河南中烟工业有限责任公司许昌卷烟厂局域网桌面管理系统项目解决方案

河南中烟工业有限责任公司许昌卷烟厂局域网桌面管理系统项目解决方案内容摘要：

安全策略通过阻断其接入网络的方法防止其对网络产生危害。 河南中烟许昌卷烟厂 XCXXZB2020004 号 郑州苏富特软件有限公司 8 终端行为 控制与上网 行为监控 互联网的快速发展极大地方便了人们对信息的访问需要，但同时互联网上存在有大量不良信息。 而且，滥用外网可能挤占网络带宽，降低内网正常应用对网络带宽的需要，极大影响教育网络的工作效率。 为此，有必要对 烟草企业 网络 内用户的上网访问行为进行有效控制，对其访问外网的访问请示进行甄别，对正常的应用访问予以放行，而对不良信息的访问则予以拒绝，并进行记录。 这些记录可做安全审计的数据源。 另外，用户私自在计算机中运行一些与业务无关的程序，也会对正常应用造成挤占、 降低效率，应该通过桌面安全管理系统对终端计算机运行的所的程序进行检测，并根据既定安全策略判断所运行的程序是正常程序还是非法程序，正常程序可予以放行，而拒绝非法程序的运行，从而最大程序保障业务系统的效率。 安全风险评估系统需求 网络系统存在安全漏洞（如安全配置不严密等）和操作系统安全漏洞等是黑客等入侵者攻击屡屡得手的重要因素。 入侵者通常都是通过一些程来探测网络中系统中存在的一些安全漏洞，然后通过发现的安全漏洞，采取相就技术进行攻击，因此，必需配备网络安全扫描系统和系统安全扫描系统检测网络中存在的安全漏洞，并采 用相应的措施填补系统漏洞，对网络设备等存在的不安全配置重新进行安全配置。 虚拟安全域 烟草企业 网络 情况复杂，用户情况参差不齐，领导和普通科员的权限相去甚远。 但普遍基于 IP 而设定的访问策略，如（ ACL）访问控制列表等都是基于硬件的，势必受到环境的限制。 现在 将人员与 ID 对应，使得客户不仅可以在各自的 PC 上能够行使自身特有的权限，在其他 PC 上也同样可以得到自身对应的权限 ，方便了因工作流动性带来的访问权限问题。 如果没有对应的 ID，即使普通人员进入上层领导的 PC，也无法 查看到 越级的资料。 这样，不仅打破 了环境的 河南中烟许昌卷烟厂 XCXXZB2020004 号 郑州苏富特软件有限公司 9 因素，还将 ID、人员与权限三者紧密结合，更加安全、灵活。 4 方案设计原则 设计原则 在 烟草企业 内网 络 安全管理系统 的方案设计中，我们遵循了以下的原则：  整体安全和全网统一的原则 烟草企业 内网安全管理系统 设计从一个完整的安全体系结构出发，综合考虑信息网络的各种实体和各个环节，综合使用不同层次的不同安全手段，为信息网络和安全业务提供全方位的管理和服务。  标准化、一致性原则 烟草企业 桌面安全管理系统采购项目 安全体系的设计遵循一系列国家标准，整个系统安全地互联互通。  需求、风险、成本折衷原则 任何网络和信息系统都不能做到绝对的安全，设计时在不影响原网络性能和设计要求的情况下，在安全需求、安全风险和安全成本之间进行平衡和折衷。  实用、高效、可扩展原则 安全保障系统所采用的产品，便于操作、实用高效。 同时随着技术发展， 烟草企业 信息系统也将发生各种变化，在系统实施过程中，系统的结构、配置也会发生变化，系统的安全工程要有一定的 灵活性来适应这种变化，做到层次性、体系性，既有利于系统的安全，又有利于系统的扩展。  技术和管理相结合原则 各种安全技术应该与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合，从社会工程学的角度综合考虑。 