【文章內(nèi)容簡介】 、系統(tǒng)漏洞發(fā)現(xiàn)、識別、管理及修復、弱口令漏洞識別及修復建議、高危賬號識別及管理、應用配置缺陷風險識別及管理。7*24小時對服務器進行登錄監(jiān)控、完整性監(jiān)控、進程監(jiān)控、系統(tǒng)資源監(jiān)控、性能監(jiān)控、操作審計。通過對服務器整體威脅分析、病毒檢測與查殺、反彈shell識別處理、異常賬號識別處理、端口掃描檢測、日志刪除、登錄/進程異常、系統(tǒng)命令篡改等入侵事件發(fā)現(xiàn)及處理。最終完成對服務器立體化的多維度安全加固。 內(nèi)網(wǎng)服務器安全運維由于設備眾多、系統(tǒng)操作人員復雜等因素，導致越權訪問、誤操作、資源濫用、疏忽泄密等時有發(fā)生。黑客的惡意訪問也有可能獲取系統(tǒng)權限，闖入部門或單位內(nèi)部網(wǎng)絡，造成不可估量的損失。終端的賬號和口令的安全性，也是安全管理中難以解決的問題。如何提高系統(tǒng)運維管理水平，滿足相關法規(guī)的要求，防止黑客的入侵和惡意訪問，跟蹤服務器上用戶行為，降低運維成本，提供控制和審計依據(jù)，越來越成為內(nèi)部網(wǎng)絡控制中的核心安全問題。安全運維審計是一種符合4A(認證Authentication、賬號Account、授權Authorization、審計Audit)要求的統(tǒng)一安全管理平臺，在網(wǎng)絡訪問控制系統(tǒng)（如：防火墻、帶有訪問控制功能的交換機）的配合下，成為進入內(nèi)部網(wǎng)絡的一個檢查點，攔截對目標設備的非法訪問、操作行為。運維審計設備能夠極大的保護客戶內(nèi)部網(wǎng)絡設備及服務器資源的安全性，使得客戶的網(wǎng)絡管理合理化、專業(yè)化。建議在核心交換機上以旁路方式部署一臺運維審計系統(tǒng)。運維審計（堡壘主機）系統(tǒng)，為運維人員提供統(tǒng)一的運維操作審計。通過部署運維審計設備能夠?qū)崿F(xiàn)對所有的網(wǎng)絡設備，網(wǎng)絡安全設備，應用系統(tǒng)的操作行為全面的記錄，包括登錄IP、登錄用戶、登錄時間、操作命令全方位細粒度的審計。同時支持過程及行為回放功能，從而使安全問題得到追溯，提供有據(jù)可查的功能和相關能力。 內(nèi)網(wǎng)應用安全 內(nèi)網(wǎng)應用層攻擊防護建議內(nèi)網(wǎng)信息系統(tǒng)邊界部署WEB應用防火墻（WAF）設備，對Web應用服務器進行保護，即對網(wǎng)站的訪問進行7X24小時實時保護。通過Web應用防火墻的部署，可以解決WEB應用服務器所面臨的各類網(wǎng)站安全問題，如：SQL注入攻擊、跨站攻擊（XSS攻擊，俗稱釣魚攻擊）、惡意編碼(網(wǎng)頁木馬)、緩沖區(qū)溢出、應用層DDOS攻擊等等。防止網(wǎng)頁篡改、被掛木馬等嚴重影響形象的安全事件發(fā)生。WAF作為常見應用層防護設備，在防護來自于外網(wǎng)的黑客攻擊外，同樣可以防護來自內(nèi)網(wǎng)的跳板型滲透攻擊，當內(nèi)部終端或服務器被黑客攻陷后，為防止通過跳板機對內(nèi)網(wǎng)其他應用系統(tǒng)進行內(nèi)網(wǎng)滲透，通過WAF防攻擊模塊，可以實時阻斷任何應用層攻擊行為，保護內(nèi)部系統(tǒng)正常運行 內(nèi)網(wǎng)數(shù)據(jù)安全 內(nèi)網(wǎng)數(shù)據(jù)防泄密建議在內(nèi)網(wǎng)環(huán)境中部署數(shù)據(jù)防泄密系統(tǒng)，保持某單位現(xiàn)有的工作模式和員工操作習慣不變，不改變?nèi)魏挝募袷?、不封閉網(wǎng)絡、不改變網(wǎng)絡結構、不封閉計算機各種豐富的外設端口、不改變復雜的應用服務器集群環(huán)境，實現(xiàn)對企業(yè)內(nèi)部數(shù)據(jù)強制透明加解密，員工感覺不到數(shù)據(jù)存在，保證辦公效率，實現(xiàn)數(shù)據(jù)防泄密管理，形成“對外受阻，對內(nèi)無礙”的管理效果。員工未經(jīng)授權，不管以任何方式將數(shù)據(jù)帶離公司的環(huán)境，都無法正常查看。如：加密文件通過MSN、、電子郵件、移動存儲設備等方式傳輸?shù)焦臼跈喾秶酝猓ü就獠炕蚬緝?nèi)沒有安裝綠盾終端的電腦），那么將無法正常打開使用，顯示亂碼，并且文件始終保持加密狀態(tài)。只有經(jīng)過公司審批后，用戶才可在授予的權限范圍內(nèi)，訪問該文件。