【正文】 安全意識(shí)和安全水平。l 具備完善的風(fēng)險(xiǎn)響應(yīng)控制能力建設(shè)安全管理平臺(tái)，可以全面提高對(duì)于風(fēng)險(xiǎn)響應(yīng)的能力。包括發(fā)現(xiàn)問(wèn)題后必須能快速找到解決方法并最快速度進(jìn)行響應(yīng)，響應(yīng)的過(guò)程中要求明確響應(yīng)的責(zé)任人、響應(yīng)辦法并反饋?lái)憫?yīng)結(jié)果，對(duì)響應(yīng)的整個(gè)過(guò)程必須有記錄和考核；建立一支有經(jīng)驗(yàn)的響應(yīng)隊(duì)伍，這個(gè)隊(duì)伍包括內(nèi)部人員和外部專家支持；支持自動(dòng)化的響應(yīng)和通知手段，降低響應(yīng)時(shí)間，提高響應(yīng)效率。 安全運(yùn)營(yíng)管理平臺(tái)部署圖 59安全運(yùn)營(yíng)管理平臺(tái)部署示意圖 互聯(lián)外網(wǎng)信息安全保護(hù)設(shè)計(jì) 安全區(qū)域劃分與結(jié)構(gòu)優(yōu)化 安全區(qū)域劃分與結(jié)構(gòu)優(yōu)化設(shè)計(jì)結(jié)合系統(tǒng)面臨的風(fēng)險(xiǎn)、保護(hù)等級(jí)并綜合業(yè)務(wù)訪問(wèn)數(shù)據(jù)流向，將互聯(lián)外網(wǎng)劃分為安全接入?yún)^(qū)、應(yīng)用服務(wù)器區(qū)、DMZ區(qū)、核心區(qū)、匯聚區(qū)匯聚區(qū)2和安全管理區(qū)安全域。各安全域的描述如下：n 安全接入?yún)^(qū)：提供互聯(lián)網(wǎng)到辦公內(nèi)網(wǎng)數(shù)據(jù)交換與業(yè)務(wù)訪問(wèn)。n 應(yīng)用服務(wù)器區(qū)：承載各大重要業(yè)務(wù)系統(tǒng)。n 數(shù)據(jù)域：承載各大重要業(yè)務(wù)系統(tǒng)的數(shù)據(jù)庫(kù)服務(wù)器。n 安全管理域：主要承載的是安全管理相關(guān)的系統(tǒng)或設(shè)備，包括漏洞掃描、堡壘主機(jī)、防病毒系統(tǒng)和安全運(yùn)營(yíng)管理平臺(tái)服務(wù)器等。n 核心域：承載核心交換機(jī)，實(shí)現(xiàn)各區(qū)域間的數(shù)據(jù)快速交換功能。n DMZ區(qū)：對(duì)外發(fā)布信息服務(wù)器。n 匯聚區(qū)1：提供ABF2等豎井接入；n 匯聚區(qū)2：提供ACG2等豎井接入； 安全區(qū)域劃分結(jié)構(gòu)圖互聯(lián)外網(wǎng)系統(tǒng)整體網(wǎng)絡(luò)結(jié)構(gòu)調(diào)整后如下圖所示圖 510整體網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)圖 網(wǎng)絡(luò)邊界防護(hù)及訪問(wèn)控制 按照分域分級(jí)保護(hù)思路，根據(jù)信息系統(tǒng)等級(jí)保護(hù)級(jí)別，結(jié)合各防護(hù)對(duì)象的不同安全防護(hù)需求劃分安全域，各安全域之間通過(guò)部署防火墻和網(wǎng)絡(luò)設(shè)備的訪問(wèn)控制列表，實(shí)現(xiàn)安全域之間的安全隔離和訪問(wèn)控制。各安全域的訪問(wèn)控制策略，通過(guò)在各區(qū)域的邊界防火墻和交換機(jī)上設(shè)置訪問(wèn)控制策略，只允許特定授權(quán)的終端用戶訪問(wèn)該安全域。 