网络安全等级保护之通用安全技术体系设计

阅读量：

1、安全物理环境

1）安全物理环境技术标准

安全物理环境技术标准：

2）物理位置选择

1. 机房场地应选择在具有防震、防风和防雨等能力的建筑内。

2. 机房场地应避免设在建筑物的顶层或地下室，否则应加强防水和防潮措施。

机房所在的大楼具有防震、防风和防雨等能力。机房应采取铺设防水涂料，建立防水层保护等施工措施，加强了防水能力。同时，机房环境动力监控系统应具备漏水检测功能，将漏水检测带部署在机房地势最低洼处，一旦发生机房漏水或冷凝水，则会通过环境动力监控系统自动报警，通知管理人员处置。

3）物理访问控制

1. 机房出入口应配置电子门禁系统，控制、鉴别和记录进入的人员。

2. 重要区域应配置第二道电子门禁系统，控制、鉴别和记录进入的人员。

机房有一个出入口（如图5-1所示），内部划分为缓冲区、设备区。其中设备区内部署服务器、网络安全设备等关键设备，属于机房重要区域，设备区出入口配置第二道电子门禁系统，控制、鉴别和记录进入的人员。

4）防盗窃和防破坏

1. 应将设备或主要部件进行固定，并设置明显的不易除去的标志。
2. 应将通信线缆铺设在隐蔽处。
3. 应设置机房防盗报警系统或设置有专人值守的视频监控系统。
4. 机房内所有设备和线缆按照统一格式打标签，标签使用黄色标签纸，用标签打印机打印出，避免手写或涂改，并将标签粘贴于设备表面明显处（通常粘贴在前面板或上面板）。

具体设备和线缆标签格式见表。

机房内所有设备统一粘贴设备信息标签：

所有设备网络接口/端口统一粘贴接口/端口标签：

所有通信线缆均部署在线槽及架空铺设在机房桥架等隐蔽处，机房缓冲区、设备区均部署红外报警系统及视频监控系统，红外报警系统的警报端设置在大楼保安室，一旦发生安全事件，由安全人员第一时间接警处置。在机柜通道处，增设摄像头视频覆盖。视频监控服务器位于机房设备区，视频监控记录保存6个月。

5）防雷击

1. 应将各类机柜、设施和设备等通过接地系统安全接地。
2. 应采取措施防止感应雷，如设置防雷保安器或过压保护装置等。
3. 设备区的所有机柜和设备都有安全地线，电源采用UPS，自带稳压及过压保护装置，可有效防止电压震荡及感应雷对信息设备的破坏。

6）防火

1. 机房应设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火。

2. 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料。
3. 机房应划分区域进行管理，区域和区域之间设置隔离防火措施。
4. 机房内设置了早期火灾预警系统，通过与环境动力监控系统联动，可自动发现并通过七氟丙烷气体自动消防灭火，通过声光信号自动向控制台报警及通过手机短信向管理员报警。
5. 机房区域划分为缓冲区和设备区，按分区管理，区域之间采用防火材料的隔断，具有物理隔离和防火隔离双重功能。

7）防水和防潮

1. 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透。
2. 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。
3. 应安装对水敏感的检测仪表或元件，对机房进行防水检测和报警。
4. 机房内窗户已长期关闭，并在边缘放置遇水变色的检测试纸，定期巡查机房。此外，机房地板低洼处部署了漏水检测线，可对漏水及凝结水自动报警。通知管理员及时处置。机房精密空调单独建设了回水槽和防水坝，避免凝结水外溢到机房地板。此外，机房施工时，已做防水处理工艺。

8）防静电

1. 下应安装防静电地板或地面采取必要的接地防静电措施。
2. 应采取防静电措施，如采用静电消除器、佩戴防静电手环等。

机房地面采用防静电地板，机房出入口安装有静电消除铜球，进入人员可提前释放静电。缓冲区办公桌内有防静电手环，可进一步消除及防止人体静电的产生。

9）温湿度控制

应设置温湿度自动调节设施，使机房温湿度的变化控制在设备运行所允许的范围之内。

机房内部署机房空调，24小时运行，设置温度为24°恒温。空调内置状态监控，可自动监测运行状态，如出现设备故障可自动通过声音报警，并通过环境动力监控系统报警。

10）电力供应

1. 应在机房供电线路上配置稳压器和过电压防护设备。
2. 应提供短期的备用电力供应，至少满足设备在断电情况下的正常运行要求。

3. 应设置冗余或并行的电力电缆线路为计算机系统供电。
4. 应提供应急供电设施。
5. 机房供电线路上部署了UPS短期供电装置，包括UPS主机和配置电池，电池组支持机房全部设备30分钟电力供应，可应对临时短期断电。

6. 机房供电如有条件，可接两路市电，或者柴油发电机组，实现冗余供电。

11）电磁防护

1. 电源线和通信线缆应隔离铺设，避免互相干扰。
2. 关键设备或关键区域应实施电磁屏蔽。

项目中弱电线缆已实施综合集成布线工程，所有电源线与通信线缆均分开铺设，并且本项目所有垂直子系统布线均采用光纤，水平子系统采用超六类线缆，确保了数据通信不会被电力线缆电磁干扰。

项目中的关键设备指服务器、存储、VPN加密机，均部署在屏蔽效能为C级的屏蔽机柜中，符合关键设备电磁屏蔽的相关要求。

2、安全通信网络

1）网络和通信安全技术标准

网络和通信安全技术标准如下表所示。

2）安全体系架构

为了对×××系统实现良好的安全保障，参照等级保护的要求对系统安全区域进行划分设计，实现内部办公、数据共享交换与外部接入区域之间的安全隔离，并对核心区域进行冗余建设，用以保障关键业务系统的可用性与连续性。

1. 安全域划分原则

安全域由安全保护对象中安全计算环境和安全区域边界组成，根据安全域的描述可以对保护对象进行进一步的划分，同时使整个网络逻辑结构清晰。

安全域可以根据其更细粒度的防护策略，进一步划分成安全子域，其关键是能够区分防护重点，形成重要资源重点保护的策略。

安全域划分所遵循的根本原则有以下6项。

（1）业务保障原则

安全域划分的根本目标是更好地保障网络上承载的业务，在保证安全的同时，还要保障业务的正常运行和运行效率。

（2）适度安全原则

在安全域划分时会面临有些业务紧密相连，但是根据安全要求（信息密级要求、访问应用要求等），又要将其划分到不同安全域的矛盾。是将业务按安全域的要求强行划分，还是合并安全域以满足业务要求？必须综合考虑业务隔离的难度和合并安全域的风险（会出现有些资产保护级别不够），从而给出合适的安全域划分。

（3）结构简化原则

安全域划分的直接目的和效果是将整个网络变得更加简单，简单的网络结构便于设计防护体系。例如，安全域划分并不是粒度越细越好，安全域数量过多、过杂可能导致安全域的管理过于复杂和困难。

（4）等级保护原则

安全域划分要做到每个安全域的信息资产价值相近，具有相同或相近的安全等级、安全环境、安全策略等。

（5）立体协防原则

安全域的主要对象是网络，但是围绕安全域的防护需要考虑在各个层次上立体防守，包括在物理链路、网络、主机系统、应用等层次；同时，在部署安全域防护体系时，要综合运用身份鉴别、访问控制、检测审计、链路冗余、内容检测等各种安全功能实现协防。

（6）生命周期原则

对于安全域的划分和布防不仅仅要考虑静态设计，还要考虑不断地变化，另外，在安全域的建设和调整过程中要考虑工程化的管理。

2. ×××系统网络安全域划分

根据×××系统的网络整体安全需求并结合《信息安全技术网络安全等级保护基本技术要求》和《信息安全技术网络安全等级保护安全设计技术要求》中的相关要求，区域划分如下。

（1）远程用户接入区

该接入区包含互联网通信的路由设备和网络安全边界设备，与DMZ区、核心网络区有通信，向外连接互联网，向内连接外网DMZ区，负责×××系统对移动互联网用户的接入。

（2） DMZ服务器区

DMZ服务器区包含DMZ交换机和对外应用服务器，向外与其他单位专网有通信，直接连接专网接入区的边界设备，向内与安全管理区有通信。

（3）核心网络区

核心网络区包含核心交换机和安全设备，对网络信息系统起到数据通信的支撑作用。向外连接互联网接入区，负责内部网络与互联网的数据交互；向内连接业务服务器区、安全管理区、办公终端区等，主要负责各区域间的通信。这样部署提高了网络通信能力，增加了网络可靠性和安全性，为今后网络信息系统扩展提供了一个基础网络平台。

（4）安全管理区

安全管理区包含网络管理系统、防病毒系统、补丁升级系统、IDS管理端、漏洞扫描系统等，与所有的区域都有通信，连接核心网络区。

（5）业务服务器区

业务服务器区向外连接核心网络区与其通信，这样调整增加了服务器区网络的稳定性同时具备更好的扩容能力。

（6）业务终端区

业务终端区包含楼层接入交换机，与业务服务器区和DMZ服务器区有通信，连接核心网络区。

（7）共享交换区

共享交换区与其他网络，如视联网、其他专网进行数据共享交换，可供其他专网用户直接访问，通过两套网闸与内部应用逻辑隔离，分别由外向内导入和由内向外导出，连接核心交换区。

（8）专网接入区

业务与上级及下级进行通信，通过核心接入区与DMZ服务器区和业务服务器区连接。

3）网络通信安全

1. 基于专网的广域网传输安全

×××系统依托于电子政务外网，电子政务外网是与互联网逻辑隔离的专用网络，其广域网传输按照国家电子政务外网建设的相关规范要求进行建设，在整个传输链路上都有相关的传输加密的整体设计，符合等级保护对于通信传输加密的安全要求。

2. 基于互联网的广域网传输安全

（1）安全风险

随着远程办公、移动办公的普及，越来越多的单位内部的员工通过互联网接入内部办公系统，此外，随着业务规模的扩大，办公场所增加，不同地域的分支机构往往需要通过互联网将分散的办公地点进行网络互联。

×××系统由于业务需要，存在大量远程办公用户，这些用户通过互联网访问内部应用系统，远程办公方式为用户带来了很大便利，但是，也增加了安全风险。如果工作人员使用移动办公设备传输数据时发生了篡改，或者敏感数据发生泄露的话，后果将会非常严重。所以如何保证移动办公的远程传输安全、数据安全和身份安全等是单位需要考虑的重中之重。

