入侵防范(入侵防御IPS功能）

入侵防御功能通常用于防护来自内部或外部网络对内网服务器和客户端的入侵，是一种可以对应用层攻击进行检测并防御的安全防御技术。通过分析网络流量，检测入侵（包括缓冲区溢出攻击、木马、蠕虫等），并通过一定的响应方式，实时地中止入侵行为，保护企业信息系统和网络架构免受侵害。入侵防御特征用来描述网络中的攻击行为的特征，产品通过将报文与IPS特征进行比较来检测和防御攻击。入侵防御特征包含多种属性，例如攻击分类、动作、保护对象、严重级别和方向。这些属性可作为过滤条件来筛选IPS特征。

    本次在防火墙配置IPS入侵防御功能，实现对于主机的入侵防范。

恶意代码防范(入侵防御IPS功能）

入侵防御IPS系统支持对黑客攻击、蠕虫/病毒、木马、恶意代码、间谍软件/广告软件、DoS/DDoS 等常见的攻击防御，同时也支持缓冲区溢出、SQL 注入、IDS/IPS 逃逸等攻击的防御。

本次在防火墙配置IPS入侵防御功能，实现恶意代码防范。

软件容错

沈鼓集团工业互联网平台项目采用前后端分离技术，系统由很多小服务构成，服务之间以及服务与资源之间会存在远程调用，为避免可用性问题，软件容错处理显得尤为重要！容错的目标是降低或者最小化故障对系统可用性、可靠性、安全性等的影响。此项目容错采用以下几种形式：

双进程监听

在系统运行过程中，保证系统在某一个时刻总能有一个进程来处理客户的输入请求，监听Warn和Error类异常信息，能处理短暂的软件错误。

服务降级

在系统遭遇某个错误之后不提供完整功能，只给用户开放部分基础能力，将此服务的权重降低，同时抛出异常信息。

重试

它主要适用于是突发式高负载资源短缺的场景，硬件资源突发不足时进行选择性重试。

事务回滚

周期性的保存进程的状态。如果需要保证数据正确，回滚到最近保存的状态即可，只是会有部分的数据丢失。

灰度重启

通过解耦系统组件，使得系统在遭遇故障时，只需要重启需要的组件，而不必重启整个系统。核心是组件和数据分离，数据的处理通过持久化存储的方式保证一致。

数据安全（数据库安全审计）

数据库审计系统对用户行为、用户事件及系统状态加以审计，范围覆盖到每个用户，从而把握数据库系统的整体安全。

数据库审计系统适用于等级保护标准和规范。数据库审计系统支持所有主流关系型数据库的安全审计，采用多核、多线程并行处理及CPU绑定技术及镜像流量零拷贝技术，采用黑盒逆向协议分析技术，严格按照数据库协议规律，对所有数据库的操作行为进行还原，支持请求和返回的全审计，保证100%还原原始操作的真实情况，实现细粒度审计、精准化行为回溯、全方位风险控制，为沈鼓集团的核心数据库提供全方位、细粒度的保护功能。数据库审计系统可以帮助我们解决目前所面临的数据库安全审计缺失问题，避免数据被内部人员及外部黑客恶意窃取泄露，极大的保护核心敏感数据的安全，带来以下安全价值： 

全面记录数据库访问行为，识别越权操作等违规行为，并完成追踪溯源

跟踪敏感数据访问行为轨迹，建立访问行为模型，及时发现敏感数据泄漏

检测数据库配置弱点、发现SQL注入等漏洞、提供解决建议

为数据库安全管理与性能优化提供决策依据

提供符合法律法规的报告，满足等级保护审计要求。

本次部署H3C SecPath D2055-G数据库审计系统以实现数据安全

备份与恢复（公有云数据备份服务）

紫光云灾备云服务平台与沈鼓集团工业互联网平台Ipsec VPN打通。在工业互联网平台各系统安装紫光云备份代理客户端，在灾备管理平台建设相对应的备份策略，实现沈鼓集团工业互联网平台本地数据的异地备份。当本地出现大的灾害的情况下可以通过紫光云灾备中心的备份数据进行恢复。

在备份的过程可设置基于备份数据源中不同平台的文件、数据库、虚拟机等类型的重复数据在备份过程中删除掉，可以大幅度减少需要传输的数据量，从而极大地节省数据传输带宽，节约备份数据所占用的存储空间。

