XX数据中心安全规划方案

《XX数据中心安全规划方案》由会员分享，可在线阅读，更多相关《XX数据中心安全规划方案（22页珍藏版）》请在装配图网上搜索。

1、XX 数据中心信息系统安全建设项目技术方案目录1.项目概述 .错误 !未定义书签。.目标与范围 .错误 !未定义书签。.参照标准 .错误 !未定义书签。.系统描述 .错误 !未定义书签。2.安全风险分析 .错误 !未定义书签。.系统脆弱性分析 .错误 !未定义书签。.安全威胁分析 .错误 !未定义书签。被动攻击产生的威胁 .错误 !未定义书签。主动攻击产生的威胁 .错误 !未定义书签。3.安全需求分析 .错误 !未定义书签。.等级保护要求分析 .错误 !未定义书签。网络安全 .错误 !未定义书签。主机安全 .错误 !未定义书签。应用安全 .错误 !未定义书签。.安全需求总结 .错误 !未定义书

2、签。4.整体安全设计 .错误 !未定义书签。.安全域 .错误 !未定义书签。安全域划分原则 .错误 !未定义书签。安全域划分设计 .错误 !未定义书签。.安全设备部署 .错误 !未定义书签。5.详细安全设计 .错误 !未定义书签。.网络安全设计 .错误 !未定义书签。抗 DOS设备 .错误 !未定义书签。防火墙 .错误 !未定义书签。WEB应用安全网关 . .错误 !未定义书签。入侵防御 .错误 !未定义书签。入侵检测.错误 !未定义书签。安全审计.错误 !未定义书签。防病毒.错误 !未定义书签。.安全运维管理.错误 !未定义书签。漏洞扫描.错误 !未定义书签。安全管理平台.错误 !未定义书签

3、。堡垒机.错误 !未定义书签。6.产品列表.错误 !未定义书签。1. 项目概述1.1.目标与范围本次数据中心的安全建设主要依据 信息安全技术信息安全等级保护基本要求中的技术部分，从网络安全，主机安全，应用安全，来对网络与服务器进行设计。根据用户需求，在本次建设完毕后 XX 数据中心网络将达到等保三级的技术要求。因用户网络为新建网络， 所以本次建设将完全按照 信息安全技术信息安全等级保护基本要求中技术部分要求进行。1.2.参照标准GB/T22239-2008信息安全技术信息安全等级保护基本要求GB/T 22239-2008 信息安全技术信息安全等级保护基本要求GB/T 22240-2008 信息

4、安全技术信息系统安全等级保护定级指南GB/T 20270-2006 信息安全技术网络基础安全技术要求GB/T 25058-2010 信息安全技术信息系统安全等级保护实施指南 GB/T 20271-2006 信息安全技术信息系统安全通用技术要求GB/T 25070-2010 信息安全技术信息系统等级保护安全设计技术要求GB 17859-1999计算机信息系统安全保护等级划分准则GB/Z 20986-2007 信息安全技术信息安全事件分类分级指南1.3.系统描述XX 数据中心平台共有三个信息系统：能源应用，环保应用，市节能减排应用。企业节点通过企业信息前置机抓取企业节点数据，并把这些数据上传到XX

5、数据中心的数据库中， 数据库对这些企业数据进行汇总与分析，同时企业节点也可以通过 VPN去访问 XX数据中心的相关应用。XX 数据中心平台也可通过政务外网，环保专网与相关部分进行信息交互。提供信息访问。2. 安全风险分析2.1.系统脆弱性分析人的脆弱性：人的安全意识不足导致的各种被攻击可能，如接受未知数据，设置弱口令等。安全技术的脆弱性： 操作系统和数据库的安全脆弱性，系统配置的安全脆弱性，访问控制机制的安全脆弱性，测评和认证的脆弱性。运行的脆弱性： 监控系统的脆弱性， 无入侵检测设备， 响应和恢复机制的不完善。2.2.安全威胁分析2.2.1.被动攻击产生的威胁（1）网络和基础设施的被动攻击威