河南中烟许昌卷烟厂 XCXXZB2020004 号 郑州苏富特软件有限公司 10 遵循 与参考的 标准 和 规范 1） 国家保密标准 BMZ22020《涉及国家秘密的计算机信息系统安全保密方案设计指南》 2） 国家保密标准 BMZ12020，《涉及国家秘密的计算机信息系统保密技术要求》 3） 国家保密标准《计算机信息系统保密管理暂行规定》（国保发 {1998}1号） 4） 国家标准 GB178591999，《 计算机信息系统安全保护等级划分准则》 5） 国家标准 GB/，《信息技术 安全技术 信息技术安全性评估准则 第 2 部分 : 安全功能要求》 6） ISO27001/ISO17799:2020/BS7799,《信息安全管理技术规范》。 5 解决方案 选型依据 在 烟草企业 信息网络 桌面安全建设中，对产品选型应遵循以下原则： 考虑到 烟草企业 网络 的规模和终端计算机的多样性，客户端程序必须有良好的兼容性和稳定性、较小的系统开销以 减少对系统资源的占用，并且，考虑到 烟草企业 网络 的用户环境，客户端程序应具备卸载管理，防止未经授权的卸载使终端计算机脱离管理。 根据上述选型原则， 本方案在 烟草企业 信息网络 桌面安全建设中采用 极地银河终端与内网安全管理系统。 产品架构 系统架构 极地银河终端与内网安全管理系统 由三部分组成，客户端代理模块、控制台 河南中烟许昌卷烟厂 XCXXZB2020004 号 郑州苏富特软件有限公司 11 模块和服务器模块。 客户端 代理模块安装在每一台需要被监视的计算机上，用来收集数据信息，并执行来自服务器模块的指令。 服务器模块一般安装在一台具有高性能 CPU 和大容量内存的用作服务器的计算机上，用来存储和管理所有安装有代理模块的计算机的数据。 控制台模块一般安装在公司的管理人员的计算机上，用来 监控每台安装有代理模块的计算机，管理各类审计系统，制定安全策略。 系统的基本框架如下图所示： 河南中烟许昌卷烟厂 XCXXZB2020004 号 郑州苏富特软件有限公司 12 产品各模块功能 极地银河终端与内网安全管理系统 服务器模块： 服务器模块包括服务器端软件和支持数据库。 支 持操作系统为 Microsoft Windows 2020 和 Microsoft Windows XP。 数据库支持 Microsoft SQL Server 2020和 Microsoft Access（建议在客户端超过 100点，使用 Microsoft SQL Server 2020数据库）。 服务器模块主要功能如下：  定时搜索网络，管理所有已安装客户端代理模块的计算机，并向代理模块传递相关的设置和命令信息；  接收控制台用户数据请求指令，传送数据文件到控制台，由控制台进行解密查看分析；  保存客户端代理用户信息；  存储 系统组织结构，用户信息和系统工作配置参数；  收集客户端代理模块采集的数据，并保存到数据库中；  提供方便灵活的历史记录管理、归档、搜索、查看等功能； 极地银河终端与内网安全管理系统 控制台模块： 河南中烟许昌卷烟厂 XCXXZB2020004 号 郑州苏富特软件有限公司 13 控制台模块是实现系统管理、参数配置、策略管理、系统审计的人机交互界面软件。 系统运行平台为 Microsft Windows 2020/XP。 控制台模块功能如下：  参数设置，包括控制台和服务器的工作参数；  用户（管理员）管理，包括：添加、删除、修改；系统管理员采用分权分级的管理 方式，每个管理员都有其授权工作范围和管理权限；  安全工作域结构管理，包括创建组织结构层次深度以及添加、删除系统组织结构；  客户端代理的添加、安装和卸载；  客户端代理策略的配置和下发；  实时获取被监视计算机的屏幕快照等信息；  设置监视和控制规则；  查看并播放记录在服务器端的历史记录；  查询特定机器特定时刻的历史记录；  监测日志的查看、分析和审计； 极地银河终端与内网安全管理系统 客户端代理模块： 客户端代理模块是安装于受管理主机上的软件。 软件安装支持本地安装和网络安 装等多种方式；客户端代理的卸载只从服务器接收控制台发出的卸载指令，本地用户不能自行卸载、关闭管理程序。 