第一篇：創(chuàng)新性隔離系統(tǒng)內(nèi)網(wǎng)安全綜合解決方案

廣州市磐固信息科技有限公司

創(chuàng)新性隔離系統(tǒng)內(nèi)網(wǎng)安全綜合解決方案

（一）最優(yōu)化的本地主機

◇ 最干凈、最簡單的本地系統(tǒng)：本地系統(tǒng)可以不 安裝也不給安裝任何應(yīng)用軟件或應(yīng)用系統(tǒng)。

◇ 最低維護量的本地硬件：本地硬盤不承擔運行應(yīng)用軟件 或應(yīng)用系統(tǒng)，碎片、臨時文件等影響本地硬件運行速度的因素最少，維護量也就降到最低。

◇ 最低的中毒概率：本地系統(tǒng)不安裝或不給安裝應(yīng)用軟件 或應(yīng)用系統(tǒng)，則病毒和木馬進入的概率也最低，同時也降 低了系統(tǒng)的不穩(wěn)定性和維護量。

◇.最低的配置：可根據(jù)單位具體情況配置最優(yōu)化的硬件 和操作系統(tǒng)，降低成本。

◇ 最低的人為損壞：由于本地系統(tǒng)的技術(shù)性封鎖，沒有特 別授權(quán)，終端作業(yè)者無法有任何作為，所以不管是故意還是無意的破壞行為，都被封鎖，實現(xiàn)最低的人為風險。

（二）高度安全的“磐固"隔離系統(tǒng)

◇“隔離”的高度安全：“進程、粘貼板、硬件運行環(huán)境等 的隔離”使得“磐固”隔離系統(tǒng)和本地系統(tǒng)的聯(lián)系或粘連降到最低值，最大限度隔離了本地系統(tǒng)可能的病毒和木馬行為。

◇“隱藏”的高度安全：“隱藏技術(shù)”在“磐固”隔離系統(tǒng) 的應(yīng)用使

廣州市磐固信息科技有限公司

廣州市磐固信息科技有限公司

得欺騙性、釣鉤性病毒和木馬無法找到攻擊對象。

◇“虛擬”的高度安全：“自帶內(nèi)核、注冊表、磁盤系統(tǒng) 等”的“磐固”隔離系統(tǒng)自帶使得內(nèi)核性病毒和木馬找不到方向。

◇“管控”的高度安全：“路徑轉(zhuǎn)移管控、網(wǎng)絡(luò)管控”等技 術(shù)在“磐固”隔離系統(tǒng)的應(yīng)用，使得數(shù)據(jù)的轉(zhuǎn)移必須得到授權(quán)才能實現(xiàn)，確保數(shù)據(jù)的合法轉(zhuǎn)移。

◇“認證”的高度安全：“本地系統(tǒng)對特定硬件的允許、服 務(wù)器對硬件信息的認證、密碼身份認證”等硬件和操作者的雙重確認，安全更有保障。

◇“加密”的高度安全：“硬件環(huán)境的自動加解密”使得數(shù) 據(jù)的保管環(huán)境永遠處于保密狀態(tài)。

◇“擦除”的高度安全：“密碼連續(xù)錯誤擦除后無法恢復” 使得不慎丟失硬件，也不會泄漏機密。

（三）移動的辦公應(yīng)用

◇內(nèi)網(wǎng)的移動辦公：內(nèi)部辦公網(wǎng)絡(luò)任意辦公，確保某一終端 機故障時操作者可以及時在另一終端機完成工作，不受終端機限制，也不會影響他人工作和泄密的可能。

◇外網(wǎng)的移動辦公：外部網(wǎng)絡(luò)環(huán)境中，可以通過服務(wù)器進入 內(nèi)部網(wǎng)絡(luò)進行及時辦公，同時不會在外部網(wǎng)絡(luò)留下任何信息和痕跡，確保外部工作人員安全無障礙和內(nèi)部網(wǎng)絡(luò)環(huán)境溝通。

（四）不變的應(yīng)用和操作

◇原有應(yīng)用軟件或應(yīng)用系統(tǒng)不變：“磐固”隔離系統(tǒng)無縫支 持原有應(yīng)用軟件或系統(tǒng)，沒有應(yīng)用障礙。

◇原有的安全措施可不改變：原來的安全措施可以銜接。

◇原有的操作方式不變：“磐固”隔離系統(tǒng)只是作為本地系 統(tǒng)和原有應(yīng)用系統(tǒng)的安全橋梁，不用改變原有的操作方式，零學習、零培訓。

廣州市磐固信息科技有限公司

廣州市磐固信息科技有限公司

這是一種獨特創(chuàng)新性的內(nèi)網(wǎng)安全解決方案，全方位、全過程保障系統(tǒng)、數(shù)據(jù)的高度安全和安全移動辦公，我們將非常高興根據(jù)具體的應(yīng) 用需求為您提供針對性的解決方案。

面對對象：政府、企事業(yè)單位、保密安全機構(gòu)、部隊等

附：廣州市磐固信息科技有限公司（網(wǎng)址http://004km.cn）以獲得國家發(fā)明專利的操作系統(tǒng)底層技術(shù)和多年移動存儲的研究為依托，以廣東省國家保密局和科技廳的重大科技立項為立足點，獨辟蹊徑，率先提出和實現(xiàn)了“硬軟結(jié)合”方法解決系統(tǒng)和數(shù)據(jù)安全問題，以“硬件和軟系統(tǒng)”、“硬隔離和軟隔離”、“硬隱藏和軟隱藏”、“硬加密和軟件加密”、“硬擦除和軟擦除”相結(jié)合等多項獨特技術(shù)和解決思路開發(fā)的“磐固”系列安全解決方案和產(chǎn)品，實現(xiàn)了在windows環(huán)境中保證數(shù)據(jù)生命周期（生成→存儲→轉(zhuǎn)移）的高度安全和隔離移動辦公。

廣州市磐固信息科技有限公司

第二篇：內(nèi)網(wǎng)OA辦公系統(tǒng)解決方案

內(nèi)網(wǎng)OA辦公系統(tǒng)

解決方案

XXXX科技有限公司 2016年06月

目錄

1、系統(tǒng)簡介.....................................................................................................................................4

2、系統(tǒng)功能介紹.............................................................................................................................4

2.1 系統(tǒng)門戶.............................................................................................................................4 2.2 公文處理系統(tǒng).....................................................................................................................5

2.2.1 收文管理...................................................................................................................5 2.2.2 發(fā)文管理...................................................................................................................5 2.2.3內(nèi)部請示....................................................................................................................6 2.2.4 檔案管理...................................................................................................................6 2.3 日常工作平臺.....................................................................................................................7

2.3.1 個人信息...................................................................................................................7 2.3.2 個人建議...................................................................................................................7 2.3.3 網(wǎng)上調(diào)查...................................................................................................................8 2.3.4 代辦設(shè)置...................................................................................................................8 2.3.5 網(wǎng)絡(luò)尋呼...................................................................................................................8 2.3.6 電子郵件...................................................................................................................8 2.3.7 工作日記...................................................................................................................9 2.3.8 日程安排...................................................................................................................9 2.3.9 我的任務(wù)...................................................................................................................9 2.3.10 計劃總結(jié).................................................................................................................9 2.3.11 我的便簽...............................................................................................................10 2.3.12 通訊錄...................................................................................................................10 2.4 公共信息...........................................................................................................................10

2.4.1 熱點問題.................................................................................................................11 2.4.2 領(lǐng)導動態(tài).................................................................................................................11 2.4.3 政府新聞.................................................................................................................11 2.4.4 內(nèi)部事項.................................................................................................................11 2.4.5 政策法規(guī).................................................................................................................11 2.4.6 信息管理.................................................................................................................11

/ 18

2.4.7 公告管理.................................................................................................................11 2.5 行政管理...........................................................................................................................12

2.5.1 會議管理.................................................................................................................12 2.5.2 車輛管理.................................................................................................................12 2.5.3 資產(chǎn)管理.................................................................................................................13 2.5.4 人事管理.................................................................................................................13 2.5.5 用品管理.................................................................................................................13 2.6 系統(tǒng)管理...........................................................................................................................13

2.6.1 用戶管理.................................................................................................................14 2.6.2 組織管理.................................................................................................................14 2.6.3 職務(wù)管理.................................................................................................................14 2.6.4 權(quán)限管理.................................................................................................................14 2.6.5 系統(tǒng)設(shè)置.................................................................................................................15 2.6.6 日志管理.................................................................................................................15 2.6.7 短語管理.................................................................................................................15 2.6.8 短信管理.................................................................................................................15 2.6.9 公文設(shè)置.................................................................................................................15 2.6.10 回收站...................................................................................................................16

3、技術(shù)架構(gòu)規(guī)劃...........................................................................................................................16

3.1 數(shù)據(jù)上傳流程...................................................................................................................17 3.2 數(shù)據(jù)下發(fā)流程...................................................................................................................17

/ 18

1、系統(tǒng)簡介

涉密系統(tǒng)OA辦公系統(tǒng)是專門為涉密機構(gòu)定制的辦公信息上傳下達、信息采集匯總等需求提供的辦公管理系統(tǒng)，可以將領(lǐng)導班子、相關(guān)部門及下屬單位等相互相聯(lián)，實現(xiàn)公文、通知、公告、請示的上傳下達，實現(xiàn)基層數(shù)據(jù)的采集與匯總，形成一個涵蓋數(shù)據(jù)采集、信息保存、信息處理、傳輸控制的信息系統(tǒng)，逐步將黨政機關(guān)的日常辦公管理規(guī)范化、標準化、科學化。

2、系統(tǒng)功能介紹

2.1 系統(tǒng)門戶

系統(tǒng)門戶是以門戶形式為政府部門提供統(tǒng)一、豐富的各類公共信息的展現(xiàn)平臺，減少信息反復加載，提高對政務(wù)門戶的利用。另一方面，本系統(tǒng)還可提供給各個部門一個共享信息發(fā)布的區(qū)域，為各個部門的展示，工作經(jīng)驗的交流，公告信息的發(fā)布等共享信息提供支持。

OA系統(tǒng)功能圖

/ 18

2.2 公文處理系統(tǒng)

電子政務(wù)協(xié)同辦公系統(tǒng)提供的政府公文管理平臺主要包括收文管理、發(fā)文管理、內(nèi)部請示管理等，實現(xiàn)政府部門對公文流轉(zhuǎn)的規(guī)范化管理，提高內(nèi)部公文處理的速度，進而提高機關(guān)單位的辦公效率。

2.2.1 收文管理

實現(xiàn)了來文登記、擬辦、批示、傳閱、承辦、轉(zhuǎn)辦等功能，通過系統(tǒng)提供Web方式的在線編輯、附件上傳功能，支持OFFICE電子文件的處理，可以進行模板紅頭套用、打印文件和稿紙等功能。并采用收文和待辦事宜配合使用的辦法，用戶查看工作臺中的待辦事宜即可進行日常收文辦理。2.2.2 發(fā)文管理

根據(jù)預(yù)先設(shè)置的公文辦理流程，各環(huán)節(jié)的辦理功能定義，可以實現(xiàn)公文的各項辦理工作?？梢詫崿F(xiàn)單位內(nèi)部發(fā)文擬稿、公文審核、發(fā)文痕跡保留、公文傳閱、公文簽發(fā)、公文辦理、公文歸檔、公文印發(fā)等功能?？梢耘cOFFICE文檔編輯工具進行嵌入整合?？梢赃M行模板紅頭套用、打印文件和稿紙等功能?？梢蕴砑佣鄠€附件，附件大小不限，被授權(quán)修改的附件內(nèi)容編輯時自動開啟WORD的修訂功能。同時根據(jù)各辦理節(jié)點的權(quán)限設(shè)置，可以進行相應(yīng)的抄送、流程轉(zhuǎn)向、修改設(shè)置后續(xù)流程等操作，極大地滿足日常公文辦理中對于操作靈活性的要求。發(fā)送者與接受者能夠?qū)崿F(xiàn)組織關(guān)聯(lián)。催辦跳轉(zhuǎn)：對于超過辦理期限或需特殊辦理的公文，可以進行發(fā)送催辦通知、跳轉(zhuǎn)操作等功能實現(xiàn)，對于辦理流程的跟蹤檢查、特殊

/ 18

流轉(zhuǎn)的要求。提高公文流轉(zhuǎn)辦理的工作效率。并采用待批待閱公文和待辦事宜配合使用的辦法，用戶查看工作臺中的待辦事宜即可進行日常收文辦理。2.2.3內(nèi)部請示

系統(tǒng)提供多種固定模板供用戶使用，用戶也可以自定義設(shè)置工作流：自定義請示流程、請示類型和請示模板。主要用于內(nèi)部事項的申請，提供流程監(jiān)控、跟蹤、催辦和查詢。支持審批過程尋呼和短信通知。

2.2.4 檔案管理

工作流流轉(zhuǎn)后直接預(yù)歸檔：此功能與工作流管理系統(tǒng)結(jié)合，支持公文流轉(zhuǎn)和由表單定制子系統(tǒng)定制的電子表單流轉(zhuǎn)后的直接歸檔；按照部門歸檔，檔案文件歸檔到歸檔人或者檔案管理員所在的部門。

上傳文件預(yù)歸檔：上傳文件預(yù)歸檔是對客戶端的各種檔案文件進行上傳文件歸檔，按照部門歸檔。

檔案文件的修改：提供檔案管理員對于本部門已經(jīng)歸檔的檔案文件屬性等基本信息可以進行修改功能，但對檔案的內(nèi)容任何人都無權(quán)修改。

案卷管理：給檔案管理員提供通過組合查詢對本部門的檔案文件進行組卷、拆卷和案卷的基本信息的修改。

檔案文件檢索和申請借閱：擁有檔案借閱權(quán)限的用戶可以對系統(tǒng)中所有檔案進行檢索，檢索按照組合條件進行，然后用戶可以對檢索到的檔案文件提出借閱申請，等待檔案管理員的審批。

