人民检察院内网安全建设解决方案V10.doc

《人民检察院内网安全建设解决方案V10.doc》由会员分享，可在线阅读，更多相关《人民检察院内网安全建设解决方案V10.doc（32页珍藏版）》请在咨信网上搜索。

XXX人民检察院内网安全解决方案 XXX 人民检察院计算机内网安全建设 解 决 方 案 V1.0 北京峰盛博远科技有限公司 2010-9-15 北京峰盛博远科技有限公司 目 录 一、项目背景 - 1 - 二、需求概述 - 1 - 2.1 安全风险分析 - 1 - 2.2 需求总结 - 2 - 2.3 实现目标 - 3 - 三、科盾解决方案 - 3 - 3.1 简述 - 3 - 3.2 解决方案 - 4 - 3.3 安全策略规划 - 10 - 3.4 系统架构 - 11 - 3.5 功能和特点 - 11 - 3.6 关键技术性能 - 12 - 3.7 系统安全性 - 12 - 4.1 运行环境要求 - 14 - 4.2 部署方式 - 14 - 4.3 项目预算 - 14 - 五、技术支持服务 - 15 - 5.1 系统实施服务 - 15 - 5.2 系统培训服务 - 15 - 5.3 系统售后服务 - 16 - 六、公司和团队介绍 - 16 - 6.1 公司介绍 - 16 - 6.2 技术力量及专业背景 - 17 - 6.3 技术咨询与服务优势 - 17 - 七、产品资质和案例 - 17 - 7.1科盾计算机内网安全平台资质 - 17 - 7.2 科盾计算机内网安全平台应用的部分案例： - 17 - 附录一 可选功能模块列表 - 19 - 附录二 防护情景分析 - 24 - 一、项目背景 XXX人民检察院目前已建成与下级市县检察院专网连接，内部办公网实现网络隔离。并实现了视频会议和计算机数据专线传输的功能。 网络建设的目的是为了应用，检察信息化的应用将从检察业务系统、视频会议系统以及电子邮件系统等方面展开。推行利用网络进行信息发布和电子文件信息传递，利用已建成的专线网和局域网，进行日常工作管理。召开电视电话会议，开展网上信息简报浏览、工作请示汇报和讨论修改文件等，把上网办公作为各级检察院转变工作作风和解除“文山会海”的重要手段，逐步减少纸张文件的印刷量和发放量，实现检察业务信息、内部公文的远程自动流转处理。 随着检察院内部数据信息的电子化不断深入，如何保证数据的使用安全、传输安全、存储安全就成为信息安全建设的重中之重了。这些数据信息在内部流通的过程中可能通过某个端点被泄露出去，无论是用户的有意行为，还是无意识的数据传输，都会给国家检察系统带来严重的后果，甚至是威胁国家的安全稳定。然而计算机传输数据途径是多方面的，如内部文件共享访问、U盘的随意使用、打印刻录等等，这些数据不断传输，另管理者防不胜防。可能出现了数据泄密，而我们却一无所知，即使知道，也无从追及是谁在使用这些数据，是谁传播出去的！因此XXX人民检察院急需通过技术手段解决目前数据共享、网络应用过程中的无保护状态。 北京峰盛博远科技有限公司正是根据XXX人民检察院在信息化、网络安全建设的需要提出的针对重要数据的保密性、完整性、可靠性要求，提出的计算机内网安全整体解决方案。主要解决数据从产生、保存、传输及销毁整个生命周期的安全问题，规范计算机内网用户对数据的使用权限、操作行为，为XXX人民检察院的计算机内网信息安全保驾护航。 二、需求概述 2.1 安全风险分析 XXX人民检察院目前办公计算机终端，统一通过专网接入检察系统。下级市县均通过专网接入州检察院，实现计算机内网数据共享。计算机内网与互联网隔离，禁止未通过授权访问外网，禁止外部计算机未经授权接入计算机内网。根据目前的网络现状分析，存在以下几方面的安全风险，均会给检察系统的数据安全带来威胁。 安全风险一：非法外联。检察院计算机内网虽然没有互联网接口，但用户仍可以通过无线网卡、拨号、3G网卡连接外网，从而绕过检察院系统边界的防护。将计算机中的数据暴露后，来自互联网的黑客攻击、木马病毒等会轻意取走检察院的机密数据。 安全风险二：非法接入。检察院内部网接口提供了系统扩展的需要，如果外部移动计算机未经授权进入检察院通过网线连接，简单填上IP地址就可以访问检察院系统的内部资源，而这是不被允许的。 安全风险三：身份认证。