矿业网络改造方案及网络基础安全技术要求和矿山危险源辨识风险评价及风险控制策划表

PAGEPAGE141XX矿业网络改造方案XX系统集成有限责任公司20XX-10-11

目录1 用户需求分析 -2-1.1 项目改造内容 -2-1.2 项目设计原则 -3-1.2.1 设计原则 -3-1.2.2 建设原则 -5-1.3 项目设计思想 -5-2 项目整体解决方案 -6-2.1 网络现状 -6-2.1.1 现网拓扑 -6-2.1.2 网络存在问题 -6-2.2 改造建议 -7-2.2.1 改造拓扑及描述 -7-2.2.2 改造后优势 -8-3 网络系统 -8-3.1 组网方案 -8-3.1.1 组网拓扑 -8-3.1.2 分层网络设计 -9-3.1.3 IP地址规划 -10-3.1.4 IPv4地址规划 -12-3.1.5 IPv4路由规划 -13-3.1.6 Vlan设计 -13-3.2 网络优化系统 -16-3.2.1 上网行为管理 -16-3.2.2 网络安全审计 -19-4 安全与管理系统 -21-用户需求分析内蒙古黄岗矿业有限责任公司的前身是内蒙古赤峰黄岗铁矿，1993年筹建，1996年投产，是克旗人民政府下属的全民所有制企业。2000年3月23日，中共克旗委第66次会议决定，企业改制为有限责任公司。公司更名为“内蒙古黄岗矿业有限责任公司”，由集通公司以承债的方式购买企业的主要产权，控股经营企业。2000年4月20日各方签定《关于设立内蒙古黄岗矿业有限责任公司协议书》规定：注册资本总额为2400万元人民币。2003年9月15日，中共克旗委第38次常委会议决定，同意内蒙古黄岗矿业有限责任公司增资扩股，由包头钢铁（集团）有责任公司控股。同时根据《内蒙古黄岗矿业有限责任公司章程修整案》的规定，增设包头钢铁（集团）有限责任公司为新任股东。增设股东后的内蒙古黄岗矿业有限责任公司股东为6个，注册资本金为8139万元，即包头钢铁（集团）有限责任公司出资人民币5000万元，占注册资本金的61.4%，内蒙古集通铁路有限责任公司出资人民币1679万元，占注册资本金的20.6%，克什克腾旗人民政府出资人民币660万元，占注册金的8.1%，内蒙古赤峰地质矿产勘察开发院出资人民币646万元，占注册资本金的7.9%，克旗农电局出资人民币65万元，占注册资本金的0.8%，自然人出资人民币89万元，占注册金的1.2%。2004年9月22日，内蒙古黄岗矿业有限责任公司股东会2004年第一次临时会议同意克旗政府把自己拥有的公司6%的股份以600万元人民币的价格协议转让给莲池控股有限公司，克旗政府的股东比例由8.1%减至2.1%。其他股东的股权比例不变。2005年8月，在克旗旗委政府的协调下，由内蒙古黄岗矿业有限责任公司将仍在三区边缘地带采矿的“克旗黄岗矿业有限责任公司”以1500万元的价格收购。从此，形成了黄岗一，二，三，四区由内蒙古黄岗矿业有限责任公司独家采选的局面。项目改造内容本次项目针对现网存在的问题，提出改造及完善建议。尤其针对出口安全及内网互联作出详细描述。项目设计原则设计原则设计原则是系统设计时必须要考虑的总体原则，它必须满足系统设计目标中的要求，遵循系统性整体性、先进性和可扩充性原则，建立经济合理、资源优化的系统设计方案。系统平台作为黄冈矿业的一项重要的基础设施，为用户总体规划和技术要求提供保障，以便为用户提供一个先进、灵活、可靠、基于标准的多业务、多应用平台，不仅能够满足目前各种业务和应用要求，同时可为今后的发展及其业务、应用提供良好的扩展支持能力。因此，我们在进行方案设计时，应遵循以下设计原则。先进性与合理性相结合的原则在本项目方案设计中，应“立足现在，着眼未来”，在保证技术成熟及性能稳定的前提下，顺应主流技术的发展趋势，充分采用当今国内、国际上最先进的计算机软硬件技术和设备，使本项目系统能够最大限度地适应今后技术发展和业务发展变化的需要。其中，采用的系统结构应当是先进的、开放的体系结构。可靠性和稳定性相结合的原则为保证黄冈矿业各项业务和应用顺利进行，网络系统和IT基础平台必须具有较高的可靠性和稳定性，要对网络结构、网络设备、服务器设备、配套设备和环境设施等多个方面进行高可靠性、高稳定性的系统设计与配置。首先，在设备选型上要选择成熟、可靠、稳定的产品；其次，要在系统整体结构与连接方式上对可靠性和稳定性进行充分考虑，要采用切实有效的系统冗余备份方式，提供高效的自愈能力，并在采用硬件备份、设备冗余等可靠性、稳定性技术的基础上，采用相关的软件技术提供较强的管理控制机制和事故监控手段，从而充分保障系统是持续可用的。实用性和可管理性相结合的原则应采用成熟、实用的技术满足当前的应用需求，同时兼顾其它应用及系统发展的运行需求，尽可能延续原有的设备、并保证与原有系统兼容。同时，应使用先进且实用的技术以适应更高的数据、信息的传输、处理需要，使整个系统在一段时期内保持技术的先进性，并具有良好的发展潜力，以适应未来信息化的发展和技术升级的需要。可扩展性和开放性相结合的原则为保证本项目系统符合当今技术飞速发展的趋势，并满足系统发展的需要，在方案设计中必须充分考虑网络和服务器系统将来的扩展能力。其中，网络必须能够根据信息化的不断深入发展，方便地扩展覆盖范围、扩大网络容量和提高网络各层次节点的功能。本项目系统这种工程应具备与多种协议的计算机通信网络互连互通的能力，因此为确保本项目系统基础设施的作用可以充分发挥，在结构上必须真正实现开放，采用基于国际开放式的标准，包括各种广域网、局域网、计算机，坚持统一规划的原则，从而为未来的业务发展奠定基础。安全性和保密性相结合的原则安全性是本项目系统运行的生命线，在本方案设计中应给予充分考虑。国家对信息安全问题十分重视，信息产业部、中办机要局、国家密码管理委员会等有关部门对网络的信息安全问题制定了许多相应法规、规定，如《中华人民共和国保守国家秘密法》、《计算机信息系统保密暂行规定》、《涉及国家秘密的通信办公自动化和计算机信息系统审批暂行办法》等。本项目的安全性方案应严格按照信息安全主管部门的有关规定设计，使本项目系统成为一个安全的通信平台，并确保系统信息传输的安全。本项目安全体系方案设计的原则是：1、整个系统必须是一个严密的安全体系；2、采取的安全措施不能影响整个网络的运行效率；3、系统设计应具有完善的安全管理机制，以保证网络和数据的安全；4、保证各个环节的安全保密，统筹规划；5、安全方案的制订和实施应遵循国家系统安全的相关规定。建设原则建设应遵循如下指导原则：统一领导，统一规划，统一标准。以应用带发展，以效益促应用，分步实施，逐步完善。网络结构稳定，易于升级、扩展；应用系统灵活，易于共享、沟通。网络安全，信息保密，稳定可靠，高效运行。综合考虑整体性、实用性、先进性和经济性。利用现有资源满足业务急需，保持持续发展。管理运行体系与工程建设同步进行。项目设计思想1、组建安全、可靠、快速的三层汇聚交换网络。2、采用先进、成熟的技术3、保证原有系统的完整性和业务不中断4、旧系统的搬迁和新旧系统的无缝融合，软硬件应平滑过渡和升级5、采用高可靠、可扩展的设备和架构项目整体解决方案网络现状现网拓扑网络存在问题防火墙承担安全策略及路由NAT功能，X86架构的CPU不能满足用户及出口带宽的增长，造成网速变慢甚至CPU超负荷后断网。核心交换机未启用三层功能，网关在防火墙上，内网用户通信流量再次转嫁至防火墙。用户上网行为不能监控，员工带宽不能限制，造成资源浪费。矿区之间使用光电转换器的不可靠连接，增加了故障率。用户普遍使用TP-LINLK作为接入设备，不方便管理。安全策略、路由协议等较落后，不满足现网需求。改造建议改造拓扑及描述二区新增核心路由及核心交换机，新增上网行为管理设备。一区、三区、四区、尾矿新增汇聚交换机。原有接入交换机作为用户接入设备，原设备均利旧使用，不造成资源浪费。内网安全策略、路由协议均重新规划。改造后优势新增路由器启用NAT功能、分担防火墙压力，防火墙只做安全策略。新增核心交换机启用三层功能，划分VLAN，优化内网环境并提供光接口。