網(wǎng)絡(luò)安全等級(jí)保護(hù)3級(jí)建設(shè)內(nèi)容設(shè)計(jì)方案

1、物理環(huán)境安全設(shè)計(jì)機(jī)房與配套設(shè)備安全策略的目的是保護(hù)網(wǎng)絡(luò)中計(jì)算機(jī)網(wǎng)絡(luò)通信有一個(gè)良好 的電磁兼容工作環(huán)境，并防止非法用戶進(jìn)入計(jì)算機(jī)控制室和各種偷竊、破壞活 動(dòng)的發(fā)生。物理位置的選擇在機(jī)房位置選擇上，應(yīng)選擇的場(chǎng)地具有防震、防風(fēng)和防雨等能力建筑內(nèi)， 同時(shí)盡量避免設(shè)在建筑物的頂層或地下室以保證機(jī)房的防水防潮效果，確保機(jī) 房的選擇合理合規(guī)。在UPS電池按放的位置選擇要考慮到樓板的承重等因素。物理訪問(wèn)控制對(duì)機(jī)房劃分區(qū)域進(jìn)行管理，區(qū)域和區(qū)域之間設(shè)置物理隔離裝置，在重要區(qū) 域前設(shè)置交付或安裝等過(guò)渡區(qū)域；進(jìn)入機(jī)房的來(lái)訪人員須經(jīng)過(guò)申請(qǐng)和審批流 程，并限制和監(jiān)控其活動(dòng)范圍，同時(shí)在機(jī)房的各出入口出配置配置電子門(mén)禁系 統(tǒng)

2、和視頻監(jiān)控系統(tǒng)，通過(guò)開(kāi)關(guān)門(mén)記錄和視頻來(lái)控制、鑒別和記錄機(jī)房進(jìn)入的人 員相關(guān)信息。防盜竊和防破壞在防盜竊和防破壞方面，對(duì)設(shè)備或主要部件進(jìn)行固定，并設(shè)置明顯的不易 除去的標(biāo)記。在強(qiáng)弱電鋪設(shè)方面盡量進(jìn)行隱蔽布設(shè)。為了防止無(wú)關(guān)人員和不法 分子非法接近網(wǎng)絡(luò)并使用網(wǎng)絡(luò)中的主機(jī)盜取信息、破壞網(wǎng)絡(luò)和主機(jī)系統(tǒng)、破壞 網(wǎng)絡(luò)中的數(shù)據(jù)的完整性和可用性，必須采用有效的區(qū)域監(jiān)控、防盜報(bào)警系統(tǒng)， 阻止非法用戶的各種臨近攻擊。此外，必須制定嚴(yán)格的出入管理制度和環(huán)境監(jiān) 控制度，以保障區(qū)域監(jiān)控系統(tǒng)和環(huán)境監(jiān)控系統(tǒng)的有效運(yùn)行。對(duì)介質(zhì)進(jìn)行分類(lèi)標(biāo) 識(shí)，存儲(chǔ)在介質(zhì)庫(kù)或檔案室中。利用光、電等技術(shù)設(shè)置機(jī)房防盜報(bào)警系統(tǒng)；對(duì) 機(jī)房設(shè)置監(jiān)控報(bào)警系統(tǒng)

3、。防雷擊嚴(yán)格按照國(guó)家的相關(guān)的標(biāo)準(zhǔn)將各類(lèi)機(jī)柜、設(shè)施和設(shè)備等通過(guò)接地系統(tǒng)安全 接地。同時(shí)在配電方面設(shè)置相應(yīng)的防雷保安器或過(guò)壓保護(hù)裝置等。防火合理規(guī)劃設(shè)備安裝位置，應(yīng)預(yù)留足夠的空間作安裝、維護(hù)及操作之用。房 間裝修必需使用阻燃材料，耐火等級(jí)符合國(guó)家相關(guān)標(biāo)準(zhǔn)規(guī)定，同時(shí)設(shè)置火災(zāi)自 動(dòng)消防系統(tǒng)，能夠自動(dòng)檢測(cè)火情、自動(dòng)報(bào)警，并自動(dòng)滅火；防水和防潮在機(jī)房建設(shè)階段，對(duì)機(jī)房窗戶、屋頂和墻壁進(jìn)行處理，防止液體滲透。按 照新風(fēng)系統(tǒng)防止機(jī)房?jī)?nèi)水蒸氣結(jié)露。在機(jī)房?jī)?nèi)部按照水浸傳感器，實(shí)時(shí)對(duì)機(jī)房 進(jìn)行防水檢測(cè)和報(bào)警。防靜電在地板方面，應(yīng)安裝防靜電地板并采用必要的接地防靜電措施，在上架、 調(diào)試觸摸設(shè)備時(shí)應(yīng)佩戴防靜電手環(huán)等措施消

4、除靜電避免靜電引起設(shè)備故障和事 故。溫濕度控制由于機(jī)房運(yùn)行的設(shè)備屬于精密電子產(chǎn)品，其本身對(duì)周?chē)沫h(huán)境要求較高， 同時(shí)設(shè)備在運(yùn)行是會(huì)產(chǎn)生大量熱量，如不能及時(shí)將調(diào)節(jié)溫濕度，設(shè)備會(huì)很容易 出現(xiàn)故障進(jìn)而引發(fā)系統(tǒng)癱瘓降低系統(tǒng)的可靠性。因此需要在機(jī)房按照專業(yè)的精 密空調(diào)，能夠根據(jù)機(jī)房環(huán)境自我調(diào)節(jié)設(shè)置溫、濕，使機(jī)房溫、濕度的變化在設(shè) 備運(yùn)行所允許的范圍之內(nèi)。電力供應(yīng)在電力供應(yīng)方面，在配電進(jìn)口處配置穩(wěn)壓器和過(guò)電壓防護(hù)設(shè)備保證電力供 應(yīng)的穩(wěn)定。根據(jù)系統(tǒng)的重要程度提供必要的后備電源以備短時(shí)情況下為核心系 統(tǒng)繼續(xù)提供電力保證。設(shè)置冗余或并行的電力電纜線路為計(jì)算機(jī)系統(tǒng)供電，建 立備用供電系統(tǒng)。同時(shí)在電力設(shè)計(jì)時(shí)應(yīng)考慮未

