XXX内网安全解决方案.doc

1、 XXXX 内网安全解决方案目录第一章 方案概况 41.1 概述 41.2. 需求分析 .41.2.1 客户需求 41.2.2 需求分析 5第二章 方案原则、依据及目标 102.1 方案原则 102.2 方案依据 112.3 方案目标 12第三章 系统架构 123.1 安全策略规划 123.2 内网安全系统的建设 133.2.1 智能安全网管 143.2.2 内网审计 153.2.3 内网监控 163.2.4 详细的审计、分析与报告 163.2.5 技术特色 173.2.6 网络拓扑自动生成 193.2.7 领先的安全监控和管理技术 20第四章 系统应用部署和安全策略 214.1 系统部署 2

2、14.1.2 集中式部署 214.1.2 分布式管理部署 214.2 安全策略 224.2.1 安全技术 234.2.2 安全管理策略 24第五章 内网安全管理系统解决方案设计 255.1 简述 255.2 内网安全管理系统设计思路 255.3 内网安全管理系统工作模块功能分析 275.3.1 监控管理控制中心功能实现描述 275.3.2 客户端管理模块功能实现描述 295.3.3 客户端工作引擎的功能实现描述 30第六章 系统技术和选型原则 346.1 系统性能参数 346.2 产品选型原则 36第七章 项目实施 377.1 项目实施组织机构 377.2 项目实施计划 397.2.1 项目实

3、施前期 397.2.2 项目实施中期 427.2.3 项目实施后期 457.3 服务体系 457.3.1 培训体系 457.3.2 售后服务 46第一章 方案概况1.1 概述随着信息网络的迅速发展,在当今的信息时代，信息技术已经彻底改变我们的生活和工作方式，也改变现行企事业单位的管理模式。作为信息的管理部门，必须考虑当前技术的发展给我们的工作所带来的利益和威胁.如何利用信息网络进行安全的通信，同时保护计算机自身信息的安全性，成为当前网络安全和信息安全迫在眉睫的问题。针对日益严重的内部信息泄漏问题，FBI对484 家公司调查显示。面对来自于公司内部的安全威胁，85的安全损失是由企业内部原因造成的

4、。对于很多国内企业来说，这可能有点耸人听闻，但是，他们肯定遇到过类似的事情,由于某一员工误操作造成公司服务器上重要文档丢失；由于没有定义每位员工在系统内的访问权限，使本该由一定级别的人员才能掌握的业务秘密泄露给竞争对手对于这些来自公司内部的安全问题，不是靠单纯安装杀毒软件或防火墙就能解决的。1.2. 需求分析1.2.1 客户需求此处为真正的客户的需求.要描述出当前客户的具体的需求情况.XXX大型机构在网络化过程中面临的安全问题可包括网络系统安全和数据安全。针对网络系统安全方面，机构需要防止网络系统遭到没有授权访问及非法入侵；在数据安全方面机构则需要防止机要、敏感数据被窃取或非法复制、使用等。各

5、类计算机病毒、系统陷阱（Trapdoors）、隐蔽访问通道、黑客攻击等造成敏感数据泄密、Web 站点瘫痪等等问题，都是机构实现网络化面临的外部威胁。如何搭建安全的网络架构，如何将非法入侵者拒之门外、如何防止内部信息外泄，这些都是企业/机构在进行网络化过程中必须解决的问题。目前，机构仅仅利用Firewall 在网络的边缘设置了快速有效的网络防火墙及IDS/IPS系统，可以对网络入侵进行监控和防护，抵御低阶通讯层次的攻击、防止主机及个人电脑的入侵、检测恶意的可执行程序和阻绝网络的滥用。这种解决方案是针对外部入侵的防范，对于机构内部信息保密安全管理却无任何作用。对于一个大型机构特别是政府机关，保密单

6、位信息保密安全防范尤为重要。以往人为控制的教育加监督（人工填写日志）的安全管理方式是无法阻止内部工作人员运用现今的高科技信息载体主动或被动泄密（如利用EMAIL，FTP，笔记本，光盘，可移动硬盘等）的，这是每一个安全管理人员必须认真对待的问题。Internet 是一个开放的网络，同其高速发展相关的负面结果就是严重的网络安全问题。特别是日益严重的内部信息泄漏问题。面对来自于公司内部的安全威胁，必要的安全措施对企业是如何重要。当前，国内的企业用重金购置防火墙，防病毒软件来防止外界威胁的同时，往往忽视了对内部安全威胁的对策。1.2.2 需求分析XXXXXX 单位的内部网络安全本质上是一种管理需求，目