檔案借閱審批：提供擁有審批權(quán)限的人員具有對已經(jīng)被借閱的本部門檔案進行審批。對于通過審批的借閱檔案可以賦予借閱人“普通借閱”和“特殊借閱”的權(quán)限，具有普通借閱權(quán)限的借閱者只能查看此檔案的最終正式檔案文件，具有特殊借閱權(quán)限的借閱者可以查看同此檔案文件有關(guān)的所有工作流流轉(zhuǎn)中相關(guān)的內(nèi)容，包括檔案文件的各個版本和審批意見等有關(guān)電子文檔的內(nèi)容。

公開的檔案文件：檔案管理員在進行檔案文件預(yù)歸檔的時候可以對檔案文件的查看方式進行選擇，對于保密級別低的文件可以選擇為可公開的文件，歸入相

/ 18

應(yīng)的類別中，使每個普通用戶可以在前臺直接進行檔案文件的查看。檔案文件的備份和移交：系統(tǒng)中檔案文件按照保存時間自動保存在檔案服務(wù)器磁盤中年、月、日相應(yīng)的目錄下，便于進行檔案的備份、維護和移交，支持定期的自動備份。與其他檔案軟件的接口：檔案內(nèi)容可以通過接口導入到國家檔案局要求的檔案管理軟件中。2.3 日常工作平臺

系統(tǒng)主界面上方有為用戶提供的日常工作菜單，功能包括網(wǎng)絡(luò)尋呼、工作日記、日程安排、我的任務(wù)、計劃總結(jié)、我的便簽、通訊錄。

2.3.1 個人信息

主要功能是為每個用戶提供辦公系統(tǒng)的個性化設(shè)置，包括個人的密碼、聯(lián)系方式、習慣的工作環(huán)境、喜歡的頁面顯示風格和喜歡的照片，方便提高工作人員自身的工作效率，更顯人性化。2.3.2 個人建議

個人建議模塊可以由系統(tǒng)管理員設(shè)置一些建議的類型，每個用戶都可以在各自已經(jīng)設(shè)定好的建議類型版面上提出自己建議，系統(tǒng)還提供了匿名提建議的功能，做到內(nèi)部意見交流民主化、大眾化。

/ 18

2.3.3 網(wǎng)上調(diào)查

主要功能是可以由系統(tǒng)管理員設(shè)置需要大家投票的內(nèi)容，可以單選也可以多選。大家投票后，可以用餅圖顯示統(tǒng)計出的投票結(jié)果。2.3.4 代辦設(shè)置

委托代辦功能是當用戶碰到外出，出差等情況無法及時辦理文件，則可以采用流程委托代辦的方式指定其他用戶代替自己辦理。代辦的流程中會記錄哪些步驟是某某人代替辦理的。當用戶外出結(jié)束后可以自己撤消流程委托。2.3.5 網(wǎng)絡(luò)尋呼

網(wǎng)絡(luò)尋呼是一種方便的即時溝通和管理工具。它以樹狀組織結(jié)構(gòu)圖形式顯示尋呼列表。實現(xiàn)在線實時交流，離線留言，工作任務(wù)提醒等功能?？牲c擊每人的名字了解到他（她）的照片和部門、職務(wù)、電話等基本信息。發(fā)消息時可在列表中直接點人員或選擇按組發(fā)送，并可掛若干文件作為附件。不論對方在何地，數(shù)秒鐘內(nèi)在其屏幕上就會自動彈出窗口，顯示您發(fā)的消息。如對方不在線則可以同時發(fā)短信息到對方手機上，對方可以直接用手機回復短信到尋呼里。方法和用普通手機回復短信一樣，回復的內(nèi)容會自動在收尋呼人的桌面上彈出尋呼窗口。2.3.6 電子郵件

電子郵件是日常工作中與外界交流的重要部分，系統(tǒng)提供了將任何支持POP3/SMTP的郵件集成至系統(tǒng)中的方式，可以不用登錄各個郵件系統(tǒng)來查看郵件，簡化了操作。而且與系統(tǒng)特色之一―網(wǎng)絡(luò)尋呼結(jié)合在一起，能夠方便的將收到的外部郵件轉(zhuǎn)發(fā)成尋呼至政務(wù)系統(tǒng)內(nèi)部用戶，實現(xiàn)內(nèi)外信息的互聯(lián)互通，提高了信息內(nèi)外交流的效率。同時還能實現(xiàn)將內(nèi)外有價值的信息轉(zhuǎn)至知識系統(tǒng)，加入到知識地圖中，實現(xiàn)知識的積累和信息共享的目的。

/ 18

2.3.7 工作日記

用戶每天可以隨時記錄當天的工作情況，還可方便的將工作任務(wù)、日程或便簽生成工作日志，記錄工作中出現(xiàn)的問題、匯報工作進展結(jié)果、總結(jié)工作心得，并可通過明天提示來提醒自己第二天的工作安排。日后用戶可以查詢歷史工作記錄，并可將工作日志進行匯總，形成工作周報、月報等，方便進行工作總結(jié)。

領(lǐng)導可以查看所管轄范圍內(nèi)的用戶的工作日志，并可作出批示、指導工作。2.3.8 日程安排

用戶可以在我的日程中預(yù)定工作安排，并可預(yù)先設(shè)置固定提醒或循環(huán)提醒時間，通過系統(tǒng)或短信提醒自己重要的工作安排，使工作能夠井井有條。用戶還可將自己的日程公開給設(shè)置好的公開范圍內(nèi)的人員，方便其他人了解當天的日程好進行相關(guān)的工作安排。系統(tǒng)還提供了日程查詢和匯總功能供用戶對歷史日程記錄進行了查詢和匯總總結(jié)。2.3.9 我的任務(wù)

實現(xiàn)上級管理部門/領(lǐng)導進行任務(wù)、工作分配和布置，承辦人員/部門可隨時匯報任務(wù)進展情況，領(lǐng)導即可隨時動態(tài)掌握事情執(zhí)行進度和情況，并可隨時指導和批示。系統(tǒng)還提供系統(tǒng)自動提醒、手機短信、人工催辦等提醒方式實現(xiàn)對任務(wù)承辦人員的催督，促使任務(wù)及時辦理。系統(tǒng)中“日志”、“日程”、“計劃”、“任務(wù)”有效結(jié)合，可以通過工作任務(wù)自動生成工作計劃和日程安排，也可以通過工作日記自動生成工作總結(jié)，并將工作總結(jié)作為任務(wù)執(zhí)行結(jié)果進行匯報，領(lǐng)導可以通過匯總下屬的計劃形成任務(wù)。2.3.10 計劃總結(jié)

計劃分部門計劃與個人計劃。可以按周、月、季、年四個時間段來做。如果是職員則只需要做個人計劃，做好后提交給領(lǐng)導審批。領(lǐng)導還可以匯總職員的計劃生成本部門的工作計劃，并和個人計劃一起上報更高級的領(lǐng)導。領(lǐng)導可以修改下屬計劃中不合理的地方，系統(tǒng)自動通知對方，對方同意后計劃開始生效。當計

/ 18

劃生效時將自動轉(zhuǎn)化為任務(wù)，在執(zhí)行時布置者和執(zhí)行者中任意一方如要有變化：例如修改內(nèi)容、推遲時間、終止任務(wù)等，都需要另一方同意，系統(tǒng)會自動通知另一方。另一方必須點擊“同意”，該修改才能生效。計劃完成一項就填寫進度為100，系統(tǒng)自動通知上級檢查。2.3.11 我的便簽

類似于日常使用的便簽條，可以隨時記錄臨時的事情或者有用的信息，并可導入到日記、日程，支持模糊查詢，避免信息丟失或不容易查找。2.3.12 通訊錄

電子通訊錄實現(xiàn)各種聯(lián)系信息的增加、刪除、修改、導入、查詢功能，其中導入功能可以接收由Excel等多種格式的通訊錄文件，并能自由創(chuàng)建聯(lián)系人組管理，將聯(lián)系人設(shè)置為是否共享，方便單位內(nèi)部聯(lián)系信息共享。同時通訊錄與網(wǎng)絡(luò)尋呼、短信平臺、電子郵件實現(xiàn)緊密的結(jié)合，方便用戶對各類聯(lián)系信息的管理。2.4 公共信息

公共信息管理平臺可以發(fā)布政府機關(guān)單位新聞、通知和內(nèi)部期刊，要通過規(guī)定的審批流程進行審批才能發(fā)布在辦公平臺上顯示。各用戶可以根據(jù)自己的實際需要自行進行欄目的分級設(shè)置，并根據(jù)管理規(guī)定設(shè)定各欄目相關(guān)的發(fā)布、管理權(quán)限，實現(xiàn)區(qū)人民政府內(nèi)部新聞、通知公告、電子期刊等公用信息的綜合管理。

/ 18

2.4.1 熱點問題

可以發(fā)布熱點問題供有關(guān)用戶參閱、討論。有審批權(quán)限控制。2.4.2 領(lǐng)導動態(tài)

辦公室可以把領(lǐng)導的重要活動發(fā)布到系統(tǒng)中讓指定人員及時了解，有審批權(quán)限控制。2.4.3 政府新聞

可以發(fā)布本單位的有關(guān)新聞，有審批權(quán)限控制。2.4.4 內(nèi)部事項

提供機關(guān)發(fā)布各種內(nèi)部通知等事項的空間。面向指定用戶，并能提供完善的快速查詢手段。有審批權(quán)限控制。2.4.5 政策法規(guī)

可以建立本單位各種類別的規(guī)章制度和法律法規(guī)庫，例如：交通法、辦公室管理、崗位責任、保密制度等。再分類公布給指定用戶人員，用戶人員也可通過規(guī)章制度的查詢功能進行查詢，同時可統(tǒng)計閱讀情況。有審批權(quán)限控制。2.4.6 信息管理

信息發(fā)布平臺可根據(jù)信息來源和分類自由定制信息欄目、發(fā)布信息，實時或滾動顯示新聞動態(tài)、通知公告、電子期刊、制度、簡報、公共信息等，并且涵蓋了所有信息從起草、審閱、查詢到統(tǒng)計的各個環(huán)節(jié)，信息發(fā)布之后會在政務(wù)門戶和個人工作臺上實時顯示，用戶能夠快速獲取最新的信息。有審批權(quán)限控制。2.4.7 公告管理

可以幫助辦公室或指定人員把有關(guān)新聞或簡報整理編輯完畢，經(jīng)過領(lǐng)導批準

/ 18

后發(fā)布給指定人員，也可以發(fā)布快訊，讓內(nèi)部工作人員及時了解到有關(guān)自己單位的信息和動態(tài)，發(fā)布的新聞內(nèi)容格式可是Word、Excel、Html、各種圖片，便于以后個人的再整理和收集。有審批權(quán)限控制。2.5 行政管理

2.5.1 會議管理

會議管理實現(xiàn)對會議室、會議及會議類型的自定義設(shè)置及管理，方便根據(jù)單位實際情況對會議室及內(nèi)部會議等數(shù)據(jù)進行有效設(shè)置，并通過會議申請可實現(xiàn)資源預(yù)定、會議沖突檢測、會議申請審批等，這樣可以解決常見的會議室資源使用沖突和參會人員時間沖突；會議審批通過后可以以系統(tǒng)提醒、尋呼、短信等多種形式通知參會人員，用戶也可設(shè)置多種查詢條件來模糊查詢會議及會議詳細信息；系統(tǒng)還提供圖形化的資源占用示意圖，會議室在什么時段被占用一目了然，方便管理。2.5.2 車輛管理

車輛管理實現(xiàn)對車輛類型、車輛檔案、車輛歸屬的自定義設(shè)置及管理，方便根據(jù)單位具體情況對車輛的詳細情況進行有效設(shè)置，并可通過用車申請實現(xiàn)資源預(yù)定、車輛使用沖突檢測、車輛申請審批等；領(lǐng)導在派車調(diào)度中審批通過后即可通過系統(tǒng)提醒、尋呼、短信等多種形式通知司機和申請人員；工作人員或司機將出車詳細情況通過出車記錄錄入至系統(tǒng)中，以便有備可查，而且在司機補貼統(tǒng)計中也可根據(jù)出車記錄統(tǒng)計司機的出車補貼；單位使用私人車輛時，也可在系統(tǒng)的私車公用登記中錄入使用的情況；車輛管理人員通過部門用車統(tǒng)計中可以很方便的根據(jù)時間段或部門等多種條件來統(tǒng)計司機或車輛的出車記錄、里程、油耗等數(shù)

/ 18

據(jù)，便于統(tǒng)一管理。2.5.3 資產(chǎn)管理

實現(xiàn)對單位的各種資產(chǎn)及其使用周期進行有效的管理。通過資產(chǎn)的種類、折舊年限等各種參數(shù)自由設(shè)置，方便多種資產(chǎn)登記入庫管理；申請領(lǐng)用資產(chǎn)時通過時間沖突檢測后，按照預(yù)定義的審批流程通過后，系統(tǒng)即會以多種提醒方式提醒申請人；申請人資產(chǎn)使用完畢，管理員通過資產(chǎn)歸還來登記資產(chǎn)的使用結(jié)束；資產(chǎn)發(fā)生故障需要維修時，管理人員可通過維修管理記錄資產(chǎn)的維修的具體情況，為折舊做參考；資產(chǎn)的歸屬權(quán)發(fā)生轉(zhuǎn)移時管理人員可通過變更管理來實現(xiàn)。2.5.4 人事管理 建立內(nèi)部人才管理庫，保存內(nèi)部各分中心機構(gòu)人員基本信息。提供人事調(diào)動、變動等相關(guān)的人員變動功能，并自動將工作變動經(jīng)歷記入人員的工作經(jīng)歷。2.5.5 用品管理

