【正文】 網(wǎng)安全的防護是此次方案的重點。大樓內(nèi)劃分約 14 個網(wǎng)段，VLAN 劃分比較活躍，約 25 個。4）總大樓共 20 臺服務器，全部接在中心機房；約有 400～500 臺辦公電腦，其中5 / 34使用 Windows98 第二版本約 30％，使用 Windows2022 的約 60％；內(nèi)網(wǎng)使用趨勢防火墻。但與此同時，黑客、病毒以及網(wǎng)上作案日益猖獗，信息安全問題越來越顯得突出。因此，信息安全問題首先應該從內(nèi)部的安全著手。一個大型計算機網(wǎng)絡的整體安全體系包括網(wǎng)絡邊界安全、網(wǎng)絡內(nèi)部安全和人為因素等多個方面，通過在網(wǎng)絡邊界部署防火墻、入侵檢測等系統(tǒng)可以有效地將內(nèi)部網(wǎng)絡與外部網(wǎng)絡進行隔絕。（二） 、網(wǎng)絡安全管理的基礎工作較薄弱，各類網(wǎng)絡基礎信息采集不全。（三） 、IP 地址使用存在一定混亂。如果兩臺計算機設置了相同的 IP 地址，則會發(fā)生 IP 地址沖突的現(xiàn)象，造成兩臺計算機均無法正常使用網(wǎng)絡連接，從而影響正常業(yè)務工作的開展。為了保證內(nèi)部安全，要求對網(wǎng)內(nèi)各計算機設備的外圍設備使用情況進行控制，禁止或限制使用軟驅、光驅、USB 盤、并行、串行口、紅外口、1394 口、Modem 等外圍設備，防止利用移動存儲設備進行數(shù)據(jù)文件的拷貝。內(nèi)網(wǎng)的計算機，應該是專門用于完成業(yè)務工作且經(jīng)過認可的計算機。（六） 、網(wǎng)絡復雜龐大，安全問題難以定位。對違規(guī)操作或感染病毒的計算機，不能快速、準確定位，不能及時阻斷有害侵襲并快速查出侵襲的設備和人員。上述問題的存在，可能會造成機密信息外泄、影響正常業(yè)務進行等多種嚴重的后果。因此，建立一整套內(nèi)網(wǎng)安全管理及監(jiān)控系統(tǒng)，對于提高內(nèi)網(wǎng)的安全性和穩(wěn)定可靠性具有重要意義。網(wǎng)絡安全管理平臺方案應具有以下特點：1) 采用最新的高科技成果，使其在網(wǎng)絡信息管理領域具有較高的水平。3) 充分利用現(xiàn)有各種系統(tǒng)的資源，以節(jié)省運行成本。 設計原則依照本系統(tǒng)的基本需求及今后的發(fā)展規(guī)劃，我們的設計遵循以下原則： 開放性開放系統(tǒng)結構在國際上廣為流行，它能有效地保護用戶已有的投資和資源，便于系統(tǒng)間的聯(lián)接。2) 應用軟件的獨立性：建立一套基于通用的 Windows 2022 或 Linux 操作系統(tǒng)和開放關系數(shù)據(jù)庫管理系統(tǒng)的應用軟件。3) 可互聯(lián)的網(wǎng)絡系統(tǒng)：網(wǎng)絡的互聯(lián)能力體現(xiàn)在網(wǎng)絡的開放性和與異種網(wǎng)互聯(lián)的支持能力二方面。8 / 34基于 TCP/IP 網(wǎng)絡協(xié)議在多種主機互聯(lián)的實用性、用戶接口方面的標準化、可用性，我們建議采用 TCP/IP 協(xié)議，以保證用戶接口的一致性，為應用軟件獨立于網(wǎng)絡系統(tǒng)提供保證。為使系統(tǒng)具備長時期技術領先的競爭能力，除保證系統(tǒng)的高穩(wěn)定性之外，還必須使其具有高效的故障診斷能力、簡便的數(shù)據(jù)庫更新功能、系統(tǒng)維護功能、靈活高效的業(yè)務變更對應能力等，使無用功減至最少。以上均是系統(tǒng)設計時必須考慮的問題。在設計時，應充分考慮到各地千差萬別的實際業(yè)務需求及現(xiàn)代計算機和通訊技術發(fā)展的先進成果。 