网络安全建设方案

1、网络安全建设方案2016年7月TOC o 1-5 h z HYPERLINK l bookmark0 o Current Document 1.前言3 HYPERLINK l bookmark2 o Current Document 1.1.方案涉及范围3 HYPERLINK l bookmark4 o Current Document 1.2.方案参考标准3 HYPERLINK l bookmark6 o Current Document 1.3.方案设计原则4 HYPERLINK l bookmark22 o Current Document 2.安全需求分析5 HYPERLINK l b

2、ookmark24 o Current Document 2.1.符合等级保护的安全需求6 HYPERLINK l bookmark26 o Current Document 2.1.1.等级保护框架设计6 HYPERLINK l bookmark28 o Current Document 2.1.2.相应等级的安全技术要求6 HYPERLINK l bookmark30 o Current Document 2.2.自身安全防护的安全需求7 HYPERLINK l bookmark32 o Current Document 2.2.1.物理层安全需求7 HYPERLINK l bookmar

3、k34 o Current Document 2.2.2.网络层安全需求7 HYPERLINK l bookmark38 o Current Document 2.2.3.系统层安全需求9 HYPERLINK l bookmark44 o Current Document 2.2.4.应用层安全需求9 HYPERLINK l bookmark54 o Current Document 3.网络安全建设内容10 HYPERLINK l bookmark62 o Current Document 3.1.边界隔离措施11 HYPERLINK l bookmark64 o Current Docum

4、ent 3.1.1.下一代防火墙113.1.2.入侵防御系统13 HYPERLINK l bookmark68 o Current Document 3.1.3.流量控制系统14 HYPERLINK l bookmark70 o Current Document 3.1.4.流量清洗系统15 HYPERLINK l bookmark72 o Current Document 3.2.应用安全措施16 HYPERLINK l bookmark74 o Current Document 3.2.1.WEB应用防火墙16 HYPERLINK l bookmark76 o Current Docume

5、nt 3.2.2.上网行为管理系统16 HYPERLINK l bookmark78 o Current Document 3.2.3.内网安全准入控制系统17 HYPERLINK l bookmark80 o Current Document 3.3.安全运维措施18 HYPERLINK l bookmark82 o Current Document 3.3.1.堡垒机18 HYPERLINK l bookmark84 o Current Document 3.3.2.漏洞扫描系统19 HYPERLINK l bookmark86 o Current Document 3.3.3.网站监控预

6、警平台19 HYPERLINK l bookmark88 o Current Document 3.3.4.网络防病毒系统21 HYPERLINK l bookmark90 o Current Document 3.3.5.网络审计系统22第第 页共23页网站成功的攻击中，超过7成都是基于Web应用层，而非网络层。前不久OWASP（OpenWebApplicationSecurityProject）机构发布了最新的0WASPTop10ApplicationSecurityRisks，SQL注入和XSS攻击（CrossSiteScripting，跨站脚本攻击）仍旧排名前两位，是目前存在最为普遍、

7、利用最为广泛、造成危害最为严重的两类Web威胁。Web应用与云计算技术具有天然的联姻关系。基于SaaS（软件即服务）的云计算技术模型，对Web安全监控系统提出好的解决思路。网站监控预警平台与IDC合作，搭建Web安全监测系统，对用户提供基于云计算（SaaS）模型的Web安全监测服务。可提供7X24小时的实时网站安全监测服务。一旦发现您的网站存在风险状况，安全团队会第一时间通知您，并提供专业的安全解决建议。同时，基于SaaS的Web安全监测系统结合公司安全专家团队为用户定期提供网站系统评估报告，及时、有效地掌握网站的风险状况及安全趋势，从而提供稳定、安全的Web应用环境。网站实全监测服务局频率监

8、测网页怠改“f网页挂咕周期惓査网站实全监测服务局频率监测网页怠改“f网页挂咕周期惓査网站漏涓扫韦网站挂马监测网页篡改监测敢感内容监辺SQL注入跨站国本Cooki改昭虫、诲链我态艮伪装喚3网站漏涓扫韦网站挂马监测网页篡改监测敢感内容监辺SQL注入跨站国本Cooki改昭虫、诲链我态艮伪装喚3防护实时玫击前护并报警3.3.4.网络防病毒系统防病毒系统不仅是检测和清除病毒，还应加强对病毒的防护工作，在网络中不仅要部署被动防御体系（防病毒系统）还要采用主动防御机制（防火墙、安全策略、漏洞修复等），将病毒隔离在网络大门之外。通过管理控制台统一部署防病毒系统，保证不出现防病毒漏洞。因此，远程安装、集中管理、

9、统一防病毒策略成为企业级防病毒产品的重要需求。在跨区域的广域网内，要保证整个广域网安全无毒，首先要保证每一个局域网的安全无毒。也就是说，一个局域网的防病毒系统是建立在每个局域网的防病毒系统上的。应该根据每个局域网的防病毒要求，建立局域网防病毒控制系统，分别设置有针对性的防病毒策略。从总部到分支机构，由上到下，各个局域网的防病毒系统相结合，最终形成一个立体的、完整的病毒防护体系。网络审计系统网络审计系统以旁路的方式部署在网络中，不影响网络的性能，具有即时的网络数据采集能力、强大的审计分析功能以及智能的信息处理能力。通过使用该系统，可以实现如下目标：对用户的网络行为监控、网络传输内容进行审计（如员工是否在工作时间上网冲