14 三級(jí)等保整體設(shè)計(jì)方案、網(wǎng)絡(luò)安全等級(jí)保護(hù)方案

XX交警隊(duì)2 1 2 4 5 5 6 8 12 12 12 14 15 17 17 17 18 18 193 19 19 21 28 30 33 37 39 39 41 439.2.1選型建議 439.2.2選型要求 43等級(jí)保護(hù)（三級(jí)）方案深信服科技1能滿足XX交警隊(duì)目前的網(wǎng)絡(luò)安全需求，嚴(yán)重制約了XX交警隊(duì)的信息化腳步。事故明顯減少，有效保障信息化健康發(fā)展。等級(jí)保護(hù)（三級(jí)）方案深信服科技2據(jù)安全五個(gè)方面進(jìn)行建設(shè)；而管理部分根據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)管理五個(gè)方面。“構(gòu)建安全管理機(jī)構(gòu)，制定完善的安全管理制度及安全策略，由相關(guān)人員，利用技術(shù)工手段及相關(guān)工具，進(jìn)行系統(tǒng)建設(shè)和運(yùn)行維護(hù)?！边M(jìn)行：1.系統(tǒng)識(shí)別與定級(jí)：確定保護(hù)對(duì)象，通過(guò)分析系統(tǒng)所屬類型、所屬信息類別、服務(wù)范圍以及業(yè)務(wù)對(duì)系統(tǒng)的依賴程度確定系統(tǒng)的等級(jí)。通過(guò)此步驟充分了解系統(tǒng)狀況，包括系統(tǒng)業(yè)務(wù)流程和功能模塊，以及確定系統(tǒng)的等級(jí)，為下一步安全域設(shè)計(jì)、安全保障體系框架設(shè)計(jì)、安全要求選擇以及安全措施選擇提供依據(jù)。2.安全域設(shè)計(jì)：根據(jù)第一步的結(jié)果，通過(guò)分析系統(tǒng)業(yè)務(wù)流程、功能模塊，根據(jù)安全域劃分原則設(shè)計(jì)系統(tǒng)安全域架構(gòu)。通過(guò)安全域設(shè)計(jì)將系統(tǒng)分解為多個(gè)層次，為下一步安全保障體系框架設(shè)計(jì)提供基礎(chǔ)框架。3.確定安全域安全要求：參照國(guó)家相關(guān)等級(jí)保護(hù)安全要求，設(shè)計(jì)不同安全明確各安全域所需采用的安全指標(biāo)。4.評(píng)估現(xiàn)狀：根據(jù)各等級(jí)的安全要求確定各等級(jí)的評(píng)估內(nèi)容，根據(jù)國(guó)家相關(guān)風(fēng)險(xiǎn)評(píng)估方法，對(duì)系統(tǒng)各層次安全域進(jìn)行有針對(duì)性的等級(jí)風(fēng)險(xiǎn)評(píng)估。并找出系統(tǒng)安全現(xiàn)狀與等級(jí)要求的差距，形成完整準(zhǔn)確的按需防御的安全需求。通過(guò)等級(jí)風(fēng)險(xiǎn)評(píng)估，可以明確各層次安全域相應(yīng)等級(jí)的安全差距，為下一步安全技術(shù)解決方案設(shè)計(jì)和安全管理建設(shè)提供依據(jù)。等級(jí)保護(hù)（三級(jí)）方案深信服科技35.安全保障體系方案設(shè)計(jì)：根據(jù)安全域框架，設(shè)計(jì)系統(tǒng)各個(gè)層次的安全保障體系框架以及具體方案。包括：各層次的安全保障體系框架形成系統(tǒng)整體的安全保障體系框架；詳細(xì)安全技術(shù)設(shè)計(jì)、安全管理設(shè)計(jì)。6.安全建設(shè)：根據(jù)方案設(shè)計(jì)內(nèi)容逐步進(jìn)行安全建設(shè)，滿足方案設(shè)計(jì)做要符合的安全需求，滿足等級(jí)保護(hù)相應(yīng)等級(jí)的基本要求，實(shí)現(xiàn)按需防御。