内部计算机的使用对用户不透明，管理者不知道是谁在什么时间、什么地方操作机密数据，数据泄密无法追查责任人；WINDOWS采用弱密码认证，存在人员越权访问其他人员计算机的风险。 安全风险四：文件共享安全。检察院内部文件共享的使用，数据库的开放性，内部人员只要猜得用户名及密码就可以随意下载重要文件了。这无疑加大了数据流动泄密的风险。 安全风险五：打印安全。通过本地或网络打印机对重要文件的打印。 安全风险六：移动介质使用。作为信息的载体，移动存储介质具有的灵活性、便捷性使它迅速得到普及，越来越多的敏感信息、秘密数据和档案资料被存贮在无保护的移动存储介质里。无疑给单位内部的涉密和敏感信息资源带来了相当大的安全隐患。 安全风险七：安全域控制。XXX检察系统是由各个下级市县检察院小型局域网统一通过专线接入XXX检察院，从而形成巨大的局域网环境，各种终端设备互连互通。这就存在一点故障，影响全网的隐患。如ARP病毒可能导致全网不能正常工作。 2.2 需求总结 根据以上对XXX人民检察院计算机内网安全风险的分析，总结需求功能如下，同时由于计算机数量的不断增多，也给计算机内网资产的统计、软件的安装带来了不便，利用计算机内网安全系统可以实现资产的自动统计，软件的自动分发。 1）非法外联控制。实现检察系统专网用户未经授权无法通过任何方式（拨号、3G）访问互联网，杜绝互联网带来的风险； 2）非法接入控制。实现禁止外部计算机在未经授权的情况下接入计算机内网，并对于接入行为进行记录，保证有据可查，防止内部重要数据通过移动计算机泄露； 3）身份认证管理。保证进入计算机内网进行操作的人员可信，系统统一分配帐户，指定对计算机的操作权限，进入计算机内网的操作行为进行详细记录； 4）共享文件管理。实现企业内部共享文件的安全访问，只允许数据在内部指定用户间进行流通，防止恶意修改、删除等； 5）移动介质管理。实现内部U盘、移动硬盘等存储设备进行注册认证，防止在外网使用，禁止外部U盘进入计算机内网，不影响非存储设备（USB键盘、鼠标等）的正常使用； 6）将检察院计算机内网计算机按照不同职能进行通信隔离，防止数据的随意传输、病毒的扩散； 7）软件应用管理。对计算机内网用户软件使用行为进行监控，防止用户随意在上班时间使用炒股软件、游戏软件等，通过黑白名单形式只允许工作需要的应用程序； 8）资产管理。实现对检察院计算机内网计算机硬件资产进行自动上报，并实时监控变动行为，硬件资产的变更自动报警。对于终端计算机使用的软件信息进行监控，防止用户自行安装有风险的软件，以及将系统重要客户端进行卸载（如杀毒软件客户端）； 9）软件分发。实现自动分发软件到目标终端主机，通过设置实现强制默认安装； 10）日志管理。管理员可以在本地实时查看网络日志，即时处理存在的风险。 2.3 实现目标 保障计算机内网信息系统能够高效、可靠、安全地持续工作，保障计算机内网信息系统数据在产生、处理、存储、传输及销毁整个生命周期中的可用性、可控性、完整性和保密性： l 对计算机内网信息系统，非法主机“进不来” 对不符合计算机内网安全规则的主机将被强行禁止其接入计算机内网，并且及时报警，实现非法主机“进不来”计算机内网系统。 l 对秘密信息，非法用户“拿不走” 防止对企业重要文件越权操作、非法访问文件和一切移动存储设备的非法文件拷贝实现非法用户“拿不走”有效信息； l 非法用户作案后“跑不了” 通过严密审计跟踪受控资源的使用情况，实现了非法用户只要作案，一定“跑不了”， 便于追查责任事故； l 移动存储设备“不怕丢” 对所有移动存储设备的存储操作进行透明加、解密，数据以密文的方式存储，实现了移动存储设备如移动硬盘、U盘等“不怕丢”。 三、科盾解决方案 3.1 简述 根据以上对XXX检察院计算机内网安全建设需求的总结，提出使用“科盾计算机内网安全平台” 解决检察院计算机内网存在的风险。并在保证正常的业务运营的同时，最大限度减少数据泄密、网络受攻击等带来的损失。科盾计算机内网安全平台对计算机内网主机进行隐蔽植入客户端，支持实时监控、上网报告、违规行为分析统计等多种策略操作，监视网络用户对重要文件的操作、互联网的使用。它能在出现可能的安全问题之前发现并切断违规网络连接，并于第一时间通知管理员。 