【文章內(nèi)容簡介】 安全策略通過阻斷其接入網(wǎng)絡的方法防止其對網(wǎng)絡產(chǎn)生危害。 河南中煙許昌卷煙廠 XCXXZB2020004 號 鄭州蘇富特軟件有限公司 8 終端行為 控制與上網(wǎng) 行為監(jiān)控 互聯(lián)網(wǎng)的快速發(fā)展極大地方便了人們對信息的訪問需要，但同時互聯(lián)網(wǎng)上存在有大量不良信息。而且，濫用外網(wǎng)可能擠占網(wǎng)絡帶寬，降低內(nèi)網(wǎng)正常應用對網(wǎng)絡帶寬的需要，極大影響教育網(wǎng)絡的工作效率。 為此，有必要對 煙草企業(yè) 網(wǎng)絡 內(nèi)用戶的上網(wǎng)訪問行為進行有效控制，對其訪問外網(wǎng)的訪問請示進行甄別，對正常的應用訪問予以放行，而對不良信息的訪問則予以拒絕，并進行記錄。這些記錄可做安全審計的數(shù)據(jù)源。 另外，用戶私自在計算機中運行一些與業(yè)務無關的程序，也會對正常應用造成擠占、 降低效率，應該通過桌面安全管理系統(tǒng)對終端計算機運行的所的程序進行檢測，并根據(jù)既定安全策略判斷所運行的程序是正常程序還是非法程序，正常程序可予以放行，而拒絕非法程序的運行，從而最大程序保障業(yè)務系統(tǒng)的效率。 安全風險評估系統(tǒng)需求 網(wǎng)絡系統(tǒng)存在安全漏洞（如安全配置不嚴密等）和操作系統(tǒng)安全漏洞等是黑客等入侵者攻擊屢屢得手的重要因素。入侵者通常都是通過一些程來探測網(wǎng)絡中系統(tǒng)中存在的一些安全漏洞，然后通過發(fā)現(xiàn)的安全漏洞，采取相就技術進行攻擊，因此，必需配備網(wǎng)絡安全掃描系統(tǒng)和系統(tǒng)安全掃描系統(tǒng)檢測網(wǎng)絡中存在的安全漏洞，并采 用相應的措施填補系統(tǒng)漏洞，對網(wǎng)絡設備等存在的不安全配置重新進行安全配置。 虛擬安全域 煙草企業(yè) 網(wǎng)絡 情況復雜，用戶情況參差不齊，領導和普通科員的權限相去甚遠。 但普遍基于 IP 而設定的訪問策略，如（ ACL）訪問控制列表等都是基于硬件的，勢必受到環(huán)境的限制。 現(xiàn)在 將人員與 ID 對應，使得客戶不僅可以在各自的 PC 上能夠行使自身特有的權限，在其他 PC 上也同樣可以得到自身對應的權限 ，方便了因工作流動性帶來的訪問權限問題 。如果沒有對應的 ID，即使普通人員進入上層領導的 PC，也無法 查看到 越級的資料。 這樣，不僅打破 了環(huán)境的 河南中煙許昌卷煙廠 XCXXZB2020004 號 鄭州蘇富特軟件有限公司 9 因素，還將 ID、人員與權限三者緊密結合，更加安全、靈活。 4 方案設計原則 設計原則 在 煙草企業(yè) 內(nèi)網(wǎng) 絡 安全管理系統(tǒng) 的方案設計中，我們遵循了以下的原則： ? 整體安全和全網(wǎng)統(tǒng)一的原則 煙草企業(yè) 內(nèi)網(wǎng)安全管理系統(tǒng) 設計從一個完整的安全體系結構出發(fā)，綜合考慮信息網(wǎng)絡的各種實體和各個環(huán)節(jié)，綜合使用不同層次的不同安全手段，為信息網(wǎng)絡和安全業(yè)務提供全方位的管理和服務。 ? 標準化、一致性原則 煙草企業(yè) 桌面安全管理系統(tǒng)采購項目 安全體系的設計遵循一系列國家標準，整個系統(tǒng)安全地互聯(lián)互通。 ? 