網(wǎng)絡(luò)安全建設(shè)方案

網(wǎng)絡(luò)安全建設(shè)方案2016年7月1.前言21.1。方案涉及范圍21。2。方案參考標(biāo)準(zhǔn)31.3。方案設(shè)計(jì)原則42。安全需求分析52。1.符合等級(jí)保護(hù)的安全需求52。1.1。等級(jí)保護(hù)框架設(shè)計(jì)52.1.2。相應(yīng)等級(jí)的安全技術(shù)要求62。2。自身安全防護(hù)的安全需求62.2.1。物理層安全需求62。2.2。網(wǎng)絡(luò)層安全需求72.2.3。系統(tǒng)層安全需求82。2。4.應(yīng)用層安全需求93.網(wǎng)絡(luò)安全建設(shè)內(nèi)容93.1。邊界隔離措施103.1。1.下一代防火墻10TOC\o"1-5"\h\z3.1。2.入侵防御系統(tǒng)123。1.3。流量控制系統(tǒng)123。1.4.流量清洗系統(tǒng)143.2.應(yīng)用安全措施143。2.1。WEB應(yīng)用防火墻143。2。2.上網(wǎng)行為管理系統(tǒng)153.2。3.內(nèi)網(wǎng)安全準(zhǔn)入控制系統(tǒng)163.3。安全運(yùn)維措施163。3.1.堡壘機(jī)163.3.2。漏洞掃描系統(tǒng)173。3。3.網(wǎng)站監(jiān)控預(yù)警平臺(tái)173.3.4。網(wǎng)絡(luò)防病毒系統(tǒng)183.3。5.網(wǎng)絡(luò)審計(jì)系統(tǒng)181.前言1.1.方案涉及范方案設(shè)計(jì)中的防護(hù)重點(diǎn)是學(xué)校中心機(jī)房的服務(wù)器區(qū)域,這些服務(wù)器承載了學(xué)校內(nèi)部的所有業(yè)務(wù)系統(tǒng)，因此是需要重點(diǎn)防護(hù)的信息資產(chǎn)。學(xué)校目前采取了數(shù)據(jù)大集中的模式，將所有的業(yè)務(wù)數(shù)據(jù)集中在中心機(jī)房，數(shù)據(jù)大集中模式將導(dǎo)致數(shù)據(jù)中心的安全風(fēng)險(xiǎn)也很集中,因此必須對(duì)中心機(jī)房服務(wù)器區(qū)域進(jìn)行重點(diǎn)防護(hù)。第第#頁(yè)共19頁(yè)第第8頁(yè)共19頁(yè)的合法用戶）被允許正常訪問(wèn)的一定的信息，但他同時(shí)通過(guò)一些手段越權(quán)訪問(wèn)了別人不允許他訪問(wèn)的信息，因此而造成他人的信息泄密。所以,還得加密訪問(wèn)控制的機(jī)制，對(duì)服務(wù)及訪問(wèn)權(quán)限進(jìn)行嚴(yán)格控制。防范假冒合法用戶的非法訪問(wèn)從管理上及實(shí)際需求上是要求合法用戶可正常訪問(wèn)被許可的資源。既然合法用戶可以訪問(wèn)資源。那么，入侵者便會(huì)在用戶下班或關(guān)機(jī)的情況下，假冒合法用戶的IP地址或用戶名等資源進(jìn)行非法訪問(wèn)。因此，必需從訪問(wèn)控制上做到防止假冒而進(jìn)行的非法訪問(wèn)。入侵防御需求防火墻是實(shí)現(xiàn)網(wǎng)絡(luò)安全最基本、最經(jīng)濟(jì)、最有效的措施之一。防火墻可以對(duì)所有的訪問(wèn)進(jìn)行嚴(yán)格控制（允許、禁止、報(bào)警）.但網(wǎng)絡(luò)配置了防火墻卻不一定安全，防火墻不可能完全防止有些新的攻擊或那些不經(jīng)過(guò)防火墻的其它攻擊。因?yàn)榫W(wǎng)絡(luò)安全是整體的，動(dòng)態(tài)的，不是單一產(chǎn)品能夠完全實(shí)現(xiàn)，所以確保網(wǎng)絡(luò)更加安全必須配備入侵檢測(cè)和響應(yīng)系統(tǒng)，對(duì)透過(guò)防火墻的攻擊進(jìn)行檢測(cè)并做相應(yīng)反應(yīng)（記錄、報(bào)警、阻斷）.2.2.3.系統(tǒng)層安全需求安全漏洞檢測(cè)和修補(bǔ)需求網(wǎng)絡(luò)系統(tǒng)存在安全漏洞（如安全配置不嚴(yán)密等）和操作系統(tǒng)安全漏洞等是黑客等入侵者攻擊屢屢得手的重要因素。