技術(shù)建議書H3C邊界防護(hù)解決方案

精選優(yōu)質(zhì)文檔-----傾情為你奉上精選優(yōu)質(zhì)文檔-----傾情為你奉上專心---專注---專業(yè)專心---專注---專業(yè)精選優(yōu)質(zhì)文檔-----傾情為你奉上專心---專注---專業(yè)XXXXXX網(wǎng)絡(luò)安全建設(shè)技術(shù)建議書2008年2月

目錄XX網(wǎng)絡(luò)安全風(fēng)險隨著計算機(jī)技術(shù)和通訊技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)正逐步改變著人們的工作方式和生活方式，成為當(dāng)今社會發(fā)展的一個主題。網(wǎng)絡(luò)的開放性，互連性，共享性程度的擴(kuò)大，特別是Internet的出現(xiàn)，使網(wǎng)絡(luò)的重要性和對社會的影響也越來越大。隨著網(wǎng)絡(luò)上電子商務(wù)，電子現(xiàn)金，數(shù)字貨幣，網(wǎng)絡(luò)銀行等新興業(yè)務(wù)的興起，網(wǎng)絡(luò)安全問題變得越來越重要。計算機(jī)網(wǎng)絡(luò)犯罪所造成的經(jīng)濟(jì)損失十分巨大，僅在美國每年因計算機(jī)犯罪所造成的直接經(jīng)濟(jì)損失就達(dá)150億美元以上。在全球平均每二十秒就發(fā)生一次網(wǎng)上入侵事件。有近80%的公司至少每周在網(wǎng)絡(luò)上要被大規(guī)模的入侵一次，并且一旦黑客找到系統(tǒng)的薄弱環(huán)節(jié)，所有用戶都會遭殃。面對計算機(jī)網(wǎng)絡(luò)的種種安全威脅，必須采取有力的措施來保證安全。此外，隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，復(fù)雜性不斷增加，異構(gòu)性不斷提高，用戶對網(wǎng)絡(luò)性能要求的不斷提高，網(wǎng)絡(luò)管理也逐步成為網(wǎng)絡(luò)技術(shù)發(fā)展中一個極為關(guān)鍵的任務(wù)，對網(wǎng)絡(luò)的發(fā)展產(chǎn)生很大的影響，成為現(xiàn)代信息網(wǎng)絡(luò)中最重要的問題之一。如果沒有一個高效的網(wǎng)絡(luò)管理系統(tǒng)對網(wǎng)絡(luò)進(jìn)行管理，就很難向廣大用戶提供令人滿意的服務(wù)。因此，找到一種使網(wǎng)絡(luò)運(yùn)作更高效，更實(shí)用，更低廉的解決方案已成為每一個企業(yè)領(lǐng)導(dǎo)人和網(wǎng)絡(luò)管理人員的迫切要求。雖然其重要性已在各方面得到體現(xiàn)，并為越來越多的人所認(rèn)識，可迄今為止，在網(wǎng)絡(luò)管理領(lǐng)域里仍有許多漏洞和亟待完善的問題存在。目前，網(wǎng)絡(luò)技術(shù)已在XX行業(yè)得到了全面應(yīng)用，大大提高了XX行業(yè)的業(yè)務(wù)處理效率和管理水平，促成了各項(xiàng)創(chuàng)新的金融業(yè)務(wù)的開展，改善了整個XX行業(yè)的經(jīng)營環(huán)境，增強(qiáng)了金融信息的可靠性，使金融服務(wù)于社會的手段更趨現(xiàn)代化。