等級保護(hù)技術(shù)方案范本

等級保護(hù)技術(shù)方案信息系統(tǒng)等級保護(hù)建設(shè)指導(dǎo)要求（三級）目錄1. 范圍 -1-2. 項目背景 -2-2.1. 序言 -2-2.2. 開展信息安全等級保護(hù)法規(guī)、政策和技術(shù)依據(jù) -3-2.2.1信息安全等級保護(hù)關(guān)于法規(guī)、政策、文件 -6-2.2.2信息安全等級保護(hù)技術(shù)標(biāo)準(zhǔn)體系及其關(guān)系 -9-3. 方案設(shè)計要求 -17-3.1. 方案設(shè)計思想 -17-3.1.1構(gòu)建符合信息系統(tǒng)等級保護(hù)要求安全體系結(jié)構(gòu) -17-3.1.2建立科學(xué)實用全程訪問控制機(jī)制 -17-3.1.3加強(qiáng)源頭控制，實現(xiàn)基礎(chǔ)關(guān)鍵層縱深防御 -18-3.1.4面向應(yīng)用，構(gòu)建安全應(yīng)用支撐平臺 -19-3.2. 建設(shè)標(biāo)準(zhǔn) -19-3.3. 建設(shè)內(nèi)容 -20-3.3.1信息系統(tǒng)定級整改規(guī)劃 -20-3.3.2信息系統(tǒng)安全等級保護(hù)整體架構(gòu)設(shè)計（三級） -21-3.4. 計算環(huán)境安全設(shè)計 -27-5.1.1用戶身份判別 -27-5.1.2強(qiáng)制訪問控制 -28-5.1.3系統(tǒng)安全審計 -29-5.1.4用戶數(shù)據(jù)完整性保護(hù) -29-5.1.5用戶數(shù)據(jù)機(jī)密性保護(hù) -30-5.1.6客體安全重用 -30-5.1.7程序可執(zhí)行保護(hù) -30-3.5. 區(qū)域邊界安全設(shè)計 -30-5.2.1區(qū)域邊界訪問控制 -31-5.2.2區(qū)域邊界包過濾 -34-5.2.3區(qū)域邊界安全審計 -34-5.2.4區(qū)域邊界完整性保護(hù) -35-3.6. 安全通信網(wǎng)絡(luò)設(shè)計 -35-3.7. 安全管理中心設(shè)計 -35-4. 物理安全要求 -36-4.1. 信息系統(tǒng)中心機(jī)房安全現(xiàn)實狀況 -36-4.2. 信息系統(tǒng)物理安全方面提出要求 -37-4.3. 信息系統(tǒng)物理安全建設(shè) -37-5.3.1環(huán)境安全 -38-5.3.2設(shè)備安全 -41-5.3.3介質(zhì)安全 -42-5. 管理安全要求 -47-5.1. 信息系統(tǒng)安全管理要求 -48-5.2. 信息系統(tǒng)安全管理建設(shè)設(shè)計 516.2.1安全管理建設(shè)標(biāo)準(zhǔn) 516.2.2安全管理建設(shè)指導(dǎo)思想 516.2.3安全管理建設(shè)詳細(xì)方法 515.3. 信息系統(tǒng)安全建設(shè)總結(jié) 596. 設(shè)備要求 596.1. 設(shè)備選型標(biāo)準(zhǔn) 606.2. 產(chǎn)品分類選型指標(biāo) 616.2.1. 主機(jī)安全管理平臺指標(biāo) 616.2.2. 應(yīng)用安全防護(hù)系統(tǒng)指標(biāo) 626.2.3. 終端安全防護(hù)系統(tǒng)（服務(wù)器版）指標(biāo) 646.2.4. 終端安全防護(hù)系統(tǒng)（PC版）指標(biāo) 656.2.5. 身份認(rèn)證網(wǎng)關(guān)指標(biāo) 686.2.6. 數(shù)據(jù)庫審計系統(tǒng)指標(biāo) 686.2.7. 防火墻選型指標(biāo) 706.2.8. 防病毒網(wǎng)關(guān)指標(biāo) 716.2.9. 入侵檢測系統(tǒng)指標(biāo) 726.2.10. 漏洞掃描系統(tǒng)指標(biāo) 736.2.11. 抗拒絕服務(wù)系統(tǒng)指標(biāo) 746.2.12. 流量控制網(wǎng)關(guān)指標(biāo) 756.2.13. 