等保三级方案

1、等级化保护三级方案目 录1. 需求分析12. 设计原则13. 参考标准与规范24. 方案详细设计34.1. 功能要求设计34.1.1. 防火墙34.1.2. 入侵检测系统54.1.3. 入侵防御系统74.1.4. 网闸84.1.5. 防病毒网关104.1.6. 数据库审计104.1.7. 网络审计144.1.8. 安全管理平台174.1.9. 堡垒机224.1.10. 终端安全管理系统264.2. 性能设计要求544.2.1. 防火墙544.2.2. 入侵检测系统544.2.3. 入侵防御系统544.2.4. 网闸544.2.5. 防病毒网关554.2.6. 数据库审计554.2.7. 网络审

2、计554.2.8. 安全管理平台564.2.9. 堡垒机564.2.10. 终端安全管理系统564.3. 部署方案设计564.3.1. 防火墙564.3.2. 入侵检测系统574.3.3. 入侵防御系统574.3.4. 网闸584.3.5. 防病毒网关584.3.6. 数据库审计584.3.7. 网络审计594.3.8. 安全管理平台594.3.9. 堡垒机604.3.10. 终端安全管理系统605. 整体部署示意图611. 需求分析(1) 建立完善的访问控制体系，制定完善的访问控制策略，细粒度为端口级、单个用户。(2) 建立完善的审计、监控体系。(3) 建立完善的边界防御体系。(4) 建立完

3、善的计算机病毒、恶意代码防护体系。(5) 建立完善的运维管理体系。2. 设计原则本方案将主要遵循统一规划、分步实施、立足现状、节省投资、科学规范、严格管理的原则进行安全体系的整体设计和实施，并充分考虑到先进性、现实性、持续性和可扩展性。具体体现为：(1) 等级标准性原则本方案从设计到产品选型都遵循信息系统安全等级保护第三级要求。(2) 需求、风险、代价平衡的原则对任一网络，绝对安全难以达到，也不一定是必要的。应对一个网络进行实际分析(包括任务、性能、结构、可靠性、可用性、可维护性等)，并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定安全策略。(3) 综合性

4、、整体性原则安全模块和设备的引入应该体现系统运行和管理的统一性。一个完整的系统的整体安全性取决于其中安全防范最薄弱的一个环节，必须提高整个系统的安全性以及系统中各个部分之间的严密的安全逻辑关联的强度，以保证组成系统的各个部分协调一致地运行。(4) 易操作性原则安全措施需要人为去完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性。(5) 设备的先进性与成熟性安全设备的选择，既要考虑其先进性，还要考虑其成熟性。先进意味着技术、性能方面的优越，而成熟性表示可靠与可用。(6) 无缝接入安全设备的安装、运行，应不改变网络原有的拓扑结构，对网络内的用户应是透明的，不可见的。同时，安全设备的运行应该

5、不会对网络传输造成通信“瓶颈”。(7) 可管理性与扩展性安全设备应易于管理，而且支持通过现有网络对网上的安全设备进行安全的统一管理、控制，能够在网上监控设备的运行状况，进行实时的安全审计。(8) 保护原有投资的原则在进行信息安全体系建设时，应充分考虑原有投资，要充分利用已有的建设基础，规划整体安全体系。3. 参考标准与规范(1) 中共中央办公厅、国务院办公厅 200217号文国家信息化领导小组关于我国电子政务建设指导意见(2) ISO17799/BS7799：信息安全管理惯例(3) 1999 GB17859-1999 （中华人民共和国国家标准）计算机信息系统安全保护等级划分准则(4) 公安部信

6、息安全等级保护管理办法(5) 公安部信息系统安全等级保护实施指南(6) 公安部信息系统安全等级保护定级指南(7) 公安部信息系统安全等级保护基本要求(8) 公安部信息系统安全等级保护测评准则(9) ISO/IEC TR 13335系列标准(10) 信息系统安全保障理论模型和技术框架IATF理论模型及方法论(11) 4. 方案详细设计4.1. 功能要求设计4.1.1. 防火墙(1) 基于状态检测技术；支持路由、透明及混合模式部署。(2) 可针对源接口、目的接口、安全域、协议类型、源地址、目的地址和报文通讯时间等条件设定安全策略。(3) 支持静态路由和策略路由，可通过源接口、目标接口、源IP、目标

7、IP、协议类型、时间等条件设定策略路由；支持RIP、OSPF、BGP动态路由协议；支持ISP路由，能够提升用户对不同ISP网络访问时的路由效率，内置电信和联通地址库，同时用户可定义新的地址库。(4) 支持虚拟防火墙功能，可以将接口划分给不同的虚拟防火墙，每个虚拟防火墙具有独立的管理员、安全域、资源对象、安全策略、NAT规则、静态路由等配置。(5) 支持802.1Q VLAN。(6) 支持链路聚合（Link-Aggregation）功能以增加链路带宽并起到负载均衡和链路备份的作用，支持通过手动方式、IEEE802.3ad LACP方式来创建聚合链路。(7) 能够检测并阻断DDoS攻击和协议扫描，

