XX网络建议方案.docx
《XX网络建议方案.docx》由会员分享,可在线阅读,更多相关《XX网络建议方案.docx(23页珍藏版)》请在冰豆网上搜索。
XX网络建议方案
XX网络信息安全建设规划
一、概述
概述xx网络的功能和职责及所处的政治意义。
XX作为xxx。
其信息通讯的安全就尤为重要,根据XX网络的复杂运用情况,将通过多种手段的综合运用,最终实现了内外网安全的目的.
(一)XX配套设施基本情况
简述xx网络建设的基本情况。
(二)信息化建设中的网络安全;
建立计算机信息系统安全保护,是XX建设计算机信息系统工作中的一件大事,它直接关系到行业内的计算机信息系统建设和管理,是一项复杂的科学化的系统工程,需要投入一定量的精力进行参与。
由于Internet是一个开放的网络,存在大量网络黑客甚至黑客组织,出于不同目的,对各站点攻击并篡改页面的事件层出不穷。
网上是政府在网上的形象,网上政府发布的一些重要新闻、重大方针政策、法规具有权威性,如果一旦被黑客篡改,将影响政府形象,甚至造成重大的政治经济损失。
为保证信息的准确性时效性我门将在下面全面描述网络安全的设计方案.
(三)xx网络建设现状、存在主要问题
针对XX网络建设的情况,结合国家公安部、国家保密局及国家安全评测中心的政策和相关安全建立标准,我们可以把全网的信息安全划分为六个层次:
物理层、网络层、操作系统、数据库层、应用层及操作层,然后针对每个层次上可能出现的问题一一分析。
3.1物理层安全威胁分析
物理层指的是整个网络中存在的所有的信息机房、通信线路、网络设备、安全设备等,保证计算机信息系统各种设备的物理安全是保障整个网络系统安全的前提。
然而,这些设备都面临着地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程,设备安全威胁主要包括设备的被盗、恶意破坏、电磁信息辐射泄漏、线路截获监听、电磁干扰、断电、服务器宕机以及物理设备的损坏等等。
这些都对整个网络的基础设备及上层的各种应用有着严重的安全威胁,这些事故一旦出现,就会使整个网络不可用,给用户造成极大的损失。
信息机房周边对设备运行产生不良影响的环境条件,如:
周边环境温度、空气湿度等。
供电系统产生的安全威胁,UPS自身的安全性。
各种移动存储媒体(如软盘、移动硬盘、USB盘、光盘等)在应用后得不到及时的处置,也会造成机密信息的外泄。
网络安全设备直接暴露在非超级管理人员或外来人员的面前,外来人员有可能直接使安全设备丧失功能,为以后的侵入打下基础,如:
直接关掉入侵检测系统的电源、关掉防病毒系统等。
外来人员及非超级管理人员可以直接对一些设备进行操作,更改通信设备(如交换机、路由器的口令)、安全设备(如更改防火墙的安全策略配置)等。
3.2网络层安全威胁分析
网络层是网络入侵者进攻信息系统的渠道和通路。
许多安全问题都集中体现在网络的安全方面。
大型网络系统内运行的TPC/IP协议并非专为安全通讯而设计,所以网络系统存在大量安全隐患和威胁。
网络入侵者一般采用预攻击探测、窃听等搜集信息,然后利用IP欺骗、重放或重演、拒绝服务攻击(SYNFLOOD,PINGFLOOD等)、分布式拒绝服务攻击、篡改、堆栈溢出等手段进行攻击。
下面分几个部分对网络层安全进行分析。
3.2.1网络设备安全威胁分析
在网络中的重要的安全设备如路由器、三层交换机等有可能存在着以下的安全威胁:
(以最常用的路由器为例)
Ø路由器缺省情况下只使用简单的口令验证用户的身份,并且远程TELNET登录时以明文传输口令。
一旦口令泄密路由器将失去所有的保护能力。
Ø路由器口令的弱点是没有计数器功能的,所有每个人都可以不限数的尝试登录口令,在口令字典等工具的帮助下很容易破解登录口令。
Ø每个管理员都可能使用相同的口令,因此,路由器对于谁曾经作过什么修改,系统没有跟踪审计能力。