網(wǎng)絡(luò)審計系統(tǒng)指標(biāo) 766.2.14. VPN設(shè)備選型指標(biāo) 776.3. 信息系統(tǒng)安全等級保護(hù)建設(shè)安全產(chǎn)品配置清單（三級） 79附件一：術(shù)語和定義 81附件二：方案設(shè)計參考法規(guī)、政策、標(biāo)準(zhǔn)（含國家標(biāo)準(zhǔn)、行標(biāo)、已送批）列表 91方案設(shè)計要求方案設(shè)計思想構(gòu)建符合信息系統(tǒng)等級保護(hù)要求安全體系結(jié)構(gòu)平臺安全建設(shè)需要在整體信息安全體系指導(dǎo)下進(jìn)行實施，確保信息安全建設(shè)真正發(fā)揮效力。伴隨計算機(jī)科學(xué)技術(shù)不停發(fā)展，計算機(jī)產(chǎn)品不停增加，信息系統(tǒng)也變得越來越復(fù)雜。從體系架構(gòu)角度看，任何一個信息系統(tǒng)都由計算環(huán)境、區(qū)域邊界、通信網(wǎng)絡(luò)三個層次組成。所謂計算環(huán)境就是用戶工作環(huán)境，由完成信息存放與處理計算機(jī)系統(tǒng)硬件和系統(tǒng)軟件以及外部設(shè)備及其連接部件組成，計算環(huán)境安全是信息系統(tǒng)安全關(guān)鍵，是授權(quán)和訪問控制源頭；區(qū)域邊界是計算環(huán)境邊界，對進(jìn)入和流出計算環(huán)境信息實施控制和保護(hù)；通信網(wǎng)絡(luò)是計算環(huán)境之間實現(xiàn)信息傳輸功效部分。在這三個層次中，假如每一個使用者都是經(jīng)過認(rèn)證和授權(quán)，其操作都是符合要求，那么就不會產(chǎn)生攻擊性事故，就能確保整個信息系統(tǒng)安全。建立科學(xué)實用全程訪問控制機(jī)制訪問控制機(jī)制是信息系統(tǒng)中敏感信息保護(hù)關(guān)鍵，依據(jù)《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》（GB17859-1999）（以下簡稱GB17859-1999）：三級信息系統(tǒng)安全保護(hù)環(huán)境設(shè)計策略，應(yīng)“提供關(guān)于安全策略模型、數(shù)據(jù)標(biāo)識以及主體對客體強(qiáng)制訪問控制”相關(guān)要求?；凇耙粋€中心支撐下三重保障體系結(jié)構(gòu)”安全保護(hù)環(huán)境，結(jié)構(gòu)非形式化安全策略模型，對主、客體進(jìn)行安全標(biāo)識，并以此為基礎(chǔ)，按照訪問控制規(guī)則實現(xiàn)對全部主體及其所控制客體強(qiáng)制訪問控制。由安全管理中心統(tǒng)一制訂和下發(fā)訪問控制策略，在安全計算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)實施統(tǒng)一全程訪問控制，阻止對非授權(quán)用戶訪問行為以及授權(quán)用戶非授權(quán)訪問行為。加強(qiáng)源頭控制，實現(xiàn)基礎(chǔ)關(guān)鍵層縱深防御終端是一切不安全問題根源，終端安全是信息系統(tǒng)安全源頭，假如在終端實施主動防御、綜合防范，努力消除不安全問題根源，那么主要信息就不會從終端泄露出去，病毒、木馬也無法入侵終端，內(nèi)部惡意用戶更是無法從網(wǎng)內(nèi)攻擊信息系統(tǒng)安全，防范內(nèi)部用戶攻擊問題迎刃而解。安全操作系統(tǒng)是終端安全關(guān)鍵和基礎(chǔ)。假如沒有安全操作系統(tǒng)支撐，終端安全就毫無保障。實現(xiàn)基礎(chǔ)關(guān)鍵層縱深防御需要高安全等級操作系統(tǒng)支撐，以此為基礎(chǔ)實施深層次人、技術(shù)和操作控制。面向應(yīng)用，構(gòu)建安全應(yīng)用支撐平臺在當(dāng)前信息系統(tǒng)中，不但包含單機(jī)模式應(yīng)用，還包含C/S和B/S模式應(yīng)用。