博物館信息安全設(shè)計(jì)方案培訓(xùn)資料全

1、 .DOC資料. 博物館信息安全設(shè)計(jì)方案北京易凱信息技術(shù)有限公司2015年5月19日目 錄 TOC o 1-3 h z HYPERLINK l _Toc419888835 第1章 概述 PAGEREF _Toc419888835 h 1 HYPERLINK l _Toc419888836 1.1 項(xiàng)目背景 PAGEREF _Toc419888836 h 1 HYPERLINK l _Toc419888837 1.2 項(xiàng)目目標(biāo) PAGEREF _Toc419888837 h 1 HYPERLINK l _Toc419888838 1.3 建設(shè)的必要性和可行性 PAGEREF _Toc419888

2、838 h 1 HYPERLINK l _Toc419888839 第2章 現(xiàn)狀分析 PAGEREF _Toc419888839 h 2 HYPERLINK l _Toc419888840 2.1 辦公內(nèi)網(wǎng)網(wǎng)絡(luò)現(xiàn)狀 PAGEREF _Toc419888840 h 2 HYPERLINK l _Toc419888841 2.2 互聯(lián)外網(wǎng)網(wǎng)絡(luò)現(xiàn)狀 PAGEREF _Toc419888841 h 2 HYPERLINK l _Toc419888842 第3章 需求分析 PAGEREF _Toc419888842 h 3 HYPERLINK l _Toc419888843 第4章 信息安全總體方案設(shè)計(jì)

3、 PAGEREF _Toc419888843 h 4 HYPERLINK l _Toc419888844 4.1 設(shè)計(jì)原則 PAGEREF _Toc419888844 h 4 HYPERLINK l _Toc419888845 4.2 設(shè)計(jì)依據(jù) PAGEREF _Toc419888845 h 5 HYPERLINK l _Toc419888846 4.2.1 政策文件 PAGEREF _Toc419888846 h 5 HYPERLINK l _Toc419888847 4.2.2 基礎(chǔ)類(lèi)標(biāo)準(zhǔn) PAGEREF _Toc419888847 h 5 HYPERLINK l _Toc41988884

4、8 4.3 總體系統(tǒng)結(jié)構(gòu)設(shè)計(jì) PAGEREF _Toc419888848 h 6 HYPERLINK l _Toc419888849 第5章 信息安全詳細(xì)建設(shè)方案 PAGEREF _Toc419888849 h 8 HYPERLINK l _Toc419888850 5.1 辦公內(nèi)網(wǎng)信息安全保護(hù)設(shè)計(jì) PAGEREF _Toc419888850 h 9 HYPERLINK l _Toc419888851 5.1.1 安全區(qū)域劃分與結(jié)構(gòu)優(yōu)化 PAGEREF _Toc419888851 h 9 HYPERLINK l _Toc419888852 5.1.2 網(wǎng)絡(luò)邊界防護(hù)及訪問(wèn)控制 PAGEREF _

5、Toc419888852 h 12 HYPERLINK l _Toc419888853 5.1.3 網(wǎng)絡(luò)安全審計(jì)系統(tǒng) PAGEREF _Toc419888853 h 13 HYPERLINK l _Toc419888854 5.1.4 入侵防御系統(tǒng) PAGEREF _Toc419888854 h 15 HYPERLINK l _Toc419888855 5.1.5 病毒惡意代碼防范 PAGEREF _Toc419888855 h 16 HYPERLINK l _Toc419888856 5.1.6 運(yùn)維堡壘主機(jī)系統(tǒng) PAGEREF _Toc419888856 h 18 HYPERLINK l

6、_Toc419888857 5.1.7 數(shù)據(jù)庫(kù)審計(jì)系統(tǒng) PAGEREF _Toc419888857 h 19 HYPERLINK l _Toc419888858 5.1.8 漏洞掃描系統(tǒng) PAGEREF _Toc419888858 h 20 HYPERLINK l _Toc419888859 5.1.9 安全運(yùn)營(yíng)管理平臺(tái) PAGEREF _Toc419888859 h 21 HYPERLINK l _Toc419888860 5.2 互聯(lián)外網(wǎng)信息安全保護(hù)設(shè)計(jì) PAGEREF _Toc419888860 h 23 HYPERLINK l _Toc419888861 5.2.1 安全區(qū)域劃分與結(jié)構(gòu)

7、優(yōu)化 PAGEREF _Toc419888861 h 23 HYPERLINK l _Toc419888862 5.2.2 網(wǎng)絡(luò)邊界防護(hù)及訪問(wèn)控制 PAGEREF _Toc419888862 h 26 HYPERLINK l _Toc419888863 5.2.3 網(wǎng)絡(luò)安全審計(jì)系統(tǒng) PAGEREF _Toc419888863 h 27 HYPERLINK l _Toc419888864 5.2.4 入侵防御系統(tǒng) PAGEREF _Toc419888864 h 29 HYPERLINK l _Toc419888865 5.2.5 病毒惡意代碼防范 PAGEREF _Toc419888865 h

8、30 HYPERLINK l _Toc419888866 5.2.6 運(yùn)維堡壘主機(jī)系統(tǒng) PAGEREF _Toc419888866 h 32 HYPERLINK l _Toc419888867 5.2.7 上網(wǎng)行為管理系統(tǒng) PAGEREF _Toc419888867 h 33 HYPERLINK l _Toc419888868 5.2.8 漏洞掃描系統(tǒng) PAGEREF _Toc419888868 h 34 HYPERLINK l _Toc419888869 5.2.9 安全運(yùn)營(yíng)管理平臺(tái) PAGEREF _Toc419888869 h 35概述項(xiàng)目背景項(xiàng)目目標(biāo)建設(shè)的必要性和可行性現(xiàn)狀分析辦公內(nèi)網(wǎng)

9、網(wǎng)絡(luò)現(xiàn)狀互聯(lián)外網(wǎng)網(wǎng)絡(luò)現(xiàn)狀需求分析信息安全總體方案設(shè)計(jì)設(shè)計(jì)原則本方案設(shè)計(jì)遵循以下設(shè)計(jì)原則：體系化的設(shè)計(jì)原則系統(tǒng)設(shè)計(jì)應(yīng)充分考慮到各個(gè)層面的安全風(fēng)險(xiǎn)，構(gòu)建完整的安全防護(hù)體系，充分保證系統(tǒng)的安全性。同時(shí)，應(yīng)確保方案中使用的信息安全產(chǎn)品和技術(shù)方案在設(shè)計(jì)和實(shí)現(xiàn)的全過(guò)程中有具體的措施來(lái)充分保證其安全性。產(chǎn)品的先進(jìn)性原則信息系統(tǒng)的安全保障體系建設(shè)意義深遠(yuǎn)，對(duì)所需的各類(lèi)安全產(chǎn)品提出了很高的要求。必須認(rèn)真考慮各安全產(chǎn)品的技術(shù)水平、合理性、先進(jìn)性、安全性和穩(wěn)定性等特點(diǎn)，共同打好工程的技術(shù)基礎(chǔ)?？傮w規(guī)劃、分步建設(shè)原則信息系統(tǒng)安全保障體系的建設(shè)是一項(xiàng)長(zhǎng)期的工程，并非一蹴而就解決所有安全問(wèn)題。因此，在實(shí)際建設(shè)過(guò)程中要根據(jù)