邊界防護(hù)及訪問(wèn)控制設(shè)計(jì)互聯(lián)外網(wǎng)邊界防護(hù)如下：1. 在應(yīng)用服務(wù)器區(qū)和DMZ區(qū)邊界共用2臺(tái)防火墻，實(shí)現(xiàn)邊界隔離與安全防護(hù)，2臺(tái)防火墻采用雙機(jī)熱備的方式部署，提高核心鏈路的可靠性；2. 在匯聚區(qū)1和匯聚區(qū)2邊界各部署2臺(tái)防火墻，2臺(tái)防火墻采用雙機(jī)熱備的方式部署，提高核心鏈路的可靠性； 邊界防護(hù)系統(tǒng)部署圖 511系統(tǒng)邊界防護(hù)示意圖 網(wǎng)絡(luò)安全審計(jì)系統(tǒng)依據(jù)等級(jí)保護(hù)標(biāo)準(zhǔn)要求，結(jié)合互聯(lián)外網(wǎng)整體安全防護(hù)需求，對(duì)網(wǎng)絡(luò)流量和用戶行為進(jìn)行安全審計(jì)，防止濫用網(wǎng)絡(luò)資源和非授權(quán)訪問(wèn)。通過(guò)網(wǎng)絡(luò)安全審計(jì)系統(tǒng)對(duì)網(wǎng)絡(luò)訪問(wèn)行為進(jìn)行采集、分析和識(shí)別，實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)訪問(wèn)情況，記錄網(wǎng)絡(luò)安全事件，發(fā)現(xiàn)安全隱患。 網(wǎng)絡(luò)安全審計(jì)系統(tǒng)設(shè)計(jì)通過(guò)網(wǎng)絡(luò)安全審計(jì)系統(tǒng)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)訪問(wèn)行為的采集、分析和識(shí)別，記錄網(wǎng)絡(luò)安全事件，發(fā)現(xiàn)安全隱患。在核心交換機(jī)上部署網(wǎng)絡(luò)安全審計(jì)系統(tǒng)引擎，通過(guò)在交換機(jī)上配置鏡像端口的方式將流經(jīng)交換機(jī)上的所有數(shù)據(jù)映射至網(wǎng)絡(luò)安全審計(jì)系統(tǒng)，網(wǎng)絡(luò)安全審計(jì)系統(tǒng)對(duì)抓到的包進(jìn)行分析、匹配、統(tǒng)計(jì)，從而實(shí)現(xiàn)網(wǎng)絡(luò)安全審計(jì)，同時(shí)在安全管理區(qū)部署安全審計(jì)管理中心。 網(wǎng)絡(luò)安全審計(jì)系統(tǒng)部署圖 512網(wǎng)絡(luò)安全審計(jì)系統(tǒng)部署示意圖網(wǎng)絡(luò)安全審計(jì)系統(tǒng)執(zhí)行以下的安全策略：l 對(duì)訪問(wèn)應(yīng)用系統(tǒng)安全域的訪問(wèn)行為進(jìn)行審計(jì)。審計(jì)內(nèi)容主要包括數(shù)據(jù)傳輸（FTP協(xié)議）、網(wǎng)頁(yè)瀏覽（HTTP協(xié)議）、電子郵件收發(fā)（SMTP、POPIMAP協(xié)議）、遠(yuǎn)程登陸（TELNET）、網(wǎng)上鄰居（NETBIOS協(xié)議）等。l 使用網(wǎng)絡(luò)安全審計(jì)系統(tǒng)記錄事件發(fā)生的時(shí)間、地點(diǎn)、類型、主體和結(jié)果（成功或失?。?，并將所有審計(jì)的內(nèi)容通過(guò)SYSLOG發(fā)送到部署在安全管理安全域的安全審計(jì)服務(wù)器上進(jìn)行匯總和分析。安全審計(jì)服務(wù)器配有500G以上的存儲(chǔ)空間，可確保審計(jì)記錄能夠保存至少六個(gè)月。