門戶網站安全解決方案

概述

門戶網站、網廳等Web網站是(shì)運營商與客戶溝通的(de)便捷通道(dào)，也(yě)是(shì)客戶辦理/使用相關業務的(de)前端平台，還有一(yī / yì ／yí)些基于(yú)Web網站的(de)業務平台，更是(shì)業務穩定運營的(de)關鍵設施。這(zhè)些Web網站一(yī / yì ／yí)旦受到(dào)侵害将直接影響運營商的(de)品牌形象、信譽以(yǐ)及日常業務運營。 由于(yú)Web應用的(de)開放性、用戶的(de)大(dà)衆性，使其成爲(wéi / wèi)最佳的(de)攻擊和(hé / huò)威脅目标。随着web應用中間件和(hé / huò)應用平台的(de)新漏洞/弱點被發現，針對性的(de)病毒、木馬、蠕蟲及自動化的(de)攻擊工具往往會很快出(chū)現，進而(ér)出(chū)現一(yī / yì ／yí)波又一(yī / yì ／yí)波Web攻擊浪潮，導緻服務器被控制、Web服務中斷、客戶信息被竊取、業務欺詐的(de)事件的(de)發生。同時(shí)，由于(yú)XSS、CSRF、Cookie竊取等攻擊導緻合法用戶的(de)客戶端被控制、信息被竊取、被欺詐、被敲詐等事件發生，造成巨大(dà)的(de)不(bù)良社會影響。 随着業務的(de)發展，Web架構越來(lái)越複雜，使用的(de)應用關鍵和(hé / huò)技術越來(lái)越多，對其安全防護的(de)難度越來(lái)越大(dà)，與此同時(shí)，行業監管越來(lái)越嚴，懲治力度不(bù)斷加大(dà)，使運維、管理人(rén)員面臨着嚴峻的(de)挑戰。

安全解決方案

方案組成

本方案針對Web威脅的(de)特點，從Web應用生命周期的(de)角度出(chū)發，重點覆蓋了(le／liǎo)系統開發、測試和(hé / huò)運行等環節，從事前、事中、事後等風險管理角度出(chū)發，采用内、外的(de)結合的(de)防護手段，建立了(le／liǎo)主動、縱深、多層面的(de)安全保障體系，可以(yǐ)有效保護web應用的(de)安全性，降低系統面臨的(de)風險。 安全防護方案組成如下：

方案價值

保障網站服務的(de)安全、可靠運行，提高客戶滿意度； 及時(shí)感知Web運營狀态，提升用戶訪問體驗； 大(dà)幅提高防護效果，有效抵禦各種攻擊，從而(ér)解決安全成本； 滿足來(lái)自監管部門的(de)合規性要(yào / yāo)求； 提供安全攻擊證據，震懾非法攻擊者； 減少安全人(rén)員負擔，提高安全運維效率； 維護和(hé / huò)提升公司的(de)品牌形象和(hé / huò)商業信譽。

方案特點和(hé / huò)優勢

對安全漏洞

弱點進行管理，防患于(yú)未然，降至安全成本； 通過代碼審計，最大(dà)限度的(de)發現系統存在(zài)的(de)安全漏洞/弱點，提早修補，降低成本。同時(shí)，通過傳遞安全開發知識， 減少開發實現中的(de)漏洞。 通過Web漏洞掃描系統，實現已知漏洞的(de)自動化檢查，降低人(rén)員投入。 通過安全設備的(de)早期預警服務，及時(shí)對新發現漏洞的(de)有效管理。

立體的(de)安全防護體系，高針對性的(de)防護措施

有效抵禦SYN Flood、UDP Flood、UDP DNS Query Flood、(M)Stream Flood、ICMP Flood等攻擊，并實現對網絡流量的(de)清洗。 同時(shí)，通過Web應用防火牆，對各種web應用攻擊進行防護，對HTTP/HTTPS訪問流量進行清洗； 通過集成了(le／liǎo)傳統防火牆、入侵檢測防護、防病毒功能的(de)下一(yī / yì ／yí)代防火牆，對已知的(de)各種攻擊、惡意代碼進行防護，并通過防火牆測試，實現對Web訪問的(de)嚴格控制。

有效地(dì / de)監控、備份與恢複措施，徹底保障網站的(de)完整性 在(zài)Web服務器上(shàng)部署基于(yú)主機的(de)Web防護系統，有效檢測和(hé / huò)阻斷各種web網頁、圖片、程序等資源的(de)篡改攻擊； 對網站内容進行備份，一(yī / yì ／yí)旦檢測到(dào)系統完整性受損，可以(yǐ)自動化進行系統恢複。

7*24小時(shí)外部安全監控和(hé / huò)一(yī / yì ／yí)流的(de)外部專家支持 7*24小時(shí)對系統進行漏洞檢查、挂馬檢查、網頁篡改檢測、内容檢查，及時(shí)洞察系統的(de)安全态勢； 在(zài)全國(guó)範圍内，模拟用戶對系統進行訪問平穩度、可用性檢測，保障用戶體驗。 一(yī / yì ／yí)流的(de)安全專家支持，協助用戶處理各種疑難雜症。

防護措施間的(de)關聯互動，大(dà)幅提升防護效果 網站安全檢測服務或Web漏洞掃描系統與Web應用防火牆進行聯動，一(yī / yì ／yí)旦發現問題，自動化啓動相應的(de)防護策略。 虛拟補丁技術提升了(le／liǎo)安全防護水平，規避了(le／liǎo)補丁管理中的(de)各種問題。

全面的(de)網站健康檢查，防止帶病上(shàng)崗、帶病投保； 上(shàng)線前評估和(hé / huò)滲透測試，發現系統存在(zài)的(de)結構性問題、集成性問題、安全配置問題，以(yǐ)及各種潛在(zài)的(de)業務邏輯錯誤，并進行全面的(de)安全加固，防止帶病上(shàng)崗。 通過安全檢查，評估系統是(shì)否已經受到(dào)了(le／liǎo)侵害，是(shì)否含有惡意代碼，防止帶病投保。 通過Web安全掃描系統，對新版系統進行檢查，防止引入新漏洞。

