內(nèi)網(wǎng)安全管理系統(tǒng)解決方案

1 2 2 2 3 3 3 3 4 4 4 5 5 6 6 6 7 7 7 8 9 92.計(jì)算機(jī)終端安全防護(hù)解決方案 10 10 11 12 12.物理網(wǎng)絡(luò)拓?fù)鋱D 13.流量控制 13 13.故障定位 14 14 14 14 15 15.非法外聯(lián)控制 15 15 16.注冊(cè)授權(quán) 18 18.數(shù)據(jù)保護(hù) 19 19.操作記錄 19 20.非法主機(jī)的定義 20.非法接入控制策略 20.非法接入阻斷技術(shù)實(shí)現(xiàn)原理 21 22.主機(jī)信息收集 22 23 23.預(yù)警平臺(tái) 23 32 32 32 32 32 34 344.系統(tǒng)特色與系統(tǒng)部署 36 36 38 38 38 39 39信息數(shù)字化大幅度提供了工作效率，也使得海量的信息存儲(chǔ)和處理成為了現(xiàn)實(shí)。全問(wèn)題。目前隨著制造業(yè)單位規(guī)模不斷增大，IT硬件成本降低、更新?lián)Q代速度比較管理問(wèn)題卻越來(lái)越重了。首先是網(wǎng)絡(luò)的管理，IP混亂、網(wǎng)絡(luò)擁塞、出現(xiàn)故障無(wú)管理員疲于資產(chǎn)的統(tǒng)計(jì)。業(yè)內(nèi)部數(shù)字信息的安全性已經(jīng)關(guān)系到了計(jì)算機(jī)和計(jì)算機(jī)網(wǎng)絡(luò)能否真正成為有實(shí)這些都是制造業(yè)目前在進(jìn)行網(wǎng)絡(luò)化過(guò)程中必須解決的問(wèn)題。內(nèi)部系統(tǒng)的順利運(yùn)行。為了確保制造業(yè)單位內(nèi)部的IT系統(tǒng)的平穩(wěn)運(yùn)行，一個(gè)健壯的內(nèi)網(wǎng)安全管理體系是十分重要的。作為制造業(yè)的計(jì)算機(jī)終端安全管理方案而言，需要解決如下問(wèn)題：1.1.網(wǎng)絡(luò)管理極大的困難，設(shè)備的分布不明確；流量管理沒(méi)有依據(jù)；對(duì)于靜態(tài)IP地址環(huán)境地址混亂、沖突也是很棘手的問(wèn)題。針對(duì)網(wǎng)絡(luò)管理方面主要包括一下幾個(gè)方面：?jiǎn)挝坏膬?nèi)部網(wǎng)絡(luò)是由網(wǎng)絡(luò)設(shè)備共同作用，協(xié)同工作建立起來(lái)的，主要設(shè)備行控制就可以了。因此物理拓?fù)鋱D顯示設(shè)備與端口的物理連接關(guān)系會(huì)給管理帶來(lái)極大的方便。借助物理網(wǎng)絡(luò)拓?fù)鋱D上設(shè)備的物理連接關(guān)系，通過(guò)可網(wǎng)管交換機(jī)端口的流量使用，又可以防范在非法使用P2P下載軟件搶占帶寬和病毒爆發(fā)時(shí)給網(wǎng)絡(luò)速度帶來(lái)的擁塞，這對(duì)于管理來(lái)說(shuō)才是實(shí)用的管理手段。水平不同，很可能造成隨意修改IP地址帶來(lái)的內(nèi)網(wǎng)地址沖突，這給內(nèi)網(wǎng)管理帶來(lái)很繁瑣的問(wèn)題。雖然通過(guò)在核心或二層交換機(jī)上，可以通過(guò)命令來(lái)綁定問(wèn)題是網(wǎng)絡(luò)管理必須要做的。很多制造業(yè)內(nèi)部網(wǎng)絡(luò)龐大，分支繁多，一旦終端機(jī)器或網(wǎng)絡(luò)鏈路出現(xiàn)問(wèn)題，絡(luò)鏈路備份信息表（每次增加機(jī)器都需要逐臺(tái)進(jìn)行記錄否則從眾多網(wǎng)絡(luò)排線中找出問(wèn)題鏈路將是一件十分費(fèi)時(shí)、費(fèi)力的事情。1.2.終端安全防護(hù)的正常運(yùn)行包括以下幾個(gè)方面：的都是windows2000,XP或以上的到威脅。