8、如Jolt2、Land-Base、Smurf、Ping of death、winnuke 、teardrop、Syn flag、TCP Flood、ARP攻击等攻击行为，以及TCP、UDP、PING扫描等扫描行为，可以设定扫描识别阈值，并对检测到的扫描主机进行屏蔽。(8) 支持QoS和带宽控制，能够基于策略针对特定对象进行控制，比如可以根据单个主机IP或子网段，目标IP和子网段，服务类型、时间分配等条件来进行带宽控制；支持策略带宽保证。(9) 具备完善的设备状态监控和会话管理功能：可通过图形的方式动态显示设备的转发流量、系统连接数，以及根据不同的协议（如Web、Email、FTP、UDP）区分

9、的流量信息；可根据源地址、目的地址、端口号或协议类型等分类来查看目前设备的当前会话状态。(10) 支持免客户端的用户本地认证功能，用户必须在经过设备认证后才能访问特定网络。(11) 支持IPv6协议：支持IPv6、IPv4双栈运行、支持ipv6路由、支持手工隧道、6to4隧道和ISATAP隧道。(12) 支持主动扫描IP-MAC对应关系，支持IP-MAC一键绑定功能。(13) 支持STP生成树协议。(14) 支持二三层链路状态联动。(15) 支持IGMP Snooping，能够优化防火墙工作在透明模式下时，对二层组播报文的转发控制。(16) 支持与IDS的联动功能。(17) 路由、透明、混合接

10、入模式下均支持完整的NAT功能：1) 源地址NAT（多对一NAT）2) 目的地址NAT（多对一NAT）3) 目的端口转换4) 在DDNS应用模式下支持源地址NAT和目的地址/端口NAT5) 静态NAT（一对一NAT）6) 地址池NAT（多对多NAT）7) 服务器负载分担（一对多NAT）(18) 支持双机热备功能，包括主备模式(A/S)和主主模式(A/A)。(19) 支持连接状态自动同步。(20) 支持VRRP协议，包括VRRP V2和V3版本。(21) 支持三层链路监测。(22) 支持抢占优先级设置。(23) 支持配置自动同步。(24) 提供多种方式的管理界面，包括HTTPS、CONSOLE、

11、SSH、TELNET等。(25) 支持中英文管理界面。(26) 支持集中管理功能，可同时监控所有防火墙的运行状态，并支持对所有设备进行统一安全策略配置及进行版本升级。(27) 设备具有液晶显示屏，可在不登录设备的情况下实时显示设备运行状态、系统流量、管理地址等信息。(28) 支持管理员权限分级，支持用户自定义管理员权限表。(29) 支持本地日志、SYSLOG日志及NetFlow日志功能，支持在外接移动存储设备上存放本地日志；支持邮件报警功能，所发送邮件支持以加密方式传送。(30) 支持集中日志存储、管理及分析功能，并配置相关软件；支持日志合并处理；支持日志压缩存储和传输。(31) 支持自动报表

12、功能，用户可自行定义生成报表的周期、设备、日志类型、日志等级等；生成的报表可自动发送至用户指定邮箱。(32) 支持SNTP协议，可通过NTP服务器同步系统时间。(33) 支持双操作系统；支持多配置文件备份，最多可支持9个配置文件。(34) 支持配置向导，对于复杂配置可以通过向导的方式简化用户配置。(35) 支持设备运行状态自动记录，利于管理员分析问题。4.1.2. 入侵检测系统(1) 攻击检测能力1) 事件分析功能要求采用高级模式匹配及先进的协议分析技术对网络数据包进行分析。协议覆盖面广，事件库完备，能够对缓冲区溢出、网络蠕虫、木马软件、间谍软件等各种攻击行为进行检测2) 具备基于原理的Web

13、漏洞检测能力，精确识别SQL注入攻击，提供对重点服务器的入侵保护3) 支持对国内常见木马/p2p/IM/网络游戏以及其他违规行为的检测和发现 4) 具备碎片重组、TCP流重组、统计分析能力；具备分析采用躲避入侵检测系统技术的通信数据的能力；5) 采用基于行为分析的检测技术，对0day攻击能够很好防范。具备协议自识别功能6) 具备规则用户自定义功能，可以对应用协议进行用户自定义，并提供详细协议分析变量(2) 响应方式1) 应提供多种事件合并条件，避免事件风暴的产生2) 应支持下列实时响应方式：实时告警、屏幕报警/声音报警、邮件报警、SNMP报警、自定义程序报警等(3) 日志与报表1) 应支持多种

14、数据库类型，支持独立的日志报表模块部署。同时提供专门的数据库维护功能2) 具备自定义报表功能，支持交叉统计和多元组合查询详细事件，支持导出为WORDEXCELPDF HTML 等常用公文处理格式(4) 策略功能1) 应提供按照检测对象、攻击类型等分类的默认内置检测模版，且默认模版不可修改；提供向导化的策略编制方式2) 提供动态策略调整功能，对一些频繁出现的低风险事件，自动调整其响应方式(5) 管理功能1) 应具备集中管理功能，可实现分布部署、集中式安全监控管理和配置管理，日志报表模块可独立部署 ，适合大规模部署环境2) 各组件间（管理平台与引擎等）使用加密信道通信3) 简便易用的GUI管理界面

