等级化保护三级方案

目录

1.需求分析...........................................................1

2.设计原则...........................................................1

3.参考标准与规范....................................................2

4.方案详细设计......................................................2

4.1.功能要求设计..................................................2

4.1.1.防火墙..................................................2

4.1.2.入侵检测系统............................................5

4.1.3.入侵防御系统............................................7

4.1.4.网闸....................................................8

4.1.5.防病毒网关.............................................10

4.1.6.数据库审计.............................................10

4.1.7.网络审计...............................................13

4.1.8.安全管理平台...........................................17

4.1.9.堡垒机.................................................22

4.1.10.终端安全管理系统......................................25

4.2.性能设计要求.................................................53

4.2.1.防火墙.................................................53

4.2.2.入侵检测系统...........................................54

4.2.3.入侵防御系统...........................................54

4.2.4.网闸...................................................54

4.2.5.防病毒网关.............................................54

4.2.6.数据库审计.............................................55

4.2.7.网络审计...............................................55

4.2.8.安全管理平台...........................................55

4.2.9.堡垒机.................................................56

4.2.10.终端安全管理系统......................................56

4.3.部署方案设计................................................56

4.3.1.防火墙.................................................56

4.3.2.入侵检测系统...........................................56

4.3.3.入侵防御系统...........................................57

4.3.4.网闸...................................................57

4.3.5.防病毒网关.............................................58

4.3.6.数据库审计.............................................58

4.3.7,网络审计.............................................58

4.3.8.安全管理平台...........................................59

4.3.9.堡垒机.................................................59

4.3.10.终端安全管理系统......................................59

5.整体部署示意图....................................................60

1.需求分析

(1)建立完善的访问控制体系，制定完善的访问控制策略，细粒度为端口级、

单个用户。

(2)建立完善的审计、监控体系。

(3)建立完善的边界防御体系。

(4)建立完善的计算机病毒、恶意代码防护体系。

(5)建立完善的运维管理体系。

2.设计原则

本方案将主要遵循统一规划、分步实施、立足现状、节省投资、科学规范、

严格管理的原则进行安全体系的整体设计和实施，并充分考虑到先进性、现实性、

持续性和可扩展性。具体体现为：

(1)等级标准性原则

本方案从设计到产品选型都遵循信息系统安全等级保护一一第三级要求。

(2)需求、风险、代价平衡的原则

对任一网络，绝对安全难以达到，也不一定是必要的。应对一个网络进行实

际分析(包括任务、性能、结构、可靠性、可用性、可维护性等)，并对网络面临

的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施,

确定安全策略。

(3)综合性、整体性原则

安全模块和设备的引入应该体现系统运行和管理的统一性。一个完整的系统

的整体安全性取决于其中安全防范最薄弱的一个环节，必须提高整个系统的安全

性以及系统中各个部分之间的严密的安全逻辑关联的强度，以保证组成系统的各

个部分协调一致地运行。

(4)易操作性原则

安全措施需要人为去完成，如果措施过于复杂，对人的要求过高，本身就降

低了安全性。

(5)设备的先进性与成熟性

安全设备的选择，既要考虑其先进性，还要考虑其成熟性。先进意味着技术、

性能方面的优越，而成熟性表示可靠与可用。

第1页

文通讯时间等条件设定安全策略。

(3)支持静态路由和策略路由，可通过源接口、目标接口、源IP、目标IP、

协议类型、时间等条件设定策略路由；支持RIP、OSPF、BGP动态珞由

协议；支持ISP路由，能够提升用户对不同ISP网络访问时的路由效率，

内置电信和联通地址库，同时用户可定义新的地址库。

(4)支持虚拟防火墙功能，可以将接口划分给不同的虚拟防火墙，每个虚拟

防火墙具有独立的管理员、安全域、资源对象、安全策略、NAT规则、

静态路由等配置。

(5)支持802.1QVLAN。

(6)支持链路聚合(Link-Aggregation)功能以增加链路带宽并起到负载均衡

和链路备份的作用，支持通过手动方式、IEEE802.3adLACP方式来创建

聚合链路.

⑺能够检测并阻断DDoS攻击和协议扫描,如Jo】t2、Land-Base>Smurf、

Pingofdeathswinnuke、teardrop、Synflag、TCPFlood、ARP攻击等攻

击行为，以及TCP、UDP、PING扫描等扫描行为，可以设定扫描识别

阈值，并对检测到的扫描主机进行屏蔽。

(8)支持QoS和带宽控制，能够基于策略针对特定对象进行控制，比如可以

根据单个主机IP或子网段，目标IP和子网段，服务类型、时间分配等

条件来进行带宽控制；支持策略带宽保证。

(9)具备完善的设备状态监控和会话管理功能：可通过图形的方式动态显示

设备的转发流量、系统连接数，以及根据不同的协议(如Web、Email.

