1、LanSecs內(nèi)網(wǎng)管理系統(tǒng)目 錄1.計(jì)算機(jī)終端安全管理需求分析11.1.網(wǎng)絡(luò)管理21.1.1.物理網(wǎng)絡(luò)拓?fù)鋱D21.1.2.流量控制21.1.3.IP地址管理31.1.4.故障定位31.2.終端安全防護(hù)31.2.1.補(bǔ)丁安裝防護(hù)31.2.2.防病毒防護(hù)41.2.3.進(jìn)程防護(hù)41.2.4.網(wǎng)頁(yè)過(guò)濾41.2.5.非法外聯(lián)防護(hù)51.3.終端涉密信息防護(hù)51.3.1.終端登錄安全認(rèn)證61.3.2.I/O接口管理61.3.3.桌面文件安全管理61.3.4.文件安全共享管理71.3.5.網(wǎng)絡(luò)外聯(lián)控制71.4.移動(dòng)存儲(chǔ)介質(zhì)的管理71.5.網(wǎng)絡(luò)接入控制81.6.計(jì)算機(jī)終端管理與維護(hù)91.7.分級(jí)分權(quán)管理92.計(jì)

2、算機(jī)終端安全防護(hù)解決方案102.1.方案目標(biāo)102.2.遵循標(biāo)準(zhǔn)112.3.方案內(nèi)容122.3.1.網(wǎng)絡(luò)管理122.3.1.1.物理網(wǎng)絡(luò)拓?fù)鋱D132.3.1.2.流量控制132.3.1.3.IP地址綁定132.3.1.4.故障定位142.3.2.終端安全控制142.3.2.1.補(bǔ)丁管理142.3.2.2.防病毒控制142.3.2.3.進(jìn)程監(jiān)控152.3.2.4.網(wǎng)頁(yè)過(guò)濾控制152.3.2.5.非法外聯(lián)控制152.3.3.終端安全審計(jì)152.3.4.移動(dòng)存儲(chǔ)介質(zhì)管理162.3.4.1.注冊(cè)授權(quán)182.3.4.2.訪問(wèn)控制182.3.4.3.數(shù)據(jù)保護(hù)192.3.4.4.自我保護(hù)192.3.4.5.

3、操作記錄192.3.5.計(jì)算機(jī)終端接入控制202.3.5.1.非法主機(jī)的定義202.3.5.2.非法接入控制策略202.3.5.3.非法接入阻斷技術(shù)實(shí)現(xiàn)原理212.3.6.計(jì)算機(jī)終端管理與維護(hù)222.3.6.1.主機(jī)信息收集222.3.6.2.網(wǎng)絡(luò)參數(shù)配置232.3.6.3.遠(yuǎn)程協(xié)助232.3.6.4.預(yù)警平臺(tái)233.系統(tǒng)設(shè)計(jì)323.1.LanSecS系統(tǒng)安全性設(shè)計(jì)323.1.1.控制中心安全性323.1.2.主機(jī)代理安全性323.1.3.數(shù)據(jù)庫(kù)安全性323.1.4.策略分發(fā)與存儲(chǔ)安全性343.1.5.主機(jī)代理與控制中心通訊安全性344.系統(tǒng)特色與系統(tǒng)部署364.1.LanSecS系統(tǒng)特色36

4、4.2.LanSecS典型部署384.2.1.簡(jiǎn)單內(nèi)網(wǎng)環(huán)境384.2.2.本地多內(nèi)網(wǎng)環(huán)境384.2.3.分級(jí)部署環(huán)境395.產(chǎn)品配置要求391. 計(jì)算機(jī)終端安全管理需求分析隨著科技的發(fā)展，計(jì)算機(jī)和網(wǎng)絡(luò)作為現(xiàn)代企業(yè)重要的工具，在日常辦公過(guò)程中發(fā)揮著越來(lái)越重要的角色。計(jì)算機(jī)和計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)成為企業(yè)、政府和其它各種組織的重要信息載體和傳輸渠道。很明顯，計(jì)算機(jī)、計(jì)算機(jī)網(wǎng)絡(luò)和其所帶來(lái)的信息數(shù)字化大幅度提供了工作效率，也使得海量的信息存儲(chǔ)和處理成為了現(xiàn)實(shí)。但是，在享受到計(jì)算機(jī)以及計(jì)算機(jī)網(wǎng)絡(luò)所帶來(lái)的方便性的同時(shí)，也出現(xiàn)了目前受到廣泛關(guān)注的對(duì)內(nèi)網(wǎng)設(shè)備如何進(jìn)行有效管理的問(wèn)題，以及由此帶來(lái)的網(wǎng)絡(luò)信息安全問(wèn)題。目前

5、隨著制造業(yè)單位規(guī)模不斷增大，IT硬件成本降低、更新?lián)Q代速度比較快，單位為了提高工作效率，不斷的增加新的設(shè)備；因此機(jī)器數(shù)量和網(wǎng)絡(luò)規(guī)模也隨之增多、增大。員工辦公感覺(jué)是越來(lái)越方便了，但是給網(wǎng)絡(luò)管理員帶來(lái)的內(nèi)網(wǎng)管理問(wèn)題卻越來(lái)越重了。首先是網(wǎng)絡(luò)的管理，IP混亂、網(wǎng)絡(luò)擁塞、出現(xiàn)故障無(wú)法及時(shí)定位進(jìn)行解決；其次是資產(chǎn)的管理，越來(lái)越多的設(shè)備使資產(chǎn)管理處于混亂，管理員疲于資產(chǎn)的統(tǒng)計(jì)。在內(nèi)網(wǎng)信息安全管理方面，尤其是設(shè)備自身的健壯性，如何保證設(shè)備硬件所承載的系統(tǒng)能夠正常運(yùn)行；另一方面對(duì)于單位內(nèi)部的設(shè)計(jì)部門(mén)，由于數(shù)字信息本身具有易于復(fù)制的特性，利用這個(gè)特性，信息更易于受到難以控制和追溯的盜取威脅，網(wǎng)絡(luò)使信息更容易受到破

6、壞、更改和盜取。很明顯，能否最大限度確保企業(yè)內(nèi)部數(shù)字信息的安全性已經(jīng)關(guān)系到了計(jì)算機(jī)和計(jì)算機(jī)網(wǎng)絡(luò)能否真正成為有實(shí)質(zhì)意義大規(guī)模應(yīng)用的關(guān)鍵因素。如何提高安全性保證機(jī)器的正常辦公、如何將非法入侵者拒之門(mén)外、如何防止內(nèi)部信息外泄，如何更好的保證網(wǎng)絡(luò)快速高效運(yùn)行，這些都是制造業(yè)目前在進(jìn)行網(wǎng)絡(luò)化過(guò)程中必須解決的問(wèn)題。目前各行業(yè)內(nèi)部網(wǎng)絡(luò)所采取的安全措施基本上是采用防火墻、入侵檢測(cè)等安全產(chǎn)品放置于內(nèi)部網(wǎng)絡(luò)和外網(wǎng)連接處保證網(wǎng)絡(luò)層的安全，并采用操作系統(tǒng)或應(yīng)用系統(tǒng)所帶的身份驗(yàn)證機(jī)制，或通過(guò)安裝物理隔離卡將內(nèi)部局域網(wǎng)劃分成內(nèi)網(wǎng)與外網(wǎng)兩個(gè)組成部分。內(nèi)部網(wǎng)絡(luò)上大多數(shù)的應(yīng)用對(duì)制造業(yè)單位是至關(guān)重要的，甚至是嚴(yán)格保密的。一旦出現(xiàn)

7、病毒傳播、破壞的事件，將產(chǎn)生嚴(yán)重后果。這些都使得內(nèi)網(wǎng)安全問(wèn)題變得越來(lái)越重要和突出。而內(nèi)網(wǎng)安全存在許多問(wèn)題，為了防范各種各樣的安全風(fēng)險(xiǎn)，必須在內(nèi)網(wǎng)建立可靠的網(wǎng)絡(luò)管理、安全監(jiān)控和審計(jì)控制，以保證內(nèi)部系統(tǒng)的順利運(yùn)行。為了確保制造業(yè)單位內(nèi)部的IT系統(tǒng)的平穩(wěn)運(yùn)行，一個(gè)健壯的內(nèi)網(wǎng)安全管理體系是十分重要的。作為制造業(yè)的計(jì)算機(jī)終端安全管理方案而言，需要解決如下問(wèn)題：1.1. 網(wǎng)絡(luò)管理在制造業(yè)的網(wǎng)絡(luò)環(huán)境中，由于單位規(guī)模、單位辦公的需要，存在很多的工作區(qū)域，甚至在外地也有自己的辦事處和生產(chǎn)車(chē)間，為了便于企業(yè)內(nèi)部的信息共享，一般采用專線或其他網(wǎng)絡(luò)互聯(lián)技術(shù)，使之與內(nèi)部網(wǎng)絡(luò)連接，便于單位內(nèi)部的數(shù)據(jù)管理和辦公管理。但是大

8、規(guī)模的網(wǎng)絡(luò)環(huán)境、復(fù)雜的分支機(jī)構(gòu)，給網(wǎng)絡(luò)管理帶來(lái)了極大的困難，設(shè)備的分布不明確；流量管理沒(méi)有依據(jù)；對(duì)于靜態(tài)IP地址環(huán)境地址混亂、沖突也是很棘手的問(wèn)題。針對(duì)網(wǎng)絡(luò)管理方面主要包括一下幾個(gè)方面：1.1.1. 物理網(wǎng)絡(luò)拓?fù)鋱D 單位的內(nèi)部網(wǎng)絡(luò)是由網(wǎng)絡(luò)設(shè)備共同作用，協(xié)同工作建立起來(lái)的，主要設(shè)備有：路由器、交換機(jī)、HUB，而在局域網(wǎng)中對(duì)數(shù)據(jù)交互起核心作用的是交換機(jī)。目前的網(wǎng)管軟件可以對(duì)邏輯拓?fù)鋱D進(jìn)行繪制，對(duì)交換機(jī)的面板信息進(jìn)行提取和控制，但是無(wú)法看到終端設(shè)備和交換機(jī)端口的物理連接關(guān)系，無(wú)法從拓?fù)鋱D上看到下連設(shè)備的信息。如何建立起交換機(jī)端口和設(shè)備的連接關(guān)系是至關(guān)重要的，因?yàn)槎丝诘牧髁啃畔⑵鋵?shí)就是設(shè)備的流量信息；

