内网安全管理系统解决方案

1、内网安全管理系统解决方案1 方案概述11.1 需求分析11.1.1流量控制 21.1.2IP 地址管理 21.1.3进程防护 21.1.4防病毒防护 31.1.5补丁安装防护 31.1.6网页过滤 31.1.7 计算机资产管理 31.1.8 移动存储介质 41.1.9 计算机接入控制 41.1.10 终端计算机系统帐户监控 51.1.11 计算机的远程维护 51.1.12 I/O 接口管理 51.1.13 文件安全共享管理 61.1.14 安全管理软件卸载控制 61.1.15 灵活的系统部署 61.2 方案目标和内容 62 桌面内网安全管理产品解决方案 72.1 流量控制 72.2 IP 地址

2、绑定 72.3 进程控制 72.4 防病毒控制 82.5 补丁管理 82.6 网页过滤控制 82.7 资产管理 82.8 终端移动存储介质管理 92.9 终端接入控制 92.10 系统账号监控 102.11 终端行为监控 102.12 终端配置管理 112.13 终端远程维护 112.14 I/O 接口管理 122.15 软件安装审计 122.16 系统部署 123 内网安全管理系统设计概述 123.1 产品设计思路 133.2 产品的设计原则 143.3 产品的功能 143.4 产品的组成 153.4.1系统部署结构 163.4.2产品模块组成图 163.5 产品一体化设计 183.5.1统

3、一用户权限管理 183.5.2系统分权管理 183.5.3统一资产管理 183.5.4策略集中部署 183.5.5统一预警平台 193.5.6 可快速恢复的产品部署结构 193.6系统安全性设计 193.6.1系统代码安全 193.6.2客户端进程防关闭 203.7客户端防卸载 203.8系统部署设计 204 报价 221方案概述1.1需求分析榆次市XX酒店有限公司作为高品质的涉外酒店,是榆次市重要企业。随着信 息化建设的深入发展，单位部门内部，单位部门之间，单位与公众，单位部门与 企业等的沟通越来越紧密，因此，需要通过搭建稳定可靠的信息化沟通平台，以数字化系统为建设目标，全面提升公司的办公效

4、率，提升系统整体的信息化竞争 实力。网络稳定性是单位网络建设的基础保障， 而网络安全是保障网络系统稳定性 的前提。同时，网络安全问题也是造成单位内部信息泄漏的主要原因，因此，针 对公司的信息化建设，网络安全需要从网络系统的保障、用户的入网行为控制、 网络病毒和攻击防护等几个方面充分考虑公司网络安全的建设。有调查显示，各单位中超过 85%勺管理和安全问题来自终端。因此，网络安 全呈现出了新的发展趋势，安全战场已经逐步由核心与主干的防护， 转向网络边 缘的每一个终端。目前，90鸠上的终端用户使用的是windows2000,XP或以上的操作系统，而 这几种系统的安全漏洞又非常多，微软公司会通过定期发

5、布安全补丁的方式来弥 补这些漏洞，但由于终端用户缺乏相关知识，导致补丁安装的不完全，不及时， 这就会严重影响终端计算机的安全，从而导致更严重的整个内网安全问题。计算机终端作为信息存储、传输、应用处理的基础设施，其自身安全性涉及 到系统安全、数据安全、网络安全等各个方面，任何一个节点都有可能影响整个 网络的安全。而计算机终端广泛涉及每个计算机用户，由于其分散性、不被重视、 安全手段缺乏的特点，已成为信息安全体系的薄弱环节。作为计算机内网安全管理方案而言，其需要解决如下安全问题:1.1.1 流量控制单位内部网络环境中不可能所有的交换机全部都是可网管的， 所以不能完全 依赖交换机进行流量管理； 而且

