第一篇:浅析内网安全系统的建设
浅析内网安全系统的建设
周云
The Research of in-Network Security System’s
Construction
ZHOU Yun
(The Communication Management Center of Chengdu Military
Region)
【摘 要】伴随着计算机和网络的迅猛发展和广泛应用,作为包含着网络设备与信息系统的内网环境,其安全问题也日益突出,本文在分析内网安全隐患的基础上,探讨了内网安全系统建设中需要重点考虑的几方面内容,并对内网安全体系的结构及相关安全技术进行了讨论。关键词:内网安全系统 安全体系
随着网络技术的发展和网上各种应用的不断丰富,网络安全问题日益成为人们关注的焦点。人们在网络安全部署策略中更多地注重网络边界的安全,如将内外网物理隔离、采用防火墙、入侵检测系统等,但据统计超过50%的网络及信息安全问题源于内部人员所为,其次才是外部黑客的攻击。由于内网是一个由网络设备与信息系统组成的复杂环境,连接便捷、应用系统多、重要数据多是其显著特点,如果疏于对内网的安全防范,那么就极易出现应用系统被非法使用、数据被窃取和被破坏等情况,因此注重内网安全系统建设、有效防范源自内部的安全问题,其意义较之于外网安全防范更为重大。内网的安全分析
随着政务、商务、金融等活动的电子化、网络化程度不断提高,内网的建设规模上也不断扩大,当前在内网中网络及信息安全方面呈现出的主要特点是:(1)网内设备种类繁多,包括各类网络设备、操作系统、服务器、安全保密设备等,且每种设备均有其独特的安全状况和保密功能;(2)访问方式多样化,网络环境中存在多种进出方式,较多的拔号登录点以及新的Internet访问方式都会使安全策略的设立复杂化;(3)技术发展变化迅速,不断有新的设备、操作系统和应用系统在启用, 安全配置的实施也在不断变化;(4)用户安全专业知识缺乏,多数用户所拥有的网络及信息安全防范专业知识十分有限,不能及时发现、处理存在的安全漏洞。
内网面临的安全威胁主要来自以下几个方面:一是合法用户的威胁,指拥有合法授权的用户因在系统管理方面的错误或疏忽造成系统破坏的可能性,如滥用授权、错误操作、操作行为抵赖等;二是非法用户的威胁,指非授权用户或低权限用户越权对系统造成破坏的可能性,如内部员工的越权访问、内部攻击者的恶意入侵、数据的窃听和破坏、恶意代码的破坏、物理破坏等;三是系统组件的威胁,指信息系统的硬件或软件发生意外故障的可能性,如系统设备意外故障、通讯中断、软件意外失效等;四是物理环境的威胁,指由于环境因素造成系统破坏的可能性,如电源中断、自然灾难等。内网安全系统建设的主要内容
基于内网的构成、管理及使用特点,在内网安全系统的建设中应着重考虑安全评估、信息管理、用户管理、安全审计四个方面内容。
2.1 安全评估
安全评估是依据安全管理方针和保证程度要求,综合考虑组织特性、地理位置、资产和技术等因素,充分利用各类信息(如威胁信息、脆弱性信息和影响信息等)对网络及信息系统的安全状况给予评价,确定由安全问题带来的风险程度,并选择适宜的控制目标和控制方式。
安全评估的内容可包括:网络基本情况分析、信息系统基本安全状况调查、信息系统安全组织和政策情况分析、网络安全技术措施使用情况分析、安全设备布控及内部业务安全状况分析、动态安全管理状况分析、链路和数据及应用加密情况分析、网络系统访问控制状况分析、渗透测试等。
安全评估是实施内网安全系统建设的基础,在评估过程中可以深刻理解内网安全管理的目标、全面掌握内网安全现状、及时发现各类安全隐患。
2.2 信息管理
内网的信息管理是在综合平衡信息机密性和可用性这两个因素的基础上,对网内的信息及其流经设备进行归类,明确它们的安全要求,并采取适当的技术手段和管理措施,到达信息安全的目标。
信息的重要程度信赖于信息流程,由于信息流程的不同,与信息流相关的用户对象、设备的重要性也不同,例如公司内部的信息流可以分为“总经理—部门经理”、“部门经理—职员”、“职员—职员”等方式,每种方式中涉及的信息内容、共享程度、处理过程、硬件设备都有所区别。基于信息流的分析方法,可将信息划分为关键、重要、次要和一般等多个等级,信息等级的定义及相应的安全要求可综合考虑信息价值的关键性、损失或破坏后造成影响的程度以及影响产生后的可接受程度等因素。
信息管理是内网安全管理的核心内容,所有安全保密手段和管理措施都是围
绕着信息的安全展开的,同时应意识到信息管理不仅是针对信息本身,还涉及到信息的流动环节,它是一个动态管理的概念。
2.3 用户管理
内网中的硬件设备、操作系统和应用系统等面向的用户主要分为管理者和使用者两大类,各种权限的设置成为用户管理的主要内容。若从可信度的角度去观察用户管理,则可以看到,用户及权限的设置正是用户可信程度高低的体现,用户所拥有的管理或使用权限越高,则其被信任的程度也越高,反之亦然。用户可信度在用户管理中是有层次关系的,用户可信度越高则所处的可信层次越高。
在通常的用户管理概念中,一个用户能够同时被赋予多种角色,行使多种权力,且这种授权方式在实现上一般仅有管理约束而无技术约束,由此产生的后果则是破坏了用户可信度的层次关系,给安全管理带来了隐患。以用户可信度为基础,用户管理首要考虑的问题就是如何有效地保证用户可信度的层次关系不被破坏。例如,一个用户只能处于一个可信层次中;由可信管理机制统一对用户实施可信度管理;用户在可信管理机制下完成其在可信层次中有条件的转换等。
内网用户管理是合理、有效、安全地使用网内设备及信息系统的基础,实施用户管理除了从行政(或业务)管理角度考虑外,应更多地发挥技术管理机制作用,尽量避免因主观因素和管理疏忽带来的安全问题。
2.4 安全审计
