安全生產(chǎn)管理某單位信息安全等級保護(hù)建設(shè)方案

{安全生產(chǎn)管理}本文檔版權(quán)歸xxxxxx股份有限公司所有，未經(jīng)xxxx有限公司允許，本文檔里的任何內(nèi)容都不得被用來宣傳和傳播。未經(jīng)xxxx有限公司書面批準(zhǔn)，文檔或任何類似的資訊都不允許被發(fā)布。1.2.1法律要求61.2.2政策要求71.3.1項(xiàng)目建設(shè)目標(biāo)82.1.1信息系統(tǒng)現(xiàn)狀92.2.1物理安全現(xiàn)狀與差距分析122.2.3主機(jī)安全現(xiàn)狀與差距分析222.2.4應(yīng)用安全現(xiàn)狀與差距分析272.2.5數(shù)據(jù)安全現(xiàn)狀與差距分析322.2.6安全管理現(xiàn)狀與差距分析342.3.1技術(shù)措施綜合整改建議372.3.2安全管理綜合整改建議434.1.1指導(dǎo)原則464.1.2安全防護(hù)體系設(shè)計(jì)整體架構(gòu)474.2.1安全建設(shè)規(guī)劃拓樸圖494.2.2安全設(shè)備功能505.1.5安全管理體系建設(shè)服務(wù)86xxxxxx是人民政府的職能部門，貫徹執(zhí)行國家有關(guān)機(jī)關(guān)事務(wù)工作的方針政策，擬訂省機(jī)關(guān)事務(wù)工作的政策、規(guī)劃和規(guī)章制度并組織實(shí)施，負(fù)責(zé)省機(jī)關(guān)事務(wù)的管理、保障、服務(wù)工作。在面對現(xiàn)在越來越嚴(yán)重的網(wǎng)絡(luò)安全態(tài)勢下，xxxxxx積極響應(yīng)國家相關(guān)政策法規(guī)，積極開展信息安全等級保護(hù)建設(shè)。對自有網(wǎng)絡(luò)安全態(tài)勢進(jìn)行自我核查，補(bǔ)齊等保短板，履行安全保護(hù)義務(wù)。項(xiàng)目目標(biāo)：打造一個(gè)可信、可管、可控、可視的安全網(wǎng)絡(luò)環(huán)境，更好的為機(jī)關(guān)各部門及領(lǐng)導(dǎo)者和公務(wù)人員提供工作和生活條件，更好的保障各項(xiàng)行政活動正常進(jìn)行。機(jī)關(guān)后勤管理工作因?yàn)槠湔畠?nèi)部服務(wù)的特殊性，一直比較少地為社會公眾所關(guān)注或重視。機(jī)關(guān)后勤管理包括對物資、財(cái)務(wù)、環(huán)境、生活以及各種服務(wù)項(xiàng)目在內(nèi)的事務(wù)工作的管理，是行政機(jī)關(guān)辦公室管理的重要一環(huán)，為機(jī)關(guān)各部門以及領(lǐng)導(dǎo)者和公務(wù)人員提供工作和生活條件，是保障各項(xiàng)行政活動正常進(jìn)行的物質(zhì)基礎(chǔ)。隨著這幾年地區(qū)經(jīng)濟(jì)的高速發(fā)展和政府行政職能分配管理的需要，使機(jī)關(guān)事務(wù)管理工作的管理范圍和管理對象也相應(yīng)的擴(kuò)展和增加，管理工作變得十分繁重。尤其是在新增的一些業(yè)務(wù)管理工作方面，如對政府機(jī)關(guān)單位固定資產(chǎn)的管理、房屋出租、分配的管理等，同時(shí)，隨著這幾年國家對資產(chǎn)管理的重視，信息化建設(shè)從原來注重財(cái)務(wù)管理信息化逐漸向國有資產(chǎn)管理信息化發(fā)展，作為機(jī)關(guān)事務(wù)管理的機(jī)構(gòu)，正承擔(dān)著這樣一種責(zé)任和使命。同時(shí)在面對現(xiàn)在不容樂觀的整體安全態(tài)勢環(huán)境下，開展機(jī)關(guān)事務(wù)管理的信息化建設(shè)與信息安全建設(shè)，是整個(gè)社會和國家發(fā)展的必然趨勢。確規(guī)定了法律層面的網(wǎng)絡(luò)安全。具體如下：“沒有網(wǎng)絡(luò)安全，就沒有國家安全”，《網(wǎng)絡(luò)安全法》第二十一條明確規(guī)定“國家實(shí)行網(wǎng)絡(luò)安全等級保護(hù)制度”。各網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照要求，開展網(wǎng)絡(luò)安全等級保護(hù)的定級備案、等級測評、安全建設(shè)、安全檢查等工作。除此之外，《網(wǎng)絡(luò)安全法》中還從網(wǎng)絡(luò)運(yùn)行安全、關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)行安全、網(wǎng)絡(luò)信息安全等對以下方面做了詳細(xì)規(guī)定：網(wǎng)絡(luò)日志留存：第二十一條還規(guī)定，網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)制定內(nèi)部安全管理制度和操作規(guī)程，確定網(wǎng)絡(luò)安全負(fù)責(zé)人，落實(shí)網(wǎng)絡(luò)安全保護(hù)責(zé)任;采取防計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施;采取監(jiān)測、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，留存不少于六個(gè)月的相關(guān)網(wǎng)絡(luò)日志;采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施。未履行上述網(wǎng)絡(luò)安全保護(hù)義務(wù)的，會被依照此條款責(zé)令整改，拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處一萬元以上十萬元以下罰款，對直接負(fù)責(zé)的主管人員處五千元以上五萬元以下罰款。漏洞處置：第二十五條規(guī)定，網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，及時(shí)處置系統(tǒng)漏洞、計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等安全風(fēng)險(xiǎn);在發(fā)生危害網(wǎng)絡(luò)安全的事件時(shí)，立即啟動應(yīng)急預(yù)案，采取相應(yīng)的補(bǔ)救措施，并按照規(guī)定向有關(guān)主管部門報(bào)告。沒有網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案的，沒有及時(shí)處置高危漏洞、網(wǎng)絡(luò)攻擊的;在發(fā)生網(wǎng)絡(luò)安全事件時(shí)處置不恰當(dāng)?shù)?，會被依照此條款責(zé)令整改，拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處一萬元以上十萬元以下罰款，對直接負(fù)責(zé)的主管人員處五千元以上五萬元以下罰款。容災(zāi)備份：第三十四條第三項(xiàng)規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施單位對重要系統(tǒng)和數(shù)據(jù)庫進(jìn)行容災(zāi)備份。沒有對重要系統(tǒng)和數(shù)據(jù)庫進(jìn)行容災(zāi)備份的會被依照此條款責(zé)令改正。應(yīng)急演練：第三十四條第四項(xiàng)規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施單位應(yīng)當(dāng)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，并定期進(jìn)行演練。沒有網(wǎng)絡(luò)安全事件預(yù)案的，或者沒有定期演練的，會被依照此條進(jìn)行責(zé)令改正。安全檢測評估：第三十八條規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對其網(wǎng)絡(luò)的安全性和可能存在的風(fēng)險(xiǎn)每年至少進(jìn)行一次檢測評估，并將檢測評估情況和改進(jìn)措施報(bào)送相關(guān)負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門。每年沒有進(jìn)行安全檢測評估的單位要被責(zé)令改正。為切實(shí)加強(qiáng)門戶網(wǎng)站安全管理和防護(hù)，保障網(wǎng)站安全穩(wěn)定運(yùn)行，國家非常重視，陸續(xù)頒布以下文件：《關(guān)于加強(qiáng)黨政機(jī)關(guān)網(wǎng)站關(guān)網(wǎng)站開辦審核、資格復(fù)核和網(wǎng)站標(biāo)識管理工作的通知》（中央編辦發(fā)〔2014〕69號公安部、中央網(wǎng)信辦、中編辦、工信部等四部門《關(guān)于印發(fā)〈黨政機(jī)關(guān)、事業(yè)單位和國有企業(yè)互聯(lián)網(wǎng)網(wǎng)站安全依據(jù)國家信息安全等級保護(hù)相關(guān)指導(dǎo)規(guī)范，對xxxxxx信息系統(tǒng)、基礎(chǔ)設(shè)施和骨干網(wǎng)絡(luò)按照等保三級進(jìn)行安全建設(shè)規(guī)劃，對安全建設(shè)進(jìn)行統(tǒng)一規(guī)劃和設(shè)備選型，實(shí)現(xiàn)方案合理、組網(wǎng)簡單、擴(kuò)容靈依據(jù)信息安全等級保護(hù)三級標(biāo)準(zhǔn)，按照“統(tǒng)一規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)、重點(diǎn)明確、合理建設(shè)”的基本原則，在物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全等幾個(gè)方面進(jìn)行安全規(guī)劃與建設(shè)，確?！熬W(wǎng)絡(luò)建設(shè)合規(guī)、安全防護(hù)到位”。方案目標(biāo)是讓xxxxxx的骨干網(wǎng)絡(luò)、相關(guān)應(yīng)用系統(tǒng)達(dá)到安全等級保護(hù)第三級要求。經(jīng)過建設(shè)后使整體網(wǎng)絡(luò)形成一套完善的安全防護(hù)體系，提升整體信息安全防護(hù)能力。本項(xiàng)目以xxxxxx骨干網(wǎng)絡(luò)、信息系統(tǒng)等級保護(hù)建設(shè)為主線，以讓相關(guān)信息系統(tǒng)達(dá)到安全等級保護(hù)第三級要求。借助網(wǎng)絡(luò)產(chǎn)品、安全產(chǎn)品、安全服務(wù)、管理制度等手段，建立全網(wǎng)的安全防控管理服1)服務(wù)器≥4臺2.1.1.1網(wǎng)絡(luò)系統(tǒng)現(xiàn)狀xxxxxx的網(wǎng)絡(luò)系統(tǒng)整體構(gòu)架采用三層層次化模型網(wǎng)絡(luò)架構(gòu)，即核心層：核心層是網(wǎng)絡(luò)的高速交換主干，對整個(gè)網(wǎng)絡(luò)的連通起成。匯聚層：匯聚層是網(wǎng)絡(luò)接入層和核心層的“中介”，是在工作站接入核心層前先做匯聚，以減輕核心層設(shè)備的負(fù)荷。xxxxxx內(nèi)網(wǎng)中，由迪普和H3C交換機(jī)作為內(nèi)網(wǎng)的有線匯聚和內(nèi)網(wǎng)的無線匯聚交換機(jī)。接入層：接入層向本地網(wǎng)段提供工作站接入。xxxxxx內(nèi)網(wǎng)網(wǎng)絡(luò)中，由各種品牌的交換機(jī)作為終端前端接入交換機(jī)，為各區(qū)域提供接入。聚交換機(jī)。其他各系統(tǒng)旁路至核心交換機(jī)上。安全現(xiàn)狀：在整體網(wǎng)絡(luò)中部署有相應(yīng)的安全設(shè)備做安全防護(hù)，但部分安全設(shè)備過保，整體網(wǎng)絡(luò)安全防護(hù)體系不夠完善、區(qū)域劃分不合理，現(xiàn)狀拓?fù)鋱D如下：2.1.1.2主機(jī)系統(tǒng)現(xiàn)狀服務(wù)器為機(jī)架式服務(wù)器和塔式服務(wù)器，固定于標(biāo)準(zhǔn)機(jī)柜與固定位2.1.1.3應(yīng)用系統(tǒng)現(xiàn)狀也包含一些其他的辦公軟件。xxxxxx機(jī)房建設(shè)過程中參照B級機(jī)房標(biāo)準(zhǔn)參考進(jìn)行統(tǒng)一規(guī)劃，存在的物理安全隱患較少。