【正文】 有效的防范。由于現有網絡中有一臺SAM認證計費系統(tǒng)，所以也可采用與SAM聯動的方式SAM+Supplicant方案。8. 現有設備未配置按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對受控系統(tǒng)進行資源訪問。應在交換機上添加相應配置，如采用ACL進行控制，控制粒度應為單個用戶。9. 設備未限制具有撥號訪問權限的用戶數量，應根據用戶群體及數量在出口區(qū)域進行相應的限制。10. 現有設備無法全面有效的記錄事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息，上述第4條中增添的行為管理設備可對此完美支持。11. 行為管理設備應采用雙電源設計，分開兩路電源對其供電，配置高復雜度密碼并定期進行修改和檢查，與日志系統(tǒng)聯動，實時轉存日志信息，實現對審計記錄進行保護，避免受到未預期的刪除、修改或覆蓋。12. 現有設備無法有效的對非授權設備私自聯到內部網絡的行為進行檢查、準確定出位置并對其進行有效阻斷，應增添專業(yè)的入侵檢測設備對現有網絡進行完善。13. 現有設備無法全面有效的對內部網絡用戶私自聯到外部網絡的行為進行檢查、準確定出位置并對其進行有效阻斷。上述第4條中增添的行為管理設備可對此完美支持。14. 現有設備無法全面有效監(jiān)視網絡邊界處收到的端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網絡蠕蟲攻擊等，上述第12條中增添的入侵檢測設備可對此完美支持。15. 現有設備無法全面有效的在檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，并無法全面有效的在發(fā)生嚴重入侵事件時提供惡意代碼和防范措施，上述第12條中增添的入侵檢測設備可對此完美支持。16. 現有設備無法全面有效的在在網絡邊界處對惡意代碼進行檢測和清除，上述第12條中增添的入侵檢測設備可對此完美支持。17. 安全類設備應定期維護惡意代碼庫的升級和檢測系統(tǒng)的更新，以免識別不到最新的惡意代碼和攻擊方式。18. 現有設備未對網絡設備的管理員地址進行限制，應在所有設備上采用ACL等技應對網絡設備的管理員登錄地址進行限制，只允許管理員所在地址段的指定地址登錄設備并進行管理；19. 主要網絡設備應對同一用戶選擇兩種或兩種以上組合的鑒別技術來進行身份鑒別，建議采用用戶名+密碼+驗證碼等方式對設備進行登錄和管理。20. 設備的身份鑒別信息應具有不易被冒用的特點，口令應有復雜度要求并定期更換；21. 現有設備未配置對登錄失敗處理功能，如采取結束會話、限制非法登錄次數和當網絡登錄連接超時自動退出等措施，應完善相應配置。22. 現有大部分設備的遠程管理方式均采用Telnet和HTTP方式進行登錄管理，無法防止鑒別信息在網絡傳輸過程中被竊聽，因此，所有網絡設備都應采用SSH和HTTPS的方式對設備進行登錄和管理。23. 當前設備未配置對管理員的權限劃分，當存在多個不同等級的管理員時，應實現設備特權用戶的權限分離，需完善設備配置。24. 當前在服務器區(qū)域的防護只部署了一臺WG，但是服務器區(qū)域內的數據庫得不到有效的安全保障，應從數據完整性和保密性進行防護，所以需要增添專業(yè)的數據庫審計設備對數據庫和網絡中傳輸的數據進行全面檢測和審計。設備部署方案上述整改措施中包含服務類與產品類兩種解決方式，其中產品類措施中包含3臺設備，分別是行為管理、入侵檢測和漏洞掃描。行為管理設備部署位置為了保證有效的檢測和感知用戶行為并阻斷非法數據，行為管理設備應部署在核心交換機與出口網關中間，如下圖所示： 拓撲圖設備選型建議由于設備部署在整網的出口區(qū)域，除了滿足等保所要求的功能，對性能也有一定的要求，設備的交換能力和轉發(fā)能力必須滿足上聯兩條出口鏈路總帶寬的兩倍以上。可對數據進行27層的全面檢查和分析，深度識別、管控和審計數百種IM聊天軟件、P2P下載軟件、炒股軟件、網絡游戲應用、流媒體在線視頻應用等常見應用，并利用智能流控、智能阻斷、智能路由、智能DNS策略等技術提供強大的帶寬管理特性，配合創(chuàng)新的社交網絡行為精細化管理功能、清晰易管理日志等功能。