人民检察院内网安全建设解决方案.docx
- 文档编号:30545192
- 上传时间:2023-08-16
- 格式:DOCX
- 页数:87
- 大小:144.81KB
人民检察院内网安全建设解决方案.docx
《人民检察院内网安全建设解决方案.docx》由会员分享,可在线阅读,更多相关《人民检察院内网安全建设解决方案.docx(87页珍藏版)》请在冰豆网上搜索。
人民检察院内网安全建设解决方案
XXX人民检察院计算机内网安全建设
解决方案
北京峰盛博远科技有限企业
2010-9-15
一、项目背景..................................................
错误!
不决义书签。
二、需求归纳..................................................
错误!
不决义书签。
安全风险解析.............................................
错误!
不决义书签。
需求总结.................................................
错误!
不决义书签。
实现目标.................................................
错误!
不决义书签。
三、科盾解决方案..............................................
错误!
不决义书签。
简述.....................................................
错误!
不决义书签。
解决方案.................................................
错误!
不决义书签。
安全策略规划.............................................
错误!
不决义书签。
系统架构.................................................
错误!
不决义书签。
功能和特点...............................................
错误!
不决义书签。
重点技术性能.............................................
错误!
不决义书签。
系统安全性...............................................
错误!
不决义书签。
运行环境要求.............................................
错误!
不决义书签。
部署方式.................................................
错误!
不决义书签。
项目估量.................................................
错误!
不决义书签。
五、技术支持服务..............................................
错误!
不决义书签。
系统推行服务.............................................
错误!
不决义书签。
系统培训服务.............................................
错误!
不决义书签。
系统售后服务.............................................
错误!
不决义书签。
六、企业和团队介绍............................................
错误!
不决义书签。
企业介绍.................................................
错误!
不决义书签。
技术力量及专业背景.......................................
错误!
不决义书签。
技术咨询与服务优势.......................................
错误!
不决义书签。
七、产品资质和案例............................................
错误!
不决义书签。
科盾计算机内网安全平台资质................................
错误!
不决义书签。
科盾计算机内网安全平台应用的部分案例:
...................
错误!
不决义书签。
附录一
可选功能模块列表.......................................
错误!
不决义书签。
附录二
防范情况解析...........................................
错误!
不决义书签。
一、项目背景
XXX人民检察院当前已建成与下级市县检察院专网连接,内部办公网实现网络隔断。
并实现了视频会讲和计算机数据专线传输的功能。
网络建设的目的是为了应用,检察信息化的应用将从检察业务系统、视频会议系统以及
电子邮件系统等方面张开。
推行利用网络进行信息宣布和电子文件信息传达,
利用已建成的
专线网和局域网,进行平常工作管理。
召开电视电话会议,张开网上信息简报阅读、工作请
示报告和谈论更正文件等,把上网办公作为各级检察院转变工作作风和清除“文山会海”的
重要手段,逐渐减少纸张文件的印刷量和发放量,
实现检察业务信息、内部公文的远程自动
流转办理。
随着检察院内部数据信息的电子化不断深入,
如何保证数据的使用安全、
传输安全、存
储安全就成为信息安全建设的重中之重了。
这些数据信息在内部流通的过程中可能经过某个
端点被泄露出去,无论是用户的有意行为,
还是没心识的数据传输,
都会给国家检察系统带
来严重的结果,甚至是威胁国家的安全牢固。
但是计算机传输数据路子是多方面的,
如内部
文件共享接见、U盘的随意使用、打印刻录等等,这些数据不断传输,另管理者防不胜防。
可能出现了数据泄密,而我们却一无所知,即使知道,也无从追及是谁在使用这些数据,是
谁流传出去的!
