【正文】 析和檢測(cè)。 網(wǎng)絡(luò)設(shè)備防護(hù)為提高網(wǎng)絡(luò)設(shè)備的自身安全性，保障各種網(wǎng)絡(luò)應(yīng)用的正常運(yùn)行，對(duì)網(wǎng)絡(luò)設(shè)備需要進(jìn)行一系列的加固措施，包括：? 對(duì)登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別，用戶名必須唯一；? 對(duì)網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制；等級(jí)保護(hù)（三級(jí)）方案 深信服科技33? 身份鑒別信息具有不易被冒用的特點(diǎn)，口令設(shè)置需 3 種以上字符、長(zhǎng)度不少于 8 位，并定期更換；? 具有登錄失敗處理功能，失敗后采取結(jié)束會(huì)話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動(dòng)退出等措施；? 啟用 SSH 等管理方式，加密管理數(shù)據(jù)，防止被網(wǎng)絡(luò)竊聽(tīng)。? 對(duì)于鑒別手段，三級(jí)要求采用兩種或兩種以上組合的鑒別技術(shù)，因此需采用 USB key+密碼進(jìn)行身份鑒別，保證對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行管理維護(hù)的合法性。 通信完整性與保密性信息的完整性設(shè)計(jì)包括信息傳輸?shù)耐暾孕ｒ?yàn)以及信息存儲(chǔ)的完整性校驗(yàn)。對(duì)于信息傳輸和存儲(chǔ)的完整性校驗(yàn)可以采用的技術(shù)包括校驗(yàn)碼技術(shù)、消息鑒別碼、密碼校驗(yàn)函數(shù)、散列函數(shù)、數(shù)字簽名等。對(duì)于信息傳輸?shù)耐暾孕ｒ?yàn)應(yīng)由傳輸加密系統(tǒng)完成。部署 VPN 系統(tǒng)保證遠(yuǎn)程數(shù)據(jù)傳輸?shù)臄?shù)據(jù)完整性。對(duì)于信息存儲(chǔ)的完整性校驗(yàn)應(yīng)由應(yīng)用系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)完成。應(yīng)用層的通信保密性主要由應(yīng)用系統(tǒng)完成。在通信雙方建立連接之前，應(yīng)用系統(tǒng)應(yīng)利用密碼技術(shù)進(jìn)行會(huì)話初始化驗(yàn)證；并對(duì)通信過(guò)程中的敏感信息字段進(jìn)行加密。對(duì)于信息傳輸?shù)耐ㄐ疟Ｃ苄詰?yīng)由傳輸加密系統(tǒng)完成。部署 VPN 系統(tǒng)保證遠(yuǎn)程數(shù)據(jù)傳輸?shù)臄?shù)據(jù)機(jī)密性。 網(wǎng)絡(luò)可信接入為保證網(wǎng)絡(luò)邊界的完整性，不僅需要進(jìn)行非法外聯(lián)行為，同時(shí)對(duì)非法接入進(jìn)行監(jiān)控與阻斷，形成網(wǎng)絡(luò)可信接入，共同維護(hù)邊界完整性。通過(guò)部署終端安等級(jí)保護(hù)（三級(jí)）方案 深信服科技34全管理系統(tǒng)可以實(shí)現(xiàn)這一目標(biāo)。終端安全管理系統(tǒng)其中一個(gè)重要功能模塊就是網(wǎng)絡(luò)準(zhǔn)入控制，啟用網(wǎng)絡(luò)阻斷方式包括 ARP 干擾、 協(xié)議聯(lián)動(dòng)等。監(jiān)測(cè)內(nèi)部網(wǎng)中發(fā)生的外來(lái)主機(jī)非法接入、篡改 IP 地址、盜用 IP 地址等不法行為，由監(jiān)測(cè)控制臺(tái)進(jìn)行告警。運(yùn)用用戶信息和主機(jī)信息匹配方式實(shí)時(shí)發(fā)現(xiàn)接入主機(jī)的合法性，及時(shí)阻止 IP 地址的篡改和盜用行為。共同保證朔州市交警隊(duì)網(wǎng)絡(luò)的邊界完整性。具體如下：? 在線主機(jī)監(jiān)測(cè)可以通過(guò)監(jiān)聽(tīng)和主動(dòng)探測(cè)等方式檢測(cè)系統(tǒng)中所有在線的主機(jī)，并判別在線主機(jī)是否是經(jīng)過(guò)系統(tǒng)授權(quán)認(rèn)證的信任主機(jī)。? 