即使很多應(yīng)用系統(tǒng)本身具備一定安全機(jī)制，如身份認(rèn)證、權(quán)限控制等，可是這些安全機(jī)制輕易被篡改和旁路，致使敏感信息安全難以得到有效保護(hù)。另外，因為應(yīng)用系統(tǒng)復(fù)雜性，修改現(xiàn)有應(yīng)用也是不現(xiàn)實。所以，在不修改現(xiàn)有應(yīng)用前提下，以保護(hù)應(yīng)用安全為目標(biāo)，需要構(gòu)筑安全應(yīng)用支撐平臺。本方案擬采取安全封裝方式實現(xiàn)對應(yīng)用服務(wù)訪問控制。應(yīng)用服務(wù)安全封裝主要由可信計算環(huán)境、資源隔離和輸入輸出安全檢驗來實現(xiàn)。經(jīng)過可信計算基礎(chǔ)保障機(jī)制建立可信應(yīng)用環(huán)境，經(jīng)過資源隔離限制特定進(jìn)程對特定文件訪問權(quán)限，從而將應(yīng)用服務(wù)隔離在一個受保護(hù)環(huán)境中，不受外界干擾，確保應(yīng)用服務(wù)相關(guān)客體資源不會被非授權(quán)用戶訪問。輸入輸出安全檢驗截獲并分析用戶和應(yīng)用服務(wù)之間交互請求，防范非法輸入和輸出。建設(shè)標(biāo)準(zhǔn)信息系統(tǒng)安全建設(shè)項目依靠現(xiàn)有網(wǎng)絡(luò)環(huán)境，基于嚴(yán)格管理架構(gòu)及信息系統(tǒng)運(yùn)行模式。要實現(xiàn)信息安全整體體系及安全聯(lián)動機(jī)制統(tǒng)一規(guī)劃，需要嚴(yán)格遵照一定建設(shè)標(biāo)準(zhǔn)與標(biāo)準(zhǔn)。主要包含：需求、風(fēng)險、代價平衡分析標(biāo)準(zhǔn)綜合性、整體性標(biāo)準(zhǔn)易操作性標(biāo)準(zhǔn)多重保護(hù)標(biāo)準(zhǔn)可評價性標(biāo)準(zhǔn)考慮到信息系統(tǒng)安全建設(shè)依靠單位網(wǎng)絡(luò)信息中心實現(xiàn)系統(tǒng)管理和運(yùn)維，其直接實現(xiàn)信息安全管理與技術(shù)建設(shè)。需要在網(wǎng)絡(luò)信息中心統(tǒng)一規(guī)劃指導(dǎo)下開展信息安全建設(shè)。提議按照“統(tǒng)一規(guī)劃、分步實施”標(biāo)準(zhǔn)，針對單位內(nèi)管理及使用各信息系統(tǒng)按安全等級劃分后進(jìn)行信息安全等級保護(hù)統(tǒng)一規(guī)劃設(shè)計與分步建設(shè)實施。參考信息系統(tǒng)（三級）技術(shù)設(shè)計思緒和建設(shè)內(nèi)容，遵照等級保護(hù)相關(guān)標(biāo)準(zhǔn)和要求，按照等保對應(yīng)級別系統(tǒng)安全要求，進(jìn)行信息安全等級保護(hù)規(guī)劃設(shè)計。參考標(biāo)準(zhǔn)《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》（國務(wù)院14號令）《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作意見》（中辦發(fā)[]27號）《關(guān)于信息安全等級保護(hù)工作實施意見》（公通字[]66號）《信息安全等級保護(hù)管理方法》（公通字[]43號）《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》（GB17859-1999）《信息系統(tǒng)安全等級保護(hù)定級指南》《信息系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求》（GB/T25070-）《信息系統(tǒng)安全等級保護(hù)基本要求》（GB/T22239-）《信息系統(tǒng)安全等級保護(hù)實施指南》《信息系統(tǒng)安全等級保護(hù)測評要求》《信息安全技術(shù)操作系統(tǒng)安全評定準(zhǔn)則》（GB/T9-）《信息安全技術(shù)信息系統(tǒng)安全管理要求》（GB/T20269-）《信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》（GB/T20270-）《信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求》（GB/T20271-）《信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求》（GB/T20272-）《信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》（GB/T20273-）建設(shè)內(nèi)容平臺安全基本包括到以下方面：作為海量數(shù)據(jù)處理平臺，平臺安全控制要做到以下：安全可靠：能夠有效屏蔽惡意訪問可伸縮：能夠伴隨規(guī)模擴(kuò)大，無需更改架構(gòu)就能夠支持易于管理：支持大規(guī)模分布式管理，單入口就能夠管理全部設(shè)備和系統(tǒng)及應(yīng)用安全方便用戶：不能因為安全要求高，而降低了用戶交互友好度安全拓?fù)涫疽鈭D布署說明：網(wǎng)絡(luò)邊界布署抗DDos系統(tǒng)，防護(hù)外部僵尸主機(jī)對網(wǎng)絡(luò)及業(yè)務(wù)系統(tǒng)攻擊，保障網(wǎng)絡(luò)高可用性；布署邊界防火墻設(shè)備，并開啟VPN模塊，防護(hù)來自外部安全威脅及訪問控制，并對網(wǎng)絡(luò)間傳輸數(shù)據(jù)進(jìn)行加密；布署入侵防護(hù)系統(tǒng)，防止業(yè)務(wù)系統(tǒng)遭受來自外部入侵攻擊；在虛擬化平臺布署安裝虛擬防火墻，對東西向流量進(jìn)行防護(hù)，及各VM間進(jìn)行隔離。詳細(xì)設(shè)計方案計算環(huán)境安全設(shè)計計算環(huán)境安全是整個安全建設(shè)關(guān)鍵和基礎(chǔ)。計算環(huán)境安全經(jīng)過終端、應(yīng)用服務(wù)器和數(shù)據(jù)庫安全機(jī)制服務(wù)，保障應(yīng)用業(yè)務(wù)處理全過程安全。系統(tǒng)終端和服務(wù)器經(jīng)過在操作系統(tǒng)關(guān)鍵層和系統(tǒng)層設(shè)置以強(qiáng)制訪問控制為主體系統(tǒng)安全機(jī)制，形成嚴(yán)密安全保護(hù)環(huán)境，經(jīng)過對用戶行為控制，能夠有效預(yù)防非授權(quán)用戶訪問和授權(quán)用戶越權(quán)訪問，確保信息和信息系統(tǒng)保密性和完整性，從而為業(yè)務(wù)系統(tǒng)正常運(yùn)行和免遭惡意破壞提供支撐和保障。系統(tǒng)安全加固1）操作系統(tǒng)加固：進(jìn)行操作系統(tǒng)裁剪，只安裝滿足業(yè)務(wù)需求“最小操作系統(tǒng)”2）加強(qiáng)安全基線配置3）數(shù)據(jù)庫加固：操作系統(tǒng)和數(shù)據(jù)庫程序數(shù)據(jù)文件安裝在不一樣分區(qū)上；在非系統(tǒng)卷上安裝數(shù)據(jù)庫程序和文件；只安裝業(yè)務(wù)需要組件，不安裝如升級工具、開發(fā)工具、代碼示例、聯(lián)機(jī)叢書等無須要組件；限制客戶端計算機(jī)連接到數(shù)據(jù)庫服務(wù)器所能夠使用協(xié)議范圍，并確保這些協(xié)議安全性，如限制只使用TCP/IP協(xié)議；限制客戶端計算機(jī)連接到數(shù)據(jù)庫服務(wù)器所使用特定端口，不使用默認(rèn)端口。系統(tǒng)安全審計計算環(huán)境各區(qū)域中安全控制點(diǎn)，包含防火墻、IPS、防病毒網(wǎng)關(guān)等設(shè)備功效審計模塊統(tǒng)計系統(tǒng)相關(guān)安全事件。審計統(tǒng)計包含安全事件主體、客體、時間、類型和結(jié)果等內(nèi)容。審計管理平臺提供審計統(tǒng)計查詢、分類、分析和存放保護(hù)，對特定安全事件進(jìn)行報警，同時終端安全加固系統(tǒng)能夠確保審計統(tǒng)計不會被非授權(quán)用戶訪問。