天融信网络漏洞扫描系统白皮书
天融信网络漏洞扫描系统
白皮书
目录
1产品功能描述 (3)
1.1漏扫扫描系统 (3)
1.1.1系统概述 (3)
1.1.2功能描述 (3)
2产品硬件规格及性能参数 (6)
2.1漏扫:TSC-71528 (6)
3产品测试方案 (7)
3.1漏洞扫描系统测试方案 (7)
3.1.1测试目的 (7)
3.1.2测试环境 (8)
3.1.3功能测试 (9)
3.1.4专项测试 (32)
3.1.5漏洞测试 (37)
3.1.6压力测试 (55)
3.1.7测试结论 (57)
1 产品功能描述
1.1 漏扫扫描系统
1.1.1 系统概述
网络系统的安全性取决于网络系统中最薄弱的环节,然而策略的制订和实施在实际应用中相差甚远,网络系统的安全性是一个动态的过程,系统配置的不断更改,攻击技术的不断提高,网络系统的安全系数也会不断的变化,如何及时发现网络系统中最薄弱环节?如果最大限度地保证网络系统的安全?最有效的方式就是定期对网络系统进行安全性分析并及时发现并查找漏洞并进行修改。因此需要建立一套漏扫主动发现的手段完善企业网络安全。
漏洞扫描系统即是漏洞发现与评估系的统,作用是模拟扫描攻击,通过对系统漏洞、服务后门等攻击手段多年的研究积累,总结出了智能主机服务发现,可以通过智能遍历规则库和多种扫描选项的组合手段,深入检测出系统中存在的漏洞和弱点,最后根据扫描结果,提供测试用例来辅助验证漏洞的准确性,同时提供整改方法和建议,帮助管理员修补漏洞,全面提升整体安全性。
1.1.2 功能描述
漏洞扫描管理设计
扫描管理
漏洞扫描一般采用渐进式扫描分析方法,融合操作系统指纹识别、智能端口服务识别等技术,能够准确识别被扫描对象的各种信息,发现其弱点和漏洞,并提出安全解决建议。
任务管理中心为用户扫描操作提供了方便,可以使用默认扫描策略也可以使用自定义扫描策略,来创建任务扫描计划,创建扫描任务时也可调整执行方式,建立定时任务、周期任务、标准任务等,从而具体针对性的进行脆弱性扫描。
安全域管理
系统运用预探测、渐进式、多线程的扫描技术,全面、快速、准确的发现被扫描网络中的存活主机,准确识别其属性,包括主机名称、主机地址、操作系统等。
策略管理
系统包含多个策略模板,全策略模板的漏洞库涵盖目前的安全漏洞和攻击特征,具备至少CVE、CNNVD、CNCVE、CNVD、BUGTRAQ 等标准,系统还支持自定义策略模板,为用户扫描操作变得更加灵活。
报表管理
报表管理可以将扫描的结果生成在线或离线报表,也可以根据不同的用户角色生成报表,并对扫描结果进行细致全面的分析,并以图、表、文字说明等多种形式进行展现,并以Html、PDF、Word、Excel等格式进行导出。
系统漏洞检测
漏洞扫描系统可以针对各种系统、设备及应用进行漏洞发现,至少包括如下信息:
网络主机:服务器、客户机、网络打印机等;
操作系统:Microsoft Windows 9X/NT/2000/XP/2003、Sun Solaris、HP Unix、IBM AIX、IRIX、Linux、BSD等;
网络设备:Cisco、3Com、Checkpoint等主流厂商网络设备;
应用系统:数据库、Web、FTP、电子邮件等。
?数据库漏洞检测
数据库漏洞扫描应当可以针对当下主流的数据库,如Oracle、MySQL、DB2、PostgreSQL、Sybase、SQL Server等进行漏洞检测,包括对数据库系统的各项设置、数据库系统软件本身已知漏洞、数据库系统完整性进行检查和对数据库系统的整体安全性做出评估,并给出提高数据库安全性的修复建议。
?丰富的漏洞库
系统包含CNNVD认证的系统漏洞库;并且覆盖当前网络环境中重要的,主流的系统和数据库等漏洞,并且能够根据网络环境的变化及时调整更新,确保漏洞识别的全面性和时效性。
用户除了可以使用软件默认提供的检测库外,也可以添加自定义的规则库,并具备规则库的转换和合并等功能。
?强有力的扫描效率
综合运用预探测、渐进式、多线程的扫描技术,能够快速发现目标网络中的存活主机,然后根据渐进式探测结果选择适合的扫描策略,启动多个线程进行并发扫描,从而保证了扫描任务可以迅速完成。
?准确的漏洞识别率
采用渐进式扫描分析方法,融合最新的操作系统指纹识别、智能端口服务识别等技术,能够准确识别被扫描对象的各种信息,如操作系统、网络名、用户信息、非常规端口上开放的服务等。
?多样化的结果报表呈现
生成面向多个用户角色的客户化报表,并以图、表、文字说明等多种形式进行展现,同时支持以HTML、EXCEL、WORD、PDF等多种格式导出结果报表。
2 产品硬件规格及性能参数2.1 漏扫:TSC-71528
3 产品测试方案
3.1 漏洞扫描系统测试方案
3.1.1 测试目的
本次测试是对天融信脆弱性扫描与管理系统的功能性测试、专项测试、漏洞测试以及压力测试等,以下是具体的测试报告。
3.1.2 测试环境
天融信
网络卫士脆弱性
扫描与管理系统环境说明:
3.1.3 功能测试3.1.3.1 添加用户
3.1.3.2 设备管理
沈阳大学——浪潮云海大数据一体机产品白皮书
浪潮云海大数据一体机 产品白皮书 2014.8 浪潮信息云产品部
目录 1.产品介绍 (2) 1.1产品定位 (2) 1.2产品特点 (2) 2.体系架构 (3) 2.1大数据一体机硬件组成 (4) 2.2大数据一体机网络拓扑 (5) 2.3大数据一体机软件架构 (6) 3.应用场景 (8) 4.关键技术特性 (9) 5.技术指标 (9)
1.产品介绍 1.1产品定位 浪潮云海大数据一体机(Inspur In-Cloud SmartData Appliance 以下简称SDA 或大数据一体机)面向行业大数据应用场景,是一体化数据处理的解决方案,采用新型技术体系架构,整合软硬件系统,采用全分布式大数据处理架构,平台能够随着客户数据的增长和业务的扩张而不断线性扩展,解决了传统架构的扩展瓶颈,集成计算单元、存储单元、通讯单元、管理单元、等核心模块,涵盖数据存储、数据处理、数据呈现等全环节,是金融、电信、公安、交通、卫生等各个行业用户大数据分析处理平台的理想之选。 1.2产品特点 新型技术体系架构 采用全分布式大数据处理架构,平台能够随着客户数据的增长和业务的扩张而不断增长,并且能够保持极高的线性度,解决了传统架构的扩展瓶颈,系统在扩展至120000核心时依旧保持0.8左右的扩展效率; 软硬一体化的系统 集成计算单元、存储单元、通讯单元、管理单元等核心模块,是对数据存储、处理、展现的全环节的解决方案,由浪潮统一开发,能够统一交付,集中管理,用户可以轻松完成; 全局优化的系统
