LanSecS内网安全管理系统V7.0技术白皮书

第一章系统简介内控堡垒主机系统是安全内控解决方案的重要组成部分，部署在企业的内部网络中，用于保护企业内部核心资源的访问安全。

内控堡垒主机是一种被加固的可以防御进攻的计算机，具备很强安全防范能力。

内控堡垒主机扮演着看门者的工作，所有对网络设备和服务器的请求都要从这扇大门经过。

因此内控堡垒主机能够拦截非法访问，和恶意攻击，对不合法命令进行命令阻断，过滤掉所有对目标设备的非法访问行为。

内控堡垒主机具备强大的输入输出审计功能，不仅能够详细记录用户操作的每一条指令，而且能够将所有的输出信息全部记录下来，也具备图形终端操作的审计功能，能够对多平台的多种图形终端操作做审计，并且内控堡垒主机具备审计回放的功能，能够模拟用户在线操作过程。

总之，内控堡垒主机能够极大的保护企业内部网络设备及服务器资源的安全性，使得企业内部网络管理合理化，专业化，信息化。

1关键字自然人：也叫主帐号，使用内控堡垒主机的用户统称为自然人。

资源：被内控堡垒主机管理的主机系统，数据库，网络设备等统称为资源。

例如AIX 系统、Windows2000系统、DB2数据库、CISCO3560等。

从账号：从账号是资源中的账号，例如AIX中的root账号，Windows2000中的Administrator账号。

SSO单点登录：SSO（SingleSign-On）中文为单点登录，就是说在同一个地点完成对不同资源的访问。

双人共管账号：双人保管口令的账号。

共管账号：账号被很多应用系统使用，或内置了口令，如果修改口令可能影响到其他应用系统的使用，对于这类账号，内控堡垒主机称之为共管账号。

2部署结构内控堡垒主机部署逻辑图：内控堡垒主机部署物理图：如图，内控堡垒主机部署在被管服务器区的访问路径上，通过防火墙或者交换机的访问控制策略限定只能由内控堡垒主机直接访问服务器的远程维护端口。

维护人员维护被管服务器或者网络设备时，首先以WEB方式登录堡垒主机，然后通过堡垒主机上展现的访问资源列表直接访问授权资源。

LanSecS信息安全等级保护综合管理系统北京圣博润高新技术股份有限公司2012-6-141.系统简介“LanSecS信息安全等级保护综合管理系统”是一套适用于信息安全等级保护工作业务管理的综合信息管理平台。

作为信息安全等级保护工作的常态化管理工具，该系统紧密结合我国信息安全等级保护政策，实现了对信息安全等级保护工作中定级备案、安全建设整改、等级测评、风险评估和安全检查等各个工作环节信息与数据的集中管理和工作流程管理。

2.系统定位3.系统架构图1系统架构示意图LanSecS信息安全等级保护综合管理系统的架构分为业务管理层、基础数据层和接口层三层。

业务管理层提供包括等级保护工作管理、日常办公管理、数据统计与分析等管理功能。

基础数据层维护等级保护工作所需的各类基础信息与数据。

接口层负责与其它安全运维管理系统或等级保护备案管理系统的数据共享和交互。

4.系统功能4.1.定级备案管理“定级备案管理”主要完成重要信息系统的定级备案信息维护与管理，包括备案信息填报、备案信息查询、备案信息统计、备案信息表的导出和导入、备案附件信息管理、备案数据采集工具等。

