網(wǎng)絡(luò)安全建設(shè)方案

網(wǎng)絡(luò)安全建設(shè)方案2016年7月TOC\o"1-5"\h\z\o"CurrentDocument"前言 31。1。方案涉及范圍 31。2。方案參考標(biāo)準(zhǔn) 3\o"CurrentDocument"1。 3。方案設(shè)計原則 4\o"CurrentDocument"安全需求分析 5\o"CurrentDocument"2。 1.符合等級保護(hù)的安全需求 6\o"CurrentDocument"2.1。 1。等級保護(hù)框架設(shè)計 6\o"CurrentDocument"2.1。 2。相應(yīng)等級的安全技術(shù)要求 6\o"CurrentDocument"2。 2。自身安全防護(hù)的安全需求 72。 2。1。物理層安全需求 7\o"CurrentDocument"2.2.2。 網(wǎng)絡(luò)層安全需求 7系統(tǒng)層安全需求 92.2。4。應(yīng)用層安全需求 9\o"CurrentDocument"網(wǎng)絡(luò)安全建設(shè)內(nèi)容 103。 1。邊界隔離措施 113。 1。1。下一代防火墻 11\o"CurrentDocument"3.1。 2。入侵防御系統(tǒng) 12\o"CurrentDocument"3。1.3,流量控制系統(tǒng) 133。1。4,流量清洗系統(tǒng) 143。2。應(yīng)用安全措施 153。2。1。WEB應(yīng)用防火墻 15\o"CurrentDocument"3.2。 2.上網(wǎng)行為管理系統(tǒng) 15\o"CurrentDocument"3。2.3。內(nèi)網(wǎng)安全準(zhǔn)入控制系統(tǒng) 163.3.安全運維措施 17堡壘機(jī) 17\o"CurrentDocument"漏洞掃描系統(tǒng) 17\o"CurrentDocument"3。3.3。網(wǎng)站監(jiān)控預(yù)警平臺 18\o"CurrentDocument"3。3.4.網(wǎng)絡(luò)防病毒系統(tǒng) 18\o"CurrentDocument"3.3.5。網(wǎng)絡(luò)審計系統(tǒng) 19前言方案設(shè)計中的防護(hù)重點是學(xué)校中心機(jī)房的服務(wù)器區(qū)域，這些服務(wù)器承載了學(xué)校內(nèi)部的所有業(yè)務(wù)系統(tǒng)，因此是需要重點防護(hù)的信息資產(chǎn)。學(xué)校目前采取了數(shù)據(jù)大集中的模式，將所有的業(yè)務(wù)數(shù)據(jù)集中在中心機(jī)房，數(shù)據(jù)大集中模式將導(dǎo)致數(shù)據(jù)中心的安全風(fēng)險也很集中，因此必須對中心機(jī)房服務(wù)器區(qū)域進(jìn)行重點防護(hù).方案中還要對綜合網(wǎng)管區(qū)域、數(shù)據(jù)存儲區(qū)域、辦公區(qū)域進(jìn)行規(guī)劃和設(shè)計，納入到整體的安全防護(hù)體系內(nèi)。1.2.方案參考標(biāo)準(zhǔn)本方案的主要規(guī)劃的重點內(nèi)容是網(wǎng)絡(luò)安全防護(hù)體系，規(guī)劃的防護(hù)對象以學(xué)校數(shù)據(jù)中心為主,規(guī)劃的參考標(biāo)準(zhǔn)是等級保護(hù)，該方案的設(shè)計要點就是定級和保障技術(shù)的規(guī)劃，針對教育部和省教育廳對等級保護(hù)的相關(guān)要求，本方案將主要參考以下的標(biāo)準(zhǔn)進(jìn)行規(guī)劃：方案的建設(shè)思想方面，將嚴(yán)格按照湘教發(fā)[2011]33號文件關(guān)于印發(fā)《湖南省教育信息系統(tǒng)安全等級保護(hù)工作實施方案》的通知，該文件對計算機(jī)信息系統(tǒng)的等級化保護(hù)提出了建設(shè)要求,是我省今后一段時期內(nèi)信息安全保障工作的綱領(lǐng)性文件，文件中對我省教育行業(yè)信息安全保障工作指出了總體思路.系統(tǒng)定級方面:參考《信息系統(tǒng)安全等級保護(hù)定級指南》，該指南適用于黨政機(jī)關(guān)網(wǎng)絡(luò)于信息系統(tǒng)，其中涉及國家秘密的網(wǎng)絡(luò)與信息系統(tǒng)，按照國家有關(guān)保密規(guī)定執(zhí)行，其他網(wǎng)絡(luò)與信息系統(tǒng)定級工作參考本指南進(jìn)行，本指南對定級工作的原則、職責(zé)分工、工作程序、定級要素和方法進(jìn)行了描述，并對網(wǎng)絡(luò)與信息系統(tǒng)提出了最低安全等級要求，高等職業(yè)學(xué)校應(yīng)不低于最低安全等級要求.在本項目中我們建議學(xué)校數(shù)據(jù)中心可按照二級的建設(shè)目標(biāo)進(jìn)行規(guī)劃。