因此XXX人民检察院急需经过技术手段解决当前数据共享、
网络应用过程中
的无保护状态。
北京峰盛博远科技有限企业正是依照
XXX人民检察院在信息化、网络安全建设的需要提
出的针对重要数据的保密性、完满性、可靠性要求,提出的计算机内网安全整体解决方案。
主要解决数据从产生、保留、传输及销毁整个生命周期的安全问题,
规范计算机内网用户对
数据的使用权限、操作行为,为
XXX人民检察院的计算机内网信息安全保驾护航。
二、需求归纳
安全风险解析
XXX人民检察院当前办公计算机终端,一致经过专网接入检察系统。
下级市县均经过专
网接入州检察院,实现计算机内网数据共享。
计算机内网与互联网隔断,禁止未经过授权访
问外网,禁止外面计算机XX接入计算机内网。
依照当前的网络现状解析,存在以下几
方面的安全风险,均会给检察系统的数据安全带来威胁。
安全风险一:
非法外联。
检察院计算机内网诚然没有互联网接口,但用户还可以够经过无
线网卡、拨号、3G网卡连接外网,从而绕过检察院系统界线的防范。
将计算机中的数据暴
露后,来自互联网的黑客攻击、木马病毒等会轻意取走检察院的机密数据。
安全风险二:
非法接入。
检察院内部网接口供应了系统扩展的需要,若是外面搬动计算
机XX进入检察院经过网线连接,简单填上IP地址就可以接见检察院系统的内部资源,
而这是不被赞同的。
安全风险三:
身份认证。
内部计算机的使用对用户不透明,管理者不知道是谁在什么时
间、什么地方操作机密数据,数据泄密无法追查责任人;WINDOWS采用弱密码认证,存在人
员越权接见其别人员计算机的风险。
安全风险四:
文件共享安全。
检察院内部文件共享的使用,数据库的开放性,内部人员只要猜得用户名及密码就可以随意下载重要文件了。
这无疑加大了数据流动泄密的风险。
安全风险五:
打印安全。
经过当地或网络打印机对重要文件的打印。
安全风险六:
搬动介质使用。
作为信息的载体,搬动储藏介质拥有的灵便性、便利性使它迅速获得普及,越来越多的敏感信息、奥秘数据和档案资料被存贮在无保护的搬动储藏介质里。
无疑给单位内部的涉密和敏感信息资源带来了相当大的安全隐患。
安全风险七:
安全域控制。
XXX检察系统是由各个下级市县检察院小型局域网一致经过
专线接入XXX检察院,从而形成巨大的局域网环境,各种终端设备互连互通。
这就存在一点故障,影响全网的隐患。
如ARP病毒可能以致全网不能够正常工作。
需求总结
依照以上对XXX人民检察院计算机内网安全风险的解析,总结需求功能以下,同时由于计算机数量的不断增加,也给计算机内网财富的统计、软件的安装带来了不便,利用计算机内网安全系统能够实现财富的自动统计,软件的自动发散。
1)非法外联控制。
实现检察系统专网用户XX无法经过任何方式(拨号、3G)访
问互联网,杜绝互联网带来的风险;
2)非法接入控制。
实现禁止外面计算机在XX的情况下接入计算机内网,并关于
接入行为进行记录,保证有据可查,防范内部重要数据经过搬动计算机泄露;
3)身份认证管理。
保证进入计算机内网进行操作的人员可信,系统统一分配帐户,指
定对计算机的操作权限,进入计算机内网的操作行为进行详细记录;
4)共享文件管理。
实现企业内部共享文件的安全接见,只赞同数据在内部指定用户间
进行流通,防范恶意更正、删除等;
5)搬动介质管理。
实现内部U盘、搬动硬盘等储藏设备进行注册认证,防范在外网使
用,禁止外面U盘进入计算机内网,不影响非储藏设备(USB键盘、鼠标等)的正常使
用;
6)将检察院计算机内网计算机依照不相同职能进行通讯隔断,防范数据的随意传输、病
毒的扩散;
7)软件应用管理。
对计算机内网用户软件使用行为进行监控,防范用户随意在上班时
间使用炒股软件、游戏软件等,经过黑白名单形式只赞同工作需要的应用程序;
8)财富管理。
实现对检察院计算机内网计算机硬件财富进行自动上报,并实时监控变
动行为,硬件财富的更正自动报警。
关于终端计算机使用的软件信息进行监控,防范用
户自行安装有风险的软件,以及将系统重要客户端进行卸载(如杀毒软件客户端);
