Chinasec内网安全管理平台

Chinasec内网安全管理平台（精选3篇）

1.Chinasec内网安全管理平台 篇一

Chinasec（安元）军工行业数据安全解决方案

行业特性

随着军工行业信息化建设的快速推进,各企事业单位基本上都建立了自己的涉密信息系统和非涉密信息系统。由于工作性质的特殊性, 各军工企事业单位中涉及的国家秘密信息数量大、范围广,信息安全保密成为一个备受关注的问题。军工企业在推进信息化工作的同时,怎样做好信息安全保密成为一个非常严峻的问题。国家保密局先后发布了《计算机信息系统保密管理暂行规定》和《BMB-17》等一系列分级技术保护要求的文件，要求对涉密信息系统明确进行等级防护的规划。

现阶段涉密信息系统安全保障工作还处于起步阶段，普遍存在安全保障能力低，没有划分安全保密层次与级别，信息对抗能力不足等问题。目前，各军工企业虽均与员工签订保密协议，但仅仅从制度上约束还不够，还需要通过技术手段进行控制，保障各军工企事业单位内终端数据的存储、使用、流转安全的同时，提高数据安全强度，杜绝信息泄密事件的发生。

需求分析

♦单位内部系统用户登录机制欠安全且混乱，主机登录认证依靠系统自带身份识别方式，安全强度低，易被冒用或盗用；

♦需要加强对涉密网与非涉密网的管理力度，即要在涉密网或非涉密网内依据人员或部门进行细粒度管理，依据涉密安全保密级别不同，进行严格划分，达到分级分域管控；

♦对涉密内网的移动存储介质以及外设需要采取有效安全控制，防止随意使用；

♦对涉密网内数据进行严格管理，防止未经授权的文件随意携带出涉密网；

♦对于非涉密网不仅是简单用户行为的管理或监控，还需要对非涉密网内存在的敏感数据、重要的应用系统进行保护，提高非涉密网的安全等级，从而提升数据价值。

解决方案

♦依据分级保护技术要求，Chinasec网络保密系统可以将涉密内网信息系统计算机终端和服务器根据不同保密级别和职能逻辑划分为不同的安全域，进行分级分域管理；

♦在同一保密域内，信息可相互进行正常网络通讯，也可以移动存储介质为载体进行有效的数据交互，但是不同保密域间不能通过任何方式进行数据交互；并且通过网络加密技术可彻底杜绝各种方式的非法外联和接入，包括对等网连接等；完善的硬盘加密技术，对数据的安全存储提供了安全保障；

♦Chinasec外设管理功能可提供完善的移动存储设备管理功能，支持多种灵活的策略和授权方式，实现移动存储介质注册管理，还支持对红外、蓝牙等外设的集中管理；

♦Chinasec网络保密系统构建了涉密网数据保密体系，提供严格的数据管理功能，所有的数据在未经授权的前提下，均无法私自携带出涉密网，提高了涉密网内数据安全性；

♦可以依赖重要业务系统、文档服务器和文档三个维度进行安全加固，实现以业务系统、文档服务器、文档为中心的数据保密体系，大大提高了非涉密网内数据安全的管理，既提升了数据价值，又没有影响用户的正常使用。方案部署图

方案特点

♦满足保密局分级保护要求，在涉密内网内建立不同保密级别的数据安全区域，实现了分级分域管理；

♦在网络边界完整性上有效实现了非法内联阻断和非法外联控制，提高网络边界安全；

♦通过在涉密网内构建数据保密体系，从而保证涉密网内数据的安全存储、使用、流转，在不影响正常的前提下，提高对涉密网内数据的安全管控；

♦可以灵活对重要的业务系统、文档服务器、文档等多维度进行管理，依据不同部门、人员、涉密级别进行管理，提升数据应用价值；

♦依靠Usb_key方式实现双因素认证，实现了主机登录安全,提高用户登录强度；

♦建立统一集中外设管理平台，不仅仅实现了对移动设备的全方位的管理，还对红外、蓝牙等集中管控功能。

2.Chinasec内网安全管理平台 篇二

1 系统组成

本系统由安全平台、监控客户端和UKey组成，如图1所示。基于TPM的安全支撑平台是系统中心部件，负责通讯加密、用户身份认证、安全策略制定、终端使用授权、以及接收客户端软件、网络监控引擎、漏洞扫描器等反馈回来的警报信息，并全面协调、控制其它各部件的运作。安全平台由九个功能模块组成，如图2所示，它们分别是TPM模块，负责信息加密和身份认证，是其它功能部件的基础;客户主机监控模块，负责分析和控制客服主机的文件存取、网络连接等操作行为;应用监控模块，负责监控业务应用软件的运行情况;网络监控模块，负责监控安全域内网络的使用情况和安全隐患;漏洞扫描模块，负责定时检测内网各主机和网络设备存在的漏洞;反病毒引擎模块，负责防范软件病毒的入侵;中心管理模块，负责监控和管理各组件的运行情况;平台自保护模块，负责保护平台在自身的安全和稳定。监控客户端安装在内部局域网的各主机上，由监控中心控制，可根据监控中心设定的监控策略对主机行为、接口、外设等进行监控，并把监控数据和警报信息发回监控中心。Ukey是硬件加密钥匙，保存用户密钥和身份信息，用户要通过Ukey通过系统的认证。