替换所有光电转换器为光接入交换机，较少线路故障率。原设备均利旧使用，不造成资源浪费。新增用户行为及审计功能。合理化的带宽分配，不会因员工下载造成网速缓慢。重新调试的网络策略更适于现在使用情况。网络系统组网方案网络做为一个系统的传输平台，它为业务系统提供了可靠传输通道，是业务系统的支撑系统，是一个系统的路，是一个单位信息化的基础。组网拓扑目前，组网的拓扑结构设计中通常采用三种结构：星型、网状和部分网状结构。拓朴结构星型结构（Star）：星型结构是指所有的外围设备通过单一链路连接到处于网络中心的核心设备上。星型结构的优点是节约线路开支，网络结构简单，易于增容与维护；但对中心设备与连接链路有依赖性，容易出现单点故障，要求中心节点必须保证高可靠性。在网络络设计中，针对主干框架的选择应充分考虑网络性能、维护难易程度以及可靠性等因素，同时也要考虑系统的性价比，从而权衡利弊，作出最为符合实际情况的结构方案。分层网络设计优良的拓扑结构是网络稳定、可靠运行的基础。一个大规模的局域网络系统往往被分为几个较小的部分，它们之间既相对独立又互相关联，这种化整为零的做法是分层进行的。通常网络拓扑的分层结构包括三个层次，即核心层、分布层和接入层。每一层都有其自身的规划目标：核心层处理高速数据流，其主要任务是数据包的交换。分布层负责聚合路由路径，收敛数据流量。接入层将流量馈入网络，执行网络访问控制，并且提供相关边缘服务。网络大都是依照上面的分层原则设计的星型以太网，配合各种最新的技术如VLAN、TRUNK、Qos等，极大地提高了网络的性价。其逻辑结构如下图所示：IP地址规划IP地址的合理规划是网络设计中的重要一环，大型计算机网络必须对ＩＰ地址进行统一规划并得到实施。IP地址规划的好坏，影响到网络路由协议算法的效率，影响到网络的性能，影响到网络的扩展，影响到网络的管理，也必将直接影响到网络应用的进一步发展。在网络设计中IP编址方案的设计非常重要，它将直接影响网络的运行效率。为了使网络达到最高的运行效率，在设计IP编址方案时要遵从以下原则：1、IP地址分层设计IP地址分层设计是指在分配IP地址时参考物理网络设计的层次结构和网络应用的逻辑层次结构，按层次划分IP地址。在分层设计中将地址按层次化结构进行分配，可有效避免随机分配所带来的地址浪费的可能性，使IP地址资源得到最有效的利用。在网络设计中，我们都要尽可能使路由表保持简洁，由于使用分层地址设计，使得路由总结技术的使用成为可能，它意味着计算路由和查找路由表时占用路由器CPU时间的减少、路由内存需求的减少。2、使用变长子网掩码变长子网掩码（VLSM）是指一个网络可以分层次配置不同的掩码。把一个网分成多个子网时，变长子网掩码解决了子网数和主机数的可能冲突，保证更大的灵活性。如果没有VLSM，一个子网掩码只能提供给所有子网，可能造成不必要的地址浪费。VLSM还带来另外的好处就是可以更好地使用路由总结，VLSM允许在地址分配中使用更多的层次，从而在路由表中更好地使用路由总结。3、路由总结在大型的、复杂的互联网络中，可能存在成百上千的网络地址；在这种环境下，通常路由表中不需要包括所有这些路由。路由总结是通过使用单一的总结性地址来表示一系列网络号从而减少路由器所必须包含的路由数目的方法。路由总结的使用可以降低路由器内存的占用和路由协议的网络流量占用率。使用路由总结的另外一个好处就是它可以隔离其它分区域内的拓扑结构的变化，也就是说，如果网络中某一部分区域的拓扑结构发生变化，而它的总结地址没有改变，那么它的结构变化带来的路由信息的更新将不会传到网络的其他分区域，从而提高整个网络的可靠性。4、尽可能使用保留地址段内部网不需要与INTERNET网络直接连接，IANA预见到了这个问题，并预留了A、B和C的一些网络号，以提供给内部网使用。这些预留地址如下所示：ClassAClassB16个B类地址ClassC256个C类地址任何组织都可以在他们的内部网中使用这些地址，同时这些地址将不会出现在INTERNET中，这样这些组织如果需要连入INTERNET的话，他们可以通过出口路由器地址转换功能与INTERNET上的主机通讯，而不需要重新设定内部网络地址。IP地址空间分配，要与网络拓扑层次结构相适应，既要有效地利用地址空间，又要体现出网络的可扩展性和灵活性，同时能满足路由协议的要求，以便于网络中的路由聚类，减少路由器中路由表的长度，减少对路由器CPU、内存的消耗，提高路由算法的效率，加快路由变化的收敛速度，同时还要考虑到网络地址的可管理性。具体分配时要遵循以下原则：唯一性：一个IP网络中不能有两个主机采用相同的IP地址；简单性：地址分配应简单易于管理，降低网络扩展的复杂性，简化路由表项连续性：连续地址在层次结构网络中易于进行路径叠合，大大缩减路由表，提高路由算法的效率可扩展性：地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址叠合所需的连续性灵活性：地址分配应具有灵活性，以满足多种路由策略的优化，充分利用地址空间。主流的IP地址规划方案分为纯公网地址、纯私网地址和混合网络地址三种。IPv4地址规划地址编码规范建议校园（城域）网的IP地址进行严格的编码，每位代表不同的含义。其编码规则（举例如下）为：通过地址标识可以清楚地区分出IP地址地来源，便于路由汇聚和访问控制。从上表中我们也可以看出，通过我们的规划，我们能从IP地址分析出IP地址的来源、用途等，这将为网络的维护带来方便。具体的IP地址定义将结合实际情况确定。IP地址使用可以采用静态或动态的方式，可以开启网络设备或服务器DHCP协议，对于固定IP地址用户，需要针对标识符（MAC地址）设定保留IP地址。IPv4路由规划整个骨干网络采用动态路由协议，动态协议在整个骨干网中不会引起路由回环，利于骨干网的健壮性，也可以根据准旗教育局采用动态路由加静态路由方式。在汇聚与核心之间采用动态路由的方式，动态路由的方式可以减少网络中心人员的维护量。动态只在核心骨干中进行运行这样大大减少了骨干节点之间动态协议的收敛周期，在实际的应用的过程当中可以提高稳定性。Vlan设计随着网络的迅速发展，用户对于网络数据通信的安全性提出了更高的要求，诸如防范黑客攻击、控制病毒传播等，都要求保证网络用户通信的相对安全性；传统的解决方法是给每个客户分配一个VLAN和相关的IP子网，通过使用VLAN，每个客户被从第2层隔离开，可以防止任何恶意的行为和Ethernet的信息探听。。在交换机上基于端口划分VLAN时，可以在同一交换机划分多个VLAN，也可跨主干划分同一个VLAN，网络中应尽量使用本地VLAN的划分方法，并通过Trunk链路实现多个VLAN的跨主干连接，最终通过中心/核心/汇聚交换机的路由功能实现VLAN之间的通信。对VLAN进行集中管理的技术中，可以使用GVRP协议。GVRP（GARPVLANRegistrationProtocol，GARPVLAN注册协议）是GARP的一种应用，它基于GARP的工作机制，维护交换机中的VLAN动态注册信息，并传播该信息到其它的交换机中。所有支持GVRP特性的交换机能够接收来自其它交换机的VLAN注册信息，并动态更新本地的VLAN注册信息，包括当前的VLAN成员、这些VLAN成员可以通过哪个端口到达等。而且所有支持GVRP特性的交换机能够将本地的VLAN注册信息向其它交换机传播，以便使同一交换网内所有支持GVRP特性的设备的VLAN信息达成一致。GVRP传播的VLAN注册信息既包括本地手工配置的静态注册信息，也包括来自其它交换机的动态注册信息。GVRP在IEEE802.1Q标准文本中有详细的表述。GVRP的主要作用是在802.1QTrunk口上实现提供802.1Q兼容的VLAN修剪与动态VLAN创建。使用GVRP，交换机可以和其它使用GVRP的交换机交换VLAN配置信息，在802.1QTrunk链路上修剪不需要的广播和未知的单播流量，动态创建和管理VLAN。VLAN在交换机上的实现方法，可以大致划分为4类:1）.基于端口划分的VLAN

