網站(zhàn)安全監測與防護方案
背景需求
近(jìn)些(xiē)年(nián)來(lái),随著(zhe)互聯網技☆₹↓(jì)術(shù)的(de)發展以及電(diàn)子(zǐ)商務和(©±ε∏hé)電(diàn)子(zǐ)政務的(de)普及,各企事(shì←€)業(yè)單位、黨政機(jī)關面臨的(de)網站(zhγ$λàn)安全問(wèn)題也(yě)随之凸顯出來(lái)。為(wèi)了(€•£¥le)繼續發揮互聯網經濟産生(shēng)效益和(hé)'δ&π優勢,需要(yào)我們必須積極應對(duì)網站(zhàn)安全問(wènα§↕≥)題。 目前,國(guó)內(nèi)安全形勢非常嚴峻,網站(z §↓hàn)面臨的(de)安全問(wèn)題大(dà)∑¥π®量湧現(xiàn)。首先,網站(zhàn)系統需要☆✘☆(yào)應對(duì)和(hé)處置的(deδ<)安全隐患持續增長(cháng),需要(yào)企業♥&↔(yè)和(hé)機(jī)構進一(yī)步加強隐患的(de)管理(lα₽★•ǐ)和(hé)控制(zhì)。據CNCERT發布的(de)《2015年Ω♦←α(nián)中國(guó)互聯網網絡安全報¥π(bào)告》顯示,2015年(nián↓σ<)CNVD共收錄了(le)安全漏洞8080↓☆≥✔個(gè),其中高(gāo)危漏洞收錄數(shù)量高(gāo)達2909個∑♣ (gè),該數(shù)字較2014年(ni≥>Ω♠án)增長(cháng)21.5%。其次,網站(zhàn)安全事(shì)故÷Ω"★頻(pín)發,據CNCERT發布的(de)《2015年(nián™ )中國(guó)互聯網網絡安全報(bào)告》顯示,20δ15年(nián),CNCERT/CC共接收境內(n↓↕èi)/外(wài)報(bào)告的(de)網絡安全事(shì)件(jià≠₹n)126916起,平均每天發生(shēng)安全事£<₩(shì)件(jiàn)347起,數(shù)量非常驚人(ré≤n),其中有(yǒu)24550個(gè)網站(zhàn)被篡改,40782αγ個(gè)境內(nèi)主機(jī)被植入木(mù)馬&&或僵屍程序。最後,與網站(zhàn)相(xiàng)關的(de)重大(dà)安₩↑≈全事(shì)故也(yě)頻(pín)頻(pín)✘♣發生(shēng),國(guó)內(nèi)外(wà¶π×≥i)各知(zhī)名企業(yè)相(xiàng)繼發生(shēn≠ε✘g)數(shù)起重大(dà)安全事(shì)故。"α™其中,京東(dōng)商城(chéng)洩露12G>∏用(yòng)戶數(shù)據、雅虎洩露5億用(yòng)戶資料、Lin↔✔"kedIn旗下(xià)的(de)在線學習(xí)網站(zhàn)Ly↔£'<nda.com被竊取950萬賬号信息等事(shì)件(jiàn)都(dō←γ↕u)直接導緻公衆個(gè)人(rén)信息的→•(de)洩露。與此同時(shí),國(guó↔ ®β)家(jiā)對(duì)網站(zhàn)♠₹&安全問(wèn)題越來(lái)越重視($™shì),并且不(bù)斷加大(dà)網站(zhàn)安全的(de)監管δ力度。中央網絡安全和(hé)信息化(huà)領導小(xiǎo)組成♣ ₽立後,發布的(de)第一(yī)個(gè)文(wén)件(jiàn)就ε"(jiù)是(shì)《關于加強黨政機(jī)關網站♦™(zhàn)安全管理(lǐ)的(de)通(tōng)知(zhī)÷'σ±》,該文(wén)就(jiù)各級黨政機(jī)關及企事(shì)業(β↑γyè)單位開(kāi)展網站(zhàn)安全管理(lǐ)提出若幹條指導意見(j♦↓iàn)。另一(yī)方面,國(guó)家(j✘≈Ωiā)各級主管部門(mén)加大(dà)檢查力度,近(↑¶≤jìn)幾年(nián)多(duō)次開(kāi)展重要(♠&yào)保障活動及安全專項檢查工(gōn₩✔₩g)作(zuò),并且每次重要(yào)保障任務和(hé)專項檢查工(g<γōng)作(zuò)的(de)重點都(dōu)包括對(duì♥☆ )互聯網網站(zhàn)檢測和(hé)治理(lǐδ₽∏)。
問(wèn)題和(hé)困難
當前,各企業(yè)在網站(zhàn)安全管理(lǐ)上(sγαhàng)存在的(de)問(wèn)題主要(yà∞∞o)集中在網站(zhàn)的(de)資産管理(lǐ)、漏洞管理(lǐ)、威脅₩α→σ管理(lǐ)、事(shì)件(jiàn)管理(lǐ)四個(gè←£)方面。 在資産管理(lǐ)方面,問(wènΩε€)題主要(yào)體(tǐ)現(xiàn)在企業(yè)缺乏有(yǒu)效的(β♠☆de)手段對(duì)網站(zhàn)等資産的(de)變更進行(xí¥±∏ng)監測和(hé)管理(lǐ),導緻新上(shàng™α)線的(de)網站(zhàn)或變更的(d≠÷πe)網站(zhàn)在未經安全檢查和(hé)采取防護措施的(de)前提下(xià)直接暴露在互聯網上(shàng)。通(tōn§¶"g)常這(zhè)些(xiē)網站(zhàn)存∑δ在大(dà)量安全隐患,非常容易被攻擊者所利用(yòng)。
在漏洞管理(lǐ)方面,企業(yè)所面臨的(de)困難主要(yào)≤£↑是(shì)未能(néng)對(duì)網站(z>hàn)漏洞及隐患進行(xíng)定期排$"✘查和(hé)處置,導緻未發現(xiàn)、未處置的♣₹♥≤(de)漏洞數(shù)量越來(lái)越多(duō)。通(tōng)常有(y₽∞→λǒu)兩方面原因導緻漏洞數(shù)量的(de)增加,一(yī®&)方面是(shì)用(yòng)戶網站(zhàn)內(nèi)容₹♠≥變更可(kě)能(néng)會(huì)引入的φ∏(de)新漏洞,另一(yī)方面是(shì)先前網站(zhàn)建設♦♣¥過程中引入的(de)第三方代碼會(huì)δ₽被不(bù)斷發現(xiàn)存在新漏洞。
在威脅管理(lǐ)方面,企業(yè)面臨的(dλ'®e)主要(yào)問(wèn)題在于缺乏專職人(rén)員(yuán)對φ↑≥(duì)安全防護設備及其防護策略進行(xíng)維護,使得(de)安全設備<πΩ↕檢測效能(néng)逐步降低(dī)。效能(néng)降低(dī)主要(yà↔δ∞₹o)體(tǐ)現(xiàn)在兩個(gè)方面,一(yī)方面是(shìα§)監測和(hé)防護新威脅的(de)安全策略不(bù)能(néα$ng)及時(shí)得(de)到(dào)應用(yòng);另外(wài™σφ•)一(yī)方面是(shì)網站(zhàn)業(yè)務系統的±¥∞♦(de)不(bù)斷變更導緻原先的(de)防護規則逐步失效。在事(shì)件(>♦jiàn)管理(lǐ)方面,企業(yè)面臨的(≠₩de)主要(yào)問(wèn)題是(shì)缺乏有δ₽(yǒu)效手段及時(shí)發現(xiàn)安全事(shì)故÷λ₹,使得(de)安全事(shì)故造成影(yǐng)響和(hé)損失不(bù)斷₩§增加。
方案介紹
網站(zhàn)安全監測與防護解決方案能(nén ♥↕'g)夠通(tōng)過事(shì)前漏洞分€ (fēn)析與預防、事(shì)中威脅監測與防護、事(shì↓♣α)後安全事(shì)件(jiàn)監測與響應,迎接國(guó)家(jiā)合λ&規檢查、抵禦外(wài)部威脅、降低(dī)安全風(fēng)險。
網站(zhàn)安全監測與防護解決方案,主要(yào)由網站(zhàn ±ασ)安全管理(lǐ)系統、網站(zhàn)安全監測引擎以及網®§Ω站(zhàn)安全防護引擎構成。網站(zhàn)安全管理(lǐ)σ§>系統能(néng)夠為(wèi)用(yòng)€ ↕₽戶提供在線的(de)、可(kě)視(shì)化(♦σhuà)的(de)管理(lǐ)工(gōng)具,幫助用(yòng)戶查看"π→Ω(kàn)和(hé)處置網站(zhàn)安全相(xi¶&≥àng)關的(de)資産事(shì)件(jiàn)、漏洞事(shì)件(jià∑φn)、威脅事(shì)件(jiàn)和(hé)安↕λ全事(shì)故。網站(zhàn)安全監測引擎可∞Ω(kě)以幫助用(yòng)戶監測網站(zhàn♥ε®≥)變更的(de)情況、網站(zhàn)存在安全漏洞以及發生±✘(shēng)的(de)安全事(shì)故。網站(zhàn)安全防護引擎采用(₽≥♦yòng)Web應用(yòng)防火(huǒ)牆産品≥♥>,部署在用(yòng)戶側,用(yòng)于各類web應用(yò"↔φ ng)攻擊的(de)檢測和(hé)阻斷。 ←↕ 網站(zhàn)安全監測與防護解決方案∑↑是(shì)通(tōng)過以下(xià)方式來(lái)幫助用(yòngσγ↕)戶完成網站(zhàn)的(de)資産管理(lǐ)、漏洞管理(lǐ)、威脅管©理(lǐ)以及事(shì)件(jiàn)管理(lǐ)。 在資☆≤α産管理(lǐ)方面,網站(zhàn)安全監測與防護解決方案←∏π∏主要(yào)通(tōng)過監測引擎為(wè©€€i)指定的(de)IP網段進行(xíng)資産掃描,通(tōng)$過與現(xiàn)有(yǒu)資産比對(duì)發現(xiàn)新γ★上(shàng)線的(de)網站(zhàn)↔λ§及變更的(de)網站(zhàn)系統,并及時(shí)向用(λ★₩yòng)戶通(tōng)告。在用(yòng)戶确認資産變更內(γ✘'≥nèi)容後,更新現(xiàn)有(yǒu)資産列表并≠♥×≥将變更的(de)資産納入到(dào)安全監測與防護體(t Ωπǐ)系中,以便及時(shí)發現(xiàn)漏洞、威脅及事(shì)故。 在漏洞管理(lǐ)方面,主要(yào)通(tōng)過網站↕>π(zhàn)安全監測引擎進行(xíng)定期漏洞掃>₽™描,對(duì)暴露在公網上(shàng)的("↕♦≈de)所有(yǒu)網站(zhàn)進行(xíng)We¶σb漏洞及系統漏洞掃描工(gōng)作(zuò)。此後,由自(zì)動化™€§(huà)驗證系統對(duì)于掃描發現(xiàn)的♠↕♠π(de)高(gāo)中危漏洞進行(xíng)漏洞驗證,将具有(yǒu)危'<害性的(de)高(gāo)中危漏洞信息通(tφōng)過網站(zhàn)安全管理(lǐ)系統和♠'φ(hé)漏洞掃描報(bào)告直接推送用(yòng)戶,用(yòn↓ £g)戶可(kě)以根據各類交付物(wù)中所羅列的(de★₩± )漏洞詳情以及解決方案進行(xíng)漏洞的(de)整改加★±¥固。