信息安全等級(jí)保護(hù)建設(shè)解決方案2647

信息安全等級(jí)保護(hù)(二級(jí))建設(shè)方案 1.2.項(xiàng)目參考標(biāo)準(zhǔn) 4 4.3.總體網(wǎng)絡(luò)架構(gòu)設(shè)計(jì) 12 5.詳細(xì)方案設(shè)計(jì)技術(shù)部分 13 5.2.2.入侵防范技術(shù) 135.2.3.網(wǎng)頁(yè)防篡改技術(shù) 13 5.2.5.網(wǎng)絡(luò)安全審計(jì) 14 5.3.1.數(shù)據(jù)庫(kù)安全審計(jì) 145.3.2.運(yùn)維堡壘主機(jī) 145.3.3.主機(jī)防病毒技術(shù) 15 6.詳細(xì)方案設(shè)計(jì)管理部分 16 6.2.信息安全管理制度 17 6.7.安全管理制度匯總 20 7.2.1.漏洞掃描 217.2.2.滲透測(cè)試 217.2.3.配置核查 217.2.4.安全加固 21 7.2.6.安全培訓(xùn) 23 8.1.項(xiàng)目預(yù)算一期(等保二級(jí)基本要求) 24 1.1.項(xiàng)目建設(shè)目標(biāo)校信息化人員將定級(jí)材料提交當(dāng)?shù)毓矙C(jī)關(guān)備案。本方案中，通過為滿足物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全五個(gè)方面基本技術(shù)要求進(jìn)行技術(shù)體系建設(shè)；為滿足安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理五個(gè)方面基本管理要求進(jìn)行管理體系建設(shè)。使得學(xué)校信息系統(tǒng)的等級(jí)保護(hù)建設(shè)方案最終既可以滿足等級(jí)保護(hù)的相關(guān)1、以學(xué)校信息系統(tǒng)現(xiàn)有基礎(chǔ)設(shè)施，建設(shè)并完成滿足等級(jí)保護(hù)二級(jí)系統(tǒng)基本要求的信息系統(tǒng)，確保學(xué)校的整體信息化建設(shè)符合相關(guān)要求。2、建立安全管理組織機(jī)構(gòu)。成立信息安全工作組，學(xué)校負(fù)責(zé)人為安全責(zé)任人，擬定實(shí)施信息系統(tǒng)安全等級(jí)保護(hù)的具體方案，并制定相應(yīng)的崗位責(zé)任制，確保信息安全等級(jí)保護(hù)工作順利實(shí)施。3、建立完善的安全技術(shù)防護(hù)體系。根據(jù)信息安全等級(jí)保護(hù)的要求，建立滿足二級(jí)要求的安全技術(shù)防護(hù)體4、建立健全信息系統(tǒng)安全管理制度。根據(jù)信息安全等級(jí)保護(hù)的要求，制定各項(xiàng)信息系統(tǒng)安全管理制度，對(duì)安全管理人員或操作人員執(zhí)行的重要管理操作建立操作規(guī)程和執(zhí)行記錄文檔。5、制定學(xué)校信息系統(tǒng)不中斷的應(yīng)急預(yù)案。應(yīng)急預(yù)案是安全等級(jí)保護(hù)的重要組成部分，按可能出現(xiàn)問題的不同情形制定相應(yīng)的應(yīng)急措施，在系統(tǒng)出現(xiàn)故障和意外且無(wú)法短時(shí)間恢復(fù)的情況下能確保生產(chǎn)活動(dòng)持續(xù)進(jìn)行。6、安全培訓(xùn)：為學(xué)校信息化技術(shù)人員提供信息安全相關(guān)專業(yè)技術(shù)知識(shí)培訓(xùn)。1.2.項(xiàng)目參考標(biāo)準(zhǔn)我司遵循國(guó)家信息安全等級(jí)保護(hù)指南等最新安全標(biāo)準(zhǔn)以及開展各項(xiàng)服務(wù)工作，配合學(xué)校的等級(jí)保護(hù)測(cè)評(píng)工作。