【正文】 網(wǎng)絡(luò)準入設(shè)備252。 虛擬主機加密機252。 統(tǒng)一身份證書252。 云堡壘機252。 數(shù)據(jù)庫漏洞掃描器252。 系統(tǒng)漏洞掃描器252。 數(shù)據(jù)庫審計252。 堡壘機252。 多源威脅情報分析系統(tǒng)252。 隔離網(wǎng)閘252。 防病毒網(wǎng)關(guān)252。 硬件waf252。 硬件防火墻252。第三章 內(nèi)網(wǎng)安全防護設(shè)備清單252。形成某單位自身的漏洞信息庫，賦予漏洞數(shù)據(jù)空間、時間、狀態(tài)和威脅屬性，形成每個信息系統(tǒng)的漏洞信息庫，并對其生命周期狀態(tài)進行跟蹤。 內(nèi)網(wǎng)安全漏洞統(tǒng)一管理平臺建議部署安全漏洞統(tǒng)一管理平臺，按照組織架構(gòu)或業(yè)務(wù)視圖建立資產(chǎn)管理目錄，快速感知不同資產(chǎn)層級的漏洞態(tài)勢，解決內(nèi)部漏洞無法與業(yè)務(wù)系統(tǒng)自動關(guān)聯(lián)分析的問題，為監(jiān)管方提供宏觀分析視圖。用戶分類具體如下圖所示： 統(tǒng)一用戶權(quán)限管理設(shè)計一、外部用戶二、內(nèi)部用戶運維人員的權(quán)限管理業(yè)務(wù)人員的權(quán)限管理 業(yè)務(wù)內(nèi)容身份鑒別與訪問控制設(shè)計一、內(nèi)部訪問設(shè)計內(nèi)部訪問設(shè)計主要面向內(nèi)部用戶，通過驗證后會加入到統(tǒng)一用戶身份認證與權(quán)限管理平臺身份庫，經(jīng)過認證策略判定，錄入認證策略庫，最后通過堡壘機實現(xiàn)內(nèi)部訪問。 統(tǒng)一用戶身份認證設(shè)計建立的統(tǒng)一身份庫，包括運營身份庫和業(yè)務(wù)人員身份庫，使用戶在統(tǒng)一身份庫中，只有唯一身份標識，用戶向統(tǒng)一認證平臺提交的證明是其本人的憑據(jù)，根據(jù)系統(tǒng)級別不同，采用的認證方式不同，每個應(yīng)用系統(tǒng)都有自己的賬戶體系，這些賬戶被看做是訪問一個信息資產(chǎn)的權(quán)限，管理員可以在統(tǒng)一身份認證與權(quán)限管理系統(tǒng)中配置某個用戶在系統(tǒng)中對若干賬戶的訪問權(quán)限。 數(shù)據(jù)庫漏洞類型MSSQL、MySQL、Oracle、DBPostgreSQL、SYBASE、SAP MaxDB、solidDB、Firebird……等，可以掃描數(shù)據(jù)庫大于三百五十多種漏洞，包含了有關(guān)空口令、弱口令、用戶權(quán)限漏洞、用戶訪問認證漏洞、系統(tǒng)完整性檢查、存儲過程漏洞和與數(shù)據(jù)庫相關(guān)的應(yīng)用程序漏洞等方面的漏洞，基本上覆蓋了數(shù)據(jù)庫常被用做后門進行攻擊的漏洞，并提出相應(yīng)的修補建議 內(nèi)部主動防御根據(jù)漏洞掃描結(jié)果，給予定制化安全加固方案，結(jié)合漏洞級別、漏洞類型、漏洞波及范圍、修復(fù)風(fēng)險、加固后復(fù)測等人工服務(wù)，配合用戶第一時間完成修復(fù)工作，我們將從信息安全專業(yè)技術(shù)層面為您說明每一條漏洞可能導(dǎo)致的安全事件可能性，從用戶安全運維、業(yè)務(wù)系統(tǒng)穩(wěn)定運行的角度出發(fā)，給出可落地的安全加固方案。 系統(tǒng)漏洞類型Windows漏洞大于1946種、MacOS漏洞大于192種、UNIX漏洞大于959種、數(shù)據(jù)庫服務(wù)器漏洞大于357種、CGI漏洞大于2301種、DNS漏洞大于76種、FTP/TFTP漏洞大于278種、虛擬化漏洞大于613種、網(wǎng)絡(luò)設(shè)備漏洞大于516種、Mail漏洞大于251種、雜項漏洞（含RPC、 NFS、主機后門、NIS、 SNMP、守護進程、PROXY、強力攻擊……）216。 漏洞檢測范圍操作系統(tǒng)：Microsoft Windows 2003/2008/7/8/10/201MacOS、Sun Solaris、UNIX、IBM AIX、IRIX、Linux、BSD；數(shù)據(jù)庫：MSSQL、MySQL、Oracle、DBPostgreSQL、SYBASE、SAP MaxDB、solidDB、Firebird；網(wǎng)絡(luò)設(shè)備：支持CISCO、Juniper、Citrix、EMC、Fortinet、Nortel、ZyXEL、BlueCoat、Check Point、趨勢科技、Websense、3COM、FSonicWALL、MikroTik RouteOS、DDWRT、DLink、NETGEAR。內(nèi)部安全管理員可以定期生成威脅情報月報，便于將一段時間內(nèi)的系統(tǒng)漏洞、應(yīng)用漏洞、數(shù)據(jù)庫漏洞進行選擇性摘要，使安全加固工作處于主動、積極、有效的工作場景之中。 