深信服等級(jí)保護(hù)三級(jí)建設(shè)方案[共100頁(yè)]

1、等級(jí)保護(hù)（三級(jí)）方案模板 深信服科技 項(xiàng)目等級(jí)保護(hù)（三級(jí)）建設(shè)方案深信服科技（深圳）有限公司201年9 12月1等級(jí)保護(hù)（三級(jí)）方案模板 深信服科技目 錄1 項(xiàng)目概述.5.2 等級(jí)保護(hù)建設(shè)流.程.5.3 方案參照標(biāo).準(zhǔn).7.4 信息系統(tǒng)定.級(jí).8.4.1.1 定級(jí)流.程.8.4.1.2 定級(jí)結(jié).果.9.5 系統(tǒng)現(xiàn)狀分.析.1.1.5.1 機(jī)房及配套設(shè)備現(xiàn)狀.分.析.1.1.5.2 計(jì)算環(huán)境現(xiàn)狀分.析.1.1.5.3 區(qū)域邊界現(xiàn)狀分.析.1.1.5.4 通信網(wǎng)絡(luò)現(xiàn)狀分.析.錯(cuò).誤.！.未.定.義.書(shū).簽.。.5.5 安全管理中心現(xiàn)狀.分.析.1.1.6 安全風(fēng)險(xiǎn)與差距.分.析.1.1.6.1 物

2、理安全風(fēng)險(xiǎn)與差距.分.析.1.1.6.2 計(jì)算環(huán)境安全風(fēng)險(xiǎn)與差距.分.析.1.2.6.3 區(qū)域邊界安全風(fēng)險(xiǎn)與差距.分.析.1.4.6.4 通信網(wǎng)絡(luò)安全風(fēng)險(xiǎn)與差距.分.析.1.5.6.5 安全管理中心差距.分.析.1.6.7 技術(shù)體系方案設(shè).計(jì).1.7.7.1 方案設(shè)計(jì)目.標(biāo).1.7.7.2 方案設(shè)計(jì)框.架.1.7.7.3 安全域的劃.分.1.8.7.3.1 安全域劃分的. .依.據(jù).1.8.7.3.2 安全域劃分與. .說(shuō).明.1.9.2等級(jí)保護(hù)（三級(jí)）方案模板 深信服科技7.4 安全技術(shù)體系設(shè).計(jì).2.0.7.4.1 機(jī)房與配套設(shè)備安.全.設(shè).計(jì).2.0.7.4.2 計(jì)算環(huán)境安全. .設(shè).計(jì)

3、.2.1.7.4.2.1 身份鑒.別.2.1.7.4.2.2 訪問(wèn)控.制.2.2.7.4.2.3 系統(tǒng)安全審. .計(jì).2.2.7.4.2.4 入侵防.范.2.3.7.4.2.5 主機(jī)惡意代碼.防.范.2.4.7.4.2.6 軟件容.錯(cuò).2.4.7.4.2.7 數(shù)據(jù)完整性與保.密.性.2.4.7.4.2.8 備份與恢.復(fù).2.6.7.4.2.9 資源控.制.2.7.7.4.2.10 客體安全重.用.2.8.7.4.2.11 抗抵賴.2.8.7.4.2.12 不同等級(jí)業(yè)務(wù)系統(tǒng)的隔離.與.互.通.2.8.7.4.3 區(qū)域邊界安全. .設(shè).計(jì).2.9.7.4.3.1 邊界訪問(wèn)控制入侵防范惡意代碼防范與

4、.應(yīng).用.層.防.攻.擊.2.9.7.4.3.2 流量控.制.3.0.7.4.3.3 邊界完整性檢.查.3.2.7.4.3.4 邊界安全審. .計(jì).3.3.7.4.4 通信網(wǎng)絡(luò)安全. .設(shè).計(jì).3.4.7.4.4.1 網(wǎng)絡(luò)結(jié)構(gòu)安. .全.3.4.7.4.4.2 網(wǎng)絡(luò)安全審. .計(jì).3.5.7.4.4.3 網(wǎng)絡(luò)設(shè)備防. .護(hù).3.6.7.4.4.4 通信完整性與保.密.性.3.6.7.4.4.5 網(wǎng)絡(luò)可信接. .入.3.7.7.4.5 安全管理中心. .設(shè).計(jì).3.8.7.4.5.1 系統(tǒng)管.理.3.8.3等級(jí)保護(hù)（三級(jí)）方案模板 深信服科技7.4.5.2 審計(jì)管.理.3.9.7.4.5.3 監(jiān)