通過用品倉庫管理、用品類別管理、用品詳細資產(chǎn)管理對用品的存放、分類及詳細信息進行有效的管理，并對用品從入庫到出庫一系列的登記入庫、申請領(lǐng)用、調(diào)拔、庫存查詢、流水查詢統(tǒng)計等實現(xiàn)全過程的控管，使管理人員輕松管理。2.6 系統(tǒng)管理

系統(tǒng)管理作為電子政務(wù)協(xié)同辦公系統(tǒng)最為核心的模塊，不僅能夠?qū)崿F(xiàn)常用的用戶、組織、權(quán)限等管理功能，還提供了大量圖形化、可視化的操作界面、菜單、首頁、表單、查詢等功能的定制，以及多種模板供管理員根據(jù)政府需求進行選擇，滿足系統(tǒng)管理的靈活設(shè)置、操作簡單、方便易用的要求，減輕了系統(tǒng)管理員的工作負擔，真正實現(xiàn) “高效管理、快樂工作”。

/ 18

2.6.1 用戶管理

用戶管理是用來維護用戶基本信息和添加、刪除組織機構(gòu)中用戶的功能模塊。管理員可以任意添加、修改、刪除用戶個人信息，還可以對用戶進行所屬組織機構(gòu)（部門）和擔任角色（職位）進行分配。2.6.2 組織管理

組織管理是用來維護系統(tǒng)中的組織機構(gòu)信息。組織機構(gòu)以樹型目錄樹的方式顯示，一般以局機關(guān)或最高管理部門為根結(jié)點，下面設(shè)置各職能部門和分支機構(gòu)。在“組織管理”中系統(tǒng)管理員可以方便地添加、修改或刪除一個部門節(jié)點及其相關(guān)內(nèi)容。2.6.3 職務(wù)管理

系統(tǒng)管理員通過職務(wù)管理可以自由定義、添加、刪除系統(tǒng)中的相關(guān)職務(wù)信息，在給組織機構(gòu)分配角色時可以與用戶實際情況一一對應(yīng)，也可以給用戶對應(yīng)一個或多個已定義好的角色，系統(tǒng)支持身兼多職。2.6.4 權(quán)限管理

系統(tǒng)管理員根據(jù)用戶不同級別在權(quán)限設(shè)置中設(shè)置用戶可以訪問系統(tǒng)的權(quán)限，只有賦予用戶相關(guān)權(quán)限后才能在系統(tǒng)中進行與用戶相關(guān)的操作。

/ 18

2.6.5 系統(tǒng)設(shè)置

系統(tǒng)設(shè)置主要是方便系統(tǒng)管理員對系統(tǒng)進行個性化設(shè)置，主要包括：條件設(shè)置、鏈接設(shè)置、標志設(shè)置、IP限制、身份認證、登錄頁面、門戶信息、系統(tǒng)模塊等相關(guān)設(shè)置。2.6.6 日志管理

統(tǒng)計登錄到系統(tǒng)的用戶相關(guān)情況，記錄系統(tǒng)登錄用戶的編號、姓名、所屬部門、訪問頁面、訪問IP、登錄時間、退出時間等，并可按部門、人員、時間段等條件查詢統(tǒng)計，方便系統(tǒng)管理員能夠快速查詢系統(tǒng)的各種操作，以便追蹤非法入侵，提高系統(tǒng)使用的安全性。2.6.7 短語管理

在系統(tǒng)使用過程中，領(lǐng)導經(jīng)常需要填寫“同意”、“不同意”、“請某某閱”、“請某某部門辦”等常用的意見。為了減少用戶的文字輸入量，提高方便性，系統(tǒng)管理員可以把用戶常用到的短語添加至短語管理中，并且每個用戶也有自己的一個短語庫，可以從系統(tǒng)管理員建立的總庫中挑選一些自己常用的導入到自己的短語庫里，用戶在使用系統(tǒng)中任何需要輸入文字的地方，都可以調(diào)出自己的短語庫，然后在其中選擇需要的短語，極大地提高了系統(tǒng)的使用效率和個人辦公的工作效率。

2.6.8 短信管理

短信管理是對網(wǎng)絡(luò)尋呼中的短信發(fā)送情況的管理模塊。系統(tǒng)管理員可以對系統(tǒng)中的短信發(fā)送詳細信息和費用情況進行查詢、統(tǒng)計、查看，方便進行費用管理。2.6.9 公文設(shè)置

公文設(shè)置通過對公文類型、模板、字段、紅頭、稿紙以及使用手寫批注用戶范圍的設(shè)置，使公文規(guī)范化管理，并且用戶使用時可直接調(diào)用，提高了辦公效率。

/ 18

2.6.10 回收站

與Windows里的回收站功能類似。系統(tǒng)內(nèi)的刪除操作都只是邏輯刪除，并沒有真正將數(shù)據(jù)清除，只是保存在回收站中。當數(shù)據(jù)需要恢復時可以通過恢復功能進行恢復；也可通過清空回收站對數(shù)據(jù)進行物理刪除，數(shù)據(jù)就不能夠再恢復了。

3、技術(shù)架構(gòu)規(guī)劃

涉密內(nèi)網(wǎng)的OA系統(tǒng)需要和其他單位或者下屬機構(gòu)進行數(shù)據(jù)交互，OA系統(tǒng)既要從其他系統(tǒng)接收數(shù)據(jù)，也要向其他系統(tǒng)下發(fā)數(shù)據(jù)。考慮到涉密系統(tǒng)的特殊性，特設(shè)定以下數(shù)據(jù)交互系統(tǒng)，如下圖所示：

涉密內(nèi)網(wǎng)OA系統(tǒng)與其他系統(tǒng)數(shù)據(jù)交互圖

/ 18

? 數(shù)據(jù)上傳服務(wù)器：用于接收其他系統(tǒng)的數(shù)據(jù)，并對數(shù)據(jù)進行解密和密級比對，對于不適合傳入OA系統(tǒng)的數(shù)據(jù)要進行丟棄和銷毀處理。? 加密鏈路：專門用來進行數(shù)據(jù)傳遞的加密鏈路。

? 遠端設(shè)備：部署在遠端系統(tǒng)一端，專門用來對用戶數(shù)據(jù)的加解密使用。

3.1 數(shù)據(jù)上傳流程

數(shù)據(jù)上傳，由遠端系統(tǒng)發(fā)起，首先將數(shù)據(jù)加密，進入專門的加密通道，由涉密內(nèi)網(wǎng)的數(shù)據(jù)上傳服務(wù)器接收并進行數(shù)據(jù)解密和密級比對，不符合進入的數(shù)據(jù)在這里進行銷毀和丟棄，可以進入的數(shù)據(jù)，由此傳送至涉密內(nèi)網(wǎng)OA系統(tǒng)。

數(shù)據(jù)上傳流程圖

3.2 數(shù)據(jù)下發(fā)流程

數(shù)據(jù)下發(fā)，由涉密內(nèi)網(wǎng)OA系統(tǒng)發(fā)起，首先將數(shù)據(jù)進行密級比對，不適合下發(fā)的數(shù)據(jù)不能下發(fā)?？梢韵掳l(fā)的數(shù)據(jù)進行加密，進入專門的加密通道，由遠端設(shè)備接收并進行數(shù)據(jù)解密，然后由此傳送至遠端其他系統(tǒng)。

/ 18

數(shù)據(jù)下發(fā)流程圖

/ 18

第三篇：軍隊企業(yè)內(nèi)網(wǎng)安全解決方案

軍隊企業(yè)內(nèi)網(wǎng)安全解決方案

內(nèi)網(wǎng)安全性分析

軍隊網(wǎng)絡(luò)具有非常完善的系統(tǒng)及復雜的網(wǎng)絡(luò)環(huán)境；由于軍事信息需要高度保密，其局域網(wǎng)與Internet物理隔離，單位間信息共享都必須經(jīng)過嚴格的過濾及加密傳輸，移動存儲設(shè)備管理并沒有成為關(guān)注的重點。目前軍隊廣泛采用移動U盤和移動硬盤進行數(shù)據(jù)交換，缺乏對移動存儲設(shè)備的管理；隨著軍隊與外部聯(lián)系日益密切，這將給軍隊網(wǎng)絡(luò)管理帶來嚴重威脅和麻煩，這些途徑傳播快、危害大，而且有很強的隱蔽性和欺騙性；部署一套針對終端主機管理的產(chǎn)品則成為當務(wù)之急！

針對目前對終端主機管理的空白，福建伊時代信息有限公司開發(fā)出了針對終端主機管理的產(chǎn)品－防信息泄漏系統(tǒng)，并針對軍隊給出了基于終端主機管理的解決方案。

UTM政府網(wǎng)絡(luò)安全解決方案

一、政府網(wǎng)絡(luò)所面臨的安全問題

信息網(wǎng)絡(luò)技術(shù)的應(yīng)用正日益普及和廣泛，應(yīng)用層次正在深入，應(yīng)用領(lǐng)域從傳統(tǒng)、小型業(yè)務(wù)系統(tǒng)逐漸向大型、關(guān)鍵業(yè)務(wù)系統(tǒng)擴展，典型的如行政部門業(yè)務(wù)系統(tǒng)、金融業(yè)務(wù)系統(tǒng)、企業(yè)商務(wù)系統(tǒng)等。伴隨網(wǎng)絡(luò)的普及，安全日益成為影響網(wǎng)絡(luò)效能的重要問題，而Internet所具有的開放性、國際性和自由性在增加應(yīng)用自由度的同時，對安全提出了更高的要求。

政府機構(gòu)從事的行業(yè)性質(zhì)是跟國家緊密聯(lián)系的，所涉及信息可以說都帶有機密性，所以其信息安全問題，如敏感信息的泄漏、黑客的侵擾、網(wǎng)絡(luò)資源的非法使用以及計算機病毒等。都將對政府機構(gòu)信息安全構(gòu)成威脅。各級政府都將電子政務(wù)建設(shè)作為一項重要的工作，近幾年我國的政務(wù)信息化得到很大發(fā)展，但是政府機構(gòu)網(wǎng)絡(luò)業(yè)面臨著越來越多的安全挑戰(zhàn)。

我國的安全產(chǎn)品大多為單一功能性產(chǎn)品，雖然能夠解決一些局部性的安全問題，然而由于相互之間沒有互操作性，缺乏統(tǒng)一調(diào)度、協(xié)同管理的途徑，很難保證策略上的完整性和和行動上的一致性。各行其是、各管一方的局面不僅大大加重了管理人員的負擔，最終也很難形成全面而有效的安全解決方案。

如何使信息網(wǎng)絡(luò)系統(tǒng)不受黑客和工業(yè)間諜的入侵，如何阻止大規(guī)模的病毒爆發(fā)或者大流量的網(wǎng)絡(luò)攻擊，如何保障敏感信息以及數(shù)據(jù)交換的安全與機密，如何維持網(wǎng)絡(luò)及對外服務(wù)窗口的持續(xù)穩(wěn)定，已成為政府機構(gòu)信息化健康發(fā)展所要考慮的重要事情之一。

部隊跨涉密文檔安全存儲管理解決方案

一、部隊涉密文檔安全需求分析

根據(jù)《關(guān)于對軍事綜合信息網(wǎng)進行安全檢測評估的請示》，涉密文檔在不定期的安全保密檢查過程中，突出有以下幾個問題：

1.硬盤格式化帶來的數(shù)據(jù)丟失；

2.巨大的工作，降低了IT安全部門的工作效率；

3.備份介質(zhì)不安全，容易損壞、遺失，存在泄密隱患；

4.擔心保密信息在網(wǎng)上泄露，將網(wǎng)絡(luò)掐斷，影響正常工作。

三、部隊涉密文檔安全存儲系統(tǒng)解決方案

根據(jù)部隊系統(tǒng)信息化建設(shè)具體需求，以網(wǎng)劍網(wǎng)絡(luò)文件保險柜ETIM-NFCS構(gòu)建部隊網(wǎng)絡(luò)數(shù)據(jù)集中安全保護系統(tǒng)，針對跨涉密文檔進行保護。

1.個人文件數(shù)據(jù)的安全備份保護：在網(wǎng)絡(luò)文件保險柜上設(shè)置相應(yīng)的空間以及設(shè)置不同的權(quán)限，在個人辦公電腦上，安裝自動備份引擎，實現(xiàn)了數(shù)據(jù)的自動備份，防止個人數(shù)據(jù)因各種意外情況丟失。

2.涉密信息的集中存儲保護：對集中存儲的跨數(shù)據(jù)，身份認證，確保用戶身份合法，杜絕黑客入侵；采用高強度數(shù)據(jù)傳輸加密技術(shù)，保證了會話不被竊聽、竄改和偽造；對集中存儲的數(shù)據(jù)進行加密處理，防止數(shù)據(jù)的非法破解；采用多級管理員制衡機制，屏蔽超級管理員權(quán)限。

3.部隊系統(tǒng)數(shù)據(jù)信息的安全共享保護：提供了一種可控、安全、方便和快速的共享機制，確保數(shù)據(jù)只有指定的授權(quán)用戶才能看到，并對共享數(shù)據(jù)的權(quán)限、時效控制。

4.涉密文件的在線編輯：對集中存儲的涉密文檔進行安全的在線編輯，在內(nèi)存中開辟一段加密的空間，進行文檔的編輯，終端將不會殘留任何臨時文件。

第四篇：22、政務(wù)內(nèi)網(wǎng)安全解決方案

政務(wù)內(nèi)網(wǎng)安全解決方案

政務(wù)內(nèi)網(wǎng)安全解決方案

一、前言

隨著經(jīng)濟全球化、社會信息化的不斷發(fā)展，各行業(yè)各業(yè)都建設(shè)自己的網(wǎng)絡(luò)信息化系統(tǒng)，而如何使信息網(wǎng)絡(luò)系統(tǒng)不受黑客和工業(yè)間諜的入侵，已成為政府機構(gòu)、企事業(yè)單位信息化健康發(fā)展所要考慮的重要事情之一。