但是，同其他任何行業(yè)一樣，網(wǎng)絡(luò)安全風(fēng)險的陰霾如同網(wǎng)絡(luò)技術(shù)的孿生子，伴隨著網(wǎng)絡(luò)技術(shù)在XX行業(yè)的全面應(yīng)用而全面籠罩在XX行業(yè)的每個業(yè)務(wù)角落。而有別于其他一般行業(yè)，XX行業(yè)的網(wǎng)絡(luò)系統(tǒng)中處理、傳輸、存儲的都是金融信息，對其進(jìn)行攻擊將獲得巨大的利益，如果這些機(jī)密信息在網(wǎng)上傳輸過程中泄密，其造成的損失將是不可估量的；而且，對XX行業(yè)網(wǎng)絡(luò)系統(tǒng)的攻擊，可能造成國家經(jīng)濟(jì)命脈的癱瘓和國家經(jīng)濟(jì)的崩潰，因此XX行業(yè)的網(wǎng)絡(luò)安全問題是一個關(guān)系到國計民生的重大問題，也是所有網(wǎng)絡(luò)安全廠商非常關(guān)心的問題。銀行網(wǎng)絡(luò)系統(tǒng)由于涉及信息的敏感性自然會成為內(nèi)部和外部黑客攻擊的目標(biāo)，面臨的網(wǎng)絡(luò)安全風(fēng)險敘述如下。非法訪問：現(xiàn)有網(wǎng)絡(luò)系統(tǒng)利用操作系統(tǒng)網(wǎng)絡(luò)設(shè)備進(jìn)行訪問控制，而這些訪問控制強(qiáng)度較弱，攻擊者可以在任一終端利用現(xiàn)有的大量攻擊工具發(fā)起攻擊；另一方面XX行業(yè)（如銀行）開發(fā)的很多增值業(yè)務(wù)、代理業(yè)務(wù)，存在大量與外界互連的接口，外部網(wǎng)絡(luò)可能會通過這些接口攻擊銀行，造成巨大損失。失密和竊密：利用搭線竊聽竊收，使用協(xié)議分析儀器竊收計算機(jī)系統(tǒng)的操作密碼，破解系統(tǒng)的核心密碼，竊取用戶帳號、密碼等；或利用間諜軟件獲得敏感的金融信息。信息篡改：利用信息篡改攻擊手段，非授權(quán)改變金融交易傳輸過程、存儲過程中的信息。內(nèi)部人員破壞：內(nèi)部人員熟悉XX行業(yè)網(wǎng)絡(luò)系統(tǒng)的應(yīng)用業(yè)務(wù)和薄弱環(huán)節(jié)，可以比較容易地篡改系統(tǒng)數(shù)據(jù)、泄露信息和破壞系統(tǒng)的軟硬件。黑客入侵：利用黑客技術(shù)非法侵入XX行業(yè)的網(wǎng)絡(luò)系統(tǒng)，調(diào)閱各種資料，篡改他人的資料，破壞系統(tǒng)運(yùn)行，或者進(jìn)行有目的的金融犯罪活動。假冒和偽造：假冒和偽造是XX行業(yè)網(wǎng)絡(luò)系統(tǒng)中經(jīng)常遇見的攻擊手段。如偽造各類業(yè)務(wù)信息，未授權(quán)篡改數(shù)據(jù)，改變業(yè)務(wù)信息流的次序、時序、流向，破壞金融信息的完整性，假冒合法用戶實(shí)施金融欺詐等。蠕蟲、病毒泛濫：蠕蟲、病毒泛濫可能導(dǎo)致XX行業(yè)的重要信息遭到損壞，或者導(dǎo)致XX行業(yè)網(wǎng)絡(luò)系統(tǒng)癱瘓，如2003年初的SQLSlammer蠕蟲，導(dǎo)致了全國金融業(yè)務(wù)的大面積中斷。拒絕服務(wù)：拒絕服務(wù)攻擊使XX行業(yè)的電子商務(wù)網(wǎng)站無法為客戶提供正常服務(wù)，造成經(jīng)濟(jì)損失，同時也使行業(yè)形象受到損害。