網絡安全技術指導手冊202307PAGEPAGE1目錄TOC\o"1-3"\h\u31728第一部分：網絡安全防護要求 6143371、安全通用要求 7111091.1機房物理環境要求 795741.2網絡通信環境要求 966641.3 10139851.4 13189551.5數據安全要求 1625911.6系統及安全設備管理要求 17310051.7安全管理制度要求 189931.8安全管理機構要求 19276531.9安全管理人員 21110681.10安全建設管理要求 2250901.11軟件開發安全要求 24326371.12安全運維管理要求 26170752、云計算安全擴展要求 32171362.1安全物理位置 3243042.2安全通信網絡 32304222.3安全區域邊界 33254692.4 34226062.5安全管理中心 36175982.6安全建設管理 36279622.7安全運維管理 37325253、物聯網安全擴展要求 37270543.1安全物理環境 37173293.2安全區域邊界 38146933.3安全計算環境 3863313.4安全運維管理 3957144、工業控制系統安全擴展要求 4029685安全物理環境 407240安全通信網絡 4121065安全區域邊界 412889安全計算環境 4222381 4313577省級、補丁安裝管理，嚴防病毒、木馬等惡意代碼侵入。5、電子政務外網要求 4481455.1落實網絡安全主體責任 44142285.2加強電子政務外網接入管理 44325515.3做好電子政務外網網絡安全等級保護工作 4530282第二部分：主要網絡安全設備 46307151、防火墻設備 552952設備介紹 5523859設備功能 55174設備拓撲示意 55216192、網閘設備 5618291設備介紹 5626806設備功能 561689設備拓撲示意 5757873、漏洞掃描系統設備 577554設備介紹 5718490設備功能 587480設備拓撲示意 5993414、入侵防御系統設備（IPS） 6010978設備介紹 6030280設備功能 607874設備拓撲示意 61209955、Web應用防火墻設備（WAF） 623110設備介紹 625177設備功能 62509設備拓撲示意 64272426、運維審計系統設備（堡壘機） 6443296.1設備介紹 64243936.2設備功能 64192036.3設備拓撲示意 66281487、上網行為管理設備 6721172設備介紹 6731725設備功能 6731046設備拓撲示意 67224938、虛擬專用網絡設備（VPN） 6713090設備介紹 672919設備功能 685842設備拓撲示意 681459、防毒墻 691345設備介紹 6916279設備功能 6919666設備拓撲示意 702870010、應用主機綜合安全防護軟件 7026172軟件介紹 7024852軟件功能 708534設備拓撲示意 711353811、數據庫審計設備 722359軟件介紹 7231611軟件功能 7216979設備拓撲示意 73475212、日志審計設備 7431355軟件介紹 749223軟件功能 74491設備拓撲示意 76750613、服務器密碼機 767635設備介紹 763682設備功能 7626607設備拓撲示意 77544714、密鑰管理系統 7827701設備介紹 7825531設備功能 7831907設備拓撲示意 80568215、簽名驗簽系統 8113477 814121設備功能 8112481設備拓撲示意 822853016、態勢感知系統 8325687設備介紹 8331215設備功能 831728設備拓撲示意 841438817、網管平臺設備 846676設備介紹 