等保三級建設方案

等級保護三級建設方案 51.1建設背景 5 51.3建設依據 6 72.1安全物理環(huán)境需求 7 72.3安全區(qū)域邊界需求 82.4安全計算環(huán)境需求 82.5安全管理中心需求 9 92.7構建安全運維體系 3總體方案介紹： 103.1設計原則 3.2網絡安全等級保護建設過程 3.3安全保障體系構成 3.3.1安全技術體系 3.3.2安全管理體系 3.3.3安全運維體系 4安全技術體系設計 134.1安全區(qū)劃分 4.2整體方案拓撲設計 4.3安全物理環(huán)境保護措施 4.4安全通信網絡保護措施 4.4.1通信傳輸安全 4.4.2網絡架構安全 4.4.3網絡設備自身防護 4.5.1負載均衡技術 4.5.4入侵防范技術 4.5.5惡意代碼防范技術 4.5.6網絡審計技術 204.6安全計算環(huán)境設計 4.6.1主機防病毒技術 20 4.6.3漏洞掃描技術 214.6.4數(shù)據庫審計技術 214.6.5數(shù)據備份技術 214.7安全管理中心保護措施 24.7.1安全運維管理與審計技術 224.7.2集中日志收集與分析技術 224.7.3安全集中管控 225安全管理體系設計 235.1安全管理機構設計 5.1.1網絡安全領導小組 5.1.2信息中心 295.1.3安全維護組 5.2安全管理人員設計 5.2.2人員離崗 5.2.3安全意識教育和培訓 5.2.4外部人員訪問管理 5.3.1規(guī)章制度 5.3.2管理流程 5.3.4保密協(xié)議 5.4.1系統(tǒng)定級和備案 38 5.4.3安全產品采購 5.4.4外包軟件開發(fā) 40 41 415.4.8等級測評 5.4.9安全服務商選擇 5.5安全運維管理設計 5.5.1環(huán)境管理 42 435.5.3介質管理 5.5.4設備維護管理 5.5.5漏洞和風險管理 445.5.6網絡和系統(tǒng)安全管理 45 5.5.10變更管理 46 47 47 48 48 6.1安全咨詢服務 6.2安全評估服務 6.3安全加固服務 6.4滲透測試服務 6.6應急響應服務 546.7系統(tǒng)上線前檢測服務 1.1建設背景隨著信息化建設的推進，信息化建設成效顯著,但網絡環(huán)境各種安全漏洞為加強信息系統(tǒng)綜合安全防御體系，本次安全建設按照國家等保要求《信息安行相關規(guī)劃和部署。建立信息系統(tǒng)綜合防護體系，落實安全保護技術措施，使1.2安全目標本次開展網絡安全等級保護建設工作的總體目標是：“遵循國家網絡安全等級保護有關法規(guī)規(guī)定和標準規(guī)范，通過全面開展網絡安全等級保護定級備案、建設整改和等級測評工作，進一步完善信息系統(tǒng)安落實網絡安全責任，切實提高系統(tǒng)網絡安全防護能力，為業(yè)務工作順利開展和信息化健康發(fā)展提供可靠保障?！?1)體系建設，實現(xiàn)按需防御。通過體系設計制定等級方案，進行安全技術體系、安全管理體系和安全運維體系建設，實現(xiàn)按需防御。(2)安全運維，確保持續(xù)安全。通過安全監(jiān)控、安全加固等運維手段，從事前、事中、事后三個方面進行安全運行維護，實現(xiàn)持續(xù)性按需防御的安全需(3)通過合規(guī)性建設，提升信息系統(tǒng)安全防護能力，保障系統(tǒng)網絡安全，同時滿足國家等級保護的合規(guī)性要求，為信息化工作的推進保駕護航。1.3建設依據國家政策相關文件(1)《中華人民共和國計算機信息系統(tǒng)安全保護條例》(國務院147號(2)《國家信息化領導小組關于加強網絡安全保障工作的意見》(中辦發(fā)[2003]27號);(3)《關于網絡安全等級保護工作的實施意見》(公通字[2004]66號);(4)《信息安全等級保護管理辦法》(公通字[2007]43號);(5)《信息安全等級保護備案實施細則》(公信安[2007]1360號);(6)《關于開展網絡安全等級保護安全建設整改工作的指導意見》(公信安[2009]1429號)。(7)《中華人民共和國網絡安全法》等級保護及網絡安全相關國家標準(1)《計算機信息系統(tǒng)安全保護等級劃分準則》(GB17859-1999);(2)《信息安全技術信息系統(tǒng)安全等級保護實施指南》(GBT25058-2010);(3)《信息安全技術網絡安全等級保護定級指南》(GB/T22240-2020);(4)《信息安全技術網絡安全等級保護基本要求》(GB/T22239-2019)(5)《信息安全技術網絡安全等級保護設計技術要求》(GB/T25070-2019)(6)《信息安全技術網絡安全等級保護測評要求》(GB/T28448-2019)(7)《信息安全技術網絡安全等級保護等級保護測評過程指南》(8)《信息安全技術網絡安全風險評估規(guī)范》(GB/T(9)《信息安全技術信息系統(tǒng)安全管理要求》(GB/T(10)《信息技術安全技術網絡安全管理體系要求》(GB/T22080-2008(idtISO/IEC(11)《信息技術安全技術網絡安全管理實用準則》(GB/T22081-2008(idtISO/IEC(12)《信息安全技術信息系統(tǒng)通用安全技術要求》(GB/T20271-2006)及相關的一系列具體技術標準。2需求分析2.1安全物理環(huán)境需求無任何管控、監(jiān)控措施，存在較大安全隱患；機房內若無防火措因此本次安全建設需保障XXXXX網絡環(huán)境周邊物理環(huán)境安全和物理設備2.2安全通信網絡需求通信網絡重點關注的安全問題主要是網絡傳輸?shù)陌踩?、網絡架構的穩(wěn)定性等。因此在XXXXX網絡通信安全方面需要采用的安全技術手段包括：公司員工進行遠程辦公或運維人員遠程運維時，數(shù)據需要通過互聯(lián)網進行傳輸，如若不采取安全措施，傳輸數(shù)據易被竊聽或篡改；為防止網絡出現(xiàn)單點故障，同時保證網絡架構安全，建議對網絡進行區(qū)域的合理劃分、對重要網絡區(qū)域的可靠隔離、同時需進行通信鏈路和節(jié)點設備的使用上的安全弱點，一旦被暴露，可能導致網絡設備自身的不安全。例如對網絡設備登錄用戶的身份鑒別機制過于簡單，對用戶的登錄和訪問行為缺少控制2.3安全區(qū)域邊界需求區(qū)域邊界重點關注的安全問題主要是對流入、流出邊界的數(shù)據流進行有效的控制和監(jiān)督。因此在XXXXX網絡區(qū)域邊界安全方面需要采用的安全技術手●異常流量管理與抗拒絕服務攻擊：在互聯(lián)網出口能夠準確識別夾雜在復雜網絡流量中的各種已知和未知的應用層拒絕服務攻擊流量，并提供實時過濾和清洗，確保應用服務持續(xù)可用?！襁吔绨踩刂疲涸诨ヂ?lián)網邊界、內部各個網絡區(qū)域邊界以及虛擬機邊界可根據基于會話狀態(tài)檢測的訪問控制，默認拒絕所有進出通信，對于合法通信明確設置允許規(guī)則；啟用應用識別和過濾功能，對進出網絡的數(shù)據流實現(xiàn)基于應用協(xié)議和協(xié)議指令的訪問控制?！癫《具^濾網關：能夠對網絡數(shù)據流中夾帶的惡意代碼進行檢測和清除，并提供病毒庫和檢測引擎的自動升級更新。●網絡入侵防御：需要在互聯(lián)網接入邊界，實時發(fā)現(xiàn)和阻止從外部網絡發(fā)起的網絡攻擊行為；●非法外聯(lián)監(jiān)控：防止內部終端設備繞過網絡邊界安全設備私自連接外部網絡，給信息系統(tǒng)帶來無法預見和控制的安全風險?！窬W絡審計：對各類用戶的網絡訪問行為和網絡傳輸內容進行記錄，對所發(fā)生安全事故的追蹤與調查取證提供詳實縝密的數(shù)據支持。2.4安全計算環(huán)境需求計算環(huán)境重點關注的安全問題主要是相關業(yè)務系統(tǒng)的安全和承載業(yè)務系統(tǒng)的硬件安全。因此XXXXX網絡在區(qū)域邊界安全方面需要采用的安全技術手段●統(tǒng)一身份鑒別：需對登錄操作系統(tǒng)、數(shù)據庫系統(tǒng)、應用系統(tǒng)的用戶進行集中的身份標識和鑒別，確保只有認證用戶才能訪問其授權范圍內的系統(tǒng)和數(shù)據資源?！窬W絡防病毒：需要在所有服務器、終端系統(tǒng)中部署防病毒軟件來保護其免受惡意代碼侵害。●網站安全：XXXXX網絡在對外提供網站服務時，需能有效抵御黑客攻擊、SQL注入、XSS、網頁篡改等攻擊威脅，防止被非法篡改和破壞，能有效保護網站安全運行?！衤┒磼呙瑁盒枰捎脤I(yè)的安全漏洞掃描工具，配合人工服務，定期對XXXXX網絡網站的網絡、服務器、重要終端中存在的已知安全漏洞進行掃描和評估，并及時封堵漏洞，做到防患于未然?！