本方案參考的指南和標(biāo)準(zhǔn)具體見下表：安全要素遵循標(biāo)準(zhǔn)指導(dǎo)思想中辦[2003]27號文件（《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》）等級保護(hù)《信息系統(tǒng)安全等級保護(hù)定級指南》《電子政務(wù)信息安全保障技術(shù)框架》技術(shù)方面GB18336信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求（試用稿）方案設(shè)計原則學(xué)校數(shù)據(jù)中心安全體系的建設(shè)應(yīng)遵循國家相關(guān)信息安全保障體系建設(shè)的總體原則，按照統(tǒng)一規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)、適度超前；分級、分階段實施；互聯(lián)互通、資源共享、安全保密；以需求為導(dǎo)向、以應(yīng)用促發(fā)展的原則進(jìn)行建設(shè)，本方案將嚴(yán)格遵從以下的建設(shè)原則：重點保護(hù)原則本次項目建設(shè)，屬于學(xué)校信息安全保障體系的基礎(chǔ)防護(hù)平臺建設(shè)階段，以基礎(chǔ)性保障為準(zhǔn)，同時對中心機(jī)房進(jìn)行重點防護(hù)，根據(jù)《信息系統(tǒng)安全等級保護(hù)定級指南》，本方案針對重要的核心部位嚴(yán)格按照二級要求進(jìn)行規(guī)劃,確保重要的信息資產(chǎn)能夠得到重點的防護(hù)，具備相當(dāng)?shù)目构裟芰Γ环植紝嵤┰瓌t數(shù)據(jù)中心建設(shè)的效果將直接影響學(xué)校的信息化建設(shè)，特別是安全保障體系的建設(shè)，因此在規(guī)劃階段必須通盤考慮，實施的時候可按照階段進(jìn)行分布實施，確保學(xué)校信息化建設(shè)，以及安全保障體系的建設(shè)能夠有序開展，并且前期的工作能夠為后期的建設(shè)打好基礎(chǔ)，避免重復(fù)建設(shè)；管理與技術(shù)并進(jìn)的原則學(xué)校數(shù)據(jù)中心是一個高技術(shù)的系統(tǒng)工程，要實現(xiàn)各業(yè)務(wù)系統(tǒng)的功能和性能，又要采取先進(jìn)的安全技術(shù)，還要對已建立的系統(tǒng)實施有效的安全管理，在進(jìn)行安全技術(shù)基礎(chǔ)設(shè)施建設(shè)時應(yīng)注意建立配套的運行管理機(jī)制和安全規(guī)章制度。經(jīng)濟(jì)實用性原則對學(xué)校數(shù)據(jù)中心安全體系設(shè)計時，既要考慮安全風(fēng)險和需求，又要考慮系統(tǒng)建設(shè)的成本，在保證整體安全的前提下，盡可能的減少投資規(guī)模，壓縮開支.優(yōu)化系統(tǒng)設(shè)計，合理進(jìn)行系統(tǒng)配置，所采用的產(chǎn)品，要便于操作、實用高效。標(biāo)準(zhǔn)化原則技術(shù)的標(biāo)準(zhǔn)化是信息系統(tǒng)建設(shè)的基本要求，也是電子化和信息化的前提。學(xué)校數(shù)據(jù)中心構(gòu)成復(fù)雜、應(yīng)用多種多樣，為了保證信息的安全互通互連，確保安全保障體系建設(shè)的典型意義和全面推廣應(yīng)用價值，必須嚴(yán)格遵循國家和有關(guān)部門關(guān)于信息系統(tǒng)安全管理的規(guī)定及建設(shè)規(guī)范，按照統(tǒng)一的標(biāo)準(zhǔn)進(jìn)行設(shè)計。適度安全原則任何信息系統(tǒng)都不能做到絕對的安全，學(xué)校數(shù)據(jù)中心也不例外。因此，在安全體系設(shè)計時，要在安全需求、安全風(fēng)險和安全成本之間進(jìn)行平衡和折中，過多的安全要求必將造成安全成本的迅速增加和運行的復(fù)雜性.統(tǒng)一規(guī)劃原則信息安全保障體系的建設(shè)必須適應(yīng)其信息化的要求，必須兼顧核心業(yè)務(wù)和非核心業(yè)務(wù)的信息化需求，從安全技術(shù)保障、安全組織保障和安全運營保障等角度出發(fā)，為學(xué)校規(guī)劃全面的信息安全保障體系。安全需求分析從安全建設(shè)的角度，本方案認(rèn)為學(xué)校的安全建設(shè)來自兩個方面，一是從符合國家政策的角度，需要按照公安部的相關(guān)標(biāo)準(zhǔn)，按照分級、分域的建設(shè)思路，進(jìn)行總體的安全規(guī)劃和設(shè)計;另外也需要從自身安全防護(hù)的角度，分析對抗外部惡意攻擊、防范內(nèi)部誤操作行為、規(guī)避物理安全風(fēng)險、強(qiáng)化安全管理等方面的建設(shè)需求。具體內(nèi)容如下：21.符合等級保護(hù)的安全需求等級保護(hù)框架設(shè)計本方案中，針對學(xué)校數(shù)據(jù)中心，按照功能類型的方式進(jìn)行區(qū)域的劃分，根據(jù)信息資產(chǎn)重要性的差別，劃分為服務(wù)器區(qū)域、辦公區(qū)域、運維區(qū)域、數(shù)據(jù)存儲區(qū)域等；各區(qū)域內(nèi)設(shè)備類型的差別，以及對業(yè)務(wù)應(yīng)用影響的區(qū)別，導(dǎo)致各個區(qū)域應(yīng)該采用不同的安全防護(hù)要求.其中，服務(wù)器區(qū)域內(nèi)主要是各類應(yīng)用服務(wù)器，包括數(shù)據(jù)庫服務(wù)器、各類業(yè)務(wù)系統(tǒng)等，該區(qū)域是數(shù)據(jù)中心最重要的信息資產(chǎn)，必須重點進(jìn)行防護(hù)。