9、想要掌控設(shè)備，只要對(duì)交換機(jī)端口進(jìn)行控制就可以了。因此物理拓?fù)鋱D顯示設(shè)備與端口的物理連接關(guān)系會(huì)給管理帶來(lái)極大的方便。1.1.2. 流量控制 借助物理網(wǎng)絡(luò)拓?fù)鋱D上設(shè)備的物理連接關(guān)系，通過(guò)可網(wǎng)管交換機(jī)端口的流量控制，能夠?qū)粨Q機(jī)下連的設(shè)備進(jìn)行端口控制，關(guān)閉端口或是打開(kāi)端口。但是內(nèi)部網(wǎng)絡(luò)環(huán)境中不可能所有的交換機(jī)全部都是可網(wǎng)管的，而且管理員不可能天天進(jìn)行端口的打開(kāi)、閉合操作，除非是出現(xiàn)異常的網(wǎng)絡(luò)攻擊和擁塞時(shí)，才會(huì)采取如此非常手段。因此對(duì)于日常的控制來(lái)說(shuō)，最有效的方法是通過(guò)控制每個(gè)終端設(shè)備的網(wǎng)卡流量，如果能將設(shè)備的流量控制在一定的范圍內(nèi)，既保證了設(shè)備的正常工作使用，又可以防范在非法使用P2P下載軟件搶占帶

10、寬和病毒爆發(fā)時(shí)給網(wǎng)絡(luò)速度帶來(lái)的擁塞，這對(duì)于管理來(lái)說(shuō)才是實(shí)用的管理手段。1.1.3. IP地址管理為了便于管理，出現(xiàn)問(wèn)題能夠及時(shí)追查，網(wǎng)絡(luò)建設(shè)時(shí)管理員通常使用靜態(tài)IP地址，這對(duì)于管理來(lái)說(shuō)確實(shí)是一個(gè)有效可行的措施。但是由于員工的計(jì)算機(jī)操作水平不同，很可能造成隨意修改IP地址帶來(lái)的內(nèi)網(wǎng)地址沖突，這給內(nèi)網(wǎng)管理帶來(lái)很繁瑣的問(wèn)題。雖然通過(guò)在核心或二層交換機(jī)上，可以通過(guò)命令來(lái)綁定IP/MAC地址從而消除上述問(wèn)題，但是工作量龐大，因此徹底屏蔽IP地址沖突的問(wèn)題是網(wǎng)絡(luò)管理必須要做的。1.1.4. 故障定位很多制造業(yè)內(nèi)部網(wǎng)絡(luò)龐大，分支繁多，一旦終端機(jī)器或網(wǎng)絡(luò)鏈路出現(xiàn)問(wèn)題，很難迅速定義問(wèn)題點(diǎn)，如果從鏈路著手解決問(wèn)題

11、，除非管理員此前做了詳盡的網(wǎng)絡(luò)鏈路備份信息表（每次增加機(jī)器都需要逐臺(tái)進(jìn)行記錄），否則從眾多網(wǎng)絡(luò)排線中找出問(wèn)題鏈路將是一件十分費(fèi)時(shí)、費(fèi)力的事情。1.2. 終端安全防護(hù)單位內(nèi)網(wǎng)進(jìn)行辦公所運(yùn)行的各種服務(wù)都是應(yīng)用在終端設(shè)備的基礎(chǔ)上，一旦終端設(shè)備的安全性出現(xiàn)問(wèn)題，那么所有其承載的服務(wù)將無(wú)法運(yùn)行，嚴(yán)重影響單位的工作效率，給單位的生產(chǎn)造成損失。因此必須保證機(jī)器的健壯性，為了保證機(jī)器的正常運(yùn)行包括以下幾個(gè)方面：1.2.1. 補(bǔ)丁安裝防護(hù)目前在制造業(yè)的單位中，承載各種應(yīng)用的操作系統(tǒng)90%以上的端終用戶使用的都是windows2000,XP或以上的操作系統(tǒng)，但是這幾種操作系統(tǒng)的安全漏洞非常多，很容易收到攻擊。微軟

12、公司會(huì)通過(guò)定期發(fā)布安全補(bǔ)丁的方式來(lái)彌補(bǔ)這些漏洞，但由于某些員工用戶缺乏相關(guān)知識(shí)，或者處于研發(fā)部門(mén)的設(shè)計(jì)網(wǎng)是和單位局域網(wǎng)物理隔離的網(wǎng)絡(luò)，從而導(dǎo)致補(bǔ)丁安裝的不完全，不及時(shí)，這就會(huì)嚴(yán)重影響終端計(jì)算機(jī)的安全，一旦發(fā)生針對(duì)微軟操作系統(tǒng)漏洞的攻擊，就會(huì)導(dǎo)致整個(gè)網(wǎng)絡(luò)受到威脅。1.2.2. 防病毒防護(hù)員工由于防范病毒意識(shí)較淡薄，沒(méi)有安裝防病毒軟件；或者由于個(gè)人對(duì)防病毒品牌的傾向性，從而發(fā)生沒(méi)有安裝防病毒軟件，甚至意外卸載，或防病毒軟件沒(méi)有運(yùn)行，這樣不僅使單臺(tái)PC機(jī)受到病毒侵害，而且一旦感染病毒，可能回向內(nèi)網(wǎng)的其他機(jī)器傳播，導(dǎo)致整個(gè)內(nèi)網(wǎng)病毒泛濫，甚至網(wǎng)絡(luò)擁塞。因此一定要保證防病毒軟件的安裝、正常運(yùn)行、及時(shí)升級(jí)。

13、1.2.3. 進(jìn)程防護(hù)由于當(dāng)前大量病毒以及惡意程序的存在，而這些程序?qū)τ谄胀ㄓ脩舳圆⒉恢椋踔劣行阂獬绦蛲ㄟ^(guò)技術(shù)手段使得用戶無(wú)法通過(guò)任務(wù)管理器看到其工作進(jìn)程；另一方面，有些用戶可能有意或無(wú)意地運(yùn)行一些可能會(huì)影響他人或自己工作的軟件(如網(wǎng)絡(luò)嗅探器)。單位的機(jī)器目的是提高員工的生產(chǎn)效率，充分利用上班時(shí)間為單位創(chuàng)造更多效益，但是某些娛樂(lè)性軟件嚴(yán)重影響了員工的工作效率，某些下載軟件造成網(wǎng)絡(luò)速度減慢，影響了內(nèi)網(wǎng)的正常辦公。因此通過(guò)制定策略，實(shí)現(xiàn)對(duì)非法進(jìn)程的監(jiān)控并阻止，能夠大大減少由內(nèi)部引起的網(wǎng)絡(luò)安全事件，提高我們的工作效率。1.2.4. 網(wǎng)頁(yè)過(guò)濾某些員工訪問(wèn)Internet時(shí)，由于安全防范意識(shí)不夠

14、，登陸惡意網(wǎng)站，造成機(jī)器受到攻擊，從而產(chǎn)生病毒感染、機(jī)器不能正常使用，注冊(cè)表被修改、瀏覽器無(wú)法正常的訪問(wèn)網(wǎng)絡(luò)；嚴(yán)重的甚至?xí)踩肽抉R，造成機(jī)器重要數(shù)據(jù)的網(wǎng)絡(luò)泄密。因此必須對(duì)內(nèi)網(wǎng)機(jī)器的網(wǎng)絡(luò)訪問(wèn)進(jìn)行必要的過(guò)濾。1.2.5. 非法外聯(lián)防護(hù) 單位內(nèi)部的局域網(wǎng)會(huì)在網(wǎng)絡(luò)的出口上，增加相關(guān)的安全硬件防護(hù)設(shè)備，例如：防火墻、IDS、IPS、防病毒網(wǎng)關(guān)等設(shè)備來(lái)加強(qiáng)邊界的防護(hù)，保證內(nèi)網(wǎng)的安裝。但是員工由于好奇，或者厭煩上網(wǎng)出口的種種限制，通過(guò)Modem或ADSL撥號(hào)方式訪問(wèn)Internet，極易受到外部網(wǎng)絡(luò)的攻擊；當(dāng)該機(jī)器一旦受到攻擊，回到內(nèi)網(wǎng)后很容易將相關(guān)病毒、木馬向內(nèi)網(wǎng)傳播。1.3. 終端涉密信息防護(hù)在現(xiàn)代生活

15、中，信息就是財(cái)富。無(wú)論是國(guó)家、政府、企業(yè)和個(gè)人都不希望機(jī)密信息被別人竊取，造成各種經(jīng)濟(jì)和社會(huì)損失。對(duì)制造業(yè)單位的設(shè)計(jì)、研發(fā)部門(mén)來(lái)說(shuō)，機(jī)密信息的存儲(chǔ)、使用和傳遞過(guò)程中，會(huì)面臨各種各樣的泄漏風(fēng)險(xiǎn)。信息外泄的途徑包括：l 本地打印機(jī)、網(wǎng)絡(luò)打印機(jī)的非法輸出涉密文件；l 終端計(jì)算機(jī)非法撥號(hào)、非法外聯(lián)訪問(wèn)； l 離線存儲(chǔ)設(shè)備存儲(chǔ)涉密文件遺失；l 內(nèi)部員工使用涉密計(jì)算機(jī)連接外部網(wǎng)絡(luò)致使泄密；l 工作人員由于對(duì)計(jì)算機(jī)專業(yè)知識(shí)的不熟悉而泄密。從泄密行為的區(qū)別上，分為兩種泄密：被動(dòng)泄密和主動(dòng)泄密。被動(dòng)泄密：由于員工的電子信息保密的意識(shí)還不強(qiáng)，常常由于專業(yè)知識(shí)不熟悉或者工作疏忽而造成泄密。如有些人由于不知道計(jì)算機(jī)的

