xx項目等級保護(三級)建設方案（完整版）資料(可以直接使用，可編輯優秀版資料，歡迎下載）

xx項目等級保護(三級)建設方案（完整版）資料(可以直接使用，可編輯優秀版資料，歡迎下載）××項目等級保護（三級）建設方案深信服科技（深圳）TIME\@"yyyy'年'M'月'"2021年3月

目錄TOC\o"1-4"\h\z\u1 項目概述 52 等級保護建設流程 53 方案參照標準 74 信息系統定級 8 定級流程 8 定級結果 95 系統現狀分析 115.1 機房及配套設備現狀分析 115.2 計算環境現狀分析 115.3 區域邊界現狀分析 115.4 通信網絡現狀分析 115.5 安全管理中心現狀分析 116 安全風險與差距分析 116.1 物理安全風險與差距分析 126.2 計算環境安全風險與差距分析 126.3 區域邊界安全風險與差距分析 156.4 通信網絡安全風險與差距分析 166.5 安全管理中心差距分析 187 技術體系方案設計 197.1 方案設計目標 197.2 方案設計框架 197.3 安全域的劃分 21 安全域劃分的依據 21 安全域劃分與說明 227.4 安全技術體系設計 23 機房與配套設備安全設計 23 計算環境安全設計 24 身份鑒別 24 訪問控制 25 系統安全審計 26 入侵防范 27 主機惡意代碼防范 28 軟件容錯 29 數據完整性與保密性 29 備份與恢復 31 資源控制 32 客體安全重用 33 抗抵賴 33 不同等級業務系統的隔離與互通 34 區域邊界安全設計 35 邊界訪問控制入侵防范惡意代碼防范與應用層防攻擊 35 流量控制 36 邊界完整性檢查 38 邊界安全審計 39 通信網絡安全設計 41 網絡結構安全 41 網絡安全審計 42 網絡設備防護 43 通信完整性與保密性 44 網絡可信接入 45 安全管理中心設計 46 系統管理 46 審計管理 48 監控管理 498 安全管理體系設計 509 系統集成設計 529.1 軟硬件產品部署圖 529.2 應用系統改造 529.3 采購設備清單 5210 方案合規性分析 5210.1 技術部分 5210.2 管理部分 6511 附錄： 7911.1 等級劃分標準 7911.2 技術要求組合確定 81

項目概述建設單位情況介紹項目背景情況介紹等級保護建設流程整體的安全保障體系包括技術和管理兩大部分，其中技術部分根據《信息系統安全等級保護基本要求》分為物理安全、網絡安全、主機安全、應用安全、數據安全五個方面進行建設；而管理部分根據《信息系統安全等級保護基本要求》則分為安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理五個方面。整個安全保障體系各部分既有機結合，又相互支撐。之間的關系可以理解為“構建安全管理機構，制定完善的安全管理制度及安全策略，由相關人員，利用技術工手段及相關工具，進行系統建設和運行維護。”根據等級化安全保障體系的設計思路，等級保護的設計與實施通過以下步驟進行：系統識別與定級：確定保護對象，通過分析系統所屬類型、所屬信息類別、服務范圍以及業務對系統的依賴程度確定系統的等級。通過此步驟充分了解系統狀況，包括系統業務流程和功能模塊，以及確定系統的等級，為下一步安全域設計、安全保障體系框架設計、安全要求選擇以及安全措施選擇提供依據。安全域設計：根據第一步的結果，通過分析系統業務流程、功能模塊，根據安全域劃分原則設計系統安全域架構。通過安全域設計將系統分解為多個層次，為下一步安全保障體系框架設計提供基礎框架。確定安全域安全要求：參照國家相關等級保護安全要求，設計不同安全域的安全要求。通過安全域適用安全等級選擇方法確定系統各區域等級，明確各安全域所需采用的安全指標。評估現狀：根據各等級的安全要求確定各等級的評估內容，根據國家相關風險評估方法，對系統各層次安全域進行有針對性的等級風險評估。并找出系統安全現狀與等級要求的差距，形成完整準確的按需防御的安全需求。通過等級風險評估，可以明確各層次安全域相應等級的安全差距，為下一步安全技術解決方案設計和安全管理建設提供依據。安全保障體系方案設計：根據安全域框架，設計系統各個層次的安全保障體系框架以及具體方案。包括：各層次的安全保障體系框架形成系統整體的安全保障體系框架；詳細安全技術設計、安全管理設計。安全建設：根據方案設計內容逐步進行安全建設，滿足方案設計做要符合的安全需求，滿足等級保護相應等級的基本要求，實現按需防御。持續安全運維：通過安全預警、安全監控、安全加固、安全審計、應急響應等，從事前、事中、事后三個方面進行安全運行維護，確保系統的持續安全，滿足持續性按需防御的安全需求。通過如上步驟，系統可以形成整體的等級化的安全保障體系，同時根據安全術建設和安全管理建設，保障系統整體的安全。而應該特別注意的是：等級保護不是一個項目，它應該是一個不斷循環的過程，所以通過整個安全項目、安全服務的實施，來保證用戶等級保護的建設能夠持續的運行，能夠使整個系統隨著環境的變化達到持續的安全。方案參照標準GB/T21052-2007信息安全等級保護信息系統物理安全技術要求信息安全技術信息系統安全等級保護基本要求信息安全技術信息系統安全保護等級定級指南(報批中)信息安全技術信息安全等級保護實施指南(報批中)信息安全技術信息系統安全等級保護測評指南GB/T20271-2006信息安全技術信息系統通用安全技術要求GB/T20270-2006信息安全技術網絡基礎安全技術要求GB/T20984-2007信息安全技術信息安全風險評估規范GB/T20269-2006信息安全技術信息系統安全管理要求GB/T20281-2006信息安全技術防火墻技術要求與測試評價方法GB/T20275-2006信息安全技術入侵檢測系統技術要求和測試評價方法GB/T20278-2006信息安全技術網絡脆弱性掃描產品技術要求GB/T20277-2006信息安全技術網絡脆弱性掃描產品測試評價方法GB/T20279-2006信息安全技術網絡端設備隔離部件技術要求GB/T20280-2006信息安全技術網絡端設備隔離部件測試評價方法等。信息系統定級定級流程確定信息系統安全保護等級的一般流程如下：識別單位基本信息了解單位基本信息有助于判斷單位的職能特點，單位所在行業及單位在行業所處的地位和所用，由此判斷單位主要信息系統的宏觀定位。識別業務種類、流程和服務應重點了解定級對象信息系統中不同業務系統提供的服務在影響履行單位職能方面具體方式和程度，影響的區域范圍、用戶人數、業務量的具體數據以及對本單位以外機構或個人的影響等方面。這些具體數據即可以為主管部門制定定級指導意見提供參照，也可以作為主管部門審批定級結果的重要依據。識別信息調查了解定級對象信息系統所處理的信息，了解單位對信息的三個安全屬性的需求，了解不同業務數據在其保密性、完整性和可用性被破壞后在單位職能、單位資金、單位信譽、人身安全等方面可能對國家、社會、本單位造成的影響，對影響程度的描述應盡可能量化。