XXX學院

校

園

信

息

化

優(yōu)

化

方

案

2020年1月5日

目錄

前言............................................................6

一、數(shù)據(jù)中心優(yōu)化...............................................7

1.1現(xiàn)狀分析...............................................7

1.2方案設(shè)計...............................................7

1.3方案詳述...............................................8

13.1數(shù)通設(shè)備更新優(yōu)化..................................8

13.2數(shù)據(jù)存儲設(shè)備的更新優(yōu)化-超融合....................10

13.2.1方案設(shè)計...................................11

13.2.2整體架構(gòu)設(shè)計...............................12

13.2.3數(shù)據(jù)中心資源池設(shè)計.........................13

13.2.4數(shù)據(jù)中心資源管理平臺.......................15

13.2.5方案收益...................................17

13.3網(wǎng)絡(luò)以及數(shù)據(jù)安全保障的等級保護...................17

13.3.1整體安全部署...............................18

13.3.2邊界訪問控制...............................20

1.3.3.3惡意代碼防范..............................21

13.3.4漏洞掃描...................................24

1.3.3.5WEB防護..................................26

13.3.6綜合安全網(wǎng)關(guān)...............................31

13.3.7存儲備份...................................32

13.4安全管理體系設(shè)計.................................33

13.4.1安全策略開發(fā)...............................34

1.3.4.2安全制度管理...............................36

1.3.4.3安全組織管理...............................41

1.3.4.4軟件開發(fā)安全...............................42

13.4.5系統(tǒng)建設(shè)安全管理..........................43

1.3.4.6安全教育與培訓.............................45

1.3.4.7風險評估...................................46

1.3.4.8安全運維管理...............................47

1.3.4.9安全應(yīng)急處理...............................48

1.3.4.10安全加固服務(wù)..............................49

二、中心機房建設(shè)..............................................50

1.1機房環(huán)境建設(shè)..........................................50

1.1.1地面工程.........................................50

1.1.2吊頂工程.........................................51

1.1.3墻面工程.........................................52

1.1.4機房防火門.......................................53

1.1.5裝修效果圖.......................................53

2.2配電工程..............................................55

2.2.1用電需求預(yù)測.....................................55

2.2.2交流供電系統(tǒng)及設(shè)備設(shè)置...........................55

2.2.3機房內(nèi)用電插座...................................55

2.2.4燈光照明系統(tǒng).....................................55

2.3防雷接地工程..........................................56

2.3.1防雷系統(tǒng).........................................56

2.3.2接地系統(tǒng).........................................57

2.4模塊化機房設(shè)計........................................61

2.4.1系統(tǒng)架構(gòu).........................................62

2.4.2系統(tǒng)承載單元.....................................63

2.4.3系統(tǒng)供電單元.....................................64

2.4.4系統(tǒng)配電單元.....................................65

2.4.5消防單元.........................................67

2.4.6系統(tǒng)動環(huán)單元.....................................68

2.4.7系統(tǒng)制冷單元.....................................70

2.5機房綜合布線系統(tǒng).......................................1

三、傳輸網(wǎng)絡(luò)改造建設(shè)...........................................1

3.1總體改造思路...........................................1

3.1.1模塊化設(shè)計........................................1

3.1.2層次化設(shè)計........................................2

3.2網(wǎng)絡(luò)系統(tǒng)設(shè)計...........................................3

3.3施工工藝...............................................5

3.3.1美觀性............................................5

3.3.2可擴展性..........................................5

3.3.3規(guī)范性............................................6

3.4主要傳輸介質(zhì)介紹.......................................7

3.5改造樓宇清單...........................................8

四、產(chǎn)品清單報價9

前有

在《國家中長期教育改革和發(fā)展規(guī)劃綱要》中指出，要加快教育信息化進程,

充分認識“信息技術(shù)對教育發(fā)展具有革命性影響”，要高度重視“加強網(wǎng)絡(luò)教學

資源體系建設(shè)”、不斷“強化信息技術(shù)應(yīng)用”，提高學生運用信息技術(shù)分析解決

問題的能力。

一、數(shù)據(jù)中心優(yōu)化

隨著信息化技術(shù)的飛速發(fā)展，大學信息系統(tǒng)運行環(huán)境建設(shè)也進入了高可用運

行環(huán)境建設(shè)階段。

在此階段，信息系統(tǒng)運行環(huán)境進一步完善，將實現(xiàn)無單點故障的可靠性目標

（即運行環(huán)境中的單個網(wǎng)絡(luò)、服務(wù)器或者存儲設(shè)備的故障均不會影響應(yīng)用系統(tǒng)的

正常運行），信息系統(tǒng)將整體實現(xiàn)7x24的不間斷運行；運行環(huán)境各個層次（包

括數(shù)據(jù)庫）均可實現(xiàn)負載均衡，實現(xiàn)運行環(huán)境的高效利用；數(shù)據(jù)安全方面實現(xiàn)異

地備份，消除本地環(huán)境災(zāi)難事故可能導致的數(shù)據(jù)安全隱患；信息系統(tǒng)安全方面，

將全面建立數(shù)據(jù)中心安全體系、校園網(wǎng)絡(luò)環(huán)境體系、部門應(yīng)用環(huán)境安全體系，實

現(xiàn)兩端一線的完整安全保障。

1.1現(xiàn)狀分析

目前我校數(shù)據(jù)中心主要存在以下幾個問題：

1、沒有集中的存儲設(shè)備，單機故障的危險很高

2、現(xiàn)有網(wǎng)絡(luò)設(shè)施無法支撐學校當前的業(yè)務(wù)需求

3、沒有基于時間點的快照備份和恢復(fù)

4、信息化基礎(chǔ)設(shè)施架構(gòu)技術(shù)落后，設(shè)備資源不能有效利用。

5、網(wǎng)絡(luò)監(jiān)控和管理一的缺乏監(jiān)控和管理手段缺乏，網(wǎng)絡(luò)安全存在隱患

1.2方案設(shè)計

本方案以高可用、易擴展為導向，充分結(jié)合學?，F(xiàn)狀主要從以下幾點對數(shù)據(jù)

中心進行優(yōu)化:

1、數(shù)據(jù)中心數(shù)通設(shè)備的更新優(yōu)化

2、數(shù)據(jù)存儲設(shè)備的更新優(yōu)化

3、數(shù)據(jù)中心的網(wǎng)絡(luò)以及數(shù)據(jù)安全保障的等級保護

1.3方案詳述

13.1數(shù)通設(shè)備更新優(yōu)化

隨著學校信息化發(fā)展及業(yè)務(wù)量的增加，數(shù)據(jù)中心數(shù)據(jù)吞吐量也在逐漸增

加，現(xiàn)有的數(shù)通設(shè)備大多數(shù)已是老舊設(shè)備，無法滿足各業(yè)務(wù)系統(tǒng)數(shù)據(jù)交換的基本

需求，經(jīng)與校方溝通以及現(xiàn)場調(diào)研得知，要滿足學校信息化發(fā)展以及后續(xù)的信息

化建設(shè)，學校需要一個高性能的計算網(wǎng)絡(luò)、存儲網(wǎng)絡(luò)、互聯(lián)網(wǎng)絡(luò)。

本方案結(jié)合我校現(xiàn)狀將設(shè)計以下兩種網(wǎng)絡(luò)架構(gòu)：

1.傳統(tǒng)三層網(wǎng)絡(luò)架構(gòu)