16、電磁波輻射會(huì)泄露秘密信息，計(jì)算機(jī)工作時(shí)未采取任何措施，因而給他人提供竊密的機(jī)會(huì)；有些人由于不知道計(jì)算機(jī)軟盤(pán)上的剩磁可以提取還原，將曾經(jīng)存貯過(guò)秘密信息的軟盤(pán)交流出去，因而造成泄密；有些人因事離機(jī)時(shí)沒(méi)有及時(shí)關(guān)機(jī)，或者采取屏幕保護(hù)加密措施，使各種輸入、輸出信息暴露在界面上；有些人對(duì)自己使用的計(jì)算機(jī)終端缺乏防護(hù)意識(shí)，如沒(méi)有及時(shí)升級(jí)病毒庫(kù)和更新系統(tǒng)補(bǔ)丁，導(dǎo)致病毒和木馬的入侵，在不知不覺(jué)中泄露了機(jī)密信息。主動(dòng)泄密：這種情況是由于內(nèi)部員工出于個(gè)人利益或者發(fā)泄不滿情緒，有意識(shí)的收集和竊取機(jī)密信息。由于電子信息文檔不像傳統(tǒng)文檔那樣直觀，極易被復(fù)制，且不會(huì)留下痕跡，所以竊取秘密也非常容易。電子計(jì)算機(jī)操作人員徇私枉

17、法，受親友或朋友委托，通過(guò)計(jì)算機(jī)查詢有關(guān)案情，就可以向有關(guān)人員泄露案情。計(jì)算機(jī)操作人員被收買(mǎi)，泄露計(jì)算機(jī)系統(tǒng)軟件保密措施，口令或密鑰，就會(huì)使不法分子打入計(jì)算機(jī)網(wǎng)絡(luò)，竊取信息系統(tǒng)、數(shù)據(jù)庫(kù)內(nèi)的重要秘密。對(duì)于制造業(yè)單位來(lái)說(shuō)，涉密終端計(jì)算機(jī)作為涉密信息處理的工具，在其上存儲(chǔ)、傳輸和處理的涉密信息的安全性保護(hù)相當(dāng)重要。任何一個(gè)環(huán)節(jié)的疏漏均可導(dǎo)致涉密信息的丟失。因此，必須加強(qiáng)對(duì)涉密信息的防護(hù)。當(dāng)前，對(duì)涉密信息的防護(hù)需求主要包括如下幾個(gè)方面：1.3.1. 終端登錄安全認(rèn)證終端用戶當(dāng)前通過(guò)用戶名/口令方式進(jìn)行計(jì)算機(jī)本地/域登錄，然而用戶名/口令方式雖然簡(jiǎn)單，但是存在很大的安全隱患：l 密碼管理復(fù)雜l 密碼容易

18、泄漏l 存在暴力破解的可能性l 無(wú)法阻止他人惡意非法盜用因此，作為終端安全管理的第一步，首先需要解決終端登錄安全認(rèn)證的問(wèn)題。1.3.2. I/O接口管理隨著計(jì)算機(jī)外設(shè)的增多，各種各樣的輸出設(shè)備（軟驅(qū)、刻錄機(jī)、打印機(jī)、繪圖儀、移動(dòng)存儲(chǔ)設(shè)備、紅外、藍(lán)牙、無(wú)線網(wǎng)絡(luò)設(shè)備）為信息處理和傳輸提供極大便利的同時(shí)，也為機(jī)密信息的擴(kuò)散和泄露帶來(lái)了可能。尤其是USB接口的計(jì)算機(jī)周邊設(shè)備的豐富，使得計(jì)算機(jī)與其他外部設(shè)備，如U盤(pán)，USB打印機(jī)等連接十分方便，并能輕而易舉地通過(guò)USB設(shè)備將外部數(shù)據(jù)導(dǎo)入或者內(nèi)部數(shù)據(jù)導(dǎo)出，為重要數(shù)據(jù)的保護(hù)帶來(lái)了巨大的安全隱患。1.3.3. 桌面文件安全管理作為數(shù)據(jù)最終處理的計(jì)算機(jī)終端，存儲(chǔ)

19、著大量的業(yè)務(wù)數(shù)據(jù)。由于Windows操作系統(tǒng)默認(rèn)將數(shù)據(jù)以明文方式存儲(chǔ)于磁盤(pán)上，因此一旦其他未被授權(quán)用戶能夠進(jìn)入操作系統(tǒng)，都能非常方便地實(shí)現(xiàn)對(duì)磁盤(pán)數(shù)據(jù)的訪問(wèn)和閱讀。因此，如何確保數(shù)據(jù)信息在計(jì)算機(jī)終端的安全，也是計(jì)算機(jī)終端安全管理必須考慮的問(wèn)題。1.3.4. 文件安全共享管理由于計(jì)算機(jī)終端大多使用Windows操作系統(tǒng)，而該操作系統(tǒng)安裝后即開(kāi)放了部分共享目錄，同時(shí)由于許多用戶并未采用安全的訪問(wèn)密碼，造成其他用戶能夠較為方便地通過(guò)遠(yuǎn)程網(wǎng)絡(luò)實(shí)現(xiàn)對(duì)他人網(wǎng)絡(luò)共享數(shù)據(jù)的訪問(wèn)。因此嚴(yán)格控制終端的文件共享，尤其是涉密終端的文件共享，也是桌面系統(tǒng)安全管理的重要內(nèi)容。同時(shí)，作為常見(jiàn)的文件共享，應(yīng)能提供安全的用戶身份

20、認(rèn)證機(jī)制、完善的共享授權(quán)以及詳細(xì)的訪問(wèn)日志信息。1.3.5. 網(wǎng)絡(luò)外聯(lián)控制涉密內(nèi)網(wǎng)雖然不與互聯(lián)網(wǎng)直接連接，但是內(nèi)部人員可能會(huì)出于各種原因通過(guò)Modem撥號(hào)、ADSL上網(wǎng)、無(wú)線上網(wǎng)等技術(shù)手段將個(gè)人終端計(jì)算機(jī)接入互聯(lián)網(wǎng)。這種行為帶來(lái)的危害不僅包括內(nèi)部員工通過(guò)主動(dòng)的郵件發(fā)送、即時(shí)通訊等手段將機(jī)密信息發(fā)送到內(nèi)網(wǎng)之外，也為內(nèi)網(wǎng)增加了來(lái)自互聯(lián)網(wǎng)上的攻擊和破壞的風(fēng)險(xiǎn)，從而導(dǎo)致由互聯(lián)網(wǎng)入侵或者木馬程序等方式造成內(nèi)網(wǎng)機(jī)密信息的被動(dòng)泄密。因此對(duì)終端計(jì)算機(jī)的網(wǎng)絡(luò)外聯(lián)控制是防泄密管理的重要內(nèi)容之一。1.4. 移動(dòng)存儲(chǔ)介質(zhì)的管理移動(dòng)存儲(chǔ)介質(zhì)已經(jīng)得到普及應(yīng)用，移動(dòng)存儲(chǔ)介質(zhì)使用靈活、方便，使它在各個(gè)單位的信息化過(guò)程中迅速得

21、到普及，越來(lái)越多的敏感信息、秘密數(shù)據(jù)和檔案資料被存貯在移動(dòng)存儲(chǔ)介質(zhì)里，大量的秘密文件和資料變?yōu)榇判越橘|(zhì)、光學(xué)介質(zhì)，存貯在無(wú)保護(hù)的移動(dòng)存儲(chǔ)介質(zhì)中，這給企業(yè)涉及設(shè)計(jì)、研發(fā)信息資源帶來(lái)相當(dāng)大的安全隱患。存儲(chǔ)介質(zhì)作為企業(yè)核心商業(yè)機(jī)密和敏感信息的載體，實(shí)現(xiàn)對(duì)它們安全、有效的管理是保證企業(yè)信息安全的重要手段。 移動(dòng)存儲(chǔ)介質(zhì)使用過(guò)程中常見(jiàn)的風(fēng)險(xiǎn)包括：1) 非法拷貝敏感信息和涉密信息到磁盤(pán)、U盤(pán)或其他移動(dòng)存儲(chǔ)介質(zhì)中；2) 企業(yè)外部移動(dòng)存儲(chǔ)介質(zhì)未經(jīng)授權(quán)在內(nèi)部使用；3) 企業(yè)內(nèi)部移動(dòng)存儲(chǔ)介質(zhì)及信息資源被帶出，在外部非授權(quán)使用；4) 使用過(guò)程的疏忽；5) 存貯在媒體中的秘密信息在聯(lián)網(wǎng)交換時(shí)被泄露或被竊取，存貯在媒體

22、中的秘密信息在進(jìn)行人工交換時(shí)泄密；6) 處理廢舊移動(dòng)存儲(chǔ)介質(zhì)時(shí)，由于磁盤(pán)經(jīng)消磁十余次后，仍有辦法恢復(fù)原來(lái)記錄的信息，存有秘密信息的磁盤(pán)很可能被利用磁盤(pán)剩磁提取原記錄的信息這很容易發(fā)生在對(duì)磁盤(pán)的報(bào)廢時(shí)，或存貯過(guò)秘密信息的磁盤(pán)，用戶認(rèn)為已經(jīng)清除了信息，而給其他人使用；7) 移動(dòng)存儲(chǔ)介質(zhì)發(fā)生故障時(shí)，存有秘密信息的介質(zhì)不經(jīng)處理或無(wú)人監(jiān)督就帶出修理，或修理時(shí)沒(méi)有懂技術(shù)的人員在場(chǎng)監(jiān)督，而造成泄密；8) 移動(dòng)存儲(chǔ)介質(zhì)管理不規(guī)范，秘密信息和非秘密信息放在同一媒體上，明密不分，媒體介質(zhì)不標(biāo)密級(jí)，不按有關(guān)規(guī)定管理秘密信息的媒體，容易造成泄密；9) 移動(dòng)存儲(chǔ)設(shè)備在更新?lián)Q代時(shí)沒(méi)有進(jìn)行技術(shù)處理； 10) 媒體失竊，存有

