【正文】 南京聯(lián)成科技發(fā)展有限公司 地址：南京龍?bào)粗新?168 號(hào)一號(hào)館 1311 電話 :02584803103251 網(wǎng)址： 作； ? 高效原則。 方案依據(jù) 本設(shè)計(jì)方案的主要依據(jù)是國(guó)家保密局文件 “涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)安全保密方案設(shè)計(jì)指南” （ BMZ22020） ，同時(shí)，還參考了以下標(biāo)準(zhǔn)和法規(guī)、文件： ? 國(guó)家標(biāo)準(zhǔn) GB28872020《電子計(jì)算機(jī)場(chǎng)地通用規(guī)范》； ? 國(guó)家標(biāo)準(zhǔn) GB92541998《信息技術(shù)設(shè)備的無線電騷擾限值和測(cè)量方法》； ? 國(guó)家標(biāo)準(zhǔn) GB93611998《計(jì)算站場(chǎng)地安全要求》； ? 國(guó)家標(biāo)準(zhǔn) GB178591999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》； ? 國(guó)家標(biāo)準(zhǔn) GB501741993《電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范》； ? 國(guó)家軍用標(biāo)準(zhǔn) GJB34331998《軍用計(jì)算機(jī)網(wǎng)絡(luò)安全體系結(jié)構(gòu)》； ? 國(guó)家公共安全和保密標(biāo)準(zhǔn) GGBB11999《信息設(shè)備電磁泄漏發(fā)射限值》； ? 國(guó)家保密標(biāo)準(zhǔn) BMB21998《使用現(xiàn)場(chǎng)的信息設(shè)備電磁泄漏發(fā)射檢查測(cè) 試 方法和安全判據(jù)》； ? 國(guó)家保密標(biāo)準(zhǔn) BMB31999《處理涉密信息的電磁屏蔽室的技術(shù)要求和 測(cè)試方法》國(guó)家保密標(biāo)準(zhǔn) BMB42020《電磁干擾器技術(shù)要求和測(cè)試方法》； ? 國(guó)家保密標(biāo)準(zhǔn) BMB52020《涉密信息設(shè)備使用現(xiàn)場(chǎng)的電磁泄漏發(fā)射防 護(hù)要求》； ? 國(guó)家保密指南 BMZ12020《涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)保密技術(shù) 要求》； ? 國(guó)家保密指南 BMZ22020《涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)安全保密方案設(shè)計(jì)指南》 南京聯(lián)成科技發(fā)展有限公司 地址：南京龍?bào)粗新?168 號(hào)一號(hào)館 1311 電話 :02584803103251 網(wǎng)址： ? 國(guó)家保密指南 BM232020《涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)安全保密測(cè)評(píng)指南》； ? CISPR22 信息技術(shù)設(shè)備 — 無線電干擾特征 — 極限值和測(cè)量方法； ? CISPR24 信息技術(shù)設(shè)備 — 免疫性特征 — 極限值和測(cè)量方法； ? 國(guó)務(wù)院令 147號(hào)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》； ? 國(guó)務(wù)院令 195 號(hào)《中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定》； ? 中華人民共和國(guó)公安部令 32 號(hào)《計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品檢測(cè)和銷售許可證管理辦法》； ? 國(guó)家保密局文件《計(jì)算機(jī)信息系統(tǒng)保密管理暫行規(guī)定》（國(guó)保發(fā) [1998]1號(hào)）； ? 