LanSecS信息安全等级保护综合管理系统
信息安全等级保护评估系统快速使用手册文档
第一章前言本手册主要介绍如何快速使用信息安全等级保护评估系统。
1.1 文档目的通过阅读本文档,使用户能够快速的了解该系统的整个业务流程,正确的使用该系统。
1.2 约定本文档遵循以下约定:图形界面操作的描述采用以下约定:“”表示按钮。
点击(选择)一个菜单项采用如下约定:点击(选择)高级管理 > 特殊对象>用户。
文档中出现的提示、警告、说明、示例等,是关于用户在使用本手册过程中需要特别注意的部分,请用户在明确可能的操作结果后,再进行相关配置。
1.3 技术服务体系天融信公司对于自身所有安全产品提供远程产品咨询服务,广大用户和合作伙伴可以通过多种方式获取在线文档、疑难解答等全方位的技术支持。
第二章系统结构信息安全等级保护自评估系统由三个子系统共同组成:等级评测、用户管理和安全对象管理子系统。
等级评测子系统是整个系统的核心。
如下图。
级保安全对象管理子系统等级备案系统录入定级第三章使用系统3.1 登陆系统系统搭建完毕后登录系统,web访问地址一般是系统搭建的应用服务器的IP地址加端口,例如:。
系统预置超级管理员admin,密码topsec123,访问用户管理子系统,登录后创建项目经理(也就是项目负责人)和项目成员,并为其分配权限。
项目经理:项目经理也就是项目的负责人,(可以根据系统需求分配相应权限)监督项目的进展、创建评测项目等。
项目成员:负责整改任务、检查任务(答题)(可以根据系统需求分配相应权限)。
管理员以哪种角色登录即拥有相应的管理权限。
3.2 添加安全对象项目经理选择安全管理子系统,登录后添加安全对象,也可以登录到等级保护子系统后二次连接到安全管理子系统添加安全对象。
如下图所示,在该系统页面添加安全对象。
3.3 等级备案等级备案模块完成等级保护评测对象的添加。
在创建评测项目之前需要添加单位信息,然后系统录入定级(添加业务系统,业务系统是进行等级保护评测的评估对象),备案库中备案。
(备案可以在评测项目任何期间进行)1)添加单位信息。
LanSecS内网安全管理系统解决方案
LanSecS内网安全管理系统解决方案适用范畴此文档是圣博润为医疗行业XXX医院提供的LanSecS内网安全治理系统解决方案。
目录1.运算机终端安全治理需求分析 .............................................................. V II1.1.网络治理 (VIII)1.1.1.物理网络拓扑图 (VIII)1.1.2.流量操纵 (VIII)1.1.3.I P地址治理 (IX)1.1.4.故障定位 (IX)1.2.终端安全防护 (IX)1.2.1.补丁安装防护 (IX)1.2.2.防病毒防护 (X)1.2.3.进程防护 (X)1.2.4.网页过滤 (X)1.2.5.非法外联防护 (X)1.3.终端涉密信息防护 (XI)1.3.1.终端登录安全认证 ...................................................................... X II1.3.2.I/O接口治理.............................................................................. X II1.3.3.桌面文件安全治理 ...................................................................... X II1.3.4.文件安全共享治理 (XIII)1.3.5.网络外联操纵 (XIII)1.4.移动储备介质的治理 (XIII)1.5.网络接入操纵 (XIV)1.6.运算机终端治理与爱护 (XV)1.7.分级分权治理 (XV)2.运算机终端安全防护解决方案 (XVI)2.1.方案目标 (XVI)2.2.遵循标准 (XVI)2.3.方案内容 (XVIII)2.3.1.网络治理 (XVIII)2.3.1.1.物理网络拓扑图 (XIX)2.3.1.2.流量操纵 (XIX)2.3.1.3.IP地址绑定 (XX)2.3.1.4.故障定位 (XX)2.3.2.终端安全操纵 (XX)2.3.2.1.补丁治理 (XX)2.3.2.2.防病毒操纵 (XX)2.3.2.3.进程监控 (XXI)2.3.2.4.网页过滤操纵 (XXI)2.3.2.5.非法外联操纵 (XXI)2.3.3.终端安全审计 (XXI)2.3.4.移动储备介质治理 ................................................................... X XIII2.3.4.1.注册授权 (XXIV)2.3.4.2.访问操纵 (XXIV)2.3.4.3.数据爱护 (XXV)2.3.4.4.自我爱护 (XXV)2.3.4.5.