核心層：核心層是網(wǎng)絡(luò)的高速交換主干，對整個網(wǎng)絡(luò)的連通起到至關(guān)重要的

作用。核心層應(yīng)該具有如下幾個特性：可靠性、高效性、冗余性、容錯性、可管

理性、適應(yīng)性、低延時性等。在核心層中，應(yīng)該采用高帶寬的千兆以上交換機。

因為核心層是網(wǎng)絡(luò)的樞紐中心，重要性突出。核心層設(shè)備采用雙機冗余熱備份是

非常必要的，也可以使用負載均衡功能，來改善網(wǎng)絡(luò)性能。

匯聚層：匯聚層是網(wǎng)絡(luò)接入層和核心層的"中介"，就是在工作站接入核心層

前先做匯聚，以減輕核心層設(shè)備的負荷。匯聚層具有實施策略、安全、工作組接

入、虛擬局域網(wǎng)(VLAN)之間的路由、源地址或目的地址過濾等多種功能。在

匯聚層中，應(yīng)該選用支持三層交換技術(shù)和VLAN的交換機，以達到網(wǎng)絡(luò)隔離和分

段的目的。

接入層：接入層向本地網(wǎng)段提供工作站接入。在接入層中，減少同一網(wǎng)段的

工作站數(shù)量，能夠向工作組提供高速帶寬。接入層可以選擇不支持VLAN和三層

交換技術(shù)的普通交換機。

優(yōu)勢：1、擴展性強。

2、可以很容易的用新的實現(xiàn)來替換原有層次的實現(xiàn)；

3、可以降低層與層之間的依賴；

4、有利于標準化；

5、項目結(jié)構(gòu)更清楚，分工更明確，有利于后期的維護和升級；

2.大二層網(wǎng)絡(luò)架構(gòu)

隨著服務(wù)器虛擬化技術(shù)的發(fā)展，從根本上改變了數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)需

求，即虛擬化引入動態(tài)遷移技術(shù)，從而要求網(wǎng)絡(luò)需要支持大范圍的二層域。

優(yōu)勢：在保證虛擬機上服務(wù)正常運行的同時，將一個虛擬機系統(tǒng)從一個物理

服務(wù)器移動到另一個物理服務(wù)器的過程。該過程對于最終用戶來說是無感知

的，從而使得管理員能夠在不影響用戶正常使用的情況下，靈活調(diào)配服務(wù)器

資源，或者對物理服務(wù)器進行維修和升級。

無論采用上述哪種網(wǎng)絡(luò)架構(gòu)都需要兩臺高性能核心交換機，以及結(jié)合學

?，F(xiàn)有設(shè)備利舊后，新增其他數(shù)通設(shè)備。

13.2數(shù)據(jù)存儲設(shè)備的更新優(yōu)化-超融合

學?，F(xiàn)有數(shù)據(jù)中心采用傳統(tǒng)物理硬件設(shè)備堆砌的架構(gòu)，業(yè)務(wù)數(shù)據(jù)分立，易形

成信息孤島，且計算、存儲、網(wǎng)絡(luò)資源利用率不高。而智慧校園是基于云計算、

大數(shù)據(jù)、物聯(lián)網(wǎng)等新一代信息技術(shù)支撐的信息化教學方式，依托智慧校園基礎(chǔ)環(huán)

境，學?？梢蕴剿鲗W校教學、科研、人事、后勤、安全等方面的創(chuàng)新管理模式，

構(gòu)建內(nèi)外融合的一體化智慧校園業(yè)務(wù)平臺和面向全校師生的綜合性、一站式的服

務(wù)模式，實現(xiàn)智能化的管理和服務(wù)。簡單的服務(wù)器虛擬化無法滿足智慧應(yīng)用部署、

大數(shù)據(jù)分析等先進應(yīng)用技術(shù)對硬件平臺的需求。

因此，基于學校目前信息化建設(shè)現(xiàn)狀、不足，與智慧校園云數(shù)據(jù)中心建設(shè)要

求的差距，本次項目規(guī)劃在現(xiàn)有的數(shù)據(jù)中心基礎(chǔ)上需要信息化建設(shè)進一步升級，

完成智慧校園云數(shù)據(jù)中心的建設(shè)。

方案設(shè)計

為了實現(xiàn)智慧校園服務(wù)平臺提供云計算服務(wù)需求，通過云計算架構(gòu)的優(yōu)勢,

將業(yè)務(wù)系統(tǒng)效率發(fā)揮至極致。智慧校園云數(shù)據(jù)中心基礎(chǔ)架構(gòu)實現(xiàn)了資源、業(yè)務(wù)、

數(shù)據(jù)的集中承載和統(tǒng)一調(diào)度，整體解決方案系統(tǒng)邏輯架構(gòu)圖如下：

智慧校園云數(shù)據(jù)中心邏輯架構(gòu)

智教校園云數(shù)據(jù)中心基礎(chǔ)架構(gòu)利用通用的硬件基礎(chǔ)架構(gòu)，搭建好整個云數(shù)據(jù)

中心的基礎(chǔ)架構(gòu)，在通用的X86平臺之上，利用軟件定義的思路，將計算、網(wǎng)絡(luò)、

安全和存儲進行全面的融合，構(gòu)建出池化的超融合基礎(chǔ)架構(gòu)。在此基礎(chǔ)之上，利

用云管理平臺，能夠?qū)崿F(xiàn)硬件資源生命周期管理、運維管理系統(tǒng)、資源及業(yè)務(wù)的

編排等一些列符合私有云需求的功能特性。通過各類接口像PaaS和SaaS包括大

數(shù)據(jù)進行對接，從而為上層的類各類智慧校園應(yīng)用和提供統(tǒng)一的底層支撐。最后

通過自動化的運維和安全及服務(wù)實現(xiàn)端到端的業(yè)務(wù)交付。

整體架構(gòu)設(shè)計

智慧校園云數(shù)據(jù)中心基礎(chǔ)架構(gòu)需要滿足不同規(guī)模用戶的使用場景，云數(shù)據(jù)中

心資源池根據(jù)業(yè)務(wù)規(guī)?？梢詫崿F(xiàn)橫向彈性擴展、資源自助服務(wù)。基于智慧校園應(yīng)

用服務(wù)對象、業(yè)務(wù)特點，云數(shù)據(jù)中心基礎(chǔ)架構(gòu)采用超融合架構(gòu)，實現(xiàn)計算、網(wǎng)絡(luò)、

存儲資源的池化，結(jié)合云管理平臺實現(xiàn)資源自助分配、業(yè)務(wù)自動化編排等平臺資

源管理服務(wù)。

云

數(shù)

據(jù)

中

心

■n9KIS

核心管理區(qū)

智慧校園云數(shù)據(jù)中心基礎(chǔ)架構(gòu)

1、云計算數(shù)據(jù)中心通過超融合基礎(chǔ)架構(gòu)平臺，構(gòu)建出計算、網(wǎng)絡(luò)、安全及

存儲的統(tǒng)一資源池;

,計算虛擬化將計算資源由物理形態(tài)轉(zhuǎn)變?yōu)檫壿嬓螒B(tài)，更加可靠和

靈活;

