中交水運(yùn)規(guī)劃設(shè)計(jì)院網(wǎng)絡(luò)安全建設(shè)方案

1、中交水運(yùn)規(guī)劃設(shè)計(jì)院中交水運(yùn)規(guī)劃設(shè)計(jì)院內(nèi)網(wǎng)安全內(nèi)網(wǎng)安全管理解決方案管理解決方案北京圣博潤高新技術(shù)有限公司2006 年 3 月目錄目錄第一章第一章 方案概況方案概況.31.1 概述.31.2. 需求分析 .3第二章第二章 方案原則、依據(jù)及目標(biāo)方案原則、依據(jù)及目標(biāo).52.1 方案原則 .52.2 方案依據(jù) .52.3 方案目標(biāo) .7第三章第三章 系統(tǒng)架構(gòu)系統(tǒng)架構(gòu).83.1 安全策略規(guī)劃 .83.2 內(nèi)網(wǎng)安全系統(tǒng)的建設(shè) .83.2.1 內(nèi)網(wǎng)審計(jì).93.2.3 內(nèi)網(wǎng)監(jiān)控.103.2.4 詳細(xì)的審計(jì)、分析與報(bào)告.103.2.5 技術(shù)特色.11第四章第四章 系統(tǒng)應(yīng)用部署和安全策略系統(tǒng)應(yīng)用部署和安全策略.13

2、4.1 系統(tǒng)部署 .134.1.2 集中式部署.134.1.2 分布式管理部署.134.2 安全策略 .144.2.1 安全技術(shù).154.2.2 安全管理策略.16第一章第一章 方案概況方案概況1.11.1 概述概述隨著信息網(wǎng)絡(luò)的迅速發(fā)展,在當(dāng)今的信息時(shí)代，信息技術(shù)已經(jīng)徹底改變我們的生活和工作方式，也改變現(xiàn)行企事業(yè)單位的管理模式。作為信息的管理部門，必須考慮當(dāng)前技術(shù)的發(fā)展給我們的工作所帶來的利益和威脅.如何利用信息網(wǎng)絡(luò)進(jìn)行安全的通信，同時(shí)保護(hù)計(jì)算機(jī)自身信息的安全性，成為當(dāng)前網(wǎng)絡(luò)安全和信息安全迫在眉睫的問題。針對(duì)日益嚴(yán)重的內(nèi)部信息泄漏問題，F(xiàn)BI對(duì)484 家公司調(diào)查顯示。面對(duì)來自于公司內(nèi)部的安全

3、威脅，85的安全損失是由企業(yè)內(nèi)部原因造成的。對(duì)于很多國內(nèi)企業(yè)來說，這可能有點(diǎn)聳人聽聞，但是，他們肯定遇到過類似的事情,由于某一員工誤操作造成公司服務(wù)器上重要文檔丟失；由于沒有定義每位員工在系統(tǒng)內(nèi)的訪問權(quán)限，使本該由一定級(jí)別的人員才能掌握的業(yè)務(wù)秘密泄露給競(jìng)爭(zhēng)對(duì)手對(duì)于這些來自公司內(nèi)部的安全問題，不是靠單純安裝殺毒軟件或防火墻就能解決的。1.2.1.2. 需求分析需求分析中交水運(yùn)規(guī)劃設(shè)計(jì)院的內(nèi)部網(wǎng)絡(luò)安全本質(zhì)上是一種管理需求，目的是使中交水運(yùn)規(guī)劃設(shè)計(jì)院的各項(xiàng)工作能夠安全的進(jìn)行，管理是主要方式。信息化工作模式建立在技術(shù)含量較高的計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)之上，在管理過程中僅僅依靠人力不能夠滿足網(wǎng)絡(luò)安全管理的需要，

4、也不能夠面對(duì)今后隨著技術(shù)發(fā)展帶來的更多安全需求，因此必須依靠各種技術(shù)手段來為網(wǎng)絡(luò)安全管理提供有效的工具，降低管理成本，提高管理效率。具體的內(nèi)網(wǎng)安全問題可以歸結(jié)為: 缺乏有效的實(shí)時(shí) IP/MAC 管理機(jī)制1 隨著網(wǎng)絡(luò)知識(shí)的普及，大量終端用戶可以輕易的修改本機(jī)的 IP 地址，而網(wǎng)絡(luò)管理人員通過現(xiàn)有的技術(shù)并不能實(shí)時(shí)的發(fā)現(xiàn)這些操作，這樣做會(huì)導(dǎo)致如下問題：2 1.一旦發(fā)生網(wǎng)絡(luò)癱瘓或網(wǎng)絡(luò)阻塞問題，網(wǎng)絡(luò)管理人員一般通過終端計(jì)算機(jī)的 IP 地址進(jìn)行查找，但如果用戶修改了 IP 地址就會(huì)造成無法及時(shí)發(fā)現(xiàn)問題源的現(xiàn)象，導(dǎo)致解決問題的時(shí)間被延誤。3 2. 如果用戶修改的 IP 地址和網(wǎng)關(guān)或服務(wù)器沖突，就會(huì)造成網(wǎng)絡(luò)癱

