第一篇：【學(xué)習(xí)心得】市社保局綜合處學(xué)習(xí)心得體會

干部作風(fēng)教育實踐活動心得體會

2012年確定為基層組織建設(shè)年，是黨中央作出的重要部署。旨在把創(chuàng)先爭優(yōu)活動和基層組織建設(shè)年融為一體，以創(chuàng)先爭優(yōu)為動力加強基層組織建設(shè)，以基層組織建設(shè)年為抓手深化創(chuàng)先爭優(yōu)。保持純潔性是增強黨的創(chuàng)造力、凝聚力、戰(zhàn)斗力的關(guān)鍵所在和現(xiàn)實需要，也是引深反腐倡廉的重要任務(wù)。為認真貫徹落實胡錦濤總書記在十七屆中央紀委七次全會上的重要講話精神，我處按照市社保局的統(tǒng)一安排部署，認真開展了“基層組織建設(shè)年”和保持黨的純潔性學(xué)習(xí)教育活動，全處工作人員通過第一階段時間的學(xué)習(xí)和討論，受到了極大的觸動和感悟，深刻地體會到作為一名共產(chǎn)黨員應(yīng)從以下方面保持黨先進性純潔性：

一是要堅持堅定的共產(chǎn)主義理想信念。黨的先進性純潔性體現(xiàn)在思想上，就是要求各級黨組織和廣大黨員、黨的領(lǐng)導(dǎo)干部必須堅持把馬克思主義及其中國化的理論成果作為指導(dǎo)思想，堅持把為社會主義、共產(chǎn)主義奮斗作為理想信念，堅持馬克思主義實事求是的思想路線，堅決抵制各種反馬克思主義思想的侵蝕，堅決同各種違背馬克思主義的錯誤思想作斗爭。

二是要堅持堅決執(zhí)行黨的路線方針政策。黨的先進性純潔性體現(xiàn)在政治上，就是要求各級黨組織和廣大黨員、黨的領(lǐng)導(dǎo)干部必須堅決執(zhí)行黨的綱領(lǐng)、章程和路線方針政策，在社會主義初級階段必須堅持以經(jīng)濟建設(shè)為中心、堅持四項基本原則、堅持改革 開放的基本路線，堅決抵制和反對一切違背黨的基本路線的錯誤政治傾向。

三是要堅持嚴格執(zhí)行黨的各項紀律。黨的先進性純潔性體現(xiàn)在組織上，就是要求各級黨組織和廣大黨員、黨的領(lǐng)導(dǎo)干部必須堅持貫徹黨的民主集中制原則和遵守黨的組織紀律的要求，自覺維護黨的團結(jié)統(tǒng)一，堅決反對一切危害和分裂黨的行為，嚴格堅持黨章所規(guī)定的共產(chǎn)黨員標(biāo)準(zhǔn)和領(lǐng)導(dǎo)干部條件，堅決把背離黨綱黨章、危害黨的事業(yè)、已經(jīng)喪失共產(chǎn)黨員資格的蛻化變質(zhì)分子和腐敗分子清除出黨。

四是要堅持發(fā)揚黨的優(yōu)良傳統(tǒng)和作風(fēng)。黨的先進性純潔性體現(xiàn)在作風(fēng)上，就是要求各級黨組織和廣大黨員、黨的領(lǐng)導(dǎo)干部必須堅持發(fā)揚黨的理論聯(lián)系實際、密切聯(lián)系群眾、批評和自我批評以及謙虛謹慎、不驕不躁、艱苦奮斗等優(yōu)良作風(fēng)，堅持貫徹黨的從群眾中來到群眾中去的工作路線和調(diào)查研究的工作方法，堅決反對主觀主義、官僚主義、形式主義、以權(quán)謀私、弄虛作假和個人專斷、追求奢華等不正之風(fēng)。

五是要結(jié)合本職工作提升形象和水平。通過認真學(xué)習(xí)黨的先進性純潔性，使我們更加清醒地認識到社保服務(wù)于民，民生所向的工作，關(guān)系到每個社會成員的切身利益，因此，我們要樹立我處良好的干部隊伍形象，急群眾所急，踏實工作，努力進取，為參保群眾提供優(yōu)質(zhì)、高效、快捷的服務(wù)，不斷改進和完善工作作風(fēng)，加強調(diào)查研究，及時掌握群眾最關(guān)心的、最迫切的社會保險 問題，把黨的先進性純潔性貫穿于工作的始終，真正成為群眾值得信賴和滿意的社保干部。

二O一二年七月十八日

第二篇：社保局實習(xí)心得體會

社保局實習(xí)心得體會

此次在**鎮(zhèn)社保局實習(xí)，讓我學(xué)到了很多課堂上根本學(xué)不到的東西，仿佛自己一下子成熟了，懂得了做人做事的道理，也懂得了學(xué)習(xí)的意義，時間的寶貴，人生的真諦。領(lǐng)悟到了“紙上得來終覺淺，絕知此事要躬行”的道理，任何事情都必須付出我們的實際行動，才會得到真正的收獲。或許工作中會遇到煩悶的事情，但是我們還是必須得堅持，因為我們在工作，可能一個小小的失誤，就會付出沉重的代價。走入社會就是這個道理，必須時時刻刻對自己的工作高度負責(zé)。在實習(xí)中，雖然我們做的是一些細小的像整理檔案、錄入數(shù)據(jù)的事情，但這正是是考驗我們細心，耐心的品質(zhì)，以及對工作負責(zé)的態(tài)度。

在實習(xí)中，我也知道了基層工作的辛苦，我被基層干部吃苦耐勞的精神所感動，正是因為他們，農(nóng)民的生活才得到了保障，權(quán)益才得到了維護，雖然有那么一個別的沒有責(zé)任感的工作人員在當(dāng)中攪混水。我相信如果基層人員都能為老百姓著想，我們的生活將會越過越好，但是只有一部分的力量是不夠的，需要千千萬萬的基層人員行動起來，為老百姓服務(wù)。作為大學(xué)生的我也要多參加像“三下鄉(xiāng)”那樣的社會實踐活動，到基層去宣講我們的“中國夢”，關(guān)愛留守兒童、孤寡老人，用我們的知識豐富農(nóng)村的業(yè)余生活。此次實習(xí)只是一個開始，更多的實踐活動還需要我們大學(xué)生的參加，我也將義不容辭。

我知道工作是一項熱情的事業(yè)，并且要持之以恒的品質(zhì)精神和吃苦耐勞的品質(zhì)。我覺得重要的是在這段實習(xí)期間里，我第一次真正的融入了社會，在實踐中了解了社會掌握了一些與人交往的技能，并且在此次實習(xí)期間，我注意觀察了前輩是怎樣與上級交往，怎樣處理人他們之間的關(guān)系。利用這次難得的機會，也打開了視野，增長了見識，為我以后進一步走向社會打下了堅實的基礎(chǔ)。

實習(xí)期間，我從末出現(xiàn)無故缺勤。我勤奮好學(xué)。謙虛謹慎，認真聽取前輩的指導(dǎo)，對于別人提出的工作建議虛心聽取。并能夠仔細觀察、切身體驗、獨立思考、綜合分析，并努力把在學(xué)校學(xué)到的應(yīng)用到實際工作中，盡力把工作做到理論和實際相結(jié)合的最佳狀態(tài)，培養(yǎng)了我執(zhí)著的敬業(yè)精神和勤奮踏實的工作作風(fēng)，也培養(yǎng)了我品質(zhì)耐心和敬業(yè)的素質(zhì)。能夠做到服從指揮，與同事友好相處，尊重領(lǐng)導(dǎo)，工作認真負責(zé)，責(zé)任心強，能保質(zhì)保量完成工作任務(wù)。并始終堅持一條原則：要么不做，要做就要做最好。

短短一個月的實習(xí)就要結(jié)束了，實習(xí)之中也有很多不如人意的地方，總結(jié)經(jīng)驗是工作經(jīng)驗太少吧。感謝蔡玲姐、胡主任、庹老師這一個月對我們的教誨和照顧，讓我們的實習(xí)變得快樂豐富多彩。

第三篇：市人力資源和社保局年工作總結(jié)

市人力資源和社保局年工作總結(jié)

市人力資源和社會保障局年工作總結(jié)

2013年，面對嚴峻復(fù)雜的經(jīng)濟形勢，XX市人社局堅決貫徹市委、市政府的決策部署，扎實推進各項工作并取得了積極成效。全年全市城鎮(zhèn)新增就業(yè)14.8萬人，完成目標(biāo)的140.8%；城鎮(zhèn)登記失業(yè)率2.12%，為全省最低。扶持自主創(chuàng)業(yè)11594人，實現(xiàn)帶動就業(yè)人數(shù)76117人；全市養(yǎng)老、醫(yī)療、失業(yè)、工傷、生育“五大保險”凈增繳費人數(shù)分別為7.59萬人、13.46萬人、16.21萬人、5.83萬人、16.92萬人；引進各類人才10萬人；新增高技能人才2.99萬人，均完成或超額完成目標(biāo)任務(wù)。四項基本現(xiàn)代化指標(biāo)中，城鄉(xiāng)基本養(yǎng)老、醫(yī)療、失業(yè)三項保險覆蓋率預(yù)計分別為98.2%、98%、98.7%，已提前達到基本現(xiàn)代化目標(biāo)要求值；全市每萬勞動力高技能人才數(shù)達到583人，已達到目標(biāo)值的97.2%。國家人社部尹蔚民部長親臨無錫考察，對我市人社工作取得的成績給予了充分肯定；市人社局獲得“國家技能人才培育突出貢獻獎”，成為全國人社系統(tǒng)優(yōu)質(zhì)服務(wù)窗口單位。

2013年，面對嚴峻復(fù)雜的經(jīng)濟形勢，XX市人社局堅決貫徹市委、市政府的決策部署，扎實推進各項工作并取得了積極成效。全年全市城鎮(zhèn)新增就業(yè)14.8萬人，完成目標(biāo)的140.8%；城鎮(zhèn)登記失業(yè)率2.12%，為全省最低。扶持自主創(chuàng)業(yè)11594人，實現(xiàn)帶動就業(yè)人數(shù)76117人；全市養(yǎng)老、醫(yī)療、失業(yè)、工傷、生育“五大保險”凈增繳費人數(shù)分別為7.59萬人、13.46萬人、16.21萬人、5.83萬人、16.92萬人；引進各類人才10萬人；新增高技能人才2.99萬人，均完成或超額完成目標(biāo)任務(wù)。四項基本現(xiàn)代化指標(biāo)中，城鄉(xiāng)基本養(yǎng)老、醫(yī)療、失業(yè)三項保險覆蓋率預(yù)計分別為98.2%、98%、98.7%，已提前達到基本現(xiàn)代化目標(biāo)要求值；全市每萬勞動力高技能人才數(shù)達到583人，已達到目標(biāo)值的97.2%。國家人社部尹蔚民部長親臨無錫考察，對我市人社工作取得的成績給予了充分肯定；市人社局獲得“國家技能人才培育突出貢獻獎”，成為全國人社系統(tǒng)優(yōu)質(zhì)服務(wù)窗口單位。

（一）奮力創(chuàng)先爭優(yōu)，常規(guī)工作繼續(xù)保持在全省第一方陣

一是千方百計確保就業(yè)局勢穩(wěn)定。針對階段性“招工難”問題，組織赴XX、XX、XX、XX、XX等地開展勞務(wù)對接，累計幫助重點企業(yè)招工近20萬人。繼續(xù)實施失業(yè)保險降低費率政策，全年惠及4萬多家企業(yè)，為企業(yè)和個人共減負5.4億元，有效穩(wěn)定了就業(yè)崗位。大力扶持困難群體就業(yè)，“就業(yè)援助月”、“春風(fēng)行動”期間，共舉辦了356場公益性招聘活動，提供崗位信息51.85萬個。實施促進高校畢業(yè)生就業(yè)創(chuàng)業(yè)八項實事，推進大學(xué)生實名制管理，落實大學(xué)生租房補貼政策，赴清華大學(xué)等重點高校延攬人才。我市積極服務(wù)企業(yè)用工和吸引大學(xué)生就業(yè)創(chuàng)業(yè)的做法，得到央視關(guān)注。

二是社會保障體系進一步完善。調(diào)整居民養(yǎng)老保險繳費水平和政府補貼標(biāo)準(zhǔn)，提高最低檔次到300元（原100元），增設(shè)1500元的最高繳費檔次。調(diào)整2013市區(qū)居民養(yǎng)老保險待遇標(biāo)準(zhǔn)，居民基礎(chǔ)養(yǎng)老金每人每月增加40元，為省內(nèi)地市級城市最高。及時落實2013企業(yè)退休人員養(yǎng)老金調(diào)整工作，市區(qū)調(diào)整后平均水平為2033元/月（全市為1921.4元/月）。調(diào)整和提高醫(yī)保待遇水平，職工醫(yī)保和居民醫(yī)保政策范圍內(nèi)住院費用基金支付比例分別達84%和72%。實施我市工傷康復(fù)管理辦法，實行新的康復(fù)費用結(jié)算辦法。

三是人才隊伍建設(shè)繼續(xù)加強。積極開展技能振興專項活動，研究制訂關(guān)于加強職業(yè)培訓(xùn)促進就業(yè)的實施意見。先后在上海、深圳、香港舉辦“東方硅谷”人才政策宣傳推介會，新增國際國內(nèi)頂尖人才、社會事業(yè)和中介服務(wù)領(lǐng)軍人才2人、33人、7人。新增國家級博士后科研工作站10家，列全省第一；省創(chuàng)新實踐基地8家，超額完成全年建站任務(wù)；全年共招收博士后31人。

