數字能源、數字環保信息安全整體解決方案（初稿）目錄TOC\o"1-4"\h\z\u一、背景與目標 41.1、建設背景 41.2、需求與問題 51.2.1、資產分析賦值 51.2.2、應用層面安全 6、等級保護建設規范 6、應用層面臨安全風險 61.2.3、網絡層面安全 8、等級保護建設規范 8、網絡層面臨安全風險 91.2.4、主機層面安全 10、等級保護建設規范 10、主機層面臨安全風險 111.2.5、物理層面安全 11、等級保護建設規范 11、物理層面臨安全風險 121.2.6、安全管理層面 12、等級保護建設規范 12、管理過程存在的問題 141.3、建設目標與意義 14二、系統設計思路與原則 142.1、建設思路 142.2、建設原則 15三、系統建設內容 163.1、資產風險評估 163.2、風險處置加固 173.2.1、威脅性處置加固 17、惡意網址過濾 17、病毒檢測防范 18、僵尸網絡隔離 18、DLP數據防泄漏 19、防止非授權訪問 19、無線熱點發現 20、細粒度網絡審計 20、遠程訪問傳輸加密 213.2.2、脆弱性處置加固 21、網絡設備安全配置基線 21、操作系統安全配置基線 22、數據庫系統安全配置基線 243.3、安全管理 363.3.1、安全集成參考 363.3.2、安全制度參考 363.3.3、安全運維參考 37四、實施策略與關鍵技術 404.1、深度內容解析 404.2、雙向內容檢測技術 404.3、分離平面設計 414.4、單次解析架構 424.5、多核并行處理 42五、實施步驟與進度安排 435.1、環境調研階段 435.2、信息資產確認階段 435.3、實施方案編寫與確認階段 435.4、安全評估與安全防護施行階段 435.5、項目運維知識培訓階段 445.6、驗收報告編寫與項目驗收總結階段 44六、方案優勢 446.1、專業的CTI中心、完善的用戶檔案系統 446.2、ISO9001售后質量管理體系 446.3、十年值得品牌信賴 456.4、專業功防團隊 45一、背景與目標1.1、建設背景xx市是一座新興工業城市，形成了以鋼鐵、新能源和新材料三大產業為支柱的多元化發展格局，并呈現集約化發展的良好態勢。2012年xx市全年生產總值(GDP)830.32億元，比上年增長10.3%，其中，工業增加值467.46億元，占生產總值的56.3%，新能源、鋼鐵、新材料三大支柱產業實現增加值212.35億元，占規模以上工業的72.88%。隨著經濟的增長，帶來能源消耗持續增加，2010年xx市全社會共計消耗能源980.17萬噸標煤（其中電力消費97.6億度），“十一五”期間年均增長10.67%。xx市規模以上工業企業近280戶，年耗能5000噸以上重點用能單位數量為20戶，工業能耗904.44萬噸標煤，占全社會能耗的92.27%。萬元GDP能耗2.66噸標煤，是全國平均水平的3.5倍。化石能源燃燒排放的二氧化碳為2597.5萬噸，人均碳排放量22.7噸，分別是全國和全省的3.70、5.84倍，化學需氧量排放量24570.1噸，二氧化硫排放量為62667.85噸，氨氮排放量為2738.27噸，氮氧化物排放量34016.3噸，二氧化硫、煙（粉）塵等污染物90%來自工業。2010年工業增加值360.11億元，新能源、鋼鐵、新材料三大支柱產業實現增加值280.95億元，占規模以上工業的77.3%。xx市作為國家第三批資源枯竭城市，節能減排任務十分艱巨，xx市政府采取了一系列舉措，2011年xx市被列為全國節能減排財政政策綜合示范城市之一，2012年，xx市發布《關于加快推進智慧xx建設的意見》，主要目標是充分整合信息化資源，推進跨部門的信息化共享和協同。文件中提出根據城市發展和社會民生需求，有計劃、分步驟的組織實施智慧xx建設12項重點工程，其中數字環保和數字能源兩個重點工程指出建設環境保護、排放管理等一體化的城市智能環保管理平臺和市能源監測管理中心。通過對全市重點企業的能耗和污染物排放、城市照明能耗、公共建筑的能耗、新能源和可再生能源項目、城市環境數據、交通能耗進行實時監測，xx市能源監測管理中心建設方案使市委、市政府領導能總覽全市能源環境概況，掌握全市節能改造、環境治理、新能源與可再生等項目動態、成果，科學提高政府節能減排管理水平，為實現管理節能和技術節能提供數據支撐。隨著數字環保和數字能源平臺項目建設提速，“安全”越來越成為一塊迫切需要鞏固和加強的內容。信息安全不僅關系到數字環保和數字能源平臺的穩健運行，更關乎到整體平臺的行的安全可靠。基于這樣的背景，本項目將于2013年開始啟動。1.2、需求與問題1.2.1、資產分析賦值信息：信息是一種資產，像其他重要的業務資產一樣，對組織具有價值，因此需要妥善保護。信息安全：信息安全主要指信息的保密性、完整性和可用性的保持；即指通過采用計算機軟硬件技術、網絡技術、密鑰技術等安全技術和各種組織管理措施，來保護信息在其生命周期內的產生、傳輸、交換、處理和存儲的各個環節中，信息的保密性、完整性和可用性不被破壞。