5、瘓或服務(wù)失效，同時(shí)網(wǎng)絡(luò)管理人員無法對(duì)問題進(jìn)行跟蹤。4 3. 如果用戶感染病毒，病毒有可能會(huì)自動(dòng)修改用戶的 MAC 地址，就會(huì)導(dǎo)致該用戶隱身于整個(gè)網(wǎng)絡(luò)中，使整個(gè)網(wǎng)絡(luò)存在一個(gè)看不見的漏洞。 缺乏內(nèi)部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)訪問控制 中交水利規(guī)劃院的網(wǎng)絡(luò)已經(jīng)很好的劃分了 VLAN，但是對(duì) VLAN 之間的訪問控制沒有進(jìn)行有效的設(shè)置，這樣會(huì)導(dǎo)致如下問題： 1.內(nèi)部數(shù)據(jù)的不安全性，如果內(nèi)部用戶無意或有意對(duì)服務(wù)器段或其他網(wǎng)段進(jìn)行操作會(huì)對(duì)該網(wǎng)段的數(shù)據(jù)造成破壞。 2.如果內(nèi)部用戶感染病毒，病毒會(huì)肆無忌憚的傳播到每個(gè) VLAN 中。最大的安全等于最小的權(quán)限，這是網(wǎng)絡(luò)安全的一條不變得法則。雖然中交水利規(guī)劃院的網(wǎng)絡(luò)已經(jīng)很好的

6、劃分了 VLAN，但是 VLAN 的劃分存在配置復(fù)雜，設(shè)置相對(duì)死板對(duì)網(wǎng)絡(luò)管理人員的要求比較高。的劃分存在配置復(fù)雜，設(shè)置相對(duì)死板，對(duì)網(wǎng)絡(luò)管理人員的要求比較高。 對(duì)一些造成網(wǎng)絡(luò)性能下降的軟件缺乏控制 當(dāng)前網(wǎng)絡(luò)的發(fā)展，導(dǎo)致了 P2P 軟件的發(fā)展，這種軟件大大增加了網(wǎng)絡(luò)負(fù)載，對(duì)正常的網(wǎng)絡(luò)訪問產(chǎn)生了極大的影響。僅僅從防火墻進(jìn)行配置會(huì)對(duì)防火墻的性能造成影響。同時(shí)根據(jù)防火墻原理它并不能完全有效的阻止網(wǎng)絡(luò)回包，這樣會(huì)給P2P 這類軟件造成可乘之機(jī)。 缺乏統(tǒng)一的系統(tǒng)補(bǔ)丁升級(jí)系統(tǒng)缺乏統(tǒng)一的系統(tǒng)補(bǔ)丁升級(jí)系統(tǒng) 當(dāng)前網(wǎng)絡(luò)蠕蟲病毒的泛濫主要原因就是系統(tǒng)補(bǔ)丁升級(jí)不及時(shí)造成的。如何統(tǒng)一地及時(shí)地強(qiáng)制地給所有終端用戶安裝補(bǔ)丁是每

7、個(gè)網(wǎng)路所面臨的問題。 對(duì)防病毒軟件缺乏統(tǒng)一的管理對(duì)防病毒軟件缺乏統(tǒng)一的管理雖然中交水運(yùn)規(guī)劃設(shè)計(jì)院購買的網(wǎng)絡(luò)版殺毒軟件但是由于缺乏強(qiáng)制的安全策略導(dǎo)致有的客戶端沒有安裝能夠及時(shí)升級(jí)的網(wǎng)絡(luò)版殺毒軟件，造成了網(wǎng)絡(luò)安全的隱患。第二章第二章 方案原則、依據(jù)及目標(biāo)方案原則、依據(jù)及目標(biāo)2.12.1 方案原則方案原則為保證方案的能夠最終達(dá)到國家保密部門規(guī)定的相關(guān)保密要求,在設(shè)計(jì)方案時(shí)遵循如下的設(shè)計(jì)原則: 系統(tǒng)安全原則：管理系統(tǒng)自身安全包括物理安全、系統(tǒng)安全、數(shù)據(jù)安全和運(yùn)行安全等； 可擴(kuò)展原則：統(tǒng)一規(guī)劃，兼顧長(zhǎng)遠(yuǎn)，既要滿足現(xiàn)有的需求，又要兼顧系統(tǒng)的可擴(kuò)展性，保證分布實(shí)施的延續(xù)性。系統(tǒng)在結(jié)構(gòu)、規(guī)模、應(yīng)用能力等各個(gè)方