2 主要模块说明

1)可信平台模块

TPM[1,2,3](可信平台模块)是一种基于TCG(可信赖计算组织)工业标准规范，含有独立密码运算部件和存储部件的系统安全芯片，能用于存储口令、数字证书和加密密钥，为各种计算平台提供安全认证、身份认证、信息加解密、硬件保护存储和安全网络接入等服务。TPM的芯片内部结构主要部件有密码协处理器，负责加解密和签名操作;HMAC引擎，负责HMAC计算;SHA-1引擎，负责SHA-1计算;非易失性存储器，负责存储与TPM关联的信息;执行引擎，负责运行程序代码和TMP命令;密钥生成器，负责创建RSA密钥对和对称密钥;易失性存储器，负责作为TMP的工作存储器[1]。

TPM是可信计算平台的“可信根源”[4]，从硬件底层来提供对于计算设备的保护。本系统对基于硬件的“可信根源”进行扩展，包含相关软件功能，实现对系统中的安全风险进行准确的测量，而这些测量数据将作为系统调整安全策略的重要依据。

2)客户主机监控模块

客户主机监控模块由监测分析模块和功能实现模块两部分组成，如图3所示。监测分析模块负责分析和检测对系统的文件存取和网络连接等引发的各种事件和驱动调用行为，而功能实现模块主要完成本系统的各种具体功能。监测分析模块由内核层监测子模块和应用层监测子模块组成。内核层监测子模块主要采用钩子(hook)和回调函数(Callback function)技术，可以实时监测内核驱动、API调用和设备驱动等各种内核不同层次的调用事件。文件的存取和外设的动作最终都要调用内核中驱动程序去完成，而挂接在这些驱动程序上的钩子可以立即感应到这些存取事件和动作，激活相应的回调函数。回调函数对事件进行初步分析，提取出有关的信息，然后将这些信息上传给监测分析模块进行筛选分析。应用层监测子模块主要监测各种网络连接、系统日志、应用日志和系统当前状态等信息，提取出有关的部分，上传监测分析模块进行分析。功能实现模块根据监测分析模块的分析结果和用户的设置实现具体功能，包括外设及接口监控，网络连接和共享的监控，文件、数据库存取监控，应用服务监控和外联监控等等。

3)网络监控模块

网络监控模块由分组捕捉器、网络协议解码器、入侵检测、敏感内容监控模块、预警提醒、入侵模式库等组成。分组捕捉器，通过分组捕捉机制，为入侵检测系统提供从物理网络直接收集数据链路层网络原始信息的能力;网络协议解码器，实现了相当于计算机系统中网络协议栈的功能，将由分组捕捉器获得的原始网络信息，根据不同的网络协议解码相应的分组数据结构，并将已解码的协议分组信息提交入侵检测模块和敏感内容监控模块;入侵检测，对已解码的网络协议数据进行分析，并从这些网络活动中寻找预先定义的攻击模式，一旦发现其中含有攻击事件的特征标志，即将此事件提交预警提醒模块;敏感内容监控模块，负责对关键字、文件名等进行匹配，将匹配的结果送给预警提醒模块;预警提醒模块，根据入侵检测引擎提交的事件种类，根据预先指定的响应行为来执行相应的动作，如联动、预警，拍照、阻断等;入侵模式库，用来描述攻击事件的特征和相应的响应规则。

3 系统采用的关键技术

1)实时捕捉攻击者特征信息的TPM拍照取证技术

本系统采用反向拍照技术，不但可以捕捉到非常入侵者的IP和其它入侵信息，还能给非法入侵的黑客拍一张“全身照”，记录黑客的主机名、操作系统类型、版本、开放的服务、端口等主机特征信息。同时系统在拍照过取证过程，采用TMP芯片的硬件加密引擎功能对所有的数据进行TPM加密处理，使取证的数据不会被窜改,保障证据数据的安全性和可信性，为有关部门进一步追踪黑客和取证提供了有力的依据。

2)设备认证管理技术

本系统采用设备认证管理技术控制接入到安全平台中的设备。系统对管理域内的主机上的设备建立基线数据库，使系统管理内的设备可随时进行核查，而新设备接入时需先进行认证，当没有经过认证而接入系统或网络时，能自动发现并告警，并根据策略进行管理控制，有效防止了资源的滥用。同时对管理域内的存储介质中的数据都采用独有的加密技术，管理域以外的计算机系统将无法读取非法从域内泄露出去数据，有效防止信息被有意或者无意从移动存储设备泄漏出去。

