1、2020年4月19日等級(jí)保護(hù)技術(shù)方案文檔僅供參考信息系統(tǒng)等級(jí)保護(hù)建設(shè)指導(dǎo)要求（三級(jí)）目錄 TOC o 1-3 h z u HYPERLINK l _Toc 1.范圍 PAGEREF _Toc h - 1 - HYPERLINK l _Toc 2.項(xiàng)目背景 PAGEREF _Toc h - 2 - HYPERLINK l _Toc 2.1.前言 PAGEREF _Toc h - 2 - HYPERLINK l _Toc 2.2.開展信息安全等級(jí)保護(hù)的法規(guī)、政策和技術(shù)依據(jù) PAGEREF _Toc h - 3 - HYPERLINK l _Toc 2.2.1信息安全等級(jí)保護(hù)有關(guān)法規(guī)、政策、文件 P

2、AGEREF _Toc h - 6 - HYPERLINK l _Toc 2.2.2信息安全等級(jí)保護(hù)技術(shù)標(biāo)準(zhǔn)體系及其關(guān)系 PAGEREF _Toc h - 9 - HYPERLINK l _Toc 3.方案設(shè)計(jì)要求 PAGEREF _Toc h - 17 - HYPERLINK l _Toc 3.1.方案設(shè)計(jì)思想 PAGEREF _Toc h - 17 - HYPERLINK l _Toc 3.1.1構(gòu)建符合信息系統(tǒng)等級(jí)保護(hù)要求的安全體系結(jié)構(gòu) PAGEREF _Toc h - 17 - HYPERLINK l _Toc 3.1.2建立科學(xué)實(shí)用的全程訪問(wèn)控制機(jī)制 PAGEREF _Toc h -

3、 17 - HYPERLINK l _Toc 3.1.3加強(qiáng)源頭控制，實(shí)現(xiàn)基礎(chǔ)核心層的縱深防御 PAGEREF _Toc h - 18 - HYPERLINK l _Toc 3.1.4面向應(yīng)用，構(gòu)建安全應(yīng)用支撐平臺(tái) PAGEREF _Toc h - 19 - HYPERLINK l _Toc 3.2.建設(shè)原則 PAGEREF _Toc h - 19 - HYPERLINK l _Toc 3.3.建設(shè)內(nèi)容 PAGEREF _Toc h - 20 - HYPERLINK l _Toc 3.3.1信息系統(tǒng)定級(jí)整改規(guī)劃 PAGEREF _Toc h - 20 - HYPERLINK l _Toc 3.

4、3.2信息系統(tǒng)安全等級(jí)保護(hù)整體架構(gòu)設(shè)計(jì)（三級(jí)） PAGEREF _Toc h - 21 - HYPERLINK l _Toc 3.4.計(jì)算環(huán)境安全設(shè)計(jì) PAGEREF _Toc h - 27 - HYPERLINK l _Toc 5.1.1用戶身份鑒別 PAGEREF _Toc h - 27 - HYPERLINK l _Toc 5.1.2強(qiáng)制訪問(wèn)控制 PAGEREF _Toc h - 28 - HYPERLINK l _Toc 5.1.3系統(tǒng)安全審計(jì) PAGEREF _Toc h - 29 - HYPERLINK l _Toc 5.1.4用戶數(shù)據(jù)完整性保護(hù) PAGEREF _Toc h -

5、29 - HYPERLINK l _Toc 5.1.5用戶數(shù)據(jù)機(jī)密性保護(hù) PAGEREF _Toc h - 30 - HYPERLINK l _Toc 5.1.6客體安全重用 PAGEREF _Toc h - 30 - HYPERLINK l _Toc 5.1.7程序可執(zhí)行保護(hù) PAGEREF _Toc h - 30 - HYPERLINK l _Toc 3.5.區(qū)域邊界安全設(shè)計(jì) PAGEREF _Toc h - 30 - HYPERLINK l _Toc 5.2.1區(qū)域邊界訪問(wèn)控制 PAGEREF _Toc h - 31 - HYPERLINK l _Toc 5.2.2區(qū)域邊界包過(guò)濾 PAG

