中軟基地項(xiàng)目實(shí)施方案

項(xiàng)目背 引 建設(shè)目 全網(wǎng)用戶 重點(diǎn)涉密終端 項(xiàng)目需求分 全網(wǎng)用戶 涉密用戶 系統(tǒng)概 管理策 技術(shù)架 系統(tǒng)體系架 三合一產(chǎn) 總體方案設(shè) 部署模 功能規(guī) 方案建 主機(jī)安全狀態(tài)............................................主機(jī)狀態(tài)與審計 配置信息與審計 帳戶與審計 進(jìn)程與審計 服務(wù)與審計 主機(jī)流量和審計 外設(shè)接口管理 介質(zhì)管理 用戶行為................................................網(wǎng)絡(luò)與審計 打印與審計 光盤刻錄與審計 共享與審計 文件和 操作審 終端安全運(yùn)維管 安全策略管理 防軟件監(jiān)測 網(wǎng)絡(luò)進(jìn)程管理 終端資產(chǎn)管 文件安全管 我的加密文件夾 級聯(lián)管 三合一產(chǎn) 外聯(lián) 單向?qū)?介質(zhì)管理 系統(tǒng)特 中軟主機(jī)與審 三合 2003年、轉(zhuǎn)發(fā)的《息化小組關(guān)于加強(qiáng)（，文件明確“保障能力不強(qiáng)，成為制約信息化發(fā)展的重要瓶頸”，要求以“信息化發(fā)展與相結(jié)合”為原則把“著力提高保障能力”作為十二五期間企業(yè)信息化工作的重點(diǎn)任務(wù)之一?！断⒒〗M關(guān)于加強(qiáng)保障工作的意見》（[2003]27號）明確：“要重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)濟(jì)命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立等級保護(hù)制度，制定信息安全等級保護(hù)的管理辦法和技術(shù)指南”等級保護(hù)制度是提高信息安設(shè)健康發(fā)展的一項(xiàng)基本制度，是開展保護(hù)工作的有效辦法，是保護(hù)工作的發(fā)展方向，是國家對重要信息系統(tǒng)安全保護(hù)建設(shè)強(qiáng)制性要求實(shí)行等級保護(hù)制度有利于在信息化建設(shè)過程中同步建設(shè)信息系統(tǒng)的安全；能夠明確國家、法人和其他組織、公民的管理。實(shí)行等級保護(hù)制度具有重大的現(xiàn)實(shí)意義和戰(zhàn)略意義本方案主要為及各成員單位提供涉密網(wǎng)建設(shè)的解決方案方案的最終目標(biāo)是在不影響員工工作效率的基礎(chǔ)上為中核公司及各成員單位的終端用戶提供外設(shè)接口管理、終端安全、移動介質(zhì)等桌面運(yùn)維管理功能。全網(wǎng)用戶為達(dá)到及各成員單位內(nèi)網(wǎng)的管理及安全需要在全網(wǎng)部署中軟主機(jī)、在西安中心部署一級，在近程試驗(yàn)區(qū)試驗(yàn)區(qū)分別部署二級管、對于重點(diǎn)涉密終端或涉密筆記本需要安裝三合一系統(tǒng)部署在200統(tǒng)內(nèi)終端介質(zhì)管理，外聯(lián)阻斷審計，普通介質(zhì)單項(xiàng)導(dǎo)入，共400點(diǎn)。全網(wǎng)用戶移動介對可信介質(zhì)的使用臺賬 臺賬 尋對于及各成員單位的員工計算機(jī)可制定統(tǒng)一安全策略下發(fā)對于記ROM，對網(wǎng)絡(luò)層及應(yīng)用層進(jìn)行黑白控制中的地址無法，并且可記錄日志。，在策略時如果用戶執(zhí)行打印操作系統(tǒng)立即向服務(wù)器發(fā)送軟、硬件資源和審本系統(tǒng)能夠自動發(fā)現(xiàn)和收集計算機(jī)上的軟硬件資產(chǎn)信息軟硬件資產(chǎn)信及軟件安裝情況進(jìn)行實(shí)時和審計能夠?qū)κ芸刂鳈C(jī)的服務(wù)和進(jìn)程變化情況進(jìn)行和審計。