5、控管.理.4.0.8 安全管理體系設(shè).計(jì).4.1.9 系統(tǒng)集成設(shè).計(jì).4.2.9.1 軟硬件產(chǎn)品部署.圖.4.2.9.2 應(yīng)用系統(tǒng)改.造.4.3.9.3 采購(gòu)設(shè)備清.單.錯(cuò).誤.！.未.定.義.書(shū).簽.。.10 方案合規(guī)性分.析.10.1 技術(shù)部分.4.7.10.2 管理部分.5.6.11 附錄：.6.6.11.1 等級(jí)劃分標(biāo).準(zhǔn).6.6.11.2 技術(shù)要求組合確.定.6.7.4等級(jí)保護(hù)（三級(jí)）方案模板 深信服科技1 項(xiàng)目概述建設(shè)單位情況介紹項(xiàng)目背景情況介紹2 等級(jí)保護(hù)建設(shè)流程整體的安全保障體系包括技術(shù)和管其理中兩技大術(shù)部部分分，根信據(jù)息系統(tǒng)安全等級(jí)保護(hù)基分本為要物求理安全、網(wǎng)絡(luò)安全、主機(jī)安全

6、、應(yīng)用安全、數(shù)據(jù)安全五個(gè)方面進(jìn)行建設(shè)；而管理部分根據(jù)信息系統(tǒng)安全等級(jí)保護(hù)為安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理五個(gè)方面。整個(gè)安全保障體系各部分既有機(jī)結(jié)合，又相互支撐。之間的關(guān)系可以理解為“構(gòu)建安全管理機(jī)構(gòu)，制理制度及安全策略，由相關(guān)人員，利用技術(shù)工手段及相關(guān)工具，”進(jìn)行系統(tǒng)建設(shè)和運(yùn)行維護(hù)。根據(jù)等級(jí)化安全保障體系的設(shè)計(jì)思路，等級(jí)保護(hù)的設(shè)計(jì)與實(shí)施通過(guò)以下步驟進(jìn)行：1. 系統(tǒng)識(shí)別與定級(jí)：確定保護(hù)對(duì)象，通過(guò)分析系統(tǒng)所屬類型、所屬信息類別、服務(wù)范圍以及業(yè)務(wù)對(duì)度確定系統(tǒng)的等級(jí)。通過(guò)此步驟充分了解系統(tǒng)狀況，包括系統(tǒng)業(yè)務(wù)流程和功能模塊，以及確定系下一步安全域設(shè)計(jì)、安全保障體系框

7、架設(shè)計(jì)、安全要求選擇以及安全措施選擇提供依據(jù)。2. 安全域設(shè)計(jì)：根據(jù)第一步的結(jié)果，通過(guò)分析系統(tǒng)業(yè)務(wù)流程、功能模塊，根據(jù)安全域劃分原則設(shè)計(jì)構(gòu)。通過(guò)安全域設(shè)計(jì)將系統(tǒng)分解為多個(gè)層次，為下一步安全保障體系框架設(shè)計(jì)提供基礎(chǔ)框架。3. 確定安全域安全要求：參照國(guó)家相關(guān)等級(jí)保護(hù)安全要求，設(shè)計(jì)不同安全域的安全要求。通過(guò)安全級(jí)選擇方法確定系統(tǒng)各區(qū)域等級(jí)，明確各安全域所需采用的安全指標(biāo)。4. 評(píng)估現(xiàn)狀：根據(jù)各等級(jí)的安全要求確定各等級(jí)的評(píng)估內(nèi)容，根據(jù)國(guó)家相關(guān)風(fēng)險(xiǎn)評(píng)估方法，對(duì)系統(tǒng)進(jìn)行有針對(duì)性的等級(jí)風(fēng)并險(xiǎn)找評(píng)出估系。統(tǒng)安全現(xiàn)狀與等級(jí)要形求成的完差整距準(zhǔn)，確的按需防御的安全需求。通過(guò)等級(jí)風(fēng)險(xiǎn)評(píng)估，可以明確各層次安全域相應(yīng)

8、等級(jí)的安全差距，為下一步安全技術(shù)解決方案設(shè)建設(shè)提供依據(jù)。5. 安全保障體系方案設(shè)計(jì)：根據(jù)安全域框架，設(shè)計(jì)系統(tǒng)各個(gè)層次的安全保障體系框架以及具體方案5等級(jí)保護(hù)（三級(jí)）方案模板 深信服科技次的安全保障體系框架形成系統(tǒng)整體的安全保障體系框架；詳細(xì)安全技術(shù)設(shè)計(jì)、安全管理設(shè)計(jì)。6. 安全建設(shè)：根據(jù)方案設(shè)計(jì)內(nèi)容逐步進(jìn)行安全建設(shè)，滿足方案設(shè)計(jì)做要符合的安全需求，滿足等級(jí)的基本要求，實(shí)現(xiàn)按需防御。7. 持續(xù)安全運(yùn)維：通過(guò)安全預(yù)警、安全監(jiān)控、安全加固、安全審計(jì)、應(yīng)急響應(yīng)等，從事前、事中、進(jìn)行安全運(yùn)行維護(hù)，確保系統(tǒng)的持續(xù)安全，滿足持續(xù)性按需防御的安全需求。通過(guò)如上步驟，系統(tǒng)可以形成整體的等級(jí)化的安全保障體系，同時(shí)