政府機構(gòu)從事的行業(yè)性質(zhì)是跟國家緊密聯(lián)系的，所涉及信息可以說都帶有機密性，所以其信息安全問題，如敏感信息的泄露、黑客的侵擾、網(wǎng)絡(luò)資源的非法使用以及計算機病毒等。都將對政府機構(gòu)信息安全構(gòu)成威脅。為保證政府網(wǎng)絡(luò)系統(tǒng)的安全，有必要對其網(wǎng)絡(luò)進行專門安全設(shè)計。

二、政府內(nèi)網(wǎng)安全需求分析

政府作為國家的重要部門，在進行信息網(wǎng)絡(luò)建設(shè)的時候，對安全性做了成熟的考慮，但是主要是基于傳統(tǒng)的網(wǎng)絡(luò)安全，如邊界防護設(shè)備、災(zāi)難備份、病毒防護等。隨著分散在各個內(nèi)網(wǎng)主機和服務(wù)器上的有價值的信息越來越多，內(nèi)網(wǎng)終端的安全和保密成為信息中心不得不重視的問題，也已經(jīng)成為國家各部委，政府機關(guān)等主要的關(guān)心和需要建設(shè)工作內(nèi)容之一。

政府單位內(nèi)網(wǎng)主要面臨的安全威脅有如下幾個方面：

1.如何防止未授權(quán)終端接入政務(wù)內(nèi)網(wǎng)，竊取政府內(nèi)部重要的文件？

2.內(nèi)外網(wǎng)隔離，如何防止雇員通過3G設(shè)備、ADSL非法連接互聯(lián)網(wǎng)？

3.如何限制雇員上班時間玩游戲、炒股、任意下載等，保證正常政務(wù)辦公效率？

4.如何迅速修復系統(tǒng)漏洞，保證電腦系統(tǒng)的安全？

5.如何對移動存儲介質(zhì)進行管控？

6.如何在促進文檔流通電子化的同時，保證政務(wù)網(wǎng)絡(luò)內(nèi)部眾多的敏感文件安全？

7.如何快速統(tǒng)計政府內(nèi)網(wǎng)中的IT資產(chǎn)，杜絕國有資產(chǎn)流失？

三、政務(wù)內(nèi)網(wǎng)安全解決方案

政府部門通過網(wǎng)絡(luò)防火墻、外部入侵控制、訪問控制等來解決政務(wù)外網(wǎng)所帶來的安全威脅，實現(xiàn)了政務(wù)外網(wǎng)的安全，但政務(wù)內(nèi)網(wǎng)安全仍不完善。需要一套切實可行的內(nèi)網(wǎng)安全管理系統(tǒng)來保證政府單位政務(wù)系統(tǒng)的正常運行和解決政務(wù)網(wǎng)中涉密數(shù)據(jù)安全問題。

網(wǎng)劍內(nèi)網(wǎng)安全綜合管理系統(tǒng)采用C/S與B/S相結(jié)合的模式，系統(tǒng)主要由終端安全子系統(tǒng)、移動存儲介質(zhì)管理子系統(tǒng)、網(wǎng)絡(luò)準入子系統(tǒng)以及文檔安全管理子系統(tǒng)4個模塊組成，這幾個-1-

模塊既可以單獨使用，也可以統(tǒng)一配備，從而全方位保證政府敏感信息安全，強力規(guī)范互聯(lián)網(wǎng)與內(nèi)網(wǎng)的使用，防止內(nèi)外網(wǎng)混用和非法入侵，盤點IT資產(chǎn)，防止國有資產(chǎn)流失。

1.針對非法及不安全終端接入政務(wù)內(nèi)網(wǎng)的問題，INSS可以通過接入用戶的強身份認

證、安全狀態(tài)檢測、802.1x協(xié)議以及arp協(xié)議阻斷等措施保證接入終端的合法性，確保內(nèi)部網(wǎng)絡(luò)的業(yè)務(wù)的正常運行；

2.針對員工非法接入互聯(lián)網(wǎng)問題，INSS通過違規(guī)外聯(lián)控制策略，實時檢測終端用戶

是否有連接互聯(lián)網(wǎng)的行為，并對違規(guī)終端報警、阻斷其聯(lián)網(wǎng)；

3.針對員工上班時間瀏覽娛樂網(wǎng)站、聊QQ、看電影、玩游戲問題，inss通過上網(wǎng)行

為訪問控制、進程限制、禁止安裝非法軟件等措施限制員工的行為；

4.對于無法及時發(fā)現(xiàn)系統(tǒng)漏洞，安裝補丁的問題，INSS能夠自動智能掃描檢測漏洞、下載終端機器缺少的漏洞補丁信息，保證系統(tǒng)安全，降低內(nèi)部信息泄密風險；

5.針對移動存儲介質(zhì)管理問題，INSS通過對移動存儲設(shè)備生命周期（注冊、授權(quán)、使用、掛失、解掛和注銷）的管理，有效的控制了非法移動設(shè)備接入到內(nèi)網(wǎng)；

6.針對政務(wù)內(nèi)網(wǎng)中涉密文件安全以及筆記本用戶外出辦公問題，INSS通過先進的文

件過濾驅(qū)動級的透明加解密技術(shù)，防止因黑客入侵、員工非法竊取文件、電腦丟失等原因?qū)е律婷苄畔⒌男孤?，從而有效保護了數(shù)據(jù)的安全性；

7.針對IT資產(chǎn)管理，防止國有資產(chǎn)流失問題，INSS提供了固定的軟硬件資產(chǎn)檔案管

理功能，解決了資產(chǎn)實物清查的繁瑣問題，并能夠防止國有資產(chǎn)流失。

方案價值

1.通過部署網(wǎng)劍內(nèi)網(wǎng)安全綜合管理子系統(tǒng)，能全面提升政務(wù)內(nèi)網(wǎng)安全防護能力和合規(guī)

管理水平，幫助用戶構(gòu)建起安全可信的合規(guī)內(nèi)網(wǎng)。

2.通過對政務(wù)內(nèi)網(wǎng)中各單位員工的上網(wǎng)行為管理，可以有效的提供員工日常的工作效

率，降低內(nèi)部信息泄露的風險。

3.能夠解決非法終端接入政務(wù)內(nèi)網(wǎng)，防止涉密信息泄露。

4.解決可移動存儲設(shè)備的監(jiān)管困難問題。

5.解決員工同時連接內(nèi)外網(wǎng)，導致終端不安全

6.實現(xiàn)了對內(nèi)部重要數(shù)據(jù)的監(jiān)管與保護。

聯(lián)系人：小曾

聯(lián)系手機：***

聯(lián)系電話：0591-88026604

QQ： 615410995

第五篇：內(nèi)網(wǎng)安全整體解決方案

內(nèi)網(wǎng)安全整體解決方案

內(nèi)網(wǎng)安全整體解決方案

二〇一八年五月

第 i 頁 內(nèi)網(wǎng)安全整體解決方案

目錄

第一章 總體方案設(shè)計......................................................................................................................................3 1.1 依據(jù)政策標準...............................................................................................................................................3 1.1.1 國內(nèi)政策和標準..................................................................................................................................3 1.1.2 國際標準及規(guī)范..................................................................................................................................5 1.2 設(shè)計原則.......................................................................................................................................................5 1.3 總體設(shè)計思想...............................................................................................................................................6 第二章 技術(shù)體系詳細設(shè)計..............................................................................................................................8 2.1 技術(shù)體系總體防護框架...............................................................................................................................8 2.2 內(nèi)網(wǎng)安全計算環(huán)境詳細設(shè)計.......................................................................................................................8 2.2.1 傳統(tǒng)內(nèi)網(wǎng)安全計算環(huán)境總體防護設(shè)計..............................................................................................8 2.2.2 虛擬化內(nèi)網(wǎng)安全計算環(huán)境總體防護設(shè)計........................................................................................16 2.3 內(nèi)網(wǎng)安全數(shù)據(jù)分析.....................................................................................................................................25 2.3.1 內(nèi)網(wǎng)安全風險態(tài)勢感知....................................................................................................................25 2.3.2 內(nèi)網(wǎng)全景流量分析............................................................................................................................25 2.3.3 內(nèi)網(wǎng)多源威脅情報分析....................................................................................................................27 2.4 內(nèi)網(wǎng)安全管控措施.....................................................................................................................................27 2.4.1 內(nèi)網(wǎng)安全風險主動識別....................................................................................................................27 2.4.2 內(nèi)網(wǎng)統(tǒng)一身份認證與權(quán)限管理........................................................................................................29 2.4.1 內(nèi)網(wǎng)安全漏洞統(tǒng)一管理平臺............................................................................................................32 第三章 內(nèi)網(wǎng)安全防護設(shè)備清單.....................................................................................................................33

第 ii 頁 內(nèi)網(wǎng)安全整體解決方案

第一章 總體方案設(shè)計

1.1 依據(jù)政策標準

1.1.1 國內(nèi)政策和標準

1．《中華人民共和國計算機信息系統(tǒng)安全保護條例》（國務(wù)院147號令）2．《國家信息化領(lǐng)導小組關(guān)于加強信息安全保障工作的意見》（中辦發(fā)〔2003〕27號）

3．《關(guān)于信息安全等級保護工作的實施意見》（公通字〔2004〕66號）4．《信息安全等級保護管理辦法》（公通字〔2007〕43號)5．《關(guān)于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》（公信安〔2007〕861號）

6．《信息安全等級保護備案實施細則》（公信安〔2007〕1360號）7．《公安機關(guān)信息安全等級保護檢查工作規(guī)范》（公信安〔2008〕736號）8．《關(guān)于加強國家電子政務(wù)工程建設(shè)項目信息安全風險評估工作的通知》（發(fā)改高技〔2008〕2071號）

9．《關(guān)于開展信息安全等級保護安全建設(shè)整改工作的指導意見》（公信安〔2009〕1429號）

10． 國資委、公安部《關(guān)于進一步推進中央企業(yè)信息安全等級保護工作的通知》（公通字[2010]70號文）

11． 《關(guān)于推動信息安全等級保護測評體系建設(shè)和開展等保測評工作的通知》（公信安[2010]303號文）

12． 國資委《中央企業(yè)商業(yè)秘密保護暫行規(guī)定》（國資發(fā)〔2010〕41號）13． 《GB/T 22239.1-XXXX 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求 第1部分 安全通用要求（征求意見稿）》

14． 《GB/T 22239.2-XXXX 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求

第 3 頁 內(nèi)網(wǎng)安全整體解決方案

第2部分：云計算安全擴展要求（征求意見稿）》

15． 《GB/T 25070.2-XXXX 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護設(shè)計技術(shù)要求 第2部分：云計算安全要求（征求意見稿）》

16． 《GA/T 20—XXXX 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護定級指南（征求意見稿）》

17． 《信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求》 18． 《信息安全技術(shù) 信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求》 19． 《信息安全技術(shù) 信息系統(tǒng)安全等級保護定級指南》 20． 《信息安全技術(shù) 信息系統(tǒng)安全等級保護實施指南》 21． 《計算機信息系統(tǒng) 安全等級保護劃分準則》 22． 《信息安全技術(shù) 信息系統(tǒng)安全等級保護測評要求》 23． 《信息安全技術(shù) 信息系統(tǒng)安全等級保護測評過程指南》 24． 《信息安全技術(shù) 信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求》 25． 《信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》

26． 《信息安全技術(shù) 信息系統(tǒng)安全通用技術(shù)要求（技術(shù)類）》 27． 《信息安全技術(shù) 信息系統(tǒng)物理安全技術(shù)要求（技術(shù)類）》 28． 《信息安全技術(shù) 公共基礎(chǔ)設(shè)施 PKI系統(tǒng)安全等級保護技術(shù)要求》 29． 《信息安全技術(shù) 信息系統(tǒng)安全管理要求（管理類）》 30． 《信息安全技術(shù) 信息系統(tǒng)安全工程管理要求（管理類）》 31． 《信息安全技術(shù) 信息安全風險評估規(guī)范》 32． 《信息技術(shù) 安全技術(shù) 信息安全事件管理指南》 33． 《信息安全技術(shù) 信息安全事件分類分級指南》 34． 《信息安全技術(shù) 信息系統(tǒng)安全等級保護體系框架》 35． 《信息安全技術(shù) 信息系統(tǒng)安全等級保護基本模型》

第 4 頁 內(nèi)網(wǎng)安全整體解決方案

36． 《信息安全技術(shù) 信息系統(tǒng)安全等級保護基本配置》

37． 《信息安全技術(shù) 應(yīng)用軟件系統(tǒng)安全等級保護通用技術(shù)指南》 38． 《信息安全技術(shù) 應(yīng)用軟件系統(tǒng)安全等級保護通用測試指南》 39． 《信息安全技術(shù) 信息系統(tǒng)安全管理測評》

40． 《衛(wèi)生行業(yè)信息安全等級保護工作的指導意見》

1.1.2 國際標準及規(guī)范

1．國際信息安全ISO27000系列 2．國際服務(wù)管理標準ISO20000 3．ITIL最佳實踐 4．企業(yè)內(nèi)控COBIT 1.2 設(shè)計原則

隨著單位信息化建設(shè)的不斷加強，某單位內(nèi)網(wǎng)的終端計算機數(shù)量還在不斷增加，網(wǎng)絡(luò)中的應(yīng)用日益復雜。某單位信息安全部門保障著各種日常工作的正常運行。

