IDC等保三级解决方案通用模版

三级等保解决 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 （通用版） ■文档编号 ■密级 商业机密 ■版本编号 V2.0 ■日期 2017-03-20 ■版本变更记录 时间 版本 说明 修改人 20160425 V1 范孟飞 20170320 V2 范孟飞 ■适用性声明 目录 一.前言 1二.项目背景 1三.安全风险分析 23.1设备安全风险 23.2网络安全风险 23.3应用层安全风险 33.4数据安全风险 3四.需求分析 44.1技术需求分析 44.2管理需求分析 4五.等级保护建设 55.1参考 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 与依据 65.1.1相关法规和政策 65.1.2国家标准及行业标准 65.2整体部署拓扑图 85.3安全技术防护 -9-5.3.1边界访问控制 -9-5.3.2边界入侵防护 -14-5.3.3网站安全防护 -28-5.3.4安全审计 -38-5.3.5 安全管理 企业安全管理考核细则加油站安全管理机构环境和安全管理程序安全管理考核细则外来器械及植入物管理 -47-5.4等保建设咨询 -69-5.4.1技术层面差距分析 -69-5.4.2管理层面差距分析 -71-5.4.3安全评估及加固 -72-5.4.4安全管理体系建设 -73-5.4.5应急响应及演练 -74-5.4.6安全培训 -74-5.4.7测评辅助 -75-六.等保建设清单 -76-七.为什么选择绿盟科技 -77-7.1典型优势 -78-7.1.1拥有最高级别服务资质的专业安全公司 -78-7.1.2先进且全面的信息安全保障体系模型 -78-7.1.3可实现且已证明的体系建设内容 -78-7.1.4资深且经验丰富的项目团队 -79-7.1.5先进的辅助工具 -79-7.2资质荣誉 -79-7.3客户收益 -82--I-前言经过多年的信息化推进建设，企事业和政府机构信息化应用水平正不断提高，信息化建设成效显著。作为信息化发展的重要组成部分，信息安全的状态直接制约着信息化发展的程度。作为企事业和政府机构重要的公众平台APP及web应用系统，由于其公众性质，使其成为攻击和威胁的主要目标，WEB应用所面临的Web应用安全问题越来越复杂，安全威胁正在飞速增长，尤其混合威胁的风险，如黑客攻击、蠕虫病毒、DDoS攻击、SQL注入、跨站脚本、Web应用安全漏洞利用等，极大地困扰着政府和公众用户，给政府的政务形象、信息网络和核心业务造成严重的破坏。随着后“棱镜门”时代，国家对重要信息系统（包括网站）的安全问题越来越重视，相继发布了一系列的政策要求，例如：公安部、发改委和财政部联合印发的《关于加强国家级重要信息系统安全保障工作有关事项的通知》（公信安[2014]2182号）要求，加强对47个行业、276家单位、500个涉及国计民生的国家级重要信息系统的安全监管和保障。2014年12月，中办国办《关于加强社会治安防控体系建设的意见》要求：“完善国家网络安全监测预警和通报处置工作机制，推进完善信息安全等级保护制度”。为进一步企事业和政府机构单位依据国家等级保护相关标准和要求做好信息系统等级保护（三级）安全建设工作，绿盟科技作为国内具有一流技术优势和国际竞争力的信息安全厂商，结合自身多年的安全建设经验、业界领先的技术与产品，为政府单位等级保护安全建设提供本方案。项目背景2016年11月7日第十二届全国人民代表大会常务委员会第二十四次会议通过《中华人民共和国网络安全法》，并将于2017年6月1日施行。该法案明确规定:建设、运营网络或通过网络提供服务，须依照法律、法规和国家标准强制性要求，采取各种措施，落实网络安全等级保护制度，保障网络安全稳定运行。发生安全事件时还要向主管部门报告。对于不履行该法案规定的，由有关主管部门责令改正，给予警告；拒不改正或导致危害网络安全等后果的，处一万元以上十万元以下罚款，并对直接负责的主管人员处五千元以上五万元以下罚款。上海市公安局、网信办、经信委、通管局联合发布的《沪公通字【2015】65号》文中，也对政府机构、事业单位、国企的信息系统等级保护建设提出了明确的要求。xxx目前运营的网站类系统主要有官方网站、xxx系统等；数据中心建成后，除满足xxx自身需求外，还将为下属各子平台单位提供服务。xxx信息系统网络架构为简单的互联互通架构，除入口处安装有防火墙外，其他安防手段、措施均缺失，距离等级保护三级要求有非常大的差距，安防状况堪忧。不论是《中华人民共和国网络安全法》的规定，还是从自身信息系统安全角度考虑，xxx都需要建设自己的安全管理体系和技术体系的建设，提升整体信息系统及数据的安全性。安全风险分析设备安全风险信息系统网络设备的安全风险主要来自两个方面，一个是设备自身的安全风险，另外一个是外界环境的安全风险。具体的设备安全风险如下：·设备自身的安全缺陷或未能够及时修复的安全缺陷，导致的针对该设备的缺陷利用，影响信息系统业务的连续性、可靠性和完整性；·承载业务系统硬件、网络环境等方面的威胁；·业务系统自身安全威胁。网络安全风险网络安全风险主要如下：·来自内部和外部可能的网络攻击，如DDOS攻击、利用系统漏洞进行的各类攻击等等；·蠕虫病毒入侵，局域网内部病毒等恶意软件的传播，尤其是维护终端、磁盘介质使用等导致的病毒扩散；·利用管理和技术漏洞，或者内部资源成为僵尸网络、木马的被控资源，信息系统资源被用作攻击外部网络的工具·WEB类应用被挂马，成为木马大范围传播的主要途径；·由于对信息系统网络进行维护不恰当，而导致的安全威胁。应用层安全风险应用层的安全威胁主要来自以下两个方面：·来自原互联网、内部恶意用户的安全威胁；·木马病毒的肆意传播，导致网络瘫痪。