xx單位等級保護(hù)二級安全整改方案申請預(yù)算v

1、系統(tǒng)等級保護(hù)安全方案XX目錄項目概述41.1. 項目建設(shè)背景41.2. 項目建設(shè)目標(biāo)41.3. 項目參考標(biāo)準(zhǔn)51.1.4.安全原則6系統(tǒng)現(xiàn)狀分析72.1. 系統(tǒng)定級情況說明72.2. 業(yè)務(wù)系統(tǒng)說明72.3. 網(wǎng)絡(luò)結(jié)構(gòu)說明8安全需求分析83.1. 物理安全需求分析83.2. 網(wǎng)絡(luò)安全需求分析83.3. 主機(jī)安全需求分析93.4. 應(yīng)用安全需求分析93.5. 數(shù)據(jù)安全需求分析93.6. 安全管理制度需求分析9總體方案設(shè)計94.1. 總體設(shè)計目標(biāo)94.2. 總體安全體系設(shè)計104.3. 總體網(wǎng)絡(luò)架構(gòu)設(shè)計132.3.4.劃分說明134.4.詳細(xì)方案設(shè)計技術(shù)部分145.1. 物理安全145.2. 網(wǎng)絡(luò)安

2、全145.邊界技術(shù)145.2.1.5.2.2.5.2.3.5.2.4.5.2.5.5.2.6.5.2.7.5.2.8.5.2.9.5.3.5.3.1.5.3.2.5.3.3.5.3.4.防范技術(shù)14網(wǎng)絡(luò)防Web技術(shù)15技術(shù)錯誤!未定義書簽。網(wǎng)頁防篡改技術(shù)15流量管理技術(shù)錯誤!未定義書簽。鏈路負(fù)載均衡技術(shù)16上網(wǎng)行為管理技術(shù)16網(wǎng)絡(luò)安全審計17主機(jī)安全18數(shù)據(jù)庫安全審計18運(yùn)維堡壘主機(jī)18主機(jī)防技術(shù)19漏洞掃描195.4. 應(yīng)用安全205.5. 安全管理中心21詳細(xì)方案設(shè)計管理部分216.1.總體安全方針與安全策略226.2系統(tǒng)等級保護(hù)安全方案XX管理制度236.2.6.3.安全管理機(jī)構(gòu)23安全

3、管理236.4.6.5. 系統(tǒng)建設(shè)管理246.6. 系統(tǒng)運(yùn)維管理246.7. 安全管理制度匯總26咨詢服務(wù)和系統(tǒng)測評277.1. 系統(tǒng)定級服務(wù)277.2. 風(fēng)險評估和安全加固服務(wù)277.2.1. 漏洞掃描277.2.2. 滲透測試277.2.3. 配置核查287.2.4. 安全加固287.2.5. 安全管理制度編寫297.2.6. 安全培訓(xùn)307.3. 系統(tǒng)測評服務(wù)307.項目預(yù)算與配置8.308.1.項目預(yù)算308.2. 利舊8.3. 新增使用說明31詳細(xì)要求313系統(tǒng)等級保護(hù)安全方案XX1. 項目概述1.1. 項目建設(shè)背景項目背景。1.2. 項目建設(shè)目標(biāo)二級系統(tǒng)安全保護(hù)環(huán)境的設(shè)計目標(biāo)是：遵

4、循 GB 17859-1999 的 4.2 中相關(guān)要求，以鑒別為基礎(chǔ)，提供單個用戶和（或）用戶組對共享文件、數(shù)據(jù)庫表等的；以包過濾提供區(qū)域邊界保護(hù)；以數(shù)據(jù)校驗和代碼防范等，同時通過增加系統(tǒng)安全審計、客體安全重用等功能，使用戶對的行為負(fù)責(zé)，提供用戶數(shù)據(jù)性和完整性保護(hù)，以增強(qiáng)系統(tǒng)的安全保護(hù)能力。依照計算機(jī)系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則、系統(tǒng)安全等級保護(hù)基本要求、系統(tǒng)安全保護(hù)等級定級指南等標(biāo)準(zhǔn)，以及 XX對系統(tǒng)等級保護(hù)工作的有關(guān)規(guī)定和要求，對 XX的網(wǎng)絡(luò)和系統(tǒng)進(jìn)行等級保護(hù)定級，按系統(tǒng)逐個編制定級報告和定級備案表，并指導(dǎo) XX化將定級材料提交當(dāng)?shù)貍浒?。通過為滿足物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安

5、全五個方面基本技術(shù)要求進(jìn)行技術(shù)體系建設(shè)；為滿足安全管理制度、安全管理機(jī)構(gòu)、安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理五個方面基本管理要求進(jìn)行管理體系建設(shè)。使得網(wǎng)絡(luò)系統(tǒng)的等級保護(hù)建設(shè)方案最XX終既可以滿足等級保護(hù)的相關(guān)要求，又能夠全方面為 XX的業(yè)務(wù)系統(tǒng)提供、縱深的安全保障防御體系，保證系統(tǒng)整體的安全保護(hù)能力。本項目建設(shè)將完成以下目標(biāo)：1、以 XX系統(tǒng)現(xiàn)有基礎(chǔ)設(shè)施，建設(shè)并完成滿足等級保護(hù)二級系統(tǒng)基本要求的信息系統(tǒng)，確保 XX的整體化建設(shè)符合相關(guān)要求。2、建立安全管理組織機(jī)立工作組，XX為安全責(zé)任人，擬定實施系統(tǒng)安全等級保護(hù)的具體方案，并制定相應(yīng)的崗位責(zé)任制，確保等級保護(hù)工作順利實施。3、建立完善的安全

6、技術(shù)防護(hù)體系。根據(jù)等級保護(hù)的要求，建立滿足二級要求的安全技術(shù)防護(hù)體系。4、建立健全系統(tǒng)安全管理制度。根據(jù)等級保護(hù)的要求，制定各項系統(tǒng)4系統(tǒng)等級保護(hù)安全方案XX安全管理制度，對安全管理或操作執(zhí)行的重要管理操作建立操作規(guī)程和執(zhí)行文檔。5、制定 XX系統(tǒng)不中斷的應(yīng)急預(yù)案。應(yīng)急預(yù)案是安全等級保護(hù)的重要組成部分，按可能出現(xiàn)問題的不同情形制定相應(yīng)的應(yīng)急措施，在系統(tǒng)出現(xiàn)故障和意外且無法短時間恢復(fù)的情況下能確保生產(chǎn)活動持續(xù)進(jìn)行。6、安全培訓(xùn)：為 XX化技術(shù)提供相關(guān)專業(yè)技術(shù)知識培訓(xùn)。1.3. 項目參考標(biāo)準(zhǔn)深信服遵循以及息安全等級保護(hù)指南等最新安全標(biāo)準(zhǔn)以及開展各項服務(wù)工作，配合 XX的等級保護(hù)測評工作。本項目建設(shè)

