XX數據中心安全規(guī)劃方案

技術方案目錄TOC\o"1-5"\h\z\o"CurrentDocument"1.項目概述 4\o"CurrentDocument"目標與范圍 4\o"CurrentDocument"參照標準 4\o"CurrentDocument"系統(tǒng)描述 4\o"CurrentDocument"2.安全風險分析 5\o"CurrentDocument"2.1. 系統(tǒng)脆弱性分析 5\o"CurrentDocument"2.2. 安全威脅分析 5\o"CurrentDocument"被動攻擊產生的威脅 5\o"CurrentDocument"主動攻擊產生的威脅 5\o"CurrentDocument"3.安全需求分析 7\o"CurrentDocument"3.1. 等級保護要求分析 7\o"CurrentDocument"網絡安全 7\o"CurrentDocument"主機安全 8\o"CurrentDocument"應用安全 9\o"CurrentDocument"3.2. 安全需求總結 9\o"CurrentDocument"4. 整體安全設計 10\o"CurrentDocument"4.1. 安全域 10\o"CurrentDocument"安全域劃分原則 10\o"CurrentDocument"安全域劃分設計 11\o"CurrentDocument"安全設備部署 12\o"CurrentDocument"5. 詳細安全設計 13\o"CurrentDocument"網絡安全設計 13\o"CurrentDocument"抗DOS設備 13\o"CurrentDocument"防火墻 14\o"CurrentDocument"WEB應用安全網關 15\o"CurrentDocument"入侵防御 16\o"CurrentDocument"入侵檢測 17\o"CurrentDocument"安全審計 18\o"CurrentDocument"防病毒 18\o"CurrentDocument"安全運維管理 19\o"CurrentDocument"漏洞掃描 19安全管理平臺 19\o"CurrentDocument"堡壘機 21\o"CurrentDocument"6.產品列表 21項目概述1.1.目標與范圍本次數據中心的安全建設主要依據《信息安全技術信息安全等級保護基本要求》中的技術部分，從網絡安全，主機安全，應用安全，來對網絡與服務器進行設計。根據用戶需求，在本次建設完畢后XX數據中心網絡將達到等保三級的技術要求。因用戶網絡為新建網絡，所以本次建設將完全按照《信息安全技術信息安全等級保護基本要求》中技術部分要求進行。1.2.參照標準GB/T22239-2008《信息安全技術信息安全等級保護基本要求》GB/T22239-2008《信息安全技術信息安全等級保護基本要求》GB/T22240-2008《信息安全技術信息系統(tǒng)安全等級保護定級指南》GB/T20270-2006《信息安全技術網絡基礎安全技術要求》GB/T25058-2010《信息安全技術信息系統(tǒng)安全等級保護實施指南》GB/T20271-2006《信息安全技術信息系統(tǒng)安全通用技術要求》GB/T25070-2010《信息安全技術信息系統(tǒng)等級保護安全設計技術要求》GB17859-1999《計算機信息系統(tǒng)安全保護等級劃分準則》GB/Z20986-2007《信息安全技術信息安全事件分類分級指南》1.3.