23、秘密信息的磁盤(pán)等媒體被盜，就會(huì)造成大量的國(guó)家或企業(yè)秘密信息外泄，其危害程度將是難以估量的，丟失造成后果非常嚴(yán)重。綜上所述，移動(dòng)存儲(chǔ)介質(zhì)的管理對(duì)制造業(yè)來(lái)說(shuō)，是一個(gè)必須關(guān)注的問(wèn)題。1.5. 網(wǎng)絡(luò)接入控制若不對(duì)接入網(wǎng)絡(luò)的計(jì)算機(jī)設(shè)備進(jìn)行認(rèn)證，則每一臺(tái)外來(lái)的計(jì)算機(jī)設(shè)備只要通過(guò)涉密網(wǎng)內(nèi)的任何一個(gè)端口連接，則整個(gè)網(wǎng)絡(luò)都將向其開(kāi)放，這顯然對(duì)于內(nèi)部網(wǎng)絡(luò)安全而言是巨大的安全隱患。因此，需要對(duì)計(jì)算機(jī)終端的接入進(jìn)行有效的監(jiān)視和控制。通過(guò)提取接入計(jì)算機(jī)的物理特征，可以判斷該計(jì)算機(jī)是否為企業(yè)內(nèi)網(wǎng)上授權(quán)接入的計(jì)算機(jī)，如果為非授權(quán)計(jì)算機(jī)，則視為非法主機(jī)。對(duì)非法主機(jī)需要采取必要的方式進(jìn)行阻斷和隔離，從而保證該計(jì)算機(jī)無(wú)法訪問(wèn)內(nèi)網(wǎng)

24、的相關(guān)資源。另外，對(duì)于內(nèi)網(wǎng)授權(quán)使用的計(jì)算機(jī)，任何一臺(tái)感染了病毒和木馬，管理人員也無(wú)法及時(shí)定位和自動(dòng)阻斷該計(jì)算機(jī)的破壞行為。往往需要花費(fèi)很長(zhǎng)的時(shí)間才能判斷和定位該計(jì)算機(jī)，然后再通過(guò)手動(dòng)的方式斷網(wǎng)。對(duì)安全強(qiáng)度差的終端計(jì)算機(jī)缺乏有效的安全狀態(tài)檢測(cè)和內(nèi)網(wǎng)接入控制，也是內(nèi)網(wǎng)管理人員比較頭疼的問(wèn)題之一。要想對(duì)此類計(jì)算機(jī)進(jìn)行接入的控制，首先應(yīng)該對(duì)計(jì)算機(jī)的安全狀態(tài)能夠?qū)崟r(shí)掌握，例如病毒庫(kù)的升級(jí)情況和操作系統(tǒng)補(bǔ)丁的修補(bǔ)情況等。只有掌握了計(jì)算機(jī)的安全狀態(tài)，才能根據(jù)其安全狀態(tài)判斷是否應(yīng)該對(duì)其進(jìn)行阻斷和隔離。1.6. 計(jì)算機(jī)終端管理與維護(hù)對(duì)于制造業(yè)單位龐大的網(wǎng)絡(luò)和眾多的終端計(jì)算機(jī)來(lái)說(shuō)，依靠傳統(tǒng)的資產(chǎn)登記管理辦法，根本

25、無(wú)法做到對(duì)計(jì)算機(jī)配置信息的準(zhǔn)確掌握，對(duì)計(jì)算機(jī)配置的變化也無(wú)法及時(shí)跟蹤。例如，要準(zhǔn)確掌握每臺(tái)計(jì)算機(jī)的軟硬件配置信息，通過(guò)手工方式將是非常耗時(shí)和繁瑣的工作。要想實(shí)時(shí)并準(zhǔn)確地掌握內(nèi)網(wǎng)終端計(jì)算機(jī)的配置狀況與配置變更狀況，必須通過(guò)技術(shù)手段和工具來(lái)輔助實(shí)現(xiàn)，才能有效節(jié)省成本和資源，提高內(nèi)網(wǎng)管理的效率。另外，由于終端計(jì)算機(jī)的數(shù)量眾多，管理人員也無(wú)法實(shí)時(shí)掌握每臺(tái)終端計(jì)算機(jī)的運(yùn)行狀態(tài)。當(dāng)終端計(jì)算機(jī)出現(xiàn)故障需要維護(hù)時(shí)，管理人員如果采用現(xiàn)場(chǎng)維護(hù)的方式，一方面增加了人力成本，另外由于人力資源有限，也無(wú)法保證維護(hù)的及時(shí)性。如何實(shí)時(shí)監(jiān)視終端計(jì)算機(jī)的運(yùn)行狀況，并且方便地對(duì)終端計(jì)算機(jī)進(jìn)行遠(yuǎn)程維護(hù)，是制造業(yè)單位網(wǎng)絡(luò)管理人員迫切

26、需要解決的問(wèn)題。1.7. 分級(jí)分權(quán)管理內(nèi)網(wǎng)安全管理系統(tǒng)作為一個(gè)計(jì)算機(jī)終端防護(hù)、檢測(cè)、維護(hù)和工具，其特點(diǎn)是管理的計(jì)算機(jī)數(shù)量眾多。管理這么多的計(jì)算機(jī)，依靠某一位管理員是不現(xiàn)實(shí)的，另外，如果企業(yè)的部門(mén)設(shè)置較為復(fù)雜，分支機(jī)構(gòu)多，則會(huì)加劇管理的難度。因?yàn)橐粋€(gè)管理員不可能了解所有計(jì)算機(jī)終端用戶的計(jì)算機(jī)使用細(xì)節(jié)，所以對(duì)管理的深度和強(qiáng)度無(wú)法把握。由于以上的原因，對(duì)以一個(gè)大型企業(yè)，從科學(xué)管理的角度來(lái)講，必須采用分權(quán)管理的思想。所謂分權(quán)管理，包括兩層含義。l 是把所管理的計(jì)算機(jī)終端范圍進(jìn)行劃分和分配，采取誰(shuí)熟悉、誰(shuí)管理的原則，不同管理員自己管理自己范圍內(nèi)的計(jì)算機(jī)、包括策略的設(shè)置和審計(jì)的查看等。l 是把系統(tǒng)策略的配

27、置進(jìn)行劃分和分配，采取誰(shuí)適合、誰(shuí)管理的原則，不同管理員有不同的策略配置權(quán)限。這樣處理可以保證策略的配置不會(huì)違反單位的保密規(guī)定。例如，某管理員可以配置補(bǔ)丁分發(fā)的策略，而另一個(gè)管理員則可以配置安全審計(jì)的策略。對(duì)于規(guī)模巨大的制造業(yè)單位，往往都在管理層次上劃分為多個(gè)垂直單位，如集團(tuán)、所、部門(mén)等?？紤]到制造業(yè)單位對(duì)管理上的需求往往希望能夠由上級(jí)部門(mén)直接設(shè)定下級(jí)部門(mén)的安全策略和查看下級(jí)單位的審計(jì)信息。這就提出了分級(jí)管理的需求。所謂分級(jí)管理，就是由上級(jí)機(jī)構(gòu)對(duì)下級(jí)直接進(jìn)行管理，管理上的控制力度可以由上級(jí)機(jī)構(gòu)自主設(shè)定。例如可能上級(jí)機(jī)構(gòu)希望取消下級(jí)機(jī)構(gòu)的所有管理權(quán)限，或者希望為下級(jí)機(jī)構(gòu)分配一定范圍的管理權(quán)限，而關(guān)

28、鍵策略的設(shè)置則由自己設(shè)定。分級(jí)管理的主要需求分為如下兩個(gè)方面：l 策略配置，上級(jí)機(jī)構(gòu)可以直接接管下級(jí)的策略配置權(quán)限，上級(jí)設(shè)定的策略，下級(jí)無(wú)法更改。l 審計(jì)報(bào)表查看，上級(jí)機(jī)構(gòu)可以隨時(shí)要求下級(jí)機(jī)構(gòu)將上級(jí)關(guān)心的報(bào)表傳遞上來(lái)，審查下級(jí)機(jī)構(gòu)的策略執(zhí)行情況以及違規(guī)事件等。2. 計(jì)算機(jī)終端安全防護(hù)解決方案2.1. 方案目標(biāo)本方案的目標(biāo)是為延邊天池工貿(mào)有限公司提供一套計(jì)算機(jī)終端安全管理解決方案。為機(jī)密信息的防護(hù)和計(jì)算機(jī)終端的運(yùn)行維護(hù)提供有效的工具和手段。通過(guò)本方案，能夠?qū)崿F(xiàn)對(duì)單位內(nèi)部局域網(wǎng)進(jìn)行網(wǎng)絡(luò)的統(tǒng)一管理、檢測(cè)局域網(wǎng)內(nèi)計(jì)算機(jī)終端是否安裝有殺毒軟件，實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)終端計(jì)算機(jī)的流量控制、規(guī)范上網(wǎng)管理、安全管理、終端

29、涉密信息防護(hù)、網(wǎng)絡(luò)接入/外聯(lián)管理、移動(dòng)存儲(chǔ)介質(zhì)的管理、審計(jì)和計(jì)算機(jī)的日常運(yùn)行維護(hù)。2.2. 遵循標(biāo)準(zhǔn)本設(shè)計(jì)方案的主要依據(jù)是國(guó)家保密局文件 涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)技術(shù)要求 （BMB17-2006），同時(shí)，還參考了以下標(biāo)準(zhǔn)和法規(guī)、文件：l 國(guó)家標(biāo)準(zhǔn)GB/T 2887-2000電子計(jì)算機(jī)場(chǎng)地通用規(guī)范；l 國(guó)家標(biāo)準(zhǔn)GB9254-1998信息技術(shù)設(shè)備的無(wú)線電騷擾限值和測(cè)量方法；l 國(guó)家標(biāo)準(zhǔn)GB9361-1998計(jì)算站場(chǎng)地安全要求；l 國(guó)家標(biāo)準(zhǔn)GB/T 9387.2-1995 信息處理系統(tǒng) 開(kāi)放系統(tǒng)互連 基本參考模型 第2部分：安全體系結(jié)構(gòu)（idt ISO 7498-2：1989）；l 國(guó)家標(biāo)準(zhǔn)G

