1、專業資料XX 數據中心信息系統安全建設項目技術方案精心整理專業資料目錄1.項目概述.41.1.目標與范圍 .41.2.參照標準 .41.3.系統描述 .52.安全風險分析 .52.1.系統脆弱性分析 .52.2.安全威脅分析 .62.2.1.被動攻擊產生的威脅 .62.2.2.主動攻擊產生的威脅 .63.安全需求分析 .83.1.等級保護要求分析 .83.1.1.網絡安全 .83.1.2.主機安全 .93.1.3.應用安全 .103.2.安全需求總結 .114.整體安全設計 .124.1.安全域 .124.1.1.安全域劃分原則 .12精心整理專業資料4.1.2.安全域劃分設計144.2.安全

2、設備部署 .155.詳細安全設計 .165.1.網絡安全設計 .165.1.1.抗 DOS 設備 .165.1.2.防火墻 .175.1.3.WEB 應用安全網關 .185.1.4.入侵防御 .195.1.5.入侵檢測 .205.1.6.安全審計 .225.1.7.防病毒 .225.2.安全運維管理 .235.2.1.漏洞掃描 .235.2.2.安全管理平臺 .245.2.3.堡壘機 .266.產品列表.26精心整理專業資料1. 項目概述1.1. 目標與范圍本次數據中心的安全建設主要依據信息安全技術信息安全等級保護基本要求中的技術部分 ，從網絡安全 ，主機安全 ，應用安全 ，來對網絡與服務器進

3、行設計 。根據用戶需求 ，在本次建設完畢后XX 數據中心網絡將達到等保三級的技術要求。因用戶網絡為新建網絡 ，所以本次建設將完全按照信息安全技術信息安全等級保護基本要求 中技術部分要求進行 。1.2. 參照標準GB/T22239-2008 信息安全技術信息安全等級保護基本要求GB/T 22239-2008 信息安全技術信息安全等級保護基本要求GB/T 22240-2008 信息安全技術信息系統安全等級保護定級指南GB/T 20270-2006 信息安全技術網絡基礎安全技術要求 GB/T 25058-2010信息安全技術信息系統安全等級保護實施指南GB/T 20271-2006信息安全技術信息系

4、統安全通用技術要求GB/T 25070-2010信息安全技術信息系統等級保護安全設計技術要求GB 17859-1999 計算機信息系統安全保護等級劃分準則 GB/Z 20986-2007信息安全技術信息安全事件分類分級指南精心整理專業資料1.3. 系統描述XX 數據中心平臺共有三個信息系統：能源應用 ，環保應用 ，市節能減排應用。企業節點通過企業信息前置機抓取企業節點數據，并把這些數據上傳到XX數據中心的數據庫中，數據庫對這些企業數據進行匯總與分析，同時企業節點也可以通過 VPN 去訪問 XX 數據中心的相關應用 。XX 數據中心平臺也可通過政務外網 ，環保專網與相關部分進行信息交互 。提供信

5、息訪問 。2. 安全風險分析2.1. 系統脆弱性分析人的脆弱性 ：人的安全意識不足導致的各種被攻擊可能，如接受未知數據 ，設置弱口令等 。安全技術的脆弱性 ：操作系統和數據庫的安全脆弱性，系統配置的安全脆弱性，訪問控制機制的安全脆弱性，測評和認證的脆弱性 。運行的脆弱性 ：監控系統的脆弱性，無入侵檢測設備 ，響應和恢復機制的不完善。精心整理專業資料2.2. 安全威脅分析2.2.1. 被動攻擊產生的威脅（1）網絡和基礎設施的被動攻擊威脅局域網 / 骨干網線路的竊聽 ；監視沒被保護的通信線路；破譯弱保護的通信線路信息 ；信息流量分析 ；利用被動攻擊為主動攻擊創造條件以便對網絡基礎設施設備進行破壞