操作记录 (XXV)2.3.5.运算机终端接入操纵 (XXVI)2.3.5.1.非法主机的定义 (XXVI)2.3.5.2.非法接入操纵策略 (XXVI)2.3.5.3.非法接入阻断技术实现原理............................................... X XVII2.3.6.运算机终端治理与爱护........................................................... X XVIII2.3.6.1.主机信息收集.................................................................. X XVIII2.3.6.2.网络参数配置 (XXIX)2.3.6.3.远程协助 (XXIX)2.3.6.4.预警平台 (XXIX)3.系统设计 (XXX)3.1.产品设计思路 (XXX)3.2.产品的设计原则 (XXX)3.3.产品标准符合性设计 (XXXI)3.3.1.B MB17-2006符合性 (XXXI)3.3.2.I SO 27001符合性 (XXXI)nSecS系统简介 (XXXIV)nSecS系统架构设计 (XXXVI)nSecS系统功能设计......................................................... X XXVIII3.6.1.安全审计............................................................................. X XXVIII3.6.2.安全加固 (XXXIX)3.6.3.安全服务 (XXXIX)3.6.4.安全网管 (XXXIX)3.6.5.资产治理..................................................................................... X LnSecS系统安全性设计............................................................ XLI3.7.1.操纵中心安全性......................................................................... XLI3.7.2.主机代理安全性........................................................................ XLII3.7.3.数据库安全性........................................................................... XLII3.7.4.策略分发与储备安全性............................................................. X LIII3.7.5.主机代理与操纵中心通讯安全性 ............................................... X LIII4.系统特色与系统部署........................................................................... X LVnSecS系统特色...................................................................... X LVnSecS典型部署................................................................... XLVII4.2.1.简单内网环境......................................................................... XLVII4.2.2.本地多内网环境..................................................................... XLVIII4.2.3.分级部署环境.......................................................................... XLIX5.技术服务 ......................................................................................... XLIX5.1.售后技术服务.......................................................................... XLIX5.2.系统二次开发扩展支持.................................................................. L6.产品配置要求....................................................................................... LI随着科技的进展,运算机和网络作为现代医院重要的工具,在日常办公过程中发挥着越来越重要的角色。
