網(wǎng)絡(luò)安全建設(shè)方案

網(wǎng)絡(luò)安全建設(shè)方案網(wǎng)絡(luò)安全建設(shè)方案2016年7月1/28網(wǎng)絡(luò)安全建設(shè)方案前言 錯(cuò)誤!未指定書簽。方案涉及范圍。錯(cuò)誤!未指定書簽。2.方案參考標(biāo)準(zhǔn) 錯(cuò)誤!未指定書簽。方案設(shè)計(jì)原則。錯(cuò)誤!未指定書簽。.安全需求分析 錯(cuò)誤!未指定書簽。符合等級(jí)保護(hù)的安全需求 錯(cuò)誤!未指定書簽。等級(jí)保護(hù)框架設(shè)計(jì) 錯(cuò)誤!未指定書簽。相應(yīng)等級(jí)的安全技術(shù)要求 錯(cuò)誤!未指定書簽。自身安全防護(hù)的安全需求 錯(cuò)誤!未指定書簽。物理層安全需求 錯(cuò)誤!未指定書簽。網(wǎng)絡(luò)層安全需求 錯(cuò)誤!未指定書簽。3.系統(tǒng)層安全需求。錯(cuò)誤!未指定書簽。應(yīng)用層安全需求。錯(cuò)誤!未指定書簽。.網(wǎng)絡(luò)安全建設(shè)內(nèi)容。錯(cuò)誤!未指定書簽。邊界隔離措施。錯(cuò)誤!未指定書簽。3.LL下一代防火墻。錯(cuò)誤!未指定書簽。3.1.2.入侵防御系統(tǒng)。錯(cuò)誤!未指定書簽。3.1.3.流量控制系統(tǒng)繾誤!未指定書簽。3.L4.流量清洗系統(tǒng)繾誤!未指定書簽。應(yīng)用安全措施繾誤!未指定書簽。2.1.應(yīng)用防火墻 錯(cuò)誤!未指定書簽。2.2.上網(wǎng)行為管理系統(tǒng)。錯(cuò)誤!未指定書簽。網(wǎng)絡(luò)安全建設(shè)方案2.3.內(nèi)網(wǎng)安全準(zhǔn)入控制系統(tǒng)。錯(cuò)誤!未指定書簽。安全運(yùn)維措施。錯(cuò)誤!未指定書簽。堡壘機(jī)繾誤!未指定書簽。3.3.2.漏洞掃描系統(tǒng) 錯(cuò)誤!未指定書簽。3.3.3.網(wǎng)站監(jiān)控預(yù)警平臺(tái)。錯(cuò)誤!未指定書簽。3.3.4.網(wǎng)絡(luò)防病毒系統(tǒng) 錯(cuò)誤!未指定書簽。3.3.5.網(wǎng)絡(luò)審計(jì)系統(tǒng)。錯(cuò)誤!未指定書簽。前言方案涉及范圍方案設(shè)計(jì)中的防護(hù)重點(diǎn)是學(xué)校中心機(jī)房的服務(wù)器區(qū)域，這些服務(wù)器承載了學(xué)校內(nèi)部的所有業(yè)務(wù)系統(tǒng)，因此是需要重點(diǎn)防護(hù)的信息資產(chǎn)。學(xué)校目前采取了數(shù)據(jù)大集中的模式，將所有的業(yè)務(wù)數(shù)據(jù)集中在中心機(jī)房,數(shù)據(jù)大集中模式將導(dǎo)致數(shù)據(jù)中心的安全風(fēng)險(xiǎn)也很集中，因此必須對(duì)中心機(jī)房服務(wù)器區(qū)域進(jìn)行重點(diǎn)防護(hù)。方案中還要對(duì)綜合網(wǎng)管區(qū)域、數(shù)據(jù)存儲(chǔ)區(qū)域、辦公區(qū)域進(jìn)行規(guī)劃和設(shè)計(jì),納入到整體的安全防護(hù)體系內(nèi)。方案參考標(biāo)準(zhǔn)本方案的主要規(guī)劃的重點(diǎn)內(nèi)容是網(wǎng)絡(luò)安全防護(hù)體系，規(guī)劃的防護(hù)3/28

網(wǎng)絡(luò)安全建設(shè)方案對(duì)象以學(xué)校數(shù)據(jù)中心為主，規(guī)劃的參考標(biāo)準(zhǔn)是等級(jí)保護(hù)，該方案的設(shè)計(jì)要點(diǎn)就是定級(jí)和保障技術(shù)的規(guī)劃，針對(duì)教育部和省教育廳對(duì)等級(jí)保護(hù)的相關(guān)要求，本方案將主要參考以下的標(biāo)準(zhǔn)進(jìn)行規(guī)劃：方案的建設(shè)思想方面,將嚴(yán)格按照湘教發(fā)【2011】33號(hào)文件關(guān)于印發(fā)《湖南省教育信息系統(tǒng)安全等級(jí)保護(hù)工作實(shí)施方案》的通知，該文件對(duì)計(jì)算機(jī)信息系統(tǒng)的等級(jí)化保護(hù)提出了建設(shè)要求，是我省今后一段時(shí)期內(nèi)信息安全保障工作的綱領(lǐng)性文件，文件中對(duì)我省教育行業(yè)信息安全保障工作指出了總體思路。系統(tǒng)定級(jí)方面：參考《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》，該指南適用于黨政機(jī)關(guān)網(wǎng)絡(luò)于信息系統(tǒng)，其中涉及國家秘密的網(wǎng)絡(luò)及信息系統(tǒng),按照國家有關(guān)保密規(guī)定執(zhí)行，其他網(wǎng)絡(luò)及信息系統(tǒng)定級(jí)工作參考本指南進(jìn)行，本指南對(duì)定級(jí)工作的原則、職責(zé)分工、工作程序、定級(jí)要素和方法進(jìn)行了描述，并對(duì)網(wǎng)絡(luò)及信息系統(tǒng)提出了最低安全等級(jí)要求,高等職業(yè)學(xué)校應(yīng)不低于最低安全等級(jí)要求。在本項(xiàng)目中我們建議學(xué)校數(shù)據(jù)中心可按照二級(jí)的建設(shè)目標(biāo)進(jìn)行規(guī)劃。本方案參考的指南和標(biāo)準(zhǔn)具體見下表：安全要素遵循標(biāo)準(zhǔn)指導(dǎo)思想中辦[2003]27號(hào)文件（《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》）等級(jí)保護(hù)《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》《電子政務(wù)信息安全保障技術(shù)框架》技術(shù)方面18336信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)4/28網(wǎng)絡(luò)安全建設(shè)方案安全要素遵循標(biāo)準(zhǔn)估準(zhǔn)則信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求（試用稿）1.3.