网络安全软硬件配置

配置原则和范围

原则

1.成熟性和可靠性原则

2.易用性和可维护性原则

3.可扩展性原则

范围

系统网络安全软硬件配置范围应与系统建设范围保持一致。

网络安全软硬件配置方案

主要包括安全设备名称，主要功能，能力需求等。

硬件设备

防火墙：访问控制、安全域隔离，对协议、地址和服务端口进行访问控制。

入侵防御（IPS）：网络攻击防护、协议攻击检测；对网络蠕虫、间谍软件、木马软件、溢出攻击、数据库攻击、高级威胁攻击、暴力破解等攻击行为进行防护。

VPN：远程接入、身份认证、传输加密。

网闸：访问控制、物理边界隔离、通信协议转化、通信协议隔离。

应用防火墙（WAF）：对Web服务器进行HTTP/HTTPS流量分析，防护以web应用程序漏洞为目标的攻击。

流量清洗设备：对分布式拒绝服务攻击（DDoS）等异常流量进行检测和实施防护。

流量探针：网络流量数据监测，异常流量发现、告警。

数据库审计：对数据库的访问行为进行记录和审计、关联分析、追根溯源。

运维堡垒机：管控和审计运维人员操作，运维账号管理、认证管理、权限管理和审计管理。

上网行为管理设备：网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析。

准入准出系统：对内部用户非授权连接外部或内部网络的行为进行检查、控制和限制。

蜜罐防御系统：攻击欺骗、攻击诱捕、情报收集、攻击溯源。

威胁情报检测系统：威胁检测、攻击画像、精准定位、攻击链追踪。

邮件安全网关：反垃圾邮件、反病毒邮件、抵御各种邮件攻击的威胁。

软件设备

日志审计系统：日志收集、关联分析、审计追踪、告警管理、应急处置。

漏洞扫描软件：资产识别、漏洞扫描、脆弱性分析，修复建议。

主机加固软件：系统安全加固、进程保护、攻击防护、访问控制。

统一数据传输平台：数据安全传输，对传输的数据安全加密，有效保护数据机密性和完整性。

电子认证服务平台：证书管理、密钥管理、电子认证、证书状态检测、时间戳服务、证书业务受理。

网站群安全部署平台：网站统一管理、统一防护、统一监测。

统一备份软件平台：数据备份恢复、备份数据统一监控管理。

移动智能终端互联网安全接入平台：智能终端安全管控、SSLVPN加密传输、基于安全沙箱的应用数据保护。

终端安全管理平台：安全准入、防病毒、补丁管理、系统配置、安全审计、行为管理、移动介质管理、虚拟桌面管理、数据单向导入、文档外发管理等。

态势感知平台：态势感知，分为资产感知、漏洞感知、威胁感知、风险感知、攻击感知、运行感知、业务风险感知等。

集中安管平台：监控数据采集，包括：机房环境监控、物理资源监控、云资源监控、应用深度监控、日志监控等。

安全平台：为内外网应用提供信息交换通道，应用身份认证和访问授权。

网络安全等级保护第三、四级系统比网络安全等级保护第一、二级系统多出网闸、上网行为管理设备、蜜罐防御系统、威胁情报检测系统、邮件安全网关；态势感知平台、集中安管平台。