XX學(xué)院等保(三級(jí))方案設(shè)計(jì)

1、實(shí)用標(biāo)準(zhǔn)文檔XX市XX學(xué)院等級(jí)保護(hù)（三級(jí)） 建設(shè)方案2017年1月目錄、工程概況 4二、需求分析 51建設(shè)背景 52、建設(shè)目標(biāo) 6三、設(shè)計(jì)原則及依據(jù) 71設(shè)計(jì)原則 72設(shè)計(jì)依據(jù) 8四、方案整體設(shè)計(jì) 91信息系統(tǒng)定級(jí) 91、等級(jí)保護(hù)完全實(shí)施過(guò)程 112、能力、措施和要求 123、基本安全要求 124、系統(tǒng)的控制類(lèi)和控制項(xiàng) 135、物理安全保護(hù)要求 13&網(wǎng)絡(luò)安全保護(hù)要求 147、主機(jī)安全保護(hù)要求 158、應(yīng)用安全保護(hù)要求 169、數(shù)據(jù)安全與備份恢復(fù) 1710、安全管理制度 1811、安全管理機(jī)構(gòu) 1812、人員安全管理 1913、系統(tǒng)建設(shè)管理 1914、系統(tǒng)運(yùn)維管理 202、等級(jí)保護(hù)建設(shè)流程 2

2、12、網(wǎng)絡(luò)系統(tǒng)現(xiàn)狀分析 221、網(wǎng)絡(luò)架構(gòu) 222、可能存在的風(fēng)險(xiǎn) 233、等保三級(jí)對(duì)網(wǎng)絡(luò)的要求 241、結(jié)構(gòu)安全 242、訪問(wèn)控制 253、安全審計(jì) 254、邊界完整性檢查 265、入侵防范 26&惡意代碼防范 267、網(wǎng)絡(luò)設(shè)備防護(hù) 264、現(xiàn)狀對(duì)比與整改方案 271、現(xiàn)狀對(duì)比 272、控制點(diǎn)整改措施 303、詳細(xì)整改方案 324、設(shè)備部署方案 34五、產(chǎn)品選型 361、選型建議 362、選型要求 373、設(shè)備選型清單 37六、公司介紹 38文案大全、工程概況信息安全等級(jí)保護(hù)是對(duì)信息和信息載體按照重要性等級(jí)分級(jí)別進(jìn)行保護(hù)的 一種工作，在中國(guó)、美國(guó)等很多國(guó)家都存在的一種信息安全領(lǐng)域的工作。 在中

3、國(guó)， 信息安全等級(jí)保護(hù)廣義上為涉及到該工作的標(biāo)準(zhǔn)、產(chǎn)品、系統(tǒng)、信息等均依據(jù)等級(jí)保護(hù)思想的安全工作XX市XX學(xué)院是2008年元月，經(jīng)自治區(qū)人民政府批準(zhǔn)，國(guó)家教育部備案的 公辦全日制高等職業(yè)技術(shù)院校。學(xué)院以高等職業(yè)教育為主，同時(shí)兼有中等職業(yè)教 育職能。學(xué)院開(kāi)拓辦學(xué)思路，加大投入，改善辦學(xué)條件，拓寬就業(yè)渠道，內(nèi)引外聯(lián)， 確立了面向社會(huì)、服務(wù)市場(chǎng)，重在培養(yǎng)學(xué)生的創(chuàng)新精神和實(shí)踐能力的辦學(xué)宗旨。 學(xué)院本著讓學(xué)生既成才，又成人的原則，優(yōu)化人才培養(yǎng)模式，狠抓教育教學(xué)質(zhì)量， 增強(qiáng)學(xué)生實(shí)踐動(dòng)手能力，注重對(duì)學(xué)生加強(qiáng)德育和行為規(guī)范教育， 為企業(yè)和社會(huì)培 養(yǎng)具有全面素質(zhì)和綜合職業(yè)能力的應(yīng)用型專(zhuān)門(mén)人才。學(xué)院雄厚的師資力量

4、、先進(jìn)的教學(xué)設(shè)備、嚴(yán)格的日常管理、完善的文體設(shè)施、 優(yōu)質(zhì)的后勤服務(wù)以及寬敞潔凈的學(xué)生公寓和食堂，為廣大師生提供了優(yōu)美、舒適、 理想的學(xué)習(xí)、生活和工作環(huán)境。信息系統(tǒng)安全等級(jí)測(cè)評(píng)是驗(yàn)證信息系統(tǒng)是否滿足相應(yīng)安全保護(hù)等級(jí)的評(píng)估過(guò)程。信息安全等級(jí)保護(hù)要求不同安全等級(jí)的信息系統(tǒng)應(yīng)具有不同的安全保護(hù)能 力，一方面通過(guò)在安全技術(shù)和安全管理上選用與安全等級(jí)相適應(yīng)的安全控制來(lái)實(shí) 現(xiàn)；另一方面分布在信息系統(tǒng)中的安全技術(shù)和安全管理上不同的安全控制，通過(guò)連接、交互、依賴(lài)、協(xié)調(diào)、協(xié)同等相互關(guān)聯(lián)關(guān)系，共同作用于信息系統(tǒng)的安全功 能，使信息系統(tǒng)的整體安全功能與信息系統(tǒng)的結(jié)構(gòu)以及安全控制間、層面間和區(qū)域間的相互關(guān)聯(lián)關(guān)系密切相關(guān)

5、。因此，信息系統(tǒng)安全等級(jí)測(cè)評(píng)在安全控制測(cè)評(píng)的 基礎(chǔ)上，還要包括系統(tǒng)整體測(cè)評(píng)。二、需求分析為了保障國(guó)家關(guān)鍵基礎(chǔ)設(shè)施和信息的安全， 結(jié)合我國(guó)的基本國(guó)情，制定了等 級(jí)保護(hù)制度。并將等級(jí)保護(hù)制度作為國(guó)家信息安全保障工作的基本制度、 基本國(guó) 策，促進(jìn)信息化、維護(hù)國(guó)家信息安全的根本保障。1、建設(shè)背景隨著我國(guó)學(xué)校信息化建設(shè)的逐步深入，學(xué)校教務(wù)工作對(duì)信息系統(tǒng)依賴(lài)的程度 越來(lái)越高，教育信息化建設(shè)中大量的信息資源，成為學(xué)校成熟的業(yè)務(wù)展示和應(yīng)用 平臺(tái)，在未來(lái)的教育信息化規(guī)劃中占有非常重要的地位。從安全性上分析，高校業(yè)務(wù)應(yīng)用和網(wǎng)絡(luò)系統(tǒng)日益復(fù)雜，外部攻擊、內(nèi)部資源濫用、木馬和病毒等不安全 因素越來(lái)越顯著，信息化安全是業(yè)

6、務(wù)應(yīng)用發(fā)展需要關(guān)注的核心和重點(diǎn)。為貫徹落實(shí)國(guó)家信息安全等級(jí)保護(hù)制度，規(guī)范和指導(dǎo)全國(guó)教育信息安全等級(jí) 保護(hù)工作，國(guó)家教委教辦廳函200980文件發(fā)出“關(guān)于開(kāi)展信息系統(tǒng)安全等級(jí) 保護(hù)工作的通知”；教育部教育管理信息中心發(fā)布教育信息系統(tǒng)安全等級(jí)保護(hù) 工作方案；教育部辦公廳印發(fā)關(guān)于開(kāi)展教育系統(tǒng)信息安全等級(jí)保護(hù)工作專(zhuān)項(xiàng) 檢查的通知（教辦廳函2010 80號(hào)）。XX市XX學(xué)院的網(wǎng)絡(luò)系統(tǒng)在近幾年逐步完善， 作為一個(gè)現(xiàn)代化的教學(xué)機(jī)構(gòu)網(wǎng) 絡(luò),除了要滿足高效的內(nèi)部自動(dòng)化辦公需求以外，還應(yīng)對(duì)外界的通訊保證暢通。結(jié) 合學(xué)校的“校務(wù)管理”、“教學(xué)科研”、“招生就業(yè)”、“綜合服務(wù)”等業(yè)務(wù)信息平臺(tái)， 要求網(wǎng)絡(luò)必須能夠滿足數(shù)

