【正文】 ..........................................XLVI . LanSecS 系統(tǒng)特色 ....................................................................XLVI . LanSecS 典型部署 ................................................................. XLVIII . 簡(jiǎn)單內(nèi)網(wǎng)環(huán)境 ........................................................................ XLVIII . 本地多內(nèi)網(wǎng)環(huán)境 ....................................................................... XLIX . 分級(jí)部署環(huán)境 ................................................................................L 5. 技術(shù)服務(wù) ...............................................................................................L . 售后技術(shù)服務(wù) ................................................................................L . 系統(tǒng)二次開(kāi)發(fā)擴(kuò)展支持 ................................................................. LI 教育行 業(yè) 解決方案 169。 可以從第三方無(wú)附加保密方式獲得的信息。如何提高安全性保證機(jī)器的正常辦公、如何將非法入侵者拒之門(mén)外、如 何防止內(nèi)部信息外泄，如何更好的保證網(wǎng)絡(luò)快速高效運(yùn)行，這些都是 教育行業(yè) 目前在進(jìn)行網(wǎng)絡(luò)化過(guò)程中必須解決的問(wèn)題。但是內(nèi)部網(wǎng)絡(luò)環(huán)境中不可能所有的交換機(jī)全部都是可網(wǎng)管的，而且管理員不可能天天進(jìn)行端口的打開(kāi)、閉合操作，除非是出現(xiàn)異常的網(wǎng)絡(luò)攻擊和擁塞時(shí)，才會(huì)采取 如此非常手段。 版權(quán)所有 圣博潤(rùn) 第 XI頁(yè) . 網(wǎng)頁(yè)過(guò)濾 某些員工訪問(wèn) Inter 時(shí)，由于安全防范意識(shí)不夠，登陸惡意網(wǎng)站，造成機(jī)器受到攻擊，從而產(chǎn)生病毒感染、機(jī)器不能正常使用，注冊(cè)表被修改、瀏覽器無(wú)法正常的訪問(wèn)網(wǎng)絡(luò)；嚴(yán)重的甚至?xí)踩肽抉R，造成機(jī)器重要數(shù)據(jù)的網(wǎng)絡(luò)泄密。 對(duì)于 教育行業(yè) 單位 來(lái)說(shuō)，涉密終端計(jì)算機(jī)作為涉密信息處理的工具，在其上存儲(chǔ)、傳輸和處理的涉密信息的安全性保護(hù)相當(dāng)重要。 教育行 業(yè) 解決方案 169。例如，要準(zhǔn)確掌握每臺(tái)計(jì)算機(jī)的軟硬件配置信息，通過(guò)手工方式將是非常耗時(shí)和繁瑣的工作?？紤]到 教育行業(yè) 單位 對(duì)管理上的需求往 往希望能夠由上級(jí)部門(mén)直接設(shè)定下級(jí)部門(mén)的安全策略和查看下級(jí)單位的審計(jì)信息。 . 網(wǎng)絡(luò)管理 網(wǎng)絡(luò)管理是建立在內(nèi)網(wǎng)中支持 SNMP 協(xié)議的可網(wǎng)管交換機(jī)，自動(dòng)進(jìn)行拓?fù)鋱D的學(xué)習(xí)，從而生成物理網(wǎng)絡(luò)拓?fù)鋱D。一旦設(shè)備或鏈路出現(xiàn)故障，可以通過(guò)直觀的圖象信息，準(zhǔn)確定位故障點(diǎn)，對(duì)問(wèn) 題進(jìn)行及時(shí)排查、處理。 教育行 業(yè) 解決方案 169?？梢酝ㄟ^(guò)進(jìn)程黑名單的方式限制用戶運(yùn)行某些程序，例如游戲、攻擊工具、視頻播放器、 MP3 播放器等。 1) 口令保護(hù)：用戶在使用可信移動(dòng)存儲(chǔ)介質(zhì)的時(shí)候，首先會(huì)要求用戶輸入正確的訪問(wèn)口令，方可正常加載可信移動(dòng)存儲(chǔ)介質(zhì)； 2) 密級(jí)識(shí)別：用戶在使用可信移動(dòng)存儲(chǔ)介質(zhì)的時(shí)候，需要與客戶端主機(jī)密級(jí)相匹配。 版權(quán)所有 圣博潤(rùn) 第 XXVII頁(yè) . 計(jì)算機(jī)終端 接入控制 內(nèi)網(wǎng)安全管理系統(tǒng)，將所有內(nèi)網(wǎng)的主機(jī)進(jìn)行入網(wǎng)身份判斷，符合安全標(biāo)準(zhǔn)或合法的主機(jī)將允許運(yùn)行在內(nèi)網(wǎng)中、正 常使用。 3) 交換機(jī)聯(lián)動(dòng)方式： 在交換機(jī)上配置端口 Radius 認(rèn)證，當(dāng)有終端接入行為時(shí)，交換機(jī)會(huì)自動(dòng)將該終端的認(rèn)證信息提交到指定的 Radius服務(wù)器，只有認(rèn)證通過(guò)后，交換機(jī) 端口才能正常通訊 。 1) ARP 欺騙方式：通過(guò)向非法主機(jī)發(fā)送 ARP 欺騙包，產(chǎn)生 IP 沖突假象 ，阻止其與內(nèi)網(wǎng)通信。 對(duì)可移動(dòng)存儲(chǔ)介質(zhì)從購(gòu)買到銷毀整個(gè)生命周期， 系統(tǒng) 提供了有效的磁盤(pán)追蹤功能，借助它，可以方便地看到磁盤(pán)的整個(gè)使用過(guò)程 。 版權(quán)所有 圣博潤(rùn) 第 XXV頁(yè) . 注冊(cè)授權(quán) 所有移動(dòng)存儲(chǔ)介質(zhì)在使用前均要經(jīng)過(guò)授權(quán)中心統(tǒng)一授權(quán)，授權(quán)內(nèi)容包括密級(jí)（普通、秘密、機(jī)密、絕密）、主管部門(mén)、所屬部門(mén)、責(zé)任人、使用人（可指定多人）、使用部門(mén)、使用周期、是否采用口令保護(hù)等等，并根據(jù)授權(quán)信息產(chǎn)生涉密移動(dòng)存儲(chǔ)器管理臺(tái)帳。系統(tǒng)根據(jù)規(guī)則自動(dòng)記錄安全審計(jì)日志并存入系統(tǒng)日志信息庫(kù)，這些信息是事后了解和判斷網(wǎng)絡(luò)安全事故的寶貴資料。避免該終端計(jì)算機(jī)對(duì)內(nèi)網(wǎng)其它主機(jī)造成安全威脅。 . IP 地址綁定 通過(guò) 使 IP 地址和每臺(tái)機(jī)器的 ID 號(hào)相對(duì)應(yīng)， 以 一一對(duì)應(yīng)的關(guān)系 為依據(jù) ，從而保證每個(gè) IP 有一個(gè)唯一的標(biāo)識(shí)與之對(duì)應(yīng)。 