入侵者通常都是通過(guò)一些程序來(lái)探測(cè)網(wǎng)絡(luò)中系統(tǒng)中存在的一些安全漏洞，然后通過(guò)發(fā)現(xiàn)的安全漏洞，采取相就技術(shù)進(jìn)行攻擊，因此，必需配備網(wǎng)絡(luò)安全掃描系統(tǒng)和系統(tǒng)安全掃描系統(tǒng)檢測(cè)網(wǎng)絡(luò)中存在的安全漏洞，并采用相應(yīng)的措施填補(bǔ)系統(tǒng)漏洞，對(duì)網(wǎng)絡(luò)設(shè)備等存在的不安全配置重新進(jìn)行安全配置.安全加固需求對(duì)關(guān)鍵的服務(wù)器主機(jī)系統(tǒng)進(jìn)行安全加固，提供用戶認(rèn)證、訪問(wèn)控制和審計(jì)，嚴(yán)格控制用戶對(duì)服務(wù)器系統(tǒng)的訪問(wèn)，禁止黑客利用系統(tǒng)的開(kāi)口隱患和安全管理功能的不足之處進(jìn)行非法訪問(wèn)，避免內(nèi)部用戶的濫用。2.2.4.應(yīng)用層安全需求防病毒需求針對(duì)防病毒危害性極大并且傳播極為迅速的特點(diǎn)，必須配備涵蓋客戶端、服務(wù)器、郵件系統(tǒng)、互聯(lián)網(wǎng)網(wǎng)關(guān)的整套防病毒體系，實(shí)現(xiàn)全網(wǎng)的病毒安全防護(hù),徹底切斷病毒繁殖和傳播的途徑。防垃圾郵件需求必須采用有效的手段防范互聯(lián)網(wǎng)垃圾郵件進(jìn)入網(wǎng)絡(luò)內(nèi)部郵件服務(wù)器系統(tǒng)，干擾正常業(yè)務(wù)通信。身份認(rèn)證需求必須采用必要的用戶身份認(rèn)證和授權(quán)管理機(jī)制，對(duì)網(wǎng)絡(luò)用戶身份的真實(shí)性、合法性進(jìn)行集中的控制。數(shù)據(jù)安全需求對(duì)重要的業(yè)務(wù)數(shù)據(jù)和管理數(shù)據(jù)應(yīng)提供可靠的備份和恢復(fù)機(jī)制，防止因非法攻擊或意外事件造成數(shù)據(jù)的破壞或丟失；3.網(wǎng)絡(luò)安全建設(shè)內(nèi)容建議在本期項(xiàng)目的建設(shè)中，重點(diǎn)從網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全、管理安全的角度出發(fā)，進(jìn)行建設(shè)，同時(shí)在本期項(xiàng)目成功建設(shè)的基礎(chǔ)上，再進(jìn)一步向物理安全、組織體系、運(yùn)行體系方面進(jìn)行擴(kuò)展，實(shí)現(xiàn)全面的安全策略.具體的實(shí)施方案可參考下圖表示：圖3.1學(xué)校網(wǎng)絡(luò)安全拓?fù)涫疽鈭D在本方案中,在互聯(lián)網(wǎng)接入邊界處部署防火墻系統(tǒng)，形成層次化的訪問(wèn)控制和區(qū)域隔離。特別針對(duì)服務(wù)器區(qū)域，利用安全邊界接入平臺(tái)技術(shù)加強(qiáng)訪問(wèn)控制力度，有效保障重要的應(yīng)用系統(tǒng)不受到非法的訪問(wèn)。此外，在服務(wù)器接入邊界處部署入侵防御系統(tǒng)，一方面有效抵抗拒絕服務(wù)、掃描、惡意代碼、木馬、蠕蟲等網(wǎng)絡(luò)攻擊行為,降低來(lái)自互聯(lián)網(wǎng)和校園內(nèi)部的威脅與風(fēng)險(xiǎn)。在防火墻邊界隔離的基礎(chǔ)上,部署入侵防御系統(tǒng)可以進(jìn)行深度的檢測(cè)與防護(hù)，提升系統(tǒng)的檢測(cè)力度。同時(shí)，還在互聯(lián)網(wǎng)接入邊界處部署流量控制系統(tǒng)，根據(jù)應(yīng)用和用戶進(jìn)行帶寬的分配與監(jiān)控。在WEB網(wǎng)站前端部署一臺(tái)WEB應(yīng)用防火墻，防范來(lái)自互聯(lián)網(wǎng)對(duì)WEB網(wǎng)站的攻擊行為。在互聯(lián)網(wǎng)接入邊界處部署上網(wǎng)行為管理系統(tǒng)，規(guī)范辦公區(qū)人員的互聯(lián)網(wǎng)行為,保障核心業(yè)務(wù)系統(tǒng)的流量帶寬。