XXX企業(yè)網(wǎng)絡(luò)安全建設(shè)方案

XXX企業(yè)網(wǎng)絡(luò)安全建設(shè)方案■文檔編號(hào)■密級(jí)限制分發(fā)■版本編號(hào)V1.0■日期?DATE\@"yyyy"2014綠盟科技

-綠盟科技 密級(jí)：限制分發(fā)建設(shè)目標(biāo)與依據(jù)建設(shè)目標(biāo)本方案的編制是在國(guó)家等級(jí)保護(hù)文件、標(biāo)準(zhǔn)的總體框架體系指導(dǎo)下，同時(shí)充分考慮了XXX企業(yè)多個(gè)業(yè)務(wù)系統(tǒng)面臨的威脅，以及XXX企業(yè)網(wǎng)絡(luò)安全規(guī)劃、行業(yè)最佳實(shí)踐與安全新技術(shù)的引入，為出發(fā)點(diǎn)和重要基礎(chǔ)。在方案編制過(guò)程中，圍繞著《信息安全等級(jí)保護(hù)管理辦法》（公通字[2007]43號(hào)），對(duì)《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（GB/T22239-2008）、《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》（送審稿）、《信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》等等級(jí)保護(hù)標(biāo)準(zhǔn)進(jìn)行了深入分析，在技術(shù)體系中，將等級(jí)保護(hù)標(biāo)準(zhǔn)的要求轉(zhuǎn)化為好理解的、具體的、方便實(shí)施的項(xiàng)目，使等級(jí)保護(hù)工作在XXX企業(yè)內(nèi)外網(wǎng)各個(gè)業(yè)務(wù)系統(tǒng)中進(jìn)行推進(jìn)和落地成為現(xiàn)實(shí)。方案遵從國(guó)標(biāo)《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（GB/T22239-2008）。使得整個(gè)網(wǎng)絡(luò)安全建設(shè)方案設(shè)計(jì)即體現(xiàn)了指標(biāo)覆蓋的全面性，又考慮了最新成果的體現(xiàn)。分階段實(shí)施根據(jù)目前XXX企業(yè)網(wǎng)絡(luò)安全建設(shè)的情況，符合三級(jí)等級(jí)保護(hù)要求的方案建設(shè)不可能一蹴而就，必須在XXX企業(yè)相關(guān)領(lǐng)導(dǎo)統(tǒng)一指揮下，統(tǒng)籌協(xié)調(diào)、分階段、分步驟實(shí)施，只有階段適當(dāng)、步驟清晰，才能推動(dòng)XXX企業(yè)網(wǎng)絡(luò)安全建設(shè)方案有序、有效地實(shí)施。參考標(biāo)準(zhǔn)在本次方案設(shè)計(jì)中，參考的主要標(biāo)準(zhǔn)如下：《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》（GB17859-1999）《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（GB/T22239-2008）《信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南》（GB/T22240-2008）《信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》《信息安全等級(jí)保護(hù)實(shí)施指南》（報(bào)批稿）《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》（送審稿）方案設(shè)計(jì)總體安全規(guī)劃本方案的設(shè)計(jì)目標(biāo)是：落實(shí)GB17859-1999、《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（GB/T22239-2008）對(duì)第三級(jí)系統(tǒng)的安全保護(hù)要求，(1)實(shí)現(xiàn)系統(tǒng)的自主訪(fǎng)問(wèn)控制，使系統(tǒng)用戶(hù)對(duì)其所屬客體具有自我保護(hù)的能力；(2)增加系統(tǒng)安全審計(jì)、客體重用等安全功能，并實(shí)施以用戶(hù)為基本粒度的自主訪(fǎng)問(wèn)控制，使系統(tǒng)具有更強(qiáng)的自主安全保護(hù)能力；(3)通過(guò)實(shí)現(xiàn)基于安全策略模型和標(biāo)記的強(qiáng)制訪(fǎng)問(wèn)控制以及增強(qiáng)系統(tǒng)的審計(jì)機(jī)制，使系統(tǒng)具有在統(tǒng)一安全策略管控下，保護(hù)敏感資源的能力?？傮w網(wǎng)絡(luò)安全規(guī)劃拓?fù)淙缦拢海裕┌踩O(shè)備部署說(shuō)明抗DDOS系統(tǒng)在XXX企業(yè)互聯(lián)網(wǎng)接入交換機(jī)H3C5100前，部署抗DDOS系統(tǒng)；通過(guò)部署該系統(tǒng)，可以解決由DDOS攻擊引起的以下問(wèn)題：網(wǎng)絡(luò)鏈路堵塞，導(dǎo)致互聯(lián)網(wǎng)服務(wù)器無(wú)法正常提供服務(wù)；業(yè)務(wù)服務(wù)器癱瘓或響應(yīng)速度急劇下降；網(wǎng)絡(luò)基礎(chǔ)設(shè)施（路由交換及防火墻設(shè)備）性能急劇下降，導(dǎo)致用戶(hù)上網(wǎng)受影響；防火墻（安全網(wǎng)關(guān)）在XXX企業(yè)辦公區(qū)域匯聚交換機(jī)CISCO3750與核心交換機(jī)CISCO7606之間串聯(lián)部署防火墻（FW），通過(guò)部署防火墻，可以解決以下問(wèn)題：1、對(duì)進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流進(jìn)行控制，阻止惡意數(shù)據(jù)包進(jìn)入網(wǎng)絡(luò)；2、對(duì)訪(fǎng)問(wèn)行為審計(jì)，提供管理人員進(jìn)行分析的數(shù)據(jù)或依據(jù)；3、對(duì)未授權(quán)的惡意訪(fǎng)問(wèn)進(jìn)行控制；4、對(duì)外封掉某些不安全的服務(wù)，避免不安全的服務(wù)被黑客利用。