方案設(shè)計(jì)原則學(xué)校數(shù)據(jù)中心安全體系的建設(shè)應(yīng)遵循國家相關(guān)信息安全保障體系建設(shè)的總體原則，按照統(tǒng)一規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)、適度超前；分級(jí)、分階段實(shí)施;互聯(lián)互通、資源共享、安全保密;以需求為導(dǎo)向、以應(yīng)用促發(fā)展的原則進(jìn)行建設(shè),本方案將嚴(yán)格遵從以下的建設(shè)原則：重點(diǎn)保護(hù)原則本次項(xiàng)目建設(shè)，屬于學(xué)校信息安全保障體系的基礎(chǔ)防護(hù)平臺(tái)建設(shè)階段，以基礎(chǔ)性保障為準(zhǔn),同時(shí)對(duì)中心機(jī)房進(jìn)行重點(diǎn)防護(hù)，根據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》，本方案針對(duì)重要的核心部位嚴(yán)格按照二級(jí)要求進(jìn)行規(guī)劃，確保重要的信息資產(chǎn)能夠得到重點(diǎn)的防護(hù)，具備相當(dāng)?shù)目构裟芰?；分布?shí)施原則數(shù)據(jù)中心建設(shè)的效果將直接影響學(xué)校的信息化建設(shè)，特別是安全保障體系的建設(shè)，因此在規(guī)劃階段必須通盤考慮，實(shí)施的時(shí)候可按照階段進(jìn)行分布實(shí)施，確保學(xué)校信息化建設(shè)，以及安全保障體系的建設(shè)能夠有序開展，并且前期的工作能夠?yàn)楹笃诘慕ㄔO(shè)打好基礎(chǔ)，避免重復(fù)建設(shè)；5/28網(wǎng)絡(luò)安全建設(shè)方案管理及技術(shù)并進(jìn)的原則學(xué)校數(shù)據(jù)中心是一個(gè)高技術(shù)的系統(tǒng)工程，要實(shí)現(xiàn)各業(yè)務(wù)系統(tǒng)的功能和性能，又要采取先進(jìn)的安全技術(shù),還要對(duì)已建立的系統(tǒng)實(shí)施有效的安全管理，在進(jìn)行安全技術(shù)基礎(chǔ)設(shè)施建設(shè)時(shí)應(yīng)注意建立配套的運(yùn)行管理機(jī)制和安全規(guī)章制度。經(jīng)濟(jì)實(shí)用性原則對(duì)學(xué)校數(shù)據(jù)中心安全體系設(shè)計(jì)時(shí)，既要考慮安全風(fēng)險(xiǎn)和需求,又要考慮系統(tǒng)建設(shè)的成本，在保證整體安全的前提下，盡可能的減少投資規(guī)模，壓縮開支。優(yōu)化系統(tǒng)設(shè)計(jì)，合理進(jìn)行系統(tǒng)配置，所采用的產(chǎn)品，要便于操作、實(shí)用高效。標(biāo)準(zhǔn)化原則技術(shù)的標(biāo)準(zhǔn)化是信息系統(tǒng)建設(shè)的基本要求，也是電子化和信息化的前提。學(xué)校數(shù)據(jù)中心構(gòu)成復(fù)雜、應(yīng)用多種多樣，為了保證信息的安全互通互連，確保安全保障體系建設(shè)的典型意義和全面推廣應(yīng)用價(jià)值，必須嚴(yán)格遵循國家和有關(guān)部門關(guān)于信息系統(tǒng)安全管理的規(guī)定及建設(shè)規(guī)范,按照統(tǒng)一的標(biāo)準(zhǔn)進(jìn)行設(shè)計(jì)。適度安全原則任何信息系統(tǒng)都不能做到絕對(duì)的安全，學(xué)校數(shù)據(jù)中心也不例外。因此，在安全體系設(shè)計(jì)時(shí)，要在安全需求、安全風(fēng)險(xiǎn)和安全成本之間進(jìn)行平衡和折中，過多的安全要求必將造成安全成本的迅速增加和運(yùn)行的復(fù)雜性。I統(tǒng)一規(guī)劃原則I6/28網(wǎng)絡(luò)安全建設(shè)方案信息安全保障體系的建設(shè)必須適應(yīng)其信息化的要求，必須兼顧核心業(yè)務(wù)和非核心業(yè)務(wù)的信息化需求,從安全技術(shù)保障、安全組織保障和安全運(yùn)營保障等角度出發(fā)，為學(xué)校規(guī)劃全面的信息安全保障體系。.安全需求分析從安全建設(shè)的角度，本方案認(rèn)為學(xué)校的安全建設(shè)來自兩個(gè)方面，一是從符合國家政策的角度,需要按照公安部的相關(guān)標(biāo)準(zhǔn)，按照分級(jí)、分域的建設(shè)思路，進(jìn)行總體的安全規(guī)劃和設(shè)計(jì)；另外也需要從自身安全防護(hù)的角度，分析對(duì)抗外部惡意攻擊、防范內(nèi)部誤操作行為、規(guī)避物理安全風(fēng)險(xiǎn)、強(qiáng)化安全管理等方面的建設(shè)需求。具體內(nèi)容如下：符合等級(jí)保護(hù)的安全需求等級(jí)保護(hù)框架設(shè)計(jì)本方案中，針對(duì)學(xué)校數(shù)據(jù)中心，按照功能類型的方式進(jìn)行區(qū)域的劃分,根據(jù)信息資產(chǎn)重要性的差別，劃分為服務(wù)器區(qū)域、辦公區(qū)域、運(yùn)維區(qū)域、數(shù)據(jù)存儲(chǔ)區(qū)域等；各區(qū)域內(nèi)設(shè)備類型的差別，以及對(duì)業(yè)務(wù)應(yīng)用影響的區(qū)別，導(dǎo)致各個(gè)區(qū)域應(yīng)該采用不同的安全防護(hù)要求。其中，服務(wù)器區(qū)域內(nèi)主要是各類應(yīng)用服務(wù)器,包括數(shù)據(jù)庫服務(wù)器、各類業(yè)務(wù)系統(tǒng)等，該區(qū)域是數(shù)據(jù)中心最重要的信息資產(chǎn)，必須重點(diǎn)進(jìn)行防護(hù)。