浪潮进行全局优化性能等技术指标大幅提升,在性能、可用性方面有了重大提升。 16%:通过优化系统任务调度策略,动态调整任务执行资源,减少慢任务数量,任务执行时间平均缩短16%以上; 30%:引入Reed-Solomon算法,优化分布式散列数据布局,满足文件高并发和高带宽双重需求同时平衡数据冗余度,浪潮采用两副本加编码的方式相对三副本最大可实现30%空间节省; 50%:采用多级高速缓存,实现硬件加速。经测试,1TB数据排序测试整体访问性能提高50%; 系列化、产品化 针对视频等重载应用、商业智能分析应用、海量并发的轻量级线程类应用这三类应用场景。云海大数据一体机根据用户应用特点提供个性化解决方案; 国产化 浪潮可提供基于飞腾处理器、浪潮云谷系统等产品的全国产化方案;在敏感行业、关键数据,保障数据核心处理平台的自主可控; 专业化服务 从业务分析、应用移植、应用开发到运维服务的全环节服务保障。解决用户在实施分布式数据理架构面临的软硬件部署、二次开发等实际问题,帮助客户实现由传统数据仓库向新型大数据平台的平滑迁移。 2.体系架构 大数据一体机基于Apache Hadoop集群架构,由三个大的模块构成:底层基础架构基于浪潮的先进硬件平台,软件部分则采用浪潮的专有Hadoop发行版来提供海量数据的存储与处理能力,通过浪潮软件、硬件的彼此优化与整合,形成一套高性能的软硬一体的平台解决方案,并经过大量的测试调优来保证整体系统的兼容性、稳定性和可靠性。在软硬件之上,还架构了一个可视化的管理界面来帮助用户对一体机的硬件、软件进程进行统一的管理和控制。
漏洞扫描系统多少钱
发现系统漏洞之前都要进行相关的程序扫描,与入侵检测/入侵防御系统等被动防御手段相比,漏洞扫描是一种主动的探测方法,通过对已探测漏洞的修补,可以有效防止黑客攻击行为,防患于未然。通过对网络的扫描,可以了解网络的安全配置和运行的应用服务,及时发现安全漏洞,客观评估网络风险。漏洞扫描系统多少钱?想要获取漏洞扫描系统的价格,可以直接拨打屏幕上的电话,或者与我们的技术专家在线沟通,当然了,您也可以留下您的联系方式,我们会尽快与您取得联系~ 铱迅漏洞扫描系统(英文:Yxlink Network Vulnerability Scan System,简称:Yxlink NVS),是唯一支持IP地址段批量反查域名、内网穿透扫描的专业漏洞扫描器,可支持主机漏洞扫描、Web漏洞扫描、弱密码扫描等。铱迅漏洞扫描系统可以广泛用于扫描数据库、操作系统、邮件系统、Web服务器等平台。通过部署铱迅漏洞扫描系统,快速掌握主机中存在的脆弱点,能够降低与缓解主机中的漏洞造成的威胁与损失。 主机漏洞扫描 主机系统上存储、处理和传输各种重要数据,可以说主机的安全问题是Internet安全的核心问题之一,是Internet实现安全性的关键。因此,主机系统的安全防护也是整个安全策略中非常重要的一环,铱迅漏洞扫描系统全面支持各种主机漏洞的检测。 铱迅漏洞扫描系统支持扫描操作系统漏洞、网络设备漏洞、Web服务器漏洞、数据库服务器漏洞、邮件服务器漏洞、DNS漏洞等。 Web漏洞扫描 Web应用程序可以运行于多种操作系统平台,由于网站开发人员在进行编码时,对Web应用的安全性考虑不周,容易引入各种Web漏洞。另外,如果管理员对于安全性重视度不够,不对已知的缺陷进行修补,攻击者能很容易利用Web应用程序漏洞穿透防火
浅析计算机网络安全与漏洞扫描技术
浅析计算机网络安全与漏洞扫描技术 发表时间:2017-07-27T09:50:21.773Z 来源:《防护工程》2017年第7期作者:郑冬雪[导读] 在预防计算机系统程序漏洞工作中,可以通过使用竞争编码预防安全漏洞。 成都双流国际机场股份有限公司四川成都 610000 摘要:一般来说,互联网设计的领域十分广泛,不受地域、时间、人员的限制,基于互联网上述的性质,为人们的生活带来了众多便利,但是同时也无形中增加了自身的危险性,由于涉及的层面较多,关乎的因素也较多,因此,任何一种因素的改变都会制约互联网的正常运行,使得互联网失去安全的环境。这篇论文根据上述介绍的内容做出了深入的研究,主要讲述计算机网络与漏洞扫描技术的实际应用和存在的价值。 关键词:计算机网络安全;漏洞扫描技术;网络信息安全 1漏洞检测技术对计算机网络安全的作用 (1)预防竞争性漏洞。在预防计算机系统程序漏洞工作中,可以通过使用竞争编码预防安全漏洞。原子编码是编程语言中最小的单位,对系统运行的影响较小。原子化操作是指通过锁定系统状态从而避免系统发生异常变化,导致间接调动系统文件或语句。(2)预防缓冲区漏洞。缓冲区的漏洞能够通过计算机系统程序检测出来,同时可以通过应用系统中的危险函数进行预防,通过强制更新计算机版本覆盖存在安全漏洞的版本,例如将版本4.0.6.7683更新至4.0.6.7687。(3)预防随机性漏洞。通过使用性能良好的随机发生设备能够有效预防计算机系统程序出现随机性漏洞。基于设备自带密码算法,能够通过随机流数来实现计算机安全监测。当计算机出现系统漏洞时,由于无法确定具体数据,及时被黑客攻击也无法获取计算机中的资料。(4)预防字符串漏洞。通过在数码中直接应用于格式常量能够有效预防字符串漏洞,能够使黑客无法对系统进行侵入。函数公式在没有给出具体数值的情况下,是无法进行计算的。因此,计算机程序在使用各类函数进行安全监测时,需要确保各方面的参数设置以及性能的均衡。 2计算机网络安全漏洞防范的具体措施 2.1防火墙技术网络 目前,为了给计算机网络的使用提供安全、健康的环境,科技人员创造出防火墙技术,将安全漏洞和整体系统进行分离。但是,这种过滤型隔离技术并不是十全十美的,其很难分辨出隐含的操作地址,使得整个安全维护工作出现了弊端。尽管,目前的代理技术可以缓解上述问题,但也需要借助防护器在密码辅助的条件下才能顺利进行。若是想将防火墙装配全部应用到互联网安全维护体系中,就必须要利用防控技术,合理控制互联网使用者的权限,避免部分数据资料的流失,以此维护互联网的稳定。 