等保三級(jí)建設(shè)方案

等級(jí)保護(hù)三級(jí)建設(shè)方案 51.1建設(shè)背景 5 51.3建設(shè)依據(jù) 6 72.1安全物理環(huán)境需求 7 72.3安全區(qū)域邊界需求 82.4安全計(jì)算環(huán)境需求 82.5安全管理中心需求 9 92.7構(gòu)建安全運(yùn)維體系 3總體方案介紹： 103.1設(shè)計(jì)原則 3.2網(wǎng)絡(luò)安全等級(jí)保護(hù)建設(shè)過程 3.3安全保障體系構(gòu)成 3.3.1安全技術(shù)體系 3.3.2安全管理體系 3.3.3安全運(yùn)維體系 4安全技術(shù)體系設(shè)計(jì) 134.1安全區(qū)劃分 4.2整體方案拓?fù)湓O(shè)計(jì) 4.3安全物理環(huán)境保護(hù)措施 4.4安全通信網(wǎng)絡(luò)保護(hù)措施 4.4.1通信傳輸安全 4.4.2網(wǎng)絡(luò)架構(gòu)安全 4.4.3網(wǎng)絡(luò)設(shè)備自身防護(hù) 4.5.1負(fù)載均衡技術(shù) 4.5.4入侵防范技術(shù) 4.5.5惡意代碼防范技術(shù) 4.5.6網(wǎng)絡(luò)審計(jì)技術(shù) 204.6安全計(jì)算環(huán)境設(shè)計(jì) 4.6.1主機(jī)防病毒技術(shù) 20 4.6.3漏洞掃描技術(shù) 214.6.4數(shù)據(jù)庫審計(jì)技術(shù) 214.6.5數(shù)據(jù)備份技術(shù) 214.7安全管理中心保護(hù)措施 24.7.1安全運(yùn)維管理與審計(jì)技術(shù) 224.7.2集中日志收集與分析技術(shù) 224.7.3安全集中管控 225安全管理體系設(shè)計(jì) 235.1安全管理機(jī)構(gòu)設(shè)計(jì) 5.1.1網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組 5.1.2信息中心 295.1.3安全維護(hù)組 5.2安全管理人員設(shè)計(jì) 5.2.2人員離崗 5.2.3安全意識(shí)教育和培訓(xùn) 5.2.4外部人員訪問管理 5.3.1規(guī)章制度 5.3.2管理流程 5.3.4保密協(xié)議 5.4.1系統(tǒng)定級(jí)和備案 38 5.4.3安全產(chǎn)品采購 5.4.4外包軟件開發(fā) 40 41 415.4.8等級(jí)測(cè)評(píng) 5.4.9安全服務(wù)商選擇 5.5安全運(yùn)維管理設(shè)計(jì) 5.5.1環(huán)境管理 42 435.5.3介質(zhì)管理 5.5.4設(shè)備維護(hù)管理 5.5.5漏洞和風(fēng)險(xiǎn)管理 445.5.6網(wǎng)絡(luò)和系統(tǒng)安全管理 45 5.5.10變更管理 46 47 47 48 48 6.1安全咨詢服務(wù) 6.2安全評(píng)估服務(wù) 6.3安全加固服務(wù) 6.4滲透測(cè)試服務(wù) 6.6應(yīng)急響應(yīng)服務(wù) 546.7系統(tǒng)上線前檢測(cè)服務(wù) 1.1建設(shè)背景隨著信息化建設(shè)的推進(jìn)，信息化建設(shè)成效顯著,但網(wǎng)絡(luò)環(huán)境各種安全漏洞為加強(qiáng)信息系統(tǒng)綜合安全防御體系，本次安全建設(shè)按照國(guó)家等保要求《信息安行相關(guān)規(guī)劃和部署。建立信息系統(tǒng)綜合防護(hù)體系，落實(shí)安全保護(hù)技術(shù)措施，使1.2安全目標(biāo)本次開展網(wǎng)絡(luò)安全等級(jí)保護(hù)建設(shè)工作的總體目標(biāo)是：“遵循國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)有關(guān)法規(guī)規(guī)定和標(biāo)準(zhǔn)規(guī)范，通過全面開展網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)備案、建設(shè)整改和等級(jí)測(cè)評(píng)工作，進(jìn)一步完善信息系統(tǒng)安落實(shí)網(wǎng)絡(luò)安全責(zé)任，切實(shí)提高系統(tǒng)網(wǎng)絡(luò)安全防護(hù)能力，為業(yè)務(wù)工作順利開展和信息化健康發(fā)展提供可靠保障。”(1)體系建設(shè)，實(shí)現(xiàn)按需防御。通過體系設(shè)計(jì)制定等級(jí)方案，進(jìn)行安全技術(shù)體系、安全管理體系和安全運(yùn)維體系建設(shè)，實(shí)現(xiàn)按需防御。(2)安全運(yùn)維，確保持續(xù)安全。通過安全監(jiān)控、安全加固等運(yùn)維手段，從事前、事中、事后三個(gè)方面進(jìn)行安全運(yùn)行維護(hù)，實(shí)現(xiàn)持續(xù)性按需防御的安全需(3)通過合規(guī)性建設(shè)，提升信息系統(tǒng)安全防護(hù)能力，保障系統(tǒng)網(wǎng)絡(luò)安全，同時(shí)滿足國(guó)家等級(jí)保護(hù)的合規(guī)性要求，為信息化工作的推進(jìn)保駕護(hù)航。1.3建設(shè)依據(jù)國(guó)家政策相關(guān)文件(1)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》(國(guó)務(wù)院147號(hào)(2)《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)網(wǎng)絡(luò)安全保障工作的意見》(中辦發(fā)[2003]27號(hào));(3)《關(guān)于網(wǎng)絡(luò)安全等級(jí)保護(hù)工作的實(shí)施意見》(公通字[2004]66號(hào));(4)《信息安全等級(jí)保護(hù)管理辦法》(公通字[2007]43號(hào));(5)《信息安全等級(jí)保護(hù)備案實(shí)施細(xì)則》(公信安[2007]1360號(hào));(6)《關(guān)于開展網(wǎng)絡(luò)安全等級(jí)保護(hù)安全建設(shè)整改工作的指導(dǎo)意見》(公信安[2009]1429號(hào))。(7)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》等級(jí)保護(hù)及網(wǎng)絡(luò)安全相關(guān)國(guó)家標(biāo)準(zhǔn)(1)《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》(GB17859-1999);(2)《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》(GBT25058-2010);(3)《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》(GB/T22240-2020);(4)《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》(GB/T22239-2019)(5)《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)設(shè)計(jì)技術(shù)要求》(GB/T25070-2019)(6)《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》(GB/T28448-2019)(7)《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)等級(jí)保護(hù)測(cè)評(píng)過程指南》(8)《信息安全技術(shù)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估規(guī)范》(GB/T(9)《信息安全技術(shù)信息系統(tǒng)安全管理要求》(GB/T(10)《信息技術(shù)安全技術(shù)網(wǎng)絡(luò)安全管理體系要求》(GB/T22080-2008(idtISO/IEC(11)《信息技術(shù)安全技術(shù)網(wǎng)絡(luò)安全管理實(shí)用準(zhǔn)則》(GB/T22081-2008(idtISO/IEC(12)《信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求》(GB/T20271-2006)及相關(guān)的一系列具體技術(shù)標(biāo)準(zhǔn)。2需求分析2.1安全物理環(huán)境需求無任何管控、監(jiān)控措施，存在較大安全隱患；機(jī)房?jī)?nèi)若無防火措因此本次安全建設(shè)需保障XXXXX網(wǎng)絡(luò)環(huán)境周邊物理環(huán)境安全和物理設(shè)備2.2安全通信網(wǎng)絡(luò)需求通信網(wǎng)絡(luò)重點(diǎn)關(guān)注的安全問題主要是網(wǎng)絡(luò)傳輸?shù)陌踩?、網(wǎng)絡(luò)架構(gòu)的穩(wěn)定性等。因此在XXXXX網(wǎng)絡(luò)通信安全方面需要采用的安全技術(shù)手段包括：公司員工進(jìn)行遠(yuǎn)程辦公或運(yùn)維人員遠(yuǎn)程運(yùn)維時(shí)，數(shù)據(jù)需要通過互聯(lián)網(wǎng)進(jìn)行傳輸，如若不采取安全措施，傳輸數(shù)據(jù)易被竊聽或篡改；為防止網(wǎng)絡(luò)出現(xiàn)單點(diǎn)故障，同時(shí)保證網(wǎng)絡(luò)架構(gòu)安全，建議對(duì)網(wǎng)絡(luò)進(jìn)行區(qū)域的合理劃分、對(duì)重要網(wǎng)絡(luò)區(qū)域的可靠隔離、同時(shí)需進(jìn)行通信鏈路和節(jié)點(diǎn)設(shè)備的使用上的安全弱點(diǎn)，一旦被暴露，可能導(dǎo)致網(wǎng)絡(luò)設(shè)備自身的不安全。例如對(duì)網(wǎng)絡(luò)設(shè)備登錄用戶的身份鑒別機(jī)制過于簡(jiǎn)單，對(duì)用戶的登錄和訪問行為缺少控制2.3安全區(qū)域邊界需求區(qū)域邊界重點(diǎn)關(guān)注的安全問題主要是對(duì)流入、流出邊界的數(shù)據(jù)流進(jìn)行有效的控制和監(jiān)督。因此在XXXXX網(wǎng)絡(luò)區(qū)域邊界安全方面需要采用的安全技術(shù)手●異常流量管理與抗拒絕服務(wù)攻擊：在互聯(lián)網(wǎng)出口能夠準(zhǔn)確識(shí)別夾雜在復(fù)雜網(wǎng)絡(luò)流量中的各種已知和未知的應(yīng)用層拒絕服務(wù)攻擊流量，并提供實(shí)時(shí)過濾和清洗，確保應(yīng)用服務(wù)持續(xù)可用。●邊界安全控制：在互聯(lián)網(wǎng)邊界、內(nèi)部各個(gè)網(wǎng)絡(luò)區(qū)域邊界以及虛擬機(jī)邊界可根據(jù)基于會(huì)話狀態(tài)檢測(cè)的訪問控制，默認(rèn)拒絕所有進(jìn)出通信，對(duì)于合法通信明確設(shè)置允許規(guī)則；啟用應(yīng)用識(shí)別和過濾功能，對(duì)進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流實(shí)現(xiàn)基于應(yīng)用協(xié)議和協(xié)議指令的訪問控制。●病毒過濾網(wǎng)關(guān)：能夠?qū)W(wǎng)絡(luò)數(shù)據(jù)流中夾帶的惡意代碼進(jìn)行檢測(cè)和清除，并提供病毒庫和檢測(cè)引擎的自動(dòng)升級(jí)更新。●網(wǎng)絡(luò)入侵防御：需要在互聯(lián)網(wǎng)接入邊界，實(shí)時(shí)發(fā)現(xiàn)和阻止從外部網(wǎng)絡(luò)發(fā)起的網(wǎng)絡(luò)攻擊行為；●非法外聯(lián)監(jiān)控：防止內(nèi)部終端設(shè)備繞過網(wǎng)絡(luò)邊界安全設(shè)備私自連接外部網(wǎng)絡(luò)，給信息系統(tǒng)帶來無法預(yù)見和控制的安全風(fēng)險(xiǎn)?！窬W(wǎng)絡(luò)審計(jì)：對(duì)各類用戶的網(wǎng)絡(luò)訪問行為和網(wǎng)絡(luò)傳輸內(nèi)容進(jìn)行記錄，對(duì)所發(fā)生安全事故的追蹤與調(diào)查取證提供詳實(shí)縝密的數(shù)據(jù)支持。2.4安全計(jì)算環(huán)境需求計(jì)算環(huán)境重點(diǎn)關(guān)注的安全問題主要是相關(guān)業(yè)務(wù)系統(tǒng)的安全和承載業(yè)務(wù)系統(tǒng)的硬件安全。因此XXXXX網(wǎng)絡(luò)在區(qū)域邊界安全方面需要采用的安全技術(shù)手段●統(tǒng)一身份鑒別：需對(duì)登錄操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應(yīng)用系統(tǒng)的用戶進(jìn)行集中的身份標(biāo)識(shí)和鑒別，確保只有認(rèn)證用戶才能訪問其授權(quán)范圍內(nèi)的系統(tǒng)和數(shù)據(jù)資源?！窬W(wǎng)絡(luò)防病毒：需要在所有服務(wù)器、終端系統(tǒng)中部署防病毒軟件來保護(hù)其免受惡意代碼侵害?！窬W(wǎng)站安全：XXXXX網(wǎng)絡(luò)在對(duì)外提供網(wǎng)站服務(wù)時(shí)，需能有效抵御黑客攻擊、SQL注入、XSS、網(wǎng)頁篡改等攻擊威脅，防止被非法篡改和破壞，能有效保護(hù)網(wǎng)站安全運(yùn)行?！衤┒磼呙瑁盒枰捎脤I(yè)的安全漏洞掃描工具，配合人工服務(wù)，定期對(duì)XXXXX網(wǎng)絡(luò)網(wǎng)站的網(wǎng)絡(luò)、服務(wù)器、重要終端中存在的已知安全漏洞進(jìn)行掃描和評(píng)估，并及時(shí)封堵漏洞，做到防患于未然?！