需求、風險、成本折衷原則 任何網(wǎng)絡和信息系統(tǒng)都不能做到絕對的安全，設計時在不影響原網(wǎng)絡性能和設計要求的情況下，在安全需求、安全風險和安全成本之間進行平衡和折衷。 ? 實用、高效、可擴展原則 安全保障系統(tǒng)所采用的產(chǎn)品，便于操作、實用高效。同時隨著技術發(fā)展， 煙草企業(yè) 信息系統(tǒng)也將發(fā)生各種變化，在系統(tǒng)實施過程中，系統(tǒng)的結構、配置也會發(fā)生變化，系統(tǒng)的安全工程要有一定的 靈活性來適應這種變化，做到層次性、體系性，既有利于系統(tǒng)的安全，又有利于系統(tǒng)的擴展。 ? 技術和管理相結合原則 各種安全技術應該與運行管理機制、人員思想教育與技術培訓、安全規(guī)章制度建設相結合，從社會工程學的角度綜合考慮。 河南中煙許昌卷煙廠 XCXXZB2020004 號 鄭州蘇富特軟件有限公司 10 遵循 與參考的 標準 和 規(guī)范 1） 國家保密標準 BMZ22020《涉及國家秘密的計算機信息系統(tǒng)安全保密方案設計指南》 2） 國家保密標準 BMZ12020，《涉及國家秘密的計算機信息系統(tǒng)保密技術要求》 3） 國家保密標準《計算機信息系統(tǒng)保密管理暫行規(guī)定》（國保發(fā) {1998}1號） 4） 國家標準 GB178591999，《 計算機信息系統(tǒng)安全保護等級劃分準則》 5） 國家標準 GB/，《信息技術 安全技術 信息技術安全性評估準則 第 2 部分 : 安全功能要求》 6） ISO27001/ISO17799:2020/BS7799,《信息安全管理技術規(guī)范》。 5 解決方案 選型依據(jù) 在 煙草企業(yè) 信息網(wǎng)絡 桌面安全建設中，對產(chǎn)品選型應遵循以下原則： 考慮到 煙草企業(yè) 網(wǎng)絡 的規(guī)模和終端計算機的多樣性，客戶端程序必須有良好的兼容性和穩(wěn)定性、較小的系統(tǒng)開銷以 減少對系統(tǒng)資源的占用，并且，考慮到 煙草企業(yè) 網(wǎng)絡 的用戶環(huán)境，客戶端程序應具備卸載管理，防止未經(jīng)授權的卸載使終端計算機脫離管理。 根據(jù)上述選型原則， 本方案在 煙草企業(yè) 信息網(wǎng)絡 桌面安全建設中采用 極地銀河終端與內(nèi)網(wǎng)安全管理系統(tǒng) 。 產(chǎn)品架構 系統(tǒng)架構 極地銀河終端與內(nèi)網(wǎng)安全管理系統(tǒng) 由三部分組成，客戶端代理模塊、控制臺 河南中煙許昌卷煙廠 XCXXZB2020004 號 鄭州蘇富特軟件有限公司 11 模塊和服務器模塊?？蛻舳?代理模塊安裝在每一臺需要被監(jiān)視的計算機上，用來收集數(shù)據(jù)信息，并執(zhí)行來自服務器模塊的指令。服務器模塊一般安裝在一臺具有高性能 CPU 和大容量內(nèi)存的用作服務器的計算機上，用來存儲和管理所有安裝有代理模塊的計算機的數(shù)據(jù)?？刂婆_模塊一般安裝在公司的管理人員的計算機上，用來 監(jiān)控每臺安裝有代理模塊的計算機，管理各類審計系統(tǒng)，制定安全策略。 系統(tǒng)的基本框架如下圖所示： 河南中煙許昌卷煙廠 XCXXZB2020004 號 鄭州蘇富特軟件有限公司 12 產(chǎn)品各模塊功能 極地銀河終端與內(nèi)網(wǎng)安全管理系統(tǒng) 服務器模塊： 服務器模塊包括服務器端軟件和支持數(shù)據(jù)庫。支 持操作系統(tǒng)為 Microsoft Windows 2020 和 Microsoft Windows XP。