/網(wǎng)絡(luò)虛擬化能夠在拓撲上展現(xiàn)出業(yè)務(wù)邏輯，使得流量模型更加清

晰；

/存儲虛擬化能夠充分利用服務(wù)器的硬盤資源構(gòu)建出分布式存儲

體系架構(gòu)，根據(jù)業(yè)務(wù)需求橫向擴容；

2、云計算數(shù)據(jù)中心通過云管理平臺實現(xiàn)集中的業(yè)務(wù)調(diào)度。

1.3.2.3數(shù)據(jù)中心資源池設(shè)計

＞計算資源池

服務(wù)器虛擬化是實現(xiàn)計算資源池化的基礎(chǔ)，虛擬化平臺作為介于硬件和操作

系統(tǒng)之間的軟件層，采用裸金屬架構(gòu)的X86虛擬化技術(shù)，實現(xiàn)對服務(wù)器物理資源

的抽象，將CPU、內(nèi)存、I/O等服務(wù)器物理資源轉(zhuǎn)化為一組可統(tǒng)一管理、調(diào)度和

分配的邏輯資源，并基于這些邏輯資源在單個物理服務(wù)器上構(gòu)建多個同時運行、

相互隔離的虛擬機執(zhí)行環(huán)境，實現(xiàn)更高的資源利用率，同時滿足應(yīng)用更加靈活的

資源動態(tài)分配需求，譬如提供熱遷移、HA等高可用特性，實現(xiàn)更低的運營成本、

更高的靈活性和更快速的業(yè)務(wù)響應(yīng)速度。

05

SANGFORaSV

＞網(wǎng)絡(luò)資源池

網(wǎng)絡(luò)資源池化機制，通過網(wǎng)絡(luò)虛擬化技術(shù)提供全新的網(wǎng)絡(luò)運營方式，解決了

傳統(tǒng)硬件網(wǎng)絡(luò)的眾多管理和運維難題，并且?guī)椭鷶?shù)據(jù)中心操作員將敏捷性和經(jīng)濟

性提高若干數(shù)量級。

網(wǎng)絡(luò)虛擬化方案通過和服務(wù)器虛擬化相結(jié)合，在虛擬機和物理網(wǎng)絡(luò)之間，提

供了一整套完整的邏輯網(wǎng)絡(luò)設(shè)備、連接和服務(wù)，包括分布式虛擬交換機aSwitch、

虛擬路由器aRouter、虛擬下一代防火墻vNGAF、虛擬應(yīng)用交付vAD、虛擬vSSL

VPN、虛擬廣域網(wǎng)優(yōu)化vWOC等虛擬網(wǎng)絡(luò)、安全設(shè)備；然后，還可以支持VXLAN

等增強網(wǎng)絡(luò)協(xié)議，實現(xiàn)和物理網(wǎng)絡(luò)的無縫對接，簡化網(wǎng)絡(luò)的配置管理；此外，還

可以通過虛擬化管理平臺，實現(xiàn)網(wǎng)絡(luò)拓撲部署、網(wǎng)絡(luò)故障探測等網(wǎng)絡(luò)管理功能。

從而，虛擬網(wǎng)絡(luò)可以快速完成不同應(yīng)用系統(tǒng)的網(wǎng)絡(luò)部署，網(wǎng)絡(luò)配置的自動化

調(diào)整，網(wǎng)絡(luò)故障排查等工作，提升網(wǎng)絡(luò)的管理運維效率，提升網(wǎng)絡(luò)就緒、擴展速

度，降低數(shù)據(jù)中心物理網(wǎng)絡(luò)的建設(shè)成本。

＞存儲資源池

存儲虛擬化aSAN,基于集群設(shè)計，將服務(wù)器上的硬盤存儲空間組織起來形

成一個統(tǒng)一的虛擬共享存儲資源池，即ServerSAN分布式存儲系統(tǒng)，進行數(shù)據(jù)的

高可靠、高性能存儲。分布式存儲系統(tǒng)在功能上與獨立共享存儲完全一致；一份

數(shù)據(jù)會同時存儲在多個不同的物理服務(wù)器硬盤上，提升數(shù)據(jù)可靠性；此外，再通

過SSD緩存，可以大幅提升服務(wù)器硬盤的10性能，實現(xiàn)高性能存儲。同時，由

于存儲與計算完全融合在一個硬件平臺上，用戶無需像以往那樣購買連接計算服

務(wù)器和存儲設(shè)備的SAN網(wǎng)絡(luò)設(shè)備（FCSAN或者iSCSISAN）。

aSAN存儲虛擬化

數(shù)據(jù)中心資源管理平臺

云管理平臺將云數(shù)據(jù)中心資源池通過流程化、自動化的方式，實現(xiàn)資源即服

務(wù)的交付方式，交付給最終的業(yè)務(wù)部門或者業(yè)務(wù)使用者，并實現(xiàn)平臺自動化的運

維。

管理平臺采用分布式架構(gòu)設(shè)計，即企業(yè)級云架構(gòu)集群中，每個節(jié)點都可提供

相應(yīng)的管理服務(wù)，任何單一節(jié)點故障都不會引起整個平臺的管理中斷。并且

平臺可提供分級分權(quán)的管理，針對不同的平臺用戶，可以各自使用和管理平

臺管理分配給的對應(yīng)資源，并且針對每種資源對象，可以部署更加精細化的

權(quán)限管理和控制，極大了滿足了企業(yè)級云平臺，構(gòu)建云化IT架構(gòu)中，多租

戶使用IT資源的靈活性。

根據(jù)高校的業(yè)務(wù)特征，監(jiān)控中心可為高校以下幾個場景提供監(jiān)控能力。

場景一：主動探測業(yè)務(wù)可用性:

對網(wǎng)站、郵箱、BS/CS等核心業(yè)務(wù)進行主動探測，當業(yè)務(wù)訪問慢或者不可用

時通過郵件、短信等方式告警。

場景二：深入分析應(yīng)用性能:

對Oracle、SQLServer、Weblogic應(yīng)用進行可用性、響應(yīng)時間告警，并提供

內(nèi)部數(shù)據(jù)可視化及代碼級別深入分析，快速定位應(yīng)用性能瓶頸。

場景三、全方位監(jiān)控虛擬機

監(jiān)控虛擬機CPU、內(nèi)存、磁盤、網(wǎng)絡(luò)流量、進程狀態(tài)等指標，指標數(shù)據(jù)最長

保留一年，可以進行TOPN性能分析與趨勢分析。

監(jiān)控中心的具體監(jiān)控項目如下表所示:

類型監(jiān)控項

虛擬機監(jiān)控內(nèi)容內(nèi)存利用率、CPU利用率、CPU執(zhí)行隊列長度、

磁盤10、磁盤總利用率、磁盤分區(qū)利用率、網(wǎng)口收發(fā)

速率、進程資源使用率

監(jiān)控協(xié)議TCP、HTTP、FTP、POP3、SMTP

Oracle監(jiān)控數(shù)據(jù)庫時延、I/O、數(shù)據(jù)庫存儲、數(shù)據(jù)庫內(nèi)存、事

件等待、鎖、SQL解析、Server、Session^SQLCPU消

耗

SQLServer監(jiān)控數(shù)據(jù)庫時延、I/O、數(shù)據(jù)庫存儲、數(shù)據(jù)庫內(nèi)存、數(shù)

據(jù)庫等待、鎖、SQL解析、Session.SQL語句性能分

析、錯誤日志統(tǒng)計、集群狀態(tài)

方案收益

＞自動化運維

＞資源計量

＞IT自助服務(wù)和流程

＞分級分權(quán)管理

13.3網(wǎng)絡(luò)以及數(shù)據(jù)安全保障的等級保護

為了貫徹國家對電子政務(wù)信息系統(tǒng)安全保障工作的要求以及等級化保護“堅

持積極防御、綜合防范”的方針，全面提高信息安全防護能力，并適應(yīng)自身業(yè)務(wù)

發(fā)展對安全保障的的需要，山大商務(wù)學院需要進行整體安全防護設(shè)計，全面提高

信息安全防護能力，并支撐山大商務(wù)學院管委會信息化以及未來業(yè)務(wù)的發(fā)展。

按照《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》(GB/T22239-2008)標

準第二級的安全保護能力，結(jié)合系統(tǒng)的業(yè)務(wù)安全需求特點，使某信息系統(tǒng)不僅達

到信息系統(tǒng)安全等級保護“第二級基本要求”和“第二級安全保護能力”，而且

符合其自身業(yè)務(wù)特點。

整體安全部署

整體網(wǎng)絡(luò)拓撲部署如下圖所示:

部署說明:

?互聯(lián)網(wǎng)出口部署說明:

部署防火墻設(shè)備，防護來自互聯(lián)網(wǎng)的威脅。

部署AV防病毒網(wǎng)關(guān)，對進出互聯(lián)網(wǎng)鏈路的數(shù)據(jù)進行病毒過濾，阻止各類病

毒入侵。

部署上網(wǎng)行為管理（利舊），提供內(nèi)網(wǎng)終端互聯(lián)網(wǎng)網(wǎng)絡(luò)安全審計以及流量控

制

?安全管控平臺部署說明：

在核心交換機上分別旁路部署日志審計，進行行為審計，對數(shù)據(jù)進行監(jiān)控審

計。

部署入侵檢測，進行對互聯(lián)網(wǎng)出口所有入站和出站的流量的檢測，及時給客

戶報警，讓客戶對網(wǎng)絡(luò)有很直觀的掌控。

部署漏洞掃描，進行對所有網(wǎng)絡(luò)可達設(shè)備的掃描，搜集設(shè)備補丁的統(tǒng)計情況,

對運維人員的效率有所提高。

部署安全審計，對計算機網(wǎng)絡(luò)環(huán)境下的有關(guān)活動或行為進行系統(tǒng)的、獨立的

檢查驗證。

部署安全管理平臺，提供全網(wǎng)網(wǎng)絡(luò)設(shè)備、安全設(shè)備、數(shù)據(jù)庫及系統(tǒng)的運行狀

態(tài)運維以及安全事件采集、分析。

?數(shù)據(jù)中心平臺部署說明：

部署Web應(yīng)用防火墻，過濾來自外部的應(yīng)用層的安全攻擊行為。

部署網(wǎng)頁防篡改系統(tǒng)，防止門戶網(wǎng)站被低權(quán)限用戶篡改網(wǎng)頁。

?終端用戶區(qū)域部署說明：

部署終端安全管理系統(tǒng)，應(yīng)對特種木馬、高級間諜軟件、后門等攻擊威脅而

開發(fā)的新一代EDR產(chǎn)品。產(chǎn)品采用驅(qū)動級終端深度監(jiān)測和取證技術(shù)，結(jié)合云端

（公有云或私有云）大數(shù)據(jù)分析、機器學習、行為關(guān)聯(lián)分析及全球威脅情報IOC

等分析技術(shù)，對惡意軟件的各個環(huán)節(jié)進行全面分析，深度挖掘終端設(shè)備中存在的

已知和未知木馬、間諜軟件、蠕蟲、后門等惡意軟件，及時監(jiān)測企業(yè)及數(shù)據(jù)中心、

云計算、移動接入等終端環(huán)境中的未知威脅，幫助安全人員對其駐留、控制、傳

播、滲透等行為進行響應(yīng)和全面處置，切斷APT攻擊的鏈條，避免其后續(xù)的惡意

行為造成的惡意影響。

邊界訪問控制

本方案根據(jù)不同的區(qū)域邊界防護需求，采用不同系列及不同性能的防火墻，

部署于各安全域之間。實現(xiàn)邊界安全訪問控制。

防火墻部署于兩個相鄰的安全域之間，實現(xiàn)邊界安全訪問控制。在主系統(tǒng)中,

安全域內(nèi)存在實時應(yīng)用的邊界，部署高性能的防火墻，保證數(shù)據(jù)傳輸速率。邊界

防火墻均采用雙機熱備方式部署，避免單點故障。

防火墻部署如下表所示：

主系統(tǒng)邊界描述

信息流向?qū)崟r性防火墻類型

內(nèi)部域外部域

互聯(lián)網(wǎng)邊界區(qū)域Internet雙向?qū)崟r高性能防火墻

業(yè)務(wù)服務(wù)器區(qū)域終端接入域雙向?qū)崟r高性能防火墻

安全管理域終端接入域雙向?qū)崟r高性能防火墻

防火墻能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降

低風險。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻，所以網(wǎng)絡(luò)環(huán)境變得

更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進出受保護網(wǎng)絡(luò),

這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡(luò)。防火墻同時可

以保護網(wǎng)絡(luò)免受基于路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中

的重定向路徑。防火墻可以拒絕所有以上類型攻擊的報文并通知防火墻管理員。

防火墻建議策略配置：

1.集中放置面向應(yīng)用服務(wù)的主機，在一個集中、受控的環(huán)境下監(jiān)控網(wǎng)絡(luò)流

量。

2.關(guān)閉不必要的服務(wù)

3.嚴格限制進、出網(wǎng)絡(luò)的ICMP流量和UDP流量

4.允許網(wǎng)絡(luò)管理流量進局域網(wǎng)系統(tǒng)

5.嚴格制定防火墻策略，限制所有無關(guān)訪問

惡意代碼防范

針對病毒的風險，我們建議從源頭入手，在各應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器、

席位終端安裝防病毒軟件，有效查殺病毒、惡意腳本、木馬、蠕蟲等惡意代碼。

對工作席位域和向公眾信息發(fā)布子域等網(wǎng)絡(luò)邊界處部署防病毒網(wǎng)關(guān)系統(tǒng)對惡意

代碼進行檢測和清除。加強終端主機與服務(wù)器系統(tǒng)、網(wǎng)絡(luò)出入口的病毒防護能力

并及時升級惡意代碼軟件版本以及惡意代碼庫。使山大商務(wù)學院管委會系統(tǒng)免受

病毒、特洛伊木馬和其它惡意程序的侵襲，不讓其有機會透過文件及數(shù)據(jù)的分享

進而散布到整個網(wǎng)絡(luò)環(huán)境，提供完整的病毒掃描防護功能。

本方案中在山大商務(wù)學院管委會安全管理域部署網(wǎng)絡(luò)版防病毒服務(wù)器，在所

有服務(wù)器及工作終端上部署防病毒客戶端軟件。

在安全網(wǎng)絡(luò)域的兩臺外網(wǎng)核心交換機與互聯(lián)網(wǎng)出口之間的鏈路上分別部署

一臺高性能防病毒網(wǎng)關(guān)設(shè)備。

方案效果：

通過對山大商務(wù)學院管委會網(wǎng)絡(luò)建立統(tǒng)一的整體網(wǎng)絡(luò)病毒防范體系，在山大

商務(wù)學院管委會網(wǎng)絡(luò)內(nèi)部建立統(tǒng)一的病毒防范策略，從而達到對山大商務(wù)學院管

委會整個網(wǎng)絡(luò)達到以下病毒防范效果：

令建立防病毒中央控管系統(tǒng)

可以通過病毒監(jiān)控管理中心（安全管理域防病毒服務(wù)器）對網(wǎng)絡(luò)內(nèi)的服務(wù)器、

客戶機進行遠程策略設(shè)置、病毒查殺、遠程安裝等各種管理操作；實現(xiàn)跨地區(qū)、

跨平臺的網(wǎng)絡(luò)防毒系統(tǒng)實施統(tǒng)一管理和監(jiān)控。

通過安全管理中心統(tǒng)一配置防病毒網(wǎng)關(guān)安全防護策略，統(tǒng)一防范各區(qū)域之間

病毒泛濫。防病毒網(wǎng)關(guān)對夾雜在網(wǎng)絡(luò)交換數(shù)據(jù)中的各類網(wǎng)絡(luò)病毒進行過濾，可以

對網(wǎng)絡(luò)病毒、蠕蟲、混合攻擊、端口掃描、間諜軟件、P2P軟件帶寬濫用等各種

廣義病毒進行全面的攔截。阻止病毒通過網(wǎng)絡(luò)的快速擴散，將經(jīng)網(wǎng)絡(luò)傳播的病毒

阻擋在外，可以有效防止病毒從其他區(qū)域傳播到內(nèi)部其他安全域中。通過部署

AV網(wǎng)關(guān)，裁斷了病毒通過網(wǎng)絡(luò)傳播的途徑，凈化了網(wǎng)絡(luò)流量。

令集中的病毒報警和報告

在管理服務(wù)器上能夠方便地查看全部范圍（或組范圍）的病毒報警和報告，

包括感染節(jié)點的主機名、IP地址、病毒名稱、清除情況、被感染文件的路徑等。

令快速響應(yīng)

建立及時、快速的病毒響應(yīng)、處理機制，能夠迅速抑制病毒在網(wǎng)絡(luò)中的傳播。

從發(fā)現(xiàn)病毒及病毒行為到上報控制臺報警信息更迅速，能夠快速的定位病毒來

源，病毒名稱，以便網(wǎng)絡(luò)管理員能夠迅速覺察并進行處理。

令統(tǒng)一的自動升級

面對當前病毒的種類層出不窮，病毒危害日益嚴重的形勢。能夠快速及時準

確的查殺新型病毒極其變種，才是抑制病毒肆意妄為的有效手段。這就需要防病

毒軟件的病毒庫能夠及時的升級。

山大商務(wù)學院管委會網(wǎng)絡(luò)中的系統(tǒng)中心具有智能升級功能，在允許連接外網(wǎng)