客户端代理的工作平台目前支持Microsoft Windows 系列操作系统包括 Windows 98/Me、 Windows 2020 和 Windows XP。 客户端代理模块主要功能如下：  接收服务器下发的工作策略，并按照该策略控制客户端代理的工作模式；  信息泄露防护，该模块包括对网络层、应用层、媒体介质、打印机和外设接口等的监视控制；  运行监测：实时记录文件的操作，进程、服务、驱动、用户和组的变化情况；  资产管 理：接收服务器指令，上传系统的软件、硬件信息；  定时采集数据并保存，并将采集的数据传送到服务器；  响应控制台发出的监视请求，传送实时的屏幕快照信息；  根据系统的设置控制计算机的操作； 河南中烟许昌卷烟厂 XCXXZB2020004 号 郑州苏富特软件有限公司 14  和服务器通信完成补丁的检测、下载和安装；  完成安全接入管理的实际功能。 极地银河终端与内网安全管理系统 主要功能 桌面安全 管理 桌面安全管理重点解决客户端计算机桌面安全管理和行为的审计。 极地银河终端与内网安全管理系统 可以管理客户端的用户密码和防病 毒软件等安全相关系统的管理，并可以详细记录客户端计算机上的文件、网站、程序、端口、即时通信工具等的使用情况。 同时可以对允许用户使用的文档、程序、网站、端口等进行管理。 桌面安全管理可以分为桌面安全及审计和桌面管理与运维两个大的功能项。 桌面安全 及审计  桌面密码权限管理 可以查看计算机上所有已有的用户及其权限，并可以远程修改密码以增强其密码安全性。  终端统一防火墙 终端具有主机防火墙功能，可以统一设置终端的本地 /远程端口访问策略，屏蔽不必要的端口，提高终端网络安全性。  防病毒软件管理 可以检测终端上是否安装有防 病毒软件，以及安装的防病毒软件是否处于工作状态，病毒库是否过期等信息。 极地银河终端与内网安全管理系统 可以辅助客户端完成防病毒软件病毒库的更新，对于未安装防病毒系统的客户端，也可以远程为其安装指定的防病毒软件。  终端在线 /离线策略管理 极地银河终端与内网安全管理系统 可以对终端在线 /离线 2 种状态下应用的策略分别予以设置。 客户端和服务器连接能够进行通信时为在线状态，无法和服务器完成通信时即为离线状态。 通过对在线 /离线 2 中状态设置不 同的策略，对 河南中烟许昌卷烟厂 XCXXZB2020004 号 郑州苏富特软件有限公司 15 于经常移动办公的设备（如笔记本）可以提供更加灵活实用的管理。  硬件变化审计 可以获取终端硬件的配置信息，能够监测其变化，对于硬件变化能够记录日志并根据策略产生系统报警信息。  软件变化审计 可以获取终端软件的安装情况，能够监测其变化，对于软件的添加删除等变化能够记录日志并根据策略产生系统报警信息。  终端用户变化审计 可以发现终端用户的变化（如添加 /删除用户），记录日志并根据策略产生系统报警信息。  文件访问审计与管理 可以记录计算机上对各种文件和文件夹的访问和操作情况，并可以根据管理员的设置，禁止对 指定文件的操作。  上网 访问行为审计与管理 可以记录终端系统浏览互联网的情况，并能产生统计图表让管理员查看用户的使用情况。 可以阻止计算机浏览指定的网站。  系统进程审计与管理 可以记录终端系统上所有使用过的程序和运行过的进程，并能产生统计图表让管理员查看用户的程序使用情况。 可以阻止指定的进程在计算机上运行。  网络共享审计与管理 可以记录终端系统上所有的共享文件夹，并可以远程对共享文件夹予以关闭。  网络端口通信审计 可以对终端的网络端口与协议使用情况进行监测和审计。  终端用户屏幕审计 可以定时抓取终端计算的屏幕， 并按照时间顺序予以记录，供管理员查阅。  打印审计与管理 可以监测终端计算机进行打印的事件，记录日志并可以根据策略产生报警信息。 可以禁止终端计算机的打印操作。 河南中烟许昌卷烟厂 XC。