LanSecS信息安全等级保护综合管理系统

合集下载

信息安全等级保护评估系统快速使用手册文档

第一章前言本手册主要介绍如何快速使用信息安全等级保护评估系统。

1.1 文档目的通过阅读本文档，使用户能够快速的了解该系统的整个业务流程，正确的使用该系统。

1.2 约定本文档遵循以下约定：图形界面操作的描述采用以下约定：“”表示按钮。

点击（选择）一个菜单项采用如下约定：点击（选择）高级管理 > 特殊对象>用户。

文档中出现的提示、警告、说明、示例等，是关于用户在使用本手册过程中需要特别注意的部分，请用户在明确可能的操作结果后，再进行相关配置。

1.3 技术服务体系天融信公司对于自身所有安全产品提供远程产品咨询服务，广大用户和合作伙伴可以通过多种方式获取在线文档、疑难解答等全方位的技术支持。

第二章系统结构信息安全等级保护自评估系统由三个子系统共同组成：等级评测、用户管理和安全对象管理子系统。

等级评测子系统是整个系统的核心。

如下图。

级保安全对象管理子系统等级备案系统录入定级第三章使用系统3.1 登陆系统系统搭建完毕后登录系统，web访问地址一般是系统搭建的应用服务器的IP地址加端口，例如：。

