重庆大数据办公网络目前已经使用网络版防病毒系统等安全监控手段,但是还存在着很多的问题,由于用户的使用和维护水平参差不齐,网络病毒仍很严重,同时由于重庆大数据办公内部终端计算机、外部终端计算机实现物理隔离,对外部移动计算机、外来存储介质的控制现在没有有效的手段。同时重庆大数据办公网络安全员和网络管理人员疲于应付各种安全和日常维护事件。这主要是由于所有的安全和管理风险均来自于网络客户端,而现有手段对客户端监控力度不够造成的。综合而言,重庆大数据办公网络内部局域网主要还面临着以下的问题:
在重庆大数据办公内部可能会出现外来终端接入的问题,特别是内部人员私自安装路由器,HUB等。可能会造成单位内部的涉密文件被窃取,引入病毒等严重后果。需要禁止非法PC机接入内网和内部主机相互连接,防止重要资料的泄漏,如何对外来、内部设备进行集中管理、控制已经成为了急需解决的问题。
如果不对计算机外设接口进行有效的管理,外来移动存储设备随意接入重庆大数据办公内部网络,可能会造成重庆大数据办公内部的涉密文件被窃取,引入病毒等严重后果。对于具有防火墙、网关等硬件防范的网络,移动存储介质在网络内部造成病毒感染是病毒在内网传播的主要方式,如何防止外来移动存储介质随意接入网内终端,如何保护终端的涉密信息、如何对计算机外设接口进行控制已经成为急需解决的问题。
目前计算机病毒是重庆大数据办公内部网络及计算机安全最大的威胁,虽然重庆大数据办公已经统一配置安装了杀毒软件,能够对病毒进行一定效果的防范,但是仍存在终端病毒库升级不及时,版本不统一,管理不规范等问题。
以往对网络内IP地址分配和管理都需要人工来进行操作,并且终端计算机的IP、MAC地址绑定需要在网管型交换机上来完成,导致前期网络管理员的工作量太大,当有新的计算机设备入网时网络管理员需要再次通过交换机进行操作,如果操作不当可能造成一个资源子网不能正常工作,影响业务系统正常工作;当没有对终端计算机进行IP、MAC地址绑定时会出现私自盗用他人IP地址行为,造成合法的IP使用人不能正常入网工作,IP盗用成功后,不能对违规的终端计算机进行事件责任定位。
由于业务需要重庆大数据办公内部网络属于隔离网络 ,虽然重庆大数据办公制定了相关的网络管理制度,但是在实际工作中部分员工仍然违规安装及使用与办公无关的软件,例如:单机版游、电影播放软件等,影响了工作效率及占用网络带宽,现有手段不能对这些违规行为进行有效的控制与管理。
由于重庆大数据办公终端计算机是按照实际需要分不同的时段进行分批采购,导致重庆大数据办公终端计算机型号、配置繁杂,由于没有有效的对终端计算机进行自动化的资产管理手段,导致管理上的混乱,甚至可能造成重庆大数据办公终端计算机资产的意外流失,同时在进行终端计算机升级时也无从下手。
由于XXXX终端计算机网络的分布比较分散,对终端计算机的操作系统漏洞的修补往往是终端用户及网管员最为烦琐的问题。如果没有妥善的解决手段,轻则会因为流量问题导致网速变慢或断开网络,重则由于病毒通过系统漏洞传播造成计算机蓝屏、死机以及网络瘫痪等影响,严重影响重庆大数据办公正常工作活动。目前重庆大数据办公仍没有相关手段能够集中统一的完成客户端操作系统补丁自动检测、补丁下发、补丁安装、补丁安装信息回馈等工作。此外对于重庆大数据办公相关应用系统的补丁及第三方软件的分发也缺乏相应的手段,管理人员不得不对每一个终端进行单独的安装,大大的减低了工作的效率。
近年来越来越多的单位由于没有对终端计算机的上网行为进行有效的管理导致大量信息的泄漏及工作效率的降低。如何对员工上班时间进行与工作无关的访问,员工上班时间进行高带宽占用的网络行为,上班时间游戏、购物、网络视频等行为进行有效的管理,以提高办公效率已经成为重庆大数据办公急需解决的问题。