数据安全风险(1)网管数据网管数据，主要指设备管理层面的数据，其安全威胁主要如下：·数据传输过程中被窃取，篡改、破坏；·越权访问；·病毒入侵导致丢失；·其它误操作、系统故障、介质问题等原因导致的数据丢失、泄漏。(2)内部业务数据内部业务数据，主要指信息系统各个业务区域数据，其安全威胁一方面来自于各个业务的不同要求，另外更主要的一方面是这些业务数据的存放，具体如下：·病毒、木马、间谍软件的入侵；·针对敏感数据的非法篡改、获取；·数据的存储安全威胁，包括数据存储磁盘管理不善，数据访问管理不善带来的威胁等。(3)帐号口令·口令密码明文保存导致失窃；·弱口令导致的暴力破解；·网络监听明文传输的帐号口令。需求分析技术需求分析整体系统由WEB应用、网络设备、操作系统、数据库、中间件等网络元素共同构建，系统承担着数据采集、存储、分析、展示等功能，依据《信息安全技术信息安全等级保护基本技术要求》，物理层面、网络层面、系统层面、应用层面和数据层面面临如下安全威胁:1．物理层安全：物理层面面临盗窃和破坏、雷击、火宅、静电、停电等威胁。2.系统层安全：该层的安全问题来自网络运行的操作系统。安全性问题表现在两方面：一是操作系统本身的不安全因素，主要包括身份认证、访问控制、系统漏洞等；二是操作系统的安全配置存在问题。3．网络层安全：该层的安全问题主要指网络信息的安全性，包括网络层身份认证，网络资源的访问控制，数据传输的保密与完整性、远程接入、域名系统、路由系统的安全，入侵检测的手段等。4．应用层安全：该层的安全考虑网络对用户提供服务所采用的应用软件和数据的安全性，包括：数据库软件、Web服务、域名系统、交换与路由系统、防火墙及应用网管系统、业务应用软件以及其它网络服务系统等。5．数据层风险：数据传输泄露、数据损坏等。因此，有必要通过安全产品与安全服务的方式，发现以上五个层面存在的安全隐患，比对问题采取相应的加固和处理措施，满足信息安全等级保护的技术要求。管理需求分析该系统不仅需要考虑技术防护手段，也需要通过合理的安全管理规范，避免人为因素导致的系统破坏。依据《信息安全技术信息安全等级保护基本技术要求》。应制定完善的安全管理体系，以满足系统的安全管理要求，管理体系应考虑如下五个方面：1．安全 管理制度 档案管理制度下载食品安全管理制度下载三类维修管理制度下载财务管理制度免费下载安全设施管理制度下载 根据安全管理制度的基本要求制定各类管理规定、管理办法和暂行规定。从安全策略主文档中规定的安全各个方面所应遵守的原则方法和指导性策略引出的具体管理规定、管理办法和实施办法，是具有可操作性，且必须得到有效推行和实施的制度。2．安全管理机构根据基本要求设置安全管理机构的组织形式和运作方式，明确岗位职责；设置安全管理岗位，设立系统管理员、网络管理员、安全管理员等岗位，根据要求进行人员配备，配备专职安全员；成立指导和管理信息安全工作的委员会或领导小组，其最高领导由单位主管领导委任或授权；制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。3．人员安全管理根据基本要求制定人员录用，离岗、考核、培训几个方面的规定，并严格执行；规定外部人员访问流程，并严格执行。4．系统建设管理根据基本要求制定系统建设管理制度，包括：系统定级、安全方案 设计 领导形象设计圆作业设计ao工艺污水处理厂设计附属工程施工组织设计清扫机器人结构设计 、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、等级评测、安全服务商选择等方面。从工程实施的前、中、后三个方面，从初始定级设计到验收评测完整的工程周期角度进行系统建设管理。5．系统运维管理根据基本要求进行信息系统日常运行维护管理，利用管理制度以及安全管理中心进行，包括：环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理等，使系统始终处于相应等级安全状态中。等级保护建设通过xxx信息系统的特点以及面临的安全风险，参考业界主流安全标准和规范要求，制定了针对xxx等级保护建设解决方案，方案包括了整体部署拓扑、安全技术要求和安全服务三部分，从三个不同的层面来建设本单位信息系统安全防护体系，有效降低信息系统的安全风险，保障业务的顺畅运行，满足等级保护建设要求。参考标准与依据相关法规和政策国家信息安全相关文件：·《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）·《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）·《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）·《信息安全等级保护管理办法》（公通字[2007]43号）·《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安[2007]861号）·《公安机关信息安全等级保护检查工作规范》（公信安[2008]736号）·《关于开展信息安全等级保护安全建设整改工作的指导意见》（公信安[2009]1429号）·《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》（公信安[2010]303号）·以及其他相关文件。