運(yùn)維區(qū)域內(nèi)主要是目前已經(jīng)采用的網(wǎng)絡(luò)管理軟件，包括運(yùn)行網(wǎng)管軟件的服務(wù)器和數(shù)據(jù)庫系統(tǒng)，在本期項(xiàng)目建設(shè)中，還可以將一些軟件7/28網(wǎng)絡(luò)安全建設(shè)方案的安全防護(hù)系統(tǒng)部署在該區(qū)域內(nèi)，比如堡壘機(jī)、漏洞掃描系統(tǒng)等，其重要性僅次于服務(wù)器區(qū)域。數(shù)據(jù)存儲(chǔ)區(qū)域則是方案建議規(guī)劃出的一個(gè)區(qū)域，作為綜合網(wǎng)管區(qū)域的本地?cái)?shù)據(jù)災(zāi)備中心，該區(qū)域主要部署了磁盤柜等存儲(chǔ)設(shè)備，由于在物理上該區(qū)域及服務(wù)器區(qū)域緊密相連，因此其重要性也是比較高的；辦公區(qū)域:包括學(xué)校的辦公人員的桌面用機(jī),該區(qū)域的設(shè)備遭到破壞后，對(duì)業(yè)務(wù)系統(tǒng)不會(huì)造成大面積的影響，因此重要性最低，但是該區(qū)域要做好防病毒、補(bǔ)丁管理、行為管理等方面，要防止該區(qū)域的設(shè)備被攻擊者利用，作為進(jìn)一步攻擊其他區(qū)域的“跳板”；相應(yīng)等級(jí)的安全技術(shù)要求綜合參考《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》，我們可將學(xué)校網(wǎng)絡(luò)和信息系統(tǒng)劃分為網(wǎng)絡(luò)基礎(chǔ)設(shè)施、業(yè)務(wù)處理平臺(tái)和應(yīng)用系統(tǒng)三個(gè)層次，其中，業(yè)務(wù)處理平臺(tái)包括了本地計(jì)算區(qū)域和區(qū)域邊界。對(duì)服務(wù)器區(qū)域的安全防護(hù)機(jī)制按照二級(jí)的要求進(jìn)行建設(shè)，對(duì)應(yīng)用系統(tǒng)的安全防護(hù)機(jī)制按照二級(jí)的要求進(jìn)行建設(shè)，其他區(qū)域可參考此標(biāo)準(zhǔn)，根據(jù)自身重要性的區(qū)別，適當(dāng)調(diào)整技術(shù)要求。自身安全防護(hù)的安全需求從自身安全防護(hù)的角度，我們認(rèn)為學(xué)校數(shù)據(jù)中心除了滿足相關(guān)標(biāo)準(zhǔn)以外，還需要考慮物理、終端、邊界、網(wǎng)絡(luò)、系統(tǒng)和管理方面的安8/28

網(wǎng)絡(luò)安全建設(shè)方案全風(fēng)險(xiǎn),并由此產(chǎn)生了以下的安全需求。物理層安全需求保證網(wǎng)絡(luò)信息系統(tǒng)各種設(shè)備的物理安全是保證整個(gè)網(wǎng)絡(luò)信息系統(tǒng)安全的基礎(chǔ)。物理安全是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其他介質(zhì)免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯(cuò)誤及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞過程。它主要包括三個(gè)方面：環(huán)境安全：對(duì)系統(tǒng)所在環(huán)境的安全保護(hù)，如區(qū)域保護(hù)和災(zāi)難保護(hù);（參見國家標(biāo)準(zhǔn)50173-93《電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范》、國標(biāo)2887—89《計(jì)算站場地技術(shù)條件》、9361-88《計(jì)算站場地安全要求》；設(shè)備安全：主要包括設(shè)備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護(hù)等；介質(zhì)安全:包括信息系統(tǒng)數(shù)據(jù)所依賴的存儲(chǔ)介質(zhì)和傳輸介質(zhì)的安全，確保不會(huì)因?yàn)槲锢斫橘|(zhì)的故障導(dǎo)致信息數(shù)據(jù)受損；網(wǎng)絡(luò)層安全需求網(wǎng)絡(luò)是信息系統(tǒng)賴以存在的實(shí)體,離開了網(wǎng)絡(luò)平臺(tái)，信息的傳遞、業(yè)務(wù)的開展將無從依托，因此如何保障網(wǎng)絡(luò)的安全，是構(gòu)建學(xué)校數(shù)據(jù)中心系統(tǒng)安全架構(gòu)的基礎(chǔ)性工作，對(duì)于數(shù)據(jù)中心來講，網(wǎng)絡(luò)安全主要解決運(yùn)行環(huán)境的安全問題,對(duì)應(yīng)網(wǎng)絡(luò)層安全威脅，網(wǎng)絡(luò)安全主要的技術(shù)手段包括訪問控制技術(shù)、加密傳輸技術(shù)、檢測(cè)及響應(yīng)技術(shù)等，對(duì)照學(xué)校數(shù)據(jù)中心的實(shí)際情況，我們看到其存在以下的安全需求：9/28

網(wǎng)絡(luò)安全建設(shè)方案訪問控制需求防范非法用戶的非法訪問非法用戶的非法訪問也就是黑客或間諜的攻擊行為。在沒有任何防范措施的情況下，網(wǎng)絡(luò)的安全主要是靠主機(jī)系統(tǒng)自身的安全，如用戶名及口令字這些簡單的控制。但對(duì)于用戶名及口令的保護(hù)方式，對(duì)有攻擊目的的人而言,根本就不是一種障礙。他們可以通過對(duì)網(wǎng)絡(luò)上信息的監(jiān)聽，得到用戶名及口令或者通過猜測(cè)用戶及口令，這都將不是難事，而且可以說只要花費(fèi)很少的時(shí)間。因此，要采取一定的訪問控制手段,防范來自非法用戶的攻擊，嚴(yán)格控制只有合法用戶才能訪問合法資源。防范合法用戶的非授權(quán)訪問合法用戶的非授權(quán)訪問是指合法用戶在沒有得到許可的情況下訪問了他本不該訪問的資源。