識別網絡結構和邊界調查了解定級對象信息系統所在單位的整體網絡狀況、安全防護和外部連接情況，目的是了解信息系統所處的單位內部網絡環境和外部環境特點，以及該信息系統的網絡安全保護與單位內部網絡環境的安全保護的關系。識別主要的軟硬件設備調查了解與定級對象信息系統相關的服務器、網絡、終端、存儲設備以及安全設備等，設備所在網段，在系統中的功能和作用。調查設備的位置和作用主要就是發現不同信息系統在設備使用方面的共用程度。識別用戶類型和分布調查了解各系統的管理用戶和一般用戶，內部用戶和外部用戶，本地用戶和遠程用戶等類型，了解用戶或用戶群的數量分布，判斷系統服務中斷或系統信息被破壞可能影響的范圍和程度。根據信息安全等級矩陣表，形成定級結果業務信息安全等級矩陣表業務信息安全被破壞時所侵害的客體對相應客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級系統服務安全等級矩陣表系統服務安全被破壞時所侵害的客體對相應客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級定級結果根據上述定級流程，XX用戶各主要系統定級結果為：序號部署環境系統名稱保護等級定級結果組合XX網絡XX系統3可能的組合為：S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3，根據實際情況進行選擇。

系統現狀分析系統現狀分析按照物理、網絡、主機、應用、數據五個層面進行，系統的展現客戶信息系統的現狀。機房及配套設備現狀分析包括現在的機房建設情況，以及機房內的配套設備部署情況。網絡現狀分析該單位目前的網絡拓撲圖，以及部署了哪些安全軟件，終端部署情況等。業務系統現狀分析現有業務系統的現狀。安全管理中心現狀分析是否已有安全管理中心，以及現在建設的現狀。安全風險與差距分析風險與需求分析部分按照物理、網絡、主機、應用、數據五個層面進行，可根據實際情況進行修改；同時根據安全域劃分的結果，在分析過程中將不同的安全域所面臨的風險與需求分析予以對應說明。物理安全風險與差距分析物理安全風險主要是指網絡周邊的環境和物理特性引起的網絡設備和線路的不可使用，從而會造成網絡系統的不可使用，甚至導致整個網絡的癱瘓。它是整個網絡系統安全的前提和基礎，只有保證了物理層的可用性，才能使得整個網絡的可用性，進而提高整個網絡的抗破壞力。例如：機房缺乏控制，人員隨意出入帶來的風險；網絡設備被盜、被毀壞；線路老化或是有意、無意的破壞線路；設備在非預測情況下發生故障、停電等；自然災害如地震、水災、火災、雷擊等；電磁干擾等。因此，在通盤考慮安全風險時，應優先考慮物理安全風險。保證網絡正常運行的前提是將物理層安全風險降到最低或是盡量考慮在非正常情況下物理層出現風險問題時的應對方案。計算環境安全風險與差距分析計算環境的安全主要指主機以及應用層面的安全風險與需求分析，包括：身份鑒別、訪問控制、系統審計、入侵防范、惡意代碼防范、軟件容錯、數據完整性與保密性、備份與恢復、資源合理控制、剩余信息保護、抗抵賴等方面。身份鑒別身份鑒別包括主機和應用兩個方面。主機操作系統登錄、數據庫登陸以及應用系統登錄均必須進行身份驗證。過于簡單的標識符和口令容易被窮舉攻擊破解。同時非法用戶可以通過網絡進行竊聽，從而獲得管理員權限，可以對任何資源非法訪問及越權操作。因此必須提高用戶名/口令的復雜度，且防止被網絡竊聽；同時應考慮失敗處理機制。訪問控制訪問控制包括主機和應用兩個方面。訪問控制主要為了保證用戶對主機資源和應用系統資源的合法使用。非法用戶可能企圖假冒合法用戶的身份進入系統，低權限的合法用戶也可能企圖執行高權限用戶的操作，這些行為將給主機系統和應用系統帶來了很大的安全風險。用戶必須擁有合法的用戶標識符，在制定好的訪問控制策略下進行操作，杜絕越權非法操作。系統審計系統審計包括主機審計和應用審計兩個方面。對于登陸主機后的操作行為則需要進行主機審計。對于服務器和重要主機需要進行嚴格的行為控制，對用戶的行為、使用的命令等進行必要的記錄審計，便于日后的分析、調查、取證，規范主機使用行為。而對于應用系統同樣提出了應用審計的要求，即對應用系統的使用行為進行審計。重點審計應用層信息，和業務系統的運轉流程息息相關。能夠為安全事件提供足夠的信息，與身份認證與訪問控制聯系緊密，為相關事件提供審計記錄。入侵防范主機操作系統面臨著各類具有針對性的入侵威脅，常見操作系統存在著各種安全漏洞，并且現在漏洞被發現與漏洞被利用之間的時間差變得越來越短，這就使得操作系統本身的安全性給整個系統帶來巨大的安全風險，因此對于主機操作系統的安裝，使用、維護等提出了需求，防范針對系統的入侵行為。惡意代碼防范病毒、蠕蟲等惡意代碼是對計算環境造成危害最大的隱患，當前病毒威脅非常嚴峻，特別是蠕蟲病毒的爆發，會立刻向其他子網迅速蔓延，發動網絡攻擊和數據竊密。大量占據正常業務十分有限的帶寬，造成網絡性能嚴重下降、服務器崩潰甚至網絡通信中斷，信息損壞或泄漏。嚴重影響正常業務開展。因此必須部署惡意代碼防范軟件進行防御。同時保持惡意代碼庫的及時更新。軟件容錯軟件容錯的主要目的是提供足夠的冗余信息和算法程序,使系統在實際運行時能夠及時發現程序設計錯誤,采取補救措施,以提高軟件可靠性,保證整個計算機系統的正常運行。數據安全主要指數據的完整性與保密性。數據是信息資產的直接體現。所有的措施最終無不是為了業務數據的安全。因此數據的備份十分重要，是必須考慮的問題。應采取措施保證數據在傳輸過程中的完整性以及保密性；保護鑒別信息的保密性備份與恢復數據是信息資產的直接體現。所有的措施最終無不是為了業務數據的安全。因此數據的備份十分重要，是必須考慮的問題。對于關鍵數據應建立數據的備份機制，而對于網絡的關鍵設備、線路均需進行冗余配置，備份與恢復是應對突發事件的必要措施。資源合理控制資源合理控制包括主機和應用兩個方面。主機系統以及應用系統的資源是有限的，不能無限濫用。系統資源必須能夠為正常用戶提供資源保障。否則會出現資源耗盡、服務質量下降甚至服務中斷等后果。因此對于系統資源進行控制，制定包括：登陸條件限制、超時鎖定、用戶可用資源閾值設置等資源控制策略。剩余信息保護對于正常使用中的主機操作系統和數據庫系統等，經常需要對用戶的鑒別信息、文件、目錄、數據庫記錄等進行臨時或長期存儲，在這些存儲資源重新分配前，如果不對其原使用者的信息進行清除，將會引起元用戶信息泄漏的安全風險，因此，需要確保系統內的用戶鑒別信息文件、目錄和數據庫記錄等資源所在的存儲空間，被釋放或重新分配給其他用戶前得到完全清除對于動態管理和使用的客體資源，應在這些客體資源重新分配前，對其原使用者的信息進行清除，以確保信息不被泄漏。抗抵賴對于數據安全，不僅面臨著機密性和完整性的問題，同樣還面臨著抗抵賴性（不可否認性）的問題，應采用技術手段防止用戶否認其數據發送和接收行為，為數據收發雙方提供證據。