8422512 8524917設備拓撲示意 8629671第三部分：高頻漏洞預防與處置 8722701、XSS漏洞處置方案 886436 886971XSS 8823280預防措施 8928119 904924 9019504 907071 9175192、SQL漏洞處置方案 9127427 9124384SQL 9210082 9427517 9427605 9424133 9424633 95295683、弱口令處置方案 9516244 955807 9614954 96742 9616025 9631617 969846 97111324、任意文件上傳處置方案 97189204.1 97267804.2 98223474.3 98165834.4 99250634.5 99110724.6 99145234.7 100175715、未授權訪問漏洞處置方案 10128944 10129648 10110797 1011834 10231780 1025333 10220883 103322156、反序列化遠程代碼執行漏洞處置方案 10311459 10313126 1046812 1045611 10427194 10419463 10513866 10515527、信息泄露處置方案 10629852 10612975 10611782 10725405 10713844 10728046 10724787 108PAGEPAGE12第一部分：網絡安全防護要求//1、安全通用要求機房物理環境要求防火本項要求包括：（b）應設置冗余或并行的電力電纜線路為計算機系統供電；（d）應提供應急供電設施。實現方式：配備屏蔽機柜或屏蔽機房，同時建議部署動環系統。網絡通信環境要求實現方式：科學合理劃分網絡區域，并采用可信根芯片或硬件。//當檢測到攻擊行為時，記錄攻擊源IP實現方式：在邊界區域配置必要的安全設備。應用程序。實現方式：對設備定期巡檢，及時更新策略。數據安全要求系統及安全設備管理要求實現方式：配置安全管理中心SOC。安全管理制度要求(a(c)應形成由安全策略、管理制度、操作規程、記錄表單等構成的全面的安全管理制度體系。(a實現方式：對安全管理制度做好核查記錄。安全管理機構要求(c)應建立外聯單位聯系列表，包括外聯單位名稱、合作內容、聯系人和聯系方式等信息。實現方式：做好安全檢查表格，安全檢查記錄，安全檢查報告等臺賬。安全管理人員錄用本項要求包括：實現方式：外部人員簽字的保密協議，明確其保密義務。安全建設管理要求實現方式：按要求對系統進行等級保護測試。軟件開發安全要求(a)應在軟件交付前檢測其中可能存在的惡意代碼；(b)應保證開發單位提供軟件設計文檔和使用指南；(c)應保證開發單位提供軟件源代碼，并審查軟件中可能存在的后門和隱蔽信道。等進行清點；實現方式：編制交付清單、技術培訓相關文檔、指導維護的文檔。安全運維管理要求(a儲等進行規范化管理。（感數據；(a)應識別需要定期備份的重要業務信息、系統數據及軟件系統等；(b)應規定備份信息的備份方式、備份頻度、存儲介質、保存期等；(c)應根據數據的重要性和數據對系統運行的影響，制定數據的備份策略和恢復策略、備份程序和回復程序等。因，收集證據，記錄處理過程，總結經驗教訓；確；如可能涉及對敏感信息的訪問、處理、存儲要求，對IT2、云計算安全擴展要求安全物理位置應保證云計算基礎設施位于中國境內。安全通信網絡(a)應保證云計算平臺不承載高于其安全保護等級的業務應用系統；(b)應實現不同云服務客戶虛擬網絡之間的隔離；務戶可依據全標和 強訪間制規確定體對體的訪；議換或信協隔離的數交換式，證云服客戶以根業務求 自選擇界數交換式；安全區域邊界(a)應在虛擬化網絡邊界部署訪問控制機制，并設置訪問控制規則；(b)應在不同等級的網絡區域邊界部署訪間控制機制，設置訪問控制規則。