6、EREF _Toc h - 34 - HYPERLINK l _Toc 5.2.3區(qū)域邊界安全審計(jì) PAGEREF _Toc h - 34 - HYPERLINK l _Toc 5.2.4區(qū)域邊界完整性保護(hù) PAGEREF _Toc h - 35 - HYPERLINK l _Toc 3.6.安全通信網(wǎng)絡(luò)設(shè)計(jì) PAGEREF _Toc h - 35 - HYPERLINK l _Toc 3.7.安全管理中心設(shè)計(jì) PAGEREF _Toc h - 35 - HYPERLINK l _Toc 4.物理安全要求 PAGEREF _Toc h - 36 - HYPERLINK l _Toc 4.1.信

7、息系統(tǒng)中心機(jī)房安全現(xiàn)狀 PAGEREF _Toc h - 36 - HYPERLINK l _Toc 4.2.信息系統(tǒng)物理安全方面提出的要求 PAGEREF _Toc h - 37 - HYPERLINK l _Toc 4.3.信息系統(tǒng)物理安全建設(shè) PAGEREF _Toc h - 37 - HYPERLINK l _Toc 5.3.1環(huán)境安全 PAGEREF _Toc h - 38 - HYPERLINK l _Toc 5.3.2設(shè)備安全 PAGEREF _Toc h - 41 - HYPERLINK l _Toc 5.3.3介質(zhì)安全 PAGEREF _Toc h - 42 - HYPERL

8、INK l _Toc 5.管理安全要求 PAGEREF _Toc h - 47 - HYPERLINK l _Toc 5.1.信息系統(tǒng)安全管理的要求 PAGEREF _Toc h - 48 - HYPERLINK l _Toc 5.2.信息系統(tǒng)安全管理建設(shè)設(shè)計(jì) PAGEREF _Toc h 51 HYPERLINK l _Toc 6.2.1安全管理建設(shè)原則 PAGEREF _Toc h 51 HYPERLINK l _Toc 6.2.2安全管理建設(shè)指導(dǎo)思想 PAGEREF _Toc h 51 HYPERLINK l _Toc 6.2.3安全管理建設(shè)具體措施 PAGEREF _Toc h 51

9、HYPERLINK l _Toc 5.3.信息系統(tǒng)安全建設(shè)總結(jié) PAGEREF _Toc h 59 HYPERLINK l _Toc 6.設(shè)備要求 PAGEREF _Toc h 59 HYPERLINK l _Toc 6.1.設(shè)備選型原則 PAGEREF _Toc h 60 HYPERLINK l _Toc 6.2.產(chǎn)品分類選型指標(biāo) PAGEREF _Toc h 61 HYPERLINK l _Toc 6.2.1.主機(jī)安全管理平臺(tái)指標(biāo) PAGEREF _Toc h 61 HYPERLINK l _Toc 6.2.2.應(yīng)用安全防護(hù)系統(tǒng)指標(biāo) PAGEREF _Toc h 62 HYPERLINK

10、l _Toc 6.2.3.終端安全防護(hù)系統(tǒng)（服務(wù)器版）指標(biāo) PAGEREF _Toc h 64 HYPERLINK l _Toc 6.2.4.終端安全防護(hù)系統(tǒng)（PC版）指標(biāo) PAGEREF _Toc h 65 HYPERLINK l _Toc 6.2.5.身份認(rèn)證網(wǎng)關(guān)指標(biāo) PAGEREF _Toc h 68 HYPERLINK l _Toc 6.2.6.數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)指標(biāo) PAGEREF _Toc h 68 HYPERLINK l _Toc 6.2.7.防火墻選型指標(biāo) PAGEREF _Toc h 70 HYPERLINK l _Toc 6.2.8.防病毒網(wǎng)關(guān)指標(biāo) PAGEREF _Toc h

