政務(wù)云-安全策略

數(shù)據(jù)中心云安全設(shè)備功能

云平臺安全設(shè)備功能......................................................................................................31.1防火墻........................................................................................................................31.2抗攻設(shè)備.....................................................................................................31.3防病毒安全網(wǎng)關(guān)........................................................................................................41.4WEB應(yīng)用防火墻........................................................................................................1.5部署....................................................................................................................1.6入防御...................................................................................................................1.7網(wǎng)審計...................................................................................................................1.8堡壘主機....................................................................................................................1.9漏掃描系統(tǒng)...........................................................................................................1.10網(wǎng)頁防篡改.............................................................................................................1.11網(wǎng)閘.........................................................................................................................

云平臺安全設(shè)備功1.1防火墻訪問控制策略：依據(jù)數(shù)據(jù)包的源地址、目的地址、通信協(xié)議、端口、流量、用戶、通信時間等信息，進行判斷，確定是否在在非法或違規(guī)的操作，并進行阻斷。地址轉(zhuǎn)換策略針對政務(wù)云內(nèi)的不同的業(yè)務(wù)服務(wù)器防火墻將采取地址轉(zhuǎn)換策略，來有效的保護業(yè)務(wù)服務(wù)器；會話限制策略對于三級信息系統(tǒng)從維護系統(tǒng)可用性的角度必須限制會話數(shù)來保障服務(wù)的有效性防火墻可對保護的應(yīng)用服務(wù)器采取會話限制策略當(dāng)服務(wù)器接受的連接數(shù)接近或達(dá)到閥值時，防火墻自動阻斷其他的訪問連接請求，避免服務(wù)器接到過多的訪問而崩潰；地址綁定策略對于三級的信息系統(tǒng)業(yè)務(wù)應(yīng)用服務(wù)器區(qū)域信息系統(tǒng)業(yè)務(wù)數(shù)據(jù)庫服務(wù)器區(qū)域以及數(shù)據(jù)交換區(qū)域，必須采?。玀AC地址綁定技術(shù)，從而有效防止地址欺騙攻擊同時采取地址綁定策略后還應(yīng)當(dāng)在各個三級計算環(huán)境的交換機上綁定，防止攻擊者私自將終端設(shè)備接入三級計算環(huán)境進行破壞；日志審計策略防火墻詳細(xì)記錄了轉(zhuǎn)發(fā)的訪問數(shù)據(jù)包可提供給網(wǎng)絡(luò)管理人員進行分析。這里應(yīng)當(dāng)將防火墻記錄日志統(tǒng)一導(dǎo)入到安全管理平臺。1.2抗擊設(shè)備（1）DOS/DDOS攻擊防御TopADS不僅能夠檢測和清洗Pingofdeath、Land、等DOS攻擊還能清洗ICMPFloodTCPSYNFloodTCPACKFloodTCPSYN-ACK、TCPRSTFloodTCPFINFloodTCP分片、TCPConnection（連接耗盡）等流量型DOS/DDOS攻擊。

（2）應(yīng)用層DOS/DDOS攻擊防御TopADS采用信譽源測機制HTTPGETFloodPOSTFlood、HTTPS、DNSQUERYFlood、NXDomainFlood、反射投毒、慢速連接耗盡等應(yīng)用型DOS/DDOS攻擊有更好的防御效果。（3）大客戶兩級保護對象策略TopADS產(chǎn)品內(nèi)置了針對運營需求的大客戶兩級保護對象策略，可以在一級保護對象中定義大客戶，并在一級保護對象上設(shè)置針對大客戶個體的黑白名單、過濾規(guī)則等策略后在二級保護對象中針對大客戶的不同服務(wù)器配置不同的保護模板，形成二級保護策略。（4）全64位的原生ipv6支持TopADS產(chǎn)品的管理平面和數(shù)據(jù)平面均為全64位系統(tǒng)，具備原生ipv4/ipv6雙棧處理能力，不僅能夠在純ipv6網(wǎng)絡(luò)環(huán)境中部署和檢測攻擊，還能夠在ipv4/ipv6混合網(wǎng)絡(luò)環(huán)境中部署和檢測攻擊行為。1.3防病毒全網(wǎng)關(guān)可實現(xiàn)對邊界的惡意代碼進行檢查和清除網(wǎng)用戶在訪問互聯(lián)網(wǎng)的掛馬網(wǎng)站或是病毒網(wǎng)站釣魚網(wǎng)站的時候防病毒網(wǎng)關(guān)可直接在邊界進行病毒過濾從網(wǎng)絡(luò)層面阻斷病毒傳播部署的服務(wù)器上的防病毒軟件相配合覆蓋全面，分層防護的多級病毒過濾系統(tǒng)。1.4WEB應(yīng)防火墻WEB應(yīng)防火墻通過對進出服器的http流相關(guān)內(nèi)容的實時分析檢測、過濾，來精確判定并阻止各種Web應(yīng)攻擊行為，阻斷對Web服器的惡意訪問與非法操作，如SQL注入、、Cookie篡以及應(yīng)用層DoS攻等，有效應(yīng)對網(wǎng)篡改、網(wǎng)頁掛馬、敏感信息泄露等安全問題。