8、面都必須具備很強(qiáng)的擴(kuò)展能力； 按照 GB17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則的要求建設(shè)； 可靠性原則。執(zhí)行 ISO9002 質(zhì)量認(rèn)證體系要求，確保安全保密設(shè)備的高可靠性和穩(wěn)定性； 經(jīng)濟(jì)性原則。內(nèi)網(wǎng)安全管理系統(tǒng)的建設(shè)、運(yùn)行維護(hù)以及將來的擴(kuò)展建設(shè)，必須符合經(jīng)濟(jì)性原則； 易操作原則。內(nèi)網(wǎng)安全管理系統(tǒng)的使用、維護(hù)、管理、發(fā)行等方面要易操作； 高效原則。內(nèi)網(wǎng)安全管理系統(tǒng)的處理能力要求能滿足現(xiàn)階段的實(shí)際需求，保證系統(tǒng)的高效運(yùn)行，并能根據(jù)系統(tǒng)的發(fā)展進(jìn)行不斷提升； 功能完整原則。內(nèi)網(wǎng)安全管理系統(tǒng)的功能完整，應(yīng)用安全擴(kuò)展系統(tǒng)功能完整；靈活性原則。內(nèi)網(wǎng)安全管理系統(tǒng)的系統(tǒng)擴(kuò)展、應(yīng)用安全建設(shè)方面都必

9、須滿足靈活性要求。2.22.2 方案依據(jù)方案依據(jù)本設(shè)計(jì)方案的主要依據(jù)是國家保密局文件 “涉及國家秘密的計(jì)算機(jī)信息系統(tǒng)安全保密方案設(shè)計(jì)指南” （BMZ2-2001） ，同時(shí)，還參考了以下標(biāo)準(zhǔn)和法規(guī)、文件： 國家標(biāo)準(zhǔn) GB2887-2000電子計(jì)算機(jī)場(chǎng)地通用規(guī)范 ； 國家標(biāo)準(zhǔn) GB9254-1998信息技術(shù)設(shè)備的無線電騷擾限值和測(cè)量方法 ； 國家標(biāo)準(zhǔn) GB9361-1998計(jì)算站場(chǎng)地安全要求 ； 國家標(biāo)準(zhǔn) GB17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 ； 國家標(biāo)準(zhǔn) GB50174-1993電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范 ； 國家軍用標(biāo)準(zhǔn) GJB3433-1998軍用計(jì)算機(jī)網(wǎng)絡(luò)安全體系結(jié)構(gòu) ；

10、 國家公共安全和保密標(biāo)準(zhǔn) GGBB1-1999信息設(shè)備電磁泄漏發(fā)射限值 ； 國家保密標(biāo)準(zhǔn) BMB2-1998使用現(xiàn)場(chǎng)的信息設(shè)備電磁泄漏發(fā)射檢查測(cè) 試 方法和安全判據(jù) ； 國家保密標(biāo)準(zhǔn) BMB3-1999處理涉密信息的電磁屏蔽室的技術(shù)要求和 測(cè)試方法國家保密標(biāo)準(zhǔn) BMB4-2000電磁干擾器技術(shù)要求和測(cè)試方法 ； 國家保密標(biāo)準(zhǔn) BMB5-2000涉密信息設(shè)備使用現(xiàn)場(chǎng)的電磁泄漏發(fā)射防 護(hù)要求 ； 國家保密指南 BMZ1-2000涉及國家秘密的計(jì)算機(jī)信息系統(tǒng)保密技術(shù) 要求 ； 國家保密指南 BMZ2-2001涉及國家秘密的計(jì)算機(jī)信息系統(tǒng)安全保密方案設(shè)計(jì)指南 國家保密指南 BM23-2000涉及國家秘

