1、目錄1 項目背景 32 建設目標 43 信息安全等級保護綜合管理系統 43.1信息安全等級保護綜合管理系統概述 43.2系統架構 73.3系統功能 93.3.1定級備案管理 93.3.2建設整改管理 103.3.3等級測評管理 113.3.4安全檢查管理 123.3.5風險評估管理 133.3.6風險評估測評 133.3.7風險評估管理 143.3.8日常辦公管理 153.3.9統計分析 163.3.10 基礎數據管理 163.3.11 分級管理 183.3.12 系統接口 183.4系統安全性 193.5系統部署 203.6系統配置要求 204 內網安全管理系統 216.1內網安全管理系統概

2、述 216.2產品架構 216終端監控引擎 226總控中心 226管理控制臺 226系統數據庫 226.3產品功能 236終端運維管理 236終端安全加固 246終端安全審計 256網絡準入控制 256移動存儲管理 266.4產品性能 266終端引擎性能 266總控性能 266產品性能指標 276.5產品規范 276.6產品部署 275 內控管理平臺（堡壘主機）291堡壘主機概述 29掛步H拽1產品功能 291賬號管理 291主賬號管理 301從賬號管理 301授權管理 301靈活的授權管理 301細粒度的訪問控制管理 311認證管理 311審計管理 321產品特點 325.3.6 高可用性

3、331客戶收益 331產品部署 356 數據庫安全防護平臺 357數據庫風險分析 357產品概述 367功能特性 377產品價值 377多種應用模式 387產品優勢 397產品部署 397.2 旁路模式 407.3 混合部署模式 401 項目背景隨著互聯網技術飛速發展，網絡狀況日趨復雜和重要，網絡信息安全已經提高到國家安全的高度。現在各單位、企業已經重視網絡安全建設，但網絡自身仍然比較脆弱。為了達到信息系統安全等級保護工作的縱深要求，依據信息安全等級保護技術標準規范，建設網絡安全和開展等級保護管理工作。信息安全等級保護整體的安全保障體系包括技術和管理兩大部分，其中技術部分根據信息系統安全等級保

4、護基本要求分為物理安全、網絡安全、主機安全、應用安全、數據安全五個方面進行建設；而管理部分根據信息系統安全等級保護基本要求則分為安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理五個方面。整個安全保障體系各部分既有機結合，又相互支撐。之間的關系可以理解為“構建安全管理機構，制定完善的安全管理制度及安全策略，由相關人員，利用技術工手段及相關工具，進行系統建設和運行維護。”根據等級化安全保障體系的設計思路，等級保護的設計與實施通過以下步驟進行：4.%2.系統識別與定級：確定保護對象，通過分析系統所屬類型、所屬信息類別、服務范圍以及業務對系統的依賴程度確定系統的等級。通過此步驟充分

5、了解系統狀況，包括系統業務流程和功能模塊，以及確定系統的等級，為下一步安全域設計、安全保障體系框架設計、安全要求選擇以及安全措施選擇提供依據。5.%2.安全域設計：根據第一步的結果，通過分析系統業務流程、功能模塊，根據安全域劃分原則設計系統安全域架構。通過安全域設計將系統分解為多個層次，為下一步安全保障體系框架設計提供基礎框架。6.%2.確定安全域安全要求：參照國家相關等級保護安全要求，設計不同安全域的安全要求。通過安全域適用安全等級選擇方法確定系統各區域等級,明確各安全域所需采用的安全指標。7.%2.評估現狀：根據各等級的安全要求確定各等級的評估內容，根據國家相關風險評估方法，對系統各層次安

6、全域進行有針對性的等級風險評估。并找出系統安全現狀與等級要求的差距，形成完整準確的按需防御的安全需求。通過等級風險評估，可以明確各層次安全域相應等級的安全差距， 為下一步安全技術解決方案設計和安全管理建設提供依據。8.%2.安全保障體系方案設計：根據安全域框架，設計系統各個層次的安全保障體系框架以及具體方案。包括：各層次的安全保障體系框架形成系統整體的安全保障體系框架；詳細安全技術設計、安全管理設計。9.%2.安全建設：根據方案設計內容逐步進行安全建設，滿足方案設計做要符合的安全需求，滿足等級保護相應等級的基本要求，實現按需防御。10.%2.持續安全運維：通過安全預警、安全監控、安全加固、安全

7、審計、應急響應等，從事前、事中、事后三個方面進行安全運行維護，確保系統的持續安全，滿足持續性按需防御的安全需求。通過如上步驟， 系統可以形成整體的等級化的安全保障體系,同時根據安全術建設和安全管理建設，保障系統整體的安全。而應該特別注意的是：等級保護不是一個項目，它應該是一個不斷循環的過程，所以通過整個安全項目、安全服務的實施，來保證用戶等級保護的建設能夠持續的運行，能夠使整個系統隨著環境的變化達到持續的安全。在整個信息安全等級保護體系實施過程中，管理工作尤為重要，廣西桂盾科技有限責任公司推出了LanSecS轉息安全等級保護綜合管理系統， 該系統是一套適用于信息安全等級保護工作業務管理的綜合信

8、息管理平臺。作為信息安全等級保護工作的常態化管理工具，該系統緊密結合我國信息安全等級保護政策，實現了對信息安全等級保護工作中定級備案、安全建設整改、等級測評、風險評估和安全檢查等各個環節信息與數據的集中管理和工作流程管理。針對以上體系中提到了安全建設與持續安全運維，推出了LanSecS兩網安全管理系統、LanSecS?內控管理平臺（堡壘主機）、LanSecS數據庫安全防護平臺，三款產品符合信息安全等級保護相關技術要求，也符合等保安全建設與持續安全運維的需求。2 建設目標開展信息安全等級保護體系建設，已經成為許多單位、企業的重大目標，廣西桂盾科技有限責任公司推出的北京圣博潤LanSecS產品不僅

