14 三級等保整體設(shè)計(jì)方案、網(wǎng)絡(luò)安全等級保護(hù)方案

XX交警隊(duì)2 1 2 4 5 5 6 8 12 12 12 14 15 17 17 17 18 18 193 19 19 21 28 30 33 37 39 39 41 439.2.1選型建議 439.2.2選型要求 43等級保護(hù)（三級）方案深信服科技1能滿足XX交警隊(duì)目前的網(wǎng)絡(luò)安全需求，嚴(yán)重制約了XX交警隊(duì)的信息化腳步。事故明顯減少，有效保障信息化健康發(fā)展。等級保護(hù)（三級）方案深信服科技2據(jù)安全五個(gè)方面進(jìn)行建設(shè)；而管理部分根據(jù)《信息系統(tǒng)安全等級保護(hù)管理五個(gè)方面?！皹?gòu)建安全管理機(jī)構(gòu)，制定完善的安全管理制度及安全策略，由相關(guān)人員，利用技術(shù)工手段及相關(guān)工具，進(jìn)行系統(tǒng)建設(shè)和運(yùn)行維護(hù)?！边M(jìn)行：1.系統(tǒng)識別與定級：確定保護(hù)對象，通過分析系統(tǒng)所屬類型、所屬信息類別、服務(wù)范圍以及業(yè)務(wù)對系統(tǒng)的依賴程度確定系統(tǒng)的等級。通過此步驟充分了解系統(tǒng)狀況，包括系統(tǒng)業(yè)務(wù)流程和功能模塊，以及確定系統(tǒng)的等級，為下一步安全域設(shè)計(jì)、安全保障體系框架設(shè)計(jì)、安全要求選擇以及安全措施選擇提供依據(jù)。2.安全域設(shè)計(jì)：根據(jù)第一步的結(jié)果，通過分析系統(tǒng)業(yè)務(wù)流程、功能模塊，根據(jù)安全域劃分原則設(shè)計(jì)系統(tǒng)安全域架構(gòu)。通過安全域設(shè)計(jì)將系統(tǒng)分解為多個(gè)層次，為下一步安全保障體系框架設(shè)計(jì)提供基礎(chǔ)框架。3.確定安全域安全要求：參照國家相關(guān)等級保護(hù)安全要求，設(shè)計(jì)不同安全明確各安全域所需采用的安全指標(biāo)。4.評估現(xiàn)狀：根據(jù)各等級的安全要求確定各等級的評估內(nèi)容，根據(jù)國家相關(guān)風(fēng)險(xiǎn)評估方法，對系統(tǒng)各層次安全域進(jìn)行有針對性的等級風(fēng)險(xiǎn)評估。并找出系統(tǒng)安全現(xiàn)狀與等級要求的差距，形成完整準(zhǔn)確的按需防御的安全需求。通過等級風(fēng)險(xiǎn)評估，可以明確各層次安全域相應(yīng)等級的安全差距，為下一步安全技術(shù)解決方案設(shè)計(jì)和安全管理建設(shè)提供依據(jù)。等級保護(hù)（三級）方案深信服科技35.安全保障體系方案設(shè)計(jì)：根據(jù)安全域框架，設(shè)計(jì)系統(tǒng)各個(gè)層次的安全保障體系框架以及具體方案。包括：各層次的安全保障體系框架形成系統(tǒng)整體的安全保障體系框架；詳細(xì)安全技術(shù)設(shè)計(jì)、安全管理設(shè)計(jì)。6.安全建設(shè)：根據(jù)方案設(shè)計(jì)內(nèi)容逐步進(jìn)行安全建設(shè)，滿足方案設(shè)計(jì)做要符合的安全需求，滿足等級保護(hù)相應(yīng)等級的基本要求，實(shí)現(xiàn)按需防御。7.