事項。5 ）風(fēng)險評估協(xié)助任務(wù)執(zhí)行風(fēng)險評估協(xié)助任務(wù)執(zhí)行負責(zé)通知各相關(guān)人員按照完成風(fēng)險評估協(xié)助任務(wù)，并及時記錄任務(wù)完成的情況和相關(guān)信息等。6 ）風(fēng)險評估報告上傳風(fēng)險評估報告上傳負責(zé)將第三方風(fēng)險評估單位提供的風(fēng)險評估報告上傳到服務(wù)臺并保存，系統(tǒng)可記錄提供報告文件的單位及人員和接收報告文件的人員等相關(guān)信息。7 ）風(fēng)險評估資料匯總整理風(fēng)險評估資料匯總整理負責(zé)將本次風(fēng)險評估活動的其它相關(guān)資料逐一入庫匯總，由系統(tǒng)進行集中管理。方便系統(tǒng)使用單位將風(fēng)險評估的結(jié)果做為建設(shè)整改的依據(jù)，幫助系統(tǒng)使用單位

33、構(gòu)建一個良性循環(huán)的信息安全環(huán)境。8 ）風(fēng)險評估資料審核風(fēng)險評估資料審核是指由系統(tǒng)使用單位對風(fēng)險評估測評單位提供的風(fēng)險評估相關(guān)資料的評審與審核。9 ）風(fēng)險評估資料歸檔風(fēng)險評估資料歸檔主要提供電子文檔歸檔功能，并可記錄文件檔案存放位置等相關(guān)信息，方便系統(tǒng)使用單位集中管理風(fēng)險評估相關(guān)信息。3.3.7 風(fēng)險評估管理風(fēng)險評估管理主要提供對歷史風(fēng)險評估項目信息的查看管理以及對當(dāng)前正在進行的風(fēng)險評估項目的監(jiān)控功能。風(fēng)險評估項目信息的查看管理主要包括查看歷次風(fēng)險評估項目基本信息，歷次風(fēng)險評估資料檔案信息，歷次風(fēng)險評估中的風(fēng)險統(tǒng)計和不可接受風(fēng)險處理計劃的功能。風(fēng)險評估監(jiān)控的主要功能包括查看當(dāng)前正在進行的風(fēng)險評估

34、活動的最新狀況，當(dāng)前正在進行的業(yè)務(wù)節(jié)點以及當(dāng)前進行業(yè)務(wù)節(jié)點的處理情況、處理人和處理日期等相關(guān)信息，另外可以查看已經(jīng)完成的業(yè)務(wù)節(jié)點的處理情況、處理人和處理信息等相關(guān)信息。風(fēng)期評估資料審核風(fēng)險評估資料歸檔圖7風(fēng)險評估監(jiān)控圖3.3.8 日常辦公管理日常辦公管理為系統(tǒng)用戶提供了一個日常工作的平臺，由待辦事項，辦結(jié)事項，任務(wù)管理，工作考核四個部分組成?；灸依伺c等級保護相關(guān)的事項的管理，其中系統(tǒng)內(nèi)部事項直接在此處提供統(tǒng)一入口，系統(tǒng)外事項在此處提供統(tǒng)一任務(wù)管理入口，納入到系統(tǒng)管理，方便等級保護工作的開展。具體關(guān)系如下圖：日常辦公營理系統(tǒng)內(nèi)工作流程多項系統(tǒng)外等級保護相美事項自立迎進入任騫良或人特辦事砂辦結(jié)

35、事項后辦攻,放人m廠完逃曲,圖8日常辦中的不同事頊關(guān)系圖1 ）待辦事項管理：提供需要辦理事項的記錄功能，并可標記事項當(dāng)前進展?fàn)顟B(tài)；2 ）待辦事項查詢：對已經(jīng)錄入的事項，可按照待辦、辦結(jié)和超期等條件進行歸類查詢，并按照其他條件進行復(fù)合查詢；3 ）任務(wù)管理：對上級派發(fā)的等級保護工作任務(wù)進行登記管理，并提供任務(wù)執(zhí)行狀況的跟蹤記錄能力，可對任務(wù)進行復(fù)合條件查詢和統(tǒng)計；4）工作考核：對等級保護各個環(huán)節(jié)的工作狀況進行考核，并給出綜合考核結(jié)果。3.3.9統(tǒng)計分析統(tǒng)計分析管理主要提供等級保護相關(guān)的重要數(shù)據(jù)的統(tǒng)計及分析功能，包括信息系統(tǒng)統(tǒng)計，安全事件統(tǒng)計，工作事項統(tǒng)計，資產(chǎn)統(tǒng)計，安全機構(gòu)統(tǒng)計，安全人員統(tǒng)計，建設(shè)