5、來(lái)幾年的機(jī)房發(fā)展預(yù)留部分電力 容量保證后期的發(fā)展需求。電磁防護(hù)對(duì)保密等特殊的關(guān)鍵系統(tǒng)，機(jī)房在建設(shè)時(shí)應(yīng)考慮到線纜的相互干擾、自身 的屏蔽以及機(jī)房電磁屏蔽等要求，符合特殊系統(tǒng)對(duì)電磁屏蔽的要求。二、通信網(wǎng)絡(luò)安全設(shè)計(jì)網(wǎng)絡(luò)架構(gòu)網(wǎng)絡(luò)結(jié)構(gòu)的安全是網(wǎng)絡(luò)安全的前提和基礎(chǔ)，單線路、單設(shè)備的結(jié)構(gòu)很容易 發(fā)生單點(diǎn)故障導(dǎo)致業(yè)務(wù)中斷，因此對(duì)于提供關(guān)鍵業(yè)務(wù)服務(wù)的信息系統(tǒng)，應(yīng)用訪 問(wèn)路徑上的任何一條通信鏈路、任何一臺(tái)網(wǎng)關(guān)設(shè)備和交換設(shè)備，都應(yīng)當(dāng)采用可 靠的冗余備份機(jī)制，以最大化保障數(shù)據(jù)訪問(wèn)的可用性和業(yè)務(wù)的連續(xù)性。對(duì)核心 交換機(jī)、邊界路由器、邊界防火墻、IPS、防病毒網(wǎng)關(guān)以及內(nèi)部重要安全域的交 換機(jī)等系統(tǒng)，采用主主、主備等多種冗

6、余方式，以提升網(wǎng)絡(luò)系統(tǒng)的整體容錯(cuò)能 力，防止出現(xiàn)單點(diǎn)故障。同時(shí)考慮業(yè)務(wù)處理能力的高峰數(shù)據(jù)流量，要考慮冗余 空間滿足業(yè)務(wù)高峰期需要，網(wǎng)絡(luò)各個(gè)部分的帶寬要保證接入網(wǎng)絡(luò)和核心網(wǎng)絡(luò)滿 足業(yè)務(wù)高峰期需要。其次，需要按照業(yè)務(wù)系統(tǒng)服務(wù)的重要次序定義帶寬分配的優(yōu)先級(jí)，在網(wǎng)絡(luò) 擁堵時(shí)優(yōu)先保障重要主機(jī)。根據(jù)實(shí)際需求，部署流量管理系統(tǒng)，實(shí)現(xiàn)按照業(yè)務(wù) 系統(tǒng)服務(wù)的重要次序來(lái)分配帶寬，優(yōu)先保障重要主機(jī)。最后，合理規(guī)劃路由，業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間建立安全路徑；繪制與 當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖；根據(jù)各部門(mén)的工作職能、重要性和所涉 及信息的重要程度等因素，劃分不同的網(wǎng)段或VLAN。保存有重要業(yè)務(wù)系統(tǒng)及數(shù) 據(jù)的重要網(wǎng)段

7、不能直接與外部系統(tǒng)連接，需要和其他網(wǎng)段隔離，單獨(dú)劃分區(qū) 域。通信傳輸為實(shí)現(xiàn)數(shù)據(jù)在網(wǎng)絡(luò)間傳輸過(guò)程中的機(jī)密性、完整性保護(hù)，核心設(shè)計(jì)思想是 以密碼技術(shù)為核心，對(duì)于有傳輸需求的業(yè)務(wù)應(yīng)用和管理，通過(guò)在網(wǎng)絡(luò)邊界部署 VPN設(shè)備，從而在公共網(wǎng)絡(luò)平臺(tái)上構(gòu)建VPN虛擬通道，將傳輸?shù)臄?shù)據(jù)包進(jìn)行加 密，保護(hù)傳輸數(shù)據(jù)的機(jī)密性和完整性。通過(guò)部署VPN功能，構(gòu)建VPN加密通道。利用VPN技術(shù)組建網(wǎng)絡(luò)安全平臺(tái) 的思想是：在中心節(jié)點(diǎn)及各個(gè)地方節(jié)點(diǎn)網(wǎng)絡(luò)的出口處，部署VPN設(shè)備，并將所 有的VPN設(shè)備納入全網(wǎng)統(tǒng)一的安全管理機(jī)構(gòu)的管理范圍，使VPN設(shè)備按照設(shè)定 的安全策略對(duì)進(jìn)出網(wǎng)絡(luò)的IP數(shù)據(jù)包進(jìn)行加/解密，從而在IP層上構(gòu)建起保障

8、網(wǎng) 絡(luò)安全傳輸?shù)腣PN平臺(tái)，為不同節(jié)點(diǎn)網(wǎng)絡(luò)內(nèi)計(jì)算機(jī)終端之間的連接安全和傳輸 安全提供有力的支撐和保障。由于工作在網(wǎng)絡(luò)層，則上層的應(yīng)用系統(tǒng)和業(yè)務(wù)系 統(tǒng)無(wú)需做任何更改即可實(shí)現(xiàn)安全通信。采用安全保密性很強(qiáng)的VPN技術(shù)，利用VPN設(shè)備所具有的身份鑒別/認(rèn)證、 數(shù)據(jù)加/解密以及訪問(wèn)控制等安全保密功能，可以將廣域網(wǎng)絡(luò)中存在的密級(jí)較高 敏感信息與其他信息進(jìn)行安全有效地隔離。這樣可以有針對(duì)性地滿足網(wǎng)絡(luò)傳輸 的安全需求，實(shí)現(xiàn)信息的正確流向與安全傳輸，在提高網(wǎng)絡(luò)安全風(fēng)險(xiǎn)抵抗能力 的基礎(chǔ)上實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的整體邏輯屏蔽與隔離。由于VPN技術(shù)通過(guò)在網(wǎng)絡(luò)層對(duì)IP數(shù)據(jù)包進(jìn)行相應(yīng)安全處理來(lái)組建安全傳輸 通道，故采用VPN技術(shù)組建