一般來說，每個(gè)成員的主機(jī)系統(tǒng)中，有一部份信息是可以對(duì)外開放，而有些信息是要求保密或具有一定的隱私性。外部用戶（指來自外部網(wǎng)絡(luò)的合法用戶）被允許正常訪問的一定的信息，但他同時(shí)通過一些手段越權(quán)訪問了別人不允許他訪問的信息，因此而造成他人的信息泄密。所以，還得加密訪問控制的機(jī)制，對(duì)服務(wù)及訪問權(quán)限進(jìn)行嚴(yán)格控制。防范假冒合法用戶的非法訪問從管理上及實(shí)際需求上是要求合法用戶可正常訪問被許可的資源。既然合法用戶可以訪問資源。那么，入侵者便會(huì)在用戶下班或關(guān)機(jī)的情況下，假冒合法用戶的地址或用戶名等資源進(jìn)行非法訪問。因10/28網(wǎng)絡(luò)安全建設(shè)方案此，必需從訪問控制上做到防止假冒而進(jìn)行的非法訪問。入侵防御需求防火墻是實(shí)現(xiàn)網(wǎng)絡(luò)安全最基本、最經(jīng)濟(jì)、最有效的措施之一。防火墻可以對(duì)所有的訪問進(jìn)行嚴(yán)格控制（允許、禁止、報(bào)警）。但網(wǎng)絡(luò)配置了防火墻卻不一定安全，防火墻不可能完全防止有些新的攻擊或那些不經(jīng)過防火墻的其它攻擊。因?yàn)榫W(wǎng)絡(luò)安全是整體的，動(dòng)態(tài)的，不是單一產(chǎn)品能夠完全實(shí)現(xiàn)，所以確保網(wǎng)絡(luò)更加安全必須配備入侵檢測(cè)和響應(yīng)系統(tǒng)，對(duì)透過防火墻的攻擊進(jìn)行檢測(cè)并做相應(yīng)反應(yīng)（記錄、報(bào)警、阻斷）。系統(tǒng)層安全需求安全漏洞檢測(cè)和修補(bǔ)需求網(wǎng)絡(luò)系統(tǒng)存在安全漏洞（如安全配置不嚴(yán)密等）和操作系統(tǒng)安全漏洞等是黑客等入侵者攻擊屢屢得手的重要因素。入侵者通常都是通過一些程序來探測(cè)網(wǎng)絡(luò)中系統(tǒng)中存在的一些安全漏洞，然后通過發(fā)現(xiàn)的安全漏洞，采取相就技術(shù)進(jìn)行攻擊，因此，必需配備網(wǎng)絡(luò)安全掃描系統(tǒng)和系統(tǒng)安全掃描系統(tǒng)檢測(cè)網(wǎng)絡(luò)中存在的安全漏洞，并采用相應(yīng)的措施填補(bǔ)系統(tǒng)漏洞,對(duì)網(wǎng)絡(luò)設(shè)備等存在的不安全配置重新進(jìn)行安全配置。安全加固需求對(duì)關(guān)鍵的服務(wù)器主機(jī)系統(tǒng)進(jìn)行安全加固，提供用戶認(rèn)證、訪問控制和審計(jì)，嚴(yán)格控制用戶對(duì)服務(wù)器系統(tǒng)的訪問，禁止黑客利用系統(tǒng)的11/28

網(wǎng)絡(luò)安全建設(shè)方案開口隱患和安全管理功能的不足之處進(jìn)行非法訪問，避免內(nèi)部用戶的濫用。應(yīng)用層安全需求防病毒需求針對(duì)防病毒危害性極大并且傳播極為迅速的特點(diǎn)，必須配備涵蓋客戶端、服務(wù)器、郵件系統(tǒng)、互聯(lián)網(wǎng)網(wǎng)關(guān)的整套防病毒體系，實(shí)現(xiàn)全網(wǎng)的病毒安全防護(hù)，徹底切斷病毒繁殖和傳播的途徑。防垃圾郵件需求必須采用有效的手段防范互聯(lián)網(wǎng)垃圾郵件進(jìn)入網(wǎng)絡(luò)內(nèi)部郵件服務(wù)器系統(tǒng)，干擾正常業(yè)務(wù)通信。身份認(rèn)證需求必須采用必要的用戶身份認(rèn)證和授權(quán)管理機(jī)制，對(duì)網(wǎng)絡(luò)用戶身份的真實(shí)性、合法性進(jìn)行集中的控制。數(shù)據(jù)安全需求對(duì)重要的業(yè)務(wù)數(shù)據(jù)和管理數(shù)據(jù)應(yīng)提供可靠的備份和恢復(fù)機(jī)制，防止因非法攻擊或意外事件造成數(shù)據(jù)的破壞或丟失；.網(wǎng)絡(luò)安全建設(shè)內(nèi)容建議在本期項(xiàng)目的建設(shè)中，重點(diǎn)從網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全、管理安全的角度出發(fā)，進(jìn)行建設(shè)，同時(shí)在本期項(xiàng)目成功建設(shè)的基礎(chǔ)上，再進(jìn)一步向物理安全、組織體系、運(yùn)行體系方面進(jìn)行擴(kuò)展，實(shí)12/28

網(wǎng)絡(luò)安全建設(shè)方案現(xiàn)全面的安全策略。具體的實(shí)施方案可參考下圖表示:賓洲樓防火虛21聯(lián)網(wǎng)黑洞杓描運(yùn)維管理區(qū)第舔,阿培審計(jì)寂統(tǒng)WEE應(yīng)用WEBS防火外器電髓黔陰書浦，辦會(huì)區(qū)學(xué)生公寓互底網(wǎng)區(qū)更生機(jī)網(wǎng)珞防璃誨現(xiàn)全面的安全策略。具體的實(shí)施方案可參考下圖表示:賓洲樓防火虛21聯(lián)網(wǎng)黑洞杓描運(yùn)維管理區(qū)第舔,阿培審計(jì)寂統(tǒng)WEE應(yīng)用WEBS防火外器電髓黔陰書浦，辦會(huì)區(qū)學(xué)生公寓互底網(wǎng)區(qū)更生機(jī)網(wǎng)珞防璃誨上網(wǎng)行為背理血控感段效有域城流量清魂靡坡 /相務(wù)器區(qū)存尾蓄份系統(tǒng)教學(xué)樓圖3.1學(xué)校網(wǎng)絡(luò)安全拓?fù)涫疽鈭D在本方案中，在互聯(lián)網(wǎng)接入邊界處部署防火墻系統(tǒng)，形成層次化的訪問控制和區(qū)域隔離。特別針對(duì)服務(wù)器區(qū)域，利用安全邊界接入平臺(tái)技術(shù)加強(qiáng)訪問控制力度,有效保障重要的應(yīng)用系統(tǒng)不受到非法的訪問。止匕外,在服務(wù)器接入邊界處部署入侵防御系統(tǒng)，一方面有效抵抗拒絕服務(wù)、掃描、惡意代碼、木馬、蠕蟲等網(wǎng)絡(luò)攻擊行為，降低來自互聯(lián)網(wǎng)和校園內(nèi)部的威脅及風(fēng)險(xiǎn)。在防火墻邊界隔離的基礎(chǔ)上,部署入侵防御系統(tǒng)可以進(jìn)行深度的檢測(cè)及防護(hù),提升系統(tǒng)的檢測(cè)力度。同時(shí),還在互聯(lián)網(wǎng)接入邊界處部署流量控制系統(tǒng),根據(jù)應(yīng)用和用13/28