通過信息資產匯總分析與并給與資產安全等級賦值，有助于xx數字能源、數字環保整體平臺信息安全體系規劃、周期性風險評估工作展開。1.2.2、應用層面安全、等級保護建設規范參照GB/T22239-2008標準明確要求，應用安全主要從身份鑒別、訪問控制、安全審計、剩余信息保護、通信完整性、通信保密性、抗抵賴、軟件容錯、資源控制等9個方面進行技術要求，以下為應用安全的要求部分截取摘要。（1）、身份鑒別本項要求包括：a)應提供專用的登錄控制模塊對登錄用戶進行身份標識和鑒別；b)應對同一用戶采用兩種或兩種以上組合的鑒別技術實現用戶身份鑒別；GB/T22239—200821c)應提供用戶身份標識唯一和鑒別信息復雜度檢查功能，保證應用系統中不存在重復用戶身份標識，身份鑒別信息不易被冒用；d)應提供登錄失敗處理功能，可采取結束會話、限制非法登錄次數和自動退出等措施；e)應啟用身份鑒別、用戶身份標識唯一性檢查、用戶身份鑒別信息復雜度檢查以及登錄失敗處理功能，并根據安全策略配置相關參數。（2）、訪問控制本項要求包括：a)應提供訪問控制功能，依據安全策略控制用戶對文件、數據庫表等客體的訪問；b)訪問控制的覆蓋范圍應包括與資源訪問相關的主體、客體及它們之間的操作；c)應由授權主體配置訪問控制策略，并嚴格限制默認帳戶的訪問權限；d)應授予不同帳戶為完成各自承擔任務所需的最小權限，并在它們之間形成相互制約的關系。e)應具有對重要信息資源設置敏感標記的功能；f)應依據安全策略嚴格控制用戶對有敏感標記重要信息資源的操作；、應用層面臨安全風險隨著基于B/S架構業務（電子商務、電子政務等）系統越來越被普及使用，給廣大的普通老百姓用戶帶來極大的便利，不出門即可買到心意的商品，輕松點擊便可了解天下傳聞；由于電子交易過程龐大的金錢利益誘惑，基于B/S的應用系統也越來越遭受黑客的惡意攻擊，根據OWASP研究報告分析，應用層面臨安全風險如下：1.2.3、網絡層面安全、等級保護建設規范參照GB/T22239-2008明確要求，網絡安全主要從結構安全、訪問控制、安全審計、邊界完整性檢查、入侵防范、惡意代碼防范、網絡設備防護等7個方面進行技術要求，以下為網絡安全的要求部分截取摘要。（1）、結構安全本項要求包括：a)應保證主要網絡設備的業務處理能力具備冗余空間，滿足業務高峰期需要；b)應保證網絡各個部分的帶寬滿足業務高峰期需要；c)應在業務終端與業務服務器之間進行路由控制建立安全的訪問路徑；d)應繪制與當前運行情況相符的網絡拓撲結構圖；e)應根據各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網或網段，并按照方便管理和控制的原則為各子網、網段分配地址段；f)應避免將重要網段部署在網絡邊界處且直接連接外部信息系統，重要網段與其他網段之間采取可靠的技術隔離手段；g)應按照對業務服務的重要次序來指定帶寬分配優先級別，保證在網絡發生擁堵的時候優先保護重要主機。（2）、訪問控制本項要求包括：a)應在網絡邊界部署訪問控制設備，啟用訪問控制功能；b)應能根據會話狀態信息為數據流提供明確的允許/拒絕訪問的能力，控制粒度為端口級；c)應對進出網絡的信息內容進行過濾，實現對應用層HTTP、FTP、TELNET、SMTP、POP3等協議命令級的控制；d)應在會話處于非活躍一定時間或會話結束后終止網絡連接；e)應限制網絡最大流量數及網絡連接數；f)重要網段應采取技術手段防止地址欺騙；g)應按用戶和系統之間的允許訪問規則，決定允許或拒絕用戶對受控系統進行資源訪問，控制粒度為單個用戶；應限制具有撥號訪問權限的用戶數量。(3)、安全審計本項要求包括：a)應對網絡系統中的網絡設備運行狀況、網絡流量、用戶行為等進行日志記錄；b)審計記錄應包括：事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息；c)應能夠根據記錄數據進行分析，并生成審計報表；d)應對審計記錄進行保護，避免受到未預期的刪除、修改或覆蓋等。、網絡層面臨安全風險網絡病毒泛濫問題隨著互聯網在人類社會活動中的全面普及，人們越來越頻繁的通過網絡傳遞和存儲重要信息和資料。據來自權威安全研究機構的調查統計，互聯網中的網頁瀏覽和文件下載已經成為各種計算機病毒和木馬傳播的主要途徑，但傳統的網關產品卻無法提供病毒過濾和防護能力。因此，人們需要一種能主動防護病毒的設備，從而為網絡使用者營造安全的上網環境。機密信息泄露問題隨著網絡技術的發展，人們可以隨意在網絡中利用文件(FTP、Email、TFTP等)、文字(BBS、QQ、MSN、UC聊天等)、語音(QQ、UC、MSN語聊等)、視頻(QQ、UC、MSN視頻等)等多種方式進行溝通。這些通訊手段方便了人們的交流與協作，但如果不加以管理，它們也將成為信息泄密的工具和途徑。傳統網關設備（如路由器、防火墻、UTM等）無法對網絡中傳輸的數據內容進行深度分析，更無法對這些內容進行記錄和過濾。這導致用戶無法有效阻止機密信息和資料通過網絡外泄，且一旦出現信息泄密事件，用戶也無法獲得維護自身權益所必須的有效證據。