中科網(wǎng)威信息系統(tǒng)安全等級保護(hù)建設(shè)方案

隨著我國信息化進(jìn)程的不斷發(fā)展，信息安全越來越受到重視。特別是2014年2月27日中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組的正式成立，標(biāo)志著網(wǎng)絡(luò)安全已經(jīng)上升成為國家-戰(zhàn)略。等級保護(hù)作為國家信息安全的基本制度和核心技術(shù)體系，也必然得到進(jìn)一步加強(qiáng)。各信息系統(tǒng)運(yùn)營使用單位如何結(jié)合信息系統(tǒng)的自身特點(diǎn)和實(shí)際安全需求，將等級保護(hù)落實(shí)到整體的安全建設(shè)中去，切實(shí)提高信息系統(tǒng)的防攻擊、防篡改、防病毒、防癱瘓、防竊密能力，是一個(gè)及待解決的問題。同時(shí)現(xiàn)在的信息安全風(fēng)險(xiǎn)和信息安全事件越來越頻繁發(fā)生，因此全國黨政機(jī)關(guān)、事業(yè)單位和國有企業(yè)全面開展信息安全等級保護(hù)工作，確保核心信息系統(tǒng)的安全防護(hù)。

等級保護(hù)網(wǎng)絡(luò)應(yīng)用拓相圖（V1）

一、等保三級信息安全產(chǎn)品部署要求

a)保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要；

b)保證網(wǎng)絡(luò)各個(gè)部分的帶寬滿足業(yè)務(wù)高峰期需要；

c)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路由控制建立安全的訪問路徑；

d)繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖；

e)根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段；

f)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段；

g)按照對業(yè)務(wù)服務(wù)的重要次序來指定帶寬分配優(yōu)先級別，保證在網(wǎng)絡(luò)發(fā)生擁堵的時(shí)候優(yōu)先保護(hù)重要主機(jī)。

二、網(wǎng)絡(luò)安全訪問控制（部署網(wǎng)絡(luò)行為管理設(shè)備）

a)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，啟用訪問控制功能；

b)能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為端口級；

c)對進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過濾，實(shí)現(xiàn)對用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級的控制；

d)在會話處于非活躍一定時(shí)間或會話結(jié)束后終止網(wǎng)絡(luò)連接；

e)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)；

f)重要網(wǎng)段采取技術(shù)手段防止地址欺騙；

g)按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對受控系統(tǒng)進(jìn)行資源訪問，控制粒度為單個(gè)用戶；

h)限制具有撥號訪問權(quán)限的用戶數(shù)量。

三、網(wǎng)絡(luò)安全審計(jì)（部署網(wǎng)絡(luò)行為審計(jì)設(shè)備）

a)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄；

b)審計(jì)記錄包括：事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息；

c)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；

d)對審計(jì)記錄進(jìn)行保護(hù)，避免受到未預(yù)期的刪除、修改或覆蓋等

e)記錄內(nèi)網(wǎng)用戶向公網(wǎng) BBS、論壇、博客、空間等發(fā)表的帖子內(nèi)容及附件，還提供對帖子的內(nèi)容進(jìn)行關(guān)鍵字過濾。同時(shí)可對搜索引擎搜索的關(guān)鍵字進(jìn)行過濾與記錄

f)確保入網(wǎng)用戶身份合法有效，避免外來隱患。同時(shí)提供單點(diǎn)登錄認(rèn)證方式，用戶只需輸入一次密碼，降低密碼泄露的風(fēng)險(xiǎn)

g)對用戶通過郵件、聊天、論壇等外發(fā)的言論信息進(jìn)行合理監(jiān)控和過濾，及時(shí)過濾違法信息，同時(shí)防止單位內(nèi)部機(jī)密泄漏； 

四、網(wǎng)絡(luò)入侵防范（部署下一代防火墻設(shè)備）

a)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等；

b)當(dāng)檢測到攻擊行為時(shí)，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時(shí)間，在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警。

c)主動防御已知和未知攻擊，實(shí)時(shí)阻斷各種黑客攻擊，如防SQL注入、XSS攻擊、網(wǎng)站掃描、WEB SHELL、會話劫持攻擊等。

d)提供全面的 DOS/DDOS 防護(hù)機(jī)制，支持 SYN Cookie，SYN 代理服務(wù)。防御各種網(wǎng)絡(luò)攻擊如IP畸形包攻擊、IP假冒、TCP劫持入侵、SYN flood、 Smurf、Ping of Death、Teardrop、Land、Ping flood、UDP Flood 等

