【正文】 南京聯成科技發(fā)展有限公司 地址：南京龍蟠中路 168 號一號館 1311 電話 :02584803103251 網址： 作； ? 高效原則。 方案依據 本設計方案的主要依據是國家保密局文件 “涉及國家秘密的計算機信息系統安全保密方案設計指南” （ BMZ22020） ，同時，還參考了以下標準和法規(guī)、文件： ? 國家標準 GB28872020《電子計算機場地通用規(guī)范》； ? 國家標準 GB92541998《信息技術設備的無線電騷擾限值和測量方法》； ? 國家標準 GB93611998《計算站場地安全要求》； ? 國家標準 GB178591999《計算機信息系統安全保護等級劃分準則》； ? 國家標準 GB501741993《電子計算機機房設計規(guī)范》； ? 國家軍用標準 GJB34331998《軍用計算機網絡安全體系結構》； ? 國家公共安全和保密標準 GGBB11999《信息設備電磁泄漏發(fā)射限值》； ? 國家保密標準 BMB21998《使用現場的信息設備電磁泄漏發(fā)射檢查測 試 方法和安全判據》； ? 國家保密標準 BMB31999《處理涉密信息的電磁屏蔽室的技術要求和 測試方法》國家保密標準 BMB42020《電磁干擾器技術要求和測試方法》； ? 國家保密標準 BMB52020《涉密信息設備使用現場的電磁泄漏發(fā)射防 護要求》； ? 國家保密指南 BMZ12020《涉及國家秘密的計算機信息系統保密技術 要求》； ? 國家保密指南 BMZ22020《涉及國家秘密的計算機信息系統安全保密方案設計指南》 南京聯成科技發(fā)展有限公司 地址：南京龍蟠中路 168 號一號館 1311 電話 :02584803103251 網址： ? 國家保密指南 BM232020《涉及國家秘密的計算機信息系統安全保密測評指南》； ? CISPR22 信息技術設備 — 無線電干擾特征 — 極限值和測量方法； ? CISPR24 信息技術設備 — 免疫性特征 — 極限值和測量方法； ? 國務院令 147號《中華人民共和國計算機信息系統安全保護條例》； ? 國務院令 195 號《中華人民共和國計算機信息網絡國際聯網管理暫行規(guī)定》； ? 中華人民共和國公安部令 32 號《計算機信息系統安全專用產品檢測和銷售許可證管理辦法》； ? 國家保密局文件《計算機信息系統保密管理暫行規(guī)定》（國保發(fā) [1998]1號）； ? 中央保密委員會辦公室、國家保密局文件《涉及國家秘密的通信、辦公自動化和計算機信息系統審批暫行辦法》（中保辦發(fā) [1998]6 號）； ? 中共中央辦公廳國務院辦公廳關于轉發(fā)《中共中央保密委員會辦公室、國家保密局關于國家秘密載體保密管理 的規(guī)定》的通知（廳字 [2020]58 號）。 安全管理的安全目標：安全管理是整個內部安 全管理體系的核心，使得安全策略、和安全系統最終形成一個統一的安全整體，為企業(yè)創(chuàng)造真正的價值， 根據 實際情況，規(guī)劃不同密級的安全，為不同用戶制定相應的安全策略，并統一的管理所有設備； 南京聯成科技發(fā)展有限公司 地址：南京龍蟠中路 168 號一號館 1311 電話 :02584803103251 網址： 第三章 系統架構 安全策略規(guī)劃 內網安全策略是企業(yè)實現內網安全管理的基礎，內網安全策略是企業(yè)網絡信息系統安全建設的指導原則、配置規(guī)則和檢查依據。 （ 2） 在線信息保護策略 在線信息保護策略是指根據企業(yè)的實際情況，并結合相關的法規(guī)政策 、企業(yè)制度，對企業(yè)內部暴露在網絡上面的重要信息進行保護的內部安全策略，它指導企業(yè)如何定義重要信息、區(qū)分不同的信息的重要程度、并根據不同信息的重要程度制定不同的保護方案和訪問控制規(guī)則，同時也保證了我們企業(yè)的內部網絡資源得到最大化的合理應用。主要功能包括： ? 自動發(fā)現網絡內所有網絡設備（包括三層和二層設備），通過系統提供的智能學習功能，自動識別網絡的物理拓撲結構，生成網絡物理連接拓撲圖； ? 可以方便地查看可管理設備的配置信息，如 System、 Interface、 IP Address、 Routing、 ARP、 MAC Address、 Flow 等； ? 動態(tài)顯示交換機端口狀態(tài)、流量等信息，可以設置端口流量閥值，當端口流量超過閥值時自動報警，幫助系統管理員監(jiān)視、分析網絡性能； ? 提供未知（未登記） IP地址、 MAC 地址列表 ,自動發(fā)現 有未知受控終端接入的交換機端口，方便系統管理員發(fā)現非法入侵者； ? 實現交換機端口的打開和阻斷控制； ? 自動識別網絡中所有設備的 IP地址、 MAC 地址、設備名稱等基本設備信息； ? 動態(tài)顯示受控終端的當前狀態(tài)，對各種不正常狀態(tài) (如 IP 和 MAC 地址隨意更改、關機、受控終端 Ping 不通、未知設備接入等 )均提供聲音報警和屏幕顯示 南京聯成科技發(fā)展有限公司 地址：南京龍蟠中路 168 號一號館 1311 電話 :02584803103251 網址： 報警； ? 