【正文】 SSR? Web 衛(wèi)士企業(yè)級網(wǎng)站服務器安全解決方案 Infuard? InforGuard 在省級政務網(wǎng)絡中的部署InforGuard系統(tǒng)架構Inter網(wǎng)站服務器InforGuard MA網(wǎng)站實時監(jiān)控篡改行為檢測和防范InforGuard MC網(wǎng)站文件備份網(wǎng)站實時恢復安全事件報警網(wǎng)站安全維護監(jiān)控中心InforGuard MT網(wǎng)站遠程維護維護終端安 全 傳 輸Inter網(wǎng)站服務器實時阻斷核心內嵌事件觸發(fā)服務聯(lián)動InforGuard MC監(jiān)控中心SSL安全傳輸InforGuard MT遠程維護SSL 安全傳輸網(wǎng)絡管理問題將非法計算機接入網(wǎng)絡，盜竊內網(wǎng)資源，甚至對主機發(fā)動攻擊惡意的 IP地址盜用，如：逃避服務器記錄，獲取非法權限服務器正常用戶違規(guī)接入內部網(wǎng)非惡意的 IP地址篡改，可能導致重要主機無法上網(wǎng)，中斷業(yè)務流程違規(guī)變更 地址盜用網(wǎng)絡管理 －拓撲發(fā)現(xiàn)?二層、三層拓撲發(fā)現(xiàn)?識別 Vlan 和子網(wǎng)?鏈路線顏色變化?設備顏色變化網(wǎng)絡管理 －故障管理端口流量丟包率CPU/MEMLinkUp/Down重要設備離線故障時間故障原因故障分析u非法節(jié)點監(jiān)控 IPMAC地址綁定 IP交換機端口綁定 IP主機名綁定策略u攔截與放行設備 uMAC與交換機端口綁定 網(wǎng)絡管理 －安全管理資產管理問題我們的網(wǎng)絡中共有多少臺計算機？哪些用戶在使用這些計算機？計算機的硬件配置是否發(fā)生了變更？這些計算機安裝的什么操作系統(tǒng) ?是否打全了相應補?。窟@些計算機安裝了哪些軟件？這些軟件是否合法？我們要升級一批機器，怎么統(tǒng)計需求？……下屬單位 2下屬單位 1總部。防火墻系統(tǒng)管理規(guī)范— 防火墻日志分析 ? 防火墻管理員必須定期對防火墻收集的日志進行備份和分析。終端計算機安全使用規(guī)范?(4)啟動操作系統(tǒng)的自動更新服務，操作系統(tǒng)會定期自動升級并安裝最新的補丁程序。? 不允許遠程登錄生產或者開發(fā)系統(tǒng)進行維護。物理環(huán)境安全管理規(guī)范 —電纜管理 ? 電纜管理包括電源電纜和通信電纜的安全管理，主要包括以下內容：? (1)計算機機房內，電源電纜和通信電纜應鋪設在地板下，從不同的線槽鋪設、走線，并通過屏蔽保護以避免干擾，同時還要考慮阻燃、防水、防蟲、防鼠、防腐蝕等保護。根據(jù)進入機房人員的崗位職責，對其實行不同區(qū)域的授權。系統(tǒng)運維管理系統(tǒng)運維管理 設備管理設備管理? 對信息系統(tǒng)相關的各種設備、線路等指定專人或專門的部門定期進行維護管理；? 對信息系統(tǒng)的各種軟硬件設備的選型、采購、發(fā)放或領用等過程建立基于申報、審批和專人負責的管理制度；? 對終端計算機、工作站、便攜機、系統(tǒng)和網(wǎng)絡等設備的操作和使用進行規(guī)范化管理；? 對帶離機房或辦公地點的信息處理設備進行控制；? 按操作規(guī)程實現(xiàn)服務器的啟動 /停止、加電 /斷電等操作，加強對服務器操作的日志文件管理和監(jiān)控管理，并對其定期進行檢查；? 建立配套設施、軟硬件維護方面的管理制度，對軟硬件維護進行有效的管理，包括明確維護人員的責任、涉外維修和服務的審批、維修過程的監(jiān)督控制等；? 在安全管理機構統(tǒng)一安全策略下對服務器進行系統(tǒng)配置和服務設定，并實施配置管理。