同時(shí)，還在互聯(lián)網(wǎng)接入邊界處部署流量清洗系統(tǒng),對(duì)網(wǎng)絡(luò)中的異常流量進(jìn)行分析和清洗，保障有限帶寬的合理化利用。在內(nèi)網(wǎng)署一套安全準(zhǔn)入控制系統(tǒng),加強(qiáng)網(wǎng)絡(luò)安全管理及內(nèi)部PC的安全管理。部署堡壘機(jī)來(lái)對(duì)管理員和第三方維護(hù)人員進(jìn)行設(shè)備維護(hù)時(shí)進(jìn)行審計(jì)管理。部署漏洞掃描系統(tǒng)對(duì)全網(wǎng)的服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備和終端進(jìn)行檢測(cè)，發(fā)現(xiàn)網(wǎng)絡(luò)中存在的安全漏洞,并采用相應(yīng)的措施填補(bǔ)系統(tǒng)漏洞。參考圖3。1，針對(duì)學(xué)校數(shù)據(jù)中心，采取的主要防護(hù)措施包括:3.1.邊界隔離措施3.1.1.下一代防火墻防火墻是近年發(fā)展起來(lái)的重要安全技術(shù)，其主要作用是在網(wǎng)絡(luò)入口點(diǎn)檢查網(wǎng)絡(luò)通信，根據(jù)用戶設(shè)定的安全規(guī)則，在保護(hù)內(nèi)部網(wǎng)絡(luò)安全的前提下，提供內(nèi)外網(wǎng)絡(luò)通信，起到安全域劃分、訪問(wèn)控制、NAT轉(zhuǎn)換和殺毒、漏洞檢測(cè)等防護(hù)的作用,同時(shí)該防火墻還作為VPN網(wǎng)關(guān)為移動(dòng)辦公BYOD人員提供遠(yuǎn)程安全連接。通過(guò)使用防火墻過(guò)濾不安全的服務(wù)，提高網(wǎng)絡(luò)安全和減少子網(wǎng)中主機(jī)的風(fēng)險(xiǎn)，提供對(duì)系統(tǒng)的訪問(wèn)控制;阻止攻擊者獲得攻擊網(wǎng)絡(luò)系統(tǒng)的有用信息，記錄和統(tǒng)計(jì)網(wǎng)絡(luò)利用數(shù)據(jù)以及非法使用數(shù)據(jù)、攻擊和探測(cè)策略執(zhí)行。防火墻屬于一種被動(dòng)的安全防御工具。設(shè)立防火墻的目的是保護(hù)一個(gè)網(wǎng)絡(luò)不受來(lái)自另一個(gè)網(wǎng)絡(luò)的攻擊，防火墻的主要功能包括以下幾個(gè)方面：1．防火墻提供安全邊界控制的基本屏障。設(shè)置防火墻可提高內(nèi)部網(wǎng)絡(luò)安全性，降低受攻擊的風(fēng)險(xiǎn);2．防火墻體現(xiàn)網(wǎng)絡(luò)安全策略的具體實(shí)施.防火墻集成所有安全軟件（如口令、加密、認(rèn)證、審計(jì)等），比分散管理更經(jīng)濟(jì);3．防火墻強(qiáng)化安全認(rèn)證和監(jiān)控審計(jì).因?yàn)樗羞M(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流都必須通過(guò)防火墻，防火墻也能提供日志記錄、統(tǒng)計(jì)數(shù)據(jù)、報(bào)警處理、審計(jì)跟蹤等服務(wù);4．防火墻能阻止內(nèi)部信息泄漏。防火墻實(shí)際意義上也是一個(gè)隔離器，即能防外，又能防止內(nèi)部未經(jīng)授權(quán)用戶對(duì)外網(wǎng)的訪問(wèn)。防火墻設(shè)備的部署，可實(shí)現(xiàn)以下功能：1．通過(guò)防火墻連接,隔離安全區(qū)域通過(guò)對(duì)訪問(wèn)請(qǐng)求的審核，我們隔離了內(nèi)部網(wǎng)絡(luò)同外部網(wǎng)絡(luò)連接，可以達(dá)到保護(hù)脆弱的服務(wù)、控制對(duì)內(nèi)部的訪問(wèn)、記錄和統(tǒng)計(jì)網(wǎng)絡(luò)利用數(shù)據(jù)以及非法使用數(shù)據(jù)和策略執(zhí)行等功能。在有不安全網(wǎng)絡(luò)接入時(shí)，全部通信都受到防火墻的監(jiān)控，通過(guò)防護(hù)墻的策略可以設(shè)置成相應(yīng)的保護(hù)級(jí)別,以保證系統(tǒng)的安全性。2．