【正文】 ..........................................XLVI . LanSecS 系統(tǒng)特色 ....................................................................XLVI . LanSecS 典型部署 ................................................................. XLVIII . 簡單內(nèi)網(wǎng)環(huán)境 ........................................................................ XLVIII . 本地多內(nèi)網(wǎng)環(huán)境 ....................................................................... XLIX . 分級部署環(huán)境 ................................................................................L 5. 技術(shù)服務(wù) ...............................................................................................L . 售后技術(shù)服務(wù) ................................................................................L . 系統(tǒng)二次開發(fā)擴(kuò)展支持 ................................................................. LI 教育行 業(yè) 解決方案 169。 可以從第三方無附加保密方式獲得的信息。如何提高安全性保證機(jī)器的正常辦公、如何將非法入侵者拒之門外、如 何防止內(nèi)部信息外泄，如何更好的保證網(wǎng)絡(luò)快速高效運(yùn)行，這些都是 教育行業(yè) 目前在進(jìn)行網(wǎng)絡(luò)化過程中必須解決的問題。但是內(nèi)部網(wǎng)絡(luò)環(huán)境中不可能所有的交換機(jī)全部都是可網(wǎng)管的，而且管理員不可能天天進(jìn)行端口的打開、閉合操作，除非是出現(xiàn)異常的網(wǎng)絡(luò)攻擊和擁塞時(shí)，才會采取 如此非常手段。 版權(quán)所有 圣博潤 第 XI頁 . 網(wǎng)頁過濾 某些員工訪問 Inter 時(shí)，由于安全防范意識不夠，登陸惡意網(wǎng)站，造成機(jī)器受到攻擊，從而產(chǎn)生病毒感染、機(jī)器不能正常使用，注冊表被修改、瀏覽器無法正常的訪問網(wǎng)絡(luò)；嚴(yán)重的甚至?xí)踩肽抉R，造成機(jī)器重要數(shù)據(jù)的網(wǎng)絡(luò)泄密。 對于 教育行業(yè) 單位 來說，涉密終端計(jì)算機(jī)作為涉密信息處理的工具，在其上存儲、傳輸和處理的涉密信息的安全性保護(hù)相當(dāng)重要。 教育行 業(yè) 解決方案 169。例如，要準(zhǔn)確掌握每臺計(jì)算機(jī)的軟硬件配置信息，通過手工方式將是非常耗時(shí)和繁瑣的工作。考慮到 教育行業(yè) 單位 對管理上的需求往 往希望能夠由上級部門直接設(shè)定下級部門的安全策略和查看下級單位的審計(jì)信息。 . 網(wǎng)絡(luò)管理 網(wǎng)絡(luò)管理是建立在內(nèi)網(wǎng)中支持 SNMP 協(xié)議的可網(wǎng)管交換機(jī)，自動進(jìn)行拓?fù)鋱D的學(xué)習(xí)，從而生成物理網(wǎng)絡(luò)拓?fù)鋱D。一旦設(shè)備或鏈路出現(xiàn)故障，可以通過直觀的圖象信息，準(zhǔn)確定位故障點(diǎn)，對問 題進(jìn)行及時(shí)排查、處理。 