【正文】 需求劃分安全域，各安全域之間通過(guò)部署防火墻和網(wǎng)絡(luò)設(shè)備的訪問(wèn)控制列表，實(shí)現(xiàn)安全域之間的安全隔離和訪問(wèn)控制。 辦公內(nèi)網(wǎng)邊界防護(hù)及訪問(wèn)控制設(shè)計(jì)辦公內(nèi)網(wǎng)邊界防護(hù)如下：1. 在辦公內(nèi)網(wǎng)和互聯(lián)外網(wǎng)間安全接入?yún)^(qū)部署2臺(tái)單向網(wǎng)閘，只允許數(shù)據(jù)從特定服務(wù)器單向向外聯(lián)單位訪問(wèn)服務(wù)器推送數(shù)據(jù)，反之則拒絕，部署2臺(tái)防病毒網(wǎng)關(guān)實(shí)現(xiàn)對(duì)兩網(wǎng)間的病毒防護(hù)；2臺(tái)網(wǎng)閘采用雙機(jī)熱備的方式部署，提高核心鏈路的可靠性；2. 在藏品區(qū)邊界部署2臺(tái)防火墻，啟用單向訪問(wèn)控制策略， 2臺(tái)防火墻采用雙機(jī)熱備的方式部署，提高核心鏈路的可靠性；3. 在數(shù)據(jù)域邊界部署2臺(tái)防火墻，2臺(tái)防火墻采用雙機(jī)熱備的方式部署，提高核心鏈路的可靠性；4. 在對(duì)內(nèi)和對(duì)外服務(wù)器區(qū)邊界各部署2臺(tái)防火墻， 2臺(tái)防火墻采用雙機(jī)熱備的方式部署，提高核心鏈路的可靠性；5. 在無(wú)線(xiàn)區(qū)、辦公區(qū)、票務(wù)區(qū)、觸摸屏區(qū)、觸摸屏展示區(qū)與核心區(qū)間部署2臺(tái)防火墻，實(shí)現(xiàn)對(duì)各區(qū)域的邊界劃分與防護(hù)；6. 在微信展示區(qū)、北京音樂(lè)區(qū)和展陳區(qū)與核心區(qū)間部署2臺(tái)防火墻，實(shí)現(xiàn)對(duì)各區(qū)域的邊界劃分與防護(hù)。通過(guò)網(wǎng)絡(luò)安全審計(jì)系統(tǒng)對(duì)網(wǎng)絡(luò)訪問(wèn)行為進(jìn)行采集、分析和識(shí)別，實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)訪問(wèn)情況，記錄網(wǎng)絡(luò)安全事件，發(fā)現(xiàn)安全隱患。在核心交換機(jī)上部署網(wǎng)絡(luò)安全審計(jì)系統(tǒng)引擎，通過(guò)在交換機(jī)上配置鏡像端口的方式將流經(jīng)交換機(jī)上的所有數(shù)據(jù)映射至網(wǎng)絡(luò)安全審計(jì)系統(tǒng)，網(wǎng)絡(luò)安全審計(jì)系統(tǒng)對(duì)抓到的包進(jìn)行分析、匹配、統(tǒng)計(jì)，從而實(shí)現(xiàn)網(wǎng)絡(luò)安全審計(jì)，同時(shí)在安全管理區(qū)部署安全審計(jì)管理中心。審計(jì)內(nèi)容主要包括數(shù)據(jù)傳輸（FTP協(xié)議）、網(wǎng)頁(yè)瀏覽（HTTP協(xié)議）、電子郵件收發(fā)（SMTP、POPIMAP協(xié)議）、遠(yuǎn)程登陸（TELNET）、網(wǎng)上鄰居（NETBIOS協(xié)議）等。安全審計(jì)服務(wù)器配有500G以上的存儲(chǔ)空間，可確保審計(jì)記錄能夠保存至少六個(gè)月。