2021年版网络信息安全建设解决方案

xxxx网络安全解决方案2021年8月15日目录TOC\o"1-5"\h\z\o"CurrentDocument"! 项目综述 7\o"CurrentDocument"2 XXXX需求分析 82.1 项目背景 8\o"CurrentDocument"1.1 项目的必要性 8\o"CurrentDocument"需求分析 10\o"CurrentDocument"2.2.1 面临的安全威胁问题 10\o"CurrentDocument"2.2.2 生产网外联区 12\o"CurrentDocument"2.2.3 移动办公区 13\o"CurrentDocument"2.2.4 互联网接入区 13\o"CurrentDocument"结论 15\o"CurrentDocument"3解决方案 16\o"CurrentDocument"1 方案设计原则 16\o"CurrentDocument"3.2 XxxxNSP整体解决方案 17\o"CurrentDocument"3.2.1XXX部署方案 XX数据中心部署设备方案 研发中心部署设备方案 分支机构部署设备方案 20\o"CurrentDocument"3.2.2 分布式部署和集中管理平台 分布式部署架构 总部管理服务平台的高可用设计 集中管理平台 攻击签名库更新升级方案 24\o"CurrentDocument"4Xxxx方案的设备型号及管理平台 254.2 方案中XxxxNSP设备型号介绍 272.1 NS-9x00产品规格 错误!未定义书签。2.2 NS-7x50产品规格 282(。 NS-5x00ノnn••••■•••••••■•■•••••■••■••••■•■•••■•■•••••••■•■•••••■••■••••■•■•••■•■•••••••■•■•••••■••■••292.4 NS-3x00产品规格 30\o"CurrentDocument"3 XX数据中心NSM服务器配置建议 31\o"CurrentDocument"4 统ー管理服务器Central Manager配置建议 31\o"CurrentDocument"5XxxxNSP介绍 32\o"CurrentDocument"1 XxxxNSP设备 32\o"CurrentDocument"2 统一管理平台(Central Manager)介绍 35\o"CurrentDocument"5.3 NSP的优势 36\o"CurrentDocument"1公司实カ 36\o"CurrentDocument"3.2非特征检测方式 36\o"CurrentDocument"与XXXX现有终端管理平台EPO集成 37\o"CurrentDocument"NGIPS新技术 38\o"CurrentDocument"群集和扩展能力 39\o"CurrentDocument"3.7 全面支持IPv6 39\o"CurrentDocument"6XxxxNSP功能介绍 43\o"CurrentDocument"1 检测及防御功能 43\o"CurrentDocument"6.1.1网络攻击特征检测 43\o"CurrentDocument"6.1.3 DoS/DDoS攻击防御 45\o"CurrentDocument"6. 1.4 入侵防护功能 46\o"CurrentDocument"6.1.5 实时过滤蠕虫病毒和Spyware间谍程序 47\o"CurrentDocument"6. 1.6 虚拟IPS 48\o"CurrentDocument"6.1.7 灵活的部署方式 49\o"CurrentDocument"6.1.8 具备风险识别的入侵防御 51\o"CurrentDocument"6.1.9 内置Web安全保护 52\o"CurrentDocument"6.1.10 SSL加密攻击检测 52\o"CurrentDocument"6.1.11 领先的虚拟内部防火墙 53\o"CurrentDocument"6.1.12 流量控制 53\o"CurrentDocument"6. 1.13 僵尸网络流量监控 54\o"CurrentDocument"6.2 第三方测评 56\o"CurrentDocument"6.2.1 Gartner测评 566.2.2 NSSLab评测报告 57\o"CurrentDocument"7 服务承诺 58\o"CurrentDocument"硬件和软件的售后技术支持和软件服务 58\o"CurrentDocument"7.1.1 服务的期限 58\o"CurrentDocument"7.1.2 服务的支持方式 587. 