第一篇：信息安全等級(jí)保護(hù)建設(shè)項(xiàng)目方案書2

信息系統(tǒng)網(wǎng)絡(luò)安全建設(shè)項(xiàng)目方案

目 錄 項(xiàng)目背景......................................................................................................................................3 2 建設(shè)目標(biāo)......................................................................................................................................4 3 信息安全等級(jí)保護(hù)綜合管理系統(tǒng)...............................................................................................4 3.1 信息安全等級(jí)保護(hù)綜合管理系統(tǒng)概述...........................................................................4 3.2 系統(tǒng)架構(gòu)...........................................................................................................................7 3.3 系統(tǒng)功能...........................................................................................................................9 3.3.1 定級(jí)備案管理.......................................................................................................9 3.3.2 建設(shè)整改管理.....................................................................................................10 3.3.3 等級(jí)測(cè)評(píng)管理.....................................................................................................11 3.3.4 安全檢查管理.....................................................................................................12 3.3.5 風(fēng)險(xiǎn)評(píng)估管理.....................................................................................................13 3.3.6 風(fēng)險(xiǎn)評(píng)估測(cè)評(píng).....................................................................................................13 3.3.7 風(fēng)險(xiǎn)評(píng)估管理.....................................................................................................14 3.3.8 日常辦公管理.....................................................................................................15 3.3.9 統(tǒng)計(jì)分析.............................................................................................................16 3.3.10 基礎(chǔ)數(shù)據(jù)管理...................................................................................................16 3.3.11 分級(jí)管理...........................................................................................................18 3.3.12 系統(tǒng)接口...........................................................................................................18 3.4 系統(tǒng)安全性.............................................................................................................19 3.5 系統(tǒng)部署.................................................................................................................20 3.6 系統(tǒng)配置要求.........................................................................................................20 4 內(nèi)網(wǎng)安全管理系統(tǒng).....................................................................................................................21 4.1 內(nèi)網(wǎng)安全管理系統(tǒng)概述...............................................................................................21 4.2 產(chǎn)品架構(gòu).................................................................................................................21 4.2.1 終端監(jiān)控引擎.....................................................................................................22 4.2.2 總控中心.............................................................................................................22 4.2.3 管理控制臺(tái).........................................................................................................22 4.2.4 系統(tǒng)數(shù)據(jù)庫(kù).........................................................................................................22 4.3 產(chǎn)品功能.................................................................................................................23 4.3.1 終端運(yùn)維管理.....................................................................................................23 4.3.2 終端安全加固.....................................................................................................24 4.3.3 終端安全審計(jì).....................................................................................................25 4.3.4 網(wǎng)絡(luò)準(zhǔn)入控制.....................................................................................................25 4.3.5 移動(dòng)存儲(chǔ)管理.....................................................................................................26 4.4 產(chǎn)品性能.................................................................................................................26 4.4.1 終端引擎性能.....................................................................................................26 4.4.2 總控性能.............................................................................................................26 4.4.3 產(chǎn)品性能指標(biāo).....................................................................................................27 4.5 產(chǎn)品規(guī)范.................................................................................................................27 4.6 產(chǎn)品部署.................................................................................................................27 5 內(nèi)控管理平臺(tái)（堡壘主機(jī)）.............................................................................................29 5.1 堡壘主機(jī)概述.........................................................................................................29

信息系統(tǒng)網(wǎng)絡(luò)安全建設(shè)項(xiàng)目方案

5.2 產(chǎn)品功能.................................................................................................................29 5.2.1 賬號(hào)管理.............................................................................................................29 5.2.2 主賬號(hào)管理.........................................................................................................30 5.2.3 從賬號(hào)管理.........................................................................................................30 5.2.4 授權(quán)管理.............................................................................................................30 5.2.5 靈活的授權(quán)管理.................................................................................................30 5.2.6 細(xì)粒度的訪問(wèn)控制管理.....................................................................................31 5.2.7 認(rèn)證管理.............................................................................................................31 5.2.8 審計(jì)管理.............................................................................................................32 5.3 產(chǎn)品特點(diǎn).................................................................................................................32 5.3.6 高可用性...........................................................................................................33 5.4 客戶收益.................................................................................................................33 5.5 產(chǎn)品部署.................................................................................................................35 6 數(shù)據(jù)庫(kù)安全防護(hù)平臺(tái).........................................................................................................35 6.1 數(shù)據(jù)庫(kù)風(fēng)險(xiǎn)分析.....................................................................................................35 6.2 產(chǎn)品概述.................................................................................................................36 6.3 功能特性.................................................................................................................37 6.4 產(chǎn)品價(jià)值.................................................................................................................37 6.5 多種應(yīng)用模式.........................................................................................................38 6.6 產(chǎn)品優(yōu)勢(shì).................................................................................................................39 6.7 產(chǎn)品部署.................................................................................................................39 6.7.2 旁路模式.............................................................................................................40 6.7.3 混合部署模式.....................................................................................................40 2

信息系統(tǒng)網(wǎng)絡(luò)安全建設(shè)項(xiàng)目方案 項(xiàng)目背景

隨著互聯(lián)網(wǎng)技術(shù)飛速發(fā)展，網(wǎng)絡(luò)狀況日趨復(fù)雜和重要，網(wǎng)絡(luò)信息安全已經(jīng)提高到國(guó)家安全的高度。現(xiàn)在各單位、企業(yè)已經(jīng)重視網(wǎng)絡(luò)安全建設(shè)，但網(wǎng)絡(luò)自身仍然比較脆弱。為了達(dá)到信息系統(tǒng)安全等級(jí)保護(hù)工作的縱深要求，依據(jù)信息安全等級(jí)保護(hù)技術(shù)標(biāo)準(zhǔn)規(guī)范，建設(shè)網(wǎng)絡(luò)安全和開展等級(jí)保護(hù)管理工作。

信息安全等級(jí)保護(hù)整體的安全保障體系包括技術(shù)和管理兩大部分，其中技術(shù)部分根據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》分為物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全五個(gè)方面進(jìn)行建設(shè)；而管理部分根據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》則分為安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理五個(gè)方面。

整個(gè)安全保障體系各部分既有機(jī)結(jié)合，又相互支撐。之間的關(guān)系可以理解為“構(gòu)建安全管理機(jī)構(gòu)，制定完善的安全管理制度及安全策略，由相關(guān)人員，利用技術(shù)工手段及相關(guān)工具，進(jìn)行系統(tǒng)建設(shè)和運(yùn)行維護(hù)?！?/p>

根據(jù)等級(jí)化安全保障體系的設(shè)計(jì)思路，等級(jí)保護(hù)的設(shè)計(jì)與實(shí)施通過(guò)以下步驟進(jìn)行：

1.系統(tǒng)識(shí)別與定級(jí)：確定保護(hù)對(duì)象，通過(guò)分析系統(tǒng)所屬類型、所屬信息類別、服務(wù)范圍以及業(yè)務(wù)對(duì)系統(tǒng)的依賴程度確定系統(tǒng)的等級(jí)。通過(guò)此步驟充分了解系統(tǒng)狀況，包括系統(tǒng)業(yè)務(wù)流程和功能模塊，以及確定系統(tǒng)的等級(jí)，為下一步安全域設(shè)計(jì)、安全保障體系框架設(shè)計(jì)、安全要求選擇以及安全措施選擇提供依據(jù)。2.安全域設(shè)計(jì)：根據(jù)第一步的結(jié)果，通過(guò)分析系統(tǒng)業(yè)務(wù)流程、功能模塊，根據(jù)安全域劃分原則設(shè)計(jì)系統(tǒng)安全域架構(gòu)。通過(guò)安全域設(shè)計(jì)將系統(tǒng)分解為多個(gè)層次，為下一步安全保障體系框架設(shè)計(jì)提供基礎(chǔ)框架。3.確定安全域安全要求：參照國(guó)家相關(guān)等級(jí)保護(hù)安全要求，設(shè)計(jì)不同安全域的安全要求。通過(guò)安全域適用安全等級(jí)選擇方法確定系統(tǒng)各區(qū)域等級(jí)，明確各安全域所需采用的安全指標(biāo)。4.評(píng)估現(xiàn)狀：根據(jù)各等級(jí)的安全要求確定各等級(jí)的評(píng)估內(nèi)容，根據(jù)國(guó)家相關(guān)風(fēng)險(xiǎn)評(píng)估方法，對(duì)系統(tǒng)各層次安全域進(jìn)行有針對(duì)性的等級(jí)風(fēng)險(xiǎn)評(píng)估。并找出系統(tǒng)安全現(xiàn)狀與等級(jí)要求的差距，形成完整準(zhǔn)確的按需防御的安全需求。通過(guò)等級(jí)風(fēng)險(xiǎn)評(píng)估，可以明確各層次安全域相應(yīng)等級(jí)的安全差距，為下一步安全技術(shù)解決方案設(shè)計(jì)和安全管理建設(shè)提供依據(jù)。5.安全保障體系方案設(shè)計(jì)：根據(jù)安全域框架，設(shè)計(jì)系統(tǒng)各個(gè)層次的安全保障體系框架以及具體方案。包括：各層次的安全保障體系框架形成系統(tǒng)整體的安全保障體系框架；詳細(xì)安全技術(shù)設(shè)計(jì)、安全管理設(shè)計(jì)。6.安全建設(shè)：根據(jù)方案設(shè)計(jì)內(nèi)容逐步進(jìn)行安全建設(shè)，滿足方案設(shè)計(jì)做要符合的安全需求，滿足等級(jí)保護(hù)相應(yīng)等級(jí)的基本要求，實(shí)現(xiàn)按需防御。7.持續(xù)安全運(yùn)維：通過(guò)安全預(yù)警、安全監(jiān)控、安全加固、安全審計(jì)、應(yīng)急響應(yīng)等，從事前、事中、事后三個(gè)方面進(jìn)行安全運(yùn)行維護(hù)，確保系統(tǒng)的持續(xù)安全，滿足持續(xù)性按需防御的安全需求。

信息系統(tǒng)網(wǎng)絡(luò)安全建設(shè)項(xiàng)目方案

通過(guò)如上步驟，系統(tǒng)可以形成整體的等級(jí)化的安全保障體系，同時(shí)根據(jù)安全術(shù)建設(shè)和安全管理建設(shè)，保障系統(tǒng)整體的安全。而應(yīng)該特別注意的是：等級(jí)保護(hù)不是一個(gè)項(xiàng)目，它應(yīng)該是一個(gè)不斷循環(huán)的過(guò)程，所以通過(guò)整個(gè)安全項(xiàng)目、安全服務(wù)的實(shí)施，來(lái)保證用戶等級(jí)保護(hù)的建設(shè)能夠持續(xù)的運(yùn)行，能夠使整個(gè)系統(tǒng)隨著環(huán)境的變化達(dá)到持續(xù)的安全。

在整個(gè)信息安全等級(jí)保護(hù)體系實(shí)施過(guò)程中，管理工作尤為重要，廣西桂盾科技有限責(zé)任公司推出了LanSecS?信息安全等級(jí)保護(hù)綜合管理系統(tǒng)，該系統(tǒng)是一套適用于信息安全等級(jí)保護(hù)工作業(yè)務(wù)管理的綜合信息管理平臺(tái)。作為信息安全等級(jí)保護(hù)工作的常態(tài)化管理工具，該系統(tǒng)緊密結(jié)合我國(guó)信息安全等級(jí)保護(hù)政策，實(shí)現(xiàn)了對(duì)信息安全等級(jí)保護(hù)工作中定級(jí)備案、安全建設(shè)整改、等級(jí)測(cè)評(píng)、風(fēng)險(xiǎn)評(píng)估和安全檢查等各個(gè)環(huán)節(jié)信息與數(shù)據(jù)的集中管理和工作流程管理。

針對(duì)以上體系中提到了安全建設(shè)與持續(xù)安全運(yùn)維，推出了LanSecS?內(nèi)網(wǎng)安全管理系統(tǒng)、LanSecS?內(nèi)控管理平臺(tái)（堡壘主機(jī)）、LanSecS?數(shù)據(jù)庫(kù)安全防護(hù)平臺(tái)，三款產(chǎn)品符合信息安全等級(jí)保護(hù)相關(guān)技術(shù)要求，也符合等保安全建設(shè)與持續(xù)安全運(yùn)維的需求。建設(shè)目標(biāo)

開展信息安全等級(jí)保護(hù)體系建設(shè)，已經(jīng)成為許多單位、企業(yè)的重大目標(biāo)，廣西桂盾科技有限責(zé)任公司推出的北京圣博潤(rùn)LanSecS?產(chǎn)品不僅符合信息安全等級(jí)保護(hù)的技術(shù)要求，而且進(jìn)一步加強(qiáng)了等保工作的管理，加固了網(wǎng)絡(luò)安全防護(hù)。

信息安全等級(jí)保護(hù)綜合管理系統(tǒng)能將等保管理中的數(shù)據(jù)集中管理，有效提高工作效率。讓多個(gè)工作環(huán)節(jié)按流程化管理，促進(jìn)等保工作的標(biāo)準(zhǔn)化和規(guī)范化。通過(guò)此平臺(tái)將等保工作融入日常信息安全管理工作中。

內(nèi)網(wǎng)安全管理系統(tǒng)可以對(duì)計(jì)算機(jī)準(zhǔn)入控制、計(jì)算機(jī)安全加固、計(jì)算機(jī)運(yùn)行維護(hù)、計(jì)算機(jī)安全審計(jì)、移動(dòng)存儲(chǔ)介質(zhì)注冊(cè)等多個(gè)方面的綜合管理，可以為各單位、企業(yè)打造一個(gè)安全、可信、規(guī)范、健康的網(wǎng)絡(luò)環(huán)境。

內(nèi)控管理平臺(tái)（堡壘主機(jī)）通過(guò)賬號(hào)集中管理，統(tǒng)一所有網(wǎng)絡(luò)設(shè)備、服務(wù)器運(yùn)維請(qǐng)求的入口，未通過(guò)授權(quán)的請(qǐng)求擋在入口外面，從而根本上解決了共享賬戶、賬戶泄露等問(wèn)題引起的安全風(fēng)險(xiǎn)，提高了運(yùn)維訪問(wèn)的安全性。通過(guò)審計(jì)功能，將堡壘主機(jī)上所有運(yùn)維操作錄屏回放，可在安全事件發(fā)生時(shí)，做到有據(jù)可查，責(zé)任落實(shí)。

通過(guò)數(shù)據(jù)庫(kù)安全防護(hù)平臺(tái)可以防止針對(duì)數(shù)據(jù)庫(kù)的外部黑客攻擊、防止內(nèi)部高危操作、防止敏感數(shù)據(jù)泄漏、審計(jì)追蹤非法行為，實(shí)時(shí)監(jiān)控?cái)?shù)據(jù)庫(kù)運(yùn)行狀態(tài)。保障了重要信息的安全。信息安全等級(jí)保護(hù)綜合管理系統(tǒng)

3.1 信息安全等級(jí)保護(hù)綜合管理系統(tǒng)概述

圣博潤(rùn)很早就開始與相關(guān)職能部門進(jìn)行密切的交流，了解和跟蹤信息安全等級(jí)保護(hù)綜合管理系統(tǒng)的實(shí)際應(yīng)用需求，從2007年開始信息安全等級(jí)保護(hù)綜合管理系統(tǒng)的相關(guān)技術(shù)研究、產(chǎn)品研發(fā)和持續(xù)改進(jìn)等工作。并推出了具有自主知識(shí)產(chǎn)權(quán)的LanSecS信息安全等級(jí)保護(hù)綜合管理系統(tǒng)。

信息系統(tǒng)網(wǎng)絡(luò)安全建設(shè)項(xiàng)目方案

產(chǎn)品可解決如下幾個(gè)方面的問(wèn)題：

1)信息安全等級(jí)保護(hù)信息與數(shù)據(jù)缺乏集中管理

當(dāng)前信息安全等級(jí)保護(hù)工作中各種信息和數(shù)據(jù)大多依靠簡(jiǎn)單的EXCEL表格進(jìn)行管理，手工操作任務(wù)繁瑣，不利于信息與數(shù)據(jù)的匯總和統(tǒng)計(jì)，本項(xiàng)目產(chǎn)品將解決這一難題，有效提高等級(jí)保護(hù)工作效率。

2)信息安全等級(jí)保護(hù)工作流程缺乏必要的約束

各行業(yè)開展等級(jí)保護(hù)功過(guò)過(guò)程中，難以有效避免因人而異、因時(shí)而異、因事而異的工作狀態(tài)，各項(xiàng)工作流程缺乏必要的約束。本項(xiàng)目產(chǎn)品的應(yīng)用，將有利于提高等級(jí)保護(hù)工作流程的規(guī)范性。

3)缺乏有效的信息安全等級(jí)保護(hù)工作考核依據(jù)

各行業(yè)等級(jí)保護(hù)主管部門對(duì)等級(jí)保護(hù)工作的執(zhí)行和工作成效的考核沒(méi)有統(tǒng)一的量化的標(biāo)準(zhǔn)，對(duì)等保工作和人員的考核缺乏依據(jù)。本項(xiàng)目產(chǎn)品將有效解決這一難題。通過(guò)提供標(biāo)準(zhǔn)化、流程化的辦公平臺(tái)，為等級(jí)保護(hù)工作的考核提供數(shù)據(jù)支持。