系統(tǒng)描述XX數據中心平臺共有三個信息系統(tǒng)：能源應用，環(huán)保應用，市節(jié)能減排應用。企業(yè)節(jié)點通過企業(yè)信息前置機抓取企業(yè)節(jié)點數據，并把這些數據上傳到XX數據中心的數據庫中，數據庫對這些企業(yè)數據進行匯總與分析，同時企業(yè)節(jié)點也可以通過VPN去訪問XX數據中心的相關應用。XX數據中心平臺也可通過政務外網，環(huán)保專網與相關部分進行信息交互。提供信息訪問。安全風險分析2.1.系統(tǒng)脆弱性分析人的脆弱性：人的安全意識不足導致的各種被攻擊可能，如接受未知數據，設置弱口令等。安全技術的脆弱性：操作系統(tǒng)和數據庫的安全脆弱性，系統(tǒng)配置的安全脆弱性，訪問控制機制的安全脆弱性，測評和認證的脆弱性。運行的脆弱性：監(jiān)控系統(tǒng)的脆弱性，無入侵檢測設備，響應和恢復機制的不完善?？趏2.2.安全威脅分析2.2.1.被動攻擊產生的威脅（1）網絡和基礎設施的被動攻擊威脅局域網/骨干網線路的竊聽；監(jiān)視沒被保護的通信線路；破譯弱保護的通信線路信息；信息流量分析；利用被動攻擊為主動攻擊創(chuàng)造條件以便對網絡基礎設施設備進行破壞，如截獲用戶的賬號或密碼以便對網絡設備進行破壞；機房和處理信息終端的電磁泄露。（2）區(qū)域邊界/外部連接的被動攻擊威脅截取末受保護的網絡信息；流量分析攻擊；遠程接入連接。（3）計算環(huán)境的被動攻擊威脅獲取鑒別信息和控制信息；獲取明文或解密弱密文實施重放攻擊。2.2.2.主動攻擊產生的威脅1）對網絡和基礎設施的主動攻擊威脅一是可用帶寬的損失攻擊，如網絡阻塞攻擊、擴散攻擊等。二是網絡管理通訊混亂使網絡基礎設施失去控制的攻擊。最嚴重的網絡攻擊是使網絡基礎設施運行控制失靈。如對網絡運行和設備之間通信的直接攻擊，它企圖切斷網管人員與基礎設施的設備之間的通信，比如切斷網管人員與交換機、路由器之間的通信，使網管人員失去對它們的控制。三是網絡管理通信的中斷攻擊，它是通過攻擊網絡底層設備的控制信號來干擾網絡傳輸的用戶信息；引入病毒攻擊；引入惡意代碼攻擊。（2）對信息系統(tǒng)及數據主動攻擊威脅試圖阻斷或攻破保護機制（內網或外網）；偷竊或篡改信息；利用社會工程攻擊欺騙合法用戶（如匿名詢問合法用戶賬號）；偽裝成合法用戶和服務器進行攻擊；IP地址欺騙攻擊；拒絕服務攻擊；利用協(xié)議和基礎設施的安全漏洞進行攻擊；利用遠程接入用戶對內網進行攻擊；建立非授權的網絡連接；監(jiān)測遠程用戶鏈路、修改傳輸數據；解讀未加密或弱加密的傳輸信息；惡意代碼和病毒攻擊。（3） 計算環(huán)境的主動攻擊威脅引入病毒攻擊；引入惡意代碼攻擊；冒充超級用戶或其他合法用戶；拒絕服務和數據的篡改；偽裝成合法用戶和服務器進行攻擊；利用配置漏洞進行攻擊；利用系統(tǒng)脆弱性（操作系統(tǒng)安全脆弱性、數據庫安全脆弱性）實施攻擊；利用服務器的安全脆弱性進行攻擊；利用應用系統(tǒng)安全脆弱性進行攻擊。（4） 支持性基礎設施的主動攻擊威脅對未加密或弱加密的通信線路的搭線竊聽；用獲取包含錯誤信息的證書進行偽裝攻擊；拒絕服務攻擊（如攻擊目錄服務等）；中間攻擊；攻擊PIN獲取對用戶私鑰的訪問、在支持性基礎設施的組件中引入惡意代碼攻擊、在密鑰分發(fā)期間對密鑰實施攻擊、對PKI私鑰實施密碼攻擊、對密鑰恢復后的密鑰進行末授權訪問、在用戶認證期間使用戶不能生成失效信息；利用備份信息進行攻擊。