e)針對HTTP、FTP、SMTP、POP3、IMAP等協(xié)議進(jìn)行病毒查殺

五、IT運(yùn)維安全審計(jì)身份鑒別（部署運(yùn)維堡壘機(jī)系統(tǒng)）

1、身份鑒別：

a)對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進(jìn)行身份標(biāo)識和鑒別；

b)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標(biāo)識具有不易被冒用的特點(diǎn)，口令有復(fù)雜度要求并定期更換；

c)啟用登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施；

d)當(dāng)對服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí)，采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊-聽；

e)為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分配不同的用戶名，確保用戶名具有唯一性。

f)采用兩種或兩種以上組合的鑒別技術(shù)對管理用戶進(jìn)行身份鑒別。

2、主機(jī)防護(hù)：

a)對登錄主機(jī)設(shè)備的用戶進(jìn)行身份鑒別；

b)對主機(jī)設(shè)備的管理員登錄地址進(jìn)行限制；

c)主機(jī)設(shè)備用戶的標(biāo)識唯一；

d)主機(jī)設(shè)備對同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進(jìn)行身份鑒別；

e)身份鑒別信息具有不易被冒用的特點(diǎn)，口令有復(fù)雜度要求并定期更換；

f)具有登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動退出等措施；

g)當(dāng)對主機(jī)設(shè)備進(jìn)行遠(yuǎn)程管理時(shí)，采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊-聽；

3、訪問控制：

a)啟用訪問控制功能，依據(jù)安全策略控制用戶對資源的訪問；

b)根據(jù)管理用戶的角色分配權(quán)限，實(shí)現(xiàn)管理用戶的權(quán)限分離，僅授予管理用戶所需的最小權(quán)限；

c)實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限分離；

d)嚴(yán)格限制默認(rèn)帳戶的訪問權(quán)限，重命名系統(tǒng)默認(rèn)帳戶，修改這些帳戶的默認(rèn)口令；

e)及時(shí)刪除多余的、過期的帳戶，避免共享帳戶的存在。

f)對重要信息資源設(shè)置敏感標(biāo)記；

g)依據(jù)安全策略嚴(yán)格控制用戶對有敏感標(biāo)記重要信息資源的操作；

3、安全審計(jì)：

a)審計(jì)范圍覆蓋到服務(wù)器和重要客戶端上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫用戶；

b)審計(jì)內(nèi)容包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件；

c)審計(jì)記錄包括事件的日期、時(shí)間、類型、主體標(biāo)識、客體標(biāo)識和結(jié)果等； 

d)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；

e)保護(hù)審計(jì)進(jìn)程，避免受到未預(yù)期的中斷；

f)保護(hù)審計(jì)記錄，避免受到未預(yù)期的刪除、修改或覆蓋等。

六、web應(yīng)用防護(hù)、網(wǎng)頁防篡改（部署web應(yīng)用防護(hù)系統(tǒng)）

a)主動防御已知和未知攻擊，實(shí)時(shí)阻斷各種黑客對網(wǎng)站攻擊，如SQL注入、XSS跨站腳本、CSRF、遠(yuǎn)程包含漏洞利用、Cookie劫持 

b)防御非法HTTP請求：如PUT、COPY、MOVE等危險(xiǎn)HTTP請求； 

c)防御腳本木馬上傳：如上傳ASP/PHP/JSP/腳本木馬； 

d)防御目錄遍歷、源代碼泄露：如目錄結(jié)構(gòu)、腳本代碼；

e)防御網(wǎng)站掛馬：如IE極光漏洞； 

f)防御掃描器掃描：如WVS、Appscan等掃描器的掃描 

g)防御DDOS攻擊：抵御SYN Flood、UDP Flood、ICMP Flood、ACK Flood、RST Flood 

h)防御CC攻擊：如HTTP Flood、Referer Flood，抵御Web頁面非法采集

i)識別頻繁嘗試入侵的IP地址，并在一段時(shí)間內(nèi)拒絕該IP對網(wǎng)站的入侵行為和正常訪問

j)對網(wǎng)站數(shù)據(jù)實(shí)時(shí)監(jiān)控網(wǎng)頁請求的合法性，攔截篡改攻擊企圖，保障網(wǎng)站公信度，發(fā)現(xiàn)有對網(wǎng)頁進(jìn)行任何形式的非法添加、修改、刪除等操作時(shí)，立即進(jìn)行保護(hù)，恢復(fù)數(shù)據(jù)并進(jìn)行告警，同時(shí)記錄防篡改日志