可靠的(de)安全審計措施，可供事件追溯和(hé / huò)取證。 對Web網站的(de)不(bù)良内容進行安全檢測； 對各種用戶的(de)Web訪問行爲(wéi / wèi)進行審計，并通過行爲(wéi / wèi)基線，自動化發現各種潛在(zài)一(yī / yì ／yí)場行爲(wéi / wèi)； 對重要(yào / yāo)的(de)數據庫操作行爲(wéi / wèi)進行審計，發現各種非法行爲(wéi / wèi)。 對各種攻擊行爲(wéi / wèi)進行審計，便于(yú)進行事件追溯和(hé / huò)定位，對事件處理提供有效支持。 支持法律取證。

統一(yī / yì ／yí)安全管理 統一(yī / yì ／yí)設備與日志管理平台，提供可視化的(de)安全管理界面； 對安全設備的(de)策略的(de)統一(yī / yì ／yí)管理和(hé / huò)下發； 對日志數據的(de)統一(yī / yì ／yí)存儲，便于(yú)進行各種統計分析； 提供豐富的(de)報告分析； 降低企業安全運維成本.

内網準入解決方案

對企業而(ér)言最大(dà)的(de)變革是(shì)企業經營和(hé / huò)管理方式的(de)變革，信息化革命深刻影響着企業的(de)經營方式，任何一(yī / yì ／yí)個(gè)企業都離不(bù)開這(zhè)種變革，必須把信息化建設當成企業獲取競争優勢的(de)最終選擇。因此，企業集團對信息技術的(de)依賴程度越來(lái)越大(dà)，信息技術風險成爲(wéi / wèi)了(le／liǎo)企業集團運營中所要(yào / yāo)考慮的(de)重要(yào / yāo)方面。

面臨的(de)挑戰

用戶信息未知：企業集團辦公、生産大(dà)多較爲(wéi / wèi)分散，人(rén)員複雜，随意或不(bù)受限制接入網絡現象頻發,内部用戶信息缺乏有效登記手段，人(rén)員審計困難。
終端位置未知：企業内網終端數量、終端類型、終端分布情況複雜，管理者無法對時(shí)間進行事件定位；
資産信息未知：企業信息資産的(de)數量随着企業不(bù)斷發展大(dà)量增加，如何對這(zhè)些大(dà)量的(de)信息資産進行有效的(de)管理，是(shì)企業集團安全管理面臨的(de)巨大(dà)挑戰；
數據洩露風險：内網數據信息可通過移動介質外傳，容易發生信息洩密事件。
終端安全風險：終端系統自身安全性會嚴重影響内網安全，如病毒傳播、系統漏洞、弱口令破解等。

内網準入解決方案

用戶信息登記：采用豐富的(de)實名制入網模式，内部、外部、臨時(shí)用戶分别進行人(rén)性化的(de)入網注冊登記，并結合管理員審核、審批，确保内網用戶安全可靠。
網絡安全透視：盈高科技産品提供衛星地(dì / de)圖般的(de)設備搜索和(hé / huò)定位方式，使網絡中的(de)各種設備狀态不(bù)再是(shì)孤立的(de)展現，而(ér)是(shì)作爲(wéi / wèi)一(yī / yì ／yí)個(gè)整體進行把控。
資産安全管控：全面收集内網軟硬件資産，全方位監控、展示資産變動情況，提升管理部門對信息設備相關信息資産的(de)統計管理能力。 移動介質加密：人(rén)性化的(de)移動介質注冊、審核機制，硬件級的(de)安全加密技術，靈活的(de)策略控制，在(zài)不(bù)影響用戶安全使用的(de)前提下确保數據無從洩露。
終端安全加固：通過對網内終端的(de)安全狀況量化，并提供“一(yī / yì ／yí)鍵式”智能修複功能對有潛在(zài)安全風險的(de)終端進行強制隔離和(hé / huò)引導修複，從根本上(shàng)杜絕安全隐患。

方案價值

1、對外來(lái)人(rén)員進行有效的(de)管理，防止其接入單位網絡訪問重要(yào / yāo)的(de)服務器，竊取單位的(de)重要(yào / yāo)資料；另外，内網安全事件發生時(shí)，可追溯至責任人(rén)。
2、提高運維工作效率，精确定位故障點，及時(shí)排查問題，成爲(wéi / wèi)管理人(rén)員提高管理效率的(de)有效手段；
3、規範移動存儲設備的(de)安全使用，明确工作U盤和(hé / huò)私人(rén)U盤的(de)使用界限，減少文檔流失和(hé / huò)病毒的(de)進入；
4、提高終端設備的(de)安全性和(hé / huò)穩定性，減少漏洞攻擊事件的(de)發生，避免系統漏洞、惡意軟件引發的(de)安全事件；
5、有效地(dì / de)對公司終端的(de)it資産和(hé / huò)軟件資産進行審計，當發生變化時(shí)及時(shí)進行報警；

超融合架構解決方案

超融合架構解決方案概述

超融合架構解決方案，融合了(le／liǎo)：計算、網絡、存儲和(hé / huò)安全四大(dà)模塊，通過全虛拟化的(de)方式構建IT架構資源池。所有的(de)模塊資源均可以(yǐ)按需部署，靈活調度，動态擴展。通過超融合一(yī / yì ／yí)體機或者超融合操作系統能夠在(zài)最短的(de)時(shí)間内，充分利舊現有硬件基礎架構，将業務系統安全、穩定、高效的(de)遷移到(dào)超融合平台中，并且爲(wéi / wèi)後期邁向私有雲平台奠定基礎，從而(ér)能夠實現多租戶的(de)管理及計費審計等功能。