6、管理员不可能时刻关注每台机器的流量状况， 除 非是出现异常的网络攻击和拥塞时， 才会采取如此非常手段。 因此对于日常的控 制来说，最有效的方法是通过控制每个终端设备的网卡流量， 如果能将设备的流 量控制在一定的范围内， 既保证了设备的正常工作使用， 又可以防范在非法使用 P2P 下载软件抢占带宽和病毒爆发时给网络速度带来的拥塞，这对于管理来说 才是实用的管理手段。1.1.2 IP 地址管理为了便于管理， 出现问题能够及时追查， 网络建设时管理员通常使用静态 IP 地址，这对于管理来说确实是一个有效可行的措施。 但是由于员工的计算机操作 水平不同，很可能造成随意修改 IP 地址带来的内网地址冲突

7、，这给内网管理带 来很繁琐的问题。虽然通过在核心或二层交换机上， 可以通过命令来绑定 IP/MAC 地址从而消除上述问题，但是工作量庞大，因此彻底屏蔽 IP 地址冲突的问题是 网络管理必须要做的。1.1.3 进程防护由于当前大量病毒以及恶意程序的存在， 而这些程序对于普通用户而言并不 知情，甚至有些恶意程序通过技术手段使得用户无法通过任务管理器看到其工作 进程；另一方面， 有些用户可能有意或无意地运行一些可能会影响他人或自己工 作的软件 （如网络嗅探器 ）。公司采购机器目的是提高员工的生产效率，充分利用上班时间来服务于工 作，但是某些娱乐性软件严重影响了员工的工作效率， 某些下载软件造成网络速

8、 度减慢，影响了内网的正常办公。因此通过制定策略， 实现对非法进程的监控并阻止， 能够大大减少由内部引 起的网络安全事件，提高我们的工作效率。1.1.4 防病毒防护员工由于防范病毒意识较淡薄， 没有安装防病毒软件； 或者由于个人对防病 毒品牌的倾向性， 从而发生没有安装防病毒软件， 甚至意外卸载， 或防病毒软件 没有运行，这样不仅使单台PC机受到病毒侵害，而且一旦感染病毒，可能回向 内网的其他机器传播， 导致整个内网病毒泛滥， 甚至网络拥塞。 因此一定要保证 防病毒软件的安装、正常运行、及时升级。1.1.5 补丁安装防护目前在制造业的单位中， 承载各种应用的操作系统 90%以上的端终用户使用

9、的都是 windows2000,XP 或以上的操作系统，但是这几种操作系统的安全漏洞非 常多，很容易收到攻击。 微软公司会通过定期发布安全补丁的方式来弥补这些漏 洞，但由于某些员工用户缺乏相关知识， 或者处于研发部门的设计网是和单位局 域网物理隔离的网络， 从而导致补丁安装的不完全， 不及时， 这就会严重影响终 端计算机的安全， 一旦发生针对微软操作系统漏洞的攻击， 就会导致整个网络受 到威胁。1.1.6 网页过滤某些员工访问 Internet 时，由于安全防范意识不够，登陆恶意网站，造成 机器受到攻击，从而产生病毒感染、机器不能正常使用，注册表被修改、浏览器 无法正常的访问网络；严重的甚至会

10、植入木马，造成机器重要数据的网络泄密。 因此必须对内网机器的网络访问进行必要的过滤。1.1.7 计算机资产管理对于规模较大的用户， 由于终端计算机众多， 依靠传统的资产登记管理办法， 根本无法做到对计算机配置信息的准确掌握， 对计算机配置的变化也无法及时跟 踪。例如，要准确掌握每台计算机的软硬件配置信息， 通过手工方式将是非常耗 时和繁琐的工作。 当内网终端计算机的硬件资产发生变化后， 管理员是无法进行 追查，不能找到具体什么时间、发生什么事情？ 只能是在很久的时间后，或者 在现场维护时才能发现， 但是为时已晚。 所以对于内部资产的流失要进行有效的 管理和统计，避免内部的资产不明和流失。 必须

