網(wǎng)絡(luò)安全建設(shè)方案

1、網(wǎng)絡(luò)安全建設(shè)方案2016年7月TOC o 1-5 h z HYPERLINK l bookmark0 前言3方案涉及范圍3方案參考標(biāo)準(zhǔn)3方案設(shè)計原則4安全需求分析5符合等級保護的安全需求6 HYPERLINK l bookmark4 等級保護框架設(shè)計6 HYPERLINK l bookmark6 相應(yīng)等級的安全技術(shù)要求6自身安全防護的安全需求7 HYPERLINK l bookmark10 物理層安全需求7 HYPERLINK l bookmark12 網(wǎng)絡(luò)層安全需求7 HYPERLINK l bookmark14 系統(tǒng)層安全需求9 HYPERLINK l bookmark16 應(yīng)用層安全需求

2、9 HYPERLINK l bookmark18 網(wǎng)絡(luò)安全建設(shè)內(nèi)容10邊界隔離措施11 HYPERLINK l bookmark20 下一代防火墻11 HYPERLINK l bookmark22 入侵防御系統(tǒng)13 HYPERLINK l bookmark24 流量控制系統(tǒng)14 HYPERLINK l bookmark26 流量清洗系統(tǒng)15應(yīng)用安全措施16 HYPERLINK l bookmark28 WEB應(yīng)用防火墻16 HYPERLINK l bookmark30 上網(wǎng)行為管理系統(tǒng)16 HYPERLINK l bookmark32 內(nèi)網(wǎng)安全準(zhǔn)入控制系統(tǒng)17安全運維措施18 HYPERLIN

3、K l bookmark34 堡壘機18 HYPERLINK l bookmark37 漏洞掃描系統(tǒng)19 HYPERLINK l bookmark39 網(wǎng)站監(jiān)控預(yù)警平臺19 HYPERLINK l bookmark41 網(wǎng)絡(luò)防病毒系統(tǒng)21 HYPERLINK l bookmark43 網(wǎng)絡(luò)審計系統(tǒng)22第第 頁共22頁云部署方式云她嬲機忸能日U分所話行EFP跟勢的云地界m47云部署方式云她嬲機忸能日U分所話行EFP跟勢的云地界m47漏洞掃描系統(tǒng)在內(nèi)網(wǎng)服務(wù)器區(qū)部署一臺漏洞掃描系統(tǒng)。其主要用于分析和指出有關(guān)網(wǎng)絡(luò)的安全漏洞及被測系統(tǒng)的薄弱環(huán)節(jié)，給出詳細(xì)的檢測報告，并針對檢測到的網(wǎng)絡(luò)安全隱患給出相應(yīng)的修

4、補措施和安全建議。漏洞掃描系統(tǒng)通過模擬黑客的進(jìn)攻方法，對被檢系統(tǒng)進(jìn)行攻擊性的安全漏洞和隱患掃描，提交風(fēng)險評估報告，并提供相應(yīng)的整改措施。先于黑客發(fā)現(xiàn)并彌補漏洞，防患于未然。預(yù)防性的安全檢查最大限度地暴露了現(xiàn)存網(wǎng)絡(luò)系統(tǒng)中存在的安全隱患，配合行之有效的整改措施，可以將網(wǎng)絡(luò)系統(tǒng)的運行風(fēng)險降至最低。網(wǎng)站監(jiān)控預(yù)警平臺由于針對Web系統(tǒng)的網(wǎng)絡(luò)訪問控制措施被廣泛采用，且一般只開放HTTP等必要的服務(wù)端口，因此黑客已經(jīng)難以通過傳統(tǒng)網(wǎng)絡(luò)層攻擊方式（查找并攻擊操作系統(tǒng)漏洞、數(shù)據(jù)庫漏洞）攻擊網(wǎng)站。然而，Web應(yīng)用程序漏洞的存在更加普遍，隨著Web應(yīng)用技術(shù)的深入普及，Web應(yīng)用程序漏洞發(fā)掘和攻擊速度越來越塊，基于We

5、b漏洞的攻擊更容易被利用，已經(jīng)成為黑客首選。據(jù)統(tǒng)計，現(xiàn)在對網(wǎng)站成功的攻擊中，超過7成都是基于Web應(yīng)用層，而非網(wǎng)絡(luò)層。前不久OWASP(OpenWebApplicationSecurityProject)機構(gòu)發(fā)布了最新的OWASPTop10ApplicationSecurityRisks，SQL注入和XSS攻擊(CrossSiteScripting,跨站腳本攻擊)仍舊排名前兩位，是目前存在最為普遍、利用最為廣泛、造成危害最為嚴(yán)重的兩類Web威脅、。Web應(yīng)用與云計算技術(shù)具有天然的聯(lián)姻關(guān)系。基于SaaS(軟件即服務(wù))的云計算技術(shù)模型，對Web安全監(jiān)控系統(tǒng)提出好的解決思路。網(wǎng)站監(jiān)控預(yù)警平臺與IDC