入侵防護(hù)系統(tǒng)（IPS）在XXX企業(yè)ALLOT流控設(shè)備與核心交換機(jī)CISCO7606之間串聯(lián)部署入侵防護(hù)系統(tǒng)（IPS），在服務(wù)器區(qū)匯聚交換機(jī)CISCO3750與核心交換機(jī)7606之間部署入侵防護(hù)系統(tǒng)（IPS），通過(guò)部署入侵防護(hù)系統(tǒng)，可以解決以下問(wèn)題：能夠及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中發(fā)生的攻擊及異常行為，使管理人員能夠了解網(wǎng)絡(luò)中正在發(fā)生的問(wèn)題；對(duì)發(fā)現(xiàn)的攻擊向管理人員以多種形式報(bào)警，以便及時(shí)采取措施，終止攻擊行為；發(fā)現(xiàn)攻擊以后根據(jù)配置的策略阻斷攻擊；提供一段時(shí)間內(nèi)網(wǎng)絡(luò)攻擊狀況的統(tǒng)計(jì)分析報(bào)告。為管理人員的決策提供依據(jù)；能夠發(fā)現(xiàn)蠕蟲(chóng)的活動(dòng)和來(lái)源、監(jiān)控內(nèi)部的異常攻擊行為。安全審計(jì)系統(tǒng)（SAS）旁路部署在核心交換機(jī)CISCO7606上，審計(jì)互聯(lián)網(wǎng)、辦公區(qū)網(wǎng)絡(luò)、服務(wù)器區(qū)的安全事件，通過(guò)部署安全審計(jì)系統(tǒng)，可以解決以下問(wèn)題：內(nèi)部系統(tǒng)維護(hù)人員對(duì)業(yè)務(wù)應(yīng)用系統(tǒng)的越權(quán)訪(fǎng)問(wèn)、違規(guī)操作，損害業(yè)務(wù)系統(tǒng)的運(yùn)行安全；企業(yè)重要業(yè)務(wù)數(shù)據(jù)庫(kù)，被員工或系統(tǒng)維護(hù)人員篡改牟利、外泄，給企業(yè)造成巨大的經(jīng)濟(jì)損失；員工隨意通過(guò)網(wǎng)絡(luò)共享文件夾、文件上傳下載、EMAIL等方式，發(fā)送重要敏感信息、業(yè)務(wù)數(shù)據(jù)，導(dǎo)致信息外泄事件發(fā)生；員工在論壇發(fā)表敏感信息、傳播非法言論，造成惡劣社會(huì)影響；等級(jí)保護(hù)要求。公安部國(guó)家電子政務(wù)等級(jí)保護(hù)、國(guó)家保密局BMB17-2006號(hào)文件中要求政府、涉密單位必須對(duì)與涉密敏感信息、業(yè)務(wù)系統(tǒng)相關(guān)的網(wǎng)絡(luò)行為進(jìn)行安全審計(jì)。漏洞掃描系統(tǒng)（RSAS）在XXX企業(yè)核心交換機(jī)CISCO7606旁路部署漏洞掃描系統(tǒng)，在通過(guò)部署漏洞掃描系統(tǒng)，可以解決以下問(wèn)題：能夠?qū)W(wǎng)絡(luò)中所有的設(shè)備和主機(jī)的安全狀況進(jìn)行評(píng)估，給出當(dāng)前網(wǎng)絡(luò)的存在的安全漏洞；對(duì)網(wǎng)絡(luò)安全狀況進(jìn)行綜合分析，找出網(wǎng)絡(luò)的薄弱點(diǎn)，為決策提供參考，做到安全建設(shè)有的放矢；對(duì)發(fā)現(xiàn)的安全問(wèn)題給出詳細(xì)描述和解決辦法。幫助管理員及時(shí)地處理發(fā)現(xiàn)的問(wèn)題；通過(guò)升級(jí)最新的掃描插件，可以發(fā)現(xiàn)最新的安全漏洞，幫助預(yù)防以蠕蟲(chóng)為代表的攻擊破壞行為；制定周期評(píng)估計(jì)劃，獲得網(wǎng)絡(luò)安全狀況的變化趨勢(shì)，整個(gè)過(guò)程自動(dòng)進(jìn)行，減輕了管理人員的工作負(fù)擔(dān)，并大大提高工作效率。入侵檢測(cè)系統(tǒng)（IDS）把服務(wù)器區(qū)匯聚交換機(jī)CISCO3750與辦公區(qū)匯聚交換機(jī)CISCO3750處的出口流量鏡像到入侵檢測(cè)系統(tǒng)，通過(guò)入侵檢測(cè)系統(tǒng)（IDS），可以解決以下問(wèn)題：通過(guò)部署入侵檢測(cè)，可以解決以下問(wèn)題：能夠及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中發(fā)生的攻擊及異常行為，使管理人員能夠了解網(wǎng)絡(luò)中正在發(fā)生的問(wèn)題；對(duì)發(fā)現(xiàn)的攻擊向管理人員以多種形式報(bào)警；提供一段時(shí)間內(nèi)網(wǎng)絡(luò)攻擊狀況的統(tǒng)計(jì)分析報(bào)告。為管理人員的決策提供依據(jù)；能夠發(fā)現(xiàn)蠕蟲(chóng)的活動(dòng)和來(lái)源、監(jiān)控內(nèi)部的異常攻擊行為。