30、B17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則；l 國(guó)家標(biāo)準(zhǔn)GB/T 18336-2001 信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評(píng)估準(zhǔn)則（idt ISO/IEC 15408：1999）；l 國(guó)家標(biāo)準(zhǔn)GB50174-1993電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范；l 國(guó)家軍用標(biāo)準(zhǔn)GJB3433-1998軍用計(jì)算機(jī)網(wǎng)絡(luò)安全體系結(jié)構(gòu)；l 國(guó)家公共安全和保密標(biāo)準(zhǔn)GGBB1-1999信息設(shè)備電磁泄漏發(fā)射限值；l 國(guó)家保密標(biāo)準(zhǔn)BMB2-1998使用現(xiàn)場(chǎng)的信息設(shè)備電磁泄漏發(fā)射檢查測(cè) 試 方法和安全判據(jù)；l 國(guó)家保密標(biāo)準(zhǔn)BMB3-1999處理涉密信息的電磁屏蔽室的技術(shù)要求和 測(cè)試方法國(guó)家保密標(biāo)準(zhǔn)BMB4-2000電磁

31、干擾器技術(shù)要求和測(cè)試方法；l 國(guó)家保密標(biāo)準(zhǔn)BMB5-2000涉密信息設(shè)備使用現(xiàn)場(chǎng)的電磁泄漏發(fā)射防 護(hù)要求；l 國(guó)家保密指南BMZ1-2000涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)保密技術(shù) 要求；l 國(guó)家保密指南BMZ2-2001涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)安全保密方案設(shè)計(jì)指南；l 國(guó)家保密指南BM23-2000涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)安全保密測(cè)評(píng)指南；l 國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn) 中共中央辦公廳 國(guó)務(wù)院辦公廳 中辦發(fā)200327號(hào)；l 國(guó)家保密局文件計(jì)算機(jī)信息系統(tǒng)保密管理暫行規(guī)定（國(guó)保發(fā)19981號(hào)）；l 中央保密委員會(huì)辦公室、國(guó)家保密局文件涉及國(guó)家秘密的通信、辦公自動(dòng)化和計(jì)

32、算機(jī)信息系統(tǒng)審批暫行辦法（中保辦發(fā)19986號(hào)）；l 中共中央辦公廳國(guó)務(wù)院辦公廳關(guān)于轉(zhuǎn)發(fā)中共中央保密委員會(huì)辦公室、國(guó)家保密局關(guān)于國(guó)家秘密載體保密管理的規(guī)定的通知（廳字200058號(hào)）；l 關(guān)于加強(qiáng)信息安全保障工作中保密管理的若干意見(jiàn) 中共中央保密委員會(huì) 中保委發(fā)20047號(hào)；l 涉及國(guó)家秘密德信息系統(tǒng)分級(jí)保護(hù)管理辦法 國(guó)家保密局 國(guó)保發(fā)200516號(hào)；l 信息安全等級(jí)保護(hù)管理辦法（試行） 公安部 國(guó)家保密局 國(guó)家密碼管理局 國(guó)務(wù)院信息化工作辦公室 公通字20067號(hào)。2.3. 方案內(nèi)容針對(duì)以上我們分析內(nèi)網(wǎng)管理出現(xiàn)的實(shí)質(zhì)問(wèn)題，結(jié)合信息化安全建設(shè)已經(jīng)從最初的網(wǎng)絡(luò)安全焦點(diǎn)互聯(lián)網(wǎng)邊界防護(hù)向單位的內(nèi)網(wǎng)轉(zhuǎn)

33、移，因此我們必須認(rèn)識(shí)到內(nèi)網(wǎng)安全管理的重要性，對(duì)內(nèi)網(wǎng)安全進(jìn)行全面防護(hù)，“防患于未燃”。為了加強(qiáng)延邊天池工貿(mào)有限公司的內(nèi)網(wǎng)安全防護(hù)，防止設(shè)計(jì)部門(mén)機(jī)密數(shù)據(jù)的泄漏，加強(qiáng)內(nèi)網(wǎng)的健壯性，同時(shí)根據(jù)延邊天池工貿(mào)有限公司提出的一些新的方案功能需求，我們提出如下內(nèi)網(wǎng)安全管理解決方案。2.3.1. 網(wǎng)絡(luò)管理網(wǎng)絡(luò)管理是建立在內(nèi)網(wǎng)中支持SNMP協(xié)議的可網(wǎng)管交換機(jī)，自動(dòng)進(jìn)行拓?fù)鋱D的學(xué)習(xí)，從而生成物理網(wǎng)絡(luò)拓?fù)鋱D。在此基礎(chǔ)上實(shí)現(xiàn)對(duì)交換機(jī)流量的控制、設(shè)備故障定位，結(jié)合客戶端控制軟件的IP地址管理功能、網(wǎng)卡流量控制功能，全面實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)從網(wǎng)絡(luò)設(shè)備到終端機(jī)器的控制。既保證了網(wǎng)絡(luò)的正常運(yùn)行，又可以在出現(xiàn)問(wèn)題時(shí)能夠盡快解決。2.3.1.

34、1. 物理網(wǎng)絡(luò)拓?fù)鋱D在支持公有SNMP協(xié)議的交換機(jī)上，能夠自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)所有網(wǎng)絡(luò)設(shè)備（包括三層和二層設(shè)備），通過(guò)系統(tǒng)提供的智能學(xué)習(xí)功能，自動(dòng)識(shí)別網(wǎng)絡(luò)的物理拓?fù)浣Y(jié)構(gòu)，生成網(wǎng)絡(luò)物理連接拓?fù)鋱D。物理拓?fù)鋱D包括兩種：鏈路拓?fù)浜腿滞負(fù)鋱D。鏈路拓?fù)鋱D只顯示交換機(jī)之間的端口連接關(guān)系；全局拓?fù)鋱D顯示所有的網(wǎng)絡(luò)設(shè)備和客戶端主機(jī)，可以直觀查看客戶端主機(jī)與網(wǎng)絡(luò)設(shè)備之間的端口連接關(guān)系。拓?fù)鋱D可以進(jìn)行編輯、保存，并可以通過(guò)參數(shù)設(shè)置，按設(shè)置好的時(shí)間段對(duì)拓?fù)鋱D上的合法接入設(shè)備進(jìn)行實(shí)時(shí)更新。在拓?fù)鋱D上可以方便地查看可管理設(shè)備的配置信息，如System、Interface、IP Address、Routing、ARP、MAC

35、 Address、Flow等。物理網(wǎng)絡(luò)拓?fù)鋱D便于管理員掌握內(nèi)部網(wǎng)絡(luò)的分布情況，機(jī)器連接鏈路的變化情況，使整個(gè)網(wǎng)絡(luò)了然于胸。2.3.1.2. 流量控制 流量控制包括兩個(gè)方面，既可以通過(guò)控制交換機(jī)的端口，使用端口的打開(kāi)和閉合功能實(shí)現(xiàn)對(duì)下連設(shè)備的鏈路流量的開(kāi)啟和關(guān)閉，也可以通過(guò)客戶端程序?qū)γ總€(gè)終端機(jī)器的網(wǎng)卡流量進(jìn)行設(shè)置，對(duì)于超過(guò)指定閥值的設(shè)備進(jìn)行自動(dòng)的網(wǎng)絡(luò)阻斷，當(dāng)網(wǎng)卡流量恢復(fù)到正常時(shí)，網(wǎng)卡自動(dòng)開(kāi)啟、恢復(fù)網(wǎng)絡(luò)連接，保證受控端在指定的流量范圍內(nèi)進(jìn)行網(wǎng)絡(luò)連通。既保證了其正常工作，又不會(huì)影響網(wǎng)絡(luò)帶寬。2.3.1.3. IP地址綁定通過(guò)使IP地址和每臺(tái)機(jī)器的ID號(hào)相對(duì)應(yīng)，以一一對(duì)應(yīng)的關(guān)系為依據(jù)，從而保證每個(gè)I

36、P有一個(gè)唯一的標(biāo)識(shí)與之對(duì)應(yīng)。當(dāng)客戶端程序檢測(cè)到IP地址進(jìn)行修改時(shí)，IP地址會(huì)自動(dòng)恢復(fù)到此前已經(jīng)綁定了的IP值，保證IP地址不會(huì)被隨意修改。杜絕了單位內(nèi)部的IP地址沖突問(wèn)題。2.3.1.4. 故障定位通過(guò)物理網(wǎng)絡(luò)拓?fù)鋱D顯示的物理網(wǎng)絡(luò)鏈路連接關(guān)系，可以得到設(shè)備和交換機(jī)的物理連接鏈路。一旦設(shè)備或鏈路出現(xiàn)故障，可以通過(guò)直觀的圖象信息，準(zhǔn)確定位故障點(diǎn)，對(duì)問(wèn)題進(jìn)行及時(shí)排查、處理。配合交換機(jī)端口流量閥值設(shè)置，一旦某條鏈路出現(xiàn)流量超限的事件，相應(yīng)鏈路連接會(huì)產(chǎn)生顏色的變化，便于管理員及時(shí)掌握內(nèi)網(wǎng)鏈路流量狀況。2.3.2. 終端安全控制通過(guò)對(duì)補(bǔ)丁分發(fā)、防病毒控制、進(jìn)程監(jiān)控、網(wǎng)頁(yè)過(guò)濾控制，來(lái)盡最大程度保證內(nèi)網(wǎng)機(jī)器的

37、安全性和健壯性，避免由于自身安全性不完善而造成的系統(tǒng)崩潰，抵御已知的一切外部攻擊。2.3.2.1. 補(bǔ)丁管理通過(guò)補(bǔ)丁管理，能夠?qū)?nèi)網(wǎng)終端計(jì)算機(jī)缺失補(bǔ)丁進(jìn)行定期檢測(cè)和自動(dòng)安裝與更新，保證系統(tǒng)與軟件缺陷一經(jīng)發(fā)現(xiàn)便可及時(shí)修補(bǔ)。通過(guò)補(bǔ)丁分發(fā)管理，大大減少了操作系統(tǒng)和應(yīng)用軟件漏洞被利用所造成的安全隱患和經(jīng)濟(jì)損失。同時(shí)，管理人員還可以實(shí)時(shí)統(tǒng)計(jì)當(dāng)前各終端計(jì)算機(jī)的補(bǔ)丁缺失情況、補(bǔ)丁安裝情況以及補(bǔ)丁安裝的進(jìn)度等，得到全網(wǎng)的終端計(jì)算機(jī)補(bǔ)丁安裝快照。方便了對(duì)補(bǔ)丁分發(fā)過(guò)程的監(jiān)控。2.3.2.2. 防病毒控制通過(guò)防病毒軟件監(jiān)測(cè)，可以判斷終端計(jì)算機(jī)是否安裝了防病毒軟件、防病毒軟件運(yùn)行是否正常以及病毒庫(kù)是否保持最新等情況。