數(shù)據(jù)庫支持 Microsoft SQL Server 2020和 Microsoft Access（建議在客戶端超過 100點，使用 Microsoft SQL Server 2020數(shù)據(jù)庫）。服務器模塊主要功能如下： ? 定時搜索網(wǎng)絡，管理所有已安裝客戶端代理模塊的計算機，并向代理模塊傳遞相關的設置和命令信息； ? 接收控制臺用戶數(shù)據(jù)請求指令，傳送數(shù)據(jù)文件到控制臺，由控制臺進行解密查看分析； ? 保存客戶端代理用戶信息； ? 存儲 系統(tǒng)組織結構，用戶信息和系統(tǒng)工作配置參數(shù)； ? 收集客戶端代理模塊采集的數(shù)據(jù)，并保存到數(shù)據(jù)庫中； ? 提供方便靈活的歷史記錄管理、歸檔、搜索、查看等功能； 極地銀河終端與內(nèi)網(wǎng)安全管理系統(tǒng) 控制臺模塊： 河南中煙許昌卷煙廠 XCXXZB2020004 號 鄭州蘇富特軟件有限公司 13 控制臺模塊是實現(xiàn)系統(tǒng)管理、參數(shù)配置、策略管理、系統(tǒng)審計的人機交互界面軟件。系統(tǒng)運行平臺為 Microsft Windows 2020/XP?？刂婆_模塊功能如下： ? 參數(shù)設置，包括控制臺和服務器的工作參數(shù)； ? 用戶（管理員）管理，包括：添加、刪除、修改；系統(tǒng)管理員采用分權分級的管理 方式，每個管理員都有其授權工作范圍和管理權限； ? 安全工作域結構管理，包括創(chuàng)建組織結構層次深度以及添加、刪除系統(tǒng)組織結構； ? 客戶端代理的添加、安裝和卸載； ? 客戶端代理策略的配置和下發(fā)； ? 實時獲取被監(jiān)視計算機的屏幕快照等信息； ? 設置監(jiān)視和控制規(guī)則； ? 查看并播放記錄在服務器端的歷史記錄； ? 查詢特定機器特定時刻的歷史記錄； ? 監(jiān)測日志的查看、分析和審計； 極地銀河終端與內(nèi)網(wǎng)安全管理系統(tǒng) 客戶端代理模塊： 客戶端代理模塊是安裝于受管理主機上的軟件。軟件安裝支持本地安裝和網(wǎng)絡安 裝等多種方式；客戶端代理的卸載只從服務器接收控制臺發(fā)出的卸載指令，本地用戶不能自行卸載、關閉管理程序?？蛻舳舜淼墓ぷ髌脚_目前支持Microsoft Windows 系列操作系統(tǒng)包括 Windows 98/Me、 Windows 2020 和 Windows XP?？蛻舳舜砟K主要功能如下： ? 接收服務器下發(fā)的工作策略，并按照該策略控制客戶端代理的工作模式； ? 信息泄露防護，該模塊包括對網(wǎng)絡層、應用層、媒體介質(zhì)、打印機和外設接口等的監(jiān)視控制； ? 運行監(jiān)測：實時記錄文件的操作，進程、服務、驅(qū)動、用戶和組的變化情況； ? 資產(chǎn)管 理：接收服務器指令，上傳系統(tǒng)的軟件、硬件信息； ? 定時采集數(shù)據(jù)并保存，并將采集的數(shù)據(jù)傳送到服務器； ? 響應控制臺發(fā)出的監(jiān)視請求，傳送實時的屏幕快照信息； ? 根據(jù)系統(tǒng)的設置控制計算機的操作； 河南中煙許昌卷煙廠 XCXXZB2020004 號 鄭州蘇富特軟件有限公司 14 ? 和服務器通信完成補丁的檢測、下載和安裝； ? 完成安全接入管理的實際功能。 