目前為了維護網(wǎng)絡(luò)內(nèi)部的整體安全及提高系統(tǒng)的管理控制，需要對單位內(nèi)網(wǎng)辦公終端、服務(wù)器、信息系統(tǒng)、關(guān)鍵數(shù)據(jù)、網(wǎng)絡(luò)設(shè)備等統(tǒng)一進行安全防護，加強對非法外聯(lián)、終端入侵、病毒傳播、數(shù)據(jù)失竊等極端情況的風險抑制措施。同時對于內(nèi)部業(yè)務(wù)系統(tǒng)的服務(wù)器進行定向加固，避免由于外部入侵所導致的主機失陷

第 5 頁 內(nèi)網(wǎng)安全整體解決方案 等安全事件的發(fā)生

如上圖所示，本項目的設(shè)計原則具體包括：

? 整體設(shè)計，重點突出原則 ? 縱深防御原則

? 追求架構(gòu)先進、技術(shù)成熟，擴展性強原則 ? 統(tǒng)一規(guī)劃，分布實施原則 ? 持續(xù)安全原則 ? 可視、可管、可控原則

1.3 總體設(shè)計思想

如上圖所示，本方案依據(jù)國家信息安全相關(guān)政策和標準，堅持管理和技術(shù)并重的原則，將技術(shù)和管理措施有機的結(jié)合，建立信息系統(tǒng)綜合防護體系，通過“1341”的設(shè)計思想進行全局規(guī)劃，具體內(nèi)容：

第 6 頁 內(nèi)網(wǎng)安全整體解決方案

? 一個體系

以某單位內(nèi)網(wǎng)安全為核心、以安全防護體系為支撐，從安全風險考慮，建立符合用戶內(nèi)網(wǎng)實際場景的安全基線，通過構(gòu)建縱深防御體系、內(nèi)部行為分析、外部情報接入，安全防護接入與虛擬主機防護接入等能力，構(gòu)建基于虛擬化云安全資源池+傳統(tǒng)硬件安全設(shè)備的下一代內(nèi)網(wǎng)安全防御體系。

? 三道防線

結(jié)合縱深防御的思想，從內(nèi)網(wǎng)安全計算環(huán)境、內(nèi)網(wǎng)安全數(shù)據(jù)分析、內(nèi)網(wǎng)安全管控手段三個層次，從用戶實際業(yè)務(wù)出發(fā)，構(gòu)建統(tǒng)一安全策略和防護機制，實現(xiàn)內(nèi)網(wǎng)核心系統(tǒng)和內(nèi)網(wǎng)關(guān)鍵數(shù)據(jù)的風險可控。

? 四個安全能力

采用主動防御安全體系框架，結(jié)合業(yè)務(wù)和數(shù)據(jù)安全需求，實現(xiàn)“預(yù)測、防御、檢測、響應(yīng)”四種安全能力，實現(xiàn)業(yè)務(wù)系統(tǒng)的可管、可控、可視及可持續(xù)。

? 預(yù)測能力：通過運用大數(shù)據(jù)技術(shù)對內(nèi)部的安全數(shù)據(jù)和外部的威脅情報進行主動探索分析和評估具體包括行為建模與分析、安全基線與態(tài)勢分析、能夠使問題出現(xiàn)前提早發(fā)現(xiàn)問題，甚至遇見可能侵襲的威脅，隨之調(diào)整安全防護策略來應(yīng)對。

? 防御能力：采用加固和隔離系統(tǒng)降低攻擊面，限制黑客接觸系統(tǒng)、發(fā)現(xiàn)漏洞和執(zhí)行惡意代碼的能力，并通過轉(zhuǎn)移攻擊手段使攻擊者難以定位真正的系統(tǒng)核心以及可利用漏洞，以及隱藏混淆系統(tǒng)接口信息(如創(chuàng)建虛假系統(tǒng)、漏洞和信息)，此外，通過事故預(yù)防和安全策略合規(guī)審計的方式通過統(tǒng)一的策略管理和策略的聯(lián)動，防止黑客未授權(quán)而進入系統(tǒng)，并判斷現(xiàn)有策略的合規(guī)性并進行相應(yīng)的優(yōu)化設(shè)置。

? 檢測能力：通過對業(yè)務(wù)、數(shù)據(jù)和基礎(chǔ)設(shè)施的全面檢測，結(jié)合現(xiàn)有的安全策略提出整改建議，與網(wǎng)絡(luò)運維系統(tǒng)聯(lián)動實現(xiàn)安全整改和策略變更后，并進行持續(xù)監(jiān)控，結(jié)合外部安全情況快速發(fā)現(xiàn)安全漏洞并進行響應(yīng)。

? 響應(yīng)能力：與網(wǎng)絡(luò)運維系統(tǒng)進行對接，實現(xiàn)安全聯(lián)動，出現(xiàn)安全漏洞時在短時間內(nèi)，進行安全策略的快速調(diào)整，將被感染的系統(tǒng)和賬戶進行隔離，通過回顧分析事件完整過程，利用持續(xù)監(jiān)控所獲取的數(shù)據(jù)，解決相應(yīng)安全問題。

第 7 頁 內(nèi)網(wǎng)安全整體解決方案

第二章 技術(shù)體系詳細設(shè)計

2.1 技術(shù)體系總體防護框架

在進行內(nèi)網(wǎng)安全防護技術(shù)體系詳細設(shè)計時，充分考慮某單位內(nèi)部網(wǎng)絡(luò)面臨的威脅風險和安全需求，并遵循《信息系統(tǒng)等級保護基本要求》、《GB/T 22239.1-XXXX 信息安全技術(shù)，網(wǎng)絡(luò)安全等級保護基本要求：第1部分-安全通用要求（征求意見稿）》，通過對內(nèi)網(wǎng)安全計算環(huán)境、內(nèi)網(wǎng)安全數(shù)據(jù)分析、內(nèi)網(wǎng)安全管控手段等各種防護措施的詳細設(shè)計，形成“信息安全技術(shù)體系三重防護”的信息安全技術(shù)防護體，達到《信息系統(tǒng)等級保護基本要求》、《GB/T 22239.1-XXXX 信息安全技術(shù)，網(wǎng)絡(luò)安全等級保護基本要求：第1部分-安全通用要求（征求意見稿）》切實做到內(nèi)部網(wǎng)絡(luò)安全的風險可控。

三重防護主要包括：內(nèi)網(wǎng)安全計算環(huán)境、內(nèi)網(wǎng)安全數(shù)據(jù)分析、內(nèi)網(wǎng)安全管控措施。

2.2 內(nèi)網(wǎng)安全計算環(huán)境詳細設(shè)計

2.2.1 傳統(tǒng)內(nèi)網(wǎng)安全計算環(huán)境總體防護設(shè)計

第 8 頁 內(nèi)網(wǎng)安全整體解決方案

如上圖所示，在內(nèi)網(wǎng)安全計算環(huán)境方面結(jié)合互聯(lián)網(wǎng)與辦公網(wǎng)的攻擊，圍繞網(wǎng)絡(luò)、主機、應(yīng)用和數(shù)據(jù)層實現(xiàn)安全防護，具體內(nèi)容包括：

? 網(wǎng)絡(luò)層安全防護設(shè)計

1、通過FW或vFW中的FW、AV、IPS模塊實現(xiàn)網(wǎng)絡(luò)層訪問控制、惡意代碼防護、入侵防御。

2、在各個內(nèi)網(wǎng)安全域邊界處，部署防火墻實現(xiàn)域邊界的網(wǎng)絡(luò)層訪問控制。

3、在內(nèi)網(wǎng)邊界處部署流量監(jiān)控設(shè)備，實現(xiàn)全景網(wǎng)絡(luò)流量監(jiān)控與審計，并對數(shù)據(jù)包進行解析，通過會話時間、協(xié)議類型等判斷業(yè)務(wù)性能和交互響應(yīng)時間。

? 主機層安全防護與設(shè)計

1、在各個區(qū)域的核心交換處部署安全沙箱，實現(xiàn)主機入侵行為和未知威脅分析與預(yù)警。

2、通過自適應(yīng)安全監(jiān)測系統(tǒng)，對主機操作系統(tǒng)類型、版本、進程、賬號權(quán)限、反彈shell、漏洞威脅等進行全面的監(jiān)控與預(yù)警。? 應(yīng)用層安全防護與設(shè)計

1、在通過外部服務(wù)域部署WAF設(shè)備實現(xiàn)應(yīng)用層基于入侵特征識別的安全防護

第 9 頁 內(nèi)網(wǎng)安全整體解決方案

2、通過自適應(yīng)安全監(jiān)測系統(tǒng)，對應(yīng)用支撐系統(tǒng)的類型、版本、框架路徑、訪問權(quán)限、漏洞威脅等進行全面的監(jiān)控與預(yù)警。? 數(shù)據(jù)層安全防護與設(shè)計

1、在數(shù)據(jù)資源域邊界處部署數(shù)據(jù)庫防護墻實現(xiàn)敏感信息的訪問控制

2、在數(shù)據(jù)資源域邊界處部署數(shù)據(jù)庫審計設(shè)備實現(xiàn)數(shù)據(jù)庫的操作審計。

3、在互聯(lián)網(wǎng)接入域部署VPN設(shè)備，實現(xiàn)對敏感數(shù)據(jù)傳輸通道的加密

2.2.1.1 內(nèi)網(wǎng)邊界安全

2.2.1.1.1 內(nèi)網(wǎng)邊界隔離

嚴格控制進出內(nèi)網(wǎng)信息系統(tǒng)的訪問，明確訪問的來源、訪問的對象及訪問的類型，確保合法訪問的正常進行，杜絕非法及越權(quán)訪問；同時有效預(yù)防、發(fā)現(xiàn)、處理異常的網(wǎng)絡(luò)訪問，確保該區(qū)域信息網(wǎng)絡(luò)正常訪問活動。2.2.1.1.1 內(nèi)網(wǎng)惡意代碼防范

病毒、蠕蟲、木馬、流氓軟件等各類惡意代碼已經(jīng)成為互聯(lián)網(wǎng)接入所面臨的重要威脅之一，面對越發(fā)復雜的網(wǎng)絡(luò)環(huán)境，傳統(tǒng)的網(wǎng)絡(luò)防病毒控制體系沒有從引入威脅的最薄弱環(huán)節(jié)進行控制，即便采取一些手段加以簡單的控制，也仍然不能消除來自外界的繼續(xù)攻擊，短期消滅的危害仍會繼續(xù)存在。為了解決上述問題，對網(wǎng)絡(luò)安全實現(xiàn)全面控制，一個有效的控制手段應(yīng)勢而生：從內(nèi)網(wǎng)邊界入手，切斷傳播途徑，實現(xiàn)網(wǎng)關(guān)級的過濾控制。

建議在該區(qū)域部署防病毒網(wǎng)關(guān)，對進出的網(wǎng)絡(luò)數(shù)據(jù)內(nèi)容進行病毒、惡意代碼掃描和和過濾處理，并提供防病毒引擎和病毒庫的自動在線升級，徹底阻斷病毒、蠕蟲及各種惡意代碼向數(shù)據(jù)中心或辦公區(qū)域網(wǎng)絡(luò)傳播 2.2.1.1.2 內(nèi)網(wǎng)系統(tǒng)攻擊防護

網(wǎng)絡(luò)入侵防護系統(tǒng)作為一種在線部署的產(chǎn)品，提供主動的、實時的防護，其設(shè)計目標旨在準確監(jiān)測網(wǎng)絡(luò)異常流量，自動對各類攻擊性的流量，IPS系統(tǒng)工作在第二層到第七層，通常使用特征匹配和異常分析的方法來識別各種網(wǎng)絡(luò)攻擊行為，尤其是應(yīng)用層的威脅進行實時阻斷，而不是簡單地在監(jiān)測到惡意流量的同時或之后才發(fā)出告警。

第 10 頁 內(nèi)網(wǎng)安全整體解決方案

IPS是通過直接串聯(lián)到網(wǎng)絡(luò)鏈路中而實現(xiàn)這一功能的，即IPS接收到外部數(shù)據(jù)流量時，如果檢測到攻擊企圖，就會自動地將攻擊包丟掉或采取措施將攻擊源阻斷，而不把攻擊流量放進內(nèi)部網(wǎng)絡(luò)。IPS以在線串聯(lián)方式部署實現(xiàn)對檢測到的各種攻擊行為進行直接阻斷并生成日志報告和報警信息。2.2.1.1.3 內(nèi)網(wǎng)信息隔離防護

建議在內(nèi)網(wǎng)核心業(yè)務(wù)區(qū)的邊界部署安全隔離網(wǎng)閘，為了保證數(shù)據(jù)安全，高密級網(wǎng)與低密級網(wǎng)絡(luò)之間，要求數(shù)據(jù)只能從低密級網(wǎng)絡(luò)流向高密級網(wǎng)絡(luò)。為解決高密級網(wǎng)絡(luò)通過連接環(huán)境泄密問題設(shè)計的安全隔離與信息單項導入系統(tǒng)（即安全隔離網(wǎng)閘）。該設(shè)備由于其物理單向無反饋環(huán)境、基于數(shù)據(jù)的單項導入，使黑客無法通過該套系統(tǒng)進行入侵和探測，同時行為得不到任何反饋信息，在為用戶提供絕對單向無反饋傳輸功能的同時，為用戶提供高級別的網(wǎng)絡(luò)攻擊安全防護解決方案。

2.2.1.1 內(nèi)網(wǎng)主機安全

2.2.1.1.1 內(nèi)網(wǎng)用戶行為管控

上網(wǎng)行為管理系統(tǒng)是為滿足單位內(nèi)部網(wǎng)絡(luò)行為管理和內(nèi)容審計的專業(yè)產(chǎn)品。系統(tǒng)不僅具有防止非法信息傳播、敏感信息泄露，實時監(jiān)控、日志追溯，網(wǎng)絡(luò)資源管理，還具有強大的用戶管理、報表統(tǒng)計分析功能。

