2023網(wǎng)絡安全技術指導手冊

網(wǎng)絡安全技術指導手冊202307PAGEPAGE1目錄TOC\o"1-3"\h\u31728第一部分：網(wǎng)絡安全防護要求 6143371、安全通用要求 7111091.1機房物理環(huán)境要求 795741.2網(wǎng)絡通信環(huán)境要求 966641.3 10139851.4 13189551.5數(shù)據(jù)安全要求 1625911.6系統(tǒng)及安全設備管理要求 17310051.7安全管理制度要求 189931.8安全管理機構要求 19276531.9安全管理人員 21110681.10安全建設管理要求 2250901.11軟件開發(fā)安全要求 24326371.12安全運維管理要求 26170752、云計算安全擴展要求 32171362.1安全物理位置 3243042.2安全通信網(wǎng)絡 32304222.3安全區(qū)域邊界 33254692.4 34226062.5安全管理中心 36175982.6安全建設管理 36279622.7安全運維管理 37325253、物聯(lián)網(wǎng)安全擴展要求 37270543.1安全物理環(huán)境 37173293.2安全區(qū)域邊界 38146933.3安全計算環(huán)境 3863313.4安全運維管理 3957144、工業(yè)控制系統(tǒng)安全擴展要求 4029685安全物理環(huán)境 407240安全通信網(wǎng)絡 4121065安全區(qū)域邊界 412889安全計算環(huán)境 4222381 4313577省級、補丁安裝管理，嚴防病毒、木馬等惡意代碼侵入。5、電子政務外網(wǎng)要求 4481455.1落實網(wǎng)絡安全主體責任 44142285.2加強電子政務外網(wǎng)接入管理 44325515.3做好電子政務外網(wǎng)網(wǎng)絡安全等級保護工作 4530282第二部分：主要網(wǎng)絡安全設備 46307151、防火墻設備 552952設備介紹 5523859設備功能 55174設備拓撲示意 55216192、網(wǎng)閘設備 5618291設備介紹 5626806設備功能 561689設備拓撲示意 5757873、漏洞掃描系統(tǒng)設備 577554設備介紹 5718490設備功能 587480設備拓撲示意 5993414、入侵防御系統(tǒng)設備（IPS） 6010978設備介紹 6030280設備功能 607874設備拓撲示意 61209955、Web應用防火墻設備（WAF） 623110設備介紹 625177設備功能 62509設備拓撲示意 64272426、運維審計系統(tǒng)設備（堡壘機） 6443296.1設備介紹 64243936.2設備功能 64192036.3設備拓撲示意 66281487、上網(wǎng)行為管理設備 6721172設備介紹 6731725設備功能 6731046設備拓撲示意 67224938、虛擬專用網(wǎng)絡設備（VPN） 6713090設備介紹 672919設備功能 685842設備拓撲示意 681459、防毒墻 691345設備介紹 6916279設備功能 6919666設備拓撲示意 702870010、應用主機綜合安全防護軟件 7026172軟件介紹 7024852軟件功能 708534設備拓撲示意 711353811、數(shù)據(jù)庫審計設備 722359軟件介紹 7231611軟件功能 7216979設備拓撲示意 73475212、日志審計設備 7431355軟件介紹 749223軟件功能 74491設備拓撲示意 76750613、服務器密碼機 767635設備介紹 763682設備功能 7626607設備拓撲示意 77544714、密鑰管理系統(tǒng) 7827701設備介紹 7825531設備功能 7831907設備拓撲示意 80568215、簽名驗簽系統(tǒng) 8113477 814121設備功能 8112481設備拓撲示意 822853016、態(tài)勢感知系統(tǒng) 8325687設備介紹 8331215設備功能 831728設備拓撲示意 841438817、網(wǎng)管平臺設備 846676設備介紹 8422512 8524917設備拓撲示意 8629671第三部分：高頻漏洞預防與處置 8722701、XSS漏洞處置方案 