9、根據(jù)安全術(shù)建設(shè)和安全管理建設(shè)，安全。而應(yīng)該特別注意的是：等級(jí)保護(hù)不是一個(gè)項(xiàng)目，它應(yīng)該是一個(gè)不斷循環(huán)的過(guò)程，所以通過(guò)整個(gè)安全的實(shí)施，來(lái)保證用戶等級(jí)保護(hù)的建設(shè)能夠持續(xù)的運(yùn)行，能夠使整個(gè)系統(tǒng)隨著環(huán)境的變化達(dá)到持續(xù)的安全。6等級(jí)保護(hù)（三級(jí)）方案模板 深信服科技3 方案參照標(biāo)準(zhǔn)GB/T 21052-2信0息07安全等級(jí)信保息護(hù)系統(tǒng)物理安全技術(shù)要求信息安全技信術(shù)息系統(tǒng)安全等級(jí)保護(hù)基本要求信息安全技信術(shù)息系統(tǒng)安全保護(hù)等級(jí)(定報(bào) 級(jí)批 指中) 南信息安全技術(shù)信息安全等級(jí)保(報(bào)護(hù) 批實(shí) 中)施指南信息安全技信術(shù)息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)指南GB/T 20271-2信0息06安全技信術(shù)息系統(tǒng)通用安全技術(shù)要求GB/T

10、20270-2信0息06安全技網(wǎng)術(shù)絡(luò)基礎(chǔ)安全技術(shù)要求GB/T 20984信-2息00安7 全技信術(shù)息安全風(fēng)險(xiǎn)評(píng)估規(guī)范GB/T 20269-2信0息06安全技信術(shù)息系統(tǒng)安全管理要求GB/T 20281-2信0息06安全技防術(shù)火墻技術(shù)要求與測(cè)試評(píng)價(jià)方法GB/T 20275-信20息06安全技入術(shù)侵檢測(cè)系統(tǒng)技術(shù)要求和測(cè)試評(píng)價(jià)方法GB/T 20278-2信0息06安全技網(wǎng)術(shù)絡(luò)脆弱性掃描產(chǎn)品技術(shù)要求GB/T 20277-2信0息06安全技網(wǎng)術(shù)絡(luò)脆弱性掃描產(chǎn)品測(cè)試評(píng)價(jià)方法GB/T 20279-2信0息06安全技網(wǎng)術(shù)絡(luò)端設(shè)備隔離部件技術(shù)要求GB/T 20280-2信0息06安全技網(wǎng)術(shù)絡(luò)端設(shè)備隔離部件測(cè)試評(píng)價(jià)

11、方法等。7等級(jí)保護(hù)（三級(jí)）方案模板 深信服科技4 信息系統(tǒng)定級(jí)4.1.1定級(jí)流程確定信息系統(tǒng)安全保護(hù)等級(jí)的一般流程如下：識(shí)別單位基本信息了解單位基本信息有助于判斷單位的職能特點(diǎn)，單位所在行業(yè)及單位在行業(yè)所處的地位和所用，位主要信息系統(tǒng)的宏觀定位。識(shí)別業(yè)務(wù)種類、流程和服務(wù)應(yīng)重點(diǎn)了解定級(jí)對(duì)象信息系統(tǒng)中不同業(yè)務(wù)系統(tǒng)提供的服務(wù)在影響履行單位職能方面具體方式和程區(qū)域范圍、用戶人數(shù)、業(yè)務(wù)量的具體數(shù)據(jù)以及對(duì)本單位以外機(jī)構(gòu)或個(gè)人的影響等方面。這些具體為主管部門制定定級(jí)指導(dǎo)意見(jiàn)提供參照，也可以作為主管部門審批定級(jí)結(jié)果的重要依據(jù)。識(shí)別信息調(diào)查了解定級(jí)對(duì)象信息系統(tǒng)所處理的信息，了解單位對(duì)信息的三個(gè)安全屬性的需求，了