如(rú)果Web漏洞修複周期較長(cháng),用(yòng)≠$¥戶還(hái)可(kě)以通(tōng)過網站(zhàn)安全管理↔✘±∑(lǐ)系統委托進行(xíng)漏洞預防工(gōng)作(zuò)。對(duì'σ¥)于修複的(de)漏洞,用(yòng)戶可<γ(kě)以通(tōng)過網站(zhàn)安全管理('♠λlǐ)系統委托完成漏洞複驗的(de)工(gōng)作(zuò),↓α♠φ從(cóng)而完成整個(gè)漏洞生(shēng)命周期的(de)閉環管理∏←(lǐ)。 在威脅管理(lǐ)方面,網站(zhàn♥₹♥$)安全監測與防護方案通(tōng)過安全防護引擎進行(xíng)威脅防護。防λ♦€→護引擎通(tōng)過與雲的(de)對(duì)接,可(kě)以定期對(±duì)告警日(rì)志(zhì)進行(xíng)分(f♣>ēn)析判斷,并提供篩除誤報(bào)的(de)策略優化(huà)建議(yì₩✘)。另外(wài),雲也(yě)會(huì)提醒用( β→™yòng)戶對(duì)防護引擎的(de δ)知(zhī)識庫進行(xíng)升級,以确保防護引擎可(kě)以對(≈↓duì)新型威脅進行(xíng)防護。 在₩↕事(shì)件(jiàn)管理(lǐ)方面,通(tōng)過網站(zhàn)<♥≠安全監測引擎對(duì)目标網站(zhàn)進行(xín±Ω'g)安全事(shì)故的(de)日(rì)常監測,确保能(n≈©éng)夠在第一(yī)時(shí)間(j" iān)發現(xiàn)網站(zhàn)挂馬、篡♦₹改、黑(hēi)鏈、敏感內(nèi)容、可®☆δ(kě)用(yòng)性通(tōng)斷等多(duō)方面問(wèn↑ ♣)題。在發現(xiàn)事(shì)件(jiàn)後,通(✔εtōng)過短(duǎn)信、網站(zhàn)安全↕§管理(lǐ)系統及手機(jī)APP等多(duō)種方式第一(yī)時(shí®≈↓₽)間(jiān)向用(yòng)戶告警。另一(yī)方面用(y£ òng)戶可(kě)通(tōng)過網站(zhàn)安全管♣•↓理(lǐ)系統委托通(tōng)過網站(zhàn)安全防護引擎消除安全事($∏shì)件(jiàn)造成的(de)影(yǐng)響。最後,本地(≥★dì)應急響應工(gōng)程師(shī)上(shàn"↔g)門(mén)協助用(yòng)戶分(fēn)析事(shì)件(ji★àn)原因,找到(dào)導緻事(shì)φ€↕♥件(jiàn)發生(shēng)的(de)根源,并提供加固建議(yì)和(h≈¶∑é)支持,消除存在的(de)安全隐患。
方案優勢
網站(zhàn)安全監測與防護解決方案的(de)六大(dà)核心優勢:≈ 提供7*24小(xiǎo)時(shí)的(de)全天↕♥≤<候服務,發現(xiàn)安全問(wèn)λα•題後确保30分(fēn)鐘(zhōng)內(nèi)通(tōngφ☆")知(zhī)用(yòng)戶。 支持托管模®Ω♥★式,0維護成本。 所有(yǒu)事(©≤∞₹shì)件(jiàn)經過自(zì)動化(huà)技(j♦∞±ì)術(shù)和(hé)安全專家(jiā)→♠驗證,準确率接近(jìn)100%。 提供短(duǎπ★✘n)信、郵件(jiàn)、網站(zhàn)安全管理(lǐ)系統、手機δ€↓©(jī)APP等多(duō)元化(huà)通(↓₩₩tōng)告方式,确保及時(shí)進行(xíng)通(tōng)≤®告。 為(wèi)用(yòng)戶提供漏洞智能≈>¥(néng)補丁,對(duì)修複周期較長"€(cháng)的(de)漏洞提供預防措施。 通(tōng×€π)過網站(zhàn)安全管理(lǐ)系統,提供漏洞風(fēng)險、♠'威脅攻擊、災害事(shì)故可(kě)視(shì)化(huà)展♦¥ 示,讓用(yòng)戶一(yī)目了(le)然的(de)洞悉全單位風(fē ng)險、攻擊及災害分(fēn)布。
門(mén)戶網站(zhàn)安全解決方案
概述
門(mén)戶網站(zhàn)、網廳等Web網站(zhà©σn)是(shì)運營商與客戶溝通(tōng)$✔∞的(de)便捷通(tōng)道(dào),也(π₽←yě)是(shì)客戶辦理(lǐ)/使用(yòng)相(xiàng)關業(yèφ←☆)務的(de)前端平台,還(hái)有(yǒ←±'u)一(yī)些(xiē)基于Web網站(z$←hàn)的(de)業(yè)務平台,更是(shì)業(yè)務穩定運營Ωφ的(de)關鍵設施。這(zhè)些(xiē)Web網站(zhàn)一(yī)±旦受到(dào)侵害将直接影(yǐng)響運營商的(d↓♥e)品牌形象、信譽以及日(rì)常業(yè×✘ )務運營。 由于Web應用(yòng)的(de)開(kāi)放(f★↓±àng)性、用(yòng)戶的(de)大(dà)衆性,使其成為(>∏Ωwèi)最佳的(de)攻擊和(hé)威脅目标。随著(zhe)web應用α"(yòng)中間(jiān)件(jiàn)和®≠¥α(hé)應用(yòng)平台的(de)新漏洞/弱點被發現(xiàn),針對€∑(duì)性的(de)病毒、木(mù)馬、蠕蟲及自♠→(zì)動化(huà)的(de)攻擊工(gō©♦•ng)具往往會(huì)很(hěn)快(kuài)出現(xiàn),進而出現β↕(xiàn)一(yī)波又(yòu)一(yī ±Ω)波Web攻擊浪潮,導緻服務器(qì)被控制(zhì)、Web服務中↔¥π斷、客戶信息被竊取、業(yè)務欺詐的(de)事(shì)件(♣jiàn)的(de)發生(shēng)。 同時(shí),由于XSS、CSRF、Cookie竊取等攻擊導緻合法用¥£(yòng)戶的(de)客戶端被控制(zhλ☆ εì)、信息被竊取、被欺詐、被敲詐等事(shì)件(jiàn)發生(shε✘₩<ēng),造成巨大(dà)的(de)不(™>±bù)良社會(huì)影(yǐng)響。 随著(zhe)業(yè)♠≤¥÷務的(de)發展,Web架構越來(lái)越複雜(zá),使用(yòng)>✘♥的(de)應用(yòng)關鍵和(hé)技(jì)術(shù)越÷¥γ來(lái)越多(duō),對(duì)其安全防護的(de)難↑☆≠度越來(lái)越大(dà),與此同時(shí),行(xíng)業≤<αε(yè)監管越來(lái)越嚴,懲治力度不(bù ♣♠ )斷加大(dà),使運維、管理(lǐ)人(rén)員(×±∏yuán)面臨著(zhe)嚴峻的(de)挑戰。 'πβ
安全解決方案
方案組成
本方案針對(duì)Web威脅的(de)特點,從(cóng)↔→Web應用(yòng)生(shēng)命周期的(de)角度出發,♠ 重點覆蓋了(le)系統開(kāi)發、測≠↓↕試和(hé)運行(xíng)等環節,從(cóng)事(shì)前Ω☆>、事(shì)中、事(shì)後等風(fēng)險管理™★(lǐ)角度出發,采用(yòng)內(nèi)、外(¶Ω↕wài)的(de)結合的(de)防護手段,建立了(le)主動、縱深、多(du↓✘•φō)層面的(de)安全保障體(tǐ)系,可(kě)以有(yǒu☆¥§)效保護web應用(yòng)的(de)安全性,降低(d±&ī)系統面臨的(de)風(fēng)險。 ↓×¥Ω 安全防護方案組成如(rú)下(xià): δ≤πδ
方案價值
保障網站(zhàn)服務的(de)安全、可(kě)靠¥ 運行(xíng),提高(gāo)客戶滿意度; δ← 及時(shí)感知(zhī)Web運營狀态,提升用(y"ε☆∏òng)戶訪問(wèn)體(tǐ)驗; 大(dà)幅提高(g∏>āo)防護效果,有(yǒu)效抵禦各種攻擊,從(cóng)✘÷而解決安全成本; 滿足來(lái)自(zì)監管部門(€'<mén)的(de)合規性要(yào)求; 提供安全攻擊證據,震懾↓>非法攻擊者; 減少(shǎo)安全人(rén)員(yuán)負→✘♠✘擔,提高(gāo)安全運維效率; 維₩ ≈ 護和(hé)提升公司的(de)品牌形象和(hé)商業(yè)信譽。 ∏♠₹
方案特點和(hé)優勢
對(duì)安全漏洞
弱點進行(xíng)管理(lǐ),防患于未然,降至安全成本; ↔₽ 通(tōng)過代碼審計(jì),最大(dà)限度的(de)發現(xiàn)σ☆ &系統存在的(de)安全漏洞/弱點,提早修補,降低(dī)成本。同時(shí)σπ,通(tōng)過傳遞安全開(kāi)發↕σ知(zhī)識, 減少(shǎo)開(kāi)發實現 '>(xiàn)中的(de)漏洞。 通(tōngΩ>)過Web漏洞掃描系統,實現(xiàn)已知(zhī)漏洞的(de)↑π自(zì)動化(huà)檢查,降低(dī)人(rén)員(yuá≥" n)投入。 通(tōng)過安全設備的(de)早期預警服務,及時("shí)對(duì)新發現(xiàn)漏洞的(de)有(yǒu¥<₩)效管理(lǐ)。
立體(tǐ)的(de)安全防護體(tǐ)系,↑α 高(gāo)針對(duì)性的(de)防護措施≤ →
有(yǒu)效抵禦SYN Flood、UΩλ•'DP Flood、UDP DNS Query FlooΩ©d、(M)Stream Flood、ICMP Flood等攻♦®δ∑擊,并實現(xiàn)對(duì)網絡流量的(de↔↕)清洗。 同時(shí),通(tōng)過Web應用(yΩ✔★òng)防火(huǒ)牆,對(duì)各種we♠∑±b應用(yòng)攻擊進行(xíng)防護,對¥±¶ (duì)HTTP/HTTPS訪問(wèn)流量進行('≈xíng)清洗; 通(tōng•)過集成了(le)傳統防火(huǒ)牆、入侵檢測防護、防病∞≥♠毒功能(néng)的(de)下(xià)一(yī)代防火(huǒ)₹Ω≤☆牆,對(duì)已知(zhī)的(de)各種攻擊、惡意代碼進行(x♦✔♥∑íng)防護,并通(tōng)過防火(huǒ)牆測試,實±✘ε現(xiàn)對(duì)Web訪問(wèn)的(de♠∑ )嚴格控制(zhì)。
有(yǒu)效地(dì)監控、備份與恢複措↑÷施,徹底保障網站(zhàn)的(de)完整性 ₽≈↑ 在Web服務器(qì)上(shàng)部署基于主機(jī)的(de)★≥σ★Web防護系統,有(yǒu)效檢測和(hé)阻斷各種web網頁、圖片、程≠€₩序等資源的(de)篡改攻擊; 對(duì)網♠→站(zhàn)內(nèi)容進行(xíng)備份,一(yī)旦檢測₽↔<&到(dào)系統完整性受損,可(kě)以自(zì)動化(huà÷✘€)進行(xíng)系統恢複。
