等保三級(jí)網(wǎng)絡(luò)安全建設(shè)技術(shù)方案

等保三級(jí)網(wǎng)絡(luò)安全建設(shè)技術(shù)方案

目錄TOC\o"1-4"\h\z\u16261項(xiàng)目建設(shè)背景 496151.1安全建設(shè)流程 5304051.2安全建設(shè)目標(biāo) 660971.3安全建設(shè)依據(jù) 6212702安全風(fēng)險(xiǎn)與需求分析 7288562.1安全技術(shù)需求分析 7269952.1.1安全物理需求 727002.1.2安全計(jì)算需求 7176212.1.3安全邊界需求 9161082.1.4安全通信網(wǎng)絡(luò)需求 942912.2安全管理需求 10271673安全技術(shù)體系方案設(shè)計(jì) 119813.1方案設(shè)計(jì)框架 11199723.2安全技術(shù)體系設(shè)計(jì) 11203403.2.1物理安全設(shè)計(jì) 11310683.2.2通信網(wǎng)絡(luò)安全設(shè)計(jì) 1218032網(wǎng)絡(luò)結(jié)構(gòu)安全 1215999網(wǎng)絡(luò)安全審計(jì) 1214686網(wǎng)絡(luò)設(shè)備防護(hù) 1223752通信完整性 1216101通信保密性 1323088網(wǎng)絡(luò)可信接入 1339293.2.3邊界安全設(shè)計(jì) 1314066邊界訪問(wèn)控制 135723網(wǎng)絡(luò)邊界完整性檢測(cè) 1413108邊界入侵防范 1412891邊界安全審計(jì) 1524323邊界惡意代碼防范 1564353.2.4計(jì)算環(huán)境安全設(shè)計(jì) 1512071身份鑒別 1520960訪問(wèn)控制 1626007系統(tǒng)安全審計(jì) 1630782備份與恢復(fù) 17211433.2.5安全管理中心設(shè)計(jì) 1822927系統(tǒng)管理 1823499審計(jì)管理 18174394安全管理體系設(shè)計(jì) 19247615安全建設(shè) 20251145.1SSLVPN 2042475.1.1完善的VPN網(wǎng)絡(luò)集中管理功能 2012015.1.2支持靈活的移動(dòng)用戶接入策略 2090515.1.3集成強(qiáng)大的網(wǎng)絡(luò)附加功能 21105985.2一體化自動(dòng)備份系統(tǒng) 21144315.2.1數(shù)據(jù)縮減技術(shù) 2147645.2.2可管理性 21284425.2.3資源橫向擴(kuò)展 21219965.3網(wǎng)閘 22129965.3.1應(yīng)用協(xié)議內(nèi)容安全 2255735.3.2靈活的多網(wǎng)隔離 24142935.3.3完善的日志和審計(jì) 2423995.4數(shù)據(jù)庫(kù)審計(jì)系統(tǒng) 24252805.4.1全面系統(tǒng)管理能力 24197315.4.2全面有效減少核心信息資產(chǎn)的破壞和泄漏 25187865.5網(wǎng)頁(yè)防篡改系統(tǒng) 2516785.5.1基于內(nèi)核驅(qū)動(dòng)保護(hù)技術(shù) 26196985.5.2連續(xù)篡改攻擊保護(hù) 268895.5.3支持日志導(dǎo)出查詢 26項(xiàng)目建設(shè)背景依據(jù)實(shí)際項(xiàng)目情況描述。安全建設(shè)流程本次提出的“按需防御的安全體系”是依據(jù)國(guó)家信息安全等級(jí)保護(hù)建設(shè)制度，根據(jù)系統(tǒng)在不同階段的需求、業(yè)務(wù)特性及應(yīng)用重點(diǎn)，采用等級(jí)化的安全體系設(shè)計(jì)方法，幫助構(gòu)建一套覆蓋全面、重點(diǎn)突出、節(jié)約成本、持續(xù)運(yùn)行的安全防御體系。根據(jù)需要保護(hù)的信息系統(tǒng)形成不同的安全措施進(jìn)行保護(hù)。安全建設(shè)保護(hù)的精髓思想就是可以把業(yè)務(wù)系統(tǒng)、信息資產(chǎn)、安全邊界等進(jìn)行“等級(jí)化”，分而治之，從而實(shí)現(xiàn)信息安全保護(hù)的“適度安全”思想。本次安全建設(shè)工作參考等級(jí)保護(hù)三級(jí)要求建設(shè)，根據(jù)用戶實(shí)際具體情況進(jìn)行安全項(xiàng)目建設(shè)，整體的安全保障體系包括技術(shù)和管理兩大部分，其中技術(shù)部分可根據(jù)分為安全邊界、安全計(jì)算環(huán)境、安全通信網(wǎng)絡(luò)等幾個(gè)方面進(jìn)行建設(shè)；而管理部分根據(jù)則可分為安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理等幾個(gè)方面。安全建設(shè)目標(biāo)本期項(xiàng)目建設(shè)將完成以下目標(biāo)：1、以業(yè)務(wù)系統(tǒng)現(xiàn)有基礎(chǔ)設(shè)施，參照等級(jí)保護(hù)三級(jí)系統(tǒng)基本要求，確保業(yè)務(wù)系統(tǒng)信息化建設(shè)符合相關(guān)要求。2、客戶需要建立安全管理組織機(jī)構(gòu)。成立信息安全工作組，確定安全責(zé)任人，并制定相應(yīng)的崗位責(zé)任制，確保信息安全工作順利實(shí)施。3、建立完善的安全技術(shù)防護(hù)體系。參照信息安全等級(jí)保護(hù)的要求，建立滿足相關(guān)安全技術(shù)防護(hù)體系。4、用戶需要建立健全信息系統(tǒng)安全管理制度。根據(jù)信息安全等級(jí)保護(hù)的要求，制定各項(xiàng)信息系統(tǒng)安全管理制度，對(duì)安全管理人員或操作人員執(zhí)行的重要管理操作建立操作規(guī)程和執(zhí)行記錄文檔。