過(guò)濾網(wǎng)絡(luò)中不必要傳輸?shù)睦鴶?shù)據(jù)防火墻是一種網(wǎng)關(guān)型的設(shè)備，各個(gè)區(qū)域之間的通信,可以通過(guò)防火墻的添加，如果在其上添加一些策略，就可以過(guò)濾掉部分無(wú)用的信息，在網(wǎng)絡(luò)中只能傳輸必要的應(yīng)用數(shù)據(jù)。3．利用防火墻的帶寬控制功能，調(diào)整鏈路的帶寬利用防火墻是一種網(wǎng)關(guān)型的設(shè)備，而且防火墻具有帶寬控制的特性，可以依據(jù)應(yīng)用來(lái)限制流量，來(lái)調(diào)整鏈路的帶寬.實(shí)現(xiàn)每個(gè)用戶、服務(wù)器的帶寬控制，提高鏈路帶寬利用的效率.4．通過(guò)防火墻的保護(hù)，隱蔽內(nèi)部網(wǎng)絡(luò)信息，提高系統(tǒng)的安全性使得各個(gè)內(nèi)網(wǎng)區(qū)不受到黑客的攻擊，黑客無(wú)法通過(guò)防火墻進(jìn)行掃描、攻擊等非法動(dòng)作。可防止黑客通過(guò)外部網(wǎng)對(duì)重要服務(wù)器的TCP/UDP的端口非法掃描,消除系統(tǒng)安全的隱患?？煞乐构粽咄ㄟ^(guò)外部網(wǎng)對(duì)重要服務(wù)器的源路由攻擊、IP碎片包攻擊、DNS/RIP/ICMP攻擊、SYN攻擊、拒絕服務(wù)等多種攻擊。防火墻還具有一定的入侵檢測(cè)功能，當(dāng)發(fā)現(xiàn)有繞過(guò)防火墻攻擊重要服務(wù)器時(shí)，防火墻將自動(dòng)報(bào)警并根據(jù)策略進(jìn)行響應(yīng)。5．強(qiáng)大的應(yīng)用層控制防火墻提供應(yīng)用級(jí)透明代理，可以對(duì)高層應(yīng)用（HTTP、FTP、SMTP、POP3、NNTP）做了更詳細(xì)控制，女口HTTP命令（GET,POST,HEAD）及URL,FTP命令（GEI，PUT）及文件控制。這對(duì)于提高網(wǎng)絡(luò)中的應(yīng)用服務(wù)器的安全非常有意義。入侵防御系統(tǒng)剛才提到防火墻實(shí)現(xiàn)的是不同安全域之間的訪問(wèn)控制和管理，而入侵防御系統(tǒng)實(shí)現(xiàn)的是對(duì)整個(gè)內(nèi)網(wǎng)的訪問(wèn)控制、數(shù)據(jù)包深度過(guò)濾、漏洞攻擊防御、郵件病毒過(guò)濾、報(bào)文完整性分析等功能，并提供更高的性能、更細(xì)的安全控制粒度、更深的內(nèi)容攻擊防御、更大的功能擴(kuò)展空間、更豐富的服務(wù)和協(xié)議支持，為網(wǎng)絡(luò)提供完整的立體式網(wǎng)絡(luò)安全防護(hù)。入侵防御系統(tǒng)是在線部署在網(wǎng)絡(luò)中，提供主動(dòng)的、實(shí)時(shí)的防護(hù)，具備對(duì)2到7層網(wǎng)絡(luò)的線速、深度檢測(cè)能力,同時(shí)配合以精心研究、及時(shí)更新的攻擊特征庫(kù)，即可以有效檢測(cè)并實(shí)時(shí)阻斷隱藏在海量網(wǎng)絡(luò)中的病毒、攻擊與濫用行為，也可以對(duì)分布在網(wǎng)絡(luò)中的各種流量進(jìn)行有效管理,從而達(dá)到對(duì)網(wǎng)絡(luò)架構(gòu)防護(hù)、網(wǎng)絡(luò)性能保護(hù)和核心應(yīng)用防護(hù)。流量控制系統(tǒng)隨著互聯(lián)網(wǎng)的逐步發(fā)展，網(wǎng)上用戶和業(yè)務(wù)流量在不斷增長(zhǎng),除傳統(tǒng)數(shù)據(jù)業(yè)務(wù)外，網(wǎng)絡(luò)電話、網(wǎng)絡(luò)視頻、P2P下載等新型網(wǎng)絡(luò)應(yīng)用使得骨干網(wǎng)絡(luò)中話音、視頻、點(diǎn)到點(diǎn)下載流量在呈幾何基數(shù)級(jí)膨脹趨勢(shì)。今天的互聯(lián)網(wǎng)用戶中,沒(méi)有聽(tīng)說(shuō)或使用過(guò)Skype、QQ、MSN、BT、Emule、PPLive等應(yīng)用的恐怕已經(jīng)是極少數(shù)。網(wǎng)絡(luò)應(yīng)用繁榮的同時(shí)，網(wǎng)絡(luò)管理的難度也隨之增加。