2.2漏洞扫描技术 这项技术的使用宗旨在于对计算机互联网体系内部漏洞的监管,及时发现漏洞的存在并给以相应的解决方案。比如说,在对计算机主机端口进行漏洞扫描的时候,可以采用模拟的形式确定漏洞是否存在,接下来在一层层的确认环节后,将出现的和将要出现的漏洞统统找到,最后根据其成因给出解决方案。一般来说,对于互联网端口和设备的检测必须要经常进行,要定期检查并不定期抽查,特别是在经常出现漏洞的部位更要严格检测,因为只有每隔一段时间的监管才能确保计算机一直处在安全稳定的环境当中,才能保证其正常的操作和使用。 2.3提高病毒的防杀技术 在对网络造成不良影响的众多成因中,病毒的杀伤力是极大的。为此,最为核心的安全技术便是防范网络病毒并进行杀毒处理。大多数计算机用户都认为对网络病毒的防范最重要的就是杀毒,其实并不是那么简单的。防止电脑中毒是有效避免网络病毒的首要步骤。若感染后再分析病毒并杀毒,难以从本质上解决计算检网络问题,而只是采取补救措施罢了。所以,针对计算机网络病毒,要从杀毒转变为防病毒,用户可在计算机内安装软件监督计算机内病毒情况,而且应注重杀毒软件的更新,若觉察到了计算机内潜在病毒的存在,应当立即消除病毒隐患。 3安全漏洞扫描的技术简析 3.1主动扫描与被动扫描 现今社会当中,科技水平在逐年强化,整个漏洞监管体系也被分成两个方面:主动扫描和被动扫描。对于主动扫描的概念可以解释为:其是一种较为老旧的监管方式,是计算机自带的一种安全防卫模式,以便计算机对互联网环境的维护。被动扫描的概念可以解释为:其是一种自动感应的互联网监管体系,一般只会在极其特殊的情况下才会运作,使得整个监管系统变得全面。虽然两者具有本质的不同,但是都有各自的优势:主动扫描进行的速度很快、反应敏捷且扫描准确;被动扫描进行的较为全面,监管力度较强。 3.2采用暴力破解法 一般来说,很多互联网体系都会安装安全防护装置,以此保护使用者的使用安全,但是如果想要得到使用者的信息则需要对应的口则,导致问题较为繁琐,使得难度较低的口则被攻击者轻易破解。这样一来,攻击者就会轻而易举的得到互联网的访问权限,但是不会引起管理人员的注意。 4结束语 互联网危险度表现为以下几点:互联网因为安全漏洞的出现,导致使用人的人身安全、人员信息、财产数据等等信息泄露;随着科学技术水平的不断提升,使得网络的使用状况更加危险,很多隐含的漏洞无形中增加,就算是安全扫描也可能忽视。所以说,若是想强化互联网漏洞扫描技术,实现整体化的检测,就必须要不断强化互联网安全维护工作,将每一份任务都做到位。除此之外,安全维护人员还要不断学习,创造出顺应时代需要的新技能,使得漏洞扫描系统更加全面和高效。对于目前扫描中发现的互联网缺陷,管理人员必须要及时解决,为计算机的运行营造安全、健康的互联网环境。 参考文献: [1]魏昭.计算机网络防御策略求精关键技术研究[D].北京航空航天大学,2014.
信息系统安全等级保护定级报告实例
信息系统安全等级保护定级报告 (起草参考实例) 一、支付通网上支付服务系统描述 (一)该中间业务于*年*月*日由*省邮政局科技立项,省邮政信息技术局自主研发。目前该系统由技术局运行维护部负责运行维护。省邮政局是该信息系统业务的主管部门,省邮政局委托技术局为该信息系统定级的责任单位。 (二)此系统是计算机及其相关的和配套的设备、设施构成的,是按照一定的应用目标和规则对邮储金融中间业务信息进行采集、加工、存储、传输、检索等处理的人机系统。整个网络分为两部分,(图略),第一部分为省数据中心,第二部分为市局局域网。 在省数据中心的核心设备部署了华为的S**三层交换机,…… 在省数据中心的网络中配置了两台与外部网络互联的边界设备:天融信NGFW 4**防火墙和Cisco 2**路由器…… 省数据中心网络中剩下的一部分就是与下面各个地市的互联。其中主要设备部署的是……整个省数据中心网络中的所有设备系统都按照统一的设备管理策略,只能现场配置,不可远程拨号登录。 整个信息系统的网络系统边界设备可定为NGFW 4** 与Cisco 2**。Cisco 2** 外联的其它系统都划分为外部网络部分,而NGFW 4** 以内的部分包括与各地市互联的部分都可归为中心的内部网络,与中间业务系统相关的省数据中心网络边界部分和内部网络部分都是等级保护定级的范围和对象。在此次定级过程中,将各市的网络和数据中心连同省中心统一作为一个定级对象加以考虑,统一进行定级、备案。各市的网络和数据中心还要作为整个系统的分系统分别进行定级、备案。
(三)该支付服务系统业务主要包含:网络表够电、IC卡购电、抄表购电等便民缴费服务。用户不必受网点营业时间限制,足不出户在线完成各类行业IC 卡的充值及信用卡还款、手机充值、游戏点卡、航空客票购买等增值服务。支付宝账号充值和订单支付服务。为银行和银行卡用户提供服务通道,借助支付通平台和支付通终端提供的通路,银行卡用户可在线办理银行卡余额查询、转账等银行卡业务。信息订阅:针对支付通平台用户提供各类信息订阅,为用户提供合作商户及支付通的各类优惠打折信息订阅,主要是通过手机短信或彩信、网页显示方式推送给用户。支付宝账号充值和订单支付服务。后续还会有诸如歌华宽带、速通卡业务、各类手机账单缴费业务、账单支付业务等。 涵盖了网上购物、保险、教育、旅游、交通等行业的电子商务业务的网络支付服务。系统针对业务实现的差异分别提供实时联机处理和批量处理两种方式。其中:通过网络与第三方机构的连接,均采用约定好的报文格式进行通讯,业务处理流程实时完成。 业务处理系统以省集中结构模式,负责各类中间业务的业务处理,包括与第三方实时连接、接口协议转换、非实时批量数据的采集、业务处理逻辑的实现、与会计核算系统的连接等。 二、X省邮政金融网中间业务系统安全保护等级的确定 (一)业务信息安全保护等级的确定 1、业务信息描述 金融网中间业务信息包括:代收费情况信息,缴费公民、法人和其他组织的的个人(单位)信息,欠费情况,以及代收费的银行、电信、燃气、税务、保险等部门的信息等。属于公民、法人和其他组织的专有信息。 2、业务信息受到破坏时所侵害客体的确定(侵害的客体包括:1国家安全,
操作系统漏洞扫描实验
