集团公司网络安全解决方案优质资料.doc

《集团公司网络安全解决方案优质资料.doc》由会员分享，可在线阅读，更多相关《集团公司网络安全解决方案优质资料.doc（84页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、集团公司网络安全解决方案优质资料(可以直接使用，可编辑 优质资料，欢迎下载）集团公司网络安全设计方案一.方案概述集团公司网络规模日益扩大,下属几十家分公司都将与集团实现联网,使用一套集团财务系统。根据IT规划要求，为有效保障公司网络畅通、数据安全，集团公司需要构建一个严密的整体的网络安全系统。 该系统包括四个主要方面：（一）设计网络系统优化方案及建立网络系统持续完善机制（二）建立智能化数据容灾系统（三）建立高效全面的病毒预防系统（四）建立科学合理的管理制度体系二.方案实现目标通过该系统的建设实现以下功能目标(1) 实现集团对网络病毒的统一防护, 让网络管理人员可以清晰的管理到内部病毒防护系统的

2、部署情况, 有病毒爆发时可以及时确定病毒发作范围, 并可以直接进行隐患清除工作，集团可以统一部署和执行安全防护策略.(2) 对集团机房较为重要的服务器和应用系统进行容灾备份, 当服务器故障时, 可以有 效的快速启动替代系统, 并在故障清除后快速恢复系统和数据.(3) 对于集团数据库系统, 因关联使用的用户多且分布各不同下属单位, 应使用有效措 施来防范数据库的使用安全, 防范数据被恶意使用或篡改,.(4) 因集团机房部署不同部门和下属公司的服务器, 各部门都需要运维自己的服务器, 有必要对服务器的使用进行安全审计和使用记录, 防范来自使用服务器带来的风险.三.安全产品推荐选型项目品牌型号实现目

3、标企业版防病毒趋势OfficeScan全网病毒统一防护和统一安全管理服务器容灾备份NOVELLPlateSpin Forge对服务器进行实时灾备,服务器故障时实现紧急替代和快速恢复数据库审计安恒DAS-AC1000对数据库使用进行安全审计,防护对数据库的恶意侵入和篡改保垒机齐治SHTERM-L4对使用机房内服务器的人员的使用行为进行规范管理和审计记录,防范服务器内部使用风险.四.方案简述(1)网络拓扑图(2)信息安全设备物理分布图(3)产品说明：1、IT运维堡垒机接在核心交换机上，通过细粒度的安全管控策略，保证企业的服务器、网络设备、数据库、安全设备等安全可靠运行，降低人为安全风险，避免安全损

4、失，保障企业效益；管理员可直观方便的监控各种访问行为，能够及时发现违规操作、权限滥用等。2、数据库审计设备接在核心交换机上，全面记录数据库访问行为，识别越权操作等违规行为，并完成追踪溯源；检测数据库配置弱点、发现SQL注入等漏洞、提供解决建议；为数据库安全管理与性能优化提供决策依据；提供符合法律法规的报告，满足等级保护、企业内控等审计要求。3、OfficeSan服务器接入核心交换机上，OfficeScan可以根据大同公司的自己的要求进行策略部署，并针对未来而设计的弹性架构，可让您透过插件来自定义您的威胁防护与数据保护。4、Forge设备部署在核心交换机，可同时对25台服务器做备份，一旦一台或多

5、台生产服务器出现故障，该应用即刻在Forge上运行接管业务。五.方案子系统介绍趋势科技网络版防病毒软件 OfficeScan趋势科技的OfficeScan网络版防病毒产品将管理,配置与部署的功能集中到服务器端（Officescan服务器端）。透过Officescan服务器端的Web接口的管理主控台，管理人员可以从网络上的任何地点，来管理和设置全公司的防毒策略（每一台计算机都安装了Officescan客户端防病毒软件），并且也能迅速响应各种紧急事件。综合性的防护能力：免受病毒，特洛伊，蠕虫和现在的间谍软件的攻击，同时具备防火墙和入侵检测的能力；支持防护策略的自动/手动配置：有效控制病毒扩散（通过

6、主控服务器，在设定的时间段内，关闭所有客户机的共享文件，特定端口，保护文件或文件夹不被病毒修改）；防火墙策略应用程序的备用服务器：客户计算机可能无法连接到防毒墙网络版服务器，但仍可连接到您指定的备用防毒墙网络版服务器上，以提供防火墙策略更新。集成专杀工具：病毒专杀工具和客户端防病毒软件无缝集成，专杀工具的扫描引擎和病毒码可以自动更新，完全摆脱传统防病毒软件需要独立使用专杀工具，并且每一个病毒都有特定的专杀工具，造成数量巨大；防御间谍软件和其他类型的灰色软件：防毒墙网络版可以帮助保护您的计算机远离被趋势科技视为灰色软件的各种威胁和损害，包括众所周知的类型 间谍软件；临界间谍软件/灰色软件例外列表