采用C/S（客户/服务器）结构，使用一台服务器作为监控端，其他主机安装受控端。大部分常用的网络拓扑结构均可安装本产品，支持多网段环境。客户端采用强制安装，阻止没有安装客户端主机进入网络。用户可以访问WEB服务器下载客户端并安装，安装成功后方可访问网络资源。 3.2 解决方案 通过部署科盾计算机内网安全平台，可信认证授权管理子系统、可信桌面安全管理子系统、可信移动介质管理子系统、可信分域管理子系统实现对XXX人民检察院计算机内网的安全防护。 3.2.1 可信认证授权管理子系统 Ø 用户（计算机）管理 基于终端用户的管理。终端用户在进入Windows操作系统之前，都必须输入安全管理中心统一分配的平台用户名和密码到科盾服务器进行认证，如果认证成功，则允许进入操作系统，否则，则拒绝进入操作系统。同时，可以绑定USB-key实现身份认证。并支持与CA、指纹等认证系统联动。 注：解决了风险三的问题。 Ø 非法接入控制 主要目的是防止将外部主机接入到计算机内网中从而带来安全隐患。对于这种外部接入行为，本系统提供了两种控制措施：接入预警和禁止接入。 （1）接入预警。对接入的非法主机进行预警，安全管理员可以根据预警信息找到外部接入的主机，并且采取相应的安全措施。 （2）禁止接入。对接入的非法主机采取隔离措施，使其网络设备不能正常工作，从而无法成功接入到内部网络中。 注：解决了风险二的问题。 Ø 非法外联管理 对于用户访问互联网权限进行有效控制，禁止计算机未经授权访问互联网。包括禁止目前存在访问互联网技术，如拨号、3G等形式。对于非法外联的主机进行日志记录，方便管理员追查原因。管理员可以灵活设置终端计算机对互联网的使用权限。 注：解决了风险一的问题。 图3-1 认证授权管理效果图 3.2.2 可信桌面安全管理子系统 Ø 远程监控和桌面管理 （1）屏幕监控。实时监视终端用户的计算机屏幕状态，并提供了远程控制开关选项，支持从科盾控制台对终端用户进行远程协助，远程解决系统问题。提供抓屏功能，为终端用户的操作行为保留现场。 （2）终端共享文件管理。能够实时查看终端用户文件共享情况，能够远程删除非法的共享文件夹，对文档共享情况进行控制。 Ø 外部设备管理 通过终端用户外设管理功能，系统能够充分保护网络中终端主机的安全性，保证数据不被恶意的盗窃，防止外接设备随意连接到计算机，保证秘密信息不被窃取。 （1）端口控制。提供对串口并口、1394、红外、蓝牙、PCMCIA、SCSI控制器、调制解调器等端口的控制。 （2）存储设备。提供对USB存储设备（包括U盘、移动硬盘等存储设备，不包括USB鼠标等非存储设备）、光驱、软驱以及磁带机的控制。 （3）打印设备。本系统控制的打印机设备包括本地打印机、网络打印机和虚拟打印机。控制策略包括禁止使用打印操作和允许使用打印操作。在允许打印操作的情况下，对打印文件进行缓存副本记录。 注：解决了风险五的问题。 （4）设备属性控制。对网络适配器属性、设备管理器及任务管理器等进行控制。 Ø 进程行为控制 通过设置进程的签名白名单、签名黑名单方式来对进程行为进行控制。控制方式为通过验证应用程序的MD5值确定程序的合法性，防止用户通过修改进程名方式绕过防护。 （1）进程签名白名单控制。用户只能运行管理员进行签名认可的程序，其它程序全部禁止使用，有效防止用户使用与工作无关的程序。这是最严格地用户进程控制方式，也是最安全的进程控制方式，即使用户更改了应用程序名也无法运行。 （2）进程签名黑名单控制。用户不能运行黑名单中出现的程序，其它程序可以运行。 （3）进程分时段控制。为了控制方式更加灵活，本系统提供了对进程的分时段控制机制。 （4）日志记录。对终端用户运行的程序进行日志记录，包括操作者、运行时间、运行的进程名称等信息。 Ø 文件安全管理 文件安全管理功能提供共享文件访问控制、文件访问日志记录、移动存储设备透明加解密、文件保险柜以及文件安全锁等功能。 （1）共享文件访问控制。在禁止访问其他主机共享文件的策略下，终端主机将不能访问任何主机的共享文件；在禁止其他主机访问终端主机的策略下，任何主机都不能访问该终端主机的共享文件。 （2）文件访问日志记录。对访问本地文件和访问其他主机共享文件的操作进行日志记录。记录的操作日志包括文件的新建、打开、删除、重命名以及修改等操作。 （3）文件保险柜。用户通过文件保险柜设置向导设置属于自己的安全目录，一个用户可以拥有多个安全目录。 注：解决了风险四的问题。 Ø 资产管理 终端资产管理功能包括硬件资产管理和软件资产管理两部分，并且提供强大的统计功能。 （1）硬件资产管理。本系统在用户登入后，记录下终端的所有硬件安装信息。实时检测终端发生变动的硬件信息，并且提供对照信息方便管理员进行浏览对比。 （2）软件资产管理。本系统在用户登入后，记录下终端的所有软件安装信息并且进行日志记录。检测终端发生变动的软件信息，并且记录日志。 （3）资产统计。提供丰富的统计工具，管理员能够方便地了解计算机内网中的所有资产情况。 Ø 软件（补丁）分发 对于一个大中规模的内部网络，在安装软件或补丁时要求管理员逐台主机进行安装，那将会导致工作效率非常低。软件（补丁）分发功能提供了有效的方式来分发和安装软件和补丁程序，大大提高了管理员的工作效率。该功能提供了三种软件分发模式：文件传输、执行软件和安装软件。 （1）文件传输。如果设定文件传输模式，那么管理员选定的文件将被传输到终端主机的指定目录。 （2）执行软件。如果设定软件执行模式，那么管理员选定的软件将被传输到终端主机的指定目录，并且开始执行，可以设置软件以强制方式静默安装（软件本身需支持静默安装）。 （3）安装软件。如果设定安装软件模式，那么管理员选定的软件将被传输到终端主机的指定目录，并且开始进行安装。如果终端用户强行退出安装，重新启动后又将提示终端用户进行安装，直到终端用户成功安装了该软件。 本系统提供了对分发结果进行查询统计；即时终止、编辑软件分发任务；能够针对指定的操作系统进行软件分发；针对特定的计算机分组范围进行软件 图3-2 桌面安全管理效果图 3.2.3 可信移动存储设备管理子系统 实现对移动存储介质安全、有效地管理是保证内部敏感信息安全的重要手段。科盾可信移动存储设备管理子系统通过对XXX人民检察院内部移动存储介质进行注册认证、权限管理、访问控制、数据保护等多种手段，防止因介质的使用造成的信息泄密。并通过对计算机内网移动介质统一管理，记录移动存储介质的使用情况，做到内部移动介质的可控可管。主要功能如下： 1) 支持各种类型的移动存储介质，包括U盘、移动硬盘和外挂IDE硬盘等具有存储功能设备。 2) 提供对移动存储介质的注册管理功能，没有经过管理员注册的移动存储介质，不能在单位内部计算机上使用。移动存储介质要获得使用权，必须经过管理员注册，并赋予相应的权限。管理员还可以取消对移动存储介质的注册，收回对该移动存储介质的特殊授权。 3) 根据管理需要，管理员可以将特定的移动存储介质注册授权给特定的用户/用户组和特定的计算机/计算机组，从而实现灵活的细粒度的权限管理。 4) 对移动存储介质的权限可分为禁用、只读、安全读写和正常读写四种。所有写入移动存储介质的数据都会被自动加密，用户在读取文件时，数据能够被自动解密。 5) 提供详细的审计记录，包括注册信息、使用信息和文件操作信息，记录要素包括使用人、使用计算机、使用时间和动作等，并提供丰富的审计报告。 注：解决了风险六的问题 图3-3 移动介质管理效果图 3.2.4 可信网络分域管理系统 为了加强对国家信息系统的保密管理，确保信息安全，国家明确提出了涉密信息系统的建设使用单位必须根据分级保护管理办法和有关标准，对信息系统分等级实施保护。 （1）内部网络和外网应相互隔离，包括网络设备和移动存储介质在内不应相互连接，不允许将存有涉密数据和信息的存储介质在非涉密网计算机上使用； （2）内部网络根据信息系统保密等级的不同，要进行逻辑隔离，分域分级管理，实行分等级保护； （3）两个不同的计算机网络，即使具有相同等级的安全级别，没有管理员特别批准，也不能互联互通； 可信网络分域管理系统可解决两个企业网络安全建设的难题，第一，企业内部实现内、外网隔离。第二，计算机等级划分与保护。将网络中的计算机按照管理需求划分成多个虚拟安全域，所有的计算机内网主机按照职能和级别不同被划入不同的“安全域”中进行管理，隔离外来的计算机，防止内部主机非法连接互联网，实现内部网络的分域分级管理。同一个安全域内的计算机可以相互访问，非同一个安全域的计算机则不能相互访问，只有在获得管理员授权的情况下才能建立信任关系，实现网络连接。 