1.前言

军工企业担负着国家绝密的武器生产任务，其网络中的数据必须处于高度的保密状态，在网络系统安全和数据安全方面需要特别加强。在网络系统安全方面要防止网络系统遭到没有授权的存取或破坏以及非法入侵；在数据安全方面要防止机要、敏感数据被窃取或非法复制、使用等。如何搭建安全的网络架构，将非法入侵者拒之门外，防止内部信息外泄，这些是军工企业在网络建设时必须解决的问题。

在军工企业网络当中存在着很多不当使用造成的安全隐患，例如：

l         内部用户非法拨号访问Internet的问题，电话拨号上网可以轻易地从涉密网络的内部网络撕开一条通向外部的秘密通道，绕过防火墙、基于网络的入侵检测系统的监控。由于在这种方式下没有任何的安全防护，可能对涉密局域网的安全构成极大的影响。

l         有时会有一些人员通过一些存储设备（如USB硬盘、软盘、光盘等）或是输出设备（如打印机等）将重要的信息资料带走。

l         内部用户随意将不安全的软件带到涉密网中运行，可能带来病毒或木马程序，另外，内部用户用涉密网中的计算机玩游戏和看电影，也影响正常的工作。

因此我们必须考虑这些信息的泄露问题，做好终端的防护。一些涉密单位的做法就是在工作站上不安装任何的存储设备，一旦需要的时候再进行安装，这样非常不方便。比较好的解决措施就是安装终端防护系统，保证重要信息的安全，防止内部人员泄密。

2.军工行业内网安全解决方案

2.1.安全区划分

为了对网络内部大量的、分散的主机进行有效的管理，就要进行安全区的划分。将大量的分散主机安置在不同的安全区，每个安全区只包括可管理数量的主机，使内部安全管理具有可操作性。

2.2.主机资源审计与保护

采用剑鱼网络安全监控审计系统收集内网所有主机的相关信息，指导管理人员根据不同主机的资源现状制定不同的保护手段和管理制度。主机系统计算机资源的审计和管理包括：操作系统信息管理；设备信息管理；用户和组信息管理；系统进程信息管理；系统窗口程序信息管理；已安装的Windows程序信息管理，以及已安装Windows程序的远程管理能力；网络连接状态信息管理；远程截屏能力等。

2.3.网络行为和数据传输监控

采用剑鱼网络安全监控审计系统通过IP地址监控、网络端口监控、网站访问监控、邮件监控、文件传输监控、拨号连接监控等技术手段，防止机密信息通过各种网络应用泄漏出去，以满足客户内部信息管理的需求。

2.4.存储设备访问复制监控

采用剑鱼网络安全监控审计系统通过对泄密途径的管理，最终实现存储设备防泄密管理需求，例如：移动硬盘、移动U盘、SCSI硬盘、软盘、光盘等。

2.5.漏洞扫描与补丁分发

通过漏洞检测发现网络中的安全隐患，从软件厂家获取系统修补程序，以便及时安装到相应的计算机设备上，提高系统防护能力。

2.6.管理和配置

有效的管理和配置内部安全系统是有效运营整个内部安全体系的重要前提，除了安全策略的管理，系统配置的管理，还有其他诸多的控制和管理，包括：安全策略配置和管理；多样化的安全策略优先级别；系统登录控制；远程安装、升级、卸载，不需要用户参与进一步的管理和设置；系统可用性、易用性保证。

3.剑鱼网络安全监控审计系统的部署与实施方案

剑鱼网络安全监控审计系统是一个解决信息泄密问题的有力工具。它能严格监控和记录企业内部各台计算机的使用情况，具有强大的屏幕快照、网络管理、实时跟踪、运行统计、历史归档，设备管理等功能。根据管理员事先的设定，自动截取工作站的屏幕快照、应用程序运行和浏览互联网的情况，并可以根据用户需要回播这些记录来报告工作站的工作状况，让管理者随时了解企业计算机用户的资源利用情况。

剑鱼网络安全监控审计系统主要实现以下目标：对内网用户进行安全监视和行为审计；从网络通信和外接设备等方面进行信息传输复制限制；管理系统资源防止受到攻击；加固系统，分发补丁。

3.1.剑鱼网络安全监控审计系统主要功能

① 安全监视审计功能

l         硬件配置监视。可以查看指定的计算机或组的硬件配置信息。它包括用户的处理器，内存，磁盘等硬件信息，也有目前正在使用的操作系统信息。

l         安装软件监视。可以查看指定的计算机或组的应用软件安装信息，不仅包括当前安装的应用软件信息，也包括系统启动时自动运行的软件信息。

l         系统进程监视。可以查看指定计算机或组当前正在运行的进程信息，包括模块的名称和具体的路径。可以根据需要强行终止非法进程。

l         共享目录监视。可以查看指定的计算机的共享目录情况。

l         文件操作监视。可以查看指定的计算机或组的用户对文件或目录进行的操作，包括访问、创建、复制、移动、改名、删除、恢复以及文档打印、计算机远程访问等操作。

l         屏幕监视。可以查看屏幕给用户进行查看。

l         应用程序监视。可以查看用户使用应用程序的情况。

l         网站监视。在浏览网站报告里显示的是用户所浏览的网站，活动时间和百分比。

l         网络通讯监视。在监视报告里显示的是用户使用通讯协议的状况，包括HTTP、HTTPS、FTP、TELNET、SMTP、POP3等协议。可以很方便地查看用户使用协议的情况。