中央保密委員會(huì)辦公室、國(guó)家保密局文件《涉及國(guó)家秘密的通信、辦公自動(dòng)化和計(jì)算機(jī)信息系統(tǒng)審批暫行辦法》（中保辦發(fā) [1998]6 號(hào)）； ? 中共中央辦公廳國(guó)務(wù)院辦公廳關(guān)于轉(zhuǎn)發(fā)《中共中央保密委員會(huì)辦公室、國(guó)家保密局關(guān)于國(guó)家秘密載體保密管理 的規(guī)定》的通知（廳字 [2020]58 號(hào)）。 安全管理的安全目標(biāo)：安全管理是整個(gè)內(nèi)部安 全管理體系的核心，使得安全策略、和安全系統(tǒng)最終形成一個(gè)統(tǒng)一的安全整體，為企業(yè)創(chuàng)造真正的價(jià)值， 根據(jù) 實(shí)際情況，規(guī)劃不同密級(jí)的安全，為不同用戶制定相應(yīng)的安全策略，并統(tǒng)一的管理所有設(shè)備； 南京聯(lián)成科技發(fā)展有限公司 地址：南京龍?bào)粗新?168 號(hào)一號(hào)館 1311 電話 :02584803103251 網(wǎng)址： 第三章 系統(tǒng)架構(gòu) 安全策略規(guī)劃 內(nèi)網(wǎng)安全策略是企業(yè)實(shí)現(xiàn)內(nèi)網(wǎng)安全管理的基礎(chǔ)，內(nèi)網(wǎng)安全策略是企業(yè)網(wǎng)絡(luò)信息系統(tǒng)安全建設(shè)的指導(dǎo)原則、配置規(guī)則和檢查依據(jù)。 （ 2） 在線信息保護(hù)策略 在線信息保護(hù)策略是指根據(jù)企業(yè)的實(shí)際情況，并結(jié)合相關(guān)的法規(guī)政策 、企業(yè)制度，對(duì)企業(yè)內(nèi)部暴露在網(wǎng)絡(luò)上面的重要信息進(jìn)行保護(hù)的內(nèi)部安全策略，它指導(dǎo)企業(yè)如何定義重要信息、區(qū)分不同的信息的重要程度、并根據(jù)不同信息的重要程度制定不同的保護(hù)方案和訪問控制規(guī)則，同時(shí)也保證了我們企業(yè)的內(nèi)部網(wǎng)絡(luò)資源得到最大化的合理應(yīng)用。主要功能包括： ? 自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)所有網(wǎng)絡(luò)設(shè)備（包括三層和二層設(shè)備），通過系統(tǒng)提供的智能學(xué)習(xí)功能，自動(dòng)識(shí)別網(wǎng)絡(luò)的物理拓?fù)浣Y(jié)構(gòu)，生成網(wǎng)絡(luò)物理連接拓?fù)鋱D； ? 可以方便地查看可管理設(shè)備的配置信息，如 System、 Interface、 IP Address、 Routing、 ARP、 MAC Address、 Flow 等； ? 動(dòng)態(tài)顯示交換機(jī)端口狀態(tài)、流量等信息，可以設(shè)置端口流量閥值，當(dāng)端口流量超過閥值時(shí)自動(dòng)報(bào)警，幫助系統(tǒng)管理員監(jiān)視、分析網(wǎng)絡(luò)性能； ? 提供未知（未登記） IP地址、 MAC 地址列表 ,自動(dòng)發(fā)現(xiàn) 有未知受控終端接入的交換機(jī)端口，方便系統(tǒng)管理員發(fā)現(xiàn)非法入侵者； ? 實(shí)現(xiàn)交換機(jī)端口的打開和阻斷控制； ? 自動(dòng)識(shí)別網(wǎng)絡(luò)中所有設(shè)備的 IP地址、 MAC 地址、設(shè)備名稱等基本設(shè)備信息； ? 動(dòng)態(tài)顯示受控終端的當(dāng)前狀態(tài)，對(duì)各種不正常狀態(tài) (如 IP 和 MAC 地址隨意更改、關(guān)機(jī)、受控終端 Ping 不通、未知設(shè)備接入等 )均提供聲音報(bào)警和屏幕顯示 南京聯(lián)成科技發(fā)展有限公司 地址：南京龍?bào)粗新?168 號(hào)一號(hào)館 1311 電話 :02584803103251 網(wǎng)址： 報(bào)警； ? 