1、PAGE26XX數據中心信息系統安全建設項目技術方案目錄 TOC o 1-3 h z u HYPERLINK l _Toc1 1.項目概述 PAGEREF _Toc1 h 4 HYPERLINK l _Toc2 .目標與范圍 PAGEREF _Toc2 h 4 HYPERLINK l _Toc3 .參照標準 PAGEREF _Toc3 h 4 HYPERLINK l _Toc4 .系統描述 PAGEREF _Toc4 h 4 HYPERLINK l _Toc5 2.安全風險分析 PAGEREF _Toc5 h 5 HYPERLINK l _Toc6 .系統脆弱性分析 PAGEREF _Toc6

2、 h 5 HYPERLINK l _Toc7 .安全威脅分析 PAGEREF _Toc7 h 5 HYPERLINK l _Toc8 被動攻擊產生的威脅 PAGEREF _Toc8 h 5 HYPERLINK l _Toc9 主動攻擊產生的威脅 PAGEREF _Toc9 h 5 HYPERLINK l _Toc0 3.安全需求分析 PAGEREF _Toc0 h 7 HYPERLINK l _Toc1 .等級保護要求分析 PAGEREF _Toc1 h 7 HYPERLINK l _Toc2 網絡安全 PAGEREF _Toc2 h 7 HYPERLINK l _Toc3 主機安全 PAGE

3、REF _Toc3 h 8 HYPERLINK l _Toc4 應用安全 PAGEREF _Toc4 h 9 HYPERLINK l _Toc5 .安全需求總結 PAGEREF _Toc5 h 9 HYPERLINK l _Toc6 4.整體安全設計 PAGEREF _Toc6 h 10 HYPERLINK l _Toc7 .安全域 PAGEREF _Toc7 h 10 HYPERLINK l _Toc8 安全域劃分原則 PAGEREF _Toc8 h 10 HYPERLINK l _Toc9 安全域劃分設計 PAGEREF _Toc9 h 11 HYPERLINK l _Toc0 .安全設備

4、部署 PAGEREF _Toc0 h 12 HYPERLINK l _Toc1 5.詳細安全設計 PAGEREF _Toc1 h 13 HYPERLINK l _Toc2 .網絡安全設計 PAGEREF _Toc2 h 13 HYPERLINK l _Toc3 抗DOS設備 PAGEREF _Toc3 h 13 HYPERLINK l _Toc4 防火墻 PAGEREF _Toc4 h 14 HYPERLINK l _Toc5 WEB應用安全網關 PAGEREF _Toc5 h 15 HYPERLINK l _Toc6 入侵防御 PAGEREF _Toc6 h 16 HYPERLINK l _

5、Toc7 入侵檢測 PAGEREF _Toc7 h 17 HYPERLINK l _Toc8 安全審計 PAGEREF _Toc8 h 18 HYPERLINK l _Toc9 防病毒 PAGEREF _Toc9 h 18 HYPERLINK l _Toc0 .安全運維管理 PAGEREF _Toc0 h 19 HYPERLINK l _Toc1 漏洞掃描 PAGEREF _Toc1 h 19 HYPERLINK l _Toc2 安全管理平臺 PAGEREF _Toc2 h 19 HYPERLINK l _Toc3 堡壘機 PAGEREF _Toc3 h 21 HYPERLINK l _Toc

6、4 6.產品列表 PAGEREF _Toc4 h 21項目概述目標與范圍本次數據中心的安全建設主要依據信息安全技術信息安全等級保護基本要求中的技術部分，從網絡安全，主機安全，應用安全，來對網絡與服務器進行設計。根據用戶需求，在本次建設完畢后XX數據中心網絡將達到等保三級的技術要求。因用戶網絡為新建網絡，所以本次建設將完全按照信息安全技術信息安全等級保護基本要求中技術部分要求進行。參照標準GB/T22239-2008信息安全技術信息安全等級保護基本要求GB/T 22239-2008信息安全技術信息安全等級保護基本要求GB/T 22240-2008信息安全技術信息系統安全等級保護定級指南GB/T