9、的虛擬專用網(wǎng)絡(luò)無(wú)須考慮底層鏈路傳輸協(xié)議，具有 極強(qiáng)的適應(yīng)性和廣泛性。三、區(qū)域邊界安全設(shè)計(jì)邊界防護(hù)邊界防護(hù)主要內(nèi)容是防止主機(jī)防非法外聯(lián)以及外部主機(jī)防非法接入兩個(gè)方 面考慮。防止由于以上兩種行動(dòng)造成網(wǎng)絡(luò)邊界非法外延，邊界不完整。當(dāng)前，對(duì)于防網(wǎng)絡(luò)非法接入以及非法外聯(lián)，主要通過(guò)部署終端安全管理系 統(tǒng)實(shí)現(xiàn)相應(yīng)功能。終端安全管理系統(tǒng)為了達(dá)到安全管理的目標(biāo)，主要包括如下 功能類(lèi)：1）桌面安全防護(hù)2）內(nèi)網(wǎng)資產(chǎn)管理3）行為管理監(jiān)控具體功能包括：限制非法外聯(lián)行為，防止商業(yè)機(jī)密泄漏；實(shí)時(shí)監(jiān)控各種網(wǎng)絡(luò)連接行 為，發(fā)現(xiàn)并且阻斷可疑上網(wǎng)行為，保護(hù)內(nèi)網(wǎng)資產(chǎn)。網(wǎng)絡(luò)接入控制，防止外部非授權(quán)許可的和主機(jī)接入。阻止各種內(nèi)網(wǎng)攻擊防止

10、黑客、木馬、間諜軟件攻擊、蠕蟲(chóng)病毒爆發(fā)、非法探測(cè)掃描等攻 擊企圖與攻擊行為；對(duì)終端設(shè)備實(shí)施強(qiáng)制網(wǎng)絡(luò)接入控制。提高內(nèi)網(wǎng)資源使用效率遠(yuǎn)程策略管理、資產(chǎn)管理與控制、防止內(nèi)網(wǎng)資源的濫用行為，限制應(yīng) 用軟件的濫用（BT、P2P、即時(shí)通訊軟件）。一、防非法外聯(lián)設(shè)計(jì)非法外聯(lián)作為終端防護(hù)的重要技術(shù)功能，可以有效的對(duì)內(nèi)部網(wǎng)絡(luò)環(huán)境實(shí)施 管理，可以對(duì)內(nèi)網(wǎng)外聯(lián)及非內(nèi)網(wǎng)主機(jī)的接入作監(jiān)控；對(duì)主機(jī)開(kāi)機(jī)上線、關(guān)機(jī)下 線信息以及主機(jī)名、主機(jī)物理地址（MAC地址）改變等信息進(jìn)行報(bào)警。所有事 件的詳細(xì)信息都自動(dòng)錄入數(shù)據(jù)庫(kù)，可以提供包括對(duì)指定時(shí)間段范圍、IP地址段 范圍、事件類(lèi)型等條件的組合查詢，方便網(wǎng)絡(luò)管理員對(duì)安全事件的事后分析。

11、二、網(wǎng)絡(luò)可信接入功能設(shè)計(jì)能夠按照指定的策略控制機(jī)器對(duì)網(wǎng)絡(luò)的接入，保證只有認(rèn)證通過(guò)的機(jī)器才 能夠接入網(wǎng)絡(luò)，防止存在安全隱患或未經(jīng)授權(quán)的機(jī)器接入內(nèi)網(wǎng)，在網(wǎng)絡(luò)接入層 控制非法終端連接，支持IEEE802.1x端口認(rèn)證的工業(yè)標(biāo)準(zhǔn)。對(duì)于不支持 IEEE802.1X交換環(huán)境，采用軟件控制的方式實(shí)現(xiàn)對(duì)終端設(shè)備的安全接入控制。 根據(jù)網(wǎng)絡(luò)環(huán)境，用戶可以選擇在不同網(wǎng)段分別啟用802.1X認(rèn)證、非802.1X認(rèn) 證、不啟用網(wǎng)絡(luò)準(zhǔn)入認(rèn)證組合。a）應(yīng)保證跨越邊界的訪問(wèn)和數(shù)據(jù)流通過(guò)邊界防護(hù)設(shè)備提供的受控接口進(jìn)行 通信；b）應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行限制或檢查；c）應(yīng)能夠?qū)?nèi)部用戶非授權(quán)聯(lián)到外部網(wǎng)絡(luò)的行為

12、進(jìn)行限制或檢查；d）應(yīng)限制無(wú)線網(wǎng)絡(luò)的使用，確保無(wú)線網(wǎng)絡(luò)通過(guò)受控的邊界防護(hù)設(shè)備接入內(nèi) 部網(wǎng)絡(luò)。訪問(wèn)控制網(wǎng)絡(luò)區(qū)域邊界通常是整個(gè)網(wǎng)絡(luò)系統(tǒng)中較為容易受到攻擊的位置，很多來(lái)自 外部的攻擊都是通過(guò)邊界的薄弱環(huán)節(jié)攻擊到網(wǎng)絡(luò)內(nèi)部的。而安全域的邊界也需 要做安全防御，以保證安全域內(nèi)的信息安全以及安全域內(nèi)與其他安全域間的數(shù) 據(jù)的受控的訪問(wèn)。因此網(wǎng)絡(luò)及安全域邊界需要進(jìn)行著重的安全防御設(shè)計(jì)。邊界主要通過(guò)部署防火墻、網(wǎng)絡(luò)入侵防御系統(tǒng)、病毒防護(hù)網(wǎng)關(guān)等設(shè)備，配 以合理的安全防護(hù)策略以及考慮到各個(gè)安全產(chǎn)品間的聯(lián)動(dòng)互補(bǔ)。不同的業(yè)務(wù)應(yīng) 用系統(tǒng)采用劃分不同的VLAN實(shí)現(xiàn)業(yè)務(wù)邊界的隔離。本方案通過(guò)在邊界出口處以雙機(jī)模式串聯(lián)部署兩臺(tái)防

