【正文】 有效的防范。由于現(xiàn)有網(wǎng)絡(luò)中有一臺SAM認證計費系統(tǒng)，所以也可采用與SAM聯(lián)動的方式SAM+Supplicant方案。8. 現(xiàn)有設(shè)備未配置按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對受控系統(tǒng)進行資源訪問。應(yīng)在交換機上添加相應(yīng)配置，如采用ACL進行控制，控制粒度應(yīng)為單個用戶。9. 設(shè)備未限制具有撥號訪問權(quán)限的用戶數(shù)量，應(yīng)根據(jù)用戶群體及數(shù)量在出口區(qū)域進行相應(yīng)的限制。10. 現(xiàn)有設(shè)備無法全面有效的記錄事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息，上述第4條中增添的行為管理設(shè)備可對此完美支持。11. 行為管理設(shè)備應(yīng)采用雙電源設(shè)計，分開兩路電源對其供電，配置高復(fù)雜度密碼并定期進行修改和檢查，與日志系統(tǒng)聯(lián)動，實時轉(zhuǎn)存日志信息，實現(xiàn)對審計記錄進行保護，避免受到未預(yù)期的刪除、修改或覆蓋。12. 現(xiàn)有設(shè)備無法有效的對非授權(quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進行檢查、準確定出位置并對其進行有效阻斷，應(yīng)增添專業(yè)的入侵檢測設(shè)備對現(xiàn)有網(wǎng)絡(luò)進行完善。13. 現(xiàn)有設(shè)備無法全面有效的對內(nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進行檢查、準確定出位置并對其進行有效阻斷。上述第4條中增添的行為管理設(shè)備可對此完美支持。14. 現(xiàn)有設(shè)備無法全面有效監(jiān)視網(wǎng)絡(luò)邊界處收到的端口掃描、強力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等，上述第12條中增添的入侵檢測設(shè)備可對此完美支持。15. 現(xiàn)有設(shè)備無法全面有效的在檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，并無法全面有效的在發(fā)生嚴重入侵事件時提供惡意代碼和防范措施，上述第12條中增添的入侵檢測設(shè)備可對此完美支持。16. 現(xiàn)有設(shè)備無法全面有效的在在網(wǎng)絡(luò)邊界處對惡意代碼進行檢測和清除，上述第12條中增添的入侵檢測設(shè)備可對此完美支持。17. 安全類設(shè)備應(yīng)定期維護惡意代碼庫的升級和檢測系統(tǒng)的更新，以免識別不到最新的惡意代碼和攻擊方式。18. 現(xiàn)有設(shè)備未對網(wǎng)絡(luò)設(shè)備的管理員地址進行限制，應(yīng)在所有設(shè)備上采用ACL等技應(yīng)對網(wǎng)絡(luò)設(shè)備的管理員登錄地址進行限制，只允許管理員所在地址段的指定地址登錄設(shè)備并進行管理；19. 主要網(wǎng)絡(luò)設(shè)備應(yīng)對同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進行身份鑒別，建議采用用戶名+密碼+驗證碼等方式對設(shè)備進行登錄和管理。20. 設(shè)備的身份鑒別信息應(yīng)具有不易被冒用的特點，口令應(yīng)有復(fù)雜度要求并定期更換；21. 現(xiàn)有設(shè)備未配置對登錄失敗處理功能，如采取結(jié)束會話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時自動退出等措施，應(yīng)完善相應(yīng)配置。22. 現(xiàn)有大部分設(shè)備的遠程管理方式均采用Telnet和HTTP方式進行登錄管理，無法防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽，因此，所有網(wǎng)絡(luò)設(shè)備都應(yīng)采用SSH和HTTPS的方式對設(shè)備進行登錄和管理。