主機(jī)授權(quán)認(rèn)證可以通過(guò)在線主機(jī)是否安裝客戶端代理程序，并結(jié)合客戶端代理報(bào)告的主機(jī)補(bǔ)丁安裝情況，防病毒程序安裝和工作情況等信息，進(jìn)行網(wǎng)絡(luò)的授權(quán)認(rèn)證，只允許通過(guò)授權(quán)認(rèn)證的主機(jī)使用網(wǎng)絡(luò)資源。? 非法主機(jī)網(wǎng)絡(luò)阻斷對(duì)于探測(cè)到的非法主機(jī)，系統(tǒng)可以主動(dòng)阻止其訪問(wèn)任何網(wǎng)絡(luò)資源，從而保證非法主機(jī)不對(duì)網(wǎng)絡(luò)產(chǎn)生影響，無(wú)法有意或無(wú)意的對(duì)網(wǎng)絡(luò)攻擊或者試圖竊密。? 網(wǎng)絡(luò)白名單策略管理可生成默認(rèn)的合法主機(jī)列表，根據(jù)是否安裝安全管理客戶端或者是否執(zhí)行安全策略，來(lái)過(guò)濾合法主機(jī)列表，快速實(shí)現(xiàn)合法主機(jī)列表的生成。同時(shí)允許管理員設(shè)置白名單例外列表，允許例外列表的主機(jī)不安裝客戶端但是仍然授予網(wǎng)絡(luò)使用權(quán)限，并根據(jù)需要授予可以和其他授權(quán)認(rèn)證過(guò)的主機(jī)通信的權(quán)限或者允許和任意主機(jī)通信的權(quán)限。? IP 和 MAC 綁定管理可以將終端的 IP 和 MAC 地址綁定，禁止用戶修改自身的 IP 和 MAC 地址，等級(jí)保護(hù)（三級(jí)）方案 深信服科技35并在用戶試圖更改 IP 和 MAC 地址時(shí)，產(chǎn)生相應(yīng)的報(bào)警信息。 安全管理中心設(shè)計(jì)由于朔州市交警隊(duì)網(wǎng)絡(luò)覆蓋面廣，用戶眾多，技術(shù)人員水平不一。為了能準(zhǔn)確了解系統(tǒng)的運(yùn)行狀態(tài)、設(shè)備的運(yùn)行情況，統(tǒng)一部署安全策略，應(yīng)進(jìn)行安全管理中心的設(shè)計(jì)，根據(jù)要求，應(yīng)在系統(tǒng)管理、審計(jì)管理和安全管理幾個(gè)大方面進(jìn)行建設(shè)。在安全管理安全域中建立安全管理中心，是有效幫助管理人員實(shí)施好安全措施的重要保障，是實(shí)現(xiàn)業(yè)務(wù)穩(wěn)定運(yùn)行、長(zhǎng)治久安的基礎(chǔ)。通過(guò)安全管理中心的建設(shè)，真正實(shí)現(xiàn)安全技術(shù)層面和管理層面的結(jié)合，全面提升用戶網(wǎng)絡(luò)的信息安全保障能力。 系統(tǒng)管理通過(guò)系統(tǒng)管理員對(duì)系統(tǒng)的服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)進(jìn)行統(tǒng)一的管理包括：? 用戶身份管理：統(tǒng)一管理系統(tǒng)用戶身份，按照業(yè)務(wù)上分工的不同，合理地把相關(guān)人員劃分為不同的類別或者組，以及不同的角色對(duì)模塊的訪問(wèn)權(quán)限。權(quán)限設(shè)置可按角色劃分，角色分為普通用戶、系統(tǒng)管理員、安全管理員、審計(jì)管理員等。? 系統(tǒng)資源配置：進(jìn)行系統(tǒng)資源配置管理與監(jiān)控，包括 CPU 負(fù)載、磁盤(pán)使用情況、服務(wù)器內(nèi)存、數(shù)據(jù)庫(kù)的空間、數(shù)據(jù)庫(kù)日志空間、SWAP 使用情況等，通過(guò)配置采樣時(shí)間，定時(shí)檢測(cè)。? 系統(tǒng)加載和啟動(dòng)：進(jìn)行系統(tǒng)啟動(dòng)初始化管理，保障系統(tǒng)的正常加載和啟動(dòng)。? 數(shù)據(jù)備份與恢復(fù)：數(shù)據(jù)的定期備份與恢復(fù)管理，識(shí)別需要定期備份的重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)，規(guī)定備份信息的備份方式、備份等級(jí)保護(hù)（三級(jí)）方案 深信服科技36頻度、存儲(chǔ)介質(zhì)、保存期等；根據(jù)數(shù)據(jù)的重要性及其對(duì)系統(tǒng)運(yùn)行的影響，制定數(shù)據(jù)的備份策略和恢復(fù)策略，定期執(zhí)行備份與恢復(fù)策略。? 