10、實(shí)際情況分輕重緩急，分期、分批的進(jìn)行部署。標(biāo)準(zhǔn)化和規(guī)范化嚴(yán)格遵循國(guó)家有關(guān)等級(jí)保護(hù)的安全法律法規(guī)和技術(shù)規(guī)范要求，對(duì)項(xiàng)目的整體建設(shè)和實(shí)施進(jìn)行體系化設(shè)計(jì)，充分體現(xiàn)標(biāo)準(zhǔn)化和規(guī)范化。技術(shù)的先進(jìn)性和成熟性在設(shè)計(jì)理念、技術(shù)體系、產(chǎn)品選型等方面實(shí)現(xiàn)安全體系先進(jìn)性和成熟性的統(tǒng)一。采用國(guó)內(nèi)先進(jìn)實(shí)用的安全技術(shù)和安全產(chǎn)品，選擇目前和未來(lái)一定時(shí)期內(nèi)有代表性和先進(jìn)性的成熟安全技術(shù)，既保證當(dāng)前系統(tǒng)的高安全可靠，又滿足系統(tǒng)在生命周期內(nèi)有持續(xù)的可維護(hù)和可擴(kuò)展性。安全性原則安全管理體系建設(shè)是信息安全建設(shè)中重點(diǎn)建設(shè)內(nèi)容之一，嚴(yán)格遵循國(guó)家有關(guān)信息系統(tǒng)安全保密政策、標(biāo)準(zhǔn)和規(guī)范，使信息系統(tǒng)在網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)等多層面實(shí)現(xiàn)有力的安全保障。一

11、致性原則在信息系統(tǒng)現(xiàn)狀的基礎(chǔ)上，通過(guò)體系化設(shè)計(jì)滿足項(xiàng)目建設(shè)的功能和性能、安全可靠性、靈活性、開(kāi)放性等系統(tǒng)建設(shè)目標(biāo)，保證系統(tǒng)從需求到設(shè)計(jì)，設(shè)計(jì)到建設(shè)實(shí)施，建設(shè)實(shí)施到運(yùn)行管理的可追溯性、可驗(yàn)證性。經(jīng)濟(jì)性原則在本項(xiàng)目方案設(shè)計(jì)過(guò)程中，充分利用現(xiàn)有資源，在可用性的前提條件下充分保證系統(tǒng)建設(shè)的經(jīng)濟(jì)性，提高投資效率，避免重復(fù)建設(shè)。設(shè)計(jì)依據(jù)本次建設(shè)中，各項(xiàng)工作及產(chǎn)出指標(biāo)以下列政策文件和規(guī)范為準(zhǔn)。政策文件信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求（GB/T2010-25070）信息安全等級(jí)保護(hù)管理辦法公通字200743號(hào)國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目管理暫行辦法發(fā)展改革委令200755號(hào)國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工

12、作的意見(jiàn)（中辦發(fā)200327號(hào)）信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)公通字200466號(hào)關(guān)于推動(dòng)信息安全等級(jí)保護(hù)測(cè)評(píng)體系建設(shè)和開(kāi)展等級(jí)測(cè)評(píng)工作的通知公信安2010303號(hào)關(guān)于開(kāi)展信息安全等級(jí)保護(hù)安全建設(shè)整改工作的指導(dǎo)意見(jiàn)公信安20091429號(hào)基礎(chǔ)類(lèi)標(biāo)準(zhǔn)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則（GB17859-1999） 信息系統(tǒng)安全等級(jí)保護(hù)基本要求（GB/T22239-2008）總體系統(tǒng)結(jié)構(gòu)設(shè)計(jì)信息系統(tǒng)總體網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)圖如下：圖 STYLEREF 1 s 4 SEQ 圖 * ARABIC s 1 1總體系統(tǒng)架構(gòu)設(shè)計(jì)圖信息安全詳細(xì)建設(shè)方案安全技術(shù)體系設(shè)計(jì)的主要目的是以等級(jí)保護(hù)的防護(hù)要求為依據(jù)，在充分利用現(xiàn)

13、有網(wǎng)絡(luò)和安全設(shè)備的基礎(chǔ)上，采購(gòu)必要的安全產(chǎn)品，實(shí)現(xiàn)業(yè)務(wù)分域保護(hù)、優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)和建立健全安全防御機(jī)制。辦公內(nèi)網(wǎng)信息安全保護(hù)設(shè)計(jì)安全區(qū)域劃分與結(jié)構(gòu)優(yōu)化不同業(yè)務(wù)系統(tǒng)之間缺少明確的邊界，不利于根據(jù)業(yè)務(wù)重要性采取不同等級(jí)的安全防護(hù)措施。通過(guò)進(jìn)行安全域劃分，實(shí)現(xiàn)有效的訪問(wèn)控制機(jī)制，對(duì)于來(lái)自不同“業(yè)務(wù)區(qū)”的安全威脅進(jìn)行安全隔離。安全區(qū)域劃分與結(jié)構(gòu)優(yōu)化設(shè)計(jì)結(jié)合系統(tǒng)面臨的風(fēng)險(xiǎn)、保護(hù)等級(jí)并綜合業(yè)務(wù)訪問(wèn)數(shù)據(jù)流向，將辦公內(nèi)網(wǎng)劃分為安全接入?yún)^(qū)、核心區(qū)、數(shù)據(jù)區(qū)、對(duì)外服務(wù)器區(qū)、對(duì)內(nèi)服務(wù)器區(qū)、藏品區(qū)、辦公區(qū)、無(wú)線區(qū)、票務(wù)區(qū)、觸摸屏區(qū)、觸摸屏展示區(qū)、微信展示區(qū)、北京音樂(lè)區(qū)和展陳區(qū)和安全管理區(qū)安全域。各安全域的描述如下：安全接入