教育行 業(yè) 解決方案 169?？梢酝ㄟ^進(jìn)程黑名單的方式限制用戶運(yùn)行某些程序，例如游戲、攻擊工具、視頻播放器、 MP3 播放器等。 1) 口令保護(hù)：用戶在使用可信移動存儲介質(zhì)的時(shí)候，首先會要求用戶輸入正確的訪問口令，方可正常加載可信移動存儲介質(zhì)； 2) 密級識別：用戶在使用可信移動存儲介質(zhì)的時(shí)候，需要與客戶端主機(jī)密級相匹配。 版權(quán)所有 圣博潤 第 XXVII頁 . 計(jì)算機(jī)終端 接入控制 內(nèi)網(wǎng)安全管理系統(tǒng)，將所有內(nèi)網(wǎng)的主機(jī)進(jìn)行入網(wǎng)身份判斷，符合安全標(biāo)準(zhǔn)或合法的主機(jī)將允許運(yùn)行在內(nèi)網(wǎng)中、正 常使用。 3) 交換機(jī)聯(lián)動方式： 在交換機(jī)上配置端口 Radius 認(rèn)證，當(dāng)有終端接入行為時(shí)，交換機(jī)會自動將該終端的認(rèn)證信息提交到指定的 Radius服務(wù)器，只有認(rèn)證通過后，交換機(jī) 端口才能正常通訊 。 1) ARP 欺騙方式：通過向非法主機(jī)發(fā)送 ARP 欺騙包，產(chǎn)生 IP 沖突假象 ，阻止其與內(nèi)網(wǎng)通信。 對可移動存儲介質(zhì)從購買到銷毀整個(gè)生命周期， 系統(tǒng) 提供了有效的磁盤追蹤功能，借助它，可以方便地看到磁盤的整個(gè)使用過程 。 版權(quán)所有 圣博潤 第 XXV頁 . 注冊授權(quán) 所有移動存儲介質(zhì)在使用前均要經(jīng)過授權(quán)中心統(tǒng)一授權(quán)，授權(quán)內(nèi)容包括密級（普通、秘密、機(jī)密、絕密）、主管部門、所屬部門、責(zé)任人、使用人（可指定多人）、使用部門、使用周期、是否采用口令保護(hù)等等，并根據(jù)授權(quán)信息產(chǎn)生涉密移動存儲器管理臺帳。系統(tǒng)根據(jù)規(guī)則自動記錄安全審計(jì)日志并存入系統(tǒng)日志信息庫，這些信息是事后了解和判斷網(wǎng)絡(luò)安全事故的寶貴資料。避免該終端計(jì)算機(jī)對內(nèi)網(wǎng)其它主機(jī)造成安全威脅。 . IP 地址綁定 通過 使 IP 地址和每臺機(jī)器的 ID 號相對應(yīng)， 以 一一對應(yīng)的關(guān)系 為依據(jù) ，從而保證每個(gè) IP 有一個(gè)唯一的標(biāo)識與之對應(yīng)。 版權(quán)所有 圣博潤 第 XVIII頁 試 方法和安全判據(jù)》； ? 國家保密標(biāo)準(zhǔn) BMB31999《處理涉密信息的電磁屏蔽室的技術(shù)要求和 測試方法》國家保密標(biāo)準(zhǔn) BMB42020《電磁干擾器技術(shù)要求和測試方法》； ? 國家保密標(biāo)準(zhǔn) BMB52020《涉密信息設(shè)備使用現(xiàn)場的電磁泄漏發(fā)射防 護(hù)要求》； ? 國家保密指南 BMZ12020《涉及國家秘密的計(jì)算機(jī)信息系統(tǒng)保密技術(shù) 要求》； ? 國家保密指南 BMZ22020《涉及國家秘密的計(jì)算機(jī)信息系統(tǒng)安全保密方案設(shè)計(jì)指南》 ； ? 國家保密指南 BM232020《涉及國家秘密的計(jì)算機(jī)信息 系統(tǒng)安全保密測評指南》； ? 《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》 中共中央辦公廳 國務(wù)院辦公廳 中辦發(fā) [2020]27 號； ? 國家保密局文件《計(jì)算機(jī)信息系統(tǒng)保密管理暫行規(guī)定》（國保發(fā) [1998]1號）； ? 中央保密委員會辦公室、國家保密局文件《涉及國家秘密的通信、辦公自動化和計(jì)算機(jī)信息系統(tǒng)審批暫行辦法》（中保辦發(fā) [1998]6 號）； ? 