信息系统网络安全建设事项方案

信息系统网络安全建设项目方案1目录 2建设目标 43信息安全等级保护综合管理系统 4全等级保护综合管理系统概述 4构 7能 9级备案管理 93.3.2建设整改管理 10级测评管理 11全检查管理 12险评估管理 13险评估测评 13险评估管理 14常办公管理 15 基础数据管理 16 署 20置要求 20内网安全管理系统 21内网安全管理系统概述 21产品架构 214.2.1终端监控引擎 22.2总控中心 22.3管理控制台 22.4系统数据库 22产品功能 23.1终端运维管理 23.2终端安全加固 24.3终端安全审计 25.4网络准入控制 25.5移动存储管理 26产品性能 26.1终端引擎性能 26.2总控性能 26.3产品性能指标 27产品规范 27产品部署 275内控管理平台(堡垒主机) 29述 292信息系统网络安全建设项目方案 9理 29管理 30管理 30理 30授权管理 30的访问控制管理 31理 31理 32 2可用性 33 3 5护平台 35险分析 35 36 37 37模式 38 39 39模式 40部署模式 40信息系统网络安全建设项目方案31项目背景级保护技术标准规范，建设网络安全和开展等级保护管理工作。术设管理、系统运维管理五个方面。“构建安全管理机构，制定完善的安全管理制度及安全策略，由相关人员，利用技术工手段及相关工具，进行系统建设和运行维护。”进行：1.系统识别与定级：确定保护对象，通过分析系统所属类型、所属信息类别、服务范围以及业务对系统的依赖程度确定系统的等级。通过此步骤充分了解系统状况，包括系统业务流程和功能模块，以及确定系统的等级，为下一步安全域设计、安全保障体系框架设计、安全要求选择以及安全措施选择提供依据。2.安全域设计：根据第一步的结果，通过分析系统业务流程、功能模块，根据安全域划分原则设计系统安全域架构。通过安全域设计将系统分解为多个层次，为下一步安全保障体系框架设计提供基础框架。3.确定安全域安全要求：参照国家相关等级保护安全要求，设计不同安全择方法确定系统各区域等级，明确各安全域所需采用的安全指标。4.评估现状：根据各等级的安全要求确定各等级的评估内容，根据国家相关风险评估方法，对系统各层次安全域进行有针对性的等级风险评估。并找出系统安全现状与等级要求的差距，形成完整准确的按需防御的安全需求。通过等级风险评估，可以明确各层次安全域相应等级的安全差距，为下一步安全技术解决方案设计和安全管理建设提供依据。5.安全保障体系方案设计：根据安全域框架，设计系统各个层次的安全保障体系框架以及具体方案。包括：各层次的安全保障体系框架形成系统整体的安全保障体系框架；详细安全技术设计、安全管理设计。6.安全建设：根据方案设计内容逐步进行安全建设，满足方案设计做要符合的安全需求，满足等级保护相应等级的基本要求，实现按需防御。7.持续安全运维：通过安全预警、安全监控、安全加固、安全审计、应急响应等，从事前、事中、事后三个方面进行安全运行维护，确保系统的持续安全，满足持续性按需防御的安全需求。信息系统网络安全建设项目方案4境的变化达到持续的安全。科公司推出了LanSecS®信息安全等级保护综合管理系统，该系统是一和安全检查等各个环节信息与数据的集中管理和工作流程管理。了安全建设与持续安全运维，推出了LanSecS®内网安全管理系统、LanSecS®内控管理平台(堡垒主机)、LanSecS®数据库安全防护续安全运维的需求。2建设目标有限责任公司推出的北京圣博润LanSecS®产品不仅符合信息安全等级保护的技术要求，而且进一步加强了等保工作的管理，加固了网络安全防护。高过此平台将等保工作融入日常信息安全管理工作中。企业打造一个安全、可信、规范、健康的网络环境。内控管理平台(堡垒主机)通过账号集中管理，统一所有网络设备、服务器落实。保障了重要信息的安全。信息安全等级保护综合管理系统概述级保护综合管理系统的实际应用需求，从2007年开始信息安全等级保护综合管权的LanSecS信息安全等级保护综合管理系统。信息系统网络安全建设项目方案5产品可解决如下几个方面的问题：据缺乏集中管理EXCEL格解决这一难题，有效提高等级保护工作效率。