内网安全管理系统软件技术要求(精选8篇)
内网安全管理系统软件招标技术要求
一、产品总体要求
1、公司的资质:公司成立10年以上,具有自主研发能力,有成熟稳定的研发队伍的软件行业企业。
2、产品资质要求:必须是自主研发,稳定销售8年以上;拥有自主知识产权,通过公安部检测,获得公安部销售许可证,至少拥有以下资质证明: 公安部《计算机信息系统安全专用产品销售许可证》; 国家版权局颁发的《计算机软件著作权登记证书》; 国家版权局颁发的《计算机软件产品登记证书》;ISO9000质量管理体系认证。
3、产品实施简单,可操作性强,实施后必须保证网络稳定畅通,系统正常运行,不影响正常开展工作。
4、*至少有五家500点客户的安装实施经验。
5、有丰富的行业客户服务经验,能提供后续技术支持和维护更新等服务。
二、技术规范要求
2.1 系统要求
▲客户端操作系统支持包括:Windows98/Me/NT/2000/XP/2003/Vista/Win7/2008,必须同时支持32位及64位系统。
▲所有监控功能都能按计算机和用户两种模式实现。
▲必须支持瘦客户机、终端服务器、无盘工作站等的使用模式。
*监控系统的部署必须支持多种安装方式,包括web安装、域脚本安装、远程安装以及域组策略安装等。
*必须提供分布式服务器管理功能,并且需要支持跨区域部署管理。*必须隐藏客户端进程。
*支持与AD域的结合,可与域组织架构实时同步。管理端必须支持C/S架构登录。
客户端在离线情况下,控制及日志记录功能依然生效。
附件二
2.2 功能要求
2.2.1 基本功能
能获取计算机的基本信息,包括计算机名称,网络地址,操作系统,登录用户,当前状态等信息,以及计算机多用户登录信息的查看。
▲支持增加管理员账户并对账户权限可实现细化,如管理范围、功能权限。同时可对非系统管理员的账户可禁用、删除以及修改密码,方便权限回收。
*必须具备管理员以及审计员账户,且相互独立,并且能够提供记录管理员操作的审计平台,包括管理员登陆系统,查看日志,对内网计算机的控制等等。
*支持对各终端所设置策略的总览以及对策略的应用查询方便管理员掌握终端的策略情况,同时具有对策略的导入导出功能及复制功能。*支持邮件报警功能,可以将违规行为详细记录为日志形式并通过邮件发送至指定邮箱。*支持设定自动关机功能,提供在指定时间关机、注销及重启的功能
支持按工作时间段进行策略设置,灵活管理。
支持远程对计算机进行键盘鼠标操作锁定、关闭、重启、注销和发送通知信息等。支持对3g上网卡拨号的日志记录。
2.2.2 基本控制功能(包括基本模块及设备管控模块)
能控制计算机对本机系统设置的操作权限,包括以下多项属性,并且各项可以单独控制: *IP/MAC绑定:修改网络IP/MAC配置
控制面板:控制面板、设置屏幕属性、添加打印机、删除打印机、快速切换用户。计算机管理:设备管理器、使用磁盘管理、本地用户和组、系统服务管理、其它计算机管理。
系统:任务管理器、注册表编辑器、命令提示符、运行注册表中Run下的程序、运行注册表中Run Once下的程序
网络:修改网络属性、显示网上邻居、修改Internet选项、默认网络共享、使用网络共享、增加网络共享
其它:使用print screen键复制屏幕、系统还原、Windows自动更新
▲可以控制内网计算机对常用设备的使用权限,支持对刻录机可读不可写的控制
存储设备包括:软驱,光驱,刻录机,磁带机,可移动设备(U盘,移动硬盘,记忆棒,智能卡,MO,Zip)、便携设备(智能手机)等;支持对上面各项的单独控制。
通讯设备包括:串口、并口、USB 控制器和连接器(HUB)、SCSI接口、1394控制器红外线、PCMICA卡、蓝牙设备、MODEM、直接电缆连接、拔号连接等;支持对上面各项的单独控制。
网络接入设备:包括无线网卡,pnp网卡,虚拟网卡等;并且可以对它们单独控制。其它:声音设备,虚拟光驱,任何新设备等的使用。
▲支持USB设备的细分控制,即以下每项可单独控制,支持3G上网卡的控制。USB设备:USB 键盘、USB 鼠标、USB Modem(3G上网卡)、USB 映像设备、USB CDROM、USB 存储、USB 硬盘、USB 网卡、USB其他USB设备;支持对上面各项的单
附件二
独控制。
*支持禁止增加非系统硬盘。
*支持对Iphone等便携式设备的控制 *支持对任何其他外设的控制
*支持对无线网络的连接控制,限制禁止连接的无线网络。
对计算机的硬件变化,设备的插入拔出,存储设备变化,通讯设备变化,软件变化,系统服务变化,启动项变化,系统时钟变化,计算机名称变化,网络配置变化等能提供报警信息并作为日志记录。
2.2.3 移动存储控制
支持对内网计算机控制其对指定移动存储设备的读写权限。支持自动收集客户端上使用过的移动存储信息,并可以自定义添加备注信息。同时支持移动存储分类库,允许对移动存储进行自定义分类,按类库进行管理。支持可按照对移动存储的描述进行控制。
支持所有通过USB接口方式连接计算机的存储设备。
支持在指定计算机上使用制定移动存储设备时,自动对复制/移动的文件进行加解密控制,加密后的文档只允许在具有自动解密权限的客户端计算机处才能打开,否则打开为乱码。
支持将指定移动存储格式化成加密盘,只能在内部装了客户端的计算机处正常使用,非客户端计算机无法使用。
能够记录内网计算机使用移动存储设备的情况;包括操作时间,操作类型(插入/拔出),计算机、用户、移动存储类型等。
2.2.4应用程序管控
支持通过禁止应用程序分类或禁止应用程序名称、应用程序窗口标题的形式来禁止计算机使用非法程序。
针对应用程序更改名称或路径的情况,所做的控制必须依然生效。能自动收集客户端计算机运行过的应用程序,并支持分类管理。
支持记录所有应用程序的启动/关闭、窗口的切换标题动作;并可以按时间范围,计算机范围,应用程序名称,应用程序路径、窗口标题这几种查询条件查询。
支持通过自定义的时间范围,对单个工作人员,部门,或整个网络的计算机的应用程序使用情况进行统计;
统计结果必须有列表和图表两种显示方式;
统计方式必须包括是:按应用程序类别统计、按应用程序名称统计、分项统计(统计各组计算机的应用程序使用),按明细统计等。
2.2.5远程维护
支持远程查看网络内的客户端计算机当前运行的应用程序,进程,性能,设备管理,系统服务,磁盘管理,共享文件夹,计划任务,用户和组等。同时支持对应用程序,进程,附件二
设备管理,系统服务,共享文件夹,计划任务的控制。支持对客户端的远程控制。
支持远程文档传输,提供客户端与控制台相互传送文件的功能。必须支持经过客户端允许或密码设定才能远程控制。支持远程卸载客户端计算机上软件功能
2.2.6屏幕监控
▲屏幕历史记录的数据量:平均一帧数据量少于▲支持对指定应用程序运行过程的屏幕记录。▲支持对应用程序的变频记录。
25K 支持通过控制台实时查看员工当前工作的计算机桌面,并可将当前屏幕保存为图像,支持对终端用户登录的屏幕分屏查看。支持同时对多屏进行监视。支持扩展显示器的监视。
能记录计算机当天的屏幕历史画面,并可以按指定的计算机查看指定日期范围内的屏幕历史记录,以播放器的方式播放某一天的屏幕历史,并可将当前播放的屏幕历史另存为视频文件。
2.2.7资产管理
支持对客户端计算机的硬件和软件资产信息的统计,并支持按分组或计算机统计硬件和软件的分布情况,同时支持设置自定义查询条件。
支持自定义添加企业内的非软硬件资产信息,并支持设置自定义查询条件。
支持实时查看客户端计算机补丁情况,并允许对补丁进行修补,同时不需要另外搭建wsus服务器。
支持自动扫描计算机的系统漏洞并提供解决漏洞问题的建议。支持通过控制台集中向客户端自动分发安装程序并自动安装,或分发各种文件到指定的目录下,以及分发其它执行程序到目标计算机的功能。支持对硬件资产添加自定义信息描述。
三、可靠性要求
数据库的存储能力及维护,为节省数据库维护成本以及防止因部分数据库损坏而影响所有数据,需要对日志数据采用按天存储的功能。每天产生独立的数据库,数据库出错无法修复也只影响受损数据库所保存的当天数据。
当操作系统处于正常模式和安全模式下都能正常监控。
要求监控系统有一定的自我保护能力,不会轻易遭到破坏,并且不能自行卸载,必须通过授权才能卸载。
每个服务器支持超过3000个终端在线管理。
系统进行局域网发现时节点占用带宽不超过20Kbps。
附件二
随着近年来计算机技术的不断发展和信息安全要求的不断提高,计算机信息的安全受到了严峻挑战,特别是大多数的网络环境是建立在开放网络环境中,开放的环境既提供了与外界进行交互的窗口,同时也为外部提供了进入信息系统的便捷途径,使网络面临种种威胁和风险:终端用户由于安全意识、安全技能的匮乏,导致安全策略不能真正的得到很好的落实,开放的网络给信息安全带来巨大的威胁。
目前,网络安全防御措施局限在常规的防火墙、单机防病毒、IDS等方面的防御,重要的安全设施大致集中于机房、网络入口处,在这些设备的严密监控下,来自网络外部的安全威胁大大减小。但越来越多事实证明,来自网络内部的安全问题同样不容忽视。只有构建一套功能完善的内网安全防护体系,从网络资源、设备资源、客户端资源和应用资源方面对内部网络加以管理和审计,才能以达到最佳的管理效果。
1 系统模型概述
1.1 模型概述
本文构建的内网安全管理系统可以对内部终端计算机进行集中的安全保护、监控、审计和管理,可自动向终端计算机分发系统补丁,禁止重要信息通过外设和端口泄露,防止终端计算机非法外联,防范非法设备接入内网,有效地管理终端资产等。内网安全管理系统可以与防火墙、漏洞扫描设备进行有机联动,共同提供全网安全解决方案。
1.2 模型架构
内网安全管理系统由客户端模块、服务器模块、控制台三部分组成。模型架构如图1所示。
客户端代理模块安装于受管理主机上的软件。对终端计算机进行监控,需要部署于每台需要被管理的终端计算机上,用于收集数据信息,并执行来自服务器模块的指令。
服务器模块包括服务器端软件和支持数据库。存储终端安全策略、终端计算机信息、漏洞补丁数据等等,并由服务器向终端计算机客户代理模块发送指令。
控制台是实现系统管理、参数配置、策略管理、系统审计的人机交互WEB界面。采用B/S结构可以运行在网络中的任意一台计算机上,用来监控每台安装有代理模块的计算机,管理各类审计系统,制定安全策略。
1.3 网络架构模型
1.3.1 网络架构示意图
内网安全管理系统的网络架构如图2。
从图2中可以看到,服务器部署于服务器区内,终端计算机上部署客户端模块,接受终端管理系统监控。某些未部署客户端或关闭客户端的计算机将被限制接入网络,或限制其网络访问权限,从而保证网络安全。内网安全管理系统的多级网络架构示意如图3。
图3中终端与内网安全管理系统服务器可以进行级联设置,下级服务器能够自动从上级服务器获取最新的补丁和策略配置,因此对于大型网络,只要保证根服务器更新到最新状态,所有下级服务器都能够依次更新,从而方便管理员的管理。
下级网络中,可单独部署服务器模块,从上级服务器获取补丁文件并更新策略配置,并向局域网内终端计算机进行补丁和策略更新;也可以不部署服务器模块,终端计算机直接从上级服务器进行补丁和策略更新。
控制台可运行在网络中策略许可范围内的任意一台计算机上。
1.3.2 部署位置
(1)服务器部署于主干网络上。
(2)控制台采用BS结构可以运行在网络中策略许可范围内的任意一台计算机上。
(3)客户端部署在每一台被管客户机上。
1.3.3 部署方式
服务器和控制台采用旁路连接方式接入网络,向全网提供终端管理服务。旁路连接方式可以减少单点故障点,保证系统的可用性。客户端安装在终端计算机上,可以监控终端上发生的所有安全事件。
2 系统功效
2.1 整体功效
整体功效如表1所示。
内网安全管理系统采用目前先进可靠的P2DR安全机制。在整体的安全策略的控制和指导下,综合运用防护工具的同时,利用检测工具了解和评估系统的安全状态,通过适当的安全响应将系统调整到“最安全”和“风险最低”的状态。
2.2 文件监控与审计
(1)杜绝文件操作不留痕迹现象;
(2)杜绝信息拷贝的无管理状态。
2.3 网络行政监管
(1)屏幕监控
通过对员工的操作屏幕进行及时监控和录像,防止员工违规操作公司的电脑。
(2)应用程序报告及应用程序日志
通过对员工操作的应用程序进行统计分析,第一、可以查看到每个员工使用计算机的应用程序状况,方便系统维护;第二、可以客观的评估每个员工的工作效率。
(3)浏览网站报告及浏览网站日志
通过对员工浏览网站的情况,可以及时了解到企业员工使用互联网的情况,并为网络浏览管理提供依据。
(4)应用程序禁用
通过对员工的应用程序管理,防止员工利用上班时间做与工作不相干的工作,停止一些Windows进程,可以有效的防止病毒入侵,提高终端的工作效率。
2.4 网络客户机安全维护
(1)补丁分发管理
通过对所有客户机进行主机分析,自动将相应的补丁文件下发给客户机并进行安装,弥补客户机的安全漏洞。系统也允许管理员手工指定一批补丁文件进行下发。同时,可以实现辅助软件分发。
(2)网络漏洞扫描
通过网络漏洞扫描,对网络整体安全风险级别进行判断,并指出网络中的脆弱点,方便管理员有针对性地进行问题的解决。
2.5 安全接入管理
(1)主机在线监测与授权认证
内网安全管理系统可以通过监听和主动探测等方式检测系统中所有在线的主机,并判别在线主机是否是经过系统授权认证的信任主机。
(2)非法主机网络阻断
对于探测到的非法主机,系统可以主动阻止其访问任何网络资源,从而保证非法主机不对网络产生影响,使其无法有意或无意的对网络攻击或者试图窃密。
(3)网络白名单策略管理
可以自动生成默认的合法主机列表,根据是否安装安全管理客户端或者是否执行安全策略,来过滤合法主机列表,快速实现合法主机列表的生成。同时允许管理员设置白名单例外列表,允许例外列表的主机不安装客户端但是仍然授予网络使用权限。
(4)IP和MAC绑定管理
可以将终端的IP和MAC地址绑定,禁止用户修改自身的IP和MAC地址,并在用户试图更改IP和MAC地址时,产生相应的报警信息。
2.6 灵活、强大的策略管理
(1)基于策略优先级的用户行为管理功能
美国杨基集团(Yankee Group)的一系列研究报告对结合网络行为分析的网络管理的发展情况进行了研究,报告认为,行为分析为网络管理员提供了一种新的技术手段,同时增强了内网网络管理的能力。本文提供了基于策略优先级的用户行为管理功能,可以按照策略的优先级进行排序,当策略间发生冲突时,高优先级的策略可以覆盖低优先级的策略,避免了由于策略冲突导致管理失效的问题。
(2)基于网络场景的管理策略
网络场景策略指计算机处于不同网络环境下应用不同的安全策略。通过定义不同的时间场景、网络场景结合控制策略和安全域规则可以对全网精确控制,操作更灵活。
(3)基于用户账户的策略管理
将所有相同安全级别的客户端计算机归入同一虚拟的安全域中,并应用相同的安全策略对其进行管理。提供用户的身份鉴别机制,并能根据不同的用户身份使用不同的安全策略对网络进行更细致的安全管理。
(4)基于在线、离线状态的策略管理
对于外设和端口管理,允许管理员分别设置在线和离线两种管理策略。在线策略在客户端和服务器能够通信时生效,离线策略在客户端无法和服务器通信时生效。两种策略的设置可以不同,并且策略的切换和生效是自动完成的,无须管理员和用户参与。
3 总结
本文构建的内网安全管理系统将内网安全监视、内网安全管理、内网报警管理、软硬件资产管理、补丁和软件分发、远程桌面管理等功能有机地结合在一起,实现了网络安全、网络管理、网络维护三位一体的立体化管理。为解决内部信息泄密问题提供了良好的技术手段和完善的解决方案。
参考文献
[1]郑元庆,赵志文,刘常.基于IFS的文件访问控制技术研究与应用[J].信息安全与通信保密.2009.