这种划分VLAN的方法是根据以太网交换机的端口来划分，比如交换机的1~4端口为VLAN

10，5~17为VLAN

20，18~24为VLAN30，当然，这些属于同一VLAN的端口可以不连续，如何配置，由管理员决定，如果有多个交换机，例如，可以指定交换机1的1~6端口和交换机2的1~4端口为同一VLAN，即同一VLAN可以跨越数个以太网交换机，根据端口划分是目前定义VLAN的最广泛的方法，IEEE802.1Q规定了依据以太网交换机的端口来划分VLAN的国际标准。这种划分的方法的优点是定义VLAN成员时非常简单，只要将所有的端口都指定义一下就可以了。它的缺点是如果VLAN

A的用户离开了原来的端口，到了一个新的交换机的某个端口，那么就必须重新定义。2）．基于MAC地址划分VLAN这种划分VLAN的方法是根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配置他属于哪个组。这种划分VLAN的方法的最大优点就是当用户物理位置移动时，即从一个交换机换到其他的交换机时，VLAN不用重新配置，所以，可以认为这种根据MAC地址的划分方法是基于用户的VLAN，这种方法的缺点是初始化时，所有的用户都必须进行配置，如果有几百个甚至上千个用户的话，配置是非常累的。而且这种划分的方法也导致了交换机执行效率的降低，因为在每一个交换机的端口都可能存在很多个VLAN组的成员，这样就无法限制广播包了。另外，对于使用笔记本电脑的用户来说，他们的网卡可能经常更换，这样，VLAN就必须不停的配置。3）.基于网络层划分VLAN这种划分VLAN的方法是根据每个主机的网络层地址或协议类型(如果支持多协议)划分的，虽然这种划分方法是根据网络地址，比如IP地址，但它不是路由，与网络层的路由毫无关系。它虽然查看每个数据包的IP地址，但由于不是路由，所以，没有RIP，OSPF等路由协议，而是根据生成树算法进行桥交换，这种方法的优点是用户的物理位置改变了，不需要重新配置所属的VLAN，而且可以根据协议类型来划分VLAN，这对网络管理者来说很重要，还有，这种方法不需要附加的帧标签来识别VLAN，这样可以减少网络的通信量。这种方法的缺点是效率低，因为检查每一个数据包的网络层地址是需要消耗处理时间的(相对于前面两种方法)，一般的交换机芯片都可以自动检查网络上数据包的以太网祯头，但要让芯片能检查IP帧头，需要更高的技术，同时也更费时。当然，这与各个厂商的实现方法有关。4）．根据IP组播划分VLANIP

