【正文】 接數(shù)進行限制，同時對單個帳戶的多重并發(fā)會話進行限制，設(shè)定相關(guān)閾值，保證系統(tǒng)可用性。? 登陸條件限制：通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄。? 超時鎖定：根據(jù)安全策略設(shè)置登錄終端的操作超時鎖定。? 用戶可用資源閾值：限制單個用戶對系統(tǒng)資源的最大或最小使用限度，保障正常合理的資源占用。應用系統(tǒng)如具備上述功能則需要開啟使用，若不具備則需進行相應的功能開發(fā)，且使用效果要達到以上要求。等級保護（二級）方案模板 區(qū)域邊界安全設(shè)計 邊界訪問控制通過對 XX 網(wǎng)絡(luò)的邊界風險與需求分析，在網(wǎng)絡(luò)層進行訪問控制需部署防火墻產(chǎn)品，可以對所有流經(jīng)防火墻的數(shù)據(jù)包按照嚴格的安全規(guī)則進行過濾，將所有不安全的或不符合安全規(guī)則的數(shù)據(jù)包屏蔽，杜絕越權(quán)訪問，防止各類非法攻擊行為。同時可以和內(nèi)網(wǎng)安全管理系統(tǒng)、網(wǎng)絡(luò)入侵檢測系統(tǒng)等進行安全聯(lián)動，為網(wǎng)絡(luò)創(chuàng)造全面縱深的安全防御體系。在各安全域邊界部署 XX 產(chǎn)品，部署效果如下：……? 產(chǎn)品部署效果：1. 網(wǎng)絡(luò)安全的基礎(chǔ)屏障：防火墻能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風險。由于只有經(jīng)過精心選擇的應用協(xié)議才能通過防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。防火墻同時可以保護網(wǎng)絡(luò)免受基于路由的攻擊，如 IP 選項中的源路由攻擊和 ICMP 重定向中的重定向路徑。防火墻可以拒絕所有以上類型攻擊的報文并通知防火墻管理員。2. 強化網(wǎng)絡(luò)安全策略通過以防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認證、審計等）配置在防火墻上。與將網(wǎng)絡(luò)安全問題分散到各個主機上相比，防火墻的集中安全管理更經(jīng)濟。例如在網(wǎng)絡(luò)訪問時，一次一密口令系統(tǒng)和其它的身份認證系統(tǒng)完全可以不必分散在各個主機上，而集中在防火墻一身上。3. 對網(wǎng)絡(luò)存取和訪問進行監(jiān)控審計如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并作出等級保護（二級）方案模板 日志記錄，同時也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計數(shù)據(jù)。當發(fā)生可疑動作時，防火墻能進行適當?shù)膱缶⑻峁┚W(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細信息。另外，收集一個網(wǎng)絡(luò)的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊，并且清楚防火墻的控制是否充足。而網(wǎng)絡(luò)使用統(tǒng)計對網(wǎng)絡(luò)需求分析和威脅分析等而言也是非常重要的。4. 防止內(nèi)部信息的外泄通過利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分，可實現(xiàn)內(nèi)部網(wǎng)重點網(wǎng)段的隔離，從而限制了局部重點或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。