内网安全管理系统解决方案

1、I、II、2121213131313141414151516161617171718191内网安全管理系统解决方案计算机终端安全管理需求分析1、网络管理、1、1、物理网络拓扑图、1、2、流量控制、1、3、IP地址管理、1、4、故障定位、2、终端安全防护、2、1、补丁安装防护、2、2、防病毒防护、2、3、进程防护、2、4、网页过滤、2、5、非法外联防护、3、终端涉密信息防护、3、1、终端登录安全认证、3、2、I/O接口管理、3、3、桌面文件安全管理、3、4、文件安全共享管理、3、5、网络外联控制、4、移动存储介质的管理、5、网络接入控制、6、计算机终端管理与维护 、7、分级分权管理92、计算机终

2、端安全防护解决方案102、1、方案目标102、2、遵循标准112、3、方案内容122、3、1、网络管理122、3、1、1、物理网络拓扑图132、3、1、2、流量控制132、3、1、3、IP地址绑定132、3、1、4、故障定位142、3、2、终端安全控制142、3、2、1、补丁管理 142、3、2、2、防病毒控制142、3、2、3、进程监控152、3、2、4、网页过滤控制152、3、2、5、非法外联控制152、3、3、终端安全审计152、3、4、移动存储介质管理162、3、4、1、注册授权182、3、4、2、访问控制182、3、4、3、数据保护192、3、4、4、自我保护192、3、4、5、操作

3、记录192、3、5、计算机终端接入控制202、3、5、1、非法主机的定义202、3、5、2、非法接入控制策略202、3、5、3、非法接入阻断技术实现原理212、3、6、计算机终端管理与维护222、3、6、1、主机信息收集222、3、6、2、网络参数配置2 32、3、6、3、远程协助 232、3、6、4、预警平台233、系统设计323、1、LanSecS系统安全性设计323、1、1、控制中心安全性323、1、2、主机代理安全性323、1、3、数据库安全性323、1、4、策略分发与存储安全性343 1、5、主机代理与控制中心通讯安全性 344、系统特色与系统部署364、1、LanSecS 系统特色

4、 364、2、LanSecS 典型部署 384、2、1、简单内网环境384、2、2、本地多内网环境384、2、3、分级部署环境395、产品配置要求391、计算机终端安全管理需求分析随着科技的发展，计算机和网络作为现代企业重要的工具，在日常办公过程中发挥着越来越重要的角色。计算机和计算机 网络已经成为企业、政府和其它各种组织的重要信息载体和传输渠道。很明显，计算机、计算机网络和其所带来的信息数字化大幅度提供了工作效率，也使得海 量的信息存 储和处理成为了现实。但是， 在享受到计算机以及计算机网络所带来的方便个生的同时，也出现了目前受到广泛尖注的 对内网设备如何进行有效管理的问题，以及由此带来的网

5、络信息安全问题。目前随着制造 业单位规模不断增大，IT硬件成本降低、更新换代速度比较快，单位为了提高工作效率，不断的增加新的设备；因此机器数量 和网络规模也随之增多、增大。员工办公感觉是越来 越方便了，但是给网络管理员带 来的内网管理问题却越来越重了。首先是网络的管理，IP 混乱、网络拥塞、出现故 障无法及时定位进行解决其次是资产的管理，越来越多的设备使资产管理处于混乱， 管理员疲于资产的统计。在内网信息安全管理方面，尤其是设备自身 的健壮，性，如何 保证设备硬件所承载的系统能够正常 运行；另一方面对于单位内部的设 计部门，由 于数字信息本身具有易于复制的特性，利用这个特性，信息更易于受到难以

6、控 制和 追溯的盗取威胁，网络使信息更容易受到破坏、更改和盗取。很明显，能否最大限度 确保企业内部数字信息的安 全性已经尖系到了计算机和计算机网络能否真正成为有 实质意 义大规模应用的矢键因素。如何提高安全T生保证机器的正常办公、如何将非 法入侵者拒 之门外、如何防止内部信息外泄，如何更好的保证网络快速高效运行，这些都是制造业目前在进行网络化过程中必须解决的问题。目前各行业内部网络所采取的安全措施 基本上是采用防火墙、入侵检测等安全产品放置于内部网络和外网连接处保证网 络层的安全，并采用操作系统或应用系统所带的身份验证机制，或通过安装物理隔离卡将内部局域网划分成内网与外网两个组成部分。内部网络