7、據(jù)、語(yǔ)音、圖像等綜合業(yè)務(wù)的傳輸要求，所以在這樣的 網(wǎng)絡(luò)上應(yīng)運(yùn)用多種設(shè)備和先進(jìn)技術(shù)來(lái)保證系統(tǒng)的正常運(yùn)作和穩(wěn)定的效率。同時(shí)學(xué)校的網(wǎng)絡(luò)系統(tǒng)中內(nèi)部及外部的訪問(wèn)量巨大，訪問(wèn)人員比較復(fù)雜，所以如何保證學(xué)校網(wǎng)絡(luò)系統(tǒng)中的數(shù)據(jù)安全問(wèn)題尤為重要。 在日新月異的現(xiàn)代化社會(huì)進(jìn)程中，計(jì)算 機(jī)網(wǎng)絡(luò)幾乎延伸到了世界每一個(gè)角落，它不停的改變著我們的工作生活方式和思 維方式，但是，計(jì)算機(jī)信息網(wǎng)絡(luò)安全的脆弱性和易受攻擊性是不容忽視的。由于網(wǎng)絡(luò)設(shè)備、計(jì)算機(jī)操作系統(tǒng)、網(wǎng)絡(luò)協(xié)議等安全技術(shù)上的漏洞和管理體制上的不嚴(yán) 密，都會(huì)使計(jì)算機(jī)網(wǎng)絡(luò)受到威脅。2、建設(shè)目標(biāo)本次XX市XX學(xué)院業(yè)務(wù)系統(tǒng)等級(jí)保護(hù)安全建設(shè)的主要目標(biāo)是：按照等級(jí)保護(hù)要求，結(jié)合實(shí)

8、際業(yè)務(wù)系統(tǒng)，對(duì)學(xué)院核心業(yè)務(wù)系統(tǒng)進(jìn)行充分調(diào)研 及詳細(xì)分析，將學(xué)院核心業(yè)務(wù)系統(tǒng)系統(tǒng)建設(shè)成為一個(gè)及滿足業(yè)務(wù)需要，又符合等級(jí)保護(hù)三級(jí)系統(tǒng)要求的業(yè)務(wù)平臺(tái)。建設(shè)一套符合國(guó)家政策要求、覆蓋全面、重點(diǎn)突出、持續(xù)運(yùn)行的信息安全保 障體系，達(dá)到國(guó)內(nèi)一流的信息安全保障水平， 支撐和保障信息系統(tǒng)和業(yè)務(wù)的安全 穩(wěn)定運(yùn)行。該體系覆蓋信息系統(tǒng)安全所要求的各項(xiàng)內(nèi)容，符合信息系統(tǒng)的業(yè)務(wù)特 性和發(fā)展戰(zhàn)略，滿足學(xué)院信息安全要求。本方案的安全措施框架是依據(jù)“積極防御、綜合防范”的方針，以及“管理 與技術(shù)并重”的原則，并結(jié)合等級(jí)保護(hù)基本要求進(jìn)行設(shè)計(jì)。技術(shù)體系：網(wǎng)絡(luò)層面：關(guān)注安全域劃分、訪問(wèn)控制、抗拒絕服務(wù)攻擊，針對(duì)區(qū)域邊界采 取防火墻

9、進(jìn)行隔離，并在隔離后的各個(gè)安全區(qū)域邊界執(zhí)行嚴(yán)格的訪問(wèn)控制，防止 非法訪問(wèn)；利用漏洞管理系統(tǒng)、網(wǎng)絡(luò)安全審計(jì)等網(wǎng)絡(luò)安全產(chǎn)品，為客戶構(gòu)建嚴(yán)密、 專(zhuān)業(yè)的網(wǎng)絡(luò)安全保障體系。應(yīng)用層面：WE腕用防火墻能夠?qū)E腕用漏洞進(jìn)行預(yù)先掃描，同時(shí)具備對(duì) SQL注入、跨站腳本等通過(guò)應(yīng)用層的入侵動(dòng)作實(shí)時(shí)阻斷，并結(jié)合網(wǎng)頁(yè)防篡改子系 統(tǒng)，真正達(dá)到雙重層面的“網(wǎng)頁(yè)防篡改”效果。數(shù)據(jù)層面，數(shù)據(jù)庫(kù)將被隱藏在安全區(qū)域，同時(shí)通過(guò)專(zhuān)業(yè)的安全加固服務(wù)對(duì)數(shù) 據(jù)庫(kù)進(jìn)行安全評(píng)估和配置，對(duì)數(shù)據(jù)庫(kù)的訪問(wèn)權(quán)限進(jìn)行嚴(yán)格設(shè)定，最大限度保證數(shù) 據(jù)庫(kù)安全。同時(shí)，利用SAN遠(yuǎn)程數(shù)據(jù)備份系統(tǒng)有效保護(hù)重要數(shù)據(jù)信息的健康度。管理體系：在安全管理體系的設(shè)計(jì)中，我們借助

10、豐富的安全咨詢(xún)經(jīng)驗(yàn)和對(duì)等級(jí)保護(hù)管理 要求的清晰理解，為用戶量身定做符合實(shí)際的、可操作的安全管理體系。安全服務(wù)體系：風(fēng)險(xiǎn)評(píng)估服務(wù)：評(píng)估和分析在網(wǎng)絡(luò)上存在的安全技術(shù)分析， 分析業(yè)務(wù)運(yùn)作和 管理方面存在的安全缺陷，調(diào)查系統(tǒng)現(xiàn)有的安全控制措施，評(píng)價(jià)用戶的業(yè)務(wù)安全 風(fēng)險(xiǎn)承擔(dān)能力；安全監(jiān)控服務(wù)：通過(guò)資深的安全專(zhuān)家對(duì)各種安全事件的日志、 記錄實(shí)時(shí)監(jiān)控 與分析，發(fā)現(xiàn)各種潛在的危險(xiǎn)，并提供及時(shí)的修補(bǔ)和防御措施建議；滲透測(cè)試服務(wù)：利用網(wǎng)絡(luò)安全掃描器、專(zhuān)用安全測(cè)試工具和專(zhuān)業(yè)的安全工程 師的人工經(jīng)驗(yàn)對(duì)網(wǎng)絡(luò)中的核心服務(wù)器及重要的網(wǎng)絡(luò)設(shè)備進(jìn)行非破壞性質(zhì)的模擬 黑客攻擊，目的是侵入系統(tǒng)并獲取機(jī)密信息并將入侵的過(guò)程和細(xì)節(jié)產(chǎn)生

11、報(bào)告給用 戶；應(yīng)急響應(yīng)服務(wù)：針對(duì)信息系統(tǒng)危機(jī)狀況的緊急響應(yīng)、分析、解決問(wèn)題的服務(wù)， 當(dāng)信息系統(tǒng)發(fā)生意外的突發(fā)安全事件時(shí)，可以提供緊急的救援措施。方案收益實(shí)施信息安全等級(jí)保護(hù)建設(shè)工作可以為高校信息化建設(shè)實(shí)現(xiàn)如下收益：? 有利于提高信息和信息系統(tǒng)安全建設(shè)的整體水平；? 有利于在信息化建設(shè)過(guò)程中同步建設(shè)信息安全設(shè)施，保障信息安全與信息化建設(shè)協(xié)調(diào)發(fā)展；? 有利于為信息系統(tǒng)安全建設(shè)和管理提供系統(tǒng)性、針對(duì)性、可行性的指導(dǎo) 和服務(wù)，有效控制信息安全建設(shè)成本；? 有利于優(yōu)化信息安全資源的配置，對(duì)信息系統(tǒng)分級(jí)實(shí)施保護(hù)，重點(diǎn)保障 重要信息系統(tǒng)的安全；? 有利于明確信息安全責(zé)任，加強(qiáng)信息安全管理；? 有利于推動(dòng)信息

12、安全的發(fā)展三、設(shè)計(jì)原則及依據(jù)1、設(shè)計(jì)原則根據(jù)學(xué)院的要求和國(guó)家有關(guān)法規(guī)的要求，本系統(tǒng)方案設(shè)計(jì)遵循性能先進(jìn)、質(zhì) 量可靠、經(jīng)濟(jì)實(shí)用的原則，為實(shí)現(xiàn)學(xué)院等級(jí)保護(hù)管理奠定了基礎(chǔ)。全面保障：信息安全風(fēng)險(xiǎn)的控制需要多角度、多層次，從各個(gè)環(huán)節(jié)入手，全面的保障。整體規(guī)劃，分步實(shí)施：對(duì)信息安全建設(shè)進(jìn)行整體規(guī)劃，分步實(shí)施，逐步建立完善的信息安全體系。同步規(guī)劃、同步建設(shè)、同步運(yùn)行：安全建設(shè)應(yīng)與業(yè)務(wù)系統(tǒng)同步規(guī)劃、同步建設(shè)、同步運(yùn)行，在任何一個(gè)環(huán)節(jié)的 疏忽都可能給業(yè)務(wù)系統(tǒng)帶來(lái)危害。適度安全：沒(méi)有絕對(duì)的安全，安全和易用性是矛盾的，需要做到適度安全，找到安全和 易用性的平衡點(diǎn)。內(nèi)外并重：安全工作需要做到內(nèi)外并重，在防范外部威脅