信息安全等级保护综合管理系统
开发背景
信息安全等级保护标准
GB17859-1999《计算机信息系统安全保护等级划分准则》
GB/T 22239-2008《信息系统安全等级保护基本要求》
GB/T 22240-2008《信息系统安全保护等级定级指南》 GB/T ×××-201×《信息系统安全等级保护实施指南》
GB ××××-201×《信息系统安全等级保护测评要求》
2003年
2000年
2003年5月公司完成转型,成功研发出LanSecS®内网安全管理产品。 2003年11月LanSecS®内网安全管理软件开始应用于东北电网6000点安全项目中。
2000年6月公司成立,主要从事网络安全集成和相关服务。 2000年11月公司成功签约航天五院网络安全集成项目。 2000年12月公司通过国家高新技术企业认证。
哪些单位等保工作卓有成效 各下属单位有多少信息系统做过安全建设整改 下一步等级保护工作重点是什么
等级保护 工作平台
等保工作自动化,工作效率提高 等保工作流程化,规范性提高 等保工作常态化,融入日常信息安全工作当中
系统架构
业务管理层
等保工作管理
定级备案管理 建设整改管理 等级测评管理 安全检查管理 风险评估管理 安全评价管理
系统接口层
审计数据接口 安全事件接口 资产信息同步接口 等级保护备案数据共享接口
系统功能-定级备案管理
定级备案管理
信息系统 定级助手
备案信息 录入
备案信息 统计查询
备案信息 导入导出
系统功能-定级备案管理
系统功能-定级备案管理
系统功能-定级备案管理
系统功能-定级备案管理
系统功能-安全建设整改管理
LanSecS(堡垒主机)内控管理平台用户使用手册
LanSecS内控管理平台(堡垒主机)用户手册目录第一章系统简介 (5)1关键字 (5)2部署结构 (6)3系统登录 (7)第二章单点登录(SSO) (9)1单点登录(SSO) (9)1.1界面 (9)1.2功能说明 (10)1.3操作描述 (10)2单点登录控件及工具安装 (10)2.1界面 (10)2.2功能说明 (10)第三章流程 (11)1概述 (11)2管理流程 (12)3登录流程 (12)第四章元目录 (13)1目录管理 (13)1.1界面 (13)1.2功能说明 (13)2自然人(主帐号)管理 (14)2.1界面 (14)2.2功能说明 (14)2.3操作描述 (15)2.4示例 (15)3资源管理 (16)3.1界面 (16)3.2功能说明 (17)3.3操作描述 (17)3.4示例 (19)4角色管理 (21)4.1界面 (21)4.2功能说明 (21)4.3操作描述 (21)5计划管理 (22)5.1界面 (22)5.2功能说明 (22)5.3操作描述 (23)6内部审计管理 (23)6.1界面 (23)6.2功能说明 (23)6.3操作描述 (24)7行为审计管理 (24)7.1界面 (24)7.2功能说明 (24)7.3操作描述 (25)8审计报表 (25)8.1界面 (25)8.2功能说明 (25)8.3操作描述 (26)第五章配置管理 (27)1策略配置 (27)1.1主机命令控制策略 (27)1.2客户端地址控制策略 (29)1.3访问时间控制策略 (30)1.4访问锁定策略 (31)1.5密码策略 (32)2服务配置 (33)2.1堡垒机管理 (33)2.2图形服务开关 (33)2.3审计服务定义 (33)2.4帐号同步计划 (34)3系统配置 (35)3.1系统监控 (35)3.2网络配置 (36)3.3环境配置 (37)第一章系统简介内控堡垒主机系统是安全内控解决方案的重要组成部分,部署在企业的内部网络中,用于保护企业内部核心资源的访问安全。
LanSecS_6.2_功能介绍
1.2 反病毒软件监控 安装监控:监控终端计算机是否安装了反病毒软件。 启动监控:监控终端计算机是否启动了反病毒软件。 更新监控:监控终端计算机是否更新了反病毒软件。 监控策略:当终端计算机上的反病毒软件出现了没安装、没启动、没更新的情况后, 可以提醒终端计算机使用者安装、启动、更新反病毒软件;在提醒被无视 的情况下,可以对终端计算机的网络访问权限进行限制。
等协议的访问。在网络访问控制上,策略还可以细化到针对特定的协议、特定的网络端口以 及在特定的时间段允许或是阻断网络连接。
© 版权所有 圣博润
第4页
产品简介
三、 安全服务
