【正文】 ? 積極主動(dòng)地安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。等級(jí)保護(hù)（三級(jí)）方案 深信服科技419 系統(tǒng)集成設(shè)計(jì)系統(tǒng)改造前拓?fù)鋱D如下：互 聯(lián) 網(wǎng)專 網(wǎng)1 0 0 M虛 擬 化各 樓 層 辦 公應(yīng) 用 服 務(wù) 器數(shù) 據(jù) 庫(kù) 服 務(wù) 器W E B 服務(wù) 器看 守 所虛 擬 化網(wǎng) 閘 1 0 M執(zhí) 行 查 控 服 務(wù) 器外 網(wǎng)內(nèi) 網(wǎng)審 計(jì)華 為 防 火 墻華 為 防 火 墻中 網(wǎng) 防 火 墻核 心 路 由核 心 路 由匯 聚 交 換匯 聚 交 換核 心 路 由服 務(wù) 器 區(qū)交 換 機(jī)交 換 機(jī)交 換 機(jī)交 換 機(jī)交 換 機(jī)等級(jí)保護(hù)（三級(jí)）方案 深信服科技42本次系統(tǒng)改造新增軟硬件產(chǎn)品后的拓?fù)鋱D如下：等級(jí)保護(hù)（三級(jí)）方案 深信服科技43等級(jí)保護(hù)（三級(jí)）方案 深信服科技44外網(wǎng)設(shè)備部署產(chǎn)品 數(shù)量 部署位置 部署作用網(wǎng)絡(luò)審計(jì)系統(tǒng) 2 臺(tái) 外網(wǎng)出口（雙機(jī)）? 審計(jì)內(nèi)網(wǎng)用戶上網(wǎng)行為，可供公安部 82 號(hào)令要求? 封堵與辦公無(wú)關(guān)應(yīng)用，提高員工辦公效率? 管理內(nèi)部網(wǎng)絡(luò)帶寬，合理分配流量，保障核心業(yè)務(wù)流量下一代防火墻 2 臺(tái) 外網(wǎng)出口（雙機(jī)） ? 保護(hù)安全管理區(qū)設(shè)備的安全? 對(duì)業(yè)務(wù)網(wǎng)進(jìn)行獨(dú)立防護(hù)，進(jìn)行訪問(wèn)控制、攻擊防御入侵檢測(cè) 1 臺(tái) 核心交換機(jī)旁掛? 對(duì)入侵行為的檢測(cè)。從工程實(shí)施的前、中、后三個(gè)方面，從初始定級(jí)設(shè)計(jì)到驗(yàn)收評(píng)測(cè)完整的工程周期角度進(jìn)行系統(tǒng)建設(shè)管理。? 人員安全管理根據(jù)基本要求制定人員錄用，離崗、考核、培訓(xùn)幾個(gè)方面的規(guī)定，并嚴(yán)格等級(jí)保護(hù)（三級(jí)）方案 深信服科技40執(zhí)行；規(guī)定外部人員訪問(wèn)流程，并嚴(yán)格執(zhí)行。? 安全管理機(jī)構(gòu)根據(jù)基本要求設(shè)置安全管理機(jī)構(gòu)的組織形式和運(yùn)作方式，明確崗位職責(zé)；設(shè)置安全管理崗位，設(shè)立系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等崗位，根據(jù)要求進(jìn)行人員配備，配備專職安全員；成立指導(dǎo)和管理信息安全工作的委員會(huì)或領(lǐng)導(dǎo)小組，其最高領(lǐng)導(dǎo)由單位主管領(lǐng)導(dǎo)委任或授權(quán)；制定文件明確安全管理機(jī)構(gòu)各個(gè)部門和崗位的職責(zé)、分工和技能要求。制定嚴(yán)格的制定與發(fā)布流程，方式，范圍等，制度需要統(tǒng)一格式并進(jìn)行有效版本控制；發(fā)布方式需要正式、有效并注明發(fā)布范圍，對(duì)收發(fā)文進(jìn)行登記。