【正文】 樣就使得在內(nèi)網(wǎng)中非法取得授權(quán)和獲得資料變得非常的容易。 ? 具體的內(nèi)網(wǎng)安全問(wèn)題可以歸結(jié)為 : ? 離線(xiàn)存 儲(chǔ)設(shè)備泄密管理 離線(xiàn)存儲(chǔ)設(shè)備防泄密管理主要集中各種移動(dòng)存儲(chǔ)設(shè)備、打印機(jī)等設(shè)備的防泄密管理，我們通過(guò)對(duì)如下泄密途徑的管理，來(lái)最終實(shí)現(xiàn)我們的離線(xiàn)存儲(chǔ)設(shè)備防泄密管理需求，包括： 1 移動(dòng)硬盤(pán)信息防泄密管理； 2 移動(dòng) U 盤(pán)信息防泄密管理； 3 IDE 硬盤(pán)信息防泄密管理； 4 SCSI 硬盤(pán)信息防泄密管理； 5 軟盤(pán)信息防泄密管理； 6 光盤(pán)信息防泄密管理； 7 紅外 1394 防泄 密管理； ? 內(nèi)部信息泄密 在大量的安全事件中，最為嚴(yán)重的是企業(yè)內(nèi)部員工直接造成或者參與的非法信息外泄事件，并且由于內(nèi)部員工對(duì)于內(nèi)部的組織結(jié)構(gòu)、人員部署、機(jī)構(gòu)設(shè)置 相對(duì)于外部人員要熟悉的多，因此，內(nèi)部員工造成致使的信息外泄事件往往情節(jié)嚴(yán)重，并且損失巨大！ 信息外泄的途徑包括： 8 對(duì)本地打印機(jī) 、 受控終端撥號(hào)訪(fǎng)問(wèn)情況進(jìn)行審計(jì)； 9 內(nèi)部員工使用涉密計(jì)算機(jī)連接外部網(wǎng)絡(luò)致使泄密。對(duì)電子信息保密的意識(shí)還不強(qiáng)，常常由于專(zhuān)業(yè)知識(shí)不熟悉而泄密。有些人由于不知道計(jì)算機(jī)軟盤(pán)上的剩滋可以提取還原，將曾經(jīng)存貯過(guò)秘密信息的軟盤(pán)交流出去，因而造成泄密 。 11 規(guī)章制度不健全或者違反規(guī)章制度泄密。當(dāng)機(jī)器發(fā)生故障時(shí)，隨意叫自己的朋友或者外面的人進(jìn)入機(jī)房維修，或者將發(fā)生故障的計(jì)算機(jī)送修前既不做消磁處理，又不安排專(zhuān)人監(jiān)修，造成秘密數(shù)據(jù)被竊。 12 故意泄 密。電子計(jì)算機(jī)操作人員徇私枉法，受親友或朋友委托，通過(guò)計(jì)算機(jī)查詢(xún)有關(guān)案情，就可以向有關(guān)人員泄露案情。 ? 缺乏有效的管理機(jī)制 企業(yè)內(nèi)部往往都缺乏比較有效的管理機(jī)制，來(lái)對(duì)內(nèi)部安全進(jìn)行有效的管理： 13 終端計(jì)算機(jī)操作人員沒(méi)有及時(shí)安裝防病毒軟件造成病毒攻擊損失或泄密 14 終端計(jì)算機(jī)操作人員沒(méi)有及時(shí)安裝系統(tǒng)補(bǔ)丁 致使惡意代碼入侵造成泄密。 16 不完善的內(nèi)部安全管理機(jī)制。企業(yè)內(nèi)部缺乏有效的管理制度執(zhí)行機(jī)制，使得管理制度不被執(zhí)行，為數(shù)不少的管理制度仍然還只是停留著紙面上。針對(duì)于來(lái)自外部的入侵，已經(jīng)大量成熟的安全系統(tǒng)來(lái)防范，但是內(nèi)部的安全威脅和隱患，卻很少被注意到，或者已經(jīng)注意到，卻沒(méi)有完善的安全系統(tǒng)和安全來(lái)解決企業(yè)的內(nèi)部安全問(wèn)題； 內(nèi)部安全系統(tǒng)還不夠成熟。 LanSecS內(nèi)網(wǎng)安全管理系統(tǒng)集智能安全網(wǎng)管、內(nèi)網(wǎng)審計(jì)、內(nèi)網(wǎng)監(jiān)控于一體，助有關(guān)企業(yè)信息安全 、泄密問(wèn)題排憂(yōu)解難 ，相信會(huì)對(duì)您的工作有所幫助。 