IPV6及安全解决方案,ipv6安全解决方案项目准备

('IPV6网络改造建议书中国电信集团系统集成有限责任公司陕西分公司2019年3月IPV6网络改造建议书目录第1章建设背景与需求......................................................................................61.1IPv6网络建设需求.................................................................................61.2建设改造前的思考..................................................................................6第2章IPv6网络改造主要过渡策略..................................................................82.1全双栈模式..............................................................................................82.2隧道模式..................................................................................................92.3第二平面模式........................................................................................14第3章IPV6网架构设计...................................................................................163.1IPv6局域网络设计...............................................................................163.2IPv6地址规划.......................................................................................193.3IPv6路由规划.......................................................................................20第4章IPv6驻地网的管理................................................................................254.1IPv6网络管理挑战...............................................................................254.2IPv6用户管理方案...............................................................................254.3IPv6网络管理方案...............................................................................282IPV6网络改造建议书第5章IPv6网络的安全防护............................................................................295.1面临的IPv6安全威胁...........................................................................295.2IPv6网络整体安全防护措施...............................................................305.2.1设计原则与思想.........................................................................305.2.2内网安全环境设计.....................................................................335.3虚拟化安全环境总体防护设计............................................................405.3.1划分虚拟安全域.........................................................................405.3.2南北向流量访问控制.................................................................425.3.3东西向流量访问控制.................................................................425.3.4内网安全资源池.........................................................................435.3.5安全域访问控制.........................................................................445.3.6虚拟资产密码管理.....................................................................455.3.7虚拟主机安全防护设计.............................................................455.4内网虚拟化安全运维平台....................................................................465.4.1集中账号管理.............................................................................465.4.2统一登录与管控.........................................................................475.4.3记录与审计.................................................................................493IPV6网络改造建议书5.4.4权限控制与动态授权.................................................................505.5内网安全数据分析................................................................................515.5.1内网安全风险态势感知.............................................................515.5.2内网全景流量分析.....................................................................515.5.3基线建模异常流量分析.............................................................525.5.4流量分析引擎.............................................................................525.5.5异常的互联关系分析.................................................................535.5.6内网多源威胁情报分析.............................................................535.6内网安全管控措施................................................................................545.6.1内网安全风险主动识别.............................................................545.6.2内部主动防御.............................................................................565.6.3内网统一身份认证与权限管理.................................................565.6.4统一用户身份认证设计.............................................................57第6章安全差距分析........................................................................................596.1安全差距分析对比................................................................................596.2本次整体改造建议清单........................................................................684IPV6网络改造建议书第1章建设背景与需求1.1IPv6网络建设需求根据APNIC最新报告，到2017年6月全球已有超过6.2亿IPv6网络用户，约占全球网民总数的18%。