某單位網(wǎng)絡(luò)安全等級(jí)保護(hù)工程建設(shè)項(xiàng)目

網(wǎng)絡(luò)安全等級(jí)保護(hù)工程

建設(shè)項(xiàng)目建設(shè)方案建設(shè)方案2021年TOC\o"1-5"\h\z\o"CurrentDocument"1背景概述 3\o"CurrentDocument"1.1建設(shè)背景 3\o"CurrentDocument"1.2文件要求 3\o"CurrentDocument"1.3參考依據(jù) 3\o"CurrentDocument"2安全防護(hù)總體要求 4\o"CurrentDocument"2.1系統(tǒng)性 4\o"CurrentDocument"2.2安全防護(hù)的目標(biāo)及重點(diǎn) 4\o"CurrentDocument"2.3安全防護(hù)總體策略 4\o"CurrentDocument"2.4綜合安全防護(hù)要求 5\o"CurrentDocument"2.4.1安全區(qū)劃分原則 5\o"CurrentDocument"2.5綜合安全防護(hù)基本要求 5\o"CurrentDocument"2.5.1主機(jī)與網(wǎng)絡(luò)設(shè)備加固 5\o"CurrentDocument"2.5.2入侵檢測(cè) 5\o"CurrentDocument"2.5.3安全審計(jì) 6\o"CurrentDocument"2.5.4惡意代碼、病毒防范 6\o"CurrentDocument"3需求分析 6\o"CurrentDocument"3.1安全風(fēng)險(xiǎn)分析 6\o"CurrentDocument"3.2安全威脅的來源 7\o"CurrentDocument"4設(shè)計(jì)方案 9\o"CurrentDocument"4.1拓?fù)涫疽?9\o"CurrentDocument"4.2安全部署方案 10\o"CurrentDocument"4.2.1下一代防火墻（上網(wǎng)行為管理及入侵防御） 10\o"CurrentDocument"4.2.2日志審計(jì)系統(tǒng) 10\o"CurrentDocument"4.2.3運(yùn)維審計(jì)系統(tǒng)（堡壘機(jī)） 13\o"CurrentDocument"4.2.4數(shù)據(jù)庫(kù)審計(jì)系統(tǒng) 15\o"CurrentDocument"4.2.5網(wǎng)絡(luò)防病毒系統(tǒng) 16\o"CurrentDocument"4.2.6災(zāi)備系統(tǒng) 17\o"CurrentDocument"4.2.7統(tǒng)一身份管理系統(tǒng) 181背景概述1.1建設(shè)背景隨著科技的進(jìn)步和時(shí)代的發(fā)展，網(wǎng)絡(luò)已經(jīng)徹底地融入到我們生活的各行各業(yè)，網(wǎng)絡(luò)安全問題直接關(guān)系到國(guó)家的金融環(huán)境和信息安全。只有保證網(wǎng)絡(luò)信息的安全性，國(guó)家安全和社會(huì)信息安全才會(huì)有可靠的保障。1.2文件要求根據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》，水利相關(guān)單位是國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施和網(wǎng)絡(luò)安全重點(diǎn)保護(hù)單位。監(jiān)控、數(shù)據(jù)調(diào)度系統(tǒng)網(wǎng)絡(luò)空間大，涉及單位多，安全隱患分布廣，一旦被攻破將直接威脅安全生產(chǎn)。為進(jìn)一步提業(yè)務(wù)系統(tǒng)、監(jiān)控系統(tǒng)、數(shù)據(jù)系統(tǒng)、網(wǎng)絡(luò)的安全性和穩(wěn)定性，需滿足以下文件要求及原則。滿足已投運(yùn)設(shè)備接入的要求；滿足生產(chǎn)調(diào)度各種業(yè)務(wù)安全防護(hù)的需要；滿足責(zé)任到人、分組管理、聯(lián)合防護(hù)的原則；提高信息安全管理水平，降低重要網(wǎng)絡(luò)應(yīng)用系統(tǒng)所面臨的的安全風(fēng)險(xiǎn)威脅，保證信息系統(tǒng)安全、穩(wěn)定的運(yùn)行，使信息系統(tǒng)在等級(jí)保護(hù)測(cè)評(píng)環(huán)節(jié)基本符合國(guó)家信息安全等級(jí)保護(hù)相應(yīng)級(jí)別系統(tǒng)的安全要求。1.3參考依據(jù)本次網(wǎng)絡(luò)安全保障體系的建設(shè)，除了要滿足系統(tǒng)安全可靠運(yùn)行的需求，還必須符合國(guó)家相關(guān)法律要求，同時(shí)基于系統(tǒng)業(yè)務(wù)的特點(diǎn)，按照分區(qū)分域進(jìn)行安全控制《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》(GB17859-1999)。