某某數(shù)據(jù)中心安全規(guī)劃設(shè)計方案

1、專業(yè)資料XX 數(shù)據(jù)中心信息系統(tǒng)安全建設(shè)項目技術(shù)方案精心整理專業(yè)資料目錄1.項目概述.41.1.目標(biāo)與范圍 .41.2.參照標(biāo)準(zhǔn) .41.3.系統(tǒng)描述 .52.安全風(fēng)險分析 .52.1.系統(tǒng)脆弱性分析 .52.2.安全威脅分析 .62.2.1.被動攻擊產(chǎn)生的威脅 .62.2.2.主動攻擊產(chǎn)生的威脅 .63.安全需求分析 .83.1.等級保護(hù)要求分析 .83.1.1.網(wǎng)絡(luò)安全 .83.1.2.主機(jī)安全 .93.1.3.應(yīng)用安全 .103.2.安全需求總結(jié) .114.整體安全設(shè)計 .124.1.安全域 .124.1.1.安全域劃分原則 .12精心整理專業(yè)資料4.1.2.安全域劃分設(shè)計144.2.安全

2、設(shè)備部署 .155.詳細(xì)安全設(shè)計 .165.1.網(wǎng)絡(luò)安全設(shè)計 .165.1.1.抗 DOS 設(shè)備 .165.1.2.防火墻 .175.1.3.WEB 應(yīng)用安全網(wǎng)關(guān) .185.1.4.入侵防御 .195.1.5.入侵檢測 .205.1.6.安全審計 .225.1.7.防病毒 .225.2.安全運維管理 .235.2.1.漏洞掃描 .235.2.2.安全管理平臺 .245.2.3.堡壘機(jī) .266.產(chǎn)品列表.26精心整理專業(yè)資料1. 項目概述1.1. 目標(biāo)與范圍本次數(shù)據(jù)中心的安全建設(shè)主要依據(jù)信息安全技術(shù)信息安全等級保護(hù)基本要求中的技術(shù)部分 ，從網(wǎng)絡(luò)安全 ，主機(jī)安全 ，應(yīng)用安全 ，來對網(wǎng)絡(luò)與服務(wù)器進(jìn)

3、行設(shè)計 。根據(jù)用戶需求 ，在本次建設(shè)完畢后XX 數(shù)據(jù)中心網(wǎng)絡(luò)將達(dá)到等保三級的技術(shù)要求。因用戶網(wǎng)絡(luò)為新建網(wǎng)絡(luò) ，所以本次建設(shè)將完全按照信息安全技術(shù)信息安全等級保護(hù)基本要求 中技術(shù)部分要求進(jìn)行 。1.2. 參照標(biāo)準(zhǔn)GB/T22239-2008 信息安全技術(shù)信息安全等級保護(hù)基本要求GB/T 22239-2008 信息安全技術(shù)信息安全等級保護(hù)基本要求GB/T 22240-2008 信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)定級指南GB/T 20270-2006 信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求 GB/T 25058-2010信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)實施指南GB/T 20271-2006信息安全技術(shù)信息系

4、統(tǒng)安全通用技術(shù)要求GB/T 25070-2010信息安全技術(shù)信息系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求GB 17859-1999 計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則 GB/Z 20986-2007信息安全技術(shù)信息安全事件分類分級指南精心整理專業(yè)資料1.3. 系統(tǒng)描述XX 數(shù)據(jù)中心平臺共有三個信息系統(tǒng)：能源應(yīng)用 ，環(huán)保應(yīng)用 ，市節(jié)能減排應(yīng)用。企業(yè)節(jié)點通過企業(yè)信息前置機(jī)抓取企業(yè)節(jié)點數(shù)據(jù)，并把這些數(shù)據(jù)上傳到XX數(shù)據(jù)中心的數(shù)據(jù)庫中，數(shù)據(jù)庫對這些企業(yè)數(shù)據(jù)進(jìn)行匯總與分析，同時企業(yè)節(jié)點也可以通過 VPN 去訪問 XX 數(shù)據(jù)中心的相關(guān)應(yīng)用 。XX 數(shù)據(jù)中心平臺也可通過政務(wù)外網(wǎng) ，環(huán)保專網(wǎng)與相關(guān)部分進(jìn)行信息交互 。提供信

5、息訪問 。2. 安全風(fēng)險分析2.1. 系統(tǒng)脆弱性分析人的脆弱性 ：人的安全意識不足導(dǎo)致的各種被攻擊可能，如接受未知數(shù)據(jù) ，設(shè)置弱口令等 。安全技術(shù)的脆弱性 ：操作系統(tǒng)和數(shù)據(jù)庫的安全脆弱性，系統(tǒng)配置的安全脆弱性，訪問控制機(jī)制的安全脆弱性，測評和認(rèn)證的脆弱性 。運行的脆弱性 ：監(jiān)控系統(tǒng)的脆弱性，無入侵檢測設(shè)備 ，響應(yīng)和恢復(fù)機(jī)制的不完善。精心整理專業(yè)資料2.2. 安全威脅分析2.2.1. 被動攻擊產(chǎn)生的威脅（1）網(wǎng)絡(luò)和基礎(chǔ)設(shè)施的被動攻擊威脅局域網(wǎng) / 骨干網(wǎng)線路的竊聽 ；監(jiān)視沒被保護(hù)的通信線路；破譯弱保護(hù)的通信線路信息 ；信息流量分析 ；利用被動攻擊為主動攻擊創(chuàng)造條件以便對網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備進(jìn)行破壞

