LanSecS信息安全等级保护综合管理系统

第一章前言本手册主要介绍如何快速使用信息安全等级保护评估系统。

1.1 文档目的通过阅读本文档，使用户能够快速的了解该系统的整个业务流程，正确的使用该系统。

1.2 约定本文档遵循以下约定：图形界面操作的描述采用以下约定：“”表示按钮。

点击（选择）一个菜单项采用如下约定：点击（选择）高级管理 > 特殊对象>用户。

文档中出现的提示、警告、说明、示例等，是关于用户在使用本手册过程中需要特别注意的部分，请用户在明确可能的操作结果后，再进行相关配置。

1.3 技术服务体系天融信公司对于自身所有安全产品提供远程产品咨询服务，广大用户和合作伙伴可以通过多种方式获取在线文档、疑难解答等全方位的技术支持。

第二章系统结构信息安全等级保护自评估系统由三个子系统共同组成：等级评测、用户管理和安全对象管理子系统。

等级评测子系统是整个系统的核心。

如下图。

级保安全对象管理子系统等级备案系统录入定级第三章使用系统3.1 登陆系统系统搭建完毕后登录系统，web访问地址一般是系统搭建的应用服务器的IP地址加端口，例如：。

系统预置超级管理员admin，密码topsec123，访问用户管理子系统，登录后创建项目经理(也就是项目负责人)和项目成员，并为其分配权限。

项目经理：项目经理也就是项目的负责人，（可以根据系统需求分配相应权限）监督项目的进展、创建评测项目等。

项目成员：负责整改任务、检查任务（答题）（可以根据系统需求分配相应权限）。

管理员以哪种角色登录即拥有相应的管理权限。

3.2 添加安全对象项目经理选择安全管理子系统，登录后添加安全对象，也可以登录到等级保护子系统后二次连接到安全管理子系统添加安全对象。

如下图所示，在该系统页面添加安全对象。

3.3 等级备案等级备案模块完成等级保护评测对象的添加。

在创建评测项目之前需要添加单位信息，然后系统录入定级（添加业务系统，业务系统是进行等级保护评测的评估对象），备案库中备案。

（备案可以在评测项目任何期间进行）1）添加单位信息。

LanSecS内网安全管理系统解决方案适用范畴此文档是圣博润为医疗行业XXX医院提供的LanSecS内网安全治理系统解决方案。

目录1.运算机终端安全治理需求分析 .............................................................. V II1.1.网络治理 (VIII)1.1.1.物理网络拓扑图 (VIII)1.1.2.流量操纵 (VIII)1.1.3.I P地址治理 (IX)1.1.4.故障定位 (IX)1.2.终端安全防护 (IX)1.2.1.补丁安装防护 (IX)1.2.2.防病毒防护 (X)1.2.3.进程防护 (X)1.2.4.网页过滤 (X)1.2.5.非法外联防护 (X)1.3.终端涉密信息防护 (XI)1.3.1.终端登录安全认证 ...................................................................... X II1.3.2.I/O接口治理.............................................................................. X II1.3.3.桌面文件安全治理 ...................................................................... X II1.3.4.文件安全共享治理 (XIII)1.3.5.网络外联操纵 (XIII)1.4.移动储备介质的治理 (XIII)1.5.网络接入操纵 (XIV)1.6.运算机终端治理与爱护 (XV)1.7.分级分权治理 (XV)2.运算机终端安全防护解决方案 (XVI)2.1.方案目标 (XVI)2.2.遵循标准 (XVI)2.3.方案内容 (XVIII)2.3.1.网络治理 (XVIII)2.3.1.1.物理网络拓扑图 (XIX)2.3.1.2.流量操纵 (XIX)2.3.1.3.IP地址绑定 (XX)2.3.1.4.故障定位 (XX)2.3.2.终端安全操纵 (XX)2.3.2.1.补丁治理 (XX)2.3.2.2.防病毒操纵 (XX)2.3.2.3.进程监控 (XXI)2.3.2.4.网页过滤操纵 (XXI)2.3.2.5.非法外联操纵 (XXI)2.3.3.终端安全审计 (XXI)2.3.4.移动储备介质治理 ................................................................... X XIII2.3.4.1.注册授权 (XXIV)2.3.4.2.访问操纵 (XXIV)2.3.4.3.数据爱护 (XXV)2.3.4.4.自我爱护 (XXV)2.3.4.5.操作记录 (XXV)2.3.5.运算机终端接入操纵 (XXVI)2.3.5.1.非法主机的定义 (XXVI)2.3.5.2.非法接入操纵策略 (XXVI)2.3.5.3.非法接入阻断技术实现原理............................................... X XVII2.3.6.运算机终端治理与爱护........................................................... X XVIII2.3.6.1.主机信息收集.................................................................. X XVIII2.3.6.2.网络参数配置 (XXIX)2.3.6.3.远程协助 (XXIX)2.3.6.4.预警平台 (XXIX)3.系统设计 (XXX)3.1.产品设计思路 (XXX)3.2.产品的设计原则 (XXX)3.3.产品标准符合性设计 (XXXI)3.3.1.B MB17-2006符合性 (XXXI)3.3.2.I SO 27001符合性 (XXXI)nSecS系统简介 (XXXIV)nSecS系统架构设计 (XXXVI)nSecS系统功能设计......................................................... X XXVIII3.6.1.安全审计............................................................................. X XXVIII3.6.2.安全加固 (XXXIX)3.6.3.安全服务 (XXXIX)3.6.4.安全网管 (XXXIX)3.6.5.资产治理..................................................................................... X LnSecS系统安全性设计............................................................ XLI3.7.1.操纵中心安全性......................................................................... XLI3.7.2.主机代理安全性........................................................................ XLII3.7.3.数据库安全性........................................................................... XLII3.7.4.策略分发与储备安全性............................................................. X LIII3.7.5.主机代理与操纵中心通讯安全性 ............................................... X LIII4.系统特色与系统部署........................................................................... X LVnSecS系统特色...................................................................... X LVnSecS典型部署................................................................... XLVII4.2.1.简单内网环境......................................................................... XLVII4.2.2.本地多内网环境..................................................................... XLVIII4.2.3.分级部署环境.......................................................................... XLIX5.技术服务 ......................................................................................... XLIX5.1.售后技术服务.......................................................................... XLIX5.2.系统二次开发扩展支持.................................................................. L6.产品配置要求....................................................................................... LI随着科技的进展，运算机和网络作为现代医院重要的工具，在日常办公过程中发挥着越来越重要的角色。