防病毒軟件的安裝、正常運(yùn)行、及時(shí)升級(jí)。作的軟件(如網(wǎng)絡(luò)嗅探器)。速度減慢，影響了內(nèi)網(wǎng)的正常辦公。起的網(wǎng)絡(luò)安全事件，提高我們的工作效率。某些員工訪問(wèn)Internet時(shí)，由此必須對(duì)內(nèi)網(wǎng)機(jī)器的網(wǎng)絡(luò)訪問(wèn)進(jìn)行必要的過(guò)濾。單位內(nèi)部的局域網(wǎng)會(huì)在網(wǎng)絡(luò)的出口上，增加相關(guān)的安全硬件防護(hù)設(shè)備，例1.3.終端涉密信息防護(hù)來(lái)說(shuō)，機(jī)密信息的存儲(chǔ)、使用和傳遞過(guò)程中，會(huì)面臨各種各樣的泄漏風(fēng)險(xiǎn)。信息外泄的途徑包括：l工作人員由于對(duì)計(jì)算機(jī)專(zhuān)業(yè)知識(shí)的不熟悉而泄密。從泄密行為的區(qū)別上，分為兩種泄密：被動(dòng)泄密和主動(dòng)泄密。乏防護(hù)意識(shí)，如沒(méi)有及時(shí)升級(jí)病毒庫(kù)和更新系統(tǒng)補(bǔ)丁，導(dǎo)致病毒和木馬的入侵，在不知不覺(jué)中泄露了機(jī)密信息。分子打入計(jì)算機(jī)網(wǎng)絡(luò)，竊取信息系統(tǒng)、數(shù)據(jù)庫(kù)內(nèi)的重要秘密。護(hù)需求主要包括如下幾個(gè)方面：令方式雖然簡(jiǎn)單，但是存在很大的安全隱患：便利的同時(shí)，也為機(jī)密信息的擴(kuò)散和泄露帶來(lái)了可能。尤其是USB接口的計(jì)算機(jī)周邊設(shè)備的豐富，使得計(jì)算機(jī)與其他外部設(shè)備，如U盤(pán)，USB打印機(jī)等連接十分方便，并能輕而易舉地通過(guò)USB設(shè)備將外部數(shù)據(jù)導(dǎo)入或者內(nèi)部數(shù)據(jù)導(dǎo)出，為重要數(shù)據(jù)的保護(hù)帶來(lái)了巨大的安全隱患。作為數(shù)據(jù)最終處理的計(jì)算機(jī)終端，存儲(chǔ)著大量的業(yè)務(wù)數(shù)據(jù)。由于Windows進(jìn)入操作系統(tǒng)，都能非常方便地實(shí)現(xiàn)對(duì)磁盤(pán)數(shù)據(jù)的訪問(wèn)和閱讀。須考慮的問(wèn)題。由于計(jì)算機(jī)終端大多使用Windows操作系統(tǒng)，而該操作系統(tǒng)安裝后即開(kāi)放夠較為方便地通過(guò)遠(yuǎn)程網(wǎng)絡(luò)實(shí)現(xiàn)對(duì)他人網(wǎng)絡(luò)共享數(shù)據(jù)的訪問(wèn)。安全管理的重要內(nèi)容。享授權(quán)以及詳細(xì)的訪問(wèn)日志信息。涉密內(nèi)網(wǎng)雖然不與互聯(lián)網(wǎng)直接連接，但是內(nèi)部人員可能會(huì)出于各種原因通過(guò)Modem撥號(hào)、ADSL上網(wǎng)、無(wú)線上網(wǎng)等技術(shù)手段將個(gè)人終端計(jì)算機(jī)接入互聯(lián)險(xiǎn)，從而導(dǎo)致由互聯(lián)網(wǎng)入侵或者木馬程序等方式造成內(nèi)網(wǎng)機(jī)密信息的被動(dòng)泄密。1.4.移動(dòng)存儲(chǔ)介質(zhì)的管理料被存貯在移動(dòng)存儲(chǔ)介質(zhì)里，大量的秘密文件和資料變?yōu)榇判越橘|(zhì)、光學(xué)介質(zhì)，全、有效的管理是保證企業(yè)信息安全的重要手段。