14、區(qū)：提供辦公內(nèi)網(wǎng)到互聯(lián)外網(wǎng)的安全接入。對(duì)內(nèi)服務(wù)器區(qū)：承載辦公內(nèi)網(wǎng)各大重要業(yè)務(wù)系統(tǒng)。對(duì)外服務(wù)器區(qū)：對(duì)外提供數(shù)字圖書(shū)館、票務(wù)、微信等服務(wù)。數(shù)據(jù)域：承載各大重要業(yè)務(wù)系統(tǒng)的數(shù)據(jù)庫(kù)服務(wù)器。安全管理域：主要承載的是安全管理相關(guān)的系統(tǒng)或設(shè)備，包括漏洞掃描、堡壘主機(jī)、防病毒和安全運(yùn)營(yíng)管理平臺(tái)服務(wù)器等。核心域：承載核心交換機(jī)，實(shí)現(xiàn)各區(qū)域間的數(shù)據(jù)快速交換功能。品藏區(qū)：各種重要品藏服務(wù)器及終端。辦公區(qū)：內(nèi)部辦公終端及服務(wù)器。無(wú)線區(qū)：用戶無(wú)線上網(wǎng)接入。票務(wù)區(qū)、觸摸屏區(qū)、觸摸屏展示區(qū)、微信展示區(qū)、北京音樂(lè)區(qū)和展陳區(qū)：對(duì)外操作終端。安全區(qū)域劃分結(jié)構(gòu)圖辦公內(nèi)網(wǎng)系統(tǒng)整體網(wǎng)絡(luò)結(jié)構(gòu)調(diào)整后如下圖所示圖 STYLEREF 1 s 5

15、 SEQ 圖 * ARABIC s 1 1整體網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)圖網(wǎng)絡(luò)邊界防護(hù)及訪問(wèn)控制 按照分域分級(jí)保護(hù)思路，根據(jù)信息系統(tǒng)等級(jí)保護(hù)級(jí)別，結(jié)合各防護(hù)對(duì)象的不同安全防護(hù)需求劃分安全域，各安全域之間通過(guò)部署防火墻和網(wǎng)絡(luò)設(shè)備的訪問(wèn)控制列表，實(shí)現(xiàn)安全域之間的安全隔離和訪問(wèn)控制。各安全域的訪問(wèn)控制策略，通過(guò)在各區(qū)域的邊界防火墻和交換機(jī)上設(shè)置訪問(wèn)控制策略，只允許特定授權(quán)的終端用戶訪問(wèn)該安全域；通過(guò)在數(shù)據(jù)交換系統(tǒng)（網(wǎng)閘）上進(jìn)行策略設(shè)置，控制辦公內(nèi)網(wǎng)和互聯(lián)外網(wǎng)間的數(shù)據(jù)單向傳輸。辦公內(nèi)網(wǎng)邊界防護(hù)及訪問(wèn)控制設(shè)計(jì)辦公內(nèi)網(wǎng)邊界防護(hù)如下：在辦公內(nèi)網(wǎng)和互聯(lián)外網(wǎng)間安全接入?yún)^(qū)部署2臺(tái)單向網(wǎng)閘，只允許數(shù)據(jù)從特定服務(wù)器單向向外聯(lián)單位訪

16、問(wèn)服務(wù)器推送數(shù)據(jù)，反之則拒絕，部署2臺(tái)防病毒網(wǎng)關(guān)實(shí)現(xiàn)對(duì)兩網(wǎng)間的病毒防護(hù)；2臺(tái)網(wǎng)閘采用雙機(jī)熱備的方式部署，提高核心鏈路的可靠性；在藏品區(qū)邊界部署2臺(tái)防火墻，啟用單向訪問(wèn)控制策略， 2臺(tái)防火墻采用雙機(jī)熱備的方式部署，提高核心鏈路的可靠性；在數(shù)據(jù)域邊界部署2臺(tái)防火墻，2臺(tái)防火墻采用雙機(jī)熱備的方式部署，提高核心鏈路的可靠性；在對(duì)內(nèi)和對(duì)外服務(wù)器區(qū)邊界各部署2臺(tái)防火墻， 2臺(tái)防火墻采用雙機(jī)熱備的方式部署，提高核心鏈路的可靠性；在無(wú)線區(qū)、辦公區(qū)、票務(wù)區(qū)、觸摸屏區(qū)、觸摸屏展示區(qū)與核心區(qū)間部署2臺(tái)防火墻，實(shí)現(xiàn)對(duì)各區(qū)域的邊界劃分與防護(hù)；在微信展示區(qū)、北京音樂(lè)區(qū)和展陳區(qū)與核心區(qū)間部署2臺(tái)防火墻，實(shí)現(xiàn)對(duì)各區(qū)域的邊界劃

17、分與防護(hù)。邊界防護(hù)系統(tǒng)部署圖 STYLEREF 1 s 5 SEQ 圖 * ARABIC s 1 2系統(tǒng)邊界防護(hù)示意圖網(wǎng)絡(luò)安全審計(jì)系統(tǒng)結(jié)合辦公內(nèi)網(wǎng)整體安全防護(hù)需求，對(duì)辦公內(nèi)網(wǎng)網(wǎng)絡(luò)流量和用戶行為進(jìn)行安全審計(jì)，防止濫用網(wǎng)絡(luò)資源和非授權(quán)訪問(wèn)。通過(guò)網(wǎng)絡(luò)安全審計(jì)系統(tǒng)對(duì)網(wǎng)絡(luò)訪問(wèn)行為進(jìn)行采集、分析和識(shí)別，實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)訪問(wèn)情況，記錄網(wǎng)絡(luò)安全事件，發(fā)現(xiàn)安全隱患。網(wǎng)絡(luò)安全審計(jì)系統(tǒng)設(shè)計(jì)通過(guò)部署網(wǎng)絡(luò)安全審計(jì)系統(tǒng)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)訪問(wèn)行為的采集、分析和識(shí)別，記錄網(wǎng)絡(luò)安全事件，發(fā)現(xiàn)安全隱患。在核心交換機(jī)上部署網(wǎng)絡(luò)安全審計(jì)系統(tǒng)引擎，通過(guò)在交換機(jī)上配置鏡像端口的方式將流經(jīng)交換機(jī)上的所有數(shù)據(jù)映射至網(wǎng)絡(luò)安全審計(jì)系統(tǒng)，網(wǎng)絡(luò)安全審計(jì)系統(tǒng)對(duì)抓

18、到的包進(jìn)行分析、匹配、統(tǒng)計(jì)，從而實(shí)現(xiàn)網(wǎng)絡(luò)安全審計(jì)，同時(shí)在安全管理區(qū)部署安全審計(jì)管理中心。網(wǎng)絡(luò)安全審計(jì)系統(tǒng)部署圖 STYLEREF 1 s 5 SEQ 圖 * ARABIC s 1 3網(wǎng)絡(luò)安全審計(jì)系統(tǒng)部署示意圖網(wǎng)絡(luò)安全審計(jì)系統(tǒng)執(zhí)行以下的安全策略：對(duì)訪問(wèn)應(yīng)用系統(tǒng)安全域的訪問(wèn)行為進(jìn)行審計(jì)。審計(jì)內(nèi)容主要包括數(shù)據(jù)傳輸（FTP協(xié)議）、網(wǎng)頁(yè)瀏覽（HTTP協(xié)議）、電子郵件收發(fā)（SMTP、POP3、IMAP協(xié)議）、遠(yuǎn)程登陸（TELNET）、網(wǎng)上鄰居（NETBIOS協(xié)議）等。使用網(wǎng)絡(luò)安全審計(jì)系統(tǒng)記錄事件發(fā)生的時(shí)間、地點(diǎn)、類(lèi)型、主體和結(jié)果（成功或失?。?，并將所有審計(jì)的內(nèi)容通過(guò)SYSLOG發(fā)送到部署在安全管理安全域的

