【文章內容簡介】 網絡設備、服務器日志輸出至專門的日志服務器，日志服務器可依靠安全事件管理平臺（SOC）完成；配置文件備份重要網絡設備及安全設備的配置均分兩份存放于網絡管理人員 AB 角色個人主機上，保證在問題發(fā)生時能夠快速恢復；. 主機系統(tǒng)防護應用服務器承載著遼寧省 XXXX 的應用系統(tǒng)及業(yè)務數(shù)據，對應用服務器的安全應當從操作系統(tǒng)安全和數(shù)據庫安全兩個層面進行設計：操作系統(tǒng)安全：操作系統(tǒng)是承載業(yè)務應用、數(shù)據庫應用的基礎載體，是業(yè)務應用安全的主要防線，一旦操作系統(tǒng)的安全性出現(xiàn)問題，將對業(yè)務系統(tǒng)及業(yè)務數(shù)據安全造成嚴重威脅，關于操作系統(tǒng)安全，主要通過如下安全措施完成：操作系統(tǒng)基礎防護服務器應采用一定的安全措施，主要有補丁管理、網絡防病毒系統(tǒng)部署、定期漏洞掃描、安全加固等方式進行針對系統(tǒng)的安全加固，可以制定系統(tǒng)安全加固要求，針對Windows、Unix（AIX、Solaris、HPUX、linux）等系統(tǒng)分別制定安全加固手冊訪問控制實現(xiàn)系統(tǒng)層面的訪問控制，針對訪問的主體和客體進行識別，劃分，授權。具體可參照加固手冊內容進行，如針對 Windows 系統(tǒng)的文件控制參見 附一：Widows 系統(tǒng)加固手冊樣例 中 文件系統(tǒng)基本權限設置安全審計開啟服務器日志審計功能，可將系統(tǒng)的日志統(tǒng)一發(fā)送到日志集中管理設備遼寧省 XXXX 信息安全等級保護建設方案 12上Windows 服務器 Event Log 無法直接進行 syslog 輸出，需借助安全管理平臺的 Windows 桌面日志 Agent 實現(xiàn)；UNIX 系統(tǒng)，如 AIX 日志設置如下記錄 messages 并發(fā)送到 syslog說明：AIX 默認未記錄 messages，通過以下設置記錄 messages 并發(fā)送到 syslog操作：printf \t\t/var/adm/authlog\n\*.info。\t\t/var/adm/syslog\n \ /etc/touch /var/adm/authlog /var/adm/syslogchown root:system /var/adm/authlogchmod 600 /var/adm/authlogchmod 640 /var/adm/syslogstopsrc s syslogdstartsrc s syslogd配置 syslogd 發(fā)送系統(tǒng)日志到遠程主機說明：通過 syslogd 配置文件，設置發(fā)送系統(tǒng)日志到第三方主機操作：遼寧省 XXXX 信息安全等級保護建設方案 13printf \t\t@loghost*.info。\t\t@loghost*.emerg\t\t@loghost\n\local7.*\t\t@loghost\n /etc/stopsrc s syslogdstartsrc s syslogd設定系統(tǒng)日志和審計行為操作：增加日志緩沖和日志文件的大?。?usr/lib/errdemon s4194304 –B32768監(jiān)視 su 命令的使用：more /var/adm/sulog檢查系統(tǒng)登錄用戶日志: /var/adm/wtmp使用 who 命令檢查登錄失敗用戶情況: who /etc/security/failedlogin使用 who 命令檢查當前用戶登錄情況:use who mand./etc/ 設定系統(tǒng)審計和日志的主要文件資源控制通過安全管理平臺部署，可實現(xiàn)可主機的資源監(jiān)控，了解 CPU、硬盤、內存、網絡等資源的使用狀況，服務水平降低到預定的最小值應可進行報警并采取措施；重要主機的遠程訪問限定訪問源頭；主機配置磁盤配額，對主機用戶進行資源限定。遼寧省 XXXX 信息安全等級保護建設方案 14系統(tǒng)備份制定系統(tǒng)備份計劃，實現(xiàn)定期對操作系統(tǒng)及運行于操作系統(tǒng)之上的業(yè)務應用系統(tǒng)、數(shù)據庫系統(tǒng)程序進行備份；定期或在操作系統(tǒng)環(huán)境、數(shù)據庫、應用系統(tǒng)發(fā)生變更時進行備份恢復測試。數(shù)據庫安全可參考數(shù)據庫加固手冊實現(xiàn)；桌面管理企業(yè)級用戶的員工每天在使用個人 PC、筆記本電腦等終端設備進行辦公。