13、火墻，隔離內(nèi)外網(wǎng) 絡(luò)，在防火墻上啟用訪問(wèn)控制策略設(shè)，默認(rèn)情況下除允許通信外受控接口拒絕 所有通信。刪除多余或無(wú)效的訪問(wèn)控制規(guī)則，優(yōu)化訪問(wèn)控制列表，并保證訪問(wèn) 控制規(guī)則數(shù)量最小化。對(duì)源地址、目的地址、源端口、目的端口和協(xié)議等進(jìn)行 檢查，拒絕不符合的數(shù)據(jù)包進(jìn)出。細(xì)化控制粒度，根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流 提供明確的訪問(wèn)的能力。在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)利用下一代防火墻的優(yōu)勢(shì)，在L2-L7 層處對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過(guò)濾，實(shí)現(xiàn)對(duì)內(nèi)容的訪問(wèn)控制。入侵防范通過(guò)對(duì)網(wǎng)絡(luò)的邊界風(fēng)險(xiǎn)與需求分析，在防火墻下聯(lián)區(qū)以雙機(jī)串聯(lián)模式部署 兩臺(tái)入侵防御系統(tǒng)，在網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)處旁路部署入侵檢測(cè)系統(tǒng)，通過(guò)兩者的聯(lián) 動(dòng)，針對(duì)日趨復(fù)雜的應(yīng)用安全威

14、脅和混合型網(wǎng)絡(luò)攻擊，準(zhǔn)確監(jiān)測(cè)網(wǎng)絡(luò)異常流 量，自動(dòng)應(yīng)對(duì)各層面安全隱患，第一時(shí)間將安全威脅阻隔在單位網(wǎng)絡(luò)外部，彌 補(bǔ)了防火墻等產(chǎn)品的不足，提供動(dòng)態(tài)的、深度的、主動(dòng)的安全防御，從智能識(shí) 別、環(huán)境感知、行為分析三方面加強(qiáng)了對(duì)應(yīng)用協(xié)議、異常行為、惡意文件的檢 測(cè)和防護(hù)，提供了一個(gè)看得見(jiàn)、檢得出、防得住的全新入侵防護(hù)解決方案。惡意代碼防范隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的迅速發(fā)展與廣泛應(yīng)用，新型病毒層出不窮，且由于 其傳播速度更快、影響范圍更廣、針對(duì)性更強(qiáng)的特點(diǎn)，傳統(tǒng)的防火墻主要是通 過(guò)協(xié)議、地址和端口是判斷網(wǎng)絡(luò)數(shù)據(jù)是否符合策略要求，而入侵防御系統(tǒng)的側(cè) 重點(diǎn)是針對(duì)應(yīng)用層數(shù)據(jù)匹配現(xiàn)有的特征庫(kù)進(jìn)行數(shù)據(jù)的過(guò)濾。防火墻和入侵防

15、御 系統(tǒng)并不能滿足上述需求，因此需要專業(yè)的防病毒網(wǎng)關(guān)設(shè)備來(lái)實(shí)現(xiàn)。在入侵防御系統(tǒng)下聯(lián)出以雙機(jī)串聯(lián)模式部署兩臺(tái)網(wǎng)絡(luò)防病毒網(wǎng)關(guān)，通過(guò)對(duì) 應(yīng)用數(shù)據(jù)進(jìn)行病毒掃描檢測(cè)，濾攔截病毒、木馬、間諜軟件、惡意郵寄等惡意 代碼，在病毒未進(jìn)入內(nèi)部網(wǎng)絡(luò)造成損失之前進(jìn)行阻斷攔截，有效避免了病毒所 給用戶帶來(lái)的損失和影響。安全審計(jì)各安全區(qū)域邊界已經(jīng)部署了相應(yīng)的安全設(shè)備負(fù)責(zé)進(jìn)行區(qū)域邊界的安全。但 是對(duì)于流經(jīng)各主要邊界（重要服務(wù)器區(qū)域、外部連接邊界）的數(shù)據(jù)流量沒(méi)有審 計(jì)機(jī)制。本方案中通過(guò)在核心交換機(jī)上旁路部署網(wǎng)絡(luò)審計(jì)系統(tǒng)和入侵檢測(cè)系 統(tǒng)，對(duì)區(qū)域邊界進(jìn)行安全審計(jì)。網(wǎng)絡(luò)邊界審計(jì)通過(guò)對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)、報(bào)警、記 錄和審計(jì)；統(tǒng)計(jì)網(wǎng)絡(luò)各種應(yīng)