6、，如截獲用戶的賬號或密碼以便對網(wǎng)絡(luò)設(shè)備進(jìn)行破壞；機(jī)房和處理信息終端的電磁泄露。（2）區(qū)域邊界 / 外部連接的被動攻擊威脅截取末受保護(hù)的網(wǎng)絡(luò)信息；流量分析攻擊 ；遠(yuǎn)程接入連接 。（3）計算環(huán)境的被動攻擊威脅獲取鑒別信息和控制信息；獲取明文或解密弱密文實施重放攻擊。2.2.2. 主動攻擊產(chǎn)生的威脅（1）對網(wǎng)絡(luò)和基礎(chǔ)設(shè)施的主動攻擊威脅一是可用帶寬的損失攻擊，如網(wǎng)絡(luò)阻塞攻擊 、擴(kuò)散攻擊等 。 二是網(wǎng)絡(luò)管理通訊混亂使網(wǎng)絡(luò)基礎(chǔ)設(shè)施失去控制的攻擊。最嚴(yán)重的網(wǎng)絡(luò)攻擊是使網(wǎng)絡(luò)基礎(chǔ)設(shè)施運行控制失靈 。如對網(wǎng)絡(luò)運行和設(shè)備之間通信的直接攻擊，它企圖切斷網(wǎng)管人員與基礎(chǔ)設(shè)施的設(shè)備之間的通信，比如切斷網(wǎng)管人員與交換機(jī)、路由

7、器之間的通信 ，使網(wǎng)管人員失去對它們的控制。三是網(wǎng)絡(luò)管理通信的中斷攻擊，它是通過攻擊網(wǎng)絡(luò)底層設(shè)備的控制信號來干擾網(wǎng)絡(luò)傳輸?shù)挠脩粜畔?；引入病毒攻?；引入惡意代碼攻擊 。精心整理專業(yè)資料（2）對信息系統(tǒng)及數(shù)據(jù)主動攻擊威脅試圖阻斷或攻破保護(hù)機(jī)制（內(nèi)網(wǎng)或外網(wǎng) ）；偷竊或篡改信息 ；利用社會工程攻擊欺騙合法用戶（如匿名詢問合法用戶賬號）；偽裝成合法用戶和服務(wù)器進(jìn)行攻擊 ；IP 地址欺騙攻擊 ；拒絕服務(wù)攻擊 ；利用協(xié)議和基礎(chǔ)設(shè)施的安全漏洞進(jìn)行攻擊 ；利用遠(yuǎn)程接入用戶對內(nèi)網(wǎng)進(jìn)行攻擊；建立非授權(quán)的網(wǎng)絡(luò)連接；監(jiān)測遠(yuǎn)程用戶鏈路 、修改傳輸數(shù)據(jù) ；解讀未加密或弱加密的傳輸信息；惡意代碼和病毒攻擊 。（3）計算環(huán)境

8、的主動攻擊威脅引入病毒攻擊 ；引入惡意代碼攻擊；冒充超級用戶或其他合法用戶；拒絕服務(wù)和數(shù)據(jù)的篡改 ；偽裝成合法用戶和服務(wù)器進(jìn)行攻擊；利用配置漏洞進(jìn)行攻擊；利用系統(tǒng)脆弱性 （操作系統(tǒng)安全脆弱性、數(shù)據(jù)庫安全脆弱性）實施攻擊 ；利用服務(wù)器的安全脆弱性進(jìn)行攻擊；利用應(yīng)用系統(tǒng)安全脆弱性進(jìn)行攻擊。（4）支持性基礎(chǔ)設(shè)施的主動攻擊威脅對未加密或弱加密的通信線路的搭線竊聽；用獲取包含錯誤信息的證書進(jìn)行偽裝攻擊 ；拒絕服務(wù)攻擊 （如攻擊目錄服務(wù)等 ）；中間攻擊 ；攻擊 PIN 獲取對用戶私鑰的訪問 、在支持性基礎(chǔ)設(shè)施的組件中引入惡意代碼攻擊、在密鑰分發(fā)期間對密鑰實施攻擊、對 PKI 私鑰實施密碼攻擊 、對密鑰恢復(fù)