安全管理制度安全管理制度? 管理制度管理制度? 制定與發(fā)布制定與發(fā)布? 評審與修訂評審與修訂安全管理制度安全管理制度 管理制度管理制度? 制定信息安全工作的總體方針、政策性文件和安全策略等，說明機構安全工作的總體目標、范圍、方針、原則、責任等；? 對安全管理活動中的各類管理內容建立安全管理制度，以規(guī)范安全管理活動，約束人員的行為方式；? 對要求管理人員或操作人員執(zhí)行的日常管理操作，建立操作規(guī)程，以規(guī)范操作行為，防止操作失誤；? 形成由安全政策、安全策略、管理制度、操作規(guī)程等構成的全面的信息安全管理制度體系；? 由安全管理職能部門定期組織相關部門和相關人員對安全管理制度體系的合理性和適用性進行審定。最后，最好同時為系統(tǒng)安裝網(wǎng)絡防火墻，它們可以阻止對計算機的未授權訪問和使用。防火墻的目的就是在內部網(wǎng)絡和外部網(wǎng)絡連接之間建立一個安全控制點，允許、拒絕或重新定向經過防火墻的數(shù)據(jù)流，實現(xiàn)對進出內部網(wǎng)絡的網(wǎng)絡通信的審計和控制。2 信息系統(tǒng)無法提供服務或無法提供有效服務對單位完成其業(yè)務使命影響較大。3 信息系統(tǒng)資產受到破壞會對國家安全利益有直接影響。３　市（地）級以上黨政機關的重要網(wǎng)站和辦公信息系統(tǒng)。第四級為 強制保護級 ，主要對象為涉及國家安全、社會秩序、經濟建設和公共利益的重要信息系統(tǒng)，其受到破壞后，會對國家安全、社會秩序、經濟建設和公共利益造成嚴重損害。涉及國家安全利益，影響國家經濟建設的信息。 ? k ? 信息系統(tǒng)無法提供服務或無法提供有效服務會造成較大范圍的公共利益損失。邊界完整性檢測邊界完整性檢測? 能夠檢測內部網(wǎng)絡中出現(xiàn)的內部用戶未通過準許私自聯(lián)到外部網(wǎng)絡的行為（即 “非法外聯(lián) ”行為）；? 能夠對非授權設備私自聯(lián)到網(wǎng)絡的行為進行檢查，并準確定出位置，對其進行有效阻斷；? 能夠對內部網(wǎng)絡用戶私自聯(lián)到外部網(wǎng)絡的行為進行檢測后準確定出位置，并對其進行有效阻斷。入侵檢測技術的局限性? 入侵檢測通過抓取數(shù)據(jù)報文對其分析，并與攻擊規(guī)則樣本進行比較發(fā)現(xiàn)攻擊行為? 通過特殊的編碼可以繞過入侵檢測的偵測（漏報）? 需要不斷的跟蹤新的攻擊模式并更新攻擊樣本? 容易把正常的訪問識別為入侵行為（誤報）網(wǎng)絡入侵防御 (IPS)面臨的挑戰(zhàn)? 單點故障 ? 性能 “ 瓶頸 ” 增加網(wǎng)絡延遲 降低網(wǎng)絡效率 ? 誤報和漏報主機入侵防范? 進行主機運行監(jiān)視，包括監(jiān)視主機的 CPU、硬盤、內存、網(wǎng)絡等資源的使用情況；? 設定資源報警域值，以便在資源使用超過規(guī)定數(shù)值時發(fā)出報警；? 進行特定進程監(jiān)控，限制操作人員運行非法進程；? 進行主機賬戶監(jiān)控，限制對重要賬戶的添加和更改；? 檢測各種已知的入侵行為，記錄入侵的源 IP、攻擊的類型、攻擊的目的、攻擊的時間，并在發(fā)生嚴重入侵事件時提供報警；? 能夠檢測重要程序完整性受到破壞，并在檢測到完整性錯誤時采取必要的恢復措施。人員安全管理人員安全管理 人員考核人員考核? 對所有人員進行全面、嚴格的安全審查；? 定期對各個崗位的人員進行安全技能及安全認知的考核；? 對考核結果進行記錄并保存；? 對違背安全策略和規(guī)定的人員進行懲戒。系統(tǒng)運維管理系統(tǒng)運維管理 密碼管理密碼管理? 建立密碼使用管理制度 。物理環(huán)境安全管理規(guī)范 —人員安全管理 ? 