再者，隱私是內(nèi)部網(wǎng)絡(luò)非常關(guān)心的問題，一個內(nèi)部網(wǎng)絡(luò)中不引人注意的細節(jié)可能包含了有關(guān)安全的線索而引起外部攻擊者的興趣，甚至因此而曝露了內(nèi)部網(wǎng)絡(luò)的某些安全漏洞。使用防火墻就可以隱蔽那些透漏內(nèi)部細節(jié)如 Finger，DNS 等服務(wù)。5. 精確流量管理通過部署防火墻設(shè)備，不僅可以實現(xiàn)精準訪問控制與邊界隔離防護，還能實現(xiàn)阻止由于病毒或者 P2P 軟件引起的異常流量、進行精確的流量控制等。對各級節(jié)點安全域?qū)崿F(xiàn)全面的邊界防護，嚴格控制節(jié)點之間的網(wǎng)絡(luò)數(shù)據(jù)流。 邊界完整性檢查邊界完整性檢查核心是要對內(nèi)部網(wǎng)絡(luò)中出現(xiàn)的內(nèi)部用戶未通過準許私自聯(lián)到外部網(wǎng)絡(luò)的行為進行檢查，維護網(wǎng)絡(luò)邊界完整性。通過部署終端安全管理系統(tǒng)可以實現(xiàn)這一目標。終端安全管理系統(tǒng)其中一個重要功能模塊就是非法外聯(lián)控制，探測內(nèi)部網(wǎng)中非法上互聯(lián)網(wǎng)的計算機。非法外聯(lián)監(jiān)控主要解決發(fā)現(xiàn)和管理用戶非法自行建立通路連接非授權(quán)網(wǎng)絡(luò)的行為。通過非法外聯(lián)監(jiān)控的管理，可以防止用戶訪問非信任網(wǎng)絡(luò)資源，并防止由于訪問非信任網(wǎng)絡(luò)資源而引入安全風險或者導致信息泄密。? 終端非法外聯(lián)行為監(jiān)控可以發(fā)現(xiàn)終端試圖訪問非授信網(wǎng)絡(luò)資源的行為，如試圖與沒有通過系統(tǒng)授權(quán)許可的終端進行通信，自行試圖通過撥號連接互聯(lián)網(wǎng)等行為。對于發(fā)現(xiàn)的非等級保護（二級）方案模板 法外聯(lián)行為，可以記錄日志并產(chǎn)生報警信息。? 終端非法外聯(lián)行為管理可以禁止終端與沒有通過系統(tǒng)授權(quán)許可的終端進行通信，禁止撥號上網(wǎng)行為。 邊界入侵防范在各區(qū)域邊界，防火墻起到了協(xié)議過濾的主要作用，根據(jù)安全策略在偏重在網(wǎng)絡(luò)層判斷數(shù)據(jù)包的合法流動。但面對越來越廣泛的基于應用層內(nèi)容的攻擊行為，防火墻并不擅長處理應用層數(shù)據(jù)。在網(wǎng)絡(luò)邊界和主要服務(wù)器區(qū)安全域均已經(jīng)設(shè)計部署了防火墻，對每個安全域進行嚴格的訪問控制。鑒于以上對防火墻核心作用的分析，需要其他具備檢測新型的混合攻擊和防護的能力的設(shè)備和防火墻配合，共同防御來自應用層到網(wǎng)絡(luò)層的多種攻擊類型，建立一整套的安全防護體系，進行多層次、多手段的檢測和防護。入侵防護系統(tǒng)（IPS）就是安全防護體系中重要的一環(huán)，它能夠及時識別網(wǎng)絡(luò)中發(fā)生的入侵行為并實時報警并且進行有效攔截防護。IPS 是繼“防火墻” 、 “信息加密”等傳統(tǒng)安全保護方法之后的新一代安全保障技術(shù)。它監(jiān)視計算機系統(tǒng)或網(wǎng)絡(luò)中發(fā)生的事件，并對它們進行分析，以尋找危及信息的機密性、完整性、可用性或試圖繞過安全機制的入侵行為并進行有效攔截。IPS 就是自動執(zhí)行這種監(jiān)視和分析過程，并且執(zhí)行阻斷的硬件產(chǎn)品。