6、，如截獲用戶的賬號或密碼以便對網絡設備進行破壞；機房和處理信息終端的電磁泄露。（2）區域邊界 / 外部連接的被動攻擊威脅截取末受保護的網絡信息；流量分析攻擊 ；遠程接入連接 。（3）計算環境的被動攻擊威脅獲取鑒別信息和控制信息；獲取明文或解密弱密文實施重放攻擊。2.2.2. 主動攻擊產生的威脅（1）對網絡和基礎設施的主動攻擊威脅一是可用帶寬的損失攻擊，如網絡阻塞攻擊 、擴散攻擊等 。 二是網絡管理通訊混亂使網絡基礎設施失去控制的攻擊。最嚴重的網絡攻擊是使網絡基礎設施運行控制失靈 。如對網絡運行和設備之間通信的直接攻擊，它企圖切斷網管人員與基礎設施的設備之間的通信，比如切斷網管人員與交換機、路由

7、器之間的通信 ，使網管人員失去對它們的控制。三是網絡管理通信的中斷攻擊，它是通過攻擊網絡底層設備的控制信號來干擾網絡傳輸的用戶信息；引入病毒攻擊 ；引入惡意代碼攻擊 。精心整理專業資料（2）對信息系統及數據主動攻擊威脅試圖阻斷或攻破保護機制（內網或外網 ）；偷竊或篡改信息 ；利用社會工程攻擊欺騙合法用戶（如匿名詢問合法用戶賬號）；偽裝成合法用戶和服務器進行攻擊 ；IP 地址欺騙攻擊 ；拒絕服務攻擊 ；利用協議和基礎設施的安全漏洞進行攻擊 ；利用遠程接入用戶對內網進行攻擊；建立非授權的網絡連接；監測遠程用戶鏈路 、修改傳輸數據 ；解讀未加密或弱加密的傳輸信息；惡意代碼和病毒攻擊 。（3）計算環境

8、的主動攻擊威脅引入病毒攻擊 ；引入惡意代碼攻擊；冒充超級用戶或其他合法用戶；拒絕服務和數據的篡改 ；偽裝成合法用戶和服務器進行攻擊；利用配置漏洞進行攻擊；利用系統脆弱性 （操作系統安全脆弱性、數據庫安全脆弱性）實施攻擊 ；利用服務器的安全脆弱性進行攻擊；利用應用系統安全脆弱性進行攻擊。（4）支持性基礎設施的主動攻擊威脅對未加密或弱加密的通信線路的搭線竊聽；用獲取包含錯誤信息的證書進行偽裝攻擊 ；拒絕服務攻擊 （如攻擊目錄服務等 ）；中間攻擊 ；攻擊 PIN 獲取對用戶私鑰的訪問 、在支持性基礎設施的組件中引入惡意代碼攻擊、在密鑰分發期間對密鑰實施攻擊、對 PKI 私鑰實施密碼攻擊 、對密鑰恢復

9、后的密鑰進行末授權訪問 、在用戶認證期間使用戶不能生成失效信息；利用備份信息進行攻擊。精心整理專業資料3. 安全需求分析3.1. 等級保護要求分析3.1.1. 網絡安全類別控制點重點要求項對應措施安全域劃分 ，交換設備的冗余、通過安全管理結構安全網絡劃分與隔離平臺進行網絡拓撲管理網絡邊界部署訪問安全域邊界增訪問控制控制設備 ，啟用訪加部署防火墻問控制功能設備網絡對網絡系統中的網安全絡設備運行狀況、部署網絡安全安全審計網絡流量 、用戶行審計系統為等進行日志記錄對內部用戶未通過邊界完整性準許私自聯到外部采用技術手段檢查網絡的行為進行檢進行違規外聯查入侵防范網絡邊界入侵行為網絡出口的邊精心整理專業資