（2）控制措施

通过部署安全接入网关（SSL VPN）可以实现远程用户的安全访问，从用户接入身份的安全性、终端设备的合法性、访问业务系统的权限合法性、业务数据传输的安全性等多个层面保障用户跨互联网远程接入的安全。主要控制措施如下。

① 采用密码技术，符合国家密码管理相关要求。为确保密码算法的安全性，远程传输加密的设备或组件除了需要支持AES、DES、 3DES、RSA等多种国际主流的商用加密算法之外，还需要支持国密算法，包括 SM1、SM2、SM3、SM4等。

② 数据远程传输加密保护。远程办公终端连接VPN以后，远程终端与网关之间采用加密传输协议进行数据传输，从而实现数据的保密性。

③ 数据远程传输完整性保护。远程办公终端在传输数据的过程中，通过采用校验码技术或密码技术对传输数据的完整性进行验证和保护。

④ 多因素认证，确保身份安全。采用多种认证方式的多因素组合认证，包括用户名密码方式、数字证书认证、指纹认证、Radius动态口令等多种身份认证方式，支持采用密码技术的身份认证需求。

（3）产品部署

在互联网区部署安全接入网关（SSL VPN），实现非可信链路的传输层加密，确保信息通过互联网传输时的机密性和完整性。作为互联网远程接入解决方案的门户，为实现高可用性，可采用双机热备方式，根据实际业务场景选择“主—从”或“主—主”业务模式。

3、安全区域边界

1）安全区域边界技术标准

安全区域边界技术标准如下表所示。

2）边界访问控制

1. 边界防护与访问控制

（1）安全风险

边界是信息安全的第一道防线，所有访问内部应用的数据均会通过网络边界进入内部网络，随着攻击手段的不断演进，边界所面临的安全风险越来越高，频发突发、隐蔽性强、手段多样、实施体系化的复合型攻击，这已经成为当前网络边界威胁的主要特征。事实证明，每一次网络攻击的成功，都是攻击者通过技术手段数次突破网络边界防线的过程，传统的边界防御技术已经不能满足新的边界安全防护的需求。

（2）控制措施

针对新的边界安全威胁，边界访问控制已经成为基本安全措施，必不可少，但为了更加有效地应对当前的网络威胁，防火墙设备应当更加智能化、联动化，以满足安全有效性和防御实时性的切实需求。

当前，下一代防火墙技术已经逐步成熟，通过相关功能实现及策略配置，可实现上述要求，防火墙主要功能及配置要求如下。

① 访问控制

基于IP、安全域、VLAN、时间、用户、地理区域、服务协议及应用等多种方式进行访问控制，一条安全策略可配置应用控制、入侵防护、URL过滤、病毒检测、内容过滤、网络行为管理等高级访问控制功能，能对HTTP、SMTP、POP3、IMAP、FTP、TELNET协议进行细粒度的控制，过滤不受信任的网络行为。

② 应用层访问控制

应用层访问控制能实现文件过滤、URL过滤、邮件过滤等，以及实现针对主要的应用协议如HTTP、FTP、POP3、SMTP、IMAP等的双向内容传输过滤，可预定义或自定义敏感信息库。

③ 入侵防范

对于主要攻击能进行防范，该入侵防范包括Flood（SYN Flood、 ICMP Flood、UDP Flood、IP Flood）、恶意扫描（禁止Tracert、IP地址扫描攻击、端口扫描）、欺骗防护（IP欺骗、DHCP监控辅助检查）、异常包攻击（Ping of Death、Teardrop、IP选项、TCP异常、Smurf、 Fraggle、Land、Winnuke、DNS异常、IP分片）、ICMP管控（禁止ICMP分片、禁止路由重定向报文、禁止不可达报文、禁止超时报文、 ICMP报文大小限制）、应用层Flood（DNS Flood、HTTP Flood）、 SYN Cookie等。

④ 负载均衡

基于IP、ISP、应用、用户、服务等能实现多链路负载均衡、DNS流量的负载均衡，以及基于服务器地址的负载均衡。

⑤ 高可靠性

防火墙具备双机热备功能，在路由和透明模式下支持“主—备” “主—主”模式，能实现接口联动、链路探测。

⑥ 动态QoS功能

防火墙可配置带宽限制策略。策略类型包括共享型和独享型，用户优先级分为高、中、低，服务类型包括应用层的多种协议。在用户都满足保证带宽的情况下，高优先级用户将抢占中、低优先级用户带宽，中优先级用户将抢占低优先级用户带宽。当网络中存在空闲带宽时，防火墙系统会根据当前网络带宽分配情况，自动将空闲带宽分配给重要业务，保证重要业务的正常访问。

⑦ 支持IPv6

防火墙能够支持完整的双栈协议，支持IPv6下的多种功能，如网络功能和安全功能，包括IPv6接口、IPv6路由、IPv6认证管理、IPv6日志管理、IPv6 VPN、IPv6安全功能及安全策略等。

⑧ 虚拟防火墙

虚拟防火墙具备虚拟系统功能，即将防火墙虚拟成多个相互隔离并独立运行的虚拟防火墙，每一个虚拟系统都可以为用户提供定制化的安全防护功能，并可配备独立的管理员账号。

⑨ 协同联动

防火墙能够实现与终端安全管理系统、云端的URL库、病毒库、应用识别库等资源协同联动，提升对已知威胁的识别效率，并能从网络层及时阻断在终端发现的威胁。

⑩ 日志管理

日志管理指对各类日志，如流量日志、威胁日志、URL过滤日志、邮件过滤日志、行为日志等进行分析和日志外发，能基于IP、用户、接口、地区、应用等过滤条件搜索自定义时间段内的历史日志。

各安全区域都应针对自身业务特点设定访问控制策略，下表描述了各安全区域之间的访问控制关系，在对各网络安全区域设置安全策略时，以此为参考原则进行设置。

访问控制策略应根据网络及业务变化和单位的安全基线进行合理配置和及时调整，删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化。

（3）产品部署

防火墙一般部署在各安全域边界，在互联网接入区边界、安全管理区边界、核心业务区边界均建议单独部署防火墙设备，设置严格的访问控制规则，并定期进行策略的检查和优化。

2. 边界隔离与访问控制

（1）安全风险

×××系统作为×××单位重要的核心业务应用，其业务系统处理和存储了大量敏感业务信息，且需要与×××网进行频繁的业务数据的交换，但一旦与外网连接，将存在被恶意人员利用进行端口攻击、非授权访问等安全风险。为确保×××系统的核心业务数据安全，在设计上不能与其他网络直接互联，需要采用更高安全级别的产品来实现边界隔离，以确保核心业务边界不被非法侵入。

（2）控制措施

为保证数据信息实时传递的同时，实现强逻辑安全隔离，需要采用安全隔离与信息交换系统（网闸），保障“内外网安全隔离”“适量的信息交换”。

安全隔离技术的工作原理是使用带有多种控制功能的固态开关读写介质连接两个独立的主机系统，模拟人工在两个隔离网络之间的信息交换。其本质在于：两个独立的主机系统之间，不存在通信的物理连接与逻辑连接和依据TCP/IP的信息包转发，只有格式化数据块的无协议“摆渡”。被隔离网络之间的数据传递方式采用完全私有的方式，不具备任何通用性。

网闸系统的主要功能包括以下几点。

（1）用户认证和授权

用户认证和授权能实现对网闸管理用户的多样灵活的身份认证，以及对设备自身的安全管理，认证方式包括本地用户名及口令认证、U-Key认证、基于数字证书的认证、Radius远程访问认证、LDAP认证以及多方式结合的双因子认证等。

① 文件类型检查

网闸可对传输的文件进行类型检查，只允许符合安全策略的文件通过网闸传递，避免传输二进制文件可能带来的病毒和敏感信息泄露等问题。

② 高安全的文件交换

网闸可实现基于纯文件的交换方式，内网和外网的数据传输模块各自对文件进行病毒扫描、签名校验、文件类型校验、文件内容过滤，对符合要求的文件进行转发。为了避免网络漏洞，网闸不开放任何连通两侧的网络通道，在保证绝对安全的前提下，通过数据摆渡实现文件交换。

③ 数据库同步

网闸的数据库同步功能，完全内置于网闸内部，所有的同步操作由网闸自己独立完成，并能满足各种数据库同步工作的需要。由于是网闸自身发起的动作，所以网闸两侧不开放任何基于数据库访问或者定制TCP的网络服务端口，避免网络安全漏洞。

④ 传输方向控制

传输方向控制采用双通道通信机制，从可信网到非可信网的数据流与从非可信网到可信网的数据流采用不同的数据通道，对通道的分离控制保证各通道的传输方向可控。在特殊应用环境中可实现数据的单向传送，以避免信息的泄露。

⑤ 安全审计

网闸可根据特定的需要进行日志审计（包括系统日志、访问控制策略日志、应用层协议分析日志等），并能进行本地日志缓存，可实现本地日志的浏览查询等操作，以及日志的分级发送。

（2）产品部署

针对不同的业务场景，网闸有不同的部署方式，常见的部署方式如下。

① 数据库安全同步部署方式

针对电子政务等场景，该部署方式允许公众通过互联网提交服务申请并查询结果，但不允许直接访问核心数据库，可在核心数据库服务器和外部不可信网络间部署网闸，在Web服务区部署前置数据库，则来自互联网的用户只能通过Web服务器访问到前置数据库服务器。根据安全策略定时将前置数据库和核心数据库的内容进行同步，既可满足对外服务的要求又提供了安全保障。

② 文件安全交换部署方式

在内外网之间部署网闸系统，由安全管理员制定相应的信息交换策略，如交换方向、文件类型、只允许或不允许包含相应内容的文件通过等，可对文件进行内容检查、查病毒等处理，网闸定时进行文件交换。

3）边界入侵防护

1. 边界入侵防御

（1）安全风险

随着国家信息化的发展，网络攻击活动也愈演愈烈，而网络攻击造成的破坏性因信息化程度的高度集中也越来越大。主要呈现如下趋势：网络应用越来越复杂，单纯地依靠端口识别应用以达到攻击检测的目的不再有效；网络带宽的快速增长对入侵防护系统的处理能力带来挑战，仅依靠防火墙这样的边界防护设备实现网络攻击检测已经远远不能满足要求，具备大流量业务并发处理能力的专业设备尤其重要；除具备针对网络层/传输层的基础攻击防护外，针对应用层深度识别和防御能力越发重要。