11、密的計(jì)算機(jī)信息系統(tǒng)安全保密測(cè)評(píng)指南 ； CISPR22 信息技術(shù)設(shè)備無線電干擾特征極限值和測(cè)量方法； CISPR24 信息技術(shù)設(shè)備免疫性特征極限值和測(cè)量方法； 國務(wù)院令 147 號(hào)中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例 ； 國務(wù)院令 195 號(hào)中華人民共和國計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定； 中華人民共和國公安部令 32 號(hào)計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品檢測(cè)和銷售許可證管理辦法 ； 國家保密局文件計(jì)算機(jī)信息系統(tǒng)保密管理暫行規(guī)定 （國保發(fā)19981號(hào)） ； 中央保密委員會(huì)辦公室、國家保密局文件涉及國家秘密的通信、辦公自動(dòng)化和計(jì)算機(jī)信息系統(tǒng)審批暫行辦法 （中保辦發(fā)19986 號(hào)） ； 中共中央辦公

12、廳國務(wù)院辦公廳關(guān)于轉(zhuǎn)發(fā)中共中央保密委員會(huì)辦公室、國家保密局關(guān)于國家秘密載體保密管理的規(guī)定的通知（廳字200058 號(hào)） 。2.32.3 方案目標(biāo)方案目標(biāo)中交水運(yùn)規(guī)劃設(shè)計(jì)院要求最大可能的保護(hù)其辦公網(wǎng)絡(luò)和系統(tǒng)資源與數(shù)據(jù)可以得到充分的信任，獲得良好的管理。本項(xiàng)目的總體目標(biāo)是在不影響中交水運(yùn)規(guī)劃設(shè)計(jì)院網(wǎng)絡(luò)正常工作的前提下，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的全面安全加固。北京圣博潤高新技術(shù)有限公司（以下簡(jiǎn)稱圣博潤）根據(jù)中交水運(yùn)規(guī)劃設(shè)計(jì)院的需求，提供包括整體安全策略、規(guī)劃、設(shè)計(jì)、部署、管理、緊急響應(yīng)以及配套服務(wù)組成的網(wǎng)絡(luò)安全整體解決方案。安全管理的安全目標(biāo)：安全管理是整個(gè)內(nèi)部安全管理體系的核心，使得安全策略、和安全系統(tǒng)最終形成

13、一個(gè)統(tǒng)一的安全整體，為企業(yè)創(chuàng)造真正的價(jià)值，根據(jù)實(shí)際情況，規(guī)劃不同密級(jí)的安全，為不同用戶制定相應(yīng)的安全策略，并統(tǒng)一的管理所有設(shè)備；第三章第三章 系統(tǒng)架構(gòu)系統(tǒng)架構(gòu)3.13.1 安全策略規(guī)劃安全策略規(guī)劃內(nèi)網(wǎng)安全策略是企業(yè)實(shí)現(xiàn)內(nèi)網(wǎng)安全管理的基礎(chǔ)，內(nèi)網(wǎng)安全策略是企業(yè)網(wǎng)絡(luò)信息系統(tǒng)安全建設(shè)的指導(dǎo)原則、配置規(guī)則和檢查依據(jù)。內(nèi)網(wǎng)安全系統(tǒng)的建設(shè)主要依據(jù)企業(yè)網(wǎng)絡(luò)信息系統(tǒng)統(tǒng)一的內(nèi)部安全策略。內(nèi)部安全策略是一種指導(dǎo)方法，通常都以一種規(guī)范、制度、流程等體現(xiàn)出來，用以指導(dǎo)我們快速、合理、全面的建設(shè)內(nèi)部安全系統(tǒng)，同時(shí)我們所規(guī)劃和實(shí)現(xiàn)的內(nèi)部安全策略本身又是可擴(kuò)展的，隨著時(shí)間的不斷推移和內(nèi)部安全需求的進(jìn)一步變化，我們都是根據(jù)調(diào)整

14、企業(yè)的內(nèi)部安全策略來更好的指導(dǎo)我們建設(shè)內(nèi)部安全系統(tǒng)。我們認(rèn)為，內(nèi)部安全策略分為：（1 1） 主機(jī)資源審計(jì)與保護(hù)策略主機(jī)資源審計(jì)策略是對(duì)主機(jī)資源進(jìn)行收集、并現(xiàn)在統(tǒng)一管理的內(nèi)部安全策略，它指導(dǎo)如何準(zhǔn)確、便捷的收集企業(yè)內(nèi)網(wǎng)內(nèi)所有主機(jī)的相關(guān)信息，同時(shí)指導(dǎo)我們根據(jù)不同主機(jī)的資源現(xiàn)狀制定不同的保護(hù)手段和管理制度。（2 2） 在線信息保護(hù)策略在線信息保護(hù)策略是指根據(jù)企業(yè)的實(shí)際情況，并結(jié)合相關(guān)的法規(guī)政策、企業(yè)制度，對(duì)企業(yè)內(nèi)部暴露在網(wǎng)絡(luò)上面的重要信息進(jìn)行保護(hù)的內(nèi)部安全策略，它指導(dǎo)企業(yè)如何定義重要信息、區(qū)分不同的信息的重要程度、并根據(jù)不同信息的重要程度制定不同的保護(hù)方案和訪問控制規(guī)則，同時(shí)也保證了我們企業(yè)的內(nèi)部網(wǎng)