7、的是使 XXXXXXX 的各项生产任务在信息化工作模式下能够安全的进行，管理是主要方式。信息化工作模式建立在技术含量较高的计算机及网络技术之上，在管理过程中仅仅依靠人力不能够满足网络安全管理的需要，也不能够面对今后随着技术发展带来的更多安全需求，因此必须依靠各种技术手段来为网络安全管理提供有效的工具，降低管理成本，提高管理效率。 内网安全管理现状在 XXXXXXX 的信息化工作模式中，涉密信息从产生到最终被处理、接受共经历三层，终端层、传输层、服务器层。对每一层，都有同样的总体要求，即信息不非法外泄、不被篡改、不被恶意毁灭。终端层是最初产生信息和最终接受信息的层面，是工作人员接对话的信息化系统

8、的界面，传输层是信息流的通道，服务器层是信息流的中心控制区域及存储区域。针对每层有其特点，采取的安全防护措施也不同。服务器层所需要的机房环境能够基本满足国家对与机房的安全要求，机房防护系统完善，有温、湿度监控， 防火、防盗、电视监控。服务器层是信息数据的存放中心，因此海量数据存在物理介质损坏、病毒攻击损坏等等损坏或丢失的风险，并且威胁很大。传输层的设备如交换机、路由器在专用房间存放，传输层的电信号线路在工作时会产生电磁泄漏，因此存在一定的电磁信号被窃听风险。传输层设备基本采用交换机，使用 VLAN 以及路由访问控制技术进行数据交换，并且设备口令和设置进行严格管理，对于网络欺骗、网络侦听等黑客行

9、为有很强的阻挡行为，威胁很小，符合保密要求。终端层包括 XXXXXXX 的近 XX 台个人计算机，所在的环境比较复杂，一部分涉密程度较高的计算机处于远离 XXXXXXX 物理边界附近，终端层计算机因工作需要安装软件时不慎带入计算机病毒产生很大的威胁。终端层计算机现在基本上使用 WINDOWS 操作系统，WINDOWS 操作系统经常被发现有严重的漏洞存在，直接威胁到计算机之间的非法访问，如直接在未授权的情况下从一台机器访问到另一台机器的文件。 内网安全的问题在终端层随着移动存储器技术的普及，从计算机中将数字信息带出 XXXXX 网变得非常简易，移动存储介质体积轻巧，容易隐藏，安装方便，因此针对移

10、动存储行为的有效管理成为我们面临的重要课题。同时，随着打印机在各单位的普及，也产生了打印文件无序的部分局面。单位内部也要加强对普通工作人员的管理，安装单位内指定的防病毒软件，安装操作系统修补程序。对于一般企业来说，既缺乏专业的人才，又没有相应的软件，要做好企业信息安全会有更多的困难。随着当前信息化建设的深入，企业内部网络节点不断增加，各项业务数据库不断增长，如何确保网络及数据的安全，已经成为我们信息化工作的一个重要任务。系统的安全是一个整体的问题，要在整体看的同时,我们还要分解来看，多个方面不同角度分别考虑和实施。对于一些内部网与互联网有物理隔离，因而与互联网相比，其安全性较高，但在日常运行管

11、理中我们仍然面临用户修改系统配置、IP地址管理、随意安装一些软件，上班时间做自己私事，违规使用网络事件等问题出现,严重的影响了正常的办公和业务来往. 内部网络与外部网络相比而言，内部网络速度更快、防范疏漏、安全措施简单。内网存在如下安全隐患： 局域网速度快，信息容易快速被窃取，监控时机转瞬即失； 局域网接入容易，通常只要选用通用的信息设备即可连入网络； 一般局域网接入身份验证措施简单； 绝大多数局域网上的信息都未被加密，采用明文传输； 内网的用户往往有权直接对数据库、服务器进行操作，有对关键数据进行误操作、有意窃取或者破坏的机会； 计算机系统外部设备的使用不当会造成泄密； 许多内网用户对口令不

12、重视，采用弱口令，使得内网中黑客的口令破解程序更易奏效；内网多采用基于 Client/Server 方式，客户端直接对服务器操作，信息数据在内网上传输非常不安全。另一方面，内部网络的数据管理本身通常不是很严谨。核心的机密数据一般只是采用了简单的授权口令保护，产品研发过程中的各种核心技术资料和工作资料就更没有任何的保护措施，至少对整个开发组而言，全部的开发成果和数据都是透明的和共享的，对于防误操作、防失窃和防破坏的保护几乎没有采取任何措施。这样就使得在内网中非法取得授权和获得资料变得非常的容易。没有内部网络安全管理的信息系统，使得任何人都可能有意或无意造成安全隐患、导致灾难。 具体的内网安全问题