本項(xiàng)目建設(shè)參考依據(jù)：中辦[2中辦[2003]27號(hào)文件(關(guān)于轉(zhuǎn)發(fā)《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的公通字[2004]66號(hào)文件(關(guān)于印發(fā)《信息安全等級(jí)保護(hù)工作的實(shí)施意見》的通知)公通字[2007]43號(hào)文件(關(guān)于印發(fā)《信息安全等級(jí)保護(hù)管理辦法》的通知)公信安[2009]1429《關(guān)于開展信息安全等級(jí)保護(hù)安全建設(shè)整改工作的指導(dǎo)意見》全國(guó)人大《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》國(guó)發(fā)[2012]23號(hào)《國(guó)務(wù)院關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見》國(guó)發(fā)[2013]7號(hào)《國(guó)務(wù)院關(guān)于推進(jìn)物聯(lián)網(wǎng)有序健康發(fā)展的指導(dǎo)意見》公信安[2014]2182號(hào)《關(guān)于加強(qiáng)國(guó)家級(jí)重要信息系統(tǒng)安全保障工作有關(guān)事項(xiàng)的通知》(公信安[2014]2182號(hào))GB17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則GB/T25058-2010信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南GB/T22240-2008信息安全技術(shù)信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南GB/T25066-2010信息安全產(chǎn)品類別與代碼GB/T17900-1999網(wǎng)絡(luò)代理服務(wù)器的安全技術(shù)要求GB/T20010-2005包過濾防火墻評(píng)估準(zhǔn)則指導(dǎo)等級(jí)統(tǒng)技術(shù)GB/T20281-2006防火墻技術(shù)要求和測(cè)試評(píng)價(jià)方法GB/T18018-2007路由器安全技術(shù)要求GB/T20008-2005路由器安全評(píng)估準(zhǔn)則GB/T20272-2006操作系統(tǒng)安全技術(shù)要求GB/T20273-2006數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求GB/T20009-2005數(shù)據(jù)庫(kù)管理系統(tǒng)安全評(píng)估準(zhǔn)則GB/T20275-2006入侵檢測(cè)系統(tǒng)技術(shù)要求和測(cè)試評(píng)價(jià)方法GB/T20277-2006網(wǎng)絡(luò)和終端設(shè)備隔離部件測(cè)試評(píng)價(jià)方法GB/T20279-2006網(wǎng)絡(luò)和終端設(shè)備隔離部件安全技術(shù)要求GB/T20278-2006網(wǎng)絡(luò)脆弱性掃描產(chǎn)品技術(shù)要求GB/T20280-2006網(wǎng)絡(luò)脆弱性掃描產(chǎn)品測(cè)試評(píng)價(jià)方法GB/T20945-2007信息系統(tǒng)安全審計(jì)產(chǎn)品技術(shù)要求和測(cè)試評(píng)價(jià)方法GB/T21028-2007服務(wù)器安全技術(shù)要求GB/T25063-2010服務(wù)器安全側(cè)評(píng)要求GB/T21050-2007網(wǎng)絡(luò)交換機(jī)安全技術(shù)要求(EAL3)理方案等保評(píng)GB/T28452-2012GB/T29240-2012GB/T28456-2012GB/T28457-2012GB/T20269-2006GB/T28453-2012GB/T20984-2007GB/T24364-2009GB/T20985-2007GB/T20986-2007GB/T20988-2007GB/T25070-2010GB/T28448-2012GB/T28449-2012應(yīng)用軟件系統(tǒng)通用安全技術(shù)要求終端計(jì)算機(jī)通用安全技術(shù)要求與測(cè)試評(píng)價(jià)方法信息系統(tǒng)安全管理要求信息系統(tǒng)安全管理評(píng)估要求信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范信息安全風(fēng)險(xiǎn)管理指南信息安全事件管理指南信息安全事件分類分級(jí)指南信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過程指南1.3.方案設(shè)計(jì)原則針對(duì)本次項(xiàng)目，等級(jí)保護(hù)整改方案的設(shè)計(jì)和實(shí)施將遵循以下原則：任何單位和個(gè)人，不會(huì)利用此數(shù)據(jù)進(jìn)行任何侵害客戶權(quán)益的行為；限公司安全服務(wù)實(shí)施規(guī)范》)，可以便于項(xiàng)目的跟蹤和控制；遵守進(jìn)度表的安排，保證雙方對(duì)服務(wù)工作的可控性；整體性原則：服務(wù)的范圍和內(nèi)容整體全面，涉及的IT運(yùn)行的各個(gè)層面，避免由于遺漏造成未來的安最小影響原則：服務(wù)工作盡可能小的影響信息系統(tǒng)的正常運(yùn)行，不會(huì)對(duì)現(xiàn)有業(yè)務(wù)造成顯著影響。先進(jìn)性原則：為滿足后續(xù)不斷增長(zhǎng)的業(yè)務(wù)需求、對(duì)安全產(chǎn)品、安全技術(shù)都充分考慮前瞻性要求，采用先進(jìn)、成熟的安全產(chǎn)品、技術(shù)和先進(jìn)的管理方法。分步驟原則：根據(jù)用戶方要求，對(duì)用戶方安全保障體系進(jìn)行分期、分步驟的有序部署。行業(yè)經(jīng)驗(yàn)相結(jié)合，結(jié)合用戶方的實(shí)際信息系統(tǒng)量身定做才可以保障其信息系統(tǒng)安全穩(wěn)定的運(yùn)行。2.系統(tǒng)現(xiàn)狀分析2.1.系統(tǒng)定級(jí)情況說明到侵害的客體以及受侵害的程度，經(jīng)學(xué)校省公安廳的批準(zhǔn)，已將學(xué)校系統(tǒng)等級(jí)定為等級(jí)保護(hù)第二級(jí)(S2A2G2)，整體網(wǎng)絡(luò)信息化平臺(tái)按照二級(jí)進(jìn)行建設(shè)。2.2.業(yè)務(wù)系統(tǒng)說明學(xué)校本次參加整改的共有X個(gè)信息系統(tǒng)，分別是學(xué)校系統(tǒng)、學(xué)校系統(tǒng)、學(xué)校系統(tǒng)、學(xué)校系統(tǒng)，具體情況介紹如下：學(xué)校門戶網(wǎng)站系統(tǒng)：2012年門戶網(wǎng)站(網(wǎng)絡(luò)版)歷經(jīng)系統(tǒng)開發(fā)、模擬測(cè)試、網(wǎng)絡(luò)、硬件設(shè)備安裝部署，絡(luò)監(jiān)控、防入侵等方面的必須要建立一套更有效更完善的安全保護(hù)體系和措施。學(xué)校OA系統(tǒng)：目前學(xué)校舊OA系統(tǒng)準(zhǔn)備停用，并且已經(jīng)開發(fā)和準(zhǔn)備上線新的業(yè)務(wù)系統(tǒng)，新的業(yè)務(wù)系統(tǒng)目2.3.網(wǎng)絡(luò)結(jié)構(gòu)說明學(xué)校信息系統(tǒng)網(wǎng)絡(luò)拓?fù)鋱D現(xiàn)狀如下：3.安全需求分析3.1.物理安全需求分析目前在機(jī)房建設(shè)方面還存在如下問題：3.2.