内网安全管理系统解决方案_第1页
内网安全管理系统解决方案_第2页
内网安全管理系统解决方案_第3页
内网安全管理系统解决方案_第4页
内网安全管理系统解决方案_第5页
已阅读5页,还剩12页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

内网安全治理系统解决方案1、计算机终端安全治理需求分析11、1、网络治理21、1、1、物理网络拓扑图21、1、2、流量把握21、1、3、IP地址治理31、1、4、故障定位31、2、终端安全防护31、2、1、补丁安装防护31、2、2、防病毒防护41、2、3、进程防护41、2、4、网页过滤41、2、5、非法外联防护51、3、终端涉密信息防护51、3、1、终端登录安全认证61、3、2、I/O接口治理61、3、3、桌面文件安全治理61、3、4、文件安全共享治理71、3、5、网络外联把握71、4、移动存储介质的治理71、5、网络接入把握81、6、计算机终端治理与维护91、7、分级分权治理92102、1102、2112、3122、3、1122、3、1、1132、3、1、2132、3、1、3、IP132、3、1、4142、3、2142、3、2、1、补丁治理142、3、2、2142、3、2、3152、3、2、4152、3、2、5152、3、3152、3、4162、3、4、1182、3、4、2182、3、4、3192、3、4、4192、3、4、5192、3、5202、3、5、1202、3、5、2202、3、5、3212、3、6222、3、6、1222、3、6、2232、3、6、3232、3、6、4233323、1、LanSecS323、1、1323、1、2323、1、3323、1、4343、1、5344364、1、LanSecS系统特色364、2、LanSecS典型部署384、2、1384、2、2384、2、3395391、计算机终端安全治理需求分析随着科技的进展,计算机和网络作为现代企业重要的工具,在日常办公过程中发挥着越来越重要的角色。计算机和计算机网络计算机网络和其所带来的信息数字化大幅度供给了工作效率,也使得海量的信息存储和处理成为了现实。但是,在享受到计算机以及计算机网络所带来的便利性的同时,也消灭了目前受到广泛关注的对内网设备如何进展有效治理的问题,以及由此带来的网络信息安全问题。目前随着制造业单位规模不断增大,IT硬件本钱降低、来的内网治理问题却越来越重了。首先是网络的管理,IP混乱、网络拥塞、消灭故保证设备硬件所承载的系统能够正常运行;另一方面对于单位内部的设计部门,由于数字信息本身具有易于复制的特性,利用这个特性,信息更易于受到难以把握和确保企业内部数字信息的安全性已经关系到了计算机和计算机网络能否真正成为有实质意义大规模应用的关键因素。如何提髙安全性保证机器的正常办公、如何将非些都是制造业目前在进展网络化过程中必需解决的问题。目前各行业内部网络所实行的安全措施根本上是承受防火墙、入侵检测等安全产品放置于内部网络和外网连接处保证网络层的安全,并承受操作系统或应用系统所带的身份验证机制,或通过安装物理隔离卡将内部局域网划分成内网与外网两个组成局部。内部网络上大多数事件,将产生严峻后果。这些都使得内网安全问题变得越来越重要和突出。而内网安全存在很多问题,为了防范各种各样的安全风险,必需在内网建立牢靠的网络治理IT系统的平稳运行,一个强健的内网安全治理体系是分重要的。作为制造业的计算机终端安全治理方案而言,需要解决如下问题:1、1、网络治理在制造业的网络环境中,由于单位规模、单位办公的需要,存在很多的工作区域,甚至在外地也有自己的办事处和生产车间,为了便于企业内部的了极大的困难,设备的分布不明确;流量治理没有依据;对于静态IP地址环境地址1、1、1、物理网络拓扑图单位的内部网络是由网络设备共同作用,协同工作建立起来的,主要设备有:路由器、交换机、HUB,而在局域网中对数据交互起核心作用的是交换机。目前的网管软件可以对规律拓扑图进展绘制,对交换机的面板信息进展提取和把握,但是无法看到终端设备和交换机端口的物理连接关系,无法从拓扑图上看到下连设备的信息。如何建立起交换机端口和设备的连接关系是至关重要的,由于端口的流量信息其实就是设备的流量信息;想要掌控设备,只要对交换机端口进展把握就可以了。