堡壘機(jī)系統(tǒng)在XXX企業(yè)核心交換機(jī)CISCO7606旁路部署堡壘機(jī)，可以解決以下問(wèn)題：賬號(hào)管理無(wú)序，暗藏巨大風(fēng)險(xiǎn)，包括多個(gè)用戶(hù)混用同一個(gè)賬號(hào)或一個(gè)用戶(hù)使用多個(gè)賬號(hào)；管理人員的權(quán)限授權(quán)粒度粗，無(wú)法基于最小權(quán)限分配原則管理用戶(hù)權(quán)限，難以與業(yè)務(wù)管理要求相協(xié)調(diào)；因此，出現(xiàn)運(yùn)維人員權(quán)限過(guò)大、內(nèi)部操作權(quán)限濫用等諸多問(wèn)題，如果不及時(shí)解決，信息系統(tǒng)的安全性難以充分保證；設(shè)備自身日志粒度粗，難以有效定位安全事件，由于各設(shè)備系統(tǒng)自身審計(jì)日志分散、內(nèi)容深淺不一，且無(wú)法根據(jù)業(yè)務(wù)要求制定統(tǒng)一審計(jì)策略；因此，難以通過(guò)系統(tǒng)自身審計(jì)及時(shí)發(fā)現(xiàn)違規(guī)操作行為和追查取證；第三方代維人員帶來(lái)安全隱患，企業(yè)選擇將非核心業(yè)務(wù)外包給設(shè)備商或代維公司，需要通過(guò)嚴(yán)格的權(quán)限控制和操作行為審計(jì)，加強(qiáng)對(duì)代維人員的行為管理，從而達(dá)到消隱患、避風(fēng)險(xiǎn)的目的；合規(guī)的要求，為加強(qiáng)信息系統(tǒng)風(fēng)險(xiǎn)管理，政府、金融、運(yùn)營(yíng)商等陸續(xù)發(fā)布信息系統(tǒng)管理規(guī)范和要求，如“信息系統(tǒng)等級(jí)保護(hù)”、“商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引”、“企業(yè)內(nèi)部控制基本規(guī)范”等均要求采取信息系統(tǒng)風(fēng)險(xiǎn)內(nèi)控與審計(jì)。安全配置核查系統(tǒng)在XXX企業(yè)核心交換機(jī)CISCO7606旁路部署安全配置核查系統(tǒng)，可以解決以下問(wèn)題：采用統(tǒng)一的安全配置標(biāo)準(zhǔn)來(lái)規(guī)范技術(shù)人員在各類(lèi)系統(tǒng)上的日常操作，讓運(yùn)維人員有了檢查默認(rèn)風(fēng)險(xiǎn)的標(biāo)桿；安全配置檢查及問(wèn)題修復(fù)都需人工進(jìn)行，對(duì)檢查人員的技能和經(jīng)驗(yàn)要求較高；做一次普及性的細(xì)致檢查耗費(fèi)時(shí)間較長(zhǎng)，而如果改成抽查則檢查的全面性就很差；自查和檢查都需要登錄系統(tǒng)進(jìn)行，對(duì)象越多工作越繁瑣，工作效率也不高；每項(xiàng)檢查都要人工記錄，稍有疏漏就需要重新補(bǔ)測(cè)。網(wǎng)絡(luò)版殺毒在XXX企業(yè)內(nèi)部系統(tǒng)部署網(wǎng)絡(luò)版殺毒系統(tǒng)，定期對(duì)內(nèi)網(wǎng)或業(yè)務(wù)服務(wù)區(qū)進(jìn)行病毒的查殺。補(bǔ)丁分發(fā)服務(wù)器在XXX企業(yè)內(nèi)部系統(tǒng)部署補(bǔ)丁分發(fā)服務(wù)器（WSUS），定期對(duì)內(nèi)網(wǎng)或業(yè)務(wù)服務(wù)區(qū)進(jìn)行補(bǔ)丁的分發(fā)。網(wǎng)管系統(tǒng)部署網(wǎng)管軟件針對(duì)網(wǎng)絡(luò)資產(chǎn)進(jìn)行集中日志收集及運(yùn)行狀態(tài)監(jiān)控，自動(dòng)、準(zhǔn)確、及時(shí)地發(fā)現(xiàn)各類(lèi)異構(gòu)復(fù)雜網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)；可持續(xù)地監(jiān)視、報(bào)告網(wǎng)絡(luò)的運(yùn)行情況；提供網(wǎng)絡(luò)運(yùn)行狀態(tài)和性能的多角度分析與統(tǒng)計(jì)；攔截非法接入，保障網(wǎng)絡(luò)系統(tǒng)安全；監(jiān)控異常流量及ARP欺騙等病毒。等級(jí)保護(hù)管理體系建設(shè)除了采用信息安全技術(shù)措施控制信息安全威脅外，安全管理措施也是XXX企業(yè)網(wǎng)絡(luò)安全建設(shè)中必不可少的內(nèi)容，所謂“三分技術(shù)，七分管理”就是這個(gè)道理。安全技術(shù)措施和安全管理措施可以相互補(bǔ)充，共同構(gòu)建全面、有效的信息安全保障體系?！缎畔⑾到y(tǒng)安全等級(jí)保護(hù)基本要求》指出，安全管理體系主要從如下內(nèi)容考慮：安全管理機(jī)構(gòu)安全管理制度人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理安全管理機(jī)構(gòu)《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》在崗位設(shè)置、人員配備、授權(quán)和審批、溝通和合作、審核和檢查等方面對(duì)安全管理機(jī)構(gòu)提出了具體的要求。XXX企業(yè)應(yīng)該建立專(zhuān)門(mén)的安全職能部門(mén)，配備專(zhuān)門(mén)的安全管理人員，負(fù)責(zé)內(nèi)、外網(wǎng)各種應(yīng)用系統(tǒng)的信息安全管理工作，同時(shí)對(duì)安全管理人員的活動(dòng)進(jìn)行指導(dǎo)。安全管理制度《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》在管理制度、制定和發(fā)布、評(píng)審和修訂等三個(gè)方面對(duì)安全管理制度提出了要求。XXX企業(yè)應(yīng)根據(jù)內(nèi)外網(wǎng)絡(luò)的實(shí)際情況，在信息安全領(lǐng)導(dǎo)小組的負(fù)責(zé)下，組織相關(guān)人員制定和發(fā)布信息安全工作的總體方針、政策，說(shuō)明信息安全工作的總體目標(biāo)、范圍、方針、原則和責(zé)任。