但仍需參照以下標(biāo)準(zhǔn)進(jìn)行核查、整改；根據(jù)信息安全等級保護(hù)（第三級）中對物理安全相關(guān)項(xiàng)（防火、防雷、防水、防磁及電力供應(yīng)等）存在些許差距。詳見下表差距分析。序號1a)機(jī)房和辦公場地應(yīng)選擇在具有防震、防風(fēng)和防雨等能力的建筑內(nèi)；b)機(jī)房場地應(yīng)避免設(shè)在建筑物的高層或地下室，以及用水設(shè)備的下層或隔壁。2a)機(jī)房出入口應(yīng)安排專人值守，控制、鑒別和記錄進(jìn)入的人員；序號b)需進(jìn)入機(jī)房的來訪人員應(yīng)經(jīng)過申請和審批流程，并限制和監(jiān)控其活動范圍；有監(jiān)控，但是沒有申請和審批流程c)應(yīng)對機(jī)房劃分區(qū)域進(jìn)行管理，區(qū)域和區(qū)域之間設(shè)置物理隔離裝置，在重要區(qū)域前設(shè)置交付或安裝等依據(jù)業(yè)務(wù)系統(tǒng)進(jìn)行了機(jī)柜間的區(qū)域區(qū)分，但未在重要區(qū)域前設(shè)置物理隔離裝置。在重要區(qū)域前設(shè)d)重要區(qū)域應(yīng)配置電子門禁系統(tǒng)，控制、鑒別和記錄進(jìn)入的人員。3a)應(yīng)將主要設(shè)備放置在機(jī)房內(nèi)；b)應(yīng)將設(shè)備或主要部件進(jìn)行固定，并設(shè)置明顯的不易除去的標(biāo)記；c)應(yīng)將通信線纜鋪設(shè)在隱蔽處，可鋪設(shè)在地下或管有部分線纜架設(shè)d)應(yīng)對介質(zhì)分類標(biāo)識，存儲在介質(zhì)庫或檔案室中；e)應(yīng)利用光、電等技術(shù)設(shè)f)應(yīng)對機(jī)房設(shè)置監(jiān)控報(bào)警4a)機(jī)房建筑應(yīng)設(shè)置避雷裝序號b)應(yīng)設(shè)置防雷保安器，防止感應(yīng)雷；c)機(jī)房應(yīng)設(shè)置交流電源地線。5a)機(jī)房應(yīng)設(shè)置火災(zāi)自動消防系統(tǒng)，能夠自動檢測火情、自動報(bào)警，并自動滅火；b)機(jī)房及相關(guān)的工作房間和輔助房應(yīng)采用具有耐火等級的建筑材料；c)機(jī)房應(yīng)采取區(qū)域隔離防火措施，將重要設(shè)備與其他設(shè)備隔離開。6a)水管安裝，不得穿過機(jī)房屋頂和活動地板下；b)應(yīng)采取措施防止雨水通過機(jī)房窗戶、屋頂和墻壁c)應(yīng)采取措施防止機(jī)房內(nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透；d)應(yīng)安裝對水敏感的檢測儀表或組件，對機(jī)房進(jìn)行防水檢測和報(bào)警。7序號a)主要設(shè)備應(yīng)采用必要的接地防靜電措施；板。8機(jī)房應(yīng)設(shè)置溫、濕度自動調(diào)節(jié)設(shè)施，使機(jī)房溫、濕度的變化在設(shè)備運(yùn)行所允許的范圍之內(nèi)。安裝有動力環(huán)境監(jiān)控系統(tǒng)，建議機(jī)房日常溫度控9a)應(yīng)在機(jī)房供電線路上配置穩(wěn)壓器和過電壓防護(hù)設(shè)b)應(yīng)提供短期的備用電力供應(yīng)，至少滿足主要設(shè)備在斷電情況下的正常運(yùn)行要求；少保證斷電時(shí)主要設(shè)備在常運(yùn)行。c)應(yīng)設(shè)置冗余或并行的電力電纜線路為計(jì)算機(jī)系統(tǒng)供電；只有一條出口線，極容易增加線纜，做到d)應(yīng)建立備用供電系統(tǒng)。a)應(yīng)采用接地方式防止外界電磁干擾和設(shè)備寄生耦合干擾；b)電源線和通信線纜應(yīng)隔c)應(yīng)對關(guān)鍵設(shè)備和磁介質(zhì)由于xxxxxx前期已經(jīng)行相關(guān)安全建設(shè)，仍有相關(guān)安全防護(hù)建設(shè)2.新增移動接入鏈路，3.面對日益突增的網(wǎng)絡(luò)安全事件缺乏有效防御手段及應(yīng)急機(jī)制；4.骨干網(wǎng)絡(luò)架構(gòu)規(guī)劃不合理，核心交換區(qū)無冗余，安全防護(hù)區(qū)域劃分不明晰，不能對不同區(qū)域間防護(hù)措施、技術(shù)手段進(jìn)行統(tǒng)一規(guī)詳見下表差距分析：序號1a)應(yīng)保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要；域網(wǎng)核心交換設(shè)備均采用單鏈路、單設(shè)備，無冗余空間，一出現(xiàn)單點(diǎn)故障，無法有效保障對外開放的行。域網(wǎng)核心設(shè)備至少有二序號b)應(yīng)保證網(wǎng)絡(luò)各個(gè)部分的帶寬滿足業(yè)務(wù)高峰期需要；c)應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服d)應(yīng)繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖；我們會在工程結(jié)束后重新繪制網(wǎng)絡(luò)拓?fù)鋱D。e)應(yīng)根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段；整體網(wǎng)絡(luò)結(jié)構(gòu)中已按照需求進(jìn)行子網(wǎng)劃分。但使用中存在混亂，沒有按規(guī)定使用。待本次項(xiàng)目建設(shè)進(jìn)行梳理、嚴(yán)格f)應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段；2a)應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，啟用訪問控制功能；其他區(qū)域未部署訪問建議在互聯(lián)網(wǎng)出口與服務(wù)器區(qū)前部署防火墻進(jìn)序號b)應(yīng)能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為端口級；c)應(yīng)對進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過濾，實(shí)現(xiàn)對應(yīng)用級的控制；d)應(yīng)在會話處于非活躍一未部署流量控制設(shè)備，無法根據(jù)所承載e)應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)的業(yè)務(wù)和帶寬的實(shí)際情況確定網(wǎng)絡(luò)最大流部署上網(wǎng)行為管理及流控量數(shù)和網(wǎng)絡(luò)連接數(shù)并進(jìn)行管理。f)重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙；未部署訪問控制設(shè)備濾或傳輸控制協(xié)議，進(jìn)行邊界訪問控制，防止地址欺騙，應(yīng)對進(jìn)行必要的控制。實(shí)現(xiàn)重要網(wǎng)段地址進(jìn)行有效保護(hù)防止地址欺騙。g)應(yīng)按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對受控系統(tǒng)進(jìn)行資源訪問，控制粒度為單個(gè)用戶；墻、認(rèn)證網(wǎng)關(guān)或授權(quán)管理系統(tǒng)，可對單個(gè)用戶的訪問進(jìn)行策略控制。同安全域之間的訪問控制序號h)應(yīng)限制具有撥號訪問權(quán)3a)應(yīng)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄；有上網(wǎng)行為管理設(shè)備（過保但是并沒有辦法對網(wǎng)絡(luò)設(shè)備運(yùn)計(jì)系統(tǒng)可對來自不同廠商的安全設(shè)備、網(wǎng)志、警報(bào)等信息匯集到審計(jì)中心，實(shí)現(xiàn)綜合安全審計(jì)。部署綜合日志審計(jì)系統(tǒng)可對來自不同廠商的安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機(jī)、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、用戶業(yè)務(wù)系統(tǒng)的日志、警報(bào)等信息匯集到審計(jì)中心，實(shí)現(xiàn)綜合安全審計(jì)。b)審計(jì)記錄應(yīng)包括：事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息；c)應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；護(hù)，避免受到未預(yù)期的刪除、修改或覆蓋等。安全審計(jì)日志記錄要求保存至少半年以上。4a)應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，可通終端管理系統(tǒng)或可采用終端管理系統(tǒng)等序號b)應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對其進(jìn)行有效阻斷。可采用終端管理系統(tǒng)等5a)應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時(shí)間，在發(fā)生嚴(yán)重入侵事件落實(shí)安全審計(jì)系統(tǒng)報(bào)警功能。6a)應(yīng)在網(wǎng)絡(luò)邊界處對惡意b)應(yīng)維護(hù)惡意代碼庫的升級和檢測系統(tǒng)的更新。7a)應(yīng)對登錄網(wǎng)絡(luò)設(shè)備的用沒有指定專人進(jìn)行維護(hù)。通過密碼和用戶可以指定專人維護(hù)網(wǎng)絡(luò)設(shè)備，并通過用戶名和序號名進(jìn)行身份鑒別，同時(shí)也沒有部署堡壘主機(jī)。密碼進(jìn)行身份鑒別，同b)應(yīng)對網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制；對管理員登陸地址沒有限制。增添堡壘機(jī)設(shè)備，這樣可以有效對遠(yuǎn)程用戶進(jìn)行管理。c)網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識應(yīng)網(wǎng)絡(luò)設(shè)備沒有唯一的標(biāo)示。重新對設(shè)備進(jìn)行標(biāo)示。d)主要網(wǎng)絡(luò)設(shè)備應(yīng)對同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進(jìn)行身份鑒別；一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進(jìn)行身份鑒別；e)身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換；密碼沒有定期更換，上，數(shù)字和字母組成，f)應(yīng)具有登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動退出等措施；自動關(guān)閉并告警。傳輸中進(jìn)行加密，可網(wǎng)絡(luò)管理員、系統(tǒng)管h)應(yīng)實(shí)現(xiàn)設(shè)備特權(quán)用戶的開，并按職責(zé)分工限部署堡壘機(jī)控制用戶權(quán)權(quán)限分離。限術(shù)手段控制。序號1a)應(yīng)對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進(jìn)行身份標(biāo)識和鑒別；沒有嚴(yán)格通過賬號密碼限制操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶登陸，進(jìn)行身份標(biāo)識和鑒別；b)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標(biāo)識應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換；系統(tǒng)管理員的登錄身份以上，且數(shù)字和字母大小寫組合，每半年應(yīng)更改一次。c)應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施；當(dāng)?shù)卿洿螖?shù)錯誤超過6次，應(yīng)自動退出并告警。