駭?shù)據庫訪問控制和安全審計：針對數(shù)據庫服務器，能夠進行細粒度的訪問控制與審計?！袢罩緦徲嫞簩XXXX網絡的所有服務器操作系統(tǒng)、應用系統(tǒng)和新增的各種安全系統(tǒng)均開啟完整的日志記錄功能，對重要的用戶行為和重要安全事件進行審計，并將審計記錄實時發(fā)送給集中的日志服務器，便于長期存儲保護和分析使用?！駭?shù)據備份恢復：通過構建數(shù)據備份系統(tǒng)，當發(fā)生安全事件后能迅速恢復，不影響業(yè)務正常運行。2.5安全管理中心需求XXXXX網絡缺少相應的技術手段來對網絡內部眾多的網絡設備、安全設備以及服務器的集中管理，缺乏對各種安全事件進行統(tǒng)一監(jiān)測、分析、預警的能力，同時網絡安全管理和運維工作效率低下、工作負擔重，需要借助自動化、平臺化的技術工具提高管理效率。2.6構建安全管理保障體系根據國家有關網絡安全等級保護方面的標準和規(guī)范要求，結合XXXXX網絡實際安全需求，建立一套切實可行的安全管理體系。安全管理是安全系統(tǒng)建設的重要部分，是保障安全技術手段發(fā)揮正常功效的保障之一，安全管理的根本目的是規(guī)范和約束相關的系統(tǒng)運行維護的安全操作，貫徹執(zhí)行安全策略的各項要求，安全管理的具體表現(xiàn)形式往往為安全管理2.7構建安全運維體系統(tǒng)進行安全運維的組織團隊。必要時需要借助專業(yè)的第三方安全服務團隊，幫保持在較高水平。安全運維服務的主要工作包括安全評估、安全加固、安全監(jiān)3總體方案介紹：3.1設計原則統(tǒng)一布局、統(tǒng)一設計、規(guī)范標準，并根據實際需要及投資金額，突出重點、分步實施，保證系統(tǒng)建設的完整性和投資的有效性。在方案設計和項目建設中應統(tǒng)一規(guī)劃、分步實施原則在網絡安全等級保護的建設過程中，將首先從一個完整的網絡系統(tǒng)體系結構出發(fā)，全方位、多層次的綜合考慮信息網絡的各種實體和各個環(huán)節(jié)，運用信息系統(tǒng)工程的觀點和方法論進行統(tǒng)一的、整體性的設計，將有限的資源集中解決最緊迫問題，為后繼的安全實施提供基礎保障，通過逐步實施，來達到信息網絡系統(tǒng)的安全強化。從解決主要的問題入手，伴隨信息系統(tǒng)應用的開展，逐步提高和完善信息系統(tǒng)的建設，充分利用現(xiàn)有資源進行合理整合的原則。標準性和規(guī)范化原則網絡安全等級保護建設應當嚴格遵循國家和行業(yè)有關法律法規(guī)和技術規(guī)范的要求，從業(yè)務、技術、運行管理等方面對項目的整體建設和實施進行設計，根據信息系統(tǒng)的重要程度、業(yè)務特點，通過劃分不同安全保護等級的信息系統(tǒng)，實現(xiàn)不同強度的安全保護，集中資源優(yōu)先保護涉及核心業(yè)務或關鍵信息適度安全原則安全風險和安全成本之間進行平衡和折中，過多的安全要求必將造成安全成本適度安全也是等級保護建設的初衷，因此在進行等級保護設計的過程中，一方面要嚴格遵循基本要求，從物理、網絡、主機、應用、數(shù)據等層面加強防護措施，保障信息系統(tǒng)的機密性、完整性和可用性，另外也要綜合考慮業(yè)務和成本的因素，針對信息系統(tǒng)的實際風險，提出對應的保護強度，并按照保護強度進行安全防護系統(tǒng)的設計和建設，從而有效控制成本。技術管理并重原則網絡安全問題從來就不是單純的技術問題，把防范黑客入侵和病毒感染理解為網絡安全問題的全部是片面的，僅僅通過部署安全產品很難完全覆蓋所有的網絡安全問題，因此必須要把技術措施和管理措施結合起來，更有效的保障先進形和成熟性原則所建設的安全體系應當在設計理念、技術體系、產品選型等方面實現(xiàn)先進性和成熟性的統(tǒng)一。本方案設計采用國際先進實用的安全技術和國產優(yōu)秀安全產品，選擇目前和未來一定時期內有代表性和先進性的成熟的安全技術，既保證當前系統(tǒng)的高安全可靠，又滿足系統(tǒng)在很長生命周期內有持續(xù)的可維護和可網絡安全問題不是靜態(tài)的。信息系統(tǒng)安全保障體系的設計和建設，必須遵循動態(tài)性原則。必須適應不斷發(fā)展的信息技術和不斷改變的脆弱性，必須能夠及時地、不斷地改進和完善系統(tǒng)的安全保障措施。經濟性原則項目設計和建設過程中，將充分利用現(xiàn)有資源，在可用性的前提條件下充分保證系統(tǒng)建設的經濟性，提高投資效率，避免重復建設。3.2網絡安全等級保護建設過程網絡安全等級保護建設的生命周期系統(tǒng)構成包括：系統(tǒng)定級備案、差距分析評估、總體規(guī)劃設計、安全整改實施、等級測評和風險評估、系統(tǒng)安全運維等方面。本方案設計重點在于總體規(guī)劃設計以及項目整改建設實施。3.3安全保障體系構成構建XXXXX網絡安全等級保護方案的設計思想是以等級保護的“一個中心、三重防護”為核心指導思想，構建集防護、檢測、響應、恢復于一體的全面的安全保障體系。具體體現(xiàn)為：以全面貫徹落實等級保護制度為核心，打造科學實用的網絡安全防護能力、安全風險監(jiān)測能力、應急響應能力和災難恢復能力，從安全技術、安全管理、安全運維三個角度構建安全防護體系，切實保障網絡安全。參考《信息安全技術網絡安全等級保護設計技術要求》(GB/T25070-2019)(以下簡稱《設計技術要求》),安全技術體系設計內容主要涵蓋到“一個中心、三重防護”。即安全管理中心、安全區(qū)域邊界、安全通信網絡、安全計算環(huán)境。僅有安全技術防護，無嚴格的安全管理相配合，是難以保障整個系統(tǒng)的穩(wěn)定安全運行。應該在安全建設、運行、維護、管理都要重視安全管理，嚴格按制度進行辦事，明確責任權力，規(guī)范操作，加強人員、設備的管理以及人員的培訓，提高安全管理水平，同時加強對緊急事件的應對能力，通過預防措施和恢復控制相結合的方式，使由意外事故所引起的破壞減小至可接受程度。由于安全技術和管理的復雜性、專業(yè)性和動態(tài)性，業(yè)務信息系統(tǒng)安全的規(guī)劃、設計、建設、運行維護均需要有較為專業(yè)的安全服務支持。安全運維服務包括系統(tǒng)日常維護、安全加固、應急響應、業(yè)務持續(xù)性管理、安全審計、安全4安全技術體系設計4.1安全區(qū)劃分建分區(qū)、分等級的安全防護體系。基于區(qū)進行安全設計的總體思想是：將原本復雜的系統(tǒng)，根據支撐業(yè)務、信息資產、地理位置、使用單位等要素劃分為多個相對獨立的安全區(qū)域，然后業(yè)務服務種類繁、用戶對象多、等特點，因此采用基于安全區(qū)的安全設計辦法是非常有效的，將XXXXX根據業(yè)務訪問關系劃分為多個安全區(qū)域，然后根據各個安全區(qū)域的特點分別有針對性地設計保護措施和安全策略，將大大提升防護的有效性，同時也體現(xiàn)出重點資產、重點防范的建設原則?！龌ヂ?lián)網接入區(qū)：包括外聯(lián)路由及出口安全設備?！龊诵慕粨Q區(qū)：包括核心交換機與內網防火墻■業(yè)務服務器區(qū)：核心業(yè)務區(qū)域包含各個業(yè)務系統(tǒng)?！鯠MZ區(qū)：包括對外發(fā)布服務器等?！鲞\維管理區(qū)：包括對網絡設備、主機系統(tǒng)、應用系統(tǒng)和安全系統(tǒng)提供集中管理、運維的服務器主機，該區(qū)域提供服務器主機及安全設備的網絡接入。4.2整體方案拓撲設計針對XXXXX信息系統(tǒng)，基于分級分區(qū)保護的總體部署設計邏輯示意圖如下互聯(lián)網接入區(qū)互聯(lián)網接入區(qū)沙箱業(yè)務服務器區(qū)平臺漏洞掃描安全物理環(huán)境主要涉及的方面包括環(huán)境安全(防火、防水、防雷擊等)設

供配電系統(tǒng)可靠，這就要求兩路以上的市電供應，N+1冗余的自備發(fā)電機系統(tǒng)，還有能保證足夠時間供電的UPS系統(tǒng)。為了保證XXXXX機房的各種設備安全，要求機房設有四種接地形式，即計算機專用直流邏輯地、配電系統(tǒng)交流工作地、安全保護地、防雷保護地。為了保證XXXXX機房的各種設備安全，要求機房配備溫濕控制系統(tǒng)來對機房內溫濕度進行控制，保障設備安全。

消防報警及自動滅火為實現(xiàn)火災自動滅火功能，在XXXXX機房的各個地方，還應該設計火災自動監(jiān)測及報警系統(tǒng)，以便能自動監(jiān)測火災的發(fā)生，并且啟動自動滅火系統(tǒng)和報警系統(tǒng)。XXXXX機房應建立實用、高效的門禁系統(tǒng)，門禁系統(tǒng)需要注意的原則是安全可靠、簡單易用、分級制度、中央控制和多種識別方式的結合。

