【正文】 南京聯(lián)成科技發(fā)展有限公司 地址：南京龍?bào)粗新?168 號一號館 1311 電話 :02584803103251 網(wǎng)址： ? 內(nèi)網(wǎng)安全管理現(xiàn)狀 在 XXXXXXX 的信息化工作模式中，涉密信息從產(chǎn)生到最終被處理、接受共經(jīng)歷三層，終端層、傳輸層、服務(wù)器層。對每一層，都有同樣的總體要求，即信息不非法外泄、不被篡改、不被惡意毀滅。終端層是最初產(chǎn)生信息和最終接受信息的層面，是工作人員接對話的信息化系統(tǒng)的界面， 傳輸層是信息流的通道，服務(wù)器層是信息流的中心控制區(qū)域及存儲區(qū)域。針對每層有其特點(diǎn)，采取的安全防護(hù)措施也不同。 服務(wù)器層所需要的機(jī)房環(huán)境能夠基本滿足國家對與機(jī)房的安全要求，機(jī)房防護(hù)系統(tǒng)完善，有溫、濕度監(jiān)控， 防火、防盜、電視監(jiān)控。服務(wù)器層是信息數(shù)據(jù)的存放中心，因此海量數(shù)據(jù)存在物理介質(zhì)損壞、病毒攻擊損壞等等損壞或丟失的風(fēng)險(xiǎn)，并且威脅很大。 傳輸層的設(shè)備如交換機(jī)、路由器在專用房間存放，傳輸層的電信號線路在工作時會產(chǎn)生電磁泄漏，因此存在一定的電磁信號被竊聽風(fēng)險(xiǎn)。傳輸層設(shè)備基本采用交換機(jī)，使用 VLAN 以及路由訪問控制 技術(shù)進(jìn)行數(shù)據(jù)交換，并且設(shè)備口令和設(shè)置進(jìn)行嚴(yán)格管理，對于網(wǎng)絡(luò)欺騙、網(wǎng)絡(luò)偵聽等黑客行為有很強(qiáng)的阻擋行為，威脅很小，符合保密要求。 終端層包括 XXXXXXX 的近 XX 臺個人計(jì)算機(jī)，所在的環(huán)境比較復(fù)雜，一部分涉密程度較高的計(jì)算機(jī)處于遠(yuǎn)離 XXXXXXX 物理邊界附近，終端層計(jì)算機(jī)因工作需要安裝軟件時不慎帶入計(jì)算機(jī)病毒產(chǎn)生很大的威脅。終端層計(jì)算機(jī)現(xiàn)在基本上使用WINDOWS 操作系統(tǒng)， WINDOWS 操作系統(tǒng)經(jīng)常被發(fā)現(xiàn)有嚴(yán)重的漏洞存在，直接威脅到計(jì)算機(jī)之間的非法訪問，如直接在未授權(quán)的情況下從一臺機(jī)器訪問到另一臺機(jī)器的文件。 ? 內(nèi) 網(wǎng)安全的問題 在終端層隨著移動存儲器技術(shù)的普及，從計(jì)算機(jī)中將數(shù)字信息帶出 XXXXX 網(wǎng)變得非常簡易，移動存儲介質(zhì)體積輕巧，容易隱藏，安裝方便，因此針對移動存儲行為的有效管理成為我們面臨的重要課題。同時，隨著打印機(jī)在各單位的普及，也產(chǎn)生了打印文件無序的部分局面。單位內(nèi)部也要加強(qiáng)對普通工作人員的管理，安裝單位內(nèi)指定的防病毒軟件，安裝操作系統(tǒng)修補(bǔ)程序。 南京聯(lián)成科技發(fā)展有限公司 地址：南京龍?bào)粗新?168 號一號館 1311 電話 :02584803103251 網(wǎng)址： 對于一般企業(yè)來說，既缺乏專業(yè)的人才，又沒有相應(yīng)的軟件，要做好企業(yè)信息安全會有更多的困難。隨著當(dāng)前信息化建設(shè)的深入，企業(yè)內(nèi)部網(wǎng)絡(luò)節(jié)點(diǎn)不斷增加，各項(xiàng)業(yè)務(wù)數(shù)據(jù)庫不斷增長， 如何確保網(wǎng)絡(luò)及數(shù)據(jù)的安全，已經(jīng)成為我們信息化工作的一個重要任務(wù)。