国家标准及行业标准国信安标委组织制定的国家标准：·GB17859-1999计算机信息系统安全保护等级划分准则·GB/T22240-2008信息安全技术信息系统安全保护等级定级指南·GB/T25058-2010信息安全技术信息系统安全等级保护实施指南·GB/T22239-2008信息安全技术信息系统安全等级保护基本要求·GB/T20269-2006信息安全技术信息系统安全等级保护管理要求·GB/T20270-2006信息安全技术网络基础安全技术要求·GB/T20271-2006信息安全技术信息系统通用安全技术要求·GB/T20272-2006信息安全技术操作系统安全技术要求·GB/T20273-2006信息安全技术数据库管理系统安全技术要求·GB/T20282-2006信息安全技术信息系统安全工程管理要求·GB/T21082-2007信息安全技术服务器安全技术要求·GBT25070-2010信息系统等级保护安全设计技术要求（报批稿）·GB/T28449-2012信息安全技术信息系统安全等级保护测评过程指南·GB/T28448-2012信息安全技术信息系统安全等级保护测评要求-8-©2018绿盟科技 密级：商业机密整体部署拓扑图安全技术防护边界访问控制防护需求网络边界安全是网络安全保障的第一道防线，是信息网络系统上各业务网络必须优先建设的重点之一。在信息服务系统内部不同安全保护等级要求或不同信任域网络间互连时的边界接入安全，需设置与关键业务安全保护等级要求相对应的网络逻辑隔离，以重点保护关键业务系统的边界安全，作为信息服务系统中安全保护等级较高的网络，应适当与其他网络部分逻辑隔离。根据合规性要求，《GB/T22239-2008信息系统安全等级保护基本要求》7.1.2.2访问控制（G3）a)应在网络边界部署访问控制设备，启用访问控制功能；b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级；c)应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制；d)应在会话处于非活跃一定时间或会话结束后终止网络连接；e)应限制网络最大流量数及网络连接数；f)重要网段应采取技术手段防止地址欺骗；g)应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户；h)应限制具有拨号访问权限的用户数量。7.1.2.1结构安全a)应保证主要网络设备的业务处理能力具备冗余空间，满足业务高峰期需要b)应保证网络各个部分的带宽满足业务高峰期需要c)应在业务终端与业务服务器之间进行路由控制建立安全的访问路径e)应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段f)应避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之间采取可靠的技术隔离手段g)按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要主机.解决方案根据以上需求，设计在网络边界部署下一代防火墙来实现。通过配置地址转换策略实现内外网的访问，通过配置访问控制策略内外网隔离。详见“整体部署拓扑图”。【技术实现】本方案推荐选用绿盟科技下一代防火墙部署方案。图1.1策略框架绿盟下一代防火墙具备以下功能：智能化识别应用通过智能化应用、用户身份识别技术，绿盟下一代防火墙可以将网络中单纯的IP/端口号（IP/Ports），以及流量信息，转换为更容易理解、更加智能化的应用程序信息和用户身份信息，为后续的基于应用程序的策略控制和安全扫描，提供了识别基础。精细化控制应用绿盟下一代防火墙可以根据风险级别、应用类型、是否消耗带宽等多种方式对应用及应用动作进行细致分类，并且通过应用级访问控制，应用流量管理以及应用安全扫描等不同的策略对应用分别进行细粒度的控制和过滤。一体化安全扫描在完成智能化识别和精细化控制以后，下一代防火墙对于允许使用且可能存在高安全风险的网络应用，可以进行漏洞，病毒，URL和内容等不同层次深度扫描，如果发现该应用中存在安全风险或攻击行为可以做进一步的阻断并且记录成为详细的安全日志和风险报表。资产风险识别和云端安全管理绿盟科技下一代防火墙可以主动、先发性的对用户内网脆弱资产进行风险评估，并提出加固方案，是用户的内网安全管理专家，同时又可以通过接入云端，简化运维，对安全威胁在线分析和把控，是用户的云端安全管理专家。【选型优势】多核CPU和ASIC构建高速硬件平台绿盟防火墙专用硬件平台采用多核CPU和ASIC加速芯片构建。ASIC芯片具有3-4层快速转发和流分类的特性，使得绿盟防火墙具有高速的网络处理性能；多核CPU的强大浮点计算能力，以及绿盟独有的多流并行分布式处理技术，使得绿盟防火墙的应用层数据处理能力大幅提高，真正做到从4层防护到7层防护的提升。智能协议识别（NIPR）智能内容识别（NICR）技术智能协议识别技术——NsfocusIntelligentProtocolRecognition（NIPR）和智能内容识别技术——NsfocusIntelligentContentRecognition（NICR）是绿盟自主研发的网络威胁识别技术，是绿盟科技在网络攻防技术方面多年研究成果的结晶，也是绿盟防火墙产品的核心技术。网络应用层防护的最大难度在于对复杂多变的应用协议、黑客复杂的攻击行为以及应用内容进行解析识别，从而进行针对性的防护。NIPR和NICR识别技术，它利用七个安全库（应用协议特征库、协议行为特征库、URL分类库、Web信誉库、病毒库、攻击规则库、垃圾邮件库），通过动态分析网络报文中包含的协议特征、行为特征以及非法内容，识别出非法信息，然后递交给相应的处理引擎进行防护。具备了NIPR和NICR的绿盟防火墙，不再受动态端口或攻击工具变化的影响。对于P2P等运行在任意端口的应用层协议，或者绑定在任意端口的木马、后门，还有黑客的灵活多变的攻击方式，绿盟防火墙都能在不需要管理员参与的情况下高速准确的判断出来，并根据网关策略予以阻断或限制。超强的网络攻击检测/防护能力绿盟防火墙集成了绿盟科技专业的入侵检测/防护模块，可实现基于IP地址/网段、规则（组、集）、时间、动作等对象的虚拟IPS。