持續(xù)安全運(yùn)維：通過安全預(yù)警、安全監(jiān)控、安全加固、安全審計(jì)、應(yīng)急響應(yīng)等，從事前、事中、事后三個(gè)方面進(jìn)行安全運(yùn)行維護(hù)，確保系統(tǒng)的持續(xù)安全，滿足持續(xù)性按需防御的安全需求。境的變化達(dá)到持續(xù)的安全。4信息安全技術(shù)信息安全技術(shù)信息安全技術(shù)信息安全技術(shù)等。等級保護(hù)（三級）方案深信服科技54信息系統(tǒng)定級備案確定信息系統(tǒng)安全保護(hù)等級的一般流程如下：行業(yè)所處的地位和所用，由此判斷單位主要信息系統(tǒng)的宏觀定位。應(yīng)重點(diǎn)了解定級對象信息系統(tǒng)中不同業(yè)務(wù)系統(tǒng)提供的服務(wù)在影響履行定級結(jié)果的重要依據(jù)。本單位造成的影響，對影響程度的描述應(yīng)盡可能量化。l調(diào)查了解與定級對象信息系統(tǒng)相關(guān)的服務(wù)器、網(wǎng)絡(luò)、終置和作用主要就是發(fā)現(xiàn)不同信息系統(tǒng)在設(shè)備使用方面的共用程度。等級保護(hù)（三級）方案深信服科技6斷或系統(tǒng)信息被破壞可能影響的范圍和程度。公民、法人和其他組織的合法權(quán)益根據(jù)上述定級流程，XX交警隊(duì)各主要系統(tǒng)定級結(jié)果為：3級根據(jù)上述定級流程，XX交警隊(duì)各主要系統(tǒng)定級結(jié)果為：保護(hù)等級33等級保護(hù)（三級）方案深信服科技7級備案表和定級報(bào)告，協(xié)助用戶單位向所在地區(qū)的公安機(jī)關(guān)辦理備案手續(xù)。備案材料及電子數(shù)據(jù)文件。定級工作的結(jié)果是以備案完成為標(biāo)志。核確定。等級保護(hù)（三級）方案深信服科技8保單位信息暢通的基礎(chǔ)上，有效阻止非法訪問和攻擊對系統(tǒng)的破壞。安全角度出發(fā)，需要重點(diǎn)關(guān)注如下幾個(gè)方面的安全建設(shè)：u終端感染木馬、病毒蟲對終端的危害可能導(dǎo)致終端系統(tǒng)癱瘓、終端被控制、終端存儲(chǔ)的信息被竊取、擊危害到終端具有權(quán)限訪問的各類服務(wù)器。u終端系統(tǒng)漏洞跳板，或者終端成為僵尸網(wǎng)絡(luò)的一部分，隨時(shí)有可能發(fā)起針對內(nèi)網(wǎng)的攻擊。等級保護(hù)（三級）方案深信服科技9網(wǎng)絡(luò)內(nèi)部竊取所需的信息、產(chǎn)生特定的破壞?；ヂ?lián)網(wǎng)出口往往是APT攻擊切入信息被竊取、系統(tǒng)被控制所有行為都暴露在黑客的視野里。u系統(tǒng)漏洞風(fēng)險(xiǎn)問題黑客利用服務(wù)器操作系統(tǒng)漏洞、應(yīng)用軟件漏洞通過緩沖區(qū)溢出、惡意蠕蟲、等級保護(hù)（三級）方案深信服科技擊的問題。u應(yīng)用層攻擊問題根據(jù)Gartner的統(tǒng)計(jì)報(bào)告顯示，信息安全攻擊有75%都是發(fā)生在Web應(yīng)用層，針對web的攻擊往往隱藏在大量的正常業(yè)務(wù)訪問的行為中，傳統(tǒng)的安全設(shè)備在應(yīng)用層攻擊防護(hù)上存在嚴(yán)重不足。u敏感信息泄漏問題這類安全問題主要利用web攻擊、系統(tǒng)漏洞攻擊等攻擊手段操作后臺數(shù)據(jù)方式等敏感信息被攻擊者獲取，從而產(chǎn)生巨大的經(jīng)濟(jì)損失。