7、參考依據(jù)：5指導(dǎo)思想中辦200327（關(guān)于轉(zhuǎn)發(fā)息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)保障工作的意見）公通字200466（等級保護(hù)工作的實施意見） 公通字200743（等級保護(hù)管理辦法）公信安20091429關(guān)于開展等級保護(hù)安全建設(shè)工作的指導(dǎo)意見關(guān)于加強(qiáng)網(wǎng)絡(luò)保護(hù)的決定國發(fā)201223 號關(guān)于大力推進(jìn)化發(fā)展和切實保障的若干意見國發(fā)20137 號關(guān)于推進(jìn)物聯(lián)網(wǎng)有序健康發(fā)展的指導(dǎo)意見公信安20142182 號關(guān)于加強(qiáng)級重要系統(tǒng)安全保障工作有關(guān)事項的通知（ 公信安20142182 號）等級保護(hù)GB 17859-1999 計算機(jī)系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則GB/T25058-2010系統(tǒng)安全等級保護(hù)實施指南系統(tǒng)定級GB/T 2

8、2240-2008技術(shù)系統(tǒng)安全保護(hù)等級定級指南技術(shù)方面GB/T25066-2010類別與代碼GB/T17900-1999 網(wǎng)絡(luò)服務(wù)器的安全技術(shù)要求GB/T20010-2005 包過濾評估準(zhǔn)則GB/T20281-2006技術(shù)要求和測試評價GB/T18018-2007 路由器安全技術(shù)要求GB/T20008-2005 路由器安全評估準(zhǔn)則GB/T20272-2006 操作系統(tǒng)安全技術(shù)要求GB/T20273-2006 數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求GB/T20009-2005 數(shù)據(jù)庫管理系統(tǒng)安全評估準(zhǔn)則GB/T20275-2006檢測系統(tǒng)技術(shù)要求和測試評價GB/T20277-2006 網(wǎng)絡(luò)和終端部件測試評價

9、系統(tǒng)等級保護(hù)安全方案XX1.4. 安全原則本次項目，深信服等級保護(hù)方案的設(shè)計和實施將遵循以下原則：n性原則：深信服對安全服務(wù)的實施過程和結(jié)果將，在福建省財政廳的情況下泄露給任何和個人，利用此數(shù)據(jù)進(jìn)行任何侵害客戶權(quán)益的行為；n標(biāo)準(zhǔn)性原則：服務(wù)設(shè)計和實施的全過程均依據(jù)國內(nèi)或國際的相關(guān)標(biāo)準(zhǔn)進(jìn)行；根據(jù)等級保護(hù)二級基本要求，進(jìn)行分等級分進(jìn)行安全設(shè)計和安全建設(shè)。n規(guī)范性原則：深信服在各項安全服務(wù)工作中的過程和文檔，都具有很規(guī)范性（深信服安全服務(wù)實施規(guī)范），可以便于項目的跟蹤和；6GB/T20279-2006 網(wǎng)絡(luò)和終端部件安全技術(shù)要求GB/T20278-2006 網(wǎng)絡(luò)脆弱性掃描技術(shù)要求GB/T20280-

10、2006 網(wǎng)絡(luò)脆弱性掃描測試評價GB/T20945-2007系統(tǒng)安全審計技術(shù)要求和測試評價GB/T 21028-2007 服務(wù)器安全技術(shù)要求GB/T25063-2010 服務(wù)器安全側(cè)評要求GB/T 21050-2007 網(wǎng)絡(luò)交換機(jī)安全技術(shù)要求（EAL3） GB/T28452-2012 應(yīng)用系統(tǒng)通用安全技術(shù)要求GB/T29240-2012 終端計算機(jī)通用安全技術(shù)要求與測試評價GB/T28456-2012 IPsec 協(xié)議應(yīng)用測試規(guī)范GB/T28457-2012 SSL 協(xié)議應(yīng)用測試規(guī)范管理方面GB/T20269-2006系統(tǒng)安全管理要求GB/T28453-2012系統(tǒng)安全管理評估要求GB/T20

11、984-2007風(fēng)險評估規(guī)范GB/T24364-2009風(fēng)險管理指南GB/T20985-2007管理指南GB/T20986-2007分級指南GB/T20988-2007系統(tǒng)恢復(fù)規(guī)范方案設(shè)計GB/T25070-2010系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求等保測評GB/T28448-2012系統(tǒng)安全等級保護(hù)測評要求GB/T28449-2012系統(tǒng)安全等級保護(hù)測評過程指南系統(tǒng)等級保護(hù)安全方案XXn可控性原則：服務(wù)所使用的工具、和過程都會在深信服與福建省財政廳雙方認(rèn)可的范圍之內(nèi)，服務(wù)進(jìn)度遵守進(jìn)度表的安排，保證雙方對服務(wù)工作的可控性；n整體性原則：服務(wù)的范圍和內(nèi)容整體全面，涉及的 IT 運(yùn)行的各個層面，避免由于

12、遺漏造的安全隱患；n最小影響原則：服務(wù)工作盡可能小的影響系統(tǒng)的正常運(yùn)行，對現(xiàn)有業(yè)務(wù)造成顯著影響。n體系化原則：在體系設(shè)計、建設(shè)中，深信服充分考慮到各個層面的安全風(fēng)險，構(gòu)建完整的安全防護(hù)體系。n先進(jìn)性原則：為滿足后續(xù)不斷增長的業(yè)務(wù)需求、對安全、安全技術(shù)都充分考慮前瞻性要求，采用先進(jìn)、成熟的安全、技術(shù)和先進(jìn)的管理。n分步驟原則：根據(jù)福建省財政廳要求，對福建省財政廳安全保障體系進(jìn)行分期、分步驟的有序部署。n服務(wù)細(xì)致化原則：在項目咨詢、建設(shè)過程中深信服將充分結(jié)合自身的專業(yè)技術(shù)經(jīng)驗與行業(yè)經(jīng)驗相結(jié)合，結(jié)合福建省財政廳的實際系統(tǒng)量身定做才可以保障其系統(tǒng)安全的運(yùn)行。2. 系統(tǒng)現(xiàn)狀分析2.1. 系統(tǒng)定級情況說明

13、XX綜合考慮了 XX系統(tǒng)、XX系統(tǒng)的業(yè)務(wù)和系統(tǒng)服務(wù)類型，以及其受到破壞時可能受到侵害的客體以及受侵害的程度，經(jīng) XX 省公安廳的批準(zhǔn)，已將 XX 系統(tǒng)等級定為等級保護(hù)第二級（S2A2G2），整體網(wǎng)絡(luò)化平臺按照二級進(jìn)行建設(shè)。2.2. 業(yè)務(wù)系統(tǒng)說明XX本次參加的共有 X 個系統(tǒng)，分別是 XX 系統(tǒng)、XX 系統(tǒng)、XX 系統(tǒng)、XX 系統(tǒng)，具體情況如下：XX 系統(tǒng)（示例）：2012 年財政票據(jù)化管理系統(tǒng)（網(wǎng)絡(luò)版）歷經(jīng)系統(tǒng)開發(fā)、模擬測試、7系統(tǒng)等級保護(hù)安全方案XX網(wǎng)絡(luò)、硬件安裝部署，于 2012 年 12 月份正式啟動試運(yùn)行工作，在試點和實施過程當(dāng)中發(fā)現(xiàn)系統(tǒng)仍有不足之處，需要對系統(tǒng)進(jìn)行深入完善和改進(jìn)，主要

