内网终端安全管理系统解决方案

内网终端安全管理系统解决方案

北信源内网终端安全管理系统

解决方案

北京北信源软件股份有限公司

目录

1.前言................................ 错误!未定义书签。

1.1.概述

错误!未定义书签。

1.2.应对策略

错误!未定义书签。

2.终端安全防护理念.................... 错误!未定义书签。

2.1.安全理念

错误!未定义书签。

2.2.安全体系

错误!未定义书签。

3.终端安全管理解决方案................ 错误!未定义书签。

3.1.终端安全管理建设目标

错误!未定义书签。

3.2.终端安全管理方案设计原则

错误!未定义书签。

3.3.终端安全管理方案设计思路

错误!未定义书签。

3.4.终端安全管理解决方案实现

错误!未定义书签。

3.4.1.网络接入管理设计实现

错误!未定义书签。

3.4.1.1.网络接入管理概述

3.4.1.2.网络接入管理方案及思路

错误!未定义书签。

3.4.2.补丁及软件自动分发管理设计实现

错误!未定义书签。

3.4.2.1.补丁及软件自动分发管理概述

错误!未定义书签。

3.4.2.2.补丁及软件自动分发管理方案及思路

错误!未定义书签。

3.4.3.移动存储介质管理设计实现

错误!未定义书签。

3.4.3.1.移动存储介质管理概述

错误!未定义书签。

3.4.3.2.移动存储介质管理方案及思路

错误!未定义书签。

3.4.4.桌面终端管理设计实现

错误!未定义书签。

3.4.4.1.桌面终端管理概述

错误!未定义书签。

3.4.4.2.桌面终端管理方案及思路

错误!未定义书签。

3.4.5.终端安全审计设计实现

错误!未定义书签。

3.4.5.1.终端安全审计概述

3.4.5.2.终端安全审计方案及思路

错误!未定义书签。

4.方案总结............................ 错误!未定义书签。

5.附录:系统硬件要求................... 错误!未定义书签。

6.预算................................ 错误!未定义书签。

1.前言

1.1. 概述

随着信息化的飞速发展,业务和应用逐渐完全依赖于计算机网络和计算机终端。为进一步提高单位内部的安全管理与技术控制水平,必须建立一套完整的终端安全管理体系,提高终端的安全管理水平。

由于单位内部缺乏管理手段,导致网络管理人员对终端管理的难度很大,难以发现有问题的电脑,从而计算机感染病毒,计算机被安装木马,部分员工使用非法软件,非法连接互联网等情况时有发生,无法对这些电脑进行定位,这些问题一旦发生,往往故障排查的时间非常长。如果同时有多台计算机感染网络病毒或者进行非法操作,容易导致网络拥塞,甚至业务无法正常开展。

建立终端安全管理体系的意义在于:解决大批量的计算机安全管理问题。具体来说,这些问题包括:

?实现对单位内部所有的终端计算机信息进行汇总,包括基本信息、审计信息、报警信息等,批量管理终端计算机并提高安全性、降低日常维护工作量;

?实现对单位内部所有的终端计算机的准入控制,防止外来电脑或违规的电脑接入单位内部网络中;

?实现对单位内部所有的终端计算机进行补丁的自动下载、安装与汇总,最大程度减少病毒、木马攻击存在漏洞的计算机而导致的安全风险;

?实现对单位内部所有的移动存储设备的统一管理,防止部分人员经过USB设备将单位大量的机密文件传播出去,同时也极大减少了病毒、木马经过USB设备在网络中传播等情况的发生;?实现对单位内部所有的终端计算机进行终端安全管理与分析,包括第一时间禁止非法外联行为的发生,实时监控异常流量,检测非法软件,禁用部分硬件设备等,将计算机与人结合起来管理,防止非法操作导致发生不必要的安全事件。

1.2. 应对策略

从网络空间应用接入方式来来说,网络空间应用从传统的互联网应用接入发展到以移动/无线通信应用接入乃至移动互联网接入等多种方式。

而针对网络空间安全方面的问题,北信源公司基于多年的产品开发与超大规模成功部署与应用经验基础,组建了面向网络空间的终端安全管理产品体系。该产品体系主要面向重要网络、信息系统及基础设施的失泄密检测与防范,实现从终端、区域网到互联网的一体化检测、管理与防范。该体系从终端接入控制、终端行为管控制、终端数据防泄密,以及终端安全审计等方面,实现了多层

次、全方位、立体化纵深失窃密检测与防范,形成了面向复杂网络空间的终端安全管理一体化解决方案,有效地实现了网络空间下对终端计算机的安全管理体系。

2.终端安全防护理念

2.1. 安全理念

针对当前网络中终端计算机面临的各种安全问题,作为终端安全管理市场的领导者,北信源公司特推出了面向网络空间的VRV SpecSEC终端安全管理体系。

VRV SpecSEC终端安全管理体系以APPDR模型为依据,遵循国家和行业等级保护,基于安全工程的思想,以独特的终端安全配置策略为核心,以终端安全风险测试与评估为依据,实现组件化可动态组合配置的终端安全管理。其核心理念如下图所示:

VRV SpecSEC终端安全管理体系核心理念

安全产品法规符合性开发(S pecification-based Products

Development)

策略引导的终端安全配置(P olicy-based Configure

Management)

评估驱动的终端安全管理(E valuation-driven Security

Management)

组件化终端安全管理体系(Component-based Plug-in/out

Security Architecture )

2.2. 安全体系

北信源VRV SpecSEC体系覆盖终端的资产安全管理、终端数据安全管理、终端行为安全管理、终端服务安全管理等多个方面,涉及管理计算机本身、计算机应用、计算机操作者、计算机使用单位管理规范等多个方面,形成全方位、多层次、立体化终端安全管理。VRV SpecSEC终端安全管理体系层次结构图如下所示:

VRV SpecSEC终端安全管理体系层次结构图

本解决方案正是基于上述核心理念和安全体系的基础上而组建的基于终端各方面安全管理和控制的一体化解决方案。

3.终端安全管理解决方案

3.1. 终端安全管理建设目标

(1) 当终端接入时要落实安全保护技术措施,保障内部网络的运行安全和信息安全;

(2) 对已接入内部网络的终端计算机,要做好用户权限设定工作,不能开放其规定以外的操作权限。

(3) 发现有违规情形的,应当保留有关原始记录,并可直接了解到该违规信息及违规方式等。

(4) 网络管理人员能够利用该管理方式,便捷的管理内网终端计算机,并能够利用该种方式对终端计算机现状一目了然。

3.2. 终端安全管理方案设计原则

方案设计遵循如下原则:

(1)安全性原则:对性能影响小,与其它业务系统无冲突。

(2)可靠性原则:在重复操作与长期实践之后依然能够保持

高度的稳定性。

(3)可扩展性原则:能够符合IT发展方向,并随业务增长的

同时保持高度的可扩充性。

(4)易用性原则:提供简单、友好界面,能够进行直观的操

作,形成丰富的图形界面与报表。

(5)兼容性原则:能够与主流厂商的系统、软件、主机设

备、安全设备、网络设备保持高度的兼容性。

3.3. 终端安全管理方案设计思路

1、遵循IT服务标准

随着信息技术的发展以及对信息技术依赖程度的提高,IT已成为许多业务流程必不可少的部分,甚至是某些业务流程赖以运作的基础。IT部门要承担更大的责任,即提高业务运作效率,降低业务流程的运作成本,遵循ITIL标准,协调IT服务部门内部运作,改进IT部门与业务部门之间的沟通,帮助单位对信息化系统的规划、研发、实施和运营进行有效管理的方法。IT服务管理将流程、人和技术三方面整合在一起来解决IT服务管理问题。并结合单位内部组织结构、IT资源与管理流程等,对业务需求进行整体管理与服务。解决方案设计要采用IT服务管理的理念,按照ITIL最佳实践标准来设计。

2、遵循ISO 27001标准

ISO27001作为信息系统安全管理标准,已经成为全球公认的安全管理最佳实践,成为全国大型机构在设计、管理信息系统安全时的实践指南。其中除了安全思路之外,给出了许多非常细致的安全管理指导规范。在ISO27001中有一个非常有名的安全模型,称为

PDCA安全模型。PDCA安全模型的核心思想是:信息系统的安全需求是不断变化的,要使得信息系统的安全能够满足业务需要,必须建立动态的”计划、设计和部署、监控评估、改进提高”管理方法,持续不断地改进信息系统的安全性。

北信源认为,终端安全管理,也将是一个持续、动态、不断改进的过程,北信源将提供统一的、集成化的平台和工具,帮助对其终端进行统一的安全控制、安全评估、安全审计及安全改进策略部署。

3、遵循VRV SpecSEC安全理念

依据业界最佳安全实践和行业信息安全管理体系的建设流程,结合北信源VRV SpecSEC核心安全理念,本方案的总体架构共分为”网络接入管理、补丁及软件分发管理、移动存储介质管理、桌面终端管理、终端安全审计”等安全管理组件,并经过统一、联动的安全管控与审计平台实现对不同层次架构的集中策略配置与管理,完成对网络终端的分级部署、统一管控,最终实现对内网终端全方位的控制管理,形成完整的终端安全管理体系。

方案设计思路

3.4. 终端安全管理解决方案实现

本方案经过网络接入控制管理、补丁及软件分发管理、移动存储介质管理、桌面终端安全管理,以及终端安全审计管理等五大部分,并由集中统一的管控和策略平台,完成对上述安全管理组件的统一策略配置与下发、集中管理与审计,最终形成联动化的、集成化的、完整的终端安全体系建设。

3.4.1.补丁及软件自动分发管理设计实现

3.4.1.1. 补丁及软件自动分发管理概述

补丁及软件自动分发管理能够自动识别终端计算机操作系统类型,并根据需求自动下载所需补丁,自动安装并提示。系统向指定终端计算机(用户组)分发文件或安装软件,分发时可提供软件的运行参数和必要的运行控制。该管理体系可减轻网络管理人员的工作负担,软件分发时可报告软件安装的状态,无论软件正确安装与否,管理员均可及时了解情况。

3.4.1.2. 补丁及软件自动分发管理方案及思路

补丁及软件自动分发管理支持推、拉两种方式自动下载补

丁。整个补丁管理运行平台构架是:经过北信源外网补丁下载服务器及时从补丁厂商网站获取最新补丁;补丁安全测试后,经过补丁分发管理中心服务器对网络用户进行分发安装;补丁安装支持自动和手动两种方式。

动态下载...

...级联级联补丁分发管理体系

网络应用对象:○1连通互联网的网络:直接经过补丁下载服务器将补丁下载至补丁分发服务器;○2物理隔离网络:在互联网连通网络上安装补丁下载服务器模块,经过补丁下载增量分离工具,区分内网已导入和未导入的补丁,将最新补丁导入到内网补丁分发服务器。

补丁及软件自动分发管理包括:补丁下载、补丁分析、补丁策略制订、补丁文件分发、终端计算机补丁漏洞检测、补丁安全性测试、补丁分发控制、普通文件自动分发等,包括功能如下:

1．终端计算机漏洞自动侦测

终端计算机补丁自检测,在内网中建立补丁检测网站,终端计算机用户访问网站后,Web网页自动检测显示客户段补丁安装信息,用户可进行补丁下载安装;管理员还能够在管理控制台上远程检测终端计算机补丁安装状况。

补丁自动检测

2．补丁下载

增量式补丁自动分离技术在外网分离出已安装、未安装补丁,分类导入系统补丁库,仅对内网的补丁进行”增量式”升级,以减少拷贝工作量;互联网补丁自动实时探测,支持补丁导出前病毒过滤。

3．补丁分析

自动建立补丁库,支持补丁库信息查询。针对下载的补丁进

行归类存放,按照不同操作系统、补丁编号、补丁发布时间、补丁风险等级、补丁公告等进行归类,帮助管理人员快速识别补丁。

4．补丁策略制订(分发)

支持用户自定义补丁策略并自由配置分发,基于终端计算机网络IP范围、操作系统种类、补丁类别(系统补丁、IE补丁、应用程序补丁以及网管自定义补丁类等)等制订策略,发送至终端计算机后统一按策略执行应用。

补丁分发策略

5．补丁自动修复

在指定时间、指定网络范围内以不同方式(如推、拉)分发补丁,或者根据脚本策略统一控制终端计算机下载补丁,当监测到有终端计算机未打补丁时,可对漏打补丁终端计算机进行推

