某單位網(wǎng)絡安全等級保護工程建設項目

網(wǎng)絡安全等級保護工程

建設項目建設方案建設方案2021年TOC\o"1-5"\h\z\o"CurrentDocument"1背景概述 3\o"CurrentDocument"1.1建設背景 3\o"CurrentDocument"1.2文件要求 3\o"CurrentDocument"1.3參考依據(jù) 3\o"CurrentDocument"2安全防護總體要求 4\o"CurrentDocument"2.1系統(tǒng)性 4\o"CurrentDocument"2.2安全防護的目標及重點 4\o"CurrentDocument"2.3安全防護總體策略 4\o"CurrentDocument"2.4綜合安全防護要求 5\o"CurrentDocument"2.4.1安全區(qū)劃分原則 5\o"CurrentDocument"2.5綜合安全防護基本要求 5\o"CurrentDocument"2.5.1主機與網(wǎng)絡設備加固 5\o"CurrentDocument"2.5.2入侵檢測 5\o"CurrentDocument"2.5.3安全審計 6\o"CurrentDocument"2.5.4惡意代碼、病毒防范 6\o"CurrentDocument"3需求分析 6\o"CurrentDocument"3.1安全風險分析 6\o"CurrentDocument"3.2安全威脅的來源 7\o"CurrentDocument"4設計方案 9\o"CurrentDocument"4.1拓撲示意 9\o"CurrentDocument"4.2安全部署方案 10\o"CurrentDocument"4.2.1下一代防火墻（上網(wǎng)行為管理及入侵防御） 10\o"CurrentDocument"4.2.2日志審計系統(tǒng) 10\o"CurrentDocument"4.2.3運維審計系統(tǒng)（堡壘機） 13\o"CurrentDocument"4.2.4數(shù)據(jù)庫審計系統(tǒng) 15\o"CurrentDocument"4.2.5網(wǎng)絡防病毒系統(tǒng) 16\o"CurrentDocument"4.2.6災備系統(tǒng) 17\o"CurrentDocument"4.2.7統(tǒng)一身份管理系統(tǒng) 181背景概述1.1建設背景隨著科技的進步和時代的發(fā)展，網(wǎng)絡已經(jīng)徹底地融入到我們生活的各行各業(yè)，網(wǎng)絡安全問題直接關系到國家的金融環(huán)境和信息安全。只有保證網(wǎng)絡信息的安全性，國家安全和社會信息安全才會有可靠的保障。1.2文件要求根據(jù)《中華人民共和國網(wǎng)絡安全法》，水利相關單位是國家關鍵信息基礎設施和網(wǎng)絡安全重點保護單位。監(jiān)控、數(shù)據(jù)調(diào)度系統(tǒng)網(wǎng)絡空間大，涉及單位多，安全隱患分布廣，一旦被攻破將直接威脅安全生產(chǎn)。為進一步提業(yè)務系統(tǒng)、監(jiān)控系統(tǒng)、數(shù)據(jù)系統(tǒng)、網(wǎng)絡的安全性和穩(wěn)定性，需滿足以下文件要求及原則。滿足已投運設備接入的要求；滿足生產(chǎn)調(diào)度各種業(yè)務安全防護的需要；滿足責任到人、分組管理、聯(lián)合防護的原則；提高信息安全管理水平，降低重要網(wǎng)絡應用系統(tǒng)所面臨的的安全風險威脅，保證信息系統(tǒng)安全、穩(wěn)定的運行，使信息系統(tǒng)在等級保護測評環(huán)節(jié)基本符合國家信息安全等級保護相應級別系統(tǒng)的安全要求。