11、通过技术手段和工具来辅助实现， 才能有效节省成本和资源，提高内网管理的效率。1.1.8 移动存储介质系统网络化的飞速发展和高新技术设备的应用， 作为网络系统重要组成部分 的移动存储介质的安全和保密问题开始显著的突现出来。 以 U 盘为代表的移动存 储介质的出现和普及， 极大方便了数据交换和存储便利性， 但是与此同时也给内 网带来了巨大的隐患。 由于移动存储设备小型化、 形式多样化和存储量大的特点， 使得文件管理、信息管理、和行为管理变成了难上加难。个人移动存储设备在内网的随意应用首先就成了机密外泄的重要途径之一， 设备的遗失、 监管的不严都可能造成存储在里面的大量单位敏感数据失控。 而且 对于

12、怀有恶意的内部人员或外部人员都可以将单位的敏感信息随意复制出去进 行传播。其次移动存储设备也是内网病毒泛滥的罪魁祸首之一。 移动存储设备在无限 制随意使用的情况下， 可以在极短的时间内使病毒源扩散到全部网络。 造成内网 的大面积瘫痪。再有就是对于移动存储设备的行为控制。 传统模式下很难做到对于移动存储 设备进行明确的权限划分，如一个设备能够应对哪些部门、能够做何种操作等。 一旦当问题出现时管理员很难对事故源头进行追查。因此移动存储介质在带来方便性和快捷性的同时， 如何同时达到保密性、 安 全性、可控性等要求，成为每个 IT 管理人员极为关注的问题1.1.9 计算机接入控制随着信息化建设发展，内

13、网计算机数量与日俱增，同时各个单位之间的合作 日益频繁， 经常有不属于本单位或者本企业的终端计算机连接到内网。 在这种情 况下， IT 管理人员很难统计内网计算机的确切数量，也无法区分哪些是内网授 权使用的计算机， 哪些是外来的非授权使用的计算机。 这种状况下， 对于未授权 使用的计算机接入不能进行控制， 当系统感染了病毒和木马后， 接入内网， 病毒 会在整个内网进行快速传播和扩散， 给内部网络带来严重的安全威胁。 同时对外 来人员随意的计算机接入无法控制， 很容易导致企业内网机密信息的泄漏， 往往 等泄密事件发生了，却还无法判断到底是哪一个环节出了差错。当安全事件发生过程中， IT 管理人员

14、也无法及时定位和自动阻断该计算机的 破坏行为。 往往需要花费很长的时间才能判断和定位该计算机， 然后再通过手动 的方式断网。对安全强度差的终端计算机缺乏有效的安全状态检测和内网接入控 制，是 IT 管理人员比较头疼的问题之一。1.1.10 终端计算机系统帐户监控现在很多黑客工具、 木马及病毒都具备弱口令猜解的功能， 如果系统口令设 置过于简单，一旦被恶意猜解， 黑客或木马会立即提升自身账户的运行权限， 达 到完全控制主机的目的，在无 AD域的环境中，如何强制终端用户采用符合一定 强度要求的口令，是需要 IT 管理人员迫切解决的问题。1.1.11 计算机的远程维护对于大多数企业用户来说，由于技术

15、的原因， IT 管理人员无法实时掌握每 台终端计算机的运行状态。当终端计算机出现故障需要维护时， IT 管理人员如 果采用现场维护的方式， 一方面增加了人力成本， 另外由于人力资源有限， 也无 法保证维护的及时性。 如何实时监视终端计算机的运行状况， 并且方便地对终端 计算机进行远程维护，是 IT 管理人员迫切需要解决的问题。1.1.12 I/O 接口管理随着USB接 口的计算机周边设备的丰富，使得计算机与其他外部设备，如 U 盘，USB打印机等连接十分方便，并能轻而易举地通过 USB设备将外部数据导入 或者内部数据导出，移动存储介质体积轻巧，容易隐藏，使用方便，为重要数据 的保护带来了巨大的