駭?shù)據(jù)庫訪問控制和安全審計(jì)：針對(duì)數(shù)據(jù)庫服務(wù)器，能夠進(jìn)行細(xì)粒度的訪問控制與審計(jì)?！袢罩緦徲?jì)：對(duì)XXXXX網(wǎng)絡(luò)的所有服務(wù)器操作系統(tǒng)、應(yīng)用系統(tǒng)和新增的各種安全系統(tǒng)均開啟完整的日志記錄功能，對(duì)重要的用戶行為和重要安全事件進(jìn)行審計(jì)，并將審計(jì)記錄實(shí)時(shí)發(fā)送給集中的日志服務(wù)器，便于長(zhǎng)期存儲(chǔ)保護(hù)和分析使用?！駭?shù)據(jù)備份恢復(fù)：通過構(gòu)建數(shù)據(jù)備份系統(tǒng)，當(dāng)發(fā)生安全事件后能迅速恢復(fù)，不影響業(yè)務(wù)正常運(yùn)行。2.5安全管理中心需求XXXXX網(wǎng)絡(luò)缺少相應(yīng)的技術(shù)手段來對(duì)網(wǎng)絡(luò)內(nèi)部眾多的網(wǎng)絡(luò)設(shè)備、安全設(shè)備以及服務(wù)器的集中管理，缺乏對(duì)各種安全事件進(jìn)行統(tǒng)一監(jiān)測(cè)、分析、預(yù)警的能力，同時(shí)網(wǎng)絡(luò)安全管理和運(yùn)維工作效率低下、工作負(fù)擔(dān)重，需要借助自動(dòng)化、平臺(tái)化的技術(shù)工具提高管理效率。2.6構(gòu)建安全管理保障體系根據(jù)國(guó)家有關(guān)網(wǎng)絡(luò)安全等級(jí)保護(hù)方面的標(biāo)準(zhǔn)和規(guī)范要求，結(jié)合XXXXX網(wǎng)絡(luò)實(shí)際安全需求，建立一套切實(shí)可行的安全管理體系。安全管理是安全系統(tǒng)建設(shè)的重要部分，是保障安全技術(shù)手段發(fā)揮正常功效的保障之一，安全管理的根本目的是規(guī)范和約束相關(guān)的系統(tǒng)運(yùn)行維護(hù)的安全操作，貫徹執(zhí)行安全策略的各項(xiàng)要求，安全管理的具體表現(xiàn)形式往往為安全管理2.7構(gòu)建安全運(yùn)維體系統(tǒng)進(jìn)行安全運(yùn)維的組織團(tuán)隊(duì)。必要時(shí)需要借助專業(yè)的第三方安全服務(wù)團(tuán)隊(duì)，幫保持在較高水平。安全運(yùn)維服務(wù)的主要工作包括安全評(píng)估、安全加固、安全監(jiān)3總體方案介紹：3.1設(shè)計(jì)原則統(tǒng)一布局、統(tǒng)一設(shè)計(jì)、規(guī)范標(biāo)準(zhǔn)，并根據(jù)實(shí)際需要及投資金額，突出重點(diǎn)、分步實(shí)施，保證系統(tǒng)建設(shè)的完整性和投資的有效性。在方案設(shè)計(jì)和項(xiàng)目建設(shè)中應(yīng)統(tǒng)一規(guī)劃、分步實(shí)施原則在網(wǎng)絡(luò)安全等級(jí)保護(hù)的建設(shè)過程中，將首先從一個(gè)完整的網(wǎng)絡(luò)系統(tǒng)體系結(jié)構(gòu)出發(fā)，全方位、多層次的綜合考慮信息網(wǎng)絡(luò)的各種實(shí)體和各個(gè)環(huán)節(jié)，運(yùn)用信息系統(tǒng)工程的觀點(diǎn)和方法論進(jìn)行統(tǒng)一的、整體性的設(shè)計(jì)，將有限的資源集中解決最緊迫問題，為后繼的安全實(shí)施提供基礎(chǔ)保障，通過逐步實(shí)施，來達(dá)到信息網(wǎng)絡(luò)系統(tǒng)的安全強(qiáng)化。從解決主要的問題入手，伴隨信息系統(tǒng)應(yīng)用的開展，逐步提高和完善信息系統(tǒng)的建設(shè)，充分利用現(xiàn)有資源進(jìn)行合理整合的原則。標(biāo)準(zhǔn)性和規(guī)范化原則網(wǎng)絡(luò)安全等級(jí)保護(hù)建設(shè)應(yīng)當(dāng)嚴(yán)格遵循國(guó)家和行業(yè)有關(guān)法律法規(guī)和技術(shù)規(guī)范的要求，從業(yè)務(wù)、技術(shù)、運(yùn)行管理等方面對(duì)項(xiàng)目的整體建設(shè)和實(shí)施進(jìn)行設(shè)計(jì)，根據(jù)信息系統(tǒng)的重要程度、業(yè)務(wù)特點(diǎn)，通過劃分不同安全保護(hù)等級(jí)的信息系統(tǒng)，實(shí)現(xiàn)不同強(qiáng)度的安全保護(hù)，集中資源優(yōu)先保護(hù)涉及核心業(yè)務(wù)或關(guān)鍵信息適度安全原則安全風(fēng)險(xiǎn)和安全成本之間進(jìn)行平衡和折中，過多的安全要求必將造成安全成本適度安全也是等級(jí)保護(hù)建設(shè)的初衷，因此在進(jìn)行等級(jí)保護(hù)設(shè)計(jì)的過程中，一方面要嚴(yán)格遵循基本要求，從物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)等層面加強(qiáng)防護(hù)措施，保障信息系統(tǒng)的機(jī)密性、完整性和可用性，另外也要綜合考慮業(yè)務(wù)和成本的因素，針對(duì)信息系統(tǒng)的實(shí)際風(fēng)險(xiǎn)，提出對(duì)應(yīng)的保護(hù)強(qiáng)度，并按照保護(hù)強(qiáng)度進(jìn)行安全防護(hù)系統(tǒng)的設(shè)計(jì)和建設(shè)，從而有效控制成本。技術(shù)管理并重原則網(wǎng)絡(luò)安全問題從來就不是單純的技術(shù)問題，把防范黑客入侵和病毒感染理解為網(wǎng)絡(luò)安全問題的全部是片面的，僅僅通過部署安全產(chǎn)品很難完全覆蓋所有的網(wǎng)絡(luò)安全問題，因此必須要把技術(shù)措施和管理措施結(jié)合起來，更有效的保障先進(jìn)形和成熟性原則所建設(shè)的安全體系應(yīng)當(dāng)在設(shè)計(jì)理念、技術(shù)體系、產(chǎn)品選型等方面實(shí)現(xiàn)先進(jìn)性和成熟性的統(tǒng)一。本方案設(shè)計(jì)采用國(guó)際先進(jìn)實(shí)用的安全技術(shù)和國(guó)產(chǎn)優(yōu)秀安全產(chǎn)品，選擇目前和未來一定時(shí)期內(nèi)有代表性和先進(jìn)性的成熟的安全技術(shù)，既保證當(dāng)前系統(tǒng)的高安全可靠，又滿足系統(tǒng)在很長(zhǎng)生命周期內(nèi)有持續(xù)的可維護(hù)和可網(wǎng)絡(luò)安全問題不是靜態(tài)的。信息系統(tǒng)安全保障體系的設(shè)計(jì)和建設(shè)，必須遵循動(dòng)態(tài)性原則。必須適應(yīng)不斷發(fā)展的信息技術(shù)和不斷改變的脆弱性，必須能夠及時(shí)地、不斷地改進(jìn)和完善系統(tǒng)的安全保障措施。經(jīng)濟(jì)性原則項(xiàng)目設(shè)計(jì)和建設(shè)過程中，將充分利用現(xiàn)有資源，在可用性的前提條件下充分保證系統(tǒng)建設(shè)的經(jīng)濟(jì)性，提高投資效率，避免重復(fù)建設(shè)。3.2網(wǎng)絡(luò)安全等級(jí)保護(hù)建設(shè)過程網(wǎng)絡(luò)安全等級(jí)保護(hù)建設(shè)的生命周期系統(tǒng)構(gòu)成包括：系統(tǒng)定級(jí)備案、差距分析評(píng)估、總體規(guī)劃設(shè)計(jì)、安全整改實(shí)施、等級(jí)測(cè)評(píng)和風(fēng)險(xiǎn)評(píng)估、系統(tǒng)安全運(yùn)維等方面。本方案設(shè)計(jì)重點(diǎn)在于總體規(guī)劃設(shè)計(jì)以及項(xiàng)目整改建設(shè)實(shí)施。3.3安全保障體系構(gòu)成構(gòu)建XXXXX網(wǎng)絡(luò)安全等級(jí)保護(hù)方案的設(shè)計(jì)思想是以等級(jí)保護(hù)的“一個(gè)中心、三重防護(hù)”為核心指導(dǎo)思想，構(gòu)建集防護(hù)、檢測(cè)、響應(yīng)、恢復(fù)于一體的全面的安全保障體系。具體體現(xiàn)為：以全面貫徹落實(shí)等級(jí)保護(hù)制度為核心，打造科學(xué)實(shí)用的網(wǎng)絡(luò)安全防護(hù)能力、安全風(fēng)險(xiǎn)監(jiān)測(cè)能力、應(yīng)急響應(yīng)能力和災(zāi)難恢復(fù)能力，從安全技術(shù)、安全管理、安全運(yùn)維三個(gè)角度構(gòu)建安全防護(hù)體系，切實(shí)保障網(wǎng)絡(luò)安全。參考《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)設(shè)計(jì)技術(shù)要求》(GB/T25070-2019)(以下簡(jiǎn)稱《設(shè)計(jì)技術(shù)要求》),安全技術(shù)體系設(shè)計(jì)內(nèi)容主要涵蓋到“一個(gè)中心、三重防護(hù)”。即安全管理中心、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)、安全計(jì)算環(huán)境。僅有安全技術(shù)防護(hù)，無嚴(yán)格的安全管理相配合，是難以保障整個(gè)系統(tǒng)的穩(wěn)定安全運(yùn)行。應(yīng)該在安全建設(shè)、運(yùn)行、維護(hù)、管理都要重視安全管理，嚴(yán)格按制度進(jìn)行辦事，明確責(zé)任權(quán)力，規(guī)范操作，加強(qiáng)人員、設(shè)備的管理以及人員的培訓(xùn)，提高安全管理水平，同時(shí)加強(qiáng)對(duì)緊急事件的應(yīng)對(duì)能力，通過預(yù)防措施和恢復(fù)控制相結(jié)合的方式，使由意外事故所引起的破壞減小至可接受程度。由于安全技術(shù)和管理的復(fù)雜性、專業(yè)性和動(dòng)態(tài)性，業(yè)務(wù)信息系統(tǒng)安全的規(guī)劃、設(shè)計(jì)、建設(shè)、運(yùn)行維護(hù)均需要有較為專業(yè)的安全服務(wù)支持。安全運(yùn)維服務(wù)包括系統(tǒng)日常維護(hù)、安全加固、應(yīng)急響應(yīng)、業(yè)務(wù)持續(xù)性管理、安全審計(jì)、安全4安全技術(shù)體系設(shè)計(jì)4.1安全區(qū)劃分建分區(qū)、分等級(jí)的安全防護(hù)體系?；趨^(qū)進(jìn)行安全設(shè)計(jì)的總體思想是：將原本復(fù)雜的系統(tǒng)，根據(jù)支撐業(yè)務(wù)、信息資產(chǎn)、地理位置、使用單位等要素劃分為多個(gè)相對(duì)獨(dú)立的安全區(qū)域，然后業(yè)務(wù)服務(wù)種類繁、用戶對(duì)象多、等特點(diǎn)，因此采用基于安全區(qū)的安全設(shè)計(jì)辦法是非常有效的，將XXXXX根據(jù)業(yè)務(wù)訪問關(guān)系劃分為多個(gè)安全區(qū)域，然后根據(jù)各個(gè)安全區(qū)域的特點(diǎn)分別有針對(duì)性地設(shè)計(jì)保護(hù)措施和安全策略，將大大提升防護(hù)的有效性，同時(shí)也體現(xiàn)出重點(diǎn)資產(chǎn)、重點(diǎn)防范的建設(shè)原則?！龌ヂ?lián)網(wǎng)接入?yún)^(qū)：包括外聯(lián)路由及出口安全設(shè)備。■核心交換區(qū)：包括核心交換機(jī)與內(nèi)網(wǎng)防火墻■業(yè)務(wù)服務(wù)器區(qū)：核心業(yè)務(wù)區(qū)域包含各個(gè)業(yè)務(wù)系統(tǒng)?！鯠MZ區(qū)：包括對(duì)外發(fā)布服務(wù)器等?！鲞\(yùn)維管理區(qū)：包括對(duì)網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)、應(yīng)用系統(tǒng)和安全系統(tǒng)提供集中管理、運(yùn)維的服務(wù)器主機(jī)，該區(qū)域提供服務(wù)器主機(jī)及安全設(shè)備的網(wǎng)絡(luò)接入。4.2整體方案拓?fù)湓O(shè)計(jì)針對(duì)XXXXX信息系統(tǒng)，基于分級(jí)分區(qū)保護(hù)的總體部署設(shè)計(jì)邏輯示意圖如下互聯(lián)網(wǎng)接入?yún)^(qū)互聯(lián)網(wǎng)接入?yún)^(qū)沙箱業(yè)務(wù)服務(wù)器區(qū)平臺(tái)漏洞掃描安全物理環(huán)境主要涉及的方面包括環(huán)境安全(防火、防水、防雷擊等)設(shè)

供配電系統(tǒng)可靠，這就要求兩路以上的市電供應(yīng)，N+1冗余的自備發(fā)電機(jī)系統(tǒng)，還有能保證足夠時(shí)間供電的UPS系統(tǒng)。為了保證XXXXX機(jī)房的各種設(shè)備安全，要求機(jī)房設(shè)有四種接地形式，即計(jì)算機(jī)專用直流邏輯地、配電系統(tǒng)交流工作地、安全保護(hù)地、防雷保護(hù)地。為了保證XXXXX機(jī)房的各種設(shè)備安全，要求機(jī)房配備溫濕控制系統(tǒng)來對(duì)機(jī)房?jī)?nèi)溫濕度進(jìn)行控制，保障設(shè)備安全。

消防報(bào)警及自動(dòng)滅火為實(shí)現(xiàn)火災(zāi)自動(dòng)滅火功能，在XXXXX機(jī)房的各個(gè)地方，還應(yīng)該設(shè)計(jì)火災(zāi)自動(dòng)監(jiān)測(cè)及報(bào)警系統(tǒng)，以便能自動(dòng)監(jiān)測(cè)火災(zāi)的發(fā)生，并且啟動(dòng)自動(dòng)滅火系統(tǒng)和報(bào)警系統(tǒng)。XXXXX機(jī)房應(yīng)建立實(shí)用、高效的門禁系統(tǒng)，門禁系統(tǒng)需要注意的原則是安全可靠、簡(jiǎn)單易用、分級(jí)制度、中央控制和多種識(shí)別方式的結(jié)合。