13、可以归结为: 离线存储设备泄密管理离线存储设备防泄密管理主要集中各种移动存储设备、打印机等设备的防泄密管理，我们通过对如下泄密途径的管理，来最终实现我们的离线存储设备防泄密管理需求，包括：1 移动硬盘信息防泄密管理；2 移动 U 盘信息防泄密管理；3 IDE 硬盘信息防泄密管理；4 SCSI 硬盘信息防泄密管理；5 软盘信息防泄密管理；6 光盘信息防泄密管理；7 红外 1394 防泄 密管理； 内部信息泄密在大量的安全事件中，最为严重的是企业内部员工直接造成或者参与的非法信息外泄事件，并且由于内部员工对于内部的组织结构、人员部署、机构设置相对于外部人员要熟悉的多，因此，内部员工造成致使的信息外

14、泄事件往往情节严重，并且损失巨大！信息外泄的途径包括：8 对本地打印机、受控终端拨号访问情况进行审计； 9 内部员工使用涉密计算机连接外部网络致使泄密。10 计算机工作人员由于对专业知识的不熟悉而泄密。对电子信息保密的意识还不强，常常由于专业知识不熟悉而泄密。如有些人由于不知道计算机的电磁波辐射会泄露秘密信息，计算机工作时未采取任何措施，因而给他人提供窃密的机会。有些人由于不知道计算机软盘上的剩滋可以提取还原，将曾经存贮过秘密信息的软盘交流出去，因而造成泄密。有些人因事离机时没有及时关机，或者采取屏幕保护加密措施，使各种输入、输出信息暴露在界面上。11 规章制度不健全或者违反规章制度泄密。如有

15、的单位没有配备专门的计算机维护管理人员，或者机房管理不严格，无关人员可以随意进出机房。当机器发生故障时，随意叫自己的朋友或者外面的人进入机房维修，或者将发生故障的计算机送修前既不做消磁处理，又不安排专人监修，造成秘密数据被窃。操作人员对涉密信息与非涉密信息没有分开存储，甚至将所有的文件都放在一个公共目录里，也没有进行加密处理或者保护处理，使涉密信息处于无密可保的状。12 故意泄密。由于电子信息文档不象传统文档那样直观，极易被复制，且不会留下痕迹，所以窃取秘密也非常容易。电子计算机操作人员徇私枉法，受亲友或朋友委托，通过计算机查询有关案情，就可以向有关人员泄露案情。计算机操作人员被收买，泄露计算

16、机系统软件保密措施，口令或密钥，就会使不法分子打入计算机网络，窃取信息系统、数据库内的重要秘密。 缺乏有效的管理机制企业内部往往都缺乏比较有效的管理机制，来对内部安全进行有效的管理：13 终端计算机操作人员没有及时安装防病毒软件造成病毒攻击损失或泄密14 终端计算机操作人员没有及时安装系统补丁致使恶意代码入侵造成泄密。15 终端计算机有少部分仍然使用 win95、win98 等没有登录机制的操作系统，应该予以更换，性能不够的计算机应该被替换。16 不完善的内部安全管理机制。企业内部有一定数量的管理机制，但是这些管理机制本身存在着一些问题和不足，也导致了内部安全管理没有得到“制度性”的保障；17

17、 内部安全管理机制不能被有效执行。企业内部缺乏有效的管理制度执行机制，使得管理制度不被执行，为数不少的管理制度仍然还只是停留着纸面上。 缺乏内网的安全解决方案对内网安全系统和方案的缺乏，也对内网的安全管理带来了一定的阻碍：大多数安全系统都只是来自于外部的入侵。针对于来自外部的入侵，已经大量成熟的安全系统来防范，但是内部的安全威胁和隐患，却很少被注意到，或者已经注意到，却没有完善的安全系统和安全来解决企业的内部安全问题；内部安全系统还不够成熟。在少数的内部安全系统中，多数都只是关注某个具体的访问，比如拨号连接控制、文件保护等，仅仅是一个技术意义上的产品，不能提出全面的内部安全管理方案。LanSe

18、cS内网安全管理系统集智能安全网管、内网审计、内网监控于一体，助有关企业信息安全、泄密问题排忧解难，相信会对您的工作有所帮助。为什么我们的企业长期以来都是打“兵来将挡，水来土掩“的被动防御战？究其原因，是因为我们的企业看重的只是传统的基于网络层面的防护系统，而对于未来安全防范的新兴力量LanSecS(菜恩赛克)内网安全管理软件认识不够。第二章 方案原则、依据及目标2.1 方案原则为保证方案的能够最终达到国家保密部门规定的相关保密要求,在设计方案时遵循如下的设计原则: 方案先进原则：XXXXX 网的内网安全管理系统要求功能完善、技术先进、安全可靠、服务领先； 系统安全原则：管理系统自身安全包括物

