網(wǎng)絡(luò)安全建設(shè)方案

《網(wǎng)絡(luò)安全建設(shè)方案》由會員分享，可在線閱讀，更多相關(guān)《網(wǎng)絡(luò)安全建設(shè)方案（22頁珍藏版）》請在裝配圖網(wǎng)上搜索。

網(wǎng)絡(luò)安全建設(shè)方案 2016 年 7 月 1 前言 1 1 1 方案涉及范圍 1 1 2 方案參考標(biāo)準(zhǔn) 2 1 3 方案設(shè)計原則 3 2 安全需求分析 4 2 1 符合等級保護(hù)的安全需求 4 2 1 1 等級保護(hù)框架設(shè)計 4 2 1 2 相應(yīng)等級的安全技術(shù)要求 5 2 2 自身安全防護(hù)的安全需求 5 2 2 1 物理層安全需求 5 2 2 2 網(wǎng)絡(luò)層安全需求 6 2 2 3 系統(tǒng)層安全需求 7 2 2 4 應(yīng)用層安全需求 8 3 網(wǎng)絡(luò)安全建設(shè)內(nèi)容 8 3 1 邊界隔離措施 10 3 1 1 下一代防火墻 10 3 1 2 入侵防御系統(tǒng) 12 3 1 3 流量控制系統(tǒng) 12 3 1 4 流量清洗系統(tǒng) 14 3 2 應(yīng)用安全措施 14 3 2 1 WEB 應(yīng)用防火墻 14 3 2 2 上網(wǎng)行為管理系統(tǒng) 15 3 2 3 內(nèi)網(wǎng)安全準(zhǔn)入控制系統(tǒng) 16 3 3 安全運維措施 16 3 3 1 堡壘機(jī) 16 3 3 2 漏洞掃描系統(tǒng) 17 3 3 3 網(wǎng)站監(jiān)控預(yù)警平臺 18 3 3 4 網(wǎng)絡(luò)防病毒系統(tǒng) 19 3 3 5 網(wǎng)絡(luò)審計系統(tǒng) 20 第 3 頁 共 22 頁 1 前言 1 1 方案涉及范圍 方案設(shè)計中的防護(hù)重點是學(xué)校中心機(jī)房的服務(wù)器區(qū)域 這些服務(wù)器承載了 學(xué)校內(nèi)部的所有業(yè)務(wù)系統(tǒng) 因此是需要重點防護(hù)的信息資產(chǎn) 學(xué)校目前采取了數(shù)據(jù)大集中的模式 將所有的業(yè)務(wù)數(shù)據(jù)集中在中心機(jī)房 數(shù)據(jù)大集中模式將導(dǎo)致數(shù)據(jù)中心的安全風(fēng)險也很集中 因此必須對中心機(jī)房服 務(wù)器區(qū)域進(jìn)行重點防護(hù) 方案中還要對綜合網(wǎng)管區(qū)域 數(shù)據(jù)存儲區(qū)域 辦公區(qū)域進(jìn)行規(guī)劃和設(shè)計 納入到整體的安全防護(hù)體系內(nèi) 1 2 方案參考標(biāo)準(zhǔn) 本方案的主要規(guī)劃的重點內(nèi)容是網(wǎng)絡(luò)安全防護(hù)體系 規(guī)劃的防護(hù)對象以學(xué) 校數(shù)據(jù)中心為主 規(guī)劃的參考標(biāo)準(zhǔn)是等級保護(hù) 該方案的設(shè)計要點就是定級和 保障技術(shù)的規(guī)劃 針對教育部和省教育廳對等級保護(hù)的相關(guān)要求 本方案將主 要參考以下的標(biāo)準(zhǔn)進(jìn)行規(guī)劃 方案的建設(shè)思想方面 將嚴(yán)格按照湘教發(fā) 2011 33 號文件關(guān)于印發(fā) 湖 南省教育信息系統(tǒng)安全等級保護(hù)工作實施方案 的通知 該文件對計算機(jī)信息 系統(tǒng)的等級化保護(hù)提出了建設(shè)要求 是我省今后一段時期內(nèi)信息安全保障工作 的綱領(lǐng)性文件 文件中對我省教育行業(yè)信息安全保障工作指出了總體思路 系統(tǒng)定級方面 參考 信息系統(tǒng)安全等級保護(hù)定級指南 該指南適用于黨 政機(jī)關(guān)網(wǎng)絡(luò)于信息系統(tǒng) 其中涉及國家秘密的網(wǎng)絡(luò)與信息系統(tǒng) 按照國家有關(guān) 保密規(guī)定執(zhí)行 其他網(wǎng)絡(luò)與信息系統(tǒng)定級工作參考本指南進(jìn)行 本指南對定級 工作的原則 職責(zé)分工 工作程序 定級要素和方法進(jìn)行了描述 并對網(wǎng)絡(luò)與 信息系統(tǒng)提出了最低安全等級要求 高等職業(yè)學(xué)校應(yīng)不低于最低安全等級要求 在本項目中我們建議學(xué)校數(shù)據(jù)中心可按照二級的建設(shè)目標(biāo)進(jìn)行規(guī)劃 本方案參考的指南和標(biāo)準(zhǔn)具體見下表 第 4 頁 共 22 頁 安全要素 遵循標(biāo)準(zhǔn) 指導(dǎo)思想 中辦 2003 27 號文件 國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng) 信息安全保障工作的意見 信息系統(tǒng)安全等級保護(hù)定級指南 等級保護(hù) 電子政務(wù)信息安全保障技術(shù)框架 GB 18336 信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評估準(zhǔn)則 技術(shù)方面 信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)基本要求 試用稿 1 3 方案設(shè)計原則 學(xué)校數(shù)據(jù)中心安全體系的建設(shè)應(yīng)遵循國家相關(guān)信息安全保障體系建設(shè)的總 體原則 按照統(tǒng)一規(guī)劃 統(tǒng)一標(biāo)準(zhǔn) 適度超前 分級 分階段實施 互聯(lián)互通 資源共享 安全保密 以需求為導(dǎo)向 以應(yīng)用促發(fā)展的原則進(jìn)行建設(shè) 本方案 將嚴(yán)格遵從以下的建設(shè)原則 重點保護(hù)原則 本次項目建設(shè) 屬于學(xué)校信息安全保障體系的基礎(chǔ)防護(hù)平臺建設(shè)階段 以 基礎(chǔ)性保障為準(zhǔn) 同時對中心機(jī)房進(jìn)行重點防護(hù) 根據(jù) 信息系統(tǒng)安全等級保 護(hù)定級指南 本方案針對重要的核心部位嚴(yán)格按照二級要求進(jìn)行規(guī)劃 確保重 要的信息資產(chǎn)能夠得到重點的防護(hù) 具備相當(dāng)?shù)目构裟芰?