LanSecS内控管理平台（堡垒主机）用户手册目录第一章系统简介 (5)1关键字 (5)2部署结构 (6)3系统登录 (7)第二章单点登录（SSO） (9)1单点登录（SSO） (9)1.1界面 (9)1.2功能说明 (10)1.3操作描述 (10)2单点登录控件及工具安装 (10)2.1界面 (10)2.2功能说明 (10)第三章流程 (11)1概述 (11)2管理流程 (12)3登录流程 (12)第四章元目录 (13)1目录管理 (13)1.1界面 (13)1.2功能说明 (13)2自然人（主帐号）管理 (14)2.1界面 (14)2.2功能说明 (14)2.3操作描述 (15)2.4示例 (15)3资源管理 (16)3.1界面 (16)3.2功能说明 (17)3.3操作描述 (17)3.4示例 (19)4角色管理 (21)4.1界面 (21)4.2功能说明 (21)4.3操作描述 (21)5计划管理 (22)5.1界面 (22)5.2功能说明 (22)5.3操作描述 (23)6内部审计管理 (23)6.1界面 (23)6.2功能说明 (23)6.3操作描述 (24)7行为审计管理 (24)7.1界面 (24)7.2功能说明 (24)7.3操作描述 (25)8审计报表 (25)8.1界面 (25)8.2功能说明 (25)8.3操作描述 (26)第五章配置管理 (27)1策略配置 (27)1.1主机命令控制策略 (27)1.2客户端地址控制策略 (29)1.3访问时间控制策略 (30)1.4访问锁定策略 (31)1.5密码策略 (32)2服务配置 (33)2.1堡垒机管理 (33)2.2图形服务开关 (33)2.3审计服务定义 (33)2.4帐号同步计划 (34)3系统配置 (35)3.1系统监控 (35)3.2网络配置 (36)3.3环境配置 (37)第一章系统简介内控堡垒主机系统是安全内控解决方案的重要组成部分，部署在企业的内部网络中，用于保护企业内部核心资源的访问安全。

LanSecS内网安全管理系统配置手册北京圣博润高新技术股份有限公司Beijing SBR Information Technology Co., LTDLansecs服务器安装完成后，需要登陆控制台进入系统初始化的操作。

具体操作过程如下：以下过程，工程师要牢记，并且在给客户安装完产品后，一定要做完以下工作，再给用户做演示。

一、首先，以系统管理员登录管理控制台：系统管理员用户名：sysadmin，密码：sysadmin.做两件事：（1）、编辑单位信息、创建部门。

（2）、新建系统操作员角色及用户，1、创建单位和部门点击菜单栏“功能”→“系统管理”→“系统管理中心”，出现如图：创建单位点击“注册管理”→“单位列表”，选中“默认单位”，点击右侧的“编辑单位”；修改成客户真实的单位名称。