安全建設(shè)依據(jù)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見》《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)管理要求》網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求（GB/T22239-2019）網(wǎng)絡(luò)安全等級(jí)保護(hù)設(shè)計(jì)技術(shù)要求（GB/T25070-2019）網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求（GB/T28448-2019）網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南（GB/T28449-2018)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南(GB/T28449-2018）計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南信息系統(tǒng)通用安全技術(shù)要求信息系統(tǒng)安全管理要求信息系統(tǒng)安全工程管理要求網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求信息系統(tǒng)安全管理測(cè)評(píng)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范信息安全事件管理指南安全風(fēng)險(xiǎn)與需求分析安全技術(shù)需求分析安全物理需求物理安全風(fēng)險(xiǎn)主要是指網(wǎng)絡(luò)周邊的環(huán)境和物理特性引起的網(wǎng)絡(luò)設(shè)備和線路的不可使用，從而會(huì)造成網(wǎng)絡(luò)系統(tǒng)的不可使用，甚至導(dǎo)致整個(gè)網(wǎng)絡(luò)的癱瘓。它是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提和基礎(chǔ)，只有保證了物理層的可用性，才能使得整個(gè)網(wǎng)絡(luò)的可用性，進(jìn)而提高整個(gè)網(wǎng)絡(luò)的抗破壞力。例如：機(jī)房缺乏控制，人員隨意出入帶來(lái)的風(fēng)險(xiǎn)；網(wǎng)絡(luò)設(shè)備被盜、被毀壞；線路老化或是有意、無(wú)意的破壞線路；設(shè)備在非預(yù)測(cè)情況下發(fā)生故障、停電等；自然災(zāi)害如地震、水災(zāi)、火災(zāi)、雷擊等；電磁干擾等。安全計(jì)算需求計(jì)算環(huán)境的安全主要指主機(jī)以及應(yīng)用層面的安全風(fēng)險(xiǎn)與需求分析，包括：身份鑒別、訪問(wèn)控制、系統(tǒng)審計(jì)、入侵防范、惡意代碼防范、軟件容錯(cuò)、數(shù)據(jù)完整性與保密性、備份與恢復(fù)、資源合理控制、剩余信息保護(hù)、抗抵賴等方面。身份鑒別主機(jī)操作系統(tǒng)登錄、數(shù)據(jù)庫(kù)登陸以及應(yīng)用系統(tǒng)登錄均必須進(jìn)行身份驗(yàn)證。過(guò)于簡(jiǎn)單的標(biāo)識(shí)符和口令容易被窮舉攻擊破解。因此必須提高用戶名/口令的復(fù)雜度，且防止被網(wǎng)絡(luò)竊聽；同時(shí)應(yīng)考慮失敗處理機(jī)制。訪問(wèn)控制訪問(wèn)控制主要為了保證用戶對(duì)主機(jī)資源和應(yīng)用系統(tǒng)資源的合法使用。用戶必須擁有合法的用戶標(biāo)識(shí)符，在制定好的訪問(wèn)控制策略下進(jìn)行操作，杜絕越權(quán)非法操作。系統(tǒng)審計(jì)對(duì)于登陸主機(jī)后的操作行為則需要進(jìn)行主機(jī)審計(jì)。對(duì)于服務(wù)器和重要主機(jī)需要進(jìn)行嚴(yán)格的行為控制，對(duì)用戶的行為、使用的命令等進(jìn)行必要的記錄審計(jì)，便于日后的分析、調(diào)查、取證，規(guī)范主機(jī)使用行為。惡意代碼防范病毒、蠕蟲等惡意代碼是對(duì)計(jì)算環(huán)境造成危害最大的隱患，嚴(yán)重影響正常業(yè)務(wù)開展。因此必須部署惡意代碼防范軟件進(jìn)行防御。同時(shí)保持惡意代碼庫(kù)的及時(shí)更新。數(shù)據(jù)安全主要指數(shù)據(jù)的完整性與保密性。數(shù)據(jù)是信息資產(chǎn)的直接體現(xiàn)。所有的措施最終無(wú)不是為了業(yè)務(wù)數(shù)據(jù)的安全。因此數(shù)據(jù)的備份十分重要，是必須考慮的問(wèn)題。應(yīng)采取措施保證數(shù)據(jù)在傳輸過(guò)程中的完整性以及保密性；保護(hù)鑒別信息的保密性備份與恢復(fù)數(shù)據(jù)是信息資產(chǎn)的直接體現(xiàn)。所有的措施最終無(wú)不是為了業(yè)務(wù)數(shù)據(jù)的安全。因此數(shù)據(jù)的備份十分重要，是必須考慮的問(wèn)題。對(duì)于關(guān)鍵數(shù)據(jù)應(yīng)建立數(shù)據(jù)的備份機(jī)制，而對(duì)于網(wǎng)絡(luò)的關(guān)鍵設(shè)備、線路均需進(jìn)行冗余配置，備份與恢復(fù)是應(yīng)對(duì)突發(fā)事件的必要措施。安全邊界需求邊界的安全主要包括：邊界訪問(wèn)控制、邊界完整性檢測(cè)、邊界入侵防范以及邊界安全審計(jì)等方面。邊界訪問(wèn)控制對(duì)于各類邊界最基本的安全需求就是訪問(wèn)控制，對(duì)進(jìn)出安全區(qū)域邊界的數(shù)據(jù)信息進(jìn)行控制，阻止非授權(quán)及越權(quán)訪問(wèn)。邊界完整性檢測(cè)邊界的完整性如被破壞則所有控制規(guī)則將失去效力，因此需要對(duì)內(nèi)部網(wǎng)絡(luò)中出現(xiàn)的內(nèi)部用戶未通過(guò)準(zhǔn)許私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查，維護(hù)邊界完整性。邊界入侵防范各類網(wǎng)絡(luò)攻擊行為既可能來(lái)自于公認(rèn)的互聯(lián)網(wǎng)等外部網(wǎng)絡(luò)，在內(nèi)部也同樣存在。通過(guò)安全措施，要實(shí)現(xiàn)主動(dòng)阻斷針對(duì)信息系統(tǒng)的各種攻擊，如病毒、木馬、間諜軟件、可疑代碼、端口掃描、DoS/DDoS等。邊界安全審計(jì)在安全區(qū)域邊界需要建立必要的審計(jì)機(jī)制，對(duì)進(jìn)出邊界的各類網(wǎng)絡(luò)行為進(jìn)行記錄與審計(jì)分析，可以和主機(jī)審計(jì)、應(yīng)用審計(jì)以及網(wǎng)絡(luò)審計(jì)形成多層次的審計(jì)系統(tǒng)。并可通過(guò)安全管理中心集中管理。安全通信網(wǎng)絡(luò)需求通信網(wǎng)絡(luò)的安全主要包括：網(wǎng)絡(luò)結(jié)構(gòu)安全、網(wǎng)絡(luò)安全審計(jì)、網(wǎng)絡(luò)設(shè)備防護(hù)、通信完整性與保密性等方面。