XX單位等級保護(hù)(三級)安全整改方案(差評后版)V1

1XX單位信息系統(tǒng)等級保護(hù)安全整改方案XX單位信息系統(tǒng)等級保護(hù)2XX單位信息系統(tǒng)等級保護(hù)安全整改方案 2.3.物理安全現(xiàn)狀說明(可選) 8 2.5.主機(jī)與存儲設(shè)備說明(非評審方案可忽略) 82.6.數(shù)據(jù)存儲情況說明(非評審方案可忽略) 92.7.安全管理制度情況說明(僅技術(shù)方案可忽略) 92.8.安全管理人員情況說明(僅技術(shù)方案可忽略) 9 3XX單位信息系統(tǒng)等級保護(hù)安全整改方案 4XX單位信息系統(tǒng)等級保護(hù)安全整改方案1.1.項(xiàng)目建設(shè)背景1.2.項(xiàng)目建設(shè)目標(biāo)GB對三級系統(tǒng)的安全保護(hù)要求，在二級安全保護(hù)環(huán)境的基礎(chǔ)上，通過實(shí)現(xiàn)基于安全策略模型和標(biāo)記的強(qiáng)制訪問控制以及增強(qiáng)系統(tǒng)的審計(jì)機(jī)制，使得系統(tǒng)具有在統(tǒng)一安全策略管控下，保護(hù)敏感資源的能力?！缎畔⑾到y(tǒng)安全保護(hù)等級定級指南》等標(biāo)準(zhǔn)，以及XX單位對信息系統(tǒng)等級保護(hù)工作的有關(guān)規(guī)定和要求，對XX單位的網(wǎng)絡(luò)和信息系統(tǒng)進(jìn)行等級保護(hù)定級，按信息系統(tǒng)逐個(gè)編制定級報(bào)告和定級備案表，并指導(dǎo)XX單位信息化人員將定級材料提交當(dāng)?shù)毓矙C(jī)關(guān)備案。通過為滿系建設(shè)；為滿足安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理五個(gè)方面基本管理要求進(jìn)行管理體系建設(shè)。使得XX單位網(wǎng)絡(luò)系統(tǒng)的等級保護(hù)建設(shè)方案最終既可以滿足等級保護(hù)的相關(guān)要求，又能夠全方面為XX單位的業(yè)務(wù)系統(tǒng)提供立體、縱深的安全保障防御體系，保證信息系統(tǒng)整體的安全保護(hù)能力。本項(xiàng)目建設(shè)將完成以下目標(biāo)：1、以XX單位信息系統(tǒng)現(xiàn)有基礎(chǔ)設(shè)施，建設(shè)并完成滿足等級保護(hù)三級系統(tǒng)基本要求的信2、建立安全管理組織機(jī)構(gòu)。成立信息安全工作組，XX負(fù)責(zé)人為安全責(zé)任人，擬定實(shí)施信息系統(tǒng)安全等級保護(hù)的具體方案，并制定相應(yīng)的崗位責(zé)任制，確保信息安全等級保護(hù)工作順利實(shí)施。安全技術(shù)防護(hù)體系。安全管理制度，對安全管理人員或操作人員執(zhí)行的重要管理操作建立操作規(guī)程和執(zhí)行記錄文5XX單位信息系統(tǒng)等級保護(hù)安全整改方案按可能出現(xiàn)問題的不同情形制定相應(yīng)的應(yīng)急措施，在系統(tǒng)出現(xiàn)故障和意外且無法短時(shí)間恢復(fù)的情況下能確保生產(chǎn)活動持續(xù)進(jìn)行。6、安全培訓(xùn)：為XX單位信息化技術(shù)人員提供信息安全相關(guān)專業(yè)技術(shù)知識培訓(xùn)。1.3.項(xiàng)目參考標(biāo)準(zhǔn)深信服遵循以及國家信息安全等級保護(hù)指南等最新安全標(biāo)準(zhǔn)以及開展各項(xiàng)服務(wù)工作，配中中辦[2003]27號文件(關(guān)于轉(zhuǎn)發(fā)《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工公通字[2004]66號文件(關(guān)于印發(fā)《信息安全等級保護(hù)工作的實(shí)施意見》的通知)公通字[2007]43號文件(關(guān)于印發(fā)《信息安全等級保護(hù)管理辦法》的通知)公信安[2009]1429《關(guān)于開展信息安全等級保護(hù)安全建設(shè)整改工作的指導(dǎo)意見》全國人大《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》國發(fā)[2012]23號《國務(wù)院關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意國發(fā)[2013]7號《國務(wù)院關(guān)于推進(jìn)物聯(lián)網(wǎng)有序健康發(fā)展的指導(dǎo)意見》公信安[2014]2182號《關(guān)于加強(qiáng)國家級重要信息系統(tǒng)安全保障工作有關(guān)事項(xiàng)的通知》(公信安[2014]2182號)GB17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則GB/T25058-2010信息系統(tǒng)安全等級保護(hù)實(shí)施指南GB/T22240-2008信息安全技術(shù)信息系統(tǒng)安全保護(hù)等級定級指南GBT2010GBT2005GBT2006GBT2007GBT2005GBT2006GBT2006GBT2005GBT2006GBT2006GBT2006GBT2006GBT2006信息安全產(chǎn)品類別與代碼網(wǎng)絡(luò)代理服務(wù)器的安全技術(shù)要求包過濾防火墻評估準(zhǔn)則防火墻技術(shù)要求和測試評價(jià)方法路由器安全技術(shù)要求路由器安全評估準(zhǔn)則操作系統(tǒng)安全技術(shù)要求數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求數(shù)據(jù)庫管理系統(tǒng)安全評估準(zhǔn)則入侵檢測系統(tǒng)技術(shù)要求和測試評價(jià)方法網(wǎng)絡(luò)和終端設(shè)備隔離部件測試評價(jià)方法網(wǎng)絡(luò)和終端設(shè)備隔離部件安全技術(shù)要求網(wǎng)絡(luò)脆弱性掃描產(chǎn)品技術(shù)要求網(wǎng)絡(luò)脆弱性掃描產(chǎn)品測試評價(jià)方法指導(dǎo)思想等級保護(hù)系統(tǒng)定級技術(shù)方面6XX單位信息系統(tǒng)等級保護(hù)安全整改方案GBGB/T20945-2007信息系統(