根据安全防护体系分析建设的指导思想,根据上述安全域的划分与安全域之间的边界防护需求,对安全建设整体任务作如下分解,具体建设内容请见下面的表格。
| 序号 | 新增安全防范手段 | 安全服务 |
| 1 | 防火墙 | 技术脆弱性评估(漏洞扫描、手工检测、渗透测试) |
| 2 | 堡垒主机 | 基本运维流程体系建设(参考ITIL) |
| 3 | 防病毒网关 | 应急保障方案 |
| 4 | 入侵检测系统(IDS) | 安全岗位责任制 |
| 5 | 入侵防护系统(IPS) | 基本的安全培训 |
| 6 | 内网安全综合管理系统 | 基本的运维手段 |
| 7 | 数据库审计 | 信息系统风险评估 |
| 8 | 安全管理平台(SOC) | 基本管理制度的建立(参考27001) |
| 9 | 漏洞扫描评估系统 | 全面的安全管理制度(通过27001认证) |
| 应急保障演练 | ||
| 全面的安全组织建设 | ||
| 10 | 网络、主机审计系统 | 全面的ITIL运维流程 |
| 11 | 主机防护系统 | 全面的审计体系 |
| 产品名称 | 产品规格性能描述 | 数量 | 单位 | 实现功能 |
| aa下一代防火墙 | 1U机架式设备,4个千兆电口 | 1 | 台 | 电台服务器区域出口防护,具有访问控制、VPN、防病毒、IDS/IDP和内容过滤等功能 |
| 智能运维管理系统 | 1U机架式设备,可管理服务器数量50台,支持bypass功能 | 1 | 台 | 对内网服务器、网络设备构建一个安全堡垒 |
| 漏洞扫描系统 | 2U机架式设备,4个千兆电口 | 1 | 台 | 用于系统的安全扫描,并进行补丁派发管理 |
| 入侵检测系统 | 1U机架式设备,4个千兆电口,冗余电源 | 1 | 台 | 用于检测来自内、外网用户的网络访问行为合法性 |
| 入侵防御系统 | 1U机架式设备,4个千兆电口,支持ByPass | 1 | 台 | 用于防御来自内、外网用户的攻击行为 |
| 内网安全综合管理系统 | 1U机架式设备,4个千兆电口,光口可根据需求定制 | 1 | 套 | 全网部署,实现主机审计功能,包括:终端非法外联监控、非法接入控制、端口管理、外设管理、资产管理和系统补丁管理等 |
| 网闸 | 1U机架式设备,内网4个百兆电口,外网4个百兆电口 | 1 | 台 | 内外网之间的安全隔离,具备数据过滤,访问控制,内容检查等功能 |
| aa数据库审计系统 | 1U机架式设备,4个千兆电口 | 1 | 套 | |
| aa操作系统增强系统 | 软件产品,支持windows、UNIX等系统版本 | 5 | 套 | 用于保护重要服务器的系统安全与权限控制等。 |
| 一体化运维管理系统 | 1U机架式设备,可管理至少100台设备 | 1 | 台 | 用于对网络设备、服务器、数据库等设备的监控与故障告警、分析等。 |
- 第一期项目投资估算表
| 表1 项目总投资估算表 | ||||
| 序号 | 工程或费用名称 | 数量 | 单价 | 合计 |
| 项目总投资 | 96 | |||
| 一 | 工程费用 | 80 | ||
| (一) | 建筑工程费 | 0 | ||
| 1 | 机房整改建设费 | 0 | ||
| (二) | 硬件设备购置费 | 80 | ||
| 1 | aa下一代防火墙 | 1 | 10 | 10 |
| 2 | aa智能运维管理系统 | 1 | 10 | 10 |
| 3 | aa漏洞扫描系统 | 1 | 10 | 10 |
| 4 | 入侵检测系统 | 1 | 10 | 10 |
| 5 | 内网安全综合管理系统 | 1 | 10 | 10 |
| 6 | aa数据库审计系统 | 1 | 10 | 10 |
| 7 | aa操作系统安全增强系统 | 1 | 5 | 5 |
| 8 | aa一体化运维管理系统 | 1 | 10 | 10 |
| 9 | 杀毒软件 | 1 | 5 | 5 |
| 二 | 信息安全等保测评费 | 16 | ||
- 工程分期预期效果
安全建设项目的整体规划是根据对现有信息系统的安全评估和需求分析的结果,并参考国内外相关法规、标准和最佳实践。因此,信息安全保障体系的整体框架的实现,能够保证系统的安全性和安全方面的合规性。根据整体规划分步实施的原则,信息安全保证体系分三部分进行建设,其中第一部分工程以完善技术体系为主要目标,第二部分工程已完善管理体系为主要目标,第三部分工程以完善风险管理体系为主要目标。