9、后的密鑰進(jìn)行末授權(quán)訪問 、在用戶認(rèn)證期間使用戶不能生成失效信息；利用備份信息進(jìn)行攻擊。精心整理專業(yè)資料3. 安全需求分析3.1. 等級保護(hù)要求分析3.1.1. 網(wǎng)絡(luò)安全類別控制點重點要求項對應(yīng)措施安全域劃分 ，交換設(shè)備的冗余、通過安全管理結(jié)構(gòu)安全網(wǎng)絡(luò)劃分與隔離平臺進(jìn)行網(wǎng)絡(luò)拓?fù)涔芾砭W(wǎng)絡(luò)邊界部署訪問安全域邊界增訪問控制控制設(shè)備 ，啟用訪加部署防火墻問控制功能設(shè)備網(wǎng)絡(luò)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)安全絡(luò)設(shè)備運行狀況、部署網(wǎng)絡(luò)安全安全審計網(wǎng)絡(luò)流量 、用戶行審計系統(tǒng)為等進(jìn)行日志記錄對內(nèi)部用戶未通過邊界完整性準(zhǔn)許私自聯(lián)到外部采用技術(shù)手段檢查網(wǎng)絡(luò)的行為進(jìn)行檢進(jìn)行違規(guī)外聯(lián)查入侵防范網(wǎng)絡(luò)邊界入侵行為網(wǎng)絡(luò)出口的邊精心整理專業(yè)資

10、料監(jiān)視界處部署入侵檢測，重要服務(wù)器區(qū)前面采取入侵防護(hù)措施3.1.2. 主機(jī)安全類別控制點重點要求項對應(yīng)措施對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶部署身份鑒別身份鑒別進(jìn)行身份標(biāo)識和鑒系統(tǒng)。別對系統(tǒng)安全加啟用訪問控制功固，限制默認(rèn)能，實現(xiàn)操作系統(tǒng)主機(jī)訪問控制帳戶、時刪除和數(shù)據(jù)庫系統(tǒng)特權(quán)安全多余的 、過期用戶的權(quán)限分離的帳戶等采用主機(jī)審計用戶行為 、系統(tǒng)資安全審計源、系統(tǒng)安全事件審計措施，通過安全管理平臺對操作系統(tǒng) 、數(shù)據(jù)庫進(jìn)行監(jiān)控精心整理專業(yè)資料管理對主機(jī)進(jìn)行漏操作系統(tǒng)最小安裝洞檢查 ，并部入侵防范的原則 、及時更新署入侵防范設(shè)系統(tǒng)補(bǔ)丁備。惡意代碼防能夠集中管理的惡部署網(wǎng)絡(luò)版防范意代碼防護(hù)系統(tǒng)病毒軟件設(shè)

11、定終端接入方利用訪問控制式、網(wǎng)絡(luò)地址范圍策略與堡壘機(jī)資源控制等條件限制終端登產(chǎn)品結(jié)合的方錄式進(jìn)行控制 。3.1.3. 應(yīng)用安全類別控制點重點要求項對應(yīng)措施提供專用的登錄控部署身份鑒別制模塊對登錄用戶身份鑒別服務(wù)器并與應(yīng)進(jìn)行身份標(biāo)識和鑒應(yīng)用用進(jìn)行聯(lián)動別安全部署堡壘機(jī)對訪問控制賬戶訪問權(quán)限管理訪問進(jìn)行權(quán)限管理精心整理專業(yè)資料部署堡壘機(jī)對應(yīng)用系統(tǒng)重要安全安全審計應(yīng)用訪問進(jìn)行事件進(jìn)行審計記錄采用密碼技術(shù)進(jìn)行會話初始化驗證，應(yīng)用軟件安全通信保密性對通信過程中的敏改造，對敏感感信息字段進(jìn)行加字段進(jìn)行加密密會話超時 、會話并部署堡壘機(jī)設(shè)資源控制發(fā)管理 、多重并發(fā)備進(jìn)行限制會話限制3.2. 安全需求總結(jié)類別安

12、全需求劃分安全域 、明確安全邊界網(wǎng)絡(luò)出口邊界 、新的安全邊界部署防火墻設(shè)備網(wǎng)絡(luò)出口邊界部署入侵檢測設(shè)備網(wǎng)絡(luò)安全關(guān)鍵業(yè)務(wù)前段部署入侵防御系統(tǒng)網(wǎng)頁應(yīng)用系統(tǒng)邊界部署WEB 應(yīng)用安全網(wǎng)關(guān)重要數(shù)據(jù)庫部署網(wǎng)絡(luò)安全審計系統(tǒng)部署身份認(rèn)證系統(tǒng)對訪問進(jìn)行身份認(rèn)證主機(jī)安全部署堡壘機(jī)設(shè)備對主機(jī)訪問進(jìn)行控制與審計精心整理專業(yè)資料采用網(wǎng)絡(luò)版殺毒軟件部署漏洞掃描設(shè)備對主機(jī)的漏洞進(jìn)行檢測并及時修補(bǔ)應(yīng)用系統(tǒng)與身份認(rèn)證系統(tǒng)相結(jié)合進(jìn)行身份鑒別應(yīng)用系統(tǒng)與堡壘機(jī)相結(jié)合來進(jìn)行審計與訪問控制應(yīng)用安全部署安全管理平臺對網(wǎng)絡(luò)，主機(jī) ，應(yīng)用的日志進(jìn)行審計與分析。4. 整體安全設(shè)計4.1. 安全域4.1.1. 安全域劃分原則（1）業(yè)務(wù)保障原則安全