操作系统漏洞扫描实验 应用场景 网络系统也是非法入侵者主要攻击的目标。开放分布或互连网络存在的不安全因素主要体现在: 一是协议的开放性。TCP/IP 协议不提供安全保证,网络协议的开放性方便了网络互连,同时也为非法入侵者提供了方便。非法入侵者可以冒充合法用户进行破坏,篡改信息,窃取报文内容。 二是因特网主机上有不安全业务,如远程访问。许多数据信息是明文传输,明文传输既提供了方便,也为入侵者提供了窃取条件。入侵者可以利用网络分析工具实时窃取到网络上的各种信息,甚至可以获得主机系统网络设备的超级用户口令,从而轻易地进入系统。 三是因特网连接基于主机上社团的彼此信任,只要侵入一个社团,其他就可能受到攻击。 基于网络的漏洞扫描器包含网络映射(Network Mapping )和端口扫描功能。 我们以基于网络的漏洞扫描器为例,来讨论基于网络的漏洞扫描器。基于网络的漏洞扫描器一般结合了扫描器网络端口扫描功能,常常用来检测目标系统中到底开放了哪些端口,并通过特定系统中提供的相关端口信息,增强了漏洞扫描器的功能。 基于网络的漏洞扫描器,一般有以下几个方面组成: ①漏洞数据库模块:漏洞数据库包含了各种操作系统的各种漏洞信息,以及如何检测漏洞的指令。由于新的漏洞会不断出现,该数据库需要经常更新,以便能够检测到新发现的漏洞。 ②用户配置控制台模块:用户配置控制台与安全管理员进行交互,用来设置要扫描的目标系统,以及扫描哪些漏洞。 ③扫描引擎模块:扫描引擎是扫描器的主要部件。根据用户配置控制台部分的相关设置,扫描引擎组装好相应的数据包,发送到目标系统,将接收到的目标系统的应答数据包,与漏洞数据库中的漏洞特征进行比较,来判断所选择的漏洞是否存在。 ④当前活动的扫描知识库模块:通过查看内存中的配置信息,该模块监控当前活动的扫描,将要扫描的漏洞的相关信息提供给扫描引擎,同时还接收扫描引擎返回的扫描结果。 ⑤结果存储器和报告生成工具:报告生成工具,利用当前活动扫描知识库中存储的扫描结果,生成扫描报告。扫描报告将告诉用户配置控制台设置了哪些选项,根据这些设置,扫描结束后,在哪些目标系统上发现了哪些漏洞。 实验目标 1. 了解常见的可能出现漏洞的操作系统 2. 了解操作系统中常见的漏洞 VM Client VM Server
舆情监测系统白皮书
阳光安吉 专业舆情监测产品白皮书
阳光安吉成立于2009年8月,是一家专注于互联网舆情监测服务,提供整合网 络信息服务的专业服务型企业; 公司致力于用户体验优化和高新技术创新,在互联网信息采集与数据挖掘、搜索引 擎核心技术、自然语言智能处理等领域的科学研究,运用最前沿的全文搜索技术、内容管理技术、文本挖掘技术、中文分析技术、海量数据处理技术,为各行业提供 专业的互联网信息整合、舆情服务,从而创造和实现新的价值 首家在网络舆情监测领域引入“云计算”技术的高科技企业; 首批提供全网监测的网络舆情监测服务提供商; 中国唯一一家承诺舆情情感倾向判定高准确率的监测平台; 舆情行业标准的参与者与制定者; 专注于舆情产品的研发与推广,是自主可控的舆情产品生产商 阳光安吉云监测--网络舆情监控(非企业版)系统,项目编号:2011SR021587 阳光安吉云监测--网络舆情监控系统V2.0,项目编号:2011SR020874 互联网实时在线监控平台软件,项目编号:2011SR020301 口碑营销效果分析系统,项目编号:2011SR021428 互联网服务器网关控制软件,项目编号:2011SR020136 项目名称:阳光安吉云监测--网络舆情监测系统V1.0,项目编号:2010SR028970 公司简介 企业优势 阳光安吉公司 软件著作权
信息的价值 网络作为新的信息传播形式,已代替电视、报纸等传统媒体成为舆论传播的新载体。 近两年来,中国网民规模急剧扩大,网络基础设施日益完善,互联网普及率不断提升:2012年中国网民规模达到5.13亿,手机网民突破5亿,互联网的重要性逐渐凸显,已在社会、政治、经济、文化等各个领域发挥着重要作用。互联网的发展使网络信息迅速膨胀,如何在浩瀚的网络世界中发掘出重要的信息和情报,将是政府、企业、媒体关注的重点。特别是“微博”的崛起,网络议题得到传统媒体的响应和深入挖掘,而传统媒体的报道也经常在网上被迅速发酵、放大成全国性舆论。 政府部门面临的挑战 广西烟草局长“香艳日记”、山东新泰选拔23岁副局长、南京“徐宝宝”……一系列在全国范围内掀起舆论旋风的事件几乎都发端于网络论坛,在网络民意的推动下,一步步发酵升级,并最终解决。而“信访不如信网”也成为当下许多利益受损群众信奉的法则。 在观察这些网络事件时不难发现,不少事件最初都出现在地方网络论坛上,在问题没有得到解决的情况下,才逐步向全国性论坛转移,最终升级为公共事件。 信息对企业的战略作用 比尔.盖茨曾在《未来时速》一书中提出“怎样收集、管理和使用信息将决定企业的成败”的重要观点。在信息、知识经济时代,信息已被国际公认是继资金、技术、人才之后企业的第四大生产要素,信息、情报竞争也日趋白热化。在第一时间获取关于公司的正负面新闻、泄密信息、公司领导的相关报道、近期的舆论热点等,以及深层次调研用户需求、市场反馈,改进自身的售后服务、借鉴竞争对手的核心竞争力情况等。这些对于企业提升自身竞争力都至关重要。 信息对媒体的重要性 相对传统三大媒体,网络新闻具有及时性、交互性、海量性、多渠道、个性化等特点。如“躲猫猫”事件、“杭州飙车案”、“绿坝遭遇杯葛”、“上海市户籍新政”等热点事件多是通过网络进行第一时间传播。从网络资源中发现舆情,追溯新闻事件起因,追踪事件发展,进行公正、客观的报道,为社会各界提供更具价值的信息服务。搭建以互联网舆情监测平台为基础的未来信息服务新架构,将是新媒体时代提高信息服务质量的利器。
漏洞扫描系统运行安全管理制度(通用版)
( 安全管理 ) 单位:_________________________ 姓名:_________________________ 日期:_________________________ 精品文档 / Word文档 / 文字可改 漏洞扫描系统运行安全管理制 度(通用版) Safety management is an important part of production management. Safety and production are in the implementation process