随着重庆大数据办公应用系统的不断增加,在网络中传播的病毒造成的风险和管理上的风险也会不断增加,由于单个计算机的病毒引起的损害可能传播到其他系统和主机上,引起网络瘫痪,造成重大损失。系统对网络的安全稳定运行有较高的要求。同时,其它桌面安全和桌面管理方面的问题也十分繁杂,而专网的网络维护管理人员数量有限,因此需要专业的内网安全管理系统,该系统可解决上述提到的内网安全和管理问题,并可达到以下的成效:
1、 系统可以按照不同的管理区域、操作系统、注册部门及IP范围等方式进行细微化管理。
2、 系统可解决计算机资产统一管理问题:系统将重庆大数据办公网络变成一个真正的可统一管理的网络,可以根据不同的使用人、单位、部门、联系电话、邮件、所在地、计算机类型等进行实名化的管理,以及自动采集终端计算机资产信息,并可导出资产报表。当终端计算机资产发生变化迅速上报到管理中心、防止重庆大数据办公资产意外流失。
3、 可以有效的控制外来终端计算机随意接入重庆大数据办公内部网络,内部员工私自安装路由器,HUB等行为。只有在管理人员授权的前提下才能接入重庆大数据办公内部网络同时在接入重庆大数据办公内部网络。
4、 系统可对计算机外设接口如光驱、软驱、USB、串口、并口、红外、1394等外设进行控制与管理,并且可以记录其变更情况。尤其还可以区分USB存储设备和普通的USB设备。例如:鼠标、键盘。当计算机离开本网络可实现禁用所有外设接口防止数据外泄。
5、 系统可实现重庆大数据办公强制安装统一使用指定品牌杀毒软件,可自动检测管理网络中未安装杀毒软件或安装了杀毒软件但没有正常运行的计算机,同时并实现终端病毒库的及时、统一升级以保证重庆大数据办公内部网络安全。
6、 对终端计算机的IP和MAC地址进行双向绑定管理,当主机的IP地址被修改之后将自动的恢复为被绑定的IP地址,有效的防止ARP病毒对重庆大数据办公内网的侵害,同时可以对重庆大数据办公的IP地址分布和使用进行有效管理。
7、 可对重庆大数据办公网络实现终端计算机操作补丁的自动检测、补丁下发、补丁安装、补丁安装信息回馈等工作。在补丁的分发过程中可以对补丁分发的进行流量进行控制。可解决微软的盗版操作系统安装补丁的过程中补丁验证等现象,以及重庆大数据办公使用或开发的第三方软件不兼容等现象,并且根据重庆大数据办公实际办公环境的需要设置补丁安装完不重启计算机,补丁分发策略支持双向推拉方式,可以前后台操作。并且系统自带补丁库下载软件,所下载补丁来源于微软,并经过测试。
8、 可以有效的对重庆大数据办公每一台终端计算机上网流量及访问行为进行精确控制和管理。可以根据具体的网络环境对终端计算机设置流量阀值,全面的网络行为管理,提高工作效率,提升生产力水平,过滤不良网站信息,净化上网环境,多维的全面网络行为审计,便于事后调查取证,基于用户、应用、时间段的带宽管理,维护互联网访问的“公平性”,对危害国家和涉及重庆大数据办公机密的信息过滤,保障国家稳定和重庆大数据办公的可持续发展,多角度、多维度的行为报表,对用户网络行为情况一目了然。
部署XXXX办公室内网与上网行为安全管理系统,利用该系统XXXX办公室可以通过技术手段对行内的计算机资源进行有效的管理控制,从而有效保护XXXX办公室所属网络,完成对网络客户端的全面监控和管理,防止病毒对解放军XXXX办公室网络的侵袭,同时也可以方便网管对设备进行管理,并且可以对网络内的信息进行有效的保护。
项目部署范围:
XXXX办公室内网与上网行为安全管理系统项目部署范围包括: XXXX办公室内部网络。
XXXX办公室网络为广域网络,网络较为复杂,系统管理采用B/S与C/S相结合构架对内网计算机进行管理,管理员可在网络的任何终端通过登录内网管理服务器的管理页面进行管理和各种信息查询;所有的网络终端需要安装客户端程序以对其进行监控和管理,针对与上网行为管理系统可以串联或旁路到相关网络出口位置,具体的部署和管理构架如下:
部署构架图
XXXX办公室和重庆数锋科技有限公司双方应指派专门人员进行工程的施工工作。双方各委托一名项目负责人,共同监督、管理、协调整个项目的实施。主要需注意如下的问题。
1. 各组织的系统实施工作的协调管理;
2. 项目实施的责任分配;
3. 系统内部各单位间的施工合作。
1. XXXX办公室指定总协调人负责协调、指挥项目的实施工作,监督实施质量。
2. XXXX办公室指定专门人员具体参与施工;
1. 重庆数锋科技有限公司项目总协调人:1人,负责项目总协调
2. 项目经理:1人主要负责组织、协调、管理项目的具体实施,监督工程质量和工程进度。
技术实施:1人,项目安装、实施,值守答疑。
3. 培训人员:根据实际需要,主要负责对本项目实施进行培训。
项目实施计划在技术细节上应按照投标应答文件和合同要求进行,整体进度依据实施纲要及双方商定合同制订。
根据投标书和实际情况,整个项目的实施从合同签订开始,约需半个月时间(约10个工作日)。如需进一步加快系统部署进度,则根据标书要求和实际情况双方可另行协商。
第一阶段:从施工开始到完成部中心和省级系统建设
实施前协调: 1工作日
软件准备和到位: 1工作日
网络环境准备:(与软件准备同期进行) 1工作日
选择1-2个单位开展试点: 2工作日
XXXX办公室网管理人员培训:(可与前面的工作重叠进行) 1工作日
完成XXXX办公室系统建设: 3工作日
第二阶段:完成系统联调,开始试运行和验收工作
完成系统联调和试运行: 5工作日
信息发布页面平台(与前面的工作同步进行) 4-6工作日
项目验收: 1工作日
安装实施进度(约半个月)
|
序号 |
|
施工时间 |
施工内容 |
|
1. |
第 一 阶 段 |
第1工作日 |
1、 施工前工程协调 2、 准备施工环境 软件设备准备到位 |
|
2. |
第2-3工作日 |
1. 试点安装完毕 2. XXXX办公室人员培训完毕 |
|
|
3. |
第3-5工作日 |
1. XXXX办公室系统安装、调试完成、试运行 |
|
|
4. |
第 二 阶 段 |
第6工作日 |
1、 全部部署完成 2、 完成系统联调 3、完成系统级联功能测试 |
|
5. |
第6-9工作日 |
1、 项目试运行 2、 信息发布平台完成 |
|
|
6. |
第10工作日 |
1、 系统验收 2、 相关文档移交 3、 工作总结会 |
注:所有施工时间安排、培训安排和人员的协调工作由用户方负责。
1. 双方共同协商,起草合同;
2. 签订合同,依照合同正式启动改造后系统系统项目。
首先进行施工前期的协调会,通过协调会,明确XXXX办公室和工程实施方(重庆数锋科技有限公司)的对于工程施工的任务分工和各自责任,协调需要进行的工作。
硬件准备
具体所需配置如下:
1. 管理服务器1台(由用户自行准备)
硬件需求:P4 CPU 2.4或以上, 1G内存
硬盘160G以上
软件需求:操作系统 Win 2000 Server或Win 2003 Server
数据库系统 SQL Server 2000
网络环境准备