安全等级保护工作流程缺乏必要的约束展等级保护功过过程中，难以有效避免因人而异、因时而异、因事提高等级保护工作流程的规范性。缺乏有效的信息安全等级保护工作考核依据级保护主管部门对等级保护工作的执行和工作成效的考核没有统一持。全建设整改工作统一指挥和协调难等级保护安全建设与整改工作是一项任务紧迫、形势复杂、周期较长的工作。整改工作的指挥和调度困难问题。保护工作开展所依赖的基础工作平台，信息安全等级保护综合管理系统可在如下方面促进信息安全等级保护工作的开展。和分析处理信息安全等级保护综合管理系统可对各种信息安全等级保护基础数据实现开展提供决策支持。该系统可管理的数据包括如下多种类型：.系统定级、备案数据；建.设整改数据；.等级测评数据；.安全检查数据；.风险评估数据；.等级保护政策标准；.安全管理制度与管理措施；.信息资产；.安全事件；.测评机构与人员；.专家库；.教育培训数据。设整改、安全测评、安全检查等工作。等级保护工作流程，提高工作效率信息安全等级保护综合管理系统为信息安全等级保护的多个工作环节提供了基信息系统网络安全建设项目方案6于工作流引擎的工作流程管理功能，如安全建设整改、安全检查、风险评估等。工作部署实施的自动化程度大大增强，从而有效提高了等级保护工作的效率。提升行业等级保护工作管理的透明度及时掌握等级保护工作的开展情况，实现可视化的等级保护工作管理。等级保护工作对整体管理过程的不可跟踪性和管理效果的不可预见性。行业主管部门通过该系统还可对每个等级保护参与人员的工作进度、工作状况、行效果进行客观的考核和评价，大大增加了管理的透明度。行业等级保护工作的整体实施能力不透明，直接导致管理工作的执行不彻底和不到位。过等系人能力。护工作管理的常态化信息安全等级保护综合管理系统提供了安全整改活动、等级测评活动、安全改工作以及等级测评工作提供了可靠的技术支撑。信息安全等级保护综合管理系统的定位和目标是为我国各行业开展的等级保安全检查等工作的信息化管理，提升等级保护工作的效率和管理水平。信息安全等级保护综合管理系统提供了涵盖等级保护工作所有工作环节的管理功能，是一个以等级保护为核心的集成的、综合的信息安全基础工作平台。该系统可有效促进各行业等级保护工作管理的常态化。7信息系统网络安全建设项目方案2系统架构全运维管理系统或等级保护相关系统的数据共享和交互。工作管理以信息安全等级保护工作为主线，对等级保护工作中的定环节进行规范化管理，包括信息与数据的收集、工作流程管理等。数据层管理为信息安全等级保护综合管理所需的各种基础信息与数据提供家库管理，资产信息管理，信息安全事件管理等。接口层信息系统网络安全建设项目方案8系统与其他系统之间的数据共享和交互接口。例如本系统管理系统收集的数据向本系统的数据输入接口等。LanSecS信息安全等级保护综合管理系统的业务体系架构以及各业务模块具体等级保护工作环节的业务活动进行统一维护管理并可对工作过程进行监控、对信息和数据进行统计分析等。信息系统网络安全建设项目方案93系统功能“LanSecS信息安全等级保护综合管理系统”主要功能包括如下几个方面：2)建设整改管理安全检查管理日常办公管理析.1定级备案管理重要信息系统的定级与备案工作是我国信息安全等级保护工作开展的基础。护，信息系统备案状况。备案管理模块功能逻辑结构如下：信息系统网络安全建设项目方案“定级备案管理”主要完成重要信息系统的定级备案信息维护与管理，包括备案1)备案信息填报：完成重要信息系统备案信息的填报；2)备案情况查询(更改)：按照备案单位或备案信息表中任何一个字段进行单项查询或组合查询，查询结果显示为备案信息(分为以单位为主导和以信息系统为主导两类，即允许用户按单位查也可以按信息系统查)，为一项或多项。提供关键字段的准确和模糊查询；3)备案信息导出：将备案信息导出，供导入备案数据采集工具或监督检查工具使用；4)备案情况统计：提供特定备案时间段的信息系统数量、单位数量等，统计显示形式为统计表；5)附加信息管理：完成备案附加信息的添加；6)备案数据采集工具‐■备案表填报:完成备案表信息的填报；‐■备案表校验和审核:完成备案表信息的校验和核对，以及系统自动给用户提供一个备案表编号供用户酌情选择使用；‐■备案表WORD文档生成：完成备案表xml格式到word文件格式的转换和具体文件的生成；‐■备案表信息打包：完成备案表信息、附件的合并和压缩，生成可上传文件‐■批量入库：实现文件包的解析和批量入库。