15、絡(luò)資源得到最大化的合理應(yīng)用。3.23.2 內(nèi)網(wǎng)安全系統(tǒng)的建設(shè)內(nèi)網(wǎng)安全系統(tǒng)的建設(shè)一套統(tǒng)一的、安全的、可擴(kuò)展的內(nèi)部安全系統(tǒng)是我們構(gòu)建整個(gè)安全目標(biāo)的重要因素，內(nèi)部安全系統(tǒng)是我們整個(gè)內(nèi)部安全體系的基礎(chǔ)框架，通過我們的內(nèi)部安全系統(tǒng)，我們可以 具體完成我們的安全管理工作，使我們的管理電子化、自動(dòng)化； 實(shí)現(xiàn)安全策略，把安全策略作為系統(tǒng)配置的形式下發(fā)到所有終端主機(jī)； 科學(xué)的劃分安全域，我們的管理工作趨于統(tǒng)一化、合理化、高效化。3.2.13.2.1 內(nèi)網(wǎng)審計(jì)內(nèi)網(wǎng)審計(jì)在擁有了有效的防止內(nèi)部信息泄漏的方式后，對(duì)計(jì)算機(jī)資源的審計(jì)和管理也變的同樣重要，如何有效的、最大化的掌握每一個(gè)主機(jī)的資源狀態(tài)，對(duì)統(tǒng)一的安全管理尤為重

16、要！通過實(shí)時(shí)審計(jì)網(wǎng)絡(luò)數(shù)據(jù)流，根據(jù)用戶設(shè)定的安全控制策略，對(duì)受控對(duì)象的活動(dòng)進(jìn)行審計(jì)。采用基于主機(jī)和基于網(wǎng)絡(luò)相結(jié)合的控制機(jī)制和技術(shù)手段，可以多層次、多手段地實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的控制管理。通過集中管理、自我防護(hù)機(jī)制，全面體現(xiàn)了管理層對(duì)內(nèi)網(wǎng)關(guān)鍵資源的全局控制、把握和調(diào)度能力，為網(wǎng)絡(luò)管理人員提供了一種審計(jì)、檢查當(dāng)前系統(tǒng)運(yùn)行狀態(tài)的有效手段。對(duì)受控終端進(jìn)行審計(jì)是通過規(guī)則進(jìn)行的。審計(jì)規(guī)則設(shè)置的是對(duì)服務(wù)器規(guī)則控制下的行為的記錄和統(tǒng)計(jì)。在服務(wù)器設(shè)置相應(yīng)的審計(jì)規(guī)則后，如果客戶端所在的設(shè)備有符合規(guī)則的行為發(fā)生，則在服務(wù)器的日志中會(huì)有相應(yīng)記錄。可以根據(jù)需要配置受控終端的文件操作、進(jìn)程、網(wǎng)絡(luò)訪問等事件的規(guī)則。系統(tǒng)根據(jù)規(guī)則自動(dòng)記錄

17、安全審計(jì)日志并存入系統(tǒng)日志信息庫，這些信息是事后了解和判斷網(wǎng)絡(luò)安全事故的寶貴資料。審計(jì)功能包括： 自動(dòng)登記受控終端的硬件配置（包括 CPU、內(nèi)存、硬盤、顯示卡、網(wǎng)卡等等） ，當(dāng)受控終端的硬件發(fā)生變動(dòng)時(shí)能自動(dòng)向安全管理核心系統(tǒng)發(fā)出報(bào)警信息； 自動(dòng)記錄受控終端操作系統(tǒng)配置的用戶、工作組、邏輯驅(qū)動(dòng)器，當(dāng)其發(fā)生變化時(shí)，自動(dòng)向安全管理核心系統(tǒng)發(fā)出報(bào)警信息； 對(duì)受控終端安裝的系統(tǒng)服務(wù)進(jìn)行審計(jì)，自動(dòng)記錄系統(tǒng)服務(wù)的啟動(dòng)和停止； 自動(dòng)記錄受控終端上應(yīng)用程序的安裝與卸載情況； 對(duì)受控終端上運(yùn)行的進(jìn)程進(jìn)行審計(jì)，自動(dòng)記錄進(jìn)程的啟動(dòng)和停止； 對(duì)網(wǎng)絡(luò)訪問進(jìn)行審計(jì)，記錄用戶對(duì)規(guī)則指定網(wǎng)址進(jìn)行的訪問操作； 對(duì)受控終端的可移動(dòng)