7、：防毒墙网络版可能将特定类型的文件识别为灰色软件，尽管您计算机上合法的应用程序可能需要使用这些文件。为防止防毒墙网络版将这些文件识别为灰色软件，可以配置应用于所有扫描类型的临界间谍软件/灰色软件例外列表。实时更新病毒日志：方便而简单的配置管理与实时报告；自动更新：先进的自动更新技术,无须管理员与用户的手动操作,不需要重新启动；支持客户端自行上互联网更新防毒组件；灵活的更新代理设置：通过设定网络中任意计算机做为病毒码更新源，将其它计算机指定到该计算机更新，以节省网络带宽。对低带宽网络环境特别有效；检测为安装防病毒软件的计算机：支持网段扫描侦测尚未安装OfficeScan的用户机；强大的数据库管理

8、：支持将纪录数据导入SQL服务器方便数据分析与管理；灵活的客户端迁移：支持在客户端可以在不同的OfficeScan服务器中转移,不需重新安装；定位病毒源头病毒：客户机的排行榜功能，帮助网管了解毒源、善后处理、报告领导；支持多种Web Server: IIS 和 Apache;部署建议：Officescan可以针对Windows全系列防范病毒。趋势科技网络版防病毒软件的组织架构为：通过一台Officescan服务器去远程的控制和管理局域网内部，甚至广域网中Officescan客户端。Officescan客户端可以通过多种方式安装到计算机上：通过网页远程自动下载安装；通过制作Officescan客

9、户端安装包安装；通过共享文件夹方式安装通过集成Windows域自动安装客户端通过微软SMS安装；如此部署OfficeScan就可以为网络内部计算机提供综合性的安全防护，免受病毒，特洛伊，蠕虫和现在的间谍软件的攻击，以及具备防火墙和入侵检测的能力。从根本上对应用层的病毒文件以及网络层的病毒数据包进行防护，同时防护各种对于计算机的攻击。1、 Novell PlateSpin Forge服务器灾备保护产品方案Novell PlateSpin Forge是一个整合式的系统恢复硬件设备，通过采用内置虚拟化技术来保护实际物理和虚拟服务器工作负载。在生产服务器停止运转或发生故障时，工作负载可在PlateSp

10、in Forge恢复环境中快速通电，并继续正常运行，直到生产环境恢复。u 采用单台PlateSpin Forge 设备可保护和恢复最多达25个物理和虚拟工作负载。使用PlateSpin Forge，客户可以保护多个地理位置分散的多达25台服务器的工作负载，并在服务器出现故障时予以快速恢复。通过使用PlateSpin Forge综合恢复平台，客户能够更好地保护更多的工作负载，但无需支付高昂的复制硬件或冗余操作系统授权许可费用。PlateSpin Forge不需要通过成本高昂的一对一硬件和软件冗余保护数据中心资产，从而实现了革命性的业务持续性。生产服务器可备份到虚拟机，而成本只是传统灾难恢复解决方

11、案的一部分，而且可以更快、更轻松地实现恢复。除了标准文件类复制外，高速块级复制允许企业客户保护高级业务工作负载(如电子邮件和数据库服务器)。有效增加传输可确保仅源数据文件变化被复制到PlateSpin Forge远程恢复环境中，从而减少了广域网的使用并使各大组织能够在最少数据丢失情况下有效满足数据恢复点目标(RPO)。u 快速容易的故障恢复计划和过程的完整性使用PlateSpin Forge可实现对服务器工作负载以多达28个历史恢复点的方式进行保护备份，只需单击测试恢复按钮，即可快速容易地测试备份和恢复计划的完整性。在进行故障恢复测试时，可选择保护备份的任一快照并且在一个隔离的专用内部网中启动

12、运行。这允许用户快速确认恢复计划和相关业务服务，而又不至于中断生产服务器工作负载。一旦确认故障恢复计划，PlateSpin Forge将屏弃测试过程中在恢复工作负载快照上发生的任何变化，并恢复工作负载复制。u 基于WEB浏览器方式的多种监控、报告和操作报警进行控制。PlateSpin Forg提供基于Web方式的单一管理界面，便于IT运营专家随时查看其保护计划状况并管理、监控和报告所有工作负载保护事宜。在生产服务器停机或发生故障时，PlateSpin Forge将以电子邮件方式自动警示管理员。通过个人计算机、Blackberry 或其它移动装置点击电子邮件内的链接可执行上下文相操作。多种报告功