送补丁。补丁分发支持流量和连接数控制,以免占用太大带宽,影响网络正常工作。

6．补丁下载转发代理

提供补丁自动代理转发功能,提高补丁下发效率,减少网络带宽的占用率,节省网络资源。

7．补丁安全性测试

补丁分发前闭环自动测试,对下载的补丁进行自动测试(建立测试网络组),测试完成后将其存入补丁库,以提高打补丁的成功性、安全性、可靠性。

8．普通文件分发及文件自动执行

能够提供分发普通文件也能够分发可执行文件及MSI等形式的压缩文件并自动执行。

软件分发策略制定

北信源内网安全管理系统(服务器版)安装说明

快速阅读指南 1.本使用手册为北信源终端安全管理系列产品全功能用户手册，请按照所购买产品对应相关的产品说明进行配置使用（该手册第一、二、三章为终端安全管理产品共有部分，凡购买任何一款终端安全管理产品都应首先详细阅读此三个章节）。 2.详细阅读本软件组件功能、组成、作用、应用构架，确切了解本软件的系统应用。 3.安装准备软件环境：Microsoft SQL Server2000、Windows2000Server、Internet服务管理器。SQL安装注意事项请参照第二章2-3-1所示。建议将数据库管理系统、区域管理器、WEB管理平台安装在同一服务器上,确认区域管理器所在机器的88端口不被占用（即非主域控制器）；防火墙应允许打开88，2388，2399，22105，8900，8901，22106，22108，8889端口。 4.按步骤安装各组件后，通过http://*.*.*.*/vrveis登录Web管理平台，首先对Web管理平台进行如下配置：添加区域→划分该区域IP范围→指定区域管理器→指定区域扫描器。 5.双击屏幕右下角区域管理器、单击主机保护进行通讯参数配置。 6.在\VRV\VRVEIS\download目录中，使用RegTools.exe工具修改DeviceRegist.exe文件中的本地区域管理器IP，将修改后的注册程序DeviceRegist.exe放在机构网站上进行静态网页注册，或者在机构网站上加载动态网页检测注册脚本语句，进行动态设备注册。 7.系统升级：联系北信源公司获取最新的软件组件升级包，确保Web管理平台、区域管理器、客户端注册程序等组件的升级。 8.如果本说明书中的插图与实际应用的产品有出入，以实际产品为主。 特别提示：默认管理员用户：admin，密码：123456；系统指定审计用户名：audit,密码：123456请注意修改。

信息系统安全管理方案措施.doc

信息系统安全管理方案措施1 信息系统安全管理方案措施 为保证医院信息系统的安全性、可靠性，确保数据的完整性和准确性，防止计算机网络失密、泄密时间发生，制定本方案。信息中心安全职责 信息中心负责医院信息系统及业务数据的安全管理。明确信息中心主要安全职责如下： （一）负责业务软件系统数据库的正常运行与业务软件的安全运行；（二）保证业务软件调存数据的准确获取与运用； （三）负责医院办公网络与通信的正常运行与安全维护； （四）负责医院服务器的正常运行与上网行为的安全管理； （五）负责公司杀毒软件的安装与应用维护； （六）信息中心负责管理医院各服务器管理员用户名与密码，不得外泄。 （七）定期监测检查各服务器运行情况，如业务软件系统数据库出现异常情况，首先做好系统日志，并及时向信息室负责人及主管领导汇报，提出应急解决方案。如其他业务服务器出现异常，及时与合作方联系，协助处理。 （八）数据库是公司信息数据的核心部位，非经信息中心负责人同意，不得擅自进入数据库访问或者查询数据，否则按严重违纪处理。（九）信息中心在做系统需求更新测试时，需先进入

备份数据库中测试成功后，方可对正式系统进行更新操作。 （十）业务软件系统服务器是公司数据信息的核心部位，也是各项数 据的最原始存储位置，信息中心必须做好设备的监测与记录工作，如遇异常及时汇报。 （十一）信息中心每天监测检查数据库备份系统，并认真做好日志记录，如遇异常及时向信息中心主管领导汇报。 （十二）机房重地，严禁入内。中心机房环境要求严格，摆放设备异常重要，非经信息中心负责人同意严禁入内。外单位人员进入机房需由信息中心人员专人陪同进入。如需要进行各项操作须经信息中心负责人同意后方可进行操作。 （十三）信息中心负责医院网络与各终端机IP地址的规划、分配和管理工作。包括IP地址的规划、备案、分配、IP地址和网卡地址的绑定、IP地址的监管和网络故障监测等。个人不得擅自更改或者盗用IP地址。 （十四）医院IP地址的设置均采用固定IP分配方式，外来人员的电脑需要在信息中心主管领导的批准下分配IP进行办公。 （十五）用户发现有人未经同意擅自盗用、挪用他人或本人的IP地址，应及时向信息中心报告。 （十六）信息中心负责医院办公网络与通信网络的规划与实施，任何个人或科室不得擅自挪动或关闭科室内存放的信息设备（交换机、网络模块）。

中软统一终端安全管理平台8.0安装手册(单机版)

（单机版
Version：8.0.7.x）
中国软件与技术服务股份有限公司 CHINA NATIONAL SOFTWARE ＆ SERVICE CO.,LTD.

版 权 声 明
非常感谢您选用我们的产品， 本手册用于指导用户安装中软统一终端安全管理平台 8.0 （中文简称安全管理平台） ，请您在安装本系统前，详细阅读本手册。本手册和系统一并出售且 仅提供电子文档。 。 Copyright ? 2005 by CS&S，中国软件与技术服务股份有限公司版权所有。 中软统一终端安全管理平台 8.0 是中国软件与技术服务股份有限公司自主研发的受法 律保护的商业软件。遵守法律是共同的责任，任何人未经授权人许可，不得以任何形式或方法 及出于任何目的复制或传播本软件和手册，权利人将追究侵权者责任并保留要求赔偿的权利。 任何人或实体由于该手册提供的信息造成的任何损失或损害，中国软件与技术服务股 份有限公司不承担任何义务或责任。
系统版权 中文名称：中软统一终端安全管理平台 8.0 英文简称：UEM8.0 开发单位：中国软件与技术服务股份有限公司
本系统的版权单位 中国软件与技术服务股份有限公司 地址：北京市海淀区学院南路 55 号中软大厦，100081 电话： （010）51508031/32/33 邮箱：waterbox@https://www.sodocs.net/doc/257596911.html,
2

前
言
目前，个人计算机系统成为组成企业、单位网络的主体，也是绝大多数泄密事件发生的源头。 针对这一现状，中软自主研发的终端安全管理平台是内网安全管理的有力武器，是加强个人计算机 内部安全管理的重要工具。它作为国内市场上第一款成熟的内部安全管理软件，填补了国内在该领 域的空白，为我国信息安全保障工作注入了新的活力。 本书详细介绍了中软统一终端安全管理平台 8.0 安装方法，为用户在安装本系统时提供参考， 全书共为五章。 第一章：系统概述 第二章：体系结构和运行所需软硬件环境 第三章：服务器安装与卸载 第四章：控制台安装与卸载 第五章：客户端安装与卸载 本书内容全面，深入浅出，适合安装、使用中软统一终端安全管理平台的用户读者；检测、评 估中软统一终端安全管理平台的技术人员和专家以及希望使用中软统一终端安全管理平台协助对其 组织、机构或企业进行管理的管理人员等。 本手册适用于中软统一终端安全管理平台 8.0 的 8.0.7.x 单机版本的安装使用，随相应版本的产 品光盘附带，对该产品的其他版本，如未作特殊说明或者更新，该手册同样适用。 本手册在编写过程中，尽管我们做了最大努力力求完美和准确，但由于水平有限，难免存在疏 漏和缺陷之处。如果您对本手册有任何疑问、意见或建议，请与我们联系。感谢您对我们的支持和 帮助。
通用产品研发中心 2008 年 3 月
3

