【文章內(nèi)容簡介】 ： 作； ? 高效原則。內(nèi)網(wǎng)安全管理系統(tǒng)的處理能力要求能滿足現(xiàn)階段的實際需求，保證系統(tǒng)的高效運行， 并能根據(jù)系統(tǒng)的發(fā)展進行不斷提升； ? 功能完整原則。內(nèi)網(wǎng)安全管理系統(tǒng)的功能完整，應(yīng)用安全擴展系統(tǒng)功能完整； ? 靈活性原則。內(nèi)網(wǎng)安全管理系統(tǒng)的系統(tǒng)擴展、應(yīng)用安全建設(shè)方面都必須滿足靈活性要求。 方案依據(jù) 本設(shè)計方案的主要依據(jù)是國家保密局文件 “涉及國家秘密的計算機信息系統(tǒng)安全保密方案設(shè)計指南” （ BMZ22020） ，同時，還參考了以下標準和法規(guī)、文件： ? 國家標準 GB28872020《電子計算機場地通用規(guī)范》； ? 國家標準 GB92541998《信息技術(shù)設(shè)備的無線電騷擾限值和測量方法》； ? 國家標準 GB93611998《計算站場地安全要求》； ? 國家標準 GB178591999《計算機信息系統(tǒng)安全保護等級劃分準則》； ? 國家標準 GB501741993《電子計算機機房設(shè)計規(guī)范》； ? 國家軍用標準 GJB34331998《軍用計算機網(wǎng)絡(luò)安全體系結(jié)構(gòu)》； ? 國家公共安全和保密標準 GGBB11999《信息設(shè)備電磁泄漏發(fā)射限值》； ? 國家保密標準 BMB21998《使用現(xiàn)場的信息設(shè)備電磁泄漏發(fā)射檢查測 試 方法和安全判據(jù)》； ? 國家保密標準 BMB31999《處理涉密信息的電磁屏蔽室的技術(shù)要求和 測試方法》國家保密標準 BMB42020《電磁干擾器技術(shù)要求和測試方法》； ? 國家保密標準 BMB52020《涉密信息設(shè)備使用現(xiàn)場的電磁泄漏發(fā)射防 護要求》； ? 國家保密指南 BMZ12020《涉及國家秘密的計算機信息系統(tǒng)保密技術(shù) 要求》； ? 國家保密指南 BMZ22020《涉及國家秘密的計算機信息系統(tǒng)安全保密方案設(shè)計指南》 南京聯(lián)成科技發(fā)展有限公司 地址：南京龍蟠中路 168 號一號館 1311 電話 :02584803103251 網(wǎng)址： ? 國家保密指南 BM232020《涉及國家秘密的計算機信息系統(tǒng)安全保密測評指南》； ? CISPR22 信息技術(shù)設(shè)備 — 無線電干擾特征 — 極限值和測量方法； ? CISPR24 信息技術(shù)設(shè)備 — 免疫性特征 — 極限值和測量方法； ? 國務(wù)院令 147號《中華人民共和國計算機信息系統(tǒng)安全保護條例》； ? 國務(wù)院令 195 號《中華人民共和國計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》； ? 中華人民共和國公安部令 32 號《計算機信息系統(tǒng)安全專用產(chǎn)品檢測和銷售許可證管理辦法》； ? 國家保密局文件《計算機信息系統(tǒng)保密管理暫行規(guī)定》（國保發(fā) [1998]1號）； ? 中央保密委員會辦公室、國家保密局文件《涉及國家秘密的通信、辦公自動化和計算機信息系統(tǒng)審批暫行辦法》（中保辦發(fā) [1998]6 號）； ? 中共中央辦公廳國務(wù)院辦公廳關(guān)于轉(zhuǎn)發(fā)《中共中央保密委員會辦公室、國家保密局關(guān)于國家秘密載體保密管理 的規(guī)定》的通知（廳字 [2020]58 號）。 