7.持續(xù)安全運(yùn)維：通過(guò)安全預(yù)警、安全監(jiān)控、安全加固、安全審計(jì)、應(yīng)急響應(yīng)等，從事前、事中、事后三個(gè)方面進(jìn)行安全運(yùn)行維護(hù)，確保系統(tǒng)的持續(xù)安全，滿足持續(xù)性按需防御的安全需求。境的變化達(dá)到持續(xù)的安全。4信息安全技術(shù)信息安全技術(shù)信息安全技術(shù)信息安全技術(shù)等。等級(jí)保護(hù)（三級(jí)）方案深信服科技54信息系統(tǒng)定級(jí)備案確定信息系統(tǒng)安全保護(hù)等級(jí)的一般流程如下：行業(yè)所處的地位和所用，由此判斷單位主要信息系統(tǒng)的宏觀定位。應(yīng)重點(diǎn)了解定級(jí)對(duì)象信息系統(tǒng)中不同業(yè)務(wù)系統(tǒng)提供的服務(wù)在影響履行定級(jí)結(jié)果的重要依據(jù)。本單位造成的影響，對(duì)影響程度的描述應(yīng)盡可能量化。l調(diào)查了解與定級(jí)對(duì)象信息系統(tǒng)相關(guān)的服務(wù)器、網(wǎng)絡(luò)、終置和作用主要就是發(fā)現(xiàn)不同信息系統(tǒng)在設(shè)備使用方面的共用程度。等級(jí)保護(hù)（三級(jí)）方案深信服科技6斷或系統(tǒng)信息被破壞可能影響的范圍和程度。公民、法人和其他組織的合法權(quán)益根據(jù)上述定級(jí)流程，XX交警隊(duì)各主要系統(tǒng)定級(jí)結(jié)果為：3級(jí)根據(jù)上述定級(jí)流程，XX交警隊(duì)各主要系統(tǒng)定級(jí)結(jié)果為：保護(hù)等級(jí)33等級(jí)保護(hù)（三級(jí)）方案深信服科技7級(jí)備案表和定級(jí)報(bào)告，協(xié)助用戶單位向所在地區(qū)的公安機(jī)關(guān)辦理備案手續(xù)。備案材料及電子數(shù)據(jù)文件。定級(jí)工作的結(jié)果是以備案完成為標(biāo)志。核確定。等級(jí)保護(hù)（三級(jí)）方案深信服科技8保單位信息暢通的基礎(chǔ)上，有效阻止非法訪問(wèn)和攻擊對(duì)系統(tǒng)的破壞。安全角度出發(fā)，需要重點(diǎn)關(guān)注如下幾個(gè)方面的安全建設(shè)：u終端感染木馬、病毒蟲(chóng)對(duì)終端的危害可能導(dǎo)致終端系統(tǒng)癱瘓、終端被控制、終端存儲(chǔ)的信息被竊取、擊危害到終端具有權(quán)限訪問(wèn)的各類服務(wù)器。u終端系統(tǒng)漏洞跳板，或者終端成為僵尸網(wǎng)絡(luò)的一部分，隨時(shí)有可能發(fā)起針對(duì)內(nèi)網(wǎng)的攻擊。等級(jí)保護(hù)（三級(jí)）方案深信服科技9網(wǎng)絡(luò)內(nèi)部竊取所需的信息、產(chǎn)生特定的破壞?；ヂ?lián)網(wǎng)出口往往是APT攻擊切入信息被竊取、系統(tǒng)被控制所有行為都暴露在黑客的視野里。u系統(tǒng)漏洞風(fēng)險(xiǎn)問(wèn)題黑客利用服務(wù)器操作系統(tǒng)漏洞、應(yīng)用軟件漏洞通過(guò)緩沖區(qū)溢出、惡意蠕蟲(chóng)、等級(jí)保護(hù)（三級(jí)）方案深信服科技擊的問(wèn)題。u應(yīng)用層攻擊問(wèn)題根據(jù)Gartner的統(tǒng)計(jì)報(bào)告顯示，信息安全攻擊有75%都是發(fā)生在Web應(yīng)用層，針對(duì)web的攻擊往往隱藏在大量的正常業(yè)務(wù)訪問(wèn)的行為中，傳統(tǒng)的安全設(shè)備在應(yīng)用層攻擊防護(hù)上存在嚴(yán)重不足。