tǒng)安全審計(jì)產(chǎn)品技術(shù)要求和測試評價(jià)方法GB/T21028-2007服務(wù)器安全技術(shù)要求GB/T25063-2010服務(wù)器安全側(cè)評要求GB/T21050-2007網(wǎng)絡(luò)交換機(jī)安全技術(shù)要求(EAL3)GB/T28452-2012應(yīng)用軟件系統(tǒng)通用安全技術(shù)要求GB/T29240-2012終端計(jì)算機(jī)通用安全技術(shù)要求與測試評價(jià)方法GB/T28456-2012IPsec協(xié)議應(yīng)用測試規(guī)范信息系統(tǒng)安全管理要求信息系統(tǒng)安全管理評估要求信息安全風(fēng)險(xiǎn)評估規(guī)范信息安全風(fēng)險(xiǎn)管理指南信息安全事件管理指南信息安全事件分類分級指南信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范信息系統(tǒng)等級保護(hù)安全設(shè)計(jì)技術(shù)要求信息系統(tǒng)安全等級保護(hù)測評要求信息系統(tǒng)安全等級保護(hù)測評過程指南GBT2006GBT2012GBT2007GBT2009GBT2007GBT2007GBT2007GBT2010方案設(shè)計(jì)等保測評GBT2012GBT2012管理方面1.4.安全整改原則針對本次項(xiàng)目，深信服等級保護(hù)整改方案的設(shè)計(jì)和實(shí)施將遵循以下原則：的情況下不會泄露給任何單位和個(gè)人，不會利用此數(shù)據(jù)進(jìn)行任何侵害客戶權(quán)益的行標(biāo)準(zhǔn)性原則：服務(wù)設(shè)計(jì)和實(shí)施的全過程均依據(jù)國內(nèi)或國際的相關(guān)標(biāo)準(zhǔn)進(jìn)行；根據(jù)等級保護(hù)三級基本要求，進(jìn)行分等級分安全域進(jìn)行安全設(shè)計(jì)和安全建設(shè)。信服安全服務(wù)實(shí)施規(guī)范》)，可以便于項(xiàng)目的跟蹤和控制；圍之內(nèi)，服務(wù)進(jìn)度遵守進(jìn)度表的安排，保證雙方對服務(wù)工作的可控性；7XX單位信息系統(tǒng)等級保護(hù)安全整改方案最小影響原則：服務(wù)工作盡可能小的影響信息系統(tǒng)的正常運(yùn)行，不會對現(xiàn)有業(yè)務(wù)造體系化原則：在體系設(shè)計(jì)、建設(shè)中，深信服充分考慮到各個(gè)層面的安全風(fēng)險(xiǎn)，構(gòu)建完整的立體安全防護(hù)體系。先進(jìn)性原則：為滿足后續(xù)不斷增長的業(yè)務(wù)需求、對安全產(chǎn)品、安全技術(shù)都充分考慮前瞻性要求，采用先進(jìn)、成熟的安全產(chǎn)品、技術(shù)和先進(jìn)的管理方法。XX求，對XX單位安全保障體系進(jìn)行分期、分步驟的有序服務(wù)細(xì)致化原則：在項(xiàng)目咨詢、建設(shè)過程中深信服將充分結(jié)合自身的專業(yè)技術(shù)經(jīng)驗(yàn)2.系統(tǒng)現(xiàn)狀分析2.1.系統(tǒng)定級情況說明XX單位綜合考慮了XX信息系統(tǒng)、XX信息系統(tǒng)的業(yè)務(wù)信息和系統(tǒng)服務(wù)類型，以及其受到破壞時(shí)可能受到侵害的客體以及受侵害的程度，經(jīng)XX省公安廳的批準(zhǔn)，已將XX系統(tǒng)等級定為等級保護(hù)第三級(S3A3G3)、將XX系統(tǒng)等級定為等級保護(hù)第二級(S2A2G2)，根據(jù)就高不就低的原則，整體網(wǎng)絡(luò)信息化平臺按照三級進(jìn)行建設(shè)。2.2.業(yè)務(wù)系統(tǒng)說明網(wǎng)絡(luò)、硬件設(shè)備安裝部署，于網(wǎng)絡(luò)、硬件設(shè)備安裝部署，于2012年12月份正式啟動試運(yùn)行工作，在試點(diǎn)和實(shí)施過程當(dāng)中發(fā)現(xiàn)系統(tǒng)仍有不足之處，需要對系統(tǒng)進(jìn)行深入完善和改進(jìn)，發(fā)現(xiàn)系統(tǒng)仍有不足之處，需要對系統(tǒng)進(jìn)行深入完善和改進(jìn)，主要考慮到由于財(cái)政票據(jù)電子化8XX單位信息系統(tǒng)等級保護(hù)安全整改方案管理管理系統(tǒng)(網(wǎng)絡(luò)版)作為全省集中部署的網(wǎng)絡(luò)化財(cái)政重要業(yè)務(wù)系統(tǒng)，其具有應(yīng)用面廣、用戶規(guī)模大，并涉及到財(cái)政性資金的重要數(shù)據(jù)信息，以及基于公眾網(wǎng)上部署的特性，因此系統(tǒng)規(guī)模大，并涉及到財(cái)政性資金的重要數(shù)據(jù)信息，以及基于公眾網(wǎng)上部署的特性，因此系統(tǒng)自身和運(yùn)行環(huán)境均存在一定的安全風(fēng)險(xiǎn)，在數(shù)據(jù)傳輸、安全加密、網(wǎng)絡(luò)監(jiān)控、防入侵等方身和運(yùn)行環(huán)境均存在一定的安全風(fēng)險(xiǎn)，在數(shù)據(jù)傳輸、安全加密、網(wǎng)絡(luò)監(jiān)控、防入侵等方面的必須要建立一套必須要建立一套更有效更完善的安全保護(hù)體系和措施。2.3.物理安全現(xiàn)狀說明(可選)XX單位機(jī)房建設(shè)于XX年，已經(jīng)在機(jī)房部署了XXXX，實(shí)現(xiàn)了XXXXX。2.4.網(wǎng)絡(luò)結(jié)構(gòu)說明XX單位信息系統(tǒng)網(wǎng)絡(luò)拓?fù)鋱D現(xiàn)狀如下：2.5.主機(jī)與存儲設(shè)備說明(非評審方案可忽略)XX單位目前共有主機(jī)設(shè)備XX臺，存儲X臺，部署情況見網(wǎng)絡(luò)拓?fù)鋱D，具體情況如下：服服務(wù)器廠商/型號所屬系統(tǒng)操作系統(tǒng)用途ETH1：01數(shù)據(jù)庫VIPIP：3NIPG器IP地址備注9XX單位信息系統(tǒng)等級保護(hù)安全整改方案2.6.