信息安全防護(hù)

英大支付項(xiàng)目信息系統(tǒng)建設(shè)

總體方案匯報(bào)

信息安全防護(hù)

安全防護(hù)需求安全防護(hù)框架一、安全防護(hù)需求與整體框架安全防護(hù)原則防護(hù)范圍和目標(biāo)系統(tǒng)概況數(shù)據(jù)中心內(nèi)網(wǎng)業(yè)務(wù)應(yīng)用系統(tǒng)呼叫中心系統(tǒng)、大系統(tǒng)、總部營銷稽查監(jiān)控系統(tǒng)、電費(fèi)充值卡系統(tǒng)能效服務(wù)管理系統(tǒng)電動汽車充換電運(yùn)營管理系統(tǒng)等外網(wǎng)業(yè)務(wù)應(yīng)用系統(tǒng)智能服務(wù)網(wǎng)絡(luò)統(tǒng)一接入平臺整體建設(shè)情況總部數(shù)據(jù)中心內(nèi)網(wǎng)業(yè)務(wù)應(yīng)用系統(tǒng)外網(wǎng)業(yè)務(wù)應(yīng)用系統(tǒng)統(tǒng)一接入平臺2統(tǒng)一接入平臺呼叫中心平臺分為三部分：坐席終端、接入系統(tǒng)（包括CTI接入設(shè)備、CTI服務(wù)器、IVR服務(wù)器等）、呼叫中心業(yè)務(wù)系統(tǒng)?？偛亢艚袠I(yè)務(wù)分：自用呼叫服務(wù)：使用業(yè)務(wù)應(yīng)用系統(tǒng)和數(shù)據(jù)，部署在信息內(nèi)網(wǎng)；外包呼叫服務(wù)：外包客戶業(yè)務(wù)應(yīng)用網(wǎng)絡(luò)呼叫服務(wù)：通過網(wǎng)絡(luò)途徑（eMail、WebChart）實(shí)時互動，使用智能服務(wù)網(wǎng)站。一、安全防護(hù)需求與整體框架安全防護(hù)需求安全防護(hù)框架安全防護(hù)原則防護(hù)范圍和目標(biāo)系統(tǒng)概況自用呼叫服務(wù)外包呼叫服務(wù)網(wǎng)絡(luò)呼叫服務(wù)3安全防護(hù)范圍對數(shù)據(jù)中心的安全防護(hù)；對中心內(nèi)網(wǎng)業(yè)務(wù)應(yīng)用系統(tǒng)的安全防護(hù)；對中心外網(wǎng)業(yè)務(wù)應(yīng)用系統(tǒng)的安全防護(hù)；對總部統(tǒng)一接入平臺的安全防護(hù)。安全防護(hù)目標(biāo)保證中心信息系統(tǒng)滿足國家信息安全等級保護(hù)的要求，滿足公司“雙網(wǎng)雙機(jī)、分區(qū)分域、等級保護(hù)、多層防御”的信息安全防護(hù)體系要求；確保中心內(nèi)、外網(wǎng)業(yè)務(wù)應(yīng)用系統(tǒng)的安全穩(wěn)定運(yùn)行和業(yè)務(wù)數(shù)據(jù)的安全。保證應(yīng)用系統(tǒng)可抵御惡意人員、病毒、惡意代碼等造成的攻擊與破壞；保證業(yè)務(wù)數(shù)據(jù)在生成、存儲、傳輸和使用等過程中的安全，防范對信息系統(tǒng)資源的非授權(quán)訪問；保證中心的業(yè)務(wù)連續(xù)性。一、安全防護(hù)需求與整體框架安全防護(hù)需求安全防護(hù)框架安全防護(hù)原則防護(hù)范圍和目標(biāo)系統(tǒng)概況4遵循公司整體安全防護(hù)體系遵循公司現(xiàn)有的整體信息安全防護(hù)體系，充分利用公司信息網(wǎng)現(xiàn)有安全防護(hù)措施。等級防護(hù)依據(jù)國家信息安全等級保護(hù)制度，遵循國家、行業(yè)主管部門對相應(yīng)等級信息系統(tǒng)的安全等級保護(hù)要求進(jìn)行設(shè)計(jì)和建設(shè)。