安全审计的范畴涵盖安全方针、安全组织、资产分类与控制、人员安全、物理和环境安全、通信和操作管理、访问控制、系统开发与维护等内容,此处所说的安全审计则特指在网络及信息系统中对安全事件进行收集、检测、统计、分析、评估和控制的过程。
安全审计信息的来源主要为各种日志记录,如运行日志、告警日志、安全认证日志、操作日志等。安全审计信息可按照用户、时间、地址、数据、程序、设备、告警级别等分类标准进行统计、分析。安全审计的评估过程是在对已发现的安全事件进行统计、分析的基础上,确定已经或可能造成的影响程度,并提出解决方案。安全审计的控制过程则是通过采取规范、法律、监察、管理、技术等措施达到减小安全事件影响后果的目的。
安全系统的建设不是各种安全产品的堆砌,也不是一次性安全策略配置就能完成的,而是一项长期性且需要不断完善的工作,安全审计正是这项长期工作的主要内容,是内网安全系统发挥作用的有效保证。内网安全体系结构及安全技术
内网安全体系结构是一种多层次结构,每层都涉及到相应的安全内容和技术手段。以目前的网络应用和安全管理现状,安全体系建设主要考虑物理、系统、网络、应用和管理这五个层次的安全。
3.1物理层安全
物理层安全指物理环境的安全性,主要考虑机房建设、环境安全、物理安全控制等内容,采用的技术手段包括:机房屏蔽、电磁干扰、防雷系统、门禁系统、机房集中监控等。
3.2系统层安全
系统层安全指操作系统的安全性,其安全问题来自网络内使用的各种操作系统。系统层安全问题主要表现在操作系统本身不安全和操作系统安全配置有问题这两个方面。系统层采用的安全技术有:漏洞扫描、入侵检测、安全日志、防病毒技术等。
3.3网络层安全
网络层安全指网络的安全性,其主要体现在网络设备及信息的安全性,可采用的安全技术包括:身份鉴别和认证,网络资源访问控制,数据传输加密和完整性保护,远程接入控制,网络层加密,网络安全扫描,网络陷阱技术,路由控制技术、包过滤技术等。
3.4应用层安全
应用层安全指网内应用的安全性,考查的是网内应用软件和业务数据的安全,网内应用软件包括:数据库软件、Web服务、电子邮件系统、文件传输系统、专用业务系统等。应用层安全技术有:网关防病毒技术、应用层安全扫描、应用层安全代理、应用层加密、应用层信息过滤技术等。
3.5管理层安全
管理层安全指管理的安全性,包括安全技术和设备的管理、安全管理制度、部门与人员的组织规则等。管理的制度化程度极大地影响着整个网络信息系统的安全,严格的安全管理制度、明确的部门安全职责划分、合理的人员角色定义都可以在很大程度上降低其它层次的安全漏洞。结束语
随着人们社会活动对信息网络依赖程度的不断增强,内网中数据交换、信息交流和业务处理等活动越来越频繁,内网安全问题也更加突出地摆在人们面前。安全系统建设涉及到的方面很多,本文仅从内网安全问题分析、安全系统建设重点内容以及安全体系结构等方面出发,为内网安全系统的建设梳理出一条思路。
第二篇:内网安全管理系统软件技术要求
附件二
内网安全管理系统软件招标技术要求
一、产品总体要求
1、公司的资质:公司成立10年以上,具有自主研发能力,有成熟稳定的研发队伍的软件行业企业。
2、产品资质要求:必须是自主研发,稳定销售8年以上;拥有自主知识产权,通过公安部检测,获得公安部销售许可证,至少拥有以下资质证明: 公安部《计算机信息系统安全专用产品销售许可证》; 国家版权局颁发的《计算机软件著作权登记证书》; 国家版权局颁发的《计算机软件产品登记证书》;ISO9000质量管理体系认证。
3、产品实施简单,可操作性强,实施后必须保证网络稳定畅通,系统正常运行,不影响正常开展工作。
4、*至少有五家500点客户的安装实施经验。
5、有丰富的行业客户服务经验,能提供后续技术支持和维护更新等服务。
二、技术规范要求
2.1 系统要求
▲客户端操作系统支持包括:Windows98/Me/NT/2000/XP/2003/Vista/Win7/2008,必须同时支持32位及64位系统。
▲所有监控功能都能按计算机和用户两种模式实现。
▲必须支持瘦客户机、终端服务器、无盘工作站等的使用模式。
*监控系统的部署必须支持多种安装方式,包括web安装、域脚本安装、远程安装以及域组策略安装等。
*必须提供分布式服务器管理功能,并且需要支持跨区域部署管理。*必须隐藏客户端进程。
*支持与AD域的结合,可与域组织架构实时同步。管理端必须支持C/S架构登录。
客户端在离线情况下,控制及日志记录功能依然生效。
附件二
2.2 功能要求
2.2.1 基本功能
能获取计算机的基本信息,包括计算机名称,网络地址,操作系统,登录用户,当前状态等信息,以及计算机多用户登录信息的查看。
▲支持增加管理员账户并对账户权限可实现细化,如管理范围、功能权限。同时可对非系统管理员的账户可禁用、删除以及修改密码,方便权限回收。
*必须具备管理员以及审计员账户,且相互独立,并且能够提供记录管理员操作的审计平台,包括管理员登陆系统,查看日志,对内网计算机的控制等等。
*支持对各终端所设置策略的总览以及对策略的应用查询方便管理员掌握终端的策略情况,同时具有对策略的导入导出功能及复制功能。*支持邮件报警功能,可以将违规行为详细记录为日志形式并通过邮件发送至指定邮箱。*支持设定自动关机功能,提供在指定时间关机、注销及重启的功能
支持按工作时间段进行策略设置,灵活管理。
支持远程对计算机进行键盘鼠标操作锁定、关闭、重启、注销和发送通知信息等。支持对3g上网卡拨号的日志记录。
2.2.2 基本控制功能(包括基本模块及设备管控模块)
能控制计算机对本机系统设置的操作权限,包括以下多项属性,并且各项可以单独控制: *IP/MAC绑定:修改网络IP/MAC配置
控制面板:控制面板、设置屏幕属性、添加打印机、删除打印机、快速切换用户。计算机管理:设备管理器、使用磁盘管理、本地用户和组、系统服务管理、其它计算机管理。
系统:任务管理器、注册表编辑器、命令提示符、运行注册表中Run下的程序、运行注册表中Run Once下的程序