36、整改統(tǒng)計，等級測評統(tǒng)計，檢查情況統(tǒng)計等，并提供相應(yīng)的分析圖表。1 ）統(tǒng)計信息查看：提供統(tǒng)一的統(tǒng)計信息查看功能，統(tǒng)計信息包括：信息系統(tǒng)統(tǒng)計事件統(tǒng)計工作事項統(tǒng)計資產(chǎn)統(tǒng)計組織機構(gòu)統(tǒng)計人員統(tǒng)計建設(shè)整改統(tǒng)計等級測評統(tǒng)計檢查情況統(tǒng)計信息系統(tǒng)安全總體評價2）統(tǒng)計報告生成：對統(tǒng)計結(jié)果生成統(tǒng)計報告，并可導(dǎo)出到常見的文件格式，如word、excel等。3.3.10基礎(chǔ)數(shù)據(jù)管理基礎(chǔ)數(shù)據(jù)管理提供對等級保護管理工作當(dāng)中各個環(huán)節(jié)所需的基礎(chǔ)數(shù)據(jù)進行綜合管理。包括：1） 政策法規(guī)庫管理：提供國家、部委、行業(yè)、部門等各個級別的政策、法規(guī)的管理，包括錄入、修改、查詢、報表、打印、導(dǎo)出等維護操作。2） 標準規(guī)范庫：提供國家、部委、

37、行業(yè)、部門等各個級別的標準規(guī)范的管理，包括錄入、修改、查詢、報表、打印、導(dǎo)出等維護操作。3） 事件管理：提供安全事件的錄入、查詢、統(tǒng)計、報告等維護操作。4) 資產(chǎn)管理：提供資產(chǎn)的手動錄入、自動收集，資產(chǎn)查詢、統(tǒng)計和報告等管理。5) 組織機構(gòu)：提供組織機構(gòu)創(chuàng)建和維護管理。6) 安全人員：提供人員的管理。7) 安全管理制度：提供人員管理、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理等管理制度的錄入、查詢和報告等功能。8) 安全管理措施：提供人員管理、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理等管理措施的錄入、查詢和報告等功能。9) 應(yīng)急處置：提供應(yīng)急預(yù)案和應(yīng)急演練等活動的信息管理功能。10) 技術(shù)支持隊伍：提供技術(shù)支持隊伍信息的錄

38、入、查詢和報告等功能。11) 專家?guī)欤禾峁＜規(guī)煨畔⒌匿浫?、查詢和報告等功能?2) 知識庫：提供知識庫的維護管理。基礎(chǔ)數(shù)據(jù)管理模塊對系統(tǒng)的基礎(chǔ)數(shù)據(jù)的管理操作包括：1)數(shù)據(jù)的收集、錄入和匯總系統(tǒng)可管理的基礎(chǔ)數(shù)據(jù)分類多達十余類，該模塊針對不同的數(shù)據(jù)分類，分別進行信息的收集、錄入，存儲到數(shù)據(jù)庫中進行匯總保存。2)數(shù)據(jù)查詢與報表針對不同類型的基礎(chǔ)數(shù)據(jù)，該模塊提供風(fēng)格統(tǒng)一的數(shù)據(jù)查詢、展現(xiàn)和報表功能。通過查詢和報表，用戶可將關(guān)心的數(shù)據(jù)篩選出來，形成數(shù)據(jù)報表，指導(dǎo)信息安全等級保護工作的開展。3)數(shù)據(jù)統(tǒng)計分析該模塊還負責(zé)對不同類別的數(shù)據(jù)，按照不同的統(tǒng)計方式，生成統(tǒng)計圖表，統(tǒng)計圖表可為等級保護工作狀況的綜合分