網(wǎng)絡(luò)安全建設(shè)方案戶進(jìn)行帶寬的分配及監(jiān)控。在網(wǎng)站前端部署一臺(tái)應(yīng)用防火墻,防范來自互聯(lián)網(wǎng)對(duì)網(wǎng)站的攻擊行為。在互聯(lián)網(wǎng)接入邊界處部署上網(wǎng)行為管理系統(tǒng),規(guī)范辦公區(qū)人員的互聯(lián)網(wǎng)行為，保障核心業(yè)務(wù)系統(tǒng)的流量帶寬。同時(shí)，還在互聯(lián)網(wǎng)接入邊界處部署流量清洗系統(tǒng)，對(duì)網(wǎng)絡(luò)中的異常流量進(jìn)行分析和清洗，保障有限帶寬的合理化利用。在內(nèi)網(wǎng)署一套安全準(zhǔn)入控制系統(tǒng)，加強(qiáng)網(wǎng)絡(luò)安全管理及內(nèi)部的安全管理。部署堡壘機(jī)來對(duì)管理員和第三方維護(hù)人員進(jìn)行設(shè)備維護(hù)時(shí)進(jìn)行審計(jì)管理。部署漏洞掃描系統(tǒng)對(duì)全網(wǎng)的服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備和終端進(jìn)行檢測(cè),發(fā)現(xiàn)網(wǎng)絡(luò)中存在的安全漏洞,并采用相應(yīng)的措施填補(bǔ)系統(tǒng)漏洞。參考圖3.1,針對(duì)學(xué)校數(shù)據(jù)中心，采取的主要防護(hù)措施包括：邊界隔離措施下一代防火墻防火墻是近年發(fā)展起來的重要安全技術(shù),其主要作用是在網(wǎng)絡(luò)入口點(diǎn)檢查網(wǎng)絡(luò)通信，根據(jù)用戶設(shè)定的安全規(guī)則，在保護(hù)內(nèi)部網(wǎng)絡(luò)安全的前提下，提供內(nèi)外網(wǎng)絡(luò)通信，起到安全域劃分、訪問控制、轉(zhuǎn)換和殺毒、漏洞檢測(cè)等防護(hù)的作用，同時(shí)該防火墻還作為網(wǎng)關(guān)為移動(dòng)辦公14/28

網(wǎng)絡(luò)安全建設(shè)方案人員提供遠(yuǎn)程安全連接。通過使用防火墻過濾不安全的服務(wù)，提高網(wǎng)絡(luò)安全和減少子網(wǎng)中主機(jī)的風(fēng)險(xiǎn)，提供對(duì)系統(tǒng)的訪問控制；阻止攻擊者獲得攻擊網(wǎng)絡(luò)系統(tǒng)的有用信息,記錄和統(tǒng)計(jì)網(wǎng)絡(luò)利用數(shù)據(jù)以及非法使用數(shù)據(jù)、攻擊和探測(cè)策略執(zhí)行。防火墻屬于一種被動(dòng)的安全防御工具。設(shè)立防火墻的目的是保護(hù)一個(gè)網(wǎng)絡(luò)不受來自另一個(gè)網(wǎng)絡(luò)的攻擊，防火墻的主要功能包括以下幾個(gè)方面：.防火墻提供安全邊界控制的基本屏障。設(shè)置防火墻可提高內(nèi)部網(wǎng)絡(luò)安全性，降低受攻擊的風(fēng)險(xiǎn)；.防火墻體現(xiàn)網(wǎng)絡(luò)安全策略的具體實(shí)施。防火墻集成所有安全軟件（如口令、加密、認(rèn)證、審計(jì)等），比分散管理更經(jīng)濟(jì)；.防火墻強(qiáng)化安全認(rèn)證和監(jiān)控審計(jì)。因?yàn)樗羞M(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流都必須通過防火墻，防火墻也能提供日志記錄、統(tǒng)計(jì)數(shù)據(jù)、報(bào)警處理、審計(jì)跟蹤等服務(wù)；.防火墻能阻止內(nèi)部信息泄漏。防火墻實(shí)際意義上也是一個(gè)隔離器，即能防外，又能防止內(nèi)部未經(jīng)授權(quán)用戶對(duì)外網(wǎng)的訪問。防火墻設(shè)備的部署,可實(shí)現(xiàn)以下功能：.通過防火墻連接，隔離安全區(qū)域通過對(duì)訪問請(qǐng)求的審核，我們隔離了內(nèi)部網(wǎng)絡(luò)同外部網(wǎng)絡(luò)連接，可以達(dá)到保護(hù)脆弱的服務(wù)、控制對(duì)內(nèi)部的訪問、記錄和統(tǒng)計(jì)網(wǎng)絡(luò)利用數(shù)據(jù)以及非法使用數(shù)據(jù)和策略執(zhí)行等功能。在有不安全網(wǎng)絡(luò)接入時(shí)，全部通信都受到防火墻的監(jiān)控，通過防護(hù)墻的策略可以設(shè)置成相應(yīng)的15/28網(wǎng)絡(luò)安全建設(shè)方案保護(hù)級(jí)別，以保證系統(tǒng)的安全性。.過濾網(wǎng)絡(luò)中不必要傳輸?shù)睦鴶?shù)據(jù)防火墻是一種網(wǎng)關(guān)型的設(shè)備，各個(gè)區(qū)域之間的通信，可以通過防火墻的添加，如果在其上添加一些策略，就可以過濾掉部分無用的信息，在網(wǎng)絡(luò)中只能傳輸必要的應(yīng)用數(shù)據(jù)。.利用防火墻的帶寬控制功能,調(diào)整鏈路的帶寬利用防火墻是一種網(wǎng)關(guān)型的設(shè)備，而且防火墻具有帶寬控制的特性，可以依據(jù)應(yīng)用來限制流量，來調(diào)整鏈路的帶寬。實(shí)現(xiàn)每個(gè)用戶、服務(wù)器的帶寬控制,提高鏈路帶寬利用的效率。.通過防火墻的保護(hù)，隱蔽內(nèi)部網(wǎng)絡(luò)信息，提高系統(tǒng)的安全性使得各個(gè)內(nèi)網(wǎng)區(qū)不受到黑客的攻擊，黑客無法通過防火墻進(jìn)行掃描、攻擊等非法動(dòng)作。可防止黑客通過外部網(wǎng)對(duì)重要服務(wù)器的的端口非法掃描,消除系統(tǒng)安全的隱患?？