分別從以下方面進(jìn)行設(shè)計(jì)：? 安全管理制度根據(jù)安全管理制度的基本要求制定各類管理規(guī)定、管理辦法和暫行規(guī)定。通過(guò)部署集中安全管理平臺(tái)實(shí)現(xiàn)：安全事件的深度感知、安全事件的關(guān)聯(lián)分析、安全威脅的協(xié)同響應(yīng)。管理員在安全管理安全域的控制臺(tái)上，可以集中的對(duì)設(shè)備的報(bào)警策略進(jìn)行指定和下發(fā)，同時(shí)，監(jiān)視可處理報(bào)警信息。集中安全管理平臺(tái)針對(duì)每個(gè)安全域的設(shè)備提供靈活的策略制定和管理，實(shí)現(xiàn)本安全域內(nèi)的信息收集和處理。 監(jiān)控管理統(tǒng)一監(jiān)控管理將集中進(jìn)行系統(tǒng)安全監(jiān)測(cè)，并為安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)進(jìn)行統(tǒng)一的監(jiān)控與告警。系統(tǒng)可以生成多種形式的審計(jì)報(bào)表，報(bào)表支持表格和多種圖形表現(xiàn)形式；用戶可以通過(guò) IE 瀏覽器訪問(wèn)，導(dǎo)出審計(jì)結(jié)果。系統(tǒng)支持對(duì)包過(guò)濾日志、代理日志、入侵攻擊事件、病毒入侵事件等十幾種日志進(jìn)行統(tǒng)計(jì)分析并生成分析報(bào)表；支持按照設(shè)備運(yùn)行狀況、設(shè)備管理操作對(duì)安全設(shè)備管理信息統(tǒng)計(jì)分析；支持基于多種條件的統(tǒng)計(jì)分析，包括：對(duì)訪問(wèn)流量、入侵攻擊、郵件過(guò)濾日志、源地址、用戶對(duì)網(wǎng)絡(luò)訪問(wèn)控制日志等。通過(guò) SNMP、SYSLOG 或者其它的日志接口采集管理對(duì)象的日志信息，轉(zhuǎn)換為統(tǒng)一的日志格式，再統(tǒng)一管理、分析、報(bào)警；自動(dòng)完成日志數(shù)據(jù)的格式解析和分類；提供日志數(shù)據(jù)的存儲(chǔ)、備份、恢復(fù)、刪除、導(dǎo)入和導(dǎo)出操作等功能。具體集中審計(jì)內(nèi)容包括：? 日志監(jiān)視實(shí)時(shí)監(jiān)視接收到的事件的狀況，如最近日志列表、系統(tǒng)風(fēng)險(xiǎn)狀況等；監(jiān)控事件狀況的同時(shí)也可以監(jiān)控設(shè)備運(yùn)行參數(shù)，以配合確定設(shè)備及網(wǎng)絡(luò)的狀態(tài)；日志監(jiān)視支持以圖形化方式實(shí)時(shí)監(jiān)控日志流量、系統(tǒng)風(fēng)險(xiǎn)等變化趨勢(shì)。? 系統(tǒng)管理員身份認(rèn)證與審計(jì)：對(duì)系統(tǒng)管理員進(jìn)行嚴(yán)格的身份鑒別，只允許其通過(guò)特定的命令或操作界面進(jìn)行系統(tǒng)管理操作，并對(duì)這些操作進(jìn)行審計(jì)。? 系統(tǒng)補(bǔ)丁管理：集中進(jìn)行補(bǔ)丁管理，定期統(tǒng)一進(jìn)行系統(tǒng)補(bǔ)丁安裝。? 惡意代碼防范管理：建立惡意代碼管理中心，進(jìn)行防惡意代碼軟件的統(tǒng)一管理。? 系統(tǒng)加載和啟動(dòng)：進(jìn)行系統(tǒng)啟動(dòng)初始化管理，保障系統(tǒng)的正常加載和啟動(dòng)。