4)信息安全建設(shè)整改工作統(tǒng)一指揮和協(xié)調(diào)難

等級(jí)保護(hù)安全建設(shè)與整改工作是一項(xiàng)任務(wù)緊迫、形勢(shì)復(fù)雜、周期較長(zhǎng)的工作。這一工作必須要統(tǒng)一指揮和協(xié)調(diào)，才會(huì)取得良好的工作成效。本產(chǎn)品為各行業(yè)的安全建設(shè)整改工作提供了一個(gè)統(tǒng)一指揮和協(xié)調(diào)的工作平臺(tái)，將有效解決安全建設(shè)整改工作的指揮和調(diào)度困難問(wèn)題。

作為等級(jí)保護(hù)工作開展所依賴的基礎(chǔ)工作平臺(tái)，信息安全等級(jí)保護(hù)綜合管理系統(tǒng)可在如下方面促進(jìn)信息安全等級(jí)保護(hù)工作的開展。1)實(shí)現(xiàn)信息與數(shù)據(jù)的集中管理和分析處理

信息安全等級(jí)保護(hù)綜合管理系統(tǒng)可對(duì)各種信息安全等級(jí)保護(hù)基礎(chǔ)數(shù)據(jù)實(shí)現(xiàn)集中存儲(chǔ)和管理，不但保證了數(shù)據(jù)的完整性和一致性，也為行業(yè)等級(jí)保護(hù)工作的開展提供了可靠的數(shù)據(jù)支持。通過(guò)數(shù)據(jù)統(tǒng)計(jì)和分析，可為等級(jí)保護(hù)工作的進(jìn)一步開展提供決策支持。該系統(tǒng)可管理的數(shù)據(jù)包括如下多種類型：

?系統(tǒng)定級(jí)、備案數(shù)據(jù)；

?建設(shè)整改數(shù)據(jù)；

?等級(jí)測(cè)評(píng)數(shù)據(jù)；

?安全檢查數(shù)據(jù)；

?風(fēng)險(xiǎn)評(píng)估數(shù)據(jù)；

?等級(jí)保護(hù)政策標(biāo)準(zhǔn)；

?安全管理制度與管理措施；

?信息資產(chǎn)；

?安全事件；

?測(cè)評(píng)機(jī)構(gòu)與人員；

?專家?guī)欤?/p>

?教育培訓(xùn)數(shù)據(jù)。

針對(duì)上面各類數(shù)據(jù)，本系統(tǒng)能夠進(jìn)行集中管理和統(tǒng)計(jì)查詢，并快速生成種類豐富的報(bào)告和報(bào)表，極大的方便了等級(jí)保護(hù)工作的信息系統(tǒng)定級(jí)、備案、安全建設(shè)整改、安全測(cè)評(píng)、安全檢查等工作。

2)規(guī)范等級(jí)保護(hù)工作流程，提高工作效率

信息安全等級(jí)保護(hù)綜合管理系統(tǒng)為信息安全等級(jí)保護(hù)的多個(gè)工作環(huán)節(jié)提供了基

信息系統(tǒng)網(wǎng)絡(luò)安全建設(shè)項(xiàng)目方案

于工作流引擎的工作流程管理功能，如安全建設(shè)整改、安全檢查、風(fēng)險(xiǎn)評(píng)估等。通過(guò)流程定制，使得行業(yè)管理人員可按照統(tǒng)一的工作流程開展行業(yè)的等級(jí)保護(hù)工作，避免了不同單位、不同管理人員在執(zhí)行等級(jí)保護(hù)工作過(guò)程中的隨意性。促進(jìn)了等級(jí)保護(hù)工作環(huán)節(jié)的標(biāo)準(zhǔn)化和規(guī)范化。另外，通過(guò)流程管理，使得數(shù)據(jù)處理和工作部署實(shí)施的自動(dòng)化程度大大增強(qiáng)，從而有效提高了等級(jí)保護(hù)工作的效率。3)提升行業(yè)等級(jí)保護(hù)工作管理的透明度

信息安全等級(jí)保護(hù)綜合管理系統(tǒng)通過(guò)預(yù)置部門、人員、角色和工作流程，實(shí)現(xiàn)了行業(yè)用戶等級(jí)保護(hù)工作開展過(guò)程中的部門、角色的分工協(xié)作。通過(guò)內(nèi)置的辦公管理模塊，讓等級(jí)保護(hù)工作執(zhí)行人員及時(shí)受理和完成分配的工作任務(wù)，讓管理人員及時(shí)掌握等級(jí)保護(hù)工作的開展情況，實(shí)現(xiàn)可視化的等級(jí)保護(hù)工作管理。行業(yè)主管部門通過(guò)該系統(tǒng)可以對(duì)等級(jí)保護(hù)工作的進(jìn)度進(jìn)行跟蹤?？捎行Ц纳圃械燃?jí)保護(hù)工作對(duì)整體管理過(guò)程的不可跟蹤性和管理效果的不可預(yù)見性。

行業(yè)主管部門通過(guò)該系統(tǒng)還可對(duì)每個(gè)等級(jí)保護(hù)參與人員的工作進(jìn)度、工作狀況、工作結(jié)果進(jìn)行直觀的檢視。同時(shí)，根據(jù)預(yù)定義的評(píng)價(jià)指標(biāo)，對(duì)等級(jí)保護(hù)工作的執(zhí)行效果進(jìn)行客觀的考核和評(píng)價(jià)，大大增加了管理的透明度。4)提升行業(yè)等級(jí)保護(hù)工作的整體實(shí)施能力 通常，各行業(yè)的等級(jí)保護(hù)工作執(zhí)行人員并不一定是安全領(lǐng)域的技術(shù)專家，這往往會(huì)導(dǎo)致等級(jí)保護(hù)工作中出現(xiàn)領(lǐng)導(dǎo)層與執(zhí)行層工作脫節(jié)，具體執(zhí)行工作難于直觀的反映到信息安全保障工作的直屬領(lǐng)導(dǎo)層面，出現(xiàn)信息安全等級(jí)保護(hù)工作執(zhí)行上的不透明，直接導(dǎo)致管理工作的執(zhí)行不徹底和不到位。

信息安全等級(jí)保護(hù)綜合管理系統(tǒng)在各行業(yè)開展等級(jí)保護(hù)工作的過(guò)程中，通過(guò)規(guī)范工作流程、完善數(shù)據(jù)管理、提供教育與培訓(xùn)等，提高等級(jí)保護(hù)工作人員的等級(jí)保護(hù)工作意識(shí)、理解等級(jí)保護(hù)工作職責(zé)、促進(jìn)等級(jí)保護(hù)工作的規(guī)范化。利用系 統(tǒng)的內(nèi)置的各種工作流程，可將等級(jí)保護(hù)工作要求迅速分解到相關(guān)技術(shù)部門和人員，大大降低了單位內(nèi)部的協(xié)調(diào)復(fù)雜性，提升了行業(yè)等級(jí)保護(hù)工作的整體實(shí)施能力。

5)促進(jìn)等級(jí)保護(hù)工作管理的常態(tài)化

信息安全等級(jí)保護(hù)綜合管理系統(tǒng)提供了安全整改活動(dòng)、等級(jí)測(cè)評(píng)活動(dòng)、安全檢查活動(dòng)和風(fēng)險(xiǎn)評(píng)估活動(dòng)的流程管理功能，為各行業(yè)開展的新一輪安全建設(shè)與整改工作以及等級(jí)測(cè)評(píng)工作提供了可靠的技術(shù)支撐。

信息安全等級(jí)保護(hù)綜合管理系統(tǒng)的定位和目標(biāo)是為我國(guó)各行業(yè)開展的等級(jí)保護(hù)工作建設(shè)一套運(yùn)行可靠、管理嚴(yán)密、控制有效、信息全面、監(jiān)管有力、便于維護(hù)、高效安全的工作平臺(tái)。實(shí)現(xiàn)信息系統(tǒng)定級(jí)備案、安全建設(shè)整改、等級(jí)測(cè)評(píng)和安全檢查等工作的信息化管理，提升等級(jí)保護(hù)工作的效率和管理水平。

信息安全等級(jí)保護(hù)綜合管理系統(tǒng)提供了涵蓋等級(jí)保護(hù)工作所有工作環(huán)節(jié)的管理功能，是一個(gè)以等級(jí)保護(hù)為核心的集成的、綜合的信息安全基礎(chǔ)工作平臺(tái)。該系統(tǒng)可有效促進(jìn)各行業(yè)等級(jí)保護(hù)工作管理的常態(tài)化。

信息系統(tǒng)網(wǎng)絡(luò)安全建設(shè)項(xiàng)目方案

3.2 系統(tǒng)架構(gòu)

上圖是LanSecS信息安全等級(jí)保護(hù)綜合管理系統(tǒng)的總體框架結(jié)構(gòu)示意圖。系統(tǒng)總體分為業(yè)務(wù)管理層、基礎(chǔ)數(shù)據(jù)層和接口層三個(gè)層次。業(yè)務(wù)功能層是軟件主體功能，包括等級(jí)保護(hù)工作管理、日常辦公管理、數(shù)據(jù)統(tǒng)計(jì)與分析和系統(tǒng)管理幾個(gè)部分?；A(chǔ)數(shù)據(jù)層維護(hù)等級(jí)保護(hù)工作所需的各類基礎(chǔ)數(shù)據(jù)，接口層負(fù)責(zé)與其它安全運(yùn)維管理系統(tǒng)或等級(jí)保護(hù)相關(guān)系統(tǒng)的數(shù)據(jù)共享和交互。1)等級(jí)保護(hù)工作管理

等級(jí)保護(hù)工作管理以信息安全等級(jí)保護(hù)工作為主線，對(duì)等級(jí)保護(hù)工作中的定級(jí)備案、安全建設(shè)整改、等級(jí)測(cè)評(píng)、安全檢查、風(fēng)險(xiǎn)評(píng)估、安全評(píng)價(jià)等各個(gè)工作環(huán)節(jié)進(jìn)行規(guī)范化管理，包括信息與數(shù)據(jù)的收集、工作流程管理等。2)基礎(chǔ)數(shù)據(jù)層

基礎(chǔ)數(shù)據(jù)管理為信息安全等級(jí)保護(hù)綜合管理所需的各種基礎(chǔ)信息與數(shù)據(jù)提供統(tǒng)一的維護(hù)與管理。包括政策法規(guī)、標(biāo)準(zhǔn)規(guī)范庫(kù)的管理，安全管理機(jī)構(gòu)、人員和管理制度庫(kù)的管理，災(zāi)備信息、應(yīng)急預(yù)案、應(yīng)急演練的管理，教育培訓(xùn)管理，專家?guī)旃芾?，資產(chǎn)信息管理，信息安全事件管理等。3)接口層

信息系統(tǒng)網(wǎng)絡(luò)安全建設(shè)項(xiàng)目方案

接口層負(fù)責(zé)提供本系統(tǒng)與其他系統(tǒng)之間的數(shù)據(jù)共享和交互接口。例如本系統(tǒng)的定級(jí)備案數(shù)據(jù)向公安部定級(jí)備案信息管理系統(tǒng)的數(shù)據(jù)輸出接口，信息安全運(yùn)維管理系統(tǒng)收集的數(shù)據(jù)向本系統(tǒng)的數(shù)據(jù)輸入接口等。

LanSecS信息安全等級(jí)保護(hù)綜合管理系統(tǒng)的業(yè)務(wù)體系架構(gòu)以及各業(yè)務(wù)模塊之間的關(guān)系如下圖所示。系統(tǒng)用戶通過(guò)瀏覽器訪問(wèn)LanSecS信息安全等級(jí)保護(hù)綜合管理系統(tǒng)，經(jīng)過(guò)系統(tǒng)身份認(rèn)證和權(quán)限控制，進(jìn)行等級(jí)保護(hù)業(yè)務(wù)管理工作。普通用戶以日常辦公管理作為主要操作界面。系統(tǒng)管理員則可對(duì)基礎(chǔ)數(shù)據(jù)、工作流程、具體等級(jí)保護(hù)工作環(huán)節(jié)的業(yè)務(wù)活動(dòng)進(jìn)行統(tǒng)一維護(hù)管理并可對(duì)工作過(guò)程進(jìn)行監(jiān)控、對(duì)信息和數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析等。

信息系統(tǒng)網(wǎng)絡(luò)安全建設(shè)項(xiàng)目方案

3.3 系統(tǒng)功能

“LanSecS 信息安全等級(jí)保護(hù)綜合管理系統(tǒng)”主要功能包括如下幾個(gè)方面： 1)定級(jí)備案管理 2)建設(shè)整改管理 3)等級(jí)測(cè)評(píng)管理 4)安全檢查管理

5)風(fēng)險(xiǎn)評(píng)估管理 6)日常辦公管理 7)統(tǒng)計(jì)分析 8)基礎(chǔ)數(shù)據(jù)維護(hù) 3.3.1 定級(jí)備案管理

重要信息系統(tǒng)的定級(jí)與備案工作是我國(guó)信息安全等級(jí)保護(hù)工作開展的基礎(chǔ)。各行業(yè)均應(yīng)對(duì)本行業(yè)內(nèi)各單位的重要信息系統(tǒng)進(jìn)行定級(jí)，并將定級(jí)情況向公安機(jī)關(guān)備案。目前大部分行業(yè)用戶，均通過(guò)手動(dòng)方式填寫備案登記表，備案表在本單位的留存也是以離散文檔的形式存儲(chǔ)。這種備案方式非常不利于備案信息的維護(hù)，也不利于備案信息的查詢、檢索和統(tǒng)計(jì)。也就無(wú)法為主管部門快速提供本單位的信息系統(tǒng)備案狀況。

本系統(tǒng)可為各行業(yè)的重要信息系統(tǒng)的定級(jí)和備案提供方便的管理功能。定級(jí)備案管理模塊功能邏輯結(jié)構(gòu)如下：

信息系統(tǒng)網(wǎng)絡(luò)安全建設(shè)項(xiàng)目方案

“定級(jí)備案管理”主要完成重要信息系統(tǒng)的定級(jí)備案信息維護(hù)與管理，包括備案信息的錄入、查詢、統(tǒng)計(jì)，備案信息表的導(dǎo)出和導(dǎo)入、備案數(shù)據(jù)采集等。具體如下：

1）備案信息填報(bào)：完成重要信息系統(tǒng)備案信息的填報(bào)；

2）備案情況查詢（更改）：按照備案單位或備案信息表中任何一個(gè)字段進(jìn)行單項(xiàng)查詢或組合查詢，查詢結(jié)果顯示為備案信息（分為以單位為主導(dǎo)和以信息系統(tǒng)為主導(dǎo)兩類，即允許用戶按單位查也可以按信息系統(tǒng)查），為一項(xiàng)或多項(xiàng)。提供關(guān)鍵字段的準(zhǔn)確和模糊查詢；

3）備案信息導(dǎo)出：將備案信息導(dǎo)出，供導(dǎo)入備案數(shù)據(jù)采集工具或監(jiān)督檢查工具使用；

4）備案情況統(tǒng)計(jì)：提供特定備案時(shí)間段的信息系統(tǒng)數(shù)量、單位數(shù)量等，統(tǒng)計(jì)顯示形式為統(tǒng)計(jì)表；

5）附加信息管理：完成備案附加信息的添加； 6）備案數(shù)據(jù)采集工具

? ■備案表填報(bào):完成備案表信息的填報(bào)；

? ■備案表校驗(yàn)和審核:完成備案表信息的校驗(yàn)和核對(duì)，以及系統(tǒng)自動(dòng)給用戶提供一個(gè)備案表編號(hào)供用戶酌情選擇使用；

? ■備案表WORD文檔生成：完成備案表xml格式到word文件格式的轉(zhuǎn)換和具體文件的生成；

? ■備案表信息打包：完成備案表信息、附件的合并和壓縮，生成可上傳文件

? ■批量入庫(kù)：實(shí)現(xiàn)文件包的解析和批量入庫(kù)。

3.3.2 建設(shè)整改管理

本系統(tǒng)將整改建設(shè)分為五個(gè)步驟環(huán)節(jié)：

1）工作部署：制定信息系統(tǒng)安全建設(shè)整改工作規(guī)劃，對(duì)信息系統(tǒng)安全建設(shè)整改工作進(jìn)行總體部署；

2）現(xiàn)狀分析：開展信息系統(tǒng)安全保護(hù)現(xiàn)狀分析，從管理和技術(shù)兩個(gè)方面確定信息系統(tǒng)安全建設(shè)整改需求；

3）整改方案：確定安全保護(hù)策略，制定信息系統(tǒng)安全建設(shè)整改方案； 4）整改實(shí)施：開展信息系統(tǒng)安全建設(shè)整改工作，建立并落實(shí)安全管理制度，落實(shí)安全責(zé)任制，建設(shè)安全設(shè)施，落實(shí)安全措施； 10

信息系統(tǒng)網(wǎng)絡(luò)安全建設(shè)項(xiàng)目方案

5）整改結(jié)果：開展安全自查和等級(jí)測(cè)評(píng)，及時(shí)發(fā)現(xiàn)信息系統(tǒng)中存在安全隱患和威脅，進(jìn)一步開展安全建設(shè)整改工作。

建設(shè)整改執(zhí)行流程如下圖所示。

“建設(shè)整改管理”主要完成已備案信息系統(tǒng)的建設(shè)整改活動(dòng)的跟蹤記錄與管理。包括建設(shè)整改信息的錄入、查詢、統(tǒng)計(jì)。

1）建設(shè)整改信息錄入：將建設(shè)整改活動(dòng)過(guò)程中的所有相關(guān)信息記錄入庫(kù)； 2）建設(shè)整改信息查詢：對(duì)入庫(kù)的建設(shè)整改信息，按照單位、系統(tǒng)或者整改信息表中的任何一個(gè)字段進(jìn)行信息檢索和查詢，查詢結(jié)果可生成報(bào)表；