1.3參考依據(jù)本次網(wǎng)絡安全保障體系的建設，除了要滿足系統(tǒng)安全可靠運行的需求，還必須符合國家相關法律要求，同時基于系統(tǒng)業(yè)務的特點，按照分區(qū)分域進行安全控制《計算機信息系統(tǒng)安全保護等級劃分準則》(GB17859-1999)。2安全防護總體要求系統(tǒng)安全防護具有系統(tǒng)性和動態(tài)性的特點。2.1系統(tǒng)性其中以不同的通信方式和通信協(xié)議承載著安全性要求各異的多種應用。網(wǎng)絡采用分層分區(qū)的模式實現(xiàn)信息組織和管理。這些因素決定了系統(tǒng)的安全防護是一個系統(tǒng)性的工程。安全防護工作對內(nèi)應做到細致全面，清晰合理；對外應積極配合上級和調(diào)度機構的安全管理要求。2.2安全防護的目標及重點局中心機房安全防護是系統(tǒng)安全生產(chǎn)的重要組成部分，其目標是：1） 抵御黑客、病毒、惡意代碼等通過各種形式對閥門監(jiān)控系統(tǒng)發(fā)起的惡意破壞和攻擊，尤其是集團式攻擊。2） 防止內(nèi)部未授權用戶訪問系統(tǒng)或非法獲取信息以及重大違規(guī)操作。3） 防護重點是通過各種技術和管理措施，對實時閉環(huán)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)的安全實施保護，防止閥門監(jiān)控系統(tǒng)癱瘓和失控，并由此導致系統(tǒng)故障。2.3安全防護總體策略＞安全分區(qū)根據(jù)局中心機房業(yè)務的重要性和對各個系統(tǒng)的影響程度進行分區(qū)，所有系統(tǒng)都必須置于相應的安全區(qū)內(nèi)。＞網(wǎng)絡專用安全區(qū)邊界清晰明確，區(qū)內(nèi)根據(jù)業(yè)務的重要性提出不同安全要求，制定強度不同的安全防護措施。特別強調(diào)，為保護生產(chǎn)控制業(yè)務應建設調(diào)度數(shù)據(jù)網(wǎng)，實現(xiàn)與其它數(shù)據(jù)網(wǎng)絡物理隔離，并以技術手段在專網(wǎng)上形成多個相互邏輯隔離的子網(wǎng)，保障上下級各安全區(qū)的互聯(lián)僅在相同安全區(qū)進行，避免安全區(qū)縱向交叉。綜合防護綜合防護是結合國家信息安全等級保護工作的相關要求對各系統(tǒng)從主機、網(wǎng)絡設備、惡意代碼方案、應用安全控制、審計、備份等多個層面進行信息安全防護的措施。2.4綜合安全防護要求2.4.1安全區(qū)劃分原則各系統(tǒng)劃分為不同的安全工作區(qū)，反映了各區(qū)中業(yè)務系統(tǒng)的重要性的差別。不同的安全區(qū)確定了不同的安全防護要求，從而決定了不同的安全等級和防護水平。2.5綜合安全防護基本要求2.5.1主機與網(wǎng)絡設備加固廠級信息監(jiān)控系統(tǒng)等關鍵應用系統(tǒng)的主服務器，以及網(wǎng)絡邊界處的通用網(wǎng)關機、Web服務器等，應當使用安全加固的操作系統(tǒng)。加固方式最好采用專用軟件強化操作系統(tǒng)訪問控制能力以及配置安全的應用程序，其中加固軟件需采用通過國家權威部門檢測的自主品牌。非控制區(qū)的網(wǎng)絡設備與安全設備應當進行身份鑒別、訪問權限控制、會話控制等安全配置加固。可以應用調(diào)度數(shù)字證書，在網(wǎng)絡設備和安全設備實現(xiàn)支持HTTPS的縱向安全Web服務，能夠?qū)g覽器客戶端訪問進行身份認證及加密傳輸。應當對外部存儲器、打印機等外設的使用進行嚴格管理或直接封閉閑置端口。