移動(dòng)存儲(chǔ)介質(zhì)使用過(guò)程中常見(jiàn)的風(fēng)險(xiǎn)包括：3)企業(yè)內(nèi)部移動(dòng)存儲(chǔ)介質(zhì)及信息資源被帶出4)使用過(guò)程的疏忽；5)存貯在媒體中的秘密信息在聯(lián)網(wǎng)交換時(shí)被泄露或被竊取，存貯在媒體中的秘密信息在進(jìn)行人工交換時(shí)泄密；6)處理廢舊移動(dòng)存儲(chǔ)介質(zhì)時(shí)，由于磁盤(pán)經(jīng)消磁十余次后，仍有辦法恢復(fù)原來(lái)記錄的信息，存有秘密信息的磁盤(pán)很可能被利用磁盤(pán)剩磁提取原記錄的信息—這很容易發(fā)生在對(duì)磁盤(pán)的報(bào)廢時(shí)，或存貯過(guò)秘密信息的磁盤(pán)，用戶認(rèn)為已經(jīng)清除了信息，而給其他人使用；7)移動(dòng)存儲(chǔ)介質(zhì)發(fā)生故障時(shí)，存有秘密信息的介質(zhì)不經(jīng)處理或無(wú)人監(jiān)督就帶出修理，或修理時(shí)沒(méi)有懂技術(shù)的人員在場(chǎng)監(jiān)督，而造成泄密；8)移動(dòng)存儲(chǔ)介質(zhì)管理不規(guī)范，秘密信息和非秘密信息放在同一媒體上，明密不分，媒體介質(zhì)不標(biāo)密級(jí)，不按有關(guān)規(guī)定管理秘密信息的媒體，容易造成泄密；9)移動(dòng)存儲(chǔ)設(shè)備在更新?lián)Q代時(shí)沒(méi)有進(jìn)行技術(shù)10)媒體失竊，存有秘密信息的磁盤(pán)等媒體被盜，就會(huì)造成大量的國(guó)綜上所述，移動(dòng)存儲(chǔ)介質(zhì)的管理對(duì)制造業(yè)來(lái)說(shuō)，是一個(gè)必須關(guān)注的問(wèn)題。1.5.網(wǎng)絡(luò)接入控制取必要的方式進(jìn)行阻斷和隔離，從而保證該計(jì)算機(jī)無(wú)法訪問(wèn)內(nèi)網(wǎng)的相關(guān)資源。的安全狀態(tài)，才能根據(jù)其安全狀態(tài)判斷是否應(yīng)該對(duì)其進(jìn)行阻斷和隔離。1.6.計(jì)算機(jī)終端管理與維護(hù)源，提高內(nèi)網(wǎng)管理的效率。維護(hù)，是制造業(yè)單位網(wǎng)絡(luò)管理人員迫切需要解決的問(wèn)題。1.7.分級(jí)分權(quán)管理管理的計(jì)算機(jī)數(shù)量眾多。管理這么多的計(jì)算機(jī)，依靠某一位管理員是不現(xiàn)實(shí)的，度和強(qiáng)度無(wú)法把握。權(quán)管理的思想。所謂分權(quán)管理，包括兩層含義。計(jì)的查看等。個(gè)管理員則可以配置安全審計(jì)的策略。的需求。以由上級(jí)機(jī)構(gòu)自主設(shè)定。例如可能上級(jí)機(jī)構(gòu)希望取消下級(jí)機(jī)構(gòu)的所有管理權(quán)限，分級(jí)管理的主要需求分為如下兩個(gè)方面：略，下級(jí)無(wú)法更改。上來(lái)，審查下級(jí)機(jī)構(gòu)的策略執(zhí)行情況以及違規(guī)事件等。2.1.方案目標(biāo)本方案的目標(biāo)是為延邊天池工貿(mào)有限公司提供一套計(jì)算機(jī)終端安全管理解決方案。為機(jī)密信息的防護(hù)和計(jì)算機(jī)終端的運(yùn)行維護(hù)提供有效的工具和手段。通過(guò)本方案，能夠?qū)崿F(xiàn)對(duì)單位內(nèi)部局域網(wǎng)進(jìn)行網(wǎng)絡(luò)的統(tǒng)一管理、檢測(cè)局域網(wǎng)內(nèi)計(jì)算機(jī)終端是否安裝有殺毒軟件，實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)終端計(jì)算機(jī)的流量控制、規(guī)范上網(wǎng)管理、安全管理、終端涉密信息防護(hù)、網(wǎng)絡(luò)接入/質(zhì)的管理、審計(jì)和計(jì)算機(jī)的日常運(yùn)行維護(hù)。2.2.