13、域方法的根本目標(biāo)是能夠更好的保障網(wǎng)絡(luò)上承載的業(yè)務(wù)。在保證安全的同時，還要保障業(yè)務(wù)的正常運行和運行效率。信息安全服務(wù)所強(qiáng)調(diào)的核心思想是應(yīng)該從客戶（業(yè)務(wù)）而不是 IT 服務(wù)提供方（技術(shù)）的角度理解IT 服務(wù)需求 。也就是說 ，在提供 IT 服務(wù)的時候 ，我們首先應(yīng)該考慮業(yè)務(wù)需求 ，根據(jù)業(yè)務(wù)需求來確定IT 需求包括安全需求 。在安全域劃分時會面臨有些業(yè)務(wù)緊密相連，但是根據(jù)安全要求（信息密級要求，訪問應(yīng)用要求等 ）又要將其劃分到不同安全域的矛盾。是將業(yè)務(wù)按安全域的要求強(qiáng)性劃分 ，還是合并安全域以滿足業(yè)務(wù)要求？必須綜合考慮業(yè)務(wù)隔離的難度和合并安全域的風(fēng)險（會出現(xiàn)有些資產(chǎn)保護(hù)級別不夠），從而給出合適的安全

14、域劃分 。精心整理專業(yè)資料（2）等級保護(hù)原則根據(jù)安全域在業(yè)務(wù)支撐系統(tǒng)中的重要程度以及考慮風(fēng)險威脅、安全需求 、安全成本等因素 ，將其劃為不同的安全保護(hù)等級并采取相應(yīng)的安全保護(hù)技術(shù)、管理措施 ，以保障業(yè)務(wù)支撐的網(wǎng)絡(luò)和信息安全。安全域的劃分要做到每個安全域的信息資產(chǎn)價值相近，具有相同或相近的安全等級 、安全環(huán)境 、安全策略等 。 安全域所涉及應(yīng)用和資產(chǎn)的價值越高，面臨的威脅越大 ，那么它的安全保護(hù)等級也就越高。（3）深度防御原則根據(jù)網(wǎng)絡(luò)應(yīng)用訪問的順序，逐層進(jìn)行防御 ，保護(hù)核心應(yīng)用的安全。安全域的主要對象是網(wǎng)絡(luò) ，但是圍繞安全域的防護(hù)需要考慮在各個層次上立體防守，包括在物理鏈路 、網(wǎng)絡(luò)、主機(jī)系統(tǒng) 、

15、應(yīng)用等層次 ；同時，在部署安全域防護(hù)體系的時候 ，要綜合運用身份鑒別、訪問控制 、檢測審計 、鏈路冗余 、內(nèi)容檢測等各種安全功能實現(xiàn)協(xié)防。（4）結(jié)構(gòu)簡化原則安全域劃分的直接目的和效果是要將整個網(wǎng)絡(luò)變得更加簡單，簡單的網(wǎng)絡(luò)結(jié)構(gòu)便于設(shè)計防護(hù)體系 。 安全域劃分不宜過于復(fù)雜。（5）生命周期原則對于安全域的劃分和布防不僅僅要考慮靜態(tài)設(shè)計，還要考慮不斷的變化；另外，在安全域的建設(shè)和調(diào)整過程中要考慮工程化的管理。（6）安全最大化原則針對業(yè)務(wù)系統(tǒng)可能跨越多個安全域的情況，對該業(yè)務(wù)系統(tǒng)的安全防護(hù)必須要使該系統(tǒng)在全局上達(dá)到要求的安全等級，即實現(xiàn)安全的最大化防護(hù)，同時滿精心整理專業(yè)資料足多個安全域的保護(hù)策略。（7

16、）可擴(kuò)展性原則當(dāng)有新的業(yè)務(wù)系統(tǒng)需要接入業(yè)務(wù)支撐網(wǎng)時，按照等級保護(hù) 、對端可信度等原則將其分別劃分至不同安全等級域的各個子域。4.1.2. 安全域劃分設(shè)計根據(jù) XX 數(shù)據(jù)中心的情況 ，把網(wǎng)絡(luò)分為三個安全域 ：應(yīng)用安全域 ，數(shù)據(jù)庫安全域，安全管理安全域 。 安全域之間利用防火墻進(jìn)行隔離。安全域劃分拓?fù)淙缦?：精心整理專業(yè)資料4.2. 安全設(shè)備部署（1）網(wǎng)絡(luò)邊界考慮到網(wǎng)絡(luò)的高可用性 ，網(wǎng)絡(luò)出口設(shè)備均雙機(jī)部署。在網(wǎng)絡(luò)出口部署兩臺防止DDOS 產(chǎn)品，對 DDOS 攻擊進(jìn)行過濾 。在網(wǎng)絡(luò)出口部署兩臺防火墻設(shè)備，對進(jìn)出 XX 數(shù)據(jù)中心網(wǎng)絡(luò)的流量進(jìn)行策略控制。在網(wǎng)絡(luò)出口部署兩臺入侵防御設(shè)備對進(jìn)行XX 數(shù)據(jù)中心