版權(quán)所有 圣博潤(rùn) 第 XVIII頁(yè) 試 方法和安全判據(jù)》； ? 國(guó)家保密標(biāo)準(zhǔn) BMB31999《處理涉密信息的電磁屏蔽室的技術(shù)要求和 測(cè)試方法》國(guó)家保密標(biāo)準(zhǔn) BMB42020《電磁干擾器技術(shù)要求和測(cè)試方法》； ? 國(guó)家保密標(biāo)準(zhǔn) BMB52020《涉密信息設(shè)備使用現(xiàn)場(chǎng)的電磁泄漏發(fā)射防 護(hù)要求》； ? 國(guó)家保密指南 BMZ12020《涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)保密技術(shù) 要求》； ? 國(guó)家保密指南 BMZ22020《涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)安全保密方案設(shè)計(jì)指南》 ； ? 國(guó)家保密指南 BM232020《涉及國(guó)家秘密的計(jì)算機(jī)信息 系統(tǒng)安全保密測(cè)評(píng)指南》； ? 《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》 中共中央辦公廳 國(guó)務(wù)院辦公廳 中辦發(fā) [2020]27 號(hào)； ? 國(guó)家保密局文件《計(jì)算機(jī)信息系統(tǒng)保密管理暫行規(guī)定》（國(guó)保發(fā) [1998]1號(hào)）； ? 中央保密委員會(huì)辦公室、國(guó)家保密局文件《涉及國(guó)家秘密的通信、辦公自動(dòng)化和計(jì)算機(jī)信息系統(tǒng)審批暫行辦法》（中保辦發(fā) [1998]6 號(hào)）； ? 中共中央辦公廳國(guó)務(wù)院辦公廳關(guān)于轉(zhuǎn)發(fā)《中共中央保密委員會(huì)辦公室、國(guó)家保密局關(guān)于國(guó)家秘密載體保密管理的規(guī)定》的通知（廳字 [2020]58號(hào)）； ? 《關(guān)于加強(qiáng)信息安全保障 工作中保密管理的若干意見(jiàn)》 中共中央保密委員會(huì) 中保委發(fā) [2020]7 號(hào)； ? 《涉及國(guó)家秘密德信息系統(tǒng)分級(jí)保護(hù)管理辦法》 國(guó)家保密局 國(guó)保發(fā)[2020]16 號(hào)； ? 《信息安全等級(jí)保護(hù)管理辦法（試行） 》 公安部 國(guó)家保密局 國(guó)家密碼管理局 國(guó)務(wù)院信息化工作辦公室 公通字 [2020]7 號(hào)。 ? 是把系統(tǒng)策略的配置進(jìn)行劃分和分配，采取誰(shuí)適合、誰(shuí)管理的原則，不同管理員有不同的策略配置權(quán)限。對(duì)安全強(qiáng)度差的終端計(jì)算機(jī)缺乏有效的安全狀態(tài)檢測(cè)和內(nèi)網(wǎng)接入控制， 也 是 內(nèi) 網(wǎng) 管理人員比較頭疼的問(wèn)題之一。 同時(shí)，作為常見(jiàn)的文件共享，應(yīng)能提供安全的用戶身份認(rèn)證機(jī)制、完善的共享授權(quán)以及詳細(xì)的訪問(wèn)日志信息。 主動(dòng) 泄密： 這種情況是由于內(nèi)部員工出于個(gè)人利益或者發(fā)泄不滿情緒，有意識(shí)的收集和竊取機(jī)密信息。 . 進(jìn)程防護(hù) 由于當(dāng)前大量病毒以及惡意程序的存在，而這些程序?qū)τ谄胀ㄓ脩舳圆⒉恢椋踔劣行阂獬绦蛲ㄟ^(guò)技術(shù)手段使得用戶無(wú)法通過(guò)任務(wù)管理器看到其工作進(jìn)程；另一方面，有些用戶可能有意或無(wú)意地運(yùn)行一些可能會(huì)影響他人或自己工作的軟件 (如網(wǎng)絡(luò)嗅探器 )。 