6、胁局域网 / 骨干网线路的窃听；监视没被保护的通信线路；破译弱保护的通信线路信息；信息流量分析；利用被动攻击为主动攻击创造条件以便对网络基础设施设备进行破坏， 如截获用户的账号或密码以便对网络设备进行破坏； 机房和处理信息终端的电磁泄露。（2）区域边界 / 外部连接的被动攻击威胁截取末受保护的网络信息；流量分析攻击；远程接入连接。（3）计算环境的被动攻击威胁获取鉴别信息和控制信息；获取明文或解密弱密文实施重放攻击。2.2.2.主动攻击产生的威胁（1）对网络和基础设施的主动攻击威胁一是可用带宽的损失攻击， 如网络阻塞攻击、 扩散攻击等。 二是网络管理通讯混乱使网络基础设施失去控制的攻击。最严重的

7、网络攻击是使网络基础设施运行控制失灵。如对网络运行和设备之间通信的直接攻击，它企图切断网管人员与基础设施的设备之间的通信，比如切断网管人员与交换机、路由器之间的通信，使网管人员失去对它们的控制。三是网络管理通信的中断攻击，它是通过攻击网络底层设备的控制信号来干扰网络传输的用户信息；引入病毒攻击； 引入恶意代码攻击。（2）对信息系统及数据主动攻击威胁试图阻断或攻破保护机制（内网或外网） ；偷窃或篡改信息；利用社会工程攻击欺骗合法用户（如匿名询问合法用户账号） ；伪装成合法用户和服务器进行攻击； IP 地址欺骗攻击；拒绝服务攻击；利用协议和基础设施的安全漏洞进行攻击；利用远程接入用户对内网进行攻击

8、； 建立非授权的网络连接； 监测远程用户链路、修改传输数据；解读未加密或弱加密的传输信息； 恶意代码和病毒攻击。（3）计算环境的主动攻击威胁引入病毒攻击； 引入恶意代码攻击； 冒充超级用户或其他合法用户； 拒绝服务和数据的篡改；伪装成合法用户和服务器进行攻击；利用配置漏洞进行攻击；利用系统脆弱性（操作系统安全脆弱性、数据库安全脆弱性）实施攻击；利用服务器的安全脆弱性进行攻击；利用应用系统安全脆弱性进行攻击。（4）支持性基础设施的主动攻击威胁对未加密或弱加密的通信线路的搭线窃听； 用获取包含错误信息的证书进行伪装攻击；拒绝服务攻击（如攻击目录服务等） ；中间攻击；攻击 PIN 获取对用户私钥的访

9、问、 在支持性基础设施的组件中引入恶意代码攻击、 在密钥分发期间对密钥实施攻击、 对 PKI 私钥实施密码攻击、 对密钥恢复后的密钥进行末授权访问、在用户认证期间使用户不能生成失效信息；利用备份信息进行攻击。3. 安全需求分析3.1.等级保护要求分析3.1.1.网络安全类别控制点重点要求项对应措施安全域划分，通交换设备的冗余、 网络过安全管理平台结构安全划分与隔离进行网络拓扑管理网络边界部署访问控安全域边界增加访问控制制设备， 启用访问控制部署防火墙设备功能对网络系统中的网络设备运行状况、 网络流部署网络安全审网络安全审计量、用户行为等进行日计系统安全志记录对内部用户未通过准边界完整性检采用技

10、术手段进许私自联到外部网络查行违规外联的行为进行检查网络出口的边界处部署入侵检网络边界入侵行为监入侵防范测，重要服务器视区前面采取入侵防护措施3.1.2.主机安全类别控制点重点要求项对应措施对登录操作系统和数部署身份鉴别系身份鉴别据库系统的用户进行统。身份标识和鉴别对系统安全加启用访问控制功能， 实固，限制默认帐现操作系统和数据库访问控制户、时删除多余系统特权用户的权限的、过期的帐户分离等采用主机审计措施，通过安全管用户行为、系统资源、主机安全审计理平台对操作系系统安全事件审计安全统、数据库进行监控管理操作系统最小安装的对主机进行漏洞入侵防范原则、及时更新系统补检查，并部署入丁侵防范设备。能够

