终端lansecs内网安全管理系统解决方案制造业

制造业内网安全管理保密事宜

系统解决方案

本文档包含北京圣博润高新技术有限公司的专有商业信息和保密信息。接受方同意维护本文档所提供信息的保密性承诺不对其进行复制或向评估小组以外、非直接相关的人员公开此信息。对于以下三种信息接受方不向圣博润承担保密责任

1、 接受方在接收该文档前 已经掌握的信息。

2、 可以通过与接受方无关的其他渠道公开获得的信息。

3、 可以从第三方无附加保密方式获得的信息。

适用范围

此文档是圣博润为制造业XXX公司提供的Lan S ec S内网安全管理系统解决方案

1. 计算机终端安全管理需求分析. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

1.1. 网络管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

物理网络拓扑图. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

流量控制. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

IP地址管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

故障定位. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

1.2. 终端安全防护. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

补丁安装防护. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

防病毒防护. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

进程防护. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

网页过滤. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

非法外联防护. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

1.3. 终端涉密信息防护. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

终端登录安全认证. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

I/O接口管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

桌面文件安全管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

文件安全共享管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

网络外联控制. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

1.4. 移动存储介质的管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

15.网络接入控制. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

1.6. 计算机终端管理与维护. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

1.7. 分级分权管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

2. 计算机终端安全防护解决方案. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

2.1. 方案目标. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

2.2. 遵循标准. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

2.3. 方案内容. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

网络管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

物理网络拓扑图. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

流量控制. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

IP地址绑定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

故障定位. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

终端安全控制. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

补丁管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

防病毒控制. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

进程监控. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

网页过滤控制. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

非法外联控制. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

终端安全审计. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

移动存储介质管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

注册授权. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

访问控制. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

数据保护. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

自我保护. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

操作记录. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

计算机终端接入控制. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

非法主机的定义. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

非法接入控制策略. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

非法接入阻断技术实现原理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

计算机终端管理与维护. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

主机信息收集. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

网络参数配置. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

远程协助. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

预警平台. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

3. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .系统设计

3.1. 产品设计思路. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

32产品的设计原则. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

3.3. 产品标准符合性设计. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

RMR 17-2006符合性. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

ISO 27001符合性. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

3.4. LanSecS系统简介. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

3.5. LanSecS系统架构设计. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

36 LanSecS系统功能设计. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

安全审计. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

安全加固. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

安全服务. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

安全网管. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

资产管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

3.7. LanSecS系统安全性设计. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

控制中心安全性. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

主机代理安全性. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

数据库安全性. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

策略分发与存储安全性. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

主机代理与控制中心通讯安全性. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

4. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .系

统特色与系统部署. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

4.1. LanSecS系统特色

4.2. LanSecS典型部署

简单内网环境. . . . . . . . . . .

本地多内网环境. . .

分级部署环境. . . . . . .

5.2. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .系

统二次开发扩展支持. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

6.产品配置要求. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

随着科技的发展计算机和网络作为现代企业重要的工具 在日常办公过程中发挥着越来越重要的角色。计算机和计算机网络已经成为企业、政府和其它各种组织的重要信息载体和传输渠道。很明显计算机、计算机网络和其所带来的信息数字化大幅度提供了工作效率也使得海量的信息存储和处理成为了现实。 但是在享受到计算机以及计算机网络所带来的方便性的同时也出现了目前受到广泛关注的对内网设备如何进行有效管理的问题 以及由此带来的网络信息安全问题。

目前随着制造业单位规模不断增大 IT硬件成本降低、更新换代速度比较快单位为了提高工作效率不断的增加新的设备 因此机器数量和网络规模也随之增多、增大。员工办公感觉是越来越方便了但是给网络管理员带来的内网管理问题却越来越重了。首先是网络的管理 IP混乱、网络拥塞、出现故障无法及时定位进行解决其次是资产的管理越来越多的设备使资产管理处于混乱 管理员疲于资产的统计。

在内网信息安全管理方面尤其是设备自身的健壮性如何保证设备硬件所承载的系统能够正常运行另一方面对于单位内部的设计部门 由于数字信息本身具有易于复制的特性利用这个特性信息更易于受到难以控制和追溯的盗取威胁 网络使信息更容易受到破坏、更改和盗取。很明显能否最大限度确保企业内部数字信息的安全性已经关系到了计算机和计算机网络能否真正成为有实质意义大规模应用的关键因素。如何提高安全性保证机器的正常办公、如何将非法入侵者拒之门外、如何防止内部信息外泄如何更好的保证网络快速高效运行 这些都是制造业目前在进行网络化过程中必须解决的问题。

