等級(jí)保護(hù)技術(shù)方案及論大學(xué)生寫(xiě)作能力

信息系統(tǒng)等級(jí)保護(hù)建設(shè)指導(dǎo)要求（三級(jí)）目錄1.范圍-1-2.項(xiàng)目背景-2-2.1.前言-2-2.2.開(kāi)展信息安全等級(jí)保護(hù)的法規(guī)、政策和技術(shù)依據(jù)-3-信息安全等級(jí)保護(hù)有關(guān)法規(guī)、政策、文件-6-信息安全等級(jí)保護(hù)技術(shù)標(biāo)準(zhǔn)體系及其關(guān)系-9-3.方案設(shè)計(jì)要求-17-3.1.方案設(shè)計(jì)思想-17-構(gòu)建符合信息系統(tǒng)等級(jí)保護(hù)要求的安全體系結(jié)構(gòu)-17-建立科學(xué)實(shí)用的全程訪(fǎng)問(wèn)控制機(jī)制-17-加強(qiáng)源頭控制，實(shí)現(xiàn)基礎(chǔ)核心層的縱深防御-18-面向應(yīng)用，構(gòu)建安全應(yīng)用支撐平臺(tái)-19-3.2.建設(shè)原則-19-3.3.建設(shè)內(nèi)容-20-信息系統(tǒng)定級(jí)整改規(guī)劃-20-信息系統(tǒng)安全等級(jí)保護(hù)整體架構(gòu)設(shè)計(jì)（三級(jí)）-21-3.4.計(jì)算環(huán)境安全設(shè)計(jì)-27-用戶(hù)身份鑒別-27-強(qiáng)制訪(fǎng)問(wèn)控制-28-系統(tǒng)安全審計(jì)-29-用戶(hù)數(shù)據(jù)完整性保護(hù)-29-用戶(hù)數(shù)據(jù)機(jī)密性保護(hù)-30-客體安全重用-30-程序可執(zhí)行保護(hù)-30-3.5.區(qū)域邊界安全設(shè)計(jì)-30-區(qū)域邊界訪(fǎng)問(wèn)控制-31-區(qū)域邊界包過(guò)濾-34-區(qū)域邊界安全審計(jì)-34-區(qū)域邊界完整性保護(hù)-35-3.6.安全通信網(wǎng)絡(luò)設(shè)計(jì)-35-3.7.安全管理中心設(shè)計(jì)-35-4.物理安全要求-36-4.1.信息系統(tǒng)中心機(jī)房安全現(xiàn)狀-36-4.2.信息系統(tǒng)物理安全方面提出的要求-37-4.3.信息系統(tǒng)物理安全建設(shè)-37-環(huán)境安全-38-設(shè)備安全-41-介質(zhì)安全-42-5.管理安全要求-47-5.1.信息系統(tǒng)安全管理的要求-48-5.2.信息系統(tǒng)安全管理建設(shè)設(shè)計(jì)51安全管理建設(shè)原則51安全管理建設(shè)指導(dǎo)思想51安全管理建設(shè)具體措施515.3.信息系統(tǒng)安全建設(shè)總結(jié)596.設(shè)備要求596.1.設(shè)備選型原則606.2.產(chǎn)品分類(lèi)選型指標(biāo)616.2.1.主機(jī)安全管理平臺(tái)指標(biāo)616.2.2.應(yīng)用安全防護(hù)系統(tǒng)指標(biāo)626.2.3.終端安全防護(hù)系統(tǒng)（服務(wù)器版）指標(biāo)646.2.4.終端安全防護(hù)系統(tǒng)（PC版）指標(biāo)656.2.5.身份認(rèn)證網(wǎng)關(guān)指標(biāo)686.2.6.數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)指標(biāo)686.2.7.防火墻選型指標(biāo)706.2.8.防病毒網(wǎng)關(guān)指標(biāo)716.2.9.入侵檢測(cè)系統(tǒng)指標(biāo)726.2.10.漏洞掃描系統(tǒng)指標(biāo)736.2.11.抗拒絕服務(wù)系統(tǒng)指標(biāo)746.2.12.流量控制網(wǎng)關(guān)指標(biāo)756.2.13.網(wǎng)絡(luò)審計(jì)系統(tǒng)指標(biāo)766.2.14.VPN設(shè)備選型指標(biāo)776.3.信息系統(tǒng)安全等級(jí)保護(hù)建設(shè)安全產(chǎn)品配置清單（三級(jí)）79附件一：術(shù)語(yǔ)和定義81附件二：方案設(shè)計(jì)參考法規(guī)、政策、標(biāo)準(zhǔn)（含國(guó)標(biāo)、行標(biāo)、已送批）列表91信息系統(tǒng)安全等級(jí)保護(hù)建設(shè)要求第17頁(yè)/共17頁(yè)方案設(shè)計(jì)要求方案設(shè)計(jì)思想構(gòu)建符合信息系統(tǒng)等級(jí)保護(hù)要求的安全體系結(jié)構(gòu)平臺(tái)安全建設(shè)需要在整體信息安全體系指導(dǎo)下進(jìn)行實(shí)施，保證信息安全建設(shè)真正發(fā)揮效力。