并定期進(jìn)行評(píng)審和修訂。人員安全管理人員安全管理要求在人員的錄用、離崗、考核、培訓(xùn)以及第三方人員管理上，都要考慮安全因素。人員入職管理從信息安全角度對(duì)在人員錄用過(guò)程中各流程提出安全需求。人員在職管理從員工信息安全守則、系統(tǒng)用戶(hù)信息安全考核、教育培訓(xùn)三個(gè)方面提高在職人員的信息安全意識(shí)。人員離職管理分析員工在離職過(guò)程中存在的信息安全風(fēng)險(xiǎn)。第三方人員安全管理對(duì)第三方人員進(jìn)行定義，闡述第三方人員管理中存在的信息安全風(fēng)險(xiǎn)，并需要采取的管理方法。系統(tǒng)運(yùn)維管理《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》在環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備管理、監(jiān)控管理、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、變更管理、備份與恢復(fù)管理、安全事件處置、應(yīng)急預(yù)案管理等13個(gè)方面對(duì)系統(tǒng)運(yùn)維管理進(jìn)行了詳細(xì)的要求，是等級(jí)保護(hù)管理體系建設(shè)最為重要的部分。系統(tǒng)運(yùn)維管理方面，本方案建議通過(guò)內(nèi)部管理人員維護(hù)和采用專(zhuān)業(yè)安全廠(chǎng)商的安全服務(wù)相結(jié)合的方式來(lái)實(shí)現(xiàn)。在一定程度上說(shuō)，安全服務(wù)是一種專(zhuān)業(yè)經(jīng)驗(yàn)服務(wù)。安全服務(wù)提供商長(zhǎng)期的服務(wù)經(jīng)驗(yàn)積累、對(duì)行業(yè)的深刻理解、處理安全問(wèn)題（事件）的最佳做法、科學(xué)的安全思維方式、正確的安全思維方法都是為用戶(hù)提供完善安全解決方案的動(dòng)力來(lái)源?？紤]到XXX企業(yè)目前的實(shí)際，建議主要考慮漏洞掃描、安全檢查、安全加固、應(yīng)急響應(yīng)、安全通告、風(fēng)險(xiǎn)評(píng)估服務(wù)和安全培訓(xùn)服務(wù)。漏洞掃描服務(wù)安全掃描主要是通過(guò)評(píng)估工具以本地掃描的方式對(duì)評(píng)估范圍內(nèi)的系統(tǒng)和網(wǎng)絡(luò)進(jìn)行安全掃描，查找網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備、服務(wù)器主機(jī)、數(shù)據(jù)和用戶(hù)賬號(hào)/口令等安全對(duì)象目標(biāo)存在的安全風(fēng)險(xiǎn)、漏洞和威脅。安全掃描項(xiàng)目包括如下內(nèi)容：安全掃描項(xiàng)目信息探測(cè)類(lèi)文件服務(wù)后門(mén)程序網(wǎng)絡(luò)設(shè)備與防火墻域名服務(wù)其他服務(wù)RPC服務(wù)Mail服務(wù)拒絕服務(wù)(DOS)Web服務(wù)Windows遠(yuǎn)程訪(fǎng)問(wèn)其他問(wèn)題CGI問(wèn)題數(shù)據(jù)庫(kù)問(wèn)題通過(guò)定期安全掃描，可以驗(yàn)證各類(lèi)操作系統(tǒng)的安全補(bǔ)丁情況，方便及時(shí)地提示對(duì)操作系統(tǒng)的安全補(bǔ)丁進(jìn)行更新，發(fā)現(xiàn)已有的補(bǔ)丁自動(dòng)升級(jí)系統(tǒng)沒(méi)有進(jìn)行升級(jí)的系統(tǒng)補(bǔ)丁，全面加強(qiáng)系統(tǒng)的補(bǔ)丁管理。為了確保掃描的可靠性和安全性，專(zhuān)業(yè)安全廠(chǎng)商應(yīng)根據(jù)XXX企業(yè)內(nèi)外網(wǎng)評(píng)估業(yè)務(wù)情況，與XXX企業(yè)相關(guān)人員一起確定掃描計(jì)劃。計(jì)劃主要包括掃描開(kāi)始時(shí)間、掃描對(duì)象、預(yù)計(jì)結(jié)束時(shí)間、掃描項(xiàng)目、預(yù)期影響、需要對(duì)方提供的支持等等。安全掃描是利用安全評(píng)估工具對(duì)絕大多數(shù)評(píng)估范圍內(nèi)的主機(jī)、網(wǎng)絡(luò)設(shè)備等系統(tǒng)環(huán)境進(jìn)行的漏洞掃描。但是，評(píng)估范圍內(nèi)的網(wǎng)絡(luò)設(shè)備安全策略的弱點(diǎn)和部分主機(jī)的安全配置錯(cuò)誤等并不能被掃描器全面發(fā)現(xiàn)，因此有必要對(duì)評(píng)估工具掃描范圍之外的系統(tǒng)和設(shè)備進(jìn)行人工安全檢查。主機(jī)安全檢查服務(wù)是登錄到主機(jī)上進(jìn)行安全檢查分析，并提出安全檢查報(bào)告。安全加固服務(wù)網(wǎng)絡(luò)安全是動(dòng)態(tài)的，需要時(shí)刻關(guān)注最新漏洞和安全動(dòng)態(tài)，制定更新的安全策略以應(yīng)付外來(lái)入侵和蠕蟲(chóng)病毒等威脅。針對(duì)XXX企業(yè)各臺(tái)服務(wù)器的漏洞和脆弱性，定期的進(jìn)行安全加固，可以使系統(tǒng)有效的抵御外來(lái)的入侵和蠕蟲(chóng)病毒的襲擊，使系統(tǒng)可以長(zhǎng)期保持在高度可信的狀態(tài)。安全加固是針對(duì)進(jìn)行評(píng)估后的主機(jī)的漏洞和脆弱性采取的一種有效的安全手段，可以幫助系統(tǒng)抵御外來(lái)的入侵和蠕蟲(chóng)病毒的襲擊，使系統(tǒng)可以長(zhǎng)期保持在高度可信的狀態(tài)。