2.5.2入侵檢測閥門監(jiān)控業(yè)務區(qū)需統(tǒng)一部署一套網(wǎng)絡入侵檢測系統(tǒng)，應當合理設置檢測規(guī)則，檢測發(fā)現(xiàn)隱藏于流經(jīng)網(wǎng)絡邊界正常信息流中的入侵行為，分析潛在威脅并進行安全審計。2.5.3安全審計閥門監(jiān)控業(yè)務區(qū)的監(jiān)控系統(tǒng)應當具備安全審計功能，能夠?qū)Σ僮飨到y(tǒng)、數(shù)據(jù)庫、業(yè)務應用的重要操作進行記錄、分析，及時發(fā)現(xiàn)各種違規(guī)行為以及病毒和黑客的攻擊行為。對于遠程用戶登錄到本地系統(tǒng)中的操作行為，應該進行嚴格的安全審計。同時可以采用安全審計功能，對網(wǎng)絡運行日志、操作系統(tǒng)運行日志、數(shù)據(jù)庫訪問日志、業(yè)務應用系統(tǒng)運行日志、安全設施運行日志等進行集中收集、自動分析。2.5.4惡意代碼、病毒防范應當及時更新特征碼，查看查殺記錄。惡意代碼更新文件的安裝應當經(jīng)過測試。禁止閥門監(jiān)控業(yè)務區(qū)與辦公業(yè)務區(qū)共用一套防惡意代碼管理服務器。3需求分析3.1安全風險分析局中心機房各系統(tǒng)面臨的主要風險優(yōu)先級風險說明/舉例0旁路控制(BypassingControls)入侵者對發(fā)送非法控制命令，導致系統(tǒng)事故，甚至系統(tǒng)瓦解。1完整性破壞(IntegrityViolation)非授權修改控制系統(tǒng)配置、程序、控制命令；非授權修改交易中的敏感數(shù)據(jù)。2違反授權(AuthorizationViolation)控制系統(tǒng)工作人員利用授權身份或設備，執(zhí)行非授權的操作。

優(yōu)先級風險說明/舉例3工作人員的隨意行為(Indiscretion)控制系統(tǒng)工作人員無意識地泄漏口令等敏感信息，或不謹慎地配置訪問控制規(guī)則等。4攔截/篡改(Intercept/Alter)攔截或篡改調(diào)度數(shù)據(jù)廣域網(wǎng)傳輸中的控制命令、參數(shù)設置、交易報價等敏感數(shù)據(jù)。5非法使用(IllegitimateUse)非授權使用計算機或網(wǎng)絡資源。6信息泄漏(InformationLeakage)口令、證書等敏感信息泄密。7欺騙(Spoof)Web服務欺騙攻擊；IP欺騙攻擊。8偽裝(Masquerade)入侵者偽裝合法身份，進入閥門監(jiān)控系統(tǒng)。9拒絕服務(Availability,.DenialofService)向調(diào)度數(shù)據(jù)網(wǎng)絡或通信網(wǎng)關發(fā)送大量雪崩數(shù)據(jù)，造成網(wǎng)絡或監(jiān)控系統(tǒng)癱瘓。10竊聽(Eavesdropping,.DataConfidentiality)黑客在調(diào)度數(shù)據(jù)網(wǎng)或?qū)＞€通道上搭線竊聽明文傳輸?shù)拿舾行畔?，為后續(xù)攻擊做準備。3.2安全威脅的來源辦公區(qū)等網(wǎng)絡不是一個孤立的系統(tǒng)，是和互聯(lián)網(wǎng)連接，提供員工上網(wǎng)的需求和對外信息發(fā)布的平臺，那么來自外部威脅的可能性非常大。例如應用系統(tǒng)遭受拒絕服務攻擊，信息泄露等。內(nèi)部威脅內(nèi)部人員有意或無意的違規(guī)操作給信息系統(tǒng)造成的損害，沒有建立健全安全管理機制使得內(nèi)部人員的違規(guī)操作甚至犯罪行為給信息系統(tǒng)造成的損害等。病毒或惡意代碼目前病毒的發(fā)展與傳播途徑之多、速度之快、危害面之廣、造成的損失之嚴重，都已達到了非常驚人的程度。也是計算機信息系統(tǒng)不可忽略的一個重要安全威脅源。