建設(shè)原則及設(shè)計思路安全平臺設(shè)計思路XXXXXX的網(wǎng)絡(luò)應(yīng)用對安全的要求比較高，根據(jù)對XXXXXX網(wǎng)絡(luò)和應(yīng)用的理解，結(jié)合在XX行業(yè)的成功經(jīng)驗(yàn)，提出了如下安全建設(shè)思路。以安全為核心劃分區(qū)域現(xiàn)有網(wǎng)絡(luò)大多是以連通性作為中心進(jìn)行設(shè)計的，而很少考慮安全性。例如最典型的網(wǎng)絡(luò)三層架構(gòu)模型（核心層、匯聚層、接入層架構(gòu)）中，網(wǎng)絡(luò)是向核心層集中的而并沒有考慮同一層不同節(jié)點(diǎn)之間的安全隔離問題。而在網(wǎng)絡(luò)安全改造中首先需要改變的就是將以連通性為中心的設(shè)計思路轉(zhuǎn)變?yōu)橐园踩珵橹行牡脑O(shè)計思路。并按照以安全為核心的設(shè)計思路的要求對網(wǎng)絡(luò)進(jìn)行重新設(shè)計。所謂以安全為核心的設(shè)計思路就是要求在進(jìn)行網(wǎng)絡(luò)設(shè)計時，首先根據(jù)現(xiàn)有以及未來的網(wǎng)絡(luò)應(yīng)用和業(yè)務(wù)模式，將網(wǎng)絡(luò)分為不同的安全區(qū)域，在不同的安全區(qū)域之間進(jìn)行某種形式的安全隔離，比如采用防火墻隔離業(yè)務(wù)網(wǎng)和辦公網(wǎng)。針對XXXXX網(wǎng)絡(luò)安全實(shí)際情況，可劃分出不同的安全分區(qū)級別，詳細(xì)定義如下：DMZ區(qū)：DMZ區(qū)包括省級網(wǎng)絡(luò)連接貴州省電子政務(wù)網(wǎng)區(qū)域、INTERNET服務(wù)區(qū)以及貴州省勞動和社會保障廳對社會公眾提供服務(wù)的服務(wù)群（如：對外發(fā)布系統(tǒng)服務(wù)器區(qū)等），該區(qū)域都是暴露在外面的系統(tǒng)，因此，對安全級別要求比較高?；ヂ?lián)網(wǎng)服務(wù)區(qū)：互聯(lián)網(wǎng)業(yè)務(wù)應(yīng)用系統(tǒng)集合構(gòu)成的安全區(qū)域，主要實(shí)現(xiàn)公開網(wǎng)站、外部郵件系統(tǒng)、遠(yuǎn)程辦公用戶、部分分支機(jī)構(gòu)以及部分合作伙伴的VPN接入等功能。遠(yuǎn)程接入?yún)^(qū)：合作業(yè)務(wù)應(yīng)用系統(tǒng)集合構(gòu)成的安全區(qū)域，主要實(shí)現(xiàn)與原材料供應(yīng)商、渠道商等合作伙伴的業(yè)務(wù)應(yīng)用功能?？紤]到部分合作伙伴會采用VPN方式接入，基于安全性考慮，其與互聯(lián)網(wǎng)服務(wù)區(qū)應(yīng)該有獨(dú)立的物理連接。根據(jù)應(yīng)用要求，可以進(jìn)一步劃分為互聯(lián)網(wǎng)業(yè)務(wù)區(qū)、VPN接入?yún)^(qū)等。廣域網(wǎng)分區(qū)：在之前的網(wǎng)絡(luò)建設(shè)中，企業(yè)通過專線連接國內(nèi)的分支機(jī)構(gòu)。廣域網(wǎng)連接區(qū)就是專線網(wǎng)絡(luò)的鏈路及全部路由器構(gòu)成的安全區(qū)域，這一安全區(qū)域內(nèi)部沒有具體的應(yīng)用系統(tǒng)，主要實(shí)現(xiàn)網(wǎng)絡(luò)連接功能，定義這一安全區(qū)域是為了方便網(wǎng)絡(luò)管理。