【正文】 同樣，針對這個邏輯組，引 擎管理子模塊也可以批量改變組內(nèi)工作引擎的工作狀態(tài)（停止，生效）。所以，當(dāng)IP地址 +用戶名 +口令都同時滿足，管理人員才能實(shí)現(xiàn)正常的登陸管理。 并阻 止非法內(nèi)聯(lián)。 本方案釷對 XXX 的內(nèi)網(wǎng)安全管理的需求進(jìn)行了需求分析，分紹了當(dāng)前的主要的技術(shù)，提出了內(nèi)網(wǎng)安全管理系統(tǒng)以及 LanSecS 內(nèi)網(wǎng)安全管理系統(tǒng)的基本要求，給出具體的產(chǎn)品部署和系統(tǒng)實(shí)施建議。 安全管理 策略 對于 XXXXXXXX，除安全外，采用監(jiān)控系統(tǒng)后還必須考慮對部門局域網(wǎng)和廣域網(wǎng)（指專網(wǎng)廣域網(wǎng)）的其它影響影響。包括： 1） 駐留模塊在本操作系統(tǒng)下具有不可發(fā)現(xiàn)、不可刪除、不可停止、不可篡改等特點(diǎn) ,實(shí)現(xiàn)多層保護(hù)。該引擎我們做了測試，不會引起操作系統(tǒng)的不穩(wěn)定，占用的系統(tǒng) CPU 資源量很小，約 %以下，內(nèi)存占用量也很小， 1M 以內(nèi)。 應(yīng)用開發(fā)提供功能，系統(tǒng)管理確保性能。 LanSecS內(nèi)網(wǎng)安全管理系統(tǒng)按照企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)，將網(wǎng)絡(luò)劃分為一個安全域， 通過對每一個網(wǎng)絡(luò)用戶行為的監(jiān)視和記錄，并形成完整的日志。 南京聯(lián)成科技發(fā)展有限公司 地址：南京龍蟠中路 168 號一號館 1311 電話 :02584803103251 網(wǎng)址： 網(wǎng)絡(luò)拓?fù)渥詣由? LanSecS 內(nèi)網(wǎng)安全管理系統(tǒng)通過控制臺對核心數(shù)據(jù)服務(wù)進(jìn)行一系列參數(shù)配置(如掃描 IP 范圍、部門信息、支持 SNMP 協(xié)議網(wǎng)絡(luò)設(shè)備的讀寫團(tuán)體名稱等 )后，運(yùn)行網(wǎng)絡(luò)拓?fù)渥詣訉W(xué)習(xí) 功能，自動對實(shí)際的網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行學(xué)習(xí)，并映射成與真實(shí)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)相同的網(wǎng)絡(luò)物理結(jié)構(gòu)圖。 ? IP和 MAC 地址綁定 可以防止受控客戶端改變 IP 地址，確保訪問控制。 南京聯(lián)成科技發(fā)展有限公司 地址：南京龍蟠中路 168 號一號館 1311 電話 :02584803103251 網(wǎng)址： ? 獨(dú)特的安全管理思想和技術(shù)手段 結(jié)合 信息安全行為模式理論 以及多年從事 網(wǎng)絡(luò)安全和 風(fēng)險評估領(lǐng)域的經(jīng)驗(yàn)積累， 形成 了 獨(dú)特的 安全 管理 的方法論 ， 以此方法論為基礎(chǔ)設(shè)計了專業(yè)的 智能的 LanSecS 內(nèi)網(wǎng)安全管理系統(tǒng)。內(nèi)網(wǎng)監(jiān)控模塊功能包括： ? 對受控終端進(jìn)行屏幕監(jiān)視或控制（可選）； ? 允許或阻斷用戶對受控終端的各種輸出設(shè)備進(jìn)行訪問，包括 USB 可移動存儲設(shè)備、打印機(jī)、 DVD/CDROM、軟盤、磁帶機(jī)、 PCMCIA 設(shè)備、 COM/LPT 端口、 1394設(shè)備、紅外設(shè)備等； ? 對受控終端進(jìn)行 IP 地址和 MAC 地址的綁定，防止用戶隨意更改網(wǎng)絡(luò)配置； ? 對受控終端上運(yùn)行的進(jìn)程進(jìn)行控制，允許或禁止某些進(jìn)程的啟動； ? 對網(wǎng)絡(luò)訪問進(jìn)行控制，允許或阻斷對某些網(wǎng)絡(luò)地址的訪問； ? 允許 或阻斷用戶通過撥號訪問 Inter； ? 