组播实际上也是一种VLAN的定义，即认为一个组播组就是一个VLAN，这种划分的方法将VLAN扩大到了广域网，因此这种方法具有更大的灵活性，而且也很容易通过路由器进行扩展，当然这种方法不适合局域网，主要是效率不高。5）．推荐的VLAN划分方式及逻辑图根据用户应用的实际情况和我们多年的系统集成经验推荐VLAN的划分方式可以是按照基于端口的划分。可以按照部门的不同划分不同的VLAN，比如财务部门VLAN，人事部门VLAN,存储网络VLAN等，推荐的逻辑示意图如下：网络优化系统安装完毕后，随系统的运行，新业务数据流的增加、原有业务数据的调整，其要应用设备运行效率会有所变化。系统的运行效率与系统各部分的参数有很大的关系，系统性能调优是一个重要的工作，及时地为用户做系统性能调整，是一项必要的服务。我公司会对黄冈矿业网络系统在定期或不定期的巡检的同时进行系统性能的调化，也可以是在用户提出性能优化的要求时，我公司派出相应的工程师进行系统的优化。上网行为管理何谓上网行为管理？帮助互联网用户控制和管理对互联网的使用，包括对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析。为什么要管理上网行为“随着互联网的发展，它已经到了必须控制和管理的时代，因为网上充满了错误的信息、虚假的信息，和非民主的力量。”蒂姆•伯纳斯•李（互联网之父）水能载舟亦能覆舟!互联网一方面能够帮助企业提高生产力、促进企业发展；另一方面也在企业管理、工作效率、信息安全、法律遵从、IT投资等方面给企业提出了严峻的问题与挑战。网速为什么越来越慢？在办公室里经常会听到有人抱怨“网速为什么这么慢？”，几乎所有的企业都存在这样的问题。那么企业花钱租用的10M甚至100M带宽都被用在哪里了？为什么带宽不断扩充，而网速并没有明显改善？真相：带宽资源也许正被滥用!根据联通公司发布的一份调查显示：以迅雷、BT、eDonkey、KaZaA等为代表的P2P应用，消耗了40%以上的有效网络带宽。而在企业租用的有限带宽里，充斥着大量P2P下载、网络电视等应用流量，导致大量带宽被非工作应用所占用。而且，由于P2P的应用特征，使得企业高额投资的带宽成了互联网公共服务。谁？在什么时间？可以拥有多少带宽资源？可以使用哪些网络应用？问题2：网络安全事故为什么防不胜防？“堵漏洞、砌高墙、防外攻、防内贼，防不胜防”，防火墙越“砌”越“高”，入侵检测越做越复杂，病毒库越来越庞大，身份系统层层设保，却依然无法应对层出不穷网络安全威胁，难道那么多安全产品都是摆设？真相：安全隐患来自内部员工!无论如何豪华的防线，一个漏洞就可以毁灭所有一切。MetaGroup发布研究报告称：“持续增长的安全威胁源自您的员工”。内部人员通过互联网与外部通讯时，可能会引入含有恶意的或者攻击性的内容，如若未能得到监测和控制，这将成为企业的一大隐患。并且充满诱惑的网络资源往往是风险的发源地。谁？在什么时间？是否可以上网？是否阻止访问可能含有安全风险的网络内容？问题3：办公室为成了免费网吧!据一项调查显示，普通企业员工每天的互联网访问活中40％与工作无关，对色情等非法网站的访问量70％都发生在工作时间。上班时间“上网休闲”已经成为普遍现象，聊天、游戏、炒股、购物、BBS、电影、博客等无时无刻不在抢占正常的工作时间，办公室因此沦为不需要花钱的“网吧”。谁？在什么时间？可以用什么应用？不可以访问什么网站？约束员工在互联网上的行为，其实是在帮助员工匡正工作行为，丢弃不好的习惯，成为一个专业、敬业的职业人，这对员工自身的职业发展也是大有裨益的。问题4：企业要为员工的网络行为背黑锅吗？目前，大部分企业内部员工上网并不受限制，但是他们在网上做了什么？对外发了什么信息？企业完全不知情，也无记录可查询，这就给企业埋下了巨大的法律风险。某企业被当地公安局网络监察处执行严厉处罚，原因是查出该企业内有员工在网上发布了违反法律的信息，但是无法查出是哪位员工所为，最后企业只得为这名“幕后英雄”背黑锅。那么在这种情况下，企业必须为员工的个人网络行为负责吗？谁？在什么时间？以何种方式？对外发了什么信息？发给了谁？问题5：发现内部网络问题后不能快速的找到根源？当出口拥塞，网络访问异常时，只能通过网络层面的的设备分析原因，简单的插拔网线，复位设备，以希图问题解决。但本质，内在的源头无法定位。IT系统追求的的是性价比，一位的迁就会隐藏更大的隐患，我们需要专业的洞悉网络问题应用源头的能力，能够分析问题的普遍性，严重性，共通性。利用上网行为管理产品能够做到：哪些人群的应用异常？哪些行为在单位内最普遍？哪些部门隐患最突出？上网行为管理的实施步骤洞悉－＞管控－＞驾驭step1:企业要做好上网行为管理，必须先洞悉企业内使用互联网的过程中存在哪些问题？因为不同企业面临的问题不同，需要先了解到底有哪些问题？step2:然后分析问题的根源，再制定有针对性的策略管控问题；上网行为管理策略必须是有针对性的、个性化的，这样才能符合不同企业本身的管理制度、企业文化等的要求和需求；step3:最后通过审计报表了解问题解决的程度和效果，再根据报表做管理策略优化，进而达到驾驭互联网、实现上网行为管理的价值。上网行为管理主要功能网页访问过滤互联网上的网页资源非常丰富，如果员工长时间访问如色情、赌博、病毒等具有高度安全风险的网页，以及购物、招聘、财经等与工作无关的网页，将极大的降低生产效率。通过上网行为管理产品，用户可以根据行业特征、业务需要和企业文化来制定个性化的网页访问策略，过滤非工作相关的网页。网络应用控制聊天、看电影、玩游戏、炒股票等等，互联网上的应用可谓五花八门，如果员工长期沉迷于这些应用，也将成为企业生产效率的巨大杀手，并可能造成网速缓慢、信息外泄的可能。通过上网行为管理产品，用户可以制定有效的网络应用控制策略，封堵与业务无关的网络应用，引导员工在合适的时间做合适的事。带宽流量管理P2P下载、在线游戏、在线看电影电视等都在抢占着有限的带宽资源。面对日益紧张的带宽资源，除了增加预算扩充带宽以外，企业还可以选择合理化分配和管理带宽。通过上网行为管理产品，用户可以制定精细的带宽管理策略，对不同岗位的员工、不同网络应用划分带宽通道，并设定优先级，合理利用有限的带宽资源，节省投入成本。信息内容审计发邮件、泡BBS、写Blog、聊IM已经司空见惯，然而信息的机密性、健康性、政治性等问题也随之而来。通过上网行为管理产品，用户可以制定全面的信息收发监控策略，有效控制关键信息的传播范围，以及避免可能引起的法律风险。上网行为分析随着互联网上的活动愈演愈烈，实时掌握员工互联网使用状况可以避免很多隐藏的风险。通过上网行为管理产品，用户可以实时了解、统计、分析互联网使用状况，并根据分析结果对管理策略做调整和优化。网络安全审计系统的主要目标是：帮助企业管理者更好的管理企业内部的重要信息资料，提高员工的工作效率；其次是：协助IT主管便捷的管理日益增长的PC运营维护和安全管理需求。内网安全管理系统主要功能和作用程序功能功能描述管理作用一、管理类功能：禁用设备可禁止电脑外部设备的使用。包括：USB存储设备、光驱、通讯设备、打印设备等等；可以只允许使用公司指定的U盘；同时也可以禁止修改IP地址。根据风险评估，制定事前预防策略，对相应的设备进行禁止，预防文件泄密。可以灵活的开启设备，不影响员工的正常使用。禁止应用程序可以对指定的程序进行禁止。对工作之外的程序进行禁止，如工作时间禁止玩游戏、聊天、BT下载等程序，提高工作效率。上网限制可对指定的网站进行禁止，或者采取反选，对指定的网站外的网站进行禁止。防止内部员工滥用网络资源，随意且长时间的访问与工作无关的网站，导致工作效率的低下。屏幕快照并保留记录可以看到网络内员工正在操作计算机的最新画面，可以查看到网内员工操作过的历史画面，并连续播放历史画面。方便管理者进行网络行为的巡视，发现违规行为，及时纠正。可以查看以前的屏幕记录，进行事后追查。（可选项功能）。聊天内容监控对msn、qq等聊天工具的聊天内容进行监控方便管理者对员工互联网聊天行为进行管理，避免员工上班时间过度聊与工作无关内容。（可选项功能）文档操作痕迹记录可以详细的记录每个员工在本机及网络上操作过的文件，包括访问、创建、复制、移动、改名、删除、恢复以及文档打印等记录。员工对电脑操作行为的痕迹得到监控，为泄密行为的事中发现，事后追查提供了帮助，弥补了电子文档安全管理中的最薄弱环节。报警规则可设置硬件或软件信息变化的报警规则，设置某个或某类文件的各种操作报警规则。对泄密者添加泄密设备（如：闪存、移动硬盘等）实现及时报警，对相应的文件或某个类型文件的操作实现及时报警，为安全事件发生后进行及时管理提供帮助。外来电脑接入管理通过设置禁止外来电脑访问内部局域网共享资源、内部重要的服务器。有效的防止外来计算机侵入单位内部就局域网，可根据需要灵活的设置外来计算机跟网内计算机的通讯方向。删除网络共享可以及时查看和删除网络内任意计算机的网络共享文件夹。员工往往因为工作需要设置共享文件夹，然而有时员工由于疏忽未能及时关闭共享，导致共享文件很容易被别有用心的员工或外来计算机窃取。锁定计算机可以锁定网络内任意计算机的键盘和鼠标操作。若发现网内计算机有非法操作，可以及时的采取行动，对非法行为进行及时控制，避免非法行为的继续，挽回损失。应用程序报告可分时间段查看某个员工打开某个应用程序的全部时间和活动的时间，以及所占的百分比。可以客观的评估员工使公司电脑的情况和效率，方便进行员工的行为管理评估。访问网站报告可时间段查看某个员工打开每个网站的全部时间和活动时间，以及所占的百分比。可以客观的评估出员工访问网站的情况和效率，查看员工的上网行为，方便进行员工的网络行为管理。二、网络维护类功能：资产管理可以自定义查看硬件或软件的资产分布情况，查看某个硬件或软件分布在哪些计算机，并统计出合计数量。管理者可以灵活查询的分类统计网内计算机的硬件和软件信息，为IT资产管理提供方便和决策支持。远程维护可以远程控制、登陆、注销、重启计算机，支持键盘输入和登录快捷键操作。方便IT管理者对网内计算机进行远程维护，同时支持异地远程维护，实现了跨区域分支机构的集中管理和控制。补丁、软件分发可以自动分发程序、修复程序和派发文件实现程序的自动化部署，比如：补丁程序、应用程序，大大提高程序部署的效率，提升IT部门的工作水平，让IT管理者不再为大量的机械性、重复性的程序安装工作而浪费精力！流量监控可以监控网络的流量，实现流量统计。管理者可以实施查看网络的带宽流量、在网络发病毒的时候可以将电脑断开隔离。事件日志详细记录网内计算机的操作窗口、报警记录、控制台发出的控制信息、浏览的网页、启动和关闭的应用程序、软件的添加与删除、系统的启动与关闭、应用程序的启动与关闭、硬件的添加与删除让IT管理者从多个角度来了解网络内每台计算机的全面的日志信息，为故障排除和网络管理提供有力支持。安全与管理系统对各单位而言，防火墙、VPN、杀毒软件等等有关网络安全的产品层层叠加，成本也在不断的叠加，缺乏统一管理的网络安全系统，似乎仍然抵挡不住各种安全隐患的发生，因此，基于“统一安全管理平台”的网络安全产品市场机遇孕育而生。建设一套统一管理平台，包含网络管理、安全管理和应用管理。随着各类安全软硬件设备的部署，增大了管理难度和工作强度，各类设备管理方法、管理界面不统一，增大了管理成本，降低了管理质量，也可能因顾此失彼产生隐患。采用统一的安全管理平台，将网络设备（路由器、交换机）、安全设备（防火墙、IPS、IDS）、服务器、应用层安全设备(带宽控制、服务器负载均衡)等进行有机的整合，加以统一管理监控。使管理员从单纯的设备管理中解脱出来，通过一个产品实现对全网运行情况的监控，实现了由技术管理到策略管理的提升。统一管理平台主要功能包括日志管理，为系统分析提供完整的支持数据。定期自动生成网络审计报告，方便管理员对专网控制区的安全状况实行定期审查，方便管理员对全网安全状况进行统一审查，帮助管理员全面了解网络应用模型和流量趋势，同时也可以检测出实施了某项安全策略之后，安全体系提升的情况，这种变化将有助于专网控制区管理员很好的了解网络安全状况。统一安全管理平台是对对IT资源的管理，除了传统的网络资源（路由、交换等网络设备）管理外，还能支持对计算资源（服务器、计算机等）、以及IP安全、无线、语音、存储、监控等所有资源的管理。此外，创新的融和了IT用户和业务的管理内容，使管理的范畴从IT资源本身延展到了IT资源的使用者和使用业务，使客户能在统一的操作门户下实现了三者的融合集中管理。在此基础上，统一管理平台以客户实际管理业务的需求为牵引，灵活的组配各个管理功能组件，形成了丰富的解决方案，从根本上解决了管理的复杂性问题，提升了IT为客户传递的价值。统一管理平台，提供统一接口和界面，为用户提供了实用、易用的网络管理功能，在网络资源的集中管理基础上，实现拓扑、故障、性能等管理功能，不仅提供功能，更通过流程向导的方式告诉用户如何使用功能满足业务需求，为用户提供了网络精细化管理最佳的工具软件，除了涵盖网络管理功能外，还是其他业务管理组件的承载平台，共同实现了管理的深入融合联动。信息安全技术网络基础安全技术要求引言本标准用以指导设计者如何设计和实现具有所需要的安全保护等级的网络系统，主要说明为实现GB7859—1999中每一个安全保护等级的安全要求，网络系统应采取的安全技术措施，以及各安全技术要求在不同安全保护等级中具体差异。网络是一个具有复杂结构、由许多网络设备组成的系统，不同的网络环境又会有不同的系统结构。然而，从网络系统所实现的功能来看，可以概括为“实现网上信息交换”。网上信息交换具体可以分解为信息的发送、信息的传输和信息的接收。从信息安全的角度，网络信息安全可以概括为“保障网上信息交换的安全”，具体表现为信息发送的安全、信息传输的安全和信息接收的安全，以及网上信息交换的抗抵赖等。网上信息交换是通过确定的网络协议实现的，不同的网络会有不同的协议。任何网络设备都是为实现确定的网络协议而设置的。典型的、具有代表性的网络协议是国际标准化组织的开放系统互连协议（ISO/OSI），也称七层协议。虽然很少有完全按照七层协议构建的网络系统，但是七层协议的理论价值和指导作用是任何网络协议所不可替代的。网络安全需要通过协议安全来实现。通过对七层协议每一层安全的描述，可以实现对网络安全的完整描述。网络协议的安全需要由组成网络系统的设备来保障。因此，对七层协议的安全要求自然包括对网络设备的安全要求。