[2]George Hamiltom.Adjust Your Behavior:Network Mangerment Incorporates Behavioral Analysis Optimize Performance.American:Yankee Group.August2007[DB/OL].http://www.bradreese.com/yankee-group-network-behavior-market.pdf.
[3]Yankee Group.Network Behavioral Analysis Optimizes the Enterprise Network for the Busisness.American:Yankee Group.January.2007.http://www.yankeegroup.com.
关键词:医院信息系统;HIS安全体系;内网
引论
医院信息系统(HospitaI Information Svstem,HIS)是利用计算机网络和通信设备,为医院各部门提供病人诊疗信息和行政管理信息的收集、存储、处理、提取和交换能力,并满足授权用户功能需求的管理信息系统。医院是信息流高度密集的单位;医院的组织管理结构非常严谨。对其中任何一部分业务流程的改变,都可能引起连锁反应,牵一发而动全身;不同体制的医院的管理模式也有很大不同。因此,HIS是当今世界企业级信息系统中处理逻辑最为复杂的一类。
广义的HIS的网络拓扑一般分为内网(医保系统)、专网(行政系统)和外网(医院网站)三个部分,形成了内网核心数据层、内网办公业务层、外网公众服务层和网间信息交换层四个相对独立的网络安全管理域,信息安全与管理的技术手段相当复杂。
以作者所在单位上海市普陀区中心医院为例,HIS、RIS、PACS等系统投入运营多年,每天成百上千台计算机同时运行,成为医院提供医疗服务的业务平台。随着医院HIS应用的不断深入,网络安全形势日益严峻。现有的安全技术手段逐渐暴露出局限性,需要从规章制度、技术和管理等层面加强HIS的信息安全保障。
我院信息系统和网络的维护由医院信息科实施。信息科是医院的行政职能科室,下设病案室、计算中心、图书馆三个部门。计算中心现有技术人员10人,拥有软件自主研发能力,学术氛围浓厚。根据医院授权已制订《普陀区中心医院HIS系统管理安全操作规范》、《普陀区中心医院医保前置机管理规范》、《普陀区中心医院应急预案制度》、《中心机房管理制度》等规章制度,建立了定期安全检测、口令管理、人员培训与管理、策略管理、备份管理、日志管理等一系列管理方法和长效机制。
1HIS安全威胁
HIS面临的安全攻击指危及医院信息安全的任何行为。HIS安全机制指设计用于检测、防止或从安全攻击中恢复的一种机制。Hls安全服务指加强医院各部门数据处理和信息传送安全性的一种服务,目标是对抗安全攻击。它们利用一种或多种安全机制来提供该服务。本文的工作在于提出HIS安全体系结构和部署策略,并在网络层面上介绍了HIS安全体系的技术实现。
就安全攻击方法而言,根据信息安全层次分析HIS的安全威胁。可以从机房环境和物理层、网络层、操作系统和数据库层、应用层及管理层五个层面着手。
(1)机房环境和物理层
我院机房分布在住院部、住院二部、门诊楼、急诊楼四处。机房网络设备、硬件设施可能遭受地震、水灾、火灾等自然灾害以及人为操作失误和各种针对计算机的破坏行为。
(2)网络层
作为事实标准的TCP/IP协议并非专为安全通信设计,这一先天不足致使网络通信存在大量安全隐患。协议漏洞造成预攻击探测、窃听、篡改、IP欺骗、重放、拒绝服务攻击(包括同步潮水攻击SYN FLOOD和PING FLOOD)、分布式拒绝服务攻击(DOS)和堆栈溢出等。
网络环境下病毒、蠕虫、木马和流氓软件的传播快速、隐蔽,严重威胁系统安全。病毒的传播破坏文件和系统可用性;木马潜伏在系统内并截获用户输入的密码、键盘动作等重要信息,并将这些信息发送出去。2008年末ARP木马爆发曾导致我院局域网性能显著下降。
(3)操作系统和数据库层
操作系统设计时疏漏或预留的安全漏洞、用户配置不当、多余的系统服务、脆弱的基于口令的身份鉴别机制,都使恶意用户的攻击变得轻而易举。医院医保前置机和数据库服务器采用Windows2000/XP/2003操作系统,健壮性、安全性较差。医院使用的Or-acle数据库系统可以从端口寻址。院内联网的计算机,任何人只要有合适的SQL查询工具,就能和数据库系统直接连接,并能绕开操作系统的安全机制,如果误用就会严重危及数据安全。
(4)应用层
应用层的安全风险有:来自内部和外界对业务系统的非授权访问、由于用户名和口令等身份标志泄漏造成的系统管理权限丧失、用户提交的业务信息被监听或修改、用户对成功提交的事务进行事后抵赖、伪装成系统服务以骗取用户口令、操作不当或外界攻击引起的系统崩溃、网络病毒的传播或其他软硬件原因造成的系统损坏、HIS程序开发遗留的安全漏洞等。
(5)管理层
责权不明、管理混乱、人员管理和安全管理制度不健全及缺乏可操作性都可能引起管理层安全风险。
2HIS安全体系结构
网络安全遵循“木桶原理”,系统的安全强度等于它最薄弱环节的安全强度。据统计,在所有的HIS信息安全事件中。超过70%发生在内网。因此,HIS系统必须建立在一个完备的多层次的网络安全体系之上,消除瓶颈。
完整的HIS安全体系由五部分构成:可信的基础安全设施、安全技术支撑平台、容错与恢复系统、安全管理保障体系和信息安全系统。如图1所示。
3HIS安全体系的部署和安全审计
根据HIS网络安全要求设计的HIS安全模型如图2:
HIS网络安全模型给出了HIS安全体系部署的逻辑框架,部署的过程是一个复杂的系统工程。是整个HIS应用得以实现的前提保证。
HIS安全审计是在医院网络环境下,为了保障网络和数据不受来自外网和内网用户的入侵和破坏,而运用各种技术手段实时监控网络环境中每一个组成部分的系统状态、收集安全事件,以便集中报警、分析、处理。安全审计方案主要有:
(1)日志审计。通过SNMP、SYSLOG、OPSEC或其他日志接口从路由器、交换机、服务器、医保前置机应用系统和网络安全设备中收集日志,进行统一管理、分析和报警;
(2)主机审计。在服务器、医保前置机安装“威盾”客户端,审计安全漏洞、合法或非法操作,监控联网行为;
(3)网络审计。通过旁路和串接的方式捕获网络数据包,进行协议分析和还原。网络审计包括了网络漏洞扫描产品、防火墙和IDS/IPS安全审计、互联网行为监控等类型的产品。
4HIS安全体系的技术实现
(1)内网与外网的物理隔离
内网涉及医保、财务和电子病历信息。必须与外网实现完全的网络隔离和设备隔离。内网与外网的隔离采用物理隔离网闸。物理隔离网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。这两个独立主机系统之间,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在基于协议的
数据包转发,只有数据文件的无协议“摆渡”,且对固态存储介质只有“读”和“写”两个命令,因而从物理上隔离、阻断了具有潜在攻击可能的一切连接。
(2)内网中划分VLAN
虚拟局域网(VLAN)是一种采用交换机将局域网内的主机逻辑地而不是物理地划分为一个个网段。从而实现虚拟工作组的技术。在一个交换网络中,VLAN提供了网段和部门科室的弹性组合机制。医院可根据不同的业务性质将各部门划分成不同的VLAN。
(3)网络边界安装防火墙
防火墙是一类防范措施的总称。它使内网与Internet之间或者内网与其他外部网络之间互相隔离、限制网络互访来保护内部网络。由于防火墙划定了网络边界和服务,因此更适合于相对独立的网络。任何关键性的服务器,都建议放在防火墙之后。
(4)专网用户采用VPN技术访问内网
虚拟专网技术(VPN)目前主要采用IPSec协议,有比较成熟的产品。例如与路由器或防火墙集成的硬件VPN模块,组建方便快捷。内网与卫生局、医保局的涉密信息往来。彼此间应该采用VPN技术相连,以保证通信安全。
(5)入侵监测
防火墙虽然能抵御网络外部安全威胁,但对从网络内部发起的攻击无能为力。实时入侵监测技术动态地监测网络内部活动并做出及时响应:能监控网络的数据流,从中检测出攻击行为并给予相应处理;还能检测到绕过防火墙的攻击。
(6)漏洞扫描
解决网络层安全问题,首先要弄清网络中存在哪些安全隐患和薄弱环节。面对医院大型网络的复杂性,仅仅依靠技术人员的经验是不现实的。解决方案是获取一种能自动探测网络安全漏洞、并提出评估和建议的网络安全扫描工具。
(7)数据库服务器和医保前置机的安全设置
现有的网络设备以及操作系统、数据库系统都有一套自身的安全机制。路由器、交换机应配置好协议和访问控制列表:数据库服务器应关闭无关的系统服务和端口,并采用服务器分片备份网络数据。如门诊部用一台服务器、住院部用一台服务器、影像系统用一台服务器,按时定期做好数据备份。发生系统故障,能尽快回滚事务、恢复系统。
每台医保前置机都安装了“威盾”远程控制软件客户端。USB端口和光驱被自动禁用。通过设定对应账户权限(管理员账户和来宾账户),控制用户访问特定数据。每个用户(医生、护士、管理人员等)在整个系统中具有唯一的账号。禁止用户对无关文件进行读写,以防非法用户侵入网络。
5小结
无忧在线内网安全管理
用户手册
汕头市龙湖区长江路8号电信实业大厦17层
邮编:515041
公司电话:0754-88177799 服务热线:400-668-0255 传 真:0754-88177038
官网:http://
无忧在线终端与内网安全管理系统
用户手册
目 录 前言............................................................................................................................4
1.1 文档目的........................................................................................................4 1.2 读者对象........................................................................................................5 1.3 文档组织........................................................................................................5 1.4 技术支持........................................................................................................5 2 系统简介....................................................................................................................5
2.1 系统架构........................................................................................................6 2.2 系统功能........................................................................................................7 2.3 登陆账号........................................................................................................7 2.4 系统登陆........................................................................................................7 3 系统应用....................................................................................................................8
3.1 分组管理........................................................................................................8
3.1.1 客户端分组.........................................................................................8 3.1.2 自定义分组.......................................................................................10 3.1.3 自定义分组管理...............................................................................11 3.2 客户端维护..................................................................................................11
3.2.1 多机维护...........................................................................................11 3.2.2 单机维护...........................................................................................12 3.2.3 远程控制...........................................................................................13 3.2.4 远程维护...........................................................................................14 3.2.5 消息管理...........................................................................................14 3.3 策略配置......................................................................................................15
3.3.1 新建策略...........................................................................................15
3.3.1.1 资产策略................................................................................17 3.3.1.2 日志策略................................................................................19 3.3.1.3 通讯策略................................................................................20 3.3.1.4 外设控制................................................................................21 3.3.1.5 非法外联策略........................................................................22 3.3.1.6 服务进程管理........................................................................22 3.3.1.7 程序行为审计........................................................................23 3.3.1.8 存储控制................................................................................24 3.3.1.9 文件操作审计........................................................................26 3.3.1.10 上网行为控制......................................................................26 3.3.1.11 上网行为审计......................................................................27 3.3.1.12 ARP侦听策略........................................................................28 3.3.1.13 补丁分发..............................................................................30 3.3.1.14 屏幕控制..............................................................................32 3.3.1.15 软件分发..............................................................................33 3.3.1.16 802.1X....................................................................................34 3.3.1.17 防病毒..................................................................................35 3.3.1.18 客户端配置..........................................................................36