第二章 方案原則、依據(jù)及目標(biāo) 方案原則 為保證方案的能夠最終達(dá)到國(guó)家保密部門(mén)規(guī)定的相關(guān)保密要求 ,在設(shè)計(jì)方案時(shí)遵循如下的設(shè)計(jì)原則 : ? 方案先進(jìn)原則： XXXXX 網(wǎng)的內(nèi)網(wǎng)安全管理系統(tǒng)要求功能完善、技術(shù)先進(jìn)、安全可靠、服務(wù)領(lǐng)先； ? 系統(tǒng)安全原則：管理系統(tǒng)自身安全包括物理安全、系統(tǒng)安全、數(shù)據(jù)安全 和運(yùn)行安全等； ? 可擴(kuò)展原則：統(tǒng)一規(guī)劃，兼顧長(zhǎng)遠(yuǎn)，既要滿(mǎn)足現(xiàn)有的需求，又要兼顧系統(tǒng)的可擴(kuò)展性，保證分布實(shí)施的延續(xù)性。執(zhí)行 ISO9002 質(zhì)量認(rèn)證體系要求，確保安全保密設(shè)備的高可靠性和穩(wěn)定性； ? 經(jīng)濟(jì)性原則。內(nèi)網(wǎng)安全管理系統(tǒng)的使用、維護(hù)、管理、發(fā)行等方面要易操作； ? 高效原則。內(nèi)網(wǎng)安全管理系統(tǒng)的功能完整，應(yīng)用安全擴(kuò)展系統(tǒng)功能完整； ? 靈活性原則。 方案依據(jù) 本設(shè)計(jì)方案的主要依據(jù)是國(guó)家保密局文件 “涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)安全保密方案設(shè)計(jì)指南” （ BMZ22020） ，同時(shí)，還參考了以下標(biāo)準(zhǔn)和法規(guī)、文件： ? 國(guó)家標(biāo)準(zhǔn) GB28872020《電子計(jì)算機(jī)場(chǎng)地通用規(guī)范》； ? 國(guó)家標(biāo)準(zhǔn) GB92541998《信息技術(shù)設(shè)備的無(wú)線(xiàn)電騷擾限值和測(cè)量方法》； ? 國(guó)家標(biāo)準(zhǔn) GB93611998《計(jì)算站場(chǎng)地安全要求》； ? 國(guó)家標(biāo)準(zhǔn) GB178591999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》； ? 國(guó)家標(biāo)準(zhǔn) GB501741993《電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范》； ? 國(guó)家軍用標(biāo)準(zhǔn) GJB34331998《軍用計(jì)算機(jī)網(wǎng)絡(luò)安全體系結(jié)構(gòu)》； ? 國(guó)家公共安全和保密標(biāo)準(zhǔn) GGBB11999《信息設(shè)備電磁泄漏發(fā)射限值》； ? 國(guó)家保密標(biāo)準(zhǔn) BMB21998《使用現(xiàn)場(chǎng)的信息設(shè)備電磁泄漏發(fā)射檢查測(cè) 試 方法和安全判據(jù)》； ? 國(guó)家保密標(biāo)準(zhǔn) BMB31999《處理涉密信息的電磁屏蔽室的技術(shù)要求和 測(cè)試方法》國(guó)家保密標(biāo)準(zhǔn) BMB42020《電磁干擾器技術(shù)要求和測(cè)試方法》； ? 國(guó)家保密標(biāo)準(zhǔn) BMB52020《涉密信息設(shè)備使用現(xiàn)場(chǎng)的電磁泄漏發(fā)射防 護(hù)要求》； ? 國(guó)家保密指南 BMZ12020《涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)保密技術(shù) 要求》； ? 國(guó)家保密指南 BMZ22020《涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)安全保密方案設(shè)計(jì)指南》 ? 