網(wǎng)絡(luò)結(jié)構(gòu)網(wǎng)絡(luò)結(jié)構(gòu)需要具備一定的冗余性；帶寬能夠滿足業(yè)務(wù)高峰時(shí)期數(shù)據(jù)交換需求；并合理的劃分網(wǎng)段和VLAN。網(wǎng)絡(luò)安全審計(jì)進(jìn)行基于網(wǎng)絡(luò)行為的審計(jì)，對(duì)網(wǎng)絡(luò)行為進(jìn)行分析，以利于規(guī)范正常的網(wǎng)絡(luò)應(yīng)用行為。網(wǎng)絡(luò)設(shè)備防護(hù)由于信息系統(tǒng)網(wǎng)絡(luò)中將會(huì)使用大量的網(wǎng)絡(luò)設(shè)備，如交換機(jī)、防火墻、入侵檢測(cè)設(shè)備等。這些設(shè)備的自身安全性也會(huì)直接關(guān)系到涉密網(wǎng)和各種網(wǎng)絡(luò)應(yīng)用的正常運(yùn)行。需要對(duì)這類網(wǎng)絡(luò)設(shè)備進(jìn)行防護(hù)。通信完整性與保密性因此，在信息傳輸和存儲(chǔ)過(guò)程中，必須要確保信息內(nèi)容在發(fā)送、接收及保存的一致性；數(shù)據(jù)在傳輸過(guò)程中，為能夠抵御不良企圖者采取的各種攻擊，防止遭到竊取，應(yīng)采用加密措施保證數(shù)據(jù)的機(jī)密性。安全管理需求“三分技術(shù)、七分管理”更加突出的是管理層面在安全體系中的重要性。除了技術(shù)管理措施外，安全管理是保障安全技術(shù)手段發(fā)揮具體作用的最有效手段，建立健全安全管理體系是作為一個(gè)安全體系來(lái)講，不可或缺的重要組成部分。安全管理體系依賴于國(guó)家相關(guān)標(biāo)準(zhǔn)、行業(yè)規(guī)范、國(guó)際安全標(biāo)準(zhǔn)等規(guī)范和標(biāo)準(zhǔn)來(lái)指導(dǎo)，形成可操作的體系。主要包括：安全管理制度安全管理機(jī)構(gòu)人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理根據(jù)網(wǎng)絡(luò)安全的要求在上述方面建立一系列的管理制度與操作規(guī)范，并明確執(zhí)行。安全技術(shù)體系方案設(shè)計(jì)方案設(shè)計(jì)框架本方案將嚴(yán)格根據(jù)技術(shù)與管理要求進(jìn)行設(shè)計(jì)。首先應(yīng)根據(jù)具體的基本要求設(shè)計(jì)系統(tǒng)的保護(hù)環(huán)境模型，參考《信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》，保護(hù)建設(shè)按照安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)和安全管理中心進(jìn)行設(shè)計(jì)，內(nèi)容涵蓋基本要求的5個(gè)方面。同時(shí)結(jié)合管理要求，形成如下圖所示的保護(hù)環(huán)境模型：安全技術(shù)體系設(shè)計(jì)物理安全設(shè)計(jì)物理環(huán)境安全策略的目的是保護(hù)網(wǎng)絡(luò)中計(jì)算機(jī)網(wǎng)絡(luò)通信有一個(gè)良好的電磁兼容工作環(huán)境，并防止非法用戶進(jìn)入計(jì)算機(jī)控制室和各種偷竊、破壞活動(dòng)的發(fā)生。總結(jié)：因本次項(xiàng)目主要涉及網(wǎng)絡(luò)及及信息系統(tǒng)的建設(shè)，不涉及物理環(huán)境部分，且物理環(huán)境滿足相關(guān)要求，故不再對(duì)物理環(huán)境再進(jìn)行安全分析設(shè)計(jì)。通信網(wǎng)絡(luò)安全設(shè)計(jì)網(wǎng)絡(luò)結(jié)構(gòu)安全對(duì)于信息系統(tǒng)網(wǎng)絡(luò)，選用主要網(wǎng)絡(luò)設(shè)備時(shí)需要考慮業(yè)務(wù)處理能力的高峰數(shù)據(jù)流量，要考慮冗余空間滿足業(yè)務(wù)高峰期需要，將核心鏈路及設(shè)備做冗余備份；根據(jù)不同區(qū)域所涉及信息的重要程度等因素，劃分不同的網(wǎng)段或VLAN。網(wǎng)絡(luò)安全審計(jì)網(wǎng)絡(luò)安全審計(jì)系統(tǒng)主要用于監(jiān)視并記錄網(wǎng)絡(luò)中的各類操作，偵察系統(tǒng)中存在的現(xiàn)有和潛在的威脅，實(shí)時(shí)地綜合分析出網(wǎng)絡(luò)中發(fā)生的安全事件，包括各種外部事件和內(nèi)部事件。網(wǎng)絡(luò)設(shè)備防護(hù)為提高網(wǎng)絡(luò)設(shè)備的自身安全性，保障各種網(wǎng)絡(luò)應(yīng)用的正常運(yùn)行，對(duì)網(wǎng)絡(luò)設(shè)備需要進(jìn)行一系列的加固措施，包括：對(duì)登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別，用戶名必須唯一；身份鑒別信息具有不易被冒用的特點(diǎn)，口令設(shè)置需3種以上字符、長(zhǎng)度不少于8位，并定期更換；具有登錄失敗處理功能，失敗后采取結(jié)束會(huì)話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動(dòng)退出等措施；通信完整性信息的完整性設(shè)計(jì)包括信息傳輸?shù)耐暾孕ｒ?yàn)以及信息存儲(chǔ)的完整性校驗(yàn)。對(duì)于信息傳輸和存儲(chǔ)的完整性校驗(yàn)可以采用的技術(shù)包括校驗(yàn)碼技術(shù)、消息鑒別碼、密碼校驗(yàn)函數(shù)、散列函數(shù)、數(shù)字簽名等。通信保密性應(yīng)用層的通信保密性主要由應(yīng)用系統(tǒng)完成。在通信雙方建立連接之前，應(yīng)用系統(tǒng)應(yīng)利用密碼技術(shù)進(jìn)行會(huì)話初始化驗(yàn)證；并對(duì)通信過(guò)程中的敏感信息字段進(jìn)行加密。對(duì)于信息傳輸?shù)耐ㄐ疟Ｃ苄詰?yīng)由傳輸加密系統(tǒng)完成。網(wǎng)絡(luò)可信接入為保證網(wǎng)絡(luò)邊界的完整性，不僅需要進(jìn)行非法外聯(lián)行為，同時(shí)對(duì)非法接入進(jìn)行監(jiān)控與阻斷，形成網(wǎng)絡(luò)可信接入，共同維護(hù)邊界完整性。