安全運(yùn)維人員每周對(duì)存儲(chǔ)空間進(jìn)行一次檢查，當(dāng)存儲(chǔ)空間少于20%時(shí)，及時(shí)增加存儲(chǔ)空間，防止由于存儲(chǔ)空間溢出造成審計(jì)記錄的丟失。l 通過(guò)三權(quán)分立機(jī)制對(duì)網(wǎng)絡(luò)安全審計(jì)系統(tǒng)進(jìn)行嚴(yán)格控制，系統(tǒng)管理員主要負(fù)責(zé)設(shè)備的日常維護(hù)，安全管理員主要負(fù)責(zé)數(shù)據(jù)分析和報(bào)告編制，審計(jì)管理員主要負(fù)責(zé)對(duì)系統(tǒng)操作行為的審計(jì)和分析，確保任何人均無(wú)法單獨(dú)中斷審計(jì)進(jìn)程，無(wú)法刪除、修改或覆蓋審計(jì)記錄。l 審計(jì)管理員每周輸出所有審計(jì)設(shè)備的審計(jì)報(bào)表，同時(shí)對(duì)審計(jì)報(bào)表進(jìn)行分析，及時(shí)發(fā)現(xiàn)可疑操作行。 入侵防御系統(tǒng)通過(guò)部署入侵檢測(cè)系統(tǒng)及時(shí)發(fā)現(xiàn)各種網(wǎng)絡(luò)攻擊、破壞和異常訪問(wèn)等入侵行為，并在第一時(shí)間采取相應(yīng)的防護(hù)手段，如記錄證據(jù)用于跟蹤、恢復(fù)、及時(shí)響應(yīng)等。在核心交換機(jī)部署入侵檢測(cè)系統(tǒng)，通過(guò)在核心交換機(jī)上配置鏡像端口的方式將流經(jīng)核心交換機(jī)上的所有數(shù)據(jù)映射至入侵檢測(cè)系統(tǒng)。 入侵檢測(cè)系統(tǒng)設(shè)計(jì)入侵檢測(cè)系統(tǒng)安全策略如下：l 網(wǎng)絡(luò)行為檢測(cè)：使用細(xì)粒度檢測(cè)技術(shù)、協(xié)議分析技術(shù)、誤用檢測(cè)技術(shù)、協(xié)議異常檢測(cè)等技術(shù)，對(duì)基于TCP/IP的各種網(wǎng)絡(luò)行為進(jìn)行實(shí)時(shí)檢測(cè)，有效防止各種攻擊和欺騙。l 蠕蟲(chóng)檢測(cè)：實(shí)時(shí)跟蹤當(dāng)前最新的蠕蟲(chóng)事件，針對(duì)當(dāng)前已經(jīng)發(fā)現(xiàn)的蠕蟲(chóng)及時(shí)的提供相關(guān)的事件規(guī)則。存在漏洞但是還未發(fā)現(xiàn)相關(guān)蠕蟲(chóng)事件的，通過(guò)分析其相關(guān)漏洞提供相關(guān)的入侵事件規(guī)則，最大限度地解決網(wǎng)絡(luò)蠕蟲(chóng)發(fā)現(xiàn)滯后問(wèn)題。l 監(jiān)控管理：通過(guò)入侵檢測(cè)系統(tǒng)提供的控制臺(tái)，監(jiān)控入侵檢測(cè)系統(tǒng)收集的數(shù)據(jù)，并將這些數(shù)據(jù)進(jìn)行分析，生成便于理解的報(bào)表，供安全管理人員使用。l 異常報(bào)警：入侵檢測(cè)系統(tǒng)在發(fā)現(xiàn)入侵行為時(shí)可以通過(guò)多種方式進(jìn)行報(bào)警，如報(bào)警聲音、警示、報(bào)警郵件等。l 日志記錄：對(duì)發(fā)現(xiàn)的入侵行為進(jìn)行記錄，并妥善保管記錄信息。l 入侵檢測(cè)庫(kù)升級(jí)：入侵檢測(cè)系統(tǒng)內(nèi)置的檢測(cè)庫(kù)是決定系統(tǒng)檢測(cè)能力的關(guān)鍵因素，因此每月對(duì)入侵檢測(cè)系統(tǒng)庫(kù)進(jìn)行一次升級(jí)。由于辦公內(nèi)網(wǎng)內(nèi)網(wǎng)與互聯(lián)網(wǎng)完全安全隔離，入侵檢測(cè)系統(tǒng)