1) 在不改變員工任何操作習慣、不改變硬件環(huán)境和網(wǎng)絡環(huán)境、不降低辦公效率，員工感覺不到數(shù)據(jù)被加密的存在，實現(xiàn)了單位數(shù)據(jù)防泄密管理；2) 員工不管通過、mail、U 盤等各種方式，將單位內(nèi)部重要文件發(fā)送出去，數(shù)據(jù)均是加密狀態(tài)；3) 存儲著單位重要數(shù)據(jù)的U 盤、光盤不慎丟失后，沒有在公司的授權環(huán)境下打開均是加密狀態(tài)；4) 員工出差辦公不慎將筆記本丟失，無單位授予的合法口令，其他人無法閱讀筆記本內(nèi)任何數(shù)據(jù)； 內(nèi)網(wǎng)數(shù)據(jù)庫安全審計建議在內(nèi)部信息系統(tǒng)部署數(shù)據(jù)庫審計系統(tǒng)，對多種類數(shù)據(jù)庫的操作行為進行采集記錄，探測器通過旁路接入，在相應的交換機上配置端口鏡像，對內(nèi)部人員訪問數(shù)據(jù)庫的數(shù)據(jù)流進行鏡像采集并保存信息日志。數(shù)據(jù)庫審計系統(tǒng)能夠詳細記錄每次操作的發(fā)生時間、數(shù)據(jù)庫類型、源MAC地址、目的MAC地址、源端口、目標端口、數(shù)據(jù)庫名、用戶名、客戶端IP、服務器端IP、操作指令、操作返回狀態(tài)值。數(shù)據(jù)庫審計系統(tǒng)支持記錄的行為包括： 數(shù)據(jù)操作類（如select、insert、delete、update等）結構操作類（如create、drop、alter等） 事務操作類（如Begin Transaction、Commit Transaction、Rollback Transaction 等） 用戶管理類以及其它輔助類（如視圖、索引、過程等操作）等數(shù)據(jù)庫訪問行 為，并對違規(guī)操作行為產(chǎn)生報警事件。 虛擬化內(nèi)網(wǎng)安全計算環(huán)境總體防護設計 劃分虛擬安全域圖中提供安全組、連接策略兩種方式。安全組類似白名單方式，而連接策略類似黑名單方式。通過添加具體的訪問控制規(guī)則，支持任意虛擬機之間的訪問控制。靈活的配置方式可以滿足用戶所有的訪問控制類需求。在原生虛擬化環(huán)境中部署的虛擬防火墻可以通過服務鏈技術，實現(xiàn)和SDN網(wǎng)絡控制器的接口、安全控制平臺的接口，并進一步抽象化、池化，實現(xiàn)安全設備的自動化部署。同時，在部署時通過安全管理策略的各類租戶可以獲得相應安全設備的安全管理權限、達成分權分域管理的目標。在安全控制平臺部署期的過渡階段，可以采用手工配置流控策略的模式，實現(xiàn)無縫過渡。在這種部署模式下，安全設備的部署情況與基于SDN技術的集成部署模式相似，只是所有在使用SDN控制器調(diào)度流量處，都需要使用人工的方式配置網(wǎng)絡設備，使之執(zhí)行相應的路由或交換指令。以虛擬防火墻防護為例，可以由管理員通過控制器下發(fā)計算節(jié)點到安全節(jié)點中各個虛擬網(wǎng)橋的流表，依次將流量牽引到虛擬防火墻設備即可。這一切的配置都是通過統(tǒng)一管理界面實現(xiàn)引流、策略下發(fā)的自動化，除了這些自動化操作手段，統(tǒng)一管理平臺還提供可視化展示功能，主要功能有，支持虛擬機資產(chǎn)發(fā)現(xiàn)、支持對流量、應用、威脅的統(tǒng)計，支持對接入服務的虛擬機進行全方位的網(wǎng)絡監(jiān)控支持會話日志、系統(tǒng)日志、威脅指數(shù)等以邏輯動態(tài)拓撲圖的方式展示。216。 南北向流量訪問控制在云平臺內(nèi)部邊界部署2套邊界防火墻用于后臺服務域與其他域的邊界訪問控制（即南北向流量的訪問控制）。防火墻設置相應的訪問控制策略，根據(jù)數(shù)據(jù)包的源地址、目的地址、傳輸層協(xié)議、請求的服務等，決定該數(shù)據(jù)包是否可以進出云計算平臺，并確定該數(shù)據(jù)包可以訪問的客體資源。216。 東西向流量訪問控制虛擬化場景中的關鍵安全能力組件集合了ACL、防火墻、IPS、AntiDDoS、DPI、AV等多項功能，vDFW采用統(tǒng)一安全引擎，將應用識別、內(nèi)容檢測、URL過濾、入侵防御、病毒查殺等處理引擎合并歸一，實現(xiàn)對數(shù)據(jù)中心內(nèi)部東西向流量的報文進行高效的一次性處理。不僅如此，vDFW支持多虛一的集群模式，突破性能瓶頸的限制，以達到與數(shù)據(jù)中心防護需求最佳匹配的效果。當數(shù)據(jù)中心檢測平臺發(fā)現(xiàn)特定虛機發(fā)起內(nèi)部威脅攻擊流量后，管理員只需設置相關策略，由安全控制器調(diào)度，即可將策略統(tǒng)一下發(fā)到整個數(shù)據(jù)中心內(nèi)部相關對應虛擬路由器組件上，將可疑流量全部牽引至vDFW進行檢測防護與內(nèi)容過濾。針對數(shù)據(jù)中心內(nèi)部各類安全域、各個部門、采用的按需配置、差異化、自適應的安全策略。 內(nèi)網(wǎng)安全資源池與數(shù)據(jù)中心中的計算、存儲和網(wǎng)絡資源相似，各種形態(tài)、各種類型的安全產(chǎn)品都能通過控制和數(shù)據(jù)平面的池化技術，形成一個個具有某種檢測或防護能力的安全資源池。當