服務的持續(xù)性安全產(chǎn)品對網(wǎng)絡和主機的帶寬占用很小，不會影響正常的網(wǎng)絡通訊和主機系統(tǒng)資源的使用。主機、網(wǎng)絡及應用系統(tǒng)除能滿足目前及未來若干年業(yè)務發(fā)展規(guī)模之外，還應能隨業(yè)務的發(fā)展而進一步擴充，這要求目標系統(tǒng)具有很強的擴充能力，相應的主機系統(tǒng)、應用軟件、網(wǎng)絡都能夠平滑升級和擴充。在用戶網(wǎng)絡發(fā)生改變的時候，安全系統(tǒng)的改變最小，只是簡單通過添加授權 KEY和監(jiān)控點，就可以完成整個安全系統(tǒng)的改造。這個特性體現(xiàn)在主機、網(wǎng)絡硬件設備、數(shù)據(jù)庫及應用系統(tǒng)等各個方面，并希望實現(xiàn)集中式的管理與控制。對策具體可分為：1) 網(wǎng)絡傳輸?shù)耐暾耘c安全性：鑒于系統(tǒng)具有多個后臺系統(tǒng)的集成聯(lián)網(wǎng)的特點，整體網(wǎng)絡系統(tǒng)應從網(wǎng)絡軟、硬件技術及網(wǎng)絡運行組織和管理上采取必要的措施。當因系統(tǒng)故障或事故造成中斷時，要求系統(tǒng)對數(shù)據(jù)的完整性具有檢測、保護和恢復的功能。采用和參考的部頒發(fā)標準有：1) 公安部《公安計算機信息系統(tǒng)“九五”規(guī)劃》2) 公安部《中間件傳輸技術標準規(guī)范》3) 《公共數(shù)據(jù)交換系統(tǒng)標準》4) 《請求服務系統(tǒng)標準》5) 《信息授權策略標準》6) 《數(shù)字證書格式標準》10 / 34第 3 章 問題分析與解決思路 外來用戶的接入控制接入內(nèi)網(wǎng)的計算機應該是專用于辦公的計算機，其他外來用戶隨意接入內(nèi)網(wǎng)網(wǎng)絡，可能會造成重要機密數(shù)據(jù)泄露等危險。但是這種方法會給管理人員帶來比較大的工作量，特別是大型網(wǎng)絡，且這種方式的靈活性也不夠，對于任何一臺新接入的設備都必須要在相應的交換機上進行配置，管理非常不便。 IP 地址管理問題 采用計算機管理 IP 地址和用戶信息，若管理項目不統(tǒng)一，不便于統(tǒng)一管理范圍的擴大化和信息共享。一些用戶自行購置的計算機和網(wǎng)絡設備，不登記即自行安裝上網(wǎng)，信息中心缺乏有效的監(jiān)控手段，使得上網(wǎng)設備的 IP 地址沖突現(xiàn)象時有發(fā)生，合法設備無法正常工作，影響業(yè)務工作的開展。在上面的這些問題中，核心問題是 IP 地址的改動和盜用，主要表現(xiàn)為： （1）IP 地址非正常改動。（2）IP 地址盜用。本方案將對計算機及網(wǎng)絡設備 IP 地址進行有效的管理，可以對計算機和網(wǎng)絡設備的 IP 地址、MAC 地址以及主機名進行綁定，通過被動偵聽、主動掃查相結合的方式發(fā)現(xiàn)非法節(jié)點，并且可以阻斷非法節(jié)點的網(wǎng)絡通訊，對非法節(jié)點信息進行報警和日志記錄11 / 34等。作為用戶與設備基礎管理功能，希望建立起臺帳信息，對所有接入計算機和網(wǎng)絡設備的用戶信息進行登記注冊，這些登記的信息主要包括：用戶姓名、單位名稱、工作崗位、用戶工號、聯(lián)系電話、使用地點、主要用途、資產(chǎn)編號、設備品牌、設備類型、設備序列號等信息，在發(fā)生安全事件時能夠以最快速度定位到具體的用戶。同時，應該能夠做到動態(tài)地搜索各專用微機的硬件信息和安裝軟件信息，并能夠對這些信息進行統(tǒng)計和分析，生成相應的基礎信息報告。