《網(wǎng)絡(luò)安全建設(shè)方案》由會(huì)員分享，可在線閱讀，更多相關(guān)《網(wǎng)絡(luò)安全建設(shè)方案（22頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

網(wǎng)絡(luò)安全建設(shè)方案 2016 年 7 月 1 前言 1 1 1 方案涉及范圍 1 1 2 方案參考標(biāo)準(zhǔn) 2 1 3 方案設(shè)計(jì)原則 3 2 安全需求分析 4 2 1 符合等級(jí)保護(hù)的安全需求 4 2 1 1 等級(jí)保護(hù)框架設(shè)計(jì) 4 2 1 2 相應(yīng)等級(jí)的安全技術(shù)要求 5 2 2 自身安全防護(hù)的安全需求 5 2 2 1 物理層安全需求 5 2 2 2 網(wǎng)絡(luò)層安全需求 6 2 2 3 系統(tǒng)層安全需求 7 2 2 4 應(yīng)用層安全需求 8 3 網(wǎng)絡(luò)安全建設(shè)內(nèi)容 8 3 1 邊界隔離措施 10 3 1 1 下一代防火墻 10 3 1 2 入侵防御系統(tǒng) 12 3 1 3 流量控制系統(tǒng) 12 3 1 4 流量清洗系統(tǒng) 14 3 2 應(yīng)用安全措施 14 3 2 1 WEB 應(yīng)用防火墻 14 3 2 2 上網(wǎng)行為管理系統(tǒng) 15 3 2 3 內(nèi)網(wǎng)安全準(zhǔn)入控制系統(tǒng) 16 3 3 安全運(yùn)維措施 16 3 3 1 堡壘機(jī) 16 3 3 2 漏洞掃描系統(tǒng) 17 3 3 3 網(wǎng)站監(jiān)控預(yù)警平臺(tái) 18 3 3 4 網(wǎng)絡(luò)防病毒系統(tǒng) 19 3 3 5 網(wǎng)絡(luò)審計(jì)系統(tǒng) 20 第 3 頁(yè) 共 22 頁(yè) 1 前言 1 1 方案涉及范圍 方案設(shè)計(jì)中的防護(hù)重點(diǎn)是學(xué)校中心機(jī)房的服務(wù)器區(qū)域 這些服務(wù)器承載了 學(xué)校內(nèi)部的所有業(yè)務(wù)系統(tǒng) 因此是需要重點(diǎn)防護(hù)的信息資產(chǎn) 學(xué)校目前采取了數(shù)據(jù)大集中的模式 將所有的業(yè)務(wù)數(shù)據(jù)集中在中心機(jī)房 數(shù)據(jù)大集中模式將導(dǎo)致數(shù)據(jù)中心的安全風(fēng)險(xiǎn)也很集中 因此必須對(duì)中心機(jī)房服 務(wù)器區(qū)域進(jìn)行重點(diǎn)防護(hù) 方案中還要對(duì)綜合網(wǎng)管區(qū)域 數(shù)據(jù)存儲(chǔ)區(qū)域 辦公區(qū)域進(jìn)行規(guī)劃和設(shè)計(jì) 納入到整體的安全防護(hù)體系內(nèi) 1 2 方案參考標(biāo)準(zhǔn) 本方案的主要規(guī)劃的重點(diǎn)內(nèi)容是網(wǎng)絡(luò)安全防護(hù)體系 規(guī)劃的防護(hù)對(duì)象以學(xué) 校數(shù)據(jù)中心為主 規(guī)劃的參考標(biāo)準(zhǔn)是等級(jí)保護(hù) 該方案的設(shè)計(jì)要點(diǎn)就是定級(jí)和 保障技術(shù)的規(guī)劃 針對(duì)教育部和省教育廳對(duì)等級(jí)保護(hù)的相關(guān)要求 本方案將主 要參考以下的標(biāo)準(zhǔn)進(jìn)行規(guī)劃 方案的建設(shè)思想方面 將嚴(yán)格按照湘教發(fā) 2011 33 號(hào)文件關(guān)于印發(fā) 湖 南省教育信息系統(tǒng)安全等級(jí)保護(hù)工作實(shí)施方案 的通知 該文件對(duì)計(jì)算機(jī)信息 系統(tǒng)的等級(jí)化保護(hù)提出了建設(shè)要求 是我省今后一段時(shí)期內(nèi)信息安全保障工作 的綱領(lǐng)性文件 文件中對(duì)我省教育行業(yè)信息安全保障工作指出了總體思路 系統(tǒng)定級(jí)方面 參考 信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南 該指南適用于黨 政機(jī)關(guān)網(wǎng)絡(luò)于信息系統(tǒng) 其中涉及國(guó)家秘密的網(wǎng)絡(luò)與信息系統(tǒng) 按照國(guó)家有關(guān) 保密規(guī)定執(zhí)行 其他網(wǎng)絡(luò)與信息系統(tǒng)定級(jí)工作參考本指南進(jìn)行 本指南對(duì)定級(jí) 工作的原則 職責(zé)分工 工作程序 定級(jí)要素和方法進(jìn)行了描述 并對(duì)網(wǎng)絡(luò)與 信息系統(tǒng)提出了最低安全等級(jí)要求 高等職業(yè)學(xué)校應(yīng)不低于最低安全等級(jí)要求 在本項(xiàng)目中我們建議學(xué)校數(shù)據(jù)中心可按照二級(jí)的建設(shè)目標(biāo)進(jìn)行規(guī)劃 本方案參考的指南和標(biāo)準(zhǔn)具體見下表 第 4 頁(yè) 共 22 頁(yè) 安全要素 遵循標(biāo)準(zhǔn) 指導(dǎo)思想 中辦 2003 27 號(hào)文件 國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng) 信息安全保障工作的意見 信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南 等級(jí)保護(hù) 電子政務(wù)信息安全保障技術(shù)框架 GB 18336 信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評(píng)估準(zhǔn)則 技術(shù)方面 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求 試用稿 1 3 方案設(shè)計(jì)原則 學(xué)校數(shù)據(jù)中心安全體系的建設(shè)應(yīng)遵循國(guó)家相關(guān)信息安全保障體系建設(shè)的總 體原則 按照統(tǒng)一規(guī)劃 統(tǒng)一標(biāo)準(zhǔn) 適度超前 分級(jí) 分階段實(shí)施 互聯(lián)互通 資源共享 安全保密 以需求為導(dǎo)向 以應(yīng)用促發(fā)展的原則進(jìn)行建設(shè) 本方案 將嚴(yán)格遵從以下的建設(shè)原則 重點(diǎn)保護(hù)原則 本次項(xiàng)目建設(shè) 屬于學(xué)校信息安全保障體系的基礎(chǔ)防護(hù)平臺(tái)建設(shè)階段 以 基礎(chǔ)性保障為準(zhǔn) 同時(shí)對(duì)中心機(jī)房進(jìn)行重點(diǎn)防護(hù) 根據(jù) 信息系統(tǒng)安全等級(jí)保 護(hù)定級(jí)指南 本方案針對(duì)重要的核心部位嚴(yán)格按照二級(jí)要求進(jìn)行規(guī)劃 確保重 要的信息資產(chǎn)能夠得到重點(diǎn)的防護(hù) 具備相當(dāng)?shù)目构裟芰?