14、考慮到由于財政票據(jù)化管理系統(tǒng)（網(wǎng)絡(luò)版）作為全省集中部署的網(wǎng)絡(luò)化財政重要業(yè)務(wù)系統(tǒng)，其具有應(yīng)用面廣、用戶規(guī)模大，并涉及到財政性資金的重要數(shù)據(jù)，以及基于公眾網(wǎng)上部署的特性，因此系統(tǒng)自身和運(yùn)行環(huán)境均一定的安全風(fēng)險，在數(shù)據(jù)傳輸、安全加密、網(wǎng)絡(luò)、防等方面的必須要建立一套更有效更完善的安全保護(hù)體系和措施。XX 系統(tǒng)：XX 系統(tǒng)：2.3. 網(wǎng)絡(luò)結(jié)構(gòu)說明系統(tǒng)網(wǎng)絡(luò)拓?fù)鋱D現(xiàn)狀如下：XX3. 安全需求分析3.1. 物理安全需求分析3.2. 網(wǎng)絡(luò)安全需求分析邊界：該系統(tǒng)無法實現(xiàn)對邊界的，需要部署下一代署等安全來實現(xiàn)。邊界防范：該系統(tǒng)無法實現(xiàn)對邊界的，需要部署下一代署等安全來實現(xiàn)。防 web和網(wǎng)頁防篡改：該系統(tǒng)無法實現(xiàn)對

15、邊界的，需要部署下一代署等來實現(xiàn)。邊界安全審計：該系統(tǒng)無法實現(xiàn)對邊界的，需要部署署網(wǎng)絡(luò)安全審計等來實現(xiàn)?；ヂ?lián)網(wǎng)出口安全審計：該系統(tǒng)無法實現(xiàn)對邊界的，需要部署上網(wǎng)行為管理等來實現(xiàn)。來實現(xiàn)。8系統(tǒng)等級保護(hù)安全方案XX3.3. 主機(jī)安全需求分析主機(jī)防：該系統(tǒng)缺少主機(jī)防的相關(guān)安全策略，需要配置網(wǎng)絡(luò)版主機(jī)防系統(tǒng)，從而實現(xiàn)對全網(wǎng)主機(jī)的代碼防范。數(shù)據(jù)庫審計：該系統(tǒng)缺少數(shù)據(jù)的審計，不能很滿足主機(jī)安全審計的要求，需要部署專業(yè)的數(shù)據(jù)庫審計。運(yùn)維堡壘機(jī)：該該系統(tǒng)無法實現(xiàn)管理員對網(wǎng)絡(luò)和服務(wù)器進(jìn)行管理時的雙因素認(rèn)證，需要部署堡壘機(jī)來實現(xiàn)。漏洞掃描：需要部署漏洞掃描實現(xiàn)對全網(wǎng)漏洞的掃描。3.4. 應(yīng)用安全需求分析通信完整

16、性和性：該系統(tǒng)無法實現(xiàn)對邊界的，需要部署 SSL等安全來實現(xiàn)。3.5. 數(shù)據(jù)安全需求分析備份與恢復(fù)：該該系統(tǒng)沒有完善的數(shù)據(jù)備份與恢復(fù)方案，需要制定相關(guān)策略。同時，該系統(tǒng)沒有實現(xiàn)對關(guān)鍵網(wǎng)絡(luò)的冗余，建議部署雙鏈路確保冗余。3.6. 安全管理制度需求分析根據(jù)前期差距分析結(jié)果，該還欠缺較多安全管理制度，需要后續(xù)補(bǔ)充。4. 總體方案設(shè)計4.1. 總體設(shè)計目標(biāo)的安全等級保護(hù)方案設(shè)計的總體目標(biāo)是依據(jù)等級保護(hù)的有關(guān)標(biāo)準(zhǔn)和規(guī)XX范，結(jié)合 XX系統(tǒng)的現(xiàn)狀，對其進(jìn)行重新規(guī)劃和合規(guī)性，為其建立一個完整的安全保障體系，有效保障其系統(tǒng)業(yè)務(wù)的正常開展，保護(hù)敏感數(shù)據(jù)的安全，保證 XX9系統(tǒng)等級保護(hù)安全方案XX系統(tǒng)的安全防護(hù)能

17、力達(dá)到技術(shù)系統(tǒng)安全等級保護(hù)基本要求中第二級的相關(guān)技術(shù)和管理要求。4.2. 總體安全體系設(shè)計本項目提出的等級保護(hù)體系模型，必須依照等級保護(hù)的相關(guān)要求，利用、代碼驗證、可入等技術(shù)，在“一個中心三重防御”的框架下實現(xiàn)對系統(tǒng)的全面防護(hù)。整個體系模型如下圖所示：10系統(tǒng)等級保護(hù)安全方案XXn安全管理中心安全管理中心是整個等級保護(hù)體系中對系統(tǒng)進(jìn)行集中安全管理的平臺，是系統(tǒng)做到可測、可控、可管理的必要和措施。依照 GB/T25070-2010系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求中對安全管理中心的要求，一個符合基于可信計算和主動防御的等級保護(hù)體系模型的安全管理中心應(yīng)至少包含以下三個部分：系統(tǒng)管理實現(xiàn)對系統(tǒng)資源和運(yùn)行的

18、配置。和管理，并對系統(tǒng)管理員進(jìn)行鑒別，只其11系統(tǒng)等級保護(hù)安全方案XX通過特定令或操作界面進(jìn)行系統(tǒng)管理操作，并對這些操作進(jìn)行審計。安全管理實現(xiàn)對系統(tǒng)中的主體、客體進(jìn)行統(tǒng)一標(biāo)記，對主體進(jìn)行，配置一致的安全策略，確保標(biāo)記、和安全策略的數(shù)據(jù)完整性，并對安全管理員進(jìn)行鑒別，只其通過特定令或操作界面進(jìn)行安全管理操作，并進(jìn)行審計。審計管理實現(xiàn)對系統(tǒng)各個組成部分的安全審計機(jī)制進(jìn)行集中管理，根據(jù)安全審計策略對審計進(jìn)行；提供按時間段開啟和關(guān)閉相應(yīng)類型的安全審計機(jī)制；對各類審計進(jìn)行存儲、管理和等；對審計應(yīng)進(jìn)行分析，根據(jù)分析結(jié)果進(jìn)行處理。此外，對安全審計員進(jìn)行鑒別，只其通過特定令或操作界面進(jìn)行安全審計操作。此外，安

19、全管理中心應(yīng)做到技術(shù)與管理并重，加強(qiáng)在安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等方面的管理力度，規(guī)范安全管理操作規(guī)程，建立完善的安全管理制度集。n安全計算環(huán)境參照基于可信計算和主動防御的等級保護(hù)模型，安全計算環(huán)境可劃分成節(jié)點和典型應(yīng)用兩個子系統(tǒng)。在解決方案中，這兩個子系統(tǒng)都將通過終端安全保護(hù)體系的建立來實現(xiàn)。事故的源頭主要集中在用戶終端，要實現(xiàn)一個可信的、安全的計算環(huán)境，就必終端安全抓起。因此，依照等級保護(hù)在鑒別，（強(qiáng)制）、網(wǎng)絡(luò)行為（上網(wǎng)、外聯(lián)的）、應(yīng)用安全、數(shù)據(jù)安全、安全審計等方面的技術(shù)要求，可充分結(jié)合可信計算技術(shù)和主動防御技術(shù)的先進(jìn)性和安全性，提出一個基于可信計