3）建設(shè)整改信息導(dǎo)出：將建設(shè)整改信息導(dǎo)出，生成可以閱讀的word文檔格式。

3.3.3 等級(jí)測(cè)評(píng)管理

等級(jí)測(cè)評(píng)管理模塊負(fù)責(zé)對(duì)行業(yè)用戶發(fā)起的由第三方測(cè)評(píng)機(jī)構(gòu)主導(dǎo)實(shí)施的等級(jí)測(cè)評(píng)活動(dòng)的組織和管理。行業(yè)用戶在新上線的信息系統(tǒng)建設(shè)完畢或者對(duì)舊的信息系統(tǒng)安全建設(shè)整改完成時(shí)，均需要委托第三方測(cè)評(píng)機(jī)構(gòu)對(duì)信息進(jìn)行等級(jí)測(cè)評(píng)，以驗(yàn)證信息系統(tǒng)的安全建設(shè)是否符合定級(jí)要求。等級(jí)測(cè)評(píng)模塊主要負(fù)責(zé)對(duì)測(cè)評(píng)機(jī)構(gòu)的管理、測(cè)評(píng)流程的管理、測(cè)評(píng)結(jié)果的匯總與記錄、測(cè)評(píng)活動(dòng)的監(jiān)控等子模塊。各子模塊之間的關(guān)系如下圖所示：

信息系統(tǒng)網(wǎng)絡(luò)安全建設(shè)項(xiàng)目方案

1）等級(jí)測(cè)評(píng)信息錄入：將等級(jí)測(cè)評(píng)過(guò)程中的所有相關(guān)信息記錄入庫(kù)； 2）等級(jí)測(cè)評(píng)信息查詢：對(duì)入庫(kù)的等級(jí)測(cè)評(píng)信息，按照單位、系統(tǒng)或者等級(jí)測(cè)評(píng)信息表中的任何一個(gè)字段進(jìn)行信息檢索和查詢，查詢結(jié)果可生成報(bào)表；

3）等級(jí)測(cè)評(píng)信息導(dǎo)出：將等級(jí)測(cè)評(píng)信息導(dǎo)出，生成可以閱讀的word文檔格式； 4）等級(jí)測(cè)評(píng)機(jī)構(gòu)管理：等級(jí)測(cè)評(píng)機(jī)構(gòu)的相關(guān)信息管理；

5）等級(jí)測(cè)評(píng)報(bào)告管理：對(duì)已經(jīng)取得等級(jí)測(cè)評(píng)報(bào)告的信息系統(tǒng)所對(duì)應(yīng)的測(cè)評(píng)報(bào)告進(jìn)行集中歸檔管理。3.3.4 安全檢查管理

“安全檢查管理”提供對(duì)安全自查、主管部門檢查和公安機(jī)關(guān)檢查等安全檢查活動(dòng)狀況的跟蹤記錄管理。包括：

1）監(jiān)督檢查制度管理：對(duì)監(jiān)督檢查規(guī)章制度等級(jí)入庫(kù)，并提供查詢和打印服務(wù)；

2）安全自查管理：對(duì)安全自查活動(dòng)狀況進(jìn)行信息記錄，并提供查詢、統(tǒng)計(jì)服務(wù)；

3）主管部門檢查管理：對(duì)主管部門的檢查活動(dòng)狀況進(jìn)行信息記錄，并提供查詢和統(tǒng)服務(wù)；

4）監(jiān)督檢查數(shù)據(jù)導(dǎo)出：完成用戶從主系統(tǒng)中導(dǎo)出需要監(jiān)督檢查單位及其系統(tǒng)的相關(guān)信息，并轉(zhuǎn)換為桌面系統(tǒng)能解析識(shí)別的文件系統(tǒng)；

5）監(jiān)督檢查信息錄入：供用戶直接在主系統(tǒng)上填寫監(jiān)督檢查相關(guān)數(shù)據(jù)（或直接導(dǎo)入監(jiān)督檢查工具生成的檢查數(shù)據(jù)包），填寫完成后可生成符合《信息系統(tǒng)安全等級(jí)保護(hù)監(jiān)督檢查表》格式和內(nèi)容的Word文本；

6）監(jiān)督檢查情況查詢：要求按照檢查表中任何一個(gè)字段（包括檢查時(shí)間等）單項(xiàng)或組合進(jìn)行查詢，還可按檢查次數(shù)、是否超過(guò)檢查期限等條件查詢，查詢結(jié)果顯示為一項(xiàng)或多項(xiàng)，信息為單位或信息系統(tǒng)監(jiān)督檢查信息；

7）合規(guī)性檢查：對(duì)檢查結(jié)果進(jìn)行分析，并與已知標(biāo)準(zhǔn)進(jìn)行比對(duì)，判斷所檢查的信息系統(tǒng)是否合規(guī)。8）監(jiān)督檢查工具

????備案信息導(dǎo)入：可以將主系統(tǒng)導(dǎo)出的數(shù)據(jù)導(dǎo)入到監(jiān)督檢查工具中，便于在監(jiān)督檢查過(guò)程中實(shí)時(shí)查詢信息系統(tǒng)的備案信息；

????監(jiān)督檢查填報(bào)：完成用戶獨(dú)立填寫監(jiān)督檢查數(shù)據(jù)，登記信息、填寫完成后可生成符合《信息系統(tǒng)安全等級(jí)保護(hù)監(jiān)督檢查表》格式和內(nèi)容的Word文本； ????監(jiān)督檢查數(shù)據(jù)導(dǎo)入：完成桌面系統(tǒng)特定文件格式（特定的格式包，內(nèi)可含文本、圖象文件等附件信息）的監(jiān)督檢查數(shù)據(jù)導(dǎo)入進(jìn)服務(wù)器端主系統(tǒng)。

信息系統(tǒng)網(wǎng)絡(luò)安全建設(shè)項(xiàng)目方案

3.3.5 風(fēng)險(xiǎn)評(píng)估管理

風(fēng)險(xiǎn)評(píng)估管理主要負(fù)責(zé)對(duì)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估活動(dòng)的相關(guān)信息的維護(hù)管理，規(guī)范本單位在委托第三方進(jìn)行風(fēng)險(xiǎn)評(píng)估過(guò)程中需要進(jìn)行配合的相關(guān)事項(xiàng)和流程，并對(duì)整個(gè)風(fēng)險(xiǎn)評(píng)估活動(dòng)過(guò)程中的各種數(shù)據(jù)進(jìn)行匯總記錄。

風(fēng)險(xiǎn)評(píng)估管理主要由風(fēng)險(xiǎn)評(píng)估測(cè)評(píng)、風(fēng)險(xiǎn)評(píng)估管理兩個(gè)子模塊組成。風(fēng)險(xiǎn)評(píng)估測(cè)評(píng)子模塊采用內(nèi)置工作流引擎進(jìn)行風(fēng)險(xiǎn)評(píng)估工作的流程規(guī)范及過(guò)程推動(dòng)；風(fēng)險(xiǎn)評(píng)估管理子模塊可對(duì)已經(jīng)進(jìn)行過(guò)的風(fēng)險(xiǎn)評(píng)估測(cè)評(píng)項(xiàng)目的相關(guān)信息進(jìn)行查看管理，并可對(duì)當(dāng)前正在進(jìn)行風(fēng)險(xiǎn)評(píng)估測(cè)評(píng)的項(xiàng)目的執(zhí)行情況進(jìn)行監(jiān)控。

3.3.6 風(fēng)險(xiǎn)評(píng)估測(cè)評(píng)

風(fēng)險(xiǎn)評(píng)估測(cè)評(píng)通過(guò)內(nèi)置的工作流引擎，以系統(tǒng)預(yù)先定制的風(fēng)險(xiǎn)評(píng)估流程引導(dǎo)并規(guī)范風(fēng)險(xiǎn)評(píng)估測(cè)評(píng)工作的展開，具體的工作流程示意圖如下：

信息系統(tǒng)網(wǎng)絡(luò)安全建設(shè)項(xiàng)目方案

如上圖所示，風(fēng)險(xiǎn)評(píng)估流程主要由發(fā)起風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)評(píng)估準(zhǔn)備資料上傳、風(fēng)險(xiǎn)評(píng)估方案上傳、風(fēng)險(xiǎn)評(píng)估協(xié)助任務(wù)制定劃分、風(fēng)險(xiǎn)評(píng)估報(bào)告上傳、風(fēng)險(xiǎn)評(píng)估資料匯總整理、風(fēng)險(xiǎn)評(píng)估資料審核及風(fēng)險(xiǎn)評(píng)估資料歸檔等幾個(gè)環(huán)節(jié)組成。

1）發(fā)起風(fēng)險(xiǎn)評(píng)估

信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的第一個(gè)流程是發(fā)起一個(gè)風(fēng)險(xiǎn)評(píng)估項(xiàng)目，系統(tǒng)可記錄當(dāng)前項(xiàng)目發(fā)起的日期、主要目標(biāo)、主要任務(wù)和發(fā)起人等相關(guān)信息。風(fēng)險(xiǎn)評(píng)估發(fā)起后，此次風(fēng)險(xiǎn)評(píng)估即被納入流程管理，發(fā)起者可以指定相關(guān)人員進(jìn)行下一步的風(fēng)險(xiǎn)評(píng)估準(zhǔn)備資料上傳工作。

2）風(fēng)險(xiǎn)評(píng)估準(zhǔn)備資料上傳

風(fēng)險(xiǎn)評(píng)估準(zhǔn)備資料上傳負(fù)責(zé)風(fēng)險(xiǎn)評(píng)估所需的各種資料文件的上傳和管理，例如與第三方風(fēng)險(xiǎn)評(píng)估機(jī)構(gòu)簽署風(fēng)險(xiǎn)評(píng)估合同和保密協(xié)議等。系統(tǒng)可記錄的信息包括文件的簽署人，簽署日期和文件描述等相關(guān)信息。3）風(fēng)險(xiǎn)評(píng)估方案上傳

風(fēng)險(xiǎn)評(píng)估方案上傳負(fù)責(zé)將本次風(fēng)險(xiǎn)評(píng)估方案文件上傳并保存到系統(tǒng)中，系統(tǒng)可記錄信息包括方案提供方的單位及人員，方案接收方的人員、日期等信息。4）風(fēng)險(xiǎn)評(píng)估協(xié)助任務(wù)分配

風(fēng)險(xiǎn)評(píng)估協(xié)助任務(wù)分配負(fù)責(zé)對(duì)風(fēng)險(xiǎn)評(píng)估方案中的各項(xiàng)任務(wù)進(jìn)行分配，需要協(xié)助的風(fēng)險(xiǎn)評(píng)估任務(wù)主要包括為風(fēng)險(xiǎn)評(píng)估單位提供信息系統(tǒng)相關(guān)的信息，協(xié)助風(fēng)險(xiǎn)評(píng)估人員入場(chǎng)、離場(chǎng)，并簽署入場(chǎng)離場(chǎng)相關(guān)文件，協(xié)助風(fēng)險(xiǎn)評(píng)估單位人員執(zhí)行工具測(cè)評(píng)，并對(duì)測(cè)評(píng)結(jié)果簽字確認(rèn)等相關(guān)事項(xiàng)。

5）風(fēng)險(xiǎn)評(píng)估協(xié)助任務(wù)執(zhí)行

風(fēng)險(xiǎn)評(píng)估協(xié)助任務(wù)執(zhí)行負(fù)責(zé)通知各相關(guān)人員按照完成風(fēng)險(xiǎn)評(píng)估協(xié)助任務(wù)，并及時(shí)記錄任務(wù)完成的情況和相關(guān)信息等。6）風(fēng)險(xiǎn)評(píng)估報(bào)告上傳

風(fēng)險(xiǎn)評(píng)估報(bào)告上傳負(fù)責(zé)將第三方風(fēng)險(xiǎn)評(píng)估單位提供的風(fēng)險(xiǎn)評(píng)估報(bào)告上傳到服務(wù)臺(tái)并保存，系統(tǒng)可記錄提供報(bào)告文件的單位及人員和接收?qǐng)?bào)告文件的人員等相關(guān)信息。7）風(fēng)險(xiǎn)評(píng)估資料匯總整理

風(fēng)險(xiǎn)評(píng)估資料匯總整理負(fù)責(zé)將本次風(fēng)險(xiǎn)評(píng)估活動(dòng)的其它相關(guān)資料逐一入庫(kù)匯總，由系統(tǒng)進(jìn)行集中管理。方便系統(tǒng)使用單位將風(fēng)險(xiǎn)評(píng)估的結(jié)果做為建設(shè)整改的依據(jù)，幫助系統(tǒng)使用單位構(gòu)建一個(gè)良性循環(huán)的信息安全環(huán)境。

8）風(fēng)險(xiǎn)評(píng)估資料審核

風(fēng)險(xiǎn)評(píng)估資料審核是指由系統(tǒng)使用單位對(duì)風(fēng)險(xiǎn)評(píng)估測(cè)評(píng)單位提供的風(fēng)險(xiǎn)評(píng)估相關(guān)資料的評(píng)審與審核。

9）風(fēng)險(xiǎn)評(píng)估資料歸檔

風(fēng)險(xiǎn)評(píng)估資料歸檔主要提供電子文檔歸檔功能，并可記錄文件檔案存放位置等相關(guān)信息，方便系統(tǒng)使用單位集中管理風(fēng)險(xiǎn)評(píng)估相關(guān)信息。

3.3.7 風(fēng)險(xiǎn)評(píng)估管理

風(fēng)險(xiǎn)評(píng)估管理主要提供對(duì)歷史風(fēng)險(xiǎn)評(píng)估項(xiàng)目信息的查看管理以及對(duì)當(dāng)前正在進(jìn)行的風(fēng)險(xiǎn)評(píng)估項(xiàng)目的監(jiān)控功能。

風(fēng)險(xiǎn)評(píng)估項(xiàng)目信息的查看管理主要包括查看歷次風(fēng)險(xiǎn)評(píng)估項(xiàng)目基本信息，歷次風(fēng)險(xiǎn)評(píng)估資料檔案信息，歷次風(fēng)險(xiǎn)評(píng)估中的風(fēng)險(xiǎn)統(tǒng)計(jì)和不可接受風(fēng)險(xiǎn)處理計(jì)劃的功能。風(fēng)險(xiǎn)評(píng)估監(jiān)控的主要功能包括查看當(dāng)前正在進(jìn)行的風(fēng)險(xiǎn)評(píng)估活動(dòng)的最新狀況，當(dāng)前正在進(jìn)行的業(yè)務(wù)節(jié)點(diǎn)以及當(dāng)前進(jìn)行業(yè)務(wù)節(jié)點(diǎn)的處理情況、處理人和處理日期等相關(guān)信息，另外可以查看已經(jīng)完成的業(yè)務(wù)節(jié)點(diǎn)的處理情況、處理人和處理信息等相關(guān)信息。

信息系統(tǒng)網(wǎng)絡(luò)安全建設(shè)項(xiàng)目方案

3.3.8 日常辦公管理

日常辦公管理為系統(tǒng)用戶提供了一個(gè)日常工作的平臺(tái)，由待辦事項(xiàng)，辦結(jié)事項(xiàng)，任務(wù)管理，工作考核四個(gè)部分組成?；灸依伺c等級(jí)保護(hù)相關(guān)的事項(xiàng)的管理，其中系統(tǒng)內(nèi)部事項(xiàng)直接在此處提供統(tǒng)一入口，系統(tǒng)外事項(xiàng)在此處提供統(tǒng)一任務(wù)管理入口，納入到系統(tǒng)管理，方便等級(jí)保護(hù)工作的開展。具體關(guān)系如下圖：

信息系統(tǒng)網(wǎng)絡(luò)安全建設(shè)項(xiàng)目方案

1）待辦事項(xiàng)管理：提供需要辦理事項(xiàng)的記錄功能，并可標(biāo)記事項(xiàng)當(dāng)前進(jìn)展?fàn)顟B(tài)； 2）待辦事項(xiàng)查詢：對(duì)已經(jīng)錄入的事項(xiàng)，可按照待辦、辦結(jié)和超期等條件進(jìn)行歸類查詢，并按照其他條件進(jìn)行復(fù)合查詢；

3）任務(wù)管理：對(duì)上級(jí)派發(fā)的等級(jí)保護(hù)工作任務(wù)進(jìn)行登記管理，并提供任務(wù)執(zhí)行狀況的跟蹤記錄能力，可對(duì)任務(wù)進(jìn)行復(fù)合條件查詢和統(tǒng)計(jì)；

4）工作考核：對(duì)等級(jí)保護(hù)各個(gè)環(huán)節(jié)的工作狀況進(jìn)行考核，并給出綜合考核結(jié)果。

3.3.9 統(tǒng)計(jì)分析

統(tǒng)計(jì)分析管理主要提供等級(jí)保護(hù)相關(guān)的重要數(shù)據(jù)的統(tǒng)計(jì)及分析功能，包括信息系統(tǒng)統(tǒng)計(jì)，安全事件統(tǒng)計(jì)，工作事項(xiàng)統(tǒng)計(jì)，資產(chǎn)統(tǒng)計(jì)，安全機(jī)構(gòu)統(tǒng)計(jì)，安全人員統(tǒng)計(jì)，建設(shè)整改統(tǒng)計(jì)，等級(jí)測(cè)評(píng)統(tǒng)計(jì)，檢查情況統(tǒng)計(jì)等，并提供相應(yīng)的分析圖表。1）統(tǒng)計(jì)信息查看：提供統(tǒng)一的統(tǒng)計(jì)信息查看功能，統(tǒng)計(jì)信息包括： ????信息系統(tǒng)統(tǒng)計(jì)