安全需求分析3.1.等級保護要求分析3.1.1.網絡安全類別控制點重點要求項對應措施網絡安全結構安全交換設備的冗余、網絡劃分與隔離安全域劃分，通過安全管理平臺進行網絡拓撲管理訪問控制網絡邊界部署訪問控制設備，啟用訪問控制功能安全域邊界增加部署防火墻設備安全審計對網絡系統(tǒng)中的網絡設備運行狀況、網絡流量、用戶行為等進行日志記錄部署網絡安全審計系統(tǒng)邊界完整性檢杳對內部用戶未通過準許私自聯(lián)到外部網絡的行為進行檢查采用技術手段進行違規(guī)外聯(lián)入侵防范網絡邊界入侵行為監(jiān)視網絡出口的邊界處部署入侵檢測，重要服務器區(qū)前面采取入侵防護措施

3.1.2.主機安全類別控制點重點要求項對應措施主機安全身份鑒別對登錄操作系統(tǒng)和數據庫系統(tǒng)的用戶進行身份標識和鑒別部署身份鑒別系統(tǒng)。訪問控制啟用訪問控制功能，實現(xiàn)操作系統(tǒng)和數據庫系統(tǒng)特權用戶的權限分離對系統(tǒng)安全加固，限制默認帳戶、時刪除多余的、過期的帳戶等安全審計用戶行為、系統(tǒng)資源、系統(tǒng)安全事件審計采用主機審計措施，通過安全管理平臺對操作系統(tǒng)、數據庫進行監(jiān)控管理入侵防范操作系統(tǒng)最小安裝的原則、及時更新系統(tǒng)補丁對主機進仃漏洞檢查，并部署入侵防范設備。惡意代碼防范能夠集中管理的惡意代碼防護系統(tǒng)部署網絡版防病毒軟件資源控制設定終端接入方式、網絡地址范圍等條件限制終端登錄利用訪問控制策略與堡壘機產品結合的方式進行控制。

3.1.3.應用安全類別控制點重點要求項對應措施應用安全身份鑒別提供專用的登錄控制模塊對登錄用戶進行身份標識和鑒別部署身份鑒別服務器并與應用進行聯(lián)動訪問控制賬戶訪問權限管理部署堡壘機對訪問進行權限管理安全審計應用系統(tǒng)重要安全事件進行審計部署堡壘機對應用訪問進行記錄通信保密性米用密碼技術進行會話初始化驗證，對通信過程中的敏感信息字段進行加密應用軟件安全改造，對敏感字段進行加密資源控制會話超時、會話并發(fā)管理、多重并發(fā)會話限制部署堡壘機設備進行限制3.2.安全需求總結類別安全需求網絡安全劃分安全域、明確安全邊界網絡出口邊界、新的安全邊界部署防火墻設備網絡出口邊界部署入侵檢測設備關鍵業(yè)務前段部署入侵防御系統(tǒng)網頁應用系統(tǒng)邊界部署WEB應用安全網關重要數據庫部署網絡安全審計系統(tǒng)主機安全部署身份認證系統(tǒng)對訪問進行身份認證部署堡壘機設備對主機訪問進行控制與審計采用網絡版殺毒軟件部署漏洞掃描設備對主機的漏洞進行檢測并及時修補應用安全應用系統(tǒng)與身份認證系統(tǒng)相結合進行身份鑒別應用系統(tǒng)與堡壘機相結合來進行審計與訪問控制部署安全管理平臺對網絡，主機，應用的日志進行審計與分析。整體安全設計4.1.安全域4.1.1.安全域劃分原則（1）業(yè)務保障原則安全域方法的根本目標是能夠更好的保障網絡上承載的業(yè)務。在保證安全的同時，還要保障業(yè)務的正常運行和運行效率。信息安全服務所強調的核心思想是應該從客戶（業(yè)務）而不是IT服務提供方（技術）的角度理解IT服務需求。