13、的同時(shí)，加強(qiáng)規(guī)范內(nèi)部人員行 為和訪問(wèn)控制、監(jiān)控和審計(jì)能力。標(biāo)準(zhǔn)化管理要規(guī)范化、標(biāo)準(zhǔn)化，以保證在能源行業(yè)龐大而多層次的組織體系中有效 的控制風(fēng)險(xiǎn)。技術(shù)與管理并重：網(wǎng)絡(luò)與信息安全不是單純的技術(shù)問(wèn)題，需要在采用安全技術(shù)和產(chǎn)品的同時(shí)， 重視安全管理，不斷完善各類(lèi)安全管理規(guī)章制度和操作規(guī)程，全面提高安全管理水平。2、設(shè)計(jì)依據(jù)根據(jù)學(xué)院現(xiàn)有情況，本次方案的設(shè)計(jì)嚴(yán)格按照現(xiàn)行中華人民共和國(guó)以及內(nèi)蒙 古自治區(qū)與行業(yè)的工程建設(shè)標(biāo)準(zhǔn)、規(guī)范的要求執(zhí)行。在后期設(shè)計(jì)或?qū)嵤┻^(guò)程中， 如國(guó)家有新法規(guī)、規(guī)范頒布，應(yīng)以新頒布的法規(guī)規(guī)范為準(zhǔn)。本方案執(zhí)行下列有關(guān) 技術(shù)標(biāo)準(zhǔn)、規(guī)范、規(guī)程但不限于以下技術(shù)標(biāo)準(zhǔn)、規(guī)范、規(guī)程。計(jì)算機(jī)信息系統(tǒng)安全

14、等級(jí)保護(hù)劃分準(zhǔn)則(GB 17859-1999)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南(GB/T 25058-2010)信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南(GB/T 22240-2008)信息系統(tǒng)安全等級(jí)保護(hù)基本要求(GB/T 22239-2008)信息系統(tǒng)通用安全技術(shù)要求(GB/T 20271-2006)信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求(GB/T 25070-2010)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求(GB/T 28448-2012)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南(GB/T 28449-2012)信息系統(tǒng)安全管理要求(GB/T 20269-2006)信息系統(tǒng)安全工程管理要求(GB/T 20282-2006)信息

15、系統(tǒng)物理安全技術(shù)要求(GB/T 21052-2007)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求(GB/T 20270-2006)信息系統(tǒng)通用安全技術(shù)要求(GB/T 20271-2006)操作系統(tǒng)安全技術(shù)要求(GB/T 20272-2006)數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求(GB/T 20273-2006)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范(GB/T 20984-2007)信息安全事件管理指南(GB/T 20985-2007)信息安全事件分類(lèi)分級(jí)指南(GB/Z 20986-2007)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范(GB/T 20988-2007)四、方案整體設(shè)計(jì)1、信息系統(tǒng)定級(jí)確定信息系統(tǒng)安全保護(hù)等級(jí)的流程如下：識(shí)別單位基本信息了解單位基本信息

16、有助于判斷單位的職能特點(diǎn)，單位所在行業(yè)及單位在行業(yè) 所處的地位和所用，由此判斷單位主要信息系統(tǒng)的宏觀定位。識(shí)別業(yè)務(wù)種類(lèi)、流程和服務(wù)應(yīng)重點(diǎn)了解定級(jí)對(duì)象信息系統(tǒng)中不同業(yè)務(wù)系統(tǒng)提供的服務(wù)在影響履行單位職能方面具體方式和程度，影響的區(qū)域范圍、用戶人數(shù)、業(yè)務(wù)量的具體數(shù)據(jù)以及 對(duì)本單位以外機(jī)構(gòu)或個(gè)人的影響等方面。 這些具體數(shù)據(jù)即可以為主管部門(mén)制定定 級(jí)指導(dǎo)意見(jiàn)提供參照，也可以作為主管部門(mén)審批定級(jí)結(jié)果的重要依據(jù)。識(shí)別信息調(diào)查了解定級(jí)對(duì)象信息系統(tǒng)所處理的信息，了解單位對(duì)信息的三個(gè)安全屬性 的需求，了解不同業(yè)務(wù)數(shù)據(jù)在其保密性、完整性和可用性被破壞后在單位職能、 單位資金、單位信譽(yù)、人身安全等方面可能對(duì)國(guó)家、社會(huì)

17、、本單位造成的影響， 對(duì)影響程度的描述應(yīng)盡可能量化。識(shí)別網(wǎng)絡(luò)結(jié)構(gòu)和邊界調(diào)查了解定級(jí)對(duì)象信息系統(tǒng)所在單位的整體網(wǎng)絡(luò)狀況、 安全防護(hù)和外部連接 情況，目的是了解信息系統(tǒng)所處的單位內(nèi)部網(wǎng)絡(luò)環(huán)境和外部環(huán)境特點(diǎn)， 以及該信 息系統(tǒng)的網(wǎng)絡(luò)安全保護(hù)與單位內(nèi)部網(wǎng)絡(luò)環(huán)境的安全保護(hù)的關(guān)系。識(shí)別主要的軟硬件設(shè)備調(diào)查了解與定級(jí)對(duì)象信息系統(tǒng)相關(guān)的服務(wù)器、 網(wǎng)絡(luò)、終端、存儲(chǔ)設(shè)備以及安 全設(shè)備等，設(shè)備所在網(wǎng)段，在系統(tǒng)中的功能和作用。調(diào)查設(shè)備的位置和作用主要 就是發(fā)現(xiàn)不同信息系統(tǒng)在設(shè)備使用方面的共用程度。識(shí)別用戶類(lèi)型和分布調(diào)查了解各系統(tǒng)的管理用戶和一般用戶， 內(nèi)部用戶和外部用戶，本地用戶和 遠(yuǎn)程用戶等類(lèi)型，了解用戶或用戶群的

18、數(shù)量分布，判斷系統(tǒng)服務(wù)中斷或系統(tǒng)信息 被破壞可能影響的范圍和程度。根據(jù)信息安全等級(jí)矩陣表，形成定級(jí)結(jié)果業(yè)酬戢全翹輛麻訓(xùn)勢(shì)一 吉rifig會(huì)忌法人離惱跚令法必第二級(jí)寤一冰社盼綁益弟三衣束且說(shuō)隸璉璀律縱驗(yàn)藏齢妗齡刪服詢(xún)熬對(duì)胭訓(xùn)勰書(shū)程度-倔raesas. 8AKWMfta界一抵W5JE 嚴(yán)一鍬舅二級(jí)社昶序.麒戀H璋 方二#瓢as國(guó)戕全莠三莪第五級(jí)1等級(jí)保護(hù)完全實(shí)施過(guò)程信息系統(tǒng)定級(jí) 安全總體規(guī)劃二安全整改設(shè)計(jì)安全設(shè)計(jì)與實(shí)施等級(jí)符合性檢查安全等縱測(cè)評(píng)安全運(yùn)行維護(hù)應(yīng)急預(yù)案及演練信鳥(niǎo)系統(tǒng)備峯2、能力、措施和要求等保3級(jí)的信息系統(tǒng)3、基本安全要求某級(jí)系統(tǒng)基本妾求系統(tǒng)運(yùn)維管理系統(tǒng)建設(shè)管湮人員安全管理安全管理制X

19、安全管理機(jī)構(gòu)數(shù)據(jù)安全應(yīng)用安全主機(jī)安金網(wǎng)絡(luò)安全物B安全4、系統(tǒng)的控制類(lèi)和控制項(xiàng)游標(biāo)類(lèi)技相管理層面類(lèi)數(shù)量項(xiàng)數(shù)量S類(lèi) （:幽A類(lèi) （:儻）（噺小計(jì)小計(jì)物理安全1181032網(wǎng)路安全106733主機(jī)安全31332應(yīng)用安全522g31數(shù)皓安全03E安金管理制度311安全訓(xùn)杞構(gòu)520人員安全巨連2 A516齋統(tǒng)隸設(shè)管瑋IL+5系統(tǒng)迄綻菅理.1360舍計(jì)73類(lèi)290項(xiàng)5、物理安全保護(hù)要求物理安全主要涉及的方面包括環(huán)境安全（防火、防水、防雷擊等）設(shè)備和介 質(zhì)的防盜竊防破壞等方面。物理安全具體包括以下10個(gè)控制點(diǎn)：物理位置的選擇（G物理訪問(wèn)控制（G）防盜竊和防破壞（G防雷擊（G）防火（G）防水和防潮（G）防靜電

