【正文】 系統(tǒng)經(jīng)常被發(fā)現(xiàn)有嚴重的漏洞存在，直接威脅到計算機之間 的非法訪問，如直接在未授權的情況下從一臺機器訪問到另一臺機器的文件。 對于一般企業(yè)來說，既缺乏專業(yè)的人才，又沒有相應的軟件，要做好企業(yè)信息安全會有更多的困難。內(nèi)網(wǎng)存在如下安全隱患： ? 局域網(wǎng)速度快，信息容易快速被竊取，監(jiān)控時機轉瞬即失； ? 局域網(wǎng)接入容易，通常只要選用通用的信息設備即可連入網(wǎng)絡； ? 一般局域網(wǎng)接入身份驗證措施簡單； ? 絕大多數(shù)局域網(wǎng)上的信息都未被加密，采用明文傳輸； ? 內(nèi)網(wǎng)的用戶往往 有權 直接對數(shù)據(jù)庫、服務器進行操作，有對關鍵數(shù)據(jù)進行誤操作、有意 竊取或者破壞 的機會； ? 計算機系統(tǒng)外部設備的使用不當會造成泄密； ? 許多內(nèi)網(wǎng)用戶 對口令不重視， 采用 弱口令 ，使得內(nèi)網(wǎng)中 黑客的口令破解程序更易奏效 ； ? 內(nèi)網(wǎng)多采用基于 Client/Server 方式，客戶 端直接對服務器操作，信息數(shù)據(jù)在內(nèi)網(wǎng)上傳輸非常不安全。沒有內(nèi)部網(wǎng)絡安全管理的信息系統(tǒng)，使得任何人都可能有意或無意造成安全隱患、導致災難。如有些人由于不知道計算機的電磁波輻射會泄露秘密信息，計算機工作時未采取任何措施，因而給他人提供竊密的機會。如有的單位沒有配備專門的計算機維護管理人員，或者機房管理不嚴格，無關人員可以隨意進出機房。由于電子信息文檔不象傳統(tǒng)文檔那樣直觀，極易被復制，且不會留下痕跡，所以竊取秘密也非常容易。 15 終端計算機有少部分仍然使用 win9 win98 等沒有登錄機制的操作系統(tǒng)，應該予以更換，性能不夠的計算機應該被替換。 ? 缺乏內(nèi)網(wǎng)的安全解決方案 對內(nèi)網(wǎng)安全系統(tǒng)和方案的缺乏，也對內(nèi)網(wǎng)的安全管理帶來了一定的阻礙 ： 大多數(shù)安全系統(tǒng)都只是來自于外部的入侵。 為什么我們的企業(yè)長期以來都是打 兵來將擋，水來土掩 的被動防御戰(zhàn)？究 其原因，是因為 我們的 企業(yè)看重的只是傳統(tǒng)的基于網(wǎng)絡層面的防護系統(tǒng)，而對于未來安全防范的新興力量 — LanSecS(菜恩賽克 )內(nèi)網(wǎng) 安全 管理 軟件認識不夠。內(nèi)網(wǎng)安全管理系統(tǒng)的建設、運行維護以及將來的擴展建設，必須符合經(jīng)濟性原則； ? 易操作原則。內(nèi)網(wǎng)安全管理系統(tǒng)的系統(tǒng)擴展、應用安全建設方面都必須滿足靈活性要求。 北京圣博潤高新技術有限公司（以下簡稱圣博潤）根據(jù) XXXXXX 的需求和國家涉密計算機系統(tǒng)安全要求，提供包括整體安全策略、規(guī)劃、設計、部署、管理、緊急響應以及配套服 務組成的網(wǎng)絡安全整體解決方案。 我們認為，內(nèi)部安全策略分為： （ 1） 主機資源審計與保護策略 主機資源審計策略是對主機資源進行收集、 并現(xiàn)在 統(tǒng)一管理的內(nèi)部安全策略，它指導如何準確、便捷的收集企業(yè)內(nèi)網(wǎng)內(nèi)所有主機的相關信息，同時指導我們根據(jù)不同主機的資源現(xiàn)狀制定不同的保護手段和管理制度。 智 能安全網(wǎng)管 智能安全網(wǎng)管模塊提供強大的內(nèi)網(wǎng)網(wǎng)絡管理和維護功能，是系統(tǒng)管理員理想的安全故障管理系統(tǒng)。