因此，如何有效地对网络攻击行为、异常行为进行监测防御，是边界安全的重要一环。

（2）控制措施

在网络区域的边界处，需要通过部署入侵防御设备对网络攻击行为进行检测与阻断，并及时报警和产生详尽的报告。

入侵防御设备需要具备以下功能。

① 新一代检测分析技术

新一代检测引擎能结合异常检测与攻击特征数据库检测的技术，同时也包含了深层数据包检查能力，除了检查到第四层数据包外，能更深入检查到第七层的数据包内容，以阻挡恶意攻击的穿透，同时不影响正常程序的工作。

② 多层多类型攻击检测

多层多类型攻击检测可以检测多层多种类型攻击，如应用型攻击：包括Web cc、http get flood、DNS query flood等攻击；流量性攻击：包括SYN Flood、UDP Flood、ICMP Flood 、ARP Flood、Frag Flood、 Stream Flood等攻击；蠕虫连接型攻击；普通常见攻击：包括ipspoof、 sroute、land、TCP标志位攻击、fraggle攻击、winnuke、queso、sf_scan、null_scan、xmas_scan、ping-of-death、smurf、arp-reverse-query、arp-spoofing等。

③ 双向攻击检测

通过对进出网络的流量进行采集分析，可对由内向外发起的网络攻击行为和由外向内发起的网络攻击行为均进行检测和告警。

④ 日志告警和阻断

网络入侵防御系统除了需要能检测和辨别出各种网络入侵攻击，保护网络及服务器主机的安全外，还需要提供完整的取证信息，提供客户追查黑客攻击的来源，这些信息包括黑客攻击的目标主机、攻击的时间、攻击的手法种类、攻击的次数、黑客攻击的来源IP地址等，并提供包括Email/SNMP trap/声音等方式的告警。对于在线部署模式，可以对攻击行为进行实时阻断。

⑤ 高可用性

对于在线部署模式的设备，当出现软件故障、硬件故障、电源故障时，系统bypass电口自动切换到直通状态以保障网络可用性，能够避免单点故障，不会影响业务。

（3）产品部署

入侵防御系统支持在线部署和旁路部署，针对×××系统的网络环境及业务需求，通过在互联网接入边界部署入侵防御系统，实现对网络事件的检测，入侵防御系统采用串接方式部署在防火墙和核心交换机之间，能够有效检测和阻断入侵攻击。

2. 高级威胁攻击检测

（1）安全风险

近年来，具备国家和组织背景的新型网络攻击日益增多，其中最为典型的为APT攻击，而APT攻击采用的攻击手法和技术都是未知漏洞（0 day）、未知恶意代码等，在这种情况下，依靠已知特征、已知行为模式进行检测的IDS、IPS，在无法预知攻击特征、攻击行为模式时，理论上就已经无法检测APT攻击了。

APT攻击的隐蔽性、持久性和复杂性远超普通的网络攻击行为，且针对的往往是政府、企业、金融等单位的关键应用系统，正是由于APT攻击的特点，其造成的破坏性往往也是巨大的，使单位、行业乃至国家安全面临严峻挑战，必须采用专门的技术措施对这类攻击进行检测、发现和分析，并能够追踪溯源。

（2）控制措施

通过部署专业的APT检测设备，实现对新型网络攻击行为的发现、分析、追溯的能力，设备所需具备的功能包括以下几项。

① APT攻击发现

由于APT攻击的复杂性和背景的特殊性，仅依赖于单一企业的数据经常无法有效地发现APT攻击，难以做到真正的追踪溯源，而从互联网数据进行发掘和分析，由于任何攻击线索都会有相关联的其他信息被互联网数据捕捉到，所以从互联网进行挖掘可极大地提升未知威胁和APT攻击的检出效率，而且由于数据的覆盖面更大，可以做到攻击的更精准溯源。

② APT攻击定位、溯源与阻断

通过威胁情报的形式对各种攻击中常出现的特点和背景信息进行记录和传输，而威胁情报将通过统一的规范化格式将攻击中出现的多种攻击特征进行标准化，可对未来扩展攻击特征并进行精准攻击定位和溯源提供支撑。

对APT攻击的定位、溯源和阻断离不开专业的安全分析团队，需要能够针对用户网内发现的APT攻击等行为进行深度挖掘和分析，减少损失。

③ 未知恶意代码检测

针对新型攻击和病毒，需要采用机器学习等人工智能算法，通过恶意代码智能检测技术，对海量程序样本进行自动化分析，解决大部分未知恶意程序的发现问题。

④ 未知漏洞攻击检测

基于轻量级沙箱的未知漏洞攻击检测引擎对客户端应用中已知漏洞和未知0 day漏洞的攻击利用进行检测。

（3）产品部署

APT攻击检测设备旁路部署在核心交换机上，对用户网络中的流量进行全量检测和记录，所有网络行为都将以标准化的格式保存于数据平台，云端威胁情报和本地文件威胁鉴定器分析结果与本地分析平台进行对接，为用户提供基于情报和文件检测的威胁发现与溯源的能力。

4）边界完整性检测

1. 网络安全准入

（1）安全风险

目前大多数企业构建的还是开放式的网络，这种开放式的网络为企业业务的开展带来便捷，但也有严重的安全风险，开放的内部网络访问已经严重影响到企业IT基础设施的稳定运行和数据安全，因此需要构建新一代的内部终端准入安全防御体系。

为了防止企业网络资源不受非法终端接入所引起的各种威胁，在有效管理用户和终端接入行为的同时，需采用技术手段保障终端入网的安全可信，同时达到规范化地管理计算机终端的目的。

（2）控制措施

针对网络层的非授权连接行为管控可以通过网络安全准入系统进行控制，网络安全准入系统可实现以下功能。

① 安全管理与访问控制

利用网络安全准入系统的动态检测技术和安全策略管理，可针对接入用户和终端进行网络访问控制。对不符合安全策略的计算机终端进行隔离，并友好提示，提供向导式的安全修复指引。拦截可疑的计算机终端或设备、恶意尝试认证的用户，支持强制下线和账号锁定功能。对接入用户进行动态VLAN的分配管理，有效地对网络访问权限进行控制。

② 终端安全合规检查

网络安全准入系统的安全检查策略会检测终端入网安全状态，能快速定位发现入网计算机终端的安全合规状态，并利用其本地防火墙隔离管控技术立即将该设备与网络上的其他设备隔离起来，只能够访问修复区，同时依照策略进行引导修复。对于已授权的合规终端，如发现运行阶段有不符合安全检查策略，可调用周期检查或定时检查引擎，对该终端的安全状态进行二次检查，其间如发现不合规进行再次隔离，禁止其访问企业核心资源，可提供安全检查结果详情和全网安全状态统计等日志报表。

③ 访客注册申请

针对外来人员临时性的访问需求，能够进行访客入网管理，包括访客用户注册申请、访客认证、用户审批流程，经管理员审批或系统自动审批后才能认证入网，审批结果可通过邮件通知用户。

④ 第三方认证源联动

能够实现多种认证源认证方式，包括本地用户、AD认证、LDAP认证、Email认证、Http认证，以适应不同网络环境，满足用户实名制认证、集中统一管理的入网需求。

⑤ 认证绑定管理

支持多种条件绑定认证，即用户和终端、交换机、VLAN、交换机端口等进行绑定认证，提高入网安全强度。

⑥ 设备例外管理

用户网络中存在大量的哑终端设备，如网络打印机、视频会议系统等设备，并分散在各地，能够提供设备的白名单管理，添加到白名单的合法设备可以直接接入网络，反之非法设备不允许接入，此方式可适应于多种认证技术方式，如Portal和802.1x认证方式。

⑦ 强制隔离

用户正常的802.1x认证成功后，如果认证会话没有过期，网络会持续可用，系统专有的认证客户端可以实时接收认证服务器的控制指令，管理员可以在任何时候强制在线的用户和终端下线、注销当前登录的网络账号，确保非正常情况下可对终端入网进行控制和强制隔离处理。

（3）产品部署

网络安全准入系统采用旁路部署，通过监听来发现和评估哪些终端入网符合遵从条件，判断哪些终端允许安全访问企业核心资源。不符合会被自动拦截要求认证或安装客户端才能进行访问，并可配置入网安全检查策略；不符合需进行隔离和修复，达到合规入网的管理规范要求。

2. 违规外联检测

（1）安全风险

互联网应用已经渗透到社会生活的每一个角落，成为人们学习、工作和生活中不可或缺的工具，成为企业高效运营、提高竞争力的基础平台。互联网的开放性、交互性、延伸性为人们快速获取知识、即时沟通以及跨地域交流提供了极大的便利。与此同时，互联网的开放性与虚拟性也为单位和个人带来巨大的安全隐患，如果不对单位的互联网访问行为加以控制，将导致单位的数据、业务面临安全风险。

（2）控制措施

终端的非法外联可以通过终端安全管理系统或者采用专业的上网行为管理设备进行控制。终端安全管理系统可对终端的外联端口、外联能力进行检查和阻断，上网行为管理设备通过在网络出口处进行安全策略的配置，限制单位用户的外联访问行为，具体功能如下。

① 上网行为管理系统

URL访问审计与过滤：

URL访问审计与过滤采用URL分类数据库，通过管理员配置基于URL分类的控制策略（策略条件可包括用户、部门、时间段、访问类别、URL关键字、网页内容关键字、下载文件类型等），进行Web访问控制，发现非法访问可进行阻断、记录或报警。

应用控制：

应用控制是通过应用特征与行为特征对应用进行识别。所谓应用特征，是指在成序列的数据包的应用层信息中，存在有规律的字节特征，它可以唯一地标识某种应用协议；行为特征，是指连续多个包或者多个并发的网络连接表现出来的某种行为模式具有一定的规律性。通过这些行为模式可以识别特征值不明显的应用类型；通过精细化的控制策略设置，可以实现对单位应用访问的精细化管理。

内容审计和过滤：

对内容的审计可以有效控制信息的传播范围，控制敏感信息的泄露，避免可能引起的安全风险，内容审计和过滤包括邮件收发审计和过滤、论坛发帖审计和过滤、搜索引擎关键字审计和过滤、HTTP文件传输审计和过滤、FTP文件传输审计和过滤等。

共享接入监控：

共享接入是指使用NAT等技术将一个网络出口共享到多个主机，共享接入监控能够对接入网络的设备进行观察、控制，能够检测到一个用户或IP所共享的终端数量，并可以对数量做策略控制，以达到掌控用户终端数量的目的，在监控到用户使用的终端数量后，可以对此进行控制，屏蔽该用户的上网流量。

