XXXX内网安全解决方案研究.pdfVIP

XXX X内网安全解决方案 北京圣博润高新技术有限公司 1 方案概况 1．1概述 xXxx作为xXXX项目研制和生产的军工企业，系统建设必须符合国家相关保密要求。本项目的目的 是解决XXXX的网络及个人计算机管理，包括内网客户端主机监控、非授权外联监控、内网主机日志审计 等，系统范围覆盖院本部及京内外下属研究所和工厂。 xXXx所从事的工作涉及到国计民生和国防安全，因此在防止信息泄密方面更应重视，防止机密信息 失去控制，以至泄密造成重大事故。 北京圣博润高新技术有限公司作为专业的内网安全公司，具有多年的网络安全建设和安全服务经 验，尤其在军工行业有着众多的成功案例。我们以自身的成功经验为XxXX提出安全建设方案，以供 参考。 1．2需求分析 (1)客户需求。XXXX大型机构在网络化过程中面临的安全问题可包括网络系统安全和数据安全。针 对网络系统安全方面，机构需要防止网络系统遭到没有授权访问及非法入侵；在数据安全方面机构则需要 防止机要、敏感数据被窃取或非法复制、使用等。各类计算机病毒、系统陷阱(Trapdoors)、隐蔽访问通道、 黑客攻击等造成敏感数据泄密、web站点瘫痪等问题，都是机构实现网络化面临的外部威胁，如何搭建安 全的网络架构、如何将非法入侵者拒之门外、如何防止内部信息外泄，这些都是企业／机构在进行网络化 过程中必须解决的问题。 (2)需求分析。XXXX单位的内部网络安全本质上是一种安全管理的需求，目的是使xxxx的各项生 产任务在信息化工作模式下能够安全地进行，管理是主要方式。信息化工作模式建立在技术含量较高的计 算机及网络技术之上，在管理过程中仅仅依靠人力不能够满足网络安全管理的需要，也不能够面对今后随 着技术发展带来的更多安全需求，因此必须依靠各种技术手段来为网络安全管理提供有效的工具，以降低 管理成本，提高管理效率。 ～一内网安全管理现状。毛EXXXX的信息化工作模式中，涉密信息从产生到最终被处理、接受共经历 三层：终端层、传输层、服务器层。对每一层，都有同样的总体要求，即信息不非法外泄、不被篡改、不 被恶意毁灭。 ——内网安全的问题。在终端层随着移动存储器技术的普及，从计算机中将数字信息带出xxxxN变 得非常简易，移动存储介质体积轻巧，容易隐藏，安装方便，因此针对移动存储行为的有效管理成为我们 面临的重要课题。同时，随着打印机在各单位的普及，也产生了打印文件无序的部分局面，单位内部也要 加强对普通工作人员的管理，安装单位内指定的防病毒软件、操作系统修补程序。 ——具体的内网安全问题可以归结为：①离线存储设备泄密管理。②内部信息泄密。信息外泄的途径 包括：对本地打印机、受控终端拨号访问情况进行审计；内部员工使用涉密计算机连接外部网络致使泄密， 故意泄密。③缺乏有效的管理机制。④缺乏内网的安全解决方案。 2 系统架构 2．1安全策略规划 内网安全策略是企业实现内网安全管理的基础，是企业网络信息系统安全建设的指导原则、配置规则 和检查依据。内网安全系统的建设主要依据企业网络信息系统统一的内部安全策略。我们认为，内部安全 策略分为：主机资源审计与保护策略、在线信息保护策略、离线信息保护策略。 2．2内网安全系统的建设 一套统一的、安全的、可扩展的内部安全系统是我们构建整个安全目标的重要因素，内部安全系统是 我们整个内部安全体系的基础框架。 (1)智能安全网管。智能安全网管模块提供强大的内网网络管理和维护功能，是系统管理员理想的安 全故障管理系统。 (2)内网审计。对受控终端进行审计是通过规则进行的。审计规则设置的是对服务器规则控制下的行 为的记录和统计。在服务器设置相应的审计规则后，如果客户端所在的设备有符合规则的行为发生，则在 服务器的日志中会有相应记录，可以根据需要配置受控终端的文件操作、进程、网络访问等事件的规则。系 统根据规则自动记录安全审计日志并存入系统日志信息库，这些信息是事后了解和判断网络安全事故的宝 贵资料。 (5)内网监控。对受控终端进行监控是通过监控规则进行的。安全管理核心系统负责集中配置监控规