全球IPv6用户的网络流量已经超过20%。互联网站和手机APP支持IPv6访问已经成为必须重视的问题。2016年12月25日国务院发布了《关于印发“十三五”国家信息化规划的通知》明确要求加快网络基础设施的全面IPV6演进升级，积极引导商业网站、政府及公共企事业单位网站向IPV6迁移。2017年9月国家即将发布《推进IPv6规模部署行动计划》，目标是5-10年在中国建成全球规模最大的IPv6网络，要求：运营商骨干网、城域网、各级IDC全部支持IPv6。TOP10IDC、公有云、CDN等互联网基础设施服务商2018年支持IPv6。政府网站、央企网站、国家级媒体网站、教育机构网站均支持IPv6。国内TOP50商业网站将于2018年全部升级支持IPv6。排名前100的手机APP支持IPv6。通过大规模IPv6网络建设的部署实施及商用探索，在未来的几年内，中国将成为以IPv6为基础的下一代网络领域的领先国家。5IPV6网络改造建议书1.2建设改造前的思考在改造IPv6之前，我们首先要考虑部署的总体方针和策略：首先考虑网络设备对IPv6业务支持的广度。比如IPv6的过渡技术有手工隧道方式，自动隧道方式，有基于MPLSVPN技术的6PE方式，有基于网络地址转换技术的NAT-PT等等，IPv6的单播路由协议有RIPng,OSPFv3,ISISv6,BGP4+等等，IPv6的组播路由协议有PIM-SM,PIM-SSM,MLDv1,MLDv2等等。支持的业务种类越多越方便我们进行研究。考虑IPv6标准的变化性。目前IPv6标准中仍有许多处于草案阶段，即使已经成为标准的，以后仍有可能进行协议扩充。部署IPv6网络的时候，应该采用过渡的策略，首先完成IPv6网络接入到运营商网络的目的，其次根据现有网络的实际情况，应用双栈技术和各种过渡技术，在不影响现有IPv4网主体拓扑结构的条件下，使得网络中需要部署IPv6网络的地方能够通过各种隧道技术，随时方便地接入骨干网。充分考虑IPv6改造带来的安全变化，首先对网络现状进行等级保护差距分析，对现有安全防护措施进行查漏补缺，然后针对IPv6进行关键系统的扩容和升级，使之安全系统达到IPv4与IPv6双栈协议下的统一安全。6IPV6网络改造建议书第2章IPv6网络改造主要过渡策略2.1全双栈模式拓扑简述：所有网络三层设备均为IPv4/v6双栈设备。为了实现IPv6网络，新增1台IPv6出口路由器。IPv6出口路由器通过GE链路连接原有双栈核心交换机。实现原理：部署双协议栈网络是最理想的方法，如图所示。其中IPv4网络部分与原IPv4网络部分融合。这样对于新建的驻地网中双栈用户可以同时访问访问IPv6和IPv4网络。对于双栈终端，IPv4网关和IPv6网关均部署在汇聚3层交换机上。网内所有三层设备由于均是双栈设备，既运行IPv4路由协议也运行IPv6路由协7IPV6网络改造建议书议。不同协议的数据转发路径可能一致，也可以不同。双栈模式优点：从技术角度这是最理想的方案，不必为不同类型的用户单独部署网络配置，开销小，管理简单、IPv4和IPv6的逻辑界面清晰。双栈模式缺点：由于原有的网络实际上都是IPv4网络，要建设全双栈网络，必须将原有不支持双栈的网络设备淘汰升级，投资过大。2.2隧道模式拓扑简述：8IPV6网络改造建议书原有网络建设已经成熟稳定，所有三层设备均为IPv4设备。为了实现IPv6网络，新增1台IPv6出口路由器。IPv6出口路由器通过GE链路连接原有IPv4核心交换机。实现原理：对于双栈终端，IPv4网关部署在汇聚3层IPv4交换机上。网内所有三层设备由于均是IPv4设备，不能完成对IPv6报文的转发，所以需要部署客户端到路由器的自动隧道6to4/ISATAP来完成。需要把IPv6客户端的网关地址设置为6to4/ISATAP路由器（新增IPv6路由器）的地址。在6to4/ISATAP路由器上需要配置IPv4ACL以避免驻地网IPv4报文占用IPv6资源。可以考虑IPv6路由器和原有IPv4路由器的IPv4互通，以便IPv6出口链路断路时可以有6over4的备份路径。在IPv6的过渡技术中，隧道技术是一项比较重要的应用，以下我们对两种常用的隧道原理和实现方法进行详细阐述。ISATAP隧道分析随着IPv6技术的推广，现有的IPv4网络中将会出现越来越多的IPv6主机，ISATAP隧道技术为这种应用提供了一个较好的解决方案。ISATAP隧道是点到点的自动隧道技术，通过在IPv6报文的目的地址中嵌入的IPv4地址，可以自动获取隧道的终点。使用ISATAP隧道时，IPv6报文的目的地址和隧道接口的IPv6地址都要采用特殊的地址：ISATAP地址。ISATAP地址格式为：Prefix（64bit）:0:5EFE:IPv4ADDR（IPv4ADDR即隧道端点的IPv4源地址，形式为a.b.c.d或者xxxx:xxxx，其中xxxx:xxxx是由32位IPv4源地址a.b.c.d转化而来的32位16进制表示）。通过这个嵌入的IPv4地址就可以自动建立隧道，9IPV6网络改造建议书完成IPv6报文的传送。ISATAP隧道的地址格式ISATAP隧道可以用于在IPv4网络中IPv6路由器—IPv6路由器、主机—路由器的连接。由于不要求隧道节点具有全球唯一的IPv4地址，可以用于内部私有网络中各双栈主机进行IPv6通信，所以ISATAP隧道适用于在IPv4网络中的IPv6主机之间的通信或IPv4网络中IPv6主机接入到IPv6网络的通信（如下图所示）。如果是内部主机之间通讯，路由器的作用就是给主机自动分配ISATAP地址，主机利用得到的地址与其他主机通信。主机—路由器的ISATAP隧道应用在IPv6网络的建设初期，出于投资的考虑，可能很难实现对原有IPv4网络整体升级至IPv6/IPv4双栈的模式，因此多采用将驻地网的汇聚层或出口设备（如，路由器）首先升级至双栈的模式，而汇聚层设备以下仍保持原有的IPv4网络。为实现位于IPv4驻地网内部的双栈主机与其他IPv6网络的通信，或IPv6主机之间的通信，即可采用ISATAP主机—路由器的隧道部署方式。10IPV6网络改造建议书主机—路由器ISATAP隧道配置举例6to4隧道分析和ISATAP隧道一样，6to4隧道也是一种自动构造隧道的方式。6to4隧道是点到多点的自动隧道，主要用于将多个IPv6孤岛通过IPv4网络连接到IPv6网络。6to4隧道通过IPv6报文的目的地址中嵌入的IPv4地址，可以自动获取隧道的终点。6to4隧道采用特殊的地址：6to4地址，它以2002开头，后面跟着32位的IPv4地址转化的32位16进制表示，构成一个48位的6to4前缀2002:IPv4ADDR::/48。6to4隧道的地址格式6to4隧道只能将前缀为2002::/16的网络连接起来，但在IPv6网络中也会使用像2001::/16这样的非6to4网络地址。为了使这些地址可达，必须有一台6to4路由器作为网关转发到IPv6网络的报文，从而实现6to4网络（地址前缀以2002开始）与IPv6网络的互通，这台路由器就叫做6to4中继（6to4Relay）路由器。6to4隧道的作用就是解决孤立的IPv6站点、IPv6子网，在没有Internet提供商提供IPv6服务的情况下的与其他孤立的IPv6站点、IPv6主干网内部站点之间的通信问题。通常在这种情况下，隧道是建立在IPv6子网或者IPv6站点的边界路由器上。起点在源站点的边界路由器上、终点在目的站点的边界路由器11IPV6网络改造建议书上。6to4隧道的应用因此在实际网络中，这种隧道可以很好地解决IPv6的分支网络间通过IPv4网络建立6to4隧道实现互联。而且由于可以实现6to4Relay的功能，使得6to4隧道可以在更加复杂的IPv6路由环境下提供IPv6孤岛间的通信。隧道模式优点：保护原有投资（不用把原有设备升级换代），原有网络拓扑和路由几乎无需调整，客户端只要简单设置即可访问全球IPv6资源。使用隧道完成的主机—路由器隧道，在主机的配置比较简便易行，只需要确定隧道对端路由器接口的IPv4地址即可，同时对于主机的要求是必须都要有IPv4地址。因此对于用户端而言，配置方面与原有的IPv4环境差异不大，不需为网络中的所有成员重新做地址分配和规划。隧道模式缺点：隧道技术属于过渡技术，不是最终的理想方案；隧道两端点设备需要花费额外的系统开销。但属于在原有IPv4网络平滑支撑IPv6业务的有效手段。12IPV6网络改造建议书2.3第二平面模式拓扑简述：原有网络建设已经成熟稳定，所有驻地网三层设备均为IPv4设备。为了实现IPv6驻地网，新增1台IPv6出口路由器。IPv6出口路由器通过GE链路连接新增双栈交换机，再由双栈交换机把原有接入交换机新配置的上行链路进行汇聚（原有上行链路不变），这条链路需要Trunk所有拥有IPv6终端的VLAN。实现原理：对于双栈终端，IPv4网关部署在汇聚3层IPv4交换机上。驻地网内所有三层设备由于均是IPv4设备，不能完成对IPv6报文的转发，所以将原有二层交换13IPV6网络改造建议书机双归属到上层IPv4和IPv6路由交换机。需要把IPv6客户端的网关地址设置为新增IPv6交换机的地址。在新增IPv6交换机上可以不必配置IPv4地址以避免驻地网IPv4报文占用IPv6资源。模式优点：开销小，管理简单、IPv4和IPv6的逻辑界面清晰，原有网络拓扑和路由几乎无需调整，客户端只要简单设置即可访问全球IPv6资源。模式缺点：改造不彻底，适合过渡或者小型网络使用。14IPV6网络改造建议书第3章IPV6网架构设计3.1IPv6局域网络设计IPV6改造通常分为升级现有网络（核心改造、区域改造，以及全面改造）只改造核心或者部分区域，有利于低成本快速部署IPv6业务，快速允许用户访问IPv6资源，实现整体TCO的降低。由于现有网络为IPv4网络且具备相当的用户规模，如果对全网设备进行升级将面临投资较大、网络重新规划、业务整合等一系列的问题。针对这种情况，建议采用升级现有IPv4网络的方案。在现有IPv4网络下分散着若干IPv6/IPv4双栈主机，为使这些主机接入到IPv6网络当中且对现网的原有应用的影响最小，可首先将网核心设备（核心交换机）升级为双栈，网络的其他部分保持不变。核心设备完成升级后，可分别提供至IPv4网络和IPv6网络的出口；IPv6/IPv4双栈主机可以采用ISATAP隧道的方式直接接入核心交换机。