【正文】 南京聯(lián)成科技發(fā)展有限公司 地址：南京龍蟠中路 168 號一號館 1311 電話 :02584803103251 網(wǎng)址： 作； ? 高效原則。 方案依據(jù) 本設計方案的主要依據(jù)是國家保密局文件 “涉及國家秘密的計算機信息系統(tǒng)安全保密方案設計指南” （ BMZ22020） ，同時，還參考了以下標準和法規(guī)、文件： ? 國家標準 GB28872020《電子計算機場地通用規(guī)范》； ? 國家標準 GB92541998《信息技術設備的無線電騷擾限值和測量方法》； ? 國家標準 GB93611998《計算站場地安全要求》； ? 國家標準 GB178591999《計算機信息系統(tǒng)安全保護等級劃分準則》； ? 國家標準 GB501741993《電子計算機機房設計規(guī)范》； ? 國家軍用標準 GJB34331998《軍用計算機網(wǎng)絡安全體系結構》； ? 國家公共安全和保密標準 GGBB11999《信息設備電磁泄漏發(fā)射限值》； ? 國家保密標準 BMB21998《使用現(xiàn)場的信息設備電磁泄漏發(fā)射檢查測 試 方法和安全判據(jù)》； ? 國家保密標準 BMB31999《處理涉密信息的電磁屏蔽室的技術要求和 測試方法》國家保密標準 BMB42020《電磁干擾器技術要求和測試方法》； ? 國家保密標準 BMB52020《涉密信息設備使用現(xiàn)場的電磁泄漏發(fā)射防 護要求》； ? 國家保密指南 BMZ12020《涉及國家秘密的計算機信息系統(tǒng)保密技術 要求》； ? 國家保密指南 BMZ22020《涉及國家秘密的計算機信息系統(tǒng)安全保密方案設計指南》 南京聯(lián)成科技發(fā)展有限公司 地址：南京龍蟠中路 168 號一號館 1311 電話 :02584803103251 網(wǎng)址： ? 國家保密指南 BM232020《涉及國家秘密的計算機信息系統(tǒng)安全保密測評指南》； ? CISPR22 信息技術設備 — 無線電干擾特征 — 極限值和測量方法； ? CISPR24 信息技術設備 — 免疫性特征 — 極限值和測量方法； ? 國務院令 147號《中華人民共和國計算機信息系統(tǒng)安全保護條例》； ? 國務院令 195 號《中華人民共和國計算機信息網(wǎng)絡國際聯(lián)網(wǎng)管理暫行規(guī)定》； ? 中華人民共和國公安部令 32 號《計算機信息系統(tǒng)安全專用產品檢測和銷售許可證管理辦法》； ? 國家保密局文件《計算機信息系統(tǒng)保密管理暫行規(guī)定》（國保發(fā) [1998]1號）； ? 中央保密委員會辦公室、國家保密局文件《涉及國家秘密的通信、辦公自動化和計算機信息系統(tǒng)審批暫行辦法》（中保辦發(fā) [1998]6 號）； ? 中共中央辦公廳國務院辦公廳關于轉發(fā)《中共中央保密委員會辦公室、國家保密局關于國家秘密載體保密管理 的規(guī)定》的通知（廳字 [2020]58 號）。 安全管理的安全目標：安全管理是整個內部安 全管理體系的核心，使得安全策略、和安全系統(tǒng)最終形成一個統(tǒng)一的安全整體，為企業(yè)創(chuàng)造真正的價值， 根據(jù) 實際情況，規(guī)劃不同密級的安全，為不同用戶制定相應的安全策略，并統(tǒng)一的管理所有設備； 南京聯(lián)成科技發(fā)展有限公司 地址：南京龍蟠中路 168 號一號館 1311 電話 :02584803103251 網(wǎng)址： 第三章 系統(tǒng)架構 安全策略規(guī)劃 內網(wǎng)安全策略是企業(yè)實現(xiàn)內網(wǎng)安全管理的基礎，內網(wǎng)安全策略是企業(yè)網(wǎng)絡信息系統(tǒng)安全建設的指導原則、配置規(guī)則和檢查依據(jù)。 （ 2） 在線信息保護策略 在線信息保護策略是指根據(jù)企業(yè)的實際情況，并結合相關的法規(guī)政策 、企業(yè)制度，對企業(yè)內部暴露在網(wǎng)絡上面的重要信息進行保護的內部安全策略，它指導企業(yè)如何定義重要信息、區(qū)分不同的信息的重要程度、并根據(jù)不同信息的重要程度制定不同的保護方案和訪問控制規(guī)則，同時也保證了我們企業(yè)的內部網(wǎng)絡資源得到最大化的合理應用。主要功能包括： ? 自動發(fā)現(xiàn)網(wǎng)絡內所有網(wǎng)絡設備（包括三層和二層設備），通過系統(tǒng)提供的智能學習功能，自動識別網(wǎng)絡的物理拓撲結構，生成網(wǎng)絡物理連接拓撲圖； ? 可以方便地查看可管理設備的配置信息，如 System、 Interface、 IP Address、 Routing、 ARP、 MAC Address、 Flow 等； ? 動態(tài)顯示交換機端口狀態(tài)、流量等信息，可以設置端口流量閥值，當端口流量超過閥值時自動報警，幫助系統(tǒng)管理員監(jiān)視、分析網(wǎng)絡性能； ? 提供未知（未登記） IP地址、 MAC 地址列表 ,自動發(fā)現(xiàn) 有未知受控終端接入的交換機端口，方便系統(tǒng)管理員發(fā)現(xiàn)非法入侵者； ? 實現(xiàn)交換機端口的打開和阻斷控制； ? 自動識別網(wǎng)絡中所有設備的 IP地址、 MAC 地址、設備名稱等基本設備信息； ? 動態(tài)顯示受控終端的當前狀態(tài)，對各種不正常狀態(tài) (如 IP 和 MAC 地址隨意更改、關機、受控終端 Ping 不通、未知設備接入等 )均提供聲音報警和屏幕顯示 南京聯(lián)成科技發(fā)展有限公司 地址：南京龍蟠中路 168 號一號館 1311 電話 :02584803103251 網(wǎng)址： 報警； ? 可以按設備類型（如服務器、主機、打印機、交換機、路由器、網(wǎng)關）、 vlan、子網(wǎng)、部門等方法對設備進行分類管理，列表顯示出設備的名稱、所屬部門、 IP地址、 MAC 地址、 發(fā)現(xiàn)時間等信息； ? 可以根據(jù)交 換機端口連接的工位對計算機進行管理 ,方便網(wǎng)絡管理員迅速定位出現(xiàn)故障的計算機連接的交換機端口； ? 可以方便地查看受控終端的配置信息、審計日志信息，對受控終端進行屏幕監(jiān)控； ? 自動生成網(wǎng)絡拓撲圖（該網(wǎng)絡的真實物理連接結構圖），并能動態(tài)顯示當前的網(wǎng)絡狀態(tài)，可以對自動生成的網(wǎng)絡拓撲圖進行簡單編輯； ? 既可以在網(wǎng)絡拓撲圖中顯示所有設備（交換機、路由器、受控終端、打印機等）及其連接關系，也可以只顯示所有交換機及其連接關系。 對受控終端進行審計是通過規(guī)則進行的。系統(tǒng)根據(jù)規(guī)則自動記錄安全審計日志并存入系統(tǒng)日志信息庫，這些信息是事后了解和判斷網(wǎng)絡安全事故的寶貴資料。可 以根據(jù)需要設置規(guī)則，系統(tǒng)根據(jù)規(guī)則自動阻止非法操作，并且向控制臺發(fā)出報警信息。包括： ? 安全事件分析報告 ? 計算機配置報告 ? 計算機運行狀況報告 ? 系統(tǒng)進程審計監(jiān)控報告 ? 系統(tǒng)服務審計監(jiān)控報告 ? 系統(tǒng)日志審計監(jiān)控報告 ? 打印輸出審計報告 ? 文件存儲、傳輸審計監(jiān)控報告 ? 網(wǎng)絡訪問監(jiān)控報告 對生成的審計統(tǒng)計報表（或審計日志報表、系統(tǒng)事件報表），可以通過系 統(tǒng)提供的 “報表查看器”進 行瀏覽，同時提供打印預覽功能，支持報表打印。符合 中華人民共和國國家標準 GB178951999《計算機信息系統(tǒng)安全保護等級劃分準則》 。 ? 