????事件統(tǒng)計(jì) ????工作事項(xiàng)統(tǒng)計(jì) ????資產(chǎn)統(tǒng)計(jì) ????組織機(jī)構(gòu)統(tǒng)計(jì) ????人員統(tǒng)計(jì) ????建設(shè)整改統(tǒng)計(jì) ????等級(jí)測(cè)評(píng)統(tǒng)計(jì) ????檢查情況統(tǒng)計(jì)

????信息系統(tǒng)安全總體評(píng)價(jià)

2）統(tǒng)計(jì)報(bào)告生成：對(duì)統(tǒng)計(jì)結(jié)果生成統(tǒng)計(jì)報(bào)告，并可導(dǎo)出到常見的文件格式，如word、excel等。3.3.10 基礎(chǔ)數(shù)據(jù)管理

基礎(chǔ)數(shù)據(jù)管理提供對(duì)等級(jí)保護(hù)管理工作當(dāng)中各個(gè)環(huán)節(jié)所需的基礎(chǔ)數(shù)據(jù)進(jìn)行綜合管理。包括：

1)政策法規(guī)庫(kù)管理：提供國(guó)家、部委、行業(yè)、部門等各個(gè)級(jí)別的政策、法規(guī)的管理，包括錄入、修改、查詢、報(bào)表、打印、導(dǎo)出等維護(hù)操作。

2)標(biāo)準(zhǔn)規(guī)范庫(kù)：提供國(guó)家、部委、行業(yè)、部門等各個(gè)級(jí)別的標(biāo)準(zhǔn)規(guī)范的管理，包括錄入、修改、查詢、報(bào)表、打印、導(dǎo)出等維護(hù)操作。

3)事件管理：提供安全事件的錄入、查詢、統(tǒng)計(jì)、報(bào)告等維護(hù)操作。

信息系統(tǒng)網(wǎng)絡(luò)安全建設(shè)項(xiàng)目方案

4)資產(chǎn)管理：提供資產(chǎn)的手動(dòng)錄入、自動(dòng)收集，資產(chǎn)查詢、統(tǒng)計(jì)和報(bào)告等管理。5)組織機(jī)構(gòu)：提供組織機(jī)構(gòu)創(chuàng)建和維護(hù)管理。6)安全人員：提供人員的管理。

7)安全管理制度：提供人員管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理等管理制度的錄入、查詢和報(bào)告等功能。

8)安全管理措施：提供人員管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理等管理措施的錄入、查詢和報(bào)告等功能。

9)應(yīng)急處置：提供應(yīng)急預(yù)案和應(yīng)急演練等活動(dòng)的信息管理功能。10)技術(shù)支持隊(duì)伍：提供技術(shù)支持隊(duì)伍信息的錄入、查詢和報(bào)告等功能。11)專家?guī)欤禾峁＜規(guī)煨畔⒌匿浫?、查詢和?bào)告等功能。

12)知識(shí)庫(kù)：提供知識(shí)庫(kù)的維護(hù)管理。

基礎(chǔ)數(shù)據(jù)管理模塊對(duì)系統(tǒng)的基礎(chǔ)數(shù)據(jù)的管理操作包括： 1)數(shù)據(jù)的收集、錄入和匯總

系統(tǒng)可管理的基礎(chǔ)數(shù)據(jù)分類多達(dá)十余類，該模塊針對(duì)不同的數(shù)據(jù)分類，分別進(jìn)行信息的收集、錄入，存儲(chǔ)到數(shù)據(jù)庫(kù)中進(jìn)行匯總保存。

2)數(shù)據(jù)查詢與報(bào)表

針對(duì)不同類型的基礎(chǔ)數(shù)據(jù)，該模塊提供風(fēng)格統(tǒng)一的數(shù)據(jù)查詢、展現(xiàn)和報(bào)表功能。通過(guò)查詢和報(bào)表，用戶可將關(guān)心的數(shù)據(jù)篩選出來(lái)，形成數(shù)據(jù)報(bào)表，指導(dǎo)信息安全等級(jí)保護(hù)工作的開展。

3)數(shù)據(jù)統(tǒng)計(jì)分析

該模塊還負(fù)責(zé)對(duì)不同類別的數(shù)據(jù)，按照不同的統(tǒng)計(jì)方式，生成統(tǒng)計(jì)圖表，統(tǒng)計(jì)圖表可為等級(jí)保護(hù)工作狀況的綜合分析提供幫助。4)數(shù)據(jù)備份

基礎(chǔ)數(shù)據(jù)作為基本的等級(jí)保護(hù)管理數(shù)據(jù)，需要定期備份。該模塊可按照用戶設(shè)定的條件，對(duì)不同類別的基礎(chǔ)數(shù)據(jù)進(jìn)行定期備份。該模塊還提供備份數(shù)據(jù)的人工恢復(fù)。

信息系統(tǒng)網(wǎng)絡(luò)安全建設(shè)項(xiàng)目方案

3.3.11 分級(jí)管理

對(duì)于大型行業(yè)用戶，其信息系統(tǒng)分布在不同的行政區(qū)域或轄區(qū)，這些信息系統(tǒng)的維護(hù)管理也由轄區(qū)內(nèi)下級(jí)單位負(fù)責(zé)管理。但是上級(jí)單位又需要了解和掌握下級(jí)單位的信息安全等級(jí)保護(hù)工作開展情況。鑒于此，本系統(tǒng)提供了分級(jí)管理功能。

分級(jí)管理功能，可在多個(gè)等級(jí)保護(hù)綜合管理系統(tǒng)之間（一般的，在上級(jí)系統(tǒng)和下級(jí)系統(tǒng)之間）建立關(guān)聯(lián)關(guān)系。確定上下級(jí)關(guān)系后，下級(jí)系統(tǒng)可以將本級(jí)的信息和數(shù)據(jù)定期或?qū)崟r(shí)上傳到上級(jí)系統(tǒng)中。如此，上級(jí)單位可對(duì)下級(jí)單位的等級(jí)保護(hù)工作信息和數(shù)據(jù)進(jìn)行集中管理，如查詢、統(tǒng)計(jì)和分析等。從而掌握下級(jí)單位的信息安全等級(jí)保護(hù)工作的開展?fàn)顩r。

3.3.12 系統(tǒng)接口

LanSecS信息安全等級(jí)保護(hù)綜合管理系統(tǒng)由數(shù)據(jù)采集和共享中心負(fù)責(zé)提供與其他各種安全系統(tǒng)和應(yīng)用系統(tǒng)的接口管理。數(shù)據(jù)采集和共享中心對(duì)系統(tǒng)接口進(jìn)行統(tǒng)一封裝和集中管理。數(shù)據(jù)采集和共享中心采用插件化的接口設(shè)計(jì)與管理，可以根據(jù)不同用戶的需求，定制適合用戶需要的系統(tǒng)數(shù)據(jù)采集和共享接口。數(shù)據(jù)采集和共享中心作為基礎(chǔ)接口支撐平臺(tái)，為用戶的系統(tǒng)數(shù)據(jù)采集和共享提供了靈活的手段和方式。數(shù)據(jù)采集和共享中心的接口分類兩大類，數(shù)據(jù)采集類和數(shù)據(jù)共享類。1)數(shù)據(jù)采集接口

數(shù)據(jù)采集接口負(fù)責(zé)從其它信息系統(tǒng)或者安全設(shè)備收集信息和數(shù)據(jù)，將采集的信息和數(shù)據(jù)存儲(chǔ)到系統(tǒng)數(shù)據(jù)庫(kù)中。這些數(shù)據(jù)為等級(jí)保護(hù)綜合管理系統(tǒng)的各項(xiàng)工作管理提供更加豐富的數(shù)據(jù)支持，為安全建設(shè)整改方案和安全檢查方案的制定提供依據(jù)。例如，通過(guò)等級(jí)測(cè)評(píng)數(shù)據(jù)采集接口，可將信息安全等級(jí)保護(hù)測(cè)評(píng)與評(píng)估系統(tǒng)的測(cè)評(píng)數(shù)據(jù)導(dǎo)入本系統(tǒng)，為系統(tǒng)的等級(jí)測(cè)評(píng)活動(dòng)提供測(cè)評(píng)依據(jù)；通過(guò)資產(chǎn)信息采集接口，可將其他資產(chǎn)管理系統(tǒng)的資產(chǎn)數(shù)據(jù)直接導(dǎo)入本系統(tǒng)，省卻了資產(chǎn)信息的收集和錄入；通過(guò)安全事件采集接口，可將其他安全運(yùn)維管理系統(tǒng)的安全事件實(shí)時(shí)導(dǎo)入本系統(tǒng)，由本系統(tǒng)負(fù)責(zé)統(tǒng)一的安全事件管理。

2)數(shù)據(jù)共享接口

信息系統(tǒng)網(wǎng)絡(luò)安全建設(shè)項(xiàng)目方案

數(shù)據(jù)共享接口負(fù)責(zé)將等級(jí)保護(hù)綜合管理系統(tǒng)的自身數(shù)據(jù)共享給其他信息系統(tǒng)使用，為其他信息系統(tǒng)提供豐富的數(shù)據(jù)來(lái)源，以便對(duì)數(shù)據(jù)進(jìn)行進(jìn)一步的分析和處理。例如，本系統(tǒng)的安全評(píng)價(jià)數(shù)據(jù)，可輸出至專家評(píng)價(jià)系統(tǒng)進(jìn)行信息系統(tǒng)的綜合安全評(píng)價(jià)；本系統(tǒng)的定級(jí)備案數(shù)據(jù)，可導(dǎo)入公安部定級(jí)備案綜合工作平臺(tái)，完成行業(yè)用戶的定級(jí)備案工作。

3.4 系統(tǒng)安全性

系統(tǒng)設(shè)計(jì)充分考慮了自身的安全性，主要采取了如下技術(shù)措施保障系統(tǒng)自身的安全性。

身份認(rèn)證方面：本系統(tǒng)有專門的身份認(rèn)證模塊，系統(tǒng)自身設(shè)計(jì)采用了雙因子身份認(rèn)證。通過(guò)統(tǒng)一的用戶管理功能保證用戶標(biāo)識(shí)的唯一性。用戶登錄失敗會(huì)話自動(dòng)無(wú)效，自動(dòng)限制登錄失敗次數(shù)。

訪問(wèn)控制方面：本系統(tǒng)實(shí)現(xiàn)了基于角色的訪問(wèn)控制技術(shù)，按數(shù)據(jù)和功能授予用戶權(quán)限。專門的攔截過(guò)濾器檢查用戶的每一次訪問(wèn)是否符合授權(quán)要求。授權(quán)和審計(jì)管理分開。安全審計(jì)方面：本系統(tǒng)對(duì)用戶的訪問(wèn)行為按功能、數(shù)據(jù)對(duì)象記錄了詳細(xì)的日志，并提供了日志查詢和統(tǒng)計(jì)功能。

剩余信息保護(hù)方面：敏感信息不得寫入靜態(tài)字段，內(nèi)存自動(dòng)回收技術(shù)保護(hù)了內(nèi)存中的剩余信息。定期檢查系統(tǒng)使用臨時(shí)文件夾，清除過(guò)期的臨時(shí)文件。通信完整性和保密性方面：本系統(tǒng)為B/S架構(gòu)，通過(guò)對(duì)SSL協(xié)議的支持實(shí)現(xiàn)通信完整性和保密性方面的要求。

軟件容錯(cuò)方面：用戶提交的信息，系統(tǒng)在處理前進(jìn)行數(shù)據(jù)有效性檢查。所有的異常必須得到有效正理。對(duì)于外部采集的數(shù)據(jù)導(dǎo)入，則規(guī)定必須進(jìn)行嚴(yán)格的數(shù)據(jù)檢查后才準(zhǔn)導(dǎo)入。多線程技術(shù)防止了單個(gè)用戶的錯(cuò)誤不會(huì)影響系統(tǒng)的其它用戶的業(yè)務(wù)操作。故障報(bào)警機(jī)制使用管理員及時(shí)地處理系統(tǒng)故障。提供災(zāi)難時(shí)的數(shù)據(jù)恢復(fù)功能。

資源控制方面：禁止用戶的并發(fā)登錄，設(shè)置合適的會(huì)話失效時(shí)間，當(dāng)用戶登錄錯(cuò)誤超過(guò)一定次數(shù)時(shí)自動(dòng)鎖定。并記錄日志。

代碼安全方面：通過(guò)工具掃描、代碼復(fù)審保證程序代碼符合編碼規(guī)范，查找可能存在的惡意代碼。

信息系統(tǒng)網(wǎng)絡(luò)安全建設(shè)項(xiàng)目方案

3.5 系統(tǒng)部署

系統(tǒng)支持兩種部署模式，一種是獨(dú)立部署，一種是分級(jí)部署。通過(guò)分級(jí)部署，可以將下級(jí)系統(tǒng)的信息和數(shù)據(jù)實(shí)時(shí)或周期性同步到上級(jí)系統(tǒng)中，為上級(jí)部門的等級(jí)保護(hù)工作管理提供更加完備的數(shù)據(jù)支持。

3.6 系統(tǒng)配置要求

本系統(tǒng)的配置要求如下： 1）數(shù)據(jù)庫(kù)服務(wù)器：用于提供基礎(chǔ)數(shù)據(jù)和等級(jí)保護(hù)工作數(shù)據(jù)存貯服務(wù)，配置要求為雙CPU Xeon 3.0G 以上，500G硬盤以上，內(nèi)存4G以上； 2）應(yīng)用服務(wù)器：用于部署本系統(tǒng)服務(wù)器程序，配置要求為雙CPU Xeon 3.0G 以上，120G硬盤，內(nèi)存4G以上；

3）系統(tǒng)管理主機(jī)：用于本系統(tǒng)的管理，通過(guò)瀏覽器進(jìn)行系統(tǒng)的管理。配置要求為Xeon 3.0G CPU，120G硬盤，內(nèi)存1G以上。

信息系統(tǒng)網(wǎng)絡(luò)安全建設(shè)項(xiàng)目方案 內(nèi)網(wǎng)安全管理系統(tǒng)

4.1 內(nèi)網(wǎng)安全管理系統(tǒng)概述

LanSecS?內(nèi)網(wǎng)安全管理系統(tǒng)通過(guò)對(duì)計(jì)算機(jī)準(zhǔn)入控制、計(jì)算機(jī)安全加固、計(jì)算機(jī)運(yùn)行維護(hù)、計(jì)算機(jī)安全審計(jì)、移動(dòng)存儲(chǔ)介質(zhì)注冊(cè)等多個(gè)方面的綜合管理，為政府和企業(yè)用戶打造一個(gè)安全、可信、規(guī)范、健康的內(nèi)網(wǎng)環(huán)境。LanSecS?內(nèi)網(wǎng)安全管理系統(tǒng)V7.0 是圣博潤(rùn)公司的一個(gè)里程碑式的、戰(zhàn)略性的產(chǎn)品版本，該版本通過(guò)系統(tǒng)架構(gòu)的優(yōu)化調(diào)整和用戶需求的持續(xù)跟蹤，使得產(chǎn)品性能顯著提升、產(chǎn)品功能進(jìn)一步豐富。借助LanSecS?內(nèi)網(wǎng)安全管理系統(tǒng)v7.0 的發(fā)布，圣博潤(rùn)公司更加明確地宣告了其專注于內(nèi)網(wǎng)安全管理領(lǐng)域的決心。LanSecS?內(nèi)網(wǎng)安全管理系統(tǒng)可為用戶解決如下一系列的內(nèi)網(wǎng)安全管理問(wèn)題： ? ·確保入網(wǎng)終端符合要求 ? ·全面監(jiān)測(cè)終端健康狀況 ? ·保證終端信息安全可控 ? ·動(dòng)態(tài)監(jiān)測(cè)內(nèi)網(wǎng)安全態(tài)勢(shì) ? ·快速定位解決終端故障 ? ·規(guī)范企業(yè)員工網(wǎng)絡(luò)行為 ? ·統(tǒng)一內(nèi)網(wǎng)用戶身份管理 ? ·杜絕移動(dòng)存儲(chǔ)介質(zhì)濫用 ? ·提高和實(shí)現(xiàn)軟件正版化

在為用戶提供終端安全保護(hù)手段的同時(shí)，LanSecS?內(nèi)網(wǎng)安全管理系統(tǒng)更加強(qiáng)調(diào)為用戶提供便利的終端運(yùn)維管理手段。集中式、人性化的終端管理能力是LanSecS?內(nèi)網(wǎng)安全管理系統(tǒng)的特色之一，也是圣博潤(rùn)公司一直以來(lái)的努力方向。4.2 產(chǎn)品架構(gòu)

信息系統(tǒng)網(wǎng)絡(luò)安全建設(shè)項(xiàng)目方案

4.2.1 終端監(jiān)控引擎

終端監(jiān)控引擎以服務(wù)的形式運(yùn)行于終端計(jì)算機(jī)上，是終端計(jì)算機(jī)管理的核心和基礎(chǔ)部件，用于對(duì)被管理終端計(jì)算機(jī)的安全加固、運(yùn)行維護(hù)和監(jiān)測(cè)審計(jì)等管理職能。終端監(jiān)控引擎可以部署在所有Windows 系列操作系統(tǒng)上，包括Windows 2000、Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows

7、windows8、windows Server 2012。

終端監(jiān)控引擎的設(shè)計(jì)充分考慮了穩(wěn)定性、安全性和兼容性要求。終端監(jiān)控引擎可防止惡意停止，并全面兼容防病毒軟件、防火墻軟件、設(shè)計(jì)開發(fā)軟件、業(yè)務(wù)軟件、辦公軟件。