3.3.2建设整改管理本系统将整改建设分为五个步骤环节：1)工作部署：制定信息系统安全建设整改工作规划，对信息系统安全建设整改工作进行总体部署；2)现状分析：开展信息系统安全保护现状分析，从管理和技术两个方面确定信息系统安全建设整改需求；3)整改方案：确定安全保护策略，制定信息系统安全建设整改方案；4)整改实施：开展信息系统安全建设整改工作，建立并落实安全管理制度，落实安全责任制，建设安全设施，落实安全措施；信息系统网络安全建设项目方案5)整改结果：开展安全自查和等级测评，及时发现信息系统中存在安全隐患和威胁，进一步开展安全建设整改工作。建设整改执行流程如下图所示。建“设整改管理”主要完成已备案信息系统的建设整改活动的跟踪记录与管理。包括建设整改信息的录入、查询、统计。1)建设整改信息录入：将建设整改活动过程中的所有相关信息记录入库；2)建设整改信息查询：对入库的建设整改信息，按照单位、系统或者整改信息表中的任何一个字段进行信息检索和查询，查询结果可生成报表；word格式。3等级测评管理等级测评管理模块负责对行业用户发起的由第三方测评机构主导实施的等级测评活动的组织和管理。行业用户在新上线的信息系统建设完毕或者对旧的信息系统安全建设整改完成时，均需要委托第三方测评机构对信息进行等级测评，以验证信息系统的安全建设是否符合定级要求。等级测评模块主要负责对测评机构的管理、测评流程的管理、测评结果的汇总与记录、测评活动的监控等子模块。各子模块之间的关系如下图所示：信息系统网络安全建设项目方案1)等级测评信息录入：将等级测评过程中的所有相关信息记录入库；2)等级测评信息查询：对入库的等级测评信息，按照单位、系统或者等级测评信息表中的任何一个字段进行信息检索和查询，查询结果可生成报表；3)等级测评信息导出：将等级测评信息导出，生成可以阅读的word文档格式；4)等级测评机构管理：等级测评机构的相关信息管理；5)等级测评报告管理：对已经取得等级测评报告的信息系统所对应的测评报告进行集中归档管理。4安全检查管理“安全检查管理”提供对安全自查、主管部门检查和公安机关检查等安全检查活动状况的跟踪记录管理。包括：1)监督检查制度管理：对监督检查规章制度等级入库，并提供查询和打印服务；2)安全自查管理：对安全自查活动状况进行信息记录，并提供查询、统计服务；3)主管部门检查管理：对主管部门的检查活动状况进行信息记录，并提供查询和统服务；4)监督检查数据导出：完成用户从主系统中导出需要监督检查单位及其系统的相关信息，并转换为桌面系统能解析识别的文件系统；5)监督检查信息录入：供用户直接在主系统上填写监督检查相关数据(或直接导入监督检查工具生成的检查数据包)，填写完成后可生成符合《信息系统安全等级保护监督检查表》格式和内容的Word文本；6)监督检查情况查询：要求按照检查表中任何一个字段(包括检查时间等)合进行查询，还可按检查次数、是否超过检查期限等条件查询，查询结果显示为一项或多项，信息为单位或信息系统监督检查信息；7)合规性检查：对检查结果进行分析，并与已知标准进行比对，判断所检查的信息系统是否合规。8)监督检查工具‐备案信息导入：可以将主系统导出的数据导入到监督检查工具中，便于在监督检查过程中实时查询信息系统的备案信息；‐监督检查填报：完成用户独立填写监督检查数据，登记信息、填写完成后可生信息系统安全等级保护监督检查表》格式和内容的Word文本；‐监督检查数据导入：完成桌面系统特定文件格式(特定的格式包，内可含文本、图象文件等附件信息)的监督检查数据导入进服务器端主系统。信息系统网络安全建设项目方案.5风险评估管理负责对信息系统风险评估活动的相关信息的维护管理，规范本单位在委托第三方进行风险评估过程中需要进行配合的相关事项和流程，并对整个风险评估活动过程中的各种数据进行汇总记录。