高等級防護(hù)與整體防護(hù)相結(jié)合在對中心各業(yè)務(wù)應(yīng)用系統(tǒng)定級的基礎(chǔ)上，按照高等級防護(hù)原則進(jìn)行整體安全防護(hù)設(shè)計(jì)。綜合防護(hù)、縱深防御按照“分區(qū)、分域、分級”的防護(hù)方針，從分區(qū)邊界、通信網(wǎng)絡(luò)、主機(jī)系統(tǒng)、應(yīng)用系統(tǒng)四個層次，采取綜合安全防護(hù)措施，通過邊界縱深防御，實(shí)現(xiàn)重點(diǎn)保護(hù)、分層防護(hù)。面向業(yè)務(wù)應(yīng)用根據(jù)業(yè)務(wù)應(yīng)用特點(diǎn)和應(yīng)用模式分析其面臨的安全風(fēng)險(xiǎn)，確定其安全防護(hù)需求，提出相應(yīng)的安全防護(hù)策略和措施。風(fēng)險(xiǎn)管理，適度安全在安全風(fēng)險(xiǎn)分析的基礎(chǔ)上進(jìn)行安全防護(hù)設(shè)計(jì)，在保證系統(tǒng)和數(shù)據(jù)安全的基礎(chǔ)上，盡可能減少對系統(tǒng)應(yīng)用模式、系統(tǒng)功能和性能的影響。一、安全防護(hù)需求與整體框架安全防護(hù)需求安全防護(hù)框架安全防護(hù)原則防護(hù)范圍和目標(biāo)系統(tǒng)概況5安全防護(hù)需求安全防護(hù)框架安全防護(hù)原則防護(hù)范圍和目標(biāo)一、安全防護(hù)需求與整體框架系統(tǒng)概況61）來自公司內(nèi)部惡意人員的攻擊；2）來自信息內(nèi)網(wǎng)的惡意代碼（病毒、蠕蟲、木馬等）的攻擊；3）支撐系統(tǒng)運(yùn)行的基礎(chǔ)設(shè)施故障，導(dǎo)致系統(tǒng)不能正常運(yùn)行；4）系統(tǒng)運(yùn)維人員的誤操作、違規(guī)操作；5）系統(tǒng)合法用戶的非授權(quán)訪問、誤操作等。各系統(tǒng)面臨的信息安全風(fēng)險(xiǎn)1）來自公司內(nèi)部惡意人員的攻擊；2）支撐數(shù)據(jù)中心運(yùn)行的基礎(chǔ)設(shè)施故障，導(dǎo)致系統(tǒng)不能正常運(yùn)行；3）數(shù)據(jù)中心運(yùn)維人員的誤操作、違規(guī)操作；4）系統(tǒng)合法用戶的非授權(quán)訪問、誤操作等。數(shù)據(jù)中心內(nèi)網(wǎng)業(yè)務(wù)應(yīng)用系統(tǒng)1） 來自互聯(lián)網(wǎng)的攻擊，包括DDoS攻擊、網(wǎng)頁篡改、SQL注入、釣魚網(wǎng)站等；2） 來自互聯(lián)網(wǎng)的惡意代碼攻擊，包括病毒、蠕蟲傳播，網(wǎng)頁掛馬等；3） 支撐系統(tǒng)運(yùn)行的基礎(chǔ)設(shè)施故障，導(dǎo)致系統(tǒng)不能正常運(yùn)行；4） 網(wǎng)站運(yùn)維人員對網(wǎng)站系統(tǒng)的誤操作和非授權(quán)操作。外網(wǎng)業(yè)務(wù)應(yīng)用系統(tǒng)安全防護(hù)需求安全防護(hù)框架安全防護(hù)原則防護(hù)范圍和目標(biāo)一、安全防護(hù)需求與整體框架安全等級防護(hù)需求安全風(fēng)險(xiǎn)防護(hù)需求系統(tǒng)概況1） 座席終端數(shù)量龐大，管理復(fù)雜，增加了惡意代碼傳播的風(fēng)險(xiǎn)；2） 自用座席、外包座席、網(wǎng)絡(luò)座席終端混用，導(dǎo)致病毒傳播、數(shù)據(jù)泄漏；3） 來自互聯(lián)網(wǎng)的攻擊和惡意代碼攻擊；4） CTI接入設(shè)備受到攻擊，不能正常運(yùn)行，影響電話呼叫業(yè)務(wù)；5） 統(tǒng)一接入平臺受攻擊能影響其它業(yè)務(wù)應(yīng)用系統(tǒng)和數(shù)據(jù)；6） 平臺支撐系統(tǒng)不能正常運(yùn)行；7） 系統(tǒng)運(yùn)維人員的誤操作和非授權(quán)操作。