漏洞扫描系统运行安全管理制度(通用版) 第一章总则 第一条为保障电网公司信息网络的安全、稳定运行,特制订本制度。 第二条本制度适用于海南电网公司(以下简称公司)本部、分公司,以及直属各单位信息系统的所有漏洞扫描及相关设备的管理和运行。其他联网单位参照执行。 第二章人员职责 第三条漏洞扫描系统管理员的任命 漏洞扫描系统管理员的任命应遵循“任期有限、权限分散”的原则; 系统管理员的任期可根据系统的安全性要求而定,最长为三年,期满通过考核后可以续任; 必须签订保密协议书。
第四条漏洞扫描系统管理员的职责如下: 恪守职业道德,严守企业秘密;熟悉国家安全生产法以及有关通信管理的相关规程; 负责漏洞扫描软件(包括漏洞库)的管理、更新和公布; 负责对网络系统所有服务器和专用网络设备的首次、周期性和紧急的漏洞扫描; 负责查找修补漏洞的补丁程序,及时打补丁堵塞漏洞; 密切注意最新漏洞的发生、发展情况,关注和追踪业界公布的漏洞疫情; 遵守漏洞扫描设备各项管理规范。 第三章用户管理 第五条只有漏洞扫描系统管理员才具有修改漏洞扫描设备配置、分析和扫描的权限。 第六条为用户级和特权级模式设置口令。不能使用缺省口令,确保用户级和特权级模式口令不同。 第七条漏洞扫描设备口令长度应采用8位以上,由非纯数字或
漏洞扫描技术
在计算机安全领域,安全漏洞(SecurityHole)通常又称作脆弱性(vulnerability)。 漏洞的来源漏洞的来源:(1)软件或协议设计时的瑕疵(2)软件或协议实现中的弱点(3)软件本身的瑕疵(4)系统和网络的错误配置 DNS区域传送是一种DNS 服务器的冗余机制。通过该机制,辅DNS服务器能够从其主DNS 服务器更新自己的数据,以便主DNS服务器不可用时,辅DNS服务器能够接替主DNS服务器工作。正常情况下,DNS区域传送操作只对辅DNS服务器开放。然而,当系统管理员配置错误时,将导致任何主机均可请求主DNS服务器提供一个区域数据的拷贝,以至于目标域中所有主机信息泄露. 网络扫描主要分为以下3个阶段:(1)发现目标主机或网络。(2)发现目标后进一步搜集目标信息,包括操作系统类型、运行的服务以及服务软件的版本等。如果目标是一个网络,还可以进一步发现该网络的拓扑结构、路由设备以及各主机的信息。(3)根据搜集到的信息判断或者进一步检测系统是否存在安全漏洞。 网络扫描的主要技术 (1)主机扫描:确定在目标网络上的主机是否可达,同时尽可能多映射目标网络的拓扑结构,主要利用ICMP 数据包 (2)端口扫描:发现远程主机开放的端口以及服务 (3)操作系统指纹扫描:根据协议栈判别操作系统 发现存活主机方法: ICMP 扫射ping 广播ICMP 非回显ICMP(ICMP时间戳请求允许系统向另一个系统询当前的时间。ICMP地址掩码请求用于无盘系统引导过程中获得自己的子网掩码。) TCP 扫射UDP 扫射 获取信息: (1)端口扫描: 端口扫描就是连接到目标机的TCP 和UDP端口上,确定哪些服务正在运行及服务的版本号,以便发现相应服务程序的漏洞。 (2)TCP connect()扫描: 利用操作系统提供的connect()系统调用,与每一个感兴趣的目标计算机的端口进行连接。如果目标端口处于侦听状态,那么connect()就能成功;否则,该端口是不能用的,即没有提供服务。 (3)TCP SYN扫描: 辨别接收到的响应是SYN/ACK报文还是RST报文,就能够知道目标的相应端口是出于侦听状态还是关闭状态(RST为关闭)。又叫“半开扫描”,因为它只完成了3次握手过程的一半. (4) TCP ACK扫描: 用来探测防火墙的规则设计。可以确定防火墙是简单的包过滤还是状态检测机制 (5):TCP Fin扫描: 扫描器发送一个FIN数据包 ?如果端口关闭的,则远程主机丢弃该包,并送回一个RST包 ?如果端口处于侦听状态忽略对FIN数据包的回复 ?与系统实现有一定的关系,有的系统不管端口是否打开,都回复RST(windows),但可以区分Unix和Windows (6) TCP XMAS 扫描(7) TCP 空扫描(8) UDP ICMP 端口不可达扫描
(天融信防火墙系统)
名称品牌数量招标参数单价总价质保产地 ▲天融信千兆防火墙系统 天融信 NGFW4000-U F (TG-51131) 3套 ★性能要求: ●标准的机架式、模块化结构主机机箱,要求至少具有3个接口板扩展槽位和2个千兆接口,最大 可支持千兆接口数量≥26(非combo光电互斥接口或共享交换接口),本次要求配备4个 10/100/1000千兆接口和4个SFP光口; ●网络吞吐:>8Gbps;并发连接:>240万;TCP新建连接:>16万/秒;HTTP新建连接:>15万/秒; ●要求基于多核多平台并行安全操作系统(提供资质证明),并且采用双安全操作系统设计(提供截 图); ★功能要求: ●支持静态路由、策略路由、RIPv1/2、OSPF、BGP等动态路由以及组播路由协议,要求支持ECMP与 WCMP的路由均衡方式,并且能够根据预设探测条件实现动态的链路切换; ●支持ISL与802.1Q的接口封装和解封,要求提供VLAN-VPN功能;(要求提供截图) ●支持链路聚合功能,对每个聚合端口的物理接口数量无限制,提高聚合组的配置灵活性,并且要 求支持至少10种以上的聚合负载算法;(要求提供截图) ●要求具有防止共享上网、防ARP欺骗及防路由欺骗功能;(要求截图) ●需具备针对单条访问策略的最大并发连接数限制、策略命中数统计与策略重复检查功能,支持网 络应用自学习功能并自动生成相关安全策略;(要求截图) ●要求具有心跳接口物理备份及二级心跳接口功能;(要求截图) ●采用基于访问控制策略的一体化带宽管理模式,能够针对用户、用户组、IP、MAC、时间、应用等 进行带宽管理,并且支持共享策略、独享策略、访问控制独享策略等多种带宽策略类型,要求支 持基于COS、DSCP方式的数据标识;(要求截图) ★资质要求: ●公安部-计算机信息系统安全专用产品销售许可证(三级) ●信息安全测评中心-国家信息安全测评信息技术产品安全测评证书(EAL3) ●国家保密局涉密信息系统安全保密测评中心-涉密信息系统产品检测证书 ●国家密码管理局商用密码检测中心-防火墙产品密码检测证书 6.0万18.0万3年北京
档案管理系统白皮书
白皮书 WD3.0档案信息管理系统
二○○三年