l         应用程序统计。可以查看该在某一段时间内用户的程序使用情况。

l         网站访问统计。可查看用户浏览网站情况。

l         历史屏幕纪录。可以查看指定计算机的历史屏幕记录。

l         操作日志查询。可以查看剑鱼系统管理员在控制台操作的事件记录，防止监守自盗。包括计算机基本信息设置，计算机操作，计算机控制，数据查询，输出及图像查询，规则设置，数据清除，参数设置等一系列的操作。

l         系统日志查询。可以指定起始与终止的时间段，在列表框中会显示系统日志信息。

② 防止信息泄露

l         网站访问规则。可以指定允许或禁止访问的网站。

l         应用程序规则。可以指定允许或禁止运行指定的应用程序。

l         设备规则。可以针对单个计算机进行设备的禁用和开放操作。可禁止的设备类型包括：软驱、光驱（包括刻录机）、磁带驱动器、USB存储设备、串/并口、SCSI、IEEE1394总线、调制解调器、红外通讯设备、USB、以及笔记本电脑使用的PCMCIA卡接口。

l         禁止非法接入。禁止没有安装客户端的计算机访问当前的计算机或计算机组，从而达到保护网络的目的。

l         报警与响应。可以针对组或单个计算机进行设置报警与响应操作，对违反安全策略的行为进行报警。

③ 系统资源管理

l         系统信息统计。可以对用户计算机中的安装程序、启动项目、硬件配置、IP/MAC地址等信息进行统计。

l         报表输出。可以对各种统计结果生成统一格式的报表。

④ 补丁和软件分发

软件与补丁分发可以实现同步分发软件包和执行指令，使计算机永远保持最新最佳的工作状态，避免手工操作带来的超负荷工作量。包括：

分发各种软件升级包；

打WINDOWS补丁程序；

定时分发和执行相关程序。

3.2.剑鱼网络安全监控审计系统的实施方案

剑鱼网络安全监控审计系统由三个部分组成：客户端、服务器端、控制台。用户可以根据具体需要将它们安装在局域网中的计算机上。

服务器端用来存储和管理所有安装有代理模块的计算机用于监视所产生的资料，一般安装在一台具有大容量硬盘和内存的服务器上，由计算机操作员管理。注意：一个局域网中只允许在一台机器上运行服务器模块。

客户端安装在每一台需要被监视的计算机上。每次在被监视的计算机启动时，客户端会自动运行。安装有客户端的计算器具有较强的安全保护功能。客户端经过安装后在系统后台运行，用户看不到客户端的运行痕迹，可防止被非授权用户删除。用户可以利用控制台模块来实时了解安装有客户端的计算机的运行情况，并且根据需要卸载客户端。

控制台主要用于实时监视每台安装有客户端的计算机，以及查看保存在服务器上的历史资料，一般安装在公司的经过授权的管理人员的计算机上。客户端支持多种安装方式：

l         直接安装：在计算机上直接运行客户端的安装程序。

l         登录域服务器的电脑：SwordFish支持通过脚本自动分发安装客户端。

l         在有域服务器的网络中的电脑通过指定的用户名和密码登录域服务器，在域服务器上设置登录脚本，在目标用户登录域服务器时自动执行SwordFish客户端安装程序，这样可以方便快捷地完成剑鱼系统客户端的布置。

l         登录网站安装：Web安装方式通过用户登录网站即被自动安装剑鱼网络安全监控审计系统。

l         远程安装：对于Windows 2000，可以通过远程登录安装的方式进行安装。但需要知道对方的IP地址、管理员用户名和口令。

3.3.产品安装后进行的配置操作

在安装完成后，一般应采取如下措施：

l         对所有计算机，都禁止使用拨号进行非法外联，防止出现安全隐患；

l         对所有计算机，都禁止非法主机接入，保证整个网络都与外界严格隔离，又不影响正常使用；

l         对所有计算机，都禁止访问除内部网站外的其他网站；

l         对所有计算机，都禁止运行聊天和游戏软件；

l         对所有计算机，都禁止修改网络属性，包括IP地址等；

l         对所有计算机，都强制关闭了系统的默认共享，防止出现漏洞；

l         对大部分计算机都禁用了通讯设备、输出设备和外接存储设备，保证从这些计算机无法将网络中的数据复制或打印；

l         对所有计算机，设置补丁分发规则，定时升级；

l         对试图违反以上安全策略的行为以及试图改变都进行报警和采取锁定计算机的响应策略；

l         由主管领导亲自掌握设置屏幕监视的权限，对指定的计算机进行屏幕监视；

l         定期汇总统计文件操作记录、应用程序记录、网站访问记录、硬件设备记录和报警记录，检查是否有违反安全策略的行为。

3.4.培训及售后服务培训

培训：

在剑鱼网络安全监控审计系统部署完成后，北京理工先河科技发展有限公司将安排相关系统使用者的培训，使用户尽快掌握剑鱼系统的使用和管理，力求剑鱼网络安全监控审计系统能尽快在企业中发挥更好的作用。

售后服务：

（1）北京理工先河科技发展有限公司向用户提供一年免费的产品升级服务。

（2）北京理工先河科技发展有限公司的服务机构提供的服务方式包括：现场培训、系统调试、系统初始化指导、软件运行维护等。

（3）电话服务

用户可以直接通过电话得到北京理工先河科技发展有限公司的技术支持。

（4）邮件服务

如果用户有问题需要详细的书面解答，可以通过电子邮件与北京理工先河科技发展有限公司联系。