通常對(duì)系統(tǒng)和應(yīng)用服務(wù)的安全加固包括如下方面：安裝最新補(bǔ)丁帳號(hào)、口令策略調(diào)整網(wǎng)絡(luò)與服務(wù)加固文件系統(tǒng)權(quán)限增強(qiáng)日志審核功能增強(qiáng)安全性增強(qiáng)常規(guī)加固工作流程如下：安全加固流程應(yīng)急響應(yīng)服務(wù)目前XXX企業(yè)自身尚沒(méi)有足夠的資源和能力對(duì)安全事故作出反應(yīng)。網(wǎng)絡(luò)安全的發(fā)展日新月異，無(wú)法實(shí)現(xiàn)一勞永逸的安全，所以當(dāng)緊急安全問(wèn)題發(fā)生，一般技術(shù)人員又無(wú)法迅速解決的時(shí)候，及時(shí)發(fā)現(xiàn)問(wèn)題、解決問(wèn)題就必須依靠專(zhuān)業(yè)的應(yīng)急響應(yīng)服務(wù)來(lái)實(shí)現(xiàn)。在第一時(shí)間內(nèi)對(duì)客戶(hù)信息系統(tǒng)面臨的緊急安全事件進(jìn)行應(yīng)急響應(yīng)。緊急安全事故包括：大規(guī)模病毒爆發(fā)、網(wǎng)絡(luò)入侵事件、拒絕服務(wù)攻擊、主機(jī)或網(wǎng)絡(luò)異常事件等。服務(wù)內(nèi)容：接到客戶(hù)應(yīng)急響應(yīng)請(qǐng)求時(shí)迅速啟動(dòng)響應(yīng)預(yù)案；接到客戶(hù)遠(yuǎn)程應(yīng)急響應(yīng)請(qǐng)求發(fā)出30分鐘內(nèi)指派工程師進(jìn)行處理，無(wú)論能否解決問(wèn)題每天都會(huì)返回處理情況簡(jiǎn)報(bào)，直到此次響應(yīng)服務(wù)結(jié)束；在遠(yuǎn)程應(yīng)急響應(yīng)2小時(shí)后還不能解決問(wèn)題，則立即執(zhí)行本地應(yīng)急響應(yīng)流程，在本地應(yīng)急響應(yīng)請(qǐng)求發(fā)出后，工程師應(yīng)在2小時(shí)內(nèi)到達(dá)事故現(xiàn)場(chǎng)，協(xié)助現(xiàn)場(chǎng)人員進(jìn)行問(wèn)題處理；響應(yīng)服務(wù)完成后，安全廠(chǎng)商的服務(wù)人員應(yīng)整理詳細(xì)的事故處理報(bào)告，內(nèi)容包括事故原因分析、已造成的影響、處理辦法、處理結(jié)果、預(yù)防和改進(jìn)建議等提交給客戶(hù)相關(guān)人員；遠(yuǎn)程應(yīng)急響應(yīng)和本地應(yīng)急響應(yīng)提供7×24響應(yīng)。安全預(yù)警通告服務(wù)安全問(wèn)題目前正以每周新增幾十甚至幾百例的速度在全世界得到反饋，同時(shí)涉及信息技術(shù)的眾多領(lǐng)域，用戶(hù)所掌握的安全知識(shí)的更新速度所受到的壓力非常大。安全預(yù)警提供最新的安全動(dòng)態(tài)、技術(shù)和定制的安全信息，包括實(shí)時(shí)安全漏洞通知、定期安全通告匯總、臨時(shí)安全解決方案和安全知識(shí)庫(kù)更新等。風(fēng)險(xiǎn)評(píng)估服務(wù)風(fēng)險(xiǎn)評(píng)估對(duì)現(xiàn)有網(wǎng)絡(luò)中的網(wǎng)絡(luò)架構(gòu)、網(wǎng)絡(luò)協(xié)議、系統(tǒng)、數(shù)據(jù)庫(kù)等資產(chǎn)安全現(xiàn)狀進(jìn)行了解，確定在系統(tǒng)的具體環(huán)境下到底存在什么安全漏洞和安全隱患，一旦這些脆弱性被黑客利用會(huì)造成什么樣的資產(chǎn)風(fēng)險(xiǎn)和影響。在此基礎(chǔ)上，具體實(shí)施的過(guò)程中再對(duì)實(shí)施流程進(jìn)行規(guī)劃：即針對(duì)XXX企業(yè)的具體情況制定適合于自身的安全目標(biāo)和安全級(jí)別，然后根據(jù)所要達(dá)到的安全目標(biāo)和安全級(jí)別，在充分考慮安全性的基礎(chǔ)之上選擇和實(shí)施相應(yīng)的安全建設(shè)方案。建議在部署基本的安全系統(tǒng)并運(yùn)營(yíng)一段時(shí)間后，定期通過(guò)完善的風(fēng)險(xiǎn)評(píng)估服務(wù)檢查整個(gè)系統(tǒng)面臨的危險(xiǎn)并根據(jù)評(píng)估結(jié)果對(duì)網(wǎng)絡(luò)加以調(diào)整和優(yōu)化。安全培訓(xùn)服務(wù)根據(jù)信息安全技術(shù)的發(fā)展和不同層面的信息安全人才需求，本方案建議為XXX企業(yè)相關(guān)人員提供如下三類(lèi)的信息安全培訓(xùn)課程：信息安全意識(shí)培訓(xùn)：面向非技術(shù)類(lèi)用戶(hù)。目的是通過(guò)大量的當(dāng)前典型安全事件導(dǎo)入，從感性認(rèn)知層面對(duì)目前的信息安全威脅給予直觀(guān)、形象的描述，使用戶(hù)能對(duì)當(dāng)前的信息安全威脅有一個(gè)深刻的認(rèn)識(shí)。同時(shí)通過(guò)案例介紹的方式對(duì)用戶(hù)日常工作、生活中經(jīng)常用到的一些客戶(hù)端應(yīng)用工具、系統(tǒng)的安全威脅進(jìn)行分析，并闡明具體的防范措施，最終協(xié)助建立起適合個(gè)人、企業(yè)的用戶(hù)行為基準(zhǔn)。信息安全技術(shù)培訓(xùn)：面向信息安全技術(shù)類(lèi)用戶(hù)，例如系統(tǒng)管理員、安全技術(shù)員等。