第一篇:Chinasec内网安全管理平台
Chinasec内网安全管理平台
Chinasec(安元)内网安全管理平台是基于内网安全和可信计算理论研发的内网安全系列管理产品,以密码技术为支撑,以身份认证为基础,以数据安全为核心,以监控审计为辅助,可灵活全面的定制并实施各种安全策略,主要解决用户在传统PC架构下的数据安全问题,针对内部网络的用户身份和计算机终端管理、数据信息保密、数字知识产权保护、应用系统保护、文档安全保密以及网络状况监控维护等安全问题提出了整体的解决方案。
Chinasec(安元)内网安全管理平台系列产品是在Chinasec(安元)内网安全管理平台的基础上,由多个系统组成,分别是Chinasce(安元)终端数据防泄密系统、Chinasce(安元)文档安全管理系统、Chinasce(安元)应用保护系统、Chinasce(安元)桌面管理系统、Chinasce(安元)文件审批系统、Chinasce(安元)身份认证系统、Chinasce(安元)终端应用模式切换系统、Chinasce(安元)移动存储介质管理系统等。
Chinasec(安元)内网安全管理平台系列产品注重从信息的源头开始抓安全,对信息的存储、交换和使用等环节实现全面保护,通过主动加密、事前控制、事中监视、事后审计等四种手段相结合,可以达到外部入侵进不来、非法外接出不去、内外勾结拿不走、拿走东西看不懂的效果,有效防止机密敏感信息的泄露,为企事业单位构建了一个可信可控的内网环境。Chinasec(安元)内网安全管理平台已经通过国家保密局、公安部、解放军信息安全测评中心和国家信息安全测评中心等权威机构的评审认定,并已在中国海关总署、奇瑞汽车、南车时代、中国银行、广东电力设计院、第二炮兵部队和中国石油等数千家单位成功应用,得到用户高度肯定。
第二篇:内网管理规定(范文)
市场部内网管理规定
一、总则
为全面提升部门综合管理水平,切实提高运转效率和服务水平,加快推行无纸化办公模式,实现节能降耗的目的,规范部门电脑及网络的使用与管理,确保电脑及网络的正常运作,使电脑更好的发挥其作用,特制定本制度。
二、内网使用人员
由部门负责人指定的内网管理员及经审批同意使用的其他部门内部人员。
三、内网用途
内网主要用于处理公司各种内部文件及涉密文件。
四、内网系统
内网系统主要包括内网计算机、打印机等连接内网的办公设备。
五、内网的使用规定
1.2.内网管理员负责内网计算机等设备的日常维护及管理。内网计算机应设置密码,保证计算机信息安全。管理员必须严格遵守网络保密制度,不得将已知的用户名、密码、地址、域名等告知非授权人员;不得擅自从网络内进入部门的数据库进行调阅和更改。3.为了信息保密和数据安全,严禁任何个人在内网计算机上运行有可能对网络安全构成危害的软件以及运行有可能对网络传输带来不利影响的软件。4.计算机必须安装杀毒软件,定时查杀病毒,计算机必须与
互联网进行物理隔离;连接内网的计算机,坚持做到“涉密信息不上网,上网信息不涉密”的原则。5.未经审批不能私自拷贝、复制、打印内网计算机内相关涉密信息,如需导出,需填写《内网数据导出审批表》并经部门领导审批同意后使用指定存储介质导出。6.计算机安全管理按照“谁运行,谁负责,谁使用,谁负责”的原则。计算机设备的使用人员是第一安全责任人。7.部门内计算机、打印机等,只限内部使用,严禁外来人员操作使用。8.内网计算机管理员对本部门计算机涉密信息状况具有监督检查权,负责随机检查本部门计算机涉密信息管理及技术措施执行情况,发现涉密信息不安全因素及时上报部门主管,同时组织整改。9.内网系统运行的组织与管理工作由行政部负责,技术保障工作由网络管理员负责。用户在使用内网系统过程中发现的问题和不足,应及时向网络管理员反馈,以便进一步完善内网系统。
本制度最终解释权归公司所有。本制度自签发之日起施行。
注:附件一《内网数据导出审批表》
第三篇:电子政务内网安全
电子政务内网网络安全设计方案
方案部署说明:
一、在网络出口处部署1台路由器,通过专线与国办网络连接。
二、在路由器的后端,部署1台密码机,对出入政务内网的所有数据进行加解密处理。
三、部署1台入侵检测系统,对各安全域进行监控,及时发现网络入侵行为,并向控制台传送报警信息和事件过程记录,做到事后有据可查。