16、用流量和用戶IP流量，了解網(wǎng)絡(luò)帶寬和應(yīng)用的使 用，發(fā)現(xiàn)存在的問(wèn)題，提高網(wǎng)絡(luò)使用效率。通過(guò)豐富的審計(jì)數(shù)據(jù)和統(tǒng)計(jì)數(shù)據(jù)， 及時(shí)發(fā)現(xiàn)異常應(yīng)用，幫助管理者快速分析定位問(wèn)題對(duì)象。同時(shí)開(kāi)啟邊界安全設(shè) 備的審計(jì)功能模塊，根據(jù)審計(jì)策略進(jìn)行數(shù)據(jù)的日志記錄與審計(jì)，并將審計(jì)信息 通過(guò)安全管理中心進(jìn)行統(tǒng)一集中管理，為安全管理中心提供必要的審計(jì)數(shù)據(jù)， 利于管理中心進(jìn)行全局管控。邊界安全審計(jì)和主機(jī)審計(jì)、應(yīng)用審計(jì)、網(wǎng)絡(luò)審計(jì) 等一起構(gòu)成完整的、多層次的審計(jì)系統(tǒng)。四、計(jì)算環(huán)境安全設(shè)計(jì)身份鑒別為了保證網(wǎng)絡(luò)信息的保密性，完整性，可控性，可用性和抗抵賴性，信息 系統(tǒng)需要采用多種安全技術(shù)，如身份鑒別、信息加密、信息完整性校驗(yàn)、抗抵 賴等

17、。對(duì)于不同用戶的訪問(wèn)行為，將通過(guò)不同的機(jī)制實(shí)現(xiàn)其身份鑒別。針對(duì)管理用戶訪問(wèn)的身份鑒別主要由堡壘機(jī)實(shí)現(xiàn)，通過(guò)將各設(shè)備、應(yīng)用系 統(tǒng)的管理接口，通過(guò)強(qiáng)制策略路由的方式，轉(zhuǎn)發(fā)至堡壘主機(jī)，從而完成反向代 理的部署模式，實(shí)現(xiàn)對(duì)管理用戶的身份鑒別。目前階段，可將各類(lèi)設(shè)備（網(wǎng)絡(luò)設(shè)備、安全設(shè)備、非虛擬化主機(jī)服務(wù)器） 以及虛擬化平臺(tái)的管理接口，對(duì)接至堡壘機(jī)，由堡壘機(jī)完成單點(diǎn)登錄、身份鑒 別。主機(jī)身份鑒別：為提高主機(jī)系統(tǒng)安全性，保障各種應(yīng)用的正常運(yùn)行，對(duì)主機(jī)系統(tǒng)需要進(jìn)行 一系列的加固措施，包括：對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的用戶進(jìn)行身份標(biāo)識(shí)和鑒別，且保證用 戶名的唯一性。根據(jù)基本要求配置用戶名/口令；口令必須具備采用

18、3種以上字符、長(zhǎng)度不少于8位并定期更換；啟用登陸失敗處理功能，登陸失敗后采取結(jié)束會(huì)話、限制非法登錄次 數(shù)和自動(dòng)退出等措施。遠(yuǎn)程管理時(shí)應(yīng)啟用SSH等管理方式，加密管理數(shù)據(jù)，防止被網(wǎng)絡(luò)竊 聽(tīng)。 對(duì)主機(jī)管理員登錄進(jìn)行雙因素認(rèn)證方式，采用USB key+密碼進(jìn)行身份 鑒別應(yīng)用身份鑒別：為提高應(yīng)用系統(tǒng)系統(tǒng)安全性應(yīng)用系統(tǒng)需要進(jìn)行一系列的加固措施，包括：對(duì)登錄用戶進(jìn)行身份標(biāo)識(shí)和鑒別，且保證用戶名的唯一性。根據(jù)基本要求配置用戶名/口令，必須具備一定的復(fù)雜度；口令必須具 備采用3種以上字符、長(zhǎng)度不少于8位并定期更換；啟用登陸失敗處理功能，登陸失敗后采取結(jié)束會(huì)話、限制非法登錄次 數(shù)和自動(dòng)退出等措施。應(yīng)用系統(tǒng)如具備

19、上述功能則需要開(kāi)啟使用，若不具備則需進(jìn)行相應(yīng)的 功能開(kāi)發(fā)，且使用效果要達(dá)到以上要求。安全審計(jì)在安全管理運(yùn)維區(qū)部署運(yùn)維審計(jì)系統(tǒng)（通稱堡壘主機(jī)），對(duì)核心IT設(shè)備的 管理員用戶提供集中登錄認(rèn)證、權(quán)限控制和操作監(jiān)控。被管理資源包括服務(wù) 器、數(shù)據(jù)庫(kù)、交換機(jī)、路由器、防火墻及其他安全設(shè)備等。通過(guò)部署運(yùn)維審計(jì)系統(tǒng)（堡壘主機(jī)），可以實(shí)現(xiàn)以下功能：?jiǎn)吸c(diǎn)登錄堡壘主機(jī)提供了基于B/S的單點(diǎn)登錄系統(tǒng)，用戶通過(guò)一次登錄系統(tǒng)后，就 可以無(wú)需認(rèn)證的訪問(wèn)包括被授權(quán)的多種基于B/S的應(yīng)用系統(tǒng)。賬戶管理集中帳號(hào)管理包含對(duì)所有服務(wù)器、網(wǎng)絡(luò)設(shè)備帳號(hào)的集中管理，是集中授 權(quán)、認(rèn)證和審計(jì)的基礎(chǔ)。集中帳號(hào)管理可以實(shí)現(xiàn)將帳號(hào)與具體的自然人相

20、關(guān) 聯(lián)，從而實(shí)現(xiàn)針對(duì)自然人的行為審計(jì)。身份認(rèn)證堡壘主機(jī)為用戶提供統(tǒng)一的認(rèn)證界面。采用統(tǒng)一的認(rèn)證接口不但便于對(duì)用 戶認(rèn)證的管理，而且能夠采用更加安全的認(rèn)證模式，包括靜態(tài)密碼、雙因素、 一次性口令和生物特征等多種認(rèn)證方式，而且可以方便地與第三方認(rèn)證服務(wù)對(duì) 接，提高認(rèn)證的安全性和可靠性，同時(shí)又避免了直接在業(yè)務(wù)服務(wù)器上安裝認(rèn)證 代理軟件所帶來(lái)的額外開(kāi)銷(xiāo)。集中身份認(rèn)證建議采用基于靜態(tài)密碼+數(shù)字證書(shū)的 雙因素認(rèn)證方式。資源授權(quán)堡壘主機(jī)提供統(tǒng)一的界面，對(duì)用戶、角色及行為和資源進(jìn)行授權(quán)，以達(dá)到 對(duì)權(quán)限的細(xì)粒度控制，最大限度保護(hù)用戶資源的安全。通過(guò)集中訪問(wèn)授權(quán)和訪 問(wèn)控制可以對(duì)用戶通過(guò)B/S對(duì)服務(wù)器主機(jī)、網(wǎng)絡(luò)設(shè)