k)對數(shù)據(jù)庫數(shù)據(jù)進(jìn)行監(jiān)控，發(fā)現(xiàn)對數(shù)據(jù)庫進(jìn)行任何形式的非法添加、修改、刪除等操作時(shí)，立即進(jìn)行保護(hù)，恢復(fù)數(shù)據(jù)并進(jìn)行告警，同時(shí)記錄防篡改日志

l)對用戶網(wǎng)絡(luò)中已經(jīng)存在的木馬進(jìn)行實(shí)時(shí)探測攔截，對上傳的腳本木馬進(jìn)行細(xì)粒度檢測，防止各種變形的腳本木馬的上傳與執(zhí)行。

七、主機(jī)、服務(wù)器漏洞安全防御（部署漏洞掃描系統(tǒng)）

a)檢測到對重要服務(wù)器進(jìn)行入侵掃描的行為，能夠記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時(shí)間，并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警；

b)能夠?qū)χ匾绦虻耐暾赃M(jìn)行檢測，并在檢測到完整性受到破壞后具有恢復(fù)的措施；

c)掃描操作系統(tǒng)漏洞、網(wǎng)絡(luò)設(shè)備漏洞、Web服務(wù)器漏洞、數(shù)據(jù)庫服務(wù)器漏洞、郵件服務(wù)器漏洞、DNS漏洞等。

d)弱密碼掃描,存在弱密碼漏洞的計(jì)算機(jī)一直是黑客青睞的對象，通過此類漏洞，可以輕易地得到服務(wù)器的管理員權(quán)限，從而威脅服務(wù)器及數(shù)據(jù)的安全。

e)防御服務(wù)器漏洞：如IIS代碼執(zhí)行漏洞、Lotus緩沖區(qū)溢出漏洞等

八、惡意代碼入侵安全防護(hù)（部署入侵防御系統(tǒng)）

f)對網(wǎng)絡(luò)敏感信息泄露DOS攻擊/嘗試獲取用戶特權(quán)的攻擊/嘗試獲取管理員特權(quán)的攻擊/網(wǎng)絡(luò)流量中發(fā)現(xiàn)可執(zhí)行文件的注入/可疑關(guān)鍵字和可疑文件的注入/遠(yuǎn)程過程調(diào)用告警/網(wǎng)絡(luò)木馬程序注入防護(hù)

g)支持對應(yīng)用級別協(xié)議進(jìn)行異常檢測，通過拒絕常數(shù)據(jù)包來阻止這些非法的數(shù)據(jù)包，最大化保障網(wǎng)絡(luò)安全； 

h)實(shí)現(xiàn)針對HTTP、SMTP、POP3、IMAP、FTP、IM等多種協(xié)議的病毒流量監(jiān)測和控制，第一時(shí)間完成對木馬病毒、蠕蟲病毒、宏病毒，以及腳本病毒的查殺，控制或消除上述威脅對系統(tǒng)的危害；

i)防范黑客攻擊、蠕蟲、網(wǎng)絡(luò)病毒、后門木馬、D.o.S 、Shellcode等惡意流量，保護(hù)企業(yè)信息系統(tǒng)和網(wǎng)絡(luò)架構(gòu)免受侵害，防止操作系統(tǒng)和應(yīng)用程序損壞或宕機(jī)；

j)對木馬病毒、蠕蟲病毒、宏病毒，以及腳本病毒的查殺，控制或消除上述威脅對系統(tǒng)的危害；

九、數(shù)據(jù)傳輸安全性（部署VPN安全網(wǎng)關(guān)）

a)能夠檢測到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過程中完整性受到破壞，并在檢測到完整性錯(cuò)誤時(shí)采取必要的恢復(fù)措施；

a)采用加密或其他有效措施實(shí)現(xiàn)系統(tǒng)數(shù)據(jù)傳輸安全性、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)傳輸保密性；

b)采用加密或其他保護(hù)措施實(shí)現(xiàn)應(yīng)用系統(tǒng)遠(yuǎn)程互聯(lián)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)遠(yuǎn)程訪問的安全性；

c)在數(shù)據(jù)通信雙方建立連接之前，用系統(tǒng)利用密碼技術(shù)進(jìn)行會話初始化驗(yàn)證；

d)對數(shù)據(jù)通信過程中的整個(gè)報(bào)文或會話過程進(jìn)行加密。

十、網(wǎng)絡(luò)設(shè)備、服務(wù)器狀態(tài)監(jiān)控（部署網(wǎng)絡(luò)監(jiān)控網(wǎng)管系統(tǒng)）