安全管理体系和保障措施方案

安全管理体系及保障措施 1.19.1、安全目标 坚持“安全第一、预防为主”和“管生产必须管安全”的原则。本项目部安全目标为： “五无”：即无人身伤亡事故、无重大行车事故、无重大交通责任事故、无火灾事故、无压力容器爆炸事故。 “两控制”：职工重伤频率控制在0.6‰以下，轻伤频率控制在1.2‰以下。 “三消灭”：消灭违章指挥，消灭违章作业，消灭惯性事故。 1.29.2、安全管理体系 9.2.1安全管理体系 1、安全管理组织机构 建立健全安全生产管理机构，成立以项目经理为组长的安全生产 领导小组，全面负责并领导本项目的安全生产工作，项目总工程师为 安全生产的技术负责人。

图9-1 安全管理组织图 2、安全管理办公室设置及职责 项目经理部安全管理办公室设在安全质量部，安质部下设安全组，设专职安全员，具体负责本项目部的安全管理工作。 安质部对本项目部工程项目的施工安全工作行使监督检查职权。做好安全管理和监督检查工作。贯彻执行劳动保护法规。督促实施各项安全技术措施。开展安全生产教育工作。组织安全生产检查，研究解决施工中的不安全因素。参加事故调查，提出事故处理意见，制止违章作业，遇有险情有权停止生产。健全安全管理工作台帐。 3、安全防范重点 根据本项目部项目工程特点，施工场地中安全防范的重点为：（1）、生产设备的施工生产安全； （2）、起重设备的施工安全； （3）、施工用电安全； 4、安全保证体系框图

图9-2 安全保障体系框图

9.2.2、安全管理制度 1、建立健全安全生产责任制度 牢固树立安全意识，严格执行施工过程中的各项规章制度，建立健全各项安全生产责任制度，落实安全措施和责任，确保施工安全。对施工安全工作做到有检查、有落实、有总结评比、有考核。施工中认真落实安全措施，做到责任到人。在施工生产中，按照定岗定责的原则，增加安全人员的责任心，避免发生各种责任事故，并对发生安全事故的责任人进行处罚。 从项目经理到生产工人的安全管理系统必须做到纵向到底，一环不漏；各职能部门和人员的安全生产责任制横向到边，人人有责。项目经理是安全生产的第一责任人。 （1）项目经理（副经理）安全职责： 对安全生产和劳动保护负领导和管理责任； 贯彻国家、行业和公司有关安全生产的方针、政策和规章制度； 组织制定安全管理制度，研究解决安全生产中的问题，组织安全生产检查； 监督各级、各职能部门贯彻安全生产责任制情况； 主持重大伤亡事故的调查处理。 （2）项目总工（副总工）安全职责： 对安全生产和劳动保护方面工作负技术领导责任； 在组织编制实施性施工组织设计时，同时编制相应的安全技术措施；

网络信息安全管理平台用户手册.doc

网络信息安全管理平台用户手册1 北信源 网络信息安全管理平台 用户手册 北京北信源自动化技术有限公司Bei XinYuan Auto Technology, Inc. 目录 第一篇软件介绍 第一章：软件介绍---------------------------------------- 3 第二章：软件结构设计简介-------------------------------- 4 第二篇用户手册 第三章．前台显示界面------------------------------------ 7 3-1．首页----------------------------------------- 8 3-2．安全预警------------------------------------ 10 3-3．安全监测------------------------------------ 14 3-4．安全管理------------------------------------ 16 3-5．安全通报------------------------------------ 18 3-6．安全服务------------------------------------ 19 3-7．非法外联------------------------------------ 20 第四章．后台管理界面----------------------------------- 21 4-1．安全预警设定-------------------------------- 21 4-2．安全管理设定

-------------------------------- 24 4-3．安全通报设定-------------------------------- 25 4-4．安全服务设定-------------------------------- 27 4-5．数据导入设定-------------------------------- 30 第一篇软件介绍 第一章：软件介绍 为保障网络信息的安全运行，需对保障网络安全运行的各组件充分协调和监管。目前政府管理下的信息网络存在着网络设备，终端设备以及操作系统和管理软件的多样化和复杂化,正是这种多样化和复杂化使政府在对实际的各区域网络设备的总体监控管理方面带来了不便，网络安全运行缺乏统一的、完整的控制，同时，零散而数量巨大的报警信息也可能会使真正重要的报警信息被忽视或遗漏；当网络运行出现问题时，往往难以定位问题的源头，更难以统一管理和制定相关的安全策略，管理的难度很大。 政府相关部门针对出现的问题提出了《北京市公共服务网络与信息系统安全管理规定》，对现有网络进行总体安全监控管理的要求，考虑到现有的实际物质条件和技术条件，在《内网安全及补丁分发管理系统》软件的支持下建设安全监控管理平台，做到按照划分好的区域，在区域中进行针对不同单位部门的网络进行安全等级划分，收集、汇总和管理网络中各相关安全和应用设备信息的各类相关信息，并可通过对相关信息的综合分析，及时发现系统运行中的安全问题和隐患，并提出改进措施。 第二章：软件结构设计简介

4A(统一安全管理平台)解决方案

4A（统一安全管理平台）简介 企业信息门户系统供稿1、介绍 企业信息化软件，一般经历下面几个阶段：无纸化办公—信息共享—信息安全等三个阶段，随着企业承载应用的越来越多，对所有应用的统一访问、统一控制、统一授权的需求也随着出现，4A就是针对此类问题的综合解决方案。4A是指：认证Authentication、账号Account、授权Authorization、审计Audit，中文名称为统一安全管理平台解决方案。融合统一用户账号管理、统一认证管理、统一授权管理和统一安全审计四要素后的解决方案将涵盖单点登录（SSO）等安全功能，既能够为客户提供功能完善的、高安全级别的4A管理，也能够为用户提供符合萨班斯法案（SOX）要求的内控报表。 2、4A系统背景 随着信息技术的不断发展和信息化建设的不断进步，业务应用、办公系统、商务平台不断推出和投入运行，信息系统在企业的运营中全面渗透。电信行业、财政、税务、公安、金融、电力、石油、大中型企业和门户网站，使用数量众多的网络设备、服务器主机来提供基础网络服务、运行关键业务，提供电子商务、数据库应用、ERP和协同工作群件等服务。由于设备和服务器众多，系统管理员压力太大等因素，越权访问、误操作、滥用、恶意破坏等情况时有发生，这严重影响企业的经济运行效能，并对企业声誉造成重大影响。另外黑客的恶意访问也有可能获取系统权限，闯入部门或企业内部网络，造成不可估量的损失。如何提高系统运维管理水平，跟踪服务器上用户的操作行为，防止黑客的入侵和破坏，提供控制和审计依据，降低运维成本，满足相关标准要求，越来越成为企业关心的问题。