數(shù)據(jù)中心區(qū)：由貴州省金保業(yè)務(wù)服務(wù)區(qū)服務(wù)群構(gòu)成，是貴州省金保一切業(yè)務(wù)應(yīng)用活動的基礎(chǔ)，包括生產(chǎn)區(qū)、交換區(qū)、決策區(qū)。這個區(qū)域的安全性要求最高，對業(yè)務(wù)連續(xù)性要求也最高。要求不能隨便進(jìn)行任何可能影響業(yè)務(wù)的操作，包括為服務(wù)器打補(bǔ)丁，管理起來也最為復(fù)雜。網(wǎng)絡(luò)管理區(qū)：網(wǎng)絡(luò)管理員及網(wǎng)管應(yīng)用系統(tǒng)構(gòu)成的安全區(qū)域，一切網(wǎng)絡(luò)及安全的管理和維護(hù)工作都在這一區(qū)域完成。網(wǎng)絡(luò)管理區(qū)域的資產(chǎn)在定義中屬于支撐部門資產(chǎn)集合，但是鑒于網(wǎng)絡(luò)管理的特殊性，將這一部分資產(chǎn)獨(dú)立設(shè)置安全區(qū)域。內(nèi)部辦公區(qū)：數(shù)據(jù)中心內(nèi)部辦公計算機(jī)構(gòu)成的安全區(qū)域。安全性和業(yè)務(wù)持續(xù)性要求最低，管理難度大，最容易遭受蠕蟲的威脅。用防火墻隔離各安全區(qū)域防火墻作為不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的出入口，能根據(jù)安全策略控制出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。在邏輯上，防火墻是一個分離器、限制器和分析器，可以有效監(jiān)不同安全網(wǎng)絡(luò)之間的任何活動。防火墻在網(wǎng)絡(luò)間實(shí)現(xiàn)訪問控制，比如一個是用戶的安全網(wǎng)絡(luò)，稱之為‘被信任應(yīng)受保護(hù)的網(wǎng)絡(luò)’，另外一個是其它的非安全網(wǎng)絡(luò)稱為‘某個不被信任并且不需要保護(hù)的網(wǎng)絡(luò)’。防火墻就位于一個受信任的網(wǎng)絡(luò)和一個不受信任的網(wǎng)絡(luò)之間，通過一系列的安全手段來保護(hù)受信任網(wǎng)絡(luò)上的信息。對關(guān)鍵路徑進(jìn)行深入檢測防護(hù)雖然，網(wǎng)絡(luò)中已部署了防火墻等基礎(chǔ)網(wǎng)絡(luò)安全產(chǎn)品，但是，在網(wǎng)絡(luò)的運(yùn)行維護(hù)中，IT部門仍然發(fā)現(xiàn)網(wǎng)絡(luò)的帶寬利用率居高不下、而應(yīng)用系統(tǒng)的響應(yīng)速度越來越慢。產(chǎn)生這個問題的原因并不是當(dāng)初網(wǎng)絡(luò)設(shè)計不周，而是自2003年以來，蠕蟲、點(diǎn)到點(diǎn)，入侵技術(shù)日益滋長并演變到應(yīng)用層面（L7）的結(jié)果，而這些有害代碼總是偽裝成客戶正常業(yè)務(wù)進(jìn)行傳播，目前部署的防火墻等安全產(chǎn)品其軟硬件設(shè)計當(dāng)初僅按照其工作在L2-L4時的情況考慮，不具有對數(shù)據(jù)流進(jìn)行綜合、深度監(jiān)測的能力，自然就無法有效識別偽裝成正常業(yè)務(wù)的非法流量，結(jié)果蠕蟲、攻擊、間諜軟件、點(diǎn)到點(diǎn)應(yīng)用等非法流量輕而易舉地通過防火墻開放的端口進(jìn)出網(wǎng)絡(luò)。