保安監(jiān)控XXXXX機房的保安監(jiān)控包括幾個系統(tǒng)的監(jiān)控：閉路監(jiān)視系統(tǒng)、通道報警系統(tǒng)和人工監(jiān)控系統(tǒng)。4.4安全通信網絡保護措施遠程辦公人員和運維人員如果直接通過公網訪問內部業(yè)務系統(tǒng)，部分數(shù)據在公網可能被人劫持、利用、篡改，同時如果在公網傳輸?shù)臄?shù)據是明文傳輸?shù)?，風險會更大，所以可以利用VPN功能(SSLVPN與IPSECVPN),對公網傳輸?shù)臄?shù)據進行加密，構建VPN隧道，避免在訪問內部業(yè)務系統(tǒng)過程中數(shù)據被竊取、篡改。本次直接在互聯(lián)網接入區(qū)防火墻開啟VPN模塊，通過VPN隧道，用戶可以安全連入內部業(yè)務系統(tǒng)，為用戶的數(shù)據提供了最大限度的安全保護。單線路、單設備的結構很容易發(fā)生單點故障導致業(yè)務中斷，因此對于提供關鍵業(yè)務服務的XXXXX網絡，應用訪問路徑上的任何一條通信鏈路、任何一臺網關設備和交換設備，都應當采用可靠的冗余備份機制，以最大化保障數(shù)據XXXXX網絡采用多服務器互備外，對于局域網骨干核心鏈路及相關的網絡路由交換設備、安全網關設備等均采用冗余熱備的部署方式，以提升網絡系統(tǒng)的存在安全隱患的配置進行修改，主要關注以下方面：●登錄口令安全策略：應當使用安全的口令策略，制定口令長度、復雜度及生存周期等規(guī)則，并對本地保存的用戶口令進行加密存放；●登錄地址控制策略：對重要網絡設備進行配置，指定可管理該網絡設備●用戶身份唯一性策略：對重要網絡設備的管理員帳號進行維護，禁止多個管理員共享相同用戶名對網絡設備同時進行登錄和操作；●登錄及會話安全策略：應當制定登錄錯誤鎖定、會話超時退出等安全策●特權用戶權限分離策略：應實現(xiàn)特權用戶的權限分離，如配置管理員不●遠程管理安全策略：應當采用HTTPS、SSH等安全遠程管理手段，而不應采用不安全的HTTP、Telnet方式進行遠程管理；●配置文件保護策略：應當每次更新網絡設備或安全設備配置信息后，以及定期進行配置文件備份，防止配置意外更改或丟失。4.5安全區(qū)域邊界保護措施安全區(qū)域邊界是對內部應用系統(tǒng)計算環(huán)境進行安全防護和防止敏感信息泄露的必經渠道；通過區(qū)域邊界的安全控制，可以對進入和流出應用環(huán)境的信息流進行安全檢查，既可以保證應用系統(tǒng)中的敏感信息不會泄漏出去，同時也可以防止應用系統(tǒng)遭受外界的惡意攻擊和破壞。充分利用互聯(lián)網出口的帶寬資源，自動選擇最優(yōu)路徑，將來自內外網的流量分流到最佳的鏈路上，保證帶寬有效利用，并達到最佳訪問速度。通過全方位的負載均衡，增加了數(shù)據中心的服務器和網絡的利用率，保證應用的安全性和可在互聯(lián)網邊界處部署抗D設備，基于數(shù)據包的規(guī)則過濾、數(shù)據流指紋檢測過濾及數(shù)據包內容定制過濾等頂尖技術，準確判斷外來訪問流量是否正常，進一步將異常流量過濾，從而實現(xiàn)對異常流量的檢測與清洗。DDOS防范系統(tǒng)提供檢測與防御流量型DDOS攻擊(如UDPFlood、TCPSYNFlood等)、應用型DDOS攻擊(如CC、DNSFlood、慢速連接耗盡等)、DOS攻擊(如Land、Teardrop、Smurf等)、非法協(xié)議攻擊(如IP流、TCP無標記、無確認FIN、圣誕樹等)四大類拒絕服務攻擊。在互聯(lián)網邊界部署防火墻系統(tǒng)，基于網絡訪問控制技術、包過濾技術，通過制定合理的訪問控制規(guī)則，對互聯(lián)網用戶訪問應用服務器區(qū)進行限制，從而實現(xiàn)對互聯(lián)網用戶的訪問控制。防火墻技術是用來阻擋外部不安全因素影響的內部網絡屏障，也是用戶構建互聯(lián)網邊界安全的第一道網絡安全屏障。在互聯(lián)網邊界部署入侵防御系統(tǒng)，基于強大入侵防范規(guī)則庫對互聯(lián)網流入的流量數(shù)據包進行行為實時檢測與分析，一旦發(fā)現(xiàn)攻擊行為立即阻斷，有效防止溢出攻擊類、RPC攻擊類、WEBCGI攻擊類、拒掃描類、網絡訪問類、HTTP攻擊類、系統(tǒng)漏洞類等類別攻擊，增強互聯(lián)網邊界的網絡入侵防范能力。在核心交換機旁路部署沙箱設備，提供各種虛擬模擬運行環(huán)境，為不可信代碼程序提供虛擬化的內存、文件系統(tǒng)、網絡等資源，隔離運行未知或可疑代碼并對其進行分析，從而有效發(fā)現(xiàn)利用新爆發(fā)漏洞(ODay/NDay)的惡意代碼或未知的新型惡意代碼，并與網絡邊界部署的下一代防火墻進行聯(lián)動阻斷，從而實現(xiàn)對未知新型威脅的有效防御。4.5.5惡意代碼防范技術在互聯(lián)網邊界防火墻開啟防毒模塊，基于病毒深度檢測與防范技術，通過強大的病毒檢測引擎對互聯(lián)網流入內網的流量數(shù)據包進行實時檢測，一旦發(fā)現(xiàn)病毒、木馬、間諜軟件等惡意軟件或代碼進行阻斷攔截，為用戶網絡系統(tǒng)的整體防毒建立第一道安全防線。在互聯(lián)網邊界防火墻開啟應用識別模塊，對內網交互數(shù)據進行采集，能夠分析網絡中的數(shù)據包、流量信息，通過對相關協(xié)議進行分析，對網絡通信行為和內容進行記錄和統(tǒng)計，幫助發(fā)現(xiàn)網絡中的異常流量和違規(guī)行為。網絡審計的重點對象是內網用戶終端的網絡訪問行為，支持多種網絡應用協(xié)議的監(jiān)控、還原和審計，例如對通過HTTP、FTP、SMTP等方式訪問業(yè)務系統(tǒng)的用戶登錄、用戶登錄IP地址、訪問時間、訪問內容等進行監(jiān)控和審計，滿足等保網絡行為審計要求。4.5.7邊界完整性技術●服務器區(qū)域邊界完整性建議在XXXXX各服務器安全區(qū)的接入交換機端口上綁定所連接服務器的MAC地址，并關閉不用的交換機端口。對于接入到該類區(qū)域的非許可設備，由于其MAC不會被交換機識別，而有效防止接入?！窠K端區(qū)域邊界完整性建議在核心交換機旁路部署網絡準入控制系統(tǒng)，實現(xiàn)非法外聯(lián)監(jiān)控和非法接入監(jiān)控功能。對接入XXXXX的終端設備進行統(tǒng)一準入認證和安全策略管理，4.6安全計算環(huán)境設計計算環(huán)境是XXXXX各類應用的運行環(huán)境，計算環(huán)境安全防護建設采用主機惡意代碼防范技術、Web防火墻技術、網頁防篡改技術、漏洞掃描技術、數(shù)據審計、數(shù)據防泄漏、關鍵數(shù)據脫敏及備份等技術進行安全建設，增強XXXXX網絡計算環(huán)境的安全防護能力。計算機上部署相應平臺的網絡版防病毒軟件，有效查殺、威脅服務器和客戶端正常運行的病毒、惡意腳本、木馬、蠕蟲等惡意代碼。在運維管理區(qū)部署統(tǒng)一的防病毒系統(tǒng)管理服務器和升級服務器，確保全網具有一致的防病毒策略和最新的病毒查殺能力。4.6.2Web防火墻技術在DMZ區(qū)WEB服務器前端部署Web應用防火墻系統(tǒng)，通過Web檢測引擎和安全策略對互聯(lián)網流量數(shù)據進行實時檢測、對異常攻擊行為進行阻斷，實現(xiàn)對WEB應用服務和網頁內容的防護，屏蔽對網站的攻擊和篡改行為，實現(xiàn)防跨站攻擊、防SQL注入、防止黑客入侵、網頁防篡改等功能，從而更有效地對網站服務器系統(tǒng)及網頁內容進行安全保護，從應用和業(yè)務邏輯層面真正解決WEB應用安全問題。建議在運維管理區(qū)部署漏洞掃描系統(tǒng)，以本地掃描或遠程掃描的方式，對各臺重要的網絡設備、主機系統(tǒng)及相應的操作系統(tǒng)、應用系統(tǒng)等進行全面的漏洞掃描和安全評估。系統(tǒng)提供詳盡的掃描分析報告和漏洞修補建議，幫助管理員實現(xiàn)對XXXXX網絡網絡，尤其是其中的重要服務器主機系統(tǒng)的安全加固，在業(yè)務服務器區(qū)接入交換機上旁路部署數(shù)據庫審計系統(tǒng)，通過數(shù)據庫審計技術能夠實時記錄和分析網絡上的數(shù)據庫活動，對數(shù)據庫操作進行細粒度審計的合規(guī)性管理，對數(shù)據庫遭受到的風險行為進行告警。通過對用戶訪問數(shù)據庫行為的記錄、分析和匯報，幫助用戶事后生成合規(guī)報告、事故追根溯源，同時加強內外部數(shù)據庫網絡行為記錄，提高數(shù)據資產安全。