四是人事管理服務(wù)更加規(guī)范。圍繞打造公務(wù)員招錄“陽光”品牌，抓好招錄計劃編制、政策制定公布、工作責(zé)任落實、面試工作組織四個環(huán)節(jié)，圓滿完成公務(wù)員招錄任務(wù)。組織事業(yè)單位申報參公管理工作如期上報。推進和深化事業(yè)單位人員聘用、崗位設(shè)置管理和公開招聘三項制度建設(shè)。軍轉(zhuǎn)安置工作圓滿完成。

五是勞資關(guān)系保持和諧穩(wěn)定。密切關(guān)注宏觀經(jīng)濟形勢對企業(yè)的影響，扎實做好10多家重點經(jīng)營困難企業(yè)的勞資關(guān)系處理工作。積極學(xué)習(xí)貫徹新法新規(guī)，穩(wěn)妥推進勞務(wù)派遣行政許可工作。鞏固勞動人事爭議處理“三方機制”和“五位一體”調(diào)解聯(lián)席會議機制。推進企業(yè)工資集體協(xié)商工作，及時出臺最低工資標(biāo)準(zhǔn)調(diào)整方案。全年全市12333咨詢服務(wù)電話來電總量229萬個（其中市本級214萬個），市權(quán)益服務(wù)中心全年受理各類來訪來電來信1.94萬件。

（二）致力創(chuàng)新突破，重點難點工作有力推進

一是大力吸引扶持大學(xué)生創(chuàng)業(yè)。制定出臺推進大學(xué)生創(chuàng)業(yè)園建設(shè)促進大學(xué)生創(chuàng)業(yè)的意見，新政策將扶持對象從原來的畢業(yè)2年內(nèi)的大學(xué)生擴大到在校大學(xué)生和畢業(yè)5年內(nèi)的大學(xué)生，從資金、場地、能力、服務(wù)四個方面予以優(yōu)惠政策支持。以江南大學(xué)大學(xué)生創(chuàng)業(yè)園為依托，會同江南大學(xué)、廣電集團、XX區(qū)政府，推進創(chuàng)建國家級大學(xué)生創(chuàng)業(yè)園，經(jīng)努力，創(chuàng)業(yè)園已成功被省廳評估認定為省級大學(xué)生創(chuàng)業(yè)園。二是全面實施城鄉(xiāng)居民大病保險制度。制定實施城鄉(xiāng)居民大病保險制度，在全省率先采取向商業(yè)保險機構(gòu)購買大病保險方式，對參保人員個人負擔(dān)超過上一城鎮(zhèn)居民年人均可支配收入50%以上的部分（1.7萬元）給予保障，有效降低群眾大病費用負擔(dān)。

三是舉辦首屆無錫技能技工大賽。這是我市首次舉辦的全市性、綜合性的職業(yè)技能大賽，52個代表隊、500多名選手角逐14個職業(yè)（工種）“技能狀元”，其中9人摘得“無錫職工技能狀元”并享受市勞模待遇，14人摘得“無錫學(xué)生技能狀元”。期間同時開展技能成果展示、大師絕活表演、校企合作對接、高層論壇等活動，直接參與人數(shù)超過1萬人，在全社會營造了“崇尚技能、人才強企、創(chuàng)新發(fā)展”的良好氛圍。四是研究推進人力資源服務(wù)業(yè)發(fā)展。在廣泛調(diào)研的基礎(chǔ)上，研究制訂“關(guān)于大力發(fā)展人力資源服務(wù)業(yè)的意見”。利用市級公共人力資源服務(wù)機構(gòu)的集聚效應(yīng)，積極籌劃在XX區(qū)開展人力資源服務(wù)產(chǎn)業(yè)園建設(shè)，目前，規(guī)劃論證和招商引資工作正有序進行。

五是進一步規(guī)范事業(yè)單位公開招聘。經(jīng)過科學(xué)論證、認真準(zhǔn)備，首次集中組織市屬事業(yè)單位進行統(tǒng)一筆試和集中面試，招聘的規(guī)范性、公平性進一步得到保障，受到了社會各界的認可。

六是完成“兩場整合”歷史性任務(wù)。在沒有現(xiàn)成的成功樣本可以參照的情況下，以“科學(xué)整合資源、方便服務(wù)對象”為出發(fā)點，在合理確定職能定位的基礎(chǔ)上，將市人才市場和市職介中心合并，成立新的“市人力資源市場”，并對人力資源市場大樓進行重新劃分和改建，全力打造專業(yè)化、綜合性的一站式服務(wù)格局。目前，市場已實現(xiàn)機構(gòu)、人員、場地“三到位”，這項工作在全省全國走在了前列。此外，還實現(xiàn)了原市勞動保障信息中心與人才信息中心的整合。

（三）著力追求人民滿意，“三個建設(shè)”得到全面加強

一是干部隊伍建設(shè)得到加強。進一步規(guī)范了市局干部人事管理制度。組織實施了市局25名機關(guān)干部和27名事業(yè)單位領(lǐng)導(dǎo)班子、中層干部調(diào)整工作。調(diào)整后，研究生以上學(xué)歷、碩士以上學(xué)位人員占機關(guān)中層干部的36.6%，新提任干部中94%具有基層工作經(jīng)歷或多崗位鍛煉經(jīng)歷。二是作風(fēng)建設(shè)得到加強。以省市在九個部門開展“六位一體”民主評議政風(fēng)行風(fēng)和推進公共服務(wù)標(biāo)準(zhǔn)化工作為契機，全面查找人社部門在改善民生、服務(wù)市民方面存在的薄弱環(huán)節(jié)，并切實加以改進，促進了全系統(tǒng)作風(fēng)轉(zhuǎn)變和效能提升，綜合評議成績位列全市第一，其中9個市（縣）區(qū)人社局中4個獲得第1名，2個獲得第2名，我市成為全省人社系統(tǒng)僅有的兩個獲得第一名的省轄市之一。

三是廉政建設(shè)得到加強。認真貫徹中央八項規(guī)定和省市委十項規(guī)定，落實黨風(fēng)廉政建設(shè)責(zé)任制。協(xié)助市委巡察組做好各項組織協(xié)調(diào)工作，按期完成了各項工作任務(wù)。

與此同時，各市（縣）區(qū)人社工作創(chuàng)新發(fā)展、亮點紛呈。XX市凈增參保2.17萬人，以“五步五庫法”推進高校畢業(yè)生實名制就業(yè)管理，得到尹蔚民部長高度肯定；XX市“金保工程”順利上線運行，首次舉辦了綜合性的全市職業(yè)技能大賽；XX區(qū)新增博士后科研工作站2家，啟動實施了“1+10”服務(wù)制度，為重點企業(yè)提供專項服務(wù)600余次；XX區(qū)在9個部門試點機關(guān)人員績效考核考評管理系統(tǒng)，成立了勞動保障權(quán)益服務(wù)中心；XX區(qū)走進高校大力宣傳就業(yè)創(chuàng)業(yè)扶持政策，全面啟動五星級人力資源市場改造工程；XX區(qū)累計創(chuàng)建創(chuàng)業(yè)孵化基地、實訓(xùn)基地已達58家，對優(yōu)秀高技能人才、有培養(yǎng)貢獻的企業(yè)給予津貼資助；XX區(qū)城鎮(zhèn)失業(yè)人員再就業(yè)17641人，完成率294%，扎實推進公務(wù)員教育培訓(xùn)，開辦“古運河大講堂”專題講座7期；XX區(qū)431名就業(yè)困難人員實現(xiàn)“宅就業(yè)”，57人實現(xiàn)“微創(chuàng)業(yè)”，同時開發(fā)社區(qū)靈活就業(yè)崗位3842個，幫助困難群體就業(yè)；新區(qū)新引進培育國家“千人計劃”人才14名，獲批省級人力資源服務(wù)產(chǎn)業(yè)園。

第四篇：市社保局行政事業(yè)單位內(nèi)部控制制度工作報告（僅供學(xué)習(xí)）

市社保局行政事業(yè)單位內(nèi)部控制制度工作報告(僅供學(xué)習(xí))

根據(jù)市社保局《關(guān)于轉(zhuǎn)發(fā)省社保中心〈開展社會保險經(jīng)辦機構(gòu)內(nèi)部控制工作檢查評估的通知〉的通知》(贛市社險字23號)文件要求，我局高度重視，抽調(diào)精干人員組成檢查評估小組，認真自查評估，現(xiàn)就自查有關(guān)情況匯報如下：

一、自查情況

加強社會保險經(jīng)辦機構(gòu)內(nèi)部控制工作，是確保社會保險基金安全的本質(zhì)要求，也是規(guī)范經(jīng)辦機構(gòu)各種行為，實施自動防錯、查錯和糾錯，實現(xiàn)自我約束、自我控制的重要手段，為切實做好這項工作，我局從社會保險工作制度化、規(guī)范化、科學(xué)化出發(fā)，形成了一套事事有復(fù)核、人人有監(jiān)督，行之有效、科學(xué)規(guī)范的社保工作內(nèi)控制度和業(yè)務(wù)流程，建立對社?；鹗虑?、事中、事后全過程的監(jiān)督機制。

1、合理設(shè)置崗位，明確責(zé)任分工，建立內(nèi)部制衡機制根據(jù)工作需要，按照不相容崗位不能一人兼任的原則，設(shè)置了財務(wù)、業(yè)務(wù)、稽核和待遇審批等部門。在各部門內(nèi)部再進行崗位細分，財務(wù)部門要求會計與出納分設(shè)，業(yè)務(wù)部門要求設(shè)立業(yè)務(wù)受理、復(fù)核、系統(tǒng)管理員等崗位，待遇審批部門要求設(shè)立受理、復(fù)核崗位，建立崗位責(zé)任制度，形成責(zé)任明確，相互制約的內(nèi)部制衡機制，突出加強對資金結(jié)算過程的監(jiān)督。一是靠財務(wù)部門內(nèi)部的監(jiān)督，出納經(jīng)手的每一筆資金收付業(yè)務(wù)必須經(jīng)另一財務(wù)人員復(fù)核，每天下班前，另一財務(wù)人員對出納當(dāng)天收繳的社會保險費存入開戶銀行的情況要再次進行復(fù)核;二是靠對賬制度來約束，每天、每月、全年都要進行對賬，業(yè)務(wù)部門每天開出的票據(jù)與財務(wù)部門實際收到的資金核對一致，不一致的查明原因及時解決，月份、終了，財務(wù)和業(yè)務(wù)部門分別由不同的人員核對月份和發(fā)生額，確保月發(fā)生額與當(dāng)期日發(fā)生額累計數(shù)核對一致;三是靠內(nèi)部稽核來監(jiān)督，充分發(fā)揮稽核部門職能作用，采取定期檢查和不定期抽查的方式，對社?；鸬倪\行進行稽核，提出稽核意見和改進建議，促進內(nèi)控制度的不斷完善。形成了對社保基金全方位、全過程的監(jiān)督。

2、工作程序化、規(guī)范化，建立組織嚴密、可操作性強的工作流程和業(yè)務(wù)規(guī)范按照既高效、便捷又安全、嚴密的原則，建立涵蓋社?；饛倪M口到出口，涉及財務(wù)、業(yè)務(wù)、待遇、稽核等各部門的。要求加大復(fù)核、審核、稽核作用，強化內(nèi)部控制功能，最終達到一個人不能辦理社保業(yè)務(wù)的要求。

參保單位到業(yè)務(wù)部門辦理繳費基數(shù)調(diào)整、社保待遇調(diào)整等業(yè)務(wù)，受理人審核后，必須經(jīng)復(fù)核人復(fù)核，并經(jīng)稽核部門稽核后，方能辦理;業(yè)務(wù)經(jīng)辦人每月都要對社會保險待遇本月發(fā)放情況與上月發(fā)放情況進行對比分析，并經(jīng)復(fù)核人、業(yè)務(wù)負責(zé)人、財務(wù)負責(zé)人復(fù)核，稽核部門稽核，局領(lǐng)導(dǎo)審核后轉(zhuǎn)財務(wù)部門辦理支付。財務(wù)部門出納收取社會保險費、撥付社保待遇必須經(jīng)另一財務(wù)人員復(fù)核;財務(wù)專用章和個人名章由兩人分開管理;安排專人從源頭抓好社會保險費專用收款票據(jù)的管理;每月與開戶銀行和財政部門對賬，財務(wù)負責(zé)人對對賬情況進行復(fù)核。待遇審批部門應(yīng)建立檔案聯(lián)合審查制度，審批社保待遇必須經(jīng)四人審核小組共同審查檔案，經(jīng)稽核部門稽核后，報局領(lǐng)導(dǎo)召開辦公會審批。

3、加強內(nèi)部稽核，確保各項規(guī)范和流程得到貫徹落實有了好的規(guī)范和流程是做好工作的基礎(chǔ)，但把規(guī)范和流程貫徹落實好則是關(guān)鍵所在。根據(jù)社會保險政策法規(guī)，對照《內(nèi)部社會保險業(yè)務(wù)規(guī)范和流程》，采取定期檢查和不定期抽查的方法，對財務(wù)部門、業(yè)務(wù)部門、待遇審批部門執(zhí)行社保政策和工作流程情況進行稽核。稽核完畢后，向單位領(lǐng)導(dǎo)匯報、分析稽核發(fā)現(xiàn)的問題，并提出改進意見，向被稽核部門反饋稽核情況，促進社會保險管理水平的不斷提高。