19、安全審計(jì)服務(wù)器上進(jìn)行匯總和分析。安全審計(jì)服務(wù)器配有500G以上的存儲(chǔ)空間，可確保審計(jì)記錄能夠保存至少六個(gè)月。安全運(yùn)維人員每周對(duì)存儲(chǔ)空間進(jìn)行一次檢查，當(dāng)存儲(chǔ)空間少于20%時(shí)，及時(shí)增加存儲(chǔ)空間，防止由于存儲(chǔ)空間溢出造成審計(jì)記錄的丟失。通過(guò)三權(quán)分立機(jī)制對(duì)網(wǎng)絡(luò)安全審計(jì)系統(tǒng)進(jìn)行嚴(yán)格控制，系統(tǒng)管理員主要負(fù)責(zé)設(shè)備的日常維護(hù)，安全管理員主要負(fù)責(zé)數(shù)據(jù)分析和報(bào)告編制，審計(jì)管理員主要負(fù)責(zé)對(duì)系統(tǒng)操作行為的審計(jì)和分析，確保任何人均無(wú)法單獨(dú)中斷審計(jì)進(jìn)程，無(wú)法刪除、修改或覆蓋審計(jì)記錄。審計(jì)管理員每周輸出所有審計(jì)設(shè)備的審計(jì)報(bào)表，同時(shí)對(duì)審計(jì)報(bào)表進(jìn)行分析，及時(shí)發(fā)現(xiàn)可疑操作行。入侵防御系統(tǒng)通過(guò)在辦公內(nèi)網(wǎng)部署入侵檢測(cè)系統(tǒng)及時(shí)發(fā)現(xiàn)各種

20、網(wǎng)絡(luò)攻擊、破壞和異常訪問(wèn)等入侵行為，并在第一時(shí)間采取相應(yīng)的防護(hù)手段，如記錄證據(jù)用于跟蹤、恢復(fù)、及時(shí)響應(yīng)等。在辦公內(nèi)網(wǎng)核心交換機(jī)部署入侵檢測(cè)系統(tǒng)，通過(guò)在核心交換機(jī)上配置鏡像端口的方式將流經(jīng)核心交換機(jī)上的所有數(shù)據(jù)映射至入侵檢測(cè)系統(tǒng)。入侵檢測(cè)系統(tǒng)設(shè)計(jì)辦公內(nèi)網(wǎng)入侵檢測(cè)系統(tǒng)安全策略如下：網(wǎng)絡(luò)行為檢測(cè)：使用細(xì)粒度檢測(cè)技術(shù)、協(xié)議分析技術(shù)、誤用檢測(cè)技術(shù)、協(xié)議異常檢測(cè)等技術(shù)，對(duì)基于TCP/IP的各種網(wǎng)絡(luò)行為進(jìn)行實(shí)時(shí)檢測(cè)，有效防止各種攻擊和欺騙。蠕蟲(chóng)檢測(cè)：實(shí)時(shí)跟蹤當(dāng)前最新的蠕蟲(chóng)事件，針對(duì)當(dāng)前已經(jīng)發(fā)現(xiàn)的蠕蟲(chóng)及時(shí)的提供相關(guān)的事件規(guī)則。存在漏洞但是還未發(fā)現(xiàn)相關(guān)蠕蟲(chóng)事件的，通過(guò)分析其相關(guān)漏洞提供相關(guān)的入侵事件規(guī)則，最大限

21、度地解決網(wǎng)絡(luò)蠕蟲(chóng)發(fā)現(xiàn)滯后問(wèn)題。監(jiān)控管理：通過(guò)入侵檢測(cè)系統(tǒng)提供的控制臺(tái)，監(jiān)控入侵檢測(cè)系統(tǒng)收集的數(shù)據(jù)，并將這些數(shù)據(jù)進(jìn)行分析，生成便于理解的報(bào)表，供安全管理人員使用。異常報(bào)警：入侵檢測(cè)系統(tǒng)在發(fā)現(xiàn)入侵行為時(shí)可以通過(guò)多種方式進(jìn)行報(bào)警，如報(bào)警聲音、警示、報(bào)警郵件等。日志記錄：對(duì)發(fā)現(xiàn)的入侵行為進(jìn)行記錄，并妥善保管記錄信息。入侵檢測(cè)庫(kù)升級(jí)：入侵檢測(cè)系統(tǒng)內(nèi)置的檢測(cè)庫(kù)是決定系統(tǒng)檢測(cè)能力的關(guān)鍵因素，因此每月對(duì)入侵檢測(cè)系統(tǒng)庫(kù)進(jìn)行一次升級(jí)。由于辦公內(nèi)網(wǎng)內(nèi)網(wǎng)與互聯(lián)網(wǎng)完全安全隔離，入侵檢測(cè)系統(tǒng)無(wú)法通過(guò)互聯(lián)網(wǎng)上的廠商升級(jí)網(wǎng)站進(jìn)行在線升級(jí)，因此通過(guò)運(yùn)維人員手動(dòng)升級(jí)，確保入侵檢測(cè)庫(kù)的完整性和有效性。辦公內(nèi)網(wǎng)入侵檢測(cè)系統(tǒng)部署部署示

22、意圖如下所示：圖 STYLEREF 1 s 5 SEQ 圖 * ARABIC s 1 4總中心入侵檢測(cè)部署示意圖病毒惡意代碼防范在辦公內(nèi)網(wǎng)系統(tǒng)的網(wǎng)絡(luò)邊界處部署防病毒網(wǎng)關(guān)，有效的將病毒或木馬拒之門(mén)外，也能防止已被感染的病毒蔓延。防毒網(wǎng)關(guān)工作于OSI七層協(xié)議的第七層，專(zhuān)注于惡意代碼防范、阻斷惡意代碼傳輸、運(yùn)用分析技術(shù)處置惡意代碼等。惡意代碼防護(hù)設(shè)計(jì)辦公內(nèi)網(wǎng)整體網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜，涉及眾多業(yè)務(wù)服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、計(jì)算機(jī)終端和各種網(wǎng)絡(luò)設(shè)備，病毒可能帶來(lái)一定的威脅風(fēng)險(xiǎn)。本方案設(shè)計(jì)在辦公內(nèi)網(wǎng)與互聯(lián)外網(wǎng)網(wǎng)絡(luò)邊界安全接入?yún)^(qū)，部署網(wǎng)絡(luò)防病毒網(wǎng)關(guān)，與部署在主機(jī)、服務(wù)器上的防病毒軟件相聯(lián)動(dòng)，形成覆蓋全面，分層防護(hù)的多級(jí)