d)當(dāng)對服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；對傳輸加密的方法來保證遠(yuǎn)程管理安全可靠。e)應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分配不同的用戶名，確保用戶名具有唯一性。序號f)應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對管理用戶進(jìn)行身份鑒別。采用用戶名密碼的鑒別技術(shù)對管理員進(jìn)行身份鑒別。2a)應(yīng)啟用訪問控制功能，依據(jù)安全策略控制用戶對資源的訪問；b)應(yīng)根據(jù)管理用戶的角色分配權(quán)限，實(shí)現(xiàn)管理用戶的權(quán)限分離，僅授予管理因只設(shè)置了一個(gè)管理員賬號，也未通過技術(shù)手段控制授予所需要的最小權(quán)限。部署堡壘機(jī)，將網(wǎng)絡(luò)管理員、系統(tǒng)管理員和安全審計(jì)員分離，通過技術(shù)手段控制授予所需要的最小權(quán)限。c)應(yīng)實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限分離；還是未修改的默認(rèn)d)應(yīng)嚴(yán)格限制默認(rèn)帳戶的訪問權(quán)限，重命名系統(tǒng)默認(rèn)帳戶，修改這些帳戶的默認(rèn)口令；e)應(yīng)及時(shí)刪除多余的、過期的帳戶，避免共享帳戶的存在。因只一個(gè)賬戶，不f)應(yīng)對重要信息資源設(shè)置敏感標(biāo)記；未對重要服務(wù)器部統(tǒng)，采取安全加固措施，并設(shè)置敏感標(biāo)記。對重要服務(wù)器部署服務(wù)器加固系統(tǒng)，采取安全加固措施，并設(shè)置敏感g(shù))應(yīng)依據(jù)安全策略嚴(yán)格控制用戶對有敏感標(biāo)記重要信息資源的操作；3序號a)審計(jì)范圍應(yīng)覆蓋到服務(wù)器和重要客戶端上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫用戶；未部署數(shù)據(jù)庫審計(jì)系統(tǒng)，無法對服務(wù)器和重要客戶端上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫用戶進(jìn)行審計(jì)。部署日志審計(jì)系統(tǒng)和數(shù)b)審計(jì)內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件；未部署數(shù)據(jù)庫審計(jì)系統(tǒng)，無法對重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件進(jìn)行審計(jì)。部署日志審計(jì)系統(tǒng)和數(shù)c)審計(jì)記錄應(yīng)包括事件的日期、時(shí)間、類型、主體標(biāo)識、客體標(biāo)識和結(jié)果等；未部署數(shù)據(jù)庫審計(jì)系統(tǒng)，無法對數(shù)據(jù)庫進(jìn)行審計(jì)。部署日志審計(jì)系統(tǒng)和數(shù)d)應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；未部署數(shù)據(jù)庫審計(jì)系統(tǒng)，無法對異常行為實(shí)時(shí)告警。部署日志審計(jì)系統(tǒng)和數(shù)e)應(yīng)保護(hù)審計(jì)進(jìn)程，避免未部署數(shù)據(jù)庫審計(jì)部署日志審計(jì)系統(tǒng)和數(shù)f)應(yīng)保護(hù)審計(jì)記錄，避免受到未預(yù)期的刪除、修改或覆蓋等。未部署數(shù)據(jù)庫審計(jì)系統(tǒng)。（審計(jì)記錄部署日志審計(jì)系統(tǒng)和數(shù)4a)應(yīng)保證操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶的鑒別信息所序號在的存儲空間，被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內(nèi)存中；b)應(yīng)確保系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間，被釋放或重新分配給其他用戶前得到完全清除。操作系統(tǒng)未啟用“關(guān)機(jī)前清除虛擬項(xiàng)。統(tǒng)啟用“關(guān)機(jī)前清除虛擬內(nèi)存頁面”功能項(xiàng)。5a)應(yīng)能夠檢測到對重要服務(wù)器進(jìn)行入侵的行為，能擊的類型、攻擊的目的、攻擊的時(shí)間，并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警；已有ips入侵防御b)應(yīng)能夠?qū)χ匾绦虻耐暾赃M(jìn)行檢測，并在檢測到完整性受到破壞后具有未定期使用完整性檢查工具或腳本對服務(wù)器的重要程序和文件進(jìn)行檢查。定期使用完整性檢查工具或腳本對服務(wù)器的重要程序和文件進(jìn)行檢查。c)操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通過設(shè)置升級服務(wù)器等方式保持系統(tǒng)補(bǔ)丁及時(shí)得到更新。未通過技術(shù)手段保持系統(tǒng)補(bǔ)丁及時(shí)得到更新。增加終端管理軟件模塊。6件，并及時(shí)更新防惡意代序號碼軟件版本和惡意代碼庫；b)主機(jī)防惡意代碼產(chǎn)品應(yīng)具有與網(wǎng)絡(luò)防惡意代碼產(chǎn)c)應(yīng)支持防惡意代碼的統(tǒng)一管理。7a)應(yīng)通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件通過賬號密碼限制終端登錄。通過增設(shè)堡壘機(jī)對終端接入進(jìn)行管理。b)應(yīng)根據(jù)安全策略設(shè)置登未部署終端管理系統(tǒng)對登錄終端進(jìn)行管理。部署終端管理系統(tǒng)對登c)應(yīng)對重要服務(wù)器進(jìn)行監(jiān)視，包括監(jiān)視服務(wù)器的等資源的使用情況；可通過增加網(wǎng)絡(luò)管理系統(tǒng)對重要服務(wù)器進(jìn)行監(jiān)視并對服務(wù)器的運(yùn)行狀況異常實(shí)時(shí)告警。d)應(yīng)限制單個(gè)用戶對系統(tǒng)資源的最大或最小使用限度；可通過增加網(wǎng)絡(luò)管理系統(tǒng)對重要服務(wù)器進(jìn)行監(jiān)視并對服務(wù)器的運(yùn)行狀況異常實(shí)時(shí)告警。e)應(yīng)能夠?qū)ο到y(tǒng)的服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測和報(bào)警?？赏ㄟ^增加網(wǎng)絡(luò)管理系統(tǒng)對重要服務(wù)器進(jìn)行監(jiān)視并對服務(wù)器的運(yùn)行狀況異常實(shí)時(shí)告警。xxxxxx應(yīng)用系統(tǒng)根據(jù)國家信息安全等級保護(hù)（第三級）標(biāo)準(zhǔn)在對應(yīng)用系統(tǒng)安全進(jìn)行分析時(shí)，發(fā)現(xiàn)應(yīng)用系統(tǒng)涉及到應(yīng)用系統(tǒng)的運(yùn)行穩(wěn)定以及業(yè)務(wù)數(shù)據(jù)的安全可靠，故而安全防護(hù)技術(shù)手段如下：1.以業(yè)務(wù)系統(tǒng)自身通過代碼查錯、規(guī)則設(shè)置、權(quán)限細(xì)化等方法為主要手段，來滿足信息系統(tǒng)安全等級保護(hù)（第三級）中應(yīng)用安全部分標(biāo)準(zhǔn)項(xiàng)（如身份鑒別、安全審計(jì)、剩余信息保護(hù)、通信完整性、通信保密性、抗抵賴、軟件容2.部分標(biāo)準(zhǔn)項(xiàng)（如身份鑒別、訪問控制、安全審計(jì)、通信保密性等）除可詳見下表差距分析：序號1a)應(yīng)提供專用的登錄控制模塊對登錄用戶進(jìn)行身份標(biāo)識和鑒別；未采用技術(shù)手段，提供專用的登錄控制模塊對登錄用戶的身份進(jìn)行標(biāo)識和鑒別。增設(shè)堡壘機(jī)，通過堡壘機(jī)用戶登陸進(jìn)行身份識別和鑒別。b)應(yīng)對同一用戶采用兩種或兩種以上組合的鑒別技c)應(yīng)提供用戶身份標(biāo)識唯一和鑒別信息復(fù)雜度檢查功能，保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標(biāo)識，序號身份鑒別信息不易被冒d)應(yīng)提供登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施；e)應(yīng)啟用身份鑒別、用戶身份標(biāo)識唯一性檢查、用戶身份鑒別信息復(fù)雜度檢查以及登錄失敗處理功能，并根據(jù)安全策略配置相關(guān)參數(shù)?；痉弦?a)應(yīng)提供訪問控制功能，依據(jù)安全策略控制用戶對文件、數(shù)據(jù)庫表等客體的訪問；b)訪問控制的覆蓋范圍應(yīng)包括與資源訪問相關(guān)的主體、客體及它們之間的操作；c)應(yīng)由授權(quán)主體配置訪問控制策略，并嚴(yán)格限制默認(rèn)帳戶的訪問權(quán)限；d)應(yīng)授予不同帳戶為完成各自承擔(dān)任務(wù)所需的最小權(quán)限，并在它們之間形成相互制約的關(guān)系。e)應(yīng)具有對重要信息資源設(shè)置敏感標(biāo)記的功能；對重要服務(wù)器部署服務(wù)器加固系統(tǒng)，采取安全加固措施，并設(shè)置敏感標(biāo)記。序號f)應(yīng)依據(jù)安全策略嚴(yán)格控制用戶對有敏感標(biāo)記重要信息資源的操作；服務(wù)器加固系統(tǒng)有實(shí)現(xiàn)文件強(qiáng)制訪問控制、注冊表強(qiáng)制訪問控制、進(jìn)程強(qiáng)制訪問控制、程序授權(quán)控制、網(wǎng)絡(luò)級訪問控制等功能。3a)應(yīng)提供覆蓋到每個(gè)用戶的安全審計(jì)功能，對應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計(jì)；基本符合要求部署了安全審計(jì)系個(gè)用戶的安全事件進(jìn)行記錄審計(jì)。b)應(yīng)保證無法單獨(dú)中斷審計(jì)進(jìn)程，無法刪除、修改或覆蓋審計(jì)記錄；基本符合要求部署了安全審計(jì)系統(tǒng)c)審計(jì)記錄的內(nèi)容至少應(yīng)包括事件的日期、時(shí)間、發(fā)起者信息、類型、描述和結(jié)果等；基本符合要求部署了安全審計(jì)系統(tǒng)d)應(yīng)提供對審計(jì)記錄數(shù)據(jù)進(jìn)行統(tǒng)計(jì)、查詢、分析及生成審計(jì)報(bào)表的功能?；痉弦蟛渴鹆税踩珜徲?jì)系統(tǒng)4a)應(yīng)保證用戶鑒別信息所在的存儲空間被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內(nèi)存中；統(tǒng)中未啟用“不顯示上次登錄名”功能項(xiàng)。操作系統(tǒng)啟用“不顯示上次登錄名”功能項(xiàng)。序號b)應(yīng)保證系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間被釋放或重新分配給其他用戶前得到完全清除。統(tǒng)中未啟用“關(guān)機(jī)前清除虛擬內(nèi)存頁面”功能項(xiàng)。作系統(tǒng)中未啟用“關(guān)機(jī)前清除虛擬項(xiàng)。5應(yīng)采用密碼技術(shù)保證通信過程中數(shù)據(jù)的完整性。在應(yīng)用軟件編程中，對通信的保密性提出要求。6a)在通信雙方建立連接之前，應(yīng)用系統(tǒng)應(yīng)利用密碼技術(shù)進(jìn)行會話初始化驗(yàn)證；在應(yīng)用軟件編程中，對通信的保密性提出要求。b)應(yīng)對通信過程中的整個(gè)報(bào)文或會話過程進(jìn)行加密。7a)應(yīng)具有在請求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)原發(fā)證據(jù)的功能；應(yīng)用軟件有此項(xiàng)功能。