也就是說，在提供IT服務的時候，我們首先應該考慮業(yè)務需求，根據業(yè)務需求來確定IT需求包括安全需求。在安全域劃分時會面臨有些業(yè)務緊密相連，但是根據安全要求（信息密級要求，訪問應用要求等）又要將其劃分到不同安全域的矛盾。是將業(yè)務按安全域的要求強性劃分，還是合并安全域以滿足業(yè)務要求？必須綜合考慮業(yè)務隔離的難度和合并安全域的風險（會出現(xiàn)有些資產保護級別不夠），從而給出合適的安全域劃分。（2）等級保護原則根據安全域在業(yè)務支撐系統(tǒng)中的重要程度以及考慮風險威脅、安全需求、安全成本等因素，將其劃為不同的安全保護等級并采取相應的安全保護技術、管理措施，以保障業(yè)務支撐的網絡和信息安全。安全域的劃分要做到每個安全域的信息資產價值相近，具有相同或相近的安全等級、安全環(huán)境、安全策略等。安全域所涉及應用和資產的價值越高，面臨的威脅越大，那么它的安全保護等級也就越高。（3）深度防御原則根據網絡應用訪問的順序，逐層進行防御，保護核心應用的安全。安全域的主要對象是網絡，但是圍繞安全域的防護需要考慮在各個層次上立體防守，包括在物理鏈路、網絡、主機系統(tǒng)、應用等層次；同時，在部署安全域防護體系的時候，要綜合運用身份鑒別、訪問控制、檢測審計、鏈路冗余、內容檢測等各種安全功能實現(xiàn)協(xié)防。（4）結構簡化原則安全域劃分的直接目的和效果是要將整個網絡變得更加簡單，簡單的網絡結構便于設計防護體系。安全域劃分不宜過于復雜。（5）生命周期原則對于安全域的劃分和布防不僅僅要考慮靜態(tài)設計，還要考慮不斷的變化；另外，在安全域的建設和調整過程中要考慮工程化的管理。（6）安全最大化原則針對業(yè)務系統(tǒng)可能跨越多個安全域的情況，對該業(yè)務系統(tǒng)的安全防護必須要使該系統(tǒng)在全局上達到要求的安全等級，即實現(xiàn)安全的最大化防護，同時滿足多個安全域的保護策略。（7）可擴展性原則當有新的業(yè)務系統(tǒng)需要接入業(yè)務支撐網時，按照等級保護、對端可信度等原則將其分別劃分至不同安全等級域的各個子域。4.1.2.安全域劃分設計根據XX數據中心的情況，把網絡分為三個安全域：應用安全域，數據庫安全域，安全管理安全域。安全域之間利用防火墻進行隔離。安全域劃分拓撲如下：

安個管理平臺核心交換區(qū)核心交楨機IPS設備擾dos設備按入交換機□防火垮樓心交換機企業(yè)節(jié)點 丨S]\和隧道￥卩＞1隧逋陸火堰樓心交掩機1企業(yè)節(jié)點I數據庫安全域數據庫眼齊器身份認證中，卜0安全管理安全域於絡版灸蠱軟件拎制中心接入交禎機數據中心網絡環(huán)像$網e—0政務外網企業(yè)節(jié)點安個管理平臺核心交換區(qū)核心交楨機IPS設備擾dos設備按入交換機□防火垮樓心交換機企業(yè)節(jié)點 丨S]\和隧道￥卩＞1隧逋陸火堰樓心交掩機1企業(yè)節(jié)點I數據庫安全域數據庫眼齊器身份認證中，卜0安全管理安全域於絡版灸蠱軟件拎制中心接入交禎機數據中心網絡環(huán)像$網e—0政務外網企業(yè)節(jié)點核心交換機救據闊置和址據前賈朋按入交換機區(qū)域陰火垮紡火爲數瞞莉EZKI緩入交楨機救粧點＞維入交換機應用區(qū)安全域環(huán)保應用服務市節(jié)能砂滋應用服務黯an甌應用服務器接入交換機 暢h應陽防火織審計設備4.2.