可以按設備類型（如服務器、主機、打印機、交換機、路由器、網關）、 vlan、子網、部門等方法對設備進行分類管理，列表顯示出設備的名稱、所屬部門、 IP地址、 MAC 地址、 發(fā)現時間等信息； ? 可以根據交 換機端口連接的工位對計算機進行管理 ,方便網絡管理員迅速定位出現故障的計算機連接的交換機端口； ? 可以方便地查看受控終端的配置信息、審計日志信息，對受控終端進行屏幕監(jiān)控； ? 自動生成網絡拓撲圖（該網絡的真實物理連接結構圖），并能動態(tài)顯示當前的網絡狀態(tài)，可以對自動生成的網絡拓撲圖進行簡單編輯； ? 既可以在網絡拓撲圖中顯示所有設備（交換機、路由器、受控終端、打印機等）及其連接關系，也可以只顯示所有交換機及其連接關系。 對受控終端進行審計是通過規(guī)則進行的。系統根據規(guī)則自動記錄安全審計日志并存入系統日志信息庫，這些信息是事后了解和判斷網絡安全事故的寶貴資料?？?以根據需要設置規(guī)則，系統根據規(guī)則自動阻止非法操作，并且向控制臺發(fā)出報警信息。包括： ? 安全事件分析報告 ? 計算機配置報告 ? 計算機運行狀況報告 ? 系統進程審計監(jiān)控報告 ? 系統服務審計監(jiān)控報告 ? 系統日志審計監(jiān)控報告 ? 打印輸出審計報告 ? 文件存儲、傳輸審計監(jiān)控報告 ? 網絡訪問監(jiān)控報告 對生成的審計統計報表（或審計日志報表、系統事件報表），可以通過系 統提供的 “報表查看器”進 行瀏覽，同時提供打印預覽功能，支持報表打印。符合 中華人民共和國國家標準 GB178951999《計算機信息系統安全保護等級劃分準則》 。 ? 基于主機和網絡相結合的控制機制 基于主機控制機制可以監(jiān)控指定的主機系統，其控制力度 細；基于網絡的控制機制可以實時監(jiān)控內網的安全隱患， 實現了周密的內網資源保護。 ? 強制的審計監(jiān)控進程 在客戶端隱藏審計 /監(jiān)控進程，使得受控客戶 端不能停止和刪除進程 ，確保安全審計和監(jiān)控，同時不影響客戶端的正常使用。系統對內網中設備、網絡、文件集中管理安全策略 、系統配置、安全事件等。 ? 模塊化設計、簡單易用 系統開發(fā)了獨立模塊以提供對目標主機多層次、多視角的審計，并提供了友好的安全審計中心圖形界面，操作簡單直接，大大降低了用戶后期維護的投入以及網絡系統 /安全管理員的工作難度和工作量。 南京聯成科技發(fā)展有限公司 地址：南京龍蟠中路 168 號一號館 1311 電話 :02584803103251 網址： 領先的安全監(jiān)控和管理技術 LanSecS 內網安全管理系統是一套集成了多項核心技術的實用安全系統。 集中式部署 集中式部署面向小型網絡。 分布式部署 南京聯成科技發(fā)展有限公司 地址：南京龍蟠中路 168 號一號館 1311 電話 :02584803103251 網址： 1. 對于經常出差，策略是統一策略已下發(fā)到本機，所以還是可以保證數據的安全的，同時操作日志會在聯通網之后將日志上傳這到服務，統一管理。 在管理層面，則通過構架信息安全管理體系來實現。隨著網絡應用日趨復雜，單憑網絡管理員的學識和經驗進行網絡管理和安全管理，已經不能適應了。 需要安裝在原有系統上的模塊是客戶機端駐留引擎。 ? 客戶端引擎安全策略 客戶端駐留引擎所完成的功能是整個監(jiān) 控系統要完成的核心功能，實現客戶端監(jiān)控審計的功能。所以，引擎必須保證自身安全可靠性。有一些同類軟件盡管采用了一些隱藏技術，但是避免不了被防病毒軟件發(fā)現。 4） 安全模式下引擎仍然正常發(fā)揮作用。 管理控制臺提供查詢、配 置、報警等功能，平時數據量都很小，只在數據查詢時稍大，顯然不會對網絡帶寬造成大的影響。從而保證內部網絡能夠高效、安全地運作，保證信息化 XXX 系統高效安全可靠地運行。 以主動的安全 管理和安全控制的方式，將內部網絡的安全隱患以技術的手段進行有效的控制，全面保護網絡、系統、應用和數據。 ? 設備智能探測器 設備智能探測器能自動搜索內網中所有網絡設備（包括三層和二層設備），識別網絡中的 SNMP設備。其主要功能是通過搜索網絡中的交換機、路由器、 PC、服務器等各種設備后，收集交換機基本配置信息和各種動態(tài)信息，動態(tài)生成網絡物理連 接拓撲圖；對各種事件通過聲音報警和屏幕提示報警進行響應；對客戶端設備實行屏幕監(jiān)控；定制客戶端的審計、監(jiān)控、補丁分發(fā)、軟件分發(fā)等規(guī)則；采集受控終端的各種配置信息和審計日志，生成豐富實用的統計報表和圖表，為系統管理員維護監(jiān)控網絡及其設備的正常運行提供了方便實用的工具。 ? 用戶界面接口模塊安全考慮 ? IP 地址限制 +用戶名 +口令認證機制 ：圣博潤公司 設計的用戶界面接口模塊提供的一個安全認證機制是，初始管理用戶對監(jiān)控管理控制中心的訪問列表進行定制，指定的 IP 地址 .但是，如果只有 IP地址符合要求，仍然不能實 南京聯成科技發(fā)展有限公司