隨著計(jì)算機(jī)科學(xué)技術(shù)的不斷發(fā)展，計(jì)算機(jī)產(chǎn)品的不斷增加，信息系統(tǒng)也變得越來(lái)越復(fù)雜。從體系架構(gòu)角度看，任何一個(gè)信息系統(tǒng)都由計(jì)算環(huán)境、區(qū)域邊界、通信網(wǎng)絡(luò)三個(gè)層次組成。所謂計(jì)算環(huán)境就是用戶(hù)的工作環(huán)境，由完成信息存儲(chǔ)與處理的計(jì)算機(jī)系統(tǒng)硬件和系統(tǒng)軟件以及外部設(shè)備及其連接部件組成，計(jì)算環(huán)境的安全是信息系統(tǒng)安全的核心，是授權(quán)和訪(fǎng)問(wèn)控制的源頭；區(qū)域邊界是計(jì)算環(huán)境的邊界，對(duì)進(jìn)入和流出計(jì)算環(huán)境的信息實(shí)施控制和保護(hù)；通信網(wǎng)絡(luò)是計(jì)算環(huán)境之間實(shí)現(xiàn)信息傳輸功能的部分。在這三個(gè)層次中，如果每一個(gè)使用者都是經(jīng)過(guò)認(rèn)證和授權(quán)的，其操作都是符合規(guī)定的，那么就不會(huì)產(chǎn)生攻擊性的事故，就能保證整個(gè)信息系統(tǒng)的安全。建立科學(xué)實(shí)用的全程訪(fǎng)問(wèn)控制機(jī)制訪(fǎng)問(wèn)控制機(jī)制是信息系統(tǒng)中敏感信息保護(hù)的核心，依據(jù)《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》（GB17859-2021）（以下簡(jiǎn)稱(chēng)GB17859-2021）：三級(jí)信息系統(tǒng)安全保護(hù)環(huán)境的設(shè)計(jì)謀略，應(yīng)“提供有關(guān)安全策略模型、數(shù)據(jù)標(biāo)記以及主體對(duì)客體強(qiáng)制訪(fǎng)問(wèn)控制”的相關(guān)要求?；凇耙粋€(gè)中心支撐下的三重保障體系結(jié)構(gòu)”的安全保護(hù)環(huán)境，構(gòu)造非形式化的安全策略模型，對(duì)主、客體進(jìn)行安全標(biāo)記，并以此為基礎(chǔ)，按照訪(fǎng)問(wèn)控制規(guī)則實(shí)現(xiàn)對(duì)所有主體及其所控制的客體的強(qiáng)制訪(fǎng)問(wèn)控制。由安全管理中心統(tǒng)一制定和下發(fā)訪(fǎng)問(wèn)控制策略，在安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)實(shí)施統(tǒng)一的全程訪(fǎng)問(wèn)控制，阻止對(duì)非授權(quán)用戶(hù)的訪(fǎng)問(wèn)行為以及授權(quán)用戶(hù)的非授權(quán)訪(fǎng)問(wèn)行為。加強(qiáng)源頭控制，實(shí)現(xiàn)基礎(chǔ)核心層的縱深防御終端是一切不安全問(wèn)題的根源，終端安全是信息系統(tǒng)安全的源頭，如果在終端實(shí)施積極防御、綜合防范，努力消除不安全問(wèn)題的根源，那么重要信息就不會(huì)從終端泄露出去，病毒、木馬也無(wú)法入侵終端，內(nèi)部惡意用戶(hù)更是無(wú)法從網(wǎng)內(nèi)攻擊信息系統(tǒng)安全，防范內(nèi)部用戶(hù)攻擊的問(wèn)題迎刃而解。安全操作系統(tǒng)是終端安全的核心和基礎(chǔ)。如果沒(méi)有安全操作系統(tǒng)的支撐，終端安全就毫無(wú)保障。實(shí)現(xiàn)基礎(chǔ)核心層的縱深防御需要高安全等級(jí)操作系統(tǒng)的支撐，以此為基礎(chǔ)實(shí)施深層次的人、技術(shù)和操作的控制。面向應(yīng)用，構(gòu)建安全應(yīng)用支撐平臺(tái)在當(dāng)前的信息系統(tǒng)中，不僅包括單機(jī)模式的應(yīng)用，還包括C/S和B/S模式的應(yīng)用。雖然很多應(yīng)用系統(tǒng)本身具有一定的安全機(jī)制，如身份認(rèn)證、權(quán)限控制等，但是這些安全機(jī)制容易被篡改和旁路，致使敏感信息的安全難以得到有效保護(hù)。