網絡釣魚攻擊問題“網絡釣魚”攻擊利用欺騙性的電子郵件和偽造的Web站點來進行詐騙活動，受騙者往往會泄露自己的財務數據，如信用卡號、賬戶用戶名、口令和社保編號等內容。詐騙者通常會將自己偽裝成知名銀行、在線零售商和信用卡公司等可信的品牌，在所有接觸詐騙信息的用戶中，有高達5%的人都會對這些騙局做出響應。非授權訪問問題沒有預先經過同意，就使用網絡或計算機資源被看作非授權訪問，如有意避開系統訪問控制機制，對網絡設備及資源進行非正常使用，或擅自擴大權限，越權訪問信息。它主要有以下幾種形式：假冒、身份攻擊、非法用戶進入網絡系統進行違法操作、合法用戶以未授權方式進行操作等。僵尸網絡問題僵尸網絡Botnet是指采用一種或多種傳播手段，將大量主機感染bot程序（僵尸程序）病毒，從而在控制者和被感染主機之間所形成的一個可一對多控制的網絡。攻擊者通過各種途徑傳播僵尸程序感染互聯網上的大量主機，而被感染的主機將通過一個控制信道接收攻擊者的指令，組成一個僵尸網絡。之所以用僵尸網絡這個名字，是為了更形象的讓人們認識到這類危害的特點：眾多的計算機在不知不覺中如同中國古老傳說中的僵尸群一樣被人驅趕和指揮著，成為被人利用的一種工具。1.2.4、主機層面安全、等級保護建設規范參照GB/T22239-2008標準明確要求，網絡安全主要從結構安全、訪問控制、安全審計、邊界完整性檢查、入侵防范、惡意代碼防范、網絡設備防護等7個方面進行技術要求，以下為網絡安全的要求部分截取摘要。（1）、結構安全本項要求包括：a)應保證主要網絡設備的業務處理能力具備冗余空間，滿足業務高峰期需要；b)應保證網絡各個部分的帶寬滿足業務高峰期需要；c)應在業務終端與業務服務器之間進行路由控制建立安全的訪問路徑；d)應繪制與當前運行情況相符的網絡拓撲結構圖；e)應根據各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網或網段，并按照方便管理和控制的原則為各子網、網段分配地址段；f)應避免將重要網段部署在網絡邊界處且直接連接外部信息系統，重要網段與其他網段之間采取可靠的技術隔離手段；g)應按照對業務服務的重要次序來指定帶寬分配優先級別，保證在網絡發生擁堵的時候優先保護重要主機。（2）、訪問控制本項要求包括：a)應在網絡邊界部署訪問控制設備，啟用訪問控制功能；b)應能根據會話狀態信息為數據流提供明確的允許/拒絕訪問的能力，控制粒度為端口級；c)應對進出網絡的信息內容進行過濾，實現對應用層HTTP、FTP、TELNET、SMTP、POP3等協議命令級的控制；d)應在會話處于非活躍一定時間或會話結束后終止網絡連接；e)應限制網絡最大流量數及網絡連接數；f)重要網段應采取技術手段防止地址欺騙；g)應按用戶和系統之間的允許訪問規則，決定允許或拒絕用戶對受控系統進行資源訪問，控制粒度為單個用戶；應限制具有撥號訪問權限的用戶數量。(3)、安全審計本項要求包括：a)應對網絡系統中的網絡設備運行狀況、網絡流量、用戶行為等進行日志記錄；b)審計記錄應包括：事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息；c)應能夠根據記錄數據進行分析，并生成審計報表；d)應對審計記錄進行保護，避免受到未預期的刪除、修改或覆蓋等。、主機層面臨安全風險系統弱口令弱口令安全是完全可以防止的，系統管理員為了方便記憶，設置一些簡單的口令，如域名，名字，QQ等，這些信息又是可以從whois中又可以獲取的，被黑的記錄基本上是99%。用戶賬戶的安全性規則Solaris和Irix等Unix系統中，除去超級用戶外，還存在如lp、sys、adm、nobody等管理帳戶。雖然它們沒有超級用戶的特權，但同樣應受到保護，因為這些帳戶的系統進程可以控制基本的系統功能，如電子郵件、關系數據庫訪問、打印等。這些管理帳戶內的任何一個遭到攻擊，都可能導致相應子系統中的文件被大規模地暴露和損壞。例如，lp帳戶所受的破壞可能會造成攻擊者對打印子系統獲得完全控制，從而使黑客能夠任意地修改打印輸出的內容。不必要的網絡服務所謂不必要的網絡訪問服務是指實現主機系統網絡服務功能所不需要運行的服務。對于Web主機而言，很多網絡訪問服務在操作系統安裝時就被缺省配置，其所對應的TCP/UDP端口也對外打開，如非常危險的finger服務和它對應的79號TCP端口。通過對網站的端口掃描，可以發現很多系統管理員對外提供了或多或少的不必要的網絡訪問服務。而從系統內部審核不必要網絡訪問服務的方法是禁止不必要的網絡訪問服務的最有效手段之一。1.2.5、物理層面安全、等級保護建設規范參照GB/T22239-2008標準要求，物理安全主要從物理位置的選擇、物理訪問控制、防盜竊防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應、電磁防護等十個方面進行評測，以下為物理安全的要求部分截取摘要。（1）、物理位置的選擇本項要求包括：a)機房和辦公場地應選擇在具有防震、防風和防雨等能力的建筑內；b)機房場地應避免設在建筑物的高層或地下室，以及用水設備的下層或隔壁。