的情況下能夠快速的從外網(wǎng)的升級服務(wù)器來獲得每天不少于三次的病毒庫升級,

并可以根據(jù)策略分組、分時段進行升級。系統(tǒng)的統(tǒng)一自動升級不僅針對病毒庫，

對系統(tǒng)的控制臺和所有客戶端同樣能夠進行升級，甚至是跨版本的升級，從而極

大的省去了重新安裝新版本客戶端及服務(wù)器的煩惱。

＜主動防御更可靠

當前病毒發(fā)展的趨勢是病毒日益更新、變種層出不窮。通過傳統(tǒng)的單純依靠

病毒分析、特征碼查殺這種帶有滯后性的手段明顯不能有效的保障山大商務(wù)學院

管委會的網(wǎng)絡(luò)及終端日常應(yīng)用的安全，所以主動防御的功能可謂是千呼萬喚始出

來。主動防御模塊采用三層防御的體系，加入了文件訪問控制、進程啟用控制、

注冊表訪問控制等功能，配合傳統(tǒng)監(jiān)控層及行為分析判定規(guī)則，使對未知病毒的

查殺成為可能。

令客戶端防病毒策略強制保護

可以給網(wǎng)絡(luò)內(nèi)所有的服務(wù)器、客戶機設(shè)置密碼保護，防止內(nèi)部用戶修改防毒

策略或刪除殺毒客戶端程序。

。多層次的整體病毒防范

通過部署防病毒網(wǎng)關(guān)及網(wǎng)絡(luò)版防病毒軟件對山大商務(wù)學院管委會IDC網(wǎng)絡(luò)

系統(tǒng)內(nèi)的安全區(qū)域及各種不同操作系統(tǒng)的服務(wù)器、郵件/群件系統(tǒng)，服務(wù)器機群、

客戶機進行多層次、全方位的病毒監(jiān)控防范，監(jiān)視所有病毒可能的來源途徑。如:

Internet、網(wǎng)絡(luò)驅(qū)動器、網(wǎng)絡(luò)共享、移動存儲設(shè)備、光盤、軟盤和email等，徹底

的斬斷病毒在服務(wù)器、客戶機內(nèi)的寄生及網(wǎng)絡(luò)內(nèi)部的傳播。

漏洞掃描

在山大商務(wù)學院管委會網(wǎng)絡(luò)部署漏洞掃描產(chǎn)品。漏洞掃描系統(tǒng)在網(wǎng)絡(luò)中并不

是一個實時啟動的系統(tǒng)，只需要定期掛接到網(wǎng)絡(luò)中，對當前網(wǎng)段上的重點服務(wù)器

以及主要的桌面機和網(wǎng)絡(luò)設(shè)備進行一次掃描，即可得到當前系統(tǒng)中存在的各種安

全漏洞，針對性地對系統(tǒng)采取補救措施，即可在相當一段時間內(nèi)保證系統(tǒng)的安全,

部署在安全管理區(qū)域。

可達到效果：

高掃描速度

產(chǎn)品采用先進的調(diào)度算法和執(zhí)行引擎，在保證正確率的前提下大幅提高了檢

測的效率，掃描的速度大大高于其它同類型掃描產(chǎn)品。

高準確率

網(wǎng)絡(luò)隱患掃描系統(tǒng)由專業(yè)漏洞小組人員確保腳本編寫的規(guī)范準確，另外我們

也采用各項技術(shù)使檢測的結(jié)果更加準確：

智能端口識別：能對開放端口運行的服務(wù)進行智能服務(wù)識別,而不是固定地

依據(jù)默認值去判斷，即使WEB服務(wù)運行在67端口也能被正確地檢測出來。

多重服務(wù)檢測：如果系統(tǒng)有兩個ftp服務(wù)一個在21端口，一個在28端口，

那么我們就會對這兩個端口分別進行ftp漏洞檢測。也就是說同一個腳本會對這

兩個端口都檢測一遍。

腳本依賴：掃描模塊會自動根據(jù)其邏輯依賴關(guān)系執(zhí)行而不是無目的盲目執(zhí)

行，從而提高了掃描準確性。

信息拋出：支持保存掃描腳本中動態(tài)拋出的信息，從而獲得更多、更準確的

信息。掃描一臺主機（開放135、139、445、1025端口，允許空連接，guest空

口令的情況），能夠獲取主機的netbios名、主機名、工作組/域名、MAC地址、

SID名、用戶名列表、弱密碼、密碼不過期、密碼未改變、共享列表、系統(tǒng)服務(wù)

列表、注冊表完全訪問等信息。

拒絕服務(wù)腳本順序掃描：提高準確性、減少誤報。

斷點恢復(fù)：在掃描程序運行到一半的時候如果系統(tǒng)意外掉電等，可以通過查

看掃描狀態(tài)進行重新掃描或者繼續(xù)掃描，如果選擇繼續(xù)掃描的話，前面掃描到的

結(jié)果會保留下來和后面的結(jié)果一起合并生成結(jié)果文件。

強大的漏洞庫

全面的漏洞庫與即時的更新能力。漏洞庫按服務(wù)分為22大類別，按風險分為

緊急、高、中、低、信息五個級別，基于國際CVE標準建立，漏洞數(shù)量超過2000

條。每條漏洞都包含詳細漏洞描述和可操作性強的解決方案?？赏ㄟ^互聯(lián)網(wǎng)進行

在線升級或通過本地數(shù)據(jù)包進行本地升級，每周至少升級漏洞庫一次，每月數(shù)量

大于20條。

分布式掃描

隨著網(wǎng)絡(luò)規(guī)模的逐步龐大、逐步復(fù)雜，核心級網(wǎng)絡(luò)、部門級網(wǎng)絡(luò)、終端/個

人用戶級網(wǎng)絡(luò)的建設(shè)，各個網(wǎng)絡(luò)之間存在著防火墻、交換機等過濾機制，隱患掃

描發(fā)送的數(shù)據(jù)包大部分將被這些設(shè)備過濾，降低了掃描的時效性和準確性。

針對這種分布式的復(fù)雜網(wǎng)絡(luò)，不能依舊采用傳統(tǒng)的軟件安裝方式產(chǎn)品，網(wǎng)絡(luò)

隱患掃描系統(tǒng)手持端產(chǎn)品能夠充分發(fā)揮自身可移動的優(yōu)勢,能夠很好的適應(yīng)分布

式網(wǎng)絡(luò)掃描。網(wǎng)絡(luò)隱患掃描系統(tǒng)機架式產(chǎn)品運用B/S架構(gòu)實現(xiàn)的分布式漏洞掃描

與安全評估，它通過分布在網(wǎng)絡(luò)的多個掃描器（各節(jié)點），并在中央掃描器進行

集中管理的方式，實現(xiàn)了對大規(guī)模網(wǎng)絡(luò)的實時及定時漏洞掃描和風險評估。

完善的檢測報表

網(wǎng)絡(luò)隱患掃描系統(tǒng)采用報表和圖形的形式對掃描結(jié)果進行分析，可以方便直

觀地對用戶進行安全性能評估和檢查?，F(xiàn)擁有強大的結(jié)果文件分析能力，可以預(yù)

定義、自定義和多角度多層次的分析結(jié)果文件，提供html、word、pdf、txt等多

種格式，并提供行政主管、技術(shù)人員、安全專家等預(yù)定義報表格式及自定義報表

樣式。

詳細的漏洞描述與解決方案

網(wǎng)絡(luò)隱患掃描系統(tǒng)提供全中文界面，提供完善的漏洞風險級別、漏洞類別、

漏洞描述、漏洞類型、漏洞解決辦法及掃描返回信息，并提供有關(guān)問題的國際權(quán)