通过IP包重构技术，使得非法外联的连接不能和外部计算机进行正常的网络通信，只在指定计算机内网范围内的计算机和服务器之间才能够通信，有效切断一切非法外联行为；有效阻断非法接入行为，包括交换设备接入和直连线对等网接入，外来的计算机都不能跟计算机内网的计算机进行正常的网络通信。部署效果如下图所示。 注：解决了风险七的问题。 图3-4 分域管理效果图 3.2.4 可信网络监控子系统 Ø IP（MAC）管理 对终端主机的IP地址、MAC地址进行管理是保证网络正常运行的有效方式之一。终端主机随意修改IP地址和MAC地址可能会导致网络混乱，也可能是出于伪造他人身份进行非法操作的意图。同时，ARP攻击是目前最常见的局域网攻击，其直接会导致局域网瘫痪。本系统提供了两种关于IP（MAC）管理的措施：IP地址和MAC绑定以及ARP病毒免疫。管理员可以通过管控中心远程编辑用户IP，可以将网络IP及MAC地址对应情况以表格形式导出。 （1）IP地址和MAC绑定。自动将终端主机的IP地址和MAC地址注册到科盾服务器。如果终端主机试图改变IP地址或MAC地址，本系统提供了两种控制方式：自动恢复和禁止网络。 （2）ARP病毒免疫。该功能能够有效地杜绝ARP病毒攻击，一旦内部网络中出现了ARP攻击，首先会攻击行为进行预警，然后将ARP攻击所导致的MAC地址混乱的现象进行清理，通过将其设置为静态MAC地址从而避免了ARP攻击所带来的影响。 Ø 即时消息 即时消息功能为终端用户和管理员提供了一个交流通道，方便他们及时进行沟通。终端用户可以向管理员发送消息，该消息会显示在管理控制台的预警平台上，管理员可以及时进行处理。管理员可以针对某一个特定用户、一个特定的组或者是整个网络发送管理员公告。 注：IP规划安全管理的需要，建议配置。 3.3 安全策略规划 计算机内网安全策略是单位实现计算机内网安全管理的基础，计算机内网安全策略是单位网络信息系统安全建设的指导原则、配置规则和检查依据。计算机内网安全系统的建设主要依据单位网络信息系统统一的内部安全策略。 （1） 主机资源审计与保护策略 主机资源审计策略是对主机资源进行收集、并实现统一管理的内部安全策略，它指导如何准确、便捷的收集单位计算机内网内所有主机的相关信息，同时指导我们根据不同主机的资源现状制定不同的保护手段和管理制度。 （2） 在线信息保护策略 在线信息保护策略是指根据单位的实际情况，并结合相关的法规政策、单位制度，对单位内部暴露在网络上面的重要信息进行保护的内部安全策略，它指导单位如何定义重要主机、区分不同主机的重要程度、并根据不同主机的重要程度制定不同的保护方案和访问控制规则，同时也保证了我们单位的内部网络资源得到最大化的合理应用。 （3） 离线信息保护策略 离线信息保护策略是指根据单位的实际情况，并结合相关的法规政策、单位制度，对单位内部可以通过可以离线方式（包括笔记本、移动存储设备、打印设备等等）传递的重要信息进行保护的内部安全策略，它指导单位如在定义了重要信息以及信息的密级后，同时可以有效的将各种离线的信息传递设备（方式）进行统一的规划和控制。 3.4 系统架构 在XXX人民检察院计算机内网系统应用中，可以采用以下部署方式：系统由四部分组成（1）服务器。存储控制台设置的各种策略数据；收集客户端模块采集的数据，并将其保存到数据库中。（2）控制台。是系统的管理中心，对客户端设置监控策略；定时监控客户端和服务器的运行状况等。（3）客户端。实现及时接收控制台策略并执行，定时将采集的数据传送到服务器等。（4）科盾认证网关。实时发现网络内的非法主机，并WEB页面提示安装客户端，阻止非法主机接入网络。部署效果图如下所示： 图3-5：科盾计算机内网安全平台部署效果图 3.5 功能和特点 􀂗 对计算机内网段的机器进行跟踪定位、探定机器的运行状态。 􀂗 自动发现网络中机器私自以拨号等方式接入 Internet。 􀂗 自动检测计算机内网所有机器名称、IP 地址、MAC 地址等相关信息。 􀂗 对机器进行逻辑分组管理。 􀂗 具有完善日志记录及查询功能。 􀂗 自动记录私自上网机器的名称、IP 地址、所属分组，负责人、电话及连接时 间等信息。 􀂗 支持多种日志组合查询。 􀂗 客户端强制安装，防删除及恶意卸载。 