7、20270-2006信息安全技術網絡基礎安全技術要求GB/T 25058-2010信息安全技術信息系統安全等級保護實施指南GB/T 20271-2006信息安全技術信息系統安全通用技術要求GB/T 25070-2010信息安全技術信息系統等級保護安全設計技術要求GB 17859-1999計算機信息系統安全保護等級劃分準則GB/Z 20986-2007信息安全技術信息安全事件分類分級指南系統描述XX數據中心平臺共有三個信息系統：能源應用，環保應用，市節能減排應用。企業節點通過企業信息前置機抓取企業節點數據，并把這些數據上傳到XX數據中心的數據庫中，數據庫對這些企業數據進行匯總與分析，同時企業節點

8、也可以通過VPN去訪問XX數據中心的相關應用。XX數據中心平臺也可通過政務外網，環保專網與相關部分進行信息交互。提供信息訪問。安全風險分析系統脆弱性分析人的脆弱性：人的安全意識不足導致的各種被攻擊可能，如接受未知數據，設置弱口令等。安全技術的脆弱性：操作系統和數據庫的安全脆弱性，系統配置的安全脆弱性，訪問控制機制的安全脆弱性，測評和認證的脆弱性。運行的脆弱性：監控系統的脆弱性，無入侵檢測設備，響應和恢復機制的不完善。安全威脅分析被動攻擊產生的威脅（1）網絡和基礎設施的被動攻擊威脅局域網/骨干網線路的竊聽；監視沒被保護的通信線路；破譯弱保護的通信線路信息；信息流量分析；利用被動攻擊為主動攻擊創造

9、條件以便對網絡基礎設施設備進行破壞，如截獲用戶的賬號或密碼以便對網絡設備進行破壞；機房和處理信息終端的電磁泄露。（2）區域邊界/外部連接的被動攻擊威脅截取末受保護的網絡信息；流量分析攻擊；遠程接入連接。（3）計算環境的被動攻擊威脅獲取鑒別信息和控制信息；獲取明文或解密弱密文實施重放攻擊。主動攻擊產生的威脅（1）對網絡和基礎設施的主動攻擊威脅一是可用帶寬的損失攻擊，如網絡阻塞攻擊、擴散攻擊等。二是網絡管理通訊混亂使網絡基礎設施失去控制的攻擊。最嚴重的網絡攻擊是使網絡基礎設施運行控制失靈。如對網絡運行和設備之間通信的直接攻擊，它企圖切斷網管人員與基礎設施的設備之間的通信，比如切斷網管人員與交換機、

10、路由器之間的通信，使網管人員失去對它們的控制。三是網絡管理通信的中斷攻擊，它是通過攻擊網絡底層設備的控制信號來干擾網絡傳輸的用戶信息；引入病毒攻擊；引入惡意代碼攻擊。（2）對信息系統及數據主動攻擊威脅試圖阻斷或攻破保護機制（內網或外網）；偷竊或篡改信息；利用社會工程攻擊欺騙合法用戶（如匿名詢問合法用戶賬號）；偽裝成合法用戶和服務器進行攻擊；IP地址欺騙攻擊；拒絕服務攻擊；利用協議和基礎設施的安全漏洞進行攻擊；利用遠程接入用戶對內網進行攻擊；建立非授權的網絡連接；監測遠程用戶鏈路、修改傳輸數據；解讀未加密或弱加密的傳輸信息；惡意代碼和病毒攻擊。（3）計算環境的主動攻擊威脅引入病毒攻擊；引入惡意代

11、碼攻擊；冒充超級用戶或其他合法用戶；拒絕服務和數據的篡改；偽裝成合法用戶和服務器進行攻擊；利用配置漏洞進行攻擊；利用系統脆弱性（操作系統安全脆弱性、數據庫安全脆弱性）實施攻擊；利用服務器的安全脆弱性進行攻擊；利用應用系統安全脆弱性進行攻擊。（4）支持性基礎設施的主動攻擊威脅對未加密或弱加密的通信線路的搭線竊聽；用獲取包含錯誤信息的證書進行偽裝攻擊；拒絕服務攻擊（如攻擊目錄服務等）；中間攻擊；攻擊PIN獲取對用戶私鑰的訪問、在支持性基礎設施的組件中引入惡意代碼攻擊、在密鑰分發期間對密鑰實施攻擊、對PKI私鑰實施密碼攻擊、對密鑰恢復后的密鑰進行末授權訪問、在用戶認證期間使用戶不能生成失效信息；利用