系統(tǒng) 的 安全是一個整體的問題， 要在整體看的同時 ,我們還要 分解 來 看，多個方面 不同角度 分別考慮和實(shí)施。 對于一些內(nèi)部 網(wǎng) 與 互聯(lián)網(wǎng) 有 物理隔離，因而與互聯(lián)網(wǎng)相比，其安全性較高，但在日常運(yùn)行管理中我們?nèi)匀幻媾R 用戶修改系統(tǒng)配置 、 IP地址管理 、 隨意安裝一些軟件，上班時間做自己私事， 違規(guī)使用網(wǎng)絡(luò)事件等問題 出現(xiàn) ,嚴(yán)重的影響了正常的辦公和業(yè)務(wù)來往 . 內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)相比而言，內(nèi)部網(wǎng)絡(luò)速度更快、防范疏漏、安全措施簡單。內(nèi)網(wǎng)存在如下安全隱患： ? 局域網(wǎng)速度快，信息容易快 速被竊取，監(jiān)控時機(jī)轉(zhuǎn)瞬即失； ? 局域網(wǎng)接入容易，通常只要選用通用的信息設(shè)備即可連入網(wǎng)絡(luò)； ? 一般局域網(wǎng)接入身份驗(yàn)證措施簡單； ? 絕大多數(shù)局域網(wǎng)上的信息都未被加密，采用明文傳輸； ? 內(nèi)網(wǎng)的用戶往往 有權(quán) 直接對數(shù)據(jù)庫、服務(wù)器進(jìn)行操作，有對關(guān)鍵數(shù)據(jù)進(jìn)行誤操作、有意 竊取或者破壞 的機(jī)會； ? 計(jì)算機(jī)系統(tǒng)外部設(shè)備的使用不當(dāng)會造成泄密； ? 許多內(nèi)網(wǎng)用戶 對口令不重視， 采用 弱口令 ，使得內(nèi)網(wǎng)中 黑客的口令破解程序更易奏效 ； ? 內(nèi)網(wǎng)多采用基于 Client/Server 方式，客戶端直接對服務(wù)器操作，信息數(shù)據(jù)在內(nèi)網(wǎng)上傳輸非常不安全。 另一方面，內(nèi)部網(wǎng)絡(luò) 的數(shù)據(jù)管理本身通常不是很嚴(yán)謹(jǐn)。核心的機(jī)密數(shù)據(jù)一般只是采用了簡單的授權(quán)口令保護(hù)，產(chǎn)品研發(fā)過程中的各種核心技術(shù)資料和工作資料就更沒有任何的保護(hù)措施，至少對整個開發(fā)組而言，全部的開發(fā)成果和數(shù)據(jù)都是透明的和共享的，對于防誤操作、防失竊和防破壞的保護(hù)幾乎沒有采取任何措 南京聯(lián)成科技發(fā)展有限公司 地址：南京龍?bào)粗新?168 號一號館 1311 電話 :02584803103251 網(wǎng)址： 施。這樣就使得在內(nèi)網(wǎng)中非法取得授權(quán)和獲得資料變得非常的容易。沒有內(nèi)部網(wǎng)絡(luò)安全管理的信息系統(tǒng)，使得任何人都可能有意或無意造成安全隱患、導(dǎo)致災(zāi)難。 ? 具體的內(nèi)網(wǎng)安全問題可以歸結(jié)為 : ? 離線存儲設(shè)備泄密管理 離線存儲設(shè)備防泄密管理主要集中各種移動存儲設(shè)備、打印機(jī)等 設(shè)備的防泄密管理，我們通過對如下泄密途徑的管理，來最終實(shí)現(xiàn)我們的離線存儲設(shè)備防泄密管理需求，包括： 1 移動硬盤信息防泄密管理； 2 移動 U 盤信息防泄密管理； 3 IDE 硬盤信息防泄密管理； 4 SCSI 硬盤信息防泄密管理； 5 軟盤信息防泄密管理； 6 光盤信息防泄密管理； 7 紅外 1394 防泄 密管理； ? 