煞乐构粽咄ㄟ^外部網(wǎng)對(duì)重要服務(wù)器的源路由攻擊、碎片包攻擊、//攻擊、攻擊、拒絕服務(wù)等多種攻擊。防火墻還具有一定的入侵檢測(cè)功能，當(dāng)發(fā)現(xiàn)有繞過防火墻攻擊重要服務(wù)器時(shí)，防火墻將自動(dòng)報(bào)警并根據(jù)策略進(jìn)行響應(yīng)。.強(qiáng)大的應(yīng)用層控制防火墻提供應(yīng)用級(jí)透明代理，可以對(duì)高層應(yīng)用（、、、3、）做了更詳細(xì)控制,如命令（，，）及，命令（,）及文件控制。這對(duì)于提高網(wǎng)絡(luò)中的應(yīng)用服務(wù)器的安全非常有意義。16/28網(wǎng)絡(luò)安全建設(shè)方案入侵防御系統(tǒng)剛才提到防火墻實(shí)現(xiàn)的是不同安全域之間的訪問控制和管理，而入侵防御系統(tǒng)實(shí)現(xiàn)的是對(duì)整個(gè)內(nèi)網(wǎng)的訪問控制、數(shù)據(jù)包深度過濾、漏洞攻擊防御、郵件病毒過濾、報(bào)文完整性分析等功能，并提供更高的性能、更細(xì)的安全控制粒度、更深的內(nèi)容攻擊防御、更大的功能擴(kuò)展空間、更豐富的服務(wù)和協(xié)議支持，為網(wǎng)絡(luò)提供完整的立體式網(wǎng)絡(luò)安全防護(hù)。入侵防御系統(tǒng)是在線部署在網(wǎng)絡(luò)中，提供主動(dòng)的、實(shí)時(shí)的防護(hù)，具備對(duì)2到7層網(wǎng)絡(luò)的線速、深度檢測(cè)能力，同時(shí)配合以精心研究、及時(shí)更新的攻擊特征庫，即可以有效檢測(cè)并實(shí)時(shí)阻斷隱藏在海量網(wǎng)絡(luò)中的病毒、攻擊及濫用行為，也可以對(duì)分布在網(wǎng)絡(luò)中的各種流量進(jìn)行有效管理,從而達(dá)到對(duì)網(wǎng)絡(luò)架構(gòu)防護(hù)、網(wǎng)絡(luò)性能保護(hù)和核心應(yīng)用防護(hù)。流量控制系統(tǒng)隨著互聯(lián)網(wǎng)的逐步發(fā)展，網(wǎng)上用戶和業(yè)務(wù)流量在不斷增長，除傳17/28網(wǎng)絡(luò)安全建設(shè)方案統(tǒng)數(shù)據(jù)業(yè)務(wù)外，網(wǎng)絡(luò)電話、網(wǎng)絡(luò)視頻、P2P下載等新型網(wǎng)絡(luò)應(yīng)用使得骨干網(wǎng)絡(luò)中話音、視頻、點(diǎn)到點(diǎn)下載流量在呈幾何基數(shù)級(jí)膨脹趨勢(shì)。今天的互聯(lián)網(wǎng)用戶中，沒有聽說或使用過 等應(yīng)用的恐怕已經(jīng)是極少數(shù)。網(wǎng)絡(luò)應(yīng)用繁榮的同時(shí)，網(wǎng)絡(luò)管理的難度也隨之增加。傳統(tǒng)的網(wǎng)絡(luò)設(shè)備由于無法識(shí)別應(yīng)用層的流量信息，致使應(yīng)用級(jí)別的管控不到位，網(wǎng)絡(luò)管理的灰色地帶不斷增加。主要表現(xiàn)在：網(wǎng)絡(luò)透明度降低：無法獲知網(wǎng)上的各種應(yīng)用及用戶準(zhǔn)確分布■情況，無法針對(duì)不同用戶、不同應(yīng)用設(shè)置差異化的管理策略；網(wǎng)絡(luò)資源濫用嚴(yán)重,難以進(jìn)行有效控制管理：如，觀看在線視■頻（網(wǎng)絡(luò)電視、在線影視）、利用各種下載工具下載喜歡的音樂/影視等；致使網(wǎng)絡(luò)鏈路經(jīng)常處于流量飽和的狀態(tài)，無法滿足日益增長的應(yīng)用需求；關(guān)鍵用戶、關(guān)鍵應(yīng)用的服務(wù)質(zhì)量難以得到有效保障:網(wǎng)絡(luò)應(yīng)用■流量種類、數(shù)量不斷增多，無序化的競爭經(jīng)常導(dǎo)致關(guān)鍵用戶、關(guān)鍵應(yīng)用的服務(wù)體驗(yàn)的降低；■網(wǎng)絡(luò)安全性降低：由于網(wǎng)絡(luò)的無序化管理，內(nèi)部人員對(duì)網(wǎng)絡(luò)應(yīng)用的濫用，大量蠕蟲病毒、攻擊趁虛而入，這些以消耗網(wǎng)絡(luò)資源為目的的流量類攻擊發(fā)展迅猛,卻沒有有效的防范、控制手段，造成網(wǎng)絡(luò)擁塞,甚至網(wǎng)絡(luò)癱瘓，為網(wǎng)絡(luò)安全帶來了重大的隱患；另外，現(xiàn)有網(wǎng)絡(luò)設(shè)備無法實(shí)現(xiàn)應(yīng)用級(jí)別管控還會(huì)給各類不同用戶18/28

網(wǎng)絡(luò)安全建設(shè)方案帶來其它一些嚴(yán)重問題，例如：■對(duì)于企業(yè)網(wǎng)絡(luò):用戶網(wǎng)絡(luò)行為監(jiān)管困難，既便制定了內(nèi)部網(wǎng)絡(luò)管理?xiàng)l例,員工的上網(wǎng)行為也難以進(jìn)行有效的管理。例如，在工作時(shí)間炒股票（大智慧、通花順、錢龍等）、玩網(wǎng)絡(luò)游戲（傳奇、魔獸、聯(lián)眾、反恐精英等）、用、等即時(shí)通訊工具進(jìn)行及工作無關(guān)的聊天等，這不僅會(huì)影響工作效率,也會(huì)給網(wǎng)絡(luò)管理帶來巨大隱患；對(duì)于電信運(yùn)營商網(wǎng)絡(luò)：對(duì)應(yīng)用管控的缺失，造成非法、P2P■應(yīng)用、在線視頻應(yīng)用的泛濫，一方面，其占有了大量的網(wǎng)絡(luò)資源，帶來了擴(kuò)容壓力;另一方面，其也對(duì)運(yùn)營商的主營業(yè)務(wù)（傳統(tǒng)的語音業(yè)務(wù)、新興的業(yè)務(wù)等）收入造成了巨大的影響。對(duì)于今天的網(wǎng)絡(luò)管理者而言，如何深度感知網(wǎng)絡(luò)應(yīng)用，通過適當(dāng)?shù)膸捁芾砑夹g(shù)來解決帶寬增長及業(yè)務(wù)收益、網(wǎng)絡(luò)擴(kuò)容及用戶體驗(yàn)之間的不對(duì)稱關(guān)系，實(shí)現(xiàn)對(duì)用戶和業(yè)務(wù)的分級(jí)化識(shí)別管理，和基于用戶和用戶業(yè)務(wù)流量的管理和增值顯得尤為重要。