9、符合信息安全等級保護的技術要求，而且進一步加強了等保工作的管理，加固了網絡安全防護。信息安全等級保護綜合管理系統能將等保管理中的數據集中管理， 有效提高工作效率。讓多個工作環節按流程化管理，促進等保工作的標準化和規范化。通過此平臺將等保工作融入日常信息安全管理工作中。內網安全管理系統可以對計算機準入控制、計算機安全加固、計算機運行維護、計算機安全審計、移動存儲介質注冊等多個方面的綜合管理，可以為各單位、企業打造一個安全、可信、規范、健康的網絡環境。內控管理平臺（堡壘主機）通過賬號集中管理，統一所有網絡設備、服務器運維請求的入口，未通過授權的請求擋在入口外面，從而根本上解決了共享賬戶、賬戶泄露等

10、問題引起的安全風險，提高了運維訪問的安全性。通過審計功能，將堡壘主機上所有運維操作錄屏回放，可在安全事件發生時，做到有據可查，責任落實。通過數據庫安全防護平臺可以防止針對數據庫的外部黑客攻擊、防止內部高危操作、防止敏感數據泄漏、審計追蹤非法行為，實時監控數據庫運行狀態。保障了重要信息的安全。3 信息安全等級保護綜合管理系統3.1信息安全等級保護綜合管理系統概述圣博潤很早就開始與相關職能部門進行密切的交流，了解和跟蹤信息安全等級保護綜合管理系統的實際應用需求， 從2007年開始信息安全等級保護綜合管理系統的相關技術研究、產品研發和持續改進等工作。并推出了具有自主知識產權的LanSecS信息安全等

11、級保護綜合管理系統。產品可解決如下幾個方面的問題：1）信息安全等級保護信息與數據缺乏集中管理當前信息安全等級保護工作中各種信息和數據大多依靠簡單的EXCELS格進行管理，手工操作任務繁瑣，不利于信息與數據的匯總和統計，本項目產品將解決這一難題，有效提高等級保護工作效率。2）信息安全等級保護工作流程缺乏必要的約束各行業開展等級保護功過過程中，難以有效避免因人而異、因時而異、因事而異的工作狀態，各項工作流程缺乏必要的約束。本項目產品的應用，將有利于提高等級保護工作流程的規范性。3）缺乏有效的信息安全等級保護工作考核依據各行業等級保護主管部門對等級保護工作的執行和工作成效的考核沒有統一的量化的標準，

12、對等保工作和人員的考核缺乏依據。本項目產品將有效解決這一難題。通過提供標準化、流程化的辦公平臺，為等級保護工作的考核提供數據支持。4）信息安全建設整改工作統一指揮和協調難等級保護安全建設與整改工作是一項任務緊迫、形勢復雜、周期較長的工作。這一工作必須要統一指揮和協調，才會取得良好的工作成效。本產品為各行業的安全建設整改工作提供了一個統一指揮和協調的工作平臺，將有效解決安全建設整改工作的指揮和調度困難問題。作為等級保護工作開展所依賴的基礎工作平臺，信息安全等級保護綜合管理系統可在如下方面促進信息安全等級保護工作的開展。1）實現信息與數據的集中管理和分析處理信息安全等級保護綜合管理系統可對各種信息

13、安全等級保護基礎數據實現集中存儲和管理，不但保證了數據的完整性和一致性，也為行業等級保護工作的開展提供了可靠的數據支持。通過數據統計和分析，可為等級保護工作的進一步開展提供決策支持。該系統可管理的數據包括如下多種類型：?系統定級、備案數據；?建設整改數據；?等級測評數據；?安全檢查數據；?風險評估數據；?等級保護政策標準；?安全管理制度與管理措施；?信息資產；?安全事件；?測評機構與人員；?專家庫；?教育培訓數據。針對上面各類數據，本系統能夠進行集中管理和統計查詢，并快速生成種類豐富的報告和報表，極大的方便了等級保護工作的信息系統定級、備案、安全建設整改、安全測評、安全檢查等工作。4規范等級保

14、護工作流程，提高工作效率信息安全等級保護綜合管理系統為信息安全等級保護的多個工作環節提供了基于工作流引擎的工作流程管理功能，如安全建設整改、安全檢查、風險評估等。通過流程定制，使得行業管理人員可按照統一的工作流程開展行業的等級保護工作，避免了不同單位、不同管理人員在執行等級保護工作過程中的隨意性。促進了等級保護工作環節的標準化和規范化。另外，通過流程管理，使得數據處理和工作部署實施的自動化程度大大增強，從而有效提高了等級保護工作的效率。5提升行業等級保護工作管理的透明度信息安全等級保護綜合管理系統通過預置部門、人員、角色和工作流程，實現了行業用戶等級保護工作開展過程中的部門、角色的分工協作。通

15、過內置的辦公管理模塊，讓等級保護工作執行人員及時受理和完成分配的工作任務，讓管理人員及時掌握等級保護工作的開展情況，實現可視化的等級保護工作管理。行業主管部門通過該系統可以對等級保護工作的進度進行跟蹤。可有效改善原有等級保護工作對整體管理過程的不可跟蹤性和管理效果的不可預見性。行業主管部門通過該系統還可對每個等級保護參與人員的工作進度、工作狀況、工作結果進行直觀的檢視。同時，根據預定義的評價指標，對等級保護工作的執行效果進行客觀的考核和評價，大大增加了管理的透明度。6提升行業等級保護工作的整體實施能力通常，各行業的等級保護工作執行人員并不一定是安全領域的技術專家，這往往會導致等級保護工作中出現

16、領導層與執行層工作脫節，具體執行工作難于直觀的反映到信息安全保障工作的直屬領導層面，出現信息安全等級保護工作執行上的不透明，直接導致管理工作的執行不徹底和不到位。信息安全等級保護綜合管理系統在各行業開展等級保護工作的過程中，通過規范工作流程、完善數據管理、提供教育與培訓等，提高等級保護工作人員的等級保護工作意識、理解等級保護工作職責、促進等級保護工作的規范化。利用系統的內置的各種工作流程，可將等級保護工作要求迅速分解到相關技術部門和人員，大大降低了單位內部的協調復雜性，提升了行業等級保護工作的整體實施能力。7促進等級保護工作管理的常態化信息安全等級保護綜合管理系統提供了安全整改活動、等級測評活