安全設備部署（1）網絡邊界考慮到網絡的高可用性，網絡出口設備均雙機部署。在網絡出口部署兩臺防止DDOS產品，對DDOS攻擊進行過濾。在網絡出口部署兩臺防火墻設備，對進出XX數據中心網絡的流量進行策略控制。在網絡出口部署兩臺入侵防御設備對進行XX數據中心網絡的流量進行檢測，從而判斷數據中是否含有惡意攻擊與惡意代碼。（2）核心交換區(qū)在核心交換區(qū)旁路部署一臺IDS與一臺安全審計產品，對核心交換機上面的流量進行安全的檢測與審計，包括來往核心交換機上面的流量是否有惡意威脅。是否有針對于后臺數據庫的威脅等。（3）應用區(qū)安全域在應用區(qū)邊界部署web應用防火墻設備，因應用區(qū)部署的應用均為B/S架構，而web應用防火墻恰恰是針對于HTTP協(xié)議進行安全過濾的設備，很好的滿足了三級等保中針對于應用安全的規(guī)定。（4） 數據庫安全域數據庫安全域邊界部署一臺安全域防火墻，采取有效的訪問控制策略；同時在安全域交換機旁路部署一臺安全審計系統(tǒng)，對網絡運維管理和數據庫操作進行全面審計。（5） 安全管理區(qū)安全域在安全管理區(qū)部署漏洞掃描設備，對網絡中的主機進行安全自查，降低主機的脆弱性。在安全管理區(qū)部署堡壘機設備，結合部署的身份認證系統(tǒng)對主機與應用進行身份鑒別，訪問控制與安全審計。在安全管理區(qū)部署安全管理平臺，對網絡中的主機與安全設備進行統(tǒng)一的監(jiān)控與統(tǒng)一的日志分析。在網絡中各個主機上部署網絡版防病毒軟件，并且在安全管理區(qū)部署網絡防病毒主控端。詳細安全設計網絡安全設計抗DOS設備部署目的隨著僵尸網絡的泛濫，DDoS攻擊等惡意流量的規(guī)模也在迅速增大。據估計，中國的黑客產業(yè)鏈條規(guī)模已達上百億，而在這中間有很大一部分就是和DDoS攻擊相關的。實際上，DDoS攻擊也像網絡帶寬一樣，已經成為可以售賣的資源。利益驅使DDoS的規(guī)模進一步擴大。2011年3月，全球網絡安全和管理解決方案提供商ArborNetworks發(fā)布第六期全球互聯(lián)網基礎設施安全年報稱，2010年是DDoS攻擊在互聯(lián)網上活動規(guī)模和頻率激增的一年；DDoS攻擊規(guī)模首次突破100Gbps，服務提供商因此受到巨大的沖擊。2012年3月，CNCERT發(fā)布了《2011年中國互聯(lián)網網絡安全態(tài)勢報告》稱DDoS的頻率和規(guī)模都在迅速增大。根據CNCERT抽樣監(jiān)測發(fā)現(xiàn)，我國境內日均發(fā)生攻擊總流量超過1G的較大規(guī)模的DDoS攻擊事件365起。其中，TCPSYNFLOOD和UDPFLOOD等常見虛假源IP地址攻擊事件約占70%,對其溯源和處臵難度較大。DDoS攻擊最讓人頭疼的是攻擊和防御的不對等性。現(xiàn)在的DDoS攻擊技術門檻越來越低，非常容易發(fā)起，但檢測和防御則需要強大的技術支撐。由于黑客地下產業(yè)鏈的發(fā)展，各種攻擊工具在網上隨處可見，甚至公然打包售賣。即使是對于初級網絡水平的人來說，使用這些攻擊也是很簡單的事情。而對于有經驗的黑客來說，使用這些工具可以組織起復雜的攻擊，令防范變得困難。例如2011年針對某游戲網站的攻擊持續(xù)了數月，綜合采用了DNS請求攻擊、UDPFLOOD、TCPSYNFLOOD、HTTP請求攻擊等多種方式，攻擊峰值流量達數十個Gbps，令人防不勝防。