u帶寬效率風(fēng)險(xiǎn)率風(fēng)險(xiǎn)問題。u工作效率風(fēng)險(xiǎn)財(cái)力損失，從而導(dǎo)致競爭力的下降。u法律風(fēng)險(xiǎn)來越大，公安部82號令明文規(guī)定，凡是接入互聯(lián)網(wǎng)的單位都必須具備審計(jì)的功等級保護(hù)（三級）方案深信服科技獨(dú)等不負(fù)責(zé)任的言論，在QQ、MSN等聊天過程中傳播不雅信息，都屬于網(wǎng)絡(luò)的違規(guī)違法行為，一旦被公安部門查處，單位會(huì)因此而遭受法律的制裁。u安全快速的移動(dòng)接入訪問單位內(nèi)部網(wǎng)絡(luò)進(jìn)行日常操作，并確保數(shù)據(jù)的安全。因此必須在選擇方法時(shí)，絡(luò)時(shí)全面的安全保障。u業(yè)務(wù)穩(wěn)定性需求是目前XX交警隊(duì)網(wǎng)絡(luò)改造的重要目標(biāo)。等級保護(hù)（三級）方案深信服科技6安全風(fēng)險(xiǎn)與差距分析物理安全風(fēng)險(xiǎn)主要是指網(wǎng)絡(luò)周邊的環(huán)境和物理特性引起的網(wǎng)絡(luò)設(shè)備和線路絡(luò)的可用性，進(jìn)而提高整個(gè)網(wǎng)絡(luò)的抗破壞力。例如：行的前提是將物理層安全風(fēng)險(xiǎn)降到最低或是盡量考慮在非正常情況下物理層出現(xiàn)風(fēng)險(xiǎn)問題時(shí)的應(yīng)對方案。性與保密性、備份與恢復(fù)、資源合理控制、剩余信息保護(hù)、抗抵賴等方面。身份鑒別包括主機(jī)和應(yīng)用兩個(gè)方面。用戶名/口令的復(fù)雜度，且防止被網(wǎng)絡(luò)竊聽；同時(shí)應(yīng)考慮失敗處理機(jī)制。訪問控制包括主機(jī)和應(yīng)用兩個(gè)方面。非法操作。系統(tǒng)審計(jì)包括主機(jī)審計(jì)和應(yīng)用審計(jì)兩個(gè)方面。問控制聯(lián)系緊密，為相關(guān)事件提供審計(jì)記錄。系統(tǒng)的安裝，使用、維護(hù)等提出了需求，防范針對系統(tǒng)的入侵行為。軟件容錯(cuò)的主要目的是提供足夠的冗余信息和算法程序,使系統(tǒng)在實(shí)際運(yùn)行等級保護(hù)（三級）方案深信服科技算機(jī)系統(tǒng)的正常運(yùn)行。終無不是為了業(yè)務(wù)數(shù)據(jù)的安全。因此數(shù)據(jù)的備份十分重要，是必須考慮的問題。數(shù)據(jù)是信息資產(chǎn)的直接體現(xiàn)。所有的措施最終無不是為了業(yè)務(wù)數(shù)據(jù)的安全。事件的必要措施。資源合理控制包括主機(jī)和應(yīng)用兩個(gè)方面?？捎觅Y源閾值設(shè)置等資源控制策略。以及邊界安全審計(jì)等方面。信息進(jìn)行控制，阻止非授權(quán)及越權(quán)訪問。等級保護(hù)（三級）方案深信服科技統(tǒng)的安全防護(hù)，保護(hù)核心信息資產(chǎn)的免受攻擊危害。統(tǒng)。并可通過安全管理中心集中管理。通信網(wǎng)絡(luò)的安全主要包括：網(wǎng)絡(luò)結(jié)構(gòu)安全、網(wǎng)絡(luò)安全審計(jì)、網(wǎng)絡(luò)設(shè)備防護(hù)、通信完整性與保密性等方面。