1.2.1电话技术支持 587. 1.2.2在线支持 587. 1.2.3白金企业支持 59\o"CurrentDocument"7.1.3 产品和软件的服务的内容 6软件产品更新升级 6产ロロ评估 617. 1.3.4分析和警报 627. 1.3.5其他白金服务内容（参见服务管理） 62\o"CurrentDocument"7.1.4 产品和服务的响应 6硬件产品更换的响应规则 627. 1.4.2问题上报和回复的时间 62\o"CurrentDocument"7.2 Xxxx原厂!DS/IPS白金企业服务管理 63\o"CurrentDocument"7.2.1 IDS/IPS项目白金企业服务管理定义 63\o"CurrentDocument"7.2.2 服务保障团队和角色 6技术服务经理SAM 6产品专员 6现场技术支持工程师 6全球技术支持中心 64\o"CurrentDocument"2.3 服务流程简介 65\o"CurrentDocument"2.4 现场技术支持服务 65\o"CurrentDocument"2.5 重大变更现场支持服务 65\o"CurrentDocument"2.6 应急服务 66\o"CurrentDocument"2.7 季度巡检 66\o"CurrentDocument"培训服务 67\o"CurrentDocument"3.1原厂提供的专业课程培训 67\o"CurrentDocument"3.2 项目培训 67\o"CurrentDocument"原厂提供的专家咨询和专业化服务 67\o"CurrentDocument"项目集成商的人员驻点服务 68\o"CurrentDocument"7.5.1 现场服务及驻点服务描述 687.5.2 月艮务目标 68\o"CurrentDocument"7.5.3 服务工作内容描述 68\o"CurrentDocument"5. 4派驻现场的驻点工程师资质 69\o"CurrentDocument"项目集成商的项目实施和部署及后期维护的服务 69\o"CurrentDocument"附相关资料和文档 69\o"CurrentDocument"1 目标 70\o"CurrentDocument"8.2 阶段性目标和分阶段实施 71\o"CurrentDocument"8.2. 1项目实施计划 71\o"CurrentDocument"8.2.2 分阶段实施说明 7阶段ー 项目准备 7阶段二 试点安装运行 7阶段三全公司推广安装运行 7阶段四 维护和验收 74\o"CurrentDocument"3 实施团队 76\o"CurrentDocument"3. 1 项目参与方 76\o"CurrentDocument"3. 2 实施小组 76\o"CurrentDocument"3.3 项目组织架构 77\o"CurrentDocument"人员培训 79\o"CurrentDocument"日常维护建议 84\o"CurrentDocument"8.5. 1 升级周期建议 84\o"CurrentDocument"8.5.2故障检查排除 84\o"CurrentDocument"8.5.3出现攻击时应急方案 8大量攻击 8DoS攻击 90传感器操作 90响应管理 9通过SPAN监控内网 911项目综述本方案根据XXXX目前的信息安全建设状况,借助Xxxx在信息安全领域的技术和解决方案,以动态安全风险管理为基础,提出了较完整的IDS/IPS解决方案及实施步骤。其最大的特点是:以全面的量化安全风险为基础，在系统和网络层面构建全面的安全威胁防御体系,完善健全安全措施,当安全风险等级变化时，风险管理管理系统提供详细的安全风险变化原因和补救措施，同时,调整系统和网络层面的防御策略,真正的做到全面防御，有的放矢。风险管理的过程中,如何有效地消除威胁、降低风险是关键。我们建议通过一系列建设实现全面的系统和网络防御体系。目前,XXXX已经建立了一套比较系统的终端安全防御措施，而Xxxx提供的IDS/IPS网络入侵防护产品和解决方案，可以帮助XXXX对抗未知的和将来出现的安全威胁。通过XxxxNSP（即!DS/IPS）构建完善的XXXX安全边界防御体系，在网络边界实时准确的检测和阻断各类网络攻击行为、DoS/DDoS攻击及未知的攻击流量，并对P2P、IM等应用流量进行管理，完善整个网络安全建设。2XXXX需求分析2.1项目背景根据XXXX等外部监管要求,参考同业情况,结合XXXX当前的实际情况,为全面提高网络安全防护能力,XXXX计划全公司统ー实施网络入侵检测和防护（以下简称IDS/IPS）体系建设。