在這種背景下，流量控制系統(tǒng)就能夠很好的解決上述網(wǎng)絡(luò)面臨的問題，它通過高速數(shù)據(jù)內(nèi)容檢測(cè)、數(shù)據(jù)流狀態(tài)監(jiān)測(cè)、隧道和微碼固件等方法,在對(duì)網(wǎng)絡(luò)應(yīng)用深度解析的基礎(chǔ)上,實(shí)現(xiàn)了2?7層的應(yīng)用識(shí)別分類、流量屬性分析、流量策略管理、分類統(tǒng)計(jì)報(bào)告以及狀態(tài)預(yù)警等多種功能。流控為提高網(wǎng)絡(luò)透明度，實(shí)施網(wǎng)絡(luò)應(yīng)用服務(wù)管理以及拓展網(wǎng)絡(luò)增值業(yè)務(wù)提供了有效和可靠的硬件平臺(tái)，在對(duì)網(wǎng)絡(luò)流量進(jìn)行精確識(shí)別分析進(jìn)而達(dá)到控制的目的的同時(shí)，鞏固和加強(qiáng)了網(wǎng)絡(luò)的安全管19/28網(wǎng)絡(luò)安全建設(shè)方案理。流量清洗系統(tǒng)隨著各種業(yè)務(wù)對(duì)依賴程度的日益加強(qiáng)，攻擊所帶來的損失也愈加嚴(yán)重。包括運(yùn)營商、企業(yè)及政府機(jī)構(gòu)的各種用戶時(shí)刻都受到了攻擊的威脅，而未來更加強(qiáng)大的攻擊工具的出現(xiàn)，為日后發(fā)動(dòng)數(shù)量更多、破壞力更強(qiáng)的攻擊帶來可能。正是由于攻擊非常難于防御，以及其危害嚴(yán)重，所以如何有效的應(yīng)對(duì)攻擊就成為使用者所需面對(duì)的嚴(yán)峻挑戰(zhàn)。網(wǎng)絡(luò)設(shè)備或者傳統(tǒng)的邊界安全設(shè)備，諸如防火墻、入侵檢測(cè)系統(tǒng)，作為整體安全策略中不可缺少的重要模塊,都不能有效的提供針對(duì)攻擊完善的防御能力。面對(duì)這類給可用性帶來極大損害的攻擊，必須采用專門的設(shè)備，對(duì)攻擊進(jìn)行有效檢測(cè)及阻斷,進(jìn)而遏制這類不斷增長的、復(fù)雜的且極具欺騙性的攻擊形式。因此，對(duì)骨干設(shè)備的防護(hù)也是整個(gè)網(wǎng)絡(luò)環(huán)境的關(guān)鍵，建議在互聯(lián)網(wǎng)接入處部署專業(yè)的防護(hù)產(chǎn)品，保障用戶網(wǎng)絡(luò)可用性。應(yīng)用安全措施應(yīng)用防火墻隨著信息技術(shù)的不斷發(fā)展，互聯(lián)網(wǎng)已經(jīng)成為信息傳播、流通、交換及存儲(chǔ)的重要手段。信息高速公路的興建使人類完全突破了傳統(tǒng)的信息獲取方式,存儲(chǔ)在計(jì)算機(jī)中的資料都在逐漸增加，對(duì)信息的保護(hù)比以往更加重要也更加困難。由于是個(gè)開放的網(wǎng)絡(luò),網(wǎng)站發(fā)布的信20/28

網(wǎng)絡(luò)安全建設(shè)方案息一天二十四小時(shí)都在被查詢、閱讀、下載或轉(zhuǎn)載。網(wǎng)站內(nèi)容復(fù)制容易，轉(zhuǎn)載速度快，學(xué)校站點(diǎn)網(wǎng)頁如果被篡改，后果難以預(yù)料，篡改網(wǎng)頁將會(huì)被迅速、廣泛傳播，從而直接危害網(wǎng)站的利益。尤其是網(wǎng)站上發(fā)布的重要新聞、重大方針政策以及法規(guī)等，一旦被黑客篡改，將嚴(yán)重影響政府形象,甚至造成重大的政治經(jīng)濟(jì)損失和惡劣的社會(huì)影響。服務(wù)器前端部署應(yīng)用防火墻,可以提高相關(guān)站點(diǎn)的安全性。當(dāng)出現(xiàn)黑客攻擊或工作人員某些操作失誤，應(yīng)用防火墻能夠?qū)崟r(shí)恢復(fù)網(wǎng)站文件,保證網(wǎng)站的連續(xù)正常運(yùn)行；同時(shí)還能夠記錄篡改事件的相關(guān)資料，從而為安全部門提供調(diào)查的線索和證據(jù)。應(yīng)用防火墻具備實(shí)時(shí)、低耗等性能指標(biāo)，既能夠保證篡改頁面的立即恢復(fù)，又能保證網(wǎng)站的正常服務(wù)性能不受影響。應(yīng)用防火墻支持全透明部署模式，全面支持協(xié)議，在提供應(yīng)用實(shí)時(shí)深度防御的同時(shí)實(shí)現(xiàn)應(yīng)用加速及敏感信息泄露防護(hù),能夠解決應(yīng)用及業(yè)務(wù)邏輯層面的安全問題，特別是解決目前所面臨的各類網(wǎng)站安全問題，如：注入攻擊、跨站腳本攻擊（釣魚攻擊）、惡意編碼（網(wǎng)頁木馬）、緩沖區(qū)溢出、信息泄露、應(yīng)用層攻擊等等。上網(wǎng)行為管理系統(tǒng)隨著信息化建設(shè)的開展,工作和生活對(duì)于互聯(lián)網(wǎng)的依賴性越來越強(qiáng)。在學(xué)校職工利用互聯(lián)網(wǎng)獲得更多更及時(shí)地資源的時(shí)候，一些網(wǎng)絡(luò)性能方面和應(yīng)用方面的問題被暴露了出來,大量的P2P等非關(guān)鍵應(yīng)用無情地吞噬著網(wǎng)絡(luò)有限的帶寬資源，使得網(wǎng)絡(luò)管理人員頭痛不已。21/28