2安全防護(hù)總體要求系統(tǒng)安全防護(hù)具有系統(tǒng)性和動(dòng)態(tài)性的特點(diǎn)。2.1系統(tǒng)性其中以不同的通信方式和通信協(xié)議承載著安全性要求各異的多種應(yīng)用。網(wǎng)絡(luò)采用分層分區(qū)的模式實(shí)現(xiàn)信息組織和管理。這些因素決定了系統(tǒng)的安全防護(hù)是一個(gè)系統(tǒng)性的工程。安全防護(hù)工作對(duì)內(nèi)應(yīng)做到細(xì)致全面，清晰合理；對(duì)外應(yīng)積極配合上級(jí)和調(diào)度機(jī)構(gòu)的安全管理要求。2.2安全防護(hù)的目標(biāo)及重點(diǎn)局中心機(jī)房安全防護(hù)是系統(tǒng)安全生產(chǎn)的重要組成部分，其目標(biāo)是：1） 抵御黑客、病毒、惡意代碼等通過各種形式對(duì)閥門監(jiān)控系統(tǒng)發(fā)起的惡意破壞和攻擊，尤其是集團(tuán)式攻擊。2） 防止內(nèi)部未授權(quán)用戶訪問系統(tǒng)或非法獲取信息以及重大違規(guī)操作。3） 防護(hù)重點(diǎn)是通過各種技術(shù)和管理措施，對(duì)實(shí)時(shí)閉環(huán)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)的安全實(shí)施保護(hù)，防止閥門監(jiān)控系統(tǒng)癱瘓和失控，并由此導(dǎo)致系統(tǒng)故障。2.3安全防護(hù)總體策略＞安全分區(qū)根據(jù)局中心機(jī)房業(yè)務(wù)的重要性和對(duì)各個(gè)系統(tǒng)的影響程度進(jìn)行分區(qū)，所有系統(tǒng)都必須置于相應(yīng)的安全區(qū)內(nèi)。＞網(wǎng)絡(luò)專用安全區(qū)邊界清晰明確，區(qū)內(nèi)根據(jù)業(yè)務(wù)的重要性提出不同安全要求，制定強(qiáng)度不同的安全防護(hù)措施。特別強(qiáng)調(diào)，為保護(hù)生產(chǎn)控制業(yè)務(wù)應(yīng)建設(shè)調(diào)度數(shù)據(jù)網(wǎng)，實(shí)現(xiàn)與其它數(shù)據(jù)網(wǎng)絡(luò)物理隔離，并以技術(shù)手段在專網(wǎng)上形成多個(gè)相互邏輯隔離的子網(wǎng)，保障上下級(jí)各安全區(qū)的互聯(lián)僅在相同安全區(qū)進(jìn)行，避免安全區(qū)縱向交叉。綜合防護(hù)綜合防護(hù)是結(jié)合國(guó)家信息安全等級(jí)保護(hù)工作的相關(guān)要求對(duì)各系統(tǒng)從主機(jī)、網(wǎng)絡(luò)設(shè)備、惡意代碼方案、應(yīng)用安全控制、審計(jì)、備份等多個(gè)層面進(jìn)行信息安全防護(hù)的措施。2.4綜合安全防護(hù)要求2.4.1安全區(qū)劃分原則各系統(tǒng)劃分為不同的安全工作區(qū)，反映了各區(qū)中業(yè)務(wù)系統(tǒng)的重要性的差別。不同的安全區(qū)確定了不同的安全防護(hù)要求，從而決定了不同的安全等級(jí)和防護(hù)水平。2.5綜合安全防護(hù)基本要求2.5.1主機(jī)與網(wǎng)絡(luò)設(shè)備加固廠級(jí)信息監(jiān)控系統(tǒng)等關(guān)鍵應(yīng)用系統(tǒng)的主服務(wù)器，以及網(wǎng)絡(luò)邊界處的通用網(wǎng)關(guān)機(jī)、Web服務(wù)器等，應(yīng)當(dāng)使用安全加固的操作系統(tǒng)。加固方式最好采用專用軟件強(qiáng)化操作系統(tǒng)訪問控制能力以及配置安全的應(yīng)用程序，其中加固軟件需采用通過國(guó)家權(quán)威部門檢測(cè)的自主品牌。非控制區(qū)的網(wǎng)絡(luò)設(shè)備與安全設(shè)備應(yīng)當(dāng)進(jìn)行身份鑒別、訪問權(quán)限控制、會(huì)話控制等安全配置加固?？梢詰?yīng)用調(diào)度數(shù)字證書，在網(wǎng)絡(luò)設(shè)備和安全設(shè)備實(shí)現(xiàn)支持HTTPS的縱向安全Web服務(wù)，能夠?qū)g覽器客戶端訪問進(jìn)行身份認(rèn)證及加密傳輸。應(yīng)當(dāng)對(duì)外部存儲(chǔ)器、打印機(jī)等外設(shè)的使用進(jìn)行嚴(yán)格管理或直接封閉閑置端口。2.5.2入侵檢測(cè)閥門監(jiān)控業(yè)務(wù)區(qū)需統(tǒng)一部署一套網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，應(yīng)當(dāng)合理設(shè)置檢測(cè)規(guī)則，檢測(cè)發(fā)現(xiàn)隱藏于流經(jīng)網(wǎng)絡(luò)邊界正常信息流中的入侵行為，分析潛在威脅并進(jìn)行安全審計(jì)。