无忧在线终端与内网安全管理系统
用户手册
3.3.1.19 文件加密配置策略..............................................................37 3.3.1.20 流量控制与审计..................................................................39 3.3.1.21 客户端UI策略.....................................................................40 3.3.1.22 客户端漫游策略..................................................................40 3.3.2 策略管理...........................................................................................41 3.3.3 新建时间对象...................................................................................42 3.3.4 时间对象查询...................................................................................43 3.3.5 客户端策略查询...............................................................................43 3.3.6 节点策略查询...................................................................................44 3.3.7 统一认证用户配置...........................................................................44 3.3.8 自定义分组策略查询.......................................................................45 3.4 日志审计......................................................................................................45
3.4.1 网络行为审计...................................................................................45 3.4.2 程序行为审计...................................................................................46 3.4.3 文件访问审计...................................................................................46 3.4.4 报警日志...........................................................................................47 3.4.5 客户端系统日志...............................................................................48 3.4.6 服务器日志.......................................................................................48 3.4.7 补丁分发日志...................................................................................49 3.4.8 操作系统日志...................................................................................49 3.4.9 服务器级联日志...............................................................................50 3.4.10 移动存储日志.................................................................................50 3.5 数据查询......................................................................................................50
3.5.1 客户端查询.......................................................................................50 3.5.2 补丁库查询.......................................................................................55 3.5.3 补丁分组查询...................................................................................55 3.5.4 添加自定义软件...............................................................................56 3.5.5 查询自定义软件...............................................................................56 3.5.6 主机在线查询...................................................................................57 3.5.7 客户端综合查询...............................................................................57 3.5.8 客户端风险查询...............................................................................57 3.5.9 防病毒软件查询...............................................................................58 3.5.10 客户端流量查询.............................................................................58 3.6 查询统计......................................................................................................58
3.6.1 访问统计...........................................................................................58 3.6.2 操作系统统计...................................................................................58 3.6.3 补丁风险类型统计...........................................................................59 3.6.4 CPU类型统计.....................................................................................59 3.6.5 硬盘容量统计...................................................................................59 3.6.6 客户端内存统计...............................................................................59 3.7 服务器管理..................................................................................................60
3.7.1 服务器工作状态...............................................................................60 3.7.2 服务器配置.......................................................................................60 3.7.3 服务器参数配置...............................................................................61
无忧在线终端与内网安全管理系统
用户手册
3.7.4 本地升级...........................................................................................61 3.7.5 日志自动清除...................................................................................62 3.7.6 客户端卸载密码...............................................................................62 3.7.7 截屏路径设置...................................................................................63 3.8 服务器级联..................................................................................................63
3.8.1 上级服务器配置...............................................................................63 3.8.2 下级服务器配置...............................................................................63 3.8.3 登陆下级服务器...............................................................................64 3.8.4 策略分发...........................................................................................64 3.8.5 下级服务器策略查询.......................................................................64 3.9 用户管理......................................................................................................65
3.9.1 添加账户...........................................................................................65 3.9.2 账户管理...........................................................................................66 3.9.3 添加角色...........................................................................................67 3.9.4 角色管理...........................................................................................67 3.9.5 修改密码...........................................................................................68 3.10 下载............................................................................................................69
3.10.1 客户端管理.....................................................................................69 3.10.2 组态报表.........................................................................................70 3.11 帮助............................................................................................................75
3.11.1 激活产品.........................................................................................75 3.11.2 关于.................................................................................................76前言
本安装手册主要介绍无忧在线内网安全管理系统架构、配置、使用和管理。通过阅读本文档,用户可以了解无忧在线内网安全管理系统的基本设计思想,并配置和使用无忧在线内网安全管理系统。
本章内容主要包括: 本文档的用途
阅读对象
本文档的组织结构 本文档的基本约定
如何联系无忧在线技术支持
1.1 文档目的
本文档主要介绍如何配置和使用无忧在线内网安全管理系统。通过阅读本文档,用户能够正确地部署和配置无忧在线内网安全管理系统。
无忧在线终端与内网安全管理系统
用户手册
1.2 读者对象
本安装手册适用于具有基本网络知识的安全管理员、系统管理员阅读,通过阅读本文档,他们
可以独自完成以下一些工作:
无忧在线内网安全管理系统的功能使用
无忧在线内网安全管理系统的策略配置下发与管理。
1.3 文档组织
本文档包括以下章节及其主要内容:
前言。介绍了本手册各章节的基本内容、文档和技术支持信息。
系统简介。介绍无忧在线内网安全管理系统 的系统组成、体系架构和一个简单的网络部署实例。
系统应用。介绍如何配置使用无忧在线内网安全管理系统。
1.4 技术支持
启越科技对于生产的安全产品提供远程的产品咨询服务,广大用户和合作伙伴可以通过多种方式获取在线文档、疑难解答等全方位的技术支持。
1)在线支持
官方论坛bbs.wuyouonline.com提供交互网络服务,用户及合作伙伴可以在世界的任何地方,任何时候访问 bbs.wuyouonline.com技术支持中心,获取实时的网络安全解决方案、安全服务和各种安全资料。
全国统一热线服务电话: 400-668-0255 传真: 0754-88177038 公司电话:0754-88177799 客服经理承接质量问题投诉邮箱:support@wuyouonline.com 2 系统简介
无忧在线终端与内网安全管理系统是无忧在线内网安全管理系统安全管理平台产品的重要组成部分,部署在企业的内部网络中,用于保护企业内部资源和网络的安全性。
无忧在线终端与内网安全管理系统
用户手册
无忧在线终端与内网安全管理系统可以对内部终端计算机进行集中的安全保护、监控、审计和管理,可自动向终端计算机分发系统补丁,禁止重要信息通过外设和端口泄漏,防止终端计算机非法外联,防范非法设备接入内网,有效地管理终端资产等。无忧在线终端与内网安全管理系统可以与防火墙、漏洞扫描设备进行有机联动,共同提供全网安全解决方案。
2.1 系统架构
无忧在线终端与内网安全管理系统由客户端模块、服务器模块、控制台三部分组成。客户端代理模块对终端计算机进行监控,需要部署于每台需要被管理的终端计算机上,用于收集数据信息,并执行来自服务器模块的指令。
服务器模块存储终端安全策略、终端计算机信息、漏洞补丁数据等等,并由服务器向终端计算机客户代理模块发送指令。此模块安装在具有高性能CPU和大容量内存的服务器上。
控制台采用B/S结构可以运行在网络中的任意一台计算机上,用来监控每台安装有代理模块的计算机,管理各类审计系统,制定安全策略。