另外，由于應(yīng)用系統(tǒng)的復(fù)雜性，修改現(xiàn)有應(yīng)用也是不現(xiàn)實(shí)的。因此，在不修改現(xiàn)有應(yīng)用的前提下，以保護(hù)應(yīng)用的安全為目標(biāo)，需要構(gòu)筑安全應(yīng)用支撐平臺(tái)。本方案擬采用安全封裝的方式實(shí)現(xiàn)對(duì)應(yīng)用服務(wù)的訪(fǎng)問(wèn)控制。應(yīng)用服務(wù)的安全封裝主要由可信計(jì)算環(huán)境、資源隔離和輸入輸出安全檢查來(lái)實(shí)現(xiàn)。通過(guò)可信計(jì)算的基礎(chǔ)保障機(jī)制建立可信應(yīng)用環(huán)境，通過(guò)資源隔離限制特定進(jìn)程對(duì)特定文件的訪(fǎng)問(wèn)權(quán)限，從而將應(yīng)用服務(wù)隔離在一個(gè)受保護(hù)的環(huán)境中，不受外界的干擾，確保應(yīng)用服務(wù)相關(guān)的客體資源不會(huì)被非授權(quán)用戶(hù)訪(fǎng)問(wèn)。輸入輸出安全檢查截獲并分析用戶(hù)和應(yīng)用服務(wù)之間的交互請(qǐng)求，防范非法的輸入和輸出。建設(shè)原則信息系統(tǒng)安全建設(shè)項(xiàng)目依托現(xiàn)有網(wǎng)絡(luò)環(huán)境，基于嚴(yán)格的管理架構(gòu)及信息系統(tǒng)運(yùn)營(yíng)模式。要實(shí)現(xiàn)信息安全整體體系及安全聯(lián)動(dòng)機(jī)制的統(tǒng)一規(guī)劃，需要嚴(yán)格遵循一定的建設(shè)原則與標(biāo)準(zhǔn)。主要包括：需求、風(fēng)險(xiǎn)、代價(jià)平衡分析的原則綜合性、整體性原則易操作性原則多重保護(hù)原則可評(píng)價(jià)性原則考慮到信息系統(tǒng)安全建設(shè)依托單位網(wǎng)絡(luò)信息中心實(shí)現(xiàn)系統(tǒng)管理和運(yùn)維，其直接實(shí)現(xiàn)信息安全管理與技術(shù)建設(shè)。需要在網(wǎng)絡(luò)信息中心的統(tǒng)一規(guī)劃指導(dǎo)下開(kāi)展信息安全建設(shè)。建議按照“統(tǒng)一規(guī)劃、分步實(shí)施”原則，針對(duì)單位內(nèi)管理及使用的各信息系統(tǒng)按安全等級(jí)劃分后進(jìn)行信息安全等級(jí)保護(hù)的統(tǒng)一規(guī)劃設(shè)計(jì)與分步建設(shè)實(shí)施。參照信息系統(tǒng)（三級(jí)）的技術(shù)設(shè)計(jì)思路和建設(shè)內(nèi)容，遵照等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)和要求，按照等保相應(yīng)級(jí)別系統(tǒng)的安全要求，進(jìn)行信息安全等級(jí)保護(hù)的規(guī)劃設(shè)計(jì)。參考標(biāo)準(zhǔn)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》（國(guó)務(wù)院14號(hào)令）《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》（中辦發(fā)[2021]27號(hào)）《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)》（公通字[2021]66號(hào)）《信息安全等級(jí)保護(hù)管理方法》（公通字[2021]43號(hào)）《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》（GB17859-2021）《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》《信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》（GB/T25070-2021）《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（GB/T22239-2021）《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》《信息安全技術(shù)操作系統(tǒng)安全評(píng)估準(zhǔn)