方案目標 XXXXX 要求最大可能的保護其辦公網(wǎng)絡(luò)和系統(tǒng)資源與數(shù)據(jù)可以得到充分的信任，獲得良好的管理。 本項目的總體目標是在不影響 XXXXX 網(wǎng)絡(luò)正常工作的前提下，實現(xiàn)對網(wǎng)絡(luò)的全面安全加固，最終達到國家保密部門規(guī)定的相關(guān)保密要求。 北京圣博潤高新技術(shù)有限公司（以下簡稱圣博潤）根據(jù) XXXXXX 的需求和國家涉密計算機系統(tǒng)安全要求，提供包括整體安全策略、規(guī)劃、設(shè)計、部署、管理、緊急響應(yīng)以及配套服務(wù)組成的網(wǎng)絡(luò)安全整體解決方案。 安全管理的安全目標：安全管理是整個內(nèi)部安 全管理體系的核心，使得安全策略、和安全系統(tǒng)最終形成一個統(tǒng)一的安全整體，為企業(yè)創(chuàng)造真正的價值， 根據(jù) 實際情況，規(guī)劃不同密級的安全，為不同用戶制定相應(yīng)的安全策略，并統(tǒng)一的管理所有設(shè)備； 南京聯(lián)成科技發(fā)展有限公司 地址：南京龍蟠中路 168 號一號館 1311 電話 :02584803103251 網(wǎng)址： 第三章 系統(tǒng)架構(gòu) 安全策略規(guī)劃 內(nèi)網(wǎng)安全策略是企業(yè)實現(xiàn)內(nèi)網(wǎng)安全管理的基礎(chǔ)，內(nèi)網(wǎng)安全策略是企業(yè)網(wǎng)絡(luò)信息系統(tǒng)安全建設(shè)的指導(dǎo)原則、配置規(guī)則和檢查依據(jù)。內(nèi)網(wǎng)安全系統(tǒng)的建設(shè)主要依據(jù)企業(yè)網(wǎng)絡(luò)信息系統(tǒng)統(tǒng)一的內(nèi)部安全策略。 內(nèi)部安全策略是一種指導(dǎo)方法，通常都以一種規(guī)范、制度、流程等體現(xiàn)出來，用以指導(dǎo)我們快速、合理、全面的建設(shè)內(nèi)部安全 系統(tǒng)，同時我們所規(guī)劃和實現(xiàn)的內(nèi)部安全策略本身又是可擴展的，隨 著 時間的不斷推移和內(nèi)部安全需求的進一步變化，我們都是根據(jù)調(diào)整企業(yè)的內(nèi)部安全策略來更好的指導(dǎo)我們建設(shè)內(nèi)部安全系統(tǒng)。 我們認為，內(nèi)部安全策略分為： （ 1） 主機資源審計與保護策略 主機資源審計策略是對主機資源進行收集、 并現(xiàn)在 統(tǒng)一管理的內(nèi)部安全策略，它指導(dǎo)如何準確、便捷的收集企業(yè)內(nèi)網(wǎng)內(nèi)所有主機的相關(guān)信息，同時指導(dǎo)我們根據(jù)不同主機的資源現(xiàn)狀制定不同的保護手段和管理制度。 （ 2） 在線信息保護策略 在線信息保護策略是指根據(jù)企業(yè)的實際情況，并結(jié)合相關(guān)的法規(guī)政策 、企業(yè)制度，對企業(yè)內(nèi)部暴露在網(wǎng)絡(luò)上面的重要信息進行保護的內(nèi)部安全策略，它指導(dǎo)企業(yè)如何定義重要信息、區(qū)分不同的信息的重要程度、并根據(jù)不同信息的重要程度制定不同的保護方案和訪問控制規(guī)則，同時也保證了我們企業(yè)的內(nèi)部網(wǎng)絡(luò)資源得到最大化的合理應(yīng)用。 （ 3） 離線信息保護策略 離線信息保護策略是指根據(jù)企業(yè)的實際情況，并結(jié)合相關(guān)的法規(guī)政策、企業(yè)制度，對企業(yè)內(nèi)部可以通過可以離線方式（包括移動存儲設(shè)備、打印設(shè)備等等） 南京聯(lián)成科技發(fā)展有限公司 地址：南京龍蟠中路 168 號一號館 1311 電話 :02584803103251 網(wǎng)址： 傳遞的重要信息進行保護的內(nèi)部安全策略，它指導(dǎo)企業(yè)如在學(xué)會了定義重要信息以及信息的密級后，同時可以有效的將各種離 線的信息傳遞設(shè)備（方式）進行統(tǒng)一的規(guī)劃和控制。 內(nèi)網(wǎng)安全系統(tǒng)的建設(shè) 一套統(tǒng)一的、安全的、可擴展的內(nèi)部安全系統(tǒng)是我們構(gòu)建整個安全目標的重要因素，內(nèi)部安全系統(tǒng)是我們整個內(nèi)部安全體系的基礎(chǔ)框架，通過我們的內(nèi)部安全系統(tǒng)，我們可以 ● 具體完成我們的安全管理工作，使我們的管理電子化、自動化； ● 實現(xiàn)安全策略，把安全策略作為系統(tǒng)配置的形式下發(fā)到所有終端主機； ● 科學(xué)的劃分安全域，我們的管理工作趨于統(tǒng)一化、合理化、高效化。 智能安全網(wǎng)管 智能安全網(wǎng)管模塊提供強大的內(nèi)網(wǎng)網(wǎng)絡(luò)管理和維護功能，是系統(tǒng) 管理員理想的安全故障管理系統(tǒng)。主要功能包括： ? 自動發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)所有網(wǎng)絡(luò)設(shè)備（包括三層和二層設(shè)備），通過系統(tǒng)提供的智能學(xué)習(xí)功能，自動識別網(wǎng)絡(luò)的物理拓撲結(jié)構(gòu)，生成網(wǎng)絡(luò)物理連接拓撲圖； ? 可以方便地查看可管理設(shè)備的配置信息，如 System、 Interface、 IP Address、 Routing、 ARP、 MAC Address、 Flow 等； ? 動態(tài)顯示交換機端口狀態(tài)、流量等信息，可以設(shè)置端口流量閥值，當端口流量超過閥值時自動報警，幫助系統(tǒng)管理員監(jiān)視、分析網(wǎng)絡(luò)性能； ? 提供未知（未登記） IP地址、 MAC 地址列表 ,自動發(fā)現(xiàn) 有未知受控終端接入的交換機端口，方便系統(tǒng)管理員發(fā)現(xiàn)非法入侵者； ? 實現(xiàn)交換機端口的打開和阻斷控制； ? 自動識別網(wǎng)絡(luò)中所有設(shè)備的 IP地址、 MAC 地址、設(shè)備名稱等基本設(shè)備信息； ? 動態(tài)顯示受控終端的當前狀態(tài)，對各種不正常狀態(tài) (如 IP 和 MAC 地址隨意更改、關(guān)機、受控終端 Ping 不通、未知設(shè)備接入等 )均提供聲音報警和屏幕顯示 南京聯(lián)成科技發(fā)展有限公司 地址：南京龍蟠中路 168 號一號館 1311 電話 :02584803103251 網(wǎng)址： 報警； ? 可以按設(shè)備類型（如服務(wù)器、主機、打印機、交換機、路由器、網(wǎng)關(guān)）、 vlan、子網(wǎng)、部門等方法對設(shè)備進行分類管理，列表顯示出設(shè)備的名稱、所屬部門、 IP地址、 MAC 地址、 發(fā)現(xiàn)時間等信息； ? 