超融合架構解決方案軟件架構主要(yào / yāo)包含三大(dà)組件（服務器虛拟化aSV、網絡虛拟化aNet、存儲虛拟化aSAN）和(hé / huò)一(yī / yì ／yí)個(gè)管理平台（虛拟化管理平台VMP）。硬件架構上(shàng)，可以(yǐ)通過一(yī / yì ／yí)體機的(de)方式實現開機即用，也(yě)可以(yǐ)采用通用X86服務器實現基礎架構的(de)承載。配合傳統的(de)園區網交換機（背闆帶寬和(hé / huò)交換容量夠用即可）即可完成整個(gè)平台的(de)搭建，無需各種功能複雜、價格昂貴的(de)數據中心級交換機。

超融合架構層

超融合架構層以(yǐ)服務器虛拟化爲(wéi / wèi)底層架構，擴展出(chū)網絡虛拟化和(hé / huò)存儲虛拟化，通過所畫即所得的(de)方式能夠快速的(de)構建出(chū)業務邏輯，實現虛拟資源的(de)動态調度和(hé / huò)靈活擴展，同時(shí)全網流量可視，配置簡易直觀，運維靈活便捷

服務器虛拟化（aSV）

aSV虛拟化平台作爲(wéi / wèi)介于(yú)硬件和(hé / huò)操作系統之(zhī)間的(de)軟件層，采用裸金屬架構的(de)X86虛拟化技術，實現對服務器物理資源的(de)抽象，将CPU、内存、I/O等服務器物理資源轉化爲(wéi / wèi)一(yī / yì ／yí)組可統一(yī / yì ／yí)管理、調度和(hé / huò)分配的(de)邏輯資源，并基于(yú)這(zhè)些邏輯資源在(zài)單個(gè)物理服務器上(shàng)構建多個(gè)同時(shí)運行、相互隔離的(de)虛拟機執行環境，實現更高的(de)資源利用率，同時(shí)滿足應用更加靈活的(de)資源動态分配需求，譬如提供熱遷移、HA等高可用特性，實現更低的(de)運營成本、更高的(de)靈活性和(hé / huò)更快速的(de)業務響應速度。

網絡虛拟化（aNET）

網絡虛拟化aNet，通過提供全新的(de)網絡運營方式，解決了(le／liǎo)傳統硬件網絡的(de)衆多管理和(hé / huò)運維難題，并且幫助數據中心操作員将敏捷性和(hé / huò)經濟性提高若幹數量級。 深信服網絡虛拟化aNet方案通過和(hé / huò)服務器虛拟化aSV相結合，在(zài)虛拟機和(hé / huò)物理網絡之(zhī)間，提供了(le／liǎo)一(yī / yì ／yí)整套完整的(de)邏輯網絡設備、連接和(hé / huò)服務，包括分布式虛拟交換機aSwitch、虛拟路由器aRouter、虛拟下一(yī / yì ／yí)代防火牆vNGAF、虛拟應用交付vAD、虛拟vSSL VPN、虛拟廣域網優化vWOC等虛拟網絡、安全設備；然後，還可以(yǐ)支持VXLAN等增強網絡協議，實現和(hé / huò)物理網絡的(de)無縫對接，簡化網絡的(de)配置管理；此外，還可以(yǐ)通過虛拟化管理平台，實現網絡拓撲部署、網絡故障探測等網絡管理功能。
從而(ér)，aNet虛拟網絡可以(yǐ)快速完成不(bù)同應用系統的(de)網絡部署，網絡配置的(de)自動化調整，網絡故障排查等工作，提升網絡的(de)管理運維效率，提升網絡就(jiù)緒、擴展速度，降低數據中心物理網絡的(de)建設成本。

存儲虛拟化（aSAN）

深信服存儲虛拟化aSAN，基于(yú)集群設計，将服務器上(shàng)的(de)硬盤存儲空間組織起來(lái)形成一(yī / yì ／yí)個(gè)統一(yī / yì ／yí)的(de)虛拟共享存儲資源池，即ServerSAN分布式存儲系統，進行數據的(de)高可靠、高性能存儲。分布式存儲系統在(zài)功能上(shàng)與獨立共享存儲完全一(yī / yì ／yí)緻；一(yī / yì ／yí)份數據會同時(shí)存儲在(zài)多個(gè)不(bù)同的(de)物理服務器硬盤上(shàng)，提升數據可靠性；此外，再通過SSD緩存，可以(yǐ)大(dà)幅提升服務器硬盤的(de)IO性能，實現高性能存儲。同時(shí)，由于(yú)存儲與計算完全融合在(zài)一(yī / yì ／yí)個(gè)硬件平台上(shàng)，用戶無需像以(yǐ)往那樣購買連接計算服務器和(hé / huò)存儲設備的(de)SAN網絡設備（FC SAN或者iSCSI SAN）。

網絡功能虛拟化（NFV）

當前軟件定義網絡成爲(wéi / wèi)了(le／liǎo)技術發展的(de)趨勢，深信服也(yě)率先在(zài)國(guó)内推出(chū)全系列的(de)數據中心安全、優化産品（NGAF下一(yī / yì ／yí)代防火牆、SSL VPN、AD應用交付、WOC廣域網優化）軟件虛拟化解決方案。這(zhè)些過去需要(yào / yāo)以(yǐ)專用硬件方式部署的(de)産品，不(bù)再需要(yào / yāo)依賴專用的(de)硬件，可以(yǐ)以(yǐ)軟件鏡像的(de)方式，完美支持在(zài)Vmware、KVM、XEN等服務器虛拟化環境下的(de)部署。從而(ér)極大(dà)的(de)簡化政務雲數據中心網絡的(de)架構，爲(wéi / wèi)各個(gè)租戶的(de)虛拟應用按需、靈活的(de)虛拟擴展出(chū)各種安全和(hé / huò)優化方案，同時(shí)還便于(yú)劃分清楚各方的(de)運維職責。

深信服超融合架構的(de)優勢

1、提供更加完整的(de)IT基礎架構虛拟化方案，涵蓋網絡、安全、存儲、計算
2、管理運維更加便捷、簡單，零學習成本，讓IT架構所畫即所得
3、整體擁有成本更低，無需特殊、專用的(de)網絡、服務器設備即可實現
4、國(guó)産化，提供多樣、豐富的(de)L2-L7安全和(hé / huò)優化功能，更好的(de)滿足合規要(yào / yāo)求