保安監(jiān)控XXXXX機(jī)房的保安監(jiān)控包括幾個(gè)系統(tǒng)的監(jiān)控：閉路監(jiān)視系統(tǒng)、通道報(bào)警系統(tǒng)和人工監(jiān)控系統(tǒng)。4.4安全通信網(wǎng)絡(luò)保護(hù)措施遠(yuǎn)程辦公人員和運(yùn)維人員如果直接通過公網(wǎng)訪問內(nèi)部業(yè)務(wù)系統(tǒng)，部分?jǐn)?shù)據(jù)在公網(wǎng)可能被人劫持、利用、篡改，同時(shí)如果在公網(wǎng)傳輸?shù)臄?shù)據(jù)是明文傳輸?shù)模L(fēng)險(xiǎn)會(huì)更大，所以可以利用VPN功能(SSLVPN與IPSECVPN),對(duì)公網(wǎng)傳輸?shù)臄?shù)據(jù)進(jìn)行加密，構(gòu)建VPN隧道，避免在訪問內(nèi)部業(yè)務(wù)系統(tǒng)過程中數(shù)據(jù)被竊取、篡改。本次直接在互聯(lián)網(wǎng)接入?yún)^(qū)防火墻開啟VPN模塊，通過VPN隧道，用戶可以安全連入內(nèi)部業(yè)務(wù)系統(tǒng)，為用戶的數(shù)據(jù)提供了最大限度的安全保護(hù)。單線路、單設(shè)備的結(jié)構(gòu)很容易發(fā)生單點(diǎn)故障導(dǎo)致業(yè)務(wù)中斷，因此對(duì)于提供關(guān)鍵業(yè)務(wù)服務(wù)的XXXXX網(wǎng)絡(luò)，應(yīng)用訪問路徑上的任何一條通信鏈路、任何一臺(tái)網(wǎng)關(guān)設(shè)備和交換設(shè)備，都應(yīng)當(dāng)采用可靠的冗余備份機(jī)制，以最大化保障數(shù)據(jù)XXXXX網(wǎng)絡(luò)采用多服務(wù)器互備外，對(duì)于局域網(wǎng)骨干核心鏈路及相關(guān)的網(wǎng)絡(luò)路由交換設(shè)備、安全網(wǎng)關(guān)設(shè)備等均采用冗余熱備的部署方式，以提升網(wǎng)絡(luò)系統(tǒng)的存在安全隱患的配置進(jìn)行修改，主要關(guān)注以下方面：●登錄口令安全策略：應(yīng)當(dāng)使用安全的口令策略，制定口令長(zhǎng)度、復(fù)雜度及生存周期等規(guī)則，并對(duì)本地保存的用戶口令進(jìn)行加密存放；●登錄地址控制策略：對(duì)重要網(wǎng)絡(luò)設(shè)備進(jìn)行配置，指定可管理該網(wǎng)絡(luò)設(shè)備●用戶身份唯一性策略：對(duì)重要網(wǎng)絡(luò)設(shè)備的管理員帳號(hào)進(jìn)行維護(hù)，禁止多個(gè)管理員共享相同用戶名對(duì)網(wǎng)絡(luò)設(shè)備同時(shí)進(jìn)行登錄和操作；●登錄及會(huì)話安全策略：應(yīng)當(dāng)制定登錄錯(cuò)誤鎖定、會(huì)話超時(shí)退出等安全策●特權(quán)用戶權(quán)限分離策略：應(yīng)實(shí)現(xiàn)特權(quán)用戶的權(quán)限分離，如配置管理員不●遠(yuǎn)程管理安全策略：應(yīng)當(dāng)采用HTTPS、SSH等安全遠(yuǎn)程管理手段，而不應(yīng)采用不安全的HTTP、Telnet方式進(jìn)行遠(yuǎn)程管理；●配置文件保護(hù)策略：應(yīng)當(dāng)每次更新網(wǎng)絡(luò)設(shè)備或安全設(shè)備配置信息后，以及定期進(jìn)行配置文件備份，防止配置意外更改或丟失。4.5安全區(qū)域邊界保護(hù)措施安全區(qū)域邊界是對(duì)內(nèi)部應(yīng)用系統(tǒng)計(jì)算環(huán)境進(jìn)行安全防護(hù)和防止敏感信息泄露的必經(jīng)渠道；通過區(qū)域邊界的安全控制，可以對(duì)進(jìn)入和流出應(yīng)用環(huán)境的信息流進(jìn)行安全檢查，既可以保證應(yīng)用系統(tǒng)中的敏感信息不會(huì)泄漏出去，同時(shí)也可以防止應(yīng)用系統(tǒng)遭受外界的惡意攻擊和破壞。充分利用互聯(lián)網(wǎng)出口的帶寬資源，自動(dòng)選擇最優(yōu)路徑，將來自內(nèi)外網(wǎng)的流量分流到最佳的鏈路上，保證帶寬有效利用，并達(dá)到最佳訪問速度。通過全方位的負(fù)載均衡，增加了數(shù)據(jù)中心的服務(wù)器和網(wǎng)絡(luò)的利用率，保證應(yīng)用的安全性和可在互聯(lián)網(wǎng)邊界處部署抗D設(shè)備，基于數(shù)據(jù)包的規(guī)則過濾、數(shù)據(jù)流指紋檢測(cè)過濾及數(shù)據(jù)包內(nèi)容定制過濾等頂尖技術(shù)，準(zhǔn)確判斷外來訪問流量是否正常，進(jìn)一步將異常流量過濾，從而實(shí)現(xiàn)對(duì)異常流量的檢測(cè)與清洗。DDOS防范系統(tǒng)提供檢測(cè)與防御流量型DDOS攻擊(如UDPFlood、TCPSYNFlood等)、應(yīng)用型DDOS攻擊(如CC、DNSFlood、慢速連接耗盡等)、DOS攻擊(如Land、Teardrop、Smurf等)、非法協(xié)議攻擊(如IP流、TCP無標(biāo)記、無確認(rèn)FIN、圣誕樹等)四大類拒絕服務(wù)攻擊。在互聯(lián)網(wǎng)邊界部署防火墻系統(tǒng)，基于網(wǎng)絡(luò)訪問控制技術(shù)、包過濾技術(shù)，通過制定合理的訪問控制規(guī)則，對(duì)互聯(lián)網(wǎng)用戶訪問應(yīng)用服務(wù)器區(qū)進(jìn)行限制，從而實(shí)現(xiàn)對(duì)互聯(lián)網(wǎng)用戶的訪問控制。防火墻技術(shù)是用來阻擋外部不安全因素影響的內(nèi)部網(wǎng)絡(luò)屏障，也是用戶構(gòu)建互聯(lián)網(wǎng)邊界安全的第一道網(wǎng)絡(luò)安全屏障。在互聯(lián)網(wǎng)邊界部署入侵防御系統(tǒng)，基于強(qiáng)大入侵防范規(guī)則庫對(duì)互聯(lián)網(wǎng)流入的流量數(shù)據(jù)包進(jìn)行行為實(shí)時(shí)檢測(cè)與分析，一旦發(fā)現(xiàn)攻擊行為立即阻斷，有效防止溢出攻擊類、RPC攻擊類、WEBCGI攻擊類、拒掃描類、網(wǎng)絡(luò)訪問類、HTTP攻擊類、系統(tǒng)漏洞類等類別攻擊，增強(qiáng)互聯(lián)網(wǎng)邊界的網(wǎng)絡(luò)入侵防范能力。在核心交換機(jī)旁路部署沙箱設(shè)備，提供各種虛擬模擬運(yùn)行環(huán)境，為不可信代碼程序提供虛擬化的內(nèi)存、文件系統(tǒng)、網(wǎng)絡(luò)等資源，隔離運(yùn)行未知或可疑代碼并對(duì)其進(jìn)行分析，從而有效發(fā)現(xiàn)利用新爆發(fā)漏洞(ODay/NDay)的惡意代碼或未知的新型惡意代碼，并與網(wǎng)絡(luò)邊界部署的下一代防火墻進(jìn)行聯(lián)動(dòng)阻斷，從而實(shí)現(xiàn)對(duì)未知新型威脅的有效防御。4.5.5惡意代碼防范技術(shù)在互聯(lián)網(wǎng)邊界防火墻開啟防毒模塊，基于病毒深度檢測(cè)與防范技術(shù)，通過強(qiáng)大的病毒檢測(cè)引擎對(duì)互聯(lián)網(wǎng)流入內(nèi)網(wǎng)的流量數(shù)據(jù)包進(jìn)行實(shí)時(shí)檢測(cè)，一旦發(fā)現(xiàn)病毒、木馬、間諜軟件等惡意軟件或代碼進(jìn)行阻斷攔截，為用戶網(wǎng)絡(luò)系統(tǒng)的整體防毒建立第一道安全防線。在互聯(lián)網(wǎng)邊界防火墻開啟應(yīng)用識(shí)別模塊，對(duì)內(nèi)網(wǎng)交互數(shù)據(jù)進(jìn)行采集，能夠分析網(wǎng)絡(luò)中的數(shù)據(jù)包、流量信息，通過對(duì)相關(guān)協(xié)議進(jìn)行分析，對(duì)網(wǎng)絡(luò)通信行為和內(nèi)容進(jìn)行記錄和統(tǒng)計(jì)，幫助發(fā)現(xiàn)網(wǎng)絡(luò)中的異常流量和違規(guī)行為。網(wǎng)絡(luò)審計(jì)的重點(diǎn)對(duì)象是內(nèi)網(wǎng)用戶終端的網(wǎng)絡(luò)訪問行為，支持多種網(wǎng)絡(luò)應(yīng)用協(xié)議的監(jiān)控、還原和審計(jì)，例如對(duì)通過HTTP、FTP、SMTP等方式訪問業(yè)務(wù)系統(tǒng)的用戶登錄、用戶登錄IP地址、訪問時(shí)間、訪問內(nèi)容等進(jìn)行監(jiān)控和審計(jì)，滿足等保網(wǎng)絡(luò)行為審計(jì)要求。4.5.7邊界完整性技術(shù)●服務(wù)器區(qū)域邊界完整性建議在XXXXX各服務(wù)器安全區(qū)的接入交換機(jī)端口上綁定所連接服務(wù)器的MAC地址，并關(guān)閉不用的交換機(jī)端口。對(duì)于接入到該類區(qū)域的非許可設(shè)備，由于其MAC不會(huì)被交換機(jī)識(shí)別，而有效防止接入。●終端區(qū)域邊界完整性建議在核心交換機(jī)旁路部署網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)，實(shí)現(xiàn)非法外聯(lián)監(jiān)控和非法接入監(jiān)控功能。對(duì)接入XXXXX的終端設(shè)備進(jìn)行統(tǒng)一準(zhǔn)入認(rèn)證和安全策略管理，4.6安全計(jì)算環(huán)境設(shè)計(jì)計(jì)算環(huán)境是XXXXX各類應(yīng)用的運(yùn)行環(huán)境，計(jì)算環(huán)境安全防護(hù)建設(shè)采用主機(jī)惡意代碼防范技術(shù)、Web防火墻技術(shù)、網(wǎng)頁防篡改技術(shù)、漏洞掃描技術(shù)、數(shù)據(jù)審計(jì)、數(shù)據(jù)防泄漏、關(guān)鍵數(shù)據(jù)脫敏及備份等技術(shù)進(jìn)行安全建設(shè)，增強(qiáng)XXXXX網(wǎng)絡(luò)計(jì)算環(huán)境的安全防護(hù)能力。計(jì)算機(jī)上部署相應(yīng)平臺(tái)的網(wǎng)絡(luò)版防病毒軟件，有效查殺、威脅服務(wù)器和客戶端正常運(yùn)行的病毒、惡意腳本、木馬、蠕蟲等惡意代碼。在運(yùn)維管理區(qū)部署統(tǒng)一的防病毒系統(tǒng)管理服務(wù)器和升級(jí)服務(wù)器，確保全網(wǎng)具有一致的防病毒策略和最新的病毒查殺能力。4.6.2Web防火墻技術(shù)在DMZ區(qū)WEB服務(wù)器前端部署Web應(yīng)用防火墻系統(tǒng)，通過Web檢測(cè)引擎和安全策略對(duì)互聯(lián)網(wǎng)流量數(shù)據(jù)進(jìn)行實(shí)時(shí)檢測(cè)、對(duì)異常攻擊行為進(jìn)行阻斷，實(shí)現(xiàn)對(duì)WEB應(yīng)用服務(wù)和網(wǎng)頁內(nèi)容的防護(hù)，屏蔽對(duì)網(wǎng)站的攻擊和篡改行為，實(shí)現(xiàn)防跨站攻擊、防SQL注入、防止黑客入侵、網(wǎng)頁防篡改等功能，從而更有效地對(duì)網(wǎng)站服務(wù)器系統(tǒng)及網(wǎng)頁內(nèi)容進(jìn)行安全保護(hù)，從應(yīng)用和業(yè)務(wù)邏輯層面真正解決WEB應(yīng)用安全問題。建議在運(yùn)維管理區(qū)部署漏洞掃描系統(tǒng)，以本地掃描或遠(yuǎn)程掃描的方式，對(duì)各臺(tái)重要的網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)及相應(yīng)的操作系統(tǒng)、應(yīng)用系統(tǒng)等進(jìn)行全面的漏洞掃描和安全評(píng)估。系統(tǒng)提供詳盡的掃描分析報(bào)告和漏洞修補(bǔ)建議，幫助管理員實(shí)現(xiàn)對(duì)XXXXX網(wǎng)絡(luò)網(wǎng)絡(luò)，尤其是其中的重要服務(wù)器主機(jī)系統(tǒng)的安全加固，在業(yè)務(wù)服務(wù)器區(qū)接入交換機(jī)上旁路部署數(shù)據(jù)庫審計(jì)系統(tǒng)，通過數(shù)據(jù)庫審計(jì)技術(shù)能夠?qū)崟r(shí)記錄和分析網(wǎng)絡(luò)上的數(shù)據(jù)庫活動(dòng)，對(duì)數(shù)據(jù)庫操作進(jìn)行細(xì)粒度審計(jì)的合規(guī)性管理，對(duì)數(shù)據(jù)庫遭受到的風(fēng)險(xiǎn)行為進(jìn)行告警。通過對(duì)用戶訪問數(shù)據(jù)庫行為的記錄、分析和匯報(bào)，幫助用戶事后生成合規(guī)報(bào)告、事故追根溯源，同時(shí)加強(qiáng)內(nèi)外部數(shù)據(jù)庫網(wǎng)絡(luò)行為記錄，提高數(shù)據(jù)資產(chǎn)安全。通過部署備份一體機(jī)系統(tǒng)，實(shí)現(xiàn)數(shù)據(jù)的備份和恢復(fù)。4.7安全管理中心保護(hù)措施4.7.1安全運(yùn)維管理與審計(jì)技術(shù)建議在運(yùn)維管理區(qū)部署堡壘機(jī)，實(shí)現(xiàn)對(duì)企業(yè)所有網(wǎng)絡(luò)設(shè)備、安全設(shè)備以及服務(wù)器進(jìn)行集中統(tǒng)一安全運(yùn)維管理，實(shí)現(xiàn)運(yùn)維單點(diǎn)登錄，統(tǒng)一管理運(yùn)維賬號(hào)，管理運(yùn)維授權(quán)，并對(duì)運(yùn)維操作進(jìn)行審計(jì)記錄，并通過堡壘機(jī)實(shí)現(xiàn)對(duì)運(yùn)維角色與權(quán)限的劃分，分為系統(tǒng)管理員、審計(jì)管理員、安全管理員等。