運維區(qū)域內(nèi)主要是目前已經(jīng)采用的網(wǎng)絡(luò)管理軟件，包括運行網(wǎng)管軟件的服務(wù)器和數(shù)據(jù)庫系統(tǒng)，在本期項目建設(shè)中，還可以將一些軟件的安全防護(hù)系統(tǒng)部署在該區(qū)域內(nèi)，比如堡壘機(jī)、漏洞掃描系統(tǒng)等，其重要性僅次于服務(wù)器區(qū)域.數(shù)據(jù)存儲區(qū)域則是方案建議規(guī)劃出的一個區(qū)域，作為綜合網(wǎng)管區(qū)域的本地數(shù)據(jù)災(zāi)備中心，該區(qū)域主要部署了磁盤柜等存儲設(shè)備，由于在物理上該區(qū)域與服務(wù)器區(qū)域緊密相連，因此其重要性也是比較高的；辦公區(qū)域:包括學(xué)校的辦公人員的桌面用機(jī)，該區(qū)域的設(shè)備遭到破壞后，對業(yè)務(wù)系統(tǒng)不會造成大面積的影響，因此重要性最低，但是該區(qū)域要做好防病毒、補(bǔ)丁管理、行為管理等方面,要防止該區(qū)域的設(shè)備被攻擊者利用，作為進(jìn)一步攻擊其他區(qū)域的“跳板”；相應(yīng)等級的安全技術(shù)要求綜合參考《信息系統(tǒng)安全等級保護(hù)定級指南》，我們可將學(xué)校網(wǎng)絡(luò)和信息系統(tǒng)劃分為網(wǎng)絡(luò)基礎(chǔ)設(shè)施、業(yè)務(wù)處理平臺和應(yīng)用系統(tǒng)三個層次，其中，業(yè)務(wù)處理平臺包括了本地計算區(qū)域和區(qū)域邊界.對服務(wù)器區(qū)域的安全防護(hù)機(jī)制按照二級的要求進(jìn)行建設(shè)，對應(yīng)用系統(tǒng)的安全防護(hù)機(jī)制按照二級的要求進(jìn)行建設(shè)，其他區(qū)域可參考此標(biāo)準(zhǔn)，根據(jù)自身重要性的區(qū)別，適當(dāng)調(diào)整技術(shù)要求。2?2.自身安全防護(hù)的安全需求從自身安全防護(hù)的角度，我們認(rèn)為學(xué)校數(shù)據(jù)中心除了滿足相關(guān)標(biāo)準(zhǔn)以外，還需要考慮物理、終端、邊界、網(wǎng)絡(luò)、系統(tǒng)和管理方面的安全風(fēng)險，并由此產(chǎn)生了以下的安全需求。物理層安全需求保證網(wǎng)絡(luò)信息系統(tǒng)各種設(shè)備的物理安全是保證整個網(wǎng)絡(luò)信息系統(tǒng)安全的基礎(chǔ)。物理安全是保護(hù)計算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其他介質(zhì)免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯誤及各種計算機(jī)犯罪行為導(dǎo)致的破壞過程.它主要包括三個方面：環(huán)境安全：對系統(tǒng)所在環(huán)境的安全保護(hù)，如區(qū)域保護(hù)和災(zāi)難保護(hù)；（參見國家標(biāo)準(zhǔn)GB50173-93《電子計算機(jī)機(jī)房設(shè)計規(guī)范》、國標(biāo)GB2887—89《計算站場地技術(shù)條件》、GB9361-88《計算站場地安全要求》；設(shè)備安全：主要包括設(shè)備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護(hù)等；介質(zhì)安全：包括信息系統(tǒng)數(shù)據(jù)所依賴的存儲介質(zhì)和傳輸介質(zhì)的安全，確保不會因為物理介質(zhì)的故障導(dǎo)致信息數(shù)據(jù)受損；網(wǎng)絡(luò)層安全需求網(wǎng)絡(luò)是信息系統(tǒng)賴以存在的實體，離開了網(wǎng)絡(luò)平臺，信息的傳遞、業(yè)務(wù)的開展將無從依托，因此如何保障網(wǎng)絡(luò)的安全，是構(gòu)建學(xué)校數(shù)據(jù)中心系統(tǒng)安全架構(gòu)的基礎(chǔ)性工作，對于數(shù)據(jù)中心來講，網(wǎng)絡(luò)安全主要解決運行環(huán)境的安全問題，對應(yīng)網(wǎng)絡(luò)層安全威脅，網(wǎng)絡(luò)安全主要的技術(shù)手段包括訪問控制技術(shù)、加密傳輸技術(shù)、檢測與響應(yīng)技術(shù)等，對照學(xué)校數(shù)據(jù)中心的實際情況，我們看到其存在以下的安全需求：訪問控制需求|?防范非法用戶的非法訪問非法用戶的非法訪問也就是黑客或間諜的攻擊行為.在沒有任何防范措施的情況下，網(wǎng)絡(luò)的安全主要是靠主機(jī)系統(tǒng)自身的安全，如用戶名及口令字這些簡單的控制。但對于用戶名及口令的保護(hù)方式，對有攻擊目的的人而言，根本就不是一種障礙。他們可以通過對網(wǎng)絡(luò)上信息的監(jiān)聽，得到用戶名及口令或者通過猜測用戶及口令，這都將不是難事，而且可以說只要花費很少的時間。因此，要采取一定的訪問控制手段，防范來自非法用戶的攻擊，嚴(yán)格控制只有合法用戶才能訪問合法資源.?