安全集成技術(shù)方案模版

安全集成技術(shù)方案模版

目錄

安全集成技術(shù)方案模版...............................................................1

方案概述........................................................................1

二.信息安全現(xiàn)狀分析..............................................................1

2.1信息化系統(tǒng)現(xiàn)狀...............................................................1

2.2信息安全現(xiàn)狀.................................................................2

2.3信息安全合規(guī)差距/典型措施....................................................2

2.3.1物理安全.................................................................2

2.3.2網(wǎng)絡(luò)安全.................................................................3

2.3.3主機(jī)安全.................................................................4

2.3.4應(yīng)用安全.................................................................5

2.3.5數(shù)據(jù)安全.................................................................7

2.3.6安全管理制度.............................................................7

2.3.7安全管理機(jī)構(gòu).............................................................7

2.3.8人員安全管理.............................................................8

2.3.9系統(tǒng)安全建設(shè).............................................................9

2.3.10系統(tǒng)安全運(yùn)維...........................................................11

2.4信息安全風(fēng)險(xiǎn)分析............................................................15

2.4.1網(wǎng)絡(luò)層面的安全風(fēng)險(xiǎn)......................................................15

2.4.2數(shù)據(jù)中心層面............................................................16

2.5信息安全日常管理運(yùn)維........................................................17

三.安全整改方案設(shè)計(jì).............................................................17

3.1安全策略設(shè)計(jì)................................................................17

3.2安全設(shè)計(jì)原則................................................................18

3.3系統(tǒng)設(shè)計(jì)思路................................................................19

3.3.1實(shí)現(xiàn)可信網(wǎng)絡(luò)計(jì)算環(huán)境防御體系............................................19

3.3.2實(shí)現(xiàn)可信用戶行為監(jiān)管....................................................21

3.3.3實(shí)現(xiàn)可信數(shù)據(jù)安全防護(hù)....................................................22

3.3.4實(shí)現(xiàn)可信網(wǎng)絡(luò)安全管理..................................................22

3.3.5實(shí)現(xiàn)了數(shù)據(jù)的備份與恢復(fù).................................................23

四.安全整改技術(shù)體系建設(shè)...........................................................23

4.1物理安全....................................................................23

4.2網(wǎng)絡(luò)安全....................................................................24

4.2.1縱深的安全防護(hù)系統(tǒng)......................................................24

4.2.2實(shí)時(shí)的安全監(jiān)控系統(tǒng)......................................................26

4.2.3全面的審計(jì)系統(tǒng)..........................................................26

4.2.4安全管理平臺(tái)............................................................27

4.3主機(jī)安全....................................................................28

4.3.1統(tǒng)一漏洞管理............................................................28

4.3.2全面主機(jī)日志審計(jì)........................................................29

4.4應(yīng)用安全....................................................................30

4.4.1WEB應(yīng)用防護(hù)............................................................31

4.4.2應(yīng)用系統(tǒng)安全............................................................31

4.4.3雙因素認(rèn)證..............................................................33

4.5數(shù)據(jù)安全及備份修復(fù)..........................................................33

4.5.1應(yīng)用數(shù)據(jù)安全............................................................34

4.5.2災(zāi)備體系................................................................35

五.選型產(chǎn)品和服務(wù)介紹...........................................................35

5.1畫方網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)........................................................35

5.1.1需求分析................................................................35

5.1.2部署方案................................................................36

5.1.3應(yīng)用效果................................................................38

5.2運(yùn)維堡壘機(jī)（暫未選型）......................................................40

5.3綠盟漏洞管理系統(tǒng)............................................................40

5.4防火墻（暫未選型）..........................................................40

5.5安全咨詢和技術(shù)服務(wù)..........................................................40

六.項(xiàng)目分階段建設(shè)實(shí)施計(jì)劃.......................................................40

七.總結(jié).........................................................................41

附錄A方案設(shè)計(jì)軟/硬件清單.......................................................41

A.1第一期設(shè)備清單............................................................41

A.2第二期設(shè)備清單............................................................41

A.3第三期設(shè)備清單............................................................41

附錄B投資預(yù)算..................................................................42

B.1硬件投資預(yù)算..............................................................42

B.2軟件投資預(yù)算..............................................................42

B.3服務(wù)投資預(yù)算..............................................................42

方案概述

2016年1月底XXX信息安全顧問和濟(jì)XX客戶XXX經(jīng)理共同拜訪了XXX信息安全技術(shù)

負(fù)責(zé)人，調(diào)研了XXX信息業(yè)務(wù)系統(tǒng)的現(xiàn)狀，梳理了信息安全風(fēng)險(xiǎn)。通過初步溝通交流，認(rèn)為