病毒和惡意代碼主要針對操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、應用系統(tǒng)等軟件。病毒和惡意代碼的威脅主要來自內(nèi)部網(wǎng)絡、USB盤、光盤等介質(zhì)。自然災害主要的自然威脅是：?地震、水災、雷擊；?惡劣環(huán)境，如不適宜的溫度濕度，以及塵埃、靜電；?外電不穩(wěn)定、電源設備故障等。管理層面的缺陷?管理的脆弱性在安全管理方面的脆弱性主要表現(xiàn)在缺乏針對性的安全策略、安全技術規(guī)范、安全事件應急計劃，管理制度不完善，安全管理和運行維護組織不健全，對規(guī)章、制度落實的檢查不夠等。?安全組織建設風險信息系統(tǒng)安全體系的建設對組織保障提出了更高的要求。?安全管理風險安全管理制度的建設還不全面，如：缺乏統(tǒng)一的用戶權限管理和訪問控制策略，用戶、口令、權限的管理不嚴密，系統(tǒng)的安全配置一般都是缺省配置，風險很大。對安全策略和制度執(zhí)行狀況的定期審查制度及對安全策略和制度符合性的評估制度不夠完善。沒有根據(jù)各類信息的不同安全要求確定相應的安全級別，信息安全管理范圍不明確。缺乏有效的安全監(jiān)控措施和評估檢查制度，不利于在發(fā)生安全事件后及時發(fā)現(xiàn)，并采取措施。缺乏完善的災難應急計劃和制度，對突發(fā)的安全事件沒有制定有效的應對措施，沒有有效的機制和手段來發(fā)現(xiàn)和監(jiān)控安全事件，沒有有效的對安全事件的處理流程和制度。?人員管理風險人員對安全的認識相對較高，但在具體執(zhí)行和落實、安全防范的技能等還有待加強。

4設計方案本方案重點描述局中心機房等與業(yè)務直接相關部分的安全防護。方案實現(xiàn)的防護目標是抵御黑客、病毒、惡意代碼等通過各種形式對系統(tǒng)發(fā)起的惡意破壞和攻擊，以及其它非法操作，防止局中心機房各個系統(tǒng)癱瘓和失控，并由此導致的一次系統(tǒng)事故。4.1拓撲示意操作系統(tǒng)安全是計算機網(wǎng)絡系統(tǒng)安全的基礎，而服務器上的業(yè)務數(shù)據(jù)又是被攻擊的最終目標，因此，加強對關鍵服務器的安全控制，是增強系統(tǒng)總體安全性的核心一環(huán)。對局中心機房各個系統(tǒng)關鍵服務器實現(xiàn)安全加固，合理配置檢查規(guī)則。強制進行權限分配，保證對系統(tǒng)資源（包括數(shù)據(jù)和進程）的訪問符合定義的主機安全策略，防止主機權限被濫用。冬水利站整個系統(tǒng)方案建成后如圖:冬水利站整個系統(tǒng)方案建成后如圖:4.2安全部署方案4.2.1下一代防火墻（上網(wǎng)行為管理及入侵防御）在部署下一代防火墻。安全建設充分考慮到廣域網(wǎng)組網(wǎng)、運行過程中潛在的安全問題及可靠性問題，通過下一代防火墻，綜合事前、事中、時候一體化安全運營中心，實現(xiàn)安全組網(wǎng)防護效果，確保局域網(wǎng)高安全和高可用。同時，通過下一代防火墻集成入侵防御、入侵檢測、上網(wǎng)行為管理、防病毒網(wǎng)關功能，實現(xiàn)一體化安全的安全策略部署防護效果，簡化管理運維成本，實現(xiàn)了最優(yōu)投資回報。同時，給區(qū)域內(nèi)網(wǎng)絡構建立體的防護體系，防止內(nèi)部終端遭受各個層次的安全威脅。通過下一代防火墻虛擬補丁和病毒防護等功能，有效防御各種攻擊和內(nèi)網(wǎng)蠕蟲病毒，防止僵尸網(wǎng)絡形成，保證網(wǎng)絡的安全穩(wěn)定運行。下一代防火墻內(nèi)置僵尸網(wǎng)絡識別庫，通過分析內(nèi)網(wǎng)終端的異常行為，等機制準確識別被黑客控制的僵尸終端，鏟除各類攻擊的土壤。