分布實施原則 數(shù)據(jù)中心建設(shè)的效果將直接影響學(xué)校的信息化建設(shè) 特別是安全保障體系 的建設(shè) 因此在規(guī)劃階段必須通盤考慮 實施的時候可按照階段進(jìn)行分布實施 確保學(xué)校信息化建設(shè) 以及安全保障體系的建設(shè)能夠有序開展 并且前期的工 作能夠為后期的建設(shè)打好基礎(chǔ) 避免重復(fù)建設(shè) 管理與技術(shù)并進(jìn)的原則 學(xué)校數(shù)據(jù)中心是一個高技術(shù)的系統(tǒng)工程 要實現(xiàn)各業(yè)務(wù)系統(tǒng)的功能和性能 又要采取先進(jìn)的安全技術(shù) 還要對已建立的系統(tǒng)實施有效的安全管理 在進(jìn)行 安全技術(shù)基礎(chǔ)設(shè)施建設(shè)時應(yīng)注意建立配套的運行管理機(jī)制和安全規(guī)章制度 第 5 頁 共 22 頁 經(jīng)濟(jì)實用性原則 對學(xué)校數(shù)據(jù)中心安全體系設(shè)計時 既要考慮安全風(fēng)險和需求 又要考慮系 統(tǒng)建設(shè)的成本 在保證整體安全的前提下 盡可能的減少投資規(guī)模 壓縮開支 優(yōu)化系統(tǒng)設(shè)計 合理進(jìn)行系統(tǒng)配置 所采用的產(chǎn)品 要便于操作 實用高效 標(biāo)準(zhǔn)化原則 技術(shù)的標(biāo)準(zhǔn)化是信息系統(tǒng)建設(shè)的基本要求 也是電子化和信息化的前提 學(xué)校數(shù)據(jù)中心構(gòu)成復(fù)雜 應(yīng)用多種多樣 為了保證信息的安全互通互連 確保 安全保障體系建設(shè)的典型意義和全面推廣應(yīng)用價值 必須嚴(yán)格遵循國家和有關(guān) 部門關(guān)于信息系統(tǒng)安全管理的規(guī)定及建設(shè)規(guī)范 按照統(tǒng)一的標(biāo)準(zhǔn)進(jìn)行設(shè)計 適度安全原則 任何信息系統(tǒng)都不能做到絕對的安全 學(xué)校數(shù)據(jù)中心也不例外 因此 在 安全體系設(shè)計時 要在安全需求 安全風(fēng)險和安全成本之間進(jìn)行平衡和折中 過多的安全要求必將造成安全成本的迅速增加和運行的復(fù)雜性 統(tǒng)一規(guī)劃原則 信息安全保障體系的建設(shè)必須適應(yīng)其信息化的要求 必須兼顧核心業(yè)務(wù)和 非核心業(yè)務(wù)的信息化需求 從安全技術(shù)保障 安全組織保障和安全運營保障等 角度出發(fā) 為學(xué)校規(guī)劃全面的信息安全保障體系 2 安全需求分析 從安全建設(shè)的角度 本方案認(rèn)為學(xué)校的安全建設(shè)來自兩個方面 一是從符 合國家政策的角度 需要按照公安部的相關(guān)標(biāo)準(zhǔn) 按照分級 分域的建設(shè)思路 進(jìn)行總體的安全規(guī)劃和設(shè)計 另外也需要從自身安全防護(hù)的角度 分析對抗外 部惡意攻擊 防范內(nèi)部誤操作行為 規(guī)避物理安全風(fēng)險 強(qiáng)化安全管理等方面 的建設(shè)需求 具體內(nèi)容如下 第 6 頁 共 22 頁 2 1 符合等級保護(hù)的安全需求 2 1 1 等級保護(hù)框架設(shè)計 本方案中 針對學(xué)校數(shù)據(jù)中心 按照功能類型的方式進(jìn)行區(qū)域的劃分 根 據(jù)信息資產(chǎn)重要性的差別 劃分為服務(wù)器區(qū)域 辦公區(qū)域 運維區(qū)域 數(shù)據(jù)存 儲區(qū)域等 各區(qū)域內(nèi)設(shè)備類型的差別 以及對業(yè)務(wù)應(yīng)用影響的區(qū)別 導(dǎo)致各個 區(qū)域應(yīng)該采用不同的安全防護(hù)要求 其中 服務(wù)器區(qū)域內(nèi)主要是各類應(yīng)用服務(wù)器 包括數(shù)據(jù)庫服務(wù)器 各類業(yè) 務(wù)系統(tǒng)等 該區(qū)域是數(shù)據(jù)中心最重要的信息資產(chǎn) 必須重點進(jìn)行防護(hù) 運維區(qū)域內(nèi)主要是目前已經(jīng)采用的網(wǎng)絡(luò)管理軟件 包括運行網(wǎng)管軟件的服 務(wù)器和數(shù)據(jù)庫系統(tǒng) 在本期項目建設(shè)中 還可以將一些軟件的安全防護(hù)系統(tǒng)部 署在該區(qū)域內(nèi) 比如堡壘機(jī) 漏洞掃描系統(tǒng)等 其重要性僅次于服務(wù)器區(qū)域 數(shù)據(jù)存儲區(qū)域則是方案建議規(guī)劃出的一個區(qū)域 作為綜合網(wǎng)管區(qū)域的本地 數(shù)據(jù)災(zāi)備中心 該區(qū)域主要部署了磁盤柜等存儲設(shè)備 由于在物理上該區(qū)域與 服務(wù)器區(qū)域緊密相連 因此其重要性也是比較高的 辦公區(qū)域 包括學(xué)校的辦公人員的桌面用機(jī) 該區(qū)域的設(shè)備遭到破壞后 對業(yè)務(wù)系統(tǒng)不會造成大面積的影響 因此重要性最低 但是該區(qū)域要做好防病 毒 補(bǔ)丁管理 行為管理等方面 要防止該區(qū)域的設(shè)備被攻擊者利用 作為進(jìn) 一步攻擊其他區(qū)域的 跳板 2 1 2 相應(yīng)等級的安全技術(shù)要求 綜合參考 信息系統(tǒng)安全等級保護(hù)定級指南 我們可將學(xué)校網(wǎng)絡(luò)和信息系 統(tǒng)劃分為網(wǎng)絡(luò)基礎(chǔ)設(shè)施 