4.2.2 總控中心

總控中心用于計(jì)算機(jī)的集中管理，為終端監(jiān)控引擎和管理控制臺(tái)提供一系列的管理服務(wù)。由注冊(cè)管理服務(wù)、認(rèn)證管理服務(wù)、策略管理服務(wù)、審計(jì)管理服務(wù)、補(bǔ)丁/軟件分發(fā)服務(wù)等組成。視內(nèi)網(wǎng)規(guī)模和性能要求，這些服務(wù)可分別部署在不同的硬件平臺(tái)上，也可部署在同一個(gè)硬件平臺(tái)上。

·策略管理服務(wù)：負(fù)責(zé)終端計(jì)算機(jī)策略的配置和更新。

·審計(jì)管理服務(wù)：負(fù)責(zé)接收終端監(jiān)控引擎發(fā)送的審計(jì)信息與事件報(bào)警，并存儲(chǔ)到數(shù)據(jù)庫(kù)中。

·接入認(rèn)證服務(wù)：負(fù)責(zé)對(duì)接入內(nèi)網(wǎng)的終端計(jì)算機(jī)身份和健康狀況進(jìn)行認(rèn)證。

·文件備份服務(wù)：提供集中的文件備份。文件備份服務(wù)支持用戶身份認(rèn)證。

·補(bǔ)丁分發(fā)服務(wù)：提供補(bǔ)丁文件和軟件的下載服務(wù)，支持 FTP 和HTTP 兩種方式。

·時(shí)間同步服務(wù)：為終端計(jì)算機(jī)提供統(tǒng)一的標(biāo)準(zhǔn)時(shí)間服務(wù)，便于終端計(jì)算機(jī)的時(shí)間管理。

·網(wǎng)絡(luò)管理服務(wù)：提供網(wǎng)絡(luò)拓?fù)鋻呙璺?wù)，可繪制網(wǎng)絡(luò)的鏈路層拓?fù)洹?/p>

·分級(jí)管理服務(wù)：提供分級(jí)部署環(huán)境下的分級(jí)管理。

·事件訂閱服務(wù)：接受報(bào)警監(jiān)控程序事件訂閱，根據(jù)訂閱條件向報(bào)警監(jiān)控程序發(fā)送

·符合要求的報(bào)警事件，可向多個(gè)報(bào)警監(jiān)控程序同時(shí)提供服務(wù)。

·健康檢測(cè)服務(wù)：用于總控中心自身各服務(wù)的運(yùn)行狀態(tài)監(jiān)控。4.2.3 管理控制臺(tái)

管理控制臺(tái)是系統(tǒng)管理人員提供系統(tǒng)管理入口。采用了B/S 方式進(jìn)行系統(tǒng)管理，通過(guò)管理控制臺(tái)可以完成系統(tǒng)管理的全部操作。

4.2.4 系統(tǒng)數(shù)據(jù)庫(kù)

系統(tǒng)數(shù)據(jù)庫(kù)用于存儲(chǔ)策略、信息和事件，全面支持目前主流數(shù)據(jù)庫(kù)，包括：SQL Server、MySQL、Oracle、IBM DB2、PostGreSQL、Gbase?？偪刂行呐c數(shù)據(jù)庫(kù)之間采用數(shù)據(jù)庫(kù)訪問(wèn)中間件和網(wǎng)絡(luò)緩存技術(shù)實(shí)現(xiàn)高速數(shù)據(jù)訪問(wèn)。通過(guò)數(shù)據(jù)庫(kù)訪問(wèn)中間件和網(wǎng)絡(luò)緩存，可以大大降低數(shù)據(jù)庫(kù)的訪問(wèn)壓力，提高數(shù)據(jù)的存儲(chǔ)和訪問(wèn)能力。

終端監(jiān)控引擎和總控中心之間采用ICE 網(wǎng)絡(luò)通訊中間件進(jìn)行相互通訊。通過(guò)SSL 協(xié)議對(duì)

信息系統(tǒng)網(wǎng)絡(luò)安全建設(shè)項(xiàng)目方案

通信過(guò)程進(jìn)行認(rèn)證和加密，增強(qiáng)組件間通信的安全性。三層管理結(jié)構(gòu)大大提高了系統(tǒng)設(shè)計(jì)開發(fā)、安裝部署和運(yùn)行維護(hù)的靈活性、便利性和擴(kuò)展性。4.3 產(chǎn)品功能 4.3.1 終端運(yùn)維管理

內(nèi)網(wǎng)的可靠運(yùn)行是業(yè)務(wù)系統(tǒng)可靠運(yùn)行的保障。內(nèi)網(wǎng)的可靠運(yùn)行依賴于網(wǎng)絡(luò)設(shè)備、服務(wù)器和個(gè)人終端計(jì)算機(jī)的安全運(yùn)行，任何一個(gè)環(huán)節(jié)出現(xiàn)故障，都可能對(duì)內(nèi)網(wǎng)的可靠性產(chǎn)生不可估量的沖擊。

內(nèi)網(wǎng)中主要設(shè)備是終端計(jì)算機(jī)，終端計(jì)算機(jī)的安全運(yùn)行與管理對(duì)整個(gè)內(nèi)網(wǎng)安全有至關(guān)重要的作用。系統(tǒng)對(duì)終端計(jì)算機(jī)的管理采取了兩種不同的安全措施：系統(tǒng)運(yùn)行管理和系統(tǒng)監(jiān)測(cè)。

系統(tǒng)運(yùn)行管理方面主要包括補(bǔ)丁管理、主機(jī)資產(chǎn)管理、主機(jī)防病毒管理、系統(tǒng)日志管理、時(shí)間同步、消息分發(fā)及文件備份，通過(guò)系統(tǒng)運(yùn)行管理確保終端主機(jī)以最安全的狀態(tài)運(yùn)行，有效地減少病毒爆發(fā)和木馬泛濫帶來(lái)的內(nèi)網(wǎng)安全隱患，減少終端計(jì)算機(jī)被入侵的可能性。

系統(tǒng)監(jiān)測(cè)方面主要包括主機(jī)性能、網(wǎng)絡(luò)流量、健康狀態(tài)、設(shè)備入網(wǎng)、時(shí)間同步與安全態(tài)勢(shì)分析等。通過(guò)系統(tǒng)檢測(cè)可以讓管理員及時(shí)了解整個(gè)網(wǎng)絡(luò)內(nèi)終端主機(jī)的狀態(tài)，針對(duì)存在的安全隱患及時(shí)采取有效措施，更好地保證內(nèi)網(wǎng)的可靠性。

具體功能如下：

信息系統(tǒng)網(wǎng)絡(luò)安全建設(shè)項(xiàng)目方案

4.3.2 終端安全加固

終端主機(jī)的安全運(yùn)行是整個(gè)網(wǎng)絡(luò)的基礎(chǔ)，而終端主機(jī)運(yùn)行參數(shù)、運(yùn)行策略的穩(wěn)定又是終端主機(jī)安全運(yùn)行的保障，系統(tǒng)的具體加固措施包括如下方面：

信息系統(tǒng)網(wǎng)絡(luò)安全建設(shè)項(xiàng)目方案

4.3.3 終端安全審計(jì)

任何政府部門和企業(yè)單位，均擁有自己的機(jī)密信息。這些機(jī)密信息，如果沒(méi)有良好的技術(shù)防護(hù)手段，很容易發(fā)生侵害政府和企業(yè)利益的信息泄露事件。政府和企業(yè)面臨的信息泄露威脅有兩種：被動(dòng)信息泄露和主動(dòng)信息泄露。

被動(dòng)信息泄露：由于人員缺乏信息保密意識(shí)，常常由于專業(yè)知識(shí)不熟悉或者工作疏忽而造成泄密。如有些人由于不知道計(jì)算機(jī)的電磁波輻射會(huì)泄露秘密信息，計(jì)算機(jī)工作時(shí)未采取任何措施，因而給他人提供竊密的機(jī)會(huì)；有些人由于不知道計(jì)算機(jī)軟盤上的剩磁可以提取還原，將曾經(jīng)存貯過(guò)秘密信息的軟盤交流出去，因而造成泄密；有些人因事離機(jī)時(shí)沒(méi)有及時(shí)關(guān)機(jī)，或者采取屏幕保護(hù)加密措施，使各種輸入、輸出信息暴露在界面上；有些人對(duì)自己使用的計(jì)算機(jī)終端缺乏防護(hù)意識(shí)，如沒(méi)有及時(shí)升級(jí)病毒庫(kù)和更新系統(tǒng)補(bǔ)丁，導(dǎo)致病毒和木馬的入侵，在不知不覺(jué)中泄露了機(jī)密信息。

主動(dòng)信息泄露：這種情況是由于內(nèi)部人員出于個(gè)人利益或者發(fā)泄不滿情緒，有意識(shí)的收集和竊取機(jī)密信息。由于電子信息文檔不像統(tǒng)文檔那樣直觀，極易被復(fù)制，且不會(huì)留下痕跡，所以竊取秘密也非常容易。電子計(jì)算機(jī)操作人員徇私枉法，受親友或朋友委托，通過(guò)計(jì)算機(jī)查詢有關(guān)案情，就可以向有關(guān)人員泄露案情。計(jì)算機(jī)操作人員被收買，泄露計(jì)算機(jī)系統(tǒng)軟件保密措施，口令或密鑰，就會(huì)使不法分子打入計(jì)算機(jī)網(wǎng)絡(luò)，竊取信息系統(tǒng)、數(shù)據(jù)庫(kù)內(nèi)的重要秘密。

對(duì)于政府部門和企業(yè)來(lái)說(shuō)，計(jì)算機(jī)終端作為信息處理的工具，在其上存儲(chǔ)、傳輸和處理的信息的安全性保護(hù)相當(dāng)重要。任何一個(gè)環(huán)節(jié)的疏漏均可導(dǎo)致信息的丟失。因此，必須加強(qiáng)對(duì)信息的監(jiān)控和審計(jì)管理。LanSecS?內(nèi)網(wǎng)安全管理系統(tǒng)提供了設(shè)備輸出監(jiān)控、違規(guī)外聯(lián)監(jiān)控、共享監(jiān)控、打印監(jiān)控、文件監(jiān)控、賬戶監(jiān)控、進(jìn)程監(jiān)控、服務(wù)監(jiān)控、軟件安裝監(jiān)控、注冊(cè)表監(jiān)控和網(wǎng)絡(luò)行為審計(jì)等一系列信息監(jiān)控與審計(jì)功能，為政府和企業(yè)的信息保密與信息防護(hù)提供了有力的技術(shù)手段和工具。4.3.4 網(wǎng)絡(luò)準(zhǔn)入控制

系統(tǒng)提供了“主動(dòng)防護(hù)”和“動(dòng)態(tài)監(jiān)控”相結(jié)合的計(jì)算機(jī)準(zhǔn)入控制機(jī)制?！爸鲃?dòng)防護(hù)”是指：在計(jì)算機(jī)接入網(wǎng)絡(luò)之前，首先驗(yàn)證其身份信息和安全狀態(tài)，以決定是否允許其接入網(wǎng)絡(luò)。這與以往的安全思路“先接入網(wǎng)絡(luò)，再驗(yàn)證其身份”相比，極大地提高了網(wǎng)絡(luò)的安全性。

“動(dòng)態(tài)監(jiān)控”是指：當(dāng)計(jì)算機(jī)通過(guò)驗(yàn)證并接入網(wǎng)絡(luò)后，并非該計(jì)算機(jī)就可以在接入期間不受控制地訪問(wèn)網(wǎng)絡(luò)資源。系統(tǒng)還會(huì)動(dòng)態(tài)地對(duì)接入計(jì)算機(jī)的身份和安全狀態(tài)進(jìn)行跟蹤和檢測(cè)，一旦發(fā)現(xiàn)身份信息和安全狀態(tài)有變，即刻對(duì)其重新隔離。

主機(jī)健康檢查：對(duì)接入內(nèi)網(wǎng)的計(jì)算機(jī)的安全狀況進(jìn)行檢查。

接入認(rèn)證：對(duì)主機(jī)進(jìn)行身份認(rèn)證，系統(tǒng)支持用戶名/口令、PKI 數(shù)字證書以及設(shè)備特征標(biāo)識(shí)三種身份信息的認(rèn)證方式。

主機(jī)隔離與修復(fù)：根據(jù)策略將未通過(guò)認(rèn)證的主機(jī)隔離到修復(fù)區(qū)/工作區(qū)/訪客區(qū)。

主機(jī)狀態(tài)動(dòng)態(tài)檢測(cè)：對(duì)接入網(wǎng)絡(luò)的計(jì)算機(jī)進(jìn)行動(dòng)態(tài)監(jiān)測(cè)，監(jiān)測(cè)的內(nèi)容包括身份確認(rèn)、安全狀態(tài)確認(rèn)等。

IP 通訊控制：網(wǎng)內(nèi)主機(jī)之間的通訊采用PKI 數(shù)字證書標(biāo)識(shí)雙方的身份，并同時(shí)對(duì)通訊數(shù)據(jù)進(jìn)行加密。

信息系統(tǒng)網(wǎng)絡(luò)安全建設(shè)項(xiàng)目方案

4.3.5 移動(dòng)存儲(chǔ)管理

USB 移動(dòng)存儲(chǔ)介質(zhì)是目前使用最為廣泛的數(shù)據(jù)交換手段。也正因?yàn)閁SB 移動(dòng)存儲(chǔ)介質(zhì)使用的廣泛性，為政府和企業(yè)內(nèi)網(wǎng)信息的安全防護(hù)帶來(lái)了很大的安全隱患，如何對(duì)其進(jìn)行有效的管理，成為政府、企業(yè)和信息安全產(chǎn)品提供商需要共同面對(duì)的問(wèn)題。系統(tǒng)通過(guò)對(duì)移動(dòng)存儲(chǔ)介質(zhì)實(shí)施注冊(cè)管理，有效避免了移動(dòng)存儲(chǔ)介質(zhì)的濫用，以此提高政府和企業(yè)內(nèi)網(wǎng)信息的安全性。

移動(dòng)存儲(chǔ)介質(zhì)注冊(cè)管理是指將移動(dòng)存儲(chǔ)介質(zhì)進(jìn)行特殊處理后，在移動(dòng)存儲(chǔ)介質(zhì)無(wú)法被直接訪問(wèn)的區(qū)域?qū)懭朐撘苿?dòng)存儲(chǔ)介質(zhì)相對(duì)應(yīng)的注冊(cè)信息，注冊(cè)信息包括兩種類型：標(biāo)記信息：用于標(biāo)明該移動(dòng)存儲(chǔ)介質(zhì)的所有者、聯(lián)系方式、管理者、所屬部門等。訪問(wèn)控制信息：當(dāng)該移動(dòng)存儲(chǔ)介質(zhì)插入計(jì)算機(jī)時(shí)，依靠訪問(wèn)控制信息決定是否允許在計(jì)算機(jī)上使用。

根據(jù)用戶管理需求的不同，系統(tǒng)將移動(dòng)存儲(chǔ)介質(zhì)的管理分為五種管理模式：未授權(quán)移動(dòng)存儲(chǔ)介質(zhì)、安全U 盤、多分區(qū)U 盤、專用安全U 盤、特權(quán)U 盤。注冊(cè)介質(zhì)的授權(quán)使用范圍包括全局、部門與主機(jī)三個(gè)選項(xiàng)。注冊(cè)介質(zhì)的授權(quán)操作權(quán)限包括只讀、讀寫與禁用、只寫四種工作模式。

系統(tǒng)通過(guò)專用工具對(duì)各種存儲(chǔ)介質(zhì)進(jìn)行注冊(cè)管理，系統(tǒng)自帶U 盤資源管理器，實(shí)現(xiàn)對(duì)注冊(cè)移動(dòng)存儲(chǔ)介質(zhì)的訪問(wèn)與文件操作，有效地保證了移動(dòng)存儲(chǔ)介質(zhì)管理的安全性。

系統(tǒng)采用了文件操作動(dòng)態(tài)監(jiān)控和審計(jì)的技術(shù)思路。當(dāng)有文件在加密移動(dòng)存儲(chǔ)介質(zhì)和本地磁盤進(jìn)行拷貝時(shí)，系統(tǒng)將自動(dòng)記錄文件操作行為，包括訪問(wèn)、創(chuàng)建、刪除、修改等。4.4 產(chǎn)品性能 4.4.1 終端引擎性能

終端監(jiān)控引擎設(shè)計(jì)時(shí)充分考慮了其可能對(duì)桌面計(jì)算機(jī)造成的性能影響，通過(guò)多次優(yōu)化，形成了現(xiàn)在的終端監(jiān)控引擎架構(gòu)。該架構(gòu)保證了終端監(jiān)控引擎在穩(wěn)定可靠運(yùn)行的前提下，仍能保持極少的靜態(tài)工作模式系統(tǒng)資源占用。

經(jīng)過(guò)嚴(yán)格的第三方測(cè)試，以及大量用戶的實(shí)際使用證明，終端監(jiān)控引擎在靜態(tài)工作模式下，對(duì)系統(tǒng)資源的占用幾乎可以達(dá)到零消耗。靜態(tài)工作模式下，CPU 的占用率低于1%，內(nèi)存占用低于10M，網(wǎng)絡(luò)帶寬占用低于0.2K/s/客戶端。4.4.2 總控性能