網(wǎng)絡(luò)安全需求分析邊界入侵防范：該信息系統(tǒng)無(wú)法實(shí)現(xiàn)對(duì)邊界的訪問控制，需要部署下一代署防火墻等安全設(shè)備來實(shí)現(xiàn)。防web攻擊和網(wǎng)頁(yè)防篡改：該信息系統(tǒng)無(wú)法實(shí)現(xiàn)對(duì)邊界的訪問控制，需要部署下一代署防火墻等安全設(shè)3.3.主機(jī)安全需求分析全網(wǎng)主機(jī)的惡意代碼防范。漏洞掃描：需要部署漏洞掃描實(shí)現(xiàn)對(duì)全網(wǎng)漏洞的掃描。3.4.應(yīng)用安全需求分析通信完整性和保密性：該信息系統(tǒng)無(wú)法實(shí)現(xiàn)對(duì)邊界的訪問控制，需要部署SSLVPN等安全設(shè)備來實(shí)現(xiàn)。3.5.數(shù)據(jù)安全需求分析實(shí)現(xiàn)對(duì)關(guān)鍵網(wǎng)絡(luò)設(shè)備的冗余，建議部署雙鏈路確保設(shè)備冗余。3.6.安全管理制度需求分析根據(jù)前期差距分析結(jié)果，該單位還欠缺較多安全管理制度，需要后續(xù)補(bǔ)充。4.總體方案設(shè)計(jì)4.1.總體設(shè)計(jì)目標(biāo)學(xué)校的安全等級(jí)保護(hù)整改方案設(shè)計(jì)的總體目標(biāo)是依據(jù)國(guó)家等級(jí)保護(hù)的有關(guān)標(biāo)準(zhǔn)和規(guī)范，結(jié)合學(xué)校信息系統(tǒng)展，保護(hù)敏感數(shù)據(jù)信息的安全，保證學(xué)校信息系統(tǒng)的安全防護(hù)能力達(dá)到《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》中第二級(jí)的相關(guān)技術(shù)和管理要求。4.2.總體安全體系設(shè)計(jì)制等核心技術(shù)，在“一個(gè)中心三重防御”的框架下實(shí)現(xiàn)對(duì)信息系統(tǒng)的全面防護(hù)。整個(gè)體系模型如下圖所示：安全管理中心安全管理中心是整個(gè)等級(jí)保護(hù)體系中對(duì)信息系統(tǒng)進(jìn)行集中安全管理的平臺(tái)，是信息系統(tǒng)做到可測(cè)、可控、GBT級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求中對(duì)安全管理中心的要求，一個(gè)符合基于可信計(jì)算和主動(dòng)防御的等級(jí)保護(hù)體系模型的安全管理中心應(yīng)至少包含以下三個(gè)部分：系統(tǒng)管理操作界面進(jìn)行系統(tǒng)管理操作，并對(duì)這些操作進(jìn)行審計(jì)。安全管理實(shí)現(xiàn)對(duì)系統(tǒng)中的主體、客體進(jìn)行統(tǒng)一標(biāo)記，對(duì)主體進(jìn)行授權(quán)，配置一致的安全策略，確保標(biāo)記、授權(quán)和安審計(jì)管理此外，安全管理中心應(yīng)做到技術(shù)與管理并重，加強(qiáng)在安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等方面的管理力度，規(guī)范安全管理操作規(guī)程，建立完善的安全管理制度集。安全計(jì)算環(huán)境在解的控制)、應(yīng)用安全、數(shù)據(jù)安全、安全審計(jì)等方面的技術(shù)要求，可充分結(jié)合可信計(jì)算技術(shù)和主動(dòng)防御技術(shù)的先層三個(gè)方面對(duì)計(jì)算環(huán)境的全面防護(hù)。安全區(qū)域邊界為保護(hù)邊界安全，本解決方案針對(duì)構(gòu)建一個(gè)安全的區(qū)域邊界提出的解決手段是在被保護(hù)的信息邊界部署一DoS與信息交換系統(tǒng)，并配置相應(yīng)的安全策略以實(shí)現(xiàn)對(duì)信息流向的控制。