17、網(wǎng)絡(luò)的流量進(jìn)行檢測，從而判斷數(shù)據(jù)中是否含有惡意攻擊與惡意代碼。（2）核心交換區(qū)在核心交換區(qū)旁路部署一臺IDS 與一臺安全審計產(chǎn)品 ，對核心交換機(jī)上面的流量進(jìn)行安全的檢測與審計，包括來往核心交換機(jī)上面的流量是否有惡意威脅。是否有針對于后臺數(shù)據(jù)庫的威脅等。（3）應(yīng)用區(qū)安全域在應(yīng)用區(qū)邊界部署web 應(yīng)用防火墻設(shè)備 ，因應(yīng)用區(qū)部署的應(yīng)用均為B/S 架構(gòu)，而 web 應(yīng)用防火墻恰恰是針對于HTTP 協(xié)議進(jìn)行安全過濾的設(shè)備，很好的滿足了三級等保中針對于應(yīng)用安全的規(guī)定。（4）數(shù)據(jù)庫安全域數(shù)據(jù)庫安全域邊界部署一臺安全域防火墻，采取有效的訪問控制策略；同時在安全域交換機(jī)旁路部署一臺安全審計系統(tǒng)，對網(wǎng)絡(luò)運維管理和

18、數(shù)據(jù)庫操作進(jìn)行全面審計 。（5）安全管理區(qū)安全域在安全管理區(qū)部署漏洞掃描設(shè)備，對網(wǎng)絡(luò)中的主機(jī)進(jìn)行安全自查，降低主精心整理專業(yè)資料機(jī)的脆弱性 。在安全管理區(qū)部署堡壘機(jī)設(shè)備，結(jié)合部署的身份認(rèn)證系統(tǒng)對主機(jī)與應(yīng)用進(jìn)行身份鑒別 ，訪問控制與安全審計 。在安全管理區(qū)部署安全管理平臺，對網(wǎng)絡(luò)中的主機(jī)與安全設(shè)備進(jìn)行統(tǒng)一的監(jiān)控與統(tǒng)一的日志分析 。在網(wǎng)絡(luò)中各個主機(jī)上部署網(wǎng)絡(luò)版防病毒軟件，并且在安全管理區(qū)部署網(wǎng)絡(luò)防病毒主控端 。5. 詳細(xì)安全設(shè)計5.1. 網(wǎng)絡(luò)安全設(shè)計5.1.1. 抗 DOS 設(shè)備.部署目的隨著僵尸網(wǎng)絡(luò)的泛濫，DDoS 攻擊等惡意流量的規(guī)模也在迅速增大。據(jù)估計，中國的黑客產(chǎn)業(yè)鏈條規(guī)模已

19、達(dá)上百億，而在這中間有很大一部分就是和DDoS 攻擊相關(guān)的 。實際上 ，DDoS 攻擊也像網(wǎng)絡(luò)帶寬一樣 ，已經(jīng)成為可以售賣的資源 。 利益驅(qū)使 DDoS 的規(guī)模進(jìn)一步擴(kuò)大 。2011 年 3 月，全球網(wǎng)絡(luò)安全和管理解決方案提供商ArborNetworks發(fā)布第六期全球互聯(lián)網(wǎng)基礎(chǔ)設(shè)施安全年報稱，2010 年是 DDoS 攻擊在互聯(lián)網(wǎng)上活動規(guī)模和頻率激增的一年 ； DDoS 攻擊規(guī)模首次突破100 Gbps ，服務(wù)提供商因此受到巨大的沖擊 。精心整理專業(yè)資料2012 年 3 月， CNCERT 發(fā)布了2011 年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢報告稱DDoS 的頻率和規(guī)模都在迅速增大。根據(jù) CNCERT 抽

20、樣監(jiān)測發(fā)現(xiàn) ，我國境內(nèi)日均發(fā)生攻擊總流量超過1G 的較大規(guī)模的DDoS 攻擊事件 365 起。其中，TCPSYN FLOOD 和 UDP FLOOD 等常見虛假源IP 地址攻擊事件約占70%，對其溯源和處臵難度較大 。DDoS 攻擊最讓人頭疼的是攻擊和防御的不對等性。現(xiàn)在的 DDoS 攻擊技術(shù)門檻越來越低 ，非常容易發(fā)起 ，但檢測和防御則需要強(qiáng)大的技術(shù)支撐。由于黑客地下產(chǎn)業(yè)鏈的發(fā)展，各種攻擊工具在網(wǎng)上隨處可見，甚至公然打包售賣。即使是對于初級網(wǎng)絡(luò)水平的人來說，使用這些攻擊也是很簡單的事情。而對于有經(jīng)驗的黑客來說 ，使用這些工具可以組織起復(fù)雜的攻擊，令防范變得困難 。例如 2011 年針對某游戲

