【文章內(nèi)容簡(jiǎn)介】 門外，也能防止已被感染的病毒蔓延。防毒網(wǎng)關(guān)工作于OSI七層協(xié)議的第七層，專注于惡意代碼防范、阻斷惡意代碼傳輸、運(yùn)用分析技術(shù)處置惡意代碼等。 惡意代碼防護(hù)設(shè)計(jì)辦公內(nèi)網(wǎng)整體網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜，涉及眾多業(yè)務(wù)服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、計(jì)算機(jī)終端和各種網(wǎng)絡(luò)設(shè)備，病毒可能帶來(lái)一定的威脅風(fēng)險(xiǎn)。本方案設(shè)計(jì)在辦公內(nèi)網(wǎng)與互聯(lián)外網(wǎng)網(wǎng)絡(luò)邊界安全接入?yún)^(qū)，部署網(wǎng)絡(luò)防病毒網(wǎng)關(guān)，與部署在主機(jī)、服務(wù)器上的防病毒軟件相聯(lián)動(dòng)，形成覆蓋全面，分層防護(hù)的多級(jí)病毒過(guò)濾系統(tǒng)。 惡意代碼防護(hù)系統(tǒng)部署具體部署示意圖如下：圖 55 惡意代碼范湖部署示意圖防毒墻安全策略如下：l 利用防毒墻專用的防毒硬件系統(tǒng)和強(qiáng)大的防病毒引擎，對(duì)進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行病毒高效查殺。l 對(duì)HTTP、FTP、SMTP、POPIMAP、NETBIOS等的協(xié)議進(jìn)行惡意代碼檢測(cè)。l 對(duì)病毒感染進(jìn)行定位，記錄系統(tǒng)實(shí)時(shí)處理的病毒信息，記錄感染的事件、IP、MAC、用戶名、協(xié)議類型、地址等。l 基于查殺記錄制作詳盡的病毒檢測(cè)報(bào)表。l 每日通過(guò)互聯(lián)網(wǎng)進(jìn)行病毒庫(kù)下載，下載完成后對(duì)病毒庫(kù)進(jìn)行升級(jí)測(cè)試，通過(guò)刻錄光盤的方式將病毒庫(kù)導(dǎo)入內(nèi)網(wǎng)，為防毒墻進(jìn)行病毒庫(kù)升級(jí)，確保惡意代碼庫(kù)的完整性和有效性。 運(yùn)維堡壘主機(jī)系統(tǒng) 運(yùn)維堡壘主機(jī)系統(tǒng)設(shè)計(jì)由于目前系統(tǒng)所使用的主機(jī)存在一部分較老的系統(tǒng)，直接修改主機(jī)操作系統(tǒng)配置的方式會(huì)對(duì)應(yīng)用系統(tǒng)造成一定的安全風(fēng)險(xiǎn)，通過(guò)部署運(yùn)維堡壘主機(jī)系統(tǒng)，通過(guò)堡壘主機(jī)強(qiáng)制限定僅此管理員的IP地址可管理此設(shè)備，同時(shí)對(duì)管理操作進(jìn)行審計(jì)，在應(yīng)用系統(tǒng)中限定安全管理員身份角色，安全管理員對(duì)各系統(tǒng)用戶的授權(quán)嚴(yán)格管理，在部署的業(yè)務(wù)系統(tǒng)中創(chuàng)建不同的用戶群組，限定最小權(quán)限。堡壘主機(jī)的身份鑒別策略如下：l 對(duì)登錄堡壘主機(jī)的所有賬戶設(shè)置復(fù)雜口令，最小長(zhǎng)度設(shè)置8位，口令中同時(shí)包含數(shù)字、字母和特殊字符，區(qū)分大小寫。l 設(shè)置最大登錄失敗次數(shù)為3次，失敗登錄3次后鎖定5分鐘內(nèi)再次登錄。l 在堡壘主機(jī)中啟用HTTPS的方式進(jìn)行數(shù)據(jù)傳輸、并使身份鑒別信息以加密的方式進(jìn)行傳輸。 運(yùn)維堡壘主機(jī)部署在安全管理區(qū)，部署1臺(tái)堡壘主機(jī)，具體部署如下圖所示：圖 56運(yùn)維審計(jì)部署示意圖 數(shù)據(jù)庫(kù)審計(jì)系統(tǒng) 數(shù)據(jù)庫(kù)系統(tǒng)安全審計(jì)設(shè)計(jì)在辦公內(nèi)網(wǎng)總中心數(shù)據(jù)域交換機(jī)上部署數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)，對(duì)數(shù)據(jù)庫(kù)管理系統(tǒng)的訪問(wèn)和操作行為進(jìn)行細(xì)粒度安全審計(jì)。數(shù)據(jù)庫(kù)安全審計(jì)策略如下：l 在內(nèi)網(wǎng)應(yīng)用匯聚層交換機(jī)和隔離設(shè)備外部的核心交換機(jī)上配置鏡像端口，收集網(wǎng)絡(luò)中數(shù)據(jù)流量。l 審計(jì)記錄源IP地址、操作時(shí)間、操作對(duì)象（數(shù)據(jù)庫(kù)用戶、表、字段）、SQL命令等內(nèi)容。l 通過(guò)篩選重要事件和風(fēng)險(xiǎn)事件查找所關(guān)心的審計(jì)記錄。l 記錄事件發(fā)生的時(shí)間、地點(diǎn)、類型、主體和結(jié)果（成功或失?。?，并將所有審計(jì)的內(nèi)容發(fā)送至部署在安全管理安全域的數(shù)據(jù)庫(kù)審計(jì)管理服務(wù)器上進(jìn)行匯總和分析。