23、病毒過(guò)濾系統(tǒng)。惡意代碼防護(hù)系統(tǒng)部署具體部署示意圖如下：圖 STYLEREF 1 s 5 SEQ 圖 * ARABIC s 1 5 惡意代碼范湖部署示意圖防毒墻安全策略如下：利用防毒墻專(zhuān)用的防毒硬件系統(tǒng)和強(qiáng)大的防病毒引擎，對(duì)進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行病毒高效查殺。對(duì)HTTP、FTP、SMTP、POP3、IMAP、NETBIOS等的協(xié)議進(jìn)行惡意代碼檢測(cè)。對(duì)病毒感染進(jìn)行定位，記錄系統(tǒng)實(shí)時(shí)處理的病毒信息，記錄感染的事件、IP、MAC、用戶名、協(xié)議類(lèi)型、地址等?；诓闅⒂涗浿谱髟敱M的病毒檢測(cè)報(bào)表。每日通過(guò)互聯(lián)網(wǎng)進(jìn)行病毒庫(kù)下載，下載完成后對(duì)病毒庫(kù)進(jìn)行升級(jí)測(cè)試，通過(guò)刻錄光盤(pán)的方式將病毒庫(kù)導(dǎo)入內(nèi)網(wǎng)，為防毒墻進(jìn)行病毒庫(kù)

24、升級(jí)，確保惡意代碼庫(kù)的完整性和有效性。運(yùn)維堡壘主機(jī)系統(tǒng)運(yùn)維堡壘主機(jī)系統(tǒng)設(shè)計(jì)由于目前系統(tǒng)所使用的主機(jī)存在一部分較老的系統(tǒng)，直接修改主機(jī)操作系統(tǒng)配置的方式會(huì)對(duì)應(yīng)用系統(tǒng)造成一定的安全風(fēng)險(xiǎn)，通過(guò)部署運(yùn)維堡壘主機(jī)系統(tǒng)，通過(guò)堡壘主機(jī)強(qiáng)制限定僅此管理員的IP地址可管理此設(shè)備，同時(shí)對(duì)管理操作進(jìn)行審計(jì)，在應(yīng)用系統(tǒng)中限定安全管理員身份角色，安全管理員對(duì)各系統(tǒng)用戶的授權(quán)嚴(yán)格管理，在部署的業(yè)務(wù)系統(tǒng)中創(chuàng)建不同的用戶群組，限定最小權(quán)限。堡壘主機(jī)的身份鑒別策略如下：對(duì)登錄堡壘主機(jī)的所有賬戶設(shè)置復(fù)雜口令，最小長(zhǎng)度設(shè)置8位，口令中同時(shí)包含數(shù)字、字母和特殊字符，區(qū)分大小寫(xiě)。設(shè)置最大登錄失敗次數(shù)為3次，失敗登錄3次后鎖定5分鐘內(nèi)再

25、次登錄。在堡壘主機(jī)中啟用HTTPS的方式進(jìn)行數(shù)據(jù)傳輸、并使身份鑒別信息以加密的方式進(jìn)行傳輸。運(yùn)維堡壘主機(jī)部署在安全管理區(qū)，部署1臺(tái)堡壘主機(jī)，具體部署如下圖所示：圖 STYLEREF 1 s 5 SEQ 圖 * ARABIC s 1 6運(yùn)維審計(jì)部署示意圖數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)數(shù)據(jù)庫(kù)系統(tǒng)安全審計(jì)設(shè)計(jì)在辦公內(nèi)網(wǎng)總中心數(shù)據(jù)域交換機(jī)上部署數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)，對(duì)數(shù)據(jù)庫(kù)管理系統(tǒng)的訪問(wèn)和操作行為進(jìn)行細(xì)粒度安全審計(jì)。數(shù)據(jù)庫(kù)安全審計(jì)策略如下：在內(nèi)網(wǎng)應(yīng)用匯聚層交換機(jī)和隔離設(shè)備外部的核心交換機(jī)上配置鏡像端口，收集網(wǎng)絡(luò)中數(shù)據(jù)流量。審計(jì)記錄源IP地址、操作時(shí)間、操作對(duì)象（數(shù)據(jù)庫(kù)用戶、表、字段）、SQL命令等內(nèi)容。通過(guò)篩選重要事件

26、和風(fēng)險(xiǎn)事件查找所關(guān)心的審計(jì)記錄。記錄事件發(fā)生的時(shí)間、地點(diǎn)、類(lèi)型、主體和結(jié)果（成功或失?。?，并將所有審計(jì)的內(nèi)容發(fā)送至部署在安全管理安全域的數(shù)據(jù)庫(kù)審計(jì)管理服務(wù)器上進(jìn)行匯總和分析。數(shù)據(jù)庫(kù)審計(jì)管理服務(wù)器配有1TB以上的存儲(chǔ)空間，確保審計(jì)記錄能夠保存至少六個(gè)月。安全運(yùn)維人員每周對(duì)數(shù)據(jù)庫(kù)審計(jì)管理服務(wù)器的存儲(chǔ)空間進(jìn)行檢查，當(dāng)存儲(chǔ)空間小于20%時(shí)，立即增加存儲(chǔ)空間，防止由于存儲(chǔ)空間溢出造成審計(jì)記錄丟失。數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)部署數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)部署示意圖如下：圖 STYLEREF 1 s 5 SEQ 圖 * ARABIC s 1 7數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)部署示意圖漏洞掃描系統(tǒng)漏洞掃描系統(tǒng)設(shè)計(jì)為了更好地保護(hù)主機(jī)的安全

27、，減少主機(jī)被入侵的風(fēng)險(xiǎn)，通過(guò)漏洞掃描系統(tǒng)對(duì)服務(wù)器操作系統(tǒng)和數(shù)據(jù)庫(kù)管理系統(tǒng)定期進(jìn)行掃描，根據(jù)漏洞掃描系統(tǒng)的檢測(cè)報(bào)告，分析系統(tǒng)的安全漏洞，并采取防護(hù)措施。安全運(yùn)維人員每月對(duì)漏洞掃描系統(tǒng)進(jìn)行漏洞庫(kù)升級(jí)，確保系統(tǒng)可及時(shí)發(fā)現(xiàn)最新的系統(tǒng)漏洞。漏洞掃描系統(tǒng)部署辦公內(nèi)網(wǎng)總中心漏洞掃描系統(tǒng)部署示意圖如下：圖 STYLEREF 1 s 5 SEQ 圖 * ARABIC s 1 8 漏洞掃描系統(tǒng)部署示意圖 安全運(yùn)營(yíng)管理平臺(tái)在安全管理中心部署安全運(yùn)營(yíng)管理平臺(tái)，提供對(duì)安全設(shè)備、服務(wù)器、網(wǎng)絡(luò)設(shè)備等各種硬件性能的監(jiān)控功能，及對(duì)服務(wù)器操作系統(tǒng)、應(yīng)用中間件、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備等進(jìn)行配置基線分析，提供安全預(yù)警功能，提供資產(chǎn)管理、知