因此物理拓扑图显示设备与端口的物理连接关系会给治理带来极大的便利。1、1、2、流量把握借助物理网络拓扑图上设备的物理连接关系,通过可网管交换机端口的流量把握,能够对交换机下连的设备进展端口把握,关闭端口或是翻开端口。但是内部网络环境中不行能全部的交换机全部都是可网管的,而且治理员实行如此格外手段。因此对于日常的把握来说,最有效的方法是通过把握每个终端设备的网卡流量,假设能将设备的流量把握在确定的范围内,既保证了设备的正常P2P下载软件抢占带宽和病毒爆发时给网络速度带来的拥塞,这对于治理来说才是有用的治理手段。1、1、3IP地址治理为了便于治理,消灭问题能够准时追查,网络建设时管理员通常使用静态IP地址,这对于治理来说确实是一个有效可行的措施。但是由于员工的计算机操作水平不同,很可能造成任凭修改IP地址带来的内网地址冲突,这给内网治理带来很繁琐的问题。虽然通过在核心或二层交换机上,可以通过命令来绑定IP/MAC地址从而消退上述问题,但是工作量浩大,因此彻底屏蔽IP地址冲突的问題是网络治理必需要做的。1、1、4、故障定位很多制造业内部网络浩大,分支繁多,一旦终端机器或网做了详尽的网络链路备份信息表〔每次增加机器都需要逐台进展记录〕,否则从众多网络排线中找出问题链路将是一件分费时、费力的事情。12保证机器的正常运行包括以下几个方面:1、2、190%以上的端终用户使用的都是windows2023,XP或以上的操作系统,但是这几种操作系统的安全漏洞格外多,很简洁收到攻击。微软公司会通过定期公布安全补丁的方式来弥补这些漏洞,但由于某些员工用户缺乏相关学问,或者处于研发部门的设计网是和终端计算机的安全,一旦发生针对微软操作系统漏洞的攻击,就会导致整个网络受到威逼。1、2、2、防病毒防护员工由于防范病毒意识较淡薄,没有安装防病毒软件;或者由于个人对防病毒品牌的倾向性,从而发生没有安装防病毒软件,甚至意外卸载,或防病毒软件没有运行,这样不仅使单台PC要保证防病毒软件的安装、正常运行、准时升级。1、2、3、进程防护由于当前大量病毒以及恶意程序的存在,而这些程序对于一般用户而言并不知情,甚至有些恶意程序通过技术手段使得用户无法通过任务治理器看到其工作进程;另一方面,有些用户可能有意或无意地运行一些可能会影响〔如网络嗅探器充分利用上班时间为单位制造更多效益,但是某些消遣性软件严峻影响了员工的工我们的工作效率。1、2、4、网页过滤某些员工访问Internet意网站,造成机器受到攻击,从而产生病毒感染、机器不能正常使用,注册表被修泄密。因此必需对内网机器的网络访问进展必要的过滤。1、2、5、非法外联防护单位内部的局域网会在网络的出口上,增加相关的安IDS、IPS保证内网的安装。但是员工由于奇异,或者厌烦上网出口的种种限制,通过Modem或ADSL拨号方式访问Internet,极易受到外部网络的攻击;当该机器一旦受到攻击,回到内网后很简洁将相关病毒、木马向内网传播。1、3、终端涉密信息防护在现代生活中,信息就是财宝。无论是国家、政府、企业和个人都不期望机密信息被别人窃取,造成各种经济和社会损失。对制造业单泄漏风险。信息外泄的途径包括:1本地打印机、网络打印机的非法输出涉密文件;1终端计算机非法拨号、非法外联访问;1离线存储设备存储涉密文件遗失;1内部生疏而泄密。从泄密行为的区分上,分为两种泄密:被动泄密和主动泄密。被动泄密:由于员工的电子信息保密的意识还不强,常常由于专业学问不生疏或者工作疏忽而造成泄密。如有些人由于不知道计算机的电磁波辐射会泄露隐秘信息,计算机工作时未实行任何措施,因而给他人供给窃密的时机;有些人由于不知道计算机软息暴廳在界面上;有些人对自己使用的计算机终端缺乏防护意识,如没有准时升级动泄密:这种状况是由于内部员工出于个人利益或者发泄不满心情,有意识的收集,通过计算机查询有关案情,就可以向有关人员泄靂案情。计算机操作人员被收前,对涉密信息的防护需求主要包括如下几个方面:1、3、1、终端登录安全认证终端用户当前通过用户名/口令方式进展计算机本地/域登录,然而用户名/1111端安全治理的第一步,首先需要解决终端登录安全认证的问题。1、3、2、I/O接口治理随着计算机外设的增多,各种各样的输出设备〔软驱、刻录机、打印机、绘图仪、移动存储设备、红外、蓝牙、无线网络设备〕和传输供给极大便利的同时,也为机密信息的集中和泄露带来了可能。