目前各行业内部网络所采取的安全措施基本上是采用防火墙、 入侵检测等安全产品放置于内部网络和外网连接处保证网络层的安全 并采用操作系统或应用系统所带的身份验证机制或通过安装物理隔离卡将内部局域网划分成内网与外网两个组成部分。 内部网络上大多数的应用对制造业单位是至关重要的甚至是严格保密的。一旦出现病毒传播、破坏的事件将产生严重后果。这些都使得内网安全问题变得越来越重要和突出。而内网安全存在许多问题为了防范各种各样的安全风险 必须在内网建立可靠的网络管理、安全监控和审计控制 以保证内部系统的顺利运行。为了确保制造业单位内部的IT系统的平稳运行一个健壮的内网安全管理体系是十分重要的。

作为制造业的计算机终端安全管理方案而言需要解决如下问题

1.1.网络管理

在制造业的网络环境中 由于单位规模、 单位办公的需要 存在很多的工作区域甚至在外地也有自己的办事处和生产车间 为了便于企业内部的信息共享 一般采用专线或其他网络互联技术使之与内部网络连接 便于单位内部的数据管理和办公管理。但是大规模的网络环境、复杂的分支机构给网络管理带来了极大的困难设备的分布不明确流量管理没有依据对于静态IP地址环境地址混乱、冲突也是很棘手的问题。针对网络管理方面主要包括一下几个方面

1.1.1.物理网络拓扑图

单位的内部网络是由网络设备共同作用协同工作建立起来的主要设备有路由器、交换机、 HUB而在局域网中对数据交互起核心作用的是交换机。 目前的网管软件可以对逻辑拓扑图进行绘制对交换机的面板信息进行提取和控制但是无法看到终端设备和交换机端口的物理连接关系 无法从拓扑图上看到下连设备的信息。如何建立起交换机端口和设备的连接关系是至关重要的 因为端口的流量信息其实就是设备的流量信息 想要掌控设备 只要对交换机端口进行控制就可以了。

因此物理拓扑图显示设备与端口的物理连接关系会给管理带来极大的方便。

1.1.2.流量控制借助物理网络拓扑图上设备的物理连接关系通过可网管交换机端口的流量控制能够对交换机下连的设备进行端口控制 关闭端口或是打开端口。但是内部网络环境中不可能所有的交换机全部都是可网管的 而且管理员不可能天天进行端口的打开、 闭合操作 除非是出现异常的网络攻击和拥塞时 才会采取如此非常手段。 因此对于日常的控制来说 最有效的方法是通过控制每个终端设备的网卡流量 如果能将设备的流量控制在一定的范围内 既保证了设备的正常工作使用又可以防范在非法使用P2P下载软件抢占带宽和病毒爆发时给网络速度带来的拥塞这对于管理来说才是实用的管理手段。

1.1.3. IP地址管理

为了便于管理 出现问题能够及时追查 网络建设时管理员通常使用静态IP地址这对于管理来说确实是一个有效可行的措施。但是由于员工的计算机操作水平不同很可能造成随意修改IP地址带来的内网地址冲突这给内网管理带来很繁琐的问题。虽然通过在

核心或二层交换机上可以通过命令来绑定IP/MAC地址从而消除上述问题但是工作量庞大 因此彻底屏蔽 IP地址冲突的问题是网络管理必须要做的。

1.1.4.故障定位

很多制造业内部网络庞大分支繁多一旦终端机器或网络链路出现问题 很难迅速定义问题点 如果从链路着手解决问题 除非管理员此前做了详尽的网络链路备份信息表每次增加机器都需要逐台进行记录 否则从众多网络排线中找出问题链路将是一件十分费时、费力的事情。

1.2.终端安全防护

单位内网进行办公所运行的各种服务都是应用在终端设备的基础上一旦终端设备的安全性出现问题那么所有其承载的服务将无法运行严重影响单位的工作效率 给单位的生产造成损失。 因此必须保证机器的健壮性 为了保证机器的正常运行包括以下几个方面

1.2.1.补丁安装防护

目前在制造业的单位中 承载各种应用的操作系统90%以上的端终用户使用的都是windows2000,XP或以上的操作系统但是这几种操作系统的安全漏洞非常多很容易收到攻击。微软公司会通过定期发布安全补丁的方式来弥补这些漏洞但由于某些员工用户缺乏相关知识 或者处于研发部门的设计网是和单位局域网物理隔离的网络 从而导致补丁安装的不完全 不及时这就会严重影响终端计算机的安全 一旦发生针对微软操作系统漏洞的攻击 就会导致整个网络受