4.7.2集中日志收集與分析技術(shù)建議在運(yùn)維管理區(qū)部署一套集中的日志收集和分析系統(tǒng)，通過被動(dòng)采集(SYSLOG、SNMPTRAP)或主動(dòng)采集(ODBC/JDBC、文件讀取、安裝AGENT)的方式對(duì)XXXXX網(wǎng)絡(luò)中所有網(wǎng)絡(luò)設(shè)備、服務(wù)器操作系統(tǒng)、應(yīng)用系統(tǒng)、安全設(shè)備、安全軟件管理平臺(tái)等所產(chǎn)生的日志數(shù)據(jù)進(jìn)行統(tǒng)一采集、存儲(chǔ)、分析和統(tǒng)計(jì)，為管理人員提供直觀的日志查詢、分析、展示界面，并長(zhǎng)期妥善保存日志數(shù)據(jù)以便需要時(shí)查看。保證審計(jì)記錄的留存時(shí)間符合法律法規(guī)要求。在運(yùn)維管理區(qū)部署態(tài)勢(shì)感知平臺(tái)，提供對(duì)全網(wǎng)安全事件的集中監(jiān)控、分析和處置，以及對(duì)安全風(fēng)險(xiǎn)、安全發(fā)展態(tài)勢(shì)的集中監(jiān)測(cè)，對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行集中的安全管理，對(duì)安全事件進(jìn)行深度分析，并快速做出智能響應(yīng)，最終實(shí)現(xiàn)對(duì)信息系統(tǒng)安全風(fēng)險(xiǎn)的集中監(jiān)管，提升XXXXX網(wǎng)絡(luò)的安全運(yùn)維能力，更好地支撐業(yè)務(wù)持續(xù)性發(fā)展。態(tài)勢(shì)感知平臺(tái)依據(jù)ISO27001安全管理標(biāo)準(zhǔn)，結(jié)合安全服務(wù)的最佳實(shí)踐，以風(fēng)險(xiǎn)管理為核心，通過深度數(shù)據(jù)挖掘、事件關(guān)聯(lián)等技術(shù)，實(shí)現(xiàn)了網(wǎng)絡(luò)內(nèi)部各類安全事件的集中管理和智能分析，提供多視角、實(shí)時(shí)動(dòng)態(tài)的企業(yè)風(fēng)險(xiǎn)現(xiàn)狀展示。同時(shí)，系統(tǒng)內(nèi)置了多種報(bào)警響應(yīng)、工單機(jī)制以及專家建議系統(tǒng)，可以幫助用戶采取及時(shí)、有效的安全措施以實(shí)現(xiàn)閉環(huán)的、持續(xù)改進(jìn)的網(wǎng)絡(luò)安全管理，保5安全管理體系設(shè)計(jì)“三分技術(shù)，七分管理”這句話是對(duì)網(wǎng)絡(luò)安全建設(shè)工作非?？陀^的描述。任何安全建設(shè)僅在技術(shù)上是做不到完整的安全，還需要建立一套科學(xué)、嚴(yán)密的網(wǎng)絡(luò)安全管理體系，為計(jì)算機(jī)信息化網(wǎng)絡(luò)系統(tǒng)提供制度上的保證，將由于內(nèi)、外部的非法訪問或惡意攻擊造成的損失減少到最小。因此不能忽視安全建設(shè)管理，必須提供具體的安全管理措施。根據(jù)安全防范體系中的各種安全技術(shù)所需的技術(shù)管理工作，設(shè)定安全管理的角色：業(yè)務(wù)系統(tǒng)管理員、網(wǎng)絡(luò)系統(tǒng)管理員、安全保密管理員、密鑰管理員、系統(tǒng)審計(jì)員等職位。根據(jù)不同的職能，定義不同角色的責(zé)任和權(quán)利，制定相應(yīng)5.1安全管理機(jī)構(gòu)設(shè)計(jì)安全管理機(jī)構(gòu)的規(guī)劃，應(yīng)以安全組織架構(gòu)設(shè)計(jì)為基礎(chǔ)，定義架構(gòu)中涉及到的處室和崗位的職責(zé)以及管理方法，其內(nèi)容包含但不少于等級(jí)保護(hù)基本要求中的第三級(jí)信息系統(tǒng)的管理要求中對(duì)管理機(jī)構(gòu)的要求。根據(jù)其在網(wǎng)絡(luò)安全工作中扮演的不同角色進(jìn)行優(yōu)化組合的結(jié)果，反映了各處室在網(wǎng)絡(luò)安全工作中的不同定位和相互協(xié)作關(guān)系。網(wǎng)絡(luò)安全組織架構(gòu)主要包括參與網(wǎng)絡(luò)安全決策、管理、執(zhí)行和監(jiān)督工作的處室?！鰶Q定了網(wǎng)絡(luò)安全工作中正式的報(bào)告關(guān)系，包括層級(jí)數(shù)和管理者的管理跨■決定了如何由個(gè)體組合成處室，再由處室到組織；■組織架構(gòu)中包含了一套系統(tǒng)，以保證跨處室的有效溝通、合作與整合。網(wǎng)絡(luò)安全組織架構(gòu)是開展網(wǎng)絡(luò)安全工作的基礎(chǔ)。在日常管理過程中，存在著多項(xiàng)網(wǎng)絡(luò)安全管理事宜，需要對(duì)其中的重要事件進(jìn)行決策，從而為網(wǎng)絡(luò)安全■網(wǎng)絡(luò)安全決策機(jī)構(gòu)■網(wǎng)絡(luò)安全管理機(jī)構(gòu)運(yùn)行使用監(jiān)管機(jī)構(gòu)開發(fā)網(wǎng)絡(luò)安全決策機(jī)構(gòu)處于整個(gè)網(wǎng)絡(luò)安全組織架構(gòu)的頂端，主要從高層領(lǐng)導(dǎo)的角度對(duì)于網(wǎng)絡(luò)安全方面的工作進(jìn)行指導(dǎo)和控制，網(wǎng)絡(luò)安全決策機(jī)構(gòu)應(yīng)當(dāng)是安全1)確定網(wǎng)絡(luò)安全工作的戰(zhàn)略和方向2)決定本項(xiàng)目網(wǎng)絡(luò)安全組織3)總體調(diào)配網(wǎng)絡(luò)安全工作的資源4)負(fù)責(zé)通過和決定網(wǎng)絡(luò)安全策略和標(biāo)準(zhǔn)5)對(duì)于網(wǎng)絡(luò)安全方面的重大項(xiàng)目進(jìn)行審批6)在協(xié)調(diào)安全工作中協(xié)調(diào)各處室關(guān)系一般網(wǎng)絡(luò)安全決策機(jī)構(gòu)在組織中的主要表現(xiàn)形式是由相關(guān)各處室主管負(fù)責(zé)網(wǎng)絡(luò)安全決策機(jī)構(gòu)需要對(duì)網(wǎng)絡(luò)安全工作開展中的重大事項(xiàng)進(jìn)行決策，因此必須要有網(wǎng)絡(luò)安全專職管理機(jī)構(gòu)的代表；網(wǎng)絡(luò)安全工作的需求來自于業(yè)務(wù)的開展，因此很多情況下也考慮各處室的代表的參與；網(wǎng)絡(luò)安全決策工作中的一項(xiàng)重要課題是資源保障，因此往往需要分別擁有資金調(diào)配、人員調(diào)配和設(shè)備調(diào)配權(quán)力的處室的代表。至于對(duì)各處室選派代表的要般來說需要有相關(guān)決定權(quán)力的人員作為代表。網(wǎng)絡(luò)安全管理機(jī)構(gòu)網(wǎng)絡(luò)安全管理機(jī)構(gòu)是整個(gè)網(wǎng)絡(luò)安全管理體系建立和維護(hù)的組織者和管理者，1)網(wǎng)絡(luò)安全管理機(jī)構(gòu)是網(wǎng)絡(luò)安全決策機(jī)構(gòu)的決策支持者，由管理機(jī)構(gòu)為2)網(wǎng)絡(luò)安全管理機(jī)構(gòu)是網(wǎng)絡(luò)安全工作的規(guī)則制定者和決策推行的管理者。可以說是網(wǎng)絡(luò)安全決策機(jī)構(gòu)的執(zhí)行組織，也可以說是網(wǎng)絡(luò)安全執(zhí)行機(jī)1)整個(gè)XXXXX網(wǎng)絡(luò)網(wǎng)絡(luò)安全相關(guān)政策標(biāo)準(zhǔn)的制定、更新2)網(wǎng)絡(luò)安全項(xiàng)目的規(guī)劃、評(píng)審和質(zhì)量控制3)對(duì)網(wǎng)絡(luò)安全工作的開展進(jìn)行日常管理和監(jiān)督網(wǎng)絡(luò)安全執(zhí)行機(jī)構(gòu)網(wǎng)絡(luò)安全執(zhí)行機(jī)構(gòu)主要負(fù)責(zé)具體網(wǎng)絡(luò)安全工作的執(zhí)行和開展。一般網(wǎng)絡(luò)安全執(zhí)行機(jī)構(gòu)主要包括網(wǎng)絡(luò)安全工程組織和網(wǎng)絡(luò)安全運(yùn)行組織兩大類的組織。網(wǎng)絡(luò)安全工程組織一般以獨(dú)立項(xiàng)目小組的形式存在，由專門的網(wǎng)絡(luò)安全開發(fā)和工程處室和相關(guān)工程人員組成。網(wǎng)絡(luò)安全工程組織主要負(fù)責(zé)的工作包括：1.網(wǎng)絡(luò)安全基礎(chǔ)建設(shè)包括各項(xiàng)網(wǎng)絡(luò)安全技術(shù)的實(shí)施，如認(rèn)證授權(quán)與訪問控制系統(tǒng)的建設(shè)，網(wǎng)絡(luò)安全運(yùn)營(yíng)中心的建設(shè)等2.網(wǎng)絡(luò)安全管理項(xiàng)目實(shí)施網(wǎng)絡(luò)安全管理項(xiàng)目的實(shí)施也是網(wǎng)絡(luò)安全工程組織的重要工作之一，例如網(wǎng)絡(luò)安全規(guī)劃，信息資產(chǎn)識(shí)別與風(fēng)險(xiǎn)評(píng)估，網(wǎng)絡(luò)安全標(biāo)準(zhǔn)與規(guī)范的制定等。對(duì)于網(wǎng)絡(luò)安全運(yùn)行組織在XXXXX網(wǎng)絡(luò)中主要負(fù)責(zé)日常信息系統(tǒng)監(jiān)控維護(hù)方面的工作，并及時(shí)匯報(bào)日常運(yùn)作中信息系統(tǒng)的安全情況。網(wǎng)絡(luò)安全運(yùn)行組織一般是一個(gè)虛擬的機(jī)構(gòu)，包括運(yùn)行維護(hù)、監(jiān)控和技術(shù)支持在內(nèi)的專職或兼職的網(wǎng)絡(luò)安全人員，通常會(huì)分散安排在各個(gè)相關(guān)處室中，并統(tǒng)一向?qū)ｉT的網(wǎng)絡(luò)安全運(yùn)行管理人員匯報(bào)和負(fù)責(zé)。除此之外，專門的網(wǎng)絡(luò)安全運(yùn)營(yíng)中心或是由外包商提供的監(jiān)控服務(wù)也屬于這一機(jī)構(gòu)的范疇內(nèi)。網(wǎng)絡(luò)安全運(yùn)行組織的主要職責(zé)可以概括如下：1)依照各項(xiàng)管理政策、標(biāo)準(zhǔn)與規(guī)范、指南與細(xì)則開展工作2)提供各種安全服務(wù)以直接支持業(yè)務(wù)，包括監(jiān)控、事件響應(yīng)、故障處理等3)將工作中的各種需求和重要事項(xiàng)匯報(bào)給網(wǎng)絡(luò)安全管理機(jī)構(gòu)4)接受管理機(jī)構(gòu)和監(jiān)督機(jī)構(gòu)的監(jiān)管、控制，并配合其開展工作網(wǎng)絡(luò)安全監(jiān)管機(jī)構(gòu)網(wǎng)絡(luò)安全監(jiān)管機(jī)構(gòu)的主要職能是對(duì)XXXXX網(wǎng)絡(luò)內(nèi)網(wǎng)絡(luò)安全工作的開展情況進(jìn)行獨(dú)立的審查和監(jiān)督。它可以是XXXXX網(wǎng)絡(luò)的內(nèi)部審計(jì)處室，也可以是1)監(jiān)督各項(xiàng)網(wǎng)絡(luò)安全策略、標(biāo)準(zhǔn)與規(guī)范、指南與細(xì)則的執(zhí)行情況，檢驗(yàn)網(wǎng)絡(luò)安全管理機(jī)構(gòu)和執(zhí)行機(jī)構(gòu)是否按照其開展工作。2)檢驗(yàn)網(wǎng)絡(luò)安全管理機(jī)構(gòu)和執(zhí)行機(jī)構(gòu)的工作效果，包括網(wǎng)絡(luò)安全項(xiàng)目審查、網(wǎng)絡(luò)安全服務(wù)效果審查，總體網(wǎng)絡(luò)安全情況評(píng)估和信息系統(tǒng)安全網(wǎng)絡(luò)安全監(jiān)管機(jī)構(gòu)是針對(duì)XXXXX網(wǎng)絡(luò)網(wǎng)絡(luò)安全管理機(jī)構(gòu)和執(zhí)行機(jī)構(gòu)的工作進(jìn)行監(jiān)管，其審查監(jiān)督的結(jié)果直接向網(wǎng)絡(luò)安全決策機(jī)構(gòu)或者XXXXX網(wǎng)絡(luò)的決策層進(jìn)行匯報(bào)，為網(wǎng)絡(luò)安全組織改進(jìn)工作提供支持。網(wǎng)絡(luò)安全角色和職責(zé)從根本上來說，網(wǎng)絡(luò)安全是XXXXX網(wǎng)絡(luò)中每一個(gè)和信息系統(tǒng)相關(guān)或是能影響信息系統(tǒng)的安全情況的人員的職責(zé)。每個(gè)人在信息系統(tǒng)的運(yùn)行中，在不同崗位上都扮演著相應(yīng)的角色。本部分將定義出XXXXX網(wǎng)絡(luò)中與網(wǎng)絡(luò)安全工作相關(guān)的主要角色，并從總體上描述他們所承擔(dān)的職責(zé)。在網(wǎng)絡(luò)安全工作方面一直在進(jìn)行討論的一個(gè)基本問題就是“到底是誰的職責(zé)?”,許多人對(duì)于網(wǎng)絡(luò)安全相關(guān)職責(zé)仍停留在傳統(tǒng)概念中，認(rèn)為網(wǎng)絡(luò)安全是信息技術(shù)處室或僅僅是網(wǎng)絡(luò)安全處室的職責(zé)，這樣給網(wǎng)絡(luò)安全工作的開展帶來了很大的困難。通過定義網(wǎng)絡(luò)安全角色與職責(zé)，使XXXXX網(wǎng)絡(luò)中每個(gè)工作人員都能找到自己的位置，同時(shí)為以后具體崗位職責(zé)的定義打下了堅(jiān)實(shí)的基礎(chǔ)。