13、能可使管理员和业主清楚地掌握保护资源的使用方式。用户可报告实际对抗目标恢复时间和恢复点目标、复制窗口和数据传输速率。保护日志显示成功的复制和恢复测试，从而提供了满足定制服务级协议或合规性所需的审计能力。PlateSpin Forge提供一个始终存在仪表盘，可让IT操作专家随时观察其保护计划状况，并管理、监控和报告所有的工作负载保护和恢复事宜u 一键故障恢复和灵活的灾难恢复方案单击运行恢复工作负载，可根据需要将其恢复到相同或不同的硬件。在生产服务器停机或发生故障时，通过单击故障恢复可快速恢复受保护的工作负载仅重新连接会话，并且 PlateSpin Forge将验收工作负载。当生产环境恢复时，该工

14、作负载可继续在PlateSpin Forge恢复设备上正常运行。一旦生产环境联机，PlateSpin Forge还可提供灵活的工作负载恢复方案。如果原始生产服务器修好并且硬件无损坏，用户可通过一个虚拟到物理(V2P)工作负载转移操作将工作负载从虚拟恢复环境移回到原始硬件服务器。如果原始硬件不能修好，用户可通过一个V2P转移操作将工作负载转移到新的硬件服务器上。还可轻易将工作负载移到生产虚拟环境中。灵活的硬件独立式恢复意味着新硬件可以为不同品牌、型号或配置。2、 齐治运维操作管理系统通过Shterm的部署，可以有效的解决运维部门当前运维过程中存在的各种问题： 以堡垒方式，形成统一的运维入口，实现

15、运维操作的唯一路径； 引入主从帐号管理概念，使用户认证与系统授权分开，从而有效解决系统帐号共享使用，带来的身份不唯一的问题； 基于用户、设备、系统帐号、协议类型、登录规则的严格访问控制设置，有效规避了非授权访问带来的问题； 密码托管和自动改密，使得密码管理规范能有效落地，避免了因人员的流动还会导致设备密码存在外泄的风险； 能完整记录运维人员的操作过程，当系统因人为操作导致故障的时候，能够快速定位故障原因和责任人； 可以满足等保、SOX、ISO270001、BS7799等安全规范对运维操作管理的要求。(1)总设计思路因为操作的风险来源于各个方面，所以必须要从能够影响到操作的各个层面去降低风险。齐

16、治运维操作管理系统（Shterm）采用操作代理（网关）方式实现集中管理，对身份、访问、审计、自动化操作等统一进行有效管理，真正帮助用户最小化运维操作风险。集中管理是前提：只有集中以后才能够实现统一管理，只有集中管理才能把复杂问题简单化，分散是无法谈得上管理的，集中是运维管理发展的必然趋势，也是唯一的选择。身份管理是基础：身份管理解决的是维护操作者的身份问题。身份是用来识别和确认操作者的，因为所有的操作都是用户发起的，如果我们连操作的用户身份都无法确认，那么不管我们怎么控制，怎么审计都无法准确的定位操作责任人。所以身份管理是基础。访问控制是手段：操作者身份确定后，下一个问题就是他能访问什么资源、

17、你能在目标资源上做什么操作。如果操作者可以随心所欲访问任何资源、在资源上做任何操作，就等于没了控制，所以需要通过访问控制这种手段去限制合法操作者合法访问资源，有效降低未授权访问所带来的风险。操作审计是保证：操作审计要保证在出了事故以后快速定位操作者和事故原因，还原事故现场和举证。另外一个方面操作审计做为一种验证机制，验证和保证集中管理，身份管理，访问控制，权限控制策略的有效性。自动运维是目标：操作自动化是运维操作管理的终极目标，通过让该功能，可让堡垒机自动帮助运维人员执行各种常规操作，从而达到降低运维复杂度、提高运维效率的目的。(2)操作网关方式部署集中管理是实现运维操作安全管理的首要前提。针