（2）、物理訪問控制本項要求包括：a)機房出入口應安排專人值守，控制、鑒別和記錄進入的人員；b)需進入機房的來訪人員應經過申請和審批流程，并限制和監控其活動范圍；c)應對機房劃分區域進行管理，區域和區域之間設置物理隔離裝置，在重要區域前設置交付或安裝等過渡區域；d)重要區域應配置電子門禁系統，控制、鑒別和記錄進入的人員。（3）、防盜竊防破壞本項要求包括：a)應將主要設備放置在機房內；b)應將設備或主要部件進行固定，并設置明顯的不易除去的標記；c)應將通信線纜鋪設在隱蔽處，可鋪設在地下或管道中；d)應對介質分類標識，存儲在介質庫或檔案室中；e)應利用光、電等技術設置機房防盜報警系統；f)應對機房設置監控報警系統。、物理層面臨安全風險1.2.6、安全管理層面、等級保護建設規范安全管理制度按照國內等級保護條例，目前等級保護一共分為5個等級，每個等級參照GB/T22239-2008標準都有明確的要求，等級保護基本要求分為技術與管理兩大塊，管理部分分為安全管理制度、安全管理機構、人員安全管理、系統建設與管理及系統運維管理，以下為安全管理制度要求部分截取摘要。（1）、管理制度本項要求包括：a)應制定信息安全工作的總體方針和安全策略，說明機構安全工作的總體目標、范圍、原則和安全框架等；b)應對安全管理活動中的各類管理內容建立安全管理制度；c)應對要求管理人員或操作人員執行的日常管理操作建立操作規程；d)應形成由安全策略、管理制度、操作規程等構成的全面的信息安全管理制度體系。（2）、制定與發布本項要求包括：a)應指定或授權專門的部門或人員負責安全管理制度的制定；b)安全管理制度應具有統一的格式，并進行版本控制；c)應組織相關人員對制定的安全管理制度進行論證和審定；d)安全管理制度應通過正式、有效的方式發布；e)安全管理制度應注明發布范圍，并對收發文進行登記。（3）、評審與修訂本項要求包括：a)信息安全領導小組應負責定期組織相關部門和相關人員對安全管理制度體系的合理性和適用性進行審定；b)應定期或不定期對安全管理制度進行檢查和審定，對存在不足或需要改進的安全管理制度進行修訂。安全管理機構按照國內等級保護條例，目前等級保護一共分為5個等級，每個等級參照GB/T22239-2008標準都有明確的要求，等級保護基本要求分為技術與管理兩大塊，管理部分分為安全管理制度、安全管理機構、人員安全管理、系統建設與管理及系統運維管理，以下為安全管理機構要求部分截取摘要。（1）、崗位設置本項要求包括：a)應設立信息安全管理工作的職能部門，設立安全主管、安全管理各個方面的負責人崗位，并定義各負責人的職責；b)應設立系統管理員、網絡管理員、安全管理員等崗位，并定義各個工作崗位的職責；c)應成立指導和管理信息安全工作的委員會或領導小組，其最高領導由單位主管領導委任或授權；d)應制定文件明確安全管理機構各個部門和崗位的職責、分工和技能要求。（2）、人員配備本項要求包括：a)應配備一定數量的系統管理員、網絡管理員、安全管理員等；b)應配備專職安全管理員，不可兼任；c)關鍵事務崗位應配備多人共同管理。、管理過程存在的問題1．制度建設方面對介質管理、日常檢查管理規范還存在不足，需要進一步完善。直屬單位對應急預案演練管理不到位。2．運維安全。一是賬號及密碼管理策略落實不到位，服務器、數據庫、網絡設備和安全設備等均不同程度存在賬號訪問控制不嚴、未實現權限分離、使用默認賬號、口令簡單和未定期更換等現象。二是對外包運維廠商的監管力度和手段不足，外包運維廠商在對系統進行操作時存在未嚴格遵守相關規章制度情況。三是CA數字證書應用不廣，對登錄用戶身份鑒別措施簡單無法保證信息傳輸保密性。四是流程建設滯后、痕跡化要求不到位，機房出入記錄不完整，存在記錄缺失情況。五是部分主機未做好運行狀態監控。3．系統建設。軟件開發項目建設過程控制不足，應用系統上線前未進行第三方安全測試，無法降低系統因設計缺陷導致的安全風險。1.3、建設目標與意義本項目首先通過對信息資產并進行全面風險評估，了解xx數字環保與數字能源平臺信息系統的基本安全現狀，發現系統的安全問題及其可能的危害，為做好業務系統的安全加固和維護工作做好基礎準備；分析網絡信息系統的安全需求，找出目前的安全策略和實際需求的差距，為xx數字環保與數字能源平臺選擇正確的安全解決方案、確定有效的安全措施、選擇可靠的安全產品提供充分的依據；構建全面的信息安全管理體系（ISMS），制定嚴謹的網絡安全策略和安全基線，為建立全面的安全防護層次提供一套完整、規范的指導模型。同時，對安全運維和日常安全事件的管理起到協助和指導的作用。二、系統設計思路與原則2.1、建設思路PDCA循環是信息安全工作中的一個重要模型，它是全面信息安全管理所應遵循的科學程序。全面信息安全管理活動的全部過程，就是信息安全計劃的制訂和組織實現的過程，這個過程就是按照PDCA循環，不停頓地周而復始地運轉。PDCA循環是能使任何一項活動有效進行的一種合乎邏輯的工作程序，特別是在信息安全管理中得到了廣泛的應用。