b)應(yīng)具有在請求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)接收證據(jù)的功能。應(yīng)用軟件有此項(xiàng)功能。8a)應(yīng)提供數(shù)據(jù)有效性檢驗(yàn)功能，保證通過人機(jī)接口輸入或通過通信接口輸入的數(shù)據(jù)格式或長度符合系應(yīng)用軟件有此項(xiàng)功能。序號b)應(yīng)提供自動保護(hù)功能，當(dāng)故障發(fā)生時(shí)自動保護(hù)當(dāng)前所有狀態(tài)，保證系統(tǒng)能夠進(jìn)行恢復(fù)。應(yīng)用軟件提供斷點(diǎn)保護(hù)和恢復(fù)功能。9a)當(dāng)應(yīng)用系統(tǒng)的通信雙方中的一方在一段時(shí)間內(nèi)未作任何響應(yīng)，另一方應(yīng)能夠自動結(jié)束會話；應(yīng)，應(yīng)自動結(jié)束會話，釋放網(wǎng)絡(luò)連接。b)應(yīng)能夠?qū)ο到y(tǒng)的最大并求，設(shè)定最大并發(fā)會話連接數(shù)。c)應(yīng)能夠?qū)蝹€(gè)帳戶的多d)應(yīng)能夠?qū)σ粋€(gè)時(shí)間段內(nèi)可能的并發(fā)會話連接數(shù)進(jìn)行限制；應(yīng)當(dāng)業(yè)務(wù)應(yīng)用系統(tǒng)和實(shí)際e)應(yīng)能夠?qū)σ粋€(gè)訪問帳戶或一個(gè)請求進(jìn)程占用的資源分配最大限額和最小限f)應(yīng)能夠?qū)ο到y(tǒng)服務(wù)水平降低到預(yù)先規(guī)定的最小值后期建議部署網(wǎng)管g)應(yīng)提供服務(wù)優(yōu)先級設(shè)定功能，并在安裝后根據(jù)安全策略設(shè)定訪問帳戶或請求進(jìn)程的優(yōu)先級，根據(jù)優(yōu)先級分配系統(tǒng)資源。在系統(tǒng)中應(yīng)可根據(jù)用戶的權(quán)限設(shè)定服務(wù)等級及優(yōu)先級，并保證優(yōu)先級用戶首先使用系統(tǒng)資源的權(quán)力。信息系統(tǒng)的安全核心是數(shù)據(jù)的安全，xxxxxx網(wǎng)絡(luò)中有全局正常運(yùn)行信息的數(shù)據(jù)，一旦數(shù)據(jù)出現(xiàn)被盜取、被篡改、被刪除，小則造成小范圍的xxxxxx業(yè)務(wù)受影響，大則將對全局辦公、經(jīng)濟(jì)利益或社會形象造成不可彌補(bǔ)的損失。一旦出現(xiàn)意外，數(shù)據(jù)的還原、恢復(fù)顯得尤為重要。目前xxxxxx對數(shù)據(jù)的備份主要采用維護(hù)工程師定期進(jìn)行手動備份和數(shù)據(jù)被備份一體機(jī)的方式，備份范圍包含業(yè)務(wù)關(guān)鍵數(shù)據(jù)，且是備份在本地。可能會出現(xiàn)以下情況：1.出現(xiàn)極端自然災(zāi)害，數(shù)據(jù)存儲介質(zhì)出現(xiàn)損壞，數(shù)據(jù)損壞后無法恢復(fù)；詳見下表差距分析：序號1據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過程中完整性受到破壞，并在檢測到完整性錯誤時(shí)采取必要的恢復(fù)措施；基本符合要求數(shù)據(jù)備份一體機(jī)應(yīng)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在存儲過程中完整性受到破壞，并在檢測到完整性錯誤時(shí)采取必要的恢復(fù)措施。基本符合要求數(shù)據(jù)備份一體機(jī)應(yīng)2a)應(yīng)采用加密或其他有效措施實(shí)現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)傳輸保密性；基本符合要求數(shù)據(jù)備份一體機(jī)應(yīng)b)應(yīng)采用加密或其他保護(hù)措施實(shí)現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)存儲保密性?；痉弦髷?shù)據(jù)備份一體機(jī)應(yīng)3a)應(yīng)提供本地?cái)?shù)據(jù)備份與恢復(fù)功能，完全數(shù)據(jù)備份至少每天部署服務(wù)器數(shù)據(jù)備份系統(tǒng)。b)應(yīng)提供異地?cái)?shù)據(jù)備份功能，利用通信網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)定時(shí)批量傳送至備用場地；有本地備份一體機(jī)，后期建議完善異地備份機(jī)制。c)應(yīng)采用冗余技術(shù)設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，避免關(guān)鍵節(jié)點(diǎn)存在單點(diǎn)故障；d)應(yīng)提供主要網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余，保證系統(tǒng)的高可用性。xxxxxx在日常的運(yùn)行維護(hù)管理中，根據(jù)自身的情況有制定一些安全管理制度并執(zhí)行，但沒有進(jìn)行系統(tǒng)而規(guī)范的制度文件體系建設(shè)，以及相應(yīng)制度執(zhí)行記錄歸檔保存。根據(jù)等級保護(hù)管理安全要求，仍有部分制度需要進(jìn)行完善。類別物理對信息系統(tǒng)相關(guān)的資產(chǎn)清單、分類與標(biāo)識、使用、轉(zhuǎn)移、廢棄等做出規(guī)定。對信息系統(tǒng)相關(guān)的資產(chǎn)清單、分類與標(biāo)識、使用、轉(zhuǎn)移、廢棄等做出規(guī)定。對進(jìn)出機(jī)房的人員和設(shè)備，機(jī)房監(jiān)控、機(jī)房值班、機(jī)房環(huán)境保障等做出規(guī)定。對進(jìn)出機(jī)房的人員和設(shè)備，機(jī)房監(jiān)控、機(jī)房值班、機(jī)房環(huán)境保障等做出規(guī)定。對設(shè)備的放置、使用、維護(hù)、維修、報(bào)廢等做出規(guī)定。用、維護(hù)、維修、報(bào)廢等做出規(guī)定。對介質(zhì)的歸檔、存放、使對介質(zhì)的歸檔、存放、使用、銷毀等做出規(guī)定。對網(wǎng)絡(luò)及安全設(shè)備的操作、配置、日志記錄和監(jiān)控等做出規(guī)定。對網(wǎng)絡(luò)及安全設(shè)備的操作、配置、日志記錄和監(jiān)控等做出規(guī)定。系統(tǒng)對服務(wù)器和數(shù)據(jù)庫等的操作、配置、日志記錄和監(jiān)控等做出規(guī)定。對服務(wù)器和數(shù)據(jù)庫等的操作、配置、日志記錄和監(jiān)控等做出規(guī)定。對信息系統(tǒng)數(shù)據(jù)保存、備份、使用等做出規(guī)定。對信息系統(tǒng)數(shù)據(jù)保存、備份、使用等做出規(guī)定。對病毒防護(hù)系統(tǒng)的管理、使對病毒防護(hù)系統(tǒng)的管理、使用和升級等做終端計(jì)算機(jī)管理對終端計(jì)算機(jī)的日常使用、軟件安裝，入網(wǎng)、維修、報(bào)廢等做出規(guī)定。對終端計(jì)算機(jī)的日常使用、軟件安裝，入網(wǎng)、維修、報(bào)廢等做出規(guī)定。便攜計(jì)算機(jī)管理對便攜計(jì)算機(jī)的使用、密碼保護(hù)、入網(wǎng)、文件存儲、維修等做出規(guī)定。對便攜計(jì)算機(jī)的使用、密碼保護(hù)、入網(wǎng)、文件存儲、維修等做出規(guī)定。移動存儲介質(zhì)對移動存儲介質(zhì)的使用、管理、維修等做出規(guī)定。對移動存儲介質(zhì)的使用、管理、維修等做建設(shè)對信息化項(xiàng)目安全需求、安全保障方案及保護(hù)等級等做出規(guī)定。對信息化項(xiàng)目安全需求、安全保障方案及保護(hù)等級等做出規(guī)定。系統(tǒng)開發(fā)安全對開發(fā)環(huán)境、代碼安全、上線測試、開發(fā)人員保密責(zé)任等做出規(guī)定。對開發(fā)環(huán)境、代碼安全、上線測試、開發(fā)人員保密責(zé)任等做出規(guī)定。管理機(jī)構(gòu)和人員管理對設(shè)立安全管理機(jī)構(gòu)、機(jī)構(gòu)職能、人員職責(zé)及管理，如重要崗位保密責(zé)任、人員離崗離職等方面做出規(guī)定。對設(shè)立安全管理機(jī)構(gòu)、機(jī)構(gòu)職能、人員職責(zé)及管理，如重要崗位保密責(zé)任、人員離崗離職等方面做出規(guī)定。對日常運(yùn)行維護(hù)的流程、操作等做出規(guī)定。對日常運(yùn)行維護(hù)的流程、操作等做出規(guī)定。對普通業(yè)務(wù)用戶、重要業(yè)務(wù)用戶、特權(quán)用戶（網(wǎng)絡(luò)、系統(tǒng)、安全管理員）的審批、權(quán)限、安全要求等做出規(guī)定。對普通業(yè)務(wù)用戶、重要業(yè)務(wù)用戶、特權(quán)用戶（網(wǎng)絡(luò)、系統(tǒng)、安全管理員）的審批、權(quán)限、安全要求等做出規(guī)定。對信息系統(tǒng)中使用的密碼強(qiáng)度、變更和保存等做出規(guī)定。對信息系統(tǒng)中使用的密碼強(qiáng)度、變更和保存等做出規(guī)定。對應(yīng)急計(jì)劃、處理、實(shí)施、對應(yīng)急計(jì)劃、處理、實(shí)施、演練等做出規(guī)定。對信息系統(tǒng)的變更申報(bào)、審批流程以及實(shí)施等做出規(guī)定。對信息系統(tǒng)的變更申報(bào)、審批流程以及實(shí)施等做出規(guī)定。對網(wǎng)絡(luò)安全檢查流程、工作對網(wǎng)絡(luò)安全檢查流程、工作內(nèi)容等做出規(guī)定。：以上制度體系僅供參考，請結(jié)合xxxxxx實(shí)際情況進(jìn)行制定，建議相關(guān)制度文件以紅頭文件發(fā)布并歸檔保存，對制度執(zhí)行過程中形成的相關(guān)記錄需定期歸檔保存。結(jié)合xxxxxx網(wǎng)絡(luò)現(xiàn)狀以及與國家政策標(biāo)準(zhǔn)的差距分析，本方案序號1核心區(qū)域只有一臺設(shè)a)應(yīng)保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要；結(jié)合用戶當(dāng)前網(wǎng)絡(luò)實(shí)際情況，建議新增一2目前整體網(wǎng)絡(luò)中區(qū)域劃分不合理，未部署區(qū)前的防火墻設(shè)備已a(bǔ))應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，啟用訪問控制功能；結(jié)合用戶當(dāng)前網(wǎng)絡(luò)實(shí)際情況，建議在互聯(lián)網(wǎng)出口和服務(wù)器區(qū)前部署防火墻實(shí)現(xiàn)邊界3未部署流量控制設(shè)備，無法根據(jù)所承載的業(yè)務(wù)和帶寬的實(shí)際情況確定網(wǎng)絡(luò)最大流量數(shù)和網(wǎng)絡(luò)連接數(shù)并進(jìn)行管理。e)應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)本次項(xiàng)目中建議部署上網(wǎng)行為管理及流控（原有的上網(wǎng)行為管4無法對非法內(nèi)聯(lián)行為a)應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對其進(jìn)行有效阻斷；本次項(xiàng)目中采用終端管理軟件或相關(guān)技術(shù)序號5未實(shí)現(xiàn)重要網(wǎng)段地址進(jìn)行有效保護(hù)防止地址欺騙。f)重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙；利用訪問控制設(shè)備的區(qū)域無法采用包過濾或傳輸控制協(xié)議，進(jìn)行邊界訪問控制，防止地址欺騙，應(yīng)對網(wǎng)絡(luò)中的廣播、組播進(jìn)行必要的控制。