圖的少部分用戶，以利于規(guī)范正常的網(wǎng)絡(luò)應(yīng)用行為。等級保護(hù)（三級）方案深信服科技常運(yùn)行的風(fēng)險(xiǎn)因素。受篡改攻擊的情況下，應(yīng)提供有效的察覺與發(fā)現(xiàn)機(jī)制，實(shí)現(xiàn)通信的完整性。取，應(yīng)采用加密措施保證數(shù)據(jù)的機(jī)密性。護(hù)好已經(jīng)建立起來的安全環(huán)境。等級保護(hù)（三級）方案深信服科技7技術(shù)體系方案設(shè)計(jì)保護(hù)敏感資源的能力。使得XX交警隊(duì)公共服務(wù)平臺業(yè)務(wù)系統(tǒng)等級保護(hù)建設(shè)方案最終既可以滿足等級證信息系統(tǒng)整體的安全保護(hù)能力。體如下圖所示：等級保護(hù)（三級）方案深信服科技設(shè)計(jì)，內(nèi)容涵蓋基本要求的5個(gè)方面。息安全等級保護(hù)的首要步驟。的劃分應(yīng)主要考慮如下方面因素：l安全要求相似性：可用性、保密性和完整性的要求，如有保密性要求的資產(chǎn)單獨(dú)劃區(qū)域。l資產(chǎn)價(jià)值相近性：重要與非重要資產(chǎn)分離，如核心生產(chǎn)等級保護(hù)（三級）方案深信服科技分離。個(gè)：l互聯(lián)網(wǎng)接入域：互聯(lián)網(wǎng)接入域主要為內(nèi)網(wǎng)用戶部分和業(yè)務(wù)應(yīng)用部互聯(lián)網(wǎng)接入訪問支撐。l對外發(fā)布服務(wù)域：業(yè)務(wù)人員提供業(yè)務(wù)系統(tǒng)的訪問。機(jī)房與配套設(shè)備安全策略的目的是保護(hù)網(wǎng)絡(luò)中計(jì)算機(jī)網(wǎng)絡(luò)通信有一個(gè)良好的發(fā)生。避免設(shè)在建筑物的高層或地下室，以及用水設(shè)備的下層或隔壁。機(jī)房出入口安排專人值守，控制、鑒別和記錄進(jìn)入的人員；需進(jìn)入機(jī)房的來訪人員須經(jīng)過申請和審批流程，并限制和監(jiān)控其活動(dòng)范圍。等級保護(hù)（三級）方案深信服科技前設(shè)置交付或安裝等過渡區(qū)域；重要區(qū)域應(yīng)配置電子門禁系統(tǒng)，控制、鑒別和記錄進(jìn)入的人員。房應(yīng)安裝防靜電活動(dòng)地板。設(shè)備和磁介質(zhì)實(shí)施電磁屏蔽。為了防止無關(guān)人員和不法分子非法接近網(wǎng)絡(luò)并使用網(wǎng)絡(luò)中的主機(jī)盜取信息、盜報(bào)警系統(tǒng)；對機(jī)房設(shè)置監(jiān)控報(bào)警系統(tǒng)。等級保護(hù)（三級）方案深信服科技身份鑒別可分為主機(jī)身份鑒別和應(yīng)用身份鑒別兩個(gè)方面：主機(jī)身份鑒別：系列的加固措施，包括：l對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進(jìn)行身份標(biāo)識和鑒別，且保證用戶名的唯一性。l啟用登陸失敗處理功能，登陸失敗后采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施。別應(yīng)用身份鑒別：為提高應(yīng)用系統(tǒng)系統(tǒng)安全性應(yīng)用系統(tǒng)需要進(jìn)行一系列的加固措施，包括：對登錄用戶進(jìn)行身份標(biāo)識和鑒別，且保證用戶名的唯一性。