惡意代碼防范管理：建立惡意代碼管理中心，進(jìn)行防惡意代碼軟件的統(tǒng)一管理。惡意代碼管理中心實(shí)現(xiàn)：殺毒策略統(tǒng)一集中配置；自動(dòng)并強(qiáng)制進(jìn)行惡意代碼庫(kù)升級(jí)；定制統(tǒng)一客戶端策略并強(qiáng)制執(zhí)行；進(jìn)行集中病毒報(bào)警等。? 系統(tǒng)補(bǔ)丁管理：集中進(jìn)行補(bǔ)丁管理，定期統(tǒng)一進(jìn)行系統(tǒng)補(bǔ)丁安裝。注意應(yīng)首先在測(cè)試環(huán)境中測(cè)試通過(guò)，并對(duì)重要文件進(jìn)行備份后，方可實(shí)施系統(tǒng)補(bǔ)丁程序的安裝。? 系統(tǒng)管理員身份認(rèn)證與審計(jì)：對(duì)系統(tǒng)管理員進(jìn)行嚴(yán)格的身份鑒別，只允許其通過(guò)特定的命令或操作界面進(jìn)行系統(tǒng)管理操作，并對(duì)這些操作進(jìn)行審計(jì)。 審計(jì)管理通過(guò)安全審計(jì)員對(duì)分布在系統(tǒng)各個(gè)組成部分的安全審計(jì)機(jī)制進(jìn)行集中管理，包括：根據(jù)安全審計(jì)策略對(duì)審計(jì)記錄進(jìn)行分類；提供按時(shí)間段開(kāi)啟和關(guān)閉相應(yīng)類型的安全審計(jì)機(jī)制；對(duì)各類審計(jì)記錄進(jìn)行存儲(chǔ)、管理和查詢等；對(duì)安全審計(jì)員進(jìn)行嚴(yán)格的身份鑒別，并只允許其通過(guò)特定的命令或界面進(jìn)行安全審計(jì)操作。具體集中審計(jì)內(nèi)容包括：? 日志監(jiān)視實(shí)時(shí)監(jiān)視接收到的事件的狀況，如最近日志列表、系統(tǒng)風(fēng)險(xiǎn)狀況等；監(jiān)控事件狀況的同時(shí)也可以監(jiān)控設(shè)備運(yùn)行參數(shù)，以配合確定設(shè)備及網(wǎng)絡(luò)的狀態(tài)；日志監(jiān)視支持以圖形化方式實(shí)時(shí)監(jiān)控日志流量、系統(tǒng)風(fēng)險(xiǎn)等變化趨勢(shì)。? 日志管理等級(jí)保護(hù)（三級(jí)）方案 深信服科技37日志管理實(shí)現(xiàn)對(duì)多種日志格式的統(tǒng)一管理。通過(guò) SNMP、SYSLOG 或者其它的日志接口采集管理對(duì)象的日志信息，轉(zhuǎn)換為統(tǒng)一的日志格式，再統(tǒng)一管理、分析、報(bào)警；自動(dòng)完成日志數(shù)據(jù)的格式解析和分類；提供日志數(shù)據(jù)的存儲(chǔ)、備份、恢復(fù)、刪除、導(dǎo)入和導(dǎo)出操作等功能。日志管理支持分布式日志級(jí)聯(lián)管理，下級(jí)管理中心的日志數(shù)據(jù)可以發(fā)送到上級(jí)管理中心進(jìn)行集中管理? 審計(jì)分析集中審計(jì)可綜合各種安全設(shè)備的安全事件，以統(tǒng)一的審計(jì)結(jié)果向用戶提供可定制的報(bào)表，全面反映網(wǎng)絡(luò)安全總體狀況，重點(diǎn)突出，簡(jiǎn)單易懂。系統(tǒng)支持對(duì)包過(guò)濾日志、代理日志、入侵攻擊事件、病毒入侵事件等十幾種日志進(jìn)行統(tǒng)計(jì)分析并生成分析報(bào)表；支持按照設(shè)備運(yùn)行狀況、設(shè)備管理操作對(duì)安全設(shè)備管理信息統(tǒng)計(jì)分析；支持基于多種條件的統(tǒng)計(jì)分析，包括：對(duì)訪問(wèn)流量、入侵攻擊、郵件過(guò)濾日志、源地址、用戶對(duì)網(wǎng)絡(luò)訪問(wèn)控制日志等。對(duì)于入侵攻擊日志，可按照入侵攻擊事件、源地址、被攻擊主機(jī)進(jìn)行統(tǒng)計(jì)分析，生成各類趨勢(shì)分析圖表。