16、安全隐患， 因此针对移动存储行为的有效管理成为我们面临 的重要课题。1.1.13 文件安全共享管理由于桌面终端大多使用 Windows操作系统，而该操作系统安装后即开放了部 分共享目录， 同时由于许多用户并未采用安全的访问密码， 造成其他用户能够较 为方便地通过远程网络实现对他人网络共享数据的访问。因此严格控制终端的文件共享， 尤其是涉密终端的文件共享， 也是桌面系统 安全管理的重要内容。 同时，作为常见的文件共享， 系统应能提供自动发现并且 根据需求进行共享文件夹的屏蔽，及详细的访问日志信息。1.1.14 安全管理软件卸载控制内网安全管理软件安装后，应能够防止用户有意 / 无意地对其卸载删除

17、，只 有管理员通过专用工具才能够实现对客户端软件的卸载。 同时服务管理平台能够 方便地获悉当前网络中有哪些桌面终端系统处于非受控状态。1.1.15 灵活的系统部署内网安全管理系统能够实现灵活的系统部署， 能支持分级部署管理模式， 要 求能够对系统的管理员进行分权处理。1.2 方 案目标和内容北京圣博润高新技术股份有限公司 （ 以下简称“圣博润” ）作为国内领先的 内网安全管理系统提供商， 承建了国内多个省级、 多个行业内网安全管理系统以 及应用推广，积累总结了大量的应用安全经验。本方案的目标为向提供一套内网安全管理系统的解决方案。 通过本方案，能够实现对内网的计算机终端的统一安全管理，达到终端

18、计 算机的系统加固、进程控制、补丁及防病毒管理、资产管理、远程维护等方面 的管理。2桌面内网安全管理产品解决方案内部网络中大概有50个终端机器，局域网利用率较低，主要此用账户拨号 方式到路由器，然后统一上到In ternet进行办公。交换机为不可网管交换机， 机器间共享、数据交换不是很频繁。但是信息中心的IT管理人员在实际工作中遇到了上面所说的许多问题，为了使用户对内网终端计算机的管理逐渐形成了较 为完善的、符合本行业特点的内网安全管理解决方案。我们提出了如下的解决方案：2.1流量控制流量控制能够实现对每个终端机器的网卡进行流量控制，对于超过指定阀值和并发连接数的设备进行自动的网络阻断，当网卡

19、流量恢复到正常时，网卡自动开启、恢复网络连接，保证受控端在指定的流量范围内进行网络连通。由此既保 证了终端的正常办公流量需求，又可以杜绝由于未知的P2P等非法下载软件的使 用带来的网速过慢、甚至断网的问题。2.2 I P地址绑定通过使IP地址和每台机器的ID号相对应，以一一对应的关系为依据，从而 保证每个IP有一个唯一的标识与之对应。当客户端程序检测到IP地址进行修改 时，IP地址会自动恢复到此前已经绑定了的IP值，保证IP地址不会被随意修 改。杜绝了单位内部的IP地址冲突问题，保证IP地址的唯一性。2.3进程控制通过进程的控制，禁止已知的非法应用程序的使用， 杜绝由于非法软件的使 用影响工作

20、效率、BT软件占用带宽、危险软件的随意滥用给单位内网安全带来 隐患的问题。通过进程控制功能，可以有效控制终端机器的软件使用，屏蔽掉无 助于工作、单位网络安全的应用程序的运行。2.4 防 病毒控制通过防病毒软件监测， 可以判断终端计算机是否安装了防病毒软件、 防病毒 软件运行是否正常以及病毒库是否保持最新等情况。 如果上述条件不满足设定的 策略要求， 监测系统可以向管理人员发送报警信息。另外，监测系统还可阻断终 端计算机的内网接入和内网访问， 确保易被感染的终端计算机无法使用内网。 未 安装防病毒软件的计算机进行网络访问控制和隔离， 使其形成内网中的 “孤岛”。 避免该终端计算机对内网其它主机造