2.1.1项目的必要性1、确保全行网络运行安全,提升防护水平网络入侵检测防御技术是一种主动保护自己免受攻击的网络安全技术。1DS/IPS系统能够帮助应用系统及时发现来自网络的系统层面攻击，增强系统管理员的安全管理能力,提高了信息安全保障系统整体架构的完整性。随着网络技术和网络规模的快速发展,针对网络系统的攻击越来越普遍,蠕虫泛滥、垃圾邮件、病毒传播以及拒绝服务等各类网络攻击手法日趋复杂,网络入侵检测防御技术和产品也得到了快速发展。XxxxLabs在2017年第3季度收集的统计数据。其中数量最多的是新恶意软件，达到5760万个新样本的史上最高记录,比第2季度增长了10%〇XxxxLabs样本数据库中的总数量现在已超过7.8亿。本季度的新勒索软件数量增长了36%,主要源自Android锁屏恶意软件的大面积爆发。可以轻松获得的漏洞利用工具包和黑市Web源加快了新恶意软件的繁殖速度。恶意软件总数量900,000,000750,000,000恶意软件总数量900,000,000750,000,000600,000,000450,000,000300,000,000150,000,0000600iiillllNI2015年 2016年2017年2016-2017年前十大攻击向・

（公开的件&■）M*W.23・HSS・■trnnaBDOoSMas・奈・0B3点点豊=:随着xxxx各项业务的快速发展,信息系统的建设也处于加速发展中。网络规模、数据流量在未来3-5年内将有较大的增长。这对网络系统的安全防护在监控部署规模、数据处理能力、入侵检测防御能力等各个方面提出了更高的要求。为满足业务信息系统的发展需要,有必要对公司现有!DS/IPS系统进行全面的升级改造。2,符合有关监管要求公安部、国家保密局等四部委于2007年联合发布的《信息安全等级保护管理办法》要求信息安全等级2级及以上级别的系统应在网络边界处部署IDS/IPS设备监视攻击行为并在发生严重入侵事件时报警。人民银行与银监会的相关规定均明确要求网络区域,特别是重要业务网段应部署入侵检测系统/入侵防护系统,对网络异常流量进行监控，监视并记录攻击行为，保证在第一时间检测到攻击的发生,以及是对攻击行为采取阻断措施。2009年开始，银监会同时要求各股份制商业银行每季度通过信息科技非现场监管报表上报IDS/IPS部署信息情况，并作为评价个商业银行信息科技风险管理水平的依据要素之一。MebrootDrive-byMebrootC&CDownloadServer ServerMebrootDrive-byMebrootC&CDownloadServer Server2.2需求分析随着XXX信息系统的不断发展壮大,网络的规模和节点数量也在不断增加。在网络的发展过程中,XXX一直非常重视信息安全系统的规划和建设。目前在实现了安全区域的初步划分，并且采用网络防火墙进行了隔离,防止跨越安全边界的非授权访问行为。但随着外部环境的变化和网络安全的威胁不断增长,已无法满足现在的安全要求。已有的IDS设备又存在两个严重的问题:第一、部署体系和区域不够完整,防护效果有限未能满足监管要求:第二、原有IDS设备维保中断，无法保证后续使用,防护功能失效,存在较大隐患。2.2.1面临的安全威胁问题随着互联网的发展和网络服务的拓展,越来越多的新型安全威胁在危害着我们的网络，与此同时,客户已经建设的安全防护系统也存在着一些漏洞和不足,下边我们就论述一下客户面临的安全威胁及存在的问题。如下图所示，目前的恶意攻击行为主要以窃取机密数据，并获取金钱为目的。入侵的手段千奇百怪，但是都是以隐蔽和低调的方式进行。恶意软件潜伏在用户主机中，不断渗透入侵内部用户的其他主机，从桌面系统和服务器上窃取机密信息。TorpidC&C

ServerVictimClientTorpidC&C

ServerVictimClientATorpidDLLsInjectedIintoIE,Frefox,oConfigurationFite

ContainingBank

DomansNewC&C

Servers300Domains

forTargetFIs©PhishmgHTMLjセ~_InjectionServer典型的攻击过程通常是通过诱惑用户访问某些恶意网站或资源，诱惑安装恶意软件,从而成功入侵某些用户的桌面电脑，进而通过各种途径入侵其他同事的电脑,甚至管理员的电