不同等級的業務系統的互聯使用同一終端訪問不同等級的業務系統時，如何在用戶終端實現不同等級業務系統的隔離。區域邊界安全風險與差距分析區域邊界的安全主要包括：邊界訪問控制、邊界完整性檢測、邊界入侵防范以及邊界安全審計等方面。邊界訪問控制XX網絡可劃分為如下邊界：描述邊界及風險分析對于各類邊界最基本的安全需求就是訪問控制，對進出安全區域邊界的數據信息進行控制，阻止非授權及越權訪問。邊界完整性檢測邊界的完整性如被破壞則所有控制規則將失去效力，因此需要對內部網絡中出現的內部用戶未通過準許私自聯到外部網絡的行為進行檢查，維護邊界完整性。邊界入侵防范各類網絡攻擊行為既可能來自于大家公認的互聯網等外部網絡，在內部也同樣存在。通過安全措施，要實現主動阻斷針對信息系統的各種攻擊，如病毒、木馬、間諜軟件、可疑代碼、端口掃描、DoS/DDoS等，實現對網絡層以及業務系統的安全防護，保護核心信息資產的免受攻擊危害。邊界安全審計在安全區域邊界需要建立必要的審計機制，對進出邊界的各類網絡行為進行記錄與審計分析，可以和主機審計、應用審計以及網絡審計形成多層次的審計系統。并可通過安全管理中心集中管理。邊界惡意代碼防范現今，病毒的發展呈現出以下趨勢:病毒與黑客程序相結合、蠕蟲病毒更加泛濫，目前計算機病毒的傳播途徑與過去相比已經發生了很大的變化，更多的以網絡（包括Internet、廣域網、局域網）形態進行傳播，因此為了安全的防護手段也需以變應變。迫切需要網關型產品在網絡層面對病毒予以查殺。通信網絡安全風險與差距分析通信網絡的安全主要包括：網絡結構安全、網絡安全審計、網絡設備防護、通信完整性與保密性等方面。網絡結構網絡結構是否合理直接影響著是否能夠有效的承載業務需要。因此網絡結構需要具備一定的冗余性；帶寬能夠滿足業務高峰時期數據交換需求；并合理的劃分網段和VLAN。網絡安全審計由于用戶的計算機相關的知識水平參差不齊，一旦某些安全意識薄弱的管理用戶誤操作，將給信息系統帶來致命的破壞。沒有相應的審計記錄將給事后追查帶來困難。有必要進行基于網絡行為的審計。從而威懾那些心存僥幸、有惡意企圖的少部分用戶，以利于規范正常的網絡應用行為。網絡設備防護由于XX網絡中將會使用大量的網絡設備，如交換機、防火墻、入侵檢測設備等。這些設備的自身安全性也會直接關系到涉密網和各種網絡應用的正常運行。如果發生網絡設備被不法分子攻擊，將導致設備不能正常運行。更加嚴重情況是設備設置被篡改，不法分子輕松獲得網絡設備的控制權，通過網絡設備作為跳板攻擊服務器，將會造成無法想象的后果。例如，交換機口令泄漏、防火墻規則被篡改、入侵檢測設備失靈等都將成為威脅網絡系統正常運行的風險因素。通信完整性與保密性由于網絡協議及文件格式均具有標準、開發、公開的特征，因此數據在網上存儲和傳輸過程中，不僅僅面臨信息丟失、信息重復或信息傳送的自身錯誤，而且會遭遇信息攻擊或欺詐行為，導致最終信息收發的差異性。因此，在信息傳輸和存儲過程中，必須要確保信息內容在發送、接收及保存的一致性；并在信息遭受篡改攻擊的情況下，應提供有效的察覺與發現機制，實現通信的完整性。而數據在傳輸過程中，為能夠抵御不良企圖者采取的各種攻擊，防止遭到竊取，應采用加密措施保證數據的機密性。網絡可信接入對于一個不斷發展的網絡而言，為方便辦公，在網絡設計時保留大量的接入端口，這對于隨時隨地快速接入到XX用戶網絡進行辦公是非常便捷的，但同時也引入了安全風險，一旦外來用戶不加阻攔的接入到網絡中來，就有可能破壞網絡的安全邊界，使得外來用戶具備對網絡進行破壞的條件，由此而引入諸如蠕蟲擴散、文件泄密等安全問題。因此需要對非法客戶端實現禁入，能監控網絡，對于沒有合法認證的外來機器，能夠阻斷其網絡訪問，保護好已經建立起來的安全環境。安全管理中心差距分析安全管理中心需求包括統一管理、統一監控、統一審計三個方面的需求分析。兩個方面，技術方面和管理方面。

技術體系方案設計方案設計目標三級系統安全保護環境的設計目標是：落實GB17859-1999對三級系統的安全保護要求，在二級安全保護環境的基礎上，通過實現基于安全策略模型和標記的強制訪問控制以及增強系統的審計機制，使得系統具有在統一安全策略管控下，保護敏感資源的能力。通過為滿足物理安全、網絡安全、主機安全、應用安全、數據安全五個方面基本技術要求進行技術體系建設；為滿足安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理五個方面基本管理要求進行管理體系建設。使得XX系統的等級保護建設方案最終既可以滿足等級保護的相關要求，又能夠全方面為XX系統提供立體、縱深的安全保障防御體系，保證信息系統整體的安全保護能力。方案設計框架根據《信息系統安全等級保護基本要求》，分為技術和管理兩大類要求，具體如下圖所示：本方案將嚴格根據技術與管理要求進行設計。首先應根據本級具體的基本要求設計本級系統的保護環境模型，根據《信息系統等級保護安全設計技術要求》（注：尚未正式發布），保護環境按照安全計算環境、安全區域邊界、安全通信網絡和安全管理中心進行設計，內容涵蓋基本要求的5個方面。同時結合管理要求，形成如下圖所示的保護環境模型：信息系統的安全保護等級由業務信息安全性等級和系統服務保證性等級較高者決定，因此，對某一個定級后的信息系統的安全保護的側重點可以有多種組合。對于3級保護系統，其組合為：（在S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3選擇）。以下詳細方案設計時以S3A3G3為例，其他組合根據實際情況酌情修改。安全域的劃分安全域劃分的依據對大型信息系統進行等級保護，不是對整個系統進行同一等級的保護，而是針對系統內部的不同業務區域進行不同等級的保護。因此，安全域劃分是進行信息安全等級保護的首要步驟。安全域是具有相同或相似安全要求和策略的IT要素的集合，是同一系統內根據信息的性質、使用主體、安全目標和策略等元素的不同來劃分的不同邏輯子網或網絡，每一個邏輯區域有相同的安全保護需求，具有相同的安全訪問控制和邊界控制策略，區域間具有相互信任關系，而且相同的網絡安全域共享同樣的安全策略。當然，安全域的劃分不能單純從安全角度考慮，而是應該以業務角度為主，輔以安全角度，并充分參照現有網絡結構和管理現狀，才能以較小的代價完成安全域劃分和網絡梳理，而又能保障其安全性。對信息系統安全域（保護對象）的劃分應主要考慮如下方面因素：業務和功能特性業務系統邏輯和應用關聯性業務系統對外連接：對外業務，支撐，內部管理安全特性的要求安全要求相似性：可用性、保密性和完整性的要求，如有保密性要求的資產單獨劃區域。威脅相似性：威脅來源、威脅方式和強度，如第三方接入區單獨劃區域。資產價值相近性：重要與非重要資產分離，如核心生產區和管理終端區分離。