10、料監視界處部署入侵檢測，重要服務器區前面采取入侵防護措施3.1.2. 主機安全類別控制點重點要求項對應措施對登錄操作系統和數據庫系統的用戶部署身份鑒別身份鑒別進行身份標識和鑒系統。別對系統安全加啟用訪問控制功固，限制默認能，實現操作系統主機訪問控制帳戶、時刪除和數據庫系統特權安全多余的 、過期用戶的權限分離的帳戶等采用主機審計用戶行為 、系統資安全審計源、系統安全事件審計措施，通過安全管理平臺對操作系統 、數據庫進行監控精心整理專業資料管理對主機進行漏操作系統最小安裝洞檢查 ，并部入侵防范的原則 、及時更新署入侵防范設系統補丁備。惡意代碼防能夠集中管理的惡部署網絡版防范意代碼防護系統病毒軟件設

11、定終端接入方利用訪問控制式、網絡地址范圍策略與堡壘機資源控制等條件限制終端登產品結合的方錄式進行控制 。3.1.3. 應用安全類別控制點重點要求項對應措施提供專用的登錄控部署身份鑒別制模塊對登錄用戶身份鑒別服務器并與應進行身份標識和鑒應用用進行聯動別安全部署堡壘機對訪問控制賬戶訪問權限管理訪問進行權限管理精心整理專業資料部署堡壘機對應用系統重要安全安全審計應用訪問進行事件進行審計記錄采用密碼技術進行會話初始化驗證，應用軟件安全通信保密性對通信過程中的敏改造，對敏感感信息字段進行加字段進行加密密會話超時 、會話并部署堡壘機設資源控制發管理 、多重并發備進行限制會話限制3.2. 安全需求總結類別安

12、全需求劃分安全域 、明確安全邊界網絡出口邊界 、新的安全邊界部署防火墻設備網絡出口邊界部署入侵檢測設備網絡安全關鍵業務前段部署入侵防御系統網頁應用系統邊界部署WEB 應用安全網關重要數據庫部署網絡安全審計系統部署身份認證系統對訪問進行身份認證主機安全部署堡壘機設備對主機訪問進行控制與審計精心整理專業資料采用網絡版殺毒軟件部署漏洞掃描設備對主機的漏洞進行檢測并及時修補應用系統與身份認證系統相結合進行身份鑒別應用系統與堡壘機相結合來進行審計與訪問控制應用安全部署安全管理平臺對網絡，主機 ，應用的日志進行審計與分析。4. 整體安全設計4.1. 安全域4.1.1. 安全域劃分原則（1）業務保障原則安全

13、域方法的根本目標是能夠更好的保障網絡上承載的業務。在保證安全的同時，還要保障業務的正常運行和運行效率。信息安全服務所強調的核心思想是應該從客戶（業務）而不是 IT 服務提供方（技術）的角度理解IT 服務需求 。也就是說 ，在提供 IT 服務的時候 ，我們首先應該考慮業務需求 ，根據業務需求來確定IT 需求包括安全需求 。在安全域劃分時會面臨有些業務緊密相連，但是根據安全要求（信息密級要求，訪問應用要求等 ）又要將其劃分到不同安全域的矛盾。是將業務按安全域的要求強性劃分 ，還是合并安全域以滿足業務要求？必須綜合考慮業務隔離的難度和合并安全域的風險（會出現有些資產保護級別不夠），從而給出合適的安全

14、域劃分 。精心整理專業資料（2）等級保護原則根據安全域在業務支撐系統中的重要程度以及考慮風險威脅、安全需求 、安全成本等因素 ，將其劃為不同的安全保護等級并采取相應的安全保護技術、管理措施 ，以保障業務支撐的網絡和信息安全。安全域的劃分要做到每個安全域的信息資產價值相近，具有相同或相近的安全等級 、安全環境 、安全策略等 。 安全域所涉及應用和資產的價值越高，面臨的威脅越大 ，那么它的安全保護等級也就越高。（3）深度防御原則根據網絡應用訪問的順序，逐層進行防御 ，保護核心應用的安全。安全域的主要對象是網絡 ，但是圍繞安全域的防護需要考慮在各個層次上立體防守，包括在物理鏈路 、網絡、主機系統 、