通過部署備份一體機系統(tǒng)，實現(xiàn)數(shù)據的備份和恢復。4.7安全管理中心保護措施4.7.1安全運維管理與審計技術建議在運維管理區(qū)部署堡壘機，實現(xiàn)對企業(yè)所有網絡設備、安全設備以及服務器進行集中統(tǒng)一安全運維管理，實現(xiàn)運維單點登錄，統(tǒng)一管理運維賬號，管理運維授權，并對運維操作進行審計記錄，并通過堡壘機實現(xiàn)對運維角色與權限的劃分，分為系統(tǒng)管理員、審計管理員、安全管理員等。4.7.2集中日志收集與分析技術建議在運維管理區(qū)部署一套集中的日志收集和分析系統(tǒng)，通過被動采集(SYSLOG、SNMPTRAP)或主動采集(ODBC/JDBC、文件讀取、安裝AGENT)的方式對XXXXX網絡中所有網絡設備、服務器操作系統(tǒng)、應用系統(tǒng)、安全設備、安全軟件管理平臺等所產生的日志數(shù)據進行統(tǒng)一采集、存儲、分析和統(tǒng)計，為管理人員提供直觀的日志查詢、分析、展示界面，并長期妥善保存日志數(shù)據以便需要時查看。保證審計記錄的留存時間符合法律法規(guī)要求。在運維管理區(qū)部署態(tài)勢感知平臺，提供對全網安全事件的集中監(jiān)控、分析和處置，以及對安全風險、安全發(fā)展態(tài)勢的集中監(jiān)測，對整個網絡進行集中的安全管理，對安全事件進行深度分析，并快速做出智能響應，最終實現(xiàn)對信息系統(tǒng)安全風險的集中監(jiān)管，提升XXXXX網絡的安全運維能力，更好地支撐業(yè)務持續(xù)性發(fā)展。態(tài)勢感知平臺依據ISO27001安全管理標準，結合安全服務的最佳實踐，以風險管理為核心，通過深度數(shù)據挖掘、事件關聯(lián)等技術，實現(xiàn)了網絡內部各類安全事件的集中管理和智能分析，提供多視角、實時動態(tài)的企業(yè)風險現(xiàn)狀展示。同時，系統(tǒng)內置了多種報警響應、工單機制以及專家建議系統(tǒng)，可以幫助用戶采取及時、有效的安全措施以實現(xiàn)閉環(huán)的、持續(xù)改進的網絡安全管理，保5安全管理體系設計“三分技術，七分管理”這句話是對網絡安全建設工作非常客觀的描述。任何安全建設僅在技術上是做不到完整的安全，還需要建立一套科學、嚴密的網絡安全管理體系，為計算機信息化網絡系統(tǒng)提供制度上的保證，將由于內、外部的非法訪問或惡意攻擊造成的損失減少到最小。因此不能忽視安全建設管理，必須提供具體的安全管理措施。根據安全防范體系中的各種安全技術所需的技術管理工作，設定安全管理的角色：業(yè)務系統(tǒng)管理員、網絡系統(tǒng)管理員、安全保密管理員、密鑰管理員、系統(tǒng)審計員等職位。根據不同的職能，定義不同角色的責任和權利，制定相應5.1安全管理機構設計安全管理機構的規(guī)劃，應以安全組織架構設計為基礎，定義架構中涉及到的處室和崗位的職責以及管理方法，其內容包含但不少于等級保護基本要求中的第三級信息系統(tǒng)的管理要求中對管理機構的要求。根據其在網絡安全工作中扮演的不同角色進行優(yōu)化組合的結果，反映了各處室在網絡安全工作中的不同定位和相互協(xié)作關系。網絡安全組織架構主要包括參與網絡安全決策、管理、執(zhí)行和監(jiān)督工作的處室?！鰶Q定了網絡安全工作中正式的報告關系，包括層級數(shù)和管理者的管理跨■決定了如何由個體組合成處室，再由處室到組織；■組織架構中包含了一套系統(tǒng)，以保證跨處室的有效溝通、合作與整合。網絡安全組織架構是開展網絡安全工作的基礎。在日常管理過程中，存在著多項網絡安全管理事宜，需要對其中的重要事件進行決策，從而為網絡安全■網絡安全決策機構■網絡安全管理機構運行使用監(jiān)管機構開發(fā)網絡安全決策機構處于整個網絡安全組織架構的頂端，主要從高層領導的角度對于網絡安全方面的工作進行指導和控制，網絡安全決策機構應當是安全1)確定網絡安全工作的戰(zhàn)略和方向2)決定本項目網絡安全組織3)總體調配網絡安全工作的資源4)負責通過和決定網絡安全策略和標準5)對于網絡安全方面的重大項目進行審批6)在協(xié)調安全工作中協(xié)調各處室關系一般網絡安全決策機構在組織中的主要表現(xiàn)形式是由相關各處室主管負責網絡安全決策機構需要對網絡安全工作開展中的重大事項進行決策，因此必須要有網絡安全專職管理機構的代表；網絡安全工作的需求來自于業(yè)務的開展，因此很多情況下也考慮各處室的代表的參與；網絡安全決策工作中的一項重要課題是資源保障，因此往往需要分別擁有資金調配、人員調配和設備調配權力的處室的代表。至于對各處室選派代表的要般來說需要有相關決定權力的人員作為代表。網絡安全管理機構網絡安全管理機構是整個網絡安全管理體系建立和維護的組織者和管理者，1)網絡安全管理機構是網絡安全決策機構的決策支持者，由管理機構為2)網絡安全管理機構是網絡安全工作的規(guī)則制定者和決策推行的管理者?？梢哉f是網絡安全決策機構的執(zhí)行組織，也可以說是網絡安全執(zhí)行機1)整個XXXXX網絡網絡安全相關政策標準的制定、更新2)網絡安全項目的規(guī)劃、評審和質量控制3)對網絡安全工作的開展進行日常管理和監(jiān)督網絡安全執(zhí)行機構網絡安全執(zhí)行機構主要負責具體網絡安全工作的執(zhí)行和開展。一般網絡安全執(zhí)行機構主要包括網絡安全工程組織和網絡安全運行組織兩大類的組織。網絡安全工程組織一般以獨立項目小組的形式存在，由專門的網絡安全開發(fā)和工程處室和相關工程人員組成。網絡安全工程組織主要負責的工作包括：1.網絡安全基礎建設包括各項網絡安全技術的實施，如認證授權與訪問控制系統(tǒng)的建設，網絡安全運營中心的建設等2.網絡安全管理項目實施網絡安全管理項目的實施也是網絡安全工程組織的重要工作之一，例如網絡安全規(guī)劃，信息資產識別與風險評估，網絡安全標準與規(guī)范的制定等。對于網絡安全運行組織在XXXXX網絡中主要負責日常信息系統(tǒng)監(jiān)控維護方面的工作，并及時匯報日常運作中信息系統(tǒng)的安全情況。網絡安全運行組織一般是一個虛擬的機構，包括運行維護、監(jiān)控和技術支持在內的專職或兼職的網絡安全人員，通常會分散安排在各個相關處室中，并統(tǒng)一向專門的網絡安全運行管理人員匯報和負責。除此之外，專門的網絡安全運營中心或是由外包商提供的監(jiān)控服務也屬于這一機構的范疇內。網絡安全運行組織的主要職責可以概括如下：1)依照各項管理政策、標準與規(guī)范、指南與細則開展工作2)提供各種安全服務以直接支持業(yè)務，包括監(jiān)控、事件響應、故障處理等3)將工作中的各種需求和重要事項匯報給網絡安全管理機構4)接受管理機構和監(jiān)督機構的監(jiān)管、控制，并配合其開展工作網絡安全監(jiān)管機構網絡安全監(jiān)管機構的主要職能是對XXXXX網絡內網絡安全工作的開展情況進行獨立的審查和監(jiān)督。它可以是XXXXX網絡的內部審計處室，也可以是1)監(jiān)督各項網絡安全策略、標準與規(guī)范、指南與細則的執(zhí)行情況，檢驗網絡安全管理機構和執(zhí)行機構是否按照其開展工作。2)檢驗網絡安全管理機構和執(zhí)行機構的工作效果，包括網絡安全項目審查、網絡安全服務效果審查，總體網絡安全情況評估和信息系統(tǒng)安全網絡安全監(jiān)管機構是針對XXXXX網絡網絡安全管理機構和執(zhí)行機構的工作進行監(jiān)管，其審查監(jiān)督的結果直接向網絡安全決策機構或者XXXXX網絡的決策層進行匯報，為網絡安全組織改進工作提供支持。網絡安全角色和職責從根本上來說，網絡安全是XXXXX網絡中每一個和信息系統(tǒng)相關或是能影響信息系統(tǒng)的安全情況的人員的職責。每個人在信息系統(tǒng)的運行中，在不同崗位上都扮演著相應的角色。本部分將定義出XXXXX網絡中與網絡安全工作相關的主要角色，并從總體上描述他們所承擔的職責。在網絡安全工作方面一直在進行討論的一個基本問題就是“到底是誰的職責?”,許多人對于網絡安全相關職責仍停留在傳統(tǒng)概念中，認為網絡安全是信息技術處室或僅僅是網絡安全處室的職責，這樣給網絡安全工作的開展帶來了很大的困難。通過定義網絡安全角色與職責，使XXXXX網絡中每個工作人員都能找到自己的位置，同時為以后具體崗位職責的定義打下了堅實的基礎。通常在網絡安全相關的角色主要包括幾下幾1)高層管理人員2)網絡安全管理人員3)處室和項目管理者/應用所有者4)技術提供、維護和支持人員5)管理支持者由于各自的角色不同他們在網絡安全方面也承擔著不同的職責。