2.5.3安全審計(jì)閥門監(jiān)控業(yè)務(wù)區(qū)的監(jiān)控系統(tǒng)應(yīng)當(dāng)具備安全審計(jì)功能，能夠?qū)Σ僮飨到y(tǒng)、數(shù)據(jù)庫(kù)、業(yè)務(wù)應(yīng)用的重要操作進(jìn)行記錄、分析，及時(shí)發(fā)現(xiàn)各種違規(guī)行為以及病毒和黑客的攻擊行為。對(duì)于遠(yuǎn)程用戶登錄到本地系統(tǒng)中的操作行為，應(yīng)該進(jìn)行嚴(yán)格的安全審計(jì)。同時(shí)可以采用安全審計(jì)功能，對(duì)網(wǎng)絡(luò)運(yùn)行日志、操作系統(tǒng)運(yùn)行日志、數(shù)據(jù)庫(kù)訪問日志、業(yè)務(wù)應(yīng)用系統(tǒng)運(yùn)行日志、安全設(shè)施運(yùn)行日志等進(jìn)行集中收集、自動(dòng)分析。2.5.4惡意代碼、病毒防范應(yīng)當(dāng)及時(shí)更新特征碼，查看查殺記錄。惡意代碼更新文件的安裝應(yīng)當(dāng)經(jīng)過測(cè)試。禁止閥門監(jiān)控業(yè)務(wù)區(qū)與辦公業(yè)務(wù)區(qū)共用一套防惡意代碼管理服務(wù)器。3需求分析3.1安全風(fēng)險(xiǎn)分析局中心機(jī)房各系統(tǒng)面臨的主要風(fēng)險(xiǎn)優(yōu)先級(jí)風(fēng)險(xiǎn)說明/舉例0旁路控制(BypassingControls)入侵者對(duì)發(fā)送非法控制命令，導(dǎo)致系統(tǒng)事故，甚至系統(tǒng)瓦解。1完整性破壞(IntegrityViolation)非授權(quán)修改控制系統(tǒng)配置、程序、控制命令；非授權(quán)修改交易中的敏感數(shù)據(jù)。2違反授權(quán)(AuthorizationViolation)控制系統(tǒng)工作人員利用授權(quán)身份或設(shè)備，執(zhí)行非授權(quán)的操作。

優(yōu)先級(jí)風(fēng)險(xiǎn)說明/舉例3工作人員的隨意行為(Indiscretion)控制系統(tǒng)工作人員無意識(shí)地泄漏口令等敏感信息，或不謹(jǐn)慎地配置訪問控制規(guī)則等。4攔截/篡改(Intercept/Alter)攔截或篡改調(diào)度數(shù)據(jù)廣域網(wǎng)傳輸中的控制命令、參數(shù)設(shè)置、交易報(bào)價(jià)等敏感數(shù)據(jù)。5非法使用(IllegitimateUse)非授權(quán)使用計(jì)算機(jī)或網(wǎng)絡(luò)資源。6信息泄漏(InformationLeakage)口令、證書等敏感信息泄密。7欺騙(Spoof)Web服務(wù)欺騙攻擊；IP欺騙攻擊。8偽裝(Masquerade)入侵者偽裝合法身份，進(jìn)入閥門監(jiān)控系統(tǒng)。9拒絕服務(wù)(Availability,.DenialofService)向調(diào)度數(shù)據(jù)網(wǎng)絡(luò)或通信網(wǎng)關(guān)發(fā)送大量雪崩數(shù)據(jù)，造成網(wǎng)絡(luò)或監(jiān)控系統(tǒng)癱瘓。10竊聽(Eavesdropping,.DataConfidentiality)黑客在調(diào)度數(shù)據(jù)網(wǎng)或?qū)＞€通道上搭線竊聽明文傳輸?shù)拿舾行畔?，為后續(xù)攻擊做準(zhǔn)備。3.2安全威脅的來源辦公區(qū)等網(wǎng)絡(luò)不是一個(gè)孤立的系統(tǒng)，是和互聯(lián)網(wǎng)連接，提供員工上網(wǎng)的需求和對(duì)外信息發(fā)布的平臺(tái)，那么來自外部威脅的可能性非常大。例如應(yīng)用系統(tǒng)遭受拒絕服務(wù)攻擊，信息泄露等。內(nèi)部威脅內(nèi)部人員有意或無意的違規(guī)操作給信息系統(tǒng)造成的損害，沒有建立健全安全管理機(jī)制使得內(nèi)部人員的違規(guī)操作甚至犯罪行為給信息系統(tǒng)造成的損害等。病毒或惡意代碼目前病毒的發(fā)展與傳播途徑之多、速度之快、危害面之廣、造成的損失之嚴(yán)重，都已達(dá)到了非常驚人的程度。也是計(jì)算機(jī)信息系統(tǒng)不可忽略的一個(gè)重要安全威脅源。病毒和惡意代碼主要針對(duì)操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)、應(yīng)用系統(tǒng)等軟件。病毒和惡意代碼的威脅主要來自內(nèi)部網(wǎng)絡(luò)、USB盤、光盤等介質(zhì)。自然災(zāi)害主要的自然威脅是：?地震、水災(zāi)、雷擊；?惡劣環(huán)境，如不適宜的溫度濕度，以及塵埃、靜電；?