l 通過(guò)三權(quán)分立機(jī)制對(duì)網(wǎng)絡(luò)安全審計(jì)系統(tǒng)進(jìn)行嚴(yán)格控制，系統(tǒng)管理員主要負(fù)責(zé)設(shè)備的日常維護(hù)，安全管理員主要負(fù)責(zé)數(shù)據(jù)分析和報(bào)告編制，審計(jì)管理員主要負(fù)責(zé)對(duì)系統(tǒng)操作行為的審計(jì)和分析，確保任何人均無(wú)法單獨(dú)中斷審計(jì)進(jìn)程，無(wú)法刪除、修改或覆蓋審計(jì)記錄。 入侵防御系統(tǒng)通過(guò)在辦公內(nèi)網(wǎng)部署入侵檢測(cè)系統(tǒng)及時(shí)發(fā)現(xiàn)各種網(wǎng)絡(luò)攻擊、破壞和異常訪問(wèn)等入侵行為，并在第一時(shí)間采取相應(yīng)的防護(hù)手段，如記錄證據(jù)用于跟蹤、恢復(fù)、及時(shí)響應(yīng)等。 入侵檢測(cè)系統(tǒng)設(shè)計(jì)辦公內(nèi)網(wǎng)入侵檢測(cè)系統(tǒng)安全策略如下：l 網(wǎng)絡(luò)行為檢測(cè)：使用細(xì)粒度檢測(cè)技術(shù)、協(xié)議分析技術(shù)、誤用檢測(cè)技術(shù)、協(xié)議異常檢測(cè)等技術(shù)，對(duì)基于TCP/IP的各種網(wǎng)絡(luò)行為進(jìn)行實(shí)時(shí)檢測(cè)，有效防止各種攻擊和欺騙。存在漏洞但是還未發(fā)現(xiàn)相關(guān)蠕蟲(chóng)事件的，通過(guò)分析其相關(guān)漏洞提供相關(guān)的入侵事件規(guī)則，最大限度地解決網(wǎng)絡(luò)蠕蟲(chóng)發(fā)現(xiàn)滯后問(wèn)題。l 異常報(bào)警：入侵檢測(cè)系統(tǒng)在發(fā)現(xiàn)入侵行為時(shí)可以通過(guò)多種方式進(jìn)行報(bào)警，如報(bào)警聲音、警示、報(bào)警郵件等。l 入侵檢測(cè)庫(kù)升級(jí)：入侵檢測(cè)系統(tǒng)內(nèi)置的檢測(cè)庫(kù)是決定系統(tǒng)檢測(cè)能力的關(guān)鍵因素，因此每月對(duì)入侵檢測(cè)系統(tǒng)庫(kù)進(jìn)行一次升級(jí)。 辦公內(nèi)網(wǎng)入侵檢測(cè)系統(tǒng)部署部署示意圖如下所示：圖 54總中心入侵檢測(cè)部署示意圖 病毒惡意代碼防范在辦公內(nèi)網(wǎng)系統(tǒng)的網(wǎng)絡(luò)邊界處部署防病毒網(wǎng)關(guān)，有效的將病毒或木馬拒之門(mén)外，也能防止已被感染的病毒蔓延。 惡意代碼防護(hù)設(shè)計(jì)辦公內(nèi)網(wǎng)整體網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜，涉及眾多業(yè)務(wù)服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、計(jì)算機(jī)終端和各種網(wǎng)絡(luò)設(shè)備，病毒可能帶來(lái)一定的威脅風(fēng)險(xiǎn)。 惡意代碼防護(hù)系統(tǒng)部署具體部署示意圖如下：圖 55 惡意代碼范湖部署示意圖防毒墻安全策略如下：l 利用防毒墻專(zhuān)用的防毒硬件系統(tǒng)和強(qiáng)大的防病毒引擎，對(duì)進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行病毒高效查殺。l 對(duì)病毒感染進(jìn)行定位，記錄系統(tǒng)實(shí)時(shí)處理的病毒信息，記錄感染的事件、IP、MAC、用戶(hù)名、協(xié)議類(lèi)型、地址等。