網絡安全組織架構和相關職責信息安全領導小組信息安全領導小組信息管理部安全審計組高層領導參加的網絡安全領導小組，負責批準網絡安全策略、分配安全責任并協(xié)調整個XXXXX網絡范圍的安全策略實施，確保對安全管理和建設有一個明確的方向并得到管理層的實際支持。網絡安全領導小組應通過合理的責任分配和有效的資源管理促進XXXXX網絡網絡信息系統(tǒng)的安全。網絡安全領導小組可以作為目前管理機構的一個組成部分。網絡安全領導小組有如下職責：1)就整個科技處的網絡安全的作用和責任達成一致；2)審查和批準網絡安全策略以及總體責任；3)就網絡安全的重要和原則性的方法、處理過程達成一致，并提供支持。如風險評估、機密信息分類方法等；4)確保將安全作為制定業(yè)務建設和維護計劃、內部信息系統(tǒng)建設的一個部5)授權對安全控制措施是否完善進行評估，并協(xié)調新系統(tǒng)或新服務的特定網絡安全控制措施的實施情況；6)審查重大的網絡安全事故，并協(xié)調改進措施；7)審核網絡安全建設和管理的重要活動，如重要安全項目建設、重要的安全管理措施出臺等；8)在整個組織中增加對網絡安全工作支持的力度。負責設計、建設安全管理體系，包括策略、組織和運作模式，并且進行宣貫和培訓。信息中心有如下職責：1)貫徹執(zhí)行相關主管處室有關網絡及網絡安全管理方面的方針、政策及各項工作要求，在各網上落實網絡及網絡安全的各項工作。通過等級保護工作保持與公安機關的聯(lián)系，接受和執(zhí)行公安機關的監(jiān)督和指導。2)負責建立網絡安全策略體系，制定網絡及網絡安全工作制度及管理流程，起草、制定網絡及網絡安全的技術規(guī)范、標準及策略，聘請外部專家對網絡及網絡安全工作制度及管理流程進行評審，組織在全網范圍內的實3)組織、協(xié)調內部各處室實施網絡及網絡安全工作。4)在XXXXX網絡內開展網絡安全知識共享，建立有針對網絡安全的知識共享的技術平臺，促進內部交流與學習。5)定期組織內部人員或聘請外部單位，公安機關等進行全面安全檢查，檢查內容包括現(xiàn)有安全技術措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等；匯總安全檢查數(shù)據，形成安全檢查報告，并對安全檢查結果在安全組織內召開會議進行通報。負責項目日常安全維護工作，包括網絡安全專員和各處室網絡安全助理。1.執(zhí)行有關網絡安全問題的處理1)在日常維護中發(fā)現(xiàn)有安全問題，首先進行應急處理保證業(yè)務的連續(xù)性，解決安全問題，工作結束后，將由雙方一起記錄安全處理過程；2)對重點主機系統(tǒng)的安全職責；3)至少每月進行一次安全漏洞掃描；4)對主機系統(tǒng)和網絡設備上的用戶進行審核，發(fā)現(xiàn)可疑的用戶賬號時及時向系統(tǒng)管理員核實并作相應的處理。2.對網絡設備的安全職責1)監(jiān)督網絡安全管理機構制訂的網絡設備用戶賬號的管理制度的實行，在發(fā)現(xiàn)有可疑的用戶賬號時向網絡管理員進行核實并采取相應的措施；2)根據業(yè)務保護要求，提出防火墻系統(tǒng)的部署方案，并制訂相應的網絡安3.對數(shù)據庫的安全職責1)協(xié)同數(shù)據庫管理員對對數(shù)據庫系統(tǒng)進行安全配置，修補已發(fā)現(xiàn)的漏洞；2)協(xié)同數(shù)據庫管理員對于數(shù)據庫安全事件處理，并分析安全事件原因；3)協(xié)同數(shù)據庫管理員對于數(shù)據庫安全事件進行處理，盡量減小安全事故和4)驗證數(shù)據備份策略的有效性，對數(shù)據恢復過程進行試驗，確保在發(fā)生安內容和周期以及備份介質的保存符合有關的規(guī)對用戶的各種行為進行審計，對安全監(jiān)控中心的各項監(jiān)控、處理和維護工1)依賴安全運行管理平臺以及各種安全審計產品對管理網的用戶行為進2)對安全監(jiān)控中心的各項監(jiān)控、處理和維護工作進行審計。1)查看安全運行管理平臺的各種告警，做出處理判斷，并編制下發(fā)工單。2)定期查看網絡安全站點的安全公告，跟蹤和研究各種網絡安全漏洞和攻相應的對策，通知并指導系統(tǒng)管理員進行安全防范。3)跟蹤信息系統(tǒng)系統(tǒng)中使用的操作系統(tǒng)和通用應用系統(tǒng)最新版本和安全并指導系統(tǒng)管理員進行升級或打補丁。4)根據信息中心提出的安全標準，對主機系統(tǒng)上開放的網絡服務和端口進5)定期對主機的網絡服務進行全面安全檢測，在發(fā)現(xiàn)安全設置不當或存在發(fā)現(xiàn)安全網絡設備上存在的異常開放的網絡服務或者開放的網絡服務存在安全漏洞時及時通知網絡管理員采取相應的措施。5.2安全管理人員設計1)人員錄用的應以《網絡安全工作人員安全管理辦法》為標準：對應聘者2)在簽署勞動合同前，應由人力資源部進行人員背景、資質審查，技能考3)關鍵區(qū)域或部位的安全管理人員應選用實踐證明精干、內行、忠實、可靠的人員，必要時可按JY人員條件配備。1)人員離崗的應以《網絡安全工作人員安全管理辦法》為標準：立即中止2)調離后的保密要求：管理層和信息系統(tǒng)關鍵崗位人員調離崗位，必須經3)離崗的審計要求：涉及組織機構管理層和信息系統(tǒng)關鍵崗位的人員調離單位，必須進行離崗安全審查，在審查合格后，方可調離；4)對于在組織內進行崗位調動的工作人員，須根據新崗位的需要，增加、所有資料文件，包括其軟硬拷貝都需要移交，不允許私自帶走。1)定期的人員考核：應定期對各個崗位的人員進行不同側重的安全認知和安全技能的考核，作為人員是否適合當前崗位的參考；2)定期的人員審查：對關鍵崗位人員，應定期進行審查，如發(fā)現(xiàn)其違反安3)管理有效性的審查：對關鍵崗位人員的工作，應通過例行考核進行審查，4)全面嚴格的審查：對所有安全崗位人員的工作，應通過全面考核進行審查，如發(fā)現(xiàn)其違反安全規(guī)定，應采取必要的應對措施。5)應知應會要求：應讓信息系統(tǒng)相關工作人員知曉信息的敏感性和網絡安全的重要性，認識其自身的責任和安全違例會6)有計劃培訓：制定并實施安全教育和培訓計劃，根據不同培訓對象的需要，每季度或每半年進行安全培訓，培養(yǎng)信息系統(tǒng)各類人員安全意識，7)針對不同崗位培訓：針對不同崗位，制定不同的專業(yè)培訓計劃，包括安8)按人員資質要求培訓：對所有工作人員的安全資質進行定期檢查和評估，使相應的安全教育成為組織機構工作計劃的一部分；9)培養(yǎng)安全意識自覺性：對所有工作人員進行相應的安全資質管理，并使1)應對硬件和軟件維護人員，咨詢人員，臨時性的短期職位人員，以及輔助人員和外部服務人員等第三方人員簽署包括不同安全責任的合同書或保密協(xié)議；規(guī)定各類人員的活動范圍，進入計算機房需要得到批準，責人批準，必要時應有人監(jiān)督或陪同；2)在重要區(qū)域，第三方人員必須進入或進行邏輯訪問(包括近程訪問和遠程訪問等)均應有書面申請、批準和過程記錄，并有專人全程監(jiān)督或陪同；進行邏輯訪問應使用專門設置的臨時用戶，并進行審計；3)關鍵區(qū)域管理要求：在關鍵區(qū)域，一般不允許第三方人員進入或進行邏輯訪問；如確有必要，除有書面申請外，可采取由機構內部人員帶為操作的方式，對結果進行必要的過濾后再提供第三方人員，并進行審計；必要時對上述過程進行風險評估和記錄備案，并對相應風險采取必要的安全補救措施。幫助用戶建立起以網絡安全方針、安全策略、安全管理制度、安全技術規(guī)范以及流程為一體的網絡安全管理制度體系。安全管理制度體系模型參見下圖：安全管理制度的建設，需要對XXXXX網絡的業(yè)務和日常運營等情況非常熟悉，根據XXXXX網絡實際情況以及等級保護管理要求制定完整的安全管理1)《網絡安全組織體系和職責》:規(guī)定XXXXX網絡安全組織機構的職2)《網絡安全崗位人員管理辦法》:加強內部人員安全管理，依據最小特權原則清晰劃分崗位，在所有崗位職責中明確網3)《網絡安全工作人員安全管理辦法》:工作人員在錄用、調動、離職過4)《網絡安全培訓及教育管理辦法》:XXXXX網絡各層面網絡安全培訓5)《網絡安全第三方人員安全管理辦法》:必須加強第三方訪問和外包服務的安全控制，在風險評估的基礎上制定安全控制措施，并與第三方XXXXX網絡和外包服務XXXXX網絡簽署安全責任協(xié)議，明確其安全6)《安全檢查及考核管理辦法》建立安全檢反規(guī)章制度的處室和人員按照規(guī)定進行處罰。7)《網絡安全體系管理辦法》:建設完整安全體系，實現(xiàn)從設計、實施、修改和維護生命周期的安全體系自身保障。