用戶數(shù)據(jù)完整性保護(hù)在VPN設(shè)備安全功效支撐下，對經(jīng)過網(wǎng)絡(luò)傳輸數(shù)據(jù)進(jìn)行校驗、確保主要數(shù)據(jù)在網(wǎng)絡(luò)傳輸過程中完整性。區(qū)域邊界安全設(shè)計安全區(qū)域邊界是對定級系統(tǒng)安全計算環(huán)境邊界，以及安全計算環(huán)境與安全通信網(wǎng)絡(luò)之間實現(xiàn)連接功效進(jìn)行安全保護(hù)部件。區(qū)域邊界訪問控制防火墻在安全區(qū)域邊界實施對應(yīng)訪問控制策略，對進(jìn)出安全區(qū)域邊界數(shù)據(jù)信息進(jìn)行控制，阻止非授權(quán)訪問。要求：1）網(wǎng)絡(luò)構(gòu)架設(shè)計上應(yīng)依照web服務(wù)器、應(yīng)用服務(wù)器及數(shù)據(jù)庫服務(wù)器主要性和所包括信息主要程度等原因，利用防火墻劃分在不一樣網(wǎng)段，防止將應(yīng)用服務(wù)器及數(shù)據(jù)庫服務(wù)器等信息系統(tǒng)關(guān)鍵服務(wù)器布署在網(wǎng)絡(luò)邊界處，不可將這類服務(wù)器直接連接外部信息系統(tǒng)。主要服務(wù)器與其它網(wǎng)段之間經(jīng)過采取可靠技術(shù)隔離伎倆；信息系統(tǒng)服務(wù)器只開放web服務(wù)相關(guān)端口，關(guān)閉其它服務(wù)及端口。依照信息系統(tǒng)服務(wù)詳細(xì)內(nèi)容，能夠開放以下端口：端口服務(wù)25郵件發(fā)送服務(wù)110POP郵件服務(wù)80信息系統(tǒng)服務(wù)443安全信息系統(tǒng)服務(wù)2）流量控制設(shè)備對網(wǎng)絡(luò)流量進(jìn)行實時監(jiān)控和合理限制，確保網(wǎng)絡(luò)帶寬和業(yè)務(wù)服務(wù)連續(xù)可用。3）抗拒絕服務(wù)系統(tǒng)有效防范拒絕服務(wù)等網(wǎng)絡(luò)攻擊，確保系統(tǒng)完整性和可用性。外部接入?yún)^(qū)防病毒網(wǎng)關(guān)設(shè)備阻止惡意代碼進(jìn)入信息系統(tǒng)中，形成對局域網(wǎng)內(nèi)部設(shè)備和資源有效保護(hù)。防病毒應(yīng)采取防病毒網(wǎng)關(guān)與防病毒軟件聯(lián)動方式，從而實現(xiàn)從邊界到內(nèi)部全方面有效抵抗病毒攻擊要求：1)防病毒網(wǎng)關(guān)主要用于對病毒查殺，可是，因為這些軟件是經(jīng)過病毒特征庫來實現(xiàn)對病毒防御與查殺，所以對于新出現(xiàn)病毒，防病毒網(wǎng)關(guān)總會存在一定遲滯時間，給信息系統(tǒng)帶來安全隱患。所以，需要經(jīng)過對信息系統(tǒng)服務(wù)器操作系統(tǒng)進(jìn)行安全加固，對業(yè)務(wù)應(yīng)用系統(tǒng)進(jìn)行完整性保護(hù)，使操作系統(tǒng)和業(yè)務(wù)應(yīng)用對于病毒和惡意代碼實現(xiàn)自免疫，即使是新出現(xiàn)病毒，也能夠確保不會被入侵或破壞。2)信息系統(tǒng)系統(tǒng)中相關(guān)各個服務(wù)器及工作站必須安裝計算機(jī)防病毒軟件，終端安全防護(hù)系統(tǒng)（服務(wù)器版、PC版），在網(wǎng)絡(luò)邊界安裝硬件統(tǒng)一威脅管理（UTM）等設(shè)備，形成服務(wù)器、終端操作系統(tǒng)加固軟件、主機(jī)防毒軟件及網(wǎng)絡(luò)防毒硬件組成病毒防御體系。病毒防御體系應(yīng)具備以下功效：執(zhí)行程序完整性保護(hù)惡意代碼主動防御病毒事件報警，病毒事件日志查詢與統(tǒng)計全網(wǎng)查殺病毒，實時監(jiān)控客戶端防毒情況集中控制及管理防毒策略防病毒系統(tǒng)自我保護(hù)系統(tǒng)主動防御，惡意行為檢測，隱藏進(jìn)程檢測病毒庫在線升級及離線升級客戶端漏洞檢測與補(bǔ)丁分發(fā)控制未知病毒、蠕蟲、間諜軟件執(zhí)行3)信息系統(tǒng)管理人員應(yīng)及時升級防毒墻和防病毒軟件病毒庫，提升其抵抗病毒能力。