信息安全是与信息系统所实现的功能密切相关的，网络安全也不例外。网络各层协议的安全与其在每一层所实现的功能密切相关。附录A．2关于网络各层协议主要功能的说明，对物理层、链路层、网络层、传输层、会话层、表示层、应用层等各层的功能进行了简要描述，是确定网络各层安全功能要求的主要依据。

本标准以GB/T20271-2006关于信息系统安全等级保护的通用技术要求为基础，围绕以访问控制为核心的思想进行编写，在对网络安全的组成与相互关系进行简要说明的基础上，第5章对网络安全功能基本技术分别进行了说明，第6章是对第5章网络安全功能的分级分层情况的描述。在此基础上，本标准的第7章对网络安全技术的分等级要求分别从安全功能技术要求和安全保证技术要求两方面进行了详细说明。在第7章的描述中除了引用以前各章的内容外，还引用了GB/T20271-2006中关于安全保证技术要求的内容。由于GB/T20271-2006的安全保证技术要求，对网络而言没有需要特别说明的内容，所以在网络基本技术及其分级分层的描述中没有涉及这方面的内容。

信息安全技术

网络基础安全技术要求

1范围本标准依据GB17859-1999的五个安全保护等级的划分，根据网络系统在信息系统中的作用，规定了各个安全等级的网络系统所需要的基础安全技术的要求。

本标准适用于按等级化的要求进行的网络系统的设计和实现，对按等级化要求进行的网络系统安全的测试和管理可参照使用。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注明日期的引用文件，其随后的所有修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。

GB17859-1999计算机信息系统安全保护等级划分准则GB/T20271-2006信息安全技术信息系统通用安全技术要求3术语、定义和缩略语3.1术语和定义GB17859—1999确立的以及下列术语和定义适用于本标准。

3.1.1

网络安全networksecurity

网络环境下存储、传输和处理的信息的保密性、完整性和可用性的表征。

3.1.2

网络安全基础技术basistechnologyofnetworksecurity实现各种类型的网络系统安全需要的所有基础性安全技术。

3.1.3

网络安全子系统securitysubsystemofnetwork

网络中安全保护装置的总称，包括硬件、固件、软件和负责执行安全策略的组合体。它建立了一个基本的网络安全保护环境，并提供安全网络所要求的附加用户服务。

注：按照GB17859-1999对TCB（可信计算基）的定义，SSON（网络安全子系统）就是网络的TCB。

3.1.4

SSON安全策略SS0Nsecuritypolicy对SS0N中的资源进行管理、保护和分配的一组规则。一个SSON中可以有一个或多个安全策略。

3.1.5

安全功能策略securityfunctionpolicy

为实现SSON安全要素要求的功能所采用的安全策略。

3.1.6

安全要素securityelement

本标准中各安全保护等级的安全技术要求所包含的安全内容的组成成份。

3.1.7

SSON安全功能SSONsecurityfunction

正确实施SSON安全策略的全部硬件、固件、软件所提供的功能。每一个安全策略的实现，组成一个SSON安全功能模块。一个SSON的所有安全功能模块共同组成该SSON的安全功能。