网络:修改网络属性、显示网上邻居、修改Internet选项、默认网络共享、使用网络共享、增加网络共享
其它:使用print screen键复制屏幕、系统还原、Windows自动更新
▲可以控制内网计算机对常用设备的使用权限,支持对刻录机可读不可写的控制
存储设备包括:软驱,光驱,刻录机,磁带机,可移动设备(U盘,移动硬盘,记忆棒,智能卡,MO,Zip)、便携设备(智能手机)等;支持对上面各项的单独控制。
通讯设备包括:串口、并口、USB 控制器和连接器(HUB)、SCSI接口、1394控制器红外线、PCMICA卡、蓝牙设备、MODEM、直接电缆连接、拔号连接等;支持对上面各项的单独控制。
网络接入设备:包括无线网卡,pnp网卡,虚拟网卡等;并且可以对它们单独控制。其它:声音设备,虚拟光驱,任何新设备等的使用。
▲支持USB设备的细分控制,即以下每项可单独控制,支持3G上网卡的控制。USB设备:USB 键盘、USB 鼠标、USB Modem(3G上网卡)、USB 映像设备、USB CDROM、USB 存储、USB 硬盘、USB 网卡、USB其他USB设备;支持对上面各项的单
附件二
独控制。
*支持禁止增加非系统硬盘。
*支持对Iphone等便携式设备的控制 *支持对任何其他外设的控制
*支持对无线网络的连接控制,限制禁止连接的无线网络。
对计算机的硬件变化,设备的插入拔出,存储设备变化,通讯设备变化,软件变化,系统服务变化,启动项变化,系统时钟变化,计算机名称变化,网络配置变化等能提供报警信息并作为日志记录。
2.2.3 移动存储控制
支持对内网计算机控制其对指定移动存储设备的读写权限。支持自动收集客户端上使用过的移动存储信息,并可以自定义添加备注信息。同时支持移动存储分类库,允许对移动存储进行自定义分类,按类库进行管理。支持可按照对移动存储的描述进行控制。
支持所有通过USB接口方式连接计算机的存储设备。
支持在指定计算机上使用制定移动存储设备时,自动对复制/移动的文件进行加解密控制,加密后的文档只允许在具有自动解密权限的客户端计算机处才能打开,否则打开为乱码。
支持将指定移动存储格式化成加密盘,只能在内部装了客户端的计算机处正常使用,非客户端计算机无法使用。
能够记录内网计算机使用移动存储设备的情况;包括操作时间,操作类型(插入/拔出),计算机、用户、移动存储类型等。
2.2.4应用程序管控
支持通过禁止应用程序分类或禁止应用程序名称、应用程序窗口标题的形式来禁止计算机使用非法程序。
针对应用程序更改名称或路径的情况,所做的控制必须依然生效。能自动收集客户端计算机运行过的应用程序,并支持分类管理。
支持记录所有应用程序的启动/关闭、窗口的切换标题动作;并可以按时间范围,计算机范围,应用程序名称,应用程序路径、窗口标题这几种查询条件查询。
支持通过自定义的时间范围,对单个工作人员,部门,或整个网络的计算机的应用程序使用情况进行统计;
统计结果必须有列表和图表两种显示方式;
统计方式必须包括是:按应用程序类别统计、按应用程序名称统计、分项统计(统计各组计算机的应用程序使用),按明细统计等。
2.2.5远程维护
支持远程查看网络内的客户端计算机当前运行的应用程序,进程,性能,设备管理,系统服务,磁盘管理,共享文件夹,计划任务,用户和组等。同时支持对应用程序,进程,附件二
设备管理,系统服务,共享文件夹,计划任务的控制。支持对客户端的远程控制。
支持远程文档传输,提供客户端与控制台相互传送文件的功能。必须支持经过客户端允许或密码设定才能远程控制。支持远程卸载客户端计算机上软件功能
2.2.6屏幕监控
▲屏幕历史记录的数据量:平均一帧数据量少于▲支持对指定应用程序运行过程的屏幕记录。▲支持对应用程序的变频记录。
25K 支持通过控制台实时查看员工当前工作的计算机桌面,并可将当前屏幕保存为图像,支持对终端用户登录的屏幕分屏查看。支持同时对多屏进行监视。支持扩展显示器的监视。
能记录计算机当天的屏幕历史画面,并可以按指定的计算机查看指定日期范围内的屏幕历史记录,以播放器的方式播放某一天的屏幕历史,并可将当前播放的屏幕历史另存为视频文件。
2.2.7资产管理
支持对客户端计算机的硬件和软件资产信息的统计,并支持按分组或计算机统计硬件和软件的分布情况,同时支持设置自定义查询条件。
支持自定义添加企业内的非软硬件资产信息,并支持设置自定义查询条件。
支持实时查看客户端计算机补丁情况,并允许对补丁进行修补,同时不需要另外搭建wsus服务器。
支持自动扫描计算机的系统漏洞并提供解决漏洞问题的建议。支持通过控制台集中向客户端自动分发安装程序并自动安装,或分发各种文件到指定的目录下,以及分发其它执行程序到目标计算机的功能。支持对硬件资产添加自定义信息描述。
三、可靠性要求
数据库的存储能力及维护,为节省数据库维护成本以及防止因部分数据库损坏而影响所有数据,需要对日志数据采用按天存储的功能。每天产生独立的数据库,数据库出错无法修复也只影响受损数据库所保存的当天数据。
当操作系统处于正常模式和安全模式下都能正常监控。
要求监控系统有一定的自我保护能力,不会轻易遭到破坏,并且不能自行卸载,必须通过授权才能卸载。
每个服务器支持超过3000个终端在线管理。
系统进行局域网发现时节点占用带宽不超过20Kbps。
附件二
系统进行文件分发、文件传送等操作时占用带宽不超过200Kbps。系统在局域网环境内进行一遍节点轮询占用带宽数不超过20Kbps。附注:三年免费质保,三年免费服务。产品支持570个工作站。
第三篇:内网边界管理系统
网络边界安全
一、网络边界背景