另外，系統(tǒng)還應該與安全策略緊密結合，自動收集與安全相關的一些系統(tǒng)信息，包括：操作系統(tǒng)版本信息、操作系統(tǒng)補丁信息等，同時針對這些收集的信息進行統(tǒng)計和分析，給出安全狀況報告。在對這些系統(tǒng)安全信息進行收集后，可迅速統(tǒng)計分析出那些不符合安全管理策略的微機，對其進行更新，從而保證各微機的安全性。 本方案實施后，客戶端管理功能將自動掃查計算機的硬件信息和軟件信息，登記管理計算機的基本信息，并支持統(tǒng)計查詢。 軟硬件違規(guī)行為監(jiān)控計算機的外圍設備（包括軟驅、光驅、USB 盤、并行、串行口、紅外口、1394 端口、Modem 等）為各種信息在不同的計算機設備之間交流提供了一個方便的途徑，通過它們可以將各種信息（包括病毒、木馬等）復制到不同的計算機中。安全管理及監(jiān)控系統(tǒng)應該實現(xiàn)對各客戶機外圍設備的集中監(jiān)視和控制，通過在管理端進行設置，可禁止和啟用各客戶機的外圍設備，有效地保護計算機上的信息。有些人員在計算機上安裝使用盜版軟件，不但引入了潛在的安全漏洞，降低了計算機系統(tǒng)的安全系數(shù)，還有可能惹來版權訴訟的麻煩；而一些內(nèi)部人員出于好奇心或者惡意破壞的目的，在計算機上安裝使用一些黑客軟件，從內(nèi)部發(fā)起攻擊；還有一些內(nèi)部人員安全意識淡薄，不安裝指定的防毒軟件等等。要解決這個問題，可以通過安裝在各計算機上的代理終端自動搜集各計算機所有的軟件信息，并匯總到控制器，形成內(nèi)網(wǎng)計算機的軟件資產(chǎn)報表，管理員可以全面了解各計算機所安裝軟件的版本信息，及時發(fā)現(xiàn)安全隱患并升級系統(tǒng)。 非法外聯(lián)問題作為內(nèi)網(wǎng)中的計算機，應該是專機專用，因此接入系統(tǒng)的計算機應該禁止與內(nèi)網(wǎng)或互聯(lián)網(wǎng)等其他外部網(wǎng)絡發(fā)生直接或間接的連接。網(wǎng)絡的安全是靠整體的安全防護體系來保證的，在這個防護體系里除了必要的安全防護措施以外，還需要建立一系列的管理規(guī)章制度，通過這些制度限定人們的網(wǎng)絡行為。它在內(nèi)網(wǎng)與其他外部網(wǎng)絡之間，開辟了一個不經(jīng)過安全防護機制檢查的“后門” ，這個“后門”使整個網(wǎng)絡的安全性大大降低。非法外聯(lián)具有一定的隱蔽性，管理人員不易發(fā)現(xiàn)，沒有一定的手段，很難對此進行必要的防護，容易遭受惡意的入侵。來自互聯(lián)網(wǎng)的惡意入侵者可以輕而易舉地入侵和控制這臺計算機，使入侵者獲得網(wǎng)絡內(nèi)的合法身份，它可以訪問網(wǎng)絡中的信息資源，可以對重要服務器進行漏洞掃描、入侵嘗試。（三） 、引起病毒的感染和傳播。非法外聯(lián)行為存在著將外部網(wǎng)絡病毒入侵的隱患。從上邊的分析可以看出，非法外聯(lián)具有很大的危害性，因此作為安全管理及監(jiān)控系統(tǒng)，應該對非法外聯(lián)的行為進行監(jiān)視，一旦發(fā)現(xiàn)這種現(xiàn)象及時通知各級管理人員，在必要的情況下可自行將這些連接斷開，保護內(nèi)部網(wǎng)絡的整體安全。內(nèi)網(wǎng)安全系統(tǒng)應能提供根據(jù)計算機的基本信息，迅速定位物理位置和用戶的手段。目前，絕大多數(shù)的網(wǎng)絡設備都能夠支持簡單網(wǎng)絡管理協(xié)議（SNMP） ，所以可以通過SNMP 協(xié)議，達到自動網(wǎng)絡拓撲功能，實現(xiàn)網(wǎng)絡拓撲結構的自動發(fā)現(xiàn)，從而實現(xiàn)對實際物理位置的迅速定位，同時輔以設備信息管理功能，實現(xiàn)具體用戶的定位。