外電不穩(wěn)定、電源設(shè)備故障等。管理層面的缺陷?管理的脆弱性在安全管理方面的脆弱性主要表現(xiàn)在缺乏針對(duì)性的安全策略、安全技術(shù)規(guī)范、安全事件應(yīng)急計(jì)劃，管理制度不完善，安全管理和運(yùn)行維護(hù)組織不健全，對(duì)規(guī)章、制度落實(shí)的檢查不夠等。?安全組織建設(shè)風(fēng)險(xiǎn)信息系統(tǒng)安全體系的建設(shè)對(duì)組織保障提出了更高的要求。?安全管理風(fēng)險(xiǎn)安全管理制度的建設(shè)還不全面，如：缺乏統(tǒng)一的用戶權(quán)限管理和訪問控制策略，用戶、口令、權(quán)限的管理不嚴(yán)密，系統(tǒng)的安全配置一般都是缺省配置，風(fēng)險(xiǎn)很大。對(duì)安全策略和制度執(zhí)行狀況的定期審查制度及對(duì)安全策略和制度符合性的評(píng)估制度不夠完善。沒有根據(jù)各類信息的不同安全要求確定相應(yīng)的安全級(jí)別，信息安全管理范圍不明確。缺乏有效的安全監(jiān)控措施和評(píng)估檢查制度，不利于在發(fā)生安全事件后及時(shí)發(fā)現(xiàn)，并采取措施。缺乏完善的災(zāi)難應(yīng)急計(jì)劃和制度，對(duì)突發(fā)的安全事件沒有制定有效的應(yīng)對(duì)措施，沒有有效的機(jī)制和手段來發(fā)現(xiàn)和監(jiān)控安全事件，沒有有效的對(duì)安全事件的處理流程和制度。?人員管理風(fēng)險(xiǎn)人員對(duì)安全的認(rèn)識(shí)相對(duì)較高，但在具體執(zhí)行和落實(shí)、安全防范的技能等還有待加強(qiáng)。

4設(shè)計(jì)方案本方案重點(diǎn)描述局中心機(jī)房等與業(yè)務(wù)直接相關(guān)部分的安全防護(hù)。方案實(shí)現(xiàn)的防護(hù)目標(biāo)是抵御黑客、病毒、惡意代碼等通過各種形式對(duì)系統(tǒng)發(fā)起的惡意破壞和攻擊，以及其它非法操作，防止局中心機(jī)房各個(gè)系統(tǒng)癱瘓和失控，并由此導(dǎo)致的一次系統(tǒng)事故。4.1拓?fù)涫疽獠僮飨到y(tǒng)安全是計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的基礎(chǔ)，而服務(wù)器上的業(yè)務(wù)數(shù)據(jù)又是被攻擊的最終目標(biāo)，因此，加強(qiáng)對(duì)關(guān)鍵服務(wù)器的安全控制，是增強(qiáng)系統(tǒng)總體安全性的核心一環(huán)。對(duì)局中心機(jī)房各個(gè)系統(tǒng)關(guān)鍵服務(wù)器實(shí)現(xiàn)安全加固，合理配置檢查規(guī)則。強(qiáng)制進(jìn)行權(quán)限分配，保證對(duì)系統(tǒng)資源（包括數(shù)據(jù)和進(jìn)程）的訪問符合定義的主機(jī)安全策略，防止主機(jī)權(quán)限被濫用。冬水利站整個(gè)系統(tǒng)方案建成后如圖:冬水利站整個(gè)系統(tǒng)方案建成后如圖:4.2安全部署方案4.2.1下一代防火墻（上網(wǎng)行為管理及入侵防御）在部署下一代防火墻。安全建設(shè)充分考慮到廣域網(wǎng)組網(wǎng)、運(yùn)行過程中潛在的安全問題及可靠性問題，通過下一代防火墻，綜合事前、事中、時(shí)候一體化安全運(yùn)營(yíng)中心，實(shí)現(xiàn)安全組網(wǎng)防護(hù)效果，確保局域網(wǎng)高安全和高可用。同時(shí)，通過下一代防火墻集成入侵防御、入侵檢測(cè)、上網(wǎng)行為管理、防病毒網(wǎng)關(guān)功能，實(shí)現(xiàn)一體化安全的安全策略部署防護(hù)效果，簡(jiǎn)化管理運(yùn)維成本，實(shí)現(xiàn)了最優(yōu)投資回報(bào)。同時(shí)，給區(qū)域內(nèi)網(wǎng)絡(luò)構(gòu)建立體的防護(hù)體系，防止內(nèi)部終端遭受各個(gè)層次的安全威脅。通過下一代防火墻虛擬補(bǔ)丁和病毒防護(hù)等功能，有效防御各種攻擊和內(nèi)網(wǎng)蠕蟲病毒，防止僵尸網(wǎng)絡(luò)形成，保證網(wǎng)絡(luò)的安全穩(wěn)定運(yùn)行。下一代防火墻內(nèi)置僵尸網(wǎng)絡(luò)識(shí)別庫(kù)，通過分析內(nèi)網(wǎng)終端的異常行為，等機(jī)制準(zhǔn)確識(shí)別被黑客控制的僵尸終端，鏟除各類攻擊的土壤。