21、成安全威胁。2.5 补 丁管理通过补丁管理，能够对内网终端计算机缺失补丁进行定期检测和自动安装与 更新，保证系统与软件缺陷一经发现便可及时修补。通过补丁分发管理，大大减 少了操作系统和应用软件漏洞被利用所造成的安全隐患和经济损失。 同时，管理 人员还可以实时统计当前各终端计算机的补丁缺失情况、 补丁安装情况以及补丁 安装的进度等， 得到全网的终端计算机补丁安装快照。 方便了对补丁分发过程的 监控。2.6 网 页过滤控制通过网页过滤， 可以有效屏蔽掉管理员禁止访问的网站， 避免误入已知的非 法或易受攻击的网站， 在事前保证机器访问网站的合法性。 从而有效保障了机器 的网络访问安全，降低了机器意外

22、染毒的可能性。2.7 资 产管理LanSecS内网安全管理系统自动登记终端计算机的硬件配置（包括CPL类型、主频、内存、硬盘、显示卡、网卡等等） , 这样可以使得网管人员在控制台的机 器上，可以观察到各个机器的配置信息，方便了网管人员的操作管理。能够自动将终端计算机的操作系统、 安装的软件、 运行的程序和服务、系统 日志、共享资源、以及补丁、端口等信息统计汇总，可以按设备类型、部门等方 法对设备进行分类管理， 使得系统管理员能够轻松自如地管理着整个网络的软件 资源，及时洞察系统配置的变动。2.8 终 端移动存储介质管理通过移动存储介质管理， IT 管理人员可以对诸如： U 盘、移动硬盘以及其他

23、 移动存储卡进行保密性、 安全性、可控性的管理。从而保证了内网机密信息和内 部网络环境的安全性。介质初始化对于想要在内网中进行使用的移动存储设备。 必须经过一个格式化的过程重新写入一个隐藏加密信息。通过策略的下发，客户端主机在工作时只会对能够读取到加密信息的移动存储设备进行挂载。而且已注册过的移动存储设备在未安装客户端的主机上不能够进行使用。从而保证了内部机密信息不能通过移动存储设备外泄，并且外部的病毒也不能通 过移动存储设备进入内网。大大加强了内网的保密性和安全性。注册管理通过注册管理，管理人员可以很便捷的对移动存储设备进行相应 的授权。如：该设备可以在哪些部门使用，工作的权限为只读还是 读

24、写，工作周期为多少等等。此种机制即保证了管理人员对移动存 储介质的可操控性，而且在事故发生时可追诉的目标范围大幅度缩 减。从而解决了许多 IT 管理人员以前为之头疼的问题。2.9 终 端接入控制所谓的接入控制， 是指对接入内网的终端计算机进行身份鉴别或者安全状态 检查，阻止未授权或不安全的终端计算机接入内网和访问内网资源。 通过接入控 制，可以将外来计算机阻挡在内网之外，也可以将内网中安全性较差（未及时安 装补丁和防火墙软件）的计算机隔离出内网，保证内网整体的安全性。与交换机联动阻断 （支持 802.1X）通过与交换机的联动， 自动判断接入计算机的交换机接口， 如果发 现接入计算机未经过授权或

25、者安全性较差， 则通知交换机禁用该计算机 所在的端口。彻底阻断计算机的接入。IP 通讯加密由客户端代理程序，对所有通讯数据包进行加密 / 解密，确保没有安装 代理程序的系统无法与内网合法主机进行数据通讯。ARP欺骗阻断对于非授权计算机和不安全的计算机可以采用 ARP欺骗的方式，用 虚假的MAC地址刷新目标计算机的ARP缓存，导致该计算机无法与内网 其它设备通讯，达到阻止其访问网络资源的目的。以上三种方式配合使用，可极大提高计算机接入控制能力。通过接入控制， 可最大限度地保证内网的整体安全性。2.10 系统账号监控LanSecS提供对终端计算机的用户的密码长度、 密码周期、密码复杂度检查， 并且