計，至少包括虛擬機刪除、虛擬機重啟；(a)應保證虛擬機所使用的內存和存儲空間回收時得到完全清除；(b)云服務客戶刪除業務應用數據時，云計算平臺應將云存儲中所有副本刪除。安全管理中心(a)應能對物理資源和虛擬資源按照策略做統一管理調度與分配；(b)應保證云計算平臺管理流蜇與云服務客戶業務流量分離；安全建設管理安全運維管理3、物聯網安全擴展要求安全物理環境（如溫濕度傳感器不能安裝在陽光直射區域）。（）。安全區域邊界安全計算環境（））安全運維管理TCP/IP4、工業控制系統安全擴展要求安全物理環境(a安全通信網絡在工業控制系統內使用廣域網進行控制指令或相關數據交換的應采用加密認證技術手段實現身份認證、訪問控制和數據加密。安全區域邊界E-Mail,WebTelnetRlogin、FTP提供進行安全計算環境(a)控制設備自身應實現相應級別安全通用要求提出的身份鑒別、訪USB工業控制系統重要設備應通過專業機構的安全性檢測后方可采購使用。省級、補丁安裝管理，嚴防病毒、木馬等惡意代碼侵入。5、電子政務外網要求落實網絡安全主體責任（加強電子政務外網接入管理排查和評估工作，及時采取針對性整改措施，切實消除安全隱患，單位做好電子政務外網網絡安全等級保護工作第二部分：主要網絡安全設備VPN圖3.1標準網絡拓撲示意圖PAGEPAGE1001、防火墻設備設備介紹也稱防護墻，是由CheckPointNtGetnFelNGFel，設備功能如Internet）設備拓撲示意圖3.2防火墻設備部署方式2、網閘設備設備介紹（GAP）設備功能設備拓撲示意圖3.3網閘設備部署方式3、漏洞掃描系統設備設備介紹web設備功能種多樣的安全產品和技術之間做出取舍。配備網絡漏洞掃描/網絡評估系統可以進行安全規劃評估和成效檢驗網絡的安全系統建設方案和建設成效評估。//重大網絡安全事件前網絡漏洞掃描/網絡評估系統能夠幫助用戶及時的找出網絡中存在的隱患和漏洞，幫助用戶及時的彌補漏洞。設備拓撲示意圖3.4漏掃系統備部署方式4、入侵防御系統設備（IPS）設備介紹Intrusion-preventionsystem,簡稱IPS（IPS設備功能在ISO/OSIOSI為了彌補防火墻和防病毒軟件二者在第四到第五層之間留下的空檔，幾年前,工業界已經有入侵檢測系統(IDS:IntrusionDetectionIRSIntrusionResponseSystems設備拓撲示意入侵檢測系統部署在服務器區域前端,能夠保證所有服務器流量從本設備經過。圖3.5入侵防御系統設備部署方式5、Web應用防火墻設備（WAF）設備介紹WebWebApplicationFirewall,簡稱WAF決諸如防火墻一類傳統設備束手無策的WebWebWAFWeb設備功能WEBWEB于一體的WEBWEB度來看可以把WAFHTTPIDSWAFWAF總體來說，Web應用防火墻的具有以下四大個方面的功能：審計功能：用來截獲所有HTTP數據或者僅僅滿足某些規則的會話。Web架構/網絡設計功能：當運行在反向代理模式，他們被用來分配職能，集中控制，虛擬基礎結構等。WebWeb不僅能夠屏蔽WEBWEB1、事前主動防御，智能分析應用缺陷、屏蔽惡意請求、防范網頁篡改、阻斷應用攻擊，全方位保護WEB應用。2P2DR3、事后行為審計，深度挖掘訪問行為、分析攻擊數據、提升應用價值，為評估安全狀況提供詳盡報表。4、面向客戶的應用加速，提升系統性能，改善WEB6、面向服務的負載均衡，擴展服務能力，適應業務規模的快速壯大。設備拓撲示意Webweb圖3.6Web應用防火墻設備部署方式6、運維審計系統設備（堡壘機）設備介紹設備功能單點登錄功能：支持對Windows、LinuxUnixkey設備拓撲示意壘機冗余部署,部署在網絡安全管理區域，通過VPN做策略限制，只允許堡壘機IP圖3.7運維審計系統設備部署方式7、上網行為管理設備設備介紹設備功能設備拓撲示意圖3.8上網行為管理設備部署方式8、虛擬專用網絡設備（VPN）設備介紹VPN(virtualprivatenetworkVPNVPNVPN種：PPTP、L2TPIPSec。