21、備的訪問(wèn)進(jìn)行審計(jì)。授權(quán)的 對(duì)象包括用戶、用戶角色、資源和用戶行為。系統(tǒng)不但能夠授權(quán)用戶可以通過(guò) 什么角色訪問(wèn)資源這樣基于應(yīng)用邊界的粗粒度授權(quán)，對(duì)某些應(yīng)用還可以限制用 戶的操作，以及在什么時(shí)間進(jìn)行操作等的細(xì)粒度授權(quán)。訪問(wèn)控制堡壘主機(jī)系統(tǒng)能夠提供細(xì)粒度的訪問(wèn)控制，最大限度保護(hù)用戶資源的安 全。細(xì)粒度的命令策略是命令的集合，可以是一組可執(zhí)行命令，也可以是一組 非可執(zhí)行的命令，該命令集合用來(lái)分配給具體的用戶，來(lái)限制其系統(tǒng)行為，管 理員會(huì)根據(jù)其自身的角色為其指定相應(yīng)的控制策略來(lái)限定用戶。操作審計(jì)操作審計(jì)管理主要審計(jì)操作人員的帳號(hào)使用（登錄、資源訪問(wèn)）情況、資 源使用情況等。在各服務(wù)器主機(jī)、網(wǎng)絡(luò)設(shè)備的訪問(wèn)

22、日志記錄都采用統(tǒng)一的帳 號(hào)、資源進(jìn)行標(biāo)識(shí)后，操作審計(jì)能更好地對(duì)帳號(hào)的完整使用過(guò)程進(jìn)行追蹤。為 了對(duì)字符終端、圖形終端操作行為進(jìn)行審計(jì)和監(jiān)控，內(nèi)控堡壘主機(jī)對(duì)各種字符 終端和圖形終端使用的協(xié)議進(jìn)行代理，實(shí)現(xiàn)多平臺(tái)的操作支持和審計(jì)，例如 Telnet、SSH、FTP、Windows 平臺(tái)的 RDP 遠(yuǎn)程桌面協(xié)議，Linux/Unix 平臺(tái)的 X Window圖形終端訪問(wèn)協(xié)議等。堡壘機(jī)的審計(jì)數(shù)據(jù)提供專有的存儲(chǔ)系統(tǒng)，進(jìn)行集中存儲(chǔ)保留，保留期在6 個(gè)月以上。入侵防范針對(duì)入侵防范主要體現(xiàn)在主機(jī)及網(wǎng)絡(luò)兩個(gè)層面。針對(duì)主機(jī)的入侵防范，可以從多個(gè)角度進(jìn)行處理：入侵檢測(cè)系統(tǒng)可以起到防范針對(duì)主機(jī)的入侵行為；部署漏洞掃描

23、進(jìn)行系統(tǒng)安全性檢測(cè)；部署終端安全管理系統(tǒng)，開(kāi)啟補(bǔ)丁分發(fā)功能模塊及時(shí)進(jìn)行系統(tǒng)補(bǔ)丁升 級(jí)；操作系統(tǒng)的安裝遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，關(guān)閉多余服務(wù)等；另外根據(jù)系統(tǒng)類(lèi)型進(jìn)行其它安全配置的加固處理。惡意代碼防范針對(duì)應(yīng)用系統(tǒng)的惡意代碼檢測(cè)防護(hù)，主要是針對(duì)進(jìn)行服務(wù)器終端的病毒防 護(hù)以及WEB應(yīng)用木馬程序的檢測(cè)。防護(hù)各類(lèi)常見(jiàn)的WEB應(yīng)用攻擊，如蠕蟲(chóng)、跨 站腳本、網(wǎng)頁(yè)盜鏈、以及WEB應(yīng)用掛馬等。通過(guò)定期的安全防護(hù)可以檢測(cè)WEB 應(yīng)用掛馬。具體防護(hù)操作包括：及時(shí)下載并安裝補(bǔ)丁程序 使用 Firefox 或 Opera健壯的系統(tǒng)口令關(guān)閉不必要的系統(tǒng)服務(wù)關(guān)閉自動(dòng)運(yùn)行功能服務(wù)器防病毒系統(tǒng)必須重視集中

24、的管理、監(jiān)控和升級(jí)，提高管理效率。同 時(shí)，因?yàn)榉?wù)器往往運(yùn)行重要的應(yīng)用服務(wù)，因此，必須注意防病毒軟件對(duì)服務(wù) 器性能、功能以及穩(wěn)定性的影響。同樣，它必須能夠提供對(duì)集中管理平臺(tái)的接 口，實(shí)現(xiàn)整體監(jiān)控。建立防病毒系統(tǒng)的集中管理平臺(tái)。通過(guò)管理控制臺(tái)，實(shí)現(xiàn) 對(duì)全網(wǎng)絡(luò)防病毒系統(tǒng)的安裝、配置、管理和監(jiān)控。加強(qiáng)防病毒系統(tǒng)的管理效 果，節(jié)約人力資源，提高管理效率。數(shù)據(jù)完整性和保密性在傳輸過(guò)程中主要依靠VPN系統(tǒng)可以來(lái)保障數(shù)據(jù)包的數(shù)據(jù)完整性、保密 性、可用性。目前VPN的組建主要采用兩種方式，基于IPSEC協(xié)議的VPN以 及 基于SSL協(xié)議的VPN。IPSec VPN適用于組建site-to-site形態(tài)的虛擬專