一、我國行政事業(yè)單位內(nèi)部控制存在的問題

1.內(nèi)部控制意識不強，執(zhí)行力不夠

良好的內(nèi)控意識是確保內(nèi)控制度得以健全和實施的重要保證。

一些單位的領(lǐng)導(dǎo)缺乏內(nèi)部會計控制理念，對建立健全單位內(nèi)部控制的重要性和現(xiàn)實意義認識不夠，不重視內(nèi)部會計控制制度系統(tǒng)的建設(shè)，而簡單地將財政的部門預(yù)算控制等同于內(nèi)部控制。有的單位雖建立了內(nèi)控系統(tǒng)但不盡合理，生搬硬套，沒有從自身實際情況出發(fā)。還有些單位雖然建有較為完善的內(nèi)部會計控制制度，但卻流于形式，弱于執(zhí)行。

2.對內(nèi)部會計控制的監(jiān)控力度不夠

部分單位沒有設(shè)立內(nèi)部審計機構(gòu)，內(nèi)部會計控制的執(zhí)行情況由內(nèi)部會計控制執(zhí)行部門自行監(jiān)督檢查，導(dǎo)致監(jiān)控力度不夠，影響了內(nèi)部會計控制作用的發(fā)揮。有些單位雖然設(shè)立了內(nèi)部審計機構(gòu)，但對內(nèi)部審計工作沒有給予足夠的重視和支持，不能正確審計和鑒定會計資料和其他有關(guān)資料的正確性和真實性，主要原因在于內(nèi)部審計人員不能認真履行內(nèi)部審計的職責(zé)和權(quán)限，不能堅持內(nèi)部審計的準(zhǔn)則和原則，不能遵循內(nèi)部審計的基本程序，不能正確運用審計方法，沒有如實、公正地編寫審計報告。

3.國有資產(chǎn)使用效率低下，流失比較嚴重

單位內(nèi)部部門之間對國有資產(chǎn)管理相互脫節(jié)，部分單位財務(wù)部門未建立固定資產(chǎn)明細賬，每年只管經(jīng)費收支，不管家底多少;后勤部門只管發(fā)放而不清楚資產(chǎn)價值和實物分布情況;使用部門只用不管。長此以往，造成國有資產(chǎn)管理與財務(wù)管理嚴重脫節(jié)，致使存量不實，賬實不符，責(zé)任不清。部分單位之間互相攀比，盲目、重復(fù)購置資產(chǎn)，加之資產(chǎn)的購建、使用、占用、處置權(quán)均在單位，跨部門、跨單位無法進行資產(chǎn)配置，致使部分資產(chǎn)閑置浪費，發(fā)揮不了應(yīng)有的作用。

二、加強我國行政事業(yè)單位內(nèi)部控制的策略

1.增強內(nèi)控意識，強化單位負責(zé)人的會計與內(nèi)控責(zé)任單位負責(zé)人在單位內(nèi)部控制體系中居于主導(dǎo)地位。按照《會計法》和《內(nèi)部會計控制基本規(guī)范》的規(guī)定，單位負責(zé)人是單位財務(wù)與會計工作的第一責(zé)任主體，對本單位財務(wù)會計報告的真實性、完整性以及內(nèi)部控制制度的合理性、有效性負主要責(zé)任。但要真正確立起單位負責(zé)人對財務(wù)會計工作和內(nèi)部控制制度建設(shè)的“第一責(zé)任主體”意識，還必須強化對行政事業(yè)單位主要負責(zé)人及一些相關(guān)領(lǐng)導(dǎo)在內(nèi)部控制方面的培訓(xùn)學(xué)習(xí)。

2.建立健全內(nèi)控制度

《會計法》第二十七條規(guī)定“國家機關(guān)、社會團體和企事業(yè)單位必須建立健全內(nèi)部控制制度，以確保會計信息的真實可靠，國家財產(chǎn)安全穩(wěn)定”。不能用一般財經(jīng)法規(guī)替代內(nèi)控制度。要找準(zhǔn)失控環(huán)節(jié)，明確自控重點，重視倫理道德規(guī)范建設(shè)，建立良好的單位文化氛圍。對于預(yù)算管理、資金撥付與費用支出管理、報銷審批程序以及對錯誤核算與錯誤支出的糾正等等經(jīng)濟活動等方面，確定單位自控的重點和目標(biāo)，設(shè)立合理的組織結(jié)構(gòu)，確認相關(guān)的管理職能和關(guān)系，為每個組織劃分責(zé)任權(quán)限，明確建立授權(quán)和分配責(zé)任的方法，因事設(shè)人，視能授權(quán)，責(zé)任到位，且責(zé)權(quán)對等，以增加組織的控制意識。

3.加強行政事業(yè)單位內(nèi)部審計監(jiān)督

重視內(nèi)部審計控制，真正落實責(zé)任制，以保證內(nèi)部會計控制制度的順利、有效運行。內(nèi)部審計控制是對內(nèi)部會計控制的再控制。內(nèi)審部門應(yīng)將會計控制制度作為審計評審對象，通過對內(nèi)部會計控制執(zhí)行情況的定期檢查和監(jiān)督，及時發(fā)現(xiàn)內(nèi)部會計控制中的漏洞和隱患，尤其是要針對發(fā)展中財務(wù)及會計核算上出現(xiàn)的新問題、新情況，認真研究，不斷發(fā)現(xiàn)和改正問題，可以把風(fēng)險消滅在萌芽狀態(tài)，防止經(jīng)濟違規(guī);把審計結(jié)果與日?？己私Y(jié)合起來，真正落實責(zé)任制，加強監(jiān)督與獎懲制度，這是對單位內(nèi)控制度執(zhí)行情況的再監(jiān)督，也是保護員工的主要措施。有條件的單位均應(yīng)建立內(nèi)部審計機制，保證內(nèi)部會計控制制度的順利、有效運行。

4.提高人員素質(zhì)

行政事業(yè)單位內(nèi)部控制的成敗關(guān)鍵在于公務(wù)員素質(zhì)的高低程度，其素質(zhì)控制的目的在于保證工作人員具有愛崗敬業(yè)的品質(zhì)和勤奮、有效的工作能力，從而保證內(nèi)部控制有效實施。它對財會人員的素質(zhì)有更高要求，不僅要求專業(yè)技術(shù)性、政策性、法制性強，并且還需要有一定的職業(yè)道德水準(zhǔn)。

5.建立財務(wù)狀況預(yù)警機制，加強財務(wù)風(fēng)險預(yù)測

各行政事業(yè)單位可以借鑒國際先進經(jīng)驗并運用現(xiàn)代科技手段，逐步建立風(fēng)險監(jiān)控、評價和預(yù)警系統(tǒng)。通過一系列指標(biāo)的橫向和縱向數(shù)據(jù)比較，對財務(wù)運作中潛在風(fēng)險預(yù)警預(yù)報，提出控制措施，將可能萌發(fā)的財務(wù)風(fēng)險予以化解。

內(nèi)部控制是一項不斷推陳出新、任重而道遠的工作，隨著時代的不斷變化，內(nèi)部控制制度也要跟著不斷的修改，以達到其有效性，切實控制各種漏洞的發(fā)生。行政事業(yè)單位是一個特殊的單位，不同于企業(yè)，有它自身的特點，特別是在社會主義市場經(jīng)濟大發(fā)展的情況下，行政事業(yè)單位的建設(shè)也面臨著新的挑戰(zhàn)，因此內(nèi)部控制制度的健全也顯得猶為重要。

第五篇：XX市社保局2015安全服務(wù)項目實施方案

XX市社保局2015信息安全服務(wù)項目

實施計劃

目 錄一、二、項目概述...............................................................................................................................3 項目服務(wù)內(nèi)容.......................................................................................................................4 2.1.風(fēng)險評估...................................................................................................................4 2.2.設(shè)備安全加固...........................................................................................................5 2.3.安全管理體系建設(shè)...................................................................................................6 2.4.等級保護測評.........................................................................................................14 2.5.安全技術(shù)運維.........................................................................................................17 2.6.安全咨詢、宣傳培訓(xùn)及安全專家服務(wù)..................................................................20 2.7.上級部門交辦的安全自查與整改工作資金概算..................................................20 2.8.通過部署安全配置審計、身份驗證令牌等手段，加強系統(tǒng)安全基線審計錯誤！未定義書簽。

2.9.安全證書服務(wù).........................................................................錯誤！未定義書簽。2.10.建立安全運維體系..............................................................................................21 2.11.信息安全實時監(jiān)控服務(wù)..........................................................錯誤！未定義書簽。2.12.網(wǎng)站和網(wǎng)辦安全服務(wù)..........................................................................................22 項目實施時間及成果文檔.................................................................................................34

三、

一、項目概述

經(jīng)過多年建設(shè)XX社保中心已經(jīng)初步建成完善的信息系統(tǒng)，為XX社保中心重要業(yè)務(wù)系統(tǒng)的有效開展提供了強有力的支撐。同時，信息系統(tǒng)的安全可靠運行是確保XX社保中心主營業(yè)務(wù)正常開展的必要條件。

在信息科技發(fā)展的同時，各種黑客手段、病毒技術(shù)、木馬技術(shù)也在飛速發(fā)展，信息安全問題在信息化的過程中也日益突出，XX社保中心的信息系統(tǒng)建設(shè)必須面對日益嚴峻的信息安全問題。盡管XX社保中心近幾年來通過持續(xù)的安全建設(shè)，形成了初步的單純依靠安全設(shè)備的安全防護體系。但從目前的國內(nèi)外安全環(huán)境以及法律法規(guī)的角度來看，僅是單單依靠安全設(shè)備，是無法解決XX社保中心的整體信息安全防護需求的。必須引入綜合安全服務(wù)，結(jié)合專業(yè)的信息安全服務(wù)團隊，解決諸多安全設(shè)備無法直接解決的安全問題，共同形成確保業(yè)務(wù)系統(tǒng)安全、穩(wěn)定運營的綜合安全保障措施。

因此，根據(jù)目前實際情況，XX社保中心需要引入以安全風(fēng)險識別、安全風(fēng)險控制、安全體系完善、日常安全運維、安全宣傳、安全培訓(xùn)、網(wǎng)站安全監(jiān)控、等級保護測評等主要內(nèi)容的綜合信息安全服務(wù)保障，切實提高XX社保中心的信息安全保障能力。

二、項目服務(wù)內(nèi)容

綜合安全服務(wù)要求包含風(fēng)險評估、設(shè)備安全加固、安全管理體系建設(shè)、等級保護測評、安全技術(shù)運維、安全咨詢及宣傳培訓(xùn)、上級部門交辦的安全自查和整改、通過部署安全配置審計身份驗證令牌等技術(shù)手段加強技術(shù)控制、安全服務(wù)證書、建立安全運維體系、信息安全實時監(jiān)控服務(wù)、網(wǎng)站和網(wǎng)辦安全服務(wù)等內(nèi)容，具體要求如下。2.1.風(fēng)險評估

針對社保的物理機房環(huán)境、網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)服務(wù)、主機系統(tǒng)、中間件、數(shù)據(jù)庫系統(tǒng)、容災(zāi)系統(tǒng)及數(shù)據(jù)存儲安全、應(yīng)用系統(tǒng)、應(yīng)用代碼、安全系統(tǒng)、安全相關(guān)人員、處理流程、安全管理制度、安全策略等對象進行評估，包括采用漏洞掃描、人工安全審計、滲透測試、代碼安全審計、客戶端測試等方法，深入且全面的掌握社保中心的安全現(xiàn)狀，為后續(xù)的持續(xù)安全改進提供科學(xué)、詳細的依據(jù)。主要內(nèi)容包括：

? 建立安全風(fēng)險模型：評估前建立安全風(fēng)險模型，該模型必須包含但不限于以下要素：資產(chǎn)、影響、威脅、漏洞、安全控制、安全需求、安全風(fēng)險，投標(biāo)人應(yīng)詳細描述其風(fēng)險模型的各個要素及之間的關(guān)系，并包括對威脅、漏洞、風(fēng)險的等級劃分標(biāo)準(zhǔn)。安全評估必須按照分層的原則，包括但不限于以下對象：物理環(huán)境、網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)服務(wù)、主機系統(tǒng)、數(shù)據(jù)、應(yīng)用系統(tǒng)、安全系統(tǒng)、安全相關(guān)人員、處理流程、安全管理制度、安全策略等。? 信息資產(chǎn)評估：收集社保中心所有信息資產(chǎn)，包括所有的有形資產(chǎn)和無形資產(chǎn)，如服務(wù)器、網(wǎng)絡(luò)設(shè)備、存儲設(shè)備、應(yīng)用軟件、數(shù)據(jù)、人員、管理等。并對所有資產(chǎn)根據(jù)關(guān)鍵安全要素進行賦值，為評估階段的風(fēng)險計算和安全優(yōu)化階段的風(fēng)險控制提供依據(jù)。