19、理安全、系统安全、数据安全和运行安全等； 可扩展原则：统一规划，兼顾长远，既要满足现有的需求，又要兼顾系统的可扩展性，保证分布实施的延续性。系统在结构、规模、应用能力等各个方面都必须具备很强的扩展能力； 按照 GB17859-1999计算机信息系统安全保护等级划分准则的要求建设； 可靠性原则。执行 ISO9002 质量认证体系要求，确保安全保密设备的高可靠性和稳定性； 经济性原则。内网安全管理系统的建设、运行维护以及将来的扩展建设，必须符合经济性原则； 易操作原则。内网安全管理系统的使用、维护、管理、发行等方面要易操作； 高效原则。内网安全管理系统的处理能力要求能满足现阶段的实际需求，保证系统

20、的高效运行，并能根据系统的发展进行不断提升； 功能完整原则。内网安全管理系统的功能完整，应用安全扩展系统功能完整； 灵活性原则。内网安全管理系统的系统扩展、应用安全建设方面都必须满足灵活性要求。2.2 方案依据本设计方案的主要依据是国家保密局文件 “涉及国家秘密的计算机信息系统安全保密方案设计指南” （BMZ2-2001） ，同时，还参考了以下标准和法规、文件： 国家标准 GB2887-2000电子计算机场地通用规范 ； 国家标准 GB9254-1998信息技术设备的无线电骚扰限值和测量方法 ； 国家标准 GB9361-1998计算站场地安全要求 ； 国家标准 GB17859-1999计算机信

21、息系统安全保护等级划分准则 ； 国家标准 GB50174-1993电子计算机机房设计规范 ； 国家军用标准 GJB3433-1998军用计算机网络安全体系结构 ； 国家公共安全和保密标准 GGBB1-1999信息设备电磁泄漏发射限值 ； 国家保密标准 BMB2-1998使用现场的信息设备电磁泄漏发射检查测 试 方法和安全判据 ； 国家保密标准 BMB3-1999处理涉密信息的电磁屏蔽室的技术要求和 测试方法国家保密标准 BMB4-2000电磁干扰器技术要求和测试方法 ； 国家保密标准 BMB5-2000涉密信息设备使用现场的电磁泄漏发射防 护要求 ； 国家保密指南 BMZ1-2000涉及国家秘

22、密的计算机信息系统保密技术 要求 ； 国家保密指南 BMZ2-2001涉及国家秘密的计算机信息系统安全保密方案设计指南 国家保密指南 BM23-2000涉及国家秘密的计算机信息系统安全保密测评指南 ； CISPR22 信息技术设备无线电干扰特征极限值和测量方法； CISPR24 信息技术设备免疫性特征极限值和测量方法； 国务院令 147 号中华人民共和国计算机信息系统安全保护条例 ； 国务院令 195 号中华人民共和国计算机信息网络国际联网管理暂行规定； 中华人民共和国公安部令 32 号计算机信息系统安全专用产品检测和销售许可证管理办法 ； 国家保密局文件计算机信息系统保密管理暂行规定 （国保

23、发19981号） ； 中央保密委员会办公室、国家保密局文件涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法 （中保办发19986 号） ； 中共中央办公厅国务院办公厅关于转发中共中央保密委员会办公室、国家保密局关于国家秘密载体保密管理的规定的通知（厅字200058 号） 。2.3 方案目标XXXXX 要求最大可能的保护其办公网络和系统资源与数据可以得到充分的信任，获得良好的管理。本项目的总体目标是在不影响 XXXXX 网络正常工作的前提下，实现对网络的全面安全加固，最终达到国家保密部门规定的相关保密要求。北京圣博润高新技术有限公司（以下简称圣博润）根据 XXXXXX 的需求和国家涉密

24、计算机系统安全要求，提供包括整体安全策略、规划、设计、部署、管理、紧急响应以及配套服务组成的网络安全整体解决方案。安全管理的安全目标：安全管理是整个内部安全管理体系的核心，使得安全策略、和安全系统最终形成一个统一的安全整体，为企业创造真正的价值，根据实际情况，规划不同密级的安全，为不同用户制定相应的安全策略，并统一的管理所有设备；第三章 系统架构3.1 安全策略规划内网安全策略是企业实现内网安全管理的基础，内网安全策略是企业网络信息系统安全建设的指导原则、配置规则和检查依据。内网安全系统的建设主要依据企业网络信息系统统一的内部安全策略。内部安全策略是一种指导方法，通常都以一种规范、制度、流程等

25、体现出来，用以指导我们快速、合理、全面的建设内部安全系统，同时我们所规划和实现的内部安全策略本身又是可扩展的，随着时间的不断推移和内部安全需求的进一步变化，我们都是根据调整企业的内部安全策略来更好的指导我们建设内部安全系统。我们认为，内部安全策略分为：（1） 主机资源审计与保护策略主机资源审计策略是对主机资源进行收集、并现在统一管理的内部安全策略，它指导如何准确、便捷的收集企业内网内所有主机的相关信息，同时指导我们根据不同主机的资源现状制定不同的保护手段和管理制度。（2） 在线信息保护策略在线信息保护策略是指根据企业的实际情况，并结合相关的法规政策、企业制度，对企业内部暴露在网络上面的重要信息