4.2.安全建设整改管理“安全建设整改管理”主要完成已备案信息系统安全建设整改活动的管理。

系统将安全建设整改分为工作部署、现状分析、整改方案设计、整改实施、整改结果分析五个工作步骤，实现了安全建设整改活动的全程监控。

4.3.等级测评管理等级测评管理模块主要负责由第三方测评机构主导实施的等级测评活动的组织和管理。

包括测评机构管理、测评流程管理、测评结果汇总与记录、测评活动监控等功能。

4.4.安全检查管理“安全检查管理”提供对安全自查、主管部门检查和公安机关检查等安全检查活动情况的跟踪记录管理。

包括监督检查制度管理、安全自查管理、主管部门检查管理、监督检查信息记录、监督检查数据查询与统计、监督检查数据导入导出等功能。

4.5.风险评估管理“风险评估管理”主要负责对信息系统风险评估活动相关信息的维护管理，规范风险评估活动工作流程，对风险评估活动过程中的各种数据进行汇总记录，并可对当前正在进行的风险评估项目的执行情况进行监控。

TMLanSecS内网安全管理系统（企业版）用户手册北京圣博润高新技术有限公司Beijing SBR Information Technology Co., LTD目录第一章使用说明 (2)第二章系统安装 (3)第一节安装SQL S ERVER (3)第二节IKEY安装 (7)第三节安装控制台 (8)第四节安装智能探测器 (9)第五节安装客户端 (10)第三章设置智能探测器 (11)第一节初始化日志数据库 (11)第二节初始化智能探测器 (13)第三节设置SQL S ERVER口令 (14)第四章控制台使用 (15)第一节控制台管理界面 (15)第二节探测器设置 (19)第三节生成客户端安装包 (20)第四节设置客户端卸载口令 (21)第五节系统选项设置 (22)第六节系统管理 (23)第七节帐户管理 (28)第八节数据库维护 (31)第五章内网管理 (37)第一节探测器管理 (37)第二节设备管理 (43)第三节IP地址管理 (51)第四节补丁管理 (57)第五节软件分发 (59)第六章安全审计 (61)第一节规则设置 (61)第二节资产管理 (76)第七章统计查询 (83)第一节操作日志报表 (83)第二节系统消息报表 (85)第三节IP地址查询报表 (87)第四节客户端规则查询 (88)第八章补丁下载管理器 (92)第九章退出系统 (94)第一章使用说明LanSecS V6.10是集内网监控、内网审计和安全网管于一体的内网安全管理软件。

并且在LanSecS V6.03的基础上，对原有功能进行了一些修改和调整，相对于上一版本而言，整个界面更直观、流畅。

同时，在整个管理架构上也有新的调整，更适用于管理者对整个内部网进行安全管理。

LanSecS V6.10架构说明：LanSecS V6.10 内网安全管理软件由四部分组成：加密虎IKEY驱动、控制台、智能探测器（JServer）以及客户端。

软件安装包中分别有这四个组件的安装程序。

虚拟化安全管理系统（轻代理）V7.0技术白皮书20210330虚拟化安全管理系统V7.0（轻代理）技术白皮书地址：北京市西城区西直门外南路26号院1号邮编：100044 l 版权声明本文中出现的任何文字叙述、文档格式、插图、图片、方法、过程等内容，除另有特别注明，版权均为奇安信集团（指包括但不限于奇安信科技集团股份有限公司、网神信息技术（北京）股份有限公司、北京网康科技有限公司）所有，受到有关产权及版权法保护。