FTP、UDP)区分的流量信息；可根据源地址、目的地址、端口号或协

议类型等分类来查看目前设备的当前会话状态。

(1())支持免客户端的用户本地认证功能，用户必须在经过设备认证后才能访

问特定网络。

(II)支持IPv6协议：支持IPv6、IPv4双栈运行、支持ipv6路由、支持手工

隧道、6to4隧道和ISATAP隧道。

(12)支持主动扫描IP-MAC对应关系，支持IP-MAC一键绑定功能。

(13)支持STP生成树协议。

第3页

(14)支持二三层链路状态联动。

(15)支持IGMPSnooping,能够优化防火墙工作在透明模式下时，对二层组

播报文的转发控制。

(16)支持与IDS的轶动功能。

(17)路由、透明、混合接入模式下均支持完整的NAT功能：

1)源地址NAT(多对一NAT)

2)目的地址NAT(多对一NAT)

3)目的端口转换

4)在DDNS应用模式下支持源地址NAT和目的地址/端口NAT

5)静态NAT(一对一NAT)

6)地址池NAT(多对多NAT)

7)服务器负载分担(一对多NAT)

(18)支持双机热备功能，包括主备模式(A/S)和主主模式(A/A)。

(19)支持连接状态自动同步。

(20)支持VRRP协议，包括VRRPV2和V3版本。

(21)支持三层链路监测。

(22)支持抢占优先级设置。

(23)支持配置自动同步。

(24)提供多种方式的管理界面，包括HTTPS、CONSOLE.SSH、TELNET

等。

(25)支持中英文管理界面。

(26)支持集中管理功能，可同时监控所有防火墙的运行状态，并支持对所有

设备进行统一安全策略配置及进行版本升级。

(27)设备具有液晶显示屏，可在不登录设备的情况下实时显示设备运行状态、

系统流量、管理地址等信息。

(28)支持管理员权限分级，支持用户自定义管理员权限表。

(29)支持本地日志、SYSLOG日志及NetFlow日志功能，支持在外接移动存

储设备上存放本地日志；支持邮件报警功能，所发送邮件支持以加密方

式传送。

第4页

(30)支持集中日志存储、管理及分析功能，并配置相关软件；支持日志合并

处理；支持日志压缩存储和传输。

(31)支持自动报表功能，用户可自行定义生成报表的周期、设备、日志类型、

日志等级等；生成的报表可自动发送至用户指定邮箱。

(32)支持SNTP协议，可通过NTP服务器同步系统时间。

(33)支持双操作系统；支持多配置文件备份，最多可支持9个配置文件。

(34)支持配置向导，对于复杂配置可以通过向导的方式简化用户配置。

(35)支持设备运行状态自动记录，利于管理员分析问题。

4.1.2.入侵检测系统

(1)攻击检测能力

1)事件分析功能要求采用高级模式匹配及先进的协议分析技术对网络

数据包进行分析。办议覆盖面广，事件库完备，能够对缓冲区溢出、

网络蠕虫、木马软件、间谍软件等各种攻击行为进行检测

2)具备基于原理的Web漏洞检测能力，精确识别SQL注入攻击，提供

对重点服务器的入侵保护

3)支持对国内常见木马/p2p/IM/网络游戏以及其他违规行为的检测和

发现

4)具备碎片重组、TCP流重组、统计分析能力；具备分析采用躲避入

侵检测系统技术的通信数据的能力；

5)采用基于行为分析的检测技术，对Oday攻击能够很好防范。具备协

议自识别功能

6)具备规则用户自定义功能，可以对应用协议进行用户自定义，并提

供详细协议分析变量

(2)响应方式

1)应提供多种事件合并条件，避免事件风暴的产生

2)应支持下列实时响应方式：实时告警、屏幕报警/声音报警、邮件报

警、SNMP报警、自定义程序报警等

(3)日志与报表

1)应支持多种数据库类型，支持独立的日志报表模块部署。同时提供

第5页

专门的数据库维护功能

2）具备自定义报表功能，支持交叉统计和多元组合查询详细事件，支

持导出为WORD\EXCEL\PDF\HTML等常用公文处理格式

（4）策略功能

1）应提供按照检测对象、攻击类型等分类的默认内置检测模版，且默

认模版不可修改；提供向导化的策略编制方式

2）提供动态策略调整功能，对一些频繁出现的低风险事件，自动调整

其响应方式

（5）管理功能

I）应具备集中管理功能，可实现分布部署、集中式安全监控管理和配

置管理，日志报表模块可独立部署，适合大规模部署环境

2）各组件间（管理平台与引擎等）使用加密信道通信

3）简便易用的GUI管理界面，要求能够对显示窗口进行自定义

4）具有设备的拓扑显示功能，可以在界面上以图形化的方式显示当前

的部署拓扑

5）同时支持多个用户监测台的设置，支持至少8个以上的多用户监测

台设置

（6）用户管理

1）对授权用户根据角色进行授权管理，提供用户登录身份鉴别和防暴

力猜解；可以严格按权限来进行管理

2）要求对用户分级，并能够调整对不同用户的具体权限，提供不司的

操作。对各级权限的用户行为进行审计

（7）升级管理

1）具备独立的升级管理中心，可对控制中心和设备进行升级

2）控制中心可以统一对下级控制台和设备进行升级

3）可手动、自动执行产品升级

4）公司网站提供产品离线升级包下载

5）应保证每周一次的规则库升级，重大安全事件随时更新

（8）产品安全性

第6页

1)需保证通信安全

2)需保证设各自身安全

3)应提供可扩展的用户身份鉴别方式接口，为增加用户身份鉴别强度

提供支持

4.1.3.入侵防御系统

(1)入侵防御事件库事件数量不少于2000条。

(2)支持入侵防御事件库在线自动升级和手工导入。

(3)可基于1P地址、网段、时间、VLAN、协议类型、用户名称等条件设定

IPS检测及响应方式，实现虚拟IPS引擎功能。

(4)采用先进的模式匹配及协议分析技术实现对网络报文的分析。

(5)支持碎片重组、TCP流重组及报文统计分析能力。

(6)抗躲避，可对采用躲避技术的攻击进行检测及防御。

(7)具备协议自动识别功能。

(8)支持检测规则自定义功能。

(9)支持对网络蠕虫、木马后门、缓冲区溢出、间谍软件等各种攻击行为进

行检测及防御。

(10)支持对国内流行木马的检测及防御功能。

(11)支持通过应用层检测米阻断或控制P2P卜载，如迅雷、BitTorrent.