脑,进而可能入侵公司的服务器系统。并且不断更新下载其他恶意软件,进行更深度的入侵。IPS作为网络的监控和防护系统,可以在任何上述阶段检测到恶意行为,管理员能够及时发现内部的恶意主机,并清除。防止恶意程序的扩散和信息偷窃行为发生。I,面临的外部安全威胁如下图所示,当前的网络安全面临多种安全威胁。1）黑客的攻击入侵,造成信息泄露，或者破坏网络、应用和服务器系统，可能造成网络、应用和服务器系统瘫痪;2）蠕虫病毒通过网络、Email和网络文件共享等多种方式传播，植入0A网络计算机后为黑客攻击留下后门，同时造成网络拥塞，甚至中断:3）蠕虫、恶意程序利用操作系统、应用、Web服务器和邮件系统的弱点进行传播，植入计算机系统后为黑客攻击留下后门,同样,在传播过程中，产生大量的TCP、UDP或ICMP垃圾信息,造成网络拥塞，如SqlSlammer、Ni集成商a、“冲击波”和Nachi蠕虫病毒:4）面临DOS/DDOS攻击,造成网络服务中断;5）P2P、IM等特殊应用缺乏管理和阻断的手段;6）越来越多的新型应用,如VoIP、SSL加密数据、IPv6等没有相应的防护手段;7）来自Internet各类安全威胁,没有有效的手段进行评估,并通过高效的措施将其阻断。II.面临的内部安全威胁包括:据第三方组织的评测，40%的安全威胁都源自于内部，常见的有:1）系统管理员离职前或者离职后恶意的破坏,如恶意的数据删除，数据修改:2）恶意的窃取更高权限口令，常见的是每天进行口令猜测，同时又不触发报警;3）恶意的扫描,用来发现开放的端口、网络和系统中的漏洞;4）恶意的针对漏洞的攻击。5）客户目前的内部网络也存在如上的安全威胁。2.2.2生产网外联区外联网络接入区出口用于连接其他与XXXX有业务往来的外部网络。外联接入区存在如下潜在的安全风险和安全威胁:通过外联网络接入区接入的外部网络相对比较独立,自成一体,计算机的安全管理程度参差不齐,ー些客户机由于管理比较弱,比较容易遭受零日攻击,很容易变成傀儡主机,成为病毒，蠕虫和恶意程序传播的攻击跳板。根据Xxxx的统计，超过85%的垃圾邮件和将近100%的蠕虫及恶意程序都是由这类僵尸计算机传播的。一旦XXXX内部网络主机遭到恶意程序感染，可能带来更多的其他问题,比如恶意程序可能造成计算终端的性能下降甚至中断,感染了恶意程序的主机又会成为新的傀儡主机,进ー步攻击XXXX内部其它网段的业务主机。另外,此类由外部网络内傀儡主机发起的攻击以及病毒蠕虫及恶意程序的传播会造成大量的网络异常流量，占用宝贵的带宽，不但影响正常的业务交互性能,同时造成企业带宽投资的浪费。而IT管理团队需要花费大量的时间和精力处理由此引发的各类安全问题。综上所述,目前外联网络接入区面临的安全隐患如下;.缺乏对来自外联网络的傀儡主机发起的网络恶意攻击行为（包括病毒，蠕虫,恶意程序传播等）的第一时间的监控,告警能力。.由于问题主机不在生产网络内,缺乏有效响应手段。通过防火墙只能实现访问控制保护功能，但是不能检测基于特定应用协议和安全漏洞的恶意攻击行为和恶意程序（比如Conficker蠕虫就是利用了微软的远程服务的漏洞而发起的零日攻击）;由于防火墙无法封闭此类攻击的高段应用端口,极易为木马后门程序所利用。.2.3移动办公区XXXX移动办公区人员较为复杂，除内部人员外，还包括外部运维人员、访客等,一旦不安全的计算机接入内部网络，可能带来不安全因素。该区域存在如下潜在的安全风险和安全威胁:.不安全的计算机接入内部网络,带来不安全因素;比如外部人员利用私接的个人笔记本电脑通过内部网络发起的目标主机嗅探,口令猜测,目标端口攻击,造成信息泄露。.外部人员私接的个人笔记本电脑没有安装必要的系统安全补丁或者没有安装防病毒软件或将私接笔记本电脑带到外面，感染病毒后又接回开发中心网络导致蠕虫病毒通过内部网络传播，造成网络拥塞，甚至中断;.蠕虫及恶意程序利用操作系统、应用系统的弱点进行传播，植入计算机系统后为黑客攻击留下后门,被恶意程序控制的计算终端可能存放有各类企业核心的信息及文档,一旦泄露,后果不堪设想；.2.4互联网接入区XXXX互联网接入区用于与Internet连接进行数据交换，而Internet则是各种最新病毒、零日攻击、APT威胁的传播源头。虽然,XXXX会在接入区出口部署防火墙，但防火墙只能基于规则,控制进出的端口、协议，无法分析分析网络数据中是否存在恶意威胁。另外,内部用户终端上虽然会部署防病毒系统,但随着恶意威胁的数量呈几何级增长，零日攻击的传播快速，APT威胁的难以发现，传统防病毒的黑名单技术已难以应对最新的威胁。而且终端用户安全意识薄弱,客户机比较容易遭受基于零日攻击的病毒木马的侵袭,上网不注意带来的间谍木马软件等问题非常普遍。一旦变成傀儡主机,就可能成为潜在的安全威胁节点。