計算機機房工作崗位屬于關鍵崗位，對機房工作人員除了進行崗位操作和技能培訓外，還必須進行相應的信息安全、職業(yè)道德、法律規(guī)范的培訓，才能上崗工作。? (3)定期對各類環(huán)境設備進行例行檢修，確保環(huán)境設備和系統(tǒng)處于良好的運行狀態(tài)。 ? 當機房內的施工和維修操作必須明火作業(yè)時，要報經消防安全部門和保衛(wèi)部門同意，采取必要的防范措施，在指定時間、地點按計劃、按步驟完成作業(yè)，經檢查確認沒有火災隱患后，方可結束施工。?(9)禁止在未經授權的情況下，私自修改系統(tǒng)的計算機命名標識和網(wǎng)絡配置。管理員在收到防火墻發(fā)送的報警信息之后，應當盡快檢查防火墻，以確定是否有危害網(wǎng)絡安全的事件發(fā)生，并上報上級信息安全管理部門 。工單管理216。 系統(tǒng)層惡意代碼防范? 防病毒軟件（瑞星， 諾頓， KILL等）? 服務器系統(tǒng)加固（ SSR） 惡意代碼防范 入侵防范 強制訪問控制主機系統(tǒng)安全解決方案? 主機系統(tǒng)強制訪問控制? 服務器系統(tǒng)加固（ SSR） 物理層系統(tǒng)層應用層網(wǎng)絡層管理層ROST技術安全水平操作系統(tǒng)安全加固技術Reinforcement Operating System Technique? 經過以 ROST技術為基礎的 SSR加固后，自主訪問控制的 C2級系統(tǒng)就被改造成為強制訪問控制的 B1級系統(tǒng) ? 操作系統(tǒng)經過以 ROST技術為基礎的 SSR加固后，不但加強了系統(tǒng)層的安全防護，而且整個信息系統(tǒng)的安全水平也得到大幅度的提高，彌補了系統(tǒng)層這塊短板的缺陷 服務器系統(tǒng)加固 (SSR)? 滿足主機系統(tǒng)強制訪問控制的要求，從根本上免疫了針對服務器操作系統(tǒng)的一切惡意攻擊；? 有效防止內、外網(wǎng)黑客對主機系統(tǒng)的攻擊；? 從根本上防范沖擊波、振蕩波等蠕蟲類病毒對主機系統(tǒng)的侵擾；? 防止非法盜取、修改和刪除數(shù)據(jù)；? 防止進程（應用）被惡意終止；? 保障操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)可信穩(wěn)定地運行；? 無需再頻繁地為服務器操作系統(tǒng)打補丁。防火墻系統(tǒng)管理規(guī)范 — 規(guī)劃部署，配置測試 ? 防火墻位于網(wǎng)絡的關鍵通道，對其安全規(guī)則實施的適應性有很高的要求，應當防止在配置上的錯誤以及對本單位安全策略的違背。物理環(huán)境安全管理規(guī)范 —管理制度和規(guī)定 ?制定嚴密的規(guī)范和各項管理制度，包括值班制度、機房管理規(guī)定等，并將上述規(guī)定張貼于相應的工作區(qū)域內。物理環(huán)境安全管理規(guī)范 —設備常規(guī)管理 ? 對機房工作人員、維修技術人員加強保密紀律教育，自覺遵守操作程序，不得隨意向無關人員透露工作流程、軟件版本、機器配置等信息。? (4)設備應該放置在相應的安全區(qū)域內。信息安全管理制度示例 ? 物理環(huán)境安全管理規(guī)范 ? 終端計算機安全使用規(guī)范 ? 防火墻系統(tǒng)管理規(guī)范 物理環(huán)境安全管理規(guī)范? 安全域 ? 門禁控制 ? 監(jiān)控與報警 ? 人員安全管理 ? 設備放置與保護 ? 電源管理? 電纜管理 ? 環(huán)境管理與維護 ? 設備常規(guī)管理 ? 設備變更管理 ? 設備故障處理? 管理制度和規(guī)定 物理環(huán)境安全管理規(guī)范 —安全域? 