3、4A平台的管理功能 为用户提供统一集中的帐号管理，支持管理的资源包括主流的操作系统、网络设备和应用系统；不仅能够实现被管理资源帐号的创建、删除及同步等帐号管理生命周期所包含的基本功能，而且也可以通过平台进行帐号密码策略，密码强度、生存周期的设定。 2）集中认证(authentication)管理 可以根据用户应用的实际需要，为用户提供不同强度的认证方式，既可以保持原有的静态口令方式，又可以提供具有双因子认证方式的高强度认证（一次性口令、数字证书、动态口令），而且还能够集成现有其它如生物特征等新型的认证方式。不仅可以实现用户认证的统一管理，并且能够为用户提供统一的认证门户，实现企业信息资源访问的单点登录。 3）集中权限(authorization)管理 可以对用户的资源访问权限进行集中控制。它既可以实现对B/S、C/S应用系统资源的访问权限控制，也可以实现对数据库、主机及网络设备的操作的权限控制，资源控制类型既包括B/S的URL、C/S的功能模块，也包括数据库的数据、记录及主机、网络设备的操作命令、IP地址及端口。

内网信息安全管理软件

合同登记编号: 技术开发合同 签订时间: 签订地点: 有效期限: 中华人民共与国科学技术部印制 填写说明 本合同为中华人民共与国科学技术部印制得技术开发合同文本,各技术合同登记机构可推介技术合同当事人参照使用。 二、本合同书适用于一方当事人委托另一方当事人进行新技术、新产品、新工艺、新材料或者新品种及其系统得研究开发所订立得技术开发合同。 三、签约一方为多个当事人得,可按各自在合同关系中得作用等, 在“委托方”、“受托方”项下(增页)分别排列为共同委托人或共同受 托人。 四、本合同书未尽事项,可由当事人附页另行约定,并可作为本合 同得组成部分。

五、当事人使用本合同书时约定无需填写得条款,应在该条款处注明“／”等字样。

双方经过平等协商,在真实、充分地表达各自意愿得基础上,根据《中华人民共与国合同法》得规定,达成如下协议。 第一条本合同研究开发项目得要求如下: 1.技术范围及要求: 当今社会,计算机与网络得使用越来越频繁,人们在服务器与主机保存得信息量越来越多,对于企业而言计算机网络已逐渐成为主要得信息传输载体与渠道。网络信息安全问题也随之增多,给企业利益造成了不可估量得损失与影响。因此,针对企业内部网络数据信息安全而采取必要得应对与预防措施就是非常有必要性得。本文根据定西移动对信息安全得需求,结合了众多管理信息安全得方法,构建了一个具有全面性、统一性、客观性得、严谨得内网安全管理系统。通过采取更加严格得安全控制措施定期管理与维护内网数据,更有针对性得管理内网中计算机终端、外设、服务器、文件数据与员工等因素,并形成一个完整得安全管理系统,最终达到提高企业生产力得目得。本文将该系统设计成有四个子系统:可信网络监控子系统、可信数据管理子系统、可信网络认证子系统、以及可信网络保密子系统组成,并且对可信数据管理子系统与可信网络认证子系统得研究与完成做了具体得讲解。可信数据管理体系不但可以禁止非法入侵或连接外网,也可以保护内网不被非法者窃听,还可以在多种工作环境中对移动储存设施进行充分得管理;而可信网络认证体系得主要作用就是授权给服务器与计算机可以进行特定操作、以及对用户得身份信息采取统一识别。并经过在企业内部检测后证明这两个子系统都就是安全得、实用得。 2.技术架构:

安全管理体系总体设计方案

1安全管理体系总体设计案 1.1安全组织结构 省农垦总局总医院安全管理组织应形成由主管领导牵头的信息安全领导小组、具体信息安全职能部门负责日常工作的组织模式，组织结构图如下所示： 图8-1安全组织结构图 1.1.1信息安全领导小组职责 信息安全领导小组是由省农垦总局总医院主管领导牵头，各部门的负责人为组成成员的组织机构，主要负责批准省农垦总局总医院安全策略、分配安全责任并协调安全策略能够实施，确保安全管理工作有一个明确的向，从管理和决策层角度对信息安全管理提供支持。信息安全领导小组的主要责任如下：

(一)确定网络与信息安全工作的总体向、目标、总体原则和安全工作法； (二)审查并批准政府的信息安全策略和安全责任； (三)分配和指导安全管理总体职责与工作； (四)在网络与信息面临重大安全风险时，监督控制可能发生的重大变化； (五)对安全管理的重大更改事项（例如：组织机构调整、关键人事变动、信 息系统更改等）进行决策； (六)指挥、协调、督促并审查重大安全事件的处理，并协调改进措施； (七)审核网络安全建设和管理的重要活动，如重要安全项目建设、重要的安 全管理措施出台等； (八)定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进 行审定。 1.1.2信息安全工作组职责 信息安全工作组是信息安全工作的日常执行机构，设专职的安全管理组织和岗位，负责日常具体安全工作的落实、组织和协调。信息安全工作组的主要职责如下： （一）贯彻执行和解释信息安全领导小组的决议； （二）贯彻执行和解释主管机构下发的信息安全策略； （三）负责组织和协调各类信息安全规划、案、实施、测试和验收评审会议； （四）负责落实和执行各类信息安全具体工作，并对具体落实情况进行总结和汇报；