12、備份信息進行攻擊。安全需求分析等級保護要求分析網絡安全類別控制點重點要求項對應措施網絡安全結構安全交換設備的冗余、網絡劃分與隔離安全域劃分，通過安全管理平臺進行網絡拓撲管理訪問控制網絡邊界部署訪問控制設備，啟用訪問控制功能安全域邊界增加部署防火墻設備安全審計對網絡系統中的網絡設備運行狀況、網絡流量、用戶行為等進行日志記錄部署網絡安全審計系統邊界完整性檢查對內部用戶未通過準許私自聯到外部網絡的行為進行檢查采用技術手段進行違規外聯入侵防范網絡邊界入侵行為監視網絡出口的邊界處部署入侵檢測，重要服務器區前面采取入侵防護措施主機安全類別控制點重點要求項對應措施主機安全身份鑒別對登錄操作系統和數據庫系統的

13、用戶進行身份標識和鑒別部署身份鑒別系統。訪問控制啟用訪問控制功能，實現操作系統和數據庫系統特權用戶的權限分離 對系統安全加固，限制默認帳戶、時刪除多余的、過期的帳戶等安全審計用戶行為、系統資源、系統安全事件審計采用主機審計措施，通過安全管理平臺對操作系統、數據庫進行監控管理入侵防范操作系統最小安裝的原則、及時更新系統補丁對主機進行漏洞檢查，并部署入侵防范設備。惡意代碼防范能夠集中管理的惡意代碼防護系統部署網絡版防病毒軟件資源控制設定終端接入方式、網絡地址范圍等條件限制終端登錄利用訪問控制策略與堡壘機產品結合的方式進行控制。應用安全類別控制點重點要求項對應措施應用安全身份鑒別提供專用的登錄控制模

14、塊對登錄用戶進行身份標識和鑒別部署身份鑒別服務器并與應用進行聯動訪問控制賬戶訪問權限管理部署堡壘機對訪問進行權限管理安全審計應用系統重要安全事件進行審計部署堡壘機對應用訪問進行記錄通信保密性采用密碼技術進行會話初始化驗證，對通信過程中的敏感信息字段進行加密應用軟件安全改造，對敏感字段進行加密資源控制會話超時、會話并發管理、多重并發會話限制部署堡壘機設備進行限制安全需求總結類別安全需求網絡安全劃分安全域、明確安全邊界網絡出口邊界、新的安全邊界部署防火墻設備網絡出口邊界部署入侵檢測設備關鍵業務前段部署入侵防御系統網頁應用系統邊界部署WEB應用安全網關重要數據庫部署網絡安全審計系統主機安全部署身份認

15、證系統對訪問進行身份認證部署堡壘機設備對主機訪問進行控制與審計采用網絡版殺毒軟件部署漏洞掃描設備對主機的漏洞進行檢測并及時修補應用安全應用系統與身份認證系統相結合進行身份鑒別應用系統與堡壘機相結合來進行審計與訪問控制部署安全管理平臺對網絡，主機，應用的日志進行審計與分析。整體安全設計安全域安全域劃分原則（1）業務保障原則安全域方法的根本目標是能夠更好的保障網絡上承載的業務。在保證安全的同時，還要保障業務的正常運行和運行效率。信息安全服務所強調的核心思想是應該從客戶（業務）而不是IT 服務提供方（技術）的角度理解IT 服務需求。也就是說，在提供IT 服務的時候，我們首先應該考慮業務需求，根據業務