將 IPS 串接在防火墻后面，在防火墻進行訪問控制，保證了訪問的合法性之后，IPS 動態(tài)的進行入侵行為的保護，對訪問狀態(tài)進行檢測、對通信協(xié)議和應用協(xié)議進行檢測、對內(nèi)容進行深度的檢測。阻斷來自內(nèi)部的數(shù)據(jù)攻擊以及垃圾數(shù)據(jù)流的泛濫。由于 IPS 對訪問進行深度的檢測，因此，IPS 產(chǎn)品需要通過先進的硬件架構(gòu)、軟件架構(gòu)和處理引擎對處理能力進行充分保證。等級保護（二級）方案模板 邊界安全審計各安全區(qū)域邊界已經(jīng)部署了相應的安全設(shè)備負責進行區(qū)域邊界的安全。對于流經(jīng)各主要邊界（重要服務(wù)器區(qū)域、外部連接邊界）需要設(shè)置必要的審計機制，進行數(shù)據(jù)監(jiān)視并記錄各類操作，通過審計分析能夠發(fā)現(xiàn)跨區(qū)域的安全威脅，實時地綜合分析出網(wǎng)絡(luò)中發(fā)生的安全事件。一般可采取開啟邊界安全設(shè)備的審計功能模塊，根據(jù)審計策略進行數(shù)據(jù)的日志記錄與審計。同時審計信息要通過安全管理中心進行統(tǒng)一集中管理，為安全管理中心提供必要的邊界安全審計數(shù)據(jù)，利于管理中心進行全局管控。邊界安全審計和主機審計、應用審計、網(wǎng)絡(luò)審計等一起構(gòu)成完整的、多層次的審計系統(tǒng)。 通信網(wǎng)絡(luò)安全設(shè)計 網(wǎng)絡(luò)結(jié)構(gòu)安全網(wǎng)絡(luò)結(jié)構(gòu)的安全是網(wǎng)絡(luò)安全的前提和基礎(chǔ)，對于 XX 網(wǎng)絡(luò)，選用關(guān)鍵網(wǎng)絡(luò)設(shè)備時需要考慮業(yè)務(wù)處理能力的高峰數(shù)據(jù)流量，要考慮冗余空間滿足業(yè)務(wù)高峰期需要；帶寬要保證接入網(wǎng)絡(luò)和核心網(wǎng)絡(luò)滿足業(yè)務(wù)高峰期需要；繪制與當前運行情況相符的網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖；根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的網(wǎng)段或 VLAN。 網(wǎng)絡(luò)安全審計網(wǎng)絡(luò)安全審計系統(tǒng)主要用于監(jiān)視并記錄網(wǎng)絡(luò)中的各類操作，偵察系統(tǒng)中存在的現(xiàn)有和潛在的威脅，實時地綜合分析出網(wǎng)絡(luò)中發(fā)生的安全事件，包括各種外部事件和內(nèi)部事件。在 XX 網(wǎng)絡(luò)交換機處并接部署網(wǎng)絡(luò)行為監(jiān)控與審計系統(tǒng)，形成對全網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)的流量監(jiān)測并進行相應安全審計，同時和其它網(wǎng)絡(luò)安全設(shè)備共同為集中安全管理提供監(jiān)控數(shù)據(jù)用于分析及檢測。網(wǎng)絡(luò)行為監(jiān)控和審計系統(tǒng)將獨立的網(wǎng)絡(luò)傳感器硬件組件連接到網(wǎng)絡(luò)中的數(shù)據(jù)會聚點設(shè)備上，對網(wǎng)絡(luò)中的數(shù)據(jù)包進行分析、匹配、統(tǒng)計，通過特定的協(xié)議等級保護（二級）方案模板 算法，從而實現(xiàn)入侵檢測、信息還原等網(wǎng)絡(luò)審計功能。網(wǎng)絡(luò)行為監(jiān)控和審計系統(tǒng)采用旁路技術(shù)，不用在目標主機中安裝任何組件。