內(nèi)部信息泄密 在大量的安全事件中，最為嚴(yán)重的是企業(yè)內(nèi)部員工直接造成或者參與的非法信息外泄事件，并且由于內(nèi)部員工對于內(nèi)部的組織結(jié)構(gòu)、人員部署、機(jī)構(gòu)設(shè)置相對于外部人員要熟悉的多，因此，內(nèi)部員工造成致使的信息外泄事件往往情節(jié)嚴(yán) 重，并且損失巨大！ 信息外泄的途徑包括： 8 對本地打印機(jī) 、 受控終端撥號訪問情況進(jìn)行審計(jì)； 9 內(nèi)部員工使用涉密計(jì)算機(jī)連接外部網(wǎng)絡(luò)致使泄密。 10 計(jì)算機(jī)工作人員由于對專業(yè)知識的不熟悉而泄密。對電子信息保密的意識還不強(qiáng)，常常由于專業(yè)知識不熟悉而泄密。如有些人由于不知道計(jì)算機(jī)的電磁波輻射會泄露秘密信息，計(jì)算機(jī)工作時未采取任何措施，因而給他人提供竊密的機(jī)會。有些人由于不知道計(jì)算機(jī)軟盤上的剩滋可以提取還原，將曾經(jīng)存貯過秘密信息的軟盤交流出去，因而造成泄密。有些人因事離機(jī)時沒有及時關(guān)機(jī)，或者采取 南京聯(lián)成科技發(fā)展有限公司 地址：南京龍?bào)粗新?168 號一號館 1311 電話 :02584803103251 網(wǎng)址： 屏幕保護(hù)加密措施，使各種輸入、輸 出信息暴露在界面上。 11 規(guī)章制度不健全或者違反規(guī)章制度泄密。如有的單位沒有配備專門的計(jì)算機(jī)維護(hù)管理人員，或者機(jī)房管理不嚴(yán)格，無關(guān)人員可以隨意進(jìn)出機(jī)房。當(dāng)機(jī)器發(fā)生故障時，隨意叫自己的朋友或者外面的人進(jìn)入機(jī)房維修，或者將發(fā)生故障的計(jì)算機(jī)送修前既不做消磁處理，又不安排專人監(jiān)修，造成秘密數(shù)據(jù)被竊。操作人員對涉密信息與非涉密信息沒有分開存儲，甚至將所有的文件都放在一個公共目錄里，也沒有進(jìn)行加密處理或者保護(hù)處理，使涉密信息處于無密可保的狀。 12 故意泄密。由于電子信息文檔不象傳統(tǒng)文檔那樣直觀，極易被復(fù)制，且不會留下痕跡，所 以竊取秘密也非常容易。電子計(jì)算機(jī)操作人員徇私枉法，受親友或朋友委托，通過計(jì)算機(jī)查詢有關(guān)案情，就可以向有關(guān)人員泄露案情。計(jì)算機(jī)操作人員被收買，泄露計(jì)算機(jī)系統(tǒng)軟件保密措施，口令或密鑰，就會使不法分子打入計(jì)算機(jī)網(wǎng)絡(luò)，竊取信息系統(tǒng)、數(shù)據(jù)庫內(nèi)的重要秘密。 ? 缺乏有效的管理機(jī)制 企業(yè)內(nèi)部往往都缺乏比較有效的管理機(jī)制，來對內(nèi)部安全進(jìn)行有效的管理： 13 終端計(jì)算機(jī)操作人員沒有及時安裝防病毒軟件造成病毒攻擊損失或泄密 14 終端計(jì)算機(jī)操作人員沒有及時安裝系統(tǒng)補(bǔ)丁致使惡意代碼入侵造成泄密。 15 終端計(jì)算機(jī)有少部分仍然使用 win9 win98 等沒有登錄機(jī)制的操作系統(tǒng)，應(yīng)該予以更換，性能不夠的計(jì)算機(jī)應(yīng)該被替換。 16 不完善的內(nèi)部安全管理機(jī)制。企業(yè)內(nèi)部有一定數(shù)量的管理機(jī)制，但是這些管理機(jī)制本身存在著一些問題和不足，也導(dǎo)致了內(nèi)部安全管理沒有得到“制度性”的保障； 17 內(nèi)部安全管理機(jī)制不能被有效執(zhí)行。