u敏感信息泄漏問(wèn)題這類安全問(wèn)題主要利用web攻擊、系統(tǒng)漏洞攻擊等攻擊手段操作后臺(tái)數(shù)據(jù)方式等敏感信息被攻擊者獲取，從而產(chǎn)生巨大的經(jīng)濟(jì)損失。u帶寬效率風(fēng)險(xiǎn)率風(fēng)險(xiǎn)問(wèn)題。u工作效率風(fēng)險(xiǎn)財(cái)力損失，從而導(dǎo)致競(jìng)爭(zhēng)力的下降。u法律風(fēng)險(xiǎn)來(lái)越大，公安部82號(hào)令明文規(guī)定，凡是接入互聯(lián)網(wǎng)的單位都必須具備審計(jì)的功等級(jí)保護(hù)（三級(jí)）方案深信服科技獨(dú)等不負(fù)責(zé)任的言論，在QQ、MSN等聊天過(guò)程中傳播不雅信息，都屬于網(wǎng)絡(luò)的違規(guī)違法行為，一旦被公安部門(mén)查處，單位會(huì)因此而遭受法律的制裁。u安全快速的移動(dòng)接入訪問(wèn)單位內(nèi)部網(wǎng)絡(luò)進(jìn)行日常操作，并確保數(shù)據(jù)的安全。因此必須在選擇方法時(shí)，絡(luò)時(shí)全面的安全保障。u業(yè)務(wù)穩(wěn)定性需求是目前XX交警隊(duì)網(wǎng)絡(luò)改造的重要目標(biāo)。等級(jí)保護(hù)（三級(jí)）方案深信服科技6安全風(fēng)險(xiǎn)與差距分析物理安全風(fēng)險(xiǎn)主要是指網(wǎng)絡(luò)周邊的環(huán)境和物理特性引起的網(wǎng)絡(luò)設(shè)備和線路絡(luò)的可用性，進(jìn)而提高整個(gè)網(wǎng)絡(luò)的抗破壞力。例如：行的前提是將物理層安全風(fēng)險(xiǎn)降到最低或是盡量考慮在非正常情況下物理層出現(xiàn)風(fēng)險(xiǎn)問(wèn)題時(shí)的應(yīng)對(duì)方案。性與保密性、備份與恢復(fù)、資源合理控制、剩余信息保護(hù)、抗抵賴等方面。身份鑒別包括主機(jī)和應(yīng)用兩個(gè)方面。用戶名/口令的復(fù)雜度，且防止被網(wǎng)絡(luò)竊聽(tīng)；同時(shí)應(yīng)考慮失敗處理機(jī)制。訪問(wèn)控制包括主機(jī)和應(yīng)用兩個(gè)方面。非法操作。系統(tǒng)審計(jì)包括主機(jī)審計(jì)和應(yīng)用審計(jì)兩個(gè)方面。問(wèn)控制聯(lián)系緊密，為相關(guān)事件提供審計(jì)記錄。系統(tǒng)的安裝，使用、維護(hù)等提出了需求，防范針對(duì)系統(tǒng)的入侵行為。軟件容錯(cuò)的主要目的是提供足夠的冗余信息和算法程序,使系統(tǒng)在實(shí)際運(yùn)行等級(jí)保護(hù)（三級(jí)）方案深信服科技算機(jī)系統(tǒng)的正常運(yùn)行。終無(wú)不是為了業(yè)務(wù)數(shù)據(jù)的安全。因此數(shù)據(jù)的備份十分重要，是必須考慮的問(wèn)題。數(shù)據(jù)是信息資產(chǎn)的直接體現(xiàn)。所有的措施最終無(wú)不是為了業(yè)務(wù)數(shù)據(jù)的安全。事件的必要措施。資源合理控制包括主機(jī)和應(yīng)用兩個(gè)方面?？捎觅Y源閾值設(shè)置等資源控制策略。以及邊界安全審計(jì)等方面。信息進(jìn)行控制，阻止非授權(quán)及越權(quán)訪問(wèn)。等級(jí)保護(hù)（三級(jí)）方案深信服科技統(tǒng)的安全防護(hù)，保護(hù)核心信息資產(chǎn)的免受攻擊危害。統(tǒng)。并可通過(guò)安全管理中心集中管理。