BilComel、eMule等；可单独设定P2P下载占用的带宽。

(12)支持通过应用层检测来阻断流媒体应用，如PP-live、QQ直播等；可单

独设定流媒体应用占用的带宽。

(13)支持通过应用层检测来阻断即时通信软件登录，如QQ、MSN等；支持

针对QQ和MSN用户名称的黑白名单功能。

(14)支持通过应用层检测来阻断股票软件、网络游戏，如联众、大智慧等。

(15)提供SQL注入攻击、XSS攻击的检测和防御，对Web服务系统提供保

护。

(16)支持双机热备功能，包括主备模式(A/S)和主主模式(A/A)。

(17)支持连接状态自动同步。

(18)支持配置自动同步。

第7页

(19)支持Fullmesh的连接方式。可以基于接口和链路状态进行主备切换。

(20)HA切换时可以根据手工制定或自动计算的链路优先级顺序进行切换，

防止在主备设备均有故障线路，但还有可达网络链路情况下，主备设备

均不工作的问题。

(21)支持自动故障旁路功能(BYPASS)。

(22)提供多种方式的管理界面，包括HTTPS、CONSOLE.SSH、TELNET

等。

(23)支持集中管理功能，可同时监控所有IPS的运行状态，并支持对所有设

备进行统一安全策略配置及进行版本升级。

(24)支持管理员权限分级，支持用户自定义管理员权限表。

(25)支持本地日志及SYSLOG日志。

(26)支持邮件报警功能，所发送邮件支持以加密方式传送-

(27)支持集中日志存储、管理及分析功能。

(28)支持自动报表功能，用户可自行定义生成报表的周期、设备、日志类型、

日志等级等；生成的报表可自动发送至月户指定邮箱。

(29)支持通过快速切换按钮或系统维护菜单随时进行中英文双语切换。

4.1.4.网闸

(1)采用“2+1”系统架构，即由两个主机系统和一个隔离交换专用硬件组

成。

(2)具有病毒检测、文件交换、数据库同步、数据库访问、安全浏览、FTP

访问、邮件传输、定制访问、二次开发、流媒体传输等基本功能。

(3)支持病毒检测功能，支持一源多目的及多源一目的文件交换。

(4)传输模式支持改名传输、增量传输、传输后删除等三种方式。

(5)支持文件格式特征过滤，并且不依赖于文件扩展名；支持重命名策略。

(6)支持支持oracle、SqlServer>DB2>Sybase等主流数据库间的同种或异

种数据库同步，支持单向和双向同步。

(7)支持病毒检测。

(8)支持灵活的数据库冲突处理策略，当关键字数据发生冲突时可选择：覆

盖/丢弃。

第8页

(9)支持字段值按条件进行数据同步，支持字段类型是：数值、字符、日期

(固定格式)。

(10)支持数据库同步客户端的双机热备技术(不仅仅是网闸的双机热备)，

为用户提供更高的冗余技术支持。

(11)支持数据库同步数据统计、查询功能。

(12)支持数据库同步事件邮件报警功能。

(13)支持病毒检测功能。

(14)支持HTTP五种请求类型(GET/POST/PUT/HEAD/CONNECT)的黑白

名单控制。

(15)支持文件类型(文件扩展名)的黑白名单过滤；支持URL地址黑白单

控制。

(16)实现安全的FTP访问，支持对访问用户、访问协议命令、上传下载文件

类型等访问过滤控制。

(17)支持病毒检测功能。

(18)提供专用客户端与网闸进行认证，未经授权的用户无法访问业务系统；

支持本地用户名口令认证；提供在线用户查看、管理界面截图。

(19)具有病毒检测专用模块，支持自动/手动两种升级模式。

(2())采用自有知识产权的病毒防护引擎，包括病毒检测引擎和病毒分析引擎。

(21)病毒库不少于30万种病毒特征，支持根据用户需求自定义病毒特征，

病毒特征安全可控，具备自主研究分析病毒特征的能力。

(22)具有实时入侵检测系统机制，实时阻断入侵。

(23)具有抗DoS、DDoS攻击功能。

(24)管理方式采用B/S架构的Web方式管理，基于数字证书管理；支持命令

行方式管理，支持远程SSH管理。

(25)口志实现按功能模块分组管理；口志支持远程存储，能为第三方提供口

志格式，实现日志数据分析；支持SysLog标准。

(26)支持2・32台设备双机热备，支持负载均衡(无需第三方设备)。

(27)支持设备自身物理端口冗余功能。

第9页

4.1.5.防病毒网关

(1)支持对HTTP、FTP、SMTP、POP3、IMAP协议的病毒检测和过滤功能。

(2)支持对文件感染型病毒、蠕虫病毒、脚本病毒、宏病毒、木马、恶意软

件等的过源，病毒库数量不少于60万。

(3)对于HTTP协议和邮件协议，提供信息替换功能，用以通知用户病毒被

阻断，管理员可以自行设置替换信息。

(4)支持病毒库自动升级和手工导入。

(5)防病毒网关病毒库，不同于主机、终端防病毒软件病毒库。

4.1.6.数据库审计