系统预置超级管理员admin，密码topsec123，访问用户管理子系统，登录后创建项目经理(也就是项目负责人)和项目成员，并为其分配权限。

项目经理：项目经理也就是项目的负责人，（可以根据系统需求分配相应权限）监督项目的进展、创建评测项目等。

项目成员：负责整改任务、检查任务（答题）（可以根据系统需求分配相应权限）。

管理员以哪种角色登录即拥有相应的管理权限。

3.2 添加安全对象项目经理选择安全管理子系统，登录后添加安全对象，也可以登录到等级保护子系统后二次连接到安全管理子系统添加安全对象。

如下图所示，在该系统页面添加安全对象。

3.3 等级备案等级备案模块完成等级保护评测对象的添加。

在创建评测项目之前需要添加单位信息，然后系统录入定级（添加业务系统，业务系统是进行等级保护评测的评估对象），备案库中备案。

（备案可以在评测项目任何期间进行）1）添加单位信息。

LanSecS内网安全管理系统解决方案

LanSecS内网安全管理系统解决方案适用范畴此文档是圣博润为医疗行业XXX医院提供的LanSecS内网安全治理系统解决方案。

目录1.运算机终端安全治理需求分析 .............................................................. V II1.1.网络治理 (VIII)1.1.1.物理网络拓扑图 (VIII)1.1.2.流量操纵 (VIII)1.1.3.I P地址治理 (IX)1.1.4.故障定位 (IX)1.2.终端安全防护 (IX)1.2.1.补丁安装防护 (IX)1.2.2.防病毒防护 (X)1.2.3.进程防护 (X)1.2.4.网页过滤 (X)1.2.5.非法外联防护 (X)1.3.终端涉密信息防护 (XI)1.3.1.终端登录安全认证 ...................................................................... X II1.3.2.I/O接口治理.............................................................................. X II1.3.3.桌面文件安全治理 ...................................................................... X II1.3.4.文件安全共享治理 (XIII)1.3.5.网络外联操纵 (XIII)1.4.移动储备介质的治理 (XIII)1.5.网络接入操纵 (XIV)1.6.运算机终端治理与爱护 (XV)1.7.分级分权治理 (XV)2.运算机终端安全防护解决方案 (XVI)2.1.方案目标 (XVI)2.2.遵循标准 (XVI)2.3.方案内容 (XVIII)2.3.1.网络治理 (XVIII)2.3.1.1.物理网络拓扑图 (XIX)2.3.1.2.流量操纵 (XIX)2.3.1.3.IP地址绑定 (XX)2.3.1.4.故障定位 (XX)2.3.2.终端安全操纵 (XX)2.3.2.1.补丁治理 (XX)2.3.2.2.防病毒操纵 (XX)2.3.2.3.进程监控 (XXI)2.3.2.4.网页过滤操纵 (XXI)2.3.2.5.非法外联操纵 (XXI)2.3.3.终端安全审计 (XXI)2.3.4.移动储备介质治理 ................................................................... X XIII2.3.4.1.注册授权 (XXIV)2.3.4.2.访问操纵 (XXIV)2.3.4.3.数据爱护 (XXV)2.3.4.4.自我爱护 (XXV)2.3.4.5.操作记录 (XXV)2.3.5.运算机终端接入操纵 (XXVI)2.3.5.1.非法主机的定义 (XXVI)2.3.5.2.非法接入操纵策略 (XXVI)2.3.5.3.非法接入阻断技术实现原理............................................... X XVII2.3.6.运算机终端治理与爱护........................................................... X XVIII2.3.6.1.主机信息收集.................................................................. X XVIII2.3.6.2.网络参数配置 (XXIX)2.3.6.3.远程协助 (XXIX)2.3.6.4.预警平台 (XXIX)3.系统设计 (XXX)3.1.产品设计思路 (XXX)3.2.产品的设计原则 (XXX)3.3.产品标准符合性设计 (XXXI)3.3.1.B MB17-2006符合性 (XXXI)3.3.2.I SO 27001符合性 (XXXI)nSecS系统简介 (XXXIV)nSecS系统架构设计 (XXXVI)nSecS系统功能设计......................................................... X XXVIII3.6.1.安全审计............................................................................. X XXVIII3.6.2.安全加固 (XXXIX)3.6.3.安全服务 (XXXIX)3.6.4.安全网管 (XXXIX)3.6.5.资产治理..................................................................................... X LnSecS系统安全性设计............................................................ XLI3.7.1.操纵中心安全性......................................................................... XLI3.7.2.主机代理安全性........................................................................ XLII3.7.3.数据库安全性........................................................................... XLII3.7.4.策略分发与储备安全性............................................................. X LIII3.7.5.主机代理与操纵中心通讯安全性 ............................................... X LIII4.系统特色与系统部署........................................................................... X LVnSecS系统特色...................................................................... X LVnSecS典型部署................................................................... XLVII4.2.1.简单内网环境......................................................................... XLVII4.2.2.本地多内网环境..................................................................... XLVIII4.2.3.分级部署环境.......................................................................... XLIX5.技术服务 ......................................................................................... XLIX5.1.售后技术服务.......................................................................... XLIX5.2.系统二次开发扩展支持.................................................................. L6.产品配置要求....................................................................................... LI随着科技的进展，运算机和网络作为现代医院重要的工具，在日常办公过程中发挥着越来越重要的角色。

信息安全等级保护综合管理系统

开发背景
信息安全等级保护标准
GB17859-1999《计算机信息系统安全保护等级划分准则》
GB/T 22239-2008《信息系统安全等级保护基本要求》
GB/T 22240-2008《信息系统安全保护等级定级指南》 GB/T ×××-201×《信息系统安全等级保护实施指南》
GB ××××-201×《信息系统安全等级保护测评要求》
2003年
2000年
2003年5月公司完成转型，成功研发出LanSecS®内网安全管理产品。 2003年11月LanSecS®内网安全管理软件开始应用于东北电网6000点安全项目中。
2000年6月公司成立，主要从事网络安全集成和相关服务。 2000年11月公司成功签约航天五院网络安全集成项目。 2000年12月公司通过国家高新技术企业认证。

哪些单位等保工作卓有成效各下属单位有多少信息系统做过安全建设整改下一步等级保护工作重点是什么
等级保护工作平台

等保工作自动化，工作效率提高等保工作流程化，规范性提高等保工作常态化，融入日常信息安全工作当中
系统架构
业务管理层
等保工作管理
定级备案管理建设整改管理等级测评管理安全检查管理风险评估管理安全评价管理
系统接口层
审计数据接口安全事件接口资产信息同步接口等级保护备案数据共享接口
系统功能-定级备案管理
定级备案管理
信息系统定级助手
备案信息录入
备案信息统计查询
备案信息导入导出
系统功能-定级备案管理
系统功能-定级备案管理
系统功能-定级备案管理
系统功能-定级备案管理
系统功能-安全建设整改管理