國(guó)家保密指南 BM232020《涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)安全保密測(cè)評(píng)指南》； ? CISPR22 信息技術(shù)設(shè)備 — 無(wú)線(xiàn)電干擾特征 — 極限值和測(cè)量方法； ? CISPR24 信息技術(shù)設(shè)備 — 免疫性特征 — 極限值和測(cè)量方法； ? 國(guó)務(wù)院令 147 號(hào)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》； ? 國(guó)務(wù)院令 195 號(hào)《中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定》； ? 中華人民共和國(guó)公安部令 32 號(hào)《計(jì)算機(jī)信息系統(tǒng)安全專(zhuān)用產(chǎn)品檢測(cè)和銷(xiāo)售 許可證管理辦法》； ? 國(guó)家保密局文件《計(jì)算機(jī)信息系統(tǒng)保密管理暫行規(guī)定》（國(guó)保發(fā) [1998]1號(hào)）； ? 中央保密委員會(huì)辦公室、國(guó)家保密局文件《涉及國(guó)家秘密的通信、辦公自動(dòng)化和計(jì)算機(jī)信息系統(tǒng)審批暫行辦法》（中保辦發(fā) [1998]6 號(hào)）； ? 中共中央辦公廳國(guó)務(wù)院辦公 廳關(guān)于轉(zhuǎn)發(fā)《中共中央保密委員會(huì)辦公室、國(guó)家保密局關(guān)于國(guó)家秘密載體保密管理的規(guī)定》的通知（廳字 [2020]58 號(hào)）。 本項(xiàng)目的總體目標(biāo)是在不影響 XXXXX 網(wǎng)絡(luò)正常工作的前提下，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的全面安全加固，最終達(dá)到國(guó)家保密部門(mén)規(guī)定的相關(guān)保密要求。 安全管理的安全目標(biāo)：安全管理是整個(gè)內(nèi)部安全管理體系的核心，使得安全策略、和安全系統(tǒng)最終形成一個(gè)統(tǒng)一的安全整體，為企業(yè)創(chuàng)造真正的價(jià)值， 根據(jù) 實(shí)際情況，規(guī)劃不同密級(jí)的安全，為不同用戶(hù)制定相應(yīng)的安全策略，并統(tǒng)一的管理所有設(shè)備； 第三章 系統(tǒng)架構(gòu) 安全策略規(guī)劃 內(nèi)網(wǎng)安全策略是企業(yè)實(shí)現(xiàn)內(nèi)網(wǎng)安全管理的基礎(chǔ)，內(nèi)網(wǎng)安全策略是企業(yè)網(wǎng)絡(luò)信息系統(tǒng)安全建設(shè)的指導(dǎo)原則、配置規(guī)則和檢查依據(jù)。 內(nèi)部安全策略是一種指導(dǎo)方法，通常都以一 種規(guī)范、制度、流程等體現(xiàn)出來(lái)， 用以指導(dǎo)我們快速、合理、全面的建設(shè)內(nèi)部安全系統(tǒng)，同時(shí)我們所規(guī)劃和實(shí)現(xiàn)的內(nèi)部安全策略本身又是可擴(kuò)展的，隨 著 時(shí)間的不斷推移和內(nèi)部安全需求的進(jìn)一步變化，我們都是根據(jù)調(diào)整企業(yè)的內(nèi)部安全策略來(lái)更好的指導(dǎo)我們建設(shè)內(nèi)部安全系統(tǒng)。 （ 2） 在線(xiàn)信 息保護(hù)策略 在線(xiàn)信息保護(hù)策略是指根據(jù)企業(yè)的實(shí)際情況，并結(jié)合相關(guān)的法規(guī)政策、企業(yè)制度，對(duì)企業(yè)內(nèi)部暴露在網(wǎng)絡(luò)上面的重要信息進(jìn)行保護(hù)的內(nèi)部安全策略，它指導(dǎo)企業(yè)如何定義重要信息、區(qū)分不同的信息的重要程度、并根據(jù)不同信息的重要程度制定不同的保護(hù)方案和訪(fǎng)問(wèn)控制規(guī)則，同時(shí)也保證了我們企業(yè)的內(nèi)部網(wǎng)絡(luò)資源得到最大化的合理應(yīng)用。 