15、應用等層次 ；同時，在部署安全域防護體系的時候 ，要綜合運用身份鑒別、訪問控制 、檢測審計 、鏈路冗余 、內容檢測等各種安全功能實現協防。（4）結構簡化原則安全域劃分的直接目的和效果是要將整個網絡變得更加簡單，簡單的網絡結構便于設計防護體系 。 安全域劃分不宜過于復雜。（5）生命周期原則對于安全域的劃分和布防不僅僅要考慮靜態設計，還要考慮不斷的變化；另外，在安全域的建設和調整過程中要考慮工程化的管理。（6）安全最大化原則針對業務系統可能跨越多個安全域的情況，對該業務系統的安全防護必須要使該系統在全局上達到要求的安全等級，即實現安全的最大化防護，同時滿精心整理專業資料足多個安全域的保護策略。（7

16、）可擴展性原則當有新的業務系統需要接入業務支撐網時，按照等級保護 、對端可信度等原則將其分別劃分至不同安全等級域的各個子域。4.1.2. 安全域劃分設計根據 XX 數據中心的情況 ，把網絡分為三個安全域 ：應用安全域 ，數據庫安全域，安全管理安全域 。 安全域之間利用防火墻進行隔離。安全域劃分拓撲如下 ：精心整理專業資料4.2. 安全設備部署（1）網絡邊界考慮到網絡的高可用性 ，網絡出口設備均雙機部署。在網絡出口部署兩臺防止DDOS 產品，對 DDOS 攻擊進行過濾 。在網絡出口部署兩臺防火墻設備，對進出 XX 數據中心網絡的流量進行策略控制。在網絡出口部署兩臺入侵防御設備對進行XX 數據中心

17、網絡的流量進行檢測，從而判斷數據中是否含有惡意攻擊與惡意代碼。（2）核心交換區在核心交換區旁路部署一臺IDS 與一臺安全審計產品 ，對核心交換機上面的流量進行安全的檢測與審計，包括來往核心交換機上面的流量是否有惡意威脅。是否有針對于后臺數據庫的威脅等。（3）應用區安全域在應用區邊界部署web 應用防火墻設備 ，因應用區部署的應用均為B/S 架構，而 web 應用防火墻恰恰是針對于HTTP 協議進行安全過濾的設備，很好的滿足了三級等保中針對于應用安全的規定。（4）數據庫安全域數據庫安全域邊界部署一臺安全域防火墻，采取有效的訪問控制策略；同時在安全域交換機旁路部署一臺安全審計系統，對網絡運維管理和

18、數據庫操作進行全面審計 。（5）安全管理區安全域在安全管理區部署漏洞掃描設備，對網絡中的主機進行安全自查，降低主精心整理專業資料機的脆弱性 。在安全管理區部署堡壘機設備，結合部署的身份認證系統對主機與應用進行身份鑒別 ，訪問控制與安全審計 。在安全管理區部署安全管理平臺，對網絡中的主機與安全設備進行統一的監控與統一的日志分析 。在網絡中各個主機上部署網絡版防病毒軟件，并且在安全管理區部署網絡防病毒主控端 。5. 詳細安全設計5.1. 網絡安全設計5.1.1. 抗 DOS 設備.部署目的隨著僵尸網絡的泛濫，DDoS 攻擊等惡意流量的規模也在迅速增大。據估計，中國的黑客產業鏈條規模已

19、達上百億，而在這中間有很大一部分就是和DDoS 攻擊相關的 。實際上 ，DDoS 攻擊也像網絡帶寬一樣 ，已經成為可以售賣的資源 。 利益驅使 DDoS 的規模進一步擴大 。2011 年 3 月，全球網絡安全和管理解決方案提供商ArborNetworks發布第六期全球互聯網基礎設施安全年報稱，2010 年是 DDoS 攻擊在互聯網上活動規模和頻率激增的一年 ； DDoS 攻擊規模首次突破100 Gbps ，服務提供商因此受到巨大的沖擊 。精心整理專業資料2012 年 3 月， CNCERT 發布了2011 年中國互聯網網絡安全態勢報告稱DDoS 的頻率和規模都在迅速增大。根據 CNCERT 抽