根據(jù)基本要求配置用戶名/口令，必須具備一定的復(fù)雜度；口令必須具備采動(dòng)退出等措施。發(fā)，且使用效果要達(dá)到以上要求。等級保護(hù)（三級）方案深信服科技份鑒別。寫、修改和刪除等。強(qiáng)制訪問控制實(shí)現(xiàn)：在對安全管理員進(jìn)行嚴(yán)格的身份鑒別和權(quán)限控制基礎(chǔ)上，由安全管理員通過特定操作界面對主、客體進(jìn)行安全標(biāo)記；訪問控制主體的粒度應(yīng)為用戶級，客體的粒度應(yīng)為文件或數(shù)據(jù)庫表級。使用。采用的措施主要包括：為文件或數(shù)據(jù)庫表級。權(quán)限控制：對于制定的訪問控制規(guī)則要能清楚的覆蓋資源訪問相關(guān)的主體、授權(quán)，避免授權(quán)范圍過大，并在它們之間形成相互制約的關(guān)系。及時(shí)刪除多余的、過期的帳戶，避免共享帳戶的存在。安全增強(qiáng)改造，且使用效果要達(dá)到以上要求。系統(tǒng)審計(jì)包含主機(jī)審計(jì)和應(yīng)用審計(jì)兩個(gè)層面：主機(jī)審計(jì)：主機(jī)監(jiān)控、審計(jì)和系統(tǒng)管理等功能。監(jiān)控、非法外聯(lián)監(jiān)控、計(jì)算機(jī)用戶賬號監(jiān)控等。審計(jì)功能包括文件操作審計(jì)、外掛設(shè)備操作審計(jì)、非法外聯(lián)審計(jì)、IP地址等。同時(shí)，根據(jù)記錄的數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析，生成詳細(xì)的審計(jì)報(bào)表，系統(tǒng)管理功能包括系統(tǒng)用戶管理、主機(jī)監(jiān)控代理狀態(tài)監(jiān)控、安全策略管理、表等。應(yīng)用審計(jì)：應(yīng)用層安全審計(jì)是對業(yè)務(wù)應(yīng)用系統(tǒng)行為的審計(jì)，需要與應(yīng)用系統(tǒng)緊密結(jié)合，此審計(jì)功能應(yīng)與應(yīng)用系統(tǒng)統(tǒng)一開發(fā)。能夠?qū)τ涗洈?shù)據(jù)進(jìn)行統(tǒng)計(jì)、查詢、分析及生成審計(jì)報(bào)表。到每個(gè)用戶，從而把握數(shù)據(jù)庫系統(tǒng)的整體安全。等級保護(hù)（三級）方案深信服科技發(fā)，且使用效果要達(dá)到以上要求。針對入侵防范主要體現(xiàn)在主機(jī)及網(wǎng)絡(luò)兩個(gè)層面。針對主機(jī)的入侵防范，可以從多個(gè)角度進(jìn)行處理：l操作系統(tǒng)的安裝遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，關(guān)閉多余服務(wù)等；下降，并且占用整個(gè)網(wǎng)絡(luò)帶寬。及時(shí)升級惡意代碼軟件版本以及惡意代碼庫。等級保護(hù)（三級）方案深信服科技管理提供必要的信息。軟件容錯(cuò)的主要目的是提供足夠的冗余信息和算法程序,使系統(tǒng)在實(shí)際運(yùn)行時(shí)能夠及時(shí)發(fā)現(xiàn)程序設(shè)計(jì)錯(cuò)誤,采取補(bǔ)救措施,以提高軟件可靠性,保證整個(gè)計(jì)算據(jù)格式或長度符合系統(tǒng)設(shè)定要求；具備自保護(hù)功能，在故障發(fā)生時(shí)，應(yīng)用系統(tǒng)應(yīng)能夠自動(dòng)保存當(dāng)前所有狀態(tài)，確保系統(tǒng)能夠進(jìn)行恢復(fù)。