系统结构如下图所示:
无忧在线内网安全管理系统子系统中各功能如下:
控制台:是对服务器进行操作的控制界面,用于监控每台安装有客户端的终端计算机,制定安全策略,下达对终端计算机的监控指令等。
无忧在线终端与内网安全管理系统
用户手册
服务器:用于管理终端计算机的资产和系统信息、漏洞补丁数据、所应用的安全策略等,并向终端计算机的客户端发送监控指令等。
客户端:安装在每台被管理的终端计算机上,用于收集终端计算机的数据信息,执行来自服务器模块的指令,完成对终端计算机的监控等。
2.2 系统功能
无忧在线内网安全管理系统桌面安全管理重点解决客户端计算机桌面安全管理和行为的审计。无忧在线终端与内网安全管理系统可以对客户端的防病毒软件的安装、运行及病毒库升级与否进行管理,可以对用户的文件、进程、上网行为等进行管理,并可以对客户端计算机上的文件、应用程序、上网行为等进行详细的审计。桌面安全管理可以分为桌面安全管理和桌面行为两个大的功能项。
2.3 登陆账号
用户使用不同的账号登陆,获得不同的用户操作权限,在用户登陆窗口输入默认的管理员账号、密码、验证码,三项输入正确无误后点击登陆进入相应的系统操作界面。
系统默认账号管理员:admin,密码:admin123; 系统默认系统操作员:operator,密码:operator123; 系统默认审计员账号:auditor,密码:auditor123; 系统默认一般用户账号:guest,密码:guest123;
2.4 系统登陆
管理员可以通过http协议以WEB访问的方式对无忧在线内网安全管理系统进行远程管理。在访问时,管理员需要在管理主机的浏览器上输入无忧在线内网安全管理系统服务器的管理URL加上端口号和路径。
http://服务器ip:8080/esms,弹出如下的登录页面:
无忧在线终端与内网安全管理系统
用户手册 系统应用
3.1 分组管理 3.1.1 客户端分组
点击“分组管理→客户端分组”会出现以下界面:
在这可以对客户端进行分组管理。选中父节点(全部分组)后,可以对组进行“新建分组”、“修改分组信息”、“删除分组”的操作。
无忧在线终端与内网安全管理系统
用户手册
选中分组时右侧会显示隶属于分组的客户端,选中右侧客户端后可以对其进行“移动”(更换到其他组)、点击“客户端自动分组”自动把“本地服务器”下的客户端分到相应ip段的新建分组里。
点击“分组管理→客户端分组→新建分组”会出现以下界面:
在“分组名称”中输入新建组的名称。
在默认分组中输入工作组所对应的起始IP到终止IP。新装的客户端会根据IP范围直接加入到指定的组中。描述中可以添加改组相应的备注。然后单击“确定”。
点击“分组管理→客户端分组→修改分组信息”会出现以下界面:
在这个界面内可以对已存在的分组信息,进行编辑、修改。
点击“分组管理→客户端分组→删除分组”(在删除前请选中要删除的分组)会出现以下对话框:
无忧在线终端与内网安全管理系统
用户手册
点击“确定”即完成删除操作。
点击“分组管理→自定义分组”会出现以下界面:
“自定义分组”中用户可以按照不用的搜索条件(如:主机名称、软件名称、操作系统类型等)对客户端进行筛选。然后对这些特殊的客户端进行查询和管理。
3.1.2 自定义分组
点击 “分组管理>>自定义分组”出现以下界面:
用户可以把用户保存不同分组,点击“保存到分组”—“选择已有分组”—“提交”,如果没有划分分组,可以先新建分组。
无忧在线终端与内网安全管理系统
用户手册
3.1.3 自定义分组管理
点击“分组管理→自定义分组管理”会出现以下界面:
用户可以在“自定义分组管理”中按照“组名”和“创建者”查询分组的情况。
3.2 客户端维护 3.2.1 多机维护
选择多个客户端点击“卸载客户端”,即可卸载安装客户端。
选择多个客户端点击“锁定”即可锁定多个客户机。
选择多个客户端点击“解锁”即可解除被锁定的多个客户机。选择多个客户端点击“断网恢复”即可使多个客户端网络恢复。
选择多个客户端点击“发送消息”。
无忧在线终端与内网安全管理系统
用户手册
发送消息时弹出如下页面:
在“主题”栏内填写要发送消息的题目,“内容”内填写要发送的内容。点击“提交”。客户端将提示:
3.2.2 单机维护
无忧在线终端与内网安全管理系统
用户手册
选择客户机点击“屏幕监视”按键即可看到客户机现在的屏幕操作。选择客户机点击“修改用户信息”,可直接对客户端的用户名进行修改。选择客户机点击“修改工作组”,可对客户端的工作组进行修改。选择客户机点击“修改主机名”
在“客户端主机名称”栏内从新给客户机命名点击“提交”按钮。
3.2.3 远程控制
选择客户机单击“远程控制”按钮即可控制客户端。
无忧在线终端与内网安全管理系统
用户手册
3.2.4 远程维护
选择客户机单击“远程维护”按钮,客户端会弹出对话框,选择允许即可控制客户端。
3.2.5 消息管理
选择,“客户端维护>>消息管理”,出现以下界面:
消息管理可以对客户端发送的消息进行查询,可以根据“客户端名称”或“消息标题”进行查询。
日志显示了,“客户端名称”、“消息标题”、“发送时间”、“状态”等。
选中要删除的消息单击“删除”按钮即可删除消息。点击消息可查看详细内容:
无忧在线终端与内网安全管理系统
用户手册
3.3 策略配置 3.3.1 新建策略
点击“策略配置→新建策略”会出现以下界面:
在“新建策略”中设置策略子项,这些子项都有一个属性的管理界面,如下图:
无忧在线终端与内网安全管理系统
用户手册
在这个属性界面中,用户可以自定义策略的名称,根据策略的具体内容做相关的描述。
策略优先级:
每条策略用户管理员都可以自定义其级别。级别越高需执行的力度越大。数字越大级别越高。默认级别为5。新建策略时必须填写策略级别。
是否启动:
这里的这个对勾是该策略的启动按钮。勾选上以后该策略才会生效。不勾选则该策略不生效。
时间对象:
用户可以根据自身的需求建立不同的时间范围。使策略在不同的时间范围内生效。可以通过“策略配置>>新建时间对象”来创建时间对象。详见1.3.3。用户场景→可启用种用户类型的管理
本地认证用户:
基于本地用户登录时所用的账号。来控制策略所执行的用户范围。本地用户系指本地计算机上开设的账户。
统一认证用户:
无忧在线终端与内网安全管理系统
用户手册
系指在网络内统一的账户服务系统,为每个用户开设一个唯一账户。例如微软的Active Directory(即常说的AD域)
本产品支持微软Active Directory和Novell的eDirectory两种LDAP账户系统。
网络场景:
设置策略在何种网络场景下生效,分为在线(和服务器联通)、离线(和服务器连接断开)、以及在线或离线的任意场景。
告警信息:
当策略被触发时可启动自动的报警与响应,管理员可以选择对客户端做如何的操作。具体的响应包括:发送消息;锁定计算机;断开网路(可设置断网时间和在断网情况下的可连接服务器IP地址);向服务器发送邮件;在客户端弹出URL地址;若802.1X认证失败后的认证恢复时间。
策略设置完成后点击“保存”保存策略。“脚本查看”是管理员用来检验判断策略是否正确。点击“重置”重新来填写属性内容。
3.3.1.1 资产策略
点击“策略配置→新建策略→资产策略”右下角的新建策略会出现以下界面:
无忧在线终端与内网安全管理系统
用户手册
并可以根据用户自己的实际环境来选择上报时间和上报内容。此策略只是负责检测客户端的软件,硬件的变化情况,不具备控制和禁止的功能,当检测到变化后会以设置的报警方式产生报警响应。
上报方式:开机上报、有变化上报、定时上报用户可以根据自己的实际情况上报方式。定时间隔:勾选定时上报,可自定义上报间隔时间,上报后保存到数据库中,以便用户实时的查询。
软件变化和硬件变化都可分别选择是否记录和报警
资产类型:可选择记录核心资产、非核心资产,此两者的内容可在自定义资产中自行选择分类。
无忧在线终端与内网安全管理系统
用户手册
选取上报自定义资产选项后,客户机将上报指定的自定义资产信息
3.3.1.2 日志策略
“日志策略”用来设定客户端记录各种日志的参数,以及日志压缩和上报。点击“策略配置→新建策略→日志策略” 的“新建策略”按钮会出现以下界面
无忧在线终端与内网安全管理系统
用户手册
用户在“日志策略”中可以选择系统需要记录的日志。包括:系统日志、调试日志、报警日志、审计日志。以及这些日志的上报间隔和日志要保存的天数。日志若选择不记录,那么上报间隔和保存时间都可以不用填写。
注意:必须开启此策略,才可查看客户机的各种日志。
3.3.1.3 通讯策略
“通信策略”用来设置客户端和服务器之间通信的间隔、通信方式等参数。点击“策略配置→新建策略→通讯策略” 的“新建策略”按钮会出现以下界面:
无忧在线终端与内网安全管理系统
用户手册
心跳间隔时间:
指客户端和服务器通行的时间间隔。超时时间是指服务器判断客户端是否掉线的时间依据。若网络连接等待超过了设置的超时时间,则系统会认为连接失败,即心跳失败。这个功能用于一些大型的网络。终端过多或者网络慢有延时的情况下,为了缓解服务器的压力,适当的可以把心跳时间调大。
注意:通信策略是基础策略,必须启用。
3.3.1.4 外设控制
“外设控制”可以控制客户端外部设备的使用许可,对客户端的违规行为做出报警响应。
点击“策略配置→新建策略→外设控制” 的“新建策略”按钮会出现以下界面:
无忧在线终端与内网安全管理系统
用户手册
可以设置控制客户端外设的使用,启用或禁用光驱、软驱、USB移动存储设备、USB全部接口、打印机、调制解调器、串、并行口、1394控制器等红外设备。
禁用后,在接受策略的客户端的设备管理器中,对应设置禁止使用的设备出现红色的小叉。
3.3.1.5 非法外联策略
“非法外联策略”对要求物理隔离的内网客户端,可以实时监控其是否能够非法连接外部网络,并产生报警响应。
点击“策略配置→新建策略→非法外联策略” 的“新建策略”按钮会出现以下界面:
用户可以选择IP探测(192.168.1.1)、IP加端口探测(如192.168.1.1:80)、域名探测()来检测客户端是否非法外联。
探测周期:指服务器多长时间对客户端进行一次探测。
探测方法:可单选也可复选,三种方式都有样例,照样例输入就可以。
3.3.1.6 服务进程管理
服务进程管理”可以控制终端的应用程序进程和服务的运行状态。建立应用程序和服务的黑白名单,可以对用户的违规行为进行报警。
点击“策略配置→新建策略→服务进程管理” 的“新建策略”按钮会出现以下界面:
无忧在线终端与内网安全管理系统
用户手册
针对进程的管理:
进程名:在这填写需要控制的进程名,不需要填写进程的安装路进。例如:针对迅雷的策略就填写“thunder.exe”
是否报警:勾选上;在用户违反策略的时候客户端会报警信息。不勾选,客户端则不会弹出报警信息。
控制状态:必须运行、禁止运行、允许运行。
填写好相关信息后点击添加。在下方的列表中可以查看、删除设置。
针对服务的管理:
服务名:填写需要控制的服务名。
是否报警:勾选上;在用户违反策略的时候客户端会报警信息。不勾选,客户端则不会弹出报警信息。
填写需要控制服务的启动类型:禁止、手动、自动。
填写需要控制服务的控制状态:必须运行、禁止停止、允许运行。填写好相关信息后点击添加。在下面的列表中我们查看、删除信息。
3.3.1.7 程序行为审计
点击“策略配置→新建策略→程序行为审计”右下角的新建策略会出现以下界面:
无忧在线终端与内网安全管理系统
用户手册
审计系统进程:勾选则记录系统进程日志。不勾则不记录。
信任程序名称:系统默认记录所有进程的相关日志。在信任程序名称中填写不需要做审计的进程名。建立信任进程列表。列表内程序将不被记录。其他所有程序的运行情况将记入日志。
设置策略后,可以在软件的日志审计—程序行为中看到审计结果。
3.3.1.8 存储控制
点击“策略配置→新建策略→存储设备管理”
点击“增加新的移动设备”出现以下界面:
无忧在线终端与内网安全管理系统
用户手册
客户端接受服务器发来的经过认证的U盘列表。移动存储首先要把服务器的ip地址设置为信任站点,然后点表格中的“添加新的移动存储”,在弹出的页面中点“注册码”,在出现如下页面后再插入U盘,读取出U盘的注册码拷贝到前一个页面的注册码中,然后点提交。
点击“策略配置→新建策略→存储控制策略”右下角的新建策略会出现以下界面:
禁止的固定盘符:可直接禁止指定的盘符。
无忧在线终端与内网安全管理系统
用户手册
仅允许使用授权设备:被下发策略的客户端只允许使用授权设备,其他移动存储设备不允许使用。
移动存储设备只读:被下发策略的客户端在使用注册的存储设备时,只有只读权限。在限制使用的同时,还可以对存储设备进行审计: 审计授权设备:对指定授权的存储设备进行审计;
审计非授权设备:对非授权设备进行日志审计,在列表中可设置免于审计的设备。将策略保存后下发给相应客户端即可。
3.3.1.9 文件操作审计
点击“策略配置→新建策略→文件操作审计”右下角的新建策略会出现以下界面:
对预先指定的文件或者指定后缀的文件的复制、打开、读取、写入、删除、移动、共享、打印等事件进行监控当事件发生时,进行报警。
可以填写指定的文件名,填写的文件的全称加文件的后缀,并写入文件的绝对地址。例如:C:文档.doc;也可以用通配符*.面加要审计的文件的后缀.例如:*.doc 操作:选上是指当对文件执行选中的操作时,服务器将报警。
3.3.1.10 上网行为控制
点击“策略配置→新建策略→上网行为控制”右下角的新建策略会出现以下界面:
无忧在线终端与内网安全管理系统
用户手册
控制客户端的上网行为,可以对网站、IP地址、本地端口、远程端口做控制。并且在客户端产生报警。
标志类型:用户根据实际情况选择对终端的域名、IP地址、本地端口、远程端口做出控制。在下面的内容中填写相应的信息。在控制类型选择允许访问或者禁止访问。可在一个输入框中填写多条记录,以分号分隔。
是否报警:勾选上;在用户违反策略的时候客户端会报警信息。不勾选,客户端则不会弹出报警信息。
注意:客户端对域名进行解析后得到的IP可能不相同,如有可能,在客户端上禁止此URL的解析。例如,在hosts文件中强行写入此域名,并不得更改。支持通配符。
网页:指定网页URL。不含域名或IP地址,只包含访问路径。支持通配符。网络访问模式:指定目标IP地址、端口。以上均可定义多组。
3.3.1.11 上网行为审计
点击“策略配置→新建策略→上网行为审计”右下角的新建策略会出现以下界面:
无忧在线终端与内网安全管理系统
用户手册
该功能界面可以对终端的上网行为做审计。记录对网站和网页的访问记录。还可以自定义终端上网行为的黑白名单。1.客户端不下发本策略,则不记录上网行为;2.客户端下发列表为空的策略,则记录在案所有上网行为(仅审计HTTP协议);3.下发有列表的策略列表客户端,则记录除列表之外的其它上网操作。
标识类型:单选框,用户可以自定义域名和IP。
内容:根据选择的标识类型进行相匹配的设置。选择域名 例如:;选择IP 例如:202.130.196.116;
添加完的内容要点增加按钮添加到列表中。该列表为终端上网行为的白名单,即不做审计的上网行为。
策略应用成功后,可以在日志审计→程序行为中直接看到结果。
3.3.1.12 ARP侦听策略
点击“策略配置→新建策略→ARP侦听策略”会出现以下界面:
无忧在线终端与内网安全管理系统
用户手册
使用者须先了解以下概念“合法主机”、“非法主机”、“信任主机”、“超级主机”。 “合法主机”是指安装过客户端且客户端处于运行状态的终端。 “非法主机”是指客户端未运行或没有安装过客户端的终端。
“信任主机”是对于没有安装客户端或者没有执行安全策略的主机,如想不被干扰,则可以将该主机在阻断组中设置为信任主机。
IP地址和掩码配置正确的情况下,添加信任主机才有效。信任主机可以和同一子网内的合法主机相互通信,但是不能和非法主机互相通信。
“超级主机”是可以和任意的主机互相通信(包括非法主机)。
安全接入服务器自动成为超级主机。如果设置网关为信任主机,则非法主机不能连接内网,也不能和合法主机通信。如果这时网关为超级主机,则非法主机虽然不能和合法主机通信,但是可以通过网关连接外网。选项说明:
在“工作时间”处填入一个时间段,用来指定阻断生效的时间范围;
设置“干扰服务器每次发包个数”、“干扰时间”、“持续干扰时间”,可以指定
无忧在线终端与内网安全管理系统
用户手册
干扰强度,发包数越大、干扰时间越短、持续时间越长,则干扰效果越明显,但占用资源也随之增大;
只扫描:只进行对在线主机的扫描,通过扫描可以查看主机的合法性,但不进行干扰。
是否启用全网络干扰:启用全网络干扰后,非法用户将无法与合法用户进行通信,即使在干扰后安装了客户端也会永远被干扰下去。(此设置非常严格,请慎用) “主机上线不干扰时间”是指刚开机的计算机在未安装客户端程序的情况下,留出一个缓冲时间,供其到服务器上下载安装客户端,成为合法主机。超过此时间而未完成客户端程序安装的即视为非法主机予以阻断;
设置好“合法主机”、“非法主机”、“信任主机”、“超级主机”,这些主机不予阻断;
干扰未安装防病软件配置是指开启阻断后如果不安装用户指定的杀毒软件则对其进行阻断。
点击“保存”就完成该策略的新建。重要说明:
此策略使用ARP协议进行阻断,与网络环境密切相关。如果交换机上开启MAC地址与IP地址绑定或其他非MAC地址自学习方式,或者网络内部署了ARP防火墙,则此策略无法生效。
详情请向厂商工程师咨询。
3.3.1.13 补丁分发
根据客户端的补丁安装情况。用户可以自定义给客户端进行补丁的下发。还可以根据补丁的风险级别,自定义补丁的下发时间、补丁安装时间以及补丁的处理时间。
点击“策略配置→新建策略→补丁分发”会出现以下界面:
无忧在线终端与内网安全管理系统
用户手册
启用微软自动更新选项,如果选用则不用设置其他选项,因为您已经选择了使用微软的自动更新进行补丁的下载和安装。
推荐:建议不启用微软自动更新,设置以下选项,具体含义:
补丁分析频率:客户端分析服务器补丁更新的时间,已决定是否更新。 补丁下载时间:发现客户端如果需要更新的话,补丁什么时间下载。 补丁安装时间:是指补丁下载后具体的安装时间。
安装方式:对于不同风险级别的补丁,有四种安装方式可以选择:A强制 B通知 C不操作 D 静默安装。
下载方式:针对您的实际情况,我们提供三种下载方式: HTTP,FTP,FTP。 过滤选项:可设定过滤组,组内的补丁将不安装客户机上。
补丁回退分组:设定回退分组,可将已安装在客户机上的补丁进行回退(须补丁支持);
无忧在线终端与内网安全管理系统
用户手册
允许从微软下载:本产品支持从服务器上下载补丁,也可从微软网站上下载补丁。 报警风险值设定:可根据客户机上缺少补丁的风险级别决定采用什么措施。例如可设定紧急风险补丁的权重值为80%、高风险为40%、中风险为20%、低风险为10%,每种补丁的个数乘以权重值并累加,即可得知客户机的漏洞与补丁的风险总值。本策略可在输入框内输入一个风险阈值,当超出此阈值时可触发自动报警,帮助管理掌握客户机上的漏洞与补丁风险。