則》（GB/T20219-2021）《信息安全技術(shù)信息系統(tǒng)安全管理要求》（GB/T20269-2021）《信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》（GB/T20270-2021）《信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求》（GB/T20271-2021）《信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求》（GB/T20272-2021）《信息安全技術(shù)數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求》（GB/T20273-2021）建設(shè)內(nèi)容平臺(tái)安全基本涉及到如下方面：作為海量數(shù)據(jù)的處理平臺(tái)，平臺(tái)安全控制要做到如下：安全可靠：能夠有效屏蔽惡意的訪(fǎng)問(wèn)可伸縮：能夠隨著規(guī)模的擴(kuò)大，無(wú)需更改架構(gòu)就可以支持易于管理：支持大規(guī)模分布式管理，單入口就可以管理所有設(shè)備和系統(tǒng)及應(yīng)用的安全方便用戶(hù)：不能因?yàn)榘踩蟾?，而降低了用?hù)的交互友好度安全拓?fù)涫疽鈭D部署說(shuō)明：網(wǎng)絡(luò)邊界部署抗DDos系統(tǒng)，防護(hù)外部僵尸主機(jī)對(duì)網(wǎng)絡(luò)及業(yè)務(wù)系統(tǒng)的攻擊，保障網(wǎng)絡(luò)的高可用性；部署邊界防火墻設(shè)備，并開(kāi)啟VPN模塊，防護(hù)來(lái)自外部的安全威脅及訪(fǎng)問(wèn)控制，并對(duì)網(wǎng)絡(luò)間傳輸?shù)臄?shù)據(jù)進(jìn)行加密；部署入侵防護(hù)系統(tǒng)，避免業(yè)務(wù)系統(tǒng)遭受來(lái)自外部的入侵攻擊；在虛擬化平臺(tái)部署安裝虛擬防火墻，對(duì)東西向流量進(jìn)行防護(hù)，及各VM間進(jìn)行隔離。詳細(xì)設(shè)計(jì)方案計(jì)算環(huán)境安全設(shè)計(jì)計(jì)算環(huán)境安全是整個(gè)安全建設(shè)的核心和基礎(chǔ)。計(jì)算環(huán)境安全通過(guò)終端、應(yīng)用服務(wù)器和數(shù)據(jù)庫(kù)的安全機(jī)制服務(wù)，保障應(yīng)用業(yè)務(wù)處理全過(guò)程的安全。系統(tǒng)終端和服務(wù)器通過(guò)在操作系統(tǒng)核心層和系統(tǒng)層設(shè)置以強(qiáng)制訪(fǎng)問(wèn)控制為主體的系統(tǒng)安全機(jī)制，形成嚴(yán)密的安全保護(hù)環(huán)境，通過(guò)對(duì)用戶(hù)行為的控制，可以有效防止非授權(quán)用戶(hù)訪(fǎng)問(wèn)和授權(quán)用戶(hù)越權(quán)訪(fǎng)問(wèn)，確保信息和信息系統(tǒng)的保密性和完整性，從而為業(yè)務(wù)系統(tǒng)的正常運(yùn)行和免遭惡意破壞提供支撐和保障。系統(tǒng)安全加固1）操作系統(tǒng)加固：進(jìn)行操作系統(tǒng)裁剪，只安裝滿(mǎn)足業(yè)務(wù)需求的“最小操作系統(tǒng)”2）加強(qiáng)安全基線(xiàn)配置3）數(shù)據(jù)庫(kù)加固：操作系統(tǒng)和數(shù)據(jù)庫(kù)程序數(shù)據(jù)文件安裝在不同分區(qū)上；在非系統(tǒng)卷上安裝數(shù)據(jù)庫(kù)程序和文件；只安裝業(yè)務(wù)需要的組件，不安裝如升級(jí)工具、開(kāi)發(fā)工具、代碼例如、聯(lián)機(jī)叢書(shū)等不必要組件；限制客戶(hù)端計(jì)算機(jī)連接到數(shù)據(jù)庫(kù)服務(wù)器所能夠使用的協(xié)議的范圍，并確保這些協(xié)議的安全性，如限制只使用TCP/IP協(xié)議；限制客戶(hù)端計(jì)算機(jī)連接到數(shù)據(jù)庫(kù)服務(wù)器所使用的特定端口，不使用默認(rèn)端口。系統(tǒng)安全審計(jì)計(jì)算環(huán)境各區(qū)域中的安全控制點(diǎn)，包括防火墻、IPS、防病毒網(wǎng)關(guān)等設(shè)備功能的審計(jì)模塊記錄系統(tǒng)的相關(guān)安全事件。