Ø路由器实现的动态路由协议存在着一定的安全漏洞,有可能被恶意的攻击者利用来破坏网络的路由设置,达到破坏网络或为攻击作准备。
Ø针对路由器的拒绝服务攻击或分布式拒绝服务攻击。
Ø发布假路由,路由欺骗,导致整个网络的路由混乱。
3.2.2子网边界安全风险分析
网络系统可以看作由多个子网组成,每个子网都是一个独立的系统,各子网之间主要存在的安全风险包括:
⏹内部用户的恶意攻击:
就网络安全来说,据统计约有70%左右的攻击来自内部用户,相比外部攻击来说,内部用户具有更得天独厚的优势,因此,对内部用户攻击的防范也很重要。
⏹入侵者通过Sniffer等嗅探程序来探测扫描网络及操作系统存在的安全漏洞,如网络IP地址、应用操作系统的类型、开放哪些TCP端口号、系统保存用户名和口令等安全信息的关键文件等,并通过相应攻击程序对内网进行攻击。
⏹入侵者通过网络监听等先进手段获得内部网用户的用户名、口令等信息,进而假冒内部合法身份进行非法登录,窃取内部网的重要信息。
⏹入侵者通过DoS攻击对内部网中重要服务器进行攻击,使得服务器超负荷工作以至拒绝服务甚至系统瘫痪。
2.3.2.3数据传输安全风险分析
XX网络采用TCP/IP技术构成开放、互联网络,因此,它非常容易受到各种信息安全事件的干扰。
TCP/IP协议是当前互联网的主流通信协议,已成为网络通信和应用的实际标准。
然而,基于数据流设计的TCP/IP协议自身存在着许多安全漏洞,在Internet发展的早期,由于应用范围和技术原因,没有引起重视。
但这些安全漏洞正日益成为黑客们的攻击点。
在企业信息管理、办公自动化、电子商务、网上交易等活动中,对TCP/IP网络服务的任一环节的攻击,都有可能威胁到用户机密信息、密码等敏感数据的安全传送。
因此,针对网络层安全协议的攻击将给网络带来严重的后果。
⏹重要业务数据的泄漏或欺骗
由于在同级局域网和上下级网络数据传输线路之间存在被窃听的威胁,同时局域网络内部也存在着内部攻击行为,其中包括登录通行字和一些敏感信息,可能被侵袭者搭线窃取和篡改,造成泄密。
如果没有专门的软件或硬件对数据进行控制,所有的信息通信都将不受限制地进行传输,因此任何一个对通信进行监测的人都可以对通信数据进行截取。
这种形式的“攻击”是相对比较容易成功的,只要使用现成的协议分析软件,如sniffer,dump等即可。
⏹重要数据被破坏
如果不对数据库及个人终端实施安全保护措施,它们将受到来自网络上的各种对数据库及个人终端的攻击。
同时一旦不法分子针对网上传输数据做出伪造、删除、窃取、窜改等攻击,都将造成十分严重的影响和损失。
3.3系统层安全威胁分析
系统层的安全威胁主要从操作系统平台的安全威胁进行分析:
操作系统安全也称主机安全,由于现代操作系统的代码庞大,从而不同程度上都存在一些安全漏洞。
一些广泛应用的操作系统,如Unix,WindowNT/2000,其安全漏洞更是广为流传。
另一方面,系统管理员或使用人员对复杂的操作系统和其自身的安全机制了解不够,配置不当也会造成的安全隐患。
操作系统自身的脆弱性将直接影响到其上的所有的应用系统的安全性。
操作系统的安全是网络系统信息安全的基础。
各种操作系统之上的应用要想获得运行的高可靠性和信息的完整性、机密性、可用性和可控性,必须依赖于操作系统提供的系统软件基础。
任何脱离操作系统的应用软件的高安全性都是不可能的。
在网络安全系统的建设过程中,必须加强以安全操作系统为基础的整体安全保障基础设施的建设。
3.4应用层安全威胁分析
应用安全是指用户在网络上的应用系统的安全,包括ERP平台、WEB、邮件系统、DNS、FTP等网络基本服务以及财务业务系统、办公自动化等系统。
应用层安全的解决目前往往依赖于网络层、操作系统、数据库的安全,由于应用系统复杂多样,没有特定的安全技术能够完全解决一些特殊应用系统的安全问题。
但一些通用的应用程序,如WebServer程序,FTP服务程序,E-mail服务程序,浏览器,MSOffice办公软件等这些应用程序自身的安全漏洞和由于配置不当造成的安全漏洞会导致整个网络的安全性下降。