遵循標(biāo)準(zhǔn)保護(hù)技術(shù)要求》（BMB17-2006同時(shí)，還參考了以下標(biāo)準(zhǔn)和法規(guī)、文件：l國(guó)家標(biāo)準(zhǔn)GB/T9387.2-1995信息處理系統(tǒng)l國(guó)家標(biāo)準(zhǔn)GB/T18336-2001信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)l國(guó)家保密標(biāo)準(zhǔn)BMB2-1998《使用現(xiàn)場(chǎng)的信息設(shè)備電磁泄漏發(fā)射檢查測(cè)l國(guó)家保密標(biāo)準(zhǔn)BMB3-1999《處理涉密信息的電磁屏蔽室的技術(shù)要求和測(cè)試方法》國(guó)家保密標(biāo)準(zhǔn)BMB4-2000《電磁干擾器技術(shù)要求和測(cè)試方l國(guó)家保密標(biāo)準(zhǔn)BMB5-2000《涉密信息設(shè)備使用現(xiàn)場(chǎng)的電磁泄漏發(fā)射防l國(guó)家保密指南BMZ1-2000《涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)保密技術(shù)l國(guó)家保密指南BMZ2-2001《涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)安全保密l國(guó)家保密指南BM23-2000《涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)安全保密l中共中央辦公廳國(guó)務(wù)院辦公廳關(guān)于轉(zhuǎn)發(fā)《中共中央保密委員會(huì)辦公室、l《涉及國(guó)家秘密德信息系統(tǒng)分級(jí)保護(hù)管理辦法碼管理局國(guó)務(wù)院信息化工作辦公室公通字[2006]7號(hào)。2.3.方案內(nèi)容功能需求，我們提出如下內(nèi)網(wǎng)安全管理解決方案。網(wǎng)絡(luò)管理是建立在內(nèi)網(wǎng)中支持SNMP協(xié)議的可網(wǎng)管交換機(jī)，自動(dòng)進(jìn)行拓?fù)鋫涔收隙ㄎ?，結(jié)合客戶端控制軟件的IP地址管理功能、網(wǎng)卡流量控制功能，全在出現(xiàn)問(wèn)題時(shí)能夠盡快解決。.物理網(wǎng)絡(luò)拓?fù)鋱D括三層和二層設(shè)備通過(guò)系統(tǒng)提供的智能學(xué)習(xí)功能，自動(dòng)識(shí)別網(wǎng)絡(luò)的物理拓?fù)浣Y(jié)構(gòu)，生成網(wǎng)絡(luò)物理連接拓?fù)鋱D?？纯蛻舳酥鳈C(jī)與網(wǎng)絡(luò)設(shè)備之間的端口連接關(guān)系。等。情況，使整個(gè)網(wǎng)絡(luò)了然于胸。.流量控制流量控制包括兩個(gè)方面，既可以通過(guò)控制交換機(jī)的端口，使用端口的打開(kāi)定的流量范圍內(nèi)進(jìn)行網(wǎng)絡(luò)連通。既保證了其正常工作，又不會(huì)影響網(wǎng)絡(luò)帶寬。杜絕了單位內(nèi)部的IP地址沖突問(wèn)題。.故障定位掌握內(nèi)網(wǎng)鏈路流量狀況。證內(nèi)網(wǎng)機(jī)器的安全性和健壯性，避免由于自身安全性不完善而造成的系統(tǒng)崩潰，抵御已知的一切外部攻擊。監(jiān)控。避免該終端計(jì)算機(jī)對(duì)內(nèi)網(wǎng)其它主機(jī)造成安全威脅。啟動(dòng)后必須運(yùn)行，否則會(huì)強(qiáng)制斷網(wǎng)，直到開(kāi)啟了該程序，網(wǎng)絡(luò)才會(huì)恢復(fù)連接。法或易受攻擊的網(wǎng)站，在事前保證機(jī)器訪問(wèn)網(wǎng)站的合法性。.非法外聯(lián)控制通過(guò)禁用設(shè)備的Modem、ADSL撥號(hào)、雙網(wǎng)卡、代理上網(wǎng)等方式，禁的預(yù)警信息，及時(shí)同時(shí)管理員。