18、对当前核心设备分散管理的现状，集中管理倡导的是一种统一管理的理念。集中管理是未来运维操作安全管理的必然趋势。实现集中管理，关键点在于对用户原有的运维环境不造成任何影响。综合各种部署方案，我们采用了“操作堡垒机”的部署方式。(3)用好共享账号在当前的运维环境中，普遍存在操作者身份无法识别的安全隐患。这主要是由操作者共享使用核心设备上的系统账号造成的。设备数量达到一定规模，必然会使用到共享账号。共享账号就是多人共同使用同一个存在于设备上的系统账号，使用共享账号会让整体账号的数量最少。但是仅仅依赖系统上的单一系统账号，无法既能区分用户身份，又能完成工作角色的定位。如何准确的区分用户身份和工作角色，进

19、而实现操作者和具体的操作过程一一对应？ Shterm将账号的用户身份确认和系统工作角色功能分离，在Shterm上增加了用户账号，完成用户的身份确认。原来系统上的账号依然存在，但是作用只是完成工作角色授权的工作账号。 用户登录Shterm是采用唯一的用户账号，然后根据工作角色的需要，转换成系统账号登录到被管理设备上。这样既能够保证整体账号数量最少，管理方便；同时又能够实现对用户、工作角色的双重定位。当用户加入、离职或岗位变动，当代维人员和原厂商进行维护的时候，只需要在Shterm上变更该用户账号即可，对系统上的系统账号没有任何影响。代维人员维护系统并不需要知道用户系统的最高权限的系统帐号密码，这

20、样大大降低了管理风险。原厂商进行临时维护的时候只需要临时分配一个用户账号，当使用结束后该账号会自动回收，减少了账号管理的成本。(4)访问控制规则目前，用户只要知道用户名和密码就可以任意访问任意设备,这种现状必然会带来“未授权访问的安全风险”。部署了Shterm后，情况就发生了变化。Shterm逻辑上成为了用户登录的唯一入口，因为入口唯一，访问控制很容易配置了。相同工作任务的集合可以放置在一个访问规则组里，当用户岗位、职责改变时，对用户相关联的组、系统权限、可访问设备通过Web的勾选，很容易调整。根据工作内容的需要，可以配置不同的许可或禁止的登录策略。既可以设定固定日期的登录策略，也可以设定固定

21、时间间隔的策略，还可以设定一天中指定时间段的策略，并且能够针对具体的地址段进行控制。Shterm的访问控制列表可以让用户一目了然的知道某台设备上允许哪些用户登录。某台设备上的系统账号有多少个用户可以使用。另一方面，从安全运维的角度分析，权限控制策略是从操作的层面上，降低高危操作所带来的安全风险：对于使用Telnet/SSH等协议进行远程管理的设备（各种网络设备和Unix服务器），操作权限的多少取决于用户可以执行的命令。所以，针对操作指令的控制才是核心。对于服务器设备操作，Shterm可以对服务器的超级用户root操作权限进行控制，即使是root用户，权限也是受限制的，可以限制root用户只能执

22、行某些操作（白名单）和无法执行某些操作（黑名单）。当多人同时使用一个root账号时，Shterm可以对同一个系统账号进行操作权限再分配，保证使用同一个root账号的不同用户拥有不同的操作指令权限，彻底解决了共享root账号权限一致的情况，真正实现细粒度的操作权限控制。对于网络设备操作，Shterm可以保证即使多个用户在进入enable状态的时候，提供高于网络设备系统更好级别的控制力度，保证每一个用户的操作指令都能严格受到控制。对于操作权限的控制意味着我们从被动接受用户输入到了主动控制。对于用户的操作可以有3种执行状态：允许执行，拒绝执行，禁止执行。对于高危命令（删除，重起，关机等）可以实时告警

23、，一旦高危操作触发，会立即给相关人员发送告警邮件，保证用户在第一时间内知道高危操作是否对系统造成了影响。(5)完整操作审计运维操作审计是整个Shterm解决方案的重要组成部分。管理员确定了以操作网关方式来部署，解决了之前共享账号的问题，配置了访问规则，明确了操作权限，那么最后也是最重要的就是操作和操作审计。Shterm支持的运维操作方式和相应的操作审计基本涵盖了目前企业日常运维所涉及到的绝大部分操作模式，包括字符会话、图形会话、Web Client会话、文件传输、Oracle数据库操作审计等等。对不同会话采用不同的审计方式针对字符会话，Shterm的审计功能会完全记录所有会话内的输入输出，并可

