内网安全防护方案.pdf

中孚信息股份有限公司 第 1 页 内网信息内网信息安全安全防护解决防护解决方案方案 中孚信息股份有限公司 版权所有 翻版必究 中孚信息股份有限公司 第 2 页 目 录 一、一、 背景背景 .3 二、二、 建设目标建设目标 .3 三、三、 平台总体设计平台总体设计 .4 1. 平台应用架构平台应用架构 . 4 2. 分级部署分级部署 . 5 四、四、 平台功能描述平台功能描述 .6 1. 内网接入控制内网接入控制 . 6 2. 终端安全防护终端安全防护 . 8 五、五、 项目预算项目预算 . 17 六、六、 平台系统特点平台系统特点 . 18 1. 符合技术标准要求符合技术标准要求 . 18 2. 体系自身安全性强体系自身安全性强 . 18 3. 组件化模块化设计组件化模块化设计 . 18 4. 终端系统兼容性强终端系统兼容性强 . 18 5. 终端防被终止卸载终端防被终止卸载 . 18 6. 技技术市场成熟度强术市场成熟度强 . 18 七、七、 产品应用产品应用 . 19 1. 政府领域、军队政府领域、军队 . 19 2. 公检法系统公检法系统 . 19 3. 中央企业、军工企业中央企业、军工企业 . 20 中孚信息股份有限公司 第 3 页 一、一、 背景背景 中办、国办联合印发的 “十二五”时期全国保密事业发展规划 、以及国家保密局印发 的 “十二五”时期全国保密系统信息化建设规划 ，对全国信息安全工作提出了明确要求，需 要加强对内网计算机的监督管理、技术管控、检查查处等相应的安全防范措施。加快提升安全 保密系统信息化，促进数据共享、形成全面的数据辅助决策分析与支持，提高管理部门的监测 预警能力、发现处置能力。 中孚信息内网信息安全防护综合解决方案， 包括网络准入控制、 终端安全防护、 检查查处、 敏感信息实时监测等功能， 实现网络安全、 信息安全、 技术防护和管理工作的网络化、 信息化。 平台采取统一规划、部署，采用模块化的系统架构，能灵活扩展。针对不断变化的保密防护要 求和新的窃密技术，能够有效地动态跟踪，避免重复建设投资，不断满足信息安全保密工作发 展的需要。 二、二、 建设目标建设目标 根据 XXXX 内网实际情况，结合中孚目前产品功能情况，本次建设预期达到以下目标： 1、 规范规范内网内网用户接入用户接入 实时监测和识别所有入网计算机信息，非法计算机或违规计算机立即隔离出网，接入专网 的计算机需经过主管部门的审查、审批，严格用户身份管理，并可根据业务需求，限定访问权 限； 对入网设备进行安全指标检查，主要包括按照规定必须安装的软件检查、设备在网情况、 设备违规情况及其他应用软件检查等，可防止用户非法卸载等行为发生，确保软件的存活率。 2、 移动存储介质管控移动存储介质管控 对内网使用的移动存储介质进行管控， 经过授权的移动存储介质才能在内网授权范围内使 用，未经注册的移动存储介质无法在内网使用，主管部门可限定移动存储介质的使用范围，并 能实现专网计算机其他外设设备的控制（如红外、蓝牙、光驱等） 。 可单独指定计算机作为输入输出专用计算机，配合单向导入设备。 3、 违规外联监控违规外联监控 对内网计算机连接互联网进行监控，一旦违规连接互联网，则立刻阻断网络，并报警。 中孚信息股份有限公司 第 4 页 4、 终端安全登录防护终端安全登录防护 实现内网的边界安全防护，采用用户身份认证方式，实现终端计算机的安全登录控制。 5、 敏感信息实时监控敏感信息实时监控 对内网计算机存储的信息进行实时监测，针对起草、编辑、存储以及插入的移动存储介质 中的信息进行实时监测，一旦有敏感、涉密信息，则立即报警，并对违规行为进行有效的审计 和取证。 三、三、 平台平台总体设计总体设计 整个平台包括 4 大方面，平台充分考虑了模块化、组件化的设计，系统可统一部署，也可 分批分级实施，后期可动态的增加子模块（如光盘刻录、打印监控、补丁分发等） ，自动化升 级减少人工安装实施，有效的避免重复建设投资。内网功能架构图如下图所示： 1. 平台应用平台应用架构架构 平台由管理端、终端组成的 B/S，C/S 相组结合的模式。管理端由管理中心、审计中心、 通讯服务器、数据库服务器等组成。终端软件由介质控制、违规外联、光盘、主机监控审计等 中孚信息股份有限公司 第 5 页 组成。系统架构图如下图所示： 2. 分级部署分级部署 平台可级联部署，支持大规模集中管控。支持分级数据实时查看、策略发下管控等功能， 下级单位也可层层上报数据，形成全网数据汇总。