26、可以对系统已有或者新建的用户进行禁止使用。2.11 终端行为监控对于单位的实际办公中， 如何规范内网用户行为， 是节约成本、提高效率的 关键因素之一。 对用户行为的监控，包括用户网络资源的使用是否合理、是否进 行了与工作无关的网络访问等。如：BT下载、MSN/Q（聊天、浏览与工作无关的 网站、玩电脑游戏、观看视频、听音乐等。软件监控通过对终端计算机运行的进程进行监控， 可以发现用户正在运行的 程序。可以通过进程黑名单的方式限制用户运行某些程序，例如游戏、 攻击工具、视频播放器、MP3播放器等。限制用户利用计算机进行与工 作无关的操作。上网控制 通过对终端计算机的上网控制，可以限定终端计算机的网

27、站访问、 网络聊天和BT下载行为，使得终端计算机的用户行为得到有效控制，既可避免用户滥用网络资源，又能降低随意浏览互联网带来的安全隐 患。2.12 终端配置管理配置管理主要完成终端计算机的各种信息的收集和系统参数的配置。 通过配 置管理， IT 管理人员可以准确掌握每台终端计算机的配置状况和运行参数，并 对批量地对终端计算机的运行参数进行远程修改。主机信息收集收集终端计算机相关信息，如主机名、 IP 地址、网络参数、帐户 信息、安装软件清单、 硬件清单、驱动程序清单、 服务清单、 进程清单、 系统日志等。为终端计算机的维护和故障诊断提供参考。网络参数设定设置终端计算机的网络参数，包括IP地址、

28、网关、DNS WINS等o 当网络结构发生变动时， 可以快速重新变更计算机网络参数。 大大减轻 IT管理人员的网络管理压力。2.13 终端远程维护LanSecS内网安全管理系统远程维护作为IT管理人员一项不可缺少的工作， 如果没有良好的技术手段做支撑，仅仅依靠电话、邮件等方式往往无法解决问题。 从而加重了 IT管理人员的负担。远程维护就是依靠技术手段和工具，远程对终 端计算机进行故障诊断、系统修复和日常维护等。远程协助通过远程协助， IT 管理人员可以响应远程终端计算机的协助请求， 临时接管远程终端计算机，进行本地化操作。例如：开关机、搜索可疑 文件、服务/进程查看、系统配置查看、资源使用监视

29、等。IT管理人员 完成维护操作后，释放对终端计算机的接管。预警平台预警平台可以为 IT 管理人员与终端用户建立一个即时通讯的平 台，通过该平台， IT 管理人员可以接受和回复终端用户的咨询，可以得到终端计算机的安全告警，也可以定期向终端用户发布安全预警信息 和安全管理策略等。方便了 IT管理人员与用户的交流和交互。2.14 I/O接口管理LanSecS内网安全管理系统自动登记受控终端的硬件配置（包括CPU内存、硬盘、显示卡、网卡等等），当受控终端的硬件发生变动时能自动向安全管理核 心系统发出报警信息；允许或阻断用户对受控终端的各种输出设备进行访问，包括USB可移动存储设备、打印机、DVD/CD

30、-ROM软盘、磁带机、PCMCIA设备、COM/LP端口、1394 设备、红外设备等；对本地打印机使用情况进行审计；对受控终端的可移动存储 设备的使用情况进行审计；对拨号访问情况进行审计。2.15 软件安装审计对受控终端计算机上安装的软件进行控制，可以通过预警平台实施查看，终端计算机的违规行为，并且可以在安全事件中进行查询。对于软件的安装部署情况，可以通过资产管理进行在线软件安装情况检索。2.16 系统部署LanSecS内网安全管理系统能提供多种产品部署方式，可以进行统一的集中 管理，也可以进行分级的管理模式。客户端的部署支持共享方式安装、网页点击 下载安装、域分发安装、邮件群发安装、客户端本