部署方式及說明防DOS設備串行在網絡出口，對流量進行清洗，過濾含有DOS或DDOS特征的流量，保證網絡安全。由于防DOS串行在網絡出口，所以選擇雙機部署。防火墻.部署目的防火墻是一種部署在安全邊界上的高級訪問控制設備，是不同區(qū)域之間信息流的唯一通道，能根據制定好的安全策略控制（允許、拒絕、監(jiān)視、記錄）不同區(qū)域之間的訪問行為。作為一個專業(yè)化的訪問控制產品，防火墻不僅提供非常靈活的訪問控制功能（基于IP地址、端口、協(xié)議、用戶名、應用命令等）和強大的審計鑒別功能，還提供了多種輔助功能，比如地址轉換、端口映射、IP與MAC地址綁定等等。安全邊界采用防火墻設備，根據ip五元組（源/目的ip,源/目的端口，協(xié)議），對網絡邊界進行訪問控制，隔離不同的安全域，只有經過許可的ip、端口、協(xié)議才被容許訪問防火墻內的網絡和系統(tǒng)資源，保障了網絡的邏輯隔離。.部署方式及說明防火墻串行部署在網絡主干鏈路上，用于網絡安全邊界的訪問控制，可以采用透明工作模式，工作口不需要配置ip,不影響網絡路由結構。每臺防火墻，均另外需1個ip用來作為管理設備，管理方式為B/S。由于防火墻作為網絡出口和安全域邊界的安全網關，一旦出現(xiàn)故障對網絡數據傳輸、網絡安全策略有很大的影響，因此在網絡出口部署兩臺防火墻。在數據庫區(qū)邊界部署一臺防火墻。5.1.3.WEB應用安全網關.部署目的Web應用安全網關（WebApplicationGateway，簡稱WAG）是新一代Web安全防護與應用交付類應用安全產品，主要針對Web服務器進行HTTP/HTTPS流量分析，防護以Web應用程序漏洞為目標的攻擊，并針對Web應用訪問各方面進行優(yōu)化，以提高Web或網絡協(xié)議應用的可用性、性能和安全性，確保Web業(yè)務應用能夠快速、安全、可靠地交付。WAG應用了一套HTTP會話規(guī)則集，這些規(guī)則涵蓋諸如SQL注入、以及XSS等常見的Web攻擊。網頁防篡改模塊會事先將被保護Web服務器的主要頁面拷貝到設備存儲器內，一旦檢測出被保護URL頁面有被篡改的情況，遇到用戶有針對該頁面的訪問請求時，會將事先備份的正常頁面返回給用戶，屏蔽被篡改的頁面不被訪問，維護用戶的聲譽，此種方法的優(yōu)點是不用在被保護Web服務器上安裝Agent，對Web應用系統(tǒng)不會造成額外影響。.部署方式及說明在應用區(qū)和核心交換機之間串行部署Web應用安全網關，可采取透明工作模式，不影響網絡路由結構，針對Web服務器進行第7層流量分析，確保業(yè)務應用能夠快速、安全、可靠地交付。5.1.4.入侵防御.部署目的雖然訪問控制系統(tǒng)（如防火墻）可以靜態(tài)的實施訪問控制策略，防止一些非法的訪問等，但對利用合法的訪問手段或其它的攻擊手段（比如，利用內部系統(tǒng)的漏洞等）對系統(tǒng)入侵和內部用戶的入侵等是沒有辦法控制的；因此，系統(tǒng)內需要建設統(tǒng)一的符合國家規(guī)定的安全檢測機制，實現(xiàn)對網絡系統(tǒng)進行自動的入侵檢測和分析，對非法信息予以過濾，提高系統(tǒng)整體安全性。入侵防御技術高度融合高性能、高安全性、高可靠性和易操作性等特性，帶來了深度攻擊防御和應用帶寬保護的完美價值體驗。