內(nèi)網(wǎng)多源威脅情報分析建議在內(nèi)網(wǎng)部署多源威脅情報分析，通過對不同源頭威脅情報的統(tǒng)一匯總、分析、展示等功能，極大提高情報告警準確率，幫助評測內(nèi)部信息系統(tǒng)遭受的風(fēng)險以及安全隱患從而讓安全團隊進行有安全數(shù)據(jù)佐證的重點內(nèi)部領(lǐng)域防護措施。 異常的互聯(lián)關(guān)系分析對于不符合白名單和灰名單的互連關(guān)系和流量，系統(tǒng)會自動生成未知數(shù)據(jù)流，并對未知數(shù)據(jù)流進行識別、匹配，從中提取可供判斷的信息，如：單點對多點的快速連接，系統(tǒng)會識別為網(wǎng)絡(luò)掃描，非正常時段的數(shù)據(jù)連接，系統(tǒng)會視為異常行為，多點對單點的大流量連接，系統(tǒng)會識別為非法應(yīng)用等。通過該界面實現(xiàn)查看信息、設(shè)定檢測規(guī)則、設(shè)定閾值、設(shè)定報警方式以及處理報警等功能。因此正常流量模型的建立需要把反映網(wǎng)絡(luò)流量的各項指標都體現(xiàn)出來，使其能夠準確反映網(wǎng)絡(luò)活動。建立正常網(wǎng)絡(luò)流量模型 要進行流量異常檢測，必須首先建立正常的網(wǎng)絡(luò)流量模型，然后對比正常模型能夠識別異常。通過建立正常網(wǎng)絡(luò)流量模型，按照一定的規(guī)則進行流量異常檢測。比如流量的大小、包長的信息、協(xié)議的信息、端口流量的信息、TCP標志位的信息等，這些基本特征比較詳細地描述了網(wǎng)絡(luò)流量的運行狀態(tài)。 基線建模異常流量分析流量異常檢測的核心問題是實現(xiàn)流量正常行為的描述，并且能夠?qū)崟r、快速地對異常進行處理。 內(nèi)網(wǎng)安全數(shù)據(jù)分析 內(nèi)網(wǎng)安全風(fēng)險態(tài)勢感知建議部署態(tài)勢感知系統(tǒng)，檢測已知位置的終端惡意軟件的遠控通信行為，定位失陷主機，根據(jù)態(tài)勢感知設(shè)備的告警信息，采集、取證、判定、處置內(nèi)網(wǎng)終端主機上的惡意代碼，針對未知惡意文件攻擊，將流量還原得到的辦公文檔和可執(zhí)行文件放入網(wǎng)絡(luò)沙箱虛擬環(huán)境中執(zhí)行，根據(jù)執(zhí)行中的可疑行為綜合判定各類含漏洞利用代碼的惡意文檔、惡意可執(zhí)行程序，及植入攻擊行為?？梢酝ㄟ^云堡壘機系統(tǒng)快速查看用戶會話，實時監(jiān)控，以及中斷會話。 windows歷史訪問回放 linux歷史訪問回放在回放過程中，用戶可以試用云堡壘機的“智能搜索”功能大大加快回放速度，快速定位到用戶可疑操作位置。用戶可通過vsphere client登錄vmware vsphere云平臺進行管理，輸入云堡壘機為該云平臺提供的訪問IP與用戶在云堡壘機中的用戶名和密碼即可完成登錄。 內(nèi)網(wǎng)虛擬化安全運維平臺 集中賬號管理在云堡壘機管理系統(tǒng)中建立基于唯一身份標識的全局用戶帳號，統(tǒng)一維護云平臺與服務(wù)器管理帳號，實現(xiàn)與各云平臺、服務(wù)器等無縫連接。 安全合規(guī)性基線檢查216。 資產(chǎn)清點216。 虛擬資產(chǎn)密碼管理為增強虛擬資產(chǎn)的密碼防護功能，建議通過密鑰管理與資產(chǎn)管理分離的技術(shù)方式，實現(xiàn)管理員僅維護信息資產(chǎn)，用戶自行管理密鑰的工作模式。同時解密密碼與uKey綁定,即使數(shù)據(jù)中心硬件失竊，也無法被破解。 Vlan訪問控制 iaas系統(tǒng)虛擬化安全規(guī)劃虛擬機的鏡像文件本質(zhì)上來說就是虛擬磁盤，虛擬機的操作系統(tǒng)與使用者的系統(tǒng)數(shù)據(jù)全部保存在鏡像文件中，對鏡像文件的加密手段是否有效，將直接關(guān)系虛擬主機的安全性。 對于虛擬網(wǎng)絡(luò)邊界進行區(qū)域請求控制216。 安全域訪問控制為提升虛擬主機及網(wǎng)絡(luò)的安全性，針對虛擬網(wǎng)絡(luò)安全邊界設(shè)定訪問控制策略，對于縱向流量、橫向流量進行基于IP與端口的訪問路徑限制。由此可見，安全資源池對外體現(xiàn)的是多種安全能力的組合、疊加和伸縮，可應(yīng)用于云計算環(huán)境，也可應(yīng)用于傳統(tǒng)環(huán)境，以抵御日益頻繁的內(nèi)外部安全威脅。如上圖所示，在安全子域中將防火墻、WAF、LBS、AV、主機加固等均進行虛擬化資源池配置，通過安全管理子域中的安全控制器根據(jù)各子域的實際安全需求進行資源調(diào)用。軟件定義的安全資源池可以讓整套安全體系迸發(fā)出強大的活力，極大地提高了系統(tǒng)的整體防護