3.1 预警平台 为了方便网络管理员对内网情况的统计,预警平台把所有报警和收集信息统一进行显示 和集中管理。预警内容包括报警信息分类、报警事件源、报警客户端 IP、主机名、Mac 地址 等信息。 3.2 软件分发 软件分发功能提供了由服务器端向指定客户端分发可执行的软件、任意格式的文件和文 件目录类安装程序。文件目录类安装程序例如微软的 OFFICE 安装包。软件分发可以在线进 行软件安装,也支持离线策略,例如:客户端计算机不在线或未开机的情况下,分发的软件 将在客户端计算机下次在线或下次启动的时候,进行分发。分发支持断点续传功能。 3.3 客户端消息提示 为了增加管理的便捷性,对客户端集体或单个的发送管理员消息,客户端可以通过对话 框和管理员进行对话,及时提醒应用者目前存在的问题和发应问题解决结果,方便管理员对 内网问题的及时解决。 3.4 远程计算机桌面监控 如果计算机系统存在安全问题或是非法操作,为了及时准确的获得当前计算机的情况并 将情况准确再现,网络管理人员可以通过桌面快照查看当时计算机的操作状态,同时可以控 制鼠标与键盘的使用。 3.5 远程控制计算机 远程管理主要是为了方便网络管理人员在远程对计算机进行关机、重启或是锁定的具体 操作。使管理人员在第一时间控制非法的计算机或是非法的操作。 3.6 远程控制进程和服务 远程控制进程和服务功能主要是为了方便网络管理人员在远程对计算机进行进程和服 务查看和控制的具体操作。使管理人员在第一时间控制非法的进程或是非法的服务。 3.7 远程网络连接和流量查看 网络连接和终端流量监控功能方便网络管理人员对计算机的网络连接和终端流量进行 查看。方便管理员对网络连接和终端流量信息的收集。
产品配置手册
LanSecS内网安全管理系统配置手册北京圣博润高新技术股份有限公司Beijing SBR Information Technology Co., LTDLansecs服务器安装完成后,需要登陆控制台进入系统初始化的操作。
具体操作过程如下:以下过程,工程师要牢记,并且在给客户安装完产品后,一定要做完以下工作,再给用户做演示。
一、首先,以系统管理员登录管理控制台:系统管理员用户名:sysadmin,密码:sysadmin.做两件事:(1)、编辑单位信息、创建部门。
(2)、新建系统操作员角色及用户,1、创建单位和部门点击菜单栏“功能”→“系统管理”→“系统管理中心”,出现如图:创建单位点击“注册管理”→“单位列表”,选中“默认单位”,点击右侧的“编辑单位”;修改成客户真实的单位名称。
新增部门第一次进入本系统,需要对单位下的部门进行编辑,选中单位名称,点击右侧的“新增部门”,在弹出的对话框中输入“部门名称”,点击“提交”,即可在部门列表中新增部门信息。
(注:新建部门非常重要,只有新建了部门之后,在下一步建角色时才能选择能够管理哪些部门,否则,无法选择,在项目实施时,一定要将所有部门一次建好)2、新建系统操作员角色及用户点击“任务栏”中“用户管理”出现下图所示。
新增角色进入本系统,需要对系统操作员的各种角色进行管理,点击右侧的“新增角色”;依次在标签页“角色信息”中输入“角色名称为sys”、“角色功能”中选择“系统管理中心”、“授权部门”中选择给角色授权的部门(将所有部门全部选择),点击“完成”,添加角色成功。
新增用户点击“用户列表”→“新增用户”;输入“用户名称为sysoper”、“密码为Admin123”、点击“提交”,提示添加用户成功对话框。
二、以安全管理员登录管理控制台:安全管理员用户名:secadmin,密码:secadmin做一件事:创建安全操作员角色及用户。
创建角色点击菜单“功能”→“系统管理”→“系统管理中心”,点击任务栏里的“用户管理”→“角色列表”,进行创建角色的操作:点击“新增角色”,在弹出添加角色的对话框中,按照标签页步骤完成,分别填写角色信息(角色名称填写sec),分配角色功能模块,授权相应部门(选择所有部门),分配授权模块,最后完成,点击“保存”按钮,角色创建成功。
LanSecS使用说明
TMLanSecS内网安全管理系统(企业版)用户手册北京圣博润高新技术有限公司Beijing SBR Information Technology Co., LTD目录第一章使用说明 (2)第二章系统安装 (3)第一节安装SQL S ERVER (3)第二节IKEY安装 (7)第三节安装控制台 (8)第四节安装智能探测器 (9)第五节安装客户端 (10)第三章设置智能探测器 (11)第一节初始化日志数据库 (11)第二节初始化智能探测器 (13)第三节设置SQL S ERVER口令 (14)第四章控制台使用 (15)第一节控制台管理界面 (15)第二节探测器设置 (19)第三节生成客户端安装包 (20)第四节设置客户端卸载口令 (21)第五节系统选项设置 (22)第六节系统管理 (23)第七节帐户管理 (28)第八节数据库维护 (31)第五章内网管理 (37)第一节探测器管理 (37)第二节设备管理 (43)第三节IP地址管理 (51)第四节补丁管理 (57)第五节软件分发 (59)第六章安全审计 (61)第一节规则设置 (61)第二节资产管理 (76)第七章统计查询 (83)第一节操作日志报表 (83)第二节系统消息报表 (85)第三节IP地址查询报表 (87)第四节客户端规则查询 (88)第八章补丁下载管理器 (92)第九章退出系统 (94)第一章使用说明LanSecS V6.10是集内网监控、内网审计和安全网管于一体的内网安全管理软件。