任何个人、机构未经奇安信集团的书面授权许可，不得以任何方式复制或引用本文的任何片段。

修订记录修订日期修订内容修订人20XX.11.08 新建云安全公司目录1.引言52.产品综述62.1.产品设计目标/产品价值62.1.1.产品设计目标62.1.2.产品价值62.2.产品原理介绍72.3.产品的组成和架构72.4.产品模块间数据流程描述82.5.产品组规格说明8 3.功能模块详述10 3.1.防病毒模块10 3.1.1.防病毒模块设计目标/产品价值10 3.1.2.防病毒模块特点与优势说明10 3.1.3.防病毒模块详细功能介绍10 3.2.Webshell扫描模块11 3.2.1.Webshell扫描模块设计说明11 3.2.2.Webshell扫描模块特点与优势说明11 3.2.3.Webshell扫描模块功能详述11 3.3.安全基线模块11 3.3.1.安全基线模块设计说明11 3.3.2.安全基线模块特点与优势说明12 3.3.3.安全基线模块功能详述12 3.4.防暴力破解模块12 3.4.1.防暴力破解模块设计说明12 3.4.2.防暴力破解模块特点与优势说明12 3.4.3.防暴力破解模块功能详述12 3.5.防火墙/入侵防御模块13 3.5.1.防火墙/入侵防御模块设计说明13 3.5.2.防火墙/入侵防御模块性能说明13 3.5.3.防火墙/入侵防御模块特点与优势说明14 3.5.4.防火墙/入侵防御模块功能详述14 3.6.虚拟化加固模块15 3.6.1.虚拟化加固模块设计说明15 3.6.2.虚拟化加固模块特点与优势说明15 3.6.3.虚拟化加固模块功能详述15 3.7.网卡流量统计模块15 3.7.1.网卡流量统计模块设计说明15 3.7.2.网卡流量统计模块特点与优势说明15 3.7.3.网卡流量统计模块功能详述15 4.实施部署说明17 4.1.虚拟化环境部署17 4.1.1.部署说明17 4.1.2.所需设备说明17 4.1.3.所需通讯资源说明18 4.1.4.实施拓扑图19 4.2.混合虚拟化环境20 4.2.1.部署说明20 4.2.2.所需设备说明20 4.2.3.所需通信资源说明21 4.3.物理服务器环境部署22 4.3.1.部署说明22 4.3.2.所需设备说明22 4.3.3.所需通信资源说明22 4.4.物理服务器环境和虚拟化环境混合部署23 4.4.1.部署说明23 4.4.2.所需设备说明24 4.4.3.所需通讯资源说明241.引言随着我国信息化进程的不断发展，云计算等技术迅速兴起，已在深刻改变传统的 IT 基础设施、应用、数据以及IT运营管理。

CONTENTS目录关于圣博润产品介绍LanSecS®(莱恩赛克)内网安全管理解决方案LanSecS®(莱恩赛克)内网安全管理系统产品技术指标企业资质高新技术企业证书软件企业认定证书ISO9001:2000质量管理体系认证证书产品资质计算机软件著作权登记证书软件产品登记证书公安部《计算机信息系统安全专用产品销售许可证》国家保密局《涉密信息系统产品检测证书》解放军《军用信息安全产品认证证书》公安部《计算机信息系统安全专用产品销售许可证》（UTM）LanSecS®(莱恩赛克)统一安全管理系统（UTM）新产品证书奖项2005年中国信息安全值得信赖内网安全品牌2006年中国信息安全市场优秀内网安全产品推荐品牌奖2006年计算机网络和信息防护解决方案优秀奖2007年最具价值的内网安全产品奖海淀园创新资金立项证书－面向计算机终端LanSecS®(莱恩赛克)内网安全管理系统部分用户LanSecS®(莱恩赛克)内网安全管理系统产品介绍LanSecS ®内网安全管理解决方案网络安全现状及引发的思考随着计算机网络技术和数字通信技术飞速发展,计算机网络技术的应用不断深入到人们的日常工作、学习和生活中，应用领域也从传统的、小型的业务系统逐渐向大型、综合、关键的业务系统扩展，如电子政务、电子商务、CIMS 、知识管理、电子金融、社会保障、GIS 系统等。

在二十世纪末信息安全的课题就被提升到日常应用的高度，在解决了网络安全防护后，网络内部的安全问题日益突出，带来的严重危害被信息系统管理者所关注。

整体网络威胁包括：网络内部安全问题上，我们所面临的挑战：◆ 安全方面的挑战➢ 终端系统安全的统一管理的挑战； ➢ 非法接入及非授权存储的挑战； ➢ 在线和离线信息泄露的挑战； ➢ 记录安全事件发生过程并溯源的挑战。