企業(yè)內(nèi)部缺乏有效的管理制度執(zhí)行機(jī)制，使得管理制度不被執(zhí)行，為數(shù)不少的管理制度仍然還只是停留著紙面上。 ? 缺乏內(nèi)網(wǎng)的安全解決方案 對內(nèi)網(wǎng)安全系統(tǒng)和方案的缺乏，也對內(nèi)網(wǎng)的安全管理帶來了一定的阻礙： 大多數(shù)安全系統(tǒng)都只是來自于外部的入侵。針對于來自外部的入侵，已經(jīng)大量 成熟的安全系統(tǒng)來防范，但是內(nèi)部的安全威脅和隱患，卻很少被注意到，或者已經(jīng)注意到，卻沒有完善的安全系統(tǒng)和安全來解決企業(yè)的內(nèi)部安全問題； 南京聯(lián)成科技發(fā)展有限公司 地址：南京龍?bào)粗新?168 號一號館 1311 電話 :02584803103251 網(wǎng)址： 內(nèi)部安全系統(tǒng)還不夠成熟。在少數(shù)的內(nèi)部安全系統(tǒng)中，多數(shù)都只是關(guān)注某個具體的訪問，比如撥號連接控制、文件保護(hù)等，僅僅是一個技術(shù)意義上的產(chǎn)品，不能提出全面的內(nèi)部安全管理方案。 LanSecS內(nèi)網(wǎng)安全管理系統(tǒng)集智能安全網(wǎng)管、內(nèi)網(wǎng)審計(jì)、內(nèi)網(wǎng)監(jiān)控于一體，助有關(guān)企業(yè)信息安全 、泄密問題排憂解難 ，相信會對您的工作有所幫助。 為什么我們的企業(yè)長期以來都是打 兵來將擋，水來土掩 的被動防御戰(zhàn)？究其 原因，是因?yàn)?我們的 企業(yè)看重的只是傳統(tǒng)的基于網(wǎng)絡(luò)層面的防護(hù)系統(tǒng)，而對于未來安全防范的新興力量 — LanSecS(菜恩賽克 )內(nèi)網(wǎng) 安全 管理 軟件認(rèn)識不夠。 第二章 方案原則、依據(jù)及目標(biāo) 方案原則 為保證方案的能夠最終達(dá)到國家保密部門規(guī)定的相關(guān)保密要求 ,在設(shè)計(jì)方案時遵循如下的設(shè)計(jì)原則 : ? 方案先進(jìn)原則： XXXXX 網(wǎng)的內(nèi)網(wǎng)安全管理系統(tǒng)要求功能完善、技術(shù)先進(jìn)、安全可靠、服務(wù)領(lǐng)先； ? 系統(tǒng)安全原則：管理系統(tǒng)自身安全包括物理安全、系統(tǒng)安全、數(shù)據(jù)安全和運(yùn)行安全等； ? 可擴(kuò)展原則：統(tǒng)一規(guī)劃，兼顧長遠(yuǎn)，既要滿足現(xiàn)有的需求，又要 兼顧系統(tǒng)的可擴(kuò)展性，保證分布實(shí)施的延續(xù)性。系統(tǒng)在結(jié)構(gòu)、規(guī)模、應(yīng)用能力等各個方面都必須具備很強(qiáng)的擴(kuò)展能力； ? 按照 GB178591999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》的要求建設(shè)； ? 可靠性原則。執(zhí)行 ISO9002 質(zhì)量認(rèn)證體系要求，確保安全保密設(shè)備的高可靠性和穩(wěn)定性； ? 經(jīng)濟(jì)性原則。內(nèi)網(wǎng)安全管理系統(tǒng)的建設(shè)、運(yùn)行維護(hù)以及將來的擴(kuò)展建設(shè)，必須符合經(jīng)濟(jì)性原則； ? 易操作原則。內(nèi)網(wǎng)安全管理系統(tǒng)的使用、維護(hù)、管理、發(fā)行等方面要易操 南京聯(lián)成科技發(fā)展有限公司 地址：南京龍?bào)粗新?168 號一號館 1311 電話 :02584803103251 網(wǎng)址