XXX信息安全管理工作目前應(yīng)重點(diǎn)關(guān)注以下三方面內(nèi)容：

1,XXX業(yè)務(wù)系統(tǒng)按照國(guó)家等級(jí)保護(hù)二級(jí)標(biāo)準(zhǔn)定級(jí)，在網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)、管理層

面尚有部分差距，需要整改，滿足等級(jí)保護(hù)二級(jí)193個(gè)評(píng)測(cè)項(xiàng)的要求。

2,分布在全國(guó)的分店全面部署了無(wú)線網(wǎng)絡(luò)接入環(huán)境，有得分店是無(wú)線獨(dú)立組網(wǎng)，有的分

店有線無(wú)線混合組網(wǎng)，外部顧客和內(nèi)部員工的準(zhǔn)入控制、身份認(rèn)證、訪問授權(quán)管理相對(duì)混亂、

低效，占用安全運(yùn)維人員大量時(shí)間。

3,XXX信息系統(tǒng)是整個(gè)商業(yè)集團(tuán)信息系統(tǒng)的一部分，目前主要由2名技術(shù)人員負(fù)責(zé)建設(shè)、

運(yùn)維管理工作，尚未健全信息安全管理體系和運(yùn)維體系，缺乏主要的技術(shù)管理工具和審計(jì)分

析工具，信息安全管理工作的成效和考核標(biāo)準(zhǔn)指標(biāo)無(wú)法顯性化。

針對(duì)以上三項(xiàng)需求，XXX安全顧問整理了本建議書，希望能夠給XXX信息安全整改工作

提供參考。

二.信息安全現(xiàn)狀分析

2.1信息化系統(tǒng)現(xiàn)狀

網(wǎng)絡(luò)架構(gòu)為數(shù)據(jù)中心-中心店-門店的三級(jí)網(wǎng)絡(luò)架構(gòu)；專線的形式從原有的SDH、MSTP、

VPN三種變?yōu)橹髁鱉STP,VPN作補(bǔ)充；

系統(tǒng)架構(gòu)是集中部署的方式，在這種方式下網(wǎng)絡(luò)線路出問題，將會(huì)直接影響到門店信息

系統(tǒng)的使用，尤其是儲(chǔ)值卡系統(tǒng)，目前儲(chǔ)值卡是采用的磁條卡，磁條卡是無(wú)記憶功能的，他

所承載的數(shù)據(jù)或者說卡余額，都是在后臺(tái)服務(wù)器記憶的，所以說，網(wǎng)絡(luò)是否穩(wěn)定，是否安全,

關(guān)系著企業(yè)是否可以平穩(wěn)高效的運(yùn)轉(zhuǎn)。

無(wú)線組網(wǎng)采取單店標(biāo)準(zhǔn)化，規(guī)模集中的部署步驟。先對(duì)有需求門店實(shí)現(xiàn)標(biāo)準(zhǔn)化組網(wǎng)，數(shù)

據(jù)本地儲(chǔ)存，在達(dá)到一定規(guī)模后，再對(duì)顧客數(shù)據(jù)進(jìn)行共享同步和數(shù)據(jù)分析，既保證數(shù)據(jù)的收

集，又避免前期的低回報(bào)大投資。

門店無(wú)線WLan后續(xù)承載大量的業(yè)務(wù)應(yīng)用，包括顧客上網(wǎng)、專柜上網(wǎng)、無(wú)線POS、移動(dòng)

導(dǎo)購(gòu)，大屏廣告。

XXX數(shù)據(jù)中心主要集中在XXX樓機(jī)房，另外通過專線連接商業(yè)集團(tuán)數(shù)據(jù)中心中的其他業(yè)

務(wù)，第三方外聯(lián)業(yè)務(wù)邊界集中在商業(yè)集團(tuán)數(shù)據(jù)中心。

互聯(lián)網(wǎng)電子商務(wù)平臺(tái)獨(dú)立數(shù)據(jù)中心和互聯(lián)網(wǎng)接入，和目前XXX通過專線做電子業(yè)務(wù)結(jié)算,