16、需求來確定IT 需求包括安全需求。在安全域劃分時會面臨有些業務緊密相連，但是根據安全要求（信息密級要求，訪問應用要求等）又要將其劃分到不同安全域的矛盾。是將業務按安全域的要求強性劃分，還是合并安全域以滿足業務要求必須綜合考慮業務隔離的難度和合并安全域的風險（會出現有些資產保護級別不夠），從而給出合適的安全域劃分。（2）等級保護原則根據安全域在業務支撐系統中的重要程度以及考慮風險威脅、安全需求、安全成本等因素，將其劃為不同的安全保護等級并采取相應的安全保護技術、管理措施，以保障業務支撐的網絡和信息安全。安全域的劃分要做到每個安全域的信息資產價值相近，具有相同或相近的安全等級、安全環境、安全策略等

17、。安全域所涉及應用和資產的價值越高，面臨的威脅越大，那么它的安全保護等級也就越高。（3）深度防御原則根據網絡應用訪問的順序，逐層進行防御，保護核心應用的安全。安全域的主要對象是網絡，但是圍繞安全域的防護需要考慮在各個層次上立體防守，包括在物理鏈路、網絡、主機系統、應用等層次；同時，在部署安全域防護體系的時候，要綜合運用身份鑒別、訪問控制、檢測審計、鏈路冗余、內容檢測等各種安全功能實現協防。（4）結構簡化原則安全域劃分的直接目的和效果是要將整個網絡變得更加簡單，簡單的網絡結構便于設計防護體系。安全域劃分不宜過于復雜。（5）生命周期原則對于安全域的劃分和布防不僅僅要考慮靜態設計，還要考慮不斷的變化

18、；另外，在安全域的建設和調整過程中要考慮工程化的管理。（6）安全最大化原則針對業務系統可能跨越多個安全域的情況，對該業務系統的安全防護必須要使該系統在全局上達到要求的安全等級，即實現安全的最大化防護，同時滿足多個安全域的保護策略。（7）可擴展性原則當有新的業務系統需要接入業務支撐網時，按照等級保護、對端可信度等原則將其分別劃分至不同安全等級域的各個子域。安全域劃分設計根據XX數據中心的情況，把網絡分為三個安全域：應用安全域，數據庫安全域，安全管理安全域。安全域之間利用防火墻進行隔離。安全域劃分拓撲如下：安全設備部署（1）網絡邊界考慮到網絡的高可用性，網絡出口設備均雙機部署。在網絡出口部署兩臺防

19、止DDOS產品，對DDOS攻擊進行過濾。在網絡出口部署兩臺防火墻設備，對進出XX數據中心網絡的流量進行策略控制。在網絡出口部署兩臺入侵防御設備對進行XX數據中心網絡的流量進行檢測，從而判斷數據中是否含有惡意攻擊與惡意代碼。（2）核心交換區在核心交換區旁路部署一臺IDS與一臺安全審計產品，對核心交換機上面的流量進行安全的檢測與審計，包括來往核心交換機上面的流量是否有惡意威脅。是否有針對于后臺數據庫的威脅等。（3）應用區安全域在應用區邊界部署web應用防火墻設備，因應用區部署的應用均為B/S架構，而web應用防火墻恰恰是針對于HTTP協議進行安全過濾的設備，很好的滿足了三級等保中針對于應用安全的規

20、定。（4）數據庫安全域數據庫安全域邊界部署一臺安全域防火墻，采取有效的訪問控制策略；同時在安全域交換機旁路部署一臺安全審計系統，對網絡運維管理和數據庫操作進行全面審計。（5）安全管理區安全域在安全管理區部署漏洞掃描設備，對網絡中的主機進行安全自查，降低主機的脆弱性。在安全管理區部署堡壘機設備，結合部署的身份認證系統對主機與應用進行身份鑒別，訪問控制與安全審計。在安全管理區部署安全管理平臺，對網絡中的主機與安全設備進行統一的監控與統一的日志分析。在網絡中各個主機上部署網絡版防病毒軟件，并且在安全管理區部署網絡防病毒主控端。詳細安全設計網絡安全設計抗DOS設備部署目的隨著僵尸網絡的泛濫，DDoS攻

