【正文】 有效的防范。由于現(xiàn)有網(wǎng)絡(luò)中有一臺(tái)SAM認(rèn)證計(jì)費(fèi)系統(tǒng)，所以也可采用與SAM聯(lián)動(dòng)的方式SAM+Supplicant方案。8. 現(xiàn)有設(shè)備未配置按用戶和系統(tǒng)之間的允許訪問(wèn)規(guī)則，決定允許或拒絕用戶對(duì)受控系統(tǒng)進(jìn)行資源訪問(wèn)。應(yīng)在交換機(jī)上添加相應(yīng)配置，如采用ACL進(jìn)行控制，控制粒度應(yīng)為單個(gè)用戶。9. 設(shè)備未限制具有撥號(hào)訪問(wèn)權(quán)限的用戶數(shù)量，應(yīng)根據(jù)用戶群體及數(shù)量在出口區(qū)域進(jìn)行相應(yīng)的限制。10. 現(xiàn)有設(shè)備無(wú)法全面有效的記錄事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息，上述第4條中增添的行為管理設(shè)備可對(duì)此完美支持。11. 行為管理設(shè)備應(yīng)采用雙電源設(shè)計(jì)，分開(kāi)兩路電源對(duì)其供電，配置高復(fù)雜度密碼并定期進(jìn)行修改和檢查，與日志系統(tǒng)聯(lián)動(dòng)，實(shí)時(shí)轉(zhuǎn)存日志信息，實(shí)現(xiàn)對(duì)審計(jì)記錄進(jìn)行保護(hù)，避免受到未預(yù)期的刪除、修改或覆蓋。12. 現(xiàn)有設(shè)備無(wú)法有效的對(duì)非授權(quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查、準(zhǔn)確定出位置并對(duì)其進(jìn)行有效阻斷，應(yīng)增添專業(yè)的入侵檢測(cè)設(shè)備對(duì)現(xiàn)有網(wǎng)絡(luò)進(jìn)行完善。13. 現(xiàn)有設(shè)備無(wú)法全面有效的對(duì)內(nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查、準(zhǔn)確定出位置并對(duì)其進(jìn)行有效阻斷。上述第4條中增添的行為管理設(shè)備可對(duì)此完美支持。14. 現(xiàn)有設(shè)備無(wú)法全面有效監(jiān)視網(wǎng)絡(luò)邊界處收到的端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲(chóng)攻擊等，上述第12條中增添的入侵檢測(cè)設(shè)備可對(duì)此完美支持。15. 現(xiàn)有設(shè)備無(wú)法全面有效的在檢測(cè)到攻擊行為時(shí)，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時(shí)間，并無(wú)法全面有效的在發(fā)生嚴(yán)重入侵事件時(shí)提供惡意代碼和防范措施，上述第12條中增添的入侵檢測(cè)設(shè)備可對(duì)此完美支持。16. 現(xiàn)有設(shè)備無(wú)法全面有效的在在網(wǎng)絡(luò)邊界處對(duì)惡意代碼進(jìn)行檢測(cè)和清除，上述第12條中增添的入侵檢測(cè)設(shè)備可對(duì)此完美支持。17. 安全類設(shè)備應(yīng)定期維護(hù)惡意代碼庫(kù)的升級(jí)和檢測(cè)系統(tǒng)的更新，以免識(shí)別不到最新的惡意代碼和攻擊方式。18. 現(xiàn)有設(shè)備未對(duì)網(wǎng)絡(luò)設(shè)備的管理員地址進(jìn)行限制，應(yīng)在所有設(shè)備上采用ACL等技應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制，只允許管理員所在地址段的指定地址登錄設(shè)備并進(jìn)行管理；19. 主要網(wǎng)絡(luò)設(shè)備應(yīng)對(duì)同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來(lái)進(jìn)行身份鑒別，建議采用用戶名+密碼+驗(yàn)證碼等方式對(duì)設(shè)備進(jìn)行登錄和管理。20. 設(shè)備的身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換；21. 現(xiàn)有設(shè)備未配置對(duì)登錄失敗處理功能，如采取結(jié)束會(huì)話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動(dòng)退出等措施，應(yīng)完善相應(yīng)配置。22. 現(xiàn)有大部分設(shè)備的遠(yuǎn)程管理方式均采用Telnet和HTTP方式進(jìn)行登錄管理，無(wú)法防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng)，因此，所有網(wǎng)絡(luò)設(shè)備都應(yīng)采用SSH和HTTPS的方式對(duì)設(shè)備進(jìn)行登錄和管理。