數(shù)據(jù)庫(kù)審計(jì)管理服務(wù)器配有1TB以上的存儲(chǔ)空間，確保審計(jì)記錄能夠保存至少六個(gè)月。安全運(yùn)維人員每周對(duì)數(shù)據(jù)庫(kù)審計(jì)管理服務(wù)器的存儲(chǔ)空間進(jìn)行檢查，當(dāng)存儲(chǔ)空間小于20%時(shí)，立即增加存儲(chǔ)空間，防止由于存儲(chǔ)空間溢出造成審計(jì)記錄丟失。 數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)部署數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)部署示意圖如下：圖 57數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)部署示意圖 漏洞掃描系統(tǒng) 漏洞掃描系統(tǒng)設(shè)計(jì)為了更好地保護(hù)主機(jī)的安全，減少主機(jī)被入侵的風(fēng)險(xiǎn)，通過(guò)漏洞掃描系統(tǒng)對(duì)服務(wù)器操作系統(tǒng)和數(shù)據(jù)庫(kù)管理系統(tǒng)定期進(jìn)行掃描，根據(jù)漏洞掃描系統(tǒng)的檢測(cè)報(bào)告，分析系統(tǒng)的安全漏洞，并采取防護(hù)措施。安全運(yùn)維人員每月對(duì)漏洞掃描系統(tǒng)進(jìn)行漏洞庫(kù)升級(jí)，確保系統(tǒng)可及時(shí)發(fā)現(xiàn)最新的系統(tǒng)漏洞。 漏洞掃描系統(tǒng)部署辦公內(nèi)網(wǎng)總中心漏洞掃描系統(tǒng)部署示意圖如下：圖 58 漏洞掃描系統(tǒng)部署示意圖 安全運(yùn)營(yíng)管理平臺(tái)在安全管理中心部署安全運(yùn)營(yíng)管理平臺(tái)，提供對(duì)安全設(shè)備、服務(wù)器、網(wǎng)絡(luò)設(shè)備等各種硬件性能的監(jiān)控功能，及對(duì)服務(wù)器操作系統(tǒng)、應(yīng)用中間件、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備等進(jìn)行配置基線分析，提供安全預(yù)警功能，提供資產(chǎn)管理、知識(shí)庫(kù)管理和控制展示等功能。 安全運(yùn)營(yíng)管理平臺(tái)設(shè)計(jì)本方案中在辦公內(nèi)網(wǎng)部署安全運(yùn)營(yíng)平臺(tái)，其定位為業(yè)務(wù)系統(tǒng)運(yùn)行狀態(tài)和運(yùn)行信息匯集樞紐、安全風(fēng)險(xiǎn)統(tǒng)一集中分析和管理平臺(tái)、安全事件處置響應(yīng)和指揮調(diào)度的基礎(chǔ)支撐平臺(tái)。信息安全運(yùn)營(yíng)平臺(tái)能夠?qū)崿F(xiàn)由零散安全產(chǎn)品到信息保障體系的轉(zhuǎn)變。它除了包含技術(shù)以外，還有兩個(gè)重要的組成部分：人（維護(hù)人員、應(yīng)急小組）和操作過(guò)程（相應(yīng)的管理制度和事件處理流程），體現(xiàn)了信息保障所強(qiáng)調(diào)的人、技術(shù)、操作這三個(gè)核心原則。因此它不僅是技術(shù)手段上的快速提升，實(shí)現(xiàn)對(duì)重要信息系統(tǒng)的安全預(yù)警。安全管理平臺(tái)將全面提升系統(tǒng)的管理能力，具體包括：l 集中管理海量安全事件建設(shè)安全管理平臺(tái)，可以實(shí)現(xiàn)對(duì)以往基于“點(diǎn)”的安全建設(shè)進(jìn)行全面整合和綜合管理，解決安全建設(shè)的零散性，進(jìn)行跨產(chǎn)品、跨平臺(tái)的安全信息的統(tǒng)一收集和處理，對(duì)多種數(shù)據(jù)進(jìn)行相互溝通和關(guān)聯(lián)，從海量安全事件中提取真正有效的數(shù)據(jù)，并提供智能化分析手段發(fā)現(xiàn)更深層次的安全問(wèn)題，解決已往安全管理分散、管理成本高等問(wèn)題對(duì)安全管理所造成的瓶頸問(wèn)題。l 構(gòu)筑基于資產(chǎn)業(yè)務(wù)的風(fēng)險(xiǎn)管理體系建設(shè)安全管理平臺(tái)，改變以往以安全事件和單個(gè)資產(chǎn)為視角的傳統(tǒng)模式，結(jié)合平臺(tái)的業(yè)務(wù)屬性，使得用戶的系統(tǒng)管理人員能夠直觀清晰全面的認(rèn)識(shí)到業(yè)務(wù)是否面臨著風(fēng)險(xiǎn)、所產(chǎn)生風(fēng)險(xiǎn)的嚴(yán)重程度如何，該如何進(jìn)行風(fēng)險(xiǎn)相關(guān)的處理工作，以及業(yè)務(wù)風(fēng)險(xiǎn)在未來(lái)的發(fā)展趨勢(shì)和防范手段。l 形成統(tǒng)一的安全體系建設(shè)安全管理平臺(tái)，可以為用戶建立起一套完善的安全體系。利用安全管理平臺(tái)，可以進(jìn)行安全意識(shí)宣講、相關(guān)法律制度普及、安全技術(shù)培訓(xùn)、安全知識(shí)共享，從而提高用戶各個(gè)層面人員整體的