系統(tǒng)可以生成多種形式的審計(jì)報(bào)表，報(bào)表支持表格和多種圖形表現(xiàn)形式；用戶可以通過(guò) IE 瀏覽器訪問(wèn)，導(dǎo)出審計(jì)結(jié)果?？稍O(shè)定定時(shí)生成日志統(tǒng)計(jì)報(bào)表，并自動(dòng)保存以備審閱或自動(dòng)通過(guò)郵件發(fā)送給指定收件人，實(shí)現(xiàn)對(duì)安全審計(jì)的流程化處理。 監(jiān)控管理統(tǒng)一監(jiān)控管理將集中進(jìn)行系統(tǒng)安全監(jiān)測(cè)，并為安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)進(jìn)行統(tǒng)一的監(jiān)控與告警。對(duì)全網(wǎng)的安全設(shè)備、安全事件、安全策略、安全運(yùn)維進(jìn)行統(tǒng)一集中的監(jiān)控、調(diào)度、預(yù)警和管理。集中安全管理平臺(tái)針對(duì)每個(gè)安全域的設(shè)備提供靈活的策略制定和管理，實(shí)現(xiàn)本安全域內(nèi)的信息收集和處理。同時(shí)，在安全管理安全域中部署設(shè)備管理系統(tǒng)服務(wù)器和控制臺(tái)，通過(guò)與各事件服務(wù)器組件或安全設(shè)備通信，等級(jí)保護(hù)（三級(jí)）方案 深信服科技38實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)的全局監(jiān)控。管理員在安全管理安全域的控制臺(tái)上，可以集中的對(duì)設(shè)備的報(bào)警策略進(jìn)行指定和下發(fā)，同時(shí)，監(jiān)視可處理報(bào)警信息。安全管理平臺(tái)可以以拓?fù)鋱D的方式來(lái)直觀清晰的顯示設(shè)備關(guān)鍵屬性和運(yùn)行狀態(tài)。通過(guò)部署集中安全管理平臺(tái)實(shí)現(xiàn)：安全事件的深度感知、安全事件的關(guān)聯(lián)分析、安全威脅的協(xié)同響應(yīng)。通過(guò)部署集中安全管理平臺(tái)，提高安全管理的效率，保障網(wǎng)絡(luò)的安全運(yùn)行等級(jí)保護(hù)（三級(jí)）方案 深信服科技398 安全管理體系設(shè)計(jì)安全體系管理層面設(shè)計(jì)主要是依據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》中的管理要求而設(shè)計(jì)。分別從以下方面進(jìn)行設(shè)計(jì)：? 安全管理制度根據(jù)安全管理制度的基本要求制定各類管理規(guī)定、管理辦法和暫行規(guī)定。從安全策略主文檔中規(guī)定的安全各個(gè)方面所應(yīng)遵守的原則方法和指導(dǎo)性策略引出的具體管理規(guī)定、管理辦法和實(shí)施辦法，是具有可操作性，且必須得到有效推行和實(shí)施的制度。制定嚴(yán)格的制定與發(fā)布流程，方式，范圍等，制度需要統(tǒng)一格式并進(jìn)行有效版本控制；發(fā)布方式需要正式、有效并注明發(fā)布范圍，對(duì)收發(fā)文進(jìn)行登記。信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)定期組織相關(guān)部門(mén)和相關(guān)人員對(duì)安全管理制度體系的合理性和適用性進(jìn)行審定，定期或不定期對(duì)安全管理制度進(jìn)行評(píng)審和修訂，修訂不足及進(jìn)行改進(jìn)。? 安全管理機(jī)構(gòu)根據(jù)基本要求設(shè)置安全管理機(jī)構(gòu)的組織形式和運(yùn)作方式，明確崗位職責(zé)；設(shè)置安全管理崗位，設(shè)立系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等崗位，根據(jù)要求進(jìn)行人員配備，配備專職安全員；成立指導(dǎo)和管理信息安全工作的委員會(huì)或領(lǐng)導(dǎo)小組，其最高領(lǐng)導(dǎo)由單位主管領(lǐng)導(dǎo)委任或授權(quán)；制定文件明確安全管理機(jī)構(gòu)各個(gè)部門(mén)和崗位的職責(zé)、分工和技能要求。