18、存儲(chǔ)設(shè)備的使用情況進(jìn)行審計(jì)； 對(duì)撥號(hào)訪問情況進(jìn)行審計(jì)。3.2.33.2.3 內(nèi)網(wǎng)監(jiān)控內(nèi)網(wǎng)監(jiān)控對(duì)受控終端進(jìn)行監(jiān)控是通過監(jiān)控規(guī)則進(jìn)行的。安全管理核心系統(tǒng)負(fù)責(zé)集中配置監(jiān)控規(guī)則，下發(fā)到受控節(jié)點(diǎn)。可以根據(jù)需要設(shè)置規(guī)則，系統(tǒng)根據(jù)規(guī)則自動(dòng)阻止非法操作，并且向控制臺(tái)發(fā)出報(bào)警信息。內(nèi)網(wǎng)監(jiān)控模塊功能包括： 對(duì)受控終端進(jìn)行屏幕監(jiān)視或控制； 對(duì)受控終端進(jìn)行 IP 地址和 MAC 地址的綁定，防止用戶隨意更改網(wǎng)絡(luò)配置； 對(duì)受控終端上運(yùn)行的進(jìn)程進(jìn)行控制，允許或禁止某些進(jìn)程的啟動(dòng)； 對(duì)網(wǎng)絡(luò)訪問進(jìn)行控制，允許或阻斷對(duì)某些網(wǎng)絡(luò)地址的訪問； 對(duì)受控終端自動(dòng)進(jìn)行補(bǔ)丁分發(fā)； 對(duì)受控終端進(jìn)行防病毒軟件的控制，不裝指定的防毒軟件不允許訪

19、問內(nèi)網(wǎng)。3.2.43.2.4 詳細(xì)的審計(jì)、分析與報(bào)告詳細(xì)的審計(jì)、分析與報(bào)告審計(jì)統(tǒng)計(jì)報(bào)表為系統(tǒng)管理員分析診斷網(wǎng)絡(luò)故障提供了數(shù)據(jù)分析的基礎(chǔ)?？梢愿鶕?jù)部門、設(shè)備、事件類別等多種條件進(jìn)行查詢統(tǒng)計(jì)，生成各種審計(jì)統(tǒng)計(jì)報(bào)表。包括： 安全事件分析報(bào)告 計(jì)算機(jī)配置報(bào)告 計(jì)算機(jī)運(yùn)行狀況報(bào)告 系統(tǒng)進(jìn)程審計(jì)監(jiān)控報(bào)告 系統(tǒng)服務(wù)審計(jì)監(jiān)控報(bào)告 系統(tǒng)日志審計(jì)監(jiān)控報(bào)告 打印輸出審計(jì)報(bào)告 文件存儲(chǔ)、傳輸審計(jì)監(jiān)控報(bào)告 網(wǎng)絡(luò)訪問監(jiān)控報(bào)告對(duì)生成的審計(jì)統(tǒng)計(jì)報(bào)表（或?qū)徲?jì)日志報(bào)表、系統(tǒng)事件報(bào)表） ，可以通過系統(tǒng)提供的“報(bào)表查看器”進(jìn)行瀏覽，同時(shí)提供打印預(yù)覽功能，支持報(bào)表打印。3.2.53.2.5 技術(shù)特色技術(shù)特色LanSecS 內(nèi)網(wǎng)安全管理

20、系統(tǒng)凝聚了先進(jìn)的網(wǎng)絡(luò)安全管理思想，把安全管理的流程和技術(shù)手段加以總結(jié)提高，既能保證計(jì)算機(jī)網(wǎng)絡(luò)安全運(yùn)行，也能提供對(duì)內(nèi)網(wǎng)計(jì)算機(jī)信息安全的監(jiān)控和審計(jì)，可以解決企業(yè)和政府內(nèi)部專用網(wǎng)絡(luò)的安全管理、安全控制和行為監(jiān)視。通過主動(dòng)的安全管理和安全控制的方式，將內(nèi)部網(wǎng)絡(luò)的安全隱患以技術(shù)的手段進(jìn)行有效的控制。 符合當(dāng)前網(wǎng)絡(luò)安全管理的國際、國內(nèi)標(biāo)準(zhǔn)符合國際信息安全管理體系標(biāo)準(zhǔn)和技術(shù)工程標(biāo)準(zhǔn)，BS 7799、ISO 17799、SSE-CMM 等。符合中華人民共和國國家標(biāo)準(zhǔn) GB17895-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 。 獨(dú)特的安全管理思想和技術(shù)手段結(jié)合信息安全行為模式理論以及多年從事網(wǎng)絡(luò)安全和風(fēng)險(xiǎn)評(píng)

