神盾主机监控与审计系统简介.docVIP

西安市信息技术应用研究所 PAGE PAGE 1 专业资料 word完美格式 西安市信息技术应用研究所 神盾主机监控与审计系统功能及实施简介 文档版本：1.0 文档编号：SD-INAS?-Whitepaper 目录 TOC \o 1-3 \h \z \u 1 系统概述 2 1.1 系统背景 2 1.2 系统目标 2 1.3 系统内容 3 1.4 依据标准 3 2 总体方案设计 4 2.1 系统设计原则 4 2.2 系统部署规划 4 2.3 系统设计 5 2.3.1 系统结构 5 2.3.2 系统操作平台 6 3 功能简介 7 3.1管理控制功能 7 3.2客户端主机审计 8 3.3客户端主机审计 9 3.4虚拟磁盘控制 9 3.5存储设备管理 10 4项目实施 10 4.1实施流程图 10 4.2实施环境确认 11 系统概述 系统背景 随着现代科学技术的发展，国与国之间的窃密与反窃密斗争越来越带有高科技抗衡的特点，发展内网保密技术已成为防止泄密的重要保障。特别是近几年来国家涉密单位网络失泄密事件的不断发生，为内网的安全防泄密敲响了警钟。国家涉密单位使用的内部局域网，都是范围不同的内网，内网从物理结构上与外部完全隔离，因此，防范来自于网络外部的各种入侵（比如黑客、非法入侵等）已经不是主要方面，相对而言，来自于网络内部的安全威胁就显得越来越严重了。以人为控制的教育加监督的安全管理方式是无法阻止内部工作人员运用现今的高科技信息载体主动或被动泄密，如利用EMAIL，FTP，光盘，打印，笔记本，可移动硬盘等方式造成的失泄密事件，根据近几年来的网络失泄密事件统计，87％的网络泄密都是内部人员或内外勾结造成的。针对上述的情况，为了给涉密单位提供一个更加安全而有效的内部网络环境，我们研制了神盾主机监控与审计系统。 内网安全防泄密系统就是从信息源头上抓安全。从终端电脑上信息产生后就加密，文件打出来加密存盘，在局域网中加密传输，在服务器中加密保存。在移动存贮介质中加密存放。信息无论是在移动中还是在固定磁盘中都处于加密状态，实现全程全网全过程的加密，这样即使泄露后也看不懂，解不开。 ? 内网安全防泄密系统对电脑终端的各种接口都实行了控制，USB口、串口、并口、1394口等。外部非本单位的笔记本电脑、U盘、移动硬盘、数码相机等产品非法接入，不能使用并告警锁定，后台审计系统记录。你这台机子不能使用，只有与管理员联系解除锁定后才能使用。本单位经过认证的笔记本电脑、U盘、移动硬盘、数码相机等产品可以正常使用。 ? 本单位经过认证的笔记本电脑、U盘、移动硬盘、数码相机等产品带到外部接入任何网络或插入任何外部电脑上也不能使用。内网安全防泄密系统从技术上解决了涉密产品的专用问题。 系统目标 在此网络中，安全系统管理要求有着如下的部署效果： 网络内部的数据安全交换平台； 依据于强大的域数据交换体系。可以保证在内部网络内，安全域之间的任何数据在交换过程中是安全的，即使是有第三方能够获得传输过程中的数据，这些数据对于其也是没有任何意义的。有效的防止了任何非法外联的主机窃取重要数据。 主机的资源审计和管理平台； 对于网络内部需要管理的重要主机信息进行实时的审计，并且根据相应的审计信息定制科学的安全策略；包括软件信息、硬件信息、主机服务信息、网络连接状况信息、可能非法外联信息等等。 主机外设端口管理平台； 对于一切可能通过外设形成泄密的行为进行控制，有效地防止了核心数据区的服务器被第三方通过各种网络接口直接从服务器将机密数据盗窃，保障了核心区的数据安全。 磁盘管理平台； 能够提供磁盘管理手段，保证了数据的存储介质——磁盘的科学使用，可以规定每台主机上磁盘的存储方式（只度、正常读写、加密读写）及其磁盘的数据有效范围（单机有效、域有效、第三方有效），从而可以保证了重要数据在未授权的前提下，不可能被带出网络，解决了用户身份和数据身份的访问控制问题； 根据以上实际情况，为此网络信息系统安全管理规划了安全目标，我们认为规划、设计、实施此网络信息系统的安全系统的目标是：通过安全系统项目的实施，建立完整的网络信息系统的安全防护体系，在安全法律、法规、政策的支持与指导下，通过制定客户化的安全策略，采用合适的安全技术和制度化的安全管理，从安全策略、安全域、安全系统、安全管理多个层次，多个角度，构建网络内部信息安全保障技术框架，实现： 有效管理移动存储设备，防止非法（未注册）