四、通过1台高性能防火墙将网络划分成“应用服务区”、“安全支撑区”和“用户终端区”。首先在防火墙上配置终端用户区域全部禁止访问服务器区域,然后,根据用户区域需要访问的服务器区域应用系统,打开的端口和协议进行特定访问权限配置,包括:登录域需要使用的TCP/UDP端口,访问的目的地址集和源地址集等,病毒服务器的策略分发、升级、远程安装需要使用的TCP端口等。配置防火墙访问控制日志保存策略,配置防火墙安全管理员、用户管理员、审计管理员的用户权限和相应的密码。
五、“安全支撑区”主要部署防病毒系统(金山毒霸网络版)、域控制器、终端审计系统(中软)、违规外联监控系统(山谷)、内网安全管理系统(锐捷)、终端及服务器安全登录系统(北信源)和USB移动存储介质使用管理系统(国迈),该区域主要为整个涉密信息系统提供安全及管理的功能支撑。
六、“应用服务区”主要部署网站、电子邮件、文档和DNS等应用系统,为整个涉密信息系统提供应用支撑。
七、在每台涉密计算机上安装中软主机监控与审计系统客户端,对终端行为进行监控。它充分利用透明加解密、身份认证、访问控制和审计跟踪等技术手段,对涉密信息的存储、传播和处理过程,实施安全保护;最大限度地防止敏感信息泄漏、被破坏和违规外传,并完整记录涉及敏感信息的操作日志,以便日后审计或追究相关的泄密责任。
八、部署1套国迈USB移动存储介质使用管理系统,对USB移动介质进行统一认证,实现信息保密、访问控制、审计等功能。用技术的手段,实现移动存储设备信息安全的“五不”原则,即:进不来、拿不走、读不懂、改不了、走不脱。
九、在系统中部署1套山谷违规外联监控系统,防止涉密网计算机接入互联网,造成涉密信息泄露。
十、在系统中部署1套北信源终端服务器安全登录系统,能够实现对用户的身份鉴别,确保只有经过合法验证的终端用户才能使用服务器,具体采用USBKeyClient和USBKey相结合的方式。
十一、另外,配备启明星辰天镜脆弱性扫描与管理系统和金路标计算机终端保密检查工具各1套,定期对涉密信息系统内服务器和计算机终端进行安全隐患检查。
十二、新增50台天津光电聚能RBI-1型电磁泄漏防护插座和10台万里红WLH-2型视频干扰器,对不符合电磁泄漏发射防护要求的计算机及服务器进行安全防护。
第四篇:企业信息安全管理 先从内网管理着手
企业信息安全管理先从内网管理着手
随着互联网技术在企业的中大规模运用,现代化企业已经离不开网络,但是由于许多企业网络管理意识薄弱,越来越多的网络问题就在不断危害着企业的利益。网络问题会给企业带来什么样的危害呢?小草上网行为管理软路由从众多企业的反馈中,收集整理了一些。
首先员工对互联网的滥用使企业的生产力严重流失、工作效率降低。使用QQ、MSN等即时通信工具是目前最为普遍的网络使用形式之一。上自企业管理者,下至普通员工,均对此情有独钟。大量的时间被用来聊天、处理私事,经由聊天工具传播的病毒、恶意软件更是不胜枚举。企业花巨资打造的信息化工作平台成为员工的私人领地和病毒桃花源。
P2P等下载软件导致关键业务应用带宽无法保证。P2P下载技术使人们可以高速获取海量的网络资源,员工可以通过这些下载工具以最快捷的方式获得自己喜欢的资源(主要是影音娱乐文件)。企业组织有限的带宽资源成为这些员工获取娱乐享受的专用通道,一条条专用通道的建立使企业组织的IT系统建设事倍功半。
通过 E-mail、MSN或者移动硬盘造成文件流失、泄露。现在越来越多的泄密事件在网上流传,比如前段时间,由于一封著名企业的高管发给同事的内部邮件不慎泄露,其中相关内容在企业内部及业内均造成了重大影响,直接致使该高管离职。
这些泄密事件表明:通过论坛、外发邮件等导致的组织内部机密信息泄漏事件的发生越来越普遍,企业所建立的机密文件管理体系形同虚设。
网页和邮件中潜伏着病毒、木马、间谍程序。调查发现,很多病毒事件是因为员工访问一些非法网页、BBS论坛或下载通过即时通信软件传播的文件而引发的。这些病毒程序不仅会降低系统效率、侵占网络带宽,而且会使企业组织的网络门户洞开,受到各种形式的威胁,从而使企业网络处于高风险和不稳定的状态,企业组织网络成了病毒实验所。
面对这些问题,小草上网行为管理软路由能够轻松管理P2P软件下载、P2P视频、在线电影、网络电视;针对带宽拥堵难题,还可以智能分配带宽,同时能够根据总流量的限制合理管控带宽资源使用,更出色的是还可以为企业关键业务设置优先级带宽使用,从而最大程度保障公司业务流通顺畅。