7、上大多数的应用对制造业单位是至矢重要的，甚至是严格保密的。一旦出现病毒传播、破坏的 事件，将产生严重后果。这些都使得内网安全问 题变得越来越重要和突出。而内网 安全存在许多问题，为了防范各种各样的安全风险，必 须在内网建立可靠的网络 管理、安全监控和审计控制，以保证内部系统的顺利运行。为了 确保制造业单位内部的IT系统的平稳运行，一个健壮的内网安全管理体系是分重要的。作为制造业的计算 机终端安全管理方案而言，需要解决如下问题：1、1、网络管理在制造业的网络环境中，由于单位规模、单位办公的需要，存在 很多的 工作区域，甚至在外地也有自己的办事处和生产车间，为了便于企业内部的信息共享，一般采用专线

8、或其他网络互联技术，使之与内部网络连接，便于单位内部的数据管理和办公管理。但是大规模的网络环境、复杂的分支机构，给网络管理带来 了极大的困难，设备的 分布不明确；流量管理没有依据；对于静态IP地址环境地址 混乱、冲突也是很棘手的问题。 针对网络管理方面主要包括一下几个方面：1、1、1、物理网络拓扑图单位的内部网络是由网络设备共同作用，协同工作建立起 来的， 主要设备有：路由器、交换机、HUB,而在局域网中对数据交互起核心作用的 是交换机。目 前的网管软件可以对逻辑拓扑图进行绘制，对交换机的面板信息进行 提取和控制，但是无法看到终端设备和交换机端口的物理连接尖系，无法从拓扑图上看到下连设备的信息

9、。如何建立起交换机端口和设备的连接尖系 是至尖重要的， 因为端口的流量信息其实就是设备 的流量信息；想要掌控设备，只要对交换机端口进行控制就可以了。因此物理拓扑图显示设备与端口的物理连接尖系会给管理带来极大的方便。1、1、2、流量控制借助物理网络拓扑图上设备的物理连接尖系，通过可网管交换机端口的流量控制，能够对交换机下连的设备进行端口控制，尖闭端口或是打开端口。但是内部网络环境中不可能所有的交换机全部都是可网管的，而且管理员 不可能天天进行端口的打开、闭合操作，除非是出现异常的网络攻击和拥塞时，才会采取如此非常手段。因此对于日常的控制来说，最有效的方法是通过控制每个终端设备的网卡流量，如果能将

10、设备的流量控制在一定的范围内，既 保证了设备的正常 工作使用，又可以防范在非法使用 P2P下 载软件抢占带宽和病毒爆发时给网络速度 带来的拥塞，这对于管理来说才是实用的管理手 段。1、1、3、IP地址管理为了便于管理，出现问题能够及时追查，网络建设时管 理员通 常使用静态IP地址，这对于管理来说确实是一个有效可行的措施。但是由于 员工的计算机 操作水平不同，很可能造成随意修改IP地址带来的内网地址冲突，这 给内网管理带来很繁 琐的问题。虽然通过在核心或二层交换机上， 可以通过命令来 绑定IP/MAC地址从而消除上 述问题，但是工作量庞大，因此彻底屏蔽IP地址冲突 的问题是网络管理必须要做的。1

11、、1、4、故障定位很多制造业内部网络庞大，分支繁多，一旦终端机器或网 络链路 出现问题，很难迅速定义问题点，如果从链路着手解决问题，除非管理员此前 做了详尽的 网络链路备份信息表（每次增加机器都需要逐台进行记录），否则从众多网络排线中找出问题链路将是一件分费时、费力的事情。1、2、终端安全防护单位内网进行办公所运行的各种服务都是应用在终端设备的基础上，一旦终端设备的安全性出现问题，那么所有其承载的服务将无法运行，严 重影响单 位的工作效率，给单位的生产造成损失。因此必须保证机器的健壮性，为了 保证机器的正 常运行包括以下几个方面：1、2、1、补丁安装防护目前在制造业的单位中，承载各种应用的操作