4.2.2日志審計系統(tǒng)綜合日志分析系統(tǒng)的主要功能包括如下模塊：■采集管理：在接入各類日志和事件前，指定需要采集的目標、接入方式以及相關參數(shù)（如數(shù)據(jù)庫的各種連接參數(shù)）、選擇標準化腳本和過濾歸并策略；■事件分析：事件分析是綜合日志分析系統(tǒng)的核心模塊之一，它不僅可以綜合考量各種日志之間可能存在的關系，而且能夠?qū)θ罩局邢嚓P要素進行分析；最終，異常事件的分析結果將以告警的形式呈現(xiàn)在系統(tǒng)中；■審計管理：審計管理是綜合日志分析系統(tǒng)的核心模塊之一，側重于發(fā)現(xiàn)日志中相關要素是否和預定的策略相符，如時間、地點、人員、方式等。審計管理能夠方便的自定義審計人員、行為對象、審計類型、審計策略等基本配置；并能夠自定義審計策略模板，審計管理內(nèi)置了大量審計策略模板，涵蓋了常見的、對企業(yè)非常實用的審計策略模板，如主機、防火墻、數(shù)據(jù)庫、薩班斯審計策略、等級保護策略模板等。對于根據(jù)審計策路所產(chǎn)生的審計違規(guī)結果，系統(tǒng)以告警的形式在實時監(jiān)控模塊呈現(xiàn)給用戶，用戶可以對告警進行相關的處理?！霭踩O(jiān)控：安全監(jiān)控包括告警監(jiān)控和實時監(jiān)控。所謂告警是指用戶特別需要關注的安全問題，這些問題來源于事件分析、審計分析的結果。所謂實時監(jiān)控是指對當前接入的事件日志的逐條、實時顯示，顯示的日志內(nèi)容是可以根據(jù)用戶的需求進行設置過濾條件來定制的?！霭踩庞[：綜合呈現(xiàn)當前接入系統(tǒng)的安全態(tài)勢，如告警概況、系統(tǒng)運行狀態(tài)、事件分析統(tǒng)計、審計分析統(tǒng)計等，安全概覽顯示內(nèi)容可根據(jù)需要自定制?！鰣蟊砉芾恚合到y(tǒng)提供豐富的報表，以滿足用戶不同的要求；■資產(chǎn)管理：與普通的綜合日志分析系統(tǒng)不同，綜合日志分析系統(tǒng)提供資產(chǎn)管理模塊，以方便用戶對被管對象的管理；■知識庫管理：系統(tǒng)提供日志發(fā)送配置（即如何對各種系統(tǒng)進行配置，使其產(chǎn)生日志）、安全事件知識、安全經(jīng)驗等，對日志審計提供相應的支撐；■系統(tǒng)管理：系統(tǒng)的自身管理，包括如用戶管理、日志管理、升級管理等功能。以上功能，經(jīng)過細化以后，可以形成如下結構:1） 安全管理對象：綜合日志分析系統(tǒng)能夠?qū)Ω鞣N安全風險進行采集和匯總，安全對象涵蓋了人員、網(wǎng)絡、安全設施、系統(tǒng)、終端、應用等。2） 采集層：采集各種設備的事件日志，標準化為統(tǒng)一的格式，然后進行過濾、歸并、關聯(lián)和審計，從海量日志中分析潛在的安全問題，同時進行相關數(shù)據(jù)的存儲和管理。3） 分析處理層：系統(tǒng)通過分析引擎，對日志進行關聯(lián)分析、審計分析和統(tǒng)計分析，并對異常事件告警策略進行管理。4） 業(yè)務功能層：業(yè)務功能層實現(xiàn)對企業(yè)信息安全業(yè)務的支撐，以及系統(tǒng)自身運行的管理。在此基礎上，通過分析事件與資產(chǎn)的相互關系，產(chǎn)生告警及報表等。5） 與此同時，業(yè)務功能層提供資產(chǎn)管理、報表管理、采集管理、事件分析和審計管理，分別支撐用戶的相關業(yè)務功能。6） 綜合展現(xiàn)層：綜合展現(xiàn)層是綜合日志分析系統(tǒng)的展示層。該層通過個人工作臺和安全概覽，將整個系統(tǒng)收集、分析、管理的安全事件、告警概況等信息多維度的展現(xiàn)在用戶面前。