886436 886971XSS 8823280預防措施 8928119 904924 9019504 907071 9175192、SQL漏洞處置方案 9127427 9124384SQL 9210082 9427517 9427605 9424133 9424633 95295683、弱口令處置方案 9516244 955807 9614954 96742 9616025 9631617 969846 97111324、任意文件上傳處置方案 97189204.1 97267804.2 98223474.3 98165834.4 99250634.5 99110724.6 99145234.7 100175715、未授權訪問漏洞處置方案 10128944 10129648 10110797 1011834 10231780 1025333 10220883 103322156、反序列化遠程代碼執(zhí)行漏洞處置方案 10311459 10313126 1046812 1045611 10427194 10419463 10513866 10515527、信息泄露處置方案 10629852 10612975 10611782 10725405 10713844 10728046 10724787 108PAGEPAGE12第一部分：網(wǎng)絡安全防護要求//1、安全通用要求機房物理環(huán)境要求防火本項要求包括：（b）應設置冗余或并行的電力電纜線路為計算機系統(tǒng)供電；（d）應提供應急供電設施。實現(xiàn)方式：配備屏蔽機柜或屏蔽機房，同時建議部署動環(huán)系統(tǒng)。網(wǎng)絡通信環(huán)境要求實現(xiàn)方式：科學合理劃分網(wǎng)絡區(qū)域，并采用可信根芯片或硬件。//當檢測到攻擊行為時，記錄攻擊源IP實現(xiàn)方式：在邊界區(qū)域配置必要的安全設備。應用程序。實現(xiàn)方式：對設備定期巡檢，及時更新策略。數(shù)據(jù)安全要求系統(tǒng)及安全設備管理要求實現(xiàn)方式：配置安全管理中心SOC。安全管理制度要求(a(c)應形成由安全策略、管理制度、操作規(guī)程、記錄表單等構成的全面的安全管理制度體系。(a實現(xiàn)方式：對安全管理制度做好核查記錄。安全管理機構要求(c)應建立外聯(lián)單位聯(lián)系列表，包括外聯(lián)單位名稱、合作內(nèi)容、聯(lián)系人和聯(lián)系方式等信息。實現(xiàn)方式：做好安全檢查表格，安全檢查記錄，安全檢查報告等臺賬。安全管理人員錄用本項要求包括：實現(xiàn)方式：外部人員簽字的保密協(xié)議，明確其保密義務。安全建設管理要求實現(xiàn)方式：按要求對系統(tǒng)進行等級保護測試。軟件開發(fā)安全要求(a)應在軟件交付前檢測其中可能存在的惡意代碼；(b)應保證開發(fā)單位提供軟件設計文檔和使用指南；(c)應保證開發(fā)單位提供軟件源代碼，并審查軟件中可能存在的后門和隱蔽信道。等進行清點；實現(xiàn)方式：編制交付清單、技術培訓相關文檔、指導維護的文檔。安全運維管理要求(a儲等進行規(guī)范化管理。（感數(shù)據(jù)；(a)應識別需要定期備份的重要業(yè)務信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等；(b)應規(guī)定備份信息的備份方式、備份頻度、存儲介質、保存期等；(c)應根據(jù)數(shù)據(jù)的重要性和數(shù)據(jù)對系統(tǒng)運行的影響，制定數(shù)據(jù)的備份策略和恢復策略、備份程序和回復程序等。因，收集證據(jù)，記錄處理過程，總結經(jīng)驗教訓；確；如可能涉及對敏感信息的訪問、處理、存儲要求，對IT2、云計算安全擴展要求安全物理位置應保證云計算基礎設施位于中國境內(nèi)。安全通信網(wǎng)絡(a)應保證云計算平臺不承載高于其安全保護等級的業(yè)務應用系統(tǒng)；(b)應實現(xiàn)不同云服務客戶虛擬網(wǎng)絡之間的隔離；務戶可依據(jù)全標和 強訪間制規(guī)確定體對體的訪；議換或信協(xié)隔離的數(shù)交換式，證云服客戶以根業(yè)務求 自選擇界數(shù)交換式；安全區(qū)域邊界(a)應在虛擬化網(wǎng)絡邊界部署訪問控制機制，并設置訪問控制規(guī)則；(b)應在不同等級的網(wǎng)絡區(qū)域邊界部署訪間控制機制，設置訪問控制規(guī)則。