12、系统90%以上的端终用户使用的都是windows2000,XP 或以上的操作系统，但是这几种操作系统的 安全漏洞非常 多，很容易收到攻击。微软公司会通过定期发布安全补丁的 方式来弥 补这些漏洞，但由于 某些员工用户缺乏相尖知识，或者处于研发部门的设计网是和单位局域网物理隔离的网络， 从而导致补丁安装的不完全，不及时，这就会严重影响 终端计算机的安全，一旦发生针对 微软操作系统漏洞的攻击，就会导致整个网络受 到威胁。1、2、2、防病毒防护员工由于防范病毒意识较淡薄，没有安装防病毒软件；或者由 于个人对防病毒品牌的倾向性，从而发生没有安装防病毒软件，甚至意外卸载，或防病毒软件没有运行，这样不仅使单

13、台PC机受到病毒侵害，而且一旦感染病 毒，可能回向内网的 其他机器传播，导致整个内网病毒泛滥，甚至网络拥塞。因此一定要保证防病毒软件的安装、正常运行、及时升级。1、2、3、进程防护由于当前大量病毒以及恶意程序的存在，而这些程序对于普通用户而言并不知情，甚至有些恶意程序通过技术手段使得用户无法通过任务管理器看到其工作进程；另一方面，有些用户可能有意或无意地运行一些可能会影响 他人或自己工作的软件（如网络嗅探器）。单位的机器目的是提高员工的生产效率，充分利用上班时间为单位创造更多效益，但是某些娱乐性软件严重影响了员工的工作效率，某些下载软件造成网络速度减慢，影响了内网的正常办公 o因此通过制定策

14、略，实现对非法进程的监控并阻止， 能够大大减少由内部引起的网络安全事件，提高我们的工作效率。1、2、4、网页过滤某些员工访问Internet时，由于安全防范意识不够，登陆恶 意网 站，造成机器受到攻击，从而产生病毒感染、机器不能正常使用，注 册表被修改？浏览器 无法正常的访问网络；严重的甚至会植入木马，造成机器重要数据的网络 泄密。因此必须 对内网机器的网络访问进行必要的过滤。1、2、5、非法外联防护单位内部的局域网会在网络的出口上，增加相尖 的安全硬件防护设备，例如：防火墙、IDS、IPS、防病毒网矢等设备来加强边界的防护，保证内网的安装。但是员工由于好奇，或者厌烦上网出口的种种限制，通过

15、Modem或ADSL拨号方式访 问Internet,极易受到外部网络的攻击；当该机器一旦受到攻击，回到内网后很容易将相矢病 毒、木马向内网传播。1、3、终端涉密信息防护在现代生活中，信息就是财富。无论是国家、政府、 企业 和个人都不希望机密信息被别人窃取，造成各种经济和社会损失。对制 造业单位的设计、 研发部门来说，机密信息的存储、使用和传递过程中，会面临各种各样的 泄漏风险。信息外泄的途径包括：1本地打印机、网络打印机的非法 输出涉密文件；1终端计算机非法拨 号、非法外联访问；1离线存储设备存储涉密文件遗失；1内部员工使用涉密计算机连接外 部网络致使泄密；1工作人员由于对计算机专业知识的不

16、熟悉而泄密。从泄密行为的区别 上，分为两种泄密：被动泄密和主动泄密。被动泄 密：由于员工的电子信息保密的意识还 不强，常常由于专业知识不熟悉或者工作疏忽而造成泄密。如有些人由于不知道计算机的 电磁波辐射会泄露秘密信息，计算机工作时未采取任何措施，因而给他人提供窃密 的机会; 有些人由于不知道计算机软 盘上的剩磁可以提取还原，将曾经存贮过秘密信息的软盘交流 出去，因而造成泄密； 有些人因事离机时没有及时矢机，或者采取屏幕保护加密措施，使 各种输入、输出信 息暴盛在界面上；有些人对自己使 用的计算机终端缺乏防护意识，如没 有及时升级 病毒库和更新系统补丁，导致病毒和木马的入侵，在不知不觉中泄:8了