4.2.2日志審計(jì)系統(tǒng)綜合日志分析系統(tǒng)的主要功能包括如下模塊：■采集管理：在接入各類日志和事件前，指定需要采集的目標(biāo)、接入方式以及相關(guān)參數(shù)（如數(shù)據(jù)庫(kù)的各種連接參數(shù)）、選擇標(biāo)準(zhǔn)化腳本和過濾歸并策略；■事件分析：事件分析是綜合日志分析系統(tǒng)的核心模塊之一，它不僅可以綜合考量各種日志之間可能存在的關(guān)系，而且能夠?qū)θ罩局邢嚓P(guān)要素進(jìn)行分析；最終，異常事件的分析結(jié)果將以告警的形式呈現(xiàn)在系統(tǒng)中；■審計(jì)管理：審計(jì)管理是綜合日志分析系統(tǒng)的核心模塊之一，側(cè)重于發(fā)現(xiàn)日志中相關(guān)要素是否和預(yù)定的策略相符，如時(shí)間、地點(diǎn)、人員、方式等。審計(jì)管理能夠方便的自定義審計(jì)人員、行為對(duì)象、審計(jì)類型、審計(jì)策略等基本配置；并能夠自定義審計(jì)策略模板，審計(jì)管理內(nèi)置了大量審計(jì)策略模板，涵蓋了常見的、對(duì)企業(yè)非常實(shí)用的審計(jì)策略模板，如主機(jī)、防火墻、數(shù)據(jù)庫(kù)、薩班斯審計(jì)策略、等級(jí)保護(hù)策略模板等。對(duì)于根據(jù)審計(jì)策路所產(chǎn)生的審計(jì)違規(guī)結(jié)果，系統(tǒng)以告警的形式在實(shí)時(shí)監(jiān)控模塊呈現(xiàn)給用戶，用戶可以對(duì)告警進(jìn)行相關(guān)的處理?！霭踩O(jiān)控：安全監(jiān)控包括告警監(jiān)控和實(shí)時(shí)監(jiān)控。所謂告警是指用戶特別需要關(guān)注的安全問題，這些問題來源于事件分析、審計(jì)分析的結(jié)果。所謂實(shí)時(shí)監(jiān)控是指對(duì)當(dāng)前接入的事件日志的逐條、實(shí)時(shí)顯示，顯示的日志內(nèi)容是可以根據(jù)用戶的需求進(jìn)行設(shè)置過濾條件來定制的?！霭踩庞[：綜合呈現(xiàn)當(dāng)前接入系統(tǒng)的安全態(tài)勢(shì)，如告警概況、系統(tǒng)運(yùn)行狀態(tài)、事件分析統(tǒng)計(jì)、審計(jì)分析統(tǒng)計(jì)等，安全概覽顯示內(nèi)容可根據(jù)需要自定制。■報(bào)表管理：系統(tǒng)提供豐富的報(bào)表，以滿足用戶不同的要求；■資產(chǎn)管理：與普通的綜合日志分析系統(tǒng)不同，綜合日志分析系統(tǒng)提供資產(chǎn)管理模塊，以方便用戶對(duì)被管對(duì)象的管理；■知識(shí)庫(kù)管理：系統(tǒng)提供日志發(fā)送配置（即如何對(duì)各種系統(tǒng)進(jìn)行配置，使其產(chǎn)生日志）、安全事件知識(shí)、安全經(jīng)驗(yàn)等，對(duì)日志審計(jì)提供相應(yīng)的支撐；■系統(tǒng)管理：系統(tǒng)的自身管理，包括如用戶管理、日志管理、升級(jí)管理等功能。以上功能，經(jīng)過細(xì)化以后，可以形成如下結(jié)構(gòu):1） 安全管理對(duì)象：綜合日志分析系統(tǒng)能夠?qū)Ω鞣N安全風(fēng)險(xiǎn)進(jìn)行采集和匯總，安全對(duì)象涵蓋了人員、網(wǎng)絡(luò)、安全設(shè)施、系統(tǒng)、終端、應(yīng)用等。2） 采集層：采集各種設(shè)備的事件日志，標(biāo)準(zhǔn)化為統(tǒng)一的格式，然后進(jìn)行過濾、歸并、關(guān)聯(lián)和審計(jì)，從海量日志中分析潛在的安全問題，同時(shí)進(jìn)行相關(guān)數(shù)據(jù)的存儲(chǔ)和管理。3） 分析處理層：系統(tǒng)通過分析引擎，對(duì)日志進(jìn)行關(guān)聯(lián)分析、審計(jì)分析和統(tǒng)計(jì)分析，并對(duì)異常事件告警策略進(jìn)行管理。4） 業(yè)務(wù)功能層：業(yè)務(wù)功能層實(shí)現(xiàn)對(duì)企業(yè)信息安全業(yè)務(wù)的支撐，以及系統(tǒng)自身運(yùn)行的管理。在此基礎(chǔ)上，通過分析事件與資產(chǎn)的相互關(guān)系，產(chǎn)生告警及報(bào)表等。5） 與此同時(shí)，業(yè)務(wù)功能層提供資產(chǎn)管理、報(bào)表管理、采集管理、事件分析和審計(jì)管理，分別支撐用戶的相關(guān)業(yè)務(wù)功能。6） 綜合展現(xiàn)層：綜合展現(xiàn)層是綜合日志分析系統(tǒng)的展示層。該層通過個(gè)人工作臺(tái)和安全概覽，將整個(gè)系統(tǒng)收集、分析、管理的安全事件、告警概況等信息多維度的展現(xiàn)在用戶面前。采集是綜合日志分析系統(tǒng)的重要功能模塊，它承載了日志或事件采集標(biāo)準(zhǔn)化、過濾、歸并功能.采集管理是系統(tǒng)進(jìn)行分析的第一步，用戶通過指定需要采集的目標(biāo)、相關(guān)采集參數(shù)（Syslog、SNMPTrap等被動(dòng)方式無需指定）、相關(guān)的過濾策略和歸并策略等創(chuàng)建日志采集器，以收集相關(guān)設(shè)備或系統(tǒng)的日志.