26、进行保护的内部安全策略，它指导企业如何定义重要信息、区分不同的信息的重要程度、并根据不同信息的重要程度制定不同的保护方案和访问控制规则，同时也保证了我们企业的内部网络资源得到最大化的合理应用。（3） 离线信息保护策略离线信息保护策略是指根据企业的实际情况，并结合相关的法规政策、企业制度，对企业内部可以通过可以离线方式（包括移动存储设备、打印设备等等）传递的重要信息进行保护的内部安全策略，它指导企业如在学会了定义重要信息以及信息的密级后，同时可以有效的将各种离线的信息传递设备（方式）进行统一的规划和控制。3.2 内网安全系统的建设一套统一的、安全的、可扩展的内部安全系统是我们构建整个安全目标的重

27、要因素，内部安全系统是我们整个内部安全体系的基础框架，通过我们的内部安全系统，我们可以 具体完成我们的安全管理工作，使我们的管理电子化、自动化； 实现安全策略，把安全策略作为系统配置的形式下发到所有终端主机； 科学的划分安全域，我们的管理工作趋于统一化、合理化、高效化。3.2.1 智能安全网管智能安全网管模块提供强大的内网网络管理和维护功能，是系统管理员理想的安全故障管理系统。主要功能包括： 自动发现网络内所有网络设备（包括三层和二层设备） ，通过系统提供的智能学习功能，自动识别网络的物理拓扑结构，生成网络物理连接拓扑图； 可以方便地查看可管理设备的配置信息，如 System、Interfac

28、e、IP Address、Routing、ARP、MAC Address、Flow 等； 动态显示交换机端口状态、流量等信息，可以设置端口流量阀值，当端口流量超过阀值时自动报警，帮助系统管理员监视、分析网络性能； 提供未知（未登记）IP 地址、MAC 地址列表,自动发现有未知受控终端接入的交换机端口，方便系统管理员发现非法入侵者； 实现交换机端口的打开和阻断控制； 自动识别网络中所有设备的 IP 地址、MAC 地址、设备名称等基本设备信息； 动态显示受控终端的当前状态，对各种不正常状态(如 IP 和 MAC 地址随意更改、关机、受控终端 Ping 不通、未知设备接入等)均提供声音报警和屏幕显示

29、报警； 可以按设备类型（如服务器、主机、打印机、交换机、路由器、网关） 、vlan、子网、部门等方法对设备进行分类管理，列表显示出设备的名称、所属部门、IP 地址、MAC 地址、发现时间等信息； 可以根据交换机端口连接的工位对计算机进行管理,方便网络管理员迅速定位出现故障的计算机连接的交换机端口； 可以方便地查看受控终端的配置信息、审计日志信息，对受控终端进行屏幕监控； 自动生成网络拓扑图（该网络的真实物理连接结构图） ，并能动态显示当前的网络状态，可以对自动生成的网络拓扑图进行简单编辑； 既可以在网络拓扑图中显示所有设备（交换机、路由器、受控终端、打印机等）及其连接关系，也可以只显示所有交换

30、机及其连接关系。3.2.2 内网审计在拥有了有效的防止内部信息泄漏的方式后，对计算机资源的审计和管理也变的同样重要，如何有效的、最大化的掌握每一个主机的资源状态，对统一的安全管理尤为重要！通过实时审计网络数据流，根据用户设定的安全控制策略，对受控对象的活动进行审计。采用基于主机和基于网络相结合的控制机制和技术手段，可以多层次、多手段地实现对网络的控制管理。通过集中管理、自我防护机制，全面体现了管理层对内网关键资源的全局控制、把握和调度能力，为网络管理人员提供了一种审计、检查当前系统运行状态的有效手段。对受控终端进行审计是通过规则进行的。审计规则设置的是对服务器规则控制下的行为的记录和统计。在服

31、务器设置相应的审计规则后，如果客户端所在的设备有符合规则的行为发生，则在服务器的日志中会有相应记录。可以根据需要配置受控终端的文件操作、进程、网络访问等事件的规则。系统根据规则自动记录安全审计日志并存入系统日志信息库，这些信息是事后了解和判断网络安全事故的宝贵资料。审计功能包括： 自动登记受控终端的硬件配置（包括 CPU、内存、硬盘、显示卡、网卡等等） ，当受控终端的硬件发生变动时能自动向安全管理核心系统发出报警信息； 自动记录受控终端操作系统配置的用户、工作组、逻辑驱动器，当其发生变化时，自动向安全管理核心系统发出报警信息； 对受控终端安装的系统服务进行审计，自动记录系统服务的启动和停止；