通信網(wǎng)絡(luò)的安全主要包括：網(wǎng)絡(luò)結(jié)構(gòu)安全、網(wǎng)絡(luò)安全審計(jì)、網(wǎng)絡(luò)設(shè)備防護(hù)、通信完整性與保密性等方面。圖的少部分用戶，以利于規(guī)范正常的網(wǎng)絡(luò)應(yīng)用行為。等級(jí)保護(hù)（三級(jí)）方案深信服科技常運(yùn)行的風(fēng)險(xiǎn)因素。受篡改攻擊的情況下，應(yīng)提供有效的察覺(jué)與發(fā)現(xiàn)機(jī)制，實(shí)現(xiàn)通信的完整性。取，應(yīng)采用加密措施保證數(shù)據(jù)的機(jī)密性。護(hù)好已經(jīng)建立起來(lái)的安全環(huán)境。等級(jí)保護(hù)（三級(jí)）方案深信服科技7技術(shù)體系方案設(shè)計(jì)保護(hù)敏感資源的能力。使得XX交警隊(duì)公共服務(wù)平臺(tái)業(yè)務(wù)系統(tǒng)等級(jí)保護(hù)建設(shè)方案最終既可以滿足等級(jí)證信息系統(tǒng)整體的安全保護(hù)能力。體如下圖所示：等級(jí)保護(hù)（三級(jí)）方案深信服科技設(shè)計(jì)，內(nèi)容涵蓋基本要求的5個(gè)方面。息安全等級(jí)保護(hù)的首要步驟。的劃分應(yīng)主要考慮如下方面因素：l安全要求相似性：可用性、保密性和完整性的要求，如有保密性要求的資產(chǎn)單獨(dú)劃區(qū)域。l資產(chǎn)價(jià)值相近性：重要與非重要資產(chǎn)分離，如核心生產(chǎn)等級(jí)保護(hù)（三級(jí)）方案深信服科技分離。個(gè)：l互聯(lián)網(wǎng)接入域：互聯(lián)網(wǎng)接入域主要為內(nèi)網(wǎng)用戶部分和業(yè)務(wù)應(yīng)用部互聯(lián)網(wǎng)接入訪問(wèn)支撐。l對(duì)外發(fā)布服務(wù)域：業(yè)務(wù)人員提供業(yè)務(wù)系統(tǒng)的訪問(wèn)。機(jī)房與配套設(shè)備安全策略的目的是保護(hù)網(wǎng)絡(luò)中計(jì)算機(jī)網(wǎng)絡(luò)通信有一個(gè)良好的發(fā)生。避免設(shè)在建筑物的高層或地下室，以及用水設(shè)備的下層或隔壁。機(jī)房出入口安排專人值守，控制、鑒別和記錄進(jìn)入的人員；需進(jìn)入機(jī)房的來(lái)訪人員須經(jīng)過(guò)申請(qǐng)和審批流程，并限制和監(jiān)控其活動(dòng)范圍。等級(jí)保護(hù)（三級(jí)）方案深信服科技前設(shè)置交付或安裝等過(guò)渡區(qū)域；重要區(qū)域應(yīng)配置電子門(mén)禁系統(tǒng)，控制、鑒別和記錄進(jìn)入的人員。房應(yīng)安裝防靜電活動(dòng)地板。設(shè)備和磁介質(zhì)實(shí)施電磁屏蔽。為了防止無(wú)關(guān)人員和不法分子非法接近網(wǎng)絡(luò)并使用網(wǎng)絡(luò)中的主機(jī)盜取信息、盜報(bào)警系統(tǒng)；對(duì)機(jī)房設(shè)置監(jiān)控報(bào)警系統(tǒng)。等級(jí)保護(hù)（三級(jí)）方案深信服科技身份鑒別可分為主機(jī)身份鑒別和應(yīng)用身份鑒別兩個(gè)方面：主機(jī)身份鑒別：系列的加固措施，包括：l對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的用戶進(jìn)行身份標(biāo)識(shí)和鑒別，且保證用戶名的唯一性。l啟用登陸失敗處理功能，登陸失敗后采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施。