3.3.1.14 屏幕控制
点击“策略配置→新建策略→屏幕监控”会出现以下界面:
用户可以在“屏幕监控”中开启屏幕监控策略。可以根据实际情况来设置上报屏幕的抓图。
具体内容:
记录方式:我们提供两种:有变化记录屏幕和定时记录屏幕两种。 记录间隔:我们以秒进行设定。
上报时间:是只客户端多长时间上传一次保存图象。
图象压缩比: 结合客户端的硬盘空间和上述设置可以选择不同三种方式:高,中,低三种。
无忧在线终端与内网安全管理系统
用户手册
磁盘空间超过30MB后:在客户端上的屏幕截图存储超过30MB后,可选择删除部分最早期的图片文件或者不保存新的图片两种模式。
3.3.1.15 软件分发
点击“策略配置→新建策略→软件分发”会出现以下界面:
用来给客户端下发用户自定义软件类型、软件的分发时间以及软件的安装时间和目标存储路径。点击“保存”即完成了该策略的建立。
选择软件:所选择的软件必须是先添加到自定义软件中的,添加过程可从数据查询->添加自定义软件。具体详看相应操作。
软件下载时间:指软件具体的下发时间。
软件安装时间:指软件下发后安装的时间。
目标存放路径:如果选择默认目录或者桌面,您就不用进行其他的路径选择,如果您选择的是用户自定义的路径,则您需要手动输入路径。
软件安装方式:提供强制和通知两种,强制是不需要用户干预的(须软件本身支持)。下载方式:提供四种:HTTP,P2P,FTP,共享服务器。
无忧在线终端与内网安全管理系统
用户手册
共享目录:当下载方式选择“共享服务器”时,在这里输入共享服务器的共享目录的绝对路径地址,客户机收到软件分发策略时,可自动去指定地址寻找并下载软件,并在客户机上安装。
3.3.1.16 802.1X 点击“策略配置→新建策略→802.1X”会出现以下界面:
这个功能界面能实现,已经安装客户端程序的主机(受控主机、受信主机)允许接入网络,否则交换机将其阻断在网络之外。网络中的交换机和终端与内网安全管理系统联动,在交换级上设置好802.1X的认证服务端,账号密码,客户端通过交换机传输数据来访问网络。
交换机型号:软件支持交换机的型号。
用户名、口令:是交换机登陆时使用的用户名和口令。检测连接间隔:交换机检测客户端在线的时间间隔。
认证失败后提示:当交换机和客户端尝试建立连接失败以后,客户端会提示连接失败。重复认证次数:是指客户端与交换机断开连接之后。客户端主动和交换机进行建立连接的次数。
重复认证间隔:是指客户端交换机间隔多时间后和客户端进行连接。
无忧在线终端与内网安全管理系统
用户手册
3.3.1.17 防病毒
点击“策略配置→新建策略→防病毒软件” 的“新建策略”按钮会出现以下界面:
客户端应该安装杀毒软件来防止病毒。用户可以在这个功能界面设置相应的策略来检测客户端防毒软件的安装情况,以实现强制使用杀病毒软件来保护内网不受病毒侵袭。
检测间隔:隔多长时间服务器会对客户端的防病毒软件安装情况进行检测。
报警类型:选择“未安装——任意”客户端没有安装任何杀毒软件就会报警;“未启动”客户端没有启动任何杀毒软件
病毒库不是最新就会报警:是只要程序检测到客户端装的不是最新的防病毒软件的版本就会报警。
检测内容:.1.“检测内容”当中的“任意”,表示只要安装一种防病毒软件即可.;2.“检测内容”当中的“指定列表”,表示必须至少安装指定列表当中的一种防病毒软件。最小版本可是制定软件的具体版本号。
上报防病毒软件信息:可选择启动上报和有变化上报两种。
无忧在线终端与内网安全管理系统
用户手册
3.3.1.18 客户端配置
在“禁止修改主机ip”和“禁止修改主机名”对话框打勾,即可禁止用户本机IP地址以及主机名的修改;
启动“禁止修改主机名”,客户端将无法自行修改自己的主机名; 启用“禁止网络连接”可阻止所有网络通讯(服务器除外); 启用“禁止IE选项”可禁止用户自行修改IE属性; 启用“锁定设备管理器”可禁止用户使用设备管理器; 启用“关闭默认共享”可以关闭系统开启的网络共享; 启用“禁止发送到”可禁止在桌面菜单上使用“发送到”功能; 启用“禁用网上邻居”可禁止网上邻居的访问; 启用“禁用打开控制面板”可禁止控制面板的访问;
无忧在线终端与内网安全管理系统
用户手册
启用“禁用运行”可禁止开始菜单中的“运行”菜单;
启动“禁止非与服务器通信网卡”可禁止除与服务器通信的网卡以外的所有网卡驱动; 启用“IE设置代理服务器”可禁止客户端在IE浏览器的选项中设置代理服务器; 启动“认证失败账户锁定”,客户端进行安全接入认证失败后将被锁定,(可设置账户锁定时间、阀值和账户复位时间);
启动“同步客户端时间”,客户端的时间强制与服务器的时间同步;
防范ARP病毒,选择“绑定指定ip和mac” 和“绑定所有客户端IP和MAC”即可防止ARP病毒的干扰。前者绑定指定的主机,后者绑定网内所有合法机的IP与MAC。
3.3.1.19 文件加密配置策略
点击“策略配置—新建策略—文件加密配置策略”会出现以下界面:
用户可以根据需要设定加密密钥的方式,有以下选项“密码加密”,“硬盘特征加密”,“密码及硬盘特征加密”。
密码加密:用户设定的加密口令进行加密,只要有解密密码在任何机器都可以解开加密文件。 硬盘特征加密:根据用户硬盘特征值进行加密,此文件只能在本机解密,拿到其他机器不能解密文件。
无忧在线终端与内网安全管理系统
用户手册
密码及硬盘特征加密:前两种方式的结合,只能在本机解密,并需要密码。管理员设定用户密码加密的长度,最小长度8-30.客户端操作:
策略下发到已安装客户端机器后,根据管理员设置不同加密方式进行加密,下图使用口令加密操作方式。
用户在文件点击右键,选择加密文件,打开加密界面,用户设置加密密码,输入两次,加密长度根据管理员设定。
小提示:密码长度至少8位,请妥善保管您的密码,遗失密码可能导致改文件无法恢复,请用户设定密码时一定要记住使用的密码。
加密后的文件后缀默认为JDE。
用户根据需求一次可以选择多个文件,点击右键进行加密。
在已经加密后的文件上点击右键,在弹出的菜单上点击解密菜单项,如果该文件在加密时使用了密码,那么就弹出一个要求用户输入密码的窗口,在密码校验正确后,开始还原流程。
无忧在线终端与内网安全管理系统
用户手册
3.3.1.20 流量控制与审计
点击“策略配置→新建策略→流量控制与审计”打开配置页面。
1.用户选择“启动流量审计”,勾选后开启终端的流量审计功能。
检测间隔:终端每隔多少时间对流量进行一次审计,以每分钟做计量单位。上报间隔:终端每隔多少时间对审计过的流量对服务器上报一次。2.用户选择“启动流量控制”,勾选后开启终端的流量控制功能。
检测间隔:终端每隔多少时间对流量进行一次审计,以每分钟做计量单位。统计间隔:终端多少时间内对流量进行一次统计,如果在一定统计周期内流量超过预设的阀值,则会对终端发送告警消息,或锁屏,中断网络等行为。
流量类型:可选择上行、下行和总量。流量峰值:设置达到流量的上限。
说明:1.流量控制中的统计间隔最好为检测间隔的倍数。
4.告警消息可在“属性”中,其中有以下功能选项“弹出消息”,“锁定计算机”,“断开网络”,“服务器发送邮件”
无忧在线终端与内网安全管理系统
用户手册
3.3.1.21 客户端UI策略
点击“策略配置→新建策略→客户端UI策略”打开配置页面。
启动“主动上报自定义资产”,客户端会自动弹出收集自定义资产对话框,客户端用户根据要求输入即可; 启动“消息自动弹出”,消息下发给客户端后会在屏幕中间自动弹出,时效性高。
3.3.1.22 客户端漫游策略
点击“策略配置→新建策略→客户端漫游策略”打开配置页面。
无忧在线终端与内网安全管理系统
用户手册
IP地址:这里输入多个服务器IP地址A、B、C,将策略下发给指定客户端,当客户端在A服务器管理范围内的时候,将受到A的管理;当客户端脱离A服务器进入B服务器管理范围内时,受到B的管理。
3.3.2 策略管理
点击“策略配置→策略管理”,会出现以下界面:
用户在点击“策略管理”可以查看策略名称、创建者、策略类型、描述、最后修改时间,用户还可以在这对策略进行删除、修改和分发的操作。
点击“删除策略”即删除该条策略。
无忧在线终端与内网安全管理系统
用户手册
点击“修改策略”可以对已经建立的策略进行重新的编辑修改。点击“分发策略”会出现以下的对话框:
可指定此策略下发到哪些客户机上和哪些计算机分组上。
用户在这个界面可以再次审查策略的内容。选择要执行该策略的客户端点击“提交”即完成了该条策略的下发。
3.3.3 新建时间对象
点击“策略配置→新建时间对象”会出现以下的界面:
用户在“策略对象管理”添加时间的场景,设置“时间场景”的具体名称、描述、包含的时间段,然后点击“增加”完成“时间场景”的添加。
“增加”完成后,会直接跳转到“时间对象查询”。用户可以通过点击“对象名”对建立好的时间场景进行编辑、修改、删除。
无忧在线终端与内网安全管理系统
用户手册
3.3.4 时间对象查询
点击“策略配置→时间对象查询”会出现以下界面:
用户可以按照“对象名”、“ 创建者”、“创建时间”来查询用户已经建立的时间对象。
3.3.5 客户端策略查询
点击“策略配置→客户端策略查询”会出现以下界面:
管理员可以在“客户端策略查询”处查看每个客户端的执行策略。点击客户端名称可进入如下页面,对已经建立好的策略进行修改、删除的操作。
每个客户端所执行的策略是其组以及其组所属的根组加上客户端本身的策略。如果客户端本身和上级组的策略级别一致,则按照上级组的策略执行。
无忧在线终端与内网安全管理系统
用户手册
如果上级组的策略优先等级低于客户端本身的策略优先等级则执行最小授权。
3.3.6 节点策略查询
点击“策略配置→节点策略管理”会出现以下界面:
用户在“节点策略查询”处查看客户端组的执行策略。点击自定义的节点名称还可以对已经建立好的策略进行修改、删除的操作。
3.3.7 统一认证用户配置
如启用统一认证用户管理,须在本菜单设置统一用户服务器的相关信息。
“同步间隔”输入间隔时间如“1”小时。
“统一用户认证类型”选择novell 或者windows 域模式。 “统一用户认证服务器ip”填写域服务器的ip地址。
“统一用户认证服务器端口”题写默认的与服务器端口如:“389”。 “服务器登陆用户名”填写登陆域用户名。 “服务器登陆密码”填写登陆域用户密码。
无忧在线终端与内网安全管理系统
用户手册
3.3.8 自定义分组策略查询
点击“策略配置→自定义分组策略查询”会出现以下界面:
点击自定义分组,即可看到分组被下发的策略。
3.4 日志审计
日志审计使用“日志审计账户“登陆,用户名auditor 密码:auditor 123.3.4.1 网络行为审计
点击“日志审计→网络行为审计”会出现以下界面:
无忧在线终端与内网安全管理系统
用户手册
当用户设置并开启关于“网络规则”的策略后,系统会实时记录客户端登录网站地址、登录网站的具体时间等一些相关信息。用户管理员可以在“网络行为”中进行查询。
用户还可以根据时间情况进行有条件搜索,点击“重置”用户可以重新输入新的查询条件。可直接将结果导入导出,支持EXCEL、TXT等报表格式。
3.4.2 程序行为审计
点击“日志审计→程序行为审计”会出现以下界面:
当用户设置并开启关于程序的策略后,系统会实时记录客户端使用应用程序的相关信息。用户管理员可以在“程序行为”中做相关查询。
用户还可以根据时间情况进行有条件搜索,点击“重置”用户可以重新输入新的查询条件。可直接将结果导入导出,支持EXCEL、TXT等报表格式。
3.4.3 文件访问审计
点击“日志访问→文件访问审计”,会出现以下的界面:
无忧在线终端与内网安全管理系统
用户手册
用户对于指定文件进行修改、复制、移动、访问、恢复、创建、删除、打印、改名、共享操作的记录。可直接将结果导入导出,支持EXCEL、TXT等报表格式。
3.4.4 报警日志
点击“日志审计→报警日志”会出现以下界面:
当用户设置了“报警策略”后,系统会实时的记录客户端的每次触发报警策略时的日志。用户管理员可以在“报警日志”中查询客户端具体触发了什么报警策略,以及触发报警策略的时间等。
用户还可以根据时间情况进行有条件搜索,点击“重置”用户可以重新输入新的查询条件。可直接将结果导入导出,支持EXCEL、TXT等报表格式。
无忧在线终端与内网安全管理系统
用户手册
3.4.5 客户端系统日志
点击“日志审计→客户端系统日志”会出现以下界面:
“系统日志”记录了每个客户端登录无忧在线内网安全管理系统的时间以及客户端实时的操作日志。用户管理员可以根据不同的需要按照客户端名称、时间、日志的内容来进行有条件的查看。
点击“重置”用户可以重新输入新的查询条件。可直接将结果导入导出,支持EXCEL、TXT等报表格式。
3.4.6 服务器日志
无忧在线终端与内网安全管理系统
用户手册
“服务器日志”记录了对控制台的操作记录、消息记录例如:新建用户,建立用户时间日期,登陆、登出时间日期等。可直接将结果导入导出,支持EXCEL、TXT等报表格式。
3.4.7 补丁分发日志
记录了对客户机补丁安装的结果。可直接将结果导入导出,支持EXCEL、TXT等报表格式。
3.4.8 操作系统日志
操作系统系统日志、安全日志的详细记录。可直接将结果导入导出,支持EXCEL、TXT等报表格式。
无忧在线终端与内网安全管理系统
用户手册
3.4.9 服务器级联日志
在服务器级联配置完成后,这里就会显示服务器的级联日志。可直接将结果导入导出,支持EXCEL、TXT等报表格式。
3.4.10 移动存储日志
给客户端下发了移动存储策略后,在这里可以查看客户端使用存储日志的情况,可根据条件查询。可直接将结果导入导出,支持EXCEL、TXT等报表格式。
3.5 数据查询 3.5.1 客户端查询
【中文摘要】公安内网管理监控系统已经在全国得到了部署和使用,一些现成的商业或者组织研制的监控系统已经能很好的解决了“一机两用”问题和公安内网客户端安全管理等关键问题。课题研究开发了一款简易初步的局域网监控系统,适合于地市级单位使用,以节约成本。论文首先对目前的内网使用安全状况及其原因分析做了简要介绍,并介绍了课题研究的背景,提出了本课题的研发内容。其次,对系统研发过程中所用到的数据库知识、开发环境知识进行了介绍,为后续的描述做了铺垫。随后,对系统的用户需求进行了详细的分析,并设计了各个功能的用例。在通过对用例的初步分析的基础上,对系统进行了概要设计,得到了系统框架结构与类结构。第四章则重点阐述了系统各个模块的详细设计。最后,讲述了系统的实现与测试方案设计。本研究实现了如下模块:1)检测和发现网络中存在的计算机通过MODEM,ADSL,双网卡及其离线方式等设备接入网络行为。2)记录各种非法上网的计算机信息,如上网时间,持续时间,客户端地址,计算机的IP地址,MAC地址等。3)详细记录非法上网计算机的计算机名称,单位,上网方式(代理,拨号)。4)便捷的查询设计功能,多种条件查询支持对一机两用信息进行信息查询统计。5)能够将本级监控系统管辖范围内的监控信息以数据库形式分类存储并上报,并实现监控或者病毒信息发布平台,实现数据上传邮箱备分。本文所设计的内网监控管
理信息平台特点如下:1)本文所构建的监控平台采用服务器/浏览器(B/S)框架构建系统,在服务器端以ACCESS和SQL Server 2000作为数据库服务器提供了数据库服务功能。2)本系统设计采用面向对象的分析和设计策略,用了三层架构的框架进行开发,使各模块的类结构非常清晰。在数据库设计方面,使用了数据关系图,比较直观、易懂。在整个系统的研发过程中,有效的提高了效率,同时最小化了设计错误。3)本系统充分利用了Visual Studio 2005的集成开发环境在界面和数据库开发上的优势进行了系统实现,使用了.Net Framework 2.0的框架和VB.Net的开发语言,使得开发效率非常高,并且框架比较成熟和稳定。4)在系统测试方案设计上,本文在对传统V型和X型测试设计方案的分析基础上,采用了一种改进的测试方案对系统各个模块进行了测试。整个测试方案以黑盒和白盒单元测试相结合的方式实现,使测试更有效,更灵活。
【英文摘要】At present, the network controlling and management systems have been widely applied in the whole nation for security purposes.Currently, a series of available monitoring systems have been developed by a number of commercial and organizational agencies, for solving the problem of“one machine, dual use”.Here, we developed a simple preliminary LAN monitoring system, suitable for being applied in city-level governments to reduce costs.The first chapter is dealing with the current security situatuion of internal
network of the security departments.We also give a brief introduction, describe the research background, and propose the major contents of the present study.In the second chapter, we introduce the knowledge of database and programming environmet in detail.In the third chapter, we analyze the customer requirements for security monitoring, and design the principal modules for the whole system.In the fourth chapter, we mainly present the implementation of the modules of the systems.Finally, in the last chapter, the test design and cases for the system are present.Our study achieved the following modules:1)Detecting and identifying the connection way for the computers being monitored, including MODEM, ASDL, pairs of network cards, and offline behaviors.2)Recording the information all kinds of illegal access to internet for the computer, including online time, duration time, computer’s IP and MAC addresses and so on.3)Recording the detailed information on the illegal computer, including name, department, network connection ways(proxy or dial-up).4)Easy query of data sets for the purpose of security searching and checking.5)Saving and uploading the suspected alert data to the high-level security monitoring center;developing the platform of information sharing and publishing;realizing the
