1、信息系統(tǒng)等級保護建設(shè)指導(dǎo)要求（三級）歡迎下載目錄1.范圍- 1 -2.項目背景- 2 -2.1.前言- 2 -2.2.開展信息安全等級保護的法規(guī)、政策和技術(shù)依據(jù)- 3 -2.2.1信息安全等級保護有關(guān)法規(guī)、政策、文件- 6 -2.2.2信息安全等級保護技術(shù)標(biāo)準(zhǔn)體系及其關(guān)系- 9 -3.方案設(shè)計要求- 17 -3.1.方案設(shè)計思想- 17 -3.1.1構(gòu)建符合信息系統(tǒng)等級保護要求的安全體系結(jié)構(gòu)- 17 -3.1.2建立科學(xué)實用的全程訪問控制機制- 17 -3.1.3加強源頭控制，實現(xiàn)基礎(chǔ)核心層的縱深防御- 18 -3.1.4面向應(yīng)用，構(gòu)建安全應(yīng)用支撐平臺- 19 -3.2.建設(shè)原則- 19 -3

2、.3.建設(shè)內(nèi)容- 20 -3.3.1信息系統(tǒng)定級整改規(guī)劃- 20 -3.3.2信息系統(tǒng)安全等級保護整體架構(gòu)設(shè)計（三級）- 21 -3.4.計算環(huán)境安全設(shè)計- 27 -5.1.1用戶身份鑒別- 27 -5.1.2強制訪問控制- 28 -5.1.3系統(tǒng)安全審計- 29 -5.1.4用戶數(shù)據(jù)完整性保護- 29 -5.1.5用戶數(shù)據(jù)機密性保護- 30 -5.1.6客體安全重用- 30 -5.1.7程序可執(zhí)行保護- 30 -3.5.區(qū)域邊界安全設(shè)計- 30 -5.2.1區(qū)域邊界訪問控制- 31 -5.2.2區(qū)域邊界包過濾- 34 -5.2.3區(qū)域邊界安全審計- 34 -5.2.4區(qū)域邊界完整性保護- 3

3、5 -3.6.安全通信網(wǎng)絡(luò)設(shè)計- 35 -3.7.安全管理中心設(shè)計- 35 -4.物理安全要求- 36 -4.1.信息系統(tǒng)中心機房安全現(xiàn)狀- 36 -4.2.信息系統(tǒng)物理安全方面提出的要求- 37 -4.3.信息系統(tǒng)物理安全建設(shè)- 37 -5.3.1環(huán)境安全- 38 -5.3.2設(shè)備安全- 41 -5.3.3介質(zhì)安全- 42 -5.管理安全要求- 47 -5.1.信息系統(tǒng)安全管理的要求- 48 -5.2.信息系統(tǒng)安全管理建設(shè)設(shè)計516.2.1安全管理建設(shè)原則516.2.2安全管理建設(shè)指導(dǎo)思想516.2.3安全管理建設(shè)具體措施515.3.信息系統(tǒng)安全建設(shè)總結(jié)596.設(shè)備要求596.1.設(shè)備選型原

4、則606.2.產(chǎn)品分類選型指標(biāo)616.2.1.主機安全管理平臺指標(biāo)616.2.2.應(yīng)用安全防護系統(tǒng)指標(biāo)626.2.3.終端安全防護系統(tǒng)（服務(wù)器版）指標(biāo)646.2.4.終端安全防護系統(tǒng)（PC版）指標(biāo)656.2.5.身份認(rèn)證網(wǎng)關(guān)指標(biāo)686.2.6.數(shù)據(jù)庫審計系統(tǒng)指標(biāo)686.2.7.防火墻選型指標(biāo)706.2.8.防病毒網(wǎng)關(guān)指標(biāo)716.2.9.入侵檢測系統(tǒng)指標(biāo)726.2.10.漏洞掃描系統(tǒng)指標(biāo)736.2.11.抗拒絕服務(wù)系統(tǒng)指標(biāo)746.2.12.流量控制網(wǎng)關(guān)指標(biāo)756.2.13.網(wǎng)絡(luò)審計系統(tǒng)指標(biāo)766.2.14.VPN設(shè)備選型指標(biāo)776.3.信息系統(tǒng)安全等級保護建設(shè)安全產(chǎn)品配置清單（三級）79附件一：