21、擊等惡意流量的規模也在迅速增大。據估計，中國的黑客產業鏈條規模已達上百億，而在這中間有很大一部分就是和DDoS攻擊相關的。實際上，DDoS攻擊也像網絡帶寬一樣，已經成為可以售賣的資源。利益驅使DDoS的規模進一步擴大。2011年3月，全球網絡安全和管理解決方案提供商Arbor Networks發布 HYPERLINK t _blank 第六期全球互聯網基礎設施安全年報稱，2010年是DDoS攻擊在互聯網上活動規模和頻率激增的一年；DDoS攻擊規模首次突破100 Gbps，服務提供商因此受到巨大的沖擊。2012年3月，CNCERT發布了2011年中國互聯網網絡安全態勢報告稱DDoS的頻率和規模都

22、在迅速增大。根據CNCERT抽樣監測發現，我國境內日均發生攻擊總流量超過1G的較大規模的DDoS攻擊事件365起。其中，TCP SYN FLOOD和UDP FLOOD等常見虛假源IP地址攻擊事件約占70%，對其溯源和處臵難度較大。DDoS攻擊最讓人頭疼的是攻擊和防御的不對等性。現在的DDoS攻擊技術門檻越來越低，非常容易發起，但檢測和防御則需要強大的技術支撐。由于黑客地下產業鏈的發展，各種攻擊工具在網上隨處可見，甚至公然打包售賣。即使是對于初級網絡水平的人來說，使用這些攻擊也是很簡單的事情。而對于有經驗的黑客來說，使用這些工具可以組織起復雜的攻擊，令防范變得困難。例如2011年針對某游戲網站的

23、攻擊持續了數月，綜合采用了DNS請求攻擊、UDP FLOOD、TCP SYN FLOOD、HTTP請求攻擊等多種方式，攻擊峰值流量達數十個Gbps，令人防不勝防。部署方式及說明防DOS設備串行在網絡出口，對流量進行清洗，過濾含有DOS或DDOS特征的流量，保證網絡安全。由于防DOS串行在網絡出口，所以選擇雙機部署。防火墻部署目的防火墻是一種部署在安全邊界上的高級訪問控制設備，是不同區域之間信息流的唯一通道，能根據制定好的安全策略控制（允許、拒絕、監視、記錄）不同區域之間的訪問行為。作為一個專業化的訪問控制產品，防火墻不僅提供非常靈活的訪問控制功能（基于IP地址、端口、協議、用戶名、應用命令等）

24、和強大的審計鑒別功能，還提供了多種輔助功能，比如地址轉換、端口映射、IP與MAC地址綁定等等。安全邊界采用防火墻設備，根據ip五元組（源/目的ip，源/目的端口，協議），對網絡邊界進行訪問控制，隔離不同的安全域，只有經過許可的ip、端口、協議才被容許訪問防火墻內的網絡和系統資源，保障了網絡的邏輯隔離。部署方式及說明防火墻串行部署在網絡主干鏈路上，用于網絡安全邊界的訪問控制，可以采用透明工作模式，工作口不需要配置ip，不影響網絡路由結構。每臺防火墻，均另外需1個ip用來作為管理設備，管理方式為B/S。由于防火墻作為網絡出口和安全域邊界的安全網關，一旦出現故障對網絡數據傳輸、網絡安全策略有很大的影

25、響，因此在網絡出口部署兩臺防火墻。在數據庫區邊界部署一臺防火墻。WEB應用安全網關部署目的Web應用安全網關（Web Application Gateway，簡稱WAG）是新一代Web安全防護與應用交付類應用安全產品，主要針對Web服務器進行HTTP/HTTPS流量分析，防護以Web應用程序漏洞為目標的攻擊，并針對Web應用訪問各方面進行優化，以提高Web或網絡協議應用的可用性、性能和安全性，確保Web業務應用能夠快速、安全、可靠地交付。WAG應用了一套HTTP會話規則集，這些規則涵蓋諸如SQL注入、以及XSS等常見的Web攻擊。網頁防篡改模塊會事先將被保護Web服務器的主要頁面拷貝到設備存儲