防范合法用戶的非授權(quán)訪問合法用戶的非授權(quán)訪問是指合法用戶在沒有得到許可的情況下訪問了他本不該訪問的資源。一般來說，每個成員的主機(jī)系統(tǒng)中，有一部份信息是可以對外開放，而有些信息是要求保密或具有一定的隱私性。外部用戶（指來自外部網(wǎng)絡(luò)的合法用戶）被允許正常訪問的一定的信息，但他同時通過一些手段越權(quán)訪問了別人不允許他訪問的信息,因此而造成他人的信息泄密.所以，還得加密訪問控制的機(jī)制，對服務(wù)及訪問權(quán)限進(jìn)行嚴(yán)格控制。?防范假冒合法用戶的非法訪問從管理上及實際需求上是要求合法用戶可正常訪問被許可的資源。既然合法用戶可以訪問資源。那么，入侵者便會在用戶下班或關(guān)機(jī)的情況下，假冒合法用戶的IP地址或用戶名等資源進(jìn)行非法訪問。因此，必需從訪問控制上做到防止假冒而進(jìn)行的非法訪問。入侵防御需求防火墻是實現(xiàn)網(wǎng)絡(luò)安全最基本、最經(jīng)濟(jì)、最有效的措施之一。防火墻可以對所有的訪問進(jìn)行嚴(yán)格控制（允許、禁止、報警）。但網(wǎng)絡(luò)配置了防火墻卻不一定安全,防火墻不可能完全防止有些新的攻擊或那些不經(jīng)過防火墻的其它攻擊。因為網(wǎng)絡(luò)安全是整體的，動態(tài)的，不是單一產(chǎn)品能夠完全實現(xiàn),所以確保網(wǎng)絡(luò)更加安全必須配備入侵檢測和響應(yīng)系統(tǒng)，對透過防火墻的攻擊進(jìn)行檢測并做相應(yīng)反應(yīng)（記錄、報警、阻斷）.2.2.3.系統(tǒng)層安全需求安全漏洞檢測和修補(bǔ)需求網(wǎng)絡(luò)系統(tǒng)存在安全漏洞（如安全配置不嚴(yán)密等）和操作系統(tǒng)安全漏洞等是黑客等入侵者攻擊屢屢得手的重要因素.入侵者通常都是通過一些程序來探測網(wǎng)絡(luò)中系統(tǒng)中存在的一些安全漏洞，然后通過發(fā)現(xiàn)的安全漏洞，采取相就技術(shù)進(jìn)行攻擊，因此，必需配備網(wǎng)絡(luò)安全掃描系統(tǒng)和系統(tǒng)安全掃描系統(tǒng)檢測網(wǎng)絡(luò)中存在的安全漏洞，并采用相應(yīng)的措施填補(bǔ)系統(tǒng)漏洞，對網(wǎng)絡(luò)設(shè)備等存在的不安全配置重新進(jìn)行安全配置。安全加固需求對關(guān)鍵的服務(wù)器主機(jī)系統(tǒng)進(jìn)行安全加固,提供用戶認(rèn)證、訪問控制和審計，嚴(yán)格控制用戶對服務(wù)器系統(tǒng)的訪問，禁止黑客利用系統(tǒng)的開口隱患和安全管理功能的不足之處進(jìn)行非法訪問，避免內(nèi)部用戶的濫用。2.2.4.應(yīng)用層安全需求防病毒需求針對防病毒危害性極大并且傳播極為迅速的特點，必須配備涵蓋客戶端、服務(wù)器、郵件系統(tǒng)、互聯(lián)網(wǎng)網(wǎng)關(guān)的整套防病毒體系，實現(xiàn)全網(wǎng)的病毒安全防護(hù)，徹底切斷病毒繁殖和傳播的途徑。防垃圾郵件需求必須采用有效的手段防范互聯(lián)網(wǎng)垃圾郵件進(jìn)入網(wǎng)絡(luò)內(nèi)部郵件服務(wù)器系統(tǒng)，干擾正常業(yè)務(wù)通信。身份認(rèn)證需求必須采用必要的用戶身份認(rèn)證和授權(quán)管理機(jī)制，對網(wǎng)絡(luò)用戶身份的真實性、合法性進(jìn)行集中的控制。數(shù)據(jù)安全需求對重要的業(yè)務(wù)數(shù)據(jù)和管理數(shù)據(jù)應(yīng)提供可靠的備份和恢復(fù)機(jī)制，防止因非法攻擊或意外事件造成數(shù)據(jù)的破壞或丟失；網(wǎng)絡(luò)安全建設(shè)內(nèi)容建議在本期項目的建設(shè)中，重點從網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全、管理安全的角度出發(fā)，進(jìn)行建設(shè)，同時在本期項目成功建設(shè)的基礎(chǔ)上，再進(jìn)一步向物理安全、組織體系、運行體系方面進(jìn)行擴(kuò)展，實現(xiàn)全面的安全策略。具體的實施方案可參考下圖表示：圖3.1學(xué)校網(wǎng)絡(luò)安全拓?fù)涫疽鈭D在本方案中，在互聯(lián)網(wǎng)接入邊界處部署防火墻系統(tǒng)，形成層次化的訪問控制和區(qū)域隔離.特別針對服務(wù)器區(qū)域，利用安全邊界接入平臺技術(shù)加強(qiáng)訪問控制力度，有效保障重要的應(yīng)用系統(tǒng)不受到非法的訪問。此外，在服務(wù)器接入邊界處部署入侵防御系統(tǒng)，一方面有效抵抗拒絕服務(wù)、掃描、惡意代碼、木馬、蠕蟲等網(wǎng)絡(luò)攻擊行為，降低來自互聯(lián)網(wǎng)和校園內(nèi)部的威脅與風(fēng)險.在防火墻邊界隔離的基礎(chǔ)上，部署入侵防御系統(tǒng)可以進(jìn)行深度的檢測與防護(hù)，提升系統(tǒng)的檢測力度。同時,還在互聯(lián)網(wǎng)接入邊界處部署流量控制系統(tǒng)，根據(jù)應(yīng)用和用戶進(jìn)行帶寬的分配與監(jiān)控。在WEB網(wǎng)站前端部署一臺WEB應(yīng)用防火墻，防范來自互聯(lián)網(wǎng)對WEB網(wǎng)站的攻擊行為。