計，至少包括虛擬機刪除、虛擬機重啟；(a)應保證虛擬機所使用的內(nèi)存和存儲空間回收時得到完全清除；(b)云服務客戶刪除業(yè)務應用數(shù)據(jù)時，云計算平臺應將云存儲中所有副本刪除。安全管理中心(a)應能對物理資源和虛擬資源按照策略做統(tǒng)一管理調(diào)度與分配；(b)應保證云計算平臺管理流蜇與云服務客戶業(yè)務流量分離；安全建設管理安全運維管理3、物聯(lián)網(wǎng)安全擴展要求安全物理環(huán)境（如溫濕度傳感器不能安裝在陽光直射區(qū)域）。（）。安全區(qū)域邊界安全計算環(huán)境（））安全運維管理TCP/IP4、工業(yè)控制系統(tǒng)安全擴展要求安全物理環(huán)境(a安全通信網(wǎng)絡在工業(yè)控制系統(tǒng)內(nèi)使用廣域網(wǎng)進行控制指令或相關數(shù)據(jù)交換的應采用加密認證技術手段實現(xiàn)身份認證、訪問控制和數(shù)據(jù)加密。安全區(qū)域邊界E-Mail,WebTelnetRlogin、FTP提供進行安全計算環(huán)境(a)控制設備自身應實現(xiàn)相應級別安全通用要求提出的身份鑒別、訪USB工業(yè)控制系統(tǒng)重要設備應通過專業(yè)機構的安全性檢測后方可采購使用。省級、補丁安裝管理，嚴防病毒、木馬等惡意代碼侵入。5、電子政務外網(wǎng)要求落實網(wǎng)絡安全主體責任（加強電子政務外網(wǎng)接入管理排查和評估工作，及時采取針對性整改措施，切實消除安全隱患，單位做好電子政務外網(wǎng)網(wǎng)絡安全等級保護工作第二部分：主要網(wǎng)絡安全設備VPN圖3.1標準網(wǎng)絡拓撲示意圖PAGEPAGE1001、防火墻設備設備介紹也稱防護墻，是由CheckPointNtGetnFelNGFel，設備功能如Internet）設備拓撲示意圖3.2防火墻設備部署方式2、網(wǎng)閘設備設備介紹（GAP）設備功能設備拓撲示意圖3.3網(wǎng)閘設備部署方式3、漏洞掃描系統(tǒng)設備設備介紹web設備功能種多樣的安全產(chǎn)品和技術之間做出取舍。配備網(wǎng)絡漏洞掃描/網(wǎng)絡評估系統(tǒng)可以進行安全規(guī)劃評估和成效檢驗網(wǎng)絡的安全系統(tǒng)建設方案和建設成效評估。//重大網(wǎng)絡安全事件前網(wǎng)絡漏洞掃描/網(wǎng)絡評估系統(tǒng)能夠幫助用戶及時的找出網(wǎng)絡中存在的隱患和漏洞，幫助用戶及時的彌補漏洞。設備拓撲示意圖3.4漏掃系統(tǒng)備部署方式4、入侵防御系統(tǒng)設備（IPS）設備介紹Intrusion-preventionsystem,簡稱IPS（IPS設備功能在ISO/OSIOSI為了彌補防火墻和防病毒軟件二者在第四到第五層之間留下的空檔，幾年前,工業(yè)界已經(jīng)有入侵檢測系統(tǒng)(IDS:IntrusionDetectionIRSIntrusionResponseSystems設備拓撲示意入侵檢測系統(tǒng)部署在服務器區(qū)域前端,能夠保證所有服務器流量從本設備經(jīng)過。圖3.5入侵防御系統(tǒng)設備部署方式5、Web應用防火墻設備（WAF）設備介紹WebWebApplicationFirewall,簡稱WAF決諸如防火墻一類傳統(tǒng)設備束手無策的WebWebWAFWeb設備功能WEBWEB于一體的WEBWEB度來看可以把WAFHTTPIDSWAFWAF總體來說，Web應用防火墻的具有以下四大個方面的功能：審計功能：用來截獲所有HTTP數(shù)據(jù)或者僅僅滿足某些規(guī)則的會話。Web架構/網(wǎng)絡設計功能：當運行在反向代理模式，他們被用來分配職能，集中控制，虛擬基礎結構等。WebWeb不僅能夠屏蔽WEBWEB1、事前主動防御，智能分析應用缺陷、屏蔽惡意請求、防范網(wǎng)頁篡改、阻斷應用攻擊，全方位保護WEB應用。2P2DR3、事后行為審計，深度挖掘訪問行為、分析攻擊數(shù)據(jù)、提升應用價值，為評估安全狀況提供詳盡報表。4、面向客戶的應用加速，提升系統(tǒng)性能，改善WEB6、面向服務的負載均衡，擴展服務能力，適應業(yè)務規(guī)模的快速壯大。