对于原有的IPv4用户不造成任何影响，同时实现了IPv6用户的接入。对于大型网络，核心设备应考虑节点冗余，因此建议逐步完成对所有核心设备的升级。15IPV6网络改造建议书升级现有IPv4网络这种组网只适用少量IPv6/IPv4双栈用户的情况。首先，由于用户直接接入核心设备，应避免核心设备的负担过重；其次，可以分别针对每个用户的IP地址、VLAN、端口作相应的策略，避免IPv6业务对原有网络的影响，同时保障核心设备的安全。当IPv6/IPv4用户数量较大时，依然采用上述组网方式会使得配置太繁琐，而且大量的流量直接上传至核心设备会对原有业务造成不必要的冲击。对于网络中可能存在IPv6用户相对集中的节点，建议先用一个双栈低端设备作一次汇聚。这类节点下的IPv6主机可使用IPv6接入交换机接入后，通过双栈直接上联至核心交换机；也可以根据网络实际情况，在IPv6接入交换机与双16IPV6网络改造建议书栈核心交换机间采用IPv6overIPv4隧道方式连接，以穿过核心交换机与主机间可能存在的IPv4网络。通过升级，原有的IPv4网络下的IPv4用户的业务不受影响。新增的IPv6/IPv4双栈用户可以正常访问IPv6网络和IPv6业务以及IPv4网络和IPv4业务。在IPv6建设初期，IPv6业务资源相对较少，因此需要考虑纯IPv6（NativeIPv6）用户对于现有IPv4业务资源的访问。同时，IPv4用户也会有访问IPv6业务资源的需求。为实现这两种可能的业务互访的需求，需要考虑如何放置NAT-PT设备。如果要访问的业务位于网络内部，可以考虑在业务服务器出口处放置双栈路由器，完成NAT-PT功能；如果要访问的业务位于网络外部，由于出口路由器也需要升级为双栈，因此可以考虑在网络出口的路由器上实现NAT-PT功能。17IPV6网络改造建议书升级现有IPv4网络组网下的IPv6/IPv4互访业务3.2IPv6地址规划IP地址规划主要涉及到网络资源的利用的方便有效的管理网络的问题，IPv6地址有128位，其中可供分配为网络前缀的空间有64bit。按照最新的IPv6RFC3513，IPv6地址分为全球可路由前缀和子网ID两部分，协议并没有明确的规定全球可路由前缀和子网ID各自占的bit数，目前APNIC能够申请到的IPv6地址空间为/32的地址。IPv6的地址使用方式有两类，一类是普通网络申请使用的IP地址，这类地址完全遵从前缀+接口标识符的IP地址表示方法；另外一类就是取消接口标识符的方法，只使用前缀来表示IP地址。18IPV6网络改造建议书IP地址的分配和网络组织、路由策略以及网络管理等都有密切的关系，IPv6地址规划目前尚没有主流的规则，具体的IP地址分配通常在工程实施时统一规划实施，可以遵循一些分配原则：\uf06c地址资源应全网统一分配\uf06c地址划分应有层次性，便于网络互联，简化路由表IP地址分配要尽量给每个区域分配连续的IP地址空间；相同的业务和功能尽量分配连续的IP地址空间，有利于路由聚合以及安全控制。\uf06cIP地址的规划与划分应该考虑到网络的发展要求地址使用兼顾到近期的需求与远期的发展以及网络的扩展，预留相应的地址段。IP地址的分配需要有足够的灵活性，应考虑到现有业务、新型业务以及各种特殊的业务要求、满足各种用户接入的需要。\uf06c充分合理利用已申请的地址空间，提高地址的利用效率。IP地址规划应该是网络整体规划的一部分，即IP地址规划要和网络层次规划、路由协议规划、流量规划等结合起来考虑。IP地址的规划应尽可能和网络层次相对应，应该是自顶向下的一种规划。CERNET2分配给各个驻地网用户的IPv6地址空间会是一个或几个/48的IPv6地址前缀。我们知道全球可聚集IPv6地址的前缀为64位，后64位为主机的interfaceid.所以各个驻地网用户用于可分配的IPv6地址前缀空间的范围为/48至/64之间。IPv6的地址分配原则同IPv4一样遵循CIDR原则。IPv6的地址规划时考虑三大类地址：19IPV6网络改造建议书1、公共服务器地址，如DNS，EMAIL，FTP等。2、网络设备互联地址和网络设备的LOOPBACK地址。根据IETFIPv6工作组的建议IPv6网络设备互联地址采用/64的地址块。IPv6网络设备的LOOPBACK地址采用/128的地址。3、用户终端的业务地址。此外由于目前网络设备的IPv6MIB信息的获取和OSPFv3中ROUTERID等均要求即使是一个纯IPv6网络也必须要求每个网络设备拥有IPv4地址。所以一个纯IPv6网络也必须规划IPv4地址（仅需要网络设备互联地址和网络设备的LOOPBACK地址）。3.3IPv6路由规划路由协议分为域内路由协议和域间路由协议，目前主要的路由协议都增加了对IPv6的支持功能。从路由协议的应用范围来看，OSPFv3、RIPng和IS-ISv6适用于自治域内部路由，为内部网关协议；BGP4+用来在自治域之间交换网络可达信息，是外部网关协议。1.域内路由协议选择支持IPv6的内部网关协议有：RIPng、OSPFv3、IS-ISv6协议。从路由协议标准化进程看，RIPng和OSPFv3协议已较为成熟，支持IPv6的IS-IS协议标准草案也已经过多次讨论修改，标准正在形成之中，而且IS-ISv6已经在主流厂家的相关设备得到支持。从协议的应用范围的角度，RIPng协议适用于小规模的网络，而OSPF和IS-IS协议可用于较大规模的网络。对于大规模的IP网络，为了保证网络的可靠性和可扩展性，内部路由协议20IPV6网络改造建议书（IGP）必须使用链路状态路由协议，只能在OSPF与IS-IS之间进行选择，下面对两种路由协议进行简单的对比。目前在IPv4网络中大量使用的OSPF路由协议版本号为OSPFv2，能够支持IPv6路由信息的OSPF版本称为OSPFv3，能够支持IPv6路由信息交换的ISIS路由协议称为IS-ISv6。OSPFv3OSPFv3与OSPFv2相比，虽然在机制和选路算法并没有本质的改变，但新增了一些OSPFv2不具备的功能。OSPFv3只能用来交换IPv6路由信息，ISISv6可以同时交换IPv4路由信息和IPv6路由信息。OSPF是基于IP层的协议，OSPFv3是为IPv6开发的一套链路状态路由协议。大体与支持IPv4的OSPFv2版本相似。对比OSPFv2，在OSPFv3中有以下区别：虽然OSPFv3是为IPv6设计的，但是OSPF的RouterID、AreaID和LSALinkStateID依然保持IPv4的32位的格式，而不是指定一个IPv6的地址。所以即使运行OSPFv3也需要为路由器分配IPv4地址。协议的运行是按照每一条链路（Per-link）进行的，而不是按照每个子网进行的（per-subnet）；把地址域从OSPF包和一些LSA数据包中去除掉，使得成为网络层协议独立的路由协议：与OSPFv2不同，IPv6的地址不再出现在OSPF包中，而是会在链路状态更新数据包中作为LSA的负载出现；21IPV6网络改造建议书Router-LSA和Network-LSA也不再包含网络地址，而只是简单的表示拓扑信息；邻居路由器的识别将一直使用RouterID，而不是像OSPFv2一样在某些使用端口会将端口地址作为标识。Link-Local地址可以作为OSPF的转发地址。除了Virtuallink必须使用Globalunicast地址或者使用Site-local地址。去掉了认证信息。在OSPFv3中不再有认证方面的信息。如果需要加密，可以使用IPv6中定义的IPAuthenticationHeader来实现。OSPF数据包格式发生了一些变化：OSPF的版本号由2变成了3；Hello包和Databasedescription包的选项域增加到24位；认证域去掉了；Hello信息中不再包含地址信息；引入了两个新的选项：R位和V6位；为实现单链路上多OSPF进程的实现，在OSPF包头中加入了InstanceID域；类型LSA3名字改为：Inter-Area-Prefix-LSA，类型LSA4名字改为：Inter-Area-Router-LSAOSPFv2和OSPFv3都使用最短路经优先算法，在Area划分、链路类型、LSA传播等方面基本一致。22IPV6网络改造建议书总的来说，由于OSPF发展成熟，厂商支持广泛，已经成为世界上使用最广泛的IGP，尤其在企业级网络，也是IETF推荐的唯一的IGP。其他路由协议所能适应的网络和具备的主要优点，OSPF都能适应。IPv6驻地网的IPv6路由规划，需要考虑到现有用户的使用习惯和主流的应用模式。IPv6的IGP可以选择ISISv6或者OSPFv3，但是考虑到多数驻地网的习惯以及协议支持的广泛程度，部署OSPFv3可能更为实际。同时OSPFv3域的设计可以沿用OSPFv2的思路。网络管理和路由规划等设计细节也可以参考原有的OSPFv2的原则。改造后驻地网全网部署双协议栈，和原有网平滑对接。在部署的核心、汇聚、接入（三层）交换机上同时运行OSPFv2和OSPFv3两个路由协议，尽管运行在同一个设备上，这两个路由是互相独立的，OSPFv3的区域规划和OSPFv2可以完全不同。23IPV6网络改造建议书24IPV6网络改造建议书第4章IPv6驻地网的管理4.1IPv6网络管理挑战管理好IPv6用户资源在原有IPv4网中，用户管理一直是管理聚焦的环节。IPv6网络建设初期是以基础平台搭建为重点，缺乏对用户管理的有效手段，存在一定的用户资源不可控风险。比如基于IPv6的用户可控运营、IPv6非法网络行为审计、ND攻击与伪DHCPv6服务等造成的安全隐患、IPv4与IPv6网络使用授权不统一的问题。4.2IPv6用户管理方案25IPV6网络改造建议书IPv6安全准入——基于双栈或纯IPv6协议的802.1x等接入认证技术，验证IPv6用户准入权限，并记录其审计信息；26IPV6网络改造建议书IPv6可信保障——ND攻击防御、伪DHCP6防御等交换机技术特性（SAVI），防止IPv6接入环境的伪造行为，保障源地址真实可信；27IPV6网络改造建议书IPv6业务运营——基于交换机MLDSnooping和用户认证管理技术，面向用户下发IPv6组播权限。