統(tǒng)一接入平臺7信息安全風(fēng)險(xiǎn)防護(hù)需求加強(qiáng)分區(qū)管理：根據(jù)數(shù)據(jù)中心、內(nèi)網(wǎng)業(yè)務(wù)應(yīng)用系統(tǒng)、外網(wǎng)業(yè)務(wù)應(yīng)用系統(tǒng)和統(tǒng)一接入平臺等業(yè)務(wù)的應(yīng)用特點(diǎn)和需求，合理劃分網(wǎng)絡(luò)分區(qū)，在分區(qū)邊界部署網(wǎng)絡(luò)訪問控制設(shè)備、網(wǎng)絡(luò)入侵防范、網(wǎng)絡(luò)安全審計(jì)等安全防護(hù)措施，實(shí)現(xiàn)網(wǎng)絡(luò)縱深防御；加強(qiáng)內(nèi)、外網(wǎng)隔離控制：根據(jù)內(nèi)、外網(wǎng)業(yè)務(wù)需求，將業(yè)務(wù)應(yīng)用系統(tǒng)和呼叫中心應(yīng)用系統(tǒng)、座席電腦終端分別部署在信息內(nèi)、外網(wǎng)，按照公司安全防護(hù)要求在信息內(nèi)、外網(wǎng)間部署邏輯強(qiáng)隔離設(shè)備；加強(qiáng)對互聯(lián)網(wǎng)攻擊的防范：對提供互聯(lián)網(wǎng)服務(wù)的智能服務(wù)網(wǎng)站，針對互聯(lián)網(wǎng)攻擊的主要方式和特點(diǎn)，采取有效的網(wǎng)絡(luò)攻擊和惡意代碼防護(hù)等安全措施；加強(qiáng)數(shù)據(jù)安全防護(hù)：將數(shù)據(jù)中心作為防護(hù)重點(diǎn)，通過物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用與數(shù)據(jù)、管理等方面的安全措施，保證數(shù)據(jù)中心的數(shù)據(jù)安全；加強(qiáng)對座席電腦終端的安全管理：對座席電腦終端，嚴(yán)格限制其網(wǎng)絡(luò)接入，加強(qiáng)其用戶登錄、外設(shè)和移動存儲設(shè)備使用、軟件安裝等行為的管理，防止通過座席電腦終端發(fā)起的網(wǎng)絡(luò)攻擊和惡意代碼傳播，防止座席人員利用電腦終端進(jìn)行的違規(guī)操作和誤操作；加強(qiáng)業(yè)務(wù)連續(xù)性保障：通過物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用與數(shù)據(jù)的冗余設(shè)計(jì)和備份措施，提高中心信息系統(tǒng)的可靠性和可用性。加強(qiáng)系統(tǒng)建設(shè)和運(yùn)維過程中的安全管控。安全防護(hù)需求安全防護(hù)框架安全防護(hù)原則防護(hù)范圍和目標(biāo)一、安全防護(hù)需求與整體框架安全等級防護(hù)需求安全風(fēng)險(xiǎn)防護(hù)需求系統(tǒng)概況8二、安全技術(shù)方案根據(jù)業(yè)務(wù)應(yīng)用劃分為五大分區(qū)業(yè)務(wù)連續(xù)性基礎(chǔ)環(huán)境安全應(yīng)用與數(shù)據(jù)安全分區(qū)與邊界安全9數(shù)據(jù)區(qū)：