绿盟防火墙采用虚拟补丁技术，可防护远程扫描、暴力破解、缓存区溢出、蠕虫病毒、木马后门、SQL注入、跨站脚本等各种攻击。首创的内网资产风险管理绿盟科技下一代防火墙，除了具备国际权威咨询机构Gartner所定义的下一代防火墙全部特性，不仅在新一代网络中保障用户的边界网络安全，防范“外敌”入侵，更首创性的提供内网资产风险识别功能，让用户对内网易受攻击资产进行风险提前评估和预警，双向安全，双向保障。即作为事中安全拦截设备，又作为事前风险防范设备，为用户在安全投资不变的情况下提供一举两得的加强安全效应。先进的云端安全管理模式 业界首创的云端安全管理模式，对传统防火墙及业界其它下一代防火墙产品，在运维服务模式上迈出了崭新的一步。绿盟科技凭借多年对用户安全攻防服务经验的积累，分析沉淀国际及国内市场的用户需求趋势，深刻把脉真正下一代安全的未来走向，通过构造云端安全管理平台，让用户在便捷、高效安全管理上有了全新的体验，极大减免了用户的安全运维投入，从而有能力在应对不断增长变化的威胁攻击中百战不殆，游刃有余。全面支持IPv6绿盟防火墙使用双协议栈(dualstack)架构，支持IPv6/IPv4双协议栈功能，能同时辨识IPv4和IPv6通讯流量。多种隧道模式的支持，确保IPv6过渡时代的网络通畅。IPv6环境下攻击检测技术和基于IPv6地址格式的安全控制策略，为IPv6环境提供了完善的安全防护。细致的应用层控制手段图1.2应用控制传统防火墙的访问控制或流量管理粒度粗放，只能基于IP/端口号对数据流量进行一刀切式的禁止或允许。NF基于卓越的应用和用户识别能力，对数据流量和访问来源进行精细化辨识和分类，使得用户可以轻易从同一个端口协议的数据流量中辨识出任意多种不同的应用，或从无意无序的IP地址中辨识出有意义的用户身份信息，从而针对识别出的应用和用户施加细粒度、有区别的访问控制策略、流量管理策略和安全扫描策略，保障了用户最直接、准确、精细的管理愿望和控制诉求。例如，允许HTTP网页访问顺利进行，并且保证高访问带宽，但是不允许同样基于HTTP协议的视频流量通过；允许通过QQ进行即时通信，但是不允许通过QQ传输文件；允许邮件传输，但需要进行防病毒扫描或敏感信息过滤，如发现有病毒入侵或泄密事件马上阻断，等等。卓越的应用层安全处理性能图1.3双引擎多核并发NF构筑在新一代64位多核并发，高速硬件平台之上，拥有业界独有的数通、安全双引擎设计模式。双引擎多核并发的高速运行在多个CPU核心之上，各司其职，不仅保证了基础网络数据包的高速转发，更加确保了应用层安全处理的高性能。不仅于此，NF采用的高速数据包处理技术专门针对I/O密集型网络设计。它为上层安全服务和底层硬件平台提供了一个高速通信隧道，极大提升了平台安全处理性能和吞吐率，使下一代防火墙设备在安全处理性能上有了一个质的飞跃。方案价值内网和互联网区之间部署下一代防火墙可发挥如下作用：基于应用/用户识别的访问控制、流量控制、上网行为管理、SNAT转发、ISP链路负载均衡、安全威胁阻断等；在互联网与DMZ区之间可发挥如下作用：访问控制、DNAT、服务器负载均衡、基于应用/户识别的流量控制、安全威胁阻断等。在内网区的用户与服务器群之间可发挥如下作用：访问控制、基于应用和用户识别的流量控制、访问行为记录审计等功能。部署在边界的下一代防火墙可根据用户稳定性需求，提供网络容灾备份方案，保证用户网络安全访问无中断。下一代防火墙具有带宽管理及控制能力、连接完整性检测能力、重要网段保护能力。包含有内容过滤、访问控制等功能，满足信息安全等级保护保护技术要求。边界入侵防护边界抗拒绝服务防护需求日益猖獗的DDOS攻击、越来越简单的僵尸网络攻击工具、日渐成熟的灰色地下交易链条，给互联网信息系统带来了沉重的危害，常见的DDOS攻击影响有：·网络遭受DDOS攻击导致网络出口或内网互联通信链路的带宽达到饱和；·内网设备（如交换机、路由器、服务器、防火墙等）遭受DDoS攻击，攻击流量超出目标设备承受能力，导致它们无法提供合法流量；·服务器或主机遭受应用层DDOS攻击，导致CPU处理能力饱和，无法对外提供服务。·对网络中没有直接遭受攻击的部分造成间接破坏。根据对来自广域网边界的风险分析，主要存在以下几个方面的需求：·需对流入广域网网络的流量进行分析，识别其中的各类攻击流量；·对流量型DDoS攻击（如SYNFlood、UDPFlood、ICMPFlood、ACKFlood等）进行有效过滤，保护通信链路带宽及内网设备不受攻击影响；·对应用层的DoS攻击（如HttpGetFlood、连接耗尽、CC等）进行有效过滤，保证服务器或主机性能不受攻击影响。【相关规范要求】《GB/T22239-2008信息系统安全等级保护基本要求》7.1.2.2访问控制（G3）本项要求包括：e)应限制网络最大流量数及网络连接数；7.1.2.5网络安全-入侵防范（G3）本项要求包括：a)应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等；b)当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。7.1.3.5主机安全-入侵防范（G3）本项要求包括：应能够检测到对重要服务器进行入侵的行为，能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间，并在发生严重入侵事件时提供报警；解决方案根据以上需求，设计在外网出口边界部署一台抗拒绝服务系统（ADS）来实现。针对目前流行的DDoS攻击以及未知的攻击形式，通过ADS及时发现背景流量中的攻击行为，迅速对攻击流量进行过滤，确保正常业务的可用性。详见“整体部署拓扑图”。【技术实现】本方案推荐选用绿盟科技抗拒绝服务系统（ADS）来部署实现。