通過集中管理、自我防護機制，全面體現(xiàn)了管理層對內(nèi)網(wǎng)關鍵資源的全局控制、把握和調(diào)度能力，為網(wǎng)絡管理人員提供了一種審計、檢查當前系統(tǒng)運行狀態(tài)的有效手段?？梢愿鶕?jù)需要配置受控終端的文件操作、進程、網(wǎng)絡訪問等事件的規(guī)則。安全管理核心系統(tǒng)負責集中配置監(jiān)控規(guī)則，下發(fā)到受控節(jié)點?？梢愿鶕?jù)部門、設備、事件類別等多種條件進行查詢統(tǒng)計，生成各種審計統(tǒng)計報表。 ? 符合當前網(wǎng)絡安全管理的國際、國內(nèi) 標準 符合 國際信息 安全管理體系標準 和技術工程標準， BS 779 ISO 1779SSECMM 等 。 產(chǎn)品設計思想先進，擁有完全自主的知識產(chǎn)權。通過對可視化的網(wǎng)絡拓撲圖的操控，可以對圖上的設備進行操作，管理網(wǎng)絡或進行網(wǎng)絡故障的檢測，加強了對網(wǎng)絡的設備、主機進行管理控制的力度，大大地提高了網(wǎng)絡的管理效率。 ? 集中管理和監(jiān)控 對大量目標資源進行集 中管理，可以監(jiān)督的對象眾多。當網(wǎng)絡中的設備出現(xiàn)故障，網(wǎng)絡鏈路中斷，非法使用受保護的資源時， LanSecS 系統(tǒng)會及時發(fā)出報警信息。在學習狀態(tài)下，系統(tǒng)將按照人工智能的方法，自動學習網(wǎng)絡拓撲結構，并且在網(wǎng)絡拓撲圖中動態(tài)顯示當前的學習成果。 第四章 系統(tǒng)應用部署和安全策略 系統(tǒng)部署 通過管理角色特別是管理端管理角色的變化，結合 LanSecS內(nèi)網(wǎng)安全管理系統(tǒng)應用數(shù)據(jù)服務器支持多級別、分布式部署的特性 ，在實際中， LanSecS內(nèi)網(wǎng)安全管理系統(tǒng)采用以下兩種部署方式：集中式部署和分布式管理部署。 在這種部署應用模式下， LanSecS 內(nèi)網(wǎng)安全管理系統(tǒng)按照企業(yè)網(wǎng)絡結構，可以將整個企業(yè)網(wǎng)絡劃分為一個以上的安全域；在某個安全域內(nèi)，按照該安全域的類型， LanSecS 內(nèi)網(wǎng)安全 管理系統(tǒng)可以將所有下級的安全數(shù)據(jù)信息集中到 LanSecS安全管理核心系統(tǒng)。其中，信息安全技術通過采用包括建設安全的主機系統(tǒng)和安全的網(wǎng)絡系統(tǒng)，并配備適當?shù)陌踩a(chǎn)品的方法來實現(xiàn) 。保證網(wǎng)絡自身安全和業(yè)務安全，首先要有一個可靠的網(wǎng)絡，其次就是要有強有力的網(wǎng)絡管理和網(wǎng)絡安全管理策略和手段。包 括對原有系統(tǒng)穩(wěn)定性、網(wǎng)絡帶寬資源、系統(tǒng)安全性的影響。包括掃描發(fā)現(xiàn)引擎、設備智能探測發(fā)引擎。即使加強管理工作，用戶仍可能想方設法破壞引擎的正常工作，包括將其卸載、停止工作、刪改記錄、不正常運行等。 2） 保證系統(tǒng)不可被病毒軟件發(fā)現(xiàn)。試圖通過啟動配置、注冊分區(qū)表發(fā)現(xiàn)、修改或禁止引擎啟動都不可能。實際上，掃描引擎搜集網(wǎng)絡信息采用定時方式，除開機注冊時需要上傳單機多項信息外，定時掃描時傳送很少量信息，而違法行為也不是大量出現(xiàn)，所以不會引起網(wǎng)絡瓶頸。 第五章 內(nèi)網(wǎng)安全管理系統(tǒng)解決方案設計 簡述 運行本方案的目的是對 XXX 的 主 要信息進行審計和監(jiān)控，以達到地對重要信息高效安全地保護，防止關鍵信息和數(shù)據(jù)的外傳和泄密。 