類(lèi)措施主要是應(yīng)對(duì)合法用戶由于疏忽導(dǎo)致的被動(dòng)泄密行為。行為，一旦用戶有違保密規(guī)定的行為發(fā)生，管理員能夠快速得到報(bào)警信息。故的寶貴資料。安全審計(jì)應(yīng)包括如下幾個(gè)方面：涉密審計(jì)：涉密文件被操作使用、存儲(chǔ)和傳輸審計(jì)功能；入網(wǎng)審計(jì)：非法設(shè)備接入審計(jì)功能；系統(tǒng)發(fā)出報(bào)警信息；系統(tǒng)審計(jì)：自動(dòng)記錄受控終端操作系統(tǒng)配置的用戶、工作組、邏輯驅(qū)動(dòng)器，當(dāng)其發(fā)生變化時(shí)，自動(dòng)向安全管理核心系統(tǒng)發(fā)出報(bào)警信息；加載服務(wù)審計(jì)：對(duì)受控終端安裝的系統(tǒng)服務(wù)進(jìn)行審計(jì)，自動(dòng)記錄系統(tǒng)服務(wù)的啟動(dòng)和停止；安裝和卸載審計(jì)：自動(dòng)記錄受控終端上應(yīng)用程序的安裝與卸載情況；文件審計(jì)：對(duì)文件操作進(jìn)行審計(jì)，記錄用戶對(duì)規(guī)則指定文件進(jìn)行的各種操作；網(wǎng)絡(luò)訪問(wèn)審計(jì)：對(duì)網(wǎng)絡(luò)訪問(wèn)進(jìn)行審計(jì)，記錄用戶對(duì)規(guī)則指定網(wǎng)址進(jìn)行的訪問(wèn)操作；打印機(jī)操作審計(jì)：對(duì)本地打印機(jī)使用情況進(jìn)行審計(jì)；非法外聯(lián)審計(jì)：對(duì)撥號(hào)、無(wú)線網(wǎng)卡、手機(jī)紅外等訪問(wèn)情況進(jìn)行審計(jì)。進(jìn)程審計(jì)：通過(guò)對(duì)終端計(jì)算機(jī)運(yùn)行的進(jìn)程進(jìn)行審計(jì)，可以發(fā)現(xiàn)用戶正在運(yùn)行的程序?？梢酝ㄟ^(guò)進(jìn)程黑名單的方式限制用戶運(yùn)行某些程序，例如行與工作無(wú)關(guān)的操作?？尚乓苿?dòng)介質(zhì)解決方案，主要是實(shí)現(xiàn)如下目標(biāo)：2)數(shù)據(jù)交換前必須通過(guò)正確的身份認(rèn)證，包括密碼認(rèn)證或USBKEY等授權(quán)硬件的身份認(rèn)證；4)未經(jīng)授權(quán)的移動(dòng)介質(zhì)，在工作環(huán)境中不可用，只有經(jīng)過(guò)企業(yè)授權(quán)的移動(dòng)介質(zhì)才能進(jìn)入到企業(yè)的辦公環(huán)境；5)工作配發(fā)的移動(dòng)介質(zhì)帶出辦公環(huán)境后變?yōu)椴豢捎?。為滿足以上要求，公司在原有產(chǎn)品內(nèi)容安全監(jiān)控系統(tǒng)的基礎(chǔ)上，通過(guò)擴(kuò)展，全的“五不”原則，即：“進(jìn)不來(lái)、拿不走、讀不懂、改不了、走不脫”?！斑M(jìn)不來(lái)”，是指外部的移動(dòng)存儲(chǔ)介質(zhì)拿到單位內(nèi)部的存儲(chǔ)介質(zhì)拿出去使不了；“讀不懂”是指只有授權(quán)的人才能解密閱讀，能，對(duì)違反策略的行為和事件可以跟蹤審計(jì)?？尚乓苿?dòng)介質(zhì)管理模塊的對(duì)象定位即移動(dòng)存儲(chǔ)設(shè)備，包括以下種類(lèi)：4)各種移動(dòng)存儲(chǔ)卡。可信移動(dòng)介質(zhì)管理模塊的功能包括：首先，它可以集中管理移動(dòng)存儲(chǔ)設(shè)備；方式，防止信息泄露；最后，實(shí)行數(shù)據(jù)加解密和操作行為的安全審計(jì)等。定密級(jí)。