3.1.8

SSF控制范围SSFscopeofcontrol

SSON的操作所涉及的主体和客体的范围。3.2缩略语下列缩略语适用于本标准：

SFP安全功能策略securityfunctionpolicy

SSCSSF控制范围SSFscopeofcontrol

SSFSSON安全功能SSONsecurityfunction

SSPSSON安全策略SS0Nsecuritypolicy

SSON网络安全子系统securitysubsystemofnetwork4网络安全组成与相互关系根据OSI参考模型和GB17859-1999所规定的安全保护等级和安全要素，网络安全的组成与相互关系如表1所示。

对于网络系统的物理层、链路层、网络层、传输层、会话层、表示层和应用层，可分别按GB17859-1999的各个安全等级的要求进行设计。

在各协议层中，安全要素的实现方法可有所不同。本标准基于各项安全要素对各协议层在各个安全保护等级中应采用的安全技术和机制提出要求。5网络安全功能基本要求5.1身份鉴别5.1.1用户标识a)基本标识：应在SSF实施所要求的动作之前，先对提出该动作要求的用户进行标识。

b)唯一性标识：应确保所标识用户在信息系统生存周期内的唯一性，并将用户标识与安全审计相关联。

c)标识信息管理：应对用户标识信息进行管理、维护，确保其不被非授权地访问、修改或删除。5.1.2用户鉴别a)基本鉴别：应在SSF实施所要求的动作之前，先对提出该动作要求的用户成功地进行鉴别。

b)不可伪造鉴别：应检测并防止使用伪造或复制的鉴别数据。一方面，要求SSF应检测或防止由任何别的用户伪造的鉴别数据，另一方面，要求SSF应检测或防止当前用户从任何其它用户处复制的鉴别数据的使用；

c)一次性使用鉴别：应能提供一次性使用鉴别数据操作的鉴别机制，即SSF应防止与已标识过的鉴别机制有关的鉴别数据的重用；

d)多机制鉴别：应能提供不同的鉴别机制，用于鉴别特定事件的用户身份，并且SSF应根据所描述的多种鉴别机制如何提供鉴别的规则，来鉴别任何用户所声称的身份；

e)重新鉴别：应有能力规定需要重新鉴别用户的事件，即SSF应在需要重鉴别的条件表所指示的条件下，重新鉴别用户。例如，用户终端操作超时被断开后，重新连接时需要进行重鉴别。

5.1.3用户-主体绑定在SSON安全功能控制范围之内，对一个已标识和鉴别的用户，为了要求SSF完成某个任务，需要激活另一个主体（如进程），这时，要求通过用户-主体绑定将该用户与该主体相关联，从而将用户的身份与该用户的所有可审计行为相关联。5.1.4鉴别失败处理要求SSF为不成功的鉴别尝试次数（包括尝试数目和时间的阈值）定义一个值，以及明确规定达到该值时所应采取的动作。鉴别失败的处理应包括检测出现相关的不成功鉴别尝试的次数与所规定的数目相同的情况，并进行预先定义的处理。5.2自主访问控制5.2.1访问控制策略SSF应按确定的自主访问控制安全策略进行设计，实现对策略控制下的主体与客体间操作的控制。

可以有多个自主访问控制安全策略，但它们必须独立命名，且不能相互冲突。常用的自主访问控制策略包括：访问控制表访问控制、目录表访问控制、权能表访问控制等。5.2.2访问控制功能SSF应明确指出采用一条命名的访问控制策略所实现的特定功能，说明策略的使用和特征，以及该策略的控制范围。

无论采用何种自主访问控制策略，SSF应有能力提供：

——在安全属性或命名的安全属性组的客体上，执行访问控制SFP；

——在基于安全属性的允许主体对客体访问的规则的基础上，允许主体对客体的访问；

——在基于安全属性的拒绝主体对客体访问的规则的基础上，拒绝主体对客体的访问。5.2.3访问控制范围网络系统中自主访问控制的覆盖范围分为：a）子集访问控制：要求每个确定的自主访问控制，SSF应覆盖网络系统中所定义的主体、客体及其之间的操作；

b）完全访问控制：要求每个确定的自主访问控制，SSF应覆盖网络系统中所有的主体、客体及其之间的操作，即要求SSF应确保SSC内的任意一个主体和任意一个客体之间的所有操作将至少被一个确定的访问控制SFP覆盖。5.2.4访问控制粒度网络系统中自主访问控制的粒度分为：

a）粗粒度：主体为用户组/用户级，客体为文件、数据库表级；

b）中粒度：主体为用户级，客体为文件、数据库表级和/或记录、字段级；

c）细粒度：主体为用户级，客体为文件、数据库表级和/或记录、字段级或元素级。5.3标记5.3.1主体标记应为实施强制访问控制的主体指定敏感标记，这些敏感标记是实施强制访问控制的依据。如：等级分类和非等级类别组合的敏感标记是实施多级安全模型的基础。5.3.2客体标记应为实施强制访问控制的客体指定敏感标记，这些敏感标记是实施强制访问控制的依据。如：等级分类和非等级类别组合的敏感标记是实施多级安全模型的基础。5.3.3标记完整性敏感标记应能准确地表示特定主体或客体的访问控制属性，主体和客体应以此发生关联。当数据从SSON输出时，根据需要，敏感标记应能准确地和明确地表示输出数据的内部标记，并与输出的数据相关联。5.3.4有标记信息的输出SSON应对每个通信信道和I/O设备标明单级或多级。这个标志的任何变化都应由授权用户实现，并可由SSON审计。SSON应维持并且能够对安全保护等级的任何变化进行审定，或对与通信信道或I/O设备有关的安全保护等级进行安全审计。a)向多级安全设备的输出：当SSON将一客体信息输出到一个具有多级安全的I/O设备时，与该客体有关的敏感标记也应输出，并以与输出信息相同的形式(如机器可读或人可读形式)驻留在同一物理媒体上。当SSON在多级通信信道上输出或输入一客体信息时，该信道使用的协议应在敏感标记和被发送或被接收的有关信息之间提供明确的配对关系；

b)向单级安全设备的输出：单级I/O设备和单级通信信道不需要维持其处理信息的敏感标记，但SSON应包含一种机制，使SSON与一个授权用户能可靠地实现指定的安全级的信息通信。这种信息经由单级通信信道或I/O设备输入/输出；

c)人可读标记的输出：SSON应标记所有人可读的、编页的、具有人可读的敏感标记的硬拷贝输出(如行打印机输出)的开始和结束，以适当地表示输出敏感性。SSON应按默认值标记人可读的、编页的、具有人可读的敏感标记的硬拷贝输出(如行打印机输出)每页的顶部和底部，以适当地表示该输出总的敏感性，或表示该页信息的敏感性。SSON应该按默认值，并以一种适当方法标记具有人可读的敏感标记的其他形式的人可读的输出(如图形)，以适当地表示该输出的敏感性。这些标记默认值的任何滥用都应由SSON审计。5.4强制访问控制5.4.1访问控制策略网络强制访问控制策略应包括策略控制下的主体、客体，及由策略覆盖的被控制的主体与客体间的操作。可以有多个访问控制安全策略，但它们必须独立命名，且不能相互冲突。当前常见的强制访

问控制策略有：a)多级安全模型：基本思想是，在对主、客体进行标记的基础上，SSOIS控制范围内的所有主体对客体的直接或间接的访问应满足：——向下读原则：仅当主体标记中的等级分类高于或等于客体标记中的等级分类，且主体标记中的非等级类别包含了客体标记中的全部非等级类别，主体才能读该客体；——向上写原则：仅当主体标记中的等级分类低于或等于客体标记中的等级分类，且主体标记中的非等级类别包含于客体标记中的非等级类别，主体才能写该客体；b)基于角色的访问控制（BRAC）：基本思想是，按角色进行权限的分配和管理；通过对主体进行角色授予，使主体获得相应角色的权限；通过撤消主体的角色授予，取消主体所获得的相应角色权限。在基于角色的访问控制中，标记信息是对主体的授权信息；

c)特权用户管理：基本思想是，针对特权用户权限过于集中所带来的安全隐患，对特权用户按最小授权原则进行管理。实现特权用户的权限分离；仅授予特权用户为完成自身任务所需要的最小权限。