20、（G）溫濕度控制（G）電力供應(yīng)（A）電磁防護(hù)（S）整改要點(diǎn)：高戻.地下室分區(qū)域管理-電子門(mén)禁監(jiān)揑報(bào)警系毓設(shè)備防雷自動(dòng)消防系統(tǒng)一 區(qū)域隔謡措施主耍設(shè)備肪靜電地板主娶沒(méi)備冗余/并行線路I接地防擾 備用供電垂統(tǒng)電磁屏蔽6、網(wǎng)絡(luò)安全保護(hù)要求網(wǎng)絡(luò)安全主要關(guān)注的方面包括：網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)邊界以及網(wǎng)絡(luò)設(shè)備自身安全網(wǎng)絡(luò)安全具體包括以下7個(gè)控制點(diǎn)：結(jié)構(gòu)安全(G)訪問(wèn)控制(G)安全審計(jì)(G)邊界完整性檢查(A)入侵防范(G)惡意代碼防范(G) 網(wǎng)絡(luò)設(shè)備防護(hù)(G)。整改要點(diǎn)：養(yǎng)魂設(shè)備冗余空閆:主耍設(shè)備冗余空闔路中控制笫構(gòu)安全冋勢(shì)帶寬11111整體網(wǎng)絡(luò)前寬1帶寬分配優(yōu)先級(jí)子網(wǎng)f網(wǎng)段控制重耍網(wǎng)殷部曙I鵝II控制防止地址欺

21、騙訪問(wèn)控刑設(shè)備用丸網(wǎng)段;)應(yīng)用層協(xié)議過(guò)濾會(huì)話終止撥號(hào)訪問(wèn)限剖檢測(cè)常見(jiàn)攻擊基本的登錄崟別最大流瑩數(shù)及最大連接數(shù)審訃報(bào)表審計(jì)記錄的保護(hù)乜電授權(quán)設(shè)備私自外聯(lián) I記錄、報(bào)警定位及阻斷組合鑒別技術(shù)特杈用戶的權(quán)限分島7、主機(jī)安全保護(hù)要求主機(jī)系統(tǒng)安全是包括服務(wù)器、終端/工作站等在內(nèi)的計(jì)算機(jī)設(shè)備在操作系統(tǒng) 及數(shù)據(jù)庫(kù)系統(tǒng)層面的安全。主機(jī)安全具體包括以下7個(gè)控制點(diǎn)：身份鑒別(S)訪問(wèn)控制(S)安全審計(jì)(G) 剩余信息保護(hù)(S)入侵防范(G)惡意代碼防范(G)資源控制(A)整改要點(diǎn)：安全審計(jì) 重要客戶端的審計(jì)服務(wù)黠基本運(yùn)行情況審計(jì)r=l.審讓抿表巴繆錄的保護(hù)| IA骨陸莊最小安裝原則1；瑩要fli務(wù)豁檢測(cè)、記錄、報(bào)

22、警ZVIXEaJ fli升級(jí)服務(wù)霍；重要程序完幕性剩余信息保護(hù)H空問(wèn)釋放及信息清除a J暮意代碼防范卩庇迂畑X、代礙葩-暫理;|主機(jī)與網(wǎng)緒的陰范產(chǎn)品不同8應(yīng)用安全保護(hù)要求應(yīng)用系統(tǒng)的安全就是保護(hù)系統(tǒng)的各種應(yīng)用程序安全運(yùn)行。 包括基本應(yīng)用，如: 消息發(fā)送、web瀏覽等；業(yè)務(wù)應(yīng)用，如：電子商務(wù)、電子政務(wù)等。應(yīng)用安全具體包括以下9個(gè)控制點(diǎn)：身份鑒別（S）訪問(wèn)控制（S）安全審計(jì)（G剩余信息保護(hù)（S）通信完整性（S）通信保密性（S）抗抵賴(lài)（G）軟件容錯(cuò)（A）資源控制（A）整改要點(diǎn)：9、數(shù)據(jù)安全與備份恢復(fù)數(shù)據(jù)安全主要是保護(hù)用戶數(shù)據(jù)、系統(tǒng)數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)的保護(hù)。將對(duì)數(shù)據(jù)造成 的損害降至最小。備份恢復(fù)也是防止數(shù)據(jù)

23、被破壞后無(wú)法恢復(fù)的重要手段，主要包括數(shù)據(jù)備份、 硬件冗余和異地實(shí)時(shí)備份。數(shù)據(jù)安全和備份恢復(fù)具體包括以下 3個(gè)控制點(diǎn)：數(shù)據(jù)完整性（S）數(shù)據(jù)保密性（S）、備份和恢復(fù)（A整改要點(diǎn)：I鑒別數(shù)禧傳筍的完整性I 數(shù)據(jù)完整性:各黃數(shù)冊(cè)傳輸及存儲(chǔ)檢測(cè)和恢貝I 鑒別數(shù)捱存儲(chǔ)的保密性! |數(shù)據(jù)保帚性丨|各類(lèi)數(shù)據(jù)的傳輸及存儲(chǔ)I 網(wǎng)絡(luò)冗余、硬件冗全重要數(shù)據(jù)的備份111-1備份和恢復(fù)本地尤全備份每天q次1111硬件幾余1異地備份備份介質(zhì)場(chǎng)外存放10、安全管理制度安全管理制度包括信息安全工作的總體方針、策略、規(guī)范各種安全管理活動(dòng) 的管理制度以及管理人員或操作人員日常操作的操作規(guī)程。安全管理制度具體包括以下3個(gè)控制點(diǎn)：管理

24、制度制定和發(fā)布評(píng)審和修訂整改要點(diǎn)：形成信息安全管理制度體系、統(tǒng)一發(fā)布、定期修訂等11、安全管理機(jī)構(gòu)安全管理機(jī)構(gòu)主要是在單位的內(nèi)部結(jié)構(gòu)上建立一整套從單位最高管理層（董事會(huì)）到執(zhí)行管理層以及業(yè)務(wù)運(yùn)營(yíng)層的管理結(jié)構(gòu)來(lái)約束和保證各項(xiàng)安全管理措施 的執(zhí)行。安全管理機(jī)構(gòu)具體包括以下5個(gè)控制點(diǎn)：崗位設(shè)置人員配備授權(quán)和審批溝通和合作審核和檢查整改要點(diǎn)：信息安全領(lǐng)導(dǎo)小組與職能部門(mén)、 專(zhuān)職安全員、定期全面安全檢查、定期協(xié)調(diào) 會(huì)議、外部溝通與合作等12、人員安全管理對(duì)人員安全的管理，主要涉及兩方面：對(duì)內(nèi)部人員的安全管理和對(duì)外部人員的安全管理。人員安全管理具體包括以下5個(gè)控制點(diǎn)：人員錄用人員離崗人員考核安全意識(shí)教育及培

25、訓(xùn)外部人員訪問(wèn)管理整改要點(diǎn)：全員保密協(xié)議、關(guān)鍵崗位人員管理、針對(duì)不同崗位的培訓(xùn)計(jì)劃、外部人員訪 問(wèn)管理13、系統(tǒng)建設(shè)管理系統(tǒng)建設(shè)管理分別從定級(jí)、設(shè)計(jì)建設(shè)實(shí)施、驗(yàn)收交付、測(cè)評(píng)等方面考慮，關(guān) 注各項(xiàng)安全管理活動(dòng)。系統(tǒng)建設(shè)管理具體包括以下11個(gè)控制點(diǎn)：系統(tǒng)定級(jí)安全方案設(shè)計(jì)產(chǎn)品采購(gòu)和使用自行軟件開(kāi)發(fā)外包軟件開(kāi)發(fā)工程實(shí)施測(cè)試驗(yàn)收系統(tǒng)交付系統(tǒng)備案等級(jí)測(cè)評(píng)安全服務(wù)商選擇整改要點(diǎn)：系統(tǒng)定級(jí)的論證、總體規(guī)劃、產(chǎn)品選型測(cè)試、開(kāi)發(fā)過(guò)程的人員控制、工程實(shí) 施制度化、第三方委托測(cè)試、運(yùn)行起 30天內(nèi)備案、每年進(jìn)行1次等級(jí)測(cè)評(píng)、安 全服務(wù)商的選擇14、系統(tǒng)運(yùn)維管理系統(tǒng)運(yùn)維管理涉及日常管理、變更管理、制度化管理、安全事件處