參照現有狀況現有網絡結構的狀況：現有網絡結構、地域和機房等參照現有的管理部門職權劃分安全域劃分與說明根據xx單位的實際情況，將安全域劃分為如下幾個：xxx域，承載什么內容，什么作用。xxx域，承載什么內容，什么作用。xxx域，承載什么內容，什么作用。xxx域，承載什么內容，什么作用。安全技術體系設計機房與配套設備安全設計機房與配套設備安全策略的目的是保護網絡中計算機網絡通信有一個良好的電磁兼容工作環境，并防止非法用戶進入計算機控制室和各種偷竊、破壞活動的發生。機房選址機房和辦公場地選擇在具有防震、防風和防雨等能力的建筑內。機房場地應避免設在建筑物的高層或地下室，以及用水設備的下層或隔壁。機房管理機房出入口安排專人值守，控制、鑒別和記錄進入的人員；需進入機房的來訪人員須經過申請和審批流程，并限制和監控其活動范圍。對機房劃分區域進行管理，區域和區域之間設置物理隔離裝置，在重要區域前設置交付或安裝等過渡區域；重要區域應配置電子門禁系統，控制、鑒別和記錄進入的人員。典型產品推薦：電子門禁系統、視頻監控系統機房環境合理規劃設備安裝位置，應預留足夠的空間作安裝、維護及操作之用。房間裝修必需使用阻燃材料，耐火等級符合國家相關標準規定。機房門大小應滿足系統設備安裝時運輸需要。機房墻壁及天花板應進行表面處理，防止塵埃脫落，機房應安裝防靜電活動地板。機房安裝防雷和接地線，設置防雷保安器，防止感應雷，要求防雷接地和機房接地分別安裝，且相隔一定的距離；機房設置火災自動消防系統，能夠自動檢測火情、自動報警，并自動滅火；機房及相關的工作房間和輔助房應采用具有耐火等級的建筑材料；機房應采取區域隔離防火措施，將重要設備與其他設備隔離開。配備空調系統，以保持房間恒濕、恒溫的工作環境；在機房供電線路上配置穩壓器和過電壓防護設備；提供短期的備用電力供應，滿足關鍵設備在斷電情況下的正常運行要求。設置冗余或并行的電力電纜線路為計算機系統供電；建立備用供電系統。鋪設線纜要求電源線和通信線纜隔離鋪設，避免互相干擾。對關鍵設備和磁介質實施電磁屏蔽。典型產品推薦：消防系統、屏蔽機柜、電力供應系統、空調、環境監控系統設備與介質管理為了防止無關人員和不法分子非法接近網絡并使用網絡中的主機盜取信息、破壞網絡和主機系統、破壞網絡中的數據的完整性和可用性，必須采用有效的區域監控、防盜報警系統，阻止非法用戶的各種臨近攻擊。此外，必須制定嚴格的出入管理制度和環境監控制度，以保障區域監控系統和環境監控系統的有效運行。對介質進行分類標識，存儲在介質庫或檔案室中。利用光、電等技術設置機房防盜報警系統；對機房設置監控報警系統。典型產品推薦：保密柜計算環境安全設計身份鑒別身份鑒別可分為主機身份鑒別和應用身份鑒別兩個方面：主機身份鑒別：為提高主機系統安全性，保障各種應用的正常運行，對主機系統需要進行一系列的加固措施，包括：對登錄操作系統和數據庫系統的用戶進行身份標識和鑒別，且保證用戶名的唯一性。根據基本要求配置用戶名/口令；口令必須具備采用3種以上字符、長度不少于8位并定期更換；啟用登陸失敗處理功能，登陸失敗后采取結束會話、限制非法登錄次數和自動退出等措施。遠程管理時應啟用SSH等管理方式，加密管理數據，防止被網絡竊聽。對主機管理員登錄進行雙因素認證方式，采用USBkey+密碼進行身份鑒別應用身份鑒別：為提高應用系統系統安全性應用系統需要進行一系列的加固措施，包括：對登錄用戶進行身份標識和鑒別，且保證用戶名的唯一性。根據基本要求配置用戶名/口令，必須具備一定的復雜度；口令必須具備采用3種以上字符、長度不少于8位并定期更換；啟用登陸失敗處理功能，登陸失敗后采取結束會話、限制非法登錄次數和自動退出等措施。應用系統如具備上述功能則需要開啟使用，若不具備則需進行相應的功能開發，且使用效果要達到以上要求。對于三級系統，要求對用戶進行兩種或兩種以上組合的鑒別技術，因此可采用雙因素認證（USBkey+密碼）或者構建PKI體系，采用CA證書的方式進行身份鑒別。典型產品推薦：xx公司CA系統，遠程用戶登錄使用深信服SSLVPN訪問控制三級系統一個重要要求是實現自主訪問控制和強制訪問控制。自主訪問控制實現：在安全策略控制范圍內，使用戶對自己創建的客體具有各種訪問操作權限，并能將這些權限的部分或全部授予其他用戶；自主訪問控制主體的粒度應為用戶級，客體的粒度應為文件或數據庫表級；自主訪問操作應包括對客體的創建、讀、寫、修改和刪除等。強制訪問控制實現：在對安全管理員進行嚴格的身份鑒別和權限控制基礎上，由安全管理員通過特定操作界面對主、客體進行安全標記；應按安全標記和強制訪問控制規則，對確定主體訪問客體的操作進行控制；強制訪問控制主體的粒度應為用戶級，客體的粒度應為文件或數據庫表級。由此主要控制的是對應用系統的文件、數據庫等資源的訪問，避免越權非法使用。采用的措施主要包括：啟用訪問控制功能：制定嚴格的訪問控制安全策略，根據策略控制用戶對應用系統的訪問，特別是文件操作、數據庫訪問等，控制粒度主體為用戶級、客體為文件或數據庫表級。權限控制：對于制定的訪問控制規則要能清楚的覆蓋資源訪問相關的主體、客體及它們之間的操作。對于不同的用戶授權原則是進行能夠完成工作的最小化授權，避免授權范圍過大，并在它們之間形成相互制約的關系。賬號管理：嚴格限制默認帳戶的訪問權限，重命名默認帳戶，修改默認口令；及時刪除多余的、過期的帳戶，避免共享帳戶的存在。訪問控制的實現主要采取兩種方式：采用安全操作系統，或對操作系統進行安全增強改造，且使用效果要達到以上要求。典型產品推薦：xx公司CA系統，操作系統加固，遠程用戶接入使用深信服SSLVPN系統安全審計系統審計包含主機審計和應用審計兩個層面：主機審計：部署終端安全管理系統，啟用主機審計功能，或部署主機審計系統，實現對主機監控、審計和系統管理等功能。監控功能包括服務監控、進程監控、硬件操作監控、文件系統監控、打印機監控、非法外聯監控、計算機用戶賬號監控等。審計功能包括文件操作審計、外掛設備操作審計、非法外聯審計、IP地址更改審計、服務與進程審計等。審計范圍覆蓋到服務器上的每個操作系統用戶和數據庫用戶；內容包括重要用戶行為、系統資源的異常使用和重要系統命令的使用等系統內重要的安全相關事件；審計記錄包括事件的日期、時間、類型、主體標識、客體標識和結果等；保護審計記錄，避免受到未預期的刪除、修改或覆蓋等。同時，根據記錄的數據進行統計分析，生成詳細的審計報表，系統管理功能包括系統用戶管理、主機監控代理狀態監控、安全策略管理、主機監控代理升級管理、計算機注冊管理、實時報警、歷史信息查詢、統計與報表等。應用審計：應用層安全審計是對業務應用系統行為的審計，需要與應用系統緊密結合，此審計功能應與應用系統統一開發。應用系統審計功能記錄系統重要安全事件的日期、時間、發起者信息、類型、描述和結果等，并保護好審計結果，阻止非法刪除、修改或覆蓋審計記錄。同時能夠對記錄數據進行統計、查詢、分析及生成審計報表。部署數據庫審計系統對用戶行為、用戶事件及系統狀態加以審計，范圍覆蓋到每個用戶，從而把握數據庫系統的整體安全。