9)软件发散。
实现自动发散软件到目标终端主机,经过设置实现逼迫默认安装;
10)日志管理。
管理员能够在当地实时查察网络日志,即时办理存在的风险。
实现目标
保障计算机内网信息系统能够高效、可靠、安全地连续工作,保障计算机内网信息系统
数据在产生、办理、储藏、传输及销毁整个生命周期中的可用性、可控性、完满性和保密性:
对计算机内网信息系统,非法主机“进不来”
对不切合计算机内网安全规则的主机将被强行禁止其接入计算机内网,而且实时报警,实现非法主机“进不来”计算机内网系统。
对奥秘信息,非法用户“拿不走”
防范对企业重要文件越权操作、非法接见文件和所有搬动储藏设备的非法文件拷贝实现非法用户“拿不走”有效信息;
非法用户作案后“跑不了”
经过严实审计追踪受控资源的使用情况,实现了非法用户只要作案,必然“跑不了”,便
于追查责任事故;
搬动储藏设备“不怕丢”
对所有搬动储藏设备的储藏操作进行透明加、解密,数据以密文的方式储藏,实现了移
动储藏设备如搬动硬盘、U盘等“不怕丢”。
三、科盾解决方案
简述
依照以上对XXX检察院计算机内网安全建设需求的总结,提出使用“科盾计算机内网安
全平台”解决检察院计算机内网存在的风险。
并在保证正常的业务运营的同时,最大限度
减少许据泄密、网络受攻击等带来的损失。
科盾计算机内网安全平台对计算机内网主机进行
隐蔽植入客户端,支持实时监控、上网报告、违规行为解析统计等多种策略操作,监察网络
用户对重要文件的操作、互联网的使用。
它能在出现可能的安全问题从前发现并切断违规网
络连接,并于第一时间通知管理员。
采用C/S(客户/服务器)结构,使用一台服务器作为监控端,其他主机安装受控端。
大部分常用的网络拓扑结构均可安装本产品,支持多网段环境。
客户端采用逼迫安装,阻拦
没有安装客户端主机进入网络。
用户能够接见WEB服务器下载客户端并安装,安装成功后方
可接见网络资源。
解决方案
经过部署科盾计算机内网安全平台,可信认证授权管理子系统、可信桌面安全管理子
系统、可信搬动介质管理子系统、可信分域管理子系统实现对XXX人民检察院计算机内网的
安全防范。
可信认证授权管理子系统
用户(计算机)管理
基于终端用户的管理。
终端用户在进入Windows操作系统从前,都必定输入安全管理中心一致分配的平台用户名和密码到科盾服务器进行认证,若是认证成功,则赞同进
入操作系统,否则,则拒绝进入操作系统。
同时,能够绑定USB-key实现身份认证。
并支持与CA、指纹等认证系统联动。
注:
解决了风险三的问题。
非法接入控制
主要目的是防范将外面主机接入到计算机内网中从而带来安全隐患。
关于这种外面接入行为,本系统供应了两种控制措施:
接入预警和禁止接入。
(1)接入预警。
对接入的非法主机进行预警,安全管理员能够依照预警信息找到外面接入的主机,而且采用相应的安全措施。
(2)禁止接入。
对接入的非法主机采用隔断措施,使其网络设备不能够正常工作,从而无法成功接入到内部网络中。
注:
解决了风险二的问题。
非法外联管理
关于用户接见互联网权限进行有效控制,禁止计算机XX接见互联网。
包括禁
止当前存在接见互联网技术,如拨号、3G等形式。
关于非法外联的主机进行日志记录,方便管理员追查原因。
管理员能够灵便设置终端计算机对互联网的使用权限。
注:
解决了风险一的问题。
图3-1认证授权管理收效图
可信桌面安全管理子系统
远程监控和桌面管理
(1)屏幕监控。
实时监察终端用户的计算机屏幕状态,并供应了远程控制开关选项,支持从科盾控制台对终端用户进行远程协助,远程解决系统问题。
供应抓屏功能,为终端用户的操作行为保留现场。
(2)终端共享文件管理。
能够实时查察终端用户文件共享情况,能够远程删除非法的共享文件夹,对文档共享情况进行控制。
外面设备管理
经过终端用户外设管理功能,系统能够充分保护网络中终端主机的安全性,保证数据不被恶意的盗窃,防范外接设备随意连接到计算机,保证奥秘信息不被盗取。
(1)端口控制。
供应对串口并口、1394、红外、蓝牙、PCMCIA、SCSI控制器、调制解调器等端口的控制。