? 安全審計：對社保中心的服務(wù)器和網(wǎng)絡(luò)設(shè)備進行安全審計。其中，服務(wù)器的安全審計包括操作系統(tǒng)安全（WINDOWS、LINUX、Solaris、AIX）審計和應(yīng)用軟件（如數(shù)據(jù)庫、IIS、APACHE、TOMCAT、WEBLOGIC）的安全審計。安全審計的每臺被審計設(shè)備也必須體現(xiàn)CIA三要素包含的安全性、完整性、可用性。

? 漏洞掃描：漏洞掃描針社保中心的主要IT設(shè)備（服務(wù)器，網(wǎng)絡(luò)設(shè)備，安全設(shè)備）得自身脆弱性進行安全評估。掃描內(nèi)容包括端口掃描、系統(tǒng)掃描、漏洞掃描、數(shù)據(jù)庫等應(yīng)用軟件掃描等，服務(wù)完成后應(yīng)提供掃描報告，解決方案并對發(fā)現(xiàn)漏洞給予解決。

? 數(shù)據(jù)安全威脅分析：通過入侵檢測系統(tǒng)對社保中心信息安全所面臨的威脅進行細致分析，并給出報告。報告必須包括網(wǎng)絡(luò)事件協(xié)議類型統(tǒng)計及對比餅圖、事件危險級別統(tǒng)計及對比

餅圖、事件攻擊類型統(tǒng)計及對比餅圖、信息安全性綜合分析等。

? 網(wǎng)絡(luò)結(jié)構(gòu)安全分析：為降低社保中心整體網(wǎng)絡(luò)安全風(fēng)險、增強IT內(nèi)控的實效性、更清晰的評價和監(jiān)控現(xiàn)有安全狀況，需要對網(wǎng)絡(luò)結(jié)構(gòu)進行分析，并結(jié)合業(yè)務(wù)情況進行安全域的規(guī)劃設(shè)計。安全域設(shè)計需要對社保中心現(xiàn)有網(wǎng)絡(luò)按照等級分為域、區(qū)、單元三個級別，描述安全域劃分步驟及邊界防護原則，對現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)的每項不足之處提出可執(zhí)行的措施，并在安全優(yōu)化階段實施。

? 滲透測試服務(wù)：對所有業(yè)務(wù)應(yīng)用系統(tǒng)進行滲透測試。

? 源代碼審核：針對用戶應(yīng)用系統(tǒng)的白盒測試，主要目的是發(fā)現(xiàn)系統(tǒng)代碼層的安全問題，并提出解決方案。源代碼審核需要包括以下內(nèi)容，且服務(wù)方需要形成源代碼審核模型圖：（1）審核業(yè)務(wù)流程中是否存在可被繞開的漏洞；（2）審核業(yè)務(wù)系統(tǒng)源代碼中是否有一般性的漏洞類型；

（3）審核業(yè)務(wù)系統(tǒng)源代碼中因需要開放給管理員或用戶而可能導(dǎo)致的隱蔽漏洞；（4）給出加固解決方案；

（5）對代碼中不符合安全規(guī)范的部分進行規(guī)范；（6）對今后代碼編寫的安全措施給出指導(dǎo)意見。（7）檢查出代碼中存在的安全漏洞。

? 綜合風(fēng)險分析：在對社保中心信息體系的各個層次進行技術(shù)安全評估基礎(chǔ)上，綜合分析社保中心信息系統(tǒng)面臨的各方面威脅，依靠定量計算和定性分析結(jié)合的方式，計算出社保中心各方面的風(fēng)險級別，并提出解決措施。

? 月度動態(tài)安全評估。結(jié)合每月的安全運維工作，隨時獲取信息系統(tǒng)安全要素的最新安全情況，監(jiān)控社保中心信息系統(tǒng)的最新安全動態(tài)情況，并根據(jù)需要調(diào)整安全策略，確保應(yīng)對最新的安全威脅。? 數(shù)據(jù)安全保護

對業(yè)務(wù)數(shù)據(jù)、數(shù)據(jù)庫系統(tǒng)提供實施保護技術(shù)服務(wù)，協(xié)助用戶對數(shù)據(jù)設(shè)計及數(shù)據(jù)庫漏洞進行分析整改，對敏感數(shù)據(jù)進行過濾規(guī)劃，對測試數(shù)據(jù)提供脫敏服務(wù)。

2.2.設(shè)備安全加固

安全整改加固工作對通過安全配置核查、漏洞掃描、滲透測試、策略分析等工作中發(fā)現(xiàn)的安全漏洞、安全弱點、安全風(fēng)險，通過多方面的安全加固措施進行修補。特別對問題源頭進行整改與加固，以最大限度的降低風(fēng)險。包括：

? 配置核查結(jié)果的服務(wù)器安全加固 ? 漏洞掃描的服務(wù)器安全加固 ? 網(wǎng)絡(luò)及安全設(shè)備的安全加固 ? 邊界安全策略的安全加固 ? 滲透測試安全核查結(jié)果的安全整改 ? 等級保護差距測評結(jié)果的安全整改加固 ? 等級保護驗收測評結(jié)果的安全整改加固 ? 代碼審計結(jié)果的協(xié)助性加固 ? 病毒庫升級

? 其它技術(shù)測試、評估發(fā)現(xiàn)問題的安全整改加固。

2.3.安全管理體系建設(shè)

根據(jù)各類安全標(biāo)準(zhǔn)要求，包括等級保護要求、社保行業(yè)要求，以及勞動保障信息中心內(nèi)部信息系統(tǒng)運行對安全管理的需求，完善中心的安全管理體系。形成并落實信息安全策略、信息安全管理制度、信息安全操作規(guī)范等，提高中心安全運營的管理水平。具體制度要求如下：

五個方面包含的主要內(nèi)容如下：

（1）安全管理機構(gòu)：

? 設(shè)立信息安全管理工作的職能部門，設(shè)立安全主管人、安全管理各個方面的負責(zé)人，定義各負責(zé)人的職責(zé)；

? 設(shè)立系統(tǒng)管理人員、網(wǎng)絡(luò)管理人員、安全管理人員崗位，定義各個工作崗位的職責(zé)； ? 成立指導(dǎo)和管理信息安全工作的委員會或領(lǐng)導(dǎo)小組，其最高領(lǐng)導(dǎo)應(yīng)由單位主管領(lǐng)導(dǎo)委任或授權(quán)；

? 制定文件明確安全管理機構(gòu)各個部門和崗位的職責(zé)、分工和技能要求。? 配備一定數(shù)量的系統(tǒng)管理人員、網(wǎng)絡(luò)管理人員和安全管理人員等； ? 配備專職安全管理人員，不可兼任；

? 關(guān)鍵區(qū)域或部位的安全管理人員應(yīng)按照機要人員條件配備； ? 關(guān)鍵崗位應(yīng)定期輪崗； ? 關(guān)鍵事務(wù)應(yīng)配備多人共同管理；

? 授權(quán)審批部門及批準(zhǔn)人，對關(guān)鍵活動進行審批；

? 列表說明須審批的事項、審批部門和可批準(zhǔn)人；

? 建立各審批事項的審批程序，按照審批程序執(zhí)行審批過程； ? 建立關(guān)鍵活動的雙重審批制度； ? 不再適用的權(quán)限應(yīng)及時取消授權(quán)； ? 定期審查、更新需授權(quán)和審批的項目； ? 記錄授權(quán)過程并保存授權(quán)文檔；

? 加強各類管理人員和組織內(nèi)部機構(gòu)之間的合作與溝通，定期或不定期召開協(xié)調(diào)會議，共同協(xié)助處理信息安全問題；

? 信息安全職能部門應(yīng)定期或不定期召集相關(guān)部門和人員召開安全工作會議，協(xié)調(diào)安全工作的實施；

? 信息安全領(lǐng)導(dǎo)小組或者安全管理委員會定期召開例會，對信息安全工作進行指導(dǎo)、決策；

? 加強與兄弟單位、公安機關(guān)、電信公司的合作與溝通，以便在發(fā)生安全事件時能夠得到及時的支持；

? 加強與供應(yīng)商、業(yè)界專家、專業(yè)的安全公司、安全組織的合作與溝通，獲取信息安全的最新發(fā)展動態(tài)，當(dāng)發(fā)生緊急事件的時候能夠及時得到支持和幫助； ? 文件說明外聯(lián)單位、合作內(nèi)容和聯(lián)系方式；

? 聘請信息安全專家，作為常年的安全顧問，指導(dǎo)信息安全建設(shè)，參與安全規(guī)劃和安全評審等；

? 由安全管理人員定期進行安全檢查，檢查內(nèi)容包括用戶賬號情況、系統(tǒng)漏洞情況、系統(tǒng)審計情況等；

? 由安全管理部門組織相關(guān)人員定期進行全面安全檢查，檢查內(nèi)容包括現(xiàn)有安全技術(shù)措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等； ? 由安全管理部門組織相關(guān)人員定期分析、評審異常行為的審計記錄，發(fā)現(xiàn)可疑行為,形成審計分析報告，并采取必要的應(yīng)對措施；

? 制定安全檢查表格實施安全檢查，匯總安全檢查數(shù)據(jù)，形成安全檢查報告，并對安全檢查結(jié)果進行通報；

? 制定安全審核和安全檢查制度規(guī)范安全審核和安全檢查工作，定期按照程序進行安全審核和安全檢查活動。

（2）安全管理制度：

? 制定信息安全工作的總體方針、政策性文件和安全策略等，說明機構(gòu)安全工作的總體目標(biāo)、范圍、方針、原則、責(zé)任等；

? 對安全管理活動中的各類管理內(nèi)容建立安全管理制度，以規(guī)范安全管理活動，約束人員的行為方式；

? 對要求管理人員或操作人員執(zhí)行的日常管理操作，建立操作規(guī)程，以規(guī)范操作行為，防止操作失誤；

? 形成由安全政策、安全策略、管理制度、操作規(guī)程等構(gòu)成的全面的信息安全管理制度體系；

? 由安全管理職能部門定期組織相關(guān)部門和相關(guān)人員對安全管理制度體系的合理性和適用性進行審定。在信息安全領(lǐng)導(dǎo)小組的負責(zé)下，組織相關(guān)人員制定； ? 保證安全管理制度具有統(tǒng)一的格式風(fēng)格，并進行版本控制； ? 組織相關(guān)人員對制定的安全管理進行論證和審定；

? 安全管理制度應(yīng)經(jīng)過管理層簽發(fā)后按照一定的程序以文件形式發(fā)布； ? 安全管理制度應(yīng)注明發(fā)布范圍，并對收發(fā)文進行登記； ? 安全管理制度應(yīng)注明密級，進行密級管理；

? 定期對安全管理制度進行評審和修訂，對存在不足或需要改進的安全管理制度進行修訂；

? 當(dāng)發(fā)生重大安全事故、出現(xiàn)新的安全漏洞以及技術(shù)基礎(chǔ)結(jié)構(gòu)發(fā)生變更時，應(yīng)對安全管理制度進行檢查、審定和修訂；

? 每個制度文檔應(yīng)有相應(yīng)負責(zé)人或負責(zé)部門，負責(zé)對明確需要修訂的制度文檔的維護； ? 評審和修訂的操作范圍應(yīng)考慮安全管理制度的相應(yīng)密級。

（3）人員安全管理：

? 保證被錄用人具備基本的專業(yè)技術(shù)水平和安全管理知識； ? 對被錄用人聲明的身份、背景、專業(yè)資格和資質(zhì)等進行審查； ? 對被錄用人所具備的技術(shù)技能進行考核； ? 對被錄用人說明其角色和職責(zé)； ? 簽署保密協(xié)議；

? 對從事關(guān)鍵崗位的人員應(yīng)從內(nèi)部人員選拔，并定期進行信用審查； ? 對從事關(guān)鍵崗位的人員應(yīng)簽署崗位安全協(xié)議；

? 立即終止由于各種原因即將離崗的員工的所有訪問權(quán)限； ? 取回各種身份證件、鑰匙、徽章等以及機構(gòu)提供的軟硬件設(shè)備；

? 經(jīng)機構(gòu)人事部門辦理嚴格的調(diào)離手續(xù)，并承諾調(diào)離后的保密義務(wù)后方可離開； ? 關(guān)鍵崗位的人員調(diào)離應(yīng)按照機要人員的有關(guān)管理辦法進行； ? 對所有人員實施全面、嚴格的安全審查；

? 定期對各個崗位的人員進行安全技能及安全認知的考核； ? 對考核結(jié)果進行記錄并保存；

? 對違背安全策略和規(guī)定的人員進行懲戒； ? 對各類人員進行安全意識教育； ? 告知人員相關(guān)的安全責(zé)任和懲戒措施；

? 制定安全教育和培訓(xùn)計劃，對信息安全基礎(chǔ)知識、崗位操作規(guī)程等進行培訓(xùn)； ? 針對不同崗位制定不同培訓(xùn)計劃；

? 對安全教育和培訓(xùn)的情況和結(jié)果進行記錄并歸檔保存。

（4）系統(tǒng)運維管理：

系統(tǒng)定級-? 應(yīng)明確信息系統(tǒng)劃分的方法； ? 應(yīng)確定信息系統(tǒng)的安全保護等級；

? 應(yīng)以書面的形式定義確定了安全保護等級的信息系統(tǒng)的屬性，包括使命、業(yè)務(wù)、網(wǎng)絡(luò)、硬件、軟件、數(shù)據(jù)、邊界、人員等； ? 應(yīng)確保信息系統(tǒng)的定級結(jié)果經(jīng)過相關(guān)部門的批準(zhǔn)。安全方案設(shè)計-? 根據(jù)系統(tǒng)的安全級別選擇基本安全措施，依據(jù)風(fēng)險評估的結(jié)果補充和調(diào)整安全措施； ? 以書面的形式描述對系統(tǒng)的安全保護要求和策略、安全措施等內(nèi)容，形成系統(tǒng)的安全方案；