超融合架構最佳實踐

超融合架構可以(yǐ)應用到(dào)數據中心涉及的(de)衆多業務系統的(de)領域，尤其是(shì)應用開發測試環境、新業務系統上(shàng)線和(hé / huò)非關鍵業務系統改造是(shì)特别适合部署超融合架構。

以(yǐ)下爲(wéi / wèi)深信服超融合架構的(de)三個(gè)實際應用案例分享  某汽車制造業
背景：應用開發部門每周至少要(yào / yāo)測試一(yī / yì ／yí)套業務系統，給網絡運維部門帶來(lái)很大(dà)的(de)工作量。每次測試都要(yào / yāo)改變網絡架構和(hé / huò)相應的(de)部署環境
解決之(zhī)道(dào)：在(zài)數據中心劃分了(le／liǎo)一(yī / yì ／yí)個(gè)獨立的(de)區域，用5台超融合一(yī / yì ／yí)體機，搭建了(le／liǎo)一(yī / yì ／yí)套專用的(de)測試環境。利用計算、網絡和(hé / huò)存儲虛拟化模拟出(chū)4個(gè)測試拓撲模闆，
超融合方案價值：其中模拟出(chū)一(yī / yì ／yí)個(gè)在(zài)隊列深度爲(wéi / wèi)1的(de)情況下實現了(le／liǎo)IOPS高達2萬的(de)模闆,測試上(shàng)線周期縮短，運維工作量減少，無需大(dà)量硬件支撐 

等保三級整改一(yī / yì ／yí)站式方案

等保整改方案五步走

1. 安全域劃分 做等級保護的(de)整改，第一(yī / yì ／yí)步一(yī / yì ／yí)定是(shì)要(yào / yāo)明确安全域。下面是(shì)經典安全域劃分方案： 業務服務器域：客戶的(de)業務服務器和(hé / huò)存儲的(de)安全區域 用戶終端域：用戶終端，一(yī / yì ／yí)些完全不(bù)重要(yào / yāo)的(de)服務器 安全管理域：安全管理中心，包括網管系統服務器啊，終端安全管理的(de)服務器等用來(lái)做網絡和(hé / huò)安全運維管理的(de)這(zhè)些設備 互聯網出(chū)口域：互聯網出(chū)口的(de)網絡和(hé / huò)安全設備
2. 互聯網出(chū)口 在(zài)互聯網出(chū)口部署防火牆、入侵防禦、病毒過濾、上(shàng)網行爲(wéi / wèi)管理、鏈路負載；
3. 安全域互訪隔離 所有的(de)安全域之(zhī)間必須通過防火牆才能互聯互通；
4. Web安全防護 web服務器前部署web防火牆；
5. 安全管理中心 在(zài)安全管理中心要(yào / yāo)有這(zhè)些東西：漏洞掃描系統、數據庫審計系統、終端安全管理系統、網管系統、應用性能管理系統、SSL VPN、防病毒系統、運維堡壘主機；
以(yǐ)上(shàng)五個(gè)步驟完成，設備整改完成。

疑難問題解答

是(shì)不(bù)是(shì)上(shàng)面這(zhè)些設備都部署，才能通過三級等保？ 回答：不(bù)是(shì)。上(shàng)面是(shì)比較理想的(de)情況，實際情況根據客戶預算和(hé / huò)客戶實際需求來(lái)進行，部署70-80%的(de)設備即可。

安全域隔離防火牆，很多客戶利用交換機的(de)ACL做，測評中心也(yě)認可。 回答：對。等保要(yào / yāo)求進行訪問控制，沒要(yào / yāo)求必須用防火牆，交換機ACL也(yě)是(shì)訪問控制手段，但用防火牆是(shì)最專業的(de)訪問控制設備，其專業性智能型運維容易程度都遠遠強于(yú)交換機ACL，而(ér)且交換機ACL損耗交換機性能嚴重，交換機是(shì)交換設備，不(bù)是(shì)專業的(de)安全設備。

是(shì)不(bù)是(shì)做了(le／liǎo)這(zhè)些就(jiù)可以(yǐ)通過等保測評了(le／liǎo)？ 回答：設備層面足夠了(le／liǎo)。還需要(yào / yāo)做一(yī / yì ／yí)些安全加固和(hé / huò)管理制度文檔整理。
安全加固指的(de)是(shì)把服務器、數據庫、網絡設備、安全設備、業務系統的(de)一(yī / yì ／yí)些安全策略調整到(dào)符合等保的(de)規定，比如你服務器密碼都是(shì)666，現在(zài)開啓服務器的(de)密碼強度要(yào / yāo)求這(zhè)個(gè)策略，就(jiù)是(shì)安全加固。文檔整理主要(yào / yāo)是(shì)安全管理制度，以(yǐ)及測評申請書。

了(le／liǎo)解到(dào)客戶情況後，怎麽給客戶做整改方案？ 回答：上(shàng)面整改五步走，每一(yī / yì ／yí)步都說(shuō)明了(le／liǎo)需要(yào / yāo)什麽，缺少的(de)設備就(jiù)是(shì)需要(yào / yāo)整改的(de)。安全加固和(hé / huò)安全制度是(shì)肯定需要(yào / yāo)整改的(de)。

雲計算安全解決方案

業務挑戰

目前，許多組織已經将業務系統遷移到(dào)雲平台上(shàng)，雲平台已經成爲(wéi / wèi)組織重要(yào / yāo)的(de)IT基礎設施。雲計算技術給傳統的(de)IT基礎設施、應用、數據以(yǐ)及運營管理都帶來(lái)了(le／liǎo)革命性改變，對于(yú)安全管理來(lái)說(shuō)，既是(shì)挑戰，也(yě)是(shì)機遇。首先，雲計算引入了(le／liǎo)新的(de)威脅和(hé / huò)風險，進而(ér)也(yě)影響和(hé / huò)打破了(le／liǎo)傳統的(de)信息安全保障體系設計、實現方法和(hé / huò)運維管理體系；其次，雲計算的(de)資源彈性、按需調配、高可靠性及資源集中化等都間接增強或有利于(yú)安全防護，同時(shí)也(yě)給安全措施改進和(hé / huò)升級、安全應用設計和(hé / huò)實現、安全運維和(hé / huò)管理等帶來(lái)了(le／liǎo)問題和(hé / huò)挑戰。 根據調研數據，雲計算安全風險是(shì)客戶所關注的(de)重點，雲計算安全已經成爲(wéi / wèi)組織規劃、設計、建設和(hé / huò)使用雲計算系統所急需解決的(de)重大(dà)問題之(zhī)一(yī / yì ／yí)。