LanSecS?內(nèi)網(wǎng)安全管理系總控中心采用了分層設(shè)計(jì)理念，系統(tǒng)架構(gòu)設(shè)計(jì)時(shí)采用了分布式負(fù)載均衡技術(shù)和動(dòng)態(tài)性能擴(kuò)展技術(shù)，路由與定位服務(wù)、業(yè)務(wù)服務(wù)、數(shù)據(jù)庫(kù)服務(wù)均支持多個(gè)服務(wù)鏡像，從而能有效分散終端計(jì)算機(jī)連接請(qǐng)求，實(shí)現(xiàn)負(fù)載均衡。同時(shí)，在系統(tǒng)運(yùn)行過(guò)程中，可以根據(jù)業(yè)務(wù)需要隨時(shí)增加路由與定位服務(wù)、業(yè)務(wù)服務(wù)和數(shù)據(jù)庫(kù)服務(wù)鏡像，以達(dá)到動(dòng)態(tài)性能擴(kuò)展的目的。系統(tǒng)可以在一個(gè)總控中心單元管理2 萬(wàn)臺(tái)終端計(jì)算機(jī)。4.4.3 自身安全性

LanSecS 系統(tǒng)設(shè)計(jì)之初便對(duì)其自身安全性做了充分的考慮和技術(shù)處理，使LanSecS 系統(tǒng)的安全性得到了有效的保障。在自身安全性方面，主要考慮了如下幾個(gè)安全問(wèn)題： 26

信息系統(tǒng)網(wǎng)絡(luò)安全建設(shè)項(xiàng)目方案

? ·總控中心安全性：系統(tǒng)通過(guò)采用最小服務(wù)原則、系統(tǒng)管理控制、代理訪問(wèn)認(rèn)證等幾個(gè)措施確?？偪刂行牡陌踩\(yùn)行。

? ·終端監(jiān)控引擎安全性：系統(tǒng)通過(guò)采用監(jiān)控進(jìn)程隱藏技術(shù)、本地文件訪問(wèn)保護(hù)、多入口恢復(fù)技術(shù)及監(jiān)控引擎完整性校驗(yàn)技術(shù)等確保終端監(jiān)控引擎的安全運(yùn)行。

? ·數(shù)據(jù)庫(kù)安全性：系統(tǒng)通過(guò)采用數(shù)據(jù)庫(kù)訪問(wèn)控制、數(shù)據(jù)加密與數(shù)據(jù)備份等措施確保數(shù)據(jù)庫(kù)的安全運(yùn)行。

? ·策略安全性：系統(tǒng)通過(guò)策略訂單生成控制、加密策略傳遞與存儲(chǔ)、策略完整性校驗(yàn)等措施確保策略的安全性。

? ·通訊安全性：系統(tǒng)通過(guò)采用加密傳輸、身份認(rèn)證、本地安全存儲(chǔ)等措施確保終端監(jiān)控引擎與總控中心之間的通訊的安全運(yùn)行。

4.4.3 產(chǎn)品性能指標(biāo)

LanSecS?內(nèi)網(wǎng)安全管理系統(tǒng)主要性能指標(biāo)如下： ? ·總控中心最大并發(fā)連接數(shù)：3000；

? ·總控中心最大可管理注冊(cè)主機(jī)數(shù)量：20000 臺(tái)； ? ·總控中心網(wǎng)絡(luò)帶寬占用：100K/1000 客戶端； ? ·終端監(jiān)控引擎 CPU 占用（靜態(tài)模式）：< 1%；

4.5 產(chǎn)品規(guī)范

LanSecS?內(nèi)網(wǎng)安全管理系統(tǒng)的設(shè)計(jì)參考了如下國(guó)家標(biāo)準(zhǔn)規(guī)范： ? ·BMB17‐2006：《涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)技術(shù)要求》 ? ·BMB20‐2007：《涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)管理規(guī)范》

? ·BMB22‐2007：《涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)分級(jí)保護(hù)測(cè)評(píng)指南》 ? ·GB/T22239‐2008：《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》 ? ·GBT 22240‐2008：《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》 ? ·GBT 22241‐2008：《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》

4.6 產(chǎn)品部署

4.6.1 產(chǎn)品形態(tài)

LanSecS?內(nèi)網(wǎng)安全管理系統(tǒng)提供網(wǎng)絡(luò)版和單機(jī)版兩種產(chǎn)品版本。網(wǎng)絡(luò)版適用于對(duì)聯(lián)網(wǎng)的內(nèi)網(wǎng)計(jì)算機(jī)進(jìn)行統(tǒng)一的安全管理，而單機(jī)版則適用于對(duì)未接入內(nèi)網(wǎng)的獨(dú)立計(jì)算機(jī)進(jìn)行安全管理。用戶可以根據(jù)自己的實(shí)際情況選擇部署和使用兩種版本中的任何一種。網(wǎng)絡(luò)版：網(wǎng)絡(luò)版產(chǎn)品可以提供最大的管理靈活性和方便性。通過(guò)計(jì)算機(jī)的集中管理，實(shí)現(xiàn)內(nèi)網(wǎng)策略的統(tǒng)一和報(bào)警事件的集中管理和響應(yīng)。單機(jī)版：?jiǎn)螜C(jī)版產(chǎn)品可以對(duì)孤立的計(jì)算機(jī)進(jìn)行單獨(dú)管理。策略的配置和事件的管理均在本地計(jì)算機(jī)實(shí)現(xiàn)。

信息系統(tǒng)網(wǎng)絡(luò)安全建設(shè)項(xiàng)目方案

4.6.2 部署方式

LanSecS?內(nèi)網(wǎng)安全管理系統(tǒng)提供本地和分級(jí)兩種產(chǎn)品部署方式。用戶可以根據(jù)網(wǎng)絡(luò)的實(shí)際環(huán)境選擇合適的部署方式進(jìn)行產(chǎn)品的部署實(shí)施。

本地部署

本地部署是本系統(tǒng)最常見的部署方式。適用于計(jì)算機(jī)終端數(shù)量不多（例如，小于10000臺(tái)）并希望對(duì)所有終端計(jì)算機(jī)進(jìn)行集中管理的用戶環(huán)境。在該部署方式下，所有的計(jì)算機(jī)終端注冊(cè)到同一個(gè)總控中心。本地部署的優(yōu)點(diǎn)是可以在一個(gè)系統(tǒng)管理中心監(jiān)控到內(nèi)網(wǎng)中所有計(jì)算機(jī)的活動(dòng)狀況。其部署示意圖如下：

分級(jí)部署

分級(jí)部署是指在按照地域或者部門的不同，在內(nèi)網(wǎng)中安裝多個(gè)總控中心，不同地域或者部門的計(jì)算機(jī)分別注冊(cè)到不同的總控中心。總控中心之間通過(guò)分級(jí)注冊(cè)，形成上下級(jí)關(guān)聯(lián)關(guān)系。

上下級(jí)關(guān)聯(lián)關(guān)系確認(rèn)后，可以對(duì)整個(gè)系統(tǒng)實(shí)行分級(jí)管理。上級(jí)可以對(duì)下級(jí)分發(fā)終端監(jiān)控引擎安全策略，上級(jí)也可要求下級(jí)將安全事件上報(bào)到上級(jí)總控中心。從而實(shí)現(xiàn)上級(jí)對(duì)下級(jí)的管理。

分級(jí)部署方式的優(yōu)點(diǎn)是，可以將實(shí)際的日常運(yùn)維管理權(quán)限分散到不同的部門或區(qū)域，但上級(jí)仍然可以保證對(duì)下級(jí)的管理能力。另外，通過(guò)分級(jí)部署，可以無(wú)限的增大計(jì)算機(jī)管理數(shù)量。例如，可以通過(guò)分級(jí)部署管理多達(dá)幾十萬(wàn)臺(tái)的計(jì)算機(jī)。分級(jí)部署示意圖如下： 28

信息系統(tǒng)網(wǎng)絡(luò)安全建設(shè)項(xiàng)目方案 內(nèi)控管理平臺(tái)（堡壘主機(jī)）5.1 堡壘主機(jī)概述

隨著信息化的發(fā)展，企事業(yè)單位IT系統(tǒng)不斷發(fā)展，網(wǎng)絡(luò)規(guī)模迅速擴(kuò)大，設(shè)備數(shù)量激增，建設(shè)重點(diǎn)逐步從網(wǎng)絡(luò)平臺(tái)轉(zhuǎn)向深化應(yīng)用、提升效益為特征的運(yùn)維階段；IT系統(tǒng)運(yùn)維與安全管理正逐漸走向融合。面對(duì)日趨復(fù)雜的IT系統(tǒng)，不同背景的運(yùn)維人員已經(jīng)給用戶信息系統(tǒng)安全運(yùn)行帶來(lái)較大的潛在風(fēng)險(xiǎn)，因此，內(nèi)網(wǎng)信息系統(tǒng)安全治理在加大網(wǎng)絡(luò)邊界防護(hù)、數(shù)據(jù)通信安全、防病毒等基礎(chǔ)上，不能忽略網(wǎng)絡(luò)后臺(tái)運(yùn)維安全治理和對(duì)于系統(tǒng)操作人員的審計(jì)監(jiān)控方面的管理，而堡壘主機(jī)作為內(nèi)網(wǎng)安全治理的一種有效技術(shù)手段應(yīng)運(yùn)而生。

5.2 產(chǎn)品功能

5.2.1 賬號(hào)管理

帳號(hào)管理包含對(duì)所有服務(wù)器、網(wǎng)絡(luò)設(shè)備帳號(hào)以及所有使用堡壘主機(jī)自然人的賬號(hào)實(shí)行集中管理。賬號(hào)的集中管理是集中授權(quán)、認(rèn)證和審計(jì)的基礎(chǔ)。集中帳號(hào)管理可以完成對(duì)帳號(hào)整個(gè)生命周期的監(jiān)控和管理，而且降低了設(shè)備管理員管理大量用戶帳號(hào)的難度和工作量。同時(shí)，通過(guò)統(tǒng)一的管理還能夠發(fā)現(xiàn)帳號(hào)中存在的安全隱患，并且制定統(tǒng)一的、標(biāo)準(zhǔn)的用戶帳號(hào)安全策略。

通過(guò)建立集中帳號(hào)管理，可實(shí)現(xiàn)帳號(hào)與實(shí)際自然人相關(guān)聯(lián)。通過(guò)這種關(guān)聯(lián)，可實(shí)現(xiàn)多級(jí)的用戶管理和細(xì)粒度的用戶授權(quán)。而且，還可以實(shí)現(xiàn)針對(duì)自然人的實(shí)名行為審計(jì)，真正滿足審計(jì)的需要。

信息系統(tǒng)網(wǎng)絡(luò)安全建設(shè)項(xiàng)目方案

5.2.2 主賬號(hào)管理

使用堡壘主機(jī)系統(tǒng)的用戶與真實(shí)人員是唯一對(duì)應(yīng)的，普通用戶即為主賬號(hào)。主賬號(hào)管理將實(shí)現(xiàn)對(duì)用戶的集中管理及用戶的集中授權(quán)管理。主賬號(hào)管理功能包括主賬號(hào)的創(chuàng)建，主賬號(hào)基本信息維護(hù)，主賬號(hào)資源角色授權(quán)（主賬號(hào)資源訪問(wèn)授權(quán)），主賬號(hào)的鎖定，主賬號(hào)刪除等。除此之外，還可以通過(guò)角色劃分功能，區(qū)分人員類別，比如一線、二線，崗位不同，中心員工或外包人員等。

5.2.3 從賬號(hào)管理

依照等級(jí)保護(hù)和分級(jí)保護(hù)的基本要求，對(duì)于內(nèi)網(wǎng)設(shè)備的口令需要定時(shí)按照一定的復(fù)雜程度進(jìn)行變更，堡壘主機(jī)提供自動(dòng)定時(shí)批量修改從賬號(hào)口令的功能。用戶可自定義口令變更時(shí)間、周期、復(fù)雜程度等內(nèi)容。極大的減輕了運(yùn)維人員的工作壓力。5.2.4 授權(quán)管理

LanSecS（堡壘主機(jī)）內(nèi)控管理平臺(tái)通過(guò)靈活的授權(quán)管理和細(xì)粒度的訪問(wèn)控制管理可以對(duì)用戶對(duì)各種資源的訪問(wèn)進(jìn)行控制和審計(jì)。

5.2.5 靈活的授權(quán)管理

LanSecS（堡壘主機(jī)）內(nèi)控管理平臺(tái)提供統(tǒng)一的界面，對(duì)用戶、角色與行為、資源進(jìn)行關(guān)聯(lián)授權(quán)，以達(dá)到對(duì)權(quán)限的細(xì)粒度分配，最大限度保護(hù)IT資源的安全。在集中授權(quán)里強(qiáng)調(diào)的“集中”是邏輯上的集中，而不是物理上的集中。即在各網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)、安全設(shè)備中可能還擁有各自的權(quán)限管理功能，管理員也由各自的歸口管理部門委派，但是這些管理員從統(tǒng)一的授權(quán)系統(tǒng)進(jìn)去以后，可以對(duì)各自的管理對(duì)象進(jìn)行授權(quán)，而不需要進(jìn)入每一個(gè)被管理對(duì)象才能授權(quán)。30

信息系統(tǒng)網(wǎng)絡(luò)安全建設(shè)項(xiàng)目方案

5.2.6 細(xì)粒度的訪問(wèn)控制管理

LanSecS（堡壘主機(jī)）內(nèi)控管理平臺(tái)能夠提供細(xì)粒度的訪問(wèn)控制管理。細(xì)粒度的命令策略是命令的集合，提供基于黑白名單的命令清單配置，該命令策略可分配給運(yùn)維自然人或后臺(tái)設(shè)備，另外也可提供基于訪問(wèn)時(shí)間、訪問(wèn)地點(diǎn)、資源、系統(tǒng)帳號(hào)、操作命令、自定義命令的強(qiáng)訪問(wèn)控制。通過(guò)對(duì)訪問(wèn)內(nèi)容的監(jiān)控和記錄、對(duì)危險(xiǎn)命令的過(guò)濾，實(shí)現(xiàn)內(nèi)部訪問(wèn)的安全運(yùn)作。

訪問(wèn)控制策略是保護(hù)系統(tǒng)安全性的重要環(huán)節(jié)，制定良好的訪問(wèn)控制策略能夠有效提高系統(tǒng)的安全性。

5.2.7 認(rèn)證管理

認(rèn)證方式多樣性

LanSecS（堡壘主機(jī)）內(nèi)控管理平臺(tái)為用戶提供統(tǒng)一的認(rèn)證接口。采用統(tǒng)一的認(rèn)證接口不但便于對(duì)用戶認(rèn)證的管理，而且能夠采用更加安全的認(rèn)證模式，提高認(rèn)證的安全性和可靠性。

LanSecS（堡壘主機(jī)）內(nèi)控管理平臺(tái)自身是經(jīng)過(guò)加固的可防御進(jìn)攻的安全設(shè)備，支持靜態(tài)口令、動(dòng)態(tài)口令、USB-KEY、數(shù)字證書、動(dòng)態(tài)令牌、生物特征等多種組合認(rèn)證方式，并且傳輸過(guò)程加密。

單點(diǎn)登錄

LanSecS（堡壘主機(jī)）內(nèi)控管理平臺(tái)提供了基于B/S的單點(diǎn)登錄，在整個(gè)IT系統(tǒng)中具有多帳號(hào)的用戶提供了方便快捷的訪問(wèn)途徑，運(yùn)維人員通過(guò)一次登錄堡壘主機(jī)，就可以訪問(wèn)被授權(quán)的多個(gè)設(shè)備資源，無(wú)需再次手動(dòng)輸入設(shè)備賬號(hào)和密碼信息，而且訪問(wèn)不同系統(tǒng)不用重復(fù)登錄，提高了運(yùn)維的效率，改善用戶體驗(yàn)。同時(shí)，集中的單點(diǎn)登錄便于全系統(tǒng)采用強(qiáng)認(rèn)證，從而提高了用戶認(rèn)證環(huán)節(jié)的安全性。

LanSecS（堡壘主機(jī)）內(nèi)控管理平臺(tái)基于人性化設(shè)計(jì)，不改變用戶原有運(yùn)維習(xí)慣，支持原有運(yùn)維工具。

信息系統(tǒng)網(wǎng)絡(luò)安全建設(shè)項(xiàng)目方案

5.2.8 審計(jì)管理

實(shí)時(shí)監(jiān)控與阻斷

LanSecS（堡壘主機(jī)）內(nèi)控管理平臺(tái)能夠?qū)崿F(xiàn)對(duì)運(yùn)維人員在線操作的實(shí)時(shí)監(jiān)控功能，審計(jì)員可以以圖像方式實(shí)時(shí)的監(jiān)視運(yùn)維人員的運(yùn)維操作，如果發(fā)現(xiàn)運(yùn)維人員存在不合規(guī)的操作，審計(jì)員有權(quán)限實(shí)現(xiàn)對(duì)當(dāng)前會(huì)話的實(shí)時(shí)阻斷。詳盡的操作審計(jì)

LanSecS（堡壘主機(jī)）內(nèi)控管理平臺(tái)提供詳盡的操作審計(jì)功能，主要審計(jì)操作人員的帳號(hào)使用（登錄、資源訪問(wèn)）情況、資源使用情況等。在各服務(wù)器主機(jī)、網(wǎng)絡(luò)設(shè)備的訪問(wèn)日志記錄都采用統(tǒng)一的帳號(hào)、資源進(jìn)行標(biāo)識(shí)后，操作審計(jì)能更好地對(duì)帳號(hào)的完整使用過(guò)程進(jìn)行追蹤審計(jì)。由于堡壘主機(jī)采用單點(diǎn)登錄（SSO）方式，自然人與堡壘賬號(hào)實(shí)現(xiàn)一一對(duì)應(yīng)，審計(jì)員可以輕松的將系統(tǒng)操作與自然人相對(duì)應(yīng)，解決了以往運(yùn)維環(huán)境中僅追查到設(shè)備賬號(hào)層面的問(wèn)題，方便了安全事故的定責(zé)工作。

