内网安全管理系统解决方案

经典word整理文档，仅参考，双击此处可删除页眉页脚。本资料属于网络整理，如有侵权，请联系删除，谢谢！最新资料欢迎阅读内网安全管理系统解决方案1、计算机终端安全管理需求分析11、1、网络管理21、1、1、物理网络拓扑图21、1、2、流量控制21、1、3、IP地址管理31、1、4、故障定位31、2、终端安全防护31、2、1、补丁安装防护31、2、2、防病毒防护41、2、3、进程防护41、2、4、网页过滤41、2、5、非法外联防护51、3、终端涉密信息防护51、3、1、终端登录安全认证61、3、2、I/O接口管理61、3、3、桌面文件安全管理61、3、4、文件安全共享管理71、3、5、网络外联控制71、4、移动存储介质的管理71、5、网络接入控制81、6、计算机终端管理与维护91、7、分级分权管理92、计算机终端安全防护解决方案102、1、方案目标102、2、遵循标准112、3、方案内容122、3、1、网络管理122、3、1、1、物理网络拓扑图132、3、1、2、流量控制132、3、1、3、IP地址绑定11最新资料欢迎阅读32、3、1、4、故障定位142、3、2、终端安全控制142、3、2、1、补丁管理142、3、2、2、防病毒控制142、3、2、3、进程监控152、3、2、4、网页过滤控制152、3、2、5、非法外联控制152、3、3、终端安全审计152、3、4、移动存储介质管理162、3、4、1、注册授权182、3、4、2、访问控制182、3、4、3、数据保护192、3、4、4、自我保护192、3、4、5、操作记录12、非法接入控制策略202、3、5、3、非法接入阻断技术实现原理212、3、6、计算机终端管理与维护222、3、6、1、主机信息收集222、3、6、2、网络参数配置232、3、6、3、远程协助232、3、6、4、预警平台233、系统设计323、1、LanSecS系统安全性设计323、1、1、控制中心安全性323、1、2、主机代理安全性323、1、3、数据库安全性323、1、4、策略分发与存储安全性343、1、5、主机代理与控制中心通讯安全性344、系统特色与系统部署32最新资料欢迎阅读64、1、LanSecS系统特色364、2、LanSecS典型部署384、2、1、简单内网环境384、2、2、本地多内网环境384、2、3、分级部署环境395、产品配置要求39网络已经成为企业、政府和其它各种组织的重要信息载体和传输渠道。很明显，问题，以及由此带来的网络信息安全问题。目前随着制造业单位规模不断增大，IT硬件成本降低、更新换代速度比较快，单位为了提高工作效率，不断的增加混乱、网络拥塞、出现故障无法及时定位进行解决；其次是资产的管理，全性已经关系到了计算机和计算机网络能否真正成为有实质意义大规模应用的关键因素。如何提高安全性保证机器的正常办公、如何将非法入侵者拒之门外、3最新资料欢迎阅读内部的IT系统的平稳运行，一个健壮的内网安全管理体系是分重要的。作为制造业的计算机终端安全管理方案而言，需要解决如下问题：1、1、网络管理在制造业的网络环境中，由于单位规模、单位办公的需要，存IP地址环境地址混乱、冲突也是很棘手的问题。针对网络管理方面主要包括一下几个方面：1、1、1、物理网络拓扑图单位的内部网络是由网络设备共同作用，协同工作建立起来的，主要设备有：路由器、交换机、HUB，而在局域网中对数据交互起核板信息进行提取和控制，但是无法看到终端设备和交换机端口的物理连接关系，是至关重要的，因为端口的流量信息其实就是设备的流量信息；想要掌控设备，接关系会给管理带来极大的方便。流量控制借助物理网络拓扑图上设备的物理连接关系，通过可4最新资料欢迎阅读P2P下载软件抢占带宽和病毒爆发时给网络速度带来的拥塞，这对于管理来说才是实用的管理手段。IP地址管理为了便于管理，出现问题能够及时追查，网络建设时管理员通常使用静态IP地址，这对于管理来说确实是一个有效可行的措施。但是由于员工的计算机操作水平不同，很可能造成随意修改IP地址带来的内网地址冲突，这给内网管理带来很繁琐的问题。虽然通过在核心或二层交换机上，可以通过命令来绑定IP/MAC地址从而消除上述问题，但是工作量庞大，因此彻底屏蔽IP地址冲突的问题是网络管理必须要做的。1、1、4、故障定位很多制造业内部网络庞大，分支繁多，一旦终端机器否则从众多网络排线中找出问题链路将是一件分费时、费力的事情。