應用系統如具備上述功能則需要開啟使用，若不具備則需進行相應的功能開發，且使用效果要達到以上要求。典型產品推薦：xx公司終端安全管理系統、xx公司數據庫審計系統入侵防范針對入侵防范主要體現在主機及網絡兩個層面。針對主機的入侵防范，可以從多個角度進行處理：入侵檢測系統可以起到防范針對主機的入侵行為；部署漏洞掃描進行系統安全性檢測；部署終端安全管理系統，開啟補丁分發功能模塊及時進行系統補丁升級；操作系統的安裝遵循最小安裝的原則，僅安裝需要的組件和應用程序，關閉多余服務等；另外根據系統類型進行其它安全配置的加固處理。典型產品推薦：xx公司終端安全管理系統主機惡意代碼防范各類惡意代碼尤其是病毒、木馬等是對XX網絡的重大危害，病毒在爆發時將使路由器、3層交換機、防火墻等網關設備性能急速下降，并且占用整個網絡帶寬。針對病毒的風險，我們建議重點是將病毒消滅或封堵在終端這個源頭上。時，在所有終端主機和服務器上部署網絡防病毒系統，加強終端主機的病毒防護能力并及時升級惡意代碼軟件版本以及惡意代碼庫。在XX網絡安全管理安全域中，可以部署防病毒服務器，負責制定和終端主機防病毒策略，在XX網絡內網建立全網統一的一級升級服務器，在下級節點建立二級升級服務器，由管理中心升級服務器通過互聯網或手工方式獲得最新的病毒特征庫，分發到數據中心節點的各個終端，并下發到各二級服務器。在網絡邊界通過防火墻進行基于通信端口、帶寬、連接數量的過濾控制，可以在一定程度上避免蠕蟲病毒爆發時的大流量沖擊。同時，防毒系統可以為安全管理平臺提供關于病毒威脅和事件的監控、審計日志，為全網的病毒防護管理提供必要的信息。典型產品推薦：xx公司殺毒軟件系統網絡版軟件容錯軟件容錯的主要目的是提供足夠的冗余信息和算法程序,使系統在實際運行時能夠及時發現程序設計錯誤,采取補救措施,以提高軟件可靠性,保證整個計算機系統的正常運行。因此在應用系統軟件設計時要充分考慮軟件容錯設計，包括：提供數據有效性檢驗功能，保證通過人機接口輸入或通過通信接口輸入的數據格式或長度符合系統設定要求；具備自保護功能，在故障發生時，應用系統應能夠自動保存當前所有狀態，確保系統能夠進行恢復。數據完整性與保密性目前，XX信息系統中傳輸的信息主要是XX類型的數據，對信息完整性校驗提出了一定的需求。在XX應用系統中，將采用消息摘要機制來確保完整性校驗，其方法是：發送方使用散列函數（如SHA、MD5等）對要發送的信息進行摘要計算，得到信息的鑒別碼，連同信息一起發送給接收方，將信息與信息摘要進行打包后插入身份鑒別標識，發送給接收方。接收方對接收到的信息后，首先確認發送方的身份信息，解包后，重新計算，將得到的鑒別碼與收到的鑒別碼進行比較，若二者相同，則可以判定信息未被篡改，信息完整性沒有受到破壞。通過上述方法，可以滿足應用系統對于信息完整性校驗的需求。而對于用戶數據特別是身份鑒別信息的數據保密，應用系統采用密碼技術進行數據加密實現鑒別信息的存儲保密性。在傳輸過程中主要依靠VPN系統可以來保障數據包的數據完整性、保密性、可用性。目前VPN的組建主要采用兩種方式，基于IPSEC協議的VPN以及基于SSL協議的VPN。IPSecVPN適用于組建site-to-site形態的虛擬專有網絡，IPSEC協議提供的安全服務包括：保密性——IPSec在傳輸數據包之前將其加密．以保證數據的保密性。完整性——IPSec在目的地要驗證數據包，以保證該數據包任傳輸過程中沒有被修改或替換。完整性校驗是IPSECVPN重要的功能之一。真實性——IPSec端要驗證所有受IPSec保護的數據包。防重放——IPSec防止了數據包被捕捉并重新投放到網上，即目的地會拒絕老的或重復的數據包，它通過報文的序列號實現。SSLVPN適用于遠程接入環境，例如：移動辦公接入。它和IPSECVPN適用于不同的應用場景，可配合使用。SSL的英文全稱是“SecureSocketsLayer”，中文名為“安全套接層協議層”，它是網景（Netscape）公司提出的基于WEB應用的安全協議。SSL協議指定了一種在應用程序協議（如、Telenet、NMTP和FTP等）和TCP/IP協議之間提供數據安全性分層的機制，它為TCP/IP連接提供數據加密、服務器認證、消息完整性以及可選的客戶機認證。SSL與IPSec安全協議一樣，也可提供加密和身份驗證安全方法，因此安全性上二者無明顯差別。SSLVPN使用SSL/S技術作為安全傳輸機制。這種機制在所有的標準Web瀏覽器上都有，不用額外的軟件實現。使用SSLVPN，在移動用戶和內部資源之間的連接通過應用層的Web連接實現，而不是像IPSecVPN在網絡層開放的“通道”。SSL對移動用戶是理想的技術，因為：SSL無需被加載到終端設備上SSL無需終端用戶配置SSL無需被限于固定終端，只要有標準瀏覽器即可使用產品部署方面，SSLVPN只需單臂旁路方式接入。單臂旁路接入不改變原有網絡結構和網路配置，不增加故障點，部署簡單靈活，同時提供完整的SSLVPN服務。遠程用戶只需應用標準IE瀏覽器即可登陸網關，通過身份鑒別，在基于角色的策略控制下實現對企業內部資源的存取訪問。遠程移動用戶只需打開標準IE瀏覽器，登陸SSLVPN網關，經過用戶認證后即可根據分配給該用戶的相應策略進行相關業務系統的訪問。典型產品推薦：深信服IPSECVPN、SSLVPN備份與恢復備份與恢復主要包含兩方面內容，首先是指數據備份與恢復，另外一方面是關鍵網絡設備、線路以及服務器等硬件設備的冗余。數據是最重要的系統資源。數據丟失將會使系統無法連續正常工作。數據錯誤則將意味著不準確的事務處理。可靠的系統要求能立即訪問準確信息。將綜合存儲戰略作為計算機信息系統基礎設施的一部分實施不再是一種選擇，而已成為必然的趨勢。數據備份系統應該遵循穩定性、全面性、自動化、高性能、操作簡單、實時性等原則。備份系統先進的特性可提供增強的性能，易于管理，廣泛的設備兼容性和較高的可靠性，以保證數據完整性。廣泛的選件和代理能將數據保護擴展到整個系統,并提供增強的功能，其中包括聯機備份應用系統和數據文件，先進的設備和介質管理，快速、順利的災難恢復以及對光纖通道存儲區域網（SAN）的支持等。本地完全數據備份至少每天一次，且備份介質需要場外存放。提供能異地數據備份功能，利用通信網絡將關鍵數據定時批量傳送至異地備用場地。對于核心交換設備、外部接入鏈路以及系統服務器進行雙機、雙線的冗余設計，保障從網絡結構、硬件配置上滿足不間斷系統運行的需要。典型產品推薦：深信服應用交付系統（AD）服務器負載均衡應用高可用：實現多臺服務器之間冗余——3到7層的多種服務器健康檢查應用高性能：實現多臺服務器性能疊加——4、7層的多種負載均衡算法應用可擴展：實現應用基于實際需求的性能調整——服務器平滑退出、平滑上線降低服務器負載——TCP連接復用、緩存、SSL卸載。提升用戶訪問速度——TCP單邊加速、緩存、壓縮。