建議通過(guò)部署終端安全管理系統(tǒng)實(shí)現(xiàn)這一目標(biāo)。運(yùn)用用戶信息和主機(jī)信息匹配方式實(shí)時(shí)發(fā)現(xiàn)接入主機(jī)的合法性，及時(shí)阻止IP地址的篡改和盜用行為。共同保證信息系統(tǒng)網(wǎng)絡(luò)的邊界完整性。總結(jié)：因本次項(xiàng)目項(xiàng)目中，相關(guān)網(wǎng)絡(luò)結(jié)構(gòu)滿足對(duì)業(yè)務(wù)高峰期的可靠性要求，關(guān)鍵鏈路及設(shè)備已經(jīng)實(shí)現(xiàn)冗余設(shè)計(jì)，網(wǎng)絡(luò)已經(jīng)劃分不同的網(wǎng)段或VLAN，但是出于針對(duì)通信安全的考慮，需要通過(guò)利用VPN訪問(wèn)云平臺(tái)綜合業(yè)務(wù)網(wǎng)的相關(guān)系統(tǒng)，使用VPN對(duì)整個(gè)通信過(guò)程進(jìn)行加密保護(hù)，通過(guò)多種VPN功能可以實(shí)現(xiàn)企業(yè)總部與各個(gè)分支、合作伙伴、移動(dòng)辦公人員之間的遠(yuǎn)程接入等多種網(wǎng)絡(luò)互聯(lián)需求，同時(shí)對(duì)這些遠(yuǎn)程網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)提供私密性、完整性等安全防護(hù)手段。避免通信信息泄漏及劫持的風(fēng)險(xiǎn)。邊界安全設(shè)計(jì)邊界訪問(wèn)控制通過(guò)對(duì)信息系統(tǒng)網(wǎng)絡(luò)的邊界風(fēng)險(xiǎn)與需求分析，在網(wǎng)絡(luò)層進(jìn)行訪問(wèn)控制需部署防火墻產(chǎn)品，可以對(duì)所有流經(jīng)防火墻的數(shù)據(jù)包按照嚴(yán)格的安全規(guī)則進(jìn)行過(guò)濾，將所有不安全的或不符合安全規(guī)則的數(shù)據(jù)包屏蔽，杜絕越權(quán)訪問(wèn)，防止各類非法攻擊行為。同時(shí)可以和內(nèi)網(wǎng)安全管理系統(tǒng)、網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)等進(jìn)行安全聯(lián)動(dòng)，為網(wǎng)絡(luò)創(chuàng)造全面縱深的安全防御體系。實(shí)現(xiàn)效果：網(wǎng)絡(luò)安全的基礎(chǔ)屏障：通過(guò)防火墻策略，只有經(jīng)過(guò)精心選擇的應(yīng)用協(xié)議才能通過(guò)防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。防同時(shí)可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊，如IP選項(xiàng)中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻可以拒絕所有以上類型攻擊的報(bào)文并通知防火墻管理員。強(qiáng)化網(wǎng)絡(luò)安全策略通過(guò)以防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認(rèn)證、審計(jì)等）配置在防火墻上。與將網(wǎng)絡(luò)安全問(wèn)題分散到各個(gè)主機(jī)上相比，防火墻的集中安全管理更經(jīng)濟(jì)。防止內(nèi)部信息的外泄通過(guò)利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分，可實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離，從而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問(wèn)題對(duì)全局網(wǎng)絡(luò)造成的影響。精確流量管理通過(guò)部署防火墻設(shè)備，不僅可以實(shí)現(xiàn)精準(zhǔn)訪問(wèn)控制與邊界隔離防護(hù)，還能實(shí)現(xiàn)阻止由于病毒或者P2P軟件引起的異常流量、進(jìn)行精確的流量控制等。對(duì)各級(jí)節(jié)點(diǎn)安全域?qū)崿F(xiàn)全面的邊界防護(hù)，嚴(yán)格控制節(jié)點(diǎn)之間的網(wǎng)絡(luò)數(shù)據(jù)流。網(wǎng)絡(luò)邊界完整性檢測(cè)邊界完整性檢查核心是要對(duì)內(nèi)部網(wǎng)絡(luò)中出現(xiàn)的內(nèi)部用戶未通過(guò)準(zhǔn)許私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查，維護(hù)網(wǎng)絡(luò)邊界完整性。邊界入侵防范可通過(guò)將WEB應(yīng)用防護(hù)系統(tǒng)串接在防火墻后面，在防火墻進(jìn)行訪問(wèn)控制，保證了訪問(wèn)的合法性之后，WEB應(yīng)用防護(hù)系統(tǒng)動(dòng)態(tài)的進(jìn)行入侵行為的保護(hù)，對(duì)訪問(wèn)狀態(tài)進(jìn)行檢測(cè)、對(duì)通信協(xié)議和應(yīng)用協(xié)議進(jìn)行檢測(cè)、對(duì)內(nèi)容進(jìn)行深度的檢測(cè)。阻斷來(lái)自內(nèi)部的數(shù)據(jù)攻擊以及垃圾數(shù)據(jù)流的泛濫。邊界安全審計(jì)各安全區(qū)域邊界已經(jīng)部署了相應(yīng)的安全設(shè)備負(fù)責(zé)進(jìn)行區(qū)域邊界的安全。對(duì)于流經(jīng)各主要邊界（重要服務(wù)器區(qū)域、外部連接邊界）需要設(shè)置必要的審計(jì)機(jī)制，進(jìn)行數(shù)據(jù)監(jiān)視并記錄各類操作，通過(guò)審計(jì)分析能夠發(fā)現(xiàn)跨區(qū)域的安全威脅，實(shí)時(shí)地綜合分析出網(wǎng)絡(luò)中發(fā)生的安全事件。邊界惡意代碼防范可通過(guò)在網(wǎng)絡(luò)邊界部署防病毒網(wǎng)關(guān)，并在核心業(yè)務(wù)區(qū)域網(wǎng)絡(luò)邊界部署UTM網(wǎng)關(guān)，開啟防病毒網(wǎng)關(guān)功能。