數(shù)據(jù)存儲情況說明(非評審方案可忽略)XX如下：數(shù)據(jù)類數(shù)據(jù)類型主機(jī)/存儲設(shè)備數(shù)據(jù)庫服務(wù)器數(shù)據(jù)庫服務(wù)器(2臺)Web與應(yīng)用服務(wù)器所屬業(yè)務(wù)應(yīng)用Oracle11g數(shù)據(jù)庫Oracle11g數(shù)據(jù)庫財(cái)政票據(jù)管理系統(tǒng)重要程度非常重要非常重要常重要12322.7.安全管理制度情況說明(僅技術(shù)方案可忽略)XX單位管理文檔列表(包括方針、管理、規(guī)程、記錄類，以及其他類文檔)：文檔名稱機(jī)房管理制度234…說明或備注對機(jī)房管理的情況進(jìn)行了規(guī)定。序號12.8.安全管理人員情況說明(僅技術(shù)方案可忽略)XX單位信息系統(tǒng)等級保護(hù)安全整改方案序號序號姓名職責(zé)3.差距分析項(xiàng)目實(shí)施過程中，深信服針對項(xiàng)目實(shí)施過程中，深信服針對XX單位的信息系統(tǒng)合規(guī)情況進(jìn)行了差距分析，分析結(jié)果XX單位信息系統(tǒng)等級保護(hù)安全整改方案復(fù)XX單位信息系統(tǒng)等級保護(hù)安全整改方案4.安全需求分析4.1.安全計(jì)算環(huán)境需求分析主機(jī)防病毒：該信息系統(tǒng)缺少主機(jī)防病毒的相關(guān)安全策略，需要配置網(wǎng)絡(luò)版主機(jī)防病毒系統(tǒng)，從而實(shí)現(xiàn)對全網(wǎng)主機(jī)的惡意代碼防范。數(shù)據(jù)庫審計(jì)：該信息系統(tǒng)缺少針對數(shù)據(jù)的審計(jì)設(shè)備，不能很好的滿足主機(jī)安全審計(jì)的要求，需要部署專業(yè)的數(shù)據(jù)庫審計(jì)設(shè)備。運(yùn)維堡壘機(jī)：該該信息系統(tǒng)無法實(shí)現(xiàn)管理員對網(wǎng)絡(luò)設(shè)備和服務(wù)器進(jìn)行管理時(shí)的雙因素認(rèn)證，需要部署堡壘機(jī)來實(shí)現(xiàn)。主機(jī)審計(jì)(服務(wù)器增強(qiáng)系統(tǒng)或者服務(wù)器加固)：該該信息系統(tǒng)中的主機(jī)自身安全策略配置不能符合要求，需要進(jìn)行服務(wù)器加固。該信息系統(tǒng)沒有實(shí)現(xiàn)對關(guān)鍵網(wǎng)絡(luò)設(shè)備的冗余，建議部署雙鏈路確保設(shè)備冗余。資源監(jiān)控：該信息系統(tǒng)無法實(shí)現(xiàn)對整個(gè)計(jì)算環(huán)境的資源監(jiān)控，建議部署應(yīng)用性能管理系統(tǒng)進(jìn)行資源監(jiān)控。4.2.安全區(qū)域邊界需求分析邊界訪問控制：該信息系統(tǒng)無法實(shí)現(xiàn)對邊界的訪問控制，需要部署下一代署防火墻等安XX單位信息系統(tǒng)等級保護(hù)安全整改方案邊界入侵防范：該信息系統(tǒng)無法實(shí)現(xiàn)對邊界的訪問控制，需要部署下一代署防火墻等安邊界惡意代碼過濾：該信息系統(tǒng)無法實(shí)現(xiàn)對邊界的訪問控制，需要部署下一代署防火墻防web攻擊：該信息系統(tǒng)無法實(shí)現(xiàn)對邊界的訪問控制，需要部署下一代署防火墻等安全安全域邊界安全審計(jì)：該信息系統(tǒng)無法實(shí)現(xiàn)對邊界的訪問控制，需要部署署網(wǎng)絡(luò)安全審來實(shí)現(xiàn)?；ヂ?lián)網(wǎng)出口安全審計(jì)：該信息系統(tǒng)無法實(shí)現(xiàn)對邊界的訪問控制，需要部署上網(wǎng)行為管理4.3.安全通信網(wǎng)絡(luò)需求分析通信完整性和保密性：該信息系統(tǒng)無法實(shí)現(xiàn)對邊界的訪問控制，需要部署SSLVPN等安流量管理：該信息系統(tǒng)無法實(shí)現(xiàn)對邊界的訪問控制，需要部署流量管理系統(tǒng)等安全設(shè)備4.4.安全管理中心需求分析統(tǒng)一日志平臺：該信息系統(tǒng)無法實(shí)現(xiàn)對邊界的訪問控制，需要部署SOC平臺等安全設(shè)備統(tǒng)一監(jiān)控平臺：該信息系統(tǒng)無法實(shí)現(xiàn)對邊界的訪問控制，需要部署網(wǎng)管系統(tǒng)等監(jiān)控系統(tǒng)統(tǒng)一管理平臺：該信息系統(tǒng)無法實(shí)現(xiàn)對邊界的訪問控制，需要部署下一代防火墻等統(tǒng)一XX單位信息系統(tǒng)等級保護(hù)安全整改方案5.總體安全設(shè)計(jì)5.1.總體設(shè)計(jì)目標(biāo)XX單位的安全等級保護(hù)整改方案設(shè)計(jì)的總體目標(biāo)是依據(jù)國家等級保護(hù)的有關(guān)標(biāo)準(zhǔn)和規(guī)范，結(jié)合XX單位信息系統(tǒng)的現(xiàn)狀，對其進(jìn)行重新規(guī)劃和合規(guī)性整改，為其建立一個(gè)完整的安全保障體系，有效保障其系統(tǒng)業(yè)務(wù)的正常開展，保護(hù)敏感數(shù)據(jù)信息的安全，保證XX信息5.2.總體安全體系設(shè)計(jì)本項(xiàng)目提出的等級保護(hù)體系模型，必須依照國家等級保護(hù)的相關(guān)要求，利用密碼、代碼驗(yàn)證、可信接入控制等核心技術(shù)，在“一個(gè)中心三重防御”的框架下實(shí)現(xiàn)對信息系統(tǒng)的全面系模型如下圖所示：XX單位信息系統(tǒng)等級保護(hù)安全整改方案安全管理中心安全管理中心是整個(gè)等級保護(hù)體系中對信息系統(tǒng)進(jìn)行集中安全管理的平臺，是信息系統(tǒng)做到可測、可控、可管理的必要手段和措施。依照GB/T25070-2010信息系統(tǒng)等級保護(hù)安全設(shè)計(jì)技術(shù)要求中對安全管理中心的要求，一個(gè)符合基于可信計(jì)算和主動防御的等級保護(hù)體系模型的安全管理中心應(yīng)至少包含以下三個(gè)部分：系統(tǒng)管理實(shí)現(xiàn)對系統(tǒng)資源和運(yùn)行的配置?？刂坪凸芾恚ο到y(tǒng)管理員進(jìn)行身份鑒別，只允許其XX單位信息系統(tǒng)等級保護(hù)安全整改方案通過特定的命令或操作界面進(jìn)行系統(tǒng)管理操作，并對這些操作進(jìn)行審計(jì)。