风险评估管理主要由风险评估测评、风险评估管理两个子模块组成。风险评估测评子模块采用内置工作流引擎进行风险评估工作的流程规范及过程推动；风险评估管理子模块可对已经进行过的风险评估测评项目的相关信息进行查看管理，并可对当前正在进行风险评估测评的项目的执行情况进行监控。.6风险评估测评风险评估测评通过内置的工作流引擎，以系统预先定制的风险评估流程引导并规范风险评估测评工作的展开，具体的工作流程示意图如下：信息系统网络安全建设项目方案评估流程主要由发起风险评估、风险评估准备资料上传、风险评风险评估资料审核及风险评估资料归档等几个环节组成。1)发起风险评估信息系统风险评估的第一个流程是发起一个风险评估项目，系统可记录当前项目发2)风险评估准备资料上传上传负责风险评估所需的各种资料文件的上传和管理，例如与第人，签署日期和文件描述等相关信息。3)风险评估方案上传负责将本次风险评估方案文件上传并保存到系统中，系统可记录信息包括方案提供方的单位及人员，方案接收方的人员、日期等信息。4)风险评估协助任务分配离签字确认等相关事项。5)风险评估协助任务执行录任务完成的情况和相关信息等。6)风险评估报告上传负责将第三方风险评估单位提供的风险评估报告上传到服务台并保存，系统可记录提供报告文件的单位及人员和接收报告文件的人员等相关信息。7)风险评估资料汇总整理统使用单位构建一个良性循环的信息安全环境。8)风险评估资料审核是指由系统使用单位对风险评估测评单位提供的风险评估相关资料的评审与审核。9)风险评估资料归档信息，方便系统使用单位集中管理风险评估相关信息。.7风险评估管理提供对历史风险评估项目信息的查看管理以及对当前正在进行的风险评估项目的监控功能。的查看管理主要包括查看历次风险评估项目基本信息，历次风险评估资料档案信息，历次风险评估中的风险统计和不可接受风险处理计划的功能。信息系统网络安全建设项目方案3.3.8日常办公管理管理为系统用户提供了一个日常工作的平台，由待办事项，办结事项，任务管理，工作考核四个部分组成。基本囊括了与等级保护相关的事项的管理，其中系统内部事项直接在此处提供统一入口，系统外事项在此处提供统一任务管理入口，纳入到系统管理，方便等级保护工作的开展。具体关系如下图：信息系统网络安全建设项目方案1)待办事项管理：提供需要办理事项的记录功能，并可标记事项当前进展状态；2)待办事项查询：对已经录入的事项，可按照待办、办结和超期等条件进行归类查询，并按照其他条件进行复合查询；3)任务管理：对上级派发的等级保护工作任务进行登记管理，并提供任务执行状况的跟踪记录能力，可对任务进行复合条件查询和统计；4)工作考核：对等级保护各个环节的工作状况进行考核，并给出综合考核结果。3.9统计分析保护相关的重要数据的统计及分析功能，包括信息系统整改统计，等级测评统计，检查情况统计等，并提供相应的分析图表。1)统计信息查看：提供统一的统计信息查看功能，统计信息包括：‐信息系统统计‐事件统计‐工作事项统计‐资产统计‐组织机构统计‐人员统计‐建设整改统计‐等级测评统计‐检查情况统计‐信息系统安全总体评价2)统计报告生成：对统计结果生成统计报告，并可导出到常见的文件格式，如10基础数据管理基础数据管理提供对等级保护管理工作当中各个环节所需的基础数据进行综合管理。包括：别的政策、法规的管理，包括录入、修改、查询、报表、打印、导出等维护操作。规范库：提供国家、部委、行业、部门等各个级别的标准规范的管理，包括录入、修改、查询、报表、打印、导出等维护操作。3)事件管理：提供安全事件的录入、查询、统计、报告等维护操作。信息系统网络安全建设项目方案4)资产管理：提供资产的手动录入、自动收集，资产查询、统计和报告等管理。5)组织机构：提供组织机构创建和维护管理。6)安全人员：提供人员的管理。度：提供人员管理、系统建设管理、系统运维管理等管理制度的录入、查询和报告等功能。管理、系统建设管理、系统运维管理等管理措施的录入、查询和报告等功能。9)应急处置：提供应急预案和应急演练等活动的信息管理功能。)技术支持队伍：提供技术支持队伍信息的录入、查询和报告等功能。)专家库：提供专家库信息的录入、查询和报告等功能。)