26、置、應(yīng)急 預(yù)案管理和安管中心等。系統(tǒng)運(yùn)維管理具體包括以下13個(gè)控制點(diǎn)：環(huán)境管理資產(chǎn)管理介質(zhì)管理設(shè)備管理、監(jiān)控管理和安全管理中心網(wǎng)絡(luò)安全管理系統(tǒng)安全管理惡意代碼防范管理密碼管理變更管理備份與恢復(fù)管理安全事件處置應(yīng)急預(yù)案管理整改要點(diǎn)：辦公環(huán)境保密性、資產(chǎn)的標(biāo)識(shí)和分類(lèi)管理、介質(zhì) /設(shè)備/系統(tǒng)/網(wǎng)絡(luò)/密碼/備 份與恢復(fù)的制度化 管理、建 立安全管 理中心、安 全事件 分類(lèi)分級(jí)響 應(yīng)、 應(yīng)急預(yù)案的演練和審查。本次等保三級(jí)方案主要針對(duì)學(xué)院現(xiàn)有的網(wǎng)絡(luò)系統(tǒng)進(jìn)行設(shè)計(jì)。2、等級(jí)保護(hù)建設(shè)流程整體的安全保障體系包括技術(shù)和管理兩大部分，其中技術(shù)部分根據(jù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求分為物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安

27、全、數(shù) 據(jù)安全五個(gè)方面進(jìn)行建設(shè)；而管理部分根據(jù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求 則分為安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維 管理五個(gè)方面。整個(gè)安全保障體系各部分既有機(jī)結(jié)合， 又相互支撐。之間的關(guān)系可以理解為“構(gòu)建安全管理機(jī)構(gòu)，制定完善的安全管理制度及安全策略， 由相關(guān)人員，利用 技術(shù)工手段及相關(guān)工具，進(jìn)行系統(tǒng)建設(shè)和運(yùn)行維護(hù)?！睋?jù)等級(jí)化安全保障體系的設(shè)計(jì)思路，等級(jí)保護(hù)的設(shè)計(jì)與實(shí)施通過(guò)以下步驟進(jìn) 行：1. 系統(tǒng)識(shí)別與定級(jí)：確定保護(hù)對(duì)象，通過(guò)分析系統(tǒng)所屬類(lèi)型、所屬信息類(lèi) 別、服務(wù)范圍以及業(yè)務(wù)對(duì)系統(tǒng)的依賴(lài)程度確定系統(tǒng)的等級(jí)。通過(guò)此步驟 充分了解系統(tǒng)狀況，包括系統(tǒng)業(yè)務(wù)流程和功能模

28、塊，以及確定系統(tǒng)的等 級(jí)，為下一步安全域設(shè)計(jì)、安全保障體系框架設(shè)計(jì)、安全要求選擇以及 安全措施選擇提供依據(jù)。2. 安全域設(shè)計(jì)：根據(jù)第一步的結(jié)果，通過(guò)分析系統(tǒng)業(yè)務(wù)流程、功能模塊，根據(jù)安全域劃分原則設(shè)計(jì)系統(tǒng)安全域架構(gòu)。通過(guò)安全域設(shè)計(jì)將系統(tǒng)分解 為多個(gè)層次，為下一步安全保障體系框架設(shè)計(jì)提供基礎(chǔ)框架。3. 確定安全域安全要求：參照國(guó)家相關(guān)等級(jí)保護(hù)安全要求，設(shè)計(jì)不同安全 域的安全要求。通過(guò)安全域適用安全等級(jí)選擇方法確定系統(tǒng)各區(qū)域等級(jí)， 明確各安全域所需采用的安全指標(biāo)。4. 評(píng)估現(xiàn)狀：根據(jù)各等級(jí)的安全要求確定各等級(jí)的評(píng)估內(nèi)容，根據(jù)國(guó)家相 關(guān)風(fēng)險(xiǎn)評(píng)估方法，對(duì)系統(tǒng)各層次安全域進(jìn)行有針對(duì)性的等級(jí)風(fēng)險(xiǎn)評(píng)估。 并找

29、出系統(tǒng)安全現(xiàn)狀與等級(jí)要求的差距，形成完整準(zhǔn)確的按需防御的安 全需求。通過(guò)等級(jí)風(fēng)險(xiǎn)評(píng)估，可以明確各層次安全域相應(yīng)等級(jí)的安全差 距，為下一步安全技術(shù)解決方案設(shè)計(jì)和安全管理建設(shè)提供依據(jù)。5. 安全保障體系方案設(shè)計(jì)：根據(jù)安全域框架，設(shè)計(jì)系統(tǒng)各個(gè)層次的安全保 障體系框架以及具體方案。包括：各層次的安全保障體系框架形成系統(tǒng) 整體的安全保障體系框架；詳細(xì)安全技術(shù)設(shè)計(jì)、安全管理設(shè)計(jì)。6. 安全建設(shè)：根據(jù)方案設(shè)計(jì)內(nèi)容逐步進(jìn)行安全建設(shè)，滿足方案設(shè)計(jì)做要符 合的安全需求，滿足等級(jí)保護(hù)相應(yīng)等級(jí)的基本要求，實(shí)現(xiàn)按需防御。7. 持續(xù)安全運(yùn)維：通過(guò)安全預(yù)警、安全監(jiān)控、安全加固、安全審計(jì)、應(yīng)急 響應(yīng)等，從事前、事中、事后三個(gè)

30、方面進(jìn)行安全運(yùn)行維護(hù)，確保系統(tǒng)的 持續(xù)安全，滿足持續(xù)性按需防御的安全需求。通過(guò)如上步驟，系統(tǒng)可以形成整體的等級(jí)化的安全保障體系，同時(shí)根據(jù)安全 技術(shù)建設(shè)和安全管理建設(shè)，保障系統(tǒng)整體的安全。而應(yīng)該特別注意的是：等級(jí)保 護(hù)不是一個(gè)項(xiàng)目，它應(yīng)該是一個(gè)不斷循環(huán)的過(guò)程， 所以通過(guò)整個(gè)安全項(xiàng)目、安全 服務(wù)的實(shí)施，來(lái)保證用戶等級(jí)保護(hù)的建設(shè)能夠持續(xù)的運(yùn)行， 能夠使整個(gè)系統(tǒng)隨著 環(huán)境的變化達(dá)到持續(xù)的安全。2、網(wǎng)絡(luò)系統(tǒng)現(xiàn)狀分析XX市 XX學(xué)院在2013年正式搬遷到職教園區(qū)內(nèi)，同時(shí)新建了整套校園網(wǎng)絡(luò)， 后期又經(jīng)過(guò)陸陸續(xù)續(xù)的升級(jí)和改造，現(xiàn)已建成如下情況。1、網(wǎng)絡(luò)架構(gòu)拓?fù)鋱D1、內(nèi)部數(shù)據(jù)交換如上拓?fù)鋱D所示，學(xué)院有無(wú)線和有線

31、兩套網(wǎng)絡(luò)提供使用， 整網(wǎng)采用縱向三層 設(shè)計(jì)，分別是核心層、匯聚層和接入層。教學(xué)和辦公網(wǎng)使用單獨(dú)的核心交換機(jī) S12006上聯(lián)至數(shù)據(jù)中心核心交換機(jī) N1801Q避免了在接入?yún)^(qū)域和宿舍樓數(shù)據(jù)的 混合。2、網(wǎng)絡(luò)出口整網(wǎng)有兩條互聯(lián)網(wǎng)出口鏈路，無(wú)線用戶和有線用戶各使用一條鏈路， 每條鏈 路各采用獨(dú)立的一臺(tái)出口網(wǎng)關(guān)進(jìn)行轉(zhuǎn)發(fā)。3、網(wǎng)絡(luò)安全安全設(shè)計(jì)分為對(duì)外部數(shù)據(jù)的安全保障和對(duì)本地內(nèi)部數(shù)據(jù)的安全保障，現(xiàn)有一臺(tái)防火墻部署在出口網(wǎng)關(guān)與核心交換機(jī)之間，保障了對(duì)外部有害數(shù)據(jù)的防范。內(nèi)部服務(wù)器區(qū)域部署了一臺(tái)服務(wù)器防護(hù) wg下聯(lián)各服務(wù)器，上聯(lián)核心交換 機(jī)，保障服務(wù)器的安全性。其它設(shè)備有網(wǎng)絡(luò)管理系統(tǒng)、Portal認(rèn)證系統(tǒng)、計(jì)