11、集中管理的恶意部署网络版防病恶意代码防范代码防护系统毒软件利用访问控制策设定终端接入方式、 网略与堡垒机产品资源控制络地址范围等条件限结合的方式进行制终端登录控制。3.1.3.应用安全类别控制点重点要求项提供专用的登录控制对应措施部署身份鉴别服应用身份鉴别模块对登录用户进行务器并与应用进安全身份标识和鉴别行联动部署堡垒机对访访问控制账户访问权限管理问进行权限管理应用系统重要安全事部署堡垒机对应安全审计件进行审计用访问进行记录采用密码技术进行会应用软件安全改话初始化验证， 对通信通信保密性造，对敏感字段过程中的敏感信息字进行加密段进行加密会话超时、 会话并发管部署堡垒机设备资源控制理、多重并发会

12、话限制进行限制3.2.安全需求总结类别安全需求划分安全域、明确安全边界网络出口边界、新的安全边界部署防火墙设备网络出口边界部署入侵检测设备网络安全关键业务前段部署入侵防御系统网页应用系统边界部署WEB应用安全网关重要数据库部署网络安全审计系统部署身份认证系统对访问进行身份认证部署堡垒机设备对主机访问进行控制与审计主机安全采用网络版杀毒软件部署漏洞扫描设备对主机的漏洞进行检测并及时修补应用系统与身份认证系统相结合进行身份鉴别应用安全应用系统与堡垒机相结合来进行审计与访问控制部署安全管理平台对网络，主机，应用的日志进行审计与分析。4. 整体安全设计4.1.安全域4.1.1.安全域划分原则（1）业务

13、保障原则安全域方法的根本目标是能够更好的保障网络上承载的业务。 在保证安全的同时，还要保障业务的正常运行和运行效率。信息安全服务所强调的核心思想是应该从客户（业务）而不是 IT 服务提供方（技术）的角度理解 IT 服务需求。也就是说，在提供 IT 服务的时候，我们首先应该考虑业务需求，根据业务需求来确定 IT 需求包括安全需求。在安全域划分时会面临有些业务紧密相连， 但是根据安全要求 （信息密级要求，访问应用要求等） 又要将其划分到不同安全域的矛盾。 是将业务按安全域的要求强性划分，还是合并安全域以满足业务要求？必须综合考虑业务隔离的难度和合并安全域的风险（会出现有些资产保护级别不够） ，从而

14、给出合适的安全域划分。（2）等级保护原则根据安全域在业务支撑系统中的重要程度以及考虑风险威胁、 安全需求、安全成本等因素， 将其划为不同的安全保护等级并采取相应的安全保护技术、 管理措施，以保障业务支撑的网络和信息安全。安全域的划分要做到每个安全域的信息资产价值相近， 具有相同或相近的安全等级、安全环境、安全策略等。安全域所涉及应用和资产的价值越高，面临的威胁越大，那么它的安全保护等级也就越高。（3）深度防御原则根据网络应用访问的顺序， 逐层进行防御， 保护核心应用的安全。 安全域的主要对象是网络， 但是围绕安全域的防护需要考虑在各个层次上立体防守， 包括在物理链路、网络、主机系统、应用等层次

15、；同时，在部署安全域防护体系的时候，要综合运用身份鉴别、访问控制、检测审计、链路冗余、内容检测等各种安全功能实现协防。（4）结构简化原则安全域划分的直接目的和效果是要将整个网络变得更加简单， 简单的网络结构便于设计防护体系。安全域划分不宜过于复杂。（5）生命周期原则对于安全域的划分和布防不仅仅要考虑静态设计， 还要考虑不断的变化； 另外，在安全域的建设和调整过程中要考虑工程化的管理。（6）安全最大化原则针对业务系统可能跨越多个安全域的情况， 对该业务系统的安全防护必须要使该系统在全局上达到要求的安全等级， 即实现安全的最大化防护， 同时满足多个安全域的保护策略。（7）可扩展性原则当有新的业务系

16、统需要接入业务支撑网时， 按照等级保护、对端可信度等原则将其分别划分至不同安全等级域的各个子域。4.1.2.安全域划分设计根据 XX数据中心的情况，把网络分为三个安全域：应用安全域，数据库安全域，安全管理安全域。安全域之间利用防火墙进行隔离。安全域划分拓扑如下：4.2.安全设备部署（1）网络边界考虑到网络的高可用性，网络出口设备均双机部署。在网络出口部署两台防止DDOS产品，对 DDOS攻击进行过滤。在网络出口部署两台防火墙设备，对进出XX 数据中心网络的流量进行策略控制。在网络出口部署两台入侵防御设备对进行XX 数据中心网络的流量进行检测，从而判断数据中是否含有恶意攻击与恶意代码。（2）核心