通過入侵防護系統(tǒng)可以實時、主動攔截黑客攻擊、網絡病毒等惡意流量，保護信息系統(tǒng)和網絡架構免受侵害，防止操作系統(tǒng)和應用程序損壞或宕機，IPS可以深入到路由、防火墻模塊和應用層，快速掃描流量，它可以利用其上千種攻擊特征數據庫，識別和分析外部的攻擊，并實時報警和記錄，同時可以對上百種入侵和攻擊進行主動防護。此外，還可以對MSN、Skype、YahooMessage等即時消息進行阻斷，允許用戶對BT、kazza等P2P多點共享協(xié)議軟件進行阻斷。.部署方式及說明IPS串行部署在網絡主干鏈路上，用于安全域邊界的入侵防護，可以采用透明工作模式，工作口不需要配置ip,不影響網絡路由結構。管理中心安裝在專用管理服務器中，實現(xiàn)IPS設備統(tǒng)一的控制管理、監(jiān)控告警、日志收集和定制報表等功能。由于IPS串行于主干線上所以雙機部署。5.1.5.入侵檢測.部署目的互聯(lián)網當前正處于高速的發(fā)展態(tài)勢，隨之而來的攻擊、病毒、威脅也是日新月異，面對日益加劇的安全形式需要一套能夠實時檢測攻擊、預警、響應的工具。通過部署入侵檢測系統(tǒng)可以起到以下目的：（1）入侵檢測網絡入侵檢測系統(tǒng)（IDS）可以實現(xiàn)對黑客攻擊（緩沖區(qū)溢出、SQL注入、暴力猜測、拒絕服務、掃描探測、非授權訪問等）、蠕蟲病毒、木馬后門、間諜軟件、僵尸網絡等進行實時檢測及報警。（2）流量分析網絡入侵檢測系統(tǒng)（IDS）對網絡進行流量分析，實時統(tǒng)計出當前網絡中的各種報文流量；IDS能夠幫助管理員對付網絡攻擊，最大限度地減少攻擊可能給用戶造成的損失，從而進一步提高了單位信息安全基礎結構的完整性。（3）行為監(jiān)控IDS系統(tǒng)會對網絡流量進行監(jiān)控，對嚴重濫用網絡資源的事件提供告警和記錄。.部署方式及說明網絡入侵檢測系統(tǒng)（IDS）由于涉及到數據的存儲和處理，所以，多采用C/S的部署方式，一般分為“引擎”和“控制臺（兼數據中心）”兩部分：（1）IDS引擎：IDS引擎接入核心交換機的鏡像端口，以監(jiān)聽相應網絡的網絡流量，IDS引擎工作口無需配置ip，另需配置一個管理ip地址；（2） IDS控制臺（兼數據中心）：在與引擎管理IP地址聯(lián)通的安全管理安全域，部署1臺服務器，安裝IDS控制臺軟件，以便存儲、分析IDS引擎的檢測數據，并管控IDS引擎?？刂婆_可掛接存儲設備（如NAS存儲）。5.1.6.安全審計.部署目的安全審計系統(tǒng)綜合了網絡安全審計和數據庫安全審計2大功能。網絡審計系統(tǒng)針對業(yè)務環(huán)境下的網絡操作行為進行細粒度審計的合規(guī)性管理系統(tǒng)。通過對業(yè)務人員訪問系統(tǒng)的行為進行解析、分析、記錄、匯報，以幫助用戶事前規(guī)劃預防、事中實時監(jiān)視、違規(guī)行為響應、事后合規(guī)報告、事故追蹤溯源，加強內外部網絡行為監(jiān)管、促進核心資產（數據庫、服務器、網絡設備等）的正常運營。數據庫安全審計系統(tǒng)是通過網絡數據的采集、分析、識別，實時監(jiān)控網絡中數據庫的所有訪問操作，同時支持自定義內容關鍵字庫，實現(xiàn)數據庫操作的內容監(jiān)測識別，發(fā)現(xiàn)各種違規(guī)數據庫操作行為，及時報警響應、全過程操作還原，從而實現(xiàn)安全事件的準確全程跟蹤定位，全面保障數據庫系統(tǒng)安全。.