? 對安全方案進行細化，形成能指導(dǎo)安全系統(tǒng)建設(shè)和安全產(chǎn)品采購的詳細設(shè)計方案； ? 組織相關(guān)部門和有關(guān)安全技術(shù)專家對安全設(shè)計方案的合理性和正確性進行論證和審定；

? 確保安全設(shè)計方案必須經(jīng)過批準(zhǔn)，才能正式實施。產(chǎn)品采購-? 確保安全產(chǎn)品的使用符合國家的有關(guān)規(guī)定； ? 確保密碼產(chǎn)品的使用符合國家密碼主管部門的要求； ? 指定或授權(quán)專門的部門負責(zé)產(chǎn)品的采購； 自行軟件開發(fā)-

? 開發(fā)環(huán)境與實際運行環(huán)境物理分開；

? 系統(tǒng)開發(fā)文檔由專人負責(zé)保管，系統(tǒng)開發(fā)文檔的使用受到控制； ? 提供軟件設(shè)計的相關(guān)文檔和使用指南； 外包軟件開發(fā)-? 與軟件開發(fā)單位簽訂協(xié)議，明確知識產(chǎn)權(quán)的歸屬和安全方面的要求； ? 根據(jù)協(xié)議的要求檢測軟件質(zhì)量；

? 在軟件安裝之前檢測軟件包中可能存在的惡意代碼； ? 要求開發(fā)單位提供軟件設(shè)計的相關(guān)文檔和使用指南； 工程實施-? 與工程實施單位簽訂與安全相關(guān)的協(xié)議，約束工程實施單位的行為； ? 指定或授權(quán)專門的人員或部門負責(zé)工程實施過程的管理； ? 制定詳細的工程實施方案控制實施過程； 測試驗收-? 對系統(tǒng)進行安全性測試驗收；

? 在測試驗收前根據(jù)設(shè)計方案或合同要求等制訂測試驗收方案，測試驗收過程中詳細記錄測試驗收結(jié)果，形成測試驗收報告；

? 組織相關(guān)部門和相關(guān)人員對系統(tǒng)測試驗收報告進行審定，沒有疑問后由雙方簽字。系統(tǒng)交付-? 明確系統(tǒng)的交接手續(xù)，并按照交接手續(xù)完成交接工作； ? 由系統(tǒng)建設(shè)方完成對委托建設(shè)方的運維技術(shù)人員的培訓(xùn)；

? 由系統(tǒng)建設(shè)方提交系統(tǒng)建設(shè)過程中的文檔和指導(dǎo)用戶進行系統(tǒng)運行維護的文檔； ? 由系統(tǒng)建設(shè)方進行服務(wù)承諾，并提交服務(wù)承諾書，確保對系統(tǒng)運行維護的支持；

（5）安全運維管理：

環(huán)境管理-? 對機房供配電、空調(diào)、溫濕度控制等設(shè)施指定專人或?qū)ｉT的部門定期進行維護管理； ? 配備機房安全管理人員，對機房的出入、服務(wù)器的開機或關(guān)機等工作進行管理； ? 建立機房安全管理制度，對有關(guān)機房物理訪問，物品帶進、帶出機房和機房環(huán)境安全等方面的管理作出規(guī)定；

? 應(yīng)對機房來訪人員實行登記、備案管理，同時限制來訪人員的活動范圍；

? 加強對辦公環(huán)境的保密性管理，包括如工作人員調(diào)離辦公室應(yīng)立即交還該辦公室鑰匙和不在辦公區(qū)接待來訪人員等；

資產(chǎn)管理-? 建立資產(chǎn)安全管理制度，規(guī)定信息系統(tǒng)資產(chǎn)管理的責(zé)任人員或責(zé)任部門；

? 編制并保存與信息系統(tǒng)相關(guān)的資產(chǎn)、資產(chǎn)所屬關(guān)系、安全級別和所處位置等信息的資產(chǎn)清單；

? 根據(jù)資產(chǎn)的重要程度對資產(chǎn)進行定性賦值和標(biāo)識管理，根據(jù)資產(chǎn)的價值選擇相應(yīng)的管理措施。

介質(zhì)管理-? 確保介質(zhì)存放在安全的環(huán)境中，并對各類介質(zhì)進行控制和保護，以防止被盜、被毀、被未授權(quán)的修改以及信息的非法泄漏；

? 介質(zhì)的存儲、歸檔、登記和查詢記錄，并根據(jù)備份及存檔介質(zhì)的目錄清單定期盤點； ? 對于需要送出維修或銷毀的介質(zhì)，應(yīng)首先清除介質(zhì)中的敏感數(shù)據(jù)，防止信息的非法泄漏；

? 根據(jù)所承載數(shù)據(jù)和軟件的重要程度對介質(zhì)進行分類和標(biāo)識管理，并實行存儲環(huán)境專人管理。

設(shè)備管理-? 對信息系統(tǒng)相關(guān)的各種設(shè)備、線路等指定專人或?qū)ｉT的部門定期進行維護管理； ? 對信息系統(tǒng)的各種軟硬件設(shè)備的選型、采購、發(fā)放或領(lǐng)用等過程建立基于申報、審批和專人負責(zé)的管理規(guī)定；

? 對終端計算機、工作站、便攜機、系統(tǒng)和網(wǎng)絡(luò)等設(shè)備的操作和使用建進行規(guī)范化管理；

? 對帶離機房或辦公地點的信息處理設(shè)備進行控制；

? 按操作規(guī)程實現(xiàn)服務(wù)器的啟動/停止、加電/斷電等操作，加強對服務(wù)器操作的日志文件管理和監(jiān)控管理，并對其定期進行檢查；

監(jiān)控管理-? 進行主機運行監(jiān)視，包括監(jiān)視主機的CPU、硬盤、內(nèi)存、網(wǎng)絡(luò)等資源的使用情況； 網(wǎng)絡(luò)安全管理-? 指定專人對網(wǎng)絡(luò)進行管理，負責(zé)運行日志、網(wǎng)絡(luò)監(jiān)控記錄的日常維護和報警信息分析和處理工作；

? 根據(jù)廠家提供的軟件升級版本對網(wǎng)絡(luò)設(shè)備進行更新，并在更新前對現(xiàn)有的重要文件進行備份；

? 進行網(wǎng)絡(luò)系統(tǒng)漏洞掃描，對發(fā)現(xiàn)的網(wǎng)絡(luò)系統(tǒng)安全漏洞進行及時的修補；

? 保證所有與外部系統(tǒng)的連接均應(yīng)得到授權(quán)和批準(zhǔn)；

? 建立網(wǎng)絡(luò)安全管理制度，對網(wǎng)絡(luò)安全配置、網(wǎng)絡(luò)用戶以及日志等方面作出規(guī)定； ? 對網(wǎng)絡(luò)設(shè)備的安全策略、授權(quán)訪問、最小服務(wù)、升級與打補丁、維護記錄、日志以及配置文件的生成、備份、變更審批、符合性檢查等方面做出具體要求； ? 規(guī)定網(wǎng)絡(luò)審計日志的保存時間以便為可能的安全事件調(diào)查提供支持； 系統(tǒng)安全管理-? 指定專人對系統(tǒng)進行管理，刪除或者禁用不使用的系統(tǒng)缺省賬戶；

? 制定系統(tǒng)安全管理制度，對系統(tǒng)安全配置、系統(tǒng)賬戶以及審計日志等方面作出規(guī)定； ? 對能夠使用系統(tǒng)工具的人員及數(shù)量進行限制和控制；

? 定期安裝系統(tǒng)的最新補丁程序，并根據(jù)廠家提供的可能危害計算機的漏洞進行及時修補，并在安裝系統(tǒng)補丁前對現(xiàn)有的重要文件進行備份；

? 根據(jù)業(yè)務(wù)需求和系統(tǒng)安全分析確定系統(tǒng)的訪問控制策略，系統(tǒng)訪問控制策略用于控制分配信息系統(tǒng)、文件及服務(wù)的訪問權(quán)限；

? 對系統(tǒng)賬戶進行分類管理，權(quán)限設(shè)定應(yīng)當(dāng)遵循最小授權(quán)要求；

? 對系統(tǒng)的安全策略、授權(quán)訪問、最小服務(wù)、升級與打補丁、維護記錄、日志以及配置文件的生成、備份、變更審批、符合性檢查等方面做出具體要求； ? 規(guī)定系統(tǒng)審計日志的保存時間以便為可能的安全事件調(diào)查提供支持； ? 進行系統(tǒng)漏洞掃描，對發(fā)現(xiàn)的系統(tǒng)安全漏洞進行及時的修補； 惡意代碼防范管理-? 提高所用用戶的防病毒意識，告知及時升級防病毒軟件；

? 在讀取移動存儲設(shè)備（如軟盤、移動硬盤、光盤）上的數(shù)據(jù)以及網(wǎng)絡(luò)上接收文件或郵件之前，先進行病毒檢查，對外來計算機或存儲設(shè)備接入網(wǎng)絡(luò)系統(tǒng)之前也要進行病毒檢查；

? 指定專人對網(wǎng)絡(luò)和主機的進行惡意代碼檢測并保存檢測記錄；

? 對防惡意代碼軟件的授權(quán)使用、惡意代碼庫升級、定期匯報等作出明確管理規(guī)定； 密碼管理-? 密碼算法和密鑰的使用應(yīng)符合國家密碼管理規(guī)定。變更管理-? 確認系統(tǒng)中要發(fā)生的變更，并制定變更方案；

? 建立變更管理制度，重要系統(tǒng)變更前，管理人員應(yīng)向主管領(lǐng)導(dǎo)申請，變更和變更方案經(jīng)過評審、審批后方可實施變更；

? 系統(tǒng)變更情況應(yīng)向所有相關(guān)人員通告； 備份與恢復(fù)管理-? 識別需要定期備份的重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等；

? 規(guī)定備份信息的備份方式（如增量備份或全備份等）、備份頻度（如每日或每周等）、存儲介質(zhì)、保存期等；

? 根據(jù)數(shù)據(jù)的重要性和數(shù)據(jù)對系統(tǒng)運行的影響，制定數(shù)據(jù)的備份策略和恢復(fù)策略，備份策略應(yīng)指明備份數(shù)據(jù)的放置場所、文件命名規(guī)則、介質(zhì)替換頻率和將數(shù)據(jù)離站運輸?shù)姆椒ǎ?/p>

? 指定相應(yīng)的負責(zé)人定期維護和檢查備份及冗余設(shè)備的狀況，確保需要接入系統(tǒng)時能夠正常運行；

? 根據(jù)備份方式，規(guī)定相應(yīng)設(shè)備的安裝、配置和啟動的流程； 安全事件處置-? 所有用戶均有責(zé)任報告自己發(fā)現(xiàn)的安全弱點和可疑事件，但任何情況下用戶均不應(yīng)嘗試驗證弱點；

? 制定安全事件報告和處置管理制度，規(guī)定安全事件的現(xiàn)場處理、事件報告和后期恢復(fù)的管理職責(zé)；

? 分析信息系統(tǒng)的類型、網(wǎng)絡(luò)連接特點和信息系統(tǒng)用戶特點，了解本系統(tǒng)和同類系統(tǒng)已發(fā)生的安全事件，識別本系統(tǒng)需要防止發(fā)生的安全事件，事件可能來自攻擊、錯誤、故障、事故或災(zāi)難；

? 根據(jù)國家相關(guān)管理部門對計算機安全事件等級劃分方法，根據(jù)安全事件在本系統(tǒng)產(chǎn)生的影響，將本系統(tǒng)計算機安全事件進行等級劃分；

? 記錄并保存所有報告的安全弱點和可疑事件，分析事件原因，監(jiān)督事態(tài)發(fā)展，采取措施避免安全事件發(fā)生；

應(yīng)急預(yù)案管理-? 在統(tǒng)一的應(yīng)急預(yù)案框架下制定不同事件的應(yīng)急預(yù)案，應(yīng)急預(yù)案框架應(yīng)包括啟動應(yīng)急預(yù)案的條件、應(yīng)急處理流程、系統(tǒng)恢復(fù)流程和事后教育和培訓(xùn)等內(nèi)容；

? 對系統(tǒng)相關(guān)的人員進行培訓(xùn)使之了解如何及何時使用應(yīng)急預(yù)案中的控制手段及恢復(fù)策略，對應(yīng)急預(yù)案的培訓(xùn)至少每年舉辦一次；

2.4.等級保護測評

1、根據(jù)相關(guān)要求，對于等級保護2級和3級系統(tǒng)，一年進行一次差距評估，通過差距評估，獲取最新的安全薄弱環(huán)節(jié)，并通過后續(xù)工作進行安全整改建設(shè)；

2、對于未定級的系統(tǒng)，需進行定級備案，差距測評，安全整改等相關(guān)工作。根據(jù)等級保護標(biāo)準(zhǔn)以及廣東公安廳發(fā)文要求，等級保護主要建設(shè)流程如下：

? 等級保護建設(shè)目標(biāo)