采集是綜合日志分析系統(tǒng)的重要功能模塊，它承載了日志或事件采集標準化、過濾、歸并功能.采集管理是系統(tǒng)進行分析的第一步，用戶通過指定需要采集的目標、相關采集參數(shù)（Syslog、SNMPTrap等被動方式無需指定）、相關的過濾策略和歸并策略等創(chuàng)建日志采集器，以收集相關設備或系統(tǒng)的日志.具體如下：＞標準化不同的系統(tǒng)或設備所產(chǎn)生的日志格式是不盡相同的，這就給分析和統(tǒng)計帶了巨大的麻煩，所以在綜合日志分析系統(tǒng)中內(nèi)置了眾多的標準化腳本以處理這種情形；即便對于某些特殊的設備，您沒有發(fā)現(xiàn)相關的解析腳本，綜合日志分析系統(tǒng)也提供了相應的定制方法以解決這些問題。＞過濾和歸并為了對接收的日志數(shù)量進行壓縮，綜合日志分析系統(tǒng)還提供了過濾和歸并功能；其中，過濾功能不僅僅是丟棄無用的日志，而且也可以將它們轉(zhuǎn)發(fā)到外部系統(tǒng)或?qū)Σ糠质录侄芜M行重新填充。＞事件分析綜合日志分析系統(tǒng)的事件分析功能是系統(tǒng)中的核心功能之一；其中關聯(lián)分析策略主要側重于各類日志之間可能存在的邏輯關聯(lián)關系.綜合日志分析系統(tǒng)不僅支持以預定義規(guī)則的方式進行事件關聯(lián)，還支持基于模式發(fā)現(xiàn)方式的關聯(lián)；系統(tǒng)不僅支持短時間內(nèi)的序列關聯(lián)，還支持長時間的關聯(lián)（最長可達30天）。對于事件關聯(lián)分析所產(chǎn)生的結果將在關聯(lián)事件中呈現(xiàn)，如果符合關聯(lián)策略，將以告警的形式在實時監(jiān)控模塊呈現(xiàn)給用戶，用戶可以對告警進行相關的處理。4.2.3運維審計系統(tǒng)（堡壘機）借助切實有效的技術手段，通過對運維環(huán)境中人員、設備、操作行為等諸多要素的統(tǒng)籌管理和策略定義，建立一個具有完備控制和審計功能的運維管理系統(tǒng)，為業(yè)務生產(chǎn)系統(tǒng)進一步的發(fā)展建立堅實基礎。該方案需要在技術層面完成如下建設目標：■實現(xiàn)單點登錄：全部運維人員集中通過運維管理系統(tǒng)，來管理后臺的服務器、網(wǎng)絡設備等資源，同時對運維人員進行統(tǒng)一的身份認證；■實現(xiàn)統(tǒng)一授權：統(tǒng)一部署訪問控制和權限控制等策略，保證操作者對后臺資源的合法使用，同時實現(xiàn)對高危操作過程的事中監(jiān)控和實時告警；■快速定位問題：必須對操作人員原始的操作過程進行完整的記錄，并提供靈活的查詢搜索機制，從而在操作故障發(fā)生時，快速的定位故障的原因，還原操作的現(xiàn)場；■簡化密碼管理：實現(xiàn)賬號密碼的集中管理，在簡化密碼管理的同時提高賬號密碼的安全性；■兼容操作習慣：盡量不改變運維環(huán)境中已有的網(wǎng)絡架構、對操作者原有的操作習慣不造成任何影響；集中管理是前提：只有集中以后才能夠?qū)崿F(xiàn)統(tǒng)一管理，只有集中管理才能把復雜問題簡單化，分散是無法談得上管理的，集中是運維管理發(fā)展的必然趨勢，也是唯一的選擇。身份管理是基礎：身份管理解決的是維護操作者的身份問題。身份是用來識別和確認操作者的，因為所有的操作都是用戶發(fā)起的，如果我們連操作的用戶身份都無法確認，那么不管我們怎么控制，怎么審計都無法準確的定位操作責任人。所以身份管理是基礎。訪問控制是手段：操作者身份確定后，下一個問題就是他能訪問什么資源、你能在目標資源上做什么操作。如果操作者可以隨心所欲訪問任何資源、在資源上做任何操作，就等于沒了控制，所以需要通過訪問控制這種手段去限制合法操作者合法訪問資源，有效降低未授權訪問所帶來的風險。