11、 71 HYPERLINK l _Toc 6.2.9.入侵檢測(cè)系統(tǒng)指標(biāo) PAGEREF _Toc h 72 HYPERLINK l _Toc 6.2.10.漏洞掃描系統(tǒng)指標(biāo) PAGEREF _Toc h 73 HYPERLINK l _Toc 6.2.11.抗拒絕服務(wù)系統(tǒng)指標(biāo) PAGEREF _Toc h 74 HYPERLINK l _Toc 6.2.12.流量控制網(wǎng)關(guān)指標(biāo) PAGEREF _Toc h 75 HYPERLINK l _Toc 6.2.13.網(wǎng)絡(luò)審計(jì)系統(tǒng)指標(biāo) PAGEREF _Toc h 76 HYPERLINK l _Toc 6.2.14.VPN設(shè)備選型指標(biāo) PAGEREF

12、 _Toc h 77 HYPERLINK l _Toc 6.3.信息系統(tǒng)安全等級(jí)保護(hù)建設(shè)安全產(chǎn)品配置清單（三級(jí)） PAGEREF _Toc h 79 HYPERLINK l _Toc 附件一：術(shù)語(yǔ)和定義 PAGEREF _Toc h 81 HYPERLINK l _Toc 附件二：方案設(shè)計(jì)參考法規(guī)、政策、標(biāo)準(zhǔn)（含國(guó)標(biāo)、行標(biāo)、已送批）列表 PAGEREF _Toc h 91方案設(shè)計(jì)要求方案設(shè)計(jì)思想構(gòu)建符合信息系統(tǒng)等級(jí)保護(hù)要求的安全體系結(jié)構(gòu)平臺(tái)安全建設(shè)需要在整體信息安全體系指導(dǎo)下進(jìn)行實(shí)施，保證信息安全建設(shè)真正發(fā)揮效力。隨著計(jì)算機(jī)科學(xué)技術(shù)的不斷發(fā)展，計(jì)算機(jī)產(chǎn)品的不斷增加，信息系統(tǒng)也變得越來(lái)越復(fù)雜。從

13、體系架構(gòu)角度看，任何一個(gè)信息系統(tǒng)都由計(jì)算環(huán)境、區(qū)域邊界、通信網(wǎng)絡(luò)三個(gè)層次組成。所謂計(jì)算環(huán)境就是用戶的工作環(huán)境，由完成信息存儲(chǔ)與處理的計(jì)算機(jī)系統(tǒng)硬件和系統(tǒng)軟件以及外部設(shè)備及其連接部件組成，計(jì)算環(huán)境的安全是信息系統(tǒng)安全的核心，是授權(quán)和訪問(wèn)控制的源頭；區(qū)域邊界是計(jì)算環(huán)境的邊界，對(duì)進(jìn)入和流出計(jì)算環(huán)境的信息實(shí)施控制和保護(hù)；通信網(wǎng)絡(luò)是計(jì)算環(huán)境之間實(shí)現(xiàn)信息傳輸功能的部分。在這三個(gè)層次中，如果每一個(gè)使用者都是經(jīng)過(guò)認(rèn)證和授權(quán)的，其操作都是符合規(guī)定的，那么就不會(huì)產(chǎn)生攻擊性的事故，就能保證整個(gè)信息系統(tǒng)的安全。建立科學(xué)實(shí)用的全程訪問(wèn)控制機(jī)制訪問(wèn)控制機(jī)制是信息系統(tǒng)中敏感信息保護(hù)的核心，依據(jù)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分

14、準(zhǔn)則（GB17859-1999）（以下簡(jiǎn)稱GB17859-1999）：三級(jí)信息系統(tǒng)安全保護(hù)環(huán)境的設(shè)計(jì)策略，應(yīng)“提供有關(guān)安全策略模型、數(shù)據(jù)標(biāo)記以及主體對(duì)客體強(qiáng)制訪問(wèn)控制”的相關(guān)要求。 基于“一個(gè)中心支撐下的三重保障體系結(jié)構(gòu)”的安全保護(hù)環(huán)境，構(gòu)造非形式化的安全策略模型，對(duì)主、客體進(jìn)行安全標(biāo)記，并以此為基礎(chǔ)，按照訪問(wèn)控制規(guī)則實(shí)現(xiàn)對(duì)所有主體及其所控制的客體的強(qiáng)制訪問(wèn)控制。由安全管理中心統(tǒng)一制定和下發(fā)訪問(wèn)控制策略，在安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)實(shí)施統(tǒng)一的全程訪問(wèn)控制，阻止對(duì)非授權(quán)用戶的訪問(wèn)行為以及授權(quán)用戶的非授權(quán)訪問(wèn)行為。加強(qiáng)源頭控制，實(shí)現(xiàn)基礎(chǔ)核心層的縱深防御終端是一切不安全問(wèn)題的根源，終端