5、術(shù)語和定義81附件二：方案設(shè)計參考法規(guī)、政策、標(biāo)準(zhǔn)（含國標(biāo)、行標(biāo)、已送批）列表91歡迎下載1. 方案設(shè)計要求....8.2.9. 方案設(shè)計思想2.9.1. 構(gòu)建符合信息系統(tǒng)等級保護要求的安全體系結(jié)構(gòu)平臺安全建設(shè)需要在整體信息安全體系指導(dǎo)下進行實施，保證信息安全建設(shè)真正發(fā)揮效力。隨著計算機科學(xué)技術(shù)的不斷發(fā)展，計算機產(chǎn)品的不斷增加，信息系統(tǒng)也變得越來越復(fù)雜。從體系架構(gòu)角度看，任何一個信息系統(tǒng)都由計算環(huán)境、區(qū)域邊界、通信網(wǎng)絡(luò)三個層次組成。所謂計算環(huán)境就是用戶的工作環(huán)境，由完成信息存儲與處理的計算機系統(tǒng)硬件和系統(tǒng)軟件以及外部設(shè)備及其連接部件組成，

6、計算環(huán)境的安全是信息系統(tǒng)安全的核心，是授權(quán)和訪問控制的源頭；區(qū)域邊界是計算環(huán)境的邊界，對進入和流出計算環(huán)境的信息實施控制和保護；通信網(wǎng)絡(luò)是計算環(huán)境之間實現(xiàn)信息傳輸功能的部分。在這三個層次中，如果每一個使用者都是經(jīng)過認(rèn)證和授權(quán)的，其操作都是符合規(guī)定的，那么就不會產(chǎn)生攻擊性的事故，就能保證整個信息系統(tǒng)的安全。2.9.2. 建立科學(xué)實用的全程訪問控制機制訪問控制機制是信息系統(tǒng)中敏感信息保護的核心，依據(jù)計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則（GB17859-1999）（以下簡稱GB17859-1999）：三級信息系統(tǒng)安全保護環(huán)境的設(shè)計策略，應(yīng)“提供有關(guān)安全策略模型、數(shù)據(jù)標(biāo)記以及主體對客體強制訪問控制”的相

7、關(guān)要求。 基于“一個中心支撐下的三重保障體系結(jié)構(gòu)”的安全保護環(huán)境，構(gòu)造非形式化的安全策略模型，對主、客體進行安全標(biāo)記，并以此為基礎(chǔ)，按照訪問控制規(guī)則實現(xiàn)對所有主體及其所控制的客體的強制訪問控制。由安全管理中心統(tǒng)一制定和下發(fā)訪問控制策略，在安全計算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)實施統(tǒng)一的全程訪問控制，阻止對非授權(quán)用戶的訪問行為以及授權(quán)用戶的非授權(quán)訪問行為。2.9.3. 加強源頭控制，實現(xiàn)基礎(chǔ)核心層的縱深防御終端是一切不安全問題的根源，終端安全是信息系統(tǒng)安全的源頭，如果在終端實施積極防御、綜合防范，努力消除不安全問題的根源，那么重要信息就不會從終端泄露出去，病毒、木馬也無法入侵終端，內(nèi)部惡意用戶

8、更是無法從網(wǎng)內(nèi)攻擊信息系統(tǒng)安全，防范內(nèi)部用戶攻擊的問題迎刃而解。安全操作系統(tǒng)是終端安全的核心和基礎(chǔ)。如果沒有安全操作系統(tǒng)的支撐，終端安全就毫無保障。實現(xiàn)基礎(chǔ)核心層的縱深防御需要高安全等級操作系統(tǒng)的支撐，以此為基礎(chǔ)實施深層次的人、技術(shù)和操作的控制。2.9.4. 面向應(yīng)用，構(gòu)建安全應(yīng)用支撐平臺在當(dāng)前的信息系統(tǒng)中，不僅包括單機模式的應(yīng)用，還包括C/S和B/S模式的應(yīng)用。雖然很多應(yīng)用系統(tǒng)本身具有一定的安全機制，如身份認(rèn)證、權(quán)限控制等，但是這些安全機制容易被篡改和旁路，致使敏感信息的安全難以得到有效保護。另外，由于應(yīng)用系統(tǒng)的復(fù)雜性，修改現(xiàn)有應(yīng)用也是不現(xiàn)實的。因此，在不修改現(xiàn)有應(yīng)用的前提下，以保護應(yīng)用的安