注冊(cè)并設(shè)定密級(jí)的移動(dòng)存儲(chǔ)介質(zhì)受以下保密原則約束：3)低密級(jí)移動(dòng)存儲(chǔ)不能（或者只讀）在高密級(jí)計(jì)4)非授權(quán)的移動(dòng)存儲(chǔ)介質(zhì)不能在涉密計(jì)算機(jī)上密、日志審計(jì)等技術(shù)手段對(duì)可移動(dòng)存儲(chǔ)設(shè)備進(jìn)行失泄密防護(hù)，真正做到了“拿進(jìn)下：.注冊(cè)授權(quán)移動(dòng)存儲(chǔ)介質(zhì)將被嚴(yán)格控制使用。移動(dòng)存儲(chǔ)介質(zhì)，則依據(jù)其授權(quán)信息進(jìn)行多層次的訪問(wèn)控制。正確的訪問(wèn)口令，方可正常加載可信移動(dòng)存儲(chǔ)介質(zhì)；2)密級(jí)識(shí)別：用戶在使用可信移動(dòng)存儲(chǔ)介質(zhì)的時(shí)候，需要與客戶端主級(jí)相匹配。高密級(jí)的磁盤(pán)將被禁止在低密級(jí)的主機(jī)上使用；也禁止從高密級(jí)的主機(jī)上拷貝數(shù)據(jù)到低密級(jí)的磁盤(pán)上；3)身份驗(yàn)證：用戶在使用可信移動(dòng)存儲(chǔ)介質(zhì)的時(shí)候，需對(duì)其身份信驗(yàn)證，不在使用許可范圍的將禁止使用；4)使用限制條件：通過(guò)上述三個(gè)條件的檢查后，系統(tǒng)還提供了對(duì)使用次數(shù)和使用日期的限制，超過(guò)使用限制條件后將禁止其使用。所有的使用過(guò)程，系統(tǒng)都會(huì)記錄相應(yīng)的使用日志。.數(shù)據(jù)保護(hù)操作系統(tǒng)原有的文件關(guān)聯(lián)和文件的級(jí)聯(lián)打開(kāi)。護(hù)的處理方式有：1)以只讀方式加載磁盤(pán)：加載后的磁盤(pán)只能查往磁盤(pán)上寫(xiě)入任何內(nèi)容；2)磁盤(pán)鎖定：禁止用戶再使用該磁盤(pán)，需交到授權(quán)中心進(jìn)行解鎖后方可重新使用。.操作記錄臺(tái)帳、使用臺(tái)帳、違規(guī)臺(tái)帳、鎖定與自毀臺(tái)帳、解鎖臺(tái)帳、授權(quán)回收臺(tái)帳。功能，借助它，可以方便地看到磁盤(pán)的整個(gè)使用過(guò)程。面：維修和銷(xiāo)毀等；l標(biāo)準(zhǔn)BMB17－2006對(duì)信息密碼措施的要求，包括對(duì)移動(dòng)存儲(chǔ)介質(zhì)的身份鑒別和加密保護(hù)。合法的主機(jī)，系統(tǒng)將其阻斷或限制與內(nèi)網(wǎng)的通信。非法接入控制功能主要目的是保證內(nèi)網(wǎng)涉密信息及文件不受非法接入設(shè)備的探測(cè)、拷貝、刪除和修改等威脅。.非法主機(jī)的定義裝補(bǔ)丁和防火墻軟件）的計(jì)算機(jī)隔離出內(nèi)網(wǎng)，保證內(nèi)網(wǎng)整體的安全性。對(duì)非法主機(jī)的定義，采取以下方式：.非法接入控制策略性和簡(jiǎn)單易用。1)非法接入控制策略靈活性：管理員可以靈活設(shè)定非法接入控制策略，選定不同的管理顆粒度；2)非法接入控制策略模版化：管理員可以設(shè)置不入控制策略，并且根據(jù)實(shí)際情況或意外情況修改或改變使用不同的策略模版。注冊(cè)合法主機(jī)檢查策略；主機(jī)安全性檢查策略；主機(jī)反病毒檢測(cè)策略；管理員自定義策略。查入網(wǎng)身份，并驗(yàn)證此主機(jī)是否已經(jīng)在身份數(shù)據(jù)庫(kù)中注冊(cè)。.非法接入阻斷技術(shù)實(shí)現(xiàn)原理實(shí)現(xiàn)了非法接入控制。阻止其訪問(wèn)網(wǎng)絡(luò)資源的目的。