當網(wǎng)絡管理員已經(jīng)知道了某臺或多臺設備的 IP 地址，可以用單個網(wǎng)絡拓撲或多個網(wǎng)絡拓撲功能，直接拓撲發(fā)現(xiàn)設備。 服務器與端口監(jiān)控困難隨著計算機越來越滲入工作，計算機使用領域日益拓展，計算機相應提供服務逐漸增多，服務器也逐漸增多，服務器群越來越龐大?？抗ぷ魅藛T每周、每日的巡檢已經(jīng)越來越不能滿足工作的需要。同時，因巡檢方法本身的局限性，巡檢的效率和效果總是不能令人滿意，但人工巡檢的頻度和時間的消耗總是相矛盾的。本內(nèi)網(wǎng)安全管理系統(tǒng)在信息系統(tǒng)中實現(xiàn)對用戶的身份鑒別、實現(xiàn)信息的保密性、完整性、真實性和抗抵賴性等保護，采用當今流行的高強度安全策略——我國自主知識產(chǎn)15 / 34權的 PKI 技術為基礎的數(shù)字證書技術。16 / 34第 4 章 系統(tǒng)架構與內(nèi)網(wǎng)安全解決方案 eCop 系統(tǒng)架構 L A NX領 導 的 終 端領 導 的 終 端 X領 導 的 終 端領 導 的 終 端領 導 的 終 端領 導 的 終 端 L A NX領 導 的 終 端領 導 的 終 端 X領 導 的 終 端領 導 的 終 端領 導 的 終 端領 導 的 終 端L A NX領 導 的 終 端領 導 的 終 端 X領 導 的 終 端領 導 的 終 端領 導 的 終 端領 導 的 終 端L A NX領 導 的 終 端領 導 的 終 端 X領 導 的 終 端領 導 的 終 端領 導 的 終 端領 導 的 終 端 L A NX領 導 的 終 端領 導 的 終 端 X領 導 的 終 端領 導 的 終 端領 導 的 終 端領 導 的 終 端L A NX領 導 的 終 端領 導 的 終 端 X領 導 的 終 端領 導 的 終 端領 導 的 終 端領 導 的 終 端 L A NX領 導 的 終 端領 導 的 終 端 X領 導 的 終 端領 導 的 終 端領 導 的 終 端領 導 的 終 端 L A NX領 導 的 終 端領 導 的 終 端 X領 導 的 終 端領 導 的 終 端領 導 的 終 端領 導 的 終 端L A NX領 導 的 終 端領 導 的 終 端 X領 導 的 終 端領 導 的 終 端領 導 的 終 端領 導 的 終 端藍 線 表 示 I P 地 址 數(shù) 據(jù) 流 向 ，紅 線 表 示 客 戶 端 管 理 數(shù) 據(jù) 流 向I P 地址管理代理端e C o p 中央控制端e C o p 客戶端eCop 的體系結構如上圖所示，在內(nèi)部網(wǎng)絡部署一臺 eCop 中央控制器，它基于瀏覽器/客戶端模式設計，采用軟硬件一體化的功能服務器設計方式。每一臺接入內(nèi)部網(wǎng)絡中的計算機設備必須下載安裝客戶端程序，或者在 eCop 中央控制器上保存其 IP 及 MAC 地址配置信息，否則將會被管理系統(tǒng)認為是非法接入內(nèi)部網(wǎng)絡，客戶端程序的下載安裝由各客戶機通過瀏覽器連接到控制器后自動完成。eCop 以 Java、Web 技術為架構，采用面向對象和 Message Queue 技術構建信息交換平臺，使系統(tǒng)的各項功能構建于該平臺之上，使整個系統(tǒng)具備靈活的擴展性。17 / 34 eCop 系統(tǒng)功能模塊 內(nèi) 網(wǎng) 安 全 管 理 系 統(tǒng)網(wǎng)絡拓撲管理子系統(tǒng)I P地址管理子系統(tǒng)客戶端管理子系統(tǒng)資 產(chǎn)信 息管 理模 塊客 戶端 監(jiān)控 模塊非 法外 聯(lián)監(jiān) 控模 塊系統(tǒng)管理子系統(tǒng)用 戶機 構群 組管 理模 塊報 警與 日志 管理 模塊系 統(tǒng)配 置