安全管理實(shí)現(xiàn)對系統(tǒng)中的主體、客體進(jìn)行統(tǒng)一標(biāo)記，對主體進(jìn)行授權(quán)，配置一致的安全策略，確保標(biāo)記、授權(quán)和安全策略的數(shù)據(jù)完整性，并對安全管理員進(jìn)行身份鑒別，只允許其通過特定的命令或操作界面進(jìn)行安全管理操作，并進(jìn)行審計(jì)。審計(jì)管理實(shí)現(xiàn)對系統(tǒng)各個(gè)組成部分的安全審計(jì)機(jī)制進(jìn)行集中管理，包括根據(jù)安全審計(jì)策略對審計(jì)記錄進(jìn)行分類；提供按時(shí)間段開啟和關(guān)閉相應(yīng)類型的安全審計(jì)機(jī)制；對各類審計(jì)記錄進(jìn)行存儲、管理和查詢等；對審計(jì)記錄應(yīng)進(jìn)行分析，根據(jù)分析結(jié)果進(jìn)行處理。此外，對安全審計(jì)員進(jìn)行身份鑒別，只允許其通過特定的命令或操作界面進(jìn)行安全審計(jì)操作。此外，安全管理中心應(yīng)做到技術(shù)與管理并重，加強(qiáng)在安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等方面的管理力度，規(guī)范安全管理操作規(guī)程，建立完善的安全管理制度集。安全計(jì)算環(huán)境參照基于可信計(jì)算和主動防御的等級保護(hù)模型，安全計(jì)算環(huán)境可劃分成節(jié)點(diǎn)和典型應(yīng)用兩個(gè)子系統(tǒng)。在解決方案中，這兩個(gè)子系統(tǒng)都將通過終端安全保護(hù)體系的建立來實(shí)現(xiàn)。信息安全事故的源頭主要集中在用戶終端，要實(shí)現(xiàn)一個(gè)可信的、安全的計(jì)算環(huán)境，就必要求，可充分結(jié)合可信計(jì)算技術(shù)和主動防御技術(shù)的先進(jìn)性和安全性，提出一個(gè)基于可信計(jì)算和主動防御的終端安全保護(hù)體系模型，以實(shí)現(xiàn)從應(yīng)用層、系統(tǒng)層、核心層三個(gè)方面對計(jì)算環(huán)面防護(hù)。安全區(qū)域邊界為保護(hù)邊界安全，本解決方案針對構(gòu)建一個(gè)安全的區(qū)域邊界提出的解決手段是在被保護(hù)SQL攻擊、抗DoS/DDoS攻擊端口掃描、數(shù)據(jù)包過濾、網(wǎng)絡(luò)地址換、安全審計(jì)等。由于國內(nèi)外在這一方面的相關(guān)技術(shù)非常成熟，因此，在本次系統(tǒng)整管系統(tǒng)等有機(jī)地結(jié)合在一起，實(shí)現(xiàn)協(xié)同防護(hù)和聯(lián)動處理。XX單位信息系統(tǒng)等級保護(hù)安全整改方案此外，對于不同安全等級信息系統(tǒng)之間的互連邊界，可根據(jù)依照信息流向的高低，部署防火墻或安全隔離與信息交換系統(tǒng)，并配置相應(yīng)的安全策略以實(shí)現(xiàn)對信息流向的控制。安全通信網(wǎng)絡(luò)信網(wǎng)絡(luò)安全方面，采用密碼等核心技術(shù)實(shí)現(xiàn)的各類VPN都可以很有效的解決這類問題，達(dá)到在滿足等級保護(hù)相關(guān)要求的同時(shí)，可靈活提高通信網(wǎng)絡(luò)安全性的效果。5.3.總體網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)XX單位網(wǎng)絡(luò)架構(gòu)整體設(shè)計(jì)如下：5.4.安全域劃分說明安全域的劃分是網(wǎng)絡(luò)防護(hù)的基礎(chǔ)，事實(shí)上每一個(gè)安全邊界所包含的區(qū)域都形成了一個(gè)安全域。這些區(qū)域具有不同的使命，具有不同的功能，分域保護(hù)的框架為明確各個(gè)域的安全等級奠定了基礎(chǔ)，保證了信息流在交換過程中的安全性。在本項(xiàng)目中，將嚴(yán)格按照信息系統(tǒng)的重要性和網(wǎng)絡(luò)使用的邏輯特性劃分安全域，將劃分包括門戶網(wǎng)站前端服務(wù)器。。。。。。。。XX單位信息系統(tǒng)等級保護(hù)安全整改方案6.詳細(xì)方案設(shè)計(jì)技術(shù)部分(具體設(shè)計(jì)內(nèi)容可根據(jù)GB/T25070-2010信息系統(tǒng)等級保護(hù)安全設(shè)計(jì)技術(shù)的要求，從安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)、安全管理中心進(jìn)行技術(shù)方面的詳細(xì)設(shè)計(jì)。6.1.安全計(jì)算環(huán)境設(shè)計(jì)根據(jù)GB/T25070-2010信息系統(tǒng)等級保護(hù)安全設(shè)計(jì)技術(shù)要求中計(jì)算環(huán)境的要求，應(yīng)從以6.1.1.機(jī)房安全設(shè)計(jì)機(jī)房方面要機(jī)房方面要做的整改內(nèi)容。6.1.2.主機(jī)防病毒設(shè)計(jì)防范的要求，要求在所有終端主機(jī)和服務(wù)器上部署網(wǎng)絡(luò)防病毒系統(tǒng)，加強(qiáng)主機(jī)的病毒防護(hù)能力并及時(shí)升級惡意代碼軟件版本以及惡意代碼庫。在XX單位安全管理域中，可以部署防病毒服務(wù)器，負(fù)責(zé)制定和終端主機(jī)防病毒策略，在XX單位內(nèi)網(wǎng)建立全網(wǎng)統(tǒng)一的一級升級服務(wù)器，在下級節(jié)點(diǎn)建立二級升級服務(wù)器，由管理中心升級服務(wù)器通過互聯(lián)網(wǎng)或手工方式獲得最新的病毒特征庫，分發(fā)到數(shù)據(jù)中心節(jié)點(diǎn)的各個(gè)終端，并下發(fā)到各二級服務(wù)器。在網(wǎng)絡(luò)邊界通過防火墻進(jìn)行基于通信端口、帶寬、連接數(shù)量的過濾控制，可以在一定程度上避免蠕蟲病毒爆發(fā)時(shí)的大流量沖擊。同時(shí)，防毒系統(tǒng)可以為安全管理平臺提供關(guān)于病毒威脅和事件的監(jiān)控、審計(jì)日志，為全網(wǎng)的病毒防護(hù)管理提供必要XX單位信息系統(tǒng)等級保護(hù)安全整改方案6.1.3.主機(jī)安全加固通過服務(wù)器安全加固，啟用服務(wù)器操作系統(tǒng)本身的審計(jì)功能，實(shí)現(xiàn)對于主機(jī)層面的安全6.1.4.