傳統(tǒng)的網(wǎng)絡(luò)設(shè)備由于無(wú)法識(shí)別應(yīng)用層的流量信息，致使應(yīng)用級(jí)別的管控不到位,網(wǎng)絡(luò)管理的灰色地帶不斷增加.主要表現(xiàn)在：網(wǎng)絡(luò)透明度降低:無(wú)法獲知網(wǎng)上的各種應(yīng)用及用戶準(zhǔn)確分布情況，無(wú)法針對(duì)不同用戶、不同應(yīng)用設(shè)置差異化的管理策略；網(wǎng)絡(luò)資源濫用嚴(yán)重，難以進(jìn)行有效控制管理:如,觀看在線視頻（網(wǎng)絡(luò)電視、在線影視）、利用各種下載工具下載喜歡的音樂(lè)/影視等；致使網(wǎng)絡(luò)鏈路經(jīng)常處于流量飽和的狀態(tài),無(wú)法滿足日益增長(zhǎng)的應(yīng)用需求；關(guān)鍵用戶、關(guān)鍵應(yīng)用的服務(wù)質(zhì)量難以得到有效保障：網(wǎng)絡(luò)應(yīng)用流量種類、數(shù)量不斷增多，無(wú)序化的競(jìng)爭(zhēng)經(jīng)常導(dǎo)致關(guān)鍵用戶、關(guān)鍵應(yīng)用的服務(wù)體驗(yàn)的降低;網(wǎng)絡(luò)安全性降低：由于網(wǎng)絡(luò)的無(wú)序化管理，內(nèi)部人員對(duì)網(wǎng)絡(luò)應(yīng)用的濫用，大量蠕蟲病毒、DDOS攻擊趁虛而入，這些以消耗網(wǎng)絡(luò)資源為目的的流量類攻擊發(fā)展迅猛，卻沒(méi)有有效的防范、控制手段，造成網(wǎng)絡(luò)擁塞,甚至網(wǎng)絡(luò)癱瘓，為網(wǎng)絡(luò)安全帶來(lái)了重大的隱患;另外，現(xiàn)有網(wǎng)絡(luò)設(shè)備無(wú)法實(shí)現(xiàn)應(yīng)用級(jí)別管控還會(huì)給各類不同用戶帶來(lái)其它一些嚴(yán)重問(wèn)題,例如：對(duì)于企業(yè)網(wǎng)絡(luò)：用戶網(wǎng)絡(luò)行為監(jiān)管困難，既便制定了內(nèi)部網(wǎng)絡(luò)管理?xiàng)l例，員工的上網(wǎng)行為也難以進(jìn)行有效的管理.例如，在工作時(shí)間炒股票（大智慧、通花順、錢龍等）、玩網(wǎng)絡(luò)游戲（傳奇、魔獸、聯(lián)眾、反恐精英等）、用MSN、QQ等即時(shí)通訊工具進(jìn)行與工作無(wú)關(guān)的聊天等，這不僅會(huì)影響工作效率，也會(huì)給網(wǎng)絡(luò)管理帶來(lái)巨大隱患；對(duì)于電信運(yùn)營(yíng)商網(wǎng)絡(luò)：對(duì)應(yīng)用管控的缺失,造成非法VoIP、P2P應(yīng)用、在線視頻應(yīng)用的泛濫,一方面，其占有了大量的網(wǎng)絡(luò)資源，帶來(lái)了擴(kuò)容壓力；另一方面，其也對(duì)運(yùn)營(yíng)商的主營(yíng)業(yè)務(wù)（傳統(tǒng)的語(yǔ)音業(yè)務(wù)、新興的IPTV業(yè)務(wù)等）收入造成了巨大的影響。對(duì)于今天的網(wǎng)絡(luò)管理者而言，如何深度感知網(wǎng)絡(luò)應(yīng)用，通過(guò)適當(dāng)?shù)膸捁芾砑夹g(shù)來(lái)解決帶寬增長(zhǎng)與業(yè)務(wù)收益、網(wǎng)絡(luò)擴(kuò)容與用戶體驗(yàn)之間的不對(duì)稱關(guān)系，實(shí)現(xiàn)對(duì)用戶和業(yè)務(wù)的分級(jí)化識(shí)別管理，和基于用戶和用戶業(yè)務(wù)流量的管理和增值顯得尤為重要。在這種背景下，流量控制系統(tǒng)就能夠很好的解決上述網(wǎng)絡(luò)面臨的問(wèn)題，它通過(guò)高速數(shù)據(jù)內(nèi)容檢測(cè)、數(shù)據(jù)流狀態(tài)監(jiān)測(cè)、IP隧道和微碼固件等方法，在對(duì)網(wǎng)絡(luò)應(yīng)用深度解析的基礎(chǔ)上,實(shí)現(xiàn)了2?7層的應(yīng)用識(shí)別分類、流量屬性分析、流量策略管理、分類統(tǒng)計(jì)報(bào)告以及狀態(tài)預(yù)警等多種功能。