39、析提供幫助。4)數(shù)據(jù)備份基礎(chǔ)數(shù)據(jù)作為基本的等級保護管理數(shù)據(jù)，需要定期備份。該模塊可按照用戶設(shè)定的條件，對不同類別的基礎(chǔ)數(shù)據(jù)進行定期備份。該模塊還提供備份數(shù)據(jù)的人工恢復(fù)。貫日僧忸庫安含豈傳庫翠生埠基礎(chǔ)數(shù)據(jù)管理更生人色庫管年下而虛圖9基礎(chǔ)數(shù)據(jù)管理3.3.11 分級管理對于大型行業(yè)用戶，具信息系統(tǒng)分布在不同的行政區(qū)域或轄區(qū)，這些信息系統(tǒng)的維護管理也由轄區(qū)內(nèi)下級單位負責(zé)管理。但是上級單位又需要了解和掌握下級單位的信息安全等級保護工作開展情況。鑒于此，本系統(tǒng)提供了分級管理功能。分級管理功能，可在多個等級保護綜合管理系統(tǒng)之間（一般的，在上級系統(tǒng)和下級系統(tǒng)之間）建立關(guān)聯(lián)關(guān)系。確定上下級關(guān)系后，下級系統(tǒng)可以將

40、本級的信息和數(shù)據(jù)定期或?qū)崟r上傳到上級系統(tǒng)中。如此，上級單位可對下級單位的等級保護工作信息和數(shù)據(jù)進行集中管理，如查詢、統(tǒng)計和分析等。從而掌握下級單位的信息安全等級保護工作的開展?fàn)顩r。10分級管理數(shù)據(jù)同步3.3.12 系統(tǒng)接口LanSecSW息安全等級保護綜合管理系統(tǒng)由數(shù)據(jù)采集和共享中心負責(zé)提供與其他各種安全系統(tǒng)和應(yīng)用系統(tǒng)的接口管理。數(shù)據(jù)采集和共享中心對系統(tǒng)接口進行統(tǒng)一封裝和集中管理。數(shù)據(jù)采集和共享中心采用插件化的接口設(shè)計與管理，可以根據(jù)不同用戶的需求，定制適合用戶需要的系統(tǒng)數(shù)據(jù)采集和共享接口。數(shù)據(jù)采集和共享中心作為基礎(chǔ)接口支撐平臺，為用戶的系統(tǒng)數(shù)據(jù)采集和共享提供了靈活的手段和方式。數(shù)據(jù)采集和共享

41、中心的接口分類兩大類，數(shù)據(jù)采集類和數(shù)據(jù)共享類。1）數(shù)據(jù)采集接口數(shù)據(jù)采集接口負責(zé)從其它信息系統(tǒng)或者安全設(shè)備收集信息和數(shù)據(jù)，將采集的信息和數(shù)據(jù)存儲到系統(tǒng)數(shù)據(jù)庫中。這些數(shù)據(jù)為等級保護綜合管理系統(tǒng)的各項工作管理提供更加豐富的數(shù)據(jù)支持，為安全建設(shè)整改方案和安全檢查方案的制定提供依據(jù)。例如，通過等級測評數(shù)據(jù)采集接口，可將信息安全等級保護測評與評估系統(tǒng)的測評數(shù)據(jù)導(dǎo)入本系統(tǒng)，為系統(tǒng)的等級測評活動提供測評依據(jù)；通過資產(chǎn)信息采集接口，可將其他資產(chǎn)管理系統(tǒng)的資產(chǎn)數(shù)據(jù)直接導(dǎo)入本系統(tǒng)，省卻了資產(chǎn)信息的收集和錄入；通過安全事件采集接口，可將其他安全運維管理系統(tǒng)的安全事件實時導(dǎo)入本系統(tǒng)，由本系統(tǒng)負責(zé)統(tǒng)一的安全事件管理。2）

42、數(shù)據(jù)共享接口數(shù)據(jù)共享接口負責(zé)將等級保護綜合管理系統(tǒng)的自身數(shù)據(jù)共享給其他信息系統(tǒng)使用，為其他信息系統(tǒng)提供豐富的數(shù)據(jù)來源，以便對數(shù)據(jù)進行進一步的分析和處理。例如，本系統(tǒng)的安全評價數(shù)據(jù)，可輸出至專家評價系統(tǒng)進行信息系統(tǒng)的綜合安全評價；本系統(tǒng)的定級備案數(shù)據(jù)，可導(dǎo)入公安部定級備案綜合工作平臺，完成行業(yè)用戶的定級備案工作。根克撐都就撐綱撕和的£量產(chǎn)他息第萊接口數(shù)據(jù)采集政掘共享中心安金運第安理解筑安全評仙勒據(jù)共享接口彎冢評愉梟統(tǒng)理雷塞附提I共享摟口公安闞母-番惠工悻斗修圖11系統(tǒng)接口3.4 系統(tǒng)安全性系統(tǒng)設(shè)計充分考慮了自身的安全性，主要采取了如下技術(shù)措施保障系統(tǒng)自身的安全性。身份認證方面：本系統(tǒng)有