绿盟抗拒绝服务产品基于嵌入式系统设计，在系统核心实现了防御拒绝服务攻击的算法，创造性地将算法实现在协议栈的最底层，避免了TCP/UDP/IP等高层系统网络堆栈的处理，使整个运算代价大大降低，并结合特有硬件加速运算，因此系统效率极高。该方案的核心技术架构如下图所示。绿盟抗拒绝服务系统核心架构绿盟抗拒绝服务系统具有以下功能亮点反欺骗——绿盟Anti-DDoS技术将会对数据包源地址和端口的正确性进行验证，同时还对流量在统计和分析的基础上提供针对性的反向探测。协议栈行为模式分析——根据协议包类型判断其是否符合RFC规定，若发现异常，则立即启动统计分析机制；随后针对不同的协议，采用绿盟专有的协议栈行为模式分析算法决定是否对数据包进行过滤、限制或放行。特定应用防护——ADS产品还会根据某些特殊协议类型，诸如DNS、HTTP、VOIPSIP等，启用分析模式算法机制，进一步对不同协议类型的DDoS攻击进行防护。用户行为模式分析——网络上的真实业务流量往往含有大量的背景噪声，这体现了网络流量的随机性；而攻击者或攻击程序，为了提高攻击的效率，往往采用较为固定的负载进行攻击。ADS产品对用户的行为模式进行统计、跟踪和分析，分辨出真实业务浏览，并对攻击流量进行带宽限制和信誉惩罚。动态指纹识别——作为一种通用算法，指纹识别和协议无关，绿盟Anti-DDoS技术采用滑动窗口对数据包负载的特定字节范围进行统计，采用模式识别算法计算攻击包的特征。对匹配指纹特征的攻击包进行带宽限制和信誉惩罚。带宽控制——对经过系统净化的流量进行整形输出，减轻对下游网络系统的压力。地理位置过滤——攻击者虽然可以利用全球的肉鸡发起DDoS攻击，但是企业和防护的客户对可以根据自身业务的情况明确业务流量来源，从而根据源IP地理位置过滤攻击，实现快速有效的保护。云信誉——绿盟云信誉平台通过集合全系列安全产品的发现与验证，从获取的全球流量中进行信誉等级的评定。ADS产品通过与云信誉平台联动可以及时掌握肉鸡数据并进行拦截防护。【选型优势】1.产品技术最好，防护效果好·最早研究DDoS攻击&防护（2000年）的企业，2001年推出首款“黑洞”产品，至今积累时间最长，防护水平代表全球最高水平。·防护技术算法最丰富。如针对CC攻击提供7种防护算法，满足各种攻击特点的防护。·支持抓包取证，通过抓包分析进行深度防范，为电子取证提供依据，对DDoS攻击产生威慑。·根据DDoS防护需求不同的特点，能够提供防护群组功能，对用户加以区分，并对不同的用户组提供细粒度的防护策略。1.产品应用最广泛，成熟度高：在中国国内市场占有率第一，唯一覆盖全行业应用。产品在国家骨干网、国干互联互通口、城域网、各类IDC、金融、政府、科研网、互联网服务器前等都有大量设备部署应用，产品稳定性好，业内口碑好。1.最专业的服务，产品支撑好：·专业安全公司，具有独立攻防研究团队和安全支持人员，安全持续投入有保障。全国各地的本地化安全支持：响应快，服务态度好。方案价值通过在广域网边界部署流量清洗系统，能够发现流入单位网络流量中各种类型的DDOS攻击，迅速对攻击流量进行过滤或旁路，保证正常流量的通过，提高用户网络的安全性和业务的稳定性。该方案解决的问题包括：·通过流量清洗系统的异常流量分析功能，实现对流入单位内部网络的流量分析，能够识别其中的各类攻击流量；·通过流量清洗系统的攻击防护功能，实现对流量型DDoS攻击（如SYNFlood、UDPFlood、ICMPFlood、ACKFlood等）的有效过滤，保护通信链路带宽及内网设备不受攻击影响；·通过流量清洗系统的攻击防护功能，实现对应用层的DoS攻击（如HttpGetFlood、连接耗尽、CC等）的有效过滤，保证服务器或主机性能不受攻击影响。边界黑客入侵防护防护需求随着越来越多的系统本身漏洞以及应用系统的漏洞被发现，以及攻击者的入侵方式更加隐蔽，新的攻击方式层出不穷，所以单纯的依靠防火墙已经无法完全防御不断变化的入侵攻击的发生。传统的防火墙主要有以下的不足：防火墙作为访问控制设备，无法检测或拦截嵌入到普通流量中的恶意攻击代码，比如针对具体应用或系统的攻击等。防火墙无法发现内部网络中的攻击行为。由于防火墙具有以上一些缺陷，所以部署了防火墙的安全保障体系还有进一步完善的需要。等保规范需求根据《GB/T22239-2008信息系统安全等级保护基本要求》7.1.2.5入侵防范（G3）本项要求包括：a)应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等；b)当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。解决方案根据以上需求，设计在核心交换机出口和内网核心应用服务区出口部署网络入侵防护系统来实现。入侵防护系统通过接收进出信息系统的流量数据，从智能识别、环境感知、行为分析三方面加对应用协议、异常行为、恶意文件进行检测，精确识别应用等各层面攻。通过在核心交换价出口和内网核心应用服务区出口部署网络入侵防护系统分别来识别和阻断各类安全威胁攻击。详见“整体部署拓扑图”。【技术实现】本方案推荐选用绿盟科技网络入侵防护系统来部署实现。绿盟网络入侵防护系统（NIPS）基于高性能硬件处理平台，为客户提供从网络层、到应用层，直至内容层的深度安全防御，NIPS具有以下功能特点：1)全新的高性能软硬件架构NSFOCUSNIPS采用了全新的硬件平台，全新底层转发模块、多核架构和新一代的全并行流检测引擎技术，新平台和新架构的引入，优化了产品的功能，使处理性能较原来有了大幅度提升。同时大部分配置都是应用配置生效。增强了对客户业务的连续性支持。2)用户身份识别与控制功能NSFOCUSNIPS提供了用户身份识别与基于用户身份的访问控制功能，可以有效解决用户网内漫游带来的越权访问。传统NIPS产品基于IP地址进行访问控制，当非授权子网用户将终端接入到授权子网并配置为授权子网IP地址后即可访问和使用非授权的网络资源。