21、估領(lǐng)域的經(jīng)驗(yàn)積累，形成了獨(dú)特的安全管理的方法論，以此方法論為基礎(chǔ)設(shè)計(jì)了專業(yè)的智能的 LanSecS 內(nèi)網(wǎng)安全管理系統(tǒng)。實(shí)現(xiàn)了嚴(yán)密的集中管理、自我安全保護(hù)，并建立了信息安全管理體系。產(chǎn)品設(shè)計(jì)思想先進(jìn)，擁有完全自主的知識(shí)產(chǎn)權(quán)。 基于主機(jī)和網(wǎng)絡(luò)相結(jié)合的控制機(jī)制基于主機(jī)控制機(jī)制可以監(jiān)控指定的主機(jī)系統(tǒng)，其控制力度細(xì)；基于網(wǎng)絡(luò)的控制機(jī)制可以實(shí)時(shí)監(jiān)控內(nèi)網(wǎng)的安全隱患，實(shí)現(xiàn)了周密的內(nèi)網(wǎng)資源保護(hù)。 集成的系統(tǒng)管理：端到端、全面的集成監(jiān)控優(yōu)秀的 IT 系統(tǒng)管理軟件，幫助用戶穩(wěn)定、可靠、方便、有效地管理企業(yè)級(jí) IT 基礎(chǔ)設(shè)施，真正實(shí)現(xiàn)了端到端的系統(tǒng)管理。 強(qiáng)制的審計(jì)監(jiān)控進(jìn)程在客戶端隱藏審計(jì)/監(jiān)控進(jìn)程，使得受控客戶端不

22、能停止和刪除進(jìn)程，確保安全審計(jì)和監(jiān)控，同時(shí)不影響客戶端的正常使用。 IPIP 和 MACMAC 地址綁定可以防止受控客戶端改變 IP 地址，確保訪問控制。 集中管理和監(jiān)控對(duì)大量目標(biāo)資源進(jìn)行集中管理，可以監(jiān)督的對(duì)象眾多。系統(tǒng)對(duì)內(nèi)網(wǎng)中設(shè)備、網(wǎng)絡(luò)、文件集中管理安全策略、系統(tǒng)配置、安全事件等。 安全日志信息庫所有網(wǎng)絡(luò)、系統(tǒng)數(shù)據(jù)及安全事件，可以通過 SQLSever2000 數(shù)據(jù)庫進(jìn)行存儲(chǔ)，便于網(wǎng)絡(luò)安全管理審計(jì)、分析。 操作系統(tǒng)自身的安全性審計(jì) 可以發(fā)現(xiàn)當(dāng)前系統(tǒng)的補(bǔ)丁安裝情況,同時(shí)針對(duì)不同單位的防病毒的需求,可以提示用戶安裝本單位要求的防病毒軟件. 模塊化設(shè)計(jì)、簡(jiǎn)單易用系統(tǒng)開發(fā)了獨(dú)立模塊以提供對(duì)目標(biāo)主機(jī)

23、多層次、多視角的審計(jì)，并提供了友好的安全審計(jì)中心圖形界面，操作簡(jiǎn)單直接，大大降低了用戶后期維護(hù)的投入以及網(wǎng)絡(luò)系統(tǒng)/安全管理員的工作難度和工作量。第四章第四章 系統(tǒng)應(yīng)用部署系統(tǒng)應(yīng)用部署和安全策略和安全策略4.14.1 系統(tǒng)部署系統(tǒng)部署通過管理角色特別是管理端管理角色的變化，結(jié)合LanSecS內(nèi)網(wǎng)安全管理系統(tǒng)應(yīng)用數(shù)據(jù)服務(wù)器支持多級(jí)別、分布式部署的特性，在實(shí)際中，LanSecS內(nèi)網(wǎng)安全管理系統(tǒng)采用以下兩種部署方式：集中式部署和分布式管理部署。4.1.24.1.2 集中式部署集中式部署集中式部署面向小型網(wǎng)絡(luò)。LanSecS內(nèi)網(wǎng)安全管理系統(tǒng)按照企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)，將網(wǎng)絡(luò)劃分為一個(gè)安全域，通過對(duì)每一個(gè)網(wǎng)絡(luò)用戶行