業(yè)務(wù)處理平臺和應(yīng)用系統(tǒng)三個層次 其中 業(yè)務(wù)處理 平臺包括了本地計算區(qū)域和區(qū)域邊界 對服務(wù)器區(qū)域的安全防護(hù)機(jī)制按照二級 的要求進(jìn)行建設(shè) 對應(yīng)用系統(tǒng)的安全防護(hù)機(jī)制按照二級的要求進(jìn)行建設(shè) 其他 區(qū)域可參考此標(biāo)準(zhǔn) 根據(jù)自身重要性的區(qū)別 適當(dāng)調(diào)整技術(shù)要求 第 7 頁 共 22 頁 2 2 自身安全防護(hù)的安全需求 從自身安全防護(hù)的角度 我們認(rèn)為學(xué)校數(shù)據(jù)中心除了滿足相關(guān)標(biāo)準(zhǔn)以外 還需要考慮物理 終端 邊界 網(wǎng)絡(luò) 系統(tǒng)和管理方面的安全風(fēng)險 并由此產(chǎn) 生了以下的安全需求 2 2 1 物理層安全需求 保證網(wǎng)絡(luò)信息系統(tǒng)各種設(shè)備的物理安全是保證整個網(wǎng)絡(luò)信息系統(tǒng)安全的基 礎(chǔ) 物理安全是保護(hù)計算機(jī)網(wǎng)絡(luò)設(shè)備 設(shè)施以及其他介質(zhì)免遭地震 水災(zāi) 火 災(zāi)等環(huán)境事故以及人為操作失誤或錯誤及各種計算機(jī)犯罪行為導(dǎo)致的破壞過程 它主要包括三個方面 環(huán)境安全 對系統(tǒng)所在環(huán)境的安全保護(hù) 如區(qū)域保護(hù)和災(zāi)難保護(hù) 參見 國家標(biāo)準(zhǔn) GB50173 93 電子計算機(jī)機(jī)房設(shè)計規(guī)范 國標(biāo) GB2887 89 計算 站場地技術(shù)條件 GB9361 88 計算站場地安全要求 設(shè)備安全 主要包括設(shè)備的防盜 防毀 防電磁信息輻射泄漏 防止線路 截獲 抗電磁干擾及電源保護(hù)等 介質(zhì)安全 包括信息系統(tǒng)數(shù)據(jù)所依賴的存儲介質(zhì)和傳輸介質(zhì)的安全 確保 不會因為物理介質(zhì)的故障導(dǎo)致信息數(shù)據(jù)受損 2 2 2 網(wǎng)絡(luò)層安全需求 網(wǎng)絡(luò)是信息系統(tǒng)賴以存在的實體 離開了網(wǎng)絡(luò)平臺 信息的傳遞 業(yè)務(wù)的 開展將無從依托 因此如何保障網(wǎng)絡(luò)的安全 是構(gòu)建學(xué)校數(shù)據(jù)中心系統(tǒng)安全架 構(gòu)的基礎(chǔ)性工作 對于數(shù)據(jù)中心來講 網(wǎng)絡(luò)安全主要解決運行環(huán)境的安全問題 對應(yīng)網(wǎng)絡(luò)層安全威脅 網(wǎng)絡(luò)安全主要的技術(shù)手段包括訪問控制技術(shù) 加密傳輸 技術(shù) 檢測與響應(yīng)技術(shù)等 對照學(xué)校數(shù)據(jù)中心的實際情況 我們看到其存在以 下的安全需求 訪問控制需求 第 8 頁 共 22 頁 防范非法用戶的非法訪問 非法用戶的非法訪問也就是黑客或間諜的攻擊行為 在沒有任何防范措施 的情況下 網(wǎng)絡(luò)的安全主要是靠主機(jī)系統(tǒng)自身的安全 如用戶名及口令字這些 簡單的控制 但對于用戶名及口令的保護(hù)方式 對有攻擊目的的人而言 根本 就不是一種障礙 他們可以通過對網(wǎng)絡(luò)上信息的監(jiān)聽 得到用戶名及口令或者 通過猜測用戶及口令 這都將不是難事 而且可以說只要花費很少的時間 因 此 要采取一定的訪問控制手段 防范來自非法用戶的攻擊 嚴(yán)格控制只有合 法用戶才能訪問合法資源 防范合法用戶的非授權(quán)訪問 合法用戶的非授權(quán)訪問是指合法用戶在沒有得到許可的情況下訪問了他本 不該訪問的資源 一般來說 每個成員的主機(jī)系統(tǒng)中 有一部份信息是可以對 外開放 而有些信息是要求保密或具有一定的隱私性 外部用戶 指來自外部 網(wǎng)絡(luò)的合法用戶 被允許正常訪問的一定的信息 但他同時通過一些手段越權(quán) 訪問了別人不允許他訪問的信息 因此而造成他人的信息泄密 所以 還得加 密訪問控制的機(jī)制 對服務(wù)及訪問權(quán)限進(jìn)行嚴(yán)格控制 防范假冒合法用戶的非法訪問 從管理上及實際需求上是要求合法用戶可正常訪問被許可的資源 既然合 法用戶可以訪問資源 那么 入侵者便會在用戶下班或關(guān)機(jī)的情況下 假冒合 法用戶的 IP 地址或用戶名等資源進(jìn)行非法訪問 因此 必需從訪問控制上做到 防止假冒而進(jìn)行的非法訪問 入侵防御需求 防火墻是實現(xiàn)網(wǎng)絡(luò)安全最基本 最經(jīng)濟(jì) 最有效的措施之一 防火墻可以 對所有的訪問進(jìn)行嚴(yán)格控制 允許 禁止 報警 但網(wǎng)絡(luò)配置了防火墻卻不一 定安全 防火墻不可能完全防止有些新的攻擊或那些不經(jīng)過防火墻的其它攻擊 因為網(wǎng)絡(luò)安全是整體的 動態(tài)的 不是單一產(chǎn)品能夠完全實現(xiàn) 所以確保網(wǎng)絡(luò) 更加安全必須配備入侵檢測和響應(yīng)系統(tǒng) 對透過防火墻的攻擊進(jìn)行檢測并做相 應(yīng)反應(yīng) 記錄 報警 阻斷 第 9 頁 共 22 頁 2 2 3 系統(tǒng)層安全需求 安全漏洞檢測和修補(bǔ)需求 網(wǎng)絡(luò)系統(tǒng)存在安全漏洞 如安全配置不嚴(yán)密等 和操作系統(tǒng)安全漏洞等是 黑客等入侵者攻擊屢屢得手的重要因素 入侵者通常都是通過一些程序來探測 網(wǎng)絡(luò)中系統(tǒng)中存在的一些安全漏洞 然后通過發(fā)現(xiàn)的安全漏洞 采取相就技術(shù) 進(jìn)行攻擊 因此 必需配備網(wǎng)絡(luò)安全掃描系統(tǒng)和系統(tǒng)安全掃描系統(tǒng)檢測網(wǎng)絡(luò)中 存在的安全漏洞 并采用相應(yīng)的措施填補(bǔ)系統(tǒng)漏洞 