早期的网络只是为了使分布在不同区域的人们资源共享和通信而建立的。网络发展到今天,全世界的计算机联成了网络。而网络安全也随之而来。信息泄密、外来攻击、病毒木马等等,越来越多的网络安全问题让网络管理者难以应对,而如将内网与外网完全隔开,就会形成信息的“孤岛”,业务无法互通,资源又重复建设,并且随着信息化的深入,在各种网络上信息共享需求也日益强烈。
二、网络边界防护手段
不同安全级别的网络相连,就产生了网络边界。一般来说,防止来自网络外界的入侵,就需要在网络边界上建立可靠的安全防御措施。
从防火墙技术的到多重安全网关技术,再到不同时连接两个网络的网闸技术,都是采用的关卡方式,“检查”的技术各有不同,但对黑客的最新攻击技术都不太好用,也没有监控的手段,对付“人”的攻击行为来说,只有人才是最好的对手。
三、现有边界防护技术的缺陷
面对各种各样包含新技术的攻击手段,现有的防护产品以及其附带的防护技术是否能实现预定功能。现有的安全管理员还不能对这些防护产品性能足够了解,就谈不上正确使用,把产品功能发挥出来。
再说网络边界防护是一个长期需要大投入的工程,一般的主管安全的领导及安全管理员根本不清楚遭受攻击的一些细节,安全管理员根本不知道该怎么防,往哪里防。
购买最新的安全防护产品,或是花大量的时间、资金培养几个资深的安全管理员,且不说两者能不能配合,能不能防住,使边界安全防护达到预期的目标,单单投入方面也不是现有的企业目前所能够承受的。
根据我国现阶段现状,政府和企业不可能在网络安全方面大量投入,而有限的资金又不能投入到最需要的地方去,造成大量的资金浪费。该防的没建设,目前不用防的反而建设了。
对于公开的攻击,只有防护一条路,比如对付DDOS的攻击;但对于入侵的行为,其关键是对入侵的识别,识别出来后阻断它是容易的,但怎样区分正常的业务申请与入侵者的行为是边界防护的重点与难点。
四、符合中国特色的边界管理
面对上述种种问题,现有边界防护技术和产品远远不能满足我国机构和企业的需要。那么我们必须转变思想,找出路!
既然我们现阶段有资金,人员及技术各方面的限制,不可能把网络边界打造成“钢墙铁壁”。没钱修“城墙”,守卫又不合格,那么只能多装摄像头,对所有的边界监控起来,达到不留“死角”的程度。一旦发现有攻击、入侵行为马上报警,马上处置,然后针对被攻击或入侵的薄弱地点,修一段“城墙”,重点防御。较低的投入,把现阶段安全问题管起来,最后达到一个可控可管,齐抓共管的局面。
网络边界安全问题主要可以分为两个方面,一个是由于外网接入到内网中,从而带来的网络安全问题,另一个是内网内部产生的网络安全问题。对于外网的接入,一般网络上都增加了防火墙、VPN路由器等来保证网络的安全,对于在内网出现的问题就没有设备来保证网络的安全问题了。浙江远望电子有限公司的内网边界检查系统出现就解决这个问题,从内部网络开始检查,查找相关的问题,找到问题的源头,进行预警,预警提示后在进行技术或人工手段来阻断相关的问题。远望内网边界检查系统也可以对外网的接入进行监测,通过预警把相应的情况报告给管理员,由管理员进行手动直接断开外来接入或通过网络上技术的手段进行网络断开。并且远望内网边界检查系统可以实现多级级联,逐级对网络进行安全管理。
五、远望内网边界检查管理系统
远望内网边界检查管理系统,通过对内网边界安全监测和管理,防止外来计算机、网络等通过非法手段接入内网,防止因内网边界问题而导致信息泄密,病毒木马入侵,带宽资源因没有注册的设备增加而被严重胡乱占用。通过违规外联和线路边界的发现和监测技术,配置网络边界发现策略,全面发现网内的设备边界和线路边界的异常情况,实现对违规行为的阻断,确保内网的安全。
通过技术手段对网内的设备边界和线路边界的异常情况进行实时扫描、自动检测,及时发现线路边界问题,把相关信息反映到管理员控制页面上。同时在规定时间内对通过非法接入内网等边界问题进行阻断。
平台通过边界注册建立合法边界白名单,并依靠技术手段自动实现网络边界的检查,及时发现存在的非法网络边界,并对违规事件进行取证,方便查找相关责任人以及后续处理。同时支持对违规外联和非法网络边界点的自动预警,将发现的边界违规情况在安全管理平台上产生预警和通报,第一时间责令相关人员进行整改。
第四篇:内网建设
内网建设-国家林业局办公系统建设
国家林业局内网建设主要是指局机关内网办公系统的建设。国家林业局局机关内网办公系统是林业电子政务建设的重要组成部分,自2001年起开始运行。最初系统采用C/S结构,在Lotus Notes平台上开发完成。系统的建成和应用实现了网上信息查询,为局内的用户提供了信息共享的平台,为各司局发布信息提供了载体。经过几年的建设取得了一定的成绩,但与实际需求还有很大差距。从2006年开始,内网办公系统进行了全面的技术升级。目前注册人员达到800多人。
总体思路
根据我国林业发展战略的总体目标和要求,结合林业自身特点,以满足林业事业发展和林业管理的需要为宗旨,在现代信息技术的支持下,结合国家林业局现有网络环境及办公需求的具体情况,由国家林业局统一规划、组织和建设。
一、指导思想
国家林业局内网办公系统建设遵循“以需求为导向,以应用促发展,统一规划,循序渐进,统一标准,整合资源,系统、安全、可靠和可扩展”的指导思想。
以需求为导向,以应用促发展:有需求才有动力,有应用才能发展。系统的建设和应用以实用和实效为重点,在综合分析机关办公业务和领导科学决策的需求的基础上,有针对性地开展系统建设和应用开发工作,并通过系统应用的成果不断推进系统建设的深入发展。
统一规划,循序渐进:办公自动化系统建设和应用是一项涉及面广、技术和资金密集的系统工程,为确保系统发挥整体效益,由国家林业局统一规划指导,协调各个部门,分期开展系统的建设工作。在统一规划的基础上进行的系统建设,一边建设,一边应用。
统一标准,整合资源:统一标准,利用统一的网络建立办公平台,促进办公系统与各个业务系统和林业基础数据库的互联互通、资源共享,切实改善局机关的办公和信息资源环境,促进电子政务的建设。对数据进行有效整合和集成,达到资源共建共享的目的。