阻止病毒通過(guò)網(wǎng)絡(luò)的快速擴(kuò)散，將經(jīng)網(wǎng)絡(luò)傳播的病毒阻擋在外，可以有效防止病毒從其他區(qū)域傳播到內(nèi)部其他安全域中。總結(jié)：在本次項(xiàng)目中，參考等級(jí)保護(hù)相關(guān)建設(shè)指南，采用網(wǎng)閘設(shè)備進(jìn)行相關(guān)系統(tǒng)的安全隔離，通過(guò)內(nèi)容檢查、過(guò)濾、協(xié)議分析、病毒掃描等功能，對(duì)于Synflood、CC攻擊、HTTPGetFlood、DnsQueryFlood等各種DDoS攻擊均可徹底阻擋。同時(shí)，操作系統(tǒng)固化于內(nèi)外網(wǎng)主機(jī)系統(tǒng)的硬件中，不能被隨意修改，同時(shí)支持包過(guò)濾檢測(cè)技術(shù)，支持通過(guò)源地址、目的地址、流經(jīng)的物理端口、協(xié)議類型等多種元素設(shè)定過(guò)濾規(guī)則。通過(guò)對(duì)安全策略的設(shè)定，使得安全隔離與信息交換系統(tǒng)直接在網(wǎng)絡(luò)層就能拒絕部分非法連接的訪問(wèn)。計(jì)算環(huán)境安全設(shè)計(jì)身份鑒別身份鑒別可分為主機(jī)身份鑒別和應(yīng)用身份鑒別兩個(gè)方面：主機(jī)身份鑒別：為提高主機(jī)系統(tǒng)安全性，保障各種應(yīng)用的正常運(yùn)行，對(duì)主機(jī)系統(tǒng)需要進(jìn)行一系列的加固措施，包括：對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的用戶進(jìn)行身份標(biāo)識(shí)和鑒別，且保證用戶名的唯一性。根據(jù)基本要求配置用戶名/口令；口令必須具備采用3種以上字符、長(zhǎng)度不少于8位并定期更換；應(yīng)用身份鑒別：為提高應(yīng)用系統(tǒng)系統(tǒng)安全性應(yīng)用系統(tǒng)需要進(jìn)行一系列的加固措施，對(duì)于信息系統(tǒng)，可要求對(duì)用戶進(jìn)行兩種或兩種以上組合的鑒別技術(shù)，因此可采用雙因素認(rèn)證（USBkey+密碼）或者構(gòu)建PKI體系，采用CA證書的方式進(jìn)行身份鑒別。通過(guò)部署運(yùn)維審計(jì)實(shí)現(xiàn)用戶身份鑒別、密碼長(zhǎng)度等設(shè)置。訪問(wèn)控制由此主要控制的是對(duì)應(yīng)用系統(tǒng)的文件、數(shù)據(jù)庫(kù)等資源的訪問(wèn)，避免越權(quán)非法使用。采用的措施主要包括：通過(guò)賬號(hào)管理嚴(yán)格限制默認(rèn)帳戶的訪問(wèn)權(quán)限，重命名默認(rèn)帳戶，修改默認(rèn)口令；及時(shí)刪除多余的、過(guò)期的帳戶，避免共享帳戶的存在。系統(tǒng)安全審計(jì)系統(tǒng)審計(jì)包含主機(jī)審計(jì)和應(yīng)用審計(jì)兩個(gè)層面：主機(jī)審計(jì)：?jiǎn)⒂弥鳈C(jī)審計(jì)功能，或部署主機(jī)審計(jì)系統(tǒng)，實(shí)現(xiàn)對(duì)主機(jī)監(jiān)控、審計(jì)和系統(tǒng)管理等功能。監(jiān)控功能包括服務(wù)監(jiān)控、進(jìn)程監(jiān)控、硬件操作監(jiān)控、文件系統(tǒng)監(jiān)控、打印機(jī)監(jiān)控、非法外聯(lián)監(jiān)控、計(jì)算機(jī)用戶賬號(hào)監(jiān)控等。數(shù)據(jù)庫(kù)審計(jì)數(shù)據(jù)庫(kù)審計(jì)是針對(duì)業(yè)務(wù)環(huán)境下的網(wǎng)絡(luò)操作行為進(jìn)行細(xì)粒度審計(jì)的合規(guī)性管理系統(tǒng)。它通過(guò)對(duì)被授權(quán)人員和系統(tǒng)的網(wǎng)絡(luò)行為進(jìn)行解析、分析、記錄、匯報(bào)，以幫助用戶事前規(guī)劃預(yù)防、事中實(shí)時(shí)監(jiān)視、違規(guī)行為響應(yīng)、事后合規(guī)報(bào)告、事故追蹤溯源，加強(qiáng)內(nèi)外部網(wǎng)絡(luò)行為監(jiān)管、促進(jìn)核心資產(chǎn)（數(shù)據(jù)庫(kù)、服務(wù)器、網(wǎng)絡(luò)設(shè)備等）的正常運(yùn)營(yíng)。備份與恢復(fù)備份與恢復(fù)主要包含兩方面內(nèi)容，首先是指數(shù)據(jù)備份與恢復(fù)，另外一方面是關(guān)鍵網(wǎng)絡(luò)設(shè)備、線路以及服務(wù)器等硬件設(shè)備的冗余?？偨Y(jié)：在本次項(xiàng)目中，參考等級(jí)保護(hù)相關(guān)建設(shè)指南，采用一體化自動(dòng)備份系統(tǒng)，支持對(duì)Linux、Unix和Windows平臺(tái)下各種文件系統(tǒng)的離線和在線備份及系統(tǒng)備份，支持完全、增量、差異備份類型，能夠自主地設(shè)定備份策略，在數(shù)據(jù)出錯(cuò)時(shí)可以將數(shù)據(jù)恢復(fù)到原位置或指定位置。為保證備份的高效性和靈活性，文件備份提供快速備份、包含過(guò)濾、任務(wù)并發(fā)、NASNDMP協(xié)議備份、斷點(diǎn)續(xù)備、永久增量等技術(shù)功能。快速備份：快速備份機(jī)制會(huì)省去向數(shù)據(jù)庫(kù)中做記錄的過(guò)程，特別是對(duì)于海量文件的備份任務(wù)，使用快速備份功能，可以縮短備份窗口，提高備份效率。在文件備份的環(huán)境下會(huì)存在眾多文件格式及不同命名規(guī)則的資料存放在一處的情況，對(duì)此，提供了包含和過(guò)濾功能，可以自主地通過(guò)文件的命名規(guī)則匹配、文件的擴(kuò)展名匹配、文件夾的命名規(guī)則匹配等過(guò)濾和包含功能組合達(dá)到目標(biāo)篩選結(jié)果，有效的避免將無(wú)需保護(hù)或無(wú)用的數(shù)據(jù)備份，以便提高備份的效率。同時(shí)份支持Windows、Linux、Unix平臺(tái)下Oracle數(shù)據(jù)庫(kù)的備份恢復(fù)，支持單機(jī)及RAC環(huán)境的備份。在備份類型方面支持完全、增量和差異多種類型。在備份功能方面支持多種備份方式、永久增量等功能。