目录1.1.网络安全管理系统 (2)1.1.1.概述 (2)1.1.2.主机监控与审计系统 (3)1.1.3.准入及IP管理设备 (16)1.1.4.私有云安全存储设备 (21)1.1.5.运维安全审计系统 (26)1.1.网络安全管理系统1.1.1.概述海南省监狱管理局为加强对安全生产终端机器、内网敏感信息等数据传输的有效管理，依据国家规定的涉密计算机信息安全管理条例的相关要求，提出了对管理局以及全省各监狱内网环境建立起安全通道，严禁其它普通U盘的交叉使用需求和对工作用机的桌面安全进行加固，禁止非法机器违规内联的准接入控制的需求。

根据省局网络安全管理系统的需求，本项目建设内容包括主机监控与审计系统（200个客户端）、准入及IP管理设备（350路接入）、私有云安全存储设备（350个用户）及运维安全审计系统。

主机监控与审计系统立足于网络运维管理、信息保密与审计，从根本上切断信息被非法泄漏的一切途径，全面贴近实际的信息安全管理工作，从对安全事件的防范开始、到安全事件事发过程的跟踪、以及安全事件的事后追溯和查处，全程管理整个计算机内部网络，并强烈关注于对安全事件的审计和监控，是一个真正可用、货真价实的全生命周期安全管理平台。

准入及IP管理设备基于IP地址进行网络管理，通过和主机监控与审计系统联动，实现计算机终端的准入控制。

准入及IP管理设备能够有效地管理网络的IP/MAC 资源，利用利用强大的切断功能保护单位内部网络安全，能够自动收集内网全部的IP/MAC地址相关信息，实时提供更新数据，阻止管理控制中心中未经许可的IP/MAC地址访问网络，防止用户与交换机、服务器等重要设备发生IP冲突，保护重要设备的IP，控制超负荷通信量，提高网络运营的高效性、稳定性和安全性。

私有云安全存储设备通过使用数据集中存储、访问控制、身份认证、数据加密、传输加密、冗余备份、安全审计等有效的技术手段，达到数据防护的目的，实现“关键电子信息集中存储，个人不留密，终端不存密”的安全保密建设理念，实现文件只存服务器，本地无敏感数据，合法用户正常使用，非法用户拿不到，黑客木马窃不到，硬盘电脑不怕丢等安全问题，同时也从根本上杜绝了单位内部的系统管理员对服务器上的数据不受控的访问。

运维安全审计系统通过集中管控平台整合监狱的运维行为管理，实现运维操作集中可视化管控，通过基于唯一身份标识的集中账号与访问控制策略，实现维护人员与各服务器、网络设备等无缝连接，一站直达，降低多种设备类型带来的管理复杂度问题，快速发现和处置违规事件。

1.1.2.主机监控与审计系统（1）系统架构产品采用C/S模式，整个体系分为三层架构：数据管理层、用户界面层、中间层。

这三层结构在层与层之间相互独立，任何一层的改变不会影响其它层功能。

系统由服务器、管理端、客户端构成。

服务器: 包含数据库服务器(DB)、维护服务器(MT)、接入服务器(UI)。

数据库服务器: 专用来存储数据。

维护服务器(Maintain):负责授权信息的集中管理、层级服务器中转、UI服务器的维护。

接入服务器(User Interface):作为中间层，提供了数据管理层与用户界面层之间的通讯，实现了应用与数据库的高效连接。

管理端：管理端对终端进行集中管理、策略配置。

客户端：客户端是运行在终端上的管理引擎，负责对计算机终端的安全管理，记录计算机终端用户行为并与管理服务器进行通信。

它深入系统内核，在任何模式下不可删除、不可停止。

主机监控与审计系统架构图：（2）系统设计特点1）覆盖面广对内网信息安全的监控，本系统配套的功能组件覆盖了移动存储介质管理、非法外联监控、终端资源监控、网络访问控制、软件资产管理、硬件资产管理、软件分发、敏感信息检测、准接入和健康性检查、端口设备控制、打印管理等。