權(quán)限設(shè)置可按角色劃分，角色分為普通用戶、系統(tǒng)管理員、安全管理員、審計(jì)管理員等。通過(guò)安全管理中心的建設(shè)，真正實(shí)現(xiàn)安全技術(shù)層面和管理層面的結(jié)合，全面提升用戶網(wǎng)絡(luò)的信息安全保障能力。為了能準(zhǔn)確了解系統(tǒng)的運(yùn)行狀態(tài)、設(shè)備的運(yùn)行情況，統(tǒng)一部署安全策略，應(yīng)進(jìn)行安全管理中心的設(shè)計(jì)，根據(jù)要求，應(yīng)在系統(tǒng)管理、審計(jì)管理和安全管理幾個(gè)大方面進(jìn)行建設(shè)。? IP 和 MAC 綁定管理可以將終端的 IP 和 MAC 地址綁定，禁止用戶修改自身的 IP 和 MAC 地址，等級(jí)保護(hù)（三級(jí)）方案 深信服科技35并在用戶試圖更改 IP 和 MAC 地址時(shí)，產(chǎn)生相應(yīng)的報(bào)警信息。? 網(wǎng)絡(luò)白名單策略管理可生成默認(rèn)的合法主機(jī)列表，根據(jù)是否安裝安全管理客戶端或者是否執(zhí)行安全策略，來(lái)過(guò)濾合法主機(jī)列表，快速實(shí)現(xiàn)合法主機(jī)列表的生成。? 主機(jī)授權(quán)認(rèn)證可以通過(guò)在線主機(jī)是否安裝客戶端代理程序，并結(jié)合客戶端代理報(bào)告的主機(jī)補(bǔ)丁安裝情況，防病毒程序安裝和工作情況等信息，進(jìn)行網(wǎng)絡(luò)的授權(quán)認(rèn)證，只允許通過(guò)授權(quán)認(rèn)證的主機(jī)使用網(wǎng)絡(luò)資源。共同保證朔州市交警隊(duì)網(wǎng)絡(luò)的邊界完整性。監(jiān)測(cè)內(nèi)部網(wǎng)中發(fā)生的外來(lái)主機(jī)非法接入、篡改 IP 地址、盜用 IP 地址等不法行為，由監(jiān)測(cè)控制臺(tái)進(jìn)行告警。通過(guò)部署終端安等級(jí)保護(hù)（三級(jí)）方案 深信服科技34全管理系統(tǒng)可以實(shí)現(xiàn)這一目標(biāo)。部署 VPN 系統(tǒng)保證遠(yuǎn)程數(shù)據(jù)傳輸?shù)臄?shù)據(jù)機(jī)密性。在通信雙方建立連接之前，應(yīng)用系統(tǒng)應(yīng)利用密碼技術(shù)進(jìn)行會(huì)話初始化驗(yàn)證；并對(duì)通信過(guò)程中的敏感信息字段進(jìn)行加密。對(duì)于信息存儲(chǔ)的完整性校驗(yàn)應(yīng)由應(yīng)用系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)完成。對(duì)于信息傳輸?shù)耐暾孕ｒ?yàn)應(yīng)由傳輸加密系統(tǒng)完成。 通信完整性與保密性信息的完整性設(shè)計(jì)包括信息傳輸?shù)耐暾孕ｒ?yàn)以及信息存儲(chǔ)的完整性校驗(yàn)。 網(wǎng)絡(luò)設(shè)備防護(hù)為提高網(wǎng)絡(luò)設(shè)備的自身安全性，保障各種網(wǎng)絡(luò)應(yīng)用的正常運(yùn)行，對(duì)網(wǎng)絡(luò)設(shè)備需要進(jìn)行一系列的加固措施，包括：? 對(duì)登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別，用戶名必須唯一；? 對(duì)網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制；等級(jí)保護(hù)（三級(jí)）方案 深信服科技33? 