P、D、C、A四個英文字母所代表的意義如下：1、P（Plan）——計劃。包括方針和目標的確定以及活動計劃的制定；2、D（DO）——執行。執行就是具體運作，實現計劃中的內容；3、C（Check）——檢查。就是要總結執行計劃的結果，分清哪些對了，哪些錯了，明確效果，找出問題；4、A（Action）——行動（或處理）。對總結檢查的結果進行處理，成功的經驗加以肯定，并予以制定固定方法，便于以后工作時遵循；對于失敗的教訓也要總結，以免重現。對于沒有解決的問題，應提給下一個PDCA循環中去解決。PDCA循環就是按照這樣的順序進行信息安全管理，并且循環不止地進行下去的科學程序。全面信息安全管理活動的運轉，離不開管理循環的轉動，這就是說，改進與解決信息安全問題，趕超先進水平的各項工作，都要運用PDCA循環的科學程序。提高信息安全管理水平，需要先提出目標，即信息安全提高到什么程度，要有個計劃；這個計劃不僅包括目標，而且也包括實現這個目標需要采取的措施；計劃制定之后，就要按照計劃進行檢查，看是否達實現了預期效果，有沒有達到預期的目標；通過檢查找出問題和原因；最后就要進行處理，將經驗和教訓制訂成標準、形成制度。2.2、建設原則標準性原則整個信息安全項目建設過程遵循國際和國內的多項標準，包括ISO27001，ISO13335，ISO15408/GB18336，SSE-CMM，SP800-30，CVE，PMI項目管理規范，《信息安全等級保護管理辦法》等；行業性原則財政部、國家發改委《關于xx市節能減排財政政策綜合示范實施方案的批復》（財建〔2012〕32號）《關于開展節能減排財政政策綜合示范工作的通知》（財建〔2011〕383號）《xx市國民經濟和社會發展第十二個五年規劃綱要》（2011年1月26日，xx市第七屆人民代表大會第八次會議通過）《關于加快推進智慧xx建設的意見》（余發〔2012〕31號）《xx市“十二五”節能減排綜合性工作方案》（余府發〔2012〕6號）規范性原則在服務工作中的過程和文檔，嚴格遵循深信服的內部規范：《深信服安全服務項目管理規范》、《深信服信息安全服務規范》；可控性原則進行項目實施時，深信服公司將從用戶信譽、成功經驗、人員水平、工具可控性、項目過程可控性多個角度保證整個項目過程和結果的可控性；整體性原則項目實施中，深信服公司將從國際標準、深信服規范、BDH需求分析和深信服長期的實施經驗等多個角度保證整體全面，包括安全涉及的各個層面，避免遺漏；最小影響原則深信服會從項目管理層面和工具技術層面，將可能影響降低到最低限度，包括安全服務設計藍圖、資產單元風險規避的個性化、工具最小影響措施，以及和客戶充分的溝通機制；三、系統建設內容3.1、資產風險評估風險評估模塊策略智能聯動深信服NGAF支持風險評估模塊，可以主動探測目標IP，進行端口、服務掃描，及時發現業務風險；例如，ftp、mysql、oracle、mssql、ssh、RDP、網上鄰居NetBIOS、VNC等多種應用的弱口令及溢出漏洞；sql注入、XSS跨站腳本、目錄遍歷、敏感信息泄露、命令執行等應用層安全漏洞。風險評估結果可實現與IPS、服務器防護模塊的智能聯動，自動生成策略，讓APT防護更加高效全面。3.2、風險處置加固3.2.1、威脅性處置加固、惡意網址過濾NGAF同步Google每日可發現9500個新的惡意網址深信服NGAF內置了龐大的惡意網址庫，并且實時更新，當內網用戶訪問惡意網站，將被提前告知，并實時預警攔截，讓“好奇害死貓”流血信息安全事件不再重演。、病毒檢測防范深信服NGAF防病毒采用先進流引擎查毒技術，針對HTTP、FTP、SMTP、POP3等協議進行查殺；能實時查殺大量文件型、網絡型和混合型等各類病毒；并采用新一代虛擬脫殼和行為判斷技術，準確查殺各種變種病毒、未知病毒；內置10萬條以上的病毒庫，并且可以自動或者手動升級。、僵尸網絡隔離深信服NGAF融合了僵尸網絡識別庫，利用業界領先的僵尸網絡識別檢測技術對黑客的攻擊行為進行有效識別，針對以反彈式木馬為代表的惡意軟件進行深度防護，目前有15萬條規則，并實時予以更新。同時，深信服NGAF正在完善安全云平臺，部署在全球各地的深信服下一代防火墻設備可以自動或手動上傳可疑的應用流量到安全云平臺，平臺會自動分析，形成新的惡意軟件識別策略下發到全球所有設備的規則庫上。、DLP數據防泄漏深信服NGAF內置常見敏感信息的特征庫，如身份證、MD5、手機號碼、銀行卡號、郵箱等，且可以靈活根據敏感信息特征自定義策略規則；支持http響應報文中非法敏感信息的外泄檢測；支持數據庫文件敏感信息檢測，防止數據庫文件被“拖庫”、“暴庫”。、防止非授權訪問在黑客攻擊滲透過程中，利用肉雞對攻擊目標進行賬戶/口令暴力猜解或者數據監聽，獲取合法賬戶/口令后可以繞過一切安全防護設備進行合法登陸，這些都是黑客攻擊過程中的慣用思路，深信服NGAF提供用戶登錄防護功能，對WEB登陸方式、非WEB登陸方式(telnet、irc、ldap、mysql、pop3、RDP等)進行強化保護，提供登陸前短信動態口令認證功能，黑客即使成功獲取管理員賬戶口令，因無法獲取動態驗證口令，也無法完成對目標系統的訪問，從而杜絕賬戶盜用、非授權訪問等風險。