17、交换区在核心交换区旁路部署一台IDS 与一台安全审计产品， 对核心交换机上面的流量进行安全的检测与审计，包括来往核心交换机上面的流量是否有恶意威胁。是否有针对于后台数据库的威胁等。（3）应用区安全域在应用区边界部署 web应用防火墙设备，因应用区部署的应用均为B/S 架构，而 web应用防火墙恰恰是针对于 HTTP协议进行安全过滤的设备，很好的满足了三级等保中针对于应用安全的规定。（4）数据库安全域数据库安全域边界部署一台安全域防火墙， 采取有效的访问控制策略； 同时在安全域交换机旁路部署一台安全审计系统， 对网络运维管理和数据库操作进行全面审计。（5）安全管理区安全域在安全管理区部署漏洞扫描

18、设备， 对网络中的主机进行安全自查， 降低主机的脆弱性。在安全管理区部署堡垒机设备， 结合部署的身份认证系统对主机与应用进行身份鉴别，访问控制与安全审计。在安全管理区部署安全管理平台， 对网络中的主机与安全设备进行统一的监控与统一的日志分析。在网络中各个主机上部署网络版防病毒软件， 并且在安全管理区部署网络防病毒主控端。5. 详细安全设计5.1.网络安全设计5.1.1.抗 DOS设备5.1.1.1.部署目的随着僵尸网络的泛滥， DDoS攻击等恶意流量的规模也在迅速增大。据估计，中国的黑客产业链条规模已达上百亿，而在这中间有很大一部分就是和DDoS攻击相关的。实际上， DDoS攻击也像网络带宽一

19、样，已经成为可以售卖的资源。利益驱使 DDoS的规模进一步扩大。2011 年 3 月，全球网络安全和管理解决方案提供商Arbor Networks 发布第六期全球互联网基础设施安全年报称，2010 年是 DDoS攻击在互联网上活动规模和频率激增的一年； DDoS攻击规模首次突破100 Gbps，服务提供商因此受到巨大的冲击。2012 年 3 月，CNCERT发布了2011 年中国互联网网络安全态势报告 称 DDoS 的频率和规模都在迅速增大。根据 CNCERT抽样监测发现，我国境内日均发生攻击总流量超过 1G的较大规模的 DDoS攻击事件 365 起。其中， TCP SYN FLOOD和 UD

20、P FLOOD等常见虚假源 IP 地址攻击事件约占 70%，对其溯源和处臵难度较大。DDoS攻击最让人头疼的是攻击和防御的不对等性。 现在的 DDoS攻击技术门槛越来越低， 非常容易发起， 但检测和防御则需要强大的技术支撑。 由于黑客地下产业链的发展， 各种攻击工具在网上随处可见， 甚至公然打包售卖。 即使是对于初级网络水平的人来说， 使用这些攻击也是很简单的事情。 而对于有经验的黑客来说，使用这些工具可以组织起复杂的攻击，令防范变得困难。例如 2011 年针对某游戏网站的攻击持续了数月，综合采用了 DNS请求攻击、 UDPFLOOD、TCP SYNFLOOD、HTTP请求攻击等多种方式，攻击

21、峰值流量达数十个 Gbps，令人防不胜防。5.1.1.2.部署方式及说明防 DOS设备串行在网络出口，对流量进行清洗，过滤含有DOS或 DDOS特征的流量，保证网络安全。由于防 DOS串行在网络出口，所以选择双机部署。5.1.2.防火墙5.1.2.1.部署目的防火墙是一种部署在安全边界上的高级访问控制设备， 是不同区域之间信息流的唯一通道，能根据制定好的安全策略控制（允许、拒绝、监视、记录）不同区域之间的访问行为。 作为一个专业化的访问控制产品， 防火墙不仅提供非常灵活的访问控制功能（基于 IP 地址、端口、协议、用户名、应用命令等）和强大的审计鉴别功能，还提供了多种辅助功能，比如地址转换、端