5.4.2访问控制功能SSF应明确指出采用一条命名的强制访问控制策略所实现的特定功能。SSF应有能力提供：

——在标记或命名的标记组的客体上，执行访问控制SFP；

——按受控主体和受控客体之间的允许访问规则，决定允许受控主体对受控客体执行受控操作；

——按受控主体和受控客体之间的拒绝访问规则，决定拒绝受控主体对受控客体执行受控操作。5.4.3访问控制范围网络强制访问控制的覆盖范围分为：a)子集访问控制：对每个确定的强制访问控制，SSF应覆盖信息系统中由安全功能所定义的主体、客体及其之间的操作；

b)完全访问控制：对每个确定的强制访问控制，SSF应覆盖信息系统中所有的主体、客体及其之间的操作，即要求SSF应确保SSC内的任意一个主体和任意一个客体之间的操作将至少被一个确定的访问控制SFP覆盖。5.4.4访问控制粒度网络强制访问控制的粒度分为：a）中粒度：主体为用户级，客体为文件、数据库表级和/或记录、字段级；

b）细粒度：主体为用户级，客体为文件、数据库表级和/或记录、字段级和/或元素级。5.4.5访问控制环境a)单一安全域环境：在单一安全域环境实施的强制访问控制应在该环境中维持统一的标记信息和访问规则。当被控客体输出到安全域以外时，应将其标记信息同时输出；

b)多安全域环境：在多安全域环境实施统一安全策略的强制访问控制时，应在这些安全域中维持统一的标记信息和访问规则。当被控制客体在这些安全域之间移动时，应将其标记信息一起移动。5.5数据流控制对网络中以数据流方式实现数据流动的情况，应采用数据流控制机制实现对数据流动的控制，以防止具有高等级安全的数据信息向低等级的区域流动。5.6安全审计5.6.1安全审计的响应安全审计SSF应按以下要求响应审计事件：a)记审计日志：当检测到可能有安全侵害事件时，将审计数据记入审计日志；

b)实时报警生成：当检测到可能有安全侵害事件时，生成实时报警信息；

c)违例进程终止：当检测到可能有安全侵害事件时，将违例进程终止；

d)服务取消：当检测到可能有安全侵害事件时，取消当前的服务；

e)用户账号断开与失效：当检测到可能有安全侵害事件时，将当前的用户账号断开，并使其失效。5.6.2安全审计数据产生SSF应按以下要求产生审计数据：a)为下述可审计事件产生审计记录：——审计功能的启动和关闭；

——使用身份鉴别机制；

——将客体引入用户地址空间（例如：打开文件、程序初始化）；

——删除客体；

——系统管理员、系统安全员、审计员和一般操作员所实施的操作；

——其他与系统安全有关的事件或专门定义的可审计事件；b)对于每一个事件，其审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功，及其他与审计相关的信息；

c)对于身份鉴别事件，审计记录应包含请求的来源（例如：终端标识符）；

d)对于客体被引入用户地址空间的事件及删除客体事件，审计记录应包含客体名及客体的安全保护等级；

e)将每个可审计事件与引起该事件的用户相关联。5.6.3安全审计分析安全审计分析应包括：a)潜在侵害分析：应能用一系列规则去监控审计事件，并根据这些规则指出SSP的潜在侵害。

这些规则包括：

——由已定义的可审计事件的子集所指示的潜在安全攻击的积累或组合；

——任何其他的规则；b)基于异常检测的描述：应维护用户所具有的质疑等级——历史使用情况，以表明该用户的现行活动与已建立的使用模式的一致性程度。当用户的质疑等级超过门限条件时，SSF应能指出将要发生对安全性的威胁；

c)简单攻击探测：应能检测到对SSF实施有重大威胁的签名事件的出现。为此，SSF应维护指出对SSF侵害的签名事件的内部表示，并将检测到的系统行为记录与签名事件进行比较，当发现两者匹配时，指出一个对SSF的攻击即将到来；

d)复杂攻击探测：在上述简单攻击探测的基础上，要求SSF应能检测到多步入侵情况，并能根据已知的事件序列模拟出完整的入侵情况，还应指出发现对SSF的潜在侵害的签名事件或事件序列的时间。5.6.4安全审计查阅安全审计查阅工具应具有：a)审计查阅：提供从审计记录中读取信息的能力，即要求SSF为授权用户提供获得和解释审计信息的能力。当用户是人时，必须以人类可懂的方式表示信息；当用户是外部IT实体时，必须以电子方式无歧义地表示审计信息；

b)有限审计查阅：在上述审计查阅的基础上，审计查阅工具应禁止具有读访问权限以外的用户读取审计信息；

c)可选审计查阅：在上述有限审计查阅的基础上，审计查阅工具应具有根据准则来选择要查阅的审计数据的功能，并根据某种逻辑关系的标准提供对审计数据进行搜索、分类、排序的能

力。5.6.5安全审计事件选择应根据以下属性选择可审计事件：a)客体身份、用户身份、主体身份、主机身份、事件类型；

b)作为审计选择性依据的附加属性。5.6.6安全审计事件存储应具有以下创建并维护安全的审计踪迹记录的能力：a)受保护的审计踪迹存储：要求审计踪迹的存储受到应有的保护，能检测或防止对审计记录的修改；

b)审计数据的可用性确保：要求在意外情况出现时，能检测或防止对审计记录的修改，以及在发生审计存储已满、存储失败或存储受到攻击时，确保审计记录不被破坏；

c)审计数据可能丢失情况下的措施：要求当审计跟踪超过预定的门限时，应采取相应的措施，进行审计数据可能丢失情况的处理；

d)防止审计数据丢失：要求在审计踪迹存储记满时，应采取相应的防止审计数据丢失的措施，可选择“忽略可审计事件”、“阻止除具有特殊权限外的其他用户产生可审计事件”、“覆盖已存储的最老的审计记录”和“一旦审计存储失败所采取的其它行动”等措施，防止审计数据丢失。

5.7用户数据完整性5.7.1存储数据的完整性应对存储在SSC内的用户数据进行完整性保护，包括：a)完整性检测：要求SSF应对基于用户属性的所有客体，对存储在SSC内的用户数据进行完整性检测；

b)完整性检测和恢复：要求SSF应对基于用户属性的所有客体，对存储在SSC内的用户数据进

行完整性检测,并且当检测到完整性错误时，SSF应采取必要的SSF应采取必要的恢复、审计或报警措施。

5.7.2传输数据的完整性当用户数据在SSF和其它可信IT系统间传输时应提供完整性保护，包括：a)完整性检测：要求对被传输的用户数据进行检测，及时发现以某种方式传送或接收的用户数据被篡改、删除、插入等情况发生；

b)数据交换恢复：由接收者SSON借助于源可信IT系统提供的信息，或由接收者SSON自己无须来自源可信IT系统的任何帮助，能恢复被破坏的数据为原始的用户数据。若没有可恢复条件，应向源可信IT系统提供反馈信息。5.7.3处理数据的完整性回退：对信息系统中处理中的数据，应通过“回退”进行完整性保护，即要求SSF应执行访问控制SFP，以允许对所定义的操作序列进行回退。5.8用户数据保密性5.8.1存储数据的保密性应对存储在SSC内的用户数据进行保密性保护。5.8.2传输数据的保密性应对在SSC内传输的用户数据进行保密性保护。5.8.3客体安全重用在对资源进行动态管理的系统中，客体资源（寄存器、内存、磁盘等记录介质）中的剩余信息不应引起信息的泄露。客体安全重用分为：a)子集信息保护：要求对SSON安全控制范围之内的某个子集的客体资源，在将其分配给某一用户或代表该用户运行的进程时，应不会泄露该客体中的原有信息；