终端安全防护单位内网进行办公所运行的各种服务都是应用在终端健壮性，为了保证机器的正常运行包括以下几个方面：1、2、1、补丁安装防护目前在制造业的单位中，承载各种应用的操作系统90%以上的端终用户使用的都是windows2000,XP或以上的操作系统，但是这几种操作设计网是和单位局域网物理隔离的网络，从而导致补丁安装的不完全，不及时，会导致整个网络受到威胁。1、2、2、防病毒防护员工由于防范病毒意识较淡薄，没有安装防病毒软意外卸载，或防病毒软件没有运行，这样不仅使单台PC机受到病毒侵害，而且络拥塞。因此一定要保证防病毒软件的安装、正常运行、及时升级。5最新资料欢迎阅读1、2、3、进程防护由于当前大量病毒以及恶意程序的存在，而这些程序网络安全事件，提高我们的工作效率。1、2、4、网页过滤某些员工访问Internet时，由于安全防范意识不够，登陆恶意网站，造成机器受到攻击，从而产生病毒感染、机器不能正常使用，注要数据的网络泄密。因此必须对内网机器的网络访问进行必要的过滤。非法外联防护单位内部的局域网会在网络的出口上，增加相关的防护，保证内网的安装。但是员工由于好奇，或者厌烦上网出口的种种限制，通过Modem或ADSL拨号方式访问Internet，极易受到外部网络的攻击；当该机器一旦受到攻击，回到内网后很容易将相关病毒、木马向内网传播。终端涉密信息防护在现代生活中，信息就是财富。无论是国家、政造业单位的设计、研发部门来说，机密信息的存储、使用和传递过程中，会面临输出涉密文件；l终端计算机非法拨号、非法外联访问；l离线存储设备存储工作人员由于对计算机专业知识的不熟悉而泄密。从泄密行为的区别上，分为两种泄密：6最新资料欢迎阅读当前，对涉密信息的防护需求主要包括如下几个方面：1、3、域登录，然而用户名/口令方式虽然简单，但是存在很大的安全隐患：l密码管理复杂l密码容易泄漏l存在暴力破解的可能性l无法阻止他人恶意非法盗用因此，作为终端安全管理的第一步，首先需要解决终端登录安全认证的问题。I/O驱、刻录机、打印机、绘图仪、移动存储设备、红外、蓝牙、无线网络设备）为信息处理和传输提供极大便利的同时，也为机密信息的扩散和泄露带来了可能。尤其是USB接口的计算机周边设备的丰富，使得计算机与其他外部设备，如U打印机等连接分方便，并能轻而易举地通过USB设备将外部数据导入或者内部数据导出，为重要数据的保护带来了巨大的安全隐患。1、3、3、桌面文件安全管理作为数据最终处理的计算机终端，存储着大Windows全管理必须考虑的问题。文件安全共享管理由于计算机终端大多使用Windows操作系统，7最新资料欢迎阅读份认证机制、完善的共享授权以及详细的访问日志信息。1、3、5、网络外联控制涉密内网虽然不与互联网直接连接，但是内部人员可能会出于各种原因通过Modem拨号、ADSL上网、无线上网等技术手段将个容之一。感信息的载体，实现对它们安全、有效的管理是保证企业信息安全的重要手段。移动存储介质使用过程中常见的风险包括：1)非法拷贝敏感信息和涉密信息到磁盘、U盘或其他移动存储介质中；2)企业外部移动存储介质未经授权在内部使用；3)企业内部移动存储介质及信息资源被带出，在外部非授权使用；4)使用过程的疏忽；5)密信息在进行人工交换时泄密；6)而给其他人使用；7)8最新资料欢迎阅读修理，或修理时没有懂技术的人员在场监督，而造成泄密；8)移动存储设备在更新换代时没有进行技术处理；10)密信息外泄，其危害程度将是难以估量的，丢失造成后果非常严重。综上所述，移动存储介质的管理对制造业来说，是一个必须关注的问题。隔离。计算机终端管理与维护对于制造业单位庞大的网络和众多的终端计助实现，才能有效节省成本和资源，提高内网管理的效率。另外，由于终端计算9最新资料欢迎阅读管理人员迫切需要解决的问题。1、7、分级分权管理内网安全管理系统作为一个计算机终端防护、检测、位管理员是不现实的，另外，如果企业的部门设置较为复杂，分支机构多，则会l单位，如集团、所、部门等。考虑到制造业单位对管理上的需求往往希望能够由审计报机构的策略执行情况以及违规事件等。2、计算机终端安全防护解决方案2、10最新资料欢迎阅读范上网管理、安全管理、终端涉密信息防护、网络接入/外联管理、移动存储介质的管理、审计和计算机的日常运行维护。