服務器狀態、鏈路狀態和用戶行為可視化——各類報表功能、商業智能分析鏈路負載均衡（入站）解決外部用戶跨運營訪問造成的訪問速度慢的問題——智能DNS（出入站）多條鏈路之間形成冗余，保障用戶訪問穩定性——鏈路健康狀況檢測（出站）按需為內網用戶選擇合適的鏈路訪問互聯網,提升帶寬資源利用率，減少帶寬投資成本——多種鏈路負載算法、智能路由、DNS透明代理全局負載均衡：實現多數據中心入站流量選路、精確為用戶選擇最佳（就近）站點。資源控制為保證XX網絡的應用系統正常的為用戶提供服務，必須進行資源控制，否則會出現資源耗盡、服務質量下降甚至服務中斷等后果。通過對應用系統進行開發或配置來達到控制的目標，包括：會話自動結束：當應用系統的通信雙方中的一方在一段時間內未作任何響應，另一方應能夠及時檢測并自動結束會話，釋放資源；會話限制：對應用系統的最大并發會話連接數進行限制，對一個時間段內可能的并發會話連接數進行限制，同時對單個帳戶的多重并發會話進行限制，設定相關閾值，保證系統可用性。登陸條件限制：通過設定終端接入方式、網絡地址范圍等條件限制終端登錄。超時鎖定：根據安全策略設置登錄終端的操作超時鎖定。用戶可用資源閾值：限制單個用戶對系統資源的最大或最小使用限度，保障正常合理的資源占用。對重要服務器的資源進行監視，包括CPU、硬盤、內存等。對系統的服務水平降低到預先規定的最小值進行檢測和報警。提供服務優先級設定功能，并在安裝后根據安全策略設定訪問帳戶或請求進程的優先級，根據優先級分配系統資源。應用系統如具備上述功能則需要開啟使用，若不具備則需進行相應的功能開發，且使用效果要達到以上要求。典型產品推薦：深信服應用性能監控系統（APM），深信服流量管理系統（BM），其他功能應在應用系統開發時同步實現客體安全重用為實現客體的安全重用，及時清除剩余信息存儲空間，應通過對操作系統及數據庫系統進行安全加固配置，使得操作系統和數據庫系統具備及時清除剩余信息的功能，從而保證用戶的鑒別信息、文件、目錄、數據庫記錄等敏感信息所在的存儲空間（內存、硬盤）被及時釋放或再分配給其他用戶前得到完全清除。抗抵賴解決系統抗抵賴特性最有效的方法就是采用數字簽名技術，通過數字簽名及簽名驗證技術，可以判斷數據的發送方是真實存在的用戶。數字簽名是不對稱加密算法的典型應用。數字簽名的應用過程是，數據源發送方使用自己的私鑰對數據校驗和或其他與數據內容有關的變量進行加密處理，完成對數據的合法“簽名”，數據接收方則利用對方的公鑰來解讀收到的“數字簽名”，并將解讀結果用于對數據完整性的檢驗，以確認簽名的合法性同時，通過對簽名的驗證，可以判斷數據在傳輸過程中是否被更改。從而，可以實現數據的發送方不能對發送的數據進行抵賴，發送的數據是完整的，實現系統的抗抵賴性和完整性需求。PKI體系具備了完善的數字簽名功能。因此部署PKI體系可解決抗抵賴的問題，同時提供身份鑒別和訪問控制。典型產品推薦：xx公司CA系統不同等級業務系統的隔離與互通在明確等級劃分之后，不同等級的系統間面臨著互聯互通的問題，系統間需要進行數據交換。《電子政務信息安全等級保護實施指南》指出，不同安全等級的電子政務系統之間可以根據業務需要進行互聯互通。不同安全等級的系統互聯互通，應遵循以下原則：不同等級安全域互聯后各級系統須能夠滿足本級各項基本技術要求，高安全等級的系統要充分考慮引入低安全等級系統后帶來的風險，不能因為互聯而無法達到相應的基本要求，破壞本等級的安全邊界。互聯手段中重點是互聯邊界應采取相應的邊界保護、訪問控制等安全措施，防止高等級系統的安全受低等級系統的影響。邊界產品可有針對性的選擇安全隔離網閘、防火墻、入侵防護等邊界安全設備。根據系統業務要求和安全保護要求，制定相應的互聯互通安全策略，包括訪問控制策略和數據交換策略等，嚴格控制數據在不同等級之間的流動。在確定不同等級業務系統的安全邊界時，如果需要使用同一終端訪問不同等級的業務系統，就出現在用戶終端業務系統邊界不明確的情況，各等級業務系統數據在用戶終端交互。應部署相應的安全隔離系統，時不同等級的業務系統在用戶終端隔離開。典型產品推薦：深信服虛擬安全桌面系統（VSP）在虛擬安全桌面中訪問的高等級業務系統的業務數據將始終被限制在業務的安全虛擬環境中，無法被發送至任何其他的局域，并且所有的業務數據運行過程中也是進行了加密的。把業務操作環境和其他環境進行了隔離，實現主動泄密、被動泄密的杜絕。互聯網的訪問在另外一個安全桌面中進行，所有互聯網的影響將會被清除。實現了互聯網安全隱患的隔離。區域邊界安全設計邊界訪問控制入侵防范惡意代碼防范與應用層防攻擊通過對XX網絡的邊界風險與需求分析，在網絡層進行訪問控制需部署邊界安全防護產品，該安全產品實現對邊界的訪問控制、入侵防范和惡意代碼防范，因此該產品具有一下功能：可以對所有流經該設備的數據包按照嚴格的安全規則進行過濾，將所有不安全的或不符合安全規則的數據包屏蔽，杜絕越權訪問，防止各類非法攻擊行為。可面對越來越廣泛的基于應用層內容的攻擊行為，該設備還應具有能夠及時識別網絡中發生的入侵行為并實時報警并且進行有效攔截防護。該設備還需提供完整的上網行為管理功能，可針對于內網對于外網的存取應用進行管理。可辨識多種類別如IM/VoIP/P2P/FTP等已知的網絡應用軟件，進而根據多種條件如IP群組、VLANID等范圍條件制訂各種不同的管理策略，限制內網用戶使用諸如：IM軟件、P2P軟件、在線游戲等互聯網應用，通過技術手段規范上網行為，防止帶寬濫用，阻止內網泄密。能夠對夾雜在網絡交換數據中的各類網絡病毒進行過濾，可以對網絡病毒、蠕蟲、混合攻擊、端口掃描、間諜軟件、P2P軟件帶寬濫用等各種廣義病毒進行全面的攔截。阻止病毒通過網絡的快速擴散，將經網絡傳播的病毒阻擋在外，可以有效防止病毒從其他區域傳播到內部其他安全域中。截斷了病毒通過網絡傳播的途徑，凈化了網絡流量。部署邊界安全防護設備時應特別注意設備性能，產品必須具備良好的體系架構保證性能，能夠靈活的進行網絡部署。同時為使得達到最佳防護效果。另外，安全防護設備的防病毒庫應該和桌面防病毒軟件應為不同的廠家產品，兩類病毒防護產品共同組成用戶的立體病毒防護體系。為能達到最好的防護效果，邊界防護產品的事件庫和病毒庫及時升級至最新版本至關重要。對于能夠與互聯網實現連接的網絡，應對背帶褲升級進行準確配置；對與不能與互聯網進行連接的網絡環境，需采取手動下載升級包的方式進行手動升級。在各安全域邊界部署邊界安全防護產品，部署效果如下（該產品在網絡拓撲中的部署方式）：……典型產品推薦：深信服下一代防火墻（NGAF）（1）多種功能融合、縱深安全防御、一體化安全防護（2）透視網絡應用、精細控制策略、規避應用安全風險（3）豐富日志報表、統一集中管理、最優運維成本（4）限制無關應用、保障核心業務、優化帶寬利用率（5）適應復雜場景、抵御網絡攻擊、合理規劃安全域流量控制XX數據中心提供面向互聯網的服務，包括門戶網站、互聯網數據收集服務等，這些服務集中在互聯網服務區安全域中。