同時(shí)部署數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)，支持對(duì)常見關(guān)系型數(shù)據(jù)庫(kù)、國(guó)產(chǎn)數(shù)據(jù)庫(kù)、大數(shù)據(jù)架構(gòu)數(shù)據(jù)庫(kù)，能夠滿足不同用戶、不同發(fā)展階段情況下的數(shù)據(jù)庫(kù)審計(jì)需求。支持常用的運(yùn)維協(xié)議及文件傳輸協(xié)議，能夠全程記錄用戶在服務(wù)器上的各種操作，如telnet、SSH等，同時(shí)支持HTTP、HTTPS、POP3、SMTP、Netbios的審計(jì)，能夠記錄網(wǎng)頁(yè)URL、內(nèi)容、發(fā)件人、收件人、郵件內(nèi)容、網(wǎng)絡(luò)鄰居的各種操作等信息。能夠?qū)崿F(xiàn)對(duì)“用戶網(wǎng)絡(luò)環(huán)境中出現(xiàn)的特定賬號(hào)或特定賬號(hào)執(zhí)行某種操作后”的場(chǎng)景進(jìn)行賬號(hào)跟蹤，提供對(duì)后繼會(huì)話和事件的審計(jì)。這樣，管理員能夠?qū)Τ霈F(xiàn)在網(wǎng)絡(luò)中的特權(quán)賬號(hào)，比如root、DBA等進(jìn)行重點(diǎn)的監(jiān)控，特別是哪些本不應(yīng)出現(xiàn)在網(wǎng)絡(luò)上的特權(quán)賬號(hào)突然出現(xiàn)的事件。部署網(wǎng)頁(yè)防篡改系統(tǒng)，專門針對(duì)網(wǎng)站篡改攻擊進(jìn)行安全防護(hù)，系統(tǒng)主要功能是通過(guò)文件底層驅(qū)動(dòng)技術(shù)對(duì)Web站點(diǎn)目錄提供全方位的保護(hù)，防止黑客、病毒等對(duì)目錄中的網(wǎng)頁(yè)、電子文檔、圖片、數(shù)據(jù)庫(kù)等任何類型的文件進(jìn)行非法篡改和破壞。網(wǎng)頁(yè)防篡改系統(tǒng)保護(hù)網(wǎng)站安全運(yùn)行，維護(hù)政府和企業(yè)形象，保障互聯(lián)網(wǎng)業(yè)務(wù)的正常運(yùn)營(yíng)，徹底解決了網(wǎng)站被非法修改的問(wèn)題。安全管理中心設(shè)計(jì)建立安全管理中心，幫助管理人員實(shí)施好安全措施的重要保障，是實(shí)現(xiàn)業(yè)務(wù)穩(wěn)定運(yùn)行、長(zhǎng)治久安的基礎(chǔ)。通過(guò)安全管理中心的建設(shè)，真正實(shí)現(xiàn)安全技術(shù)層面和管理層面的結(jié)合，全面提升用戶網(wǎng)絡(luò)的信息安全保障能力。系統(tǒng)管理通過(guò)系統(tǒng)管理員對(duì)系統(tǒng)的資源和運(yùn)行進(jìn)行配置、控制和管理，包括：用戶身份管理：統(tǒng)一管理系統(tǒng)用戶身份，按照業(yè)務(wù)上分工的不同，合理地把相關(guān)人員劃分為不同的類別或者組，以及不同的角色對(duì)模塊的訪問(wèn)權(quán)限。權(quán)限設(shè)置可按角色劃分，角色分為普通用戶、系統(tǒng)管理員、安全管理員、審計(jì)管理員等。審計(jì)管理通過(guò)安全審計(jì)員對(duì)分布在系統(tǒng)各個(gè)組成部分的安全審計(jì)機(jī)制進(jìn)行集中管理，對(duì)各類審計(jì)記錄進(jìn)行存儲(chǔ)、管理和查詢等；對(duì)安全審計(jì)員進(jìn)行嚴(yán)格的身份鑒別，并只允許其通過(guò)特定的命令或界面進(jìn)行安全審計(jì)操作。總結(jié)：根據(jù)具體網(wǎng)絡(luò)情況，針對(duì)邊界安全層面，已經(jīng)有相關(guān)安全技術(shù)及安全設(shè)備進(jìn)行安全防護(hù)，參考等級(jí)保護(hù)相關(guān)建設(shè)指南，在本次項(xiàng)目中，不再對(duì)其進(jìn)行安全建設(shè)。安全管理體系設(shè)計(jì)安全體系管理層面設(shè)計(jì)主要是參考《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》中的管理要求而設(shè)計(jì)。分別從以下方面進(jìn)行設(shè)計(jì)：安全管理制度根據(jù)安全管理制度的基本要求制定各類管理規(guī)定、管理辦法和暫行規(guī)定。從安全策略主文檔中規(guī)定的安全各個(gè)方面所應(yīng)遵守的原則方法和指導(dǎo)性策略引出的具體管理規(guī)定、管理辦法和實(shí)施辦法，是具有可操作性，且必須得到有效推行和實(shí)施的制度。制定嚴(yán)格的制定與發(fā)布流程，方式，范圍等，制度需要統(tǒng)一格式并進(jìn)行有效版本控制；發(fā)布方式需要正式、有效并注明發(fā)布范圍，對(duì)收發(fā)文進(jìn)行登記。信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)定期組織相關(guān)部門和相關(guān)人員對(duì)安全管理制度體系的合理性和適用性進(jìn)行審定，定期或不定期對(duì)安全管理制度進(jìn)行評(píng)審和修訂，修訂不足及進(jìn)行改進(jìn)。安全管理機(jī)構(gòu)設(shè)置安全管理崗位，設(shè)立系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等崗位，根據(jù)要求進(jìn)行人員配備，配備專職安全員；成立指導(dǎo)和管理信息安全工作的委員會(huì)或領(lǐng)導(dǎo)小組，其最高領(lǐng)導(dǎo)由單位主管領(lǐng)導(dǎo)委任或授權(quán)；制定文件明確安全管理機(jī)構(gòu)各個(gè)部門和崗位的職責(zé)、分工和技能要求。人員安全管理根據(jù)基本要求制定人員錄用，離崗、考核、培訓(xùn)幾個(gè)方面的規(guī)定，并嚴(yán)格執(zhí)行；規(guī)定外部人員訪問(wèn)流程，并嚴(yán)格執(zhí)行。系統(tǒng)建設(shè)管理根據(jù)基本要求制定系統(tǒng)建設(shè)管理制度，包括：系統(tǒng)定級(jí)、安全方案設(shè)計(jì)、產(chǎn)品采購(gòu)和使用、自行軟件開發(fā)、外包軟件開發(fā)、工程實(shí)施、測(cè)試驗(yàn)收、系統(tǒng)交付、系統(tǒng)備案、等級(jí)評(píng)測(cè)、安全服務(wù)商選擇等方面。從工程實(shí)施的前、中、后三個(gè)方面，從初始定級(jí)設(shè)計(jì)到驗(yàn)收評(píng)測(cè)完整的工程周期角度進(jìn)行系統(tǒng)建設(shè)管理。