對網(wǎng)絡(luò)設(shè)備等存在的不安 全配置重新進(jìn)行安全配置 安全加固需求 對關(guān)鍵的服務(wù)器主機(jī)系統(tǒng)進(jìn)行安全加固 提供用戶認(rèn)證 訪問控制和審計 嚴(yán)格控制用戶對服務(wù)器系統(tǒng)的訪問 禁止黑客利用系統(tǒng)的開口隱患和安全管理 功能的不足之處進(jìn)行非法訪問 避免內(nèi)部用戶的濫用 2 2 4 應(yīng)用層安全需求 防病毒需求 針對防病毒危害性極大并且傳播極為迅速的特點 必須配備涵蓋客戶端 服務(wù)器 郵件系統(tǒng) 互聯(lián)網(wǎng)網(wǎng)關(guān)的整套防病毒體系 實現(xiàn)全網(wǎng)的病毒安全防護(hù) 徹底切斷病毒繁殖和傳播的途徑 防垃圾郵件需求 必須采用有效的手段防范互聯(lián)網(wǎng)垃圾郵件進(jìn)入網(wǎng)絡(luò)內(nèi)部郵件服務(wù)器系統(tǒng) 干擾正常業(yè)務(wù)通信 身份認(rèn)證需求 必須采用必要的用戶身份認(rèn)證和授權(quán)管理機(jī)制 對網(wǎng)絡(luò)用戶身份的真實性 合法性進(jìn)行集中的控制 數(shù)據(jù)安全需求 對重要的業(yè)務(wù)數(shù)據(jù)和管理數(shù)據(jù)應(yīng)提供可靠的備份和恢復(fù)機(jī)制 防止因非法 第 10 頁 共 22 頁 攻擊或意外事件造成數(shù)據(jù)的破壞或丟失 3 網(wǎng)絡(luò)安全建設(shè)內(nèi)容 建議在本期項目的建設(shè)中 重點從網(wǎng)絡(luò)安全 系統(tǒng)安全 應(yīng)用安全 管理 安全的角度出發(fā) 進(jìn)行建設(shè) 同時在本期項目成功建設(shè)的基礎(chǔ)上 再進(jìn)一步向 物理安全 組織體系 運行體系方面進(jìn)行擴(kuò)展 實現(xiàn)全面的安全策略 具體的 實施方案可參考下圖表示 圖 3 1 學(xué)校網(wǎng)絡(luò)安全拓?fù)涫疽鈭D 在本方案中 在互聯(lián)網(wǎng)接入邊界處部署防火墻系統(tǒng) 形成層次化的訪問控 制和區(qū)域隔離 特別針對服務(wù)器區(qū)域 利用安全邊界接入平臺技術(shù)加強(qiáng)訪問控 制力度 有效保障重要的應(yīng)用系統(tǒng)不受到非法的訪問 此外 在服務(wù)器接入邊界處部署入侵防御系統(tǒng) 一方面有效抵抗拒絕服務(wù) 掃描 惡意代碼 木馬 蠕蟲等網(wǎng)絡(luò)攻擊行為 降低來自互聯(lián)網(wǎng)和校園內(nèi)部的 第 11 頁 共 22 頁 威脅與風(fēng)險 在防火墻邊界隔離的基礎(chǔ)上 部署入侵防御系統(tǒng)可以進(jìn)行深度的 檢測與防護(hù) 提升系統(tǒng)的檢測力度 同時 還在互聯(lián)網(wǎng)接入邊界處部署流量控制系統(tǒng) 根據(jù)應(yīng)用和用戶進(jìn)行帶 寬的分配與監(jiān)控 在 WEB 網(wǎng)站前端部署一臺 WEB 應(yīng)用防火墻 防范來自互聯(lián)網(wǎng)對 WEB 網(wǎng) 站的攻擊行為 在互聯(lián)網(wǎng)接入邊界處部署上網(wǎng)行為管理系統(tǒng) 規(guī)范辦公區(qū)人員的互聯(lián)網(wǎng)行 為 保障核心業(yè)務(wù)系統(tǒng)的流量帶寬 同時 還在互聯(lián)網(wǎng)接入邊界處部署流量清洗系統(tǒng) 對網(wǎng)絡(luò)中的異常流量進(jìn) 行分析和清洗 保障有限帶寬的合理化利用 在內(nèi)網(wǎng)署一套安全準(zhǔn)入控制系統(tǒng) 加強(qiáng)網(wǎng)絡(luò)安全管理及內(nèi)部 PC 的安全管 理 部署堡壘機(jī)來對管理員和第三方維護(hù)人員進(jìn)行設(shè)備維護(hù)時進(jìn)行審計管理 部署漏洞掃描系統(tǒng)對全網(wǎng)的服務(wù)器 網(wǎng)絡(luò)設(shè)備 安全設(shè)備和終端進(jìn)行檢測 發(fā)現(xiàn)網(wǎng)絡(luò)中存在的安全漏洞 并采用相應(yīng)的措施填補(bǔ)系統(tǒng)漏洞 參考圖 3 1 針對學(xué)校數(shù)據(jù)中心 采取的主要防護(hù)措施包括 3 1 邊界隔離措施 3 1 1 下一代防火墻 防火墻是近年發(fā)展起來的重要安全技術(shù) 其主要作用是在網(wǎng)絡(luò)入口點檢查 網(wǎng)絡(luò)通信 根據(jù)用戶設(shè)定的安全規(guī)則 在保護(hù)內(nèi)部網(wǎng)絡(luò)安全的前提下 提供內(nèi) 外網(wǎng)絡(luò)通信 起到安全域劃分 訪問控制 NAT 轉(zhuǎn)換和殺毒 漏洞檢測等防護(hù) 的作用 同時該防火墻還作為 VPN 網(wǎng)關(guān)為移動辦公 BYOD 人員提供遠(yuǎn)程安全 連接 通過使用防火墻過濾不安全的服務(wù) 提高網(wǎng)絡(luò)安全和減少子網(wǎng)中主機(jī)的 風(fēng)險 提供對系統(tǒng)的訪問控制 阻止攻擊者獲得攻擊網(wǎng)絡(luò)系統(tǒng)的有用信息 記 錄和統(tǒng)計網(wǎng)絡(luò)利用數(shù)據(jù)以及非法使用數(shù)據(jù) 攻擊和探測策略執(zhí)行 防火墻屬于 一種被動的安全防御工具 設(shè)立防火墻的目的是保護(hù)一個網(wǎng)絡(luò)不受來自另一個網(wǎng)絡(luò)的攻擊 防火墻的 第 12 頁 共 22 頁 主要功能包括以下幾個方面 1 防火墻提供安全邊界控制的基本屏障 設(shè)置防火墻可提高內(nèi)部網(wǎng)絡(luò)安全 性 降低受攻擊的風(fēng)險 2 防火墻體現(xiàn)網(wǎng)絡(luò)安全策略的具體實施 防火墻集成所有安全軟件 如口 令 加密 認(rèn)證 審計等 比分散管理更經(jīng)濟(jì) 3 