22、口映射、IP 与 MAC地址绑定等等。安全边界采用防火墙设备，根据 ip 五元组（源 / 目的 ip ，源/ 目的端口，协议），对网络边界进行访问控制， 隔离不同的安全域， 只有经过许可的 ip 、端口、协议才被容许访问防火墙内的网络和系统资源，保障了网络的逻辑隔离。5.1.2.2.部署方式及说明防火墙串行部署在网络主干链路上， 用于网络安全边界的访问控制， 可以采用透明工作模式，工作口不需要配置 ip ，不影响网络路由结构。每台防火墙，均另外需 1 个 ip 用来作为管理设备，管理方式为 B/S。由于防火墙作为网络出口和安全域边界的安全网关，一旦出现故障对网络数据传输、网络安全策略有很大的影

23、响，因此在网络出口部署两台防火墙。在数据库区边界部署一台防火墙。5.1.3.WEB应用安全网关5.1.3.1.部署目的Web 应用安全网关（ Web Application Gateway，简称 WAG）是新一代Web安全防护与应用交付类应用安全产品，主要针对 Web服务器进行 HTTP/HTTPS流量分析，防护以 Web应用程序漏洞为目标的攻击， 并针对 Web应用访问各方面进行优化，以提高 Web或网络协议应用的可用性、 性能和安全性， 确保 Web业务应用能够快速、安全、可靠地交付。WAG应用了一套 HTTP会话规则集，这些规则涵盖诸如 SQL注入、以及 XSS 等常见的 Web攻击。网

24、页防篡改模块会事先将被保护 Web服务器的主要页面拷贝到设备存储器内， 一旦检测出被保护 URL页面有被篡改的情况， 遇到用户有针对该页面的访问请求时， 会将事先备份的正常页面返回给用户， 屏蔽被篡改的页面不被访问，维护用户的声誉， 此种方法的优点是不用在被保护 Web服务器上安装 Agent ，对 Web应用系统不会造成额外影响。5.1.3.2.部署方式及说明在应用区和核心交换机之间串行部署 Web应用安全网关，可采取透明工作模式，不影响网络路由结构， 针对 Web服务器进行第 7 层流量分析， 确保业务应用能够快速、安全、可靠地交付。5.1.4.入侵防御5.1.4.1.部署目的虽然访问控制

25、系统 （如防火墙） 可以静态的实施访问控制策略， 防止一些非法的访问等， 但对利用合法的访问手段或其它的攻击手段 （比如，利用内部系统的漏洞等）对系统入侵和内部用户的入侵等是没有办法控制的； 因此，系统内需要建设统一的符合国家规定的安全检测机制， 实现对网络系统进行自动的入侵检测和分析，对非法信息予以过滤，提高系统整体安全性。入侵防御技术高度融合高性能、高安全性、高可靠性和易操作性等特性，带来了深度攻击防御和应用带宽保护的完美价值体验。通过入侵防护系统可以实时、主动拦截黑客攻击、 网络病毒等恶意流量， 保护信息系统和网络架构免受侵害，防止操作系统和应用程序损坏或宕机， IPS 可以深入到路由、

26、防火墙模块和应用层，快速扫描流量， 它可以利用其上千种攻击特征数据库， 识别和分析外部的攻击，并实时报警和记录， 同时可以对上百种入侵和攻击进行主动防护。 此外，还可以对 MSN、Skype、 Yahoo Message 等即时消息进行阻断，允许用户对 BT、kazza 等 P2P多点共享协议软件进行阻断。5.1.4.2.部署方式及说明IPS 串行部署在网络主干链路上，用于安全域边界的入侵防护，可以采用透明工作模式，工作口不需要配置 ip ，不影响网络路由结构。管理中心安装在专用管理服务器中， 实现 IPS 设备统一的控制管理、 监控告警、日志收集和定制报表等功能。由于 IPS 串行于主干线上

27、所以双机部署。5.1.5.入侵检测5.1.5.1.部署目的互联网当前正处于高速的发展态势， 随之而来的攻击、 病毒、威胁也是日新月异，面对日益加剧的安全形式需要一套能够实时检测攻击、 预警、响应的工具。通过部署入侵检测系统可以起到以下目的：（1）入侵检测网络入侵检测系统（ IDS）可以实现对黑客攻击（缓冲区溢出、SQL 注入、暴力猜测、拒绝服务、扫描探测、非授权访问等）、蠕虫病毒、木马后门、间谍软件、僵尸网络等进行实时检测及报警。（2）流量分析网络入侵检测系统（ IDS）对网络进行流量分析，实时统计出当前网络中的各种报文流量； IDS 能够帮助管理员对付网络攻击，最大限度地减少攻击可能给用户造