2)主機(jī)防火墻方式：通過(guò)安裝在目標(biāo)計(jì)算機(jī)上的的網(wǎng)絡(luò)訪問(wèn)進(jìn)行控制；3)交換機(jī)聯(lián)動(dòng)方式：自動(dòng)定位接入計(jì)算機(jī)所在的交換機(jī)端口，通過(guò)4)三種非法接入控制方式不是簡(jiǎn)單的選擇使用或者堆疊使用，而是根據(jù)管理員設(shè)定的不同策略進(jìn)行有機(jī)搭配使用。要求。統(tǒng)資源的訪問(wèn)；違規(guī)接入進(jìn)行告警。量地對(duì)終端計(jì)算機(jī)的運(yùn)行參數(shù)進(jìn)行遠(yuǎn)程修改。.主機(jī)信息收集收集終端計(jì)算機(jī)相關(guān)信息，如主機(jī)名、IP地址、網(wǎng)絡(luò)參數(shù)、帳戶信息、安終端計(jì)算機(jī)的維護(hù)和故障診斷提供參考。設(shè)置終端計(jì)算機(jī)的網(wǎng)絡(luò)參數(shù)，包括IP地址、網(wǎng)關(guān)、WINS等。當(dāng)網(wǎng)絡(luò)結(jié)構(gòu)壓力。和日常維護(hù)等。程終端計(jì)算機(jī)，進(jìn)行本地化操作。例如：開(kāi)關(guān)機(jī)、搜索可疑文件、服務(wù)/進(jìn)程查算機(jī)的接管。戶的交流和交互。2.4.LanSecS系統(tǒng)簡(jiǎn)介用身份認(rèn)證、文件系統(tǒng)監(jiān)控、設(shè)備監(jiān)控、網(wǎng)絡(luò)監(jiān)控、注冊(cè)表監(jiān)控、進(jìn)程/服務(wù)監(jiān)心技術(shù)開(kāi)發(fā)的新一代內(nèi)網(wǎng)安全管理系統(tǒng)。LanSecS根據(jù)系統(tǒng)提供安全服務(wù)的不同，劃分為五個(gè)安全組件：安全審計(jì)、單個(gè)獨(dú)立內(nèi)網(wǎng)的安全管理，更適用于大型廣域網(wǎng)絡(luò)的分級(jí)安全管理（級(jí)數(shù)不限）。了用戶角色的設(shè)計(jì)思路。內(nèi)網(wǎng)中所有人員均分配一定的角色（管理員、操作員、管理系統(tǒng)的分權(quán)管理，增強(qiáng)了系統(tǒng)應(yīng)用和管理的靈活性。各安全組件提供的服務(wù)內(nèi)容如下：安全審計(jì)：提供內(nèi)網(wǎng)主機(jī)安全事件的審計(jì)功能，包括文件操作、文檔打印、發(fā)和網(wǎng)站訪問(wèn)行為等。主機(jī)網(wǎng)絡(luò)參數(shù)的配置和監(jiān)控等。為內(nèi)網(wǎng)用戶提供方便的軟件分發(fā)和時(shí)間同步服務(wù)。供主機(jī)安全策略和IE安全策略的統(tǒng)一設(shè)置，加強(qiáng)主機(jī)的安全性。操作系統(tǒng)、軟件、硬件。并對(duì)資產(chǎn)和資源的變更進(jìn)行監(jiān)控和預(yù)警。2.5.LanSecS系統(tǒng)架構(gòu)設(shè)計(jì)證設(shè)備、數(shù)據(jù)庫(kù)和安全代理五個(gè)系統(tǒng)功能模塊組成。各模塊的功能描述如下：用戶證書(shū)用于操作系統(tǒng)登錄認(rèn)證。l管理控制臺(tái)：LanSecS系統(tǒng)管理入口，管理和維護(hù)行狀態(tài)；負(fù)責(zé)總控中心的策略配置、補(bǔ)丁部署、審計(jì)查看和預(yù)警響應(yīng)；負(fù)責(zé)安全代理的運(yùn)行策略設(shè)置。務(wù)器、預(yù)警平臺(tái)服務(wù)器、證書(shū)/認(rèn)證服務(wù)器以及補(bǔ)丁/軟件分發(fā)服務(wù)器組件平臺(tái)上，視內(nèi)網(wǎng)規(guī)模不同可采用不同的部署方式。n策略中心服務(wù)器：安全代理策略管理中心，提供安全管理員安全策略模版的管理、實(shí)時(shí)策略的管理、策略群發(fā)、策略查詢等功能。