(1)采用旁路部署方式对原有网络不造成影响，网络审计产品的故障不影响

被审计系统的正常运行。

⑵支持透明部署、支持单臂路由、支持路由模式、支持NAT、支持Bypasso

(3)采用B/S管理方式。

(4)无需在被审计系统上安装任何代理。

(5)审计引擎统一管理、至少支持2个以上的引擎同时管理，审计数据统一

存储、查询、分析、统计。

(6)下级控制台(数据中心)可以设置接受上级管理。

⑺上级控制台(数据中心)可以查看所有下级的拓扑和状态。

(8)上级控制台(数据中心)可以为下级生成报表。

(9)上级控制台(数据中心)可以为下级下发审计对象。

(10)Oracle数据库审计。

(ll)SQL-Server数据库审计。

(12)DB2数据库审计。

(13)Informix数据库审计。

(14)Sybase数据库审计。

(15)MySQL数据库审计。

(16)PostgreSQL数据库审计。

(17)Teradata数据库审计。

(18)Cache数据库所审计。

第10页

(19)人大金仓数据库的审计。

(20)达梦数据库的审计。

(21)南大通用数据库的审计。

(22)网络邻居审计。

(23)NFS协议审计。

(24)Telnet协议审计。

(25)FTP协议审计。

(26)Rlogin协议审计。

(27)Radius协议审计。

(28)RDP协议审计。

(29)SSH协议审计。

(30)SCP协议审计汽

(31)SFTP协议审计。

(32)支持自动方式建立web访问和SQL访问之间的对应关系，生成访问行

为模型库。

(33)对于模型库以外的未知HTTP操作、未知SQL操作可进行标注审

(34)支持中间件环境下的SQL语句关联到HTTP操作，HTTP操作关联到

HTTPID,实现中间件环境下的审计追溯。

(35)支持事后关联和实时关联两种方式。

(36)支持对针对数据库的XSS攻击行为进行审计。

(37)支持对针对数据库的SQL注入攻击行为进行审计。

(38)提供对数据库返回码的知识库和实时说明，帮助管理员快速对返回码进

行识别。

(39)支持数据库并发会话数、并发进程数、并发用户数、并发游标数、并发

事务数、数据库锁等超过限制的审计。

(40)支持数据库账号登陆成功、失败的审计。

(41)系统应自带审计规则库，用户可自定义审计策略。

(42)审计策略支持时间、源IP、目的IP、协议、端口、登陆账号、命令作为

响应条件。

第11页

(43)审计策略支持数据库客户端软件名称、数据库名、数据库表名、数据库

字段名、数据库返回码作为响应条件(非正则表达式方式)。

(44)审计策略支持字段值作为分项响应条件(非正则表达式方式)。

(45)支持数据库绑定变量审计。

(46)支持访问数据库的源主机名、源主机用户的审计。

(47)支持SQL操作响应时间的审计。

(48)支持Select操作返回行数的审计。

(49)支持数据库操作成功、失败的审计。

(50)支持数据库操作类、表、视图、索引、触发器、存储过程、域、Schema

游标、事物等各种对象的SQL操作审计。

(51)支持Telnet协议的审计，能够审计用户名、操作命令、命令响应时间、

返问码等C

(52)支持对FTP协议的审计，能够审计用户名、命令、文件、命令响应时间、

返回码等。

(53)支持审计网络邻居的用户名、读写操作、文件名等。

(54)支持审计NFS协议的用户名、文件名等，

(55)支持审计Radius协议的认证用户MAC、认证用户名、认证IP、NAS服

务器IPo

(56)支持IP-MAC绑定变化情况的审计。

(57)记录审计事件。

(58)记录会话数据。

(59)支持实时阻断、界面告警、Syslog告警、SNMPtr叩告警、邮件告警。

(60)实时监控对实时告警信息，当前会话进行详细察看；有助于管理员及时

处置。

(61)支持按时间、级别、源'目的IP、源'目的MAC、协议名、源、目的端口

为条件进行查询。

(62)支持按数据库名、数据库表名、字段值、数据库登陆账号、数据库操作

命令、数据库返回码、SQL响应时间、数据库返回行数作为查询和统计

条件。

第12页

(63)支持按自定义关键字作为查询和统计条件。

(64)支持条件之间的与、或、非逻辑组合。

(65)系统提供报表模板库。

(66)系统支持根据自定义关键字自动生成报表。

(67)支持按每天、每周、每月、时刻生成报表。

(68)支持生成CSV、Word、PDF、xls>HTML格式的报表导出。

(69)支持邮件方式自动发送报表。

(70)提供管理员权限设置和分权管理，提供三权分立功能，系统可以对使用

人员的操作进行审计记录，可以由审计员进行查询，具有自身安全审计

功能。

(71)管理员登陆支持静态口令认证，支持密码的复杂性管理，比如大小写、

数字、特殊字符、长度等.