在互聯(lián)網(wǎng)接入邊界處部署上網(wǎng)行為管理系統(tǒng)，規(guī)范辦公區(qū)人員的互聯(lián)網(wǎng)行為，保障核心業(yè)務(wù)系統(tǒng)的流量帶寬。同時，還在互聯(lián)網(wǎng)接入邊界處部署流量清洗系統(tǒng)，對網(wǎng)絡(luò)中的異常流量進(jìn)行分析和清洗，保障有限帶寬的合理化利用。在內(nèi)網(wǎng)署一套安全準(zhǔn)入控制系統(tǒng)，加強(qiáng)網(wǎng)絡(luò)安全管理及內(nèi)部PC的安全管理。部署堡壘機(jī)來對管理員和第三方維護(hù)人員進(jìn)行設(shè)備維護(hù)時進(jìn)行審計管理。部署漏洞掃描系統(tǒng)對全網(wǎng)的服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備和終端進(jìn)行檢測，發(fā)現(xiàn)網(wǎng)絡(luò)中存在的安全漏洞，并采用相應(yīng)的措施填補(bǔ)系統(tǒng)漏洞。參考圖3.1,針對學(xué)校數(shù)據(jù)中心，采取的主要防護(hù)措施包括：邊界隔離措施下一代防火墻防火墻是近年發(fā)展起來的重要安全技術(shù)，其主要作用是在網(wǎng)絡(luò)入口點檢查網(wǎng)絡(luò)通信，根據(jù)用戶設(shè)定的安全規(guī)則，在保護(hù)內(nèi)部網(wǎng)絡(luò)安全的前提下，提供內(nèi)外網(wǎng)絡(luò)通信，起到安全域劃分、訪問控制、NAT轉(zhuǎn)換和殺毒、漏洞檢測等防護(hù)的作用，同時該防火墻還作為VPN網(wǎng)關(guān)為移動辦公BYOD人員提供遠(yuǎn)程安全連接.通過使用防火墻過濾不安全的服務(wù)，提高網(wǎng)絡(luò)安全和減少子網(wǎng)中主機(jī)的風(fēng)險，提供對系統(tǒng)的訪問控制;阻止攻擊者獲得攻擊網(wǎng)絡(luò)系統(tǒng)的有用信息，記錄和統(tǒng)計網(wǎng)絡(luò)利用數(shù)據(jù)以及非法使用數(shù)據(jù)、攻擊和探測策略執(zhí)行。防火墻屬于一種被動的安全防御工具。設(shè)立防火墻的目的是保護(hù)一個網(wǎng)絡(luò)不受來自另一個網(wǎng)絡(luò)的攻擊，防火墻的主要功能包括以下幾個方面：防火墻提供安全邊界控制的基本屏障。設(shè)置防火墻可提高內(nèi)部網(wǎng)絡(luò)安全性，降低受攻擊的風(fēng)險；防火墻體現(xiàn)網(wǎng)絡(luò)安全策略的具體實施。防火墻集成所有安全軟件（如口令、加密、認(rèn)證、審計等），比分散管理更經(jīng)濟(jì)；防火墻強(qiáng)化安全認(rèn)證和監(jiān)控審計.因為所有進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流都必須通過防火墻，防火墻也能提供日志記錄、統(tǒng)計數(shù)據(jù)、報警處理、審計跟蹤等服務(wù)；防火墻能阻止內(nèi)部信息泄漏。防火墻實際意義上也是一個隔離器，即能防外，又能防止內(nèi)部未經(jīng)授權(quán)用戶對外網(wǎng)的訪問.防火墻設(shè)備的部署，可實現(xiàn)以下功能：通過防火墻連接，隔離安全區(qū)域通過對訪問請求的審核，我們隔離了內(nèi)部網(wǎng)絡(luò)同外部網(wǎng)絡(luò)連接，可以達(dá)到保護(hù)脆弱的服務(wù)、控制對內(nèi)部的訪問、記錄和統(tǒng)計網(wǎng)絡(luò)利用數(shù)據(jù)以及非法使用數(shù)據(jù)和策略執(zhí)行等功能.在有不安全網(wǎng)絡(luò)接入時，全部通信都受到防火墻的監(jiān)控，通過防護(hù)墻的策略可以設(shè)置成相應(yīng)的保護(hù)級別，以保證系統(tǒng)的安全性。過濾網(wǎng)絡(luò)中不必要傳輸?shù)睦鴶?shù)據(jù)防火墻是一種網(wǎng)關(guān)型的設(shè)備，各個區(qū)域之間的通信，可以通過防火墻的添加，如果在其上添加一些策略，就可以過濾掉部分無用的信息，在網(wǎng)絡(luò)中只能傳輸必要的應(yīng)用數(shù)據(jù)。利用防火墻的帶寬控制功能,調(diào)整鏈路的帶寬利用防火墻是一種網(wǎng)關(guān)型的設(shè)備，而且防火墻具有帶寬控制的特性，可以依據(jù)應(yīng)用來限制流量，來調(diào)整鏈路的帶寬。實現(xiàn)每個用戶、服務(wù)器的帶寬控制，提高鏈路帶寬利用的效率。通過防火墻的保護(hù)，隱蔽內(nèi)部網(wǎng)絡(luò)信息，提高系統(tǒng)的安全性使得各個內(nèi)網(wǎng)區(qū)不受到黑客的攻擊，黑客無法通過防火墻進(jìn)行掃描、攻擊等非法動作?？煞乐购诳屯ㄟ^外部網(wǎng)對重要服務(wù)器的TCP/UDP的端口非法掃描，消除系統(tǒng)安全的隱患?？煞乐构粽咄ㄟ^外部網(wǎng)對重要服務(wù)器的源路由攻擊、IP碎片包攻擊、DNS/RIP/ICMP攻擊、SYN攻擊、拒絕服務(wù)等多種攻擊。防火墻還具有一定的入侵檢測功能，當(dāng)發(fā)現(xiàn)有繞過防火墻攻擊重要服務(wù)器時，防火墻將自動報警并根據(jù)策略進(jìn)行響應(yīng).