網(wǎng)絡(luò)安全建設(shè)方案在沒有對(duì)P2P流量進(jìn)行策略管理的時(shí)間段內(nèi)^2P等非關(guān)鍵應(yīng)用的流量幾乎占用了60—70%的網(wǎng)絡(luò)帶寬,關(guān)鍵性應(yīng)用如、、網(wǎng)站等卻得不到保障,會(huì)嚴(yán)重影響了機(jī)關(guān)網(wǎng)絡(luò)的健康發(fā)展。通過在互聯(lián)網(wǎng)出口處部署一臺(tái)上網(wǎng)行為管理系統(tǒng)，對(duì)互聯(lián)網(wǎng)資源做一個(gè)合理的流量控制,抑制P2P的濫用，并保障關(guān)鍵應(yīng)用的帶寬，大幅度提高訪問互聯(lián)網(wǎng)的速度,有效提升帶寬利用率。上網(wǎng)行為管理系統(tǒng)提供了強(qiáng)大的網(wǎng)頁過濾功能，屏蔽對(duì)非法網(wǎng)站的訪問；提供基于時(shí)間、用戶、應(yīng)用的精細(xì)管理策略，控制職工在上班時(shí)間玩網(wǎng)絡(luò)游戲、炒股、觀看在線視頻,以及無節(jié)制的網(wǎng)絡(luò)聊天，從而保障工作效率；提供對(duì)電子郵件、即時(shí)通訊、論壇發(fā)帖等途徑的外發(fā)信息進(jìn)行監(jiān)控審計(jì)，避免機(jī)密信息泄露或發(fā)表反動(dòng)言論等。內(nèi)網(wǎng)安全準(zhǔn)入控制系統(tǒng)學(xué)校業(yè)務(wù)種類越來越多，重要性越來越突出。所以辦公計(jì)算機(jī)的系統(tǒng)安全以及日常的運(yùn)行維護(hù)顯的尤為重要,如果出現(xiàn)安全漏洞或安全事故,將會(huì)嚴(yán)重影響整體業(yè)務(wù)運(yùn)行安全。由于學(xué)校信息化程度較高，終端點(diǎn)數(shù)較多，對(duì)軟硬件的資產(chǎn)管理及故障維護(hù)靠人工施行難度較大，且效率低下，迫切需要通過技術(shù)手段規(guī)范人員入網(wǎng)及日常終端使用行為。為加強(qiáng)網(wǎng)絡(luò)安全管理及加強(qiáng)內(nèi)部的安全管理,建議在內(nèi)網(wǎng)部署一套安全準(zhǔn)入控制系統(tǒng)，這套系統(tǒng)將重點(diǎn)解決以下問題：用戶入網(wǎng)身份證書認(rèn)證化22/28網(wǎng)絡(luò)安全建設(shè)方案＞入網(wǎng)終端登記注冊(cè)認(rèn)證化＞違規(guī)終端不準(zhǔn)入網(wǎng)、入網(wǎng)終端必合規(guī)＞安全檢查一目了然、智能傻瓜式修復(fù)＞用戶權(quán)限的細(xì)粒度分派及管理＞全網(wǎng)終端軟硬件資產(chǎn)合理、實(shí)時(shí)、有序管理＞終端系統(tǒng)補(bǔ)丁、殺毒軟件、應(yīng)用程序等有效統(tǒng)一管理安全準(zhǔn)入控制系統(tǒng)可以對(duì)所有的入網(wǎng)設(shè)備進(jìn)行身份認(rèn)證,包括地址、地址、基于用戶名和密碼的身份、接入設(shè)備端口、所在等信息，還支持、支持智能卡、數(shù)字證書認(rèn)證、、無縫結(jié)合域管理。保證接入設(shè)備為合法終端。3?3.安全運(yùn)維措施3.3.1.堡壘機(jī)隨著信息技術(shù)的不斷發(fā)展和信息化建設(shè)的不斷進(jìn)步,業(yè)務(wù)應(yīng)用、辦公系統(tǒng)不斷推出和投入運(yùn)行，信息系統(tǒng)在政府機(jī)構(gòu)運(yùn)營中全面滲透。學(xué)校信息系統(tǒng)使用數(shù)量眾多的網(wǎng)絡(luò)設(shè)備、服務(wù)器主機(jī)來提供基礎(chǔ)網(wǎng)絡(luò)服務(wù)、運(yùn)行關(guān)鍵業(yè)務(wù)。由于設(shè)備和服務(wù)器眾多，系統(tǒng)管理員壓力太大等因素，越權(quán)訪問、誤操作、濫用、惡意破壞等情況時(shí)有發(fā)生，另外黑客的惡意訪問也有可能獲取系統(tǒng)權(quán)限，闖入內(nèi)部網(wǎng)絡(luò),造成不可估量的損失。如何提高系統(tǒng)運(yùn)維管理水平，跟蹤服務(wù)器上用戶的操作行為，防止黑客的入侵和破壞，提供控制和審計(jì)依據(jù)，降低運(yùn)維成本,滿足相關(guān)標(biāo)準(zhǔn)要求,越來越成為管理員關(guān)心的問題。23/28網(wǎng)絡(luò)安全建設(shè)方案通過部署堡壘機(jī),該設(shè)備扮演著看門者的職責(zé),所有對(duì)網(wǎng)絡(luò)設(shè)備和服務(wù)器的請(qǐng)求都要從這扇大門經(jīng)過。因此它能夠攔截非法訪問和惡意攻擊，對(duì)不合法命令進(jìn)行阻斷、過濾掉所有對(duì)目標(biāo)設(shè)備的非法訪問行為。并能夠?qū)⑺械妮敵鲂畔⑷坑涗浵聛?；具備審?jì)回放功能,能夠模擬用戶的在線操作過程，豐富和完善了網(wǎng)絡(luò)的內(nèi)控審計(jì)功能。因此，堡壘機(jī)能夠極大的保護(hù)內(nèi)部網(wǎng)絡(luò)設(shè)備及服務(wù)器資源的安全性,使得內(nèi)部網(wǎng)絡(luò)管理更加合理化和專業(yè)化。云里里機(jī)防問控網(wǎng)入口蹦日瑙聽云卿sum企業(yè)云資產(chǎn)云里里機(jī)防問控網(wǎng)入口蹦日瑙聽云卿sum企業(yè)云資產(chǎn)話行ERP解勢(shì)的云曉郡m3.3.2.漏洞掃描系統(tǒng)在內(nèi)網(wǎng)服務(wù)器區(qū)部署一臺(tái)漏洞掃描系統(tǒng)。其主要用于分析和指出有關(guān)網(wǎng)絡(luò)的安全漏洞及被測(cè)系統(tǒng)的薄弱環(huán)節(jié)，給出詳細(xì)的檢測(cè)報(bào)告，并針對(duì)檢測(cè)到的網(wǎng)絡(luò)安全隱患給出相應(yīng)的修補(bǔ)措施和安全建議。漏洞掃描系統(tǒng)通過模擬黑客的進(jìn)攻方法，對(duì)被檢系統(tǒng)進(jìn)行攻擊性的安全漏24/28

網(wǎng)絡(luò)安全建設(shè)方案洞和隱患掃描，提交風(fēng)險(xiǎn)評(píng)估報(bào)告，并提供相應(yīng)的整改措施。先于黑客發(fā)現(xiàn)并彌補(bǔ)漏洞，防患于未然。預(yù)防性的安全檢查最大限度地暴露了現(xiàn)存網(wǎng)絡(luò)系統(tǒng)中存在的安全隱患，配合行之有效的整改措施，可以將網(wǎng)絡(luò)系統(tǒng)的運(yùn)行風(fēng)險(xiǎn)降至最低。網(wǎng)站監(jiān)控預(yù)警平臺(tái)由于針對(duì)系統(tǒng)的網(wǎng)絡(luò)訪問控制措施被廣泛采用，且一般只開放等必要的服務(wù)端