12、解不同業(yè)保密性、完整性和可用性被破壞后在單位職能、單位資金、單位信譽(yù)、人身安全等方面可能對(duì)國(guó)本單位造成的影響，對(duì)影響程度的描述應(yīng)盡可能量化。識(shí)別網(wǎng)絡(luò)結(jié)構(gòu)和邊界調(diào)查了解定級(jí)對(duì)象信息系統(tǒng)所在單位的整體網(wǎng)絡(luò)狀況、安全防護(hù)和外部連接情況，目的是了解信的單位內(nèi)部網(wǎng)絡(luò)環(huán)境和外部環(huán)境特點(diǎn)，以及該信息系統(tǒng)的網(wǎng)絡(luò)安全保護(hù)與單位內(nèi)部網(wǎng)絡(luò)環(huán)境的安系。識(shí)別主要的軟硬件設(shè)備調(diào)查了解與定級(jí)對(duì)象信息系統(tǒng)相關(guān)的服務(wù)器、網(wǎng)絡(luò)、終端、存儲(chǔ)設(shè)備以及安全設(shè)備等，設(shè)備所在統(tǒng)中的功能和作用。調(diào)查設(shè)備的位置和作用主要就是發(fā)現(xiàn)不同信息系統(tǒng)在設(shè)備使用方面的共用程識(shí)別用戶類型和分布調(diào)查了解各系統(tǒng)的管理用戶和一般用戶，內(nèi)部用戶和外部用戶，本地用戶

13、和遠(yuǎn)程用戶等類型，了戶群的數(shù)量分布，判斷系統(tǒng)服務(wù)中斷或系統(tǒng)信息被破壞可能影響的范圍和程度。根據(jù)信息安全等級(jí)矩陣表，形成定級(jí)結(jié)果8等級(jí)保護(hù)（三級(jí)）方案模板 深信服科技業(yè)務(wù)信息安全等級(jí)矩陣表對(duì)相應(yīng)客體的侵害程度業(yè)務(wù)信息安全被破壞時(shí)所侵害的客體一般損害 嚴(yán)重?fù)p害 特別嚴(yán)重?fù)p害 第一級(jí) 第二級(jí) 第二級(jí)公民、法人和其他組織的合法權(quán)益 第二級(jí) 第三級(jí) 第四級(jí)社會(huì)秩序、公共利益 第三級(jí) 第四級(jí) 第五級(jí)國(guó)家安全系統(tǒng)服務(wù)安全等級(jí)矩陣表對(duì)相應(yīng)客體的侵害程度系統(tǒng)服務(wù)安全被破壞時(shí)所侵害的客體一般損害 嚴(yán)重?fù)p害 特別嚴(yán)重?fù)p害 第一級(jí) 第二級(jí) 第二級(jí)公民、法人和其他組織的合法權(quán)益 第二級(jí) 第三級(jí) 第四級(jí)社會(huì)秩序、公共利益

14、 第三級(jí) 第四級(jí) 第五級(jí)國(guó)家安全4.1.2定級(jí)結(jié)果根據(jù)上述定級(jí)流X程X用，戶各主要系統(tǒng)定級(jí)結(jié)果為：序號(hào) 部署環(huán)境 系統(tǒng)名稱 保護(hù)等級(jí) 定級(jí)結(jié)果組合1. XX網(wǎng)絡(luò) X X系統(tǒng) 3 可能的組合S為1：A3，G3S2A3，GS33A3G，S33A2，G3S3A1，G 3根據(jù)實(shí)際情況進(jìn)行選擇。9等級(jí)保護(hù)（三級(jí)）方案模板 深信服科技2.10等級(jí)保護(hù)（三級(jí)）方案模板 深信服科技5 系統(tǒng)現(xiàn)狀分析系統(tǒng)現(xiàn)狀分析按照物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)五個(gè)層面進(jìn)行，系統(tǒng)的展現(xiàn)客戶信息系統(tǒng)的現(xiàn)狀。5.1 機(jī)房及配套設(shè)備現(xiàn)狀分析包括現(xiàn)在的機(jī)房建設(shè)情況，以及機(jī)房?jī)?nèi)的配套設(shè)備部署情況。5.2 網(wǎng)絡(luò)現(xiàn)狀分析該單位目前的網(wǎng)絡(luò)拓?fù)鋱D，