由于終端設備有流動性大、位置分散、數(shù)量眾多、難于管理等特點，除了需要安裝防病毒軟件進行計算機病毒防護外，還需要進行終端級的防火墻控制、入侵檢測、補丁管理，以更好地保障桌面終端的安全。有效地保障個人辦公桌面終端的安全，也在很大程度上也降低了整個企業(yè)信息系統(tǒng)所面臨的安全風險。遼寧省 XXXX 桌面終端分為內網桌面終端與外網桌面終端，內網桌面終端用于信息內網的業(yè)務操作及信息處理，外網桌面終端用于外網信息訪問。保障桌面終端安全方面，通過終端管理和防病毒部署基于主機的安全措施，從以下幾個方面進行相關安全防護：桌面終端病毒防護惡意代碼防護補丁管理桌面終端安全管理. 應用系統(tǒng)防護應用系統(tǒng)安全 應用系統(tǒng)應進行安全加固參照廠商提供的安全加固列表，對通用應用系統(tǒng)進行加固，如Oracle、Notes 、Apache 等 應用系統(tǒng)鏈路應部署入侵防御設備 Web 應用安全防護遼寧省 XXXX 信息安全等級保護建設方案 15通過部署 web 防護設備，加強 Web 應用安全防護。. 身份認證機制、用戶權限及訪問控制在內網服務器區(qū)部署安全訪問控制網關 SAG，SAG 能夠在核實運維人員真實身份的基礎上，控制其可以訪問的目標資源，以及可以使用的應用，防范越權訪問，并能夠有效地對運維人員操作服務器、網絡設備、安全設備、應用系統(tǒng)等資源的行為進行記錄和審計，從而實現(xiàn)對運維人員維護操作的“事先授權、事中監(jiān)控、事后審計” ，極大地提高了運維管理的安全性。. 設備詳細部署在外網網絡邊界部署一套防火墻系統(tǒng)，實現(xiàn)網絡邊界的安全防護，拓撲如下圖所示：遼寧省 XXXX 信息安全等級保護建設方案 16遼寧省 XXXX 邊界安全防護防火墻部署示意設備選型建議： （IPS ）安氏領信入侵防御系統(tǒng)（Linktrust IPS）是安氏領信針對目前流行的蠕蟲、病毒、間諜軟件、垃圾郵件、DDoS 等黑客攻擊，以及網絡資源濫用（P2P 下載、IM 即時通訊、網游等）等推出的全新安全防護方案，其具有先進的體系架構并繼承了安氏領信入侵防御系統(tǒng)先進的入侵防御技術，以全面深入的協(xié)議分析技術為基礎，結合協(xié)議異常檢測、協(xié)議異常檢測、關聯(lián)分析形成的新一代檢測引擎，實時攔截數(shù)據流量中各種類型的惡意攻擊流量，把攻擊防御在企業(yè)網絡之外，保護企業(yè)的信息資產，IPS 在 XXXX 網絡部署如下圖所示：領信入侵防御系統(tǒng)的主要功能可以總結為幾個方面：? 阻止來自外部或內部的蠕蟲、病毒和黑客等的威脅，確保企業(yè)信息資產的安全。 遼寧省 XXXX 信息安全等級保護建設方案 17? 阻止間諜軟件的威脅，保護企業(yè)機密。 ? 阻止企業(yè)員工因為各種 IM 即時通訊軟件、網絡在線游戲、 P2P 下載、在線視頻導致的企業(yè)網絡資源濫用而影響正常工作，凈化流量，為網絡加速。 ? 阻止 P2P 應用可能導致的企業(yè)重要機密信息泄漏和可能引發(fā)的與版權相關的法律問題。 ? 實時保障企業(yè)網絡系統(tǒng) 7x24 不間斷運行，提高企業(yè)整體的網絡安全水平。 ? 智能、自動化的安全防御，降低企業(yè)整體的安全費用以及對于網絡安全領域人才的需求。 高效、全面的流量分析、事件統(tǒng)計，能迅速定位網絡故障，提高網絡穩(wěn)定運行時間。選型建議： 通過部署入侵防御系統(tǒng)，實現(xiàn)對外網各重要區(qū)域的入侵防范詳細部署說明名稱 編號 部署位置 功能及說明外網系統(tǒng)域 ? 監(jiān)聽安全域內的網絡連接，阻斷攻擊行為? 發(fā)現(xiàn)病毒蠕蟲等事件入侵防御 IPS_01外網桌面域 ? 監(jiān)聽安全域內的網絡連接，阻斷攻擊行為? 發(fā)現(xiàn)病毒蠕蟲等事件 盾部署時至今日，Web 網站在某種意義上已經代表了一個組織的公開存在，成為政府、企業(yè)以及教育等各類組織最重要的信息發(fā)布交流媒體；Web 技術改變了信息傳遞、交換的方式；使社會變得更加平等高效。于此同時，Web 安全問題也就成為了信息安全領域的核心焦點，各種相關的攻擊和蠕蟲木馬行為層出不窮，Web 網站已經是駭客最關注的攻擊目標。各類 Web 攻擊飛速增長，極大地困擾著用戶，給組織的信息網絡和核心業(yè)務造成嚴重的威脅。能否及時發(fā)現(xiàn)并成功阻止網絡黑客的入侵和攻擊、保證Web 網站的安全和正常運行成為政府、企業(yè)等各類組織所面臨的重要問題。 