内网终端安全管理系统项目解决方案

北信源内网终端安全管理系统 解决方案 北京北信源软件股份有限公司

目录 1.前言 (4) 1.1. 概述 (4) 1.2. 应对策略 (5) 2.终端安全防护理念 (6) 2.1. 安全理念 (6) 2.2. 安全体系 (7) 3.终端安全管理解决方案 (9) 3.1. 终端安全管理建设目标 (9) 3.2. 终端安全管理方案设计原则 (9) 3.3. 终端安全管理方案设计思路 (10) 3.4. 终端安全管理解决方案实现 (12) 3.4.1. 网络接入管理设计实现 ........................................ 错误!未定义书签。 3.4.1.1. 网络接入管理概述 ........................................ 错误!未定义书签。 3.4.1.2. 网络接入管理方案及思路............................... 错误!未定义书签。 3.4.2. 补丁及软件自动分发管理设计实现 (12) 3.4.2.1. 补丁及软件自动分发管理概述 (12) 3.4.2.2. 补丁及软件自动分发管理方案及思路 (12) 3.4.3. 移动存储介质管理设计实现 (17) 3.4.3.1. 移动存储介质管理概述 (17) 3.4.3.2. 移动存储介质管理方案及思路 (18) 3.4.4. 桌面终端管理设计实现 (21) 3.4.4.1. 桌面终端管理概述 (21) 3.4.4.2. 桌面终端管理方案及思路 (22) 3.4.5. 终端安全审计设计实现 ........................................ 错误!未定义书签。 3.4.5.1. 终端安全审计概述 ........................................ 错误!未定义书签。 3.4.5.2. 终端安全审计方案及思路............................... 错误!未定义书签。 4.方案总结 (41) 5.附录：系统硬件要求 (41) 6.预算 (43)

信息安全管理制度..

信息工作管理制度 第一章总则 第一条为了加强信息管理，规范信息安全操作行为，提高信息安全保障能力和水平，维护信息安全，促进信息化建设，根据《中华人民共和国计算机信息系统安全保护条例》等规定，以《环境信息网络管理维护规范》（环保部制定）等标准为基本管理操作准则，制订本管理制度。 第二条本制度适用范围为信息与监控中心，其他单位可参照执行。 第二章岗位管理 第三条业务信息工作人员（包括监控与信息中心技术人员及机关业务系统管理人员）、机房运维人员（包括外包机构人员），应遵循《环境信息网络管理维护规范》等规定。 第四条机房运维人员根据运维合同规定由机房管理部门对其实行管理。 第五条信息工作人员岗位设置为系统管理员、业务管理员、网络管理员、安全管理员、安全审计员。 人员岗位及职责 （一）系统管理员 系统管理员是从事服务器及存储设备运行管理的人

员，业务上应具备熟练掌握操作系统、熟练操作服务器和存储设备的能力。 1、负责指定的服务器、存储等设备的资料登记、软件保管及设备报修。 2、配合完成指定的业务软件运行环境的建立，正式运行后的服务器系统软硬件操作的监管，执行中心的备份策略。 3、在所负责的的服务器、存储设备发生硬件故障时,及时组织有关人员恢复系统的运行,针对系统事故找到系统事故原因。 4、负责指定的服务器操作系统的管理口令修改。 5、负责制定、执行服务器及存储设备故障应急预案。 （二）业务管理员（业务联系人） 业务管理员是部署在应用服务器上的操作系统及业务系统运行管理的人员，业务上应具备业务系统安装及基本调试操作的能力（业务软件厂家负责培训），业务系统及部署操作系统故障分析的能力，预防系统风险的能力。 1、负责维护业务系统的运行及业务系统的安装环境。 2、负责制定、执行业务系统及其数据的备份计划。 3、负责业务数据的数据备份及数据恢复。 4、负责制定执行本业务系统的故障应急预案。 （三）网络管理员

内网终端安全管理系统解决方案

内网终端安全管理系统解决方案

北信源内网终端安全管理系统 解决方案 北京北信源软件股份有限公司

目录 1.前言................................ 错误!未定义书签。 1.1.概述 错误!未定义书签。 1.2.应对策略 错误!未定义书签。 2.终端安全防护理念.................... 错误!未定义书签。 2.1.安全理念 错误!未定义书签。 2.2.安全体系 错误!未定义书签。 3.终端安全管理解决方案................ 错误!未定义书签。 3.1.终端安全管理建设目标 错误!未定义书签。 3.2.终端安全管理方案设计原则 错误!未定义书签。 3.3.终端安全管理方案设计思路 错误!未定义书签。 3.4.终端安全管理解决方案实现 错误!未定义书签。 3.4.1.网络接入管理设计实现 错误!未定义书签。 3.4.1.1.网络接入管理概述

3.4.1.2.网络接入管理方案及思路 错误!未定义书签。 3.4.2.补丁及软件自动分发管理设计实现 错误!未定义书签。 3.4.2.1.补丁及软件自动分发管理概述 错误!未定义书签。 3.4.2.2.补丁及软件自动分发管理方案及思路 错误!未定义书签。 3.4.3.移动存储介质管理设计实现 错误!未定义书签。 3.4.3.1.移动存储介质管理概述 错误!未定义书签。 3.4.3.2.移动存储介质管理方案及思路 错误!未定义书签。 3.4.4.桌面终端管理设计实现 错误!未定义书签。 3.4.4.1.桌面终端管理概述 错误!未定义书签。 3.4.4.2.桌面终端管理方案及思路 错误!未定义书签。 3.4.5.终端安全审计设计实现 错误!未定义书签。 3.4.5.1.终端安全审计概述

安全生产管理信息系统解决方案

安全生产管理信息系统解决方案 1

安全生产管理信息系统 解决方案 河北创巨圆科技发展有限公司 4月15日 II

目录 第1章系统概述............................................................ 错误!未定义书签。 1.1建设背景................................................................ 错误!未定义书签。 1.2指导思想................................................................ 错误!未定义书签。 1.3建设原则................................................................ 错误!未定义书签。 1.4建设目标................................................................ 错误!未定义书签。 1.5建设任务................................................................ 错误!未定义书签。 1.5.1为安全信息建立统一的基础平台................. 错误!未定义书签。 1.5.2为安全业务构建协同的执行平台................. 错误!未定义书签。 1.5.3为安全管理提供有效的监管平台................. 错误!未定义书签。 1.5.4为辅助决策提供可靠的支持平台................. 错误!未定义书签。 1.5.5为安全文化建设提供信息化支撑................. 错误!未定义书签。第2章总体设计............................................................ 错误!未定义书签。 2.1设计原则................................................................ 错误!未定义书签。 2.1.1统一性原则 ..................................................... 错误!未定义书签。 2.1.2规范性原则 ..................................................... 错误!未定义书签。 2.1.3先进性原则 ..................................................... 错误!未定义书签。 2.1.4安全性原则 ..................................................... 错误!未定义书签。 2.1.5集成性原则 ..................................................... 错误!未定义书签。 2.4.6实用性原则 ..................................................... 错误!未定义书签。 2.4.7灵活性原则 ..................................................... 错误!未定义书签。 I

天珣内网安全风险管理与审计系统

天珣内网安全风险管理与审计系统 安装配置手册 （V6.6.9.4） 启明星辰 Beijing Venustech Cybervision Co., Ltd. 2012年11月