43、專門的身份認證模塊，系統(tǒng)自身設(shè)計采用了雙因子身份認證。通過統(tǒng)一的用戶管理功能保證用戶標識的唯一性。用戶登錄失敗會話自動無效，自動限制登錄失敗次數(shù)。訪問控制方面：本系統(tǒng)實現(xiàn)了基于角色的訪問控制技術(shù)，按數(shù)據(jù)和功能授予用戶權(quán)限0專門的攔截過濾器檢查用戶的每一次訪問是否符合授權(quán)要求。授權(quán)和審計管理分開。安全審計方面：本系統(tǒng)對用戶的訪問行為按功能、數(shù)據(jù)對象記錄了詳細的日志，并提供了日志查詢和統(tǒng)計功能。剩余信息保護方面：敏感信息不得寫入靜態(tài)字段，內(nèi)存自動回收技術(shù)保護了內(nèi)存中的剩余信息。定期檢查系統(tǒng)使用臨時文件夾，清除過期的臨時文件。通信完整性和保密性方面：本系統(tǒng)為B/S架構(gòu)，通過對SSL協(xié)議的支持實現(xiàn)通信

44、完整性和保密性方面的要求。軟件容錯方面：用戶提交的信息，系統(tǒng)在處理前進行數(shù)據(jù)有效性檢查。所有的異常必須得到有效正理。對于外部采集的數(shù)據(jù)導(dǎo)入，則規(guī)定必須進行嚴格的數(shù)據(jù)檢查后才準導(dǎo)入。多線程技術(shù)防止了單個用戶的錯誤不會影響系統(tǒng)的其它用戶的業(yè)務(wù)操作。故障報警機制使用管理員及時地處理系統(tǒng)故障。提供災(zāi)難時的數(shù)據(jù)恢復(fù)功能。資源控制方面：禁止用戶的并發(fā)登錄，設(shè)置合適的會話失效時間，當(dāng)用戶登錄錯誤超過一定次數(shù)時自動鎖定。并記錄日志。代碼安全方面：通過工具掃描、代碼復(fù)審保證程序代碼符合編碼規(guī)范，查找可能存在的惡意代碼。3.5 系統(tǒng)部署系統(tǒng)支持兩種部署模式，一種是獨立部署，一種是分級部署。通過分級部署，可以將下級

45、系統(tǒng)的信息和數(shù)據(jù)實時或周期性同步到上級系統(tǒng)中，為上級部門的等級保護工作管理提供更加完備的數(shù)據(jù)支持。知悔陣需畀錯上級單位情也抖初口,底隼貴弄JN按用粉條白演鼻鼻脂鼻第國用注春冷下跳單位下級單位13系統(tǒng)分級部署模式示意圖3.6 系統(tǒng)配置要求本系統(tǒng)的配置要求如下：1）數(shù)據(jù)庫服務(wù)器：用于提供基礎(chǔ)數(shù)據(jù)和等級保護工作數(shù)據(jù)存貯服務(wù)，配置要求為雙CPUXeon3.0G以上，500G硬盤以上，內(nèi)存4G以上；2）應(yīng)用服務(wù)器：用于部署本系統(tǒng)服務(wù)器程序，配置要求為雙CPUXeon3.0G以上，120G硬盤，內(nèi)存4G以上；3）系統(tǒng)管理主機：用于本系統(tǒng)的管理，通過瀏覽器進行系統(tǒng)的管理。配置要求為Xeon3.0GCPU,1