應(yīng)定時利用防病毒軟件掃描各個服務(wù)器及工作站操作系統(tǒng)安全現(xiàn)實狀況。定時查看主機(jī)惡意代碼免疫軟件中審計日志，及時發(fā)覺服務(wù)器及工作站操作系統(tǒng)中存在未知病毒、木馬等惡意可執(zhí)行代碼。入侵檢測系統(tǒng)在外部接入?yún)^(qū)檢測外部對內(nèi)部系統(tǒng)入侵行為。將網(wǎng)絡(luò)入侵檢測產(chǎn)品放置在比較主要網(wǎng)段內(nèi)，監(jiān)視網(wǎng)段中各種數(shù)據(jù)包。對每一個數(shù)據(jù)包或可疑數(shù)據(jù)包進(jìn)行特征分析。假如數(shù)據(jù)包與產(chǎn)品內(nèi)置一些規(guī)則吻合，入侵檢測系統(tǒng)應(yīng)發(fā)出警報甚至直接切斷網(wǎng)絡(luò)連接。網(wǎng)絡(luò)入侵檢測系統(tǒng)應(yīng)能夠檢測來自網(wǎng)絡(luò)攻擊，能夠檢測到超出授權(quán)非法訪問。無需改變服務(wù)器等主機(jī)配置，不在業(yè)務(wù)系統(tǒng)主機(jī)中安裝額外軟件，不影響這些機(jī)器CPU、I/O與磁盤等資源使用，不影響業(yè)務(wù)系統(tǒng)性能區(qū)域邊界包過濾區(qū)域邊界布署防火墻產(chǎn)品經(jīng)過檢驗數(shù)據(jù)包源地址、目標(biāo)地址、傳輸層協(xié)議、請求服務(wù)等，確定是否允許該數(shù)據(jù)包進(jìn)出該區(qū)域邊界。在服務(wù)器前端開啟防火墻應(yīng)用安全審計功效模塊。能有效審計各種惡意網(wǎng)絡(luò)攻擊伎倆。區(qū)域邊界安全審計區(qū)域邊界布署防火墻、開啟防病毒功效模塊、布署IPS入侵防御對確認(rèn)風(fēng)險行為及時防御及報警。網(wǎng)絡(luò)入侵防御能力入侵防御是對防火墻極其有益補(bǔ)充，入侵防御系統(tǒng)能在入侵攻擊對系統(tǒng)發(fā)生危害前，檢測到入侵攻擊，并利用報警與防護(hù)系統(tǒng)驅(qū)逐入侵攻擊。在入侵攻擊過程中，能降低入侵攻擊所造成損失。在被入侵攻擊后，搜集入侵攻擊相關(guān)信息，作為防范系統(tǒng)知識，添加入知識庫內(nèi)，增強(qiáng)系統(tǒng)防范能力，防止系統(tǒng)再次受到入侵。入侵防御被認(rèn)為是防火墻之后第二道安全閘門，在不影響網(wǎng)絡(luò)性能情況下能對網(wǎng)絡(luò)進(jìn)行監(jiān)聽，從而提供對內(nèi)部攻擊、外部攻擊和誤操作實時保護(hù),大大提升了網(wǎng)絡(luò)安全性。防病毒能力邊界防火墻開啟防病毒功效，在出口處實時檢驗網(wǎng)絡(luò)數(shù)據(jù)流，預(yù)防惡意和無須要應(yīng)用及web內(nèi)容進(jìn)出網(wǎng)絡(luò)，實現(xiàn)辦公區(qū)域網(wǎng)絡(luò)最大化保護(hù)、控制與使用。經(jīng)過利用ASIC加速數(shù)據(jù)檢驗引擎，可在不影響網(wǎng)絡(luò)流量速度前提下快速準(zhǔn)確地檢驗并分類HTTP/HTTPS、FTP、SMTP和POP3數(shù)據(jù)。另外，基于用戶和用戶群URL過濾引擎和應(yīng)用控制可幫助管理員實現(xiàn)網(wǎng)絡(luò)應(yīng)用策略。間諜軟件、病毒、rootkit攻擊、廣告軟件和木馬等惡意內(nèi)容在網(wǎng)關(guān)處即可被識別并攔截下來。并確保防病毒軟件并已升級到最新版本病毒庫軟件，大大降低病毒、木馬等攻擊行為。應(yīng)用安全防護(hù)能力服務(wù)器和存放系統(tǒng)承載關(guān)鍵系統(tǒng)和主要數(shù)據(jù)，該網(wǎng)絡(luò)是安全防范重點(diǎn)，數(shù)據(jù)中心網(wǎng)絡(luò)出口布署高性能入侵防御系統(tǒng)，能夠有效