政务云-安全策略

数据中心云安全设备功能

云平台安全设备功能......................................................................................................31.1防火墙........................................................................................................................31.2抗攻设备.....................................................................................................31.3防病毒安全网关........................................................................................................41.4WEB应用防火墙........................................................................................................1.5部署....................................................................................................................1.6入防御...................................................................................................................1.7网审计...................................................................................................................1.8堡垒主机....................................................................................................................1.9漏扫描系统...........................................................................................................1.10网页防篡改.............................................................................................................1.11网闸.........................................................................................................................

云平台安全设备功1.1防火墙访问控制策略：依据数据包的源地址、目的地址、通信协议、端口、流量、用户、通信时间等信息，进行判断，确定是否在在非法或违规的操作，并进行阻断。地址转换策略针对政务云内的不同的业务服务器防火墙将采取地址转换策略，来有效的保护业务服务器；会话限制策略对于三级信息系统从维护系统可用性的角度必须限制会话数来保障服务的有效性防火墙可对保护的应用服务器采取会话限制策略当服务器接受的连接数接近或达到阀值时，防火墙自动阻断其他的访问连接请求，避免服务器接到过多的访问而崩溃；地址绑定策略对于三级的信息系统业务应用服务器区域信息系统业务数据库服务器区域以及数据交换区域，必须采取＋MAC地址绑定技术，从而有效防止地址欺骗攻击同时采取地址绑定策略后还应当在各个三级计算环境的交换机上绑定，防止攻击者私自将终端设备接入三级计算环境进行破坏；日志审计策略防火墙详细记录了转发的访问数据包可提供给网络管理人员进行分析。这里应当将防火墙记录日志统一导入到安全管理平台。1.2抗击设备（1）DOS/DDOS攻击防御TopADS不仅能够检测和清洗Pingofdeath、Land、等DOS攻击还能清洗ICMPFloodTCPSYNFloodTCPACKFloodTCPSYN-ACK、TCPRSTFloodTCPFINFloodTCP分片、TCPConnection（连接耗尽）等流量型DOS/DDOS攻击。

（2）应用层DOS/DDOS攻击防御TopADS采用信誉源测机制HTTPGETFloodPOSTFlood、HTTPS、DNSQUERYFlood、NXDomainFlood、反射投毒、慢速连接耗尽等应用型DOS/DDOS攻击有更好的防御效果。（3）大客户两级保护对象策略TopADS产品内置了针对运营需求的大客户两级保护对象策略，可以在一级保护对象中定义大客户，并在一级保护对象上设置针对大客户个体的黑白名单、过滤规则等策略后在二级保护对象中针对大客户的不同服务器配置不同的保护模板，形成二级保护策略。（4）全64位的原生ipv6支持TopADS产品的管理平面和数据平面均为全64位系统，具备原生ipv4/ipv6双栈处理能力，不仅能够在纯ipv6网络环境中部署和检测攻击，还能够在ipv4/ipv6混合网络环境中部署和检测攻击行为。1.3防病毒全网关可实现对边界的恶意代码进行检查和清除网用户在访问互联网的挂马网站或是病毒网站钓鱼网站的时候防病毒网关可直接在边界进行病毒过滤从网络层面阻断病毒传播部署的服务器上的防病毒软件相配合覆盖全面，分层防护的多级病毒过滤系统。1.4WEB应防火墙WEB应防火墙通过对进出服器的http流相关内容的实时分析检测、过滤，来精确判定并阻止各种Web应攻击行为，阻断对Web服器的恶意访问与非法操作，如SQL注入、、Cookie篡以及应用层DoS攻等，有效应对网篡改、网页挂马、敏感信息泄露等安全问题。

1.5VPN部署Vpn用来保证认证过程安全保障数据传输安全，同时在细粒度授权下实现严格的访问控制，对用户访问全程的各个层面提供安全保障。1.6入侵防御入侵防护TopIDP产品采用了进的基于目标系统的流重组检测引擎根源上彻底阻断了TCP流分段重叠攻击行为。并且拥11大类超过3500条攻击规则，尤其深度挖掘本地化业务系统的漏洞，形成防御阻断规则后直接应用于产品，更有效保护企业信息化资产。·DoS/DDoS防护TopIDP全面支DOS/DDOS防御，通过构建统计型攻击模型和异常包攻击模型，可以全面防御SYNfloodfloodfloodFloodflood、TcpScan以及CC等多达几十种DOS/DDOS攻击行为还可以通过自学习模式，针对用户所需保护的服务器进行智能防御。·应用管控TopIDP产品能够识包括传统协议、P2P下载、股票交易、即时通讯、流媒体、网络游戏网络视频等在内的超过150种网络应用使用户很轻松判断网络中的各种带宽滥用行为而采取包括阻断制连接数流量等各种控制手段，确保网络业务通畅。·网络病毒检测TopIDP产品集成了巴斯基SafeStreamⅡ网络病毒库用基于数据流的检测技术能够检测包括木马后门和蠕虫在内的超过100万种网络病毒与传统的防病毒网关不同TopIDP产品并不需要依据透明代理还原文件是直接在数据流中检测病毒能进行高速在线检测实时阻断新近流行的危害度最大的各种网络病毒。

·URL过滤TopIDP产品内置一庞大的URL分类库，库中收纳包括恶意网站、违反国家法规与政策的网站、潜在不安全的网站、浪费带宽网站、大众兴趣的网站、聊天与论坛网站、行业分类网站和计算机技术相关网站等多类，总数超过600万个URL地址TopIDP产品能够统计分析内网用户的上网行为限制对恶意网站或者潜在不安全站点的访问过与应用管控功能相结合以制定有效的管理策略，实现内网用户的上网行为管理。1.7网络审计可以有效记录系统的相关安全事件审计记录包括安全事件的主体、时间、类型和结果等内容，能提供审计记录查询、分类、分析和存储保护功能，可以确保对特定安全事件进行报警，确保审计记录不被破坏或非授权访问。1.8堡垒主堡垒主机提供统一的集中管理平台集中管理用户帐号集中登录认证集中用户授权和集中操作审计。1.9漏洞扫描系统漏扫系统应用系统所使用的网络设备、网络安全设备、虚拟服务器等设备，进行漏洞扫描，通过漏洞扫描的结果生成报告，及时对存在漏洞设备进行修补，增强其系统的安全系数。1.10网页防改系统将篡改监测的核心程序通过内核文件底层驱动内嵌到操作系统中过事件触发方式自动监测对文件夹的所有文件内（包含htmlaspjspphp音频、图片、视频等文件类型）对照其多个属性，经过内置散列快速算法，实时监测，若发现变更，实时阻断篡改行为。通过非协议方式，纯内核安全出站校验方式检查出站内容的完整性。

1.11网闸实现重要网络与其它网络安全隔离并实现网络之间有效的数据交换系统由内端机、外端机、专