? 等級保護建設(shè)框架

信息系統(tǒng)等級保護建設(shè)整體流程框架圖如下:

等級保護評估是在信息系統(tǒng)定級以后,根據(jù)信息系統(tǒng)等保級別進行風(fēng)險評估,找出與等保標(biāo)準(zhǔn)的差距,進行安全規(guī)劃設(shè)計,即完成等級保護整改方案。

? 等級保護評估流程

? 評估指標(biāo)選擇

根據(jù)信息系統(tǒng)的安全等級，從等級保護基本要求的指標(biāo)中選擇和組合評估用的安全指標(biāo)，形成一套信息系統(tǒng)的評估指標(biāo)，作為評估的依據(jù)；將具體評估對象和評估指標(biāo)進行結(jié)合，形成評估使用的評估方案。

? 等級保護基本要求

《信息系統(tǒng)安全等級保護基本要求》規(guī)定了信息系統(tǒng)安全等級保護的基本要求，包括基本技術(shù)要求和基本管理要求，適用于不同安全等級的信息系統(tǒng)的安全保護。

技術(shù)類安全要求通常與信息系統(tǒng)提供的技術(shù)安全機制有關(guān)，通過在信息系統(tǒng)中部署軟硬件并正確的配置其安全功能來實現(xiàn)；管理類安全要求通常與信息系統(tǒng)中各種角色參與的活動有關(guān)，主要是通過控制各種角色的活動，從政策、制度、規(guī)范、流程以及記錄等方面做出規(guī)定來實現(xiàn)。不同安全等級的信息系統(tǒng)，其對業(yè)務(wù)信息的安全性要求和業(yè)務(wù)服務(wù)的連續(xù)性要求是有差異的；即使相同安全等級的信息系統(tǒng)，其對業(yè)務(wù)信息的安全性要求和業(yè)務(wù)服務(wù)的連續(xù)性要求也有差異。因此，對某一個定級后的信息系統(tǒng)的保護要求可以有多種組合。

對基本要求進行選擇的過程：基本要求的選擇由信息系統(tǒng)的安全等級確定，基本要求包括技術(shù)

要求和管理要求。二級系統(tǒng)應(yīng)該選擇

建議。

整改建議包括針對每項安全弱點的有效建議措施，以及從整個系統(tǒng)角度科學(xué)的、統(tǒng)籌安排改進措施，確保最小的投入達到整改目標(biāo)。

2.5.安全技術(shù)運維

通過安全技術(shù)運維服務(wù)工作，充分發(fā)揮各類安全設(shè)備的價值，并通過專業(yè)技術(shù)人員的服務(wù)工作，完善整個安全技術(shù)保障工作。安全技術(shù)運維服務(wù)工作包括每周的安全設(shè)備日志分析與處理，針對所有IT設(shè)備每月的漏洞掃描工作，針對網(wǎng)上辦事大廳業(yè)務(wù)、網(wǎng)站業(yè)務(wù)、醫(yī)保業(yè)務(wù)、社保業(yè)務(wù)、勞動就業(yè)業(yè)務(wù)等業(yè)務(wù)系統(tǒng)每季度的滲透測試工作，針對新業(yè)務(wù)系統(tǒng)、新系統(tǒng)模塊或新IT設(shè)備的上線安全評估工作、針對信息系統(tǒng)的7*24小時應(yīng)急響應(yīng)服務(wù)工作、針對信息安全預(yù)案的修編及演練工作、針對設(shè)備自身脆弱性的定期安全修補工作等。

安全技術(shù)運維過程中，需要用到相關(guān)的安全工具。為保證安全工具的先進性，以及避免因為工具的使用而生產(chǎn)法律糾紛等，中標(biāo)人需要承諾安全服務(wù)過程中提供符合要求的安全工具，產(chǎn)權(quán)仍屬于中標(biāo)人。

★安全服務(wù)過程中提供使用的所有工具必須是國產(chǎn)產(chǎn)品。本項目使用的安全工具具體要求如下：

1、對招標(biāo)人所有服務(wù)器操作系統(tǒng)、客戶端和網(wǎng)絡(luò)及安全設(shè)備進行安全漏洞掃描，采用的漏洞掃描工具應(yīng)滿足以下要求：

(1)“綜合安全服務(wù)”實施團隊?wèi)?yīng)具備多年的漏洞研究經(jīng)驗，具備獨立漏洞發(fā)掘的能力；(2)可掃描的漏洞應(yīng)不小于3600；

(3)★漏洞掃描工具支持對各種Web應(yīng)用系統(tǒng)的掃描，支持檢測SQL注入漏洞、XSS攻擊漏洞、CGI漏洞、網(wǎng)頁掛馬、關(guān)鍵字檢測、網(wǎng)站備案信息、敏感信息泄露等。提供產(chǎn)品截圖證明。

(4)★漏洞掃描工具支持對主流數(shù)據(jù)庫的識別與掃描，包括：Oracle、Sybase、SQL Server、DB2、MySQL等，能夠掃描的數(shù)據(jù)庫漏洞掃描方法不小于580種。提供產(chǎn)品截圖證明。(5)掃描報告中的漏洞應(yīng)具備統(tǒng)一的CVSS國際標(biāo)準(zhǔn)評分，以準(zhǔn)確衡量漏洞的危險級別，為漏洞修補工作的優(yōu)先級提供指導(dǎo)；

(6)產(chǎn)品具有中華人民共和國公安部頒發(fā)的《計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證》，要求為增強型，投標(biāo)時提供證書復(fù)印件；

(7)★投標(biāo)人必須承諾供貨時提供該產(chǎn)品針對本項目的原廠授權(quán)證明函（需加蓋原廠商公

章）。

2、對招標(biāo)人IT機房設(shè)備的

別合法終端，并基于此設(shè)定無線準(zhǔn)入策略，通過射頻信號阻止非法AP、終端的接入。(7)無線入侵防御：支持無線掃描、欺騙、DoS、破解等常見無線網(wǎng)絡(luò)攻擊行為的檢測、告警、阻斷功能，同時支持多種類型流氓AP的檢測與阻斷。提供產(chǎn)品截圖證明。(8)支持無線網(wǎng)絡(luò)拓撲識別和呈現(xiàn)。提供產(chǎn)品截圖證明。

(9)應(yīng)滿足自身安全性需求，設(shè)備對外不可見，且不能介入用戶業(yè)務(wù)流程。

(10)★投標(biāo)人必須承諾供貨時提供該產(chǎn)品針對本項目的原廠授權(quán)證明函（需加蓋原廠商公章）

4、對招標(biāo)人四個機房及網(wǎng)絡(luò)系統(tǒng)進行實時安全監(jiān)控，并結(jié)合安全威脅與安全脆弱性對全局安全風(fēng)險進行預(yù)警，便于信息安全專家迅速在安全事件的萌芽狀態(tài)進行處理，消除安全隱患，確保網(wǎng)絡(luò)安全、平穩(wěn)運行。安全態(tài)勢監(jiān)控及預(yù)警平臺須至少滿足以下要求：

(1)具有《中國信息安全測評中心信息技術(shù)產(chǎn)品安全測評證書》— EAL3，需提供證書復(fù)印件

(2)具有《計算機軟件著作權(quán)登記證書》，需提供證書復(fù)印件；(3)采用業(yè)界主流的B/S方式，不需要安裝客戶端；

(4)采用基于瀏覽器的用戶界面，至少支持IE與FireFox。為了適應(yīng)不同用途，用戶可以對界面顏色進行選擇調(diào)整；

(5)具備很強的擴展性，能夠方便的支持現(xiàn)有及未來的各類設(shè)備；對新設(shè)備的定制支持時間小于5個工作日；

(6)事件處理性能可以達到平均每秒15000條事件；

(7)簡單部署，無需安裝任何其他軟件和組件，用戶只需要安裝管理中心即可實現(xiàn)對全網(wǎng)資源的安全管理；

(8)在綜合展示界面中能夠顯示系統(tǒng)的基本管理信息，包括當(dāng)前告警狀態(tài)、最近告警信息、資產(chǎn)告警排行、事件趨勢、監(jiān)控對象概要信息等。提供產(chǎn)品截圖證明。；

(9)系統(tǒng)提供基于資產(chǎn)的拓撲視圖，可以顯示資產(chǎn)之間的邏輯連接關(guān)系。在資產(chǎn)拓撲上選擇每個資產(chǎn)節(jié)點，可查看每個資產(chǎn)的事件信息、告警信息、漏洞信息、風(fēng)險信息，并且支持向下鉆取，直接進入事件列表、關(guān)聯(lián)告警列表。提供產(chǎn)品截圖證明；(10)支持多事件關(guān)聯(lián)，對不同來源的安全事件進行復(fù)雜的相關(guān)性分析；

(11)★投標(biāo)人必須承諾供貨時提供該產(chǎn)品針對本項目的原廠授權(quán)證明函（需加蓋原廠商公章）。

5、針對招標(biāo)人面臨的復(fù)雜安全局勢，避免當(dāng)前基于特征匹配檢測技術(shù)的局限性，需要加強技

術(shù)手段檢測基于未知漏洞或可逃過檢測的已知漏洞觸發(fā)的攻擊、檢測未知木馬的行為、發(fā)現(xiàn)不可信的加密信道、APT攻擊等。提供的惡意代碼檢測系統(tǒng)至少滿足以下要求：

(1)系統(tǒng)硬件尺寸：2U上架設(shè)備。(2)千兆捕包電口（GE）≥ 6個。

(3)旁路部署。設(shè)備支持通過流量鏡像方式旁路部署的能力。

(4)0day攻擊檢測?？梢詫?day攻擊進行檢測，并在產(chǎn)品界面中中明確表明該攻擊是0day攻擊還是Nday攻擊。提供產(chǎn)品截圖證明。

(5)未知惡意代碼檢測。具備對未知惡意代碼具備檢測能力，漏報率不高于10%(6)基于行為的攻擊檢測。具備通過分析攻擊行為對攻擊進行檢測的能力。

(7)支持APT攻擊行為記錄。支持對APT攻擊關(guān)鍵步驟的具體攻擊行為進行記錄的能力。提供產(chǎn)品截圖證明。

(8)可區(qū)分0day攻擊與Nday攻擊。可以明確區(qū)分出0day攻擊與Nday攻擊，并在報警界面中進行展示。提供產(chǎn)品截圖證明。

(9)★產(chǎn)品具有中華人民共和國公安部頒發(fā)的《計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證》，投標(biāo)時提供證書復(fù)印件。

(10)★投標(biāo)人必須承諾供貨時提供該產(chǎn)品針對本項目的原廠授權(quán)證明函（需加蓋原廠商公章）。

2.6.安全咨詢、宣傳培訓(xùn)及安全專家服務(wù)

1、通過各種安全咨詢服務(wù)，協(xié)助中心工作人員加強信息安全建設(shè)，提高整個信息系統(tǒng)運維過程中的安全可控性，協(xié)調(diào)各信息安全項目按質(zhì)按量實施，確保中心信息安全建設(shè)不斷積累、逐步完善、達到更高的安全保障能力;

2、針對普通工作人員，進行安全宣傳。包括制作信息安全宣傳的FLASH屏幕保護等;

3、針對IT工作人員，提供安全培訓(xùn)。包括安全管理體系的設(shè)計、安全管理的執(zhí)行，安全意識、安全知識等。針對普通工作人員，提供安全意識培訓(xùn)。

4、提供2名安全專家5*8小時駐場服務(wù)（節(jié)假日除外）。2.7.上級部門交辦的安全自查與整改工作資金概算

根據(jù)上級部門具體安全要求，落實信息安全專項檢查整改，并提交相關(guān)安全整改報告。

? 單位上級部門交辦安全自查與整改

根據(jù)廣東省社會保險基金管理局、中華人民共和國人力資源和社會保障部等上級部門的安全要

求，落實信息安全專項檢查工作，包括重要業(yè)務(wù)系統(tǒng)安全檢測工作、重要業(yè)務(wù)系統(tǒng)安全掃描工作、重要業(yè)務(wù)系統(tǒng)基線檢查工作、重要業(yè)務(wù)系統(tǒng)應(yīng)用安全檢查工作等，并針對各項檢查工作中發(fā)現(xiàn)的問題進行整改，提交相關(guān)安全整改報告等工作。

? 行業(yè)監(jiān)管部門交辦安全自查與整改

根據(jù)行業(yè)監(jiān)管部門的安全要求，落實各項信息安全防護工作。依據(jù)行業(yè)安全標(biāo)準(zhǔn)相關(guān)要求，及時進行各項安全自查與整改工作。如安全檢測工作、風(fēng)險評估、安全管理體系評估等，并針對各項安全自查工作中發(fā)現(xiàn)的問題進行整改等。

? 其它監(jiān)管部門交辦安全自查與整改

參照網(wǎng)監(jiān)等監(jiān)管部門的安全要求，依據(jù)信息系統(tǒng)等級保護等標(biāo)準(zhǔn)要求和電子政務(wù)安全要求，及時進行中心各項核心業(yè)務(wù)系統(tǒng)的安全自查與整改工作。如信息系統(tǒng)等級保護定級、信息系統(tǒng)等級保護測評、信息系統(tǒng)等級保護安全建設(shè)等工作的開展實施。2.8.建立安全運維體系