17、動、安全檢查活動和風險評估活動的流程管理功能，為各行業開展的新一輪安全建設與整改工作以及等級測評工作提供了可靠的技術支撐。信息安全等級保護綜合管理系統的定位和目標是為我國各行業開展的等級保護工作建設一套運行可靠、管理嚴密、控制有效、信息全面、監管有力、便于維護、高效安全的工作平臺。實現信息系統定級備案、安全建設整改、等級測評和安全檢查等工作的信息化管理，提升等級保護工作的效率和管理水平。信息安全等級保護綜合管理系統提供了涵蓋等級保護工作所有工作環節的管理功能，是一個以等級保護為核心的集成的、綜合的信息安全基礎工作平臺。該系統可有效促進各行業等級保護工作管理的常態化。業務管理層基礎數據層與其它安

18、全運維管埋系統、等級保護備案管理系統接口軍療方現落口安全事社落口密產倍同同步攙口耳但新盤共享拷口上圖是LanSecS信息安全等級保護綜合管理系統的總體框架結構示意圖。 系統總體分為業務管理層、基礎數據層和接口層三個層次。業務功能層是軟件主體功能，包括等級保護工作管理、日常辦公管理、數據統計與分析和系統管理幾個部分。基礎數據層維護等級保護工作所需的各類基礎數據，接口層負責與其它安全運維管理系統或等級保護相關系統的數據共享和交互。1.%2等級保護工作管理等級保護工作管理以信息安全等級保護工作為主線，對等級保護工作中的定級備案、安全建設整改、等級測評、安全檢查、風險評估、安全評價等各個工作環節進行規

19、范化管理，包括信息與數據的收集、工作流程管理等。2.%2基礎數據層基礎數據管理為信息安全等級保護綜合管理所需的各種基礎信息與數據提供統一的維護與管理。包括政策法規、標準規范庫的管理，安全管理機構、人員和管理制度庫的管理，災備信息、應急預案、應急演練的管理，教育培訓管理，專家庫管理，資產信息管理，3.2系統架構信息奈統統計資百二等保工作管理等保工作管理日常辦公平臺日常辦公平臺一贏i+一數據現計分析中，匚信息安全事件管理等。3.%2接口層接口層負責提供本系統與其他系統之間的數據共享和交互接口。例如本系統的定級備案數據向公安部定級備案信息管理系統的數據輸出接口， 信息安全運維管理系統收集的數據向本系

20、統的數據輸入接口等。LanSecS信息安全等級保護綜合管理系統的業務體系架構以及各業務模塊之間的關系如下圖所示。系統用戶通過瀏覽器訪問LanSecS信息安全等級保護綜合管理系統，經過系統身份認證和權限控制， 進行等級保護業務管理工作。 普通用戶以日常辦公管理作為主要操作界面。系統管理員則可對基礎數據、工作流程、具體等級保護工作環節的業務活動進行統一維護管理并可對工作過程進行監控、對信息和數據進行統計分析等。號勢*計g-l,H皂信息中心工作人員定理褊筌臼常辦公工沿要門瑪強制評安殳桂育,*甘母苧為制沖粒育潼程監抻趨才整欲以檔二也同齡潸估3.3系統功能“LanSecS信息安全等級保護綜合管理系統”主

21、要功能包括如下幾個方面：1.%2.%3定級備案管理2.%2.%3建設整改管理3.%2.%3等級測評管理4.%2安全檢查管理5.%2風險評估管理6.%2日常辦公管理7.%2統計分析8.%2基礎數據維護3.3.1定級備案管理重要信息系統的定級與備案工作是我國信息安全等級保護工作開展的基礎。各行業均應對本行業內各單位的重要信息系統進行定級，并將定級情況向公安機關備案。目前大部分行業用戶，均通過手動方式填寫備案登記表，備案表在本單位的留存也是以離散文檔的形式存儲。這種備案方式非常不利于備案信息的維護，也不利于備案信息的查詢、檢索和統計。也就無法為主管部門快速提供本單位的信息系統備案狀況。本系統可為各行

22、業的重要信息系統的定級和備案提供方便的管理功能。定級備案管理模塊功能邏輯結構如下：統計杳誼單位信息不統信息工具圖3定級看案管理模塊邏輯結構“定級備案管理”主要完成重要信息系統的定級備案信息維護與管理，包括備案信息的錄入、查詢、統計，備案信息表的導出和導入、備案數據采集等。具體如下：1）備案信息填報：完成重要信息系統備案信息的填報；備案信息錄入入導.出導2）備案情況查詢（更改）：按照備案單位或備案信息表中任何一個字段進行單項查詢或組合查詢，查詢結果顯示為備案信息（分為以單位為主導和以信息系統為主導兩類，即允許用戶按單位查也可以按信息系統查），為一項或多項。提供關鍵字段的準確和模糊查詢；3）備案信

23、息導出：將備案信息導出，供導入備案數據采集工具或監督檢查工具使用；4）備案情況統計：提供特定備案時間段的信息系統數量、單位數量等，統計顯示形式為統計表；5）附加信息管理：完成備案附加信息的添加;6）備案數據采集工具&案表填報：完成備案表信息的填報; 備案表校馬和審核：完成備案表信息的校驗和核對，以及系統自動給用戶提供一個備案表編號供用戶酌情選擇使用； &案表WORD檔生成： 完成備案表xml格式到word文件格式的轉換和具體文件的生成；&案表信息打包：完成備案表信息、附件的合并和壓縮，生成可上傳文件比量入庫：實現文件包的解析和批量入庫3.3.2建設整改管理本系統將整改建