46、20G硬盤，內(nèi)存1G以上。HWHWEhl!Ui1ri'4內(nèi)網(wǎng)安全管理系統(tǒng)4.1 內(nèi)網(wǎng)安全管理系統(tǒng)概述LanSecS?內(nèi)網(wǎng)安全管理系統(tǒng)通過對計算機準入控制、計算機安全加固、計算機運行維護、計算機安全審計、移動存儲介質(zhì)注冊等多個方面的綜合管理，為政府和企業(yè)用戶打造一個安全、可信、規(guī)范、健康的內(nèi)網(wǎng)環(huán)境。LanSecS兩網(wǎng)安全管理系統(tǒng)V7.0是圣博潤公司的一個里程碑式的、戰(zhàn)略性的產(chǎn)品版本，該版本通過系統(tǒng)架構(gòu)的優(yōu)化調(diào)整和用戶需求的持續(xù)跟蹤，使得產(chǎn)品性能顯著提升、產(chǎn)品功能進一步豐富。借助LanSecS兩網(wǎng)安全管理系統(tǒng)v7.0的發(fā)布，圣博潤公司更加明確地宣告了其專注于內(nèi)網(wǎng)安全管理領(lǐng)域的決心。LanS

47、ecS明網(wǎng)安全管理系統(tǒng)可為用戶解決如下一系列的內(nèi)網(wǎng)安全管理問題： 確保入網(wǎng)終端符合要求 全面監(jiān)測終端健康狀況 保證終端信息安全可控 動態(tài)監(jiān)測內(nèi)網(wǎng)安全態(tài)勢 快速定位解決終端故障 規(guī)范企業(yè)員工網(wǎng)絡(luò)行為 統(tǒng)一內(nèi)網(wǎng)用戶身份管理 杜絕移動存儲介質(zhì)濫用 提高和實現(xiàn)軟件正版化在為用戶提供終端安全保護手段的同時，LanSecS兩網(wǎng)安全管理系統(tǒng)更加強調(diào)為用戶提供便利的終端運維管理手段。集中式、人性化的終端管理能力是LanSecS兩網(wǎng)安全管理系統(tǒng)的特色之一，也是圣博潤公司一直以來的努力方向。4.2 產(chǎn)品架構(gòu)管理界面總控中心監(jiān)控引孽系犍武自管理犁不武55竹理認證配匕管理牙,產(chǎn)：方山1：%策唱昔理事件管理認證管理補丁

48、管理分段管理分級管理廚產(chǎn)臂理越緒臂商部署甘理統(tǒng)汁卷理制蠟，犀勢t*IS串訪同中間杵I則網(wǎng),山理|里:I總摳中心展黃版口，一,一*'ir.dows2000YP、SnrrerrVisia.iiiiflms7管理層服務(wù)層數(shù)據(jù)展執(zhí)行層核心層圖1LanSecS®網(wǎng)安生管理系統(tǒng)關(guān)構(gòu)4.2.1 終端監(jiān)控引擎終端監(jiān)控引擎以服務(wù)的形式運行于終端計算機上，是終端計算機管理的核心和基礎(chǔ)部件，用于對被管理終端計算機的安全加固、運行維護和監(jiān)測審計等管理職能。終端監(jiān)控引擎可以部署在所有Windows系列操作系統(tǒng)上，包括Windows2000、WindowsXRWindowsServer2003、Wind

49、owsVista、WindowsServer2008、Windows7、windows8、windowsServer2012。終端監(jiān)控引擎的設(shè)計充分考慮了穩(wěn)定性、安全性和兼容性要求。終端監(jiān)控引擎可防止惡意停止，并全面兼容防病毒軟件、防火墻軟件、設(shè)計開發(fā)軟件、業(yè)務(wù)軟件、辦公軟件。4.2.2 總控中心總控中心用于計算機的集中管理，為終端監(jiān)控引擎和管理控制臺提供一系列的管理服務(wù)。由注冊管理服務(wù)、認證管理服務(wù)、策略管理服務(wù)、審計管理服務(wù)、補丁/軟件分發(fā)服務(wù)等組成。視內(nèi)網(wǎng)規(guī)模和性能要求，這些服務(wù)可分別部署在不同的硬件平臺上，也可部署在同一個硬件平臺上。 策略管理服務(wù)：負責(zé)終端計算機策略的配置和更新。 審