并且在LanSecS V6.03的基础上,对原有功能进行了一些修改和调整,相对于上一版本而言,整个界面更直观、流畅。
同时,在整个管理架构上也有新的调整,更适用于管理者对整个内部网进行安全管理。
LanSecS V6.10架构说明:LanSecS V6.10 内网安全管理软件由四部分组成:加密虎IKEY驱动、控制台、智能探测器(JServer)以及客户端。
软件安装包中分别有这四个组件的安装程序。
圣博润lanSecS内网安全管理 共60页
内网安全管理系统
产品介绍
议程
一、公司简介 二、内网安全现状 三、产品理念与设计目标 四、LanSecS产品新特性 五、系统架构设计 六、产品功能 七、产品部署 八、技术支持 九、荣誉与成功案例
一、公司简介
公司介绍
• 公司成立于2000年6月 • 公司注册资金1000万 • 公司现有员工75名,开发人员35人 • 总部设立在北京,分公司包括:南京分公司、
中关村高新企业
公司资质
软件企业认定证书
质量管理体系认证证书
LanSecS系列产品资质
销售许可证
军队认证证书
涉密产品检测证书
产品资质
软件著作权证书
二、内网安全现状
内网安全威胁来源
30 %
网络边界 网络内部
恶意攻击 远程入侵 病毒蠕虫 ……
信息盗窃 操作失误 非法接入 非法外联… 补丁缺失 病毒库老化 认证缺陷 策略配置… 审计缺乏 行为无控 资产不明 网络无监管…
控制中心支持Windows、Linux、Solaris操作系统。满足跨平台部署要求; 数据库支持Oracle、SQL Server、PostgreSQL; 安全代理支持Windows 2000、Windows XP、Windows 2019、Windows Vista
完善的分级分权管理
指令式分级管理模式,可实现跨地域分散部署和集中管理
策略分发状况的查询、统计与分析
系统安全性设计
总控中心安全性: 加固、 认证、 访问控制 数据库安全性:加固、访问控制、备份恢复 代理安全性:自保护、运行安全 策略安全性:签名、验证
通讯安全性:加密、认证
六、产品功能
功能分类
1
内网安全审计
LanaSecS 内网安全管理系统
〖LanaSecS 内网安全管理系统〗LanaSecS内网安全管理系统是由北京圣博润高新技术有限公司独立研发的,拥有自主知识产权的国产产品,从规划内网资源,规范内网行为,防止内网信息泄漏等多方面入手,为政府机关及企事业单位提供完整的内部网络安全管理解决方案。
〖LanaSecS 内网安全管理系统功能〗自动补丁管理主动发现网络中系统的漏洞,全面统计系统补丁情况,并强制性地对未安装补丁程序的计算机统一批量安装。
非法接入监控、报警、定位(适用于企业版/增强版)当一个未经管理中心注册登记的计算机接入网络时,系统能够自动发现并确定该计算机的接入位置,立即报警,防止其对网络安全造成危害。
阻止非法机器接入内网未注册机器接入网络时,由安全管理平台确认后方可访问内网,以防止不明机器非法访问网络,造成内部网络数据的遗失与破坏。
交换机端口流量的图形化显示(适用于企业版/增强版)动态图形化显示交换机端口状态、流量等信息,可以设置端口流量阀值,当端口流量超过阀值时自动报警,帮助系统管理员监视、分析网络性能。
内网系统配置管理能够自动将终端配置信息如CPU类型、主频、内存、操作系统、安装的软件、运行的程序和服务、系统日志、共享资源、以及补丁、端口等信息统计汇总,可以按设备类型、Vlan、子网、部门等方法对设备进行分类管理,使得系统管理员能够轻松自如地管理着整个网络的硬件资源,及时洞察系统配置的变动。
内网终端行为审计监控规范终端用户行为,确保应用环境的一致性和稳定性,防止内网信息泄漏,杜绝非授权的网络行为。
IP/MAC地址绑定;对输入输出设备的使用进行审计监控(如USB、软驱、光驱、打印机等);对服务、进程的运行状态进行审计监控;拨号行为监控;非法接入监控和非法上网监控;对应用程序的安装与卸载进行审计;系统配置(包括CPU、内存、硬盘、显示卡、网卡等)审计。
故障见世面器的准确定位(适用于企业版/增强版)快速定位异常终端的IP地址,通过SwitchRoute功能查找与之对应的交换机端口,并实现对端口的阻断操作,从而将客户端隔离本网络,以杜绝各种安全隐患。
LanSecS 内网安全管理系统V7.0技术白皮书
