XX信息安全等级保护整改v2.docVIP

建设方案设计 总体安全体系设计 网络安全系统是整体的、动态的。网络安全系统符合MPDRR模型（M-management，P-protect，D-detection，R1-response，R2-recovery），因此，要真正实现一个系统的安全，就需要建立一个从保护、检测、响应到恢复的一套全方位的安全保障体系。 我们提供的安全整改方案正是基于信息系统安全等级保护要求及MPDRR模型构建的，符合网络安全系统整体性和动态性的特点。它集各种安全技术产品和安全管理措施于一体，将多种网络安全技术和安全管理体系有机集成，实现安全产品之间的互通与联动，是一个统一的、可扩展的安全体系平台。 整改技术总体方案设计 防火墙设计方案 防火墙的作用 防火墙作为网络安全的核心部件，放置在服务器区出口，通过区域的合理划分和设置有效的安全策略，实现以下的作用： 将网络区域合理隔开，避免信息外泄。 通过控制对关键服务器的授权访问控制，拦截非法访问 对外网的服务请求加以过滤，只允许正常通讯的数据包到达相应主机，对于各攻击包和探测包一律加以拦截。 对内部用户访问外网而引入的安全风险加以防范，加强内部用户的出网管理和审计。 控制和监测用户源服务器的访问，对于非授权访问和可疑存取及时报警。 拦截来自网络内攻击及异常数据。 防火墙的功能功能模块说明 功能指标 序号 功能项 描 述 数据包过滤 对通过防火墙的数据进行检测、过滤。 地址转换 提供双向的地址转换。 智能防御 系统自动统计、分析通过防火墙的各种连接数据，探测出攻击者，立即断开与该主机的任何连接，并采取将其IP地址列入黑名单等措施，保护内网所有主机的安全。 支持会话状态检测 支持会话状态检测功能，能根据会话状态信息（包括数据包的源地址、目的地址、源端口号、目的端口号、协议、出入的接口、会话序列号、发出信息的主机名等信息，并应支持地址通配符的使用），为数据流提供明确的允许/拒绝访问的能力。 智能会话终止功能 具备智能会话终止功能，能在会话处于非活跃一定时间或会话结束后终止网络连接。 自动反扫描 本系统在内核设计中引入自动反扫描机制，以最快的速度发现扫描器，即时断开其连接，并将该IP地址列入黑名单，在一定时间（约三分钟）内，该主机无法再对防火墙系统和防火墙保护的内网进行任何访问。 零积累DDoS智能识别防御 不但能有效识别、吸收各种SYN攻击包，而且彻底解决了积累问题，能有效抵挡50M带宽以上的Synflood变更IP型攻击包。 防变种DDoS攻击 能分析出各种基于DDoS原理的变种攻击包，自动进行有效防御。 蜜罐（攻击陷阱）功能 蜜罐能虚拟WWW、FTP、SMTP、TELNET等网络服务，误导黑客对其进行攻击，同时对黑客的整个攻击过程进行监听、记录，为进一步对黑客的追踪、取证提供了有力的线索和证据，这样，黑客在攻击真正目标前已提前落网。 支持TCP标志位检测 通过对TCP标志位（如SYN、ACK等标志位）的检测，可以判别出连接的发起方，分辨出该连接是由内网发起，还是由外网发起的，防止外网黑客通过低端常用服务端口向内网主机的高端口发起连接，从而攻击内部主机。 支持多种身份认证方式 具有基于密码技术的管理员身份认证技术和一次性口令身份认证技术；支持多种用户认证方式，支持RADIUS／RADIUS＋远程访问认证、数字证书（CA）、TACACS/TACACS+，SECUREID、PKI、PAP口令认证、CHAP、口令方式、数字证书等当前各种常用的身份认证协议。 支持RADIUS认证 防火墙可以和现有的RADIUS认证服务器接口，实现出网认证。内网用户通过防火墙配套客户端认证软件，与防火墙握手通讯，向防火墙提交认证信息，防火墙通过Radius协议访问第三方认证服务器，检验用户的口令，并确认用户的访问权限。 基于时间的控制策略 根据不同的时间段设置不同的安全策略，在节约资源的同时并减少安全风险。 支持远程集中管理 可在不同的地点、不同的操作系统对防火墙进行配置集中管理。防火墙通过数字证书认证、管理主机地址认证、端口控制钥匙等完善的认证措施与管理信息的加密传输，实现全局防火墙设备的集中管理。实现统一的安全策略部署，保证各环节安全策略的一致性，提供了整个系统的安全强度。防火墙支持命令行进行远程管理，对于远程管理，提供基于SSL的管理员身份鉴别和管理信息加密，具备SSL加速功能，并支持集中管理（包括拓扑发现、状态监控、统一安全策略管理、报表式日志审计）。 支持对多种应用层协议控制 应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制。 文件下载类型限制 系统能对管理员设定的文件类型的下载和传输进行拦截，