15、安全是信息系統(tǒng)安全的源頭，如果在終端實(shí)施積極防御、綜合防范，努力消除不安全問(wèn)題的根源，那么重要信息就不會(huì)從終端泄露出去，病毒、木馬也無(wú)法入侵終端，內(nèi)部惡意用戶更是無(wú)法從網(wǎng)內(nèi)攻擊信息系統(tǒng)安全，防范內(nèi)部用戶攻擊的問(wèn)題迎刃而解。安全操作系統(tǒng)是終端安全的核心和基礎(chǔ)。如果沒(méi)有安全操作系統(tǒng)的支撐，終端安全就毫無(wú)保障。實(shí)現(xiàn)基礎(chǔ)核心層的縱深防御需要高安全等級(jí)操作系統(tǒng)的支撐，以此為基礎(chǔ)實(shí)施深層次的人、技術(shù)和操作的控制。面向應(yīng)用，構(gòu)建安全應(yīng)用支撐平臺(tái)在當(dāng)前的信息系統(tǒng)中，不但包括單機(jī)模式的應(yīng)用，還包括C/S和B/S模式的應(yīng)用。雖然很多應(yīng)用系統(tǒng)本身具有一定的安全機(jī)制，如身份認(rèn)證、權(quán)限控制等，可是這些安全機(jī)制容易被篡改

16、和旁路，致使敏感信息的安全難以得到有效保護(hù)。另外，由于應(yīng)用系統(tǒng)的復(fù)雜性，修改現(xiàn)有應(yīng)用也是不現(xiàn)實(shí)的。因此，在不修改現(xiàn)有應(yīng)用的前提下，以保護(hù)應(yīng)用的安全為目標(biāo)，需要構(gòu)筑安全應(yīng)用支撐平臺(tái)。本方案擬采用安全封裝的方式實(shí)現(xiàn)對(duì)應(yīng)用服務(wù)的訪問(wèn)控制。應(yīng)用服務(wù)的安全封裝主要由可信計(jì)算環(huán)境、資源隔離和輸入輸出安全檢查來(lái)實(shí)現(xiàn)。經(jīng)過(guò)可信計(jì)算的基礎(chǔ)保障機(jī)制建立可信應(yīng)用環(huán)境，經(jīng)過(guò)資源隔離限制特定進(jìn)程對(duì)特定文件的訪問(wèn)權(quán)限，從而將應(yīng)用服務(wù)隔離在一個(gè)受保護(hù)的環(huán)境中，不受外界的干擾，確保應(yīng)用服務(wù)相關(guān)的客體資源不會(huì)被非授權(quán)用戶訪問(wèn)。輸入輸出安全檢查截獲并分析用戶和應(yīng)用服務(wù)之間的交互請(qǐng)求，防范非法的輸入和輸出。建設(shè)原則信息系統(tǒng)安全建設(shè)