25、有網(wǎng)絡(luò)，IPSEC協(xié)議提供的 安全服務(wù)包括：保密性一一IPSec在傳輸數(shù)據(jù)包之前將其加密.以保證數(shù)據(jù)的保密性。完整性一一IPSec在目的地要驗(yàn)證數(shù)據(jù)包，以保證該數(shù)據(jù)包任傳輸過(guò)程中沒(méi) 有被修改或替換。完整性校驗(yàn)是IPSEC VPN重要的功能之一。真實(shí)性一IPSec端要驗(yàn)證所有受IPSec保護(hù)的數(shù)據(jù)包。防重放IPSec防止了數(shù)據(jù)包被捕捉并重新投放到網(wǎng)上，即目的地會(huì)拒絕 老的或重復(fù)的數(shù)據(jù)包，它通過(guò)報(bào)文的序列號(hào)實(shí)現(xiàn)。SSL VPN適用于遠(yuǎn)程接入環(huán)境，例如：移動(dòng)辦公接入。它和IPSEC VPN適 用于不同的應(yīng)用場(chǎng)景，可配合使用。SSL的英文全稱是“Secure Sockets Layer”，中文名為安全

26、套接層協(xié)議層”， 它是網(wǎng)景（Netscape）公司提出的基于WEB應(yīng)用的安全協(xié)議。SSL協(xié)議指定了 一種在應(yīng)用程序協(xié)議（如Http、Telenet、NMTP和FTP等）和TCP/IP協(xié)議之間 提供數(shù)據(jù)安全性分層的機(jī)制，它為T(mén)CP/IP連接提供數(shù)據(jù)加密、服務(wù)器認(rèn)證、消 息完整性以及可選的客戶機(jī)認(rèn)證。SSL與IPSec安全協(xié)議一樣，也可提供加密和身份驗(yàn)證安全方法，因此安全 性上二者無(wú)明顯差別。SSL VPN使用SSL/HTTPS技術(shù)作為安全傳輸機(jī)制。這種機(jī)制在所有的標(biāo) 準(zhǔn)Web瀏覽器上都有，不用額外的軟件實(shí)現(xiàn)。使用SSL VPN，在移動(dòng)用戶和內(nèi) 部資源之間的連接通過(guò)應(yīng)用層的Web連接實(shí)現(xiàn)，而不是像

27、IPSec VPN在網(wǎng)絡(luò)層 開(kāi)放的通道。SSL對(duì)移動(dòng)用戶是理想的技術(shù)，因?yàn)椋篠SL無(wú)需被加載到終端設(shè)備上SSL無(wú)需終端用戶配置SSL無(wú)需被限于固定終端，只要有標(biāo)準(zhǔn)瀏覽器即可使用產(chǎn)品部署方面，SSL VPN只需單臂旁路方式接入。單臂旁路接入不改變?cè)?有網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)路配置，不增加故障點(diǎn)，部署簡(jiǎn)單靈活，同時(shí)提供完整的SSL VPN服務(wù)。遠(yuǎn)程用戶只需應(yīng)用標(biāo)準(zhǔn)IE瀏覽器即可登陸網(wǎng)關(guān)，通過(guò)身份鑒別，在 基于角色的策略控制下實(shí)現(xiàn)對(duì)企業(yè)內(nèi)部資源的存取訪問(wèn)。遠(yuǎn)程移動(dòng)用戶只需打 開(kāi)標(biāo)準(zhǔn)IE瀏覽器，登陸SSL VPN網(wǎng)關(guān)，經(jīng)過(guò)用戶認(rèn)證后即可根據(jù)分配給該用 戶的相應(yīng)策略進(jìn)行相關(guān)業(yè)務(wù)系統(tǒng)的訪問(wèn)數(shù)據(jù)備份和恢復(fù)備份與恢復(fù)主

28、要包含兩方面內(nèi)容，首先是指數(shù)據(jù)備份與恢復(fù)，另外一方面 是關(guān)鍵網(wǎng)絡(luò)設(shè)備、線路以及服務(wù)器等硬件設(shè)備的冗余。數(shù)據(jù)是最重要的系統(tǒng)資源。數(shù)據(jù)丟失將會(huì)使系統(tǒng)無(wú)法連續(xù)正常工作。數(shù)據(jù) 錯(cuò)誤則將意味著不準(zhǔn)確的事務(wù)處理?？煽康南到y(tǒng)要求能立即訪問(wèn)準(zhǔn)確信息。將 綜合存儲(chǔ)戰(zhàn)略作為計(jì)算機(jī)信息系統(tǒng)基礎(chǔ)設(shè)施的一部分實(shí)施不再是一種選擇，而 已成為必然的趨勢(shì)。數(shù)據(jù)備份系統(tǒng)應(yīng)該遵循穩(wěn)定性、全面性、自動(dòng)化、高性能、操作簡(jiǎn)單、實(shí) 時(shí)性等原則。備份系統(tǒng)先進(jìn)的特性可提供增強(qiáng)的性能，易于管理，廣泛的設(shè)備 兼容性和較高的可靠性，以保證數(shù)據(jù)完整性。廣泛的選件和代理能將數(shù)據(jù)保護(hù) 擴(kuò)展到整個(gè)系統(tǒng)，并提供增強(qiáng)的功能，其中包括聯(lián)機(jī)備份應(yīng)用系統(tǒng)和數(shù)據(jù)文件