中共中央辦公廳國務(wù)院辦公廳關(guān)于轉(zhuǎn)發(fā)《中共中央保密委員會辦公室、國家保密局關(guān)于國家秘密載體保密管理的規(guī)定》的通知（廳字 [2020]58號）； ? 《關(guān)于加強(qiáng)信息安全保障 工作中保密管理的若干意見》 中共中央保密委員會 中保委發(fā) [2020]7 號； ? 《涉及國家秘密德信息系統(tǒng)分級保護(hù)管理辦法》 國家保密局 國保發(fā)[2020]16 號； ? 《信息安全等級保護(hù)管理辦法（試行） 》 公安部 國家保密局 國家密碼管理局 國務(wù)院信息化工作辦公室 公通字 [2020]7 號。 ? 是把系統(tǒng)策略的配置進(jìn)行劃分和分配，采取誰適合、誰管理的原則，不同管理員有不同的策略配置權(quán)限。對安全強(qiáng)度差的終端計(jì)算機(jī)缺乏有效的安全狀態(tài)檢測和內(nèi)網(wǎng)接入控制， 也 是 內(nèi) 網(wǎng) 管理人員比較頭疼的問題之一。 同時(shí)，作為常見的文件共享，應(yīng)能提供安全的用戶身份認(rèn)證機(jī)制、完善的共享授權(quán)以及詳細(xì)的訪問日志信息。 主動 泄密： 這種情況是由于內(nèi)部員工出于個(gè)人利益或者發(fā)泄不滿情緒，有意識的收集和竊取機(jī)密信息。 . 進(jìn)程防護(hù) 由于當(dāng)前大量病毒以及惡意程序的存在，而這些程序?qū)τ谄胀ㄓ脩舳圆⒉恢?，甚至有些惡意程序通過技術(shù)手段使得用戶無法通過任務(wù)管理器看到其工作進(jìn)程；另一方面，有些用戶可能有意或無意地運(yùn)行一些可能會影響他人或自己工作的軟件 (如網(wǎng)絡(luò)嗅探器 )。 如何建立起交換機(jī)端口和設(shè)備的連接關(guān)系是至關(guān)重要的 ， 因?yàn)槎丝诘牧髁啃畔⑵鋵?shí)就是設(shè)備的流量信息； 想要 掌控設(shè)備， 只要對交換機(jī)端口進(jìn)行控制就可以了。員工辦公感覺是越來越方便了，但是給網(wǎng)絡(luò)管理員帶來的內(nèi)網(wǎng)管理問題卻越來越重了。 版權(quán)所有 圣博潤 第 II頁 保密事宜 本文檔包含 北京圣博潤高新技術(shù)股份有限公司 的專有商業(yè)信息和保密信息。很明顯，計(jì)算機(jī)、計(jì)算機(jī)網(wǎng)絡(luò)和其所帶來的信息數(shù)字化大幅度提供了工作效率，也使得海量的信息存儲和處理成為了現(xiàn)實(shí)。但是大規(guī)模的網(wǎng)絡(luò)環(huán)境、復(fù)雜的分支機(jī)構(gòu)，給網(wǎng)絡(luò)管理帶來了極大的困難，設(shè)備的分布不明確；流量管理沒有依據(jù)；對于靜態(tài) IP地址環(huán)境地址混亂、沖突也是很棘手的問題 。 微軟公司會通過定期發(fā)布安全補(bǔ)丁的方式來彌補(bǔ)這些漏洞，但由于 某些員工 用戶缺乏相關(guān)知識， 或者處于研發(fā)部門的設(shè)計(jì)網(wǎng)是和單位局域網(wǎng)物理隔離的網(wǎng)絡(luò)，從而 導(dǎo)致補(bǔ)丁安裝的不完全，不及時(shí)，這就會嚴(yán)重影響終端計(jì)算機(jī)的安全， 一旦發(fā)生針對微軟操作系統(tǒng)漏洞的攻擊，就會 導(dǎo)致 整個(gè)網(wǎng)絡(luò)受到威脅。 被動泄密： 由于員工的 電子信息保密的意識還不強(qiáng)，常常由于專業(yè)知識不熟悉 或者工作疏忽 而 造成 泄 密。 因此，如何確保數(shù)據(jù)信息在 計(jì)算機(jī)終端 的安全，也是 計(jì)算機(jī)終端 安全管理必須考慮的問題。對非法主機(jī)需要采取必要的方式進(jìn)行阻斷和隔離，從而保證該計(jì)算機(jī)無法訪問內(nèi)網(wǎng)的相關(guān)資源。 由于以上的原因，對以一個(gè)大型 學(xué)校 ，從科學(xué)管理的角度來講 ，必須采用分權(quán)管理的思想 。為機(jī)密信息的防護(hù)和計(jì)算機(jī)終端的運(yùn)行維護(hù)提供有效的工具和手段。 