28、成的损失，从而进一步提高了单位信息安全基础结构的完整性。（3）行为监控IDS 系统会对网络流量进行监控，对严重滥用网络资源的事件提供告警和记录。5.1.5.2.部署方式及说明网络入侵检测系统 （ IDS）由于涉及到数据的存储和处理， 所以，多采用 C/S 的部署方式，一般分为“引擎”和“控制台（兼数据中心） ”两部分：（1）IDS 引擎：IDS 引擎接入核心交换机的镜像端口，以监听相应网络的网络流量，IDS 引擎工作口无需配置ip ，另需配置一个管理ip 地址；（2）IDS 控制台（兼数据中心）：在与引擎管理 IP 地址联通的安全管理安全域，部署1 台服务器，安装IDS控制台软件，以便存储、分

29、析IDS 引擎的检测数据，并管控IDS 引擎。控制台可挂接存储设备（如NAS存储）。5.1.6.安全审计5.1.6.1.部署目的安全审计系统综合了网络安全审计和数据库安全审计2 大功能。网络审计系统针对业务环境下的网络操作行为进行细粒度审计的合规性管理系统。通过对业务人员访问系统的行为进行解析、分析、记录、汇报，以帮助用户事前规划预防、事中实时监视、违规行为响应、事后合规报告、事故追踪溯源，加强内外部网络行为监管、促进核心资产（数据库、服务器、网络设备等）的正常运营。数据库安全审计系统是通过网络数据的采集、 分析、识别，实时监控网络中数据库的所有访问操作， 同时支持自定义内容关键字库， 实现数

30、据库操作的内容监测识别，发现各种违规数据库操作行为，及时报警响应、全过程操作还原，从而实现安全事件的准确全程跟踪定位，全面保障数据库系统安全。5.1.6.2.部署方式及说明数据库安全域接入交换机旁路，部署 1 台安全审计系统， 审计引擎需要接入交换机的镜像端口，工作口不需要配置ip，不影响网络路由结构，更不影响网络性能；管理口接入安全管理域交换机，需配置1 个ip用来进行管理。5.1.7.防病毒5.1.7.1.部署目的目前计算机病毒的发展日益猖獗，防病毒发展更趋向于集中式管理、分布式杀毒的架构，对局域网进行远程集中式安全管理，可通过账号和口令设置控制移动控制台的使用， 并且先进的分布技术， 利

31、用本地资源和本地杀毒引擎，对本地节点的所有文件进行全面、及时、高效的查杀病毒，同时保障用户的隐私，减少了网络传输的负载， 避免因大量传输文件而引起的网络拥塞。部署上以服务器为中心，进行网络杀毒的管理，这种方式与网络拓扑结构融合，管理更加方便。5.1.7.2.部署方式及说明在安全管理区部署杀毒软件管控中心服务器，在网内终端部署杀毒软件客户端，通过服务器端对终端的全面管理、制定病毒查杀策略。5.2.安全运维管理5.2.1.漏洞扫描漏洞扫描系统主要用来定期检查系统内网络设备、终端系统、服务器系统、安全设备以及数据库等系统重要资产的脆弱性情况，针对主干系统的特点， 建议将漏洞扫描部署在标清和高清业务支

32、撑平台各自的安全管理区内，实现对各自业务支撑平台定期的漏洞扫描， 同时，漏洞扫描的结果将提交给安全管理与综合审计平台，成为风险分析的重要数据来源。漏洞扫描系统是基于网络的脆弱性分析、评估和综合管理系统， 漏洞扫描系统能够快速发现网络资产， 准确识别资产属性、 全面扫描安全漏洞， 清晰定性安全风险，给出修复建议和预防措施，并对风险控制策略进行有效审核，从而在弱点全面评估的基础上实现安全自主掌控。5.2.2.安全管理平台安全管理平台系统是一个面向全网 IT 资源的集中安全管理平台。通过对网络中各类 IT 资源的安全域划分，以及海量异构网络与安全事件的采集、处理和分析，面向业务信息系统建立一套可度量