設備拓撲示意Webweb圖3.6Web應用防火墻設備部署方式6、運維審計系統(tǒng)設備（堡壘機）設備介紹設備功能單點登錄功能：支持對Windows、LinuxUnixkey設備拓撲示意壘機冗余部署,部署在網(wǎng)絡安全管理區(qū)域，通過VPN做策略限制，只允許堡壘機IP圖3.7運維審計系統(tǒng)設備部署方式7、上網(wǎng)行為管理設備設備介紹設備功能設備拓撲示意圖3.8上網(wǎng)行為管理設備部署方式8、虛擬專用網(wǎng)絡設備（VPN）設備介紹VPN(virtualprivatenetworkVPNVPNVPN種：PPTP、L2TPIPSec。常用VPNSSLVPN(以HTTPS為基礎的VPN技術)和IPSecVPN(基于IPSec協(xié)議的VPN技術，由IPSec協(xié)議提供隧道安全保障)。設備功能VPNVPN的解決方法就是在內(nèi)網(wǎng)中架設一臺VPNVPNVPN上VPNVPN設備拓撲示意圖3.9虛擬專用網(wǎng)絡設備部署方式9、防毒墻設備介紹SQLSlammer設備功能\h網(wǎng)\h（、\h蠕蟲\h到服設備拓撲示意圖3.10防毒墻設備部署方式10、應用主機綜合安全防護軟件軟件介紹該系統(tǒng)采用C/S與B/SPCWindowsWebWeb軟件功能web測與防護CCSQLXSS和web設備拓撲示意軟件部署分為云中心部署和Agent部署兩個部分。圖3.11應用主機綜合安全防護軟件部署方式11、數(shù)據(jù)庫審計設備軟件介紹（簡稱DBAudit）軟件功能URL、客戶端的IP、請通過對不同數(shù)據(jù)庫的SQL語義分析，提取出SQL中相關的要素（用SQL）實時SQL靈活的策略定制：根據(jù)登錄用戶、源IP（分SQLSQLSQLSyslog設備拓撲示意任何影響。圖3.12數(shù)據(jù)庫審計設備部署方式12、日志審計設備軟件介紹日志審計系統(tǒng)是用于全面收集企業(yè)IT（包軟件功能時狀態(tài)進行監(jiān)控，支持查看CPUWindows/Linux平臺日志以及自定義等日志；集器的信息展示與管理以及Agent等多種日志采集方式；支持IPv4、IPv6日志采集、日志存儲：提供原始日志的存儲，可自定義存儲周期，支持FTP日志備份以及NFS網(wǎng)絡文件\h共享存儲等多種存儲擴展方式日志轉發(fā)：支持原始日志、范式化日志轉發(fā)表、周期性任務報表等方式；支持報表logo設備拓撲示意圖3.13日志審計設備部署方式13、服務器密碼機設備介紹設備功能服務器密碼機具有如下主要功能：密鑰生成：密碼機可提供各類型密鑰對的生成功能；非對稱密碼運算：密碼機可提供基于SM2、RSA、DSA、ECDSA、SM9、EdDSA等算法的簽名/驗簽、加密/解密、密鑰協(xié)商等功能；SM1SM4SM7SSF33DES/3DES、AES消息鑒別碼的產(chǎn)生及驗證：密碼機可提供基于SM1、SM4、SM7、SSF33、DES/3DES、AES等算法的CBC-MAC、CMAC的產(chǎn)生及驗證；雜湊密碼運算：密碼機可提供基于SM3、SHA1、SHA2、MD5等算法的雜湊運算功能；消息認證碼的產(chǎn)生：密碼機可提供基于SM3SHA1/SHA2的HMAC隨機數(shù)生成：密碼機可提供基于雙WNG8物理隨機源的隨機數(shù)生成功能。設備拓撲示意服務器密碼機旁路部署通過API圖3.14服務器密碼機設備部署方式14、密鑰管理系統(tǒng)設備介紹設備功能密鑰管理系統(tǒng)具有如下主要功能：等操作。HSM多種算法密鑰管理：支持SM4、AES、3DES等對稱算法密鑰的生成與管理；支持SM2、RSA、ECDSA等非對稱算法密鑰的生成與管理；支持HMAC-SM3、HMAC-SHA1等密鑰的生成與管理。SSL密鑰用戶名和口令及wrappingkeyKMIP和RESTGM/T0018JCEPKCS#11和RESTSSL備份//Web可下載或配置自動導出到備份服務器進行妥善保存。安全簡便的WebWeb數(shù)據(jù)庫加密MySQL、Oracle、SQLServer、DB2大數(shù)據(jù)平臺加密數(shù)據(jù)庫加密MySQL、Oracle、SQLServer、DB2大數(shù)據(jù)平臺加密ApacheHadoop存儲服務器加密Windows&Linux文件系統(tǒng)加密；Windows&Linux磁盤加密；NAS、SAN、GPFS網(wǎng)絡文件系統(tǒng)加密；NetAPP存儲加密。