17、項(xiàng)目依托現(xiàn)有網(wǎng)絡(luò)環(huán)境，基于嚴(yán)格的管理架構(gòu)及信息系統(tǒng)運(yùn)營(yíng)模式。要實(shí)現(xiàn)信息安全整體體系及安全聯(lián)動(dòng)機(jī)制的統(tǒng)一規(guī)劃，需要嚴(yán)格遵循一定的建設(shè)原則與標(biāo)準(zhǔn)。主要包括：需求、風(fēng)險(xiǎn)、代價(jià)平衡分析的原則綜合性、整體性原則易操作性原則多重保護(hù)原則可評(píng)價(jià)性原則考慮到信息系統(tǒng)安全建設(shè)依托單位網(wǎng)絡(luò)信息中心實(shí)現(xiàn)系統(tǒng)管理和運(yùn)維，其直接實(shí)現(xiàn)信息安全管理與技術(shù)建設(shè)。需要在網(wǎng)絡(luò)信息中心的統(tǒng)一規(guī)劃指導(dǎo)下開展信息安全建設(shè)。建議按照“統(tǒng)一規(guī)劃、分步實(shí)施”原則，針對(duì)單位內(nèi)管理及使用的各信息系統(tǒng)按安全等級(jí)劃分后進(jìn)行信息安全等級(jí)保護(hù)的統(tǒng)一規(guī)劃設(shè)計(jì)與分步建設(shè)實(shí)施。參照信息系統(tǒng)（三級(jí)）的技術(shù)設(shè)計(jì)思路和建設(shè)內(nèi)容，遵照等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)和要求，按照等保

18、相應(yīng)級(jí)別系統(tǒng)的安全要求，進(jìn)行信息安全等級(jí)保護(hù)的規(guī)劃設(shè)計(jì)。參考標(biāo)準(zhǔn)中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例 （國(guó)務(wù)院14號(hào)令）國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)（中辦發(fā) 27號(hào)）關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)（公通字 66號(hào)）信息安全等級(jí)保護(hù)管理辦法（公通字 43號(hào)）計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則（GB17859-1999）信息系統(tǒng)安全 等級(jí)保護(hù)定級(jí)指南信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求（GB/T25070- ）信息系統(tǒng)安全 等級(jí)保護(hù)基本要求（GB/T22239- ）信息系統(tǒng)安全 等級(jí)保護(hù)實(shí)施指南信息系統(tǒng)安全 等級(jí)保護(hù)測(cè)評(píng)要求信息安全技術(shù) 操作系統(tǒng)安全評(píng)估準(zhǔn)則（GB/T 9-

19、 ）信息安全技術(shù) 信息系統(tǒng)安全管理要求（GB/T20269- ）信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求（GB/T20270- ）信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求（GB/T20271- ）信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求（GB/T20272- ）信息安全技術(shù) 數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求（GB/T20273- ）建設(shè)內(nèi)容平臺(tái)安全基本涉及到如下方面：作為海量數(shù)據(jù)的處理平臺(tái)，平臺(tái)安全控制要做到如下：安全可靠：能夠有效屏蔽惡意的訪問(wèn)可伸縮：能夠隨著規(guī)模的擴(kuò)大，無(wú)需更改架構(gòu)就能夠支持易于管理：支持大規(guī)模分布式管理，單入口就能夠管理所有設(shè)備和系統(tǒng)及應(yīng)用的安全方便用戶：不能因?yàn)榘踩蟾?，而降低了用戶的?/p>

20、互友好度安全拓?fù)涫疽鈭D部署說(shuō)明：網(wǎng)絡(luò)邊界部署抗DDos系統(tǒng)，防護(hù)外部僵尸主機(jī)對(duì)網(wǎng)絡(luò)及業(yè)務(wù)系統(tǒng)的攻擊，保障網(wǎng)絡(luò)的高可用性；部署邊界防火墻設(shè)備，并開啟VPN模塊，防護(hù)來(lái)自外部的安全威脅及訪問(wèn)控制，并對(duì)網(wǎng)絡(luò)間傳輸?shù)臄?shù)據(jù)進(jìn)行加密；部署入侵防護(hù)系統(tǒng)，避免業(yè)務(wù)系統(tǒng)遭受來(lái)自外部的入侵攻擊；在虛擬化平臺(tái)部署安裝虛擬防火墻，對(duì)東西向流量進(jìn)行防護(hù)，及各VM間進(jìn)行隔離。 詳細(xì)設(shè)計(jì)方案計(jì)算環(huán)境安全設(shè)計(jì)計(jì)算環(huán)境安全是整個(gè)安全建設(shè)的核心和基礎(chǔ)。計(jì)算環(huán)境安全經(jīng)過(guò)終端、應(yīng)用服務(wù)器和數(shù)據(jù)庫(kù)的安全機(jī)制服務(wù)，保障應(yīng)用業(yè)務(wù)處理全過(guò)程的安全。系統(tǒng)終端和服務(wù)器經(jīng)過(guò)在操作系統(tǒng)核心層和系統(tǒng)層設(shè)置以強(qiáng)制訪問(wèn)控制為主體的系統(tǒng)安全機(jī)制，形成嚴(yán)密的