分布實(shí)施原則 數(shù)據(jù)中心建設(shè)的效果將直接影響學(xué)校的信息化建設(shè) 特別是安全保障體系 的建設(shè) 因此在規(guī)劃階段必須通盤考慮 實(shí)施的時(shí)候可按照階段進(jìn)行分布實(shí)施 確保學(xué)校信息化建設(shè) 以及安全保障體系的建設(shè)能夠有序開展 并且前期的工 作能夠?yàn)楹笃诘慕ㄔO(shè)打好基礎(chǔ) 避免重復(fù)建設(shè) 管理與技術(shù)并進(jìn)的原則 學(xué)校數(shù)據(jù)中心是一個(gè)高技術(shù)的系統(tǒng)工程 要實(shí)現(xiàn)各業(yè)務(wù)系統(tǒng)的功能和性能 又要采取先進(jìn)的安全技術(shù) 還要對(duì)已建立的系統(tǒng)實(shí)施有效的安全管理 在進(jìn)行 安全技術(shù)基礎(chǔ)設(shè)施建設(shè)時(shí)應(yīng)注意建立配套的運(yùn)行管理機(jī)制和安全規(guī)章制度 第 5 頁(yè) 共 22 頁(yè) 經(jīng)濟(jì)實(shí)用性原則 對(duì)學(xué)校數(shù)據(jù)中心安全體系設(shè)計(jì)時(shí) 既要考慮安全風(fēng)險(xiǎn)和需求 又要考慮系 統(tǒng)建設(shè)的成本 在保證整體安全的前提下 盡可能的減少投資規(guī)模 壓縮開支 優(yōu)化系統(tǒng)設(shè)計(jì) 合理進(jìn)行系統(tǒng)配置 所采用的產(chǎn)品 要便于操作 實(shí)用高效 標(biāo)準(zhǔn)化原則 技術(shù)的標(biāo)準(zhǔn)化是信息系統(tǒng)建設(shè)的基本要求 也是電子化和信息化的前提 學(xué)校數(shù)據(jù)中心構(gòu)成復(fù)雜 應(yīng)用多種多樣 為了保證信息的安全互通互連 確保 安全保障體系建設(shè)的典型意義和全面推廣應(yīng)用價(jià)值 必須嚴(yán)格遵循國(guó)家和有關(guān) 部門關(guān)于信息系統(tǒng)安全管理的規(guī)定及建設(shè)規(guī)范 按照統(tǒng)一的標(biāo)準(zhǔn)進(jìn)行設(shè)計(jì) 適度安全原則 任何信息系統(tǒng)都不能做到絕對(duì)的安全 學(xué)校數(shù)據(jù)中心也不例外 因此 在 安全體系設(shè)計(jì)時(shí) 要在安全需求 安全風(fēng)險(xiǎn)和安全成本之間進(jìn)行平衡和折中 過多的安全要求必將造成安全成本的迅速增加和運(yùn)行的復(fù)雜性 統(tǒng)一規(guī)劃原則 信息安全保障體系的建設(shè)必須適應(yīng)其信息化的要求 必須兼顧核心業(yè)務(wù)和 非核心業(yè)務(wù)的信息化需求 從安全技術(shù)保障 安全組織保障和安全運(yùn)營(yíng)保障等 角度出發(fā) 為學(xué)校規(guī)劃全面的信息安全保障體系 2 安全需求分析 從安全建設(shè)的角度 本方案認(rèn)為學(xué)校的安全建設(shè)來自兩個(gè)方面 一是從符 合國(guó)家政策的角度 需要按照公安部的相關(guān)標(biāo)準(zhǔn) 按照分級(jí) 分域的建設(shè)思路 進(jìn)行總體的安全規(guī)劃和設(shè)計(jì) 另外也需要從自身安全防護(hù)的角度 分析對(duì)抗外 部惡意攻擊 防范內(nèi)部誤操作行為 規(guī)避物理安全風(fēng)險(xiǎn) 強(qiáng)化安全管理等方面 的建設(shè)需求 具體內(nèi)容如下 第 6 頁(yè) 共 22 頁(yè) 2 1 符合等級(jí)保護(hù)的安全需求 2 1 1 等級(jí)保護(hù)框架設(shè)計(jì) 本方案中 針對(duì)學(xué)校數(shù)據(jù)中心 按照功能類型的方式進(jìn)行區(qū)域的劃分 根 據(jù)信息資產(chǎn)重要性的差別 劃分為服務(wù)器區(qū)域 辦公區(qū)域 運(yùn)維區(qū)域 數(shù)據(jù)存 儲(chǔ)區(qū)域等 各區(qū)域內(nèi)設(shè)備類型的差別 以及對(duì)業(yè)務(wù)應(yīng)用影響的區(qū)別 導(dǎo)致各個(gè) 區(qū)域應(yīng)該采用不同的安全防護(hù)要求 其中 服務(wù)器區(qū)域內(nèi)主要是各類應(yīng)用服務(wù)器 包括數(shù)據(jù)庫(kù)服務(wù)器 各類業(yè) 務(wù)系統(tǒng)等 該區(qū)域是數(shù)據(jù)中心最重要的信息資產(chǎn) 必須重點(diǎn)進(jìn)行防護(hù) 運(yùn)維區(qū)域內(nèi)主要是目前已經(jīng)采用的網(wǎng)絡(luò)管理軟件 包括運(yùn)行網(wǎng)管軟件的服 務(wù)器和數(shù)據(jù)庫(kù)系統(tǒng) 在本期項(xiàng)目建設(shè)中 還可以將一些軟件的安全防護(hù)系統(tǒng)部 署在該區(qū)域內(nèi) 比如堡壘機(jī) 漏洞掃描系統(tǒng)等 其重要性僅次于服務(wù)器區(qū)域 數(shù)據(jù)存儲(chǔ)區(qū)域則是方案建議規(guī)劃出的一個(gè)區(qū)域 作為綜合網(wǎng)管區(qū)域的本地 數(shù)據(jù)災(zāi)備中心 該區(qū)域主要部署了磁盤柜等存儲(chǔ)設(shè)備 由于在物理上該區(qū)域與 服務(wù)器區(qū)域緊密相連 因此其重要性也是比較高的 辦公區(qū)域 包括學(xué)校的辦公人員的桌面用機(jī) 該區(qū)域的設(shè)備遭到破壞后 對(duì)業(yè)務(wù)系統(tǒng)不會(huì)造成大面積的影響 因此重要性最低 但是該區(qū)域要做好防病 毒 補(bǔ)丁管理 行為管理等方面 要防止該區(qū)域的設(shè)備被攻擊者利用 作為進(jìn) 一步攻擊其他區(qū)域的 跳板 2 1 2 相應(yīng)等級(jí)的安全技術(shù)要求 綜合參考 信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南 我們可將學(xué)校網(wǎng)絡(luò)和信息系 