知识库：提供知识库的维护管理。基础数据管理模块对系统的基础数据的管理操作包括：息的收集、录入，存储到数据库中进行汇总保存。查询与报表础数据，该模块提供风格统一的数据查询、展现和报表功能。通工作的开展。数据，按照不同的统计方式，生成统计图表，统计图表可为等级保护工作状况的综合分析提供帮助。备份条件，对不同类别的基础数据进行定期备份。该模块还提供备份数据的人工恢复。信息系统网络安全建设项目方案.11分级管理行业用户，其信息系统分布在不同的行政区域或辖区，这些信息系统的维安全等级保护工作开展情况。鉴于此，本系统提供了分级管理功能。分级管理功能，可在多个等级保护综合管理系统之间(一般的，在上级系统和下级系统之间)建立关联关系。确定上下级关系后，下级系统可以将本级的信息和数据定期展状况。3.12系统接口LanSecS等级保护综合管理系统由数据采集和共享中心负责提供与其他各接口分类两大类，数据采集类和数据共享类。据共享接口数据共享接口负责将等级保护综合管理系统的自身数据共享给其他信息系统使用，信息系统网络安全建设项目方案定级备案数据，可导入公安部定级备案综合工作平台，完成行业用户的定级备案工作。4系统安全性安全性，主要采取了如下技术措施保障系统自身的安全性。身份认证方面：本系统有专门的身份认证模块，系统自身设计采用了双因子身份认证。制登录失败次数。了基于角色的访问控制技术，按数据和功能授予用户权了日志查询和统计功能。保护方面：敏感信息不得写入静态字段，内存自动回收技术保护了内存中的剩余信息。定期检查系统使用临时文件夹，清除过期的临时文件。BS过对SSL协议的支持实现通信完整性和保密性方面的要求。信息，系统在处理前进行数据有效性检查。所有的异常警机制使用管理员及时地处理系统故障。提供灾难时的数据恢复功能。一定次数时自动锁定。并记录日志。方面：通过工具扫描、代码复审保证程序代码符合编码规范，查找可能存在的恶意代码。信息系统网络安全建设项目方案5系统部署管理提供更加完备的数据支持。6系统配置要求本系统的配置要求如下：等级保护工作数据存贮服务，配置要求为双应用服务器：用于部署本系统服务器程序，配置要求为双CPUXeon3.0G以上，信息系统网络安全建设项目方案内网安全管理系统概述LanSecS管理系统通过对计算机准入控制、计算机安全加固、计算机运产品功能进一步丰富。借助LanSecS®v发布，圣博润公司更加明确地宣告了其专注于内网安全管理题：‐·确保入网终端符合要求‐·全面监测终端健康状况‐·保证终端信息安全可控‐·动态监测内网安全态势‐·快速定位解决终端故障‐·规范企业员工网络行为统一内网用户身份管理‐·杜绝移动存储介质滥用‐·提高和实现软件正版化性化的终端管理能力是LanSecS®内网安全管理系统的特色之一，也是圣博润公司一直以来的努力方向。产品架构信息系统网络安全建设项目方案2.1终端监控引擎运行于终端计算机上，是终端计算机管理的核心和基础监windowsServer2012。软件。2总控中心注册管理服务、认证管理服务、策略管理服务、审计管理服务、补丁/软件分可部署在同一个硬件平台上。端计算机策略的配置和更新。库中。接入内网的终端计算机身份和健康状况进行认证。中的文件备份。文件备份服务支持用户身份认证。FTPHTTP两种方式。理。级部署环境下的分级管理。可向多个报警监控程序同时提供服务。管理控制台统管理入口。采用了B/S方式进行系统管理，通过管理控制台可以完成系统管理的全部操作。4系统数据库缓存，可以大大降低数据库的访问压力，提高数据的存储和访问能力。ICE互通讯。通过SSL信息系统网络安全建设项目方案统设计开发、安装部署和运行维护的灵活性、便利性和扩展性。产品功能终端运维管理可靠运行依赖于网络设备、服生不可估量的冲击。行与管理对整个内网安全有至系统监测。补丁管理、主机资产管理、主机防病毒管理、系统日志的可能性。存在的安全隐患及时采取有效措施，更好地保证内网的可靠性。具体功能如下：信息系统网络安全建设项目方案终端安全加固是终端主机安全运行的保障，系统的具体加固措施包括如下方面：信息系统网络安全建设项目方案终端安全审计部门和企业单位，均拥有自己的机密信息。