防火墻強(qiáng)化安全認(rèn)證和監(jiān)控審計 因為所有進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流都必須通 過防火墻 防火墻也能提供日志記錄 統(tǒng)計數(shù)據(jù) 報警處理 審計跟蹤等服務(wù) 4 防火墻能阻止內(nèi)部信息泄漏 防火墻實際意義上也是一個隔離器 即能 防外 又能防止內(nèi)部未經(jīng)授權(quán)用戶對外網(wǎng)的訪問 防火墻設(shè)備的部署 可實現(xiàn)以下功能 1 通過防火墻連接 隔離安全區(qū)域 通過對訪問請求的審核 我們隔離了內(nèi)部網(wǎng)絡(luò)同外部網(wǎng)絡(luò)連接 可以達(dá)到 保護(hù)脆弱的服務(wù) 控制對內(nèi)部的訪問 記錄和統(tǒng)計網(wǎng)絡(luò)利用數(shù)據(jù)以及非法使用 數(shù)據(jù)和策略執(zhí)行等功能 在有不安全網(wǎng)絡(luò)接入時 全部通信都受到防火墻的監(jiān) 控 通過防護(hù)墻的策略可以設(shè)置成相應(yīng)的保護(hù)級別 以保證系統(tǒng)的安全性 2 過濾網(wǎng)絡(luò)中不必要傳輸?shù)睦鴶?shù)據(jù) 防火墻是一種網(wǎng)關(guān)型的設(shè)備 各個區(qū)域之間的通信 可以通過防火墻的添 加 如果在其上添加一些策略 就可以過濾掉部分無用的信息 在網(wǎng)絡(luò)中只能 傳輸必要的應(yīng)用數(shù)據(jù) 3 利用防火墻的帶寬控制功能 調(diào)整鏈路的帶寬利用 防火墻是一種網(wǎng)關(guān)型的設(shè)備 而且防火墻具有帶寬控制的特性 可以依據(jù) 應(yīng)用來限制流量 來調(diào)整鏈路的帶寬 實現(xiàn)每個用戶 服務(wù)器的帶寬控制 提 高鏈路帶寬利用的效率 4 通過防火墻的保護(hù) 隱蔽內(nèi)部網(wǎng)絡(luò)信息 提高系統(tǒng)的安全性 使得各個內(nèi)網(wǎng)區(qū)不受到黑客的攻擊 黑客無法通過防火墻進(jìn)行掃描 攻擊 等非法動作 可防止黑客通過外部網(wǎng)對重要服務(wù)器的 TCP UDP 的端口非法掃描 消除系統(tǒng)安全的隱患 可防止攻擊者通過外部網(wǎng)對重要服務(wù)器的源路由攻擊 IP 碎片包攻擊 DNS RIP ICMP 攻擊 SYN 攻擊 拒絕服務(wù)等多種攻擊 防 第 13 頁 共 22 頁 火墻還具有一定的入侵檢測功能 當(dāng)發(fā)現(xiàn)有繞過防火墻攻擊重要服務(wù)器時 防 火墻將自動報警并根據(jù)策略進(jìn)行響應(yīng) 5 強(qiáng)大的應(yīng)用層控制 防火墻提供應(yīng)用級透明代理 可以對高層應(yīng)用 HTTP FTP SMTP POP3 NNTP 做了更詳細(xì)控制 如 HTTP 命令 GET POST HEAD 及 URL FTP 命令 GEI PUT 及文件控制 這對 于提高網(wǎng)絡(luò)中的應(yīng)用服務(wù)器的安全非常有意義 3 1 2 入侵防御系統(tǒng) 剛才提到防火墻實現(xiàn)的是不同安全域之間的訪問控制和管理 而入侵防御 系統(tǒng)實現(xiàn)的是對整個內(nèi)網(wǎng)的訪問控制 數(shù)據(jù)包深度過濾 漏洞攻擊防御 郵件 病毒過濾 報文完整性分析等功能 并提供更高的性能 更細(xì)的安全控制粒度 更深的內(nèi)容攻擊防御 更大的功能擴(kuò)展空間 更豐富的服務(wù)和協(xié)議支持 為網(wǎng) 絡(luò)提供完整的立體式網(wǎng)絡(luò)安全防護(hù) 入侵防御系統(tǒng)是在線部署在網(wǎng)絡(luò)中 提供主動的 實時的防護(hù) 具備對 2 到 7 層網(wǎng)絡(luò)的線速 深度檢測能力 同時配合以精心研究 及時更新的攻擊特 征庫 即可以有效檢測并實時阻斷隱藏在海量網(wǎng)絡(luò)中的病毒 攻擊與濫用行為 也可以對分布在網(wǎng)絡(luò)中的各種流量進(jìn)行有效管理 從而達(dá)到對網(wǎng)絡(luò)架構(gòu)防護(hù) 網(wǎng)絡(luò)性能保護(hù)和核心應(yīng)用防護(hù) 第 14 頁 共 22 頁 3 1 3 流量控制系統(tǒng) 隨著互聯(lián)網(wǎng)的逐步發(fā)展 網(wǎng)上用戶和業(yè)務(wù)流量在不斷增長 除傳統(tǒng)數(shù)據(jù)業(yè) 務(wù)外 網(wǎng)絡(luò)電話 網(wǎng)絡(luò)視頻 P2P 下載等新型網(wǎng)絡(luò)應(yīng)用使得骨干網(wǎng)絡(luò)中話音 視頻 點到點下載流量在呈幾何基數(shù)級膨脹趨勢 今天的互聯(lián)網(wǎng)用戶中 沒有 聽說或使用過Skype QQ MSN BT Emule PPLive等應(yīng)用的恐怕已經(jīng)是 極少數(shù) 網(wǎng)絡(luò)應(yīng)用繁榮的同時 網(wǎng)絡(luò)管理的難度也隨之增加 傳統(tǒng)的網(wǎng)絡(luò)設(shè)備 由于無法識別應(yīng)用層的流量信息 致使應(yīng)用級別的管控不到位 網(wǎng)絡(luò)管理的灰 色地帶不斷增加 主要表現(xiàn)在 網(wǎng)絡(luò)透明度降低 無法獲知網(wǎng)上的各種應(yīng)用及用戶準(zhǔn)確分布情況 無 法針對不同用戶 不同應(yīng)用設(shè)置差異化的管理策略 網(wǎng)絡(luò)資源濫用嚴(yán)重 難以進(jìn)行有效控制管理 如 觀看在線視頻 網(wǎng) 絡(luò)電視 在線影視 利用各種下載工具下載喜歡的音樂 影視等 致 使網(wǎng)絡(luò)鏈路經(jīng)常處于流量飽和的狀態(tài) 無法滿足日益增長的應(yīng)用需求 關(guān)鍵用戶 關(guān)鍵應(yīng)用的服務(wù)質(zhì)量難以得到有效保障 網(wǎng)絡(luò)應(yīng)用流量種 類 數(shù)量不斷增多 