校驗(yàn)提出了一定的需求。的數(shù)據(jù)保密，應(yīng)用系統(tǒng)采用密碼技術(shù)進(jìn)行數(shù)據(jù)加密實(shí)現(xiàn)鑒別信息的存儲(chǔ)保密性。IPSecVPN適用于組建site-to-site形態(tài)的虛擬專有網(wǎng)絡(luò)，IPSEC協(xié)議提供的安全服務(wù)包括：等級保護(hù)（三級）方案深信服科技完整性——IPSec在目的地要驗(yàn)證數(shù)據(jù)包，以保證該數(shù)據(jù)包有被修改或替換。完整性校驗(yàn)是IPSECV真實(shí)性——IPSec端要驗(yàn)證所有受IPSec保護(hù)的數(shù)據(jù)包。防重放——IPSec防止了數(shù)據(jù)包被捕捉并重新投放老的或重復(fù)的數(shù)據(jù)包，它通過報(bào)文的序列號實(shí)現(xiàn)。用于不同的應(yīng)用場景，可配合使用。它是網(wǎng)景（Netscape）公司提出的基于WEB應(yīng)用的安全協(xié)議。SSL協(xié)議指定了提供數(shù)據(jù)安全性分層的機(jī)制，它為TCP/IP連接提供數(shù)據(jù)加密、服務(wù)器認(rèn)證、消息完整性以及可選的客戶機(jī)認(rèn)證。性上二者無明顯差別。SSLVPN使用SSL/HTTPS技術(shù)作為安全傳輸機(jī)制。這種機(jī)制在所有的標(biāo)部資源之間的連接通過應(yīng)用層的Web連接實(shí)現(xiàn)，而不是像IPSecVPN在網(wǎng)絡(luò)層產(chǎn)品部署方面，SSLVPN只需單臂旁路方式接入。單臂旁路接入不改變原有網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)路配置，不增加故障點(diǎn)，部署簡單靈活，同時(shí)提供完整的SSL相應(yīng)策略進(jìn)行相關(guān)業(yè)務(wù)系統(tǒng)的訪問。關(guān)鍵網(wǎng)絡(luò)設(shè)備、線路以及服務(wù)器等硬件設(shè)備的冗余。必然的趨勢。整個(gè)系統(tǒng),并提供增強(qiáng)的功能，其中包括聯(lián)機(jī)備份應(yīng)用系統(tǒng)和數(shù)據(jù)文件，先進(jìn)的支持等。本地完全數(shù)據(jù)備份至少每天一次，且備份介質(zhì)需要場外存放。用場地。計(jì)，保障從網(wǎng)絡(luò)結(jié)構(gòu)、硬件配置上滿足不間斷系統(tǒng)運(yùn)行的需要。等級保護(hù)（三級）方案深信服科技降低服務(wù)器負(fù)載——TCP連接復(fù)用、HTTP緩存、SSL卸載。提升用戶訪問速度——TCP單邊加速、HTTP緩存、壓縮。（入站）解決外部用戶跨運(yùn)營訪問造成的訪問速度慢減少帶寬投資成本——多種鏈路負(fù)載算法、智能路由、DNS全局負(fù)載均衡：實(shí)現(xiàn)多數(shù)據(jù)中心入站流量選路、精確為用戶選擇最佳（就近）站點(diǎn)。邊界訪問控制入侵防范與應(yīng)用層防攻擊防范，因此該產(chǎn)品具有一下功能：為。