结合NSFOCUSNIPS产品丰富的应用识别能力，可实现细粒度访问控制。3)更精细的应用层安全控制基于应用的识别技术，是各种应用层安全防护的基础，目前各类新的应用层出不穷，如QQ、MSN、文件共享、Web服务、P2P下载等，这些应用势必会带来新的、更复杂的安全风险。这些风险和应用本身密不可分，如果不结合应用来分析将无法抵御这些风险。NSFOCUSNIPS采用流检测技术对各类应用进行深入分析，搭建应用协议识别框架，准确识别大部分主流应用协议，可以对基于应用识别的应用进行精细粒度的管理，能够很好的对这些应用安全漏洞和利用这些漏洞的攻击进行检测和防御。支持在WEB界面和安全中心上配置应用管理策略，可根据应用管理策略控制应用的使用，并支持在对象中搜索名称，提高了策略配置的效率和产品易用性。4)基于用户身份的行为分析 系统中的用户根据各自的工作职责和个人爱好都会形成各自的行为习惯，这种行为习惯能够反应在日常的网络访问活动中。对这些网络访问活动进行分析并经过长时间地收敛，可以根据用户身份（Who）、地理位置/IP地址（Where）、业务系统/网络应用（Whom）、操作（What）、时间（When）、频次（How）等条件建立用户的正常网络访问模型。建立基于正常网络访问模型的单位网络“白环境”，当检测到网络中出现了违背白环境模型的异常行为时，则对其进行深入分析，以判断是否是攻击。NSFOCUSNIPS在用户身份识别、应用识别的基础上，将用户身份、业务系统、地理位置、操作频次等多种与操作相关的网络环境信息进行关联分析，建立企业网络白环境，准确识别用户异常行为。5)全面支持IPv6双协议栈(dualstack)架构，支持IPv6/IPv4双协议栈功能，能同时辨识IPv4和IPv6通讯流量。多种隧道模式的支持，确保IPv6过渡时代的网络通畅。IPv6环境下攻击检测技术和基于IPv6地址格式的安全控制策略，为IPv6环境提供了有力的入侵防护能力。NSFOCUSNIPS通过了IPv6Ready认证，保证了在IPv6环境下的互联互通。6)多种技术融合的入侵检测机制NSFOCUSNIPS以全面深入的协议分析为基础，融合权威专家系统、智能协议识别、协议异常检测、流量异常检测、会话关联分析，以及状态防火墙等多种技术，为客户提供从网络层、应用层到内容层的深度安全防护。智能协议识别和分析协议识别是新一代网络安全产品的核心技术。传统安全产品如防火墙，通过协议端口映射表（或类似技术）来判断流经的网络报文属于何种协议。但是，事实上，协议与端口是完全无关的两个概念，我们仅仅可以认为某个协议运行在一个相对固定的缺省端口。包括木马、后门在内的恶意程序，以及基于SmartTunnel（智能隧道）的P2P应用（如各种P2P下载工具、IP电话等），IMS（实时消息系统如MSN、YahooPager），网络在线游戏等应用都可以运行在任意一个指定的端口，从而逃避传统安全产品的检测和控制。NSFOCUSNIPS采用独有的智能协议识别技术，通过动态分析网络报文中包含的协议特征，发现其所在协议，然后递交给相应的协议分析引擎进行处理，能够在完全不需要管理员参与的情况下，高速、准确地检测出通过动态端口或者智能隧道实施的恶意入侵，可以准确发现绑定在任意端口的各种木马、后门，对于运用SmartTunnel技术的软件也能准确捕获和分析。NSFOCUSNIPS具备极高的检测准确率和极低的误报率，能够全面识别主流应用层协议。基于特征分析的专家系统特征分析主要检测各类已知攻击，在全盘了解攻击特征后，制作出相应的攻击特征过滤器，对网络中传输的数据包进行高速匹配，确保能够准确、快速地检测到此类攻击。NSFOCUSNIPS装载权威的专家知识库，提供高品质的攻击特征介绍和分析，基于高速、智能模式匹配方法，能够精确识别各种已知攻击，包括病毒、特洛伊木马、P2P应用、即时通讯等，并通过不断升级攻击特征，保证第一时间检测到攻击行为。绿盟科技拥有的业界权威安全漏洞研究团队NSFocus小组，致力于分析来自于全球的各类攻击威胁，并努力找到各种漏洞的修补方案，形成解药，融于NSFOCUSNIPS攻击特征库，以保持产品持续、先进的攻击防护能力。协议异常检测基于特征检测（模式匹配）的NIPS（N系列）产品可以精确地检测出已知的攻击。通过不断升级的特征库，NIPS（N系列）可以在第一时间检测到入侵者的攻击行为。但是，事实上，存在三个方面的因素导致协议异常的诞生。·厂商从提取某个攻击特征到最终用户的NIPS（N系列）产品升级需要一个时间间隔，在这个时间间隔内，基于特征检测的NIPS（N系列）产品是无法检测到黑客的该攻击行为的；·来自0-day或未公开exploit的隐蔽攻击即使是安全厂商往往也无法第一时间获得攻击特征，通常NIPS（N系列）无法检测这类具有最高风险的攻击行为；·Internet上蠕虫在15分钟内席卷全球，即使是最优秀的厂商也不能够在这么短的时间内完成对其的发现和检测。协议异常检测是NSFOCUSNIPS应用的另外一项关键技术，以深度协议分析为核心的NSFOCUSNIPS，将发现的任何违背RFC规定的行为视为协议异常。协议异常最为重要的作用是检测检查特定应用执行缺陷（如：应用缓冲区溢出异常），或者违反特定协议规定的异常（如：RFC异常），从而发现未知的溢出攻击、零日攻击以及拒绝服务攻击。作为一项成熟的技术，协议异常检测技术使得NSFOCUSNIPS具有接近100%的检测准确率和几乎0的误报率。流量异常检测流量异常检测主要通过学习和调整特定网络环境下的“正常流量”值，来发现非预期的异常流量。一旦正常流量被设定为基准（baseline），NSFOCUSNIPS会将网络中传输的数据包与这个基准作比较，如果实际网络流量统计结果与基准达到一定的偏离，则产生警报。