28、識(shí)庫(kù)管理和控制展示等功能。安全運(yùn)營(yíng)管理平臺(tái)設(shè)計(jì)本方案中在辦公內(nèi)網(wǎng)部署安全運(yùn)營(yíng)平臺(tái)，其定位為業(yè)務(wù)系統(tǒng)運(yùn)行狀態(tài)和運(yùn)行信息匯集樞紐、安全風(fēng)險(xiǎn)統(tǒng)一集中分析和管理平臺(tái)、安全事件處置響應(yīng)和指揮調(diào)度的基礎(chǔ)支撐平臺(tái)。信息安全運(yùn)營(yíng)平臺(tái)能夠?qū)崿F(xiàn)由零散安全產(chǎn)品到信息保障體系的轉(zhuǎn)變。它除了包含技術(shù)以外，還有兩個(gè)重要的組成部分：人（維護(hù)人員、應(yīng)急小組）和操作過(guò)程（相應(yīng)的管理制度和事件處理流程），體現(xiàn)了信息保障所強(qiáng)調(diào)的人、技術(shù)、操作這三個(gè)核心原則。因此它不僅是技術(shù)手段上的快速提升，實(shí)現(xiàn)對(duì)重要信息系統(tǒng)的安全預(yù)警。安全管理平臺(tái)將全面提升系統(tǒng)的管理能力，具體包括：集中管理海量安全事件建設(shè)安全管理平臺(tái)，可以實(shí)現(xiàn)對(duì)以往基于“點(diǎn)”的

29、安全建設(shè)進(jìn)行全面整合和綜合管理，解決安全建設(shè)的零散性，進(jìn)行跨產(chǎn)品、跨平臺(tái)的安全信息的統(tǒng)一收集和處理，對(duì)多種數(shù)據(jù)進(jìn)行相互溝通和關(guān)聯(lián)，從海量安全事件中提取真正有效的數(shù)據(jù)，并提供智能化分析手段發(fā)現(xiàn)更深層次的安全問(wèn)題，解決已往安全管理分散、管理成本高等問(wèn)題對(duì)安全管理所造成的瓶頸問(wèn)題。構(gòu)筑基于資產(chǎn)業(yè)務(wù)的風(fēng)險(xiǎn)管理體系建設(shè)安全管理平臺(tái)，改變以往以安全事件和單個(gè)資產(chǎn)為視角的傳統(tǒng)模式，結(jié)合平臺(tái)的業(yè)務(wù)屬性，使得用戶的系統(tǒng)管理人員能夠直觀清晰全面的認(rèn)識(shí)到業(yè)務(wù)是否面臨著風(fēng)險(xiǎn)、所產(chǎn)生風(fēng)險(xiǎn)的嚴(yán)重程度如何，該如何進(jìn)行風(fēng)險(xiǎn)相關(guān)的處理工作，以及業(yè)務(wù)風(fēng)險(xiǎn)在未來(lái)的發(fā)展趨勢(shì)和防范手段。形成統(tǒng)一的安全體系建設(shè)安全管理平臺(tái)，可以為用戶建

30、立起一套完善的安全體系。利用安全管理平臺(tái)，可以進(jìn)行安全意識(shí)宣講、相關(guān)法律制度普及、安全技術(shù)培訓(xùn)、安全知識(shí)共享，從而提高用戶各個(gè)層面人員整體的安全意識(shí)和安全水平。具備完善的風(fēng)險(xiǎn)響應(yīng)控制能力建設(shè)安全管理平臺(tái)，可以全面提高對(duì)于風(fēng)險(xiǎn)響應(yīng)的能力。包括發(fā)現(xiàn)問(wèn)題后必須能快速找到解決方法并最快速度進(jìn)行響應(yīng)，響應(yīng)的過(guò)程中要求明確響應(yīng)的責(zé)任人、響應(yīng)辦法并反饋?lái)憫?yīng)結(jié)果，對(duì)響應(yīng)的整個(gè)過(guò)程必須有記錄和考核；建立一支有經(jīng)驗(yàn)的響應(yīng)隊(duì)伍，這個(gè)隊(duì)伍包括內(nèi)部人員和外部專(zhuān)家支持；支持自動(dòng)化的響應(yīng)和通知手段，降低響應(yīng)時(shí)間，提高響應(yīng)效率。安全運(yùn)營(yíng)管理平臺(tái)部署圖 STYLEREF 1 s 5 SEQ 圖 * ARABIC s 1 9安全

31、運(yùn)營(yíng)管理平臺(tái)部署示意圖互聯(lián)外網(wǎng)信息安全保護(hù)設(shè)計(jì)安全區(qū)域劃分與結(jié)構(gòu)優(yōu)化安全區(qū)域劃分與結(jié)構(gòu)優(yōu)化設(shè)計(jì)結(jié)合系統(tǒng)面臨的風(fēng)險(xiǎn)、保護(hù)等級(jí)并綜合業(yè)務(wù)訪問(wèn)數(shù)據(jù)流向，將互聯(lián)外網(wǎng)劃分為安全接入?yún)^(qū)、應(yīng)用服務(wù)器區(qū)、DMZ區(qū)、核心區(qū)、匯聚區(qū)1、匯聚區(qū)2和安全管理區(qū)安全域。各安全域的描述如下：安全接入?yún)^(qū)：提供互聯(lián)網(wǎng)到辦公內(nèi)網(wǎng)數(shù)據(jù)交換與業(yè)務(wù)訪問(wèn)。應(yīng)用服務(wù)器區(qū)：承載各大重要業(yè)務(wù)系統(tǒng)。數(shù)據(jù)域：承載各大重要業(yè)務(wù)系統(tǒng)的數(shù)據(jù)庫(kù)服務(wù)器。安全管理域：主要承載的是安全管理相關(guān)的系統(tǒng)或設(shè)備，包括漏洞掃描、堡壘主機(jī)、防病毒系統(tǒng)和安全運(yùn)營(yíng)管理平臺(tái)服務(wù)器等。核心域：承載核心交換機(jī)，實(shí)現(xiàn)各區(qū)域間的數(shù)據(jù)快速交換功能。DMZ區(qū)：對(duì)外發(fā)布信息服務(wù)器。匯聚區(qū)

32、1：提供A2、B1、F2等豎井接入；匯聚區(qū)2：提供A1、C1、G2等豎井接入；安全區(qū)域劃分結(jié)構(gòu)圖互聯(lián)外網(wǎng)系統(tǒng)整體網(wǎng)絡(luò)結(jié)構(gòu)調(diào)整后如下圖所示圖 STYLEREF 1 s 5 SEQ 圖 * ARABIC s 1 1整體網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)圖網(wǎng)絡(luò)邊界防護(hù)及訪問(wèn)控制 按照分域分級(jí)保護(hù)思路，根據(jù)信息系統(tǒng)等級(jí)保護(hù)級(jí)別，結(jié)合各防護(hù)對(duì)象的不同安全防護(hù)需求劃分安全域，各安全域之間通過(guò)部署防火墻和網(wǎng)絡(luò)設(shè)備的訪問(wèn)控制列表，實(shí)現(xiàn)安全域之間的安全隔離和訪問(wèn)控制。各安全域的訪問(wèn)控制策略，通過(guò)在各區(qū)域的邊界防火墻和交換機(jī)上設(shè)置訪問(wèn)控制策略，只允許特定授權(quán)的終端用戶訪問(wèn)該安全域。邊界防護(hù)及訪問(wèn)控制設(shè)計(jì)互聯(lián)外網(wǎng)邊界防護(hù)如下：在應(yīng)用服務(wù)