4.3IPv6网络管理方案28IPV6网络改造建议书第5章IPv6网络的安全防护5.1面临的IPv6安全威胁实现和部署上的漏洞和不足－IPv6协议、机制和算法实现中的漏洞－IPv6地址和配置的复杂度更高，大规模部署中考虑不周非IP层攻击IPv6协议和IPv4协议一样工作在网络层，传输数据报的基本机制没有29IPV6网络改造建议书发生改变，IPv4网络中除IP层以外的其他6层中出现的攻击在IPv6网络中依然会存在过渡时期的安全问题－双栈协议：必须同时考虑IPv4和IPv6的安全性，一种协议的漏洞会影响另外一种。－隧道技术：隧道的入口和出口可以进行安全认证，因此首选配置隧道。自动隧道容易引入DoS、地址盗用和服务欺骗，需要在入口处实施严格的过滤：IPv4数据过滤、IPv6数据过滤、协议端口过滤。－NAT-PT：破坏了网络层端到端的安全特性，需实施保护措施，并保证算法不会收到DoS攻击。IPv6特有的安全问题－扫描和探测：IPv6的子网数量巨大，增大了传统的扫描扫描和蠕虫类攻击的难度。但熟知的地址为攻击者提供了明确的攻击目标，如所有节点地址FF01::1和FF02::1、所有路由器地址FF01::2、FF02::2，等。－无状态地址自动分配：非授权用户可以更容易的接入和使用网络。－ICMPv6：作为IPv6重要的组成部分，需要防止DoS攻击、反射攻击等。－邻居发现协议：等同于IPv4中的ARP协议，需防止DoS攻击、中间人攻击等。30IPV6网络改造建议书5.2IPv6网络整体安全防护措施5.2.1设计原则与思想31IPV6网络改造建议书如上图所示，本方案依据国家信息安全相关政策和标准，坚持管理和技术并重的原则，将技术和管理措施有机的结合，建立信息系统综合防护体系，具体内容：\uf0d8一个体系以单位内网安全为核心、以安全防护体系为支撑，从安全风险考虑，建立符合用户内网实际的安全基线，通过构建纵深防御体系、内部行为分析、外部情报接入，安全防护接入与虚拟主机防护接入等能力，构建基于虚拟化云安全资源池+传统硬件安全设备的下一代内网安全防御体系。\uf0d8三道防线32IPV6网络改造建议书结合纵深防御的思想，从内网安全计算环境、内网安全数据分析、内网安全管控手段三个层次，从用户实际业务出发，构建统一安全策略和防护机制，实现内网核心系统和内网关键数据的风险可控。\uf0d8四个安全能力采用主动防御安全体系框架，结合业务和数据安全需求，实现“预测、防御、检测、响应”四种安全能力，实现业务系统的可管、可控、可视及可持续。\uf06c预测能力：通过运用大数据技术对内部的安全数据和外部的威胁情报进行主动探索分析和评估具体包括行为建模与分析、安全基线与态势分析、能够使问题出现前提早发现问题，甚至遇见可能侵袭的威胁，随之调整安全防护策略来应对。\uf06c防御能力：采用加固和隔离系统降低攻击面，限制黑客接触系统、发现漏洞和执行恶意代码的能力，并通过转移攻击手段使攻击者难以定位真正的系统核心以及可利用漏洞，以及隐藏\\混淆系统接口\\信息(如创建虚假系统、漏洞和信息)，此外，通过事故预防和安全策略合规审计的方式通过统一的策略管理和策略的联动，防止黑客未授权而进入系统，并判断现有策略的合规性并进行相应的优化设置。\uf06c检测能力：通过对业务、数据和基础设施的全面检测，结合现有的安全策略提出整改建议，与网络运维系统联动实现安全整改和策略变更后，并进行持续监控，结合外部安全情况快速发现安全漏洞并进行响应。\uf06c响应能力：与网络运维系统进行对接，实现安全联动，出现安全漏洞时在短时间内，进行安全策略的快速调整，将被感染的系统和账户进行隔离，通过回顾分析事件完整过程，利用持续监控所获取的数据，解决相应安全问题。33IPV6网络改造建议书5.2.2内网安全环境设计传统内网安全环境设计如上图所示，在内网安全计算环境方面结合互联网与内网的攻击，围绕网络、主机、应用和数据层实现安全防护，具体内容包括：\uf0d8网络层安全防护设计1、通过FW或vFW中的FW、AV、IPS模块实现网络层访问控制、恶意代码防护、入侵防御。2、在各个内网安全域边界处，部署防火墙实现域边界的网络层访问控制。3、在内网边界处部署流量监控设备，实现全景网络流量监控与审计，并对数据包进行解析，通过会话时间、协议类型等判断业务性能和交互响应时间。34IPV6网络改造建议书\uf0d8主机层安全防护与设计1.在各个区域的核心交换处部署安全沙箱，实现主机入侵行为和未知威胁分析与预警。2.通过自适应安全监测系统，对主机操作系统类型、版本、进程、账号权限、反弹shell、漏洞威胁等进行全面的监控与预警。\uf0d8应用层安全防护与设计1.在通过外部服务域部署WAF设备实现应用层基于入侵特征识别的安全防护2.通过自适应安全监测系统，对应用支撑系统的类型、版本、框架路径、访问权限、漏洞威胁等进行全面的监控与预警。\uf0d8数据层安全防护与设计1.在数据资源域边界处部署数据库防护墙实现敏感信息的访问控制2.在数据资源域边界处部署数据库审计设备实现数据库的操作审计。3.在互联网接入域部署VPN设备，实现对敏感数据传输通道的加密5.2.2.1内网边界安全严格控制进出内网信息系统的访问，明确访问的来源、访问的对象及访问的类型，确保合法访问的正常进行，杜绝非法及越权访问；同时有效预防、发现、处理异常的网络访问，确保该区域信息网络正常访问活动。内网恶意代码防范病毒、蠕虫、木马、流氓软件等各类恶意代码已经成为互联网接入所面临的重要威胁之一，面对越发复杂的网络环境，传统的网络防病毒控制体系没有从引入威胁的最薄弱环节进行控制，即便采取一些手段加以简单的控制，也仍35IPV6网络改造建议书然不能消除来自外界的继续攻击，短期消灭的危害仍会继续存在。为了解决上述问题，对网络安全实现全面控制，一个有效的控制手段应势而生：从内网边界入手，切断传播途径，实现网关级的过滤控制。建议在该区域部署防病毒网关，对进出的网络数据内容进行病毒、恶意代码扫描和和过滤处理，并提供防病毒引擎和病毒库的自动在线升级，彻底阻断病毒、蠕虫及各种恶意代码向数据中心或办公区域网络传播5.2.2.2内网主机安全在信息化越来越简便的背景下，任何接入网络的设备和人员都有可能对内网信息资源构成威胁，因此针对办公计算机以及分支机构接入的系统安全以及访问区域管理显的尤为重要，如果出现安全事故或越权访问的情况，将会严重影响整体业务系统运行安全。由于信息化程度较高，终端点数较多，对IT软硬件的资产管理及故障维护如果单纯靠人工施行难度和工作量都比较大且效率比较低，同时如果员工存在对管理制度执行不到位的情况出现，就迫切需要通过技术手段规范员工的入网行为。为加强网络信息安全管理以及内部PC的安全管理，提高内网办公效率，应建立一套终端准入管理系统，重点解决以下问题：\uf06e入网终端注册和认证化采用的是双实名制认证方式，其包含对终端机器的认证和使用人员的认证，终端注册的目的是为了方便管理员了解入网机器是否为合法的终端，认证的目的是使用终端的人身份的合法性，做到人机一一对应，一旦出现安全事故，也便于迅速定位终端和人。\uf06e违规终端不准入网36IPV6网络改造建议书违规终端定义外来终端：外部访客使用的终端，或者为非内部人员使用的、不属于内部办公用终端（员工私人终端等）；违规终端：未能通过身份合法性、安全设置合规性检查的终端。入网终端安全修复合规化终端入网时若不符合单位要求的安全规范，则会被暂时隔离，无法访问业务网络，待将问题修复符合单位安全规范后才能正常访问单位网络。内网基于用户的访问控制内网基于用户的访问控制：可以通过用户组（角色）的方式定义不同的访问权限，如内部员工能够访问全网资源，来宾访客只允许访问有限的网络资源。内网终端安全防护建议部署终端安全管理系统，为数据中心运维人员提供终端安全准入，防止运维人员终端自身的安全问题影响数据中心业务系统。在具备补丁管理、802.1x准入控制、存储介质（U盘等）管理、非法外联管理、终端安全性检查、终端状态监控、终端行为监控、安全报警等功能基础上，增加风险管理和主动防范机制，具备完善的违规监测和风险分析，实现有效防护和控制，降低风险，并指导持续改进和完善防护策略，并具备终端敏感信息检查功能，支持终端流量监控，非常适合于对数据中心运维终端的安全管理。终端安全管理系统，提供针对Windows桌面终端的软硬件资产管理、终端行为监管、终端安全防护、非法接入控制、非法外联监控、补丁管理等功能，采用统一策略下发并强制策略执行的机制，实现对网络内部终端系统的管理和37IPV6网络改造建议书维护，从而有效地保护用户计算机系统安全和信息数据安全。建议在内网所有服务器部署安全加固组件，针对内外网IP、对内对外端口、进程、域名、账号、主机信息、web容器、第三方组件、数据库、安全与业务分组信息进行服务器信息汇总。主动对服务器进行系统漏洞补丁识别、管理及修复、系统漏洞发现、识别、管理及修复、弱口令漏洞识别及修复建议、高危账号识别及管理、应用配置缺陷风险识别及管理。724小时对服务器进行登录监控、完整性监控、进程监控、系统资源监控、性能监控、操作审计。通过对服务器整体威胁分析、病毒检测与查杀、反弹shell识别处理、异常账号识别处理、端口扫描检测、日志删除、登录/进程异常、系统命令篡改等入侵事件发现及处理。最终完成对服务器立体化的多维度安全加固。内网服务器安全运维由于设备众多、系统操作人员复杂等因素，导致越权访问、误操作、资源滥用、疏忽泄密等时有发生。黑客的恶意访问也有可能获取系统权限，闯入部门或单位内部网络，造成不可估量的损失。终端的账号和口令的安全性，也是安全管理中难以解决的问题。如何提高系统运维管理水平，满足相关法规的要求，防止黑客的入侵和恶意访问，跟踪服务器上用户行为，降低运维成本，提供控制和审计依据，越来越成为内部网络控制中的核心安全问题。安全运维审计是一种符合4A(认证Authentication、账号Account、授权Authorization、审计Audit)要求的统一安全管理平台，在网络访问控制系统（如：防火墙、带有访问控制功能的交换机）的配合下，成为进入内部网络的一个检查点，拦截对目标设备的非法访问、操作行为。运维审计设备能够极大的保护客户内部网络设备及服务器资源的安全性，使得客户的网络管理合理化、专业化。38IPV6网络改造建议书建议在核心交换机上以旁路方式部署一台运维审计系统。运维审计（堡垒主机）系统，为运维人员提供统一的运维操作审计。通过部署运维审计设备能够实现对所有的网络设备，网络安全设备，应用系统的操作行为全面的记录，包括登录IP、登录用户、登录时间、操作命令全方位细粒度的审计。同时支持过程及行为回放功能，从而使安全问题得到追溯，提供有据可查的功能和相关能力。