無序化的競爭經(jīng)常導(dǎo)致關(guān)鍵用戶 關(guān)鍵應(yīng)用的服 務(wù)體驗的降低 網(wǎng)絡(luò)安全性降低 由于網(wǎng)絡(luò)的無序化管理 內(nèi)部人員對網(wǎng)絡(luò)應(yīng)用的濫 用 大量蠕蟲病毒 DDOS 攻擊趁虛而入 這些以消耗網(wǎng)絡(luò)資源為目 的的流量類攻擊發(fā)展迅猛 卻沒有有效的防范 控制手段 造成網(wǎng)絡(luò) 擁塞 甚至網(wǎng)絡(luò)癱瘓 為網(wǎng)絡(luò)安全帶來了重大的隱患 另外 現(xiàn)有網(wǎng)絡(luò)設(shè)備無法實現(xiàn)應(yīng)用級別管控還會給各類不同用戶帶來其它 一些嚴(yán)重問題 例如 對于企業(yè)網(wǎng)絡(luò) 用戶網(wǎng)絡(luò)行為監(jiān)管困難 既便制定了內(nèi)部網(wǎng)絡(luò)管理條 例 員工的上網(wǎng)行為也難以進(jìn)行有效的管理 例如 在工作時間炒股 票 大智慧 通花順 錢龍等 玩網(wǎng)絡(luò)游戲 傳奇 魔獸 聯(lián)眾 反 第 15 頁 共 22 頁 恐精英等 用 MSN QQ 等即時通訊工具進(jìn)行與工作無關(guān)的聊天等 這不僅會影響工作效率 也會給網(wǎng)絡(luò)管理帶來巨大隱患 對于電信運營商網(wǎng)絡(luò) 對應(yīng)用管控的缺失 造成非法 VoIP P2P 應(yīng)用 在線視頻應(yīng)用的泛濫 一方面 其占有了大量的網(wǎng)絡(luò)資源 帶來了擴(kuò) 容壓力 另一方面 其也對運營商的主營業(yè)務(wù) 傳統(tǒng)的語音業(yè)務(wù) 新 興的 IPTV 業(yè)務(wù)等 收入造成了巨大的影響 對于今天的網(wǎng)絡(luò)管理者而言 如何深度感知網(wǎng)絡(luò)應(yīng)用 通過適當(dāng)?shù)膸捁?理技術(shù)來解決帶寬增長與業(yè)務(wù)收益 網(wǎng)絡(luò)擴(kuò)容與用戶體驗之間的不對稱關(guān)系 實現(xiàn)對用戶和業(yè)務(wù)的分級化識別管理 和基于用戶和用戶業(yè)務(wù)流量的管理和增 值顯得尤為重要 在這種背景下 流量控制系統(tǒng)就能夠很好的解決上述網(wǎng)絡(luò)面臨的問題 它 通過高速數(shù)據(jù)內(nèi)容檢測 數(shù)據(jù)流狀態(tài)監(jiān)測 IP 隧道和微碼固件等方法 在對網(wǎng) 絡(luò)應(yīng)用深度解析的基礎(chǔ)上 實現(xiàn)了 2 7 層的應(yīng)用識別分類 流量屬性分析 流 量策略管理 分類統(tǒng)計報告以及狀態(tài)預(yù)警等多種功能 流控為提高網(wǎng)絡(luò)透明度 實施網(wǎng)絡(luò)應(yīng)用服務(wù)管理以及拓展網(wǎng)絡(luò)增值業(yè)務(wù)提供了有效和可靠的硬件平臺 在對網(wǎng)絡(luò)流量進(jìn)行精確識別分析進(jìn)而達(dá)到控制的目的的同時 鞏固和加強(qiáng)了網(wǎng) 絡(luò)的安全管理 3 1 4 流量清洗系統(tǒng) 隨著各種業(yè)務(wù)對 Internet 依賴程度的日益加強(qiáng) DDoS 攻擊所帶來的損失也 愈加嚴(yán)重 包括運營商 企業(yè)及政府機(jī)構(gòu)的各種用戶時刻都受到了 DDoS 攻擊 的威脅 而未來更加強(qiáng)大的攻擊工具的出現(xiàn) 為日后發(fā)動數(shù)量更多 破壞力更 強(qiáng)的 DDoS 攻擊帶來可能 正是由于 DDoS 攻擊非常難于防御 以及其危害嚴(yán)重 所以如何有效的應(yīng) 對 DDoS 攻擊就成為 Internet 使用者所需面對的嚴(yán)峻挑戰(zhàn) 網(wǎng)絡(luò)設(shè)備或者傳統(tǒng)的 邊界安全設(shè)備 諸如防火墻 入侵檢測系統(tǒng) 作為整體安全策略中不可缺少的 重要模塊 都不能有效的提供針對 DDoS 攻擊完善的防御能力 面對這類給 Internet 可用性帶來極大損害的攻擊 必須采用專門的設(shè)備 對攻擊進(jìn)行有效檢 測及阻斷 進(jìn)而遏制這類不斷增長的 復(fù)雜的且極具欺騙性的攻擊形式 因此 第 16 頁 共 22 頁 對骨干設(shè)備的防護(hù)也是整個網(wǎng)絡(luò)環(huán)境的關(guān)鍵 建議在互聯(lián)網(wǎng)接入處部署專業(yè)的 DDoS 防護(hù)產(chǎn)品 保障用戶網(wǎng)絡(luò)可用性 3 2 應(yīng)用安全措施 3 2 1 WEB 應(yīng)用防火墻 隨著信息技術(shù)的不斷發(fā)展 互聯(lián)網(wǎng)已經(jīng)成為信息傳播 流通 交換及存儲 的重要手段 信息高速公路的興建使人類完全突破了傳統(tǒng)的信息獲取方式 存 儲在計算機(jī)中的資料都在逐漸增加 對信息的保護(hù)比以往更加重要也更加困難 由于 Internet 是個開放的網(wǎng)絡(luò) 網(wǎng)站發(fā)布的信息一天二十四小時都在被查詢 閱讀 下載或轉(zhuǎn)載 網(wǎng)站內(nèi)容復(fù)制容易 轉(zhuǎn)載速度快 學(xué)校 WEB 站點網(wǎng)頁如 果被篡改 后果難以預(yù)料 篡改網(wǎng)頁將會被迅速 廣泛傳播 從而直接危害網(wǎng) 站的利益 尤其是網(wǎng)站上發(fā)布的重要新聞 重大方針政策以及法規(guī)等 一旦被 黑客篡改 將嚴(yán)重影響政府形象 甚至造成重大的政治經(jīng)濟(jì)損失和惡劣的社會 影響 WEB 服務(wù)器前端部署 WEB 應(yīng)用防火墻 可以提高相關(guān) WEB 站點的安全 性 當(dāng)出現(xiàn)黑客攻擊或工作人員某些操作失誤 WEB 應(yīng)用防火墻能夠?qū)崟r恢復(fù) 網(wǎng)站文件 保證網(wǎng)站的連續(xù)正常運行 同時還能夠記錄篡改事件的相關(guān)資料 從而為安全部門提供調(diào)查的線索和證據(jù) WEB 