lansecs内网安全管理系统解决方案(教育行业

lansecs内网安全管理系统解决方案(教育行业内容摘要：

安装 防护 目前在 教育行业 的单位中，承载各种应用的操作系统 90%以上的端终用户使用的 都 是 windows2020,XP 或以上的操作系统，但是 这几种 操作系统的安全漏洞非常多， 很容易收到攻击。 微软公司会通过定期发布安全补丁的方式来弥补这些漏洞，但由于 某些员工 用户缺乏相关知识， 或者处于研发部门的设计网是和单位局域网物理隔离的网络，从而 导致补丁安装的不完全，不及时，这就会严重影响终端计算机的安全， 一旦发生针对微软操作系统漏洞的攻击，就会 导致 整个网络受到威胁。 . 防病毒防护 员工 由于防范病毒意识较淡薄，没有安装防病毒软件；或者由于个人对防病毒品牌的倾向性，从而发生 没有安装防病毒软件 ，甚至意外卸载， 或防病毒软件没有运行，这样不仅使单台 PC 机受到病毒侵害，而且 一旦感染病毒，可能回向内网的其他 机器传播， 导致整个内网病毒泛滥 ，甚至网络拥塞。 因此一定要保证防病毒软件的安装、正常运行、及时升级。 . 进程防护 由于当前大量病毒以及恶意程序的存在，而这些程序对于普通用户而言并不知情，甚至有些恶意程序通过技术手段使得用户无法通过任务管理器看到其工作进程；另一方面，有些用户可能有意或无意地运行一些可能会影响他人或自己工作的软件 (如网络嗅探器 )。 单位的机器目的是提高员工的生产效率，充分利用上班时间为单位创造更多效益，但是某些娱乐性软件严重影响了员工的工作效率，某些下载软件造成网络速度减慢，影响了内网的正常办公。 因此通过制定策略，实现对非法 进程的监控并阻止，能够大大减少由内部引起的网络安全事件 ，提高我们的工作效率。 教育行 业 解决方案 169。 版权所有 圣博润 第 XI页 . 网页过滤 某些员工访问 Inter 时，由于安全防范意识不够，登陆恶意网站，造成机器受到攻击，从而产生病毒感染、机器不能正常使用，注册表被修改、浏览器无法正常的访问网络；严重的甚至会植入木马，造成机器重要数据的网络泄密。 因此必须对内网机器的网络访问进行必要的过滤。 . 非法外联防护 单位内部的局域网会在网络的出口上，增加相关的安全硬件防护设备，例如：防火墙、 IDS、 IPS、防病毒网关等设备来加 强边界的防护，保证内网的安装。 但是员工由于好奇，或者厌烦上网出口的种种限制，通过 Modem 或 ADSL 拨号方式访问 Inter，极易受到外部网络的攻击；当该机器一旦受到攻击，回到内网后 很 容易将相关病毒、木马向内网传播。 . 终端 涉密信息防护 在现代生活中，信息就是财富。 无论是国家、政府、 学校 和个人都不希望机密 信息被别人窃取，造成各种经济和社会损失。 对 教育行业 单位的设计、研发部门 来说，机密信息的存储、使用和传递过程中，会面临各种各样的泄漏风险。 信息外泄的途径包括：  本地打印机 、网络打印机的非法输出涉密文件；  终端 计算机非法 拨号 、非法外联 访问；  离线存储设备存储涉密文件遗失；  内部员工使用涉密计算机连接外部网络致使泄密 ；  工作人员由于对计算机专业知识的不熟悉而泄密。 从泄密行为的区别上，分为两种泄密：被动泄密和主动泄密。 被动泄密： 由于员工的 电子信息保密的意识还不强，常常由于专业知识不熟悉 或者工作疏忽 而 造成 泄 密。 如有些人由于不知道计算机的电磁波辐射会泄露秘密信息，计算机工作时未采取任何措施，因而给他人提供窃密的机会 ； 有些人由于不知道计算机软盘上的剩磁 可以提取还原，将曾经存贮过秘密信息的软盘交流 教育行 业 解决方案 169。 版权所有 圣博润 第 XII页 出去，因而造成泄密 ； 有些人因事离机时没有及时关机，或者采取屏幕保护加密措施，使各种输入、输出信息暴露在界面上 ；有些人对自己使用的计算机终端缺乏防护意识，如没有及时升级病毒库和更新系统补丁，导致病毒和木马的入侵，在不知不觉中泄露了机密信息。 