38、如果以上幾條不滿足設(shè)定的策略要求，監(jiān)測(cè)系統(tǒng)可以向管理人員發(fā)送報(bào)警信息。另外，監(jiān)測(cè)系統(tǒng)還可阻斷終端計(jì)算機(jī)的內(nèi)網(wǎng)接入和內(nèi)網(wǎng)訪問(wèn)，確保易被感染的終端計(jì)算機(jī)無(wú)法使用內(nèi)網(wǎng)。未安裝防病毒軟件的計(jì)算機(jī)進(jìn)行網(wǎng)絡(luò)訪問(wèn)控制和隔離，使其形成內(nèi)網(wǎng)中的“孤島”。避免該終端計(jì)算機(jī)對(duì)內(nèi)網(wǎng)其它主機(jī)造成安全威脅。2.3.2.3. 進(jìn)程監(jiān)控通過(guò)進(jìn)程的黑、白名單對(duì)機(jī)器上運(yùn)行的應(yīng)用程序進(jìn)行控制，黑名單與白名單是一種“或”的關(guān)系，可以同時(shí)配合使用，不同于以往同時(shí)只能有一個(gè)處于工作狀態(tài)。被列入黑名單的進(jìn)程是無(wú)法在系統(tǒng)中運(yùn)行的；而列入白名單的進(jìn)程，在系統(tǒng)啟動(dòng)后必須運(yùn)行，否則會(huì)強(qiáng)制斷網(wǎng)，直到開(kāi)啟了該程序，網(wǎng)絡(luò)才會(huì)恢復(fù)連接。2.3.2.4.

39、網(wǎng)頁(yè)過(guò)濾控制通過(guò)網(wǎng)頁(yè)過(guò)濾，可以有效屏蔽掉管理員禁止訪問(wèn)的網(wǎng)站，避免誤入已知的非法或易受攻擊的網(wǎng)站，在事前保證機(jī)器訪問(wèn)網(wǎng)站的合法性。2.3.2.5. 非法外聯(lián)控制通過(guò)禁用設(shè)備的Modem、ADSL撥號(hào)、雙網(wǎng)卡、代理上網(wǎng)等方式，禁止工作于內(nèi)網(wǎng)的設(shè)備與外網(wǎng)連通，發(fā)生數(shù)據(jù)泄密和被攻擊的事件，保證僅允許工作于內(nèi)網(wǎng)的設(shè)備的純粹性、安全性、機(jī)密性。而且一旦產(chǎn)生相關(guān)的事件，會(huì)產(chǎn)生相關(guān)的預(yù)警信息，及時(shí)同時(shí)管理員。2.3.3. 終端安全審計(jì)終端計(jì)算機(jī)的防泄密解決措施對(duì)計(jì)算機(jī)終端進(jìn)行安全審計(jì)，如網(wǎng)絡(luò)接入、網(wǎng)絡(luò)外聯(lián)、文件操作、共享訪問(wèn)、設(shè)備使用、進(jìn)程活動(dòng)等，通過(guò)安全審計(jì)可以實(shí)時(shí)掌握用戶的計(jì)算機(jī)使用行為。這類措施主要是

40、應(yīng)對(duì)惡意用戶的主動(dòng)泄密行為。這類措施主要是應(yīng)對(duì)合法用戶由于疏忽導(dǎo)致的被動(dòng)泄密行為。計(jì)算機(jī)終端的安全審計(jì)包括了事前控制、事中監(jiān)控和事后審計(jì)在內(nèi)的一系列安全管理策略。通過(guò)安全審計(jì)，可以有效的控制、監(jiān)視和追蹤計(jì)算機(jī)終端用戶的行為，一旦用戶有違保密規(guī)定的行為發(fā)生，管理員能夠快速得到報(bào)警信息。對(duì)受控終端進(jìn)行審計(jì)是通過(guò)規(guī)則進(jìn)行的。審計(jì)規(guī)則設(shè)置的是對(duì)服務(wù)器規(guī)則控制下的行為的記錄和統(tǒng)計(jì)。在服務(wù)器設(shè)置相應(yīng)的審計(jì)規(guī)則后，如果客戶端所在的設(shè)備有符合規(guī)則的行為發(fā)生，則在服務(wù)器的日志中會(huì)有相應(yīng)記錄。可以根據(jù)需要配置受控終端的文件操作、進(jìn)程、網(wǎng)絡(luò)訪問(wèn)等事件的規(guī)則。系統(tǒng)根據(jù)規(guī)則自動(dòng)記錄安全審計(jì)日志并存入系統(tǒng)日志信息庫(kù)，這些

41、信息是事后了解和判斷網(wǎng)絡(luò)安全事故的寶貴資料。安全審計(jì)應(yīng)包括如下幾個(gè)方面： 涉密審計(jì)：涉密文件被操作使用、存儲(chǔ)和傳輸審計(jì)功能； 入網(wǎng)審計(jì)：非法設(shè)備接入審計(jì)功能； 資產(chǎn)審計(jì)：自動(dòng)登記受控終端的硬件配置（包括CPU、內(nèi)存、硬盤(pán)、顯示卡、網(wǎng)卡等等），當(dāng)受控終端的硬件發(fā)生變動(dòng)時(shí)能自動(dòng)向安全管理核心系統(tǒng)發(fā)出報(bào)警信息； 系統(tǒng)審計(jì)：自動(dòng)記錄受控終端操作系統(tǒng)配置的用戶、工作組、邏輯驅(qū)動(dòng)器，當(dāng)其發(fā)生變化時(shí)，自動(dòng)向安全管理核心系統(tǒng)發(fā)出報(bào)警信息； 加載服務(wù)審計(jì)：對(duì)受控終端安裝的系統(tǒng)服務(wù)進(jìn)行審計(jì)，自動(dòng)記錄系統(tǒng)服務(wù)的啟動(dòng)和停止； 安裝和卸載審計(jì)：自動(dòng)記錄受控終端上應(yīng)用程序的安裝與卸載情況； 文件審計(jì)：對(duì)文件操作進(jìn)行審計(jì)，

42、記錄用戶對(duì)規(guī)則指定文件進(jìn)行的各種操作； 網(wǎng)絡(luò)訪問(wèn)審計(jì)：對(duì)網(wǎng)絡(luò)訪問(wèn)進(jìn)行審計(jì)，記錄用戶對(duì)規(guī)則指定網(wǎng)址進(jìn)行的訪問(wèn)操作； 打印機(jī)操作審計(jì)：對(duì)本地打印機(jī)使用情況進(jìn)行審計(jì)； 移動(dòng)存儲(chǔ)設(shè)備審計(jì)：對(duì)受控終端的可移動(dòng)存儲(chǔ)設(shè)備的使用情況進(jìn)行審計(jì)； 非法外聯(lián)審計(jì)：對(duì)撥號(hào)、無(wú)線網(wǎng)卡、手機(jī)紅外等訪問(wèn)情況進(jìn)行審計(jì)。 進(jìn)程審計(jì)：通過(guò)對(duì)終端計(jì)算機(jī)運(yùn)行的進(jìn)程進(jìn)行審計(jì)，可以發(fā)現(xiàn)用戶正在運(yùn)行的程序?？梢酝ㄟ^(guò)進(jìn)程黑名單的方式限制用戶運(yùn)行某些程序，例如游戲、攻擊工具、視頻播放器、MP3播放器等。限制用戶利用計(jì)算機(jī)進(jìn)行與工作無(wú)關(guān)的操作。2.3.4. 移動(dòng)存儲(chǔ)介質(zhì)管理可信移動(dòng)介質(zhì)解決方案，主要是實(shí)現(xiàn)如下目標(biāo)：1) 通過(guò)移動(dòng)介質(zhì)交換的數(shù)據(jù)必

43、須是密文，保證數(shù)據(jù)離開(kāi)應(yīng)用環(huán)境后不可用；2) 數(shù)據(jù)交換前必須通過(guò)正確的身份認(rèn)證，包括密碼認(rèn)證或USB KEY等授權(quán)硬件的身份認(rèn)證；3) 記錄數(shù)據(jù)交換過(guò)程的工作日志，便于以后進(jìn)行跟蹤審計(jì)；4) 未經(jīng)授權(quán)的移動(dòng)介質(zhì)，在工作環(huán)境中不可用，只有經(jīng)過(guò)企業(yè)授權(quán)的移動(dòng)介質(zhì)才能進(jìn)入到企業(yè)的辦公環(huán)境；5) 工作配發(fā)的移動(dòng)介質(zhì)帶出辦公環(huán)境后變?yōu)椴豢捎谩?為滿足以上要求，公司在原有產(chǎn)品內(nèi)容安全監(jiān)控系統(tǒng)的基礎(chǔ)上，通過(guò)擴(kuò)展，增加了可信移動(dòng)介質(zhì)管理子系統(tǒng)，該系統(tǒng)綜合利用信息保密、訪問(wèn)控制、審計(jì)等技術(shù)手段，對(duì)企業(yè)移動(dòng)存儲(chǔ)設(shè)備實(shí)施安全保護(hù)的軟件系統(tǒng)，使企業(yè)信息資產(chǎn)、涉密信息不能被移動(dòng)存儲(chǔ)設(shè)備非法流失，用技術(shù)的手段，實(shí)現(xiàn)移動(dòng)存