33、器區(qū)和DMZ區(qū)邊界共用2臺(tái)防火墻，實(shí)現(xiàn)邊界隔離與安全防護(hù)，2臺(tái)防火墻采用雙機(jī)熱備的方式部署，提高核心鏈路的可靠性；在匯聚區(qū)1和匯聚區(qū)2邊界各部署2臺(tái)防火墻，2臺(tái)防火墻采用雙機(jī)熱備的方式部署，提高核心鏈路的可靠性；邊界防護(hù)系統(tǒng)部署圖 STYLEREF 1 s 5 SEQ 圖 * ARABIC s 1 2系統(tǒng)邊界防護(hù)示意圖網(wǎng)絡(luò)安全審計(jì)系統(tǒng)依據(jù)等級(jí)保護(hù)標(biāo)準(zhǔn)要求，結(jié)合互聯(lián)外網(wǎng)整體安全防護(hù)需求，對(duì)網(wǎng)絡(luò)流量和用戶行為進(jìn)行安全審計(jì)，防止濫用網(wǎng)絡(luò)資源和非授權(quán)訪問(wèn)。通過(guò)網(wǎng)絡(luò)安全審計(jì)系統(tǒng)對(duì)網(wǎng)絡(luò)訪問(wèn)行為進(jìn)行采集、分析和識(shí)別，實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)訪問(wèn)情況，記錄網(wǎng)絡(luò)安全事件，發(fā)現(xiàn)安全隱患。網(wǎng)絡(luò)安全審計(jì)系統(tǒng)設(shè)計(jì)通過(guò)網(wǎng)絡(luò)安全審計(jì)系

34、統(tǒng)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)訪問(wèn)行為的采集、分析和識(shí)別，記錄網(wǎng)絡(luò)安全事件，發(fā)現(xiàn)安全隱患。在核心交換機(jī)上部署網(wǎng)絡(luò)安全審計(jì)系統(tǒng)引擎，通過(guò)在交換機(jī)上配置鏡像端口的方式將流經(jīng)交換機(jī)上的所有數(shù)據(jù)映射至網(wǎng)絡(luò)安全審計(jì)系統(tǒng)，網(wǎng)絡(luò)安全審計(jì)系統(tǒng)對(duì)抓到的包進(jìn)行分析、匹配、統(tǒng)計(jì)，從而實(shí)現(xiàn)網(wǎng)絡(luò)安全審計(jì)，同時(shí)在安全管理區(qū)部署安全審計(jì)管理中心。網(wǎng)絡(luò)安全審計(jì)系統(tǒng)部署圖 STYLEREF 1 s 5 SEQ 圖 * ARABIC s 1 3網(wǎng)絡(luò)安全審計(jì)系統(tǒng)部署示意圖網(wǎng)絡(luò)安全審計(jì)系統(tǒng)執(zhí)行以下的安全策略：對(duì)訪問(wèn)應(yīng)用系統(tǒng)安全域的訪問(wèn)行為進(jìn)行審計(jì)。審計(jì)內(nèi)容主要包括數(shù)據(jù)傳輸（FTP協(xié)議）、網(wǎng)頁(yè)瀏覽（HTTP協(xié)議）、電子郵件收發(fā)（SMTP、POP3、IM

35、AP協(xié)議）、遠(yuǎn)程登陸（TELNET）、網(wǎng)上鄰居（NETBIOS協(xié)議）等。使用網(wǎng)絡(luò)安全審計(jì)系統(tǒng)記錄事件發(fā)生的時(shí)間、地點(diǎn)、類(lèi)型、主體和結(jié)果（成功或失敗），并將所有審計(jì)的內(nèi)容通過(guò)SYSLOG發(fā)送到部署在安全管理安全域的安全審計(jì)服務(wù)器上進(jìn)行匯總和分析。安全審計(jì)服務(wù)器配有500G以上的存儲(chǔ)空間，可確保審計(jì)記錄能夠保存至少六個(gè)月。安全運(yùn)維人員每周對(duì)存儲(chǔ)空間進(jìn)行一次檢查，當(dāng)存儲(chǔ)空間少于20%時(shí)，及時(shí)增加存儲(chǔ)空間，防止由于存儲(chǔ)空間溢出造成審計(jì)記錄的丟失。通過(guò)三權(quán)分立機(jī)制對(duì)網(wǎng)絡(luò)安全審計(jì)系統(tǒng)進(jìn)行嚴(yán)格控制，系統(tǒng)管理員主要負(fù)責(zé)設(shè)備的日常維護(hù)，安全管理員主要負(fù)責(zé)數(shù)據(jù)分析和報(bào)告編制，審計(jì)管理員主要負(fù)責(zé)對(duì)系統(tǒng)操作行為的審計(jì)

36、和分析，確保任何人均無(wú)法單獨(dú)中斷審計(jì)進(jìn)程，無(wú)法刪除、修改或覆蓋審計(jì)記錄。審計(jì)管理員每周輸出所有審計(jì)設(shè)備的審計(jì)報(bào)表，同時(shí)對(duì)審計(jì)報(bào)表進(jìn)行分析，及時(shí)發(fā)現(xiàn)可疑操作行。入侵防御系統(tǒng)通過(guò)部署入侵檢測(cè)系統(tǒng)及時(shí)發(fā)現(xiàn)各種網(wǎng)絡(luò)攻擊、破壞和異常訪問(wèn)等入侵行為，并在第一時(shí)間采取相應(yīng)的防護(hù)手段，如記錄證據(jù)用于跟蹤、恢復(fù)、及時(shí)響應(yīng)等。在核心交換機(jī)部署入侵檢測(cè)系統(tǒng)，通過(guò)在核心交換機(jī)上配置鏡像端口的方式將流經(jīng)核心交換機(jī)上的所有數(shù)據(jù)映射至入侵檢測(cè)系統(tǒng)。入侵檢測(cè)系統(tǒng)設(shè)計(jì)入侵檢測(cè)系統(tǒng)安全策略如下：網(wǎng)絡(luò)行為檢測(cè)：使用細(xì)粒度檢測(cè)技術(shù)、協(xié)議分析技術(shù)、誤用檢測(cè)技術(shù)、協(xié)議異常檢測(cè)等技術(shù)，對(duì)基于TCP/IP的各種網(wǎng)絡(luò)行為進(jìn)行實(shí)時(shí)檢測(cè)，有效防止