部署方式及說明數據庫安全域接入交換機旁路，部署1臺安全審計系統(tǒng)，審計引擎需要接入交換機的鏡像端口，工作口不需要配置ip,不影響網絡路由結構，更不影響網絡性能；管理口接入安全管理域交換機，需配置1個ip用來進行管理。5.1.7.防病毒.部署目的目前計算機病毒的發(fā)展日益猖獗，防病毒發(fā)展更趨向于集中式管理、分布式殺毒的架構，對局域網進行遠程集中式安全管理，可通過賬號和口令設置控制移動控制臺的使用，并且先進的分布技術，利用本地資源和本地殺毒引擎，對本地節(jié)點的所有文件進行全面、及時、高效的查殺病毒，同時保障用戶的隱私，減少了網絡傳輸的負載，避免因大量傳輸文件而引起的網絡擁塞。部署上以服務器為中心，進行網絡殺毒的管理，這種方式與網絡拓撲結構融合，管理更加方便。.部署方式及說明在安全管理區(qū)部署殺毒軟件管控中心服務器，在網內終端部署殺毒軟件客戶端，通過服務器端對終端的全面管理、制定病毒查殺策略。5.2.安全運維管理5.2.1.漏洞掃描漏洞掃描系統(tǒng)主要用來定期檢查系統(tǒng)內網絡設備、終端系統(tǒng)、服務器系統(tǒng)、安全設備以及數據庫等系統(tǒng)重要資產的脆弱性情況，針對主干系統(tǒng)的特點，建議將漏洞掃描部署在標清和高清業(yè)務支撐平臺各自的安全管理區(qū)內，實現(xiàn)對各自業(yè)務支撐平臺定期的漏洞掃描，同時，漏洞掃描的結果將提交給安全管理與綜合審計平臺，成為風險分析的重要數據來源。漏洞掃描系統(tǒng)是基于網絡的脆弱性分析、評估和綜合管理系統(tǒng)，漏洞掃描系統(tǒng)能夠快速發(fā)現(xiàn)網絡資產，準確識別資產屬性、全面掃描安全漏洞，清晰定性安全風險，給出修復建議和預防措施，并對風險控制策略進行有效審核，從而在弱點全面評估的基礎上實現(xiàn)安全自主掌控。5.2.2.安全管理平臺安全管理平臺系統(tǒng)是一個面向全網IT資源的集中安全管理平臺。通過對網絡中各類IT資源的安全域劃分，以及海量異構網絡與安全事件的采集、處理和分析，面向業(yè)務信息系統(tǒng)建立一套可度量的風險模型，使得各級管理員能夠實現(xiàn)全網的資產運行監(jiān)控、事件分析與審計、風險評估與度量、預警與響應、態(tài)勢分析，并借助標準化的流程管理實現(xiàn)持續(xù)的安全運營。系統(tǒng)的主要功能包括：（1）網絡運行監(jiān)控系統(tǒng)能夠對全網的各類網絡設備、安全設備、主機、數據庫、應用系統(tǒng)等實時、細粒度的運行監(jiān)控，及時發(fā)現(xiàn)網絡中的可用性故障，并進行故障定位和告警響應，確保重要業(yè)務信息系統(tǒng)的可用性和業(yè)務連續(xù)性。系統(tǒng)能夠形象地展示出用戶的網絡拓撲，并動態(tài)展示拓撲節(jié)點的運行狀態(tài)，還能夠根據用戶管理的組織和部門結構在地圖上展示出設備或者設備組的地理位置。（2）事件及流量管理系統(tǒng)能夠采集全網中各類網絡設備、安全設備、主機、數據庫、應用系統(tǒng)等的日志、告警和事件，并對這些信息進行范式化、過濾、歸并，形成統(tǒng)一的事件格式，包括統(tǒng)一事件嚴重等級、統(tǒng)一事件類型和名稱等，使得管理員能夠在系統(tǒng)的管理控制臺上方