24、設分為五個步驟環節：）工作部署：制定信息系統安全建設整改工作規劃，對信息系統安全建設整改工作進行總體部署；）現狀分析：開展信息系統安全保護現狀分析，從管理和技術兩個方面確定信息系統安全建設整改需求；）整改方案：確定安全保護策略，制定信息系統安全建設整改方案；）整改實施：開展信息系統安全建設整改工作，建立并落實安全管理制度，落實安全責任制，建設安全設施，落實安全措施；5）整改結果：開展安全自查和等級測評，及時發現信息系統中存在安全隱患和威脅，進一步開展安全建設整改工作。建設整改執行流程如下圖所示。圖4建設整改工作流程“建設整改管理”主要完成已備案信息系統的建設整改活動的跟蹤記錄與管理。包括建設整

25、改信息的錄入、查詢、統計。）建設整改信息錄入：將建設整改活動過程中的所有相關信息記錄入庫；）建設整改信息查詢：對入庫的建設整改信息，按照單位、系統或者整改信息表中的任何一個字段進行信息檢索和查詢，查詢結果可生成報表；3）建設整改信息導出：將建設整改信息導出，生成可以閱讀的word文檔格式3.3,3等級測評管理等級測評管理模塊負責對行業用戶發起的由第三方測評機構主導實施的等級測評活動的組織和管理。行業用戶在新上線的信息系統建設完畢或者對舊的信息系統安全建設整改完成時，均需要委托第三方測評機構對信息進行等級測評，以驗證信息系統的安全建設是否符合定級要求。 等級測評模塊主要負責對測評機構的管理、 測

26、評流程的管理、 測評結果的匯總與記錄、測評活動的監控等子模塊。各子模塊之間的關系如下圖所示：周評磯構稻患摩怡本圖5等級靂評管理示意圖RSHWDh）等級測評信息錄入：將等級測評過程中的所有相關信息記錄入庫；借意系統用告）等級測評信息查詢：對入庫的等級測評信息，按照單位、系統或者等級測評信息表中的任何一個字段進行信息檢索和查詢，查詢結果可生成報表；）等級測評信息導出：將等級測評信息導出，生成可以閱讀的word文檔格式;）等級測評機構管理：等級測評機構的相關信息管理；）等級測評報告管理：對已經取得等級測評報告的信息系統所對應的測評報告進行集中歸檔管理。3.3.4安全檢查管理“安全檢查管理”提供對安全

27、自查、主管部門檢查和公安機關檢查等安全檢查活動狀況的跟蹤記錄管理。包括：4）監督檢查制度管理：對監督檢查規章制度等級入庫，并提供查詢和打印服務；5）安全自查管理：對安全自查活動狀況進行信息記錄，并提供查詢、統計服務；3）主管部門檢查管理： 對主管部門的檢查活動狀況進行信息記錄， 并提供查詢和統服務；5.%2） 監督檢查數據導出： 完成用戶從主系統中導出需要監督檢查單位及其系統的相關信息，并轉換為桌面系統能解析識別的文件系統；6.%2）監督檢查信息錄入：供用戶直接在主系統上填寫監督檢查相關數據（或直接導入監督檢查工具生成的檢查數據包） ， 填寫完成后可生成符合 信息系統安全等級保護監督檢查表格式

28、和內容的Word文本；7.%2）監督檢查情況查詢：要求按照檢查表中任何一個字段（包括檢查時間等）單項或組合進行查詢，還可按檢查次數、是否超過檢查期限等條件查詢，查詢結果顯示為一項或多項，信息為單位或信息系統監督檢查信息；8.%2）合規性檢查：對檢查結果進行分析，并與已知標準進行比對，判斷所檢查的信息系統是否合規。9.%2 ）監督檢查工具備案信息導入： 可以將主系統導出的數據導入到監督檢查工具中， 便于在監督檢查過程中實時查詢信息系統的備案信息；監督檢查填報：完成用戶獨立填寫監督檢查數據，登記信息、填寫完成后可生成符合信息系統安全等級保護監督檢查表格式和內容的Word文本；監督檢查數據導入：完成

29、桌面系統特定文件格式（特定的格式包，內可含文本、圖象文件等附件信息）的監督檢查數據導入進服務器端主系統。1風險評估管理風險評估管理主要負責對信息系統風險評估活動的相關信息的維護管理，規范本單位在委托第三方進行風險評估過程中需要進行配合的相關事項和流程， 并對整個風險評估活動過程中的各種數據進行匯總記錄。風險評估管理主要由風險評估測評、風險評估管理兩個子模塊組成。風險評估測評子模塊采用內置工作流引擎進行風險評估工作的流程規范及過程推動； 風險評估管理子模塊可對已經進行過的風險評估測評項目的相關信息進行查看管理， 并可對當前正在進行風險評估測評的項目的執行情況進行監控。1風險評估測評風險評估測評通

30、過內置的工作流引擎，以系統預先定制的風險評估流程引導并規范風險評估測評工作的展開，具體的工作流程示意圖如下：風險評估機利（?統管等?圖6風險評估流程圖如上圖所示，風險評估流程主要由發起風險評估、風險評估準備資料上傳、風險評估方案上傳、風險評估協助任務制定劃分、風險評估報告上傳、風險評估資料匯總整理、風險評估資料審核及風險評估資料歸檔等幾個環節組成。1）發起風險評估信息系統風險評估的第一個流程是發起一個風險評估項目，系統可記錄當前項目發起的日期、主要目標、主要任務和發起人等相關信息。風險評估發起后，此次風險評估即被納入流程管理，發起者可以指定相關人員進行下一步的風險評估準備資料上傳工作。5）風險

31、評估準備資料上傳風險評估準備資料上傳負責風險評估所需的各種資料文件的上傳和管理，例如與第三方風險評估機構簽署風險評估合同和保密協議等。系統可記錄的信息包括文件的簽署人，簽署日期和文件描述等相關信息。6）風險評估方案上傳風險評估方案上傳負責將本次風險評估方案文件上傳并保存到系統中，系統可記錄信息包括方案提供方的單位及人員，方案接收方的人員、日期等信息。7）風險評估協助任務分配風險評估協助任務分配負責對風險評估方案中的各項任務進行分配， 需要協助的風險評估任務主要包括為風險評估單位提供信息系統相關的信息，協助風險評估人員入場、離場，并簽署入場離場相關文件，協助風險評估單位人員執行工具測評，并對測評