17、机密信 息。主动泄密：这种情况是由于内 部员工出于个人利益或者发泄不满情绪，有意识的收集 和窃取机密信息。由于电子信息文档不像传统文档那样直观，极易被复制，且不会留下痕迹，所以窃取秘密也非常容易。电子计算机操作人员徇私枉法，受亲友或朋友委托，通过计算机查询有尖案情，就可以向有矢人员泄案情。计算机操作人员被收买，泄露计算机系统软件保密措施，口令或密钥，就会使不法分子打入计算机网络，窃取信息系统、数据库内的重要秘密。对于制造业单位来说，涉密终端计算机作为涉密信息处理的工具，在其上存储、传输和处理的涉密信息的安全性保护相当重要。任 何一个环节的疏漏均可导致涉 密信息的丢失。因此，必须加强对涉密信息的

18、防护。当 前，对涉密信息的防护需求主要包 括如下几个方面：1、3、1、终端登录安全认证终端用户当前通过用户名/口令方式进行计算机本地/域登 录，然而用户名/ 口令方式虽然简单，但是存在很大的安全隐患：1密码管理复杂1密码容易泄漏1存在暴力破解的可能性1无法阻止他人恶意非法盗用因此，作为终端安全管理的 第一步，首先需要解决终端登录安全认证的问题。1、3、2、I/O接口管理随着计算机外设的增多，各种各样的输出设备（软驱、刻录机、打印机、绘图仪、移动存储设备、红外、蓝牙、无线网络设备）为信息处理和传输提供极大便利的同时，也为机密信息的扩散和泄露带来了可能。尤其是USB接口的计算机周边设备的丰富，使得

19、计算机与其他外部设备，如 U盘，USB打印机等连接分方便，并能轻而易举地通过USB设备将外部数据导入或者内部数据导出，为 重要数据的保护带来了巨大 的安全隐患。1、3、3、桌面文件安全管理作为数据最终处理的计算机终端，存储着大量的 业务数据。由于Windows操作系统默认将数据以明文方式存储于磁盘上，因此一旦其他未被授权用户能够进入操作系统，都能非常方便地实现对磁盘数据的访问和阅 读。因此，如何确保数据信息在计算机终端的安全，也是计算机终端安全管理必须考 虑的问题。1、3、4、文件安全共享管理由于计算机终端大多使用 Windows操作系统，而 该操 作系统安装后即开放了部分共享目录，同时由于许

20、多用户并未采用安全的访问密码，造成其他用户能够较为方便地通过远程网络实现对他人网络共享数据的访问。因此严格控制终端的文件共享，尤其是涉密终端的文件共享，也是桌面系统安全管 理的重要内容。同时，作为常见的文件共享，应能提供安全的用户身份认证机制、完善的共享授权以及详细的访问日志信息。1、3、5、网络外联控制涉密内网虽然不与互联网直接连接，但是内部人员可能会出于各种原因通过Modem拨号、ADSL 土网、无线上网等技术手段将个人终端计算机接入互联 网。这种行为带来的危害不仅包括内部员工通过主动的邮件发送、即时通讯等手段将机密信息发送到内网之外，也为内网增加了来自互联 网上的攻击 和破坏的风险，从而

21、导致由互 联网入侵或者木马程序等方式造成内网 机密信息的被 动泄密。因此对终端计算机的网络外 联控制是防泄密管理的重要内容之一。1、4、移动存储介质的管理移动存储介质已经得到普及应用，移动存储介质使 用灵活、方便，使它在各个单位的信息化过程中迅速得到普及，越来越多的 敏感信息、秘密数 据和档案资料被存贮在移动存储介质里，大量的秘密文件和资 料变为磁 性介质、光学介质， 存贮在无保护的移动存储介质中，这给企业涉及设计、研发信息资源带来相当大的安全隐患。存储介质作为企业核心商业机密和敏感信息的载体，实现对它们安全、有效的管理是 保证企业信息安全的重要手段。移动存储介质使用过程中常见的风险包括：1)

22、非法拷贝敏感信息和涉密信息到磁盘、U盘或其他移动存储介质中；2)企业外部移动存储介质未经授权在内部使用；3)企业内部移动存储介质及信息资源被带出，在外部非授权使用；4)使用过程的疏忽；5)存贮在媒体中的秘密信息在联网交换时被泄露或被窃取，存贮在媒体中的秘密信息在进行人工交换时泄密；6)处理废旧移动存储介质时，由于磁盘经消磁余次后，仍有办法恢复原来记录的信息,存有秘密信息的磁盘很可能被利用磁盘剩磁提取原记录的信息一这很容 易发生在对磁盘的 报废时，或存贮过祕密信息的磁盘，用户认为已经清除了信息，而给其 他人使用；7)移动存储介质发生故障时，存有秘密信息的介质不经处理或无人监督就带出修理，或修理时