LanSecS®内网安全管理系统(V7.0)技术白皮书北京圣博润高新技术股份有限公司2009年11月目录1.产品简介 (1)2.产品架构 (2)2.1.终端监控引擎 (2)2.2.总控中心 (2)2.3.管理控制台 (3)2.4.系统数据库 (3)3.产品功能 (4)3.1.终端运维管理 (4)3.2.终端安全加固 (5)3.3.终端主机准入控制 (5)3.4.移动存储介质管理 (7)3.5.终端安全审计 (8)4.产品性能 (9)4.1.总控中心性能 (9)4.2.终端监控引擎性能 (9)4.3.产品性能指标 (10)4.4.自身安全性 (10)5.产品部署 (11)5.1.产品形态 (11)5.2.部署模式 (11)5.2.1.本地部署 (11)5.2.2.分级部署 (12)1.产品简介LanSecS®内网安全管理系统V7.0版是一款定位于为政府和企业用户提供集中的终端(桌面)综合安全管理的桌面管理产品。
系统通过对计算机准入控制、计算机安全加固、计算机运行维护、计算机安全审计、移动存储介质注册等多个方面的综合管理,为政府和企业用户打造一个安全、可信、规范、健康的内网环境。
LanSecS®内网安全管理系统V7.0版是北京圣博润高新技术股份有限公司(以下简称圣博润)一个里程碑式的、战略性的产品版本,该版本通过对用户需求的持续跟踪使得产品功能进一步丰富,通过系统架构的优化调整使得产品性能显著提升,借助LanSecS®内网安全管理系统V7.0版的发布,圣博润公司更加明确地宣告了其专注于内网安全管理领域的决心与实力。
LanSecS®内网安全管理系统在为用户提供终端安全保护手段的同时,更加强调为用户提供便利的终端运维管理手段。
集中式、人性化的终端管理能力是LanSecS®内网安全管理系统的特色之一,也是圣博润公司一直以来的努力方向。
LanSecS®内网安全管理系统的设计参考了如下国家标准:●GB/T18336-2008 《信息技术安全技术信息技术安全性评估准则》●GB/T22239-2008:《信息系统安全等级保护基本要求》●MSTL_JGF_04-012《信息安全技术远程主机检测产品检验规范》●MSTL_JGF_04-011《信息安全技术非授权外联检测产品检验规范》●BMB15-2004《涉及国家秘密的信息系统安全审计产品技术要求》●BMB17-2006:《涉及国家秘密的信息系统分级保护技术要求》●BMB20-2007:《涉及国家秘密的信息系统分级保护管理规范》●BMB22-2007:《涉及国家秘密的计算机信息系统分级保护测评指南》●GBT 22240-2008:《信息系统安全等级保护定级指南》●GBT 22241-2008:《信息系统安全等级保护实施指南》2.产品架构图1 LanSecS®内网安全管理系统架构LanSecS®内网安全管理系统在架构设计上采用了三层管理结构:终端监控引擎、总控中心、管理控制台,2.1.终端监控引擎终端监控引擎以服务的形式运行于终端计算机上,是终端计算机管理的核心和基础部件,用于对被管理终端计算机的安全加固、运行维护和监测审计等管理职能。
圣博润LanSecS(堡垒主机)内控管理平台(ppt文档)
内控堡垒主机基本部署
堡垒主机
Internet
设
备
中
IT运维人员
心
IT运维人员
工作区
建设目标
集中管理
帐号管理 认证管理 授权管理 操作审计
唯一身份
你是谁 你能干什么 你干了什么
身份授权分离
系统帐号 =
主帐号
+
身份认证 身份认证
+
系统授权 从帐号
+
系统授权
集中认证
集中认证
• 用户名口令 • 双因素认证 • 生物特征认证 • X.509数字认证 • 一次性口令认证 • RADIUS • 智能卡 • 短信认证(SMAP) • 组合认证 • 自定义认证接口
目标服务器
字符权限控制二
图形终端代理
支持图形终端的常见协议
RDP、VNC、XWINDOWS
单点登录—UNIX
统一的WEB单点登录方式
单点登录—WINDOWS主机
统一的WEB单点登录方式
操作审计一
操作审计二
操作审计三
操作审计——操作过程回放
产品特色
ቤተ መጻሕፍቲ ባይዱ 流程管理
提供用户申请、权限申请、资源申请等管理流程
内容提要
IT运维场景与问题分析 解决方案与堡垒主机产品介绍 圣博润公司介绍
IT资产
IT运维角度
主机系统 数据库系统 网络设备 安全设备 专用系统
应用角度
OA系统 财务系统 人力系统 业务应用系统 客户服务系统
资产用户
资产的管理者
内部维护人员 常驻维护人员 临时维护人员
资产的使用者
行政人员 财务人员 业务人员 管理人员 外部用户
LanSecS数据库安全防护系统解决方案资料
LanSecS数据库安全防护系统解决方案资料产品背景1、1 概述随着计算机技术的飞速发展,数据库的应用分广泛,深入到各个领域,但随之而来产生了数据的安全问题以及数据库访问的安全问题。
各种应用系统的数据库中大量数据的安全问题、敏感数据的防窃取和防篡改问题,越来越引起人们的高度重视。