24、以使用模式方式对这些输入输出进行查询以定位操作时间节点和操作内容。对于图形会话要采用全程的录像和键盘鼠标操作的记录，并在图形会话回放的过程中同步的显示出来。对于Web Client方式的操作会话，也是目前非常主流的一种操作模式，Shterm可以利用对于图形会话的审计方式来审计Web Client方式的会话，即，既包括了图形录像也包括了键盘鼠标记录，并且可以如图形会话一样，键盘输入信息可以进行完全的检索以便快速定位一个较长的审计录像。针对文件传输，FTP、SFTP之类的上传下载，Shterm支持全部的信息记录，包含时间，人员，IP等等信息。对于Oracle数据库的操作审计，采用跳板机和应用发布的

25、方式，能够把图形方式操作中的数据库语句全部完成的审计到Shterm平台内。此外，Shterm对审计人员本身也有严格要求，一方面，对审计人员的审计操作，Shterm有严格的记录，审计管理员何时查阅了某个会话操作都要有明确记录。另一方面，Shterm支持非全局性的操作审计，即，审计人员也没有权利审计所有的会话信息，因为会话中可能包含了非常敏感甚至机密的企业信息。(6)自动化日常运维中经常需要对一些操作进行重复性动作，例如每天去执行一些脚本、检测一些状态等，重复繁琐的工作容易令人出现操作的失误。如果能通过一些技术手段，替代用户的重复操作，使用户从重复繁琐的工作中释放出来，可以让用户有更多的时间去专注

26、于更多技术领域。操作自动化是运维操作管理的终极目标，通过Shterm的自动脚本功能，可让堡垒机自动帮助运维人员执行各种常规操作，从而达到降低运维复杂度、提高运维效率的目的。3、 安恒明御数据库审计与风险控制系统介绍(1)产品介绍产品概述明御数据库审计与风险控制系统（简称：DAS-DBAuditor）作为国内数据库审计产品领域第一品牌，是安恒信息结合多年数据库安全的理论和实践经验积累的基础上，结合各类法令法规（如SOX、PCI、企业内控管理、等级保护等）对数据库审计的要求，自主研发完成的业界首创细粒度审计、精准化行为回溯、全方位风险控制的数据库全业务审计产品。明御数据库审计与风险控制系统可以帮助

27、您解决以下问题:n 识别越权使用、权限滥用，管理数据库帐号权限n 跟踪敏感数据访问行为，及时发现敏感数据泄漏n 检测数据库配置弱点、发现SQL注入等漏洞、提供解决建议n 为数据库管理与优化提供决策依据n 满足法律、法规要求，提供符合性报告n 低成本且有效推行IT管理制度DAS-DBAuditor以独立硬件审计的工作模式，灵活的审计策略配置，解决企事业单位核心数据库面临的“越权使用、权限滥用、权限盗用”等安全威胁，满足各类法令法规对数据库审计的要求，广泛适用于“政府、金融、运营商、公安、能源、税务、工商、社保、交通、卫生、教育、电子商务及企业”等所有使用数据库的各个行业。DAS-DBAudito

28、r支持Oracle、MS-SQL Server、DB2、Sybase、MySQL、Informix、CACH、teradata、神通（原OSCAR）、达梦、人大金仓（kingbase）等业界主流数据库以及TELNET、FTP、HTTP、POP3、SMTP等，可以帮助用户提升数据库运行监控的透明度，降低人工审计成本，真正实现数据库全业务运行可视化、日常操作可监控、危险操作可控制、所有行为可审计、安全事件可追溯。技术优势技术优势功能价值超高的性能多核、多线程处理：采用多核处理技术，结合自主研发的多线程应用系统，单台最大可以达到50000条/秒的处理能力，支持多台数据库服务器，降低用户成本；分布式部

29、署：支持分布式部署，并行处理，成倍提升业务处理能力，满足大型业务环境需求，兼顾未来扩容计划；丰富规则和报表通过对大量项目实施经验总结，已经形成了丰富的行业规则包和合规报表，包括合规性要求、帐号管理、权限管理、认证管理、敏感数据安全等多个维度的规则，系统默认配置60多种报表，解决普通审计产品规则设置困难、审计分析无从下手、报表过于简单且无实际分析价值等问题。精准的协议解析采用专利技术提升协议的准确率。支持oracle、DB2、sqlserver等10多种主流协议，满足复杂环境应用；领先的存储能力采用专用存储技术大大提升存储能力，最大可以存储7-10亿条审计日志，可以满足客户3-6个月的日志存储要