新增部门第一次进入本系统，需要对单位下的部门进行编辑，选中单位名称，点击右侧的“新增部门”，在弹出的对话框中输入“部门名称”，点击“提交”，即可在部门列表中新增部门信息。

（注：新建部门非常重要，只有新建了部门之后，在下一步建角色时才能选择能够管理哪些部门，否则，无法选择，在项目实施时，一定要将所有部门一次建好）2、新建系统操作员角色及用户点击“任务栏”中“用户管理”出现下图所示。

新增角色进入本系统，需要对系统操作员的各种角色进行管理，点击右侧的“新增角色”；依次在标签页“角色信息”中输入“角色名称为sys”、“角色功能”中选择“系统管理中心”、“授权部门”中选择给角色授权的部门（将所有部门全部选择），点击“完成”，添加角色成功。

新增用户点击“用户列表”→“新增用户”；输入“用户名称为sysoper”、“密码为Admin123”、点击“提交”，提示添加用户成功对话框。

二、以安全管理员登录管理控制台：安全管理员用户名：secadmin，密码：secadmin做一件事：创建安全操作员角色及用户。

创建角色点击菜单“功能”→“系统管理”→“系统管理中心”，点击任务栏里的“用户管理”→“角色列表”，进行创建角色的操作：点击“新增角色”，在弹出添加角色的对话框中，按照标签页步骤完成，分别填写角色信息（角色名称填写sec），分配角色功能模块，授权相应部门(选择所有部门)，分配授权模块，最后完成，点击“保存”按钮，角色创建成功。

TMLanSecS内网安全管理系统（企业版）用户手册北京圣博润高新技术有限公司Beijing SBR Information Technology Co., LTD目录第一章使用说明 (2)第二章系统安装 (3)第一节安装SQL S ERVER (3)第二节IKEY安装 (7)第三节安装控制台 (8)第四节安装智能探测器 (9)第五节安装客户端 (10)第三章设置智能探测器 (11)第一节初始化日志数据库 (11)第二节初始化智能探测器 (13)第三节设置SQL S ERVER口令 (14)第四章控制台使用 (15)第一节控制台管理界面 (15)第二节探测器设置 (19)第三节生成客户端安装包 (20)第四节设置客户端卸载口令 (21)第五节系统选项设置 (22)第六节系统管理 (23)第七节帐户管理 (28)第八节数据库维护 (31)第五章内网管理 (37)第一节探测器管理 (37)第二节设备管理 (43)第三节IP地址管理 (51)第四节补丁管理 (57)第五节软件分发 (59)第六章安全审计 (61)第一节规则设置 (61)第二节资产管理 (76)第七章统计查询 (83)第一节操作日志报表 (83)第二节系统消息报表 (85)第三节IP地址查询报表 (87)第四节客户端规则查询 (88)第八章补丁下载管理器 (92)第九章退出系统 (94)第一章使用说明LanSecS V6.10是集内网监控、内网审计和安全网管于一体的内网安全管理软件。

并且在LanSecS V6.03的基础上，对原有功能进行了一些修改和调整，相对于上一版本而言，整个界面更直观、流畅。

同时，在整个管理架构上也有新的调整，更适用于管理者对整个内部网进行安全管理。

LanSecS V6.10架构说明：LanSecS V6.10 内网安全管理软件由四部分组成：加密虎IKEY驱动、控制台、智能探测器（JServer）以及客户端。

软件安装包中分别有这四个组件的安装程序。

〖LanaSecS 内网安全管理系统〗LanaSecS内网安全管理系统是由北京圣博润高新技术有限公司独立研发的，拥有自主知识产权的国产产品，从规划内网资源，规范内网行为，防止内网信息泄漏等多方面入手，为政府机关及企事业单位提供完整的内部网络安全管理解决方案。

〖LanaSecS 内网安全管理系统功能〗自动补丁管理主动发现网络中系统的漏洞，全面统计系统补丁情况，并强制性地对未安装补丁程序的计算机统一批量安装。

非法接入监控、报警、定位（适用于企业版/增强版）当一个未经管理中心注册登记的计算机接入网络时，系统能够自动发现并确定该计算机的接入位置，立即报警，防止其对网络安全造成危害。