2.3结论根据以上的安全威胁分析,相关的安全需求可以归纳为以下几方面:(1)加强网络边界的安全防护手段,准确的检测入侵行为,并能够实时阻断攻击;(2)能够检测出已知或未知的各种攻击形式，并实时阻断黑客攻击;(3)能够探测出已知和未知的蠕虫、病毒及恶意代码,准确定位传染源,并能够阻断蠕虫通过网络进行传播;(4)能够检测异常网络流量,有效阻断DoS/DDoS攻击;(5)能够检测针对网络的加密攻击;(6)能够对整个客户网络进行实时、准确、全面的入侵防护;(7)通过整套IDS/IPS系统体系，及时识别网络中的安全弱点，并且获得具体的安全弱点的修补建议;(8)发现新的弱点和新的威胁时，能够有手段在!nternet入口及网络边界阻止这些威胁,实时保护内部网络的安全;(9)需要依照全行的安全策略和管理策略,部署先进高效的网络入侵检测防护产品,并从安全风险管理的角度出发,真正有的放矢地解决网络安全问题;(10) 在规划目标上建立一个信息安全管理体系，通过一定的基本原则和管理流程，整合好目前己经部署和使用的安全产品，真正做到对安全风险的有效管理。根据合规和安全上的需求，XXXX现今需要对现有IDS/IPS系统进行升级改造,建立起统一的区域化部署、集中式管理的IDS/IPS系统架构，具备以!0千兆以太网为骨干的网络流量处理能力，安全防护覆盖数据中心新、旧机房，满足总行未来3-5年的网络安全防护需求。最终实现减低网络安全风险、提升数据中心可用性，满足持续不断的监管合规要求。3解决方案针对XXXX的安全需求,Xxxx建议分别在XX数据中心、XX数据中心、研发中心、各级部署Xxxx的NSP系统,对网络进行监控和防护,并通过集中管理平台进行策略管理和安全监控。1方案设计原则本次方案兼顾整体的安全性能,和整体安全体系建设、设备、系统的可靠性和可用性。方案设计依据以下原则:(1)方案设计始终考虑业务安全需求和投资的平衡;(2)方案设施后不影响现有网络的安全性,不会降低现有系统的可靠性和可用性，不影响现有的系统和网络性能;(3)入侵检测和防护设备及各类安全设备探测准确,最大限度减少错报和误报;(4)方案实施后,不影响现有的网络和计算机性能；(5)在不增加现有工作量的基础上,能够提升安全管理工作的效率。3.2XxxxNSP整体解决方案2.1XXX部署方案1.1xx数据中心部署设备方案XXXX数据中心包括生产网外联区、移动办公区、互联网接入区,我们建议分别部署2台NS-7X00系统对3个区域的网络进行监控和保护。1台NS-7X00部署在生产网外联区,对进出流量进行监控。此处补充网络拓扑图通过在生产外联区部署网络入侵检测系统,可以为xxxx带来如下好处:保护高风险应用,抵御来自内部终端的攻击，利用NSP系统监控和防御高风险攻击以及注入攻击行为。检测所有从服务器向外的恶意行为，提前发现服务器的异常通讯（恶意通讯）。密切关注生产区内部安全情况，检测数据中心网络通讯,及时发现恶意流量。利用IPS/IDS多点监控,可以及时发现数据中心的异常恶意流量，及时控制和清除肉机,避免服务器被大规模入侵，避免从内部引发大规模的DoS攻击（如ARP攻击）。1台NS-7X00部署在移动办公区和互联网接入区此处补充网络拓扑图通过在办公区和互联网出口部署网络入侵检测系统,可以为XXXX带来如下好处:办公区的终端比较容易遭受基于零日攻击的病毒木马的侵袭,比如办公终端上网不注意带来的间谍软件、木马软件、恶意插件等等问题非常普遍。一旦变成傀儡主机,就可能成为潜在的安全威胁节点。通过部署NSP系统可以及时发现异常行为办公的终端,例如恶意扫描网络;攻击本地终端和服务器行为;频繁猜测AD密码;消耗广域网带宽;快速定位中病毒终端;发现僵尸网络流量。及时发现和处理有异常行为。互联网是高风险区域,通过部署NSP系统，可以保护内部的重要应用:抵御来自互联网的攻击；监控并防御高风险攻击以及注入攻击行为；检测所有从服务器向外的恶意行为，提前发现服务器的异常通讯（恶意通讯）。对于研发中心,我们建议部署1台NS-5X00系统,通过SPAN方式用来监控来自内部网络的网络入侵和恶意代码的传播。此处补充网络拓扑图研发中心人员较为复杂,除内部开发人员外,也包括外部运维人员,一旦不安全的计算机接入内部网络,可能带来不安全因素。通过在研发区部署NSP系统可以为XXXX带来如下好处:密切关注研发区内部安全情况,检测网络通讯，及时发现恶意流量。利用IPS/IDS多点监控,可以及时发现研发的异常恶意流量，及时控制和清除肉机，避免服务器被大规模入侵,避免从内部引发大规模的DoS攻击（如ARP攻击）。研发区的终端比较混杂，可能受到零日攻击的病毒木马的侵袭,一旦变成傀儡主机,就可能成为潜在的安全威胁节点。通过部署NSP系统可以及时发现异常行为的终端,例如恶意扫描网络;攻击本地终端和服务器行为;频繁猜测AD密码;消耗广域网带宽;快速定位中病毒终端;发现僵尸网络流量。