因此在關(guān)鍵路徑上部署獨(dú)立的具有深度檢測防御的IPS（入侵防御系統(tǒng)）就顯得非常重要。深度檢測防御是為了檢測計算機(jī)網(wǎng)絡(luò)中違反安全策略行為。一般認(rèn)為違反安全策略的行為有：入侵——非法用戶的違規(guī)行為；濫用——用戶的違規(guī)行為；深度檢測防御識別出任何不希望有的活動，從而限制這些活動，以保護(hù)系統(tǒng)的安全。深度檢測防御的應(yīng)用目的是在入侵攻擊對系統(tǒng)發(fā)生危害前，檢測到入侵攻擊，并利用報警與防護(hù)系統(tǒng)驅(qū)逐入侵攻擊。在入侵攻擊過程中，能減少入侵攻擊所造成的損失。對全網(wǎng)設(shè)備進(jìn)行統(tǒng)一安全管理日益嚴(yán)峻的安全威脅迫使企業(yè)不得不加強(qiáng)對網(wǎng)絡(luò)系統(tǒng)的安全防護(hù)，不斷追求多層次、立體化的安全防御體系，逐步引入了防病毒、防火墻、IPS/IDS、VPN等大量異構(gòu)的單點(diǎn)安全防御技術(shù)，再加上交換機(jī)、路由器等網(wǎng)絡(luò)設(shè)備，網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜。然而，現(xiàn)有網(wǎng)絡(luò)安全防御體系還是以孤立的單點(diǎn)防御為主，彼此間缺乏有效的協(xié)作，不同的設(shè)備之間的信息也無法共享，從而形成了一個個安全的“信息孤島”。通過統(tǒng)一安全管理平臺，可以對網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器等進(jìn)行統(tǒng)一管理，收集相關(guān)信息，進(jìn)行關(guān)聯(lián)分析，形成安全事件報告輸出，有效的幫助管理員了解網(wǎng)絡(luò)中的安全現(xiàn)狀與風(fēng)險，提供相關(guān)解決辦法和建議。根據(jù)實(shí)際需要部署其他安全系統(tǒng)以上的安全系統(tǒng)部署基本可以涵蓋一般性網(wǎng)絡(luò)安全需求，但是很多特殊的應(yīng)用也需要特別的應(yīng)用保護(hù)系統(tǒng)。此外管理員也需要一些其他的安全工具對網(wǎng)絡(luò)安全運(yùn)行進(jìn)行審計評估等操作。在XXXXXX網(wǎng)絡(luò)中，還需要以下安全系統(tǒng)和安全工具：補(bǔ)丁管理系統(tǒng)從公開的統(tǒng)計資料可以看到，在2003年全球有80%的大型企業(yè)遭受病毒感染而使得業(yè)務(wù)系統(tǒng)運(yùn)作受到干擾，即使這些大型企業(yè)已經(jīng)具備了良好的邊界安全措施，也普遍部署了病毒防御機(jī)制。造成困境的原因，一方面當(dāng)然是由于現(xiàn)有防御體系的缺陷，是由于現(xiàn)有的邊界防御、基于簽名的入侵檢測和防病毒系統(tǒng)從原理上就決定了其不擅長對付基于漏洞進(jìn)行感染的病毒，單單具備這些措施，不足以遏制病毒的泛濫。另一方面，也是由于基于漏洞進(jìn)行感染的病毒傳播速度極快，以至來不及采取措施，病毒就已經(jīng)大規(guī)模爆發(fā)了。這恰好說明企業(yè)需要一些應(yīng)付這種情況的措施，最好在病毒前面就消滅漏洞隱患，杜絕病毒傳播的可能。補(bǔ)丁管理就是這一思想的產(chǎn)物，因?yàn)樗脑砭褪菍浖M(jìn)行修補(bǔ)從而根本上消滅漏洞，杜絕了病毒利用漏洞的可能。