數(shù)據(jù)庫安全審計(jì)通過部署數(shù)據(jù)庫審計(jì)系統(tǒng)，實(shí)現(xiàn)對用戶行為、用戶事件及系統(tǒng)狀態(tài)加以審計(jì)，范圍覆蓋到每個(gè)用戶，從而把握數(shù)據(jù)庫系統(tǒng)的整體安全。6.1.5.運(yùn)維堡壘主機(jī)通過部署運(yùn)維堡壘主機(jī)，實(shí)現(xiàn)對于運(yùn)維人員管理服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等運(yùn)維操作的審計(jì)，同時(shí)實(shí)現(xiàn)對于運(yùn)維人員登錄網(wǎng)絡(luò)設(shè)備、服務(wù)器等雙因素認(rèn)證。6.1.6.備份與恢復(fù)備份與恢復(fù)主要包含兩方面內(nèi)容，首先是指數(shù)據(jù)備份與恢復(fù)，另外一方面是關(guān)鍵網(wǎng)絡(luò)設(shè)備、線路以及服務(wù)器等硬件設(shè)備的冗余。部署數(shù)據(jù)備份軟件，實(shí)現(xiàn)對于數(shù)據(jù)的自動備份。本地完全數(shù)據(jù)備份至少每天一次，且備份介質(zhì)需要場外存放。并且要求提供能異地?cái)?shù)據(jù)備份功能，利用通信網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)定時(shí)批量傳送至異地備用場地。對于核心交換設(shè)備、外部接入鏈路以及系統(tǒng)服務(wù)器進(jìn)行雙機(jī)、雙線的冗余設(shè)計(jì)，保障從網(wǎng)絡(luò)結(jié)構(gòu)、硬件配置上滿足不間斷系統(tǒng)運(yùn)行的需要。6.1.7.資源監(jiān)控設(shè)計(jì)源耗盡、服務(wù)質(zhì)量下降甚至服務(wù)中斷等后果。通過部署應(yīng)用性能監(jiān)控系統(tǒng)(或者對應(yīng)用系統(tǒng)自身進(jìn)行開發(fā)設(shè)計(jì))，實(shí)現(xiàn)從信息系統(tǒng)緯度對整體信息環(huán)境的監(jiān)控，監(jiān)控目標(biāo)包括：XX單位信息系統(tǒng)等級保護(hù)安全整改方案設(shè)置登錄終端的操作超時(shí)鎖定。對系統(tǒng)的服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測和報(bào)警。6.2.安全區(qū)域邊界設(shè)計(jì)6.2.1.邊界控制通過在網(wǎng)絡(luò)邊界部署下一代防火墻，實(shí)現(xiàn)對于網(wǎng)絡(luò)邊界的統(tǒng)一的訪問控制、入侵防范和惡意代碼防范等要求。6.2.2.Web安全防護(hù)web網(wǎng)提供服務(wù)的業(yè)務(wù)系統(tǒng)的防web攻擊。6.2.3.網(wǎng)絡(luò)邊界安全審計(jì)通過部署網(wǎng)絡(luò)安全審計(jì)系統(tǒng)，實(shí)現(xiàn)對于所有訪問業(yè)務(wù)系統(tǒng)的行為的審計(jì)，并能夠記錄該可以方便的生成報(bào)表等。XX單位信息系統(tǒng)等級保護(hù)安全整改方案6.2.4.互聯(lián)網(wǎng)出口邊界安全審計(jì)在互聯(lián)網(wǎng)出口部署上網(wǎng)行為管理系統(tǒng)，實(shí)現(xiàn)對于所有內(nèi)部用戶訪問互聯(lián)網(wǎng)的安全審計(jì)，并且要求能夠?qū)⑷罩颈４嬷辽?個(gè)月，可以方便的生成報(bào)表等。6.2.5.邊界完整性檢查邊界完整性檢查核心是要對內(nèi)部網(wǎng)絡(luò)中出現(xiàn)的內(nèi)部用戶未通過準(zhǔn)許私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查，維護(hù)網(wǎng)絡(luò)邊界完整性。通過部署終端安全管理系統(tǒng)可以實(shí)現(xiàn)這一目標(biāo)。終端安全管理系統(tǒng)其中一個(gè)重要功能模塊就是非法外聯(lián)控制，探測內(nèi)部網(wǎng)中非法上互聯(lián)網(wǎng)的計(jì)算機(jī)。非法外聯(lián)監(jiān)控主要解決發(fā)現(xiàn)和管理用戶非法自行建立通路連接非授權(quán)網(wǎng)絡(luò)的行為。通過非法外聯(lián)監(jiān)控的管理，可以防止用戶訪問非信任網(wǎng)絡(luò)資源，并防止由于訪問非信任網(wǎng)絡(luò)資源而引入安全風(fēng)險(xiǎn)或者導(dǎo)致信息泄密。邊界完整性檢查另外一個(gè)要求是對外來計(jì)算機(jī)不能隨便接入內(nèi)部網(wǎng)絡(luò)，這個(gè)可以通過IP現(xiàn)。6.3.安全通信網(wǎng)絡(luò)設(shè)計(jì)6.3.1.通信完整性和保密性通信的完整性和保密性要求可以通過部署SSLVPN系統(tǒng)實(shí)現(xiàn)，保證所有接入用戶都是通VPNSSLVPN的安全機(jī)制，實(shí)現(xiàn)通信的完整性和保密性的要求。6.3.2.流量管理對于安全通信網(wǎng)絡(luò)應(yīng)該有安全合理的帶寬分配管理，尤其當(dāng)網(wǎng)絡(luò)擁堵時(shí)優(yōu)先保護(hù)重要的主機(jī)服務(wù)器，部署流量管理系統(tǒng)，實(shí)現(xiàn)對帶寬合理靈活的分配，保障網(wǎng)絡(luò)擁堵時(shí)優(yōu)先保護(hù)重XX單位信息系統(tǒng)等級保護(hù)安全整改方案6.4.安全管理中心設(shè)計(jì)由于XX單位覆蓋面廣，用戶眾多，技術(shù)人員水平不一。為了能準(zhǔn)確了解系統(tǒng)的運(yùn)行狀態(tài)、設(shè)備的運(yùn)行情況，統(tǒng)一部署安全策略，應(yīng)進(jìn)行安全管理中心的設(shè)計(jì)，根據(jù)要求，應(yīng)在系統(tǒng)管理、審計(jì)管理和安全管理幾個(gè)大方面進(jìn)行建設(shè)。6.4.1.統(tǒng)一日志平臺通過部署安全管理中心(SOC)平臺，實(shí)現(xiàn)對于全網(wǎng)日志的收集和統(tǒng)一分析。6.4.2.統(tǒng)一監(jiān)控平臺通過部署網(wǎng)管系統(tǒng)和應(yīng)用性能管理系統(tǒng)，實(shí)現(xiàn)對于全網(wǎng)的統(tǒng)一監(jiān)控。6.4.3.