(72)能够对能够对连续失败登陆进行自动锁定，锁定时间可设置。

(73)审计系统上存在大量敏感信息，必须对审计管理员进行强度更高的认证,

管理员登陆支持硬件令牌认证。

(74)提供审计数据管理功能，能够实现对审计数据的自动备份、删除。

(75)提供审计报表自动备份功能。

(76)提供系统升级功能，能够通过升级包的方式实现升级。

(77)提供磁盘存储容量不足、磁盘Raid故障等自动邮件报警。

(78)提供CPU、内存、磁盘、网口、运行时间、运行状态等信息的监视功能。

(79)提供审计策略和配置的导入导出。

(80)支持SNMP方式，提供系统运行状态给第三方网管系统。

(81)支持Syslog方式向外发送审计日志。

(82)支持SNMPTrap方式向外发送审计口志。

(83)支持NTP时间同步。

4.1.7.网络审计

(1)网页过滤

(2)网络应用控制

1)标准应用协议：HTTP(S),SMTP,POP3,IMAP4,FTP,TELNET,

第13页

SSH等

2)IM：QQ,MSN,飞信，Yahoo!Messenger,Skype等

3)P2P：BT,eMule/eDonkey,迅雷,Gnutella,PP点点通,百度下吧，

Winny等

4)网络游戏：联众世界，魔兽世界，梦幻西游，中国游戏中心，新浪

游戏，征途，游戏茶苑等

5)网络电视:PPStream,PPLive,费点，Sopcast,TVKoo,MOP,搜

狐TV,UUSee,土豆，优酷等

6)炒股软件：大智慧，指南针，同花顺，证券之星，通达信，江海证

券，国泰君安等

7)流媒体：RealMedia,WinMedia等

8)隐患服务：Windows文件共享，基于RPC协议的若干服务，VNC,

MSSQL等

(3)内容审计和过滤

1)邮件审计内容：邮件收发时间、用户名称、发送邮箱地址、接收邮

箱地址、收发类型、邮件主题、邮件正文、邮件附件名称及内容

2)过滤条件：发信人地址、收信人地址、邮件主题关键字、邮件正文

关键字、邮件附件名称、大小、类型及正文关键字

3)WEB-MAIL站点：雅虎邮箱、搜狐邮箱、网易163、网易126、Msn

HotmaiKTom邮箱、新浪邮箱、G-MaikQQ-MaiKExcite>Goo、

Infoseek>Livedoorx21CN、139邮箱等

(4)IM审计和过滤

1)MSN审计和过滤：审计收发动作、发送账号、接收账号、聊天内容、

视频行为、文件传输内容；支持MSNshell加密聊天内容审计；基于

MSN账号、文件名称、文件传输方向、文件类型、和文件大小阻塞

聊天行为和文件传输行为；基于MSN外发信息的关键字进行匹配并

报警；能够将审计信息按照一次完整的对话进行还原，提高内容的

可读性

2)Yahoo!Messenger审计：审计收发动作、发送账号、接收账号、聊天

第14页

内容

3)QQ审计：审计收发动作、发送账号(昵称)、接收账号(昵称)、聊

天内容、语音聊天行为、群组聊天内容

4)飞信审计：审计收发动作、发送账号、接收账号、聊天内容、音视

频行为、文件传输行为；基于账号和聊天内容关键字、文件名称、

文件类型过滤聊天行为和文件传输行为；对违反预定义规范的飞信

聊天行为进行报警

5)Skype审计：审计收发动作、发送账号、接收账号、聊天内容、文件

传输名称、语音聊天行为

6)论坛发帖审计和过滤：能够针对各类BBS论坛、新闻评论、搜索引

擎贴吧、博客、微博的发帖内容进行监控审计，包括发帖账号、标

题、正文、附件，对于违背预设关键字的发帖进行实时阻断并报警：

对于发帖日志，还可以通过时间、用户、关键字进行全面查询，准

确定位发帖行为与内容

7)搜索引擎关键字审计和过滤：以记录用户通过搜索引擎站点、门户

网站、论坛贴吧、购物网站、视频网站等搜索的关键字内容，并可

以基于搜索类别、关键字内容过滤用户的非法搜索行为

8)HTTP文件传输审计和过滤：可以基于文件名称、类型和大小市计

HTTP文件上传下载内容，并可阻塞包含指定特征的文件传输行为

9)HTTPS加密网页的审计和过渡:可审计HTTPS加密网页的访问情况,

并可基于网站分类、证书合法性阻塞存在安全隐患HTTPS加密网页

的访问，有效屏蔽用户对钓鱼网站的访问，保障企业网络安全和用

户信息安全

10)FTP文件传输审计和过滤:可以审计任意端口的FTP文件传输行为；

可基于所传输文件在FTP服务器中的路径、文件名称阻塞文件传输

行为；并可还原指定名称、大小或类型的文件内容

11)TELNET内容审计:可审计内网用户的TELENT行为，记录TELNET

目标设备的IP、端口信息；记录执行的指令内容和结果

(5)实时监控

第15页

1）丰富全面的监控信息:系统资源健康状况，如CPU、内存、硬盘等使

用信息；当前在线用户列表，包括全部合法用户以及活跃用户；当

前网络实时流量以及最近24小时网络流量变化情况；本日应用流量

排名、用户流量排名、网站点击量排名；预定义带宽通道资源使用

情况

2）灵活的监控设置：选择一个、多个用户或者用户组实时监控；选择

一个、多个应用实时监控；监控特定端口的网络流量

（6）查询统计与报表分析

1）完整的查询内容：基于用户的综合上网行为查询；网络流量查询，

数据粒度可选，如：按汇总数据，小时流量，细节流量；Web访问

记录查询，数据粒度可选，如：全链接，仅主链接；控制粒度可选，

如允许、阻塞：应用行为阻塞n志信息查询，便于对违规互联网行

为进行取证；应用连接明细查询，便于追踪定位网络安全事件故障

源；用户二网时长查询，可基于时间段、用户、应用协议等多种条

件进行查询分析；电子邮件收发记录查询，可查看完整的邮件正文

与附件内容；IM聊天内容查询，查看MSN与Yahoo!Messenger

完整聊天记录，同时，可方便追踪某两个IM用户之间所有聊天过程

信息；论坛发帖内容查询，可杳看完整的发帖正文与上传文件；P2P、

网游、炒股、视频等网络应用行为查询；查询用户或用户组当前所

适用的策略，便于排除或定位网络故障源；用户认证上线历史查询，

建立时间、用户、IP间的对应关系

2）灵活的查询条件设置：根据日期范围，以及每天的特定时间段查询；

根据用户或者用户组查询；根据网络应用查询流量；根据网站类别、

URL关键字、标题关键字、网页内容关键字、预设的过滤策略查询

Web访问记录；根据发件人、收件人、主题、附件名、邮件大小、

email类型、邮件主题及内容的关键字查询发送与接收邮件；根据发

送帐号、接收帐号、IM类型、聊天内容关键字查询在线聊天记录;