3)采用TMP芯片的硬件加密引擎实现的透明安全存储技术

本系统采用TMP芯片的硬件加密引擎功，对管理域内的重要数据做到有效的安全保护。系统利用硬件加密引擎的功能在主机中开辟一个安全加密区，该加密区为独立的逻辑区，对操作系统透明，在用户输入帐号、密码前，操作系统看不到该分区。对存入该分区的数据，系统会自动进行加密处理，可以采用3DES算法，以及国家认证算法。当读出数据时，系统会自动进行解密，加解密过程都在后台进行，对用户透明。

4)基于TPM的各安全组件的联动技术

TMP芯片为系统中各安全组件提供加密功能外，同时也为平台提供了良好的联动基础。当系统发现攻击或网络异常时，控制中心可自动制定防御策略，并将各策略下发给各安全组件，各组件实时响应，按中心要求进行有效防护，构成一个“全网防御”体系，可以有效防御各类不安全的攻击、入侵、病毒等危害。系统还可以支持BDSEC、OPSEC、TOPSEC、NSSEC等主流联动协议，提供通用联动API接口，能与其它第三方厂家的安全产品实现联动，共同防御入侵。

4 结论

网络安全技术的提高和发展将直接关系到我国网络环境的安危，对我国日益增加的电子政务、电子商务系统的建设和发展起到重要的保障和推动作用。本文设计和开发的基于TPM的电子政务内网安全支撑平台，能保障内部网络的信息安全，增强网络的抗攻击能力和病毒的免疫能力。该系统的使用和推广，对于维持信息社会的稳定和谐具有重要的意义。

参考文献

[1]Trusted Computing Group.TPM main specification:design principles(version1.2)[EB/OL].[2008-07-10].http://www.trustedcomputing-group.org.

[2]Trusted computing group.Trusted computing group design,implementation,and usage principles for TPM-based platforms version1.0[EB/OL].[2007-11-28].http://www.Trustedcomputinggroup.org.

[3]Trusted Computing Group.Specification,Architecture Overview,Specification(1.2Edition)[EB/OL].[2007-11-28].http://www.trustedcom-putinggroup.org.

3.内网的安全管理 篇三

随着Internet的飞速发展，局域网已经成为很多行业不可缺少的组成部分。在享受Internet快捷方便的同时，内网安全也面临着严重的威胁。为了确实有效的保护内网的安全，建立一套完整的内网安全管理体系显得十分重要。

2、内网面临的安全问题

内网，通俗的讲就是局域网 (Local Area Network) ，内网的安全不仅面临着来自网外的病毒侵袭和黑客攻击，更多的问题是来自内部人员的违规操作、蓄意破坏或窃取信息。要做好内网的安全管理，首先在技术上，基础的硬件设施是必不可少的保障，安装边界路由器和防火墙，再配合使用入侵检测系统，经过正确的配制基本可以抵御来自网外的攻击。同时，制定合理的安全策略和严格的管理制度，从网络资源、设备资源、客户端资源和应用资源等多方对内部网络加以管理和审计，才能达到最佳的管理效果。

3、应对内网安全挑战的防御措施

在技术上，应首先从边界着手，通过正确的使用边界路由器、防火墙、入侵检测系统等设施，再配合其它技术手段，可以基本防御来自外网对内网的安全威胁。

3.1 合理设置边界路由器

一般来说，内网都有一个主要的接入点。这就是通常与专用防火墙一起使用的“边界路由器”。经过恰当设置，边界路由器能够把几乎所有的非法入侵挡在网络之外。

3.1.1 修改默认的口令

设置一个安全保密性较强的口令，可以防止边界路由器被网外非法用户破解，从而增强对外部使用者的管理。

3.1.2 关闭路由器的HTTP设置

HTTP使用的身份识别协议相当于向整个网络发送一个未加密的口令。然而，HTT P协议中并没有一个用于验证口令或者一次性口令的有效规定。因此关闭路由器的HT TP设置可以增强内网的安全性。

3.1.3 封锁ICMP PING请求

PING的主要目的是识别目前正在使用的主机。因此，PING通常用于更大规模的协同性攻击之前的侦察活动。通过取消远程用户接收PING请求的应答能力，就更容易避开那些无人注意的扫描活动或者防御那些寻找容易攻击的目标的非法活动。这样做实际上并不能保护网络不受攻击，但是，这将使内网避免成为一个攻击目标。