別應(yīng)用身份鑒別：為提高應(yīng)用系統(tǒng)系統(tǒng)安全性應(yīng)用系統(tǒng)需要進(jìn)行一系列的加固措施，包括：對(duì)登錄用戶進(jìn)行身份標(biāo)識(shí)和鑒別，且保證用戶名的唯一性。根據(jù)基本要求配置用戶名/口令，必須具備一定的復(fù)雜度；口令必須具備采動(dòng)退出等措施。發(fā)，且使用效果要達(dá)到以上要求。等級(jí)保護(hù)（三級(jí)）方案深信服科技份鑒別。寫(xiě)、修改和刪除等。強(qiáng)制訪問(wèn)控制實(shí)現(xiàn)：在對(duì)安全管理員進(jìn)行嚴(yán)格的身份鑒別和權(quán)限控制基礎(chǔ)上，由安全管理員通過(guò)特定操作界面對(duì)主、客體進(jìn)行安全標(biāo)記；訪問(wèn)控制主體的粒度應(yīng)為用戶級(jí)，客體的粒度應(yīng)為文件或數(shù)據(jù)庫(kù)表級(jí)。使用。采用的措施主要包括：為文件或數(shù)據(jù)庫(kù)表級(jí)。權(quán)限控制：對(duì)于制定的訪問(wèn)控制規(guī)則要能清楚的覆蓋資源訪問(wèn)相關(guān)的主體、授權(quán)，避免授權(quán)范圍過(guò)大，并在它們之間形成相互制約的關(guān)系。及時(shí)刪除多余的、過(guò)期的帳戶，避免共享帳戶的存在。安全增強(qiáng)改造，且使用效果要達(dá)到以上要求。系統(tǒng)審計(jì)包含主機(jī)審計(jì)和應(yīng)用審計(jì)兩個(gè)層面：主機(jī)審計(jì)：主機(jī)監(jiān)控、審計(jì)和系統(tǒng)管理等功能。監(jiān)控、非法外聯(lián)監(jiān)控、計(jì)算機(jī)用戶賬號(hào)監(jiān)控等。審計(jì)功能包括文件操作審計(jì)、外掛設(shè)備操作審計(jì)、非法外聯(lián)審計(jì)、IP地址等。同時(shí)，根據(jù)記錄的數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析，生成詳細(xì)的審計(jì)報(bào)表，系統(tǒng)管理功能包括系統(tǒng)用戶管理、主機(jī)監(jiān)控代理狀態(tài)監(jiān)控、安全策略管理、表等。應(yīng)用審計(jì)：應(yīng)用層安全審計(jì)是對(duì)業(yè)務(wù)應(yīng)用系統(tǒng)行為的審計(jì)，需要與應(yīng)用系統(tǒng)緊密結(jié)合，此審計(jì)功能應(yīng)與應(yīng)用系統(tǒng)統(tǒng)一開(kāi)發(fā)。能夠?qū)τ涗洈?shù)據(jù)進(jìn)行統(tǒng)計(jì)、查詢、分析及生成審計(jì)報(bào)表。到每個(gè)用戶，從而把握數(shù)據(jù)庫(kù)系統(tǒng)的整體安全。等級(jí)保護(hù)（三級(jí)）方案深信服科技發(fā)，且使用效果要達(dá)到以上要求。針對(duì)入侵防范主要體現(xiàn)在主機(jī)及網(wǎng)絡(luò)兩個(gè)層面。針對(duì)主機(jī)的入侵防范，可以從多個(gè)角度進(jìn)行處理：l操作系統(tǒng)的安裝遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，關(guān)閉多余服務(wù)等；下降，并且占用整個(gè)網(wǎng)絡(luò)帶寬。及時(shí)升級(jí)惡意代碼軟件版本以及惡意代碼庫(kù)。等級(jí)保護(hù)（三級(jí)）方案深信服科技管理提供必要的信息。