32、結果簽字確認等相關事項。8）風險評估協助任務執行風險評估協助任務執行負責通知各相關人員按照完成風險評估協助任務，并及時記錄任務完成的情況和相關信息等。9）風險評估報告上傳風險評估報告上傳負責將第三方風險評估單位提供的風險評估報告上傳到服務臺并保存，系統可記錄提供報告文件的單位及人員和接收報告文件的人員等相關信息。10 ）風險評估資料匯總整理風險評估資料匯總整理負責將本次風險評估活動的其它相關資料逐一入庫匯總，由系統進行集中管理。方便系統使用單位將風險評估的結果做為建設整改的依據，幫助系統使用單位構建一個良性循環的信息安全環境。11）風險評估資料審核風險評估資料審核是指由系統使用單位對風險評估測

33、評單位提供的風險評估相關資料的評審與審核。12 ）風險評估資料歸檔風險評估資料歸檔主要提供電子文檔歸檔功能，并可記錄文件檔案存放位置等相關信息，方便系統使用單位集中管理風險評估相關信息。4.6.1.%4風險評估管理風險評估管理主要提供對歷史風險評估項目信息的查看管理以及對當前正在進行的風險評估項目的監控功能。風險評估項目信息的查看管理主要包括查看歷次風險評估項目基本信息，歷次風險評估資料檔案信息，歷次風險評估中的風險統計和不可接受風險處理計劃的功能。風險評估監控的主要功能包括查看當前正在進行的風險評估活動的最新狀況， 當前正在進行的業務節點以及當前進行業務節點的處理情況、處理人和處理日期等相關

34、信息，另外可以查看已經完成的業務節點的處理情況、處理人和處理信息等相關信息。圖7風險評估監控圖4.6.2.%4日常辦公管理日常辦公管理為系統用戶提供了一個日常工作的平臺，由待辦事項，辦結事項，任務管理，工作考核四個部分組成。基本囊括了與等級保護相關的事項的管理，其中系統內部事項直接在此處提供統一入口，系統外事項在此處提供統一任務管理入口，納入到系統管理，方便等級保護工作的開展。具體關系如下圖：日常辦公營理圖8日常辦中的不同事頊關系圖風期評估資料審核風險評估資料歸檔系統內工作流程多項系統外等級保護相美事項自立迎進入任騫良或人特辦事砂辦結事項后辦攻,放人m廠1.%2.%3）待辦事項管理：提供需要辦

35、理事項的記錄功能，并可標記事項當前進展狀態；2.%2.%3）待辦事項查詢：對已經錄入的事項，可按照待辦、辦結和超期等條件進行歸類查詢，并按照其他條件進行復合查詢；3.%2.%3）任務管理：對上級派發的等級保護工作任務進行登記管理，并提供任務執行狀況的跟蹤記錄能力，可對任務進行復合條件查詢和統計；4）工作考核：對等級保護各個環節的工作狀況進行考核，并給出綜合考核結果。3.3.9統計分析統計分析管理主要提供等級保護相關的重要數據的統計及分析功能，包括信息系統統計，安全事件統計，工作事項統計，資產統計，安全機構統計，安全人員統計，建設整改統計，等級測評統計，檢查情況統計等，并提供相應的分析圖表。）統

36、計信息查看：提供統一的統計信息查看功能，統計信息包括：信息系統統計事件統計工作事項統計資產統計組織機構統計人員統計建設整改統計等級測評統計檢查情況統計信息系統安全總體評價2）統計報告生成：對統計結果生成統計報告，并可導出到常見的文件格式，如word、excel等。3.3.10基礎數據管理基礎數據管理提供對等級保護管理工作當中各個環節所需的基礎數據進行綜合管理。包括：政策法規庫管理：提供國家、部委、行業、部門等各個級別的政策、法規的管理，包括錄入、修改、查詢、報表、打印、導出等維護操作。標準規范庫：提供國家、部委、行業、部門等各個級別的標準規范的管理，包括錄入、修改、查詢、報表、打印、導出等維護

37、操作。事件管理：提供安全事件的錄入、查詢、統計、報告等維護操作。資產管理：提供資產的手動錄入、自動收集，資產查詢、統計和報告等管理。組織機構：提供組織機構創建和維護管理。安全人員：提供人員的管理。安全管理制度：提供人員管理、系統建設管理、系統運維管理等管理制度的錄入、查詢和報告等功能。安全管理措施：提供人員管理、系統建設管理、系統運維管理等管理措施的錄入、查詢和報告等功能。應急處置：提供應急預案和應急演練等活動的信息管理功能。技術支持隊伍：提供技術支持隊伍信息的錄入、查詢和報告等功能。專家庫：提供專家庫信息的錄入、查詢和報告等功能。知識庫：提供知識庫的維護管理。基礎數據管理模塊對系統的基礎數據

38、的管理操作包括：1)數據的收集、錄入和匯總系統可管理的基礎數據分類多達十余類，該模塊針對不同的數據分類，分別進行信息的收集、錄入，存儲到數據庫中進行匯總保存。2)數據查詢與報表針對不同類型的基礎數據，該模塊提供風格統一的數據查詢、展現和報表功能。通過查詢和報表，用戶可將關心的數據篩選出來，形成數據報表，指導信息安全等級保護工作的開展。3)數據統計分析該模塊還負責對不同類別的數據，按照不同的統計方式，生成統計圖表，統計圖表可為等級保護工作狀況的綜合分析提供幫助。4)數據備份基礎數據作為基本的等級保護管理數據，需要定期備份。該模塊可按照用戶設定的條件，對不同類別的基礎數據進行定期備份。該模塊還提供

