【正文】 五、項(xiàng)目實(shí)施保障措施（一）實(shí)施進(jìn)度2012年8月30日計(jì)劃申報(bào)2013年1月：設(shè)備招標(biāo)2013年3月 系統(tǒng)調(diào)試、上線（二）監(jiān)理 （三）安全測(cè)評(píng)及軟件測(cè)評(píng) （四）相關(guān)保障措施 （五）其他相關(guān)內(nèi)容 六、投資預(yù)算（一）資金來(lái)源（二）投資預(yù)算表 （三）投資編制說(shuō)明附件1：經(jīng)費(fèi)表明細(xì) 附件2：。應(yīng)用安全網(wǎng)關(guān)通過(guò)安全代理方式保護(hù)后臺(tái)應(yīng)用，提供基于數(shù)字證書的高強(qiáng)度身份認(rèn)證、數(shù)據(jù)在傳輸過(guò)程中的保密以及數(shù)據(jù)完整性檢驗(yàn)等安全機(jī)制。針對(duì)XX的實(shí)際情況，先期在內(nèi)部部署一臺(tái)堡壘機(jī)，實(shí)現(xiàn)對(duì)于維護(hù)人員遠(yuǎn)程維護(hù)網(wǎng)絡(luò)及服務(wù)器等設(shè)備時(shí)身份認(rèn)證、權(quán)限控制及行為審計(jì)等功能。內(nèi)控堡壘主機(jī)系統(tǒng)通過(guò)系統(tǒng)自身的用戶認(rèn)證系統(tǒng)、用戶授權(quán)系統(tǒng)，以及訪問(wèn)控制等詳細(xì)記錄整個(gè)會(huì)話過(guò)程中用戶的全部行為日志。操作審計(jì)管理主要審計(jì)人員的帳號(hào)使用（登錄、資源訪問(wèn)）情況、資源使用情況等。訪問(wèn)控制策略是保護(hù)系統(tǒng)安全性的重要環(huán)節(jié)，制定良好的訪問(wèn)策略能夠更好的提高系統(tǒng)的安全性。內(nèi)控堡壘主機(jī)系統(tǒng)能夠提供細(xì)粒度的訪問(wèn)控制，最大限度保護(hù)用戶資源的安全。系統(tǒng)不但能夠授權(quán)用戶可以通過(guò)什么角色訪問(wèn)資 源這樣基于應(yīng)用邊界的粗粒度授權(quán)，對(duì)某些應(yīng)用還可以限制用戶的操作，以及在什么時(shí)間進(jìn)行操作這樣應(yīng)用內(nèi)部的細(xì)粒度授權(quán)。即在各 網(wǎng)絡(luò)設(shè)備、服務(wù)器主機(jī)系統(tǒng)中可能擁有各自的權(quán)限管理功能，管理員也由各自的歸口管理部門委派，但是這些管理員在極地銀河內(nèi)控堡壘主機(jī)系統(tǒng)上，可以對(duì)各自的 管理對(duì)象進(jìn)行授權(quán)，而不需要進(jìn)入每一個(gè)被管理對(duì)象才能授權(quán)。quot。quot。通過(guò)集中訪問(wèn)授權(quán)和訪問(wèn)控制 可以對(duì)用戶通過(guò)B/S、C/S對(duì)服務(wù)器主機(jī)、網(wǎng)絡(luò)設(shè)備的訪問(wèn)進(jìn)行審計(jì)和阻斷。（4）資源授權(quán)功能。采用統(tǒng)一的認(rèn)證接口不但便于對(duì)用戶認(rèn)證的管理，而且能夠采用更加安全的認(rèn)證模式，提高認(rèn)證的安全性和可靠性。（3）身份認(rèn)證功能。通過(guò)這種關(guān)聯(lián)，可以實(shí)現(xiàn)多級(jí)的用戶管理和細(xì)粒度的用戶授權(quán)。同時(shí)，通過(guò)統(tǒng)一的管理還能夠發(fā)現(xiàn)帳號(hào)中存在的安全隱患，并且制定統(tǒng)一的、標(biāo)準(zhǔn)的用戶帳號(hào)安全 策略。帳號(hào)和資源的集中管理是集中授權(quán)、認(rèn)證和審計(jì)的基礎(chǔ)。（2）帳號(hào)管理功能。同時(shí)， 由于系統(tǒng)自身是采用強(qiáng)認(rèn)證的系統(tǒng)，從而提高了用戶認(rèn)證環(huán)節(jié)的安全性。單點(diǎn)登錄為具 有多帳號(hào)的用戶提供了方便快捷的訪問(wèn)途經(jīng)，使用戶無(wú)需記憶多種登錄用戶ID和口令。（1）單點(diǎn)登錄功能。因此堡壘機(jī)能夠攔截 非法訪問(wèn)，和惡意攻擊，對(duì)不合法命令進(jìn)行命令阻斷，過(guò)濾掉所有對(duì)目標(biāo)設(shè)備的非法訪問(wèn)行為。形象地說(shuō)，終端計(jì)算機(jī)對(duì)目標(biāo)的訪問(wèn)，均需要經(jīng)過(guò)堡 壘主機(jī)的翻譯。quot。quot。quot。quot。quot。quot。quot。其五，面臨安全合規(guī)性法規(guī)遵從的壓力。