这些机密信息，如果没有良好的信息泄露威胁有两种：被动信息泄露和主动信息泄露。泄露：由于人员缺乏信息保密意识，常常由于专业知识不熟悉或者工作疏补丁，导致病毒和木马的入侵，在不知不觉中泄露了机密信息。种情况是由于内部人员出于个人利益或者发泄不满情绪，有意识托，通过计算机查询有关案情，就可以向有关人员泄露案情。计算机操作人员被收买，息系统、数据库内的重要秘密。处理的信息的安全性保护相当重要。任何一个环节的疏漏均可导致信息的丢失。因此，软业的信息保密与信息防护提供了有力的技术手段和工具。.4网络准入控制全性。“动态监控”是指：当计算机通过验证并接入网络后，并非该计算机就可以在接入期和检测，一旦发现身份信息和安全状态有变，即刻对其重新隔离。特征标识三种身份信息的认证方式。安全状态确认等。通讯数据进行加密。信息系统网络安全建设项目方案移动存储管理USB最为广泛的数据交换手段。也正因为USB移动存和企业内网信息的安全性。介质注册管理是指将移动存储介质进行特殊处理后，在移动存储介质无法标控上使用。管理需求的不同，系统将移动存储介质的管理分为五种管理模式：未授权与禁用、只写四种工作模式。统自带U盘资源管理器，实现对注册移动存储介质的访问与文件操作，有效地保证了移动存储介质管理的安全性。产品性能终端引擎性能终端监控引擎设计时充分考虑了其可能对桌面计算机造成的性能影响，通过多次优提下，仍能保持极少的静态工作模式系统资源占用。CPU2总控性能LanSecS管理系总控中心采用了分层设计理念，系统架构设计时采用了均系镜目的。系统可以在一个总控中心单元管理2万台终端计算机。4.4.3自身安全性LanSecS做了充分的考虑和技术处理，使LanSecS系统的安全性得到了有效的保障。在自身安全性方面，主要考虑了如下几个安全问题：信息系统网络安全建设项目方案控中心安全性：系统通过采用最小服务原则、系统管理控制、代理访问认证等几个措施确保总控中心的安全运行。监控引擎安全性：系统通过采用监控进程隐藏技术、本地文件访问保护、多入术及监控引擎完整性校验技术等确保终端监控引擎的安全运行。‐·数据库安全性：系统通过采用数据库访问控制、数据加密与数据备份等措施确保数据库的安全运行。‐·策略安全性：系统通过策略订单生成控制、加密策略传递与存储、策略完整性校验等措施确保策略的安全性。‐·通讯安全性：系统通过采用加密传输、身份认证、本地安全存储等措施确保终端监控引擎与总控中心之间的通讯的安全运行。产品性能指标LanSecS®内网安全管理系统主要性能指标如下：‐·总控中心最大并发连接数：3000；‐·总控中心最大可管理注册主机数量：20000台；‐·总控中心网络带宽占用：100K/1000客户端；‐·终端监控引擎CPU占用(静态模式)：<1%；产品规范LanSecS®内网安全管理系统的设计参考了如下国家标准规范：‐·BMB17‐2006：《涉及国家秘密的信息系统分级保护技术要求》‐·BMB20‐2007：《涉及国家秘密的信息系统分级保护管理规范》‐·BMB22‐2007：《涉及国家秘密的计算机信息系统分级保护测评指南》‐·GB/T22239‐2008：《信息系统安全等级保护基本要求》‐·GBT22240‐2008：《信息系统安全等级保护定级指南》‐·GBT22241‐2008：《信息系统安全等级保护实施指南》产品部署6.1产品形态LanSecS管理系统提供网络版和单机版两种产品版本。网络版适用于对进行安全管理。用户可以根据自己的实际情况选择部署和使用两种版本中的任何一种。现内网策略的统一和报警事件的集中管理和响应。本地计算机实现。信息系统网络安全建设项目方案2部署方式LanSecS管理系统提供本地和分级两种产品部署方式。用户可以根据网络的实际环境选择合适的部署方式进行产品的部署实施。署本地部署是本系统最常见的部署方式。适用于计算机终端数量不多(例如，小于10000台)并希望对所有终端计算机进行集中管理的用户环境。在该部署方式下，所有到内网中所有计算机的活动状况。其部署示意图如下：署是指在按照地域或者部门的不同，在内网中安装多个总控中心，不同地域级关联关系。认后，可以对整个系统实行分级管理。