39、備份數據的人工恢復。貫日僧忸庫安含豈傳庫翠生埠基礎數據管理更生人色庫管年下而虛圖9基礎數據管理分級管理對于大型行業用戶，具信息系統分布在不同的行政區域或轄區，這些信息系統的維護管理也由轄區內下級單位負責管理。但是上級單位又需要了解和掌握下級單位的信息安全等級保護工作開展情況。鑒于此，本系統提供了分級管理功能。分級管理功能，可在多個等級保護綜合管理系統之間（一般的，在上級系統和下級系統之間）建立關聯關系。確定上下級關系后，下級系統可以將本級的信息和數據定期或實時上傳到上級系統中。如此，上級單位可對下級單位的等級保護工作信息和數據進行集中管理，如查詢、統計和分析等。從而掌握下級單位的信息安全等級保

40、護工作的開展狀況。10分級管理數據同步系統接口LanSecSW息安全等級保護綜合管理系統由數據采集和共享中心負責提供與其他各種安全系統和應用系統的接口管理。數據采集和共享中心對系統接口進行統一封裝和集中管理。數據采集和共享中心采用插件化的接口設計與管理，可以根據不同用戶的需求，定制適合用戶需要的系統數據采集和共享接口。數據采集和共享中心作為基礎接口支撐平臺，為用戶的系統數據采集和共享提供了靈活的手段和方式。數據采集和共享中心的接口分類兩大類，數據采集類和數據共享類。1）數據采集接口數據采集接口負責從其它信息系統或者安全設備收集信息和數據，將采集的信息和數據存儲到系統數據庫中。這些數據為等級保護

41、綜合管理系統的各項工作管理提供更加豐富的數據支持，為安全建設整改方案和安全檢查方案的制定提供依據。例如，通過等級測評數據采集接口，可將信息安全等級保護測評與評估系統的測評數據導入本系統，為系統的等級測評活動提供測評依據；通過資產信息采集接口，可將其他資產管理系統的資產數據直接導入本系統，省卻了資產信息的收集和錄入；通過安全事件采集接口，可將其他安全運維管理系統的安全事件實時導入本系統，由本系統負責統一的安全事件管理。2）數據共享接口數據共享接口負責將等級保護綜合管理系統的自身數據共享給其他信息系統使用，為其他信息系統提供豐富的數據來源，以便對數據進行進一步的分析和處理。例如，本系統的安全評價數

42、據，可輸出至專家評價系統進行信息系統的綜合安全評價；本系統的定級備案數據，可導入公安部定級備案綜合工作平臺，完成行業用戶的定級備案工作。圖11系統接口系統安全性系統設計充分考慮了自身的安全性，主要采取了如下技術措施保障系統自身的安全性。身份認證方面：本系統有專門的身份認證模塊，系統自身設計采用了雙因子身份認證。通過統一的用戶管理功能保證用戶標識的唯一性。用戶登錄失敗會話自動無效，自動限制登錄失敗次數。訪問控制方面：本系統實現了基于角色的訪問控制技術，按數據和功能授予用戶權限0專門的攔截過濾器檢查用戶的每一次訪問是否符合授權要求。授權和審計管理分開。安全審計方面：本系統對用戶的訪問行為按功能、數

43、據對象記錄了詳細的日志，并提供了日志查詢和統計功能。剩余信息保護方面： 敏感信息不得寫入靜態字段， 內存自動回收技術保護了內存中的剩余信息。定期檢查系統使用臨時文件夾，清除過期的臨時文件。通信完整性和保密性方面：本系統為B/S架構，通過對SSL協議的支持實現通信完整性和保密性方面的要求。軟件容錯方面：用戶提交的信息，系統在處理前進行數據有效性檢查。所有的異常必須得到有效正理。對于外部采集的數據導入，則規定必須進行嚴格的數據檢查后才準導入。多線程技術防止了單個用戶的錯誤不會影響系統的其它用戶的業務操作。故障報警機制使用管理員及時地處理系統故障。提供災難時的數據恢復功能。資源控制方面：禁止用戶的并

44、發登錄，設置合適的會話失效時間，當用戶登錄錯誤超過一定次數時自動鎖定。并記錄日志。代碼安全方面：通過工具掃描、代碼復審保證程序代碼符合編碼規范，查找可能存在的惡意代碼。量產他息第萊接口數據采集政掘共享中心安全評仙勒據共享接口彎冢評愉?統理雷塞附提I共享摟口公安闞母-番惠工悻斗修根克撐都就撐綱撕和的安金運第安理解筑系統部署系統支持兩種部署模式，一種是獨立部署，一種是分級部署。通過分級部署，可以將下級系統的信息和數據實時或周期性同步到上級系統中，為上級部門的等級保護工作管理提供更加完備的數據支持。系統配置要求本系統的配置要求如下：1）數據庫服務器：用于提供基礎數據和等級保護工作數據存貯服務，配置要

45、求為雙CPUXeon3.0G以上，500G硬盤以上，內存4G以上；2）應用服務器：用于部署本系統服務器程序，配置要求為雙CPUXeon3.0G以上，120G硬盤，內存4G以上；3）系統管理主機：用于本系統的管理，通過瀏覽器進行系統的管理。配置要求為Xeon3.0GCPU,120G硬盤，內存1G以上。13系統分級部署模式示意圖知悔陣需畀錯上級單位上級單位情也抖初口,底隼貴弄JN按用粉條白演鼻鼻脂國用注春冷下跳單位下跳單位下級單位下級單位HWHWEhl!Ui1ri4 內網安全管理系統內網安全管理系統概述LanSecS?內網安全管理系統通過對計算機準入控制、計算機安全加固、計算機運行維護、計算機安全