對于服務的訪問流量，是我們需要保護的流量。但是，往往有一些“異常”的流量，通過部分或完全占據網絡資源，使得正常的業務訪問延遲或中斷。可能發生在互聯網服務區安全邊界的異常流量，根據產生原因的不同，大致可以分為兩類：攻擊流量、病毒流量。攻擊流量：是以拒絕服務式攻擊（DDOS）為代表，他們主要來自于互聯網，攻擊的目標是互聯網服務區安全域中的服務系統。病毒流量：病毒流量可能源自數據中心內部或互聯網，主要是由蠕蟲病毒所引發，一旦內部主機感染病毒，病毒會自動的在網絡中尋找漏洞主機并感染。互聯網中的大量蠕蟲病毒，也可能通過安全邊界，進入到數據中心網絡中來。通過在互聯網服務區安全邊界最外側部署流量管理系統，可以實時的發現并阻斷異常流量，為正常的互聯網訪問請求提供高可靠環境。流量控制系統部署在互聯網服務區安全邊界最外層，直接面向互聯網，阻斷來自互聯網的攻擊，阻斷病毒的自動探測和傳播。流量控制系統必須具備智能的流量分析能力、特征識別能力，具備大流量入侵時足夠的性能處理能力，可以為XX單位網絡系統實現：全面識別網絡應用流量使用協議檢測、協議解碼、特征簽名、行為檢測四種技術精確識別網絡上的每個應用并對其進行分類管理。可以識別13大類、1100種以上網絡應用，與應用使用的端口、協議或是否采用加密以及隱蔽機制無關。全面識別網絡攻擊流量精確識別7大類、1600種以上高風險網絡攻擊流量，包括DDoS/DoS、緩存區溢出、掃描、木馬后門、蠕蟲病毒、Web攻擊等。全面控制網絡應用流量采用精確流量控制技術，實現帶寬限制、保證帶寬、帶寬借用、應用優先級等一系列帶寬管理功能，防止不正常應用對網絡帶寬資源的過度消耗，保證關鍵應用帶寬，限制非關鍵應用帶寬，改善和保障整體網絡應用的服務質量。全面清洗網絡攻擊流量能夠實時阻擋網絡掃描、蠕蟲病毒、木馬后門、DDoS/DoS、Web攻擊等攻擊流量，給用戶專業級流量凈化設備的效果。如果不能夠將占用或消耗網絡帶寬的攻擊流量或者給應用流量帶來巨大安全威脅的惡意流量清洗掉，關鍵應用流量的管理就得不到有效的保障。在有多條廣域網鏈路存在的情況下，可以對每條廣域網鏈路設置不同的流量凈化策略。全面管理網絡應用行為在應用行為管理上，可以根據不同的時間、用戶群組來對IM、P2P、網絡游戲、股票證券、非法隧道等下達嚴格的管理策略，杜絕對不良網站和危險資源的訪問，防止對Internet資源的濫用，避免單位敏感信息的泄漏。全面的流量監控與報表具有強大的流量實時監控與報表分析能力。不同策略下網絡應用流量的監控與分析報表包括應用流量分布、內部主機流量分布、外部主機流量分布、帶寬負載分布、連接數分布、數據包大小分布、QoS流量分布等等。網絡攻擊流量的監控報表包括每一次異常流量攻擊的發生時間、嚴重程度、處理方式、攻擊種類、源IP、目的IP、源端口、目的端口、協議等；對網絡攻擊流量的分析報表包括來源、目的、種類、威脅程度等的詳細分析。典型產品推薦：深信服流量管理系統（BM）邊界完整性檢查邊界完整性檢查核心是要對內部網絡中出現的內部用戶未通過準許私自聯到外部網絡的行為進行檢查，維護網絡邊界完整性。通過部署終端安全管理系統可以實現這一目標。終端安全管理系統其中一個重要功能模塊就是非法外聯控制，探測內部網中非法上互聯網的計算機。非法外聯監控主要解決發現和管理用戶非法自行建立通路連接非授權網絡的行為。通過非法外聯監控的管理，可以防止用戶訪問非信任網絡資源，并防止由于訪問非信任網絡資源而引入安全風險或者導致信息泄密。終端非法外聯行為監控可以發現終端試圖訪問非授信網絡資源的行為，如試圖與沒有通過系統授權許可的終端進行通信，自行試圖通過撥號連接互聯網等行為。對于發現的非法外聯行為，可以記錄日志并產生報警信息。終端非法外聯行為管理可以禁止終端與沒有通過系統授權許可的終端進行通信，禁止撥號上網行為。在各安全域部署邊界安全防護產品，部署效果如下（該產品在網絡拓撲中的部署方式）：……典型產品推薦：xx公司終端安全管理系統邊界安全審計各安全區域邊界已經部署了相應的安全設備負責進行區域邊界的安全。對于流經各主要邊界（重要服務器區域、外部連接邊界）需要設置必要的審計機制，進行數據監視并記錄各類操作，通過審計分析能夠發現跨區域的安全威脅，實時地綜合分析出網絡中發生的安全事件。一般可采取開啟邊界安全設備的審計功能模塊，根據審計策略進行數據的日志記錄與審計。同時審計信息要通過安全管理中心進行統一集中管理，為安全管理中心提供必要的邊界安全審計數據，利于管理中心進行全局管控。邊界安全審計和主機審計、應用審計、網絡審計等一起構成完整的、多層次的審計系統。在各安全域邊界部署邊界安全審計產品，部署效果如下（部署該產品后的網絡拓撲圖）：……典型產品推薦：深信服網絡安全審計系統（AC）全面的郵件審計與過濾策略 基于發件人地址、附件類型、關鍵字過濾外發Email行為，并進行細致的審計 基于收件人、關鍵字、大小、附件等先攔截潛在的泄密郵件，人工審核后再外發，避免泄密風險 對非標準端口的Email收發行為進行識別、控制外置數據中心 SANGFORAC除了具有內置數據中心外，還具有獨立外置數據中心。外置數據中心實現海量日志存儲，日志存儲的空間不是由SANGFORAC設備的存儲空間決定的，而是由存儲日志的第三方日志服務器決定的； 外置數據中心實現類似Google的內容檢索，快速定位關注的日志信息；主題訂閱，可以以天/周的周期定期向指定的郵件發送指定的日志發生事件。 SANGFORAC的外置數據中心還支持自動報表、各種圖形化統計、全面的日志記錄審計等功能。網絡監控日志包括了各種應用類型、網站類型、文件類型的訪問日志，QQ聊天內容日志，BBS發帖內容日志，URL訪問日志、P2P下載日志、Email/Webmail日志、上網時間統計等信息。全面記錄審計各種內網用戶網絡行為日志。外發文件告警以針對、ftp、email等的外發文件進行特征識別；對潛在的泄密行為進行通過郵件方式進行告警；可以針對多層嵌套的的可疑文件進行識別并告警，有效的防止有意的泄密行為。細致靈活的審計方式 記錄外網用戶在內網服務器上的網絡行為，如發貼等，可以有效防止外網用戶訪問內網服務器發表的不良信息 支持LAN-LAN的審計策略，從而可以有效防止內網用戶利用內部的論壇或是訪問其他類別的服務器出現的問題 基于硬件USB-Key實現指定用戶的免審計功能，從而有效的保障領導或是特殊個體的上網行為不被審計，防止機密的泄漏通信網絡安全設計網絡結構安全網絡結構的安全是網絡安全的前提和基礎，對于XX網絡，選用主要網絡設備時需要考慮業務處理能力的高峰數據流量，要考慮冗余空間滿足業務高峰期需要。網絡各個部分的帶寬要保證接入網絡和核心網絡滿足業務高峰期需要。根據相應的需求，可以考慮部署廣域網優化產品，優化鏈路質量，削減鏈路數據，更好的滿足業務高峰期的需求。在各網絡結構中部署廣域網加速產品，部署效果如下（該產品在網絡拓撲中的部署方式）：……典型產品推薦：深信服廣域網加速系統（WOC）具有鏈路VPN加密功能；應用流量可視化，更好的保障帶寬的可用性：數據優化，實現流量30-80%的削減，更好的實現網絡設備處理能力的冗余，保障帶寬滿足業務高峰期的處理能力；應用優化和鏈路優化，提升用戶訪問速度；流量管理，豐富的流量管理功能，保證在發生擁堵時，優先保障核心服務、核心服務器；其次，需要按照業務系統服務的重要次序定義帶寬分配的優先級，在網絡擁堵時優先保障重要主機。根據實際需求，部署流量管理系統，實現按照業務系統服務的重要次序來分配帶寬，優先保障重要主機。在各網絡結構中部署流量管理系統，部署效果如下（該產品在網絡拓撲中的部署方式）：……推薦產品：深信服流量管理系統（BM）避免帶寬浪費，降低投資成本保障關鍵應用帶寬需求，提升帶寬價值全面洞悉網絡中應用流量分布情況