結(jié)算接入主要在商業(yè)集團(tuán)數(shù)據(jù)中心。

2.2信息安全現(xiàn)狀

門店部署深信服上網(wǎng)行為管理產(chǎn)品，符合省網(wǎng)監(jiān)大隊(duì)審計(jì)要求，還可以解決控制門店非

工作上網(wǎng)帶寬占用情況。并可以對(duì)無(wú)線設(shè)備進(jìn)行管理和用戶認(rèn)證。

針對(duì)國(guó)家公安部對(duì)非營(yíng)利性公共組織互聯(lián)網(wǎng)的接入具備審計(jì)能力的要求，越來越多的門

店，由VPN、防火墻、行為審計(jì)一體化的設(shè)備替換了原有的防火墻設(shè)備，既節(jié)省了總體投資，

又減少了故障點(diǎn)。

無(wú)線組網(wǎng)最終將和門店原有辦公網(wǎng)絡(luò)結(jié)合，以達(dá)到滿足移動(dòng)導(dǎo)購(gòu)、無(wú)線收銀等業(yè)務(wù)需求。

兩網(wǎng)合并后，無(wú)線網(wǎng)既承載顧客上網(wǎng)，消費(fèi)分析等功用，又為門店的物業(yè)業(yè)務(wù)提供幫助。既

保證上網(wǎng)的良好體驗(yàn)，又保證無(wú)線業(yè)務(wù)的數(shù)據(jù)安全是雙網(wǎng)合并的關(guān)鍵，對(duì)此采取了二層隔離、

訪問控制等安全措施。

XXX總部互聯(lián)網(wǎng)接入邊界部署防火墻和綠盟科技入侵保護(hù)系統(tǒng)IPS,可以做到防止外界

入侵，竊取數(shù)據(jù)和病毒侵害，同時(shí)可以做到部分帶寬控制。

商業(yè)集團(tuán)總部部署防火墻、入侵防御、WAF等安全產(chǎn)品。

圖1門店網(wǎng)絡(luò)架構(gòu)

圖2集團(tuán)總部網(wǎng)絡(luò)架構(gòu)

2.3信息安全合規(guī)差距/典型措施

2.3.1物理安全

未做調(diào)研

2.3.2網(wǎng)絡(luò)安全

類別測(cè)評(píng)項(xiàng)典型技術(shù)措施/差距分析

a）應(yīng)保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗ITSM運(yùn)維軟件網(wǎng)絡(luò)監(jiān)控模塊

余空間，滿足業(yè)務(wù)高峰期需要采集分析均值和峰值

b）應(yīng)保證接入網(wǎng)絡(luò)和核心網(wǎng)絡(luò)的帶寬滿足業(yè)務(wù)ITSM運(yùn)維軟件鏈路監(jiān)控模塊

高峰期需要采集分析均值和峰值

結(jié)構(gòu)安全C）應(yīng)繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)ITSM運(yùn)維軟件拓?fù)涑尸F(xiàn)功能

（G2）圖

d）應(yīng)根據(jù)各部門的工作職能、重要性和所涉及1,全網(wǎng)安全域劃分（網(wǎng)絡(luò)域、

信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)計(jì)算域、用戶域、支撐域）

段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)2,接入層IP地址管理、用戶

段分配地址段準(zhǔn)入控制

a）應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，啟用訪問

防火墻

控制功能

b）應(yīng)能根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流提供明確的

防火墻

訪問控制允許/拒絕訪問的能力，控制粒度為網(wǎng)段級(jí)

（G2）C）應(yīng)按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定

1,基于IP的防護(hù)控制策略

允許或拒絕用戶對(duì)受控系統(tǒng)進(jìn)行資源訪問，控制

2,基于ID的防護(hù)控制策略

粒度為單個(gè)用戶

d）應(yīng)限制具有撥號(hào)訪問權(quán)限的用戶數(shù)量VPN、認(rèn)證網(wǎng)關(guān)等用戶審計(jì)

a）應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)

IT運(yùn)維管理軟件

流量、用戶行為等進(jìn)行日志記錄

安全審計(jì)

b）審計(jì)記錄應(yīng)包括：事件的日期和時(shí)間、用戶、

（G2）

事件類型、事件是否成功及其他與審計(jì)相關(guān)的信Syslog日志服務(wù)器

息

邊界完整性檢a）應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)中出現(xiàn)的內(nèi)部用戶未通過1,外聯(lián)監(jiān)測(cè)

查（S2）準(zhǔn)許私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查2,網(wǎng)絡(luò)準(zhǔn)入控制

a）應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃

入侵防范描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、

網(wǎng)絡(luò)IPS

（G2）緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊

等

網(wǎng)絡(luò)設(shè)備防護(hù)配置：網(wǎng)絡(luò)設(shè)備有登錄口令做

a）應(yīng)對(duì)登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別

（G2）身份鑒別

運(yùn)維堡壘機(jī)

配置：綁定管理員IP

b）應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制

運(yùn)維堡壘機(jī)

配置：防止多人共用一個(gè)賬戶

C）網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識(shí)應(yīng)唯一

運(yùn)維堡壘機(jī)

d）身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn)，口配置：復(fù)雜口令，3個(gè)月更換