15、以及部署了哪些安全軟件，終端部署情況等。5.3 業(yè)務(wù)系統(tǒng)現(xiàn)狀分析現(xiàn)有業(yè)務(wù)系統(tǒng)的現(xiàn)狀。5.4 安全管理中心現(xiàn)狀分析是否已有安全管理中心，以及現(xiàn)在建設(shè)的現(xiàn)狀。6 安全風(fēng)險(xiǎn)與差距分析風(fēng)險(xiǎn)與需求分析部分按照物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)五個(gè)層面進(jìn)行，可根據(jù)實(shí)際情況進(jìn)行修改；劃分的結(jié)果，在分析過(guò)程中將不同的安全域所面臨的風(fēng)險(xiǎn)與需求分析予以對(duì)應(yīng)說(shuō)明。6.1 物理安全風(fēng)險(xiǎn)與差距分析物理安全風(fēng)險(xiǎn)主要是指網(wǎng)絡(luò)周邊的環(huán)境和物理特性引起的網(wǎng)絡(luò)從設(shè)而備會(huì)和造線成路網(wǎng)的絡(luò)不系可統(tǒng)使的用不，可使用，甚至導(dǎo)致整個(gè)網(wǎng)絡(luò)的癱瘓。它是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提和基礎(chǔ)，只有保證了物理層的可用性，才能可用性，進(jìn)而提高整個(gè)網(wǎng)絡(luò)的抗破壞力。例

16、如：機(jī)房缺乏控制，人員隨意出入帶來(lái)的風(fēng)險(xiǎn)；網(wǎng)絡(luò)設(shè)備被盜、被毀壞；11等級(jí)保護(hù)（三級(jí)）方案模板 深信服科技線路老化或是有意、無(wú)意的破壞線路；設(shè)備在非預(yù)測(cè)情況下發(fā)生故障、停電等；自然災(zāi)害如地震、水災(zāi)、火災(zāi)、雷擊等；電磁干擾等。因此，在通盤考慮安全風(fēng)險(xiǎn)時(shí)，應(yīng)優(yōu)先考慮物理安全風(fēng)險(xiǎn)。保證網(wǎng)絡(luò)正常運(yùn)行的前提是將物理層安全是盡量考慮在非正常情況下物理層出現(xiàn)風(fēng)險(xiǎn)問(wèn)題時(shí)的應(yīng)對(duì)方案。6.2 計(jì)算環(huán)境安全風(fēng)險(xiǎn)與差距分析計(jì)算環(huán)境的安全主要指主機(jī)以及應(yīng)用層面的安全風(fēng)險(xiǎn)與需求分析，包括：身份鑒別、訪問(wèn)控制、系統(tǒng)惡意代碼防范、軟件容錯(cuò)、數(shù)據(jù)完整性與保密性、備份與恢復(fù)、資源合理控制、剩余信息保護(hù)、抗抵賴等身份鑒別身份鑒別包括

17、主機(jī)和應(yīng)用兩個(gè)方面。主機(jī)操作系統(tǒng)登錄、數(shù)據(jù)庫(kù)登陸以及應(yīng)用系統(tǒng)登錄均必須進(jìn)行身份驗(yàn)證。過(guò)于簡(jiǎn)單的標(biāo)識(shí)符和口令容解。同時(shí)非法用戶可以通過(guò)網(wǎng)絡(luò)進(jìn)行竊聽(tīng)，從而獲得管理員權(quán)限，可以對(duì)任何資源非法訪問(wèn)及越權(quán)操作。戶名/口令的復(fù)雜度，且防止被網(wǎng)絡(luò)竊聽(tīng)；同時(shí)應(yīng)考慮失敗處理機(jī)制。訪問(wèn)控制訪問(wèn)控制包括主機(jī)和應(yīng)用兩個(gè)方面。訪問(wèn)控制主要為了保證用戶對(duì)主機(jī)資源和應(yīng)用系統(tǒng)資源的合法使用。非法用戶可能企圖假冒合法用戶統(tǒng)，低權(quán)限的合法用戶也可能企圖執(zhí)行高權(quán)限用戶的操作，這些行為將給主機(jī)系統(tǒng)和應(yīng)用系統(tǒng)帶來(lái)了很大戶必須擁有合法的用戶標(biāo)識(shí)符，在制定好的訪問(wèn)控制策略下進(jìn)行操作，杜絕越權(quán)非法操作。系統(tǒng)審計(jì)系統(tǒng)審計(jì)包括主機(jī)審計(jì)和應(yīng)用審計(jì)

18、兩個(gè)方面。對(duì)于登陸主機(jī)后的操作行為則需要進(jìn)行主機(jī)審計(jì)。對(duì)于服務(wù)器和重要主機(jī)需要進(jìn)行嚴(yán)格的行為控制，使用的命令等進(jìn)行必要的記錄審計(jì)，便于日后的分析、調(diào)查、取證，規(guī)范主機(jī)使用行為。而對(duì)于應(yīng)用系統(tǒng)12等級(jí)保護(hù)（三級(jí)）方案模板 深信服科技審計(jì)的要求，即對(duì)應(yīng)用系統(tǒng)的使用行為進(jìn)行審計(jì)。重點(diǎn)審計(jì)應(yīng)用層信息，和業(yè)務(wù)系統(tǒng)的運(yùn)轉(zhuǎn)流程息息相關(guān)件提供足夠的信息，與身份認(rèn)證與訪問(wèn)控制聯(lián)系緊密，為相關(guān)事件提供審計(jì)記錄。入侵防范主機(jī)操作系統(tǒng)面臨著各類具有針對(duì)性的入侵威脅，常見(jiàn)操作系統(tǒng)存在著各種安全漏洞，并且現(xiàn)在漏洞利用之間的時(shí)間差變得越來(lái)越短，這就使得操作系統(tǒng)本身的安全性給整個(gè)系統(tǒng)帶來(lái)巨大的安全風(fēng)險(xiǎn)，因此統(tǒng)的安裝，使用、維