7*24小(xiǎo)時(shí)外(wài)部安全監控和(hé)一(yī≈$∑)流的(de)外(wài)部專家(jiā)支持 ∏± 7*24小(xiǎo)時(shí)對(duì)系統進行(xí'✔∞"ng)漏洞檢查、挂馬檢查、網頁篡改檢測、內(nèi)容檢查λ←,及時(shí)洞察系統的(de)安全态勢; 在全國(guó)範圍內<δ(nèi),模拟用(yòng)戶對(duì)系統進行(xγ≠íng)訪問(wèn)平穩度、可(kě)用(yòng)性檢測,保→±↓障用(yòng)戶體(tǐ)驗。 一(yī)流的♣>(de)安全專家(jiā)支持,協助用(yòng)戶處理(lǐ)各種疑難雜(zσ<á)症。
防護措施間(jiān)的(de)關聯互動,大(dà)幅"Ω提升防護效果 網站(zhàn)安全檢測服務≠♣™™或Web漏洞掃描系統與Web應用(yòng)防火(huǒ)牆進行(₹÷xíng)聯動,一(yī)旦發現(xiàn)問(wèn)題,自(zì)動化'•φ✘(huà)啓動相(xiàng)應的(de)防護策略。 虛σ 拟補丁技(jì)術(shù)提升了(le)安全防↔∏&護水(shuǐ)平,規避了(le)補丁管理(lǐ)中的(d♣∏e)各種問(wèn)題。
全面的(de)網站(zhàn)健康檢查,防止帶病上(shàng)崗、帶病投α∑π☆保; 上(shàng)線前評估≠γ₹和(hé)滲透測試,發現(xiàn)系統存在®€✘φ的(de)結構性問(wèn)題、集成性問(wèn)題、安全配置問(wèn)題,©¶以及各種潛在的(de)業(yè)務邏輯錯(cuò)誤,→δ§✘并進行(xíng)全面的(de)安全加固,防止帶病上(shàng)崗。 ★γα 通(tōng)過安全檢查,評估系統是(s&&≈hì)否已經受到(dào)了(le)侵害,是(shì)✘♦♠€否含有(yǒu)惡意代碼,防止帶病投保。 通(t÷☆≠↕ōng)過Web安全掃描系統,對(duì)新版系統進行(xín♣±©g)檢查,防止引入新漏洞。
可(kě)靠的(de)安全審計(jì)措施,可(kě)供事♠"λ®(shì)件(jiàn)追溯和(hé)取證。 對(duì)W∏&↕eb網站(zhàn)的(de)不(bù)良內(nèi)容進行(xíng)安全©€檢測; 對(duì)各種用(yòng)戶的('©de)Web訪問(wèn)行(xíng)為(wè₹εi)進行(xíng)審計(jì),并通(tōng)₩過行(xíng)為(wèi)基線,自(zε®ì)動化(huà)發現(xiàn)各種潛在一(yī)場(chǎng)行(x¶∞$íng)為(wèi); 對(duì €δ÷)重要(yào)的(de)數(shù)據庫操作ε₹£(zuò)行(xíng)為(wèi)進行(xín✘•♦≈g)審計(jì),發現(xiàn)各種非法行(xíng)為•ε∑(wèi)。 對(duì)各種攻擊行(xíng)為(wèi∏' )進行(xíng)審計(jì),便于進行(xíng)事(∏¶φshì)件(jiàn)追溯和(hé)定位,對(≠Ω✔duì)事(shì)件(jiàn)處理(lǐ)提供有(yǒu)效支持。 γ±& 支持法律取證。
統一(yī)安全管理(lǐ) 統一(yī)設備與日(rì)志(✘'™zhì)管理(lǐ)平台,提供可(kě)視(shì)化α₹(huà)的(de)安全管理(lǐ)界面; 對(d"γδuì)安全設備的(de)策略的(de)統一(yī)管理(lǐ)和(δδhé)下(xià)發; 對(duì)日(rì)志( £ε★zhì)數(shù)據的(de)統一(yī)存儲,便于進行(xín→ g)各種統計(jì)分(fēn)析; 提供豐富的(>§αde)報(bào)告分(fēn)析; 降低(dī)企業≈¥€↕(yè)安全運維成本.
內(nèi)網準入解決方案
對(duì)企業(yè)而言最大(dà)的(de→±±)變革是(shì)企業(yè)經營和(hé)∑↕管理(lǐ)方式的(de)變革,信息化(huà)革命深刻影(yǐng)響著☆ α÷(zhe)企業(yè)的(de)經營方式,任何一(yī)個(gè)企業(₩♥δφyè)都(dōu)離(lí)不(bù)開(kā≈₩¥§i)這(zhè)種變革,必須把信息化(h✔₽uà)建設當成企業(yè)獲取競争優勢的(γ★de)最終選擇。因此,企業(yè)集團對(du <≈ì)信息技(jì)術(shù)的(de)依賴程度越來(lái)越β" ≈大(dà),信息技(jì)術(shù)風(fēng)險成為(wèi)了(le↕₹)企業(yè)集團運營中所要(yào)考慮的(de)重要(yào)方面。
面臨的(de)挑戰
用(yòng)戶信息未知(zhī):企業(y↑™<è)集團辦公、生(shēng)産大(dà)®₹σ±多(duō)較為(wèi)分(fēn)散,人(rén)員(yuán)複雜(z☆♣á),随意或不(bù)受限制(zhì)接入網絡現(xiàn)象≠§♠頻(pín)發,內(nèi)部用(yòng)戶信息©缺乏有(yǒu)效登記手段,人(rén)員(yuán)審φ 計(jì)困難。
終端位置未知(zhī):企業(yè)內(nèi)網終≠¥≥端數(shù)量、終端類型、終端分(fēn)布情況複雜(zá)>÷,管理(lǐ)者無法對(duì)時(shí)間₹(jiān)進行(xíng)事(shì)§♣件(jiàn)定位;
資産信息未知(zhī):企業(yè)信息資産的(de)數(shù)量"✘λε随著(zhe)企業(yè)不(bù)斷發展大(dà)量增加,如(rú)何♦∞↕對(duì)這(zhè)些(xiē)大(dà)量的(de)信息資産進行(γ₹xíng)有(yǒu)效的(de)管理(lǐ),是(shì)企業(yè)集♣∑團安全管理(lǐ)面臨的(de)巨大(dà)挑戰;
數(shù)據洩露風(fēng)險:內(nè∏<i)網數(shù)據信息可(kě)通(tōng)過移動介質外(wài)傳,容易✘♠π發生(shēng)信息洩密事(shì)件(jiàn)。
終端安全風(fēng)險:終端系統自(zì)身(↕∏αshēn)安全性會(huì)嚴重影(yǐngβ£→)響內(nèi)網安全,如(rú)病毒傳播、系統漏洞、弱口令破解等。
內(nèi)網準入解決方案
用(yòng)戶信息登記:采用(yòngβ€∑)豐富的(de)實名制(zhì)入網模式,內(n₽±èi)部、外(wài)部、臨時(shí)用(yòng)戶分π✔♣∞(fēn)别進行(xíng)人(rén)性化(huà)的(de)入網₩→♦±注冊登記,并結合管理(lǐ)員(yuán)審核、審批,α♦确保內(nèi)網用(yòng)戶安全可'∑(kě)靠。
網絡安全透視(shì):盈高(gāo)科(kē)∑✔技(jì)産品提供衛星地(dì)圖般的(de)設備搜索和(h÷β♦é)定位方式,使網絡中的(de)各種設備∏♥γ✔狀态不(bù)再是(shì)孤立的(de)展現(xiàn),而是(s∞α♥♣hì)作(zuò)為(wèi)一(yī)個(gè)整體(tǐ)進行(xíng)✔↓♣&把控。
資産安全管控:全面收集內(nèi)網軟硬件(jiàn)&€資産,全方位監控、展示資産變動情況,提升管理(lǐ)部門(mén)對(du×βì)信息設備相(xiàng)關信息資産的(de)統計♦•(jì)管理(lǐ)能(néng)力。
→♣∑ε移動介質加密:人(rén)性化(huà)的(de)移動介₩↔質注冊、審核機(jī)制(zhì),硬件(jiàn)級₽¶的(de)安全加密技(jì)術(shù),靈活的(de)策略控制(∏≥zhì),在不(bù)影(yǐng)響用(yòng)戶安λ&全使用(yòng)的(de)前提下(xià)确保數(shù)δ¶₩據無從(cóng)洩露。
終端安全加固:通(tōng)過對(duì)網內(nèi↕₹)終端的(de)安全狀況量化(huà),并提供“一(yī)鍵式”智能(néng✔≤)修複功能(néng)對(duì)有(y$★¥♥ǒu)潛在安全風(fēng)險的(de)終端進行(<∑→Ωxíng)強制(zhì)隔離(lí)和(hé)引導修複,Ω≥σ從(cóng)根本上(shàng)杜絕安全隐患。
方案價值
1、對(duì)外(wài)來(lái)↔ ✔↓人(rén)員(yuán)進行(xíng)有★♥> (yǒu)效的(de)管理(lǐ),防止其接入單位網絡"≈γ訪問(wèn)重要(yào)的(de)服務器(qì),竊取單位的(de)↔∑÷λ重要(yào)資料;另外(wài),內(nèi)網ελ§安全事(shì)件(jiàn)發生(shēng)時(shí),可(kě)追ε∞&溯至責任人(rén)。
2、提高(gāo)運維工(gōng)作(zuò)效率,精确定位故±± 障點,及時(shí)排查問(wèn)題,成為(w¥♦èi)管理(lǐ)人(rén)員(yuán)提高(gāo)管理(lǐ)效率的( ≈¥de)有(yǒu)效手段;
3、規範移動存儲設備的(de)安全使☆×∏用(yòng),明(míng)确工(gōng)作(zuò)U盤和(hé)私人↑©Ω(rén)U盤的(de)使用(yòng)界限,減少(shǎo)文(wén)檔流' ≠•失和(hé)病毒的(de)進入;
4、提高(gāo)終端設備的(de)安全性和(hé)®穩定性,減少(shǎo)漏洞攻擊事(shì)件(jiàn±±®)的(de)發生(shēng),避免系統漏洞、惡意軟件(jiàn)引發的 ≥(de)安全事(shì)件(jiàn);
5、有(yǒu)效地(dì)對(duì)公司終端的(de)itα'→β資産和(hé)軟件(jiàn)資産進行(xíng)審計(jì),當發生(✘♥shēng)變化(huà)時(shí)及時(shí)進行(xíng)報(₩•bào)警;
超融合架構解決方案
超融合架構解決方案概述
超融合架構解決方案,融合了(le):計(jì)♥©算(suàn)、網絡、存儲和(hé)安全Ω&四大(dà)模塊,通(tōng)過全虛拟化(huà)的(d®₽e)方式構建IT架構資源池。所有(yǒu)的(de)模塊資源均• £可(kě)以按需部署,靈活調度,動态擴展。通× ¥(tōng)過超融合一(yī)體(tǐ)機(" •jī)或者超融合操作(zuò)系統能(néng)夠<λ<¥在最短(duǎn)的(de)時(shí)間(jiān↕✘λ€)內(nèi),充分(fēn)利舊(jiù)現(xiàn)有(yǒu)硬件λλ✔₹(jiàn)基礎架構,将業(yè)務系統安全、穩定、高(gāo)效的(©♠★↑de)遷移到(dào)超融合平台中,并且為(wèi)後期邁向私有♠βγ★(yǒu)雲平台奠定基礎,從(cóng)而能(nén"↕g)夠實現(xiàn)多(duō)租戶的(de)管理(lǐ)及計(j©€₩ì)費(fèi)審計(jì)等功能(néng)。≠∞