社保中心負責(zé)整個業(yè)務(wù)系統(tǒng)的運作，包括開發(fā)、實施、維護等，涉及的因素多、對象廣、流程復(fù)雜，對信息安全管理的要求較高，需要建立較為完善的信息安全管理體系并執(zhí)行，才能發(fā)揮安全技術(shù)措施的效果，確保持續(xù)的整體安全保障能力。通過安全管理體系建設(shè)，在滿足等級保護三級安全管理的基礎(chǔ)上，實現(xiàn)以下層次化、體系化的安全管理建設(shè)內(nèi)容。為社保中心建立四階文件組成的安全管理文件體系。

? 如果任何潛在的危險字符必須被作為輸入，需要確保執(zhí)行了額外的控制。例如：輸出編碼、特定的安全 API等。部分常見的危險字符包括：<> “ ' %()& + ' ”。? 如果使用的標(biāo)準(zhǔn)驗證規(guī)則無法驗證下面的輸入，那么它們需要被單獨驗證：

? ? ? 驗證空字節(jié)(%00)；

驗證換行符(%0d, %0a, r, n)；

驗證路徑替代字符“點-點-斜杠”（../或..）。如果支持 UTF-8 擴展字符集編碼，驗證替代字符： %c0%ae%c0%ae/(使用規(guī)范化驗證雙編碼或其他類型的編碼攻擊)。

輸出編碼

? 在可信系統(tǒng)（例如：服務(wù)器）上執(zhí)行所有的編碼。

? 為每一種輸出編碼方法采用一個標(biāo)準(zhǔn)的、已通過測試的規(guī)則。通過語義輸出編碼方式，對所有返回到客戶端并來自于應(yīng)用程序信任邊界之外的數(shù)據(jù)進行編碼。? 針對 SQL、XML 和 LDAP 查詢，語義凈化所有不可信數(shù)據(jù)的輸出。? 對于操作系統(tǒng)命令，凈化所有不可信數(shù)據(jù)輸出。

身份驗證和密碼管理

? 除了特定設(shè)為“公開”的內(nèi)容以外，對所有的網(wǎng)頁和資源均要求身份驗證。? 所有的身份驗證過程必須在可信系統(tǒng)（例如：服務(wù)器）上執(zhí)行。? 在任何可能的情況下，建立并使用標(biāo)準(zhǔn)的、已通過測試的身份驗證服務(wù)。? 為所有身份驗證控制使用一個集中實現(xiàn)的方法。

? 將身份驗證邏輯從被請求的資源中隔離開，并重定向到集中的身份驗證控制。

? 所有的身份驗證控制應(yīng)當(dāng)安全的處理未成功的身份驗證。所有的權(quán)限管理功能至少應(yīng)當(dāng)具有和主要身份驗證機制一樣的安全性。

? 如果應(yīng)用程序管理的憑證被存儲，應(yīng)當(dāng)保證只保存通過使用強加密單向 salted 哈希算法得到的密碼，并且只有應(yīng)用程序具有對保存密碼和密鑰的表/文件的寫權(quán)限（禁止使用 MD5 算法，該算法不夠安全）。

? 密碼哈希必須在可信系統(tǒng)（例如：服務(wù)器）上執(zhí)行。

? 只有當(dāng)所有的數(shù)據(jù)輸入以后，才開始對身份驗證數(shù)據(jù)進行驗證，特別是對連續(xù)身份驗證機制。

? 身份驗證的失敗提示信息應(yīng)當(dāng)避免過于明確。例如：可以使用“用戶名和/或密碼錯誤”，而不要使用“用戶名錯誤”或者“密碼錯誤”。錯誤提示信息在顯示和源代碼中應(yīng)保持一致。? 涉及敏感信息或功能的外部系統(tǒng)連接需要使用身份驗證。

? 用于訪問應(yīng)用程序以外服務(wù)的身份驗證憑據(jù)信息應(yīng)當(dāng)加密，并存儲在一個可信系統(tǒng)（例如：服務(wù)器）中受到保護的地方。

? 只使用 Http Post 請求傳輸身份驗證的憑據(jù)信息。? 非臨時密碼只在加密連接中發(fā)送或作為加密的數(shù)據(jù)

? 通過規(guī)則加強密碼復(fù)雜度的要求（例如：要求使用字母、數(shù)字和/或特殊符號）。? 通過規(guī)則加強密碼長度要求。常用使用 8-16 個字符長度。? 輸入的密碼應(yīng)當(dāng)在用戶的屏幕上非明文顯示。

? 當(dāng)連續(xù)多次登錄失敗后（例如：通常情況下是 5 次），應(yīng)強制鎖定賬戶。賬戶鎖定的時間必須足夠長，以阻止暴力攻擊猜測登錄信息，但不能長到允許執(zhí)行拒絕服務(wù)攻擊。? 密碼重設(shè)和更改操作需要類似于賬戶創(chuàng)建和身份驗證的同樣安全控制等級。

? 密碼重設(shè)問題應(yīng)當(dāng)支持盡可能隨機的提問（通過注冊賬號環(huán)節(jié)收集用戶填寫的提問信息）。? 如果使用基于郵件的密碼重設(shè)，只將臨時鏈接或密碼發(fā)送到預(yù)先注冊的郵件地址。? 臨時密碼和鏈接應(yīng)當(dāng)有一個短暫的有效期。? 當(dāng)再次使用臨時密碼時，強制修改臨時密碼。? 阻止密碼重復(fù)使用。

? 密碼在被更改前應(yīng)當(dāng)至少使用了一天，以阻止密碼重用攻擊。

? 強制定期更改密碼。重要系統(tǒng)或賬號需要更頻繁的更改。更改時間周期必須進行明確。? 為密碼填寫框禁用“記住密碼”功能。

? 用戶賬號的上一次使用信息（成功或失?。?yīng)當(dāng)在下一次成功登錄時向用戶報告。

? 執(zhí)行監(jiān)控以捕獲針對使用相同密碼的多用戶帳戶攻擊（例如：暴力破解）。當(dāng)用戶名可以被攻擊者得到或被猜到時，該攻擊模式可以繞開標(biāo)準(zhǔn)的鎖死功能。? 更改所有廠商提供的默認用戶用戶名和密碼，或者禁用相關(guān)帳號。? 在執(zhí)行關(guān)鍵操作以前，對用戶再次進行身份驗證。? 為高度敏感或重要的賬戶使用多因子身份驗證機制。

? 如果使用了

? 在身份驗證的時候，如果連接從 HTTP 變?yōu)?HTTPS，則生成一個新的會話標(biāo)識符。在應(yīng)用程序中，推薦持續(xù)使用 HTTPS，而非在 HTTP 和 HTTPS 之間轉(zhuǎn)換。

? 為服務(wù)器端的操作執(zhí)行標(biāo)準(zhǔn)的會話管理。例如，通過在每個會話中使用強隨機令牌或參數(shù)來管理賬戶。該方法可以用來防止跨站點請求偽造攻擊。

? 通過在每個請求或每個會話中使用強隨機令牌或參數(shù)，為高度敏感或關(guān)鍵的操作提供標(biāo)準(zhǔn)的會話管理。

? 為在 TLS 連接上傳輸?shù)?cookie 設(shè)置“安全”屬性。將 cookie 設(shè)置為 HttpOnly 屬性，除非在應(yīng)用程序中明確要求了客戶端腳本程序讀取或者設(shè)置cookie 的值。

訪問控制

? 只使用可信系統(tǒng)對象（例如：服務(wù)器端會話對象）以做出訪問授權(quán)的控制。? 使用一個單獨的全站點功能組件以檢查訪問授權(quán)。

? 安全的處理訪問控制失敗的操作。如果應(yīng)用程序無法訪問其安全配置信息，則拒絕所有的訪問。

? 在每個請求中加強授權(quán)控制。包括：服務(wù)器端腳本產(chǎn)生的請求、“includes”、來自AJAX 及FLASH 等客戶端技術(shù)的請求。

? 將有特權(quán)的邏輯從其他應(yīng)用程序代碼中隔離開。

? 限制只有授權(quán)的用戶才能訪問文件或其他資源，包括那些應(yīng)用程序外部的直接控制。? 限制只有授權(quán)的用戶才能訪問受保護的 URL。? 限制只有授權(quán)的用戶才能訪問受保護的功能。? 限制只有授權(quán)的用戶才能訪問直接對象引用。? 限制只有授權(quán)的用戶才能訪問服務(wù)。? 限制只有授權(quán)的用戶才能訪問應(yīng)用程序數(shù)據(jù)。

? 限制通過使用訪問控制來訪問用戶、數(shù)據(jù)屬性和策略信息。? 限制只有授權(quán)的用戶才能訪問與安全相關(guān)的配置信息。

? 服務(wù)器端執(zhí)行的訪問控制規(guī)則和表示層實施的訪問控制規(guī)則必須匹配。

? 如果狀態(tài)數(shù)據(jù)必須存儲在客戶端，使用加密算法，并在服務(wù)器端檢查完整性以捕獲狀態(tài)的

改變。

? 強制應(yīng)用程序邏輯流程遵照業(yè)務(wù)規(guī)則。

? 限制單一用戶或設(shè)備在一段時間內(nèi)可以執(zhí)行的事務(wù)數(shù)量，以預(yù)防自動化攻擊。

? 僅使用“referer”頭作為補償性質(zhì)的檢查，但不能通過“referer”頭單獨用來進行身份驗證檢查，防止被偽造。

? 如果長時間的身份驗證會話被允許，周期性的重新驗證用戶的身份，以確保他們的權(quán)限沒有改變。如果發(fā)生改變，注銷該用戶，并強制他們重新執(zhí)行身份驗證。

? 執(zhí)行帳戶審計，并將沒有使用的帳號強制失效（例如：在用戶密碼過期后的 30 天以內(nèi)）。? 應(yīng)用程序必須支持帳戶失效，并在帳戶停止使用時終止會話（例如：角色、職務(wù)狀況、業(yè)務(wù)處理的改變等）。

? 服務(wù)帳戶，或連接到或來自外部系統(tǒng)的帳號，應(yīng)當(dāng)只有盡可能小的權(quán)限。

? 建立一個“訪問控制策略”以明確一個應(yīng)用程序的業(yè)務(wù)規(guī)則、數(shù)據(jù)類型和身份驗證的標(biāo)準(zhǔn)或處理流程，確保訪問可以被恰當(dāng)?shù)奶峁┖涂刂?。這包括了為數(shù)據(jù)和系統(tǒng)資源確定訪問需求。

加密規(guī)范

? 所有用于保護來自應(yīng)用程序用戶秘密信息的加密功能都必須在一個可信系統(tǒng)（例如：服務(wù)器）上執(zhí)行。

? 保護主要秘密信息免受未授權(quán)的訪問。? 安全的處理加密模塊失敗的操作。

? 為防范對隨機數(shù)據(jù)的猜測攻擊，應(yīng)當(dāng)使用加密模塊中已驗證的隨機數(shù)生成器生成所有的隨機數(shù)、隨機文件名、隨機 GUID 和隨機字符串等。

? 建立并使用相關(guān)的政策和流程以實現(xiàn)加、解密的密鑰管理。

錯誤處理和日志

? 不要在錯誤響應(yīng)中泄露敏感信息，包括：系統(tǒng)的詳細信息、會話標(biāo)識符或帳號信息等。使用錯誤處理以避免顯示調(diào)試或系統(tǒng)跟蹤信息。

? 使用通用的錯誤消息并使用定制的錯誤頁面。

? 應(yīng)用程序應(yīng)當(dāng)處理應(yīng)用程序錯誤，并且不依賴服務(wù)器配置。? 當(dāng)錯誤條件發(fā)生時，適當(dāng)?shù)那蹇辗峙涞膬?nèi)存。

? 在默認情況下，應(yīng)當(dāng)拒絕訪問與安全控制相關(guān)聯(lián)的錯誤處理邏輯。? 所有的日志記錄控制應(yīng)當(dāng)在可信系統(tǒng)（例如：服務(wù)器）上執(zhí)行。? 日志記錄控制應(yīng)當(dāng)支持記錄特定安全事件的成功及失敗操作。? 確保日志記錄包含了重要的日志事件數(shù)據(jù)。

? 確保日志記錄中包含的不可信數(shù)據(jù)，不會在查看界面或者軟件時以代碼的形式被執(zhí)行。? 限制只有授權(quán)的用戶才能訪問日志。

? 不要在日志中保存敏感信息。包括：不必要的系統(tǒng)詳細信息、會話標(biāo)識符或密碼。? 確保一個執(zhí)行日志查詢分析機制的存在。? 記錄所有失敗的輸入驗證。

? 記錄所有的身份驗證嘗試，特別是失敗的驗證。? 記錄所有失敗的訪問控制。

? 記錄明顯的修改事件，包括對于狀態(tài)數(shù)據(jù)非期待的修改。? 記錄連接無效或者已過期的會話令牌嘗試。? 記錄所有的系統(tǒng)例外信息。

? 記錄所有的管理功能行為，包括對于安全配置設(shè)置的更改。? 記錄所有失敗的后端 TLS 鏈接。? 記錄加密模塊的錯誤。

? 使用加密哈希功能以驗證日志記錄的完整性。

數(shù)據(jù)保護

? 授予最低權(quán)限，以限制用戶只能訪問為完成任務(wù)所需要的功能、數(shù)據(jù)和系統(tǒng)信息。? 保護所有存放在服務(wù)器上緩存的或臨時拷貝的敏感數(shù)據(jù)，以避免非授權(quán)的訪問，并在上述數(shù)據(jù)不再需要時被盡快清除。