3.6 关键技术性能 （1）. 采用基于IP 路由原理的数据包转发技术 本系统的技术核心，通过对网络路由的研究，我们已经能够很好地利用数据包 的转发原理，完成对主机行为的监测。 （2）. 系统监测效率和系统消耗 系统设计在解决监视效率和监视消耗问题时注意到：数据量的大小和探测的时间间隔是系统性能的两大重要因素。通过不断的技术革新从这两个方面来控制对网络流量的影响，经实网环境严格测试，将带宽占用降到最低。 （3）. 稳定性 本系统广泛应用在各行业大、中型企业，多年的实施应用过程中已确立了具有了良好的稳定性，可以适应复杂的网络结构及不确定的网络环境。软件的基本特征就是稳定性，作为安全管理工作更是如此，所有的不稳定性都对管理工作带来不可低估的后果。 （4）. 可扩展和可持续升级性 安全管理需求肯定是不断变化和发展的，客户端程序按照需要进行扩展和升级。同时也减小重复植入的管理成本。 3.7 系统安全性 功能菜单 功能 管理作用 系统安全性 核心文件保护：软件自身的核心文件在内核驱动层进行保护 使用户不可见、不可删除，而且无法通过搜索进行访问。 注册表：采用注册表驱动对关键注册表键值进行保护 用户无法删除和修改。 进程：采用心跳监控技术对核心进程进行保护 用户无法恶意终止。 完整性检测：对与系统完整性相关的文件和配置信息进行扫描分析 发现被篡改后自动回复，保证系统完整性。 运行安全性 具有详细的系统登录以及各种操作日志记录。 系统的安全性是保障。 客户端和服务器之间的通信经过必要的加密措施。 安全平台具有管理员帐号管理功能，并支持控制台分级、分组、分权限管理。 安全平台提供对自身关键进程、文件以及注册表等多方位的保护，防止非授权卸载。 提供及时和定时两种方式的数据备份机制。 兼容性 通过大范围网络部署实践考验，与各类应用系统、杀毒软件等兼容良好。 良好的兼容性是保障系统稳定运行的基础。 高性能 具有快速的客户机并发轮询机制。 为系统的高效、稳定的运行提供强力支持。 高性能的数据压缩和数据传输，降低数据的大小及数据传输的时间。 客户端占用CPU资源平均：< 1%，峰值：<3%；占用内存资源平均：< 15MB，峰值：< 20MB。 四、系统部署 4.1 运行环境要求 序号 软件名称 安装环境建议（硬件和系统软件） 1 科盾计算机内网安全V2.0服务端 双核 2.0GHz主频 2G内存 250GB SATA硬盘 操作系统：windows 2000 server /windows server 2003 2 科盾安全管理中心 P4 2.4GHz Intel英特尔(R)处理器 1G 内存 空余硬盘> 10G 软件要：MS Windows 2000 Server或MS Windows 2000 Professional或windows XP或MS Windows 2003 3 科盾客户端代理 PIII 1.6GHz Intel英特尔(R)处理器 512M内存 空余硬盘>100M 软件要求：MS Windows 2000 Professional或windows XP或MS Windows 2003 4.2 部署方式 针对XXX人民检察院的网络结构和行政管理需求,我们建议采用州、县两级分级部署。分级部署包括：一级服务器及管控，二级服务器及管控，客户端。（如图1-1） 图1-1 一级服务器：系统数据汇总中心。与信息数据库通信，接受所有二级服务器传来的数据汇总信息，并存入数据库中，接受来自一级管控的命令操作，发送到二级服务器。 一级管控：内网中二级服务器及管控的管理中心。控制二级服务器的日志上报，以及二级管控管理员的授权，并且可远程操作二级管控。 二级服务器：系统数据处理中心。与信息数据库通信，接受所有客户端传来的所有信息进行处理，并存入数据库中；接受来自二级管控台的命令操作，发送到客户端。 二级管控：内网中客户端的管理中心。实现对安全策略的编辑、下发以及对客户端的监控；对内网中客户端机器操作进行审计，并且集成了对客户端的安装工具。 客户端：内网管理终端。根据控制台的策略管理客户端机器，提供被控制端监控的服务。 