版權(quán)所有 圣博潤 第 XX頁 物理網(wǎng)絡(luò)拓?fù)鋱D 便于管理員掌握內(nèi)部網(wǎng)絡(luò)的分布情況，機(jī)器連接鏈路的變化情況，使整個(gè)網(wǎng)絡(luò)了然于胸。如果以上幾條不滿足設(shè)定的策略要求， 監(jiān)測系統(tǒng)可以向管理人員發(fā)送報(bào)警信息。審計(jì)規(guī)則設(shè)置的是對服務(wù)器規(guī)則控制下的行為的記錄和統(tǒng)計(jì)。注冊并設(shè)定密級的移動存儲介質(zhì)受以下保密原則約束： 1) 高密級移動存儲介質(zhì)不能在低密或者普通計(jì)算機(jī)上使用； 2) 涉密移動存儲介質(zhì)不能在非涉密計(jì)算機(jī)上使用 ； 3) 低密級移動存儲不能（或者只讀）在高密級計(jì)算機(jī)上使用 ； 4) 非授權(quán)的移動存儲介質(zhì)不能在涉密計(jì)算機(jī)上使用； 5) 即使密級相同，也只能在用戶或者計(jì)算機(jī)得到許可的情況下才能夠使用 。自我保護(hù)的處理方式有： 1) 以只讀方式加載磁盤：加載后的磁盤只能查看其中的數(shù)據(jù)，但是不能再往磁盤上寫入任何內(nèi)容； 2) 磁盤鎖 定：禁止用戶再使用該磁盤，需交到授權(quán)中心進(jìn)行解鎖后方可重新使用 。 版權(quán)所有 圣博潤 第 XXVIII頁 ? 注冊合法主 機(jī)檢查策略； ? 主機(jī)安全性檢查策略； ? 主機(jī)反病毒檢測策略； ? 管理員自定義策略。 ? 管理所有入網(wǎng)設(shè)備，對違規(guī)接入設(shè)備進(jìn)行阻斷，阻止違規(guī)接入設(shè)備對系統(tǒng)資源的訪問； ? 阻止違規(guī)接入設(shè)備對系統(tǒng)資源的訪問，同時(shí)進(jìn)行非法接入安全審計(jì)，對違規(guī)接入進(jìn)行告警。 . 非法主機(jī)的 定義 所謂的接入控制，是指對接入內(nèi)網(wǎng)的終端計(jì)算機(jī)進(jìn)行身份鑒別或者安全狀態(tài)檢查，阻止未授權(quán)或不安全的終端計(jì)算機(jī)接入內(nèi)網(wǎng)和訪問內(nèi)網(wǎng)資源。 . 數(shù)據(jù)保護(hù) 所有寫入移動存儲介質(zhì)的數(shù)據(jù)都會被自動加密；用戶在讀取文件時(shí)，數(shù)據(jù)能夠被自動解密。 為滿足以上要求，公司在原有產(chǎn)品內(nèi)容安全監(jiān)控系統(tǒng)的基礎(chǔ)上，通過擴(kuò)展，增加了 可信移動介質(zhì) 管理子系統(tǒng)，該系統(tǒng)綜合 利用信息保密、訪問控制、審計(jì)等技術(shù)手段，對 學(xué)校 移動存儲設(shè)備實(shí)施安全保護(hù)的軟件系統(tǒng)，使 學(xué)校 信息資產(chǎn)、涉 教育行 業(yè) 解決方案 169。 . 終端 安全審計(jì) 終端計(jì)算機(jī)的防泄密解決措施對計(jì)算機(jī)終端進(jìn)行安全審計(jì)，如網(wǎng)絡(luò)接入、網(wǎng)絡(luò)外聯(lián)、文件操作、 共享訪問、設(shè)備使用、進(jìn)程活動等，通過安全審計(jì)可以實(shí)時(shí)掌握 用戶的計(jì)算機(jī)使用行為。 教育行 業(yè) 解決方案 169。 . 物理網(wǎng)絡(luò)拓?fù)鋱D 在支持公有 SNMP 協(xié)議的交換機(jī)上，能夠自動發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)所有網(wǎng)絡(luò)設(shè)備（包括三層和二層設(shè)備），通過系統(tǒng)提供的智能學(xué)習(xí)功能，自動識別網(wǎng)絡(luò)的物理拓?fù)浣Y(jié)構(gòu)，生成網(wǎng)絡(luò)物理連接拓?fù)鋱D。例如可能上級機(jī)構(gòu)希望取消下級機(jī)構(gòu)的所有管