內(nèi)網(wǎng)安全系統(tǒng)的建設(shè) 一套統(tǒng)一的、安全的、可擴(kuò)展的內(nèi)部安全系統(tǒng)是我們構(gòu)建整個(gè)安全目標(biāo)的重要因素，內(nèi)部安全系統(tǒng)是我們整個(gè)內(nèi)部安全體系的基礎(chǔ)框架，通過(guò)我們的內(nèi)部安全系統(tǒng)，我們可以 ● 具體完成我們的安全管理工作，使我們的管理電子化、自動(dòng)化； ● 實(shí)現(xiàn)安全策略，把安全策略作為系統(tǒng)配置的形式下發(fā)到所有終端主機(jī)； ● 科學(xué)的劃分安全域，我們的管理工作趨于統(tǒng)一化、合理化、高效化。主要功能包括： ? 自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)所有網(wǎng)絡(luò)設(shè)備（包括三層和二層設(shè)備），通過(guò)系統(tǒng)提供的智能學(xué)習(xí)功能，自動(dòng)識(shí)別網(wǎng)絡(luò)的物理拓?fù)浣Y(jié)構(gòu)，生成網(wǎng)絡(luò)物理連接拓?fù)鋱D； ? 可以方便地查看可管理設(shè)備的配置信息，如 System、 Interface、 IP Address、 Routing、 ARP、 MAC Address、 Flow 等； ? 動(dòng)態(tài)顯示交換機(jī)端口狀態(tài)、流量等信息，可以設(shè)置端口流量閥值，當(dāng)端口流量超過(guò)閥值時(shí)自動(dòng)報(bào)警，幫助系統(tǒng)管理員監(jiān) 視、分析網(wǎng)絡(luò)性能； ? 提供未知（未登記） IP 地址、 MAC 地址列表 ,自動(dòng)發(fā)現(xiàn)有未知受控終端接入的交換機(jī)端口，方便系統(tǒng)管理員發(fā)現(xiàn)非法入侵者； ? 實(shí)現(xiàn)交換機(jī)端口的打開(kāi)和阻斷控制； ? 自動(dòng)識(shí)別網(wǎng)絡(luò)中所有設(shè)備的 IP地址、 MAC 地址、設(shè)備名稱(chēng)等基本設(shè)備信息； ? 動(dòng)態(tài)顯示受控終端的當(dāng)前狀態(tài)，對(duì)各種不正常狀態(tài) (如 IP和 MAC 地址隨意更改、關(guān)機(jī)、受控終端 Ping 不通、未知設(shè)備接入等 )均提供聲音報(bào)警和屏幕顯示報(bào)警； ? 可以按設(shè)備類(lèi)型（如服務(wù)器、主機(jī)、打印機(jī)、交換機(jī)、路由器、網(wǎng)關(guān)）、 vlan、子網(wǎng)、部門(mén)等方法對(duì)設(shè)備進(jìn)行分類(lèi)管理，列表顯示出 設(shè)備的名稱(chēng)、所屬部門(mén)、 IP地址、 MAC 地址、 發(fā)現(xiàn)時(shí)間等信息； ? 可以根據(jù)交換機(jī)端口連接的工位對(duì)計(jì)算機(jī)進(jìn)行管理 ,方便網(wǎng)絡(luò)管理員迅速定位出現(xiàn)故障的計(jì)算機(jī)連接的交換機(jī)端口； ? 可以方便地查看受控終端的配置信息、審計(jì)日志信息，對(duì)受控終端進(jìn)行屏幕監(jiān)控； ? 自動(dòng)生成網(wǎng)絡(luò)拓?fù)鋱D（該網(wǎng)絡(luò)的真實(shí)物理連接結(jié)構(gòu)圖），并能動(dòng)態(tài)顯示當(dāng)前的網(wǎng)絡(luò)狀態(tài)，可以對(duì)自動(dòng)生成的網(wǎng)絡(luò)拓?fù)鋱D進(jìn)行簡(jiǎn)單編輯； ? 既可以在網(wǎng)絡(luò)拓?fù)鋱D中顯示所有設(shè)備（交換機(jī)、路由器、受控終端、打印機(jī)等）及其連接關(guān)系，也可以只顯示所有交換機(jī)及其連接關(guān)系。