虛擬服務器加密Vsphere、Openstack設備拓撲示意密鑰管理系統(tǒng)旁路部署通過API圖3.15密鑰管理系統(tǒng)部署方式15、簽名驗簽系統(tǒng)PKI（PKCS#1PKCS#7Attach/Detach、XML）；設備功能簽名驗簽系統(tǒng)具有如下主要功能：CRLOCSP數(shù)字簽名/驗證：簽名驗簽系統(tǒng)可提供基于SM2、RSA等算法的PKCS#1簽名/驗證、PKCS#7Attached簽名/驗證、P7Detached簽名/PKCS#7GM/T0010數(shù)字信封加密和解密：簽名驗簽系統(tǒng)可提供基于SM2、RSAPKCS#7GM/T0010SM2、RSA設備拓撲示意簽名驗簽系統(tǒng)旁路部署通過API圖3.16簽名驗簽系統(tǒng)部署方式16、態(tài)勢感知系統(tǒng)設備介紹設備功能設備拓撲示意圖3.17態(tài)勢感知設備部署方式17、網(wǎng)管平臺設備設備介紹()WLANGPON一體化設備管理：設備信息、告警、關鍵KPI、硬件部件等信息集成呈現(xiàn)。可視化監(jiān)控場景化監(jiān)控：場景化DASHBOARD和大屏監(jiān)控，全方位掌握ICT系統(tǒng)狀態(tài)。E2E故障監(jiān)控：網(wǎng)絡質量診斷、視頻質量診斷技術等故障診斷工具。智能化分析滿足日常所需。設備拓撲示意圖3.18網(wǎng)管平臺設備部署方式第三部分：高頻漏洞預防與處置1、XSS漏洞處置方案跨站腳本攻擊（XSS）對于反射和DOM的影響是中等的，而對于存儲的XSS，XSS的影響更為嚴重，譬如在受攻擊者的瀏覽器上執(zhí)行遠程代碼，例如：竊取憑證和會話或傳遞惡意軟件等.跨站腳本攻擊（XSS）大致分為以下類型：反射式API戶輸入，作為HTML受害者的瀏覽器中執(zhí)行任意的HTMLJavaScript存儲式XAIXSS基于DOMAPIJavaScriptAPI。XSSXSS攻擊主要分為兩大類：一類是來自內(nèi)部的攻擊、一類是來自webSQLInjectionXSSXSS常見的攻擊手法：cookiejavascriptajaxjavaScripthttphttpscriptscript.src預防措施對輸入到HTMLurlhtmlscriptonerrorsrc、javascript、onload、expression現(xiàn)象一：查看流量是否存下惡意的JS代碼現(xiàn)象二：流量是否存在一些與業(yè)務無關的相關字符處置一些危險的js恢復2、SQL漏洞處置方案（SQL即是指\hwebweb\hSQL\h數(shù)據(jù)庫注入攻擊（SQL注入）大致分為以下類型：基于布爾的盲注:：因為webTrueFalse，所以布爾盲注就是注入后根據(jù)頁面返回值來得到數(shù)據(jù)庫信息（）web是否存在SQLunion多個\hSELECTselectorderby9基于錯誤信息的注入：此方法是在頁面沒有顯示位，但是echomysql_error();函數(shù)輸出了錯誤信息的時候方能使用。優(yōu)點是limitechomysql_errorSQLSQLSQL碼對\hWEBpost/getwebSQLweb器執(zhí)行惡意命令的過程?？梢酝ㄟ^一個例子簡單說明SQL假設某網(wǎng)站頁面顯示時URL\h?test=123，URL123test，這表明當前頁URL字符串構造SQLSQL的SQL的開發(fā)過程其實為SQLSQL常見的攻擊手法：ID、年齡、頁碼等，如果存在注入ASP、PHPidintid=8andstringJava、Cint引號來閉合。sql語句，sqlorselectfromunionwhere、order、sleep、&、&&、|、||等詞匯特征，在設置數(shù)據(jù)庫時給數(shù)據(jù)現(xiàn)象一：查看流量是否存下惡意的SQL語句代碼現(xiàn)象二：流量是否存在一些與業(yè)務無關的相關SQL命令字符處置在防火墻和入侵檢測系統(tǒng)做策略過濾對一些無關業(yè)務的字符和一些危險的SQL語句代碼做字符過濾和檢測。恢復3、弱口令處置方案weakpassword弱口令一般分為兩種：某些網(wǎng)站搭建好后會默認設置一些賬號密碼，由于管理員弱口令攻漏洞與個人習慣相關與意識相關，為了避免忘記密碼，使用一個非常容易記住的密碼，或者是直接采用系統(tǒng)的默認密碼等，需要加強相關的網(wǎng)絡安全意識。對于不通的