5.2.2.3内网应用安全内网应用层攻击防护建议内网信息系统边界部署WEB应用防火墙（WAF）设备，对Web应用服务器进行保护，即对网站的访问进行7X24小时实时保护。通过Web应用防火墙的部署，可以解决WEB应用服务器所面临的各类网站安全问题，如：SQL注入攻击、跨站攻击（XSS攻击，俗称钓鱼攻击）、恶意编码(网页木马)、缓冲区溢出、应用层DDOS攻击等等。防止网页篡改、被挂木马等严重影响形象的安全事件发生。WAF作为常见应用层防护设备，在防护来自于外网的黑客攻击外，同样可以防护来自内网的跳板型渗透攻击，当内部终端或服务器被黑客攻陷后，为防止通过跳板机对内网其他应用系统进行内网渗透，通过WAF防攻击模块，可以实时阻断任何应用层攻击行为，保护内部系统正常运行5.2.2.4内网数据安全内网数据防泄密建议在内网环境中部署数据防泄密系统，保持某单位现有的工作模式和员工操作习惯不变，不改变任何文件格式、不封闭网络、不改变网络结构、不封闭计算机各种丰富的外设端口、不改变复杂的应用服务器集群环境，实现对企业内部数据强制透明加解密，员工感觉不到数据存在，保证办公效率，实现数39IPV6网络改造建议书据防泄密管理，形成“对外受阻，对内无碍”的管理效果。员工未经授权，不管以任何方式将数据带离公司的环境，都无法正常查看。如：加密文件通过MSN、QQ、电子邮件、移动存储设备等方式传输到公司授权范围以外（公司外部或公司内没有安装绿盾终端的电脑），那么将无法正常打开使用，显示乱码，并且文件始终保持加密状态。只有经过公司审批后，用户才可在授予的权限范围内，访问该文件。1)在不改变员工任何操作习惯、不改变硬件环境和网络环境、不降低办公效率，员工感觉不到数据被加密的存在，实现了单位数据防泄密管理；2)员工不管通过QQ、mail、U盘等各种方式，将单位内部重要文件发送出去，数据均是加密状态；3)存储着单位重要数据的U盘、光盘不慎丢失后，没有在公司的授权环境下打开均是加密状态；4)员工出差办公不慎将笔记本丢失，无单位授予的合法口令，其他人无法阅读笔记本内任何数据；5.2.2.5内网数据库安全审计建议在内部信息系统部署数据库审计系统，对多种类数据库的操作行为进行采集记录，探测器通过旁路接入，在相应的交换机上配置端口镜像，对内部人员访问数据库的数据流进行镜像采集并保存信息日志。数据库审计系统能够详细记录每次操作的发生时间、数据库类型、源MAC地址、目的MAC地址、源端口、目标端口、数据库名、用户名、客户端IP、服务器端IP、操作指令、操作返回状态值。数据库审计系统支持记录的行为包括：数据操作类（如select、insert、delete、update等）40IPV6网络改造建议书结构操作类（如create、drop、alter等）事务操作类（如BeginTransaction、CommitTransaction、RollbackTransaction等）用户管理类以及其它辅助类（如视图、索引、过程等操作）等数据库访问行为，并对违规操作行为产生报警事件。5.3虚拟化安全环境总体防护设计41IPV6网络改造建议书5.3.1划分虚拟安全域图中提供安全组、连接策略两种方式。安全组类似白名单方式，而连接策略类似黑名单方式。通过添加具体的访问控制规则，支持任意虚拟机之间的访问控制。灵活的配置方式可以满足用户所有的访问控制类需求。在原生虚拟化环境中部署的虚拟防火墙可以通过服务链技术，实现和SDN网络控制器的接口、安全控制平台的接口，并进一步抽象化、池化，实现安全设备的自动化部署。同时，在部署时通过安全管理策略的各类租户可以获得相应安全设备的安全管理权限、达成分权分域管理的目标。在安全控制平台部署期的过渡阶段，可以采用手工配置流控策略的模式，实现无缝过渡。在这种部署模式下，安全设备的部署情况与基于SDN技术的集成部署模式相似，只是所有在使用SDN控制器调度流量处，都需要使用人工的方式配置网络设备，使之执行相应的路由或交换指令。以虚拟防火墙防护为例，可以由管理员通过控制器下发计算节点到安全节42IPV6网络改造建议书点中各个虚拟网桥的流表，依次将流量牵引到虚拟防火墙设备即可。这一切的配置都是通过统一管理界面实现引流、策略下发的自动化，除了这些自动化操作手段，统一管理平台还提供可视化展示功能，主要功能有，支持虚拟机资产发现、支持对流量、应用、威胁的统计，支持对接入服务的虚拟机进行全方位的网络监控支持会话日志、系统日志、威胁指数等以逻辑动态拓扑图的方式展示。5.3.2南北向流量访问控制在云平台内部边界部署2套边界防火墙用于后台服务域与其他域的边界访问控制（即南北向流量的访问控制）。防火墙设置相应的访问控制策略，根据数据包的源地址、目的地址、传输层协议、请求的服务等，决定该数据包是否可以进出云计算平台，并确定该数据包可以访问的客体资源。5.3.3东西向流量访问控制虚拟化场景中的关键安全能力组件集合了ACL、防火墙、IPS、Anti-43IPV6网络改造建议书DDoS、DPI、AV等多项功能，vDFW采用统一安全引擎，将应用识别、内容检测、URL过滤、入侵防御、病毒查杀等处理引擎合并归一，实现对数据中心内部东西向流量的报文进行高效的一次性处理。不仅如此，vDFW支持多虚一的集群模式，突破性能瓶颈的限制，以达到与数据中心防护需求最佳匹配的效果。当数据中心检测平台发现特定虚机发起内部威胁攻击流量后，管理员只需设置相关策略，由安全控制器调度，即可将策略统一下发到整个数据中心内部相关对应虚拟路由器组件上，将可疑流量全部牵引至vDFW进行检测防护与内容过滤。针对数据中心内部各类安全域、各个部门、采用的按需配置、差异化、自适应的安全策略。5.3.4内网安全资源池与数据中心中的计算、存储和网络资源相似，各种形态、各种类型的安全产品都能通过控制和数据平面的池化技术，形成一个个具有某种检测或防护能力的安全资源池。当安全设备以硬件存在的时候（如硬件虚拟化和硬件原生引擎系统），可直接连接硬件SDN网络设备接入资源池；当安全设备以虚拟机形态存在的时候（如虚拟机形态和硬件内置虚拟机形态），可部署在通用架构（如x86）的服务器中，连接到虚拟交换机上，由端点的agent统一做生命周期管理和网络资源管理。控制平台通过安全应用的策略体现出处置的智能度，通过资源池体现出处置的敏捷度。软件定义的安全资源池可以让整套安全体系迸发出强大的活力，极大地提高了系统的整体防护效率。通过安全资源管理与调度平台，实现与安全资源的对接，包括vFW、vIPS、vWAF等，各个安全子域的边界防护，通过安全资源管理与调度平台，通过策略路由的方式，实现服务链的管理和策略的编排各安全域边界之间均采用虚拟防火墙作为边界。44IPV6网络改造建议书如上图所示，在安全子域中将防火墙、WAF、LBS、AV、主机加固等均进行虚拟化资源池配置，通过安全管理子域中的安全控制器根据各子域的实际安全需求进行资源调用。针对各个子域内的边界访问控制，由安全资源与管理平台调用防火墙池化资源，分别针对各子域的访问请求设置相应的访问控制策略，根据数据包的源地址、目的地址、传输层协议、请求的服务等，决定该数据包是否可以进出本区域，并确定该数据包可以访问的客体资源。由此可见，安全资源池对外体现的是多种安全能力的组合、叠加和伸缩，可应用于云计算环境，也可应用于传统环境，以抵御日益频繁的内外部安全威胁。当然，在云环境中，安全资源池不仅可以解决云安全的落地，而且能发挥虚拟化和SDN等先进技术的优势，实现最大限度的软件定义安全。5.3.5安全域访问控制为提升虚拟主机及网络的安全性，针对虚拟网络安全边界设定访问控制策略，对于纵向流量、横向流量进行基于IP与端口的访问路径限制。\uf0d8对于虚拟网络边界进行区域请求控制\uf0d8VPN接入边界访问控制45IPV6网络改造建议书\uf0d8Vlan访问控制5.3.6虚拟资产密码管理为增强虚拟资产的密码防护功能，建议通过密钥管理与资产管理分离的技术方式，实现管理员仅维护信息资产，用户自行管理密钥的工作模式。通过密码机集群与虚拟化技术的结合扩充密码运算能力，将密码运算能力进行细粒度划分，并通过集中的密钥管理及配套的安全策略保护用户密钥整生命周期的安全5.3.7虚拟主机安全防护设计虚拟主机安全防护设计主要实现如下目标：\uf0d8资产清点\uf0d8自动化的进行细粒度的风险分析\uf0d8安全合规性基线检查\uf0d8对后门、Webshell、文件完整性和系统权限变更等进行监测行为分析46IPV6网络改造建议书如上图所示，通过收集主机上的操作系统、中间件、数据库等配置数据，准确分析应用系统在不同层面的配置信息，结合第三方病毒库进行漏洞和风险分析，并及时给出整改加固建议。5.4内网虚拟化安全运维平台5.4.1集中账号管理在云堡垒机管理系统中建立基于唯一身份标识的全局用户帐号，统一维护云平台与服务器管理帐号，实现与各云平台、服务器等无缝连接。47IPV6网络改造建议书5.4.2统一登录与管控用户通过云堡垒机管理系统单点登录到相应的虚拟机，且所有操作将通过云堡垒机系统进行统一管控，只需要使用云堡垒机提供的访问IP、用户名、密码登录后，用户即可登录相应的云平台与服务器，而不需要反复填写对应云平台与服务器的地址、用户名、密码。48IPV6网络改造建议书用户可通过vsphereclient登录vmwarevsphere云平台进行管理，输入云堡垒机为该云平台提供的访问IP与用户在云堡垒机中的用户名和密码即可完成登录。49IPV6网络改造建议书5.4.3记录与审计通过云堡垒机管理系统的访问历史记录回放功能，可随时查看每个用户对所属服务器、虚拟机的访问情况。windows历史访问回放50IPV6网络改造建议书linux历史访问回放在回放过程中，用户可以试用云堡垒机的“智能搜索”功能大大加快回放速度，快速定位到用户可疑操作位置。Windows回放智能搜索回放智能搜索云堡垒机系统还提供会话管理功能。可以通过云堡垒机系统快速查看用户会话，实时监控，以及中断会话。51IPV6网络改造建议书5.4.4权限控制与动态授权云堡垒机系统统一分配系统角色对应的云平台与服务器权限，当用户在真实使用场景下的角色权限与云堡垒机系统中预置的角色权限，不一致时，可通过云堡垒机的动态授权功能，对角色的云平台与服务器权限进行方便灵活变更。5.5内网安全数据分析5.5.1内网安全风险态势感知建议部署态势感知系统，检测已知位置的终端恶意软件的远控通信行为，定位失陷主机，根据态势感知设备的告警信息，采集、取证、判定、处置内网终端主机上的恶意代码，针对未知恶意文件攻击，将流量还原得到的办公文档和可执行文件放入网络沙箱虚拟环境中执行，根据执行中的可疑行为综合判定各类含漏洞利用代码的恶意文档、恶意可执行程序，及植入攻击行为。