主动 泄密： 这种情况是由于内部员工出于个人利益或者发泄不满情绪，有意识的收集和窃取机密信息。 由于电子信息文档不像 传统文档那样直观，极易被复制，且不会留下痕迹，所以窃取秘密也非常容易。 电子计算机操作人员徇私枉法，受亲友或朋友委托，通过计算机查询有关案情，就可以向有关人员泄露案情。 计算机操作人员 被收买，泄露计算机系统软件保密措施，口令或密钥，就会使不法分子打入计算机网络，窃取信息系统、数据库内的重要秘密。 对于 教育行业 单位 来说，涉密终端计算机作为涉密信息处理的工具，在其上存储、传输和处理的涉密信息的安全性保护相当重要。 任何一个环节的疏漏均可导致涉密信息的丢失。 因此，必须加强对涉密信息的防护。 当前，对涉密信息的防护需求主要包括如下几个方面： . 终端登录安全认证 终端用户当前通过用户名 /口令方式进行计算机本地 /域登录，然而用户名 /口令方式虽然简单，但是存在很大的安全隐患：  密码管理复杂  密码容易泄漏  存 在暴力破解的可能性  无法阻止他人恶意非法盗用 因此，作为终端安全管理的第一步，首先需要解决终端登录安全认证的问题。 . I/O 接口管理 随着 计算机外设的增多，各种各样的输出设备 （软驱、刻录机、打印机、绘图仪、移动存储设备、红外、蓝牙、无线网络设备） 为信息处理和 传输 提供极大便利的同时，也为机密信息的扩散和泄露带来了可能。 尤其是 USB 接口的计算 教育行 业 解决方案 169。 版权所有 圣博润 第 XIII页 机周边设备的丰富，使得计算机与其他外部设备，如 U 盘， USB 打印机等连接十分方便，并能轻而易举地通过 USB 设备将外部数据导入或者内部数据导出，为重要数据的保护带来了巨大的安全隐 患。 . 桌面 文件 安全管理 作为数据最终处理的 计算机终端 ，存储着大量的业务数据。 由于 Windows操作系统默认将数据以明文方式存储于磁盘上，因此一旦其他未被授权用户能够进入操作系统，都能非常方便地实现对磁盘数据的访问和阅读。 因此，如何确保数据信息在 计算机终端 的安全，也是 计算机终端 安全管理必须考虑的问题。 . 文件 安全共享管理 由于 计算机终端 大多使用 Windows 操作系统，而该操作系统安装后即开放了部分共享目录，同时由于许多用户并未采用安全的访问密码，造成其他用户能够较为方便地通过远程网络实现对他人网络共享数据的访 问。 因此严格控制终端的文件共享，尤其是涉密终端的文件共享，也是桌面系统安全管理的重要内容。 同时，作为常见的文件共享，应能提供安全的用户身份认证机制、完善的共享授权以及详细的访问日志信息。 . 网络 外联 控制 涉密 内网 虽然 不与互联网直接连接，但是内部 人员 可能会 出于各种 原因通过Modem 拨号、 ADSL 上网、无线上网等技术手段将个人终端计算机接入互联网。 这种行为带来的危害不仅包括内部员工通过主动的邮件发送、即时通讯等手段将机密信息发送到内网之外，也为内网增加了来自互联网上的攻击和破坏的风险，从而导致由互联网入侵或者 木马程序等方式造成内网机密信息的被动泄密。 因此对终端 计算机的 网络外联控制 是 防泄密管理 的重要内容之一。 教育行 业 解决方案 169。 版权所有 圣博润 第 XIV页 . 移动存储介质的管理 移动存储介质已经得到普及应用，移动存储介质使用灵活、方便，使它在 各个单位 的 信息化 过程中迅速得到普及，越来越多的敏感信息、秘密数据和档案资料被存贮在移动存储介质里，大量的秘密文件和资料变为磁性介质、光学介质，存贮在无保护的移动存储介质中，这给 学校 涉及设计、研发 信息资源带来相当大的安全隐患。 存储介质作为 学校 核心商业机密和敏感信息的载体，实现对它们安全、有效的管理是保证 学校 信息安全的重要手段。 