尤其是USBU盘,USB打印机等连接分便利,并能轻而易举地通过USB设备将外部数据导入或者内部数据导出,为重要数据的保护带来了巨大的安全隐患。1、3、3、桌面文件安全治理作为数据最终处理的计算机终端,存储着大量的业务数据。由于Windows操作系统默认将数据以明文方式存储于磁盘上,因此一旦其他未被授权用户能够进入操作系统,都能格外便利地实现对磁盘数据的访问和阅虑的问题。1、3、4Windows操作系统,而该操作系统安装后即开放了局部共享名目,同时由于很多用户并未承受安全的访问因此严格把握终端的文件共享,尤其是涉密终端的文件共享,也是桌面系统安全治理善的共享授权以及具体的访问日志信息。1、3、5、网络外联把握涉密內网虽然不与互联网直接连接,但是內部人员可能会出于各种缘由通过Modem拨号、ADSL上网、无线上网等技术手段将个人终端计算机接入互联网。这种行为带来的危害不仅包括内部员工通过主动的邮件发送、即时通讯等手段将机密信息发送到内网之外,也为内网增加了来自互联网上的攻击和破坏的风险,从而导致由互联网入侵或者木马程序等方式造成内网机密信息的被1、4、移动存储介质的治理移动存储介质已经得到普及应用,移动存储介质使用灵敏、便利,使它在各个单位的信息化过程中快速得到普及,越来越多的敏感信息、隐秘数据和档案资料被存贮在移动存储介质里,大量的隐秘文件和资料变为磁资源带来相当大的安全隐患。存储介质作为企业核心商业机密和敏感信息的载体,实现对它们安全、有效的治理是保证企业信息安全的重要手段。移动存储介质使用过程中常见的风险包括:1)U盘或其他移动存储介质中;2)企业外部移动存储介质未经授权在内部使用;3)企业内部移动存储介质及信息资源被带出,在外部非授权使用;4)使用过程的疏忽;5)存贮在媒体中的隐秘信息在联网交换时被泄露或被窃取,存贮在媒体中的秘密信息在进展人工交换时泄密;6)处理废旧移动存储介质时,由于磁盘经消磁余次后,仍有方法恢复原来记录的信息,存有隐秘信息的磁盘很可能被利用磁盘剩磁提取原记录的信息一这很容易发生在对磁盘的报废时,或存贮过祕密信息的磁盘,用户认为已经去除了信息,而给其他人使用;7)移动存储介质发生故障时,存有隐秘信息的介质不经处理或无人监视就带出修理,或修理时没有懂技术的人员在场监替,而造成泄密;8)媒体介质不标密级,不按有关规定治理隐秘信息的媒体,简洁造成泄密;9)移动存储设备在更换代时没有进展技术处理;10)媒体失窃,存有隐秘信息的磁盘等媒体被盗,就会造成大量的国家或企业秘密储介质的治理对制造业来说,是一个必需关注的问题。1、5、网络接入把握假设不对接入网络的计算机设备进展认证,则每一台外来的计算机设备只要通过涉密网内的任何一个端口连接,则整个网络都将向其开放,这明显对于内部网络安全而言是巨大的安全隐患。因此,需要对计算机终端的接入进展有效的监视和把握。通过提取接入计算机的物理特征,可以推断该计算机是否为需要实行必要的方式进展阻断和隔离定位和自动阻断该计算机的破坏行为。往往需要花费很长的时间才能推断和定位该计算机,然后再通过手动的方式断网。对安全强度差的终端计算机缺乏有效的安全状态检测和内网接入把握,也是内网治理人员比较头疼的问题之一。要想对此类计算机进展接入的把握,首先应当对计算机的安全状态能够实时把握,例如病毒库的升级状况和操作系统补丁的修补状况等。只有把握了计算机的安全状态,才能依据16对计算机配置的变化也无法准时跟踪。例如,要准确把握每台计算机的软硬件配置信息,通过手工方式将是格外耗时和繁琐的工作。要想实时并准确地把握内网终端计算机的配置状况与配置变更状况,必需通过技术手段和工具来辅助实现,才能有人员也无法实时把握每台终端计算机的运行状态。当终端计算机消灭故障需要维护对终端计算机进展远程维护,是制造业单位网络治理人员迫切需要解决的问题。1、7、分级分权治理内网安全治理系统作为一个计算机终端防护、检测、维护度。由于一个治理员不行能了解全部计算机终端用户的计算机使用细节,所以对治理来讲,必需承受分权治理的思想。所谓分权治理,包括两层含义。1是把所治理的计己范围内的计算机、包括策略的设置和审计的查看等。1是把系统策略的配置进展划理可以保证策略的配置不会违反单位的保密规定。