【正文】 地址：南京龍蟠中路 168 號一號館 1311 電話 :02584803103251 網址： 詳細的審計、分析與報告 審計統(tǒng)計報表為系統(tǒng)管理員分析診斷網絡故障提供了數據分析的基礎。可 以根據需要設置規(guī)則，系統(tǒng)根據規(guī)則自動阻止非法操作，并且向控制臺發(fā)出報警信息。 內網監(jiān)控 對受控終端進行監(jiān)控是通過監(jiān)控規(guī)則進行的。系統(tǒng)根據規(guī)則自動記錄安全審計日志并存入系統(tǒng)日志信息庫，這些信息是事后了解和判斷網絡安全事故的寶貴資料。在服務器設置相應的審計規(guī)則后 ，如果客戶端所在的設備有符合規(guī)則的行為發(fā)生，則在服務器的日志中會有相應記錄。 對受控終端進行審計是通過規(guī)則進行的。采用基于主機和基于網絡相結合的控制機制和技術手段，可以多層次、多手段地實現對網絡的控制管理。主要功能包括： ? 自動發(fā)現網絡內所有網絡設備（包括三層和二層設備），通過系統(tǒng)提供的智能學習功能，自動識別網絡的物理拓撲結構，生成網絡物理連接拓撲圖； ? 可以方便地查看可管理設備的配置信息，如 System、 Interface、 IP Address、 Routing、 ARP、 MAC Address、 Flow 等； ? 動態(tài)顯示交換機端口狀態(tài)、流量等信息，可以設置端口流量閥值，當端口流量超過閥值時自動報警，幫助系統(tǒng)管理員監(jiān)視、分析網絡性能； ? 提供未知（未登記） IP地址、 MAC 地址列表 ,自動發(fā)現 有未知受控終端接入的交換機端口，方便系統(tǒng)管理員發(fā)現非法入侵者； ? 實現交換機端口的打開和阻斷控制； ? 自動識別網絡中所有設備的 IP地址、 MAC 地址、設備名稱等基本設備信息； ? 動態(tài)顯示受控終端的當前狀態(tài)，對各種不正常狀態(tài) (如 IP 和 MAC 地址隨意更改、關機、受控終端 Ping 不通、未知設備接入等 )均提供聲音報警和屏幕顯示 南京聯成科技發(fā)展有限公司 地址：南京龍蟠中路 168 號一號館 1311 電話 :02584803103251 網址： 報警； ? 可以按設備類型（如服務器、主機、打印機、交換機、路由器、網關）、 vlan、子網、部門等方法對設備進行分類管理，列表顯示出設備的名稱、所屬部門、 IP地址、 MAC 地址、 發(fā)現時間等信息； ? 可以根據交 換機端口連接的工位對計算機進行管理 ,方便網絡管理員迅速定位出現故障的計算機連接的交換機端口； ? 可以方便地查看受控終端的配置信息、審計日志信息，對受控終端進行屏幕監(jiān)控； ? 自動生成網絡拓撲圖（該網絡的真實物理連接結構圖），并能動態(tài)顯示當前的網絡狀態(tài)，可以對自動生成的網絡拓撲圖進行簡單編輯； ? 既可以在網絡拓撲圖中顯示所有設備（交換機、路由器、受控終端、打印機等）及其連接關系，也可以只顯示所有交換機及其連接關系。 內網安全系統(tǒng)的建設 一套統(tǒng)一的、安全的、可擴展的內部安全系統(tǒng)是我們構建整個安全目標的重要因素，內部安全系統(tǒng)是我們整個內部安全體系的基礎框架，通過我們的內部安全系統(tǒng)，我們可以 ● 具體完成我們的安全管理工作，使我們的管理電子化、自動化； ● 實現安全策略，把安全策略作為系統(tǒng)配置的形式下發(fā)到所有終端主機； ● 科學的劃分安全域，我們的管理工作趨于統(tǒng)一化、合理化、高效化。 （ 2） 在線信息保護策略 在線信息保護策略是指根據企業(yè)的實際情況，并結合相關的法規(guī)政策 、企業(yè)制度，對企業(yè)內部暴露在網絡上面的重要信息進行保護的內部安全策略，它指導企業(yè)如何定義重要信息、區(qū)分不同的信息的重要程度、并根據不同信息的重要程度制定不同的保護方案和訪問控制規(guī)則，同時也保證了我們企業(yè)的內部網絡資源得到最大化的合理應用。 內部安全策略是一種指導方法，通常都以一種規(guī)范、制度、流程等體現出來，用以指導我們快速、合理、全面的建設內部安全 系統(tǒng)，同時我們所規(guī)劃和實現的內部安全策略本身又是可擴展的，隨 著 時間的不斷推移和內部安全需求的進一步變化，我們都是根據調整企業(yè)的內部安全策略來更好的指導我們建設內部安全系統(tǒng)。 安全管理的安全目標：安全管理是整個內部安 全管理體系的核心，使得安全策略、和安全系統(tǒng)最終形成一個統(tǒng)一的安全整體，為企業(yè)創(chuàng)造真正的價值， 根據 實際情況，規(guī)劃不同密級的安全，為不同用戶制定相應的安全策略，并統(tǒng)一的管理所有設備； 南京聯成科技發(fā)展有限公司 地址：南京龍蟠中路 168 號一號館 1311 電話 :02584803103251 網址： 第三章 系統(tǒng)架構 安全策略規(guī)劃 內網安全策略是企業(yè)實現內網安全管理的基礎，內網安全策略是企業(yè)網絡信息系統(tǒng)安全建設的指導原則、配置規(guī)則和檢查依據。 本項目的總體目標是在不影響 XXXXX 網絡正常工作的前提下，實現對網絡的全面安全加固，最終達到國家保密部門規(guī)定的相關保密要求。 方案依據 本設計方案的主要依據是國家保密局文件 “涉及國家秘密的計算機信息系統(tǒng)安全保密方案設計指南” （ BMZ22020） ，同時，還參考了以下標準和法規(guī)、文件： ? 國家標準 GB28872020《電子計算機場地通用規(guī)范》； ? 國家標準 GB92541998《信息技術設備的無線電騷擾限值和測量方法》； ? 國家標準 GB93611998《計算站場地安全要求》； ? 國家標準 GB178591999《計算機信息系統(tǒng)安全保護等級劃分準則》； ? 國家標準 GB501741993《電子計算機機房設計規(guī)范》； ? 國家軍用標準 GJB34331998《軍用計算機網絡安全體系結構》； ? 國家公共安全和保密標準 GGBB11999《信息設備電磁泄漏發(fā)射限值》； ? 國家保密標準 BMB21998《使用現場的信息設備電磁泄漏發(fā)射檢查測 試 方法和安全判據》； ? 國家保密標準 BMB31999《處理涉密信息的電磁屏蔽室的技術要求和 測試方法》國家保密標準 BMB42020《電磁干擾器技術要求和測試方法》； ? 國家保密標準 BMB52020《涉密信息設備使用現場的電磁泄漏發(fā)射防 護要求》； ? 國家保密指南 BMZ12020《涉及國家秘密的計算機信息系統(tǒng)保密技術 要求》； ? 國家保密指南 BMZ22020《涉及國家秘密的計算機信息系統(tǒng)安全保密方案設計指南》 南京聯成科技發(fā)展有限公司 地址：南京龍蟠中路 168 號一號館 1311 電話 :02584803103251 網址： ? 國家保密指南 BM232020《涉及國家秘密的計算機信息系統(tǒng)安全保密測評指南》； ? CISPR22 信息技術設備 — 無線電干擾特征 — 極限值和測量方法； ? CISPR24 信息技術設備 — 免疫性特征 — 極限值和測量方法； ? 國務院令 147號《中華人民共和國計算機信息系統(tǒng)安全保護條例》； ? 國務院令 195 號《中華人民共和國計算機信息網絡國際聯網管理暫行規(guī)定》； ? 