1.5VPN部署Vpn用來保證認(rèn)證過程安全保障數(shù)據(jù)傳輸安全，同時在細(xì)粒度授權(quán)下實現(xiàn)嚴(yán)格的訪問控制，對用戶訪問全程的各個層面提供安全保障。1.6入侵防御入侵防護TopIDP產(chǎn)品采用了進的基于目標(biāo)系統(tǒng)的流重組檢測引擎根源上徹底阻斷了TCP流分段重疊攻擊行為。并且擁11大類超過3500條攻擊規(guī)則，尤其深度挖掘本地化業(yè)務(wù)系統(tǒng)的漏洞，形成防御阻斷規(guī)則后直接應(yīng)用于產(chǎn)品，更有效保護企業(yè)信息化資產(chǎn)?！oS/DDoS防護TopIDP全面支DOS/DDOS防御，通過構(gòu)建統(tǒng)計型攻擊模型和異常包攻擊模型，可以全面防御SYNfloodfloodfloodFloodflood、TcpScan以及CC等多達(dá)幾十種DOS/DDOS攻擊行為還可以通過自學(xué)習(xí)模式，針對用戶所需保護的服務(wù)器進行智能防御。·應(yīng)用管控TopIDP產(chǎn)品能夠識包括傳統(tǒng)協(xié)議、P2P下載、股票交易、即時通訊、流媒體、網(wǎng)絡(luò)游戲網(wǎng)絡(luò)視頻等在內(nèi)的超過150種網(wǎng)絡(luò)應(yīng)用使用戶很輕松判斷網(wǎng)絡(luò)中的各種帶寬濫用行為而采取包括阻斷制連接數(shù)流量等各種控制手段，確保網(wǎng)絡(luò)業(yè)務(wù)通暢。·網(wǎng)絡(luò)病毒檢測TopIDP產(chǎn)品集成了巴斯基SafeStreamⅡ網(wǎng)絡(luò)病毒庫用基于數(shù)據(jù)流的檢測技術(shù)能夠檢測包括木馬后門和蠕蟲在內(nèi)的超過100萬種網(wǎng)絡(luò)病毒與傳統(tǒng)的防病毒網(wǎng)關(guān)不同TopIDP產(chǎn)品并不需要依據(jù)透明代理還原文件是直接在數(shù)據(jù)流中檢測病毒能進行高速在線檢測實時阻斷新近流行的危害度最大的各種網(wǎng)絡(luò)病毒。

·URL過濾TopIDP產(chǎn)品內(nèi)置一龐大的URL分類庫，庫中收納包括惡意網(wǎng)站、違反國家法規(guī)與政策的網(wǎng)站、潛在不安全的網(wǎng)站、浪費帶寬網(wǎng)站、大眾興趣的網(wǎng)站、聊天與論壇網(wǎng)站、行業(yè)分類網(wǎng)站和計算機技術(shù)相關(guān)網(wǎng)站等多類，總數(shù)超過600萬個URL地址TopIDP產(chǎn)品能夠統(tǒng)計分析內(nèi)網(wǎng)用戶的上網(wǎng)行為限制對惡意網(wǎng)站或者潛在不安全站點的訪問過與應(yīng)用管控功能相結(jié)合以制定有效的管理策略，實現(xiàn)內(nèi)網(wǎng)用戶的上網(wǎng)行為管理。1.7網(wǎng)絡(luò)審計可以有效記錄系統(tǒng)的相關(guān)安全事件審計記錄包括安全事件的主體、時間、類型和結(jié)果等內(nèi)容，能提供審計記錄查詢、分類、分析和存儲保護功能，可以確保對特定安全事件進行報警，確保審計記錄不被破壞或非授權(quán)訪問。1.8堡壘主堡壘主機提供統(tǒng)一的集中管理平臺集中管理用戶帳號集中登錄認(rèn)證集中用戶授權(quán)和集中操作審計。1.9漏洞掃描系統(tǒng)漏掃系統(tǒng)應(yīng)用系統(tǒng)所使用的網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)安全設(shè)備、虛擬服務(wù)器等設(shè)備，進行漏洞掃描，通過漏洞掃描的結(jié)果生成報告，及時對存在漏洞設(shè)備進行修補，增強其系統(tǒng)的安全系數(shù)。1.10網(wǎng)頁防改系統(tǒng)將篡改監(jiān)測的核心程序通過內(nèi)核文件底層驅(qū)動內(nèi)嵌到操作系統(tǒng)中過事件觸發(fā)方式自動監(jiān)測對文件夾的所有文件內(nèi)（包含htmlaspjspphp音頻、圖片、視頻等文件類型）對照其多個屬性，經(jīng)過內(nèi)置散列快速算法，實時監(jiān)測，若發(fā)現(xiàn)變更，實時阻斷篡改行為。通過非協(xié)議方式，純內(nèi)核安全出站校驗方式檢查出站內(nèi)容的完整性。

1.11網(wǎng)閘實現(xiàn)重要網(wǎng)絡(luò)與其它網(wǎng)絡(luò)安全隔離并實現(xiàn)網(wǎng)絡(luò)之間有效的數(shù)據(jù)交換系統(tǒng)由內(nèi)端機、外端機、專