移动存储介质使用过程中常见的风险包括： 1) 非法拷贝敏感信息和涉密信息到磁盘、 U 盘或其他移动存储介质中； 2) 学校 外部移动存储介质未经授权在内部使用； 3) 学校 内部移动存储介质及信息资源被带出，在外部非授权使用； 4) 使用过程的疏忽； 5) 存贮在媒体中的秘密信息在联网交换时被泄露或被窃取，存贮在媒体中的秘密信息在进行人工交换时泄密； 6) 处理废旧移动存储介质时，由于磁盘经消磁十余次后，仍有办法恢复原来记录的信息，存有秘密信息的磁盘很可能被利用磁盘剩磁提取原记录的信息 —这很容易发生在对磁盘的报废时，或存贮过秘密信息的磁盘，用户 认为已经清除了信息，而给其他人使用； 7) 移动存储介质发生故障时，存有秘密信息的介质不经处理或无人监督就带出修理，或修理时没有懂技术的人员在场监督，而造成泄密； 8) 移动存储介质管理不规范，秘密信息和非秘密信息放在同一媒体上，明密不分，媒体介质不标密级，不按有关规定管理秘密信息的媒体，容易造成泄密； 9) 移动存储设备在更新换代时没有进行技术处理 ； 10)媒体失窃，存有秘密信息的磁盘等媒体被盗，就会造成大量的国家或 学校 秘密信息外泄，其危害程度将是难以估量的， 丢失造成后果非常严重。 综上所述，移动存储介质的管理对 教育行业 来说， 是一个必须关注的问题。 教育行 业 解决方案 169。 版权所有 圣博润 第 XV页 . 网络接入控制 若不对接入网络的计算机设备进行认证，则每一台外来的计算机设备只要通过 涉密网内的 任何一个端口连接，则整个网络都将向其开放，这显然对于 内部 网络 安全 而言是巨大的安全隐患。 因此，需要对计算机终端的接入进行有效的监视和控制。 通过提取接入计算机的物理特征，可以判断该计算机是否为 学校 内网上授权接入的计算机，如果为非授权计算机，则视为非法主机。 对非法主机需要采取必要的方式进行阻断和隔离，从而保证该计算机无法访问内网的相关资源。 另外，对于内网授权使用的计算机，任何一台感染了病毒和木马， 管理人员也无法及时定位和自动阻断该计算机的破坏行为。 往往需要花费很长的时间才能判断和定位该计算机，然后再通过手动的方式断网。 对安全强度差的终端计算机缺乏有效的安全状态检测和内网接入控制， 也 是 内 网 管理人员比较头疼的问题之一。 要想对此类计算机进行接入的控制，首先应该对计算机的安全状态能够实时掌握，例如病毒库的升级情况和操作系统补丁的修补情况等。 只有掌握了计算机的安全状态，才能根据其安全状态判断是否应该对其进行阻断和隔离。 . 计算机终端 管理与 维护 对于 教育行业 单位 庞大的网络和众多的终端计算机 来说 ，依靠传统的资产登记 管理办法，根本无法做到对计算机配置信息的准确掌握，对计算机配置的变化也无法及时跟踪。 例如，要准确掌握每台计算机的软硬件配置信息，通过手工方式将是非常耗时和繁琐的工作。 要想实时并准确地掌握内网终端计算机的配置状况与配置变更状况，必须通过技术手段和工具来辅助实现，才能有效节省成本和资源，提高内网管理的效率。 另外 ， 由于 终端计算机的数量众多，管理人员 也 无法实时掌握每台终端计算机的运行状态。 当终端计算机出现故障需要维护时，管理人员如果采用现场维护的方式，一方面增加了人力成本，另外由于人力资源有限，也无法保证维护的及时性。 如何实时监视终端计算机的运行状况，并且方便地对终端计算机进行远程维护，是 教育行业 单位 网络 管理人员迫切需要解决的问题。 教育行 业 解决方案 169。 版权所有 圣博润 第 XVI页 . 分级分权管理 内网安全管理系统 作为一个计算机终端防护、检测、维护和工具，其特点是管理的计算机数量众多。 管理这么多的计算机，依靠某一位管理员是不现实的，另外，如果 学校 的部门设置较为复杂，分支机构多，则会加剧管理的难度。 因为一个管理员不可能了解所有计算机终端用户的计算机使用细节，所以对管理的深度和强度无法把握。 由于以上的原因，对以一个大型 学校 ，从科学。