21、網(wǎng)站的攻擊持續(xù)了數(shù)月，綜合采用了DNS 請求攻擊 、UDP FLOOD 、TCP SYN FLOOD、HTTP 請求攻擊等多種方式 ，攻擊峰值流量達(dá)數(shù)十個 Gbps ，令人防不勝防 。.部署方式及說明防 DOS 設(shè)備串行在網(wǎng)絡(luò)出口 ，對流量進(jìn)行清洗 ，過濾含有 DOS 或 DDOS特征的流量 ，保證網(wǎng)絡(luò)安全 。由于防 DOS 串行在網(wǎng)絡(luò)出口 ，所以選擇雙機(jī)部署 。5.1.2. 防火墻.部署目的防火墻是一種部署在安全邊界上的高級訪問控制設(shè)備，是不同區(qū)域之間信精心整理專業(yè)資料息流的唯一通道 ，能根據(jù)制定好的安全策略控制（允許、拒絕、監(jiān)視、記錄）不同區(qū)域之間的訪問行為。作

22、為一個專業(yè)化的訪問控制產(chǎn)品，防火墻不僅提供非常靈活的訪問控制功能（基于 IP 地址、端口、協(xié)議、用戶名、應(yīng)用命令等 ）和強(qiáng)大的審計鑒別功能，還提供了多種輔助功能，比如地址轉(zhuǎn)換 、端口映射 、IP 與 MAC 地址綁定等等 。安全邊界采用防火墻設(shè)備，根據(jù) ip 五元組（源/ 目的 ip ，源/ 目的端口 ，協(xié)議），對網(wǎng)絡(luò)邊界進(jìn)行訪問控制，隔離不同的安全域 ，只有經(jīng)過許可的ip 、端口、協(xié)議才被容許訪問防火墻內(nèi)的網(wǎng)絡(luò)和系統(tǒng)資源，保障了網(wǎng)絡(luò)的邏輯隔離。.部署方式及說明防火墻串行部署在網(wǎng)絡(luò)主干鏈路上，用于網(wǎng)絡(luò)安全邊界的訪問控制，可以采用透明工作模式 ，工作口不需要配置ip ，不影響網(wǎng)絡(luò)路

23、由結(jié)構(gòu) 。每臺防火墻 ，均另外需 1 個 ip 用來作為管理設(shè)備 ，管理方式為 B/S。由于防火墻作為網(wǎng)絡(luò)出口和安全域邊界的安全網(wǎng)關(guān)，一旦出現(xiàn)故障對網(wǎng)絡(luò)數(shù)據(jù)傳輸 、網(wǎng)絡(luò)安全策略有很大的影響，因此在網(wǎng)絡(luò)出口部署兩臺防火墻。在數(shù)據(jù)庫區(qū)邊界部署一臺防火墻。5.1.3. W EB 應(yīng)用安全網(wǎng)關(guān).部署目的Web 應(yīng)用安全網(wǎng)關(guān) （ Web ApplicationGateway ，簡稱 WAG）是新一代Web安全防護(hù)與應(yīng)用交付類應(yīng)用安全產(chǎn)品，主要針對Web服務(wù)器進(jìn)行精心整理專業(yè)資料HTTP/HTTPS 流量分析 ，防護(hù)以 Web 應(yīng)用程序漏洞為目標(biāo)的攻擊，并針對 Web應(yīng)用訪問各方面進(jìn)行優(yōu)化，

24、以提高 Web 或網(wǎng)絡(luò)協(xié)議應(yīng)用的可用性、性能和安全性，確保 Web 業(yè)務(wù)應(yīng)用能夠快速 、安全、可靠地交付 。WAG 應(yīng)用了一套HTTP 會話規(guī)則集 ，這些規(guī)則涵蓋諸如SQL 注入、以及XSS等常見的 Web 攻擊 。網(wǎng)頁防篡改模塊會事先將被保護(hù)Web 服務(wù)器的主要頁面拷貝到設(shè)備存儲器內(nèi) ，一旦檢測出被保護(hù)URL 頁面有被篡改的情況 ，遇到用戶有針對該頁面的訪問請求時，會將事先備份的正常頁面返回給用戶，屏蔽被篡改的頁面不被訪問 ，維護(hù)用戶的聲譽(yù) ，此種方法的優(yōu)點是不用在被保護(hù)Web服務(wù)器上安裝 Agent ，對 Web 應(yīng)用系統(tǒng)不會造成額外影響。.部署方式及說明在應(yīng)用區(qū)和核心交換機(jī)

25、之間串行部署Web 應(yīng)用安全網(wǎng)關(guān) ，可采取透明工作模式，不影響網(wǎng)絡(luò)路由結(jié)構(gòu) ，針對 Web 服務(wù)器進(jìn)行第 7 層流量分析 ，確保業(yè)務(wù)應(yīng)用能夠快速 、安全、可靠地交付 。5.1.4. 入侵防御.部署目的雖然訪問控制系統(tǒng) （如防火墻 ）可以靜態(tài)的實施訪問控制策略，防止一些非法的訪問等 ，但對利用合法的訪問手段或其它的攻擊手段（比如，利用內(nèi)部系統(tǒng)的漏洞等 ）對系統(tǒng)入侵和內(nèi)部用戶的入侵等是沒有辦法控制的；因此，系統(tǒng)內(nèi)需要建設(shè)統(tǒng)一的符合國家規(guī)定的安全檢測機(jī)制，實現(xiàn)對網(wǎng)絡(luò)系統(tǒng)進(jìn)行自動的入侵檢測和分析 ，對非法信息予以過濾 ，提高系統(tǒng)整體安全性 。精心整理專業(yè)資料入侵防御技術(shù)高度融合高性能、高

