【正文】 ? 遵循的國(guó)家標(biāo)準(zhǔn)標(biāo)準(zhǔn) 非法接入控制模塊遵循國(guó)家 保密 標(biāo)準(zhǔn) BMB17－ 2020 對(duì)設(shè)備接入控制的要求 。 當(dāng)主機(jī)入網(wǎng)后內(nèi)網(wǎng)管理系統(tǒng)按照非法接入策略進(jìn)行檢查，同時(shí)對(duì)合法主機(jī)檢查入網(wǎng)身份，并驗(yàn)證此主機(jī) 是否已經(jīng) 在身份數(shù)據(jù)庫(kù)中 注冊(cè) 。 非法接入控制功能主要目的是保證內(nèi)網(wǎng)涉密信息及文件不受非法接入設(shè)備的探測(cè)、拷貝、刪除和修改等威脅。 . 操作記錄 對(duì)于移動(dòng)存儲(chǔ)介質(zhì)的入庫(kù)登記、授權(quán)使用、各種違規(guī)操作等， 系統(tǒng) 提供了詳細(xì)的日志記錄。所有的使用過(guò)程，系統(tǒng)都會(huì)記錄相應(yīng)的使用日志。 可信移動(dòng)存儲(chǔ)管 理 模塊 提供了對(duì)可移動(dòng)存儲(chǔ)介質(zhì)從購(gòu)買(mǎi)、使用到銷毀整個(gè)過(guò)程的管理和 控制，借助于注冊(cè)授權(quán)、身份驗(yàn)證、密級(jí)識(shí)別、鎖定自毀、驅(qū)動(dòng)級(jí) 加密 、日志審計(jì)等技術(shù)手段對(duì)可移動(dòng)存儲(chǔ)設(shè)備進(jìn)行失泄密防護(hù)，真正做到了 “拿進(jìn)來(lái)的移動(dòng)存儲(chǔ)器使不了 ”、 “拿出去的移動(dòng)存儲(chǔ)器不能用 ”。 . 移動(dòng)存儲(chǔ)介質(zhì)管理 可信移動(dòng)介質(zhì)解決方案， 主要是實(shí)現(xiàn)如下目標(biāo) ： 1) 通過(guò)移動(dòng)介質(zhì)交換的數(shù)據(jù)必須是密文，保證數(shù)據(jù)離開(kāi)應(yīng)用環(huán)境后不可用 ； 2) 對(duì)移動(dòng)存儲(chǔ)介質(zhì)的讀寫(xiě)權(quán)限進(jìn)行控制，并可以對(duì)移動(dòng)存儲(chǔ)設(shè)備的使用次數(shù)進(jìn)行限制 ； 3) 記錄數(shù)據(jù)交換過(guò)程的工作日志，便于以后進(jìn)行跟蹤審 計(jì)； 4) 未經(jīng)授權(quán)的移動(dòng)介質(zhì)，在工作環(huán)境中不可用，只有經(jīng)過(guò) 學(xué)校 授權(quán)的移動(dòng)介質(zhì)才能進(jìn)入到 學(xué)校 的辦公環(huán)境； 5) 工作配發(fā)的移動(dòng)介質(zhì)帶出辦公環(huán)境后變?yōu)椴豢捎?。在服?wù)器設(shè)置相應(yīng)的審計(jì)規(guī)則后，如果客戶端所 在的設(shè)備有符合規(guī)則的行為發(fā)生，則在服務(wù)器的日志中會(huì)有相應(yīng)記錄。 而且一旦產(chǎn)生相關(guān)的事件，會(huì)產(chǎn)生相關(guān)的預(yù)警信息，及時(shí)同時(shí)管理員。另外，監(jiān)測(cè)系統(tǒng)還可阻斷終端計(jì)算機(jī)的內(nèi)網(wǎng)接入和內(nèi)網(wǎng)訪問(wèn)，確保易被感染的終端計(jì)算機(jī)無(wú)法使用內(nèi)網(wǎng)。 . 終端安全控制 通過(guò)對(duì)補(bǔ)丁分發(fā)、防病毒控制、進(jìn)程監(jiān)控、網(wǎng)頁(yè)過(guò)濾控制，來(lái)盡最大程度保證內(nèi)網(wǎng)機(jī)器的安全性和健壯性，避免由于自身安全性不完善而造成的系統(tǒng)崩潰，抵御已知的一切外部攻擊。 . 流量控制 流量控制包括兩個(gè)方面， 既 可以通過(guò) 控制交換機(jī)的端口 ，使用端口的打開(kāi)和閉合功能實(shí)現(xiàn)對(duì)下連設(shè)備的鏈路流量的開(kāi)啟和關(guān)閉，也可以通過(guò) 客戶端程序?qū)γ總€(gè)終端機(jī)器的網(wǎng)卡流量進(jìn)行設(shè)置，對(duì)于超過(guò)指定閥值的設(shè)備進(jìn)行自動(dòng)的網(wǎng)絡(luò)阻斷，當(dāng)網(wǎng)卡流量恢復(fù)到正常時(shí)，網(wǎng)卡自動(dòng)開(kāi)啟、恢復(fù)網(wǎng)絡(luò)連接 ，保證受控端在指定的流量范圍內(nèi)進(jìn)行網(wǎng)絡(luò)連通。既保證了網(wǎng)絡(luò)的正常運(yùn)行，又可以在出現(xiàn)問(wèn) 題時(shí)能夠盡快解決。 通過(guò)本方案，能夠?qū)崿F(xiàn)對(duì) 單位內(nèi)部局域網(wǎng)進(jìn)行網(wǎng)絡(luò)的統(tǒng)一管理、 計(jì)算機(jī) 終端的統(tǒng)一安全 控制 ，達(dá)到 對(duì)內(nèi)網(wǎng) 終端 計(jì)算機(jī)的 流量控制、安全管理、 終端涉密信息防護(hù) 、網(wǎng)絡(luò) 接入 /外聯(lián)管理、 移動(dòng)存儲(chǔ)介質(zhì)的管理和計(jì)算機(jī)的日常運(yùn)行維護(hù) 。 所謂分級(jí)管理，就是 由上級(jí)機(jī)構(gòu)對(duì)下級(jí)直接進(jìn)行管理，管理上的控制力度可以由上級(jí)機(jī)構(gòu)自主設(shè)定。所謂分權(quán)管理，包括兩層含義。 另外 ， 由于 終端計(jì)算機(jī)的數(shù)量眾多，管理人員 也 無(wú)法實(shí)時(shí)掌握每臺(tái)終端計(jì)算機(jī)的運(yùn)行狀態(tài)。 