二、总体目标
国家林业局内网建设的总体目标是最终构建一个安全可靠、稳定高效、结构完整、功能齐全、技术先进的电子办公平台,实现机关内部公文、会议、信息、督查、内部事务管理等主要办公业务的数字化和网络化。实现公用文档管理的自动化,各类知识和信息的有序存储。实现信息集成,将数据中心、各种业务系统的数据集成到办公自动化系统中。提高办公效率、规范办公流程、提升政府机关形象、降低运行管理成本,全面实现机关办公信息化,促进我国林业又快又好地发展。
网站内容
国家林业局内网办公系统是整个国家林业局电子政务系统的基础平台,它与专网综合办公系统、林业数据库以及其它业务系统有机的结合在一起,构成国家林业局电子政务系统。内网办公自动化系统采用B/S结构,用户用浏览器登陆办公平台后,就可进行日常办公直接访问电子公文传输系统和林业数据库。在办公平台主页上分别排列着各个功能模块。员工通过内部的多功能的信息交换平台,将工作中传统方式的面对面、纸介质的信息交换方式转移到网络上来,使员工充分利用网络的先进技术工具,提高工作效率。
国家林业局内网办公系统主要包括信息服务、网上办公、综合互动、安全认证系统等四个部分。
一、信息服务版块
信息服务系统主要为系统内用户提供林业的基本情况、政务信息、政策法规等信息服务,用户依据权限进行输入、浏览、编辑和打印等操作。
(一)林业概况
林业概况包括林业基本情况、林业发展报告、国土绿化状况公报、林业大事记、林业工程公报等信息内容。
(二)领导专区
包括领导活动、领导讲话、领导文集等。领导活动用于发布局领导的活动安排,有权限的人员可为领导安排日程, 其它用户也可根据授权点击日程表查看该项安排具体内容(时间、地点、事件等)。领导讲话和领导文集发布领导的讲话以及出版的文集,方便用户的查询、学习。
(三)今日要闻
发布每日与林业相关的重要新闻和资讯。
(四)工作动态
发布各司局重要的工作汇编。
(五)信息简报
对林业情况通报、林业要情等政务信息进行有效的管理,可以方便的进行输入、修改、查询、打印等操作。
(六)政策法规
存储林业法律、法规、部门规章、制度以及其它的法律法规,可按多种方式方便的进行查询检索。
(七)规章制度
发布机关内部的规章制度、管理办法、工作指南等。
(八)电子政务
发布林业电子政务相关的政策、规划、重要事件等。
(九)机关建设
为机关党建工作提供一个信息发布、交流学习的场所,包括党员之家、反腐倡廉等栏目。
(十)生活资迅
为用户提供天气预报、交通资讯等信息。
二、网上办公版块
网上办公系统可以实现政府收发文、签报、催办、审批、会议管理、档案管理等办公程序的计算机网络化管理。
(一)最新文件
存储和发布最新的文件,用户可以依据权限进行查询。具体包括收文、发文、签报以及最新文件、中央文件等内容。
(二)公文流转
公文(文件、签报、函等)流转是办公系统的重要模块,主要用于实现公文的网上流转和管理,包括收发文管理、来文阅办、流程监控、公文归档、公文检索等。系统会根据办公的实际需要部署到不同应用者的办公平台之上。
为收发文件提供管理平台,实现通知、报告等各类正式公文的起草、签发(会签)、传输、签收、归档、查询的电子化,公文在流转时采用专用的版式文件,能保持版式的不可更改和一致性。能够进行批注、修改,支持痕迹保留、手写签名。真正做到方便、高效、安全、规范。
系统还能根据行文工作流程,设置收发文流程,并可监控流程执行情况。具有催办提示功能,当有新的工作项目到达,系统在相关人员的登录机器上给予提示。
(三)专网传输
可将内部流转的公文、简报等经过签发、盖章等程序后直接转入专网上的综合办公系统,实现远程传递。
(四)会议计划
1、会议申请。可以进行会议的申请,列表分页显示所有自己发出的会议申请,显示会议名称,审批状态,可添加,修改,取消会议。
2、会议审批。有权限的用户可以对会议申请、会议预算做审批。
3、会议通知。会议申请审批通过,系统自动将一份会议通知发到与会者的即时消息中;系统都将通知所有与会者;已通过的会议申请被取消,系统也将发出会议撤消通知。
4、会议室管理。可以对会议室安排进行协调和管理,可以查询选定的日期里会议室分配情况。
(五)会议材料
包括会议前会议名单、会议文件等材料的准备、会议后会议材料的分类存储等功能,用户可按权限对会议材料进行查询。
(六)会议落实
记录会议的落实情况,相关的文件、办法等。
(七)视频会议
实现桌面的视频会议,每个用户可以通过桌面的视频互相沟通交流。
(八)调查研究
存储各级林业主管部门调查研究工作制度,制定和落实调查研究工作计划,发布调查研究结果及报告。
(九)档案管理
国家林业局已经将建国以来的总计约350万页的档案数字化,为更有效的使用这一资源,在内网办公平台上开发档案管理系统,实现文件归档、档案查询、档案借阅管理的一体化。
(十)人事管理
人事管理包括人事变动、假期审批、考勤管理、培训发展等内容。
1、人事变动。从人员变动申请的提出到最后审批结束的一个人事变动流程。由流程管理工具来实现,具体审批人员和流程步骤由人事管理相关部门提出。
2、假期审批。从员工提出休假申请到最后审批结束的一个假期审批流程。同样由流程管理工具来实现,具体审批人员和流程步骤由人事管理部门提出。
3、考勤管理。以文件的方式记录每月或每周的考勤情况表,相关管理人员有修改和录入的权限, 其它人员只能查看。
4、培训发展。以公告栏的形式,显示培训计划及其详细内容。人事相关人员有权限进行录入和修改,其它人员只能查看,报名。
三、综合互动版块
(一)通知公告
通知公告栏目包括通知公告和公示公告两部分内容。能够迅速发布单位内部和各级部门内部的通知、活动安排等、快讯等信息,并能够追踪信息的浏览情况。用户依据权限浏览,可以带有附件,可自动发到成员的电子邮箱。
(二)司局专区