小草上网行为管理软路由能够帮助企业管理者管控网络滥用问题,防止网络攻击、黑客入侵,提升网络使用效率,提高员工的工作效率。
第五篇:内网安全管理系统软件技术要求
附件二
内网安全管理系统软件招标技术要求
一、产品总体要求
1、公司的资质:公司成立10年以上,具有自主研发能力,有成熟稳定的研发队伍的软件行业企业。
2、产品资质要求:必须是自主研发,稳定销售8年以上;拥有自主知识产权,通过公安部检测,获得公安部销售许可证,至少拥有以下资质证明: 公安部《计算机信息系统安全专用产品销售许可证》; 国家版权局颁发的《计算机软件著作权登记证书》; 国家版权局颁发的《计算机软件产品登记证书》;ISO9000质量管理体系认证。
3、产品实施简单,可操作性强,实施后必须保证网络稳定畅通,系统正常运行,不影响正常开展工作。
4、*至少有五家500点客户的安装实施经验。
5、有丰富的行业客户服务经验,能提供后续技术支持和维护更新等服务。
二、技术规范要求
2.1 系统要求
▲客户端操作系统支持包括:Windows98/Me/NT/2000/XP/2003/Vista/Win7/2008,必须同时支持32位及64位系统。
▲所有监控功能都能按计算机和用户两种模式实现。
▲必须支持瘦客户机、终端服务器、无盘工作站等的使用模式。
*监控系统的部署必须支持多种安装方式,包括web安装、域脚本安装、远程安装以及域组策略安装等。
*必须提供分布式服务器管理功能,并且需要支持跨区域部署管理。*必须隐藏客户端进程。
*支持与AD域的结合,可与域组织架构实时同步。管理端必须支持C/S架构登录。
客户端在离线情况下,控制及日志记录功能依然生效。
附件二
2.2 功能要求
2.2.1 基本功能
能获取计算机的基本信息,包括计算机名称,网络地址,操作系统,登录用户,当前状态等信息,以及计算机多用户登录信息的查看。
▲支持增加管理员账户并对账户权限可实现细化,如管理范围、功能权限。同时可对非系统管理员的账户可禁用、删除以及修改密码,方便权限回收。
*必须具备管理员以及审计员账户,且相互独立,并且能够提供记录管理员操作的审计平台,包括管理员登陆系统,查看日志,对内网计算机的控制等等。
*支持对各终端所设置策略的总览以及对策略的应用查询方便管理员掌握终端的策略情况,同时具有对策略的导入导出功能及复制功能。*支持邮件报警功能,可以将违规行为详细记录为日志形式并通过邮件发送至指定邮箱。*支持设定自动关机功能,提供在指定时间关机、注销及重启的功能
支持按工作时间段进行策略设置,灵活管理。
支持远程对计算机进行键盘鼠标操作锁定、关闭、重启、注销和发送通知信息等。支持对3g上网卡拨号的日志记录。
2.2.2 基本控制功能(包括基本模块及设备管控模块)
能控制计算机对本机系统设置的操作权限,包括以下多项属性,并且各项可以单独控制: *IP/MAC绑定:修改网络IP/MAC配置
控制面板:控制面板、设置屏幕属性、添加打印机、删除打印机、快速切换用户。计算机管理:设备管理器、使用磁盘管理、本地用户和组、系统服务管理、其它计算机管理。
系统:任务管理器、注册表编辑器、命令提示符、运行注册表中Run下的程序、运行注册表中Run Once下的程序
网络:修改网络属性、显示网上邻居、修改Internet选项、默认网络共享、使用网络共享、增加网络共享
其它:使用print screen键复制屏幕、系统还原、Windows自动更新
▲可以控制内网计算机对常用设备的使用权限,支持对刻录机可读不可写的控制
存储设备包括:软驱,光驱,刻录机,磁带机,可移动设备(U盘,移动硬盘,记忆棒,智能卡,MO,Zip)、便携设备(智能手机)等;支持对上面各项的单独控制。
通讯设备包括:串口、并口、USB 控制器和连接器(HUB)、SCSI接口、1394控制器红外线、PCMICA卡、蓝牙设备、MODEM、直接电缆连接、拔号连接等;支持对上面各项的单独控制。
网络接入设备:包括无线网卡,pnp网卡,虚拟网卡等;并且可以对它们单独控制。其它:声音设备,虚拟光驱,任何新设备等的使用。
▲支持USB设备的细分控制,即以下每项可单独控制,支持3G上网卡的控制。USB设备:USB 键盘、USB 鼠标、USB Modem(3G上网卡)、USB 映像设备、USB CDROM、USB 存储、USB 硬盘、USB 网卡、USB其他USB设备;支持对上面各项的单