WD-3.0档案信息管理系统 一前言4 1背景介绍4 2应用现状及存在的问题 4 3要求及目标 5 4规范及参照标准5 4.1法律法规 5 4.2规章制度 5 4.3业务规范 6 二文档信息管理系统7 1系统图示7 1.1设备连接图7 1.2档案业务流程图8 2系统功能框图(略图)9 3系统功能简介10 3.1文件管理10 3.2整理编目10 3.3鉴定销毁11 3.4档案保管12 3.5档案统计13 3.6查询13 3.7档案编研14 3.8档案利用14 3.9移交进馆14 3.10档案信息维护15 3.11权限管理15 4设计原则16 三系统特点16 1专业化16 2文档一体化17 3多媒体文档统一管理17 4界面友好、操作简易17 5标准化、规范化17 6检索灵活多样17 7统计报表功能丰富强大17 8安全、保密17
四系统实施内容18 1库房设施建设18 2安装的软硬件设备18 3档案整理立卷18 4档案信息数字化19 五、版本划分19 1单机版19 2网络版19
WD-3.0档案信息管理系统 一前言 21世纪,是数字化的信息世纪,千变万化的数字演绎着世界的斗转星移!计算机、信息技术的不断创新与突破,创造着人类的日新月异!应运而生的WD3.0档案信息管理系统是合理运用数据库、图像处理、信息处理、INTERNET技术的新一代多媒体档案系统。 1 背景介绍 各企事业单位每年产生大量的各类档案和资料信息,但由于历史的原因,档案分布在各部门,并且未经整理。这些档案、资料对日常业务管理和决策存在很高的利用价值。 另外,档案综合管理规范化、标准化,也是ISO9000标准中的一个要素。 2 应用现状及存在的问题 在传统的档案管理中,档案查询需要搬动原始介质,费时、费力,维护成本也很高。如何经济有效的储存管理各种类型的档案资料,如何利用信息信息技术高效管理保存档案资料、充分地向内部各部门提供档案利用服务,成为一个越来越紧迫的问题。 建设数字化档案是档案管理现代化的必然选择,它可以在目录管理的基础上,逐步实现档案全面数字化管理,包括纸张、录像带、录音带等各种介质存放的档案资料;通过internet/intranet提供档案信息服务,利用者通过浏览器可以进行主题词、责任者、全文检索多种途径的档案查询;在查询目录的同时,可以直接查阅数字化的档案资料;档案查询通过计算机广域网/局域网在个部门、
绿盟--漏洞扫描系统NSFOCUS-RSAS-S-v5.0
1.产品简介 每年都有数以千计的网络安全漏洞被发现和公布,加上攻击者手段的不断变化,网络安全状况也在随着安全漏洞的增加变得日益严峻。事实证明,99%的攻击事件都利用了未修补的漏洞,使得许多已经部署了防火墙、入侵检测系统和防病毒软件的企业仍然饱受漏洞攻击之苦,蒙受巨大的经济损失。 寻根溯源,绝大多数用户缺乏一套完整、有效的漏洞管理工作流程,未能落实定期评估与漏洞修补工作。只有比攻击者更早掌握自己网络安全漏洞并且做好预防工作,才能够有效地避免由于攻击所造成的损失。 绿盟远程安全评估系统(NSFOCUS Remote Security Assessment System,简称:NSFOCUS RSAS)第一时间主动诊断安全漏洞并提供专业防护建议,让攻击者无机可乘,是您身边的“漏洞管理专家”。 产品为国内开发,具备自主知识产权,并经过三年以上应用检验并提供产品用户使用报告的复印件;产品具有高度稳定性和可靠性。 产品取得了中华人民共和国公安部的《计算机信息系统安全专用产品销售许可证》,中华人民共和国国家版权局《计算机软件著作权登记证书》,中国人民解放军信息安全产品测评认证中心的《军用信息安全产品认证证书》,国家保密局涉密信息系统安全保密测评中心《涉密信息系统产品检测证书》,中国信息安全测评中心《信息技术产品安全测评证书--EAL3》,中国信息安全认证中心《中国国家信息安全产品认证证书》。 厂商在信息安全领域有丰富的经验与先进的技术,须有对系统漏洞进行发现、验证、以及提供应急服务的技术能力。
产品使用了专门的硬件,基于嵌入式安全操作系统,大大提高了系统的工作效率和自身安全性。系统稳定可靠,无需额外存储设备即可运行,系统采用B/S 设计架构,并采用SSL加密通信方式,用户可以通过浏览器远程方便的对产品进行管理。 产品要求界面友好,并有详尽的技术文档;产品支持中英文图形界面,能够方便的进行语言选择,能够提供丰富的中英文语言的文档资料。 通过CVE兼容性认证及英国西海岸实验室Checkmark认证等国际权威认证。 2.产品功能 2.1 系统漏洞扫描功能 1. 漏洞知识库从操作系统、服务、应用程序和漏洞严重程度多个视角进行分类, 需要给出具体的分类信息。 2. 支持对漏洞信息的检索功能,可以从其中快速检索到指定类别或者名称的漏 洞信息,并具体说明支持的检索方式。 3. 提供漏洞知识库中包含的主流操作系统、数据库、网络设备的列表信息。
漏洞扫描实验报告
南京工程学院 实验报告 题目漏洞扫描 课程名称网络与信息安全技术 院(系、部、中心)康尼学院 专业网络工程 班级 K网络工程111 学生姓名赵志鹏 学号 240111638 设计地点信息楼A216 指导教师毛云贵 实验时间 2014年3月13日 实验成绩
漏洞扫描 一:实验目的 1.熟悉X-Scan工具的使用方法 2.熟悉FTPScan工具的使用方法 3.会使用工具查找主机漏洞 4.学会对弱口令的利用 5.了解开启主机默认共享以及在命令提示下开启服务的方法 6.通过实验了解如何提高主机的安全性 二:实验环境 Vmware虚拟机,网络教学系统 三:实验原理 一.漏洞扫描简介 漏洞扫描是一种网络安全扫描技术,它基于局域网或Internet远程检测目标网络或主机安全性。通过漏洞扫描,系统管理员能够发现所维护的Web 服务器的各种TCP/IP端口的分配、开放的服务、Web服务软件版本和这些服务及软件呈现在Internet上的安全漏洞。漏洞扫描技术采用积极的、非破坏性的办法来检验系统是否含有安全漏洞。网络安全扫描技术与防火墙、安全监控系统互相配合使用,能够为网络提供很高的安全性。 漏洞扫描分为利用漏洞库的漏洞扫描和利用模拟攻击的漏洞扫描。 利用漏洞库的漏洞扫描包括:CGI漏洞扫描、POP3漏洞扫描、FTP漏洞扫描、SSH漏洞扫描和HTTP漏洞扫描等。 利用模拟攻击的漏洞扫描包括:Unicode遍历目录漏洞探测、FTP弱口令探测、OPENRelay邮件转发漏洞探测等。 