日志审计：

能够完整地记录内网用户网络访问的日志，包括上网时间、网络流量、Web访问记录、接收与发送的邮件等，为进一步的查询统计与报表分析提供了完整的基础信息。

② 终端安全管理系统

为了防止计算机终端轻易通过拨号、私设代理、多网卡通信等非法外联手段，造成内部机密外泄的情况发生，终端安全管理系统提供非法外联管控功能，可根据探测类型，使用对应的技术手段如域名解析，对传入的IP或是网址进行连接，如果连接成功则根据策略处理措施，进行对应的提示、断网或关机处理。

外联设备控制（可以禁用终端上可能运行的外联设备—冗余有线网卡、移动数据网卡、Modem设备、ISDN设备、ADSL设备、Wi-Fi及SSID等）。

· 外联能力探测（选择探测方式发现终端是否具有外联能力）。
· 外联控制措施（发现终端具有外联能力后的处理措施—提示、断网、关机）。

（3）产品部署

上网行为管理系统可以串接和旁路镜像部署在单位的互联网出口处。在串接模式下，串接方式能实现对上网行为的控制，并完整审计所有上网数据。串接包括网桥和网关两种模式，采用网桥模式时，当单位拥有两个互联网出口，且单位内部不同子网需要通过不同的互联网出口连接互联网时，上网行为管理系统可提供双入双出、双网桥的部署模式。通过一台设备即可同时管控两条链路内的用户互联网行为。

5）边界恶意代码检测

1. 安全风险

当前，病毒的产生速度、种类、危害程度已经发生了巨大的变化，电子邮件和互联网已经成为网络病毒传播的主要途径，由于网络传播的速度快，对于越来越多的混合型病毒和未知病毒更加难以防范，影响范围也更大，而病毒一旦进入网络内部植入主机，往往已经对单位造成了危害，因此，需要在网络边界处入手，及时检测出病毒，并切断传播途径，采取更加积极、主动的防病毒措施。

2. 控制措施

下一代防火墙一般均具有专业的AV模块，能在网络重要节点处（如互联网入口）进行病毒的检测和清除，但考虑到部分单位已有的防火墙性能不高，也可以采用专业的防病毒网关，在网络边界处进行病毒的检测和阻断。

下一代防火墙通过启用一体化安全防护策略，将反病毒、漏洞防护、防间谍软件、恶意URL防护等功能集成到一条策略，并基于优越的架构设计保障高性能的安全能力。

通过在互联网边界启用下一代防火墙的漏洞防护、防间谍软件、反病毒、URL过滤等功能，基于本地安全引擎，能高效地拦截常见的漏洞入侵、间谍软件、病毒、木马、钓鱼网站、恶意URL访问等网络威胁。

同时，防火墙通过云端协同可以极大地提高特征库数量级，补充本地识别库，并提高防火墙对高级威胁的识别能力，以及防火墙拦截的精确度和高效性。

防火墙的特征库支持自动升级，定期进行病毒库的升级和系统的更新。

3. 产品部署

为实现对病毒的实时阻断，在互联网边界须串接防火墙、开启AV模块，或在防火墙后串接专业的防病毒网关，从网络层检测和阻断恶意代码。

6）网络安全审计

1. 安全风险

随着《中华人民共和国网络安全法》的颁布实施，安全审计已经成为网络安全建设的必要措施。随着威胁的多样化，传统信息安全以“防”为主的思路已经发生重大转变，在攻击防不胜防的情况下，持续监测、快速响应并追踪溯源成为新等级保护体系的主要思想，因而，安全审计变得尤为重要。
自《中华人民共和国网络安全法》实施以来，已经有许多单位因为安全审计没有达到合规要求而面临处罚，因此，新等级保护制度下，安全审计措施的缺失不仅仅使单位存在安全防护短板，更会给单位带来严重的合规风险。

2. 控制措施

网络安全审计系统通过镜像获取核心交换机上的数据流量，可对整个网络的流量进行审计分析，并对用户的行为进行审计。审计包括以下内容。

① 对用户的HTTP、邮件、FTP、Telnet等应用进行审计。
② 对远程桌面、QQ等远程访问行为进行审计。

③ 对用户的互联网访问行为进行审计。
④ 本地日志可以通过FTP、USB等方式导出，支持将日志发送至外置日志存储系统，确保日志记录满足合规要求。

网络安全事件一般分布在网络的边界设备、安全设备、访问控制设备的日志中，除对网络流量中用户的行为进行审计分析外，发现网络安全事件也是网络安全审计的重要目标。集中安全审计系统通过收集网络设备、安全设备、服务器、应用系统等的日志信息，结合网络流量日志进行关联分析，可以快速发现网络安全事件，并进行定位和报警，相关功能描述可参见5.5.3节内容。

3. 产品部署

网络安全审计系统通过旁路部署在核心交换机，通过分析网络流量进行用户行为的分析审计。

4、安全计算环境设计

1）安全计算环境技术标准

安全计算环境技术标准：

2）主机身份鉴别与访问控制

1.安全风险

信息系统主要面临的一个安全威胁就是身份信息被假冒，随着攻击技术的发展，对于常见的身份鉴别方式，如用户名+密码，采用字典攻击等手段进行破解仅仅需要几分钟甚至更短的时间。因此，对于重要的操作系统和应用系统，用户的身份鉴别信息应具有不易被冒用的特点，采用口令或指纹等生物识别方式+基于密码技术的身份鉴别手段实现双因素认证，这是实现身份安全可靠的重要手段。

×××系统的主机环境涵盖了服务器、终端和网络设备操作系统、系统软件、应用系统、数据库等。这些设备和系统用户在登录时，应进行身份鉴别，并对系统进行最小化授权。

×××系统涉及的所有系统用户（包括技术支持人员，如操作人员、网络管理员、系统程序员以及数据库管理员等）应当具备仅供个人或单独使用的独一无二的标识符（用户ID），以便跟踪后续行为，从而责任到人。

2.控制措施

针对主机的双因素身份鉴别一般可采用专业的终端安全登录产品，终端安全登录产品可结合单位的CA系统实现基于数字证书的双因素认证，其所使用的密码设备应符合国家密码管理的相关要求。

针对主机访问控制的要求，采用服务器加固系统，并进行以下安全配置。

① 启用访问控制功能，依据安全策略控制用户对资源的访问。
② 根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限。
③ 严格限制默认账户的访问权限，重命名系统默认账户，修改该账户的默认口令。

④ 及时删除多余的、过期的账户，避免共享账户的存在。
⑤ 对重要信息资源设置敏感标记。
⑥ 依据安全策略严格控制用户对有敏感标记重要信息资源的操作。

重要的主机系统应采用专业的主机安全加固系统对主机进行整体安全防护，设置强制安全访问控制策略，从而使操作系统达到B1级高安全级别。数据库应进行安全配置，对于存储大量敏感数据的数据库采用安全数据库或数据库防火墙进行保护。

3. 产品部署

终端安全登录产品分为服务器端和客户端，服务器端作为重要的管理端设备一般部署在安全管理区，客户端部署在各业务终端上。

3）一体化终端安全防护

1. 安全风险

系统内部面临的各种威胁，尤其是大量的终端系统，面临着来自木马病毒的入侵、各种类型设备接入不同网络区域，不易管理、容易引发泄密等问题，需要人工维护各类系统进行补丁升级等工作所带来的巨大工作量等一系列问题都为单位终端安全管理带来了极大的挑战。

随着单位安全建设的推进，由于受条件和其他因素限制，在针对上述解决问题制定解决方案的时候，企业往往采取了分而治之的方式，某一类问题就采用一套独立的系统解决问题。现在再回顾的话，企业内部可能部署了多套系统，而这些系统甚至来自不同的厂商，彼此独立完成不同的功能。同时，这些各种各样的安全系统也为企业安全带来了一些新的问题。

（1）终端被各种软件占据，资源耗费巨大

各系统均有独立的数据库、内存加载项、数据扫描行为等一系列资源需求，包括对磁盘存储需求、内存需求、CPU需求等，这些资源需求往往出于自身软件设计的考虑，极易导致对整体终端系统资源的较大消耗，影响用户实际使用体验，干扰用户正常业务工作。

（2）系统之间容易产生冲突

终端安全软件实现方式往往采用进程注入、API挂载、驱动挂载等系统级的处理方式，使得安全软件之间的兼容性，安全软件与其他软件的兼容性出现问题。譬如某软件安装后，其他软件出现功能无法使用、软件无法启动、系统蓝屏等问题。由于终端系统的复杂性，这种兼容性所带来的问题往往都比较难处理。

（3）系统之间独立，无法联动

安全从过去的孤立针对某个方面的防护已经全面进入大数据阶段，通过各种数据的整合、分析、处置是应对新型威胁的有效办法。而过去安全建设所产生的多种安全防护体系彼此孤立，无论从系统层面还是数据层面都无法进行有效整合，从而造成实际防护效果大打折扣，在应对未知威胁时捉襟见肘。

（4）管理维护困难

多个安全系统的存在意味着针对每个系统要有不同的运维管理的工作量，如系统的安全策略的定义、细化、调优、更改，系统的更新、日志管理、数据库管理等一系列工作。这无疑给安全管理人员提出了非常高的要求，这不仅仅增加了工作量，而且要求管理员在不同的系统之间进行管理切换，必须充分了解每个系统之间细微的差别，以确保对系统的设置不会出错。

2. 控制措施

综合分析单位面临的终端安全风险，需要一个综合的终端安全管理系统，以应对不同层面的安全需求，满足合规要求，而满足这些安全需求的同时，又不会割裂这些系统之间的关系，使得他们能在统一的安全环境中执行一致的安全策略，并互相协同，发挥最大的安全防护效率。
采用终端安全管理系统作为终端合规管控一体化解决方案。通过建设恶意代码防范体系、落实终端安全管理技术措施、启用统一终端运维、开启安全审计功能，来建设终端合规一体化体系。一体化终端安全管理的建设内容如下。

（1）终端恶意代码防范

全网部署终端安全管理系统客户端代理，通过集中管理端实现对病毒查杀策略、病毒库的统一升级管理。通过采用云查杀引擎、未知病毒检测等新技术，解决传统防病毒软件本地特征库对新型病毒查杀效果不明显的问题。

（2）终端统一安全管控

在终端安全管理系统的控制中心制定策略，进行全网终端的流量监控、非法外联监控、应用程序黑白名单控制、外设管控、桌面安全加固等。

（3）终端软件管理

通过策略配置和日志报表功能，管理员可以掌握网内软件使用情况，及时发现异常，保证企业内部网软件的正常运行和软件安全性，支持单位软件的统一分组、定时分发，并可实现自动安装应用以及强制卸载应用，帮助管理员按照企业规定管理终端用户软件的安装。