submission of alert data using email system.Features of present network monitoring security system:1)The monitoring platform is built on the basis of server/browser(B/S)framework.On the server side, SQL Server 2000 and ACCESS database software are used.2)The system design follows the object-oriented strategy, developed under the three-tier framework, therefore the class structure for each module can be clearly present.In the design of database, we graph the relationships among the data, which can be vividly understood.In the whole development process, we can effectively accelerate the programming and reduce the design mistakes.3)Our system extensively used the developing environment of Visual Studio 2005, which can easily make the system realized.By using.Net Framework 2.0 and VB.Net, the developing effectiveness is very high, and the system is stable.4)On the design of system testing, we not only used the traditional V-and X-type testing design, but also introduced an improved testing method.The entire testing is carried out by the combination of the black and white box units, to make the testing more efficient and flexible.【关键词】内网监控 一机两用 数据上报 信息发布 系统测试 【英文关键词】Monitoring within the network One machine Data reporting Information dissemination
System testing 【目录】公安内部网络安全监控系统管理系统的设计与实现摘要4-6Abstract6-7
11-12
第一章 绪论11-171.2 课题研究现状12
1.1 1.3 一1.5 论文公安内网建设背景机两用问题12-13组织结构15-16背景介绍17-26
1.4 课题主要内容13-151.6 本章小结16-17
第二章 系统技术
2.2 系
2.1 网络安全监控系统17-18
2.2.1 软件开发技术统技术基础分析18-1918-1919-22术20-22发环境22-23建模工具24-252.2.2 数据库技术192.3 开发技术和编程语言
2.3.2 ASP.NET 技2.4.1 ASP.NET 开
2.5 UML 2.3.1 系统开发体系19-202.4 系统开发工具22-24
2.4.2 数据库工具选择23-242.6 本章小结25-26
第三章 系统需求
3.2 系统3.4 数据分析与概要设计26-32架构设计26-28管理功能30-31设计32-41计32-33辑处理33辑设计33-36据库表设计34-36信息查询流程设计
3.1 成熟系统案例26
3.3 系统数据流分析28-303.5 本章小结31-324.1 监控系统功能设计
第四章 系统详细4.2 系统性能设4.2.2 业务逻4.3 数据库逻
4.3.2 数
4.4.1 4.2.1 以XML 传递数据32-334.2.3 统一管理业务接口33
4.3.1 数据E-R 图设计33-34
4.4 系统主要流程设计36-3836-37
4.4.2 信息删除流程设计
374.4.3 信息添加流程设计37-38
4.5.1 CA 认证体系
38-39
4.5 系统安全体系4.5.2 数据加密设计38-40394041-6141-424.5.3 用户权限控制39-404.6 本章小结40-415.1 系统实现平台41
4.5.4 日志管理
第五章 系统实现与测试
5.2 数据接口格式规范
5.4 系统功5.3 监控网络布线模块实现42-44能模块实现44-5744-47
5.4.1 联机设备注册管理实现
5.4.3 客5.4.2 监控信息数据管理实现47-49户端数据收集管理实现49-5252-56测试57-605757-58试59-6061-6362-63
5.4.4 报警数据上报模块实现
5.5 系统5.4.5 内网信息共享平台实现56-57
5.5.1 测试需求57
5.5.2 测试计划5.5.3 测试目标575.5.4 黑盒测试
5.5.6 系统性能测第六章 总结与展望6.2 研究展望64-66 5.5.5 白盒单元测试58-595.6 本章小结60-616.1 全文总结61-62致谢
63-64
国家安全生产监督管理总局发布 1 范围
本标准规定了煤矿安全监控系统的产品分类和技术要求。
本标准适用于煤矿使用的煤矿安全监控系统(以下简称系统)。术语和定义
2.1 煤矿安全监控系统 supervision system of coal mine safety 具有模拟量、开关量、累计量采集、传输、存储、处理、显示、打印、声光报警、控制等功能。用来监测甲烷浓度、一氧化碳浓度、二氧化碳浓度、氧气浓度、风速、负压、温度、烟雾、馈电状态、风门状态、风窗状态、风筒状态、局部通风机开停、主通风机开停等,并实现甲烷超限声光报警、断电和甲烷风电闭锁控制等。
2.2 传感器 transducer 将被测物理量转换为电信号输出的装置。
2.3 矿用甲烷传感器 methane transducer for mine 连续监测矿井环境气体中甲烷浓度的装置,一般具有显示及声光报警功能。
2.4 矿用风速传感器 air velocity transducer for mine 连续监测矿井通风巷道中风速大小的装置。
2.5 矿用风压传感器 wind pressure transducer for mine 连续监测矿井通风机、风门、密闭巷道、通风巷道等地通风压力的装置。
2.6 矿用一氧化碳传感器 carbon monoxide transducer for mine 连续监测矿井中煤的自然发火区及胶带输送机胶带等着火时产生的一氧化碳浓度的装置。
2.7 矿用温度传感器 temperature transducer for mine 连续监测矿井环境温度高低的装置。
2.8 矿用二氧化碳传感器 carbon dioxide transducer for mine 连续监测矿井环境气体中二氧化碳浓度的装置。
2.9 矿用氧气传感器 oxygen transducer for mine 连续监测矿井环境气体中氧气浓度的装置。
2.10 矿用烟雾传感器 smoke transducer for mine 连续监测矿井中胶带输送机胶带等着火时产生的烟雾浓度的装置。
2.11 矿用风筒开关传感器 air pipe switch transducer for mine 连续监测风筒是否有风的装置。
2.12 矿用风门开关传感器 air door switch transducer for mine 连续监测矿井风门开关的装置。
2.13 矿用馈电传感器 feed transducer for mine 连续监测矿井中馈电开关或电磁启动器负荷侧有无电压的装置。
2.14 执行器(含声光报警器及断电器)actuator 将控制信号转换为被控物理量的装置。
2.15 声光报警器 acoustooptic alarm 能发出声光报警的装置。
2.16 断电控制器 switching off controller 控制磁力启动器和馈电开关等的装置。
2.17 甲烷断电仪 methane breaker 井下甲烷浓度超限时,能自动切断被控设备电源的装置。
2.18 风电闭锁装置 interlocked circuit breaker
当掘进工作面局部通风机停止运转或风筒风量低于规定值时,能自动切断被控设备电源的装置。
2.19 甲烷风电闭锁装置 methane interlocked circuit breaker
当掘进工作面局部通风机停止运转或风筒风量低于规定值时,或空气中甲烷浓度超限时,能自动切断被控设备电源的装置。
2.20 分站 substation 接收来自传感器的信号,并按预先约定的复用方式远距离传送给传输接口,同时,接收来自传输接口多路复用信号。分站还具有线性校正、超限判别、逻辑运算等简单的数据处理能力、对传感器输入的信号和传输接口传输来的信号进行处理,控制执行器工作。
2.21 电源箱 power supply chassis 将交流电网电源转换为系统所需的本质安全型直流电源,并具有维持电网停电后正常供电不小于2h的蓄电池。
2.22 传输接口 transmission interface 接收分站远距离发送的信号,并送主机处理;接收主机信号、并送相应分站。传输接口还具有控制分站的发送与接收、多路复用信号的调制与解调、系统自检等功能。
2.23 主机 host 一般选用工控微型计算机或普通微型计算机,双机或多机备份。主机主要用来接收监测信号、校正、报警判别、数据统计、磁盘存储、显示、声光报警、人机对话、输出控制、控制打印输出、与管理网络联接等。
2.24 故障闭锁功能 fault interlocking function
当与闭锁控制有关的设备未投入正常运行或故障时,必须切断该监控设备所控制区域的全部非本质安全型电气设备的电源并闭锁。
2.25 馈电异常 abnormal feed 被控设备的馈电状态与系统发出的断电命令/复电命令不一致。
2.26 模拟量输入传输处理误差 analog input transmission error 传感器输出值(显示值)与中心站计算机显示值之间的误差。
2.27 模拟量输出传输处理误差 analog output transmission error 中心站计算机输入值与执行器输入值之间的误差。
2.28 最大巡检周期 cycle of maximum loop check 系统在满容量条件下,传感器输出变化到中心站计算机显示所需要的时间。
2.29 监测值 monitoring value 系统实时监测到的模拟量数值。
2.30平均值 average value 对单位时间内多次监测值取平均值。其时间间隔一般为5min(或10min)、1h、8h、24h、10d、30d(1个月)、3个月、6个月和12个月。若单位时间内对模拟量x采样次数为N、每次监测值为xi(i=1,2,3,„,N),则模拟量x的平均值应满足下列关系:
=(x1+x2+…+xN)/N 2.31 最大值 maximum value 对单位时间内多次监测值取最大值。
2.32 最小值 minimum value
对单位时间内多次监测值取最小值。
2.33 实时显示 realtime display 在任何显示方式下,将报警、断电、馈电异常等重要信息实时自动显示。
2.34 调用显示 selection display 根据需要选择所关心的模拟量(或开关量)显示。
2.35 报警显示 alarm display
当模拟量大于或等于报警浓度(或开关量为报警状态)时,自动将超限时刻及当前数值(或状态)等在屏幕上列表显示。
2.36 报警记录查询显示 inquiry display of alarm recording 根据需要将某一时间内报警模拟量(或开关量)的报警时刻和解除报警时刻、累计报警次数、累计报警时间、报警期间最大值和每次报警期间最大值等记录调出显示。
2.37 断电显示 switching off display
当模拟量大于或等于断电浓度(或开关量为断电状态)时,自动将当前模拟量数值(或开关状态)、断电命令及时刻、断电区域、馈电状态等在屏幕上列表显示。
2.38 断电记录查询显示 inquiry display of switching off recording 根据需要将某一时间内断电和复电命令及时刻、断电区域、馈电状态及时刻、累计断电次数、累计断电时间、断电期间最大值和每次断电期间最大值等调出显示。
2.39 统计值记录查询显示 inquiry display of statistical data recording 根据需要将某一段时间内模拟量的平均值、最大值等调出,并列表显示。
2.40 馈电异常显示 abnormal feed display 当断电命令与馈电状态不一致时,自动显示地点、名称、断电或复电命令时刻、断电区域、馈电异常时刻等。
2.41 馈电异常查询显示 inquiry display of abnormal feed 某一段时间内的断电命令与馈电状态不符记录次数、累计时间、每次起止时间等调出并显示。
2.42 状态变动显示 state alteration display 将当前状态变化的开关量(由“开”变“停”或由“停”变“开”)的状态变动时刻和状态变动状况(由“开”变“停”或“停”变“开”)等显示。
2.43 状态变动记录查询显示 inquiry display of state alteration recording 根据需要将某一段时间内开关量状态变动次数、变动时刻和变动状态等调出,并列表显示。
2.44 曲线显示 curve display 将模拟量监测值和统计值随时间变化的状况用带坐标和门限值的曲线等直观地显示出来。
2.45 状态图显示 state diagram display 将开关量状态随时间变化状况用带时间坐标的直线表示。
2.46 柱状图显示 cylindrical diagram display 将开关量单位时间内的开机效率(单位时间内开机时间)用直方图直观显示。
2.47 模拟图显示 mimic diagram display 在具有说明巷道、设备布置等背景图上,将实时监测到的开关量状态,用相应的图样在相应的位置模拟显示,同时将实时监测到的模拟量数值在相应位置显示。3.1 型号
产品型号应符合MT286的规定。
3.2 分类
3.2.1 按复用方式分类
a)时分制系统;
b)频分制系统;
c)码分制系统;
d)复合复用方式(同时采用频分制、时分制、码分制中两种或两种以上)系统。
3.2.2 按网络结构分类
a)树形;
b)环形;
c)星形;
d)总线形;
e)复合形(同时采用星形、环形、树形、总线形中两种或两种以上)。
3.2.3 按调制方式分类
a)基带;
b)调幅;
c)调频;
d)调相;
e)其他。3.2.4 按工作方式分类
a)主从;
b)多主;
c)无主。技术要求
4.1 一般要求
系统应符合本标准的规定,系统中的设备应符合有关标准及各自企业产品标准的规定,并按照经规定程序批准的图样及文件制造和成套。
4.2 环境条件
4.2.1 系统中用于机房、调度室的设备,应能在下列条件下正常工作:
a)环境温度:15~30℃;
b)相对湿度:40%~70%;
c)温度变化率:小于10℃/h,且不得结露;
d)大气压力:80~106kPa;
e)GB/T 2887规定的尘埃、照明、噪声、电磁场干扰和接地条件。
4.2.2 除有关标准另有规定外,系统中用于煤矿井下的设备应在下列条件下正常工作:
a)环境温度:0~40℃;
b)平均相对湿度:不大于95%(+25℃);
c)大气压力:80~106kPa;
d)有爆炸性气体混合物,但无显著振动和冲击、无破坏绝缘的腐蚀性气体。
4.3 供电电源
4.3.1 地面设备交流电源:
a)额定电压:380V/220V,允许偏差±10%;
b)谐波:不大于5%;
c)频率:50Hz,允许偏差±5%。
4.3.2 井下设备交流电源:
a)额定电压:36V/127V/380V/660V/1140V,允许偏差:
——专用于井底车场、主运输巷:+10-20%;
——其他井下产品:+10-25%;
b)谐波:10%;
c)频率:50Hz,允许偏差±5%。
4.4 系统设计要求
4.4.1 系统组成
系统一般由主机、传输接口、分站、传感器、执行器(含断电器、声光报警器)、电源箱、电缆、接线盒、避雷器和其他必要设备组成。
4.4.2 硬件
4.4.2.1 中心站硬件一般包括传输接口、主机、打印机、UPS电源、投影仪或电视墙、网络交换机、服务器和配套设备等。中心站均应采用当时主流技术的通用产品,并满足可靠性、可维护性、开放性和可扩展性等要求。
4.4.2.2 传感器的稳定性应不小于15d。(煤矿用低浓度载体催化式甲烷传感器,煤矿用高低浓度甲烷传感器、瓦斯抽放用热导式高浓度甲烷传感器和矿用电化学式一氧化碳传感器的稳定性和传输距离执行本标准,其他传感器执行各自现行标准。)
4.4.2.3 由外部本安电源供电的设备一般应能在9~24V范围内正常工作。(其供电距离不应小于2Km)
4.4.3 软件
操作系统、数据库、编程语言等应为可靠性高、开放性好、易操作、易维护、安全、成熟的主流产品。软件应有详细的汉字说明和汉字操作指南。