1.工程预期效果
技术体系部分包括对防火墙、网闸、入侵防护系统(IPS、IDS)、漏洞扫描系统的采购和部署。主要目标是完善当前网络层、应用层安全防护体系。构建一个基本的防御体系,做到对边界网络进行实时防御。还包括智能运维管理系统、操作系统安全增强、一体化运维管理系统、内网安全综合管理系统和数据库审计系统的采购和部署。智能运维管理系统主要针对保护网络设备及其账号的管理;内网安全综合管理系统保护终端的非法接入,端口管理,资产管理;构建数据库审计、安全审计目的是为了对数据库等安全进行二次保护并做到追踪溯源。做到全方位无漏斗防护,方便管理人员对账号、资产的一个审计。
管理体系部分包括对安全管理平台、防病毒网关。防病毒网关用于网络出口处的病毒防护,网闸及时控制内外网的访问。
风险管理部分括对应用系统4A建设、网络主机审计系统、主机防护系统。构建以上设备目的达到健全的风险管理体系、全面的ITIL运维流程和健全的审计日子使安全培训日常化管理系统化。
各产品功能解释
1.网闸
网闸采用专有硬件和高度模块化的设计思路,集安全隔离、数据实时交换、网络过滤、访问控制、协议分析、内容检查、数据私有化、安全决策等多种安全技术于一体,保证网络安全隔离的前提下,提供可靠的、高效的、特定的数据交换服务。
2.入侵检测系统
入侵检测系统部署于网络中的关键点,实时监控各种数据报文及网络行为,提供及时的报警及响应机制。其动态的安全响应体系与防火墙、路由器等静态的安全体系形成强大的协防体系,大大增强了用户的整体安全防护强度。
3.入侵防御系统
入侵防御系统是针对目前流行的蠕虫、病毒、间谍软件、垃圾邮件、DDoS等黑客攻击,以及网络资源滥用(P2P下载、IM即时通讯、网游等)等推出的全新安全防护方案。入侵防御系统以全面深入的协议分析技术为基础,结合协议异常检测、协议异常检测、状态检测、关联分析形成的新一代检测引擎,实时拦截数据流量中各种类型的恶意攻击流量,把攻击防御在企业网络之外,保护企业的信息资产。
4.内网安全管理系统
内网安全管理系统部署在用户内网中,具备准入控制、状态检查、外设管理、USB管理、终端安全、行为规范、行为监控、图档加密、图档监控、IP管理、IT资产、补丁管理、端口流量、补丁管理、网管工具等功能。内网安全平台的建立,为用户创造了巨大的应用价值,使得用户的网络行为管理更规范,从根本上提升网络和PC有效利用,全面提高工作效率;使得内网安全的诸多隐患得到全面的管理和监控,实时监测内网的运行,洞察客户端的一举一动;使得图档更加安全,内网的竞争情报和具有知识产权的数据信息不再担心外泄,几乎封堵了现在能够想到的所有泄密的途径。
1.aa智能运维管理系统
aa运维管理系统是一种被加固的可以防御进攻的计算机,具备坚强的安全防护能力。aa运维管理系统扮演着看门者的职责,所有对网络设备和服务器的请求都要从这扇大门经过。因此aa运维管理系统能够拦截非法访问和恶意攻击,对不合法命令进行阻断、过滤掉所有对目标设备的非法访问行为。
aa运维管理系统具备强大的输入输出审计功能,不仅能够详细记录用户操作的每一条指令,而且能够将所有的输出信息全部记录下来;具备审计回放功能,能够模拟用户的在线操作过程,丰富和完善了网络的内控审计功能。aa运维管理系统能够在自身记录审计信息的同时在外部某台计算机上做存储备份,可以极大增强审计信息的安全性,保证审计人员有据可查。
aa运维管理系统还具备图形终端操作的审计功能,能够对多平台的多种图形终端操作做审计,例如Windows平台的RDP方式图形终端操作,Linux/Unix平台的X11方式图形终端操作。
为了给系统管理员查看审计信息提供方便性,aa运维管理系统提供了审计查看检索功能。系统管理员可以通过多种查询条件查看审计信息。
1.aa数据库审计系统
安全是多个环节层层防范、共同配合的结果。也就是说在安全领域不能够仅靠某一个环节完成所有的安全防范措施。一个安全的系统需要数据库的安全、操作系统的安全、网络的安全、应用系统自身的安全共同完成。数据库领域的安全措施通常包括:身份识别和身份验证、自主访问控制和强制访问控制、安全传输、系统审计、数据库存储加密等。只有通过综合有关安全的各个环节,才能确保高度安全的系统。