超融合架構解決方案軟件(jiàn)架構主要(yào)包含三≥∏₽大(dà)組件(jiàn)(服務器(qì)虛拟化(huà)™aSV、網絡虛拟化(huà)aNet、存儲虛拟化(huà€☆)aSAN)和(hé)一(yī)個(gè)管理(lǐ)₽平台(虛拟化(huà)管理(lǐ)平台VMP)。硬件(jiànλ∑∑)架構上(shàng),可(kě)以通(tōn§↕g)過一(yī)體(tǐ)機(jī)的(de)方式實現(xi∞∞→₩àn)開(kāi)機(jī)即用(yòng),也(yě)©§可(kě)以采用(yòng)通(tōng)用(yòng)X8•↑6服務器(qì)實現(xiàn)基礎架構的(d→∏₽βe)承載。配合傳統的(de)園區(qū)網交換機(jī)(背闆帶寬®π和(hé)交換容量夠用(yòng)即可(kě))即可(kě)完成整δ★λ個(gè)平台的(de)搭建,無需各種功能(nén¥¥✔g)複雜(zá)、價格昂貴的(de)數(shù)據中心級交換機(jīδ✔)。
超融合架構層
超融合架構層以服務器(qì)虛拟化(huà)為(wèi)底>§層架構,擴展出網絡虛拟化(huà)和(hé)存儲虛拟化(huà),通(tōλ¶₹ng)過所畫(huà)即所得(de)的(de)方式能(néng)←↓₽夠快(kuài)速的(de)構建出業(yè)務邏輯,實現(xiàn)虛拟資源的✔δ✔(de)動态調度和(hé)靈活擴展,同時(≥≠φshí)全網流量可(kě)視(shì),配置簡易直觀,運維靈活便捷
服務器(qì)虛拟化(huà)(aSV)
aSV虛拟化(huà)平台作(zuò)為(wèi)介于硬件(jiàn)和(★"hé)操作(zuò)系統之間(jiān)的(d®≠ ∏e)軟件(jiàn)層,采用(yòng)裸金★$γ←(jīn)屬架構的(de)X86虛拟化(huà)技(jì)術←λ(shù),實現(xiàn)對(duì)服務器(qì)物(wù)理✘¥ ♦(lǐ)資源的(de)抽象,将CPU、內♣↑(nèi)存、I/O等服務器(qì)物(wù)理β≠≈(lǐ)資源轉化(huà)為(wèi)一(yī)組÷★可(kě)統一(yī)管理(lǐ)、調度和(hé)分(fē ₽n)配的(de)邏輯資源,并基于這(zhè)些(xφ∑¥>iē)邏輯資源在單個(gè)物(wù)理 ♥(lǐ)服務器(qì)上(shàng)構建多(duō)個(₩∞π•gè)同時(shí)運行(xíng)、相(xiàng)互隔離(lí) ♣★的(de)虛拟機(jī)執行(xíng)環境,實現(xiàn)σ 更高(gāo)的(de)資源利用(yòng)率,同時↕α(shí)滿足應用(yòng)更加靈活的(de)資源γ÷©動态分(fēn)配需求,譬如(rú)提供熱(rè)遷×<移、HA等高(gāo)可(kě)用(yòng)特♥₽ 性,實現(xiàn)更低(dī)的(de)運營成本、更高(gα≈āo)的(de)靈活性和(hé)更快(kuài)速δ♥的(de)業(yè)務響應速度。
網絡虛拟化(huà)(aNET)
網絡虛拟化(huà)aNet,通(tōng)過提供全↓γ新的(de)網絡運營方式,解決了(le)傳統π↑≤↔硬件(jiàn)網絡的(de)衆多(duō)管理(lǐ)和(hé)運維難題,并☆×且幫助數(shù)據中心操作(zuò)員(yuán)将敏捷α性和(hé)經濟性提高(gāo)若幹數(shù)量級。
深信服網絡虛↓♠•拟化(huà)aNet方案通(tōng)過和(hé)服務器(qì)虛拟化(hu§↓à)aSV相(xiàng)結合,在虛拟機(jī)和(hé)物(wù∞≥∞)理(lǐ)網絡之間(jiān),提供了(le)一(yī)整套完整的(dδ<e)邏輯網絡設備、連接和(hé)服務,包括分(fēn)布式虛★∞§↔拟交換機(jī)aSwitch、虛拟路(lù)由器(qì) $¶ aRouter、虛拟下(xià)一(yīΩ")代防火(huǒ)牆vNGAF、虛拟應用π₩§(yòng)交付vAD、虛拟vSSL VPN、虛拟廣域網優化(hu♥>®à)vWOC等虛拟網絡、安全設備;然後,還(há™±₩★i)可(kě)以支持VXLAN等增強網絡協議(yì),實現(xià≈←λn)和(hé)物(wù)理(lǐ)網絡的(de)無縫對(♦≠duì)接,簡化(huà)網絡的(de)配置管理(lǐ)♦♦₽↓;此外(wài),還(hái)可(kě)以通÷≤ (tōng)過虛拟化(huà)管理(lǐ)平台,實現(φ♠≈xiàn)網絡拓撲部署、網絡故障探測等網÷←π絡管理(lǐ)功能(néng)。
從(cóng)而,aNet虛拟網絡可(k←εě)以快(kuài)速完成不(bù)同應用(yòn£π☆g)系統的(de)網絡部署,網絡配置的(de)自(zì)動化(hu÷♦↑×à)調整,網絡故障排查等工(gōng)作(↓★zuò),提升網絡的(de)管理(lǐ)運維€∞↔€效率,提升網絡就(jiù)緒、擴展速度,降低(dī)數(shù)據中心物•∞&φ(wù)理(lǐ)網絡的(de)建設成本。
存儲虛拟化(huà)(aSAN)
深信服存儲虛拟化(huà)aSAN,基于集群設計(jì),将服務器("£₽•qì)上(shàng)的(de)硬盤存儲空(kōng)間(jiān)組織起來₽± ★(lái)形成一(yī)個(gè)統一(yī)的(de)虛拟共享存儲資✔∏€•源池,即ServerSAN分(fēn)布式存儲系統,進行(xíng)數(shδ∞ >ù)據的(de)高(gāo)可(kě)靠、×β 高(gāo)性能(néng)存儲。分(fēn)布式存儲系統在功能(néng)&₹ λ上(shàng)與獨立共享存儲完全一(yī)緻;一(y✘≠&ī)份數(shù)據會(huì)同時(shí)存儲£δ≥✔在多(duō)個(gè)不(bù)同的( φ✘de)物(wù)理(lǐ)服務器(qì)•↑硬盤上(shàng),提升數(shù)據≠γ可(kě)靠性;此外(wài),再通(tōng¶≤¥★)過SSD緩存,可(kě)以大(dà)幅提升服務器(qì'•→)硬盤的(de)IO性能(néng),實現(xiàn)高(≈€↕gāo)性能(néng)存儲。同時(shí),由于存∏↕←儲與計(jì)算(suàn)完全融合在一♣♦(yī)個(gè)硬件(jiàn)平台上(§₹shàng),用(yòng)戶無需像以往那(nà)樣購(gγσ∞òu)買連接計(jì)算(suàn)服務器(<Ω™qì)和(hé)存儲設備的(de)SAN網絡設₽→≥±備(FC SAN或者iSCSI SAN)。 ★$€♠
網絡功能(néng)虛拟化(huà)(NFV)®§±
當前軟件(jiàn)定義網絡成為(wèi)了(le)技¥↓♠π(jì)術(shù)發展的(de)趨勢,深信服β'♣¶也(yě)率先在國(guó)內(nèi)推出全系列的(de)數(shù)據中≠±心安全、優化(huà)産品(NGAF下(xià)一(yī)代防火(h₽≥uǒ)牆、SSL VPN、AD應用(yòng)交付、WOC廣 •σ>域網優化(huà))軟件(jiàn)虛拟化(huà)解決方案←€。這(zhè)些(xiē)過去(qù)需要(yào)以專用♠↑♠ε(yòng)硬件(jiàn)方式部署的(de)産品,不(bù←×)再需要(yào)依賴專用(yòng)的(de)硬件(jiàn)>Ωγ£,可(kě)以以軟件(jiàn)鏡像的(de)方式,完美(měi)σβδ支持在Vmware、KVM、XEN等服務器(qì)虛拟化(huà)環境下(x✘Ω"®ià)的(de)部署。從(cóng)而極大(dà)的(deδ↑)簡化(huà)政務雲數(shù)據中心網絡的(de)架構,為δ≈(wèi)各個(gè)租戶的(de)虛拟應用(<∞yòng)按需、靈活的(de)虛拟擴展出各種安全和(hé)優β∏♣✘化(huà)方案,同時(shí)還(hái)便于劃分(fēn)清楚各方的₹±÷£(de)運維職責。
深信服超融合架構的(de)優勢
1、提供更加完整的(de)IT基礎架構虛拟化(huà)方案,涵蓋網絡、安全≥ >、存儲、計(jì)算(suàn)
2、管理(lǐ)運維更加便捷、簡單,零學習(xí)成本,讓IT架構<✘φ所畫(huà)即所得(de)
3、整體(tǐ)擁有(yǒu)成本£∞更低(dī),無需特殊、專用(yòng)的(de)網絡★$π、服務器(qì)設備即可(kě)實現(xδ&<iàn)
4、國(guó)産化(huà),提供多(duō)樣、豐富的(↓₩de)L2-L7安全和(hé)優化(huà)功能(néng),•更好(hǎo)的(de)滿足合規要(yào)求
超融合架構最佳實踐
超融合架構可(kě)以應用(yòng)到(dào)數(shù)據中心涉及的(d↔φe)衆多(duō)業(yè)務系統的(de)領域,尤其是(shì)應用(yγ¶φòng)開(kāi)發測試環境、新業(yè)務系統上(shà✘®ng)線和(hé)非關鍵業(yè)務系統改造是(shì)特别适合部署¶"超融合架構。
以下(xià)為(wèi)深信服超融合架構的(>γ↑de)三個(gè)實際應用(yòng)案例分(fēn)享
某汽 × ♣車(chē)制(zhì)造業(yè)
背景:應用(yòng)開(kāi)發←₹₹部門(mén)每周至少(shǎo)要(yào)測☆ ∏試一(yī)套業(yè)務系統,給網絡運維部門(mén)帶來(lεβái)很(hěn)大(dà)的(de)工(gōng)作(zuò)量∞↔。每次測試都(dōu)要(yào)改變網絡架構和(hé) ↑ε±相(xiàng)應的(de)部署環境
解決之道(dào):在數(shù)據中心劃分(fēn✘✘)了(le)一(yī)個(gè)獨立的(de)區(qū)域,用☆✔(yòng)5台超融合一(yī)體(tǐ)機(jī),搭建了(le)一(yī)↑β套專用(yòng)的(de)測試環境。利用(yòng↕™€←)計(jì)算(suàn)、網絡和(hé)存儲虛拟化(huà)模拟出4個(♣★φgè)測試拓撲模闆,
超融合方案價值:其中模拟出一(yī)個(gè)在隊列深度為(w<©≠→èi)1的(de)情況下(xià)實現(xiàΩ ∏n)了(le)IOPS高(gāo)達2萬↔的(de)模闆,測試上(shàng)線周期縮短(duǎn),運維工(gō"Ωng)作(zuò)量減少(shǎo),無需大(dà)量硬件(jiàn)支≤ 撐