恶意攻击 远程入侵 病毒蠕虫……信息盗窃 操作失误 非法接入 非法外联… 补丁缺失 病毒库老化 认证缺陷 策略配置… 审计缺乏 行为无控 资产不明 网络无监管…网络 内部网络 边界 70％ 30％人的因素 系统因素 管理因素◆ 管理方面的挑战➢ 分散的桌面系统信息的统一管理的挑战； ➢ 灵活并有效的管理机制的挑战； ➢ 网络管理与桌面管理相结合的挑战。

LanSecS内网安全管理系统解决方案(医疗行业)1医疗行业内网安全管理系统解决方案适用范围此文档是圣博润为医疗行业XXX医院提供的LanSecS内网安全管理系统解决方案。

©版权所有圣博润第II页© 版权所有圣博润第III 页目录1. 计算机终端安全管理需求分析.............................................................. V II1.1. 网络管理 (VIII)1.1.1. 物理网络拓扑图 (VIII)1.1.2. 流量控制 (VIII)1.1.3. I P 地址管理 (IX)1.1.4. 故障定位 (IX)1.2. 终端安全防护 (IX)1.2.1. 补丁安装防护 (X)1.2.2. 防病毒防护 (X)1.2.3. 进程防护 (X)1.2.4. 网页过滤 (XI)1.2.5. 非法外联防护 (XI)1.3. 终端涉密信息防护 (XI)1.3.1. 终端登录安全认证...................................................................... X II1.3.2. I /O 接口管理.............................................................................. X II1.3.3. 桌面文件安全管理 (XIII)1.3.4. 文件安全共享管理 (XIII)1.3.5. 网络外联控制 (XIII)1.4. 移动存储介质的管理 (XIV)1.5. 网络接入控制 (XV)1.6. 计算机终端管理与维护 (XV)1.7. 分级分权管理 (XVI)2. 计算机终端安全防护解决方案............................................................ X VII2.1. 方案目标.................................................................................. X VII2.2. 遵循标准.................................................................................. X VII2.3. 方案内容 (XIX)2.3.1.1.物理网络拓扑图 (XX)2.3.1.2.流量控制 (XX)2.3.1.3.IP地址绑定 (XX)2.3.1.4.故障定位 (XXI)2.3.2.终端安全控制 (XXI)2.3.2.1.补丁管理 (XXI)2.3.2.2.防病毒控制 (XXI)2.3.2.3.进程监控............................................................................ X XII2.3.2.4.网页过滤控制..................................................................... X XII2.3.2.5.非法外联控制..................................................................... X XII2.3.3.终端安全审计........................................................................... X XII2.3.4.移动存储介质管理................................................................... X XIII2.3.4.1.注册授权 (XXV)2.3.4.2.访问控制 (XXV)2.3.4.3.数据保护 (XXVI)2.3.4.4.自我保护 (XXVI)2.3.4.5.操作记录 (XXVI)2.3.5.计算机终端接入控制............................................................... X XVII2.3.5.1.非法主机的定义................................................................ X XVII2.3.5.2.非法接入控制策2.3.5.3.非法接入阻断技术实现原理 (XXIX)2.3.6.计算机终端管理与维护 (XXX)2.3.6.1.主机信息收集 (XXX)2.3.6.2.网络参数配置 (XXX)2.3.6.3.远程协助 (XXX)2.3.6.4.预警平台 (XXX)3.系统设计........................................................................................ XXXII ©版权所有圣博润第IV页3.2.产品的设计原则 (XXXII)3.3.产品标准符合性设计.............................................................. X XXIII3.3.1.B MB17-2006符合3.3.2.I SO 27001符合性 (XXXIV)nSecS系统简介 (XXXVI)nSecS系统架构设计......................................................... X XXVIIInSecS系统功能设计................................................................. X L3.6.1.安全审计..................................................................................... X L3.6.2.安全加固................................................................................... XLI3.6.3.安全服务................................................................................... XLI3.6.4.安全网管................................................................................... XLI3.6.5.资产管理.................................................................................. XLIInSecS系统安全性设计.......................................................... X LIII3.7.1.控制中心安全性....................................................................... X LIII3.7.2.主机代理安全性....................................................................... XLIV3.7.3.数据库安全性.......................................................................... XLIV3.7.4.策略分发与存储安全性............................................................... X LV3.7.5.主机代理与控制中心通讯安全性................................................. X LV4.系统特色与系统部署........................................................................ XLVIInSecS系统特色................................................................... XLVIInSecS典型部署.................................................................... XLIX4.2.1.简单内网环境.......................................................................... XLIX4.2.2.本地多内网环境............................................................................ L4.2.3.分级部署环境.............................................................................. LI5.技术服务............................................................................................. LI5.1.售后技术服务.............................................................................. LI5.2.系统二次开发扩展支持................................................................ LII ©版权所有圣博润第V页。