3.5管理层安全威胁分析
层次系统安全架构的最顶层就是对集团公司全网进行操作、维护和使用的内部人员。
人员有各种层次,对人员的管理和安全制度的制订是否有效,影响由这一层次所引发的安全问题。
Ø没有完善的信息机房进入手续,或有但没有严格执行;
Ø没有完善的网络与安全人员管理制度;
Ø信息网络管理人员技术水平较低或思想政治觉悟不高;
Ø管理人员对其下属没有进行网络操作的严格要求;
Ø网络或安全设备的管理登录密码没有按照制度进行更换,或没有安全密码的管理制度;
Ø没有定期的对现有的操作管理人员进行安全培训;
Ø整个安全管理体系存在着一些问题;
2.3.6安全防范措施
网络面临的威胁及相应的应对措施如下表:
主要安全威胁
后果
应对措施
网络硬件设备、布线系统的电磁泄漏
数据被窃取
采用屏蔽系统,安装电磁干扰器和视频干扰仪。
外部安全威胁
互联网黑客攻击内网
部署防火墙进行访问控制,记录来自外部对内网的访问,以便追查
外网窃听
篡改数据
信息在传输过程中被篡改
业务访问(WebServer、Oralce)采用认证系统并对信道进行加密
内网窃听
关键主机的用户名、口令泄漏;
假冒他人进入系统;
越权操作
部署网络入侵检测系统
网络中主要系统的安全风险;不安全配置;弱帐户、空口令等
利用系统弱点和漏洞侵入系统
部署漏洞扫描系统定期检查内部网络和系统的安全隐患,并及时修补漏洞
服务器不必要的服务
攻击开放的服务,造成系统崩溃
通过网络安全评估,安全配置服务器系统;部署服务器动态保护系统。
内部人员恶意攻击
数据库被修改、服务中断、难以追查
部署内网监控系统,记录网络访问及安全事件、重现攻击过程,追究责任;通过业务系统审计保证操作的责任性
桌面系统防护薄弱被安装木马
病毒、恶意代码爆发造成网络瘫痪、木马造成信息泄密
通过安装网络防病毒系统,强制病毒库的升级。
备份与容灾需完善
管理复杂、存储资源浪费严重
建设集中的数据存储与备份系统
建设异地数据容灾系统及网络备份
内部人员违反安全策略拨号上网
拨号用户被黑客利用作为攻击内部系统的跳板
通过内网监控系统和一些制度严格限制。
二、规划建设目标
(一)项目建设的目标和意义
实施网络信息安全建设,从技术上支撑建立企业计算机网络的建设和运维,对先进的信息化职能的转变具有高效的安全保障。
也有利的保障了在XX安全信息化、管理信息化,以及保证了特殊的政治业务的涉密运行进行;增加了高信息化管理总体附加值,提高业内的竞争力。
(二)规划设计理念
Xx的总体网络安全建设的理念突出地表现为国际公认的“三元论”——即综合考虑信息安全的三个要素:
策略、管理和技术。
安全策略——包括各种策略、法律法规、规章制度、技术标准、管理标准等,是信息安全的最核心问题,是整个信息安全建设的依据;
安全管理——主要是人员、组织和流程的管理,是实现信息安全的落实手段;
安全技术——包含工具、产品和服务等,是实现信息安全的有力保证。
安全建设是一个不断的持续改进的过程,在这个指导思想上,整体安全解决方案如下图所示:
上图中的策略、保护、检测、响应、恢复和改善组成的完整模型体系,这个模型的特点就是动态性和可管理性,可以说对信息安全的"相对性"给予了更好地描述。
按照P2DR3模型,XX信息系统安全建设方案可以最大限度地保护信息不受诸多威胁的侵犯,确保业务运行的连续性,将损失和风险降低到最小程度。
在安全策略的基础之上划分了管理安全、应用与系统安全、网络安全和物理安全等多个层次对信息进行保护、检测、响应、恢复和改善,参见下图。
要保证系统安全,还要培养和建立专业化的系统管理和维护人员队伍,设置专门化的系统安全管理工作岗位,制定行之有效的系统安全管理规范。
除了进行日常的系统安全管理之外,对系统故障的准确判断、能够快速排除故障、建立有效的系统灾难处理机制、恢复系统数据、恢复系统正常工作状态策略,这些都是不能忽略的。