8)《網絡安全策略管理辦法》:安全策略本身應規(guī)范從創(chuàng)建、執(zhí)行、修改、到更新、廢止等整個生命周期的維護保障。9)《網絡安全安全現(xiàn)狀評估管理辦法》:網絡安全體系的建設和維護，要通過及時獲知和評價網絡安全的現(xiàn)狀，通過對10)《網絡安全信息資產管理辦法》:必須加強信息資產管理，建立和維護11)《網絡安全IT設備弱點評估及加固管理辦法》:增強主機系統(tǒng)和網絡12)《網絡安全預警管理辦法》:對安全威脅提前預警，及時將國內外安全信息通知XXXXX網絡各級網絡安全管理人員及工作人員，確保能夠及時采取應對措施，以此降低XXXXX網絡的網絡安全風險。13)《網絡安全安全審計及監(jiān)控管理辦法》:應部署網絡層面和系統(tǒng)層面的 14)《網絡安全項目立項安全管理辦法》:加強項目建設的安全管理，配套安全系統(tǒng)必須與業(yè)務系統(tǒng)“同步規(guī)劃、同步建設、同步運行”,加強安全規(guī)劃、安全評估和論證的管理。15)《安全運行維護管理辦法》:建立日常維護操作規(guī)程和變更控制規(guī)程，16)《網絡安全配置變更管理辦法》:嚴格控制和審批任何變更行為。17)《網絡安全病毒防護管理辦法》:加強XXXXX網絡病毒防治工作，提升XXXXX網絡病毒整體防護能力，降低并防范病毒對于XXXXX18)《網絡安全補丁管理辦法》:按照補丁跟進和發(fā)布、補丁獲取、補丁測試、補丁加載、補丁驗證、補丁歸檔這一流程進行補丁安全管理。19)《網絡安全賬號口令及權限管理辦法》:加強用戶賬號和權限管理，按照最小特權原則為用戶分配權限，避免出現(xiàn)共用賬號的情況。20)《網絡安全應急響應管理辦法》:制定各業(yè)務系統(tǒng)的應急方案，及時發(fā)包括：安全管理規(guī)定中與管理流程配合使用，管理規(guī)定中會提出涉及流程1)《網絡安全管理流程—安全補丁管理流程》配合《信息補丁管理辦法》2)《網絡安全管理流程—安全策略管理流程》:配合《網絡安全策略管理3)《網絡安全管理流程—安全配置變更管理流程》:配合《網絡安全配置4)《網絡安全管理流程—安全事件處理流程》:配合《網絡安全應急響應5)《網絡安全管理流程—安全體系運作流程》:配合《網絡安全安全體系6)《網絡安全管理流程—辦公網絡環(huán)境第三方人員訪問申請審批流程》:配合《網絡安全第三方人員安全管理辦法》共同使用。7)《網絡安全管理流程—辦公終端安全處理流程》:配合《網絡安全辦公8)《網絡安全管理流程—應急響應流程》:配合《網絡安全應急響應管理9)《網絡安全管理流程—賬號安全管理流程》:配合《網絡安全賬號口令1)《網絡安全網絡技術安全規(guī)范—IP網絡安全管理規(guī)范》:規(guī)范針對網2)《網絡安全網絡技術安全規(guī)范—防火墻配置標準》:規(guī)范系統(tǒng)的安全配3)《網絡安全主機技術安全規(guī)范—系統(tǒng)安全規(guī)范》:針對主流操作系統(tǒng)的配置安全，確保安全配置和過程控制的安全有效。4)《網絡安全主機技術安全規(guī)范—windows系統(tǒng)安全配置標準》:規(guī)范windows系統(tǒng)的安全配置，降低被攻擊的風險。5)《網絡安全應用技術安全規(guī)范—應用系統(tǒng)安全規(guī)范》:規(guī)范應用系統(tǒng)在開發(fā)過程中，安全功能設定過程中的安全。6)《網絡安全數(shù)據安全規(guī)范—數(shù)據安全規(guī)范》:規(guī)范數(shù)據存儲和傳輸過程7)《網絡安全主機技術安全規(guī)范—應急技術安全規(guī)范》:規(guī)范應急計劃的1)《第三方人員安全保密協(xié)議》;5.4安全建設管理設計1)由信息化管理處室負責業(yè)務系統(tǒng)的定級備案工作，由外部安全咨詢服務團隊提供技術支持，協(xié)助信息化管理開展系統(tǒng)定級備案工作；2)明確信息系統(tǒng)的邊界和安全保護等級；3)以書面的形式說明確定信息系統(tǒng)為某個安全保護等級的方法和理由；4)組織相關處室和有關安全技術專家對信息系統(tǒng)定級結果的合理性和正5)確保信息系統(tǒng)的定級結果經過相關處室的批準；制定《系統(tǒng)定級管理制度》,其基本內容包括：6)明確負責系統(tǒng)定級的組織、崗位及職責，由網7)編制《信息系統(tǒng)定級基本情況表》模板，用于說明信息系統(tǒng)的邊界和安8)編制《信息系統(tǒng)定級報告》模板，用于說明某個系統(tǒng)定為某個安全保護9)編制《信息系統(tǒng)定級專家評審意見》。10)制定《系統(tǒng)備案管理制度》:11)指定責任處室：由安全管理部負責管理系統(tǒng)定級的相關材料并控制這些12)將系統(tǒng)等級及相關材料報系統(tǒng)主管處室備案；13)將系統(tǒng)等級及其他要求的備案材料報相應公安機關備案。由信息化管理處室負責，由外部安全咨詢服務團隊提供技術支持，開1)根據系統(tǒng)的安全保護等級選擇基本安全措施，并依據風險分析的結果補2)組織有關單位對信息系統(tǒng)的安全建設進行總體規(guī)劃，制定近期和遠期的3)根據信息系統(tǒng)的等級劃分情況，統(tǒng)一考慮安全保障體系的總體安全策略、4)組織相關處室和有關安全技術專家對總體安全策略、安全技術框架、安全管理策略、總體建設規(guī)劃、詳細設計方案等正確性進行論證和審定，經過批準后，正式實5)根據等級測評、安全評估的結果定期調整和修訂總體安全策略、安全技6)制定《安全方案設計管理制度》7)指定負責處室。由信息中心協(xié)同戰(zhàn)略方案中心等有關處室負責安全方案8)規(guī)定方案設計流程、設計文檔模板，包括：總體安全策略、安全技術框架、安全管理策略、總體建設規(guī)劃、詳細設計方9)規(guī)定《專家評審意見》模板。制定《安全產品采購管理制度》,具體內容有：1)指定責任處室：由信息中心會同他有關處室負責產品采購；2)定義采購流程：選型測試、年度審定及更新；3)確定采購和使用安全產品的國家有關規(guī)定；4)確定確國家密碼主管處室對采購和使用密碼產品的規(guī)定；5)定義選型測試所需文檔的模板。制定《外包軟件開發(fā)管理制度》.由信息中心及有關軟件開發(fā)管理處室、處1)根據開發(fā)需求檢測軟件質量；2)軟件安裝之前要檢測軟件包中可能存在的惡意代碼；3)在合同中要求開發(fā)單位提供軟件設計的相關文檔和使用指南；4)在合同中要求開發(fā)單位提供軟件源代碼，并審查可能存在的后門；5)在合同中要求：在服務期內如發(fā)現(xiàn)安全漏洞，則開發(fā)單位必須及時提供1)由信息中心協(xié)同有關處室負責負責工程實施管理；2)督促施工單位或者處室制定詳細的工程實施方案控制實施過程，并按照工程實施過程進行實施；3)維護并推行工程實施管理制度，明確說明實施過程的控制方法和人員行為準則。制定《測試驗收管理制度》:1)指定信息中心和有關處室共同負責測試驗收管理；2)委托公正的第三方測試單位對系統(tǒng)進行安全性測試，并出具安全性測試3)測評單位在測試驗收前應根據設計方案或合同要求等制訂測試驗收方案，在測試驗收過程中應詳細記錄測試驗收結果，并形成測試驗收報告；4)測評單位對系統(tǒng)測試驗收的控制方法和人員行為準則進行書面規(guī)定；5)由信息中心與相關處室對系統(tǒng)測試驗收報告進行審定并簽字確認。制定《系統(tǒng)交付管理制度》:1)由安全管理部負責系統(tǒng)交付的管理工作，按照管理規(guī)定的要求完成系統(tǒng)2)制定詳細的系統(tǒng)交付清單，根據交付清單對所交接的設備、軟件和文檔等進行清點。3)對負責系統(tǒng)運行維護的技術人員進行相應的技能培訓；4)確保提供系統(tǒng)建設過程中的文檔和指導用戶進行系統(tǒng)運行維護的文檔；5)定義系統(tǒng)交付控制方法和人員行為準則。制定《等級測評管理制度》:1)指定責任單位：由信息中心負責，每年至少組織測評單位對系統(tǒng)進行一次等級測評，對發(fā)現(xiàn)的不符合項及時進行整改；2)在系統(tǒng)發(fā)生變更時及時申請對系統(tǒng)進行等級測評，發(fā)現(xiàn)級別發(fā)生變化的及時調整級別并進行安全改造，發(fā)現(xiàn)不符合相應等級保護標準要求的及3)選擇具有國家相關技術資質和安全資質的測評單位進行等級測評。