莱恩塞克LanSecS安全管理系统功能介绍安全管理◆外设、硬件设备控制从操作系统驱动层上实现强制管理控制计算机的设备。

包括USB可移动存储设备、打印机、DVD/CD-ROM、软盘、磁带机、PCMCIA设备、COM/LPT端口、1394设备、红外设备等。

一旦出现违规事件，将会产生警报信息并以审计信息的形式记录。

◆IP/MAC地址绑定对受控终端进行IP地址和MAC地址的绑定，防止用户随意更改网络配置，增加网络环境的健壮性。

◆打印控制通过控制台制订策略控制用户对打印机的使用。

可以避免网内用户通过打印的途径达到机密信息外泄的目的。

◆拨号访问的控制允许或阻断用户通过拨号访问Internet，从拨号连接的手段上控制内网计算机连接Internet。

◆个人防火墙的控制通过控制台制订的策略可以控制客户端个人防火墙的应用，如果客户端启用个人防火墙进行端口阻断，就及时将计算机断开网络连接。

这样防止用户通过技术手段进行恶意的破坏。

◆杀毒软件的检测与控制对客户端杀毒软件的安装情况进行检测，一旦发现未安装杀毒软件，客户端程序会自动断开网络连接，减少病毒扩散的概率。

◆进程管理与控制检测客户端上运行的进程状态，并对受控终端上运行的进程进行强制控制，允许或禁止某些进程的启动。

方便网络管理人员从专业人员的角度对应用者提供安全建议。

◆网络访问控制允许或阻断客户端对某些网络地址或是网段的访问。

在网络访问控制上，策略还可以细化到针对特定的协议、特定的网络端口以及在特定的时间段允许或是阻断网络连接。

◆补丁管理利用准确的检测机制来判断被控制计算机上补丁程序安装的情况，可以检测出已安装的补丁和未安装的补丁。

可以从程序提供的补丁安装包中自动检测到适合的补丁程序进行自动或手动进行客户端的补丁分发，并对补丁安装结构有详细的跟踪。

◆远程控制计算机远程管理控制计算机使网络管理人员可以通过桌面快照查看当时计算机的操作状态，同时可以控制鼠标与键盘的使用。

同时提供网络管理人员在远程对计算机进行关机、重启或是锁定的具体操作的功能。

〖LanaSecS 内网安全管理系统〗LanaSecS内网安全管理系统是由北京圣博润高新技术有限公司独立研发的，拥有自主知识产权的国产产品，从规划内网资源，规范内网行为，防止内网信息泄漏等多方面入手，为政府机关及企事业单位提供完整的内部网络安全管理解决方案。

〖LanaSecS 内网安全管理系统功能〗自动补丁管理主动发现网络中系统的漏洞，全面统计系统补丁情况，并强制性地对未安装补丁程序的计算机统一批量安装。

非法接入监控、报警、定位（适用于企业版/增强版）当一个未经管理中心注册登记的计算机接入网络时，系统能够自动发现并确定该计算机的接入位置，立即报警，防止其对网络安全造成危害。