26、安全性 、高可靠性和易操作性等特性，帶來了深度攻擊防御和應(yīng)用帶寬保護(hù)的完美價值體驗。通過入侵防護(hù)系統(tǒng)可以實時、主動攔截黑客攻擊 、網(wǎng)絡(luò)病毒等惡意流量，保護(hù)信息系統(tǒng)和網(wǎng)絡(luò)架構(gòu)免受侵害，防止操作系統(tǒng)和應(yīng)用程序損壞或宕機(jī)，IPS可以深入到路由 、防火墻模塊和應(yīng)用層 ，快速掃描流量 ，它可以利用其上千種攻擊特征數(shù)據(jù)庫，識別和分析外部的攻擊 ，并實時報警和記錄 ，同時可以對上百種入侵和攻擊進(jìn)行主動防護(hù) 。此外 ，還可以對 MSN 、 Skype、Yahoo Message等即時消息進(jìn)行阻斷 ，允許用戶對 BT、kazza 等 P2P 多點共享協(xié)議軟件進(jìn)行阻斷。.部署方式及說明IPS串行部署

27、在網(wǎng)絡(luò)主干鏈路上，用于安全域邊界的入侵防護(hù)，可以采用透明工作模式 ，工作口不需要配置ip ，不影響網(wǎng)絡(luò)路由結(jié)構(gòu)。管理中心安裝在專用管理服務(wù)器中 ，實現(xiàn) IPS 設(shè)備統(tǒng)一的控制管理 、監(jiān)控告警 、日志收集和定制報表等功能 。由于 IPS 串行于主干線上所以雙機(jī)部署。5.1.5. 入侵檢測.部署目的互聯(lián)網(wǎng)當(dāng)前正處于高速的發(fā)展態(tài)勢，隨之而來的攻擊 、病毒、威脅也是日新月異 ，面對日益加劇的安全形式需要一套能夠?qū)崟r檢測攻擊、預(yù)警、響應(yīng)的工具。通過部署入侵檢測系統(tǒng)可以起到以下目的：（1）入侵檢測網(wǎng)絡(luò)入侵檢測系統(tǒng) （ IDS）可以實現(xiàn)對黑客攻擊 （緩沖區(qū)溢出 、SQL 注入、精心整理專業(yè)資料

28、暴力猜測 、拒絕服務(wù) 、掃描探測 、非授權(quán)訪問等 ）、蠕蟲病毒 、木馬后門 、間諜軟件、僵尸網(wǎng)絡(luò)等進(jìn)行實時檢測及報警。（2）流量分析網(wǎng)絡(luò)入侵檢測系統(tǒng) （ IDS）對網(wǎng)絡(luò)進(jìn)行流量分析 ，實時統(tǒng)計出當(dāng)前網(wǎng)絡(luò)中的各種報文流量 ； IDS 能夠幫助管理員對付網(wǎng)絡(luò)攻擊，最大限度地減少攻擊可能給用戶造成的損失 ，從而進(jìn)一步提高了單位信息安全基礎(chǔ)結(jié)構(gòu)的完整性。（3）行為監(jiān)控IDS 系統(tǒng)會對網(wǎng)絡(luò)流量進(jìn)行監(jiān)控，對嚴(yán)重濫用網(wǎng)絡(luò)資源的事件提供告警和記錄。.部署方式及說明網(wǎng)絡(luò)入侵檢測系統(tǒng)（ IDS）由于涉及到數(shù)據(jù)的存儲和處理，所以，多采用C/S 的部署方式 ，一般分為 “引擎 ”和 “控制臺 （兼數(shù)據(jù)中

29、心 ）”兩部分：（1）IDS 引擎：IDS 引擎接入核心交換機(jī)的鏡像端口，以監(jiān)聽相應(yīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)流量，IDS 引擎工作口無需配置ip ，另需配置一個管理ip 地址；（2）IDS 控制臺（兼數(shù)據(jù)中心 ）：在與引擎管理IP 地址聯(lián)通的安全管理安全域，部署 1 臺服務(wù)器 ，安裝 IDS控制臺軟件 ，以便存儲 、分析 IDS 引擎的檢測數(shù)據(jù) ，并管控 IDS 引擎。控制臺可掛接存儲設(shè)備 （如 NAS 存儲）。精心整理專業(yè)資料5.1.6. 安全審計.部署目的安全審計系統(tǒng)綜合了網(wǎng)絡(luò)安全審計和數(shù)據(jù)庫安全審計2 大功能。網(wǎng)絡(luò)審計系統(tǒng)針對業(yè)務(wù)環(huán)境下的網(wǎng)絡(luò)操作行為進(jìn)行細(xì)粒度審計的合規(guī)性管理系統(tǒng) 。 通