数据库系统作为信息的聚集体,是计算机信息系统的核心部件,其安全性至关重要,因此,如何有效地保证数据库系统的安全,实现数据的保密性、完整性和有效性,已经成为业界人士探索研究的重要课题之一。
越来越多的关键业务系统运行在数据库平台上。
同时也成为不安定因素的主要目标。
如何确保数据库自身的安全,已成为现代数据库系统的主要评测指标之一。
数据库是信息技术的核心和基础,广泛应用在电信、金融、政府、商业、企业等诸多领域,当我们说现代经济依赖于计算机时,我们真正的意思是说现代经济依赖于数据库系统。
数据库中储存着诸如银行账户、医疗保险、电话记录、生产或交易明细、产品资料等极其重要和敏感的信息。
尽管这些系统的数据完整性和安全性是相当重要的,但对数据库采取的安全检查措施的级别还比不上操作系统和网络的安全检查措施的级别。
许多因素都可能破坏数据的完整性并导致非法访问,这些因素包括复杂程度、密码安全性较差、误配置、未被察觉的系统后门以及数据库安全策略的缺失等。
在攻击方式中,SQL注入攻击是黑客对数据库进行攻击的常用手段之一,而且表面看起来跟一般的Web页面访问没什么区别,所以市面上的通用防火墙都不会对SQL注入发出警报,如果管理员没查看IIS日志的习惯,可能被入侵很长时间都不会发觉。
如何防御SQL注入攻击也是亟待解决的重点问题之一。
数据库的应用相当复杂,掌握起来非常困难。
许多数据库管理员都忙于管理复杂的系统,所以很可能没有检查出严重的安全隐患和不当的配置,甚至根本没有进行检测。
正是由于传统的安全体系在很大程度上忽略了数据库安全这一主题,使数据库专业人员也通常没有把安全问题当作他们的首要任务。
信息安全等级保护综合管理系统采购技术需求
信息安全等级保护综合管理系统采购技术需求序号指标说明
1 产品名称及
版本型号
LanSecS信息安全等级保护综合管理系统 V3.0
2 参考品牌LanSecS莱恩赛克
3 功能要求能联网应用,实施全国重要信息系统定级备案、建设整改、等级测评及安全检查等情况的信息管理,并对有关基础数据进行管理和统计分析,能辅助各地对本地网络及信息系统进行安全自评估,实现等级保护常态化管理。
4 商务要求1、投标时提供设备原厂商服务承诺书。
2、投标人必须具有该种软件产品原生产厂家的正式授权代理资格。
3、供应商在竞价时须根据资质要求中的内容,以附件形式上传相关资质证明。
4、报价总额应包括运输、安装调试以及上门培训服务等费用。
5 售后服务
要求
1、提供产品应当是未经拆封、全新的原装正品。
2、交货后三年免费原厂服务(软件升级,保修),接报修
电话后当天响应并提出解决方案。
保修期内,如发生故障,
接报修后至少在2小时内电话响应,4小时内到现场进行
维修。
其余请遵循政府采购投标时厂家承诺标准。
其他:
报价时请注明设备保修期,报价为最终成交价,无其他额
外费用。
其他服务要求与协议供货产品相同;
3、投标人必须提供原厂商“售后服务承诺函”;
4、由供货商提供上门服务。
6 付款方式
结款:先收取产品、发票、电子验收单及合同,产品经验
收合格,10个工作日内以支票或电汇方式支付全额货款。
7 数量 1
8 单位套。
蓝盾信息安全管理审计系统S3000SG2
内容
审计
根据邮件内容、邮箱地址、邮件主题三个方面设置的敏感信息捕获符合条件的邮件内容和附件;
可以设置无条件捕获所有邮件内容和附件;
提供捕获邮件内容的还原显示,附件的下载获取;
对WEBMAIL邮件实现了发送邮件的内容监控功能;
对SMTP发送邮件可以按照关键字进行拦截,在审核后可以选择是否发送或拒发;
混合控制方式:支持以上多种控制方式混合使用,且能够根据需要很方便随意调整各控制方式的优先级;
系统提供IP与MAC地址绑定功能,对于非法的IP地址可以阻断其上网,支持跨网段的IP和MAC地址绑定;
系统可以按用户、用户分组或者应用类别来设定上网的带宽,保证优先级高的人员或应用在网络拥堵时优先使用带宽;
能够对所有对象设定的策略进行汇总,以方便对所有策略的查看或操作;
网址库具有不良网站的分类,包括不良言论、暴力、毒品、色情等不良网址;
支持用户根据学校内部的网络应用特点自行定义网站分类和网站站点,系统可以对自定义的网站进行按管理策略进行封堵或放行等监控;
系统可以对QQ、MSN、ICQ、YahooMassger按管理策略进行封堵;
支持对QQ在线游戏、联众在线游戏、中国游戏中心、边锋网络游戏等进行封堵;
支持多种WebmIL还原成EML邮件格式,包括附件等,方便查看;
支持TELNET审计,FTP审计;
对MSN、ICQ、Yahoo Messenger的聊天内容敏感信息审计和帐号审计,且能够记录使用IM的登录与退出时间;
支持对网页地址审计;
支持对BBS发帖内容审计,包括对附件内容的审计;
10
★产品要求
(出具加盖厂商公章的复印件)
计算机软件著作权登记证书
获得公安部颁发的《计算机信息系统安全专用产品销售许可证》,并出具加盖厂商公章的复印件