本次项目配置公有云异地备份服务，实现备份与恢复功能。

漏洞和风险管理（利旧漏洞扫描）

漏洞扫描就是对重要计算机信息系统进行检查，发现其中可被黑客利用的漏洞，通过合规性检测对系统中不合适的设置（如不应开放的端口）、脆弱的口令以及其他同安全规则相抵触的对象进行检查；另外基于网络的检测(Network Scanner)，通过执行一些脚本文件对系统进行攻击，并记录它的反应，从而发现其中的漏洞。

本次项目需利旧沈鼓集团原有设备，检查原设备许可数量和软件版本，并提供对应参数，以便漏扫系统管理员进行配置以满足合规要求。

运维审计能力（利旧）

运维堡垒主机，堡垒机可提供全面的运维管理体系和运维能力，支持资产管理、用户管理、双因子认证、命令阻断、访问控制、自动改密、审计等功能，能够有效的保障运维过程的安全。在协议方面，堡垒机全面支持SSH/TELNET/RDP（远程桌面）/FTP/SFTP/VNC，并可通过应用中心技术扩展支持VMware/XEN等虚拟机管理、oracle等数据库管理、HTTP/HTTPS、小型机管理等。

本次项目需利旧沈鼓集团原有设备，检查原设备许可数量和软件版本，并提供对应参数，以便堡垒机系统管理员进行配置以满足合规要求。

区域边界安全保护设计

通过深入了解沈鼓务系统特点和系统功能要求，并在充分利用现有网络设施的基础上，结合国家等级保护政策和标准要求，对信息系统的安全区域保护目标进行如下设计。

边界隔离与访问控制(防火墙)

在本方案中，在私有云与内网之间、管理区与私有云之间的边界也部署防火墙，并且通过配置防火墙的安全策略，实现各区域边界的隔离与细粒度的访问控制。防火墙是部署在不同网络安全域之间的一系列部件的组合。它是信息的唯一出入口，能根据安全策略控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。防火墙实现网与网之间的访问隔离，以保护整个网络抵御来自其它网络的入侵者。

本次配置IPSEC防火墙、防火墙和管理防火墙实现边界隔离和访问控制功能。

边界完整性保护

边界完整性检查核心是要对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查，维护网络边界完整性。通过制定严格的机房管理制度，严禁非授权使用者进入机房并接入到平台的网络和交换机系统，在网络交换机配置中关闭非使用的网络接口，并绑定网络端口和MAC地址防止边界完整性遭到破坏。

边界入侵防范（IPS入侵防御功能）

入侵防御产品是一种对网络深层威胁行为（尤其是那些防火墙所不能防御的威胁行为）进行抵御的安全产品，以串行方式透明接入网络。和其他安全产品不同的是，入侵防御产品的主要防御对象是网络上TCP/IP的四层以上的实时恶意数据流（四层以下的攻击可以由其他安全产品如防火墙等防御）。在本方案中入侵防御系统主要保护对外提供服务的业务系统的安全。在现有网络中部署入侵检测与防御系统可以对访问信息系统进行实时监测，并进行入侵行为跟踪分析。 

本次配置防火墙IPS功能实现网络入侵检测功能。

网络恶意代码防范（Web 防火墙）

浏览器都能解释和执行来自 Web 服务器的嵌入到 Web 页面下载部分的脚本（用 JavaScript、JScript、VBScript 等脚本语言创建）。当攻击者向用户提交的动态表单输入恶意代码时，就会产生跨站点脚本 (XSS) 攻击或是SQL注入。Web应用防火墙主要针对Web服务器进行第7层流量分析，防护以Web应用程序漏洞为目标的攻击，并针对Web应用访问进行各方面优化，以提高Web或网络协议应用的可用性、性能和安全性，确保业务应用能够快速、安全、可靠地交付。同时，内部也会通过互联网对外进行访问，Internet网络区域的安全风险级别最高，所以对于对外访问和信息获取等操作都应进行实时的恶意代码检测和事后的清除修复工作。