19、護(hù)等提出了需求，防范針對(duì)系統(tǒng)的入侵行為。惡意代碼防范病毒、蠕蟲(chóng)等惡意代碼是對(duì)計(jì)算環(huán)境造成危害最大的隱患，當(dāng)前病毒威脅非常嚴(yán)峻，特別是蠕蟲(chóng)病毒向其他子網(wǎng)迅速蔓延，發(fā)動(dòng)網(wǎng)絡(luò)攻擊和數(shù)據(jù)竊密。大量占據(jù)正常業(yè)務(wù)十分有限的帶寬，造成網(wǎng)絡(luò)性能嚴(yán)重潰甚至網(wǎng)絡(luò)通信中斷，信息損壞或泄漏。嚴(yán)重影響正常業(yè)務(wù)開(kāi)展。因此必須部署惡意代碼防范軟件進(jìn)行防意代碼庫(kù)的及時(shí)更新。軟件容錯(cuò)軟件容錯(cuò)的主要目的是提供足夠的冗余,信使息系和統(tǒng)算在法實(shí)程際序運(yùn)行時(shí)能夠及時(shí)發(fā)現(xiàn),程采序取設(shè)補(bǔ)計(jì)救錯(cuò)措誤施,以提高軟件可,?？孔C性整個(gè)計(jì)算機(jī)系統(tǒng)的正常運(yùn)行。數(shù)據(jù)安全主要指數(shù)據(jù)的完整性與保密性。數(shù)據(jù)是信息資產(chǎn)的直接體現(xiàn)。所有的措施最終無(wú)不是為了業(yè)務(wù)數(shù)

20、據(jù)的的備份十分重要，是必須考慮的問(wèn)題。應(yīng)采取措施保證數(shù)據(jù)在傳輸過(guò)程中的完整性以及保密性；保護(hù)鑒別備份與恢復(fù)數(shù)據(jù)是信息資產(chǎn)的直接體現(xiàn)。所有的措施最終無(wú)不是為了業(yè)務(wù)數(shù)據(jù)的安全。因此數(shù)據(jù)的備份十分重要問(wèn)題。對(duì)于關(guān)鍵數(shù)據(jù)應(yīng)建立數(shù)據(jù)的備份機(jī)制，而對(duì)于網(wǎng)絡(luò)的關(guān)鍵設(shè)備、線路均需進(jìn)行冗余配置，備份與恢件的必要措施。資源合理控制資源合理控制包括主機(jī)和應(yīng)用兩個(gè)方面。主機(jī)系統(tǒng)以及應(yīng)用系統(tǒng)的資源是有限的，不能無(wú)限濫用。系統(tǒng)資源必須能夠?yàn)檎Ｓ脩籼峁┵Y源保障源耗盡、服務(wù)質(zhì)量下降甚至服務(wù)中斷等后果。因此對(duì)于系統(tǒng)資源進(jìn)行控制，制定包括：登陸條件限制、超13等級(jí)保護(hù)（三級(jí)）方案模板 深信服科技用資源閾值設(shè)置等資源控制策略。剩

21、余信息保護(hù)對(duì)于正常使用中的主機(jī)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)等，經(jīng)常需要對(duì)用戶的鑒別信息、文件、目錄、數(shù)據(jù)庫(kù)或長(zhǎng)期存儲(chǔ)，在這些存儲(chǔ)資源重新分配前，如果不對(duì)其原使用者的信息進(jìn)行清除，將會(huì)引起元用戶信息泄因此，需要確保系統(tǒng)內(nèi)的用戶鑒別信息文件、目錄和數(shù)據(jù)庫(kù)記錄等資源所在的存儲(chǔ)空間，被釋放或重新分得到完全清除對(duì)于動(dòng)態(tài)管理和使用的客體資源，應(yīng)在這些客體資源重新分配前，對(duì)其原使用者的信息進(jìn)行清除，以漏?？沟仲噷?duì)于數(shù)據(jù)安全，不僅面臨著機(jī)密性和完整性的問(wèn)題，同樣還面臨著抗抵賴性（不可否認(rèn)性）的問(wèn)題，防止用戶否認(rèn)其數(shù)據(jù)發(fā)送和接收行為，為數(shù)據(jù)收發(fā)雙方提供證據(jù)。不同等級(jí)的業(yè)務(wù)系統(tǒng)的互聯(lián)使用同一終端訪問(wèn)不同等級(jí)的業(yè)務(wù)系統(tǒng)時(shí)，