操作審計是保證：操作審計要保證在出了事故以后快速定位操作者和事故原因，還原事故現(xiàn)場和舉證。另外一個方面操作審計做為一種驗證機制，驗證和保證集中管理，身份管理，訪問控制，權限控制策略的有效性。自動運維是目標：操作自動化是運維操作管理的終極目標，通過讓該功能，可讓堡壘機自動幫助運維人員執(zhí)行各種常規(guī)操作，從而達到降低運維復雜度、提高運維效率的目的。4.2.4數(shù)據(jù)庫審計系統(tǒng)在運維管理區(qū)部署數(shù)據(jù)庫審計，采用旁路模式部署。采用安全審計系統(tǒng)數(shù)據(jù)庫審計功能則主要針對網(wǎng)絡內(nèi)數(shù)據(jù)庫服務器，實時采集網(wǎng)絡中對數(shù)據(jù)庫訪問的信息進行審計。數(shù)據(jù)庫審計系統(tǒng)通過對網(wǎng)絡數(shù)據(jù)的實時采集分析、監(jiān)控來自網(wǎng)絡內(nèi)部和外部的用戶對數(shù)據(jù)庫的訪問活動，及時識別和發(fā)現(xiàn)其中是否存在安全威脅和違規(guī)行為。系統(tǒng)的審計分析結果能幫助管理員對數(shù)據(jù)庫安全策略進行分析，提升數(shù)據(jù)庫安全性，并為管理員調(diào)整數(shù)據(jù)庫安全策略、收集證據(jù)及事后追蹤起訴提供用力的幫助。該產(chǎn)品通過旁路監(jiān)聽，實時采集網(wǎng)絡中的數(shù)據(jù)庫訪問信息，進行審計分析，恢復和還原用戶的數(shù)據(jù)庫訪問過程，自動記錄訪問過程，協(xié)助網(wǎng)管人員掌握數(shù)據(jù)庫的訪問情況，及時發(fā)現(xiàn)和制止非法訪問行為。多層業(yè)務關聯(lián)審計：通過應用層訪問和數(shù)據(jù)庫操作請求進行多層業(yè)務關聯(lián)審計，實現(xiàn)訪問者信息的完全追溯，包括：操作發(fā)生的URL、客戶端的IP、請求報文等信息，通過多層業(yè)務關聯(lián)審計更精確地定位事件發(fā)生前后所有層面的訪問及操作請求，使管理人員對用戶的行為一目了然，真正做到數(shù)據(jù)庫操作行為可監(jiān)控，違規(guī)操作可追溯。細粒度數(shù)據(jù)庫審計：通過對不同數(shù)據(jù)庫的SQL語義分析，提取出SQL中相關的要素（用戶、SQL操作、表、字段、視圖、索引、過程、函數(shù)、包…）實時監(jiān)控來自各個層面的所有數(shù)據(jù)庫活動，包括來自應用系統(tǒng)發(fā)起的數(shù)據(jù)庫操作請求、來自數(shù)據(jù)庫客戶端工具的操作請求以及通過遠程登錄服務器后的操作請求等通過遠程命令行執(zhí)行的SQL命令也能夠被審計與分析，并對違規(guī)的操作進行阻斷系統(tǒng)不僅對數(shù)據(jù)庫操作請求進行實時審計，而且還可對數(shù)據(jù)庫返回結果進行完整的還原和審計，同時可以根據(jù)返回結果設置審計規(guī)則。精準化行為回溯：一旦發(fā)生安全事件，提供基于數(shù)據(jù)庫對象的完全自定義審計查詢及審計數(shù)據(jù)展現(xiàn)，徹底擺脫數(shù)據(jù)庫的黑盒狀態(tài)。全方位風險控制：靈活的策略定制：根據(jù)登錄用戶、源IP地址、數(shù)據(jù)庫對象（分為數(shù)據(jù)庫用戶、表、字段）、操作時間、SQL操作命令、返回的記錄數(shù)或受影響的行數(shù)、關聯(lián)表數(shù)量、SQL執(zhí)行結果、SQL執(zhí)行時長、報文內(nèi)容的靈活組合來定義客戶所關心的重要事件和風險事件多形式的實時告警：當檢測到可疑操作或違反審計規(guī)則的操作時，系統(tǒng)可以通過監(jiān)控中心告警、短信告警、郵件告警、Syslog告警等方式通知數(shù)據(jù)庫管理員。