部署數(shù)據(jù)中心的存儲系統(tǒng)和設(shè)備。與內(nèi)網(wǎng)應(yīng)用區(qū)、外網(wǎng)應(yīng)用區(qū)的系統(tǒng)有實(shí)時數(shù)據(jù)訪問需求。內(nèi)網(wǎng)應(yīng)用區(qū)：

部署公司內(nèi)部業(yè)務(wù)服務(wù)的應(yīng)用系統(tǒng)（業(yè)務(wù)應(yīng)用系統(tǒng)、大系統(tǒng)、總部營銷稽查監(jiān)控系統(tǒng)、電費(fèi)充值卡系統(tǒng)等）。外網(wǎng)應(yīng)用區(qū)：部署提供互聯(lián)網(wǎng)服務(wù)的應(yīng)用系統(tǒng)（智能服務(wù)網(wǎng)站、郵件服務(wù)器等）。

設(shè)置獨(dú)立的外包應(yīng)用區(qū)，部署外包客戶應(yīng)用系統(tǒng)。內(nèi)網(wǎng)呼叫中心區(qū)：

部署公司自用的接入系統(tǒng)和座席終端；內(nèi)網(wǎng)呼叫中心區(qū)需要訪問內(nèi)網(wǎng)應(yīng)用區(qū)的業(yè)務(wù)應(yīng)用系統(tǒng)。外網(wǎng)呼叫中

心區(qū)：

部署外包服務(wù)接入系統(tǒng)、外包座席終端和網(wǎng)絡(luò)座席終端。邊界劃分網(wǎng)絡(luò)分區(qū)安全域劃分邊界安全防護(hù)信息內(nèi)網(wǎng)縱向邊界3信息內(nèi)外網(wǎng)邊界2二、安全技術(shù)方案業(yè)務(wù)連續(xù)性基礎(chǔ)環(huán)境安全應(yīng)用與數(shù)據(jù)安全分區(qū)與邊界安全10第一層邊界(公共網(wǎng)絡(luò)邊界)互聯(lián)網(wǎng)邊界（1）PSTN接入邊界（6）第二層邊界(局域網(wǎng)邊界)信息內(nèi)外網(wǎng)邊界（2）信息內(nèi)網(wǎng)縱向邊界（3）第三層邊界(子網(wǎng)間邊界)信息內(nèi)網(wǎng)域邊界（4）信息外網(wǎng)域邊界（5）域邊界分為分區(qū)邊界和系統(tǒng)域邊界兩層。

自外向內(nèi)劃分為三層、六類邊界1互聯(lián)網(wǎng)邊界6PSTN接入邊界邊界劃分網(wǎng)絡(luò)分區(qū)安全域劃分邊界安全防護(hù)5外網(wǎng)域邊界4內(nèi)網(wǎng)域邊界二、安全技術(shù)方案分區(qū)安全域系統(tǒng)數(shù)據(jù)區(qū)三級系統(tǒng)域數(shù)據(jù)中心內(nèi)網(wǎng)

應(yīng)用區(qū)三級系統(tǒng)域業(yè)務(wù)應(yīng)用系統(tǒng)、大系統(tǒng)、

總部稽查監(jiān)控系統(tǒng)、電費(fèi)充值卡系統(tǒng)等二級系統(tǒng)域服務(wù)中心OA等外網(wǎng)

應(yīng)用區(qū)三級系統(tǒng)域智能服務(wù)網(wǎng)站三級系統(tǒng)域外包客戶業(yè)務(wù)系統(tǒng)內(nèi)網(wǎng)

座席區(qū)三級系統(tǒng)域內(nèi)網(wǎng)CTI接入系統(tǒng)終端域座席終端(自用座席)外網(wǎng)

