内网安全防护方案.docxVIP

中孚信息股份有限公司 内网信息安全防护解决方案 中孚信息股份有限公司 版权所有 翻版必究 第 1 页 中孚信息股份有限公司 目 录 一、 背景 3 二、 建设目标 3 三、 平台总体设计 4 1. 平台应用架构 4 2. 分级部署 5 四、 平台功能描述 6 1. 内网接入控制 6 2. 终端安全防护 8 五、 项目预算 17 六、 平台系统特点 18 1. 符合技术标准要求 18 2. 体系自身安全性强 18 3. 组件化模块化设计 18 4. 终端系统兼容性强 18 5. 终端防被终止卸载 18 6. 技术市场成熟度强 18 七、 产品应用 19 1. 政府领域、军队 19 2. 公检法系统 19 3. 中央企业、军工企业 20 第 2 页 中孚信息股份有限公司 一、 背景 中办、国办联合印发的《 “十二五”时期全国保密事业发展规划》 、以及国家保密局印发的《“十二五”时期全国保密系统信息化建设规划》 ，对全国信息安全工作提出了明确要求，需要加强对内网计算机的监督管理、 技术管控、检查查处等相应的安全防范措施。加快提升安全保密系统信息化，促进数据共享、形成全面的数据辅助决策分析与支持，提高管理部门的监测预警能力、发现处置能力。 中孚信息内网信息安全防护综合解决方案， 包括网络准入控制、 终端安全防护、检查查处、敏感信息实时监测等功能， 实现网络安全、 信息安全、技术防护和管理工作的网络化、 信息化。平台采取统一规划、部署，采用模块化的系统架构，能灵活扩展。针对不断变化的保密防护要 求和新的窃密技术，能够有效地动态跟踪，避免重复建设投资，不断满足信息安全保密工作发展的需要。 二、 建设目标 根据 XXXX 内网实际情况，结合中孚目前产品功能情况，本次建设预期达到以下目标： 1、 规范内网用户接入 实时监测和识别所有入网计算机信息， 非法计算机或违规计算机立即隔离出网， 接入专网 的计算机需经过主管部门的审查、审批，严格用户身份管理，并可根据业务需求，限定访问权 限； 对入网设备进行安全指标检查，主要包括按照规定必须安装的软件检查、设备在网情况、 设备违规情况及其他应用软件检查等，可防止用户非法卸载等行为发生，确保软件的存活率。 2、 移动存储介质管控 对内网使用的移动存储介质进行管控， 经过授权的移动存储介质才能在内网授权范围内使 用，未经注册的移动存储介质无法在内网使用，主管部门可限定移动存储介质的使用范围， 并 能实现专网计算机其他外设设备的控制（如红外、蓝牙、光驱等） 。 可单独指定计算机作为输入输出专用计算机，配合单向导入设备。 3、 违规外联监控 对内网计算机连接互联网进行监控，一旦违规连接互联网，则立刻阻断网络，并报警。 第 3 页 中孚信息股份有限公司 4、 终端安全登录防护 实现内网的边界安全防护，采用用户身份认证方式，实现终端计算机的安全登录控制。 5、 敏感信息实时监控 对内网计算机存储的信息进行实时监测， 针对起草、编辑、存储以及插入的移动存储介质 中的信息进行实时监测，一旦有敏感、涉密信息，则立即报警，并对违规行为进行有效的审计 和取证。 三、 平台总体设计 整个平台包括 4 大方面，平台充分考虑了模块化、组件化的设计，系统可统一部署，也可 分批分级实施，后期可动态的增加子模块（如光盘刻录、打印监控、补丁分发等） ，自动化升 级减少人工安装实施，有效的避免重复建设投资。内网功能架构图如下图所示： 平台应用架构 平台由管理端、终端组成的 B/S，C/S 相组结合的模式。管理端由管理中心、审计中心、 通讯服务器、数据库服务器等组成。终端软件由介质控制、违规外联、光盘、主机监控审计等 第 4 页 中孚信息股份有限公司 组成。系统架构图如下图所示： 分级部署 平台可级联部署，支持大规模集中管控。支持分级数据实时查看、策略发下管控等功能， 下级单位也可层层上报数据，形成全网数据汇总。平台分级部署图如下图所示： 第 5 页 中孚信息股份有限公司 四、 平台功能描述 按照 XXXX 目前的情况，建设形成以内网“信息安全综合防护管理平台”为核心的安全 监管体系，下面针对对所涉及到的接入控制、终端防护、敏感信息监控等方面做详细的介绍。 内网接入控制 中孚网络接入控制系统， 是完全基于最先进的第三代准入控制技术的纯硬件网络准入控制系统，秉承“无需改变网络、终端部署灵活”的特性，研制的新一代入网规范管理系统。中孚 网络接入控制系统改变了业界传统的将准入控制系统作为一个单独功能产品的做法， 率先提出 准入平台的概念。实现了广泛地结合用户已有的交换机、杀毒软件、 AD域、 LDAP服务器等，并完全实践了“入网 - 在网 - 出网”的整体化流程，能够达到“违规不入网、入网必合规”的管理规范。 中孚网络接入控制系统的管理思路