同時網(wǎng)絡(luò)審計系統(tǒng)可以與其它網(wǎng)絡(luò)安全設(shè)備進行聯(lián)動，將各自的監(jiān)控記錄送往安全管理安全域中的安全管理服務(wù)器，集中對網(wǎng)絡(luò)異常、攻擊和病毒進行分析和檢測。 網(wǎng)絡(luò)設(shè)備防護為提高網(wǎng)絡(luò)設(shè)備的自身安全性，保障各種網(wǎng)絡(luò)應用的正常運行，對網(wǎng)絡(luò)設(shè)備需要進行一系列的加固措施，包括：? 對登錄網(wǎng)絡(luò)設(shè)備的用戶進行身份鑒別，用戶名必須唯一；? 對網(wǎng)絡(luò)設(shè)備的管理員登錄地址進行限制；? 身份鑒別信息具有不易被冒用的特點，口令設(shè)置需 3 種以上字符、長度不少于 8 位，并定期更換；? 具有登錄失敗處理功能，失敗后采取結(jié)束會話、限制非法登錄次數(shù)和當網(wǎng)絡(luò)登錄連接超時自動退出等措施；? 啟用 SSH 等管理方式，加密管理數(shù)據(jù)，防止被網(wǎng)絡(luò)竊聽。 通信完整性信息的完整性設(shè)計包括信息傳輸?shù)耐暾孕ｒ炓约靶畔⒋鎯Φ耐暾孕ｒ灐τ谛畔鬏敽痛鎯Φ耐暾孕ｒ灴梢圆捎玫募夹g(shù)包括校驗碼技術(shù)、消息鑒別碼、密碼校驗函數(shù)、散列函數(shù)、數(shù)字簽名等。對于信息傳輸?shù)耐暾孕ｒ瀾蓚鬏敿用芟到y(tǒng)完成。部署 VPN 系統(tǒng)保證遠程數(shù)據(jù)傳輸?shù)臄?shù)據(jù)完整性。對于信息存儲的完整性校驗應由應用系統(tǒng)和數(shù)據(jù)庫系統(tǒng)完成。等級保護（二級）方案模板 通信保密性應用層的通信保密性主要由應用系統(tǒng)完成。在通信雙方建立連接之前，應用系統(tǒng)應利用密碼技術(shù)進行會話初始化驗證；并對通信過程中的敏感信息字段進行加密。對于信息傳輸?shù)耐ㄐ疟Ｃ苄詰蓚鬏敿用芟到y(tǒng)完成。部署 VPN 系統(tǒng)保證遠程數(shù)據(jù)傳輸?shù)臄?shù)據(jù)機密性。 安全管理中心設(shè)計由于 XX 網(wǎng)絡(luò)覆蓋面廣，用戶眾多，技術(shù)人員水平不一。為了能準確了解系統(tǒng)的運行狀態(tài)、設(shè)備的運行情況，統(tǒng)一部署安全策略，應進行安全管理中心的設(shè)計，根據(jù)二級系統(tǒng)的要求，應在系統(tǒng)管理和審計管理兩個大方面進行建設(shè)。建立統(tǒng)一的系統(tǒng)管理系統(tǒng)和審計管理系統(tǒng)是有效幫助管理人員實施好安全措施的重要保障，是實現(xiàn)業(yè)務(wù)穩(wěn)定運行、長治久安的基礎(chǔ)。 系統(tǒng)管理通過系統(tǒng)管理員對系統(tǒng)的資源和運行進行配置、控制和管理，包括：? 用戶身份管理：統(tǒng)一管理系統(tǒng)用戶身份，按照業(yè)務(wù)上分工的不同，合理地把相關(guān)人員劃分為不同的類別或者組，以及不同的角色對模塊的訪問權(quán)限。權(quán)限設(shè)置可按角色劃分，角色分為普通用戶、系統(tǒng)管理員、安全管理員、審計管理員等。? 系統(tǒng)資源配置與監(jiān)控：進行系統(tǒng)資源配置管理與監(jiān)控，包括 CPU 負載、磁盤使用情況、服務(wù)器內(nèi)存、數(shù)據(jù)庫的空間、數(shù)據(jù)庫日志空間、SWAP使用情況等，通過配置采樣時間，定時檢測。? 系統(tǒng)加載和啟動：進行系統(tǒng)啟動初始化管理，保障系統(tǒng)的正常加載和啟等級保護（二級）方案模板 動。? 