軟件容錯(cuò)的主要目的是提供足夠的冗余信息和算法程序,使系統(tǒng)在實(shí)際運(yùn)行時(shí)能夠及時(shí)發(fā)現(xiàn)程序設(shè)計(jì)錯(cuò)誤,采取補(bǔ)救措施,以提高軟件可靠性,保證整個(gè)計(jì)算據(jù)格式或長(zhǎng)度符合系統(tǒng)設(shè)定要求；具備自保護(hù)功能，在故障發(fā)生時(shí)，應(yīng)用系統(tǒng)應(yīng)能夠自動(dòng)保存當(dāng)前所有狀態(tài)，確保系統(tǒng)能夠進(jìn)行恢復(fù)。校驗(yàn)提出了一定的需求。的數(shù)據(jù)保密，應(yīng)用系統(tǒng)采用密碼技術(shù)進(jìn)行數(shù)據(jù)加密實(shí)現(xiàn)鑒別信息的存儲(chǔ)保密性。IPSecVPN適用于組建site-to-site形態(tài)的虛擬專有網(wǎng)絡(luò)，IPSEC協(xié)議提供的安全服務(wù)包括：等級(jí)保護(hù)（三級(jí)）方案深信服科技完整性——IPSec在目的地要驗(yàn)證數(shù)據(jù)包，以保證該數(shù)據(jù)包有被修改或替換。完整性校驗(yàn)是IPSECV真實(shí)性——IPSec端要驗(yàn)證所有受IPSec保護(hù)的數(shù)據(jù)包。防重放——IPSec防止了數(shù)據(jù)包被捕捉并重新投放老的或重復(fù)的數(shù)據(jù)包，它通過(guò)報(bào)文的序列號(hào)實(shí)現(xiàn)。用于不同的應(yīng)用場(chǎng)景，可配合使用。它是網(wǎng)景（Netscape）公司提出的基于WEB應(yīng)用的安全協(xié)議。SSL協(xié)議指定了提供數(shù)據(jù)安全性分層的機(jī)制，它為T(mén)CP/IP連接提供數(shù)據(jù)加密、服務(wù)器認(rèn)證、消息完整性以及可選的客戶機(jī)認(rèn)證。性上二者無(wú)明顯差別。SSLVPN使用SSL/HTTPS技術(shù)作為安全傳輸機(jī)制。這種機(jī)制在所有的標(biāo)部資源之間的連接通過(guò)應(yīng)用層的Web連接實(shí)現(xiàn)，而不是像IPSecVPN在網(wǎng)絡(luò)層產(chǎn)品部署方面，SSLVPN只需單臂旁路方式接入。單臂旁路接入不改變?cè)芯W(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)路配置，不增加故障點(diǎn)，部署簡(jiǎn)單靈活，同時(shí)提供完整的SSL相應(yīng)策略進(jìn)行相關(guān)業(yè)務(wù)系統(tǒng)的訪問(wèn)。關(guān)鍵網(wǎng)絡(luò)設(shè)備、線路以及服務(wù)器等硬件設(shè)備的冗余。必然的趨勢(shì)。整個(gè)系統(tǒng),并提供增強(qiáng)的功能，其中包括聯(lián)機(jī)備份應(yīng)用系統(tǒng)和數(shù)據(jù)文件，先進(jìn)的支持等。本地完全數(shù)據(jù)備份至少每天一次，且備份介質(zhì)需要場(chǎng)外存放。用場(chǎng)地。計(jì)，保障從網(wǎng)絡(luò)結(jié)構(gòu)、硬件配置上滿足不間斷系統(tǒng)運(yùn)行的需要。等級(jí)保護(hù)（三級(jí)）方案深信服科技降低服務(wù)器負(fù)載——TCP連接復(fù)用、HTTP緩存、SSL卸載。提升用戶訪問(wèn)速度——TCP單邊加速、HTTP緩存、壓縮。（入站）解決外部用戶跨運(yùn)營(yíng)訪問(wèn)造成的訪問(wèn)速度慢減少帶寬投資成本——多種鏈路負(fù)載算法、智能路由、DNS全局負(fù)載均衡：實(shí)現(xiàn)多數(shù)據(jù)中心入站流量選路、精確為用戶選擇最佳（就近）站點(diǎn)。