及时发现和处理有异常行为。分支机构部署设备方案对于各级分支机构,我们建议通过一台NS-5X00设备监控办公区、互联网接入区和生产外联区。此处补充网络拓扑图保护生产区的重要应用,抵御来自内部终端的攻击,监控和防御高风险攻击以及注入攻击行为;检测生产区服务器的向外的恶意行为,提前发现服务器的异常通讯（恶意通讯）;密切关注生产区内部安全情况，检测数据中心网络通讯,及时发现恶意流量,及时发现数据中心的异常恶意流量,及时控制和清除肉机,避免服务器被大规模入侵,避免从内部引发大规模的DoS攻击（如ARP攻击）。办公区的终端比较容易遭受基于零日攻击的病毒木马的侵袭，比如办公终端上网不注意带来的间谍软件、木马软件、恶意插件等等问题非常普遍。一旦变成傀儡主机,就可能成为潜在的安全威胁节点。通过部署NSP系统可以及时发现异常行为办公的终端,例如恶意扫描网络;攻击本地终端和服务器行为;频繁猜测AD密码;消耗广域网带宽:快速定位中病毒终端;发现僵尸网络流量。及时发现和处理有异常行为。互联网是高风险区域,通过部署NSP系统，可以保护内部的重要应用:抵御来自互联网的攻击;监控并防御高风险攻击以及注入攻击行为;检测所有从服务器向外的恶意行为,提前发现服务器的异常通讯（恶意通讯）。3.2.2分布式部署和集中管理平台分布式部署架构XXXX总部和各分支机构部署NSP设备。目前总部和分支之间的网络带宽是XMbps左右,管理服务器如集中部署在总部,则NSP和NSM之间的网络通讯会影响生产网络带宽。因此方案在总部部署2台NSM管理服务器（主备模式）,而各分支机构部署独立的NSM管理服务器。设计的分布式部署架构有如下优势:1、系统维护管理的权限下发给了各ー级分支机构的管理员,管理员可以第一时间响应处理网络中出现的安全威胁，；2、网络监控Sensor与管理服务器处于同一网路中，不会对专线生产网有任何带宽方面的影响。此处补充网络拓扑图总部管理服务平台的高可用设计总部数据中心（XX或XX）,我们建议部署2台NSM管理服务器（主备方式）以实现高可用性和高可靠性。（l）NSP安全管理系统（NSM）通过Active/Standby主备管理服务器技术提供了连续的，高可用性的管理平台;（2）自动失效故障切换和故障恢复技术允许在关键配置数据出现失效事件时可获得灾难恢复;•甚至在发生灾难或系统失效时，也能确保关键网络保护的连续性•支持共同灾难恢复策略,允许HA部署在备选数据中心Sensorsinthedeployment集中管理平台此外,根据XXXX在该项目的管理规划目标,确保总行的网络管理员能够通过ー个集中监控的管理平台,有效监控各级分支机构的网络安全现状,全方位掌控和管理全行安全威胁、,方案将在XX数据中心部署1台专用的NSM统ー管理平台即中央管控平台(CentralManagement)服务器，用以收集各级分支机构IDS设备的网络安全日志、做相应的日志分析和关联分析,以及全行的安全策略的部署和调整。此处补充网络拓扑图攻击签名库更新升级方案Xxxx的NSP针对网络攻击检测有多种技术,其中签名库需要定期升级,为了保障签名库升级后系统的稳定运行,我们建议采用试点升级然后全行推广的方式,具体步骤如下:XX数据中心管理运维人员确认最新签名库的版本，与Xxxx售后人员确认并获取升级建议。XX数据中心管理运维人员手工下载最新签名库,并在试点设备上升级。建议选择XX数据中心监控办公网的NS-7X00和研发中心的NS-5X00,如果二级分支机构部署有NS-5X00,则选择一家二级分支机构。待升级签名库试运行正常后，在全行推广签名库的升级。此处补充网络拓扑图

4Xxxx方案的设备型号及管理平台推荐型号在本方案中,部署在XX数据中心、XX数据中心、成都数据中心的设备型号是XxxxNSPM-7X00i部署在研发中心、各分支机构的设备型号是NS-XXXX。设备型号及配置的数量统计表位置说明模块数量XX数据中心设备型号NS-XXXXX交流冗余电源MFENetSecRedundantPwrSupplyX千兆电ロ模块1000BTXminiGBIntrfcConv(SFP)CopperX万兆光口模块OptionalXFPGbic(850nm)OptionalXFPGbic(1310nm)OptionalLong-rangeXFPGbic(1550nm)XXX数据中心管理服务器NSMX统一管理平台CentralManager1设备型号NS-7X00X交流冗余电源MFENetSecRedundantPwrSupplyX千兆电ロ模块1000BTXminiGBIntrfcConv(SFP)CopperX万兆光口模块OptionalXFPGbic(850nm)OptionalXFPGbic(1310nm)OptionalLong-rangeXFPGbic(1550nm)X研发中心管理服务器NSM1