44、儲(chǔ)設(shè)備信息安全的“五不”原則，即：“進(jìn)不來(lái)、拿不走、讀不懂、改不了、走不脫”。 “進(jìn)不來(lái)”，是指外部的移動(dòng)存儲(chǔ)介質(zhì)拿到單位內(nèi)部來(lái)不能用；“拿不走”是指單位內(nèi)部的存儲(chǔ)介質(zhì)拿出去使不了；“讀不懂”是指只有授權(quán)的人才能解密閱讀，任何未經(jīng)授權(quán)的人均無(wú)法打開(kāi)其中的文件，這意味著即使存儲(chǔ)介質(zhì)丟失也不會(huì)造成泄密；“改不了”是指其中的信息篡改不了；“走不脫”是指系統(tǒng)具有事后審計(jì)功能，對(duì)違反策略的行為和事件可以跟蹤審計(jì)?？尚乓苿?dòng)介質(zhì)管理模塊的對(duì)象定位即移動(dòng)存儲(chǔ)設(shè)備，包括以下種類：1) 軟盤(pán)；2) U盤(pán)；3) 移動(dòng)硬盤(pán)；4) 各種移動(dòng)存儲(chǔ)卡。可信移動(dòng)介質(zhì)管理模塊的功能包括：首先，它可以集中管理移動(dòng)存儲(chǔ)設(shè)備；其次，

45、要求對(duì)移動(dòng)存儲(chǔ)設(shè)備的使用之前進(jìn)行認(rèn)證；再次，對(duì)磁盤(pán)存儲(chǔ)采用了加密方式，防止信息泄露；最后，實(shí)行數(shù)據(jù)加解密和操作行為的安全審計(jì)等。 可信移動(dòng)介質(zhì)管理模塊可對(duì)移動(dòng)存儲(chǔ)介質(zhì)統(tǒng)一注冊(cè)，并可對(duì)移動(dòng)存儲(chǔ)介質(zhì)設(shè)定密級(jí)。注冊(cè)并設(shè)定密級(jí)的移動(dòng)存儲(chǔ)介質(zhì)受以下保密原則約束：1) 高密級(jí)移動(dòng)存儲(chǔ)介質(zhì)不能在低密或者普通計(jì)算機(jī)上使用；2) 涉密移動(dòng)存儲(chǔ)介質(zhì)不能在非涉密計(jì)算機(jī)上使用；3) 低密級(jí)移動(dòng)存儲(chǔ)不能（或者只讀）在高密級(jí)計(jì)算機(jī)上使用；4) 非授權(quán)的移動(dòng)存儲(chǔ)介質(zhì)不能在涉密計(jì)算機(jī)上使用；5) 即使密級(jí)相同，也只能在用戶或者計(jì)算機(jī)得到許可的情況下才能夠使用?？尚乓苿?dòng)存儲(chǔ)管理模塊提供了對(duì)可移動(dòng)存儲(chǔ)介質(zhì)從購(gòu)買(mǎi)、使用到銷(xiāo)毀整個(gè)過(guò)

46、程的管理和控制，借助于注冊(cè)授權(quán)、身份驗(yàn)證、密級(jí)識(shí)別、鎖定自毀、驅(qū)動(dòng)級(jí)加密、日志審計(jì)等技術(shù)手段對(duì)可移動(dòng)存儲(chǔ)設(shè)備進(jìn)行失泄密防護(hù)，真正做到了“拿進(jìn)來(lái)的移動(dòng)存儲(chǔ)器使不了”、“拿出去的移動(dòng)存儲(chǔ)器不能用”。本系統(tǒng)的主要功能如下：2.3.4.1. 注冊(cè)授權(quán)所有移動(dòng)存儲(chǔ)介質(zhì)在使用前均要經(jīng)過(guò)授權(quán)中心統(tǒng)一授權(quán)，授權(quán)內(nèi)容包括密級(jí)（普通、秘密、機(jī)密、絕密）、主管部門(mén)、所屬部門(mén)、責(zé)任人、使用人（可指定多人）、使用部門(mén)、使用周期、是否采用口令保護(hù)等等，并根據(jù)授權(quán)信息產(chǎn)生涉密移動(dòng)存儲(chǔ)器管理臺(tái)帳。授權(quán)后的移動(dòng)存儲(chǔ)器才能發(fā)放到個(gè)人使用，未經(jīng)授權(quán)的移動(dòng)存儲(chǔ)介質(zhì)將被嚴(yán)格控制使用。2.3.4.2. 訪問(wèn)控制對(duì)于未注冊(cè)授權(quán)的移動(dòng)存儲(chǔ)介

47、質(zhì)，稱之為普通移動(dòng)存儲(chǔ)介質(zhì)；注冊(cè)授權(quán)過(guò)的稱之為可信移動(dòng)存儲(chǔ)介質(zhì)。對(duì)于普通移動(dòng)存儲(chǔ)介質(zhì)，禁止在內(nèi)網(wǎng)使用；對(duì)于可信移動(dòng)存儲(chǔ)介質(zhì)，則依據(jù)其授權(quán)信息進(jìn)行多層次的訪問(wèn)控制。1) 口令保護(hù)：用戶在使用可信移動(dòng)存儲(chǔ)介質(zhì)的時(shí)候，首先會(huì)要求用戶輸入正確的訪問(wèn)口令，方可正常加載可信移動(dòng)存儲(chǔ)介質(zhì)；2) 密級(jí)識(shí)別：用戶在使用可信移動(dòng)存儲(chǔ)介質(zhì)的時(shí)候，需要與客戶端主機(jī)密級(jí)相匹配。高密級(jí)的磁盤(pán)將被禁止在低密級(jí)的主機(jī)上使用；也禁止從高密級(jí)的主機(jī)上拷貝數(shù)據(jù)到低密級(jí)的磁盤(pán)上；3) 身份驗(yàn)證：用戶在使用可信移動(dòng)存儲(chǔ)介質(zhì)的時(shí)候，需對(duì)其身份信息進(jìn)行驗(yàn)證，不在使用許可范圍的將禁止使用；4) 使用限制條件：通過(guò)上述三個(gè)條件的檢查后，系統(tǒng)還

48、提供了對(duì)使用次數(shù)和使用日期的限制，超過(guò)使用限制條件后將禁止其使用。所有的使用過(guò)程，系統(tǒng)都會(huì)記錄相應(yīng)的使用日志。2.3.4.3. 數(shù)據(jù)保護(hù)所有寫(xiě)入移動(dòng)存儲(chǔ)介質(zhì)的數(shù)據(jù)都會(huì)被自動(dòng)加密；用戶在讀取文件時(shí)，數(shù)據(jù)能夠被自動(dòng)解密。這個(gè)過(guò)程由WINDOWS系統(tǒng)核心驅(qū)動(dòng)自動(dòng)完成，不需用戶參與，與普通磁盤(pán)上操作沒(méi)有任何區(qū)別。正因?yàn)檫@種操作的透明性，可信系統(tǒng)能夠支持操作系統(tǒng)原有的文件關(guān)聯(lián)和文件的級(jí)聯(lián)打開(kāi)。2.3.4.4. 自我保護(hù)為加強(qiáng)數(shù)據(jù)的安全性，有效控制用戶的違規(guī)操作行為，我們提供了在一些違規(guī)操作情況發(fā)生時(shí)的自我保護(hù)處理。這些違規(guī)情況包括：用戶過(guò)多地嘗試輸入磁盤(pán)的口令、磁盤(pán)達(dá)到了使用次數(shù)的限定，磁盤(pán)不在規(guī)定的使

49、用期限之內(nèi)。自我保護(hù)的處理方式有：1) 以只讀方式加載磁盤(pán)：加載后的磁盤(pán)只能查看其中的數(shù)據(jù)，但是不能再往磁盤(pán)上寫(xiě)入任何內(nèi)容；2) 磁盤(pán)鎖定：禁止用戶再使用該磁盤(pán)，需交到授權(quán)中心進(jìn)行解鎖后方可重新使用。2.3.4.5. 操作記錄對(duì)于移動(dòng)存儲(chǔ)介質(zhì)的入庫(kù)登記、授權(quán)使用、各種違規(guī)操作等，系統(tǒng)提供了詳細(xì)的日志記錄。同時(shí)，系統(tǒng)提供了強(qiáng)大的日志審計(jì)功能，審計(jì)的內(nèi)容包括：授權(quán)臺(tái)帳、使用臺(tái)帳、違規(guī)臺(tái)帳、鎖定與自毀臺(tái)帳、解鎖臺(tái)帳、授權(quán)回收臺(tái)帳。對(duì)可移動(dòng)存儲(chǔ)介質(zhì)從購(gòu)買(mǎi)到銷(xiāo)毀整個(gè)生命周期，系統(tǒng)提供了有效的磁盤(pán)追蹤功能，借助它，可以方便地看到磁盤(pán)的整個(gè)使用過(guò)程。 遵循的國(guó)家標(biāo)準(zhǔn)標(biāo)準(zhǔn) 移動(dòng)存儲(chǔ)介質(zhì)管理模塊遵循國(guó)家標(biāo)準(zhǔn)BM

50、B172006。主要包括如下幾個(gè)方面：l 標(biāo)準(zhǔn)BMB172006對(duì)介質(zhì)安全的要求，包括介質(zhì)的標(biāo)識(shí)、傳遞、使用、維修和銷(xiāo)毀等；l 標(biāo)準(zhǔn)BMB172006對(duì)信息密碼措施的要求，包括對(duì)移動(dòng)存儲(chǔ)介質(zhì)的身份鑒別和加密保護(hù)。2.3.5. 計(jì)算機(jī)終端接入控制內(nèi)網(wǎng)安全管理系統(tǒng)，將所有內(nèi)網(wǎng)的主機(jī)進(jìn)行入網(wǎng)身份判斷，符合安全標(biāo)準(zhǔn)或合法的主機(jī)將允許運(yùn)行在內(nèi)網(wǎng)中、正常使用。沒(méi)有在內(nèi)網(wǎng)安全管理系統(tǒng)中定義的合法的主機(jī)，系統(tǒng)將其阻斷或限制與內(nèi)網(wǎng)的通信。非法接入控制功能主要目的是保證內(nèi)網(wǎng)涉密信息及文件不受非法接入設(shè)備的探測(cè)、拷貝、刪除和修改等威脅。2.3.5.1. 非法主機(jī)的定義所謂的接入控制，是指對(duì)接入內(nèi)網(wǎng)的終端計(jì)算機(jī)進(jìn)行身