9、全為目標(biāo)，需要構(gòu)筑安全應(yīng)用支撐平臺。本方案擬采用安全封裝的方式實現(xiàn)對應(yīng)用服務(wù)的訪問控制。應(yīng)用服務(wù)的安全封裝主要由可信計算環(huán)境、資源隔離和輸入輸出安全檢查來實現(xiàn)。通過可信計算的基礎(chǔ)保障機制建立可信應(yīng)用環(huán)境，通過資源隔離限制特定進程對特定文件的訪問權(quán)限，從而將應(yīng)用服務(wù)隔離在一個受保護的環(huán)境中，不受外界的干擾，確保應(yīng)用服務(wù)相關(guān)的客體資源不會被非授權(quán)用戶訪問。輸入輸出安全檢查截獲并分析用戶和應(yīng)用服務(wù)之間的交互請求，防范非法的輸入和輸出。2.10. 建設(shè)原則信息系統(tǒng)安全建設(shè)項目依托現(xiàn)有網(wǎng)絡(luò)環(huán)境，基于嚴(yán)格的管理架構(gòu)及信息系統(tǒng)運營模式。要實現(xiàn)信息安全整體體系及安全聯(lián)動機制的統(tǒng)一規(guī)劃，需要嚴(yán)格遵循一定的建設(shè)原

10、則與標(biāo)準(zhǔn)。主要包括：l 需求、風(fēng)險、代價平衡分析的原則l 綜合性、整體性原則l 易操作性原則l 多重保護原則l 可評價性原則考慮到信息系統(tǒng)安全建設(shè)依托單位網(wǎng)絡(luò)信息中心實現(xiàn)系統(tǒng)管理和運維，其直接實現(xiàn)信息安全管理與技術(shù)建設(shè)。需要在網(wǎng)絡(luò)信息中心的統(tǒng)一規(guī)劃指導(dǎo)下開展信息安全建設(shè)。建議按照“統(tǒng)一規(guī)劃、分步實施”原則，針對單位內(nèi)管理及使用的各信息系統(tǒng)按安全等級劃分后進行信息安全等級保護的統(tǒng)一規(guī)劃設(shè)計與分步建設(shè)實施。參照信息系統(tǒng)（三級）的技術(shù)設(shè)計思路和建設(shè)內(nèi)容，遵照等級保護相關(guān)標(biāo)準(zhǔn)和要求，按照等保相應(yīng)級別系統(tǒng)的安全要求，進行信息安全等級保護的規(guī)劃設(shè)計。2.11. 參考標(biāo)準(zhǔn)中華人民共和國計算機信息系統(tǒng)安全保護

11、條例 （國務(wù)院14號令）國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見（中辦發(fā)200327號）關(guān)于信息安全等級保護工作的實施意見（公通字200466號）信息安全等級保護管理辦法（公通字200743號）計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則（GB17859-1999）信息系統(tǒng)安全 等級保護定級指南信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求（GB/T25070-2010）信息系統(tǒng)安全 等級保護基本要求（GB/T22239-2008）信息系統(tǒng)安全 等級保護實施指南信息系統(tǒng)安全 等級保護測評要求信息安全技術(shù) 操作系統(tǒng)安全評估準(zhǔn)則（GB/T20009-2005）信息安全技術(shù) 信息系統(tǒng)安全管理要求（GB/T20269

12、-2006）信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求（GB/T20270-2006）信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求（GB/T20271-2006）信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求（GB/T20272-2006）信息安全技術(shù) 數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求（GB/T20273-2006）2.12. 建設(shè)內(nèi)容平臺安全基本涉及到如下方面：作為海量數(shù)據(jù)的處理平臺，平臺安全控制要做到如下：l 安全可靠：能夠有效屏蔽惡意的訪問l 可伸縮：能夠隨著規(guī)模的擴大，無需更改架構(gòu)就可以支持l 易于管理：支持大規(guī)模分布式管理，單入口就可以管理所有設(shè)備和系統(tǒng)及應(yīng)用的安全方便用戶：不能因為安全要求高，而降低了用戶的交互友