对于恶意代码的防范应达到如下要求：

应在网络边界及核心业务网段处对恶意代码进行检测和清除；

应维护恶意代码库的升级和检测系统的更新；

应支持恶意代码防范的统一管理。

    本次配置H3C SecPath W2010-G2 Web防火墙实现网络恶意代码防范功能。

边界安全审计（利旧运维堡垒机、新购日志审计和应用审计（ACG））

各安全区域边界已经部署了相应的安全设备负责进行区域边界的安全隔离。对于流经各主要边界（数据中心区域、互联网边界区域）需要设置必要的审计机制，进行数据监视并记录各类操作，通过审计分析能够发现跨区域的安全威胁，实时地综合分析出网络中发生的安全事件。本项目中开启边界安全设备的审计功能模块，根据审计策略进行数据的日志记录与审计。为安全管理中心提供必要的边界安全审计数据，利于管理中心进行全局管控。并部署网络审计系统，实现对于所有访问业务系统的行为的审计，并能够记录该行为的源IP、目的IP等，并可以方便的生成报表等。网络审计系统通过网络旁路侦听的方式对网络数据流进行采集、分析和识别，并对应用层协议进行完整还原，根据制定的安全审计策略进行审计响应。将运维堡垒机、日志审计、应用审计等一起构成完整的、多层次的审计系统。

本次项目利旧运维堡垒机、新购日志审计和应用审计（ACG）设备实现边界安全审计功能。

通信网络安全保护设计

根据网络现状，应从链路冗余设计、通信网络安全审计及网络可信接入方面进行展开设计。

网络结构安全

网络结构的安全是网络安全的前提和基础，对于数据中心网络，选用主要网络设备时会充分考虑业务处理能力的高峰数据流量，考虑冗余空间满足业务高峰期需要；网络各个部分的带宽需要保证接入网络和核心网络满足业务高峰期需要。

按照业务系统服务的重要次序定义带宽分配的优先级，在网络拥堵时优先保障重要主机；合理规划路由，在业务终端与业务服务器之间建立安全路径；绘制与当前运行情况相符的网络拓扑结构图；根据各子系统的业务属性以及系统需求，划分不同的网段或VLAN。保存有重要业务系统及数据的重要网段不能直接与外部系统连接，需要和其他网段隔离，单独划分区域。

网络行为安全审计（防火墙ACG）

为满足等级保护要求中对三级系统通信网络安全审计要求，需在网络中建立基于网络的安全审计措施，以实现通信网络安全审计的防护要求。

在网络中应部署网络审计系统，可以抓取进、出区域边界数据包，基于数据包的源地址、目的地址、传输层协议、请求的服务等应用访问行为，确定行为符合安全策略，并以收集的记录信息作为追踪违规事件、界定安全责任的主要依据。

本次项目配置防火墙ACG功能实现网络行为安全审计功能。

网络设备保护（运维堡垒主机）

对于网络中的基础设施资产的管理，包括：网络设备、安全设备、服务器和数据库等，均需要通过堡垒机实现对重要业务资产操作的认证、授权和操作记录审计的要求，同时降低运维人员的管理成本，提高运维效率，通过运维堡垒主机的方式进行集中管理、协议代理和身份授权分离的安全操作。

资源集中管理：集中的资源访问入口、集中帐号管理、集中授权管理、集中认证管理、集中审计管理等等。

协议代理：为了对字符终端、图形终端操作行为进行审计和监控，对各种字符终端和图形终端使用的协议进行代理，实现多平台的操作支持和审计，例如Telnet、SSH、FTP、Windows平台的RDP远程桌面协议，Linux/Unix平台的X Window图形终端访问协议等。

当运维机通过堡垒主机访问服务器时，首先由堡垒主机模拟成远程访问的服务端，接受运维机的连接和通讯，并对其进行协议的还原、解析、记录，最终获得运维机的操作行为，之后堡垒主机模拟运维机与真正的目标服务器建立通讯并转发运维机发送的指令信息，从而实现对各种维护协议的代理转发过程。在通讯过程中，堡垒主机会记录各种指令信息，并根据策略对通信过程进行控制，如发现违规操作，则不进行代理转发，并由堡垒主机反馈禁止执行的回显提示。

身份授权分离：在堡垒主机上建立主帐号体系，用于身份认证，原各IT系统上的系统帐号仅用于系统授权，这样可以有效增强身份认证和系统授权的可靠性，从本质上解决帐号管理混乱问题，为认证、授权、审计提供可靠的保障。

本次利旧运维堡垒机，实现网络设备防护功能。