上網(wǎng)行為管理具有高效實時的網(wǎng)絡(luò)數(shù)據(jù)采集能力、智能的信息處理能力、強大的內(nèi)容審計分析能力、精細的行為管理能力，是一款高性能、智能靈活、易于管理和擴展的上網(wǎng)行為管理產(chǎn)品。2.2.1.1.2 內(nèi)網(wǎng)非授權(quán)用戶準入

在信息化越來越簡便的背景下，任何接入網(wǎng)絡(luò)的設(shè)備和人員都有可能對內(nèi)網(wǎng)信息資源構(gòu)成威脅，因此針對辦公計算機以及分支機構(gòu)接入的系統(tǒng)安全以及訪問區(qū)域管理顯的尤為重要，如果出現(xiàn)安全事故或越權(quán)訪問的情況，將會嚴重影響整體業(yè)務(wù)系統(tǒng)運行安全。

由于信息化程度較高，終端點數(shù)較多，對IT軟硬件的資產(chǎn)管理及故障維護如果單純靠人工施行難度和工作量都比較大且效率比較低，同時如果員工存在對管

第 11 頁 內(nèi)網(wǎng)安全整體解決方案

理制度執(zhí)行不到位的情況出現(xiàn)，就迫切需要通過技術(shù)手段規(guī)范員工的入網(wǎng)行為。

為加強網(wǎng)絡(luò)信息安全管理以及內(nèi)部PC的安全管理，提高內(nèi)網(wǎng)辦公效率，應(yīng)建立一套終端準入管理系統(tǒng)，重點解決以下問題：

入網(wǎng)終端注冊和認證化

采用的是雙實名制認證方式，其包含對終端機器的認證和使用人員的認證，終端注冊的目的是為了方便管理員了解入網(wǎng)機器是否為合法的終端，認證的目的是使用終端的人身份的合法性，做到人機一一對應(yīng)，一旦出現(xiàn)安全事故，也便于迅速定位終端和人。

違規(guī)終端不準入網(wǎng) 違規(guī)終端定義

外來終端：外部訪客使用的終端，或者為非內(nèi)部人員使用的、不屬于內(nèi)部辦公用終端（員工私人終端等）；

違規(guī)終端：未能通過身份合法性、安全設(shè)置合規(guī)性檢查的終端。

入網(wǎng)終端安全修復合規(guī)化

終端入網(wǎng)時若不符合單位要求的安全規(guī)范，則會被暫時隔離，無法訪問業(yè)務(wù)網(wǎng)絡(luò)，待將問題修復符合單位安全規(guī)范后才能正常訪問單位網(wǎng)絡(luò)。

內(nèi)網(wǎng)基于用戶的訪問控制

內(nèi)網(wǎng)基于用戶的訪問控制：可以通過用戶組（角色）的方式定義不同的訪問權(quán)限，如內(nèi)部員工能夠訪問全網(wǎng)資源，來賓訪客只允許訪問有限的網(wǎng)絡(luò)資源。2.2.1.1.3 內(nèi)網(wǎng)終端安全防護

建議部署終端安全管理系統(tǒng)，為數(shù)據(jù)中心運維人員提供終端安全準入，防止運維人員終端自身的安全問題影響數(shù)據(jù)中心業(yè)務(wù)系統(tǒng)。在具備補丁管理、802.1x準入控制、存儲介質(zhì)（U盤等）管理、非法外聯(lián)管理、終端安全性檢查、終端狀態(tài)監(jiān)控、終端行為監(jiān)控、安全報警等功能基礎(chǔ)上，增加風險管理和主動防范機制，具備完善的違規(guī)監(jiān)測和風險分析，實現(xiàn)有效防護和控制，降低風險，并指導持續(xù)改進和完善防護策略，并具備終端敏感信息檢查功能，支持終端流量監(jiān)控，非常

第 12 頁 內(nèi)網(wǎng)安全整體解決方案

適合于對數(shù)據(jù)中心運維終端的安全管理。

終端安全管理系統(tǒng)，提供針對Windows桌面終端的軟硬件資產(chǎn)管理、終端行為監(jiān)管、終端安全防護、非法接入控制、非法外聯(lián)監(jiān)控、補丁管理等功能，采用統(tǒng)一策略下發(fā)并強制策略執(zhí)行的機制，實現(xiàn)對網(wǎng)絡(luò)內(nèi)部終端系統(tǒng)的管理和維護，從而有效地保護用戶計算機系統(tǒng)安全和信息數(shù)據(jù)安全。2.2.1.1.4 內(nèi)網(wǎng)服務(wù)器安全加固

建議在內(nèi)網(wǎng)所有服務(wù)器部署安全加固組件，針對內(nèi)外網(wǎng)IP、對內(nèi)對外端口、進程、域名、賬號、主機信息、web容器、第三方組件、數(shù)據(jù)庫、安全與業(yè)務(wù)分組信息進行服務(wù)器信息匯總。主動對服務(wù)器進行系統(tǒng)漏洞補丁識別、管理及修復、系統(tǒng)漏洞發(fā)現(xiàn)、識別、管理及修復、弱口令漏洞識別及修復建議、高危賬號識別及管理、應(yīng)用配置缺陷風險識別及管理。7*24小時對服務(wù)器進行登錄監(jiān)控、完整性監(jiān)控、進程監(jiān)控、系統(tǒng)資源監(jiān)控、性能監(jiān)控、操作審計。通過對服務(wù)器整體威脅分析、病毒檢測與查殺、反彈shell識別處理、異常賬號識別處理、端口掃描檢測、日志刪除、登錄/進程異常、系統(tǒng)命令篡改等入侵事件發(fā)現(xiàn)及處理。最終完成對服務(wù)器立體化的多維度安全加固。2.2.1.1.5 內(nèi)網(wǎng)服務(wù)器安全運維

由于設(shè)備眾多、系統(tǒng)操作人員復雜等因素，導致越權(quán)訪問、誤操作、資源濫用、疏忽泄密等時有發(fā)生。黑客的惡意訪問也有可能獲取系統(tǒng)權(quán)限，闖入部門或單位內(nèi)部網(wǎng)絡(luò)，造成不可估量的損失。終端的賬號和口令的安全性，也是安全管理中難以解決的問題。如何提高系統(tǒng)運維管理水平，滿足相關(guān)法規(guī)的要求，防止黑客的入侵和惡意訪問，跟蹤服務(wù)器上用戶行為，降低運維成本，提供控制和審計依據(jù)，越來越成為內(nèi)部網(wǎng)絡(luò)控制中的核心安全問題。

安全運維審計是一種符合4A(認證Authentication、賬號Account、授權(quán)Authorization、審計Audit)要求的統(tǒng)一安全管理平臺，在網(wǎng)絡(luò)訪問控制系統(tǒng)（如：防火墻、帶有訪問控制功能的交換機）的配合下，成為進入內(nèi)部網(wǎng)絡(luò)的一個檢查點，攔截對目標設(shè)備的非法訪問、操作行為。

運維審計設(shè)備能夠極大的保護客戶內(nèi)部網(wǎng)絡(luò)設(shè)備及服務(wù)器資源的安全性，使得客戶的網(wǎng)絡(luò)管理合理化、專業(yè)化。

第 13 頁 內(nèi)網(wǎng)安全整體解決方案

建議在核心交換機上以旁路方式部署一臺運維審計系統(tǒng)。運維審計（堡壘主機）系統(tǒng)，為運維人員提供統(tǒng)一的運維操作審計。通過部署運維審計設(shè)備能夠?qū)崿F(xiàn)對所有的網(wǎng)絡(luò)設(shè)備，網(wǎng)絡(luò)安全設(shè)備，應(yīng)用系統(tǒng)的操作行為全面的記錄，包括登錄IP、登錄用戶、登錄時間、操作命令全方位細粒度的審計。同時支持過程及行為回放功能，從而使安全問題得到追溯，提供有據(jù)可查的功能和相關(guān)能力。

2.2.1.1 內(nèi)網(wǎng)應(yīng)用安全

2.2.1.1.1 內(nèi)網(wǎng)應(yīng)用層攻擊防護

建議內(nèi)網(wǎng)信息系統(tǒng)邊界部署WEB應(yīng)用防火墻（WAF）設(shè)備，對Web應(yīng)用服務(wù)器進行保護，即對網(wǎng)站的訪問進行7X24小時實時保護。通過Web應(yīng)用防火墻的部署，可以解決WEB應(yīng)用服務(wù)器所面臨的各類網(wǎng)站安全問題，如：SQL注入攻擊、跨站攻擊（XSS攻擊，俗稱釣魚攻擊）、惡意編碼(網(wǎng)頁木馬)、緩沖區(qū)溢出、應(yīng)用層DDOS攻擊等等。防止網(wǎng)頁篡改、被掛木馬等嚴重影響形象的安全事件發(fā)生。

WAF作為常見應(yīng)用層防護設(shè)備，在防護來自于外網(wǎng)的黑客攻擊外，同樣可以防護來自內(nèi)網(wǎng)的跳板型滲透攻擊，當內(nèi)部終端或服務(wù)器被黑客攻陷后，為防止通過跳板機對內(nèi)網(wǎng)其他應(yīng)用系統(tǒng)進行內(nèi)網(wǎng)滲透，通過WAF防攻擊模塊，可以實時阻斷任何應(yīng)用層攻擊行為，保護內(nèi)部系統(tǒng)正常運行

2.2.1.2 內(nèi)網(wǎng)數(shù)據(jù)安全

2.2.1.2.1 內(nèi)網(wǎng)數(shù)據(jù)防泄密

建議在內(nèi)網(wǎng)環(huán)境中部署數(shù)據(jù)防泄密系統(tǒng)，保持某單位現(xiàn)有的工作模式和員工操作習慣不變，不改變?nèi)魏挝募袷健⒉环忾]網(wǎng)絡(luò)、不改變網(wǎng)絡(luò)結(jié)構(gòu)、不封閉計算機各種豐富的外設(shè)端口、不改變復雜的應(yīng)用服務(wù)器集群環(huán)境，實現(xiàn)對企業(yè)內(nèi)部數(shù)據(jù)強制透明加解密，員工感覺不到數(shù)據(jù)存在，保證辦公效率，實現(xiàn)數(shù)據(jù)防泄密管理，形成“對外受阻，對內(nèi)無礙”的管理效果。

員工未經(jīng)授權(quán)，不管以任何方式將數(shù)據(jù)帶離公司的環(huán)境，都無法正常查看。如：加密文件通過MSN、QQ、電子郵件、移動存儲設(shè)備等方式傳輸?shù)焦臼跈?quán)范圍以外（公司外部或公司內(nèi)沒有安裝綠盾終端的電腦），那么將無法正常打開

第 14 頁 內(nèi)網(wǎng)安全整體解決方案

使用，顯示亂碼，并且文件始終保持加密狀態(tài)。只有經(jīng)過公司審批后，用戶才可在授予的權(quán)限范圍內(nèi)，訪問該文件。

1)在不改變員工任何操作習慣、不改變硬件環(huán)境和網(wǎng)絡(luò)環(huán)境、不降低辦公效率，員工感覺不到數(shù)據(jù)被加密的存在，實現(xiàn)了單位數(shù)據(jù)防泄密管理；

2)員工不管通過QQ、mail、U 盤等各種方式，將單位內(nèi)部重要文件發(fā)送出去，數(shù)據(jù)均是加密狀態(tài)；

3)存儲著單位重要數(shù)據(jù)的U 盤、光盤不慎丟失后，沒有在公司的授權(quán)環(huán)境下打開均是加密狀態(tài)；

4)員工出差辦公不慎將筆記本丟失，無單位授予的合法口令，其他人無法閱讀筆記本內(nèi)任何數(shù)據(jù)； 2.2.1.2.2 內(nèi)網(wǎng)數(shù)據(jù)庫安全審計

建議在內(nèi)部信息系統(tǒng)部署數(shù)據(jù)庫審計系統(tǒng)，對多種類數(shù)據(jù)庫的操作行為進行采集記錄，探測器通過旁路接入，在相應(yīng)的交換機上配置端口鏡像，對內(nèi)部人員訪問數(shù)據(jù)庫的數(shù)據(jù)流進行鏡像采集并保存信息日志。數(shù)據(jù)庫審計系統(tǒng)能夠詳細記錄每次操作的發(fā)生時間、數(shù)據(jù)庫類型、源MAC地址、目的MAC地址、源端口、目標端口、數(shù)據(jù)庫名、用戶名、客戶端IP、服務(wù)器端IP、操作指令、操作返回狀態(tài)值。數(shù)據(jù)庫審計系統(tǒng)支持記錄的行為包括：

數(shù)據(jù)操作類（如select、insert、delete、update等）結(jié)構(gòu)操作類（如create、drop、alter等）

事務(wù)操作類（如Begin Transaction、Commit Transaction、Rollback Transaction 等）

用戶管理類以及其它輔助類（如視圖、索引、過程等操作）等數(shù)據(jù)庫訪問行 為，并對違規(guī)操作行為產(chǎn)生報警事件。

第 15 頁 內(nèi)網(wǎng)安全整體解決方案

2.2.2 虛擬化內(nèi)網(wǎng)安全計算環(huán)境總體防護設(shè)計

2.2.2.1 劃分虛擬安全域

圖中提供安全組、連接策略兩種方式。安全組類似白名單方式，而連接策略

第 16 頁 內(nèi)網(wǎng)安全整體解決方案

類似黑名單方式。通過添加具體的訪問控制規(guī)則，支持任意虛擬機之間的訪問控制。靈活的配置方式可以滿足用戶所有的訪問控制類需求。

在原生虛擬化環(huán)境中部署的虛擬防火墻可以通過服務(wù)鏈技術(shù)，實現(xiàn)和SDN網(wǎng)絡(luò)控制器的接口、安全控制平臺的接口，并進一步抽象化、池化，實現(xiàn)安全設(shè)備的自動化部署。同時，在部署時通過安全管理策略的各類租戶可以獲得相應(yīng)安全設(shè)備的安全管理權(quán)限、達成分權(quán)分域管理的目標。

