北信源内网安全管理系统
用户使用手册
北京北信源软件股份有限公司
二〇一一年
支持信息
在北信源内网安全管理系统使用过程中,如您有任何疑问都可以通过访问我公司网站或者致电我司客服中心获得帮助和支持!
热线支持:400-8188-110
客户服务电话:
在您使用该产品过程中,如果有好的意见或建议的话也请联系我们的客服中心,感谢您对我公司产品的信任和支持!
正文目录图目录表目录
第一章概述
特别说明
北信源终端安全管理系列产品由《北信源内网安全管理系统》、《北信源补丁及文件分发管理系统》、
《北信源主机监控审计系统》、《北信源移动存储介质使用管理系统》、《北信源网络接入控制管理系统》及《北信源接入认证网关》6大套件构成。
本手册内容将随着北信源软件的不断升级而改变(以光盘中电子版发行时为最新版),恕不另行通知。需要者
请从北信源公司网站下载本手册的最新电子版或者直接联系北信源公司索取。
本手册与本系统的安装配置手册中的所有图片均为示意图,请以实际产品为准。
本使用手册为北信源终端安全管理系列产品通用说明书。若您独立购买《北信源内网安全管理系统》或
《北信源补丁及文件分发管理系统》等其中之一产品,本说明书的其它功能将不具备。
感谢您购买北京北信源软件股份有限公司研制开发的北信源终端安全管理系列产品。请在使用本软件之前
认真阅读本使用手册,当您开始使用该软件时,北信源公司认为您已经阅读了本使用手册。
产品构架
北信源终端安全管理产品由8部分组成:WinPcap程序、SQL Server管理信息库(安装包:环境初始化程序)、Web中央管理配置平台(安装包:网页管理平台)、区域管理器(安装包:Region Manage,原区域扫
描器已作为模块集成到区域管理器)、客户端注册程序(安装包:注册程序)、补丁下载服务器、管理器主
机保护模块、报警中心模块。
环境初始化程序
SQL Server管理信息库,建立北信源终端安全管理产品的初始化数据库。初始化的信息包括:网络客户端
设备属性信息、区域管理器信息、设备扫描器信息、区域管理范围信息、注册(未注册)机器信息、设备
属性变化信息、报警信息等。扫描器将设备最新状态信息同数据库中原有信息进行遍历搜索对比,根据规
则要求在管理平台上报警。
网页管理平台(web管理平台)
Web中央管理配置平台,本系统的管理配置中心。包括区域管理器、扫描器、注册客户端的功能参数设定,网络设备信息发现、系统应用策略制订、报警信息显示、定义任务功能制订、系统用户维护等配置操作。Region Manage
区域管理器,系统数据处理中心,负责与管理信息数据库通讯扫描终端设备、控制服务器、客户端之间的
信息、指令的下达、接受。比如:接收注册程序提供的用户信息,将用户信息(用户填写的物理信息和系
统自动采集的硬件信息)并行存入数据库;接受来自控制台的命令操作,发送到客户端、扫描器执行。
对于存在多级管理要求的广域网,网络中可以存在多个区域管理器,实现系统数据逐级上报(转发),对
网络终端的多级管理。
区域管理器内置网络扫描器,扫描器用来发现网络的终端设备。将发现的设备信息交由区域管理器处理。、设备最新状态信息报送至区域管理器,由区域管理器处理后,同数据库中原有信息进行遍历搜索对比,根
据管理规则在管理平台上报警。
扫描器配合区域管理器进行工作,可以在分级模式下使用。扫描器只依据Web管理平台中配置的工作范围
进行扫描,如果终端IP超越其范围,将不负责执行操作。
Winpcap程序
嗅探驱动软件,监听共享网络上传送的数据。
客户端注册程序
将接收并执行服务器下发的指令。该程序可以在“工具下载->用户注册器下载”处下载。访问指定网站自动获得,用户填写必要的信息后,运行该程序,区域管理器将收到注册终端的相关信息,同时终端可以接收、执行各种下发的指令。注册程序自动探测系统硬件信息,连同用户填写的信息一同上报区域管理器。用户
将本机注册信息发送到区域管理器后,区域管理器自动将客户端驻留程序应用策略发送给用户,并自动更新。
客户端驻留程序功能:
进行本机硬件属性信息变化监视;
进行本机IP、MAC地址变化审计;
本机系统补丁、软件安装、运行进程状况监测;
探测本机是否有违规联网行为,在内网管理中心或外网报警平台报警;
接受Web管理平台的管理命令;
阻断本机非法外联行为;
执行Web管理平台下发的各种策略操作。
补丁下载服务器
安装在与Internet网络连接的机器上,用于实时下载补丁厂商发布的补丁。
管理器主机保护模块
管理器主机保护模块可根据管理器或其他服务器具体使用的端口、网络协议、通信IP范围和具体的其他网
络应用来定义该计算机使用的安全级较高的网络配置,从而防止该计算机受到恶意的IP冲突以及各种网络、病毒攻击。
报警中心模块
安装在可与区域管理器所在服务器正常通讯的计算机上,本模块可以根据管理员在系统中所配置的报警事
件和危险级别提供给管理员包括电子邮件、信使服务、SNMP Trap、手机短信等多种报警方式。
应用构架
北信源终端安全管理应用于局域网、广域网构架,支持跨网段、跨地域的内网远程客户端管理及非法移动
设备接入检测、网内计算机违规联网监视、网络安全隔离度监控等。
系统应用主要分为以下两种构架:
基本构架:对于一般网络(例如1个C类地址或若干个C类地址的局域网范围),可使用一套本系统软件,通过一个管理器集中管理所属区域内的所有设备。
扩展构架:对于大规模的多个局域网或者跨地域广域网(包括基于国家、省、市、县等多级管理模式的网
络结构),可使用本系统提供的多区域集中管理构架,即一个或多个网段各拥有一套独立北信源终端安全
管理的同时,将本级所有设备信息再转发给上级管理数据库,使得上一级管理人员对整个网络的设备状况
也能够完全掌握。
图1- 1北信源终端安全管理应用拓扑
第二章北信源内网安全管理系统
策略中心
策略管理中心
策略的使用
策略的创建和分发
1..在“策略管理中心”中左侧的策略项中点击需要制定的策略,然后在右侧的【策略名】中输入相应的策
略名称,单击【创建新策略】按钮开始创建策略。
图2- 1创建新策略
注:在策略的定义中使用了一些特别的关键字符,这些特殊的字符不应该在策略内容中出现。否则可能会
出现无法预料的系统错误。这些字符包括:"><'/="(大于,小于,单引号,反斜线,等于)。
2.根据实际需求配置策略,单击【保存策略】完成策略的创建。
(由于各个策略项的配置过程都不一样,下一节将具体介绍)
3.下发策略,即指定策略的执行对象。通过单击【对象】按钮,可按界面提示完成对象的分配。如下图所示:
图2- 2下发策略
4..如果需要让某一条策略暂时不使用,可通过【停用】按钮使策略失效,需要使用的时候再单击【启用】
按钮使策略生效。如果想要删除某一条策略,则直接按【删除】按钮即可。如下图所示,
图2- 3策略控制
策略的高级设置
策略的高级设置用于策略的执行设置,包括策略状态(启动、停止)、策略存活时间(策略执行的起止时间)、策略执行触发条件(在何种条件下开始执行策略)、策略无效时间(规定时间内不执行策略)、策
略应用范围(本级区域、下级区域、所有区域)、级联策略类型等,有些策略还包括具体的触发时间设置等。
表2- 1策略的高级设置参数说明
策略下发结果查询
可以通过以下两种方式查看策略的下发情况:
(1)策略管理中心-->策略下发查询
(2)终端管理-->终端管理-->当前执行策略
注:策略分发间隔默认为1分钟;有的策略需要重新启动生效,请看每条策略的具体说明。具有审计功能
的策略,审计数据可以在“数据查询?审计数据查询”中查看。
黑白名单编辑
进程黑白名单
进程黑白名单在“进程监控”策略中可以使用,这部分包含系统预定义黑名单和用户自定义黑白名单。编
辑进程黑白名单时包括:进程名、产品名、源文件名等;如果是服务则只可以加服务名,同时可以加一些
描述。
软件黑白名单
软件黑白名单在“软件安装监控”策略中可以使用,这部分包含系统预定义黑名单和用户自定义黑白名单。URL黑白名单编辑
URL黑白名单在“上网访问审计”策略、“上网控制策略”中可以使用,这部分包含系统预定义黑名单和用户自定义黑白名单。
端口黑白名单编辑
端口黑白名单在“协议防火墙策略”中可以使用,这部分包含系统预定义黑名单和用户自定义黑白名单。硬件设备控制
硬件设备控制
功能说明:控制各种硬件设备及接口的启用或禁用,如果只想禁止使用移动存储设备,也可以通过“可移动存储审计”策略来实现。
参数说明:
表2- 2硬件设备控制参数说明
注意事项:
1.如果要对原来禁用的设备启用,最好是明确的为该设备制定一条启用策略。
2.禁用u盘、软驱、光驱等一部分功能,在行为管理与审计策略中的可移动存储审计策略中也可完成,功能上没有什么区别,用户可以根据自己的习惯,自行设定。
策略实例:允许使用光驱,但是禁止使用刻录光驱。
比如有两个光盘驱动器,分别为:Generic DVD-ROM SCSI CdRom Device 和 MATSHITA UJDA745
DVD/CDRW。从文字显示上可以看出后面一个驱动器为刻录光驱,如果要禁止刻录光驱,则可以将光驱项设置为"允许",在【例外】中输入"MATSHITA UJDA745 DVD/CDRW"或其中的一部分,只要能通过该标志确认是一个可刻录光驱即可。因为基本上可刻录光驱都带有"CDRW"字样,【例外】中可以输入"CDRW"。多个例外之间用分号(";")(英文半角格式)分隔,如下图所示:
图2- 4硬件设备控制
进程及软件管理
软件安装监控
功能说明:用于监控客户端安装的软件是否违规并对违规行为做出相应的处理。
参数说明:
表
2- 3软件安装监控策略参数说明 策略实例:
图2- 5软件安装监控策略 注意事项:
1.“软件名”要和控制面板中添加删除程序里的软件程序名一样,该功能支持模糊查询技术,例如在要检查是否安装了QQ ,可能因为各种版本不一样,在“添加删除程序”里显示的是QQ2004或QQ2005,这时您可以只输入QQ 。
2.静默卸载功能不支持模糊匹配,需要填写跟添加删除程序中的名称完全相同。
3.为了维护方便,建议管理员将施行安装或禁止安装的需求不同的软件,放在不同的策略中管理,如果同一软件在不同策略中的设置不同,那么,取最后一个策略设置为准。
4.本策略设置时,建议在高级设置,策略触发方式中,选中启动时触发和间隔触发选中,间隔时间10分钟左右。 进程执行监控
功能说明:用于监控客户端运行的进程,并做相应处理。先添加需要监控的进程信息,再配置违规处理措施。 参数说明:
表2- 4进程执行监控策略参数说明
策略实例:
图2- 6进程执行监控策略
注意事项:
1.进程名称、产品名称、源文件名之间是“或”的关系,填入其中一项或多项均可实现监控功能,其中,
产品名称,主要用于监控一系列软件的使用,比如说,qq不同版本的程序名不一样,但是产品名称是相同的。源程序名的作用,主要是为了防止可执行程序被人手动修改名称而避过安全系统的管理策略。
2.本策略设置时,建议在高级设置-->策略触发方式中,选中启动时触发和间隔触发,间隔时间5分钟左右。
3.启动路径为全路径或系统默认路径。
进程保护策略
功能说明:设置需要保护的用户进程,防止被保护的进程被非法关闭。
策略实例:
图2- 7进程保护策略
注意事项:
1.这里的进程保护是指使用windows任务管理器和一般的应用程序无法终止该程序。
2.这里的被保护进程,仍然可以在策略中心的“进程执行监控”中进行终止,请管理员注意相关策略的设置。
主机安全策略
用户密码策略
功能说明:此策略可以对系统的本地密码策略、本地帐户锁定策略、系统屏保进行设置,同时可以检测系统密码弱口令,除系统自定义的弱口令外,用户可以自己添加自定义弱口令集。
参数说明:
表2- 5用户密码策略参数说明
注意事项:
1.在windows系统密码策略中,策略是指密码的长度。
2.“弱口令检查”与“本地账户锁定策略”不能同时设置,否则弱口令用户可能会被锁定,无法使用!也不能对同一台计算机分配两个这样的策略。
3.检测系统弱口令,原理是使用每个列表中的弱口令来尝试登录计算机,它并不修改任何windows系统文件,本策略不会造成任何的计算机不稳定状态。
4.用户密码策略:只适用于标准版操作系统,番茄花园版不支持;系统屏保设置:重启后生效;弱口令列表需要手动添加。
用户权限策略
功能说明:检查系统用户、系统用户组的权限的改变和系统用户、系统用户组的增加或减少。当以上的某一条件符合时,则弹出相应的提示信息。
根据需要,在相应的菜单中选择上报或者在客户端提示的报警方式,还有两种报警方式同时启用的方式,如果选择中有提示信息选项,将在客户端弹出管理员设定的提示信息窗口。
注意事项:
1.本策略的各项均在Windows系统控制面板中的“用户与密码”项或者控制面板中的管理工具文件夹里的计算机管理程序中的用户菜单来实现的,本策略只提供相应的监测功能,不对您的修改进行限制。
协议防火墙策略
功能说明:本策略是基于各种网络协议的原理和各种网络软件对网络的实际应用,用来控制各种网络使用和计算机端口的使用,起到防火墙的作用。
表2- 6协议防火墙策略参数说明
策略实例:
如下图所设置的一个样例表示:只开放本地计算机的80端口;只允许该IP地址段中的IP访问本地计算机;禁止其他计算机ping入。
图2- 8协议防火墙策略
注意事项:
1.此策略需要管理员对网络协议和计算机端口有一定的认识,请慎重制定。通过对端口和协议对计算机用
户的网络操作进行监管。
注册表检查策略
功能说明:监测客户端的注册表内容和该内容的设定值,防止注册表被病毒或其他恶意程序修改,起到对
计算机的安全防护作用。
参数说明:
表2- 7注册表检查策略参数说明
图2- 9注册表
注意事项:
1.本策略只提供注册表检测功能,不进行修改注册表内容的操作。
IP与MAC绑定策略
功能说明:实行IP与MAC绑定。当IP与MAC绑定发生变化时,可对其实施自动恢复、弹出提示框、或断开网络并持续阻断该计算机等控制。
参数说明:
表2- 8IP与MAC绑定策略参数说明
策略实例:
图2- 10IP与MAC绑定策略
注意事项:
1.“客户端IP,MAC绑定”选项绝对不能在动态IP的设备上使用。
2.一般常规性的网络应用中,只要设定自动恢复ip和除网络管理员的账户其他帐户均有效即可。
杀毒软件运行监控策略
功能说明:检查客户机是否安装杀毒软件,并做提示、断开、重启计算机等操作。
参数说明:
表2- 9杀毒软件运行监控
补丁分发策略、软件分发策略
请参照第三章北信源补丁及文件分发管理系统
接入认证策略
请参照第六章北信源网络接入控制管理系统和第七章北信源接入认证网关。
违规外联监控
防违规外联策略
功能说明:监视违规网络连接(modem拨号、双网卡、代理等),并对违规行为做出相应的处理,检测计算机的网络使用是否符合制定的原则,对不符合原则的计算机进行处理。
参数说明:
表2- 10防违规外联策略参数说明
策略实例:
图2- 11防违规外联策略
当执行该策略的客户端有违规外联事件发生时,客户端将弹出管理员设置的提示信息,如下图所示:
图2- 12违规提示
注意事项:
1.当计算机离开本地网络,并进行过联网后,回到网络仅提示安全检查,本系统并不对其进行具体的安全检查。
2.使用本策略,必须点选“允许探头进行违规联网监控”和“采用探测外网方法”两个选项。
行为管理及审计、涉密检查策略
请参照第四章北信源主机监控审计系统
可移动储存管理
请参照第五章北信源移动存储介质使用管理系统
主机运维策略
运行资源监控策略
功能说明:本策略主要针对服务器和重要主机而设计的,网管人员十分关心服务器和重要主机的运行状况,如CPU、内存、硬盘等关键硬件的信息就能直接反映它们的运行情况,用户可以根据管理情况定制报警策略。
参数说明:
表2- 11运行资源监控策略参数说明
注意事项:
1.当cpu持续占用率达到100%,可能会造成策略对象计算机的死机,无法处理系统发出的提示信息,造成
无法提示,这属于windows操作系统问题。
进程异常监控
功能说明:对客户端的进程状态进行监控。
参数说明:
表2- 12进程异常监控策略参数说明
注意事项:
1.本策略的设置是针对进程的,注意不要和“进程执行监控”相冲突,引起系统的不稳定。
垃圾文件清理
功能说明:根据需要,在相应的文件夹菜单中选择或填入需要清理垃圾文件的文件夹;在相应的文件类别中选择需要清理的文件类型。
注意事项:
1.FAT32文件系统中被删除的文件放置在回收站中,NTFS文件系统中直接删除。
2.请管理员设置时,注意相关的注释。正在使用的临时文件等文件,无法清除,需要清除的话,请先关闭相关的应用程序。
系统自动关机
功能说明:根据需要设定无键盘、鼠标动作时间自动关机,点选“关机前自动提示”,则在关机前在客户端弹出管理员设定的提示信息。
流量管理策略
流量采样策略