具體如下：＞標(biāo)準(zhǔn)化不同的系統(tǒng)或設(shè)備所產(chǎn)生的日志格式是不盡相同的，這就給分析和統(tǒng)計(jì)帶了巨大的麻煩，所以在綜合日志分析系統(tǒng)中內(nèi)置了眾多的標(biāo)準(zhǔn)化腳本以處理這種情形；即便對(duì)于某些特殊的設(shè)備，您沒有發(fā)現(xiàn)相關(guān)的解析腳本，綜合日志分析系統(tǒng)也提供了相應(yīng)的定制方法以解決這些問題。＞過濾和歸并為了對(duì)接收的日志數(shù)量進(jìn)行壓縮，綜合日志分析系統(tǒng)還提供了過濾和歸并功能；其中，過濾功能不僅僅是丟棄無用的日志，而且也可以將它們轉(zhuǎn)發(fā)到外部系統(tǒng)或?qū)Σ糠质录侄芜M(jìn)行重新填充。＞事件分析綜合日志分析系統(tǒng)的事件分析功能是系統(tǒng)中的核心功能之一；其中關(guān)聯(lián)分析策略主要側(cè)重于各類日志之間可能存在的邏輯關(guān)聯(lián)關(guān)系.綜合日志分析系統(tǒng)不僅支持以預(yù)定義規(guī)則的方式進(jìn)行事件關(guān)聯(lián)，還支持基于模式發(fā)現(xiàn)方式的關(guān)聯(lián)；系統(tǒng)不僅支持短時(shí)間內(nèi)的序列關(guān)聯(lián)，還支持長(zhǎng)時(shí)間的關(guān)聯(lián)（最長(zhǎng)可達(dá)30天）。對(duì)于事件關(guān)聯(lián)分析所產(chǎn)生的結(jié)果將在關(guān)聯(lián)事件中呈現(xiàn)，如果符合關(guān)聯(lián)策略，將以告警的形式在實(shí)時(shí)監(jiān)控模塊呈現(xiàn)給用戶，用戶可以對(duì)告警進(jìn)行相關(guān)的處理。4.2.3運(yùn)維審計(jì)系統(tǒng)（堡壘機(jī)）借助切實(shí)有效的技術(shù)手段，通過對(duì)運(yùn)維環(huán)境中人員、設(shè)備、操作行為等諸多要素的統(tǒng)籌管理和策略定義，建立一個(gè)具有完備控制和審計(jì)功能的運(yùn)維管理系統(tǒng)，為業(yè)務(wù)生產(chǎn)系統(tǒng)進(jìn)一步的發(fā)展建立堅(jiān)實(shí)基礎(chǔ)。該方案需要在技術(shù)層面完成如下建設(shè)目標(biāo)：■實(shí)現(xiàn)單點(diǎn)登錄：全部運(yùn)維人員集中通過運(yùn)維管理系統(tǒng)，來管理后臺(tái)的服務(wù)器、網(wǎng)絡(luò)設(shè)備等資源，同時(shí)對(duì)運(yùn)維人員進(jìn)行統(tǒng)一的身份認(rèn)證；■實(shí)現(xiàn)統(tǒng)一授權(quán)：統(tǒng)一部署訪問控制和權(quán)限控制等策略，保證操作者對(duì)后臺(tái)資源的合法使用，同時(shí)實(shí)現(xiàn)對(duì)高危操作過程的事中監(jiān)控和實(shí)時(shí)告警；■快速定位問題：必須對(duì)操作人員原始的操作過程進(jìn)行完整的記錄，并提供靈活的查詢搜索機(jī)制，從而在操作故障發(fā)生時(shí)，快速的定位故障的原因，還原操作的現(xiàn)場(chǎng)；■簡(jiǎn)化密碼管理：實(shí)現(xiàn)賬號(hào)密碼的集中管理，在簡(jiǎn)化密碼管理的同時(shí)提高賬號(hào)密碼的安全性；■兼容操作習(xí)慣：盡量不改變運(yùn)維環(huán)境中已有的網(wǎng)絡(luò)架構(gòu)、對(duì)操作者原有的操作習(xí)慣不造成任何影響；集中管理是前提：只有集中以后才能夠?qū)崿F(xiàn)統(tǒng)一管理，只有集中管理才能把復(fù)雜問題簡(jiǎn)單化，分散是無法談得上管理的，集中是運(yùn)維管理發(fā)展的必然趨勢(shì)，也是唯一的選擇。身份管理是基礎(chǔ)：身份管理解決的是維護(hù)操作者的身份問題。身份是用來識(shí)別和確認(rèn)操作者的，因?yàn)樗械牟僮鞫际怯脩舭l(fā)起的，如果我們連操作的用戶身份都無法確認(rèn)，那么不管我們?cè)趺纯刂疲趺磳徲?jì)都無法準(zhǔn)確的定位操作責(zé)任人。所以身份管理是基礎(chǔ)。訪問控制是手段：操作者身份確定后，下一個(gè)問題就是他能訪問什么資源、你能在目標(biāo)資源上做什么操作。如果操作者可以隨心所欲訪問任何資源、在資源上做任何操作，就等于沒了控制，所以需要通過訪問控制這種手段去限制合法操作者合法訪問資源，有效降低未授權(quán)訪問所帶來的風(fēng)險(xiǎn)。操作審計(jì)是保證：操作審計(jì)要保證在出了事故以后快速定位操作者和事故原因，還原事故現(xiàn)場(chǎng)和舉證。另外一個(gè)方面操作審計(jì)做為一種驗(yàn)證機(jī)制，驗(yàn)證和保證集中管理，身份管理，訪問控制，權(quán)限控制策略的有效性。