20、樣監測發現 ，我國境內日均發生攻擊總流量超過1G 的較大規模的DDoS 攻擊事件 365 起。其中，TCPSYN FLOOD 和 UDP FLOOD 等常見虛假源IP 地址攻擊事件約占70%，對其溯源和處臵難度較大 。DDoS 攻擊最讓人頭疼的是攻擊和防御的不對等性。現在的 DDoS 攻擊技術門檻越來越低 ，非常容易發起 ，但檢測和防御則需要強大的技術支撐。由于黑客地下產業鏈的發展，各種攻擊工具在網上隨處可見，甚至公然打包售賣。即使是對于初級網絡水平的人來說，使用這些攻擊也是很簡單的事情。而對于有經驗的黑客來說 ，使用這些工具可以組織起復雜的攻擊，令防范變得困難 。例如 2011 年針對某游戲

21、網站的攻擊持續了數月，綜合采用了DNS 請求攻擊 、UDP FLOOD 、TCP SYN FLOOD、HTTP 請求攻擊等多種方式 ，攻擊峰值流量達數十個 Gbps ，令人防不勝防 。.部署方式及說明防 DOS 設備串行在網絡出口 ，對流量進行清洗 ，過濾含有 DOS 或 DDOS特征的流量 ，保證網絡安全 。由于防 DOS 串行在網絡出口 ，所以選擇雙機部署 。5.1.2. 防火墻.部署目的防火墻是一種部署在安全邊界上的高級訪問控制設備，是不同區域之間信精心整理專業資料息流的唯一通道 ，能根據制定好的安全策略控制（允許、拒絕、監視、記錄）不同區域之間的訪問行為。作

22、為一個專業化的訪問控制產品，防火墻不僅提供非常靈活的訪問控制功能（基于 IP 地址、端口、協議、用戶名、應用命令等 ）和強大的審計鑒別功能，還提供了多種輔助功能，比如地址轉換 、端口映射 、IP 與 MAC 地址綁定等等 。安全邊界采用防火墻設備，根據 ip 五元組（源/ 目的 ip ，源/ 目的端口 ，協議），對網絡邊界進行訪問控制，隔離不同的安全域 ，只有經過許可的ip 、端口、協議才被容許訪問防火墻內的網絡和系統資源，保障了網絡的邏輯隔離。.部署方式及說明防火墻串行部署在網絡主干鏈路上，用于網絡安全邊界的訪問控制，可以采用透明工作模式 ，工作口不需要配置ip ，不影響網絡路

23、由結構 。每臺防火墻 ，均另外需 1 個 ip 用來作為管理設備 ，管理方式為 B/S。由于防火墻作為網絡出口和安全域邊界的安全網關，一旦出現故障對網絡數據傳輸 、網絡安全策略有很大的影響，因此在網絡出口部署兩臺防火墻。在數據庫區邊界部署一臺防火墻。5.1.3. W EB 應用安全網關.部署目的Web 應用安全網關 （ Web ApplicationGateway ，簡稱 WAG）是新一代Web安全防護與應用交付類應用安全產品，主要針對Web服務器進行精心整理專業資料HTTP/HTTPS 流量分析 ，防護以 Web 應用程序漏洞為目標的攻擊，并針對 Web應用訪問各方面進行優化，