功能说明:通过设置选定用户(在本策略的对象中设定的)计算机的网络的平均流量和并发连接数,以及可疑发包等网络流量策略来审计网络的使用。
参数说明:
表2- 13流量采样策略参数说明
注意事项:
1.此处仅对相应的流量数据进行统计,统计数据可在数据查询中进行查询。
流量控制策略
功能说明:根据系统对选定用户(在本策略的对象中设定的)网络使用的监测,协调整个网络的流量。
参数说明:
表2- 14流量控制策略参数说明
注意事项:
1.本策略是根据对网络流量异常和icmp收发包异常的监控来实现功能的策略,本策略采用的大多数监控
数据,是从流量采样策略中设定的。
2.收发包异常的情况一般是由一些计算机端口的扫描软件或黑客软件造成的,需要管理员多加注意。
3.本策略的设定要求对网络和网络协议有一定的了解,请在网络管理员的指导下设置,系统采用的默认值
可以满足一般网络环境的要求。
4.并发连接数可疑或发包可疑的前提是客户端总流量走出设定。
消息推送策略
消息推送
功能说明:向选定用户(在本策略的对象中设定的)计算机发送消息通知,请求重注册信息以及要求升级
等消息。
参数说明:
表2- 15消息推送策略参数说明
消息推送扩展策略
功能说明:可以实现一段时间内持续地向选定用户(在本策略的对象中设定的)计算机发送消息。
备份策略
客户端文件备份
功能说明:对选定用户计算机进行指定文件的备份。
参数说明:
表2- 16客户端文件备份策略参数说明
注意事项:
1.该功能通过共享文件夹拷贝方式备份,配置前需要确认所输入的用户名和密码对共享目录必须有写权限,如果以2003系统作为备份服务器,则需要将服务器改为使用经典登录才可用。
屏幕抓取策略
功能说明:在一定时间间隔内抓屏并备份到服务器上。
文件备份的路径设置在备份服务器程序里进行设置,如下图所示,
图2- 13文件备份路径设置
屏幕录像策略
功能说明:可以实现定时屏幕录像,并且可以设定录像时间长度。
终端配置策略
终端设置策略
功能说明:对客户端时间、ARP阻断以及各种信息的上报等进行设置。参数说明:
表2- 17终端配置策略参数说明
管理器策略
该功能用于在级联的情况下,设置下级服务器向上级上报的消息类别。订阅级联审计数据策略
功能说明:订阅下级平台设备基本信息以及各种行为的审计日志。
终端升级管理策略
功能说明:客户端注册程序的升级。
注意事项:
1.该策略没有策略内容和启用/停用设置,可以指定一部分特定的终端自动升级,只需要将把需要自动升级
的终端配置到策略对象中即可,不在对象中的终端设备是不会自动升级的。以后每次服务器升级后只有对
象中的终端会自动升级为最新版本,其余的还是以之前版本运行。
2.该策略适用于对新的版本进行测试,待测试完成后没有什么问题,将该策略删除或把策略分给所有的终
端实现整网统一升级。
3.整个系统仅允许使用一条这样的策略,并且不具备级联功能。
组合策略
组合策略分发
功能说明:根据需要选择几种类型的策略,再进一步选择某类策略下的某个策略,从而形成策略组。
注意事项:
1.其中各个子策略都必须为启用状态。
漫游策略分发
功能说明:只针对漫游客户端所发送的策略。
具体的漫游功能请参照附录六漫游功能说明。
临时客户端分发
功能说明:只针对临时客户端所发送的策略。
临时客户端:在“注册程序配置”中,通过配置“注册密码”项来实现指定客户端的使用限制。如下图所示,
图2- 14注册码配置
按对象分配策略
按设备分配
通过设备IP、设备名或使用人查询下发给该设备的策略,能够快速查找到相应的客户端正在执行的策略,
并支持模糊查询。
按设备组分配
可以为自定义的用户添加策略,并且可以显示为每一组自定义的用户下发的策略,并且可以编辑或取消该
策略。
策略下发查询
用户可以查看策略的下发情况,可以查询下载策略的设备IP、名称和下发时间等信息。
网关接入认证配置
请参照第六章北信源网络接入控制管理系统
阻断违规接入管理
当扫描器发现有未注册客户端的设备接入内网时,该功能可以有效地控制外来设备接入内网而带来的安全
威胁,通过选中“没有注册则阻断联网”复选框便可阻断该设备。同时提供了“警告信息”功能(必须开
启信使服务)、IP、MAC绑定等功能,如下图所示:
图2- 15阻断违规接入控制设置
补丁分发
请参照第三章北信源补丁及文件分发管理系统
数据查询
数据查询是根据内网安全及补丁分发管理系统工作的结果,向管理员提供对网络设备信息、网络划分信息、网络中相关的设备安全状态信息的综合查询。其中大多数查询是与制定的策略对应的。
本地注册情况统计
图2- 16本地注册情况信息
本地设备资源统计
图2- 17本地设备资源信息
本地设备类型统计
图2- 18本地设备类型统计
USB标签信息查询
USB标签制作查询
查询USB标签制作记录。信息显示包括U盘编号、唯一序号、所属部门、拥有人、 U盘状态、标签和操作说明等。
USB标签黑名单
查询USB黑名单记录。服务器会把USB标签黑名单发送给客户端,当插入的USB时,客户端检查此USB 标签是否在黑名单中时,如果在将被禁止使用。
USB授权个数查询
查询USB授权个数。显示信息包括用户名称、USB授权个数和USB剩余授权个数。
设备信息查询
设备信息查询
查询信息包括计算机所属区域、单位、部门、使用人、设备IP、MAC、注册、重新注册、信任、保护、阻断、开机、杀毒软件、杀毒厂商、系统等信息。
根据▼▲符号对查询数据进行降序、升序排列列表。
注册资产查询
对已注册的客户端的设备进行设备资产查询,提供多个复合条件查询。
安装软件查询
对客户端的软件进行查询,可以根据软件类别,如必须安装的软件、禁止安装的软件等条件进行查询。
首次运行进程查询
依照进程名称、文件大小、版本、进程所在路径、进程所打开的端口、进程运行次数等进行查询。可以用于对病毒、木马、黑客程序等进程的查询。
共享目录查询
可以对设备的共享名称、共享路径和共享模式等信息进行查询。
设备IP占用情况列表
查询区域管理器所管辖的范围内的注册IP、未注册IP、空闲IP。
硬件变化查询
客户端注册时,已经把其硬件信息注册入库,如果客户端硬件有变化(增添或卸载),则可通过该查询条件查到。
软件变化查询
当客户端安装注册程序时,会收集客户端安装软件的信息上报到服务器。服务器会比较当前安装软件和数据库保存的信息,来显示软件的变化。如下图所示,
图2- 19软件变化信息
注册日志查询
显示客户端注册状态信息,如下图所示,
图2- 20注册日志信息
操作系统安装查询
查看设备操作系统信息,包括操作系统UUID、操作系统名称和操作系统安装系统等信息。
计算机开关机查询
查看设备的开关机信息。在“终端策略”中选中“允许上报开关机时间”时,才可以查询到数据。
离线设备查询
可以查询离线设备的信息,包括所属区域、最后登录时间、已关机天数、使用人、联系电话和ip地址等信息。
**集团有限公司 重大事件期间网络与信息安全管理规定(试行) 第一章总则 第一条为切实做好**集团有限公司网络与信息安全防护工作,建立有效的安全防护体系,进一步提高预防和控制网络与信息安全突发事件的能力和水平,减轻或消除突发事件的危害和影响,确保重大事件期间网络与信息安全,制定本管理规定。 第二条本规定所指的重大事件是指需要保供电的国家、省政府层面的重大活动,如重大会议、重大体育赛事等。 第三条集团公司重大事件期间网络与信息安全管理要坚持以加强领导,落实信息安全责任地;高度重视,强化安全防范措施;周密部署,加强各相关方协作为原则,以确保重大事件期间不出现因网络与信息安全问题造成不良的社会影响,确保重大事件期间不出现因网络与信息安全问题造成的安全生产事故为目标。 第四条集团公司重大事件期间网络与信息安全管理工作范围包括:集团广域网、各局域网、电力二次系统、重要信息系统以及信息安全。各单位的网络与信息安全专项工作组应在集团公司网络与信息安全应急工作小组的指导下,负责本单位网络与信息安全防范和整改工作。
第五条重大事件期间在时间上分为三个阶段,分别是准备阶段、实施阶段和总结阶段。时间划分为重大事件起始日期前两个月为准备阶段;从重大事件起始日期至结束日期为实施阶段;从重大事件结束日期后半个月为总结阶段。各阶段网络与信息安全的管理工作内容有所侧重。 第六条本规定适用于集团公司总部和系统各单位。 第七条集团公司重大事件期间网络与信息安全管理工作由集团公司信息中心归口管理。 第二章准备阶段管理 第八条组织开展网络与信息安全查检工作,网络与信息安全采取自查和现场抽查相结合的方式,先开展各单位内部的网络与信息安全自查,在各单位自查的基础上,由集团公司组织相关人员对部分单位进行现场专项检查。 第九条网络与信息安全检查内容至少应包括管理制度建设、网络边界完整性检查和访问控制、电力二次系统安全分区、电力二次系统网络接口及防护、电力二次系统通用防护措施、安全审计、已采取的防范网络攻击技术措施、重要网站网页自动恢复措施、网络设备防护、系统运行日志留存及数据备份措施等。具体的检查内容见附件1《网络与信息安全检查表》。 第十条对于检查发现的安全陷患,各单位应制定整改