自動(dòng)運(yùn)維是目標(biāo)：操作自動(dòng)化是運(yùn)維操作管理的終極目標(biāo)，通過讓該功能，可讓堡壘機(jī)自動(dòng)幫助運(yùn)維人員執(zhí)行各種常規(guī)操作，從而達(dá)到降低運(yùn)維復(fù)雜度、提高運(yùn)維效率的目的。4.2.4數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)在運(yùn)維管理區(qū)部署數(shù)據(jù)庫(kù)審計(jì)，采用旁路模式部署。采用安全審計(jì)系統(tǒng)數(shù)據(jù)庫(kù)審計(jì)功能則主要針對(duì)網(wǎng)絡(luò)內(nèi)數(shù)據(jù)庫(kù)服務(wù)器，實(shí)時(shí)采集網(wǎng)絡(luò)中對(duì)數(shù)據(jù)庫(kù)訪問的信息進(jìn)行審計(jì)。數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)通過對(duì)網(wǎng)絡(luò)數(shù)據(jù)的實(shí)時(shí)采集分析、監(jiān)控來自網(wǎng)絡(luò)內(nèi)部和外部的用戶對(duì)數(shù)據(jù)庫(kù)的訪問活動(dòng)，及時(shí)識(shí)別和發(fā)現(xiàn)其中是否存在安全威脅和違規(guī)行為。系統(tǒng)的審計(jì)分析結(jié)果能幫助管理員對(duì)數(shù)據(jù)庫(kù)安全策略進(jìn)行分析，提升數(shù)據(jù)庫(kù)安全性，并為管理員調(diào)整數(shù)據(jù)庫(kù)安全策略、收集證據(jù)及事后追蹤起訴提供用力的幫助。該產(chǎn)品通過旁路監(jiān)聽，實(shí)時(shí)采集網(wǎng)絡(luò)中的數(shù)據(jù)庫(kù)訪問信息，進(jìn)行審計(jì)分析，恢復(fù)和還原用戶的數(shù)據(jù)庫(kù)訪問過程，自動(dòng)記錄訪問過程，協(xié)助網(wǎng)管人員掌握數(shù)據(jù)庫(kù)的訪問情況，及時(shí)發(fā)現(xiàn)和制止非法訪問行為。多層業(yè)務(wù)關(guān)聯(lián)審計(jì)：通過應(yīng)用層訪問和數(shù)據(jù)庫(kù)操作請(qǐng)求進(jìn)行多層業(yè)務(wù)關(guān)聯(lián)審計(jì)，實(shí)現(xiàn)訪問者信息的完全追溯，包括：操作發(fā)生的URL、客戶端的IP、請(qǐng)求報(bào)文等信息，通過多層業(yè)務(wù)關(guān)聯(lián)審計(jì)更精確地定位事件發(fā)生前后所有層面的訪問及操作請(qǐng)求，使管理人員對(duì)用戶的行為一目了然，真正做到數(shù)據(jù)庫(kù)操作行為可監(jiān)控，違規(guī)操作可追溯。細(xì)粒度數(shù)據(jù)庫(kù)審計(jì)：通過對(duì)不同數(shù)據(jù)庫(kù)的SQL語(yǔ)義分析，提取出SQL中相關(guān)的要素（用戶、SQL操作、表、字段、視圖、索引、過程、函數(shù)、包…）實(shí)時(shí)監(jiān)控來自各個(gè)層面的所有數(shù)據(jù)庫(kù)活動(dòng)，包括來自應(yīng)用系統(tǒng)發(fā)起的數(shù)據(jù)庫(kù)操作請(qǐng)求、來自數(shù)據(jù)庫(kù)客戶端工具的操作請(qǐng)求以及通過遠(yuǎn)程登錄服務(wù)器后的操作請(qǐng)求等通過遠(yuǎn)程命令行執(zhí)行的SQL命令也能夠被審計(jì)與分析，并對(duì)違規(guī)的操作進(jìn)行阻斷系統(tǒng)不僅對(duì)數(shù)據(jù)庫(kù)操作請(qǐng)求進(jìn)行實(shí)時(shí)審計(jì)，而且還可對(duì)數(shù)據(jù)庫(kù)返回結(jié)果進(jìn)行完整的還原和審計(jì)，同時(shí)可以根據(jù)返回結(jié)果設(shè)置審計(jì)規(guī)則。精準(zhǔn)化行為回溯：一旦發(fā)生安全事件，提供基于數(shù)據(jù)庫(kù)對(duì)象的完全自定義審計(jì)查詢及審計(jì)數(shù)據(jù)展現(xiàn)，徹底擺脫數(shù)據(jù)庫(kù)的黑盒狀態(tài)。全方位風(fēng)險(xiǎn)控制：靈活的策略定制：根據(jù)登錄用戶、源IP地址、數(shù)據(jù)庫(kù)對(duì)象（分為數(shù)據(jù)庫(kù)用戶、表、字段）、操作時(shí)間、SQL操作命令、返回的記錄數(shù)或受影響的行數(shù)、關(guān)聯(lián)表數(shù)量、SQL執(zhí)行結(jié)果、SQL執(zhí)行時(shí)長(zhǎng)、報(bào)文內(nèi)容的靈活組合來定義客戶所關(guān)心的重要事件和風(fēng)險(xiǎn)事件多形式的實(shí)時(shí)告警：當(dāng)檢測(cè)到可疑操作或違反審計(jì)規(guī)則的操作時(shí)，系統(tǒng)可以通過監(jiān)控中心告警、短信告警、郵件告警、Syslog告警等方式通知數(shù)據(jù)庫(kù)管理員。