LanSecS(堡垒主机)内控管理平台用户使用手册

LanSecS内控管理平台（堡垒主机）用户手册目录第一章系统简介 (5)1关键字 (5)2部署结构 (6)3系统登录 (7)第二章单点登录（SSO） (9)1单点登录（SSO） (9)1.1界面 (9)1.2功能说明 (10)1.3操作描述 (10)2单点登录控件及工具安装 (10)2.1界面 (10)2.2功能说明 (10)第三章流程 (11)1概述 (11)2管理流程 (12)3登录流程 (12)第四章元目录 (13)1目录管理 (13)1.1界面 (13)1.2功能说明 (13)2自然人（主帐号）管理 (14)2.1界面 (14)2.2功能说明 (14)2.3操作描述 (15)2.4示例 (15)3资源管理 (16)3.1界面 (16)3.2功能说明 (17)3.3操作描述 (17)3.4示例 (19)4角色管理 (21)4.1界面 (21)4.2功能说明 (21)4.3操作描述 (21)5计划管理 (22)5.1界面 (22)5.2功能说明 (22)5.3操作描述 (23)6内部审计管理 (23)6.1界面 (23)6.2功能说明 (23)6.3操作描述 (24)7行为审计管理 (24)7.1界面 (24)7.2功能说明 (24)7.3操作描述 (25)8审计报表 (25)8.1界面 (25)8.2功能说明 (25)8.3操作描述 (26)第五章配置管理 (27)1策略配置 (27)1.1主机命令控制策略 (27)1.2客户端地址控制策略 (29)1.3访问时间控制策略 (30)1.4访问锁定策略 (31)1.5密码策略 (32)2服务配置 (33)2.1堡垒机管理 (33)2.2图形服务开关 (33)2.3审计服务定义 (33)2.4帐号同步计划 (34)3系统配置 (35)3.1系统监控 (35)3.2网络配置 (36)3.3环境配置 (37)第一章系统简介内控堡垒主机系统是安全内控解决方案的重要组成部分，部署在企业的内部网络中，用于保护企业内部核心资源的访问安全。

LanSecS_6.2_功能介绍

1.2 反病毒软件监控安装监控：监控终端计算机是否安装了反病毒软件。启动监控：监控终端计算机是否启动了反病毒软件。更新监控：监控终端计算机是否更新了反病毒软件。监控策略：当终端计算机上的反病毒软件出现了没安装、没启动、没更新的情况后，可以提醒终端计算机使用者安装、启动、更新反病毒软件；在提醒被无视的情况下，可以对终端计算机的网络访问权限进行限制。
等协议的访问。在网络访问控制上，策略还可以细化到针对特定的协议、特定的网络端口以及在特定的时间段允许或是阻断网络连接。
© 版权所有圣博润
第4页
产品简介
三、安全服务
3.1 预警平台为了方便网络管理员对内网情况的统计，预警平台把所有报警和收集信息统一进行显示和集中管理。预警内容包括报警信息分类、报警事件源、报警客户端 IP、主机名、Mac 地址等信息。 3.2 软件分发软件分发功能提供了由服务器端向指定客户端分发可执行的软件、任意格式的文件和文件目录类安装程序。文件目录类安装程序例如微软的 OFFICE 安装包。软件分发可以在线进行软件安装，也支持离线策略，例如:客户端计算机不在线或未开机的情况下，分发的软件将在客户端计算机下次在线或下次启动的时候，进行分发。分发支持断点续传功能。 3.3 客户端消息提示为了增加管理的便捷性，对客户端集体或单个的发送管理员消息，客户端可以通过对话框和管理员进行对话，及时提醒应用者目前存在的问题和发应问题解决结果，方便管理员对内网问题的及时解决。 3.4 远程计算机桌面监控如果计算机系统存在安全问题或是非法操作，为了及时准确的获得当前计算机的情况并将情况准确再现，网络管理人员可以通过桌面快照查看当时计算机的操作状态，同时可以控制鼠标与键盘的使用。 3.5 远程控制计算机远程管理主要是为了方便网络管理人员在远程对计算机进行关机、重启或是锁定的具体操作。使管理人员在第一时间控制非法的计算机或是非法的操作。 3.6 远程控制进程和服务远程控制进程和服务功能主要是为了方便网络管理人员在远程对计算机进行进程和服务查看和控制的具体操作。使管理人员在第一时间控制非法的进程或是非法的服务。 3.7 远程网络连接和流量查看网络连接和终端流量监控功能方便网络管理人员对计算机的网络连接和终端流量进行查看。方便管理员对网络连接和终端流量信息的收集。