允許或阻斷用戶對本地打印機(jī)進(jìn)行訪問。審計規(guī)則設(shè)置的是對服務(wù)器規(guī)則控制下的行為的記錄和統(tǒng)計。 （ 3） 離線信息保護(hù)策略 離線信息保護(hù)策略是指根據(jù)企業(yè)的實(shí)際情況，并結(jié)合相關(guān)的法規(guī)政策、企業(yè)制度，對企業(yè)內(nèi)部可以通過可以離線方式（包括移動存儲設(shè)備、打印設(shè)備等等） 南京聯(lián)成科技發(fā)展有限公司 地址：南京龍蟠中路 168 號一號館 1311 電話 :02584803103251 網(wǎng)址： 傳遞的重要信息進(jìn)行保護(hù)的內(nèi)部安全策略，它指導(dǎo)企業(yè)如在學(xué)會了定義重要信息以及信息的密級后，同時可以有效的將各種離 線的信息傳遞設(shè)備（方式）進(jìn)行統(tǒng)一的規(guī)劃和控制。 方案目標(biāo) XXXXX 要求最大可能的保護(hù)其辦公網(wǎng)絡(luò)和系統(tǒng)資源與數(shù)據(jù)可以得到充分的信任，獲得良好的管理。系統(tǒng)在結(jié)構(gòu)、規(guī)模、應(yīng)用能力等各個方面都必須具備很強(qiáng)的擴(kuò)展能力； ? 按照 GB178591999《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》的要求建設(shè)； ? 可靠性原則。企業(yè)內(nèi)部有一定數(shù)量的管理機(jī)制，但是這些管理機(jī)制本身存在著一些問題和不足，也導(dǎo)致了內(nèi)部安全管理沒有得到“制度性”的保障； 17 內(nèi)部安全管理機(jī)制不能被有效執(zhí)行。操作人員對涉密信息與非涉密信息沒有分開存儲，甚至將所有的文件都放在一個公共目錄里，也沒有進(jìn)行加密處理或者保護(hù)處理，使涉密信息處于無密可保的狀。 10 計算機(jī)工作人員由于對專業(yè)知識的不熟悉而泄密。系統(tǒng) 的 安全是一個整體的問題， 要在整體看的同時 ,我們還要 分解 來 看，多個方面 不同角度 分別考慮和實(shí)施。傳輸層設(shè)備基本采用交換機(jī)，使用 VLAN 以及路由訪問控制 技術(shù)進(jìn)行數(shù)據(jù)交換，并且設(shè)備口令和設(shè)置進(jìn)行嚴(yán)格管理，對于網(wǎng)絡(luò)欺騙、網(wǎng)絡(luò)偵聽等黑客行為有很強(qiáng)的阻擋行為，威脅很小，符合保密要求。信息化工 作模式建立在技術(shù)含量較高的計算機(jī)及網(wǎng)絡(luò)技術(shù)之上，在管理過程中僅僅依靠人力不能夠滿足網(wǎng)絡(luò)安全管理的需要，也不能夠面對今后隨著技術(shù)發(fā)展帶來的更多安全需求，因此必須依靠各種技術(shù)手段來為網(wǎng)絡(luò)安全管理提供有效的工具，降低管理成本，提高管理效率。 這種解決方案是針對外部入侵的防范，對于機(jī)構(gòu)內(nèi)部信息保密安全管理卻無任何作用。 針對日 益嚴(yán)重的內(nèi)部信息泄漏問題， FBI對 484 家公司調(diào)查顯示。 面對來自于公司內(nèi)部的安全威脅， 85％的安全損失是由企業(yè)內(nèi)部原因造成的。對于一個大型機(jī)構(gòu)特別是政府機(jī)關(guān)，保密單位信息保密安全防范尤為重要。 南京聯(lián)成科技發(fā)展有限公司 地址：南京龍蟠中路 168 號一號館 1311 電話 :02584803103251 網(wǎng)址： ? 內(nèi)網(wǎng)安全管理現(xiàn)狀 在 XXXXXXX 的信息化工作模式中，涉密信息從產(chǎn)生到最終被處理、接受共經(jīng)歷三層，終端層、傳輸層、服務(wù)器層。 終端層包括 XXXXXXX 的近 XX 臺個人計算機(jī)，所在的環(huán)境比較復(fù)雜，一部分涉密程度較高的計算機(jī)處于遠(yuǎn)離 XXXXXXX 物理邊界附近，終端層計算機(jī)因工作需要安裝軟件時不慎帶入計算機(jī)病毒產(chǎn)生很大的威脅。 對于一些內(nèi)部 網(wǎng) 與 互聯(lián)網(wǎng) 有 物理隔離，因而與互聯(lián)網(wǎng)相比，其安全性較高，但在日常運(yùn)行管理中我們?nèi)匀幻媾R 用戶修改系統(tǒng)配置 、 IP地址管理 、 隨意安裝一些軟件，上班時間做自己私事， 違規(guī)使用網(wǎng)絡(luò)事件等問題 出現(xiàn) ,嚴(yán)重的影響了正常的辦公和業(yè)務(wù)來往 . 