漏洞掃描工具如今，每天都有數(shù)十種有關(guān)操作系統(tǒng)、網(wǎng)絡(luò)軟件、應(yīng)用軟件的安全漏洞被公布，利用這些漏洞可以很容易的破壞乃至完全的控制系統(tǒng)；另外，由于管理員的疏忽或者技術(shù)水平的限制造成的配置漏洞也是廣泛存在的，這對于系統(tǒng)的威脅同樣很嚴(yán)重。一般來說，最有效的方法是定期對網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全性分析，及時發(fā)現(xiàn)并修正存在的弱點(diǎn)和漏洞，保證系統(tǒng)的安全性。因此XXXXXX需要一套幫助管理員監(jiān)控網(wǎng)絡(luò)通信數(shù)據(jù)流、發(fā)現(xiàn)網(wǎng)絡(luò)漏洞并解決問題的工具，以保證整體網(wǎng)絡(luò)系統(tǒng)平臺安全。網(wǎng)絡(luò)流量監(jiān)測與審計對網(wǎng)絡(luò)流量進(jìn)行監(jiān)測和分析是十分必要的，尤其是在大型的網(wǎng)絡(luò)環(huán)境中。利用網(wǎng)絡(luò)流量監(jiān)測與分析系統(tǒng)可以實(shí)時監(jiān)測網(wǎng)絡(luò)流量峰值，以及方便管理員根據(jù)分析報告來排除網(wǎng)絡(luò)故障，所以目前很多的大型企業(yè)都部署了專業(yè)的網(wǎng)絡(luò)流量監(jiān)測與分析系統(tǒng)。XXXX網(wǎng)絡(luò)安全解決方案在XXXX總體安全規(guī)劃設(shè)計中，我們將按照安全風(fēng)險防護(hù)與安全投資之間的平衡原則（主要包括層次化的綜合防護(hù)原則和不同層次重點(diǎn)防護(hù)原則），提出以下的安全風(fēng)險和防護(hù)措施，從而建立起全防御體系的信息安全框架?；ヂ?lián)接口區(qū)域XXXXX網(wǎng)絡(luò)包括了省中心、地市中心、縣級中心、外聯(lián)單位等不同級別的安全區(qū)域，由于各區(qū)域的管理員和使用者安全防護(hù)能力參差不齊，如有防護(hù)不當(dāng)，極有可能由于個別的漏洞而導(dǎo)致整個網(wǎng)絡(luò)的崩潰，因此針對這些區(qū)域的安全防護(hù)是要考慮的重點(diǎn)內(nèi)容。同時，縱向業(yè)務(wù)網(wǎng)與將來建設(shè)的縱向辦公網(wǎng)的數(shù)據(jù)互聯(lián)接口通過省中心完成，兩個網(wǎng)絡(luò)采用統(tǒng)一接口的方式互聯(lián)?？紤]到縱向辦公網(wǎng)將來會預(yù)留與Internet的接口，縱向業(yè)務(wù)網(wǎng)在物理上與辦公網(wǎng)互聯(lián)就導(dǎo)致了業(yè)務(wù)網(wǎng)間接的暴露在Internet環(huán)境下。