6g)應(yīng)按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對受控系統(tǒng)進(jìn)行資源訪問，控制粒度為單個(gè)用戶；通過部署防火墻實(shí)現(xiàn)不同安全域之間的邊7原有上網(wǎng)行為管理設(shè)備過保、無網(wǎng)管軟件，a)應(yīng)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄；部署上網(wǎng)行為管理及流控、網(wǎng)管軟件結(jié)合網(wǎng)絡(luò)中的安全審計(jì)系8不能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對其進(jìn)行有效阻斷。應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對其進(jìn)行有效阻斷；可采用終端管理系統(tǒng)9無法對內(nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對其進(jìn)行有效阻斷。b)應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對其進(jìn)行有效阻斷。可采用終端管理系統(tǒng)沒有指定專人進(jìn)行維護(hù)。通過密碼和用戶名進(jìn)行身份鑒別，同時(shí)也沒有部署堡壘主（a)應(yīng)對登錄網(wǎng)絡(luò)設(shè)備的可以指定專人維護(hù)網(wǎng)絡(luò)設(shè)備，并通過用戶名和密碼進(jìn)行身份鑒別，同時(shí)也可以部署序號機(jī)。對管理員登陸地址沒有限制。b)應(yīng)對網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制；增添堡壘機(jī)設(shè)備，這樣可以有效對運(yùn)維用戶進(jìn)行管理。c)網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識應(yīng)唯一重新對設(shè)備進(jìn)行唯一標(biāo)示。主要網(wǎng)絡(luò)設(shè)備未對同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進(jìn)行身份鑒別；d)主要網(wǎng)絡(luò)設(shè)備應(yīng)對同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進(jìn)行身份鑒別；密碼沒有定期更換，e)身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換；一次。網(wǎng)絡(luò)管理員、系統(tǒng)管理員和安全審計(jì)員分開，并按職責(zé)分工限制各自權(quán)限，但無技術(shù)手段控制。h)應(yīng)實(shí)現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離。部署堡壘機(jī)控制用戶對傳輸加密的方法來保證遠(yuǎn)程管理安全可靠。d)當(dāng)對服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；序號采用用戶名密碼的鑒別技術(shù)對管理員進(jìn)行身份鑒別。f)應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對管理用戶進(jìn)行身份鑒別。因只設(shè)置了一個(gè)管理員賬號，也未通過技術(shù)手段控制授予所需要的最小權(quán)限。b)應(yīng)根據(jù)管理用戶的角色分配權(quán)限，實(shí)現(xiàn)管理用戶的權(quán)限分離，僅授予管理部署堡壘機(jī)，將網(wǎng)絡(luò)管理員、系統(tǒng)管理員和安全審計(jì)員分離，通過技術(shù)手段控制授予所需要的最小權(quán)限。1.應(yīng)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)備運(yùn)行狀況、網(wǎng)絡(luò)流量、2.審計(jì)記錄應(yīng)包括：事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息；3.應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；部署綜合日志審計(jì)系統(tǒng)可對來自不同廠商的安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機(jī)、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、用戶業(yè)務(wù)系統(tǒng)的日志、警報(bào)等信息匯集到審計(jì)中心，實(shí)現(xiàn)日志安全審計(jì)。日志信息無法進(jìn)行分根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；未對重要服務(wù)器部署服務(wù)器加固系統(tǒng)，采取安全加固措施，并設(shè)置敏感標(biāo)記。f)應(yīng)對重要信息資源設(shè)置敏感標(biāo)記；對重要服務(wù)器部署服務(wù)器加固系統(tǒng)，采取安全加固措施，并設(shè)未部署數(shù)據(jù)庫審計(jì)系統(tǒng)，無法對服務(wù)器和重要客戶端上的每個(gè)a)審計(jì)范圍應(yīng)覆蓋到服務(wù)器和重要客戶端上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫用部署數(shù)據(jù)庫審計(jì)系統(tǒng)序號操作系統(tǒng)用戶和數(shù)據(jù)庫用戶進(jìn)行審計(jì)。未部署數(shù)據(jù)庫審計(jì)系統(tǒng)，無法對重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件進(jìn)安全審計(jì)（G3審計(jì)內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件；部署數(shù)據(jù)庫審計(jì)系統(tǒng)未部署數(shù)據(jù)庫審計(jì)系統(tǒng)，無法對數(shù)據(jù)庫進(jìn)行審計(jì)。安全審計(jì)（G3審計(jì)記錄應(yīng)包括事件的日期、時(shí)間、類型、主體標(biāo)識、客部署數(shù)據(jù)庫審計(jì)系統(tǒng)未部署數(shù)據(jù)庫審計(jì)系統(tǒng)，無法對異常行為實(shí)時(shí)告警。夠根據(jù)記錄數(shù)據(jù)進(jìn)行分部署數(shù)據(jù)庫審計(jì)系統(tǒng)未部署數(shù)據(jù)庫審計(jì)系統(tǒng)，無法對異常行為實(shí)時(shí)告警。安全審計(jì)（G3應(yīng)保護(hù)審計(jì)進(jìn)程，避免受到未預(yù)部署數(shù)據(jù)庫審計(jì)系統(tǒng)未部署數(shù)據(jù)庫審計(jì)系統(tǒng)，無法對異常行為實(shí)時(shí)告警。安全審計(jì)（G3應(yīng)保護(hù)審計(jì)記錄，避免受到未預(yù)期的刪除、修改或覆蓋等。部署數(shù)據(jù)庫審計(jì)系統(tǒng)數(shù)據(jù)庫登陸顯示用戶名，對歷史數(shù)據(jù)擦除剩余信息保護(hù)（S3應(yīng)保證操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶的鑒別信息所在的存儲空間，被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存作系統(tǒng)啟用“不顯示項(xiàng)；可對服務(wù)器系統(tǒng)進(jìn)行虛擬化改造。序號應(yīng)確保系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間，被釋放或重新分配給其他用戶前得作系統(tǒng)未啟用“關(guān)機(jī)前清除虛擬內(nèi)存頁面”功能項(xiàng)；可對服務(wù)器系統(tǒng)進(jìn)行虛擬化未通過技術(shù)手段保持系統(tǒng)補(bǔ)丁及時(shí)得到更新統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通過設(shè)置升級服務(wù)器等方式保持系統(tǒng)部署終端安全管理系統(tǒng)/網(wǎng)絡(luò)版殺毒軟件/主機(jī)加固軟件，能夠未部署終端管理系統(tǒng)安全策略設(shè)置登錄終端的通過賬號密碼限制終端登錄。a)應(yīng)通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件利用防火墻訪問控制未部署終端管理系統(tǒng)對登錄終端進(jìn)行管理。部署終端管理系統(tǒng)對登錄終端進(jìn)行管理b)應(yīng)根據(jù)安全策略設(shè)置登c)應(yīng)對重要服務(wù)器進(jìn)行監(jiān)視，包括監(jiān)視服務(wù)器的可通過增加網(wǎng)絡(luò)管理系統(tǒng)對重要服務(wù)器進(jìn)行監(jiān)視并對服務(wù)器的運(yùn)行狀況異常實(shí)時(shí)告警。序號d)應(yīng)限制單個(gè)用戶對系統(tǒng)資源的最大或最小使用限度；e)應(yīng)能夠?qū)ο到y(tǒng)的服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測和報(bào)警?？赏ㄟ^增加網(wǎng)絡(luò)管理系統(tǒng)對重要服務(wù)器進(jìn)行監(jiān)視并對服務(wù)器的運(yùn)行狀況異常實(shí)時(shí)告警。未采用技術(shù)手段，提供專用的登錄控制模塊對登錄用戶的身份身份鑒別（S3應(yīng)提供專用的登錄控制模塊對登錄用戶進(jìn)行身份標(biāo)識和鑒別部署堡壘機(jī)配合雙因?qū)?yīng)用系統(tǒng)每個(gè)用戶的安全事件進(jìn)行記錄安全審計(jì)（G3應(yīng)提供覆蓋到每個(gè)用戶的安全審計(jì)功能，對應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計(jì)；安全審計(jì)（G3應(yīng)保證無法單獨(dú)中斷審計(jì)進(jìn)程，無法刪除、修改或覆蓋審安全審計(jì)（G3審計(jì)記錄的內(nèi)容至少應(yīng)包括事件的日期、時(shí)間、發(fā)起者信息、類型、描述和結(jié)果安全審計(jì)（G3應(yīng)提供對審計(jì)記錄數(shù)據(jù)進(jìn)行統(tǒng)計(jì)、查詢、分析及生成審序號用戶鑒別信息不能清剩余信息保護(hù)（S3應(yīng)保證用戶鑒別信息所在的存儲空間被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放作系統(tǒng)啟用“不顯示項(xiàng)；可對服務(wù)器系統(tǒng)用戶鑒別信息不能清剩余信息保護(hù)（S3應(yīng)保證系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間被釋放或重新分配給其他用戶前得到完作系統(tǒng)未啟用“關(guān)機(jī)前清除虛擬內(nèi)存頁面”功能項(xiàng)；可對服務(wù)器系統(tǒng)進(jìn)行虛擬化對重要信息系統(tǒng)的數(shù)據(jù)，應(yīng)提供異地?cái)?shù)據(jù)備份的功能，定時(shí)批量或增量備份，數(shù)據(jù)異地備份至少每月一次未能做到。已部署數(shù)據(jù)備份一體機(jī)，需規(guī)范化備份機(jī)制。后期建議新增異1隨著業(yè)務(wù)應(yīng)用系統(tǒng)的不斷增加，網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜，由于各業(yè)務(wù)系統(tǒng)建設(shè)、運(yùn)維分散，沒有總體規(guī)劃逐漸不能適應(yīng)越來越復(fù)雜的應(yīng)用需求。主要表現(xiàn)在缺乏整體安全策略、沒有統(tǒng)一規(guī)范的安全體系建設(shè)標(biāo)準(zhǔn)，安全職責(zé)劃分不明確，各業(yè)務(wù)系統(tǒng)的安全防護(hù)程度不一、人員沒有形成統(tǒng)一的安全意識、缺乏統(tǒng)一的安全操作流程和指導(dǎo)手冊；梳理和完善包括安全組織體系、管理體系、防護(hù)體系和運(yùn)維體系的制度建設(shè)。應(yīng)急預(yù)案建設(shè)與應(yīng)急預(yù)案2擁有安全管理員崗位，但安全崗位職能沒有很好得到執(zhí)行，沒有對整個(gè)業(yè)務(wù)體系安全進(jìn)行統(tǒng)一規(guī)劃和管理。