統(tǒng)劃分為網(wǎng)絡(luò)基礎(chǔ)設(shè)施 業(yè)務(wù)處理平臺(tái)和應(yīng)用系統(tǒng)三個(gè)層次 其中 業(yè)務(wù)處理 平臺(tái)包括了本地計(jì)算區(qū)域和區(qū)域邊界 對(duì)服務(wù)器區(qū)域的安全防護(hù)機(jī)制按照二級(jí) 的要求進(jìn)行建設(shè) 對(duì)應(yīng)用系統(tǒng)的安全防護(hù)機(jī)制按照二級(jí)的要求進(jìn)行建設(shè) 其他 區(qū)域可參考此標(biāo)準(zhǔn) 根據(jù)自身重要性的區(qū)別 適當(dāng)調(diào)整技術(shù)要求 第 7 頁(yè) 共 22 頁(yè) 2 2 自身安全防護(hù)的安全需求 從自身安全防護(hù)的角度 我們認(rèn)為學(xué)校數(shù)據(jù)中心除了滿足相關(guān)標(biāo)準(zhǔn)以外 還需要考慮物理 終端 邊界 網(wǎng)絡(luò) 系統(tǒng)和管理方面的安全風(fēng)險(xiǎn) 并由此產(chǎn) 生了以下的安全需求 2 2 1 物理層安全需求 保證網(wǎng)絡(luò)信息系統(tǒng)各種設(shè)備的物理安全是保證整個(gè)網(wǎng)絡(luò)信息系統(tǒng)安全的基 礎(chǔ) 物理安全是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備 設(shè)施以及其他介質(zhì)免遭地震 水災(zāi) 火 災(zāi)等環(huán)境事故以及人為操作失誤或錯(cuò)誤及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞過程 它主要包括三個(gè)方面 環(huán)境安全 對(duì)系統(tǒng)所在環(huán)境的安全保護(hù) 如區(qū)域保護(hù)和災(zāi)難保護(hù) 參見 國(guó)家標(biāo)準(zhǔn) GB50173 93 電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范 國(guó)標(biāo) GB2887 89 計(jì)算 站場(chǎng)地技術(shù)條件 GB9361 88 計(jì)算站場(chǎng)地安全要求 設(shè)備安全 主要包括設(shè)備的防盜 防毀 防電磁信息輻射泄漏 防止線路 截獲 抗電磁干擾及電源保護(hù)等 介質(zhì)安全 包括信息系統(tǒng)數(shù)據(jù)所依賴的存儲(chǔ)介質(zhì)和傳輸介質(zhì)的安全 確保 不會(huì)因?yàn)槲锢斫橘|(zhì)的故障導(dǎo)致信息數(shù)據(jù)受損 2 2 2 網(wǎng)絡(luò)層安全需求 網(wǎng)絡(luò)是信息系統(tǒng)賴以存在的實(shí)體 離開了網(wǎng)絡(luò)平臺(tái) 信息的傳遞 業(yè)務(wù)的 開展將無從依托 因此如何保障網(wǎng)絡(luò)的安全 是構(gòu)建學(xué)校數(shù)據(jù)中心系統(tǒng)安全架 構(gòu)的基礎(chǔ)性工作 對(duì)于數(shù)據(jù)中心來講 網(wǎng)絡(luò)安全主要解決運(yùn)行環(huán)境的安全問題 對(duì)應(yīng)網(wǎng)絡(luò)層安全威脅 網(wǎng)絡(luò)安全主要的技術(shù)手段包括訪問控制技術(shù) 加密傳輸 技術(shù) 檢測(cè)與響應(yīng)技術(shù)等 對(duì)照學(xué)校數(shù)據(jù)中心的實(shí)際情況 我們看到其存在以 下的安全需求 訪問控制需求 第 8 頁(yè) 共 22 頁(yè) 防范非法用戶的非法訪問 非法用戶的非法訪問也就是黑客或間諜的攻擊行為 在沒有任何防范措施 的情況下 網(wǎng)絡(luò)的安全主要是靠主機(jī)系統(tǒng)自身的安全 如用戶名及口令字這些 簡(jiǎn)單的控制 但對(duì)于用戶名及口令的保護(hù)方式 對(duì)有攻擊目的的人而言 根本 就不是一種障礙 他們可以通過對(duì)網(wǎng)絡(luò)上信息的監(jiān)聽 得到用戶名及口令或者 通過猜測(cè)用戶及口令 這都將不是難事 而且可以說只要花費(fèi)很少的時(shí)間 因 此 要采取一定的訪問控制手段 防范來自非法用戶的攻擊 嚴(yán)格控制只有合 法用戶才能訪問合法資源 防范合法用戶的非授權(quán)訪問 合法用戶的非授權(quán)訪問是指合法用戶在沒有得到許可的情況下訪問了他本 不該訪問的資源 一般來說 每個(gè)成員的主機(jī)系統(tǒng)中 有一部份信息是可以對(duì) 外開放 而有些信息是要求保密或具有一定的隱私性 外部用戶 指來自外部 網(wǎng)絡(luò)的合法用戶 被允許正常訪問的一定的信息 但他同時(shí)通過一些手段越權(quán) 訪問了別人不允許他訪問的信息 因此而造成他人的信息泄密 所以 還得加 密訪問控制的機(jī)制 對(duì)服務(wù)及訪問權(quán)限進(jìn)行嚴(yán)格控制 防范假冒合法用戶的非法訪問 從管理上及實(shí)際需求上是要求合法用戶可正常訪問被許可的資源 既然合 法用戶可以訪問資源 那么 入侵者便會(huì)在用戶下班或關(guān)機(jī)的情況下 假冒合 法用戶的 IP 地址或用戶名等資源進(jìn)行非法訪問 因此 必需從訪問控制上做到 防止假冒而進(jìn)行的非法訪問 入侵防御需求 防火墻是實(shí)現(xiàn)網(wǎng)絡(luò)安全最基本 最經(jīng)濟(jì) 最有效的措施之一 防火墻可以 對(duì)所有的訪問進(jìn)行嚴(yán)格控制 允許 禁止 報(bào)警 但網(wǎng)絡(luò)配置了防火墻卻不一 定安全 防火墻不可能完全防止有些新的攻擊或那些不經(jīng)過防火墻的其它攻擊 因?yàn)榫W(wǎng)絡(luò)安全是整體的 動(dòng)態(tài)的 不是單一產(chǎn)品能夠完全實(shí)現(xiàn) 所以確保網(wǎng)絡(luò) 更加安全必須配備入侵檢測(cè)和響應(yīng)系統(tǒng) 對(duì)透過防火墻的攻擊進(jìn)行檢測(cè)并做相 應(yīng)反應(yīng) 記錄 報(bào)警 阻斷 第 9 頁(yè) 共 22 頁(yè) 2 2 3 系統(tǒng)層安全需求 安全漏洞檢測(cè)和修補(bǔ)需求 網(wǎng)絡(luò)系統(tǒng)存在安全漏洞 如安全配置不嚴(yán)密等 和操作系統(tǒng)安全漏洞等是 黑客等入侵者攻擊屢屢得手的重要因素 入侵者通常都是通過一些程序來探測(cè) 網(wǎng)絡(luò)中系統(tǒng)中存在的一些安全漏洞 然后通過發(fā)現(xiàn)的安全漏洞 采取相就技術(shù) 進(jìn)行攻擊 因此 