邊界訪問(wèn)控制入侵防范與應(yīng)用層防攻擊防范，因此該產(chǎn)品具有一下功能：為。識(shí)別網(wǎng)絡(luò)中發(fā)生的入侵行為并實(shí)時(shí)報(bào)警并且進(jìn)行有效攔截防護(hù)。等級(jí)保護(hù)（三級(jí)）方案深信服科技用進(jìn)行管理?？杀孀R(shí)多種類別如IM/VoIP/P2P/件，進(jìn)而根據(jù)多種條件如IP群組、VLANID等范圍條件制用，通過(guò)技術(shù)手段規(guī)范上網(wǎng)行為，防止帶寬濫用，阻止內(nèi)網(wǎng)泄密。構(gòu)保證性能，能夠靈活的進(jìn)行網(wǎng)絡(luò)部署。同時(shí)為使得達(dá)到最佳防護(hù)效果。另外，防護(hù)產(chǎn)品共同組成用戶的立體病毒防護(hù)體系。邊界完整性檢查核心是要對(duì)內(nèi)部網(wǎng)絡(luò)中出現(xiàn)的內(nèi)部用戶未通過(guò)準(zhǔn)許私自聯(lián)可以實(shí)現(xiàn)這一目標(biāo)。網(wǎng)絡(luò)資源，并防止由于訪問(wèn)非信任網(wǎng)絡(luò)資源而引入安全風(fēng)險(xiǎn)或者導(dǎo)致信息泄密。聯(lián)行為，可以記錄日志并產(chǎn)生報(bào)警信息。流經(jīng)各主要邊界（重要服務(wù)器區(qū)域、外部連接邊界）需要設(shè)置必要的審計(jì)機(jī)制，成完整的、多層次的審計(jì)系統(tǒng)。更好的滿足業(yè)務(wù)高峰期的需求。服務(wù)的重要次序來(lái)分配帶寬，優(yōu)先保障重要主機(jī)。重要網(wǎng)段不能直接與外部系統(tǒng)連接，需要和其他網(wǎng)段隔離，單獨(dú)劃分區(qū)域。等級(jí)保護(hù)（三級(jí)）方案深信服科技事件和內(nèi)部事件。管理提供監(jiān)控?cái)?shù)據(jù)用于分析及檢測(cè)。網(wǎng)絡(luò)行為監(jiān)控和審計(jì)系統(tǒng)將獨(dú)立的網(wǎng)絡(luò)傳感器硬件組件連接到網(wǎng)絡(luò)中的數(shù)表。網(wǎng)絡(luò)行為監(jiān)控和審計(jì)系統(tǒng)采用旁路技術(shù)，不用在目標(biāo)主機(jī)中安裝任何組件。測(cè)。需要進(jìn)行一系列的加固措施，包括：l身份鑒別信息具有不易被冒用的特點(diǎn)，口令l具有登錄失敗處理功能，失敗后采取結(jié)束會(huì)話、限制非法登錄次l啟用SSH等管理方式，加密管理數(shù)l對(duì)于鑒別手段，三級(jí)要求采用兩種或兩種以上組合的鑒別技術(shù)，因此需采用USBkey+密碼進(jìn)行身份鑒別，保證對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行管理維護(hù)的合法性。信息的完整性設(shè)計(jì)包括信息傳輸?shù)耐暾孕ｒ?yàn)以及信息存儲(chǔ)的完整性校驗(yàn)。別碼、密碼校驗(yàn)函數(shù)、散列函數(shù)、數(shù)字簽名等。對(duì)于信息傳輸?shù)耐暾孕ｒ?yàn)應(yīng)由傳輸加密系統(tǒng)完成。部署VPN系統(tǒng)保證遠(yuǎn)統(tǒng)完成。加密。對(duì)于信息傳輸?shù)耐ㄐ疟Ｃ苄詰?yīng)由傳輸加密系統(tǒng)完成。部署VPN系統(tǒng)保證遠(yuǎn)程數(shù)據(jù)傳輸?shù)臄?shù)據(jù)機(jī)密性。理系統(tǒng)可以實(shí)現(xiàn)這一目標(biāo)。方式包括ARP干擾、802.1x協(xié)議聯(lián)動(dòng)等。入主機(jī)的合法性，及時(shí)阻止IP地址的篡改和盜用行為。