管理每个部门专有的办公所需资源。为机关的每个司局及直属单位建立专有的区域,提供信息发布、共享、交流的场所,可以存储本司局的公用文档,实现司内文件传递,发布通知等。
(三)信息报送
各用户通过此项功能向局信息管理部门保送本单位的信息。
(四)在线调查
针对某些问题进行专项调查,了解民意。
(五)建言献策
作为一个自由讨论区,可依据权限就某个问题在各级范围内展开讨论,提出建议,帮助形成单位的文化氛围。
(六)网上举报
为用户提供举报违法违纪现象的场所。
(七)数据库
国家林业局内网办公系统的建立,是以空间数据管理技术和文档数据管理技术为基础的。根据信息资源的适应范围和业务分类分别建立数据库,以便快速、准确和有效的提供数据服务。根据国家林业局的职能和业务流程建立业务资源数据库系统,该数据库系统是电子政务的基本信息源。业务资源数据库系统将分门别类地管理国家林业局各类业务管理部门所需的专题数据,提供专项数据服务;并在数据交换中心的支持下,集成各类业务信息,在技术上实现数据共享。
实现国家林业局内网办公系统与林业资源数据库的连接,能够为政府办公提供图形、图像、图表及多媒体数据。最大限度的将其他专题管理信息系统中的数据集成到办公系统中,实现在一个平台上的调用。实现内部办公系统中的的数据与外部网站数据的有机结合,系统内的数据经审批后可直接发布到外网的相应模块中。
(八)个人专区
构建个人办公区域,主要内容包括电子信箱、个人文档、个人通信录、日程安排等。
1、电子信箱。利用此系统局内的用户可以在内部网络或专网上收发电子邮件。
2、个人文档。个人的文档管理工具,不与他人共享,可分门别类的存储自己的文件。提供安全的服务器备份,可以实现异地操作。
3、个人通讯录。通讯录条目管理,可以按照姓名,公司,电话进行关键词查询。私人拥有,可与个人电子邮箱发信功能结合。
4、日程安排。用户可安排自己每天的日程,日程表可按一日、一周、一月等显示。日程表中某项时间可以生成定时器中的一条记录,同时具有任务单的任务分配功能,可根据任务的发派情况自动生成每个成员的公共日程表。
(九)视频点播
为用户提供视频信息,用户可以在网络上选择播放自己需要的视频文件。
(十)综合查询
在计算机网络和文档服务器支持下,建立办公业务文档综合查询系统,存储和管理林业各级政府部门及员工的办公文件、工作报告等文档数据,并对这些办公文档进行统一的管理。办公文档主要包括公文资料、项目文件、技术方案、林业标准、内部电话、专家信息等几类。用户可以根据权限对文件进行输入、查询等操作。
(十一)竞争上岗
为局机关竞争上岗工作提供服务,具体内容包括:政策规定、问题解答和公示公告等。
1、政策规定。公布竞争上岗的实施方案、报名表、工作安排等,便于内部职工查询。
2、问题解答。解答机关工作人员关于竞争上岗的问题
3、公示公告。公示竞争上岗的结果。
四、安全认证体系
可以提供完整的用户身份认证、授权管理,实现对整个系统的权限统一管理。可以随时动态调整组织结构、人员组成和资源权限,适应单位组织结构调整和功能需求的变化。
(一)部门及用户管理
有权限的管理人员可以自定义部门,包括建立部门、修改部门信息、删除部门等。组织结构采用标准树状网络结构。可以方便地管理每位用户,给他们分配部门、角色。并可以灵活地增加、修改、删除用户信息。
(二)身份认证
确定每个进入系统的用户身份的合法性,保证系统的安全。
(三)授权服务
可按照组织结构或人员设定各项通用办公资源的使用权限(读写删),分配角色,所有内容依权限显示,体现专门化和保密性;某用户可在不交付自己帐号密码的前提下,将自己所有资源权限交给其他用户代理,并可随时收回被代理的权限,并查看被代理期间代理人的操作记录。
(四)日志管理
日志记录系统每天发生的事情,可以检查错误发生的原因,或者受到攻击时攻击者留下的痕迹。能够进行审计和监测,实时的监测系统状态,监测和追踪侵入者。
网站技术
一、技术体系架构
电子政务的目标是提高效率,降低成本,缩短时间,这就需要存在一种简捷,快速的服务于机关员工之间。提供这些服务的应用软件必须同信息系统)相结合,并提供新的能向更为广阔的用户提供的服务。这些服务具备以下的特点:
1、功能强大。系统可以实现任何用户需求。
2、易用性。用户能够简单快捷地使用系统功能。
3、高效性。能够有效地利用系统资源。
4、易维护性。系统功能可以很容易地修改和改进。
5、可扩展性。能适应各种规模的用户需求。
6、柔性。可以适应环境的变化,降低风险。
7、安全性。保护用户的隐私和数据的安全。
8、可依赖性和可扩展性。保证操作的正确和迅捷。
通常这些服务是由分布的应用程序组成的,包括前端数据端和后端数据源以及它们之间的一层或几层,这些中间层提供了把功能和数据与EIS相结合的功能。这些中间层把客户端从复杂的业务逻辑中分离出来,利用成熟的INTERNET技术使用户在管理上所花费的时间最小化。合适的技术体系架构可以降低开发这种中间层服务的成本和复杂程度,因而使得服务可以被快速的展开。
软件体系结构的设计是整个软件开发过程中的关键点。对于应用系统软件来说,特别是一些较为复杂的软件系统,没有一个合适的体系结构而要有一个成功的软件几乎是不可想像的。不同类型的系统需要不同的结构体系,系统的设计往往很大程度取决于体系结构的选择。国家林业局内网办公系统采用基于B/S网络结构体系来开发。B/S结构将OA系统中的三要素(数据、功能、行为)分离,形成前端客户层,负责可移植的逻辑表达;中间的应用层,允许用户通过将其与设计应用隔离而共享和控制业务逻辑;后端的设计隔离和服务层,提供对专门数据服务的访问,处理客户端与数据库间的数据流。所有应用部分的应用服务可以通过WebService来访问。随着技术的发展,随着Internet应用逐步变得普及,许多应用程序将不再作为单机系统运行,而是会彼此通过互联网进行通信——互联网将不再仅仅是个人对个人通信(如,通过电子邮件)的介质,或者个人对应用程序通信(如下载信息)的介质,而且也是应用程序对应用程序通信的介质。此通信将通过消除人为干扰使工作流程更加有效,并将会通过采用一组基于互联网技术的分布式计算标准来完成,这些技术使得现有应用程序和新的应用程序可以在基于服务的体系结构中作为“WebService ”进行访问。这些标准涉及基于XML 的网络协议(SOAP——简单对象访问协议)、基于XML 的接口规范(WSDL——Web Service 描述语言)和服务注册表(UDDI——通用描述、发现与集成)。它们将需要发展以包含其它工具(如信息处理、事务处理、安全性、服务的合成或集合及其它)。