強(qiáng)大的應(yīng)用層控制防火墻提供應(yīng)用級透明代理，可以對高層應(yīng)用（HTTP、FTP、SMTP、POP3、NNTP）做了更詳細(xì)控制，如HTTP命令（GET，POST，HEAD）及URL,FTP命令（GEI，PUT）及文件控制。這對于提高網(wǎng)絡(luò)中的應(yīng)用服務(wù)器的安全非常有意義.入侵防御系統(tǒng)剛才提到防火墻實現(xiàn)的是不同安全域之間的訪問控制和管理,而入侵防御系統(tǒng)實現(xiàn)的是對整個內(nèi)網(wǎng)的訪問控制、數(shù)據(jù)包深度過濾、漏洞攻擊防御、郵件病毒過濾、報文完整性分析等功能，并提供更高的性能、更細(xì)的安全控制粒度、更深的內(nèi)容攻擊防御、更大的功能擴(kuò)展空間、更豐富的服務(wù)和協(xié)議支持，為網(wǎng)絡(luò)提供完整的立體式網(wǎng)絡(luò)安全防護(hù)。入侵防御系統(tǒng)是在線部署在網(wǎng)絡(luò)中，提供主動的、實時的防護(hù)，具備對2到7層網(wǎng)絡(luò)的線速、深度檢測能力，同時配合以精心研究、及時更新的攻擊特征庫，即可以有效檢測并實時阻斷隱藏在海量網(wǎng)絡(luò)中的病毒、攻擊與濫用行為，也可以對分布在網(wǎng)絡(luò)中的各種流量進(jìn)行有效管理，從而達(dá)到對網(wǎng)絡(luò)架構(gòu)防護(hù)、網(wǎng)絡(luò)性能保護(hù)和核心應(yīng)用防護(hù)。流量控制系統(tǒng)隨著互聯(lián)網(wǎng)的逐步發(fā)展，網(wǎng)上用戶和業(yè)務(wù)流量在不斷增長，除傳統(tǒng)數(shù)據(jù)業(yè)務(wù)外，網(wǎng)絡(luò)電話、網(wǎng)絡(luò)視頻、P2P下載等新型網(wǎng)絡(luò)應(yīng)用使得骨干網(wǎng)絡(luò)中話音、視頻、點到點下載流量在呈幾何基數(shù)級膨脹趨勢。今天的互聯(lián)網(wǎng)用戶中，沒有聽說或使用過Skype、QQ、MSN、BT、Emule、PPLive等應(yīng)用的恐怕已經(jīng)是極少數(shù)。網(wǎng)絡(luò)應(yīng)用繁榮的同時,網(wǎng)絡(luò)管理的難度也隨之增加.傳統(tǒng)的網(wǎng)絡(luò)設(shè)備由于無法識別應(yīng)用層的流量信息,致使應(yīng)用級別的管控不到位，網(wǎng)絡(luò)管理的灰色地帶不斷增加.主要表現(xiàn)在：.網(wǎng)絡(luò)透明度降低:無法獲知網(wǎng)上的各種應(yīng)用及用戶準(zhǔn)確分布情況,無法針對不同用戶、不同應(yīng)用設(shè)置差異化的管理策略；.網(wǎng)絡(luò)資源濫用嚴(yán)重，難以進(jìn)行有效控制管理：如，觀看在線視頻（網(wǎng)絡(luò)電視、在線影視）、利用各種下載工具下載喜歡的音樂/影視等；致使網(wǎng)絡(luò)鏈路經(jīng)常處于流量飽和的狀態(tài)，無法滿足日益增長的應(yīng)用需求；.關(guān)鍵用戶、關(guān)鍵應(yīng)用的服務(wù)質(zhì)量難以得到有效保障：網(wǎng)絡(luò)應(yīng)用流量種類、數(shù)量不斷增多，無序化的競爭經(jīng)常導(dǎo)致關(guān)鍵用戶、關(guān)鍵應(yīng)用的服務(wù)體驗的降低；.網(wǎng)絡(luò)安全性降低:由于網(wǎng)絡(luò)的無序化管理，內(nèi)部人員對網(wǎng)絡(luò)應(yīng)用的濫用,大量蠕蟲病毒、DDOS攻擊趁虛而入，這些以消耗網(wǎng)絡(luò)資源為目的的流量類攻擊發(fā)展迅猛，卻沒有有效的防范、控制手段,造成網(wǎng)絡(luò)擁塞，甚至網(wǎng)絡(luò)癱瘓，為網(wǎng)絡(luò)安全帶來了重大的隱患；另外，現(xiàn)有網(wǎng)絡(luò)設(shè)備無法實現(xiàn)應(yīng)用級別管控還會給各類不同用戶帶來其它一些嚴(yán)重問題，例如：.對于企業(yè)網(wǎng)絡(luò)：用戶網(wǎng)絡(luò)行為監(jiān)管困難，既便制定了內(nèi)部網(wǎng)絡(luò)管理條例，員工的上網(wǎng)行為也難以進(jìn)行有效的管理。例如，在工作時間炒股票（大智慧、通花順、錢龍等）、玩網(wǎng)絡(luò)游戲（傳奇、魔獸、聯(lián)眾、反恐精英等）、用MSN、QQ等即時通訊工具進(jìn)行與工作無關(guān)的聊天等，這不僅會影響工作效率，也會給網(wǎng)絡(luò)管理帶來巨大隱患；對于電信運營商網(wǎng)絡(luò)：對應(yīng)用管控的缺失，造成非法VoIP、P2P應(yīng)用、在線視頻應(yīng)用的泛濫，一方面，其占有了大量的網(wǎng)絡(luò)資源，帶來了擴(kuò)容壓力；另一方面，其也對運營商的主營業(yè)務(wù)（傳統(tǒng)的語音業(yè)務(wù)、新興的IPTV業(yè)務(wù)等）收入造成了巨大的影響.