流控為提高網(wǎng)絡(luò)透明度，實(shí)施網(wǎng)絡(luò)應(yīng)用服務(wù)管理以及拓展網(wǎng)絡(luò)增值業(yè)務(wù)提供了有效和可靠的硬件平臺(tái)，在對(duì)網(wǎng)絡(luò)流量進(jìn)行精確識(shí)別分析進(jìn)而達(dá)到控制的目的的同時(shí)，鞏固和加強(qiáng)了網(wǎng)絡(luò)的安全管理。3.1.4.流量清洗系統(tǒng)隨著各種業(yè)務(wù)對(duì)Internet依賴程度的日益加強(qiáng)，DDoS攻擊所帶來(lái)的損失也愈加嚴(yán)重。包括運(yùn)營(yíng)商、企業(yè)及政府機(jī)構(gòu)的各種用戶時(shí)刻都受到了DDoS攻擊的威脅，而未來(lái)更加強(qiáng)大的攻擊工具的出現(xiàn)，為日后發(fā)動(dòng)數(shù)量更多、破壞力更強(qiáng)的DDoS攻擊帶來(lái)可能。正是由于DDoS攻擊非常難于防御，以及其危害嚴(yán)重，所以如何有效的應(yīng)對(duì)DDoS攻擊就成為Internet使用者所需面對(duì)的嚴(yán)峻挑戰(zhàn)。網(wǎng)絡(luò)設(shè)備或者傳統(tǒng)的邊界安全設(shè)備，諸如防火墻、入侵檢測(cè)系統(tǒng),作為整體安全策略中不可缺少的重要模塊，都不能有效的提供針對(duì)DDoS攻擊完善的防御能力。面對(duì)這類給Internet可用性帶來(lái)極大損害的攻擊，必須采用專門的設(shè)備，對(duì)攻擊進(jìn)行有效檢測(cè)及阻斷，進(jìn)而遏制這類不斷增長(zhǎng)的、復(fù)雜的且極具欺騙性的攻擊形式.因此，對(duì)骨干設(shè)備的防護(hù)也是整個(gè)網(wǎng)絡(luò)環(huán)境的關(guān)鍵，建議在互聯(lián)網(wǎng)接入處部署專業(yè)的DDoS防護(hù)產(chǎn)品，保障用戶網(wǎng)絡(luò)可用性。應(yīng)用安全措施3.2.1.WEB應(yīng)用防火墻隨著信息技術(shù)的不斷發(fā)展,互聯(lián)網(wǎng)已經(jīng)成為信息傳播、流通、交換及存儲(chǔ)的重要手段.信息高速公路的興建使人類完全突破了傳統(tǒng)的信息獲取方式，存儲(chǔ)在計(jì)算機(jī)中的資料都在逐漸增加,對(duì)信息的保護(hù)比以往更加重要也更加困難。由于Internet是個(gè)開(kāi)放的網(wǎng)絡(luò)，網(wǎng)站發(fā)布的信息一天二十四小時(shí)都在被查詢、閱讀、下載或轉(zhuǎn)載。網(wǎng)站內(nèi)容復(fù)制容易，轉(zhuǎn)載速度快，學(xué)校WEB站點(diǎn)網(wǎng)頁(yè)如果被篡改,后果難以預(yù)料,篡改網(wǎng)頁(yè)將會(huì)被迅速、廣泛傳播，從而直接危害網(wǎng)站的利益。尤其是網(wǎng)站上發(fā)布的重要新聞、重大方針政策以及法規(guī)等，一旦被黑客篡改,將嚴(yán)重影響政府形象，甚至造成重大的政治經(jīng)濟(jì)損失和惡劣的社會(huì)影響。WEB服務(wù)器前端部署WEB應(yīng)用防火墻，可以提高相關(guān)WEB站點(diǎn)的安全性。當(dāng)出現(xiàn)黑客攻擊或工作人員某些操作失誤，WEB應(yīng)用防火墻能夠?qū)崟r(shí)恢復(fù)網(wǎng)站文件，保證網(wǎng)站的連續(xù)正常運(yùn)行;同時(shí)還能夠記錄篡改事件的相關(guān)資料，從而為安全部門提供調(diào)查的線索和證據(jù)。WEB應(yīng)用防火墻具備實(shí)時(shí)、低耗等性能指標(biāo),既能夠保證篡改頁(yè)面的立即恢復(fù)，又能保證網(wǎng)站的正常服務(wù)性能不受影響.WEB應(yīng)用防火墻支持全透明部署模式，全面支持HTTPS協(xié)議，在提供WEB應(yīng)用實(shí)時(shí)深度防御的同時(shí)實(shí)現(xiàn)WEB應(yīng)用加速及敏感信息泄露防護(hù)，能夠解決應(yīng)用及業(yè)務(wù)邏輯層面的安全問(wèn)題，特別是解決目前所面臨的各類網(wǎng)站安全問(wèn)題，如：注入攻擊、跨站腳本攻擊（釣魚攻擊）、惡意編碼（網(wǎng)頁(yè)木馬）、緩沖區(qū)溢出、信息泄露、應(yīng)用層DOS/DDOS攻擊等等。