應(yīng)用防火墻具備實時 低耗等性 能指標(biāo) 既能夠保證篡改頁面的立即恢復(fù) 又能保證網(wǎng)站的正常服務(wù)性能不受 影響 WEB 應(yīng)用防火墻支持全透明部署模式 全面支持 HTTPS 協(xié)議 在提供 WEB 應(yīng)用實時深度防御的同時實現(xiàn) WEB 應(yīng)用加速及敏感信息泄露防護(hù) 能夠 解決應(yīng)用及業(yè)務(wù)邏輯層面的安全問題 特別是解決目前所面臨的各類網(wǎng)站安全 問題 如 注入攻擊 跨站腳本攻擊 釣魚攻擊 惡意編碼 網(wǎng)頁木馬 緩沖區(qū)溢出 信息泄露 應(yīng)用層 DOS DDOS 攻擊等等 3 2 2 上網(wǎng)行為管理系統(tǒng) 隨著信息化建設(shè)的開展 工作和生活對于互聯(lián)網(wǎng)的依賴性越來越強(qiáng) 在學(xué) 第 17 頁 共 22 頁 校職工利用互聯(lián)網(wǎng)獲得更多更及時地資源的時候 一些網(wǎng)絡(luò)性能方面和應(yīng)用方 面的問題被暴露了出來 大量的 P2P 等非關(guān)鍵應(yīng)用無情地吞噬著網(wǎng)絡(luò)有限的帶 寬資源 使得網(wǎng)絡(luò)管理人員頭痛不已 在沒有對 P2P 流量進(jìn)行策略管理的時間 段內(nèi) P2P 等非關(guān)鍵應(yīng)用的流量幾乎占用了 60 70 的網(wǎng)絡(luò)帶寬 關(guān)鍵性應(yīng)用如 OA Email WEB 網(wǎng)站等卻得不到保障 會嚴(yán)重影響了機(jī)關(guān)網(wǎng)絡(luò)的健康發(fā)展 通過在互聯(lián)網(wǎng)出口處部署一臺上網(wǎng)行為管理系統(tǒng) 對互聯(lián)網(wǎng)資源做一個合 理的流量控制 抑制 P2P 的濫用 并保障關(guān)鍵應(yīng)用的帶寬 大幅度提高訪問互 聯(lián)網(wǎng)的速度 有效提升帶寬利用率 上網(wǎng)行為管理系統(tǒng)提供了強(qiáng)大的網(wǎng)頁過濾功能 屏蔽對非法網(wǎng)站的訪問 提供基于時間 用戶 應(yīng)用的精細(xì)管理策略 控制職工在上班時間玩網(wǎng)絡(luò)游戲 炒股 觀看在線視頻 以及無節(jié)制的網(wǎng)絡(luò)聊天 從而保障工作效率 提供對電 子郵件 即時通訊 論壇發(fā)帖等途徑的外發(fā)信息進(jìn)行監(jiān)控審計 避免機(jī)密信息 泄露或發(fā)表反動言論等 3 2 3 內(nèi)網(wǎng)安全準(zhǔn)入控制系統(tǒng) 學(xué)校業(yè)務(wù)種類越來越多 重要性越來越突出 所以辦公計算機(jī)的系統(tǒng)安全 以及日常的運行維護(hù)顯的尤為重要 如果出現(xiàn)安全漏洞或安全事故 將會嚴(yán)重 影響整體業(yè)務(wù)運行安全 由于學(xué)校信息化程度較高 終端點數(shù)較多 對 IT 軟硬 件的資產(chǎn)管理及故障維護(hù)靠人工施行難度較大 且效率低下 迫切需要通過技 術(shù)手段規(guī)范人員入網(wǎng)及日常終端使用行為 為加強(qiáng)網(wǎng)絡(luò)安全管理及加強(qiáng)內(nèi)部 PC 的安全管理 建議在內(nèi)網(wǎng)部署一套安 全準(zhǔn)入控制系統(tǒng) 這套系統(tǒng)將重點解決以下問題 用戶入網(wǎng)身份證書認(rèn)證化 入網(wǎng)終端登記注冊認(rèn)證化 違規(guī)終端不準(zhǔn)入網(wǎng) 入網(wǎng)終端必合規(guī) 安全檢查一目了然 智能傻瓜式修復(fù) 用戶權(quán)限的細(xì)粒度分派及管理 全網(wǎng)終端軟硬件資產(chǎn)合理 實時 有序管理 終端系統(tǒng)補(bǔ)丁 殺毒軟件 應(yīng)用程序等有效統(tǒng)一管理 第 18 頁 共 22 頁 安全準(zhǔn)入控制系統(tǒng)可以對所有的入網(wǎng)設(shè)備進(jìn)行身份認(rèn)證 包括 MAC 地址 IP 地址 基于用戶名和密碼的身份 接入設(shè)備端口 所在 VLAN 等信息 還支 持 U KEY 支持智能卡 數(shù)字證書認(rèn)證 LDAP 無縫結(jié)合域管理 保證接入 設(shè)備為合法終端 3 3 安全運維措施 3 3 1 堡壘機(jī) 隨著信息技術(shù)的不斷發(fā)展和信息化建設(shè)的不斷進(jìn)步 業(yè)務(wù)應(yīng)用 辦公系統(tǒng) 不斷推出和投入運行 信息系統(tǒng)在政府機(jī)構(gòu)運營中全面滲透 學(xué)校信息系統(tǒng)使 用數(shù)量眾多的網(wǎng)絡(luò)設(shè)備 服務(wù)器主機(jī)來提供基礎(chǔ)網(wǎng)絡(luò)服務(wù) 運行關(guān)鍵業(yè)務(wù) 由 于設(shè)備和服務(wù)器眾多 系統(tǒng)管理員壓力太大等因素 越權(quán)訪問 誤操作 濫用 惡意破壞等情況時有發(fā)生 另外黑客的惡意訪問也有可能獲取系統(tǒng)權(quán)限 闖入 內(nèi)部網(wǎng)絡(luò) 造成不可估量的損失 如何提高系統(tǒng)運維管理水平 跟蹤服務(wù)器上 用戶的操作行為 防止黑客的入侵和破壞 提供控制和審計依據(jù) 降低運維成 本 滿足相關(guān)標(biāo)準(zhǔn)要求 越來越成為管理員關(guān)心的問題 通過部署堡壘機(jī) 該設(shè)備扮演著看門者的職責(zé) 所有對網(wǎng)絡(luò)設(shè)備和服務(wù)器 的請求都要從這扇大門經(jīng)過 因此它能夠攔截非法訪問和惡意攻擊 對不合法 命令進(jìn)行阻斷 過濾掉所有對目標(biāo)設(shè)備的非法訪問行為 并能夠?qū)⑺械妮敵?