24、為的監(jiān)視和記錄，并形成完整的日志。集中部署集中部署4.1.24.1.2 分布式管理部署分布式管理部署分布式部署面向復(fù)雜結(jié)構(gòu)下的企業(yè)網(wǎng)絡(luò)。在這種部署應(yīng)用模式下，LanSecS 內(nèi)網(wǎng)安全管理系統(tǒng)按照企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)，可以將整個(gè)企業(yè)網(wǎng)絡(luò)劃分為一個(gè)以上的安全域；在某個(gè)安全域內(nèi)，按照該安全域的類型，LanSecS 內(nèi)網(wǎng)安全管理系統(tǒng)可以將所有下級(jí)的安全數(shù)據(jù)信息集中到LanSecS 安全管理核心系統(tǒng)。分布式部署分布式部署1.對(duì)于經(jīng)常出差，策略是統(tǒng)一策略已下發(fā)到本機(jī)，所以還是可以保證數(shù)據(jù)的安全的，同時(shí)操作日志會(huì)在聯(lián)通網(wǎng)之后將日志上傳這到服務(wù)，統(tǒng)一管理。2.根據(jù)中交水運(yùn)規(guī)劃設(shè)計(jì)院的實(shí)際情況，規(guī)劃不同策略，為為同安全

25、級(jí)別制定相應(yīng)的安全策略，并統(tǒng)一的來之不易所有網(wǎng)絡(luò)網(wǎng)絡(luò)。4.24.2 安全策略安全策略網(wǎng)絡(luò)與信息安全網(wǎng)絡(luò)與信息安全= =信息安全技術(shù)信息安全技術(shù)+ +信息安全管理體系信息安全管理體系技術(shù)層面和管理層面的良好配合，是組織實(shí)現(xiàn)網(wǎng)絡(luò)與信息安全系統(tǒng)的有效途徑。其中，信息安全技術(shù)通過采用包括建設(shè)安全的主機(jī)系統(tǒng)和安全的網(wǎng)絡(luò)系統(tǒng)，并配備適當(dāng)?shù)陌踩a(chǎn)品的方法來實(shí)現(xiàn)。在管理層面，則通過構(gòu)架信息安全管理體系來實(shí)現(xiàn)。應(yīng)用開發(fā)提供功能，系統(tǒng)管理確保性能。離開了對(duì)于性能和可用性的保障，系統(tǒng)應(yīng)用無從談起。保證網(wǎng)絡(luò)自身安全和業(yè)務(wù)安全，首先要有一個(gè)可靠的網(wǎng)絡(luò)，其次就是要有強(qiáng)有力的網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全管理策略和手段。隨著網(wǎng)絡(luò)應(yīng)用日

26、趨復(fù)雜，單憑網(wǎng)絡(luò)管理員的學(xué)識(shí)和經(jīng)驗(yàn)進(jìn)行網(wǎng)絡(luò)管理和安全管理，已經(jīng)不能適應(yīng)了。因此，我們必須借助一些工具和軟件來管理網(wǎng)絡(luò)，并構(gòu)建信息安全管理體系。4.2.14.2.1 安全技術(shù)安全技術(shù)全網(wǎng)安全策略考慮如下：中交水運(yùn)規(guī)劃設(shè)計(jì)院雖說是一個(gè)獨(dú)立的局域網(wǎng),內(nèi)部辦公都是依靠此網(wǎng)進(jìn)行完成，所以必須考慮該監(jiān)控系統(tǒng)安裝后對(duì)原有系統(tǒng)的影響。包括對(duì)原有系統(tǒng)穩(wěn)定性、網(wǎng)絡(luò)帶寬資源、系統(tǒng)安全性的影響。需要安裝在原有系統(tǒng)上的模塊是客戶機(jī)端駐留引擎。該引擎我們做了測(cè)試，不會(huì)引起操作系統(tǒng)的不穩(wěn)定，占用的系統(tǒng) CPU 資源量很小，約 2.5%以下，內(nèi)存占用量也很小，1M 以內(nèi)。監(jiān)控系統(tǒng)其它模塊不再和原有的系統(tǒng)直接聯(lián)系，都是獨(dú)立的。包括掃描發(fā)現(xiàn)引擎、設(shè)備智能探測(cè)發(fā)引擎。客戶端引擎安全策略客戶端引擎安全策略客戶端駐留引擎所完成的功能是整個(gè)監(jiān)