23、没有懂技术的人员在场监替，而造成泄密；8)移动存储介质管理不规范，秘密信息和非秘密信息放在同一媒体上，明密不分， 媒 体介质不标密级，不按有矢规定管理秘密信息的媒体，容易造成泄密； 9)移动存储 设备在 更新换代时没有进行技术处理；10)媒体失窃，存有秘密信息的磁盘等媒体被盗，就会造成大量的国家或企业秘密 信息 外泄，其危害程度将是难以估量的，丢失造成后果非常严重。综上所述，移动存 储介质的 管理对制造业来说，是一个必须尖注的问题。1、5、网络接入控制若不对接入网络的计算机设备进行认证，则每一台外来的 计算 机设备只要通过涉密网内的任何一个端口连接，则整个网络都将向其开放，这 显然对于内部网络

24、安全而言是巨大的安全隐患。因此，需要对计算机终端的接入进行有效的监视和控制。通过提取接入计算机的物理特征，可以判断该计 算机是否为 企业内网上授权接入的计 算机，如果为非授权计算机，则视为非法主机。对非法主机需要采取必要的方式进行阻断和隔离，从而保证该计算机无法访问内网的相尖资源。另外，对于内网授权使用的计算机，任何一台感染了病毒和木马，管理人员也无法及时定位和自动阻断该计算机的破坏行为。往往需要花费很长的时间才能判断和定位该计算机，然后再通过手动的方式断网。对安全 强度差的终端计算机缺乏有效的安 全状态检测和内网接入控制，也是内网管理人员比 较头 疼的问题之一。要想对此类 计算机进行接入的控

25、制，首先应该对计算机的安全状态能够实 时掌握，例如病毒库的升级情况和操作系统补丁的修补情况等。只 有掌握了计算机的安全 状态，才能根 据其安全状态判断是否应该对其进行阻断和隔离。1、6、计算机终端管理与维护对于制造业单位庞大的网络和众多的终端计算机来说，依靠传统的资产登记管理办法，根本无法做到对计算机配置信息的准确掌握，对计算机配置的变化也无法及时跟踪。例如，要准确掌握每台计算机的软硬件配置 信息，通过手工方式将是非常耗时和繁琐的工作。要想实时并准确地 掌握内网终端计算机的配置状况与配置 变更状况，必须通过技术手段和工具来辅 助实现，才能有 效节省成本和资源，提高内网管 理的效率o另外，由于终

26、端计算机的数量众多，管理 人员也无法实时掌握每台终端计算机 的运行状态。当终端计算机出现故障需要维护时，管理人员如果采用现场维护的方式，一方面增加了人力成本，另外由于人力资源 有限，也无法保证维护的及时性。如何实时监视 终端计算机的运行状况，并且方便地 对终端计算机进行远程维护，是制造业单位网络管理 人员迫切需要解决的问题。1、7、分级分权管理内网安全管理系统作为一个计算机终端防护、检测、维护 和工 具，其特点是管理的计算机数量众多。管理这么多的计算机，依靠某一位管理员是不现实的，另外，如果企业的部门设置较为复杂，分支机构多，则会加剧管理的难 度。因为一个管 理员不可能了解所有计算机终端用户的

27、计算机使用 细节，所以对管 理的深度和强度无法把 握。由于以上的原因，对以一个大型企业，从科学管理的角度来讲，必须采用分权管理的思想。所谓分权管理，包括两层含义。1是把所管理的计算机终端范围进行划分和分配，采 取谁熟悉、谁管理的原则，不同管理员自己管理自己范围内的计算机、包括策略的设置和审计的查看等o 1是把系统策略的配置进行划分和分配，采取谁适合、谁管理的原则，不同 管理员有不同的策略配置权限。这样处 理可以保证策略的配置不会违反单位的保密规 定。 例如，某管理员可以配置补丁分 发的策略，而另一个管理员则可以配置安全审计的策略。对于规模巨大的制造业单 位，往往都在管理层次上划分为多个垂直单位