30、求；高效的查询能力日志存储在自主研发的专用数据库中，并为日志记录标识唯一序号，采用先进的检索引擎，达到百万级每秒的查询能力，并大大提高查询准确度；自身安全性采用RAID、冗余电源等硬件架构，以及三权分立、数据自动备份、详尽的操作日志等技术确保审计记录不丢失，不被违规删除，满足法律法规要求；功能价值n 丰富的协议支持主流数据库Oracle、SQL server、DB2、Mysql、Informix、CACH、Sybase、PostgreSQL国产数据库神通（原OSCAR）、达梦、人大金仓（kingbase）数据仓库Teradata其他协议FTP、HTTP、Telnet、SMTP、POP3、DCO

31、M等n 细粒度的操作审计细粒度审计l 通过对不同数据库的SQL语义分析，提取出SQL中相关的要素（用户、SQL操作、表、字段、视图、索引、过程、函数、包）双向审计l 不仅对数据库操作请求进行实时审计，而且还可对数据库执行状态、返回结果、返回内容进行完整的还原和审计，同时可以根据返回结果设置审计规则多行为审计l 实时监控来自各个层面的所有数据库活动，包括来自应用系统发起的数据库操作请求、来自数据库客户端工具的操作请求以及通过远程登录服务器后的操作请求等n 多层业务关联审计B/S三层架构支持HTTP请求审计，提取URL、POST/GET值、cookie、操作系统类型、浏览器类型、原始客户端IP、M

32、AC地址、提交参数等；通过智能自动多层关联，关联出每条SQL语句所对应URL，以及其原始客户端IP地址等信息，实现追踪溯源；C/S三层架构在企业、医院等行业客户中，也部分采用C/S/S三层架构，同样面临追踪溯源的难题，DAS-DBAuditor支持基于DCOM的三层架构自动关联。运维审计关联通过运维审计产品进行统一认证、授权后，也将面临追踪溯源的难题，DAS-DBAuditor支持与运维审计产品关联，实现原始操作者信息的追踪n 全方位风险控制灵活的策略定制根据登录用户、源IP地址、数据库对象（分为数据库用户、表、字段）、操作时间、SQL操作命令、返回的记录数或受影响的行数、关联表数量、SQL执

33、行结果、SQL执行时长、报文内容的灵活组合来定义客户所关心的重要事件和风险事件自动建模DAS-DBAuditor支持自动建模，可以非常方便了解整个数据库的允许状态，帮助管理员形成有效的审计规则，快速识别越权操作、帐号复用、违规操作等行为。多形式的实时告警当检测到可疑操作或违反审计规则的操作时，系统可以通过监控中心告警、短信告警、邮件告警、Syslog告警、SNMP告警、FTP告警等方式通知数据库管理员n 报表l DAS-DBAuditor报表系统包括预定义报表和自定义报表两大模块，可以快速生成对安全事件的报表，并以PDF等格式导出。审计管理员报表支持从审计设备运行状况、安全事件、帐号的增删、密

34、码是否修改等角度形成报表系统管理员报表支持从权限的变更、数据库权限分配状况、DDL/DML等特权操作、SQL语句的类型和使用比率等角度形成报表合规性报告能够形成符合SOX（塞班斯）法案、等级保护、分级保护等法规符合性的综合报告n 静态审计l 除了提供实时的动态审计功能，还提供了可选的扫描审计模块对数据库的不安全配置、弱口令等进行检测和审计，并提供安全加固建议。n 友好真实的操作过程回放l 对于客户关心的操作可以回放整个相关过程，让客户可以看到真实输入及屏幕显示内容，并可以通过精细内容的检索，对特定行为进行精确回放，如执行删除表、文件命令、数据搜索等。典型部署DAS-DBAuditor可以在不改

35、变现有网络体系结构、不占用数据库服务器任何资源、不影响数据库性能的情况下，快速部署到业务系统网络中。简单部署模式分布式部署模式典型应用案例l 安恒信息助力“国信证券”通过“等级保护”三级测评背景介绍和需求国信证券在信息科技建设方面一直走在行业前列，2021年国信证券计划对集中交易系统的网上交易系统、营业部交易系统、CRM系统等几个核心系统数据库进行全面的升级改造，通过部署数据库安全审计系统来加强数据库的安全访问管理，全方位提升集中交易系统及CRM系统安全应用级别，以实现对数据库非法行为的事前预防、实时告警、事后追查等功能，并满足等级保护的测评要求。解决方案集中交易系统是国信证券最核心的资产，而