重庆数锋科技有限公司施工人员进行产品部署前,必须保证需要部署的各级管理节点到达部署环境要求,具体的要求是:安装系统所需设备全部到位,并且能上下网络连通。确保该监控服务器能够与所有被管理网络中任意一台客户端机器进行双向TCP通讯。
1. 实施前的检查,会提供大量技术人力,在极短时间内完成全面检查,尽量做到对网络运营影响做到最小。
2. 全面检查清除任何实施中的遗留问题。全面检查网络内主要系统平台的系统信息以防项目实施造成损害。
3. 对网络系统的进行审核,按需求进行网络客户端策略调整和制订。
4. 协商建立制订内部客户端管理规范和软件使用规范,更好的配合了网络其它的管理和安全软件的应用。在不影响网络运营的条件下,制订严格的安全规范制度,进行相关的安全培训。
5. 建立实施和工程进度发布沟通渠道,如实施的联系人,邮件地址。制订网络内部用户问题反馈方式,如问题反馈联系信箱、网管电话,问题记录方式等。
6. 需要将所有的实施所需资料存档,形成客户管理实施项目文档,以便延续服务,提高服务管理的规范化。
在XXXX办公室指定的时间,由重庆数锋科技有限公司派出有经验的工程师,根据XXXX办公室的具体需要,系统的培训所属的北信源内网管理与上网行为管理系统管理员。
本次培训目的在于保证安装工作中各机构安全管理人员掌握本项目中的产品技术及外围知识,能够快速、准确的进行产品安装、操作、维护,从而更加有效和全面管理各个系统。培养安全管理人员独立操作、分析、判断、解决相关网络问题和系统问题的能力,不断优化整个XXXX办公室的信息网络系统,保证网络的高效运行。
培训程序如下:内容设计与准备--培训实施与疑难解答--提交培训总结报告。
|
进 程 |
内 容 |
|
培训需求分析 |
根据XXXX办公室人员对产品的了解程度进行分析 |
|
培训内容设计与准备 |
重庆数锋科技有限公司做培训课程设计和准备 |
|
培训实施与疑难解答 |
培训及对本系统使用中出现的疑难问题提出技术解答要求 |
|
提交培训总结报告书 |
提供培训总结报告书 |
培训对象
XXXX办公室所制订的相关系统维护人员及网络管理人员。
现场培训内容
培训时投标人应提供培训教材、培训PPT、电子版说明书、安装操作视频资料、用户手册。
根据XXXX办公室的要求可提供一次为期1天的系统的相关培训,使XXXX办公室所属人员能对所使用的该套系统,有一个清晰的了解,能够对该套系统进行熟练操作。
培训内容见下表:
|
描述 内容 |
时间 |
备 注 |
|
管理和使用技术要点培训 |
半天 |
培训以XXXX办公室有关系统管理人员掌握此系统为止 |
|
答疑和技术交流 |
半天 |
培训以XXXX办公室有关操作人员掌握此系统为止 |
培训地点:XXXX办公室指定。
北信源内网管理与上网行为管理系统安装资料(中文)
1. 北信源内网管理与上网行为管理系统的使用手册。
2. 北信源内网管理与上网行为管理系统的问题实施和管理常见问题及解决办法。
3. 北信源内网管理与上网行为管理系统选题培训专用资料。
培训小组人员清单:待定
培训工作在安装前进行,所有的培训工作由XXXX办公室统一组织安排。
① 重庆数锋科技有限公司负责提供并进行知识培训;
② 重庆数锋科技有限公司进行产品操作的培训;
在系统安装调试期间,重庆数锋科技有限公司将为提供安全人员现场培训,内容为系统中所使用产品的操作及维护。
具体日期:双方商定。
1、实施通知正式下发
为了保证工程顺利部署,在部署前,需要有XXXX办公室的有关领导下发相应文件通知,以推动该系统的实施。
2、在网上各级主页发布通知
各网管人员可通过书面或在网上发送实施通知。通知下发到需要进行安装的所有区域。