37、各種攻擊和欺騙。蠕蟲(chóng)檢測(cè)：實(shí)時(shí)跟蹤當(dāng)前最新的蠕蟲(chóng)事件，針對(duì)當(dāng)前已經(jīng)發(fā)現(xiàn)的蠕蟲(chóng)及時(shí)的提供相關(guān)的事件規(guī)則。存在漏洞但是還未發(fā)現(xiàn)相關(guān)蠕蟲(chóng)事件的，通過(guò)分析其相關(guān)漏洞提供相關(guān)的入侵事件規(guī)則，最大限度地解決網(wǎng)絡(luò)蠕蟲(chóng)發(fā)現(xiàn)滯后問(wèn)題。監(jiān)控管理：通過(guò)入侵檢測(cè)系統(tǒng)提供的控制臺(tái)，監(jiān)控入侵檢測(cè)系統(tǒng)收集的數(shù)據(jù)，并將這些數(shù)據(jù)進(jìn)行分析，生成便于理解的報(bào)表，供安全管理人員使用。異常報(bào)警：入侵檢測(cè)系統(tǒng)在發(fā)現(xiàn)入侵行為時(shí)可以通過(guò)多種方式進(jìn)行報(bào)警，如報(bào)警聲音、警示、報(bào)警郵件等。日志記錄：對(duì)發(fā)現(xiàn)的入侵行為進(jìn)行記錄，并妥善保管記錄信息。入侵檢測(cè)庫(kù)升級(jí)：入侵檢測(cè)系統(tǒng)內(nèi)置的檢測(cè)庫(kù)是決定系統(tǒng)檢測(cè)能力的關(guān)鍵因素，因此每月對(duì)入侵檢測(cè)系統(tǒng)庫(kù)進(jìn)行一次升

38、級(jí)。由于辦公內(nèi)網(wǎng)內(nèi)網(wǎng)與互聯(lián)網(wǎng)完全安全隔離，入侵檢測(cè)系統(tǒng)無(wú)法通過(guò)互聯(lián)網(wǎng)上的廠商升級(jí)網(wǎng)站進(jìn)行在線升級(jí)，因此通過(guò)運(yùn)維人員手動(dòng)升級(jí)，確保入侵檢測(cè)庫(kù)的完整性和有效性?；ヂ?lián)外網(wǎng)入侵檢測(cè)系統(tǒng)部署部署示意圖如下所示：圖 STYLEREF 1 s 5 SEQ 圖 * ARABIC s 1 4總中心入侵檢測(cè)部署示意圖病毒惡意代碼防范在互聯(lián)網(wǎng)出口邊界處部署防病毒網(wǎng)關(guān)，有效的將病毒或木馬拒之門(mén)外，也能防止已被感染的病毒蔓延。防病毒網(wǎng)關(guān)工作于OSI七層協(xié)議的第七層，專(zhuān)注于惡意代碼防范、阻斷惡意代碼傳輸、運(yùn)用分析技術(shù)處置惡意代碼等。惡意代碼防護(hù)設(shè)計(jì)本方案設(shè)計(jì)在辦公內(nèi)網(wǎng)與互聯(lián)外網(wǎng)網(wǎng)絡(luò)邊界安全接入?yún)^(qū)，部署網(wǎng)絡(luò)防病毒網(wǎng)關(guān)，與部

39、署在主機(jī)、服務(wù)器上的防病毒軟件相聯(lián)動(dòng)，形成覆蓋全面，分層防護(hù)的多級(jí)病毒過(guò)濾系統(tǒng)。惡意代碼防護(hù)系統(tǒng)部署具體部署示意圖如下：圖 STYLEREF 1 s 5 SEQ 圖 * ARABIC s 1 5 惡意代碼范湖部署示意圖防病毒網(wǎng)關(guān)安全策略如下：利用防毒墻專(zhuān)用的防毒硬件系統(tǒng)和強(qiáng)大的防病毒引擎，對(duì)進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行病毒高效查殺。對(duì)HTTP、FTP、SMTP、POP3、IMAP、NETBIOS等的協(xié)議進(jìn)行惡意代碼檢測(cè)。對(duì)病毒感染進(jìn)行定位，記錄系統(tǒng)實(shí)時(shí)處理的病毒信息，記錄感染的事件、IP、MAC、用戶名、協(xié)議類(lèi)型、地址等。基于查殺記錄制作詳盡的病毒檢測(cè)報(bào)表。每日通過(guò)互聯(lián)網(wǎng)進(jìn)行病毒庫(kù)下載，下載完成后對(duì)病毒

40、庫(kù)進(jìn)行升級(jí)測(cè)試，通過(guò)刻錄光盤(pán)的方式將病毒庫(kù)導(dǎo)入內(nèi)網(wǎng)，為防毒墻進(jìn)行病毒庫(kù)升級(jí)，確保惡意代碼庫(kù)的完整性和有效性。運(yùn)維堡壘主機(jī)系統(tǒng)運(yùn)維堡壘主機(jī)系統(tǒng)設(shè)計(jì)由于目前應(yīng)用服務(wù)區(qū)業(yè)務(wù)系統(tǒng)所使用的主機(jī)存在一部分較老的系統(tǒng)，直接修改主機(jī)操作系統(tǒng)配置的方式會(huì)對(duì)應(yīng)用系統(tǒng)造成一定的安全風(fēng)險(xiǎn)，通過(guò)部署運(yùn)維堡壘主機(jī)系統(tǒng)，通過(guò)堡壘主機(jī)強(qiáng)制限定僅此管理員的IP地址可管理此設(shè)備，同時(shí)對(duì)管理操作進(jìn)行審計(jì)，在應(yīng)用系統(tǒng)中限定安全管理員身份角色，安全管理員對(duì)各系統(tǒng)用戶的授權(quán)嚴(yán)格管理，在部署的業(yè)務(wù)系統(tǒng)中創(chuàng)建不同的用戶群組，限定最小權(quán)限。堡壘主機(jī)的身份鑒別策略如下：對(duì)登錄堡壘主機(jī)的所有賬戶設(shè)置復(fù)雜口令，最小長(zhǎng)度設(shè)置8位，口令中同時(shí)包含數(shù)字、字母和特殊字符，區(qū)分大小寫(xiě)。設(shè)置最大登錄失敗次數(shù)為3次，失敗登錄3次后鎖定5分鐘內(nèi)再次登錄。在堡壘主機(jī)中啟用HTTPS的方式進(jìn)行數(shù)據(jù)傳輸、并使身份鑒別信息以加密的方式進(jìn)行傳輸。運(yùn)維堡壘主機(jī)部署在安全管理區(qū)，部署1臺(tái)堡壘主機(jī)，具體部署如下圖所示：圖 STYLEREF 1 s 5 SEQ 圖 * ARABIC s 1 6運(yùn)維審計(jì)部署示意圖上網(wǎng)行為管理系統(tǒng)在防病毒網(wǎng)關(guān)和核心交換機(jī)間部署上網(wǎng)行為管理設(shè)備，實(shí)