(三)规划设计原则
网络安全的重要性已经被人们所认可,而网络安全的需求也是包含了从硬件物理到人为的信息安全服务,但网络安全方案要做到全面、可扩充,其设计须遵循以下原则:
⏹需求、风险、代价平衡的原则
对任一网络,绝对安全难以达到,也不一定是必要的。
对一个网络要进行实际的研究(包括任务、性能、结构、可靠性、可维护性等),并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定相应的规范和措施,确定系统的安全策略。
⏹综合性、整体性原则
运用系统工程的观点、方法,分析网络的安全及具体措施。
安全措施主要包括:
行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业技术措施(访问控制、加密技术、认证技术、攻击检测技术、容错、防病毒等)。
一个较好的安全措施往往是多种方法适当综合的应用结果。
计算机网络的各个环节,包括个人(使用、维护、管理)、设备(含设施)、软件(含应用系统)、数据等,在网络安全中的地位和影响作用,只有从系统整体的角度去看待、分析,才可能得到有效、可行的安全措施。
不同的安全措施其代价、效果对不同网络并不完全相同。
计算机网络安全应遵循整体安全性原则,根据确定的安全策略制定出合理的网络体系结构及网络安全体系结构。
⏹先进性原则
采用最新技术、成熟的网络安全产品,最好的发挥网络安全作用。
⏹可实施性原则
方案设计再好,如果无法实施就变得没有任何意义。
安全实施需要人去完成,如果实施过于复杂,对人的要求过高,本身就降低了安全性。
⏹可维护性原则
安全措施必须能随着网络性能及安全需求的变化而变化,要容易适应、容易修改和升级,能够方便维护。
⏹多重保护原则
任何安全措施都不是绝对安全的,都可能被攻破。
但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。
⏹可评价性原则
如何预先评价一个安全设计并验证其网络的安全性,这需要通过国家有关网络信息安全测评认证机构的评估来实现。
网络安全是整体的、动态的。
网络安全的整体性是指一个安全系统的建立,即包括采用相应的安全设备,又包括相应的管理手段。
安全设备不是指单一的某种安全设备,而是指几种安全设备的综合。
网络安全的动态性是指,网络安全是随着环境、时间的变化而变化的,在一定环境下是安全的系统,环境发生变化了(如更换了某个机器),原来安全的系统就变的不安全了;在一段时间里安全的系统,时间发生变化了(如今天是安全的系统,可能因为黑客发现了某种系统的漏洞,明天就会变的不安全了),原来的系统就会变的不安全。
所以,网络安全不是一劳永逸的事情。
(四)总体规划设计及措施
4.1物理安全
物理安全是整个系统安全的基础,要把XX信息系统的危险减至最低限度,需要选择适当的设施和位置,保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。
XX的网络属于涉密网,对物理安全的要求高于其他性质的网络系统。
它主要包括机房环境、设备保护、综合布线等几方面的内容。
1、XX网络机房的建设须符合国家有关部门要求以及《电子计算机机房设计规范》(GB50174-93)、《计算机场地安全要求》(GB9361-88)等国家的相关安全标准,保证设备的物理安全,包括防火、防水、防静电、防雷击、防鼠害、防辐射、防盗窃、火灾报警等。
建议机房建设按涉密机房要求来进行。
应遵循涉密机房的要求,BMB3-1999《处理涉密信息的电磁屏蔽室的技术要求和测试方法》B级;
2、按照应用系统的控制级别划分为数据交换区和业务区,对划分的区域实行分区控制,根据需要确定能否进入相应的区域;采用门禁等安全措施,严格控制进入各分区的人员;