(2)储藏设备。
供应对USB储藏设备(包括U盘、搬动硬盘等储藏设备,不包括
(3)打印设备。
本系统控制的打印机设备包括当地打印机、网络打印机和虚假打
印机。
控制策略包括禁止使用打印操作和赞同使用打印操作。
在赞同打印操作的情况下,对打印文件进行缓存副本记录。
注:
解决了风险五的问题。
(4)设备属性控制。
对网络适配器属性、设备管理器及任务管理器等进行控制。
进度行为控制
经过设置进度的签字白名单、签字黑名单方式来对进度行为进行控制。
控制方式为
经过考据应用程序的MD5值确立程序的合法性,防范用户经过更正良程名方式绕过防范。
(1)进度签字白名单控制。
用户只能运行管理员进行签字认可的程序,其他程序
所有禁止使用,有效防范用户使用与工作没关的程序。
这是最严格地用户进度控制方式,也是最安全的进度控制方式,即使用户更正了应用程序名也无法运行。
(2)进度签字黑名单控制。
用户不能够运行黑名单中出现的程序,其他程序能够运行。
(3)进度分时段控制。
为了控制方式更加灵便,本系统供应了对进度的分时段控制
体系。
(4)日志记录。
对终端用户运行的程序进行日志记录,包括操作者、运行时间、运行的进度名称等信息。
文件安全管理
文件安全管理功能供应共享文件接见控制、文件接见日志记录、搬动储藏设备透明加解密、文件保险柜以及文件安全锁等功能。
(1)共享文件接见控制。
在禁止接见其他主机共享文件的策略下,终端主机将不能够接见任何主机的共享文件;在禁止其他主机接见终端主机的策略下,任何主机都不能够访
问该终端主机的共享文件。
(2)文件接见日志记录。
对接见当地文件和接见其他主机共享文件的操作进行日志记录。
记录的操作日志包括文件的新建、打开、删除、重命名以及更正等操作。
(3)文件保险柜。
用户经过文件保险柜设置导游设置属于自己的安全目录,一个用
户能够拥有多个安全目录。
注:
解决了风险四的问题。
财富管理
终端财富管理功能包括硬件财富管理和软件财富管理两部分,而且供应富强的统计功能。
(1)硬件财富管理。
本系统在用户登入后,记录下终端的所有硬件安装信息。
实时检测终端发生变动的硬件信息,而且供应比较信息方便管理员进行阅读比较。
(2)软件财富管理。
本系统在用户登入后,记录下终端的所有软件安装信息而且进行日志记录。
检测终端发生变动的软件信息,而且记录日志。
(3)财富统计。
供应丰富的统计工具,管理员能够方便地认识计算机内网中的所有财富情况。
软件(补丁)发散
关于一个大中规模的内部网络,在安装软件或补丁时要求管理员逐台主机进行安装,那将会以致工作效率特别低。
软件(补丁)发散功能供应了有效的方式来发散和安装软
件和补丁程序,大大提升了管理员的工作效率。
该功能供应了三种软件发散模式:
文件传输、执行软件和安装软件。
(1)文件传输。
若是设定文件传输模式,那么管理员选定的文件将被传输到终端主机的指定目录。
(2)执行软件。
若是设定软件执行模式,那么管理员选定的软件将被传输到终端主机的指定目录,而且开始执行,能够设置软件以逼迫方式静默安装(软件自己需支持静
默安装)。
(3)安装软件。
若是设定安装软件模式,那么管理员选定的软件将被传输到终端主机的指定目录,而且开始进行安装。
若是终端用户强行退出安装,重新启动后又将提示
终端用户进行安装,直到终端用户成功安装了该软件。
本系统供应了对发散结果进行盘问统计;即时停止、编写软件发散任务;能够针对指定的操作系统进行软件发散;针对特定的计算机分组范围进行软件
图3-2桌面安全管理收效图
可信搬动储藏设备管理子系统
实现对搬动储藏介质安全、
有效地管理是保证内部敏感信息安全的重要手段。
科盾可
信搬动储藏设备管理子系统经过对
XXX人民检察院内部搬动储藏介质进行注册认证、
权限
管理、接见控制、数据保护等多种手段,防范因介质的使用造成的信息泄密。
并经过对计
算机内网搬动介质一致管理,
记录搬动储藏介质的使用情况,
做到内部搬动介质的可控可
管。
主要功能以下:
1)
支持各种种类的搬动储藏介质,
包括U盘、搬动硬盘和外挂