統(tǒng)一管理平臺通過部署深信服下一代防火墻，實(shí)現(xiàn)對于整個(gè)網(wǎng)絡(luò)安全策略的統(tǒng)一管理，講訪問控制策略、入侵防范策略、惡意代碼過濾策略以及web安全防護(hù)策略等有機(jī)的統(tǒng)一起來管理，實(shí)現(xiàn)對網(wǎng)絡(luò)安全策略的統(tǒng)一管理。7.詳細(xì)方案設(shè)計(jì)管理部分(僅技術(shù)方案可忽安全管理體系的作用是通過建立健全組織機(jī)構(gòu)、規(guī)章制度，以及通過人員安全管理、安全教育與培訓(xùn)和各項(xiàng)管理制度的有效執(zhí)行，來落實(shí)人員職責(zé)，確定行為規(guī)范，保證技術(shù)措施真正發(fā)揮效用，與技術(shù)體系共同保障安全策略的有效貫徹和落實(shí)。信息安全管理體系主要包括組織機(jī)構(gòu)、規(guī)章制度、人員安全、安全教育和培訓(xùn)等四個(gè)方面內(nèi)容。XX單位信息系統(tǒng)等級保護(hù)安全整改方案7.1.總體安全方針與安全策略X策機(jī)構(gòu)對信息安全工作的決策和意圖的表述?？傮w安全方針與安全策略的作用在于統(tǒng)一對信息安全工作的認(rèn)識，規(guī)定信息安全的基本架構(gòu)，明確信息安全的根本目標(biāo)和原則。本次項(xiàng)目的職責(zé)以及安全策略，建立具有高可操作性的考核體系，以加強(qiáng)安全策略及各項(xiàng)管理制度的我方為XX單位設(shè)計(jì)的總體安全方針與安全策略將具備以下特性：安全策略緊緊圍繞行業(yè)的發(fā)展戰(zhàn)略，符合XX單位實(shí)際的信息安全需求，能保障與促進(jìn)信息化建設(shè)的順利進(jìn)行，避免理想化與不可操作性?？傮w安全方針與安全策略中將明確闡述XX單位所有信息化建設(shè)項(xiàng)目在規(guī)劃設(shè)計(jì)、開發(fā)建設(shè)、運(yùn)行維護(hù)和變更廢棄等各階段，應(yīng)遵循的總體原則和要求。安全策略在經(jīng)過XX單位信息安全決策機(jī)構(gòu)批準(zhǔn)之后，將具備指導(dǎo)和規(guī)范信息安全工作的效力。安全策略中將規(guī)定其自身的時(shí)效性，當(dāng)信息系統(tǒng)運(yùn)行環(huán)境發(fā)生重大變化時(shí)，我方將XX單位信息系統(tǒng)等級保護(hù)安全整改方案7.2.信息安全管理制度根據(jù)安全管理制度的基本要求制定各類管理規(guī)定、管理辦法和暫行規(guī)定。從安全策略主文檔中規(guī)定的安全各個(gè)方面所應(yīng)遵守的原則方法和指導(dǎo)性策略引出的具體管理規(guī)定、管理辦法和實(shí)施辦法，是具有可操作性，且必須得到有效推行和實(shí)施的制度。制定嚴(yán)格的制定與發(fā)布流程，方式，范圍等，制度需要統(tǒng)一格式并進(jìn)行有效版本控制；發(fā)布方式需要正式、有效并注明發(fā)布范圍，對收發(fā)文進(jìn)行登記。信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)定期組織相關(guān)部門和相關(guān)人員對安全管理制度體系的合理性和適用性進(jìn)行審定，定期或不定期對安全管理制度進(jìn)行評審和修訂，修訂不足及進(jìn)行改進(jìn)。7.3.安全管理機(jī)構(gòu)根據(jù)基本要求設(shè)置安全管理機(jī)構(gòu)的組織形式和運(yùn)作方式，明確崗位職責(zé)；導(dǎo)由單位主管領(lǐng)導(dǎo)委任或授權(quán)；制定文件明確安全管理機(jī)構(gòu)各個(gè)部門和崗位的職責(zé)、分工和建立內(nèi)外部溝通合作渠道；定期進(jìn)行全面安全檢查，特別是系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等。7.4.人員安全管理人員安全管理主要包括人員錄用、離崗、考核、教育培訓(xùn)等內(nèi)容。一般單位都有統(tǒng)一的人事管理部門負(fù)責(zé)人員管理，這里的人員安全管理主要指對關(guān)鍵崗行的以安全為核心的管理，例如對關(guān)鍵崗位的人員采取在錄用或上崗前進(jìn)行全面、嚴(yán)格的安全審查和技能考核，與關(guān)鍵崗位人員簽署保密協(xié)議，對離崗人員撤銷系統(tǒng)帳戶和相限等措施。XX單位信息系統(tǒng)等級保護(hù)安全整改方案只有注重對安全管理人員的培養(yǎng)，提高其安全防范意識，才能做到安全有效的防范，因此需要對各類人員進(jìn)行安全意識教育、崗位技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn)。培訓(xùn)的內(nèi)容包括單位的信息安全方針、信息安全方面的基礎(chǔ)知識、安全技術(shù)、安全標(biāo)準(zhǔn)、崗位操作規(guī)程、最新的工作流程、相關(guān)的安全責(zé)任要求、法律責(zé)任和懲戒措施等。具體依據(jù)標(biāo)準(zhǔn)《基本要求》中人員安全管理，同時(shí)可以參照《信息系統(tǒng)安全管理要求》7.5.系統(tǒng)建設(shè)管理系統(tǒng)建設(shè)管理的重點(diǎn)是與系統(tǒng)建設(shè)活動相關(guān)的過程管理，由于主要的建設(shè)活動是由服務(wù)方，如集成方、開發(fā)方、測評方、安全服務(wù)方等完成，運(yùn)營使用單位人員的主要工作是對之軟件開發(fā)、工程實(shí)施、驗(yàn)收交付、等級測評、安全服務(wù)等活動的管理責(zé)任部門、具體的管理具體依據(jù)標(biāo)準(zhǔn)《基本要求》中系統(tǒng)建設(shè)管理。7.6.系統(tǒng)運(yùn)維管理1、環(huán)境和資產(chǎn)安全管理制度環(huán)境包括計(jì)算機(jī)、網(wǎng)絡(luò)機(jī)房環(huán)境以及設(shè)置有網(wǎng)絡(luò)終端的辦公環(huán)境，明確環(huán)境安全管理的責(zé)任部門或責(zé)任人，加強(qiáng)對人員出入、來訪人員的控制，對有關(guān)物理訪問、物品進(jìn)出和環(huán)境安全等方面作出規(guī)定。對重要區(qū)域設(shè)置門禁控制手段，或使用視頻監(jiān)控等措施。而是從安全和信息系統(tǒng)角度對資產(chǎn)進(jìn)行管理，將資產(chǎn)作為信息系統(tǒng)的組成部分，按其在信息編制與信息系統(tǒng)相關(guān)的軟件資產(chǎn)、硬件資產(chǎn)等資產(chǎn)清單。