安全通信網(wǎng)絡(luò)目前，在通信網(wǎng)絡(luò)安全方面，采用密碼等核心技術(shù)實(shí)現(xiàn)的各類VPN都可以很有效的解決這類問題，達(dá)到果。4.3.總體網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)4.4.安全域劃分說明互聯(lián)網(wǎng)出口域，該區(qū)域說明如下：專網(wǎng)出口域，該區(qū)域說明如下：主要承載互聯(lián)網(wǎng)出口，出口主干需要部署相應(yīng)的安全邊界產(chǎn)品。終端接入域，該區(qū)域說明如下：主要是無(wú)線和有線終端接入；對(duì)外服務(wù)器域，該區(qū)域說明如下：該區(qū)域主要承載對(duì)外發(fā)布服務(wù)器，比如學(xué)校的網(wǎng)站；內(nèi)部服務(wù)器域，該區(qū)域說明如下：主要承載對(duì)內(nèi)的服務(wù)器和存儲(chǔ)，比如OA和學(xué)校專業(yè)先關(guān)零時(shí)性的安全管理域，該區(qū)域說明如下：主要承載網(wǎng)絡(luò)管理先關(guān)設(shè)備，比如網(wǎng)管系統(tǒng)，防病毒升級(jí)服務(wù)器等。5.詳細(xì)方案設(shè)計(jì)技術(shù)部分根據(jù)GB/T25070-2010信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求中物理安全的要求，應(yīng)從以下方面進(jìn)行整改：5.2.1.安全域邊界隔離技術(shù)根據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》，應(yīng)該在學(xué)校各安全域的邊界處部署防火墻設(shè)備，保證跨安全域5.2.2.入侵防范技術(shù)證與主機(jī)層防病毒實(shí)現(xiàn)病毒庫(kù)的異構(gòu)。因此，在互聯(lián)網(wǎng)出口的下一代防火墻上啟用防病毒模塊非常有必要。5.2.3.網(wǎng)頁(yè)防篡改技術(shù)互聯(lián)網(wǎng)出口的下一代防火墻上啟用網(wǎng)頁(yè)防篡改功能非常有必要。5.2.4.鏈路負(fù)載均衡技術(shù)5.2.5.網(wǎng)絡(luò)安全審計(jì)跟蹤分析技術(shù)，從發(fā)起者、訪問時(shí)間、訪問對(duì)象、訪問方法、使用頻率各個(gè)角度，提供豐富的統(tǒng)計(jì)分析報(bào)告，幫助用戶在統(tǒng)一管理互聯(lián)網(wǎng)訪問日志的同時(shí)，及時(shí)發(fā)現(xiàn)安全隱患，協(xié)助優(yōu)化網(wǎng)絡(luò)資源的使用。行為進(jìn)行監(jiān)控、日志進(jìn)行記錄。部署設(shè)計(jì)：根據(jù)審計(jì)人員的操作要求生成統(tǒng)計(jì)報(bào)表，方便查詢和生成報(bào)告，為網(wǎng)絡(luò)事件追溯提供證據(jù)。5.3.1.數(shù)據(jù)庫(kù)安全審計(jì)從而把握數(shù)據(jù)庫(kù)系統(tǒng)的整體安全。部署設(shè)計(jì)：數(shù)據(jù)庫(kù)審計(jì)部署于數(shù)據(jù)庫(kù)前端交換機(jī)上，通過端口鏡像收集信息。5.3.2.運(yùn)維堡壘主機(jī)各IT系統(tǒng)獨(dú)立的帳戶管理體系造成身份管理的換亂，而身份的唯一性又恰恰是認(rèn)證、授權(quán)、審計(jì)的依據(jù)和前提，因此身份的混亂實(shí)際上造成設(shè)備訪問的混亂。之間的失衡。核心服務(wù)器或設(shè)備的物理安全和臨機(jī)訪問安全通過門禁系統(tǒng)和錄像系統(tǒng)得以較好的解決，但是對(duì)他們的網(wǎng)絡(luò)訪問缺少控制或欠缺控制力度，在帳號(hào)、密碼、認(rèn)證、授權(quán)、審計(jì)等各方面缺乏有效的集中管和協(xié)同工作群件等服務(wù)。