20、算和主動防御的終端安全保護(hù)體系模型，以實現(xiàn)從應(yīng)用層、系統(tǒng)層、層三個方面對計算環(huán)境的全面防護(hù)。n安全區(qū)域邊界為保護(hù)邊界安全，本解決方案構(gòu)建一個安全的區(qū)域邊界提出的解決是在被保護(hù)的邊界部署一個“應(yīng)用系統(tǒng)”。該系統(tǒng)應(yīng)可以實現(xiàn)以下功能：層的和強(qiáng)制、防范 SQL 注入和跨站、抗 DoS/DDoS端口掃描、數(shù)據(jù)包過濾、網(wǎng)絡(luò)地址換、安全審計等。由于國內(nèi)外在這一方面的相關(guān)技術(shù)非常成熟，因此，在本次系統(tǒng)整改總體設(shè)計中的是考慮如何將、防網(wǎng)關(guān)、網(wǎng)絡(luò)安全審、IDS、IPS、網(wǎng)有機(jī)地結(jié)合在一起，實現(xiàn)協(xié)同防護(hù)和聯(lián)動處理。12系統(tǒng)等級保護(hù)安全方案XX此外，對于不同安全等級系統(tǒng)之間的互連邊界，可根據(jù)依照流向的高低，部署或安全

21、與交換系統(tǒng)，并配置相應(yīng)的安全策略以實現(xiàn)對流向的。n安全通信網(wǎng)絡(luò)目前，在通信網(wǎng)絡(luò)安全方面，采用等技術(shù)實現(xiàn)的各類都可以很有效的解決這類問題，達(dá)到在滿足等級保護(hù)相關(guān)要求的同時，可靈活提高通信網(wǎng)絡(luò)安全性的效果。4.3. 總體網(wǎng)絡(luò)架構(gòu)設(shè)計網(wǎng)絡(luò)架構(gòu)整體設(shè)計如下：XX4.4.劃分說明的劃分是網(wǎng)絡(luò)防護(hù)的基礎(chǔ)，事實上每一個安全邊界所包含的區(qū)域都形成了一個安全域。這些區(qū)域具有不同的使命，具有不同的功能，分域保護(hù)的框架為明確各個域的安全等級奠定了基礎(chǔ)，流在交換過程中的安全性。在本項目中，將嚴(yán)格按照系統(tǒng)的重要性和網(wǎng)絡(luò)使用的邏輯特性劃分，將劃分如下確定的：l互聯(lián)網(wǎng)出口域，該區(qū)域說明如下：l專網(wǎng)出口域，該區(qū)域說明如下：l

22、終端接入域，該區(qū)域說明如下：l對外服務(wù)器域，該區(qū)域說明如下：該內(nèi)主要承載對外提供服務(wù)的服務(wù)器等，門戶前端服務(wù)器。l內(nèi)部服務(wù)器域，該區(qū)域說明如下：l數(shù)據(jù)域，該區(qū)域說明如下：l安全管理域，該區(qū)域說明如下：13系統(tǒng)等級保護(hù)安全方案XX5. 詳細(xì)方案設(shè)計技術(shù)部分5.1. 物理安全根據(jù) GB/T25070-2010系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求中物理安全的要求，應(yīng)從以下方面進(jìn)行：5.2. 網(wǎng)絡(luò)安全5.2.1.邊界技術(shù)根據(jù)系統(tǒng)安全等級保護(hù)基本要求，應(yīng)該在 XX各的邊界處部署，保證跨的都通過進(jìn)行管理。因此，在互聯(lián)網(wǎng)出口處、專網(wǎng)出口處和邊界部署下一代。規(guī)格設(shè)計：部署：下一代部署于互聯(lián)網(wǎng)出口，串行于網(wǎng)絡(luò)中。5.2

23、.2.防范技術(shù)根據(jù)等級保護(hù)基本要求，二級業(yè)務(wù)系統(tǒng)應(yīng)該在互聯(lián)網(wǎng)出口處實現(xiàn)防范功能，因此，在互聯(lián)網(wǎng)出口的下一代上啟用防御模塊非常有必要。規(guī)格設(shè)計：14名稱數(shù)量性能說明名稱數(shù)量性能說明下一代2系統(tǒng)等級保護(hù)安全方案XX部署：下一代部署于互聯(lián)網(wǎng)出口，串行于網(wǎng)絡(luò)中。5.2.3. 網(wǎng)絡(luò)防技術(shù)根據(jù)等級保護(hù)基本要求，二級業(yè)務(wù)系統(tǒng)應(yīng)該在互聯(lián)網(wǎng)出口處部署網(wǎng)絡(luò)層防，并保證與主機(jī)層防實現(xiàn)庫的異構(gòu)。因此，在互聯(lián)網(wǎng)出口的下一代上啟用防模塊非常有必要。規(guī)格設(shè)計：部署：下一代部署于互聯(lián)網(wǎng)出口，串行于網(wǎng)絡(luò)中。5.2.4. 網(wǎng)頁防篡改技術(shù)承載了 XX 等重要職責(zé)，在互聯(lián)網(wǎng)上，隨時會網(wǎng)頁被篡改及攻XX擊的，因此，在互聯(lián)網(wǎng)出口的下一代

24、上啟用網(wǎng)頁防篡改功能非常有必要。規(guī)格設(shè)計：15名稱數(shù)量性能說明名稱數(shù)量性能說明下一代網(wǎng)絡(luò)防模塊2下一代入侵防御模塊2系統(tǒng)等級保護(hù)安全方案XX部署：下一代部署于互聯(lián)網(wǎng)出口，串行于網(wǎng)絡(luò)中。5.2.5. 鏈路負(fù)載均衡技術(shù)根據(jù)等級保護(hù)基本要求，二級業(yè)務(wù)系統(tǒng)應(yīng)該在互聯(lián)網(wǎng)出口處進(jìn)行優(yōu)化，保證用戶訪問選擇最優(yōu)的鏈路。因此，部署一套專業(yè)的鏈路負(fù)載均衡非常有必要。規(guī)格設(shè)計：部署：鏈路負(fù)載均衡部署于互聯(lián)網(wǎng)出口，串行于網(wǎng)絡(luò)中。5.2.6. 上網(wǎng)行為管理技術(shù)根據(jù)等級保護(hù)基本要求，所有用戶互聯(lián)網(wǎng)需要部署上網(wǎng)行為管理系統(tǒng)，并保存 3的日志。因此，必須部署一套上網(wǎng)行為管理系統(tǒng)實現(xiàn)對內(nèi)部用戶互聯(lián)網(wǎng)的欣慰進(jìn)行、日志進(jìn)行。規(guī)格設(shè)

25、計：16名稱數(shù)量性能說明名稱數(shù)量性能說明鏈路負(fù)載均衡2下一代網(wǎng)頁防篡改模塊2系統(tǒng)等級保護(hù)安全方案XX部署設(shè)計：日志審旁路部署在交換上，實現(xiàn)全網(wǎng)的網(wǎng)絡(luò)行為的統(tǒng)一審計，收集網(wǎng)絡(luò)、主機(jī)系統(tǒng)等的運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等日志，并對收集到的日志進(jìn)行和關(guān)聯(lián)分析，并可根據(jù)審計的操作要求生成統(tǒng)計報表，方便和生成報告，為網(wǎng)絡(luò)追溯提供證據(jù)。5.2.7. 網(wǎng)絡(luò)安全審計用戶業(yè)務(wù)系統(tǒng)帶給我們的困擾以及諸多的安全隱患，必須部署一套日志審計系統(tǒng)利用實時跟蹤分析技術(shù)，從發(fā)起者、時間、對象、使用頻率各個角度，提供豐富的統(tǒng)計分析報告，幫助用戶在統(tǒng)一管理互聯(lián)網(wǎng)日志的同時，及時發(fā)現(xiàn)安全隱患，協(xié)助優(yōu)化網(wǎng)絡(luò)資源的使用。根據(jù)等級保護(hù)基