26、器內，一旦檢測出被保護URL頁面有被篡改的情況，遇到用戶有針對該頁面的訪問請求時，會將事先備份的正常頁面返回給用戶，屏蔽被篡改的頁面不被訪問，維護用戶的聲譽，此種方法的優點是不用在被保護Web服務器上安裝Agent，對Web應用系統不會造成額外影響。部署方式及說明在應用區和核心交換機之間串行部署Web應用安全網關，可采取透明工作模式，不影響網絡路由結構，針對Web服務器進行第7層流量分析，確保業務應用能夠快速、安全、可靠地交付。入侵防御部署目的雖然訪問控制系統（如防火墻）可以靜態的實施訪問控制策略，防止一些非法的訪問等，但對利用合法的訪問手段或其它的攻擊手段（比如，利用內部系統的漏洞等）對系統

27、入侵和內部用戶的入侵等是沒有辦法控制的；因此，系統內需要建設統一的符合國家規定的安全檢測機制，實現對網絡系統進行自動的入侵檢測和分析，對非法信息予以過濾，提高系統整體安全性。入侵防御技術高度融合高性能、高安全性、高可靠性和易操作性等特性，帶來了深度攻擊防御和應用帶寬保護的完美價值體驗。通過入侵防護系統可以實時、主動攔截黑客攻擊、網絡病毒等惡意流量，保護信息系統和網絡架構免受侵害，防止操作系統和應用程序損壞或宕機，IPS可以深入到路由、防火墻模塊和應用層，快速掃描流量，它可以利用其上千種攻擊特征數據庫，識別和分析外部的攻擊，并實時報警和記錄，同時可以對上百種入侵和攻擊進行主動防護。此外，還可以對

28、MSN、Skype、Yahoo Message 等即時消息進行阻斷，允許用戶 對BT、kazza等P2P多點共享協議軟件進行阻斷。部署方式及說明IPS串行部署在網絡主干鏈路上，用于安全域邊界的入侵防護，可以采用透明工作模式，工作口不需要配置ip，不影響網絡路由結構。管理中心安裝在專用管理服務器中，實現IPS設備統一的控制管理、監控告警、日志收集和定制報表等功能。由于IPS串行于主干線上所以雙機部署。入侵檢測部署目的互聯網當前正處于高速的發展態勢，隨之而來的攻擊、病毒、威脅也是日新月異，面對日益加劇的安全形式需要一套能夠實時檢測攻擊、預警、響應的工具。通過部署入侵檢測系統可以起到以下目的：（1）

29、入侵檢測網絡入侵檢測系統（IDS）可以實現對黑客攻擊（緩沖區溢出、SQL注入、暴力猜測、拒絕服務、掃描探測、非授權訪問等）、蠕蟲病毒、木馬后門、間諜軟件、僵尸網絡等進行實時檢測及報警。 （2）流量分析網絡入侵檢測系統（IDS）對網絡進行流量分析，實時統計出當前網絡中的各種報文流量；IDS能夠幫助管理員對付網絡攻擊，最大限度地減少攻擊可能給用戶造成的損失，從而進一步提高了單位信息安全基礎結構的完整性。（3）行為監控IDS系統會對網絡流量進行監控，對嚴重濫用網絡資源的事件提供告警和記錄。部署方式及說明網絡入侵檢測系統（IDS）由于涉及到數據的存儲和處理，所以，多采用C/S的部署方式，一般分為“引擎

30、”和“控制臺（兼數據中心）”兩部分：（1）IDS引擎：IDS引擎接入核心交換機的鏡像端口，以監聽相應網絡的網絡流量，IDS引擎工作口無需配置ip，另需配置一個管理ip地址；（2）IDS控制臺（兼數據中心）：在與引擎管理IP地址聯通的安全管理安全域，部署1臺服務器，安裝IDS控制臺軟件，以便存儲、分析IDS引擎的檢測數據，并管控IDS引擎。控制臺可掛接存儲設備（如NAS存儲）。安全審計部署目的安全審計系統綜合了網絡安全審計和數據庫安全審計2大功能。網絡審計系統針對業務環境下的網絡操作行為進行細粒度審計的合規性管理系統。通過對業務人員訪問系統的行為進行解析、分析、記錄、匯報，以幫助用戶事前規劃預防