阻止非法机器接入内网未注册机器接入网络时，由安全管理平台确认后方可访问内网，以防止不明机器非法访问网络，造成内部网络数据的遗失与破坏。

交换机端口流量的图形化显示（适用于企业版/增强版）动态图形化显示交换机端口状态、流量等信息，可以设置端口流量阀值，当端口流量超过阀值时自动报警，帮助系统管理员监视、分析网络性能。

内网系统配置管理能够自动将终端配置信息如CPU类型、主频、内存、操作系统、安装的软件、运行的程序和服务、系统日志、共享资源、以及补丁、端口等信息统计汇总，可以按设备类型、Vlan、子网、部门等方法对设备进行分类管理，使得系统管理员能够轻松自如地管理着整个网络的硬件资源，及时洞察系统配置的变动。

内网终端行为审计监控规范终端用户行为，确保应用环境的一致性和稳定性，防止内网信息泄漏，杜绝非授权的网络行为。

IP/MAC地址绑定；对输入输出设备的使用进行审计监控（如USB、软驱、光驱、打印机等）；对服务、进程的运行状态进行审计监控；拨号行为监控；非法接入监控和非法上网监控；对应用程序的安装与卸载进行审计；系统配置（包括CPU、内存、硬盘、显示卡、网卡等）审计。

故障见世面器的准确定位（适用于企业版/增强版）快速定位异常终端的IP地址，通过SwitchRoute功能查找与之对应的交换机端口，并实现对端口的阻断操作，从而将客户端隔离本网络，以杜绝各种安全隐患。

LanSecS®内网安全管理系统（V7.0）技术白皮书北京圣博润高新技术股份有限公司2009年11月目录1.产品简介 (1)2.产品架构 (2)2.1.终端监控引擎 (2)2.2.总控中心 (2)2.3.管理控制台 (3)2.4.系统数据库 (3)3.产品功能 (4)3.1.终端运维管理 (4)3.2.终端安全加固 (5)3.3.终端主机准入控制 (5)3.4.移动存储介质管理 (7)3.5.终端安全审计 (8)4.产品性能 (9)4.1.总控中心性能 (9)4.2.终端监控引擎性能 (9)4.3.产品性能指标 (10)4.4.自身安全性 (10)5.产品部署 (11)5.1.产品形态 (11)5.2.部署模式 (11)5.2.1.本地部署 (11)5.2.2.分级部署 (12)1.产品简介LanSecS®内网安全管理系统V7.0版是一款定位于为政府和企业用户提供集中的终端（桌面）综合安全管理的桌面管理产品。

系统通过对计算机准入控制、计算机安全加固、计算机运行维护、计算机安全审计、移动存储介质注册等多个方面的综合管理，为政府和企业用户打造一个安全、可信、规范、健康的内网环境。

LanSecS®内网安全管理系统V7.0版是北京圣博润高新技术股份有限公司（以下简称圣博润）一个里程碑式的、战略性的产品版本，该版本通过对用户需求的持续跟踪使得产品功能进一步丰富，通过系统架构的优化调整使得产品性能显著提升，借助LanSecS®内网安全管理系统V7.0版的发布，圣博润公司更加明确地宣告了其专注于内网安全管理领域的决心与实力。

LanSecS®内网安全管理系统在为用户提供终端安全保护手段的同时，更加强调为用户提供便利的终端运维管理手段。

集中式、人性化的终端管理能力是LanSecS®内网安全管理系统的特色之一，也是圣博润公司一直以来的努力方向。

LanSecS®内网安全管理系统的设计参考了如下国家标准：●GB/T18336-2008 《信息技术安全技术信息技术安全性评估准则》●GB/T22239-2008：《信息系统安全等级保护基本要求》●MSTL_JGF_04-012《信息安全技术远程主机检测产品检验规范》●MSTL_JGF_04-011《信息安全技术非授权外联检测产品检验规范》●BMB15-2004《涉及国家秘密的信息系统安全审计产品技术要求》●BMB17-2006：《涉及国家秘密的信息系统分级保护技术要求》●BMB20-2007：《涉及国家秘密的信息系统分级保护管理规范》●BMB22-2007：《涉及国家秘密的计算机信息系统分级保护测评指南》●GBT 22240-2008：《信息系统安全等级保护定级指南》●GBT 22241-2008：《信息系统安全等级保护实施指南》2.产品架构图1 LanSecS®内网安全管理系统架构LanSecS®内网安全管理系统在架构设计上采用了三层管理结构：终端监控引擎、总控中心、管理控制台，2.1.终端监控引擎终端监控引擎以服务的形式运行于终端计算机上，是终端计算机管理的核心和基础部件，用于对被管理终端计算机的安全加固、运行维护和监测审计等管理职能。