版权声明 北京启明星辰信息安全技术有限公司版权所有，并保留对本文档及本声明的最终解释权和修改权。 本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明外，其著作权或其他相关权利均属于北京启明星辰信息安全技术有限公司。未经北京启明星辰信息安全技术有限公司书面同意，任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其它语言、将其全部或部分用于商业用途。 “天珣”为北京启明星辰信息安全技术有限公司的注册商标，不得侵犯。 免责条款 本文档依据现有信息制作，其内容如有更改，恕不另行通知。 北京启明星辰信息安全技术有限公司在编写该文档的时候已尽最大努力保证其内容准确可靠，但北京启明星辰信息安全技术有限公司不对本文档中的遗漏、不准确、或错误导致的损失和损害承担责任。

目录 版权声明 (1) 免责条款 (1) 信息反馈........................................... 错误!未定义书签。1综述 . (4) 2安装环境及要求 (4) 3.天珣内网安全风险管理与审计系统主要组件介绍 (6) 3.1.服务器组件 (6) 3.1.1. 中心策略服务器 (6) 3.1.2. 本地策略服务器 (6) 3.1.3. 资产管理服务器................................错误!未定义书签。 3.1.4. Radius服务器 (6) 3.1.5. 攻击告警服务器 (6) 3.1.6. 软件分发服务器 (7) 3.1.7. HOD远程桌面服务器 (7) 3.2.策略网关组件 (7) 3.2.1. 策略网关代理 (7) 3.2.2. 中性策略网关 (7) 3.2.3. IIS策略网关 (8) 3.2.4. ISA策略网关 (8) 3.2.5. EXCHANGE策略网关 (8) 3.2.6. DNS策略网关及旁路监听式DNS策略网关 (8) 3.2.7. 客户端 (9) 3.2.8. 按需支援管理端 (9) 3.2.9. 客户端打包程序 (9) 4.天珣内网安全风险管理与审计系统的安装 (9) 4.1.快速安装 (10) 4.1.1 快速安装部署 (10) 4.1.2 基本配置 (27) 4.2.自定义安装 (31) 4.2.1 自定义安装中心服务器 (32) 4.3.本地服务器的安装配置 (33) 4.3.1 添加策略服务器 (37) 4.4.策略网关配置 (38) 4.4.1 添加策略网关代理 (38) 4.4.2 安装中性策略网关 (39) 4.5.远程桌面的系统配置 (46) 4.5.1 安装添加远程桌面服务器 (46) 4.5.2 添加远程桌面管理员 (46) 4.5.3 安装按需支援管理员端程序 (47) 4.5.4 用户请求管理员远程帮助 (49) 4.6.软件分发安装与配置 (49) 4.6.1 安装软件分发服务器 (49)

《内网准入与信息安全系统》功能介绍

内网信息安全系统产品介绍书 北京中瑞讯博信息技术有限公司 2010/11

目录 1 引言 (2) 1.1 公司介绍 (2) 1.2 内网安全的紧迫性 (2) 1.3 内网安全的主要防护内容 (2) 2 中瑞讯博内网信息安全产品与解决方案 (4) 2.1 内网准入 (5) 2.2 系统补丁管理 (6) 2.3 非法外联管理 (6) 2.4 外设和介质管理 (6) 2.5 数据安全 (7) 2.6 主机防火墙和入侵防护 (7) 2.7 行为管控 (7) 2.8 资产管理 (8) 2.9 安全管理与审计 (8) 3 中瑞讯博产品的功能特性 (8) 3.1 全面的准入控制 (8) 3.2 对终端的全面防护 (9) 3.3 对设备和文档的加密 (9) 3.4 对输出设备的使用控制 (9) 3.5 强大的审计功能 (9) 3.6 内核级文件加密 (10) 3.7 支持在线与离线两种工作模式 (10) 3.8 可靠性高 (10) 3.9 安全性高 (10) 3.10 易用性好 (10)

1引言 1.1公司介绍 北京中瑞讯博信息技术有限公司是由归国留学人员创办的高新技术企业，公司注册在中关村园区核心区。中瑞讯博从事企业信息化和企业信息安全，致力于推进企业信息化和企业信息安全的技术研究、产品开发、解决方案和服务，实现企业信息化、网络安全、通讯安全、交易安全、资产安全、商业秘密安全。 随时保持与世界先进技术的同步，是中瑞讯博保持持续快速发展的重要基础。公司经验管理团队具有大型企业的管理经验，技术核心人员均来自国内外著名的跨国或上市公司（例如百度、启明星辰），具有多年的企业信息化、网络和信息安全经验，并聘有中国工信部信息安全协调司、谷歌、启明星辰、Juniper Networks、清华法学院、中鼎讯博（北京）、北京天骏等单位和企业的资深人士做顾问。 1.2内网安全的紧迫性 人们对于网络安全，特别是局域网的安全，倾向于向外用力。但据美国CSI/FBI在《计算机犯罪与安全调查报告》中指出，因内网安全漏洞造成的损失占所有计算机安全事故的一半以上；IDC的安全统计数据显示，来自企业内部终端的安全威胁占整个安全威胁的70％以上；中国国家计算机网络应急技术处理协调中心CNCERT/CC的《全国网络安全状况调查报告》指出，终端隐患已成为最大的安全威胁之一。内网终端已经成为企业网络的薄弱点，越来越多的企业都已经深刻认识到部署内网安全产品的重要性。 1.3内网安全的主要防护内容 内网安全的一个理念就是，要建立一个可信、可控的内部安全网络。内网的终端构成了内网90%以上的组成，当之无愧地成为内网安全的重中之重。因此内网安全的重点就在于终端的管理。 管理终端，建立一个可控的内网，至少必须完成以下基本问题的处理： ●非法接入内网问题 公司内网连接着众多的服务器和终端，运行着OA、财务、ERP等众多系统和数据库，未通过认证的终端如果随意接入内网，将使这些服务器、系统和重要数据面临被攻击和窃取的危险。 ●非法外联问题 通常情况下，内网和外网之间有防火墙、防病毒墙等安全设备保障内网的安全性，对于保密网络，甚至是要求与外网物理隔绝的。但如果内部人员使用拨号、宽带、GPRS、CMDA 等方式接入外网，使内网与外网间开出新的连接通道，外部的黑客攻击或者病毒就能够绕过

内网信息安全管理软件(20210119161854)

内网信息安全管理软件■标准化文件发布号：（9556?EUATWK?MWUB?WUNN?INNUL?DDQTY? KII 合同登记编号:

技术开发合同 项目名称：内网信息安全管理软件 委托方（甲方）： 受托方（乙方）： 签订时间: 签订地点: 有效期限: 中华人民共和国科学技术部印制 填写说明 —、本合同为中华人民共和国科学技术部卬制的技术开发合同文本，各技术合同登记机构可推介技术合同当事人参照使用。