信息安全管理系统 一、产品聚焦 1、随着企业信息化进程的不断推进,信息安全问题日益凸显。信息技术水平不断在提升的同时,为何信息泄露,信息安全事件仍然时有发生 2、对于信息安全事件为何我们不能更多的在“事前”及时的发现并控制,而是在“事后”进行补救 3、信息安全管理工作“三分技术、七分管理”的原因何在 4、信息安全管理工作种类繁多,安全管理人员疲于应付,是否有合适的管理手段对其归类,有的放矢,加强针对性、提升工作效率是否需要有持续提升信息安全意识和增强知识学习的管理体系 二、产品简介 该产品通过与企业信息安全管理的现状紧密结合,融合国际主流及先进的风险管理方法、工具、设计理念,有效结合国内外对信息安全管理工作提出的相关安全标准体系要求,通过建立企业信息安全风险全生命周期、全面风险来源、全目标管理的全方位风险管理模型,以监测预警防风险、风险流程查隐患、风险应对控事态、监督评价促改进、保障体系提意识,保证信息安全风险管理在企业的落地生效。 三、产品特点 1、业务的无缝集成 无缝集成企业终端防护类安全系统、边界防护类安全系统、系统防护类安全系统、数据防护类安全系统、综合监管类安全管理系统以及相关的基础认证和授权平台等,实现对信息安全事件引发因素的全面监测和智能分析,有的放矢的对信息安全工作进行管理。 2、“上医未病,自律慎独”的风险管理体系 目标鲜明、方法合理、注重实效,为企业信息化进程保驾护航。基于企业现有管理制度和安全防御体系构建,实现系统的行之有效、行之有依。 3、合理的改进咨询建议 通过系统建设对企业信息安全管理现状进行梳理和分析,提供合理有效的改进咨询建议。 4、创新实用的管理工具 蝴蝶结模型、风险矩阵、风险热图等主流风险管理模型的实用化创新应用;德尔菲打分法、层次分析法、灰色评价法等科学分析方法的灵活嵌入;正态分布、泊松分布等概率模型的预测分析,致力于提升风险管理工作的精细度和准确度。 5、预置的信息安全风险事件库 由信息安全及风险管理专家组成的专家团队结合国内外的相关信息安全管理标准梳理的风险事件库基础信息,可在系统建设初期提供有力的业务数据支持。 6、持续渐进的信息安全知识管理 信息安全风险知识管理不仅仅是信息安全相关知识的积累和技术的提升、还在于信息安全管理意识的提升,通过信息安全知识管理体系的建立,提升全员的信息安全管理意识,并提供最新的信息安全知识储备。 四、应用效果 对信息安全风险管理全过程的数据、重点关注的风险主题进行全方位的数据分析,采用科学合理的数据分析模型,以灵活多样化的图表进行展现以辅助决策。 五、产品功能 1、目标管理 维护企业信息安全战略目标、不同层级风险管理目标、目标预警指标、目标风险等。以目标为龙头开展企业信息安全风险管理工作。 2、风险识别 利用层次分析法逐层分析,识别企业信息安全工作中包含的资产、资产脆弱性和面临的威胁,全面辨识风险源并制定相应的防控措施,并针对风险事件制定缓解措施。 3、风险评估 创新利用科学合理的风险评估方法对威胁发生概率、严重程度进行评估,量化风险指数,借助评估工具得出防范风险优先级并对风险分布进行展示。 4、监测预警 依托企业现有的信息安全防范体系架构,设置风险监控点,以风险管理视角对各重要的信息安全指标进行实时的数据监控,发挥信息系统“摄像头”的职能,针对信息安全关注的重大风险进行实时预警提示,确保风险的提前警示和预先处理。
版本:3.3.1.1 日期:2017.8 那云内业资料管理系统 使用手册 编写: 核对: 审核: 批准:
目录 1、用户协议 您一旦安装、登录或通过其他方式使用那云(漳州)信息技术有限公司(以下简称“软件产品”)的系列产品,即表示您同意接受本协议的各项条款和条件的约束。您如果不同意以下协议,请勿安装和使用本系统。 软件许可: 本“软件产品”受著作权法及国际著作权条约和其它知识产权法和条约的保护。本“软件产品”只许可使用,而不出售全部所有权,所有权归那云(漳州)信息技术有限公司全部所有。 许可的授予: 1、您可在单一一台或多台计算机、工作站、终端机、手持式计算机或其它数字电子仪器(“计算机”)上安装、使用、访问、显示、运行或以其它方式互相作用于(“运行”)本“软件产品”(或适用于同一操作系统的任何前版本)的一份副本。运行“软件产品”的计算机的主要用户可以制作另一份副本,仅供在其便携式计算机上使用。 2、您还可以在通过网络在您的其它计算机上运行“软件产品”的储存设备(如网络服务器)上存放或安装一份“软件产品”副本;但是,您必须为从储存设备运行“软件产品”的每一台计算机获得一份许可证。一份“软件产品”许可证不得在不同的计算机共同或同时使用。
3、在他方接受本协议的条款和条件的前提下,将本系统及许可协议转手给另一方使用,同时保证另一方无条件遵守本协议。若发生转手,原文档及其伴随文档的所有拷贝必须一并转交对方,或将未转交的拷贝全部销毁。 4、未明示授予的一切其它权利均为公司所有。 使用限制: 1、不得对本“软件产品”进行逆向工程、反向编译、反汇编或解体拆卸; 2、不得复制、制作、销售、购买、使用或使他人得以使用盗版的那云软件产品,或进行其他可能损害本公司软件产品著作权或其他合法权益的行为; 3、如“软件产品”在官网或软件任何位置标明为试用、测试或免费版本,是指该软件的一个标识版本,它仅能让您测试软件的可行性。使用本软件产品的试用、测试或免费版本由您自己承担风险,在适用法律允许的最大范围内,在任何情况下不就因使用或不能使用本软件产品的试用版本所发生的任何的、特殊的、意外的、直接或间接的损失承担任何责任。软件试用或测试期满,您可以选择购买正式软件,否则您必须彻底删除试用、测试或免费版软件及其备份。 4、有限责任:无论是明指的或是暗喻的,包括但不限于利润损失、可用性消失、商业中断,或任何形式的间接、特别、意外或必然的破坏,或任何其他方的索赔,即使我公司事先被告知此类事有可能发生的任何情况下,只对“软件产品”收费功能的收费价款为限承担责任。 许可终止:
北信源终端安全管理系统 802.1x准入流程 1.802.1x的认证过程可以描述如下 (1) 客户端(PC)向接入设备(交换机)发送一个EAPoL-Start 报文,开始802.1x认证接入; (2) 接入设备(交换机)向客户端(PC)发送EAP-Request/Identity 报文,要求客户端(PC)将用户名送上来; (3) 客户端(PC)回应一个EAP-Response/Identity给接入设备(交换机)的请求,其中包括用户名; (4) 接入设备(交换机)将EAP-Response/Identity报文封装到RADIUS Access-Request报文中,通过路由器发送给认证服务器; (5) 认证服务器产生一个Challenge,通过接入设备(交换机)将RADIUS Access-Challenge报文发送给客户端(PC),其中包含有EAP-Request/MD5-Challenge; (6) 接入设备(交换机)通过EAP-Request/MD5-Challenge发送给客户端(PC),要求客户端(PC)进行认证 (7) 客户端(PC)收到EAP-Request/MD5-Challenge报文后,将密码和Challenge做MD5算法后的Challenged-Pass-word,在EAP-Response/MD5-Challenge回应给接入设备(交换机) (8) 接入设备(交换机)将Challenge,Challenged Password和