15、，要求能够对显示窗口进行自定义4) 具有设备的拓扑显示功能，可以在界面上以图形化的方式显示当前的部署拓扑5) 同时支持多个用户监测台的设置，支持至少8个以上的多用户监测台设置(6) 用户管理1) 对授权用户根据角色进行授权管理，提供用户登录身份鉴别和防暴力猜解；可以严格按权限来进行管理2) 要求对用户分级，并能够调整对不同用户的具体权限，提供不同的操作。对各级权限的用户行为进行审计(7) 升级管理1) 具备独立的升级管理中心，可对控制中心和设备进行升级2) 控制中心可以统一对下级控制台和设备进行升级3) 可手动、自动执行产品升级4) 公司网站提供产品离线升级包下载 5) 应保证每周一次的规则库

16、升级，重大安全事件随时更新(8) 产品安全性1) 需保证通信安全2) 需保证设备自身安全3) 应提供可扩展的用户身份鉴别方式接口，为增加用户身份鉴别强度提供支持4.1.3. 入侵防御系统(1) 入侵防御事件库事件数量不少于2000条。(2) 支持入侵防御事件库在线自动升级和手工导入。(3) 可基于IP地址、网段、时间、VLAN、协议类型、用户名称等条件设定IPS检测及响应方式，实现虚拟IPS引擎功能。(4) 采用先进的模式匹配及协议分析技术实现对网络报文的分析。(5) 支持碎片重组、TCP流重组及报文统计分析能力。(6) 抗躲避，可对采用躲避技术的攻击进行检测及防御。(7) 具备协议自动识别功

17、能。(8) 支持检测规则自定义功能。(9) 支持对网络蠕虫、木马后门、缓冲区溢出、间谍软件等各种攻击行为进行检测及防御。(10) 支持对国内流行木马的检测及防御功能。(11) 支持通过应用层检测来阻断或控制P2P下载，如迅雷、BitTorrent、BitComet、eMule等；可单独设定P2P下载占用的带宽。(12) 支持通过应用层检测来阻断流媒体应用，如PP-live、QQ直播等；可单独设定流媒体应用占用的带宽。(13) 支持通过应用层检测来阻断即时通信软件登录，如QQ、MSN等；支持针对QQ和MSN用户名称的黑白名单功能。(14) 支持通过应用层检测来阻断股票软件、网络游戏，如联众、大智

18、慧等。(15) 提供SQL注入攻击、XSS攻击的检测和防御，对Web服务系统提供保护。(16) 支持双机热备功能，包括主备模式(A/S)和主主模式(A/A)。(17) 支持连接状态自动同步。(18) 支持配置自动同步。(19) 支持Full mesh的连接方式。可以基于接口和链路状态进行主备切换。(20) HA切换时可以根据手工制定或自动计算的链路优先级顺序进行切换，防止在主备设备均有故障线路，但还有可达网络链路情况下，主备设备均不工作的问题。(21) 支持自动故障旁路功能（BYPASS）。(22) 提供多种方式的管理界面，包括HTTPS、CONSOLE、SSH、TELNET等。(23) 支持

19、集中管理功能，可同时监控所有IPS的运行状态，并支持对所有设备进行统一安全策略配置及进行版本升级。(24) 支持管理员权限分级，支持用户自定义管理员权限表。(25) 支持本地日志及SYSLOG日志。(26) 支持邮件报警功能，所发送邮件支持以加密方式传送。(27) 支持集中日志存储、管理及分析功能。(28) 支持自动报表功能，用户可自行定义生成报表的周期、设备、日志类型、日志等级等；生成的报表可自动发送至用户指定邮箱。(29) 支持通过快速切换按钮或系统维护菜单随时进行中英文双语切换。4.1.4. 网闸(1) 采用“2+1”系统架构，即由两个主机系统和一个隔离交换专用硬件组成。(2) 具有病毒

20、检测、文件交换、数据库同步、数据库访问、安全浏览、FTP访问、邮件传输、定制访问、二次开发、流媒体传输等基本功能。(3) 支持病毒检测功能，支持一源多目的及多源一目的文件交换。(4) 传输模式支持改名传输、增量传输、传输后删除等三种方式。(5) 支持文件格式特征过滤，并且不依赖于文件扩展名；支持重命名策略。(6) 支持支持oracle、Sql Server 、DB2、Sybase等主流数据库间的同种或异种数据库同步，支持单向和双向同步。(7) 支持病毒检测。(8) 支持灵活的数据库冲突处理策略，当关键字数据发生冲突时可选择：覆盖/丢弃。(9) 支持字段值按条件进行数据同步，支持字段类型是：数值

21、、字符、日期（固定格式）。(10) 支持数据库同步客户端的双机热备技术（不仅仅是网闸的双机热备），为用户提供更高的冗余技术支持。(11) 支持数据库同步数据统计、查询功能。(12) 支持数据库同步事件邮件报警功能。(13) 支持病毒检测功能。(14) 支持HTTP五种请求类型（GET/POST/PUT/HEAD/CONNECT）的黑白名单控制。(15) 支持文件类型（文件扩展名）的黑白名单过滤；支持URL地址黑白单控制。(16) 实现安全的FTP访问，支持对访问用户、访问协议命令、上传下载文件类型等访问过滤控制。(17) 支持病毒检测功能。(18) 提供专用客户端与网闸进行认证，未经授权的用户