系統(tǒng)需具備統(tǒng)一制定安全組策略功能，可支持賬戶、共享、屏保等Windows涉密用戶涉密計算機(jī)外聯(lián)系統(tǒng)能夠及時發(fā)現(xiàn)涉密計算機(jī)試圖連接互聯(lián)MODEM/ISDN/ADSLWLAN/GPRS/CDMA，——移動介質(zhì)管理：通過使用操作系統(tǒng)內(nèi)核技術(shù)使用所有普使用。移動介質(zhì)管理系統(tǒng)由管理端軟件和客戶端軟件兩部分組成。，一，并對、領(lǐng)用情況進(jìn)行統(tǒng)一管理。系統(tǒng)基于PDR安全理論模型搭建。PDR模型是1995年國防部一（Protection系統(tǒng)將通過三大實(shí)施對桌面終端的統(tǒng)一管理即安全、安全實(shí)現(xiàn)對策略的統(tǒng)一配置并借助終端程（即保護(hù)工具）首先，管理員通過安全制定終端安全管理策略然后，系統(tǒng)借助終端（即保護(hù)工具）實(shí)現(xiàn)對桌面終端實(shí)施安全防護(hù)各種行為和安全，上報至應(yīng)急響應(yīng)中心；隨后，應(yīng)急響應(yīng)中心對終端實(shí)施應(yīng)急響應(yīng)策略，或者消除安全；最后，管理員通過審計分析中心得到的安全分析報告，識別新的安全，并針對新的安全，制定新的安全防護(hù)策略HTTPSRMI/HTTPS數(shù) 定義各個業(yè)務(wù)系統(tǒng)之間的調(diào)用接口方式為各系統(tǒng)構(gòu)件之間和處理業(yè)務(wù)邏輯提供統(tǒng)一的服務(wù)接口將應(yīng)用系統(tǒng)提供的構(gòu)件業(yè)務(wù)以標(biāo)準(zhǔn)化的方式出來，供的方式降低構(gòu)件間的耦合度，為非侵入式的操作提供基礎(chǔ)。有效地減少了能夠與第系統(tǒng)進(jìn)行集成，使系統(tǒng)更具有靈活性。AOP、依賴注入的方式編程，提供邏輯的編排能力。JDBC立與多個客戶端系統(tǒng)的連接實(shí)現(xiàn)客戶端策略的和下發(fā)日志的收集和。HTTPS中軟涉密計算機(jī)及移動介質(zhì)管理系統(tǒng)，根據(jù)國家局發(fā)布的《涉家管理要求。杜絕移動介質(zhì)使用造成失泄對涉密U盤的、鎖定/、注銷等全生命周期管理。涉密計算機(jī)的數(shù)據(jù)交換只能通過涉密U涉密計算機(jī)使 的涉密U盤符合國家檢查要符合國家規(guī)范標(biāo)準(zhǔn)的涉密U盤格式符合國家規(guī)范標(biāo)準(zhǔn)的涉密U盤認(rèn)證模式。符合國家規(guī)范標(biāo)準(zhǔn)的終端管理方式。采用級聯(lián)部署，在西安中心部署級服務(wù)器，在近程試驗(yàn)區(qū)、試驗(yàn)程管理、幫助等終端運(yùn)行管理方面的功能體系。通過介質(zhì)、密級標(biāo)識等方式規(guī)范移動介質(zhì)的使用行為。它包括有可信模式、 管理員帶出內(nèi)網(wǎng)不可用。商旅模式解決了內(nèi)部已授動介質(zhì)管控。主機(jī)安全狀態(tài)主機(jī)狀態(tài)與審計自動發(fā)現(xiàn)和收集計算機(jī)上的軟硬件資產(chǎn)信息軟硬件資產(chǎn)信息變化情況，對非的軟硬件資產(chǎn)的變更產(chǎn)生。具體功能項(xiàng)如下：規(guī)范用戶使用軟件的范圍通過設(shè)置安裝程序黑白或基線方式保證定義硬件，可定義的硬件包括：調(diào)制解調(diào)器、無線網(wǎng)卡、、卡、刻錄機(jī)、軟驅(qū)、移動器、鍵盤和鼠標(biāo)。系統(tǒng)一旦識別出硬件后立即向服務(wù)器發(fā)送告警信息。CPU、BIOS、開機(jī)監(jiān)對用戶非指定時間段內(nèi)開機(jī)進(jìn)行監(jiān)測，并告警配置信息與審計關(guān)鍵表項(xiàng)的對操作系統(tǒng)重要的配置信息進(jìn)行黑/白式的管理和，主要包括計算機(jī)名稱系統(tǒng)網(wǎng)絡(luò)配置的變化情況，用戶修改IP地址帳戶與審計進(jìn)程與審計對主機(jī)上的進(jìn)程進(jìn)行黑/白式的管理和。主機(jī)系統(tǒng)能夠自動收操作系統(tǒng)免被或木馬侵襲，實(shí)現(xiàn)操作系統(tǒng)的可信。和“文件庫”中收集到的進(jìn)程信息和文件信息進(jìn)行統(tǒng)一管理。