Uxsino RS CDPS 数据库安全审计系统系列是北京aa软件股份有限公司自主研制开发的新一代Uxsino RS CDPS 数据库安全审计系统,属于北京aa软件股份有限公司的数据库安全加固平台的一个重要部分,针对数据库和业务系统的重要性以及面临的风险,该产品提供数据库实时攻击检测、实时监控和审计等功能,提升数据库和业务系统的整体安全水平。具体来说,产品解决如下核心问题:对访问数据库的数据流和用户进行采集、分析、识别、屏蔽、替换、阻断、授权、身份验证和身份识别等操作,并对访问数据库的相关行为、发送和接收的相关内容进行存储,分析和查询等功能。
1.aa操作系统安全增强系统
aa公司的aaRS-CDPS(核心数据保护系统) 通过安装在服务器的安全内核保护服务器,它不用更改操作系统就可以安装,操作方便宜于系统管理和安全管理。aaRS-CDPS利用aa的专利型技术基于数字签名的安全内核(based pki secure kernel,基于PKI的安全内核)实现安全功能。aaRS-CDPS在操作系统的安全功能之上提供了一个安全保护层。通过截取系统调用实现对文件系统的访问控制,以加强操作系统安全性。它具有完整的用户认证,访问控制及审计的功能,采用集中式管理,克服了分布式系统在管理上的许多问题。
aaRS-CDPS是一个支持跨平台的访问控制软件,它支持IBM AIX、HP-UX、Solaris、Compaq Tru64以及Linux和Windows NT/XP/Windows 2000/Windows 2003等多种操作系统。可对 UXIN类和WINDOWS类各种操作系统进行统一管理,为管理员提供方便,可以保障服务器安全地提供持续的客户服务。
1.aa一体化运维管理系统
aa软件以其强大的技术实力和严格的开发管理机制保证了系统运行的稳定性、功能的全面性和扩展性,真正打造了满足客户需求的IT运维管理平台。对客户的IT系统进行7*24小时的全面监控,提供了IT系统的性能监控、性能分析、故障监控、故障分析及定位、资产及配置文件的管理、强大的报表分析等功能,保证了用户日常运维工作的顺利开展,提升了运维工程师的网络管控水平,降低了管理层的日常工作量,为决策层提供了可靠的数据依据。
1.aa漏洞扫描系统
aa漏洞扫描系统严格按照计算机信息系统安全的国家标准、相关行业标准设计、编写、制造。aa漏洞扫描系统可以对不同操作系统下的计算机(在可扫描IP范围内)进行漏洞检测。主要用于分析和指出有关网络的安全漏洞及被测系统的薄弱环节,给出详细的检测报告,并针对检测到的网络安全隐患给出相应的修补措施和安全建议。aa漏洞扫描系统最终目标是成为加强中国网络信息系统安全功能,提高内部网络安全防护性能和抗破坏能力,检测评估已运行网络的安全性能,为网络系统管理员提供实时安全建议等的主流工具。网络安全评估系统作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前可以提供安全防护解决方案。并可根据用户需求对该系统功能进行升级。
1.aa下一代防火墙
aaNG 系列下一代防火墙集成了多种安全防护功能,并可以提供优秀的处理能力。面向中小企业的 SG 系列产品可以提供最快的处理能力,超出了当前市场中其他 UTM、多功能防火墙等产品。CR300 提供一个可扩展槽,提供了灵活的网络连接,方便将设备接入到千兆或万兆光纤网络中。对于那些正在向千兆或万兆光纤网络迁移的中小企业来说,这个扩展能力,为你节省了购买更高端设备的成本,带来了极大的自由度。更丰富的端口,可以连接更多的网络设备,提升冗余性,降低网络拓扑复杂度,节省您的成本。
aa下一代防火墙的其它优点包括:
- 为多种安全功能提供一个统一的管理平台,降低了设备的复杂性,加快了安装速度。
- 与购买和使用多个单一功能的单点安全系统相比,降低了总体拥有成本(TCO)
aa下一代防火墙全系列产品集成了包括路由、NAT、防火墙、VPN、入侵防御、抗DDoS攻击、URL过滤、病毒过滤,以及流量控制在内的多种安全功能,同时提供丰富的应用管理和控制,在不以安全为妥协以及充分满足用户便利性的前提下,为用户创造了前所未有的安全体验。
991
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