（4）统一补丁升级和管理

办公网络中存在各种不同类型的操作系统及不同版本的操作系统都需要进行全面的补丁管理，终端安全管理系统控制中心对全网计算机进行漏洞扫描，把计算机与漏洞进行多维关联，根据终端或漏洞进行分组管理，并且能够根据不同的计算机分组与操作系统类型将补丁错峰下发，并能实现对补丁库的统一升级和管理。

（5）终端统一安全运维

终端安全管理系统统一运维，实现全网终端硬件资产管理，并且通过远程协助功能，当终端需要远程帮助的时候，运维人员向终端用户发送远程控制请求，等终端用户确认后，协助IT维护人员高效地完成终端运维的工作。

（6）终端综合审计

终端安全管理系统通过综合审计功能，对终端用户的行为进行审计，审计内容包括软件使用日志、外设使用日志、开关机日志、系统账号日志、文件操作日志、文件打印日志、邮件记录日志等；并提供报表功能，对终端安全日志、漏洞修复、病毒日志、木马查杀、插件清除、安全配置、文件及应用日志、终端事件告警等信息进行报表统计。

3. 产品部署

在网络内部部署终端安全管理系统控制中心和终端，终端通过控制中心连接到升级服务器进行升级、更新等。终端根据控制中心制定的安全策略，进行杀毒、修复漏洞、运维管控、移动存储管理等安全操作。

4）主机脆弱性评估与检测

1. 安全风险

漏洞是系统固有的弱点，是由软硬件开发设计缺陷导致的，而这些设计缺陷往往是不可能完全避免的，只能尽可能消除。这些漏洞有些是人为的，有些是技术能力所导致的，但一旦这些漏洞被人员恶意利用，都将会给系统带来巨大的威胁，而有目的的攻击组织行为往往利用未被公开的漏洞进行恶意攻击，造成的后果往往是灾难性的，因此，单位不允许持续发现和关注系统内的漏洞，尤其是高危漏洞，需及时地修补漏洞或者采取其他措施规避风险。

2. 控制要求

按照等级保护的要求，主机系统应定期进行漏洞评估并进行安全配置，这些要求包括以下内容。

① 应能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞。

② 应关闭不需要的系统服务、默认共享和高危端口。

3. 控制措施

漏洞扫描系统针对传统的操作系统、网络设备、防火墙、远程服务等系统层漏洞进行渗透性测试。测试系统补丁更新情况、网络设备漏洞情况、远程服务端口开放情况等，并进行综合评估，在黑客发现系统漏洞前提供给客户安全隐患评估报告，提前进行漏洞修复，预防黑客攻击事件的发生。

通过部署漏洞扫描系统，可以帮助用户快速建立针对自己网络的安全风险评估体系。

（1）发现内部资产

帮助用户快速发现内部资产，避免未知资产带来的安全风险，实现内部IT资产的标识和分类管理，方便安全扫描策略的部署和风险评估的进行。

（2）实现针对内部网络的脆弱性评估

通过漏洞知识库以及多样的漏洞扫描策略，针对网络设备、系统主机、应用程序等存在的漏洞和风险进行有效评估，并产生完善的评估报告，帮助用户建立起高效的安全漏洞管理解决方案。

（3）建立完善的漏洞管理和风险评估体系

通过定期的漏洞扫描和漏洞验证帮助用户形成规范的全网漏洞管理体系，并辅以风险报表以及解决方案建议，为用户提供了完整的从漏洞发现、验证到修复建议的流程。

（4）解决因漏洞造成的安全问题

实时扫描漏洞，定期评估安全漏洞帮助用户及时修复当前系统中存在的漏洞，避免漏洞问题造成的安全威胁和带来的安全隐患。

4. 产品部署

漏洞扫描系统可旁路部署在待评估网络中的核心交换机上，网络可达待评估的主机、网络设备和系统软件。

5）虚拟机安全防护

1. 安全风险

虚拟化技术的采用在传统计算架构上增加了一个新的虚拟化软件层，也就引入了新的攻击面，而且虚拟化软件层往往运行在核心态，具有最高特权，针对虚拟软件化层的攻击将直接对上层的虚拟机和应用带来安全威胁。

（1）核心的宿主机安全问题

一直以来，无论是虚拟化厂商，还是安全厂商都将安全的关注点放在虚拟机系统和应用层面，直到“毒液”安全漏洞的出现，才将人们的目光转移到宿主机。由于宿主机系统本身也都是基于Windows或Linux系统进行底层重建，因此宿主机不可避免地会面对此类漏洞和风险问题，一旦宿主机的安全防护被忽略，黑客可以直接攻破虚拟机，从而造成虚拟机逃逸，即进程越过虚拟机范围，进入宿主机的操作系统中。所以，宿主机的安全问题是虚拟化安全的根本。

（2）虚拟机之间的攻击问题

虚拟化就是将现有资源进行重复利用和系统应用集中化的过程，在向虚拟化迈进的过程中需要将原有物理服务器中的系统和应用进行数据迁移，当把不同安全等级或不同防护策略的虚拟机集中运行在同一台宿主机上时，就会出现安全问题。虚拟机和虚拟机之间的通信依靠虚拟交换机，由于虚拟交换机的宽泛性，所有的虚拟机都可以随时互相通信，那么当其中一台虚拟机感染病毒或存在漏洞时，攻击者便可以利用漏洞控制这台虚拟机，然后向宿主机上的其他虚拟机发起攻击。由于传统的硬件安全设备无法对虚拟机之间的交互进行检测防护，不能对其他虚拟机提供安全防护能力，攻击者就可以无阻地攻击其他虚拟机。

（3）漂移导致的安全域混乱

虚拟化技术带来了弹性扩展的特性，这是通过虚拟机漂移技术实现的，当宿主机资源消耗过高或者出现故障时，为了保证虚拟机上的业务稳定，虚拟机会漂移到其他的宿主机上。企业的数据中心在虚拟化后，一旦发生虚拟机漂移，原有安全管理员配置好的安全域将被完全打破，甚至会出现部分物理服务器和虚拟机服务器处于同一个安全域的情况。
而依靠传统防火墙和VLAN的方式将没有办法维持原来的安全域稳定，使得安全域混乱，安全管理出现风险。

2. 控制措施

针对虚拟主机可以采用虚拟化安全管理平台系统对虚拟主机进行统一的安全防护。

虚拟化安全管理系统可以实现以下功能。

① 恶意软件防护：无须在虚拟机内部安装杀毒软件，防止其受病毒、间谍软件、木马和其他恶意软件的侵害，能实现恶意代码特征库的自动更新。

② 进程管控：支持白名单和黑名单方式，可针对不同的用户场景灵活配置管控规则，未被允许的进程将无法使用，彻底阻止勒索软件或其他恶意软件执行。

③ 防火墙：对虚拟机进行微隔离，不但能控制南北向流量，还可以控制云平台内部虚拟机之间的东西向流量。按照IP 地址、端口、流量类型以及流量方向来配置防火墙规则。

④ 应用控制：对应用协议进行分类，针对分类配置阻断、放行策略，对于新增的应用，能自动应用分类的配置策略，自动更新应用解析的规则库，不断增加新应用的支持，及时识别更新后的网络应用。

⑤ 入侵防护：对已知的漏洞进行虚拟修补，在虚拟机系统及应用不进行安全补丁升级的情况下，防御针对漏洞的攻击。防护SQL 注入，跨站脚本攻击及其他利用Web 应用程序漏洞的攻击，并能及时防御针对最新漏洞的攻击。

⑥ DDoS防护：对TCP、UDP和ICMP Flood攻击的防护，能针对每台虚拟机单独进行流量清洗。

3. 产品部署

虚拟化安全管理系统由管理中心和安全组件两部分组成。

（1）管理中心

管理中心接收安全组件上传的安全事件和网络流量日志，通过多维度、细粒度的大数据分析，并以可视化的形式展现给用户，从而帮助用户对已知威胁进行溯源，并对未知威胁进行预警。

（2）安全组件

安全组件安装在数据中心的每个计算节点和物理服务器上，接收管理中心配置的安全策略，对虚拟机或物理终端进行文件、网络和系统的安全防护，并将安全事件及行为日志上传到管理中心进行分析。

6）应用身份鉴别与访问控制

1. 安全风险

随着移动信息化的到来，企业办公也不局限于固定工位，办公人员可以在任何时间（Anytime）、任何地点（Anywhere）处理与业务相关的任何事情（Anything），从而打造3A办公新模式。
移动办公给企业员工带来方便的同时，随之而来的就是移动办公的安全问题，如何防范终端安全威胁、保障身份安全、管理用户权限、保护数据安全是每个企业所重点关注的，也是每个安全厂商亟须解决的问题。

2. 控制措施

需要实现对应用系统访问的双因素认证，采用身份认证服务系统可以实现对用户身份的统一管理和多种方式组合的强身份认证。

身份认证服务系统可以与安全接入网关（SSL VPN）共同构建应用身份解决方案，该解决方案主要实现以下功能。

（1）多因素身份认证

根据不同的应用场景，可以提供动态口令、数字证书、指纹、二维码等身份安全机制。

（2）口令传输安全加密

身份认证系统与终端间传输的认证信息进行加密处理，加密算法采用RSA、DES、3DES、AES等多种加密算法组合。为了满足国家信息安全的需要，系统同时支持SM系列国密算法，大大降低了认证信息被劫持和破译的风险。

（3）数据传输加密

在用户通过认证接入SSL VPN后，客户端和服务端通信，传输的数据都默认使用安全的SSL传输技术，确保用户账号密码、动态密钥、应用数据传输的高安全性及稳定性。同时支持移动终端隧道控制策略，实现移动终端连接VPN以后，移动终端数据只能通过VPN传输，不能访问互联网，从而防止数据泄密。

同时，为了满足国密办信息安全的相关规定，加强密码算法的安全性，SSL VPN完整支持国密算法，包括 SM1、SM2、SM3、SM4。

（4）访问控制

不同职责人员匹配不同业务应用，精细化访问控制技术能够细粒度控制接入到用户级、资源级，甚至下到URL和文件级的权限，这样不同的用户拥有不同的访问权限。

（5）虚拟工作区

为防止工作区的数据遗落到个人数据区，SSL VPN采用虚拟工作区进行数据分离。个人数据与企业数据进行隔离，落地数据加密，第三方应用或转发到其他设备中无法打开查看。启用虚拟工作区之后，终端数据落地加密，数据采用AES256或者SM4加密算法，防止终端数据被拷贝而造成数据泄密。