、無線熱點發現發現并過濾內網中的非法無線熱點和非法移動終端，禁止無線熱點共享上網，造成管理漏洞。、細粒度網絡審計用戶、IP地址、鏈接、網站類別、時間、網頁標題，并支持網頁快照，網頁內容直觀顯示、遠程訪問傳輸加密3.2.2、脆弱性處置加固、網絡設備安全配置基線編號：安全要求-設備-通用-配置-可選要求內容限制具備管理員權限的用戶遠程登錄。遠程執行管理員權限操作，應先以普通權限用戶遠程登錄后，再切換到管理員權限賬號后執行相應操作。操作指南1．參考配置操作Router#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#servicepassword-encryptionRouter(config)#usernamenormaluserpassword3d-zirc0niaRouter(config)#usernamenormaluserprivilege1Router(config)#linevty04Router(config-line)#loginlocalRouter(config-line)#exec-timeout50Router(config-line)#end2．補充操作說明設定賬號密碼加密保存創建normaluser賬號并指定權限級別為1；設定遠程登錄啟用路由器賬號驗證；設定超時時間為5分鐘；、操作系統安全配置基線操作系統安全配置基線以windows2003做示例（1）、補丁安裝（2）、賬戶、口令策略修改（3）、網絡與服務加固（5）、文件系統加固、數據庫系統安全配置基線賬號ORACLE應提供賬號管理及認證授權功能，并應滿足以下各項要求。編號：安全要求-設備-ORACLE-配置-1-可選要求內容應按照用戶分配賬號，避免不同用戶間共享賬號。操作指南參考配置操作createuserabc1identifiedbypassword1;createuserabc2identifiedbypassword2;建立role，并給role授權，把role賦給不同的用戶補充操作說明1、abc1和abc2是兩個不同的賬號名稱，可根據不同用戶，取不同的名稱；檢測方法判定條件不同名稱的用戶可以連接數據庫檢測操作connectabc1/password1連接數據庫成功5、補充說明編號：安全要求-設備-ORACLE-配置-2-可選要求內容應刪除或鎖定與數據庫運行、維護等工作無關的賬號。操作指南參考配置操作alteruserusernamelock;dropuserusernamecascade;補充操作說明檢測方法判定條件首先鎖定不需要的用戶在經過一段時間后，確認該用戶對業務確無影響的情況下，可以刪除4、檢測操作5、補充說明編號：安全要求-設備-ORACLE-配置-3要求內容限制具備數據庫超級管理員（SYSDBA）權限的用戶遠程登錄。（導致數據庫重起后，無法打開數據庫）操作指南1、參考配置操作1.在spfile中設置REMOTE_LOGIN_PASSWORDFILE=NONE來禁止SYSDBA用戶從遠程登陸。2.在sqlnet.ora中設置SQLNET.AUTHENTICATION_SERVICES=NONE來禁用SYSDBA角色的自動登錄。2、補充操作說明檢測方法3、判定條件1.不能通過Sql*Net遠程以SYSDBA用戶連接到數據庫。2.在數據庫主機上以sqlplus‘/assysdba’連接到數據庫需要輸入口令。4、檢測操作1.以Oracle用戶登陸到系統中。2.以sqlplus‘/assysdba’登陸到sqlplus環境中。3.使用showparameter命令來檢查參數REMOTE_LOGIN_PASSWORDFILE是否設置為NONE。ShowparameterREMOTE_LOGIN_PASSWORDFILE4.檢查在$ORACLE_HOME/network/admin/sqlnet.ora文件中參數SQLNET.AUTHENTICATION_SERVICES是否被設置成NONE。5、補充說明編號：安全要求-設備-ORACLE-配置-8要求內容在數據庫權限配置能力內，根據用戶的業務需要，配置其所需的最小權限。操作指南參考配置操作grant權限tousername;revoke權限fromusername;補充操作說明用第一條命令給用戶賦相應的最小權限用第二條命令收回用戶多余的權限檢測方法判定條件業務測試正常檢測操作業務測試正常5、補充說明編號：安全要求-設備-ORACLE-配置-9要求內容使用數據庫角色（ROLE）來管理對象的權限。操作指南1、參考配置操作1.使用CreateRole命令創建角色。2.使用用Grant命令將相應的系統、對象或Role的權限賦予應用用戶。2、補充操作說明檢測方法3、判定條件對應用用戶不要賦予DBARole或不必要的權限。4、檢測操作1.以DBA用戶登陸到sqlplus中。2.通過查詢dba_role_privs、dba_sys_privs和dba_tab_privs等視圖來檢查是否使用ROLE來管理對象權限。