令應(yīng)有復(fù)雜度要求并定期更換運(yùn)維堡壘機(jī)

e）應(yīng)具有登錄失敗處理功能，可采取結(jié)束會(huì)話、

配置：多次認(rèn)證失敗鎖定

限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動(dòng)

運(yùn)維堡壘機(jī)

退出等措施

f）當(dāng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要

配置：禁用Telnet,改用SSH

措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽

2.3.3主機(jī)安全

類別測(cè)評(píng)項(xiàng)典型技術(shù)措施/差距分析

a）應(yīng)對(duì)登錄操作系統(tǒng)的用戶進(jìn)行身份標(biāo)識(shí)和鑒配置：登錄需用戶名和密碼

別運(yùn)維堡壘機(jī)

b）操作系統(tǒng)管理用戶身份標(biāo)識(shí)應(yīng)具有不易被冒配置：復(fù)雜口令，3個(gè)月更換

用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換運(yùn)維堡壘機(jī)

身份鑒別C）應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會(huì)話、配置：多次認(rèn)證失敗鎖定

（S2）限制非法登錄次數(shù)和自動(dòng)退出等措施運(yùn)維堡壘機(jī)

d）當(dāng)對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措

配置：禁用Telnet,改用SSH

施，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽

e）應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的不同用戶分配配置：防止多人共用一個(gè)賬戶

不同的用戶名，確保用戶名具有唯一性運(yùn)維堡壘機(jī)

a）應(yīng)啟用訪問控制功能，依據(jù)安全策略控制用配置：用戶權(quán)限

戶對(duì)資源的訪問域控制用戶

b）應(yīng)實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)特權(quán)用戶的權(quán)配置：數(shù)據(jù)庫(kù)和操作系統(tǒng)管理

訪問控制限分離賬戶分離

（S2）配置：guest用戶禁用，

C）應(yīng)嚴(yán)格限制默認(rèn)帳戶的訪問權(quán)限，重命名系

administrator用戶重命名，修

統(tǒng)默認(rèn)帳戶，修改這些帳戶的默認(rèn)口令

改了默認(rèn)口令

d）應(yīng)及時(shí)刪除多余的、過期的帳戶，避免共享配置：冗余賬戶清理

帳戶的存在運(yùn)維堡壘機(jī)

a）審計(jì)范圍應(yīng)覆蓋到服務(wù)器和重要客戶端上的服務(wù)器安全加固

每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫(kù)用戶安全配置基線管理

b）審計(jì)內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的

異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要主機(jī)安全日志管理

安全審計(jì)

的安全相關(guān)事件

（G2）

）審計(jì)記錄應(yīng)包括事件的日期、時(shí)間、類型、

C主機(jī)安全日志管理

主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等

d）應(yīng)保護(hù)審計(jì)記錄，避免受到未預(yù)期的刪除、

主機(jī)安全日志管理

修改或覆蓋等

操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的

入侵防范漏洞管理

組件和應(yīng)用程序，并通過設(shè)置升級(jí)服務(wù)器等方式

（G2）安全加固

保持系統(tǒng)補(bǔ)丁及時(shí)得到更新

a）應(yīng)安裝防惡意代碼軟件，并及時(shí)更新防惡意

惡意代碼防范殺毒軟件

代碼軟件版本和惡意代碼庫(kù)

（G2）

b）應(yīng)支持防惡意代碼的統(tǒng)一管理網(wǎng)絡(luò)殺毒軟件

a）應(yīng)通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等

主機(jī)訪問控制

條件限制終端登錄

資源控制b）應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時(shí)鎖

配置：安全加固

（A2）定

C）應(yīng)限制單個(gè)用戶對(duì)系統(tǒng)資源的最大或最小使

配置：安全加固

用限度

2.3.4應(yīng)用安全

類別測(cè)評(píng)項(xiàng)典型技術(shù)措施/差距分析

a）應(yīng)提供專用的登錄控制模塊對(duì)登錄用戶進(jìn)行

應(yīng)用開發(fā)安全評(píng)估

身份標(biāo)識(shí)和鑒別

b）應(yīng)提供用戶身份標(biāo)識(shí)唯一和鑒別信息復(fù)雜度

身份鑒別身份統(tǒng)一管理、授權(quán)、認(rèn)證、

檢查功能，保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份

（S2）審計(jì)