b)完全信息保护：要求对SSON安全控制范围之内的所有客体资源，在将其分配给某一用户或代表该用户运行的进程时，应不会泄露该客体中的原有信息；

c)特殊信息保护：对于某些需要特别保护的信息，应采用专门的方法对客体资源中的残留信息做彻底清除，如对剩磁的清除等。5.9可信路径用户与SSF间的可信路径应：a)提供真实的端点标识，并保护通信数据免遭修改和泄露；

b)利用可信路径的通信可以由SSF自身、本地用户或远程用户发起；

c)对原发用户的鉴别或需要可信路径的其它服务均使用可信路径。5.10抗抵赖5.10.1抗原发抵赖应确保信息的发送者不能否认曾经发送过该信息。这就要求SSF提供一种方法，来确保接收信息的主体在数据交换期间能获得证明信息原发的证据，而且该证据可由该主体或第三方主体验证。

抗原发抵赖分为：

a)选择性原发证明：要求SSF具有为主体提供请求原发证据信息的能力。即SSF在接到原发者或接收者的请求时，能就传输的信息产生原发证据，证明该信息的发送由该原发者所为；

b)强制性原发证明：要求SSF在任何时候都能对传输的信息产生原发证据。即SSF在任何时候都能就传输的信息强制产生原发证据，证明该信息的发送由该原发者所为。

5.10.2抗接收抵赖应确保信息的接收者不能否认接受过该信息。这就要求SSF提供一种方法，来确保发送信息的主体在数据交换期间能获得证明该信息被接收的证据，而且该证据可由该主体或第三方主体验证。

抗接收抵赖分为：a)选择性接收证明：要求SSF具有为主体提供请求信息接收证据的能力。即SSF在接到原发者或接收者的请求时，能就接收到的信息产生接收证据，证明该信息的接收由该接收者所为；

b)强制性接收证明：要求SSF总是对收到的信息产生接收证据。即SSF能在任何时候对收到的信息强制产生接收证据，证明该信息的接收由该接收者所为。

5.11网络安全监控网络安全监控应采用以下安全技术和机制：a)网络安全探测机制：在组成网络系统的各个重要部位，设置探测器，实时监听网络数据流，监视和记录内、外部用户出入网络的相关操作，在发现违规模式和未授权访问时，报告网络安全监控中心；

b)网络安全监控中心：设置安全监控中心，对收到的来自探测器的信息，根据安全策略进行分析，并作审计、报告、事件记录和报警等处理。网络安全监控中心应具有必要的远程管理功能，如对探测器实现远程参数设置、远程数据下载、远程启动等操作。网络安全监控中心还应具有实时响应功能，包括攻击分析和响应、误操作分析和响应、漏洞分析和响应等。6网络安全功能分层分级要求6.1身份鉴别功能应按照用户标识和用户鉴别的要求进行身份鉴别安全机制的设计。一般以用户名和用户标识符来标识一个用户，应确保在一个信息系统中用户名和用户标识符的唯一性，严格的唯一性应维持在网络系统的整个生存周期都有效，即使一个用户的账户已被删除，他的用户名和标识符也不能再使用，并由此确保用户的唯一性和可区别性。鉴别应确保用户的真实性。可以用口令进行鉴别，更严格的身份鉴别可采用智能IC卡密码技术，指纹、虹膜等特征信息进行身份鉴别，并在每次用户登录系统之前进行鉴别。口令应是不可见的，并在存储和传输时进行保护。智能IC卡身份鉴别应以密码技术为基础，并按用户鉴别中不可伪造鉴别所描述的要求进行设计。对于鉴别失败的情况，要求按鉴别失败所描述的要求进行处理。用户在系统中的行为一般由进程代为执行，要求按用户-主体绑定所描述的要求，将用户与代表该用户行为的进程相关联。这种关联应体现在SSON安全功能控制范围之内各主、客体之间的相互关系上。比如，一个用户通过键入一条命令要求访问一个指定文件，信息系统运行某一进程实现这一功能。这时，该进程应与该用户相关联，于是该进程的行为即可看作该用户的行为。

身份鉴别应区分实体鉴别和数据起源鉴别：当身份是由参与通信连接或会话的远程实体提交时叫实体鉴别，它可以作为访问控制服务的一种必要支持；当身份信息是由数据项发送者提交时叫数据起源鉴别，它是确保部分完整性目标的直接方法，确保知道某个数据项的真正起源。表2给出了从用户自主保护级到访问验证保护级对身份鉴别功能的分层分级要求。6.2自主访问控制功能应按照对访问控制策略的要求，选择所需的访问控制策略，并按照对访问控制功能的要求，设计和实现所需要的自主访问控制功能。当使用文件、目录和网络设备时，网络管理员应给文件、目录等指定访问属性。访问控制规则应将给定的属性与网络服务器的文件、目录和网络设备相联系。网络上的资源都应预先标出一组安全属性。用户对网络资源的访问权限对应一张访问控制表，用以表明用户对网络资源的访问能力。自主访问控制应能控制以下权限：a)向某个文件写数据、拷贝文件、删除目录或文件、查看目录和文件、执行文件、隐含文件、共享、系统属性等；

b)为每个命名客体指定用户名和用户组，以及规定他们对客体的访问模式。

表3给出了从用户自主保护级到访问验证保护级对自主访问控制功能的分层分级要求。6.3标记功能应按照主体标记和客体标记所描述的要求进行标记设计。

在网络环境中，带有特定标记的数据应能被安全策略禁止通过某些子网、链路或中继。连接的发起者(或无连接数据单元的发送者)可以指定路由选择说明，请求回避某些特定的子网、链路或中继。包含数据项的资源应具有与这些数据相关联的敏感标记。敏感标记可能是与被传送的数据相连的附加数据，也可能是隐含的信息，例如使用一个特定密钥加密数据所隐含的信息或由该数据的上下文所隐含的信息，可由数据源或路由来隐含。明显的敏感标记必须是清晰可辨认的，以便对它们作适当的验证。此外，它们还必须安全可靠地依附于与之关联的数据。

对于在通信期间要移动的数据项，发起通信的进程与实体，响应通信的进程与实体，在通信时被用到的信道和其他资源等，都可以用各自的敏感信息来标记。安全策略应指明如何使用敏感信息以提供必要的安全性。当安全策略是基于用户身份时，不论直接或通过进程访问数据，敏感标记均应包含有关用户身份的信息。用于特定标记的那些规则应该表示在安全管理信息库中的一个安全策略中，如果需要，还应与端系统协商。标记可以附带敏感信息，指明其敏感性，说明处理与分布上的隐蔽处，强制定时与定位，以及指明对该端系统特有的要求。

采用的安全策略决定了标记所携带的敏感信息及其含义，不同的网络会有差异。

表4给出了从安全标记保护级到访问验证保护级对标记功能的分层分级要求。6.4强制访问控制功能应按照强制访问控制功能的要求，选择所需的访问控制策略，设计和实现所需要的强制访问控制功能。强制访问控制应由专门设置的系统安全员统一管理系统中与该访问控制有关的事件和信息。为了防止由于系统管理人员或特权用户的权限过于集中所带来的安全隐患，应将系统的常规管理、与安全有关的管理以及审计管理，由系统管理员、系统安全员和系统审计员分别承担，并在三者之间形成相互制约的关系。

采用多级安全模型的强制访问控制应将SSON安全控制范围内的所有主、客体成分通过