具體依據(jù)標(biāo)準(zhǔn)《基本要求》中系統(tǒng)運(yùn)維管理，同時(shí)可以參照《信息系統(tǒng)安全管理要求》2、設(shè)備和介質(zhì)安全管理制度XX單位信息系統(tǒng)等級保護(hù)安全整改方案設(shè)備采購、發(fā)放、領(lǐng)用、維護(hù)和維修等過程進(jìn)行控制，對介質(zhì)的存放、使用、維護(hù)和銷毀等方面作出規(guī)定，加強(qiáng)對涉外維修、敏感數(shù)據(jù)銷毀等過程的監(jiān)督控制。具體依據(jù)標(biāo)準(zhǔn)《基本要求》中系統(tǒng)運(yùn)維管理，同時(shí)可以參照《信息系統(tǒng)安全管理要求》3、日常運(yùn)行維護(hù)制度明確網(wǎng)絡(luò)、系統(tǒng)日常運(yùn)行維護(hù)的責(zé)任部門或責(zé)任人，對運(yùn)行管理中的日常操作、賬號管業(yè)務(wù)應(yīng)用操作管理、變更控制和重用管理、信息交換管理相應(yīng)的管理制度；制定與信息系統(tǒng)安全管理相配套的規(guī)范和操作規(guī)程并落實(shí)執(zhí)行；正確實(shí)施為信息系統(tǒng)可靠運(yùn)行而采取的各種檢測、監(jiān)控、審計(jì)、分析、備份及容錯(cuò)等方法和措施，對運(yùn)行安全進(jìn)行監(jiān)督檢查。具體依據(jù)標(biāo)準(zhǔn)《基本要求》中系統(tǒng)運(yùn)維管理，同時(shí)可以參照《信息系統(tǒng)安全管理要求》4、集中安全管理制度第三級以上信息系統(tǒng)應(yīng)按照統(tǒng)一的安全策略、安全管理要求，統(tǒng)一管理信息系統(tǒng)的安全運(yùn)行，進(jìn)行安全機(jī)制的配置與管理，對設(shè)備安全配置、惡意代碼、補(bǔ)丁升級、安全審計(jì)等進(jìn)行管理，對與安全有關(guān)的信息進(jìn)行匯集與分析，對安全機(jī)制進(jìn)行集中管理。具體依據(jù)標(biāo)準(zhǔn)《基本要求》中系統(tǒng)運(yùn)維管理，同時(shí)可以參照《信息系統(tǒng)等級保護(hù)安全設(shè)計(jì)技術(shù)要求》和《信息系統(tǒng)安全管理要求》等。5、事件處置與應(yīng)急響應(yīng)制度按照國家有關(guān)標(biāo)準(zhǔn)規(guī)定，確定信息安全事件的等級。結(jié)合信息系統(tǒng)安全保護(hù)等級，制定信息安全事件分級應(yīng)急處置預(yù)案，明確應(yīng)急處置策略，落實(shí)應(yīng)急指揮部門、執(zhí)行部門和技術(shù)大、特別重大安全事件時(shí)，運(yùn)營使用單位按照相應(yīng)預(yù)案開展應(yīng)急處置，并及時(shí)向受理備案的公安機(jī)關(guān)報(bào)告。組織應(yīng)急技術(shù)支撐力量和專家隊(duì)伍，按照應(yīng)急預(yù)案定期組織開展應(yīng)急演練。具體依據(jù)標(biāo)準(zhǔn)《基本要求》中系統(tǒng)運(yùn)維管理，同時(shí)可以參照《信息安全事件分類分級指南》和《信息安全事件管理指南》等。6、災(zāi)難備份制度要對第三級以上信息系統(tǒng)采取災(zāi)難備份措施，防止重大事故、事件發(fā)生。識別需要定期備份的重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等，制定數(shù)據(jù)的備份策略和恢復(fù)策略，建立備份與恢復(fù)管理相關(guān)的安全管理制度。XX單位信息系統(tǒng)等級保護(hù)安全整改方案信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》。7、安全監(jiān)測制度開展信息系統(tǒng)實(shí)時(shí)安全監(jiān)測，實(shí)現(xiàn)對物理環(huán)境、通信線路、主機(jī)、網(wǎng)絡(luò)設(shè)備、用戶行為和業(yè)務(wù)應(yīng)用等的監(jiān)測和報(bào)警，及時(shí)發(fā)現(xiàn)設(shè)備故障、病毒入侵、黑客攻擊、誤用和誤操作等安全事件，以便及時(shí)對安全事件進(jìn)行響應(yīng)與處置。具體依據(jù)標(biāo)準(zhǔn)《基本要求》中系統(tǒng)運(yùn)維管理。其他制度對系統(tǒng)運(yùn)行維護(hù)過程中的其它活動，如系統(tǒng)變更、密碼使用等進(jìn)行控制和管理。按國家密碼管理部門的規(guī)定，對信息系統(tǒng)中密碼算法和密鑰的使用進(jìn)行分級管理。7.7.安全管理制度匯總并不斷完善。定期對信息系統(tǒng)安全狀況進(jìn)行自查，第三級信息系統(tǒng)每年自查一次，第四級信息系統(tǒng)每半年自查一次。經(jīng)自查，信息系統(tǒng)安全狀況未達(dá)到安全保護(hù)等級要求的，應(yīng)當(dāng)進(jìn)一具體依據(jù)標(biāo)準(zhǔn)《基本要求》中安全管理機(jī)構(gòu)，同時(shí)可以參照《信息系統(tǒng)安全管理要求》總體安全策略(組織、流程、策略、技術(shù))崗位安全責(zé)任制度第三方安全管理制度系統(tǒng)日常安全管理工作制度系統(tǒng)安全評估管理辦法機(jī)房建設(shè)運(yùn)行標(biāo)準(zhǔn)安全區(qū)域劃分及管理規(guī)定管理信息區(qū)域網(wǎng)管制度系統(tǒng)建設(shè)管理制度設(shè)備入網(wǎng)安全管理制度系統(tǒng)軟件和補(bǔ)丁管理制度備份與恢復(fù)管理制度XX單位信息系統(tǒng)等級保護(hù)安全整改方案賬號和口令及權(quán)限管理制度介質(zhì)管理加密技術(shù)使用管理辦法應(yīng)急預(yù)案管理制度安全事件報(bào)告和處置管理制度安全審計(jì)管理8.方案合規(guī)性分析(非評審方案可忽略)針對本方案實(shí)施后的合規(guī)性，依據(jù)等級保護(hù)要求，進(jìn)行逐條分析，其合規(guī)性判斷如下：XX單位信息系統(tǒng)等級保護(hù)安全整改方案復(fù)XX單位信息系統(tǒng)等級保護(hù)安全整改方案9.殘余風(fēng)險(xiǎn)控制(非評審方案可忽略)9.1.