常用VPNSSLVPN(以HTTPS為基礎的VPN技術)和IPSecVPN(基于IPSec協議的VPN技術，由IPSec協議提供隧道安全保障)。設備功能VPNVPN的解決方法就是在內網中架設一臺VPNVPNVPN上VPNVPN設備拓撲示意圖3.9虛擬專用網絡設備部署方式9、防毒墻設備介紹SQLSlammer設備功能\h網\h（、\h蠕蟲\h到服設備拓撲示意圖3.10防毒墻設備部署方式10、應用主機綜合安全防護軟件軟件介紹該系統采用C/S與B/SPCWindowsWebWeb軟件功能web測與防護CCSQLXSS和web設備拓撲示意軟件部署分為云中心部署和Agent部署兩個部分。圖3.11應用主機綜合安全防護軟件部署方式11、數據庫審計設備軟件介紹（簡稱DBAudit）軟件功能URL、客戶端的IP、請通過對不同數據庫的SQL語義分析，提取出SQL中相關的要素（用SQL）實時SQL靈活的策略定制：根據登錄用戶、源IP（分SQLSQLSQLSyslog設備拓撲示意任何影響。圖3.12數據庫審計設備部署方式12、日志審計設備軟件介紹日志審計系統是用于全面收集企業IT（包軟件功能時狀態進行監控，支持查看CPUWindows/Linux平臺日志以及自定義等日志；集器的信息展示與管理以及Agent等多種日志采集方式；支持IPv4、IPv6日志采集、日志存儲：提供原始日志的存儲，可自定義存儲周期，支持FTP日志備份以及NFS網絡文件\h共享存儲等多種存儲擴展方式日志轉發：支持原始日志、范式化日志轉發表、周期性任務報表等方式；支持報表logo設備拓撲示意圖3.13日志審計設備部署方式13、服務器密碼機設備介紹設備功能服務器密碼機具有如下主要功能：密鑰生成：密碼機可提供各類型密鑰對的生成功能；非對稱密碼運算：密碼機可提供基于SM2、RSA、DSA、ECDSA、SM9、EdDSA等算法的簽名/驗簽、加密/解密、密鑰協商等功能；SM1SM4SM7SSF33DES/3DES、AES消息鑒別碼的產生及驗證：密碼機可提供基于SM1、SM4、SM7、SSF33、DES/3DES、AES等算法的CBC-MAC、CMAC的產生及驗證；雜湊密碼運算：密碼機可提供基于SM3、SHA1、SHA2、MD5等算法的雜湊運算功能；消息認證碼的產生：密碼機可提供基于SM3SHA1/SHA2的HMAC隨機數生成：密碼機可提供基于雙WNG8物理隨機源的隨機數生成功能。設備拓撲示意服務器密碼機旁路部署通過API圖3.14服務器密碼機設備部署方式14、密鑰管理系統設備介紹設備功能密鑰管理系統具有如下主要功能：等操作。HSM多種算法密鑰管理：支持SM4、AES、3DES等對稱算法密鑰的生成與管理；支持SM2、RSA、ECDSA等非對稱算法密鑰的生成與管理；支持HMAC-SM3、HMAC-SHA1等密鑰的生成與管理。SSL密鑰用戶名和口令及wrappingkeyKMIP和RESTGM/T0018JCEPKCS#11和RESTSSL備份//Web可下載或配置自動導出到備份服務器進行妥善保存。安全簡便的WebWeb數據庫加密MySQL、Oracle、SQLServer、DB2大數據平臺加密數據庫加密MySQL、Oracle、SQLServer、DB2大數據平臺加密ApacheHadoop存儲服務器加密Windows&Linux文件系統加密；Windows&Linux磁盤加密；NAS、SAN、GPFS網絡文件系統加密；NetAPP存儲加密。