威機構(gòu)記錄（包括CVE編號支持），以及與廠商補丁相關(guān)的鏈接。

WEB防護

基于上述風險，我們在山西大學商務(wù)學院網(wǎng)絡(luò)內(nèi)的對業(yè)務(wù)服務(wù)器域WEB服

務(wù)器前端部署WEB應(yīng)用防火墻。

部署WAF系統(tǒng)，即WEB應(yīng)用防護系統(tǒng)服務(wù)器，該服務(wù)器能溝通過后臺備份、

實時掃描等技術(shù)，實現(xiàn)對WEB文件內(nèi)容的實時監(jiān)控，發(fā)現(xiàn)問題時能實時恢復(fù)，

有效地保證了WEB文件的安全性和真實性，為網(wǎng)站提供實時自動的安全監(jiān)護。

安裝網(wǎng)頁防篡改系統(tǒng)，通過實時監(jiān)控、實時報警和自動恢復(fù)等功能為用戶

Web站點提供實時安全保護，并通過日志實現(xiàn)對網(wǎng)站文件更新過程的全程監(jiān)控,

防止黑客、恐怖分子及網(wǎng)絡(luò)病毒等對網(wǎng)站的網(wǎng)頁、電子文檔、圖片等所有類型的

文件進行任何形式的破壞或非法修改，從而為網(wǎng)站提供可靠的安全保障。

WAF系統(tǒng)采用透明部署部署在山西大學商務(wù)學院網(wǎng)絡(luò)內(nèi)的對外服務(wù)區(qū)域前,

采用雙機熱備工作模式，對訪問WEB服務(wù)器的數(shù)據(jù)進行安全檢查，一旦發(fā)現(xiàn)攻

擊行為立刻中斷連接保護WEB服務(wù)器的安全。

網(wǎng)頁防篡改系統(tǒng)屬于軟件形態(tài)產(chǎn)品，在對外提供服務(wù)的WEB服務(wù)器上部署

網(wǎng)頁防篡改系統(tǒng)。

可達到效果：

通過部署WAF系統(tǒng)可以實現(xiàn)以下效果：

?Web應(yīng)用防護

對Web業(yè)務(wù)的保護，不僅需要能夠阻斷攻擊，又要不影響正常業(yè)務(wù)的訪問,

因此，Web業(yè)務(wù)的防護首先需要能夠精確識別常見的Web攻擊，然后予以阻斷。

WAF能夠精確識別并防護常見的Web攻擊：

基于HTTP/HTTPS/FTP協(xié)議的蠕蟲攻擊、木馬后門、間諜軟件、灰色軟件、

網(wǎng)絡(luò)釣魚等基本攻擊；

CGI掃描、漏洞掃描等掃描攻擊；

SQL注入攻擊、XSS攻擊等Web攻擊。

SQL注入攻擊利用Web應(yīng)用程序不對輸入數(shù)據(jù)進行檢查過濾的缺陷，將惡

意的SQL命令注入到后臺數(shù)據(jù)庫引擎執(zhí)行，達到偷取數(shù)據(jù)甚至控制數(shù)據(jù)庫服務(wù)器

目的。XSS攻擊，指惡意攻擊者往Web頁面里插入惡意HTML代碼，當受害者瀏

覽該Web頁面時，嵌入其中的HTML代碼會被受害者Web客戶端執(zhí)行，達到惡

意目的。

OWASP最新的?OWASPTop10ApplicationSecurityRisks?報告稱，當前Web

應(yīng)用面臨的最大威脅仍舊是SQL注入和XSS攻擊。這兩種攻擊都是利用了Web

頁面的腳本編寫不完善，導致攻擊者可以提交精心構(gòu)造的URL、FORM表單或

POST信息，繞過數(shù)據(jù)庫的權(quán)限認證（SQL注入攻擊），或者是提交發(fā)布一些含

有惡意腳本的內(nèi)容，當潛在受害者訪問了這些內(nèi)容后，將會泄露自己的私密信息

（XSS攻擊）。正是由于這類攻擊所利用的并不是通用漏洞，而是每個頁面自己

的缺陷，所以變種和變形攻擊數(shù)量非常多，如果還是以常用方法進行檢測，漏報

和誤報率將會極高。WAF采用VXID專利技術(shù)，采用攻擊手法分析而非攻擊代碼

特征分析的方法，可以準確而全面的檢測和防御此類Web攻擊行為。

?應(yīng)用層DOS防護

WAF可防護帶寬及資源耗盡型拒絕服務(wù)攻擊，如對SYNFlood等常見攻擊行

為進行有效識別，可以使服務(wù)器在受到Flood攻擊時仍然可以響應(yīng)正常請求，確

保Web業(yè)務(wù)的可用性及連續(xù)性。

XMLDoS攻擊防護是對HTTP請求中的XML數(shù)據(jù)流進行合規(guī)檢查，防止非法

用戶通過構(gòu)造異常的XML文檔對Web服務(wù)器進行DoS攻擊。

?Web請求信息限制

針對HTTP請求,WAF能夠針對請求信息中的請求頭長度、Cookie個數(shù)、HTTP

協(xié)議參數(shù)個數(shù)、協(xié)議參數(shù)值長度、協(xié)議參數(shù)名長度等進行限制。對于檢測出的不

合規(guī)請求，允許進行丟棄或返回錯誤頁面處理，并記錄相應(yīng)日志。WAF支持請

求信息自學習功能，可以在學習時間內(nèi)，自動統(tǒng)計請求頭信息的一系列數(shù)據(jù)，給

用戶進行參數(shù)設(shè)置提供參考。能夠主動防御各種黑客攻擊，避免黑客攻擊或者杜

絕惡意損害服務(wù)器計算資源。

針對指定URL,WAF能夠定義HTTP頁面允許的方法（如POST、OPTION.

TRACE、DELETE等）、URL長度以及查詢字符串長度，檢查各種應(yīng)用的參數(shù)的合

理取值，對于檢測出的不合規(guī)請求，允許進行丟棄或返回錯誤頁面處理，并記錄

相應(yīng)日志。能夠防止針對Web服務(wù)器的非法探測或溢出攻擊，最大程度避免黑

客攻擊或者杜絕惡意損害服務(wù)器計算資源。

?Web敏感信息防護

WAF內(nèi)置敏感信息泄露防護策略，可以靈活定義HTTP錯誤時返回的默認頁

面，避免因為Web服務(wù)異常，而導致的敏感信息（如：Web服務(wù)器操作系統(tǒng)類

型、Web服務(wù)器類型、Web錯誤頁面信息、銀行卡卡號等）的泄露：

Web服務(wù)器操作系統(tǒng)類型：支持隱藏或修改能夠?qū)е峦嘎禬eb服務(wù)器操作

系統(tǒng)指紋的數(shù)據(jù)，防止訪問者得到Web服務(wù)器操作系統(tǒng)的類型信息。

Web服務(wù)器類型：支持隱藏或修改能夠?qū)е峦嘎禬eb服務(wù)器類型的數(shù)據(jù)，

防止訪問者得到Web服務(wù)器的類型信息。

Web錯誤頁面信息：支持將Web服務(wù)器的錯誤頁面提示信息，替換為標準、

通用的錯誤提示信息，防止Web服務(wù)器系統(tǒng)核心問題泄露。使得針對來不及修

復(fù)的Web服務(wù)器漏洞，避免利用相關(guān)工具進行漏洞探測、使得服務(wù)器返回漏洞

信息。

銀行卡卡號：能夠修改Web返回頁面中的銀行卡卡號，將數(shù)字替換為其它

字符，防止在頁面中顯示并傳遞用戶的銀行賬戶信息。如果是廣告、公益頁面的

銀行卡卡號，可以通過配置白名單，不予修改。

?Cookie防篡改

WAF能夠針對Cookie進行簽名保護，避免Cookie在明文傳輸過程中被篡改。

用戶可指定需要重點保護的Cookie,對于檢測出的不符合簽名的請求，允許進行

丟棄或刪除Cookie處理，同時記錄相應(yīng)日志?？蔀镃ookie強制添加httponly屬

性，保護Cookie不被JavaScript訪問;可為Cookie強制添加Secure屬性，告知

瀏覽器在在HTTPS時返回Cookie,在HTTP時不返回Cookie。

通過部署網(wǎng)頁防篡改系統(tǒng)可以實現(xiàn)以下效果：

?監(jiān)控與恢復(fù)