平台分级部署图如下图所示： 中孚信息股份有限公司 第 6 页 四、四、 平台平台功能功能描述描述 按照 XXXX 目前的情况，建设形成以内网“信息安全综合防护管理平台”为核心的安全 监管体系，下面针对对所涉及到的接入控制、终端防护、敏感信息监控等方面做详细的介绍。 1. 内内网接网接入控制入控制 中孚网络接入控制系统， 是完全基于最先进的第三代准入控制技术的纯硬件网络准入控制 系统，秉承“无需改变网络、终端部署灵活”的特性，研制的新一代入网规范管理系统。中孚 网络接入控制系统改变了业界传统的将准入控制系统作为一个单独功能产品的做法， 率先提出 准入平台的概念。实现了广泛地结合用户已有的交换机、杀毒软件、AD 域、LDAP 服务器等， 并完全实践了“入网-在网-出网”的整体化流程，能够达到“违规不入网、入网必合规”的管 理规范。 中孚网络接入控制系统的管理思路为： 身份鉴别安全评估策略下发实时监测 威胁响应风险分析网络治理。 产品功能支持包括：身份认证、设备智能识别管理、软件安装情况检查、全网安全结构管 理、友好 WEB 重定向引导、基于角色的动态授权访问控制、可配置的安全检查规范库、 “一键 式” 智能修复、 实名日志审计等功能。 一方面满足等级保护对网络边界、 终端防护的相应要求， 同时提供更高效、更智能的网络准入防护体系。 设备图示 中孚信息股份有限公司 第 7 页 1. 入网安全管理入网安全管理 实时监测和识别所有入网计算机信息（ip、mac 地址、所属部门等） ，非法计算机 或违规计算机立即隔离出网，保证所辖网络的和谐规范； 对入网计算机进行安全指标检查，主要包括： 杀毒软件检查，主要检查杀毒软件的安装情况，同时对其他杀毒软件的安装情 况进行上报和统计； 补丁更新情况检查，对严重和重要的补丁进行自动修复更新，并记录全网补丁 更新的情况； 对所有设备进行 ip-mac 绑定，私自修改 ip 地址的计算机将被及时阻断出网， 违规行为将被及时上报； 其他必须安装软件（如中孚内网综合防护系统、敏感信息监控、杀毒软件等） 的检查和管理； 不符合安全指标要求的高危计算机进入隔离区，并能够及时得到修复； 入网人员身份鉴别，入网需要经过身份认证； 中孚信息股份有限公司 第 8 页 2. 在网安全管理在网安全管理 对所有在网计算机下发安全策略，规范人员的网络行为和计算机使用行为； 对全网的 ip 使用情况进行有效管理，形成 ip 地址池的全局视图； 能够对出现问题的计算机进行远程维护； 生成一体的接入安全视图，对机构所辖的网络进行实时的观测，并依据数据和报 表制定相应的网络管理规范，从而符合 PDCA 的管理模型。 3. 出网安全管理出网安全管理 对所有出网的计算机进行审计，从而记录所有接入计算机的在线时长，方便跟踪 其网络访问行为； 形成接入计算机的历史安全记录，方便集中进行统计和安全汇报。 2. 终端安全防护终端安全防护 终端安全防护系统主要包含以下部分：终端安全登录、违规外联监控、介质使用管理、主 机监控审计、打印审计、光盘刻录审计、资产管理、补丁软件分发等，可同步建设，也可后期 中孚信息股份有限公司 第 9 页 进行扩展建设。 2.12.1 终端安全登录终端安全登录 加强对 Windows 身份验证，进行实名制身份登录审计。 支持多种登录验证方式（PIN 码、CA 证书、登录码） 管理端统一对登录 KEY 进行实名制登记、授权； 详细记录系统登录、注销、锁定，解除绑定等操作日志 2.22.2 违规外联监控违规外联监控 内网计算机违规连接国际互联网和其它公共信息网络将会带来极大的泄密风险。对 管辖范围内计算机的“一机两用”、“违规外联”等行为进行统一监控和管理，这也是 管理工作的关键。 违规外联监控模块主要用于监控内部计算机通过电话线、ISDN、ADSL、无线网卡、 GPRS/CDMA、双网卡、代理服务器等多种方式导致的内网涉密计算机连接互联行为，一旦 发现违规外联国际互联网，第一时间上报信息安全主管部门，并阻断计算机的网络连接， 杜绝非法外联的可能，有效保障信息的安全。日志会保留在终端计算机，重新接入内网 后，则立即上传到管理平台。 如需要管理员在计算机违规外联时，立即收到报警，则需要搭建外联监控平台，外 联监控平台部署在互联网，产品由报警中心、报警信息处理中心、网络单向传输设备组 成，可实现短信、邮件、声音等方式进行既时报警。 中孚信息股份有限公司 第 10 页 外联监控平台 外联监控地图 一旦有计算机违规接入互联网，在监控屏上动态显示违规计算机详细信息，所属单位、部 门、责任人、计算机网卡 MAC 地址、操作系统、主板序列号等。