31、、事中實時監視、違規行為響應、事后合規報告、事故追蹤溯源，加強內外部網絡行為監管、促進核心資產（數據庫、服務器、網絡設備等）的正常運營。數據庫安全審計系統是通過網絡數據的采集、分析、識別，實時監控網絡中數據庫的所有訪問操作，同時支持自定義內容關鍵字庫，實現數據庫操作的內容監測識別，發現各種違規數據庫操作行為，及時報警響應、全過程操作還原，從而實現安全事件的準確全程跟蹤定位，全面保障數據庫系統安全。部署方式及說明數據庫安全域接入交換機旁路，部署1臺安全審計系統，審計引擎需要接入交換機的鏡像端口，工作口不需要配置ip，不影響網絡路由結構，更不影響網絡性能；管理口接入安全管理域交換機，需配置1個ip

32、用來進行管理。防病毒部署目的目前計算機病毒的發展日益猖獗，防病毒發展更趨向于集中式管理、分布式殺毒的架構，對局域網進行遠程集中式安全管理，可通過賬號和口令設置控制移動控制臺的使用，并且先進的分布技術，利用本地資源和本地殺毒引擎，對本地節點的所有文件進行全面、及時、高效的查殺病毒，同時保障用戶的隱私，減少了網絡傳輸的負載，避免因大量傳輸文件而引起的網絡擁塞。部署上以服務器為中心，進行網絡殺毒的管理，這種方式與網絡拓撲結構融合，管理更加方便。部署方式及說明在安全管理區部署殺毒軟件管控中心服務器，在網內終端部署殺毒軟件客戶端，通過服務器端對終端的全面管理、制定病毒查殺策略。安全運維管理漏洞掃描漏洞掃

33、描系統主要用來定期檢查系統內網絡設備、終端系統、服務器系統、安全設備以及數據庫等系統重要資產的脆弱性情況，針對主干系統的特點，建議將漏洞掃描部署在標清和高清業務支撐平臺各自的安全管理區內，實現對各自業務支撐平臺定期的漏洞掃描，同時，漏洞掃描的結果將提交給安全管理與綜合審計平臺，成為風險分析的重要數據來源。漏洞掃描系統是基于網絡的脆弱性分析、評估和綜合管理系統，漏洞掃描系統能夠快速發現網絡資產，準確識別資產屬性、全面掃描安全漏洞，清晰定性安全風險，給出修復建議和預防措施，并對風險控制策略進行有效審核，從而在弱點全面評估的基礎上實現安全自主掌控。安全管理平臺安全管理平臺系統是一個面向全網IT資源的

34、集中安全管理平臺。通過對網絡中各類IT資源的安全域劃分，以及海量異構網絡與安全事件的采集、處理和分析，面向業務信息系統建立一套可度量的風險模型，使得各級管理員能夠實現全網的資產運行監控、事件分析與審計、風險評估與度量、預警與響應、態勢分析，并借助標準化的流程管理實現持續的安全運營。系統的主要功能包括：（1）網絡運行監控系統能夠對全網的各類網絡設備、安全設備、主機、數據庫、應用系統等實時、細粒度的運行監控，及時發現網絡中的可用性故障，并進行故障定位和告警響應，確保重要業務信息系統的可用性和業務連續性。系統能夠形象地展示出用戶的網絡拓撲，并動態展示拓撲節點的運行狀態，還能夠根據用戶管理的組織和部門結構在地圖上展示出設備或者設備組的地理位置。（2）事件及流量管理系統能夠采集全網中各類網絡設備、安全設備、主機、數據庫、應用系統等的日志、告警和事件，并對這些信息進行范式化、過濾、歸并，形成統一的事件格式，包括統一事件嚴重等級、統一事件類型和名稱等，使得管理員能夠在系統的管理控制臺上方便地瀏覽所有安全事件，并確保信息的一致性。針對所有安全事件，系統能夠通過事件關聯分析引擎進行多種事件關聯分析，包括規則關聯、漏洞管理、統計關聯，等等。（3）脆弱性管理系統