解決方案

雲計算安全防護方案設計遵循以(yǐ)業務爲(wéi / wèi)中心，風險爲(wéi / wèi)導向的(de)，基于(yú)安全域的(de)縱深主動防護思想，綜合考慮雲平台安全威脅、需求特點和(hé / huò)相關要(yào / yāo)求，對安全防護體系架構、内容、實現機制及相關産品組件進行了(le／liǎo)優化設計。 雲計算安全方案主要(yào / yāo)由安全資源池、安全子(zǐ)平台、安全運營管理平台和(hé / huò)安全應用等組成。 安全資源池：支持物理安全設備、虛拟化安全設備、SaaS安全服務等各種安全資源，接受各安全子(zǐ)平台的(de)管理，對外提供相應的(de)安全能力。 安全運營管理平台：與安全子(zǐ)平台配合，提供安全産品開通、調度、服務編排，以(yǐ)及安全運維功能，并實現與雲管理平台和(hé / huò)SDN控制器的(de)對接。安全運營平台包含了(le／liǎo)雲安全運營的(de)一(yī / yì ／yí)些共性功能模塊和(hé / huò)一(yī / yì ／yí)些提供特定安全能力的(de)子(zǐ)平台。 安全子(zǐ)平台：管理安全資源，提供安全策略管理、配置管理、安全能力管理、安全日志管理等與特定安全應用密切相關的(de)功能。根據應用場景的(de)不(bù)同，可靈活配置和(hé / huò)擴展。 安全應用：基于(yú)安全子(zǐ)平台提供的(de)安全能力，提供管理、控制、分析、呈現功能的(de)組件。用戶可根據需要(yào / yāo)靈活選配。

方案亮點

适應性廣，安全功能多 支持VMWare、OpenStack雲平台，以(yǐ)及基于(yú)KVM、Xen的(de)各種定制化雲平台。同時(shí)，可以(yǐ)支持物理的(de)、虛拟化、SaaS化的(de)安全資源類型，提供多種安全能力。

模塊化架構，可靈活擴展 系統采用模塊化架構，根據應用場景和(hé / huò)需求的(de)不(bù)同，可以(yǐ)選擇和(hé / huò)部署相應的(de)安全資源、安全子(zǐ)平台、安全應用，滿足經濟性、合規性要(yào / yāo)求。

彈性資源，收放自如 通過資源池化技術、負載均衡技術、熱遷移技術，以(yǐ)及通過安全子(zǐ)平台的(de)能力，可以(yǐ)對外提供安全、彈性的(de)安全功能，自如的(de)進行擴容、縮容。

全程自動化，可快速部署 運用SDN、NFV技術，用戶通過安全運營平台可以(yǐ)按需、自助的(de)進行安全能力的(de)開通、安全APP的(de)下載、安裝和(hé / huò)使用。同時(shí)，可以(yǐ)根據業務需要(yào / yāo)，實現多種安全設備的(de)協同防護，抵禦各類安全攻擊事件。

安全策略的(de)動态跟随 對于(yú)雲計算系統安全域邊界的(de)動态變化，通過區域子(zǐ)網劃分、安全隔離、SDN、分布式交換等技術，可以(yǐ)做到(dào)邊界防護策略的(de)持續有效，保障雲平台的(de)安全。

應用場景 适用于(yú)私有雲、公有雲、混合雲等各類雲平台的(de)安全防護。既适用于(yú)原生服務器虛拟化、雲平台的(de)場景，也(yě)可以(yǐ)應用于(yú)采納SDN和(hé / huò)NFV技術的(de)軟件定義數據中心場景。

私有雲

構建私有雲

利用軟件定義的(de)數據中心體系結構構建和(hé / huò)運行基于(yú)虛拟化的(de)私有雲。交付虛拟化基礎架構服務以(yǐ)及高度可用的(de)應用和(hé / huò)服務。

超越服務器虛拟化

服務器虛拟化可在(zài)提高業務敏捷性的(de)同時(shí)，使 CAPEX 和(hé / huò) OPEX 成本削減 50%* 以(yǐ)上(shàng)。現在(zài)，您可以(yǐ)對數據中心的(de)其餘部分進行虛拟化，以(yǐ)使所有 IT 服務都能像虛拟機一(yī / yì ／yí)樣調配和(hé / huò)管理起來(lái)既經濟，又便捷。軟件定義的(de)數據中心體系結構可将抽象化、池化和(hé / huò)自動化延展到(dào)其餘的(de)數據中心資源，包括計算、網絡和(hé / huò)存儲。可以(yǐ)基于(yú)任意雲計算基礎架構部署您的(de)虛拟化基礎架構并實現跨平台管理。

高度可用的(de)應用和(hé / huò)服務

利用軟件定義的(de)數據中心 (SDDC) 體系結構，基于(yú) 超融合架構的(de)私有雲可爲(wéi / wèi)通過标準化和(hé / huò)整合的(de)數據中心實現高度可用的(de)應用和(hé / huò)服務奠定基礎。借助私有雲，還可實現安全、合規的(de) IT，對 IT 運維進行智能控制，以(yǐ)及快速調配應用并實現持續監管。