LanSecS（堡壘主機(jī)）內(nèi)控管理平臺(tái)提供命令審計(jì)、內(nèi)容審計(jì)和錄像審計(jì)。對(duì)不同設(shè)備、不同訪問(wèn)方式都有詳盡的操作審計(jì)，真實(shí)、直觀的重現(xiàn)操作人員的操作過(guò)程。系統(tǒng)支持操作協(xié)議：Telnet、FTP、SFTP、SSH、SSH2、RDP、X windows、VNC等。

LanSecS（堡壘主機(jī)）內(nèi)控管理平臺(tái)通過(guò)系統(tǒng)自身的用戶認(rèn)證系統(tǒng)、用戶授權(quán)系統(tǒng)，以及訪問(wèn)控制等詳細(xì)記錄整個(gè)會(huì)話過(guò)程中用戶的全部行為，還可以將審計(jì)日志傳送給第三方。

完備的審計(jì)報(bào)表

LanSecS（堡壘主機(jī)）內(nèi)控管理平臺(tái)提供完備的審計(jì)報(bào)表。堡壘主機(jī)管理員可以按照用戶定義條件，以及系統(tǒng)自定義的報(bào)表模板制定綜合報(bào)表；系統(tǒng)可按照訪問(wèn)者、被保護(hù)對(duì)象、行為方式、操作內(nèi)容等自動(dòng)生成統(tǒng)計(jì)報(bào)表，并能按照用戶的要求添加、修改報(bào)表數(shù)量、格式及內(nèi)容，以滿足審計(jì)的要求。內(nèi)部審計(jì)

LanSecS（堡壘主機(jī)）內(nèi)控管理平臺(tái)提供完備的內(nèi)部審計(jì)記錄，可完整記錄堡壘主機(jī)管理員的管理行為，如主/從賬號(hào)管理、策略修改、登入、登出等內(nèi)容。5.3 產(chǎn)品特點(diǎn)

5.3.1 完善的加密措施

LanSecS（堡壘主機(jī)）內(nèi)控管理平臺(tái)對(duì)訪問(wèn)會(huì)話代理全程提供通信加密防護(hù)。堡壘主機(jī)業(yè)務(wù)數(shù)據(jù)及審計(jì)錄像文件均密文本地。5.3.2運(yùn)維登陸一次性會(huì)話號(hào)機(jī)制防重放

LanSecS（堡壘主機(jī)）內(nèi)控管理平臺(tái)運(yùn)維登陸到目標(biāo)服務(wù)器時(shí)，采用一次性會(huì)話號(hào)機(jī)制。該機(jī)制會(huì)話號(hào)只能使用一次，防止不法人員通過(guò)重放攻擊方式訪問(wèn)堡壘主機(jī)。5.3.3口令信封

LanSecS（堡壘主機(jī)）內(nèi)控管理平臺(tái)提供口令信封打印功能，用戶可定期通過(guò)口令信封對(duì)主/從賬號(hào)信息打印紙質(zhì)存檔。

5.3.4內(nèi)置證書發(fā)放中心，不依賴第三方CA實(shí)現(xiàn)證書認(rèn)證

LanSecS（堡壘主機(jī)）內(nèi)控管理平臺(tái)內(nèi)置證書發(fā)放系統(tǒng)，支持軟/硬證書的發(fā)放，可和靜態(tài)口令組成雙因素認(rèn)證方式，滿足相關(guān)政策要求，節(jié)約企業(yè)成本。5.3.5流程審批

·雙人共管

LanSecS（堡壘主機(jī)）內(nèi)控管理平臺(tái)支持以雙人共管的方式對(duì)資源進(jìn)行保護(hù)。即其中一人想要對(duì)資源進(jìn)行訪問(wèn)的時(shí)候，需要另外一人批準(zhǔn)通過(guò)后方能進(jìn)行訪問(wèn)?！ぶ鞲睄徆芾?/p>

信息系統(tǒng)網(wǎng)絡(luò)安全建設(shè)項(xiàng)目方案

LanSecS（堡壘主機(jī)）內(nèi)控管理平臺(tái)可以通過(guò)主副崗的方式對(duì)資源進(jìn)行保護(hù)。即想要對(duì)資源進(jìn)行訪問(wèn)的時(shí)候，均需主崗進(jìn)行審批，批準(zhǔn)后方能進(jìn)行訪問(wèn)?！っ顚徟?/p>

LanSecS（堡壘主機(jī)）內(nèi)控管理平臺(tái)支持通過(guò)命令審批的方式對(duì)資源進(jìn)行保護(hù)。即當(dāng)在控制名單內(nèi)的命令被請(qǐng)求執(zhí)行時(shí)，需要進(jìn)行多層次審批，只有所有審批均通過(guò)后，該命令才可以被執(zhí)行，否則命令請(qǐng)求將被阻斷。5.3.6 高可用性

LanSecS（堡壘主機(jī)）內(nèi)控管理平臺(tái)提供主/備模式雙機(jī)熱備部署，主備機(jī)切換時(shí)長(zhǎng)小于3秒。5.4 客戶收益

5.4.1 實(shí)現(xiàn)對(duì)用戶帳號(hào)的統(tǒng)一管理和維護(hù)

在實(shí)現(xiàn)集中帳號(hào)管理前，每一個(gè)新上線應(yīng)用系統(tǒng)均需要建立一套新的用戶帳號(hào)管理系統(tǒng)，并且分別由各自的管理員負(fù)責(zé)維護(hù)和管理。這種相對(duì)獨(dú)立的帳號(hào)管理系統(tǒng)不僅建設(shè)前期投入成本較高，而且后期管理維護(hù)成本也會(huì)成倍增加。而通過(guò)堡壘主機(jī)的集中帳號(hào)管理，可實(shí)現(xiàn)對(duì)IT系統(tǒng)所需的帳號(hào)基礎(chǔ)信息（包括用戶身份信息、機(jī)構(gòu)部門信息、其他公司相關(guān)信息，以及生命周期信息等）進(jìn)行標(biāo)準(zhǔn)化的管理，能夠?yàn)楦鱅T系統(tǒng)提供基礎(chǔ)的用戶信息源。通過(guò)統(tǒng)一用戶信息維護(hù)入口，保證各系統(tǒng)的用戶帳號(hào)信息的唯一性和同步更新。

5.4.2 解決用戶帳號(hào)共享問(wèn)題

主機(jī)、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備中存在大量的共享帳號(hào)，當(dāng)發(fā)生安全事故時(shí)，難于確定帳號(hào)的實(shí)際使用者，通過(guò)部署LanSecS（堡壘主機(jī)）內(nèi)控管理平臺(tái)系統(tǒng)，可以解決共享帳號(hào)問(wèn)題。

5.4.3 解決帳號(hào)鎖定問(wèn)題

用戶登錄失敗五次，應(yīng)對(duì)帳號(hào)進(jìn)行鎖定。網(wǎng)絡(luò)設(shè)備、主機(jī)、應(yīng)用系統(tǒng)等大都不支持帳號(hào)鎖定功能。通過(guò)部署LanSecS（堡壘主機(jī)）內(nèi)控管理平臺(tái)系統(tǒng)，可以實(shí)現(xiàn)用戶帳號(hào)鎖定、一鍵刪除等功能。

5.4.4 實(shí)現(xiàn)集中身份認(rèn)證和訪問(wèn)控制，避免冒名訪問(wèn)，提高訪問(wèn)安全性

·提供集中身份認(rèn)證服務(wù)

實(shí)現(xiàn)用戶訪問(wèn)IT系統(tǒng)的認(rèn)證入口集中化和統(tǒng)一化，并實(shí)現(xiàn)高強(qiáng)度的認(rèn)證方式，使整個(gè)IT系統(tǒng)的登錄和認(rèn)證行為可控制及可管理，從而提升業(yè)務(wù)連續(xù)性和系統(tǒng)安全性?！?shí)現(xiàn)用戶密碼管理，滿足SOX法案內(nèi)控管理的要求

多數(shù)企業(yè)對(duì)主機(jī)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫(kù)的訪問(wèn)都是基于“用戶名+靜態(tài)密碼”訪問(wèn)，密碼長(zhǎng)期不更換，密碼重復(fù)嘗試的次數(shù)也沒(méi)有限制，這些都不能滿足SOX法案內(nèi)控管理的需求。僅通過(guò)制度要求用戶在密碼更換、密碼設(shè)定等方面滿足SOX相關(guān)要求，無(wú)法在具體執(zhí)行過(guò)程中對(duì)用戶進(jìn)行有效監(jiān)督和檢查。LanSecS（堡壘主機(jī)）內(nèi)控管理平臺(tái)系統(tǒng)通過(guò)建設(shè)集中的認(rèn)證系統(tǒng)，并結(jié)合集中帳號(hào)管理的相關(guān)功能，實(shí)現(xiàn)用戶密碼管理，密碼自動(dòng)變更，提高系統(tǒng)認(rèn)證的安全性?！?shí)現(xiàn)對(duì)用戶的統(tǒng)一接入訪問(wèn)控制功能

部署堡壘主機(jī)前，維護(hù)人員接入IT系統(tǒng)進(jìn)行維護(hù)操作具有接入方式多樣、接入點(diǎn)分散的特點(diǎn)。而維護(hù)人員中很多是代維人員，這些代維人員來(lái)自于各集成商或設(shè)備供應(yīng)商，人員參差不齊，流動(dòng)性大。由于維護(hù)人員對(duì)系統(tǒng)擁有過(guò)大權(quán)限，缺乏對(duì)其進(jìn)行訪問(wèn)控制和行為審計(jì)的手段，存在極大的安全隱患。LanSecS（堡壘主機(jī)）內(nèi)控管理平臺(tái)系統(tǒng)統(tǒng)一維護(hù)人員訪問(wèn)系統(tǒng)和設(shè)備的入口，提供訪問(wèn)控制功能，有效的解決運(yùn)維人員的操作問(wèn)題，降低相關(guān)IT系統(tǒng)的安全風(fēng)險(xiǎn)。

5.4.5 實(shí)現(xiàn)集中授權(quán)管理，簡(jiǎn)化授權(quán)流程，減輕管理壓力

信息系統(tǒng)網(wǎng)絡(luò)安全建設(shè)項(xiàng)目方案

·實(shí)現(xiàn)統(tǒng)一的授權(quán)管理

各應(yīng)用系統(tǒng)分別管理所屬的資源，并為本系統(tǒng)的用戶分配權(quán)限，若沒(méi)有集中統(tǒng)一的資源授權(quán)管理平臺(tái)，授權(quán)管理任務(wù)隨著用戶數(shù)量及應(yīng)用系統(tǒng)數(shù)量的增加越來(lái)越重，系統(tǒng)的安全性也無(wú)法得到充分保證。LanSecS（堡壘主機(jī)）內(nèi)控管理平臺(tái)系統(tǒng)實(shí)現(xiàn)統(tǒng)一的授權(quán)管理，對(duì)所有被管應(yīng)用系統(tǒng)的授權(quán)信息進(jìn)行標(biāo)準(zhǔn)化的管理，減輕管理員的管理工作，提升系統(tǒng)安全性。·授權(quán)流程化管理

通過(guò)LanSecS（堡壘主機(jī)）內(nèi)控管理平臺(tái)系統(tǒng)，管理層可容易地對(duì)用戶權(quán)限進(jìn)行審查，并確保用戶的權(quán)限中不能有不兼容職責(zé)，用戶只能擁有與身份相符的權(quán)限，授權(quán)也有相應(yīng)的工作流審批。

5.4.6 實(shí)現(xiàn)單點(diǎn)登錄，規(guī)范操作過(guò)程，簡(jiǎn)化操作流程

5.4.6.1 單點(diǎn)登錄

LanSecS（堡壘主機(jī)）內(nèi)控管理平臺(tái)提供了基于B/S的單點(diǎn)登錄系統(tǒng)，用戶通過(guò)一次登錄系統(tǒng)后，就可以無(wú)需認(rèn)證的訪問(wèn)包括被授權(quán)的多種基于B/S和C/S的應(yīng)用系統(tǒng)。單點(diǎn)登錄為具有多帳號(hào)的用戶提供了方便快捷的訪問(wèn)途經(jīng)，使用戶無(wú)需記憶多種登錄用戶ID和口令。它通過(guò)向用戶和客戶提供對(duì)其個(gè)性化資源的快捷訪問(wèn)來(lái)提高生產(chǎn)效率。同時(shí)，單點(diǎn)登錄可以實(shí)現(xiàn)與用戶授權(quán)管理的無(wú)縫連接，這樣可以通過(guò)對(duì)用戶、角色、行為和資源的授權(quán)，增加對(duì)資源的保護(hù)，和對(duì)用戶行為的監(jiān)控及審計(jì)。5.4.6.2 規(guī)范操作流程

規(guī)范操作人員和第三方代維廠商的操作行為。通過(guò)LanSecS（堡壘主機(jī)）內(nèi)控管理平臺(tái)系統(tǒng)的部署，所有系統(tǒng)管理人員，第三方系統(tǒng)維護(hù)人員，都必須通過(guò)LanSecS（堡壘主機(jī)）內(nèi)控管理平臺(tái)系統(tǒng)來(lái)實(shí)施網(wǎng)絡(luò)管理和服務(wù)器維護(hù)。對(duì)所有操作行為做到可控制、可審計(jì)、可追蹤。審計(jì)人員定期對(duì)維護(hù)人員的操作進(jìn)行審計(jì)，以提高維護(hù)人員的操作規(guī)范性。

LanSecS（堡壘主機(jī)）內(nèi)控管理平臺(tái)系統(tǒng)規(guī)范了運(yùn)維操作的工作流程，將管理員從繁瑣的密碼管理工作中解放出來(lái)，投入到其他工作上，對(duì)第三方代維廠商的維護(hù)操作也不再需要專門陪同，從而有效提高了運(yùn)維管理效率。

5.4.7 實(shí)現(xiàn)實(shí)名運(yùn)維審計(jì)，滿足安全規(guī)范要求

5.4.7.1 實(shí)現(xiàn)集中的日志審計(jì)功能

各應(yīng)用系統(tǒng)相互獨(dú)立的日志審計(jì)，無(wú)法進(jìn)行綜合日志分析，很難通過(guò)日志審計(jì)發(fā)現(xiàn)異?；蜻`規(guī)行為。LanSecS（堡壘主機(jī)）內(nèi)控管理平臺(tái)系統(tǒng)提供集中的日志審計(jì)，能關(guān)聯(lián)用戶的操作行為，對(duì)非法登錄和非法操作快速發(fā)現(xiàn)、分析、定位和響應(yīng)，為安全審計(jì)和追蹤提供依據(jù)。5.4.7.2 輔助審查

通過(guò)集中的日志審計(jì)，可以收集用戶訪問(wèn)網(wǎng)絡(luò)設(shè)備、主機(jī)、數(shù)據(jù)庫(kù)的操作日志記錄，并對(duì)日志記錄需要定期進(jìn)行審查，滿足內(nèi)部控制規(guī)范中關(guān)于日志審計(jì)的需求，真正實(shí)現(xiàn)關(guān)聯(lián)到自然人的日志審計(jì)。34

信息系統(tǒng)網(wǎng)絡(luò)安全建設(shè)項(xiàng)目方案

5.5 產(chǎn)品部署

LanSecS（堡壘主機(jī)）內(nèi)控管理平臺(tái)采用典型的旁路部署，不改變網(wǎng)絡(luò)拓?fù)洌渴鸷?jiǎn)單方便，實(shí)現(xiàn)靈活接入。通過(guò)設(shè)置防火墻端口控制策略或交換機(jī)ACL訪問(wèn)策略，防止用戶繞過(guò)堡壘主機(jī)直接訪問(wèn)目標(biāo)設(shè)備。

LanSecS（堡壘主機(jī)）內(nèi)控管理平臺(tái)典型部署示意圖： 數(shù)據(jù)庫(kù)安全防護(hù)平臺(tái)

6.1 數(shù)據(jù)庫(kù)風(fēng)險(xiǎn)分析

數(shù)據(jù)庫(kù)的應(yīng)用相當(dāng)復(fù)雜，掌握起來(lái)非常困難。許多數(shù)據(jù)庫(kù)管理員都忙于管理復(fù)雜的系統(tǒng)，所以很可能沒(méi)有檢查出嚴(yán)重的安全隱患和不當(dāng)?shù)呐渲?，甚至根本沒(méi)有進(jìn)行檢測(cè)。正是由于傳統(tǒng)的安全體系在很大程度上忽略了數(shù)據(jù)庫(kù)安全這一主題，使數(shù)據(jù)庫(kù)專業(yè)人員也通常沒(méi)有把安全問(wèn)題當(dāng)作他們的首要任務(wù)。在安全領(lǐng)域中，類似網(wǎng)頁(yè)被修改、電腦中病毒、木馬、流氓軟件、彈出窗口等所造成的經(jīng)濟(jì)損失微乎其微，而一旦數(shù)據(jù)庫(kù)出現(xiàn)安全風(fēng)險(xiǎn)并被惡意利用所造成的后果幾乎是災(zāi)難性的和不可挽回的。

由此可見，數(shù)據(jù)庫(kù)安全實(shí)際上是信息系統(tǒng)信息安全的核心，在這種情況下，有必要采用專業(yè)的新型數(shù)據(jù)庫(kù)安全產(chǎn)品，專門對(duì)信息系統(tǒng)的數(shù)據(jù)庫(kù)進(jìn)行保護(hù)。