安全管理基本上靠運(yùn)維管理人員的自我管理，缺3由于運(yùn)維、外包等原因，防護(hù)體系的建設(shè)依賴于各重要業(yè)務(wù)系統(tǒng)的建設(shè)，在今后的防護(hù)體系建設(shè)和改造中希望將安全防護(hù)體系統(tǒng)一考慮；4無法有效安全監(jiān)管，造成重大安全隱患，極有可能成5缺少專業(yè)性的安全運(yùn)維服務(wù)隊(duì)伍支撐，業(yè)務(wù)系統(tǒng)的安全檢查和漏洞評估沒有周期性執(zhí)行，各主機(jī)的安全程度主要依賴于各管理員個(gè)人的安全意識水平，沒有形成定期統(tǒng)一的安全檢查制度和安全基線要求；6缺少各項(xiàng)應(yīng)急預(yù)案，導(dǎo)致一但發(fā)生重大安全問題無法快速進(jìn)行故障的排除和解決，安全隱患較大。7應(yīng)對行業(yè)發(fā)展帶來的安全挑戰(zhàn),缺少專業(yè)機(jī)構(gòu)的咨詢支撐，無法及時(shí)了解行業(yè)安全動態(tài),以及發(fā)展趨勢。xxxxxx信息系統(tǒng)的安全建設(shè)目標(biāo)，主要是結(jié)合對現(xiàn)狀的安全需求分析，通過信息安全保障總體規(guī)劃、信息安全管理體系建設(shè)、信息安全技術(shù)策略設(shè)計(jì)以及信息安全產(chǎn)品集成實(shí)施等工作，全面提升信息系統(tǒng)的安全性，能面對目前和未來一段時(shí)期內(nèi)的安全威脅，保證信息系統(tǒng)的平穩(wěn)、高效的運(yùn)行，本次設(shè)計(jì)我們將根據(jù)以下目標(biāo)為指導(dǎo)思想：保密性：防止未經(jīng)授權(quán)的數(shù)據(jù)外泄，阻止他人惡意的窺探攻合規(guī)性：遵循技術(shù)標(biāo)準(zhǔn)、國家相關(guān)規(guī)范（三級等保）；4.1.1指導(dǎo)原則先進(jìn)性原則：采用國際上最先進(jìn)和成熟的體系結(jié)構(gòu)，比如可靠性原則：采用成熟的主流技術(shù)和產(chǎn)品的詳盡的故障處理方案?？尚行栽瓌t：在風(fēng)險(xiǎn)分析的基礎(chǔ)上，發(fā)掘重要的資源進(jìn)行保護(hù)，做到適量投入，有效防護(hù)。信息系統(tǒng)是以開放的層次化的網(wǎng)絡(luò)系統(tǒng)作為支撐平臺，為使各種信息安全技術(shù)功能合理地作用在網(wǎng)絡(luò)系統(tǒng)的各個(gè)層次上，從安全管理和安全技術(shù)兩方面，綜合人員、技術(shù)和運(yùn)行管理等實(shí)際情況，制定統(tǒng)一的認(rèn)證管理、多級訪問控制和加密保護(hù)措施，建成統(tǒng)一完整的安全體系結(jié)構(gòu)，在物理安全、運(yùn)行安全、信息安全、管理安全和標(biāo)準(zhǔn)規(guī)范等多個(gè)層面保障信息系統(tǒng)的安全。信息系統(tǒng)的安全保障體系如下圖所示：根據(jù)以上的分析，通過采用技術(shù)、管理與運(yùn)行等各方面的措施，建立信息系統(tǒng)的信息安全保障體系，確保系統(tǒng)的信息安全。技術(shù)措施：身份認(rèn)證、防火墻、入侵檢測、入侵防御、安全審計(jì)、防病毒、漏洞掃描等；運(yùn)行措施：備份與恢復(fù)、遠(yuǎn)程容災(zāi)、病毒的檢測與消除、電磁兼容等。管理措施：建立信息安全職責(zé)制度、系統(tǒng)操作流程、系統(tǒng)安全響應(yīng)流程、系統(tǒng)培訓(xùn)制度、信息系統(tǒng)人員管理等一系列規(guī)范。故而我們可構(gòu)建信息安全保障體系，如下圖：4.2.2.1防火墻全面安全防護(hù)：全面支持深入到應(yīng)用層的防護(hù)，內(nèi)嵌豐富的應(yīng)池，再將資源池按需分成M臺邏輯設(shè)備，實(shí)現(xiàn)云計(jì)算環(huán)境下資源池的動態(tài)調(diào)度。廣泛網(wǎng)絡(luò)特性：支持IPv4/IPv6，支持靜態(tài)路由、策略路由、議。等多種模式，關(guān)鍵部件冗余及熱插拔，支持N+1業(yè)務(wù)板卡冗余以及日志與報(bào)表：支持獨(dú)立的日志服務(wù)器，日志可自動定時(shí)備份；內(nèi)置數(shù)百種報(bào)表，可圖形化的查詢、審計(jì)、統(tǒng)計(jì)、檢索內(nèi)網(wǎng)用戶的各種網(wǎng)絡(luò)行為日志，方便管理者了解和掌控網(wǎng)絡(luò)。部署靈活：支持在旁路模式、透明模式、混合模式。驗(yàn)積累基礎(chǔ)上研發(fā)完成，是三維一體的網(wǎng)站防護(hù)產(chǎn)品，可以同時(shí)向網(wǎng)站提供：防攻擊、防篡改、防ARP三重保護(hù)。該產(chǎn)品致力于全面防護(hù)各類惡意攻擊，保護(hù)網(wǎng)站頁面不被篡改，避免被釣魚攻擊或跨站腳本攻擊等，防止網(wǎng)站被掛馬，保護(hù)用戶網(wǎng)站免遭破壞。廣泛適用于“政府、運(yùn)營商、金融、公安、教育、稅務(wù)、電力”等的門戶網(wǎng)站及以互聯(lián)網(wǎng)為基礎(chǔ)的電子商務(wù)門戶網(wǎng)站。在線部署的網(wǎng)站防護(hù)障網(wǎng)站數(shù)據(jù)的完整性和真實(shí)性，并提供實(shí)時(shí)告警。4.2.2.3上網(wǎng)行為管理及流控飛速發(fā)展的信息技術(shù)給工作帶來便利的同時(shí)，對用戶應(yīng)用模式產(chǎn)生根本影響，網(wǎng)絡(luò)所承載的數(shù)據(jù)應(yīng)用日益增加，呈現(xiàn)復(fù)雜化、多元化趨勢，會導(dǎo)致網(wǎng)絡(luò)出口擁堵、工作狀態(tài)無法監(jiān)控、泄漏公司機(jī)密、甚至法律違規(guī)等嚴(yán)重問題，基于用戶的上網(wǎng)行為管理和帶寬控制成為眾多管理者面臨的新挑戰(zhàn)，同時(shí)數(shù)據(jù)的安全審計(jì)也成為無法回避的問題?？蓭椭脩暨_(dá)成合理利用網(wǎng)絡(luò)帶寬、保障數(shù)據(jù)安全、提升職員工作效率和避免法律風(fēng)險(xiǎn)的目標(biāo)。上網(wǎng)行為管理系列產(chǎn)品提供包括網(wǎng)絡(luò)應(yīng)用流量分析及控制、職員上網(wǎng)行為記錄、訪問控制、數(shù)據(jù)庫安全審計(jì)，以及鏈路負(fù)載均衡、用戶認(rèn)證、病毒防范等綜合功能，幫助用戶構(gòu)建“可視、可控、可優(yōu)化的互聯(lián)網(wǎng)”4.2.2.4主機(jī)安全加固軟件集服務(wù)器安全防護(hù)和安全管理為一體的綜合性服務(wù)器工具。提供服務(wù)器殺毒、服務(wù)器優(yōu)化、系統(tǒng)漏洞補(bǔ)丁修復(fù)、服務(wù)器程序守用防火墻、防CC攻擊、防入侵防提權(quán)、防篡改、安全策略設(shè)置等，使服務(wù)器免受攻擊，同時(shí)提供郵件實(shí)時(shí)告警等功能，服務(wù)器狀態(tài)實(shí)4.2.2.1終端管理系統(tǒng)具有中央控制管理和遠(yuǎn)程部控管理功能，支持在網(wǎng)內(nèi)所有服務(wù)可以提供基本的安全資質(zhì)證書，以保證滿足等?？己嘶疽獙τ?jì)算機(jī)外設(shè)接口、網(wǎng)絡(luò)通訊接口提供禁用、啟用控制安全局劃分，劃分不同權(quán)限的安全局，靈活設(shè)置相互訪問權(quán)；根據(jù)策略審計(jì)文件創(chuàng)建、更名、復(fù)制、刪除等操作；審計(jì)計(jì)算機(jī)IP地址、主機(jī)名、用戶名等基本配置信息的變更操作；對指定的重要文件可進(jìn)行防讀取、防復(fù)制、防刪除4.2.2.2堡壘主機(jī)主帳號的整個(gè)生命周期管理，對主帳號進(jìn)行增加、修改、刪除及鎖定、解鎖等操作。主帳號的新建和修改時(shí)，支持通過配置訪問時(shí)間策略達(dá)到限制主帳號只能在規(guī)定的時(shí)間段內(nèi)進(jìn)行資源訪問。主帳號的新建和修改時(shí)，支持通過配置訪問地址策略達(dá)到限制主帳號只能在規(guī)定的地址段內(nèi)進(jìn)行資源訪問。主帳號的新建和修改時(shí)，支持通過配置訪問鎖定策略，達(dá)到限制主帳號密碼輸入錯誤次數(shù)和鎖定時(shí)間。主帳號的新建和修改時(shí)，支持通過配置密碼策略，達(dá)到指定密碼有效期和限制主帳號密碼強(qiáng)度的目的。主帳號登錄堡壘主機(jī)后，可以自助方式修改自身帳號信息，包括密碼、手機(jī)、郵件等基礎(chǔ)信息。支持主帳號的分組管理，分組可以樹形方式展現(xiàn)，不限制分組層級數(shù)量。支持主帳號的證書認(rèn)證，可以靈活配置主帳號的認(rèn)證方式。堡壘主機(jī)上定義主帳號時(shí)可以為主帳號生成證書，方便證書認(rèn)證模式的部署和實(shí)施。也可以和其他認(rèn)證方式結(jié)合，做組合認(rèn)證，提高訪問的安全性。例如，支持靜態(tài)口令、證書、智能卡、各種人體特征（指紋、視網(wǎng)膜等）、動態(tài)令牌等等?？梢詫①Y源和資源的從帳號授權(quán)給主帳號。授權(quán)給主帳號的資源可以新增和刪除。授權(quán)時(shí)可以按照樹形組顯示資源，方便資源的選擇。授權(quán)分為堡壘主機(jī)管理功能授權(quán)和資源訪問授權(quán)。內(nèi)部管理功能授權(quán)可以限制到某個(gè)樹形節(jié)點(diǎn)的范圍內(nèi)。主帳號登錄后，對本主帳號授權(quán)的資源只能在即符合主帳號的訪問時(shí)間策略、訪問地址策略，也符合資源從帳號的主機(jī)命令策略、訪問時(shí)間策略、訪問地址策略時(shí)訪問到資源。堡壘主機(jī)內(nèi)部管理功能權(quán)限支持角色定義，角色可以針對目錄樹的節(jié)點(diǎn)定義角色包含的權(quán)限可以自定義。自定義內(nèi)容包括：分組管理權(quán)，自然人管理權(quán)，資源管理權(quán)，授權(quán)管理權(quán)，角色定義管理權(quán)，計(jì)劃管理權(quán)，審計(jì)管理權(quán)等等。堡壘主機(jī)自身管理權(quán)限支持靈活的授權(quán)?？梢越⒔M，并將組的管理權(quán)限下放給下級管理員，下級管理員也可以在自己的管理組中建立子組，并下放子組的管理權(quán)。便于大型網(wǎng)絡(luò)的權(quán)限管理和劃分。圖形資源審計(jì)可以記錄鍵盤，那么圖形資源的審計(jì)有可能審計(jì)到密碼輸入，因此必須對鍵盤輸入的審計(jì)做權(quán)限的細(xì)分，可以定義哪些審計(jì)員可以看鍵盤記錄，哪些不能。類似的可以定義是否可以看圖像審計(jì)，是否可以實(shí)時(shí)監(jiān)控，是否可以看字符審計(jì)的內(nèi)容，命令，錄像等。4.2.2.3數(shù)據(jù)庫審計(jì)系統(tǒng)對網(wǎng)絡(luò)上的數(shù)據(jù)庫活動實(shí)時(shí)記錄，對數(shù)據(jù)庫操作進(jìn)行細(xì)粒度審計(jì)，對數(shù)據(jù)庫遭受到的風(fēng)險(xiǎn)行為進(jìn)行告警，攻擊行為進(jìn)行阻斷等。綜合日志審計(jì)平臺通過集中采集信息系統(tǒng)中的系統(tǒng)安全事件、用戶訪問記錄、系統(tǒng)運(yùn)行日志、系統(tǒng)運(yùn)行狀態(tài)等各類信息，經(jīng)過規(guī)范化、過濾、歸并和告警分析等處理后，以統(tǒng)一格式的日志形式進(jìn)行集中存儲和管理，結(jié)合豐富的日志統(tǒng)計(jì)匯總及關(guān)聯(lián)分析功能，實(shí)現(xiàn)對信息系統(tǒng)日志的全面審計(jì)。客戶體驗(yàn)為指引，從監(jiān)控、審計(jì)、風(fēng)險(xiǎn)和運(yùn)維四個(gè)維度建立起來的一套可度量的統(tǒng)一業(yè)務(wù)支撐平臺，使得各種用戶能夠?qū)I(yè)務(wù)信息系統(tǒng)進(jìn)行可用性與性能的監(jiān)控、配置與事件的分析審計(jì)預(yù)警、風(fēng)險(xiǎn)與態(tài)勢的度量與評估、安全運(yùn)維流程的標(biāo)準(zhǔn)化、例行化和常態(tài)化，最終實(shí)現(xiàn)業(yè)務(wù)信息系統(tǒng)的持續(xù)安全運(yùn)營。