身份鑒別信息具有不易被冒用的特點(diǎn)，口令設(shè)置需 3 種以上字符、長(zhǎng)度不少于 8 位，并定期更換；? 具有登錄失敗處理功能，失敗后采取結(jié)束會(huì)話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動(dòng)退出等措施；? 啟用 SSH 等管理方式，加密管理數(shù)據(jù)，防止被網(wǎng)絡(luò)竊聽(tīng)。網(wǎng)絡(luò)行為監(jiān)控和審計(jì)系統(tǒng)采用旁路技術(shù)，不用在目標(biāo)主機(jī)中安裝任何組件。在朔州市交警隊(duì)交換機(jī)處并接部署網(wǎng)絡(luò)行為監(jiān)控與審計(jì)系統(tǒng)，形成對(duì)全網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)的流量監(jiān)測(cè)并進(jìn)行相應(yīng)安全審計(jì)，同時(shí)和其它網(wǎng)絡(luò)安全設(shè)備共同為集中安全管理提供監(jiān)控?cái)?shù)據(jù)用于分析及檢測(cè)。保存有重要業(yè)務(wù)系統(tǒng)及數(shù)據(jù)的重要網(wǎng)段不能直接與外部系統(tǒng)連接，需要和其他網(wǎng)段隔離，單獨(dú)劃分區(qū)域。根據(jù)實(shí)際需求，部署流量管理系統(tǒng)，實(shí)現(xiàn)按照業(yè)務(wù)系統(tǒng)服務(wù)的重要次序來(lái)分配帶寬，優(yōu)先保障重要主機(jī)。根據(jù)相應(yīng)的需求，可以考慮部署廣域網(wǎng)優(yōu)化產(chǎn)品，優(yōu)化鏈路質(zhì)量，削減鏈路數(shù)據(jù)，更好的滿足業(yè)務(wù)高峰期的需求。 通信網(wǎng)絡(luò)安全設(shè)計(jì) 網(wǎng)絡(luò)結(jié)構(gòu)安全網(wǎng)絡(luò)結(jié)構(gòu)的安全是網(wǎng)絡(luò)安全的前提和基礎(chǔ)，對(duì)于朔州市交警隊(duì)網(wǎng)絡(luò)，選用主要網(wǎng)絡(luò)設(shè)備時(shí)需要考慮業(yè)務(wù)處理能力的高峰數(shù)據(jù)流量，要考慮冗余空間滿足業(yè)務(wù)高峰期需要。同時(shí)審計(jì)信息要通過(guò)安全管理中心進(jìn)行統(tǒng)一集中管理，為安全管理中心提供必要的邊界安全審計(jì)數(shù)據(jù)，利于管理中心進(jìn)行全局管控。對(duì)于流經(jīng)各主要邊界（重要服務(wù)器區(qū)域、外部連接邊界）需要設(shè)置必要的審計(jì)機(jī)制，進(jìn)行數(shù)據(jù)監(jiān)視并記錄各類操作，通過(guò)審計(jì)分析能夠發(fā)現(xiàn)跨區(qū)域的安全威脅，實(shí)時(shí)地綜合分析出網(wǎng)絡(luò)中發(fā)生的安全事件。? 終端非法外聯(lián)行為管理可以禁止終端與沒(méi)有通過(guò)系統(tǒng)授權(quán)許可的終端進(jìn)行通信，禁止撥號(hào)上網(wǎng)行為。? 終端非法外聯(lián)行為監(jiān)控可以發(fā)現(xiàn)終端試圖訪問(wèn)非授信網(wǎng)絡(luò)資源的行為，如試圖與沒(méi)有通過(guò)系統(tǒng)授等級(jí)保護(hù)（三級(jí)）方案 深信服科技31權(quán)許可的終端進(jìn)行通信，自行試圖通過(guò)撥號(hào)連接互聯(lián)網(wǎng)等行為。