基于产品构架设计特性，可满足大型网络系统的跨地域的独立部署或分级部署，上级可管理所有下级服务器。

2）安全稳定组件式的构架设计，要求整套系统的开发接口定义统一、规范约定统一，各组件相互独立，各自使用自己的资源，互不影响。

任一组件出现异常，不会影响系统的崩溃，且可随时替换相应组件，保障用户当前工作不受影响。

系统还提供负载均衡，支持停机检修。

客户端的注入深入Windows底层，病毒及恶意的破坏无法造成客户端的崩溃，客户端程序具备一套完整的自我保护机制，提升并加固程序的自我运行能力。

主机监控与审计系统自动化日志迁移工具。

当数据库日志量增大累积到一定程度时，管理员使用此工具可自动实现后台日志数据的存储迁移提供，前台的操作无任何影响。

此工具不仅能减轻当前数据库的读写负荷，提升数据的访问效率，间接地保障数据库服务器的稳定。

3）兼容性强系统平台超前兼容: 支持32位的Windows 2000以上所有系统；支持64位的Windows Vista/7。

杀毒软件强大兼容: 深度隐藏，深度注入，走Windows标准定义，杀毒软件无法误报，主流杀毒软件均无冲突拦截。

4）操作简便主机监控与审计系统的管理台采用简约式的交互设计，通过右键菜单可完成各种丰富的操作。

客户端无任何交互界面。

为方便管理员操作，系统提供策略模版，信息的显示可由用户自定义，提供查找定位功能，让管理员可快速操作。

主机监控与审计系统提供服务器自动化配置工具，备份工具，可让管理员一键配置快速维护与管理服务器。

5）扩展性强主机监控与审计系统可随时添加新的功能组件，结合平台形成不同层面的内网安全控制产品。

支持服务器和各功能组件的独立平滑升级。

主机监控与审计系统可提供丰富的二次开发接口。

6）强大的接入控制功能主机监控与审计系统通过与准入及IP管理设备联动，能够自动阻止未安装主机监控与审计系统客户端或安装后未授权，以及具有冲突隐患的IP设备的接入。

通过拒绝这些设备的接入，一方面保证内网的安全、干净，另一方面防止重要设备同终端用户之间发生IP冲突，保障网络的稳定运行。

7）更加专业各功能组件的开发，均是基于一个特定的、明确的需求定义，所实现的功能相比综合性的设计更加独立，更加专业，更加深入。

8）方便快捷的安装运行系统不需要更新原有网络结构及设备，管理员可以方便快捷进行产品安装，以最低成本达到最佳的管理目的。

（3）系统功能1）终端维护管理管理流程授权单一，集中管理终端的授权管理分为：待授权、已授权、已卸载。

所处待授权分组，不享有任何管理功能。

通过“已卸载分组”，管理员可看到截止当前阶段已处于卸载状态的所有终端信息。

权限分立，三员化管理主机监控与审计系统支持三员化管理，分为安全管理员、安全操作员、安全审计员。

架构灵活，应用面广终端策略集中管理，分群组管理、分组管理、计算机管理。

其中，分组中可包含子分组、终端。

这种多层嵌套的分级架构可满足更多客户的实际网络架构。

快速定位，灵活应用在主机监控与审计系统中，管理员可以根据特定的属性组合来定义快速查找分组，方便管理员快速对所属分组的终端计算机进行集中管理，这个逻辑分组不改变终端原本所属的组织架构。