必需配備網(wǎng)絡(luò)安全掃描系統(tǒng)和系統(tǒng)安全掃描系統(tǒng)檢測(cè)網(wǎng)絡(luò)中 存在的安全漏洞 并采用相應(yīng)的措施填補(bǔ)系統(tǒng)漏洞 對(duì)網(wǎng)絡(luò)設(shè)備等存在的不安 全配置重新進(jìn)行安全配置 安全加固需求 對(duì)關(guān)鍵的服務(wù)器主機(jī)系統(tǒng)進(jìn)行安全加固 提供用戶認(rèn)證 訪問控制和審計(jì) 嚴(yán)格控制用戶對(duì)服務(wù)器系統(tǒng)的訪問 禁止黑客利用系統(tǒng)的開口隱患和安全管理 功能的不足之處進(jìn)行非法訪問 避免內(nèi)部用戶的濫用 2 2 4 應(yīng)用層安全需求 防病毒需求 針對(duì)防病毒危害性極大并且傳播極為迅速的特點(diǎn) 必須配備涵蓋客戶端 服務(wù)器 郵件系統(tǒng) 互聯(lián)網(wǎng)網(wǎng)關(guān)的整套防病毒體系 實(shí)現(xiàn)全網(wǎng)的病毒安全防護(hù) 徹底切斷病毒繁殖和傳播的途徑 防垃圾郵件需求 必須采用有效的手段防范互聯(lián)網(wǎng)垃圾郵件進(jìn)入網(wǎng)絡(luò)內(nèi)部郵件服務(wù)器系統(tǒng) 干擾正常業(yè)務(wù)通信 身份認(rèn)證需求 必須采用必要的用戶身份認(rèn)證和授權(quán)管理機(jī)制 對(duì)網(wǎng)絡(luò)用戶身份的真實(shí)性 合法性進(jìn)行集中的控制 數(shù)據(jù)安全需求 對(duì)重要的業(yè)務(wù)數(shù)據(jù)和管理數(shù)據(jù)應(yīng)提供可靠的備份和恢復(fù)機(jī)制 防止因非法 第 10 頁(yè) 共 22 頁(yè) 攻擊或意外事件造成數(shù)據(jù)的破壞或丟失 3 網(wǎng)絡(luò)安全建設(shè)內(nèi)容 建議在本期項(xiàng)目的建設(shè)中 重點(diǎn)從網(wǎng)絡(luò)安全 系統(tǒng)安全 應(yīng)用安全 管理 安全的角度出發(fā) 進(jìn)行建設(shè) 同時(shí)在本期項(xiàng)目成功建設(shè)的基礎(chǔ)上 再進(jìn)一步向 物理安全 組織體系 運(yùn)行體系方面進(jìn)行擴(kuò)展 實(shí)現(xiàn)全面的安全策略 具體的 實(shí)施方案可參考下圖表示 圖 3 1 學(xué)校網(wǎng)絡(luò)安全拓?fù)涫疽鈭D 在本方案中 在互聯(lián)網(wǎng)接入邊界處部署防火墻系統(tǒng) 形成層次化的訪問控 制和區(qū)域隔離 特別針對(duì)服務(wù)器區(qū)域 利用安全邊界接入平臺(tái)技術(shù)加強(qiáng)訪問控 制力度 有效保障重要的應(yīng)用系統(tǒng)不受到非法的訪問 此外 在服務(wù)器接入邊界處部署入侵防御系統(tǒng) 一方面有效抵抗拒絕服務(wù) 掃描 惡意代碼 木馬 蠕蟲等網(wǎng)絡(luò)攻擊行為 降低來自互聯(lián)網(wǎng)和校園內(nèi)部的 第 11 頁(yè) 共 22 頁(yè) 威脅與風(fēng)險(xiǎn) 在防火墻邊界隔離的基礎(chǔ)上 部署入侵防御系統(tǒng)可以進(jìn)行深度的 檢測(cè)與防護(hù) 提升系統(tǒng)的檢測(cè)力度 同時(shí) 還在互聯(lián)網(wǎng)接入邊界處部署流量控制系統(tǒng) 根據(jù)應(yīng)用和用戶進(jìn)行帶 寬的分配與監(jiān)控 在 WEB 網(wǎng)站前端部署一臺(tái) WEB 應(yīng)用防火墻 防范來自互聯(lián)網(wǎng)對(duì) WEB 網(wǎng) 站的攻擊行為 在互聯(lián)網(wǎng)接入邊界處部署上網(wǎng)行為管理系統(tǒng) 規(guī)范辦公區(qū)人員的互聯(lián)網(wǎng)行 為 保障核心業(yè)務(wù)系統(tǒng)的流量帶寬 同時(shí) 還在互聯(lián)網(wǎng)接入邊界處部署流量清洗系統(tǒng) 對(duì)網(wǎng)絡(luò)中的異常流量進(jìn) 行分析和清洗 保障有限帶寬的合理化利用 在內(nèi)網(wǎng)署一套安全準(zhǔn)入控制系統(tǒng) 加強(qiáng)網(wǎng)絡(luò)安全管理及內(nèi)部 PC 的安全管 理 部署堡壘機(jī)來對(duì)管理員和第三方維護(hù)人員進(jìn)行設(shè)備維護(hù)時(shí)進(jìn)行審計(jì)管理 部署漏洞掃描系統(tǒng)對(duì)全網(wǎng)的服務(wù)器 網(wǎng)絡(luò)設(shè)備 安全設(shè)備和終端進(jìn)行檢測(cè) 發(fā)現(xiàn)網(wǎng)絡(luò)中存在的安全漏洞 并采用相應(yīng)的措施填補(bǔ)系統(tǒng)漏洞 參考圖 3 1 針對(duì)學(xué)校數(shù)據(jù)中心 采取的主要防護(hù)措施包括 3 1 邊界隔離措施 3 1 1 下一代防火墻 防火墻是近年發(fā)展起來的重要安全技術(shù) 其主要作用是在網(wǎng)絡(luò)入口點(diǎn)檢查 網(wǎng)絡(luò)通信 根據(jù)用戶設(shè)定的安全規(guī)則 在保護(hù)內(nèi)部網(wǎng)絡(luò)安全的前提下 提供內(nèi) 外網(wǎng)絡(luò)通信 起到安全域劃分 訪問控制 NAT 轉(zhuǎn)換和殺毒 漏洞檢測(cè)等防護(hù) 的作用 同時(shí)該防火墻還作為 VPN 網(wǎng)關(guān)為移動(dòng)辦公 BYOD 人員提供遠(yuǎn)程安全 連接 通過使用防火墻過濾不安全的服務(wù) 提高網(wǎng)絡(luò)安全和減少子網(wǎng)中主機(jī)的 風(fēng)險(xiǎn) 提供對(duì)系統(tǒng)的訪問控制 阻止攻擊者獲得攻擊網(wǎng)絡(luò)系統(tǒng)的有用信息 記 錄和統(tǒng)計(jì)網(wǎng)絡(luò)利用數(shù)據(jù)以及非法使用數(shù)據(jù) 攻擊和探測(cè)策略執(zhí)行 防火墻屬于 一種被動(dòng)的安全防御工具 設(shè)立防火墻的目的是保護(hù)一個(gè)網(wǎng)絡(luò)不受來自另一個(gè)網(wǎng)絡(luò)的攻擊 防火墻的 第 12 頁(yè) 共 22 頁(yè) 主要功能包括以下幾個(gè)方面 1 防火墻提供安全邊界控制的基本屏障 設(shè)置防火墻可提高內(nèi)部網(wǎng)絡(luò)安全 性 降低受攻擊的風(fēng)險(xiǎn) 2 防火墻體現(xiàn)網(wǎng)絡(luò)安全策略的具體實(shí)施 防火墻集成所有安全軟件 如口 令 加密 認(rèn)證 審計(jì)等 比分散管理更經(jīng)濟(jì) 3 