審計(jì)記錄包括安全事件的主體、客體、時(shí)間、類(lèi)型和結(jié)果等內(nèi)容。審計(jì)管理平臺(tái)提供審計(jì)記錄查詢(xún)、分類(lèi)、分析和存儲(chǔ)保護(hù)，對(duì)特定安全事件進(jìn)行報(bào)警，同時(shí)終端安全加固系統(tǒng)能夠確保審計(jì)記錄不會(huì)被非授權(quán)用戶(hù)訪(fǎng)問(wèn)。用戶(hù)數(shù)據(jù)完整性保護(hù)在VPN設(shè)備的安全功能支撐下，對(duì)通過(guò)網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)進(jìn)行校驗(yàn)、保證重要數(shù)據(jù)在網(wǎng)絡(luò)傳輸過(guò)程中的完整性。區(qū)域邊界安全設(shè)計(jì)安全區(qū)域邊界是對(duì)定級(jí)系統(tǒng)的安全計(jì)算環(huán)境的邊界，以及安全計(jì)算環(huán)境與安全通信網(wǎng)絡(luò)之間實(shí)現(xiàn)連接功能進(jìn)行安全保護(hù)的部件。區(qū)域邊界訪(fǎng)問(wèn)控制防火墻在安全區(qū)域邊界實(shí)施相應(yīng)的訪(fǎng)問(wèn)控制策略，對(duì)進(jìn)出安全區(qū)域邊界的數(shù)據(jù)信息進(jìn)行控制，阻止非授權(quán)訪(fǎng)問(wèn)。要求：1）網(wǎng)絡(luò)構(gòu)架設(shè)計(jì)上應(yīng)根據(jù)web服務(wù)器、應(yīng)用服務(wù)器及數(shù)據(jù)庫(kù)服務(wù)器重要性和所涉及信息的重要程度等因素，利用防火墻劃分在不同的網(wǎng)段，避免將應(yīng)用服務(wù)器及數(shù)據(jù)庫(kù)服務(wù)器等信息系統(tǒng)核心服務(wù)器部署在網(wǎng)絡(luò)邊界處，不可將這類(lèi)服務(wù)器直接連接外部信息系統(tǒng)。重要服務(wù)器與其他網(wǎng)段之間通過(guò)采取可靠的技術(shù)隔離手段；信息系統(tǒng)服務(wù)器只開(kāi)放web服務(wù)相關(guān)端口，關(guān)閉其它服務(wù)及端口。根據(jù)信息系統(tǒng)服務(wù)的具體內(nèi)容，可以開(kāi)放如下端口：端口服務(wù)25郵件發(fā)送服務(wù)110POP郵件服務(wù)80信息系統(tǒng)服務(wù)443安全信息系統(tǒng)服務(wù)2）流量控制設(shè)備對(duì)網(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)監(jiān)控和合理限制，保證網(wǎng)絡(luò)帶寬和業(yè)務(wù)服務(wù)的持續(xù)可用。3）抗拒絕服務(wù)系統(tǒng)有效防范拒絕服務(wù)等網(wǎng)絡(luò)攻擊，保證系統(tǒng)的完整性和可用性。外部接入?yún)^(qū)的防病毒網(wǎng)關(guān)設(shè)備阻止惡意代碼進(jìn)入信息系統(tǒng)中，形成對(duì)局域網(wǎng)內(nèi)部的設(shè)備和資源的有效保護(hù)。防病毒應(yīng)采用防病毒網(wǎng)關(guān)與防病毒軟件聯(lián)動(dòng)的方式，從而實(shí)現(xiàn)從邊界到內(nèi)部全面有效的抵御病毒的攻擊要求：1)防病毒網(wǎng)關(guān)主要用于對(duì)病毒的查殺，可是，由于這些軟件是通過(guò)病毒特征庫(kù)來(lái)實(shí)現(xiàn)對(duì)病毒的防御與查殺，因此對(duì)于新出現(xiàn)的病毒，防病毒網(wǎng)關(guān)總會(huì)存在一定的遲滯時(shí)間，給信息系統(tǒng)帶來(lái)安全隱患。因此，需要通過(guò)對(duì)信息系統(tǒng)的服務(wù)器操作系統(tǒng)進(jìn)行安全加固，對(duì)業(yè)務(wù)應(yīng)用系統(tǒng)進(jìn)行完整性保護(hù)，使操作系統(tǒng)和業(yè)務(wù)應(yīng)用對(duì)于病毒和惡意代碼實(shí)現(xiàn)自免疫，即使是新出現(xiàn)的病毒，也能夠保證不會(huì)被入侵或破壞。2)信息系統(tǒng)系統(tǒng)中相關(guān)各個(gè)服務(wù)器及工作站必須安裝計(jì)算機(jī)防病毒軟件，終端安全防護(hù)系統(tǒng)（服務(wù)器版、PC版），在網(wǎng)絡(luò)邊界安裝硬件統(tǒng)一威脅管理（UTM）等設(shè)備，形成服務(wù)器、終端操作系統(tǒng)加固軟件、主機(jī)防毒軟件及網(wǎng)絡(luò)防毒硬件構(gòu)成的病毒防御體系。