36、且数据流量比较大，安全可靠性要求高，因此建议在集中交易系统的5个核心交易系统中分别部署一台明御数据库审计与风险控制系统采集器。在总控系统中部署1台明御数据库审计与风险控制系统采集器，并部署1台数据库审计管理中心。另外需要在CRM和网上交易等系统中部署1-2台明御数据库审计与风险控制系统采集器。所有采集器通过网络把数据上传到管理中心，客户通过管理中心统一进行查询管理等。客户价值n 全面满足国家等级保护三级测评要求，成功通过测评认证；n 能够从合法、合规的方面满足证监会对信息化的监管要求；n 从帐号管理、权限管理等多维度进行监控，助力IT管理制度实施；n 建立数据库权限模型，为数据库安全建设提供优

37、化经验；n 定期评估数据库漏洞，防止数据库密码破解n 数据库操作全审计，不放弃任何可疑统方行为n 双向审计，准确判断违规统方行为n 丰富的审计报表，满足纠风办审计需求n 短信、邮件告警，第一时间了解违规统方行为(2)产品规格:类别分布式部署管理中心产品型号DAS-AC1000规格2U日志数量 (最详细日志)20亿条RAIDRAID5HBA有网口数量2网路类型电口电源1+1冗余电源功率450W甘肃省IP网络安全解决方案技术应答书一 总 述1.1 本规范为招标方甘肃数据局,甘肃数据局安全解决方案的主要技术、功能和工程规模要求，供卖方(投标方)编写项目建议书和报价之用。应答:完全同意。我们将据此招标

38、书对主要技术、功能和工程规模的描述，给出我们的方案建议书和报价。1.2 卖方在建议书中，对本规范书中所提各项要求能否实现与满足的程度应逐条逐项予以答复、说明和解释，同时要求提供相应软、硬件产品（包括第三方产品）的详细技术资料。应答:完全同意。我们将在本文件中给出对各项要求的逐条答复、说明和解释。对所推荐产品的软硬件详细技术资料将在方案建议书给出。1.3卖方若对本文件中的相关要求不能满足或者根据自己产品特有的技术性能及具体情况提出不同于本文件相关要求的其他建议，也应在建议书中详细说明并附详细资料。应答:完全同意。CA的方案建议书完全满足标书的要求。1.4卖方提供的网络安全解决方案及其相关软、硬件

39、设施应完全符合卖方指明的标准，并满足或高于买方指出的要求。此文件中未说明但国际标准组织已有建议的设备功能和性能的条款，应符合相应的最新国际标准及建议。应答:完全同意。我们提供的网管系统完全符合各项标准，满足用户提出的要求。1.5 若卖方的系统/设备包含自己的专用标准，应在建议书中具体说明，并附上相应的详细技术资料。卖方应明确当新的国际标准及建议发布后，是否免费为其所提供给甘肃数据局的系统进行升级，以保证符合新国际标准及建议并与所有符合新国际标准及建议设备能够互通。应答:完全同意。我们提供的系统不包含专用标准，都建立在相关国际标准之上。1.6 卖方在建议书中应提出详细的系统组成和设备配置，在报价

40、中提出系统及其相关软、硬件的单价和总价，报价格式参考。应答:完全同意。我们将在方案建议书给出详细的系统组成和设备配置。按照附件一的格式给出相关软硬件的单价和总价。1.7 卖方在建议书中应说明对供货时间、设备检测和安装调测等的应答。应答:完全同意。我们将在商务文档给出对供货时间、验货以及实施等情况的描述。1.8 卖方在建议书中应说明给买方提供的技术文件、技术支持、技术服务、人员培训等的范围和程度。应答:完全同意。我们将在方案建议书给出1.9 卖方供货和服务范围1) 系统主要组成部分：甘肃省IP网络安全解决方案及其相关的软件、硬件产品2) 安装材料3) 消耗品4) 工具和备件5) 技术文件6) 技

41、术培训7) 安装、调测、试运转的技术服务和现场验收测试文件8) 技术支持服务应答:完全同意。我们同意按照此范围供货和服务1.10 买方工作范围 1) 现场勘查和设备安装设计。2) 卖方督导和帮助下的设备试运转和现场测试验收。3) 设备所需电源（220V或-48V）及其它配套设备。应答:完全同意。我们同意在买方提供上述环境下工作1.11 卖方应根据本文件的技术要求在8天内提供十份（中文）建议书和报价。建议书与报价书应单独分册，报价若以美元为单位，需分别提出FOB和CIF价。报价内容应包括设备（软硬件）、安装材料、备品备件、工具及仪表、安装督导、厂验、培训、技术文件及技术服务等。在建议书中应提出离