制定《安全服務商管理制度》:1)指定責任處室：由安全管理部負責選擇安全服務商；2)確保安全服務商的選擇符合國家的有關規(guī)定；3)與選定的安全服務商簽訂與安全相關的協(xié)議，明確約定相關責任、服務范圍、服務期限、服務各具體條款及服務質量要求等；4)確保選定的安全服務商提供技術培訓和服務承諾，必要的與其簽訂服務5.5安全運維管理設計制定《環(huán)境管理制度》:1)指定責任處室：由信息中心同負責環(huán)境管理；2)定期對機房供配電、空調、溫濕度控制等設施進行維護管理；3)負責機房安全，機房安全管理人員對機房的出入、服務器的開機或關機等工作進行管理；建立《機房安全管理制度》,對有關機房物理訪問，物品帶進、帶出機房和機房環(huán)境安全等方面作出規(guī)定；4)規(guī)范辦公環(huán)境人員行為，包括：工作人員調離辦公室應立即交還該辦公室鑰匙、不在辦公區(qū)接待來訪人員、工作人員離開座位應確保終端計算機退出登錄狀態(tài)和桌面上沒有包含敏感信息的文件等。制定《資產管理制度》:1)指定責任處室：由信息中心及有關處室共同負責資產管理；2)編制并保存與信息系統(tǒng)相關的資產清單，包括資產責任處室、重要程度3)規(guī)定信息系統(tǒng)資產管理的責任人員或責任處室，并規(guī)范資產管理和使用4)對信息分類與標識方法作出規(guī)定，根據資產的重要程度對資產進行標識管理，并對信息的使用、傳輸和存儲等進行規(guī)范化管理；5)定義管理措施選擇方案：根據資產的價值選擇相應管理措施。建立《介質管理制度》:1)指定責任處室。由信息中心負責介質管理；2)規(guī)定介質的存放環(huán)境、使用、維護和銷毀；3)由信息中心負責對存儲環(huán)境進行專人管理，確保介質存放在安全的環(huán)境4)對介質在物理傳輸過程中的人員選擇、打包、交付等情況進行控制，對5)對存儲介質的使用過程、送出維修以及銷毀等進行嚴格的管理，對帶出質應首先清除介質中的敏感數(shù)據，對保密性6)根據數(shù)據備份的需要對某些介質實行異地存儲，存儲地的環(huán)境要求和管7)對重要介質中的數(shù)據和軟件采取加密存儲，并根據所承載數(shù)據和軟件的重要程度對介質進行分類和標識管理。制定《設備管理制度》:1)指定責任處室：由信息中心及網絡管理部等有關處室負責設備管理；2)對信息系統(tǒng)相關的各種設備(包括備份和冗余設備)、線路等每周進行3)定義基于申報、審批和專人負責的設備安全管理方法，對信息系統(tǒng)的各4)定義配套設施、軟硬件維護方面的管理方法，明確維護人員的責任，對涉外維修和服務的審批、維修過程等監(jiān)督控制方法進行說明；5)定義終端計算機、工作站、便攜機、系統(tǒng)和網絡等設備的操作和使用規(guī)范：針對主要設備(包括備份和冗余設備)的啟動/停止、加電/斷電等6)定義信息處理設備帶離機房或辦公地點的審批流程。1)定期對系統(tǒng)進行漏洞掃描，識別安全漏洞和隱患，對發(fā)現(xiàn)的安全漏洞和2)定期開展安全測評，形成安全測評報告，采取措施應對發(fā)現(xiàn)的安全問題。制定《網絡和系統(tǒng)安全管理制度》:1)指定責任處室：由信息中心負責網絡安全管理，由信息管理處室專人負責對運行日志、網絡監(jiān)控記錄的日常維護和報警信息分析和處理工作；2)對網絡安全配置、日志保存時間、安全策略、升級與打補丁、口令更新3)定義更新流程：根據廠家提供的軟件升級版本對網絡設備進行更新，并在更新前對現(xiàn)有的重要文件進行備份；4)定義漏洞管理方法：定期對網絡系統(tǒng)進行漏洞掃描，發(fā)現(xiàn)網絡系統(tǒng)安全漏洞進行及時修補；5)定義設備配置方法：實現(xiàn)設備的最小服務配置，并對配置文件進行定期6)定義外部連接審批流程：所有與外部系統(tǒng)的連接均得到授權和批準；7)定義設備接入策略：依據安全策略允許或者拒絕便攜式和移動式設備的8)定義非法上網管理方法：每周檢查違反規(guī)定撥號上網或其他違反網絡安全策略的行為。9)指定責任處室：由信息中心負責系統(tǒng)安全管理，負責對系統(tǒng)進行管理，劃分系統(tǒng)管理員角色，明確各個角色的權限、責任和風險，權限設定應當遵循最小授權原則；10)根據業(yè)務需求和系統(tǒng)安全分析確定系統(tǒng)的訪問控制策略；11)每周進行漏洞掃描，對發(fā)現(xiàn)的系統(tǒng)安全漏洞及時進行修補；12)安裝系統(tǒng)的最新補丁程序，在安裝系統(tǒng)補丁前，首先在測試環(huán)境中測試通過，并對重要文件進行備份后，方可實施系統(tǒng)補丁程序的安裝；13)依據操作手冊對系統(tǒng)進行維護，詳細記錄操作日志，包括重要的日常操作、運行維護記錄、參數(shù)的設置和修改等內容，嚴禁進行未經授權的操14)每周對運行日志和審計數(shù)據進行分析，以便及時發(fā)現(xiàn)異常行為。對系統(tǒng)安全策略、安全配置、日志管理和日常操作流程等方面作出具體規(guī)定。5.5.7配置安全管理1)對記錄和保存基本配置信息，包括網絡拓撲結構、各個設備安裝的軟件組件、軟件組件的版本和補丁信息、各個設備或軟件組件的配置參數(shù)等信息進行安全管理；2)將基本配置信息改變納入變更范疇，實施對配置信息改變的控制，并及制定《惡意代碼防范管理制度》:1)指定責任處室：由安全管理部負責進行惡意代碼防范；2)每年進行定期培訓，通過培訓提高所有用戶的防病毒意識、及時告知防病毒軟件版本、在讀取移動存儲設備上的數(shù)據以件之前先進行病毒檢查、對外來計算機或存儲設3)由專信息中心負責對網絡和主機進行惡意代碼檢測并保存檢測記錄，每周檢查信息系統(tǒng)內各種產品的惡意代碼庫的機防病毒產品、防病毒網關和郵件防病毒網關上代碼進行及時分析處理，并形成書面的報表和總結匯報；4)定義防惡意代碼軟件授權使用、惡意代碼庫升級、定期匯報等流程。建立《密碼使用管理制度》:1)指定責任處室：信息中心負責密碼使用管理；2)總結在密碼設備的采購、使用、維護、保修及報廢的整個生命周期內的3)嚴格執(zhí)行上述規(guī)定。建立《變更管理制度》:1)指定責任處室：由信息中心負責變更管理；2)建立變更流程：確認系統(tǒng)中要發(fā)生的變更，制定變更方案，系統(tǒng)發(fā)生變在實施后將變更情況向相關人員通告；3)建立《變更申報和審批程序》:對變更影響進行分析并文檔化，記錄變更實施過程，并妥善保存所有文檔和記錄；4)建立《中止變更程序》,中止變更并從失敗變更中恢復，明確過程控制方法和人員職責，必要時對恢復過程進行演練。建立《備份及恢復管理制度》:1)指定責任處室：由信息中心負責備份與恢復管理；2)識別需要定期備份的重要業(yè)務信息、系統(tǒng)數(shù)據及軟件系統(tǒng)等；3)定義備份信息的備份方式、備份頻度、存儲介質和保存期等；4)根據數(shù)據的重要性和數(shù)據對系統(tǒng)運行的影響，制定數(shù)據的備份策略和恢復策略，備份策略須指明備份數(shù)據的放置場所、文件命名規(guī)則、介質替換頻率和將數(shù)據離站運輸?shù)姆椒ǎ?)建立《數(shù)據備份和恢復過程》,對備份過程進行記錄，所有文件和記錄應妥善保存；6)建立演練流程：每季度對恢復程序進行演練，檢查和測試備份介質的有效性，確?？梢栽诨謴统绦蛞?guī)定的時間內完成備份的恢復。制定《安全事件處置管理制度》1)指定責任處室：由信息中心負責安全事件處置；2)每年進行培訓。通過培訓讓所有人能夠報告所發(fā)現(xiàn)的安全弱點和可疑事件，但任何情況下用戶均不應嘗試驗證弱點；3)制定《安全事件報告和處置管理程序》:明確安全事件的類型，規(guī)定安全事件的現(xiàn)場處理、事件報告和后期恢復的管理職責；確定事件的報告流程，響應和處置的范圍、程度，以及處理方法等；在安全事件報告和響應處理過程中，分析和鑒定事件產生的原因，收集證據，記錄處理過程，總結經驗教訓，制定防止再次發(fā)生的補救措件和記錄均應妥善保存；為造成系統(tǒng)中斷和造成4)制定《安全事件等級劃分方法》:根據國家相關管理處室對計算機安全事件等級劃分方法和安全事件對本系統(tǒng)產生的全事件進行等級劃分。制定《應急預案管理制度》:1)指定責任處室：由信息中心負責應急預案管理；2)建立統(tǒng)一的應急預案框架，框架應包括事件分級方法、各級事件啟動應3)在應急預案框架制定不同事件的應急預案，應急預案要指名適用的系統(tǒng)、絡設備癱瘓應急預案》;4)資源承諾：從人力、設備、技術和財務等方面確保應急預案的執(zhí)行有足5)培訓要求：對系統(tǒng)相關的人員進行應急預案培訓，應急預案的培訓應至6)演練要求：定期對應急預案進行演練，根據不同的應急恢復內容，確定7)更新要求：規(guī)定應急預案需要定期審查和根據實際情況更新的內容，并1)確保外包運維服務商的選擇符合國家的有關規(guī)定；2)與選定的外包運維服務商簽訂相關的協(xié)議，明確約定外包運維的范圍、3)保證選擇的外包運維服務商在技術和管理方面均應具有按照等級保護6安全運維服務設計6.1安全咨詢服務安全管理咨詢建議由專業(yè)的安全服務機構對XXXXX網絡進行全面的安全管理體系建設咨詢。