標(biāo)識(shí)，身份鑒別信息不易被冒用

C）應(yīng)提供登錄失敗處理功能，可采取結(jié)束會(huì)話、應(yīng)用開發(fā)安全評(píng)估-應(yīng)用安全

限制非法登錄次數(shù)和自動(dòng)退出等措施功能

d）應(yīng)啟用身份鑒別、用戶身份標(biāo)識(shí)唯一性檢查、

應(yīng)用開發(fā)安全評(píng)估-應(yīng)用安全

用戶身份鑒別信息復(fù)雜度檢查以及登錄失敗處

功能

理功能，并根據(jù)安全策略配置相關(guān)參數(shù)

a）應(yīng)提供訪問控制功能，依據(jù)安全策略控制用WEB應(yīng)用防護(hù)系統(tǒng)

戶對(duì)文件、數(shù)據(jù)庫(kù)表等客體的訪問數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)

b）訪問控制的覆蓋范圍應(yīng)包括與資源訪問相關(guān)WEB應(yīng)用防護(hù)系統(tǒng)

訪問控制的主體、客體及它們之間的操作數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)

（S2）C）應(yīng)由授權(quán)主體配置訪問控制策略，并嚴(yán)格限

身份認(rèn)證和訪問控制設(shè)備聯(lián)動(dòng)

制默認(rèn)帳戶的訪問權(quán)限

d）應(yīng)授予不同帳戶為完成各自承擔(dān)任務(wù)所需的

身份認(rèn)證和訪問控制設(shè)備聯(lián)動(dòng)

最小權(quán)限，并在它們之間形成相互制約的關(guān)系

a）應(yīng)提供覆蓋到每個(gè)用戶的安全審計(jì)功能，對(duì)

日志審計(jì)系統(tǒng)

應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計(jì)

安全審計(jì)b）應(yīng)保證無(wú)法單獨(dú)中斷審計(jì)進(jìn)程，無(wú)法刪除、日志審計(jì)系統(tǒng)

（G2）修改或覆蓋審計(jì)記錄

C）審計(jì)記錄的內(nèi)容至少應(yīng)包括事件的日期、時(shí)日志審計(jì)系統(tǒng)

間、發(fā)起者信息、類型、描述和結(jié)果等

通信完整性應(yīng)采用校驗(yàn)碼技術(shù)保證通信過程中數(shù)據(jù)的完整應(yīng)用開發(fā)安全評(píng)估-應(yīng)用安全

功能

（S2）性

a）在通信雙方建立連接之前，應(yīng)用系統(tǒng)應(yīng)利用應(yīng)用開發(fā)安全評(píng)估-應(yīng)用安全

功能

密碼技術(shù)進(jìn)行會(huì)話初始化驗(yàn)證

通信保密性

應(yīng)用開發(fā)安全評(píng)估-應(yīng)用安全

（S2）

b）應(yīng)對(duì)通信過程中的敏感信息字段進(jìn)行加密功能

VPN

a）應(yīng)提供數(shù)據(jù)有效性檢驗(yàn)功能，保證通過人機(jī)應(yīng)用開發(fā)安全評(píng)估-應(yīng)用安全

功能

接口輸入或通過通信接口輸入的數(shù)據(jù)格式或長(zhǎng)

軟件容錯(cuò)

度符合系統(tǒng)設(shè)定要求

（A2）

b）在故障發(fā)生時(shí)，應(yīng)用系統(tǒng)應(yīng)能夠繼續(xù)提供一應(yīng)用開發(fā)安全評(píng)估-應(yīng)用安全

功能

部分功能，確保能夠?qū)嵤┍匾拇胧?/p>

應(yīng)用開發(fā)安全評(píng)估-應(yīng)用安全

功能

a）當(dāng)應(yīng)用系統(tǒng)的通信雙方中的一方在一段時(shí)間

資源控制

內(nèi)未作任何響應(yīng)，另一方應(yīng)能夠自動(dòng)結(jié)束會(huì)話

（A2）

b）應(yīng)能夠?qū)ο到y(tǒng)的最大并發(fā)會(huì)話連接數(shù)進(jìn)行限應(yīng)用開發(fā)安全評(píng)估-應(yīng)用安全