23. 當(dāng)前設(shè)備未配置對管理員的權(quán)限劃分，當(dāng)存在多個不同等級的管理員時，應(yīng)實現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離，需完善設(shè)備配置。24. 當(dāng)前在服務(wù)器區(qū)域的防護只部署了一臺WG，但是服務(wù)器區(qū)域內(nèi)的數(shù)據(jù)庫得不到有效的安全保障，應(yīng)從數(shù)據(jù)完整性和保密性進行防護，所以需要增添專業(yè)的數(shù)據(jù)庫審計設(shè)備對數(shù)據(jù)庫和網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)進行全面檢測和審計。設(shè)備部署方案上述整改措施中包含服務(wù)類與產(chǎn)品類兩種解決方式，其中產(chǎn)品類措施中包含3臺設(shè)備，分別是行為管理、入侵檢測和漏洞掃描。行為管理設(shè)備部署位置為了保證有效的檢測和感知用戶行為并阻斷非法數(shù)據(jù)，行為管理設(shè)備應(yīng)部署在核心交換機與出口網(wǎng)關(guān)中間，如下圖所示： 拓撲圖設(shè)備選型建議由于設(shè)備部署在整網(wǎng)的出口區(qū)域，除了滿足等保所要求的功能，對性能也有一定的要求，設(shè)備的交換能力和轉(zhuǎn)發(fā)能力必須滿足上聯(lián)兩條出口鏈路總帶寬的兩倍以上?？蓪?shù)據(jù)進行27層的全面檢查和分析，深度識別、管控和審計數(shù)百種IM聊天軟件、P2P下載軟件、炒股軟件、網(wǎng)絡(luò)游戲應(yīng)用、流媒體在線視頻應(yīng)用等常見應(yīng)用，并利用智能流控、智能阻斷、智能路由、智能DNS策略等技術(shù)提供強大的帶寬管理特性，配合創(chuàng)新的社交網(wǎng)絡(luò)行為精細化管理功能、清晰易管理日志等功能。建議采用：RGUAC入侵檢測設(shè)備部署位置為了有效檢測整網(wǎng)中傳輸?shù)臄?shù)據(jù)，入侵檢測設(shè)備應(yīng)部署在網(wǎng)絡(luò)核心層，如下圖所示，設(shè)備直接旁掛在核心交換機上，核心交換機通過端口鏡像將所有數(shù)據(jù)發(fā)送給入侵檢測進行檢測。拓撲圖設(shè)備選型建議設(shè)備應(yīng)滿足上述提到的所有功能，并且定期進行數(shù)據(jù)庫的更新，通過對網(wǎng)絡(luò)中深層攻擊行為進行準確的分析判斷，主動有效的保護網(wǎng)絡(luò)安全。配合實時更新的入侵攻擊特征庫，檢測防護的網(wǎng)絡(luò)攻擊行為應(yīng)達到3500種以上，包含DoS/DDoS、病毒、蠕蟲、僵尸網(wǎng)絡(luò)、木馬、可疑代碼、探測與掃描等各種網(wǎng)絡(luò)威脅。建議采用國產(chǎn)自主研發(fā)品牌。建議采用：RGIDP數(shù)據(jù)庫審計部署位置為了有效掃描整并審計網(wǎng)絡(luò)中所有數(shù)據(jù)庫、服務(wù)器等設(shè)備，數(shù)據(jù)庫審計應(yīng)部署在網(wǎng)絡(luò)核心層，如下圖所示，設(shè)備直接旁掛在核心交換機上，數(shù)據(jù)庫審計系統(tǒng)可通過核心交換機到達任意網(wǎng)絡(luò)區(qū)域。拓撲圖設(shè)備選型建議設(shè)備應(yīng)滿足上述要求的所有功能， 還應(yīng)以精確完整審計、定位到人為核心技術(shù)，并能夠?qū)?shù)據(jù)庫進行優(yōu)化的數(shù)據(jù)庫安全審計系統(tǒng)。通過對網(wǎng)絡(luò)中的數(shù)據(jù)庫操作的精準判斷，結(jié)合政策規(guī)定的自定義過濾，輸出準確、詳細的審計日志，達到who、when、where、what的4W精準審計。