審計(jì)的機(jī)制、格式和管理都不盡相同，就會(huì)帶來(lái)各種問(wèn)題。其四，系統(tǒng)審計(jì)帶來(lái)的安全隱患。目前的常見對(duì)系統(tǒng)管理員賬號(hào)管理中，沒有一個(gè)清晰的訪問(wèn)控制列表，無(wú)法一目了然的看到什么用戶能夠以何種身份訪問(wèn)哪些關(guān)鍵設(shè)備，同時(shí)缺少有效的技術(shù)手段來(lái)保證訪問(wèn)控制策略有效地執(zhí)行。安全性無(wú)法得到充分保證。大多數(shù)企事業(yè)單位的IT運(yùn)維均采用設(shè)備、操作系統(tǒng)自身的授權(quán)系統(tǒng)，各系統(tǒng)分別管理所屬的系統(tǒng)資源，為本系統(tǒng)的用戶分配權(quán)限， 無(wú)法嚴(yán)格按照最小權(quán)限原則分配權(quán)限。的原則。誰(shuí)使用，誰(shuí)負(fù)責(zé)amp。這就是說(shuō)，很多人共用一個(gè)賬號(hào)，就使得帳號(hào)不具有唯一性，而且密碼難以有效管理，最關(guān)鍵的是一旦該賬號(hào)出現(xiàn)安全問(wèn)題，責(zé)任難以認(rèn)定到人，這就不符合國(guó)家關(guān)于信息安全amp。其一，共享賬號(hào)帶來(lái)的安全問(wèn)題。這些人員本身所擁有的高權(quán)限賬號(hào)和其在操作過(guò)程中的各種動(dòng)作，都帶來(lái)日益明顯的安全隱患。quot。quot。人員及其操作引出的非傳統(tǒng)的安全隱患日益凸顯，是所有安全事件中最主要的安全威脅。權(quán)貴amp。在所有內(nèi)部隱患中，一種由IT系統(tǒng)amp。quot。quot。他們可謂對(duì)內(nèi)網(wǎng)系統(tǒng)和數(shù)據(jù)，擁有最高的權(quán)限，一旦這些人員和操作出現(xiàn)安全問(wèn)題，其后果將不堪設(shè)想。quot。quot。經(jīng)過(guò)數(shù)十年的信息安全技術(shù)產(chǎn)業(yè)的高速發(fā)展，從防病毒、防火墻、IDS老三樣，到身份認(rèn)證、數(shù)據(jù)加密、應(yīng)用安全、終端加固等各種新技術(shù)，企業(yè)內(nèi)網(wǎng)各種信息安全問(wèn)題，有了很多全面解決方案。外網(wǎng)部署一臺(tái)即可。在這里面，最早出現(xiàn)，也是現(xiàn)在最主要的類型是網(wǎng)絡(luò)防火墻。它可通過(guò)監(jiān)測(cè)、限制、更改跨越安全網(wǎng)關(guān)的數(shù)據(jù)流，盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況，并通過(guò)檢測(cè)阻斷威脅，以及網(wǎng)絡(luò)數(shù)據(jù)加密等手段來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)和信息的安全。在防火墻等傳統(tǒng)安全網(wǎng)關(guān)已經(jīng)普及的情況下，TCP/IP的4層攻擊已經(jīng)受到越來(lái)越多的限制，因此，未來(lái)的攻擊目標(biāo)和層面正在逐漸轉(zhuǎn)移到7層的應(yīng)用層上，這給網(wǎng)絡(luò)安全提出了一個(gè)新的嚴(yán)重的挑戰(zhàn)：如何在4層的防護(hù)的基礎(chǔ)上，完成對(duì)新型的應(yīng)用攻擊防護(hù)，從而能夠保障“網(wǎng)絡(luò)應(yīng)用時(shí)代”的網(wǎng)絡(luò)用戶免受威脅之苦。在這些威脅中，與網(wǎng)絡(luò)”連通時(shí)代”最大的不同就在于，以應(yīng)用為目標(biāo)或載體的威脅日益增多。對(duì)防火墻和入侵檢測(cè)系統(tǒng)的關(guān)系有一個(gè)經(jīng)典的比喻：防火墻相當(dāng)于門衛(wèi)，對(duì)于所有進(jìn)出大門的人員進(jìn)行檢查，入侵檢測(cè)系統(tǒng)相當(dāng)于閉路監(jiān)控系統(tǒng)，監(jiān)控關(guān)鍵位置如財(cái)務(wù)、庫(kù)房等地的安全狀況，僅有門衛(wèi)是無(wú)法發(fā)現(xiàn)雙重認(rèn)證安全登錄管理（USBKey+PIN碼與用戶名+密碼雙重認(rèn)證）；2) USBKey與操作系統(tǒng)不同權(quán)限用戶綁定管理；3) USBKey登錄權(quán)限劃分管理（通過(guò)USBKey與操作系統(tǒng)不同權(quán)限用戶的綁定，實(shí)現(xiàn)對(duì)USBKey的登錄權(quán)限劃分）；4) USBKey拔除實(shí)時(shí)鎖屏管理，屏保鎖屏管理，注銷鎖屏管理；5) USBKey用戶登錄情