46、審計、 移動存儲介質注冊等多個方面的綜合管理， 為政府和企業用戶打造一個安全、 可信、規范、健康的內網環境。LanSecS兩網安全管理系統V7.0是圣博潤公司的一個里程碑式的、戰略性的產品版本，該版本通過系統架構的優化調整和用戶需求的持續跟蹤，使得產品性能顯著提升、產品功能進一步豐富。借助LanSecS兩網安全管理系統v7.0的發布，圣博潤公司更加明確地宣告了其專注于內網安全管理領域的決心。LanSecS明網安全管理系統可為用戶解決如下一系列的內網安全管理問題：確保入網終端符合要求全面監測終端健康狀況保證終端信息安全可控動態監測內網安全態勢快速定位解決終端故障規范企業員工網絡行為統一內網用戶身

47、份管理杜絕移動存儲介質濫用提高和實現軟件正版化在為用戶提供終端安全保護手段的同時，LanSecS兩網安全管理系統更加強調為用戶提供便利的終端運維管理手段。集中式、人性化的終端管理能力是LanSecS兩網安全管理系統的特色之一，也是圣博潤公司一直以來的努力方向。產品架構管理界面總控中心監控引孽制蠟，犀勢t*IS串訪同中間杵管理層服務層數據展執行層核心層系犍武自管理犁不武55竹理認證配匕管理牙,產：方山1：%圖1LanSecS網安生管理系統關構終端監控引擎終端監控引擎以服務的形式運行于終端計算機上，是終端計算機管理的核心和基礎部件，用于對被管理終端計算機的安全加固、運行維護和監測審計等管理職能。終

48、端監控引擎可以部署在所有Windows系列操作系統上，包括Windows2000、WindowsXRWindowsServer2003、WindowsVista、WindowsServer2008、Windows7、windows8、windowsServer2012。終端監控引擎的設計充分考慮了穩定性、安全性和兼容性要求。終端監控引擎可防止惡意停止，并全面兼容防病毒軟件、防火墻軟件、設計開發軟件、業務軟件、辦公軟件。總控中心總控中心用于計算機的集中管理， 為終端監控引擎和管理控制臺提供一系列的管理服務。由注冊管理服務、認證管理服務、策略管理服務、審計管理服務、補丁/軟件分發服務等組成。視內網

49、規模和性能要求，這些服務可分別部署在不同的硬件平臺上，也可部署在同一個硬件平臺上。策略管理服務：負責終端計算機策略的配置和更新。審計管理服務：負責接收終端監控引擎發送的審計信息與事件報警，并存儲到數據庫中。接入認證服務：負責對接入內網的終端計算機身份和健康狀況進行認證。文件備份服務：提供集中的文件備份。文件備份服務支持用戶身份認證。補丁分發服務：提供補丁文件和軟件的下載服務，支持FTP和HTTP兩種方式。時間同步服務：為終端計算機提供統一的標準時間服務，便于終端計算機的時間管理。網絡管理服務：提供網絡拓撲掃描服務，可繪制網絡的鏈路層拓撲。分級管理服務：提供分級部署環境下的分級管理。事件訂閱服務

50、：接受報警監控程序事件訂閱，根據訂閱條件向報警監控程序發送符合要求的報警事件，可向多個報警監控程序同時提供服務。健康檢測服務：用于總控中心自身各服務的運行狀態監控。管理控制臺管理控制臺是系統管理人員提供系統管理入口。采用了B/S方式進行系統管理，通過管理控制臺可以完成系統管理的全部操作。系統數據庫系統數據庫用于存儲策略、信息和事件，全面支持目前主流數據庫，包括：SQLServerMySQLOracle、IBMDB2PostGreSQLGbasa總控中心與數據庫之間采用數據庫訪問中間件和網絡緩存技術實現高速數據訪問。通過數據庫訪問中間件和網絡緩存，可以大大降低數據庫的訪問壓力，提高數據的存儲和訪

51、問能力。終端監控引擎和總控中心之間采用ICE網絡通訊中間件進行相互通訊。通過SSL協議對冬HMHWtaalUwiIn通信過程進行認證和加密，增強組件間通信的安全性。三層管理結構大大提高了系統設計開發、安裝部署和運行維護的靈活性、便利性和擴展性。產品功能終端運維管理內網的可靠運行是業務系統可靠運行的保障。內網的可靠運行依賴于網絡設備、服務器和個人終端計算機的安全運行，任何一個環節出現故障，都可能對內網的可靠性產生不可估量的沖擊。內網中主要設備是終端計算機，終端計算機的安全運行與管理對整個內網安全有至關重要的作用。系統對終端計算機的管理采取了兩種不同的安全措施：系統運行管理和系統監測。系統運行管理

52、方面主要包括補丁管理、主機資產管理、主機防病毒管理、系統日志管理、時間同步、消息分發及文件備份，通過系統運行管理確保終端主機以最安全的狀態運行，有效地減少病毒爆發和木馬泛濫帶來的內網安全隱患，減少終端計算機被入侵的可能性。系統監測方面主要包括主機性能、網絡流量、健康狀態、設備入網、時間同步與安全態勢分析等。通過系統檢測可以讓管理員及時了解整個網絡內終端主機的狀態，針對存在的安全隱患及時采取有效措施，更好地保證內網的可靠性。具體功能如下：表工運堆管理功靛列表模塊名稱功能描述設備入網監測提供對內網設備入網的實時發現、 狀態報告和01斷等功能.通過實時設品掃描可發現所有當前在統計算機.通過總控中心的

53、計里機注冊信總的同步.可區分合法設器和非法設備，對于非法設備.可采取入網阻斷措施.防病毒軟件管理可支持多種防病毒軟件檢直方式.梃供防病毒軟件信息收慶和狀態監測功能.信息收集包括防病毒軟件名稱.軟件版本.病毒庫版本等.網絡流量監測對終端濘律擾的網絡通訊流量的市訃.控制和統計.犍康監濯對終端計里機的健康狀況進行監濯+升為終端計算機用戶提供尹動評估計算機健康狀況的F段.文檔安全可支持將文件備份到指定的備份服務相和文件粉碎.時鐘同步以交裝tr時間服易的ii算機硬件時間為時間源.為內網絳端ii算機提供標準的口ternM時同服務性能監濯通過為CPU、內存、硬就設定闕值，實現對線培計算見的CPU、內存和磁盤