22、无法访问业务系统；支持本地用户名口令认证；提供在线用户查看、管理界面截图。(19) 具有病毒检测专用模块，支持自动/手动两种升级模式。(20) 采用自有知识产权的病毒防护引擎，包括病毒检测引擎和病毒分析引擎。(21) 病毒库不少于30万种病毒特征，支持根据用户需求自定义病毒特征，病毒特征安全可控，具备自主研究分析病毒特征的能力。(22) 具有实时入侵检测系统机制，实时阻断入侵。(23) 具有抗DoS、DDoS攻击功能。(24) 管理方式采用B/S架构的Web方式管理，基于数字证书管理；支持命令行方式管理，支持远程SSH管理。(25) 日志实现按功能模块分组管理；日志支持远程存储，能为第三方提供

23、日志格式，实现日志数据分析；支持SysLog标准。(26) 支持2-32台设备双机热备，支持负载均衡（无需第三方设备）。(27) 支持设备自身物理端口冗余功能。4.1.5. 防病毒网关(1) 支持对HTTP、FTP、SMTP、POP3、IMAP协议的病毒检测和过滤功能。(2) 支持对文件感染型病毒、蠕虫病毒、脚本病毒、宏病毒、木马、恶意软件等的过滤，病毒库数量不少于60万。(3) 对于HTTP协议和邮件协议，提供信息替换功能，用以通知用户病毒被阻断，管理员可以自行设置替换信息。(4) 支持病毒库自动升级和手工导入。(5) 防病毒网关病毒库，不同于主机、终端防病毒软件病毒库。4.1.6. 数据库

24、审计(1) 采用旁路部署方式对原有网络不造成影响，网络审计产品的故障不影响被审计系统的正常运行。(2) 支持透明部署、支持单臂路由、支持路由模式、支持NAT、支持Bypass。(3) 采用B/S管理方式。(4) 无需在被审计系统上安装任何代理。(5) 审计引擎统一管理、至少支持2个以上的引擎同时管理，审计数据统一存储、查询、分析、统计。(6) 下级控制台（数据中心）可以设置接受上级管理。(7) 上级控制台（数据中心）可以查看所有下级的拓扑和状态。(8) 上级控制台（数据中心）可以为下级生成报表。(9) 上级控制台（数据中心）可以为下级下发审计对象。(10) Oracle数据库审计。(11) S

25、QL-Server数据库审计。(12) DB2数据库审计。(13) Informix数据库审计。(14) Sybase数据库审计。(15) MySQL数据库审计。(16) PostgreSQL数据库审计。(17) Teradata数据库审计。(18) Cache数据库所审计。(19) 人大金仓数据库的审计。(20) 达梦数据库的审计。(21) 南大通用数据库的审计。(22) 网络邻居审计。(23) NFS协议审计。(24) Telnet协议审计。(25) FTP协议审计。(26) Rlogin协议审计。(27) Radius协议审计。(28) RDP协议审计。(29) SSH协议审计。(30)

26、 SCP协议审计。(31) SFTP协议审计。(32) 支持自动方式建立web访问和SQL访问之间的对应关系，生成访问行为模型库。(33) 对于模型库以外的未知HTTP操作、未知SQL操作可进行标注审计。(34) 支持中间件环境下的SQL语句关联到HTTP操作，HTTP操作关联到HTTP-ID，实现中间件环境下的审计追溯。(35) 支持事后关联和实时关联两种方式。(36) 支持对针对数据库的XSS攻击行为进行审计。(37) 支持对针对数据库的SQL注入攻击行为进行审计。(38) 提供对数据库返回码的知识库和实时说明，帮助管理员快速对返回码进行识别。(39) 支持数据库并发会话数、并发进程数、并

27、发用户数、并发游标数、并发事务数、数据库锁等超过限制的审计。(40) 支持数据库账号登陆成功、失败的审计。(41) 系统应自带审计规则库，用户可自定义审计策略。(42) 审计策略支持时间、源IP、目的IP、协议、端口、登陆账号、命令作为响应条件。(43) 审计策略支持数据库客户端软件名称、数据库名、数据库表名、数据库字段名、数据库返回码作为响应条件（非正则表达式方式）。(44) 审计策略支持字段值作为分项响应条件（非正则表达式方式）。(45) 支持数据库绑定变量审计。(46) 支持访问数据库的源主机名、源主机用户的审计。(47) 支持SQL操作响应时间的审计。(48) 支持Select操作返回

28、行数的审计。(49) 支持数据库操作成功、失败的审计。(50) 支持数据库操作类、表、视图、索引、触发器、存储过程、域、Schema、游标、事物等各种对象的SQL操作审计。(51) 支持Telnet协议的审计，能够审计用户名、操作命令、命令响应时间、返回码等。(52) 支持对FTP协议的审计，能够审计用户名、命令、文件、命令响应时间、返回码等。(53) 支持审计网络邻居的用户名、读写操作、文件名等。(54) 支持审计NFS协议的用户名、文件名等。(55) 支持审计Radius协议的认证用户MAC、认证用户名、认证IP、NAS服务器IP。(56) 支持IP-MAC绑定变化情况的审计。(57) 记

29、录审计事件。(58) 记录会话数据。(59) 支持实时阻断、界面告警、Syslog告警、SNMP trap告警、邮件告警。(60) 实时监控对实时告警信息，当前会话进行详细察看；有助于管理员及时处置。(61) 支持按时间、级别、源目的IP、源目的MAC、协议名、源目的端口为条件进行查询。(62) 支持按数据库名、数据库表名、字段值、数据库登陆账号、数据库操作命令、数据库返回码、SQL响应时间、数据库返回行数作为查询和统计条件。(63) 支持按自定义关键字作为查询和统计条件。(64) 支持条件之间的与、或、非逻辑组合。(65) 系统提供报表模板库。(66) 系统支持根据自定义关键字自动生成报表。