在内置流量建模机制的同时，NSFOCUSNIPS还提供可调整的门限阀值，供网管员针对具体环境做进一步调整，避免因为单纯的流量过大而产生误报。流量异常检测和过滤机制使得NSFOCUSNIPS可以有效抵御分布式拒绝服务攻击(DDOS)、未知的蠕虫、流氓流量和其他零日攻击。7)2~7层深度入侵防护能力业界领先的安全漏洞研究能力绿盟科技作为微软的MAPP（MicrosoftActiveProtectionsProgram）项目合作伙伴，可以在微软每月发布安全更新之前获得漏洞信息，为客户提供更及时有效的保护。公司的安全研究部门NSFOCUS小组，已经独立发现了40多个Microsoft、HP、CISCO、SUN、Juniper等国际著名厂商的重大安全漏洞，保证了NSFOCUSNIPS技术的领先和规则库的及时更新，在受到攻击以前就能够提供前瞻性的保护。高品质攻击特征库覆盖广泛的攻击特征库携带超过3000条，由NSFOCUS安全小组精心提炼、经过时间考验的攻击特征，并通过国际最著名的安全漏洞库CVE严格的兼容性标准评审，获得最高级别的CVE兼容性认证（CVECompatible）。绿盟科技具有领先的漏洞预警能力，是目前国内唯一向国外（美国）出口入侵检测规则库的公司。绿盟科技每周定期提供攻击特征库的升级更新，在紧急情况下可提供即时更新。广泛精细的攻击检测和防御能力NSFOCUSNIPS主动防御已知和未知攻击，实时阻断各种黑客攻击，如缓冲区溢出、SQL注入、暴力猜测、拒绝服务、扫描探测、非授权访问、蠕虫病毒、僵尸网络等，广泛精细的应用防护帮助客户避免安全损失。NSFOCUSNIPS同时具备全面阻止木马后门、广告软件、间谍软件等恶意程序下载和扩散的功能，有助于企业降低IT成本、防止潜在的隐私侵犯和保护机密信息。IP碎片重组与TCP流汇聚 NSFOCUSNIPS具有强大的IP碎片重组、TCP流汇聚，以及数据流状态跟踪等能力，能够检测到黑客采用任意分片方式进行的攻击。虚拟补丁NSFOCUSNIPS提供“虚拟补丁”功能，在紧急漏洞出现而系统仍不具备有效补丁解决方案时，为客户提供实时防御，增强了客户应对突发威胁的能力，在厂商就新漏洞提供补丁和更新之前确保企业信息系统的安全。强大的D.o.S攻击防护能力NSFOCUSNIPS能够全面抵御ICMPFlood、UDPFlood、ACKFlood等常见的D.o.S攻击，阻挡或限制未经授权的应用程序触发的带宽消耗，极大限度地减轻D.o.S攻击对网络带来的危害。应用客户端的漏洞防护能力内置最新的基于应用客户端的漏洞防护规则，绿盟攻防研究团队对客户端易受漏洞攻击的应用进行了长期的跟踪和研究，积累了大量的经验成果，并转化为产品规则，有力提升了产品的内网入侵防护能力。8)APT攻击防护为了有效的应对APT攻击，针对已知和未知威胁的定向检测，IPS通过流式扫描引擎发现已知的基于签名的攻击，TAC通过静态引擎和虚拟执行发现0day漏洞攻击和未知恶意软件，通过IPS与TAC进行无缝联动，实现对已知攻击和未知攻击的检测防御，同时能够将未知攻击签名化，加强丰富IPS签名库能力，对APT攻击实现主动检测防御。9)先进的Web威胁抵御能力越来越多的病毒、木马等恶意代码将基于HTTP方式传播，新一代的Web威胁具备混合性、渗透性和利益驱动性，成为当前增长最快的风险因素。员工对互联网的依赖性使得企业网络更容易受到攻击，导致用户信息受到危害，对公司数据资产和关键业务构成极大威胁。NSFOCUSNIPS内置先进、可靠的Web信誉机制，采用独特的Web信誉评价技术和URL过滤技术，在用户访问被植入木马的页面时，给予及时报警和阻断，能够有效抵御Web安全威胁渗入企业内网，防止潜在的隐私侵犯，保护企业机密信息。10)恶意文件防御和取证能力网络中存在大量恶意文件，通过网站文件服务器、邮件服务器实现传播，对企业网络安全构成潜在威胁。NSFOCUSNIPS采用流式技术对网络中传送的文件，进行快速检测，比对文件信誉，对发现恶意的文件进行告警和阻断，同时还能够将恶意文件进行还原保存，用于恶意行为分析，还可以实现取证调查工作。11)流式扫描的病毒检测技术传统的病毒检测基于文件还原技术，性能低、内存消耗大，防护效果一般。NSFOCUSNIPS采用业界领先的防病毒引擎，高效的流式扫描技术，能够针对全球热点病毒进行实时检测，同时性能高，对于系统资源消耗小。病毒库更新速度快，误报率低，防护效果明显。12)基于应用的流量管理NSFOCUSNIPS提供强大、灵活的流量管理功能，采用全局维度（协议/端口）、局部维度（源/目的IP地址、用户、网段）、时间维度（时间）、流量纬度（带宽）等流量控制四元组，实现基于内容、面向对象的流量保护策略。NSFOCUSNIPS智能识别并分类各类应用后，通过流量许可和优先级控制，阻断一切非授权用户流量，管理合法网络资源的利用，使得网络中不同类型的流量具有更合理的比例和分布，并结合最小带宽保证，及最大带宽和会话限制，有效保证关键应用全天候畅通无阻。13)部署极其简便零配置上线零配置上线，即设备出厂状态下不用做任何配置，联通一对网口即可上线工作并能取得理想的防护效果。简便的策略管理客户的网络拓扑环境和资产防护类型千差万别，如何能根据自己网络应用情况简单配置各种入侵防护策略，并能取得最好的防护效果是客户面临的一个比较大的问题。NSFOCUSNIPS内置了多种高效的规则模板，便于用户依照不同的网络环境有选择的使用，以达到策略管理的最简化和防护效果的最大化。例如，系统缺省规则模板根据防护的资产类型有WEB服务器模板、Windows服务器模板、UNIX服务器模板，通用服务器模板。用户可通过自身网络的资产防护对象来选择使用，并且还可以通过系统提供的多种自定义方式建立个性的防护模板，最终达到更好的防护效果。这些高效的系统策略模板的建立方式和技术原理：·高级规则动作判定算法保证了规则防护和分类的有效性。