采用基于主機(jī)和基于網(wǎng)絡(luò)相結(jié)合的控制機(jī)制和技術(shù)手段，可以多層次、多手段地實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的控制管理。 對(duì)受控終端進(jìn)行審計(jì)是通過(guò)規(guī)則進(jìn)行的。在服務(wù)器設(shè)置相應(yīng)的審計(jì)規(guī)則后，如果客戶(hù)端所在的設(shè)備有符合規(guī)則的行為發(fā)生，則在服務(wù)器的日志中會(huì)有相應(yīng)記錄。系統(tǒng)根據(jù)規(guī)則自動(dòng)記錄安全審計(jì)日志并存入系統(tǒng)日志信息庫(kù)，這些信息是事后了解和判斷網(wǎng)絡(luò)安全事故的寶貴資料。 內(nèi)網(wǎng)監(jiān)控 對(duì)受控終端進(jìn)行監(jiān)控是通過(guò) 監(jiān)控規(guī)則進(jìn)行的?？梢愿鶕?jù)需要設(shè)置規(guī)則，系統(tǒng)根據(jù)規(guī)則自動(dòng)阻止非法操作，并且向控制臺(tái)發(fā)出報(bào)警信息。 詳細(xì)的審計(jì)、分析與報(bào)告 審計(jì)統(tǒng)計(jì)報(bào)表為系統(tǒng)管理員分析診斷網(wǎng)絡(luò)故障提供了數(shù)據(jù)分析的基礎(chǔ)。包括： ? 安全事件分析報(bào)告 ? 計(jì)算機(jī)配置報(bào)告 ? 計(jì)算機(jī)運(yùn)行狀況報(bào)告 ? 系統(tǒng)進(jìn)程審計(jì)監(jiān)控報(bào)告 ? 系統(tǒng)服務(wù)審計(jì)監(jiān)控報(bào)告 ? 系統(tǒng)日志審計(jì)監(jiān)控報(bào)告 ? 打印輸出審計(jì)報(bào)告 ? 文件存儲(chǔ)、傳輸審計(jì)監(jiān)控報(bào)告 ? 網(wǎng)絡(luò)訪(fǎng)問(wèn)監(jiān)控報(bào) 告 對(duì)生成的審計(jì)統(tǒng)計(jì)報(bào)表（或?qū)徲?jì)日志報(bào)表、系統(tǒng)事件報(bào)表），可以通過(guò)系 統(tǒng)提供的 “報(bào)表查看器”進(jìn) 行瀏覽，同時(shí)提供打印預(yù)覽功能，支持報(bào)表打印。通過(guò)主動(dòng)的安全管理和安全控制的方式，將內(nèi)部網(wǎng)絡(luò)的安全隱患以技術(shù)的手段進(jìn)行有效的控制。符合 中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn) GB178951999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》 。實(shí)現(xiàn)了 嚴(yán)密的 集中管理 、 自我 安全 保護(hù) ，并建立了信息安全管理體系。 ? 基于主機(jī)和 網(wǎng)絡(luò)相結(jié)合的控制機(jī)制 基于主機(jī)控制機(jī)制可以監(jiān)控指定的主機(jī)系統(tǒng)，其控制力度細(xì)；基于網(wǎng)絡(luò)的控制機(jī)制可以實(shí)時(shí)監(jiān)控內(nèi)網(wǎng)的安全隱患， 實(shí)現(xiàn)了周密的內(nèi)網(wǎng)資源保護(hù)。 ? 智能化的網(wǎng)絡(luò)拓?fù)涔芾砗涂梢暬倏叵到y(tǒng) LanSecS 能夠自動(dòng)、動(dòng)態(tài)地發(fā)現(xiàn)內(nèi)網(wǎng)的所有節(jié)點(diǎn)，包括路由器、交換機(jī)、服務(wù)器、 PC 機(jī)等，能夠?qū)?shí)際網(wǎng)絡(luò)自動(dòng)、動(dòng)態(tài)地學(xué)習(xí)，并映射成物理的網(wǎng)絡(luò) 拓?fù)鋱D，同時(shí)能動(dòng)態(tài)顯示當(dāng)前的網(wǎng)絡(luò) 狀態(tài)。