防火墻強(qiáng)化安全認(rèn)證和監(jiān)控審計(jì) 因?yàn)樗羞M(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流都必須通 過防火墻 防火墻也能提供日志記錄 統(tǒng)計(jì)數(shù)據(jù) 報(bào)警處理 審計(jì)跟蹤等服務(wù) 4 防火墻能阻止內(nèi)部信息泄漏 防火墻實(shí)際意義上也是一個(gè)隔離器 即能 防外 又能防止內(nèi)部未經(jīng)授權(quán)用戶對(duì)外網(wǎng)的訪問 防火墻設(shè)備的部署 可實(shí)現(xiàn)以下功能 1 通過防火墻連接 隔離安全區(qū)域 通過對(duì)訪問請(qǐng)求的審核 我們隔離了內(nèi)部網(wǎng)絡(luò)同外部網(wǎng)絡(luò)連接 可以達(dá)到 保護(hù)脆弱的服務(wù) 控制對(duì)內(nèi)部的訪問 記錄和統(tǒng)計(jì)網(wǎng)絡(luò)利用數(shù)據(jù)以及非法使用 數(shù)據(jù)和策略執(zhí)行等功能 在有不安全網(wǎng)絡(luò)接入時(shí) 全部通信都受到防火墻的監(jiān) 控 通過防護(hù)墻的策略可以設(shè)置成相應(yīng)的保護(hù)級(jí)別 以保證系統(tǒng)的安全性 2 過濾網(wǎng)絡(luò)中不必要傳輸?shù)睦鴶?shù)據(jù) 防火墻是一種網(wǎng)關(guān)型的設(shè)備 各個(gè)區(qū)域之間的通信 可以通過防火墻的添 加 如果在其上添加一些策略 就可以過濾掉部分無用的信息 在網(wǎng)絡(luò)中只能 傳輸必要的應(yīng)用數(shù)據(jù) 3 利用防火墻的帶寬控制功能 調(diào)整鏈路的帶寬利用 防火墻是一種網(wǎng)關(guān)型的設(shè)備 而且防火墻具有帶寬控制的特性 可以依據(jù) 應(yīng)用來限制流量 來調(diào)整鏈路的帶寬 實(shí)現(xiàn)每個(gè)用戶 服務(wù)器的帶寬控制 提 高鏈路帶寬利用的效率 4 通過防火墻的保護(hù) 隱蔽內(nèi)部網(wǎng)絡(luò)信息 提高系統(tǒng)的安全性 使得各個(gè)內(nèi)網(wǎng)區(qū)不受到黑客的攻擊 黑客無法通過防火墻進(jìn)行掃描 攻擊 等非法動(dòng)作 可防止黑客通過外部網(wǎng)對(duì)重要服務(wù)器的 TCP UDP 的端口非法掃描 消除系統(tǒng)安全的隱患 可防止攻擊者通過外部網(wǎng)對(duì)重要服務(wù)器的源路由攻擊 IP 碎片包攻擊 DNS RIP ICMP 攻擊 SYN 攻擊 拒絕服務(wù)等多種攻擊 防 第 13 頁(yè) 共 22 頁(yè) 火墻還具有一定的入侵檢測(cè)功能 當(dāng)發(fā)現(xiàn)有繞過防火墻攻擊重要服務(wù)器時(shí) 防 火墻將自動(dòng)報(bào)警并根據(jù)策略進(jìn)行響應(yīng) 5 強(qiáng)大的應(yīng)用層控制 防火墻提供應(yīng)用級(jí)透明代理 可以對(duì)高層應(yīng)用 HTTP FTP SMTP POP3 NNTP 做了更詳細(xì)控制 如 HTTP 命令 GET POST HEAD 及 URL FTP 命令 GEI PUT 及文件控制 這對(duì) 于提高網(wǎng)絡(luò)中的應(yīng)用服務(wù)器的安全非常有意義 3 1 2 入侵防御系統(tǒng) 剛才提到防火墻實(shí)現(xiàn)的是不同安全域之間的訪問控制和管理 而入侵防御 系統(tǒng)實(shí)現(xiàn)的是對(duì)整個(gè)內(nèi)網(wǎng)的訪問控制 數(shù)據(jù)包深度過濾 漏洞攻擊防御 郵件 病毒過濾 報(bào)文完整性分析等功能 并提供更高的性能 更細(xì)的安全控制粒度 更深的內(nèi)容攻擊防御 更大的功能擴(kuò)展空間 更豐富的服務(wù)和協(xié)議支持 為網(wǎng) 絡(luò)提供完整的立體式網(wǎng)絡(luò)安全防護(hù) 入侵防御系統(tǒng)是在線部署在網(wǎng)絡(luò)中 提供主動(dòng)的 實(shí)時(shí)的防護(hù) 具備對(duì) 2 到 7 層網(wǎng)絡(luò)的線速 深度檢測(cè)能力 同時(shí)配合以精心研究 及時(shí)更新的攻擊特 征庫(kù) 即可以有效檢測(cè)并實(shí)時(shí)阻斷隱藏在海量網(wǎng)絡(luò)中的病毒 攻擊與濫用行為 也可以對(duì)分布在網(wǎng)絡(luò)中的各種流量進(jìn)行有效管理 從而達(dá)到對(duì)網(wǎng)絡(luò)架構(gòu)防護(hù) 網(wǎng)絡(luò)性能保護(hù)和核心應(yīng)用防護(hù) 第 14 頁(yè) 共 22 頁(yè) 3 1 3 流量控制系統(tǒng) 隨著互聯(lián)網(wǎng)的逐步發(fā)展 網(wǎng)上用戶和業(yè)務(wù)流量在不斷增長(zhǎng) 除傳統(tǒng)數(shù)據(jù)業(yè) 務(wù)外 網(wǎng)絡(luò)電話 網(wǎng)絡(luò)視頻 P2P 下載等新型網(wǎng)絡(luò)應(yīng)用使得骨干網(wǎng)絡(luò)中話音 視頻 點(diǎn)到點(diǎn)下載流量在呈幾何基數(shù)級(jí)膨脹趨勢(shì) 今天的互聯(lián)網(wǎng)用戶中 沒有 聽說或使用過Skype QQ MSN BT Emule PPLive等應(yīng)用的恐怕已經(jīng)是 極少數(shù) 網(wǎng)絡(luò)應(yīng)用繁榮的同時(shí) 網(wǎng)絡(luò)管理的難度也隨之增加 傳統(tǒng)的網(wǎng)絡(luò)設(shè)備 由于無法識(shí)別應(yīng)用層的流量信息 致使應(yīng)用級(jí)別的管控不到位 網(wǎng)絡(luò)管理的灰 色地帶不斷增加 主要表現(xiàn)在 網(wǎng)絡(luò)透明度降低 無法獲知網(wǎng)上的各種應(yīng)用及用戶準(zhǔn)確分布情況 無 法針對(duì)不同用戶 不同應(yīng)用設(shè)置差異化的管理策略 網(wǎng)絡(luò)資源濫用嚴(yán)重 難以進(jìn)行有效控制管理 如 觀看在線視頻 網(wǎng) 絡(luò)電視 在線影視 利用各種下載工具下載喜歡的音樂 影視等 致 使網(wǎng)絡(luò)鏈路經(jīng)常處于流量飽和的狀態(tài) 無法滿足日益增長(zhǎng)的應(yīng)用需求 關(guān)鍵用戶 關(guān)鍵應(yīng)用的服務(wù)質(zhì)量難以得到有效保障 網(wǎng)絡(luò)應(yīng)用流量種 類 數(shù)量不斷增多 無序化的競(jìng)爭(zhēng)經(jīng)常導(dǎo)致關(guān)鍵用戶 