安全建設(shè)SSLVPN完善的VPN網(wǎng)絡(luò)集中管理功能利用基于互聯(lián)網(wǎng)的VPN技術(shù)構(gòu)建企業(yè)基礎(chǔ)網(wǎng)絡(luò)設(shè)施，低成本、高效率是其天然的優(yōu)勢(shì)，但與此相伴的則是安全性和可管理性的潛在風(fēng)險(xiǎn)。尤其是對(duì)于分支機(jī)構(gòu)、營(yíng)業(yè)網(wǎng)點(diǎn)遍布全國(guó)的大型企業(yè)來(lái)講，其業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)具有分布地域廣泛、接入點(diǎn)多、網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜等特點(diǎn)。如何確保企業(yè)內(nèi)部網(wǎng)絡(luò)的安全，有效地管理、維護(hù)遍布企業(yè)各個(gè)結(jié)點(diǎn)的VPN設(shè)備，保證網(wǎng)絡(luò)的穩(wěn)定運(yùn)行，是VPN產(chǎn)品必須解決的問(wèn)題。本次采購(gòu)的加密機(jī)在綜合了大量的用戶需求后，逐步形成了“統(tǒng)一認(rèn)證、集中監(jiān)控、分級(jí)管理”的VPN網(wǎng)絡(luò)管理方案。并成功運(yùn)用于許多特大型企業(yè)的VPN建設(shè)中。支持靈活的移動(dòng)用戶接入策略VPN技術(shù)在遠(yuǎn)程移動(dòng)辦公領(lǐng)域的應(yīng)用越來(lái)越廣泛，因此支持安全靈活的移動(dòng)用戶接入策略已經(jīng)成為VPN產(chǎn)品競(jìng)爭(zhēng)的焦點(diǎn)。加密機(jī)可以配合SSLVPN功能模塊，支持豐富的移動(dòng)用戶接入策略，為各種需求的用戶提供了完善的解決方案。支持基于用戶＋口令的認(rèn)證機(jī)制；支持基于數(shù)字證書的認(rèn)證機(jī)制；支持基于證書＋口令的雙因子認(rèn)證機(jī)制；支持RADIUS/TARCAS/LDAP/AD等用戶認(rèn)證協(xié)議；支持USBKEY、動(dòng)態(tài)口令卡等強(qiáng)身份認(rèn)證機(jī)制；支持基于服務(wù)的移動(dòng)用戶的訪問(wèn)授權(quán)；支持基于時(shí)間的移動(dòng)用戶訪問(wèn)控制；支持移動(dòng)用戶的硬件特征碼綁定機(jī)制；客戶端版本支持中英文自動(dòng)切換。集成強(qiáng)大的網(wǎng)絡(luò)附加功能本次加密機(jī)能夠?yàn)橛脩艚M網(wǎng)提供強(qiáng)大的網(wǎng)絡(luò)附加功能，完全可以作為獨(dú)立的相關(guān)網(wǎng)絡(luò)設(shè)備進(jìn)行配置使用，其主要功能如下：基于TOS安全操作系統(tǒng)的高可擴(kuò)展性，可輕松的升級(jí)成集IPS、防病毒、內(nèi)容過(guò)濾、反垃圾郵件等功能于一體的安全網(wǎng)關(guān)；集成強(qiáng)大的網(wǎng)絡(luò)附加功能，支持交換、靜態(tài)/動(dòng)態(tài)路由、VLAN、帶寬管理、DNS代理、DHCP服務(wù)器、ARP代理、組播協(xié)議等。一體化自動(dòng)備份系統(tǒng)數(shù)據(jù)縮減技術(shù)一體化自動(dòng)備份系統(tǒng)支持重復(fù)數(shù)據(jù)刪除以及數(shù)據(jù)壓縮技術(shù)，以達(dá)到使用盡量小的空間存儲(chǔ)更多的數(shù)據(jù)備份過(guò)程中存儲(chǔ)數(shù)據(jù)時(shí)，按照自定義塊級(jí)別去重粒度進(jìn)行重刪；同時(shí)支持多種壓縮算法，對(duì)數(shù)據(jù)可以進(jìn)行不同程度的壓縮?？晒芾硇砸惑w化自動(dòng)備份系統(tǒng)支持將需要備份的服務(wù)器劃分到不同的組下（即主機(jī)組），將存儲(chǔ)空間進(jìn)行邏輯劃分以便存儲(chǔ)不同類型屬性的數(shù)據(jù)，能靈活的設(shè)置備份任務(wù)、備份策略。支持自定義修改數(shù)據(jù)庫(kù)、應(yīng)用備份授權(quán)賬戶密碼，滿足等保、法規(guī)要求；支持將指定主機(jī)組、存儲(chǔ)空間、備份內(nèi)容授權(quán)給特定用戶，同時(shí)針對(duì)存儲(chǔ)空間支持配額管理，滿足多租戶、備份數(shù)據(jù)隔離等場(chǎng)景需求。這些完善的管理功能可以幫助您將數(shù)據(jù)和系統(tǒng)管理工作條理化，降低維護(hù)成本，保障了備份系統(tǒng)的安全性。資源橫向擴(kuò)展一體化自動(dòng)備份系統(tǒng)底層存儲(chǔ)介質(zhì)采用分布式存儲(chǔ)架構(gòu)，實(shí)現(xiàn)橫向擴(kuò)展，滿足未來(lái)快速增長(zhǎng)的海量數(shù)據(jù)備份需求。讀寫分流：一體化自動(dòng)備份系統(tǒng)的介質(zhì)服務(wù)模塊提供客戶端與服務(wù)端之間備份恢復(fù)數(shù)據(jù)流讀寫操作管理，它可與主控服務(wù)模塊統(tǒng)一部署，也可單獨(dú)部署在不同的服務(wù)器，承擔(dān)不同備份源的數(shù)據(jù)傳輸、存儲(chǔ)、管理。高并發(fā)性：一體化自動(dòng)備份系統(tǒng)每個(gè)介質(zhì)服務(wù)器分別承擔(dān)不同的傳輸任務(wù)，支持系統(tǒng)自動(dòng)選擇當(dāng)前災(zāi)備系統(tǒng)管理下的最優(yōu)存儲(chǔ)介質(zhì)服務(wù)器，同時(shí)執(zhí)行備份任務(wù)，有效提高災(zāi)備系統(tǒng)的備份速率、性能，達(dá)到負(fù)載均衡、高并發(fā)收益。備份一體機(jī)提供強(qiáng)大、全面的備份功能，可實(shí)現(xiàn)異構(gòu)平臺(tái)下的小型機(jī)、服務(wù)器及終端PC結(jié)構(gòu)型與非結(jié)構(gòu)型數(shù)據(jù)的全方位、精細(xì)度數(shù)據(jù)保護(hù)；同時(shí)兼容各品牌、版本數(shù)據(jù)庫(kù)及操作系統(tǒng)，可全面應(yīng)對(duì)用戶不斷變化的IT環(huán)境，為用戶提供一站式服務(wù)。系統(tǒng)平臺(tái)使用簡(jiǎn)易：備份系統(tǒng)安裝時(shí)部署簡(jiǎn)便；提供Web管理界面?zhèn)浞菁泄芾砗筒呗栽O(shè)置，過(guò)程全自動(dòng)；平臺(tái)功能界面直觀，操作簡(jiǎn)單，操作人員可輕松掌握。