21、安全保護(hù)環(huán)境，經(jīng)過(guò)對(duì)用戶行為的控制，能夠有效防止非授權(quán)用戶訪問(wèn)和授權(quán)用戶越權(quán)訪問(wèn)，確保信息和信息系統(tǒng)的保密性和完整性，從而為業(yè)務(wù)系統(tǒng)的正常運(yùn)行和免遭惡意破壞提供支撐和保障。系統(tǒng)安全加固1）操作系統(tǒng)加固：進(jìn)行操作系統(tǒng)裁剪，只安裝滿足業(yè)務(wù)需求的“最小操作系統(tǒng)”2）加強(qiáng)安全基線配置 3）數(shù)據(jù)庫(kù)加固：操作系統(tǒng)和數(shù)據(jù)庫(kù)程序數(shù)據(jù)文件安裝在不同分區(qū)上；在非系統(tǒng)卷上安裝數(shù)據(jù)庫(kù)程序和文件；只安裝業(yè)務(wù)需要的組件，不安裝如升級(jí)工具、開發(fā)工具、代碼示例、聯(lián)機(jī)叢書等不必要組件；限制客戶端計(jì)算機(jī)連接到數(shù)據(jù)庫(kù)服務(wù)器所能夠使用的協(xié)議的范圍，并確保這些協(xié)議的安全性，如限制只使用TCP/IP協(xié)議；限制客戶端計(jì)算機(jī)連接到數(shù)據(jù)庫(kù)服務(wù)

22、器所使用的特定端口，不使用默認(rèn)端口。系統(tǒng)安全審計(jì)計(jì)算環(huán)境各區(qū)域中的安全控制點(diǎn)，包括防火墻、IPS、防病毒網(wǎng)關(guān)等設(shè)備功能的審計(jì)模塊記錄系統(tǒng)的相關(guān)安全事件。審計(jì)記錄包括安全事件的主體、客體、時(shí)間、類型和結(jié)果等內(nèi)容。審計(jì)管理平臺(tái)提供審計(jì)記錄查詢、分類、分析和存儲(chǔ)保護(hù)，對(duì)特定安全事件進(jìn)行報(bào)警，同時(shí)終端安全加固系統(tǒng)能夠確保審計(jì)記錄不會(huì)被非授權(quán)用戶訪問(wèn)。用戶數(shù)據(jù)完整性保護(hù)在VPN設(shè)備的安全功能支撐下，對(duì)經(jīng)過(guò)網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)進(jìn)行校驗(yàn)、保證重要數(shù)據(jù)在網(wǎng)絡(luò)傳輸過(guò)程中的完整性。區(qū)域邊界安全設(shè)計(jì)安全區(qū)域邊界是對(duì)定級(jí)系統(tǒng)的安全計(jì)算環(huán)境的邊界，以及安全計(jì)算環(huán)境與安全通信網(wǎng)絡(luò)之間實(shí)現(xiàn)連接功能進(jìn)行安全保護(hù)的部件。區(qū)域邊界訪問(wèn)