座席區(qū)三級系統(tǒng)域外網(wǎng)CTI接入系統(tǒng)終端域座席終端(外包座席、網(wǎng)絡(luò)座席)業(yè)務(wù)連續(xù)性基礎(chǔ)環(huán)境安全應(yīng)用與數(shù)據(jù)安全分區(qū)與邊界安全11邊界劃分網(wǎng)絡(luò)分區(qū)安全域劃分邊界安全防護(hù)二、安全技術(shù)方案邊界劃分網(wǎng)絡(luò)分區(qū)安全域劃分邊界安全防護(hù)邊界分類邊界劃分邊界防護(hù)措施PSTN接入邊界接入系統(tǒng)與PSTN網(wǎng)絡(luò)間邊界在CTI接入設(shè)備與接入系統(tǒng)之間部署硬件防火墻網(wǎng)關(guān)信息內(nèi)外網(wǎng)邊界與信息外網(wǎng)間邊界部署邏輯強(qiáng)隔離設(shè)備信息內(nèi)網(wǎng)縱向邊界與總部、省公司信息內(nèi)網(wǎng)間邊界部署硬件防火墻網(wǎng)關(guān)、IDS/IPS設(shè)備信息內(nèi)網(wǎng)域邊界數(shù)據(jù)區(qū)、應(yīng)用區(qū)、座席區(qū)間邊界數(shù)據(jù)區(qū)、應(yīng)用區(qū)邊界部署硬件防火墻網(wǎng)關(guān)應(yīng)用區(qū)三級系統(tǒng)域與二級系統(tǒng)域間邊界劃分VLAN進(jìn)行隔離。三級系統(tǒng)域中根據(jù)應(yīng)用分為若干個VLAN。CTI接入系統(tǒng)域與終端域間邊界劃分VLAN進(jìn)行隔離。其中終端域根據(jù)業(yè)務(wù)需要分為若干個VLAN。內(nèi)網(wǎng)邊界安全防護(hù)業(yè)務(wù)連續(xù)性基礎(chǔ)環(huán)境安全應(yīng)用與數(shù)據(jù)安全分區(qū)與邊界安全12二、安全技術(shù)方案邊界分類邊界劃分邊界防護(hù)措施互聯(lián)網(wǎng)邊界互聯(lián)網(wǎng)接入邊界部署硬件防火墻網(wǎng)關(guān)、IDS/IPS設(shè)備、防DDOS攻擊網(wǎng)關(guān)、WAF設(shè)備PSTN接入邊界接入系統(tǒng)與PSTN網(wǎng)絡(luò)間邊界在CTI接入設(shè)備與接入系統(tǒng)之間部署硬件防火墻網(wǎng)關(guān)外網(wǎng)域邊界應(yīng)用區(qū)、座席區(qū)間邊界通過劃分VLAN隔離。網(wǎng)站系統(tǒng)域邊界采用硬件防火墻網(wǎng)關(guān)隔離（與互聯(lián)網(wǎng)防火墻異構(gòu)）；根據(jù)應(yīng)用需要分為多個VLAN。CTI接入系統(tǒng)域與終端域間邊界外包接入系統(tǒng)、外包座席、網(wǎng)絡(luò)座席分別劃分為獨(dú)立的VLAN；外包座席、網(wǎng)絡(luò)座席可分為多個VLAN。外網(wǎng)邊界安全防護(hù)業(yè)務(wù)連續(xù)性基礎(chǔ)環(huán)境安全應(yīng)用與數(shù)據(jù)安全分區(qū)與邊界安全13邊界劃分網(wǎng)絡(luò)分區(qū)安全域劃分邊界安全防護(hù)二、安全技術(shù)方案業(yè)務(wù)連續(xù)性基礎(chǔ)環(huán)境安全應(yīng)用與數(shù)據(jù)安全分區(qū)與邊界安全統(tǒng)一接入平臺邊界分類邊界防護(hù)措施信息內(nèi)外網(wǎng)邊界部署邏輯強(qiáng)隔離設(shè)備，確保信息內(nèi)、外網(wǎng)邏輯強(qiáng)隔離。PSTN接入邊界內(nèi)網(wǎng)/外網(wǎng)：在CTI接入設(shè)備與接入系統(tǒng)之間分別部署硬件防火墻網(wǎng)關(guān)呼叫中心區(qū)與應(yīng)用區(qū)間邊界應(yīng)用區(qū)邊界部署硬件防火墻網(wǎng)關(guān)，加強(qiáng)對應(yīng)用系統(tǒng)的安全防護(hù)。座席終端通過劃分VLAN隔離：外網(wǎng)：外包CTI接入系統(tǒng)、外包座席、網(wǎng)絡(luò)座席分別劃分為獨(dú)立的VLAN；內(nèi)網(wǎng)：CTI接入系統(tǒng)、自用座席分別劃分為獨(dú)立的VLAN；根據(jù)業(yè)務(wù)部門劃分等需求，對座席可進(jìn)一步劃分VLAN。