通常在網(wǎng)絡(luò)安全相關(guān)的角色主要包括幾下幾1)高層管理人員2)網(wǎng)絡(luò)安全管理人員3)處室和項(xiàng)目管理者/應(yīng)用所有者4)技術(shù)提供、維護(hù)和支持人員5)管理支持者由于各自的角色不同他們?cè)诰W(wǎng)絡(luò)安全方面也承擔(dān)著不同的職責(zé)。網(wǎng)絡(luò)安全組織架構(gòu)和相關(guān)職責(zé)信息安全領(lǐng)導(dǎo)小組信息安全領(lǐng)導(dǎo)小組信息管理部安全審計(jì)組高層領(lǐng)導(dǎo)參加的網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組，負(fù)責(zé)批準(zhǔn)網(wǎng)絡(luò)安全策略、分配安全責(zé)任并協(xié)調(diào)整個(gè)XXXXX網(wǎng)絡(luò)范圍的安全策略實(shí)施，確保對(duì)安全管理和建設(shè)有一個(gè)明確的方向并得到管理層的實(shí)際支持。網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組應(yīng)通過合理的責(zé)任分配和有效的資源管理促進(jìn)XXXXX網(wǎng)絡(luò)網(wǎng)絡(luò)信息系統(tǒng)的安全。網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組可以作為目前管理機(jī)構(gòu)的一個(gè)組成部分。網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組有如下職責(zé)：1)就整個(gè)科技處的網(wǎng)絡(luò)安全的作用和責(zé)任達(dá)成一致；2)審查和批準(zhǔn)網(wǎng)絡(luò)安全策略以及總體責(zé)任；3)就網(wǎng)絡(luò)安全的重要和原則性的方法、處理過程達(dá)成一致，并提供支持。如風(fēng)險(xiǎn)評(píng)估、機(jī)密信息分類方法等；4)確保將安全作為制定業(yè)務(wù)建設(shè)和維護(hù)計(jì)劃、內(nèi)部信息系統(tǒng)建設(shè)的一個(gè)部5)授權(quán)對(duì)安全控制措施是否完善進(jìn)行評(píng)估，并協(xié)調(diào)新系統(tǒng)或新服務(wù)的特定網(wǎng)絡(luò)安全控制措施的實(shí)施情況；6)審查重大的網(wǎng)絡(luò)安全事故，并協(xié)調(diào)改進(jìn)措施；7)審核網(wǎng)絡(luò)安全建設(shè)和管理的重要活動(dòng)，如重要安全項(xiàng)目建設(shè)、重要的安全管理措施出臺(tái)等；8)在整個(gè)組織中增加對(duì)網(wǎng)絡(luò)安全工作支持的力度。負(fù)責(zé)設(shè)計(jì)、建設(shè)安全管理體系，包括策略、組織和運(yùn)作模式，并且進(jìn)行宣貫和培訓(xùn)。信息中心有如下職責(zé)：1)貫徹執(zhí)行相關(guān)主管處室有關(guān)網(wǎng)絡(luò)及網(wǎng)絡(luò)安全管理方面的方針、政策及各項(xiàng)工作要求，在各網(wǎng)上落實(shí)網(wǎng)絡(luò)及網(wǎng)絡(luò)安全的各項(xiàng)工作。通過等級(jí)保護(hù)工作保持與公安機(jī)關(guān)的聯(lián)系，接受和執(zhí)行公安機(jī)關(guān)的監(jiān)督和指導(dǎo)。2)負(fù)責(zé)建立網(wǎng)絡(luò)安全策略體系，制定網(wǎng)絡(luò)及網(wǎng)絡(luò)安全工作制度及管理流程，起草、制定網(wǎng)絡(luò)及網(wǎng)絡(luò)安全的技術(shù)規(guī)范、標(biāo)準(zhǔn)及策略，聘請(qǐng)外部專家對(duì)網(wǎng)絡(luò)及網(wǎng)絡(luò)安全工作制度及管理流程進(jìn)行評(píng)審，組織在全網(wǎng)范圍內(nèi)的實(shí)3)組織、協(xié)調(diào)內(nèi)部各處室實(shí)施網(wǎng)絡(luò)及網(wǎng)絡(luò)安全工作。4)在XXXXX網(wǎng)絡(luò)內(nèi)開展網(wǎng)絡(luò)安全知識(shí)共享，建立有針對(duì)網(wǎng)絡(luò)安全的知識(shí)共享的技術(shù)平臺(tái)，促進(jìn)內(nèi)部交流與學(xué)習(xí)。5)定期組織內(nèi)部人員或聘請(qǐng)外部單位，公安機(jī)關(guān)等進(jìn)行全面安全檢查，檢查內(nèi)容包括現(xiàn)有安全技術(shù)措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等；匯總安全檢查數(shù)據(jù)，形成安全檢查報(bào)告，并對(duì)安全檢查結(jié)果在安全組織內(nèi)召開會(huì)議進(jìn)行通報(bào)。負(fù)責(zé)項(xiàng)目日常安全維護(hù)工作，包括網(wǎng)絡(luò)安全專員和各處室網(wǎng)絡(luò)安全助理。1.執(zhí)行有關(guān)網(wǎng)絡(luò)安全問題的處理1)在日常維護(hù)中發(fā)現(xiàn)有安全問題，首先進(jìn)行應(yīng)急處理保證業(yè)務(wù)的連續(xù)性，解決安全問題，工作結(jié)束后，將由雙方一起記錄安全處理過程；2)對(duì)重點(diǎn)主機(jī)系統(tǒng)的安全職責(zé)；3)至少每月進(jìn)行一次安全漏洞掃描；4)對(duì)主機(jī)系統(tǒng)和網(wǎng)絡(luò)設(shè)備上的用戶進(jìn)行審核，發(fā)現(xiàn)可疑的用戶賬號(hào)時(shí)及時(shí)向系統(tǒng)管理員核實(shí)并作相應(yīng)的處理。2.對(duì)網(wǎng)絡(luò)設(shè)備的安全職責(zé)1)監(jiān)督網(wǎng)絡(luò)安全管理機(jī)構(gòu)制訂的網(wǎng)絡(luò)設(shè)備用戶賬號(hào)的管理制度的實(shí)行，在發(fā)現(xiàn)有可疑的用戶賬號(hào)時(shí)向網(wǎng)絡(luò)管理員進(jìn)行核實(shí)并采取相應(yīng)的措施；2)根據(jù)業(yè)務(wù)保護(hù)要求，提出防火墻系統(tǒng)的部署方案，并制訂相應(yīng)的網(wǎng)絡(luò)安3.對(duì)數(shù)據(jù)庫的安全職責(zé)1)協(xié)同數(shù)據(jù)庫管理員對(duì)對(duì)數(shù)據(jù)庫系統(tǒng)進(jìn)行安全配置，修補(bǔ)已發(fā)現(xiàn)的漏洞；2)協(xié)同數(shù)據(jù)庫管理員對(duì)于數(shù)據(jù)庫安全事件處理，并分析安全事件原因；3)協(xié)同數(shù)據(jù)庫管理員對(duì)于數(shù)據(jù)庫安全事件進(jìn)行處理，盡量減小安全事故和4)驗(yàn)證數(shù)據(jù)備份策略的有效性，對(duì)數(shù)據(jù)恢復(fù)過程進(jìn)行試驗(yàn)，確保在發(fā)生安內(nèi)容和周期以及備份介質(zhì)的保存符合有關(guān)的規(guī)對(duì)用戶的各種行為進(jìn)行審計(jì)，對(duì)安全監(jiān)控中心的各項(xiàng)監(jiān)控、處理和維護(hù)工1)依賴安全運(yùn)行管理平臺(tái)以及各種安全審計(jì)產(chǎn)品對(duì)管理網(wǎng)的用戶行為進(jìn)2)對(duì)安全監(jiān)控中心的各項(xiàng)監(jiān)控、處理和維護(hù)工作進(jìn)行審計(jì)。1)查看安全運(yùn)行管理平臺(tái)的各種告警，做出處理判斷，并編制下發(fā)工單。2)定期查看網(wǎng)絡(luò)安全站點(diǎn)的安全公告，跟蹤和研究各種網(wǎng)絡(luò)安全漏洞和攻相應(yīng)的對(duì)策，通知并指導(dǎo)系統(tǒng)管理員進(jìn)行安全防范。3)跟蹤信息系統(tǒng)系統(tǒng)中使用的操作系統(tǒng)和通用應(yīng)用系統(tǒng)最新版本和安全并指導(dǎo)系統(tǒng)管理員進(jìn)行升級(jí)或打補(bǔ)丁。4)根據(jù)信息中心提出的安全標(biāo)準(zhǔn)，對(duì)主機(jī)系統(tǒng)上開放的網(wǎng)絡(luò)服務(wù)和端口進(jìn)5)定期對(duì)主機(jī)的網(wǎng)絡(luò)服務(wù)進(jìn)行全面安全檢測(cè)，在發(fā)現(xiàn)安全設(shè)置不當(dāng)或存在發(fā)現(xiàn)安全網(wǎng)絡(luò)設(shè)備上存在的異常開放的網(wǎng)絡(luò)服務(wù)或者開放的網(wǎng)絡(luò)服務(wù)存在安全漏洞時(shí)及時(shí)通知網(wǎng)絡(luò)管理員采取相應(yīng)的措施。5.2安全管理人員設(shè)計(jì)1)人員錄用的應(yīng)以《網(wǎng)絡(luò)安全工作人員安全管理辦法》為標(biāo)準(zhǔn)：對(duì)應(yīng)聘者2)在簽署勞動(dòng)合同前，應(yīng)由人力資源部進(jìn)行人員背景、資質(zhì)審查，技能考3)關(guān)鍵區(qū)域或部位的安全管理人員應(yīng)選用實(shí)踐證明精干、內(nèi)行、忠實(shí)、可靠的人員，必要時(shí)可按JY人員條件配備。1)人員離崗的應(yīng)以《網(wǎng)絡(luò)安全工作人員安全管理辦法》為標(biāo)準(zhǔn)：立即中止2)調(diào)離后的保密要求：管理層和信息系統(tǒng)關(guān)鍵崗位人員調(diào)離崗位，必須經(jīng)3)離崗的審計(jì)要求：涉及組織機(jī)構(gòu)管理層和信息系統(tǒng)關(guān)鍵崗位的人員調(diào)離單位，必須進(jìn)行離崗安全審查，在審查合格后，方可調(diào)離；4)對(duì)于在組織內(nèi)進(jìn)行崗位調(diào)動(dòng)的工作人員，須根據(jù)新崗位的需要，增加、所有資料文件，包括其軟硬拷貝都需要移交，不允許私自帶走。1)定期的人員考核：應(yīng)定期對(duì)各個(gè)崗位的人員進(jìn)行不同側(cè)重的安全認(rèn)知和安全技能的考核，作為人員是否適合當(dāng)前崗位的參考；2)定期的人員審查：對(duì)關(guān)鍵崗位人員，應(yīng)定期進(jìn)行審查，如發(fā)現(xiàn)其違反安3)管理有效性的審查：對(duì)關(guān)鍵崗位人員的工作，應(yīng)通過例行考核進(jìn)行審查，4)全面嚴(yán)格的審查：對(duì)所有安全崗位人員的工作，應(yīng)通過全面考核進(jìn)行審查，如發(fā)現(xiàn)其違反安全規(guī)定，應(yīng)采取必要的應(yīng)對(duì)措施。5)應(yīng)知應(yīng)會(huì)要求：應(yīng)讓信息系統(tǒng)相關(guān)工作人員知曉信息的敏感性和網(wǎng)絡(luò)安全的重要性，認(rèn)識(shí)其自身的責(zé)任和安全違例會(huì)6)有計(jì)劃培訓(xùn)：制定并實(shí)施安全教育和培訓(xùn)計(jì)劃，根據(jù)不同培訓(xùn)對(duì)象的需要，每季度或每半年進(jìn)行安全培訓(xùn)，培養(yǎng)信息系統(tǒng)各類人員安全意識(shí)，7)針對(duì)不同崗位培訓(xùn)：針對(duì)不同崗位，制定不同的專業(yè)培訓(xùn)計(jì)劃，包括安8)按人員資質(zhì)要求培訓(xùn)：對(duì)所有工作人員的安全資質(zhì)進(jìn)行定期檢查和評(píng)估，使相應(yīng)的安全教育成為組織機(jī)構(gòu)工作計(jì)劃的一部分；9)培養(yǎng)安全意識(shí)自覺性：對(duì)所有工作人員進(jìn)行相應(yīng)的安全資質(zhì)管理，并使1)應(yīng)對(duì)硬件和軟件維護(hù)人員，咨詢?nèi)藛T，臨時(shí)性的短期職位人員，以及輔助人員和外部服務(wù)人員等第三方人員簽署包括不同安全責(zé)任的合同書或保密協(xié)議；規(guī)定各類人員的活動(dòng)范圍，進(jìn)入計(jì)算機(jī)房需要得到批準(zhǔn)，責(zé)人批準(zhǔn)，必要時(shí)應(yīng)有人監(jiān)督或陪同；2)在重要區(qū)域，第三方人員必須進(jìn)入或進(jìn)行邏輯訪問(包括近程訪問和遠(yuǎn)程訪問等)均應(yīng)有書面申請(qǐng)、批準(zhǔn)和過程記錄，并有專人全程監(jiān)督或陪同；進(jìn)行邏輯訪問應(yīng)使用專門設(shè)置的臨時(shí)用戶，并進(jìn)行審計(jì)；3)關(guān)鍵區(qū)域管理要求：在關(guān)鍵區(qū)域，一般不允許第三方人員進(jìn)入或進(jìn)行邏輯訪問；如確有必要，除有書面申請(qǐng)外，可采取由機(jī)構(gòu)內(nèi)部人員帶為操作的方式，對(duì)結(jié)果進(jìn)行必要的過濾后再提供第三方人員，并進(jìn)行審計(jì)；必要時(shí)對(duì)上述過程進(jìn)行風(fēng)險(xiǎn)評(píng)估和記錄備案，并對(duì)相應(yīng)風(fēng)險(xiǎn)采取必要的安全補(bǔ)救措施。幫助用戶建立起以網(wǎng)絡(luò)安全方針、安全策略、安全管理制度、安全技術(shù)規(guī)范以及流程為一體的網(wǎng)絡(luò)安全管理制度體系。