網(wǎng)絡安全建設方案

1、網(wǎng)絡安全建設方案2016年7月TOC o 1-5 h z HYPERLINK l bookmark0 o Current Document 1.前言3 HYPERLINK l bookmark2 o Current Document 1.1.方案涉及范圍3 HYPERLINK l bookmark4 o Current Document 1.2.方案參考標準3 HYPERLINK l bookmark6 o Current Document 1.3.方案設計原則4 HYPERLINK l bookmark22 o Current Document 2.安全需求分析5 HYPERLINK l b

2、ookmark24 o Current Document 2.1.符合等級保護的安全需求6 HYPERLINK l bookmark26 o Current Document 2.1.1.等級保護框架設計6 HYPERLINK l bookmark28 o Current Document 2.1.2.相應等級的安全技術要求6 HYPERLINK l bookmark30 o Current Document 2.2.自身安全防護的安全需求7 HYPERLINK l bookmark32 o Current Document 2.2.1.物理層安全需求7 HYPERLINK l bookmar

3、k34 o Current Document 2.2.2.網(wǎng)絡層安全需求7 HYPERLINK l bookmark38 o Current Document 2.2.3.系統(tǒng)層安全需求9 HYPERLINK l bookmark44 o Current Document 2.2.4.應用層安全需求9 HYPERLINK l bookmark54 o Current Document 3.網(wǎng)絡安全建設內(nèi)容10 HYPERLINK l bookmark62 o Current Document 3.1.邊界隔離措施11 HYPERLINK l bookmark64 o Current Docum

4、ent 3.1.1.下一代防火墻113.1.2.入侵防御系統(tǒng)13 HYPERLINK l bookmark68 o Current Document 3.1.3.流量控制系統(tǒng)14 HYPERLINK l bookmark70 o Current Document 3.1.4.流量清洗系統(tǒng)15 HYPERLINK l bookmark72 o Current Document 3.2.應用安全措施16 HYPERLINK l bookmark74 o Current Document 3.2.1.WEB應用防火墻16 HYPERLINK l bookmark76 o Current Docume

5、nt 3.2.2.上網(wǎng)行為管理系統(tǒng)16 HYPERLINK l bookmark78 o Current Document 3.2.3.內(nèi)網(wǎng)安全準入控制系統(tǒng)17 HYPERLINK l bookmark80 o Current Document 3.3.安全運維措施18 HYPERLINK l bookmark82 o Current Document 3.3.1.堡壘機18 HYPERLINK l bookmark84 o Current Document 3.3.2.漏洞掃描系統(tǒng)19 HYPERLINK l bookmark86 o Current Document 3.3.3.網(wǎng)站監(jiān)控預

6、警平臺19 HYPERLINK l bookmark88 o Current Document 3.3.4.網(wǎng)絡防病毒系統(tǒng)21 HYPERLINK l bookmark90 o Current Document 3.3.5.網(wǎng)絡審計系統(tǒng)22第第 頁共23頁網(wǎng)站成功的攻擊中，超過7成都是基于Web應用層，而非網(wǎng)絡層。前不久OWASP（OpenWebApplicationSecurityProject）機構(gòu)發(fā)布了最新的0WASPTop10ApplicationSecurityRisks，SQL注入和XSS攻擊（CrossSiteScripting，跨站腳本攻擊）仍舊排名前兩位，是目前存在最為普遍、

7、利用最為廣泛、造成危害最為嚴重的兩類Web威脅。Web應用與云計算技術具有天然的聯(lián)姻關系。基于SaaS（軟件即服務）的云計算技術模型，對Web安全監(jiān)控系統(tǒng)提出好的解決思路。網(wǎng)站監(jiān)控預警平臺與IDC合作，搭建Web安全監(jiān)測系統(tǒng)，對用戶提供基于云計算（SaaS）模型的Web安全監(jiān)測服務。可提供7X24小時的實時網(wǎng)站安全監(jiān)測服務。一旦發(fā)現(xiàn)您的網(wǎng)站存在風險狀況，安全團隊會第一時間通知您，并提供專業(yè)的安全解決建議。同時，基于SaaS的Web安全監(jiān)測系統(tǒng)結(jié)合公司安全專家團隊為用戶定期提供網(wǎng)站系統(tǒng)評估報告，及時、有效地掌握網(wǎng)站的風險狀況及安全趨勢，從而提供穩(wěn)定、安全的Web應用環(huán)境。網(wǎng)站實全監(jiān)測服務局頻率監(jiān)

8、測網(wǎng)頁怠改“f網(wǎng)頁掛咕周期惓査網(wǎng)站實全監(jiān)測服務局頻率監(jiān)測網(wǎng)頁怠改“f網(wǎng)頁掛咕周期惓査網(wǎng)站漏涓掃韋網(wǎng)站掛馬監(jiān)測網(wǎng)頁篡改監(jiān)測敢感內(nèi)容監(jiān)辺SQL注入跨站國本Cooki改昭蟲、誨鏈我態(tài)艮偽裝喚3網(wǎng)站漏涓掃韋網(wǎng)站掛馬監(jiān)測網(wǎng)頁篡改監(jiān)測敢感內(nèi)容監(jiān)辺SQL注入跨站國本Cooki改昭蟲、誨鏈我態(tài)艮偽裝喚3防護實時玫擊前護并報警3.3.4.網(wǎng)絡防病毒系統(tǒng)防病毒系統(tǒng)不僅是檢測和清除病毒，還應加強對病毒的防護工作，在網(wǎng)絡中不僅要部署被動防御體系（防病毒系統(tǒng)）還要采用主動防御機制（防火墻、安全策略、漏洞修復等），將病毒隔離在網(wǎng)絡大門之外。通過管理控制臺統(tǒng)一部署防病毒系統(tǒng)，保證不出現(xiàn)防病毒漏洞。因此，遠程安裝、集中管理、

9、統(tǒng)一防病毒策略成為企業(yè)級防病毒產(chǎn)品的重要需求。在跨區(qū)域的廣域網(wǎng)內(nèi)，要保證整個廣域網(wǎng)安全無毒，首先要保證每一個局域網(wǎng)的安全無毒。也就是說，一個局域網(wǎng)的防病毒系統(tǒng)是建立在每個局域網(wǎng)的防病毒系統(tǒng)上的。應該根據(jù)每個局域網(wǎng)的防病毒要求，建立局域網(wǎng)防病毒控制系統(tǒng)，分別設置有針對性的防病毒策略。從總部到分支機構(gòu)，由上到下，各個局域網(wǎng)的防病毒系統(tǒng)相結(jié)合，最終形成一個立體的、完整的病毒防護體系。網(wǎng)絡審計系統(tǒng)網(wǎng)絡審計系統(tǒng)以旁路的方式部署在網(wǎng)絡中，不影響網(wǎng)絡的性能，具有即時的網(wǎng)絡數(shù)據(jù)采集能力、強大的審計分析功能以及智能的信息處理能力。通過使用該系統(tǒng)，可以實現(xiàn)如下目標：對用戶的網(wǎng)絡行為監(jiān)控、網(wǎng)絡傳輸內(nèi)容進行審計（如員工是否在工作時間上網(wǎng)沖