? 需要加密存儲的高度機密信息。例如，身份驗證的驗證數(shù)據(jù)。? 保護服務(wù)器端的源代碼不被用戶下載。

? 不要在客戶端上以明文形式或其它非加密模式保存密碼、連接字符串或其他敏感信息。這包括嵌入在不安全的環(huán)境中：如Adobe flash 或者已編譯的代碼。? 刪除用戶可訪問頁面中的注釋，以防止泄露后臺系統(tǒng)或者其它敏感信息。? 刪除不需要的應(yīng)用程序和系統(tǒng)文檔，這些可能向攻擊者泄露有用的信息。? 不要在 HTTP GET 請求參數(shù)中包含敏感信息。

? 禁止表單中的自動填充功能。表單中可能包含敏感信息，包括身份驗證信息。? 禁止客戶端緩存網(wǎng)頁，網(wǎng)頁中可能包含敏感信息。

? 應(yīng)用程序應(yīng)當(dāng)支持，當(dāng)數(shù)據(jù)不再需要的時候，刪除敏感信息。

? 為存儲在服務(wù)器中的敏感信息提供恰當(dāng)?shù)脑L問控制。這包括緩存的數(shù)據(jù)、臨時文件以及只允許特定系統(tǒng)用戶訪問的數(shù)據(jù)。

通信安全

? 為所有敏感信息采用加密傳輸。其中應(yīng)該包括使用 TLS 對連接的保護，以及支持對敏感文件或非基于 HTTP 連接的不連續(xù)加密。

? TLS 證書應(yīng)當(dāng)是有效的，有正確且未過期的域名，并且在需要時，可以和中間證書一起安裝。

? 沒有成功的 TLS 連接不應(yīng)當(dāng)后退成為一個不安全的連接。

? 為所有要求身份驗證的訪問內(nèi)容和其它所有的敏感信息提供 TLS 連接。? 為包含敏感信息或功能、且連接到外部系統(tǒng)的連接使用 TLS。? 使用配置合理的單一標(biāo)準(zhǔn) TLS 連接。? 為所有的連接明確字符編碼。

? 當(dāng)鏈接到外部站點時，過濾來自 HTTP referer 中包含敏感信息的參數(shù)。

系統(tǒng)配置

? 確保服務(wù)器、框架和系統(tǒng)部件采用了最新版本。

? 確保服務(wù)器、框架和系統(tǒng)部件安裝了當(dāng)前使用版本的所有補丁。? 關(guān)閉目錄列表功能。

? 將 Web 服務(wù)器、進程和服務(wù)的賬戶限制為盡可能低的權(quán)限。? 當(dāng)例外發(fā)生時，安全的進行錯誤處理。? 移除所有不需要的功能和文件。

? 在部署前，移除測試代碼和產(chǎn)品不需要的功能。

? 將不進行對外檢索的路徑目錄放在一個隔離的父目錄里，以防止目錄結(jié)構(gòu)在 robots.txt 文檔中暴露。在 robots.txt 文檔中“禁止”整個父目錄，而不是對每個單獨目錄的“禁止”。? 明確應(yīng)用程序采用哪種 HTTP 方法：GET 或 POST，以及是否需要在應(yīng)用程序不同網(wǎng)頁中以不同的方式進行處理。

? 禁用不需要的 HTTP 方法，例如 WebDAV 擴展。如果需要使用一個擴展的 HTTP 方法以支持文件處理，則使用經(jīng)過驗證的身份驗證機制。

? 如果 Web 服務(wù)器支持 HTTP1.0 和 1.1，確保以相似的方式對它們進行配置，或者確保明確它們之間可能存在差異（例如：處理擴展的 HTTP 方法）。

? 移除在 HTTP 相應(yīng)報頭中有關(guān) OS、Web 服務(wù)版本和應(yīng)用程序框架的相關(guān)信息。? 應(yīng)用程序存儲的安全配置信息應(yīng)當(dāng)可以以可讀的形式輸出，以支持審計。? 將開發(fā)環(huán)境從生產(chǎn)網(wǎng)絡(luò)隔離開，僅提供給授權(quán)的開發(fā)和測試團隊訪問。? 使用一個軟件變更管理系統(tǒng)，以管理和記錄在開發(fā)和測試中代碼的主要變更。

數(shù)據(jù)庫安全

? 使用強類型的參數(shù)化查詢方法。

? 使用輸入驗證和輸出編碼，并確保處理了元字符。如果失敗，則不執(zhí)行數(shù)據(jù)庫命令。? 確保變量是強類型的。

? 當(dāng)應(yīng)用程序訪問數(shù)據(jù)庫時，應(yīng)使用盡可能最低的權(quán)限。? 為數(shù)據(jù)庫訪問使用安全憑證。

? 連接字符串不應(yīng)當(dāng)在應(yīng)用程序中硬編碼。連接字符串應(yīng)當(dāng)存儲在一個可信服務(wù)器的獨立配置文件中，并且應(yīng)當(dāng)被加密。

? 使用存儲過程以實現(xiàn)抽象訪問數(shù)據(jù)，并允許對數(shù)據(jù)庫中表的刪除權(quán)限。? 盡可能地快速關(guān)閉數(shù)據(jù)庫連接。

? 刪除或者修改所有默認的數(shù)據(jù)庫管理員密碼。使用強密碼或者使用多因子身份驗證。? 關(guān)閉所有不必要的數(shù)據(jù)庫功能（例如：不必要的存儲過程或服務(wù)、應(yīng)用程序包、僅最小化安裝需要的功能和選項等）。

? 刪除廠商提供的不必要的默認信息（例如：數(shù)據(jù)庫模式示例）。? 禁用任何不業(yè)務(wù)不需要的默認帳戶。

? 應(yīng)用程序應(yīng)當(dāng)以不同的憑證為每個信任的角色（例如：用戶、只讀用戶、訪問用戶、管理員）連接數(shù)據(jù)庫

文件管理

? 不要把用戶提交的數(shù)據(jù)直接傳送給任何動態(tài)調(diào)用功能。? 在允許上傳文檔之前進行身份驗證。? 只允許上傳滿足業(yè)務(wù)需要的相關(guān)文檔類型。

? 通過檢查文件報頭信息，驗證上傳文檔是否是所期待的類型。只驗證文件類型擴展是不夠安全的。

? 不要把文件保存在與應(yīng)用程序相同的 Web 環(huán)境中。文件應(yīng)當(dāng)保存在內(nèi)容服務(wù)器或者數(shù)據(jù)庫中。

? 防止或限制上傳任意可能被 Web 服務(wù)器解析的文件。? 關(guān)閉在文件上傳目錄的運行權(quán)限。

? 當(dāng)引用已有文件時，使用一個白名單記錄允許的文件名和類型。驗證傳遞的參數(shù)值，如果與預(yù)期的值不匹配，則拒絕使用，或者使用默認的硬編碼文件值代替。

? 不要將用戶提交的數(shù)據(jù)傳遞到動態(tài)重定向中。如果必須允許使用，那么重定向應(yīng)當(dāng)只接受通過驗證的相對路徑 URL。

? 不要傳遞目錄或文件路徑，使用預(yù)先設(shè)置路徑列表中的匹配索引值。? 禁止將絕對文件路徑傳遞給客戶。? 確保應(yīng)用程序文件和資源是只讀的。

? 對用戶上傳的文件執(zhí)行安全檢查。例如：采取病毒掃描等措施。

內(nèi)存管理

? 對不可信數(shù)據(jù)進行輸入和輸出控制。

? 重復(fù)確認緩存空間的大小是否和指定的大小一樣。

? 當(dāng)使用允許多字節(jié)拷貝的函數(shù)時，如果目的緩存容量和源緩存容量相等，需要留意字符串沒有 NULL 終止。如果在循環(huán)中調(diào)用函數(shù)時，檢查緩存大小，以確保不會出現(xiàn)超出分配空間大小的危險。

? 在將輸入字符串傳遞給拷貝和連接函數(shù)前，將所有輸入的字符串縮短到合理的長度。? 關(guān)閉資源時需要注意，不要依賴垃圾回收機制（例如：連接對象、文檔處理等）。? 在可能的情況下，使用不可執(zhí)行的堆棧。? 避免使用已知有漏洞的函數(shù)。

? 當(dāng)方法結(jié)束時和在所有的退出節(jié)點時，正確地清空所分配的內(nèi)存。

通用編碼規(guī)范

? 為常用的任務(wù)使用已測試且已認可的托管代碼，而非創(chuàng)建新的非托管代碼。

? 使用特定任務(wù)的內(nèi)置 API 以執(zhí)行操作系統(tǒng)的任務(wù)。不允許應(yīng)用程序直接將代碼發(fā)送給操作系統(tǒng)，特別是通過使用應(yīng)用程序初始的命令 shell。

? 使用校驗和或哈希值驗證編譯后的代碼、庫文件、可執(zhí)行文件和配置文件的完整性。? 使用死鎖來防止多個同時發(fā)送的請求，或使用一個同步機制防止競態(tài)條件。? 在同時發(fā)生不恰當(dāng)?shù)脑L問時，保護共享的變量和資源。

? 在聲明時或在

后盡快關(guān)閉所提升的權(quán)限。

? 通過了解使用的編程語言的底層表達式以及它們是如何進行數(shù)學(xué)計算，從而避免計算錯誤。密切注意字節(jié)大小依賴、精確度、有無符合、截尾操作、轉(zhuǎn)換、字節(jié)之間的組合，以及對于編程語言底層表達式如何處理非常大或者非常小的數(shù)。? 不要將用戶提供的數(shù)據(jù)傳遞給任何動態(tài)運行的功能。? 限制用戶生成新代碼或更改現(xiàn)有代碼。

? 審核所有從屬的應(yīng)用程序、三、項目實施時間及成果文檔

風(fēng)險評估工作計劃2015年10月—2016年3月進行，通過風(fēng)險評估服務(wù)，形成以下成果文檔：

? 信息資產(chǎn)評估報告 ? 安全審計報報告 ? 漏洞掃描報告 ? 安全威脅分析報告 ? 網(wǎng)絡(luò)安全整改設(shè)計方案 ? 滲透測試報告 ? 源代碼安全審核報告 ? 綜合風(fēng)險評估報告 ? 月度動態(tài)安全評估報告 ? 數(shù)據(jù)安全保護報告

安全設(shè)備加固工作計劃2015年5月—2016年2月進行，通過設(shè)備安全加固服務(wù)，將形成以下成果文檔：

? 安全加固方案 ? 服務(wù)器安全加固報告 ? 網(wǎng)絡(luò)及安全設(shè)備安全加固報告 ? 邊界安全策略安全加固報告 ? 滲透測試安全整改報告 ? 等級保護安全整改加固報告 ? 代碼審計協(xié)助性加固報告 ? 病毒庫升級報告

? 其它技術(shù)測試、評估發(fā)現(xiàn)問題的安全整改加固報告。

安全制度建設(shè)服務(wù)計劃2015年6月—2016年3月進行，通過安全制度建設(shè)服務(wù)，形成一套信息安全管理體系文件：

等級保護測評工作計劃2016年2月—2016年3月進行，完成等級保護測評后，形成以下主要成果文檔：

? 信息系統(tǒng)等級保護定級報告、備案證 ? 等級保護測評方案 ? 等級保護測評報告 ? 等級保護安全整改方案

安全技術(shù)運維服務(wù)計劃2015年5月—2016年3月，完成安全技術(shù)運維服務(wù)后，形成以下主要成果文檔：

? 安全設(shè)備日志分析與處理報告（每周一份）? 漏洞掃描報告（每月一份）? 滲透測試報告（每季度一份）? 無線網(wǎng)絡(luò)安全檢測報告（每周一份）? 上線安全評估報告（按需提供）? 應(yīng)急響應(yīng)服務(wù)（按需提供）

? 信息安全預(yù)案、信息安全預(yù)案演練報告 ? 安全修補方案、安全修補報告

安全宣傳工作計劃計劃2015年11月—2016年3月進行，完成安全咨詢、宣傳培訓(xùn)及安全專家服務(wù)后，形成以下主要成果文檔： ? 安全咨詢方案（按需提供）

? 安全宣傳材料

上級部門交辦的安全自查與整改工作時間，按需提供。完成上級部門交辦的安全自查與整改工作服務(wù)后，形成以下主要成果文檔： ? 信息安全自查報告（按需提供）? 信息安全整改報告（按需提供）

建立安全運維體系工作，計劃2015年11月—2016年3月進行。通過建立安全運維體系服務(wù)后，形成以下主要成果文檔： ? 總體安全策略、方針

? 安全管理機構(gòu)管理制度、檢查表、記錄表單（按需提供）? 安全管理制度管理制度、檢查表、記錄表單（按需提供）? 人員安全管理管理制度、檢查表、記錄表單（按需提供）? 系統(tǒng)建設(shè)管理管理制度、檢查表、記錄表單（按需提供）? 系統(tǒng)運維管理管理制度、檢查表、記錄表單（按需提供）

網(wǎng)站和網(wǎng)辦服務(wù)，計劃2015年11月—2016年1月進行，通過網(wǎng)站和網(wǎng)辦安全服務(wù)后，形成以下主要成果文檔： ? 源代碼安全審計報告（每個三級系統(tǒng)一份）