32、自动记录受控终端上应用程序的安装与卸载情况； 对受控终端上运行的进程进行审计，自动记录进程的启动和停止； 对文件操作进行审计，记录用户对规则指定文件进行的各种操作； 对网络访问进行审计，记录用户对规则指定网址进行的访问操作； 对本地打印机使用情况进行审计； 对受控终端的可移动存储设备的使用情况进行审计； 对拨号访问情况进行审计。3.2.3 内网监控对受控终端进行监控是通过监控规则进行的。安全管理核心系统负责集中配置监控规则，下发到受控节点。可以根据需要设置规则，系统根据规则自动阻止非法操作，并且向控制台发出报警信息。内网监控模块功能包括： 对受控终端进行屏幕监视或控制（可选） ； 允许或阻断用

33、户对受控终端的各种输出设备进行访问，包括 USB 可移动存储设备、打印机、DVD/CD-ROM、软盘、磁带机、PCMCIA 设备、COM/LPT 端口、1394 设备、红外设备等； 对受控终端进行 IP 地址和 MAC 地址的绑定，防止用户随意更改网络配置； 对受控终端上运行的进程进行控制，允许或禁止某些进程的启动； 对网络访问进行控制，允许或阻断对某些网络地址的访问； 允许或阻断用户通过拨号访问 Internet； 允许或阻断用户对本地打印机进行访问。3.2.4 详细的审计、分析与报告审计统计报表为系统管理员分析诊断网络故障提供了数据分析的基础。可以根据部门、设备、事件类别等多种条件进行查询

34、统计，生成各种审计统计报表。包括： 安全事件分析报告 计算机配置报告 计算机运行状况报告 系统进程审计监控报告 系统服务审计监控报告 系统日志审计监控报告 打印输出审计报告 文件存储、传输审计监控报告 网络访问监控报告对生成的审计统计报表（或审计日志报表、系统事件报表） ，可以通过系统提供的“报表查看器”进行浏览，同时提供打印预览功能，支持报表打印。3.2.5 技术特色LanSecS 内网安全管理系统凝聚了先进的网络安全管理思想，把安全管理的流程和技术手段加以总结提高，既能保证计算机网络安全运行，也能提供对内网计算机信息安全的监控和审计，可以解决企业和政府内部专用网络的安全管理、安全控制和行为

35、监视。通过主动的安全管理和安全控制的方式，将内部网络的安全隐患以技术的手段进行有效的控制。 符合当前网络安全管理的国际、国内标准符合国际信息安全管理体系标准和技术工程标准，BS 7799、ISO 17799、SSE-CMM 等。符合中华人民共和国国家标准 GB17895-1999计算机信息系统安全保护等级划分准则 。 独特的安全管理思想和技术手段结合信息安全行为模式理论以及多年从事网络安全和风险评估领域的经验积累，形成了独特的安全管理的方法论，以此方法论为基础设计了专业的智能的 LanSecS 内网安全管理系统。实现了严密的集中管理、自我安全保护，并建立了信息安全管理体系。产品设计思想先进，拥

36、有完全自主的知识产权。 基于主机和网络相结合的控制机制基于主机控制机制可以监控指定的主机系统，其控制力度细；基于网络的控制机制可以实时监控内网的安全隐患，实现了周密的内网资源保护。 集成的系统管理：端到端、全面的集成监控优秀的 IT 系统管理软件，帮助用户稳定、可靠、方便、有效地管理企业级 IT 基础设施，真正实现了端到端的系统管理。 智能化的网络拓扑管理和可视化操控系统LanSecS 能够自动、动态地发现内网的所有节点，包括路由器、交换机、服务器、PC 机等，能够对实际网络自动、动态地学习，并映射成物理的网络拓扑图，同时能动态显示当前的网络状态。通过对可视化的网络拓扑图的操控，可以对图上的设

37、备进行操作，管理网络或进行网络故障的检测，加强了对网络的设备、主机进行管理控制的力度，大大地提高了网络的管理效率。 强制的审计监控进程在客户端隐藏审计/监控进程，使得受控客户端不能停止和删除进程，确保安全审计和监控，同时不影响客户端的正常使用。 IP 和 MAC 地址绑定可以防止受控客户端改变 IP 地址，确保访问控制。 周全的内网系统信息防泄露体系系统管理和监控的范围广，策略周全，不会遗漏任何一个可能泄密的途径。 集中管理和监控对大量目标资源进行集中管理，可以监督的对象众多。系统对内网中设备、网络、文件集中管理安全策略、系统配置、安全事件等。 安全日志信息库所有网络、系统数据及安全事件，可以