31、地安装等模式。3内网安全管理系统设计概述桌面终端是网络的基础，其安全性将直接影响到本地安全、网络环境的安全 以及网络应用的安全，桌面终端系统的安全在整体安全中占有重要的地位。在此方案中，我们采用由圣博润公司自主研发的“ LanSecS内网安全管理系 统”产品实现桌面终端的统一安全管理。La nSecS内网安全管理系统产品是圣博润将在网络安全和信息安全行业长达7 年的成长过程中研发的一系列产品集中整合的一个整体安全解决方案产品，其 包含以下安全管理模块，并能根据用户需求添加更多的安全管理模块：安全加固安全审计安全服务安全文档安全网管资产管理3.1 产 品设计思路La nSecS内网安全管理系统产

32、品，实现各种信息安全功能的一体化，不仅仅是将多个信息安全产品从物理上由多个合并成一个，还包括了其他更多的内涵： 立体的、全方位的网安全解决方案： 涵盖认证、加密、监控、审计、管 理信息安全需求的各个方面；统一的权限管理： 实现各个子服务器模块的安全管理，并且确保系统管 理员、安全管理员、审计管理员三权分离；统一的审计平台： 实现用户在终端的操作行为、用户的网络操作行为的 集中审计，防止审计信息的篡改，以及快速定位安全事件的责任人和原 因；统一的管理界面： 将各个子服务器端管理员页面的风格统一，方便管理 员的操作；完善的功能整合： 各子服务器采用统一的安全操作系统和数据库，客户 端提供统一集成的

33、客户端；松散的系统耦合： 结合具体需求，系统各组件以及功能子模块可灵活的 组合，支持分布部署；灵活的系统部署：LanSecS内网安全管理系统服务端系统可快速替换的 事务处理器和需要定期做好备份，确保故障发生可快速修复。3.2 产 品的设计原则安全性：系统支持采用 PKI 数字证书的身份认证管理；同时，系统能够 基于用户关键行为提供详尽的审计日志报告，为客户端管理提供依据； 紧凑性：通过 1 台安全设备以及配套的客户端软件即可解决北京市桌面 内网安全管理问题； 部署简易及快速：系统部署方便，对原有网络架构无需改动；管理员无 需太多的专业知识，即可快速完成部署； 简单易用：对每一个终端用户而言，非

34、常的简单实用，不会带来麻烦， 客户端可通过安装程序定制实现网络配置信息设定，最大化减少客户端 的工作量； 维护方便：在系统故障的时候，管理员能够快速定位故障，维护方便；3.3 产 品的功能Lan SecS内网安全管理系统的产品功能包括：认证：网络接入认证各种移动存储设备接入认证；监控 网络非法接入和外联监控设备监控文件监控打印监控 进程服务监控共享监控软件监控；存储：文件的本地安全加密存储USB存储设备安全加密存储文件网络 加密存储文件授权使用；审计用户对应用访问情况的审计 网络接入情况的审计 移动存储设备 的接入审计各种监控日志的审计管理 用户管理资产管理软件管理软件补丁管理和下发分权管理其

35、他网络管理拓扑绘制流量监控系统报警 客户端消息发送等等。3.4 产 品的组成产品按照物理部署来分包括如下三部分：Lan SecS客户端软件（圣博润提供）Lan SecS控制台和服务器（圣博润提供）LanSecS 服务器：文件、数据库、日志的统一存储服务器；注：LanSecS服务器一般由用户提供，并且按照产品的要求安装完操作 系统（建议 Windows2000/2003）和SQL数据库即可。LanSecS服务器的 数量可由用户数据存储量来定， 至少 1台。此设备可由圣博润负责采购， 也可由用户自行采购产品的模块组成分为四部分：系统总控中心组件系统控制台组件客户端代理组件文件加密存储组件3.4.1