廠商認(rèn)識到必須變革現(xiàn)有安全防御產(chǎn)品，用新的技術(shù)來發(fā)現(xiàn)未知的安全威脅，重點(diǎn)包括：發(fā)現(xiàn)應(yīng)用層攻擊手段、發(fā)現(xiàn)基于未知漏洞業(yè)、單位、政府等單位提供對“復(fù)合型攻擊”和“未知威脅”的安全把控能力，并深度挖掘隱藏在網(wǎng)絡(luò)中的黑客攻擊行為，保障業(yè)務(wù)通過對xxxxxx信息系統(tǒng)安全現(xiàn)狀與差距分析，結(jié)合安全防護(hù)體系規(guī)劃、安全技術(shù)規(guī)劃以及信息安全等級保護(hù)基本要求，為了完成項(xiàng)目的建設(shè)目標(biāo)，本次項(xiàng)目分為二期建設(shè)，一期建設(shè)完成目標(biāo)為剛需、合規(guī)；以解決網(wǎng)絡(luò)中的整體安全隱患和獲得等級保護(hù)備案證明為主要目的，二期建設(shè)以完善整體信息安全防護(hù)提系為建設(shè)目標(biāo)。主要做邊界防御、網(wǎng)絡(luò)結(jié)構(gòu)整改、終端防護(hù)、安全隱患梳理整治、審計(jì)體系建立。包括定級備案測評、主機(jī)加固防護(hù)、安全管理體系等。1.達(dá)到法律要求中的2.梳理全網(wǎng)安全隱患3.提升機(jī)關(guān)事務(wù)管理局整體信息系統(tǒng)安全開始，建設(shè)周1.云端防護(hù)網(wǎng)絡(luò)中的各類事件分析審計(jì)預(yù)警、風(fēng)險(xiǎn)與態(tài)勢的度量與評估安全運(yùn)維流程的標(biāo)準(zhǔn)化、例行化和通過層層設(shè)防的方式完善信息安全總體防護(hù)體系，將各個(gè)孤立的信息點(diǎn)整合起來，方便用戶更直觀、快捷的管理網(wǎng)絡(luò)。做到月常態(tài)化，最終實(shí)現(xiàn)業(yè)務(wù)信息系統(tǒng)的持續(xù)安全運(yùn)營。將整體網(wǎng)絡(luò)達(dá)整體網(wǎng)絡(luò)的可視、可管、可控、可感知。根據(jù)業(yè)務(wù)功能以及安全需求的不同，將xxxxxx信息網(wǎng)絡(luò)規(guī)劃為下：1.內(nèi)網(wǎng)核心交換區(qū)：部署了網(wǎng)絡(luò)的核心交換設(shè)備，用于數(shù)據(jù)的2.內(nèi)網(wǎng)安全管理區(qū)：本安全區(qū)主要用于部署各類信息安全產(chǎn)品3.辦公接入?yún)^(qū)：業(yè)務(wù)終端的接入?yún)^(qū)域，連接方式有無線和有線4.內(nèi)網(wǎng)服務(wù)器區(qū)：本安全區(qū)主要用于部署各類業(yè)務(wù)系統(tǒng)服務(wù)6.互聯(lián)網(wǎng)訪問出口區(qū)：由運(yùn)營商出口組成，提供Internet互聯(lián)1.核心交換區(qū)新增核心交換機(jī)，做冗余提高整體網(wǎng)絡(luò)健壯性。2.將原有2條互聯(lián)網(wǎng)線路進(jìn)行整合，整合為一個(gè)出口。3.利用防火墻做好規(guī)則限制，將電子政務(wù)外網(wǎng)接入互聯(lián)網(wǎng)。5.服務(wù)器、終端及應(yīng)用系統(tǒng)風(fēng)險(xiǎn)評估、滲透測試、安全加固6.對于過?；蚴褂媚晗掭^久的網(wǎng)絡(luò)設(shè)備、安全設(shè)備，容易出現(xiàn)設(shè)備故障和安全隱患，從而影響機(jī)關(guān)事務(wù)管理局業(yè)務(wù)系統(tǒng)和正常辦公的正常運(yùn)營，造成不必要的損失。因此在此，我們提出了三種過保設(shè)備處理辦法。將互聯(lián)網(wǎng)的過保設(shè)備遷移至機(jī)關(guān)事務(wù)管理局其他專網(wǎng)，做安全本次項(xiàng)目中在互聯(lián)網(wǎng)出口和服務(wù)器區(qū)前各部署一臺防火墻，實(shí)現(xiàn)不同安全域之間的安全邊界隔離和訪問控制。5.1.4.1防火墻系統(tǒng)部署防火墻是部署在不同網(wǎng)絡(luò)安全局之間的一系列部件的組合。它是信息的唯一出入口，能根據(jù)xxxxxx專網(wǎng)、服務(wù)器區(qū)的安全政策控制（允許、拒絕、監(jiān)測）出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。防火墻實(shí)現(xiàn)網(wǎng)與網(wǎng)之間的訪問隔離，以保護(hù)整個(gè)網(wǎng)絡(luò)抵御來自其它網(wǎng)絡(luò)的入侵者。通過對全網(wǎng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)進(jìn)行分析，確定需要進(jìn)行訪問控制的網(wǎng)絡(luò)邊界位置，并使用防火墻等邊界訪問控制系統(tǒng)，解決邊界安全建議在xxxxxx互聯(lián)網(wǎng)出口和服務(wù)器區(qū)邊界部署防火墻，用來分隔各不同安全子域，對進(jìn)出數(shù)據(jù)進(jìn)行訪問控制，阻止非法數(shù)據(jù)入侵包過濾防火墻一般在路由器上實(shí)現(xiàn)，用以過濾用戶定義的內(nèi)容，如IP地址。包過濾防火墻的工作原理是：系統(tǒng)在網(wǎng)絡(luò)層檢查數(shù)據(jù)包，與應(yīng)用層無關(guān)。這樣系統(tǒng)就具有很好的傳輸性能，可擴(kuò)展能力強(qiáng)。數(shù)據(jù)中心、云計(jì)算的快速發(fā)展，越來越多的網(wǎng)絡(luò)性能都已超過針對用戶日益復(fù)雜的網(wǎng)絡(luò)應(yīng)用，安全風(fēng)險(xiǎn)也變得更加多樣化?？蓪?shí)時(shí)升級的專業(yè)特征庫，從而實(shí)現(xiàn)細(xì)粒度的安全管理。虛擬化技術(shù)是目前業(yè)界最受關(guān)注的技術(shù)之一，越來越多的網(wǎng)絡(luò)和服務(wù)器都已采用虛擬化技術(shù)，而針對應(yīng)用虛擬化的要求，迪普科技具有獨(dú)創(chuàng)的N:M虛擬化技術(shù)，可將多臺設(shè)備虛擬化成一臺設(shè)備或?qū)⒁慌_設(shè)備虛擬化成多臺設(shè)備，用戶可將應(yīng)用能力資源池化，并根據(jù)業(yè)務(wù)要求靈活的按需調(diào)度。硬件加密功能，在簡化網(wǎng)絡(luò)結(jié)構(gòu)的基礎(chǔ)上，還大大提升了用戶網(wǎng)絡(luò)安全建設(shè)的性價(jià)比。明模式、混合模式組網(wǎng)，可適應(yīng)各種復(fù)雜組的雙機(jī)熱備，設(shè)備發(fā)生故障后確保原有的網(wǎng)絡(luò)連接不會中斷，實(shí)現(xiàn)真正的無縫切換。換到設(shè)備交換芯片進(jìn)行轉(zhuǎn)發(fā)，此時(shí)流量不再經(jīng)過業(yè)務(wù)板CPU做安全業(yè)務(wù)，而是直接通過交換芯片進(jìn)行二三層轉(zhuǎn)發(fā)，確保業(yè)務(wù)流量轉(zhuǎn)發(fā)不中斷，確保網(wǎng)絡(luò)的可靠性。全面支持深入到應(yīng)用層的防護(hù)，內(nèi)嵌豐富的應(yīng)用層過濾與控制引擎，可支持可提供專業(yè)的入侵防御（IPS）能力，實(shí)現(xiàn)深入的應(yīng)用層攻擊防護(hù)；專業(yè)漏洞支持獨(dú)立的日志服務(wù)器，日志可自動定時(shí)備份；內(nèi)置數(shù)百種報(bào)表，可圖形化的查詢、審計(jì)、統(tǒng)計(jì)、檢索內(nèi)網(wǎng)用戶的各種網(wǎng)絡(luò)行為日志，方便管理者了解和掌驗(yàn)積累基礎(chǔ)上研發(fā)完成，是三維一體的網(wǎng)站防護(hù)產(chǎn)品，可以同時(shí)向網(wǎng)站提供：防攻擊、防篡改、防ARP三重保護(hù)。該產(chǎn)品致力于全面防護(hù)各類惡意攻擊，保護(hù)網(wǎng)站頁面不被篡改，避免被釣魚攻擊或跨站腳本攻擊等，防止網(wǎng)站被掛馬，保護(hù)用戶網(wǎng)站免遭破壞。廣泛適用于“政府、運(yùn)營商、金融、公安、教育、稅務(wù)、電力”等的門戶網(wǎng)站及以互聯(lián)網(wǎng)為基礎(chǔ)的電子商務(wù)門戶網(wǎng)站。在線部署的網(wǎng)站防護(hù)障網(wǎng)站數(shù)據(jù)的完整性和真實(shí)性，并提供實(shí)時(shí)告警。隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大和應(yīng)用的逐步增多，聯(lián)網(wǎng)計(jì)算機(jī)數(shù)量不斷增加，IP地址沖突現(xiàn)象時(shí)有發(fā)生。公務(wù)外網(wǎng)各聯(lián)網(wǎng)單位要嚴(yán)格使用分配的IP地址段，要求對本單位每位工作人員使用的電腦指定單一IP地址。嚴(yán)禁工作人員盜用他人IP地址或私設(shè)IP地址。若采用手動方法管理IP地址，不僅操作不便，而且極易出現(xiàn)錯誤。同時(shí)，基于IPv4（國際互聯(lián)網(wǎng)協(xié)議第4版）的現(xiàn)有進(jìn)過渡，并在此基礎(chǔ)上發(fā)展下一代互聯(lián)網(wǎng)已成為全球共識。根據(jù)新一代信息技術(shù)產(chǎn)業(yè)“十二五”發(fā)展思路的要求，廣大用在“十二五”期間，規(guī)定要求國內(nèi)訪問流量排名前100位的商信運(yùn)營企業(yè)新開展的業(yè)務(wù)基本支持IPv6，新增上網(wǎng)固定終端和移動WAF防護(hù)產(chǎn)品，可以為用戶網(wǎng)站提供7X24小時(shí)的不間斷監(jiān)測與保護(hù)，有效保障網(wǎng)站數(shù)據(jù)的完整性和真實(shí)性，并提供實(shí)時(shí)告警，具體部署拓?fù)浜驼f明如下：在最快的時(shí)間內(nèi)獲得最新的特征庫，能夠?yàn)閃eb應(yīng)用提供全面實(shí)時(shí)有效的防御能力。式下，對網(wǎng)站數(shù)據(jù)的精確、增量同步，能夠有效防止網(wǎng)頁被惡意篡連接復(fù)用、SSL代理等技術(shù)，對服務(wù)器進(jìn)行負(fù)載均衡、流量整形、支持雙電源冗余，并且可以采用多種部署模式進(jìn)行無縫接入，5.1.4.3上網(wǎng)行為管理及流控幫助用戶提供包括網(wǎng)絡(luò)應(yīng)用流量分析及控制、職員上網(wǎng)行為記錄、訪問控制、數(shù)據(jù)庫安全審計(jì)，以及鏈路負(fù)載均衡、用戶認(rèn)證、病毒防范等綜合功能，幫助用戶構(gòu)建“可視、可控、可優(yōu)化的互聯(lián)網(wǎng)”根據(jù)xxxxxx整體安全規(guī)劃，在互聯(lián)網(wǎng)接入?yún)^(qū)域部署上網(wǎng)行為管理及流控，可以為用戶提供上網(wǎng)行為記錄、審計(jì)、訪問控制、流控1.業(yè)界最全的應(yīng)用特征庫，全面支持IPv具有業(yè)界數(shù)量最大、本地化支持最完善、更新最及時(shí)的特征議的上網(wǎng)行為管理和流控，讓上網(wǎng)行為管理和流量控制更精準(zhǔn)。2.流量控制與調(diào)度結(jié)合，保障關(guān)鍵業(yè)務(wù)支持鏈路負(fù)載均衡功能，可作為鏈路優(yōu)化網(wǎng)關(guān)使用，配合流量控制功能，達(dá)到流量“疏堵結(jié)合”的作用，流量控制可以為關(guān)鍵業(yè)務(wù)預(yù)留帶寬，流量負(fù)載則可以將關(guān)鍵業(yè)務(wù)調(diào)度到高質(zhì)量的鏈路，共同保障關(guān)鍵業(yè)務(wù)的使用。3.獨(dú)創(chuàng)的零帶寬損耗技術(shù)*創(chuàng)新的零帶寬損耗技術(shù)，率先采用“提前”限速的技術(shù)理念，解決傳統(tǒng)帶寬管理“丟包而導(dǎo)致?lián)p耗”的難題。有效解決傳統(tǒng)流量（5%以內(nèi)真正實(shí)現(xiàn)對應(yīng)用流量的合理、有效、有序的管理。例如，針對1G帶寬，傳統(tǒng)解決方式流量控制后，實(shí)際可用帶寬在700M左右，而使用迪普科技零帶寬損耗技術(shù)后，實(shí)際可用帶寬在4.基于網(wǎng)絡(luò)質(zhì)量的流量分析*網(wǎng)絡(luò)流量分析從多維度展現(xiàn)網(wǎng)絡(luò)帶寬資源使用情況，真正實(shí)現(xiàn)流量可視化，基于用戶和應(yīng)用進(jìn)行細(xì)粒度分析。同時(shí)可以對網(wǎng)絡(luò)質(zhì)量進(jìn)行分析，對網(wǎng)絡(luò)中的鏈路異常事件、網(wǎng)絡(luò)時(shí)延、重傳率、狀態(tài)碼等參數(shù)進(jìn)行監(jiān)控，并且按照用戶、應(yīng)用等維度進(jìn)行分析，展示用戶、應(yīng)用的網(wǎng)絡(luò)質(zhì)量狀況，網(wǎng)絡(luò)管理人員一目了然的了解當(dāng)前網(wǎng)絡(luò)運(yùn)行質(zhì)量，并為后續(xù)的網(wǎng)絡(luò)優(yōu)化提供依據(jù)。