例如,某治理员可以配置补丁分发的策略,而另一个治理员则可以配置安全审计的策略。对于规模巨大的制造业单位,往往都在治理层次上划分为多个垂直单位,如集团、所、部门等。考虑到制造业单位对治理上的需求往往期望能够由上级部门直接设定下级部门的安全策略和查看对下级直接进展治理,治理上的把握力度可以由上级机构自主设定。例如可能上级机构期望取消下级机构的所有治理权限,或者期望为下级机构安排确定范围的治理11审查下级机构的策略执行状况以及违规大事等。2、计算机终端安全防护解决方案2、1、方案目标本方案的目标是为延边天池工贸供给一套计算机终端安全治理解决方案。为机密信息的防护和计算机终端的运行维护供给有效的工具和手安全治理、终端涉密信息防护、网络接入/外联治理、移动存储介质的治理、审计和计算机的日常运行维护。2、2、遵循标准本设计方案的主要依据是国家文件《涉及国家隐秘的信息系统分级保护技术要求》〔BMB17-xx〕,同时,还参考了以下标准和法规、文件:1国家标准GB/T2887-2023《电子计算机场地通用标准》;1国家标准GB9254-1998《信息技术设备的无线电骚扰限值和测量方法》;1国家标准GB9361-1998《计算站场地安全要求》;1国家标准GB/T9387、2-1995信息处理系统开放系统互连根本参考模型2局部:安全体系构造〔idtIS07498-21989〕;1国家标准GB17859-19991国家标准GB/T18336-2023〔idtIS0/IEC1540&1999〕;1国家标准GB50174-1993《电子计算机机房设计标准》;1国家军用标准GJB3433-1998国家公共安全和保密标准GGBB1-1999设备电磁泄漏放射限值》;1BMB2-1998《使用现场的信息设备电磁泄漏放射检查测试方法和安全判据》;1BMB3-1999《处理涉密信息的电磁屏蔽室的技术要求和测试方法》国家保密标准BMB4-2023《电磁干扰器技术要求和测试方法》;1BMB5-2023《涉密信息设备使用现场的电磁泄1国家保密指南BMZ1-20231国家保密指南BMZ2-2023国家保密指南BM23-2023《涉及国家隐秘的计算机信息系统安全保密测评指南》;1《国家信息化领导小组关于加强信息安全保障工作的意见》办公厅国务院办公厅中办发[2023127号;1国家文件《计算机信息系统〔国保发[1998]1号〕;1中心保密委员会办公室、国家文〔中保办发[1998]6号〕;1中共中心办公厅国务院办公厅关于转发《保密委员会办公室、国家关于国家隐秘载体保密治理的规定》的通知〔厅字[2023]58号〕;1《关于加强信息安全保障工作中保密治理的假设干意见》保密委员会中保委发[2023]7号;1《涉及国家隐秘德信息系统分级保护治理方法》国家国保发[xx]16号;1《信息安全等级保护治理方法〔试行〕》公安部国家保密局国家密码治理局国务院信息化工作办公室公通字[xx]7号。2、3建设已经从最初的网络安全焦点互联网边界防护向单位的内网转移,因此我们必需强延边天池工贸的内网安全防护,防止设计部门机密数据的泄漏,加强内网的强健性,同时依据延边天池工贸提出的一些的方案功能需求,我们提出如下内网安全治理解决方案。2、3、1、网络治理网络治理是建立在内网中支持SNMP协议的可网管交换机,自动进展拓扑图的学习,从而生成物理网络拓扑图。在此根底上实现对交换机流量的把握、设备故障定位,结合客户端把握软件的IP地址治理功能、网卡流量控制功能,全面实现对内网从网络设备到终端机器的把握。既保证了网络的正常运行,又可以在消灭问题时能够尽快解决。2、3、1、1、物理网络拓扑图在支持公有SNMP协议的交换机上,能够自动觉察网络内〔包括三层和二层设备局拓扑图。链路拓扑图只显示交换机之间的端口连接关系;全局拓扑图显示全部的合法接入设备进展实时更。在拓扑图上可以便利地查看可治理设备的配置信息,System、Interface、IPAddressx