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
LanSecS信息安全等级保护综合管理系统
北京圣博润高新技术股份有限公司
2012-6-14
1.系统简介
“LanSecS信息安全等级保护综合管理系统”是一套适用于信息安全等级保护工作业务管理的综合信息管理平台。
作为信息安全等级保护工作的常态化管理工具,该系统紧密结合我国信息安全等级保护政策,实现了对信息安全等级保护工作中定级备案、安全建设整改、等级测评、风险评估和安全检查等各个工作环节信息与数据的集中管理和工作流程管理。
2.系统定位
3.系统架构
图1系统架构示意图
LanSecS信息安全等级保护综合管理系统的架构分为业务管理层、基础数据层和接口层三层。
业务管理层提供包括等级保护工作管理、日常办公管理、数据统计与分析等管理功能。
基础数据层维护等级保护工作所需的各类基础信息与数据。
接口层负责与其它安全运维管理系统或等级保护备案管理系统的数据共享和交互。
4.系统功能
4.1.定级备案管理
“定级备案管理”主要完成重要信息系统的定级备案信息维护与管理,包括备案信息填报、备案信息查询、备案信息统计、备案信息表的导出和导入、备案附件信息管理、备案数据采集工具等。
4.2.安全建设整改管理
“安全建设整改管理”主要完成已备案信息系统安全建设整改活动的管理。
系统将安全建设整改分为工作部署、现状分析、整改方案设计、整改实施、整改结果分析五个工作步骤,实现了安全建设整改活动的全程监控。
4.3.等级测评管理
等级测评管理模块主要负责由第三方测评机构主导实施的等级测评活动的组织和管理。
包括测评机构管理、测评流程管理、测评结果汇总与记录、测评活动监控等功能。
4.4.安全检查管理
“安全检查管理”提供对安全自查、主管部门检查和公安机关检查等安全检查活动情况的跟踪记录管理。
包括监督检查制度管理、安全自查管理、主管部门检查管理、监督检查信息记录、监督检查数据查询与统计、监督检查数据导入导出等功能。
4.5.风险评估管理
“风险评估管理”主要负责对信息系统风险评估活动相关信息的维护管理,规范风险评估活动工作流程,对风险评估活动过程中的各种数据进行汇总记录,并可对当前正在进行的风险评估项目的执行情况进行监控。
4.6.日常办公管理
“日常办公管理”为等级保护工作人员提供了一个日常的等级保护工作办公平台,由待办事项,办结事项,任务管理,工作考核四个部分组成。
4.7.统计分析
“统计分析管理”主要提供等级保护相关信息与数据的统计及分析功能,包括信息系统统计、安全事件统计、工作事项统计、资产统计、安全机构统计、安
全人员统计、建设整改情况统计、等级测评情况统计,安全检查情况统计等,支持列表和图形两种统计形式。
4.8.基础数据管理
“基础数据管理”实现了等级保护各个工作环节所需的基础数据的维护管理。
基础数据包括政策法规库、标准规范库、安全事件、信息资产、组织机构和人员、技术支持队伍、安全管理制度、应急保障活动、专家信息等。
系统提供了对上述信息的收集汇总和查询统计功能。
5.系统特色
信息安全等级保护综合管理系统作为等级保护工作开展所依赖的基础工作平台,其作用主要体现在如下几个方面。
1)等级保护工作管理信息化
信息安全等级保护综合管理系统可对各种信息安全等级保护基础数据实现集中存储和管理,保证了数据的完整性和一致性,为行业等级保护工作的开展提供了可靠的数据支持。
通过数据的集中管理与统计分析,使得数据处理和工作部署实施的自动化程度大大增强,有效提高了等级保护工作的效率。
2)等级保护工作管理流程化
信息安全等级保护综合管理系统为信息安全等级保护的多个工作环节提供了基于工作流引擎的工作流程管理功能。
通过流程定制,行业管理人员可按照统一的工作流程开展等级保护工作,避免了不同单位、不同管理人员执行等级保护工作的随意性,促进了等级保护工作的标准化和规范化。
3)等级保护工作管理常态化
信息安全等级保护综合管理系统是一个以等级保护为核心的综合信息安全管理的基础工作平台。
通过该系统,行业等级保护工作人员可将等级保护工作融入日常信息安全管理工作中,有效促进各行业等级保护工作管理的常态化。
6.系统部署
信息安全等级保护综合管理系统支持独立部署和分级部署两种部署模式。
通过分级部署,可以将下级系统的信息和数据实时地或周期性地同步到上级系统中,为上级部门的等级保护工作管理提供更加完备的数据支持。
图2系统分级部署模式示意图
7.系统配置要求
本系统的配置要求如下:
1)数据库服务器:用于提供基础数据和等级保护工作数据的存贮服务,配置要求为双CPU Xeon3.0G以上,500G硬盘以上,内存4G以上;
2)应用服务器:用于部署本系统服务器程序,配置要求为CPU Xeon3.0G 以上,120G硬盘,内存4G以上;
3)系统管理主机:用于本系统的维护管理,可通过浏览器进行系统管理。
配置要求为Xeon3.0G CPU,120G硬盘,内存1G以上。