阻止非法机器接入内网未注册机器接入网络时，由安全管理平台确认后方可访问内网，以防止不明机器非法访问网络，造成内部网络数据的遗失与破坏。

交换机端口流量的图形化显示（适用于企业版/增强版）动态图形化显示交换机端口状态、流量等信息，可以设置端口流量阀值，当端口流量超过阀值时自动报警，帮助系统管理员监视、分析网络性能。

内网系统配置管理能够自动将终端配置信息如CPU类型、主频、内存、操作系统、安装的软件、运行的程序和服务、系统日志、共享资源、以及补丁、端口等信息统计汇总，可以按设备类型、Vlan、子网、部门等方法对设备进行分类管理，使得系统管理员能够轻松自如地管理着整个网络的硬件资源，及时洞察系统配置的变动。

内网终端行为审计监控规范终端用户行为，确保应用环境的一致性和稳定性，防止内网信息泄漏，杜绝非授权的网络行为。

IP/MAC地址绑定；对输入输出设备的使用进行审计监控（如USB、软驱、光驱、打印机等）；对服务、进程的运行状态进行审计监控；拨号行为监控；非法接入监控和非法上网监控；对应用程序的安装与卸载进行审计；系统配置（包括CPU、内存、硬盘、显示卡、网卡等）审计。

故障见世面器的准确定位（适用于企业版/增强版）快速定位异常终端的IP地址，通过SwitchRoute功能查找与之对应的交换机端口，并实现对端口的阻断操作，从而将客户端隔离本网络，以杜绝各种安全隐患。

LanSecS USB移动存储介质使用管理系统（版本：7.0）用户手册北京圣博润高新技术股份有限公司Beijing SBR Information Technology Co., LTD特别声明本手册为《LanSecS USB移动存储介质使用管理系统7.0》产品用户手册，其内容将随着圣博润LanSecS软件的不断升级而改变(以光盘中电子版发行时为最新版)，恕不另行通知。

需要者请从圣博润公司网站下载本手册的最新电子版或者直接联系圣博润公司索取。

本操作手册为《LanSecS USB移动存储介质使用管理系统7.0》通用说明书。

若您独立购买《LanSecS USB移动存储介质使用管理系统7.0》其他特殊版本或者特殊功能模块，请您在使用过程中选择性阅读相应章节。

感谢您购买北京圣博润高新技术股份有限公司研制开发的内网安全管理系列软件。

请在使用本软件之前认真阅读本操作手册，当您开始使用该软件时，圣博润公司认为您已经阅读了本操作手册。

目录目录 (3)一、产品概述 (1)1、系统概述 (1)1.1产品简介 (1)1.2产品标准 (1)1.3产品架构 (1)1.4产品功能 (2)二、安装手册 (3)2、软件安装环境 (3)3、数据库安装 (5)3.1MYSQL数据库安装 (5)3.2SQL S ERVER数据库安装 (9)4、产品安装 (11)4.1总控中心安装 (11)4.2管理控制台安装 (14)4.3代理程序安装 (15)三、控制台操作手册 (17)5、系统基础设置 (17)5.1基础信息设置 (17)5.2单位管理 (17)5.3部门管理 (18)5.4用户管理 (20)5.5员工管理 (22)5.6主机管理 (23)5.7部署管理 (27)5.8帐户管理 (35)5.9运维管理 (36)6、策略管理 (39)6.1策略分类 (40)6.2策略安全性 (40)6.3策略设置 (41)7、移动存储介质管理 (45)7.1注册查询 (45)7.2注册统计 (45)7.3维修管理 (45)8、审计管理 (46)8.1信息查询 (46)8.2信息统计 (48)8.3事件管理 (51)8.4态势分析 (53)8.5安全评估 (56)8.6操作日志 (56)8.7审计报表 (56)8.8备份管理 (57)四、代理托盘操作手册 (60)9、托盘模块 (60)9.1设置 (60)9.2系统诊断 (60)9.3系统摘要 (61)9.4资产管理 (62)9.5安全代理状态 (63)五、产品工具软件手册 (68)10、工具软件概述 (68)11、实时报警管理工具 (69)11.1过滤设置 (69)11.2系统 (69)12、移动存储介质管理工具 (71)12.1注册管理工具 (71)12.2多分区U盘日志查询工具 (73)一、产品概述1、系统概述LanSecS USB移动存储介质使用管理系统是一款定位于为政府和企业用户提供集中的USB 移动存储介质使用管理及终端综合安全管理的桌面管理产品。