33、的风险模型， 使得各级管理员能够实现全网的资产运行监控、事件分析与审计、风险评估与度量、预警与响应、态势分析，并借助标准化的流程管理实现持续的安全运营。系统的主要功能包括：（1）网络运行监控系统能够对全网的各类网络设备、安全设备、主机、数据库、应用系统等实时、细粒度的运行监控， 及时发现网络中的可用性故障， 并进行故障定位和告警响应，确保重要业务信息系统的可用性和业务连续性。系统能够形象地展示出用户的网络拓扑，并动态展示拓扑节点的运行状态，还能够根据用户管理的组织和部门结构在地图上展示出设备或者设备组的地理位置。（2）事件及流量管理系统能够采集全网中各类网络设备、安全设备、主机、数据库、应用系

34、统等的日志、告警和事件，并对这些信息进行范式化、过滤、归并，形成统一的事件格式，包括统一事件严重等级、 统一事件类型和名称等， 使得管理员能够在系统的管理控制台上方便地浏览所有安全事件， 并确保信息的一致性。 针对所有安全事件，系统能够通过事件关联分析引擎进行多种事件关联分析，包括规则关联、漏洞管理、统计关联，等等。（3）脆弱性管理系统支持将各类第三方漏洞扫描、 应用扫描和人工评估的漏洞信息整合到一起，形成基于资产和业务的漏洞信息库， 并计算资产和业务的脆弱性。 系统能够对新发现的漏洞信息进行预警通告。（4）响应管理系统具备完善的响应管理功能， 能够根据用户设定的各种触发条件， 通过多种方式（

35、例如邮件、声音、 SNMPTrap 等）通知用户，并触发可以自定义的响应处理流程，直至跟踪到问题处理完毕，从而实现安全事件的闭环管理。系统支持设备控制脚本， 允许管理员自动对设备进行操作控制， 及时阻断攻击源。系统内置工作流引擎，能够进行响应处理流程的自定义。（5）知识管理系统具有完善的安全管理知识库系统，内容涵盖安全事件库、安全策略库、安全公告库、预警信息库、漏洞库、关联规则库、处理预案库、工作流程库、案例库、报表库等，并提供定期或者不定期的知识库升级服务。（6）信息展示系统为客户提供了多样化的信息展示方式。包括：整合网络的可视化视图、具体应用服务的运行细粒度视图、 基于规则的安全事件交叉视

36、图、 基于资产及安全域的风险视图，等等。（7）报表报告系统具备实时和调度报表功能， 能够根据各种统计条件实时动态地产生丰富的统计报表，也可以根据客户自定义的调度计划定期自动生成报表报告。 系统支持客户自定义报表功能，能够生成各类客户化的报表报告。5.2.3.堡垒机堡垒机是针对业务环境下的用户运维操作进行控制和审计的合规性管控系统。它通过对自然人身份以及资源、资源账号的集中管理建立“自然人资源资源账号”对应关系，实现自然人对资源的统一授权，同时，对授权人员的运维操作进行记录、分析、展现，以帮助内控工作事前规划预防、事中实时监控、违规行为响应、事后合规报告、事故追踪回放，加强内部业务操作行为监管、

37、避免核心资产（服务器、网络设备、安全设备等）损失、保障业务系统的正常运营。5.2.4.身份认证系统构建 XX数据中心重要安全基础是身份安全和权限安全，门户及其业务系统在强身份认证、数字签名保护、用户身份数据的统一、授权的集中、单点登录认证、安全审计等方面的整合深度不够，将会导致很多安全隐患，不能满足目前及未来业务发展的要求。 基于 PKI 技术的电子认证与电子签名技术，作为建设以身份认证、责任认定为主要内容的网络信任体系的重要解决方案，从而全面提XX数据中心平台的可信运营能力。6. 产品列表产品型号数量抗 dos天清 ADM清洗设备 ADM-GUARD-26002防火墙天清汉马 USG-FW-1000DP3Web应用防火墙WAG510 Web应用防火墙1安全审计天玥 GE1500ER审计引擎1IDS天阗 NT3000-LT-B1IPS天清 NGIPS5000-S2（添加防病毒模块）堡垒机天玥 OSM-3300堡垒机1漏洞扫描天镜 CSNS-S-H2S1安全管理平台TSOC-USM泰合信息安全运营中心系统1防病毒身份认证