分析目前主要的安全威脅狀況，要求XXXXX縱向業(yè)務(wù)網(wǎng)與辦公網(wǎng)的接口區(qū)域安全設(shè)備的部署可以提供以下功能：采用在線模式部署在優(yōu)先保證業(yè)務(wù)持續(xù)的基礎(chǔ)上提供全面的防護(hù)；基于狀態(tài)的鏈路檢測功能；能夠有效抵御DoS/DDoS攻擊；對網(wǎng)絡(luò)蠕蟲病毒進(jìn)行有效防護(hù)；可以針對數(shù)據(jù)進(jìn)行2~7層的深度安全防護(hù)；監(jiān)控并屏蔽惡意軟件；提供對網(wǎng)絡(luò)設(shè)備、主機(jī)、鏈路的保護(hù)；能夠抵御ZeroDayAttack；具備實(shí)時的升級特性；提供可供分析的標(biāo)準(zhǔn)日志結(jié)構(gòu)；便捷的統(tǒng)一的管理；保護(hù)有效數(shù)據(jù)帶寬，針對P2P協(xié)議對數(shù)據(jù)流可以靈活控制帶寬；根據(jù)以上要求，這里采用防火墻設(shè)備和入侵抵御設(shè)備（IPS）共同部署完成互聯(lián)接口區(qū)域的安全保護(hù)。具體部署見下圖。圖XXXXXX互聯(lián)接口區(qū)域安全拓?fù)涫疽鈭D數(shù)據(jù)中心對于業(yè)務(wù)網(wǎng)數(shù)據(jù)中心，辦公網(wǎng)對它所有的數(shù)據(jù)調(diào)用都需要通過互聯(lián)區(qū)域，并不直接面對Internet。因此主要考慮的來自于業(yè)務(wù)網(wǎng)內(nèi)部的安全威脅。針對業(yè)務(wù)網(wǎng)內(nèi)部進(jìn)行分析，其威脅的主要入口是終端設(shè)備的接入。要求數(shù)據(jù)中心區(qū)域的安全設(shè)備部署提供以下功能：采用在線模式部署在優(yōu)先保證業(yè)務(wù)持續(xù)的基礎(chǔ)上提供全面的防護(hù)對操作系統(tǒng)漏洞可以提供補(bǔ)丁功能；對網(wǎng)絡(luò)蠕蟲病毒進(jìn)行有效防護(hù)；可以針對數(shù)據(jù)進(jìn)行4~7層的深度安全防護(hù)；提供對服務(wù)器集群的有效保護(hù)；具備實(shí)時的升級特性；提供可供分析的標(biāo)準(zhǔn)日志結(jié)構(gòu)；便捷的統(tǒng)一的管理；考慮到數(shù)據(jù)中心防護(hù)更重要的是對操作系統(tǒng)和數(shù)據(jù)的保護(hù)，在這里根據(jù)以上要求，部署入侵抵御設(shè)備（IPS）完成數(shù)據(jù)中心區(qū)域的安全保護(hù)。具體部署見下圖。圖XXXXXX數(shù)據(jù)中心安全拓?fù)涫疽鈭D統(tǒng)一安全管理中心為了保證部署的硬件設(shè)備和安全軟件能夠統(tǒng)一的為網(wǎng)絡(luò)安全服務(wù)，必須要求對全網(wǎng)設(shè)備，包括主機(jī)和數(shù)據(jù)交互設(shè)備進(jìn)行統(tǒng)一的日志收集和日志分析。這樣就要求必須在網(wǎng)絡(luò)當(dāng)中部署安全管理中心來完成統(tǒng)一的策略規(guī)劃和分析。安全管理中心并不是一個威脅抵御的直接發(fā)起者，而是一個系統(tǒng)規(guī)劃的首腦。所以要求安全管理中心可以提供以下功能：旁路部署模式，不影響正常業(yè)務(wù)和造成瓶頸；具有廣泛的日志采集功能，要求可以對網(wǎng)絡(luò)當(dāng)中的所有設(shè)備（防火墻、IPS、交換機(jī)、路由器、PC、Server等）進(jìn)行日志分析；采用先進(jìn)的關(guān)聯(lián)算法，能夠?qū)θ罩緮?shù)據(jù)按照不同的關(guān)聯(lián)組合進(jìn)行分析；對安全威脅的實(shí)時監(jiān)控功能；對網(wǎng)絡(luò)流量的實(shí)時監(jiān)控功能；可支持多家廠商的設(shè)備日志采集；提供拓?fù)浒l(fā)現(xiàn)功能，并