用户名一起送到RADIUS服务器,由RADIUS服务器进行认证 (9)RADIUS服务器根据用户信息,做MD5算法,判断用户是否合法,然后回应认证成功/失败报文到接入设备(交换机)。如果成功,携带协商参数,以及用户的相关业务属性给用户授权。如果认证失败,则流程到此结束; (10) 如果认证通过,用户通过标准的DHCP协议 (可以是DHCP Relay) ,通过接入设备(交换机)获取规划的IP地址; (11) 如果认证通过,用户正常上网。同时终端图标显示为 。 (12)根据服务器策略进行安检,安检成功不做任何动作。安检不成功则根据策略内容进行客户端限制.只能访问某些特定服务器地址,修复成功后放开限制。 2.终端用户安全安检: 当终端存在安全检查策略时,如下图:
快速阅读指南 1.本使用手册为北信源终端安全管理系列产品全功能用户手册,请按照所购买产品对应相关的产品说明进行配置使用(该手册第一、二、三章为终端安全管理产品共有部分,凡购买任何一款终端安全管理产品都应首先详细阅读此三个章节)。 2.详细阅读本软件组件功能、组成、作用、应用构架,确切了解本软件的系统应用。 3.安装准备软件环境:Microsoft SQL Server2000、Windows2000Server、Internet服务管理器。SQL安装注意事项请参照第二章2-3-1所示。建议将数据库管理系统、区域管理器、WEB管理平台安装在同一服务器上,确认区域管理器所在机器的88端口不被占用(即非主域控制器);防火墙应允许打开88,2388,2399,22105,8900,8901,22106,22108,8889端口。 4.按步骤安装各组件后,通过http://*.*.*.*/vrveis登录Web管理平台,首先对Web管理平台进行如下配置:添加区域→划分该区域IP范围→指定区域管理器→指定区域扫描器。 5.双击屏幕右下角区域管理器、单击主机保护进行通讯参数配置。 6.在\VRV\VRVEIS\download目录中,使用RegTools.exe工具修改DeviceRegist.exe文件中的本地区域管理器IP,将修改后的注册程序DeviceRegist.exe放在机构网站上进行静态网页注册,或者在机构网站上加载动态网页检测注册脚本语句,进行动态设备注册。 7.系统升级:联系北信源公司获取最新的软件组件升级包,确保Web管理平台、区域管理器、客户端注册程序等组件的升级。 8.如果本说明书中的插图与实际应用的产品有出入,以实际产品为主。 特别提示:默认管理员用户:admin,密码:123456;系统指定审计用户名:audit,密码:123456请注意修改。
龙源期刊网 https://www.doczj.com/doc/b92349418.html, 网络和信息安全管理平台的设计与实现 作者:宫正 来源:《科学与信息化》2020年第13期 摘要随着现代计算机通信技术和现代网络通信技术的不断发展,互联网在现代人们的日常社会经济生活中一直占据着重要的应用地位,网络通信技术的不断成熟等也使得它被人们逐渐了解和重视。对网络用户信息和保护个人隐私的进行保护就显得非常的重要,然而在现代我国的网络和信息安全管理平台中,仍然存在一些问题。因此,本文通过针对当前网络安全环境下的信息安全存在问题,分析了网络安全信息管理服务平台实现系统的不断完善和快速发展,建立一个不断完善的企业网络安全信息管理服务平台。希望能够起到一定的借鉴作用。 关键词信息网络;安全信息管理;平台;设计;实现 引言 随着国民经济的不断快速发展和国家信息化体系建设的进一步深入发展,互联网的应用规模也随之不断扩大,信息网络安全事件层出不穷。为了有效应对网络信息安全上的威胁,网络和信息安全管理平台系统可以通过及时检测安全系统漏洞以及扫描应用程序中存在的病毒和下载装有安全防火、的安全杀毒防护软件等多种措施来有效保证当前网络信息系统的安全。然而,许多安全防护产品在实际使用后仍然产生了一系列安全问题。例如,网络经济信息安全产品由于功能分散,尚未基本形成统一规范的网络安全信息管理体系。其次,各种安全防护产品之间往往缺乏统一的沟通管理和联合调度工作机制,难以相互支持、系统开展工作。因此,相应类型的网络安全技术产品的应用很难及时得到有效性的发挥。不同安全设备的风险管理和安全控制系统平台功能有很大不同。安全设备管理人员在网络设备的日常使用和安全管理方法中,通过使用相应的安全管理服务平台进而实现对所有网络安全设备、系统和网络用户的安全管理这种情况,非常不方便。因此,建立了一个标准化的网络安全信息综合管理服务平台非常的重要。本文通过对网络和信息安全管理平台的主要功能,网络安全信息管理平台的系统框架和网络信息安全管理平台的设计与实践进行了一定的分析,希望可以起到借鉴作用[1]。 1 网络安全综合管理服务平台的主要功能 1.1 提高管理服务能力 网络安全信息系统管理可以根据网络拓扑图和数据树形图分别显示网络区域内安全系统管理和网络设备间的部署、运行系统状态以及管理的各种相关基本信息。 1.2 具有战略经营管理领导能力
ISMS 手册-信息安全管理体系手册7 信息安全管理IT 服务管理体系手册 发布令 本公司按照ISO20000:2005 《信息技术服务管理—规范》和ISO27001 :2005 《信息安全管理体系要求》以及本公司业务特点编制《信息安全管理&IT 服务管理体系手册》,建立与本公司业务相一致的信息安全与IT 服务管理体系, 现予以颁布实施。 本手册是公司法规性文件,用于贯彻公司信息安全管理方针和目标,贯彻IT 服务管理理念方针和服务目标。为实现信息安全管理与IT 服务管理,开展持续改进 服务质量,不断提高客户满意度活动,加强信息安全建设的纲领性文件和行动准 则。是全体员工必须遵守的原则性规范。体现公司对社会的承诺,通过有效的PDCA 活动向顾客提供满足要求的信息安全管理和IT 服务。 本手册符合有关信息安全法律法规要求以及ISO20000:2005 《信息技术服务 管理—规范》、ISO27001 :2005 《信息安全管理体系要求》和公司实际情况。为能更好的贯彻公司管理层在信息安全与IT 服务管理方面的策略和方针,根据 ISO20000:2005 《信息技术服务管理—规范》和ISO27001 :2005 《信息安全管理体系要求》的要求任命XXXXX 为管理者代表,作为本公司组织和实施“信息安全管理与IT 服务管理体系”的负责人。直接向公司管理层报告。 全体员工必须严格按照《信息安全管理&IT 服务管理体系手册》要求,自觉遵守本手册各项要求,努力实现公司的信息安全与IT 服务的方针和目标。 管理者代表职责:
a)建立服务管理计划; b)向组织传达满足服务管理目标和持续改进的重要性; e)确定并提供策划、实施、监视、评审和改进服务交付和管理所需的资源,如招聘合适的人员,管理人员的更新; 1.确保按照ISO207001:2005 标准的要求,进行资产识别和风险评估,全面建立、实施和保持信息安全管理体系;按照ISO/IEC20000 《信息技术服务管理-规范》的要求,组织相关资源,建立、实施和保持IT 服务管理体系,不断改进IT 服务管理体系,确保其有效性、适宜性和符合性。 2.负责与信息安全管理体系有关的协调和联络工作;向公司管理层报告 IT 服务管理体系的业绩,如:服务方针和服务目标的业绩、客户满意度状况、各项服务活动及改进的要求和结果等。 3.确保在整个组织内提高信息安全风险的意识; 4.审核风险评估报告、风险处理计划; 5.批准发布程序文件; 6.主持信息安全管理体系内部审核,任命审核组长,批准内审工作报告; 向最高管理者报告信息安全管理体系的业绩和改进要求,包括信息安全管理体系运行情况、内外部审核情况。 7.推动公司各部门领导,积极组织全体员工,通过工作实践、教育培训、业务指导等方式不断提高员工对满足客户需求的重要性的认知程度,以及为达到公司服 务管理目标所应做出的贡献。 总经理:
非接触式IC卡 食堂管理系统 用户使用手册 二零零四年八月六日
欢迎阅读本使用手册,借助本使用手册,您可以: 了解IC卡食堂管理系统的详细信息; 学会如何安装,操作IC卡食堂管理系统; 查找问题答案; 解决您在系统使用过程中遇到的各种疑难。 因此,希望您能在开始安装、运行系统之前,在忙碌的工作过程中抽出一点闲暇,认真阅读以下文件资料,它们会让您的工作更轻松、更方便!本使用手册由五部分内容组成: ●食堂管理系统运行环境要求:系统程序要求运行在一个最底配置的计算机软、硬件环境中, 您的机器达到要求了吗?请您一一对照设置妥当; ●食堂管理系统数据库SQL Server安装步骤:为您简单的介绍安装餐饮系统所需数据库SQL Server2000软件的过程; ●食堂管理系统的安装步骤:为您简单的介绍食堂管理系统的安装步骤; ●系统内容简介:系统各个模块的内容简介,使用户对系统能达到的功能有一个大概的了解;系统各个模块的详细说明:这节内容请您一定仔细认真的阅读,这样您会一步一步地熟悉系统的操作规程,否则,您或许会在实际操作中碰到不必要的错。 目录:
一、餐饮系统运行环境要求 1.硬件环境: ●CPU:赛扬633以上; ●内存:64M以上的RAM,最好128M以上; ●硬盘空间:10G或以上; ●显示器:VGA视配器分辨率在800*600以上; ●通讯断口:正确安装485通讯卡。 2.软件环境: ●操作系统:Win95/98、Win Me、Win2000个人版. ●通讯:正确设置了485通讯参数; 数据库支持:正确安装了SQL Server 2000个人版。
信息安全管理制度 1.信息管理部职责 1.1 公司设立信息管理部门,设部门经理一名。 1.2 信息管理部门为网络安全运行的归口部门,负责计算机网络系统的日常维护和管理。 1.3 负责系统软件的调研、采购、安装、升级、保管工作。 1.4 负责软件有效版本的管理。 1.5 信息管理部门为计算机系统、网络、数据库安全管理的归口管理部门。 1.6 信息管理人员负责计算机网络、办公自动化、销售经营各类应用软件的安全运行;服务器安全运行和数据备份;internet对外接口安全以及计算机系统防病毒管理;各种软件的用户密码及权限管理;协助职能科室进行数据备份和数据归档(如财务、采购、销售等)。 1.7 信息管理人员执行企业保密制度,严守企业商业机密。 1.8员工执行计算机安全管理制度,遵守企业保密制度。 1.9系统管理员的密码必须由信息管理部门相关人员掌握。 1.10 负责公司网络系统基础线路的实施及维护。 2.信息管理细则 2.1网络系统维护 2.1.1 系统管理员每日定时对机房内的网络服务器、各类生产经营应用的数据库服务器及相关网络设备进行日常巡视,并填写《网络运行日志》记录各类设备的运行状况及相关事件。 2.1.2 对于系统和网络出现的异常现象信息管理部应及时组织相关人员进行分析,制定处理方案,采取积极措施,并如实将异常现象记录在《网络运行日志》。针对当时没有解决的问题或重要的问题应将问题描述、分析原因、处理方案、处理结果、预防措施等内容记录在《网络问题处理跟踪表》上。部门负责人要跟踪检查处理结果。 2.1.3 定时对相关服务器数据备份进行检查。(包括对系统的自动备份及季度或
北信源法院系统终端安全管理系统 解决方案 北京北信源软件股份有限公司 2015年3月
目录 1. 前言 (4) 1.1. 概述 (4) 1.2. 应对策略 (5) 2. 终端安全防护理念 (6) 2.1. 安全理念 (6) 2.2. 安全体系 (7) 3. 终端安全管理解决方案 (8) 3.1. 终端安全管理建设目标 (8) 3.2. 终端安全管理方案设计原则 (8) 3.3. 终端安全管理方案设计思路 (9) 3.4. 终端安全管理解决方案实现 (11) 3.4.1. 网络接入管理设计实现 (11) 3.4.1.1. 网络接入管理概述 (11) 3.4.1.2. 网络接入管理方案及思路 (11) 3.4.2. 补丁及软件自动分发管理设计实现 (16) 3.4.2.1. 补丁及软件自动分发管理概述 (16) 3.4.2.2. 补丁及软件自动分发管理方案及思路 (16) 3.4.3. 移动存储介质管理设计实现 (20) 3.4.3.1. 移动存储介质管理概述 (20) 3.4.3.2. 移动存储介质管理方案及思路 (20) 3.4.4. 桌面终端管理设计实现 (23) 3.4.4.1. 桌面终端管理概述 (23) 3.4.4.2. 桌面终端管理方案及思路 (24) 3.4.5. 终端安全审计设计实现 (35)
3.4.5.1. 终端安全审计概述 (35) 3.4.5.2. 终端安全审计方案及思路 (36) 4. 方案总结 (41)
1.前言 1.1.概述 随着法院信息化的飞速发展,业务和应用逐渐完全依赖于计算机网络和计算机终端。为进一步提高法院信息系统内部的安全管理与技术控制水平,必须建立一套完整的终端安全管理体系,提高终端的安全管理水平。 由于法院信息系统内部缺乏必要管理手段,导致网络管理人员对终端管理的难度很大,难以发现有问题的电脑,从而计算机感染病毒,计算机被安装木马,部分员工使用非法软件,非法连接互联网等情况时有发生,无法对这些电脑进行定位,这些问题一旦发生,往往故障排查的时间非常长。如果同时有多台计算机感染网络病毒或者进行非法操作,容易导致网络拥塞,甚至业务无法正常开展。 建立终端安全管理体系的意义在于:解决大批量的计算机安全管理问题。具体来说,这些问题包括: 实现对法院信息系统内部所有的终端计算机信息进行汇总,包括基本信息、审计信息、报警信息等,批量管理终端计算机并提高安全性、降低日常维护工作量; 实现对法院信息系统内部所有的终端计算机的准入控制,防止外来电脑或违规的电脑接入法院信息系统内部网络中; 实现对法院信息系统内部所有的终端计算机进行补丁的自动下载、安装与汇总,最大程度减少病毒、木马攻击存在漏洞的计算机而导致的安全风险; 实现对法院信息系统内部所有的移动存储设备的统一管理,防止部分人员通过USB设备将法院信息系统大量的机密文件传播出去,同时也极大减少了病毒、木马通过USB设备在网络中传播等情况的发生;
一、资源界定 1、业务系统信息安全包括托管在联通机房的所有服务器、网络线 路、网络设备、安装在服务器上的操作系统、业务系统、应用系 统、软件、网络设备上的OS、配置等软硬件设施。 2、任何人未经允许不得对业务系统所包含的软硬件进行包括访问, 探测,利用,更改等操作。 二、网络管理 1、网络结构安全管理 A、网络物理结构和逻辑结构定期更新,拓扑结构图上应包含 IP地址,网络设备名称,专线供应商名称及联系方式,专 线带宽等,并妥善保存,未经许可不得对网络结构进行修 改。 B、网络结构必须严格保密,禁止泄漏网络结构相关信息。 C、网络结构的改变,必须提交更改预案,并经过信息总监的 批准方可进行。 2、网络访问控制 D、络访问控制列表包括山石磊科路由和华三S5620的ACL。
E、妥善保管现有的网络访问控制列表,其中应包含网络设备 及型号,网络设备的管理IP,当前的ACL列表,更新列表 的时间,更新的内容等。 F、定期检查网络访问控制列表与业务需求是否一致,如不一 致,申请更新ACL。 G、未经许可不得进行ACL相关的任何修改。 H、ACL时,必须备份原有ACL,以防误操作。 I、ACL配置完成以后,必须测试。 J、禁止泄漏任何ACL配置。 3、网络络设备安全 K、妥善保管现有网络设备清单,包括供应商及联系人信息,设备型号,IP地址,系统版本,设备当前配置清单。 L、定期检查设备配置是否与业务需求相符,如有不符,申请更新配置。 M、配置网络设备时,必须备份原有配置,以防误操作。 N、配置完成之后,必须进行全面测试。 O、禁止在网络设备上进行与工作无关的任何测试。 P、未经许可不得进行任何配置修。 Q、禁止泄漏网络设备配置。
信息安全管理系统的规范 第二部分:信息安全管理系统的规范 1 1. 范围 BS 7799的这个部分指明了对建立、实现和文档化信息安全管理系统(ISMSs)的需求。它指明了将要按照个别机构的需要而实现的安全控制的需求。 注:第一部分给出了对最佳惯例的推荐建议,这些惯例支持该规范中的需求。BS 7799的这个部分的条款4给出的那些控制目标和控制来自于BS 7799-1:1999并与改部分的内容保持一致。 2. 术语与定义 为了BS 7799的这个部分,BS 7799-1给出的定义适用于该部分,并有以下专用术语: 2.1 适用性说明 适用于机构的安全要求的目标和控制的批评。 3.信息安全管理系统的要求 3.1概要 机构应建立及维护一个信息安全管理系统,目的是保护信息资产,订立机构的风险管理办法、安全控制目标及安全控制,以及达到什么程度的保障。 3.2建立一个管理框架 以下的步骤是用来找出及记录安全控制目标及安全控制的(参看图一): a) 应定义信息安全策略; b) 应定义信息安全管理系统的范围,定义范围可以是机构的特征、位置、资产及 技术;