制功能

應(yīng)用開發(fā)安全評(píng)估-應(yīng)用安全

C）應(yīng)能夠?qū)蝹€(gè)帳戶的多重并發(fā)會(huì)話進(jìn)行限制

功能

2.3.5數(shù)據(jù)安全

未做調(diào)研

2.3.6安全管理制度

類別測(cè)評(píng)項(xiàng)典型管理措施/差距分析

a）應(yīng)制定安全工作的總體方針和安全策

安全服務(wù)：信息安全管理咨詢

略，說明機(jī)構(gòu)安全工作的總體目標(biāo)、范圍、

IS027001認(rèn)證

原則和安全框架等

管理制度

b）應(yīng)對(duì)安全管理活動(dòng)中各類的管理內(nèi)容建安全服務(wù)：信息安全管理咨詢

（G2）

立安全管理制度IS027001認(rèn)證

C）應(yīng)對(duì)安全管理人員或操作人員執(zhí)行的重安全服務(wù)：信息安全管理咨詢

要管理操作建立操作規(guī)程IS027001認(rèn)證

a）指定或授權(quán)專門的部門或人員負(fù)責(zé)安全安全服務(wù)：信息安全管理咨詢

管理制度的制定IS027001認(rèn)證

制定和發(fā)布b）應(yīng)組織相關(guān)人員對(duì)制定的安全管理制度安全服務(wù)：信息安全管理咨詢

（G2）進(jìn)行論證和審定IS027001認(rèn)證

C）應(yīng)將安全管理制度以某種方式發(fā)布到相安全服務(wù)：信息安全管理咨詢

關(guān)人員手中IS027001認(rèn)證

評(píng)審和修訂應(yīng)定期對(duì)安全管理制度進(jìn)行評(píng)審，對(duì)存在不安全服務(wù)：信息安全管理咨詢

（G2）足或需要改進(jìn)的安全管理制度進(jìn)行修訂。IS027001認(rèn)證

2.3.7安全管理機(jī)構(gòu)

類別測(cè)評(píng)項(xiàng)典型管理措施/差距分析

a）應(yīng)設(shè)立安全主管、安全管理各個(gè)方面的安全服務(wù)：信息安全管理咨詢

崗位設(shè)置

負(fù)責(zé)人崗位，定義各負(fù)責(zé)人的職責(zé)IS027001認(rèn)證

（G2）

b）應(yīng)設(shè)立系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全安全服務(wù)：信息安全管理咨詢

管理員等崗位，并定義各個(gè)工作崗位的職責(zé)IS027001認(rèn)證

a)應(yīng)配備一定數(shù)量的系統(tǒng)管理人員、網(wǎng)絡(luò)安全服務(wù)：信息安全管理咨詢

人員配備管理人員、安全管理員等IS027001認(rèn)證

(G2)b)安全管理員不能兼任網(wǎng)絡(luò)管理員、系統(tǒng)安全服務(wù)：信息安全管理咨詢

管理員、數(shù)據(jù)庫(kù)管理員等IS027001認(rèn)證

a)應(yīng)根據(jù)各個(gè)部門和崗位的職責(zé)明確授權(quán)

審批部門及審批人，對(duì)系統(tǒng)投入運(yùn)行、網(wǎng)絡(luò)安全服務(wù)：信息安全管理咨詢

授權(quán)和審批系統(tǒng)接入和重要資源的訪問等關(guān)鍵活動(dòng)進(jìn)IS027001認(rèn)證

(G2)行審批

b)應(yīng)針對(duì)關(guān)鍵活動(dòng)建立審批流程，并由批安全服務(wù)：信息安全管理咨詢

準(zhǔn)人簽字確認(rèn)IS027001認(rèn)證

a)應(yīng)加強(qiáng)各類管理人員之間、組織內(nèi)部機(jī)

安全服務(wù)：信息安全管理咨詢

構(gòu)之間以及信息安全職能部門內(nèi)部的合作

溝通和合作IS027001認(rèn)證

與溝通

(G2)

b)應(yīng)加強(qiáng)與兄弟單位、公安機(jī)關(guān)、電信公安全服務(wù)：信息安全管理咨詢

司的合作與溝通IS027001認(rèn)證

安全管理員應(yīng)負(fù)責(zé)定期進(jìn)行安全檢查,檢查

審核和檢查安全服務(wù)：信息安全管理咨詢

內(nèi)容包括系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備

(G2)IS027001認(rèn)證

份等情況

2.3.8人員安全管理

類別測(cè)評(píng)項(xiàng)典型管理措施/差距分析

a)應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)安全服務(wù)：信息安全管理咨詢

人員錄用IS027001認(rèn)證

b)應(yīng)規(guī)范人員錄用過程，對(duì)被錄用人的

人員錄用安全服務(wù)：信息安全管理咨詢

身份、背景和專業(yè)資格等進(jìn)行審查，對(duì)其

(G2)IS027001認(rèn)證

所具有的技術(shù)技能進(jìn)行考核

C)應(yīng)與從事關(guān)鍵崗位的人員簽署保密協(xié)安全服務(wù)：信息安全管理咨詢

議IS027001認(rèn)證

a)應(yīng)規(guī)范人員離崗過程，及時(shí)終止離崗安全服務(wù)：信息安全管理咨詢

人員離崗

員工的所有訪問權(quán)限IS027001認(rèn)證

(G2)