識別網(wǎng)絡(luò)中發(fā)生的入侵行為并實(shí)時(shí)報(bào)警并且進(jìn)行有效攔截防護(hù)。等級保護(hù)（三級）方案深信服科技用進(jìn)行管理?？杀孀R多種類別如IM/VoIP/P2P/件，進(jìn)而根據(jù)多種條件如IP群組、VLANID等范圍條件制用，通過技術(shù)手段規(guī)范上網(wǎng)行為，防止帶寬濫用，阻止內(nèi)網(wǎng)泄密。構(gòu)保證性能，能夠靈活的進(jìn)行網(wǎng)絡(luò)部署。同時(shí)為使得達(dá)到最佳防護(hù)效果。另外，防護(hù)產(chǎn)品共同組成用戶的立體病毒防護(hù)體系。邊界完整性檢查核心是要對內(nèi)部網(wǎng)絡(luò)中出現(xiàn)的內(nèi)部用戶未通過準(zhǔn)許私自聯(lián)可以實(shí)現(xiàn)這一目標(biāo)。網(wǎng)絡(luò)資源，并防止由于訪問非信任網(wǎng)絡(luò)資源而引入安全風(fēng)險(xiǎn)或者導(dǎo)致信息泄密。聯(lián)行為，可以記錄日志并產(chǎn)生報(bào)警信息。流經(jīng)各主要邊界（重要服務(wù)器區(qū)域、外部連接邊界）需要設(shè)置必要的審計(jì)機(jī)制，成完整的、多層次的審計(jì)系統(tǒng)。更好的滿足業(yè)務(wù)高峰期的需求。服務(wù)的重要次序來分配帶寬，優(yōu)先保障重要主機(jī)。重要網(wǎng)段不能直接與外部系統(tǒng)連接，需要和其他網(wǎng)段隔離，單獨(dú)劃分區(qū)域。等級保護(hù)（三級）方案深信服科技事件和內(nèi)部事件。管理提供監(jiān)控?cái)?shù)據(jù)用于分析及檢測。網(wǎng)絡(luò)行為監(jiān)控和審計(jì)系統(tǒng)將獨(dú)立的網(wǎng)絡(luò)傳感器硬件組件連接到網(wǎng)絡(luò)中的數(shù)表。網(wǎng)絡(luò)行為監(jiān)控和審計(jì)系統(tǒng)采用旁路技術(shù)，不用在目標(biāo)主機(jī)中安裝任何組件。測。需要進(jìn)行一系列的加固措施，包括：l身份鑒別信息具有不易被冒用的特點(diǎn)，口令l具有登錄失敗處理功能，失敗后采取結(jié)束會(huì)話、限制非法登錄次l啟用SSH等管理方式，加密管理數(shù)l對于鑒別手段，三級要求采用兩種或兩種以上組合的鑒別技術(shù)，因此需采用USBkey+密碼進(jìn)行身份鑒別，保證對網(wǎng)絡(luò)設(shè)備進(jìn)行管理維護(hù)的合法性。信息的完整性設(shè)計(jì)包括信息傳輸?shù)耐暾孕ｒ?yàn)以及信息存儲(chǔ)的完整性校驗(yàn)。別碼、密碼校驗(yàn)函數(shù)、散列函數(shù)、數(shù)字簽名等。對于信息傳輸?shù)耐暾孕ｒ?yàn)應(yīng)由傳輸加密系統(tǒng)完成。部署VPN系統(tǒng)保證遠(yuǎn)統(tǒng)完成。加密。對于信息傳輸?shù)耐ㄐ疟Ｃ苄詰?yīng)由傳輸加密系統(tǒng)完成。部署VPN系統(tǒng)保證遠(yuǎn)程數(shù)據(jù)傳輸?shù)臄?shù)據(jù)機(jī)密性。理系統(tǒng)可以實(shí)現(xiàn)這一目標(biāo)。方式包括ARP干擾、802.1x協(xié)議聯(lián)動(dòng)等。入主機(jī)的合法性，及時(shí)阻止IP地址的篡改和盜用行為。