病毒防御體系應(yīng)具備如下功能：執(zhí)行程序完整性保護(hù)惡意代碼主動(dòng)防御病毒事件報(bào)警，病毒事件日志查詢(xún)與統(tǒng)計(jì)全網(wǎng)查殺病毒，實(shí)時(shí)監(jiān)控客戶(hù)端防毒狀況集中控制及管理防毒策略防病毒系統(tǒng)自我保護(hù)系統(tǒng)主動(dòng)防御，惡意行為檢測(cè)，隱藏進(jìn)程檢測(cè)病毒庫(kù)在線(xiàn)升級(jí)及離線(xiàn)升級(jí)客戶(hù)端漏洞檢測(cè)與補(bǔ)丁分發(fā)控制未知病毒、蠕蟲(chóng)、間諜軟件執(zhí)行3)信息系統(tǒng)管理人員應(yīng)及時(shí)升級(jí)防毒墻和防病毒軟件的病毒庫(kù)，提高其抵御病毒的能力。應(yīng)定期利用防病毒軟件掃描各個(gè)服務(wù)器及工作站操作系統(tǒng)的安全現(xiàn)狀。定期查看主機(jī)惡意代碼免疫軟件中的審計(jì)日志，及時(shí)發(fā)現(xiàn)服務(wù)器及工作站操作系統(tǒng)中存在的未知病毒、木馬等惡意可執(zhí)行代碼。入侵檢測(cè)系統(tǒng)在外部接入?yún)^(qū)檢測(cè)外部對(duì)內(nèi)部系統(tǒng)的入侵行為。將網(wǎng)絡(luò)入侵檢測(cè)產(chǎn)品放置在比擬重要的網(wǎng)段內(nèi)，監(jiān)視網(wǎng)段中的各種數(shù)據(jù)包。對(duì)每一個(gè)數(shù)據(jù)包或可疑的數(shù)據(jù)包進(jìn)行特征分析。如果數(shù)據(jù)包與產(chǎn)品內(nèi)置的某些規(guī)則吻合，入侵檢測(cè)系統(tǒng)應(yīng)發(fā)出警報(bào)甚至直接切斷網(wǎng)絡(luò)連接。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)應(yīng)能夠檢測(cè)來(lái)自網(wǎng)絡(luò)的攻擊，能夠檢測(cè)到超過(guò)授權(quán)的非法訪(fǎng)問(wèn)。無(wú)需改變服務(wù)器等主機(jī)的配置，不在業(yè)務(wù)系統(tǒng)的主機(jī)中安裝額外的軟件，不影響這些機(jī)器的CPU、I/O與磁盤(pán)等資源的使用，不影響業(yè)務(wù)系統(tǒng)的性能區(qū)域邊界包過(guò)濾區(qū)域邊界部署的防火墻產(chǎn)品通過(guò)檢查數(shù)據(jù)包的源地址、目的地址、傳輸層協(xié)議、請(qǐng)求的服務(wù)等，確定是否允許該數(shù)據(jù)包進(jìn)出該區(qū)域邊界。在服務(wù)器前端開(kāi)啟防火墻的應(yīng)用安全審計(jì)功能模塊。能有效的審計(jì)各種惡意的網(wǎng)絡(luò)攻擊手段。區(qū)域邊界安全審計(jì)區(qū)域邊界部署的防火墻、開(kāi)啟防病毒功能模塊、部署IPS入侵防御對(duì)確認(rèn)的風(fēng)險(xiǎn)行為及時(shí)防御及報(bào)警。網(wǎng)絡(luò)入侵防御能力入侵防御是對(duì)防火墻極其有益的補(bǔ)充，入侵防御系統(tǒng)能在入侵攻擊對(duì)系統(tǒng)發(fā)生危害前，檢測(cè)到入侵攻擊，并利用報(bào)警與防護(hù)系統(tǒng)驅(qū)逐入侵攻擊。在入侵攻擊過(guò)程中，能減少入侵攻擊所造成的損失。在被入侵攻擊后，收集入侵攻擊的相關(guān)信息，作為防范系統(tǒng)的知識(shí)，添參加知識(shí)庫(kù)內(nèi)，增強(qiáng)系統(tǒng)的防范能力，避免系統(tǒng)再次受到入侵。入侵防御被認(rèn)為是防火墻之后的第二道安全閘門(mén)，在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)聽(tīng)，從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù),大大提高了網(wǎng)絡(luò)的安全性。防病毒能力邊界防火墻開(kāi)啟防病毒功能，在出口處實(shí)時(shí)檢查網(wǎng)絡(luò)數(shù)據(jù)流，防止惡意和不必要的應(yīng)用及web內(nèi)容進(jìn)出網(wǎng)絡(luò)，實(shí)現(xiàn)辦公區(qū)域網(wǎng)絡(luò)最大化保護(hù)、控制與使用。