網絡信息安全整體解決方案

背景

随着近年來(lái)INTERNET接入的(de)普及和(hé / huò)寬帶的(de)增加，各行業分布全國(guó)乃至全球的(de)用戶群體，信息化應用系統對網絡的(de)依賴性也(yě)越來(lái)越強，業務對網絡的(de)依賴程度也(yě)越來(lái)越大(dà)，信息安全的(de)重要(yào / yāo)性也(yě)在(zài)不(bù)斷提升，用戶所面臨的(de)各種問題也(yě)變得越來(lái)越複雜，來(lái)自不(bù)同層面的(de)安全威脅也(yě)越來(lái)越多。如何确保網絡和(hé / huò)應用的(de)連續高可用、網絡安全防範、應用訪問安全分權接入、智能終端無縫接入、内部網絡高效管理、數據存儲的(de)完整和(hé / huò)高可用、運維操作的(de)管理，以(yǐ)及如何對數據庫系統的(de)訪問和(hé / huò)管理進行合理的(de)審計分析已經成爲(wéi / wèi)企業迫切需要(yào / yāo)關注的(de)問題。

解決方案

通過互聯網出(chū)口部署負載均衡設備解決鏈路流量分配不(bù)合理，對多條鏈路健康狀況實時(shí)監控和(hé / huò)智能負載；對所有應用系統實現持續監測健康狀态合理調度，一(yī / yì ／yí)旦服務系統集群内單台服務器故障實現智能切換到(dào)其他(tā)正常服務器系統上(shàng)，保證應用服務訪問的(de)持久穩定。

通過在(zài)互聯網出(chū)口、内部專線網絡入口、服務器區域等部署應用層防火牆，不(bù)僅能夠實現原有區域安全隔離的(de)效果，還能夠實現IPS入侵防禦、AV病毒防護、DOS/DDOS等安全功能；針對WEB應用的(de)WAF防護，能防止黑客利用web應用程序及各類B/S業務的(de)應用程序漏洞進行的(de)各種攻擊，實現雙向數據的(de)訪問過濾。桌面端部署網絡版防護軟件及數據加密管理系統，解決客戶最後一(yī / yì ／yí)公裏的(de)安全問題，确保企業内部數據的(de)安全可控。

通過在(zài)服務器區部署SSL VPN産品，将服務器與外界進行邏輯隔離，使所有來(lái)自外部的(de)訪問請求都經過SSL VPN的(de)認證才能安全接入訪問；在(zài)接入後進行嚴格的(de)控制訪問權限，使人(rén)員與資源相關聯，防止越權訪問。

通過部署專業的(de)存儲備份系統，對所有的(de)應用服務器采用網絡備份方式，通過局域網或專用的(de)備份局域網絡，對應用服務器的(de)數據進行備份，将數據通過備份服務器寫入到(dào)磁帶庫或磁盤陣列中，确保數據的(de)安全和(hé / huò)完整。

通過運維審計系統對企業内部的(de)主要(yào / yāo)信息系統、網絡系統等遠程運維操作進行綜合審計，針對核心數據資産的(de)違規訪問和(hé / huò)操作得到(dào)有效監管。 通過數據審計系統的(de)旁路監聽方式采集，分析處理，記錄數據庫服務器的(de)所有操作，提供監測報警策略設置、數據庫服務器負擔狀況統計分析、數據庫客戶端訪問操作統計分析以(yǐ)及數據庫客戶端訪問排名等功能，實現對數據庫服務器應用（包括數據庫系統操作，數據操作）的(de)實時(shí)監測、報警、記錄和(hé / huò)審計。

方案價值



實現了(le／liǎo)多台服務器（服務器集群）合理利用，爲(wéi / wèi)企業業務的(de)擴充和(hé / huò)系統規模的(de)提高創造有利的(de)條件。  實現了(le／liǎo)多條鏈路合理利用，另外豐富的(de)報表功能，提供鏈路負載統計、商業決策分析、穩定性統計報表等幫助企業了(le／liǎo)解鏈路使用情況，從而(ér)爲(wéi / wèi)企業提供網絡優化和(hé / huò)改造的(de)依據，爲(wéi / wèi)企業業務運營計劃，提供商業決策的(de)依據。



應用層防火牆多個(gè)安全功能模塊，多核并行處理技術保障，不(bù)僅能替代原有傳統防火牆的(de)所有功能，且穩定性好；特别針對應用層安全風險提供完整的(de)應用安全加固技術，幫助客戶實現全面的(de)安全防護，防護來(lái)自内外網的(de)各個(gè)層面的(de)安全風險。解決了(le／liǎo)用戶網絡安全管理難題，彌補了(le／liǎo)現有傳統安全體系針對應用層防護的(de)不(bù)足，有效阻止了(le／liǎo)來(lái)之(zhī)應用層的(de)各類攻擊，實現了(le／liǎo)廣域網流量清洗的(de)效果。



實現了(le／liǎo)“三合一(yī / yì ／yí)”的(de)WEB安全 事前，快速的(de)進行風險掃描，幫助用戶快速定位安全風險并智能更新防護策略； 事中，有效防止了(le／liǎo)引起網頁篡改問題、網頁挂馬問題、敏感信息洩漏問題、無法響應正常服務問題及“拖庫”、“暴庫”問題的(de)web攻擊、漏洞攻擊、系統掃描等攻擊； 事後，對服務器外發内容進行安全檢測，防止攻擊繞過安全防護體系，對Web業務産生的(de)網站篡改、數據洩漏問題。



