内网信息安全管理软件
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
内网信息安全管理软件标准化文件发布号:(9312-EUATWW-MWUB-WUNN-INNUL-DQQTY-
合同登记编号:
技术开发合同
签订时间:
签订地点:
有效期限:
中华人民共和国科学技术部印制
填写说明
一、本合同为中华人民共和国科学技术部印制的技术开发合同文本,各技术合同登记机构可推介技术合同当事人参照使用。
二、本合同书适用于一方当事人委托另一方当事人进行新技术、新产品、新工艺、新材料或者新品种及其系统的研究开发所订立的技术开发合同。
三、签约一方为多个当事人的,可按各自在合同关系中的作用等,在“委托方”、“受托方”项下(增页)分别排列为共同委托人或共同受托人。
四、本合同书未尽事项,可由当事人附页另行约定,并可作为本合同的组成部分。
五、当事人使用本合同书时约定无需填写的条款,应在该条款处注明“/”等字样。
双方经过平等协商,在真实、充分地表达各自意愿的基础上,根据《中华人民共和国合同法》的规定,达成如下协议。
第一条本合同研究开发项目的要求如下:
1.技术范围及要求:
当今社会,计算机与网络的使用越来越频繁,人们在服务器和主机保存的信息量越来越多,对于企业而言计算机网络已逐渐成为主要的信息传输载体和渠道。网络信息安全问题也随之增多,给企业利益造成了不可估量的损失和影响。因此,针对企业内部网络数据信息安全而采取必要的应对和预防措施是非常有必要性的。本文根据定西移动对信息安全的需求,结合了众多管理信息安全的方法,构建了一个具有全面性、统一性、客观性的、严谨的内网安全管理系统。通过采取更加严格的安全控制措施定期管理和维护内网数据,更有针对性的管理内网中计算机终端、外设、服务器、文件数据和员工等因素,并形成一个完整的安全管理系统,最终达到提高企业生产力的目的。本文将该系统设计成有四个子系统:可信网络监控子系统、可信数据管理子系统、可信网络认证子系统、以及可信网络保密子系统组成,并且对可信数据管理子系统和可信网络认证子系统的研究和完成做了具体的讲解。可信数据管理体系不但可以禁止非法入侵或连接外网,也可以保护内网不被非法者窃听,还可以在多种工作环境中对移动储存设施进行充分的管理;而可信网络认证体系的主要作用是授权给服务器和计算机可以进行特定操作、以及对用户的身份信息采取统一识别。并经过在企业内部检测后证明这两个子系统都是安全的、实用的。
2.技术架构:
内网信息安全管理软件功能架构图如下:
内网信息安全管理软件关键技术:
访问控制技术是保障网络安全和防范网络安全事件的有效方法,是信息安全技术的一个热点领域。访问控制技术实现涉及主体、客体和访
问策略三个方面及他们之间的关系。不同的关系构成不同的访问模型,对于不同的访问模型也会制定不同的符合安全原则的访问控制策略。访问控制与授权关系密切,在访问控制获得授权的前提下,主体才能使用客体的信息资源。访问控制通过对用户访问内网信息资源进行权限设定,来限制用户对这些信息进行修改、删除或复制等操作。通过访问授权控制,也可以限制未授权用户接入内网,修改或窃取内网信息。访问控制技术为用户访问设定最小的权限,使其只能够完成工作所需的操作,不能对内网信息执行不必要的操作。权限控制和存取控制是主机系统必备的安全方法,系统根据征求的认证,为用户分配合理的操作权限,使其不能越权操作。
应达到的技术指标和参数:
技术指标:
(1)响应时间:5s 平均每个页面
(2)并发用户数:600个同时在线数
质量属性需求参数
网络信息安全系统必须具有良好的兼容性和易用性,不能改变现有办公系统的主要结构,也不会对业务系统的操作人员带来过多的习惯改变,对现有的办公系统性能影响小;网络信息安全系统与应用的相关性应该尽可能地低,应该支持应用系统的升级和新应用的扩展,支持现有办公系统的扩展;
3.技术内容:
软件主要包括安全认证、集中控制、外接存储管理、信息加密。
1、安全认证
安全认证包括网络认证、安全登录。
网络认证
利用PKI认证等技术,管理和控制接入办公环境的计算机,通过对接入网络的计算机进行系统认证,只有经过授权的计算机终端或者用户才能接入内部局域网,访问内部局域网中的计算机和服务器,及时阻止未经认证计算机的接入,防止外来计算机的非法接入。
安全登录
必须是合法用户(经过管理员授权)使用自己的并输入正确口令后,才能进入计算机操作系统,没有经过授权的用户不能随便使用别人或者别的部门的计算机。计算机就会自动锁定,当用户回到计算机旁边时,重新输入口令时,计算机就会自动恢复到锁定前的状态,防止其他人在用户离开时窃取机密信息。
2、集中监控
集中控制包括实时监控、网络行为监控、网络访问控制、应用程序管理、文件操作记录。
能够进行内网计算机终端的集中管理和监控,主要操作IP地址绑定、实时状态监控、应用程序监控、文件操作监控、网络行为管理,资产管理等。并会留下记录。
实时监控
实时监控的功能是对客户端计算机状态进行远程监视和控制,这些状态有以下几种:
1)监视安装的程序、操作系统补丁等安装信息;
2)监视驱动和服务的运行状态是否出现异常;
3)监视当前网络连接状态是否出现异常;
4)监视用户打开的窗口是否违规,管理员可关闭违规窗口;
5)监视运行的进程是否违规,如发现异常进程(木马、病毒)可及时结束;
6)监视系统用户和用户组;
7)监控网络共享使用情况,管理员能够关闭共享目录。
网络行为监控
对内网计算机终端的网络行为进行严格监控,阻止内网计算机终端通过无线网络、代理服务器、ADSL宽带、电话拨号或者其他方式非法接入外网。通过采用IP包重构技术,使得内网计算机终端不能通过任何方式连接到不安全的网络或计算机。
网络访问控制
对内网中的计算机终端可以根据需要按照使用用户的部门、等级等条件对内网进行虚拟安全域(VCN)划分,也可以进行更精细的划分,提高内网整体的安全性能。同一个划分区域内的计算机终端可以进行相互访问,限制或禁止不同划分区域内计算机终端的互相访问。
应用程序管理
应用程序管理功能为管理员提供了能够集中授权管理客户端应用的策略。管理策略包括设置白名单或黑名单的方式、基于服务名称的方式、基于进程名称的方式和基于窗口名称的方式等。例如:管理员可以禁止BT等网络下载工具和各种与企业工作无关的软件运行。由于采用了针对程序窗口名的监控方式,用户即使是修改了程序名也不能避开系统的监控。