每个安全操作员都可根据自己的管理需求创建逻辑分组。

逻辑分组创建后会自动保留这些设定，即每次登陆管理台无需重建，除非操作员执行删除操作。

在线、离线策略，无空隙监控可针对计算机分组、终端下发在线、离线策略，可以分别为在线、离线状态的客户端计算机设置不同的策略，确保客户端计算机即使离线也逃不脱监控。

2）分级管理结合管理制度，实现分责分权管理。

主机监控与审计系统采用分级的管理授权模式。

可以容纳多个拥有不同管理授权的账号（账号的数量没有限制），达到多管理员、分权定责、共同管理的目的。

主机监控与审计系统的管理员分为：安全管理员：只能制定操作员和审计员的账号，及账号的管理权限。

安全操作员：只能根据账号的规定，对管理指定的部门进行具体的操作策略管理。

安全审计员：只能审计各个管理员的操作日志。

3）移动存储介质管理主机监控与审计系统对移动存储介质的管理分为三大类：对普通U盘的管理、对防木马U盘的管理以及对指纹U盘的管理。

对普通U盘的管理A）非授权禁止使用非本单位的移动存储介质插入本单位计算机上，如果控制策略设定为不允许，将无法使用。

同时可通过策略控制，外面U盘在内部的使用权限，可以定义外来U 盘只读。

B）注册管理注册U盘有两种安全模式，分别为资源管理器模式与低级别数据安全模式，严格控制U盘（包括普通U盘、移动硬盘、以光驱模式加载的特殊U盘、1394移动存储设备、手机存储卡、数码相机、MP3/MP4、各种CF/MD/SD卡、PCMCIA卡以及各类FlashDisk）等移动存储设备在局域网内部的使用，以确保外部的U盘不经注册授权，无法在内部使用，内部的U盘不经授权，无法在外部读取。

资源管理器模式（推荐）：具备高级别的数据安全，使用专用资源管理器进行数据的交互管理，在非客户端上无法使用。

低级别数据安全模式：数据安全级别低，注册时无需进行格式化，原有数据不会被破坏，在非客户端上可以使用，会记录在非客户端上的使用日志。

C）移动存储设备权限管理由于单位信息的重要程度不同、信息使用者的行政级别不同，决定了有些计算机不能使用任何U盘，而有些计算机需要选择性的使用U盘。

因此，必须控制单位内部的计算机对U盘的使用权限也有所不同。

主机监控与审计系统根据实际应用情况，设计了计算机使用U盘的策略：完全禁止――设置指定的计算机无法使用任何U盘。

使用授权――设置指定的计算机是否允许使用注册U盘或未注册的U盘。

读写控制――设置指定的计算机允许使用的U盘为可读还是可读写。

完全开放――设置指定的计算可机使用所有已注册及未注册的U盘。

交叉控制――根据注册后U盘的使用身份设置它能在哪台计算机或哪组计算机上可以使用。

D）防止格式化数据恢复对于普通的移动存储被删除或格式化后，利用专业的恢复工具仍然可以恢复出数据，采用主机监控与审计系统的移动存储介质管理，经注册的移动存储介质如果被格式化后，采用专业的恢复工具仍然无法恢复出数据，有效防止信息的泄漏。

E）非注册普通U盘管理在主机监控与审计系统主机监控与审计系统中每个功能的设计都充分考虑安全和方便两方面的问题，因此，在系统的设计中，对非注册的移动存储介质也提供了相应的管理。

可以控制没有注册U盘，是否可以在内网中使用，同时可以控制它接入内网的使用策略是可读或读写。

F）U盘使用日志U盘使用日志：由于每个移动存储介质在注册时，必须定义一个使用身份，因此我们采用U盘使用实名制，实现了U盘在内部计算机的使用情况和使用者挂钩，使U盘的使用日志具备了可审计性。

可审计何时、何计算机、何U盘、插入/拔出、操作何文件。

U盘文件操作日志：可通过系统的管理台审计到每个在每个U盘上所做的文件操作的日志，包括打开、创建、复制、剪切、删除、重命名等。

对防木马U盘的管理A）防木马U盘分类防木马U盘分为4种：内部专用盘、单向导入盘、单向导出盘、双向交流盘。