在大规模安装部署前,选择1-2下属单位进行试点安装,对系统的具体部署和有关功能应用进行试点,以便XXXX办公室更好的了解和使用系统的特点和大规模部署时所注意的问题。试点时注意系统抽样进行,以保证试点的有效性。在试点的同时,如XXXX办公室发现有新的需求,双方也可协商解决。
重庆数锋科技有限公司有关的项目工程师在XXXX办公室部署实施,并在XXXX办公室值守答疑,并通过电话对安装和配置使用过程中遇到的具体问题予以解答。
系统初步建成后,进行XXXX办公室系统的两级系统试运行,检查管理系统的工作是否稳定、安全,各项要求的功能是否达到等进行检测。
在项目各子系统实施完毕并经过施工方仔细调试运行后,由双方组织人员本着实事求是、科学规范、注重质量、讲求实效的原则, 依据项目招标文件及应答,对项目的完成情况进行总体评价验收。
验收包括:验收标准制订、验收测试、验收内容、验收组织和方式、验收结果等。
标准制订目的在于控制项目执行质量,更好的服务于用户方,加强施工方对项目流程管理力度,保证本次项目安全系统安全、稳定、可靠运行。
验收标准在项目实施前由双方着手商议制订,施工方在系统建设前、建设中、完工后向用户方提供个阶段的技术及相关文档,以便用户方及时了解项目进展。用户方在全面掌握整个技术方案、实施方案的基础上,同施工方共同制订本次项目验收具体标准。
1.项目技术方案完成情况(整体部署);
施工验收条件:
1. 在XXXX办公室和其下属各地市系统,全部安装了系统的服务器端管理程序,大部分客户端已部署;
2. 系统运行正常
2.合同要求执行情况验收:
验收是否在合同规定的时间内完成部署,施工是否按照合同规定进行。
在XXXX办公室北信源内网管理与上网行为管理系统的安装、调试至系统试运行结束,应向用户方移交的相关文档如下:
1、 产品说明书、使用手册;
2、 系统部署说明;
3、 系统调试报告、系统试运行情况报告;
4、 变更记录及洽谈报告;
5、 其它文档,如冲突、问题反馈报告等。
此外包括:
1. 总体实施方案书、系统总体部署图;
2. 项目工作总结。
|
产品名称 类型 产品描述 |
||
|
北信源管理中心 |
软件 |
桌面管理系统总控平台,负责全体策略的订制,下发,以及违规信息统计上报。 |
|
北信源内网安全管理系统 |
软件 |
1、IT资产管理 2、事件报表及报警处置 3、第三方接口联动 4、终端桌面管理 5、终端安全管理 6、网络主机运维管理 7、非法外联管理等功能。 |
|
北信源补丁及文件分发管理系统 |
软件 |
1、互联网补丁自动下载、补丁完整性和安全性测试、增量更新导入、补丁库建立和分类,终端漏洞自动检测、补丁策略制定分发和自动分发,补丁流量控制和代理转发技术、补丁自动修复及查询统计、补丁安装情况汇总、安装结果统计 2、文件自动分发安装、文件分发安装结果统计等功能。 |
|
北信源网络接入控制管理系统 |
软件 |
1、802.1x接入认证管理 2、未注册终端接入访问区域限制(vlan限制)3、未安装杀毒软件等必备软件自动安装下载管理 4、未打补丁终端接入限制 5、运行不可信进程、服务、注册表终端接入限制 6、未达到预定义安全级别的终端接入访问区域限制 7、自定义终端安全接入必须的桌面运行安全环境等功能。 |
|
北信源上网行为管理系统 |
硬件 |
参数:2U机架式,6个千兆电口,2个USB口,1个console配置串口,支持硬件扩展,最多可扩展4个千兆光口,双向吞吐量200M,并发连接数不低于60万,最大用户数1000个;最大无故障运行时间不低于60000小时。 |