28、，如集团、所、部 门等。考虑到制造业 单位对管理上的需求往往希望能够由上级部门直接设定下级部门的安 全策略和查看 下级单位的审计信息。这就提出了分级管理的需求。所谓分级管理，就是由 上级机构 对下级直接进行管理，管理上的控制力度可以由上级机构自主设定。例如可能上 级机构希望取消下级机构的所有管理权限，或者希望为下级机构分配一定范围的管理 权限, 而尖键策略的设置则由自己设定。分级管理的主要需求分为如下两个方面：1策略配置，上级机构可以直接接管下级的策略配置权限， 上级设定的策略，下级无法 更改。1审计报表查 看，上级机构可以随时要求下级机构将上级尖心的报表传递上来，审查下级机构的策略执行情况以

29、及违规事件等。2、 计算机终端安全防护解决方案2、1、方案目标本方案的目标是为延边天池工贸有限公司提供一套计算机终端安全管理解决方案。为机密信息的防护和计算机终端的运行维护提供有效的工具和手段。通过本方案，能够实现对单位内部局域网进行网络的统一管理、检测局域网内计算机终端是否安装有杀毒软件，实现对内网终端计算机的流量控制、规范上网管理、安全管理、终端涉密信息防护、网络接入/外联管理、移动存储介质的管理、审计和 计算机的日常运行维护O2、2、遵循标准本设计方案的主要依据是国家保密局文件涉及国家秘密的信息系统分级保护技术要求(BMB17 ? xx),同时，还参考了以下标准和法规、文件：1国家标准G

30、B/T2887-2000电子计算机场地通用规范；1国家标准GB9254-1998信息技术设备的无线电骚扰限值和测量方法；1国家标准GB9361-1998计算站场地安全要求；1国家标准GB/T9387、2-1995信息处理系统开放系统互连基本参考模型第2部分:安全体系结构(MtIS07498 ? 2: 1989 ) ; 1国家标准GB17859-1999计算机信息系统安全保护等级划分准则；1国家标准GB/T18336-2001信息技术安全 技术信息技术安全性评估准则 (idtIS0/IEC1540& 1999 ) ; 1国家标准GB50174- 1993电子 计算机机房设计规范；1国家军用标准G

31、JB3433-1998军用计算机网络安全体系结构；1国家公共安全和保密标准 GGBBM999信息设备 电磁泄漏发射限值；1国家保密标准BMB2-1998使用现场的信息设备电磁泄漏发射检 查测试方法和安全判据；1国家保密标准BMB3-1999处理 涉密信息 的电磁屏蔽室的技 术要求和测试方法国家保密标准 BMB4-2000电磁干扰器技术要求和测试方法；1国家 保密标准BMB5-2000涉密信息设备使用现场的电磁泄漏发射防护要求；1国家保密指 南BMZ1-2000涉及国家秘密的计算机信息系统保密技术要求；1国家保密指南BMZ2-2001涉及国家秘密的计算机信息系统安全保密方案设计指南；1国家保密指

32、南BM23-2000涉及国家秘密的计算机信息系统安 全保密测评指南；1国家信息化领导小组尖于 加强信息安全保障工作的意见中共中央办公厅国务院办公厅中办发2003127号；1国家 保密局文件计算机信息系统 保密管理暂行规定(国保发1998 1号)；1中央保密委员 会办公室、国家保密局文 件涉及国家秘密的通信、办公自动化和计算机信息系统审批暂 行办法(中保办发19986号)；1中共中央办公厅国务院办公厅矢于转发中共中央保 密委员会办公 室、国家保密局矢于国家秘密载体保密管理的规定的通知(厅字200058号);1尖于加强信息安全保障工作中保密管理的若干意见中共中央保密委员会中保委发20047号；1涉