36、系统部署结构中心数据库总控中心6管理员管理控制台受控计算机图中LanSecS标注部分就是本技术方案的所要安装部署的内容。3.4.2产品模块组成图1，客户端模块组成以服务的形式运行于终端计算机，负责功能模块管理、策略管理、审计 事件报告等基本功能。安全审计、安全服务、安全加固、资产管理以及 部分网管功能均以模块的方式由安全代理加载、维护和管理，安全代理 的设计充分考虑了稳定性、安全性和兼容性要求。代理服务可防止恶意 停止；全面兼容防病毒软件、防火墙软件、设计开发软件、业务软件、 办公软件；安全代理不受个人防火墙约束的限制；并可提供准确的代理 状态。安全代理支持 Windows 2000、XP 2

37、003操作系统。2， 总控中心模块组成总控中心由策略中心服务器、审计中心服务器、安全网管服务器、预警 平台服务器、证书 / 认证服务器以及补丁 / 软件分发服务器组成。这些服 务器可分别部署在不同的硬件平台上，也可部署在同一个硬件平台上， 视内网规模不同可采用不同的部署方式。策略中心服务器 ：安全代理策略管理中心，提供安全管理员安全策 略模版的管理、实时策略的管理、策略群发、策略查询等功能。 审计中心服务器 ：接收安全代理发送的审计事件，并提供安全管理 员统计查询以及手动报表、自动报表的功能。安全网管服务器 ：提供网络拓扑发现、地址绑定、流量统计、交换 机运行状态管理、流量控制及报警等功能。预

38、警平台服务器 ：提供网络管理员和终端用户实时交互的机制，统 一发布相关安全管理规范、安全组织体系、安全宣传资料以及最新 安全动态等信息。证书/认证服务器 ：提供系统内部使用证书的自动签发、用户身份认 证以及授权的功能。补丁/软件分发服务器 ：提供补丁 /软件下载策略管理的功能以及补 丁/ 软件下载服务。时间服务器 ：提供内网标准的时间服务，用于内网主机的时间同步。3， 系统控制台模块组成Lan SecS系统管理入口，管理和维护总控中心服务器的运行状态；负 责总控中心的策略配置、 补丁部署、 审计查看和预警响应；负责安全 代理的运行策略设置。4， 身份认证模块组成 用于存储受控计算机终端用户以及

39、管理员登录认证的数字证书。 其中 管理员证书用于LanSecS内网安全管理系统的登录认证，用户证书用 于系统的文件加密功能。3.5 产品一体化设计3.5.1 统一用户权限管理Lan SecS提供统一的用户管理模块，网络终端计算机权限划分和移动存储设备管理各组件可共享统一的用户信息来为用户分配使用权限；管理员能够通过LanSecS提供的用户管理模块实现LanSecS各组件的用户统 一注册、管理，并根据用户具体应用需求情况进行不同权限的划分。3.5.2 系统分权管理Lan SecS服务器端将各个组件分散的管理员权限管理模块集中起来，提供了 一个集中的权限管理模块，并且按照权限分离原则，定义多种角色

40、的管理员： 系统管理员：负责生成系统操作员，并对系统操作员的权限进行设置； 并且对整个系统的单位、部门进行规划； 安全管理员：负责生成安全操作员，并对安全操作员的权限进行设置； 审计管理员：负责生成审计操作员，并对审计操作员进行权限设置；每种角色的管理员权限都互不交叉， 管理员在进行业务操作过程中的操作信 息也将进行审计。3.5.3 统一资产管理Lan SecS包含资产管理模块，主要记录了终端 PC设备以及服务器的基本信 息（软件、硬件），MAC地址、具体使用位置、主要使用人等内容信息。作为终端 防泄密、文件加密和权限设置、 移动存储设备管理等组件可共享统一的资产信息 来为终端PC分配使用权限；3.5.4 策略集中部署管理员能够根据所在北京市网络的具体情况和安全需求，利用LanSecS的策 略定义模块定义LanSecS产品相关组件和模块的相关策