26、本要求，所有系統(tǒng)都需要部署日志審，并保存 3的日志，XX擁有龐大的網(wǎng)絡(luò)海量的，目前還沒有部署日志審。因此，必須部署一套日志審對全網(wǎng)行為進(jìn)行、日志進(jìn)行。規(guī)格設(shè)計：部署設(shè)計：17名稱數(shù)量性能說明日志審1上網(wǎng)行為管理系統(tǒng)1系統(tǒng)等級保護(hù)安全方案XX日志審旁路部署在交換上，實現(xiàn)全網(wǎng)的網(wǎng)絡(luò)行為的統(tǒng)一審計，收集網(wǎng)絡(luò)、主機(jī)系統(tǒng)等的運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等日志，并對收集到的日志進(jìn)行和關(guān)聯(lián)分析，并可根據(jù)審計的操作要求生成統(tǒng)計報表，方便和生成報告，為網(wǎng)絡(luò)追溯提供證據(jù)。5.3. 主機(jī)安全5.3.1. 數(shù)據(jù)庫安全審計通過部署數(shù)據(jù)庫審，實現(xiàn)對用戶行為、用戶及系統(tǒng)狀態(tài)加以審計，范圍覆蓋到每個用戶，從而把握數(shù)據(jù)庫系統(tǒng)的

27、整體安全。規(guī)格設(shè)計：部署設(shè)計：數(shù)據(jù)庫審計部署于數(shù)據(jù)庫前端交換機(jī)上，通過端口鏡像收集。5.3.2. 運(yùn)維堡壘主機(jī)對運(yùn)維的管理現(xiàn)狀進(jìn)行分析，我們認(rèn)為造成這種不安全現(xiàn)狀的是多方面的，總結(jié)起來主要有以下幾點：n各 IT 系立的帳戶管理體系造成管理的換亂，而的唯一性又恰恰是認(rèn)證、審計的依據(jù)和前提，因此的混亂實際上造成的混亂。n各 IT 系立管理，風(fēng)險分散在中，各個擊破大，這種管理方式造成了業(yè)務(wù)管理和安全之間的失衡。18名稱數(shù)量性能說明數(shù)據(jù)庫審計1系統(tǒng)等級保護(hù)安全方案XXn服務(wù)器或的物理安全和臨機(jī)安全通過門禁系統(tǒng)和錄像系統(tǒng)得以較解決，但是對他們的網(wǎng)絡(luò)缺少或欠缺力度，在帳號、認(rèn)證、授權(quán)、審計等各方面缺乏有效

28、的集中管理技術(shù)。目前，XX使用數(shù)量眾多的網(wǎng)絡(luò)、服務(wù)器主機(jī)來提供基礎(chǔ)網(wǎng)絡(luò)服務(wù)、運(yùn)行務(wù)、數(shù)據(jù)庫應(yīng)用、ERP 和協(xié)同工作群件等服務(wù)。由于和服務(wù)器眾多，系統(tǒng)管理員太大等因素，越權(quán)、誤操作、破壞等情況時有發(fā)生，這嚴(yán)重影響系統(tǒng)的運(yùn)行效能，另外的也有可能獲取系統(tǒng)權(quán)限，闖入部門內(nèi)部網(wǎng)絡(luò)，造成不可估量的損失。如何提高系統(tǒng)運(yùn)維管理水平，跟蹤服務(wù)器上用戶的操作行為，防止的和破壞，提供和審計依據(jù)，降低運(yùn)維成本，滿足相關(guān)標(biāo)準(zhǔn)要求，越來越成為系統(tǒng)關(guān)心的問題，因此 XX非常有必要部署一套運(yùn)維堡壘主機(jī)來實現(xiàn)賬戶的安全維護(hù)。規(guī)格設(shè)計：部署設(shè)計：運(yùn)維審部署在安全管理域，通過交換機(jī)的策略限定只能由堡壘主機(jī)內(nèi)控管理平臺直接服務(wù)器的維

29、護(hù)端口。維護(hù)對網(wǎng)絡(luò)、和服務(wù)器系統(tǒng)進(jìn)行維護(hù)時，首先以 Web 方式登錄運(yùn)維審，然后通過運(yùn)維審上展現(xiàn)的資源列表直接資源。5.3.3. 主機(jī)防技術(shù)5.3.4. 漏洞掃描XX網(wǎng)絡(luò)龐大、結(jié)構(gòu)復(fù)雜，部署的很多，由于不同部門用戶的計算機(jī)水平不同，19名稱數(shù)量性能說明運(yùn)維審11U 機(jī)架式結(jié)構(gòu)型4 個 10/100/1000BASE 自適應(yīng)電口1 個可擴(kuò)展插槽500G空間150 個主機(jī)/ 單電源系統(tǒng)等級保護(hù)安全方案XX大多的不知道對系統(tǒng)定期升級，維護(hù)也很難去網(wǎng)絡(luò)及漏洞需要升級，因此，部署一套漏洞掃描系統(tǒng)實時掃描整個網(wǎng)絡(luò)內(nèi)的漏洞非常有必要，對整個網(wǎng)絡(luò)的安全體系維護(hù)非常重要。規(guī)格設(shè)計：部署設(shè)計：在 XX安全管理部署

30、漏洞掃描，對整個網(wǎng)絡(luò)系統(tǒng)內(nèi)的定期進(jìn)行漏洞掃描，檢查安全隱患。5.4. 應(yīng)用安全根據(jù)等級保護(hù)的要求，二級業(yè)務(wù)系統(tǒng)必須加密傳輸，因此需要部署 SSL技術(shù)實現(xiàn)應(yīng)用系統(tǒng)的加密。規(guī)格設(shè)計：20名稱數(shù)量性能說明SSL1名稱數(shù)量性能說明漏洞掃描系統(tǒng)11U 機(jī)架式結(jié)構(gòu)4 個 1000BASE-T 電口口，320G空間單電源單個任務(wù)可包含 64 個 C 類網(wǎng)段，最大并發(fā)掃描 40 個 IP 地址：默認(rèn) 20 個最大并發(fā)掃描 75 個線程：默認(rèn) 50 個最大5 個掃描任務(wù)并發(fā)：默認(rèn) 3 個檢測漏洞數(shù)6000分布式部署中可以向上級服務(wù)器上傳掃描結(jié)果默認(rèn)含：1 年規(guī)則庫、漏洞庫升級系統(tǒng)等級保護(hù)安全方案XX部署設(shè)計：S