54、使用情況的動態監測.可進行連通件監控.實時監測主要系統的網格或網絡服務端口，保證系統正常運行.系統日志管理提供對終端計靠機本地日志收集.日志轉循、日志清理的功能遠程矯助提供終端計算機的遠程監控和遠程桌面接管的功能.僑產管理提供計算機資產自動收第、資產注冊登記、僑產變更管理、設備維修管理、資產直詢與統計等管理.補丁管理可以實現Winckws臺F的補丁審批、分發到補丁修旦狀態統計，管理、分發和自動安裝Win&ws系列操作系統補丁和微軟虛用程序補丁.消息分發提供對內網全都或者部分終端計算機的消息通捫功能.收件分發提供對內網全部或者部分多端汁箕機的軟件分發管理.由分發管理T以、文件下載瞳務器和

55、終端監控引擎等組件組成.終端安全加固終端主機的安全運行是整個網絡的基礎，而終端主機運行參數、運行策略的穩定又是終端主機安全運行的保障，系統的具體加固措施包括如下方面：表2終端安至加國功能列表模塊名稱功能描述終端安全圖置管理終端計算機的本地安全策略、 對本地系統環境進行安全設置管理， 從而實現主機運行安全策略的最優化,確保對終端主機的安全管終端防火墻系統內置防火墻是基于NDTS的桌面防火墻，對建嘴計算機的訪問目標進行限定，對終端計算機的網絡訪問進行控制。H有基于優先級的網絡訪問控制能力.提供網絡訪問審計能力、支持策略模板網絡接入認證系統提供“生動防護”和“動態監控”相結合的汁算機準入控制機制.可

56、通過內部DNS服務器（Rindow觀003，噸008）加殼和系統內河認證網關保證接入內網的主機合法,用戶身份可壹可控.網絡通訊認證通過設置IP篩選揩、篩選需操作、號份腸證方注、陡道設置、連接類型，紙現對內網中兩臺終端計更機之間的通訊進行管理移動存儲介質管理根據球動存儲介質的不同特點和使用要求將移動存儲介腦的?為五種管理模式;未授權移動存儲介質、加密移動存像介偵、多?區U斑、軍用安全U盤、特杈移動存儲介質。通過對介質的使用授權控制和文件操作審計保證數據完全,網絡參數配置對終揣計竟機的網絡相關簽較的配置和變更監控管理.包括與獨綁定、參數變更監控.ARP攻擊防擰與【P地址保護，H有支持名個網絡夢數的

57、統一配置管埋、支持多個同類參數的綁定、支持IP地址范圍控制等特點終端安全審計任何政府部門和企業單位，均擁有自己的機密信息。這些機密信息，如果沒有良好的技術防護手段，很容易發生侵害政府和企業利益的信息泄露事件。政府和企業面臨的信息泄露威脅有兩種：被動信息泄露和主動信息泄露。被動信息泄露：由于人員缺乏信息保密意識，常常由于專業知識不熟悉或者工作疏忽而造成泄密。如有些人由于不知道計算機的電磁波輻射會泄露秘密信息，計算機工作時未采取任何措施，因而給他人提供竊密的機會；有些人由于不知道計算機軟盤上的剩磁可以提取還原，將曾經存貯過秘密信息的軟盤交流出去，因而造成泄密；有些人因事離機時沒有及時關機，或者采取

58、屏幕保護加密措施，使各種輸入、輸出信息暴露在界面上；有些人對自己使用的計算機終端缺乏防護意識，如沒有及時升級病毒庫和更新系統補丁，導致病毒和木馬的入侵，在不知不覺中泄露了機密信息。主動信息泄露：這種情況是由于內部人員出于個人利益或者發泄不滿情緒，有意識的收集和竊取機密信息。由于電子信息文檔不像統文檔那樣直觀，極易被復制，且不會留下痕跡，所以竊取秘密也非常容易。電子計算機操作人員徇私枉法，受親友或朋友委托，通過計算機查詢有關案情，就可以向有關人員泄露案情。計算機操作人員被收買，泄露計算機系統軟件保密措施，口令或密鑰，就會使不法分子打入計算機網絡，竊取信息系統、數據庫內的重要秘密。對于政府部門和企

59、業來說，計算機終端作為信息處理的工具，在其上存儲、傳輸和處理的信息的安全性保護相當重要。任何一個環節的疏漏均可導致信息的丟失。因此，必須加強對信息的監控和審計管理。LanSecS兩網安全管理系統提供了設備輸出監控、違規外聯監控、共享監控、打印監控、文件監控、賬戶監控、進程監控、服務監控、軟件安裝監控、注冊表監控和網絡行為審計等一系列信息監控與審計功能，為政府和企業的信息保密與信息防護提供了有力的技術手段和工具。網絡準入控制系統提供了“主動防護”和“動態監控”相結合的計算機準入控制機制。“主動防護”是指：在計算機接入網絡之前，首先驗證其身份信息和安全狀態，以決定是否允許其接入網絡。這與以往的安全

60、思路“先接入網絡，再驗證其身份”相比，極大地提高了網絡的安全性。“動態監控”是指：當計算機通過驗證并接入網絡后，并非該計算機就可以在接入期間不受控制地訪問網絡資源。系統還會動態地對接入計算機的身份和安全狀態進行跟蹤和檢測，一旦發現身份信息和安全狀態有變，即刻對其重新隔離。主機健康檢查：對接入內網的計算機的安全狀況進行檢查。接入認證：對主機進行身份認證，系統支持用戶名/口令、PKI數字證書以及設備特征標識三種身份信息的認證方式。主機隔離與修復：根據策略將未通過認證的主機隔離到修復區/工作區/訪客區。主機狀態動態檢測：對接入網絡的計算機進行動態監測，監測的內容包括身份確認、安全狀態確認等。IP通訊控制：網內主機之間的通訊采用P