30、過對業(yè)務(wù)人員訪問系統(tǒng)的行為進(jìn)行解析、分析、記錄、匯報，以幫助用戶事前規(guī)劃預(yù)防、事中實時監(jiān)視 、違規(guī)行為響應(yīng) 、事后合規(guī)報告 、事故追蹤溯源 ，加強(qiáng)內(nèi)外部網(wǎng)絡(luò)行為監(jiān)管、促進(jìn)核心資產(chǎn) （數(shù)據(jù)庫 、服務(wù)器 、網(wǎng)絡(luò)設(shè)備等）的正常運營 。數(shù)據(jù)庫安全審計系統(tǒng)是通過網(wǎng)絡(luò)數(shù)據(jù)的采集、分析、識別，實時監(jiān)控網(wǎng)絡(luò)中數(shù)據(jù)庫的所有訪問操作，同時支持自定義內(nèi)容關(guān)鍵字庫，實現(xiàn)數(shù)據(jù)庫操作的內(nèi)容監(jiān)測識別 ，發(fā)現(xiàn)各種違規(guī)數(shù)據(jù)庫操作行為，及時報警響應(yīng) 、全過程操作還原，從而實現(xiàn)安全事件的準(zhǔn)確全程跟蹤定位，全面保障數(shù)據(jù)庫系統(tǒng)安全。.部署方式及說明數(shù)據(jù)庫安全域接入交換機(jī)旁路，部署 1 臺安全審計系統(tǒng) ，審計引擎需要接入交

31、換機(jī)的鏡像端口 ，工作口不需要配置ip ，不影響網(wǎng)絡(luò)路由結(jié)構(gòu) ，更不影響網(wǎng)絡(luò)性能 ；管理口接入安全管理域交換機(jī)，需配置 1 個 ip 用來進(jìn)行管理 。5.1.7. 防病毒.部署目的目前計算機(jī)病毒的發(fā)展日益猖獗，防病毒發(fā)展更趨向于集中式管理、分布精心整理專業(yè)資料式殺毒的架構(gòu) ，對局域網(wǎng)進(jìn)行遠(yuǎn)程集中式安全管理，可通過賬號和口令設(shè)置控制移動控制臺的使用，并且先進(jìn)的分布技術(shù)，利用本地資源和本地殺毒引擎，對本地節(jié)點的所有文件進(jìn)行全面、及時、高效的查殺病毒 ，同時保障用戶的隱私，減少了網(wǎng)絡(luò)傳輸?shù)呢?fù)載，避免因大量傳輸文件而引起的網(wǎng)絡(luò)擁塞。部署上以服務(wù)器為中心 ，進(jìn)行網(wǎng)絡(luò)殺毒的管理，這種方式與網(wǎng)

32、絡(luò)拓?fù)浣Y(jié)構(gòu)融合，管理更加方便 。.部署方式及說明在安全管理區(qū)部署殺毒軟件管控中心服務(wù)器，在網(wǎng)內(nèi)終端部署殺毒軟件客戶端，通過服務(wù)器端對終端的全面管理、制定病毒查殺策略 。5.2. 安全運維管理5.2.1. 漏洞掃描漏洞掃描系統(tǒng)主要用來定期檢查系統(tǒng)內(nèi)網(wǎng)絡(luò)設(shè)備、終端系統(tǒng) 、服務(wù)器系統(tǒng) 、安全設(shè)備以及數(shù)據(jù)庫等系統(tǒng)重要資產(chǎn)的脆弱性情況，針對主干系統(tǒng)的特點，建議將漏洞掃描部署在標(biāo)清和高清業(yè)務(wù)支撐平臺各自的安全管理區(qū)內(nèi)，實現(xiàn)對各自業(yè)務(wù)支撐平臺定期的漏洞掃描，同時，漏洞掃描的結(jié)果將提交給安全管理與綜合審計平臺 ，成為風(fēng)險分析的重要數(shù)據(jù)來源。漏洞掃描系統(tǒng)是基于網(wǎng)絡(luò)的脆弱性分析、評估和綜合管理系統(tǒng)，漏洞掃描系統(tǒng)能夠快速發(fā)現(xiàn)網(wǎng)絡(luò)資產(chǎn)，準(zhǔn)確識別資產(chǎn)屬性 、全面掃描安全漏洞 ，清晰定性安全風(fēng)險 ，給出修復(fù)建議和預(yù)防措施，并對風(fēng)險控制策略進(jìn)行有效審核，從而在弱點全面評估的基礎(chǔ)上實現(xiàn)安全自主掌控。精心整理專業(yè)資料5.2.2. 安全管理平臺安全管理平臺系統(tǒng)是一個面向全網(wǎng)IT 資源的集中安全管理平臺。通過對網(wǎng)絡(luò)中各類 IT 資源的安全域劃分 ，以及海量異構(gòu)網(wǎng)絡(luò)與安全事件的采集、處理和分析，面向業(yè)務(wù)信息系統(tǒng)建立一套可度量