5、補充說明編號：安全要求-設備-ORACLE-配置-10-可選要求內容對用戶的屬性進行控制，包括密碼策略、資源限制等。操作指南1、參考配置操作可通過下面類似命令來創建profile，并把它賦予一個用戶CREATEPROFILEapp_user2LIMITFAILED_LOGIN_ATTEMPTS6PASSWORD_LIFE_TIME60PASSWORD_REUSE_TIME60PASSWORD_REUSE_MAX5PASSWORD_VERIFY_FUNCTIONverify_functionPASSWORD_LOCK_TIME1/24PASSWORD_GRACE_TIME90;ALTERUSERjdPROFILEapp_user2;2、補充操作說明檢測方法3、判定條件1.可通過設置profile來限制數據庫賬戶口令的復雜程度，口令生存周期和賬戶的鎖定方式等。2.可通過設置profile來限制數據庫賬戶的CPU資源占用。4、檢測操作1.以DBA用戶登陸到sqlplus中。2.查詢視圖dba_profiles和dba_usres來檢查profile是否創建。5、補充說明編號：安全要求-設備-ORACLE-配置-13要求內容啟用數據字典保護，只有SYSDBA用戶才能訪問數據字典基礎表。操作指南1、參考配置操作通過設置下面初始化參數來限制只有SYSDBA權限的用戶才能訪問數據字典。O7_DICTIONARY_ACCESSIBILITY=FALSE2、補充操作說明檢測方法3、判定條件以普通dba用戶登陸到數據庫，不能查看X$開頭的表，比如：select*fromsys.x$ksppi;4、檢測操作1.以Oracle用戶登陸到系統中。2.以sqlplus‘/assysdba’登陸到sqlplus環境中。3.使用showparameter命令來檢查參數O7_DICTIONARY_ACCESSIBILITY是否設置為FALSE。ShowparameterO7_DICTIONARY_ACCESSIBILITY5、補充說明口令編號：安全要求-設備-ORACLE-配置-4要求內容對于采用靜態口令進行認證的數據庫，口令長度至少6位，并包括數字、小寫字母、大寫字母和特殊符號4類中至少2類。操作指南參考配置操作為用戶建profile，調整PASSWORD_VERIFY_FUNCTION，指定密碼復雜度補充操作說明檢測方法判定條件修改密碼為不符合要求的密碼，將失敗檢測操作alteruserabcd1identifiedbyabcd1;將失敗5、補充說明編號：安全要求-設備-ORACLE-配置-5要求內容對于采用靜態口令認證技術的數據庫，賬戶口令的生存期不長于90天。操作指南參考配置操作為用戶建相關profile，指定PASSWORD_GRACE_TIME為90天補充操作說明在90天內，需要修改密碼檢測方法判定條件到期不修改密碼，密碼將會失效。連接數據庫將不會成功檢測操作connectusername/password報錯5、補充說明編號：安全要求-設備-ORACLE-配置-6-可選要求內容對于采用靜態口令認證技術的數據庫，應配置數據庫，使用戶不能重復使用最近5次（含5次）內已使用的口令。操作指南參考配置操作為用戶建profile,指定PASSWORD_REUSE_MAX為５補充操作說明當前使用的密碼，必需在密碼修改５次后才能再次被使用檢測方法判定條件重用修改５次內的密碼，將不能成功檢測操作alteruserusernameidentifiedbypassword1;如果password1在５次修改密碼內被使用，該操作將不能成功5、補充說明編號：安全要求-設備-ORACLE-配置-7-可選要求內容對于采用靜態口令認證技術的數據庫，應配置當用戶連續認證失敗次數超過6次（不含6次），鎖定該用戶使用的賬號。操作指南參考配置操作為用戶建profile，指定FAILED_LOGIN_ATTEMPTS為６補充操作說明如果連續６次連接該用戶不成功，用戶將被鎖定檢測方法判定條件連續６次用錯誤的密碼連接用戶，第７次時用戶將被鎖定檢測操作connectusername/password，連續６次失敗，用戶被鎖定5、補充說明編號：安全要求-設備-ORACLE-配置-11要求內容更改數據庫默認帳號的密碼。操作指南1、參考配置操作1.可通過下面命令來更改默認用戶的密碼：ALTERUSERXXXIDENTIFIEDBYXXX;2.下面是默認用戶列表：ANONYMOUSCTXSYSDBSNMPDIPDMSYSEXFSYSHRLBACSYSMDDATAMDSYSMGMT_VIEWODMODM_MTROEOLAPSYSORDPLUGINSORDSYSOUTLNPMQSQS_ADMQS_CBQS_CBADMQS_CSQS_ESQS_OSQS_WSRMANSCOTTSHSI_INFORMTN_SCHEMASYSSYSMANSYSTEMTSMSYSWK_TESTWKPROXYWKSYSWMSYSXDB2、補充操作說明檢測方法3、判定條件不能以用戶名作為密碼或使用默認密碼的賬戶登陸到數據庫。