通過(guò)利用ASIC加速的數(shù)據(jù)檢查引擎，可在不影響網(wǎng)絡(luò)流量速度的前提下快速準(zhǔn)確地檢查并分類(lèi)HTTP/HTTPS、FTP、SMTP和POP3數(shù)據(jù)。此外，基于用戶(hù)和用戶(hù)群的URL過(guò)濾引擎和應(yīng)用控制可協(xié)助管理員實(shí)現(xiàn)網(wǎng)絡(luò)應(yīng)用策略。間諜軟件、病毒、rootkit攻擊、廣告軟件和木馬等惡意內(nèi)容在網(wǎng)關(guān)處即可被識(shí)別并攔截下來(lái)。并保證防病毒軟件并已升級(jí)到最新版本的病毒庫(kù)軟件，大大減少病毒、木馬等攻擊行為。應(yīng)用安全防護(hù)能力服務(wù)器和存儲(chǔ)系統(tǒng)承載的關(guān)鍵系統(tǒng)和重要數(shù)據(jù)，該網(wǎng)絡(luò)是安全防范的重點(diǎn)，數(shù)據(jù)中心網(wǎng)絡(luò)的出口部署高性能入侵防御系統(tǒng)，可以有效阻止針對(duì)數(shù)據(jù)中心網(wǎng)絡(luò)的攻擊行為，復(fù)用互聯(lián)網(wǎng)出口的DDoS拒絕服務(wù)攻擊防護(hù)系統(tǒng)，對(duì)服務(wù)器的應(yīng)用層攻擊進(jìn)行清洗，保證系統(tǒng)的正常運(yùn)行；安全通信網(wǎng)絡(luò)設(shè)計(jì)安全通訊網(wǎng)絡(luò)是對(duì)定級(jí)系統(tǒng)安全計(jì)算環(huán)境之間進(jìn)行信息傳輸實(shí)施安全保護(hù)的部件。采用VPN技術(shù)實(shí)現(xiàn)遠(yuǎn)程通信數(shù)據(jù)傳輸?shù)耐暾院捅Ｃ苄浴Ｌ摂M化主機(jī)安全防護(hù)虛擬化主機(jī)安全，面向虛擬化主機(jī)層面的安全防護(hù)、檢測(cè)與審計(jì)。通過(guò)NFV化的安全能力，提供主機(jī)層面的安全能力。提供安全能力包括：入侵防御（虛擬補(bǔ)?。环啦《荆ˋV）；虛擬機(jī)防火墻（vFW）。有效隔離，有效防護(hù)虛擬機(jī)安全，是虛擬化安全的重點(diǎn)，在云平臺(tái)安裝軟件虛擬防火墻vFW，解決VM之間的互訪(fǎng)安全，對(duì)網(wǎng)絡(luò)不可見(jiàn)的東西向流量進(jìn)行隔離和防護(hù)，從網(wǎng)絡(luò)層和VM多層面解決虛擬化網(wǎng)絡(luò)安全問(wèn)題。通過(guò)云安全服務(wù)平臺(tái)，可以對(duì)部署于宿主機(jī)內(nèi)的安全組件進(jìn)行管理和監(jiān)控。使安全管理員可以方便的創(chuàng)建和管理安全策略，并提供基于主機(jī)層面的安全事件、網(wǎng)絡(luò)行為可視化分析，以及安全報(bào)表等功能。系統(tǒng)運(yùn)行保障該系統(tǒng)確保整體分布輿情系統(tǒng)的穩(wěn)定運(yùn)行和及時(shí)處置，在網(wǎng)絡(luò)中部署網(wǎng)絡(luò)監(jiān)控管理平臺(tái)，對(duì)全網(wǎng)服務(wù)器運(yùn)行狀態(tài)進(jìn)行監(jiān)控；設(shè)備清單項(xiàng)選擇型及參數(shù)序號(hào)產(chǎn)品名稱(chēng)配置信息備注1流量清洗設(shè)備清洗容量10G；小包防御能力1480萬(wàn)；2U機(jī)架式安裝；臺(tái)2防火墻/VPN設(shè)備吞吐28Gbps；建議用戶(hù)數(shù) 3000-5000；最大并發(fā)連接數(shù)400W；每秒新建連接數(shù)28W；防病毒吞吐量12G；IPS吞吐量8G；SSL最大并發(fā)用戶(hù)數(shù) 2,048；IPSEC吞吐360Mbps；IPSec隧道數(shù)10000；VRF個(gè)數(shù)（虛擬防火墻）512；2U機(jī)架式安裝；臺(tái)3入侵防護(hù)系統(tǒng)IPS吞吐8G；整機(jī)新建12w；整機(jī)并發(fā)220w；2U機(jī)架式安裝；臺(tái)4虛擬防火墻軟件產(chǎn)品套