3、对于重要的数据进行备份,备份数据的存放位置应符合GBJ45-82中的规定,符合防火、防高温、防水、防震等要求;定期对备份数据进行检查,保证其可用性等;
4、内网的布线系统采用屏蔽布线系统,工作区的机柜采用屏蔽机柜。
4.2网络安全
根据网络所处的地位、性质和作用的不同,网络需要划分为不同的安全区域。
在不同的安全区域之间需要采用安全技术来防范来自不同网络的安全威胁。
4.2.1网络接入点安全
网络需要接入互联网。
因此,网络接入点的安全至关重要。
为了保证接入点的安全,网络边界处的安全防护需要达到以下要求:
1.访问控制。
用户接入内网后,只能按照预先制定的安全策略(限制访问IP、端口及时间等)访问指定的主机及服务,避免内部业务主机的漏洞或服务被利用。
2.访问审计。
用户对内网的访问需要进行详细的审计记录,记录其访问的时间、源IP、目标IP、端口等等。
以便保证访问的责任性和可追查性。
为了达到以上安全要求,可以在边界接入点部署防火墙系统,在防火墙之后部署互联网安全接入认证系统。
防火墙的目的是要在内部、外部两个网络之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。
具体地说,设置防火墙的目的是隔离内部网和外部网,保护内部网络不受攻击,实现以下基本功能:
禁止外部用户进入内部网络,访问内部机器;
保证外部用户可以且只能访问到某些指定的公开信息;
限制内部用户只能访问到某些特定的Internet资源,如WWW服务、FTP服务、TELNET服务等;
智能的蠕虫病毒防范功能,内置IPS模块,并要求必须具有实时检测网络蠕虫病毒的方法专利号,保证了此功能的实际可靠性应用保证网络安全的稳定;
提供端口聚合功能:
防火墙多个接口可以设置为聚合口,起到链路备份的功能;
P2P协议阻断和流量带宽管理能够阻断常见的P2P协议,必须支持BT、电驴、fasttrack、gnutella、dc、openft等,同时支持P2P免屏蔽列表,能够对P2P流量进行带宽管理;
具有基于P2P高速下载软件产生流量的发现及控制方法的专利号,可以有保证该功能实际应用的可靠性;
具有黑名单功能模块可以过滤恶意主机、假冒的IP地址
具有白名单模块对特权IP地址可不受规则限制;
具有对QQ、MSN软件管理设置模块,可以QQ、MSN软件使用的用户进行时间、带宽的设定及阻断功能,以及提供特权用户的设置;
对带宽管理必须支持ACL规则的8级优先控制级别设置,以及对时间、带宽进行设置,其中对带宽的设置至少保证设置M\K\字节的设置;
支持双ISP出口热备:
当一个出口线路出现故障,系统可以把网络数据流切换到运行状态良好的另一个接口和路由上;
生产厂家要具备具备由国家信息安全测评认证中心认可的信息安全服务资质(一级及以上),保证了日后对网络安全服务及安全评估进行良好的服务支持;
防火墙除了部署在用户网络边缘以外,还可以根据不同的用户的需求进行防火墙的部署,我们建议对于网络内部关键服务器、要害部门(如财务部门、研发部门、机要室等)等地方都部署防火墙。
互联网安全接入认证系统是针对各种需要高速互联网接入访问服务的场所定制的一套完整的解决方案。
解决了网络阻塞、ip盗用、非法登录以及访问非法站点等问题。
4.2.2构建内网的监控系统
1.网络入侵检测系统
防火墙虽然能抵御网络外部安全威胁,但对网络内部发起的攻击,显得无能为力。
动态地监测网络内部活动并做出及时的响应,就要依靠基于网络的入侵检测系统,监控网络上的数据流,从中检测出攻击的行为并给与响应和处理。
网络信息审计技术还能检测到绕过防火墙的攻击。
网络入侵检测系统是一种主动保护自己免受攻击的网络安全技术。
作为防火墙的合理补充,网络入侵检测系统能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了信息安全基础结构的完整性。
它从计算机网络系统中的若干关键点收集信息,并分析这些信息。