，，通過下發(fā)“程序控制策略”程序的執(zhí)行變化情況程序的運(yùn)行，并記錄日志；通過下發(fā)“文件策略”，文件的正常運(yùn)行，防止被程序篡改。如果文件有變化，系統(tǒng)將會，，，服務(wù)與審計對主機(jī)上的系統(tǒng)服務(wù)進(jìn)行黑/白式的管理和項(xiàng)包括服務(wù)名稱、主機(jī)流量和審計阻斷等措施，并記入審計日志。移動介質(zhì)的管控制策略。其中拷貝文件加密為個人加密的的當(dāng)前個人用戶下才能由使用輔助硬盤和使用輔助硬盤。用戶行為網(wǎng)絡(luò)與審計規(guī)范計算機(jī)用戶的網(wǎng)絡(luò)行為根據(jù)業(yè)務(wù)相關(guān)性和的重要程度建立可蓄意泄漏企業(yè)的敏感信息第二是防止通過互聯(lián)網(wǎng)透過獲取客戶網(wǎng)絡(luò)層防護(hù)：IP地址控制、TCP/UDP/ICMP協(xié)議控制 NET/SMTP/WEBMAIL/BBS/NETBIOS控制；現(xiàn)只開放白地址，其它地址全部；自由時提供功能，實(shí)現(xiàn)只的記錄未知的和記錄信任的對FTPSMTP控制和文件打印，打印 根據(jù)企業(yè)的管理制度和計算機(jī)用戶業(yè)務(wù)關(guān)系統(tǒng)一制定的管理、分為：自由使用使用和允許使用并記錄打印文件名稱（可選項(xiàng)為備份文件內(nèi)容。使用能夠基于名稱、打印進(jìn)程以及虛實(shí)進(jìn)行控制。、光盤刻錄 與審對光盤介質(zhì)的進(jìn)行統(tǒng)一的控制?？啼洐C(jī)控制支持：使用、只讀使共享與審計息；支持阻斷用戶的共享行為，并告警。文件和 操作審按照統(tǒng)一的安全策略客戶端的運(yùn)行狀況通過軟件自動分發(fā)和軟硬件資產(chǎn)的統(tǒng)一管理大大節(jié)約了企業(yè)信息系統(tǒng)的成本通過系統(tǒng)幫助控制實(shí)帳戶策略監(jiān)視，統(tǒng)一監(jiān)視Windows策略的啟用情況和策略參 Windows參數(shù)，對不符合安全策略的狀態(tài)進(jìn)行。不符合安全策略的狀態(tài)進(jìn)行。 合安全策略的狀態(tài)進(jìn)行。防軟件監(jiān)測通過策略設(shè)置防軟件特征，按照統(tǒng)一的策略監(jiān)測防軟件使用狀況，監(jiān)視防軟件的使用狀況通過防軟件的特征監(jiān)視防軟件的安裝情況運(yùn)行狀態(tài)和庫版本對不符合安全策略的狀態(tài)進(jìn)行。 配置。根據(jù)配置“軟硬件黑白，對軟硬件資產(chǎn)的非變更進(jìn)行告文件安全管我的加密文件夾為終端用戶提供了個人文件加密的文件服務(wù)拖進(jìn)該件夾的文件自動生成以WSD為后綴的加密文件當(dāng)本人加密文件夾中的加密文件時，系統(tǒng)會自動。系統(tǒng)支持任意層級的服務(wù)器級聯(lián)支持上級對下級管理控制中心進(jìn)行管非外聯(lián)通過對撥號有線網(wǎng)卡等方式接入互聯(lián)網(wǎng)的行為進(jìn)行探測與在違規(guī)行為發(fā)生時向行政管理部門設(shè)置的外聯(lián)互聯(lián)網(wǎng)端發(fā)送信息同時向管理服務(wù)器發(fā)送信息和日志信息并對外聯(lián)行為進(jìn)行阻斷。通過對瀏覽器方式接入互聯(lián)網(wǎng)的行為進(jìn)行在行為發(fā)生時向行政管理部門設(shè)置的外聯(lián)互聯(lián)網(wǎng)端發(fā)送信息同時向理服務(wù)器發(fā)送信息和日志信息，并對外聯(lián)行為進(jìn)行阻斷單向?qū)險SB介質(zhì)管理口、第二塊網(wǎng)卡接口、圖像處理設(shè)備、智能卡。接口控制的策略分為：允許和兩種，在策略下的嘗試接口將自動產(chǎn)生操作日志。同時提供了USB接口設(shè)備白和定義的功能，實(shí)現(xiàn)在USB接口或者接口開放情況下某些設(shè)備放開或使用。涉密優(yōu)盤管對涉密優(yōu)盤進(jìn)行、注銷和信息更改等管理，限定優(yōu)盤的使用范圍和責(zé)任人已的涉密優(yōu)盤只能通過多功能導(dǎo)入裝置在涉密計算機(jī)涉密優(yōu)盤接入涉密計算機(jī)連接的多功能