50、計管理服務(wù)：負責(zé)接收終端監(jiān)控引擎發(fā)送的審計信息與事件報警，并存儲到數(shù)據(jù)庫中。 接入認證服務(wù)：負責(zé)對接入內(nèi)網(wǎng)的終端計算機身份和健康狀況進行認證。 文件備份服務(wù)：提供集中的文件備份。文件備份服務(wù)支持用戶身份認證。 補丁分發(fā)服務(wù)：提供補丁文件和軟件的下載服務(wù)，支持FTP和HTTP兩種方式。 時間同步服務(wù)：為終端計算機提供統(tǒng)一的標準時間服務(wù)，便于終端計算機的時間管理。 網(wǎng)絡(luò)管理服務(wù)：提供網(wǎng)絡(luò)拓撲掃描服務(wù)，可繪制網(wǎng)絡(luò)的鏈路層拓撲。 分級管理服務(wù)：提供分級部署環(huán)境下的分級管理。 事件訂閱服務(wù)：接受報警監(jiān)控程序事件訂閱，根據(jù)訂閱條件向報警監(jiān)控程序發(fā)送 符合要求的報警事件，可向多個報警監(jiān)控程序同時提供服務(wù)。

51、健康檢測服務(wù)：用于總控中心自身各服務(wù)的運行狀態(tài)監(jiān)控。4.2.3 管理控制臺管理控制臺是系統(tǒng)管理人員提供系統(tǒng)管理入口。采用了B/S方式進行系統(tǒng)管理，通過管理控制臺可以完成系統(tǒng)管理的全部操作。4.2.4 系統(tǒng)數(shù)據(jù)庫系統(tǒng)數(shù)據(jù)庫用于存儲策略、信息和事件，全面支持目前主流數(shù)據(jù)庫，包括：SQLServer>MySQLOracle、IBMDB2PostGreSQLGbasa總控中心與數(shù)據(jù)庫之間采用數(shù)據(jù)庫訪問中間件和網(wǎng)絡(luò)緩存技術(shù)實現(xiàn)高速數(shù)據(jù)訪問。通過數(shù)據(jù)庫訪問中間件和網(wǎng)絡(luò)緩存，可以大大降低數(shù)據(jù)庫的訪問壓力，提高數(shù)據(jù)的存儲和訪問能力。終端監(jiān)控引擎和總控中心之間采用ICE網(wǎng)絡(luò)通訊中間件進行相互通訊。通過SS

52、L協(xié)議對冬HMHWtaalUwiIn通信過程進行認證和加密，增強組件間通信的安全性。三層管理結(jié)構(gòu)大大提高了系統(tǒng)設(shè)計開發(fā)、安裝部署和運行維護的靈活性、便利性和擴展性。4.3 產(chǎn)品功能4.3.1 終端運維管理內(nèi)網(wǎng)的可靠運行是業(yè)務(wù)系統(tǒng)可靠運行的保障。內(nèi)網(wǎng)的可靠運行依賴于網(wǎng)絡(luò)設(shè)備、服務(wù)器和個人終端計算機的安全運行，任何一個環(huán)節(jié)出現(xiàn)故障，都可能對內(nèi)網(wǎng)的可靠性產(chǎn)生不可估量的沖擊。內(nèi)網(wǎng)中主要設(shè)備是終端計算機，終端計算機的安全運行與管理對整個內(nèi)網(wǎng)安全有至關(guān)重要的作用。系統(tǒng)對終端計算機的管理采取了兩種不同的安全措施：系統(tǒng)運行管理和系統(tǒng)監(jiān)測。系統(tǒng)運行管理方面主要包括補丁管理、主機資產(chǎn)管理、主機防病毒管理、系統(tǒng)日志

53、管理、時間同步、消息分發(fā)及文件備份，通過系統(tǒng)運行管理確保終端主機以最安全的狀態(tài)運行，有效地減少病毒爆發(fā)和木馬泛濫帶來的內(nèi)網(wǎng)安全隱患，減少終端計算機被入侵的可能性。系統(tǒng)監(jiān)測方面主要包括主機性能、網(wǎng)絡(luò)流量、健康狀態(tài)、設(shè)備入網(wǎng)、時間同步與安全態(tài)勢分析等。通過系統(tǒng)檢測可以讓管理員及時了解整個網(wǎng)絡(luò)內(nèi)終端主機的狀態(tài)，針對存在的安全隱患及時采取有效措施，更好地保證內(nèi)網(wǎng)的可靠性。具體功能如下：表工運堆管理功靛列表模塊名稱功能描述設(shè)備入網(wǎng)監(jiān)測提供對內(nèi)網(wǎng)設(shè)備入網(wǎng)的實時發(fā)現(xiàn)、狀態(tài)報告和01斷等功能.通過實時設(shè)品掃描可發(fā)現(xiàn)所有當(dāng)前在統(tǒng)計算機.通過總控中心的計里機注冊信總的同步.可區(qū)分合法設(shè)器和非法設(shè)備，對于非法設(shè)備.