可以按設(shè)備類型（如服務(wù)器、主機(jī)、打印機(jī)、交換機(jī)、路由器、網(wǎng)關(guān)）、 vlan、子網(wǎng)、部門等方法對(duì)設(shè)備進(jìn)行分類管理，列表顯示出設(shè)備的名稱、所屬部門、 IP地址、 MAC 地址、 發(fā)現(xiàn)時(shí)間等信息； ? 可以根據(jù)交 換機(jī)端口連接的工位對(duì)計(jì)算機(jī)進(jìn)行管理 ,方便網(wǎng)絡(luò)管理員迅速定位出現(xiàn)故障的計(jì)算機(jī)連接的交換機(jī)端口； ? 可以方便地查看受控終端的配置信息、審計(jì)日志信息，對(duì)受控終端進(jìn)行屏幕監(jiān)控； ? 自動(dòng)生成網(wǎng)絡(luò)拓?fù)鋱D（該網(wǎng)絡(luò)的真實(shí)物理連接結(jié)構(gòu)圖），并能動(dòng)態(tài)顯示當(dāng)前的網(wǎng)絡(luò)狀態(tài)，可以對(duì)自動(dòng)生成的網(wǎng)絡(luò)拓?fù)鋱D進(jìn)行簡(jiǎn)單編輯； ? 既可以在網(wǎng)絡(luò)拓?fù)鋱D中顯示所有設(shè)備（交換機(jī)、路由器、受控終端、打印機(jī)等）及其連接關(guān)系，也可以只顯示所有交換機(jī)及其連接關(guān)系。 對(duì)受控終端進(jìn)行審計(jì)是通過規(guī)則進(jìn)行的。系統(tǒng)根據(jù)規(guī)則自動(dòng)記錄安全審計(jì)日志并存入系統(tǒng)日志信息庫，這些信息是事后了解和判斷網(wǎng)絡(luò)安全事故的寶貴資料。可 以根據(jù)需要設(shè)置規(guī)則，系統(tǒng)根據(jù)規(guī)則自動(dòng)阻止非法操作，并且向控制臺(tái)發(fā)出報(bào)警信息。包括： ? 安全事件分析報(bào)告 ? 計(jì)算機(jī)配置報(bào)告 ? 計(jì)算機(jī)運(yùn)行狀況報(bào)告 ? 系統(tǒng)進(jìn)程審計(jì)監(jiān)控報(bào)告 ? 系統(tǒng)服務(wù)審計(jì)監(jiān)控報(bào)告 ? 系統(tǒng)日志審計(jì)監(jiān)控報(bào)告 ? 打印輸出審計(jì)報(bào)告 ? 文件存儲(chǔ)、傳輸審計(jì)監(jiān)控報(bào)告 ? 網(wǎng)絡(luò)訪問監(jiān)控報(bào)告 對(duì)生成的審計(jì)統(tǒng)計(jì)報(bào)表（或?qū)徲?jì)日志報(bào)表、系統(tǒng)事件報(bào)表），可以通過系 統(tǒng)提供的 “報(bào)表查看器”進(jìn) 行瀏覽，同時(shí)提供打印預(yù)覽功能，支持報(bào)表打印。符合 中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn) GB178951999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》 。 ? 基于主機(jī)和網(wǎng)絡(luò)相結(jié)合的控制機(jī)制 基于主機(jī)控制機(jī)制可以監(jiān)控指定的主機(jī)系統(tǒng)，其控制力度 細(xì)；基于網(wǎng)絡(luò)的控制機(jī)制可以實(shí)時(shí)監(jiān)控內(nèi)網(wǎng)的安全隱患， 實(shí)現(xiàn)了周密的內(nèi)網(wǎng)資源保護(hù)。 ? 強(qiáng)制的審計(jì)監(jiān)控進(jìn)程 在客戶端隱藏審計(jì) /監(jiān)控進(jìn)程，使得受控客戶 端不能停止和刪除進(jìn)程 ，確保安全審計(jì)和監(jiān)控，同時(shí)不影響客戶端的正常使用。系統(tǒng)對(duì)內(nèi)網(wǎng)中設(shè)備、網(wǎng)絡(luò)、文件集中管理安全策略 、系統(tǒng)配置、安全事件等。 ? 模塊化設(shè)計(jì)、簡(jiǎn)單易用 系統(tǒng)開發(fā)了獨(dú)立模塊以提供對(duì)目標(biāo)主機(jī)多層次、多視角的審計(jì)，并提供了友好的安全審計(jì)中心圖形界面，操作簡(jiǎn)單直接，大大降低了用戶后期維護(hù)的投入以及網(wǎng)絡(luò)系統(tǒng) /安全管理員的工作難度和工作量。 