等保三級整改一(yī)站(zhàn)式方案
等保整改方案五步走
1. 安全域劃分(fēn)
做(zuò)等∑™級保護的(de)整改,第一(yī)步一(yī)定是(shì)要(✔≤yào)明(míng)确安全域。下(xià)Ω☆<™面是(shì)經典安全域劃分(fēn)方案:
α©' 業(yè)務服務器(qì)域:客戶的(de)業(yè)務服務器 ∏(qì)和(hé)存儲的(de)安全區(qū ♦✔)域
用(yòng)戶終端域:用(yòng)戶終λ&端,一(yī)些(xiē)完全不(bù)重要(→₩yào)的(de)服務器(qì)
♦γλ∞ 安全管理(lǐ)域:安全管理(lǐ)中心,包括網管系統₩>γ∑服務器(qì)啊,終端安全管理(lǐ)的(de)服務器(qì)等用(yò§♦∏✔ng)來(lái)做(zuò)網絡和(hé)安全運維±∞±管理(lǐ)的(de)這(zhè)些(xi>φē)設備
互聯網出口域:互聯網出δ∏≈✔口的(de)網絡和(hé)安全設備
2. 互聯網出口
在互聯網出口部署©♥防火(huǒ)牆、入侵防禦、病毒過濾、上(shàng)網行(§••¶xíng)為(wèi)管理(lǐ)、鏈路(lù)負↑÷載;
3. 安全域互訪隔離(∑☆lí)
所有(yǒu)的(de)安全域之間(jiān)必須通(t≤♠γōng)過防火(huǒ)牆才能(néng)互聯互通(tōng);
4. Web安全防護
web服務器(qì™↓÷)前部署web防火(huǒ)牆;
5. 安全管理(lǐ)中心
在安全管理 &★(lǐ)中心要(yào)有(yǒu)這(zhè)些(xiē)東(↓€ dōng)西(xī):漏洞掃描系統、數(shù)據庫審π↕計(jì)系統、終端安全管理(lǐ)系統、網管系統、應用₽φ•(yòng)性能(néng)管理(lǐ)♠€系統、SSL VPN、防病毒系統、運維堡壘§ λ主機(jī);
以上(shàng)五個(gè)步驟完成,設備整改完≥α成。
疑難問(wèn)題解答(dá)
是(shì)不(bù)是(shì)上(s→©hàng)面這(zhè)些(xiē)設備都(dōu)部署,才能(néng)通(↑∏tōng)過三級等保? 回答(dá):不(bù)是(s§hì)。上(shàng)面是(shì)比€♥較理(lǐ)想的(de)情況,實際情況根據客戶預算×<γ(suàn)和(hé)客戶實際需求來(lái)進行(₩εxíng),部署70-80%的(de)設備即可(kě)↕∏ 。
安全域隔離(lí)防火(huǒ)牆,很(hěn)多(duō)客'₽™λ戶利用(yòng)交換機(jī)的(de)ACL做(zuò),測評中ε∑心也(yě)認可(kě)。 回答(dá):對✘¥& (duì)。等保要(yào)求進行(xíng)訪問(wèεε"n)控制(zhì),沒要(yào)求必須用(yò✔↕™ ng)防火(huǒ)牆,交換機(jī)ACL也(yě↓♠♦)是(shì)訪問(wèn)控制(zhì)手段,但(dà↕¥♥n)用(yòng)防火(huǒ)牆是(shì)最專業(yè)的(de)訪問(•∞wèn)控制(zhì)設備,其專業(yè)性智能(÷₹← néng)型運維容易程度都(dōu)遠( ®>σyuǎn)遠(yuǎn)強于交換機(jī)ACL,而且交$π β換機(jī)ACL損耗交換機(jī)性能(néng)嚴重,交換機(jī)是(s₽→™hì)交換設備,不(bù)是(shì)專業(yè)的(de)安全∞↔設備。
是(shì)不(bù)是(shì)做(zuò)了±∏ (le)這(zhè)些(xiē)就(jiù)可(kě)以通(tōng)≤≈©過等保測評了(le)?
回答(dá):設備層面足夠了(le)。還∞₩(hái)需要(yào)做(zuò)一(yī)些(xiē)安¶♦∑₹全加固和(hé)管理(lǐ)制(zhì)度文(wén)檔整理 →™(lǐ)。
安全加固指的(de)是(shì)把服務器(qì)&α₹、數(shù)據庫、網絡設備、安全設備、業(←→ yè)務系統的(de)一(yī)些(xiē)安全策略調整到(dào)符合等保的α→™(de)規定,比如(rú)你(nǐ)服務器(qì)密碼 ∏γ 都(dōu)是(shì)666,現(xiàn)在開(©×$kāi)啓服務器(qì)的(de)密碼強度要(y©®&↕ào)求這(zhè)個(gè)策略,就(jiù)是(shì•π±±)安全加固。文(wén)檔整理(lǐ)主要(yào)是(shì)安全管理(l♠εǐ)制(zhì)度,以及測評申請(qǐng)書(shū)。
了(le)解到(dào)客戶情況後,怎麽給客戶做(zuò)整改方"∏案? 回答(dá):上(shàn÷g)面整改五步走,每一(yī)步都(dōu)說(shuō)明(míng)了(lπ♥e)需要(yào)什(shén)麽,缺少(shǎo)的(de)設備就<≤(jiù)是(shì)需要(yào)整改的(de)®✘。安全加固和(hé)安全制(zhì)度是(shì)肯定需要(yào) σ♠整改的(de)。
雲計(jì)算(suàn)安全解決方案
業(yè)務挑戰
目前,許多(duō)組織已經将業(yè)務系統遷移到(dào)雲≥₽平台上(shàng),雲平台已經成為(wèi)組織重要(yào)₩β¶δ的(de)IT基礎設施。雲計(jì)算(suàn)技(jì)術(shù)<∏↕給傳統的(de)IT基礎設施、應用(yòng)、數(shù)據以及運營管α₽☆理(lǐ)都(dōu)帶來(lái)了(le)革命性改變,對(du↔↔↕★ì)于安全管理(lǐ)來(lái)說(shuō),既是(shì)挑ε§↑✔戰,也(yě)是(shì)機(jī)遇。首先,雲計(jì)算(su↓≥×àn)引入了(le)新的(de)威脅和(hé)風( ®∞fēng)險,進而也(yě)影(yǐng)響和($ ↕hé)打破了(le)傳統的(de)信息安♦≠✘全保障體(tǐ)系設計(jì)、實現(xiàn)方法和(hé)運維管理(lǐ)♣∞←✔體(tǐ)系;其次,雲計(jì)算(suàn)的(de)資源彈性、按¶∞♠&需調配、高(gāo)可(kě)靠性及資源集中♥↕♠¶化(huà)等都(dōu)間(jiān)接增強或有(y ǒu)利于安全防護,同時(shí)也(yě)給安全措施改進和(hé)升級↔•、安全應用(yòng)設計(jì)和(hé)實現(xi ↔àn)、安全運維和(hé)管理(lǐ)等帶來(lái)了(le)問(wδ✔Ωèn)題和(hé)挑戰。 根據調研數(shù♠∑)據,雲計(jì)算(suàn)安全風(fēng)險是(shì<∞→ )客戶所關注的(de)重點,雲計(jì)算(suàn)&"安全已經成為(wèi)組織規劃、設計(jì)、建設和(↔δhé)使用(yòng)雲計(jì)算(s✔±≤uàn)系統所急需解決的(de)重大(dà)問(wèn)題之¶¥一(yī)。
解決方案
雲計(jì)算(suàn)安全防護方案設計(φ jì)遵循以業(yè)務為(wèi)中心,風(fēng)險為(wèi)導≠ 向的(de),基于安全域的(de)縱深主動防護思想,綜合考λ♦ 慮雲平台安全威脅、需求特點和(hé)相(xiàn☆¶£g)關要(yào)求,對(duì)安全防護σ≥體(tǐ)系架構、內(nèi)容、實現(xiàn" )機(jī)制(zhì)及相(xiàng)關産品組件(jiàn×Ω)進行(xíng)了(le)優化(huà§α)設計(jì)。 雲計(jìπ↕)算(suàn)安全方案主要(yào)由安全資ε¥₽源池、安全子(zǐ)平台、安全運營管理(lǐ)平台和(hé)安全©✔應用(yòng)等組成。 ♦♠ 安全資源池:支持物(wù)理(lǐ)安全設備、虛拟化(βγ€huà)安全設備、SaaS安全服務等各種安全資源♣"←,接受各安全子(zǐ)平台的(de)管理(lǐ),對(duì)外(wà"≈₹εi)提供相(xiàng)應的(de)安全能(néng)★∞"力。 安全運營管理(lǐ)平台:與安✔∞ ♣全子(zǐ)平台配合,提供安全産品開(kāi)通(tōng)、調度×✔γ₹、服務編排,以及安全運維功能(néng),并實現(xiàn)與雲管理(l←±"£ǐ)平台和(hé)SDN控制(zhì)器(qì)的(de)對(duì)接。安ππ✘全運營平台包含了(le)雲安全運營的(de)一(yī)些(xiē)共性功λ≈能(néng)模塊和(hé)一(yī)些(xiē)提供特定安全€£₹能(néng)力的(de)子(zǐ)平台。 πΩ 安全子(zǐ)平台:管理(l♥♦ǐ)安全資源,提供安全策略管理(lǐ)、配置管理(lǐ)、安全< ∑能(néng)力管理(lǐ)、安全日(rì)志(zhì)管理(lǐ)等♥與特定安全應用(yòng)密切相(xiàng)關的(de)功能(✔&néng)。根據應用(yòng)場(chǎng)景的(de)不(bù)同,可(¶¶•₩kě)靈活配置和(hé)擴展。 安全應用(yòng):基于安全£&←子(zǐ)平台提供的(de)安全能(néng)力,提∏Ω ↑供管理(lǐ)、控制(zhì)、分(fēn)析、呈現(xiàn)功能(nénα"✔∞g)的(de)組件(jiàn)。用(yòng)戶可(kě)根據需要(yàβ o)靈活選配。
方案亮(liàng)點
适應性廣,安全功能(néng)多(duō) ♦βλ✔支持VMWare、OpenStack雲平台,以及基于KVM、™λ∏εXen的(de)各種定制(zhì)化(huà)雲← 平台。同時(shí),可(kě)以支持物(wù)理(lǐ)的(de)、虛拟化(±"¥αhuà)、SaaS化(huà)的(de)安全資源類型,提♣®供多(duō)種安全能(néng)力。
模塊化(huà)架構,可(kě)靈活擴展 ÷•≠≤ 系統采用(yòng)模塊化(huà)架構,根據應用(yòng)場(ch→→ǎng)景和(hé)需求的(de)不(b£≈¶ù)同,可(kě)以選擇和(hé)部署相(xiàΩ ng)應的(de)安全資源、安全子(zǐ≠★♥>)平台、安全應用(yòng),滿足經濟性∞φδ、合規性要(yào)求。
彈性資源,收放(fàng)自(zì)如(rú) €₽ 通(tōng)過資源池化(huà)技(jì)術(↔<♥∏shù)、負載均衡技(jì)術(shù)、熱(rè)遷移技(jì)術(shù)'λ,以及通(tōng)過安全子(zǐ)平台的(de)能(néng)力,可( ©kě)以對(duì)外(wài)提供安全、彈性的(de)安全功能(néng)©☆α↕,自(zì)如(rú)的(de)進行(xíng)擴容、縮容。
全程自(zì)動化(huà),可(kě)快(kuài >'•)速部署 運用(yòng)SDN、NFV技(jì)術(shù),用(↑$yòng)戶通(tōng)過安全運營平台可(kě)以按需、自(zì)助的↑¶≥ (de)進行(xíng)安全能(néng)力的(dπ×φe)開(kāi)通(tōng)、安全APP的(≠£de)下(xià)載、安裝和(hé)使用(yòng)Ω±≥。同時(shí),可(kě)以根據業(yè)務需要(yào),實β§γλ現(xiàn)多(duō)種安全設備的(de)協同防護,抵禦各類安全攻擊事(ε'>shì)件(jiàn)。
安全策略的(de)動态跟随 對(duì)于₩←♠£雲計(jì)算(suàn)系統安全域邊界的(de)動态變化(huà≠★ γ),通(tōng)過區(qū)域子(zǐ)網劃分(fēδ↔δ×n)、安全隔離(lí)、SDN、分(fēn)©> 布式交換等技(jì)術(shù),可(kě<π₽$)以做(zuò)到(dào)邊界防護策略的(de)持續有(yǒu)效,保障雲£λ平台的(de)安全。
應用(yòng)場(chǎng)景 适用(yòn♣απ≈g)于私有(yǒu)雲、公有(yǒu)雲、混合雲等各類雲平台的(deλα≈♥)安全防護。既适用(yòng)于原生(shēng)服務器(qì)虛拟化>(huà)、雲平台的(de)場(chǎng)景,也(yě)可(kě)以♥×應用(yòng)于采納SDN和(hé)NF≤€αV技(jì)術(shù)的(de)軟件(jiàn)定義數(shù)據中心場(≥∏chǎng)景。
私有(yǒu)雲
構建私有(yǒu)雲
利用(yòng)軟件(jiàn)定義的(de)數(sh♥βù)據中心體(tǐ)系結構構建和(hé)→Ω₩運行(xíng)基于虛拟化(huà)的(de)私有∑♠ (yǒu)雲。交付虛拟化(huà)基礎架構服務以及高(gāo)度可(kě>§β)用(yòng)的(de)應用(yòng)和(hé)服務♠ 。
超越服務器(qì)虛拟化(huà)
服務器(qì)虛拟化(huà)可(kě)♠׶ 在提高(gāo)業(yè)務敏捷性的(de)同時(shí),使 CAPE&₽♠X 和(hé) OPEX 成本削減 50%β↔£* 以上(shàng)。現(xiàn)在,您可(kě)以對(d &εuì)數(shù)據中心的(de)其餘部分(fēn)進行(xíng)虛δ★≠±拟化(huà),以使所有(yǒu) IT 服務↑₽✔都(dōu)能(néng)像虛拟機(jī)一(yī)樣調配和(hé)<δ管理(lǐ)起來(lái)既經濟,又(yòu)便捷。軟件(jiàn "↔)定義的(de)數(shù)據中心體(tǐ)系結構可(kě)将抽象化(huà)φ✔≈、池化(huà)和(hé)自(zì)動化(huà)延展到>γ(dào)其餘的(de)數(shù)據中心資源,包 Ω 括計(jì)算(suàn)、網絡和(hé)存儲↕ε↓。可(kě)以基于任意雲計(jì)算(suàn♦"¥)基礎架構部署您的(de)虛拟化(huà)基礎架構并實現(★↕•±xiàn)跨平台管理(lǐ)。
高(gāo)度可(kě)用(yòng)的(de)應用σφ✘←(yòng)和(hé)服務
利用(yòng)軟件(jiàn)定義的(±✘de)數(shù)據中心 (SDDC) 體(÷ ε∞tǐ)系結構,基于 超融合架構的(de)私有(yǒu)雲可∑<π(kě)為(wèi)通(tōng)過标準化(huà)和(héπ♠>γ)整合的(de)數(shù)據中心實現(xi∑Ωπàn)高(gāo)度可(kě)用(yòng)的(de)應用(yòng)和(h±₹é)服務奠定基礎。借助私有(yǒu)雲,還(hái)αδ≥β可(kě)實現(xiàn)安全、合規的(de) IT,對(¶✘ ★duì) IT 運維進行(xíng)智能(néng)控✔制(zhì),以及快(kuài)速調配應用(yòng)并實現(xiàn)持&續監管。
網絡信息安全整體(tǐ)解決方案
背景
随著(zhe)近(jìn)年(nián)來(lái)INTERNET接入的(♥"de)普及和(hé)寬帶的(de)增加,各行(xín©≥g)業(yè)分(fēn)布全國(guó)乃至¶•♠全球的(de)用(yòng)戶群體(tǐ),信息化(huà)應用(yòng≠'")系統對(duì)網絡的(de)依賴性也"λσ(yě)越來(lái)越強,業(yè)務對(duì)網絡的(de)依賴♦程度也(yě)越來(lái)越大(dà),信息安全的(de)重要(yào)性>¶₹也(yě)在不(bù)斷提升,用(yòng)戶所δ≠面臨的(de)各種問(wèn)題也(yě)變得(de)越來(l¶∞"ái)越複雜(zá),來(lái)自(zì)不(bù)∑ 同層面的(de)安全威脅也(yě)越來(&¥φlái)越多(duō)。如(rú)何确保網絡和(hé)應用(yòng)的(d♦×e)連續高(gāo)可(kě)用(yòng)、網絡安全防範、應用× (yòng)訪問(wèn)安全分(fēn)權接入、智能(néng)終端無縫$¶接入、內(nèi)部網絡高(gāo)效管理(lǐ)、數(shù)據存儲的(d•λe)完整和(hé)高(gāo)可(kě)用(yòng)、運維操作(zuò)的(®>☆₩de)管理(lǐ),以及如(rú)何對(duì)數(shù)據庫系統的(d∑αβe)訪問(wèn)和(hé)管理(lǐ)進行(x¶★♦íng)合理(lǐ)的(de)審計(jì)分(fēn)析已經成©♠₩ε為(wèi)企業(yè)迫切需要(yào)關注的(de)問(wèn<¥ε)題。
解決方案
通(tōng)過互聯網出口部署負載均衡設備解決鏈路(lù)流量分(fēn)配♠₹₩不(bù)合理(lǐ),對(duì)多(✘★≥duō)條鏈路(lù)健康狀況實時(shí)監控和(✔★±hé)智能(néng)負載;對(duì)所有(yⶀǒu)應用(yòng)系統實現(xiàn)持續監測健康狀态合理> (lǐ)調度,一(yī)旦服務系統集群內(nèi)單台<≥服務器(qì)故障實現(xiàn)智能(↑π néng)切換到(dào)其他(tā)正常服務器(qì)系統上(sλΩhàng),保證應用(yòng)服務訪問(wè ©n)的(de)持久穩定。
通(tōng)過在互聯網出口、內(nèi)部專線網絡入口、服務器(qì)區→Ω★(qū)域等部署應用(yòng)層防火(huǒ)牆,不(bù)僅能(nσγéng)夠實現(xiàn)原有(yǒu)區★€★(qū)域安全隔離(lí)的(de)效果,還Ω↓(hái)能(néng)夠實現(xiàn)IPS入侵防€★禦、AV病毒防護、DOS/DDOS等安全功能(néng);針 →對(duì)WEB應用(yòng)的(de)WAF防護,能(né±←☆ng)防止黑(hēi)客利用(yòng)web應÷用(yòng)程序及各類B/S業(yè)務的(de)應用(yòn£g)程序漏洞進行(xíng)的(de)各種攻擊∑✔$€,實現(xiàn)雙向數(shù)據的(α•∏de)訪問(wèn)過濾。桌面端部署網絡版防護軟件(jiàn)及數(∞↓shù)據加密管理(lǐ)系統,解決客戶最後α™≤一(yī)公裡(lǐ)的(de)安全問(wèn)題,确保企÷&業(yè)內(nèi)部數(shù)據的(de)安全可(kě)控。♦±
通(tōng)過在服務器(qì)區(qū)部署SSL VPN∑₹♦産品,将服務器(qì)與外(wài)界進行€↑♦(xíng)邏輯隔離(lí),使所有(yǒu)來(lái)自(zì)外(wδ↑ài)部的(de)訪問(wèn)請(qǐng)求都(≠dōu)經過SSL VPN的(de)認證才能(néng)安全接入訪問≈♦←™(wèn);在接入後進行(xíng)嚴格的(de)控制(zhì)訪問(wè≥®Ω↑n)權限,使人(rén)員(yuán)與資源相(x÷•iàng)關聯,防止越權訪問(wèn)。
通(tōng)過部署專業(yè)的(de)存儲備份系統,對(duì)δ☆所有(yǒu)的(de)應用(yòng)服≠∞務器(qì)采用(yòng)網絡備份方式,通(tōng)過局域網或專用(δσ>yòng)的(de)備份局域網絡,對(duì π ←)應用(yòng)服務器(qì)的(de♥™)數(shù)據進行(xíng)備份,将數(shù)據 λ¥∏通(tōng)過備份服務器(qì)寫入到(dào)磁帶庫或磁盤÷∑陣列中,确保數(shù)據的(de)安全和(hé)完整。
通(tōng)過運維審計(jì)系統對(du€↕≈&ì)企業(yè)內(nèi)部的(de)主要(yào)信←©★≠息系統、網絡系統等遠(yuǎn)程運維操作(zuò)進行(xíng)綜合審計(×÷jì),針對(duì)核心數(shù)據資産的(de)違規訪問(wèn™ γ♠)和(hé)操作(zuò)得(de)到(dào)有(yǒu)效監©©α管。 通(tōng♠÷)過數(shù)據審計(jì)系統的(de)旁路(lù≈∞÷)監聽(tīng)方式采集,分(fēn)析處理(lǐ),記®<<錄數(shù)據庫服務器(qì)的(de)所有(<×÷yǒu)操作(zuò),提供監測報(bào)警策★®λ略設置、數(shù)據庫服務器(qì)負擔狀況統計(jì¥✘ )分(fēn)析、數(shù)據庫客戶端訪∏₩$ 問(wèn)操作(zuò)統計(jì)分(fēn)析以及數(↑∞&shù)據庫客戶端訪問(wèn)排名等功能(néng),實♥♦ 現(xiàn)對(duì)數(shù)據庫服務器(qì)應用(yòn ≥g)(包括數(shù)據庫系統操作(zuò),數(™→Ωshù)據操作(zuò))的(de)實時(®¶shí)監測、報(bào)警、記錄和(h§→é)審計(jì)。
方案價值
實現(xiàn)了(le)多(duō)台服務器(qì)(服務器(qì)集群)合αε↔&理(lǐ)利用(yòng),為(wèi)企業(yè)業÷ε♦☆(yè)務的(de)擴充和(hé)系統規模的α ¶(de)提高(gāo)創造有(yǒu)利的(de)條件≠→♣∞(jiàn)。 ₽≈→≥實現(xiàn)了(le)多(duō)條鏈路(lù)合理(lǐ)利用(yò ←ng),另外(wài)豐富的(de)報(₽Ωbào)表功能(néng),提供鏈路(lù)負載¶'統計(jì)、商業(yè)決策分(fēn)♦←€析、穩定性統計(jì)報(bào)表等幫助企業(yè)了(le)解鏈路×✘©(lù)使用(yòng)情況,從(cón≠σg)而為(wèi)企業(yè)提供網絡優化(huàε£←)和(hé)改造的(de)依據,為(wèi)企業(yè)業(yè)務運營計(€φ↔jì)劃,提供商業(yè)決策的(de)依據。