5.基于用戶的網(wǎng)絡(luò)行為審計(jì)上網(wǎng)行為管理支持全面的上網(wǎng)行為審計(jì)，包括網(wǎng)頁、郵件、論壇、即時(shí)通訊、數(shù)據(jù)庫等網(wǎng)絡(luò)行為。傳統(tǒng)的審計(jì)方式僅能根據(jù)IP地址進(jìn)行審計(jì)，難以將IP地址與具體人員身份準(zhǔn)確關(guān)聯(lián)，導(dǎo)致發(fā)生安全事件后，如何追查責(zé)任人反而又成為新的難題。實(shí)現(xiàn)基于帳號的實(shí)名審計(jì)，并支持與城市熱點(diǎn)、深瀾等認(rèn)證系統(tǒng)對接，實(shí)現(xiàn)精確到個(gè)人的上網(wǎng)行為審計(jì)，讓網(wǎng)絡(luò)中的每個(gè)人對自己的言行負(fù)責(zé)。6.豐富的認(rèn)證功能支持多種終端認(rèn)證，支持IP/MAC綁定、Portal認(rèn)證、短信認(rèn)方認(rèn)證系統(tǒng)對接。例如微信認(rèn)證顧客無需輸入繁瑣的Wi-Fi密碼，手機(jī)點(diǎn)擊“微信一鍵認(rèn)證”進(jìn)行認(rèn)證，為用戶提供更輕快的上網(wǎng)體驗(yàn)，同時(shí)可以一鍵關(guān)注商家公眾號，便于將顧客轉(zhuǎn)化為粉絲，為商家的長期發(fā)展打下良好的基礎(chǔ)，并且聯(lián)網(wǎng)后還可推送消息，利于商家做宣傳。7.全面數(shù)據(jù)庫審計(jì)等多種類型的數(shù)據(jù)庫。對訪問數(shù)據(jù)庫的數(shù)據(jù)流進(jìn)行采集、分析和識別，實(shí)時(shí)監(jiān)視數(shù)據(jù)庫的運(yùn)行狀態(tài)，記錄多種訪問數(shù)據(jù)庫行為，發(fā)現(xiàn)對數(shù)據(jù)庫的異常訪問，同時(shí)提供告警及豐富報(bào)表功能，以供企業(yè)管理人員按需查看。5.1.4.4主機(jī)安全加固系統(tǒng)部署集服務(wù)器安全防護(hù)和安全管理為一體的綜合性服務(wù)器工具。提供服務(wù)器殺毒、服務(wù)器優(yōu)化、系統(tǒng)漏洞補(bǔ)丁修復(fù)、服務(wù)器程序守用防火墻、防CC攻擊、防入侵防提權(quán)、防篡改、安全策略設(shè)置等，使服務(wù)器免受攻擊，同時(shí)提供郵件實(shí)時(shí)告警等功能，服務(wù)器狀態(tài)實(shí)的安全及管理問題；提供包含自動化系統(tǒng)風(fēng)險(xiǎn)識別和加固、系統(tǒng)級的安全防護(hù)（防黑/防入侵/抗攻擊）、云監(jiān)控（安全監(jiān)控/性能監(jiān)控/日志監(jiān)控）、云管理以及基于大數(shù)據(jù)架構(gòu)的安全事件分析等功能；2、防暴力破解、防惡意掃描：實(shí)現(xiàn)攔截各種惡意掃描和暴4、能夠禁止一般的帳號創(chuàng)建，針對帳號提權(quán)、帳號克隆等其他為。則。JSP等類型的網(wǎng)頁文件，修改動作至內(nèi)核層直接10、判斷系統(tǒng)服務(wù)安全狀態(tài)，采取關(guān)閉敏感服務(wù)的策略，為用戶提供優(yōu)化建議。令檢測、授權(quán)、日志配置、IP協(xié)議安全配置、關(guān)閉遠(yuǎn)程桌面和共享文件夾的訪問權(quán)限等；支持Linux平臺的安全基線檢查，包括：用戶口令設(shè)置、限制用戶su成root用戶、root用戶超時(shí)自動注銷、認(rèn)證、bashshell、網(wǎng)絡(luò)與服務(wù)加固和文件系統(tǒng)安全檢查等。支持包保護(hù)、遠(yuǎn)程桌面保護(hù)、病毒防護(hù)等。收集傳輸系統(tǒng)日志，構(gòu)建行為模型與異常行為進(jìn)行對比，發(fā)現(xiàn)可疑行為。從多個(gè)維度挖掘攻擊者IP的地理信息、活躍度、攻擊手法特征、攻擊次數(shù)、攻擊服務(wù)器范圍等并進(jìn)行畫像分析和威脅程度排名，提供攻擊IP風(fēng)險(xiǎn)分布圖、攻擊IP地理分布圖、最近30天攻擊IP列表和攻擊IP電子檔案功能。13、支持通過發(fā)送郵件、短信等方式進(jìn)行告警；告警內(nèi)容包含傳輸中斷告警、風(fēng)險(xiǎn)漏洞告警、攻擊威脅告警等；告警可以支持按日期、攻擊類型、內(nèi)容、攻擊者IP、服務(wù)器IP等字段進(jìn)行組合查詢。14、產(chǎn)品支持監(jiān)控服務(wù)器，并基于云端的規(guī)則庫、病毒特征庫、異常行為庫等互聯(lián)網(wǎng)安全威脅情報(bào)數(shù)據(jù)度量執(zhí)行程序的安全性，對非授權(quán)及不符合預(yù)期的執(zhí)行進(jìn)行預(yù)警提示。5.1.4.5綜合日志審計(jì)隨著各類組織的信息化程度不斷提高，對信息系統(tǒng)的依賴程度也隨之增加，如何保障信息系統(tǒng)安全是所有單位都十分關(guān)注的一個(gè)問題。當(dāng)前，大部分組織都已對信息安全系統(tǒng)進(jìn)行了基本的安全防護(hù)，如實(shí)施防火墻、入侵檢測系統(tǒng)、防病毒系統(tǒng)等。然而，信息系統(tǒng)維護(hù)過程中依然還面臨著諸多的困難及風(fēng)險(xiǎn)，如：系統(tǒng)運(yùn)維風(fēng)險(xiǎn)：由于操作系統(tǒng)、硬件、應(yīng)用程序等故障或配置錯誤導(dǎo)致系統(tǒng)異常運(yùn)行，服務(wù)中斷。這些異常行為往往會事先在系統(tǒng)及各類日志中有反映，如果缺乏有效的日志審計(jì)手段，就無法及時(shí)發(fā)現(xiàn)這些安全隱患。應(yīng)用及數(shù)據(jù)風(fēng)險(xiǎn)：包括用戶非授權(quán)訪問、管理員誤操作、黑客安全事件定位風(fēng)險(xiǎn)：由于目前的應(yīng)用系統(tǒng)往往都是相互關(guān)聯(lián)的，一個(gè)故障現(xiàn)象，往往要對數(shù)臺甚至數(shù)十臺網(wǎng)絡(luò)設(shè)備及主機(jī)的日志進(jìn)行關(guān)聯(lián)分析才能確定真正的故障原因，缺乏有效的統(tǒng)一安全事件審計(jì)平臺可能導(dǎo)致無法及時(shí)進(jìn)行故障定位甚至錯誤定位，此外惡意破壞者獲得系統(tǒng)權(quán)限后可以清理安全日志，從而導(dǎo)致無法正確定位安全日志。均對日志審計(jì)、行為審計(jì)有明確的要求，確保關(guān)鍵信息系統(tǒng)在可審計(jì)、可控狀態(tài)下運(yùn)行。按照xxxxxx信息安全建設(shè)整體安全規(guī)劃，審計(jì)要遵循全網(wǎng)統(tǒng)一的安全規(guī)范進(jìn)行建設(shè)，因此，xxxxxx內(nèi)網(wǎng)的審計(jì)系統(tǒng)部署在安全管理區(qū)，審計(jì)系統(tǒng)包括網(wǎng)絡(luò)審計(jì)、主機(jī)審計(jì)等方面，為安全管理人員提供可供分析的審計(jì)數(shù)據(jù)和有效的控制手段，多方位、多層次地對網(wǎng)絡(luò)信息系統(tǒng)進(jìn)行立體、全面的審計(jì)跟蹤與監(jiān)控管理，在網(wǎng)絡(luò)信息系統(tǒng)中建立安全管理與責(zé)任認(rèn)定機(jī)制。指按照一定的安全策略，利用記錄、系統(tǒng)活動和用戶活動等信息，檢查、審查和檢驗(yàn)操作事件的環(huán)境及活動，從而發(fā)現(xiàn)系統(tǒng)漏洞、入侵行為或改善系統(tǒng)性能的過程。也是審查評估系統(tǒng)安全風(fēng)險(xiǎn)并采取相應(yīng)措施的一個(gè)過程。在不至于混淆情況下，簡稱為安全審計(jì)，實(shí)際是記錄與審查用戶操作計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)活動的過程，是提高系統(tǒng)安全性的重要舉措。系統(tǒng)活動包括操作系統(tǒng)活動和應(yīng)用程序進(jìn)程的活動。用戶活動包括用戶在操作系統(tǒng)和應(yīng)用程序中的活動，如用戶所使用的資源、使用時(shí)間、執(zhí)行的操作等。系統(tǒng)簡單實(shí)用、界面美觀大方、內(nèi)置豐富的儀表板，適用于各級管理人員;具有國內(nèi)領(lǐng)先的高性能日志管理技術(shù)，使得系統(tǒng)在日志采集、分析和存儲三個(gè)方面獲得了本質(zhì)的性能提升。獨(dú)有的審計(jì)數(shù)據(jù)源擴(kuò)展機(jī)制，可以方便地實(shí)現(xiàn)新設(shè)備類型的日志采集。支持分布式日志采集和事件存儲、審計(jì)中心級聯(lián)，支持大規(guī)模部署。對用戶網(wǎng)絡(luò)和業(yè)務(wù)影響最?。涸趯?shí)現(xiàn)對用戶網(wǎng)絡(luò)中的IT設(shè)施進(jìn)行集中日志審計(jì)的同時(shí)，采取多種技術(shù)手段，力求對用戶網(wǎng)絡(luò)和業(yè)務(wù)的影響最小化。具備完善的自身安全性設(shè)計(jì)，保證系統(tǒng)自身的安全等級符合用?集中化的日志綜合審計(jì)日志審計(jì)系統(tǒng)提供了強(qiáng)大的日志綜合審計(jì)功能，為不用層級的用戶提供了多視角、多層次的審計(jì)視圖。系統(tǒng)提供全局監(jiān)視儀表板、實(shí)時(shí)審計(jì)視圖、內(nèi)置或自定義策略的統(tǒng)計(jì)視圖、超強(qiáng)的日志查詢和報(bào)表管理功能，支持日志的模糊查詢和自定義報(bào)表。為了應(yīng)對海量日志管理帶來的挑戰(zhàn)，日志審計(jì)系統(tǒng)采用了國內(nèi)領(lǐng)先的高性能日志采集、分析與存儲架構(gòu)，從產(chǎn)品技術(shù)架構(gòu)的層面，進(jìn)行了系統(tǒng)性的設(shè)計(jì)，真正使得日志審計(jì)系統(tǒng)產(chǎn)品成為一款能夠支撐持續(xù)海量日志管理的系統(tǒng)。?高適應(yīng)性日志采集日志審計(jì)類產(chǎn)品的一項(xiàng)核心能力就是對審計(jì)數(shù)據(jù)源的日志采集。對于用戶而言，采集日志面臨的最大挑戰(zhàn)就是：審計(jì)數(shù)據(jù)源分散、日志類型多樣、日志量大。為此，日志審計(jì)系統(tǒng)綜合采用多種技術(shù)手段，充分適應(yīng)用戶實(shí)際網(wǎng)絡(luò)環(huán)境的運(yùn)行情況，采集用戶網(wǎng)絡(luò)中分散在各個(gè)位置的各種廠商、各種類型的海量日志。?詳盡的日志范式化和日志分類日志審計(jì)系統(tǒng)對收集的各種日志進(jìn)行范式化處理，將各種不同表達(dá)方式的日志轉(zhuǎn)換成統(tǒng)一的描述形式。審計(jì)人員不必再去熟悉不同廠商不同的日志信息，從而大大提升審計(jì)工作效率。與此同時(shí)，日志審計(jì)系統(tǒng)將原始日志都原封不動地保存了下來，以備調(diào)查取證之用。審計(jì)員也可以直接對原始日志進(jìn)行模糊查詢。?基于策略的安全事件分析系統(tǒng)為用戶在進(jìn)行安全日志及事件的實(shí)時(shí)分析和歷史分析的時(shí)候提供了一種全新的分析體驗(yàn)——基于策略的安全事件分析過程。用戶可以通過豐富的事件分析策略對全網(wǎng)的安全事件進(jìn)行全方位、多視角、大跨度、細(xì)粒度的實(shí)時(shí)監(jiān)測、統(tǒng)計(jì)分析、查詢、調(diào)查、追溯、地圖定位、可視化分析展示等。?可視化日志審計(jì)日志審計(jì)系統(tǒng)為用戶提供了豐富的可視化審計(jì)視圖，充分提升審計(jì)效率。包括：審計(jì)對象拓?fù)鋱D、IP在線世界地圖定位、IP離線世界地圖定位、事件分時(shí)圖、事件拓?fù)鋱D、事件多維分析圖等。?豐富靈活的報(bào)表報(bào)告出具報(bào)表報(bào)告是安全審計(jì)系統(tǒng)的重要用途，日志審計(jì)系統(tǒng)內(nèi)置了豐富的報(bào)表模板，包括統(tǒng)計(jì)報(bào)表、明細(xì)報(bào)表、綜合審計(jì)報(bào)告，審計(jì)人員可以根據(jù)需要生成不同的報(bào)表。系統(tǒng)內(nèi)置報(bào)表生成調(diào)度器，可以定時(shí)自動生成日報(bào)、周報(bào)、月報(bào)、季報(bào)、年報(bào)，并支持以郵件印。系統(tǒng)還內(nèi)置了一套報(bào)表編輯器，用戶可以自行設(shè)計(jì)報(bào)表