南京聯(lián)成科技發(fā)展有限公司 地址：南京龍?bào)粗新?168 號(hào)一號(hào)館 1311 電話 :02584803103251 網(wǎng)址： 領(lǐng)先的安全監(jiān)控和管理技術(shù) LanSecS 內(nèi)網(wǎng)安全管理系統(tǒng)是一套集成了多項(xiàng)核心技術(shù)的實(shí)用安全系統(tǒng)。 集中式部署 集中式部署面向小型網(wǎng)絡(luò)。 分布式部署 南京聯(lián)成科技發(fā)展有限公司 地址：南京龍?bào)粗新?168 號(hào)一號(hào)館 1311 電話 :02584803103251 網(wǎng)址： 1. 對(duì)于經(jīng)常出差，策略是統(tǒng)一策略已下發(fā)到本機(jī)，所以還是可以保證數(shù)據(jù)的安全的，同時(shí)操作日志會(huì)在聯(lián)通網(wǎng)之后將日志上傳這到服務(wù)，統(tǒng)一管理。 在管理層面，則通過構(gòu)架信息安全管理體系來實(shí)現(xiàn)。隨著網(wǎng)絡(luò)應(yīng)用日趨復(fù)雜，單憑網(wǎng)絡(luò)管理員的學(xué)識(shí)和經(jīng)驗(yàn)進(jìn)行網(wǎng)絡(luò)管理和安全管理，已經(jīng)不能適應(yīng)了。 需要安裝在原有系統(tǒng)上的模塊是客戶機(jī)端駐留引擎。 ? 客戶端引擎安全策略 客戶端駐留引擎所完成的功能是整個(gè)監(jiān) 控系統(tǒng)要完成的核心功能，實(shí)現(xiàn)客戶端監(jiān)控審計(jì)的功能。所以，引擎必須保證自身安全可靠性。有一些同類軟件盡管采用了一些隱藏技術(shù)，但是避免不了被防病毒軟件發(fā)現(xiàn)。 4） 安全模式下引擎仍然正常發(fā)揮作用。 管理控制臺(tái)提供查詢、配 置、報(bào)警等功能，平時(shí)數(shù)據(jù)量都很小，只在數(shù)據(jù)查詢時(shí)稍大，顯然不會(huì)對(duì)網(wǎng)絡(luò)帶寬造成大的影響。從而保證內(nèi)部網(wǎng)絡(luò)能夠高效、安全地運(yùn)作，保證信息化 XXX 系統(tǒng)高效安全可靠地運(yùn)行。 以主動(dòng)的安全 管理和安全控制的方式，將內(nèi)部網(wǎng)絡(luò)的安全隱患以技術(shù)的手段進(jìn)行有效的控制，全面保護(hù)網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用和數(shù)據(jù)。 ? 設(shè)備智能探測(cè)器 設(shè)備智能探測(cè)器能自動(dòng)搜索內(nèi)網(wǎng)中所有網(wǎng)絡(luò)設(shè)備（包括三層和二層設(shè)備），識(shí)別網(wǎng)絡(luò)中的 SNMP設(shè)備。其主要功能是通過搜索網(wǎng)絡(luò)中的交換機(jī)、路由器、 PC、服務(wù)器等各種設(shè)備后，收集交換機(jī)基本配置信息和各種動(dòng)態(tài)信息，動(dòng)態(tài)生成網(wǎng)絡(luò)物理連 接拓?fù)鋱D；對(duì)各種事件通過聲音報(bào)警和屏幕提示報(bào)警進(jìn)行響應(yīng)；對(duì)客戶端設(shè)備實(shí)行屏幕監(jiān)控；定制客戶端的審計(jì)、監(jiān)控、補(bǔ)丁分發(fā)、軟件分發(fā)等規(guī)則；采集受控終端的各種配置信息和審計(jì)日志，生成豐富實(shí)用的統(tǒng)計(jì)報(bào)表和圖表，為系統(tǒng)管理員維護(hù)監(jiān)控網(wǎng)絡(luò)及其設(shè)備的正常運(yùn)行提供了方便實(shí)用的工具。 ? 用戶界面接口模塊安全考慮 ? IP 地址限制 +用戶名 +口令認(rèn)證機(jī)制 ：圣博潤(rùn)公司 設(shè)計(jì)的用戶界面接口模塊提供的一個(gè)安全認(rèn)證機(jī)制是，初始管理用戶對(duì)監(jiān)控管理控制中心的訪問列表進(jìn)行定制，指定的 IP 地址 .但是，如果只有 IP地址符合要求，仍然不能實(shí) 南京聯(lián)成科技發(fā)展有限公司