3.2.2.上網(wǎng)行為管理系統(tǒng)隨著信息化建設(shè)的開(kāi)展，工作和生活對(duì)于互聯(lián)網(wǎng)的依賴性越來(lái)越強(qiáng).在學(xué)校職工利用互聯(lián)網(wǎng)獲得更多更及時(shí)地資源的時(shí)候,一些網(wǎng)絡(luò)性能方面和應(yīng)用方面的問(wèn)題被暴露了出來(lái)，大量的P2P等非關(guān)鍵應(yīng)用無(wú)情地吞噬著網(wǎng)絡(luò)有限的帶寬資源，使得網(wǎng)絡(luò)管理人員頭痛不已。在沒(méi)有對(duì)P2P流量進(jìn)行策略管理的時(shí)間段內(nèi),P2P等非關(guān)鍵應(yīng)用的流量幾乎占用了60-70%的網(wǎng)絡(luò)帶寬，關(guān)鍵性應(yīng)用如OA、Email、WEB網(wǎng)站等卻得不到保障，會(huì)嚴(yán)重影響了機(jī)關(guān)網(wǎng)絡(luò)的健康發(fā)展。通過(guò)在互聯(lián)網(wǎng)出口處部署一臺(tái)上網(wǎng)行為管理系統(tǒng)，對(duì)互聯(lián)網(wǎng)資源做一個(gè)合理的流量控制，抑制P2P的濫用，并保障關(guān)鍵應(yīng)用的帶寬，大幅度提高訪問(wèn)互聯(lián)網(wǎng)的速度，有效提升帶寬利用率。上網(wǎng)行為管理系統(tǒng)提供了強(qiáng)大的網(wǎng)頁(yè)過(guò)濾功能,屏蔽對(duì)非法網(wǎng)站的訪問(wèn)；提供基于時(shí)間、用戶、應(yīng)用的精細(xì)管理策略,控制職工在上班時(shí)間玩網(wǎng)絡(luò)游戲、炒股、觀看在線視頻，以及無(wú)節(jié)制的網(wǎng)絡(luò)聊天,從而保障工作效率;提供對(duì)電子郵件、即時(shí)通訊、論壇發(fā)帖等途徑的外發(fā)信息進(jìn)行監(jiān)控審計(jì)，避免機(jī)密信息泄露或發(fā)表反動(dòng)言論等.3.2.3.內(nèi)網(wǎng)安全準(zhǔn)入控制系統(tǒng)學(xué)校業(yè)務(wù)種類越來(lái)越多，重要性越來(lái)越突出。所以辦公計(jì)算機(jī)的系統(tǒng)安全以及日常的運(yùn)行維護(hù)顯的尤為重要，如果出現(xiàn)安全漏洞或安全事故，將會(huì)嚴(yán)重影響整體業(yè)務(wù)運(yùn)行安全。由于學(xué)校信息化程度較高，終端點(diǎn)數(shù)較多，對(duì)IT軟硬件的資產(chǎn)管理及故障維護(hù)靠人工施行難度較大，且效率低下，迫切需要通過(guò)技術(shù)手段規(guī)范人員入網(wǎng)及日常終端使用行為.為加強(qiáng)網(wǎng)絡(luò)安全管理及加強(qiáng)內(nèi)部PC的安全管理，建議在內(nèi)網(wǎng)部署一套安全準(zhǔn)入控制系統(tǒng)，這套系統(tǒng)將重點(diǎn)解決以下問(wèn)題：＞用戶入網(wǎng)身份證書認(rèn)證化＞入網(wǎng)終端登記注冊(cè)認(rèn)證化＞違規(guī)終端不準(zhǔn)入網(wǎng)、入網(wǎng)終端必合規(guī)＞安全檢查一目了然、智能傻瓜式修復(fù)＞用戶權(quán)限的細(xì)粒度分派及管理＞全網(wǎng)終端軟硬件資產(chǎn)合理、實(shí)時(shí)、有序管理＞終端系統(tǒng)補(bǔ)丁、殺毒軟件、應(yīng)用程序等有效統(tǒng)一管理安全準(zhǔn)入控制系統(tǒng)可以對(duì)所有的入網(wǎng)設(shè)備進(jìn)行身份認(rèn)證,包括MAC地址、IP地址、基于用戶名和密碼的身份、接入設(shè)備端口、所在VLAN等信息，還支持U-KEY、支持智能卡、數(shù)字證書認(rèn)證、LDAP、無(wú)縫結(jié)合域管理。保證接入設(shè)備為合法終端。安全運(yùn)維措施3.3.1.