論大學(xué)生寫(xiě)作能力寫(xiě)作能力是對(duì)自己所積累的信息進(jìn)行選擇、提取、加工、改造并將之形成為書(shū)面文字的能力。積累是寫(xiě)作的基礎(chǔ)，積累越厚實(shí)，寫(xiě)作就越有基礎(chǔ)，文章就能根深葉茂開(kāi)奇葩。沒(méi)有積累，胸?zé)o點(diǎn)墨，怎么也不會(huì)寫(xiě)出作文來(lái)的。寫(xiě)作能力是每個(gè)大學(xué)生必須具備的能力。從目前高校整體情況上看，大學(xué)生的寫(xiě)作能力較為欠缺。一、大學(xué)生應(yīng)用文寫(xiě)作能力的定義那么，大學(xué)生的寫(xiě)作能力究竟是指什么呢？葉圣陶先生曾經(jīng)說(shuō)過(guò)，“大學(xué)畢業(yè)生不一定能寫(xiě)小說(shuō)詩(shī)歌，但是一定要寫(xiě)工作和生活中實(shí)用的文章，而且非寫(xiě)得既通順又扎實(shí)不可?！睂?duì)于大學(xué)生的寫(xiě)作能力應(yīng)包含什么，可能有多種理解，但從葉圣陶先生的談話(huà)中，我認(rèn)為：大學(xué)生寫(xiě)作能力應(yīng)包括應(yīng)用寫(xiě)作能力和文學(xué)寫(xiě)作能力，而前者是必須的，后者是“不一定”要具備，能具備則更好。眾所周知，對(duì)于大學(xué)生來(lái)說(shuō)，是要寫(xiě)畢業(yè)論文的，我認(rèn)為寫(xiě)作論文的能力可以包含在應(yīng)用寫(xiě)作能力之中。大學(xué)生寫(xiě)作能力的體現(xiàn)，也往往是在撰寫(xiě)畢業(yè)論文中集中體現(xiàn)出來(lái)的。本科畢業(yè)論文無(wú)論是對(duì)于學(xué)生個(gè)人還是對(duì)于院系和學(xué)校來(lái)說(shuō)，都是十分重要的。如何提高本科畢業(yè)論文的質(zhì)量和水平，就成為教育行政部門(mén)和高校都很重視的一個(gè)重要課題。如何提高大學(xué)生的寫(xiě)作能力的問(wèn)題必須得到社會(huì)的廣泛關(guān)注，并且提出對(duì)策去實(shí)施解決。二、造成大學(xué)生應(yīng)用文寫(xiě)作困境的原因：（一）大學(xué)寫(xiě)作課開(kāi)設(shè)結(jié)構(gòu)不合理。就目前中國(guó)多數(shù)高校的學(xué)科設(shè)置來(lái)看，除了中文專(zhuān)業(yè)會(huì)系統(tǒng)開(kāi)設(shè)寫(xiě)作的系列課程外，其他專(zhuān)業(yè)的學(xué)生都只開(kāi)設(shè)了普及性的《大學(xué)語(yǔ)文》課。學(xué)生寫(xiě)作能力的提高是一項(xiàng)艱巨復(fù)雜的任務(wù)，而我們的課程設(shè)置僅把這一任務(wù)交給了大學(xué)語(yǔ)文教師，可大學(xué)語(yǔ)文教師既要在有限課時(shí)時(shí)間內(nèi)普及相關(guān)經(jīng)典名著知識(shí)，又要適度提高學(xué)生的鑒賞能力，且要教會(huì)學(xué)生寫(xiě)作規(guī)律并提高寫(xiě)作能力，任務(wù)之重實(shí)難完成。（二）對(duì)實(shí)用寫(xiě)作的普遍性不重視。“大學(xué)語(yǔ)文”教育已經(jīng)被嚴(yán)重地“邊緣化”。目前對(duì)中國(guó)語(yǔ)文的態(tài)度淡漠，而是呈現(xiàn)出全民學(xué)英語(yǔ)的大好勢(shì)頭。中小學(xué)如此，大學(xué)更是如此。對(duì)我們的母語(yǔ)中國(guó)語(yǔ)文，在大學(xué)反而被漠視，沒(méi)有相關(guān)的課程的設(shè)置，沒(méi)有系統(tǒng)的學(xué)習(xí)實(shí)踐訓(xùn)練。這其實(shí)是國(guó)人的一種偏見(jiàn)。應(yīng)用寫(xiě)作有它自身的規(guī)律和方法。一個(gè)人學(xué)問(wèn)很大，會(huì)寫(xiě)小說(shuō)、詩(shī)歌、戲劇等，但如果不曉得應(yīng)用文寫(xiě)作的特點(diǎn)和方法，他就寫(xiě)不好應(yīng)用文。（三）部分大學(xué)生學(xué)習(xí)態(tài)度不端正。很多非中文專(zhuān)業(yè)的大學(xué)生對(duì)寫(xiě)作的學(xué)習(xí)和訓(xùn)練都只是集中在《大學(xué)語(yǔ)文》這一門(mén)課上，大部分學(xué)生只愿意被動(dòng)地接受大學(xué)語(yǔ)文老師所講授的文學(xué)經(jīng)典故事，而對(duì)于需要學(xué)生動(dòng)手動(dòng)腦去寫(xiě)的作文，卻是盡可能應(yīng)付差事，這樣勢(shì)必不能讓大學(xué)生的寫(xiě)作水平有所提高。（四）教師的實(shí)踐性教學(xué)不強(qiáng)。學(xué)生寫(xiě)作能力的提高是一項(xiàng)艱巨復(fù)雜的任務(wù)，但在教學(xué)中有不少