IDE硬盘等拥有储藏
功能设备。
2)
供应对搬动储藏介质的注册管理功能,
没有经过管理员注册的搬动储藏介质,
不
能在单位内部计算机上使用。
搬动储藏介质要获得使用权,必定经过管理员注册,
并赐予相应的权限。
管理员还可以够取消对搬动储藏介质的注册,
回收对该搬动存
储介质的特别授权。
3)
依照管理需要,管理员能够将特定的搬动储藏介质注册授权给特定的用户
/用户
组和特定的计算机/计算机组,从而实现灵便的细粒度的权限管理。
4)对搬动储藏介质的权限可分为禁用、只读、安全读写和正常读写四种。
所有写入
搬动储藏介质的数据都会被自动加密,用户在读取文件时,数据能够被自动解密。
5)供应详细的审计记录,包括注册信息、使用信息和文件操作信息,记录要素包括使用人、使用计算机、使用时间和动作等,并供应丰富的审计报告。
注:
解决了风险六的问题
图3-3搬动介质管理收效图
可信网络分域管理系统
为了加强对国家信息系统的保密管理,保证信息安全,国家明确提出了涉密信息系统的建设使用单位必定依照分级保护管理方法和相关标准,对信息系统分等级推行保护。
(1)内部网络和外网应相互隔断,包括网络设备和搬动储藏介质在内不应相互连接,不相赞同将存有涉密数据和信息的储藏介质在非涉密网计算机上使用;
(2)内部网络依照信息系统保密等级的不相同,要进行逻辑隔断,分域分级管理,推行分等级保护;
(3)两个不相同的计算机网络,即使拥有相同样级的安全级别,没有管理员特别赞同,也不能够互联互通;
可信网络分域管理系统可解决两个企业网络安全建设的难题,第一,企业内部实现内、外网隔断。
第二,计算机等级划分与保护。
将网络中的计算机依照料理需求划分成多个虚
拟安全域,所有的计算机内网主机依照职能和级别不相同被划入不相同的“安全域”中进行管理,隔断外来的计算机,防范内部主机非法连接互联网,实现内部网络的分域分级管理。
同一个安全域内的计算机能够相互接见,非同一个安全域的计算机则不能够相互接见,只有
在获得管理员授权的情况下才能建立相信关系,实现网络连接。
经过IP包重构技术,使得非法外联的连接不能够和外面计算机进行正常的网络通讯,
只在指定计算机内网范围内的计算机和服务器之间才能够通讯,有效切断所有非法外联行
为;有效阻断非法接入行为,包括交换设备接入和直连线同等网接入,外来的计算机都不
能跟计算机内网的计算机进行正常的网络通讯。
部署收效以以下图所示。
注:
解决了风险七的问题。
图3-4分域管理收效图
可信网络监控子系统
IP(MAC)管理
对终端主机的IP地址、MAC地址进行管理是保证网络正常运行的有效方式之一。
终
端主机随意更正IP地址和MAC地址可能会以致网络凌乱,也可能是出于捏造别人身份
进行非法操作的妄图。
同时,ARP攻击是当前最常有的局域网攻击,其直接会以致局域
网瘫痪。
本系统供应了两种关于IP(MAC)管理的措施:
IP地址和MAC绑定以及ARP病
毒免疫。
管理员能够经过管控中心远程编写用户IP,能够将网络IP及MAC地址对应情
况以表格形式导出。
(1)IP地址和MAC绑定。
自动将终端主机的IP地址和MAC地址注册到科盾服务器。
若是终端主机试图改变IP地址或MAC地址,本系统供应了两种控制方式:
自动恢复和禁止网络。
(2)ARP病毒免疫。
该功能能够有效地杜绝ARP病毒攻击,一旦内部网络中出现了
ARP攻击,第一会攻击行为进行预警,尔后将ARP攻击所以致的MAC地址凌乱的现象进行清理,经过将其设置为静态MAC地址从而防范了ARP攻击所带来的影响。
即时信息
即时信息功能为终端用户和管理员供应了一个沟统统道,方便他们实时进行沟通。
终端用户能够向管理员发送信息,该信息会显示在管理控制台的预警平台上,管理员能够实时进行办理。
管理员能够针对某一个特定用户、一个特定的组也许是整个网络发送管理员通知。
注:
IP规划安全管理的需要,建议配置。
安全
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 人民检察院 安全 建设 解决方案