14邊界劃分網(wǎng)絡(luò)分區(qū)安全域劃分邊界安全防護(hù)二、安全技術(shù)方案業(yè)務(wù)連續(xù)性基礎(chǔ)環(huán)境安全應(yīng)用與數(shù)據(jù)安全分區(qū)與邊界安全網(wǎng)站防護(hù)基本防護(hù)項(xiàng)目安全防護(hù)措施安全防護(hù)效果應(yīng)用和數(shù)據(jù)安全應(yīng)用系統(tǒng)安全機(jī)制在應(yīng)用系統(tǒng)中實(shí)現(xiàn)用戶管理、身份鑒別、訪問控制、安全審計(jì)、數(shù)據(jù)安全等要求。按系統(tǒng)等級實(shí)現(xiàn)等保三級系統(tǒng)要求。代碼安全組織對系統(tǒng)設(shè)計(jì)和代碼的安全審查；采用源代碼安全檢測工具對代碼進(jìn)行安全分析和評估保證軟件系統(tǒng)設(shè)計(jì)、代碼實(shí)現(xiàn)層面的安全性。系統(tǒng)安全配置在系統(tǒng)上線前進(jìn)行全面、深入的安全檢測和安全配置加固保證系統(tǒng)賬號、密碼、權(quán)限、加密、審計(jì)等安全機(jī)制有效配置、合理利用數(shù)據(jù)安全數(shù)據(jù)傳輸：采用安全傳輸協(xié)議（如SSL）或鏈路安全加密設(shè)備（如VPN網(wǎng)關(guān)）數(shù)據(jù)存儲：對服務(wù)器和數(shù)據(jù)庫中的敏感數(shù)據(jù)進(jìn)行加密存儲；采用文件系統(tǒng)和操作系統(tǒng)的訪問控制機(jī)制數(shù)據(jù)備份和恢復(fù)：通過數(shù)據(jù)庫、文件系統(tǒng)、應(yīng)用系統(tǒng)的存儲安全機(jī)制實(shí)現(xiàn)數(shù)據(jù)備份和冗余保護(hù)；通過公司三地災(zāi)備中心進(jìn)行數(shù)據(jù)備份保證數(shù)據(jù)的保密性、完整性和可用性。系統(tǒng)間接口安全采用接口認(rèn)證、數(shù)據(jù)傳輸加密、通信完整性、抗抵賴等措施。保證系統(tǒng)間數(shù)據(jù)交互使用的接口安全；保證通過接口傳輸?shù)臄?shù)據(jù)安全。15二、安全技術(shù)方案業(yè)務(wù)連續(xù)性基礎(chǔ)環(huán)境安全應(yīng)用與數(shù)據(jù)安全分區(qū)與邊界安全網(wǎng)站防護(hù)基本防護(hù)在互聯(lián)網(wǎng)邊界、外網(wǎng)域邊界部署兩道不同廠商的異構(gòu)防火墻設(shè)備；在互聯(lián)網(wǎng)邊界部署防DDOS攻擊網(wǎng)關(guān)、IDS/IPS設(shè)備，防范互聯(lián)網(wǎng)攻擊；在網(wǎng)站前面部署WEB應(yīng)用防火墻（WAF）設(shè)備，防范從WEB應(yīng)用層面發(fā)起的攻擊（網(wǎng)頁篡改、SQL注入、WEB跨站、應(yīng)用層DDOS攻擊、網(wǎng)頁掛馬等）；部署負(fù)載均衡設(shè)備，保證網(wǎng)絡(luò)可用性和服務(wù)質(zhì)量；WEB服務(wù)器安全配置和安全評估；采取技術(shù)、管理措施，防止網(wǎng)站被假冒：域名管理、網(wǎng)站防偽、登錄認(rèn)證16二、安全技術(shù)方案業(yè)務(wù)連續(xù)性基礎(chǔ)環(huán)境安全應(yīng)用與數(shù)據(jù)安全分區(qū)與邊界安全項(xiàng)目安全防護(hù)措施安全防護(hù)效果基礎(chǔ)環(huán)境安全物理安全防護(hù)使用煙感、火感、水感等感應(yīng)系統(tǒng)；使用UPS系統(tǒng)；部署光電防盜系統(tǒng)；部署機(jī)房環(huán)境監(jiān)控系統(tǒng)。按照高等級整體防護(hù)原則，實(shí)現(xiàn)等保三級對機(jī)房系統(tǒng)物理安全的位置選擇、訪問控制、防盜竊和防破壞、防雷擊、防火等要求。通信網(wǎng)絡(luò)安全防護(hù)網(wǎng)絡(luò)設(shè)備安全：上線前設(shè)備安全配置加固；定期安全評估和加固；部署統(tǒng)一運(yùn)維堡壘平臺進(jìn)行管理。