b)對(duì)于離崗人員，應(yīng)取回各種身份證件、安全服務(wù)：信息安全管理咨詢

鑰匙、徽章等以及機(jī)構(gòu)提供的軟硬件設(shè)備IS027001認(rèn)證

人員考核應(yīng)定期對(duì)各個(gè)崗位的人員進(jìn)行安全技能安全服務(wù)：信息安全管理咨詢

(G2)及安全認(rèn)知的考核IS027001認(rèn)證

安全服務(wù)：信息安全管理咨詢

a)應(yīng)對(duì)各類人員進(jìn)行安全意識(shí)教育、崗

IS027001認(rèn)證

位技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn)

信息安全培訓(xùn)

安全意識(shí)教育和培b)應(yīng)告知人員相關(guān)的安全責(zé)任和懲戒措安全服務(wù)：信息安全管理咨詢

訓(xùn)施，并對(duì)違反違背安全策略和規(guī)定的人員IS027001認(rèn)證

(G2)進(jìn)行懲戒信息安全培訓(xùn)

安全服務(wù)：信息安全管理咨詢

C)應(yīng)制定安全教育和培訓(xùn)計(jì)劃，對(duì)信息安

IS027001認(rèn)證

全基礎(chǔ)知識(shí)、崗位操作規(guī)程等進(jìn)行培訓(xùn)

信息安全培訓(xùn)

a)應(yīng)確保在外部人員訪問受控區(qū)域前先安全服務(wù)：信息安全管理咨詢

外部人員訪問管理

提出書面申請(qǐng)，批準(zhǔn)后由專人全程陪同或IS027001認(rèn)證

(G2)

監(jiān)督，并登記備案信息安全培訓(xùn)

2.3.9系統(tǒng)安全建設(shè)

類別測(cè)評(píng)項(xiàng)典型管理措施/差距分析

a)應(yīng)明確信息系統(tǒng)的邊界和安全保護(hù)等

具備等級(jí)保護(hù)等級(jí)報(bào)告

級(jí)

系統(tǒng)定級(jí)b)應(yīng)以書面的形式說明確定信息系統(tǒng)為具備等級(jí)保護(hù)等級(jí)報(bào)告

(G2)某個(gè)安全保護(hù)等級(jí)的方法和理由

C)應(yīng)確保信息系統(tǒng)的定級(jí)結(jié)果經(jīng)過相關(guān)具備等級(jí)保護(hù)等級(jí)報(bào)告

部門的批準(zhǔn)

a)應(yīng)根據(jù)系統(tǒng)的安全保護(hù)等級(jí)選擇基本

風(fēng)險(xiǎn)評(píng)估服務(wù)

安全措施，并依據(jù)風(fēng)險(xiǎn)分析的結(jié)果補(bǔ)充和

調(diào)整安全措施

安全方案設(shè)計(jì)b)應(yīng)以書面形式描述對(duì)系統(tǒng)的安全保護(hù)

整體安全建設(shè)方案

(G2)要求、策略和措施等內(nèi)容，形成系統(tǒng)的安

全方案

C)應(yīng)對(duì)安全方案進(jìn)行細(xì)化,形成能指導(dǎo)安安全設(shè)計(jì)方案

全系統(tǒng)建設(shè)、安全產(chǎn)品采購(gòu)和使用的詳細(xì)

設(shè)計(jì)方案

d）應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家

對(duì)安全設(shè)計(jì)方案的合理性和正確性進(jìn)行

專家論證會(huì)證明材料

論證和審定，并且經(jīng)過批準(zhǔn)后，才能正式

實(shí)施

a）應(yīng)確保安全產(chǎn)品采購(gòu)和使用符合國(guó)家

安全產(chǎn)品資質(zhì)

的有關(guān)規(guī)定

產(chǎn)品采購(gòu)和使用b）應(yīng)確保密碼產(chǎn)品采購(gòu)和使用符合國(guó)家安全產(chǎn)品資質(zhì)

（G2）密碼主管部門的要求

C）應(yīng)指定或授權(quán)專門的部門負(fù)責(zé)產(chǎn)品的安全產(chǎn)品資質(zhì)