3.1.4 关闭IP源路由

IP协议允许一台主机指定数据包通过网络的路由，而不是允许网络组件确定最佳的路径。这个功能的合法的应用是用于诊断连接故障。但是，这种用途很少应用。这项功能最常用的用途是为了侦察目的对网络进行镜像，或者用于攻击者在专用网络中寻找一个后门。除非指定这项功能只能用于诊断故障，否则应该关闭这个功能。

3.1.5 确定数据包过滤的需求

在这种规定中，除了网络功能需要的之外，所有的端口和IP地址都必须封锁。例如，用于WEB通信的端口80和用于SMTP的110/25端口允许来自指定地址的访问，而所有其它端口和地址都可以关闭。

3.1.6 建立准许进入和外出的地址过滤政策

在边界路由器上建立政策以便根据IP地址过滤进出网络的违反安全规定的行为。除了特殊的不同寻常的案例之外，所有试图从网络内部访问互联网的IP地址都应该有一个分配给的局域网的地址，保证只有在局域网地址范围内的主机才可外出。来自互联网外部的通信的源地址应该不是内部网络的一部分。因此，应该封锁入网的非法地址。

最后，拥有源地址的通信或者保留的和无法路由的目标地址的所有的通信都应该允许通过这台路由器。

3.1.7 审阅安全记录

审阅路由器记录(通过其内置的防火墙功能)是查出安全事件的最有效的方法，无论是查出正在实施的攻击还是未来攻击的征候都非常有效。利用出网的记录，还能够查出试图建立外部连接的特洛伊木马程序和间谍软件程序。

3.2 安装防火墙

防火墙可以限制他人进入内部网络;过滤掉不安全的服务和非法用户;防止入侵者接近用户的防御设施;限定人们访问特殊站点;为监视内网安全提供方便。

设置防火墙的主要功能就是控制对受保护网络的非法访问，它通过监视、限制、更改通过网络的数据流，一方面尽可能屏蔽内部网的拓扑结构，另一方面对内屏蔽外部危险站点，用以防范外对内、内对外的非法访问。

3.3 安装入侵检测系统

入侵监测系统处于防火墙之后对网络活动进行实时检测。许多情况下，由于可以记录和禁止网络活动，所以入侵监测系统是防火墙的延续。它们可以与防火墙和路由器配合工作。例如，入侵监测系统可以重新配置来禁止从防火墙外部进入的恶意流量。入侵监测系统是独立于防火墙工作的。

入侵监测系统扫描当前网络的活动，监视和记录网络的流量，根据定义好的规则来过滤从主机网卡到网线上的流量，提供实时报警。网络扫描器检测主机上先前设置的漏洞，而入侵监测系统监视和记录网络流量。如果在同一台主机上运行入侵监测系统和扫描器的话，配置合理的入侵监测系统会发出许多报警。

通过安装入侵检测系统，可以提升防火墙的性能，达到监控网络、执行立即拦截动作以及分析过滤封包和内容的动作，当窃取者入侵时立刻有效终止服务，以便有效地预防企业机密信息被窃取。应限制非法用户对网络的访问，规定具有IP地址的工作站对本地网络设备的访问权限，以防止从外界对网络设备配置的非法修改。

3.4 其它技术手段

还可以使用安全交换机，利用网络分段及VLAN的方法从物理上或逻辑上隔离网络资源;使用代理网关，保证操作系统的安全;对重要资料进行备份;选择有完善的在线升级服务，使用户随时拥有最新的防病毒能力的防病毒产品;对病毒经常攻击的应用程序提供重点保护;也可以使用密钥管理，没有规律的口令具有较好的安全性。与此同时，还必须制定一套规范内网安全的管理措施。

4、结语

结合当前网络上攻击泛滥的现象，应对内网所面临的来自外网的病毒和黑客攻击，以及内部资料外泄等不安全行为的威胁。其中主要包括硬件技术防御措施和管理策略的制定方法。在内网的安全管理中，必须注重技术与管理的相互结合, 通过何种手段能以最少的投资建立最为适用的内网安全管理平台等。

摘要：本文是在局域网现有的网络设备的基础上, 从技术和管理两方面着手研究, 形成一套应对内网安全的管理方法。主要内容包括三个方面:硬件设备 (路由器、防火墙、入侵检测系统等) 的正确使用、制定行而有效的安全策略以及严格的内网安全管理制度。论文涵盖了内网安全所需要的“防、测、控、管”等多方面的基础理论和实施技术。

关键词：局域网,内网安全,安全策略,管理措施

参考文献

[1]蔡立军.计算机网络安全技术[M].北京:中国水利水电出版社, 2001.

[2]程胜利, 谈冉.程煜.计算机病毒及其防治技术[M].北京:清华大学出版社, 2004.9.

[3]吴功宜, 吴英.计算机网络应用技术教程[M].北京:清华大学出版社, 2001.

[4]刘承松.局域网与INTERNET应用[M].云南:云南科技出版社, 2005.6.