4.5 基本功能 4.5.1 数据采集
4.5.1.1 系统必须具有甲烷浓度、风速、风压、一氧化碳浓度、温度等模拟量采集、显示及报警功能。
4.5.1.2 系统必须具有馈电状态、风机开停、风筒状态、风门开关、烟雾等开关量采集、显示及报警功能。
4.5.1.3 系统必须具有瓦斯抽采(放)量监测、显示功能。
4.5.2 控制
4.5.2.1 系统必须由现场设备完成甲烷浓度超限声光报警和断电/复电控制功能。
a)甲烷浓度达到或超过报警浓度时,声光报警;
b)甲烷浓度达到或超过断电浓度时,切断被控设备电源并闭锁;甲烷浓度低于复电浓度时,自动解锁;
c)与闭锁控制有关的设备(含甲烷传感器、分站、电源、断电控制器、电缆、接线盒等)未投入正常运行或故障时,切断该设备所监控区域的全部非本质安全型电气设备的电源并闭锁;当与闭锁控制有关的设备工作正常并稳定运行后,自动解锁。
4.5.2.2 系统必须由现场设备完成甲烷风电闭锁功能:
a)掘进工作面甲烷浓度达到或超过1.0%时,声光报警;掘进工作面甲烷浓度达到或超过1.5%时,切断掘进巷道内全部非本质安全型电气设备的电源并闭锁;当掘进工作面甲烷浓度低于1.0%时,自动解锁;
b)掘进工作面回风流中的甲烷浓度达到或超过1.0%时,声光报警、切断掘进巷道内全部非本质安全型电气设备的电源并闭锁;当掘进工作面回风流中的甲烷浓度低于1.0%时,自动解锁;
c)被串掘进工作面入风流中甲烷浓度达到或超过0.5%时,声光报警、切断被串掘进巷道内全部非本质安全型电气设备的电源并闭锁;当被串掘进工作面入风流中甲烷浓度低于0.5%时,自动解锁;
d)局部通风机停止运转或风筒风量低于规定值时,声光报警、切断供风区域的全部非本质安全型电气设备的电源并闭锁;当局部通风机或风筒恢复正常工作时,自动解锁;
e)局部通风机停止运转,掘进工作面或回风流中甲烷浓度大于3.0%,必须对局部通风机进行闭锁使之不能起动,只有通过密码操作软件或使用专用工具方可人工解锁;当掘进工作面或回风流中甲烷浓度低于1.5%时,自动解锁;
f)与闭锁控制有关的设备(含分站、甲烷传感器、设备开停传感器、电源、断电控制器、电缆、接线盒等)故障或断电时,声光报警、切断该设备所监控区域的全部非本质安全型电气设备的电源并闭锁;与闭锁控制有关的设备接通电源1min内,继续闭锁该设备所监控区域的全部非本质安全型电气设备的电源;当与闭锁控制有关的设备工作正常并稳定运行后,自动解锁。严禁对局部通风机进行故障闭锁控制。
4.5.2.3 安全监控系统必须具有地面中心站手动遥控断电/复电功能,并具有操作权限管理和操作记录功能。
4.5.2.4 安全监控系统应具有异地断电/复电功能。
4.5.3 调节(非强制性,企业在产品设计时可根据实际等情况进行选择,按企业要求进行审查和验收。)
系统宜具有自动、手动、就地、远程和异地调节功能。
4.5.4 存储和查询
系统必须具有以地点和名称为索引的存储和查询功能:
a)甲烷浓度、风速、负压、一氧化碳浓度等重要测点模拟量的实时监测值;
b)模拟量统计值(最大值、平均值、最小值);
c)报警及解除报警时刻及状态;
d)断电/复电时刻及状态;
e)馈电异常报警时刻及状态;
f)局部通风机、风筒、主要通风机、风门等状态及变化时刻;
g)瓦斯抽采(放)量等累计量值;
h)设备故障/恢复正常工作时刻及状态等。
4.5.5 显示
4.5.5.1 系统必须具有列表显示功能:
a)模拟量及相关显示内容包括:①地点;②名称;③单位;④报警门限;⑤断电门限;⑥复电门限;⑦监测值;⑧最大值;⑨最小值;⑩平均值;断电/复电命令;馈电状态;超限报警;馈电异常报警;传感器工作状态等;
b)开关量显示内容包括:①地点;②名称;③开/停时刻;④状态;⑤工作时间;⑥开停次数;⑦传感器工作状态;⑧报警及解除报警状态及时刻等;
c)累计量显示内容包括:地点、名称、单位、累计量值等。
4.5.5.2 系统应能在同一时间坐标上,同时显示模拟量曲线和开关状态图等。
4.5.5.3 系统必须具有模拟量实时曲线和历史曲线显示功能。在同一坐标上用不同颜色显示最大值、平均值、最小值等曲线。
4.5.5.4 系统必须具有开关量状态图及柱状图显示功能。
4.5.5.5 系统必须具有模拟动画显示功能。显示内容包括:①通风系统模拟图;②相应设备开停状态;③相应模拟量数值等。应具有漫游、总图加局部放大、分页显示等方式。
4.5.5.6 系统必须具有系统设备布置图显示功能。显示内容包括:①传感器;②分站;③电源箱;④断电控制器;⑤传输接口和电缆等设备的设备名称;⑥相对位置和运行状态等。若系统庞大一屏容纳不下,可漫游、分页或总图加局部放大。
4.5.6 打印
系统必须具有报表、曲线、柱状图、状态图、模拟图、初始化参数等召唤打印功能(定时打印功能可选)。报表包括:①模拟量日(班)报表;②模拟量报警日(班)报表;③模拟量断电日(班)报表;④模拟量馈电异常日(班)报表;⑤开关量报警及断电日(班)报表;⑥开关量馈电异常日(班)报表;⑦开关量状态变动日(班)报表;⑧监控设备故障日(班)报表;⑨模拟量统计值历史记录查询报表等。
4.5.7 人机对话
系统必须具有人机对话功能,以便于系统生成、参数修改、功能调用、控制命令输入等。
4.5.8 自诊断
系统必须具有自诊断功能。当系统中传感器、分站、传输接口、电源、断电控制器、传输电缆等设备发生故障时,报警并记录故障时间和故障设备,以供查询及打印。
4.5.9 双机切换
系统必须具有双机切换功能。系统主机必须双机备份,并具有手动切换功能或自动切换功能。当工作主机发生故障时,备份主机投入工作。
4.5.10 备用电源
系统必须具有备用电源。当电网停电后,保证对甲烷、风速、风压、一氧化碳、主要通风机、局部通风机开停、风筒状态等主要监控量继续监控。
4.5.11 数据备份
系统必须具有数据备份功能。
4.5.12 模拟报警和断电
传感器应具有现场模拟测试报警和断电功能。
4.5.13 防雷(不考核井下电源防雷)
系统必须具有防雷功能。分别在传输接口、入井口、电源等采取防雷措施。
4.5.14 其他
4.5.14.1 系统应具有网络通信功能。
4.5.14.2 系统应具有软件自监视功能。
4.5.14.3 系统应具有软件容错功能。
4.5.14.4 系统应具有实时多任务功能,能实时传输、处理、存储和显示信息,并根据要求实时控制,能周期地循环运行而不中断。
4.6 软件功能
4.6.1 操作管理
软件必须具有操作权限管理功能,对参数设置、控制等必须使用密码操作,并具有操作记录。
4.6.2 主菜单
在各种显示模式下都必须有主菜单显示,主菜单包括:参数设置、页面编辑、控制、列表显示、曲线显示、状态图及柱状图显示、模拟图显示、打印、查询、帮助、其他等。
在主菜单下必须设置以下子菜单: a)参数设置:系统参数、模拟量、开关量、累计量、其他;
b)页面编辑:列表、曲线、模拟图、其他;
c)控制:控制逻辑、操作、其他;
d)列表显示:报警(模拟量、开关量)、断电控制(模拟量、开关量)、馈电异常(模拟量、开关量)、调用(模拟量、开关量)、设备故障、其他;
e)曲线显示:报警、断电控制、馈电异常、调用、其他;
f)状态图与柱状图显示:状态图、柱状图、其他;
g)模拟图显示:通风系统、瓦斯抽采(放)、系统自检、其他;
h)打印:编辑、报警(模拟量、开关量)、断电控制(模拟量、开关量)、馈电异常(模拟量、开关量)、调用(模拟量、开关量)、设备故障、其他;
i)查询:报警(模拟量、开关量)、断电控制(模拟量、开关量)、馈电异常(模拟量、开关量)、调用(模拟量、开关量)、设备故障、其他;
j)帮助:参数设置、页面编辑、控制、列表显示、曲线显示、状态图与柱状图显示、模拟图显示、打印、查询、其他。
4.6.3 分类查询
a)报警查询:根据输入的查询时间,将查询期间内的全部报警的模拟量和开关量显示或打印;b)断电查询:根据输入的查询时间,将查询期间内的全部断电的模拟量和开关量列表显示或打印;c)馈电异常查询:根据输入的查询时间,将查询期间内的全部馈电异常的开关量和模拟量显示或打印;d)调用查询:根据输入的被查询量和查询时间,将查询期间内被查询量显示或打印。
4.6.4 快捷方式
在任何显示模式下,均可直接进入所选监控量的列表显示、曲线显示或状态图及柱状图显示、模拟图显示、打印、参数设置、页面编辑、查询等方式。
4.6.5 中文显示与打印
软件必须具有汉字显示、汉字打印和汉字提示功能。
4.6.6 更改存储内容
软件必须具有防止修改实时数据和历史数据等存储内容(参数设置及页面编辑除外)功能。
4.6.7 模拟量数据表格显示
4.6.7.1 显示内容
模拟量数据表格显示包括如下内容:①传感器设置地点;②传感器所测物理量;③单位(可缺省);④报警门限(除用于监察外,可缺省);⑤断电门限(除用于监察外,可缺省);⑥复电门限(除用于监察外,可缺省);⑦断电范围(除用于监察外,可缺省);⑧监测值;⑨平均值;⑩最大值;最小值;报警/解除报警状态及时刻;断电/复电命令及时刻;馈电状态及时刻;实时时钟等。
4.6.7.2 实时显示
模拟量报警、模拟量断电、馈电异常必须实时显示。
4.6.7.3 调用显示
根据所选择的模拟量显示其相应内容:①地点;②名称;③单位(可缺省);④报警门限(可缺省);⑤断电门限(可缺省);⑥复电门限(可缺省);⑦监测值;⑧最近一次统计的最大值;⑨平均值;⑩最后一次报警或解除报警时刻;最后一次断电或复电时刻等。
4.6.7.4 报警显示
当模拟量大于或等于报警门限时,自动显示超限时刻等,显示内容包括:①地点;②名称;③单位(可缺省);④报警门限(可缺省);⑤断电门限(可缺省);⑥复电门限(可缺省);⑦监测值;⑧最近一次统计的最大值(可缺省);⑨平均值(可缺省);⑩报警时刻;最后一次断电/复电时刻;断电区域(可缺省);馈电状态、时刻及措施(报警后所采取的安全措施,其中所采用的安全措施为人工录入,采用措施时间自动生成,以下同)等。
4.6.7.5 断电显示
当模拟量大于或等于断电门限时,自动显示断电命令及时刻等,显示内容包括:①地点;②名称;③单位(可缺省);④报警门限(可缺省);⑤断电门限(可缺省);⑥复电门限(可缺省);⑦监测值;⑧报警及时刻;⑨断电及时刻;⑩断电区域(可缺省);馈电状态及时刻、安全措施等。
4.6.7.6 馈电异常显示
当模拟量断电命令与馈电状态不一致时,自动显示馈电异常时刻等,显示内容包括:①地点;②名称;③单位(可缺省);④报警门限(可缺省);⑤断电门限(可缺省);⑥复电门限(可缺省);⑦监测值;⑧报警及时刻;⑨断电及时刻;⑩断电区域(可缺省);馈电状态及时刻;安全措施等。
4.6.7.7 报警记录查询显示
根据所选择的查询时间,显示查询时间内的累计报警次数等,显示内容包括:①地点;②名称;③单位(可缺省);④报警浓度(可缺省);⑤累计报警次数;⑥累计报警时间;⑦报警期间最大值及时刻;⑧每次报警期间最大值及时刻;⑨每次报警时间;⑩每次报警起止时刻;每次报警措施;查询起止时刻等。
4.6.7.8 断电记录查询显示
根据所选择的查询时间,显示查询时间内的累计断电次数等,显示内容包括:①地点;②名称;③单位(可缺省);④断电门限(可缺省);⑤复电门限(可缺省);⑥累计断电次数;⑦累计断电时间;⑧查询期间最大值及时刻;⑨每次断电最大值及时刻;⑩每次断电时间;每次断电命令及起止时刻;断电区域(可缺省);馈电状态及时刻;安全措施;查询起止时刻等。
4.6.7.9 馈电异常记录查询显示
根据所选择的查询时间,显示查询时间内累计馈电异常次数等,显示内容包括:①地点;②名称;③断电区域(可缺省);④馈电异常累计时间;⑤累计次数;⑥每次馈电异常时间;⑦起止时刻;⑧措施;⑨查询起止时刻等。
4.6.7.10 统计值记录查询显示
根据所选择的模拟量及查询时间,显示查询时间内模拟量的平均值、最大值等,显示内容包括:①地点;②名称;③单位(可缺省);④报警门限(可缺省);⑤断电门限(可缺省);⑥复电门限(可缺省);⑦查询期间最大值及时刻;⑧平均值;⑨每次统计起止时刻;⑩最大值;平均值;最小值等。4.6.8 开关量状态表格显示
4.6.8.1 显示内容
开关量状态表格显示包括以下内容:①所监测设备地点;②所监测设备名称;③报警状态(除用于监察外,可缺省);④断电状态(除用于监察外,可缺省);⑤断电范围(除用于监察外,可缺省);⑥当前状态;⑦状态变动时刻;⑧报警/解除报警时刻;⑨断电/复电时刻;⑩馈电状态及时刻等。
4.6.8.2 调用显示
根据所选择的开关量显示其相关内容:①地点;②名称;③报警及断电状态(可缺省);④设备状态及时刻;⑤报警/断电及时刻;⑥断电区域(可缺省);⑦馈电状态及时刻;⑧措施及时刻等。
4.6.8.3 报警与断电显示
当开关量为报警/断电状态时,自动显示报警与断电时刻和状态等,显示内容包括:①地点;②名称;③报警/断电状态(可缺省);④设备状态及时刻;⑤断电/报警及时刻;⑥断电区域(可缺省);⑦馈电状态及时刻;⑧措施及时刻等。
4.6.8.4 馈电异常显示
当开关量断电命令与馈电状态不符时,自动显示馈电异常状态及时刻等,显示内容包括:①地点;②名称;③报警/断电状态(可缺省);④设备状态及时刻;⑤断电/报警及时刻;⑥断电区域(可缺省);⑦馈电状态及时刻;⑧措施及时刻等。
4.6.8.5 状态变动显示
当开关量状态发生变化时,显示当前状态变化的开关量的状态变动时刻和状态变动状况等,一般保持5min或10min。显示内容包括:①地点;②名称;③报警及断电状态(可缺省);④设备状态及时刻;⑤断电/报警及时刻;⑥断电区域(可缺省);⑦馈电状态及时刻等。
4.6.8.6 报警及断电记录查询显示
根据所选择的查询时间,显示查询时间内开关量累计报警次数等,显示内容包括:①地点;②名称;③报警/断电状态(可缺省);④累计报警及断电次数;⑤累计报警及断电时间;⑥每次报警及断电时间;⑦起止时刻;⑧措施及采取措施时刻;⑨查询起止时刻等。
4.6.8.7 馈电异常查询显示
根据所选择的查询时间,显示查询时间内的开关量断电命令与馈电状态不符次数等,显示内容包括:①地点;②名称;③断电区域(可缺省);④馈电异常累计时间;⑤累次次数;⑥每次时间;⑦起止时刻;⑧措施及采取措施时刻等。
4.6.8.8 状态变动记录查询显示
根据所选择的查询时间,显示查询时间内开关量状态变动次数等,显示内容包括:①地点;②名称;③报警及断电状态(可缺省);④累计报警/断电时间;⑤累计动作次数;⑥每次动作状态及时刻等。
4.6.9 模拟量曲线显示
将模拟量监测值和统计值随时间变化的状况用带坐标和门限值的曲线直观地显示出来,并可无极放大或弹出放大窗。坐标的竖轴为监测值和统计值,横轴为时间。用平行于横轴的黄色虚线给出报警浓度,用平行于横轴的红色虚线给出断电浓度,用平行于横轴的兰色虚线给出复电浓度。实时监测值、最大值、平均值、最小值等用不同颜色表示。在屏幕上方标明传感器设置地点、所测物理量名称、起始/终止日期和时间、断电门限(可缺省)、复电门限(可缺省)、报警门限(可缺省)、断电范围(可缺省)、监测值、最大值、平均值、最小值等曲线的颜色等。为便于读值,应设置游标,游标所到之处应标出对应点的时刻、监测值、最大值、平均值、最小值、断电起止时刻及累计时间、报警起止时刻及累计时间、馈电异常起止时刻及累计时间、措施及采取措施时刻等。并随着游标的移动,起始、终止日期和时间变化。
4.6.10 开关量状态图与柱状图显示
4.6.10.1 开关量状态图显示
将开关量状态随时间变化的状态用直线显示。在屏幕上方标明传感器的设置地点、所测物理量名称、起始/终止日期和时间、报警状态(可缺省)。为便于读值,应设置游标,游标所到之处应标出对应区间的起止时刻、报警及断电状态、馈电状态、措施等。
4.6.10.2 开关量柱状图显示
将开关量单位时间内的开机效率(单位时间内开机时间)用直方图直观显示。坐标竖轴为开机效率,横轴为时间。在屏幕上方标明传感器设置地点、所测物理量名称、起始/终止日期和时间、报警状态(可缺省)。为便于读值,应设置游标,游标所到之处应标出对应区间的开机效率、开机时间、开停次数等。
4.6.11 模拟图显示
在具有说明巷道、设备布置等背景图上,将实时监测到的开关量状态,用相应的图样在相应的位置模拟显示;将实时监测到的模拟量数值在相应位置显示。同时用红色等标注报警、断电及馈电异常。点击设备模拟图或模拟量显示值,可以弹出相关信息的选择菜单,供进一步查询。
对于较复杂的系统,模拟图可以分为总图及局部详图,并具有漫游、弹出详图等功能。采用GIS技术的模拟图显示还具有地理位置显示等功能。
4.6.11.1 通风系统模拟图显示
通风系统模拟图显示包括如下内容:
a)能够说明通风系统网络及设备配置的模拟图;b)根据实时监测到开关量状态,实时显示通风网络风流、设备工况(如主要通风机、局部通风机、风门、风窗等);c)在相应位置实时数字显示甲烷浓度、风速(或风量)、风压、一氧化碳浓度、温度等。
4.6.11.2 瓦斯抽采(放)系统模拟图显示
瓦斯抽采(放)系统模拟图显示包括如下内容:
a)能够说明瓦斯抽放系统管路和设备配置的模拟图形等;b)根据实时监测到的开关量状态,实时显示相关设备工况(如抽放泵、阀门等);c)在相关位置实时数字显示甲烷浓度、温度、风压、流量等。
4.6.11.3 监控系统自检模拟图显示
显示系统运行情况、设备布置情况和故障状况包括如下内容:
a)能够说明监控系统设备(传输接口、分站、传感器等)布置和电缆敷设的模拟图形等;b)根据系统自检情况,将具有故障的设备用不同颜色显示出来(如正常时为蓝色,故障时为红色)等。
4.6.12 报警
当模拟量监测值超限(需要报警或断电)、馈电异常(断电命令与馈电状态不符)或开关量状态为报警状态时,发出报警信号。必要时,向有关人员手机发出报警信号。4.6.12.1 声音报警
当模拟量监测值超限(需要报警或断电)、馈电异常(断电命令与馈电状态不符)或开关量状态为报警状态时,报警喇叭或蜂鸣器应发出声响或语音提示,点击后关闭。
4.6.12.2 光报警
在表格显示方式中,当模拟量监测值超限(需要报警或断电)、馈电异常(断电命令与馈电状态不符)或开关量状态为报警状态时,有关该模拟量或开关量的文字、数值和图符等用红色显示,或用红色显示加闪烁。
在模拟量模拟曲线显示和图形显示方式中,当模拟量监测值超限(需要报警或断电)、馈电异常(断电命令与馈电状态不符)或开关量状态为报警状态时,相应的曲线和图样应变为红色,数值变为红色,或红色显示加闪烁。
4.6.13 存储记录
4.6.13.1 统计值记录
定时将模拟量平均值、最大值、最小值等存储在磁盘等存储介质上。
4.6.13.2 模拟量报警记录
当模拟量报警、解除报警、填写备注时,自动将相关内容及时刻记录在磁盘等存储介质上。
4.6.13.3 模拟量断电记录
当模拟量断电、复电、填写备注时,自动将相关内容及时刻记录在磁盘等存储介质上。
4.6.13.4 模拟量馈电异常记录
当馈电状态由正常变为异常、或由异常变为正常、填写备注时,自动将相关内容及时刻记录在磁盘等存储介质上。