在安全控制平臺部署期的過渡階段，可以采用手工配置流控策略的模式，實現(xiàn)無縫過渡。在這種部署模式下，安全設(shè)備的部署情況與基于SDN技術(shù)的集成部署模式相似，只是所有在使用SDN控制器調(diào)度流量處，都需要使用人工的方式配置網(wǎng)絡(luò)設(shè)備，使之執(zhí)行相應(yīng)的路由或交換指令。

以虛擬防火墻防護為例，可以由管理員通過控制器下發(fā)計算節(jié)點到安全節(jié)點中各個虛擬網(wǎng)橋的流表，依次將流量牽引到虛擬防火墻設(shè)備即可。

這一切的配置都是通過統(tǒng)一管理界面實現(xiàn)引流、策略下發(fā)的自動化，除了這些自動化操作手段，統(tǒng)一管理平臺還提供可視化展示功能，主要功能有，支持虛擬機資產(chǎn)發(fā)現(xiàn)、支持對流量、應(yīng)用、威脅的統(tǒng)計，支持對接入服務(wù)的虛擬機進行全方位的網(wǎng)絡(luò)監(jiān)控支持會話日志、系統(tǒng)日志、威脅指數(shù)等以邏輯動態(tài)拓撲圖的方式展示。

? 南北向流量訪問控制

第 17 頁 內(nèi)網(wǎng)安全整體解決方案

在云平臺內(nèi)部邊界部署2套邊界防火墻用于后臺服務(wù)域與其他域的邊界訪問控制（即南北向流量的訪問控制）。防火墻設(shè)置相應(yīng)的訪問控制策略，根據(jù)數(shù)據(jù)包的源地址、目的地址、傳輸層協(xié)議、請求的服務(wù)等，決定該數(shù)據(jù)包是否可以進出云計算平臺，并確定該數(shù)據(jù)包可以訪問的客體資源。

? 東西向流量訪問控制

虛擬化場景中的關(guān)鍵安全能力組件集合了ACL、防火墻、IPS、Anti-DDoS、DPI、AV等多項功能，vDFW采用統(tǒng)一安全引擎，將應(yīng)用識別、內(nèi)容檢測、URL過濾、入侵防御、病毒查殺等處理引擎合并歸一，實現(xiàn)對數(shù)據(jù)中心內(nèi)部東西向流量的報文進行高效的一次性處理。不僅如此，vDFW支持多虛一的集群模式，突破性能瓶頸的限制，以達到與數(shù)據(jù)中心防護需求最佳匹配的效果。當數(shù)據(jù)中心檢測平臺發(fā)現(xiàn)特定虛機發(fā)起內(nèi)部威脅攻擊流量后，管理員只需設(shè)置相關(guān)策略，由安全控制器調(diào)度，即可將策略統(tǒng)一下發(fā)到整個數(shù)據(jù)中心內(nèi)部相關(guān)對應(yīng)虛擬路由器組件上，將可疑流量全部牽引至vDFW進行檢測防護與內(nèi)容過濾。針對數(shù)據(jù)中心內(nèi)部各類安全域、各個部門、采用的按需配置、差異化、自適應(yīng)的安全策略。

2.2.2.2 內(nèi)網(wǎng)安全資源池

與數(shù)據(jù)中心中的計算、存儲和網(wǎng)絡(luò)資源相似，各種形態(tài)、各種類型的安全產(chǎn)品都能通過控制和數(shù)據(jù)平面的池化技術(shù)，形成一個個具有某種檢測或防護能力的安全資源池。當安全設(shè)備以硬件存在的時候（如硬件虛擬化和硬件原生引擎系統(tǒng)），可直接連接硬件 SDN 網(wǎng)絡(luò)設(shè)備接入資源池；當安全設(shè)備以虛擬機形態(tài)存在的時候（如虛擬機形態(tài)和硬件內(nèi)置虛擬機形態(tài)），可部署在通用架構(gòu)（如 x86）的服務(wù)器中，連接到虛擬交換機上，由端點的 agent 統(tǒng)一做生命周期管理和網(wǎng)絡(luò)資源管理?？刂破脚_通過安全應(yīng)用的策略體現(xiàn)出處置的智能度，通過資源池體現(xiàn)出處置的敏捷度。軟件定義的安全資源池可以讓整套安全體系迸發(fā)出強大的活力，極大地提高了系統(tǒng)的整體防護效率。

通過安全資源管理與調(diào)度平臺，實現(xiàn)與安全資源的對接，包括vFW、vIPS、vWAF等，各個安全子域的邊界防護，通過安全資源管理與調(diào)度平臺，通過策略路由的方式，實現(xiàn)服務(wù)鏈的管理和策略的編排各安全域邊界之間均采用虛擬防火墻作為邊界。

第 18 頁 內(nèi)網(wǎng)安全整體解決方案

如上圖所示，在安全子域中將防火墻、WAF、LBS、AV、主機加固等均進行虛擬化資源池配置，通過安全管理子域中的安全控制器根據(jù)各子域的實際安全需求進行資源調(diào)用。針對各個子域內(nèi)的邊界訪問控制，由安全資源與管理平臺調(diào)用防火墻池化資源，分別針對各子域的訪問請求設(shè)置相應(yīng)的訪問控制策略，根據(jù)數(shù)據(jù)包的源地址、目的地址、傳輸層協(xié)議、請求的服務(wù)等，決定該數(shù)據(jù)包是否可以進出本區(qū)域，并確定該數(shù)據(jù)包可以訪問的客體資源。

由此可見，安全資源池對外體現(xiàn)的是多種安全能力的組合、疊加和伸縮，可應(yīng)用于云計算環(huán)境，也可應(yīng)用于傳統(tǒng)環(huán)境，以抵御日益頻繁的內(nèi)外部安全威脅。當然，在云環(huán)境中，安全資源池不僅可以解決云安全的落地，而且能發(fā)揮虛擬化和 SDN 等先進技術(shù)的優(yōu)勢，實現(xiàn)最大限度的軟件定義安全。

2.2.2.3 安全域訪問控制

為提升虛擬主機及網(wǎng)絡(luò)的安全性，針對虛擬網(wǎng)絡(luò)安全邊界設(shè)定訪問控制策略，對于縱向流量、橫向流量進行基于IP與端口的訪問路徑限制。

? 對于虛擬網(wǎng)絡(luò)邊界進行區(qū)域請求控制 ? VPN接入邊界訪問控制 ? Vlan訪問控制

2.2.2.4 iaas系統(tǒng)虛擬化安全規(guī)劃

虛擬機的鏡像文件本質(zhì)上來說就是虛擬磁盤，虛擬機的操作系統(tǒng)與使用者的系統(tǒng)數(shù)據(jù)全部保存在鏡像文件中，對鏡像文件的加密手段是否有效，將直接關(guān)系

第 19 頁 內(nèi)網(wǎng)安全整體解決方案

虛擬主機的安全性。建議部署鏡像文件加密系統(tǒng)，對iaas區(qū)域下的數(shù)據(jù)盤鏡像文件進行加密，采用任何國家認可的第三方加密算法進行加密。同時解密密碼與uKey綁定,即使數(shù)據(jù)中心硬件失竊，也無法被破解。加密行為包括：授權(quán)、加密、解密功能。

2.2.2.5 虛擬資產(chǎn)密碼管理

為增強虛擬資產(chǎn)的密碼防護功能，建議通過密鑰管理與資產(chǎn)管理分離的技術(shù)方式，實現(xiàn)管理員僅維護信息資產(chǎn)，用戶自行管理密鑰的工作模式。通過密碼機集群與虛擬化技術(shù)的結(jié)合擴充密碼運算能力，將密碼運算能力進行細粒度劃分，并通過集中的密鑰管理及配套的安全策略保護用戶密鑰整生命周期的安全

2.2.2.6 虛擬主機安全防護設(shè)計

虛擬主機安全防護設(shè)計主要實現(xiàn)如下目標： ? 資產(chǎn)清點

? 自動化的進行細粒度的風險分析 ? 安全合規(guī)性基線檢查

? 對后門、Webshell、文件完整性和系統(tǒng)權(quán)限變更等進行監(jiān)測行為分析

第 20 頁 內(nèi)網(wǎng)安全整體解決方案

如上圖所示，通過收集主機上的操作系統(tǒng)、中間件、數(shù)據(jù)庫等配置數(shù)據(jù)，準確分析應(yīng)用系統(tǒng)在不同層面的配置信息，結(jié)合第三方病毒庫進行漏洞和風險分析，并及時給出整改加固建議。

2.2.2.7 內(nèi)網(wǎng)虛擬化安全運維平臺

2.2.2.7.1 集中賬號管理

在云堡壘機管理系統(tǒng)中建立基于唯一身份標識的全局用戶帳號，統(tǒng)一維護云平臺與服務(wù)器管理帳號，實現(xiàn)與各云平臺、服務(wù)器等無縫連接。

第 21 頁 內(nèi)網(wǎng)安全整體解決方案 2.2.2.7.2 統(tǒng)一登錄與管控

用戶通過云堡壘機管理系統(tǒng)單點登錄到相應(yīng)的虛擬機，且所有操作將通過云堡壘機系統(tǒng)進行統(tǒng)一管控，只需要使用云堡壘機提供的訪問IP、用戶名、密碼登錄后，用戶即可登錄相應(yīng)的云平臺與服務(wù)器，而不需要反復填寫對應(yīng)云平臺與服務(wù)器的地址、用戶名、密碼。

用戶可通過vsphere client登錄vmware vsphere云平臺進行管理，輸入云堡壘機為該云平臺提供的訪問IP與用戶在云堡壘機中的用戶名和密碼即可完成登錄。

第 22 頁 內(nèi)網(wǎng)安全整體解決方案

2.2.2.7.3 記錄與審計

通過云堡壘機管理系統(tǒng)的訪問歷史記錄回放功能，可隨時查看每個用戶對所屬服務(wù)器、虛擬機的訪問情況。

windows歷史訪問回放

第 23 頁 內(nèi)網(wǎng)安全整體解決方案

linux歷史訪問回放

在回放過程中，用戶可以試用云堡壘機的“智能搜索”功能大大加快回放速度，快速定位到用戶可疑操作位置。

Windows回放智能搜索

回放智能搜索

第 24 頁 內(nèi)網(wǎng)安全整體解決方案

云堡壘機系統(tǒng)還提供會話管理功能。可以通過云堡壘機系統(tǒng)快速查看用戶會話，實時監(jiān)控，以及中斷會話。2.2.2.7.1 權(quán)限控制與動態(tài)授權(quán)

云堡壘機系統(tǒng)統(tǒng)一分配系統(tǒng)角色對應(yīng)的云平臺與服務(wù)器權(quán)限，當用戶在真實使用場景下的角色權(quán)限與云堡壘機系統(tǒng)中預(yù)置的角色權(quán)限，不一致時，可通過云堡壘機的動態(tài)授權(quán)功能，對角色的云平臺與服務(wù)器權(quán)限進行方便靈活變更。

2.3 內(nèi)網(wǎng)安全數(shù)據(jù)分析

2.3.1 內(nèi)網(wǎng)安全風險態(tài)勢感知

建議部署態(tài)勢感知系統(tǒng)，檢測已知位置的終端惡意軟件的遠控通信行為，定位失陷主機，根據(jù)態(tài)勢感知設(shè)備的告警信息，采集、取證、判定、處置內(nèi)網(wǎng)終端主機上的惡意代碼，針對未知惡意文件攻擊，將流量還原得到的辦公文檔和可執(zhí)行文件放入網(wǎng)絡(luò)沙箱虛擬環(huán)境中執(zhí)行，根據(jù)執(zhí)行中的可疑行為綜合判定各類含漏洞利用代碼的惡意文檔、惡意可執(zhí)行程序，及植入攻擊行為。檢測各類植入攻擊：郵件投遞，掛馬網(wǎng)站，文件下載，準確識別0day、Nday漏洞入侵的惡意代碼

2.3.2 內(nèi)網(wǎng)全景流量分析

建議部署內(nèi)部網(wǎng)絡(luò)流量分析系統(tǒng)，數(shù)據(jù)的傳遞介質(zhì)是網(wǎng)絡(luò)協(xié)議，網(wǎng)絡(luò)流量作

第 25 頁 內(nèi)網(wǎng)安全整體解決方案

為網(wǎng)絡(luò)協(xié)議中最有價值的安全分析維度，其本身就承載著重要的風險識別作用，針對內(nèi)部網(wǎng)絡(luò)的任何攻擊行為都將在內(nèi)部異常流量中呈現(xiàn)本質(zhì)化特征，因此基于流量的內(nèi)網(wǎng)安全數(shù)據(jù)分析是最能客觀反映當前內(nèi)網(wǎng)安全等級的參考指標。

2.3.2.1 基線建模異常流量分析

流量異常檢測的核心問題是實現(xiàn)流量正常行為的描述，并且能夠?qū)崟r、快速地對異常進行處理。系統(tǒng)采用了一種基于統(tǒng)計的流量異常檢測方法，首先確定正常的網(wǎng)絡(luò)流量基線，然后根據(jù)此基線利用正態(tài)分布假設(shè)檢驗實現(xiàn)對當前流量的異常檢測。比如流量的大小、包長的信息、協(xié)議的信息、端口流量的信息、TCP標志位的信息等，這些基本特征比較詳細地描述了網(wǎng)絡(luò)流量的運行狀態(tài)。