网络入侵检测系统被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测。
网络入侵检测系统直接接在交换机的镜像端口上,该端口可以将通过交换机的所有数据流量自动复制一份,这样,网络入侵检测系统就可以监听到通过交换机的所有数据通信,并对之进行实时的协议分析,根据其中的一些特征进行智能对比和分析。
如果发现可疑连接请求、网络进攻和邮件病毒等入侵,网络入侵检测系统会立即报警并按照管理员所配置的动作进行反应。
网络入侵检测系统根据系统预装的关于异常、攻击和漏洞信息库,可以实时监测所有网络访问活动,并在危害系统安全的事件发生时,产生预先定义的动作,以保护网络的安全。
同时,网络入侵检测系统所监听到的网络活动记录,也为网络管理员进行事后分析、网络管理等提供了依据。
网络入侵检测系统对计算机网络进行自主地、实时地攻击检测与响应。
这种领先产品对网络安全轮回监控,使用户可以在系统被破坏之前自主地中断并响应安全漏洞和误操作。
实时监控在网络中分析可疑的数据而不会影响数据在网络上的传输。
它对安全威胁的自主响应为XX提供了最大限度的安全保障。
网络入侵检测系统在检测到网络入侵后,除了可以及时报警以及切断攻击行为之外,还可以动态地调整防火墙的防护策略,使得防火墙成为一个动态的智能的的防护体系。
在使用入侵检测系统设备必须有以下功能
流量分析支持网段的流量统计分析功能
报警与流量分析提供了报警的总体分布、报警级别分布、报警趋势分布、流量趋势、包趋势、连接量趋势、特征协议趋势、安全评分对比,统计威胁对比、经常触发的事件等多种报警内容
主机评估与分析提供分析评估中心,可以将网络中的数据详细分类,对入侵报警和流量进行全面分析
可视化和全图形化挖掘系统应用图形化分析手段,直观可视化的展现受到网络威胁的全部信息,应用了对比、分布图、趋势图的方式展现给用户,
阻断对于一些非法的连接也能够进行及时的阻断,可以进行自动阻断和手工阻断,支持黑名单断开、阻塞HTTP请求、中断TCP会话、伪造ICMP应答或通过防火墙阻塞。
设立独立阻断端口可以对规则设置阻断规则,采用了单独阻断端口,在阻断的时候不影响数据包的收集和检测
告警的条件过滤采用图像化的数据来表达入侵日志,也提供了传统的日志查询方式,可以任意的设定查看方式并在设置后进行二次的排序和条件过滤
2.主机监管与审计系统
目前,据统计超过80%的信息安全隐患是来至组织内部的,这些隐患直接导致了信息被内部人员所窃取和破坏。
如何解决组织内部的网络安全已成为摆在每一个单位、企业面前亟待解决的问题。
如何对内部用户的进行有效管理,防止内部用户越权访问、信息泄密等违规行为发生,以及在相关非法事件发生后,可以对非法事件进行追踪、取证,也变的极为重要。
加强对内部用户的身份鉴别、权限控制、角色管理和访问控制管理,防止对应用系统的数据库服务器、邮件服务器及文档服务器的非法存取、删改和破坏。
这些问题的解决就需要我们部署主机监管系统。
在设备使用中设备需要具有以下功能
主机信息获取系统能够自动获取终端的静态(IP地址、MAC地址、系统内存)和动态(设备使用情况、共享情况、拨号情况、主机帐号等)信息
USB分类管理可以对USB设备的进行分类管理:
包括USB存储设备(U盘,活动硬盘),USB输入设备(USB键盘、鼠标),USB-KEY,并可以自定义设备
存储透明加解密文件拷贝到经过认证的USB存储设备里,支持自动实现透明的加解密
服务器级联支持系统服务器的多级级连,上级服务器可以给下级服务器下发策略,可以查看下级服务器上的日志和状态,可实现分层次的管理。
网络连接监控监控受控主机上存在的TCP/UDP连接信息,以及网络连接关联的进程信息
打印监控监控受控主机上的打印情况,可以禁止、记录、允许用户提交打印任务,并且可以还原打印信息
拨号监控防止对拨号设备(Modem,ADSL)的使用,防止非法外联
共享监控能监控受控
升级会员 