非法外聯(lián)監(jiān)控主要解決發(fā)現(xiàn)和管理用戶非法自行建立通路連接非授權(quán)網(wǎng)絡(luò)的行為。通過(guò)部署終端安全管理系統(tǒng)可以實(shí)現(xiàn)這一目標(biāo)。對(duì)于能夠與互聯(lián)網(wǎng)實(shí)現(xiàn)連接的網(wǎng)絡(luò)，應(yīng)對(duì)背帶褲升級(jí)進(jìn)行準(zhǔn)確配置；對(duì)與不能與互聯(lián)網(wǎng)進(jìn)行連接的網(wǎng)絡(luò)環(huán)境，需采取手動(dòng)下載升級(jí)包的方式進(jìn)行手動(dòng)升級(jí)。另外，安全防護(hù)設(shè)備的防病毒庫(kù)應(yīng)該和桌面防病毒軟件應(yīng)為不同的廠家產(chǎn)品，兩類病毒防護(hù)產(chǎn)品共同組成用戶的立體病毒防護(hù)體系。部署邊界安全防護(hù)設(shè)備時(shí)應(yīng)特別注意設(shè)備性能，產(chǎn)品必須具備良好的體系架構(gòu)保證性能，能夠靈活的進(jìn)行網(wǎng)絡(luò)部署。? 該設(shè)備還需提供完整的上網(wǎng)行為管理功能，可針對(duì)于內(nèi)網(wǎng)對(duì)于外網(wǎng)的存取應(yīng)用進(jìn)行管理。 區(qū)域邊界安全設(shè)計(jì) 邊界訪問(wèn)控制入侵防范與應(yīng)用層防攻擊通過(guò)對(duì)朔州市交警隊(duì)網(wǎng)絡(luò)的邊界風(fēng)險(xiǎn)與需求分析，在網(wǎng)絡(luò)層進(jìn)行訪問(wèn)控制需部署邊界安全防護(hù)產(chǎn)品，該安全產(chǎn)品實(shí)現(xiàn)對(duì)邊界的訪問(wèn)控制、入侵防范和惡意代碼防范，因此該產(chǎn)品具有一下功能：? 可以對(duì)所有流經(jīng)該設(shè)備的數(shù)據(jù)包按照嚴(yán)格的安全規(guī)則進(jìn)行過(guò)濾，將所有不安全的或不符合安全規(guī)則的數(shù)據(jù)包屏蔽，杜絕越權(quán)訪問(wèn)，防止各類非法攻擊行為。 提升用戶訪問(wèn)速度—— TCP 單邊加速、HTTP 緩存、壓縮。對(duì)于核心交換設(shè)備、外部接入鏈路以及系統(tǒng)服務(wù)器進(jìn)行雙機(jī)、雙線的冗余設(shè)計(jì)，保障從網(wǎng)絡(luò)結(jié)構(gòu)、硬件配置上滿足不間斷系統(tǒng)運(yùn)行的需要。本地完全數(shù)據(jù)備份至少每天一次，且備份介質(zhì)需要場(chǎng)外存放。備份系統(tǒng)先進(jìn)的特性可提供增強(qiáng)的性能，易于管理，廣泛的設(shè)備兼容性和較高的可靠性，以保證數(shù)據(jù)完整性。將綜合存儲(chǔ)戰(zhàn)略作為計(jì)算機(jī)信息系統(tǒng)基礎(chǔ)設(shè)施的一部分實(shí)施不再是一種選擇，而已成為必然的趨勢(shì)。數(shù)據(jù)錯(cuò)誤則將意味著不準(zhǔn)確的事務(wù)處理。數(shù)據(jù)是最重要的系統(tǒng)資源。遠(yuǎn)程移動(dòng)用戶只需打開(kāi)標(biāo)準(zhǔn) IE 瀏覽器，登陸 SSL VPN 網(wǎng)關(guān)，經(jīng)過(guò)用戶認(rèn)證后即可根據(jù)分配給該用戶的相應(yīng)策略進(jìn)行相關(guān)業(yè)務(wù)系統(tǒng)的訪問(wèn)。