23、控制防火墻在安全區(qū)域邊界實(shí)施相應(yīng)的訪問(wèn)控制策略，對(duì)進(jìn)出安全區(qū)域邊界的數(shù)據(jù)信息進(jìn)行控制，阻止非授權(quán)訪問(wèn)。要求：1）網(wǎng)絡(luò)構(gòu)架設(shè)計(jì)上應(yīng)根據(jù)web服務(wù)器、應(yīng)用服務(wù)器及數(shù)據(jù)庫(kù)服務(wù)器重要性和所涉及信息的重要程度等因素，利用防火墻劃分在不同的網(wǎng)段，避免將應(yīng)用服務(wù)器及數(shù)據(jù)庫(kù)服務(wù)器等信息系統(tǒng)核心服務(wù)器部署在網(wǎng)絡(luò)邊界處，不可將這類服務(wù)器直接連接外部信息系統(tǒng)。重要服務(wù)器與其它網(wǎng)段之間經(jīng)過(guò)采取可靠的技術(shù)隔離手段；信息系統(tǒng)服務(wù)器只開放web服務(wù)相關(guān)端口，關(guān)閉其它服務(wù)及端口。 根據(jù)信息系統(tǒng)服務(wù)的具體內(nèi)容，能夠開放如下端口：端口服務(wù)25郵件發(fā)送服務(wù)110POP郵件服務(wù)80信息系統(tǒng)服務(wù)443安全信息系統(tǒng)服務(wù)2）流量控制設(shè)備對(duì)

24、網(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)監(jiān)控和合理限制，保證網(wǎng)絡(luò)帶寬和業(yè)務(wù)服務(wù)的持續(xù)可用。3）抗拒絕服務(wù)系統(tǒng)有效防范拒絕服務(wù)等網(wǎng)絡(luò)攻擊，保證系統(tǒng)的完整性和可用性。外部接入?yún)^(qū)的防病毒網(wǎng)關(guān)設(shè)備阻止惡意代碼進(jìn)入信息系統(tǒng)中，形成對(duì)局域網(wǎng)內(nèi)部的設(shè)備和資源的有效保護(hù)。防病毒應(yīng)采用防病毒網(wǎng)關(guān)與防病毒軟件聯(lián)動(dòng)的方式，從而實(shí)現(xiàn)從邊界到內(nèi)部全面有效的抵御病毒的攻擊要求：1)防病毒網(wǎng)關(guān)主要用于對(duì)病毒的查殺，可是，由于這些軟件是經(jīng)過(guò)病毒特征庫(kù)來(lái)實(shí)現(xiàn)對(duì)病毒的防御與查殺，因此對(duì)于新出現(xiàn)的病毒，防病毒網(wǎng)關(guān)總會(huì)存在一定的遲滯時(shí)間，給信息系統(tǒng)帶來(lái)安全隱患。因此，需要經(jīng)過(guò)對(duì)信息系統(tǒng)的服務(wù)器操作系統(tǒng)進(jìn)行安全加固，對(duì)業(yè)務(wù)應(yīng)用系統(tǒng)進(jìn)行完整性保護(hù)，使操作系統(tǒng)和

25、業(yè)務(wù)應(yīng)用對(duì)于病毒和惡意代碼實(shí)現(xiàn)自免疫，即使是新出現(xiàn)的病毒，也能夠保證不會(huì)被入侵或破壞。2)信息系統(tǒng)系統(tǒng)中相關(guān)各個(gè)服務(wù)器及工作站必須安裝計(jì)算機(jī)防病毒軟件，終端安全防護(hù)系統(tǒng)（服務(wù)器版、PC版），在網(wǎng)絡(luò)邊界安裝硬件統(tǒng)一威脅管理（UTM）等設(shè)備，形成服務(wù)器、終端操作系統(tǒng)加固軟件、主機(jī)防毒軟件及網(wǎng)絡(luò)防毒硬件構(gòu)成的病毒防御體系。病毒防御體系應(yīng)具備如下功能：執(zhí)行程序完整性保護(hù)惡意代碼主動(dòng)防御病毒事件報(bào)警，病毒事件日志查詢與統(tǒng)計(jì)全網(wǎng)查殺病毒，實(shí)時(shí)監(jiān)控客戶端防毒狀況集中控制及管理防毒策略防病毒系統(tǒng)自我保護(hù)系統(tǒng)主動(dòng)防御，惡意行為檢測(cè)，隱藏進(jìn)程檢測(cè)病毒庫(kù)在線升級(jí)及離線升級(jí)客戶端漏洞檢測(cè)與補(bǔ)丁分發(fā)控制未知病毒、蠕蟲、