由于設(shè)備和服務(wù)器眾多，系統(tǒng)管理員壓力太大等因素，越權(quán)訪問、誤操作、濫用、惡的入侵和破壞，提供控制和審計(jì)依據(jù)，降低運(yùn)維成本，滿足相關(guān)標(biāo)準(zhǔn)要求，越來越成為信息系統(tǒng)關(guān)心的問題，因此建議在學(xué)校二期安全建設(shè)有必要部署一套運(yùn)維堡壘主機(jī)來實(shí)現(xiàn)賬戶的安全維護(hù)。部署設(shè)計(jì)：運(yùn)維審計(jì)系統(tǒng)部署在安全管理域，通過交換機(jī)的訪問控制策略限定只能由堡壘主機(jī)內(nèi)控管理平臺(tái)直接訪問服務(wù)器的遠(yuǎn)程維護(hù)端口。維護(hù)人員對(duì)網(wǎng)絡(luò)設(shè)備、安全設(shè)備和服務(wù)器系統(tǒng)進(jìn)行遠(yuǎn)程維護(hù)時(shí)，首先以Web方式登錄運(yùn)維審計(jì)系統(tǒng)，然后通過運(yùn)維審計(jì)系統(tǒng)上展現(xiàn)的訪問資源列表直接訪問授權(quán)資源。5.3.3.主機(jī)防病毒技術(shù)學(xué)校目前網(wǎng)絡(luò)內(nèi)所有終端使用免費(fèi)的殺毒軟件，基本滿足等級(jí)保護(hù)二級(jí)的要求，但是現(xiàn)在主要服務(wù)器并沒部署設(shè)計(jì)軟件客戶端部署在內(nèi)外防服務(wù)器上面，通過管理區(qū)域防病毒升級(jí)服務(wù)器對(duì)病毒規(guī)則庫(kù)進(jìn)行升級(jí)。部署設(shè)計(jì)：SSLVPN機(jī)上。6.詳細(xì)方案設(shè)計(jì)管理部分安全管理體系的作用是通過建立健全組織機(jī)構(gòu)、規(guī)章制度，以及通過人員安全管理、安全教育與培訓(xùn)和各6.1.總體安全方針與安全策略戶方所有信息安全工作的綱領(lǐng)性文件，是信息安全決策機(jī)構(gòu)對(duì)信息安全及各項(xiàng)管理制度的可落實(shí)性。我方為用戶方設(shè)計(jì)的總體安全方針與安全策略將具備以下特性：安全策略緊緊圍繞行業(yè)的發(fā)展戰(zhàn)略，符合用戶方實(shí)際的信息安全需求，能保障與促進(jìn)信息化建設(shè)的順和變更廢棄等各階段，應(yīng)遵循的總體原則和要求。安全策略在經(jīng)過用戶方信息安全決策機(jī)構(gòu)批準(zhǔn)之后，將具備指導(dǎo)和規(guī)范信息安全工作的效力?？傮w安全策略進(jìn)行必要的調(diào)整，并將調(diào)整后的策略提交用戶方信息安全決策機(jī)構(gòu)批準(zhǔn)。6.2.信息安全管理制度必須得到有效推行和實(shí)施的制度。有效并注明發(fā)布范圍，對(duì)收發(fā)文進(jìn)行登記。信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)定期組織相關(guān)部門和相關(guān)人員對(duì)安全管理制度體系的合理性和適用性進(jìn)行審定，定期或不定期對(duì)安全管理制度進(jìn)行評(píng)審和修訂，修訂不足及進(jìn)行改進(jìn)。6.3.安全管理機(jī)構(gòu)根據(jù)基本要求設(shè)置安全管理機(jī)構(gòu)的組織形式和運(yùn)作方式，明確崗位職責(zé)；、網(wǎng)絡(luò)管理員、安全管理員等崗位，根據(jù)要求進(jìn)行人員配備，配備專文件明確安全管理機(jī)構(gòu)各個(gè)部門和崗位的職責(zé)、分工和技能要求。建立授權(quán)與審批制度；作渠道；定期進(jìn)行全面安全檢查，特別是系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等。6.4.人員安全管理核、教育培訓(xùn)等內(nèi)容。