建立授權(quán)與審批制度；建立內(nèi)外部溝通合作渠道；定期進(jìn)行全面安全檢查，特別是系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等。? 人員安全管理根據(jù)基本要求制定人員錄用，離崗、考核、培訓(xùn)幾個(gè)方面的規(guī)定，并嚴(yán)格等級(jí)保護(hù)（三級(jí)）方案 深信服科技40執(zhí)行；規(guī)定外部人員訪問(wèn)流程，并嚴(yán)格執(zhí)行。? 系統(tǒng)建設(shè)管理根據(jù)基本要求制定系統(tǒng)建設(shè)管理制度，包括：系統(tǒng)定級(jí)、安全方案設(shè)計(jì)、產(chǎn)品采購(gòu)和使用、自行軟件開(kāi)發(fā)、外包軟件開(kāi)發(fā)、工程實(shí)施、測(cè)試驗(yàn)收、系統(tǒng)交付、系統(tǒng)備案、等級(jí)評(píng)測(cè)、安全服務(wù)商選擇等方面。從工程實(shí)施的前、中、后三個(gè)方面，從初始定級(jí)設(shè)計(jì)到驗(yàn)收評(píng)測(cè)完整的工程周期角度進(jìn)行系統(tǒng)建設(shè)管理。? 系統(tǒng)運(yùn)維管理根據(jù)基本要求進(jìn)行信息系統(tǒng)日常運(yùn)行維護(hù)管理，利用管理制度以及安全管理中心進(jìn)行，包括：環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備管理、監(jiān)控管理和安全管理中心、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、變更管理、備份與恢復(fù)管理、安全事件處置、應(yīng)急預(yù)案管理等，使系統(tǒng)始終處于相應(yīng)等級(jí)安全狀態(tài)中。等級(jí)保護(hù)（三級(jí)）方案 深信服科技419 系統(tǒng)集成設(shè)計(jì)系統(tǒng)改造前拓?fù)鋱D如下：互 聯(lián) 網(wǎng)專 網(wǎng)1 0 0 M虛 擬 化各 樓 層 辦 公應(yīng) 用 服 務(wù) 器數(shù) 據(jù) 庫(kù) 服 務(wù) 器W E B 服務(wù) 器看 守 所虛 擬 化網(wǎng) 閘 1 0 M執(zhí) 行 查 控 服 務(wù) 器外 網(wǎng)內(nèi) 網(wǎng)審 計(jì)華 為 防 火 墻華 為 防 火 墻中 網(wǎng) 防 火 墻核 心 路 由核 心 路 由匯 聚 交 換匯 聚 交 換核 心 路 由服 務(wù) 器 區(qū)交 換 機(jī)交 換 機(jī)交 換 機(jī)交 換 機(jī)交 換 機(jī)等級(jí)保護(hù)（三級(jí)）方案 深信服科技42本次系統(tǒng)改造新增軟硬件產(chǎn)品后的拓?fù)鋱D如下：等級(jí)保護(hù)（三級(jí)）方案 深信服科技43等級(jí)保護(hù)（三級(jí)）方案 深信服科技44外網(wǎng)設(shè)備部署產(chǎn)品 數(shù)量 部署位置 部署作用網(wǎng)絡(luò)審計(jì)系統(tǒng) 2 臺(tái) 外網(wǎng)出口（雙機(jī)）? 審計(jì)內(nèi)網(wǎng)用戶上網(wǎng)行為，可供公安部 82 號(hào)令要求? 封堵與辦公無(wú)關(guān)應(yīng)用，提高員工辦公效率? 管理內(nèi)部網(wǎng)絡(luò)帶寬，合理分配流量，保障核心業(yè)務(wù)流量下一代防火墻 2 臺(tái) 外網(wǎng)出口（雙機(jī)） ? 保護(hù)安全管理區(qū)設(shè)備的安全? 對(duì)業(yè)務(wù)網(wǎng)進(jìn)行獨(dú)立防護(hù)，進(jìn)行訪問(wèn)控制、攻擊防御入侵檢測(cè) 1 臺(tái) 核心交換機(jī)旁掛? 對(duì)入侵行為的檢測(cè)。它通過(guò)收集和分析網(wǎng)絡(luò)行為、安全日志、審計(jì)數(shù)據(jù)、等信息，檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。? 積極主動(dòng)地安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)