31、SL旁路部署于交換機(jī)上。5.5. 安全管理中心隨著網(wǎng)絡(luò)安全意識的增強(qiáng)、網(wǎng)絡(luò)安全建設(shè)工作的推進(jìn)，等級保護(hù)、分級保護(hù)和行業(yè)的信息安全管理等標(biāo)準(zhǔn)、規(guī)范的實施，越來越多的急需構(gòu)建管理平臺。鑒于其網(wǎng)絡(luò)規(guī)模、業(yè)務(wù)應(yīng)用和安全管理的實際情況，部分安全管理者發(fā)現(xiàn)與標(biāo)準(zhǔn) SOC 平臺的高靈活性和擴(kuò)展性相比，一款功能簡潔、部署方便、使用簡單、價格適宜的 SOC 平臺更能貼近其管理需求。根據(jù) XX系統(tǒng)的實際情況，我們認(rèn)為有必要部署一套安全管理平臺來更好的管理整個網(wǎng)絡(luò)系統(tǒng)。規(guī)格：部署設(shè)計：安全管理中心部署在安全管理域，通過網(wǎng)絡(luò)協(xié)議收集來自服務(wù)器、網(wǎng)絡(luò)和的日志進(jìn)行綜合分析，相關(guān)操作系統(tǒng)和數(shù)據(jù)庫的日志收集需要部署安全插件。

32、6. 詳細(xì)方案設(shè)計管理部分安全管理體系的作用是通過建立健全組織機(jī)構(gòu)、規(guī)章制度，以及通過安全管理、安全教育與培訓(xùn)和各項管理制度的有效執(zhí)行，來落實職責(zé)，確定行為規(guī)范，保證技術(shù)措施真正發(fā)揮效用，與技術(shù)體系共同保障安全策略的有效貫徹和落實。管理體系主要包括組織機(jī)構(gòu)、規(guī)章制度、安全、安全教育和培訓(xùn)等四個方面內(nèi)容。21名稱數(shù)量性能說明安全管理系統(tǒng)1含日志審計、管理、關(guān)聯(lián)分析、報表管理、監(jiān)視，含 key(Licence 介質(zhì)），可定制開發(fā)。200可管理，一個 License 對應(yīng) 1 個系統(tǒng)等級保護(hù)安全方案XX6.1. 總體安全方針與安全策略總體安全方針與安全策略是指導(dǎo)福建省財政廳所有工作的性文件，是安全決

33、策機(jī)構(gòu)對工作的決策和意圖的表述?？傮w安全方針與安全策略的作用在于統(tǒng)一對工作的認(rèn)識，規(guī)定的基本架構(gòu)，明確的根本目標(biāo)和原則。本次項目中深信服將協(xié)助福建省財政廳確定安全管理體系的層次及建立方式，明確各層次在安全管理體系中的職責(zé)以及安全策略，建立具有高可操作性的考核體系，以加強(qiáng)安全策略及各項管理制度的可落實性。我方為福建省財政廳設(shè)計的總體安全方針與安全策略將具備以下特性：n安全策略緊緊行業(yè)的發(fā)展戰(zhàn)略，符合福建省財政廳實際的需求，能保障與促進(jìn)化建設(shè)的順利進(jìn)行，避免理想化與不可操作性。n總體安全方針與安全策略中將明確闡述福建省財政廳所有化建設(shè)項目在規(guī)劃設(shè)計、開發(fā)建設(shè)、運(yùn)行維護(hù)和變更廢棄等各階段，應(yīng)遵循的總

34、體原則和要求。n安全策略在經(jīng)過福建省財政廳決策機(jī)構(gòu)批準(zhǔn)之后，將具備指導(dǎo)和規(guī)范的效力。n安全策略中將規(guī)定其自身的時效性，當(dāng)系統(tǒng)運(yùn)行環(huán)境發(fā)生變化時，我方將22系統(tǒng)等級保護(hù)安全方案XX協(xié)助福建省財政廳及時對總體安全策略進(jìn)行必要的調(diào)整，并將調(diào)整后的策略提交福建省財政廳決策機(jī)構(gòu)批準(zhǔn)。6.2.管理制度根據(jù)安全管理制度的基本要求制定各類管理規(guī)定、管理辦法和暫行規(guī)定。從安全策略主文檔中規(guī)定的安全各個方面所應(yīng)遵守的原則和指導(dǎo)性策略引出的具體管理規(guī)定、管理辦法和實施辦法，是具有可操作性，且必須得到有效推行和實施的制度。制定嚴(yán)格的制定與發(fā)布流程，方式，范圍等，制度需要統(tǒng)一格式并進(jìn)行有效版本；發(fā)布方式需要正式、有效并

35、注明發(fā)布范圍，對收進(jìn)行登記。領(lǐng)導(dǎo)小組負(fù)責(zé)定期組織相關(guān)部門和相關(guān)對安全管理制度體系的合理性和適用性進(jìn)行審定，定期或不定期對安全管理制度進(jìn)行評審和修訂，修訂不足及進(jìn)行改進(jìn)。6.3. 安全管理機(jī)構(gòu)根據(jù)基本要求設(shè)置安全管理機(jī)構(gòu)的組織形式和方式，明確崗位職責(zé)；設(shè)置安全管理崗位，設(shè)立系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等崗位，根據(jù)要求進(jìn)行配備，配備專職安全員；成立指導(dǎo)和管理工作的委員會或領(lǐng)導(dǎo)小組，其最高領(lǐng)導(dǎo)由主管領(lǐng)導(dǎo)委任或；制定文件明確安全管理機(jī)構(gòu)各個部門和崗位的職責(zé)、分工和技能要求。建立與審批制度；建立內(nèi)外部合作；定期進(jìn)行全面安全檢查，特別是系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等。6.4.安全管理安全管理主要

36、錄用、離崗、考核、教育培訓(xùn)等內(nèi)容。都的人事管理部門員管理，這里的安全管理主要指對位進(jìn)行的以的管理，例如對位的采取在錄用或上崗前進(jìn)行全面、嚴(yán)格的安全審查和技能考核，與位簽署協(xié)議，對離崗撤銷系統(tǒng)帳戶和相關(guān)權(quán)限等措施。23系統(tǒng)等級保護(hù)安全方案XX只有注重對安全管理的培養(yǎng)，提高其安全防范意識，才能做到安全有效的防范，因此需要對各類進(jìn)行安全意識教育、崗位技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn)。培訓(xùn)的內(nèi)容的方針、方面的基礎(chǔ)知識、安全技術(shù)、安全標(biāo)準(zhǔn)、崗位操作規(guī)程、最新的工作流程、相關(guān)的安全責(zé)任要求、法律責(zé)任和懲戒措施等。具體依據(jù)標(biāo)準(zhǔn)基本要求中安全管理，同時可以參照系統(tǒng)安全管理要求等。6.5. 系統(tǒng)建設(shè)管理系統(tǒng)建設(shè)管理的

37、重點是建設(shè)活動相關(guān)的過程管理，由于主要的建設(shè)活動是由服務(wù)方，如集成方、開發(fā)方、測評服務(wù)方等完成，運(yùn)營使用的主要工作是對之進(jìn)行管理，應(yīng)制定系統(tǒng)建設(shè)相關(guān)的管理制度，明確系統(tǒng)定級備案、方案設(shè)計、采購使用、開發(fā)、工程實施、驗收交付、等級測評、安全服務(wù)等活動的管理責(zé)任部門、具體的管理內(nèi)容和，并按照管理制度落實各項管理措施，完整保存相關(guān)的管理和過程文檔。具體依據(jù)標(biāo)準(zhǔn)基本要求建設(shè)管理。6.6. 系統(tǒng)運(yùn)維管理1、環(huán)境和資產(chǎn)安全管理制度環(huán)境計算機(jī)、網(wǎng)絡(luò)機(jī)房環(huán)境以及設(shè)置有網(wǎng)絡(luò)終端的辦公環(huán)境，明確環(huán)境安全管理的責(zé)任部門或責(zé)任人，加強(qiáng)對出入、來訪的，對有關(guān)物理、物品進(jìn)出和環(huán)境安全等方面作出規(guī)定。對重要區(qū)域設(shè)置門禁，或

