内网防护建设

（一） 内网防护建设必要性     
     

随着单位信息化建设的不断加强，单位内网的终端计算机数量还在不断增加，网络中的应用日益复杂，目前为了维护网络内部的整体安全及提高系统的管理控制，需要对单位内网办公终端、服务器、信息系统、关键数据、网络设备等统一进行安全防护，加强对非法外联、终端入侵、病毒传播、数据失窃等极端情况的风险抑制措施。同时对于内部业务系统的服务器进行定向加固，避免由于外部入侵所导致的主机失陷等安全事件的发生。
 

（二）内网防护建设目标：
 

一. 规范内网用户接入
 

1. 实时监测和识别所有入网计算机，非法计算机或者违规计算机立即隔离出网。
 

2. 接入专网的计算机需经过主管部门审查，审批，严格用户身份管理，并根据业务需要，限定访问权限。
 

3. 对入网设备进行安全指标检查，主要包括按照规定必须安装的软件检查，设备在网情况，设备违规情况，应用软件检查等可防止非法卸载等行为发生，确保软件存活率。
 

二 移动存储介质管理
 

1.对内外使用的移动存储介质进行管理，经过授权的移动存储介质才能在内网授权范围内使用。
 

2.未经注册的移动存储介质无法在内网使用，主管部门可限定移动存储介质使用范围，并能实现专网计算机其他外设设备的控制（如红外，蓝牙，光驱等）
 

3.可单独指定计算机作为输入输出专用计算机，配合单向导入设备。
 

三 违规外联监控
 

对内网计算机连接互联网进行监控，一旦违规连接互联网，则立刻阻断网络，并报警
 

四 终端安全登录防护
 

实现内网的边界安全防护，采用用户身份认证方式，实现终端计算机的安全登录控制。
 

五 敏感信息实时监控
 

对内网计算机存储的信息实时监测，针对起草，编辑，存储以及插入的移动存储介质中的信息进行实时监测，一旦有敏感，涉密信息，则立即报警，并对违规行为进行有效的审计和取证。
 

（三）相关网络防护产品
 

1.边界安全
 

互联网接入口检测系统

网络边界监测系统

视频安全监控系统
 

2.网络系统安全
 

第二代防护墙

入侵防御检测系统

安全运维审计系统

安全日志审计系统

风险监测漏洞扫描系统

敏感信息实时监控系统

杀毒软件

上网行为管理
 

3.数据安全
 

数据泄露防护系统

电子文档安全管理

移动存储管理系统（三合一）

安全U盘系统

打印刻录监控与审计

终端安全登录系统

存储介质消除系统

计算机终端保密检查

数据备份与恢复系统

身份鉴别系统
 

（四）方案收益和最终目标
 

内网建设总体目标是最终构建一个安全可靠，稳定高效，结构完整，功能齐全，技术先进的电子办公平台。
 

实现
 

信息安全治理集中化；

信息安全体系规范化；

信息安全技术标准化； 

信息安全运维科学化；

信息安全团队专业化。