51、份鑒別或者安全狀態(tài)檢查，阻止未授權(quán)或不安全的終端計(jì)算機(jī)接入內(nèi)網(wǎng)和訪問(wèn)內(nèi)網(wǎng)資源。通過(guò)接入控制，可以將外來(lái)計(jì)算機(jī)阻擋在內(nèi)網(wǎng)之外，也可以將內(nèi)網(wǎng)中安全性較差（未及時(shí)安裝補(bǔ)丁和防火墻軟件）的計(jì)算機(jī)隔離出內(nèi)網(wǎng)，保證內(nèi)網(wǎng)整體的安全性。對(duì)非法主機(jī)的定義，采取以下方式：1) 主機(jī)系統(tǒng)存在嚴(yán)重漏洞，影響內(nèi)網(wǎng)整體安全；2) 主機(jī)系統(tǒng)無(wú)反病毒軟件保護(hù)或反病毒軟件未運(yùn)行；3) 主機(jī)系統(tǒng)從未在內(nèi)網(wǎng)管理系統(tǒng)中注冊(cè)，不受審計(jì)、監(jiān)控的主機(jī)；4) 管理員自定義的非法主機(jī)系統(tǒng)2.3.5.2. 非法接入控制策略對(duì)非法主機(jī)的接入控制，應(yīng)有安全策略來(lái)指定。安全策略應(yīng)滿足一定的靈活性和簡(jiǎn)單易用。1) 非法接入控制策略靈活性：管理員可以靈活

52、設(shè)定非法接入控制對(duì)象策略，選定不同的管理顆粒度；2) 非法接入控制策略模版化：管理員可以設(shè)置不同安全級(jí)別的非法接入控制策略，并且根據(jù)實(shí)際情況或意外情況修改或改變使用不同的策略模版。3) 非法接入策略包括： 注冊(cè)合法主機(jī)檢查策略； 主機(jī)安全性檢查策略； 主機(jī)反病毒檢測(cè)策略； 管理員自定義策略。當(dāng)主機(jī)入網(wǎng)后內(nèi)網(wǎng)管理系統(tǒng)按照非法接入策略進(jìn)行檢查，同時(shí)對(duì)合法主機(jī)檢查入網(wǎng)身份，并驗(yàn)證此主機(jī)是否已經(jīng)在身份數(shù)據(jù)庫(kù)中注冊(cè)。圖：非法接入控制示意圖2.3.5.3. 非法接入阻斷技術(shù)實(shí)現(xiàn)原理內(nèi)網(wǎng)安全管理系統(tǒng)采用復(fù)合式非法接入阻斷技術(shù)，融合并交叉了ARP欺騙、主機(jī)防火墻阻斷和交換機(jī)聯(lián)動(dòng)三種方式，避免了這三種方式各自的

53、缺點(diǎn)，更好的實(shí)現(xiàn)了非法接入控制。1) ARP欺騙方式：通過(guò)向非法主機(jī)發(fā)送ARP欺騙包，產(chǎn)生IP沖突假象，阻止其與內(nèi)網(wǎng)通信。這種方式由于ARP協(xié)議的路由性，必須在所有物理網(wǎng)段選舉一個(gè)ARP阻斷代理；對(duì)于非授權(quán)計(jì)算機(jī)和不安全的計(jì)算機(jī)可以采用ARP欺騙的方式，用虛假的MAC地址刷新目標(biāo)計(jì)算機(jī)的ARP緩存，導(dǎo)致該計(jì)算機(jī)無(wú)法與內(nèi)網(wǎng)其它設(shè)備通訊，達(dá)到阻止其訪問(wèn)網(wǎng)絡(luò)資源的目的。2) 主機(jī)防火墻方式：通過(guò)安裝在目標(biāo)計(jì)算機(jī)上的主機(jī)防火墻來(lái)對(duì)主機(jī)的網(wǎng)絡(luò)訪問(wèn)進(jìn)行控制；3) 交換機(jī)聯(lián)動(dòng)方式：自動(dòng)定位接入計(jì)算機(jī)所在的交換機(jī)端口，通過(guò)SNMP協(xié)議控制交換機(jī)端口的啟用/停用，阻止目標(biāo)計(jì)算機(jī)接入內(nèi)網(wǎng)。4) 三種非法接入控制方

54、式不是簡(jiǎn)單的選擇使用或者堆疊使用，而是根據(jù)管理員設(shè)定的不同策略進(jìn)行有機(jī)搭配使用。 遵循的國(guó)家標(biāo)準(zhǔn)標(biāo)準(zhǔn) 非法接入控制模塊遵循國(guó)家保密標(biāo)準(zhǔn)BMB172006對(duì)設(shè)備接入控制的要求。l 管理所有入網(wǎng)設(shè)備，對(duì)違規(guī)接入設(shè)備進(jìn)行阻斷，阻止違規(guī)接入設(shè)備對(duì)系統(tǒng)資源的訪問(wèn)；l 阻止違規(guī)接入設(shè)備對(duì)系統(tǒng)資源的訪問(wèn)，同時(shí)進(jìn)行非法接入安全審計(jì)，對(duì)違規(guī)接入進(jìn)行告警。2.3.6. 計(jì)算機(jī)終端管理與維護(hù)配置管理主要完成終端計(jì)算機(jī)的各種信息的收集和系統(tǒng)參數(shù)的配置。通過(guò)配置管理，管理人員可以準(zhǔn)確掌握每臺(tái)終端計(jì)算機(jī)的配置狀況和運(yùn)行參數(shù)，并對(duì)批量地對(duì)終端計(jì)算機(jī)的運(yùn)行參數(shù)進(jìn)行遠(yuǎn)程修改。2.3.6.1. 主機(jī)信息收集收集終端計(jì)算機(jī)相關(guān)信息

55、，如主機(jī)名、IP地址、網(wǎng)絡(luò)參數(shù)、帳戶信息、安裝軟件清單、硬件清單、驅(qū)動(dòng)程序清單、服務(wù)清單、進(jìn)程清單、系統(tǒng)日志等。為終端計(jì)算機(jī)的維護(hù)和故障診斷提供參考。2.3.6.2. 網(wǎng)絡(luò)參數(shù)配置設(shè)置終端計(jì)算機(jī)的網(wǎng)絡(luò)參數(shù)，包括IP地址、網(wǎng)關(guān)、WINS等。當(dāng)網(wǎng)絡(luò)結(jié)構(gòu)發(fā)生變動(dòng)時(shí)，可以快速重新變更計(jì)算機(jī)網(wǎng)絡(luò)參數(shù)。大大減輕管理人員的網(wǎng)絡(luò)管理壓力。遠(yuǎn)程維護(hù)作為管理人員一項(xiàng)不可缺少的工作，如果沒(méi)有良好的技術(shù)手段做支撐，僅僅依靠電話、郵件等方式往往無(wú)法解決問(wèn)題。從而加重了管理人員的負(fù)擔(dān)。遠(yuǎn)程維護(hù)就是依靠技術(shù)手段和工具，遠(yuǎn)程對(duì)終端計(jì)算機(jī)進(jìn)行故障診斷、系統(tǒng)修復(fù)和日常維護(hù)等。2.3.6.3. 遠(yuǎn)程協(xié)助通過(guò)遠(yuǎn)程協(xié)助，管理人員可以響

56、應(yīng)遠(yuǎn)程終端計(jì)算機(jī)的協(xié)助請(qǐng)求，臨時(shí)接管遠(yuǎn)程終端計(jì)算機(jī)，進(jìn)行本地化操作。例如：開(kāi)關(guān)機(jī)、搜索可疑文件、服務(wù)/進(jìn)程查看、系統(tǒng)配置查看、資源使用監(jiān)視等。管理人員完成維護(hù)操作后，釋放對(duì)終端計(jì)算機(jī)的接管。2.3.6.4. 預(yù)警平臺(tái)預(yù)警平臺(tái)可以為管理人員與終端用戶建立一個(gè)即時(shí)通訊的平臺(tái)，通過(guò)該平臺(tái)，管理人員可以接受和回復(fù)終端用戶的咨詢，可以得到終端計(jì)算機(jī)的安全告警，也可以定期向終端用戶發(fā)布安全預(yù)警信息和安全管理策略等。方便了管理人員與用戶的交流和交互。2.4. LanSecS系統(tǒng)簡(jiǎn)介L(zhǎng)anSecS內(nèi)網(wǎng)安全管理系統(tǒng)是在LanSecS內(nèi)網(wǎng)安全四要素的基礎(chǔ)上，綜合利用身份認(rèn)證、文件系統(tǒng)監(jiān)控、設(shè)備監(jiān)控、網(wǎng)絡(luò)監(jiān)控、注冊(cè)表監(jiān)控、進(jìn)程/服務(wù)監(jiān)控、打印監(jiān)控、共享監(jiān)控、系統(tǒng)資源分析、用戶網(wǎng)絡(luò)行為分析等多種操作系統(tǒng)核心技術(shù)開(kāi)發(fā)的新一代內(nèi)網(wǎng)安全管理系統(tǒng)。LanSecS根據(jù)系統(tǒng)提供安全服務(wù)的不同，劃分為五個(gè)安全組件：安全審計(jì)、安全服務(wù)、安全加固、安全網(wǎng)管、資產(chǎn)管理。這五個(gè)服務(wù)組件有機(jī)結(jié)合，依靠統(tǒng)一的安全管理中心共同完成全方位的內(nèi)網(wǎng)安全管理。組件化的產(chǎn)品架構(gòu)可最大限度地滿足內(nèi)網(wǎng)的精細(xì)安全管理。從而使得LanSecS內(nèi)網(wǎng)安全管理系統(tǒng)不僅適用于單個(gè)獨(dú)立內(nèi)網(wǎng)的安全管理，更適用于大型廣域網(wǎng)絡(luò)的分級(jí)安全管理（級(jí)數(shù)不限）。LanSecS內(nèi)網(wǎng)安全管理系統(tǒng)除了結(jié)構(gòu)化的分級(jí)管理框架