33、及国家秘密德信息系统分级保护管理办法国家保密局国保发 xx16号; 1信息安全等级保护管理办法（试行）公安部国家保密局国家密码管 理局国务院信息化 工作办公室公通字xx7号。2、3、方案内容针对以上我们分析内网管理出现的实质问题，结合信息化安全建设已经从最初的网络安全焦点互联网边界防护向单位的内网转移，因此我们必须 认识到内网安全管理的重要性，对内网安全进行全面防护，“防患于未燃”。为了加强延边天池工贸有限公司的内网安全防护，防止设计部门机密数据的泄漏，加强内 网的健壮性，同时根据延边天池工贸有限公司提出的一些新的方案功能需求，我们 提出如下内网安全管理解决方案。2、3、1、网络管理网络管理是

34、建立在内网中支持 SNMP协议的可网管交换机，自动进行拓 扑图的学习，从而生成物理网络拓扑图。在此基础上实现对交换机流量的控制、设备故障定位，结合客户端控制软件的IP地址管理功能、网卡流量控制功能， 全面实现对内网从网 络设备到终端机器的控制。既保证了网络的正常运 行，又可以在出现问题时能够尽快解决。2、 3、 1、1、物理网络拓扑图在支持公有 SNMP协议的交换机上，能够自动发现网络内 所有网 络设备（包括三层和二层设备），通过系统提供的智能学习功能，自动识别网络的物理拓扑结构，生成网络物理连接拓扑图。物理拓扑图包括两种：链路拓扑和全局拓扑图。链路拓扑图只显示交换机之间的端口连接尖系；全局拓

35、扑图显示所有的 网络设备和客户端主机可以直观查看客户端主机与网络设备之间的端口连接矢系。拓扑图可以进行编辑、保存，并可以通过参数设置，按设置好的时间段对拓扑图上的合法接入设备进行实时更新。在拓扑图上可以方便地查看 可管理设备的配置信息， 如System、Interface IP Address x Routing、 ARP、MAC Address. Flow 等。物理网络 拓扑图便于管理员掌握内部网络的分布情况，机器 连接链路的变化情况，使整个网络了然于胸。2、3、1、2、流量控制流量控制包括两个方面，既可以通过控制交换机的端口，使用端口的打开和闭合功能实现对下连设备的链路流量的开启和尖闭，也

36、可以通过客户端程序对每个终端机器的网卡流量进行设置，对于超过指定阀值的设备进 行自动的网络阻断，当网卡流量恢复到正常时，网卡自动开启、恢复网络连接，保证受控端在指定的流量范围内进行网络连通。既保证了其正常工作，又不会影响网络带宽。2、3、1、3、IP地址绑定通过使IP地址和每台机器的ID号相对应，以对应的尖系为依 据，从而保证每个IP有一个唯一的标识与之对应。当客户 端程序检 测到IP地址进行修改 时，IP地址会自动恢复到此前已经绑定了的IP值，保证IP地址 不会被随意修改。杜绝了 单位内部的IP地址冲突问题。2、3、1、4、故障定位通过物理网络拓扑图显示的物理网络链路连接尖系，可 以得到 设

37、备和交换机的物理连接链路。一旦设备或链路出现故障，可以通过直 观的图象信息，准 确定位故障点，对问题进行及时排查、处理。配合交换机端口流量阀值设置，一旦某条链路出现流量超限的事件，相应钱路连接会产生颜色的变化，便于管 理员及时掌握内网链路 流量状况。2、3、2、终端安全控制通过对补丁分发、防病毒控制、进程监控、网页过滤控制,来尽最大程度保证内网机器的安全性和健壮性，避免由于自身安全性 不完善而 造成的系统 崩溃，抵御已知的一切外部攻击。3、 2、补丁管理通过补丁管理，能够对内网终端计算机缺失补丁进行定期检测和自动安装与更新，保证系统与软件缺陷一经发现便可及时修补。通过补丁分发管理，大大减少了操

38、作系统和应用软件漏洞被利用所造成的安全隐患和经济损失。同时，管理人员还可以实时统计当前各终端计算机的补丁缺失情况、补丁安装情况以及补丁安装的进度等，得到全网的终端计算机补丁安装快照。方便了对补丁分发过程的监控。3、2、2、防病毒控制通过防病毒软件监测，可以判断终端计算机是否安装了防病毒软件、防病毒软件运行是否正常以及病毒库是否保持最新等情况。如果以上几条不满足设定的策略要求，监测系统可以向管理人员发送报警信息。另外，监测系统还可阻断终端计算机的内网接入和内网访问，确保易被感染的终端计算机无 法使用内网。未安装防病毒软件的计算机进行网络访问控制和隔离，使其形成内网中的“孤岛”。避免该终端计算机对