26、間諜軟件執(zhí)行3)信息系統(tǒng)管理人員應(yīng)及時(shí)升級(jí)防毒墻和防病毒軟件的病毒庫(kù)，提高其抵御病毒的能力。應(yīng)定期利用防病毒軟件掃描各個(gè)服務(wù)器及工作站操作系統(tǒng)的安全現(xiàn)狀。定期查看主機(jī)惡意代碼免疫軟件中的審計(jì)日志，及時(shí)發(fā)現(xiàn)服務(wù)器及工作站操作系統(tǒng)中存在的未知病毒、木馬等惡意可執(zhí)行代碼。入侵檢測(cè)系統(tǒng)在外部接入?yún)^(qū)檢測(cè)外部對(duì)內(nèi)部系統(tǒng)的入侵行為。將網(wǎng)絡(luò)入侵檢測(cè)產(chǎn)品放置在比較重要的網(wǎng)段內(nèi)，監(jiān)視網(wǎng)段中的各種數(shù)據(jù)包。對(duì)每一個(gè)數(shù)據(jù)包或可疑的數(shù)據(jù)包進(jìn)行特征分析。如果數(shù)據(jù)包與產(chǎn)品內(nèi)置的某些規(guī)則吻合，入侵檢測(cè)系統(tǒng)應(yīng)發(fā)出警報(bào)甚至直接切斷網(wǎng)絡(luò)連接。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)應(yīng)能夠檢測(cè)來(lái)自網(wǎng)絡(luò)的攻擊，能夠檢測(cè)到超過(guò)授權(quán)的非法訪問(wèn)。無(wú)需改變服務(wù)器等主機(jī)

27、的配置，不在業(yè)務(wù)系統(tǒng)的主機(jī)中安裝額外的軟件，不影響這些機(jī)器的CPU、I/O與磁盤等資源的使用，不影響業(yè)務(wù)系統(tǒng)的性能區(qū)域邊界包過(guò)濾區(qū)域邊界部署的防火墻產(chǎn)品經(jīng)過(guò)檢查數(shù)據(jù)包的源地址、目的地址、傳輸層協(xié)議、請(qǐng)求的服務(wù)等，確定是否允許該數(shù)據(jù)包進(jìn)出該區(qū)域邊界。在服務(wù)器前端開啟防火墻的應(yīng)用安全審計(jì)功能模塊。能有效的審計(jì)各種惡意的網(wǎng)絡(luò)攻擊手段。區(qū)域邊界安全審計(jì)區(qū)域邊界部署的防火墻、開啟防病毒功能模塊、部署IPS入侵防御對(duì)確認(rèn)的風(fēng)險(xiǎn)行為及時(shí)防御及報(bào)警。網(wǎng)絡(luò)入侵防御能力入侵防御是對(duì)防火墻極其有益的補(bǔ)充，入侵防御系統(tǒng)能在入侵攻擊對(duì)系統(tǒng)發(fā)生危害前，檢測(cè)到入侵攻擊，并利用報(bào)警與防護(hù)系統(tǒng)驅(qū)逐入侵攻擊。在入侵攻擊過(guò)程中，能減少入侵攻擊所造成的損失。在被入侵攻擊后，收集入侵攻擊的相關(guān)信息，作為防范系統(tǒng)的知識(shí)，添加入知識(shí)庫(kù)內(nèi)，增強(qiáng)系統(tǒng)的防范能力，避免系統(tǒng)再次受到入侵。入侵防御被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)聽，從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù),大大提高了網(wǎng)絡(luò)的安全性。防病毒能力邊界防火墻開啟防病毒功能，在出口處實(shí)時(shí)檢查網(wǎng)絡(luò)數(shù)據(jù)流，防止惡意和不必要的應(yīng)用及web內(nèi)容進(jìn)出網(wǎng)絡(luò)，實(shí)現(xiàn)辦公區(qū)域網(wǎng)絡(luò)最大化保護(hù)、控制與使用。經(jīng)過(guò)利用ASIC加速的數(shù)據(jù)檢查引擎，可在不影響網(wǎng)絡(luò)流量速度的前提下快速準(zhǔn)確地檢查并分類HTTP/HTTPS、FTP、SMTP和