另外，對(duì)于內(nèi)網(wǎng)授權(quán)使用的計(jì)算機(jī)，任何一臺(tái)感染了病毒和木馬， 管理人員也無(wú)法及時(shí)定位和自動(dòng)阻斷該計(jì)算機(jī)的破壞行為。存儲(chǔ)介質(zhì)作為 學(xué)校 核心商業(yè)機(jī)密和敏感信息的載體，實(shí)現(xiàn)對(duì)它們安全、有效的管理是保證 學(xué)校 信息安全的重要手段 。 . 文件 安全共享管理 由于 計(jì)算機(jī)終端 大多使用 Windows 操作系統(tǒng)，而該操作系統(tǒng)安裝后即開(kāi)放了部分共享目錄，同時(shí)由于許多用戶并未采用安全的訪問(wèn)密碼，造成其他用戶能夠較為方便地通過(guò)遠(yuǎn)程網(wǎng)絡(luò)實(shí)現(xiàn)對(duì)他人網(wǎng)絡(luò)共享數(shù)據(jù)的訪 問(wèn)。因此，必須加強(qiáng)對(duì)涉密信息的防護(hù)。如有些人由于不知道計(jì)算機(jī)的電磁波輻射會(huì)泄露秘密信息，計(jì)算機(jī)工作時(shí)未采取任何措施，因而給他人提供竊密的機(jī)會(huì) ； 有些人由于不知道計(jì)算機(jī)軟盤(pán)上的剩磁 可以提取還原，將曾經(jīng)存貯過(guò)秘密信息的軟盤(pán)交流 教育行 業(yè) 解決方案 169。 . 非法外聯(lián)防護(hù) 單位內(nèi)部的局域網(wǎng)會(huì)在網(wǎng)絡(luò)的出口上，增加相關(guān)的安全硬件防護(hù)設(shè)備，例如：防火墻、 IDS、 IPS、防病毒網(wǎng)關(guān)等設(shè)備來(lái)加 強(qiáng)邊界的防護(hù)，保證內(nèi)網(wǎng)的安裝。 . 防病毒防護(hù) 員工 由于防范病毒意識(shí)較淡薄，沒(méi)有安裝防病毒軟件；或者由于個(gè)人對(duì)防病毒品牌的傾向性，從而發(fā)生 沒(méi)有安裝防病毒軟件 ，甚至意外卸載， 或防病毒軟件沒(méi)有運(yùn)行，這樣不僅使單臺(tái) PC 機(jī)受到病毒侵害，而且 一旦感染病毒，可能回向內(nèi)網(wǎng)的其他 機(jī)器傳播， 導(dǎo)致整個(gè)內(nèi)網(wǎng)病毒泛濫 ，甚至網(wǎng)絡(luò)擁塞。 . IP 地址管理 為了 便于 管理，出現(xiàn)問(wèn)題能夠及時(shí)追查，網(wǎng) 絡(luò)建設(shè)時(shí)管理員通常使用靜態(tài)IP 地址，這對(duì)于管理來(lái)說(shuō)確實(shí)是 一個(gè) 有效可行的措施。 針對(duì) 網(wǎng)絡(luò)管理方面主要包括一下幾個(gè)方面： . 物理 網(wǎng)絡(luò)拓?fù)鋱D 單位的內(nèi)部網(wǎng)絡(luò) 是 由網(wǎng)絡(luò)設(shè)備 共同作用，協(xié)同工作建立 起來(lái)的， 主要設(shè)備有 ：路由器、交換機(jī) 、 HUB，而在局域網(wǎng)中對(duì)數(shù)據(jù)交互起核心作用的是交換機(jī) 。 內(nèi)部網(wǎng)絡(luò)上大多數(shù)的應(yīng)用對(duì) 教育行業(yè) 單位 是 至關(guān) 重要的，甚至 教育行 業(yè) 解決方案 169。但是，在享受到計(jì)算機(jī)以及計(jì)算機(jī) 網(wǎng)絡(luò)所帶來(lái)的方便性的同時(shí)，也出現(xiàn)了目前受到廣泛關(guān)注的對(duì)內(nèi)網(wǎng)設(shè)備如何進(jìn)行有效管理的問(wèn)題，以及由此帶來(lái)的網(wǎng)絡(luò)信息安全問(wèn)題 。 文檔信息 文 檔名稱 內(nèi)網(wǎng)安全 管理系統(tǒng)解決方案 保密級(jí)別 商密 文檔版本號(hào) 制作人 制作日期 審批人 審批日期 擴(kuò)散范圍 XXX 學(xué)校 、 北京圣博潤(rùn)高新技術(shù)股份有限公司 教育行 業(yè) 解決方案 169。 教育行業(yè)內(nèi)網(wǎng)安全管理系統(tǒng)解決方案 教育行 業(yè) 解決方案 169。 版權(quán)所有 圣博潤(rùn) 第 III頁(yè) 目 錄 1. 計(jì)算機(jī)終端安全管理需求分析 .............................................................. VII . 網(wǎng)絡(luò)管理 ................................................................................... VIII . 物理網(wǎng)絡(luò)拓?fù)鋱D ......................................................................... VIII . 流量控制 ................................................................................... VIII . IP 地址管理 ................................................................................. IX . 故障定位 ..................................................................................... IX . 終端安全防護(hù) .............................................................................. IX . 