安全管理制度體系模型參見下圖：安全管理制度的建設(shè)，需要對(duì)XXXXX網(wǎng)絡(luò)的業(yè)務(wù)和日常運(yùn)營(yíng)等情況非常熟悉，根據(jù)XXXXX網(wǎng)絡(luò)實(shí)際情況以及等級(jí)保護(hù)管理要求制定完整的安全管理1)《網(wǎng)絡(luò)安全組織體系和職責(zé)》:規(guī)定XXXXX網(wǎng)絡(luò)安全組織機(jī)構(gòu)的職2)《網(wǎng)絡(luò)安全崗位人員管理辦法》:加強(qiáng)內(nèi)部人員安全管理，依據(jù)最小特權(quán)原則清晰劃分崗位，在所有崗位職責(zé)中明確網(wǎng)3)《網(wǎng)絡(luò)安全工作人員安全管理辦法》:工作人員在錄用、調(diào)動(dòng)、離職過4)《網(wǎng)絡(luò)安全培訓(xùn)及教育管理辦法》:XXXXX網(wǎng)絡(luò)各層面網(wǎng)絡(luò)安全培訓(xùn)5)《網(wǎng)絡(luò)安全第三方人員安全管理辦法》:必須加強(qiáng)第三方訪問和外包服務(wù)的安全控制，在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上制定安全控制措施，并與第三方XXXXX網(wǎng)絡(luò)和外包服務(wù)XXXXX網(wǎng)絡(luò)簽署安全責(zé)任協(xié)議，明確其安全6)《安全檢查及考核管理辦法》建立安全檢反規(guī)章制度的處室和人員按照規(guī)定進(jìn)行處罰。7)《網(wǎng)絡(luò)安全體系管理辦法》:建設(shè)完整安全體系，實(shí)現(xiàn)從設(shè)計(jì)、實(shí)施、修改和維護(hù)生命周期的安全體系自身保障。8)《網(wǎng)絡(luò)安全策略管理辦法》:安全策略本身應(yīng)規(guī)范從創(chuàng)建、執(zhí)行、修改、到更新、廢止等整個(gè)生命周期的維護(hù)保障。9)《網(wǎng)絡(luò)安全安全現(xiàn)狀評(píng)估管理辦法》:網(wǎng)絡(luò)安全體系的建設(shè)和維護(hù)，要通過及時(shí)獲知和評(píng)價(jià)網(wǎng)絡(luò)安全的現(xiàn)狀，通過對(duì)10)《網(wǎng)絡(luò)安全信息資產(chǎn)管理辦法》:必須加強(qiáng)信息資產(chǎn)管理，建立和維護(hù)11)《網(wǎng)絡(luò)安全I(xiàn)T設(shè)備弱點(diǎn)評(píng)估及加固管理辦法》:增強(qiáng)主機(jī)系統(tǒng)和網(wǎng)絡(luò)12)《網(wǎng)絡(luò)安全預(yù)警管理辦法》:對(duì)安全威脅提前預(yù)警，及時(shí)將國(guó)內(nèi)外安全信息通知XXXXX網(wǎng)絡(luò)各級(jí)網(wǎng)絡(luò)安全管理人員及工作人員，確保能夠及時(shí)采取應(yīng)對(duì)措施，以此降低XXXXX網(wǎng)絡(luò)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。13)《網(wǎng)絡(luò)安全安全審計(jì)及監(jiān)控管理辦法》:應(yīng)部署網(wǎng)絡(luò)層面和系統(tǒng)層面的 14)《網(wǎng)絡(luò)安全項(xiàng)目立項(xiàng)安全管理辦法》:加強(qiáng)項(xiàng)目建設(shè)的安全管理，配套安全系統(tǒng)必須與業(yè)務(wù)系統(tǒng)“同步規(guī)劃、同步建設(shè)、同步運(yùn)行”,加強(qiáng)安全規(guī)劃、安全評(píng)估和論證的管理。15)《安全運(yùn)行維護(hù)管理辦法》:建立日常維護(hù)操作規(guī)程和變更控制規(guī)程，16)《網(wǎng)絡(luò)安全配置變更管理辦法》:嚴(yán)格控制和審批任何變更行為。17)《網(wǎng)絡(luò)安全病毒防護(hù)管理辦法》:加強(qiáng)XXXXX網(wǎng)絡(luò)病毒防治工作，提升XXXXX網(wǎng)絡(luò)病毒整體防護(hù)能力，降低并防范病毒對(duì)于XXXXX18)《網(wǎng)絡(luò)安全補(bǔ)丁管理辦法》:按照補(bǔ)丁跟進(jìn)和發(fā)布、補(bǔ)丁獲取、補(bǔ)丁測(cè)試、補(bǔ)丁加載、補(bǔ)丁驗(yàn)證、補(bǔ)丁歸檔這一流程進(jìn)行補(bǔ)丁安全管理。19)《網(wǎng)絡(luò)安全賬號(hào)口令及權(quán)限管理辦法》:加強(qiáng)用戶賬號(hào)和權(quán)限管理，按照最小特權(quán)原則為用戶分配權(quán)限，避免出現(xiàn)共用賬號(hào)的情況。20)《網(wǎng)絡(luò)安全應(yīng)急響應(yīng)管理辦法》:制定各業(yè)務(wù)系統(tǒng)的應(yīng)急方案，及時(shí)發(fā)包括：安全管理規(guī)定中與管理流程配合使用，管理規(guī)定中會(huì)提出涉及流程1)《網(wǎng)絡(luò)安全管理流程—安全補(bǔ)丁管理流程》配合《信息補(bǔ)丁管理辦法》2)《網(wǎng)絡(luò)安全管理流程—安全策略管理流程》:配合《網(wǎng)絡(luò)安全策略管理3)《網(wǎng)絡(luò)安全管理流程—安全配置變更管理流程》:配合《網(wǎng)絡(luò)安全配置4)《網(wǎng)絡(luò)安全管理流程—安全事件處理流程》:配合《網(wǎng)絡(luò)安全應(yīng)急響應(yīng)5)《網(wǎng)絡(luò)安全管理流程—安全體系運(yùn)作流程》:配合《網(wǎng)絡(luò)安全安全體系6)《網(wǎng)絡(luò)安全管理流程—辦公網(wǎng)絡(luò)環(huán)境第三方人員訪問申請(qǐng)審批流程》:配合《網(wǎng)絡(luò)安全第三方人員安全管理辦法》共同使用。7)《網(wǎng)絡(luò)安全管理流程—辦公終端安全處理流程》:配合《網(wǎng)絡(luò)安全辦公8)《網(wǎng)絡(luò)安全管理流程—應(yīng)急響應(yīng)流程》:配合《網(wǎng)絡(luò)安全應(yīng)急響應(yīng)管理9)《網(wǎng)絡(luò)安全管理流程—賬號(hào)安全管理流程》:配合《網(wǎng)絡(luò)安全賬號(hào)口令1)《網(wǎng)絡(luò)安全網(wǎng)絡(luò)技術(shù)安全規(guī)范—IP網(wǎng)絡(luò)安全管理規(guī)范》:規(guī)范針對(duì)網(wǎng)2)《網(wǎng)絡(luò)安全網(wǎng)絡(luò)技術(shù)安全規(guī)范—防火墻配置標(biāo)準(zhǔn)》:規(guī)范系統(tǒng)的安全配3)《網(wǎng)絡(luò)安全主機(jī)技術(shù)安全規(guī)范—系統(tǒng)安全規(guī)范》:針對(duì)主流操作系統(tǒng)的配置安全，確保安全配置和過程控制的安全有效。4)《網(wǎng)絡(luò)安全主機(jī)技術(shù)安全規(guī)范—windows系統(tǒng)安全配置標(biāo)準(zhǔn)》:規(guī)范windows系統(tǒng)的安全配置，降低被攻擊的風(fēng)險(xiǎn)。5)《網(wǎng)絡(luò)安全應(yīng)用技術(shù)安全規(guī)范—應(yīng)用系統(tǒng)安全規(guī)范》:規(guī)范應(yīng)用系統(tǒng)在開發(fā)過程中，安全功能設(shè)定過程中的安全。6)《網(wǎng)絡(luò)安全數(shù)據(jù)安全規(guī)范—數(shù)據(jù)安全規(guī)范》:規(guī)范數(shù)據(jù)存儲(chǔ)和傳輸過程7)《網(wǎng)絡(luò)安全主機(jī)技術(shù)安全規(guī)范—應(yīng)急技術(shù)安全規(guī)范》:規(guī)范應(yīng)急計(jì)劃的1)《第三方人員安全保密協(xié)議》;5.4安全建設(shè)管理設(shè)計(jì)1)由信息化管理處室負(fù)責(zé)業(yè)務(wù)系統(tǒng)的定級(jí)備案工作，由外部安全咨詢服務(wù)團(tuán)隊(duì)提供技術(shù)支持，協(xié)助信息化管理開展系統(tǒng)定級(jí)備案工作；2)明確信息系統(tǒng)的邊界和安全保護(hù)等級(jí)；3)以書面的形式說明確定信息系統(tǒng)為某個(gè)安全保護(hù)等級(jí)的方法和理由；4)組織相關(guān)處室和有關(guān)安全技術(shù)專家對(duì)信息系統(tǒng)定級(jí)結(jié)果的合理性和正5)確保信息系統(tǒng)的定級(jí)結(jié)果經(jīng)過相關(guān)處室的批準(zhǔn)；制定《系統(tǒng)定級(jí)管理制度》,其基本內(nèi)容包括：6)明確負(fù)責(zé)系統(tǒng)定級(jí)的組織、崗位及職責(zé)，由網(wǎng)7)編制《信息系統(tǒng)定級(jí)基本情況表》模板，用于說明信息系統(tǒng)的邊界和安8)編制《信息系統(tǒng)定級(jí)報(bào)告》模板，用于說明某個(gè)系統(tǒng)定為某個(gè)安全保護(hù)9)編制《信息系統(tǒng)定級(jí)專家評(píng)審意見》。10)制定《系統(tǒng)備案管理制度》:11)指定責(zé)任處室：由安全管理部負(fù)責(zé)管理系統(tǒng)定級(jí)的相關(guān)材料并控制這些12)將系統(tǒng)等級(jí)及相關(guān)材料報(bào)系統(tǒng)主管處室備案；13)將系統(tǒng)等級(jí)及其他要求的備案材料報(bào)相應(yīng)公安機(jī)關(guān)備案。由信息化管理處室負(fù)責(zé)，由外部安全咨詢服務(wù)團(tuán)隊(duì)提供技術(shù)支持，開1)根據(jù)系統(tǒng)的安全保護(hù)等級(jí)選擇基本安全措施，并依據(jù)風(fēng)險(xiǎn)分析的結(jié)果補(bǔ)2)組織有關(guān)單位對(duì)信息系統(tǒng)的安全建設(shè)進(jìn)行總體規(guī)劃，制定近期和遠(yuǎn)期的3)根據(jù)信息系統(tǒng)的等級(jí)劃分情況，統(tǒng)一考慮安全保障體系的總體安全策略、4)組織相關(guān)處室和有關(guān)安全技術(shù)專家對(duì)總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等正確性進(jìn)行論證和審定，經(jīng)過批準(zhǔn)后，正式實(shí)5)根據(jù)等級(jí)測(cè)評(píng)、安全評(píng)估的結(jié)果定期調(diào)整和修訂總體安全策略、安全技6)制定《安全方案設(shè)計(jì)管理制度》7)指定負(fù)責(zé)處室。由信息中心協(xié)同戰(zhàn)略方案中心等有關(guān)處室負(fù)責(zé)安全方案8)規(guī)定方案設(shè)計(jì)流程、設(shè)計(jì)文檔模板，包括：總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方9)規(guī)定《專家評(píng)審意見》模板。制定《安全產(chǎn)品采購管理制度》,具體內(nèi)容有：1)指定責(zé)任處室：由信息中心會(huì)同他有關(guān)處室負(fù)責(zé)產(chǎn)品采購；2)定義采購流程：選型測(cè)試、年度審定及更新；3)確定采購和使用安全產(chǎn)品的國(guó)家有關(guān)規(guī)定；4)確定確國(guó)家密碼主管處室對(duì)采購和使用密碼產(chǎn)品的規(guī)定；5)定義選型測(cè)試所需文檔的模板。制定《外包軟件開發(fā)管理制度》.由信息中心及有關(guān)軟件開發(fā)管理處室、處1)根據(jù)開發(fā)需求檢測(cè)軟件質(zhì)量；2)軟件安裝之前要檢測(cè)軟件包中可能存在的惡意代碼；3)在合同中要求開發(fā)單位提供軟件設(shè)計(jì)的相關(guān)文檔和使用指南；4)在合同中要求開發(fā)單位提供軟件源代碼，并審查可能存在的后門；5)在合同中要求：在服務(wù)期內(nèi)如發(fā)現(xiàn)安全漏洞，則開發(fā)單位必須及時(shí)提供1)由信息中心協(xié)同有關(guān)處室負(fù)責(zé)負(fù)責(zé)工程實(shí)施管理；2)督促施工單位或者處室制定詳細(xì)的工程實(shí)施方案控制實(shí)施過程，并按照工程實(shí)施過程進(jìn)行實(shí)施；3)維護(hù)并推行工程實(shí)施管理制度，明確說明實(shí)施過程的控制方法和人員行為準(zhǔn)則。制定《測(cè)試驗(yàn)收管理制度》:1)指定信息中心和有關(guān)處室共同負(fù)責(zé)測(cè)試驗(yàn)收管理；2)委托公正的第三方測(cè)試單位對(duì)系統(tǒng)進(jìn)行安全性測(cè)試，并出具安全性測(cè)試3)測(cè)評(píng)單位在測(cè)試驗(yàn)收前應(yīng)根據(jù)設(shè)計(jì)方案或合同要求等制訂測(cè)試驗(yàn)收方案，在測(cè)試驗(yàn)收過程中應(yīng)詳細(xì)記錄測(cè)試驗(yàn)收結(jié)果，并形成測(cè)試驗(yàn)收?qǐng)?bào)告；4)測(cè)評(píng)單位對(duì)系統(tǒng)測(cè)試驗(yàn)收的控制方法和人員行為準(zhǔn)則進(jìn)行書面規(guī)定；5)由信息中心與相關(guān)處室對(duì)系統(tǒng)測(cè)試驗(yàn)收?qǐng)?bào)告進(jìn)行審定并簽字確認(rèn)。制定《系統(tǒng)交付管理制度》:1)由安全管理部負(fù)責(zé)系統(tǒng)交付的管理工作，按照管理規(guī)定的要求完成系統(tǒng)2)制定詳細(xì)的系統(tǒng)交付清單，根據(jù)交付清單對(duì)所交接的設(shè)備、軟件和文檔等進(jìn)行清點(diǎn)。3)對(duì)負(fù)責(zé)系統(tǒng)運(yùn)行維護(hù)的技術(shù)人員進(jìn)行相應(yīng)的技能培訓(xùn)；4)確保提供系統(tǒng)建設(shè)過程中的文檔和指導(dǎo)用戶進(jìn)行系統(tǒng)運(yùn)行維護(hù)的文檔；5)定義系統(tǒng)交付控制方法和人員行為準(zhǔn)則。