30、(67) 支持按每天、每周、每月、时刻生成报表。(68) 支持生成CSV、Word、PDF、xls、HTML格式的报表导出。(69) 支持邮件方式自动发送报表。(70) 提供管理员权限设置和分权管理，提供三权分立功能，系统可以对使用人员的操作进行审计记录，可以由审计员进行查询，具有自身安全审计功能。(71) 管理员登陆支持静态口令认证，支持密码的复杂性管理，比如大小写、数字、特殊字符、长度等。(72) 能够对能够对连续失败登陆进行自动锁定，锁定时间可设置。(73) 审计系统上存在大量敏感信息，必须对审计管理员进行强度更高的认证，管理员登陆支持硬件令牌认证。(74) 提供审计数据管理功能，能够实

31、现对审计数据的自动备份、删除。(75) 提供审计报表自动备份功能。(76) 提供系统升级功能，能够通过升级包的方式实现升级。(77) 提供磁盘存储容量不足、磁盘Raid故障等自动邮件报警。(78) 提供CPU、内存、磁盘、网口、运行时间、运行状态等信息的监视功能。(79) 提供审计策略和配置的导入导出。(80) 支持SNMP方式，提供系统运行状态给第三方网管系统。(81) 支持Syslog方式向外发送审计日志。(82) 支持SNMP Trap方式向外发送审计日志。(83) 支持NTP时间同步。4.1.7. 网络审计(1) 网页过滤(2) 网络应用控制1) 标准应用协议：HTTP(S)，SMTP

32、，POP3，IMAP4，FTP，TELNET，SSH等2) IM：QQ，MSN，飞信，Yahoo! Messenger，Skype等3) P2P：BT，eMule/eDonkey，迅雷，Gnutella，PP点点通，百度下吧，Winny等4) 网络游戏：联众世界，魔兽世界，梦幻西游，中国游戏中心，新浪游戏，征途，游戏茶苑等5) 网络电视：PPStream，PPLive，费点，Sopcast，TVKoo，MOP，搜狐TV，UUSee，土豆，优酷等6) 炒股软件：大智慧，指南针，同花顺，证券之星，通达信，江海证券，国泰君安等7) 流媒体：RealMedia，WinMedia等8) 隐患服务：Win

33、dows文件共享，基于RPC协议的若干服务，VNC，MS SQL等(3) 内容审计和过滤1) 邮件审计内容：邮件收发时间、用户名称、发送邮箱地址、接收邮箱地址、收发类型、邮件主题、邮件正文、邮件附件名称及内容2) 过滤条件：发信人地址、 收信人地址、邮件主题关键字、邮件正文关键字、邮件附件名称、大小、类型及正文关键字3) WEB-MAIL站点：雅虎邮箱、搜狐邮箱、网易163、网易126、Msn Hotmail、Tom邮箱、新浪邮箱、G-Mail、QQ-Mail、Excite、Goo、Infoseek、Livedoor、21CN、139邮箱等(4) IM审计和过滤1) MSN审计和过滤：审计收发

34、动作、发送账号、接收账号、聊天内容、视频行为、文件传输内容；支持MSN shell加密聊天内容审计；基于MSN账号、文件名称、文件传输方向、文件类型、和文件大小阻塞聊天行为和文件传输行为；基于MSN外发信息的关键字进行匹配并报警；能够将审计信息按照一次完整的对话进行还原，提高内容的可读性2) Yahoo! Messenger审计：审计收发动作、发送账号、接收账号、聊天内容3) QQ审计：审计收发动作、发送账号（昵称）、接收账号（昵称）、聊天内容、语音聊天行为、群组聊天内容4) 飞信审计：审计收发动作、发送账号、接收账号、聊天内容、音视频行为、文件传输行为；基于账号和聊天内容关键字、文件名称、文

35、件类型过滤聊天行为和文件传输行为；对违反预定义规范的飞信聊天行为进行报警5) Skype审计：审计收发动作、发送账号、接收账号、聊天内容、文件传输名称、语音聊天行为6) 论坛发帖审计和过滤：能够针对各类BBS论坛、新闻评论、搜索引擎贴吧、博客、微博的发帖内容进行监控审计，包括发帖账号、标题、正文、附件，对于违背预设关键字的发帖进行实时阻断并报警；对于发帖日志，还可以通过时间、用户、关键字进行全面查询，准确定位发帖行为与内容7) 搜索引擎关键字审计和过滤：以记录用户通过搜索引擎站点、门户网站、论坛贴吧、购物网站、视频网站等搜索的关键字内容，并可以基于搜索类别、关键字内容过滤用户的非法搜索行为8)

36、 HTTP文件传输审计和过滤：可以基于文件名称、类型和大小审计HTTP文件上传下载内容，并可阻塞包含指定特征的文件传输行为9) HTTPS加密网页的审计和过滤：可审计HTTPS加密网页的访问情况，并可基于网站分类、证书合法性阻塞存在安全隐患HTTPS加密网页的访问，有效屏蔽用户对钓鱼网站的访问，保障企业网络安全和用户信息安全10) FTP文件传输审计和过滤：可以审计任意端口的FTP文件传输行为；可基于所传输文件在FTP服务器中的路径、文件名称阻塞文件传输行为；并可还原指定名称、大小或类型的文件内容11) TELNET内容审计：可审计内网用户的TELENT行为，记录TELNET目标设备的IP、端