對于今天的網(wǎng)絡(luò)管理者而言，如何深度感知網(wǎng)絡(luò)應(yīng)用，通過適當(dāng)?shù)膸捁芾砑夹g(shù)來解決帶寬增長與業(yè)務(wù)收益、網(wǎng)絡(luò)擴(kuò)容與用戶體驗之間的不對稱關(guān)系，實現(xiàn)對用戶和業(yè)務(wù)的分級化識別管理，和基于用戶和用戶業(yè)務(wù)流量的管理和增值顯得尤為重要.在這種背景下，流量控制系統(tǒng)就能夠很好的解決上述網(wǎng)絡(luò)面臨的問題，它通過高速數(shù)據(jù)內(nèi)容檢測、數(shù)據(jù)流狀態(tài)監(jiān)測、IP隧道和微碼固件等方法，在對網(wǎng)絡(luò)應(yīng)用深度解析的基礎(chǔ)上，實現(xiàn)了2?7層的應(yīng)用識別分類、流量屬性分析、流量策略管理、分類統(tǒng)計報告以及狀態(tài)預(yù)警等多種功能.流控為提高網(wǎng)絡(luò)透明度，實施網(wǎng)絡(luò)應(yīng)用服務(wù)管理以及拓展網(wǎng)絡(luò)增值業(yè)務(wù)提供了有效和可靠的硬件平臺，在對網(wǎng)絡(luò)流量進(jìn)行精確識別分析進(jìn)而達(dá)到控制的目的的同時，鞏固和加強(qiáng)了網(wǎng)絡(luò)的安全管理.流量清洗系統(tǒng)隨著各種業(yè)務(wù)對Internet依賴程度的日益加強(qiáng)，DDoS攻擊所帶來的損失也愈加嚴(yán)重。包括運營商、企業(yè)及政府機(jī)構(gòu)的各種用戶時刻都受到了DDoS攻擊的威脅，而未來更加強(qiáng)大的攻擊工具的出現(xiàn)，為日后發(fā)動數(shù)量更多、破壞力更強(qiáng)的DDoS攻擊帶來可能。正是由于DDoS攻擊非常難于防御，以及其危害嚴(yán)重，所以如何有效的應(yīng)對DDoS攻擊就成為Internet使用者所需面對的嚴(yán)峻挑戰(zhàn)。網(wǎng)絡(luò)設(shè)備或者傳統(tǒng)的邊界安全設(shè)備,諸如防火墻、入侵檢測系統(tǒng)，作為整體安全策略中不可缺少的重要模塊，都不能有效的提供針對DDoS攻擊完善的防御能力。面對這類給Internet可用性帶來極大損害的攻擊,必須采用專門的設(shè)備，對攻擊進(jìn)行有效檢測及阻斷，進(jìn)而遏制這類不斷增長的、復(fù)雜的且極具欺騙性的攻擊形式.因此，對骨干設(shè)備的防護(hù)也是整個網(wǎng)絡(luò)環(huán)境的關(guān)鍵，建議在互聯(lián)網(wǎng)接入處部署專業(yè)的DDoS防護(hù)產(chǎn)品，保障用戶網(wǎng)絡(luò)可用性.3.2應(yīng)用安全措施WEB應(yīng)用防火墻隨著信息技術(shù)的不斷發(fā)展，互聯(lián)網(wǎng)已經(jīng)成為信息傳播、流通、交換及存儲的重要手段。信息高速公路的興建使人類完全突破了傳統(tǒng)的信息獲取方式，存儲在計算機(jī)中的資料都在逐漸增加,對信息的保護(hù)比以往更加重要也更加困難。由于Internet是個開放的網(wǎng)絡(luò)，網(wǎng)站發(fā)布的信息一天二十四小時都在被查詢、閱讀、下載或轉(zhuǎn)載.網(wǎng)站內(nèi)容復(fù)制容易，轉(zhuǎn)載速度快，學(xué)校WEB站點網(wǎng)頁如果被篡改，后果難以預(yù)料，篡改網(wǎng)頁將會被迅速、廣泛傳播從而直接危害網(wǎng)站的利益。尤其是網(wǎng)站上發(fā)布的重要新聞、重大方針政策以及法規(guī)等，一旦被黑客篡改，將嚴(yán)重影響政府形象，甚至造成重大的政治經(jīng)濟(jì)損失和惡劣的社會影響。WEB服務(wù)器前端部署WEB應(yīng)用防火墻，可以提高相關(guān)WEB站點的安全性.當(dāng)出現(xiàn)黑客攻擊或工作人員某些操作失誤，WEB應(yīng)用防火墻能夠?qū)崟r恢復(fù)網(wǎng)站文件，保證網(wǎng)站的連續(xù)正常運行；同時還能夠記錄篡改事件的相關(guān)資料，從而為安全部門提供調(diào)查的線索和證據(jù)。WEB應(yīng)用防火墻具備實時、低耗等性能指標(biāo)，既能夠保證篡改頁面的立即恢復(fù)，又能保證網(wǎng)站的正常服務(wù)性能不受影響。WEB應(yīng)用防火墻支持全透明部署模式，全面支持HTTPS協(xié)議，在提供WEB應(yīng)用實時深度防御的同時實現(xiàn)WEB應(yīng)用加速及敏感信息泄露防護(hù)，能夠解決應(yīng)用及業(yè)務(wù)邏輯層面的安全問題，特別是解決目前所面臨的各類網(wǎng)站安全問題，如：注入攻擊、跨站腳本攻擊（釣魚攻擊）、惡意編碼（網(wǎng)頁木馬）、緩沖區(qū)溢出、信息泄露、應(yīng)用層DOS/DDOS攻擊等等。上網(wǎng)行為管理系統(tǒng)隨著信息化建設(shè)的開展，工作和生活對于互聯(lián)網(wǎng)的依賴性越來越強(qiáng).在學(xué)校職工利用互聯(lián)網(wǎng)獲得更多更及時地資源的時候，一些網(wǎng)絡(luò)性能方面和應(yīng)用方面的問題被暴露了出來，大量的P2P等非關(guān)鍵應(yīng)用無情地吞噬著網(wǎng)絡(luò)有限的帶寬資源，使得網(wǎng)絡(luò)管理人員頭痛不已。