目的是通過(guò)培訓(xùn)讓其在系統(tǒng)及應(yīng)用層面上了解常見(jiàn)通用操作系統(tǒng)架構(gòu)以及其安全性，掌握相關(guān)系統(tǒng)的安全配置和管理能力；在網(wǎng)絡(luò)層面上了解常見(jiàn)的網(wǎng)絡(luò)安全協(xié)議掌握網(wǎng)絡(luò)安全協(xié)議以及路由交換常見(jiàn)安全配置；同時(shí)通過(guò)實(shí)驗(yàn)了解常見(jiàn)的網(wǎng)絡(luò)攻擊技術(shù)原理，掌握常見(jiàn)的攻擊防護(hù)方法。信息安全產(chǎn)品培訓(xùn)：通過(guò)詳細(xì)介紹系列安全產(chǎn)品的工作原理、安裝部署和調(diào)參排錯(cuò)方法，同時(shí)結(jié)合一些產(chǎn)品實(shí)驗(yàn)加強(qiáng)對(duì)產(chǎn)品的了解，使相關(guān)人員能靈活利用這些安全產(chǎn)品解決組織的實(shí)際安全問(wèn)題。項(xiàng)目組織機(jī)構(gòu)和人員培訓(xùn)項(xiàng)目實(shí)施機(jī)構(gòu)為了有效的控制項(xiàng)目的進(jìn)度和保證項(xiàng)目的質(zhì)量，本次項(xiàng)目采用如下的項(xiàng)目結(jié)構(gòu)：綠盟科技項(xiàng)目組結(jié)構(gòu)圖項(xiàng)目總體管理委員會(huì)對(duì)項(xiàng)目進(jìn)度、工程質(zhì)量進(jìn)行宏觀(guān)指導(dǎo)；項(xiàng)目過(guò)程中重要階段評(píng)審；對(duì)項(xiàng)目出現(xiàn)的重大問(wèn)題進(jìn)行協(xié)調(diào)和指導(dǎo)。項(xiàng)目管理組（項(xiàng)目經(jīng)理，技術(shù)負(fù)責(zé)人）控制項(xiàng)目的總體實(shí)施進(jìn)度；負(fù)責(zé)項(xiàng)目組之間的協(xié)調(diào)和溝通；定期召開(kāi)審查會(huì)議，及時(shí)解決關(guān)鍵問(wèn)題；定期向項(xiàng)目總體管理委員會(huì)、總集成商、監(jiān)理報(bào)告項(xiàng)目的實(shí)施進(jìn)度。網(wǎng)絡(luò)主機(jī)組負(fù)責(zé)主機(jī)（客戶(hù)端、服務(wù)器）調(diào)研、記錄工作；負(fù)責(zé)主機(jī)評(píng)估工作；負(fù)責(zé)網(wǎng)絡(luò)設(shè)備調(diào)研、記錄和評(píng)估工作；負(fù)責(zé)配合其他小組，提供相應(yīng)的調(diào)研評(píng)估報(bào)告。應(yīng)用系統(tǒng)組負(fù)責(zé)應(yīng)用系統(tǒng)調(diào)研工作；負(fù)責(zé)應(yīng)用系統(tǒng)安全評(píng)估工作；負(fù)責(zé)應(yīng)用系統(tǒng)開(kāi)發(fā)安全規(guī)范和部署安全規(guī)范撰寫(xiě)工作；負(fù)責(zé)安全設(shè)備配置規(guī)則和安全設(shè)備運(yùn)行維護(hù)制度撰寫(xiě)工作；根據(jù)網(wǎng)絡(luò)主機(jī)組提供的報(bào)告，撰寫(xiě)信息安全體系現(xiàn)狀及需求分報(bào)告；負(fù)責(zé)配合其他小組，提供相應(yīng)的調(diào)研評(píng)估報(bào)告。管理分析組負(fù)責(zé)信息安全管理制度調(diào)研及訪(fǎng)談工作；負(fù)責(zé)信息安全體系管理制度現(xiàn)狀分析報(bào)告；負(fù)責(zé)信息安全保障總體規(guī)劃撰寫(xiě)；負(fù)責(zé)安全管理組織結(jié)構(gòu)規(guī)劃的撰寫(xiě)；負(fù)責(zé)項(xiàng)目的安全管理規(guī)范、項(xiàng)目等級(jí)保護(hù)管理內(nèi)容的實(shí)施；負(fù)責(zé)安全管理制度的撰寫(xiě)；產(chǎn)品實(shí)施組協(xié)調(diào)本項(xiàng)目產(chǎn)品及服務(wù)集成商，按時(shí)保質(zhì)完成產(chǎn)品實(shí)施工作；協(xié)調(diào)本項(xiàng)目產(chǎn)品及服務(wù)集成商，在工程現(xiàn)場(chǎng)向工程相關(guān)人員提供必要的現(xiàn)場(chǎng)技術(shù)培訓(xùn)；將工程中出現(xiàn)的問(wèn)題及時(shí)反映項(xiàng)目經(jīng)理；詳細(xì)記錄實(shí)施內(nèi)容，形成必要的工程文檔。工程培訓(xùn)組負(fù)責(zé)培訓(xùn)計(jì)劃的細(xì)化和落實(shí)；負(fù)責(zé)培訓(xùn)大綱的編寫(xiě)，提供中文培訓(xùn)教材；提供日常運(yùn)維培訓(xùn)、認(rèn)證培訓(xùn)和高級(jí)安全培訓(xùn)，根據(jù)實(shí)際情況，提供有效的培訓(xùn)內(nèi)容。安全服務(wù)組項(xiàng)目執(zhí)行期間，現(xiàn)場(chǎng)技術(shù)支持，解決用戶(hù)常見(jiàn)安全問(wèn)題；負(fù)責(zé)信息系統(tǒng)上線(xiàn)時(shí)的安全評(píng)估；負(fù)責(zé)整個(gè)工程一期信息系統(tǒng)驗(yàn)收前的全面安全評(píng)估；負(fù)責(zé)信息安全等級(jí)保護(hù)咨詢(xún)工作；負(fù)責(zé)安全加固工作；負(fù)責(zé)應(yīng)急響應(yīng)工作；由技術(shù)負(fù)責(zé)人負(fù)責(zé)，組成臨時(shí)質(zhì)量檢查小組，對(duì)其他小組的進(jìn)度、工作質(zhì)量進(jìn)行檢查和整改；負(fù)責(zé)項(xiàng)目驗(yàn)收后的售后服務(wù)工作。