參考國內外相關標準和國內的安全規(guī)范要求，根據業(yè)務特點，協(xié)助管理部門進行安全管理組織、安全管理職責、安全管理策略、安全管理制度、安全管理流程等的制定和優(yōu)化(對已有策略),幫助推動安全管理制度的有效落地，為網絡安全管理和運維提供更好的指導和支持，確保網絡安全管理正規(guī)有序。>應急預案咨詢建議由專業(yè)的安全服務機構協(xié)助XXXXX網絡制定針對各類重大安全事件的安全應急預案。預案制定以后，還要針對預案內容進行必要的培訓和操作性演練。通過培訓和演練，培養(yǎng)XXXXX網絡自身的應急隊伍，使其熟悉應急工作流程，識別應急所需資源要求，評價應急準備狀態(tài)，檢驗應急預案的可行性和改進預案，從而提高警惕性和實戰(zhàn)能力。代碼安全咨詢建議采用專業(yè)安全服務機構提供的代碼安全檢查服務，在應用軟件開發(fā)初期，通過使用自動化的源代碼檢查工具結合安全專家的人工檢查手段，識別應用軟件安全問題，如不當?shù)募用芩惴ê涂赡軐е侣┒吹某Ｒ娬Z義語言結構等，并根據行業(yè)安全規(guī)范要求和業(yè)界最佳實踐指南為其他業(yè)務系統(tǒng)的安全開發(fā)規(guī)范，指導開發(fā)人員進行安全編程。定期安全通告對于網絡管理人員，特別是復雜網絡的管理人員，由于時間和工作關系，通常會遇到無法收集并分類相關的安全報告，使得網絡中總或多或少的存在被忽視的安全漏洞。通過服務的平臺與客戶及時交流，幫助客戶保持領先的安全理念和技術。安全通告服務不是單一的、隨處可見的郵件列表，而是針對實際情況，專業(yè)服務人員分類、整理、歸納的安全信息。安全通告服務以郵件、電話、走訪等方式，將安全技術和安全信息及時傳遞給客戶。內容包括：√緊急安全事件通告；√業(yè)界最新動態(tài)；√國際、國內以及行業(yè)安全政策及法律法規(guī)；√各種信息系統(tǒng)的漏洞信息；√安全產品評測信息等。通過安全通告服務，用戶可以迅速、準確地了解安全業(yè)界的新方向，包括安全事件的新特點和技術產品新動態(tài)。此外，也會提供相應地統(tǒng)計數(shù)據和分析報告。安全通告服務的目的是使用戶能夠在細節(jié)上進行安全預警，在宏觀上把握安全趨勢，合理規(guī)劃相應的安全工作。憑借國內領先的安全研究能力，廣泛的信息采集途徑，以及和全球領先的漏洞信息收集系統(tǒng)，使得我們能高質量，高效率的完成這些整理、分析、測試、分類等工作。將最新最全面的網絡安全問題以最快的速度通報給客戶，并且給出相應的解決辦法，從而大大減輕網管人員做安全技術追蹤和分析的壓力。安全培訓教育技術培訓主要是提高員工的安全意識和安全技能，使之能夠符合相關網絡安全工作崗位的能力要求，全面提高客戶整體的網絡安全水平。針對不同層次的員工，進行有關網絡安全管理的理論培訓、安全管理制度教育、安全防范意識宣傳和專門安全技術訓練，確保組織網絡安全策略、規(guī)章制度和技術規(guī)范的順利執(zhí)行，從而最大限度地降低和消除安全風險。通過對客戶全體員工的安全培訓和教育工作，提高全體工作人員的網絡安全意識和操作水平，降低由于人為原因引發(fā)的安全風險。針對具體負責網絡安全運維的技術人員，進行系統(tǒng)化的專業(yè)培訓，培訓內容包括基礎理論、技術原理，以及產品的功能、安裝、配置及運行維護等方面的詳細培訓，并結合實驗室上機試驗，使參加培訓的人員能夠熟練的掌握產品的運行維護方法，能夠獨立管理和維護設備，同時對安全技術有較全面的了解?！坦芾眍惻嘤栣槍蛻舨煌瑢用?、不同職責、不同崗位的人員進行培訓，在客戶方內部推行、實施已建立的安全管理體系，提高網絡安全管理水平?！贪踩鞒讨贫扰嘤栣槍ο嚓P的安全流程、安全制度、安全規(guī)范、安全運維計劃進行培訓，使員工了解相關的、系統(tǒng)級的安全體系操作流程和制度。6.2安全評估服務>網絡設備評估根據XXXXX網絡中設備類型的不同，對核心層、交換層和接入層及防火墻、入侵檢測等邊界網絡安全設備的訪問控制和安全策略，現(xiàn)狀有針對性進行風險評估。操作系統(tǒng)評估網絡服務器及可互聯(lián)終端的安全始終是信息系統(tǒng)安全的一個重要方面，攻擊者往往通過控制它們來破壞系統(tǒng)和信息，或擴大已有的破壞。網絡攻擊的成功與否取決于三個因素：攻擊者的能力；攻擊者的動機；攻擊者的機會。正常情況下，我們是無法削弱攻擊者的能力和動機這兩個因素，但有一點我們可以做到減少他們的攻擊機會。對操作系統(tǒng)開放的服務、安全配置、訪問控制、系統(tǒng)漏洞進行安全脆弱性風險評估。>應用程序評估應用程序本身存在一定的安全缺陷和隱患，攻擊者可以利用應用程序中的漏洞入侵系統(tǒng)、竊取信息及中斷系統(tǒng)服務。為保證客戶重要業(yè)務系統(tǒng)保密性、可用性，對操作系統(tǒng)上基于WEB服務及第三方應用程序做安全評估。6.3安全加固服務由于功能復雜，代碼龐大，計算機操作系統(tǒng)、數(shù)據庫系統(tǒng)在設計上存在一些安全漏洞和一些未知的“后門”,一般情況下很難發(fā)現(xiàn)，同時由于系統(tǒng)的配置不當也會帶來安全隱患，是黑客攻擊得手的關鍵因素。因此，XXXXX網絡在投入使用前和使用中，都需要對操作系統(tǒng)、數(shù)據庫系統(tǒng)等進行安全加固，以提高系統(tǒng)安全防范能力，減少安全事件的發(fā)生。安全加固是配置軟件系統(tǒng)的過程，針對服務器操作系統(tǒng)、網絡設備、數(shù)據庫及應用中間件等軟件系統(tǒng)，通過打補丁、強化帳號安全、加固服務、修改安全配置、優(yōu)化訪問控制策略、增加安全機制等方法，堵塞漏洞及“后門”,合理進行安全性加強，提高其健壯性和安全性，增加攻擊者入侵的難度，軟件系統(tǒng)安全防范水平得到大幅提升。6.4滲透測試服務滲透測試，是一種從攻擊者的角度來對主機系統(tǒng)的安全程度進行安全評估的手段，在對現(xiàn)有信息系統(tǒng)不造成損害的前提下，模擬入侵者對指定系統(tǒng)進行攻擊測試。通過滲透測試，可以對用戶信息平臺的安全性得到較深刻的認知，可以用于驗證經過安全保護后的系統(tǒng)是否真實的達到了預定安全目標。滲透測試服務包含XXXXX網絡中開放的操作系統(tǒng)、應用服務、網絡設備的安全弱點分析，使用模擬黑客攻擊的手段，對信息系統(tǒng)的各類安全弱點進行全方位的刺探，得出信息系統(tǒng)的技術脆弱性和被黑客攻擊的可能性，并生成相應的滲透測試弱點報告以及解決建議報告。幫助客戶認識和精確分析當前網絡6.6應急響應服務>誤操作或設備故障事件但通常在事件爆發(fā)的初始很難界定具體是什么。所以，通常又通過安全威>單點損害：只造成獨立個體的不可用，安全威脅事件影響弱。局部損害：造成某一系統(tǒng)或一個局部網絡不可使用，安全威脅事件影響整體損害：造成整個網絡系統(tǒng)的不可使用，安全威脅事件影響高。當入侵或者破壞發(fā)生時，對應的處理方法主要的原則是首先保護或恢復計算機、網絡服務的正常工作；然后再對入侵者進行追查。因此對于客戶緊急事件響應服務主要包括準備、識別事件(判定安全事件類型)、抑制(縮小事件的影響范圍)、解決問題、恢復以及后續(xù)跟蹤。準備工作：建立客戶事件檔案>與客戶就故障級別進行定義準備安全事件緊急響應服務相關資源為一個突發(fā)事件的處理取得管理方面支持組建事件處理隊伍提供易實現(xiàn)的初步報告 制定一個緊急后備方案>隨時與管理員保持聯(lián)系在指定時間內指派安全服務小組去負責此事件事件抄送專家小組初步評估，確定事件來源注意保護可追查的線索，諸如立即對日志、數(shù)據進行備份(應該保存在磁帶上或其它不聯(lián)機存儲設備)聯(lián)系客戶系統(tǒng)的相關服務商廠商縮小事件的影響范圍>確定系統(tǒng)繼續(xù)運行的風險如何，決定是否關閉系統(tǒng)及其它措施>客戶相關工作人員與本公司相關工作人員保持聯(lián)系、協(xié)商根據需求制定相應的應急措施解決問題事后取證追查后門檢查漏洞分析結果提交專家小組審核后續(xù)工作檢查是不是所有的服務都已經恢復攻擊者所利用的漏洞是否已經解決其發(fā)生的原因是否已經處理保險措施，法律聲明/手續(xù)是否已經歸檔應急響應步驟是否需要修改生成緊急響應報告擬定一份事件記錄和跟蹤報告事件合并/錄入專家信息知識庫6.7系統(tǒng)上線前檢測服務系統(tǒng)上線前檢測是應