如何建立起交換機(jī)端口和設(shè)備的連接關(guān)系是至關(guān)重要的 ， 因?yàn)槎丝诘牧髁啃畔⑵鋵?shí)就是設(shè)備的流量信息； 想要 掌控設(shè)備， 只要對(duì)交換機(jī)端口進(jìn)行控制就可以了。員工辦公感覺(jué)是越來(lái)越方便了，但是給網(wǎng)絡(luò)管理員帶來(lái)的內(nèi)網(wǎng)管理問(wèn)題卻越來(lái)越重了。 版權(quán)所有 圣博潤(rùn) 第 II頁(yè) 保密事宜 本文檔包含 北京圣博潤(rùn)高新技術(shù)股份有限公司 的專有商業(yè)信息和保密信息。很明顯，計(jì)算機(jī)、計(jì)算機(jī)網(wǎng)絡(luò)和其所帶來(lái)的信息數(shù)字化大幅度提供了工作效率，也使得海量的信息存儲(chǔ)和處理成為了現(xiàn)實(shí)。但是大規(guī)模的網(wǎng)絡(luò)環(huán)境、復(fù)雜的分支機(jī)構(gòu)，給網(wǎng)絡(luò)管理帶來(lái)了極大的困難，設(shè)備的分布不明確；流量管理沒(méi)有依據(jù)；對(duì)于靜態(tài) IP地址環(huán)境地址混亂、沖突也是很棘手的問(wèn)題 。 微軟公司會(huì)通過(guò)定期發(fā)布安全補(bǔ)丁的方式來(lái)彌補(bǔ)這些漏洞，但由于 某些員工 用戶缺乏相關(guān)知識(shí)， 或者處于研發(fā)部門(mén)的設(shè)計(jì)網(wǎng)是和單位局域網(wǎng)物理隔離的網(wǎng)絡(luò)，從而 導(dǎo)致補(bǔ)丁安裝的不完全，不及時(shí)，這就會(huì)嚴(yán)重影響終端計(jì)算機(jī)的安全， 一旦發(fā)生針對(duì)微軟操作系統(tǒng)漏洞的攻擊，就會(huì) 導(dǎo)致 整個(gè)網(wǎng)絡(luò)受到威脅。 被動(dòng)泄密： 由于員工的 電子信息保密的意識(shí)還不強(qiáng)，常常由于專業(yè)知識(shí)不熟悉 或者工作疏忽 而 造成 泄 密。 因此，如何確保數(shù)據(jù)信息在 計(jì)算機(jī)終端 的安全，也是 計(jì)算機(jī)終端 安全管理必須考慮的問(wèn)題。對(duì)非法主機(jī)需要采取必要的方式進(jìn)行阻斷和隔離，從而保證該計(jì)算機(jī)無(wú)法訪問(wèn)內(nèi)網(wǎng)的相關(guān)資源。 由于以上的原因，對(duì)以一個(gè)大型 學(xué)校 ，從科學(xué)管理的角度來(lái)講 ，必須采用分權(quán)管理的思想 。為機(jī)密信息的防護(hù)和計(jì)算機(jī)終端的運(yùn)行維護(hù)提供有效的工具和手段。 版權(quán)所有 圣博潤(rùn) 第 XX頁(yè) 物理網(wǎng)絡(luò)拓?fù)鋱D 便于管理員掌握內(nèi)部網(wǎng)絡(luò)的分布情況，機(jī)器連接鏈路的變化情況，使整個(gè)網(wǎng)絡(luò)了然于胸。如果以上幾條不滿足設(shè)定的策略要求， 監(jiān)測(cè)系統(tǒng)可以向管理人員發(fā)送報(bào)警信息。審計(jì)規(guī)則設(shè)置的是對(duì)服務(wù)器規(guī)則控制下的行為的記錄和統(tǒng)計(jì)。