设备型号NS-5x00X交流冗余电源MFENetSecRedundantPwrSupplyX分支机构管理服务器NSMX设备型号NS-5x00X交流冗余电源MFENetSecRedundantPwrSupplyX4.2方案中XxxxNSP设备型号介绍NetworkSecurityPlatformSpecifications总体性能大字ヤ■可达■可注大丼行陟連■a型吞吐，(于■大漬计故.人的望团少チ行大髭文件或千兆值以大线口（内■胃第）叩”■ロ伊“动2な的以太网222(，笑齐).。*(发弁tt).ロ笑开.(划(，内关开放)■(电内关开放)考达■可■■■。■■■■ロ,サロWS外双尺寸机基安式英寸襄寸（お 机紫瓷式英寸貝寸机安!!式黄寸寸5）英寸（却 英寸豊寸国す儡大功央可證可逸切逸冗余电!!再逸可逸用套电ヨBias户■含宣金队,大)；停闻所!！闲的大)；大X歪空)中セ面中)台法住用的寤念第含城&中牛セ湾母）

pLJii'传件幽件住晶体性燈大吐字节貌包）■可达育可达■大井行靂报妙连搔む達接在呑吐，大鹿计导入的少于少チ幅的｛（跳的■大配文件敏□定千兆位以太阿ー級ロ（内敏莞路）国定ロ（卦部"功式故脅毫オ件支拘）2用定的以太同一网络网络—以太网一一以太网■皮ロ理ロ理约观尺寸机架安裳式英寸（寞）英寸英寸机渠安装式英寸（貢）英寸英寸（県）229.229.存偉同る固る■大功先貪流电可遶可建冗余も可建国建电♦at〇■（工作状る）,（多工作状る）相对度（无冷）工作时落工作时〇到英尺安全认证许可軻网》,0台な虚了も个国家加地区的鼻.(鏤国).(加拿大)(国际通用)(歡—).

传■件件住总体性健■大呑吐字节立盘包）高可达喜可达■大并行連接依罐按目療針跑吞吐（基干流■）—一■大流计。——导人的一一限行少チ■孤”系统的■大配文件总ロ速千兆位以太网ー微ロ（内敏旁錯）一动式故!!旁錯套件支畀）—産的以太网一一阿隱一———以太网——以太同—一曾理ロ存他线ロ物理第窺尺寸机架安矍式英寸（宜）英寸（喜）其寸（澤）机無安装式英寸英寸（*）英寸（蹲）■存储的る大功疑流电冗余电——車（工作状冷）；（工作状も）対遭及（无冷■）工作时,才:工作时英尺安全认证许可相报皆.綵合考車了暑个家相层的鼻.(員国)(加大)(万用)("瀬).4.3XX数据中心NSM服务器配置建议NSM管理平台Windows、Linux系统,可以运行在VMware平台中,我们建议的配置如下:系统:WindowsServer2012R2StandardEnglishVersion或XxxxLinuxOperationSystem内存:32GBCPU：IntelXeon2.8GHz2Processor硬盘:2x300GBSAS3.5(RAID-1)网卡:2个千兆位以太网卡4统ー管理服务器CentralManager配置建议NSM管理平台采用Windows系统,可以运行在VMware平台中,我们建议的配置如下:系统:WindowsServer2012R2StandardEnglishVersion或XxxxLinuxOperationSystem内存：32GBCPU：IntelXeon2.8GHz2Processor硬盘:2x600GBSAS3.5(RAID-1)网卡:2个千兆位以太网卡XxxxNSP介绍1XxxxNSP设备Xxxx充分分析了各种最新的安全风险,对于组织在网络层面所需要进行的安全防护功能进行了深入的研究,从而推出了新一代的网络安全平台:XxxxNetworkSecurityPlatform。XxxxNSP是全球领先的网络安全威胁保护平台,它能够对各种流行的已知攻击、针对最新漏洞的未知攻击进行有效阻断，对于网络管理员头疼的拒绝服务攻击进行有效防御，并且集成了网络恶意代码防护能力。通过这一平台,可以应对组织所面临的各种网络安全威胁、，有效地帮助组织保护其信息资产的安全。Xxxx网络安全平台系统由传感器(Sensor),管理器(Manager)两部分组成。传感器组件即Xxxx网络安全平台硬件设备，所有的Xxxx传感器均通过后台的NetworkSecurityManager(NSM)统ー进行管理。检测到的安全事件一般以日志方式存放在NSM数据库中。除了常规的入侵特征库以外,XxxxNSP还采用了多达7种不依赖于特征的检测技术，可以高效应对各类已知和未知的攻击和恶意代码。