運(yùn)行維護(hù)機(jī)構(gòu)為了保障項(xiàng)目的長(zhǎng)期延續(xù)，綠盟科技公司的運(yùn)行維護(hù)服務(wù)自公司組建之初就已經(jīng)規(guī)劃并搭建完善，并由客戶(hù)中心具體實(shí)施完成。綠盟科技運(yùn)行維護(hù)服務(wù)體系如下圖所示：綠盟科技運(yùn)行維護(hù)服務(wù)體系1、運(yùn)行維護(hù)服務(wù)支持機(jī)構(gòu)綠盟科技運(yùn)行維護(hù)服務(wù)組織體系在總部客戶(hù)支持中心設(shè)立客戶(hù)服務(wù)臺(tái)，北京、廣州、上海、沈陽(yáng)、成都、西安、武漢七個(gè)分公司作為二級(jí)技術(shù)支持平臺(tái)，同時(shí)在全國(guó)范圍內(nèi)的20余家辦事處建立三級(jí)技術(shù)支持，完全能夠滿(mǎn)足項(xiàng)目的服務(wù)支持?？蛻?hù)支持中心會(huì)根據(jù)具體項(xiàng)目情況組建特定的項(xiàng)目運(yùn)行維護(hù)服務(wù)團(tuán)隊(duì)和專(zhuān)業(yè)服務(wù)團(tuán)隊(duì)。通過(guò)各服務(wù)團(tuán)隊(duì)為用戶(hù)提供運(yùn)行維護(hù)服務(wù)，為項(xiàng)目提供不間斷的技術(shù)支持。人員培訓(xùn)方案（1）培訓(xùn)目的針對(duì)XXX企業(yè)相關(guān)人員的培訓(xùn)包括兩大目的：安全意識(shí)培訓(xùn)—使從業(yè)人員了解安全的意義，能夠自覺(jué)守法、安全可靠的工作。為了確保用戶(hù)意識(shí)到信息安全的威脅和利害關(guān)系，并具有在日常工作過(guò)程中支持組織安全方針的能力，應(yīng)對(duì)用戶(hù)進(jìn)行安全程序和正確使用信息處理設(shè)備的培訓(xùn)，以盡量降低可能的安全風(fēng)險(xiǎn)。安全知識(shí)培訓(xùn)—使從業(yè)人員了解、掌握有關(guān)安全理念、安全保障體系、安全功能、安全保證、安全操作、安全關(guān)聯(lián)，為成為合格和稱(chēng)職的安全工作人員奠定基礎(chǔ)。（2）培訓(xùn)內(nèi)容培訓(xùn)對(duì)象主要包括機(jī)關(guān)各級(jí)領(lǐng)導(dǎo)、機(jī)關(guān)公務(wù)員、機(jī)關(guān)電子政務(wù)專(zhuān)業(yè)技能部門(mén)主管和技術(shù)人員。培訓(xùn)內(nèi)容主要集中于電子政務(wù)部分和信息技術(shù)基礎(chǔ)部分。針對(duì)培訓(xùn)對(duì)象的不同，可以采取分層次、多元化的培訓(xùn)手段，開(kāi)展不同內(nèi)容的培訓(xùn)。對(duì)軟件的使用人員進(jìn)行系統(tǒng)應(yīng)用功能的培訓(xùn)，使他們能熟練的掌握管理信息系統(tǒng)的應(yīng)用，達(dá)到管理的需要。使系統(tǒng)維護(hù)員了解并掌握管理信息系統(tǒng)應(yīng)用功能和基本原理，熟練使用維護(hù)工具完成系統(tǒng)的維護(hù)，解決一般系統(tǒng)故障。全面掌握管理信息系統(tǒng)管理，主要包括系統(tǒng)集成、軟件版本管理、系統(tǒng)安全管理、系統(tǒng)設(shè)置等。培訓(xùn)方式采用集中培訓(xùn)、現(xiàn)場(chǎng)培訓(xùn)、網(wǎng)上培訓(xùn)、視頻會(huì)議、熱線(xiàn)支持和發(fā)放宣傳材料等相結(jié)合的方式。（3）培訓(xùn)對(duì)象本培訓(xùn)計(jì)劃主要針對(duì)如下人員：安全決策者—安全政策制定者、業(yè)務(wù)領(lǐng)導(dǎo)。安全管理者—管理人員、網(wǎng)絡(luò)管理員、系統(tǒng)管理員、應(yīng)用管理員。主要技術(shù)和業(yè)務(wù)主管。安全審計(jì)者—審計(jì)員、安全員。安全操作者—業(yè)務(wù)操作人員、業(yè)務(wù)維護(hù)人員。（4）培訓(xùn)機(jī)制安全培訓(xùn)計(jì)劃的制定是對(duì)XXX企業(yè)安全體系設(shè)計(jì)的進(jìn)一步貫徹和執(zhí)行，根據(jù)XXX企業(yè)涉及的有關(guān)人員的不同需求，定制化的進(jìn)行安全知識(shí)培訓(xùn)。XXX企業(yè)結(jié)合自身機(jī)關(guān)辦公人員隊(duì)伍實(shí)際情況，制定本單位的培訓(xùn)計(jì)劃，并設(shè)專(zhuān)人負(fù)責(zé)具體培訓(xùn)實(shí)施。培訓(xùn)計(jì)劃應(yīng)包括培訓(xùn)內(nèi)容、培訓(xùn)對(duì)象、培訓(xùn)時(shí)間、培訓(xùn)方式、培訓(xùn)課程等。以下為培訓(xùn)課程內(nèi)容示例。安全培訓(xùn)內(nèi)容序號(hào)培訓(xùn)名稱(chēng)培訓(xùn)內(nèi)容簡(jiǎn)單描述日常運(yùn)維方面培訓(xùn)課程1安全系統(tǒng)整體日常運(yùn)維培訓(xùn)通過(guò)實(shí)際案例和安全事件，表述信息安全對(duì)于個(gè)人生活、工作、學(xué)習(xí)無(wú)處不在的事實(shí)，同時(shí)闡明安全問(wèn)題并非孤立、遙遠(yuǎn)的技術(shù)，在此基礎(chǔ)上按照一般的安全技術(shù)的劃分深入淺出地描述信息安全所包含的各個(gè)領(lǐng)域，以及這些領(lǐng)域和日常工作、生活的密切聯(lián)系，對(duì)常見(jiàn)客戶(hù)端應(yīng)用工具/系統(tǒng)的安全問(wèn)題進(jìn)行分析，采用實(shí)證方式闡明OE、IE、Foxmail、MSN/QQ、P2P工具等的安全設(shè)置，對(duì)Windows操作系統(tǒng)存在的安全問(wèn)題進(jìn)行敘述和演示。