产品配置手册

LanSecS内网安全管理系统配置手册北京圣博润高新技术股份有限公司Beijing SBR Information Technology Co., LTDLansecs服务器安装完成后，需要登陆控制台进入系统初始化的操作。

具体操作过程如下：以下过程，工程师要牢记，并且在给客户安装完产品后，一定要做完以下工作，再给用户做演示。

一、首先，以系统管理员登录管理控制台：系统管理员用户名：sysadmin，密码：sysadmin.做两件事：（1）、编辑单位信息、创建部门。

（2）、新建系统操作员角色及用户，1、创建单位和部门点击菜单栏“功能”→“系统管理”→“系统管理中心”，出现如图：创建单位点击“注册管理”→“单位列表”，选中“默认单位”，点击右侧的“编辑单位”；修改成客户真实的单位名称。

新增部门第一次进入本系统，需要对单位下的部门进行编辑，选中单位名称，点击右侧的“新增部门”，在弹出的对话框中输入“部门名称”，点击“提交”，即可在部门列表中新增部门信息。

（注：新建部门非常重要，只有新建了部门之后，在下一步建角色时才能选择能够管理哪些部门，否则，无法选择，在项目实施时，一定要将所有部门一次建好）2、新建系统操作员角色及用户点击“任务栏”中“用户管理”出现下图所示。

新增角色进入本系统，需要对系统操作员的各种角色进行管理，点击右侧的“新增角色”；依次在标签页“角色信息”中输入“角色名称为sys”、“角色功能”中选择“系统管理中心”、“授权部门”中选择给角色授权的部门（将所有部门全部选择），点击“完成”，添加角色成功。

新增用户点击“用户列表”→“新增用户”；输入“用户名称为sysoper”、“密码为Admin123”、点击“提交”，提示添加用户成功对话框。

二、以安全管理员登录管理控制台：安全管理员用户名：secadmin，密码：secadmin做一件事：创建安全操作员角色及用户。

创建角色点击菜单“功能”→“系统管理”→“系统管理中心”，点击任务栏里的“用户管理”→“角色列表”，进行创建角色的操作：点击“新增角色”，在弹出添加角色的对话框中，按照标签页步骤完成，分别填写角色信息（角色名称填写sec），分配角色功能模块，授权相应部门(选择所有部门)，分配授权模块，最后完成，点击“保存”按钮，角色创建成功。