2、2、遵循标准本设计方案的主要依据是国家保密局文件《涉及国家秘密的信息系统分级保护技术要求》规、文件：l国家标准国家标准GB9254-1998《信息技术设备的无线电骚扰限值和测量方法》；l国家标准国家标准GB/T9387、2-1995信息处理系统开放系统互连基本参考模型第2国家标准GB17859-1999国家标准GB/T18336-2001信息技术安全技术信息技术安全性评估准则（idt国家标准国家军用标准GJB3433-1998国家公共安全和保密标准国家保密标准BMB2-1998《使用现场的信息设备电磁泄漏发射检查测试国家保密标准BMB3-1999《处理涉密信息的电磁屏蔽室的技术要求和测试方法》国家保密标准BMB4-2000《电国家保密标准BMB5-2000《涉密信息设备使用现场的电磁泄漏发射防国家保密指南的计算机信息系统保密技术国家保密指南国家保密指南BM23-2000《涉及《国家信息化领导小组关于加强信息安全保障工作的意见》中共中央办公厅国务院办公厅中办发[2003]27[1998]1中央保密委员会办公室、国家保密局文件《涉及国家秘密的通中11最新资料欢迎阅读《关于加强信息安全保障工作中保密管理的若干意见》中共中央保密委员会中保委发[2004]7《涉及国家秘密德信息系统分级保护管理办法》国家保密局国保发[xx]16《信息安全等级保护管理办法（试行）》公安部国家保密局国家密码管理局国务院信息化工作办公室公通字[xx]7号。为了加强延边天池工贸有限公司的内网安全防护，防止设计部门机密数据的泄能需求，我们提出如下内网安全管理解决方案。2、3、1、网络管理网络管理是建立在内网中支持SNMP协议的可网管交换机，自的控制、设备故障定位，结合客户端控制软件的IP地址管理功能、网卡流量控行，又可以在出现问题时能够尽快解决。2、3、1、1、物理网络拓扑图在支持公有SNMP协议的交换机上，能够自动发现网络的端口连接关系。拓扑图可以进行编辑、保存，并可以通过参数设置，按设置好可管理设备的配置信息，如System、Interface、IPAddress、Routing、ARP、MACAddress、Flow等。物理网络拓扑图便于管理员掌握内部网络的分布情况，机器连接链路的变化情况，使整个网络了然于胸。2、3、1、2、流量控制流量控制包括两个方面，既可以通过控制交换机12最新资料欢迎阅读的端口，使用端口的打开和闭合功能实现对下连设备的链路流量的开启和关闭，络连接，保证受控端在指定的流量范围内进行网络连通。既保证了其正常工作，又不会影响网络带宽。2、3、1、3、IP地址绑定通过使IP地址和每台机器的ID号相对应，以一一对应的关系为依据，从而保证每个IP有一个唯一的标识与之对应。当客户端程序检测到IP地址进行修改时，IP地址会自动恢复到此前已经绑定了的IP值，保证IP地址不会被随意修改。杜绝了单位内部的IP地址冲突问题。故障定位通过物理网络拓扑图显示的物理网络链路连接关系，观的图象信息，准确定位故障点，对问题进行及时排查、处理。配合交换机端口变化，便于管理员及时掌握内网链路流量状况。2、3、2、终端安全控制通过对补丁分发、防病毒控制、进程监控、网页不完善而造成的系统崩溃，抵御已知的一切外部攻击。2、3、2、管理，大大减少了操作系统和应用软件漏洞被利用所造成的安全隐患和经济损补丁分发过程的监控。防病毒控制通过防病毒软件监测，可以判断终端计算机是否安装了防病毒软件、防病毒软件运行是否正常以及病毒库是否保持最新等情况。如果以上几条不满足设定的策略要求，监测系统可以向管理人员发送报警信息。端计算机无法使用内网。未安装防病毒软件的计算机进行网络访问控制和隔离，13最新资料欢迎阅读进程监控通过进程的黑、白名单对机器上运行的应用程序进行控制，黑名单与白名单是一种“或”的关系，可以同时配合使用，不同于以往序，网络才会恢复连接。网页过滤控制通过网页过滤，可以有效屏蔽掉管理员禁止访合法性。2、3、2、5、非法外联控制通过禁用设备的Modem、ADSL拨号、双网卡、事件，保证仅允许工作于内网的设备的纯粹性、安全性、机密性。而且一旦产生相关的事件，会产生相关的预警信息，及时同时管理员。2、3、3、终端安全审计终端计算机的防泄密解决措施对计算机终端进行安全审计，如网络接入、网络外联、文件操作、共享访问、设备使用、进程活动贵资料。安全审计应包括如下几个方面：涉密审计：涉密文件被操作使用、存储和传输审计功能；入网审计：非法设备接入审计功能；资产审计：自动登记受控终端的硬件配置（包括CPU、内14最新资料欢迎阅读理核心系统发出报警信息；件审计：对文件操作进行审计，记录用户对规则指定文件进行的各种操作；网络访问审计：对网络访问进行审计，记录用户对规则指定网址进行的访问操作；打印机操作审计：对本地打印机使用情况进行审计；移动存储设备审计：对受控终端的可移动存储设备的使用情况进行审计；非法外联审计：对拨号、无线网卡、手机红外等访问情况进行审