32、費(fèi)系統(tǒng)、日志記錄系統(tǒng)、 用戶自助系統(tǒng)等。2、可能存在的風(fēng)險(xiǎn)XX學(xué)院內(nèi)部的網(wǎng)絡(luò)比較復(fù)雜，加上無(wú)線網(wǎng)絡(luò)的全面覆蓋，使用人群多種多樣，因此網(wǎng)絡(luò)安全是XX學(xué)院校園網(wǎng)運(yùn)行過(guò)程中所面臨的實(shí)際問(wèn)題。1、來(lái)自硬件系統(tǒng)的安全威脅硬件的安全問(wèn)題也可以分為兩種，一種是物理安全，一種是設(shè)置安全。物理安全是指由于物理設(shè)備的放置不合適或者防范不得力，使得服務(wù)器、交換機(jī)、路由器等網(wǎng)絡(luò)設(shè)備，纜和雙絞線等網(wǎng)絡(luò)線路以及 UPS和電纜線等電源設(shè)備 遭受意外事故或人為破壞，造成網(wǎng)絡(luò)不能正常運(yùn)行。設(shè)置安全是指在設(shè)備上進(jìn)行 必要的設(shè)置，如服務(wù)器、交換機(jī)的密碼等，防止黑客取得硬件設(shè)備的遠(yuǎn)程控制權(quán)。2、來(lái)自學(xué)院網(wǎng)絡(luò)內(nèi)部的安全威脅校園網(wǎng)內(nèi)部也

33、存在很大的安全隱患，由于內(nèi)部用戶對(duì)網(wǎng)絡(luò)的結(jié)構(gòu)和應(yīng)用模式 都比較了解，特別是在校學(xué)生，學(xué)校通常不能有效的規(guī)范和約束學(xué)生的上網(wǎng)行為，學(xué)生會(huì)經(jīng)常的監(jiān)聽(tīng)或掃描學(xué)校網(wǎng)絡(luò)，因此來(lái)自?xún)?nèi)部的安全威脅更難應(yīng)付。3、來(lái)自In ter net 的威脅In ternet上有各種不同內(nèi)容的網(wǎng)站，這些形形色色、良莠不齊的網(wǎng)絡(luò)資 源不但會(huì)占用大量流量資源，造成網(wǎng)絡(luò)堵塞、上網(wǎng)速度慢等問(wèn)題，而且由于校園 網(wǎng)與In ternet相連，校園網(wǎng)也就面臨著遭遇攻擊的風(fēng)險(xiǎn)。4、系統(tǒng)或軟件的漏洞目前使用的操作系統(tǒng)和應(yīng)用軟件都存在安全漏洞，對(duì)網(wǎng)絡(luò)安全構(gòu)成了威脅。 而且現(xiàn)在許多從網(wǎng)絡(luò)上隨意下載的軟件中可能隱藏木馬、后門(mén)等惡意代碼這些軟件的使用

34、也可能被攻擊者侵入和利用。5、管理方面可能存在的漏洞XX學(xué)院的用戶群體比較大，數(shù)據(jù)量大、速度高。隨著校園內(nèi)計(jì)算機(jī)應(yīng)用的 大范圍普及，接入校園網(wǎng)節(jié)點(diǎn)日漸增多，學(xué)生通過(guò)網(wǎng)絡(luò)在線看電影、聽(tīng)音樂(lè)，很 容易造成網(wǎng)絡(luò)堵塞和病毒傳播。而這些節(jié)點(diǎn)大部分都沒(méi)有采取一定的防護(hù)措施， 隨時(shí)有可能造成病毒泛濫、信息丟失、數(shù)據(jù)損壞、網(wǎng)絡(luò)被攻擊、系統(tǒng)癱瘓等嚴(yán)重 后果。3、等保三級(jí)對(duì)網(wǎng)絡(luò)的要求1結(jié)構(gòu)安全1. 應(yīng)保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要；2. 應(yīng)保證網(wǎng)絡(luò)各個(gè)部分的帶寬滿足業(yè)務(wù)高峰期需要；3. 應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路由控制建立安全的訪問(wèn)路徑；4. 應(yīng)繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)

35、拓?fù)浣Y(jié)構(gòu)圖；5. 應(yīng)根據(jù)各部門(mén)的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分 配地址段；6. 應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段；7. 應(yīng)按照對(duì)業(yè)務(wù)服務(wù)的重要次序來(lái)指定帶寬分配優(yōu)先級(jí)別，保證在網(wǎng)絡(luò)發(fā)生擁堵的時(shí)候優(yōu)先保護(hù)重要主機(jī)。2、訪問(wèn)控制1. 應(yīng)在網(wǎng)絡(luò)邊界部署訪問(wèn)控制設(shè)備，啟用訪問(wèn)控制功能；2. 應(yīng)能根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流提供明確的允許 /拒絕訪問(wèn)的能力，控 制粒度為端口級(jí)；3. 應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過(guò)濾， 實(shí)現(xiàn)對(duì)應(yīng)用層HTTR FTR TELNET S

36、MTP ROR3等協(xié)議命令級(jí)的控制；4. 應(yīng)在會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束后終止網(wǎng)絡(luò)連接；5. 應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)；6. 重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙；7. 應(yīng)按用戶和系統(tǒng)之間的允許訪問(wèn)規(guī)則，決定允許或拒絕用戶對(duì)受控系統(tǒng) 進(jìn)行資源訪問(wèn)，控制粒度為單個(gè)用8. 應(yīng)限制具有撥號(hào)訪問(wèn)權(quán)限的用戶數(shù)量3、安全審計(jì)1. 應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志 記錄；2. 審計(jì)記錄應(yīng)包括：事件的日期和時(shí)間、用戶、事件類(lèi)型、事件是否成功 及其他與審計(jì)相關(guān)的信息；3. 應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；4. 應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)，避免受到未預(yù)期的刪除、修改

37、或覆蓋等。4、邊界完整性檢查1. 應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置,并對(duì)其進(jìn)行有效阻斷；2. 應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對(duì)其進(jìn)行有效阻斷。5、入侵防范1. 應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬后門(mén)攻 擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲(chóng)攻擊等；2. 當(dāng)檢測(cè)到攻擊行為時(shí)，記錄攻擊源IP、攻擊類(lèi)型、攻擊目的、攻擊時(shí)間， 在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)告；6、惡意代碼防范1. 應(yīng)在網(wǎng)絡(luò)邊界處對(duì)惡意代碼進(jìn)行檢測(cè)和清除；2. 應(yīng)維護(hù)惡意代碼庫(kù)的升級(jí)和檢測(cè)系統(tǒng)的更新。7、網(wǎng)絡(luò)設(shè)備防護(hù)1. 應(yīng)對(duì)登錄

38、網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別；2. 應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制；3. 網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識(shí)應(yīng)唯一；4. 主要網(wǎng)絡(luò)設(shè)備應(yīng)對(duì)同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來(lái)進(jìn) 行身份鑒別；5. 身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換；6. 應(yīng)具有登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和當(dāng)網(wǎng) 絡(luò)登錄連接超時(shí)自動(dòng)退出等措施；7. 當(dāng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng)；8. 應(yīng)實(shí)現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離4、現(xiàn)狀對(duì)比與整改方案現(xiàn)有網(wǎng)絡(luò)雖然已經(jīng)在各方面比較完善，但是還達(dá)不到三級(jí)等保的要求，下面 從以上7個(gè)控制點(diǎn)進(jìn)行詳細(xì)的對(duì)比，找出

39、存在的問(wèn)題并提出解決方案。1、現(xiàn)狀對(duì)比主要是對(duì)已有設(shè)備的配置和使用情況進(jìn)行檢查和修改。網(wǎng)絡(luò)及安全設(shè)備的配置和優(yōu)化服務(wù)；監(jiān)控分析及優(yōu)化服務(wù)；是否進(jìn)行了路由控制建立安全的訪問(wèn)路徑？重要網(wǎng)段的隔離部署；重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙；如：MAC+IP綁定審計(jì)數(shù)據(jù)的梳理及分析；設(shè)定用戶的訪問(wèn)權(quán)限并配置策略（內(nèi)部和外部）；對(duì)登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別和地址限制；對(duì)重要業(yè)務(wù)的帶寬做最小流量設(shè)置。如下表格：打鉤表示已滿足要求。未打鉤表示未滿足要求，需要完善，可通過(guò)對(duì)現(xiàn)有設(shè)備進(jìn)行深化配置或者增添新設(shè)備來(lái)實(shí)現(xiàn)。結(jié)構(gòu)安全1應(yīng)保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰 期需要；V2應(yīng)保證網(wǎng)絡(luò)各