XxxxNSP可以根据用户的要求，灵活地部署在核心网络、网关或内部网络中，XxxxNSP包括入侵防护功能(IPS)、拒绝服务攻击防护以及高级恶意代码防护功能,可以前瞻性地防护骨干网络区域、重要服务器、关键业务系统不受各种攻击、木马、僵尸网络、蠕虫病毒、恶件、拒绝服务攻击、加密攻击等威胁的影响。此外,XxxxNSP也可以其他主要的安全技术进行整合，以进ー步提升网络防护等级。如和Xxxx业界领先的VulnearbilityManager漏洞扫描产品进行互动，可以充分分析攻击的有效性,免除管理员在数量众多攻击事件中寻找需要进ー步关注或处理的攻击迹象。而和Xxxx的网络行为分析(NTBA)产品进行互动,可以在发现流量异常时,通过XxxxNSP进行流量清洗,充分结合流(Flow)层面和数据包(Packet)层面的分析和防护功能,提供宏观和具体的不同视图,保证组织网络的健康有序。下面是NSP基本功能的简介。防御APT：NetworkSecurityPlatform会深入检测流量中是否有恶意文件下载和僵尸程序。它将使用多种恶意软件扫描选项来提供高级恶意软件保护，其中包括嵌入式PDF仿真器,该工具可以检查PDF下载中是否有零日java脚本威胁。它还会在NTBAappliance云中进行分析的潜在恶意文件。然后,系统将在虚拟环境中执行提交的文件。为了检测僵尸程序,NetworkSecurityPlatform会在给定的时间段内观察主机,将不同流中的多个攻击关联起来。它还可以将攻击信息转发至NTBAAppliance,以便建立类似的关联。NetworkSecurityPlatform会通过基于阈值和基于自学配置文件的检测技术来检测DoS和DDoSo此外,它还提供连接限制功能,可以限制主机能够建立的连接数目。保护Web应用程序:NetworkSecurityPlatform提供各种功能来保护您的Web应用程序服务器。例如,它采用启发式引擎来检测SQL注入。NetworkSecurityPlatform可以检查HTTP响应以确保您的服务器未受侵害。如果您可以导入服务器的私钥,则NetworkSecurityPlatformSensor将可以解密和分析SSL流量。检测后,它将重新为流量加应用程序识别:NetworkSecurityPlatform可以识别遍历网络的应用程序并根据您的配置对其执行操作。因此,您可以允许或阻止您网络上的特定应用程序或应用程序功能。例如,您可以阻止您网络中腾讯QQ的连接,同时允许所有其他HTTP流量。识别用户和用户组:NetworkSecurityPlatform与XxxxLogonCollector集成以识别网络中的WindowsAD用户及其所属的用户组。这意味着您现在可以基于用户，而非其IP地址（并不一定可靠）进行控制。另外，动态IP地址可能会因为用户是从办公室还是办公室外部连接而有所不同。新一代IPS功能:NetworkSecurityPlatform提供如内部防火墙和QoS等新一代IPS功能。您可以为不同网段创建不同的防火墙规则。您可以基于支持IPv6的传统5元组创建规则。此外，您也可以基于应用程序、应用程序功能、WindowsAD用户数据、地理位置和时间创建规则。这使您能够控制网络用户的权限,不管他们是从家里、机场还是办公室登录。在检查流量中是否有攻击之前，Senor会先根据防火墙规则对其进行评估。因此,您可以使用此功能来过滤必须检测是否存在攻击的流量。您可以基于与防火墙创建类似的条件创建QoS规则。这些规则可确保所需的网络带宽始终可用于您的业务应用程序,并且不会被其他应用程序（如社交网络或视频流处理应用程序）消耗。生的风险。它将与XxxxePO和NTBA集成以识别网络中每台主机的设备类型和操作系统。现在,您就可以知道网络中的设备的类型。如果特定主机成为攻击目标,您也可以根据设备类型和操作系统评估该攻击是否会产生影响。结合E1A,NSP能够了解网络流量和主机进程的关联关系,对网络入侵进行更加的准确识别。云计算和虚拟化网络安全防护:NSP可以作为vNSP虚拟设备模式部署在VMwareESX±,对虚拟机之间的流量进行检测和攻击拦截。vNSP还可以结合NSX实现将网络入侵防护进行灵活的资源调度。基于云的IP和文件信誉:为了保护您的网络不受已知和近零日恶意软件攻击,NetworkSecurityPlatform已与XxxxGlobalThreatIntelligence集成。它可以检查电子邮件、URL或文件是否为已知恶意软件。它还可以在外部主机尝试与网络上的主机通信时检查IP地址和端口的组合的信誉。2统一管理平台(CentralManager)介绍XxxxNetworkSecurityCentralManager(Ce