当VPN客户端被卸载、设备进行了Root或者设备超过一定时间不能连接上网关的情况下，移动终端数据可以远程擦除，防止数据泄密。

3. 产品部署

身份认证系统分为两部分：硬件平台与客户端APP。硬件平台采用旁路部署在企业内网，与用户的业务系统/认证系统做到网络可达即可，客户端兼容支持PC、平板、手机（Android与iOS系统都可以）。

7）Web应用安全防护

1. 安全风险

传统网络层对Web服务器的防护方式主要是，使用防火墙作为安全防护的基础设施，同时辅以IPS设备作为应用层安全检测设备，同时在服务器端安装杀毒软件作为最后一道防线。这样的解决方案存在如下弱点。

（1）防火墙设备对于开放端口的Web服务没有防护能力

一般的网络中都会部署防火墙作为安全防护设备，但防火墙仅能控制非授权IP对内不得访问，对外应用服务器可以访问。由于实现原理的限制，防火墙对于病毒或黑客在应用层面的入侵攻击“视而不见”。

（2）入侵检测防御系统（IPS）对于病毒的攻击行为反应缓慢

IPS主要负责监测网络中的异常流量，对受保护的网络提供主动、实时的防护，特别是利用系统漏洞进行攻击和传播的黑客工具以及蠕虫病毒。由于IPS对Web的检测粒度很粗，随着网络技术和Web应用的发展复杂化，IPS在更需要专业安全防护特性的Web防护领域已经开始力不从心了。

Web服务器端是Web安全防护的重要环节，虽然Web服务器做了相关的安全防护，但服务器端的安全设置较为专业、复杂，一旦设置不合理，就使得Web服务器端很容易成为恶意攻击入侵的对象。

2. 控制措施

安全防护可以采用Web应用防火墙。Web应用防火墙可针对Web应用实现以下防护功能。

（1）漏洞防护

Web应用防火墙能够对SQL注入、跨站脚本、代码执行、目录遍历、脚本源代码泄露、CRLF注入、Cookie篡改、URL重定向等多种漏洞攻击进行有效防护。

（2）攻击防护

Web应用防火墙能够对用户请求提供多重检查机制和智能分析，确保对高安全风险级别攻击事件的准确识别率。针对Flood攻击、SQL注入、跨站脚本、目录遍历等主要攻击手段，WAF系统提供了有效识别、阻断并告警。

（3）网页代码检查

Web应用防火墙能够对用ASP、ASPX、JSP、PHP、CGI等语言编写的页面，对用SQL Server、MySQL、Oracle等数据库构建的网站进行检查，能够在客户网站被挂马之前发现网站的脆弱点，从而使客户可以未雨绸缪，避免挂马事件的发生。

（4）访问加速

Web应用防火墙通过在现有的互联网中增加一层新的网络架构，将网站服务器内容缓存到系统内存中，使用户可以就近取得所需内容，降低服务器的压力，解决互联网拥挤的状况，提高用户访问服务器的响应速度，从而解决由于网络带宽小、用户访问量大、网点分布不均等造成的用户访问网站响应速度慢的问题。

（5）挂马检测

多数攻击者在成功入侵并不采取直接的网站篡改，为了获取更多的经济利益往往采取比较隐蔽的方式，其最终目的是盗取用户的敏感信息，如各类账号密码，甚至使用户沦为攻击者的“肉鸡”。一旦网站服务器成为传播木马病毒的“帮凶”，将会严重影响网站的公众信誉度。

（6）网页防篡改

Web应用防火墙内置有网页防篡改监控平台，可以对网页防篡改客户端进行实时监控。当网页防篡改客户端与Web应用防火墙的网络中断时，网页文件会被自动锁定，所有“写”的权限被封锁，只有“读”的权限。当网络恢复中，所有相关权限会自动下发，网站正常恢复更新。

3. 产品部署

部署采用纯透明串行接入模式，交换机上串行接入Web应用防火墙，所有Web请求和恶意访问攻击均由Web应用防火墙来承担处理，清洗、过滤后，Web应用防火墙向真实的服务器提交请求并将响应进行整形、压缩等处理后送交给请求客户端。这样可以很好地防范来自互联网的威胁，保障网站安全、稳定、高性能地运行。

8）应用开发安全与审计

1. 安全风险

许多应用系统在设计之初往往只注重业务功能的实现，对系统安全功能的需求重视不够，在开发过程中没有进行安全功能的同步设计和实现，导致系统在上线后，自身安全机能不足，需要靠外挂安全机制进行弥补，既增加成本，又无法达到较好的效果。
应用系统承载着单位的重要业务，应用开发过程中也应按照“三同步”的原则，同步设计和开发安全功能，并在系统上线后同步进行应用安全配置。

2. 控制措施

在系统开发过程中，应当在设计阶段同步考虑安全功能的设计，并在系统编码阶段同步实现安全功能，按照等级保护的要求，应用系统应具备以下安全功能。

（1）身份鉴别

① 应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，鉴别信息具有复杂度要求并定期更换。

② 应提供并启用登录失败处理功能，多次登录失败后应采取必要的保护措施。

③ 首次登录时应强制用户修改初始口令。
④ 用户身份鉴别信息丢失或失效时，应采用技术措施确保鉴别信息重置过程的安全。
⑤ 应采用两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用动态口令、密码技术或生物技术来实现。

（2）访问控制

① 应提供访问控制功能，对登录的用户分配账号和权限。
② 应重命名或删除默认账户，修改默认账户的默认口令。
③ 应及时删除或停用多余的、过期的账户，避免共享账户的存在。
④ 应授予不同账户为完成各自承担任务所需的最小权限，并在它们之间形成相互制约的关系。
⑤ 应由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则。
⑥ 访问控制的粒度应达到主体为用户级，客体为文件、数据库表级、记录或字段级。
⑦ 应对敏感信息资源设置安全标记，并控制主体对有安全标记信息资源的访问。

（3）安全审计

① 应提供安全审计功能，审计覆盖到每个用户，对重要的用户行为和安全事件进行审计。
② 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。
③ 应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等。

④ 应确保审计记录的留存时间符合法律法规的要求。
⑤ 应对审计进程进行保护，防止未经授权的中断。

（4）入侵防范

应提供数据有效性检验功能，保证通过人机接口输入或通信接口输入的内容符合系统设定的要求。

（5）数据完整性

① 应采用校验码技术或密码技术保证重要数据在传输过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。

② 应采用校验码技术或密码技术保证重要数据在存储过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。

（6）数据保密性

① 应采用密码技术保证重要数据在传输过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等。

② 应采用密码技术保证重要数据在存储过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等。

（7）剩余信息保护

① 应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除。

② 应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除。

（8）个人信息保护

① 应仅采集和保存业务必需的用户个人信息。
② 应禁止未授权访问和非法使用用户个人信息。

3. 产品部署

第三方软件开发商应具备相应的开发资质，在应用开发过程中采用安全开发过程管理，并采用代码安全检测工具进行代码安全检测与审计，以及要求第三方开发厂商提供系统源代码。

9）数据加密与保护

1. 安全风险

数据是单位的核心资产，也是攻击者的最终目标，数据分布在单位信息系统的各个组件中，被大量终端用户进行访问和处理，数据的分散性和流动性将导致数据在产生、处理、流转、存储等生命周期中各个环节都面临着巨大的安全风险，必须系统地、全面地对数据安全风险进行分析，并采取有效的措施保护数据安全。

2. 控制措施

数据的完整性和保密性保护措施可以在应用系统开发过程中同步采取基于密码技术的相关功能实现，但数据保护是个复杂的过程，由于数据的分散性和流动性，在终端、网络、数据库等各层面也需要采用相关的数据防护措施。

建议通过以下具体的技术保护手段，在数据和文档的生命周期过程中对其进行安全相关防护，确保内部数据在整个生命周期过程中的安全。

（1）加强对于数据的分级分类管理

对关键敏感数据须设置标记，对于重要的数据应对其本身设置相应的认证机制。

（2）加强对于数据的授权管理

对文件系统的访问权限进行一定的限制，对网络共享文件夹进行必要的认证和授权。除非特别必要，可禁止在个人的计算机上设置网络文件夹共享。

（3）数据和文档加密

保护数据和文档的另一个重要方法是进行数据和文档加密。数据加密后，即使别人获得了相应的数据和文档，也无法获得其中的内容。

网络设备、操作系统、数据库系统和应用程序的鉴别信息、敏感的系统管理数据和用户数据应采用加密或其他有效措施实现传输保密性和存储保密性。

当使用便携式和移动式设备时，应加密或者采用可移动磁盘存储敏感信息。

（4）加强对数据和文档日志的审计管理

使用审计策略对文件夹、数据和文档进行审计，审计结果记录在安全日志中，通过安全日志就可查看哪些组织或用户对文件夹、文件进行了什么级别的操作，从而发现系统可能面临的非法访问，并通过采取相应的措施，将这种安全隐患减到最低。

（5）通信保密

用于特定业务通信的通信信道应符合相关的国家规定，密码算法和密钥的使用应符合国家密码管理的规定。

对于存在大量敏感信息的系统，还可针对信息系统和数据在使用过程中面临的具体风险进行整体地分析，采用专业的数据防泄密系统（DLP）对数据进行全生命周期防护。

10）数据访问安全审计

1. 安全风险

单位的大量敏感数据都保存在数据库中，数据库存在的安全风险主要表现在以下几个方面。

① 无法通过本地部署访问控制，及时发现或阻断超级用户对数据发起的访问。

② 分布式技术的部署，导致用户对数据的真实存储位置不可知。
③ 虚拟化技术的运用，使用户难以获知正与哪些其他用户共享相

同的存储或处理设备，对于提供商在解决数据隔离保护问题方面部署措施的有效性更是难以获得充分、可信的信息。

2. 控制措施

数据库审计系统能够对业务网络中的各种数据库进行全方位的安全审计，具体包括以下信息。

① 数据访问审计：记录所有对保护数据的访问信息，包括文件操作、数据库执行SQL语句或存储过程等。系统审计所有用户对关键数据的访问行为，防止外部黑客入侵访问和内部人员非法获取敏感信息。