40、個(gè)部分的帶寬滿足業(yè)務(wù)高峰期需要；V3應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路由控制建立安全的訪問(wèn)路 徑；V4應(yīng)繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖；V5應(yīng)根據(jù)各部門(mén)的工作職能、重要性和所涉及信息的重要程度等因素， 劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、 網(wǎng)段分配地址段；V6應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，重 要網(wǎng)段與其他網(wǎng)段之間米取可靠的技術(shù)隔離手段；7應(yīng)按照對(duì)業(yè)務(wù)服務(wù)的重要次序來(lái)指定帶寬分配優(yōu)先級(jí)別，保證在網(wǎng) 絡(luò)發(fā)生擁堵的時(shí)候優(yōu)先保護(hù)重要主機(jī)。訪問(wèn)控制1應(yīng)在網(wǎng)絡(luò)邊界部署訪問(wèn)控制設(shè)備，啟用訪問(wèn)控制功能；V2應(yīng)能根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕

41、訪問(wèn)的能力，控制粒度為端口級(jí)；3應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過(guò)濾，實(shí)現(xiàn)對(duì)應(yīng)用層HTTR FTP、TELNET SMTP POP3等協(xié)議命令級(jí)的控制；4應(yīng)在會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束后終止網(wǎng)絡(luò)連接；5應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)；6重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙；7應(yīng)按用戶和系統(tǒng)之間的允許訪問(wèn)規(guī)則，決定允許或拒絕用戶對(duì)受控 系統(tǒng)進(jìn)行資源訪問(wèn)，控制粒度為單個(gè)用戶；8應(yīng)限制具有撥號(hào)訪問(wèn)權(quán)限的用戶數(shù)量；安全審計(jì)1應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行 日志記錄；V2審計(jì)記錄應(yīng)包括：事件的日期和時(shí)間、用戶、事件類(lèi)型、事件是否 成功及其他與審計(jì)相關(guān)的信息；3應(yīng)能夠根據(jù)記錄數(shù)

42、據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；V4應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)，避免受到未預(yù)期的刪除、修改或覆蓋等。邊界完整性檢查1應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確疋出 位置，并對(duì)其進(jìn)行有效阻斷；2應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定 出位置，并對(duì)其進(jìn)行有效阻斷。入侵防范1應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬后 門(mén)攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲(chóng)攻擊等；2當(dāng)檢測(cè)到攻擊行為時(shí)，記錄攻擊源 IP、攻擊類(lèi)型、攻擊目的、攻擊 時(shí)間，在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)惡意代碼防范措施。惡意代碼防范1應(yīng)在網(wǎng)絡(luò)邊界處對(duì)惡意代碼進(jìn)行檢測(cè)和清除；2應(yīng)維護(hù)

43、惡意代碼庫(kù)的升級(jí)和檢測(cè)系統(tǒng)的更新。網(wǎng)絡(luò)設(shè)備防護(hù)1應(yīng)對(duì)登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別；V2應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制；3網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識(shí)應(yīng)唯一；V4主要網(wǎng)絡(luò)設(shè)備應(yīng)對(duì)同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來(lái) 進(jìn)行身份鑒別；5身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定 期更換；6應(yīng)具有登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和 當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動(dòng)退出等措施；7當(dāng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施防止鑒別信息在網(wǎng) 絡(luò)傳輸過(guò)程中被竊聽(tīng)；8應(yīng)實(shí)現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離2、控制點(diǎn)整改措施1、結(jié)構(gòu)安全主要網(wǎng)絡(luò)設(shè)備的處理能力以及各部分帶寬均需滿足業(yè)務(wù)高峰需要；部

44、署優(yōu)化設(shè)備，削減網(wǎng)絡(luò)流量，更好的滿足冗余要求；合理規(guī)劃路由，在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間建立安全路徑；規(guī)劃重要網(wǎng)段，在路由交換設(shè)備上配置 ACL策略進(jìn)行隔離；網(wǎng)絡(luò)設(shè)備規(guī)劃帶寬優(yōu)先級(jí)，保證在網(wǎng)絡(luò)發(fā)生擁堵時(shí)優(yōu)先保護(hù)重要主機(jī)。必要 時(shí)可部署專(zhuān)業(yè)流控產(chǎn)品進(jìn)行管控。2、訪問(wèn)控制網(wǎng)絡(luò)邊界部署如：防火墻等隔離設(shè)備；根據(jù)基本要求對(duì)隔離設(shè)備以及網(wǎng)絡(luò) 設(shè)備等制定相應(yīng)的ACL策略。包括：訪問(wèn)控制粒度、用戶數(shù)量等。在配置防火墻等隔離設(shè)備的策略時(shí)要滿足相應(yīng)要求， 包括：端口級(jí)的控制粒 度；常見(jiàn)應(yīng)用層協(xié)議命令過(guò)濾；會(huì)話控制；流量控制；連接數(shù)控制；防地址欺騙3、安全審計(jì)部署網(wǎng)絡(luò)安全審計(jì)系統(tǒng)，記錄用戶網(wǎng)絡(luò)行為、網(wǎng)絡(luò)設(shè)備運(yùn)行狀況

45、、網(wǎng)絡(luò)流量 等，審計(jì)記錄包括事件的日期和時(shí)間、用戶、事件類(lèi)型、事件是否成功及其他與 審計(jì)相關(guān)的信息。加強(qiáng)審計(jì)功能，具備報(bào)表生成功能，同時(shí)采用日志服務(wù)器進(jìn)行審計(jì)記錄的保 存，避免非正常刪除、修改或覆蓋。4、邊界完整性檢查部署終端安全管理系統(tǒng)，啟用非法外聯(lián)監(jiān)控以及安全準(zhǔn)入功能進(jìn)行邊界完整 性檢查。在檢測(cè)的同時(shí)要進(jìn)行有效阻斷。5、入侵防范部署入侵檢測(cè)系統(tǒng)進(jìn)行入侵行為進(jìn)行檢測(cè)。包括：端口掃描、強(qiáng)力攻擊、木 馬后門(mén)攻擊等各類(lèi)攻擊行為。配置入侵檢測(cè)系統(tǒng)的日志模塊，記錄記錄攻擊源IP、攻擊類(lèi)型、攻擊目的、 攻擊時(shí)間等相關(guān)信息，并通過(guò)一定的方式進(jìn)行告警。6、惡意代碼防范在網(wǎng)絡(luò)邊界處部署UTM或 AV IPS網(wǎng)

46、關(guān)進(jìn)行惡意代碼的檢測(cè)與清除， 并定期 升級(jí)惡意代碼庫(kù)。升級(jí)方式根據(jù)與互聯(lián)網(wǎng)的連接狀態(tài)采取在線或離線方式。7、網(wǎng)絡(luò)設(shè)備防護(hù)根據(jù)基本要求配置網(wǎng)絡(luò)設(shè)備自身的身份鑒別與權(quán)限控制，包括：登陸地址、 標(biāo)識(shí)符、口令的復(fù)雜度（3種以上字符、長(zhǎng)度不少于8位）、失敗處理，傳輸加 密等方面。對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行安全加固。對(duì)主要網(wǎng)絡(luò)設(shè)備實(shí)施雙因素認(rèn)證手段進(jìn)身份鑒別；對(duì)設(shè)備的管理員等特權(quán)用戶進(jìn)行不同權(quán)限等級(jí)的配置，實(shí)現(xiàn)權(quán)限分離3、詳細(xì)整改方案1. 現(xiàn)有網(wǎng)絡(luò)配置未將重要網(wǎng)段與其他網(wǎng)段之間進(jìn)行可靠的技術(shù)隔離，應(yīng)采用相應(yīng)的VLAN隔離技術(shù)并為特定的無(wú)線用戶配置用戶隔離。2. 現(xiàn)有網(wǎng)絡(luò)未配置對(duì)業(yè)務(wù)服務(wù)的重要次序并指定帶寬分配優(yōu)先級(jí)別