13、好度2.13. 安全拓?fù)涫疽鈭D部署說明：1、 網(wǎng)絡(luò)邊界部署抗DDos系統(tǒng)，防護外部僵尸主機對網(wǎng)絡(luò)及業(yè)務(wù)系統(tǒng)的攻擊，保障網(wǎng)絡(luò)的高可用性；2、 部署邊界防火墻設(shè)備，并開啟VPN模塊，防護來自外部的安全威脅及訪問控制，并對網(wǎng)絡(luò)間傳輸?shù)臄?shù)據(jù)進行加密；3、 部署入侵防護系統(tǒng)，避免業(yè)務(wù)系統(tǒng)遭受來自外部的入侵攻擊；4、 在虛擬化平臺部署安裝虛擬防火墻，對東西向流量進行防護，及各VM間進行隔離。 2.14. 詳細(xì)設(shè)計方案2.14.1. 計算環(huán)境安全設(shè)計計算環(huán)境安全是整個安全建設(shè)的核心和基礎(chǔ)。計算環(huán)境安全通過終端、應(yīng)用服務(wù)器和數(shù)據(jù)庫的安全機制服務(wù)，保障應(yīng)用業(yè)務(wù)處理全過程的安全。系統(tǒng)終端和服務(wù)器通過在操作系統(tǒng)核心

14、層和系統(tǒng)層設(shè)置以強制訪問控制為主體的系統(tǒng)安全機制，形成嚴(yán)密的安全保護環(huán)境，通過對用戶行為的控制，可以有效防止非授權(quán)用戶訪問和授權(quán)用戶越權(quán)訪問，確保信息和信息系統(tǒng)的保密性和完整性，從而為業(yè)務(wù)系統(tǒng)的正常運行和免遭惡意破壞提供支撐和保障。. 系統(tǒng)安全加固1）操作系統(tǒng)加固：進行操作系統(tǒng)裁剪，只安裝滿足業(yè)務(wù)需求的“最小操作系統(tǒng)”2）加強安全基線配置 3）數(shù)據(jù)庫加固：操作系統(tǒng)和數(shù)據(jù)庫程序數(shù)據(jù)文件安裝在不同分區(qū)上；在非系統(tǒng)卷上安裝數(shù)據(jù)庫程序和文件；只安裝業(yè)務(wù)需要的組件，不安裝如升級工具、開發(fā)工具、代碼示例、聯(lián)機叢書等不必要組件；限制客戶端計算機連接到數(shù)據(jù)庫服務(wù)器所能夠使用的協(xié)議的范圍，并確保

15、這些協(xié)議的安全性，如限制只使用TCP/IP協(xié)議；限制客戶端計算機連接到數(shù)據(jù)庫服務(wù)器所使用的特定端口，不使用默認(rèn)端口。. 系統(tǒng)安全審計計算環(huán)境各區(qū)域中的安全控制點，包括防火墻、IPS、防病毒網(wǎng)關(guān)等設(shè)備功能的審計模塊記錄系統(tǒng)的相關(guān)安全事件。審計記錄包括安全事件的主體、客體、時間、類型和結(jié)果等內(nèi)容。審計管理平臺提供審計記錄查詢、分類、分析和存儲保護，對特定安全事件進行報警，同時終端安全加固系統(tǒng)能夠確保審計記錄不會被非授權(quán)用戶訪問。. 用戶數(shù)據(jù)完整性保護在VPN設(shè)備的安全功能支撐下，對通過網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)進行校驗、保證重要數(shù)據(jù)在網(wǎng)絡(luò)傳輸過程中的完整性。2.14.2. 區(qū)域