缺少電磁屏蔽措施系統(tǒng)沒有部署電磁屏蔽措施，我們認(rèn)為該系統(tǒng)并不會涉及國家安全，一般不涉及國家層面攻防時(shí)，很少使用電磁泄漏的方式進(jìn)行攻擊，因此本風(fēng)險(xiǎn)可視為可接受風(fēng)險(xiǎn)。10.項(xiàng)目預(yù)算與配置清單10.1.項(xiàng)目預(yù)算.產(chǎn)品性能配置要求1XX單位信息系統(tǒng)等級保護(hù)安全整改方案總價(jià)合計(jì)8. (大寫)：10.2.利舊安全設(shè)備使用說明序號產(chǎn)品部署位置利舊說明10.3.新增安全設(shè)備詳細(xì)要求流量管理系統(tǒng)功能要功能要求設(shè)備支持網(wǎng)關(guān)、網(wǎng)橋、單臂、雙單臂部署模式，滿足不同網(wǎng)絡(luò)環(huán)境下設(shè)備的順利上架。要求在單臂、雙單臂部署模式下同樣可實(shí)現(xiàn)流量管理功能，譬如對P2P流量進(jìn)行封堵和限流，而非僅實(shí)現(xiàn)行為審計(jì)、內(nèi)容審計(jì)功能。支持單臂、雙單臂部署模式下通過WCCP、CDP+PBR等協(xié)議，當(dāng)設(shè)備因斷電、網(wǎng)口宕等情況實(shí)現(xiàn)自動切換維持業(yè)務(wù)可持續(xù)可精準(zhǔn)定位應(yīng)用，便于通過對應(yīng)用的智能識別匹配相應(yīng)加速策略，大大簡化管理員配置工作量；支持手動添加應(yīng)用識別規(guī)則docexcel的文件下載帶寬，提供流控機(jī)制和手段必須支持將多條外網(wǎng)線路虛擬映射到設(shè)備上，實(shí)現(xiàn)對多線路的分別流控；持各通道之間根據(jù)優(yōu)先級進(jìn)行帶寬借用策略的智能調(diào)度可針對在線視頻應(yīng)用或某一類別的URL(如求職網(wǎng)站)對用戶的訪問行為進(jìn)行阻斷，有效的規(guī)范網(wǎng)絡(luò)行為，可基于不同時(shí)間段進(jìn)行行為阻斷差別對待流量管理部署模式應(yīng)用識別流量整形XX單位信息系統(tǒng)等級保護(hù)安全整改方案設(shè)備支持傳輸設(shè)備支持傳輸協(xié)議優(yōu)化功能，可對發(fā)布應(yīng)用實(shí)現(xiàn)丟包、延時(shí)下大幅提速OralceEBS、RDP遠(yuǎn)程桌面等應(yīng)用優(yōu)化及數(shù)據(jù)削減要求設(shè)備通過Web圖形化配置界面管理，并支持頁面上配置對設(shè)備進(jìn)行重啟、關(guān)機(jī)、恢復(fù)出廠配置、配置備份及恢復(fù)等操作，便于管理設(shè)備可進(jìn)行自我健康狀態(tài)檢測，支持對網(wǎng)絡(luò)部署、網(wǎng)卡兼容性、路由設(shè)置、磁盤信息等進(jìn)行正確性和健康狀態(tài)檢測，方便管理員進(jìn)行問題排查應(yīng)用、加速用戶、設(shè)備進(jìn)行加速削減報(bào)表查看；為方便管理員定期查看，要求支F應(yīng)用優(yōu)化理性WEB防火墻絡(luò)接口等信息提供基于服務(wù)器和終端安全的實(shí)時(shí)攻擊狀態(tài)排行信息攻擊描述、處理動作等信息及參數(shù)進(jìn)行雙向深度檢測和過濾護(hù)口令暴力破解分片逃逸防護(hù)等部署方式控?fù)舴雷o(hù)XX單位信息系統(tǒng)等級保護(hù)安全整改方案嚴(yán)格控制上傳文件類型，檢查文件頭的特征碼防止有安全隱患的文件上傳至服務(wù)器，并支持結(jié)合病毒防護(hù)、插件過濾等功能檢查文件安全性支持短信報(bào)警、郵件報(bào)警、控制臺報(bào)警等多種篡改報(bào)警方式支持自動攔截、記錄日志、上傳灰度威脅到“云端”入侵防御系統(tǒng)IPSP方式串接在網(wǎng)絡(luò)中，同時(shí)開啟支持網(wǎng)關(guān)和網(wǎng)橋模式提供設(shè)備實(shí)時(shí)CPU、內(nèi)存、磁盤占有率、會話數(shù)、在線用戶數(shù)、系統(tǒng)時(shí)間、網(wǎng)絡(luò)接口等信息，提供基于服務(wù)器和終端安全的實(shí)時(shí)攻擊狀態(tài)排行信息，提供擊描述、處理動作等信息支持攻擊特征檢測、特殊攻擊檢測、威脅關(guān)聯(lián)分析、異常流量檢測、協(xié)議異知威脅進(jìn)行分析檢測漏洞特征庫:2500+，并且能夠自動或者手動升級包括蠕蟲/木馬/后門/DoS/DDoS攻擊探測/掃描/間諜軟件/利用漏洞的攻擊/緩沖區(qū)溢出攻擊/協(xié)議異常/IPS逃逸攻擊等服務(wù)器攻擊防護(hù)種類包括：worm、network_device、database、backdoor、trojan、sayware、web、media、dns、ftp、mail、tftp、system、telnet、shellcodeapplication、web_browse、system、shellcode、web_activex為控制機(jī)制部署方式控威脅檢測引擎漏洞特深度入侵防護(hù)XX單位信息系統(tǒng)等級保護(hù)安全整改方案Spoofing、SYNFlood、ICMPFlood、UDPFlood、DNSQueryFlood、ARP欺能作進(jìn)行文件過濾；支持自定義文件類型進(jìn)行過濾；支持基于時(shí)間表的策略制定；支持的處理動作包括：阻斷和記錄日志，支持基于簽名證書的ActiveX過濾基于流引擎查毒技術(shù)，可以針對HTTP、FTP、SMTP、POP3等協(xié)議進(jìn)行查殺殺大量文件型、網(wǎng)絡(luò)型和混合型等各類病毒；并采用新一代虛擬脫毒檢測到病毒后的操作：支持記錄日志、阻斷連接設(shè)備必須支持內(nèi)/外置數(shù)據(jù)中心必須支持將應(yīng)用的受攻擊對象進(jìn)行統(tǒng)計(jì)排行和報(bào)表輸出，支持按照行為次數(shù)和應(yīng)用的排行統(tǒng)計(jì)各攻擊類型名稱；支持各種攻擊類型的報(bào)表輸出和統(tǒng)計(jì)；提供可定義時(shí)間內(nèi)安全趨勢分析報(bào)表抗拒絕服務(wù)攻擊特性病毒防護(hù)理全邊界防火墻支持網(wǎng)支持網(wǎng)關(guān)模式，支持NAT、路由轉(zhuǎn)發(fā)、DHCP等功能，支持網(wǎng)橋模式，以透明方式串接在網(wǎng)絡(luò)中，支持同時(shí)開啟網(wǎng)關(guān)和網(wǎng)橋模式，支持旁路鏡像和單臂的部署方式CPU息實(shí)時(shí)提供安