備份數(shù)據(jù)安全無(wú)憂：備份的數(shù)據(jù)副本進(jìn)行實(shí)時(shí)加密，能夠確保數(shù)據(jù)副本傳輸和存儲(chǔ)的安全，用戶備份數(shù)據(jù)安全無(wú)憂。數(shù)據(jù)級(jí)災(zāi)難應(yīng)急恢復(fù)：提供多種數(shù)據(jù)恢復(fù)機(jī)制，業(yè)務(wù)數(shù)據(jù)可恢復(fù)到已備份任意時(shí)間點(diǎn)的狀態(tài)。精細(xì)化保護(hù)：即使發(fā)生重大災(zāi)難導(dǎo)致本地機(jī)房整體摧毀，TMB也能從異地災(zāi)備中心進(jìn)行數(shù)據(jù)恢復(fù)。可提供多種模式的數(shù)據(jù)應(yīng)急恢復(fù)能力。網(wǎng)閘應(yīng)用協(xié)議內(nèi)容安全網(wǎng)閘根據(jù)不同的應(yīng)用需求，量身定制多個(gè)功能模塊，滿足用戶的不同應(yīng)用需求，主要包括：文件交換模塊：實(shí)現(xiàn)不同安全等級(jí)網(wǎng)絡(luò)間文件的安全交換，支持NFS，Smbfs、SAMBA等常用文件系統(tǒng)，支持更新傳輸、改名傳輸、傳輸后刪除等多種方式，文件傳輸過(guò)程中，支持強(qiáng)制性的文件類型、文件內(nèi)容（黑、白名單）等檢查。數(shù)據(jù)庫(kù)傳輸模塊（訪問(wèn)）：在內(nèi)外網(wǎng)隔離環(huán)境下實(shí)現(xiàn)對(duì)Oracle、Sybase、SQLserver、DB2等多種數(shù)據(jù)庫(kù)系統(tǒng)的安全訪問(wèn)和同步，支持TNS協(xié)議、支持授權(quán)用戶安全。郵件傳輸模塊：在內(nèi)外網(wǎng)隔離環(huán)境下實(shí)現(xiàn)內(nèi)網(wǎng)用戶安全訪問(wèn)外網(wǎng)郵件服務(wù)器，支持電子郵件地址控制，支持郵件主題過(guò)濾、內(nèi)容過(guò)濾、附件過(guò)濾。安全瀏覽模塊：在內(nèi)外網(wǎng)隔離環(huán)境下保證內(nèi)網(wǎng)用戶安全瀏覽外網(wǎng)資源，支持本級(jí)認(rèn)證、Radius、LDAP認(rèn)證，支持URL過(guò)濾、ActiveX、Cookie、JavaApplet等惡意代碼過(guò)濾。FTP訪問(wèn)模塊：在內(nèi)外網(wǎng)隔離環(huán)境下實(shí)現(xiàn)安全的FTP訪問(wèn)，支持動(dòng)態(tài)建立數(shù)據(jù)通道，支持用戶控制、命令控制、文件類型控制等細(xì)粒度訪問(wèn)控制。TCP/UDP訪問(wèn)模塊：在內(nèi)外網(wǎng)隔離環(huán)境下特定TCP、UDP協(xié)議的數(shù)據(jù)交換。其他模塊：用戶定制的專用應(yīng)用模塊。其它功能說(shuō)明：支持的應(yīng)用協(xié)議有HTTPS、HTTP、FTP、SMTP、POP3、TNS、DNS、Telnet、SAMBA、NFS、IMAP、定制TCP和UDP、SNMP、SSH、RTSP、MMS、H.323、LDAP協(xié)議、IRC等協(xié)議；支持登錄防爆破，登錄密碼超出設(shè)定次數(shù)，系統(tǒng)自動(dòng)鎖定。支持用戶訪問(wèn)控制，管理主機(jī)與網(wǎng)閘間通過(guò)證書認(rèn)證和用戶密碼才可登錄，其它應(yīng)用中支持用戶統(tǒng)一身份認(rèn)證，保證登錄系統(tǒng)的用戶是合法的。支持IP/MAC綁定功能，防止非授權(quán)管理及其登錄系統(tǒng)。完善的日志審計(jì)功能。日志支持遠(yuǎn)程和本地管理，支持標(biāo)準(zhǔn)的Syslog的接入；不同的功能模塊根據(jù)各自的需求特點(diǎn)，在應(yīng)用層實(shí)現(xiàn)了功能強(qiáng)大的過(guò)濾機(jī)制，通過(guò)對(duì)應(yīng)用層內(nèi)容的過(guò)濾和檢測(cè)，進(jìn)一步保障數(shù)據(jù)的安全。這些包括：關(guān)鍵字檢測(cè)、黑白名單過(guò)濾、文件類型檢驗(yàn)、用戶名/口令校驗(yàn)、數(shù)據(jù)數(shù)字簽名、身份認(rèn)證、控件過(guò)濾、腳本過(guò)濾、URL過(guò)濾、郵件屬性過(guò)濾等等。系統(tǒng)還可以根據(jù)用戶的安全需要進(jìn)行二次開發(fā)，對(duì)用戶數(shù)據(jù)進(jìn)行深度安全檢測(cè)。靈活的多網(wǎng)隔離網(wǎng)閘在支持兩網(wǎng)隔離的同時(shí)，為了滿足多個(gè)相同安全級(jí)別的外聯(lián)網(wǎng)絡(luò)要與可信網(wǎng)絡(luò)隔離的需求，進(jìn)一步支持多網(wǎng)接入隔離，即可以同時(shí)接入多個(gè)外聯(lián)網(wǎng)絡(luò)，比如交警網(wǎng)絡(luò)和多家銀行網(wǎng)絡(luò)同時(shí)互聯(lián)，并且每個(gè)主機(jī)系統(tǒng)的網(wǎng)絡(luò)接口之間在系統(tǒng)內(nèi)部固化實(shí)現(xiàn)無(wú)法互訪，具有更大的網(wǎng)絡(luò)適用性。完善的日志和審計(jì)完善的日志和審計(jì)系統(tǒng)是一個(gè)具有完整安全體系的安全產(chǎn)品中不可或缺的部分。網(wǎng)閘提供了強(qiáng)大的日志和審計(jì)功能：所有的系統(tǒng)事件都有相關(guān)的日志記錄。日志分為多個(gè)功能分組，如系統(tǒng)日志、管理日志、各功能模塊日志、攻擊日志等等，日志格式支持WebTrends格式。基本的日志審計(jì)功能可以在系統(tǒng)上完成，另外復(fù)雜功能也可以通過(guò)獨(dú)立的日志服務(wù)器來(lái)完成。日志的審計(jì)功能包括對(duì)隔離和信息交換系統(tǒng)事件和網(wǎng)絡(luò)事件的統(tǒng)計(jì)、查詢、分析等。數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)全面系統(tǒng)管理能力數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)的管理控制中心提供了集中的管理控制界面，審計(jì)員通過(guò)管理控制臺(tái)就能管理和綜合分析所有審計(jì)引擎的審計(jì)信息和狀態(tài)信息，并形成審計(jì)報(bào)表。提供CPU、內(nèi)存、磁盤狀態(tài)、網(wǎng)口等運(yùn)行信息，管理員可以很輕松