lansecs内网安全管理系统解决方案

lansecs内网安全管理系统解决方案内容摘要：

： 作；  高效原则。 内网安全管理系统的处理能力要求能满足现阶段的实际需求，保证系统的高效运行， 并能根据系统的发展进行不断提升；  功能完整原则。 内网安全管理系统的功能完整，应用安全扩展系统功能完整；  灵活性原则。 内网安全管理系统的系统扩展、应用安全建设方面都必须满足灵活性要求。 方案依据 本设计方案的主要依据是国家保密局文件 “涉及国家秘密的计算机信息系统安全保密方案设计指南” （ BMZ22020） ，同时，还参考了以下标准和法规、文件：  国家标准 GB28872020《电子计算机场地通用规范》；  国家标准 GB92541998《信息技术设备的无线电骚扰限值和测量方法》；  国家标准 GB93611998《计算站场地安全要求》；  国家标准 GB178591999《计算机信息系统安全保护等级划分准则》；  国家标准 GB501741993《电子计算机机房设计规范》；  国家军用标准 GJB34331998《军用计算机网络安全体系结构》；  国家公共安全和保密标准 GGBB11999《信息设备电磁泄漏发射限值》；  国家保密标准 BMB21998《使用现场的信息设备电磁泄漏发射检查测 试 方法和安全判据》；  国家保密标准 BMB31999《处理涉密信息的电磁屏蔽室的技术要求和 测试方法》国家保密标准 BMB42020《电磁干扰器技术要求和测试方法》；  国家保密标准 BMB52020《涉密信息设备使用现场的电磁泄漏发射防 护要求》；  国家保密指南 BMZ12020《涉及国家秘密的计算机信息系统保密技术 要求》；  国家保密指南 BMZ22020《涉及国家秘密的计算机信息系统安全保密方案设计指南》 南京联成科技发展有限公司 地址：南京龙蟠中路 168 号一号馆 1311 电话 :02584803103251 网址：  国家保密指南 BM232020《涉及国家秘密的计算机信息系统安全保密测评指南》；  CISPR22 信息技术设备 — 无线电干扰特征 — 极限值和测量方法；  CISPR24 信息技术设备 — 免疫性特征 — 极限值和测量方法；  国务院令 147号《中华人民共和国计算机信息系统安全保护条例》；  国务院令 195 号《中华人民共和国计算机信息网络国际联网管理暂行规定》；  中华人民共和国公安部令 32 号《计算机信息系统安全专用产品检测和销售许可证管理办法》；  国家保密局文件《计算机信息系统保密管理暂行规定》（国保发 [1998]1号）；  中央保密委员会办公室、国家保密局文件《涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法》（中保办发 [1998]6 号）；  中共中央办公厅国务院办公厅关于转发《中共中央保密委员会办公室、国家保密局关于国家秘密载体保密管理 的规定》的通知（厅字 [2020]58 号）。 方案目标 XXXXX 要求最大可能的保护其办公网络和系统资源与数据可以得到充分的信任，获得良好的管理。 本项目的总体目标是在不影响 XXXXX 网络正常工作的前提下，实现对网络的全面安全加固，最终达到国家保密部门规定的相关保密要求。 北京圣博润高新技术有限公司（以下简称圣博润）根据 XXXXXX 的需求和国家涉密计算机系统安全要求，提供包括整体安全策略、规划、设计、部署、管理、紧急响应以及配套服务组成的网络安全整体解决方案。 安全管理的安全目标：安全管理是整个内部安 全管理体系的核心，使得安全策略、和安全系统最终形成一个统一的安全整体，为企业创造真正的价值， 根据 实际情况，规划不同密级的安全，为不同用户制定相应的安全策略，并统一的管理所有设备； 南京联成科技发展有限公司 地址：南京龙蟠中路 168 号一号馆 1311 电话 :02584803103251 网址： 第三章 系统架构 安全策略规划 内网安全策略是企业实现内网安全管理的基础，内网安全策略是企业网络信息系统安全建设的指导原则、配置规则和检查依据。 内网安全系统的建设主要依据企业网络信息系统统一的内部安全策略。 内部安全策略是一种指导方法，通常都以一种规范、制度、流程等体现出来，用以指导我们快速、合理、全面的建设内部安全 系统，同时我们所规划和实现的内部安全策略本身又是可扩展的，随 着 时间的不断推移和内部安全需求的进一步变化，我们都是根据调整企业的内部安全策略来更好的指导我们建设内部安全系统。 我们认为，内部安全策略分为： （ 1） 主机资源审计与保护策略 主机资源审计策略是对主机资源进行收集、 并现在 统一管理的内部安全策略，它指导如何准确、便捷的收集企业内网内所有主机的相关信息，同时指导我们根据不同主机的资源现状制定不同的保护手段和管理制度。 （ 2） 在线信息保护策略 在线信息保护策略是指根据企业的实际情况，并结合相关的法规政策 、企业制度，对企业内部暴露在网络上面的重要信息进行保护的内部安全策略，它指导企业如何定义重要信息、区分不同的信息的重要程度、并根据不同信息的重要程度制定不同的保护方案和访问控制规则，同时也保证了我们企业的内部网络资源得到最大化的合理应用。 （ 3） 离线信息保护策略 离线信息保护策略是指根据企业的实际情况，并结合相关的法规政策、企业制度，对企业内部可以通过可以离线方式（包括移动存储设备、打印设备等等） 南京联成科技发展有限公司 地址：南京龙蟠中路 168 号一号馆 1311 电话 :02584803103251 网址： 传递的重要信息进行保护的内部安全策略，它指导企业如在学会了定义重要信息以及信息的密级后，同时可以有效的将各种离 线的信息传递设备（方式）进行统一的规划和控制。 内网安全系统的建设 一套统一的、安全的、可扩展的内部安全系统是我们构建整个安全目标的重要因素，内部安全系统是我们整个内部安全体系的基础框架，通过我们的内部安全系统，我们可以 ● 具体完成我们的安全管理工作，使我们的管理电子化、自动化； ● 实现安全策略，把安全策略作为系统配置的形式下发到所有终端主机； ● 科学的划分安全域，我们的管理工作趋于统一化、合理化、高效化。 智能安全网管 智能安全网管模块提供强大的内网网络管理和维护功能，是系统 管理员理想的安全故障管理系统。 主要功能包括：  自动发现网络内所有网络设备（包括三层和二层设备），通过系统提供的智能学习功能，自动识别网络的物理拓扑结构，生成网络物理连接拓扑图；  可以方便地查看可管理设备的配置信息，如 System、 Interface、 IP Address、 Routing、 ARP、 MAC Address、 Flow 等；  动态显示交换机端口状态、流量等信息，可以设置端口流量阀值，当端口流量超过阀值时自动报警，帮助系统管理员监视、分析网络性能；  提供未知（未登记） IP地址、 MAC 地址列表 ,自动发现 有未知受控终端接入的交换机端口，方便系统管理员发现非法入侵者；  实现交换机端口的打开和阻断控制；  自动识别网络中所有设备的 IP地址、 MAC 地址、设备名称等基本设备信息；  动态显示受控终端的当前状态，对各种不正常状态 (如 IP 和 MAC 地址随意更改、关机、受控终端 Ping 不通、未知设备接入等 )均提供声音报警和屏幕显示 南京联成科技发展有限公司 地址：南京龙蟠中路 168 号一号馆 1311 电话 :02584803103251 网址： 报警；  可以按设备类型（如服务器、主机、打印机、交换机、路由器、网关）、 vlan、子网、部门等方法对设备进行分类管理，列表显示出设备的名称、所属部门、 IP地址、 MAC 地址、 发现时间等信息；  可以根据交 换机端口连接的工位对计算机进行管理 ,方便网络管理员迅速定位出现故障的计算机连接的交换机端口；  可以方便地查看受控终端的配置信息、审计日志信息，对受控终端进行屏幕监控；  自动生成网络拓扑图（该网络的真实物理连接结构图），并能动态显示当前的网络状态，可以对自动生成的网络拓扑图进行简单编辑；  既可以在网络拓扑图中显示所有设备（交换机、路由器、受控终端、打印机等）及其连接关系，也可以只显示所有交换机及其连接关系。 内网审计 在拥有了有效的防止内部信息泄漏的方式后，对计算机资源的审计和管理也变的同样重要， 如何有效的、最大化的掌握每一个主机的资源状态，对统一的安全管理尤为重要。 通过实时审计网络数据流，根据用户设定的安全控制策略，对受控对象的活动进行审计。 采用基于主机和基于网络相结合的控制机制和技术手段，可以多层次、多手段地实现对网络的控制管理。 通过集中管理、自我防护机制，全面体现了管理层对内网关键资源的全局控制、把握和调度能力，为网络管理人员提供了一种审计、检查当前系统运行状态的有效手段。 对受控终端进行审计是通过规则进行的。 审计规则设置的是对服务器规则控制下的行为的记录和统计。 在服务器设置相应的审计规则后 ，如果客户端所在的设备有符合规则的行为发生，则在服务器的日志中会有相应记录。 可以根据需要配置受控终端的文件操作、进程、网络访问等事件的规则。 系统根据规则自动记录安全审计日志并存入系统日志信息库，这些信息是事后了解和判断网络安全事故的宝贵资料。 南京联成科技发展有限公司 地址：南京龙蟠中路 168 号一号馆 1311 电话 :02584803103251 网址： 审计功能包括：  自动登记受控终端的硬件配置（包括 CPU、内存、硬盘、显示卡、网卡等等），当受控终端的硬件发生变动时能自动向安全管理核心系统发出报警信息；  自动记录受控终端操作系统配置的用户、工作组、逻辑驱动器，当其发生变化时，自动向安全管理核心系统发出报警信息；  对受 控终端安装的系统服务进行审计，自动记录系统服务的启动和停止；  自动记录受控终端上应用程序的安装与卸载情况；  对受控终端上运行的进程进行审计，自动记录进程的启动和停止；  对文件操作进行审计，记录用户对规则指定文件进行的各种操作；  对网络访问进行审计，记录用户对规则指定网址进行的访问操作；  对本地打印机使用情况进行审计；  对受控终端的可移动存储设备的使用情况进行审计；  对拨号访问情况进行审计。 内网监控 对受控终端进行监。