根据系统的总体设计,系统呈现三层结构,和其他系统之间的数据交换比较多。此外,在系统中的数据传递要求有严格的可靠性,必须保证数据传递的准确、及时。第三,由于应用程序采取B/S构造,在进行数据传输的过程中,必须考虑到数据的并发存取而对数据库、应用程序造成的压力。根据系统应用的需求,在该系统的构造过程中,应使用数据访问控制、数据服务、面向对象的事务处理、安全防范和管理等中间件产品,建设用以规范和集成各业务应用系统软硬件的中间件平台。通过采用中间件技术和产品,推动资源共享,互联互通。
二、安全认证和应用支撑平台
建立统一的安全认证和应用支撑平台,提供以人为本的应用整合服务,提供全程的协同办公服务。
用户在业务系统中拥有统一的身份,即方便用户使用又方便管理员管理。用户在使用业务时不必每次都要出示证件,以达到单点登录的目的。用户提交身份标识,通过身份验证之后,即可进入门户页面,所有该用户有权访问的应用系统都列在门户页面之中,点击即可进入。
对本部门内用户及业务系统提供权限注册服务,实现各类实体的联系人权限和网络及网络资源访问权限等进行统一管理,并根据上述权限进行鉴别授权。业务控制与应用整合体系基于标准体系框架,提供统一的应用系统申请、注册和发布服务,方便的实现对原有应用系统的整合;提供电子印章、电子签名等信任服务,实现信任服务的快速部署。
主要特点
国家林业局内网办公系统将内部办公系统、外网上的国家林业局网站、专网上运行的电子公文传输系统、正在建设中的森林资源数据库及其它业务系统有机地结合在一起。统一的办公平台使用户利用信息更加方便快捷,信息资源更加丰富,信息资源的利用率大大提高。系统的建设提高了办公效率、规范办公流程,达到推进林业领域的信息化进程,推动林业发展的目标。
一、统一的内网办公平台
在国家林业局统一规划指导下,协调各个部门,建立统一的电子政务平台,防止各自为政、重复建设和信息孤岛;建立统一的标准规范,整合现有的信息资源,最大限度的挖掘和利用可用信息,降低信息利用的成本,达到资源共建共享的目的;建立统一的、协调的、跨部门的业务流程,解决好共享与交互及安全问题。促进了办公系统与各个业务系统和林业基础数据库的互联互通、资源共享,切实改善局机关的办公和信息资源环境,促进电子政务的建设。
二、合力共建的管理体制
电子政务是政府改革的产物,必须有强有力的领导。建立一个高效的、有力度的管理组织和制度,才能确保内网建设的顺利进行。
为了更好地发挥各司局、各单位力量,明确各栏目的信息提供单位,建立责、权清楚的内网办公系统管理制度,合力共建,保证信息丰富更新及时,实现内网建设的持续发展。
三、以需求为导向与以应用促发展
以需求为导向,以应用促发展绝不是一句口号,有需求才有动力,有应用才能发展。只有真正按照需求建立的系统才是有生命力的系统。精确的需求和业务流分析能很好的解决了在办公系统中经常出现的与业务部门脱节,信息采集和供给渠道不畅通的问题。系统的建设和应用以实用和实效为重点,在综合分析机关办公业务和领导科学决策的需求的基础上,有针对性地开展系统建设和应用开发工作,并通过系统应用的成果不断推进系统建设的深入发展。
内网建设的重点同外网建设一样也逐步向为公众服务转移。应用逐渐由面向内部为主转向面向社会。内网建设将成为推动政府向服务型政府改革的重要工具。
内网办公系统建设的过程是曲折而坚决的。紧密围绕服务于管理、提高政府效率、改善监管的理念和目标,不断修正原体制中落后和不合理的部分,内网建设工作必将取得成功。
第五篇:内网安全管理系统7.0产品白皮书
产品白皮书
内网安全管理系统V7.0
产品白皮书
第1页
产品白皮书
目录
1.产品简介.......................................................................................................................................................1 2.产品构架.......................................................................................................................................................1 3.产品功能.......................................................................................................................................................2 4.产品特点.......................................................................................................................................................2 5.产品性能.......................................................................................................................................................3 6.产品部署.......................................................................................................................................................4