22、如何在用戶終端實(shí)現(xiàn)不同等級(jí)業(yè)務(wù)系統(tǒng)的隔離。6.3 區(qū)域邊界安全風(fēng)險(xiǎn)與差距分析區(qū)域邊界的安全主要包括：邊界訪問(wèn)控制、邊界完整性檢測(cè)、邊界入侵防范以及邊界安全審計(jì)等方面邊界訪問(wèn)控制XX網(wǎng)絡(luò)可劃分為如下邊界：描述邊界及風(fēng)險(xiǎn)分析對(duì)于各類邊界最基本的安全需求就是訪問(wèn)控制，對(duì)進(jìn)出安全區(qū)域邊界的數(shù)據(jù)信息進(jìn)行控制，阻止非授邊界完整性檢測(cè)邊界的完整性如被破壞則所有控制規(guī)則因?qū)⒋耸枞ヒ?duì)力內(nèi)，部網(wǎng)絡(luò)中出現(xiàn)的內(nèi)部用戶未通過(guò)準(zhǔn)許私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查，維護(hù)邊界完整性。14等級(jí)保護(hù)（三級(jí)）方案模板 深信服科技邊界入侵防范各類網(wǎng)絡(luò)攻擊行為既可能來(lái)自于大家公認(rèn)的互聯(lián)網(wǎng)等外部網(wǎng)絡(luò)，在內(nèi)部也同樣存在。通過(guò)安全措施，

23、針對(duì)信息系統(tǒng)的各種攻擊，如病毒、木馬、間諜軟件、可D o疑S代/D碼D等o、 ，S端實(shí)口現(xiàn)掃對(duì)描網(wǎng)、絡(luò)層以及業(yè)務(wù)系統(tǒng)的安全防護(hù)，保護(hù)核心信息資產(chǎn)的免受攻擊危害。邊界安全審計(jì)在安全區(qū)域邊界需要建立必要的審計(jì)機(jī)制，對(duì)進(jìn)出邊界的各類網(wǎng)絡(luò)行為進(jìn)行記錄與審計(jì)分析，可以和審計(jì)以及網(wǎng)絡(luò)審計(jì)形成多層次的審計(jì)系統(tǒng)。并可通過(guò)安全管理中心集中管理。邊界惡意代碼防范現(xiàn)今，病毒的發(fā)展呈現(xiàn)出:病以毒下與趨黑勢(shì)客程序相結(jié)合、蠕蟲(chóng)病毒更加泛濫，目前計(jì)算機(jī)病毒的傳播途徑與相比已經(jīng)發(fā)生了很大的變化，更多的I以nt網(wǎng)ern絡(luò)、e（t廣包域括網(wǎng)、局域網(wǎng)）形態(tài)進(jìn)行傳播，因此為了安全的防護(hù)手段也需以變應(yīng)變。迫切需要網(wǎng)關(guān)型產(chǎn)品在網(wǎng)絡(luò)層面對(duì)

24、病毒予以查殺。6.4 通信網(wǎng)絡(luò)安全風(fēng)險(xiǎn)與差距分析通信網(wǎng)絡(luò)的安全主要包括：網(wǎng)絡(luò)結(jié)構(gòu)安全、網(wǎng)絡(luò)安全審計(jì)、網(wǎng)絡(luò)設(shè)備防護(hù)、通信完整性與保密性等方網(wǎng)絡(luò)結(jié)構(gòu)網(wǎng)絡(luò)結(jié)構(gòu)是否合理直接影響著是否能夠有效的承載業(yè)務(wù)需要。因此網(wǎng)絡(luò)結(jié)構(gòu)需要具備一定的冗余性；務(wù)高峰時(shí)期數(shù)據(jù)交換需求；并合理V的L劃AN。分網(wǎng)段和網(wǎng)絡(luò)安全審計(jì)由于用戶的計(jì)算機(jī)相關(guān)的知識(shí)水平參差不齊，一旦某些安全意識(shí)薄弱的管理用戶誤操作，將給信息系壞。沒(méi)有相應(yīng)的審計(jì)記錄將給事后追查帶來(lái)困難。有必要進(jìn)行基于網(wǎng)絡(luò)行為的審計(jì)。從而威懾那些心存僥的少部分用戶，以利于規(guī)范正常的網(wǎng)絡(luò)應(yīng)用行為。網(wǎng)絡(luò)設(shè)備防護(hù)由于XX網(wǎng)絡(luò)中將會(huì)使用大量的網(wǎng)絡(luò)設(shè)備，如交換機(jī)、防火墻、入侵檢測(cè)設(shè)備