堡壘機(jī)隨著信息技術(shù)的不斷發(fā)展和信息化建設(shè)的不斷進(jìn)步，業(yè)務(wù)應(yīng)用、辦公系統(tǒng)不斷推出和投入運(yùn)行，信息系統(tǒng)在政府機(jī)構(gòu)運(yùn)營(yíng)中全面滲透。學(xué)校信息系統(tǒng)使用數(shù)量眾多的網(wǎng)絡(luò)設(shè)備、服務(wù)器主機(jī)來(lái)提供基礎(chǔ)網(wǎng)絡(luò)服務(wù)、運(yùn)行關(guān)鍵業(yè)務(wù)。由于設(shè)備和服務(wù)器眾多，系統(tǒng)管理員壓力太大等因素，越權(quán)訪問(wèn)、誤操作、濫用、惡意破壞等情況時(shí)有發(fā)生，另外黑客的惡意訪問(wèn)也有可能獲取系統(tǒng)權(quán)限，闖入內(nèi)部網(wǎng)絡(luò)，造成不可估量的損失。如何提高系統(tǒng)運(yùn)維管理水平,跟蹤服務(wù)器上用戶的操作行為，防止黑客的入侵和破壞，提供控制和審計(jì)依據(jù)，降低運(yùn)維成本，滿足相關(guān)標(biāo)準(zhǔn)要求，越來(lái)越成為管理員關(guān)心的問(wèn)題。通過(guò)部署堡壘機(jī),該設(shè)備扮演著看門者的職責(zé)，所有對(duì)網(wǎng)絡(luò)設(shè)備和服務(wù)器的請(qǐng)求都要從這扇大門經(jīng)過(guò)。因此它能夠攔截非法訪問(wèn)和惡意攻擊，對(duì)不合法命令進(jìn)行阻斷、過(guò)濾掉所有對(duì)目標(biāo)設(shè)備的非法訪問(wèn)行為。并能夠?qū)⑺械妮敵鲂畔⑷坑涗浵聛?lái)；具備審計(jì)回放功能，能夠模擬用戶的在線操作過(guò)程，豐富和完善了網(wǎng)絡(luò)的內(nèi)控審計(jì)功能.因此,堡壘機(jī)能夠極大的保護(hù)內(nèi)部網(wǎng)絡(luò)設(shè)備及服務(wù)器資源的安全性，使得內(nèi)部網(wǎng)絡(luò)管理更加合理化和專業(yè)化.3.3.2.漏洞掃描系統(tǒng)在內(nèi)網(wǎng)服務(wù)器區(qū)部署一臺(tái)漏洞掃描系統(tǒng)。其主要用于分析和指出有關(guān)網(wǎng)絡(luò)的安全漏洞及被測(cè)系統(tǒng)的薄弱環(huán)節(jié),給出詳細(xì)的檢測(cè)報(bào)告，并針對(duì)檢測(cè)到的網(wǎng)絡(luò)安全隱患給出相應(yīng)的修補(bǔ)措施和安全建議。漏洞掃描系統(tǒng)通過(guò)模擬黑客的進(jìn)攻方法，對(duì)被檢系統(tǒng)進(jìn)行攻擊性的安全漏洞和隱患掃描，提交風(fēng)險(xiǎn)評(píng)估報(bào)告，并提供相應(yīng)的整改措施.先于黑客發(fā)現(xiàn)并彌補(bǔ)漏洞，防患于未然。預(yù)防性的安全檢查最大限度地暴露了現(xiàn)存網(wǎng)絡(luò)系統(tǒng)中存在的安全隱患，配合行之有效的整改措施，可以將網(wǎng)絡(luò)系統(tǒng)的運(yùn)行風(fēng)險(xiǎn)降至最低。3.3.3.網(wǎng)站監(jiān)控預(yù)警平臺(tái)由于針對(duì)Web系統(tǒng)的網(wǎng)絡(luò)訪問(wèn)控制措施被廣泛采用，且一般只開(kāi)放HTTP等必要的服務(wù)端口，因此黑客已經(jīng)難以通過(guò)傳統(tǒng)網(wǎng)絡(luò)層攻擊方式（查找并攻擊操作系統(tǒng)漏洞、數(shù)據(jù)庫(kù)漏洞）攻擊網(wǎng)站。然而，Web應(yīng)用程序漏洞的存在更加普遍，隨著Web應(yīng)用技術(shù)的深入普及，Web應(yīng)用程序漏洞發(fā)掘和攻擊速度越來(lái)越塊，基于Web漏洞的攻擊更容易被利用，已經(jīng)成為黑客首選。據(jù)統(tǒng)計(jì)，現(xiàn)在對(duì)網(wǎng)站成功的攻擊中，超過(guò)7成都是基于Web應(yīng)用層，而非網(wǎng)絡(luò)層。前不久OWASP（OpenWebApplicationSecurityProject）機(jī)構(gòu)發(fā)布了最新的《OWASPTop10ApplicationSecurityRisks》，SQL注入和XSS攻擊（CrossSiteScripting，跨站腳本攻擊）仍舊排名前兩