序号 软件名称 类型 功能实现 数量 1 科盾内网安全V2.0服务端（一级服务器） 软件 系统的核心部件，管理二级科盾内网安全服务器，存储用户信息、计算机信息、策略信息、权限配置以及审计记录； 1 2 科盾安全管理中心（一级服务器） 软件 系统控制台用于管理员管理、策略下发、部署、终端用户管理等 1 2 科盾内网安全V2.0服务端（二级服务器） 软件 系统的核心部件，存储用户信息、计算机信息、策略信息、权限配置以及审计记录； 19 2 科盾安全管理中心（二级服务器） 软件 系统控制台用于管理员管理、策略下发、部署、终端用户管理等 19 3 科盾客户端代理 软件 实现及时接收控制台策略并执行，定时将采集的数据传送到服务器等 州县两级所有内网计算机 4.3 项目预算 类型 名称 型号/版本 数量 单价 金额（元） 备注 软件 服务器端 （一级服务器） V2.0 1 管控中心 （一级服务器） V2.0 1 服务器端 （二级服务器） V2.0 19 管控中心 （二级服务器） V2.0 19 客户端 V2.0 软件费用 安装调试费用 软件费用*10%= 项目总价 服务及维护升级 一年免费升级 五、技术支持服务 首先感谢您对我公司的信任和支持，为了让您得到更好的售后服务，同时维护您的权益，我公司将为客户提供下述专业技术服务。 5.1 系统实施服务 在系统实施服务期间，我们将与客户一起工作，保证该系统可满足客户最适合的功能需求，以及充分和完整地展示平台系统有关的技术和产品特性。 系统实施服务主要包括如下工作： Ø 了解业务：对客户的业务流程进行了解和分析。 Ø 了解需求：对客户的业务需求进行了解和分析。 Ø 了解数据：对客户的相关信息数据进行了解和分析。 系统规划与部署：根据客户的应用系统需求，规划系统，包括网络规划、服务器规划、平台接口等，然后进行相应的部署。 综合测试：对系统进行综合的功能测试和系统测试。 我们在系统实施服务期间，也为客户提供顾问服务。我们将尽可能地将有关的理论、技术、知识、方法和经验与客户人员交流。客户人员通过和本单位人员一起工作，可以逐渐掌握平台系统的使用与管理。 5.2 系统培训服务 人员培训是系统投产前一个很重要且不可忽略的环节，我们将会在平台系统部署的期间按照客户的要求安排各种培训，以保证平台系统顺利为客户提供服务。 5.3 系统售后服务 （1）售后服务的时间 我们承诺对科盾计算机内网安全平台系统进行终身维护，其中在系统交付使用开始一年的时间为免费维护期，之后的维护按签订的后期维护合同进行收费。 （2）售后服务的内容 我们有专业的客户服务中心与技术支持部作为售后服务的坚强后盾。主要有： Ø 按客户请求，对系统提供阶段性的检查和维护。 Ø 对新的版本，补丁提供安装服务。 Ø 日常使用的技术支持，客户可采用电话，邮件，EMAIL，网上等方式向技术支持部门寻求支持。 Ø 若出现重大事故，由专业人员为客户提供指导性恢复。 Ø 对软件的错误，24小时内提供临时处理方法，2周内提供新的版本或补丁。 Ø 若对平台系统进行较大的功能的增加或变更，需由双方充分协商后再确定。 （2）售后服务的方式 如果您在安装和使用科盾计算机内网安全平台系统时，遇到了问题请及时联系我公司，我们将尽全力和你们一起解决问题，最大限度地保护客户的权益。 Ø 电话支持：5×8 电话支持 （028）85193029 Ø 现场支持：用户请求的现场支持将在1工作日内到达现场为客户排除问题。 Ø 顾问服务：针对用户实际环境，提供顾问服务，并进行模拟实验。 （3）软件系统升级保证 软件版本升级后，以电话和电子邮件的方式通知客户，客户可通过网上下载新的版本或补丁。 客户文档更新后，客户可通过网上下载或电子邮件的方式获得最新的客户文档。 六、公司和团队介绍 6.1 公司介绍 科盾公司是峰盛集团旗下的高科技公司。是一家集科研、生产、经营于一体的高科技产业公司，主要从事网络安全产品的研究、开发和生产，为全国的行业用户提供网络安全应用的信息安全产品、安全解决方案以及全方位的专业技术服务。科盾公司是国内“整体计算机内网安全”思想的首倡者和解决方案提供者，总部设在北京，在成都、长沙、上海、西安等地设有分支机构和近100家合作伙伴。作为一个专业的网络安全和信息安全产品研发、生产和销售单位，科盾公司致力于网络和数据安全产品的开发，解决国家政府、军队和企业面临的信息安全问题，尤其是政府、军队和企业的计算机内网安全管理、信息保密和数字知识产权保护问题。 