c) 应进行合适的风险评估。风险评估应确认对资产的安全威胁、漏洞及对机构的 冲击,从而定出风险的严重程度; d) 根据机构的信息安全策略及所要求达到的保障程度定出要管理的风险; e) 从以下第四条款选出机构要实现的安全控制目标及要实施的安全控制; f) 应准备一份适用性声明书,说明选出哪些安全控制目标及安全控制以及选择的 原因。 以上步骤应定期重复,确定系统的适用性。 2 3.3实施 选出的安全控制目标及安全控制应由机构有效地执行,实施控制的执行程序是否有效应根据4.10.2的规定进行检查。 3.4文档 信息安全管理系统的说明文档应包括以下信息: a) 按照3.2所定的步骤实现的证据; b) 管理架构的总结,其中包括信息安全策略、在适用性声明书所提及的安全控制 目标和已经实现的安全控制; c) 为了实现3.3所指定的控制而采用的程序;这些程序应该刻画责任以及相关行 动; d) 覆盖该ISMS中的管理和操作的程序,这些程序应该指出有哪些责任及其有关
IT运维管理系统使用手册
————————————————————————————————作者:————————————————————————————————日期:
IT运维管理系统 用户使用手册 大庆和光电子科技开发有限公司 二〇一六年十月
目录 1、基础信息 (3) 1.1项目信息 (3) 1.2项目检查项 (4) 1.3设备基础信息 (6) 2、日常巡检 (8) 2.1软件日巡检 (8) 2.2软件周巡检 (9) 2.3服务器系统巡检 (10) 2.4服务器硬件巡检 (10) 3、巡检查询 (11) 3.1软件日常巡检检查 (11) 3.2服务器巡检报告 (11) 4、运维资料管理 (12) 4.1系统问题管理 (12) 4.2项目资料管理 (15)
1、基础信息 1.1项目信息 主要录入各运维组所维护的项目信息,各运维组各自录入各自的项目信息。如下图所示 【新增】按钮:点击“新增”按钮,按要求添加项目信息,点击“确认保存”按钮即可。如图所示: 注:状态字段:有两个状态,分别是“正常”和“停用”。当状态是“正常”,则在软件日/周巡检中显示;当状态是“停用”,则在软件日/周巡检中不显示。 项目路径:填写该项目发布的位置,例如:D:\Publish
【编辑】按钮:点击“编辑”按钮,编辑已添加的项目信息,点击“确认保存”按钮即可。如图所示: 【删除】按钮:选中要删除项目前的复选框,点击“删除”按钮,确定要删除,点击“确认”按钮即可。如图所示: 1.2项目检查项 主要是录入各运维组巡检项目的检查项,各运维组录入各自的项目检查项信息,如下图所示
北信源VRV-BMG终端准入控制系统 产品背景 网络接入控制管理系统能够强制提升企业网络终端的接入安全,保证企业网络保护机制不被间断,使网络安全得到更有效提升。与此同时基于设备接入控制网关,还可以对于远程接入企业内部网络的计算机进行身份、唯一性及安全认证。 通过网络接入控制管理系统可以满足企业要求,将设备接入控制扩展到超出简单远程访问及路由器、专有协议和已管理设备的限定之外;能够覆盖到企业网络的每一个角落,甚至是当使用者拿着他们的移动设备离开企业网络时,仍能有效的提供设备接入控制的执行。网络接入控制管理系统针对所有的网络架构工作,并且不必进行昂贵的网络架构改造。 北信源VRV-BMG终端准入控制系统产品是一款基于内网用户网络行为管理和控制的硬件网关。有如下具体特点: 1)具有网络访问控制、网络行为管理、网页过滤检查、带宽流量管理、综合内容审计等功能。主要用于解决企业内网、行业用户接入互联网或外联网可能引发的各种安全问题。通过对内网用户的网络行为管理和控制,从而解决网络规范访问控制、网页浏览过滤、网络带宽资源滥用,以及对P2P软件、游戏软件、股票软件、即时通信等各种应用软件的管理和控制,并实现对上述各种网络行为的管理和审计功能; 2)采用先进的深度业务识别DSI技术,能够快速识别包括多种流行P2P及其
变种协议、网络流媒体协议、网路游戏、股票软件以及行业用户专用网络协议。深度业务识别DSI技术是在DPI和DFI技术上发展起来的一种新型的7层应用识别技术。由于深度业务识别检测DSI技术基于业务本身的特征而不是报文数据细节,对于检测加密或加扰应用协议具有更高的识别率,特别是对于新增和变种的网络应用和业务类型,DSI更具备良好的适应性; 3)通过系统内置的网络应用业务特征,综合运用继承式应用描述语言HADL,从而允许网络管理者针对不同的内网用户、不同时段,综合企业的实际需求制定适合本企业的网络行为管理规范。继承式应用描述语言HADL通过业务拓扑级——流特征级——报文特征的继承描述关系精确描述某项业务的特征。并突破了原有单一的报文特征或者流特征所带来的误识别问题,从报文、流和业务拓扑3个层次综合描述应用并且精确定位了3中特征之间的关系,从而将DSI 技术更好地贯彻在应用识别产品中; 4)采用领先的知识发现KDT技术(该技术是数据挖掘技术与深度业务识别检测DSI两种技术的结晶,它可以根据不同的业务类型进行有针对性的内容还原解码),能够对邮件内容、聊天内容、网络发帖等综合信息进行安全审计、综合检索和完整备份; 5)部署在企业内网与外网的边界处或者不同的可信安全域之间,完成内网用户跨边界安全行为管理的实施。同时,该产品与北信源终端管理软件还可以通过终端准入控制技术、二次授权访问控制技术、综合行为审计技术、统一策略配置与管理等方面,实现无缝结合与深层联动,从而将企业内网建设成从终端到边界节点的一体化内网安全管理体系,为保障内网从终端到边界安全形成了一道绿色的屏障。 系统管理构架北信源网络接入控制管理系统由以下几部分组成: 1)策略服务器:系统策略管理中心,提供系统的参数配置和安全策略管理。 2)认证客户端:安装在终端计算机,通过用户名和密码向认证服务器发起 认证,实现正常工作区、访客隔离区、安全修复区的自动切换。 3)Radius认证服务器:接收客户端认证请求信息数据包并进行验证。 4)Radius认证系统(交换机) :可网管支持802.1x的网络设备(交换机),接收认证客户端的认证请求数据包与Radius认证服务器完成认证过程。
北信源内网终端安全管理系统 解决方案 北京北信源软件股份有限公司
目录 1.前言 (4) 1.1. 概述 (4) 1.2. 应对策略 (5) 2.终端安全防护理念 (6) 2.1. 安全理念 (6) 2.2. 安全体系 (7) 3.终端安全管理解决方案 (9) 3.1. 终端安全管理建设目标 (9) 3.2. 终端安全管理方案设计原则 (9) 3.3. 终端安全管理方案设计思路 (10) 3.4. 终端安全管理解决方案实现 (12) 3.4.1. 网络接入管理设计实现 ........................................ 错误!未定义书签。 3.4.1.1. 网络接入管理概述 ........................................ 错误!未定义书签。 3.4.1.2. 网络接入管理方案及思路............................... 错误!未定义书签。 3.4.2. 补丁及软件自动分发管理设计实现 (12) 3.4.2.1. 补丁及软件自动分发管理概述 (12) 3.4.2.2. 补丁及软件自动分发管理方案及思路 (12) 3.4.3. 移动存储介质管理设计实现 (17) 3.4.3.1. 移动存储介质管理概述 (17) 3.4.3.2. 移动存储介质管理方案及思路 (18) 3.4.4. 桌面终端管理设计实现 (21) 3.4.4.1. 桌面终端管理概述 (21) 3.4.4.2. 桌面终端管理方案及思路 (22) 3.4.5. 终端安全审计设计实现 ........................................ 错误!未定义书签。 3.4.5.1. 终端安全审计概述 ........................................ 错误!未定义书签。 3.4.5.2. 终端安全审计方案及思路............................... 错误!未定义书签。 4.方案总结 (41) 5.附录:系统硬件要求 (41) 6.预算 (43)