關(guān)鍵應(yīng)用的服 務(wù)體驗(yàn)的降低 網(wǎng)絡(luò)安全性降低 由于網(wǎng)絡(luò)的無序化管理 內(nèi)部人員對(duì)網(wǎng)絡(luò)應(yīng)用的濫 用 大量蠕蟲病毒 DDOS 攻擊趁虛而入 這些以消耗網(wǎng)絡(luò)資源為目 的的流量類攻擊發(fā)展迅猛 卻沒有有效的防范 控制手段 造成網(wǎng)絡(luò) 擁塞 甚至網(wǎng)絡(luò)癱瘓 為網(wǎng)絡(luò)安全帶來了重大的隱患 另外 現(xiàn)有網(wǎng)絡(luò)設(shè)備無法實(shí)現(xiàn)應(yīng)用級(jí)別管控還會(huì)給各類不同用戶帶來其它 一些嚴(yán)重問題 例如 對(duì)于企業(yè)網(wǎng)絡(luò) 用戶網(wǎng)絡(luò)行為監(jiān)管困難 既便制定了內(nèi)部網(wǎng)絡(luò)管理?xiàng)l 例 員工的上網(wǎng)行為也難以進(jìn)行有效的管理 例如 在工作時(shí)間炒股 票 大智慧 通花順 錢龍等 玩網(wǎng)絡(luò)游戲 傳奇 魔獸 聯(lián)眾 反 第 15 頁(yè) 共 22 頁(yè) 恐精英等 用 MSN QQ 等即時(shí)通訊工具進(jìn)行與工作無關(guān)的聊天等 這不僅會(huì)影響工作效率 也會(huì)給網(wǎng)絡(luò)管理帶來巨大隱患 對(duì)于電信運(yùn)營(yíng)商網(wǎng)絡(luò) 對(duì)應(yīng)用管控的缺失 造成非法 VoIP P2P 應(yīng)用 在線視頻應(yīng)用的泛濫 一方面 其占有了大量的網(wǎng)絡(luò)資源 帶來了擴(kuò) 容壓力 另一方面 其也對(duì)運(yùn)營(yíng)商的主營(yíng)業(yè)務(wù) 傳統(tǒng)的語音業(yè)務(wù) 新 興的 IPTV 業(yè)務(wù)等 收入造成了巨大的影響 對(duì)于今天的網(wǎng)絡(luò)管理者而言 如何深度感知網(wǎng)絡(luò)應(yīng)用 通過適當(dāng)?shù)膸捁?理技術(shù)來解決帶寬增長(zhǎng)與業(yè)務(wù)收益 網(wǎng)絡(luò)擴(kuò)容與用戶體驗(yàn)之間的不對(duì)稱關(guān)系 實(shí)現(xiàn)對(duì)用戶和業(yè)務(wù)的分級(jí)化識(shí)別管理 和基于用戶和用戶業(yè)務(wù)流量的管理和增 值顯得尤為重要 在這種背景下 流量控制系統(tǒng)就能夠很好的解決上述網(wǎng)絡(luò)面臨的問題 它 通過高速數(shù)據(jù)內(nèi)容檢測(cè) 數(shù)據(jù)流狀態(tài)監(jiān)測(cè) IP 隧道和微碼固件等方法 在對(duì)網(wǎng) 絡(luò)應(yīng)用深度解析的基礎(chǔ)上 實(shí)現(xiàn)了 2 7 層的應(yīng)用識(shí)別分類 流量屬性分析 流 量策略管理 分類統(tǒng)計(jì)報(bào)告以及狀態(tài)預(yù)警等多種功能 流控為提高網(wǎng)絡(luò)透明度 實(shí)施網(wǎng)絡(luò)應(yīng)用服務(wù)管理以及拓展網(wǎng)絡(luò)增值業(yè)務(wù)提供了有效和可靠的硬件平臺(tái) 在對(duì)網(wǎng)絡(luò)流量進(jìn)行精確識(shí)別分析進(jìn)而達(dá)到控制的目的的同時(shí) 鞏固和加強(qiáng)了網(wǎng) 絡(luò)的安全管理 3 1 4 流量清洗系統(tǒng) 隨著各種業(yè)務(wù)對(duì) Internet 依賴程度的日益加強(qiáng) DDoS 攻擊所帶來的損失也 愈加嚴(yán)重 包括運(yùn)營(yíng)商 企業(yè)及政府機(jī)構(gòu)的各種用戶時(shí)刻都受到了 DDoS 攻擊 的威脅 而未來更加強(qiáng)大的攻擊工具的出現(xiàn) 為日后發(fā)動(dòng)數(shù)量更多 破壞力更 強(qiáng)的 DDoS 攻擊帶來可能 正是由于 DDoS 攻擊非常難于防御 以及其危害嚴(yán)重 所以如何有效的應(yīng) 對(duì) DDoS 攻擊就成為 Internet 使用者所需面對(duì)的嚴(yán)峻挑戰(zhàn) 網(wǎng)絡(luò)設(shè)備或者傳統(tǒng)的 邊界安全設(shè)備 諸如防火墻 入侵檢測(cè)系統(tǒng) 作為整體安全策略中不可缺少的 重要模塊 都不能有效的提供針對(duì) DDoS 攻擊完善的防御能力 面對(duì)這類給 Internet 可用性帶來極大損害的攻擊 必須采用專門的設(shè)備 對(duì)攻擊進(jìn)行有效檢 測(cè)及阻斷 進(jìn)而遏制這類不斷增長(zhǎng)的 復(fù)雜的且極具欺騙性的攻擊形式 因此 第 16 頁(yè) 共 22 頁(yè) 對(duì)骨干設(shè)備的防護(hù)也是整個(gè)網(wǎng)絡(luò)環(huán)境的關(guān)鍵 建議在互聯(lián)網(wǎng)接入處部署專業(yè)的 DDoS 防護(hù)產(chǎn)品 保障用戶網(wǎng)絡(luò)可用性 3 2 應(yīng)用安全措施 3 2 1 WEB 應(yīng)用防火墻 隨著信息技術(shù)的不斷發(fā)展 互聯(lián)網(wǎng)已經(jīng)成為信息傳播 流通 交換及存儲(chǔ) 的重要手段 信息高速公路的興建使人類完全突破了傳統(tǒng)的信息獲取方式 存 儲(chǔ)在計(jì)算機(jī)中的資料都在逐漸增加 對(duì)信息的保護(hù)比以往更加重要也更加困難 由于 Internet 是個(gè)開放的網(wǎng)絡(luò) 網(wǎng)站發(fā)布的信息一天二十四小時(shí)都在被查詢 閱讀 下載或轉(zhuǎn)載 網(wǎng)站內(nèi)容復(fù)制容易 轉(zhuǎn)載速度快 學(xué)校 WEB 站點(diǎn)網(wǎng)頁(yè)如 果被篡改 后果難以預(yù)料 篡改網(wǎng)頁(yè)將會(huì)被迅速 廣泛傳播 從而直接危害網(wǎng) 站的利益 尤其是網(wǎng)站上發(fā)布的重要新聞 重大方針政策以及法規(guī)等 一旦被 黑客篡改 將嚴(yán)重影響政府形象 甚至造成重大的政治經(jīng)濟(jì)損失和惡劣的社會(huì) 影響 WEB 服務(wù)器前端部署 WEB 應(yīng)用防火墻 可以提高相關(guān) WEB 站點(diǎn)的安全 性 當(dāng)出現(xiàn)黑客攻擊或工作人員某些操作失誤 WEB 應(yīng)用防火墻能夠?qū)崟r(shí)恢復(fù) 網(wǎng)站文件 保證網(wǎng)站的連續(xù)正常運(yùn)行 同時(shí)還能夠記錄篡改事件的相關(guān)資料 