39、内网其它主机造成安全威胁。2、3、2、3、进程监控通过进程的黑、白名单对机器上运行的应用程序进行控 制，黑 名单与白名单是一种“或”的尖系，可以同时配合使用，不同于以往同时只能 有一个处于 工作状态。被列入黑名单的进程是无法在系统中运行的；而 列入白名单 的进程，在系统启 动后必须运行，否则会强制断网，直到开启了该程序，网络才会恢 复连接。2、3、2、4、网页过滤控制通过网页过滤，可以有效屏蔽掉管理员禁止访问的网站，避免误入已知的非法或易受攻击的网站，在事前保证机器访问网站的合法性。2、3、2、5、非法外联控制通过禁用设备的 Modem. ADSL拨号、双网卡、代 理上网 等方式，禁止工作于内

40、网的设备与外网连通，发生数据泄密和被攻击的事件，保证仅允许工作于内网的设备的纯粹，性、安全性、机密性。而且一旦产生 相尖的事 件，会产生相尖 的预警信息，及时同时管理员。2、3、3、终端安全审计终端计算机的防泄密解决措施对计算机终端进行安全审计,如网络接入、网络外联、文件操作、共享访问、设备使用、进程活动等，通过安全审计可以实时掌握用户的计算机使用行为。这类措施主要是应对恶意用户的主动泄密行为。这类措施主要是应对合法用户由于疏忽导致的被动泄密行为。计算机终端的安全审计包括了事前控制、事中监控和事后审计在内的一系列安全管理策略。通过安全审计，可以有效的控制、监视和追踪计算机终端用户的行为，一旦用

41、户有违保密规定的行为发生，管理员能够快速得到报警信息。对受控终端进行审计是通过规则进行的。审计规则设置的是对服务器规则 控制下的 行为的记录和统计。在服务 器设置相应的审计规则后，如果客户端所在的设备有 符合规则的行为发生，则在服 务器的日志中会有相应记录。可以根据需要配置受控终端的 文件操作、进程、网络访 问等事件的规则。系统根据规则自动记录安全 审计日志并存入系 统日志信息库，这 些信息是事后了解和判断网络安全事故的宝贵资料安全审计应包括如下 几个方面：涉密审计：涉密文件被操作使用、存储和传输审计功能；入网审计：非法设备接入审计功能；资产审计：自动登记受控终端的硬件配置（包括 CPU、内存

42、、硬盘、显示卡、网卡 等等），当受控终端的硬件发生变动时能自动向安全管理核心系统发出报警信息；系统审计：自动记录受控终端操作系统配置的用户、 工作组、逻辑驱动 器，当其发生变化时，自动 向安全管理核心系统发出报警信息；加载服务审计：对受控终端安装的系统服务进行审计， 自动记录系统服务的启动 和停止；安装和卸载审 计：自动记录受控终端上应用程序的安装 与卸载情况；文件审计：对文件操作进行审 计，记录用户对规则指定文件进行的各种操作； 网络访问审计：对网络访问进行审 计，记录用户对规则指定网址进行的访问操作；打印机 操作审计：对本地打印机使用 情况进行审计；移动存储设备审计：对受控终端的可移动存

43、储设备的使用情况进行审计；非法外联审计：对拨号、无线网卡、手机红外等访问情况进行审计。进程审计：通过对终端计算机运行的进程进行审计，可以发现用户正在运行的程序。可以通过进程黑名单的方式限制用户运行某些程序，例如游戏、攻击工具、视频播放器、MP3播放器等o限制用户利用计算机进行与工作无尖的操作。2、3、4、移动存储介质管理可信移动介质解决方案，主要是实现如下目标：1)通过移动介质交换的数据必须是密文，保证数据离开应用环境后不可用；2)数据交换前必须通 过正确的身份认证，包括密码认证或USB KEY等授权硬件的身份认证；3)记录数据交换过程的工作日志，便于以后进行跟踪审计；4)未经授权的移动介质，在工作环境中不可用，只有经过企业授权的移动介质才能进入到企业的办公环境；5)工作配发的移动介质带出办公环境后变为不