16、邊界安全設(shè)計安全區(qū)域邊界是對定級系統(tǒng)的安全計算環(huán)境的邊界，以及安全計算環(huán)境與安全通信網(wǎng)絡(luò)之間實現(xiàn)連接功能進行安全保護的部件。. 區(qū)域邊界訪問控制防火墻在安全區(qū)域邊界實施相應(yīng)的訪問控制策略，對進出安全區(qū)域邊界的數(shù)據(jù)信息進行控制，阻止非授權(quán)訪問。要求：1）網(wǎng)絡(luò)構(gòu)架設(shè)計上應(yīng)根據(jù)web服務(wù)器、應(yīng)用服務(wù)器及數(shù)據(jù)庫服務(wù)器重要性和所涉及信息的重要程度等因素，利用防火墻劃分在不同的網(wǎng)段，避免將應(yīng)用服務(wù)器及數(shù)據(jù)庫服務(wù)器等信息系統(tǒng)核心服務(wù)器部署在網(wǎng)絡(luò)邊界處，不可將這類服務(wù)器直接連接外部信息系統(tǒng)。重要服務(wù)器與其他網(wǎng)段之間通過采取可靠的技術(shù)隔離手段；信息系統(tǒng)服務(wù)器只開放web服務(wù)相關(guān)端口，關(guān)閉其它服務(wù)

17、及端口。 根據(jù)信息系統(tǒng)服務(wù)的具體內(nèi)容，可以開放如下端口：端口服務(wù)25郵件發(fā)送服務(wù)110POP郵件服務(wù)80信息系統(tǒng)服務(wù)443安全信息系統(tǒng)服務(wù)2）流量控制設(shè)備對網(wǎng)絡(luò)流量進行實時監(jiān)控和合理限制，保證網(wǎng)絡(luò)帶寬和業(yè)務(wù)服務(wù)的持續(xù)可用。3）抗拒絕服務(wù)系統(tǒng)有效防范拒絕服務(wù)等網(wǎng)絡(luò)攻擊，保證系統(tǒng)的完整性和可用性。外部接入?yún)^(qū)的防病毒網(wǎng)關(guān)設(shè)備阻止惡意代碼進入信息系統(tǒng)中，形成對局域網(wǎng)內(nèi)部的設(shè)備和資源的有效保護。防病毒應(yīng)采用防病毒網(wǎng)關(guān)與防病毒軟件聯(lián)動的方式，從而實現(xiàn)從邊界到內(nèi)部全面有效的抵御病毒的攻擊要求：1)防病毒網(wǎng)關(guān)主要用于對病毒的查殺，可是，由于這些軟件是通過病毒特征庫來實現(xiàn)對病毒的防御與查殺，因此對于新出現(xiàn)的病毒

18、，防病毒網(wǎng)關(guān)總會存在一定的遲滯時間，給信息系統(tǒng)帶來安全隱患。因此，需要通過對信息系統(tǒng)的服務(wù)器操作系統(tǒng)進行安全加固，對業(yè)務(wù)應(yīng)用系統(tǒng)進行完整性保護，使操作系統(tǒng)和業(yè)務(wù)應(yīng)用對于病毒和惡意代碼實現(xiàn)自免疫，即使是新出現(xiàn)的病毒，也能夠保證不會被入侵或破壞。2)信息系統(tǒng)系統(tǒng)中相關(guān)各個服務(wù)器及工作站必須安裝計算機防病毒軟件，終端安全防護系統(tǒng)（服務(wù)器版、PC版），在網(wǎng)絡(luò)邊界安裝硬件統(tǒng)一威脅管理（UTM）等設(shè)備，形成服務(wù)器、終端操作系統(tǒng)加固軟件、主機防毒軟件及網(wǎng)絡(luò)防毒硬件構(gòu)成的病毒防御體系。病毒防御體系應(yīng)具備如下功能：n 執(zhí)行程序完整性保護n 惡意代碼主動防御n 病毒事件報警，病毒事件日志查詢與統(tǒng)計n 全網(wǎng)查殺病毒

19、，實時監(jiān)控客戶端防毒狀況n 集中控制及管理防毒策略n 防病毒系統(tǒng)自我保護n 系統(tǒng)主動防御，惡意行為檢測，隱藏進程檢測n 病毒庫在線升級及離線升級n 客戶端漏洞檢測與補丁分發(fā)n 控制未知病毒、蠕蟲、間諜軟件執(zhí)行3)信息系統(tǒng)管理人員應(yīng)及時升級防毒墻和防病毒軟件的病毒庫，提高其抵御病毒的能力。應(yīng)定期利用防病毒軟件掃描各個服務(wù)器及工作站操作系統(tǒng)的安全現(xiàn)狀。定期查看主機惡意代碼免疫軟件中的審計日志，及時發(fā)現(xiàn)服務(wù)器及工作站操作系統(tǒng)中存在的未知病毒、木馬等惡意可執(zhí)行代碼。入侵檢測系統(tǒng)在外部接入?yún)^(qū)檢測外部對內(nèi)部系統(tǒng)的入侵行為。將網(wǎng)絡(luò)入侵檢測產(chǎn)品放置在比較重要的網(wǎng)段內(nèi)，監(jiān)視網(wǎng)段中的各種數(shù)據(jù)包。對每一個數(shù)據(jù)包或可