37、口信息；记录执行的指令内容和结果(5) 实时监控1) 丰富全面的监控信息:系统资源健康状况，如CPU、内存、硬盘等使用信息；当前在线用户列表，包括全部合法用户以及活跃用户；当前网络实时流量以及最近24小时网络流量变化情况；本日应用流量排名、用户流量排名、网站点击量排名；预定义带宽通道资源使用情况2) 灵活的监控设置：选择一个、多个用户或者用户组实时监控；选择一个、多个应用实时监控；监控特定端口的网络流量(6) 查询统计与报表分析1) 完整的查询内容：基于用户的综合上网行为查询；网络流量查询，数据粒度可选，如：按汇总数据，小时流量，细节流量；Web访问记录查询，数据粒度可选，如：全链接，仅主链接

38、；控制粒度可选，如允许、阻塞；应用行为阻塞日志信息查询，便于对违规互联网行为进行取证；应用连接明细查询，便于追踪定位网络安全事件故障源；用户上网时长查询，可基于时间段、用户、应用协议等多种条件进行查询分析；电子邮件收发记录查询，可查看完整的邮件正文与附件内容；IM聊天内容查询，查看MSN与Yahoo! Messenger的完整聊天记录，同时，可方便追踪某两个IM用户之间所有聊天过程信息；论坛发帖内容查询，可查看完整的发帖正文与上传文件；P2P、网游、炒股、视频等网络应用行为查询；查询用户或用户组当前所适用的策略，便于排除或定位网络故障源；用户认证上线历史查询，建立时间、用户、IP间的对应关系2

39、) 灵活的查询条件设置：根据日期范围，以及每天的特定时间段查询；根据用户或者用户组查询；根据网络应用查询流量；根据网站类别、URL关键字、标题关键字、网页内容关键字、预设的过滤策略查询Web访问记录；根据发件人、收件人、主题、附件名、邮件大小、email类型、邮件主题及内容的关键字查询发送与接收邮件；根据发送帐号、接收帐号、IM类型、聊天内容关键字查询在线聊天记录；设置URL关键字与正文关键字查询论坛发帖记录3) 查询结果保存：直接导出为Excel表格，方便二次处理4.1.8. 安全管理平台(1) 事件管理1) 要支持路由器、交换机、防火墙等主流设备，采集方式至少要支持sylog、snmp、V

40、IP、XML、ODBC、netflow等通用协议进行信息采集2) 具备很强的扩展性，能够方便的支持现有及未来的各类设备；对新设备的定制支持时间小于5个工作日3) 事件显示内容包括：事件类型、事件名称、报警级别、来源IP、目的IP、设备类型、设备来源IP、接收时间等4) 事件过滤条件可以按照以下属性建立：事件类型、事件原生ID、源IP地址、源端口、源MAC地址、目的IP地址、目的端口、目的MAC地址等5) 事件合并条件可以按照以下属性建立：事件类型、事件原生ID、源IP地址、源端口、源MAC地址、目的IP地址、目的端口、目的MAC地址等6) 可以采用多个查询条件进行查询，如“设备IP”、“设备类

41、型”、“发生时间”等7) 安全事件提供基于知识库的关联，能够将信息安全事件与现有知识库进行关联8) 安全事件提供基于资产的关联，可以将当前发生的信息安全事件与预先定义的信息安全资产进行相关，从而不仅可以有效判断事件的优先级，还能够协助评估当前资产遭到威胁的状况9) 能够实时给出高危害安全事件的列表10) 事件按照威胁程度划分报警级别，报警级别按照5级划分(2) 域与资产管理1) 能够支持多级树型的安全域（不小于10级），便于支持用户复杂的组织架构和网络架构2) 支持多种资产属性的定义，至少包含：资产名称、资产类型、IP地址信息、物理位置、CIA等3) 支持针对资产的多种操作方式，至少包含：新增

42、、修改、批量修改、复制、粘贴、删除、导入、导出、查询等4) 可以根据资产编号、ip等属性对资产进行查询5) 可以查看资产的端口、漏洞信息6) 支持自动发现资产功能7) 可以配置资产所在地理位置，并且能在资产属性中配置资产所在地理位置(3) 风险管理1) 能够提供符合BS7799 / ISO 17799标准的风险管理视图，实时分析重要资产和安全域（业务单元）的各类风险，风险级别按照5级进行划分2) 能够关联出安全事件所影响到的信息资产3) 根据资产的安全需求、资产面临的威胁进行综合评估，给出当前资产的风险状况，并且能够从保密性、可用性、完整性三个方面进行详细的风险展示4) 能够根据资产风险的状况