l 每日通過(guò)互聯(lián)網(wǎng)進(jìn)行病毒庫(kù)下載，下載完成后對(duì)病毒庫(kù)進(jìn)行升級(jí)測(cè)試，通過(guò)刻錄光盤(pán)的方式將病毒庫(kù)導(dǎo)入內(nèi)網(wǎng)，為防毒墻進(jìn)行病毒庫(kù)升級(jí)，確保惡意代碼庫(kù)的完整性和有效性。堡壘主機(jī)的身份鑒別策略如下：l 對(duì)登錄堡壘主機(jī)的所有賬戶(hù)設(shè)置復(fù)雜口令，最小長(zhǎng)度設(shè)置8位，口令中同時(shí)包含數(shù)字、字母和特殊字符，區(qū)分大小寫(xiě)。l 在堡壘主機(jī)中啟用HTTPS的方式進(jìn)行數(shù)據(jù)傳輸、并使身份鑒別信息以加密的方式進(jìn)行傳輸。數(shù)據(jù)庫(kù)安全審計(jì)策略如下：l 在內(nèi)網(wǎng)應(yīng)用匯聚層交換機(jī)和隔離設(shè)備外部的核心交換機(jī)上配置鏡像端口，收集網(wǎng)絡(luò)中數(shù)據(jù)流量。l 通過(guò)篩選重要事件和風(fēng)險(xiǎn)事件查找所關(guān)心的審計(jì)記錄。數(shù)據(jù)庫(kù)審計(jì)管理服務(wù)器配有1TB以上的存儲(chǔ)空間，確保審計(jì)記錄能夠保存至少六個(gè)月。 數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)部署數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)部署示意圖如下：圖 57數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)部署示意圖 漏洞掃描系統(tǒng) 漏洞掃描系統(tǒng)設(shè)計(jì)為了更好地保護(hù)主機(jī)的安全，減少主機(jī)被入侵的風(fēng)險(xiǎn)，通過(guò)漏洞掃描系統(tǒng)對(duì)服務(wù)器操作系統(tǒng)和數(shù)據(jù)庫(kù)管理系統(tǒng)定期進(jìn)行掃描，根據(jù)漏洞掃描系統(tǒng)的檢測(cè)報(bào)告，分析系統(tǒng)的安全漏洞，并采取防護(hù)措施。 漏洞掃描系統(tǒng)部署辦公內(nèi)網(wǎng)總中心漏洞掃描系統(tǒng)部署示意圖如下：圖 58 漏洞掃描系統(tǒng)部署示意圖 安全運(yùn)營(yíng)管理平臺(tái)在安全管理中心部署安全運(yùn)營(yíng)管理平臺(tái)，提供對(duì)安全設(shè)備、服務(wù)器、網(wǎng)絡(luò)設(shè)備等各種硬件性能的監(jiān)控功能，及對(duì)服務(wù)器操作系統(tǒng)、應(yīng)用中間件、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備等進(jìn)行配置基線(xiàn)分析，提供安全預(yù)警功能，提供資產(chǎn)管理、知識(shí)庫(kù)管理和控制展示等功能。信息安全運(yùn)營(yíng)平臺(tái)能夠?qū)崿F(xiàn)由零散安全產(chǎn)品到信息保障體系的轉(zhuǎn)變。因此它不僅是技術(shù)手段上的快速提升，實(shí)現(xiàn)對(duì)重要信息系統(tǒng)的安全預(yù)警。l 構(gòu)筑基于資產(chǎn)業(yè)務(wù)的風(fēng)險(xiǎn)管理體系建設(shè)安全管理平臺(tái)，改變以往以安全事件和單個(gè)資產(chǎn)為視角的傳統(tǒng)模式，結(jié)合平臺(tái)的業(yè)務(wù)屬性，使得用戶(hù)的系統(tǒng)管理人員能夠直觀清晰全面的