设置URL关键字与正文关键字查询论坛发帖记录

3）查询结果保存：直接导出为Excel表珞，方便二次处理

第16页

4.1.8.安全管理平台

（1）事件管理

1）要支持路由器、交换机、防火墙等主流设备，采集方式至少要支持

sylog>snmp>VIP、XML、ODBC>netflow等通用协议进行信息采

集

2）具备很强的扩展性，能够方便的支持现有及未来的各类设名；对新

设备的定制支持时间小于5个工作日

3）事件显示内容包括：事件类型、事件名称、报警级别、来源IP、目

的IP、设备类型、设备来源IP、接收时间等

4）事件过滤条件可以按照以下属性建立：事件类型、事件原生ID、源

IP地址、源端口、源MAC地址、目的IP地址、目的端口、目的

MAC地址等

5）事件合并条件可以按照以下属性建立：事件类型、事件原生ID、源

IP地址、源端口、源MAC地址、目的IP地址、目的端口、目的

MAC地址等

6）可以采用多个查询条件进行查询，如“设备IP”、“设备类型”、“发

生时间”等

7）安全事件提供基于知识库的关联，能够将信息安全事件与现有知识

库进行关联

8）安全事件提供基于资产的关联，可以将当前发生的信息安全事件与

预先定义的信息安全资产进行相关，从而不仅可以有效判断事件的

优先级，还能够协助评估当前资产遭到威胁的状况

9）能够实时给出高危害安全事件的列表

10）事件按照威胁程度划分报警级别，报警级别按照5级划分

（2）域与资产管理

1）能够支持多级树型的安全域（不小于10级），便于支持用户复杂的

组织架构和网络架构

2）支持多种资产属性的定义，至少包含：资产名称、资产类型、IP地

址信息、物理位置、CIA等

第17页

3）支持针对资产的多种操作方式，至少包含：新增、修改、批量修改、

复制、粘贴、删除、导入、导出、查询等

4）可以根据资产编号、ip等属性对资产进行查询

5）可以查看资产的端口、漏洞信息

6）支持自动发现资产功能

7）可以配置资产所在地理位置，并且能在资产属性中配置资产所在地

理位置

（3）风险管理

1）能够提供符合BS7799/ISO17799标准的风险管理视图，实时分析重

要资产和安全域（业务单元）的各类风险，风险级别按照5级进行

划分

2）能够关联出安全事件所影响到的信息资产

3）根据资产的安全需求、资产面临的威胁进行综合评估，给出当前资

产的风险状况，并且能够从保密性、可用性、完整性三个方面进行

详细的风险展示

4）能够根据资产风险的状况对资产进行评级、能够根据安全域风险的

状况对安全域进行评级

5）能够根据资产的风险状况进行排序，给出高风险资产清单

6）能够根据安全域的风险状况进行排序，给出高风险安全域清单

7）可以提供风险查询手段

8）用户可以从资产风险追踪到相关的高风险事件，从而有效判断资产

风险的来源，并进行正确的处理

9）用户可以从安全域风险追踪到子域风险和子域所属资产风险，从而

关联到相关的高风险事件，从而有效判断风险的来源，并进行正确

的处理

（4）脆弱性管理

1）能够将漏洞扫描软件的扫描结果导入系统

2）内置对2种以上的主流漏洞扫描产品的支持，并提供统一的漏洞采

集格式接口

第18页

3）能够进行多次结果之间的对比分析

4）能够将扫描结果与资产的原有属性进行比较，并给出冲突项提交用

户确认

5）支持资产的脆弱性管理，允许查看资产和安全域的脆弱性指标

6）漏洞支持多种状态（误报、确认、己防范等），能够人工调整漏洞状

态，进行漏洞跟踪

（5）响应管理

1）可以提供多种响应方式，至少包括邮件、声音、工单、设备控制等

2）可以自定义多种响应条件，响应条件至少包括源地址、源端口、目

的地址、目的端口、事件类型等

3）对于常见安全事件，可以提供应急响应预案和解决方案

（6）预警管理

1）提供图形化安全预警功能

2）安全预警形成统一的风险级别，为安全管理人员进行安全预警

3）对于新漏洞、蠕虫，能够进行自动化处理

4）能够宏观展示出当前信息系统的安全状态，安全状态分为3个安全

级别

（7）宏观趋势分析

1）能够提供地址端、三元组、热点事件传播三种宏观分析模型

2）建立一套可以从宏观上对网络安全状态及发展趋势进行描述的方法

和展示形式，建立从整体上反应网络安全运行状态的指标变量

3）关注目前最流行的攻击行为态势，关注热点事件的传播过程，对于

已知和未知蠕虫事件的爆发过程能够进行准确描述；

4）建立攻击行为中源地址、目的地址、攻击类型的三元组模型，反应

当前流行的网络攻击态势

5）通过观测热点事件的发展趋势，帮助管理员判断热点事件是否可能

发展成为大规模网络安全事件，从而采取相应的防范措施

（8）流量管理

I）支持netflow,可以通过netflow采集流量信息

第19页

2）总流量分析：对被监控网络内的总体流量进行实时计算分析，分析

出当前流量是否异常

3）协议流量分析：对被监控网络内协议流量（TCP,UDP,ICMP,其

