内网安全防护方案

内网信息安全防护解决方案

中孚信息股份有限公司

版权所有翻版必究

目录

一、背景 (3)

二、建设目标 (3)

三、平台总体设计 (4)

1.平台应用架构 (4)

2.分级部署 (5)

四、平台功能描述 (6)

1.内网接入控制 (6)

2.终端安全防护 (8)

五、项目预算 (17)

六、平台系统特点 (18)

1.符合技术标准要求 (18)

2.体系自身安全性强 (18)

3.组件化模块化设计 (18)

4.终端系统兼容性强 (18)

5.终端防被终止卸载 (18)

6.技术市场成熟度强 (18)

七、产品应用 (19)

1.政府领域、军队 (19)

2.公检法系统 (19)

3.中央企业、军工企业 (20)

一、背景

中办、国办联合印发的《“十二五”时期全国保密事业发展规划》、以及国家保密局印发的《“十二五”时期全国保密系统信息化建设规划》，对全国信息安全工作提出了明确要求，需要加强对内网计算机的监督管理、技术管控、检查查处等相应的安全防范措施。加快提升安全保密系统信息化，促进数据共享、形成全面的数据辅助决策分析与支持，提高管理部门的监测预警能力、发现处置能力。

中孚信息内网信息安全防护综合解决方案，包括网络准入控制、终端安全防护、检查查处、敏感信息实时监测等功能，实现网络安全、信息安全、技术防护和管理工作的网络化、信息化。平台采取统一规划、部署，采用模块化的系统架构，能灵活扩展。针对不断变化的保密防护要求和新的窃密技术，能够有效地动态跟踪，避免重复建设投资，不断满足信息安全保密工作发展的需要。

二、建设目标

根据XXXX内网实际情况，结合中孚目前产品功能情况，本次建设预期达到以下目标：1、规范内网用户接入

实时监测和识别所有入网计算机信息，非法计算机或违规计算机立即隔离出网，接入专网的计算机需经过主管部门的审查、审批，严格用户身份管理，并可根据业务需求，限定访问权限；

对入网设备进行安全指标检查，主要包括按照规定必须安装的软件检查、设备在网情况、设备违规情况及其他应用软件检查等，可防止用户非法卸载等行为发生，确保软件的存活率。

2、移动存储介质管控

对内网使用的移动存储介质进行管控，经过授权的移动存储介质才能在内网授权范围内使用，未经注册的移动存储介质无法在内网使用，主管部门可限定移动存储介质的使用范围，并能实现专网计算机其他外设设备的控制（如红外、蓝牙、光驱等）。

可单独指定计算机作为输入输出专用计算机，配合单向导入设备。

3、违规外联监控

对内网计算机连接互联网进行监控，一旦违规连接互联网，则立刻阻断网络，并报警。

4、终端安全登录防护

实现内网的边界安全防护，采用用户身份认证方式，实现终端计算机的安全登录控制。

5、敏感信息实时监控

对内网计算机存储的信息进行实时监测，针对起草、编辑、存储以及插入的移动存储介质中的信息进行实时监测，一旦有敏感、涉密信息，则立即报警，并对违规行为进行有效的审计和取证。

三、平台总体设计

整个平台包括4大方面，平台充分考虑了模块化、组件化的设计，系统可统一部署，也可分批分级实施，后期可动态的增加子模块（如光盘刻录、打印监控、补丁分发等），自动化升级减少人工安装实施，有效的避免重复建设投资。内网功能架构图如下图所示：

1.平台应用架构

平台由管理端、终端组成的B/S，C/S相组结合的模式。管理端由管理中心、审计中心、通讯服务器、数据库服务器等组成。终端软件由介质控制、违规外联、光盘、主机监控审计等

组成。系统架构图如下图所示：

2.分级部署

平台可级联部署，支持大规模集中管控。支持分级数据实时查看、策略发下管控等功能，下级单位也可层层上报数据，形成全网数据汇总。平台分级部署图如下图所示：

四、平台功能描述

按照XXXX目前的情况，建设形成以内网“信息安全综合防护管理平台”为核心的安全监管体系，下面针对对所涉及到的接入控制、终端防护、敏感信息监控等方面做详细的介绍。

1.内网接入控制

中孚网络接入控制系统，是完全基于最先进的第三代准入控制技术的纯硬件网络准入控制系统，秉承“无需改变网络、终端部署灵活”的特性，研制的新一代入网规范管理系统。中孚网络接入控制系统改变了业界传统的将准入控制系统作为一个单独功能产品的做法，率先提出准入平台的概念。实现了广泛地结合用户已有的交换机、杀毒软件、AD域、LDAP服务器等，并完全实践了“入网-在网-出网”的整体化流程，能够达到“违规不入网、入网必合规”的管理规范。

中孚网络接入控制系统的管理思路为：身份鉴别——安全评估——策略下发——实时监测——威胁响应——风险分析——网络治理。

产品功能支持包括：身份认证、设备智能识别管理、软件安装情况检查、全网安全结构管理、友好WEB重定向引导、基于角色的动态授权访问控制、可配置的安全检查规范库、“一键式”智能修复、实名日志审计等功能。一方面满足等级保护对网络边界、终端防护的相应要求，同时提供更高效、更智能的网络准入防护体系。

设备图示

1.入网安全管理

●实时监测和识别所有入网计算机信息（ip、mac地址、所属部门等），非法计算机或违规计算机立即隔离出网，保证所辖网络的和谐规范；

●对入网计算机进行安全指标检查，主要包括：

杀毒软件检查，主要检查杀毒软件的安装情况，同时对其他杀毒软件的安装情况进行上报和统计；

补丁更新情况检查，对严重和重要的补丁进行自动修复更新，并记录全网补丁更新的情况；

对所有设备进行ip-mac绑定，私自修改ip地址的计算机将被及时阻断出网，违规行为将被及时上报；

其他必须安装软件（如中孚内网综合防护系统、敏感信息监控、杀毒软件等）的检查和管理；

●不符合安全指标要求的高危计算机进入隔离区，并能够及时得到修复；

●入网人员身份鉴别，入网需要经过身份认证；