責(zé)人員管理，這里的人員安全管理主要指對(duì)關(guān)鍵崗位人員進(jìn)行的以安崗位人員簽署保密協(xié)議，對(duì)離崗人員撤銷系統(tǒng)帳戶和相關(guān)權(quán)限等措施。只有注重對(duì)安全管理人員的培養(yǎng)，提高其安全防范意識(shí)，才能做到安全有效的防范，因此需要對(duì)各類人員的基礎(chǔ)知識(shí)、安全技術(shù)、安全標(biāo)準(zhǔn)、崗位操作規(guī)程、最新的工作流程、相關(guān)的安全責(zé)任要求、法律責(zé)任和懲戒具體依據(jù)標(biāo)準(zhǔn)《基本要求》中人員安全管理，同時(shí)可以參照《信息系統(tǒng)安全管理要求》等。6.5.系統(tǒng)建設(shè)管理系統(tǒng)建設(shè)管理的重點(diǎn)是與系統(tǒng)建設(shè)活動(dòng)相關(guān)的過程管理，由于主要的建設(shè)活動(dòng)是由服務(wù)方，如集成方、開管理記錄和過程文檔。具體依據(jù)標(biāo)準(zhǔn)《基本要求》中系統(tǒng)建設(shè)管理。6.6.系統(tǒng)運(yùn)維管理8、環(huán)境和資產(chǎn)安全管理制度門禁控制手段，或使用視頻監(jiān)控等措施。具體依據(jù)標(biāo)準(zhǔn)《基本要求》中系統(tǒng)運(yùn)維管理，同時(shí)可以參照《信息系統(tǒng)安全管理要求》等。2、設(shè)備和介質(zhì)安全管理制度感數(shù)據(jù)銷毀等過程的監(jiān)督控制。具體依據(jù)標(biāo)準(zhǔn)《基本要求》中系統(tǒng)運(yùn)維管理，同時(shí)可以參照《信息系統(tǒng)安全管理要求》等。8、其他制度3、日常運(yùn)行維護(hù)制度明確網(wǎng)絡(luò)、系統(tǒng)日常運(yùn)行維護(hù)的責(zé)任部門或責(zé)任人，對(duì)運(yùn)行管理中的日常操作、賬號(hào)管理、安全配置、日志管理、補(bǔ)丁升級(jí)、口令更新等過程進(jìn)行控制和管理；制訂設(shè)備操作管理、業(yè)務(wù)應(yīng)用操作管理、變更控制和重實(shí)施為信息系統(tǒng)可靠運(yùn)行而采取的各種檢測(cè)、監(jiān)控、審計(jì)、分析、備份及容錯(cuò)等方法和措施，對(duì)運(yùn)行安全進(jìn)行具體依據(jù)標(biāo)準(zhǔn)《基本要求》中系統(tǒng)運(yùn)維管理，同時(shí)可以參照《信息系統(tǒng)安全管理要求》等。4、集中安全管理制度第二級(jí)以上信息系統(tǒng)應(yīng)按照統(tǒng)一的安全策略、安全管理要求，統(tǒng)一管理信息系統(tǒng)的安全運(yùn)行，進(jìn)行安全機(jī)集與分析，對(duì)安全機(jī)制進(jìn)行集中管理。理要求》等。信息安全事件的等級(jí)。結(jié)合信息系統(tǒng)安全保護(hù)等級(jí)，制定信息安全事件分級(jí)織開展應(yīng)急演練。具體依據(jù)標(biāo)準(zhǔn)《基本要求》中系統(tǒng)運(yùn)維管理，同時(shí)可以參照《信息安全事件分類分級(jí)指南》和《信息安全事件管理指南》等。取災(zāi)難備份措施，防止重大事故、事件發(fā)生。識(shí)別需要定期備份的重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等，制定數(shù)據(jù)的備份策略和恢復(fù)策略，建立備份與恢復(fù)管理相關(guān)的安全管理制度。具體依據(jù)標(biāo)準(zhǔn)《基本要求》中系統(tǒng)運(yùn)維管理和《信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》。