Inspur NOS安全技术白皮书文档版本V1.0发布日期2022-12-16版权所有© 2022浪潮电子信息产业股份有限公司。

保留一切权利。

未经本公司事先书面许可，任何单位和个人不得以任何形式复制、传播本手册的部分或全部内容。

商标说明Inspur浪潮、Inspur、浪潮、Inspur NOS是浪潮集团有限公司的注册商标。

本手册中提及的其他所有商标或注册商标，由各自的所有人拥有。

技术支持技术服务电话：400-860-0011地址：中国济南市浪潮路1036号浪潮电子信息产业股份有限公司邮箱：***************邮编：250101前言文档用途本文档阐述了浪潮交换机产品Inspur NOS的安全能力及技术原理。

注意由于产品版本升级或其他原因，本文档内容会不定期进行更新。

除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。

读者对象本文档提供给以下相关人员使用：●产品经理●运维工程师●售前工程师●LMT及售后工程师变更记录目录1概述 (1)2缩写和术语 (2)3威胁与挑战 (3)4安全架构 (4)5安全设计 (5)5.1账号安全 (5)5.2权限控制 (5)5.3访问控制 (6)5.4安全协议 (6)5.5数据保护 (7)5.6安全加固 (7)5.7日志审计 (7)5.8转发面安全防护 (7)5.9控制面安全防护 (8)6安全准测和策略 (9)6.1版本安全维护 (9)6.2加强账号和权限管理 (10)6.3TACACS+服务授权 (10)6.4加固系统安全 (12)6.4.1关闭不使用的服务和端口 (12)6.4.2废弃不安全通道 (12)6.4.3善用安全配置 (12)6.5关注数据安全 (13)6.6保障网络隔离 (14)6.7基于安全域访问控制 (14)6.8攻击防护 (15)6.9可靠性保护 (16)7安全发布 (18)随着开放网络的快速发展，白盒交换机做为一种软硬件解耦的开放网络设备，应用越来越广泛。

LanSecS®内网安全管理系统（V7.0）技术白皮书北京圣博润高新技术股份有限公司2009年11月目录1.产品简介 (1)2.产品架构 (2)2.1.终端监控引擎 (2)2.2.总控中心 (2)2.3.管理控制台 (3)2.4.系统数据库 (3)3.产品功能 (4)3.1.终端运维管理 (4)3.2.终端安全加固 (5)3.3.终端主机准入控制 (5)3.4.移动存储介质管理 (7)3.5.终端安全审计 (8)4.产品性能 (9)4.1.总控中心性能 (9)4.2.终端监控引擎性能 (9)4.3.产品性能指标 (10)4.4.自身安全性 (10)5.产品部署 (11)5.1.产品形态 (11)5.2.部署模式 (11)5.2.1.本地部署 (11)5.2.2.分级部署 (12)1.产品简介LanSecS®内网安全管理系统V7.0版是一款定位于为政府和企业用户提供集中的终端（桌面）综合安全管理的桌面管理产品。

系统通过对计算机准入控制、计算机安全加固、计算机运行维护、计算机安全审计、移动存储介质注册等多个方面的综合管理，为政府和企业用户打造一个安全、可信、规范、健康的内网环境。