職權分離：《計算機信息系統(tǒng)安全等級保護數(shù)據(jù)庫管理技術要求》、《企業(yè)內(nèi)部控制規(guī)范》、SOX法案或PCI中明確提出對工作人員進行職責分離，系統(tǒng)設置了權限角色分離。友好真實的操作過程回放：對于客戶關心的操作可以回放整個相關過程，讓客戶可以看到真實輸入及屏幕顯示內(nèi)容。對于遠程操作實現(xiàn)對精細內(nèi)容的檢索，如執(zhí)行刪除表、文件命令、數(shù)據(jù)搜索等。4.2.5網(wǎng)絡防病毒系統(tǒng)在各服務器、終端pc上安裝防病毒軟件系統(tǒng)，在運維管理區(qū)部署防病毒管理系統(tǒng)，在全網(wǎng)部署防病毒系統(tǒng)后，通過代碼特征匹配和動態(tài)行為分析識別惡意軟件變種與族群，有效解決病毒、木馬、漏洞、免殺逃逸等終端威脅，實現(xiàn)了反病毒、主動防御和主機防火墻等三大功能。部署設計：＞全面集中管理防病毒系統(tǒng)企業(yè)版具有全面集中管理和全網(wǎng)設置的功能，網(wǎng)絡管理員可以十分輕松地實現(xiàn)全網(wǎng)的統(tǒng)一設置，以及對服務器端/客戶端進行分組管理。支持的服務器端/客戶端類型有Windowsserver2003\2008\2012，WindowsPCXP\7\8、Linuxserver等。在管理員控制臺上，管理員能夠?qū)ι鲜鋈魏我环N服務器端/客戶端進行直接操作：設置策略、策略下發(fā)、客戶端分組、殺毒、補丁升級、啟動/關閉實時監(jiān)控、統(tǒng)一報表等。＞全網(wǎng)查殺毒防病毒系統(tǒng)企業(yè)版能夠隨時啟動對全網(wǎng)的統(tǒng)一查殺毒，這樣就能全網(wǎng)統(tǒng)一行動，最大程度的減小了病毒傳播的可能。當然，管理員也可以對很方便的使用企業(yè)管理中心對單個或多個客戶端進行查殺毒。＞直接監(jiān)視服務器端/客戶端防病毒系統(tǒng)企業(yè)版能夠直接顯示每一個服務器端/客戶端的實時監(jiān)控狀態(tài)、安裝的版本、查殺毒狀態(tài)，這樣管理員對于任何安裝了防病毒系統(tǒng)企業(yè)版的計算機的狀態(tài)都一目了然，隨時監(jiān)測有無異常情況出現(xiàn)。＞遠程報警防病毒系統(tǒng)企業(yè)版管理中心記錄了整個網(wǎng)絡中任意服務器端/客戶端計算機上查殺毒時發(fā)現(xiàn)的病毒信息，并且能夠在控制臺病毒列表欄上顯示。管理員由此能及時發(fā)現(xiàn)染毒的計算機，做出及時的反應。整個網(wǎng)絡的病毒報警信息是由運維管理中心來統(tǒng)一維護的，因此管理員通過管理中心能夠查詢和管理之前的病毒歷史記錄。對病毒的傳播途徑進行有效的跟蹤，做到了層層防護。4.2.6災備系統(tǒng)備份存儲系統(tǒng)（備份一體機）是一種集備份、虛擬帶庫等功能為一體的軟、硬件一體化備份平臺。備份存儲系統(tǒng)包含一整套階梯式產(chǎn)品，完全可以服務于各種不同級別的數(shù)據(jù)備份存儲需求。備份存儲系統(tǒng)可采用SATA、SAS、SSD等多種磁盤，提供FC光纖、萬兆以太網(wǎng)以及千兆以太網(wǎng)的擴展卡以滿足用戶不同的應用需求。備份存儲系統(tǒng)具有最廣泛的備份功能，支持多種數(shù)據(jù)類型的備份，如數(shù)據(jù)庫備份、文件備份、應用備份、操作系統(tǒng)備份等，涵蓋從Windows^Linux到Unix操作系統(tǒng)平臺，備份的數(shù)據(jù)可以通過IP-SAN、FC-SAN