實現了(le／liǎo)終端的(de)“主動防禦”，建立一(yī / yì ／yí)個(gè)覆蓋全網的(de)、可伸縮、抗打擊的(de)防病毒體系。  實現了(le／liǎo)數據内部安全傳輸，确保數據外發的(de)密級保護，建立一(yī / yì ／yí)個(gè)可控的(de)文件共享傳輸體系。  實現了(le／liǎo)精細的(de)應用控制，有效阻止内部敏感信息外發，并能提高員工工作效率；全面的(de)安全防護措施，過濾木馬惡意鏈接網址，強化分支辦公終端的(de)安全；細緻的(de)上(shàng)網行爲(wéi / wèi)審計，完全滿足公安部門的(de)監管要(yào / yāo)求；精确流量管控，合理的(de)記性流量分配；實用的(de)智能分析系統，爲(wéi / wèi)客戶決策出(chū)謀劃策。  實現了(le／liǎo)應用的(de)安全、快速、穩定的(de)業務接入訪問；便捷的(de)用戶體驗，降低了(le／liǎo)管理工作量，應用程序圖形化的(de)方式呈現于(yú)智能終端之(zhī)上(shàng)，實現輕松跨平台訪問，爲(wéi / wèi)多元化的(de)終端辦公提供了(le／liǎo)快速安全的(de)途徑。  實現了(le／liǎo)一(yī / yì ／yí)體化的(de)備份與恢複，可爲(wéi / wèi)各種複雜的(de)環境提供最全面的(de)備份與恢複，就(jiù)保護公司最寶貴的(de)資産數據而(ér)言，減少了(le／liǎo)其中的(de)複雜性及恢複的(de)時(shí)效性，确保了(le／liǎo)數據的(de)安全和(hé / huò)完整。  滿足IT運維合規性要(yào / yāo)求，順利通過IT審計；實現了(le／liǎo)對企業IT資源的(de)管理；實現了(le／liǎo)對IT用戶的(de)管理、對IT用戶的(de)授權管理；實現了(le／liǎo)對運維操作日志的(de)完整記錄；符合等級保護要(yào / yāo)求完善了(le／liǎo)國(guó)家法律法規的(de)要(yào / yāo)求。  實現了(le／liǎo)針對所有帳戶對數據庫訪問與操作的(de)全面監測審計；加強了(le／liǎo)對數據庫臨時(shí)帳戶的(de)審計監測；加強了(le／liǎo)針對重要(yào / yāo)敏感數據的(de)訪問的(de)審計監測；提供了(le／liǎo)詳細的(de)數據庫審計記錄及分類統計；實現了(le／liǎo)數據庫異常操作監測報警；彌補了(le／liǎo)數據庫系統内置日志審計的(de)缺陷。

等級保護測評服務介紹

等級保護概述

等級保護政策背景 等級保護是(shì)國(guó)家信息安全保障的(de)基本制度、基本策略、基本方針。開展信息安全等級保護工作是(shì)保護信息化發展、維護國(guó)家信息安全的(de)根本保障，是(shì)信息安全保障工作中國(guó)家意志的(de)體現。
通過将等級化方法和(hé / huò)安全體系方法有效結合，設計一(yī / yì ／yí)套等級化的(de)信息安全保障體系，是(shì)适合我國(guó)國(guó)情、系統化地(dì / de)解決大(dà)型組織信息安全問題的(de)一(yī / yì ／yí)個(gè)非常有效的(de)方法。 國(guó)家信息安全等級保護堅持自主定級、自主保護的(de)原則。信息系統的(de)安全保護等級應當根據信息系統在(zài)國(guó)家安全、經濟建設、社會生活中的(de)重要(yào / yāo)程度，信息系統遭到(dào)破壞後對國(guó)家安全、社會秩序、公共利益以(yǐ)及公民、法人(rén)和(hé / huò)其他(tā)組織的(de)合法權益的(de)危害程度等因素确定。
爲(wéi / wèi)進一(yī / yì ／yí)步貫徹落實《國(guó)家信息化領導小組關于(yú)加強信息安全保障工作的(de)意見》（中辦發[2003-27]号）、《關于(yú)信息安全等級保護工作的(de)實施意見》（公通字[2004]66号）、《信息安全等級保護管理辦法》（公通字[2007]43号）、《關于(yú)開展全國(guó)重要(yào / yāo)信息系統安全等級保護定級工作的(de)通知》（公信安[2007]861号）等文件的(de)精神，提高我國(guó)基礎信息網絡和(hé / huò)重要(yào / yāo)信息系統的(de)信息安全保護能力和(hé / huò)水平，自2007年開始，從國(guó)家層面開始推動我國(guó)的(de)政府、金融、電力、電信、交通等基礎行業在(zài)全國(guó)範圍内組織開展重要(yào / yāo)信息系統安全等級保護定級、備案、測評、整改工作。

等級保護涉及系統

根據等級保護相關政策要(yào / yāo)求，需要(yào / yāo)實施等級保護的(de)信息系統包括：
 黨政系統（黨委、政府）；
 金融系統（銀行、保險、證券）及财稅系統（财政、稅務、 工商）；
 經貿系統（商業貿易、海關）；
 電信系統（郵電、電信、廣播、電視）；
 能源系統（電力、熱力、燃氣、煤炭、油料）；
 交通運輸系統（航空、航天、鐵路、公路、水運、海運）；
 供水系統（水利及水源供給）；
 社會應急服務系統（醫療、消防、緊急救援）；
 教育科研系統（教育、科研、尖端科技）；
 國(guó)防建設系統；
 國(guó)有大(dà)中型企業系統；
 互聯單位、接入單位、重點網站及向公衆提供上(shàng)網服務場所的(de)計算機信息系統。

等級保護相關标準

我國(guó)現行等級保護工作主要(yào / yāo)相關标準如下：
《計算機信息系統安全保護等級劃分準則》（GB 17859-1999）
《信息系統安全等級保護定級指南》（GB/T 22240-2008）
《信息系統安全等級保護基本要(yào / yāo)求》（GB/T 22239-2008）
《信息系統安全等級保護實施指南》（GB/T 25058-2010）
《信息系統安全等級保護測評要(yào / yāo)求》（V2.0(送審稿)）
《信息安全技術 網絡基礎安全技術要(yào / yāo)求》（GB/T 20270-2006）
《信息安全技術 信息系統通用安全技術要(yào / yāo)求》（GB/T 20271-2006）
《信息安全技術 操作系統安全技術要(yào / yāo)求》（GB/T 20272-2006）
《信息安全技術 數據庫管理系統安全技術要(yào / yāo)求》（GB/T 20273-2006）
《信息安全技術 服務器技術要(yào / yāo)求》（GB/T 21028-2007）
《信息安全技術 終端計算機系統安全等級技術要(yào / yāo)求》（GA/T 671-2006）
《信息安全技術 信息系統安全管理要(yào / yāo)求》（GB/T 20269-2006）
《信息安全技術 信息系統安全工程管理要(yào / yāo)求》（GB/T 20282-2006）
《信息安全技術 信息安全事件分類分級指南》（GB/Z 20986-2007）
《涉及國(guó)家秘密的(de)計算機信息系統分級保護技術要(yào / yāo)求》 BMB 17-2006
《涉及國(guó)家秘密的(de)信息系統分級保護管理規範》 BMB 20-2007
《涉及國(guó)家秘密的(de)計算機信息系統分級保護測評指南》 BMB 22-2007
《涉及國(guó)家秘密的(de)計算機信息系統安全保密測評指南》 BMZ 3-2001