6.2 技术力量及专业背景 拥有信息安全研究领域的博士和硕士研发人员占90%的研发团队。公司依托国防科技大学的技术力量，在研发上时刻跟踪国外网络安全的最新技术，掌握着国内外信息安全技术的发展趋势。 6.3 技术咨询与服务优势 科盾网络安全实验室（Forsun Security Lab）自主研发了以科盾计算机内网安全平台为核心的企业计算机内网安全软件产品系列，功能覆盖身份认证、桌面加固、端口管理、远程管控、文件安全等领域。为用户提供计算机内网安全管理解决方案及完备的方案实施服务。 七、产品资质和案例 7.1科盾计算机内网安全平台资质 u 软件著作权登记证书（编号：2006SR13389） u 公安部销售许可证书（编号：XKC35821） u 公安部测试报告书（报告编号：公计检060308） u 国家科技型中小企业技术创新基金项目支持证书（立项代码：07C262143011727） u 国家保密局涉密信息系统产品检测证书 u 解放军信息安全产品检测证书 7.2 科盾计算机内网安全平台应用的部分案例： 序号 用户单位 行业性质 1 中央某信息中心 政府机关 2 海关总署 3 天津海关 4 教育部考试中心 5 云南省党政综合网 6 黑龙江省委机要网 7 广西省委机要网 8 甘肃省委机要网 9 安徽省委机要网 10 贵州省委机要网 11 广东省政法系统计算机内网 12 司法部某监狱 司法系统 13 二炮某研究院 军工单位 军工单位 14 航天时代电子集团公司 15 中国工程物理研究院 16 国防科技大学某国家重点实验室 17 中国航天科工集团 18 中国船舶集团 19 中国农业银行 金融行业 20 中国建设银行 21 陕西省人民银行 22 四川省成都市规划设计研究院 设计行业 23 重庆市规划局 24 中国联通长沙分公司 通信行业 25 湖南省妇幼保健院 医疗系统 26 长沙市中心医院 27 湖南省航天医院 28 衡阳南华第一附属医院 29 衡阳妇幼保健院 30 郴州第一人民医院 31 北京市住房贷款担保中心 事业单位 32 湖南省轻工盐业集团 集团公司 33 长丰集团 34 上海电器 35 轻工盐业 附录一 可选功能模块列表 科盾计算机内网安全平台科盾 5.3 平台子系统 功能模块 功能点 功能介绍 A 可信网络基础平台 A1 服务器多级管理 服务器多级管理 对跨区域的大型单位进行分层、分级部署，满足多个管理员在不同地点分别对不同分组的计算机进行管理的需求。 A2 客户端实时预警管理 客户端实时预警管理 可按某台、某组或整个网络设置的报警规则，实现对违规行为的及时发现，提高了网络行为规范管理的响应能力。 A3 综合报表分析管理 详细日志审计 能够方便地定制查询本系统产生的所有日志，可以灵活地设置查询条件，包括：用户信息、日志等级、日志产生时间、日志内容等。支持组合查询、模糊匹配查询等技术。 综合报表分析 管理员可通过强大的非法事件报表分析与查询功能及时准确定位问题，综合报表分析系统的事件关联分析功能和灵活全面的查询报表功能，大大提升了管理员的工作率效，也是预测安全发展态势的指南。 B 可信网络认证授权系统 B1 计算机用户集中管理 令牌用户集中管理 每个需要使用计算机的用户都发放一个代表数字身份的硬件USB令牌，在打开计算机登录操作系统之前，需要将该令牌插入计算机USB端口；系统客户端代理会自动启动跟系统服务器的认证过程，通过令牌的信息跟服务器进行交互认证，认证通过后，服务器告知客户端代理开始运行，用户才能登录进入Windows操作系统。 口令用户集中管理 每个需要使用计算机的用户都分配一个唯一的用户名和口令；系统客户端代理会自动启动跟系统服务器的认证过程，通过用户名和口令的信息跟服务器进行交互认证，认证通过后，服务器告知客户端代理开始运行，用户才能登录进入Windows操作系统。 B2 计算机登录授权管理 计算机登录权限控制 管理员可以设定某个用户能够使用哪些计算机，也可以设定某台计算机只允许被指定的一个或者多个用户使用。没有授权的用户，在使用自己令牌登录计算机的时候，不能通过认证，不能进入该计算机的操作系统使用。 计算机登录信息审计 记录用户登录计算机的信息，包括登录时间、登录用户名、登