到威胁。

1.2.2.防病毒防护

员工由于防范病毒意识较淡薄 没有安装防病毒软件 或者由于个人对防病毒品牌的倾向性 从而发生没有安装防病毒软件 甚至意外卸载 或防病毒软件没有运行这样不仅使单台PC机受到病毒侵害而且一旦感染病毒可能回向内网的其他机器传播 导致整个内网病毒泛滥 甚至网络拥塞。 因此一定要保证防病毒软件的安装、正常运行、及时升

级。

1.2.3.进程防护

由于当前大量病毒以及恶意程序的存在 而这些程序对于普通用户而言并不知情甚至有些恶意程序通过技术手段使得用户无法通过任务管理器看到其工作进程另一方面有些用户可能有意或无意地运行一些可能会影响他人或自己工作的软件如网络嗅探器 。

单位的机器目的是提高员工的生产效率 充分利用上班时间为单位创造更多效益但是某些娱乐性软件严重影响了员工的工作效率 某些下载软件造成网络速度减慢影响了内网的正常办公。

因此通过制定策略 实现对非法进程的监控并阻止 能够大大减少由内部引起的网络安全事件提高我们的工作效率。

1.2.4.网页过滤

某些员工访问Internet时 由于安全防范意识不够登陆恶意网站造成机器受到攻击从而产生病毒感染、机器不能正常使用注册表被修改、浏览器无法正常的访问网络严重的甚至会植入木马造成机器重要数据的网络泄密。 因此必须对内网机器的网络访问进行必要的过滤。

1.2.5.非法外联防护

单位内部的局域网会在网络的出口上增加相关的安全硬件防护设备例如防火墙、ID S、 IP S、防病毒网关等设备来加强边界的防护保证内网的安装。但是员工由于好奇或者厌烦上网出口的种种限制通过Moden或ADSL拨号方式访问Internet 极易受到外部网络的攻击当该机器一旦受到攻击 回到内网后很容易将相关病毒、木马向内网传播。

1.3.终端涉密信息防护

在现代生活中信息就是财富。无论是国家、政府、企业和个人都不希望机密信息被别人窃取 造成各种经济和社会损失。对制造业单位的设计、研发部门来说机密信息的存储、使用和传递过程中会面临各种各样的泄漏风险。

信息外泄的途径包括 本地打印机、网络打印机的非法输出涉密文件 终端计算机非

法拨号、非法外联访问 离线存储设备存储涉密文件遗失 内部员工使用涉密计

算机连接外部网络致使泄密 工作人员由于对计算机专业知识的不熟悉而泄密。

从泄密行为的区别上分为两种泄密被动泄密和主动泄密。 被动泄密 由于员工的电子信息保密的意识还不强 常常由于专业知识不熟悉或者工作疏忽而造成泄密。 如有些人由于不知道计算机的电磁波辐射会泄露秘密信息 计算机工作时未采取任何措施 因而给他人提供窃密的机会 有些人由于不知道计算机软盘上的剩磁可以提取还原 将曾经存贮过秘密信息的软盘交流出去 因而造成泄密 有些人因事离机时没有及时关机 或者采取屏幕保护加密措施使各种输入、输出信息暴露在界面上 有些人对自己使用的计算机终端缺乏防护意识如没有及时升级病毒库和更新系统补丁导致病毒和木马的入侵 在不知不觉中泄露了机密信息。

主动泄密这种情况是由于内部员工出于个人利益或者发泄不满情绪 有意识的收集和窃取机密信息。 由于电子信息文档不像传统文档那样直观 极易被复制且不会留下痕迹 所以窃取秘密也非常容易。 电子计算机操作人员徇私枉法 受亲友或朋友委托 通过计算机查询有关案情 就可以向有关人员泄露案情。计算机操作人员被收买 泄露计算机系统软件保密措施 口令或密钥 就会使不法分子打入计算机网络窃取信息系统、数据库内的重要秘密。

对于制造业单位来说 涉密终端计算机作为涉密信息处理的工具在其上存储、传输和处理的涉密信息的安全性保护相当重要。任何一个环节的疏漏均可导

致涉密信息的丢失。因此必须加强对涉密信息的防护。当前对涉密信息的防护需求主要包括如下几个方面

1.3.1.终端登录安全认证

终端用户当前通过用户名/口令方式进行计算机本地/域登录然而用户名/口令方式虽然简单但是存在很大的安全隐患

密码管理复杂

密码容易泄漏

存在暴力破解的可能性无法阻止他人恶意非法盗用

因此作为终端安全管理的第一步 首先需要解决终端登录安全认证的问题。

1.3.2. I/O接口管理

随着计算机外设的增多各种各样的输出设备软驱、刻录机、打印机、绘图仪、移动存储设备、红外、蓝牙、无线网络设备为信息处理和传输提供极大便利的同时也为机