② 数据变更审计：统计和查询所有被保护数据的变更记录，包括核心业务数据库表结构、关键数据文件的修改操作等，防止外部和内部人员非法篡改重要的业务数据。

③ 用户操作审计：统计和查询所有用户的登录成功和失败尝试记录，记录所有用户的访问操作和用户配置信息及其权限变更情况，可用于事故和故障的追踪和诊断。

④ 违规访问行为审计：记录和发现用户违规访问，支持设定用户黑白名单，定义复杂的合规规则，以及支持告警。

3. 产品部署

一般情况下，数据库审计系统旁路部署在服务器区，对数据库访问行为进行审计。

11）数据备份与恢复

等级保护制度中，针对数据的备份和恢复要求，应用数据的备份和恢复应具有以下功能。

① 应提供重要数据的本地数据备份与恢复功能。
② 应提供异地实时备份功能，利用通信网络将重要数据实时备份至备份场地。
③ 应提供重要数据处理系统的热冗余，保证系统的高可用性。

目前，×××项目信息系统需要建立异地备份机房，实现数据信息和业务系统的实时备份，在本方案设计中，将对信息系统的网络架构采用冗余网络，其技术架构将完全满足备份和恢复的要求。

5、安全运营管理中心

1）安全运营管理中心技术标准

安全运营管理中心技术标准：

2）设备安全运维与审计

1. 安全风险

在日常信息系统运维过程中，由于未进行安全运维，可能会带来以下安全问题。

① 特权账号的存在，操作系统自身难以实现权限最小化，从而导致过度授权、数据泄露等一系列安全风险。
② 运维过程引入第三方服务已是常态，运维人员的误操作、恶意操作行为时有发生。
③ 缺乏有效的审计和控制手段，系统无法满足等级保护需求。

2. 控制措施

运维审计堡垒机技术主要将运维人员与被管理设备或系统隔离开，所有的运维管理访问必须通过堡垒机进行。运维人员在操作过程中首先连接到堡垒机，由堡垒机进行身份认证和权限检查后，代替用户连接到目标设备完成远程管理操作，并将操作结果返回给运维人员，同时堡垒机对所有的运维操作及结果进行审计记录。

堡垒机实现了运维管理的集中权限管理和行为审计，同时也解决了加密协议和图形协议等无法通过协议还原进行审计的问题。堡垒机的主要功能包括以下几项。

（1）资产管理与统一访问

运维人员可以通过B/S、C/S两种方式登录堡垒机并进行服务器的安全管理工作。系统支持单点登录功能，运维人员登录系统时，只需输入一次系统的主账号，无须输入服务器的操作系统账号密码即可访问所有授权范围内的服务器等资源。

（2）身份管理

服务器账号和密码共享是一种普遍存在的现象，账号共享会导致安全事件无法清晰地定位责任人。堡垒机为每一个运维人员创建唯一的运维账号（主账号），并与服务器账号（从账号）均进行关联，确保所有运维行为审计记录均可定位至自然人，能够有效地解决账号共用问题。

（3）身份认证

堡垒机支持多种双因素身份认证方式：本地认证、短信认证、手机令牌、动态令牌、数字证书等。

（4）访问控制与授权

通过集中统一的访问控制和细粒度的命令授权策略，确保每个运维用户拥有的权限是完成任务所需的最合理权限。

（5）操作审计

管理用户的操作审计包括：事件查询、历史操作图形回放、审计报告。能按照不同方式进行事件查询，审计人员可以根据操作时间、源IP地址、目标IP地址、用户名（运维、主机）、操作指令等条件对历史数据进行查询，快速定位历史事件。

视频回放方式，可根据操作记录定位回放或完整重现运维、外包人员对远程主机的整个操作过程，从而真正实现对操作内容的完全审计。

（6）审计报表

堡垒机具有报表功能，内置能够满足不同用户审计需求的安全审计报表模板，可以自动或手动生成运维审计报告，便于管理员全面分析运维的合规性。

3. 产品部署

堡垒机采用旁路部署，运维操作本身不会产生大规模的流量，堡垒机不会成为性能的瓶颈。

3）集中安全运营与管理

1. 安全风险

信息系统上线运行后，面临大量的日常运维工作，随着信息化的发展，用户网络日益复杂，而各种安全威胁呈现爆发式增长，传统的安全运维工作面临着巨大挑战，网络中主要面临以下安全风险。

（1）复杂的网络环境让安全工作无从下手

政府的网络和业务越来越复杂，政府的安全管理员也常常搞不清楚企业内网的具体状况，如内部网络总共有多少互联网出口？总共有哪些资产？哪些服务器是重点服务器？网络中都有哪些常见行为？安全策略是否都已生效？……如果连这些企业内网的基本环境都无法准确掌握，那就更谈不上对内部网络、资产的安全风险的掌握了。在这种情况下，攻击者即便是大摇大摆地出入政府的敏感数据区域也无人知晓，投入了大量资金建设的安全防御体系也成了摆设。

（2）围墙式的防御体系不再适应当前的网络环境

传统的安全体系建设往往是根据不同业务的安全需求，将内网分割成不同的区域分而治之，大家认为只要在边界上做好了安全控制，就能实现攻击的有效检测和防御。但随着互联网+时代的到来，云计算、移动互联网等新技术、新产品、新服务在企业或组织内部的应用越来越广泛，原来的边界已经变得非常模糊。虽然网络中部署了一些安全设备和系统，但这些设备和系统基本都是各自独立的，形成了一个个安全孤岛。对于一些复杂的攻击行为，依靠单一的安全设备往往不是难以发现问题就是产生过多误报。只有将这些安全孤岛整合起来，打通数据间的隔阂，形成企业或组织的全面数字安全感知体系，才能真正实现安全威胁的积极防御和有效应对。

2. 控制措施

态势感知与安全运营平台可以实现对系统的集中安全管控，其作为单位集中安全运营的主要技术支撑平台，可以实现以下功能。

（1）威胁管理

态势感知与安全运营平台提供面向威胁全生命周期的管理功能，可以通过多种威胁检测手段对威胁进行发现，并集中呈现全网的各种威胁情况。用户可结合各自需求对威胁进行筛选、标记和处置。同时该平台也支持针对威胁的处置工单下发，管理者可以指定对应威胁的处置责任人，通过邮件、短信、消息中心等方式进行通知，尤其是对威胁进行处理，并跟踪工单流转状态。该平台也支持根据设定的动作进行自动化通知下发告警，提升日常运营工作的效率。

（2）资产管理

资产管理是态势感知与安全运营平台的重要功能模块，能够提供对网内资产的扫描发现、手工管理、资产变更比对、资产信息整合展示等基本功能。资产发现部分，态势感知与安全运营平台可以通过IP扫描、 SNMP扫描、流量发现等手段对网内IP的存活情况进行跟踪，一旦发现超出当前管理范围的IP，用户可以导出相关数据进行编辑后录入资产数据库。而对于已经录入资产数据库的资产，用户可以通过分组、标记等方式对资产做更加细致的管理，且该平台也会提供长期的与服务、流量、威胁相关的监控，所有与资产相关的监控数据在资产详情页均可查看。而且为了方便用户快速掌握资产信息，态势感知与安全运营平台上任何一个威胁如果涉及资产信息，用户均可直接在告警上查看到相关资产的基本信息并能够快速切换到资产页面查看对应的详情。资产详情中将展现资产属性基本信息、资产相关告警信息、资产相关漏洞信息及资产相关账号信息，可视化呈现资产的多维度信息。

（3）拓扑管理

态势感知与安全运营平台可以对单位网络拓扑进行扫描和发现，用户可以将管理好的资产直接添加到任何一个自定义网络拓扑中，并对拓扑进行相关编辑。在拓扑管理页面，用户可以连接任意资产、调整拓扑的展示布局、隐藏连接关系、隐藏资产名称、查看资产详情，完成拓扑绘制相关的所有工作。同时为了实现逻辑拓扑和实际拓扑的映射，态势感知与安全运营平台提供了实际拓扑与逻辑拓扑图映射的功能，用户可以将实际拓扑上的关键设备映射到逻辑拓扑图上的指定区域，以此帮助用户快速理解实际拓扑对应的管理责任。拓扑管理生成的拓扑图在态势感知模块中将作为重要展示元素结合风险值进行展示，以从宏观层面体现企业内网的安全情况。

（4）漏洞管理

态势感知与安全运营平台能够直接调度指定厂家的漏洞扫描器，实现扫描任务的创建和下发。同时该平台支持导入多种厂家的漏洞报告，并且支持灵活自定义的漏洞报告解析规则，可以轻松适配不同用户的漏洞管理需求。对于导入的漏洞，该平台将按照资产的情况进行漏洞的归并展示，帮助用户直观地掌握资产漏洞情况。漏洞详情描述支持关联查询漏洞知识库，漏洞详细信息为处置提供依据。该平台支持针对漏洞进行处置状态管理、处置任务的工单下发，实现漏洞的闭环管理。

（5）日志搜索

态势感知与安全运营平台提供了针对事件/流量日志/终端日志的查询、检索模式，分别为快捷模式、高级模式及专家模式。用户可以使用快捷模式对日志中的各种字段进行查询。高级模式中支持“与或非”等逻辑语法，精确匹配、模糊匹配、通配符查询多种匹配方式，同时支持时间段、地址区间、数值范围等一系列区间查询，为用户提供了多样化的查询条件。态势感知与安全运营平台创新提供了专家模式搜索，通过学习成本较低的类SQL数据分析语言，实现数据累加求和、排序、筛选、剔除重复数据、计算差值、替换空值、格式化、提取正则表达式、比较差异、计算相关性等统计计算功能，并支持查询结果的可视化展现。

为了方便用户的查询操作，态势感知与安全运营平台提供搜索欢迎页面和搜索帮助中心，可快速了解快捷模式、高级模式、专家模式的使用说明和搜索结果字段说明，同时支持搜索规则的收藏和搜索历史记录。态势感知与安全运营平台也提供了快速筛选和字段统计功能，每次查询完成后，都会形成搜索结果的时间轴分布图，用户可以直接在图表上通过拖拽进行时间段的筛选。

（6）场景化分析

场景是指在特定的主题下，通过一系列图、表等可视化手段，依据攻防等经验构造的数据展示形式。场景化分析旨在提供与用户相关的视角来查看相关数据，为其发现、判断网络安全问题提供帮助。解决了规则判定时，无法确定具体阈值的问题，用户可根据自己网络的特点和经验进行判断。态势感知与安全运营平台可提供丰富的场景化分析结果，包括内网安全、VPN安全、账号安全及邮件安全等。

（7）工单

态势感知与安全运营平台可提供流程化的工单管理功能，能够派发或接收针对威胁告警和漏洞的处置工单，并对与责任人相关的工单流转状态及处置进展进行跟踪。同时该平台支持根据待处置内容定义工单的级别及通知方式，可查看、编辑处置内容和工单任务，也支持对处置中的工单任务进行撤销及根据查询条件批量导出工单列表。