全面精準的審計，定位到人保證數(shù)據(jù)可讀、有效，數(shù)據(jù)庫優(yōu)化幫助解決數(shù)據(jù)庫根本問題，可為用戶構(gòu)建網(wǎng)絡(luò)數(shù)據(jù)全透明的安全網(wǎng)絡(luò)。建議采用：RGDBS流量控制部署位置原有的EG1000M部署在了互聯(lián)網(wǎng)有線出口的鏈路上，如果與無線出口合并很有可能會因為設(shè)備性能有限而導(dǎo)致在網(wǎng)絡(luò)中出現(xiàn)瓶頸，新增流控設(shè)備應(yīng)將無線和有線合并起來同時管控，所以應(yīng)該部署在核心交換機與兩臺出口網(wǎng)關(guān)之間，如下圖所示：拓撲圖設(shè)備選型建議設(shè)備應(yīng)滿足上述要求的所有功能，可識別超過1000種的網(wǎng)絡(luò)應(yīng)用協(xié)議，能對單IP進行應(yīng)用和流量控制。適用于不同的網(wǎng)絡(luò)規(guī)模，可靈活部署適合的網(wǎng)絡(luò)設(shè)備。建議采用：RGACE五、產(chǎn)品選型選型建議根據(jù)國家有關(guān)法律法規(guī)，并結(jié)合XX市XX學(xué)院通信網(wǎng)絡(luò)的實際要求。我們建議使用具有國內(nèi)自主知識產(chǎn)權(quán)的產(chǎn)品，并且要完全符合XX學(xué)院提出的產(chǎn)品資質(zhì)要求：所有產(chǎn)品是經(jīng)公安部、國家信息安全測評認證中心等國家權(quán)威測試通過，并獲得安全產(chǎn)品銷售許可證，是在國內(nèi)政府機關(guān)、銀行、部隊、醫(yī)療衛(wèi)生等系統(tǒng)采用較多，運行穩(wěn)定的國產(chǎn)防火墻、入侵防御系統(tǒng)、漏洞掃描和流量控制等安全產(chǎn)品，在功能、性能與管理性等方面能夠滿足XX市XX學(xué)院計算機網(wǎng)絡(luò)的需求。選型要求1. 在產(chǎn)品選型時，需要廠家可以提供個性化的安全產(chǎn)品。這樣才能保證系統(tǒng)的安全充分滿足客戶的現(xiàn)狀，才能有針對的為用戶的應(yīng)用和業(yè)務(wù)提供安全保證。國內(nèi)具有自主知識產(chǎn)權(quán)的安全產(chǎn)品可以隨時根據(jù)用戶的要求對產(chǎn)品進行相應(yīng)的改進，使產(chǎn)品更加適合用戶的實際需要，而不是一般的通用性產(chǎn)品。2. 采用可提供本地化服務(wù)的廠家的產(chǎn)品。可以提供本地化服務(wù)產(chǎn)品對用戶的安全至關(guān)重要，可以及時提供應(yīng)急安全響應(yīng)服務(wù)，如在病毒或黑客入侵事件發(fā)生的時候，可以在第一時間進行響應(yīng)，最大程度的保護用戶利益。3. 在選擇產(chǎn)品時需要保證符合相應(yīng)的國際、國內(nèi)標準，尤其是國內(nèi)相關(guān)的安全標準。如國內(nèi)的安全等級標準、漏洞標準，安全標準以及國際的CVE、ISO1333ISO1540ISO17799等標準。4. 產(chǎn)品在使用上應(yīng)具有友好的用戶界面，并且可以進行相應(yīng)的客戶化工作，使用戶在管理、使用、維護上盡量簡單、直觀。5. 所選擇的安全產(chǎn)品盡可能與現(xiàn)有設(shè)備為同一廠家產(chǎn)品，以便于日常維護、升級、設(shè)備聯(lián)動等。設(shè)備選型清單序號產(chǎn)品名稱產(chǎn)品型號主要參數(shù)數(shù)量單位備注1入侵檢測RGIDP1臺2行為管理RGUAC1臺3數(shù)據(jù)庫審計RGDBS1臺4流量控制RGACE1臺其它說明一套完整的三級等保建設(shè)通常應(yīng)包含以下幾項：l 物理安全l 網(wǎng)絡(luò)安全l 主機安全l 應(yīng)用安全l 數(shù)據(jù)安全l 安全管理制度l 安全管理機構(gòu)l 人員安全管理l 系統(tǒng)建設(shè)管理l 系統(tǒng)運維管理安全保障不是單個環(huán)節(jié)、單一層面上問題的解決，必須是全方位、多層次的從技術(shù)、管理等方面進行全面的安全設(shè)計和建設(shè)，本方案中僅設(shè)計了網(wǎng)絡(luò)安全部分的內(nèi)容，并不包含其它部分。六、公司介紹