應用(yòng)層防火(huǒ)牆多(duō)個(gè)安全₩π功能(néng)模塊,多(duō)核并行(xíng)處理(∏₽lǐ)技(jì)術(shù)保障,不(bù)僅能(néng)替代原有(yǒuδ✔)傳統防火(huǒ)牆的(de)所有(yǒu)功能(néng),α•Ω且穩定性好(hǎo);特别針對(duì)應用(yòng)層安全風(fēng)∏ε±險提供完整的(de)應用(yòng)安全加固技(jì)術(shù),幫助客¶¥>戶實現(xiàn)全面的(de)安全防護,防護↓♠來(lái)自(zì)內(nèi)外(wài)網π→α 的(de)各個(gè)層面的(de)安全風(fēng)險。解決了(l Ω←e)用(yòng)戶網絡安全管理(lǐ)難題,彌補了(leγ$♣)現(xiàn)有(yǒu)傳統安全體(tǐ)系針對(duì)應<π☆¶用(yòng)層防護的(de)不(bù)足,有(yǒu)效阻止了(le)來(φ≥lái)之應用(yòng)層的(de)各類攻擊,實現(xiàn)了(l←→e)廣域網流量清洗的(de)效果。
實現(xiàn)了(le)“三合一(yī)”的(de)WEB安全 ©≠'¶ 事(shì)前,快(kuài)速的(de)γ•♠進行(xíng)風(fēng)險掃描,幫助用(yòΩ₹₽≠ng)戶快(kuài)速定位安全風(fēng)險并<'σ♠智能(néng)更新防護策略; 事(shì♠₩)中,有(yǒu)效防止了(le)引起網頁篡改問(wèn)題、∏♦Ωπ網頁挂馬問(wèn)題、敏感信息洩漏問(w♣≥ èn)題、無法響應正常服務問(wèn)題及“拖庫”、“暴庫”問(wèn)題的(£σ de)web攻擊、漏洞攻擊、系統掃描等攻擊; ××₽ 事(shì)後,對(duì)服務器($ελ∞qì)外(wài)發內(nèi)容進行(€€xíng)安全檢測,防止攻擊繞過安全防護體(&↑§ tǐ)系,對(duì)Web業(yè)務産β₹±生(shēng)的(de)網站(zhàn)篡改、數(shù)據洩漏問(wè€ n)題。
實現(xiàn)了(le)終端的(de)“主動防禦”,建立一(y✔✔ī)個(gè)覆蓋全網的(de)、可(kě)伸縮、抗打擊的§←π↔(de)防病毒體(tǐ)系。 ≥₽ 實現(xiàn)了(le)數(shù)據內(nèi)部安✔σ全傳輸,确保數(shù)據外(wài)發的(de)密級保護,建立一(yī)個 >≈(gè)可(kě)控的(de)文(wén)件(jiàn)共享傳輸體(tǐγ"♦ )系。 實現(xiàn)了∏™₩(le)精細的(de)應用(yòng)控制(zhì),有(yǒu)效阻×↑π止內(nèi)部敏感信息外(wài)發,并能(néng)提高(gāo)員(¥≤yuán)工(gōng)工(gōng)作(zuò)效率;全面的(de)安全防護•♣≤措施,過濾木(mù)馬惡意鏈接網址,強化(huà)分(fēn)支辦≈$公終端的(de)安全;細緻的(de)上(sδ"<hàng)網行(xíng)為(wèi)審計(jì),完全滿足公安部門(¶₹$↕mén)的(de)監管要(yào)求;精确流量管控,合理(l <®γǐ)的(de)記性流量分(fēn)配;實用(yòng)的®÷(de)智能(néng)分(fēn)析系統,為♦π₽∞(wèi)客戶決策出謀劃策。 ≤'≠ 實現(xiàn)了(le)應用( σ>₹yòng)的(de)安全、快(kuài)速、穩定的(de☆β↔<)業(yè)務接入訪問(wèn);便捷的(de)用(yòng)戶體(tǐ≥♠♠)驗,降低(dī)了(le)管理(lǐ)工(gōng)作&€•Ω(zuò)量,應用(yòng)程序圖形化(huà)的(de)方式呈現(xiàδ← n)于智能(néng)終端之上(shàng),實現(xiàn)輕松跨平Ω 台訪問(wèn),為(wèi)多(duō)元 "£♥化(huà)的(de)終端辦公提供了(le)快(kδ≈uài)速安全的(de)途徑。 實$✘現(xiàn)了(le)一(yī)體(tǐ)化(huà)的(de"∑)備份與恢複,可(kě)為(wèi)各種複®♣雜(zá)的(de)環境提供最全面的(de)備份與恢™σ↔複,就(jiù)保護公司最寶貴的(de)資産πλ數(shù)據而言,減少(shǎo)了(le)其中的(de)複雜±♠(zá)性及恢複的(de)時(shí)效性,确保了(le)數(shù←<<)據的(de)安全和(hé)完整。 滿足IT運₩ 維合規性要(yào)求,順利通(tōng)過IT審計(jì);實β∏→→現(xiàn)了(le)對(duì)企業(yè)I<©T資源的(de)管理(lǐ);實現(xiàn)ε 了(le)對(duì)IT用(yòng)戶的(>γ↕de)管理(lǐ)、對(duì)IT用(yòng)戶的(de)授權管理(l<×↔ǐ);實現(xiàn)了(le)對(duì)運維操作(z♥<§®uò)日(rì)志(zhì)的(de)完整記錄;符合等級保護要(yào)求β↔•©完善了(le)國(guó)家(jiā)法律₩≤←法規的(de)要(yào)求。 實現(xiàn)了(le)針對(duì)所有(yǒu)帳戶£✔₩對(duì)數(shù)據庫訪問(wèn)與操作(zuò)的(de)全面監測‮審計(jì);加強了(le)對(duì)數(shù)據庫臨時(shí)帳戶的☆ (de)審計(jì)監測;加強了(le)針對(duì)重要(yào)敏感數(§✔shù)據的(de)訪問(wèn)的(de)審計(jì)監測;提供了(le)詳β∑細的(de)數(shù)據庫審計(jì)記"≥錄及分(fēn)類統計(jì);實現(xiàn)了(le)數¶(shù)據庫異常操作(zuò)監測報(bào)警;彌補了(le)數(sh•₹♠§ù)據庫系統內(nèi)置日(rì)志(zhì)審計(jì)的(γ¶de)缺陷。
等級保護測評服務介紹
等級保護概述
等級保護政策背景
等級保護是(shì)σ¶國(guó)家(jiā)信息安全保障的(de)基本 ÷δ制(zhì)度、基本策略、基本方針。開(kāi)∑★≠€展信息安全等級保護工(gōng)作(zuò)是(shì)保護信息化(hu₽<∞>à)發展、維護國(guó)家(jiā)信息安全的©≥(de)根本保障,是(shì)信息安全保障工(gōβ♦§πng)作(zuò)中國(guó)家(jiā)意志(zhì)的(de)體•≥λ(tǐ)現(xiàn)。
通(tōng)過将等級化(huàφ♣)方法和(hé)安全體(tǐ)系方法有(yǒu)效結合,設計(jì)一(∏ yī)套等級化(huà)的(de)信息安全保障體(tǐ)系,是(shì)↔适合我國(guó)國(guó)情、系統化(huà)地δ÷↕¥(dì)解決大(dà)型組織信息安全問(wèn)題的γ↑(de)一(yī)個(gè)非常有(yǒ≈÷←₽u)效的(de)方法。
γ♠ 國(guó)家(jiā)信息安全等級保護堅持自(zì)主定≠• 級、自(zì)主保護的(de)原則。信息系統的(de)安全保護©≥等級應當根據信息系統在國(guó)家(jiā)安全、經濟建設、社會(huì) ©±↕生(shēng)活中的(de)重要(yào)程度,€π信息系統遭到(dào)破壞後對(duì)國(guó)家(jiā)安全、社↑≠會(huì)秩序、公共利益以及公民(mín)、法人(rén)和(hé™÷)其他(tā)組織的(de)合法權益的(de)危害程度¶&β等因素确定。
為(wèi)進一(yī)步貫徹落實《國(guóα₩∏)家(jiā)信息化(huà)領導小(xiǎ →o)組關于加強信息安全保障工(gōng)作(zuò)的(de)意見(jiλ→"εàn)》(中辦發[2003-27]号)、《關于信息安Ω★全等級保護工(gōng)作(zuò)的(de)實施意見(jiàn)》(™γ♣'公通(tōng)字[2004]66号)、《信∑£✘&息安全等級保護管理(lǐ)辦法》(公通(tōng)字[2007]43号)、《α♥✔關于開(kāi)展全國(guó)重要(yào)信息系統安全αβ等級保護定級工(gōng)作(zuò)的(de)通(tōng)知(zhī)》↓φ(公信安[2007]861号)等文(wén)件(jiàn₽∏•)的(de)精神,提高(gāo)我國(guó)基礎信息網絡和(hé)重要±₩(yào)信息系統的(de)信息安全保護能(néng)力和(hé)水(shuǐ∏↓→ )平,自(zì)2007年(nián)開(kāi)始,從(cóng)國(guó↔)家(jiā)層面開(kāi)始推動我國(guó)的(de)政府、金(jīnφ ¥π)融、電(diàn)力、電(diàn)信、交通(tōng)λ∏ π等基礎行(xíng)業(yè)在全國(guó)範圍內(nèi)組織開(kā✘≤∑i)展重要(yào)信息系統安全等級保護定級、備案、測評、整改工(g₹∞ōng)作(zuò)。
等級保護涉及系統
根據等級保護相(xiàng)關政策要(yào)求,需要(yào✔₹ )實施等級保護的(de)信息系統包括:
黨政系統(黨委、政府);
金(jīn)融系統(銀(yín)行(xíδβng)、保險、證券)及财稅系統(财政、稅務、 工(gōng)商);
經貿系統(商業(yè)貿易、海(h"εǎi)關);
電(diàn)信系統(郵電(diàn)、電(diΩ §àn)信、廣播、電(diàn)視(shì));
能(néng)源®→♦系統(電(diàn)力、熱(rè)力、燃氣、煤炭、 $σ油料);
交通(tōng)運輸系統(航>★空(kōng)、航天、鐵(tiě)路(lù)、公路(lù)、水(shuǐ)≥™γ♠運、海(hǎi)運);
供水(shuǐ)系統(水≈↔↑(shuǐ)利及水(shuǐ)源供給);
社會(huì)應急服務系統(醫(yī)療☆ 、消防、緊急救援);
教育科(kē)研系統(教育、科(kē)研±÷、尖端科(kē)技(jì));
國(guó)防↓$±建設系統;
國(guó)有(yǒu)✔÷♦大(dà)中型企業(yè)系統;
互聯單位、接入單位、重點網站(zhà₹σ•$n)及向公衆提供上(shàng)網服務場(chǎng)所的(de←"φ)計(jì)算(suàn)機(jī)信息系統。
等級保護相(xiàng)關标準
我國(guó)現(xiàn)行(xíng)等級保護工(gōng•ε)作(zuò)主要(yào)相(xiàng)關标準如(rú)下(x≥"ià):
《計(jì)算(suàn✘'¶)機(jī)信息系統安全保護等級劃分(fēn)✘γ✘↓準則》(GB 17859-1999)