總體設(shè)計 網(wǎng)絡(luò)流量異常檢測模型的總體設(shè)計思路是：從網(wǎng)絡(luò)的總出口采集數(shù)據(jù)，對每個數(shù)據(jù)包進行分類，將它的統(tǒng)計值傳到相應(yīng)的存儲空間，然后對這些數(shù)據(jù)包進行流量分析

2.3.2.2 流量分析引擎

對采集到的數(shù)據(jù)進行分析處理。通過建立正常網(wǎng)絡(luò)流量模型，按照一定的規(guī)則進行流量異常檢測。同時根據(jù)滑動窗口的更新策略，能夠自動學習最近的流量情況，從而調(diào)整檢測的準確度。

建立正常網(wǎng)絡(luò)流量模型 要進行流量異常檢測，必須首先建立正常的網(wǎng)絡(luò)流量模型，然后對比正常模型能夠識別異常。本文使用基于統(tǒng)計的方法來實現(xiàn)異常檢測，利用網(wǎng)絡(luò)流量的歷史行為檢測當前的異?；顒雍途W(wǎng)絡(luò)性能的下降。因此正常流量模型的建立需要把反映網(wǎng)絡(luò)流量的各項指標都體現(xiàn)出來，使其能夠準確反映網(wǎng)絡(luò)活動。

在系統(tǒng)運行時，統(tǒng)計當前流量行為可測度集，并同正常的網(wǎng)絡(luò)基線相比較，如果當前流量行為與正常網(wǎng)絡(luò)基線出現(xiàn)明顯的偏離時，即認為出現(xiàn)了異常行為，并可進一步檢測分析；如果兩種行為沒有明顯偏差，則流量正常，更新正常網(wǎng)絡(luò)流量模型。

通過該界面實現(xiàn)查看信息、設(shè)定檢測規(guī)則、設(shè)定閾值、設(shè)定報警方式以及處理報警等功能。系統(tǒng)應(yīng)該對于檢測出的異常主機進行標記，標記異常的類型、統(tǒng)

第 26 頁 內(nèi)網(wǎng)安全整體解決方案

計量、閾值指標、消息以及異常發(fā)生的時間等情況，給系統(tǒng)管理員報告一個異常信息。

2.3.2.3 異常的互聯(lián)關(guān)系分析

對于不符合白名單和灰名單的互連關(guān)系和流量，系統(tǒng)會自動生成未知數(shù)據(jù)流，并對未知數(shù)據(jù)流進行識別、匹配，從中提取可供判斷的信息，如：單點對多點的快速連接，系統(tǒng)會識別為網(wǎng)絡(luò)掃描，非正常時段的數(shù)據(jù)連接，系統(tǒng)會視為異常行為，多點對單點的大流量連接，系統(tǒng)會識別為非法應(yīng)用等。用戶對未知數(shù)據(jù)流識別、確認、處理后，可將未知數(shù)據(jù)流自動生產(chǎn)報警或提取到白名單。

2.3.3 內(nèi)網(wǎng)多源威脅情報分析

建議在內(nèi)網(wǎng)部署多源威脅情報分析，通過對不同源頭威脅情報的統(tǒng)一匯總、分析、展示等功能，極大提高情報告警準確率，幫助評測內(nèi)部信息系統(tǒng)遭受的風險以及安全隱患從而讓安全團隊進行有安全數(shù)據(jù)佐證的重點內(nèi)部領(lǐng)域防護措施。內(nèi)部安全團隊多人對單條威脅情報存在疑慮時，可進行協(xié)同式研判，提升單挑威脅情報與情報源的命中率統(tǒng)計。內(nèi)部安全管理員可以定期生成威脅情報月報，便于將一段時間內(nèi)的系統(tǒng)漏洞、應(yīng)用漏洞、數(shù)據(jù)庫漏洞進行選擇性摘要，使安全加固工作處于主動、積極、有效的工作場景之中。

2.4 內(nèi)網(wǎng)安全管控措施

2.4.1 內(nèi)網(wǎng)安全風險主動識別

2.4.1.1 基于漏洞檢測的主動防御

云安全防護虛擬資源池內(nèi)為用戶提供了系統(tǒng)層漏掃、web層漏掃、數(shù)據(jù)庫漏掃三種檢測工具，可以為用戶提供定期的安全風險檢測，基于已知風險或未知風險進行安全策略調(diào)整、漏洞修復、補丁更新等主動防御行為。

第 27 頁 內(nèi)網(wǎng)安全整體解決方案

2.4.1.1.1 漏洞檢測范圍

操作系統(tǒng)：Microsoft Windows 2003/2008/7/8/10/2012、MacOS、Sun Solaris、UNIX、IBM AIX、IRIX、Linux、BSD；

數(shù)據(jù)庫：MSSQL、MySQL、Oracle、DB2、PostgreSQL、SYBASE、SAP MaxDB、solidDB、Firebird；

網(wǎng)絡(luò)設(shè)備：支持CISCO、Juniper、Citrix、EMC、Fortinet、Nortel、ZyXEL、BlueCoat、Check Point、趨勢科技、Websense、3COM、F5、SonicWALL、MikroTik RouteOS、DD-WRT、D-Link、NETGEAR。

應(yīng)用系統(tǒng)：各種Web服務(wù)器應(yīng)用系統(tǒng)（IIS、Apache Tomcat、IBM lotus……）、各種DNS服務(wù)器應(yīng)用系統(tǒng)、各種FTP/TFTP服務(wù)器應(yīng)用系統(tǒng)、虛擬化系統(tǒng)（Vmware、Virtual Box、KVM、OpenStack等等）、郵件服務(wù)器應(yīng)用系統(tǒng)（MS Exchange、IMAP、Ipswitch Imail、Postfix……）2.4.1.1.2 識別漏洞類型 ? 系統(tǒng)漏洞類型

Windows漏洞大于1946種、MacOS漏洞大于192種、UNIX漏洞大于959種、數(shù)據(jù)庫服務(wù)器漏洞大于357種、CGI漏洞大于2301種、DNS漏洞大于76種、第 28 頁 內(nèi)網(wǎng)安全整體解決方案

FTP/TFTP漏洞大于278種、虛擬化漏洞大于613種、網(wǎng)絡(luò)設(shè)備漏洞大于516種、Mail漏洞大于251種、雜項漏洞（含RPC、NFS、主機后門、NIS、SNMP、守護進程、PROXY、強力攻擊……）? web漏洞類型

微軟IIS漏洞檢測、Apache漏洞檢測、IBM WebSphere漏洞檢測、Apache Tomcat漏洞檢測、SSL模塊漏洞檢測、Nginx漏洞檢測、IBM Lotus漏洞檢測、Resin漏洞檢測、Weblogic漏洞檢測、Squid漏洞檢測、lighttpd漏洞檢測、Netscape Enterprise漏洞檢測、Sun iPlanet Web漏洞檢測、Oracle HTTP Server漏洞檢測、Zope漏洞檢測、HP System Management Homepage漏洞檢測、Cherokee漏洞檢測、RaidenHTTPD漏洞檢測、Zeus漏洞檢測、Abyss Web Server漏洞檢測、以及其他Web漏洞檢測等Web服務(wù)器的掃描，尤其對于IIS具有最多的漏洞檢測能力，IIS漏洞大于155種 ? 數(shù)據(jù)庫漏洞類型

MSSQL、MySQL、Oracle、DB2、PostgreSQL、SYBASE、SAP MaxDB、solidDB、Firebird……等，可以掃描數(shù)據(jù)庫大于三百五十多種漏洞，包含了有關(guān)空口令、弱口令、用戶權(quán)限漏洞、用戶訪問認證漏洞、系統(tǒng)完整性檢查、存儲過程漏洞和與數(shù)據(jù)庫相關(guān)的應(yīng)用程序漏洞等方面的漏洞，基本上覆蓋了數(shù)據(jù)庫常被用做后門進行攻擊的漏洞，并提出相應(yīng)的修補建議 2.4.1.1.3 內(nèi)部主動防御

根據(jù)漏洞掃描結(jié)果，給予定制化安全加固方案，結(jié)合漏洞級別、漏洞類型、漏洞波及范圍、修復風險、加固后復測等人工服務(wù)，配合用戶第一時間完成修復工作，我們將從信息安全專業(yè)技術(shù)層面為您說明每一條漏洞可能導致的安全事件可能性，從用戶安全運維、業(yè)務(wù)系統(tǒng)穩(wěn)定運行的角度出發(fā)，給出可落地的安全加固方案。

2.4.2 內(nèi)網(wǎng)統(tǒng)一身份認證與權(quán)限管理

建議構(gòu)建統(tǒng)一身份認證與權(quán)限管理系統(tǒng)，建立統(tǒng)一身份庫，業(yè)務(wù)操作人員、系統(tǒng)運維人員、IT基礎(chǔ)架構(gòu)運維人員、業(yè)務(wù)應(yīng)用管理員、IT基礎(chǔ)架構(gòu)管理人員、第 29 頁 內(nèi)網(wǎng)安全整體解決方案

系統(tǒng)管理人員通過統(tǒng)一認證入口，進行統(tǒng)一的身份認證，并對不同人員設(shè)置不同的訪問權(quán)限，并實現(xiàn)所有用戶登錄及訪問行為分析和審計。

2.4.2.1 統(tǒng)一用戶身份認證設(shè)計

建立的統(tǒng)一身份庫，包括運營身份庫和業(yè)務(wù)人員身份庫，使用戶在統(tǒng)一身份庫中，只有唯一身份標識，用戶向統(tǒng)一認證平臺提交的證明是其本人的憑據(jù)，根據(jù)系統(tǒng)級別不同，采用的認證方式不同，每個應(yīng)用系統(tǒng)都有自己的賬戶體系，這些賬戶被看做是訪問一個信息資產(chǎn)的權(quán)限，管理員可以在統(tǒng)一身份認證與權(quán)限管理系統(tǒng)中配置某個用戶在系統(tǒng)中對若干賬戶的訪問權(quán)限。實現(xiàn)各應(yīng)用系統(tǒng)不再處理身份認證，而是通過統(tǒng)一的身份認證入口進行認證，通過后期的行為分析提供對異常行為的檢測及加強認證或阻斷操作。用戶分類具體如下圖所示：

2.4.2.2 統(tǒng)一用戶權(quán)限管理設(shè)計

一、外部用戶

二、內(nèi)部用戶

1、運維人員的權(quán)限管理

第 30 頁 內(nèi)網(wǎng)安全整體解決方案

2、業(yè)務(wù)人員的權(quán)限管理

2.4.2.3 業(yè)務(wù)內(nèi)容身份鑒別與訪問控制設(shè)計

一、內(nèi)部訪問設(shè)計

內(nèi)部訪問設(shè)計主要面向內(nèi)部用戶，通過驗證后會加入到統(tǒng)一用戶身份認證與權(quán)限管理平臺身份庫，經(jīng)過認證策略判定，錄入認證策略庫，最后通過堡壘機實現(xiàn)內(nèi)部訪問。

二、外部訪問設(shè)計

身份合法驗證，通過驗證后會加入到外部用戶統(tǒng)一用戶身份認證與權(quán)限管理平臺身份庫，經(jīng)過認證策略判定并錄入認證策略庫，經(jīng)過多因素認證資源池（包

第 31 頁 內(nèi)網(wǎng)安全整體解決方案

括指紋、二維碼、RSA令牌等）實現(xiàn)外部應(yīng)用的系統(tǒng)資源訪問。

2.4.1 內(nèi)網(wǎng)安全漏洞統(tǒng)一管理平臺

建議部署安全漏洞統(tǒng)一管理平臺，按照組織架構(gòu)或業(yè)務(wù)視圖建立資產(chǎn)管理目錄，快速感知不同資產(chǎn)層級的漏洞態(tài)勢，解決內(nèi)部漏洞無法與業(yè)務(wù)系統(tǒng)自動關(guān)聯(lián)分析的問題，為監(jiān)管方提供宏觀分析視圖。將不同來源、不同廠商、不同語言、不同類型的漏洞數(shù)據(jù)自動標準化成符合國家標準的全中文漏洞數(shù)據(jù)，并去重合。形成某單位自身的漏洞信息庫，賦予漏洞數(shù)據(jù)空間、時間、狀態(tài)和威脅屬性，形成每個信息系統(tǒng)的漏洞信息庫，并對其生命周期狀態(tài)進行跟蹤。順應(yīng)國家網(wǎng)絡(luò)安全和行業(yè)發(fā)展的需要，解決了漏洞檢測、漏洞驗證、漏洞處置和響應(yīng)等環(huán)節(jié)中存在的多種問題，實現(xiàn)漏洞管理流程化、自動化、平臺化及可視化。

第 32 頁 內(nèi)網(wǎng)安全整體解決方案

第三章 內(nèi)網(wǎng)安全防護設(shè)備清單

? 云防火墻 ? 硬件防火墻 ? 云waf ? 硬件waf ? IPS ? 防病毒網(wǎng)關(guān) ? 上網(wǎng)行為管理 ? 隔離網(wǎng)閘 ? 流量分析系統(tǒng)

? 多源威脅情報分析系統(tǒng) ? 安全漏洞統(tǒng)一管理平臺 ? 堡壘機 ? 云堡壘機 ? 數(shù)據(jù)庫審計 ? 態(tài)勢感知平臺 ? 系統(tǒng)漏洞掃描器 ? Web漏洞掃描器 ? 數(shù)據(jù)庫漏洞掃描器 ? 鏡像文件加密 ? 云堡壘機 ? 云數(shù)據(jù)庫審計 ? 統(tǒng)一身份證書

? 虛擬終端加固及防護軟件? 虛擬主機加密機 ? 數(shù)據(jù)防泄密 ? 網(wǎng)絡(luò)準入設(shè)備 ? 服務(wù)器加固軟件

第 33 頁