29、， 先進(jìn)的設(shè)備和介質(zhì)管理，快速、順利的災(zāi)難恢復(fù)以及對(duì)光纖通道存儲(chǔ)區(qū)域網(wǎng)（SAN）的支持等。本地完全數(shù)據(jù)備份至少每天一次，且備份介質(zhì)需要場(chǎng)外存放。提供能異地?cái)?shù)據(jù)備份功能，利用通信網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)定時(shí)批量傳送至異地 備用場(chǎng)地。對(duì)于核心交換設(shè)備、外部接入鏈路以及系統(tǒng)服務(wù)器進(jìn)行雙機(jī)、雙線的冗余 設(shè)計(jì)，保障從網(wǎng)絡(luò)結(jié)構(gòu)、硬件配置上滿足不間斷系統(tǒng)運(yùn)行的需要。服務(wù)器負(fù)載均衡應(yīng)用高可用：實(shí)現(xiàn)多臺(tái)服務(wù)器之間冗余3到7層的多種服務(wù)器健康檢 查應(yīng)用高性能：實(shí)現(xiàn)多臺(tái)服務(wù)器性能疊加一一4、7層的多種負(fù)載均衡算法應(yīng)用可擴(kuò)展：實(shí)現(xiàn)應(yīng)用基于實(shí)際需求的性能調(diào)整一服務(wù)器平滑退出、平 滑上線降低服務(wù)器負(fù)載一TCP連接復(fù)用、HTTP緩存

30、、SSL卸載。提升用戶訪問(wèn)速度一TCP單邊加速、HTTP緩存、壓縮。服務(wù)器狀態(tài)、鏈路狀態(tài)和用戶行為可視化一一各類(lèi)報(bào)表功能、商業(yè)智能分 析鏈路負(fù)載均衡（入站）解決外部用戶跨運(yùn)營(yíng)訪問(wèn)造成的訪問(wèn)速度慢的問(wèn)題一智能DNS（出入站）多條鏈路之間形成冗余，保障用戶訪問(wèn)穩(wěn)定性一一鏈路健康狀 況檢測(cè)（出站）按需為內(nèi)網(wǎng)用戶選擇合適的鏈路訪問(wèn)互聯(lián)網(wǎng)，提升帶寬資源利用 率，減少帶寬投資成本一一多種鏈路負(fù)載算法、智能路由、DNS透明代理全局負(fù)載均衡：實(shí)現(xiàn)多數(shù)據(jù)中心入站流量選路、精確為用戶選擇最佳（就近）站點(diǎn)。五、安全管理中心設(shè)計(jì)系統(tǒng)管理通過(guò)系統(tǒng)管理員對(duì)系統(tǒng)的服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)進(jìn)行統(tǒng) 一的管理包括：用

31、戶身份管理：統(tǒng)一管理系統(tǒng)用戶身份，按照業(yè)務(wù)上分工的不同，合理 地把相關(guān)人員劃分為不同的類(lèi)別或者組，以及不同的角色對(duì)模塊的訪問(wèn) 權(quán)限。權(quán)限設(shè)置可按角色劃分，角色分為普通用戶、系統(tǒng)管理員、安全 管理員、審計(jì)管理員等。系統(tǒng)資源配置：進(jìn)行系統(tǒng)資源配置管理與監(jiān)控，包括CPU負(fù)載、磁盤(pán)使 用情況、服務(wù)器內(nèi)存、數(shù)據(jù)庫(kù)的空間、數(shù)據(jù)庫(kù)日志空間、SWAP使用情 況等，通過(guò)配置采樣時(shí)間，定時(shí)檢測(cè)。系統(tǒng)加載和啟動(dòng)：進(jìn)行系統(tǒng)啟動(dòng)初始化管理，保障系統(tǒng)的正常加載和啟 動(dòng)。數(shù)據(jù)備份與恢復(fù)：數(shù)據(jù)的定期備份與恢復(fù)管理，識(shí)別需要定期備份的重 要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)，規(guī)定備份信息的備份方式、備份頻 度、存儲(chǔ)介質(zhì)、保存期等；根

32、據(jù)數(shù)據(jù)的重要性及其對(duì)系統(tǒng)運(yùn)行的影響， 制定數(shù)據(jù)的備份策略和恢復(fù)策略，定期執(zhí)行備份與恢復(fù)策略。惡意代碼防范管理：建立惡意代碼管理中心，進(jìn)行防惡意代碼軟件的統(tǒng) 一管理。惡意代碼管理中心實(shí)現(xiàn)：殺毒策略統(tǒng)一集中配置；自動(dòng)并強(qiáng)制 進(jìn)行惡意代碼庫(kù)升級(jí)；定制統(tǒng)一客戶端策略并強(qiáng)制執(zhí)行；進(jìn)行集中病毒 報(bào)警等。系統(tǒng)補(bǔ)丁管理：集中進(jìn)行補(bǔ)丁管理，定期統(tǒng)一進(jìn)行系統(tǒng)補(bǔ)丁安裝。注意 應(yīng)首先在測(cè)試環(huán)境中測(cè)試通過(guò)，并對(duì)重要文件進(jìn)行備份后，方可實(shí)施系 統(tǒng)補(bǔ)丁程序的安裝。系統(tǒng)管理員身份認(rèn)證與審計(jì)：對(duì)系統(tǒng)管理員進(jìn)行嚴(yán)格的身份鑒別，只允許 其通過(guò)特定的命令或操作界面進(jìn)行系統(tǒng)管理操作，并對(duì)這些操作進(jìn)行審計(jì)。審計(jì)管理通過(guò)安全審計(jì)員對(duì)分布在系統(tǒng)各個(gè)組成部分的安全審計(jì)機(jī)制進(jìn)行集中管 理，包括：根據(jù)安全審計(jì)策略對(duì)審計(jì)記錄進(jìn)行分類(lèi)；提供按時(shí)間段開(kāi)啟和關(guān)閉 相應(yīng)類(lèi)型的安全審計(jì)機(jī)制；對(duì)各類(lèi)審計(jì)記錄進(jìn)行存儲(chǔ)