他协议）进行实时计算分析，分析出当前各种协议流量是否异常

4）端口流量分析：对被监控网络内端口流量进行实时计算分析，分析

出当前各种端口流量是否异常

5）应用流量分析：对被监控网络内应用流量进行实时计算分析，分析

出当前各种应用流量是否异常

（9）基线管理

I）系统提供各种分析模型的动态基线。系统会通过自学习的过程为每

个模型动态的建立起相应的基线，为每个模型分析安全态势提供了

理论依据C基线的学习周期用户可以根据自己的需要来配置C

（10）关联分析

1）能够提供规则关联分析方法

2）能够提供漏洞关联分析方法

3）能够提供统计关联分析方法

4）能够内置不低于2（）条的关联分析规则库

5）可以自定义关联分析后事件名称、级别、ip地址等

6）关联结果可以通过函数表达式自动生成

7）可以按照源地址、源端口、目的地址、目的端口、事件类型、事件

级别等条件设置关联条件

（11）知识管理

1）能够提供SOC事件库、原始设备事件库、案例库、安全策略管理、

安全公告、处置预案库、漏洞库、安全链接等知识库功能

2）能够提供设备原始事件库、安全策略文档库、安全公告库、处置预

案库、报表模板库、预警信息库、TSOC漏洞库、工作流程库、设备

控制功能及脚本库、关联分析规则库等知识库的定期更新

3）对SOC事件能够分类，要求能够达到9大类、95小类，大类至少包

含病毒木马、扫描探测、应用漏洞等

第20页

4）支持安全簧略文档的上传、下载、发布等管理操作

5）同一个安全策略文档可以以多种格式进行上传和发布

6）提供基于关键字的安全策略的搜索和关联

（12）工作流管理

1）支持用户自定义工作流，提供图形化的工作流定制界面

2）可以支持流程的属性扩展

3）能够提供接口与响应模块连接

4）支持工作流的导入导出

（13）设备管理

1）支持telnet和ssh方式对设备进行控制

2）内置了对防火墙、路由器、交换机、Linux操作系统、Windows操作

系统等设各的支持，并可以根据用户实际需要进行扩展

3）支持用户定制设备控制命令

4）提供脚本的管理和搜索功能

5）能与响应模块相连接，实现自动控制设备

（14）用户管理

1）支持用户与用户组管理，一个用户可以属于多个用户组

2）应具备针对多用户、多资产对象、多域对象的灵活的权限设置

3）应支持集中的用户认证

4）应该采用三权分立的管理体制，要求默认设置用户管理系统管理员、

系统管理员、审计管理员

（15）报表管理

1）可以提供风险报表、事件报表、资产报表、脆弱性报表、管理设备

报表、用户报表、工单报表、定制报表

2）应支持具各交互操作的动态报表

3）能够定期从报表系统生成信息安全报告

4）报表系统支持用户自定义，即允许用户根据自己的需求定制化报表

（16）系统管理

I）能够监控系统自身组件的健康状况

第21页

2）能够监控数据库健康状况

3）能够制定自动、手动等多种方式的日志维护任务

4）能够提供系统软件的自动、手动升级功能

5）能够通过全局策略控制安全事件是否进行预警、风险计算、关我分

析等

（17）综合显示

1）能够提供柱状图、折线图、饼状图等宏观展示的仪表盘，帮助用户

全面直观地了解各类安全信息和系统信息

2）可以按域查看事件的实时收集情况及资产风险值TOP10和资产脆

弱性TOP10的图表

3）能够结合电子地图进行展示，在地图上显示IP信息、运行状态、风

险状况、安全事件等信息

4.1.9.堡垒机

（1）三权分立

1）用户多角色划分：系统需提供用户管理员、配置管理员、审计管理

员、普通月户等多种角色；

（2）分布式管理

1）支持分布式部署，E以通过统一的数据中心采集各个独立引擎的日

志。总部总控制台能够适时监控分布式部署引擎的系统状态以及账

号信息、黄略、报表和审计事件。

2）审计引擎统一管理、至少支持2个以上的引擎同时管理，审计数据

统一存储、查询、分析，统计

（3）多级管理

1）下级控制台可以设置接受上级管理

2）上级控制台可以查看所有下级的拓扑和状态

3）上级控制台可以为下级生成报表

4）上级控制台可以为下级下发审计对象

（4）日志维护

1）可对审计日志按照时间段进行备份

第22页

2）可对审计日志进行自动和手工备份

（5）系统升级

1）支持堡垒机系统的升级管理

（6）用户帐号实名制

1）可以根据具体的维护人员添加唯一与其身份对应的用户，实现维护

人员身份的唯一性管理

（7）用户状态

1）可以设定活动、禁用两种用户帐号状态，当用户在一定时间内连续

输错密码时，可以自动禁用该用户帐号

（8）用户身份认证

1）支持静态密码认证方式

2）支持双因素认证方式

（9）帐号有效期控制

1）可以通过配置用户帐号的密码有效期，使用户帐号在到期之后停止

使用

（10）密码托管

1）通过对目标设备密码的托管，实现对后台设备的自动登录

（11）密码维护

1）支持系统管理员和认证用户的密码安全性设置.，包括长度、复杂度

等