n審計(jì)中心服務(wù)器：接收安全代理發(fā)送的審計(jì)事件，并提供安全管理員統(tǒng)計(jì)查詢以及手動(dòng)報(bào)表、自動(dòng)報(bào)表的功能。n安全網(wǎng)管服務(wù)器：提供網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)、地址綁定、流量統(tǒng)計(jì)、交換機(jī)運(yùn)行狀態(tài)管理、流量控制及報(bào)警等功能。n預(yù)警平臺(tái)服務(wù)器：提供網(wǎng)絡(luò)管理員和終端用戶實(shí)時(shí)交互的機(jī)制，統(tǒng)一發(fā)布相關(guān)安全管理規(guī)范、安全組織體系、安全宣傳資料以及最新安全動(dòng)態(tài)等信息。功能。/軟件下載服務(wù)。2.6.LanSecS系統(tǒng)功能設(shè)計(jì)服務(wù)組件具體實(shí)現(xiàn)的功能如下。安全審計(jì)改名等操作。提供打印操作的監(jiān)控功能。以及共享目錄的遠(yuǎn)程管理功能。以及基于黑名單的自動(dòng)控制功能。行審計(jì)。提供操作系統(tǒng)日志的自動(dòng)收集、記錄的功能。提供對(duì)軟件/安裝卸載程序情況進(jìn)行審計(jì)。用戶行為進(jìn)行審計(jì)。其變化進(jìn)行審計(jì)。安全加固提供移動(dòng)存儲(chǔ)介質(zhì)讀寫(xiě)的透明加密功能。提供操作系統(tǒng)、應(yīng)用軟件補(bǔ)丁的下載、安裝和檢測(cè)。提供本地文件和目錄的加密存儲(chǔ)功能。登錄認(rèn)證提供基于數(shù)字證書(shū)的登錄認(rèn)證功能。對(duì)主機(jī)的安全策略進(jìn)行配置。提供對(duì)WINDOWS存在的帳戶進(jìn)行密碼強(qiáng)度的控制。系統(tǒng)臨時(shí)文件和歷史記錄的自動(dòng)清理功能。安全服務(wù)提供管理員和終端用戶之間的實(shí)時(shí)消息通知以及文檔發(fā)布的功能。提供管理員遠(yuǎn)程登錄終端用戶桌面進(jìn)行安全維護(hù)以及故障診斷等操作的功能。提供應(yīng)用軟件的自動(dòng)分發(fā)功能。掩碼等網(wǎng)絡(luò)配置參數(shù)的遠(yuǎn)程管理功能，防止惡意修改網(wǎng)絡(luò)參數(shù)，濫用網(wǎng)絡(luò)資源。安全網(wǎng)管向預(yù)警中心報(bào)警。禁止未注冊(cè)的計(jì)算機(jī)接入本地網(wǎng)絡(luò)，并實(shí)時(shí)報(bào)警和阻斷。連接關(guān)系。提供地圖模式的網(wǎng)絡(luò)拓?fù)滹@示功能以及網(wǎng)絡(luò)設(shè)備的面板圖管理功能。提供交換機(jī)端口的流量圖統(tǒng)計(jì)功能，對(duì)于異常的網(wǎng)絡(luò)端口流量進(jìn)行報(bào)警。資產(chǎn)管理能夠自動(dòng)收集并記錄網(wǎng)絡(luò)中的設(shè)備資產(chǎn)信息。提供資產(chǎn)手動(dòng)錄入、注銷(xiāo)功能。提供資產(chǎn)過(guò)濾查詢以及自動(dòng)、手動(dòng)報(bào)表功能。作為內(nèi)網(wǎng)安全管理系統(tǒng)，系統(tǒng)自身的安全性對(duì)內(nèi)網(wǎng)來(lái)說(shuō)十分重要。La內(nèi)網(wǎng)安全管理系統(tǒng)設(shè)計(jì)之初便對(duì)其自身安全性做了充分的考慮和技術(shù)處理，使理系統(tǒng)自身安全性體現(xiàn)在如下幾個(gè)方面：理系統(tǒng)從以下方面確保控制中心的安全：系統(tǒng)崩潰和受攻擊的可能性。2)系統(tǒng)管理控制：LanSecS內(nèi)網(wǎng)安全管理系統(tǒng)的身份認(rèn)證和訪問(wèn)控制策略，保證了只有授權(quán)管理人員才能訪問(wèn)系統(tǒng)。擊的可能性。除此之外，LanSecS控制中心還內(nèi)