內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)相比而言，內(nèi)部網(wǎng)絡(luò)速度更快、防范疏漏、安全措施簡單。對電子信息保密的意識還不強(qiáng)，常常由于專業(yè)知識不熟悉而泄密。 12 故意泄密。企業(yè)內(nèi)部缺乏有效的管理制度執(zhí)行機(jī)制，使得管理制度不被執(zhí)行，為數(shù)不少的管理制度仍然還只是停留著紙面上。執(zhí)行 ISO9002 質(zhì)量認(rèn)證體系要求，確保安全保密設(shè)備的高可靠性和穩(wěn)定性； ? 經(jīng)濟(jì)性原則。 本項目的總體目標(biāo)是在不影響 XXXXX 網(wǎng)絡(luò)正常工作的前提下，實(shí)現(xiàn)對網(wǎng)絡(luò)的全面安全加固，最終達(dá)到國家保密部門規(guī)定的相關(guān)保密要求。 內(nèi)網(wǎng)安全系統(tǒng)的建設(shè) 一套統(tǒng)一的、安全的、可擴(kuò)展的內(nèi)部安全系統(tǒng)是我們構(gòu)建整個安全目標(biāo)的重要因素，內(nèi)部安全系統(tǒng)是我們整個內(nèi)部安全體系的基礎(chǔ)框架，通過我們的內(nèi)部安全系統(tǒng)，我們可以 ● 具體完成我們的安全管理工作，使我們的管理電子化、自動化； ● 實(shí)現(xiàn)安全策略，把安全策略作為系統(tǒng)配置的形式下發(fā)到所有終端主機(jī)； ● 科學(xué)的劃分安全域，我們的管理工作趨于統(tǒng)一化、合理化、高效化。在服務(wù)器設(shè)置相應(yīng)的審計規(guī)則后 ，如果客戶端所在的設(shè)備有符合規(guī)則的行為發(fā)生，則在服務(wù)器的日志中會有相應(yīng)記錄。 南京聯(lián)成科技發(fā)展有限公司 地址：南京龍蟠中路 168 號一號館 1311 電話 :02584803103251 網(wǎng)址： 詳細(xì)的審計、分析與報告 審計統(tǒng)計報表為系統(tǒng)管理員分析診斷網(wǎng)絡(luò)故障提供了數(shù)據(jù)分析的基礎(chǔ)。實(shí)現(xiàn)了 嚴(yán)密的 集中管理 、 自我 安全 保護(hù) ，并建立了信息安全管理體系。 南京聯(lián)成科技發(fā)展有限公司 地址：南京龍蟠中路 168 號一號館 1311 電話 :02584803103251 網(wǎng)址： ? 周全的內(nèi)網(wǎng)系統(tǒng)信息防泄露體系 系統(tǒng)管理和監(jiān)控的范圍廣，策略周全，不會遺漏任何一個可能泄密的途徑。網(wǎng)絡(luò)管理員可以對圖上的設(shè)備進(jìn)行操作，管理網(wǎng)絡(luò)或進(jìn)行網(wǎng)絡(luò)故障的檢測。 集中部署 南京聯(lián)成科技發(fā)展有限公司 地址：南京龍蟠中路 168 號一號館 1311 電話 :02584803103251 網(wǎng)址： 分布式管理部署 分布式部署面向復(fù)雜結(jié)構(gòu)下的企業(yè)網(wǎng)絡(luò)。離開了對于性能和可用性的保障，系統(tǒng)應(yīng)用無從談起。 監(jiān)控系統(tǒng)其它模塊不再和原有的系統(tǒng)直接聯(lián)系，都是獨(dú)立的。 第一層保護(hù)是不可發(fā)現(xiàn)，如果可以發(fā)現(xiàn)，就會給人以破壞的機(jī)會； 第二層 保護(hù)是不可刪除，萬一發(fā)現(xiàn)后，也是刪除不掉的，我們通過底層技術(shù)加以保護(hù)； 南京聯(lián)成科技發(fā)展有限公司 地址：南京龍蟠中路 168 號一號館 1311 電話 :02584803103251 網(wǎng)址： 第三層保護(hù)是不可停止，萬一發(fā)現(xiàn)了該進(jìn)程，通過一般的技術(shù)手段，包括系統(tǒng)提供的工具都停止不了它； 第四層保護(hù)是不可篡改，主要是針對該系統(tǒng)文件和日志記錄，在非在線情況下，對用戶的行為做日志非常重要，一旦連接在線