报警信息处理服务器解密并呈 现给管理人员。 通过短信、邮件、声音、地图多方式提醒管理人员及时处理。 。 中孚信息股份有限公司 第 11 页 2.32.3 介质介质管理管理 该系统提供了对可移动存储介质从购买、使用到销毁整个生命周期闭环管理控制，借助于 注册授权、身份验证、密级识别、访问控制、驱动级文件加解密、日志审计等技术手段对可移 动存储介质进行失泄密防护，真正增强移动存储介质的保密管理，做到“拿进来的非法移动存 储介质用不了” 、 “拿出去的涉密移动存储介质不能用” 。 移动存储介质由管理中心、审计中心、终端代理以及专用安全 U 盘等组成。管理端界面如 下： 介质管理系统通过对终端外设端口的控制，如智能手机智能手机、蓝牙、红外等端口的禁用，保留 光驱、打印有限数据口的可控。如下图所示： 中孚信息股份有限公司 第 12 页 系统提供对内部普通 U 盘注册登记，终端软件根据 U 盘权限情况进行放行、只读、禁止 等控制等。也可通过一种专用的安全 U 盘，U 盘拥有独立的数据安全区，必须通过私有接口 访问，按键式口令验证，能够有效的防止病毒木马。 该系统支持单向导入设备该系统支持单向导入设备， 用户可选择指定部分计算机配备单向导入设备， 实现数据的单 向导入，关于数据导出，可通过刻录光盘的方式，该模块同时支持普通 U 盘可信策略，通过 此 U 盘可以将数据导出。 中孚信息股份有限公司 第 13 页 2.42.4 主机监控审计主机监控审计 新标准主机监控审计，主要针对 15 大类审计，重点侧重于违规行为审计。 主机监控审计系统构成图 用户可灵活的配置关注的审计项目，完成主机的行为监测、事件审计，对非法行为进行详 细记录，完成追踪、审查和取证。 中孚信息股份有限公司 第 14 页 2.52.5 资产管理资产管理 完成单位计算机等相关设备的资产管理、形成对资产全生命周期的监管。 自动采集主机软、硬件详细信息 支持自定义资产维护 跟踪资产变更情况 生成资产详细信息报表 2.62.6 光盘刻录审计光盘刻录审计（可扩展模块）（可扩展模块） 可能存在刻录内容无从知道、刻录无法控制，造成数据泄密等问题。实现审计、控制两个 方面的管理。 一是审计，审计刻录的信息以及内容，实名制记录。 二是控制，实现刻录权限、刻录时间、次数、文件类型、关键字、光盘类型进行全面控制。 通过控制光驱权限、光盘类型、文件类型、刻录时间、次数等，是否启用审批机制等。审 计终端刻录信息以及内容、实现光盘刻录行为在可控范围之内。 中孚信息股份有限公司 第 15 页 高级功能： 可形成条码光盘，在光盘面上打上一维码，二维码 可提供网络刻录机，像网络打印机一样，集中刻录、集中审计。 网络刻录机能够一次放置上百张光盘、自动化批量刻录 提供实名制刷卡刻录，刷卡后自动执行刻录任务，无须人工干予。 网络刻录机 刷卡器 中孚信息股份有限公司 第 16 页 条码光盘 条码扫描器 2.72.7 补丁软件分发补丁软件分发（可扩展模块）（可扩展模块） 补丁分发解决内网及时打补丁问题， 堵住微软安全漏洞， 终端安全代理根据策略自动下载、 安装所需补丁。 软件分发解决内网软件的推送安装、升级问题，减少人工实施降低人力成本。支持自定义 软件分发，自动汇报安装情况，及时掌握安装状态。 中孚信息股份有限公司 第 17 页 五、五、 项目预算项目预算 项目预算表项目预算表 序号序号 名称名称 配置配置 单价（元）单价（元） 数量数量 总计总计 备注备注 1 1 中孚网络接入控制系统 中孚，服务器硬件+软件 150000 1 150000 可选可选 2 2 内网综合管理平台管理端软件 中孚，综合管理平台 50000 1 50000 3 3 内网综合防护系统客户端软件 中孚，含介质管理模块、主机监控与审 计模块、打印监控与审计模块、违规外 联监控模块、资产管理模块 500 1 500 4 4 单向导入设备 中孚，多功能导入设备（制定输入/输出 计算机使用） 900 1 900 合计价格合计价格 小写（人民币） ： 201400.00 元 大写（人民币） ：贰拾万零壹仟肆佰元整 中孚信息股份有限公司 第 18 页 六、六、 平台平台系统系统特点特点 1. 符合技术标准要求符合技术标准要求 整个体系功能符合国家公安部等级保护等相关技术规范。 2. 体系自身安全性强体系自身安全性强 访问控制安全方面，系统管理员、审计员、操作员按各自权限范围进行管理，身份识别通 过 KE