虛擬服務器加密Vsphere、Openstack設備拓撲示意密鑰管理系統旁路部署通過API圖3.15密鑰管理系統部署方式15、簽名驗簽系統PKI（PKCS#1PKCS#7Attach/Detach、XML）；設備功能簽名驗簽系統具有如下主要功能：CRLOCSP數字簽名/驗證：簽名驗簽系統可提供基于SM2、RSA等算法的PKCS#1簽名/驗證、PKCS#7Attached簽名/驗證、P7Detached簽名/PKCS#7GM/T0010數字信封加密和解密：簽名驗簽系統可提供基于SM2、RSAPKCS#7GM/T0010SM2、RSA設備拓撲示意簽名驗簽系統旁路部署通過API圖3.16簽名驗簽系統部署方式16、態勢感知系統設備介紹設備功能設備拓撲示意圖3.17態勢感知設備部署方式17、網管平臺設備設備介紹()WLANGPON一體化設備管理：設備信息、告警、關鍵KPI、硬件部件等信息集成呈現?？梢暬O控場景化監控：場景化DASHBOARD和大屏監控，全方位掌握ICT系統狀態。E2E故障監控：網絡質量診斷、視頻質量診斷技術等故障診斷工具。智能化分析滿足日常所需。設備拓撲示意圖3.18網管平臺設備部署方式第三部分：高頻漏洞預防與處置1、XSS漏洞處置方案跨站腳本攻擊（XSS）對于反射和DOM的影響是中等的，而對于存儲的XSS，XSS的影響更為嚴重，譬如在受攻擊者的瀏覽器上執行遠程代碼，例如：竊取憑證和會話或傳遞惡意軟件等.跨站腳本攻擊（XSS）大致分為以下類型：反射式API戶輸入，作為HTML受害者的瀏覽器中執行任意的HTMLJavaScript存儲式XAIXSS基于DOMAPIJavaScriptAPI。XSSXSS攻擊主要分為兩大類：一類是來自內部的攻擊、一類是來自webSQLInjectionXSSXSS常見的攻擊手法：cookiejavascriptajaxjavaScripthttphttpscriptscript.src預防措施對輸入到HTMLurlhtmlscriptonerrorsrc、javascript、onload、expression現象一：查看流量是否存下惡意的JS代碼現象二：流量是否存在一些與業務無關的相關字符處置一些危險的js恢復2、SQL漏洞處置方案（SQL即是指\hwebweb\hSQL\h數據庫注入攻擊（SQL注入）大致分為以下類型：基于布爾的盲注:：因為webTrueFalse，所以布爾盲注就是注入后根據頁面返回值來得到數據庫信息（）web是否存在SQLunion多個\hSELECTselectorderby9基于錯誤信息的注入：此方法是在頁面沒有顯示位，但是echomysql_error();函數輸出了錯誤信息的時候方能使用。優點是limitechomysql_errorSQLSQLSQL碼對\hWEBpost/getwebSQLweb器執行惡意命令的過程?？梢酝ㄟ^一個例子簡單說明SQL假設某網站頁面顯示時URL\h?test=123，URL123test，這表明當前頁URL字符串構造SQLSQL的SQL的開發過程其實為SQLSQL常見的攻擊手法：ID、年齡、頁碼等，如果存在注入ASP、PHPidintid=8andstringJava、Cint引號來閉合。sql語句，sqlorselectfromunionwhere、order、sleep、&、&&、|、||等詞匯特征，在設置數據庫時給數據現象一：查看流量是否存下惡意的SQL語句代碼現象二：流量是否存在一些與業務無關的相關SQL命令字符處置在防火墻和入侵檢測系統做策略過濾對一些無關業務的字符和一些危險的SQL語句代碼做字符過濾和檢測?；謴?、弱口令處置方案weakpassword弱口令一般分為兩種：某些網站搭建好后會默認設置一些賬號密碼，由于管理員弱口令攻漏洞與個人習慣相關與意識相關，為了避免忘記密碼，使用一個非常容易記住的密碼，或者是直接采用系統的默認密碼等，需要加強相關的網絡安全意識。對于不通的