（8）调查分析

在单位的日常安全管理中，安全工程师经常需要不断地对安全事件进行分析、定性、处置。这一系列工作中都需要广泛地调取各种数据信息以保证每次判断都是有事实依据的，而传统的SOC产品均忽略了相关功能，安全工程师只能以纸质报告和截图代替。为此，态势感知与安全运营平台特别开发了调查分析模块。用户可使用该功能针对任何需要调查的安全问题创建实例（Case），将所有与要调查的问题相关的告警、日志，甚至其他文本、图片信息都录入Case中；然后通过时间趋势展示、标注等功能可以回溯并记录问题的发展过程和相关影响；再通过搜索等功能不断地扩展其他的日志线索，丰富该问题的相关证据；最后在有支撑的情况下形成调查结论。

（9）知识库

态势感知与安全运营平台提供知识库功能，预置漏洞知识库等。漏洞知识库可根据漏洞名称、漏洞类型、CVE编号、CNNVD编号进行快速查询搜索，同时支持对漏洞扫描报告结果详情进行关联查询，也允许用户在系统使用过程中不断丰富和完善知识库。

（10）报表管理

态势感知与安全运营平台可以提供灵活的报表管理功能，可以支持快速报表，实时输出期望的报表内容，也可按照客户指定的周期自动生成报表以帮助用户周期回顾安全情况。同时，系统提供了报表模板的灵活编辑，用户可以根据自身需要在数十个预置报表展示内容中选择自身需要的内容，调整顺序以形成自身需要的报表，并能够对报表进行定制。

（11）仪表展示

态势感知与安全运营平台能够提供人性化的首页仪表板展示，用户可根据个人需要创建自己的仪表板，通过拖拽、拉伸等交互调整仪表板上每一个展示内容的布局和大小，以形成用户化的仪表板展示。同时用户可以选择是否将相关仪表板设置为首页，分享给其他用户。仪表板上预置了几十种具体展示内容，其中，覆盖了威胁统计、资产统计、日志统计、漏洞统计、工单分析等多个方面，可以帮助用户宏观地查看或监控整个单位的安全情况和系统的工作情况，而且用户可以直接通过仪表板跳转到对应功能页面，实现由宏观到微观的工作流程。

（12）安全态势

安全问题纷繁复杂，如何整体查看政府的安全情况并做出准确判断一直以来是安全管理的难题。态势感知与安全运营平台可以在多种安全功能基础之上提供态势感知模块，该模块可以帮助用户快速地、宏观地了解整个单位的安全情况。

在常规态势以外，不同用户经常有自身的感知需求，可针对不同场景进行态势感知定制。

3. 产品部署

态势感知与安全运营平台主要包括流量传感器、日志采集探针、关联规则引擎和分析平台4个硬件模块，对于设备运营需专业的驻场安全运营队伍进行系统运维。

（1）流量传感器

流量传感器的功能主要是采集网络中的流量数据，将原始的网络全流量转化为按会话方式记录的格式化流量日志，全流量日志会加密传输给分析平台存储用于后期的审计和分析，同时对网络流量中传输的文件进行还原，还原后的文件会传输给文件威胁鉴定器用于判定文件是否有威胁。

流量传感器通常部署在网络出口交换机旁，或者其他需要监听流量的网络节点旁，接收镜像流量。

（2）日志采集探针

日志采集器的主要功能是对网络内各业务应用系统、设备、服务器、终端等通过主动采集或被动接收等方式对日志进行采集并进行归一化预处理，方便数据流后面的关联规则和数据分析能够快速使用。同时，日志采集器还负责对内网资产进行扫描识别，收集资产数据。

（3）关联规则引擎

关联规则引擎主要负责对来自日志采集器的大量日志信息进行实时流解析，并匹配关联规则，对异常行为产生关联告警。通常关联规则引擎与分析平台和日志采集探针部署在同一位置。

（4）分析平台

分析平台用于存储流量传感器和日志采集器提交的流量日志、设备日志和系统日志，并同时提供应用交互界面。分析平台底层的数据检索模块采用了分布式计算和搜索引擎技术对所有数据进行处理，可通过多台设备建立集群以保证存储空间和计算能力的供应。

态势感知与安全运营平台也可提供EDR/NDR自动响应功能，将相关告警推送到终端安全管理系统执行在主机上的调查分析和阻断操作，完成威胁检测与响应闭环。

（5）威胁情报

态势感知与安全运营平台引入了核心威胁情报数据，可以通过失陷类威胁情报直接对高级威胁或APT攻击进行检测和跟踪，并使用云端威胁情报中心的海量数据情报对各种告警中的IP、域名、文件MD5进行进一步的分析和解释。

同时，态势感知与安全运营平台也支持用户威胁情报的自定义和第三方威胁情报的导入，通过这种方式可以为用户提供更加灵活和开放的失陷类情报管理。

（6）专业运维服务

态势感知与安全运营平台的核心是，对安全事件进行检测告警并进行关联分析，同时以大数据技术为支撑，以云端威胁情报作为辅助，来发现安全事件并进行分析处理。而这些分析处理的人员需要掌握专业的安全事件分析的技术和能力，如果没有这种能力来运营，则平台的效果和作用就会大打折扣。需要辅助用户共建安全运营能力，可以提供安全驻场服务对安全事件进行分析，协助用户进行安全事件的处理，并定期出具安全分析报告。同时安全服务人员也是用户和厂商沟通的桥梁和纽带，可以将用户需求反馈给公司，并将公司的能力向用户推送。

4）策略集中管理与分析

1. 安全风险

随着单位设备的增加，安全策略的有效性和时效性已经成为运维的一大难题，需要通过技术手段实现集中化、可视化的网络边界访问控制管理，协助网络安全管理人员统一管理网络访问控制策略，并结合网络安全域管理和安全策略的定义，实时分析网络安全策略执行情况，通过细粒度的按需申请自动化部署安全策略，最小化网络受攻击，从而提升网络安全运维人员的效率，简化网络权限管理的复杂度，避免人工操作造成的错误配置，保障配置管理和变更管理的规范和合规。

2. 控制措施

采用防火墙策略集中管理与分析系统可以实现多网内防火墙设备策略的统一管理和集中监控，系统的主要功能如下。

（1）防火墙策略统一下发

通过管理分析系统可以配置防火墙的安全策略、NAT策略、安全认证策略、SSL解密策略、IP-MAC绑定、黑白名单、会话限制策略，并可以配置防火墙的对象，通过策略一起下发到防火墙上。

（2）统一升级

通过管理分析系统可以升级防火墙系统版本、打补丁或升级防火墙的资源库。

（3）防火墙状态监控

管理分析系统支持对被管设备进行状态监控，对包括CPU使用率、内存使用率、CPU温度、系统盘使用率、当前是否在线等的参数进行监控显示，并支持在地图中显示设备的位置和状态。

（4）防火墙日志管理和可视化报表

管理分析系统支持接收防火墙的所有类型的日志，并可以对日志进行存储，支持日志模糊搜索和按条件搜索。
管理分析系统支持对防火墙日志进行统计和分析。可视化展示威胁统计、流量统计、网络行为统计、阻止活动统计、日志量统计的结果，以及应用分析、威胁分析、资产安全分析、终端行为分析的结果，并支持本地生成日报、周报或月报，可支持邮件发送给用户。

3.产品部署

防火墙集中管理与分析平台可部署在安全管理区，对网内防火墙策略进行统一管理。

5）安全运营平台升级

近几年，国家对网络安全的事件检测、威胁分析、安全运营、态势感知等方面非常重视，“加强网络与信息安全保障”作为中国信息化建设的一个重要的指导思想，随着“十二五”建设的完成，中国各政府、部委、央企、金融及运营商等行业各自依据国家标准及各自的行业标准，逐步完成了各自的信息安全技术体系建设和信息安全管理体系建设，达到了国家和主管单位对于信息系统安全保障的基础要求。进入“十三五”期间，信息系统面临新的安全威胁形势，根据国家政策法规要求以及各行业的业务发展需求，需要各单位进一步全面提升网络安全防护能力。

当今的网络安全有几个主要特点。一是网络安全是整体的而不是割裂的。在信息时代，网络安全对国家安全牵一发而动全身，同许多其他方面的安全都有着密切关系。二是网络安全是动态的而不是静态的。信息技术变化越来越快，过去分散独立的网络变得高度关联、相互依赖，网络安全的威胁来源和攻击手段不断变化，那种依靠安装几个安全设备和安全软件就想永保安全的想法已不合时宜，需要树立动态、综合的防护理念。三是网络安全是开放的而不是封闭的。只有立足开放环境，加强对外交流、合作、互动、博弈，引进先进技术，网络安全水平才会不断提高。四是网络安全是相对的而不是绝对的。没有绝对的安全，要立足基本国情保安全，避免不计成本追求绝对安全，那样不仅会背上沉重负担，甚至可能顾此失彼。五是网络安全是共同的而不是孤立的。网络安全为人民，网络安全靠人民，维护网络安全是全社会共同的责任，需要政府、企业、社会组织、广大网民共同参与，共筑网络安全防线。要全天候、全方位感知网络安全态势，只有加强大数据挖掘分析，更好地感知网络安全态势，才能做到知己知彼，百战不殆。

《中华人民共和国网络安全法》第一章第五条规定：“国家采取措施，监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁，保护关键信息基础设施免受攻击、侵入、干扰和破坏，依法惩治网络违法犯罪活动，维护网络空间安全和秩序”。这说明国家对网络安全风险和威胁非常重视，对关键信息基础设施的安全非常关注。《中华人民共和国网络安全法》第五章“监测预警与应急处置”则将监测预警机制提到了一个全新的高度，要求各行业和各领域均建立完善的网络安全监测预警机制。

在系统建设完成后，随着运营数据的不断增多，系统运行使用过程中各种安全问题不断出现，需要持续优化安全运营能力。安全运营能力不仅需要技术与平台，还要结合人的能力，既需要对日常安全事件持续处理的运维人员，也需要能够对数据进行深度分析的研判分析人员，最终的汇总信息还需要能进行决策与行动安排的决策者。

综上所述，在安全能力建设中后续需考虑不断升级集中安全运营平台的技术服务能力，清晰梳理要监测与防护的最关键的业务资产，然后应用合理的技术从基础网络层面获取尽可能完整的安全要素数据，这些数据越全，对威胁发生的过程、攻击链条看的就越全。再结合态势感知与安全运营平台以及集成了安全大数据能力的威胁情报，从整体层面来分析数据、发现威胁与异常，并结合安全服务来落地安全能力，发挥态势感知的真正作用。