信息全部記錄下來 具備審計回放功能 能夠模擬用戶的在線操作過程 豐富 和完善了網(wǎng)絡(luò)的內(nèi)控審計功能 因此 堡壘機(jī)能夠極大的保護(hù)內(nèi)部網(wǎng)絡(luò)設(shè)備及 服務(wù)器資源的安全性 使得內(nèi)部網(wǎng)絡(luò)管理更加合理化和專業(yè)化 第 19 頁 共 22 頁 3 3 2 漏洞掃描系統(tǒng) 在內(nèi)網(wǎng)服務(wù)器區(qū)部署一臺漏洞掃描系統(tǒng) 其主要用于分析和指出有關(guān)網(wǎng)絡(luò) 的安全漏洞及被測系統(tǒng)的薄弱環(huán)節(jié) 給出詳細(xì)的檢測報告 并針對檢測到的網(wǎng) 絡(luò)安全隱患給出相應(yīng)的修補(bǔ)措施和安全建議 漏洞掃描系統(tǒng)通過模擬黑客的進(jìn) 攻方法 對被檢系統(tǒng)進(jìn)行攻擊性的安全漏洞和隱患掃描 提交風(fēng)險評估報告 并提供相應(yīng)的整改措施 先于黑客發(fā)現(xiàn)并彌補(bǔ)漏洞 防患于未然 預(yù)防性的安 全檢查最大限度地暴露了現(xiàn)存網(wǎng)絡(luò)系統(tǒng)中存在的安全隱患 配合行之有效的整 改措施 可以將網(wǎng)絡(luò)系統(tǒng)的運行風(fēng)險降至最低 3 3 3 網(wǎng)站監(jiān)控預(yù)警平臺 由于針對 Web 系統(tǒng)的網(wǎng)絡(luò)訪問控制措施被廣泛采用 且一般只開放 HTTP 等必要的服務(wù)端口 因此黑客已經(jīng)難以通過傳統(tǒng)網(wǎng)絡(luò)層攻擊方式 查找并攻擊 操作系統(tǒng)漏洞 數(shù)據(jù)庫漏洞 攻擊網(wǎng)站 然而 Web 應(yīng)用程序漏洞的存在更加 普遍 隨著 Web 應(yīng)用技術(shù)的深入普及 Web 應(yīng)用程序漏洞發(fā)掘和攻擊速度越來 越塊 基于 Web 漏洞的攻擊更容易被利用 已經(jīng)成為黑客首選 據(jù)統(tǒng)計 現(xiàn)在 第 20 頁 共 22 頁 對網(wǎng)站成功的攻擊中 超過 7 成都是基于 Web 應(yīng)用層 而非網(wǎng)絡(luò)層 前不久 OWASP Open Web Application Security Project 機(jī)構(gòu)發(fā)布了最新的 OWASP Top 10 Application Security Risks SQL 注入和 XSS 攻擊 Cross Site Scripting 跨站腳本攻擊 仍舊排名前兩位 是目前存在最為普遍 利用最為廣泛 造成危害最為嚴(yán)重的兩類 Web 威脅 Web 應(yīng)用與云計算技術(shù)具有天然的聯(lián)姻關(guān)系 基于 SaaS 軟件即服務(wù) 的云計算技術(shù)模型 對 Web 安全監(jiān)控系統(tǒng)提出好的解決思路 網(wǎng)站監(jiān)控預(yù)警平 臺與 IDC 合作 搭建 Web 安全監(jiān)測系統(tǒng) 對用戶提供基于云計算 SaaS 模 型的 Web 安全監(jiān)測服務(wù) 可提供 7 24 小時的實時網(wǎng)站安全監(jiān)測服務(wù) 一旦發(fā) 現(xiàn)您的網(wǎng)站存在風(fēng)險狀況 安全團(tuán)隊會第一時間通知您 并提供專業(yè)的安全解 決建議 同時 基于 SaaS 的 Web 安全監(jiān)測系統(tǒng)結(jié)合公司安全專家團(tuán)隊為用戶 定期提供網(wǎng)站系統(tǒng)評估報告 及時 有效地掌握網(wǎng)站的風(fēng)險狀況及安全趨勢 從而提供穩(wěn)定 安全的 Web 應(yīng)用環(huán)境 第 21 頁 共 22 頁 3 3 4 網(wǎng)絡(luò)防病毒系統(tǒng) 防病毒系統(tǒng)不僅是檢測和清除病毒 還應(yīng)加強(qiáng)對病毒的防護(hù)工作 在網(wǎng)絡(luò) 中不僅要部署被動防御體系 防病毒系統(tǒng) 還要采用主動防御機(jī)制 防火墻 安全策略 漏洞修復(fù)等 將病毒隔離在網(wǎng)絡(luò)大門之外 通過管理控制臺統(tǒng)一 部署防病毒系統(tǒng) 保證不出現(xiàn)防病毒漏洞 因此 遠(yuǎn)程安裝 集中管理 統(tǒng)一 防病毒策略成為企業(yè)級防病毒產(chǎn)品的重要需求 在跨區(qū)域的廣域網(wǎng)內(nèi) 要保證 整個廣域網(wǎng)安全無毒 首先要保證每一個局域網(wǎng)的安全無毒 也就是說 一個 局域網(wǎng)的防病毒系統(tǒng)是建立在每個局域網(wǎng)的防病毒系統(tǒng)上的 應(yīng)該根據(jù)每個局 域網(wǎng)的防病毒要求 建立局域網(wǎng)防病毒控制系統(tǒng) 分別設(shè)置有針對性的防病毒 策略 從總部到分支機(jī)構(gòu) 由上到下 各個局域網(wǎng)的防病毒系統(tǒng)相結(jié)合 最終 形成一個立體的 完整的病毒防護(hù)體系 第 22 頁 共 22 頁 3 3 5 網(wǎng)絡(luò)審計系統(tǒng) 網(wǎng)絡(luò)審計系統(tǒng)以旁路的方式部署在網(wǎng)絡(luò)中 不影響網(wǎng)絡(luò)的性能 具有即時 的網(wǎng)絡(luò)數(shù)據(jù)采集能力 強(qiáng)大的審計分析功能以及智能的信息處理能力 通過使 用該系統(tǒng) 可以實現(xiàn)如下目標(biāo) 對用戶的網(wǎng)絡(luò)行為監(jiān)控 網(wǎng)絡(luò)傳輸內(nèi)容進(jìn)行審計 如員工是否在工 作時間上網(wǎng)沖浪 網(wǎng)上聊天 是否訪問內(nèi)容不健康的網(wǎng)站 員工是 否通過網(wǎng)絡(luò)泄漏了公司的機(jī)密信息等等 實現(xiàn)對單位業(yè)務(wù)系統(tǒng)核心數(shù)據(jù)庫的操作過程進(jìn)行審計 有效保護(hù)業(yè) 務(wù)數(shù)據(jù)的完整性 可以對違規(guī)行為進(jìn)行審計記錄與報警 實現(xiàn)網(wǎng)絡(luò)傳輸信息的保密存儲 實現(xiàn)網(wǎng)絡(luò)行為后期取證 對網(wǎng)絡(luò)潛在威脅者予以威懾