《信息系統安全等級保護定級指南(nán)》(GB∑♠λ/T 22240-2008)
《信息系統安全等級保護基本要↕"£✔(yào)求》(GB/T 22239-2α∏008)
《信息系統安全等級保護實施指南(ná©δn)》(GB/T 25058-2010)
《信息系統安全等級保護測評要(yà₽∑¥o)求》(V2.0(送審稿))
《信息安全技(jì)術(Ω>★÷shù) 網絡基礎安全技(jì)術(shù)要(yàβγo)求》(GB/T 20270-2006)
《信息安全技(jì)術(s'≥hù) 信息系統通(tōng)用(yòng)安全&"技(jì)術(shù)要(yào)求》(GB/T 20271-2006)
《信息安全技(jì)術(shù)®• 操作(zuò)系統安全技(jì)術(shù)要(yào)求》(GB¥α™/T 20272-2006)
《信息安全技(jì)術(shù) ↑♥數(shù)據庫管理(lǐ)系統安全技(jì)術(shù)要(yà €♥∞o)求》(GB/T 20273-2006)
《信息安全技(jì)術(shù) 服"★✔♣務器(qì)技(jì)術(shù)要(yào)求》(GB/T 21₩028-2007)
《信息安全技(jì)術(sh®φ↕¥ù) 終端計(jì)算(suàn)機(jī)系統安全←♦等級技(jì)術(shù)要(yào)求》(GA/T 671-200±↕6)
《信息安全技(jì)術(sh<☆>≤ù) 信息系統安全管理(lǐ)要(yào)求€>φ》(GB/T 20269-2006)
《信息安全技(jì)術(shù) 信息系φβ統安全工(gōng)程管理(lǐ)要(yào<∏✘)求》(GB/T 20282-2006)
《信息安全技(jì)術(shù) 信息安全事(shì±→)件(jiàn)分(fēn)類分(fēn)級指≠ λ$南(nán)》(GB/Z 20986-2007)
《涉及國(guó)家(j£& iā)秘密的(de)計(jì)算(suànλ₽≤β)機(jī)信息系統分(fēn)級保護技(jì)術(shù§♥®)要(yào)求》 BMB 17-2006
《涉及國(guó)家(jiā)λ★秘密的(de)信息系統分(fēn)級保護管理(lǐ)規範》₩'✔ BMB 20-2007
《涉及國(guó)家(↑φ¥jiā)秘密的(de)計(jì)算(suàn)機(jī)信息系γ↕"統分(fēn)級保護測評指南(nán)》 BMB 22-2007
《涉及國(guó)家(jiā)秘密的(de)計®÷(jì)算(suàn)機(jī)信息系統安全保密測評指南(nán)》 BMZγ÷•γ 3-2001
等級保護服務介紹
信息安全等級保護工(gōng)作(zuò)流程包括以下(xià)★λ₽幾個(gè)階段:系統定級、系統備案、差距測評、系統整改、驗收測評、定期測評等¥λ∏∏階段。包含的(de)工(gōng)作(zuò)內(nèi)容如(✘® ∏rú)下(xià):
系統定級:信息系統運營使用¥•(yòng)單位按照(zhào)《信息系統信息安全等級保護定級指南(nán)》₹÷÷®,确定信息系統安全等級。有(yǒu)主管部門&≠<φ(mén)的(de),報(bào)主管部門(m¥λ♠εén)審核批準。
系統備案:已運營的(de)第二級以上(s ≤hàng)信息系統,在安全保護等級确定後30天內(nèi)>✔≠,由其運營、使用(yòng)單位到(dào)所在地(dì)區(qū)的(d₹α×e)市(shì)級以上(shàng)安全機(jī)關辦理(©₩♣lǐ)備案手續。第三極以上(shàng)信息系統,還(hái ♦∑®)需要(yào)提供相(xiàng)關附件(jiàn)材料。相(αxiàng)應安全機(jī)關審核通(tōng)過後,由公安機(jī)關頒↔←↓發系統等級保護備案證書(shū)。
差距測評:選擇有(yǒu)資質的(de)★✔等級保護測評機(jī)構,進行(xíng)差距測評,形成↓☆等級保護測評報(bào)告。
系統整改:根據測₩β評結果,制(zhì)訂整改方案,按照(zhào)國₹♦(guó)家(jiā)的(de)相(xiàng)≠•↔₽關規範和(hé)技(jì)術(shù)标準,使用(yòng)符合國(guó¥∏∏)家(jiā)相(xiàng)關規定,滿足ε±π×系統等級需求産品,并調試及進行(xíng)信息系統安全整改工(gōng)≠'©∏作(zuò)。(備注:一(yī)般情況下(xià),為(wèi™&)保證系統整改的(de)效果,差距測評及系統整改兩♥<↑個(gè)階段由同一(yī)家(jiā)公司完成)。
驗收測評:選擇第三方測評機(jī)構進€¶φ行(xíng)驗收測評,驗收合格後,系統運>'↓營、使用(yòng)單位向地(dì)級以上∞$✘←(shàng)市(shì)公安機(jī)關提交測評÷✘★報(bào)告,審核通(tōng)過後,由公★®≥安機(jī)關頒發合格證書(shū)。
☆£∞ 定期測評:定期選擇第三方測評機(jī)構進行(xíng)測評。 ±®↑三級系統每年(nián)至少(shǎo)一(yī)次,四級以上(☆×λ<shàng)系統每半年(nián)至少(shǎo)一(yī)次。
等級保護測評實施流程
信息系統安全等級測↕₩>評分(fēn)為(wèi)四個(gè)過程階段:測評準備過程、方案編•≤λ制(zhì)過程、測評實施過程、分(fēn)析與γ≤÷報(bào)告編制(zhì)過程。
α©® 具體(tǐ)測評實施流程圖如(rú)✘λ♣下(xià)所示:
一(yī)、測評準備過程:主要(y×®™ào)是(shì)通(tōng)過訪談的(de)方式了(✔♣βle)解被測系統的(de)基本情況,包括被測系↓♠ε§統的(de)物(wù)理(lǐ)環境,網絡結構和(hé)™£邊界,網絡設備,主機(jī)系統,應用(yòng)系統等測評對(duì)象×♥情況。
二、方案編制(zhì)₽" λ過程:根據被測系統的(de)定級報(bào)告和(hé)系統自('♦zì)身(shēn)的(de)情況确定測評指标和(hé)對(du↔'ì)應的(de)測評實施內(nèi)容、對(duì)測評實施Ω∑γ中的(de)測試和(hé)滲透測試項編制(zhì)測試方案¶€,細化(huà)測試點,測試工(gōng↔↓∏δ)具,測試對(duì)象,測試方法,測試步驟,對(du≠αì)現(xiàn)場(chǎng)測評的(de)總體(tǐ)計(jì)劃♥πβ作(zuò)出安排,根據上(shàng)述工(gōng)作(zuò)內(nèπ∏♣i)容編制(zhì)完成方案,然後測評雙方對δ§(duì)測評方案進行(xíng)确認、審核,并進一(yī)步<αα溝通(tōng)和(hé)協調以确定現(xiàn)場(chǎng)↔'>測評計(jì)劃。
三、測評實施過≠$↑∞程:根據雙方确認的(de)測評方案到(dào)被測系統現(xi♠✘>àn)場(chǎng)完成測評工(gōng)作(zuò)。現(xiàn)場α↔÷ (chǎng)測評工(gōng)作(zuò)涉及•≤'©三類方法:訪談、檢查和(hé)測試。訪談是(shì)我方測評人(ré₹λδn)員(yuán)通(tōng)過與信息系統有(yǒu)關人★ε₩π(rén)員(yuán)(個(gè)人(rén)/群體(tǐ))€進行(xíng)交流、討(tǎo)論等活動,獲取證據以證明(mε✔↑íng)信息系統安全防護措施是(shì)否有(yǒu)效。檢查是φ✘♦(shì)我方測評人(rén)員(yuán)通(tōng)過對(duìΩ©™)測評對(duì)象進行(xíng)觀察、查驗、分(fēn)析等₩←♥•活動,獲取證據以證明(míng)信息系統安全防護措施是(shì)否有(γ<yǒu)效。測試是(shì)我方測評人(rén)員(yuán)使用(yòng)×♦預定的(de)方法及工(gōng)具使測評 ✔↑對(duì)象産生(shēng)特定的(de)行(xíng↑±≠)為(wèi),通(tōng)過查看(kàn)、分(fēn)析這(z≠π≈γhè)些(xiē)行(xíng)為(wèi)的(de)結↕果,獲取證據以證明(míng)信息系統安全防護☆↔¥₩措施是(shì)否有(yǒu)效。
四、分(fēn)析與報(bào)→→告編制(zhì)過程:在完成測評實施過程之後,我方将根據現(xiàn✘☆☆)場(chǎng)測評的(de)記錄進行(xíng)綜合測評分 →β(fēn)析,包括單項測評結果彙總分(fēn)析,系統整體(tǐ)測評,系統風★Ω¶(fēng)險分(fēn)析和(hé)評價,并最終給出差距分(fēβ&∏♠n)析和(hé)整體(tǐ)建議(yì)。
等級保護測評內(nèi)容
依據等級保護相(xiàng)關标準要(yào)求,對(duì)信息系統±≥安全等級保護狀況進行(xíng)測評評估,包括以下(xià)εφ兩個(gè)方面的(de)內(nèi)容:
✔<±∏ 一(yī)、安全技(jì)術(shù)測評,包括物(wù§φσ)理(lǐ)、網絡、主機(jī)、數(sh €&ù)據及應用(yòng)安全測評;
二、安全管理(αφ®<lǐ)測評,包括安全管理(lǐ)機(jī)構、人(rén)員(yu ©án)安全管理(lǐ)、安全管理(lǐ)制(zhì)度、系統建設"'♦管理(lǐ)、系統運維管理(lǐ)測評。
÷→>σ 如(rú)下(xià)圖所示:
等級保護系統整改
東(dōng)軟将根據等級保護差距測評結果,✔δ制(zhì)訂等級保護整改方案,按照(zhà↓∑♣o)國(guó)家(jiā)的(de)相(xiàng)關€≤'♦規範和(hé)技(jì)術(shù)标準,采取符合國(•★ ≠guó)家(jiā)相(xiàng)關規定、滿足©δ系統等級需求的(de)措施,進行(xíng)信息系統安全整改工(gōng↓ε)作(zuò)。
3 等級保護服務客戶收益
滿足國(guó)家(jiā)信息安全等級→←α保護相(xiàng)關政策與标準要(yào)求。∏→
實現(xiàn)信息系↕"€統等級化(huà)保護和(hé)等級化(huà)管理(lǐ)。
ε✘" 解決原有(yǒu)咨詢服務重視(shì☆÷←✔)問(wèn)題發現(xiàn)和(hé&♦)提要(yào)求而
解決方案實施落實較弱的(de)模式。
γΩ★ 提高(gāo)企業(yè)業¶≥(yè)務系統信息安全防護能(néng)力。
縮短(duǎ♣∞<εn)從(cóng)體(tǐ)系設計(jì)到(dào)體(tǐ)系實現(xià÷εαn)的(de)過程,避免咨詢服務成果與安全建設脫節的(de)弊病。