網(wǎng)絡(luò)基礎(chǔ)服務(wù)安全：服務(wù)安全配置、邊界防火墻安全策略網(wǎng)絡(luò)業(yè)務(wù)流安全：廣域網(wǎng)互聯(lián)配置VPN網(wǎng)關(guān)，信息內(nèi)網(wǎng)縱向邊界部署IDS/IPS設(shè)備。按照高等級整體防護(hù)原則，實(shí)現(xiàn)等保三級對系統(tǒng)網(wǎng)絡(luò)設(shè)備防護(hù)的安全要求。服務(wù)器操作系統(tǒng)對操作系統(tǒng)進(jìn)行安全配置加固；按照公司要求，部署網(wǎng)絡(luò)版服務(wù)器防病毒軟件；部署統(tǒng)一運(yùn)維堡壘平臺進(jìn)行管理；重要服務(wù)器采用F5負(fù)載均衡設(shè)備；通過公司運(yùn)維綜合安全監(jiān)管系統(tǒng)進(jìn)行日志采集和審計(jì)。實(shí)現(xiàn)等保三級對服務(wù)器操作系統(tǒng)的身份鑒別、訪問控制、安全審計(jì)、惡意代碼防范、入侵防范等要求。數(shù)據(jù)庫對數(shù)據(jù)庫進(jìn)行安全配置加固；部署統(tǒng)一運(yùn)維堡壘平臺進(jìn)行管理；部署專用數(shù)據(jù)庫安全審計(jì)系統(tǒng)進(jìn)行日志采集和審計(jì)。按照高等級整體防護(hù)原則，實(shí)現(xiàn)等保三級對數(shù)據(jù)庫系統(tǒng)的身份鑒別、訪問控制、安全審計(jì)、資源監(jiān)控等要求。桌面終端按照業(yè)務(wù)需求劃分VLAN；操作系統(tǒng)安全配置加固；按照公司要求，統(tǒng)一部署桌面終端安全管理軟件、網(wǎng)絡(luò)版防病毒軟件等安全軟件。實(shí)現(xiàn)對桌面終端的身份鑒別、訪問控制、安全審計(jì)、惡意代碼防護(hù)、邊界完整性檢查等要求。17二、安全技術(shù)方案業(yè)務(wù)連續(xù)性基礎(chǔ)環(huán)境安全應(yīng)用與數(shù)據(jù)安全分區(qū)與邊界安全座席電腦終端安全建議采用“云終端”方案。所有云終端設(shè)備通過云服務(wù)器進(jìn)行集中管理，管理員可以集中進(jìn)行管控，包括配置終端策略、升級終端軟件、監(jiān)控終端訪問行為等，以減輕安全管理工作量，提高座席終端的安全性。通過云服務(wù)器上的終端管理軟件進(jìn)行以下安全配置：嚴(yán)格限制使用USB存儲設(shè)備、光驅(qū)、軟驅(qū)、打印機(jī)、掃描儀等外設(shè)，防止數(shù)據(jù)非授權(quán)導(dǎo)入導(dǎo)出；統(tǒng)一管理終端的網(wǎng)絡(luò)配置，禁止終端自行更改網(wǎng)絡(luò)配置，嚴(yán)格限制終端接入其它網(wǎng)絡(luò)；由云服務(wù)器為終端統(tǒng)一安裝和配置必要的業(yè)務(wù)應(yīng)用軟件，禁止終端用戶自行安裝、刪除軟件；通過云服務(wù)器設(shè)置終端能夠運(yùn)行的服務(wù)和軟件。18建立、完善安全管理機(jī)構(gòu)，形成以決策層、管理層和執(zhí)行層三層組織結(jié)構(gòu)的機(jī)構(gòu)，確定相應(yīng)崗位設(shè)置及其安全職責(zé)。安全管理機(jī)構(gòu)根據(jù)安全管理制度，細(xì)化、落實(shí)對人員的安全管理，包括內(nèi)部人員的錄用、考核、培訓(xùn)、離崗、離職管理，對外來人員出入控制等。人員安全管理在系統(tǒng)建設(shè)的規(guī)劃設(shè)計(jì)、開發(fā)和上線建設(shè)三個階段，采取一系列安全管控手段對整體信息安全建設(shè)工作進(jìn)行管控。系統(tǒng)建設(shè)管控加強(qiáng)系統(tǒng)運(yùn)維階段的人員、環(huán)境、資產(chǎn)、設(shè)備與介質(zhì)、網(wǎng)絡(luò)與系統(tǒng)、備份與恢復(fù)、安全事件與應(yīng)急、等級測評與備案等工作的管理。系統(tǒng)運(yùn)維管理安全管理體系建立由安全策略、管理制度、操作規(guī)程等構(gòu)成的信息安全管理制度體系，制定信息安全工作的總體方針和安全策略，制定各項(xiàng)安全管理制度和安全操作規(guī)程。安全管理制度運(yùn)維安全管理安全建設(shè)管控安全管理體系三、安全管理方案19系統(tǒng)安全防