25、等。這些設(shè)備的自身安全性系到涉密網(wǎng)和各種網(wǎng)絡(luò)應(yīng)用的正常運(yùn)行。如果發(fā)生網(wǎng)絡(luò)設(shè)備被不法分子攻擊，將導(dǎo)致設(shè)備不能正常運(yùn)行。15等級(jí)保護(hù)（三級(jí)）方案模板 深信服科技設(shè)備設(shè)置被篡改，不法分子輕松獲得網(wǎng)絡(luò)設(shè)備的控制權(quán)，通過(guò)網(wǎng)絡(luò)設(shè)備作為跳板攻擊服務(wù)器，將會(huì)造成無(wú)例如，交換機(jī)口令泄漏、防火墻規(guī)則被篡改、入侵檢測(cè)設(shè)備失靈等都將成為威脅網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行的風(fēng)險(xiǎn)通信完整性與保密性由于網(wǎng)絡(luò)協(xié)議及文件格式均開(kāi)具發(fā)有公、標(biāo)開(kāi)準(zhǔn)的、特征因，此數(shù)據(jù)在網(wǎng)上存儲(chǔ)和傳輸不過(guò)僅程僅中面，臨信息丟失、信息重復(fù)或信息傳送的自身錯(cuò)誤，而且會(huì)遭遇信息攻擊或欺詐行為，導(dǎo)致最終信息收發(fā)的差異性。因此，儲(chǔ)過(guò)程中，必須要確保信息內(nèi)容在發(fā)送、接收及保存

26、的一致性；并在信息遭受篡改攻擊的情況下，應(yīng)提供現(xiàn)機(jī)制，實(shí)現(xiàn)通信的完整性。而數(shù)據(jù)在傳輸過(guò)程中，為能夠抵御不良企圖者采取的各種攻擊，防止遭到竊取，應(yīng)采用加密措施保證網(wǎng)絡(luò)可信接入對(duì)于一個(gè)不斷發(fā)展的網(wǎng)絡(luò)而言，為方便辦公，在網(wǎng)絡(luò)設(shè)計(jì)時(shí)保留大量的接入端口XX，用這對(duì)于隨時(shí)隨地快戶網(wǎng)絡(luò)進(jìn)行辦公是非常便捷的，但同時(shí)也引入了安全風(fēng)險(xiǎn)，一旦外來(lái)用戶不加阻攔的接入到網(wǎng)絡(luò)中來(lái)，就的安全邊界，使得外來(lái)用戶具備對(duì)網(wǎng)絡(luò)進(jìn)行破壞的條件，由此而引入諸如蠕蟲(chóng)擴(kuò)散、文件泄密等安全問(wèn)題法客戶端實(shí)現(xiàn)禁能入監(jiān)，控網(wǎng)絡(luò)對(duì)，于沒(méi)有合法認(rèn)證的外能來(lái)夠機(jī)阻器斷，其網(wǎng)絡(luò)保訪護(hù)問(wèn)好，已經(jīng)建立起來(lái)的安全環(huán)境。6.5 安全管理中心差距分析安全管理中心需求包括統(tǒng)一管理、統(tǒng)一監(jiān)控、統(tǒng)一審計(jì)三個(gè)方面的需求分析。兩個(gè)方面，技術(shù)方面和16等級(jí)保護(hù)（三級(jí)）方案模板 深信服科技7 技術(shù)體系方案設(shè)計(jì)7.1 方案設(shè)計(jì)目標(biāo)三級(jí)系統(tǒng)安全保護(hù)環(huán)境的設(shè)計(jì)目G標(biāo)B是17：85落9-實(shí)對(duì)1 9三99級(jí)系統(tǒng)的安全保護(hù)要求，在二級(jí)安全保護(hù)環(huán)境的基礎(chǔ)上，通過(guò)實(shí)現(xiàn)基于安全策略模型和標(biāo)記的強(qiáng)制訪問(wèn)控制以及增強(qiáng)系統(tǒng)的審計(jì)機(jī)制，使得系統(tǒng)具有在統(tǒng)一安保護(hù)敏感資源的能力。通過(guò)為滿足物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全五個(gè)方面基本技術(shù)要求進(jìn)行技術(shù)體安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理五個(gè)方面基本管理要求進(jìn)行使得XX系統(tǒng)的等