附件二
独控制。
*支持禁止增加非系统硬盘。
*支持对Iphone等便携式设备的控制 *支持对任何其他外设的控制
*支持对无线网络的连接控制,限制禁止连接的无线网络。
对计算机的硬件变化,设备的插入拔出,存储设备变化,通讯设备变化,软件变化,系统服务变化,启动项变化,系统时钟变化,计算机名称变化,网络配置变化等能提供报警信息并作为日志记录。
2.2.3 移动存储控制
支持对内网计算机控制其对指定移动存储设备的读写权限。支持自动收集客户端上使用过的移动存储信息,并可以自定义添加备注信息。同时支持移动存储分类库,允许对移动存储进行自定义分类,按类库进行管理。支持可按照对移动存储的描述进行控制。
支持所有通过USB接口方式连接计算机的存储设备。
支持在指定计算机上使用制定移动存储设备时,自动对复制/移动的文件进行加解密控制,加密后的文档只允许在具有自动解密权限的客户端计算机处才能打开,否则打开为乱码。
支持将指定移动存储格式化成加密盘,只能在内部装了客户端的计算机处正常使用,非客户端计算机无法使用。
能够记录内网计算机使用移动存储设备的情况;包括操作时间,操作类型(插入/拔出),计算机、用户、移动存储类型等。
2.2.4应用程序管控
支持通过禁止应用程序分类或禁止应用程序名称、应用程序窗口标题的形式来禁止计算机使用非法程序。
针对应用程序更改名称或路径的情况,所做的控制必须依然生效。能自动收集客户端计算机运行过的应用程序,并支持分类管理。
支持记录所有应用程序的启动/关闭、窗口的切换标题动作;并可以按时间范围,计算机范围,应用程序名称,应用程序路径、窗口标题这几种查询条件查询。
支持通过自定义的时间范围,对单个工作人员,部门,或整个网络的计算机的应用程序使用情况进行统计;
统计结果必须有列表和图表两种显示方式;
统计方式必须包括是:按应用程序类别统计、按应用程序名称统计、分项统计(统计各组计算机的应用程序使用),按明细统计等。
2.2.5远程维护
支持远程查看网络内的客户端计算机当前运行的应用程序,进程,性能,设备管理,系统服务,磁盘管理,共享文件夹,计划任务,用户和组等。同时支持对应用程序,进程,附件二
设备管理,系统服务,共享文件夹,计划任务的控制。支持对客户端的远程控制。
支持远程文档传输,提供客户端与控制台相互传送文件的功能。必须支持经过客户端允许或密码设定才能远程控制。支持远程卸载客户端计算机上软件功能
2.2.6屏幕监控
▲屏幕历史记录的数据量:平均一帧数据量少于▲支持对指定应用程序运行过程的屏幕记录。▲支持对应用程序的变频记录。
25K 支持通过控制台实时查看员工当前工作的计算机桌面,并可将当前屏幕保存为图像,支持对终端用户登录的屏幕分屏查看。支持同时对多屏进行监视。支持扩展显示器的监视。
能记录计算机当天的屏幕历史画面,并可以按指定的计算机查看指定日期范围内的屏幕历史记录,以播放器的方式播放某一天的屏幕历史,并可将当前播放的屏幕历史另存为视频文件。
2.2.7资产管理
支持对客户端计算机的硬件和软件资产信息的统计,并支持按分组或计算机统计硬件和软件的分布情况,同时支持设置自定义查询条件。
支持自定义添加企业内的非软硬件资产信息,并支持设置自定义查询条件。
支持实时查看客户端计算机补丁情况,并允许对补丁进行修补,同时不需要另外搭建wsus服务器。
支持自动扫描计算机的系统漏洞并提供解决漏洞问题的建议。支持通过控制台集中向客户端自动分发安装程序并自动安装,或分发各种文件到指定的目录下,以及分发其它执行程序到目标计算机的功能。支持对硬件资产添加自定义信息描述。
三、可靠性要求
数据库的存储能力及维护,为节省数据库维护成本以及防止因部分数据库损坏而影响所有数据,需要对日志数据采用按天存储的功能。每天产生独立的数据库,数据库出错无法修复也只影响受损数据库所保存的当天数据。
当操作系统处于正常模式和安全模式下都能正常监控。
要求监控系统有一定的自我保护能力,不会轻易遭到破坏,并且不能自行卸载,必须通过授权才能卸载。
每个服务器支持超过3000个终端在线管理。
系统进行局域网发现时节点占用带宽不超过20Kbps。
附件二
系统进行文件分发、文件传送等操作时占用带宽不超过200Kbps。系统在局域网环境内进行一遍节点轮询占用带宽数不超过20Kbps。附注:三年免费质保,三年免费服务。产品支持570个工作站。
点击咨询 