6、合作，搭建Web安全監(jiān)測系統(tǒng)，對用戶提供基于云計算(SaaS)模型的Web安全監(jiān)測服務(wù)?？商峁?X24小時的實時網(wǎng)站安全監(jiān)測服務(wù)。一旦發(fā)現(xiàn)您的網(wǎng)站存在風(fēng)險狀況,安全團隊會第一時間通知您，并提供專業(yè)的安全解決建議。同時，基于SaaS的Web安全監(jiān)測系統(tǒng)結(jié)合公司安全專家團隊為用戶定期提供網(wǎng)站系統(tǒng)評估報告，及時、有效地掌握網(wǎng)站的風(fēng)險狀況及安全趨勢，從而提供穩(wěn)定、安全的Web應(yīng)用環(huán)境。簡單A有效低投入X實時局頻率監(jiān)側(cè)周期酰測報告網(wǎng)站安全監(jiān)測服務(wù)網(wǎng)頁S改11:訪問半槎反:周期橫直網(wǎng)強主馬期I簡單A有效低投入X實時局頻率監(jiān)側(cè)周期酰測報告網(wǎng)站安全監(jiān)測服務(wù)網(wǎng)頁S改11:訪問半槎反:周期橫直網(wǎng)強主馬期I感內(nèi)容7

7、24小時隘控正常用戶網(wǎng)站漏洞掃貓域名岳也網(wǎng)站掛馬監(jiān)猊網(wǎng)頁篡改監(jiān)楣被鐫內(nèi)容監(jiān)測可用性癥淵正常用戶實時攻擊防護5QL注入跨站腳本Cockim曼改鹿蟲、盜鏈狀態(tài)珥偽裝蜂3.防護實時攻擊防護網(wǎng)站安全整平臺網(wǎng)站文件受到非法基改時進(jìn)疔網(wǎng)斷或恢復(fù)，并報警網(wǎng)絡(luò)防病毒系統(tǒng)網(wǎng)站安全整平臺網(wǎng)站文件受到非法基改時進(jìn)疔網(wǎng)斷或恢復(fù)，并報警防病毒系統(tǒng)不僅是檢測和清除病毒，還應(yīng)加強對病毒的防護工作，在網(wǎng)絡(luò)中不僅要部署被動防御體系（防病毒系統(tǒng)）還要采用主動防御機制（防火墻、安全策略、漏洞修復(fù)等），將病毒隔離在網(wǎng)絡(luò)大門之外。通過管理控制臺統(tǒng)一部署防病毒系統(tǒng)，保證不出現(xiàn)防病毒漏洞。因此，遠(yuǎn)程安裝、集中管理、統(tǒng)一防病毒策略成為企業(yè)級

8、防病毒產(chǎn)品的重要需求。在跨區(qū)域的廣域網(wǎng)內(nèi)，要保證整個廣域網(wǎng)安全無毒，首先要保證每一個局域網(wǎng)的安全無毒。也就是說，一個局域網(wǎng)的防病毒系統(tǒng)是建立在每個局域網(wǎng)的防病毒系統(tǒng)上的。應(yīng)該根據(jù)每個局域網(wǎng)的防病毒要求，建立局域網(wǎng)防病毒控制系統(tǒng)，分別設(shè)置有針對性的防病毒策略。從總部到分支機構(gòu)，由上到下，各個局域網(wǎng)的防病毒系統(tǒng)相結(jié)合，最終形成一個立體的、完整的病毒防護體系。惡意軟性用惡意軟性用戶選擇網(wǎng)絡(luò)審計系統(tǒng)網(wǎng)絡(luò)審計系統(tǒng)以旁路的方式部署在網(wǎng)絡(luò)中，不影響網(wǎng)絡(luò)的性能，具有即時的網(wǎng)絡(luò)數(shù)據(jù)采集能力、強大的審計分析功能以及智能的信息處理能力。通過使用該系統(tǒng)，可以實現(xiàn)如下目標(biāo)：對用戶的網(wǎng)絡(luò)行為監(jiān)控、網(wǎng)絡(luò)傳輸內(nèi)容進(jìn)行審計（如員工是否在工作時間上網(wǎng)沖浪、網(wǎng)上聊天、