在沒有對P2P流量進(jìn)行策略管理的時間段內(nèi)，P2P等非關(guān)鍵應(yīng)用的流量幾乎占用了60—70%的網(wǎng)絡(luò)帶寬，關(guān)鍵性應(yīng)用如OA、Email、WEB網(wǎng)站等卻得不到保障，會嚴(yán)重影響了機(jī)關(guān)網(wǎng)絡(luò)的健康發(fā)展.通過在互聯(lián)網(wǎng)出口處部署一臺上網(wǎng)行為管理系統(tǒng)，對互聯(lián)網(wǎng)資源做一個合理的流量控制，抑制P2P的濫用，并保障關(guān)鍵應(yīng)用的帶寬,大幅度提高訪問互聯(lián)網(wǎng)的速度，有效提升帶寬利用率。上網(wǎng)行為管理系統(tǒng)提供了強(qiáng)大的網(wǎng)頁過濾功能，屏蔽對非法網(wǎng)站的訪問;提供基于時間、用戶、應(yīng)用的精細(xì)管理策略，控制職工在上班時間玩網(wǎng)絡(luò)游戲、炒股、觀看在線視頻，以及無節(jié)制的網(wǎng)絡(luò)聊天，從而保障工作效率;提供對電子郵件、即時通訊、論壇發(fā)帖等途徑的外發(fā)信息進(jìn)行監(jiān)控審計,避免機(jī)密信息泄露或發(fā)表反動言論等。3.2.3.內(nèi)網(wǎng)安全準(zhǔn)入控制系統(tǒng)學(xué)校業(yè)務(wù)種類越來越多，重要性越來越突出.所以辦公計算機(jī)的系統(tǒng)安全以及日常的運行維護(hù)顯的尤為重要，如果出現(xiàn)安全漏洞或安全事故,將會嚴(yán)重影響整體業(yè)務(wù)運行安全。由于學(xué)校信息化程度較高，終端點數(shù)較多，對IT軟硬件的資產(chǎn)管理及故障維護(hù)靠人工施行難度較大，且效率低下，迫切需要通過技術(shù)手段規(guī)范人員入網(wǎng)及日常終端使用行為.為加強(qiáng)網(wǎng)絡(luò)安全管理及加強(qiáng)內(nèi)部PC的安全管理，建議在內(nèi)網(wǎng)部署一套安全準(zhǔn)入控制系統(tǒng)，這套系統(tǒng)將重點解決以下問題：＞用戶入網(wǎng)身份證書認(rèn)證化＞入網(wǎng)終端登記注冊認(rèn)證化＞違規(guī)終端不準(zhǔn)入網(wǎng)、入網(wǎng)終端必合規(guī)＞安全檢查一目了然、智能傻瓜式修復(fù)＞用戶權(quán)限的細(xì)粒度分派及管理＞全網(wǎng)終端軟硬件資產(chǎn)合理、實時、有序管理＞終端系統(tǒng)補(bǔ)丁、殺毒軟件、應(yīng)用程序等有效統(tǒng)一管理安全準(zhǔn)入控制系統(tǒng)可以對所有的入網(wǎng)設(shè)備進(jìn)行身份認(rèn)證，包括MAC地址、IP地址、基于用戶名和密碼的身份、接入設(shè)備端口、所在VLAN等信息，還支持U-KEY、支持智能卡、數(shù)字證書認(rèn)證、LDAP、無縫結(jié)合域管理。保證接入設(shè)備為合法終端。3.3.安全運維措施堡壘機(jī)隨著信息技術(shù)的不斷發(fā)展和信息化建設(shè)的不斷進(jìn)步，業(yè)務(wù)應(yīng)用、辦公系統(tǒng)不斷推出和投入運行，信息系統(tǒng)在政府機(jī)構(gòu)運營中全面滲透。學(xué)校信息系統(tǒng)使用數(shù)量眾多的網(wǎng)絡(luò)設(shè)備、服務(wù)器主機(jī)來提供基礎(chǔ)網(wǎng)絡(luò)服務(wù)、運行關(guān)鍵業(yè)務(wù)。由于設(shè)備和服務(wù)器眾多，系統(tǒng)管理員壓力太大等因素，越權(quán)訪問、誤操作、濫用、惡意破壞等情況時有發(fā)生，另外黑客的惡意訪問也有可能獲取系統(tǒng)權(quán)限,闖入內(nèi)部網(wǎng)絡(luò)，造成不可估量的損失。如何提高系統(tǒng)運維管理水平，跟蹤服務(wù)器上用戶的操作行為，防止黑客的入侵和破壞，提供控制和審計依據(jù)，降低運維成本，滿足相關(guān)標(biāo)準(zhǔn)要求，越來越成為管理員關(guān)心的問題.通過部署堡壘機(jī)，該設(shè)備扮演著看門者的職責(zé),所有對網(wǎng)絡(luò)設(shè)備和服務(wù)器的請求都要從這扇大門經(jīng)過。因此它能夠攔截非法訪問和惡意攻擊，對不合法命令進(jìn)行阻斷、過濾掉所有對目標(biāo)設(shè)備的非法訪問行為。并能夠?qū)⑺械妮敵鲂畔⑷坑涗浵聛?；具備審計回放功能，能夠模擬用戶的在線操作過程，豐富和完善了網(wǎng)絡(luò)的內(nèi)控審計功能.因此，堡壘機(jī)能夠極大的保護(hù)內(nèi)部網(wǎng)絡(luò)設(shè)備及服務(wù)器資源的安全性,使得內(nèi)部網(wǎng)絡(luò)管理更加合理化和專業(yè)化.漏洞掃描系統(tǒng)在內(nèi)網(wǎng)服務(wù)器區(qū)部署一臺漏洞掃描系統(tǒng).其主要用于分析和指出有關(guān)網(wǎng)絡(luò)的安全漏洞及被測系統(tǒng)的薄弱環(huán)節(jié)，給出詳細(xì)的檢測報告,并針對檢測到的網(wǎng)絡(luò)安全隱患給出相應(yīng)的修補(bǔ)措施和安全建議.漏洞掃描系統(tǒng)通過模擬黑客的進(jìn)攻方法，對被檢系統(tǒng)進(jìn)行攻擊性的安全漏洞和隱患掃描，提交風(fēng)險評估報告，并提供相應(yīng)的整改措施。先于黑客發(fā)現(xiàn)并彌補(bǔ)漏洞，防患于未然.預(yù)防性的安全檢