二.漏洞扫描的实现方法 (1)漏洞库匹配法 基于漏洞库的漏洞扫描,通过采用漏洞规则匹配技术完成扫描。漏洞库是通过以下途径获取的:安全专家对网络系统的测试、黑客攻击案例的分析以及系统管理员对网络系统安全配置的实际经验。漏洞库信息的完整性和有效性决定了漏洞扫描系统的功能,漏洞库应定期修订和更新。 (2)插件技术(功能模块技术) 插件是由脚本语言编写的子程序,扫描程序可以通过调用它来执行漏洞扫描,检测系统中存在的漏洞。插件编写规范化后,用户可以自定义新插件来扩充漏洞扫描软件的功能。这种技术使漏洞扫描软件的升级维护变得相对简单。 三.弱口令 通常帐户包含用户名及对应的口令。当口令使用简单的数字和字母组合时,非常容易被破解,我们称这种口令为弱口令。X-Scan工具中涵盖了很多种弱口令扫描方法,包括FTP、SMTP、SSH、POP3、IMAP、TELNET、WWW等。 为消除弱口令产生的安全隐患,我们需要设置复杂的密码,并养成定期更换密码的良好习惯。复杂的密码包含数字,字母(大写或小写),特殊字符等。例如:123$%^jlcss2008或123$%^JLCSS2008。
天融信内容与行为审计平台TA-NET产品白皮书
天融信产品白皮书网络卫士内容与行为审计平台TA-NET系列
内容与行为审计平台TA-NET 天融信网络卫士安全审计系统内容审计平台TA-W是专用于防止非法信息恶意传播,避免国家机密、商业信息、科研成果泄漏的产品;并可实时监控网络资源使用情况,提高整体工作效率。该产品适用于需实施内容审计与行为监控的网络环境,尤其是按等级进行计算机信息系统安全保护的相关单位或部门。 内容和行为审计系统具有实时的网络数据采集能力、智能的信息处理能力、强大的审计分析功能。该产品基于天融信公司具有自主知识产权的安全操作系统TOS (Topsec Operating System),采用开放性的系统架构及模块化的设计,是一款安全高效,易于管理和扩展的网络安全审计产品。 产品可实现: ◆ 对用户的网络行为监控、网络传输内容审计 (如员工是否在工作时间上网冲浪、聊天,是否访问不健康网站,是否通过网络泄漏了公司的机密信息,是否通过网络传播了反动言论等) ◆ 掌握网络使用情况,提高工作效率 ◆ 网络传输信息的实时采集、海量存储、统计分析 ◆ 网络行为后期取证,对网络潜在威胁者予以威慑 部署方式简便 旁路模式接入,不改变用户的网络拓扑结构,对用户的网络性能没有任何影响。 独立部署,方便灵活。 提供基于Rich Client技术的WEB管理界面。兼具B/S模式的便捷与C/S模式的高效、易用。 高速的数据采集 分布式部署数据采集引擎,优化的数据采集技术,直接从内核中采集数据包。延迟小、效率高、实时性强。 智能包重组和流重组 具有强大的IP碎片重组(IP Fragments Reassembly)能力和TCP流重组(TCP Stream Reassembl y)能力,任何基于协议碎片的逃避检测手段对本产品无效。 自适应深度协议分析 从链路层到应用层对协议进行深度分析。 自动识别基于HTTP协议的邮件、论坛等操作行为。 根据内容自动识别各个连接的应用协议类型。保障审计的准确性 数据海量存储和备份 系统内置海量数据存储空间,支持百兆、千兆网络环境下,高速、大流量数据的采集、存储。 灵活的远程备份功能,可以在不丢弃数据的同时保证系统持续稳定运行。
天融信等级保护方案-等保评估服务
.天融信等级保护解决方案 天融信通过自身的安全产品、安全服务,可协助用户完成等级保护各个阶段的建设,确保用户严格按照等级保护的过程规划并建设自己的安全保障体系,更好地支撑应用和业务的开展,具体提供的服务包括: ?等保定级服务:在用户等级保护建设的定级阶段提供,天融信将协助用户对信息系统进行划分,并根据信息系统的价值确定信息系统的保护等级,等级确定后协助用户完成保护等级的备案工作; ?等保评估服务:在用户等级保护建设的规划阶段提供,天融信针对用户的信息系统进行全面的评估,根据评估的结果和信息系统确认的保护等级,结合“信息系统安全等级保护基本要求”中对各级别信息系统的技术和管理要求,调整相应的安全保护措施,并完成安全保障系统的整体规划; ?等保管理整改服务:在用户等级保护建设的整改阶段提供,天融信将根据等级保护基本管理要求,结合用户的实际需求,协助用户建设相应的组织体系、策略体系、运行体系,从而全面提升用户安全管理的层次和能力; ?等保技术整改集成:在用户等级保护建设的整改阶段提供,天融信将根据等级保护基本技术要求,结合用户的实际需求,协助用户完成安全设备的选型、采购、安装、策略配置等活动,协助用户搭建完善的技术防护系统,保障应用系统的安全可靠; ?等保测评支持服务:在用户等级保护建设的测评阶段提供,在完成等级保护整改活动后,天融信将协助用户,准备测评材料,在测评过程中提供技术支持服务。 1.2.天融信等级保护定级 在用户等级保护建设的定级阶段提供。 系统定级是进行等级保护规划和建设的前提,是等级保护建设的起点,目前国家已出台文件要求各行业用户根据自己的实际情况,进行信息系统的划分和定级,天融信可协助用户对信息系统进行识别和描述,明确保护对象,对信息系统的子系统进行划分,确定用户信息系统以及子系统的安全等级。
XX等保测评漏洞扫描报告
第一章网站系统漏洞扫描 1.1 蓝盾扫描器、Nessus扫描器安全漏洞扫描 分别通过蓝盾漏洞扫描器(硬件)和Nessus漏洞扫描器(软件)对网站系统主机进行漏洞扫描,其主机系统列表清单如下: 扫描结果 IP address:19.168.4.13 Operating system: Microsoft Windows Server 2003 Service Pack 2 NetBIOS name: QYSXXZX 漏洞扫描结果如下: 本主机系统比较安全,并没发现高危或可利用的漏洞,安全等级为:非常安全
IP address:19.168.4.23 Operating system: Microsoft Windows Server 2003 Service Pack 2 NetBIOS name: QYDB1 漏洞扫描结果如下: 本主机系统比较安全,并没发现高危或可利用的漏洞,安全等级为:非常安全 IP address:19.168.4.18 Operating system: Microsoft Windows Server 2003 Service Pack 2 NetBIOS name: QYDB2