從而為安全部門提供調(diào)查的線索和證據(jù) WEB 應(yīng)用防火墻具備實(shí)時(shí) 低耗等性 能指標(biāo) 既能夠保證篡改頁(yè)面的立即恢復(fù) 又能保證網(wǎng)站的正常服務(wù)性能不受 影響 WEB 應(yīng)用防火墻支持全透明部署模式 全面支持 HTTPS 協(xié)議 在提供 WEB 應(yīng)用實(shí)時(shí)深度防御的同時(shí)實(shí)現(xiàn) WEB 應(yīng)用加速及敏感信息泄露防護(hù) 能夠 解決應(yīng)用及業(yè)務(wù)邏輯層面的安全問題 特別是解決目前所面臨的各類網(wǎng)站安全 問題 如 注入攻擊 跨站腳本攻擊 釣魚攻擊 惡意編碼 網(wǎng)頁(yè)木馬 緩沖區(qū)溢出 信息泄露 應(yīng)用層 DOS DDOS 攻擊等等 3 2 2 上網(wǎng)行為管理系統(tǒng) 隨著信息化建設(shè)的開展 工作和生活對(duì)于互聯(lián)網(wǎng)的依賴性越來越強(qiáng) 在學(xué) 第 17 頁(yè) 共 22 頁(yè) 校職工利用互聯(lián)網(wǎng)獲得更多更及時(shí)地資源的時(shí)候 一些網(wǎng)絡(luò)性能方面和應(yīng)用方 面的問題被暴露了出來 大量的 P2P 等非關(guān)鍵應(yīng)用無情地吞噬著網(wǎng)絡(luò)有限的帶 寬資源 使得網(wǎng)絡(luò)管理人員頭痛不已 在沒有對(duì) P2P 流量進(jìn)行策略管理的時(shí)間 段內(nèi) P2P 等非關(guān)鍵應(yīng)用的流量幾乎占用了 60 70 的網(wǎng)絡(luò)帶寬 關(guān)鍵性應(yīng)用如 OA Email WEB 網(wǎng)站等卻得不到保障 會(huì)嚴(yán)重影響了機(jī)關(guān)網(wǎng)絡(luò)的健康發(fā)展 通過在互聯(lián)網(wǎng)出口處部署一臺(tái)上網(wǎng)行為管理系統(tǒng) 對(duì)互聯(lián)網(wǎng)資源做一個(gè)合 理的流量控制 抑制 P2P 的濫用 并保障關(guān)鍵應(yīng)用的帶寬 大幅度提高訪問互 聯(lián)網(wǎng)的速度 有效提升帶寬利用率 上網(wǎng)行為管理系統(tǒng)提供了強(qiáng)大的網(wǎng)頁(yè)過濾功能 屏蔽對(duì)非法網(wǎng)站的訪問 提供基于時(shí)間 用戶 應(yīng)用的精細(xì)管理策略 控制職工在上班時(shí)間玩網(wǎng)絡(luò)游戲 炒股 觀看在線視頻 以及無節(jié)制的網(wǎng)絡(luò)聊天 從而保障工作效率 提供對(duì)電 子郵件 即時(shí)通訊 論壇發(fā)帖等途徑的外發(fā)信息進(jìn)行監(jiān)控審計(jì) 避免機(jī)密信息 泄露或發(fā)表反動(dòng)言論等 3 2 3 內(nèi)網(wǎng)安全準(zhǔn)入控制系統(tǒng) 學(xué)校業(yè)務(wù)種類越來越多 重要性越來越突出 所以辦公計(jì)算機(jī)的系統(tǒng)安全 以及日常的運(yùn)行維護(hù)顯的尤為重要 如果出現(xiàn)安全漏洞或安全事故 將會(huì)嚴(yán)重 影響整體業(yè)務(wù)運(yùn)行安全 由于學(xué)校信息化程度較高 終端點(diǎn)數(shù)較多 對(duì) IT 軟硬 件的資產(chǎn)管理及故障維護(hù)靠人工施行難度較大 且效率低下 迫切需要通過技 術(shù)手段規(guī)范人員入網(wǎng)及日常終端使用行為 為加強(qiáng)網(wǎng)絡(luò)安全管理及加強(qiáng)內(nèi)部 PC 的安全管理 建議在內(nèi)網(wǎng)部署一套安 全準(zhǔn)入控制系統(tǒng) 這套系統(tǒng)將重點(diǎn)解決以下問題 用戶入網(wǎng)身份證書認(rèn)證化 入網(wǎng)終端登記注冊(cè)認(rèn)證化 違規(guī)終端不準(zhǔn)入網(wǎng) 入網(wǎng)終端必合規(guī) 安全檢查一目了然 智能傻瓜式修復(fù) 用戶權(quán)限的細(xì)粒度分派及管理 全網(wǎng)終端軟硬件資產(chǎn)合理 實(shí)時(shí) 有序管理 終端系統(tǒng)補(bǔ)丁 殺毒軟件 應(yīng)用程序等有效統(tǒng)一管理 第 18 頁(yè) 共 22 頁(yè) 安全準(zhǔn)入控制系統(tǒng)可以對(duì)所有的入網(wǎng)設(shè)備進(jìn)行身份認(rèn)證 包括 MAC 地址 IP 地址 基于用戶名和密碼的身份 接入設(shè)備端口 所在 VLAN 等信息 還支 持 U KEY 支持智能卡 數(shù)字證書認(rèn)證 LDAP 無縫結(jié)合域管理 保證接入 設(shè)備為合法終端 3 3 安全運(yùn)維措施 3 3 1 堡壘機(jī) 隨著信息技術(shù)的不斷發(fā)展和信息化建設(shè)的不斷進(jìn)步 業(yè)務(wù)應(yīng)用 辦公系統(tǒng) 不斷推出和投入運(yùn)行 信息系統(tǒng)在政府機(jī)構(gòu)運(yùn)營(yíng)中全面滲透 學(xué)校信息系統(tǒng)使 用數(shù)量眾多的網(wǎng)絡(luò)設(shè)備 服務(wù)器主機(jī)來提供基礎(chǔ)網(wǎng)絡(luò)服務(wù) 運(yùn)行關(guān)鍵業(yè)務(wù) 由 于設(shè)備和服務(wù)器眾多 系統(tǒng)管理員壓力太大等因素 越權(quán)訪問 誤操作 濫用 惡意破壞等情況時(shí)有發(fā)生 另外黑客的惡意訪問也有可能獲取系統(tǒng)權(quán)限 闖入 內(nèi)部網(wǎng)絡(luò) 造成不可估量的損失 如何提高系統(tǒng)運(yùn)維管理水平 跟蹤服務(wù)器上 用戶的操作行為 防止黑客的入侵和破壞 提供控制和審計(jì)依據(jù) 降低運(yùn)維成 本 滿足相關(guān)標(biāo)準(zhǔn)要求 越來越成為管理員關(guān)心的問題 通過部署堡壘機(jī) 該設(shè)備扮演著看門者的職責(zé) 所有對(duì)網(wǎng)絡(luò)設(shè)備和服務(wù)器 的請(qǐng)求都要從這扇大門經(jīng)過 因此它能夠攔截非法訪問和惡意攻擊 對(duì)不合法 命令進(jìn)行阻斷 過濾掉所有對(duì)目標(biāo)設(shè)備的非法訪問行為 并能夠?qū)⑺械妮敵?