能夠準(zhǔn)確迅速的根據(jù)日志定為網(wǎng)絡(luò)故障；對網(wǎng)絡(luò)故障提供多種迅速的告警機(jī)制；具有完善的安全審計功能；對歷史數(shù)據(jù)進(jìn)行壓縮并可提供高效的查詢機(jī)制；根據(jù)需要提供多種報表；根據(jù)需求可分步實(shí)施的靈活部署方式；根據(jù)以上需求，這里采用一臺安全管理中心作為整個網(wǎng)絡(luò)的安全管理中心，對全網(wǎng)設(shè)備進(jìn)行日志分析，幫助定制安全策略。僅僅需要路由可達(dá)即可完成上述功能，部署位置相對靈活，建議可以和網(wǎng)絡(luò)管理軟件服務(wù)器部署在一起，以方便硬件的管理。安全管理建議（供參考）安全管理組織結(jié)構(gòu)人員需求與技能要求安全總監(jiān)CSO一人，熟悉信息技術(shù)和信息安全，有5年以上整個機(jī)構(gòu)信息技術(shù)和安全管理經(jīng)驗(yàn)。經(jīng)理一人，熟悉信息技術(shù)和信息安全，具有2年以上部門級信息安全技術(shù)和管理經(jīng)驗(yàn)；安全專員四人，精通各種需要的安全工具的使用，認(rèn)真、細(xì)心、負(fù)責(zé)。網(wǎng)絡(luò)小組二人，精通網(wǎng)絡(luò)和各種安全工具的使用。 系統(tǒng)小組二人，精通操作系統(tǒng)和安全工具的使用。崗位職責(zé)1、總經(jīng)理職責(zé)為整個機(jī)構(gòu)的安全管理活動提供必要的人力、物力、財力等方面的資源支持。負(fù)責(zé)主持年度安全管理評審活動。2、安全總監(jiān)職責(zé)負(fù)責(zé)整個機(jī)構(gòu)信息安全，協(xié)調(diào)機(jī)構(gòu)的安全資源開展安全管理活動，審批安全政策。指導(dǎo)信息安全部籌建應(yīng)急響應(yīng)中心。負(fù)責(zé)指導(dǎo)每月督查活動。負(fù)責(zé)組織領(lǐng)導(dǎo)季度安全管理審核活動。負(fù)責(zé)向年度安全管理評審會議報告安全管理制度的運(yùn)行情況。負(fù)責(zé)批準(zhǔn)發(fā)布安全管理制度的更新版本。3、信息安全部經(jīng)理職責(zé)協(xié)調(diào)整個信息安全部的工作，對部門的安全管理活動提供指導(dǎo)。建立應(yīng)急響應(yīng)中心，對安全事件實(shí)施應(yīng)急響應(yīng)。制定和實(shí)施安全策略，實(shí)施審計檢查。負(fù)責(zé)組織領(lǐng)導(dǎo)每月督查活動。負(fù)責(zé)組織更新安全管理制度。4、信息安全專員職責(zé)負(fù)責(zé)為其它部門分配或撤銷IP地址、捆綁或撤銷捆綁IP和MAC地址。負(fù)責(zé)為其它部門配置防火墻策略。負(fù)責(zé)病毒防護(hù)軟件（包括病毒庫）和漏洞掃描軟件（包括漏洞庫）的管理、更新和公布。負(fù)責(zé)對網(wǎng)上交易系統(tǒng)所有服務(wù)器和專用網(wǎng)絡(luò)設(shè)備的首次、周期性和緊急的病毒防護(hù)和漏洞掃描。系統(tǒng)小組組長進(jìn)行上線前安全配置和運(yùn)行中的日常維護(hù)。負(fù)責(zé)監(jiān)督開發(fā)和維護(hù)過程中安全管理的實(shí)施，評審、驗(yàn)證系統(tǒng)的安全性。負(fù)責(zé)參與每月督查、季度安全管理審核、年度安全管理評審、安全管理制度更新活