LanSecS就是要讓更多的企業(yè)理解一點 ， 在保護企業(yè)安全的戰(zhàn)役中，與被動的防御方式相比，以 LanSecs 解決方案為代表的 內(nèi)網(wǎng) 安全 與管理 軟件，可超越傳統(tǒng)的 堵漏洞 方式來幫助企業(yè)實現(xiàn)基于角色的安全管理，從打被動的防御戰(zhàn)變?yōu)橹鲃映鰮簟? XXXX 公司 利用公司自有產(chǎn)品《萊恩賽克內(nèi)網(wǎng)安全管理系統(tǒng)》建立起的內(nèi)網(wǎng)安全管理系統(tǒng)的基本組成部分 包括： 如上圖所示， LanSecS內(nèi)網(wǎng)安全管理系統(tǒng)著重于內(nèi)網(wǎng)的安全管理和監(jiān)控，以系統(tǒng)網(wǎng)絡運營管理為基礎，以防內(nèi)網(wǎng)泄密為目標，其核心功能由設備智能探測器、審計監(jiān)控客戶端、安全管理核心平臺（包括內(nèi)網(wǎng)管理、安全審計）協(xié)同完成。同時，審計監(jiān)控客戶端能夠對用戶在受控終端上進行的文件、網(wǎng)絡操作進行審計，自動安裝系統(tǒng)補丁，控制用戶對網(wǎng)絡和各種外設的操作，當發(fā)生非法操作時，能夠及時向安全管理核心平臺發(fā)出報警信息 ? 安全管理平臺 安全管理核心平臺是整個系統(tǒng)的控制中心。 ? 監(jiān)控管理控制中心組件用戶界面接口模塊 監(jiān)控管理控制中心本身在設計上就是為用戶提供一個 C/S 的接口模式，用戶通過專用的管理接口登陸到管理界面 ,對服務器和監(jiān)控客戶端進行配置管理 . 用戶界面接口模塊提供給用戶客戶端工作引擎等的工作模式和策略的定制接口，用戶通過圖形界面對客戶端機器進行管理。 它包含，策略和狀態(tài)定制等工作。 ? 策略和狀態(tài)定制 ： 監(jiān)控引擎工作策略（行為監(jiān)控和報警策略）的唯一定制途徑，工作引擎的策略執(zhí)行和工作狀態(tài)不受目標計算機管理員的干擾，它所執(zhí)行的策略來源就是監(jiān)控管理控制中心的引擎管理模塊。 ? 整理分析監(jiān)控信息數(shù)據(jù)： 針對監(jiān)控信息的分類分析，然后將分析結果提交給查詢的安全監(jiān)控管理員用戶。 ? 監(jiān)控管理控制中心的部署實施 監(jiān)控管理控制中心部署在單位的內(nèi)部網(wǎng)絡中，如下圖所示： 客戶的實際環(huán)境然后部署上監(jiān)控管理中心圖 內(nèi)網(wǎng)安全管理系統(tǒng)組件中的安全監(jiān)控管理控制中心分別部署在專用安全監(jiān)控管理服務器上。一旦發(fā)現(xiàn)了非法入網(wǎng)的機器，我們即對該機器進行信息封堵，包括三種措施： 1） 發(fā)送大量信息封堵包，防止它正常聯(lián)網(wǎng)工作； 2） 發(fā)送混亂 arp 地址表，讓其 無法接入到內(nèi)網(wǎng)中； 3） 直接對交換機端口進行操作，禁止端口或是隔離端口。 所以，我們采用的是向非法計算機發(fā)送混亂 arp 地址表和錯誤信息和網(wǎng)絡設備管理的綜合手段，讓其無法接入到內(nèi)網(wǎng)中。 針對網(wǎng)絡通信設備的監(jiān)控 審計能力 解決信息泄密的根本在與控制網(wǎng)絡通信設備，避免出現(xiàn)安全旁路， XXXX 公司 的客戶端工作引擎可以完全滿足網(wǎng)絡通信設備的控制和審計要求。 ? 以太網(wǎng)卡的監(jiān)控審計： 針對以太網(wǎng)卡的 監(jiān)控審計， XXXX 公司 提供給用戶定制化的接口，保證可以多網(wǎng)卡進行管理 ,不會影響多網(wǎng)卡在內(nèi)網(wǎng)中的正常使用 . ? 