建議采用：RGUAC入侵檢測設備部署位置為了有效檢測整網中傳輸的數據，入侵檢測設備應部署在網絡核心層，如下圖所示，設備直接旁掛在核心交換機上，核心交換機通過端口鏡像將所有數據發(fā)送給入侵檢測進行檢測。拓撲圖設備選型建議設備應滿足上述提到的所有功能，并且定期進行數據庫的更新，通過對網絡中深層攻擊行為進行準確的分析判斷，主動有效的保護網絡安全。配合實時更新的入侵攻擊特征庫，檢測防護的網絡攻擊行為應達到3500種以上，包含DoS/DDoS、病毒、蠕蟲、僵尸網絡、木馬、可疑代碼、探測與掃描等各種網絡威脅。建議采用國產自主研發(fā)品牌。建議采用：RGIDP數據庫審計部署位置為了有效掃描整并審計網絡中所有數據庫、服務器等設備，數據庫審計應部署在網絡核心層，如下圖所示，設備直接旁掛在核心交換機上，數據庫審計系統(tǒng)可通過核心交換機到達任意網絡區(qū)域。拓撲圖設備選型建議設備應滿足上述要求的所有功能， 還應以精確完整審計、定位到人為核心技術，并能夠對數據庫進行優(yōu)化的數據庫安全審計系統(tǒng)。通過對網絡中的數據庫操作的精準判斷，結合政策規(guī)定的自定義過濾，輸出準確、詳細的審計日志，達到who、when、where、what的4W精準審計。全面精準的審計，定位到人保證數據可讀、有效，數據庫優(yōu)化幫助解決數據庫根本問題，可為用戶構建網絡數據全透明的安全網絡。建議采用：RGDBS流量控制部署位置原有的EG1000M部署在了互聯網有線出口的鏈路上，如果與無線出口合并很有可能會因為設備性能有限而導致在網絡中出現瓶頸，新增流控設備應將無線和有線合并起來同時管控，所以應該部署在核心交換機與兩臺出口網關之間，如下圖所示：拓撲圖設備選型建議設備應滿足上述要求的所有功能，可識別超過1000種的網絡應用協議，能對單IP進行應用和流量控制。適用于不同的網絡規(guī)模，可靈活部署適合的網絡設備。建議采用：RGACE五、產品選型選型建議根據國家有關法律法規(guī)，并結合XX市XX學院通信網絡的實際要求。我們建議使用具有國內自主知識產權的產品，并且要完全符合XX學院提出的產品資質要求：所有產品是經公安部、國家信息安全測評認證中心等國家權威測試通過，并獲得安全產品銷售許可證，是在國內政府機關、銀行、部隊、醫(yī)療衛(wèi)生等系統(tǒng)采用較多，運行穩(wěn)定的國產防火墻、入侵防御系統(tǒng)、漏洞掃描和流量控制等安全產品，在功能、性能與管理性等方面能夠滿足XX市XX學院計算機網絡的需求。選型要求1. 在產品選型時，需要廠家可以提供個性化的安全產品。這樣才能保證系統(tǒng)的安全充分滿足客戶的現狀，才能有針對的為用戶的應用和業(yè)務提供安全保證。國內具有自主知識產權的安全產品可以隨時根據用戶的要求對產品進行相應的改進，使產品更加適合用戶的實際需要，而不是一般的通用性產品。2. 采用可提供本地化服務的廠家的產品?？梢蕴峁┍镜鼗债a品對用戶的安全至關重要，可以及時提供應急安全響應服務，如在病毒或黑客入侵事件發(fā)生的時候，可以在第一時間進行響應，最大程度的保護用戶利益。3. 在選擇產品時需要保證符合相應的國際、國內標準，尤其是國內相關的安全標準。如國內的安全等級標準、漏洞標準，安全標準以及國際的CVE、ISO1333ISO1540ISO17799等標準。4. 產品在使用上應具有友好的用戶界面，并且可以進行相應的客戶化工作，使用戶在管理、使用、維護上盡量簡單、直觀。5. 所選擇的安全產品盡可能與現有設備為同一廠家產品，以便于日常維護、升級、設備聯動等。設備選型清單序號產品名稱產品型號主要參數數量單位備注1入侵檢測RGIDP1臺2行為管理RGUAC1臺3數據庫審計RGDBS1臺4流量控制RGACE1臺其它說明一套完整的三級等保建設通常應包含以下幾項：l 物理安全l 網絡安全l 主機安全l 應用安全l 數據安全l 安全管理制度l 安全管理機構l 人員安全管理l 系統(tǒng)建設管理l 系統(tǒng)運維管理安全保障不是單個環(huán)節(jié)、單一層面上問題的解決，必須是全方位、多層次的從技術、管理等方面進行全面的安全設計和建設，本方案中僅設計了網絡安全部分的內容，并不包含其它部分。六、公司介紹