中華人民共和國公安部令 32 號《計算機信息系統(tǒng)安全專用產品檢測和銷售許可證管理辦法》； ? 國家保密局文件《計算機信息系統(tǒng)保密管理暫行規(guī)定》（國保發(fā) [1998]1號）； ? 中央保密委員會辦公室、國家保密局文件《涉及國家秘密的通信、辦公自動化和計算機信息系統(tǒng)審批暫行辦法》（中保辦發(fā) [1998]6 號）； ? 中共中央辦公廳國務院辦公廳關于轉發(fā)《中共中央保密委員會辦公室、國家保密局關于國家秘密載體保密管理 的規(guī)定》的通知（廳字 [2020]58 號）。內網安全管理系統(tǒng)的功能完整，應用安全擴展系統(tǒng)功能完整； ? 靈活性原則。內網安全管理系統(tǒng)的使用、維護、管理、發(fā)行等方面要易操 南京聯成科技發(fā)展有限公司 地址：南京龍蟠中路 168 號一號館 1311 電話 :02584803103251 網址： 作； ? 高效原則。執(zhí)行 ISO9002 質量認證體系要求，確保安全保密設備的高可靠性和穩(wěn)定性； ? 經濟性原則。 第二章 方案原則、依據及目標 方案原則 為保證方案的能夠最終達到國家保密部門規(guī)定的相關保密要求 ,在設計方案時遵循如下的設計原則 : ? 方案先進原則： XXXXX 網的內網安全管理系統(tǒng)要求功能完善、技術先進、安全可靠、服務領先； ? 系統(tǒng)安全原則：管理系統(tǒng)自身安全包括物理安全、系統(tǒng)安全、數據安全和運行安全等； ? 可擴展原則：統(tǒng)一規(guī)劃，兼顧長遠，既要滿足現有的需求，又要 兼顧系統(tǒng)的可擴展性，保證分布實施的延續(xù)性。 LanSecS內網安全管理系統(tǒng)集智能安全網管、內網審計、內網監(jiān)控于一體，助有關企業(yè)信息安全 、泄密問題排憂解難 ，相信會對您的工作有所幫助。針對于來自外部的入侵，已經大量 成熟的安全系統(tǒng)來防范，但是內部的安全威脅和隱患，卻很少被注意到，或者已經注意到，卻沒有完善的安全系統(tǒng)和安全來解決企業(yè)的內部安全問題； 南京聯成科技發(fā)展有限公司 地址：南京龍蟠中路 168 號一號館 1311 電話 :02584803103251 網址： 內部安全系統(tǒng)還不夠成熟。企業(yè)內部缺乏有效的管理制度執(zhí)行機制，使得管理制度不被執(zhí)行，為數不少的管理制度仍然還只是停留著紙面上。 16 不完善的內部安全管理機制。 ? 缺乏有效的管理機制 企業(yè)內部往往都缺乏比較有效的管理機制，來對內部安全進行有效的管理： 13 終端計算機操作人員沒有及時安裝防病毒軟件造成病毒攻擊損失或泄密 14 終端計算機操作人員沒有及時安裝系統(tǒng)補丁致使惡意代碼入侵造成泄密。電子計算機操作人員徇私枉法，受親友或朋友委托，通過計算機查詢有關案情，就可以向有關人員泄露案情。 12 故意泄密。當機器發(fā)生故障時，隨意叫自己的朋友或者外面的人進入機房維修，或者將發(fā)生故障的計算機送修前既不做消磁處理，又不安排專人監(jiān)修，造成秘密數據被竊。 11 規(guī)章制度不健全或者違反規(guī)章制度泄密。有些人由于不知道計算機軟盤上的剩滋可以提取還原，將曾經存貯過秘密信息的軟盤交流出去，因而造成泄密。對電子信息保密的意識還不強，常常由于專業(yè)知識不熟悉而泄密。 ? 具體的內網安全問題可以歸結為 : ? 離線存儲設備泄密管理 離線存儲設備防泄密管理主要集中各種移動存儲設備、打印機等 設備的防泄密管理，我們通過對如下泄密途徑的管理，來最終實現我們的離線存儲設備防泄密管理需求，包括： 1 移動硬盤信息防泄密管理； 2 移動 U 盤信息防泄密管理； 3 IDE 硬盤信息防泄密管理； 4 SCSI 硬盤信