24、以提高 Web 或網絡協議應用的可用性、性能和安全性，確保 Web 業務應用能夠快速 、安全、可靠地交付 。WAG 應用了一套HTTP 會話規則集 ，這些規則涵蓋諸如SQL 注入、以及XSS等常見的 Web 攻擊 。網頁防篡改模塊會事先將被保護Web 服務器的主要頁面拷貝到設備存儲器內 ，一旦檢測出被保護URL 頁面有被篡改的情況 ，遇到用戶有針對該頁面的訪問請求時，會將事先備份的正常頁面返回給用戶，屏蔽被篡改的頁面不被訪問 ，維護用戶的聲譽 ，此種方法的優點是不用在被保護Web服務器上安裝 Agent ，對 Web 應用系統不會造成額外影響。.部署方式及說明在應用區和核心交換機

25、之間串行部署Web 應用安全網關 ，可采取透明工作模式，不影響網絡路由結構 ，針對 Web 服務器進行第 7 層流量分析 ，確保業務應用能夠快速 、安全、可靠地交付 。5.1.4. 入侵防御.部署目的雖然訪問控制系統 （如防火墻 ）可以靜態的實施訪問控制策略，防止一些非法的訪問等 ，但對利用合法的訪問手段或其它的攻擊手段（比如，利用內部系統的漏洞等 ）對系統入侵和內部用戶的入侵等是沒有辦法控制的；因此，系統內需要建設統一的符合國家規定的安全檢測機制，實現對網絡系統進行自動的入侵檢測和分析 ，對非法信息予以過濾 ，提高系統整體安全性 。精心整理專業資料入侵防御技術高度融合高性能、高

26、安全性 、高可靠性和易操作性等特性，帶來了深度攻擊防御和應用帶寬保護的完美價值體驗。通過入侵防護系統可以實時、主動攔截黑客攻擊 、網絡病毒等惡意流量，保護信息系統和網絡架構免受侵害，防止操作系統和應用程序損壞或宕機，IPS可以深入到路由 、防火墻模塊和應用層 ，快速掃描流量 ，它可以利用其上千種攻擊特征數據庫，識別和分析外部的攻擊 ，并實時報警和記錄 ，同時可以對上百種入侵和攻擊進行主動防護 。此外 ，還可以對 MSN 、 Skype、Yahoo Message等即時消息進行阻斷 ，允許用戶對 BT、kazza 等 P2P 多點共享協議軟件進行阻斷。.部署方式及說明IPS串行部署

27、在網絡主干鏈路上，用于安全域邊界的入侵防護，可以采用透明工作模式 ，工作口不需要配置ip ，不影響網絡路由結構。管理中心安裝在專用管理服務器中 ，實現 IPS 設備統一的控制管理 、監控告警 、日志收集和定制報表等功能 。由于 IPS 串行于主干線上所以雙機部署。5.1.5. 入侵檢測.部署目的互聯網當前正處于高速的發展態勢，隨之而來的攻擊 、病毒、威脅也是日新月異 ，面對日益加劇的安全形式需要一套能夠實時檢測攻擊、預警、響應的工具。通過部署入侵檢測系統可以起到以下目的：（1）入侵檢測網絡入侵檢測系統 （ IDS）可以實現對黑客攻擊 （緩沖區溢出 、SQL 注入、精心整理專業資料

28、暴力猜測 、拒絕服務 、掃描探測 、非授權訪問等 ）、蠕蟲病毒 、木馬后門 、間諜軟件、僵尸網絡等進行實時檢測及報警。（2）流量分析網絡入侵檢測系統 （ IDS）對網絡進行流量分析 ，實時統計出當前網絡中的各種報文流量 ； IDS 能夠幫助管理員對付網絡攻擊，最大限度地減少攻擊可能給用戶造成的損失 ，從而進一步提高了單位信息安全基礎結構的完整性。（3）行為監控IDS 系統會對網絡流量進行監控，對嚴重濫用網絡資源的事件提供告警和記錄。.部署方式及說明網絡入侵檢測系統（ IDS）由于涉及到數據的存儲和處理，所以，多采用C/S 的部署方式 ，一般分為 “引擎 ”和 “控制臺 （兼數據中