检测各类植入攻击：邮件投递，挂马网站，文件下载，准确识别0day、Nday漏洞入侵52IPV6网络改造建议书的恶意代码5.5.2内网全景流量分析建议部署内部网络流量分析系统，数据的传递介质是网络协议，网络流量作为网络协议中最有价值的安全分析维度，其本身就承载着重要的风险识别作用，针对内部网络的任何攻击行为都将在内部异常流量中呈现本质化特征，因此基于流量的内网安全数据分析是最能客观反映当前内网安全等级的参考指标。5.5.3基线建模异常流量分析流量异常检测的核心问题是实现流量正常行为的描述，并且能够实时、快速地对异常进行处理。系统采用了一种基于统计的流量异常检测方法，首先确定正常的网络流量基线，然后根据此基线利用正态分布假设检验实现对当前流量的异常检测。比如流量的大小、包长的信息、协议的信息、端口流量的信息、TCP标志位的信息等，这些基本特征比较详细地描述了网络流量的运行状态。总体设计网络流量异常检测模型的总体设计思路是：从网络的总出口采集数据，对每个数据包进行分类，将它的统计值传到相应的存储空间，然后对这些数据包进行流量分析5.5.4流量分析引擎对采集到的数据进行分析处理。通过建立正常网络流量模型，按照一定的规则进行流量异常检测。同时根据滑动窗口的更新策略，能够自动学习最近的流量情况，从而调整检测的准确度。建立正常网络流量模型要进行流量异常检测，必须首先建立正常的网络流量模型，然后对比正常模型能够识别异常。本文使用基于统计的方法来实现异常检测，利用网络流量的历史行为检测当前的异常活动和网络性能的下降。53IPV6网络改造建议书因此正常流量模型的建立需要把反映网络流量的各项指标都体现出来，使其能够准确反映网络活动。在系统运行时，统计当前流量行为可测度集，并同正常的网络基线相比较，如果当前流量行为与正常网络基线出现明显的偏离时，即认为出现了异常行为，并可进一步检测分析；如果两种行为没有明显偏差，则流量正常，更新正常网络流量模型。通过该界面实现查看信息、设定检测规则、设定阈值、设定报警方式以及处理报警等功能。系统应该对于检测出的异常主机进行标记，标记异常的类型、统计量、阈值指标、消息以及异常发生的时间等情况，给系统管理员报告一个异常信息。5.5.5异常的互联关系分析对于不符合白名单和灰名单的互连关系和流量，系统会自动生成未知数据流，并对未知数据流进行识别、匹配，从中提取可供判断的信息，如：单点对多点的快速连接，系统会识别为网络扫描，非正常时段的数据连接，系统会视为异常行为，多点对单点的大流量连接，系统会识别为非法应用等。用户对未知数据流识别、确认、处理后，可将未知数据流自动生产报警或提取到白名单。5.5.6内网多源威胁情报分析建议在内网部署多源威胁情报分析，通过对不同源头威胁情报的统一汇总、分析、展示等功能，极大提高情报告警准确率，帮助评测内部信息系统遭受的风险以及安全隐患从而让安全团队进行有安全数据佐证的重点内部领域防护措施。内部安全团队多人对单条威胁情报存在疑虑时，可进行协同式研判，提升单挑威胁情报与情报源的命中率统计。内部安全管理员可以定期生成威胁情报月报，便于将一段时间内的系统漏洞、应用漏洞、数据库漏洞进行选择性摘要，54IPV6网络改造建议书使安全加固工作处于主动、积极、有效的工作场景之中。\uf06c5.6内网安全管控措施5.6.1内网安全风险主动识别云安全防护虚拟资源池内为用户提供了系统层漏扫、web层漏扫、数据库漏扫三种检测工具，可以为用户提供定期的安全风险检测，基于已知风险或未知风险进行安全策略调整、漏洞修复、补丁更新等主动防御行为。\uf0d8漏洞检测范围55IPV6网络改造建议书操作系统：MicrosoftWindows2003/2008/7/8/10/2012、MacOS、SunSolaris、UNIX、IBMAIX、IRIX、Linux、BSD；数据库：MSSQL、MySQL、Oracle、DB2、PostgreSQL、SYBASE、SAPMaxDB、solidDB、Firebird；网络设备：支持CISCO、Juniper、Citrix、EMC、Fortinet、Nortel、ZyXEL、BlueCoat、CheckPoint、趋势科技、Websense、3COM、F5、SonicWALL、MikroTikRouteOS、DD-WRT、D-Link、NETGEAR。应用系统：各种Web服务器应用系统（IIS、ApacheTomcat、IBMlotus……）、各种DNS服务器应用系统、各种FTP/TFTP服务器应用系统、虚拟化系统（Vmware、VirtualBox、KVM、OpenStack等等）、邮件服务器应用系统（MSExchange、IMAP、IpswitchImail、Postfix……）\uf0d8系统漏洞类型Windows漏洞大于1946种、MacOS漏洞大于192种、UNIX漏洞大于959种、数据库服务器漏洞大于357种、CGI漏洞大于2301种、DNS漏洞大于76种、FTP/TFTP漏洞大于278种、虚拟化漏洞大于613种、网络设备漏洞大于516种、Mail漏洞大于251种、杂项漏洞（含RPC、NFS、主机后门、NIS、SNMP、守护进程、PROXY、强力攻击……）\uf0d8web漏洞类型微软IIS漏洞检测、Apache漏洞检测、IBMWebSphere漏洞检测、ApacheTomcat漏洞检测、SSL模块漏洞检测、Nginx漏洞检测、IBMLotus漏洞检测、Resin漏洞检测、Weblogic漏洞检测、Squid漏洞检测、lighttpd漏洞检测、NetscapeEnterprise漏洞检测、SuniPlanetWeb漏洞检测、OracleHTTPServer漏56IPV6网络改造建议书洞检测、Zope漏洞检测、HPSystemManagementHomepage漏洞检测、Cherokee漏洞检测、RaidenHTTPD漏洞检测、Zeus漏洞检测、AbyssWebServer漏洞检测、以及其他Web漏洞检测等Web服务器的扫描，尤其对于IIS具有最多的漏洞检测能力，IIS漏洞大于155种\uf0d8数据库漏洞类型MSSQL、MySQL、Oracle、DB2、PostgreSQL、SYBASE、SAPMaxDB、solidDB、Firebird……等，可以扫描数据库大于三百五十多种漏洞，包含了有关空口令、弱口令、用户权限漏洞、用户访问认证漏洞、系统完整性检查、存储过程漏洞和与数据库相关的应用程序漏洞等方面的漏洞，基本上覆盖了数据库常被用做后门进行攻击的漏洞，并提出相应的修补建议5.6.2内部主动防御根据漏洞扫描结果，给予定制化安全加固方案，结合漏洞级别、漏洞类型、漏洞波及范围、修复风险、加固后复测等人工服务，配合用户第一时间完成修复工作，我们将从信息安全专业技术层面为您说明每一条漏洞可能导致的安全事件可能性，从用户安全运维、业务系统稳定运行的角度出发，给出可落地的安全加固方案。5.6.3内网统一身份认证与权限管理建议构建统一身份认证与权限管理系统，建立统一身份库，业务操作人员、系统运维人员、IT基础架构运维人员、业务应用管理员、IT基础架构管理人员、系统管理人员通过统一认证入口，进行统一的身份认证，并对不同人员设置不同的访问权限，并实现所有用户登录及访问行为分析和审计。57IPV6网络改造建议书5.6.4统一用户身份认证设计建立的统一身份库，包括运营身份库和业务人员身份库，使用户在统一身份库中，只有唯一身份标识，用户向统一认证平台提交的证明是其本人的凭据，根据系统级别不同，采用的认证方式不同，每个应用系统都有自己的账户体系，这些账户被看做是访问一个信息资产的权限，管理员可以在统一身份认证与权限管理系统中配置某个用户在系统中对若干账户的访问权限。实现各应用系统不再处理身份认证，而是通过统一的身份认证入口进行认证，通过后期的行为分析提供对异常行为的检测及加强认证或阻断操作。用户分类具体如下图所示：5.6.4.1统一用户权限管理设计1、运维人员的权限管理58IPV6网络改造建议书2、业务人员的权限管理5.6.4.2业务内容身份鉴别与访问控制设计一、内部访问设计内部访问设计主要面向内部用户，通过验证后会加入到统一用户身份认证与权限管理平台身份库，经过认证策略判定，录入认证策略库，最后通过堡垒机实现内部访问。二、外部访问设计身份合法验证，通过验证后会加入到外部用户统一用户身份认证与权限管理平台身份库，经过认证策略判定并录入认证策略库，经过多因素认证资源池59IPV6网络改造建议书（包括指纹、二维码、RSA令牌等）实现外部应用的系统资源访问。5.6.4.3内网安全漏洞统一管理平台建议部署安全漏洞统一管理平台，按照组织架构或业务视图建立资产管理目录，快速感知不同资产层级的漏洞态势，解决内部漏洞无法与业务系统自动关联分析的问题，为监管方提供宏观分析视图。将不同来源、不同厂商、不同语言、不同类型的漏洞数据自动标准化成符合国家标准的全中文漏洞数据，并去重合。形成某单位自身的漏洞信息库，赋予漏洞数据空间、时间、状态和威胁属性，形成每个信息系统的漏洞信息库，并对其生命周期状态进行跟踪。顺应国家网络安全和行业发展的需要，解决了漏洞检测、漏洞验证、漏洞处置和响应等环节中存在的多种问题，实现漏洞管理流程化、自动化、平台化及可视化。第6章安全差距分析6.1安全差距分析对比根据等保三级要求，结合展望等保2.0对云平台的安全要求的差距分析表技术要求项三级等保要求单位现状整改措施物理安全物理位置的选择机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内；机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁；机房场地应当避开强电场、强磁场、强震动源、强噪声源、重度环境污染、易发生火灾、水灾、易遭受雷击的地区。符合无物理访问控制机房出入口应有专人值守，鉴别进入的人员身份并登记在案；应批准进入机房的来访人员，限制和监控其活动范围；应对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在重要区域前设置交付或安装等过度区域；应对重要区域配置电子门禁系统，鉴别和记录进入的人员身份符合无60IPV6网络改造建议书技术要求项三级等保要求单位现状整改措施并监控其活动。