信息全部記錄下來 具備審計(jì)回放功能 能夠模擬用戶的在線操作過程 豐富 和完善了網(wǎng)絡(luò)的內(nèi)控審計(jì)功能 因此 堡壘機(jī)能夠極大的保護(hù)內(nèi)部網(wǎng)絡(luò)設(shè)備及 服務(wù)器資源的安全性 使得內(nèi)部網(wǎng)絡(luò)管理更加合理化和專業(yè)化 第 19 頁(yè) 共 22 頁(yè) 3 3 2 漏洞掃描系統(tǒng) 在內(nèi)網(wǎng)服務(wù)器區(qū)部署一臺(tái)漏洞掃描系統(tǒng) 其主要用于分析和指出有關(guān)網(wǎng)絡(luò) 的安全漏洞及被測(cè)系統(tǒng)的薄弱環(huán)節(jié) 給出詳細(xì)的檢測(cè)報(bào)告 并針對(duì)檢測(cè)到的網(wǎng) 絡(luò)安全隱患給出相應(yīng)的修補(bǔ)措施和安全建議 漏洞掃描系統(tǒng)通過模擬黑客的進(jìn) 攻方法 對(duì)被檢系統(tǒng)進(jìn)行攻擊性的安全漏洞和隱患掃描 提交風(fēng)險(xiǎn)評(píng)估報(bào)告 并提供相應(yīng)的整改措施 先于黑客發(fā)現(xiàn)并彌補(bǔ)漏洞 防患于未然 預(yù)防性的安 全檢查最大限度地暴露了現(xiàn)存網(wǎng)絡(luò)系統(tǒng)中存在的安全隱患 配合行之有效的整 改措施 可以將網(wǎng)絡(luò)系統(tǒng)的運(yùn)行風(fēng)險(xiǎn)降至最低 3 3 3 網(wǎng)站監(jiān)控預(yù)警平臺(tái) 由于針對(duì) Web 系統(tǒng)的網(wǎng)絡(luò)訪問控制措施被廣泛采用 且一般只開放 HTTP 等必要的服務(wù)端口 因此黑客已經(jīng)難以通過傳統(tǒng)網(wǎng)絡(luò)層攻擊方式 查找并攻擊 操作系統(tǒng)漏洞 數(shù)據(jù)庫(kù)漏洞 攻擊網(wǎng)站 然而 Web 應(yīng)用程序漏洞的存在更加 普遍 隨著 Web 應(yīng)用技術(shù)的深入普及 Web 應(yīng)用程序漏洞發(fā)掘和攻擊速度越來 越塊 基于 Web 漏洞的攻擊更容易被利用 已經(jīng)成為黑客首選 據(jù)統(tǒng)計(jì) 現(xiàn)在 第 20 頁(yè) 共 22 頁(yè) 對(duì)網(wǎng)站成功的攻擊中 超過 7 成都是基于 Web 應(yīng)用層 而非網(wǎng)絡(luò)層 前不久 OWASP Open Web Application Security Project 機(jī)構(gòu)發(fā)布了最新的 OWASP Top 10 Application Security Risks SQL 注入和 XSS 攻擊 Cross Site Scripting 跨站腳本攻擊 仍舊排名前兩位 是目前存在最為普遍 利用最為廣泛 造成危害最為嚴(yán)重的兩類 Web 威脅 Web 應(yīng)用與云計(jì)算技術(shù)具有天然的聯(lián)姻關(guān)系 基于 SaaS 軟件即服務(wù) 的云計(jì)算技術(shù)模型 對(duì) Web 安全監(jiān)控系統(tǒng)提出好的解決思路 網(wǎng)站監(jiān)控預(yù)警平 臺(tái)與 IDC 合作 搭建 Web 安全監(jiān)測(cè)系統(tǒng) 對(duì)用戶提供基于云計(jì)算 SaaS 模 型的 Web 安全監(jiān)測(cè)服務(wù) 可提供 7 24 小時(shí)的實(shí)時(shí)網(wǎng)站安全監(jiān)測(cè)服務(wù) 一旦發(fā) 現(xiàn)您的網(wǎng)站存在風(fēng)險(xiǎn)狀況 安全團(tuán)隊(duì)會(huì)第一時(shí)間通知您 并提供專業(yè)的安全解 決建議 同時(shí) 基于 SaaS 的 Web 安全監(jiān)測(cè)系統(tǒng)結(jié)合公司安全專家團(tuán)隊(duì)為用戶 定期提供網(wǎng)站系統(tǒng)評(píng)估報(bào)告 及時(shí) 有效地掌握網(wǎng)站的風(fēng)險(xiǎn)狀況及安全趨勢(shì) 從而提供穩(wěn)定 安全的 Web 應(yīng)用環(huán)境 第 21 頁(yè) 共 22 頁(yè) 3 3 4 網(wǎng)絡(luò)防病毒系統(tǒng) 防病毒系統(tǒng)不僅是檢測(cè)和清除病毒 還應(yīng)加強(qiáng)對(duì)病毒的防護(hù)工作 在網(wǎng)絡(luò) 中不僅要部署被動(dòng)防御體系 防病毒系統(tǒng) 還要采用主動(dòng)防御機(jī)制 防火墻 安全策略 漏洞修復(fù)等 將病毒隔離在網(wǎng)絡(luò)大門之外 通過管理控制臺(tái)統(tǒng)一 部署防病毒系統(tǒng) 保證不出現(xiàn)防病毒漏洞 因此 遠(yuǎn)程安裝 集中管理 統(tǒng)一 防病毒策略成為企業(yè)級(jí)防病毒產(chǎn)品的重要需求 在跨區(qū)域的廣域網(wǎng)內(nèi) 要保證 整個(gè)廣域網(wǎng)安全無毒 首先要保證每一個(gè)局域網(wǎng)的安全無毒 也就是說 一個(gè) 局域網(wǎng)的防病毒系統(tǒng)是建立在每個(gè)局域網(wǎng)的防病毒系統(tǒng)上的 應(yīng)該根據(jù)每個(gè)局 域網(wǎng)的防病毒要求 建立局域網(wǎng)防病毒控制系統(tǒng) 分別設(shè)置有針對(duì)性的防病毒 策略 從總部到分支機(jī)構(gòu) 由上到下 各個(gè)局域網(wǎng)的防病毒系統(tǒng)相結(jié)合 最終 形成一個(gè)立體的 完整的病毒防護(hù)體系 第 22 頁(yè) 共 22 頁(yè) 3 3 5 網(wǎng)絡(luò)審計(jì)系統(tǒng) 網(wǎng)絡(luò)審計(jì)系統(tǒng)以旁路的方式部署在網(wǎng)絡(luò)中 不影響網(wǎng)絡(luò)的性能 具有即時(shí) 的網(wǎng)絡(luò)數(shù)據(jù)采集能力 強(qiáng)大的審計(jì)分析功能以及智能的信息處理能力 通過使 用該系統(tǒng) 可以實(shí)現(xiàn)如下目標(biāo) 對(duì)用戶的網(wǎng)絡(luò)行為監(jiān)控 網(wǎng)絡(luò)傳輸內(nèi)容進(jìn)行審計(jì) 如員工是否在工 作時(shí)間上網(wǎng)沖浪 網(wǎng)上聊天 是否訪問內(nèi)容不健康的網(wǎng)站 員工是 否通過網(wǎng)絡(luò)泄漏了公司的機(jī)密信息等等 實(shí)現(xiàn)對(duì)單位業(yè)務(wù)系統(tǒng)核心數(shù)據(jù)庫(kù)的操作過程進(jìn)行審計(jì) 有效保護(hù)業(yè) 務(wù)數(shù)據(jù)的完整性 可以對(duì)違規(guī)行為進(jìn)行審計(jì)記錄與報(bào)警 實(shí)現(xiàn)網(wǎng)絡(luò)傳輸信息的保密存儲(chǔ) 實(shí)現(xiàn)網(wǎng)絡(luò)行為后期取證 對(duì)網(wǎng)絡(luò)潛在威脅者予以威懾