基于主機和網(wǎng)絡相結合的控制機制 基于主機控制機制可以監(jiān)控指定的主機系統(tǒng)，其控制力度 細；基于網(wǎng)絡的控制機制可以實時監(jiān)控內網(wǎng)的安全隱患， 實現(xiàn)了周密的內網(wǎng)資源保護。 ? 強制的審計監(jiān)控進程 在客戶端隱藏審計 /監(jiān)控進程，使得受控客戶 端不能停止和刪除進程 ，確保安全審計和監(jiān)控，同時不影響客戶端的正常使用。系統(tǒng)對內網(wǎng)中設備、網(wǎng)絡、文件集中管理安全策略 、系統(tǒng)配置、安全事件等。 ? 模塊化設計、簡單易用 系統(tǒng)開發(fā)了獨立模塊以提供對目標主機多層次、多視角的審計，并提供了友好的安全審計中心圖形界面，操作簡單直接，大大降低了用戶后期維護的投入以及網(wǎng)絡系統(tǒng) /安全管理員的工作難度和工作量。 南京聯(lián)成科技發(fā)展有限公司 地址：南京龍蟠中路 168 號一號館 1311 電話 :02584803103251 網(wǎng)址： 領先的安全監(jiān)控和管理技術 LanSecS 內網(wǎng)安全管理系統(tǒng)是一套集成了多項核心技術的實用安全系統(tǒng)。 集中式部署 集中式部署面向小型網(wǎng)絡。 分布式部署 南京聯(lián)成科技發(fā)展有限公司 地址：南京龍蟠中路 168 號一號館 1311 電話 :02584803103251 網(wǎng)址： 1. 對于經(jīng)常出差，策略是統(tǒng)一策略已下發(fā)到本機，所以還是可以保證數(shù)據(jù)的安全的，同時操作日志會在聯(lián)通網(wǎng)之后將日志上傳這到服務，統(tǒng)一管理。 在管理層面，則通過構架信息安全管理體系來實現(xiàn)。隨著網(wǎng)絡應用日趨復雜，單憑網(wǎng)絡管理員的學識和經(jīng)驗進行網(wǎng)絡管理和安全管理，已經(jīng)不能適應了。 需要安裝在原有系統(tǒng)上的模塊是客戶機端駐留引擎。 ? 客戶端引擎安全策略 客戶端駐留引擎所完成的功能是整個監(jiān) 控系統(tǒng)要完成的核心功能，實現(xiàn)客戶端監(jiān)控審計的功能。所以，引擎必須保證自身安全可靠性。有一些同類軟件盡管采用了一些隱藏技術，但是避免不了被防病毒軟件發(fā)現(xiàn)。 4） 安全模式下引擎仍然正常發(fā)揮作用。 管理控制臺提供查詢、配 置、報警等功能，平時數(shù)據(jù)量都很小，只在數(shù)據(jù)查詢時稍大，顯然不會對網(wǎng)絡帶寬造成大的影響。從而保證內部網(wǎng)絡能夠高效、安全地運作，保證信息化 XXX 系統(tǒng)高效安全可靠地運行。 以主動的安全 管理和安全控制的方式，將內部網(wǎng)絡的安全隱患以技術的手段進行有效的控制，全面保護網(wǎng)絡、系統(tǒng)、應用和數(shù)據(jù)。 ? 設備智能探測器 設備智能探測器能自動搜索內網(wǎng)中所有網(wǎng)絡設備（包括三層和二層設備），識別網(wǎng)絡中的 SNMP設備。其主要功能是通過搜索網(wǎng)絡中的交換機、路由器、 PC、服務器等各種設備后，收集交換機基本配置信息和各種動態(tài)信息，動態(tài)生成網(wǎng)絡物理連 接拓撲圖；對各種事件通過聲音報警和屏幕提示報警進行響應；對客戶端設備實行屏幕監(jiān)控；定制客戶端的審計、監(jiān)控、補丁分發(fā)、軟件分發(fā)等規(guī)則；采集受控終端的各種配置信息和審計日志，生成豐富實用的統(tǒng)計報表和圖表，為系統(tǒng)管理員維護監(jiān)控網(wǎng)絡及其設備的正常運行提供了方便實用的工具。 ? 用戶界面接口模塊安全考慮 ? IP 地址限制 +用戶名 +口令認證機制 ：圣博潤公司 設計的用戶界面接口模塊提供的一個安全認證機制是，初始管理用戶對監(jiān)控管理控制中心的訪問列表進行定制，指定的 IP 地址 .但是，如果只有 IP地址符合要求，仍然不能實 南京聯(lián)成科技發(fā)展有限公司