單臂旁路接入不改變?cè)芯W(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)路配置，不增加故障點(diǎn)，部署簡(jiǎn)單靈活，同時(shí)提供完整的 SSL VPN 服務(wù)。使用 SSL VPN，在移動(dòng)用戶和內(nèi)部資源之間的連接通過(guò)應(yīng)用層的 Web 連接實(shí)現(xiàn)，而不是像 IPSec VPN 在網(wǎng)絡(luò)層開(kāi)放的“ 通道” 。SSL VPN 使用 SSL/HTTPS 技術(shù)作為安全傳輸機(jī)制。SSL 協(xié)議指定了一種在應(yīng)用程序協(xié)議（如 Http、Tele、NMTP 和 FTP 等）和 TCP/IP 協(xié)議之間提供數(shù)據(jù)安全性分層的機(jī)制，它為 TCP/IP 連接提供數(shù)據(jù)加密、服務(wù)器認(rèn)證、消息完整性以及可選的客戶機(jī)認(rèn)證。它和 IPSEC VPN 適用于不同的應(yīng)用場(chǎng)景，可配合使用。防重放——IPSec 防止了數(shù)據(jù)包被捕捉并重新投放到網(wǎng)上，即目的地會(huì)拒絕老的或重復(fù)的數(shù)據(jù)包，它通過(guò)報(bào)文的序列號(hào)實(shí)現(xiàn)。完整性校驗(yàn)是 IPSEC VPN 重要的功能之一。等級(jí)保護(hù)（三級(jí)）方案 深信服科技27IPSec VPN 適用于組建 sitetosite 形態(tài)的虛擬專有網(wǎng)絡(luò)，IPSEC 協(xié)議提供的安全服務(wù)包括：保密性——IPSec 在傳輸數(shù)據(jù)包之前將其加密．以保證數(shù)據(jù)的保密性。在傳輸過(guò)程中主要依靠 VPN 系統(tǒng)可以來(lái)保障數(shù)據(jù)包的數(shù)據(jù)完整性、保密性、可用性。通過(guò)上述方法，可以滿足應(yīng)用系統(tǒng)對(duì)于信息完整性校驗(yàn)的需求。在外網(wǎng)接入系統(tǒng)中，將采用消息摘要機(jī)制來(lái)確保完整性校驗(yàn)，其方法是：發(fā)送方使用散列函數(shù)（如 SHA、MD5 等）對(duì)要發(fā)送的信息進(jìn)行摘要計(jì)算，得到信息的鑒別碼，連同信息一起發(fā)送給接收方，將信息與信息摘要進(jìn)行打包后插入身份鑒別標(biāo)識(shí)，發(fā)送給接收方。因此在應(yīng)用系統(tǒng)軟件設(shè)計(jì)時(shí)要充分考慮軟件容錯(cuò)設(shè)計(jì)，包括：提供數(shù)據(jù)有效性檢驗(yàn)功能，保證通過(guò)人機(jī)接口輸入或通過(guò)通信接口輸入的數(shù)據(jù)格式或長(zhǎng)度符合系統(tǒng)設(shè)定要求；具備自保護(hù)功能，在故障發(fā)生時(shí)，應(yīng)用系統(tǒng)應(yīng)能夠自動(dòng)保存當(dāng)前所有狀態(tài)，確保系統(tǒng)能夠進(jìn)行恢復(fù)。同時(shí)，等級(jí)保護(hù)（三級(jí)）方案 深信服科技26防毒系統(tǒng)可以為安全管理平臺(tái)提供關(guān)于病毒威脅和事件的監(jiān)控、審計(jì)日志，為全網(wǎng)的病毒防護(hù)管理提供必要的信息。在朔州市交警隊(duì)安全管理安全域中，可以部署防病毒服務(wù)器，負(fù)責(zé)制定和終端主機(jī)防病毒策略，在內(nèi)網(wǎng)建立全網(wǎng)統(tǒng)一的一級(jí)升級(jí)服務(wù)器，由管理中心升級(jí)服務(wù)器通過(guò)互聯(lián)網(wǎng)或手工方