43、对资产进行评级、能够根据安全域风险的状况对安全域进行评级5) 能够根据资产的风险状况进行排序，给出高风险资产清单6) 能够根据安全域的风险状况进行排序，给出高风险安全域清单7) 可以提供风险查询手段8) 用户可以从资产风险追踪到相关的高风险事件，从而有效判断资产风险的来源，并进行正确的处理9) 用户可以从安全域风险追踪到子域风险和子域所属资产风险，从而关联到相关的高风险事件，从而有效判断风险的来源，并进行正确的处理(4) 脆弱性管理1) 能够将漏洞扫描软件的扫描结果导入系统2) 内置对2种以上的主流漏洞扫描产品的支持，并提供统一的漏洞采集格式接口3) 能够进行多次结果之间的对比分析4) 能够将

44、扫描结果与资产的原有属性进行比较，并给出冲突项提交用户确认5) 支持资产的脆弱性管理，允许查看资产和安全域的脆弱性指标6) 漏洞支持多种状态（误报、确认、已防范等），能够人工调整漏洞状态，进行漏洞跟踪(5) 响应管理1) 可以提供多种响应方式，至少包括邮件、声音、工单、设备控制等2) 可以自定义多种响应条件，响应条件至少包括源地址、源端口、目的地址、目的端口、事件类型等3) 对于常见安全事件，可以提供应急响应预案和解决方案(6) 预警管理1) 提供图形化安全预警功能2) 安全预警形成统一的风险级别，为安全管理人员进行安全预警3) 对于新漏洞、蠕虫，能够进行自动化处理4) 能够宏观展示出当前信息

45、系统的安全状态，安全状态分为3个安全级别(7) 宏观趋势分析1) 能够提供地址熵、三元组、热点事件传播三种宏观分析模型2) 建立一套可以从宏观上对网络安全状态及发展趋势进行描述的方法和展示形式，建立从整体上反应网络安全运行状态的指标变量3) 关注目前最流行的攻击行为态势，关注热点事件的传播过程，对于已知和未知蠕虫事件的爆发过程能够进行准确描述；4) 建立攻击行为中源地址、目的地址、攻击类型的三元组模型，反应当前流行的网络攻击态势5) 通过观测热点事件的发展趋势，帮助管理员判断热点事件是否可能发展成为大规模网络安全事件，从而采取相应的防范措施(8) 流量管理1) 支持netflow，可以通过ne

46、tflow采集流量信息2) 总流量分析：对被监控网络内的总体流量进行实时计算分析，分析出当前流量是否异常3) 协议流量分析：对被监控网络内协议流量（TCP，UDP，ICMP，其他协议）进行实时计算分析，分析出当前各种协议流量是否异常4) 端口流量分析：对被监控网络内端口流量进行实时计算分析，分析出当前各种端口流量是否异常5) 应用流量分析：对被监控网络内应用流量进行实时计算分析，分析出当前各种应用流量是否异常(9) 基线管理1) 系统提供各种分析模型的动态基线。系统会通过自学习的过程为每个模型动态的建立起相应的基线，为每个模型分析安全态势提供了理论依据。基线的学习周期用户可以根据自己的需要来配

47、置。(10) 关联分析1) 能够提供规则关联分析方法2) 能够提供漏洞关联分析方法3) 能够提供统计关联分析方法4) 能够内置不低于20条的关联分析规则库5) 可以自定义关联分析后事件名称、级别、ip地址等6) 关联结果可以通过函数表达式自动生成7) 可以按照源地址、源端口、目的地址、目的端口、事件类型、事件级别等条件设置关联条件(11) 知识管理1) 能够提供SOC事件库、原始设备事件库、案例库、安全策略管理、安全公告、处置预案库、漏洞库、安全链接等知识库功能2) 能够提供设备原始事件库、安全策略文档库、安全公告库、处置预案库、报表模板库、预警信息库、TSOC漏洞库、工作流程库、设备控制功能

48、及脚本库、关联分析规则库等知识库的定期更新3) 对SOC事件能够分类，要求能够达到9大类、95小类，大类至少包含病毒木马、扫描探测、应用漏洞等4) 支持安全策略文档的上传、下载、发布等管理操作5) 同一个安全策略文档可以以多种格式进行上传和发布6) 提供基于关键字的安全策略的搜索和关联(12) 工作流管理1) 支持用户自定义工作流，提供图形化的工作流定制界面2) 可以支持流程的属性扩展3) 能够提供接口与响应模块连接4) 支持工作流的导入导出(13) 设备管理1) 支持telnet和ssh方式对设备进行控制2) 内置了对防火墙、路由器、交换机、Linux操作系统、Windows操作系统等设备的

49、支持，并可以根据用户实际需要进行扩展3) 支持用户定制设备控制命令4) 提供脚本的管理和搜索功能5) 能与响应模块相连接，实现自动控制设备(14) 用户管理1) 支持用户与用户组管理，一个用户可以属于多个用户组2) 应具备针对多用户、多资产对象、多域对象的灵活的权限设置3) 应支持集中的用户认证4) 应该采用三权分立的管理体制，要求默认设置用户管理系统管理员、系统管理员、审计管理员(15) 报表管理1) 可以提供风险报表、事件报表、资产报表、脆弱性报表、管理设备报表、用户报表、工单报表、定制报表2) 应支持具备交互操作的动态报表3) 能够定期从报表系统生成信息安全报告4) 报表系统支持用户自定