最后，合理規劃路由，業務終端與業務服務器之間建立安全路徑；繪制與當前運行情況相符的網絡拓撲結構圖；根據各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的網段或VLAN。保存有重要業務系統及數據的重要網段不能直接與外部系統連接，需要和其他網段隔離，單獨劃分區域。網絡安全審計網絡安全審計系統主要用于監視并記錄網絡中的各類操作，偵察系統中存在的現有和潛在的威脅，實時地綜合分析出網絡中發生的安全事件，包括各種外部事件和內部事件。在XX網絡交換機處并接部署網絡行為監控與審計系統，形成對全網網絡數據的流量監測并進行相應安全審計，同時和其它網絡安全設備共同為集中安全管理提供監控數據用于分析及檢測。網絡行為監控和審計系統將獨立的網絡傳感器硬件組件連接到網絡中的數據會聚點設備上，對網絡中的數據包進行分析、匹配、統計，通過特定的協議算法，從而實現入侵檢測、信息還原等網絡審計功能，根據記錄生成詳細的審計報表。網絡行為監控和審計系統采用旁路技術，不用在目標主機中安裝任何組件。同時網絡審計系統可以與其它網絡安全設備進行聯動，將各自的監控記錄送往安全管理安全域中的安全管理服務器，集中對網絡異常、攻擊和病毒進行分析和檢測。在網絡結構總部署邊界安全審計產品，部署效果如下（部署該產品后的網絡拓撲圖）：……典型產品推薦：深信服網絡安全審計系統（AC）網頁訪問審計IM工具審計全面的郵件審計與過濾策略網絡行為日志外發文件告警細致靈活的審計方式網絡設備防護為提高網絡設備的自身安全性，保障各種網絡應用的正常運行，對網絡設備需要進行一系列的加固措施，包括：對登錄網絡設備的用戶進行身份鑒別，用戶名必須唯一；對網絡設備的管理員登錄地址進行限制；身份鑒別信息具有不易被冒用的特點，口令設置需3種以上字符、長度不少于8位，并定期更換；具有登錄失敗處理功能，失敗后采取結束會話、限制非法登錄次數和當網絡登錄連接超時自動退出等措施；啟用SSH等管理方式，加密管理數據，防止被網絡竊聽。對于鑒別手段，三級要求采用兩種或兩種以上組合的鑒別技術，因此需采用USBkey+密碼進行身份鑒別，保證對網絡設備進行管理維護的合法性。典型產品推薦：xx公司運維堡壘主機通信完整性與保密性信息的完整性設計包括信息傳輸的完整性校驗以及信息存儲的完整性校驗。對于信息傳輸和存儲的完整性校驗可以采用的技術包括校驗碼技術、消息鑒別碼、密碼校驗函數、散列函數、數字簽名等。對于信息傳輸的完整性校驗應由傳輸加密系統完成。部署VPN系統保證遠程數據傳輸的數據完整性。對于信息存儲的完整性校驗應由應用系統和數據庫系統完成。應用層的通信保密性主要由應用系統完成。在通信雙方建立連接之前，應用系統應利用密碼技術進行會話初始化驗證；并對通信過程中的敏感信息字段進行加密。對于信息傳輸的通信保密性應由傳輸加密系統完成。部署VPN系統保證遠程數據傳輸的數據機密性。在各網絡結構中部署廣域網加速產品，部署效果如下（該產品在網絡拓撲中的部署方式）：……典型產品推薦：深信服SSLVPN、IPSECVPN、Easyconnect網絡可信接入為保證網絡邊界的完整性，不僅需要進行非法外聯行為，同時對非法接入進行監控與阻斷，形成網絡可信接入，共同維護邊界完整性。通過部署終端安全管理系統可以實現這一目標。終端安全管理系統其中一個重要功能模塊就是網絡準入控制，啟用網絡阻斷方式包括ARP干擾、802.1x協議聯動等。監測內部網中發生的外來主機非法接入、篡改IP地址、盜用IP地址等不法行為，由監測控制臺進行告警。運用用戶信息和主機信息匹配方式實時發現接入主機的合法性，及時阻止IP地址的篡改和盜用行為。共同保證XX網絡的邊界完整性。具體如下：在線主機監測可以通過監聽和主動探測等方式檢測系統中所有在線的主機，并判別在線主機是否是經過系統授權認證的信任主機。主機授權認證可以通過在線主機是否安裝客戶端代理程序，并結合客戶端代理報告的主機補丁安裝情況，防病毒程序安裝和工作情況等信息，進行網絡的授權認證，只允許通過授權認證的主機使用網絡資源。非法主機網絡阻斷對于探測到的非法主機，系統可以主動阻止其訪問任何網絡資源，從而保證非法主機不對網絡產生影響，無法有意或無意的對網絡攻擊或者試圖竊密。網絡白名單策略管理可生成默認的合法主機列表，根據是否安裝安全管理客戶端或者是否執行安全策略，來過濾合法主機列表，快速實現合法主機列表的生成。同時允許管理員設置白名單例外列表，允許例外列表的主機不安裝客戶端但是仍然授予網絡使用權限，并根據需要授予可以和其他授權認證過的主機通信的權限或者允許和任意主機通信的權限。IP和MAC綁定管理可以將終端的IP和MAC地址綁定，禁止用戶修改自身的IP和MAC地址，并在用戶試圖更改IP和MAC地址時，產生相應的報警信息。在各安全域部署邊界安全防護產品，部署效果如下（該產品在網絡拓撲中的部署方式）：……典型產品推薦：xx公司終端安全管理系統安全管理中心設計由于XX網絡覆蓋面廣，用戶眾多，技術人員水平不一。為了能準確了解系統的運行狀態、設備的運行情況，統一部署安全策略，應進行安全管理中心的設計，根據要求，應在系統管理、審計管理和安全管理幾個大方面進行建設。在安全管理安全域中建立安全管理中心，是有效幫助管理人員實施好安全措施的重要保障，是實現業務穩定運行、長治久安的基礎。通過安全管理中心的建設，真正實現安全技術層面和管理層面的結合，全面提升用戶網絡的信息安全保障能力。系統管理通過系統管理員對系統的服務器、網絡設備、安全設備、應用系統進行統一的管理包括：用戶身份管理：統一管理系統用戶身份，按照業務上分工的不同，合理地把相關人員劃分為不同的類別或者組，以及不同的角色對模塊的訪問權限。權限設置可按角色劃分，角色分為普通用戶、系統管理員、安全管理員、審計管理員等。系統資源配置：進行系統資源配置管理與監控，包括CPU負載、磁盤使用情況、服務器內存、數據庫的空間、數據庫日志空間、SWAP使用情況等，通過配置采樣時間，定時檢測。系統加載和啟動：進行系統啟動初始化管理，保障系統的正常加載和啟動。數據備份與恢