制定《等級(jí)測(cè)評(píng)管理制度》:1)指定責(zé)任單位：由信息中心負(fù)責(zé)，每年至少組織測(cè)評(píng)單位對(duì)系統(tǒng)進(jìn)行一次等級(jí)測(cè)評(píng)，對(duì)發(fā)現(xiàn)的不符合項(xiàng)及時(shí)進(jìn)行整改；2)在系統(tǒng)發(fā)生變更時(shí)及時(shí)申請(qǐng)對(duì)系統(tǒng)進(jìn)行等級(jí)測(cè)評(píng)，發(fā)現(xiàn)級(jí)別發(fā)生變化的及時(shí)調(diào)整級(jí)別并進(jìn)行安全改造，發(fā)現(xiàn)不符合相應(yīng)等級(jí)保護(hù)標(biāo)準(zhǔn)要求的及3)選擇具有國(guó)家相關(guān)技術(shù)資質(zhì)和安全資質(zhì)的測(cè)評(píng)單位進(jìn)行等級(jí)測(cè)評(píng)。制定《安全服務(wù)商管理制度》:1)指定責(zé)任處室：由安全管理部負(fù)責(zé)選擇安全服務(wù)商；2)確保安全服務(wù)商的選擇符合國(guó)家的有關(guān)規(guī)定；3)與選定的安全服務(wù)商簽訂與安全相關(guān)的協(xié)議，明確約定相關(guān)責(zé)任、服務(wù)范圍、服務(wù)期限、服務(wù)各具體條款及服務(wù)質(zhì)量要求等；4)確保選定的安全服務(wù)商提供技術(shù)培訓(xùn)和服務(wù)承諾，必要的與其簽訂服務(wù)5.5安全運(yùn)維管理設(shè)計(jì)制定《環(huán)境管理制度》:1)指定責(zé)任處室：由信息中心同負(fù)責(zé)環(huán)境管理；2)定期對(duì)機(jī)房供配電、空調(diào)、溫濕度控制等設(shè)施進(jìn)行維護(hù)管理；3)負(fù)責(zé)機(jī)房安全，機(jī)房安全管理人員對(duì)機(jī)房的出入、服務(wù)器的開機(jī)或關(guān)機(jī)等工作進(jìn)行管理；建立《機(jī)房安全管理制度》,對(duì)有關(guān)機(jī)房物理訪問，物品帶進(jìn)、帶出機(jī)房和機(jī)房環(huán)境安全等方面作出規(guī)定；4)規(guī)范辦公環(huán)境人員行為，包括：工作人員調(diào)離辦公室應(yīng)立即交還該辦公室鑰匙、不在辦公區(qū)接待來訪人員、工作人員離開座位應(yīng)確保終端計(jì)算機(jī)退出登錄狀態(tài)和桌面上沒有包含敏感信息的文件等。制定《資產(chǎn)管理制度》:1)指定責(zé)任處室：由信息中心及有關(guān)處室共同負(fù)責(zé)資產(chǎn)管理；2)編制并保存與信息系統(tǒng)相關(guān)的資產(chǎn)清單，包括資產(chǎn)責(zé)任處室、重要程度3)規(guī)定信息系統(tǒng)資產(chǎn)管理的責(zé)任人員或責(zé)任處室，并規(guī)范資產(chǎn)管理和使用4)對(duì)信息分類與標(biāo)識(shí)方法作出規(guī)定，根據(jù)資產(chǎn)的重要程度對(duì)資產(chǎn)進(jìn)行標(biāo)識(shí)管理，并對(duì)信息的使用、傳輸和存儲(chǔ)等進(jìn)行規(guī)范化管理；5)定義管理措施選擇方案：根據(jù)資產(chǎn)的價(jià)值選擇相應(yīng)管理措施。建立《介質(zhì)管理制度》:1)指定責(zé)任處室。由信息中心負(fù)責(zé)介質(zhì)管理；2)規(guī)定介質(zhì)的存放環(huán)境、使用、維護(hù)和銷毀；3)由信息中心負(fù)責(zé)對(duì)存儲(chǔ)環(huán)境進(jìn)行專人管理，確保介質(zhì)存放在安全的環(huán)境4)對(duì)介質(zhì)在物理傳輸過程中的人員選擇、打包、交付等情況進(jìn)行控制，對(duì)5)對(duì)存儲(chǔ)介質(zhì)的使用過程、送出維修以及銷毀等進(jìn)行嚴(yán)格的管理，對(duì)帶出質(zhì)應(yīng)首先清除介質(zhì)中的敏感數(shù)據(jù)，對(duì)保密性6)根據(jù)數(shù)據(jù)備份的需要對(duì)某些介質(zhì)實(shí)行異地存儲(chǔ)，存儲(chǔ)地的環(huán)境要求和管7)對(duì)重要介質(zhì)中的數(shù)據(jù)和軟件采取加密存儲(chǔ)，并根據(jù)所承載數(shù)據(jù)和軟件的重要程度對(duì)介質(zhì)進(jìn)行分類和標(biāo)識(shí)管理。制定《設(shè)備管理制度》:1)指定責(zé)任處室：由信息中心及網(wǎng)絡(luò)管理部等有關(guān)處室負(fù)責(zé)設(shè)備管理；2)對(duì)信息系統(tǒng)相關(guān)的各種設(shè)備(包括備份和冗余設(shè)備)、線路等每周進(jìn)行3)定義基于申報(bào)、審批和專人負(fù)責(zé)的設(shè)備安全管理方法，對(duì)信息系統(tǒng)的各4)定義配套設(shè)施、軟硬件維護(hù)方面的管理方法，明確維護(hù)人員的責(zé)任，對(duì)涉外維修和服務(wù)的審批、維修過程等監(jiān)督控制方法進(jìn)行說明；5)定義終端計(jì)算機(jī)、工作站、便攜機(jī)、系統(tǒng)和網(wǎng)絡(luò)等設(shè)備的操作和使用規(guī)范：針對(duì)主要設(shè)備(包括備份和冗余設(shè)備)的啟動(dòng)/停止、加電/斷電等6)定義信息處理設(shè)備帶離機(jī)房或辦公地點(diǎn)的審批流程。1)定期對(duì)系統(tǒng)進(jìn)行漏洞掃描，識(shí)別安全漏洞和隱患，對(duì)發(fā)現(xiàn)的安全漏洞和2)定期開展安全測(cè)評(píng)，形成安全測(cè)評(píng)報(bào)告，采取措施應(yīng)對(duì)發(fā)現(xiàn)的安全問題。制定《網(wǎng)絡(luò)和系統(tǒng)安全管理制度》:1)指定責(zé)任處室：由信息中心負(fù)責(zé)網(wǎng)絡(luò)安全管理，由信息管理處室專人負(fù)責(zé)對(duì)運(yùn)行日志、網(wǎng)絡(luò)監(jiān)控記錄的日常維護(hù)和報(bào)警信息分析和處理工作；2)對(duì)網(wǎng)絡(luò)安全配置、日志保存時(shí)間、安全策略、升級(jí)與打補(bǔ)丁、口令更新3)定義更新流程：根據(jù)廠家提供的軟件升級(jí)版本對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行更新，并在更新前對(duì)現(xiàn)有的重要文件進(jìn)行備份；4)定義漏洞管理方法：定期對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行漏洞掃描，發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)安全漏洞進(jìn)行及時(shí)修補(bǔ)；5)定義設(shè)備配置方法：實(shí)現(xiàn)設(shè)備的最小服務(wù)配置，并對(duì)配置文件進(jìn)行定期6)定義外部連接審批流程：所有與外部系統(tǒng)的連接均得到授權(quán)和批準(zhǔn)；7)定義設(shè)備接入策略：依據(jù)安全策略允許或者拒絕便攜式和移動(dòng)式設(shè)備的8)定義非法上網(wǎng)管理方法：每周檢查違反規(guī)定撥號(hào)上網(wǎng)或其他違反網(wǎng)絡(luò)安全策略的行為。9)指定責(zé)任處室：由信息中心負(fù)責(zé)系統(tǒng)安全管理，負(fù)責(zé)對(duì)系統(tǒng)進(jìn)行管理，劃分系統(tǒng)管理員角色，明確各個(gè)角色的權(quán)限、責(zé)任和風(fēng)險(xiǎn)，權(quán)限設(shè)定應(yīng)當(dāng)遵循最小授權(quán)原則；10)根據(jù)業(yè)務(wù)需求和系統(tǒng)安全分析確定系統(tǒng)的訪問控制策略；11)每周進(jìn)行漏洞掃描，對(duì)發(fā)現(xiàn)的系統(tǒng)安全漏洞及時(shí)進(jìn)行修補(bǔ)；12)安裝系統(tǒng)的最新補(bǔ)丁程序，在安裝系統(tǒng)補(bǔ)丁前，首先在測(cè)試環(huán)境中測(cè)試通過，并對(duì)重要文件進(jìn)行備份后，方可實(shí)施系統(tǒng)補(bǔ)丁程序的安裝；13)依據(jù)操作手冊(cè)對(duì)系統(tǒng)進(jìn)行維護(hù)，詳細(xì)記錄操作日志，包括重要的日常操作、運(yùn)行維護(hù)記錄、參數(shù)的設(shè)置和修改等內(nèi)容，嚴(yán)禁進(jìn)行未經(jīng)授權(quán)的操14)每周對(duì)運(yùn)行日志和審計(jì)數(shù)據(jù)進(jìn)行分析，以便及時(shí)發(fā)現(xiàn)異常行為。對(duì)系統(tǒng)安全策略、安全配置、日志管理和日常操作流程等方面作出具體規(guī)定。5.5.7配置安全管理1)對(duì)記錄和保存基本配置信息，包括網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、各個(gè)設(shè)備安裝的軟件組件、軟件組件的版本和補(bǔ)丁信息、各個(gè)設(shè)備或軟件組件的配置參數(shù)等信息進(jìn)行安全管理；2)將基本配置信息改變納入變更范疇，實(shí)施對(duì)配置信息改變的控制，并及制定《惡意代碼防范管理制度》:1)指定責(zé)任處室：由安全管理部負(fù)責(zé)進(jìn)行惡意代碼防范；2)每年進(jìn)行定期培訓(xùn)，通過培訓(xùn)提高所有用戶的防病毒意識(shí)、及時(shí)告知防病毒軟件版本、在讀取移動(dòng)存儲(chǔ)設(shè)備上的數(shù)據(jù)以件之前先進(jìn)行病毒檢查、對(duì)外來計(jì)算機(jī)或存儲(chǔ)設(shè)3)由專信息中心負(fù)責(zé)對(duì)網(wǎng)絡(luò)和主機(jī)進(jìn)行惡意代碼檢測(cè)并保存檢測(cè)記錄，每周檢查信息系統(tǒng)內(nèi)各種產(chǎn)品的惡意代碼庫的機(jī)防病毒產(chǎn)品、防病毒網(wǎng)關(guān)和郵件防病毒網(wǎng)關(guān)上代碼進(jìn)行及時(shí)分析處理，并形成書面的報(bào)表和總結(jié)匯報(bào)；4)定義防惡意代碼軟件授權(quán)使用、惡意代碼庫升級(jí)、定期匯報(bào)等流程。建立《密碼使用管理制度》:1)指定責(zé)任處室：信息中心負(fù)責(zé)密碼使用管理；2)總結(jié)在密碼設(shè)備的采購、使用、維護(hù)、保修及報(bào)廢的整個(gè)生命周期內(nèi)的3)嚴(yán)格執(zhí)行上述規(guī)定。建立《變更管理制度》:1)指定責(zé)任處室：由信息中心負(fù)責(zé)變更管理；2)建立變更流程：確認(rèn)系統(tǒng)中要發(fā)生的變更，制定變更方案，系統(tǒng)發(fā)生變?cè)趯?shí)施后將變更情況向相關(guān)人員通告；3)建立《變更申報(bào)和審批程序》:對(duì)變更影響進(jìn)行分析并文檔化，記錄變更實(shí)施過程，并妥善保存所有文檔和記錄；4)建立《中止變更程序》,中止變更并從失敗變更中恢復(fù)，明確過程控制方法和人員職責(zé)，必要時(shí)對(duì)恢復(fù)過程進(jìn)行演練。建立《備份及恢復(fù)管理制度》:1)指定責(zé)任處室：由信息中心負(fù)責(zé)備份與恢復(fù)管理；2)識(shí)別需要定期備份的重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等；3)定義備份信息的備份方式、備份頻度、存儲(chǔ)介質(zhì)和保存期等；4)根據(jù)數(shù)據(jù)的重要性和數(shù)據(jù)對(duì)系統(tǒng)運(yùn)行的影響，制定數(shù)據(jù)的備份策略和恢復(fù)策略，備份策略須指明備份數(shù)據(jù)的放置場(chǎng)所、文件命名規(guī)則、介質(zhì)替換頻率和將數(shù)據(jù)離站運(yùn)輸?shù)姆椒ǎ?)建立《數(shù)據(jù)備份和恢復(fù)過程》,對(duì)備份過程進(jìn)行記錄，所有文件和記錄應(yīng)妥善保存；6)建立演練流程：每季度對(duì)恢復(fù)程序進(jìn)行演練，檢查和測(cè)試備份介質(zhì)的有效性，確?？梢栽诨謴?fù)程序規(guī)定的時(shí)間內(nèi)完成備份的恢復(fù)。制定《安全事件處置管理制度》1)指定責(zé)任處室：由信息中心負(fù)責(zé)安全事件處置；2)每年進(jìn)行培訓(xùn)。通過培訓(xùn)讓所有人能夠報(bào)告所發(fā)現(xiàn)的安全弱點(diǎn)和可疑事件，但任何情況下用戶均不應(yīng)嘗試驗(yàn)證弱點(diǎn)；3)制定《安全事件報(bào)告和處置管理程序》:明確安全事件的類型，規(guī)定安全事件的現(xiàn)場(chǎng)處理、事件報(bào)告和后期恢復(fù)的管理職責(zé)；確定事件的報(bào)告流程，響應(yīng)和處置的范圍、程度，以及處理方法等；在安全事件報(bào)告和響應(yīng)處理過程中，分析和鑒定事件產(chǎn)生的原因，收集證據(jù)，記錄處理過程，總結(jié)經(jīng)驗(yàn)教訓(xùn)，制定防止再次發(fā)生的補(bǔ)救措件和記錄均應(yīng)妥善保存；為造成系統(tǒng)中斷和造成4)制定《安全事件等級(jí)劃分方法》:根據(jù)國(guó)家相關(guān)管理處室對(duì)計(jì)算機(jī)安全事件等級(jí)劃分方法和安全事件對(duì)本系統(tǒng)產(chǎn)生的全事件進(jìn)行等級(jí)劃分。