38、使用等措施。資產(chǎn)介質(zhì)、設(shè)施、數(shù)據(jù)、文檔等，資產(chǎn)管理不等同于物資管理，而是從安全和系統(tǒng)角度對資產(chǎn)進(jìn)行管理，將資產(chǎn)作為系統(tǒng)的組成部分，按其在系統(tǒng)中的作用進(jìn)行管理。應(yīng)明確資產(chǎn)安全管理的責(zé)任部門或責(zé)任人，對資產(chǎn)進(jìn)行、標(biāo)識，編制與系統(tǒng)相關(guān)的資產(chǎn)、硬件資產(chǎn)等資產(chǎn)。具體依據(jù)標(biāo)準(zhǔn)基本要求運(yùn)維管理，同時可以參照系統(tǒng)安全管理要求等。2、和介質(zhì)安全管理制度明確配套設(shè)施、軟硬件管理、維護(hù)的責(zé)任部門或責(zé)任人，對系統(tǒng)的各種軟硬件24系統(tǒng)等級保護(hù)安全方案XX采購、發(fā)放、領(lǐng)用、維護(hù)和維修等過程進(jìn)行，對介質(zhì)的存放、使用、維護(hù)和銷毀等方面作出規(guī)定，加強(qiáng)對維修、敏感數(shù)據(jù)銷毀等過程的監(jiān)督。具體依據(jù)標(biāo)準(zhǔn)基本要求運(yùn)維管理，同時可以參照系

39、統(tǒng)安全管理要求等。3、日常運(yùn)行維護(hù)制度明確網(wǎng)絡(luò)、系統(tǒng)日常運(yùn)行維護(hù)的責(zé)任部門或責(zé)任人，對運(yùn)行管理中的日常操作、賬號管理、安全配置、日志管理、補(bǔ)丁升級、口令更新等過程進(jìn)行和管理；制訂操作管理、業(yè)務(wù)應(yīng)用操作管理、變更和重用管理、交換管理相應(yīng)的管理制度；制定與系統(tǒng)安全管理相配套的規(guī)范和操作規(guī)程并落實執(zhí)行；正確實施為系統(tǒng)可靠運(yùn)行而采取的各種檢測、審計、分析、備份及容錯等和措施，對運(yùn)行安全進(jìn)行監(jiān)督檢查。具體依據(jù)標(biāo)準(zhǔn)基本要求運(yùn)維管理，同時可以參照系統(tǒng)安全管理要求等。4、集中安全管理制度第二級以上系統(tǒng)應(yīng)按照統(tǒng)一的安全策略、安全管理要求，統(tǒng)一管理系統(tǒng)的安全運(yùn)行，進(jìn)行安全機(jī)制的配置與管理，對安全配置、代碼、補(bǔ)丁升

40、級、安全審計等進(jìn)行管理，對與安全有關(guān)的進(jìn)行匯集與分析，對安全機(jī)制進(jìn)行集中管理。具體依據(jù)標(biāo)準(zhǔn)基本要求運(yùn)維管理，同時可以參照系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求和系統(tǒng)安全管理要求等。處置與應(yīng)急響應(yīng)制度按照有關(guān)標(biāo)準(zhǔn)規(guī)定，確定的等級。結(jié)合系統(tǒng)安全保護(hù)等級，制定分級應(yīng)急處置預(yù)案，明確應(yīng)急處置策略，落實應(yīng)急指揮部門、執(zhí)行部門和技術(shù)支撐部門，建立應(yīng)急協(xié)調(diào)機(jī)制。落實安全報告制度，第二級以上系統(tǒng)發(fā)生較大、重大、特別安全時，運(yùn)營使用按照相應(yīng)預(yù)案開展應(yīng)急處置，并及時向受理備案的報告。組織應(yīng)急技術(shù)支撐力量和隊伍，按照應(yīng)急預(yù)案定期組織開展應(yīng)急演練。具體依據(jù)標(biāo)準(zhǔn)基本要求運(yùn)維管理，同時可以參照分級指南和管理指南等。6、備份制度要對

41、第二級以上系統(tǒng)采取備份措施，防止事故、發(fā)生。識別需要定期備份的重要業(yè)務(wù)、系統(tǒng)數(shù)據(jù)及系統(tǒng)等，制定數(shù)據(jù)的備份策略和恢復(fù)策略，建立備份與恢復(fù)管理相關(guān)的安全管理制度。25系統(tǒng)等級保護(hù)安全方案XX具體依據(jù)標(biāo)準(zhǔn)基本要求運(yùn)維管理和系統(tǒng)恢復(fù)規(guī)范。7、安全監(jiān)測制度開展系統(tǒng)實時安全監(jiān)測，實現(xiàn)對物理環(huán)境、通信線路、主機(jī)、網(wǎng)絡(luò)、用戶行為和業(yè)務(wù)應(yīng)用等的監(jiān)測和，及時發(fā)現(xiàn)故障、誤用和誤操作等安全，以便及時對安全進(jìn)行響應(yīng)與處置。具體依據(jù)標(biāo)準(zhǔn)基本要求運(yùn)維管理。8、其他制度對系統(tǒng)運(yùn)行維護(hù)過程中的其它活動，如系統(tǒng)變更、使用等進(jìn)行和管理。按管理部門的規(guī)定，對系統(tǒng)中算法和密鑰的使用進(jìn)行分級管理。6.7. 安全管理制度匯總制定安全檢查制

42、度，明確檢查的內(nèi)容、方式、要求等，檢查各項制度、措施的落實情況，并不斷完善。定期對系統(tǒng)安全狀況進(jìn)行自查，第二級系統(tǒng)每兩年自查一次，第三級系統(tǒng)每年自查一次，第四級系統(tǒng)每半年自查一次。經(jīng)自查，系統(tǒng)安全狀況未達(dá)到安全保護(hù)等級要求的，應(yīng)當(dāng)進(jìn)一步開展。具體依據(jù)標(biāo)準(zhǔn)基本要求中安全管理機(jī)構(gòu)，同時可以參照系統(tǒng)安全管理要求等。最終提交安全制度但不限于以：總體安全策略（組織、流程、策略、技術(shù)）崗位安全責(zé)任制度nn第安全管理制度n系統(tǒng)日常安全管理工作制度系統(tǒng)安全評估管理辦法機(jī)房建設(shè)運(yùn)行標(biāo)準(zhǔn)安全區(qū)域劃分及管理規(guī)定nnnn管理區(qū)域制度n系統(tǒng)建設(shè)管理制度入網(wǎng)安全管理制度nn系統(tǒng)補(bǔ)丁管理制度n備份與恢復(fù)管理制度n26系統(tǒng)等