防盗窃和防破坏应将主要设备放置在物理受限的范围内；应对设备或主要部件进行固定，并设置明显的无法除去的标记；应将通信线缆铺设在隐蔽处，如铺设在地下或管道中等；应对介质分类标识，存储在介质库或档案室中；设备或存储介质携带出工作环境时，应受到监控和内容加密；应利用光、电等技术设置机房的防盗报警系统，以防进入机房的盗窃和破坏行为；应对机房设置监控报警系统。符合无防雷击机房建筑应设置避雷装置；应设置防雷保安器，防止感应雷；应设置交流电源地线。符合无防火应设置火灾自动消防系统，自动检测火情、自动报警，并自动灭火；机房及相关的工作房间和辅助房，其建筑材料应具有耐火等级；机房采取区域隔离防火措施，将重要设备与其他设备隔离开。符合无防水和防潮水管安装，不得穿过屋顶和活动地板下；应对穿过墙壁和楼板的水管增加必要的保护措施，如设置套管；应采取措施防止雨水通过屋顶和墙壁渗透；应采取措施防止室内水蒸气结露和地下积水的转移与渗透。符合无防静电应采用必要的接地等防静电措施；应采用防静电地板。符合无温湿度控制应设置恒温恒湿系统，使机房温、湿度的变化在设备运行所允许的范围之内。符合无电力供应计算机系统供电应与其他供电分开；应设置稳压器和过电压防护设备；应提供短期的备用电力供应（如UPS设备）；应设置冗余或并行的电力电缆线路；应建立备用供电系统（如备用发电机），以备常用供电系统停电时启用。符合无电磁防护应采用接地方式防止外界电磁干扰和设备寄生耦合干扰；电源线和通信线缆应隔离，避免互相干扰；对重要设备和磁介质实施电磁屏蔽。符合无网络结构安全与网网络设备的业务处理能力应具备冗余空间，要求满足业务高峰期需要；符合建议加强安全域的划分61IPV6网络改造建议书技术要求项三级等保要求单位现状整改措施安全段划分应设计和绘制与当前运行情况相符的网络拓扑结构图；应根据机构业务的特点，在满足业务高峰期需要的基础上，合理设计网络带宽；应在业务终端与业务服务器之间进行路由控制建立安全的访问路径；应根据各部门的工作职能、重要性、所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段；重要网段应采取网络层地址与数据链路层地址绑定措施，防止地址欺骗；应按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要业务数据主机。网络访问控制应能根据会话状态信息（包括数据包的源地址、目的地址、源端口号、目的端口号、协议、出入的接口、会话序列号、发出信息的主机名等信息，并应支持地址通配符的使用），为数据流提供明确的允许/拒绝访问的能力；应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制；应依据安全策略允许或者拒绝便携式和移动式设备的网络接入；应在会话处于非活跃一定时间或会话结束后终止网络连接；应限制网络最大流量数及网络连接数。防火墙、WAF等可以实现无拨号访问控制应在基于安全属性的允许远程用户对系统访问的规则的基础上，对系统所有资源允许或拒绝用户进行访问，控制粒度为单个用户；应限制具有拨号访问权限的用户数量；应按用户和系统之间的允许访问规则，决定允许用户对受控系统进行资源访问。VPN、堡垒机等可以实现建议启用堡垒机网络安全审计应对网络系统中的网络设备运行状况、网络流量、用户行为等进行全面的监测、记录；对于每一个事件，其审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功，及其他与审计相关的信息；安全审计应可以根据记录数据进行分析，并生成审计报表；安全审计应可以对特定事件，提供指定方式的实时报警；审计记录应受到保护避免受到未预期的删除、修改或覆盖等。已部署行为审计与泰和SOC平台无边界完整性检应能够检测内部网络中出现的内部用户未通过准许私自联到外部网络的行为（即“非法外联”行为）；不完全符合建议增加针对省、国家62IPV6网络改造建议书技术要求项三级等保要求单位现状整改措施查应能够对非授权设备私自联到网络的行为进行检查，并准确定出位置，对其进行有效阻断；应能够对内部网络用户私自联到外部网络的行为进行检测后准确定出位置，并对其进行有效阻断。电子政务网的边界防护，针对内网的安全准入手段网络入侵防范应在网络边界处应监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击、网络蠕虫攻击等入侵事件的发生；当检测到入侵事件时，应记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间，并在发生严重入侵事件时提供报警。已部署IPS系统无恶意代码防范应在网络边界及核心业务网段处对恶意代码进行检测和清除；应维护恶意代码库的升级和检测系统的更新；应支持恶意代码防范的统一管理。已部署网络版杀毒软件无网络设备防护应对登录网络设备的用户进行身份鉴别；应对网络上的对等实体进行身份鉴别；应对网络设备的管理员登录地址进行限制；网络设备用户的标识应唯一；身份鉴别信息应具有不易被冒用的特点，例如口令长度、复杂性和定期的更新等；应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别；应具有登录失败处理功能，如：结束会话、限制非法登录次数，当网络登录连接超时，自动退出；应实现设备特权用户的权限分离，例如将管理与审计的权限分配给不同的网络设备用户。不完全符合缺失安全基线的检查手段主机系统安全身份鉴别操作系统和数据库管理系统用户的身份标识应具有唯一性；应对登录操作系统和数据库管理系统的用户进行身份标识和鉴别；应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别；操作系统和数据库管理系统用户的身份鉴别信息应具有不易被冒用的特点，例如口令长度、复杂性和定期的更新等；应具有登录失败处理功能，如：结束会话、限制非法登录次数，当登录连接超时，自动退出；应具有鉴别警示功能；重要的主机系统应对与之相连的服务器或终端设备进行身份标识和鉴别。符合无自主访应依据安全策略控制主体对客体的访问；基本符合启用堡垒机63IPV6网络改造建议书技术要求项三级等保要求单位现状整改措施问控制自主访问控制的覆盖范围应包括与信息安全直接相关的主体、客体及它们之间的操作；自主访问控制的粒度应达到主体为用户级，客体为文件、数据库表级；应由授权主体设置对客体访问和操作的权限；权限分离应采用最小授权原则，分别授予不同用户各自为完成自己承担任务所需的最小权限，并在他们之间形成相互制约的关系；应实现操作系统和数据库管理系统特权用户的权限分离；应严格限制默认用户的访问权限。强制访问控制应对重要信息资源和访问重要信息资源的所有主体设置敏感标记；强制访问控制的覆盖范围应包括与重要信息资源直接相关的所有主体、客体及它们之间的操作；强制访问控制的粒度应达到主体为用户级，客体为文件、数据库表级。不符合通过安全服务进行整改安全审计安全审计应覆盖到服务器和客户端上的每个操作系统用户和数据库用户；安全审计应记录系统内重要的安全相关事件，包括重要用户行为、系统资源的异常使用和重要系统命令的使用；安全相关事件的记录应包括日期和时间、类型、主体标识、客体标识、事件的结果等；安全审计应可以根据记录数据进行分析，并生成审计报表；安全审计应可以对特定事件，提供指定方式的实时报警；审计进程应受到保护避免受到未预期的中断；审计记录应受到保护避免受到未预期的删除、修改或覆盖等。符合无系统保护系统因故障或其他原因中断后，应能够以手动或自动方式恢复运行。基本符合无剩余信息保护应保证操作系统和数据库管理系统用户的鉴别信息所在的存储空间，被释放或再分配给其他用户前得到完全清除，无论这些信息是存放在硬盘上还是在内存中；应确保系统内的文件、目录和数据库记录等资源所在的存储空间，被释放或重新分配给其他用户前得到完全清除。符合无入侵防范应进行主机运行监视，包括监视主机的CPU、硬盘、内存、网络等资源的使用情况；应设定资源报警域值，以便在资源使用超过规定数值时发出报警；应进行特定进程监控，限制操作人员运行非法进程；部署泰和安全平台无64IPV6网络改造建议书技术要求项三级等保要求单位现状整改措施应进行主机账户监控，限制对重要账户的添加和更改；应检测各种已知的入侵行为，记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间，并在发生严重入侵事件时提供报警；应能够检测重要程序完整性受到破坏，并在检测到完整性错误时采取必要的恢复措施。恶意代码防范服务器和终端设备（包括移动设备）均应安装实时检测和查杀恶意代码的软件产品；主机系统防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库；应支持恶意代码防范的统一管理。基本符合无资源控制应限制单个用户的多重并发会话；应对最大并发会话连接数进行限制；应对一个时间段内可能的并发会话连接数进行限制；应通过设定终端接入方式、网络地址范围等条件限制终端登录；应根据安全策略设置登录终端的操作超时锁定和鉴别失败锁定，并规定解锁或终止方式；应禁止同一用户账号在同一时间内并发登录；应限制单个用户对系统资源的最大或最小使用限度；当系统的服务水平降低到预先规定的最小值时，应能检测和报警；应根据安全策略设定主体的服务优先级，根据优先级分配系统资源，保证优先级低的主体处理能力不会影响到优先级高的主体的处理能力。基本符合通过安全服务进行整改应用安全身份鉴别系统用户的身份标识应具有唯一性；应对登录的用户进行身份标识和鉴别；系统用户的身份鉴别信息应具有不易被冒用的特点，例如口令长度、复杂性和定期的更新等；应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别；应具有登录失败处理功能，如：结束会话、限制非法登录次数，当登录连接超时，自动退出；应具有鉴别警示功能；应用系统应及时清除存储空间中动态使用的鉴别信息。基本符合无访问控制应依据安全策略控制用户对客体的访问；自主访问控制的覆盖范围应包括与信息安全直接相关的主体、客体及它们之间的操作；不符合无65IPV6网络改造建议书技术要求项三级等保要求单位现状整改措施自主访问控制的粒度应达到主体为用户级，客体为文件、数据库表级；应由授权主体设置用户对系统功能操作和对数据访问的权限；应实现应用系统特权用户的权限分离，例如将管理与审计的权限分配给不同的应用系统用户；权限分离应采用最小授权原则，分别授予不同用户各自为完成自己承担任务所需的最小权限，并在它们之间形成相互制约的关系；应严格限制默认用户的访问权限。