上级可以对下级分发终端对下级的管理。分级部署方式的优点是，可以将实际的日常运维管理权限分散到不同的部门或区域，机信息系统网络安全建设项目方案5内控管理平台(堡垒主机)机概述IT模迅速扩大，设备数量激增，建设重点逐步从网络平台转向深化应用、提升效益为特征的运维阶段；IT系统运维与安全管理正逐渐走向融合。面对日趋复杂的IT系统，不同背景的运维人员已经网于手段应运而生。功能号管理设备帐号以及所有使用堡垒主机自然人的账号实工作量。同时，通过统一的管理还能够发现帐号中存在的安全隐患，并且制定统一的、标准的用户帐号安全策略。多级的用户管理和细粒度的用户授权。而且，还可以实现针对自然人的实名行为审计，真正满足审计的需要。信息系统网络安全建设项目方案主账号管理使用堡垒主机系统的用户与真实人员是唯一对应的，普通用户即为主账号。主账号建，主账号基本信息维护，主账号资源角色授权(主账号资源访问授权)，主账号的锁定，主账号删除等。除此之外，还可以通过角色划分功能，区分人员类别，比如一线、二线，岗位不同，中心员工或外包人员等。账号管理口令变更时间、周期、复杂程度等内容。极大的减轻了运维人员的工作压力。权管理LanSecS(堡垒主机)内控管理平台通过灵活的授权管理和细粒度的访问控制管理可以对用户对各种资源的访问进行控制和审计。活的授权管理LanSecS(堡垒主机)内控管理平台提供统一的界面，对用户、角色与行为、资源进行关联授权，以达到对权限的细粒度分配，最大限度保护IT资源的安全。在集中授权里强调的“集中”是逻辑上的集中，而不是物理上的集中。即在各网络设备、而不需要进入每一个被管理对象才能授权。信息系统网络安全建设项目方案粒度的访问控制管理LanSecS(堡垒主机)内控管理平台能够提供细粒度的访问控制管理。细粒度的维命实现内部访问的安全运作。高系统的安全性。认证管理LanSecS(堡垒主机)内控管理平台为用户提供统一的认证接口。采用统一的认证性和可靠性。LanSecS(堡垒主机)内控管理平台自身是经过加固的可防御进攻的安全设备，支方式，并且传输过程加密。录LanSecS(堡垒主机)内控管理平台提供了基于B/S的单点登录，在整个IT系统中系统采用强认证，从而提高了用户认证环节的安全性。LanSecS(堡垒主机)内控管理平台基于人性化设计，不改变用户原有运维习惯，支持原有运维工具。信息系统网络安全建设项目方案审计管理与阻断LanSecS(堡垒主机)内控管理平台能够实现对运维人员在线操作的实时监控功能，的操作，审计员有权限实现对当前会话的实时阻断。LanSecS(堡垒主机)内控管理平台提供详尽的操作审计功能，主要审计操作人员的帐号使用(登录、资源访问)情况、资源使用情况等。在各服务器主机、网络设备的用过程进行追踪审计。由于堡垒主机采用单点登录(SSO)方式，自然人与堡垒账号实追查到设备账号层面的问题，方便了安全事故的定责工作。LanSecS(堡垒主机)内控管理平台提供命令审计、内容审计和录像审计。对不同设备、不同访问方式都有详尽的操作审计，真实、直观的重现操作人员的操作过程。LanSecS(堡垒主机)内控管理平台通过系统自身的用户认证系统、用户授权系统，三方。LanSecS(堡垒主机)内控管理平台提供完备的审计报表。堡垒主机管理员可以按表数量、格式及内容，以满足审计的要求。LanSecS(堡垒主机)内控管理平台提供完备的内部审计记录，可完整记录堡垒主机管理员的管理行为，如主/从账号管理、策略修改、登入、登出等内容。特点完善的加密措施LanSecS(堡垒主机)内控管理平台对访问会话代理全程提供通信加密防护。堡垒主机业务数据及审计录像文件均密文本地。登陆一次性会话号机制防重放LanSecS(堡垒主机)内控管理平台运维登陆到目标服务器时，采用一次性会话号机制。该机制会话号只能使用一次，防止不法人员通过重放攻击方式访问堡垒主机。.3.3口令信封LanSecS(堡垒主机)内控管理平台提供口令信封打印功能，用户可定期通过口令信封对主/从账号信息打印纸质存档。.3.4内置证书发放中心，不依赖第三方CA实现证书认证LanSecS(堡垒主机)内控管理平台内置证书发放系统，支持软/硬证书的发放，可和静态口令组成双因素认证方式，满足相关政策要求，节约企业成本。