第2页
1.产品简介
内网安全管理系统是用于政府和企业终端安全管理系统。系统通过对计算机准入控制、计算机安全加固、计算机运行维护、计算机安全审计、移动存储介质注册等多个方面的综合管理,为政府和企业用户打造一个安全、可信、规范、健康的内网环境。内网安全管理系统可为用户解决如下一系列的内网安全管理问题:
确保入网终端符合要求 全面监测终端健康状况 保证终端信息安全可控 动态监测内网安全态势 快速定位解决终端故障 规范企业员工网络行为 统一内网用户身份管理 杜绝移动存储介质滥用 提高和实现软件正版化
2.产品构架
内网安全管理系统在架构设计上采用了三层管理结构:终端监控引擎、总控中心、管理控制台。
终端监控引擎以服务的形式运行于终端计算机上,是终端计算机管理的核心和基础部件,用于对被管理终端计算机的安全加固、运行维护和监测审计等管理职能。终端监控引擎的设计充分考虑了稳定性、安全性和兼容性要求。终端监控引擎可防止恶意停止,并全面兼容防病毒软件、防火墙软件、设计开发软件、业务软件、办公软件。
总控中心用于计算机的集中管理,为终端监控引擎和管理控制台提供一系列的管理服务。由策略管理服务、审计管理服务、Radius认证服务、文件备份服务、补丁与软件分发服务、时间同步服务、网络管理服务、分级管理服务、事件订阅服务、健康状态监测服务等组成。视内网规模和性能要求,这些服务可分别部署在不同的硬件平台上,也可部署在同一个硬件平台上。
管理控制台是系统管理人员提供系统管理入口。采用了B/S方式进行系统管理,通过管理控制台可以完成系统管理的全部操作。三层管理结构大大提高了系统设计开发、安装部署和运行维护的灵活性、便利性和扩展性。
图1 LanSecS®内网安全管理系统架构
3.产品功能
安全审计:提供内网主机安全事件的审计功能,包括文件操作、文档打印、共享访问、服务与进程活动、系统日志、系统账户监控等。提供终端计算机用户行为的监控与审计,包括信息泄密、资源滥用、即时通讯、邮件收发和网站访问等。
安全服务:通过预警平台、远程协助、软件及文件分发等功能实现远程桌面维护以及安全动态、桌面通知、信息发布。
安全加固:提供强大的补丁自动分发机制、病毒库自动下载机制、本地文件安全存储以及移动存储介质的认证与注册管理等功能,保证终端运行环境的安全可控,保障内网运行的可靠性。另外,还提供主机安全策略和IE安全策略的统一设置,加强主机的安全性。
资产管理:提供对内网资产和资源的集中管理能力,包括计算机、交换机、操作系统、软件、硬件,并对资产和资源的变更进行监控和预警。
准入控制:采用可信接入技术,对于接入内网的计算机进行严格的身份认证和健康检查,保证内网业务数据和系统环境的安全。
4.产品特点
完善的分级管理架构,“分散不分立”:通过分级管理,系统可实现跨地域分散部署和集中管理。“分散不分立”,形成有效的和有机的内网安全管理架构。
灵活的分权管理机制,“集中不集权”:系统提供了基于安全角色的授权管理机制,根据功能模块或行政机构的划分自定义安全角色,一种安全角色只能执行其所辖部门范围内的相应安全代理的安全策略和审计事件的管理。“集中不集权”,保证了管理的安全性。
多层次的安全措施,保证系统运行的安全可靠:系统从数据库、网络通讯、策略分发与存储等多个层面加强了安全保护,确保系统运行的安全可靠。
全方位的安全审计功能,有效地防止信息泄密:系统提供对所有输入/输出设备、文件系统、进程、服务、注册表、网络应用、用户身份、操作系统安全策略等进行综合的监控和审计,全方位的监控操作系统的运行状态以及用户的操作行为,实现涉密信息的全程审计与跟踪。
完善的基于数字证书的身份认证机制:系统内嵌身份认证服务,实现了与数字证书的完美结合,管理控制台、监控代理、总控中心以及所有系统管理用户和计算机终端用户均通过数字证书进行身份认证。
丰富、多样的统计报表功能:系统提供列表和统计图的报表输出,报表的输出支持HTML、EXCEL、PDF、RTF等四种格式。同时提供手动报表、自动报表等两种运行模式。
高度模块化设计,需求响应迅速:系统管理控制台、安全代理和总控中心均采用模块化设计,并提供用户设计、开发接口和示例,用户可以根据企业的安全需求定制采购,同时也可以根据需求的变化,在运行时动态改变其工作状态,提高系统的运行效率。
所有组件支持自动升级,系统维护方便、快捷:系统的主机代理及其功能模块均支持基于版本号的网络自动下载更新,只需要在总控中心一次部署即可以完成全网的自动升级。系统的维护和升级非常方便。
客户端监控代理安装部署方式灵活、多样: 内网安全管理系统客户端监控代理同时支持域模式安装、本地安装、网络分发安装以及WEB安装等多种安装部署方式,用户可以根据实际网络环境自由选择。
5.产品性能
内网安全管理系统主要性能指标如下:
总控中心最大并发连接数:3000;
总控中心最大可管理注册主机数量:20000台; 总控中心网络带宽占用:100K/1000客户端; 终端监控引擎CPU占用(静态模式):< 1%;
终端监控引擎内存占用(静态模式):8M。
6.产品部署
内网安全管理系统支持本地部署和分级部署,分级部署示意图如下:
图 2分级部署示意图