54、可采取入網(wǎng)阻斷措施.防病毒軟件管理可支持多種防病毒軟件檢直方式.梃供防病毒軟件信息收慶和狀態(tài)監(jiān)測功能.信息收集包括防病毒軟件名稱.軟件版本.病毒庫版本等.網(wǎng)絡(luò)流量監(jiān)測對終端濘律擾的網(wǎng)絡(luò)通訊流量的市訃.控制和統(tǒng)計.犍康監(jiān)濯對終端計里機的健康狀況進行監(jiān)濯+升為終端計算機用戶提供尹動評估計算機健康狀況的F段.文檔安全可支持將文件備份到指定的備份服務(wù)相和文件粉碎.時鐘同步以交裝tr時間服易的ii算機硬件時間為時間源.為內(nèi)網(wǎng)絳端ii算機提供標準的口ternM時同服務(wù)性能監(jiān)濯通過為CPU、內(nèi)存、硬就設(shè)定闕值，實現(xiàn)對線培計算見的CPU、內(nèi)存和磁盤使用情況的動態(tài)監(jiān)測.可進行連通件監(jiān)控.實時監(jiān)測主要系統(tǒng)的網(wǎng)格或

55、網(wǎng)絡(luò)服務(wù)端口，保證系統(tǒng)正常運行.系統(tǒng)日志管理提供對終端計靠機本地日志收集.日志轉(zhuǎn)循、日志清理的功能遠程矯助提供終端計算機的遠程監(jiān)控和遠程桌面接管的功能.僑產(chǎn)管理提供計算機資產(chǎn)自動收第、資產(chǎn)注冊登記、僑產(chǎn)變更管理、設(shè)備維修管理、資產(chǎn)直詢與統(tǒng)計等管理.補丁管理可以實現(xiàn)Winckws臺F的補丁審批、分發(fā)到補丁修旦狀態(tài)統(tǒng)計，管理、分發(fā)和自動安裝Win&ws系列操作系統(tǒng)補丁和微軟虛用程序補丁.消息分發(fā)提供對內(nèi)網(wǎng)全都或者部分終端計算機的消息通捫功能.收件分發(fā)提供對內(nèi)網(wǎng)全部或者部分多端汁箕機的軟件分發(fā)管理.由分發(fā)管理T以、文件下載瞳務(wù)器和終端監(jiān)控引擎等組件組成.4.3.2 終端安全加固終端主機的安全

56、運行是整個網(wǎng)絡(luò)的基礎(chǔ)，而終端主機運行參數(shù)、運行策略的穩(wěn)定又是終端主機安全運行的保障，系統(tǒng)的具體加固措施包括如下方面：表2終端安至加國功能列表模塊名稱功能描述終端安全圖置管理終端計算機的本地安全策略、對本地系統(tǒng)環(huán)境進行安全設(shè)置管理，從而實現(xiàn)主機運行安全策略的最優(yōu)化,確保對終端主機的安全管終端防火墻系統(tǒng)內(nèi)置防火墻是基于NDTS的桌面防火墻，對建嘴計算機的訪問目標進行限定，對終端計算機的網(wǎng)絡(luò)訪問進行控制。H有基于優(yōu)先級的網(wǎng)絡(luò)訪問控制能力.提供網(wǎng)絡(luò)訪問審計能力、支持策略模板網(wǎng)絡(luò)接入認證系統(tǒng)提供“生動防護”和“動態(tài)監(jiān)控”相結(jié)合的汁算機準入控制機制.可通過內(nèi)部DNS服務(wù)器（R'indow觀003，噸008）加殼和系統(tǒng)內(nèi)河認證網(wǎng)關(guān)保證接入內(nèi)網(wǎng)的主機合法,用戶身份可壹可控.網(wǎng)絡(luò)通訊認證通過設(shè)置IP篩選揩、篩選需操作、號份腸證方注、陡道設(shè)置、連接類型，紙現(xiàn)對內(nèi)網(wǎng)中兩臺終端計更機之間的通訊進