漏洞扫描结果如下: 本主机系统比较安全,并没发现高危或可利用的漏洞,安全等级为:非常安全 IP address:19.168.4.19 Operating system: Microsoft Windows Server 2003 Service Pack 2 NetBIOS name: QYSZF-OA 漏洞扫描结果如下: 本主机系统比较安全,并没发现高危或可利用的漏洞,安全等级为:比较安全 通过扫描结果可知,服务器存在一个危险级别为中等的漏洞,漏洞扫描及解决方案如下表所示:
漏洞扫描系统的功能
漏洞扫描系统通过对已探测漏洞的修补,可以有效防止黑客攻击行为,防患于未然。漏洞扫描系统通过对网络的扫描,可以了解网络的安全配置和运行的应用服务,及时发现安全漏洞,客观评估网络风险。铱迅漏洞扫描系统,支持主机漏洞扫描、Web漏洞扫描、弱密码扫描等,可提供查询每个扫描任务中,主机的漏洞数量及分类结果等详细信息。 新一代漏洞扫描系统──快速扫描各种漏洞 铱迅漏洞扫描系统(英文:Yxlink Network Vulnerability Scan System,简称:Yxlink NVS),是仅有的支持IP地址段批量反查域名、内网穿透扫描的专业漏洞扫描器,可支持主机漏洞扫描、Web漏洞扫描、弱密码扫描等。 铱迅漏洞扫描系统可以广泛用于扫描数据库、操作系统、邮件系统、Web服务器等平台。通过部署铱迅漏洞扫描系统,快速掌握主机中存在的脆弱点,能够降低与缓解主机中的漏洞造成的威胁与损失。 产品功能 主机漏洞扫描 主机系统上存储、处理和传输各种重要数据,可以说主机的安全问题是Internet安全的核心问题之一,是Internet实现安全性的关键。因此,主机系统的安全防护也是整个安全策略中非常重要的一环,铱迅漏洞扫描系统全面支持各种主机漏洞的检测。 铱迅漏洞扫描系统支持扫描操作系统漏洞、网络设备漏洞、Web服务器漏洞、数据库服务器漏洞、邮件服务器漏洞、DNS漏洞等。 Web漏洞扫描 Web应用程序可以运行于多种操作系统平台,由于网站开发人员在进行编码时,对Web应用的安全性考虑不周,容易引入各种Web漏洞。另外,如果管理员对于安全性重视度不够,不对已知的缺陷进行修补,攻击者能很容易利用Web应用程序漏洞穿透防火墙攻击内网数据库等服务器,造成更大的安全隐患。 铱迅漏洞扫描系统支持检测SQL注入、跨站脚本、木马上传、代码执行、远程本地包含、信息泄露等各种类型的Web漏洞,可第一时间提示管理员,做到防患于未然。 弱密码扫描 弱密码是网络主机系统中一个普遍存在的严重安全隐患,存在弱密码漏洞的计算机一直是黑客青睐的对象,通过此类漏洞,可以轻易地得到服务器的管理员权限,从而威胁网站及数据的安全。
xx云数据中心安全等级保护建设方案详细
1项目综述 1.1项目背景 为了保障基于“健康云”、“智慧云”的XX数据中心,天融信公司依据公安部《关于开展信息系统等级保护安全建设整改工作的指导意见》公信安[2009]1389号)的要求,贯彻“通过组织开展信息安全等级保护安全管理制度建设、技术措施建设和等级测评,落实等级保护制度的各项要求,使信息系统安全管理水平明显提高,安全防能力明显增强,安全隐患和安全事故明显减少,有效保障信息化健康发展,维护国家安全、社会秩序和公共利益”的方针,为XX数据中心需要在规划、建设和使用相关信息系统的同时对信息安全也要同步建设,全面开展信息安全等级保护建设整改工作。 1.2安全目标 XX的信息安全等级保护建设工作的总体目标是: “遵循国家信息安全等级保护有关法规规定和标准规,通过全面开展信息安全等级保护定级备案、建设整改和等级测评工作,进一步实现对整个新建云平台的信息系统安全管理体系和技术防护体系,增强信息安全保护意识,明确信息安全保障重点,落实信息安全责任,切实提高系统信息安全防护能力,为整个云平台的顺利建设和信息化健康发展提供可靠保障。” 具体目标包括 (1)体系建设,实现按需防御。通过体系设计制定等级方案,进行安全技术体系、安全管理体系和安全运维体系建设,实现按需防御。 (2)安全运维,确保持续安全。通过安全监控、安全加固等运维手段,从事前、事中、事后三个方面进行安全运行维护,实现持续性按需防御的安全需求。 (3)通过合规性建设,提升XX云平台安全防护能力,保障系统信息安全,同时满足国家等级保护的合规性要求,为信息化工作的推进保驾护航。
1.3建设围 本方案的设计围覆盖XX的新建云平台基础设施服务系统。安全对象包括: ●云安全:虚拟化环境中的虚拟化平台及其相关虚拟化网络、虚拟化主机 的安全防护; ●云外安全:虚拟化环境以外的网络接入,核心交换,存储备份环境。 1.4建设依据 1.4.1国家相关政策要求 (1)《中华人民国计算机信息系统安全保护条例》(国务院147号令); (2)《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003] 27号); (3)《关于信息安全等级保护工作的实施意见》(公通字[2004]66号); (4)《信息安全等级保护管理办法》(公通字 [2007]43号); (5)《信息安全等级保护备案实施细则》(公信安[2007]1360号); (6)《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(发改高技[2008]2071号); (7)《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安[2009]1429号)。 1.4.2等级保护及信息安全相关国家标准 (1)《计算机信息系统安全保护等级划分准则》(GB17859-1999); (2)《信息安全技术信息系统安全等级保护实施指南》(GBT 25058-2010); (3)《信息安全技术信息系统安全保护等级定级指南》(GB/T22240-2008); (4)《信息安全技术信息系统安全等级保护基本要求》(GB/T22239-2008); (5)《信息安全技术信息系统等级保护安全设计技术要求》(GB/T 25070-2010); (6)《信息安全技术信息系统安全等级保护测评要求》;