可以根據(jù)交 換機端口連接的工位對計算機進行管理 ,方便網(wǎng)絡(luò)管理員迅速定位出現(xiàn)故障的計算機連接的交換機端口； ? 可以方便地查看受控終端的配置信息、審計日志信息，對受控終端進行屏幕監(jiān)控； ? 自動生成網(wǎng)絡(luò)拓撲圖（該網(wǎng)絡(luò)的真實物理連接結(jié)構(gòu)圖），并能動態(tài)顯示當前的網(wǎng)絡(luò)狀態(tài)，可以對自動生成的網(wǎng)絡(luò)拓撲圖進行簡單編輯； ? 既可以在網(wǎng)絡(luò)拓撲圖中顯示所有設(shè)備（交換機、路由器、受控終端、打印機等）及其連接關(guān)系，也可以只顯示所有交換機及其連接關(guān)系。 內(nèi)網(wǎng)審計 在擁有了有效的防止內(nèi)部信息泄漏的方式后，對計算機資源的審計和管理也變的同樣重要， 如何有效的、最大化的掌握每一個主機的資源狀態(tài)，對統(tǒng)一的安全管理尤為重要！ 通過實時審計網(wǎng)絡(luò)數(shù)據(jù)流，根據(jù)用戶設(shè)定的安全控制策略，對受控對象的活動進行審計。采用基于主機和基于網(wǎng)絡(luò)相結(jié)合的控制機制和技術(shù)手段，可以多層次、多手段地實現(xiàn)對網(wǎng)絡(luò)的控制管理。通過集中管理、自我防護機制，全面體現(xiàn)了管理層對內(nèi)網(wǎng)關(guān)鍵資源的全局控制、把握和調(diào)度能力，為網(wǎng)絡(luò)管理人員提供了一種審計、檢查當前系統(tǒng)運行狀態(tài)的有效手段。 對受控終端進行審計是通過規(guī)則進行的。審計規(guī)則設(shè)置的是對服務(wù)器規(guī)則控制下的行為的記錄和統(tǒng)計。在服務(wù)器設(shè)置相應(yīng)的審計規(guī)則后 ，如果客戶端所在的設(shè)備有符合規(guī)則的行為發(fā)生，則在服務(wù)器的日志中會有相應(yīng)記錄?？梢愿鶕?jù)需要配置受控終端的文件操作、進程、網(wǎng)絡(luò)訪問等事件的規(guī)則。系統(tǒng)根據(jù)規(guī)則自動記錄安全審計日志并存入系統(tǒng)日志信息庫，這些信息是事后了解和判斷網(wǎng)絡(luò)安全事故的寶貴資料。 南京聯(lián)成科技發(fā)展有限公司 地址：南京龍蟠中路 168 號一號館 1311 電話 :02584803103251 網(wǎng)址： 審計功能包括： ? 自動登記受控終端的硬件配置（包括 CPU、內(nèi)存、硬盤、顯示卡、網(wǎng)卡等等），當受控終端的硬件發(fā)生變動時能自動向安全管理核心系統(tǒng)發(fā)出報警信息； ? 自動記錄受控終端操作系統(tǒng)配置的用戶、工作組、邏輯驅(qū)動器，當其發(fā)生變化時，自動向安全管理核心系統(tǒng)發(fā)出報警信息； ? 對受 控終端安裝的系統(tǒng)服務(wù)進行審計，自動記錄系統(tǒng)服務(wù)的啟動和停止； ? 自動記錄受控終端上應(yīng)用程序的安裝與卸載情況； ? 對受控終端上運行的進程進行審計，自動記錄進程的啟動和停止； ? 對文件操作進行審計，記錄用戶對規(guī)則指定文件進行的各種操作； ? 對網(wǎng)絡(luò)訪問進行審計，記錄用戶對規(guī)則指定網(wǎng)址進行的訪問操作； ? 對本地打印機使用情況進行審計； ? 對受控終端的可移動存儲設(shè)備的使用情況進行審計； ? 對撥號訪問情況進行審計。 內(nèi)網(wǎng)監(jiān)控 對受控終端進行監(jiān)