a)對主流網(wǎng)絡(luò)廠家的網(wǎng)絡(luò)設(shè)備進(jìn)行監(jiān)控，包括ping存活探測，cpu、內(nèi)存、存儲器空間、接口流量等運(yùn)行狀態(tài)。對F5負(fù)載均衡設(shè)備業(yè)務(wù)性能提供深入支持。

b)對主流服務(wù)器廠商的服務(wù)器（支持IPMI協(xié)議）的硬件狀態(tài)進(jìn)行監(jiān)控，包括服務(wù)器內(nèi)部環(huán)境溫度、主板溫度、CPU溫度、CPU風(fēng)扇轉(zhuǎn)速、電源狀態(tài)、電源電壓、CPU電壓、CMOS電池容量等。并且可實(shí)現(xiàn)遠(yuǎn)程開關(guān)機(jī)等管理功能。

c)對Windows、Linux、AIX、HP-UX等操作系統(tǒng)的服務(wù)器的ping存活、系統(tǒng)資源（cpu、內(nèi)存和磁盤空間）、接口流量、進(jìn)程等進(jìn)行監(jiān)控。

d)對Oracle、Mysql、SqlServer等主流數(shù)據(jù)庫進(jìn)行表空間利用率、數(shù)據(jù)文件的每秒I/O操作、已連接的用戶數(shù)等眾多參數(shù)進(jìn)行監(jiān)控。

e)對機(jī)房溫濕度、漏水、煙霧等環(huán)境參數(shù)，以及市電和UPS等動力狀況進(jìn)行監(jiān)控（需要額外的附加探頭支持）。

f)支持手機(jī)短信、電子郵件、彈出窗口等多種報(bào)警方式，支持多級閥值設(shè)定。

g)能夠?qū)ο到y(tǒng)的服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測和報(bào)警。

中科網(wǎng)威公司依托由在多家國內(nèi)外知名安全廠商研發(fā)經(jīng)驗(yàn)的博士、碩士、學(xué)士組成層次合理、富有經(jīng)驗(yàn)又極具創(chuàng)新精神的研發(fā)團(tuán)隊(duì),并與高校建立了良好的產(chǎn)學(xué)研基地。憑借多年對用戶需求的潛心研究與技術(shù)創(chuàng)新,設(shè)計(jì)基于內(nèi)核底層技術(shù)嵌入式硬件設(shè)計(jì)，中科網(wǎng)威成功推出了完全擁有軟硬件完全的自主知識產(chǎn)權(quán)自主品牌“中科網(wǎng)威anysec”，anysec系列產(chǎn)品包括vpn安全網(wǎng)關(guān)、下一代防火墻、web防火墻、上網(wǎng)行為管理、中科網(wǎng)警系統(tǒng)、usb病毒隔離盒、病毒隔離網(wǎng)關(guān)、it運(yùn)維堡壘機(jī)、企業(yè)無線wifi產(chǎn)品等系列網(wǎng)絡(luò)安全產(chǎn)品，產(chǎn)品先后獲得公安部，國家密碼管理局，中國信息安全測評認(rèn)證中心，計(jì)算機(jī)世界等政府和民間it測評機(jī)構(gòu)的多項(xiàng)認(rèn)證和大獎，獲得廣大用戶的一致好評。而且憑借高效的現(xiàn)代企業(yè)運(yùn)作機(jī)制和持續(xù)的戰(zhàn)略創(chuàng)新，堅(jiān)持自主創(chuàng)新路線，目前主要致力于拓展教育、廣電、軍事、工商、財(cái)政、稅務(wù)、金融、地產(chǎn)、企業(yè)等網(wǎng)絡(luò)信息安全整體解決方案，實(shí)現(xiàn)企事業(yè)單位信息化快速發(fā)展，為電子政務(wù)及電子商務(wù)提供安全保障，為電信運(yùn)營商提供寬帶增值運(yùn)營解決方案。深圳中科網(wǎng)威將以“聚焦網(wǎng)絡(luò)、專注安全”作為發(fā)展目標(biāo),以“用戶需求為導(dǎo)向”的研發(fā)核心理念,攜手客戶和合作伙伴,共同創(chuàng)建一個(gè)未來可信的、快捷的、安全的網(wǎng)絡(luò)世界,為構(gòu)建和諧網(wǎng)絡(luò)社會、發(fā)展互聯(lián)網(wǎng)安全經(jīng)濟(jì)不斷創(chuàng)新。