共同保證XX交警隊(duì)網(wǎng)等級保護(hù)（三級）方案深信服科技絡(luò)的邊界完整性。具體如下：機(jī)是否是經(jīng)過系統(tǒng)授權(quán)認(rèn)證的信任主機(jī)。許通過授權(quán)認(rèn)證的主機(jī)使用網(wǎng)絡(luò)資源。非法主機(jī)不對網(wǎng)絡(luò)產(chǎn)生影響，無法有意或無意的對網(wǎng)絡(luò)攻擊或者試圖竊密。主機(jī)通信的權(quán)限。并在用戶試圖更改IP和MAC地址時(shí)，產(chǎn)生相應(yīng)的等級保護(hù)（三級）方案深信服科技障能力。的管理包括：l用戶身份管理：統(tǒng)一管理系統(tǒng)用戶身份，按照業(yè)務(wù)上分工的不同管理員、審計(jì)管理員等。況等，通過配置采樣時(shí)間，定時(shí)檢測。l系統(tǒng)加載和啟動(dòng)：進(jìn)行系統(tǒng)啟動(dòng)初始化管理，保障系統(tǒng)動(dòng)。l數(shù)據(jù)備份與恢復(fù)：數(shù)據(jù)的定期備份與恢復(fù)管理，識別需要定期備份的重度、存儲(chǔ)介質(zhì)、保存期等；根據(jù)數(shù)據(jù)的重要性及其對系統(tǒng)運(yùn)行的影響，制定數(shù)據(jù)的備份策略和恢復(fù)策略，定期執(zhí)行備份與恢復(fù)策略。l惡意代碼防范管理：建立惡意代碼管理中心，進(jìn)行防惡意代碼軟報(bào)警等。l系統(tǒng)補(bǔ)丁管理：集中進(jìn)行補(bǔ)丁管理，定期統(tǒng)一進(jìn)行系統(tǒng)等級保護(hù)（三級）方案深信服科技統(tǒng)補(bǔ)丁程序的安裝。l系統(tǒng)管理員身份認(rèn)證與審計(jì)：對系統(tǒng)管理員進(jìn)行嚴(yán)格的審計(jì)。通過安全審計(jì)員對分布在系統(tǒng)各個(gè)組成部分的安全審計(jì)機(jī)制進(jìn)行集中管理，行嚴(yán)格的身份鑒別，并只允許其通過特定的命令或界面進(jìn)行安全審計(jì)操作。具體集中審計(jì)內(nèi)容包括：視支持以圖形化方式實(shí)時(shí)監(jiān)控日志流量、系統(tǒng)風(fēng)險(xiǎn)等變化趨勢。它的日志接口采集管理對象的日志信息，轉(zhuǎn)換為統(tǒng)一的日志格式，再統(tǒng)一管理、管理中心的日志數(shù)據(jù)可以發(fā)送到上級管理中心進(jìn)定制的報(bào)表，全面反映網(wǎng)絡(luò)安全總體狀況，重點(diǎn)突出，簡單易懂。全設(shè)備管理信息統(tǒng)計(jì)分析；支持基于多種條件的統(tǒng)計(jì)分析，包括：對訪問流量、分析圖表。戶可以通過IE瀏覽器訪問，導(dǎo)出審計(jì)結(jié)果?？稍O(shè)定定時(shí)生成日志統(tǒng)計(jì)報(bào)表，并處理。安全通信網(wǎng)絡(luò)進(jìn)行統(tǒng)一的監(jiān)控與告警。對全網(wǎng)的安全設(shè)備、安全事件、安全策略、安全運(yùn)維進(jìn)行統(tǒng)一集中的監(jiān)控、整個(gè)網(wǎng)絡(luò)的全局監(jiān)控。觀清晰的顯示設(shè)備關(guān)鍵屬性和運(yùn)行狀態(tài)。析、安全威脅的協(xié)同響應(yīng)。通過部署集中安全管理平臺，提高安全管理的效率，保障網(wǎng)絡(luò)的安全運(yùn)行等級保護(hù)（三級）方案