4、檢測操作1.以DBA用戶登陸到sqlplus中。2.檢查數據庫默認賬戶是否使用了用戶名作為密碼或默認密碼。5、補充說明編號：安全要求-設備-ORACLE-配置-12要求內容Oracle軟件賬戶的訪問控制可遵循操作系統賬戶的安全策略，比如不要共享賬戶、強制定期修改密碼、密碼需要有一定的復雜度等。操作指南1、參考配置操作使用操作系統一級的賬戶安全管理來保護Oracle軟件賬戶。2、補充操作說明檢測方法3、判定條件每3個月自動提示更改密碼，過期后不能登陸。4、檢測操作每3個月強制修改Oracle軟件賬戶密碼，并且密碼需要滿足一定的復雜程度，符合操作系統的密碼要求。5、補充說明日志編號：安全要求-設備-ORACLE-配置-16要求內容數據庫應配置日志功能，對用戶登錄進行記錄，記錄內容包括用戶登錄使用的賬號、登錄是否成功、登錄時間以及遠程登錄時用戶使用的IP地址。操作指南參考配置操作創建ORACLE登錄觸發器，記錄相關信息，但對IP地址的記錄會有困難1.建表LOGON_TABLE2.建觸發器CREATETRIGGERTRI_LOGONAFTERLOGONONDATABASEBEGININSERTINTOLOGON_TABLEVALUES(SYS_CONTEXT('USERENV','SESSION_USER'),SYSDATE);END;2、補充操作說明檢測方法判定條件登錄測試，檢查相關信息是否被記錄4、檢測操作補充說明觸發器與AUDIT會有相應資源開消，請檢查系統資源是否充足。特別是RAC環境，資源消耗較大。編號：安全要求-設備-ORACLE-配置-17-可選要求內容數據庫應配置日志功能，記錄用戶對數據庫的操作，包括但不限于以下內容：賬號創建、刪除和權限修改、口令修改、讀取和修改數據庫配置、讀取和修改業務用戶的話費數據、身份數據、涉及通信隱私數據。記錄需要包含用戶賬號，操作時間，操作內容以及操作結果。操作指南參考配置操作創建ORACLE登錄觸發器，記錄相關信息，但對IP地址的記錄會有困難1.建表LOGON_TABLE2.建觸發器CREATETRIGGERTRI_LOGONAFTERLOGONONDATABASEBEGININSERTINTOLOGON_TABLEVALUES(SYS_CONTEXT('USERENV','SESSION_USER'),SYSDATE);END;2、補充操作說明檢測方法判定條件做相關操作，檢查是否記錄成功4、檢測操作補充說明觸發器與AUDIT會有相應資源開消，請檢查系統資源是否充足。特別是RAC環境，資源消耗較大。編號：安全要求-設備-ORACLE-配置-18-可選要求內容數據庫應配置日志功能，記錄對與數據庫相關的安全事件。操作指南參考配置操作創建ORACLE登錄觸發器，記錄相關信息，但對IP地址的記錄會有困難1.建表LOGON_TABLE2.建觸發器CREATETRIGGERTRI_LOGONAFTERLOGONONDATABASEBEGININSERTINTOLOGON_TABLEVALUES(SYS_CONTEXT('USERENV','SESSION_USER'),SYSDATE);END;2、補充操作說明檢測方法判定條件做相關測試，檢查是否記錄成功4、檢測操作補充說明觸發器與AUDIT會有相應資源開消，請檢查系統資源是否充足。特別是RAC環境，資源消耗較大。編號：安全要求-設備-ORACLE-配置-19-可選要求內容根據業務要求制定數據庫審計策略。操作指南1、參考配置操作1.通過設置參數audit_trail=db或os來打開數據庫審計。2.然后可使用Audit命令對相應的對象進行審計設置。2、補充操作說明檢測方法3、判定條件對審計的對象進行一次數據庫操作，檢查操作是否被記錄。4、檢測操作1.檢查初始化參數audit_trail是否設置。2.檢查dba_audit_trail視圖中或$ORACLE_BASE/admin/adump目錄下是否有數據。補充說明AUDIT會有相應資源開消，請檢查系統資源是否充足。特別是RAC環境，資源消耗較大。3.3、安全管理3.3.1、安全集成參考3.3.2、安全制度參考安全制度包括各類安全制度，管理辦法，技術標準，配置標準，流程，記錄表單，技術手冊，操作指南等等。包括公司級別的，系統級別的，和資產級別的。安全制度設計項目流程圖3.3.3、安全運維參考安全運維主要包括：運維體系的建立和運行，各類運維管理記錄的產生和維護，以及信息安全管理制度的執行記錄等。運維的總體流程如下圖：安全運維流程圖運維的主要內容如下：安全運維內容圖四、實施策略與關鍵技術4.1、深度內容解析深信服NGAF的灰度威脅識別技術不但可以將數據包還原的內容級別進行全面的威脅檢測，而且還可以針對黑客入侵過程中使用的不同攻擊方法進行關聯分析，從而精確定位出一個黑客的攻擊行為，有效阻斷威脅風險的發生。灰度威脅識別技術改變了傳統IPS等設備防御威脅種類單一，威脅檢測經常出現漏報、誤報的問題，可以