等級保護服務介紹

信息安全等級保護工作流程包括以(yǐ)下幾個(gè)階段：系統定級、系統備案、差距測評、系統整改、驗收測評、定期測評等階段。包含的(de)工作内容如下：
系統定級：信息系統運營使用單位按照《信息系統信息安全等級保護定級指南》，确定信息系統安全等級。有主管部門的(de)，報主管部門審核批準。
系統備案：已運營的(de)第二級以(yǐ)上(shàng)信息系統，在(zài)安全保護等級确定後30天内，由其運營、使用單位到(dào)所在(zài)地(dì / de)區的(de)市級以(yǐ)上(shàng)安全機關辦理備案手續。第三極以(yǐ)上(shàng)信息系統，還需要(yào / yāo)提供相關附件材料。相應安全機關審核通過後，由公安機關頒發系統等級保護備案證書。
差距測評：選擇有資質的(de)等級保護測評機構，進行差距測評，形成等級保護測評報告。
系統整改：根據測評結果，制訂整改方案，按照國(guó)家的(de)相關規範和(hé / huò)技術标準，使用符合國(guó)家相關規定，滿足系統等級需求産品，并調試及進行信息系統安全整改工作。（備注：一(yī / yì ／yí)般情況下，爲(wéi / wèi)保證系統整改的(de)效果，差距測評及系統整改兩個(gè)階段由同一(yī / yì ／yí)家公司完成）。
驗收測評：選擇第三方測評機構進行驗收測評，驗收合格後，系統運營、使用單位向地(dì / de)級以(yǐ)上(shàng)市公安機關提交測評報告，審核通過後，由公安機關頒發合格證書。 定期測評：定期選擇第三方測評機構進行測評。三級系統每年至少一(yī / yì ／yí)次，四級以(yǐ)上(shàng)系統每半年至少一(yī / yì ／yí)次。

等級保護測評實施流程

信息系統安全等級測評分爲(wéi / wèi)四個(gè)過程階段：測評準備過程、方案編制過程、測評實施過程、分析與報告編制過程。 具體測評實施流程圖如下所示：
一(yī / yì ／yí)、測評準備過程：主要(yào / yāo)是(shì)通過訪談的(de)方式了(le／liǎo)解被測系統的(de)基本情況，包括被測系統的(de)物理環境，網絡結構和(hé / huò)邊界，網絡設備，主機系統，應用系統等測評對象情況。
二、方案編制過程：根據被測系統的(de)定級報告和(hé / huò)系統自身的(de)情況确定測評指标和(hé / huò)對應的(de)測評實施内容、對測評實施中的(de)測試和(hé / huò)滲透測試項編制測試方案，細化測試點，測試工具，測試對象，測試方法，測試步驟，對現場測評的(de)總體計劃作出(chū)安排，根據上(shàng)述工作内容編制完成方案，然後測評雙方對測評方案進行确認、審核，并進一(yī / yì ／yí)步溝通和(hé / huò)協調以(yǐ)确定現場測評計劃。
三、測評實施過程：根據雙方确認的(de)測評方案到(dào)被測系統現場完成測評工作。現場測評工作涉及三類方法：訪談、檢查和(hé / huò)測試。訪談是(shì)我方測評人(rén)員通過與信息系統有關人(rén)員（個(gè)人(rén)/群體）進行交流、讨論等活動，獲取證據以(yǐ)證明信息系統安全防護措施是(shì)否有效。檢查是(shì)我方測評人(rén)員通過對測評對象進行觀察、查驗、分析等活動，獲取證據以(yǐ)證明信息系統安全防護措施是(shì)否有效。測試是(shì)我方測評人(rén)員使用預定的(de)方法及工具使測評對象産生特定的(de)行爲(wéi / wèi)，通過查看、分析這(zhè)些行爲(wéi / wèi)的(de)結果，獲取證據以(yǐ)證明信息系統安全防護措施是(shì)否有效。
四、分析與報告編制過程：在(zài)完成測評實施過程之(zhī)後，我方将根據現場測評的(de)記錄進行綜合測評分析，包括單項測評結果彙總分析，系統整體測評，系統風險分析和(hé / huò)評價，并最終給出(chū)差距分析和(hé / huò)整體建議。

等級保護測評内容

依據等級保護相關标準要(yào / yāo)求，對信息系統安全等級保護狀況進行測評評估，包括以(yǐ)下兩個(gè)方面的(de)内容： 一(yī / yì ／yí)、安全技術測評，包括物理、網絡、主機、數據及應用安全測評；
二、安全管理測評，包括安全管理機構、人(rén)員安全管理、安全管理制度、系統建設管理、系統運維管理測評。 如下圖所示：

等級保護系統整改

東軟将根據等級保護差距測評結果，制訂等級保護整改方案，按照國(guó)家的(de)相關規範和(hé / huò)技術标準，采取符合國(guó)家相關規定、滿足系統等級需求的(de)措施，進行信息系統安全整改工作。
3 等級保護服務客戶收益
 滿足國(guó)家信息安全等級保護相關政策與标準要(yào / yāo)求。
 實現信息系統等級化保護和(hé / huò)等級化管理。  解決原有咨詢服務重視問題發現和(hé / huò)提要(yào / yāo)求而(ér)
解決方案實施落實較弱的(de)模式。  提高企業業務系統信息安全防護能力。
 縮短從體系設計到(dào)體系實現的(de)過程，避免咨詢服務成果與安全建設脫節的(de)弊病。