圣博润莱恩赛克LanSecS®内网安全管理系统

系统综述
　　北京圣博润高新技术有限公司一直遵循国际先进的网络和信息安全管理标准，致力于为客户提供专业的网络安全咨询、管理、集成、培训等综合服务，以及基于先进安全管理理念的软件系统。圣博润的信息安全专家们针对目前存在的各种Intranet（企业内部网络）拓扑结构特点深入分析网络中存在的安全管理隐患和可能面临的各种攻击手段。在此基础上从理论和技术角度进行了大量的论证，完全自主研发了LanSecS®内网安全管理系统。

网络安全面临新挑战

　　随着计算机网络技术和数字通信技术飞速发展,计算机网络技术的应用不断深入到人们的日常工作、学习和生活中，应用领域也从传统的、小型的业务系统逐渐向大型、关键、综合的业务系统扩展，如电子政务、电子商务、CIMS、知识管理、电子金融、社会保障、GIS系统等。在二十世纪末信息安全的课题就被提升到日常应用的高度，在解决了网络之间的安全问题后，网络内部的安全问题作为新的技术问题被信息系统管理者所关注。
　　在大大降低网络攻击与破坏事件的发生概率后，网络内部大量的技术和业务机密一般存储在工作计算机或私有的网络环境中，一旦企业内部的管理制度不完善，内部工作人员将利用合法的身份非法获取机密信息，换言之内部管理漏洞将是泄密事件发生的重要前提条件。内部网络上大多数的应用，对企业是至关重要的，甚至是严格保密的。一旦出现涉密、破坏的事件，将产生严重后果。这些都使得内网安全问题变得越来越重要和突出。内网安全存在的安全隐患包括很多方面，重点问题如：没有内网管理和安全策略，系统环境主机和外设没有保护机制，导致内网的安全风险大大提高。为将安全风险控制在最小范围，必须在内网建立可靠、便捷的网络管理、安全审计和监控系统，以最小的投入保证内网获得最大的安全收益。

技术特色

●主动防御体系的理论
　　LanSecS内网安全管理系统将重点放在主动地（Actively）控制风险而不是被动地(Passively)响应事件，提高整个信息安全系统的有效性和可管理性。以主动的安全管理和安全控制的方式，将内部网络的安全隐患以技术的手段进行有效的控制，全面保护网络、系统、应用和数据。通过对每一个网络用户行为的监视和记录，将网络的安全隐患可视化，提供实时监控，并形成完整的日志，为审计提供依据，从而大大提高内部专用网络的安全性，真正保障每一个网络用户都在授权的范围内合法地使用网络和数据。

●基于先进的网络安全理论模型
　　LanSecS内网安全管理系统在国际网络安全理论模型P2DR（安全策略、防护、检测、响应）基础上，采用系统工程学方法，把网络安全整体解决方案实施体系视为一个系统工程，形成北京圣博润高新技术有限公司特有的网络安全理论模型，以此模型为基础设计了专业的智能的LanSecS内网安全管理系统。既提供了对内网系统和网络的基本管理，也提供了对内网安全的监控和审计管理。

●网络拓扑自动学习原理
　　LanSecS内网安全管理系统通过控制台对核心数据服务进行一系列参数配置(如扫描IP范围、部门信息、支持SNMP协议网络设备的读写团体名称等)后，运行网络拓扑自动学习功能，自动对实际的网络结构进行学习，并映射成与真实网络拓扑结构相同的网络物理结构图。网络管理员可以对图上的设备进行操作，管理网络或进行网络故障的检测。在学习状态下，系统将按照人工智能的方法，自动学习网络拓扑结构，并且可根据实际情况，对图进行微调，修改其连接端口。

●采用标准的SNMP协议对网络实时监控
　　LanSecS内网安全管理系统采用了国际通用简单网络管理协议(SNMP)对网络上支持该协议的设备进行实时监控、自动学习和管理。SNMP是一种用于监视网络设备信息以及进行网络设备管理的协议，大多数主流交换机都支持SNMP协议。

●采用先进、灵活的管理理念
　　LanSecS内网安全管理系统在总结分析了MicroSoft的域的概念的基础上，将安全管理域的先进概念融入到产品，将管理的概念由面引申为点的管理，将平面化管理发展为立体方位的管理，缩小管理范围增强系统的管理能力。同时在安全通信方面进行了技术改善。例如在不同域之间的信任关系只能实现父层完全信任子层（充分的管理以及审计），子层与子层之间不能完全信任。
　　以上两种设计理念使得LanSecS内网安全管理系统在灵活管理与安全管理方面，实现了重大的技术突破，成为自身独有的一种技术特色。

●领先的安全监控和管理技术
　　LanSecS内网安全管理系统是一套集成了北京圣博润高新技术有限公司多项核心技术的实用安全系统。圣博润在研究了下列关键技术基础上，自主研发了该项管理系统。
　　◆监控内网网络设备、计算机系统的稳定性和可靠性；
　　◆内网系统资源安全管理和监控；
　　◆阻止内网的信息通过网络向外泄漏；
　　◆防止内网中信息通过系统外设向外泄漏；
　　◆自动发现并阻止非法接入内网的计算机；
　　◆审计客户端安装后不能删除或中止，确保内网所有用户都受到安全策略控制。

系统简介

LanSecS内网安全管理系统是在LanSecS内网安全四要素的基础上，综合利用身份认证、文件系统监控、设备监控、网络监控、注册表监控、进程/服务监控、打印监控、共享监控、系统资源分析、用户网络行为分析等多种操作系统核心技术开发的新一代内网安全管理系统。
LanSecS根据系统提供安全服务的不同，划分为五个安全组件：安全审计、安全服务、安全加固、安全网管、资产管理。这五个服务组件有机结合，依靠统一的安全管理中心共同完成全方位的内网安全管理。组件化的产品架构可最大限度地满足内网的精细安全管理。从而使得LanSecS内网安全管理系统不仅适用于单个独立内网的安全管理，更适用于大型广域网络的分级安全管理（级数不限）。
LanSecS内网安全管理系统除了结构化的分级管理框架设计思路外，还采用了用户角色的设计思路。内网中所有人员均分配一定的角色（管理员、操作员、审计员、普通用户），不同的角色具有不同的系统权限。便于LanSecS内网安全管理系统系统的分权管理，增强了系统应用和管理的灵活性。

各安全组件提供的服务内容如下：
安全审计：提供内网主机安全事件的审计功能，包括文件操作、文档打印、共享访问、服务与进程活动、系统日志、注册表操作、系统帐户变更等。提供终端计算机用户行为的监控与审计，包括信息泄密、资源滥用、即时通讯、邮件收发和网站访问行为等。
安全网管：提供交换机的运行管理、网络资源的合法使用、网络拓扑的展现以及内网的接入控制和管理；提供内网网络设备、服务器的运行状态监控；提供主机网络参数的配置和监控等。
安全服务：通过预警平台和远程协助功能提供终端计算机用户和安全管理员之间方便、快捷、实时的交互平台。不但可向管理人员发送实时的报警信息，也便于安