注冊(cè)并設(shè)定密級(jí)的移動(dòng)存儲(chǔ)介質(zhì)受以下保密原則約束： 1) 高密級(jí)移動(dòng)存儲(chǔ)介質(zhì)不能在低密或者普通計(jì)算機(jī)上使用； 2) 涉密移動(dòng)存儲(chǔ)介質(zhì)不能在非涉密計(jì)算機(jī)上使用 ； 3) 低密級(jí)移動(dòng)存儲(chǔ)不能（或者只讀）在高密級(jí)計(jì)算機(jī)上使用 ； 4) 非授權(quán)的移動(dòng)存儲(chǔ)介質(zhì)不能在涉密計(jì)算機(jī)上使用； 5) 即使密級(jí)相同，也只能在用戶或者計(jì)算機(jī)得到許可的情況下才能夠使用 。自我保護(hù)的處理方式有： 1) 以只讀方式加載磁盤(pán)：加載后的磁盤(pán)只能查看其中的數(shù)據(jù)，但是不能再往磁盤(pán)上寫(xiě)入任何內(nèi)容； 2) 磁盤(pán)鎖 定：禁止用戶再使用該磁盤(pán)，需交到授權(quán)中心進(jìn)行解鎖后方可重新使用 。 版權(quán)所有 圣博潤(rùn) 第 XXVIII頁(yè) ? 注冊(cè)合法主 機(jī)檢查策略； ? 主機(jī)安全性檢查策略； ? 主機(jī)反病毒檢測(cè)策略； ? 管理員自定義策略。 ? 管理所有入網(wǎng)設(shè)備，對(duì)違規(guī)接入設(shè)備進(jìn)行阻斷，阻止違規(guī)接入設(shè)備對(duì)系統(tǒng)資源的訪問(wèn)； ? 阻止違規(guī)接入設(shè)備對(duì)系統(tǒng)資源的訪問(wèn)，同時(shí)進(jìn)行非法接入安全審計(jì)，對(duì)違規(guī)接入進(jìn)行告警。 . 非法主機(jī)的 定義 所謂的接入控制，是指對(duì)接入內(nèi)網(wǎng)的終端計(jì)算機(jī)進(jìn)行身份鑒別或者安全狀態(tài)檢查，阻止未授權(quán)或不安全的終端計(jì)算機(jī)接入內(nèi)網(wǎng)和訪問(wèn)內(nèi)網(wǎng)資源。 . 數(shù)據(jù)保護(hù) 所有寫(xiě)入移動(dòng)存儲(chǔ)介質(zhì)的數(shù)據(jù)都會(huì)被自動(dòng)加密；用戶在讀取文件時(shí)，數(shù)據(jù)能夠被自動(dòng)解密。 為滿足以上要求，公司在原有產(chǎn)品內(nèi)容安全監(jiān)控系統(tǒng)的基礎(chǔ)上，通過(guò)擴(kuò)展，增加了 可信移動(dòng)介質(zhì) 管理子系統(tǒng)，該系統(tǒng)綜合 利用信息保密、訪問(wèn)控制、審計(jì)等技術(shù)手段，對(duì) 學(xué)校 移動(dòng)存儲(chǔ)設(shè)備實(shí)施安全保護(hù)的軟件系統(tǒng)，使 學(xué)校 信息資產(chǎn)、涉 教育行 業(yè) 解決方案 169。 . 終端 安全審計(jì) 終端計(jì)算機(jī)的防泄密解決措施對(duì)計(jì)算機(jī)終端進(jìn)行安全審計(jì)，如網(wǎng)絡(luò)接入、網(wǎng)絡(luò)外聯(lián)、文件操作、 共享訪問(wèn)、設(shè)備使用、進(jìn)程活動(dòng)等，通過(guò)安全審計(jì)可以實(shí)時(shí)掌握 用戶的計(jì)算機(jī)使用行為。 教育行 業(yè) 解決方案 169。 . 物理網(wǎng)絡(luò)拓?fù)鋱D 在支持公有 SNMP 協(xié)議的交換機(jī)上，能夠自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)所有網(wǎng)絡(luò)設(shè)備（包括三層和二層設(shè)備），通過(guò)系統(tǒng)提供的智能學(xué)習(xí)功能，自動(dòng)識(shí)別網(wǎng)絡(luò)的物理拓?fù)浣Y(jié)構(gòu)，生成網(wǎng)絡(luò)物理連接拓?fù)鋱D。例如可能上級(jí)機(jī)構(gòu)希望取消下級(jí)機(jī)構(gòu)的所有管