共同保證XX交警隊(duì)網(wǎng)等級(jí)保護(hù)（三級(jí)）方案深信服科技絡(luò)的邊界完整性。具體如下：機(jī)是否是經(jīng)過(guò)系統(tǒng)授權(quán)認(rèn)證的信任主機(jī)。許通過(guò)授權(quán)認(rèn)證的主機(jī)使用網(wǎng)絡(luò)資源。非法主機(jī)不對(duì)網(wǎng)絡(luò)產(chǎn)生影響，無(wú)法有意或無(wú)意的對(duì)網(wǎng)絡(luò)攻擊或者試圖竊密。主機(jī)通信的權(quán)限。并在用戶試圖更改IP和MAC地址時(shí)，產(chǎn)生相應(yīng)的等級(jí)保護(hù)（三級(jí)）方案深信服科技障能力。的管理包括：l用戶身份管理：統(tǒng)一管理系統(tǒng)用戶身份，按照業(yè)務(wù)上分工的不同管理員、審計(jì)管理員等。況等，通過(guò)配置采樣時(shí)間，定時(shí)檢測(cè)。l系統(tǒng)加載和啟動(dòng)：進(jìn)行系統(tǒng)啟動(dòng)初始化管理，保障系統(tǒng)動(dòng)。l數(shù)據(jù)備份與恢復(fù)：數(shù)據(jù)的定期備份與恢復(fù)管理，識(shí)別需要定期備份的重度、存儲(chǔ)介質(zhì)、保存期等；根據(jù)數(shù)據(jù)的重要性及其對(duì)系統(tǒng)運(yùn)行的影響，制定數(shù)據(jù)的備份策略和恢復(fù)策略，定期執(zhí)行備份與恢復(fù)策略。l惡意代碼防范管理：建立惡意代碼管理中心，進(jìn)行防惡意代碼軟報(bào)警等。l系統(tǒng)補(bǔ)丁管理：集中進(jìn)行補(bǔ)丁管理，定期統(tǒng)一進(jìn)行系統(tǒng)等級(jí)保護(hù)（三級(jí)）方案深信服科技統(tǒng)補(bǔ)丁程序的安裝。l系統(tǒng)管理員身份認(rèn)證與審計(jì)：對(duì)系統(tǒng)管理員進(jìn)行嚴(yán)格的審計(jì)。通過(guò)安全審計(jì)員對(duì)分布在系統(tǒng)各個(gè)組成部分的安全審計(jì)機(jī)制進(jìn)行集中管理，行嚴(yán)格的身份鑒別，并只允許其通過(guò)特定的命令或界面進(jìn)行安全審計(jì)操作。具體集中審計(jì)內(nèi)容包括：視支持以圖形化方式實(shí)時(shí)監(jiān)控日志流量、系統(tǒng)風(fēng)險(xiǎn)等變化趨勢(shì)。它的日志接口采集管理對(duì)象的日志信息，轉(zhuǎn)換為統(tǒng)一的日志格式，再統(tǒng)一管理、管理中心的日志數(shù)據(jù)可以發(fā)送到上級(jí)管理中心進(jìn)定制的報(bào)表，全面反映網(wǎng)絡(luò)安全總體狀況，重點(diǎn)突出，簡(jiǎn)單易懂。全設(shè)備管理信息統(tǒng)計(jì)分析；支持基于多種條件的統(tǒng)計(jì)分析，包括：對(duì)訪問(wèn)流量、分析圖表。戶可以通過(guò)IE瀏覽器訪問(wèn)，導(dǎo)出審計(jì)結(jié)果。可設(shè)定定時(shí)生成日志統(tǒng)計(jì)報(bào)表，并處理。安全通信網(wǎng)絡(luò)進(jìn)行統(tǒng)一的監(jiān)控與告警。對(duì)全網(wǎng)的安全設(shè)備、安全事件、安全策略、安全運(yùn)維進(jìn)行統(tǒng)一集中的監(jiān)控、整個(gè)網(wǎng)絡(luò)的全局監(jiān)控。觀清晰的顯示設(shè)備關(guān)鍵屬性和運(yùn)行狀態(tài)。析、安全威脅的協(xié)同響應(yīng)。通過(guò)部署集中安全管理平臺(tái)，提高安全管理的效率，保障網(wǎng)絡(luò)的安全運(yùn)行等級(jí)保護(hù)（三級(jí)）方案