LanSecS®内网安全管理系统V7.0版是北京圣博润高新技术股份有限公司（以下简称圣博润）一个里程碑式的、战略性的产品版本，该版本通过对用户需求的持续跟踪使得产品功能进一步丰富，通过系统架构的优化调整使得产品性能显著提升，借助LanSecS®内网安全管理系统V7.0版的发布，圣博润公司更加明确地宣告了其专注于内网安全管理领域的决心与实力。

LanSecS®内网安全管理系统在为用户提供终端安全保护手段的同时，更加强调为用户提供便利的终端运维管理手段。

集中式、人性化的终端管理能力是LanSecS®内网安全管理系统的特色之一，也是圣博润公司一直以来的努力方向。

LanSecS®内网安全管理系统的设计参考了如下国家标准：●GB/T18336-2008 《信息技术安全技术信息技术安全性评估准则》●GB/T22239-2008：《信息系统安全等级保护基本要求》●MSTL_JGF_04-012《信息安全技术远程主机检测产品检验规范》●MSTL_JGF_04-011《信息安全技术非授权外联检测产品检验规范》●BMB15-2004《涉及国家秘密的信息系统安全审计产品技术要求》●BMB17-2006：《涉及国家秘密的信息系统分级保护技术要求》●BMB20-2007：《涉及国家秘密的信息系统分级保护管理规范》●BMB22-2007：《涉及国家秘密的计算机信息系统分级保护测评指南》●GBT 22240-2008：《信息系统安全等级保护定级指南》●GBT 22241-2008：《信息系统安全等级保护实施指南》2.产品架构图1 LanSecS®内网安全管理系统架构LanSecS®内网安全管理系统在架构设计上采用了三层管理结构：终端监控引擎、总控中心、管理控制台，2.1.终端监控引擎终端监控引擎以服务的形式运行于终端计算机上，是终端计算机管理的核心和基础部件，用于对被管理终端计算机的安全加固、运行维护和监测审计等管理职能。

绿盟内容安全管理系统产品白皮书© 2011 绿盟科技■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属绿盟科技所有，并受到有关产权及版权法保护。

任何个人、机构未经绿盟科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。

■商标信息绿盟科技、NSFOCUS、绿盟是绿盟科技的商标。

目录一. 前言 (1)二. 为什么需要内容安全管理系统 (1)2.1内容安全管理的必要性 (2)2.2内容安全管理系统的特点 (2)三. 如何评价内容安全管理系统 (3)四. 绿盟科技内容安全管理系统 (3)4.1主要功能 (4)4.2体系架构 (5)4.3产品特点 (7)4.3.1 高效精准的数据处理 (7)4.3.2 深度Web内容过滤 (7)4.3.3 智能WEB信誉管理 (7)4.3.4 全程网络行为管理 (7)4.3.5 全面信息外发管理 (8)4.3.6 多维度精细流量管理 (8)4.3.7 高效能的网络病毒防护 (9)4.3.8 全面的垃圾邮件防护 (9)4.3.9 集成高性能防火墙 (9)4.3.10 基于对象的虚拟系统 (9)4.3.11 强大丰富的管理能力 (10)4.3.12 方便灵活的可扩展性 (11)4.3.13 事件信息“零管理” (12)4.3.14 高可靠的自身安全性 (12)4.4解决方案 (13)4.4.1 多链路内容安全管理解决方案 (13)4.4.2 混合内容安全管理解决方案 (14)五. 结论 (15)插图索引图 4.1 绿盟内容安全管理系统功能 (4)图 4.2 绿盟SCM典型部署 (5)图 4.3 绿盟科技内容安全管理系统体系架构 (6)图 4.4 多维度精细流量管理 (9)图 4.5 虚拟内容管理系统 (10)图 4.6 独立式多路SCM (11)图 4.7 多链路防护解决方案 (13)图 4.8 混合内容安全管理解决方案 (14)一. 前言随着互联网应用的迅速发展，计算机网络在经济和生活的各个领域正在迅速普及，信息的获取、共享和传播更加方便。