50、义，即允许用户根据自己的需求定制化报表(16) 系统管理1) 能够监控系统自身组件的健康状况2) 能够监控数据库健康状况3) 能够制定自动、手动等多种方式的日志维护任务4) 能够提供系统软件的自动、手动升级功能5) 能够通过全局策略控制安全事件是否进行预警、风险计算、关联分析等(17) 综合显示1) 能够提供柱状图、折线图、饼状图等宏观展示的仪表盘，帮助用户全面直观地了解各类安全信息和系统信息2) 可以按域查看事件的实时收集情况及资产风险值TOP10 和资产脆弱性TOP10 的图表3) 能够结合电子地图进行展示，在地图上显示IP信息、运行状态、风险状况、安全事件等信息4.1.9. 堡垒机(1)

51、 三权分立1) 用户多角色划分：系统需提供用户管理员、配置管理员、审计管理员、普通用户等多种角色；(2) 分布式管理1) 支持分布式部署，可以通过统一的数据中心采集各个独立引擎的日志。总部总控制台能够适时监控分布式部署引擎的系统状态以及账号信息、策略、报表和审计事件。2) 审计引擎统一管理、至少支持2个以上的引擎同时管理，审计数据统一存储、查询、分析、统计(3) 多级管理1) 下级控制台可以设置接受上级管理2) 上级控制台可以查看所有下级的拓扑和状态3) 上级控制台可以为下级生成报表4) 上级控制台可以为下级下发审计对象(4) 日志维护1) 可对审计日志按照时间段进行备份2) 可对审计日志进行

52、自动和手工备份(5) 系统升级1) 支持堡垒机系统的升级管理(6) 用户帐号实名制1) 可以根据具体的维护人员添加唯一与其身份对应的用户，实现维护人员身份的唯一性管理(7) 用户状态1) 可以设定活动、禁用两种用户帐号状态，当用户在一定时间内连续输错密码时，可以自动禁用该用户帐号(8) 用户身份认证1) 支持静态密码认证方式2) 支持双因素认证方式(9) 帐号有效期控制1) 可以通过配置用户帐号的密码有效期，使用户帐号在到期之后停止使用(10) 密码托管1) 通过对目标设备密码的托管，实现对后台设备的自动登录(11) 密码维护1) 支持系统管理员和认证用户的密码安全性设置，包括长度、复杂度等2

53、) 灵活可配置的密码修改策略；(12) 权限管理1) 支持黑名单（不可以执行）和白名单（只允许执行）2) 对于用户权限定义精确到命令级3) 对于关键的Telnet服务器，可以配置权限用户登录后自动执行命令集4) 可以对用户访问权限进行查看、变更、删除等操作(13) 访问策略定义1) 可实现基于访问IP、用户账号、目标设备、目标服务、系统帐号、具体操作、时间设定比较详细的访问策略2) 不符合访问策略的操作可以被阻断3) 每个访问策略可以支持多个访问规则(14) 操作规则定义1) 对于文件操作，能够定义文件目录名、操作类型、命令响应时间、返回码等（非正则表达式模式）2) 对于命令行操作：能够定义用

54、户名、操作命令、命令响应时间、返回码等（非正则表达式模式）3) 对于图形操作：能够定义用户名、访问源主机等（非正则表达式模式）4) 对于数据库操作：能够定义数据库操作类、表、视图、索引、触发器、存储过程、域、Schema、游标、事物、响应时间、返回行数、操作成功失败等各种对象（非正则表达式模式）(15) 实时监控1) 可对RDP、VNC、Telnet、SSH等协议进行实时监控2) 对于实时监控的会话，可以手动进行阻断(16) 系统对操作响应1) 记录审计事件2) 记录会话数据3) 忽略4) 实时阻断5) 界面告警6) Syslog告警7) SNMP trap告警8) 邮件告警(17) 查询条件

55、1) 所有操作均支持按时间、级别、源目的IP、源目的MAC、协议名、源目的端口为条件进行审计日志查询(18) 命令操作搜索1) 搜索关键词支持正则表达式；(19) 图形操作搜索1) 可以以键盘输入的内容为关键字进行搜索；(20) 数据库操作搜索1) 支持按数据库名、数据库表名、字段值、数据库登陆账号、数据库操作命令、数据库返回码、SQL响应时间、数据库返回行数作为查询和统计条件(21) 操作和会话关联1) 搜索结果与操作会话关联，实现快速定位(22) 命令操作1) 支持命令操作会话的完整回放(23) 图形操作1) 支持图形操作的回放2) 支持倍速回放3) 支持回放全屏显示4) 回放时可显示键盘

56、和鼠标操作内容(24) 审计报表1) 支持生成各种格式的审计报表，包括PDF、Word、Excel、HTML等格式2) 系统自带多种报表模板3) 系统支持自定义报表4) 支持报表按日、周、月自动生成，并且可自动邮件发送给相关管理人员4.1.10. 终端安全管理系统(1) 服务器级联管理：1) 支持服务器级联管理，可以支持无限级的中心服务器进行级联。当然，单级服务器仍然支持一个中心服务器和多个本地服务器，结合无限级的服务器级联，对终端的管理规模可以无限扩展。2) 灵活方便的服务器级联管理关系管理，服务器安装的时候无需指定上下级关系，安装后可以直接通过Web控制台由级联关系管理员指定。级联管理员也有权限根据级联管理的要求随时更改服务器上下级级联关系，以适应网络环境和级联管理变化要求。3) 级联管理员除了可以对本机服务器进行管理之外，还可以查看和巡视到所有下级服务