23. 當(dāng)前設(shè)備未配置對(duì)管理員的權(quán)限劃分，當(dāng)存在多個(gè)不同等級(jí)的管理員時(shí)，應(yīng)實(shí)現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離，需完善設(shè)備配置。24. 當(dāng)前在服務(wù)器區(qū)域的防護(hù)只部署了一臺(tái)WG，但是服務(wù)器區(qū)域內(nèi)的數(shù)據(jù)庫(kù)得不到有效的安全保障，應(yīng)從數(shù)據(jù)完整性和保密性進(jìn)行防護(hù)，所以需要增添專業(yè)的數(shù)據(jù)庫(kù)審計(jì)設(shè)備對(duì)數(shù)據(jù)庫(kù)和網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)進(jìn)行全面檢測(cè)和審計(jì)。設(shè)備部署方案上述整改措施中包含服務(wù)類與產(chǎn)品類兩種解決方式，其中產(chǎn)品類措施中包含3臺(tái)設(shè)備，分別是行為管理、入侵檢測(cè)和漏洞掃描。行為管理設(shè)備部署位置為了保證有效的檢測(cè)和感知用戶行為并阻斷非法數(shù)據(jù)，行為管理設(shè)備應(yīng)部署在核心交換機(jī)與出口網(wǎng)關(guān)中間，如下圖所示： 拓?fù)鋱D設(shè)備選型建議由于設(shè)備部署在整網(wǎng)的出口區(qū)域，除了滿足等保所要求的功能，對(duì)性能也有一定的要求，設(shè)備的交換能力和轉(zhuǎn)發(fā)能力必須滿足上聯(lián)兩條出口鏈路總帶寬的兩倍以上?？蓪?duì)數(shù)據(jù)進(jìn)行27層的全面檢查和分析，深度識(shí)別、管控和審計(jì)數(shù)百種IM聊天軟件、P2P下載軟件、炒股軟件、網(wǎng)絡(luò)游戲應(yīng)用、流媒體在線視頻應(yīng)用等常見(jiàn)應(yīng)用，并利用智能流控、智能阻斷、智能路由、智能DNS策略等技術(shù)提供強(qiáng)大的帶寬管理特性，配合創(chuàng)新的社交網(wǎng)絡(luò)行為精細(xì)化管理功能、清晰易管理日志等功能。建議采用：RGUAC入侵檢測(cè)設(shè)備部署位置為了有效檢測(cè)整網(wǎng)中傳輸?shù)臄?shù)據(jù)，入侵檢測(cè)設(shè)備應(yīng)部署在網(wǎng)絡(luò)核心層，如下圖所示，設(shè)備直接旁掛在核心交換機(jī)上，核心交換機(jī)通過(guò)端口鏡像將所有數(shù)據(jù)發(fā)送給入侵檢測(cè)進(jìn)行檢測(cè)。拓?fù)鋱D設(shè)備選型建議設(shè)備應(yīng)滿足上述提到的所有功能，并且定期進(jìn)行數(shù)據(jù)庫(kù)的更新，通過(guò)對(duì)網(wǎng)絡(luò)中深層攻擊行為進(jìn)行準(zhǔn)確的分析判斷，主動(dòng)有效的保護(hù)網(wǎng)絡(luò)安全。配合實(shí)時(shí)更新的入侵攻擊特征庫(kù)，檢測(cè)防護(hù)的網(wǎng)絡(luò)攻擊行為應(yīng)達(dá)到3500種以上，包含DoS/DDoS、病毒、蠕蟲(chóng)、僵尸網(wǎng)絡(luò)、木馬、可疑代碼、探測(cè)與掃描等各種網(wǎng)絡(luò)威脅。建議采用國(guó)產(chǎn)自主研發(fā)品牌。建議采用：RGIDP數(shù)據(jù)庫(kù)審計(jì)部署位置為了有效掃描整并審計(jì)網(wǎng)絡(luò)中所有數(shù)據(jù)庫(kù)、服務(wù)器等設(shè)備，數(shù)據(jù)庫(kù)審計(jì)應(yīng)部署在網(wǎng)絡(luò)核心層，如下圖所示，設(shè)備直接旁掛在核心交換機(jī)上，數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)可通過(guò)核心交換機(jī)到達(dá)任意網(wǎng)絡(luò)區(qū)域。拓?fù)鋱D設(shè)備選型建議設(shè)備應(yīng)滿足上述要求的所有功能， 還應(yīng)以精確完整審計(jì)、定位到人為核心技術(shù)，并能夠?qū)?shù)據(jù)庫(kù)進(jìn)行優(yōu)化的數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)。通過(guò)對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)庫(kù)操作的精準(zhǔn)判斷，結(jié)合政策規(guī)定的自定義過(guò)濾，輸出準(zhǔn)確、詳細(xì)的審計(jì)日志，達(dá)到who、when、where、what的4W精準(zhǔn)審計(jì)。全面精準(zhǔn)的審計(jì)，定位到人保證數(shù)據(jù)可讀、有效，數(shù)據(jù)庫(kù)優(yōu)化幫助解決數(shù)據(jù)庫(kù)根本問(wèn)題，可為用戶構(gòu)建網(wǎng)絡(luò)數(shù)據(jù)全透明的安全網(wǎng)絡(luò)。