规则配置文件中会以标签形式新增四个标签分别是规则类型、可靠度、攻防相关事件类型、策略模板类型，其中会根据可靠度和事件类型标签生成策略模板中各个规则动作（即阻断和告警），规则配置文件采用了多重判断和算法叠加的方式进行自动生成。·规则自动加权算法保证规则的可靠性。独创的绿盟规则加权分类算法，通过加权机制，依照不同的分类属性，特征匹配度综合判断规则的可靠性并附值，以不同的权值再次进行规则分类和分组保证了规则的可靠性。14)强大的管理能力灵活的Web管理方式NSFOCUSNIPS支持灵活的Web管理方式，适合在任何IP可达地点远程管理，支持MSIE、Netscape、Firefox、Opera等主路的浏览器，真正意义上实现了跨平台管理。丰富的多级管理方式NSFOCUSNIPS支持三种管理模式：单级管理、多级管理、主辅管理，满足不同企业不同管理模式需要。单级管理模式：安全中心直接管理网络引擎，一个安全中心可以管理多台网络引擎。适合小型企业，用于局域网络。主辅管理模式：网络引擎同时接受一个主安全中心和多个辅助安全中心的管理。主安全中心可以完全控制网络引擎；辅助安全中心只能接受网络引擎发送的日志信息，不能操作网络引擎。适合大型企业或者有分权管理需求的用户。多级管理模式：安全中心支持任意层次的级联部署，实现多级管理。上级安全中心可以将最新的升级补丁、规则模板文件等统一发送到下级安全中心，保持整个系统的完整统一性；下级安全中心可以通过配置过滤器，使上级安全中心只接收它关心的信息。适合跨广域网的大型企业用户。带外管理（OOB）功能NSFOCUSNIPS提供带外管理（OOB）功能，解决远程应急管理的需求，减少客户运营成本、提高运营效率、减少宕机时间、提高服务质量。升级管理NSFOCUSNIPS支持多种升级方式，包括实时在线升级、自动在线升级、离线升级，使NIPS（N系列）提供最前沿的安全保障。15)完善的报表系统高品质的报表事件NSFOCUSNIPS事件过滤系统支持采用攻击发生时间范围、事件名称、事件类别、所属服务、源网络范围、目的网络范围、触发探测器、攻击结果、事件动作等多种粒度过滤探测器所产生的告警日志，仅记录相关的攻击告警事件，极大地减小了攻击告警的数量，提高了对于高风险攻击的反应速度。多样化的综合报表NSFOCUSNIPS报表系统提供了详细的综合报表、自定义三种类型10多个类别的报表模板，支持生成：日、周、月、季度、年度综合报表。报表支持MSWord、Html、JPG格式导出。同时支持定时通过电子邮件发送报表至系统管理员。强大的“零管理”从实时升级系统到报表系统，从攻击告警到日志备份，NSFOCUSNIPS完全支持零管理技术。所有管理员需要日常进行的操作均可由系统定时自动后台运行，极大地降低了维护费用与管理员的工作强度。16)完备的高可用性丰富的HA部署能力NSFOCUSNIPS具备基于会话、配置等信息同步的HA部署能力，支持A/A和A/S两种部署方式，在出现设备宕机、端口失效等故障时，能够完成主机和备机的即时切换，确保关键应用的持续正常运转。完整的BYPASS解决方案IPS作为一种在线串联部署设备，首先要确保客户业务数据畅通,而完备的BYPASS解决方案保证了设备出现故障时基础网络依然畅通，确保了客户基础业务数据不受影响。NSFOCUSNIPS的BYPASS特性由以下三部分组成，由此形成一套完整的BYPASS解决方案：·提供硬件BYPASS功能，IPS在出现硬件故障或意外事故时（意外掉电、意外重启、硬件宕机等），数据会自动切到BYPASS转发，保证了业务的连续性。·提供软件BYPASS功能，系统软件故障时，自动实现旁路保护，避免网络中断等事故的发生。软件BYPASS工作流程描述：系统内置安全和数通引擎，通过心跳交互，当数通引擎检测到安全引擎更新心跳超时后，不会再将包交给安全引擎进行处理，而是将等待安全引擎处理队列中的包和新收到的包直接进行转发，以保障网络畅通。·支持外置BYPASS硬件设备部署，如光BYPASS交换机等，扩展形成完整的BYPASS解决方案。过载保护能力当IPS部署环境流量超过设备安全引擎所能承受最大处理能力时，为保障客户网络畅通所采用的一种保护措施。它的作用是尽量降低网络延时，减少因安全引擎性能问题造成的网络丢包。冗余电源支持NSFOCUSNIPS支持热插拔的冗余双电源，避免电源硬件故障时设备宕机，提高设备可用性。17)丰富的响应方式NSFOCUSNIPS提供丰富的响应方式，包括：丢弃数据包、阻断会话、IP隔离、邮件报警、短信报警、安全中心显示、日志数据库记录、运行用户自定义命令等，同时提供标准snmptrap（V1、V2、V3）和syslog接口，可接受第三方管理平台的安全事件集中监控、报告和管理。支持CEF通用事件格式，能够与ArcSight无缝融合。18)高可靠的自身安全性安全可靠的系统平台NSFOCUSNIPS采用安全、可靠的硬件平台，全内置封闭式结构，配置完全自主知识产权的专用系统，经过优化和安全性处理，稳定可靠。系统内各组件通过强加密的SSL安全通道进行通讯防止窃听，确保了整个系统的安全性和抗毁性。用户权限分级管理NSFOCUSNIPS安全中心身份验证系统采用独立于操作系统的权限管理系统，管理权限与审计权限独立，提供对系统使用情况的全面监管和审计。实时日志归并NSFOCUSNIPS归并引擎由规则驱动，可以执行任意粒度的日志归并动作，完全避免Stick此类Anti-NIPS（N系列）攻击。多点备份NSFOCUSNIPS的探测引擎可以将攻击告警日志，实时发送到多个绿盟安全中心或日志数据库保存，避免因为数据损坏或丢失而导致系统不可用的事故发生。19)威胁可视化IPS为探针的形态生产的告警日志信息上传到BSA，配置ESPC实现资产识别信息同步给BSA，以资产域范围分析告警日志，实现日志关联分析、威胁分析、异常流量