47、，需增添專(zhuān)業(yè)的流量控制設(shè)備對(duì)有線合無(wú)線用戶進(jìn)行全面管控。3. 在出口區(qū)域部署的防火墻雖然配置了相應(yīng)的安全策略，但是沒(méi)有將某些應(yīng)用的控制粒度細(xì)化到端口級(jí)別，需完善配置。4. 現(xiàn)有網(wǎng)絡(luò)設(shè)備沒(méi)有對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過(guò)濾，實(shí)現(xiàn)對(duì)應(yīng)用層HTTRFTP TELNET SMTP ROR3等協(xié)議命令級(jí)的控制，需增添一臺(tái)專(zhuān)業(yè)的行為管理設(shè)備進(jìn)行完善。5. 大部分設(shè)備的會(huì)話非活躍時(shí)間設(shè)置均為默認(rèn)值，應(yīng)在會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束后終止網(wǎng)絡(luò)連接，需修改設(shè)備的相應(yīng)數(shù)值進(jìn)行完善。6. 出口網(wǎng)關(guān)上沒(méi)有相應(yīng)的限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)的配置，需根據(jù)用戶群體、數(shù)量及數(shù)據(jù)量的大小計(jì)算出合理的數(shù)值并完善。7. 交換機(jī)

48、上沒(méi)有對(duì)重要網(wǎng)段采取技術(shù)手段防止地址欺騙，建議全網(wǎng)采用DHCP Sno opi ng + IP Source guard + ARP Check方案或使用 DHCPSno opi ng + DAI方案對(duì)地址欺騙進(jìn)行有效的防范。由于現(xiàn)有網(wǎng)絡(luò)中有一臺(tái)SAM認(rèn)證計(jì)費(fèi)系統(tǒng)，所以也可采用與SAM聯(lián)動(dòng)的方式SAM+Supplicant8. 現(xiàn)有設(shè)備未配置按用戶和系統(tǒng)之間的允許訪問(wèn)規(guī)則，決定允許或拒絕用戶對(duì)受控系統(tǒng)進(jìn)行資源訪問(wèn)。應(yīng)在交換機(jī)上添加相應(yīng)配置，如采用ACL進(jìn)行控制，控制粒度應(yīng)為單個(gè)用戶。9. 設(shè)備未限制具有撥號(hào)訪問(wèn)權(quán)限的用戶數(shù)量，應(yīng)根據(jù)用戶群體及數(shù)量在出口區(qū)域進(jìn)行相應(yīng)的限制。10. 現(xiàn)有設(shè)備無(wú)法全

49、面有效的記錄事件的日期和時(shí)間、用戶、事件類(lèi)型、事 件是否成功及其他與審計(jì)相關(guān)的信息，上述第4條中增添的行為管理設(shè) 備可對(duì)此完美支持。11. 行為管理設(shè)備應(yīng)采用雙電源設(shè)計(jì)，分開(kāi)兩路電源對(duì)其供電，配置高復(fù)雜 度密碼并定期進(jìn)行修改和檢查，與日志系統(tǒng)聯(lián)動(dòng)，實(shí)時(shí)轉(zhuǎn)存日志信息， 實(shí)現(xiàn)對(duì)審計(jì)記錄進(jìn)行保護(hù)，避免受到未預(yù)期的刪除、修改或覆蓋。12. 現(xiàn)有設(shè)備無(wú)法有效的對(duì)非授權(quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查、準(zhǔn)確定出位置并對(duì)其進(jìn)行有效阻斷，應(yīng)增添專(zhuān)業(yè)的入侵檢測(cè)設(shè)備對(duì)現(xiàn)有 網(wǎng)絡(luò)進(jìn)行完善。13. 現(xiàn)有設(shè)備無(wú)法全面有效的對(duì)內(nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn) 行檢查、準(zhǔn)確定出位置并對(duì)其進(jìn)行有效阻斷。上述第 4條中增

50、添的行為 管理設(shè)備可對(duì)此完美支持。14. 現(xiàn)有設(shè)備無(wú)法全面有效監(jiān)視網(wǎng)絡(luò)邊界處收到的端口掃描、強(qiáng)力攻擊、木 馬后門(mén)攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲(chóng) 攻擊等，上述第12條中增添的入侵檢測(cè)設(shè)備可對(duì)此完美支持。15. 現(xiàn)有設(shè)備無(wú)法全面有效的在檢測(cè)到攻擊行為時(shí)，記錄攻擊源IP、攻擊類(lèi)型、攻擊目的、攻擊時(shí)間，并無(wú)法全面有效的在發(fā)生嚴(yán)重入侵事件時(shí)提 供惡意代碼和防范措施，上述第 12條中增添的入侵檢測(cè)設(shè)備可對(duì)此完 美支持。16. 現(xiàn)有設(shè)備無(wú)法全面有效的在在網(wǎng)絡(luò)邊界處對(duì)惡意代碼進(jìn)行檢測(cè)和清除， 上述第12條中增添的入侵檢測(cè)設(shè)備可對(duì)此完美支持。17. 安全類(lèi)設(shè)備應(yīng)定期維護(hù)惡意代碼庫(kù)的升

51、級(jí)和檢測(cè)系統(tǒng)的更新，以免識(shí)別不到最新的惡意代碼和攻擊方式。18. 現(xiàn)有設(shè)備未對(duì)網(wǎng)絡(luò)設(shè)備的管理員地址進(jìn)行限制，應(yīng)在所有設(shè)備上采用 ACL等技應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制，只允許管理員所在 地址段的指定地址登錄設(shè)備并進(jìn)行管理；19. 主要網(wǎng)絡(luò)設(shè)備應(yīng)對(duì)同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來(lái)進(jìn) 行身份鑒別，建議采用用戶名+密碼+驗(yàn)證碼等方式對(duì)設(shè)備進(jìn)行登錄和管 理。20. 設(shè)備的身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換；21. 現(xiàn)有設(shè)備未配置對(duì)登錄失敗處理功能，如采取結(jié)束會(huì)話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動(dòng)退出等措施，應(yīng)完善相應(yīng)配置。22. 現(xiàn)有大部分設(shè)備的

52、遠(yuǎn)程管理方式均采用 Telnet和HTTP方式進(jìn)行登錄管 理，無(wú)法防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng)，因此，所有網(wǎng)絡(luò)設(shè)備都應(yīng)采用SSH和HTTPS勺方式對(duì)設(shè)備進(jìn)行登錄和管理。23. 當(dāng)前設(shè)備未配置對(duì)管理員的權(quán)限劃分，當(dāng)存在多個(gè)不同等級(jí)的管理員時(shí)，應(yīng)實(shí)現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離，需完善設(shè)備配置。24. 當(dāng)前在服務(wù)器區(qū)域的防護(hù)只部署了一臺(tái) WG但是服務(wù)器區(qū)域內(nèi)的數(shù)據(jù)庫(kù) 得不到有效的安全保障，應(yīng)從數(shù)據(jù)完整性和保密性進(jìn)行防護(hù)，所以需要 增添專(zhuān)業(yè)的數(shù)據(jù)庫(kù)審計(jì)設(shè)備對(duì)數(shù)據(jù)庫(kù)和網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)進(jìn)行全面檢 測(cè)和審計(jì)。4、設(shè)備部署方案上述整改措施中包含服務(wù)類(lèi)與產(chǎn)品類(lèi)兩種解決方式，其中產(chǎn)品類(lèi)措施中包含3臺(tái)設(shè)備，分別是行為管理、入侵檢測(cè)和漏洞掃描。1、行為管理設(shè)備1、部署位置為了保證有效的檢測(cè)和感知用戶行為并阻斷非法數(shù)據(jù)，行為管理設(shè)備應(yīng)部署 在核心交換機(jī)與出口網(wǎng)關(guān)中間，如下圖所示：拓?fù)鋱D2、設(shè)備選型建議由于設(shè)備部署在整網(wǎng)的出口區(qū)域，除了滿足等保所要求的功能，對(duì)性能也有 一定的要求，設(shè)備的交換能力和轉(zhuǎn)發(fā)能力必須滿足上聯(lián)兩條出口鏈路總帶寬的兩 倍以上。可對(duì)數(shù)據(jù)進(jìn)行2-7層的全面檢查和分析，深度識(shí)別、管控和審計(jì)數(shù)百種 IM聊天軟件、P2P下載軟件、炒股軟件、網(wǎng)絡(luò)游戲應(yīng)用、流媒體在線視頻應(yīng)用等 常見(jiàn)應(yīng)用，并利用智能流控、智能阻斷、智能路由、智能