補(bǔ)丁安裝防護(hù) ............................................................................... X . 防病毒防護(hù) .................................................................................. X . 進(jìn)程防護(hù) ...................................................................................... X . 網(wǎng)頁(yè)過(guò)濾 ..................................................................................... XI . 非法外聯(lián)防護(hù) .............................................................................. XI . 終端涉密信息防護(hù) ....................................................................... XI . 終端登錄安全認(rèn)證 ...................................................................... XII . I/O 接口管理 .............................................................................. XII . 桌面文件安全管理 ..................................................................... XIII . 文件安全共享管理 ..................................................................... XIII . 網(wǎng)絡(luò)外聯(lián)控制 ............................................................................ XIII . 移動(dòng)存儲(chǔ)介質(zhì)的管理 .................................................................. XIV . 網(wǎng)絡(luò)接入控制 ............................................................................. XV . 計(jì)算機(jī)終端管理 與維護(hù) ................................................................ XV . 分級(jí)分權(quán)管理 ............................................................................ XVI 2. 計(jì)算機(jī)終端安全防護(hù)解決方案 ............................................................ XVII . 方案目標(biāo) .................................................................................. XVII . 遵循標(biāo)準(zhǔn) .................................................................................. XVII . 方案內(nèi)容 ................................................................................... XIX 教育行 業(yè) 解決方案 169。 目前隨著 教育行業(yè) 單位規(guī)模不斷增大， IT 硬件成本降低、更新?lián)Q代速度比較快，單 位為了提高工作效率，不斷的增加新的設(shè)備；因此機(jī)器數(shù)量和網(wǎng)絡(luò)規(guī)模也隨之增多、增大。 版權(quán)所有 圣博潤(rùn) 第 VIII頁(yè) 是嚴(yán)格保密的 。目前的網(wǎng)管軟件可以對(duì)邏輯拓?fù)鋱D進(jìn)行繪制，對(duì)交換機(jī)的面板信息進(jìn)行提取和控制，但是無(wú)法看到終端設(shè)備和交換機(jī)端口的物理連接關(guān)系，無(wú)法從拓?fù)鋱D上看到下連設(shè)備的信息 。但是由于員工的計(jì)算機(jī)操作水平不同，很可能造成隨意修改 IP 地址帶來(lái)的內(nèi)網(wǎng)地址沖突，這給內(nèi)網(wǎng)管理帶來(lái)很繁瑣的問(wèn)題。因此一定要保證防病毒軟件的安裝、正常運(yùn)行、及時(shí)升級(jí)。但是員工由于好奇，或者厭煩上網(wǎng)出口的種種限制，通過(guò) Modem 或 ADSL 撥號(hào)方式訪問(wèn) Inter，極易受到外部網(wǎng)絡(luò)的攻擊；當(dāng)該機(jī)器一旦受到攻擊，回到內(nèi)網(wǎng)后 很 容易將相關(guān)病毒、木馬向內(nèi)網(wǎng)傳播 。 版權(quán)所有 圣博潤(rùn) 第 XII頁(yè) 出去，因而造成泄密 ； 有些人因事離機(jī)時(shí)沒(méi)有及時(shí)關(guān)機(jī)，或者采取屏幕保護(hù)加密措施，使各種輸入、輸出信息暴露在界面上 ；有些人對(duì)自己使用的