二、本合同书适用于一方当事人委托另一方当事人进行新技术、新产品、新工艺、新材料或者新品种及其系统的研究开发所订立的技术开发合同。 三、签约一方为多个当事人的，可按各自在合同关系中的作用等，在“委托方”、“受托方”项下（增页）分别排列为共同委托人或共同受托人。 四、本合同书未尽事项，可由当事人附页另行约定，并可作为本合同的组成部分。 五、当事人使用本合同书时约定无需填写的条款，应在该条款处注明“ / ”等字样。

双方经过平等协商，在真实、充分地表达各自意愿的基础上，根据《中华人民共和国合同法》的规定，达成如下协议。 第一条本合同研究开发项目的要求如下： 1?技术范围及要求： 当今社会，计算机与网络的使用越来越频繁，人们在服务器和主机保存的信息量越来越多，对于企业而言计算机网络已逐渐成为主要的信息传输载体和渠道。网络信息安全问题也随之増多,给企业利益造成了不可估量的损失和影响。因此,针对企业内部网络数据信息安全而采取必要的应对和预防措施是非常有必要性的。本文根据定西移动对信息安全的需求，结合了众多管理信息安全的方法，构建了一个具有全面性、统一性、客观性的、严谨的内网安全管理系统。通过采取更加严格的安全控制措施定期管理和维护内网数据,更有针对性的管理内网中计算机终端、外设、服务器、文件数据和员工等因素，并形成一个完整的安全管理系统，最终达到提高企业生产力的目的。本文将该系统设计成有四个子系统:可信网络监控子系统、可信数据管理子系统、可信网络认证子系统、以及可信网络保密子系统组成，并且对可信数据管理子系统和可信网络认证子系统的研究和完成做了具体的讲解。可信数据管理体系不但可以禁止非法入侵或连接外网，也可以保护内网不被非法者窃听，还可以在多种工作环境中对移动储存设施进行充分的管理;而可信网络认证体系的主要作用是授权给服务器和计算机可以进行特定操作、以及对用户的身份信息采取统一识别。并经过在企业内部检测后证明这两个子系统都是安全的、实用的。

信息系统安全管理方案

信息系统安全管理方案 Corporation standardization office #QS8QHH-HHGX8Q8-GNHHJ8

信息系统安全管理方案 信息系统的安全，是指为信息系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄漏，以保证系统连续正常运行。信息系统的安全方案是为发布、管理和保护敏感的信息资源而制定的一级法律、法规和措施的总和，是对信息资源使用、管理规则的正式描述，是院内所有人员都必须遵守的规则。信息系统的受到的安全威胁有：操作系统的不安全性、防火墙的不安全性、来自内部人员的安全威胁、缺乏有效的监督机制和评估网络系统的安全性手段、系统不能对病毒有效控制等。 一、机房设备的物理安全 硬件设备事故对信息系统危害极大，如电源事故引起的火灾，机房通风散热不好引起烧毁硬件等，严重的可使系统业务停顿，造成不可估量的损失；轻的也会使相应业务混乱，无法正常运转。对系统的管理、看护不善，可使一些不法分子盗窃计算机及网络硬件设备，从中牟利，使企业和国家财产遭受损失，还破坏了系统的正常运行。 因此，信息系统安全首先要保证机房和硬件设备的安全。要制定严格的机房管理制度和保卫制度，注意防火、防盗、防雷击等突发事件和自然灾害，采用隔离、防辐射措施实现系统安全运行。 二、管理制度 在制定安全策略的同时，要制定相关的信息与网络安全的技术标准与规范。技术标准着重从技术方面规定与规范实现安全策略的技术、机

制与安全产品的功能指标要求。管理规范是从政策组织、人力与流程方面对安全策略的实施进行规划。这些标准与规范是安全策略的技术保障与管理基础，没有一定政策法规制度保障的安全策略形同一堆废纸。 要备好国家有关法规，如：《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《计算机信息网络国际联网安全保护管理办法》、《计算机信息系统安全专用产品检测和销售许可证管理办法》、《中华人民共和国计算机信息网络国际联网管理暂行规定实施办法》、《商用密码管理条例》等，做到有据可查。同时，要制定信息系统及其环境安全管理的规则，规则应包含下列内容： １、岗位职责：包括门卫在内的值班制度与职责，管理人员和工程技术人员的职责； ２、信息系统的使用规则，包括各用户的使用权限，建立与维护完整的网络用户数据库，严格对系统日志进行管理，对公共机房实行精确到人、到机位的登记制度，实现对网络客户、ＩＰ地址、ＭＡＣ地址、服务帐号的精确管理； ３、软件管理制度； ４、机房设备（包括电源、空调）管理制度； ５、网络运行管理制度； ６、硬件维护制度； ７、软件维护制度； ８、定期安全检查与教育制度；

内网安全管理系统项目方案

内网安全管理系统项目方案

目录 第一章概述 (4) 1.1 建立内网安全管理系统的必要性 (4) 1.2 现状分析 (4) 1.3 项目需求 (4) 第二章系统建设目标与原则 (5) 2.1 系统建设目标 (5) 2.2 系统建设原则 (6) 2.2.1 先进性原则 (6) 2.2.2 易于管理、操作和维护原则 (6) 2.2.3 充分利用现有资源原则 (6) 2.2.4 安全与性能负载均衡原则 (6) 第三章总体设计方案 (6) 3.1 系统总体架构 (7) 3.2 系统功能架构设计 (9) 3.2.1 基于进程的文档加密驱动 (9) 3.2.2 端口控制驱动 (10) 3.2.3 移动存储设备控制驱动 (10) 3.3 系统配置清单 (11) 第四章系统功能设计 (11) 4.1 认证授权系统设计 (11) 4.1.1 客户端动态注册，浮动License 管理 (11) 4.1.2 控制台和客户端的网络身份认证 (12) 4.1.3 多种身份认证相结合 (12) 4.1.4 策略集中分级管理 (12) 4.1.5 支持按分组和单个计算机灵活定制策略 (13) 4.1.6 限时有效策略 (13) 4.2 数据安全保密系统设计 (13) 4.2.1 文件透明加解密 (14) 4.2.2 涉密文件安全防护 (15) 4.3 硬件安全防护系统设计 (16) 4.3.1 存储设备控制 (16) 4.3.2 通讯设备控制 (16) 4.3.3 存储设备准入认证 (16) 4.4 IT 资产管理系统设计 (17) 4.4.1 资产的完备性 (17) 4.4.2 资产变更的准实时性 (17) 4.4.3 详细的报告 (17)