開展信息系統(tǒng)實(shí)時(shí)安全監(jiān)測(cè)，實(shí)現(xiàn)對(duì)物理環(huán)境、通信線路、主機(jī)、網(wǎng)絡(luò)設(shè)備、用戶行為和業(yè)務(wù)應(yīng)用等的監(jiān)測(cè)和報(bào)警，及時(shí)發(fā)現(xiàn)設(shè)備故障、病毒入侵、黑客攻擊、誤用和誤操作等安全事件，以便及時(shí)對(duì)安全事件進(jìn)行響具體依據(jù)標(biāo)準(zhǔn)《基本要求》中系統(tǒng)運(yùn)維管理。對(duì)系統(tǒng)運(yùn)行維護(hù)過程中的其它活動(dòng)，如系統(tǒng)變更、密碼使用等進(jìn)行控制和管理。按國(guó)家密碼管理部門的規(guī)定，對(duì)信息系統(tǒng)中密碼算法和密鑰的使用進(jìn)行分級(jí)管理。6.7.安全管理制度匯總制定安全檢查制度，明確檢查的內(nèi)容、方式、要求等，檢查各項(xiàng)制度、措施的落實(shí)情況，并不斷完善。定統(tǒng)每半年自查一次。經(jīng)自查，信息系統(tǒng)安全狀況未達(dá)到安全保護(hù)等級(jí)要求的，應(yīng)當(dāng)進(jìn)一步開展整改。具體依據(jù)標(biāo)準(zhǔn)《基本要求》中安全管理機(jī)構(gòu)，同時(shí)可以參照《信息系統(tǒng)安全管理要求》等。最終提交安全制度包括但不限于以下內(nèi)容：總體安全策略(組織、流程、策略、技術(shù))崗位安全責(zé)任制度第三方安全管理制度系統(tǒng)日常安全管理工作制度系統(tǒng)安全評(píng)估管理辦法機(jī)房建設(shè)運(yùn)行標(biāo)準(zhǔn)安全區(qū)域劃分及管理規(guī)定管理信息區(qū)域網(wǎng)管制度系統(tǒng)建設(shè)管理制度設(shè)備入網(wǎng)安全管理制度系統(tǒng)軟件和補(bǔ)丁管理制度備份與恢復(fù)管理制度賬號(hào)和口令及權(quán)限管理制度介質(zhì)管理加密技術(shù)使用管理辦法應(yīng)急預(yù)案管理制度安全事件報(bào)告和處置管理制度安全審計(jì)管理7.咨詢服務(wù)和系統(tǒng)測(cè)評(píng)7.1.系統(tǒng)定級(jí)服務(wù)協(xié)助用戶單位，依據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》，確定信息系統(tǒng)的安全保護(hù)等級(jí)，準(zhǔn)備定級(jí)備案表和定級(jí)報(bào)告，協(xié)助用戶單位向所在地區(qū)的公安機(jī)關(guān)辦理備案手續(xù)。7.2.風(fēng)險(xiǎn)評(píng)估和安全加固服務(wù)7.2.1.漏洞掃描利用業(yè)界領(lǐng)先的多種掃描工具檢查整個(gè)網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)的主機(jī)系統(tǒng)與數(shù)據(jù)庫(kù)系統(tǒng)的漏洞情況，并用人工對(duì)掃描結(jié)果進(jìn)行誤報(bào)分析，結(jié)果整理。目標(biāo)是發(fā)掘網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)的安全漏洞，包括但不局限于：操作系統(tǒng)漏洞、網(wǎng)絡(luò)設(shè)備漏洞、中間件漏洞、數(shù)據(jù)庫(kù)漏洞、脆弱賬戶等，并提出漏洞修補(bǔ)建議7.2.2.滲透測(cè)試透測(cè)試行為將在客戶的書面明確授權(quán)和監(jiān)督下進(jìn)行。通過遠(yuǎn)程滲透測(cè)試全面檢測(cè)信息系統(tǒng)清單中的系統(tǒng)(網(wǎng)站)直接暴露在互聯(lián)網(wǎng)上的安全隱患，并提供實(shí)際可行的安全修復(fù)建議。7.2.3.配置核查通過配置核查工具和安全專家人工檢查想結(jié)合的方式，逐項(xiàng)檢查系統(tǒng)的各項(xiàng)配置和運(yùn)