采購(gòu)

a）應(yīng)確保開發(fā)環(huán)境與實(shí)際運(yùn)行環(huán)境物理

應(yīng)用開發(fā)測(cè)試安全域

分開

自行軟件開發(fā)b）應(yīng)制定軟件開發(fā)管理制度，明確說明

軟件開發(fā)管理制度

（G2）開發(fā)過程的控制方法和人員行為準(zhǔn)則

C）應(yīng)確保提供軟件設(shè)計(jì)的相關(guān)文檔和使

軟件設(shè)計(jì)的相關(guān)文檔

用指南，并由專人負(fù)責(zé)保管

a）應(yīng)根據(jù)開發(fā)需求檢測(cè)軟件質(zhì)量應(yīng)用開發(fā)安全服務(wù)

b）應(yīng)確保提供軟件設(shè)計(jì)的相關(guān)文檔和使

應(yīng)用開發(fā)安全服務(wù)

用指南

外包軟件開發(fā)

C）應(yīng)在軟件安裝之前檢測(cè)軟件包中可能

（G2）應(yīng)用開發(fā)安全服務(wù)-上線測(cè)試

存在的惡意代碼

d）應(yīng)要求開發(fā)單位提供軟件源代碼，并

應(yīng)用開發(fā)安全服務(wù)-上線測(cè)試

審查軟件中可能存在的后門

a）應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)

實(shí)施監(jiān)理

工程實(shí)施工程實(shí)施過程的管理

（G2）b）應(yīng)制定詳細(xì)的工程實(shí)施方案控制實(shí)施

實(shí)施監(jiān)理

過程，控制工程實(shí)施過程

a）應(yīng)對(duì)系統(tǒng)進(jìn)行安全性測(cè)試驗(yàn)收上線入網(wǎng)安全測(cè)試

b）在測(cè)試驗(yàn)收前應(yīng)根據(jù)設(shè)計(jì)方案或合同

測(cè)試驗(yàn)收要求等制訂測(cè)試驗(yàn)收方案，在測(cè)試驗(yàn)收過

上線入網(wǎng)安全測(cè)試

（G2）程中應(yīng)詳細(xì)記錄測(cè)試驗(yàn)收結(jié)果，并形成測(cè)

試驗(yàn)收?qǐng)?bào)告

C）應(yīng)組織相關(guān)部門和相關(guān)人員對(duì)系統(tǒng)測(cè)上線入網(wǎng)安全測(cè)試

試驗(yàn)收?qǐng)?bào)告進(jìn)行審定，并簽字確認(rèn)

a）應(yīng)制定系統(tǒng)交付清單，并根據(jù)交付清

單對(duì)所交接的設(shè)備、軟件和文檔等進(jìn)行清實(shí)施監(jiān)理

點(diǎn)

系統(tǒng)交付

b）應(yīng)對(duì)負(fù)責(zé)系統(tǒng)運(yùn)行維護(hù)的技術(shù)人員進(jìn)

（G2）培訓(xùn)

行相應(yīng)的技能培訓(xùn)

C）應(yīng)確保提供系統(tǒng)建設(shè)過程中的文檔和

實(shí)施文檔

指導(dǎo)用戶進(jìn)行系統(tǒng)運(yùn)行維護(hù)的文檔

a）應(yīng)確保安全服務(wù)商的選擇符合國(guó)家的

服務(wù)商資質(zhì)

有關(guān)規(guī)定

安全服務(wù)商選擇b）應(yīng)與選定的安全服務(wù)商簽訂與安全相

明確的服務(wù)合同和授權(quán)

（G2）關(guān)的協(xié)議，明確約定相關(guān)責(zé)任

C）應(yīng)確保選定的安全服務(wù)商提供技術(shù)培

明確的服務(wù)合同和授權(quán)

訓(xùn)和服務(wù)承諾，必要的與其簽訂服務(wù)合同

2.3.10系統(tǒng)安全運(yùn)維

類別測(cè)評(píng)項(xiàng)典型管理措施/差距分析

a）應(yīng)指定專門的部門或人員定期對(duì)機(jī)房

供配電、空調(diào)、溫濕度控制等設(shè)施進(jìn)行維

護(hù)管理

b）應(yīng)指定部門負(fù)責(zé)機(jī)房安全，并配備機(jī)

房安全管理人員，對(duì)機(jī)房的出入、服務(wù)器

信息安全管理咨詢服務(wù)一機(jī)房

環(huán)境管理的開機(jī)或關(guān)機(jī)等工作進(jìn)行管理

和管理管理

（G2）C）應(yīng)建立機(jī)房安全管理制度，對(duì)有關(guān)機(jī)房

IS027001

物理訪問，物品帶進(jìn)、帶出機(jī)房和機(jī)房環(huán)

境安全等方面的管理作出規(guī)定

d）應(yīng)加強(qiáng)對(duì)辦公環(huán)境的保密性管理，包

括工作人員調(diào)離辦公室應(yīng)立即交還該辦