LanSecS使用说明

TMLanSecS内网安全管理系统（企业版）用户手册北京圣博润高新技术有限公司Beijing SBR Information Technology Co., LTD目录第一章使用说明 (2)第二章系统安装 (3)第一节安装SQL S ERVER (3)第二节IKEY安装 (7)第三节安装控制台 (8)第四节安装智能探测器 (9)第五节安装客户端 (10)第三章设置智能探测器 (11)第一节初始化日志数据库 (11)第二节初始化智能探测器 (13)第三节设置SQL S ERVER口令 (14)第四章控制台使用 (15)第一节控制台管理界面 (15)第二节探测器设置 (19)第三节生成客户端安装包 (20)第四节设置客户端卸载口令 (21)第五节系统选项设置 (22)第六节系统管理 (23)第七节帐户管理 (28)第八节数据库维护 (31)第五章内网管理 (37)第一节探测器管理 (37)第二节设备管理 (43)第三节IP地址管理 (51)第四节补丁管理 (57)第五节软件分发 (59)第六章安全审计 (61)第一节规则设置 (61)第二节资产管理 (76)第七章统计查询 (83)第一节操作日志报表 (83)第二节系统消息报表 (85)第三节IP地址查询报表 (87)第四节客户端规则查询 (88)第八章补丁下载管理器 (92)第九章退出系统 (94)第一章使用说明LanSecS V6.10是集内网监控、内网审计和安全网管于一体的内网安全管理软件。

并且在LanSecS V6.03的基础上，对原有功能进行了一些修改和调整，相对于上一版本而言，整个界面更直观、流畅。

同时，在整个管理架构上也有新的调整，更适用于管理者对整个内部网进行安全管理。

LanSecS V6.10架构说明：LanSecS V6.10 内网安全管理软件由四部分组成：加密虎IKEY驱动、控制台、智能探测器（JServer）以及客户端。

软件安装包中分别有这四个组件的安装程序。

圣博润lanSecS内网安全管理共60页

LanSecS
内网安全管理系统
产品介绍
议程
一、公司简介二、内网安全现状三、产品理念与设计目标四、LanSecS产品新特性五、系统架构设计六、产品功能七、产品部署八、技术支持九、荣誉与成功案例
一、公司简介
公司介绍
• 公司成立于2000年6月 • 公司注册资金1000万 • 公司现有员工75名，开发人员35人 • 总部设立在北京，分公司包括：南京分公司、
中关村高新企业
公司资质
软件企业认定证书
质量管理体系认证证书
LanSecS系列产品资质
销售许可证
军队认证证书
涉密产品检测证书
产品资质
软件著作权证书
二、内网安全现状
内网安全威胁来源
30 ％
网络边界网络内部
恶意攻击远程入侵病毒蠕虫 ……
信息盗窃操作失误非法接入非法外联… 补丁缺失病毒库老化认证缺陷策略配置… 审计缺乏行为无控资产不明网络无监管…
控制中心支持Windows、Linux、Solaris操作系统。满足跨平台部署要求；数据库支持Oracle、SQL Server、PostgreSQL；安全代理支持Windows 2000、Windows XP、Windows 2019、Windows Vista
完善的分级分权管理
指令式分级管理模式，可实现跨地域分散部署和集中管理
策略分发状况的查询、统计与分析
系统安全性设计
总控中心安全性：加固、认证、访问控制数据库安全性：加固、访问控制、备份恢复代理安全性：自保护、运行安全策略安全性：签名、验证
通讯安全性：加密、认证
六、产品功能
功能分类
1
内网安全审计

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

LanSecS信息安全等级保护综合管理系统
北京圣博润高新技术股份有限公司
2012-6-14
1.系统简介
“LanSecS信息安全等级保护综合管理系统”是一套适用于信息安全等级保护工作业务管理的综合信息管理平台。

作为信息安全等级保护工作的常态化管理工具，该系统紧密结合我国信息安全等级保护政策，实现了对信息安全等级保护工作中定级备案、安全建设整改、等级测评、风险评估和安全检查等各个工作环节信息与数据的集中管理和工作流程管理。

2.系统定位
3.系统架构
图1系统架构示意图
LanSecS信息安全等级保护综合管理系统的架构分为业务管理层、基础数据层和接口层三层。

业务管理层提供包括等级保护工作管理、日常办公管理、数据统计与分析等管理功能。

基础数据层维护等级保护工作所需的各类基础信息与数据。

接口层负责与其它安全运维管理系统或等级保护备案管理系统的数据共享和交互。

4.系统功能
4.1.定级备案管理
“定级备案管理”主要完成重要信息系统的定级备案信息维护与管理，包括备案信息填报、备案信息查询、备案信息统计、备案信息表的导出和导入、备案附件信息管理、备案数据采集工具等。