42、岸发货完成的日期。应答:完全同意。我们完全照此要求提供方案建议书和报价。1.12 买方保留对本文件的解释和修改权。应答:完全同意。我们同意买方保留此权力。二 工程说明及技术要求2.1甘肃数据局IP网现状 甘肃省IP网是一个以数据通信为基础的计算机综合信息网，通过甘肃省IP网的建设，建立跨行业、跨部门的公用计算机信息交换平台，实现信息通信和资源共享，面向社会提供网络服务和信息服务。 此网络中，网络设备是以CISCO公司的75、45系列路由器、catalist系列交换机和CABLETRON公司的SSR交换式路由器为主。主机设备是以sun公司的各个系列的服务器和工作站为主，另有部分IRIX设备和FU

43、JITSU的NT服务器。具体的网络结构图见附页。2.2 工程说明2.2.1 工程建设目标本工程为甘肃省IP网络安全解决方案，包括安全管理制度政策的制定、安全策略的实施体系结构的设计、安全产品的选择和集成，以及长期的合作和技术支持服务。工程总体目标是在不影响甘肃省IP网络当前业务的前提下，实现对该网的全面安全管理。1) 将安全策略、硬件及软件等方法结合起来，构成一个统一的防御系统，有效阻止非法用户进入网络，减少网络的安全风险。2) 通过对非法活动的定期进行漏洞扫描，审计跟踪，提供一种快速检测网络攻击和迅速做出反应的手段。及时发现问题，解决问题。3) 使破坏者的一举一动均在有效监控之下通过入侵检测

44、检测等方式实现实时安全监控，提供快速响应故障的手段，同时具备很好的安全取证措施。4) 使网络管理者能够很快重新组织被破坏了的文件或应用。使系统重新恢复到破坏前的状态。最大限度地减少损失。5) 专门的用于对全网设备的数据备份系统方案（软硬件均考虑）和数据恢复方案。完全满足.CA公司的安全工程不会影响当前业务。同时CA公司认为，要保证信息系统的安全，提升整体安全级别，需要从网络、服务器操作系统、用户、各种应用系统、业务数据以及应用模式等各个方面统筹考虑。信息系统的安全防护需要与实际应用环境，工作业务流程以及机构组织形式与机构进行密切结合，从而在信息系统中建立一个完善的安全体系。因此CA eTrus

45、t 企业安全解决方案是完整的技术与服务紧密结合的安全解决方案，同时， CA eTrust 企业安全解决方案中，突出的集中安全管理内容将有效的提高安全管理效率，节省管理资源开销，保证企业系统性能。CA公司全面的数据保护（包括备份的解决方案）请详见建议书。2.2.2设计原则卖方应详细地解释，在制定本建议方案时，所采用的设计和建构原则，产品选择理由，以及其他方面的考虑。卖方应清楚地说明，相对于竞争者，其建议方案和所选产品的技术优势和业务价值。CA公司在设计系统安全管理策略时，具有以下特性：对数据进行多层次保护保证方案开放且易于使用，这样既可采用先进技术又可降低人工成本。保证系统管理平台应具有强大功能

46、，以解决复杂网络环境中的问题所提供的功能是可集成的。提供高度的可扩充性(Scalability).能够管理系统中的一切可管理对象：如系统中的所有、硬件平台、操作系统、数据库以及典型应用，均可通过直观的人机介面进行监控、管理。应使系统管理员及时发现并改正系统及网络运行中出现的问题(或潜在的问题)。进行全面的数据备份和灾难恢复保护2.2.3工程技术要求 1) 卖方应具有丰富的网络安全方面的经验，曾经实施过相关的安全解决方案，并列举出近期的成功案例。完全满足。CA公司是全球最大的安全解决方案提供商 ，具有丰富的安全方案设计、规划、实施经验，其产品在国际和国内许多大型系统中都有成功应用。有关近期的成功案例的情况请见方案建议书附录。2) 卖方应具有强大的技术支持队伍，熟练掌握在甘肃省IP网络上实现全面的网络安全体系所涉及到的软、硬件的安装、使用和维护。完全满足。CA公司良好的技术服务队伍可保证此项要求。3) 本招标技术规范书是在参照有关国际标书和有关部门的建议以及考察了甘肃省IP网现况的基础上提出的，卖方应根据综合因素，总体考虑，向买方提供最适用的一流系统。如果将来和本标书技术条款发生冲突，由买方审定。完全同意。我们给出的方案是符合用户需要的强大的安全管理解决方案。我