紅外設備的審計監(jiān)控： 紅外設備接口可以作為調(diào)制解調(diào)器的撥號接口。 ? ADSL寬 帶網(wǎng)的審計監(jiān)控： 不管是利用 USB 接口的 ADSL 撥號設備，還是利用網(wǎng)卡接口的設備，或者是 LAN以太接入的 ADSL 設備，其實現(xiàn)網(wǎng)絡互連的原理上都需要調(diào)用 PPPOE 服務， XXXX公司 設計的監(jiān)控審計工作引擎在默認策略下是在系統(tǒng)底層屏蔽 PPPOE服務的啟動，即用戶即使掛接了設備，也無法通過 ADSL 撥號上寬帶網(wǎng)絡。針對外圍數(shù)據(jù)傳輸設備的控制，一旦控制中心設定的規(guī)則不允許使用某個設備。 針對外圍數(shù)據(jù)傳輸設備的監(jiān)控審計能力 外圍數(shù)據(jù)傳輸設 備指的是 USB 設備等利用存儲介質進行傳輸?shù)脑O備，比如新掛接一塊硬盤，使用 USB 存儲器，軟驅等，進行數(shù)據(jù)存儲。即使增添多個類似設備。這些網(wǎng)絡通信設備都是監(jiān)控審計工作引擎必須控制的部分。 主機維護管理模塊的部署 主機維護管理模塊在實際部署上是和安全管理平臺監(jiān)控中心部署在一臺服務器上。 由于內(nèi)網(wǎng)聯(lián)網(wǎng)設備形式多樣，如果試圖通過控制網(wǎng)絡設備來阻斷非法機器的連接在很多情況下無效，如對于應用中絕大部分存在的 HUB、無法配置管理的低端交換機等。 ? 主機掃描發(fā)現(xiàn)子模塊功能實現(xiàn) ： 實際意義上的一個掃描引擎，它的主要工作是發(fā)現(xiàn)當前內(nèi)部轄區(qū)網(wǎng)絡內(nèi)的所有計算機，掃描引擎工作出于兩種模式，一種是 icmp 報文發(fā)現(xiàn)模式（個人防火墻可屏蔽），一種是 ARP 數(shù)據(jù)包發(fā)現(xiàn)模式（個人防火墻放行），兩種方式有效的結合，就能發(fā)現(xiàn)網(wǎng)絡內(nèi)部所有的計算機，然后加以甄別。報警信息類則是由監(jiān)控審計工作引擎產(chǎn)生，主要是當前網(wǎng)絡中用戶計算機的操作信息。同樣，針對這個邏輯組，引擎管理子模塊也可以批量改變組內(nèi)工作引擎的工作狀態(tài)（停止，生效）。 ? 網(wǎng)頁安裝方式： 通過網(wǎng)頁下載客戶端程序進行安裝。所以，當IP 地址 +用戶名 +口令都同時滿足，管理人員才能實現(xiàn)正常的登陸管理。 內(nèi)網(wǎng)安全管理系統(tǒng)工作模塊功能分析 本章將針對內(nèi)網(wǎng)安全管理系統(tǒng)的 監(jiān)控管理控制中心模塊、客戶端管理模塊、客戶端工作引擎模塊 進行具體的功能分析。 并阻止非法內(nèi)聯(lián)。通過對每一個網(wǎng)絡用戶行為的監(jiān)視和記錄，將網(wǎng) 絡的安全隱患可視化，提供實時監(jiān)控，并形成完整的日志，為審計提供依據(jù)，從而大大提高內(nèi)部專用網(wǎng)絡的安全性，真正保障每一個 網(wǎng)絡用戶都在授權的范圍內(nèi)合法 地 使用 網(wǎng)絡 和數(shù)據(jù) 。 本方案釷對 XXX 的內(nèi)網(wǎng)安全管理的需求進行了需求分析，分紹了當前的主要的技術，提出了內(nèi)網(wǎng)安全管理系統(tǒng)以及 LanSecS 內(nèi)網(wǎng)安全管理系統(tǒng)的基本要求，給出具體的產(chǎn)品部署和系統(tǒng)實施建議。 當然，隨著逐步往中央集中，各地研究所數(shù)據(jù)傳輸量逐步增大。 安全管理 策略 對于 XXXXXXXX，除安全外，采用監(jiān)