系統(tǒng)運行的異常監(jiān)控：系統(tǒng)資源和設(shè)備受到攻擊，或運行異常時，會以告警等信息方式，通知管理員。安全管理平臺可提供多種自動處理機制，協(xié)助用戶監(jiān)控最新告警，全方位掌控網(wǎng)絡(luò)異常和攻擊。? 數(shù)據(jù)備份與恢復：數(shù)據(jù)的定期備份與恢復管理，識別需要定期備份的重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)，規(guī)定備份信息的備份方式、備份頻度、存儲介質(zhì)、保存期等；根據(jù)數(shù)據(jù)的重要性及其對系統(tǒng)運行的影響，制定數(shù)據(jù)的備份策略和恢復策略，定期執(zhí)行備份與恢復策略。? 惡意代碼防范管理：建立惡意代碼管理中心，進行防惡意代碼軟件的統(tǒng)一管理，并根據(jù)情況建立二級管理中心。惡意代碼管理中心實現(xiàn)：殺毒策略統(tǒng)一集中配置；自動并強制進行惡意代碼庫升級；定制統(tǒng)一客戶端策略并強制執(zhí)行；進行集中病毒報警等。? 系統(tǒng)補丁管理：集中進行補丁管理，定期統(tǒng)一進行系統(tǒng)補丁安裝。注意應首先在測試環(huán)境中測試通過，并對重要文件進行備份后，方可實施系統(tǒng)補丁程序的安裝。? 系統(tǒng)管理員身份認證與審計：對系統(tǒng)管理員進行嚴格的身份鑒別，只允許其通過特定的命令或操作界面進行系統(tǒng)管理操作，并對這些操作進行審計。 審計管理通過安全審計員對分布在系統(tǒng)各個組成部分的安全審計機制進行集中管理，包括：根據(jù)安全審計策略對審計記錄進行分類；提供按時間段開啟和關(guān)閉相應類型的安全審計機制；對各類審計記錄進行存儲、管理和查詢等；對安全審計員進行嚴格的身份鑒別，并只允許其通過特定的命令或界面進行安全審計操作。具體集中審計內(nèi)容包括：? 日志監(jiān)視實時監(jiān)視接收到的事件的狀況，如最近日志列表、系統(tǒng)風險狀況等；監(jiān)控等級保護（二級）方案模板 事件狀況的同時也可以監(jiān)控設(shè)備運行參數(shù)，以配合確定設(shè)備及網(wǎng)絡(luò)的狀態(tài)；日志監(jiān)視支持以圖形化方式實時監(jiān)控日志流量、系統(tǒng)風險等變化趨勢。? 日志管理日志管理實現(xiàn)對多種日志格式的統(tǒng)一管理。通過 SNMP、SYSLOG 或者其它的日志接口采集管理對象的日志信息，轉(zhuǎn)換為統(tǒng)一的日志格式，再統(tǒng)一管理、分析、報警；自動完成日志數(shù)據(jù)的格式解析和分類；提供日志數(shù)據(jù)的存儲、備份、恢復、刪除、導入和導出操作等功能。日志管理支持分布式日志級聯(lián)管理，下級管理中心的日志數(shù)據(jù)可以發(fā)送到上級管理中心進行集中管理? 審計分析集中審計可綜合各種安全設(shè)備的安全事件，以統(tǒng)一的審計結(jié)果向用戶提供可定制的報表，全面反映網(wǎng)絡(luò)安全總體狀況，重點突出，簡單易懂。系統(tǒng)支持對包過濾日志、代理日志、入侵攻擊事件、病毒入侵事件等十幾種日志進行統(tǒng)計分析并生成分析報表；支持按照設(shè)備運行狀況、設(shè)備管理操作對安全設(shè)備管理信息統(tǒng)計分析；支持基于多種條件的統(tǒng)計分析，包括：對訪問流量、入侵攻擊、郵件過濾日志、源地址、用戶對網(wǎng)絡(luò)訪問控制日志等。對于入侵攻擊日志，可按照入侵攻擊事件、源地址、被攻擊主機進行統(tǒng)計分析，生成各類趨勢分析圖表。系統(tǒng)可以生成多種形式的審計報表，報表支持表格和多種圖形表現(xiàn)形式；用戶可以通過 IE 瀏覽器訪問，導出審計結(jié)果?？稍O(shè)定