安全审计安全审计应覆盖到应用系统的每个用户；安全审计应记录应用系统重要的安全相关事件，包括重要用户行为、系统资源的异常使用和重要系统功能的执行等；安全相关事件的记录应包括日期和时间、类型、主体标识、客体标识、事件的结果等；安全审计应可以根据记录数据进行分析，并生成审计报表；安全审计应可以对特定事件，提供指定方式的实时报警；审计进程应受到保护避免受到未预期的中断；审计记录应受到保护避免受到未预期的删除、修改或覆盖等。符合无剩余信息保护应保证用户的鉴别信息所在的存储空间，被释放或再分配给其他用户前得到完全清除，无论这些信息是存放在硬盘上还是在内存中；应确保系统内的文件、目录和数据库记录等资源所在的存储空间，被释放或重新分配给其他用户前得到完全清除。基本符合安全服务整改通信完整性通信双方应约定密码算法，计算通信数据报文的报文验证码，在进行通信时，双方根据校验码判断对方报文的有效性。基本符合无抗抵赖应具有在请求的情况下为数据原发者或接收者提供数据原发证据的功能；应具有在请求的情况下为数据原发者或接收者提供数据接收证据的功能。符合无通信保密性当通信双方中的一方在一段时间内未作任何响应，另一方应能够自动结束会话；在通信双方建立连接之前，利用密码技术进行会话初始化验证；在通信过程中，应对整个报文或会话过程进行加密；应选用符合国家有关部门要求的密码算法。基本符合无软件容错应对通过人机接口输入或通过通信接口输入的数据进行有效性检验；应对通过人机接口方式进行的操作提供“回退”功能，即允许基本符合无66IPV6网络改造建议书技术要求项三级等保要求单位现状整改措施按照操作的序列进行回退；应有状态监测能力，当故障发生时，能实时检测到故障状态并报警；应有自动保护能力，当故障发生时，自动保护当前所有状态。资源控制应限制单个用户的多重并发会话；应对应用系统的最大并发会话连接数进行限制；应对一个时间段内可能的并发会话连接数进行限制；应根据安全策略设置登录终端的操作超时锁定和鉴别失败锁定，并规定解锁或终止方式；应禁止同一用户账号在同一时间内并发登录；应对一个访问用户或一个请求进程占用的资源分配最大限额和最小限额；应根据安全属性（用户身份、访问地址、时间范围等）允许或拒绝用户建立会话连接；当系统的服务水平降低到预先规定的最小值时，应能检测和报警；应根据安全策略设定主体的服务优先级，根据优先级分配系统资源，保证优先级低的主体处理能力不会影响到优先级高的主体的处理能力。基本符合无代码安全应制定应用程序代码编写安全规范，要求开发人员参照规范编写代码；应对应用程序代码进行代码复审，识别可能存在的恶意代码；应对应用程序代码进行安全脆弱性分析；应对应用程序代码进行穿透性测试。不符合建议购买代码审计服务数据安全数据完整性应能够检测到系统管理数据、鉴别信息和用户数据在传输过程中完整性受到破坏，并在检测到完整性错误时采取必要的恢复措施；应能够检测到系统管理数据、鉴别信息和用户数据在存储过程中完整性受到破坏，并在检测到完整性错误时采取必要的恢复措施；应能够检测到重要程序的完整性受到破坏，并在检测到完整性错误时采取必要的恢复措施。符合无数据保密性网络设备、操作系统、数据库管理系统和应用系统的鉴别信息、敏感的系统管理数据和敏感的用户数据应采用加密或其他有效措施实现传输保密性；网络设备、操作系统、数据库管理系统和应用系统的鉴别信息、敏感的系统管理数据和敏感的用户数据应采用加密或其他保护措施实现存储保密性；符合无67IPV6网络改造建议书技术要求项三级等保要求单位现状整改措施当使用便携式和移动式设备时，应加密或者采用可移动磁盘存储敏感信息；用于特定业务通信的通信信道应符合相关的国家规定。数据备份和恢复应提供自动机制对重要信息进行本地和异地备份；应提供恢复重要信息的功能；应提供重要网络设备、通信线路和服务器的硬件冗余；应提供重要业务系统的本地系统级热备份。基本符合建设数据中心级容灾系统云安全Iaasa)确保虚拟机迁移过程中，重要数据的保密性，防止在迁移过程中的重要数据泄露；b)支持云租户部署密钥管理解决方案，确保云租户自行实现数据的加解密过程；c)对网络策略控制器和网络设备（或设备代理）之间网络通信进行加密。a)虚拟机对宿主机资源的异常访问，并进行告警；b)虚拟机之间的资源隔离失效，并进行告警；c)非授权新建虚拟机或者重新启用虚拟机，并进行告警。应能够检测恶意代码感染及在虚拟机间蔓延的情况，并提出告警。a)屏蔽虚拟资源故障，某个虚拟机崩溃后不影响虚拟机监视器及其他虚拟机；b)对物理资源和虚拟资源按照策略做统一管理调度与分配；c)保证虚拟机仅能使用为其分配的计算资源；d)保证虚拟机仅能迁移至相同安全等级的资源池；e)保证分配给虚拟机的内存空间仅供其独占访问；f)对虚拟机的网络接口的带宽进行设置，并进行监控；g)为监控信息的汇集提供接口，并实现集中监控。a)提供虚拟机镜像、快照完整性校验功能，防止虚拟机镜像被恶意篡改；b)采取加密或其他技术手段防止虚拟机镜像、快照中可能存在的敏感资源被非法访问；c)针对重要业务系统提供加固的操作系统镜像。应确保虚拟机迁移过程中，重要数据的完整性，并在检测到完整性受到破坏时采取必要的恢复措施。应保证虚拟机所使用的内存和存储空间回收时得到完全清除。不符合建议部署虚拟化横向流量隔离系统、虚拟化安全加固、数据备份Iaas运维a)确保选择云服务商的过程符合国家有关规定；b)选择安全合规的云服务商，其所提供的云平台应具备与信息系统等级相应的安全保护能力；c)满足服务水平协议（SLA）要求；基本符合建议提高运维与安全服务能力68IPV6网络改造建议书技术要求项三级等保要求单位现状整改措施d)在服务水平协议（SLA）中规定云服务的各项服务内容和具体技术指标；e)在服务水平协议（SLA）中规定云服务商的权限与责任，包括管理范围、职责划分、访问授权、隐私保护、行为准则、违约责任等；f)在服务水平协议（SLA）中规定云计算所能提供的安全服务的内容，并提供安全声明；g)在服务水平协议（SLA）中规定服务合约到期时，完整地返还云租户信息，并承诺相关信息均已在云计算平台上清除；h)与选定的云服务商签署保密协议，要求其不得泄露云租户数据和业务系统的相关重要信息；i)对可能接触到云租户数据的员工进行背景调查，并签署保密协议；j)云服务商应接受云租户以外的第三方运行监管。6.2本次IPV6整体改造建议清单序号服务内容服务描述单位数量服务期（年）一、IPV6改造1IPV6带宽项132IPV6系统改造包含网络内的设备、客户终端的双栈协议的改造规划、升级、安全域划分项1/3IPV6地址迁移IPV6地址规划与IP迁移，1500终端项1/4IPV6设备改造目前管委会内网网络系统只有个别不支持IPV6，安全系统本次仅需改造不支持的设备。项1/二、IPV6安全与运维1业务安全持续评估平台重要服务器、网络系统、安全系统、虚拟化系统、中间件、业务系统、中间件、数据库等基于IPV4与IPV6安全预警台，实现系统自动化的风险识别、基线扫描、漏洞扫描、系统脆弱性、未套1/69IPV6网络改造建议书知风险的检测和预警，并提出加固建议。实现事前预警，事中建议，帮助安全人员发现问题、解决问题，预判整网安全事件。2综合日志审计平台综合日志审计平台作为信息系统的综合性管理平台，通过对客户网络设备、安全设备、主机和应用系统日志进行全面的标准化处理，及时发现各种安全威胁、异常行为事件，为管理人员提供全局的视角，确保客户业务的不间断运营安全；通过基于国际标准化的关联分析引擎，为客户提供全维度、跨设备、细粒度的关联分析，透过事件的表象真实地还原事件背后的信息，为客户提供真正可信赖的事件追责依据和业务运行的深度安全。同时提供集中化的统一管理平台，将所有的日志信息收集到平台中，实现信息资产的统一管理、监控资产的运行状况，协助用户全面审计信息系统整体安全状况3安全巡检、自查依据网络安全法、等级保护要求、行业规范、公安部《关键信息系统基础设施网络安全检查》等合规详细要求,针对信息系统各业务开展常态化的信息安全检查，每季度1次；项234IPV6安全加固根据基于IPV6的风险评估结果进行系统安全调优服务，根据系统运行需要适时调整各类设备及系统配置、合理规划系统资源、消除系统漏洞，提高系统稳定性和可靠性，每半年一次项235安全运维安全服务工程师驻场服务（拥有CISP的T1安全工程师，处理安全问题集安全事件）人136远程安全运营专家T2、T3安全专家与首席安全分析师远程/现场解决用户疑难问题，对业务系统、漏洞、业务影响进行分析决策人237虚拟化深度检测系统围绕终端资产安全生命周期，通过预防、防御、检测、响应赋予终端更为细致的隔离策略，精准的查杀虚拟化恶意病毒，在应对高级威胁的同时，通过云网端联动协同、威胁情报共享、多层级响应机制，帮助用户快速处置终端安全问题，构建轻量级、智能化、响应快的虚拟化微隔离系统，解决虚拟化横向恶意流量与横向虚拟化隔离，350个授权套1/8安全咨询调研安全专家从管理、技术、体制、机制提出的解决方案，融合发现问题、分析问题、解决问题。从项1370IPV6网络改造建议书调查分析用户已有安全策略，从管理、制度、落实情况、物理安全、人员安全、第三方安全等等各方面来评估分析，协助用户识别信息资产及业务流程的信息安全弱点，并针对信息安全威胁提供信息安全风险处理规划建议。9应急演练与处置服务协助单位制定应急响应机制，完善应急响应预案，并根据用户实际情况，提供每年2次的应急事件演练服务，当发生安全事故时派遣安全专家远程/现场进行应急响应服务项2310安全培训分成下面四大类课程：1、安全意识类：意识培训、安全趋势培训；2、信息安全技术类：应用技术培训、操作系统技术培训、网络技术培训、攻击与防范培训；3、安全运维类：安全运维培训、安全防护培训、安全演练培训、安全事件处理培训；4、安全管理类：安全标准课程培训、体系建设课程培训5、信息安全认证：1、CISE（注册信息安全工程师）：适合政府、各大企事业单位、网络安全集成服务提供商的网络安全技术人员2、CISO（注册信息安全管理人员）：适合政府、各大企事业单位的网络安全管理人员，也适合网络安全集成服务提供商的网络安全顾问人员3、CISA（注册信息安全审核员）：适合政府、各大企事业单位的网络安全技术人员、也适合网络安全集成服务提供商的网络安全顾问人员次1371',)