38、通过 SQLSever2000 数据库进行存储，便于网络安全管理审计、分析。 操作系统自身的安全性审计可以发现当前系统的补丁安装情况,同时针对不同单位的防病毒的需求,可以提示用户安装本单位要求的防病毒软件. 网络故障、审计、监控管理及时发现网络的故障，按照故障的轻重缓急产生不同的报警信息，LanSecS 系统图形化的网络 IP 拓扑结构，使网络管理员可以迅速方便地发现局域网上出现故障的 IP 资源并帮助管理员分析故障原因。当网络中的设备出现故障，网络链路中断，非法使用受保护的资源时，LanSecS 系统会及时发出报警信息。 模块化设计、简单易用系统开发了独立模块以提供对目标主机多层次、多视角的

39、审计，并提供了友好的安全审计中心图形界面，操作简单直接，大大降低了用户后期维护的投入以及网络系统/安全管理员的工作难度和工作量。3.2.6 网络拓扑自动生成LanSecS 内网安全管理系统通过控制台对核心数据服务进行一系列参数配置(如扫描 IP 范围、部门信息、支持 SNMP 协议网络设备的读写团体名称等)后，运行网络拓扑自动学习功能，自动对实际的网络结构进行学习，并映射成与真实网络拓扑结构相同的网络物理结构图。网络管理员可以对图上的设备进行操作，管理网络或进行网络故障的检测。在学习状态下，系统将按照人工智能的方法，自动学习网络拓扑结构，并且在网络拓扑图中动态显示当前的学习成果。3.2.7 领

40、先的安全监控和管理技术LanSecS 内网安全管理系统是一套集成了多项核心技术的实用安全系统。研究了下列关键技术基础上，自主研发了该项管理系统。 监控内网网络设备、计算机系统的稳定性和可靠性； 内网系统资源安全管理和监控； 阻止内网的信息通过网络向外泄漏； 防止内网中信息通过系统外设向外泄漏； 审计客户端安装后不能删除或中止，确保内网所有用户都受到安全策略控制。第四章 系统应用部署和安全策略4.1 系统部署通过管理角色特别是管理端管理角色的变化，结合LanSecS内网安全管理系统应用数据服务器支持多级别、分布式部署的特性，在实际中，LanSecS内网安全管理系统采用以下两种部署方式：集中式部署

41、和分布式管理部署。4.1.2 集中式部署集中式部署面向小型网络。LanSecS内网安全管理系统按照企业网络结构，将网络划分为一个安全域，通过对每一个网络用户行为的监视和记录，并形成完整的日志。集中部署4.1.2 分布式管理部署分布式部署面向复杂结构下的企业网络。在这种部署应用模式下，LanSecS 内网安全管理系统按照企业网络结构，可以将整个企业网络划分为一个以上的安全域；在某个安全域内，按照该安全域的类型，LanSecS 内网安全管理系统可以将所有下级的安全数据信息集中到LanSecS 安全管理核心系统。分布式部署1. 对于经常出差，策略是统一策略已下发到本机，所以还是可以保证数据的安全的，

42、同时操作日志会在联通网之后将日志上传这到服务，统一管理。2. 根据 XXX 的实际情况，规划不同策略，为为同安全级别制定相应的安全策略，并统一的来之不易所有网络网络。4.2 安全策略网络与信息安全=信息安全技术+信息安全管理体系技术层面和管理层面的良好配合，是组织实现网络与信息安全系统的有效途径。其中，信息安全技术通过采用包括建设安全的主机系统和安全的网络系统，并配备适当的安全产品的方法来实现。在管理层面，则通过构架信息安全管理体系来实现。应用开发提供功能，系统管理确保性能。离开了对于性能和可用性的保障，系统应用无从谈起。保证网络自身安全和业务安全，首先要有一个可靠的网络，其次就是要有强有力的

43、网络管理和网络安全管理策略和手段。随着网络应用日趋复杂，单凭网络管理员的学识和经验进行网络管理和安全管理，已经不能适应了。因此，我们必须借助一些工具和软件来管理网络，并构建信息安全管理体系。4.2.1 安全技术全网安全策略考虑如下：XXXXXXXX 虽说是一个独立的局域网,内部办公都是依靠此网进行完成，所以必须考虑该监控系统安装后对原有系统的影响。包括对原有系统稳定性、网络带宽资源、系统安全性的影响。需要安装在原有系统上的模块是客户机端驻留引擎。该引擎我们做了测试，不会引起操作系统的不稳定，占用的系统 CPU 资源量很小，约 2.5%以下，内存占用量也很小，1M 以内。监控系统其它模块不再和原