20、疑的數(shù)據(jù)包進行特征分析。如果數(shù)據(jù)包與產(chǎn)品內(nèi)置的某些規(guī)則吻合，入侵檢測系統(tǒng)應(yīng)發(fā)出警報甚至直接切斷網(wǎng)絡(luò)連接。網(wǎng)絡(luò)入侵檢測系統(tǒng)應(yīng)能夠檢測來自網(wǎng)絡(luò)的攻擊，能夠檢測到超過授權(quán)的非法訪問。無需改變服務(wù)器等主機的配置，不在業(yè)務(wù)系統(tǒng)的主機中安裝額外的軟件，不影響這些機器的CPU、I/O與磁盤等資源的使用，不影響業(yè)務(wù)系統(tǒng)的性能. 區(qū)域邊界包過濾區(qū)域邊界部署的防火墻產(chǎn)品通過檢查數(shù)據(jù)包的源地址、目的地址、傳輸層協(xié)議、請求的服務(wù)等，確定是否允許該數(shù)據(jù)包進出該區(qū)域邊界。在服務(wù)器前端開啟防火墻的應(yīng)用安全審計功能模塊。能有效的審計各種惡意的網(wǎng)絡(luò)攻擊手段。. 區(qū)域邊界安全審計區(qū)域邊界部署的防火

21、墻、開啟防病毒功能模塊、部署IPS入侵防御對確認(rèn)的風(fēng)險行為及時防御及報警。. 網(wǎng)絡(luò)入侵防御能力入侵防御是對防火墻極其有益的補充，入侵防御系統(tǒng)能在入侵攻擊對系統(tǒng)發(fā)生危害前，檢測到入侵攻擊，并利用報警與防護系統(tǒng)驅(qū)逐入侵攻擊。在入侵攻擊過程中，能減少入侵攻擊所造成的損失。在被入侵攻擊后，收集入侵攻擊的相關(guān)信息，作為防范系統(tǒng)的知識，添加入知識庫內(nèi)，增強系統(tǒng)的防范能力，避免系統(tǒng)再次受到入侵。入侵防御被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進行監(jiān)聽，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護,大大提高了網(wǎng)絡(luò)的安全性。. 防病毒能力邊界防火墻開

22、啟防病毒功能，在出口處實時檢查網(wǎng)絡(luò)數(shù)據(jù)流，防止惡意和不必要的應(yīng)用及web內(nèi)容進出網(wǎng)絡(luò)，實現(xiàn)辦公區(qū)域網(wǎng)絡(luò)最大化保護、控制與使用。通過利用ASIC加速的數(shù)據(jù)檢查引擎，可在不影響網(wǎng)絡(luò)流量速度的前提下快速準(zhǔn)確地檢查并分類HTTP/HTTPS、FTP、SMTP和POP3數(shù)據(jù)。此外，基于用戶和用戶群的URL過濾引擎和應(yīng)用控制可協(xié)助管理員實現(xiàn)網(wǎng)絡(luò)應(yīng)用策略。間諜軟件、病毒、rootkit攻擊、廣告軟件和木馬等惡意內(nèi)容在網(wǎng)關(guān)處即可被識別并攔截下來。并保證防病毒軟件并已升級到最新版本的病毒庫軟件，大大減少病毒、木馬等攻擊行為。. 應(yīng)用安全防護能力服務(wù)器和存儲系統(tǒng)承載的關(guān)鍵系統(tǒng)和重要數(shù)據(jù)，該網(wǎng)絡(luò)是安全防范的重點，數(shù)據(jù)中心網(wǎng)絡(luò)的出口部署高性能入侵防御系統(tǒng)，可以有效阻止針對數(shù)據(jù)中心網(wǎng)絡(luò)的攻擊行為，復(fù)用互聯(lián)網(wǎng)出口的DDoS拒絕服務(wù)攻擊防