職權(quán)分離：《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)數(shù)據(jù)庫(kù)管理技術(shù)要求》、《企業(yè)內(nèi)部控制規(guī)范》、SOX法案或PCI中明確提出對(duì)工作人員進(jìn)行職責(zé)分離，系統(tǒng)設(shè)置了權(quán)限角色分離。友好真實(shí)的操作過程回放：對(duì)于客戶關(guān)心的操作可以回放整個(gè)相關(guān)過程，讓客戶可以看到真實(shí)輸入及屏幕顯示內(nèi)容。對(duì)于遠(yuǎn)程操作實(shí)現(xiàn)對(duì)精細(xì)內(nèi)容的檢索，如執(zhí)行刪除表、文件命令、數(shù)據(jù)搜索等。4.2.5網(wǎng)絡(luò)防病毒系統(tǒng)在各服務(wù)器、終端pc上安裝防病毒軟件系統(tǒng)，在運(yùn)維管理區(qū)部署防病毒管理系統(tǒng)，在全網(wǎng)部署防病毒系統(tǒng)后，通過代碼特征匹配和動(dòng)態(tài)行為分析識(shí)別惡意軟件變種與族群，有效解決病毒、木馬、漏洞、免殺逃逸等終端威脅，實(shí)現(xiàn)了反病毒、主動(dòng)防御和主機(jī)防火墻等三大功能。部署設(shè)計(jì)：＞全面集中管理防病毒系統(tǒng)企業(yè)版具有全面集中管理和全網(wǎng)設(shè)置的功能，網(wǎng)絡(luò)管理員可以十分輕松地實(shí)現(xiàn)全網(wǎng)的統(tǒng)一設(shè)置，以及對(duì)服務(wù)器端/客戶端進(jìn)行分組管理。支持的服務(wù)器端/客戶端類型有Windowsserver2003\2008\2012，WindowsPCXP\7\8、Linuxserver等。在管理員控制臺(tái)上，管理員能夠?qū)ι鲜鋈魏我环N服務(wù)器端/客戶端進(jìn)行直接操作：設(shè)置策略、策略下發(fā)、客戶端分組、殺毒、補(bǔ)丁升級(jí)、啟動(dòng)/關(guān)閉實(shí)時(shí)監(jiān)控、統(tǒng)一報(bào)表等。＞全網(wǎng)查殺毒防病毒系統(tǒng)企業(yè)版能夠隨時(shí)啟動(dòng)對(duì)全網(wǎng)的統(tǒng)一查殺毒，這樣就能全網(wǎng)統(tǒng)一行動(dòng)，最大程度的減小了病毒傳播的可能。當(dāng)然，管理員也可以對(duì)很方便的使用企業(yè)管理中心對(duì)單個(gè)或多個(gè)客戶端進(jìn)行查殺毒。＞直接監(jiān)視服務(wù)器端/客戶端防病毒系統(tǒng)企業(yè)版能夠直接顯示每一個(gè)服務(wù)器端/客戶端的實(shí)時(shí)監(jiān)控狀態(tài)、安裝的版本、查殺毒狀態(tài)，這樣管理員對(duì)于任何安裝了防病毒系統(tǒng)企業(yè)版的計(jì)算機(jī)的狀態(tài)都一目了然，隨時(shí)監(jiān)測(cè)有無異常情況出現(xiàn)。＞遠(yuǎn)程報(bào)警防病毒系統(tǒng)企業(yè)版管理中心記錄了整個(gè)網(wǎng)絡(luò)中任意服務(wù)器端/客戶端計(jì)算機(jī)上查殺毒時(shí)發(fā)現(xiàn)的病毒信息，并且能夠在控制臺(tái)病毒列表欄上顯示。管理員由此能及時(shí)發(fā)現(xiàn)染毒的計(jì)算機(jī)，做出及時(shí)的反應(yīng)。整個(gè)網(wǎng)絡(luò)的病毒報(bào)警信息是由運(yùn)維管理中心來統(tǒng)一維護(hù)的，因此管理員通過管理中心能夠查詢和管理之前的病毒歷史記錄。對(duì)病毒的傳播途徑進(jìn)行有效的跟蹤，做到了層層防護(hù)。4.2.6災(zāi)備系統(tǒng)備份存儲(chǔ)系統(tǒng)（備份一體機(jī)）是一種集備份、虛擬帶庫(kù)等功能為一體的軟、硬件一體化備份平臺(tái)。備份存儲(chǔ)系統(tǒng)包含一整套階梯式產(chǎn)品，完全可以服務(wù)于各種不同級(jí)別的數(shù)據(jù)備份存儲(chǔ)需求。備份存儲(chǔ)系統(tǒng)可采用SATA、SAS、SSD等多種磁盤，提供FC光纖、萬兆以太網(wǎng)以及千兆以太網(wǎng)的擴(kuò)展卡以滿足用戶不同的應(yīng)用需求。備份存儲(chǔ)系統(tǒng)具有最廣泛的備份功能，支持多種數(shù)據(jù)類型的備份，如數(shù)據(jù)庫(kù)備份、文件備份、應(yīng)用備份、操作系統(tǒng)備份等，涵蓋從Windows^Linux到Unix操作系統(tǒng)平臺(tái)，備份的數(shù)據(jù)可以通過IP-SAN、FC-SAN