針對網(wǎng)站文件安全的保障機制，實時監(jiān)控網(wǎng)站文件的變更，有效降低篡改發(fā)

生的概率，并且一旦發(fā)生篡改，可以自動實時地進行文件恢復(fù)。此外，對所有互

聯(lián)網(wǎng)訪問進行內(nèi)容過濾，以確保發(fā)布內(nèi)容的正確性、權(quán)威性。

?同步與備份

與各類網(wǎng)站發(fā)布方式（如ftp、CMS等）無縫集成，確保網(wǎng)站內(nèi)容正常更新維

護的自動化、實時性。同時，提供網(wǎng)站備份的能力，以便保障系統(tǒng)實施過程中的

初始化可以在不借助第三方軟件的情況下順利進行。

?告警與審計

實時的報警能力，針對網(wǎng)站進行的各類篡改企圖或篡改操作，系統(tǒng)提供實時

地報警處理，將相關(guān)詳細信息以告警的方式提交給網(wǎng)站管理人員。詳細的日志信

息不僅可以用于篡改責任的追究和落實，同時也為管理人員全面了解網(wǎng)站安全和

系統(tǒng)運行狀況提供了必須的資料。

?防SQL注入

防止黑客通過注入SQL語句的方式從網(wǎng)站關(guān)聯(lián)的數(shù)據(jù)庫中獲取、修改數(shù)據(jù)信

息或攻擊數(shù)據(jù)庫。采用正則表達式描述規(guī)則，提高規(guī)則的可擴展性和可維護性。

?用戶管理

為提高網(wǎng)站管理的安全性，系統(tǒng)提供多級用戶管理機制，不同用戶的權(quán)限（資

源配屬）可根據(jù)實際需求進行控制。

綜合安全網(wǎng)關(guān)

本方案根據(jù)不同的區(qū)域防護需求，采用不同系列及不同性能的綜合安全網(wǎng)

關(guān)，部署于用戶接入域、安全管理域、服務(wù)器域，實現(xiàn)各區(qū)域的安全防護。

綜合安全網(wǎng)關(guān)部署效果如下所示：

整合所帶來的成本降低

將多種安全功能整合在同一產(chǎn)品當中能夠讓這些功能組成統(tǒng)一的整體發(fā)揮

作用，相比于單個功能的累加功效更強，頗有一加一大于二的意味。現(xiàn)在很多組

織特別是中小企業(yè)用戶受到成本限制而無法獲得令人滿意的安全解決方案，綜合

安全網(wǎng)關(guān)產(chǎn)品有望解決這一困境。包含多個功能的綜合安全網(wǎng)關(guān)安全設(shè)備價格較

之單獨購買這些功能為低，這使得用戶可以用較低的成本獲得相比以往更加全面

的安全防御設(shè)施。

降低信息安全工作強度

由于綜合安全網(wǎng)關(guān)安全產(chǎn)品可以一次性的獲得以往多種產(chǎn)品的功能，并且只

要插接在網(wǎng)絡(luò)上就可以完成基本的安全防御功能，所以無論在部署過程中可以大

大降低強度。另外，綜合安全網(wǎng)關(guān)安全產(chǎn)品的各個功能模塊遵循同樣的管理接口，

并具有內(nèi)建的聯(lián)動能力，所以在使用上也遠較傳統(tǒng)的安全產(chǎn)品簡單。同等安全需

求條件下，綜合安全網(wǎng)關(guān)安全設(shè)備的數(shù)量要低于傳統(tǒng)安全設(shè)備，無論是廠商還是

網(wǎng)絡(luò)管理員都可以減少服務(wù)和維護工作量。

降低技術(shù)復(fù)雜度

由于綜合安全網(wǎng)關(guān)安全設(shè)備中裝入了很多的功能模塊，所以為提高易用性進

行了很多考慮。另外，這些功能的協(xié)同運作無形中降低了掌握和管理各種安全功

能的難度以及用戶誤操作的可能。對于沒有專業(yè)信息安全人員及技術(shù)力量相對薄

弱的組織來說，使用綜合安全網(wǎng)關(guān)產(chǎn)品可以提高這些組織應(yīng)用信息安全設(shè)施的質(zhì)

量。

全方位防護，性能優(yōu)越

安全網(wǎng)關(guān)產(chǎn)品具備狀態(tài)檢測防火墻、VPN、防病毒、入侵防護等安全功能。

除此以外，還全面支持策略管理、IM/P2P管理、服務(wù)質(zhì)量(QoS)、負載均衡、

高可用性(HA)和帶寬管理等功能，可以阻擋未授權(quán)的訪問、網(wǎng)絡(luò)入侵、病毒、

蠕蟲、木馬、間諜軟件、釣魚詐騙、垃圾郵件，以及其他類型的安全威脅。

精確高效的入侵防護技術(shù)

安全網(wǎng)關(guān)產(chǎn)品使用基于非緩存的流過濾智能檢測技術(shù)，實現(xiàn)面向不同對象、

不同策略的入侵防護，內(nèi)置的深度協(xié)議分析技術(shù)可解析近100對象、不同策略的

入侵防護，內(nèi)置的深度協(xié)議分析技術(shù)可解析近100種應(yīng)用層協(xié)議，極大地提高檢

測和防御的完整性。

存儲備份

在業(yè)務(wù)服務(wù)器區(qū)域部署存儲備份一體機，提供數(shù)據(jù)安全備份和應(yīng)急恢復(fù)，滿

足等級保護要求。

可達到效果：

■實現(xiàn)本地應(yīng)急備份接管，提供生產(chǎn)可持續(xù)性及安全；

■實現(xiàn)異地業(yè)務(wù)接管，解決異地存儲容災(zāi)數(shù)據(jù)回復(fù)時間長等缺點；

■實現(xiàn)異地容災(zāi)硬件投資大，業(yè)務(wù)接管復(fù)雜問題；

■實現(xiàn)本地應(yīng)用業(yè)務(wù)硬件故障，可以從異地遷移恢復(fù)至異機;

13.4安全管理體系設(shè)計

安全策略是一個單位對信息安全目標和工作原則的規(guī)定,其表現(xiàn)形式是一系

列安全策略體系文件。安全策略是信息安全保障體系的核心，是信息安全管理工

作、技術(shù)工作和運維工作的目標和依據(jù)。

安全策略是依據(jù)國家、行業(yè)政策，法規(guī)，標準（比如國內(nèi)的信息安全等級保

護制度、計算機信息系統(tǒng)安全保密防護要求及檢測評估方法、風險評估準則等），

結(jié)合單位的安全實際需求，制定出符合單位特征的安全策略。本項目主要依據(jù)信

息系統(tǒng)等級保護第二級要求進行安全策略建設(shè)。

安全策略可以劃分為安全技術(shù)策略和安全管理策略，安全技術(shù)策略需要集合

相應(yīng)的安全技術(shù)或安全設(shè)備，演變?yōu)榘踩夹g(shù)規(guī)則，配發(fā)到相應(yīng)的系統(tǒng)或安全設(shè)

備上。安全管理策略需要根據(jù)單位中不同部門的具體情況，演變?yōu)橐环N具體的安

全管理制度，落實到相應(yīng)的部門和人員。

信息系統(tǒng)安全策略體系主要包括：安全管理制度、安全管理機構(gòu)策略、人員

安全管理策略、安全建設(shè)策略、安全運維策略、物理安全策略、網(wǎng)絡(luò)安全策略、

主機安全策略、應(yīng)用安全策略、數(shù)據(jù)安全與備份恢復(fù)策略等。

安全策略體系文檔架構(gòu)示意如下圖所示:

安線暗體弱踝

名美工作很告

安全策略開發(fā)