43、級保護(hù)安全方案XXn 賬號和口令及權(quán)限管理制度n 介質(zhì)管理n 加密技術(shù)使用管理辦法n 應(yīng)急預(yù)案管理制度n 安全報告和處置管理制度n 安全審計管理7. 咨詢服務(wù)和系統(tǒng)測評7.1. 系統(tǒng)定級服務(wù)協(xié)助用戶，依據(jù)系統(tǒng)安全等級保護(hù)定級指南，確定系統(tǒng)的安全保護(hù)等級，準(zhǔn)備定級備案表和定級報告，協(xié)助用戶向所在地區(qū)的辦理備案手續(xù)。7.2. 風(fēng)險評估和安全加固服務(wù)通過漏洞掃描、配置核查和滲透測試等技術(shù)發(fā)現(xiàn)系統(tǒng)中的漏洞，這些漏洞不能由安全解決，只能有安全加固解決。7.2.1. 漏洞掃描利用業(yè)界領(lǐng)先的多種掃描工具檢查整個網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)的主機(jī)系統(tǒng)與數(shù)據(jù)庫系統(tǒng)的漏洞情況，并用人工對掃描結(jié)果進(jìn)行誤報分析，結(jié)果整理。目標(biāo)是發(fā)掘

44、網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)的安全漏洞，但不局限于：操作系統(tǒng)漏洞、網(wǎng)絡(luò)漏洞、中間件漏洞、數(shù)據(jù)庫漏洞、脆弱賬戶等，并提出漏洞修補(bǔ)建議7.2.2. 滲透測試模擬的真實對系統(tǒng)和網(wǎng)絡(luò)進(jìn)行非破壞性質(zhì)的性測試，旨在發(fā)現(xiàn)目標(biāo)系統(tǒng)這里，所有的滲透測試行為將在客戶的書面明確和監(jiān)督下進(jìn)行。通過滲透測試全面檢測系統(tǒng)中的系統(tǒng)（）直接在互聯(lián)網(wǎng)上的安全隱患，并提供實際可行的27系統(tǒng)等級保護(hù)安全方案XX安全修復(fù)建議。7.2.3. 配置核查通過配置核查工具和安全人工檢查想結(jié)合的方式，逐項檢查系統(tǒng)的各項配置和運(yùn)行狀態(tài)，評估對象應(yīng)各主機(jī)的操作系統(tǒng)、網(wǎng)絡(luò)和數(shù)據(jù)庫，并出具評估報告。7.2.4. 安全加固根據(jù)漏洞掃描、配置核查和滲透測試的結(jié)果，對用戶

45、提供安全加固建議（主機(jī)安全加固、網(wǎng)絡(luò)安全加固服務(wù)安全加固優(yōu)化服務(wù)、數(shù)據(jù)庫系統(tǒng)安全加固服務(wù)、管理制度完善），并對具體的安全加固提供指導(dǎo)咨詢。主機(jī)安全加固主要對用戶所有主機(jī)系統(tǒng)（含虛擬機(jī)）進(jìn)行安全加固，內(nèi)容如下:n檢查主機(jī)系統(tǒng)的補(bǔ)丁管理；n賬號及口令策略；n網(wǎng)絡(luò)與服務(wù)n文件系統(tǒng)；n日志審核；n策略；n系統(tǒng)鉤子；n木馬、后門及 rookit；n安全性增強(qiáng)；網(wǎng)絡(luò)安全加固主要對用戶所涉及的網(wǎng)絡(luò)進(jìn)行安全加固，內(nèi)容如下:n網(wǎng)絡(luò)的補(bǔ)丁管理及版本；n賬號及口令策略；n；n網(wǎng)絡(luò)與服務(wù)；n日志審核加固28系統(tǒng)等級保護(hù)安全方案XX是否配置最優(yōu)，實現(xiàn)其最優(yōu)功能和性能，保證網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行、是否漏洞或后門、自身的保護(hù)機(jī)

46、制是否實現(xiàn)、檢查的補(bǔ)丁管理、賬號及口令策略、網(wǎng)絡(luò)與服務(wù)、日志審核，主要內(nèi)容如下：n關(guān)閉不必要系統(tǒng)服務(wù)n開啟系統(tǒng)各項審計功能n配置賬號、組策略n配置表相應(yīng)的n配置文件系統(tǒng)的權(quán)限n評估新補(bǔ)丁對操作系統(tǒng)及應(yīng)用系統(tǒng)的影響，在不正常使用的情況下，升級系統(tǒng)補(bǔ)丁n升級防的版本數(shù)據(jù)庫系統(tǒng)安全加固數(shù)據(jù)庫系統(tǒng)主要從系統(tǒng)版本、用戶賬號、口令管理、傳輸情況、文件系統(tǒng)、日志審核等方面進(jìn)行安全加固，主要內(nèi)容如下：n數(shù)據(jù)庫組件安裝優(yōu)化n適度應(yīng)用數(shù)據(jù)庫補(bǔ)丁程序n數(shù)據(jù)庫服務(wù)運(yùn)行權(quán)限n數(shù)據(jù)庫默認(rèn)配置無用賬號n程序包權(quán)限設(shè)置n登錄認(rèn)證方式設(shè)置n傳輸加密協(xié)議配置n設(shè)置客戶端連接 IP 限制策略n禁用 Extproc 功能n不必要的過

47、程n增強(qiáng)數(shù)據(jù)庫日志審計功能7.2.5. 安全管理制度編寫為用戶完成編寫管理制度，并保障該制度適合客戶方的需求，以及便于落地。具體制度詳細(xì)見詳細(xì)方案設(shè)計管理部分。29系統(tǒng)等級保護(hù)安全方案XX7.2.6. 安全培訓(xùn)根據(jù)用戶要求，除了提品方面培訓(xùn)，將著重定制化與日常工作相關(guān)的安全培訓(xùn),具體的培訓(xùn)內(nèi)容將根據(jù)客戶提出的要求具體執(zhí)行。7.3. 系統(tǒng)測評服務(wù)為用戶選擇滿家要求的測評機(jī)構(gòu)（在本省等包辦推薦目錄下且在本省備案的測評機(jī)構(gòu)），完成對用戶系統(tǒng)的等級保護(hù)測評。8. 項目預(yù)算與配置8.1. 項目預(yù)算30序號數(shù)量性能配置要求單價（萬元）小計1.120202.3.4.5.系統(tǒng)定級服務(wù)1具有16.風(fēng)險評估和安全加固服務(wù)1107.系統(tǒng)測評服務(wù)188.總價合計（大寫）：系統(tǒng)等級保護(hù)安全方案XX8.2. 利舊使用說明8.3. 新增詳細(xì)要求流量管理系統(tǒng)31流量管理系統(tǒng)功能要求部署模式支持網(wǎng)關(guān)、網(wǎng)橋、單臂、雙單 署模式，滿足不同網(wǎng)絡(luò)環(huán)境下 的順利上架。要求在單臂、雙單 署模式下同樣可實現(xiàn)流量管理功能，譬如對 P2P 流量進(jìn)行封堵和限流，而非僅實現(xiàn)行為審計、內(nèi)容審計功能。支持單臂、雙單署模式下通過 W、CDP+PBR 等協(xié)議，當(dāng)因斷電、網(wǎng)口宕等情況實現(xiàn)自動切換維持業(yè)務(wù)可持續(xù)應(yīng)用識別內(nèi)置不少