遼寧省 XXXX 信息安全等級保護建設方案 18Web 攻擊涉及到網絡通信、系統(tǒng)應用層及數(shù)據文件等多個層面，從硬件設備到系統(tǒng)服務等多方面的問題，單一的安全技術很難完善的解決防護問題。傳統(tǒng)防火墻、IPS 等設備對于操作系統(tǒng)、Web 服務軟件的弱點漏洞，蠕蟲、拒絕服務等攻擊行為具有相應的防御能力，但是對于面向 Web 應用程序的威脅缺乏有效的防護；而 Web 應用防火墻雖然可以有效防范如 SQL 注入、跨站腳本、CSRF、文件路徑猜測、系統(tǒng)代碼執(zhí)行、會話劫持等等針對頁面程序的攻擊，但面對操作系統(tǒng)漏洞利用卻無計可施。安氏領信由此推出了新一代產品——領信 Web 盾，為網站安全解決方案帶來了嶄新的面貌，在 XXXX 外網部署如下圖所示：遼寧省 XXXX 信息安全等級保護建設方案 19領信 Web 盾作為安氏領信公司自主研發(fā)的創(chuàng)新安全產品，主要防護對象是向面向互聯(lián)網提供信息服務的 Web 網站，提供平臺安全、數(shù)據安全、通信安全、應用安全、運行安全的全方位的保障。相對于 IPS 設備，Web 盾對 Web 應用有杰出的防護效果；相對于 Web 應用防火墻， Web 盾能夠對系統(tǒng)服務漏洞做有效保護。領信 Web 盾是一款全新的 Web 網站防護產品。遼寧省 XXXX 信息安全等級保護建設方案 20選型建議： 通過部署領信 web 盾，實現(xiàn)外網服務系統(tǒng)域內 web 服務器的安全防護。詳細部署說明名稱 編號 部署位置 功能及說明領信 web 盾 Web 盾 _01 外網系統(tǒng)域? 虛擬用戶監(jiān)測頁面篡改? 狀態(tài)防火墻雙向訪問控制? Syn 代理防護機制? 拒絕服務攻擊? 流量學習功能安氏科技自主研發(fā)的安全訪問網關（Security Access Gateway，以下簡稱SAG） ，可以幫助用戶解決日常安全運維工作中面臨的認證授權、訪問控制、操作審計方面的問題，部署如下圖所示：遼寧省 XXXX 信息安全等級保護建設方案 21SAG 主要功能如下：用戶管理SAG 可對維護人員實現(xiàn)基于角色管理，所有維護人員均實現(xiàn)唯一身份登錄，支持用戶普通認證和 radius 認證，管理人員只需通過 SAG 即可實現(xiàn)對所有維護人員賬號權限、生命周期、用戶分組、允許登錄 IP 范圍的管理。通過 SAG，解決了多人共同使用同一系統(tǒng)賬號所帶來的用戶身份唯一性無法確定的問題。大大簡化了賬號管理復雜度。訪問控制訪問控制是保證企業(yè)運維管理安全的重要手段，SAG 提供兩種策略控制：基于資源和基于操作的策略控制，保證對訪問請求、訪問過程進行安全控制管理。SAG 支持基于網關用戶、目標服務器、訪問時間段、維護客戶端 IP 等組合的授權功能，并可以設置命令集的黑白名單規(guī)則表，實現(xiàn)細粒度的訪問控制功能。? 維護管理統(tǒng)一入口 SAG 采用堡壘機的技術，避免維護人員直接訪問目標資源。SAG 支持字符、圖形、WEB 等常用的設備維護方式。管理員在一點上即可對本系統(tǒng)中的維護操作進行統(tǒng)一管理，包括身份認證和授權、訪問控制和操作審計。? 單點登錄資源盡享SAG 賦予維護人員唯一的登錄系統(tǒng)的帳號和密碼，從而使得操作者身份變得唯一。維護人員通過 SAG 的資源樹和單點登錄功能直接訪問目標資源，不需要知道目標資源的帳號密碼，進而使得密碼管理變得安全可靠。? 分工明確權限清晰管理員可以通過 SAG 為維護人員設置訪問控制規(guī)則，規(guī)定哪些維護人員可以登陸哪些設備進行哪些操作，定義維護人員“可以做什么”或者“不能做什么” ，通過對維護人員和目標資源的嚴格控制與有效管理，確保他們在其合法權限內進行維護操作。選型建議：遼寧省 XXXX 信息安全等級保護建設方案 22通過部署 SAG，實現(xiàn)內網服務器區(qū)安全運維工作中面臨的認證授權、訪問控制、操作審計詳細部署說明名稱 編號 部署位置 功能及說明領信訪問控制網關 SAG SAG_01內網系統(tǒng)域 ? 用戶管理? 訪問控制（SOC ）安全管理中心（SOC：Security Operation Center）是協(xié)助用戶實現(xiàn)安全策略管理、安全組織管理、安全運作管理和安全技術框架的中心樞紐。安全管理中心是一種安全管理的形式，他的職能分成管理層面的職能和技術層面的職能，他的存在有效地將企業(yè)的策略管理、安全組織管理、安全運