5.3.5流程审批LanSecS(堡垒主机)内控管理平台支持以双人共管的方式对资源进行保护。即其中一人想要对资源进行访问的时候，需要另外一人批准通过后方能进行访问。信息系统网络安全建设项目方案LanSecS(堡垒主机)内控管理平台可以通过主副岗的方式对资源进行保护。即想要对资源进行访问的时候，均需主岗进行审批，批准后方能进行访问。LanSecS(堡垒主机)内控管理平台支持通过命令审批的方式对资源进行保护。即当在控制名单内的命令被请求执行时，需要进行多层次审批，只有所有审批均通过后，该命令才可以被执行，否则命令请求将被阻断。高可用性LanSecS(堡垒主机)内控管理平台提供主/备模式双机热备部署，主备机切换时长小于3秒。收益现对用户帐号的统一管理和维护在实现集中帐号管理前，每一个新上线应用系统均需要建立一套新的用户帐号管理号管理，可实现对IT系统所需的帐号基础信息(包括用户身份信息、机构部门信息、其他公司相关信息，以及生命周期信息等)进行标准化的管理，能够为各IT系统提供和同步更新。决用户帐号共享问题络设备中存在大量的共享帐号，当发生安全事故时，难于确定帐号的实际使用者，通过部署LanSecS(堡垒主机)内控管理平台系统，可以解决共享帐号问题。决帐号锁定问题，应对帐号进行锁定。网络设备、主机、应用系统等大都不支持帐号锁定功能。通过部署LanSecS(堡垒主机)内控管理平台系统，可以实现用户帐号锁定、一键删除等功能。集中身份认证和访问控制，避免冒名访问，提高访问安全性IT统一化，并实现高强度的认证方式，使整个IT系统的登录和认证行为可控制及可管理，从而提升业务连续性和系统安全性。库的访问都是基于“用户名+静态密码”访问，密尝试的次数也没有限制，这些都不能满足SOX法案内控管理用户在密码更换、密码设定等方面满足SOX相关要求，无法在具体执行过程中对用户进行有效监督和检查。LanSecS(堡垒主机)内控管理平台系密码自动变更，提高系统认证的安全性。员接入IT系统进行维护操作具有接入方式多样、接入点控制和行为审计的手段，存在极大的安全隐患。LanSecS(堡垒主机)内控管理平台系作问题，降低相关IT系统的安全风险。现集中授权管理，简化授权流程，减轻管理压力信息系统网络安全建设项目方案的安全性也无法得到充分保证。LanSecS(堡垒主机)内控管理平台系统实现统一的授权管理，对所有被管应用系统的授权信息进行标准化的管理，减轻管理员的管理工作，提升系统安全性。通过LanSecS(堡垒主机)内控管理平台系统，管理层可容易地对用户权限进行审有相应的工作流审批。现单点登录，规范操作过程，简化操作流程单点登录LanSecS(堡垒主机)内控管理平台提供了基于B/S的单点登录系统，用户通过一次登录系统后，就可以无需认证的访问包括被授权的多种基于B/S和C/S的应用系统。户ID和口令。它通过向用户和客户提供对其个性化资源的快捷访问来提高生产效率。为和资源的授权，增加对资源的保护，和对用户行为的监控及审计。规范操作流程规范操作人员和第三方代维厂商的操作行为。通过LanSecS(堡垒主机)内控管理cS机)内控管理平台系统来实施网络管理和服务器维护。对所有操作行为做到可控制、范性。LanSecS(堡垒主机)内控管理平台系统规范了运维操作的工作流程，将管理员从不再需要专门陪同，从而有效提高了运维管理效率。现实名运维审计，满足安全规范要求实现集中的日志审计功能统相互独立的日志审计，无法进行综合日志分析，很难通过日志审计发现异常或违规行为。LanSecS(堡垒主机)内控管理平台系统提供集中的日志审计，能关和追踪提供依据。2辅助审查通过集中的日志审计，可以收集用户访问网络设备、主机、数据库的操作日志记录，关联到自然人的日志审计。信息系统网络安全建设项目方案部署LanSecS(堡垒主机)内控管理平台采用典型的旁路部署，不改变网络拓扑，部署置防火墙端口控制策略或交换机ACL访问策略，防止用户绕过堡垒主机直接访问目标设备。LanSecS(堡垒主机)内控管理平台典型部署示意图：平台险分析应用相当复杂，掌握起来非常困难。许多数据