制定《應(yīng)急預(yù)案管理制度》:1)指定責(zé)任處室：由信息中心負(fù)責(zé)應(yīng)急預(yù)案管理；2)建立統(tǒng)一的應(yīng)急預(yù)案框架，框架應(yīng)包括事件分級(jí)方法、各級(jí)事件啟動(dòng)應(yīng)3)在應(yīng)急預(yù)案框架制定不同事件的應(yīng)急預(yù)案，應(yīng)急預(yù)案要指名適用的系統(tǒng)、絡(luò)設(shè)備癱瘓應(yīng)急預(yù)案》;4)資源承諾：從人力、設(shè)備、技術(shù)和財(cái)務(wù)等方面確保應(yīng)急預(yù)案的執(zhí)行有足5)培訓(xùn)要求：對(duì)系統(tǒng)相關(guān)的人員進(jìn)行應(yīng)急預(yù)案培訓(xùn)，應(yīng)急預(yù)案的培訓(xùn)應(yīng)至6)演練要求：定期對(duì)應(yīng)急預(yù)案進(jìn)行演練，根據(jù)不同的應(yīng)急恢復(fù)內(nèi)容，確定7)更新要求：規(guī)定應(yīng)急預(yù)案需要定期審查和根據(jù)實(shí)際情況更新的內(nèi)容，并1)確保外包運(yùn)維服務(wù)商的選擇符合國(guó)家的有關(guān)規(guī)定；2)與選定的外包運(yùn)維服務(wù)商簽訂相關(guān)的協(xié)議，明確約定外包運(yùn)維的范圍、3)保證選擇的外包運(yùn)維服務(wù)商在技術(shù)和管理方面均應(yīng)具有按照等級(jí)保護(hù)6安全運(yùn)維服務(wù)設(shè)計(jì)6.1安全咨詢服務(wù)安全管理咨詢建議由專業(yè)的安全服務(wù)機(jī)構(gòu)對(duì)XXXXX網(wǎng)絡(luò)進(jìn)行全面的安全管理體系建設(shè)咨詢。參考國(guó)內(nèi)外相關(guān)標(biāo)準(zhǔn)和國(guó)內(nèi)的安全規(guī)范要求，根據(jù)業(yè)務(wù)特點(diǎn)，協(xié)助管理部門進(jìn)行安全管理組織、安全管理職責(zé)、安全管理策略、安全管理制度、安全管理流程等的制定和優(yōu)化(對(duì)已有策略),幫助推動(dòng)安全管理制度的有效落地，為網(wǎng)絡(luò)安全管理和運(yùn)維提供更好的指導(dǎo)和支持，確保網(wǎng)絡(luò)安全管理正規(guī)有序。>應(yīng)急預(yù)案咨詢建議由專業(yè)的安全服務(wù)機(jī)構(gòu)協(xié)助XXXXX網(wǎng)絡(luò)制定針對(duì)各類重大安全事件的安全應(yīng)急預(yù)案。預(yù)案制定以后，還要針對(duì)預(yù)案內(nèi)容進(jìn)行必要的培訓(xùn)和操作性演練。通過培訓(xùn)和演練，培養(yǎng)XXXXX網(wǎng)絡(luò)自身的應(yīng)急隊(duì)伍，使其熟悉應(yīng)急工作流程，識(shí)別應(yīng)急所需資源要求，評(píng)價(jià)應(yīng)急準(zhǔn)備狀態(tài)，檢驗(yàn)應(yīng)急預(yù)案的可行性和改進(jìn)預(yù)案，從而提高警惕性和實(shí)戰(zhàn)能力。代碼安全咨詢建議采用專業(yè)安全服務(wù)機(jī)構(gòu)提供的代碼安全檢查服務(wù)，在應(yīng)用軟件開發(fā)初期，通過使用自動(dòng)化的源代碼檢查工具結(jié)合安全專家的人工檢查手段，識(shí)別應(yīng)用軟件安全問題，如不當(dāng)?shù)募用芩惴ê涂赡軐?dǎo)致漏洞的常見語義語言結(jié)構(gòu)等，并根據(jù)行業(yè)安全規(guī)范要求和業(yè)界最佳實(shí)踐指南為其他業(yè)務(wù)系統(tǒng)的安全開發(fā)規(guī)范，指導(dǎo)開發(fā)人員進(jìn)行安全編程。定期安全通告對(duì)于網(wǎng)絡(luò)管理人員，特別是復(fù)雜網(wǎng)絡(luò)的管理人員，由于時(shí)間和工作關(guān)系，通常會(huì)遇到無法收集并分類相關(guān)的安全報(bào)告，使得網(wǎng)絡(luò)中總或多或少的存在被忽視的安全漏洞。通過服務(wù)的平臺(tái)與客戶及時(shí)交流，幫助客戶保持領(lǐng)先的安全理念和技術(shù)。安全通告服務(wù)不是單一的、隨處可見的郵件列表，而是針對(duì)實(shí)際情況，專業(yè)服務(wù)人員分類、整理、歸納的安全信息。安全通告服務(wù)以郵件、電話、走訪等方式，將安全技術(shù)和安全信息及時(shí)傳遞給客戶。內(nèi)容包括：√緊急安全事件通告；√業(yè)界最新動(dòng)態(tài)；√國(guó)際、國(guó)內(nèi)以及行業(yè)安全政策及法律法規(guī)；√各種信息系統(tǒng)的漏洞信息；√安全產(chǎn)品評(píng)測(cè)信息等。通過安全通告服務(wù)，用戶可以迅速、準(zhǔn)確地了解安全業(yè)界的新方向，包括安全事件的新特點(diǎn)和技術(shù)產(chǎn)品新動(dòng)態(tài)。此外，也會(huì)提供相應(yīng)地統(tǒng)計(jì)數(shù)據(jù)和分析報(bào)告。安全通告服務(wù)的目的是使用戶能夠在細(xì)節(jié)上進(jìn)行安全預(yù)警，在宏觀上把握安全趨勢(shì)，合理規(guī)劃相應(yīng)的安全工作。憑借國(guó)內(nèi)領(lǐng)先的安全研究能力，廣泛的信息采集途徑，以及和全球領(lǐng)先的漏洞信息收集系統(tǒng)，使得我們能高質(zhì)量，高效率的完成這些整理、分析、測(cè)試、分類等工作。將最新最全面的網(wǎng)絡(luò)安全問題以最快的速度通報(bào)給客戶，并且給出相應(yīng)的解決辦法，從而大大減輕網(wǎng)管人員做安全技術(shù)追蹤和分析的壓力。安全培訓(xùn)教育技術(shù)培訓(xùn)主要是提高員工的安全意識(shí)和安全技能，使之能夠符合相關(guān)網(wǎng)絡(luò)安全工作崗位的能力要求，全面提高客戶整體的網(wǎng)絡(luò)安全水平。針對(duì)不同層次的員工，進(jìn)行有關(guān)網(wǎng)絡(luò)安全管理的理論培訓(xùn)、安全管理制度教育、安全防范意識(shí)宣傳和專門安全技術(shù)訓(xùn)練，確保組織網(wǎng)絡(luò)安全策略、規(guī)章制度和技術(shù)規(guī)范的順利執(zhí)行，從而最大限度地降低和消除安全風(fēng)險(xiǎn)。通過對(duì)客戶全體員工的安全培訓(xùn)和教育工作，提高全體工作人員的網(wǎng)絡(luò)安全意識(shí)和操作水平，降低由于人為原因引發(fā)的安全風(fēng)險(xiǎn)。針對(duì)具體負(fù)責(zé)網(wǎng)絡(luò)安全運(yùn)維的技術(shù)人員，進(jìn)行系統(tǒng)化的專業(yè)培訓(xùn)，培訓(xùn)內(nèi)容包括基礎(chǔ)理論、技術(shù)原理，以及產(chǎn)品的功能、安裝、配置及運(yùn)行維護(hù)等方面的詳細(xì)培訓(xùn)，并結(jié)合實(shí)驗(yàn)室上機(jī)試驗(yàn)，使參加培訓(xùn)的人員能夠熟練的掌握產(chǎn)品的運(yùn)行維護(hù)方法，能夠獨(dú)立管理和維護(hù)設(shè)備，同時(shí)對(duì)安全技術(shù)有較全面的了解?！坦芾眍惻嘤?xùn)針對(duì)客戶不同層面、不同職責(zé)、不同崗位的人員進(jìn)行培訓(xùn)，在客戶方內(nèi)部推行、實(shí)施已建立的安全管理體系，提高網(wǎng)絡(luò)安全管理水平?！贪踩鞒讨贫扰嘤?xùn)針對(duì)相關(guān)的安全流程、安全制度、安全規(guī)范、安全運(yùn)維計(jì)劃進(jìn)行培訓(xùn)，使員工了解相關(guān)的、系統(tǒng)級(jí)的安全體系操作流程和制度。6.2安全評(píng)估服務(wù)>網(wǎng)絡(luò)設(shè)備評(píng)估根據(jù)XXXXX網(wǎng)絡(luò)中設(shè)備類型的不同，對(duì)核心層、交換層和接入層及防火墻、入侵檢測(cè)等邊界網(wǎng)絡(luò)安全設(shè)備的訪問控制和安全策略，現(xiàn)狀有針對(duì)性進(jìn)行風(fēng)險(xiǎn)評(píng)估。操作系統(tǒng)評(píng)估網(wǎng)絡(luò)服務(wù)器及可互聯(lián)終端的安全始終是信息系統(tǒng)安全的一個(gè)重要方面，攻擊者往往通過控制它們來破壞系統(tǒng)和信息，或擴(kuò)大已有的破壞。網(wǎng)絡(luò)攻擊的成功與否取決于三個(gè)因素：攻擊者的能力；攻擊者的動(dòng)機(jī)；攻擊者的機(jī)會(huì)。正常情況下，我們是無法削弱攻擊者的能力和動(dòng)機(jī)這兩個(gè)因素，但有一點(diǎn)我們可以做到減少他們的攻擊機(jī)會(huì)。對(duì)操作系統(tǒng)開放的服務(wù)、安全配置、訪問控制、系統(tǒng)漏洞進(jìn)行安全脆弱性風(fēng)險(xiǎn)評(píng)估。>應(yīng)用程序評(píng)估應(yīng)用程序本身存在一定的安全缺陷和隱患，攻擊者可以利用應(yīng)用程序中的漏洞入侵系統(tǒng)、竊取信息及中斷系統(tǒng)服務(wù)。為保證客戶重要業(yè)務(wù)系統(tǒng)保密性、可用性，對(duì)操作系統(tǒng)上基于WEB服務(wù)及第三方應(yīng)用程序做安全評(píng)估。6.3安全加固服務(wù)由于功能復(fù)雜，代碼龐大，計(jì)算機(jī)操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)在設(shè)計(jì)上存在一些安全漏洞和一些未知的“后門”,一般情況下很難發(fā)現(xiàn)，同時(shí)由于系統(tǒng)的配置不當(dāng)也會(huì)帶來安全隱患，是黑客攻擊得手的關(guān)鍵因素。因此，XXXXX網(wǎng)絡(luò)在投入使用前和使用中，都需要對(duì)操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)等進(jìn)行安全加固，以提高系統(tǒng)安全防范能力，減少安全事件的發(fā)生。安全加固是配置軟件系統(tǒng)的過程，針對(duì)服務(wù)器操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫及應(yīng)用中間件等軟件系統(tǒng)，通過打補(bǔ)丁、強(qiáng)化帳號(hào)安全、加固服務(wù)、修改安全配置、優(yōu)化訪問控制策略、增加安全機(jī)制等方法，堵塞漏洞及“后門”,合理進(jìn)行安全性加強(qiáng)，提高其健壯性和安全性，增加攻擊者入侵的難度，軟件系統(tǒng)安全防范水平得到大幅提升。6.4滲透測(cè)試服務(wù)滲透測(cè)試，是一種從攻擊者的角度來對(duì)主機(jī)系統(tǒng)的安全程度進(jìn)行安全評(píng)估的手段，在對(duì)現(xiàn)有信息系統(tǒng)不造成損害的前提下，模擬入侵者對(duì)指定系統(tǒng)進(jìn)行攻擊測(cè)試。通過滲透測(cè)試，可以對(duì)用戶信息平臺(tái)的安全性得到較深刻的認(rèn)知，可以用于驗(yàn)證經(jīng)過安全保護(hù)后的系統(tǒng)是否真實(shí)的達(dá)到了預(yù)定安全目標(biāo)。滲透測(cè)試服務(wù)包含XXXXX網(wǎng)絡(luò)中開放的操作系統(tǒng)、應(yīng)用服務(wù)、網(wǎng)絡(luò)設(shè)備的安全弱點(diǎn)分析，使用模擬黑客攻擊的手段，對(duì)信息系統(tǒng)的各類安全弱點(diǎn)進(jìn)行全方位的刺探，得出信息系統(tǒng)的技術(shù)脆弱性和被黑客攻擊的可能性，并生成相應(yīng)的滲透測(cè)試弱點(diǎn)報(bào)告以及解決建議報(bào)告。幫助客戶認(rèn)識(shí)和精確分析當(dāng)前網(wǎng)絡(luò)6.6應(yīng)急響應(yīng)服務(wù)>誤操作或設(shè)備故障事件但通常在事件爆發(fā)的初始很難界定具體是什么。所以，通常又通過安全威>單點(diǎn)損害：只造成獨(dú)立個(gè)體的不可用，安全威脅事件影響弱。局部損害：造成某一系統(tǒng)或一個(gè)局部網(wǎng)絡(luò)不可使用，安全威脅事件影響整體損害：造成整個(gè)網(wǎng)絡(luò)系統(tǒng)的不可使用，安全威脅事件影響高。當(dāng)入侵或者破壞發(fā)生時(shí)，對(duì)應(yīng)的處理方法主要的原則是首先保護(hù)或恢復(fù)計(jì)算機(jī)、網(wǎng)絡(luò)服務(wù)的正常工作；然后再對(duì)入侵者進(jìn)行追查。因此對(duì)于客戶緊急事件響應(yīng)服務(wù)主要包括準(zhǔn)備、識(shí)別事件(判定安全事件類型)、抑制(縮小事件的影響范圍)、解決問題、恢復(fù)以及后續(xù)跟蹤。準(zhǔn)備工作：建立客戶事件檔案>與客戶就故障級(jí)別進(jìn)行定義準(zhǔn)備安全事件緊急響應(yīng)服務(wù)相關(guān)資源為一個(gè)突發(fā)事件的處理取得管理方面支持組建事件處理隊(duì)伍提供易實(shí)現(xiàn)的初步報(bào)告 制定一個(gè)緊急后備方案>隨時(shí)與管理員保持聯(lián)系在指定時(shí)間內(nèi)指派安全服務(wù)小組去負(fù)責(zé)此事件事件抄送專家小組初步評(píng)估，確定事件來源注意保護(hù)可追查的線索，諸如立即對(duì)日志、數(shù)據(jù)進(jìn)行備份(應(yīng)該保存在磁帶上或其它不聯(lián)機(jī)存儲(chǔ)設(shè)備)聯(lián)系客戶系統(tǒng)的相關(guān)服務(wù)商廠商縮小事件的影響范圍>確定系統(tǒng)繼續(xù)運(yùn)行的風(fēng)險(xiǎn)如何，決定是否關(guān)閉系統(tǒng)及其它措施>客戶相關(guān)工作人員與本公司相關(guān)工作人員保持聯(lián)系、協(xié)商根據(jù)需求制定相應(yīng)的應(yīng)急措施解決問題事后取證追查后門檢查漏洞分析結(jié)果提交專家小組審核后續(xù)工作檢查是不是所有的服務(wù)都已經(jīng)恢復(fù)攻擊者所利用的漏洞是否已經(jīng)解決其發(fā)生的原因是否已經(jīng)處理保險(xiǎn)措施，法律聲明/手續(xù)是否已經(jīng)歸檔應(yīng)急響應(yīng)步驟是否需要修改生成緊急響應(yīng)報(bào)告擬定一份事件記錄和跟蹤報(bào)告事件合并/錄入專家信息知識(shí)庫6.7系統(tǒng)上線前檢測(cè)服務(wù)系統(tǒng)上線前檢測(cè)是應(yīng)