*******公司网络安全管理制度 根据有关计算机、网络和信息安全的相关法律、法规和安全规定,结合本单位网络系统建设的实际情况,制定网络安全管理制度,成立本单位网络安全小组: 组长:****** 副组长:****** 成员:********************* 一、网络安全管理领导小组职责 1.组织宣传计算机信息网络安全管理方面的法律、法规和有关政策; 2.拟定并组织实施本单位计算机信息网络安全管理的 各项规章制度; 3.定期组织检查计算机信息网络系统安全运行情况,及时排除各种信息安全隐患; 4.负责组织本单位信息安全审查; 5.负责组织本单位计算机使用人员的安全教育和培训; 6.发生安全信息事故或计算机违法犯罪案件时,应立即向公安机关网监部门或网络安全信息部门报告并采取妥善 措施,保护现场,避免危害的扩散。 二、网络管理员职责 1.协助分管领导制定网络建设及网络发展规划,确定网络安全及资源共享策略; 2.负责单位公共网络设施,如服务器、交换机、集线器、
防火墙、网关、配线架、网线、接插件等的维护和管理; 3.负责服务器和系统软件的安装、维护、调整及更新; 4.负责账号管理、资源分配、数据安全和系统安全管理; 5.监视网络运行,调整网络参数,调度网络资源,保持网络安全、稳定、畅通; 6.负责系统备份和网络数据备份; 7.保管设备规格及配置单、网络管理记录、网络运行记录、网络检修记录等网络资料; 8.定期对网络的效能和业务电脑性能进行评价,对网络结构、网络管理进行优化维护。 三、机房安全管理制度 机房是支持信息系统正常运行的重要场所,为保证机房设备与信息的安全,保障机房有良好的运行环境,机房内严禁堆放易燃、易爆物品;机房内或附近应配备足够的消防器材,严格加强机房安全管理,采取防火防盗、防潮防雷等措施,保障机房内配电系统和电器安全,发现问题应及时维修更换。 1.机房消防安全设施应包括:①24小时不间断空调系统,机房内保持一定的温度和湿度;②安装湿度和温度显示装置; ③安装烟雾感应探测器和温度感应探测器;④安装火灾报警和自动灭火系统;⑤配备手动灭火器; 2.管理人员应严格遵守操作规程,对各类设备、设施实行规范措施,并做好日常维护和保养。定时做好服务器等设备的日志和存档工作,任何人不得删除运行记录的文档;
信息安全管理规范公司
版本信息 当前版本: 最新更新日期: 最新更新作者: 作者: 创建日期: 审批人: 审批日期: 修订历史 版本号更新日期修订作者主要修订摘要
Table of Contents(目录) 1. 公司信息安全要求 (5) 1.1信息安全方针 (5) 1.2信息安全工作准则 (5) 1.3职责 (6) 1.4信息资产的分类规定 (6) 1.5信息资产的分级(保密级别)规定 (7) 1.6现行保密级别与原有保密级别对照表 (7) 1.7信息标识与处置中的角色与职责 (8) 1.8信息资产标注管理规定 (9) 1.9允许的信息交换方式 (9) 1.10信息资产处理和保护要求对应表 (9) 1.11口令使用策略 (11) 1.12桌面、屏幕清空策略 (11) 1.13远程工作安全策略 (12) 1.14移动办公策略 (12) 1.15介质的申请、使用、挂失、报废要求 (13) 1.16信息安全事件管理流程 (14) 1.17电子邮件安全使用规范 (16) 1.18设备报废信息安全要求 (17) 1.19用户注册与权限管理策略 (17) 1.20用户口令管理 (18) 1.21终端网络接入准则 (18) 1.22终端使用安全准则 (18) 1.23出口防火墙的日常管理规定 (19) 1.24局域网的日常管理规定 (19) 1.25集线器、交换机、无线AP的日常管理规定 (19) 1.26网络专线的日常管理规定 (20) 1.27信息安全惩戒 (20) 2. 信息安全知识 (21) 2.1什么是信息? (21) 2.2什么是信息安全? (21)
新疆勇成信息科技有限公司 易缴通办公系统使用手册 易缴通后台管理系统 1、系统组成:交易查询、交易管理、财务管理、商户系统 、系统维护、系统管理 1.1操作方法:输入网址http://19 2.168.102.5:9527/EasyToPayServ/client/ loginAction_showmain.action进入程序,输入工号、密码、点击登录。 输入工号 输入密码
1.2易缴通后台管理系统—— 交易查询模块:分为成功交易、商品成功交易两个子模块 1.2.1成功交易: 查询用户的成功缴费明细,输入用户号码,查询用户缴费金额,缴费时间及其缴费终端号码。 例如:在付费号处输入“182*****268”点击查询,即可显示此用户的缴费时间,地点,及交易金额。
1.2.2商品成功交易:查询用户购买商品的成功记录。输入付费手机号、订单号码、或是终端机号码,查询用户购买业务、交易金额、及其交易时间。 例如:输入终端号码“B9910179001”点击查询,就会显示在此终端机上成功 终端号码输入 交易的商品信息记录。 1.3易缴通后台管理系统—— 交易管理模块:分为失败交易、交易监控两个子模块
1.3.1失败交易:是对系统中由于各种原因未能成功的交易记录。 输入号码即可查询用户缴费类型,缴费失败时间、缴费地点及其缴费失败原因。 1.3.2交易监控:显示当前系统中的待发和正在发送的联通、移动、腾讯业务交易信息
由此查看正在交 易的数据 1.4易缴通后台管理系统——财务管理模块:终端结账模块 1.4.1终端结账:分为四种状态: 未结账:对终端内资金的反映。在未收取状态下均显示未结账。在此查看结账信息 预结账:对外勤已结账终端信息的体现。
天珣内网安全风险管理与审计系统 安装配置手册 (V6.6.9.4) 启明星辰 Beijing Venustech Cybervision Co., Ltd. 2012年11月
版权声明 北京启明星辰信息安全技术有限公司版权所有,并保留对本文档及本声明的最终解释权和修改权。 本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明外,其著作权或其他相关权利均属于北京启明星辰信息安全技术有限公司。未经北京启明星辰信息安全技术有限公司书面同意,任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其它语言、将其全部或部分用于商业用途。 “天珣”为北京启明星辰信息安全技术有限公司的注册商标,不得侵犯。 免责条款 本文档依据现有信息制作,其内容如有更改,恕不另行通知。 北京启明星辰信息安全技术有限公司在编写该文档的时候已尽最大努力保证其内容准确可靠,但北京启明星辰信息安全技术有限公司不对本文档中的遗漏、不准确、或错误导致的损失和损害承担责任。
目录 版权声明 (1) 免责条款 (1) 信息反馈........................................... 错误!未定义书签。1综述 . (4) 2安装环境及要求 (4) 3.天珣内网安全风险管理与审计系统主要组件介绍 (6) 3.1.服务器组件 (6) 3.1.1. 中心策略服务器 (6) 3.1.2. 本地策略服务器 (6) 3.1.3. 资产管理服务器................................错误!未定义书签。 3.1.4. Radius服务器 (6) 3.1.5. 攻击告警服务器 (6) 3.1.6. 软件分发服务器 (7) 3.1.7. HOD远程桌面服务器 (7) 3.2.策略网关组件 (7) 3.2.1. 策略网关代理 (7) 3.2.2. 中性策略网关 (7) 3.2.3. IIS策略网关 (8) 3.2.4. ISA策略网关 (8) 3.2.5. EXCHANGE策略网关 (8) 3.2.6. DNS策略网关及旁路监听式DNS策略网关 (8) 3.2.7. 客户端 (9) 3.2.8. 按需支援管理端 (9) 3.2.9. 客户端打包程序 (9) 4.天珣内网安全风险管理与审计系统的安装 (9) 4.1.快速安装 (10) 4.1.1 快速安装部署 (10) 4.1.2 基本配置 (27) 4.2.自定义安装 (31) 4.2.1 自定义安装中心服务器 (32) 4.3.本地服务器的安装配置 (33) 4.3.1 添加策略服务器 (37) 4.4.策略网关配置 (38) 4.4.1 添加策略网关代理 (38) 4.4.2 安装中性策略网关 (39) 4.5.远程桌面的系统配置 (46) 4.5.1 安装添加远程桌面服务器 (46) 4.5.2 添加远程桌面管理员 (46) 4.5.3 安装按需支援管理员端程序 (47) 4.5.4 用户请求管理员远程帮助 (49) 4.6.软件分发安装与配置 (49) 4.6.1 安装软件分发服务器 (49)