内网安全解决方案

第四章 系统应用部署和安全策略

4.1 系统部署

通过管理角色特别是管理端管理角色的变化，结合LanSecS内网安全管理系统应用数据服务器支持多级别、分布式部署的特性，在实际中，LanSecS内网安全管理系

统采用以下两种部署方式：集中式部署和分布式管理部署。

4.1.2 集中式部署

集中式部署面向小型网络。LanSecS内网安全管理系统按照企业网络结构，将网络划分为一个安全域，通过对每一个网络用户行为的监视和记录，并形成完整的日志。

集中部署

4.1.2 分布式管理部署

分布式部署面向复杂结构下的企业网络。

在这种部署应用模式下，LanSecS内网安全管理系统按照企业网络结构，可以将整个企业网络划分为一个以上的安全域；在某个安全域内，按照该安全域的类型，LanSecS内网安全管理系统可以将所有下级的安全数据信息集中到LanSecS安全管理核心系统。

分布式部署

1.

对于经常出差，策略是统一策略已下发到本机，所以还是可以保证数

据的安全的，同时操作日志会在联通网之后将日志上传这到服务，统一管理。

2.

根据XXX的实际情况，规划不同策略，为为同安全级别制定相应的安

全策略，并统一的来之不易所有网络网络。

4.2 安全策略

网络与信息安全=信息安全技术+信息安全管理体系

技术层面和管理层面的良好配合，是组织实现网络与信息安全系统的有效途径。其中，信息安全技术通过采用包括建设安全的主机系统和安全的网络系统，并配备适当的安全产品的方法来实现。在管理层面，则通过构架信息安全管理体系来实现。

应用开发提供功能，系统管理确保性能。离开了对于性能和可用性的保障，系统应用无从谈起。保证网络自身安全和业务安全，首先要有一个可靠的网络，其次就是要有强有力的网络管理和网络安全管理策略和手段。随着网络应用日趋

复杂，单凭网络管理员的学识和经验进行网络管理和安全管理，已经不能适应了。因此，我们必须借助一些工具和软件来管理网络，并构建信息安全管理体系。

4.2.1 安全技术

全网安全策略考虑如下：

XXXXXXXX虽说是一个独立的局域网,内部办公都是依靠此网进行完成，所以必须考虑该监控系统安装后对原有系统的影响。包括对原有系统稳定性、网络带宽资源、系统安全性的影响。

需要安装在原有系统上的模块是客户机端驻留引擎。该引擎我们做了测试，不会引起操作系统的不稳定，占用的系统CPU资源量很小，约2.5%以下，内存占用量也很小，1M以内。

监控系统其它模块不再和原有的系统直接联系，都是独立的。包括扫描发现引擎、设备智能探测发引擎。 ? 客户端引擎安全策略

客户端驻留引擎所完成的功能是整个监控系统要完成的核心功能，实现客户端监控审计的功能。如果该系统出现安全问题，主要的数据信息将失去意义。

客户引擎完成的主要功能是控制本机用户的使用权限，记录、上报本机用户的敏感操作和状态信息，这使用户产生抵触心理。即使加强管理工作，用户仍可能想方设法破坏引擎的正常工作，包括将其卸载、停止工作、删改记录、不正常运行等。所以，引擎必须保证自身安全可靠性。包括：

1）

驻留模块在本操作系统下具有不可发现、不可删除、不可停止、不可

篡改等特点,实现多层保护。

第一层保护是不可发现，如果可以发现，就会给人以破坏的机会； 第二层保护是不可删除，万一发现后，也是删除不掉的，我们通过底层技术加以保护；

第三层保护是不可停止，万一发现了该进程，通过一般的技术手段，包括系统提供的工具都停止不了它；

第四层保护是不可篡改，主要是针对该系统文件和日志记录，在非在线情况下，对用户的行为做日志非常重要，一旦连接在线，会将记录传送到数据库中。 2）

保证系统不可被病毒软件发现。有一些同类软件尽管采用了一些隐藏

技术，但是避免不了被防病毒软件发现。防病毒软件会将监控系统驻留引擎当成病毒处理，并对引擎隔离或删除。 3）

自动启动客户机驻留引擎。试图通过启动配置、注册分区表发现、修

改或禁止引擎启动都不可能。 4）

安全模式下引擎仍然正常发挥作用。

4.2.2 安全管理策略

对于XXXXXXXX，除安全外，采用监控系统后还必须考虑对部门局域网和广域网（指专网广域网）的其它影响影响。 ? 带宽的问题

在局域网内部，扫描引擎搜集大量的数据信息,上传审计信息，对违法客户端发起的阻断功能都有可能引起局域网带宽的瓶颈。实际上，扫描引擎搜集网络信息采用定时方式，除开机注册时需要上传单机多项信息外，定时扫描时传送很少量信息，而违法行为也不是大量出现，所以不会引起网络瓶颈。

管理控制台提供查询、配置、报警等功能，平时数据量都很小，只在数据查询时稍大，显然不会对网络带宽造成大的影响。

当然，随着逐步往中央集中，各地研究所数据传输量逐步增大。但是目前的带宽保证，总体都不会出现网络瓶颈。