同時(shí)，就日益猖獗的病毒、木馬等威脅進(jìn)行必要的描述，并闡明具體的防范措施，最終協(xié)助建立起適合個(gè)人、企業(yè)的用戶(hù)行為基準(zhǔn)。2安全系統(tǒng)故障應(yīng)急處理培訓(xùn)本講從將結(jié)合應(yīng)急響應(yīng)演練，通過(guò)多個(gè)應(yīng)急響應(yīng)經(jīng)典案例，對(duì)應(yīng)急響應(yīng)預(yù)案等核心步驟進(jìn)行清晰的分析和描述，并且對(duì)在多個(gè)系統(tǒng)上對(duì)入侵痕跡的調(diào)查，易消失證據(jù)的獲取進(jìn)行詳解介紹和演示安全管理方面培訓(xùn)課程1信息安全事件以及安全威脅培訓(xùn)通過(guò)大量典型的安全事件導(dǎo)入，反映當(dāng)前安全形勢(shì)的極端惡化，從感性認(rèn)識(shí)層面對(duì)安全威脅給予直觀(guān)、形象的描述，并形成一定的安全現(xiàn)象/知識(shí)沖擊結(jié)果，分析、強(qiáng)調(diào)漠視信息安全的嚴(yán)重后果，以及安全威脅的發(fā)展趨勢(shì)：速度更快、范圍更廣、影響更深刻。2系統(tǒng)使用人員的安全意識(shí)培訓(xùn)從ISO7498-2模型出發(fā)，結(jié)合CBK領(lǐng)域、BS7799領(lǐng)域劃分，對(duì)信息安全中涉及到的標(biāo)準(zhǔn)、協(xié)議、技術(shù)手段、工具/產(chǎn)品、過(guò)程方法等，通過(guò)對(duì)安全領(lǐng)域和知識(shí)的清晰劃分和描述，最終能夠形成一張信息安全的知識(shí)結(jié)構(gòu)圖。3信息安全管理人員的防入侵技術(shù)提高培訓(xùn)介紹一般的黑客攻擊途徑，著重描述當(dāng)前流行的攻擊技術(shù)和防御手段，從踩點(diǎn)掃描著手，重點(diǎn)分析網(wǎng)絡(luò)嗅探、病毒與木馬攻擊、拒絕服務(wù)攻擊、SQLInjection原理、XSS跨站腳本攻擊等，并闡明相應(yīng)的防御措施，通過(guò)一次完整、完美的黑客攻擊過(guò)程的實(shí)踐展示，首先對(duì)黑客攻擊的一般步驟進(jìn)行分析，闡明黑客攻防的基本思路，并按照步驟順序?qū)ζ渲猩婕暗降墓ぞ摺⑵脚_(tái)、弱點(diǎn)、手法進(jìn)行敘述，對(duì)黑客的慣常思維方式進(jìn)行歸納總結(jié)。4常見(jiàn)操作系統(tǒng)安全培訓(xùn)從Windows以及Unix的安全結(jié)構(gòu)入手，對(duì)windows安全子系統(tǒng)中的重要組件如SAM、LSA、GINA等進(jìn)行詳細(xì)分析，分別闡明帳戶(hù)安全、文件系統(tǒng)安全、注冊(cè)表安全，對(duì)于Windows的常見(jiàn)應(yīng)用（如IIS、Netbios、TerminalServer等）的安全性加以分析。針對(duì)Unix系統(tǒng)，則對(duì)帳號(hào)安全、文件系統(tǒng)安全、常見(jiàn)應(yīng)用安全的討論，強(qiáng)調(diào)Unix系統(tǒng)本身安全配置的同時(shí)，還將重點(diǎn)描述Unix主要應(yīng)用服務(wù)（Mail、HTTP等）的安全問(wèn)題。分階段實(shí)施計(jì)劃根據(jù)等級(jí)保護(hù)的要求和XXX企業(yè)現(xiàn)網(wǎng)的實(shí)際情況，綠盟科技從安全技術(shù)體系建設(shè)和安全管理體系建設(shè)兩個(gè)方面入手進(jìn)行了整個(gè)安全體系的規(guī)劃和設(shè)計(jì)。在技術(shù)體系的建設(shè)上，推薦在不同的層次部署相關(guān)的安全產(chǎn)品：安全計(jì)算環(huán)境：應(yīng)用系統(tǒng)安全改造、漏洞掃描系統(tǒng)；安全區(qū)域邊界：防火墻；安全通信網(wǎng)絡(luò)：網(wǎng)絡(luò)入侵防護(hù)、WEB應(yīng)用防護(hù)；安全管理中心：安全審計(jì)系統(tǒng)。在安全管理體系的建設(shè)上，重點(diǎn)介紹了系統(tǒng)運(yùn)維管理階段。推薦通過(guò)內(nèi)部運(yùn)維和專(zhuān)業(yè)的安全服務(wù)相結(jié)合來(lái)實(shí)現(xiàn)系統(tǒng)的運(yùn)維管理。包括漏洞掃描、安全檢查、安全加固、應(yīng)急響應(yīng)、安全通告、風(fēng)險(xiǎn)評(píng)估和安全培訓(xùn)等服務(wù)。方案特點(diǎn)以業(yè)務(wù)安全為核心本次項(xiàng)目安全體系建設(shè)是圍繞系統(tǒng)所承載的業(yè)務(wù)。對(duì)信息系統(tǒng)進(jìn)行安全保障的根本目的不僅是保護(hù)系統(tǒng)的信息資產(chǎn)，而且是信息系統(tǒng)所承載的業(yè)務(wù)和業(yè)務(wù)數(shù)據(jù)，這種以業(yè)務(wù)為核心的思想將貫穿XXX企業(yè)整個(gè)體系建設(shè)的各個(gè)階段。滿(mǎn)足合規(guī)性要求方案的設(shè)計(jì)充分考慮到了國(guó)際、國(guó)家、行業(yè)的合規(guī)性要求，如國(guó)家等級(jí)保護(hù)相關(guān)政策規(guī)定、信產(chǎn)部的信息安全要求等，XXX企業(yè)本次安全項(xiàng)目設(shè)計(jì)也是根據(jù)以上的安全標(biāo)準(zhǔn)的具體要求內(nèi)容完成合規(guī)性設(shè)計(jì)的，以達(dá)到合規(guī)性要求進(jìn)行項(xiàng)目建設(shè)。多維度多角度防護(hù)此次