Routing、ARPMACAddress.Flow等。物理网络拓扑图便于治理员把握内部网络的分布状况,机器连接链路的变化状况,使整个网络了然于胸。2、3、1、2、流量把握流量把握包括两个方面,既可以通过把握交换机的端口,使用端口的翻开和闭合功能实现对下连设备的链路流量的开启和关闭,也可以通过客户端程序对每个终端机器的网卡流量进展设置,对于超过指定阀值的设备进展受控端在指定的流量范围内进展网络连通。既保证了其正常工作,又不会影响网络带宽。2、3、1、3、IP地址绑定通过使IP地址和每台机器的ID号相对应,以一一对应的关系为依据,从而保证每个IP有一个唯一的标识与之对应。当客户端程序检测到IP地址进展修改时,IP地址会自动恢复到此前已经绑定了的IP值,保证IP地址不会被任凭修改。杜绝了单位内部的IP地址冲突问题。2、3、1、4以得到设备和交换机的物理连接链路。一旦设备或链路消灭故障,可以通过直观的员准时把握内网链路流量状况。2、3、2、终端安全把握通过对补丁分发、防病毒把握、进程监控、网页过滤控制,来尽最大程度保证内网机器的安全性和强健性,避开由于自身安全性不完善而造成的系统崩溃,抵抗的一切外部攻击。2、3、2、1大大削减了操作系统和应用软件漏洞被利用所造成的安全隐患和经济损失。同时,治理人员还可以实时统计当前各终端计算机的补丁缺失状况、补丁安装状况以及补丁安装的进度等,得到全网的终端计算机补丁安装快照。便利了对补丁分发过程的监控。2、3、2、2装了防病毒软件、防病毒软件运行是否正常以及病毒库是否保持最等状况。假设测系统还可阻断终端计算机的内网接入和内网访问,确保易被感染的终端计算机无法使用内网。未安装防病毒软件的计算机进展网络访问把握和隔离,使其形成内网中的“孤岛”。避开该终端计算机对内网其它主机造成安全威逼。2、3、2、3有一个处于工作状态。被列入黑名单的进程是无法在系统中运行的;而列入白名单复连接。2、3、2、5、非法外联把握通过禁用设备的Modem.ADSL拨号、双网卡、代保证仅允许工作于内网的设备的纯粹性、安全性、机密性。而且一旦产生相关的大事,会产生相关的预警信息,准时同时治理员。2、3、3、终端安全审计终端计算机的防泄密解决措施对计算机终端进展安全审计,如网络接入、网络外联、文件操作、共享访问、设备使用、进程活动等,通过安全审计可以实时把握用户的计算机使用行为。这类措施主要是应对恶意用户的主动泄密行为。这类措施主要是应对合法用户由于疏忽导致的被动泄密行为。计算机保密规定的行为发生,治理员能够快速得到报警信息。对受控终端进展审计是通过规章进展的。审计规章设置的是对效劳器规章把握下的行为的记录和统计。在效劳器设置相应的审计规章后,假设客户端所在的设备有符合规章的行为发生,则在效劳问等大事的规章。系统依据规章自动记录安全审计日志并存入系统日志信息库,这涉密审计:涉密文件被操作使用、存储和传输审计功能;入网审计:非法设备〔CPU报警信息;系统审计:自动记录受控终端操作系统配置的用户、工作组、规律驱动器,当其发生变化时,自动向安全治理核心系统发出报警信息;加载效劳审计:对受控终端安装的系统效劳进展审计,自动记录系统效劳的启动和停顿;安装和卸载审计,记录用户对规章指定文件进展的各种操作;网络访问审计:对网络访问进展审状况进展审计;移动存储设备审计:对受控终端的可移动存储设备的使用状况进展审计;非法外联审计:对拨号、无线网卡、手机红外等访问状况进展审计。进程审计:通过对终端计算机运行的进程进展审计,可以觉察用户正在运行的频播放器、MP3播放器等。限制用户利用计算机进展与工作无关的操作。2、3、4、移动存储介质治理可信移动介质解决方案,主要是实现如下目标:1)2)数据USBKEY等授权硬件的身份认证;3)记录数据交换过程的工作日志,便于以后进展跟踪审计;4)未经授权的移动介质,在工作环境中不行用,只有经过企业授权的移动介质才能进入到企业的办公环境;5)工作配发的移动介质带出办公环境后变为不行用。为满足以上要求,公司在原有产品内容安全监控系统的根底上,通过扩展,增加了可信移动介质治理子系统,该系统综合利用信息保密、访问把握、审计等技术手段,对企业移动存储设备实施安全保护的软件系统,使企业信息资产、涉密信息不能被移动存储设备非法流失,用技术的手段,实现移动存储设备信息安全的“五不”原则,即:””进不来、拿不走、读不懂、改不了、走不脱”。单位内部的存储介质拿出去使不了;””读不懂”是指只有授权的人才能解密阅读,任何

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论