44、有的系统直接联系，都是独立的。包括扫描发现引擎、设备智能探测发引擎。 客户端引擎安全策略客户端驻留引擎所完成的功能是整个监控系统要完成的核心功能，实现客户端监控审计的功能。如果该系统出现安全问题，主要的数据信息将失去意义。客户引擎完成的主要功能是控制本机用户的使用权限，记录、上报本机用户的敏感操作和状态信息，这使用户产生抵触心理。即使加强管理工作，用户仍可能想方设法破坏引擎的正常工作，包括将其卸载、停止工作、删改记录、不正常运行等。所以，引擎必须保证自身安全可靠性。包括：1） 驻留模块在本操作系统下具有不可发现、不可删除、不可停止、不可篡改等特点,实现多层保护。第一层保护是不可发现，如果可以发

45、现，就会给人以破坏的机会；第二层保护是不可删除，万一发现后，也是删除不掉的，我们通过底层技术加以保护；第三层保护是不可停止，万一发现了该进程，通过一般的技术手段，包括系统提供的工具都停止不了它；第四层保护是不可篡改，主要是针对该系统文件和日志记录，在非在线情况下，对用户的行为做日志非常重要，一旦连接在线，会将记录传送到数据库中。2） 保证系统不可被病毒软件发现。有一些同类软件尽管采用了一些隐藏技术，但是避免不了被防病毒软件发现。防病毒软件会将监控系统驻留引擎当成病毒处理，并对引擎隔离或删除。3） 自动启动客户机驻留引擎。试图通过启动配置、注册分区表发现、修改或禁止引擎启动都不可能。4） 安全模

46、式下引擎仍然正常发挥作用。4.2.2 安全管理策略对于 XXXXXXXX，除安全外，采用监控系统后还必须考虑对部门局域网和广域网（指专网广域网）的其它影响影响。 带宽的问题在局域网内部，扫描引擎搜集大量的数据信息,上传审计信息，对违法客户端发起的阻断功能都有可能引起局域网带宽的瓶颈。实际上，扫描引擎搜集网络信息采用定时方式，除开机注册时需要上传单机多项信息外，定时扫描时传送很少量信息，而违法行为也不是大量出现，所以不会引起网络瓶颈。管理控制台提供查询、配置、报警等功能，平时数据量都很小，只在数据查询时稍大，显然不会对网络带宽造成大的影响。当然，随着逐步往中央集中，各地研究所数据传输量逐步增大。

47、但是目前的带宽保证，总体都不会出现网络瓶颈。 第五章 内网安全管理系统解决方案设计5.1 简述运行本方案的目的是对 XXX 的主要信息进行审计和监控，以达到地对重要信息高效安全地保护，防止关键信息和数据的外传和泄密。从而保证内部网络能够高效、安全地运作，保证信息化 XXX 系统高效安全可靠地运行。本方案钍对 XXX 的内网安全管理的需求进行了需求分析，分绍了当前的主要的技术，提出了内网安全管理系统以及 LanSecS 内网安全管理系统的基本要求，给出具体的产品部署和系统实施建议。LanSecS 内网安全管理系统将重点放在主动地（Actively）控制风险而不是被动地(Passively)响应事

48、件，提高整个信息安全系统的有效性和可管理性。LanSecS 就是要让更多的企业理解一点，在保护企业安全的战役中，与被动的防御方式相比，以 LanSecs 解决方案为代表的内网安全与管理软件，可超越传统的“堵漏洞“方式来帮助企业实现基于角色的安全管理，从打被动的防御战变为主动出击。以主动的安全管理和安全控制的方式，将内部网络的安全隐患以技术的手段进行有效的控制，全面保护网络、系统、应用和数据。通过对每一个网络用户行为的监视和记录，将网络的安全隐患可视化，提供实时监控，并形成完整的日志，为审计提供依据，从而大大提高内部专用网络的安全性，真正保障每一个网络用户都在授权的范围内合法地使用网络和数据。5

49、.2 内网安全管理系统设计思路针对 XXXXXXXX 客户对内网安全提出的功能和性能要求，XXXX 公司为了有效的满足局域网环境下实现(具体的客户的需求说明)的要求，故提出以圣博润产品莱恩赛克内网安全管理系统软件作为基础建设安全管理系统的构想。XXXX 公司利用公司自有产品莱恩赛克内网安全管理系统建立起的内网安全管理系统的基本组成部分包括：如上图所示，LanSecS内网安全管理系统着重于内网的安全管理和监控，以系统网络运营管理为基础，以防内网泄密为目标，其核心功能由设备智能探测器、审计监控客户端、安全管理核心平台（包括内网管理、安全审计）协同完成。 设备智能探测器设备智能探测器能自动搜索内网中所有网络设备（包括三层和二层设备） ，识别网络中的SNMP设备。 并阻止非法内联。 审计监控客户端审计监控客户端负责采集受控终端的软、硬件配