29、心 ）”兩部分：（1）IDS 引擎：IDS 引擎接入核心交換機的鏡像端口，以監聽相應網絡的網絡流量，IDS 引擎工作口無需配置ip ，另需配置一個管理ip 地址；（2）IDS 控制臺（兼數據中心 ）：在與引擎管理IP 地址聯通的安全管理安全域，部署 1 臺服務器 ，安裝 IDS控制臺軟件 ，以便存儲 、分析 IDS 引擎的檢測數據 ，并管控 IDS 引擎。控制臺可掛接存儲設備 （如 NAS 存儲）。精心整理專業資料5.1.6. 安全審計.部署目的安全審計系統綜合了網絡安全審計和數據庫安全審計2 大功能。網絡審計系統針對業務環境下的網絡操作行為進行細粒度審計的合規性管理系統 。 通

30、過對業務人員訪問系統的行為進行解析、分析、記錄、匯報，以幫助用戶事前規劃預防、事中實時監視 、違規行為響應 、事后合規報告 、事故追蹤溯源 ，加強內外部網絡行為監管、促進核心資產 （數據庫 、服務器 、網絡設備等）的正常運營 。數據庫安全審計系統是通過網絡數據的采集、分析、識別，實時監控網絡中數據庫的所有訪問操作，同時支持自定義內容關鍵字庫，實現數據庫操作的內容監測識別 ，發現各種違規數據庫操作行為，及時報警響應 、全過程操作還原，從而實現安全事件的準確全程跟蹤定位，全面保障數據庫系統安全。.部署方式及說明數據庫安全域接入交換機旁路，部署 1 臺安全審計系統 ，審計引擎需要接入交

31、換機的鏡像端口 ，工作口不需要配置ip ，不影響網絡路由結構 ，更不影響網絡性能 ；管理口接入安全管理域交換機，需配置 1 個 ip 用來進行管理 。5.1.7. 防病毒.部署目的目前計算機病毒的發展日益猖獗，防病毒發展更趨向于集中式管理、分布精心整理專業資料式殺毒的架構 ，對局域網進行遠程集中式安全管理，可通過賬號和口令設置控制移動控制臺的使用，并且先進的分布技術，利用本地資源和本地殺毒引擎，對本地節點的所有文件進行全面、及時、高效的查殺病毒 ，同時保障用戶的隱私，減少了網絡傳輸的負載，避免因大量傳輸文件而引起的網絡擁塞。部署上以服務器為中心 ，進行網絡殺毒的管理，這種方式與網

32、絡拓撲結構融合，管理更加方便 。.部署方式及說明在安全管理區部署殺毒軟件管控中心服務器，在網內終端部署殺毒軟件客戶端，通過服務器端對終端的全面管理、制定病毒查殺策略 。5.2. 安全運維管理5.2.1. 漏洞掃描漏洞掃描系統主要用來定期檢查系統內網絡設備、終端系統 、服務器系統 、安全設備以及數據庫等系統重要資產的脆弱性情況，針對主干系統的特點，建議將漏洞掃描部署在標清和高清業務支撐平臺各自的安全管理區內，實現對各自業務支撐平臺定期的漏洞掃描，同時，漏洞掃描的結果將提交給安全管理與綜合審計平臺 ，成為風險分析的重要數據來源。漏洞掃描系統是基于網絡的脆弱性分析、評估和綜合管理系統，漏洞掃描系統能夠快速發現網絡資產，準確識別資產屬性 、全面掃描安全漏洞 ，清晰定性安全風險 ，給出修復建議和預防措施，并對風險控制策略進行有效審核，從而在弱點全面評估的基礎上實現安全自主掌控。精心整理專業資料5.2.2. 安全管理平臺安全管理平臺系統是一個面向全網IT 資源的集中安全管理平臺。通過對網絡中各類 IT 資源的安全域劃分 ，以及海量異構網絡與安全事件的采集、處理和分析，面向業務信息系統建立一套可度量