建議采用：RGDBS流量控制部署位置原有的EG1000M部署在了互聯(lián)網(wǎng)有線出口的鏈路上，如果與無(wú)線出口合并很有可能會(huì)因?yàn)樵O(shè)備性能有限而導(dǎo)致在網(wǎng)絡(luò)中出現(xiàn)瓶頸，新增流控設(shè)備應(yīng)將無(wú)線和有線合并起來(lái)同時(shí)管控，所以應(yīng)該部署在核心交換機(jī)與兩臺(tái)出口網(wǎng)關(guān)之間，如下圖所示：拓?fù)鋱D設(shè)備選型建議設(shè)備應(yīng)滿足上述要求的所有功能，可識(shí)別超過(guò)1000種的網(wǎng)絡(luò)應(yīng)用協(xié)議，能對(duì)單IP進(jìn)行應(yīng)用和流量控制。適用于不同的網(wǎng)絡(luò)規(guī)模，可靈活部署適合的網(wǎng)絡(luò)設(shè)備。建議采用：RGACE五、產(chǎn)品選型選型建議根據(jù)國(guó)家有關(guān)法律法規(guī)，并結(jié)合XX市XX學(xué)院通信網(wǎng)絡(luò)的實(shí)際要求。我們建議使用具有國(guó)內(nèi)自主知識(shí)產(chǎn)權(quán)的產(chǎn)品，并且要完全符合XX學(xué)院提出的產(chǎn)品資質(zhì)要求：所有產(chǎn)品是經(jīng)公安部、國(guó)家信息安全測(cè)評(píng)認(rèn)證中心等國(guó)家權(quán)威測(cè)試通過(guò)，并獲得安全產(chǎn)品銷售許可證，是在國(guó)內(nèi)政府機(jī)關(guān)、銀行、部隊(duì)、醫(yī)療衛(wèi)生等系統(tǒng)采用較多，運(yùn)行穩(wěn)定的國(guó)產(chǎn)防火墻、入侵防御系統(tǒng)、漏洞掃描和流量控制等安全產(chǎn)品，在功能、性能與管理性等方面能夠滿足XX市XX學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)的需求。選型要求1. 在產(chǎn)品選型時(shí)，需要廠家可以提供個(gè)性化的安全產(chǎn)品。這樣才能保證系統(tǒng)的安全充分滿足客戶的現(xiàn)狀，才能有針對(duì)的為用戶的應(yīng)用和業(yè)務(wù)提供安全保證。國(guó)內(nèi)具有自主知識(shí)產(chǎn)權(quán)的安全產(chǎn)品可以隨時(shí)根據(jù)用戶的要求對(duì)產(chǎn)品進(jìn)行相應(yīng)的改進(jìn)，使產(chǎn)品更加適合用戶的實(shí)際需要，而不是一般的通用性產(chǎn)品。2. 采用可提供本地化服務(wù)的廠家的產(chǎn)品?？梢蕴峁┍镜鼗?wù)產(chǎn)品對(duì)用戶的安全至關(guān)重要，可以及時(shí)提供應(yīng)急安全響應(yīng)服務(wù)，如在病毒或黑客入侵事件發(fā)生的時(shí)候，可以在第一時(shí)間進(jìn)行響應(yīng)，最大程度的保護(hù)用戶利益。3. 在選擇產(chǎn)品時(shí)需要保證符合相應(yīng)的國(guó)際、國(guó)內(nèi)標(biāo)準(zhǔn)，尤其是國(guó)內(nèi)相關(guān)的安全標(biāo)準(zhǔn)。如國(guó)內(nèi)的安全等級(jí)標(biāo)準(zhǔn)、漏洞標(biāo)準(zhǔn)，安全標(biāo)準(zhǔn)以及國(guó)際的CVE、ISO1333ISO1540ISO17799等標(biāo)準(zhǔn)。4. 產(chǎn)品在使用上應(yīng)具有友好的用戶界面，并且可以進(jìn)行相應(yīng)的客戶化工作，使用戶在管理、使用、維護(hù)上盡量簡(jiǎn)單、直觀。5. 所選擇的安全產(chǎn)品盡可能與現(xiàn)有設(shè)備為同一廠家產(chǎn)品，以便于日常維護(hù)、升級(jí)、設(shè)備聯(lián)動(dòng)等。設(shè)備選型清單序號(hào)產(chǎn)品名稱產(chǎn)品型號(hào)主要參數(shù)數(shù)量單位備注1入侵檢測(cè)RGIDP1臺(tái)2行為管理RGUAC1臺(tái)3數(shù)據(jù)庫(kù)審計(jì)RGDBS1臺(tái)4流量控制RGACE1臺(tái)其它說(shuō)明一套完整的三級(jí)等保建設(shè)通常應(yīng)包含以下幾項(xiàng)：l 物理安全l 網(wǎng)絡(luò)安全l 主機(jī)安全l 應(yīng)用安全l 數(shù)據(jù)安全l 安全管理制度l 安全管理機(jī)構(gòu)l 人員安全管理l 系統(tǒng)建設(shè)管理l 系統(tǒng)運(yùn)維管理安全保障不是單個(gè)環(huán)節(jié)、單一層面上問(wèn)題的解決，必須是全方位、多層次的從技術(shù)、管理等方面進(jìn)行全面的安全設(shè)計(jì)和建設(shè)，本方案中僅設(shè)計(jì)了網(wǎng)絡(luò)安全部分的內(nèi)容，并不包含其它部分。六、公司介紹