安全策略是一個單位對信息安全目標和工作原則的規(guī)定,其表現(xiàn)形式是一系

列安全策略體系文件。安全策略是信息安全保障體系的核心，是信息安全管理工

作、技術(shù)工作和運維工作的目標和依據(jù)。

安全策略是依據(jù)國家、行業(yè)政策，法規(guī)，標準（比如國內(nèi)的信息安全等級保

護制度、計算機信息系統(tǒng)安全保密防護要求及檢測評估方法、風險評估準則等），

結(jié)合單位的安全實際需求，制定出符合單位特征的安全策略。本項目主要依據(jù)信

息系統(tǒng)等級保護第二級要求進行安全策略建設(shè)。

安全策略可以劃分為安全技術(shù)策略和安全管理策略，安全技術(shù)策略需要集合

相應(yīng)的安全技術(shù)或安全設(shè)備，演變?yōu)榘踩夹g(shù)規(guī)則，配發(fā)到相應(yīng)的系統(tǒng)或安全設(shè)

備上。安全管理策略需要根據(jù)單位中不同部門的具體情況，演變?yōu)橐环N具體的安

全管理制度，落實到相應(yīng)的部門和人員。

信息系統(tǒng)安全策略體系主要包括：安全管理制度、安全管理機構(gòu)策略、人員

安全管理策略、安全建設(shè)策略、安全運維策略、物理安全策略、網(wǎng)絡(luò)安全策略、

主機安全策略、應(yīng)用安全策略、數(shù)據(jù)安全與備份恢復(fù)策略等。

安全策略體系文檔架構(gòu)示意如下圖所示：

暗體翦睬

I4策*-II下捌］

名美工偉告

策略系列文檔結(jié)構(gòu)圖:

安全制度的首要問題是需要對安全制度的制定,對于在安全制度的制定的過

程中，考慮如下內(nèi)容：

1.界定安全策略制度的制定權(quán)限

信息安全領(lǐng)導小組和管理小組負責制定公司層的安全策略，各部門信息安

全組織遵照公司下發(fā)的安全策略，結(jié)合本部門系統(tǒng)實際情況，制定和細化成適用

于本部門的具體管理辦法、實施細則和操作規(guī)程等。

2.安全策略的制定要求

對安全策略進行匯編時，須保留各安全策略的版本控制信息和密級標識。

1.3.4.2安全制度管理

安全制度制定后，對安全制度的管理工作十分重要，在對安全制度管理過程

中，需要注意如下內(nèi)容：

＞安全制度發(fā)布

安全策略須以正式文件的形式發(fā)布施行。

層安全策略由信息安全管理組制訂，信息安全領(lǐng)導小組審批、發(fā)布。

部門層安全策略由各生產(chǎn)中心安全管理組織制訂，信息安全管理組審批、發(fā)

布，同時要留存信息安全管理部門備案。

系統(tǒng)層安全策略由各系統(tǒng)管理員制訂、本中心安全管理員協(xié)助，本部門安全

管理組織審批、發(fā)布，同時要留存信息安全管理部門備案。

安全策略發(fā)布后，如有必要，安全策略制定部門應(yīng)召集相關(guān)人員學習安全策

略，詳細講解規(guī)章制度的內(nèi)容并解答疑問。

安全策略修訂后需要以正式文件的形式重新發(fā)布施行，修訂后的策略也需相

應(yīng)層次的管理部門審批。

簽署發(fā)布的規(guī)章制度必須標明該規(guī)章制度的施行日期。

＞安全制度修改與廢止

須定期對安全策略進行評審，對其中不適用的或欠缺的條款，及時進行修改

和補充。對已不適用的信息安全制度或規(guī)定應(yīng)及時廢止。

當現(xiàn)行安全策略有下列情形之一時，須及時修改：

?當發(fā)生重大安全事件，暴露出安全策略存在漏洞和缺陷時；

?組織機構(gòu)或生產(chǎn)系統(tǒng)進行重大調(diào)整和變更后；

?同一個事項在兩個規(guī)章制度中規(guī)定不一致；

?與上級部門的安全策略相抵觸；

?其它需要修改安全策略的情形。

當現(xiàn)行安全策略有下列情形之一時，必須及時予以廢止：

?因有關(guān)信息安全制度或規(guī)定廢止，使該信息安全制度或規(guī)定失去依據(jù)，

或與現(xiàn)行上層策略相抵觸；

?因已規(guī)定的事項已經(jīng)執(zhí)行完畢，沒有存在必要；

?已被新的規(guī)章制度所替代。

公司層安全策略的修改與廢止須經(jīng)信息安全領(lǐng)導組織審批確認，信息安全管

理部門備案。

部門層安全策略的修改與廢止須經(jīng)各部門信息安全維護組織及信息安全管

理部門審批確認。同時信息安全管理部門備案。

＞安全制度監(jiān)督與檢查

安全策略發(fā)布實施后，各部門應(yīng)就安全策略制度或規(guī)定的貫徹執(zhí)行，執(zhí)行中

存在的問題以及對規(guī)章制度修改或廢止的意見建議等情況進行檢查、監(jiān)督，并將

意見和建議及時反饋給制度的制定部門。

為保障各項信息安全管理制度的貫徹落實，信息安全管理部門必須定期檢查

安全策略的落實情況，信息安全管理制度的落實情況檢查是信息安全檢查工作的

重要內(nèi)容。

信息安全檢查工作結(jié)束后，在起草檢查報告時，必須通報安全策略的落實情

況，對執(zhí)行不力的行為必須提出整改意見，限期糾改，并繼續(xù)追蹤其落實情況。

安全策略的貫徹落實情況，必須作為重要的考核項目，納入部門的綜合考評

體系。

為安全策略落實做出顯著成績的部門或個人，應(yīng)給予表彰和獎勵；對違反規(guī)

章制度造成嚴重后果的部門或個人，應(yīng)追究當事人、相關(guān)單位及主管領(lǐng)導的責任。

具體參照考核制度辦理。

＞安全制度管理流程

1.制度管理流程信息表

下表給出了制度管理流程表，供本次項目參考:

流程名稱策略管理流流程編碼0PT-6流程負責人山大商務(wù)學院管

程委會信息安全辦

公室

流程起點：流程目的：規(guī)范山大商務(wù)學流程終點：審議安全策略執(zhí)行

制定安全策院管委會以及各部門信息安

略全策略的制定、發(fā)布、修改、

廢止、檢查和監(jiān)督落實，建

立科學、嚴謹?shù)男畔踩?/p>

略管理體系。

步操作操作描述操作崗位

驟步驟

編

號

1策略1、山大商務(wù)學院管委會公部門信息安全組織/山大商務(wù)學院管委會信息

司級信息安全策略由山

制定大商務(wù)學院管委會信息安全辦公室

安全辦公室負責制定

2、部門級信息安全策略由

部門信息安全組織負責

制定

2審核1、山大商務(wù)學院管委會級部門信息安全組織/山大商務(wù)學院管委會信息

策略

4發(fā)■山大商務(wù)學院管委會信安全辦公室/山大商務(wù)學院管委會信息安全工

布息安全工作組審核作組/工作信息安全領(lǐng)導小組

■山大商務(wù)學院管委會信

息安全領(lǐng)導小組審批

■山大商務(wù)學院管委會信

息安全辦公室發(fā)布

2、部門級策略

■山大商務(wù)學院管委會信

息安全辦公室審核

■山大商務(wù)學院管委會信

息安全工作組審批

■部門信息安全組織發(fā)布

3修改■制定部門負責修改和廢部門信息安全組織/山大商務(wù)學院管委會信息

止

與廢■山大商務(wù)學院管委會信安全辦公室/山大商務(wù)學院管委會信息安全工

止息安全辦公室審核、備案作組/工作信息安全領(lǐng)導小組

■山大商務(wù)學院管委會信

息安全工作組、領(lǐng)導小組審

批

4監(jiān)督■山大商務(wù)學院管委會信山大商務(wù)學院管委會信息安全辦公室

息安全辦公室監(jiān)督、檢查

和檢

查

步驟編輸入部門輸入內(nèi)容