極地銀河終端與內(nèi)網(wǎng)安全管理系統(tǒng) 主要功能 桌面安全 管理 桌面安全管理重點解決客戶端計算機桌面安全管理和行為的審計。 極地銀河終端與內(nèi)網(wǎng)安全管理系統(tǒng) 可以管理客戶端的用戶密碼和防病 毒軟件等安全相關系統(tǒng)的管理，并可以詳細記錄客戶端計算機上的文件、網(wǎng)站、程序、端口、即時通信工具等的使用情況。同時可以對允許用戶使用的文檔、程序、網(wǎng)站、端口等進行管理。桌面安全管理可以分為桌面安全及審計和桌面管理與運維兩個大的功能項。 桌面安全 及審計 ? 桌面密碼權限管理 可以查看計算機上所有已有的用戶及其權限，并可以遠程修改密碼以增強其密碼安全性。 ? 終端統(tǒng)一防火墻 終端具有主機防火墻功能，可以統(tǒng)一設置終端的本地 /遠程端口訪問策略，屏蔽不必要的端口，提高終端網(wǎng)絡安全性。 ? 防病毒軟件管理 可以檢測終端上是否安裝有防 病毒軟件，以及安裝的防病毒軟件是否處于工作狀態(tài)，病毒庫是否過期等信息。 極地銀河終端與內(nèi)網(wǎng)安全管理系統(tǒng) 可以輔助客戶端完成防病毒軟件病毒庫的更新，對于未安裝防病毒系統(tǒng)的客戶端，也可以遠程為其安裝指定的防病毒軟件。 ? 終端在線 /離線策略管理 極地銀河終端與內(nèi)網(wǎng)安全管理系統(tǒng) 可以對終端在線 /離線 2 種狀態(tài)下應用的策略分別予以設置。客戶端和服務器連接能夠進行通信時為在線狀態(tài)，無法和服務器完成通信時即為離線狀態(tài)。通過對在線 /離線 2 中狀態(tài)設置不 同的策略，對 河南中煙許昌卷煙廠 XCXXZB2020004 號 鄭州蘇富特軟件有限公司 15 于經(jīng)常移動辦公的設備（如筆記本）可以提供更加靈活實用的管理。 ? 硬件變化審計 可以獲取終端硬件的配置信息，能夠監(jiān)測其變化，對于硬件變化能夠記錄日志并根據(jù)策略產(chǎn)生系統(tǒng)報警信息。 ? 軟件變化審計 可以獲取終端軟件的安裝情況，能夠監(jiān)測其變化，對于軟件的添加刪除等變化能夠記錄日志并根據(jù)策略產(chǎn)生系統(tǒng)報警信息。 ? 終端用戶變化審計 可以發(fā)現(xiàn)終端用戶的變化（如添加 /刪除用戶），記錄日志并根據(jù)策略產(chǎn)生系統(tǒng)報警信息。 ? 文件訪問審計與管理 可以記錄計算機上對各種文件和文件夾的訪問和操作情況，并可以根據(jù)管理員的設置，禁止對 指定文件的操作。 ? 上網(wǎng) 訪問行為審計與管理 可以記錄終端系統(tǒng)瀏覽互聯(lián)網(wǎng)的情況，并能產(chǎn)生統(tǒng)計圖表讓管理員查看用戶的使用情況。可以阻止計算機瀏覽指定的網(wǎng)站。 ? 系統(tǒng)進程審計與管理 可以記錄終端系統(tǒng)上所有使用過的程序和運行過的進程，并能產(chǎn)生統(tǒng)計圖表讓管理員查看用戶的程序使用情況?？梢宰柚怪付ǖ倪M程在計算機上運行。 ? 網(wǎng)絡共享審計與管理 可以記錄終端系統(tǒng)上所有的共享文件夾，并可以遠程對共享文件夾予以關閉。 ? 網(wǎng)絡端口通信審計 可以對終端的網(wǎng)絡端口與協(xié)議使用情況進行監(jiān)測和審計。 ? 終端用戶屏幕審計 可以定時抓取終端計算的屏幕， 并按照時間順序予以記錄，供管理員查閱。 ? 打印審計與管理 可以監(jiān)測終端計算機進行打印的事件，記錄日志并可以根據(jù)策略產(chǎn)生報警信息?？梢越菇K端計算機的打印操作。 河南中煙許昌卷煙廠 XC