根據(jù)計算機機房內部設備的功能、性質、任務、類型以及重要程度不同，同時為了防止非法進入、危害和干擾，確保內部設備的運行安全和信息安全，應當在計算機機房內部劃分安全域。系統(tǒng)建設管理系統(tǒng)建設管理 工程驗收工程驗收? 對系統(tǒng)進行安全性測試驗收；? 在測試驗收前根據(jù)設計方案或合同要求等制訂測試驗收方案，測試驗收過程中詳細記錄測試驗收結果，形成測試驗收報告；? 委托公正的第三方測試單位對系統(tǒng)進行測試，并出具測試報告；? 制定系統(tǒng)測試驗收方面的管理制度，明確說明系統(tǒng)測試驗收的控制方法和人員行為準則；? 指定或授權專門的部門負責系統(tǒng)測試驗收的管理，并按照管理制度的要求完成系統(tǒng)測試驗收工作；? 組織相關部門和相關人員，對系統(tǒng)測試驗收報告進行審定，沒有疑問后由雙方簽字。信息安全管理? 安全管理機構安全管理機構崗位設置、人員配置、授權與審批、溝通與合作、審核與檢查崗位設置、人員配置、授權與審批、溝通與合作、審核與檢查? 安全管理制度安全管理制度管理制度、制定與發(fā)布、評審與修訂管理制度、制定與發(fā)布、評審與修訂? 人員安全管理人員安全管理人員錄用、人員離崗、人員考核、安全意識教育與培訓、第三方人員錄用、人員離崗、人員考核、安全意識教育與培訓、第三方人員管理人員管理? 系統(tǒng)建設管理系統(tǒng)建設管理系統(tǒng)定級、系統(tǒng)備案、安全方案設計、產品采購、自行軟件研發(fā)、外系統(tǒng)定級、系統(tǒng)備案、安全方案設計、產品采購、自行軟件研發(fā)、外包軟件開發(fā)、工程實施、工程驗收包軟件開發(fā)、工程實施、工程驗收? 系統(tǒng)運維管理系統(tǒng)運維管理環(huán)境管理、資產管理、介質管理、設備管理、監(jiān)控管理、網(wǎng)絡安全管環(huán)境管理、資產管理、介質管理、設備管理、監(jiān)控管理、網(wǎng)絡安全管理、系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、變更管理、備份理、系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、變更管理、備份與恢復管理、安全事件管理、應急預案管理與恢復管理、安全事件管理、應急預案管理安全管理機構安全管理機構? 崗位設置崗位設置? 人員配置人員配置? 授權與審批授權與審批? 溝通與合作溝通與合作? 審核與檢查審核與檢查安全管理機構安全管理機構 崗位設置崗位設置? 設立信息安全管理工作的職能部門，設立安全主管人、安全管理各個方面的負責人，定義各負責人的職責；? 設立系統(tǒng)管理人員、網(wǎng)絡管理人員、安全管理人員崗位，定義各個工作崗位的職責；? 成立指導和管理信息安全工作的委員會或領導小組，其最高領導應由單位主管領導委任或授權；? 制定文件，明確安全管理機構各個部門和崗位的職責、分工和技能要求。 終端（桌面）病毒防護? 根據(jù)網(wǎng)絡終端平臺實際情況，分別選用相應的客戶端防病毒軟件。網(wǎng)絡安全訪問控制網(wǎng)絡安全訪問控制? 網(wǎng)絡安全訪問控制實現(xiàn)的方法有多種，簡單網(wǎng)絡的安全訪問控制可以在路由器上實現(xiàn)，復雜的功能可以由主機甚至一個子網(wǎng)來實現(xiàn)。全國范圍的服務網(wǎng)絡。決定信息系統(tǒng)重要性的要素? 信息系統(tǒng)所屬類型，即信息系統(tǒng)資產的安全利益主體 ? 信息系統(tǒng)主要處理的業(yè)務信息類別 決定信息系統(tǒng)內信息資產的重要性 ? 信息系統(tǒng)服務范圍，包括服務對象和服務網(wǎng)絡覆蓋范圍 ? 業(yè)務對信息系統(tǒng)的依賴程度