4.2.安全建设整改管理
“安全建设整改管理”主要完成已备案信息系统安全建设整改活动的管理。

系统将安全建设整改分为工作部署、现状分析、整改方案设计、整改实施、整改结果分析五个工作步骤，实现了安全建设整改活动的全程监控。

4.3.等级测评管理
等级测评管理模块主要负责由第三方测评机构主导实施的等级测评活动的组织和管理。

包括测评机构管理、测评流程管理、测评结果汇总与记录、测评活动监控等功能。

4.4.安全检查管理
“安全检查管理”提供对安全自查、主管部门检查和公安机关检查等安全检查活动情况的跟踪记录管理。

包括监督检查制度管理、安全自查管理、主管部门检查管理、监督检查信息记录、监督检查数据查询与统计、监督检查数据导入导出等功能。

4.5.风险评估管理
“风险评估管理”主要负责对信息系统风险评估活动相关信息的维护管理，规范风险评估活动工作流程，对风险评估活动过程中的各种数据进行汇总记录，并可对当前正在进行的风险评估项目的执行情况进行监控。

4.6.日常办公管理
“日常办公管理”为等级保护工作人员提供了一个日常的等级保护工作办公平台，由待办事项，办结事项，任务管理，工作考核四个部分组成。

4.7.统计分析
“统计分析管理”主要提供等级保护相关信息与数据的统计及分析功能，包括信息系统统计、安全事件统计、工作事项统计、资产统计、安全机构统计、安
全人员统计、建设整改情况统计、等级测评情况统计，安全检查情况统计等，支持列表和图形两种统计形式。

4.8.基础数据管理
“基础数据管理”实现了等级保护各个工作环节所需的基础数据的维护管理。

基础数据包括政策法规库、标准规范库、安全事件、信息资产、组织机构和人员、技术支持队伍、安全管理制度、应急保障活动、专家信息等。

系统提供了对上述信息的收集汇总和查询统计功能。

5.系统特色
信息安全等级保护综合管理系统作为等级保护工作开展所依赖的基础工作平台，其作用主要体现在如下几个方面。

1)等级保护工作管理信息化
信息安全等级保护综合管理系统可对各种信息安全等级保护基础数据实现集中存储和管理，保证了数据的完整性和一致性，为行业等级保护工作的开展提供了可靠的数据支持。

通过数据的集中管理与统计分析，使得数据处理和工作部署实施的自动化程度大大增强，有效提高了等级保护工作的效率。

2)等级保护工作管理流程化
信息安全等级保护综合管理系统为信息安全等级保护的多个工作环节提供了基于工作流引擎的工作流程管理功能。

通过流程定制，行业管理人员可按照统一的工作流程开展等级保护工作，避免了不同单位、不同管理人员执行等级保护工作的随意性，促进了等级保护工作的标准化和规范化。

3)等级保护工作管理常态化
信息安全等级保护综合管理系统是一个以等级保护为核心的综合信息安全管理的基础工作平台。

通过该系统，行业等级保护工作人员可将等级保护工作融入日常信息安全管理工作中，有效促进各行业等级保护工作管理的常态化。

6.系统部署
信息安全等级保护综合管理系统支持独立部署和分级部署两种部署模式。

通过分级部署，可以将下级系统的信息和数据实时地或周期性地同步到上级系统中，为上级部门的等级保护工作管理提供更加完备的数据支持。

图2系统分级部署模式示意图
7.系统配置要求
本系统的配置要求如下：
1）数据库服务器：用于提供基础数据和等级保护工作数据的存贮服务，配置要求为双CPU Xeon3.0G以上，500G硬盘以上，内存4G以上；
2）应用服务器：用于部署本系统服务器程序，配置要求为CPU Xeon3.0G 以上，120G硬盘，内存4G以上；
3）系统管理主机：用于本系统的维护管理，可通过浏览器进行系统管理。

配置要求为Xeon3.0G CPU，120G硬盘，内存1G以上。