4.6.13.5 开关量状态变动记录
当开关量状态发生变动时,计算机自动将该开关量的状态变动状况和变动时刻记录在磁盘等存储介质上。
4.6.13.6 开关量报警及断电记录
当开关量由非报警及断电状态变为报警及断电状态、或由报警及断电状态变为非报警及断电状态、或填写备注时,自动将相关内容及时刻记录磁盘等存储介质上。
4.6.13.7 开关量馈电异常记录
当馈电异常变为正常、正常变为异常、填写备注时,自动将相关内容及时刻记录在磁盘等存储介质上。
4.6.13.8 监控设备故障记录
当监控设备(分站、传感器等)故障、恢复正常、填写措施时,记录其状态及时刻。
4.6.14 打印
4.6.14.1 模拟量日(班)报表
模拟量日(班)报表包括如下内容:①表头;②打印日期和时间;③传感器设置地点;④所测物理量名称;⑤单位(可缺省);⑥报警门限(可缺省);⑦断电门限(可缺省);⑧复电门限(可缺省);⑨平均值(本日或本班平均值);⑩最大值及时刻(本日或本班最大值);报警次数(本日或本班累计报警次数);累计报警时间(本日或本班累计报警时间);断电次数(本日或本班累计断电次数);累计断电时间(本日或本班累计断电时间);馈电异常次数(本日或本班断电命令与馈电状态不符累计次数);馈电异常累计时间(本日或本班断电命令与断电状态不符累计时间)等。
4.6.14.2 模拟量报警日(班)报表
模拟量报警日(班)报表包括如下内容:①表头;②打印日期和时间;③传感器设置地点;④所测物理量名称;⑤单位(可缺省);⑥报警门限(可缺省);⑦报警次数(本日或本班累计报警次数);⑧累计报警时间(本日或本班累计报警时间);⑨最大值及时刻(本日或本班报警期间最大值);⑩平均值(本日或本班报警期间平均值);每次报警时刻及解除报警时刻;每次报警时间;每次报警期间平均值和最大值及时刻等;每次措施及采取措施时刻。
4.6.14.3 模拟量断电日(班)报表
模拟量断电日(班)报表包括如下内容:①表头;②打印日期和时间;③传感器设置地点;④所测物理量名称;⑤单位(可缺省);⑥断电门限(可缺省);⑦复电门限(可缺省);⑧断电范围(可缺省);⑨断电次数(本日或本班累计断电次数);⑩累计断电时间(本日或本班累计断电时间);最大值及时刻(本日或本班断电期间最大值);平均值(本日或本班断电期间平均值);每次断电累计时间、断电时刻及复电时刻;每次断电期间平均值和最大值及时刻;断电区域;馈电状态及其时刻、累计时间;措施及采取措施时刻。
4.6.14.4 模拟量馈电异常日(班)报表
模拟量馈电异常日(班)报表包括下列内容:①表头;②打印日期和时间;③地点;④名称;⑤断电区域(可缺省);⑥累计次数(本日或本班模拟量断电命令与馈电状态不符累计次数);⑦累计时间(本日或本班模拟量断电命令与馈电状态不符累计时间);⑧每次馈电状态累计时间及起止时刻;⑨措施及采取措施时刻等。
4.6.14.5 开关量报警及断电日(班)报表
开关量报警及断电日(班)报表包括如下内容:①表头;②打印日期和时间;③所监测设备地点;④所监测设备名称;⑤报警及断电(可缺省);⑥累计时间(本日或本班累计报警及断电时间);⑦累计次数(本日或本班累计报警及断电次数);⑧每次累计时间及起止时刻等;⑨断电区域(可缺省);⑩馈电状态及起止时刻、累计时间;措施及采取措施时刻。
4.6.14.6 开关量馈电异常日(班)报表
开关量馈电异常日(班)报表包括如下内容:①表头;②打印日期和时间;③被监测设备地点与名称;④断电区域(可缺省);⑤累计时间(本日或本班馈电异常累计时间);⑥累计次数(本日或本班馈电异常累计次数);⑦每次馈电状态;⑧每次累计时间及起止时刻;⑨措施及采取措施时刻等。
4.6.14.7 开关量状态变动日(班)报表
开关量状态变动日(班)报表包括如下内容:①表头;②打印日期和时间;③所监测设备地点;④所监测设备名称;⑤累计运行时间(本日或本班累计运行时间);⑥累计变动次数(本日或本班累计变动次数);⑦状态变动状况及时刻等。
4.6.14.8 监控设备故障日(班)报表
监控设备故障日(班)报表包括如下内容:①表头;②打印日期和时间;③故障设备(传感器或分站)设置地点、编号、名称、所测物理量;④累计时间(本日或本班累计故障时间);⑤累计次数(本日或本班累计故障次数);⑥每次累计时间及起止时刻;⑦措施及时刻;⑧在有传输电缆故障监测的系统中,还应包括电缆故障位置内容等。
4.6.14.9 模拟量统计值历史记录查询报表
统计值记录查询报表包括如下内容:①表头;②查询起始日期、时间和终止日期、时间;③取平均值、最大值、最小值的时间间隔及每一时间间隔的起止时刻;④传感器设置地点;⑤所测物理量名称;⑥单位(可缺省);⑦报警门限(可缺省);⑧断电门限(可缺省);⑨复电门限(可缺省);⑩平均值和最大值及时刻(查询期间内平均值和最大值);每段时间内平均值和最大值等。
4.7 主要技术指标
4.7.1 模拟量输入传输处理误差
模拟量输入传输处理误差应不大于1.0%。
4.7.2 模拟量输出传输处理误差
模拟量输出传输处理误差应不大于1.0%。
4.7.3 累计量输入传输处理误差
累计量输入传输处理误差应不大于1.0%。
4.7.4 最大巡检周期
系统最大巡检周期应不大于30s,并应满足监控要求。
4.7.5 控制执行时间
控制时间应不大于系统最大巡检周期。异地控制时间应不大于2倍的系统最大巡检周期。甲烷超限断电及甲烷风电闭锁的控制执行时间应不大于2s。
4.7.6 调节执行时间
调节执行时间应不大于系统最大巡检周期。
4.7.7 存储时间
甲烷、温度、风速、负压、一氧化碳等重要测点的实时监测值存盘记录应保存7d以上。模拟量统计值、报警/解除报警时刻及状态、断电/复电时刻及状态、馈电异常报警时刻及状态、局部通风机、风筒、主要通风机、风门等状态及变化时刻、瓦斯抽采(放)量等累计量值、设备故障/恢复正常工作时刻及状态等记录应保存1年以上。当系统发生故障时,丢失上述信息的时间长度应不大于5min。
4.7.8 画面响应时间
调出整幅画面85%的响应时间应不大于2s,其余画面应不大于5s。
4.7.9 误码率 误码率应不大于10-8。
4.7.10 最大传输距离
传感器及执行器至分站之间的传输距离应不小于2km;分站至传输接口、分站至分站之间最大传输距离不小于10km。
4.7.11 最大监控容量
系统允许接入的分站数量宜在8、16、32、64、128中选取;被中继器等设备分隔成多段的系统,每段允许接入的分站数量宜在8、16、32、64、128中选取。分站所能接入传感器、执行器的数量宜在2、4、8、16、32、64、128中选取。
4.7.12 双机切换时间
从工作主机故障到备用主机投入正常工作时间应不大于5min。
4.7.13 备用电源工作时间
在电网停电后,备用电源应能保证系统连续监控时间不小于2h。
4.7.14 统计值时间
模拟量统计值应是5min的统计值。
4.7.15 本安供电距离
向传感器及执行器远程本安供电距离应不小于2km。
4.8 传输性能
系统的信息传输性能应符合MT/T899的有关要求。
4.9 电源波动适应能力
供电电压在产品标准规定的允许电压波动范围内,系统的电气性能应符合各自企业产品标准的规定。
4.10 工作稳定性
系统应进行工作稳定性试验,通电试验时间不小于7d,其性能应符合各自企业产品标准的规定。
4.11 抗干扰性能(暂不执行)
4.11.1 设于地面的设备应能通过GB/T 17626.2—1998规定的严酷等级为3级(接触放电)的静电放电抗扰度试验,其电气性能应符合各自企业产品标准的规定。
4.11.2 系统应能通过GB/T 17626.3—1998规定的严酷等级为2级的射频电磁场辐射抗扰度试验,其电气性能应符合各自企业产品标准的规定。
4.11.3 系统应能通过GB/T 17626.4—1998规定的严酷等级为3级的电快速瞬变脉冲群抗扰度试验,其电气性能应符合各自企业产品标准的规定。
4.11.4 系统应能通过GB/T 17626.5—1999规定的严酷等级为3级的浪涌(冲击)抗扰度试验,其电气性能应符合各自企业产品标准的规定。
4.12 可靠性(暂不执行)
系统平均无故障工作时间(MTBF)应不小于800h。
4.13 防爆性能
防爆型设备应符合GB 3836的规定。
4.14 矿用一般型性能
随着计算机技术的高速发展,通信技术的日益成熟,计算机技术和通信技术的产物即计算机网络覆盖了整个世界。网络成了人们寻找信息、探求知识的最重要的途径,也成为了黑客炫耀技术战场。网络上的犯罪和计算机的病毒层出不穷,使网络信息的安全显示日益突出,网络安全一旦被破坏,影响会非常巨大。对于外网的安全问题,人们一般都足够重视,采取了网络隔离、防火墙技术等等安全策略,努力强化内部网络的出入口安全,但是对于内网的安全威胁却并没有引起足够的重视。如果网络安全威胁来自内部,它的破坏力往往是巨大的。因为内部的黑客非常熟悉内网的涉密信息以及各种安全措施,所以一旦被侵入,内网所有数据都有可能丢失或损坏。所以,对于内部网络以及终端的安全进行有效的安全防护是必不可少的。
2 内部网络所面临的各种安全问题及解决方法
2.1 病毒破坏
计算机病毒具有破坏计算机的功能和数据,并进行自我复制繁殖的能力,通过内部网络传播更快。病毒破坏目标和攻击部位主要是:系统数据区、文件、内存、系统运行、运行速度、磁盘、屏幕显示、键盘、喇叭、打印机、CMOS、主板、以及内部网络的传输速度等,最终造成内部网络瘫痪。
解决方法:在信息中心的服务器安装网络版防毒软件,如瑞星网络版、江民网络版等。经过安装后只要服务器端升级,客户端就会自动升级。而且服务器端的管理中心可以控制内部网络的客户端,实现远程杀毒、升级、等功能,网络防毒软件还会实时监测内网终端情况并向管理人员发送警报信息,及时清除染毒终端的病毒,有效的避免了内网病毒的攻击,节省了时间,提高了工作效率。
2.2 系统漏洞
系统漏洞是各种应用软件或操作系统在程序设计上出现的缺陷或错误,通过这些缺陷或错误,黑客可以通过网络植入木马、病毒等方法来操控网络中的整个电脑,窃取电脑里的各种重要资料和信息,甚至会破坏您的系统。对于各种不同的软件或硬件,都会存在各自不同的问题。在一个较大内部网络中,普遍存在机器配置档次高低各异、操作系统分门别类、系统软件千差万别等问题,网络管理员要想同时对这几百台甚至上千台终端设备及时快速地打上新的补丁程序,几乎是不可能的。要靠手工保障每一个补丁在安装后正常运行,不对整个网络系统造成其它破坏和隐患,更是完全不可想象的。因此对于终端节点众多的用户,繁杂的手工补丁安装已经远远不能适应目前大规模的网络管理,必须依靠新的技术手段来实现对操作系统的补丁自动修补。
解决方法:在内网的系统中心统一部署补丁分发管理系统来自动安装补丁包,管理人员及时更新各种补丁包到服务器,然后在统一时间由服务器统一分发至内网各个终端,自动升级补丁,消除由于漏洞所带来的安全隐患。
2.3 IP地址管理
内网的IP地址管理非常重要,每一台计算机的IP地址代表了这台计算机所在的位置,网络包的传输完全是靠它来识别并传递数据的。如果内网中的用户随意更改IP地址,会导致另外的终端IP地址重复被占用而不能访问网络,也可能被黑客冒用IP来窃取数据,所以,IP地址管理的好坏直接影响了内网工作人员的工作效率以及内网信息的共享和安全。
解决方法:通过使IP地址和终端每台机器的网卡的MAC地址相对应,进行一一绑定,从而保证每个IP有一个唯一的标识与之对应。当客户端程序检测到IP地址进行修改时,IP地址会自动恢复到此前已经绑定了的IP值,保证IP地址不会被随意修改。杜绝了内部网络的IP地址冲突问题,保证IP地址的唯一性,如果有换掉的机器,管理员再进行重新绑定即可,IP地址绑定的方法即可以通过信息中心的网管软件实现,也可以利用三层交换机来进行绑定。
2.4 口令管理
口令包括内网终自己系统的登录口令、共享口令以及访问网络的口令,通过这些口令,用户可以在内网访问各种资料及共享信息。但这些口令在使用的过程中也很容易泄露或者被猜解,导致口令被黑客冒用。
解决方法:在系统中心建立口令管理机制,定期提醒终端用户更改密码,如果在规定的时间用户不更改密码,则锁定终端用户,使其不能上网,要求密码为数字加字母或者特殊符号七位以上,终端用户的计算机要求登录及屏保都要使用密码,进一步提高内部网络的安全性。
2.5 流量管理
在内网中,如果有大量的下载以及P2P软件运行,以及大量的网络视频运行,会使内部网络时断时续,并产生大量的丢包行为,造成内网极不稳定,严重影响内网的办公效率。
解决方法:信息中心服务端安装流量控制软件,能够实现对每个终端机器的网卡进行流量控制,对于超过指定阀值和并发连接数的设备进行自动的网络阻断,当网卡流量恢复到正常时,网卡自动开启、恢复网络连接,保证受控端在指定的流量范围内进行网络连通。由此既保证了终端的正常办公流量需求,又可以杜绝由于未知的P2P等非法下载软件的使用带来的网速过慢、甚至断网的问题。
2.6 进程管理
内网终端的系统运行了什么程序,占多大网络流量,是否在使用非法程序等也是内网管理员非常关心的问题。
解决方法:使用网管软件,通过对终端进程的管理,禁止终端用户运行已知的非法程序的使用,杜绝由于非法软件的使用影响工作效率、BT软件占用带宽、危险软件的随意滥用给单位内网安全带来隐患的问题。通过进程控制功能,可以有效控制终端机器的软件使用,屏蔽掉无助于工作、单位网络安全的应用程序的运行。
2.7 终端移动存储介质管理
终端用户使用U盘或者移动硬盘拷贝数据,黑客使用移动存储介质传输木马病毒,窃取数据等为内网带来非常大的隐患。
解决方法:统一安装存储介质管理系统,由服务端来初始化所有的移动存储介质格式化并进行加密注册,向隐藏分区写入加密码保护程序,只有经过加密注册过的移动存储介质才能在内网终端使用,未加密的插入终端后不能识别,只能提示未识别的移动介质,可以被格式化,但不能正常使用。管理端还可以根据需要更改移动存储介质的使用权限,如U盘只读、使用时间控制等操作。正常注册过的移动存储介质在没有安装存储介质管理系统的终端不能被识别,并且只要终端系统使用这个移动存储介质,服务端就能检测到并进行管理,从而保证了内部机密信息不能通过移动存储设备外泄,并且外部的病毒也不能通过移动存储设备进入内网。大大加强了内网的保密性和安全性。
2.8 硬件设备管理
终端设备的随意使用也是内网安全的一个潜在威胁,如随意打印文档,刻录光盘、红外传输等等。
解决方法:由信息中心的服务端统一对内网进行管理,经过扫描后自动注册终端系统的硬件配置(包括显示器、打印机、光驱、红外设备等),新插入的设备必须经过服务端一次授权方可使用,对终端的刻录机、打印机等等也必须经过授权使用,并且对设备使用情况进行审计。
2.9 远程管理
终端用户由于不熟悉或不懂进行操作也会造成内网的安全问题。内网管理人员通过远程维护技术手段和工具,对终端计算机进行故障诊断、系统修复和日常维护等,避免此类安全问题。
解决方法:通过内网管理软件进行远程协助,及时响应远程终端计算机的协助请求,临时接管远程终端计算机,进行本地化操作。例如:开关机、搜索可疑文件、服务/进程查看、系统配置查看、资源使用监视等。维护操作后,释放对终端计算机的接管,终端的操作人员也可以进行在线的操作学习。(下转第3020页)(上接第3002页)
2.1 0 审计日志
内网的安全威胁来自于不同的方式方法,从理论上来说,不可能完全避免,只能尽量避免并找到解决方法,通过查看各种审计日志去寻找发生的各种内网安全问题。
解决方法:建立全方位的终端审计日志。文档审计:关于终端用户使用文档的所有记录。流量审计:记录终端用户在网络中的流量统计。杀毒软件扫描审计:记录终端用户的计算机病毒情况。系统基本信息审计:记录终端用户基本硬件信息。聊天审计:记录用户聊天信息。计算机操作审计:记录终端用户对计算机的所有的操作记录
3 展望
现在,在网络安全管理中,内网的安全变得越来越重要。它是一个系统的、全局的管理问题,如何任何一个地方出现漏洞,都可能会导致整个网络的破坏。我们不但要在软件上构建一个真正安全可靠的内网,还应该加强对终端人员使用的安全培训、使用管理培训等,使他们真正意识到内网安全的重要性,从而真正构建起安全、高效、飞速的内部网络。
摘要:文章对内部网络的安全进行了背景分析,阐明了内网安全的重要性,分析了内网安全涉及到的问题,提出了解决内网安全管理的相关办法,使内部网络安全得到有力的保障,全面提升内网的数字化办公效率,使内网安全管理更直接有效。
关键词:内网安全,防病毒,审计,漏洞
参考文献
[1]张一新.网络信息安全风险及需求分析[J].水利水电技术,2007(5).
[2]卫徐刚,王峰,张静,等.技术与管理并重,提高内网安全[J].网络与信息,2009(3).
[3]邝英伟.企业内网安全探讨[J].有线电视技术,2010(4).
[4]王克.内网安全防范技术[J].信息网络安全,2009(1).
重要支撑网络。基于电子政务内网的办公、视频会议、督查、应急指挥等应用逐步深入,由信息化建设杂志社主办、北京网御星云信息技术有限公司、北京启明星辰信息技术股份有限公司协办的第七期电子政务沙龙主题讨论“电子政务内网的应用需求与安全保障”在京举行。为了进一步深入探讨电子政务内网的应用发展,探索建立科学、完善的信息安全保障体系。本次沙龙邀请了国家信息化专家咨询委员会委员宁家骏、曲成义两位电子政务与信息安全专家分别就电子政务内网建设和应用发展、电子政务内网安全形势分析和保障体系建设做了精彩的主题发言。中共中央办公厅、国务院办公厅、中央编办以及北京、上海等有关单位的嘉宾在沙龙上讲述了对电子政务内网的认识和见解,并与主讲嘉宾展开了热烈的互动交流。
来自中央国家机关电子政务工作机构和部分地方政府电子政务工作机构的负责人共60余位代表参加了本次沙龙研讨。信息安全相关企业代表与沙龙嘉宾分享了对电子政务内网安全保障体系建设的认识、体会和从事信息安全建设的经验。
电子政务沙龙至今已经举办七期,得到了中央国家机关负责电子政务工作的相关领导和同志们的大力支持和肯定。参加对象也从以国务院部门的电子政务机构为主,发展到包括中办信息中心、中纪委信息中心、中央编办电子政务中心等党中央部门信息化机构的同志,甚至还吸引了北京以外的天津、上海、河北、内蒙古、江西等地方政府电子政务工作机构负责同志专程加入。沙龙形式轻松、活泼,主题鲜明、内容充实。交流得到了嘉宾们的欢迎和认同,目前已经成为电子政务工作者们沟通、交流、学习的一个新平台。今后,信息化建设杂志社将继续选择大家感兴趣的主题,不定期举办形式更新颖、内容更丰富的电子政务沙龙,以达到增进交流,增进了解,协作共进,助推电子政务发展的目的。
本期“特别策划”栏目将本次沙龙的精彩观点整理刊登,以飨读者。
【内网安全管理系统软件技术要求】推荐阅读:
内网安全管理软件09-07
宿舍安全卫生管理要求07-06
班组安全会议管理要求09-12
企业食品安全质量管理制度的要求10-07
安全技术管理措施06-17
安全技术管理论文12-06
安全技术交底的要求10-03
施工安全管理技术措施10-06
hse安全管理软件简述05-30
电梯安全技术档案管理制度10-31