2）灵活可配置的密码修改策略；

（⑵权限管理

1）支持黑名单（不可以执行）和白名单（只允许执行）

2）对丁用户权限定义精确到命令级

3）对于关键的Telnet服务器，可以配置权限用户登录后自动执行命令

集

4）可以对用户访问权限进行查看、变更、删除等操作

（13）访问策略定义

1）可实现基于访问IP、用户账号、目标设备、目标服务、系统帐号、

第23页

具体操作、时间设定比较详细的访问策略

2）不符合访问策略的操作可以被阻断

3）每个访问簧略可以支持多个访问规则

（14）操作规则定义

1）对于文件操作，能够定义文件目录名、操作类型、命令响应时间、

返回码等（非正则表达式模式）

2）对于命令行操作：能够定义用户名、操作命令、命令响应时间、返

回码等（非正则表达式模式）

3）对于图形操作：能够定义用户名、访问源主机等（非正则表达式模

式）

4）对于数据库操作：能够定义数据库操作类、表、视图、索引、触发

器、存储过程、域、Schema、游标、事物、响应时间、返回行数、

操作成功失败等各种对象（非正则表达式模式）

（15）实时监控

1）可对RDP、VNC、Telnet、SSH等协议进行实时监控

2）对于实时监控的会话，可以手动进行阻断

（16）系统对操作响应

1）记录审计事件

2）记录会话数据

3）忽略

4）实时阻断

5）界面告警

6）Syslog告警

7）SNMPtrap告警

8）邮件告警

（17）查询条件

1）所有操作均支持按时间、级别、源'目的IP、源'目的MAC、协议名、

源、目的端□为条件进行审计日志查询

（18）命令操作搜索

第24页

1）搜索关键词支持正则表达式；

（19）图形操作搜索

1）可以以键盘输入的内容为关键字进行搜索；

（20）数据库操作搜索

1）支持按数据库名、数据库表名、字段值、数据库登陆账号、数据库

操作命令、数据库返回码、SQL响应时间、数据库返回行数作为查

询和统计条件

（21）操作和会话关联

1）搜索结果与操作会话关联，实现快速定位

（22）命令操作

I）支持命令操作会话的完整回放

（23）图形操作

1）支持图形操作的回放

2）支持倍速回放

3）支持回放全屏显示

4）回放时可显示键盘和鼠标操作内容

（24）审计报表

1）支持生成各种格式的审计报表，包括PDF、Word、Excel、HTML等

格式

2）系统自带多种报表模板

3）系统支持自定义报表

4）支持报表按日、周、月自动生成，并且可自动邮件发送给相关管理

人员

4.1.10.终端安全管理系统

（1）服务器级联管理：

1）支持服务器级联管理，可以支持无限级的中心服务器进行级联，当

然，单级服务器仍然支持一个中心服务器和多个本地服务器，结合

无限级的服务器级联，对终端的管理规模可以无限扩展。

2）灵活方便的服务器级联管理关系管理，服务器安装的时候无需指定

第25页

上下级关系，安装后可以直接通过Web控制台由级联关系管理员指

定。级联管理员也有权限根据级联管理的要求随时更改服务器上下

级级联关系，以适应网络环境和级联管理变化要求。

3）级联管理员除了可以对本机服务器进行管理之外，还可以查看和巡

视到所有下级服务器信息和运行状态。

4）服务器级联后，下级服务器将自动汇总要求生成统计报表，并定时

上报的上级服务器，上级级联管理员随时可以了解到下级服务器所

管理的终端运行情况和合规管理状态。

5）支持策略的级联下发，上级管理员可以将重要的安全策略，通过级

联下发到下级单位。

6）支持级联授权拆分管理，即可以根捱需要每级独立使用自有的客户

端授权,也支持授权逐级分发，根据每级实际的终端数量分配客户

端授权数量。

7）并可以实时级联各级单位授权使用情况，例如总授权数、已分配授

权数、可分配授权等、本机注册终端数、下级已经注册终端数。

8）支持授权回收，能够回收下级单位富余的授权数量，并重新对回收

的授权数量进行重新分配。

（2）管理员分级管理

1）支持管理员分级管理，不同的管理员可以授权不同的区域，上级管

理员可为下级区域设定全局规则，并可查看下级区域的各种规则和

报表。

2）支持只读管理员权限、资产管理员权限、按需支援管理员权限等多

种细分权限划分，权限划分最细支持到单一功能菜单。

3）支持独立的管理员操作审注，审计管理员进行的策略配置操作行为。

4）支持管理员通过Https方式访问Web控制台。

5）支持“三权分立”与“Windows集成认证”两种认证模式。

（3）细粒度管理

1）既能将连续的IP地址网段作为管理对象，也可将离散的IP地址组成

IP组作为管理对象，最小的管理单位为一个IP地址。

第26页

2）准入控制的最小实施单位为单个IP或单个用户，能针对VIP用户启

用例外策略。

3）安全策略既可以对IP生效，也可以对用户生效，可以单独生效，也

可以同时生效。用户策略优先级高于IP策略。

4）支持离线策略，当检查到终端处于离线状态时，客户端将自动切换