信息系統(tǒng)網(wǎng)絡(luò)安全建設(shè)項(xiàng)目方案

數(shù)據(jù)庫(kù)風(fēng)險(xiǎn)分析圖

6.2 產(chǎn)品概述

LanSecS 數(shù)據(jù)庫(kù)安全防護(hù)平臺(tái)，是一款基于數(shù)據(jù)庫(kù)協(xié)議分析與控制技術(shù)的數(shù)據(jù)庫(kù)安全防護(hù)系統(tǒng)。LanSecS 數(shù)據(jù)庫(kù)安全防護(hù)平臺(tái)基于主動(dòng)防御機(jī)制，實(shí)現(xiàn)數(shù)據(jù)庫(kù)的訪問(wèn)行為控制、危險(xiǎn)操作阻斷、可疑行為審計(jì)。LanSecS 數(shù)據(jù)庫(kù)安全防護(hù)平臺(tái)是一款集數(shù)據(jù)庫(kù)IPS、IDS 和審計(jì)功能為一體的綜合安全產(chǎn)品。

LanSecS 數(shù)據(jù)庫(kù)安全防護(hù)平臺(tái)通過(guò)SQL 協(xié)議分析，根據(jù)預(yù)定義的禁止和許可策略讓合法的SQL 操作通過(guò)，阻斷非法違規(guī)操作，形成數(shù)據(jù)庫(kù)的外圍防御圈,實(shí)現(xiàn)SQL 危險(xiǎn)操作的主動(dòng)預(yù)防、實(shí)時(shí)審計(jì)。

LanSecS 數(shù)據(jù)庫(kù)安全防護(hù)平臺(tái)面對(duì)來(lái)自于外部的入侵行為，提供防SQL 注入禁止和數(shù)據(jù)庫(kù)虛擬補(bǔ)訂包功能；通過(guò)虛擬補(bǔ)丁包，數(shù)據(jù)庫(kù)系統(tǒng)不用升級(jí)、打補(bǔ)丁，即可完成對(duì)主要數(shù)據(jù)庫(kù)漏洞的防控。

LanSecS 數(shù)據(jù)庫(kù)安全防護(hù)平臺(tái)支持Oracle、MS SQL Server、DB2、MySQL、Sybase 等多種國(guó)際主流數(shù)據(jù)庫(kù)產(chǎn)品。能夠在不影響數(shù)據(jù)庫(kù)原有性能、無(wú)需應(yīng)用進(jìn)行改造的前提下，提供可靠數(shù)據(jù)庫(kù)安全保護(hù)服務(wù)。36

信息系統(tǒng)網(wǎng)絡(luò)安全建設(shè)項(xiàng)目方案

6.3 功能特性

【虛擬補(bǔ)丁】

CVE 上公布了2000 多個(gè)數(shù)據(jù)庫(kù)安全漏洞，這些漏洞給入侵者敞開了大門。數(shù)據(jù)庫(kù)廠商會(huì)定期推出數(shù)據(jù)庫(kù)漏洞補(bǔ)丁，由于數(shù)據(jù)庫(kù)打補(bǔ)丁工作的復(fù)雜性和對(duì)應(yīng)用穩(wěn)定性的考慮，大多數(shù)企業(yè)無(wú)法及時(shí)更新補(bǔ)丁。

LanSecS 數(shù)據(jù)庫(kù)安全防護(hù)平臺(tái)提供了虛擬補(bǔ)丁功能，在數(shù)據(jù)庫(kù)外的網(wǎng)絡(luò)層創(chuàng)建了一個(gè)安全層，在用戶在無(wú)需補(bǔ)丁情況下，完成數(shù)據(jù)庫(kù)漏洞防護(hù)。LanSecS 數(shù)據(jù)庫(kù)安全防護(hù)平臺(tái)支持22 類，460 個(gè)以上虛擬補(bǔ)丁?！竞诎酌麊沃С帧?/p>

LanSecS 數(shù)據(jù)庫(kù)安全防護(hù)平臺(tái)通過(guò)學(xué)習(xí)模式以及SQL 語(yǔ)法分析構(gòu)建動(dòng)態(tài)模型，形成SQL 白名單和SQL 黑名單，對(duì)符合SQL 白名單語(yǔ)句放行，對(duì)符合SQL 黑名單特征語(yǔ)句阻斷。

【細(xì)粒度權(quán)限管理】

LanSecS 數(shù)據(jù)庫(kù)安全防護(hù)平臺(tái)對(duì)于數(shù)據(jù)庫(kù)用戶提供比DBMS 系統(tǒng)更詳細(xì)的虛擬權(quán)限控制?？刂撇呗园ǎ河脩?操作+對(duì)象+時(shí)間。在控制操作中增加了Update Nowhere、delete Nowhere 等高危操作；控制規(guī)則中增加返回行數(shù)和影響行數(shù)控制。【SQL 注入禁止】

LanSecS 數(shù)據(jù)庫(kù)安全防護(hù)平臺(tái)通過(guò)對(duì)SQL 語(yǔ)句進(jìn)行注入特征描述，完成對(duì)SQL 注入行為的檢測(cè)和阻斷。系統(tǒng)提供缺省SQL 注入特征庫(kù)；系統(tǒng)提供定制化的擴(kuò)展接口?！咀钄嗪蛯徲?jì)】

阻斷動(dòng)作包括：中斷會(huì)話和攔截語(yǔ)句。

審計(jì)行為分為：普通審計(jì)和告警審計(jì)。

告警通知包括：syslog、snmp、郵件和短信。【行為監(jiān)控與分析】

LanSecS 數(shù)據(jù)庫(kù)安全防護(hù)平臺(tái)提供全面詳細(xì)審計(jì)記錄，告警審計(jì)和會(huì)話事件記錄，并在此基礎(chǔ)上實(shí)現(xiàn)了內(nèi)容豐富的審計(jì)瀏覽、訪問(wèn)分析和問(wèn)題追蹤，提供實(shí)時(shí)訪問(wèn)儀表盤。

LanSecS 數(shù)據(jù)庫(kù)安全防護(hù)平臺(tái)通過(guò)對(duì)捕獲的SQL 語(yǔ)句進(jìn)行精細(xì)SQL 語(yǔ)法分析,并根據(jù)SQL行為特征和關(guān)鍵詞特征進(jìn)行自動(dòng)分類，系統(tǒng)訪問(wèn)SQL 語(yǔ)句有效“歸類”到幾百個(gè)類別范圍內(nèi)，完成審計(jì)結(jié)果的高精確和高可用分析。

6.4 產(chǎn)品價(jià)值

6.4.1 完備數(shù)據(jù)庫(kù)安全防護(hù)

LanSecS 數(shù)據(jù)庫(kù)安全防護(hù)平臺(tái)提供四大產(chǎn)品核心價(jià)值，包括防止外部黑客攻擊、防止內(nèi)部高危操作、防止敏感數(shù)據(jù)泄漏、審計(jì)追蹤非法行為。

信息系統(tǒng)網(wǎng)絡(luò)安全建設(shè)項(xiàng)目方案

?

·防止外部黑客攻擊

威脅：黑客利用Web 應(yīng)用漏洞，進(jìn)行SQL 注入；或以Web 應(yīng)用服務(wù)器為跳板，利用數(shù)據(jù)庫(kù)自身漏洞攻擊和侵入。

防護(hù)：通過(guò)虛擬補(bǔ)丁技術(shù)捕獲和阻斷漏洞攻擊行為，通過(guò)SQL 注入特征庫(kù)捕獲和阻斷SQL注入行為。

·防止內(nèi)部高危操作

威脅：系統(tǒng)維護(hù)人員、外包人員、開發(fā)人員等，擁有直接訪問(wèn)數(shù)據(jù)庫(kù)的權(quán)限，有意無(wú)意 的高危操作對(duì)數(shù)據(jù)造成破壞。

防護(hù)：通過(guò)限定更新和刪除影響行、限定無(wú)Where 的更新和刪除操作、限定drop、truncate等高危操作避免大規(guī)模損失?！し乐姑舾袛?shù)據(jù)泄漏

威脅：黑客、開發(fā)人員可以通過(guò)應(yīng)用批量下載敏感數(shù)據(jù)，內(nèi)部維護(hù)人員遠(yuǎn)程或本地批量 導(dǎo)出敏感數(shù)據(jù)。

防護(hù)：限定數(shù)據(jù)查詢和下載數(shù)量、限定敏感數(shù)據(jù)訪問(wèn)的用戶、地點(diǎn)和時(shí)間。·審計(jì)追蹤非法行為 威脅：業(yè)務(wù)人員在第三方利益誘惑下，通過(guò)業(yè)務(wù)系統(tǒng)提供的功能完成對(duì)敏感信息的訪問(wèn)，進(jìn)行信息的售賣和數(shù)據(jù)篡改。

防護(hù)：提供對(duì)所有數(shù)據(jù)訪問(wèn)行為的記錄，對(duì)風(fēng)險(xiǎn)行為進(jìn)行SysLog、郵件、短信等方式的告警，提供事后追蹤分析工具。6.5 多種應(yīng)用模式

◆數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品：提供全面數(shù)據(jù)庫(kù)審計(jì)能力，符合等保三級(jí)需求。

◆數(shù)據(jù)庫(kù)入侵防御產(chǎn)品：接入在應(yīng)用服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器之間，防止外部黑客入侵。

◆數(shù)據(jù)庫(kù)運(yùn)維管控產(chǎn)品：內(nèi)部數(shù)據(jù)庫(kù)運(yùn)維接口，防止運(yùn)維人員高危操作和泄漏敏感數(shù)據(jù)。38

信息系統(tǒng)網(wǎng)絡(luò)安全建設(shè)項(xiàng)目方案

6.6 產(chǎn)品優(yōu)勢(shì)

6.6.1 全面入侵阻斷

·提供業(yè)界最為全面的數(shù)據(jù)庫(kù)攻擊行為檢測(cè)和阻斷技術(shù)：

? ·虛擬補(bǔ)丁技術(shù)：針對(duì)CVE 公布的漏洞庫(kù)，提供漏洞特征檢測(cè)技術(shù)。

? ·高危訪問(wèn)控制技術(shù)：提供對(duì)數(shù)據(jù)庫(kù)用戶的登錄、操作行為，提供根據(jù)地點(diǎn)、時(shí)間、用戶、操作類型、對(duì)象等特征定義高危訪問(wèn)行為。? ·SQL 注入禁止技術(shù)：提供SQL 注入特征庫(kù)。

? ·返回行超標(biāo)禁止技術(shù)：提供對(duì)敏感表的返回行數(shù)控制。? ·SQL 黑名單技術(shù)：提供對(duì)非法SQL 的語(yǔ)法抽象描述。6.6.2 高度應(yīng)用兼容

對(duì)于IPS 類產(chǎn)品最重要的是在保持“低漏報(bào)率”的同時(shí)維護(hù)“低誤報(bào)率”；對(duì)于數(shù)據(jù)庫(kù)而言這點(diǎn)更為關(guān)鍵，一點(diǎn)點(diǎn)“誤報(bào)”可能就會(huì)造成重大業(yè)務(wù)影響。LanSecS 數(shù)據(jù)庫(kù)安全防護(hù)平臺(tái)提供強(qiáng)大的應(yīng)用行為描述方法，以對(duì)合法應(yīng)用行為放 行，將誤報(bào)率降低為“零”。

LanSecS 數(shù)據(jù)庫(kù)安全防護(hù)平臺(tái)通過(guò)語(yǔ)法抽象描述不同類型的SQL 語(yǔ)句，規(guī)避參數(shù)帶來(lái)的多樣化；通過(guò)應(yīng)用學(xué)習(xí)捕獲所有合法SQL 的語(yǔ)法抽象，建立應(yīng)用SQL 白名單庫(kù)。6.6.3 快速部署實(shí)施

? 預(yù)定義策略模版： LanSecS 數(shù)據(jù)庫(kù)安全防護(hù)平臺(tái)提供應(yīng)用場(chǎng)景、維護(hù)場(chǎng)景、混合場(chǎng)景多種策略模版幫助用戶快速建立安全策略。

? 預(yù)定義風(fēng)險(xiǎn)特征庫(kù)： 通過(guò)預(yù)定義風(fēng)險(xiǎn)特征庫(kù)快速建立風(fēng)險(xiǎn)阻斷規(guī)則。

? 多種運(yùn)行模式： LanSecS 數(shù)據(jù)庫(kù)安全防護(hù)平臺(tái)提供IPS、IDS 運(yùn)行模式，提供學(xué)習(xí)期、學(xué)習(xí)完善期、保護(hù)期三種運(yùn)行周期，以幫助用戶在防火墻建設(shè)的不同階段平滑過(guò)渡。

6.7 產(chǎn)品部署 6.7.1 串聯(lián)模式

LanSecS 數(shù)據(jù)庫(kù)安全防護(hù)平臺(tái)支持兩種串聯(lián)模式：

透明網(wǎng)橋模式：在網(wǎng)絡(luò)上物理串聯(lián)接入LanSecS 數(shù)據(jù)庫(kù)安全防護(hù)平臺(tái)設(shè)備，所有用戶訪問(wèn)的網(wǎng)絡(luò)流量都串聯(lián)流經(jīng)設(shè)備；通過(guò)透明網(wǎng)橋技術(shù)，客戶端看到的數(shù)據(jù)庫(kù)地址不變。代理接入模式：網(wǎng)絡(luò)上并聯(lián)接入LanSecS 數(shù)據(jù)庫(kù)安全防護(hù)平臺(tái)設(shè)備，客戶端邏輯連接防火墻設(shè)備地址，防火墻設(shè)備轉(zhuǎn)發(fā)流量到數(shù)據(jù)庫(kù)服務(wù)器；通過(guò)代理接入模式，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)不變。

信息系統(tǒng)網(wǎng)絡(luò)安全建設(shè)項(xiàng)目方案

6.7.2 旁路模式

LanSecS 數(shù)據(jù)庫(kù)安全防護(hù)平臺(tái)設(shè)備不直接接入網(wǎng)絡(luò)，而是通過(guò)TAP、SPAN 等技術(shù)將網(wǎng)絡(luò)流量映射到防火墻設(shè)備；通過(guò)旁路部署模式既不改變網(wǎng)絡(luò)拓?fù)?，也不在?yīng)用鏈路上增加新的設(shè)備點(diǎn)。6.7.3 混合部署模式

LanSecS 數(shù)據(jù)庫(kù)安全防護(hù)平臺(tái)支持在一臺(tái)設(shè)備上同時(shí)進(jìn)行串聯(lián)和旁路兩種接入模式，對(duì)不同的數(shù)據(jù)庫(kù)實(shí)例支持IPS 和IDS 兩種運(yùn)行模式。

第二篇：信息安全等級(jí)保護(hù)

信息安全等級(jí)保護(hù)(二級(jí))信息安全等級(jí)保護(hù)(二級(jí))備注：其中黑色字體為信息安全等級(jí)保護(hù)第二級(jí)系統(tǒng)要求，藍(lán)色字體為第三級(jí)系統(tǒng)等保要求。

一、物理安全

1、應(yīng)具有機(jī)房和辦公場(chǎng)地的設(shè)計(jì)/驗(yàn)收文檔（機(jī)房場(chǎng)地的選址說(shuō)明、地線連接要求的描述、建筑材料具有相應(yīng)的耐火等級(jí)說(shuō)明、接地防靜電措施）

2、應(yīng)具有有來(lái)訪人員進(jìn)入機(jī)房的申請(qǐng)、審批記錄；來(lái)訪人員進(jìn)入機(jī)房的登記記錄

3、應(yīng)配置電子門禁系統(tǒng)(三級(jí)明確要求)；電子門禁系統(tǒng)有驗(yàn)收文檔或產(chǎn)品安全認(rèn)證資質(zhì)，電子門禁系統(tǒng)運(yùn)行和維護(hù)記錄

4、主要設(shè)備或設(shè)備的主要部件上應(yīng)設(shè)置明顯的不易除去的標(biāo)記

5、介質(zhì)有分類標(biāo)識(shí)；介質(zhì)分類存放在介質(zhì)庫(kù)或檔案室內(nèi)，磁介質(zhì)、紙介質(zhì)等分類存放

6、應(yīng)具有攝像、傳感等監(jiān)控報(bào)警系統(tǒng)；機(jī)房防盜報(bào)警設(shè)施的安全資質(zhì)材料、安裝測(cè)試和驗(yàn)收?qǐng)?bào)告；機(jī)房防盜報(bào)警系統(tǒng)的運(yùn)行記錄、定期檢查和維護(hù)記錄；

7、應(yīng)具有機(jī)房監(jiān)控報(bào)警設(shè)施的安全資質(zhì)材料、安裝測(cè)試和驗(yàn)收?qǐng)?bào)告；機(jī)房監(jiān)控報(bào)警系統(tǒng)的運(yùn)行記錄、定期檢查和維護(hù)記錄

8、應(yīng)具有機(jī)房建筑的避雷裝置；通過(guò)驗(yàn)收或國(guó)家有關(guān)部門的技術(shù)檢測(cè)；

9、應(yīng)在電源和信號(hào)線上增加有資質(zhì)的防雷保安器；具有防雷檢測(cè)資質(zhì)的檢測(cè)部門對(duì)防雷裝置的檢測(cè)報(bào)告

10、應(yīng)具有自動(dòng)檢測(cè)火情、自動(dòng)報(bào)警、自動(dòng)滅火的自動(dòng)消防系統(tǒng)；自動(dòng)消防系統(tǒng)的運(yùn)行記錄、檢查和定期維護(hù)記錄；消防產(chǎn)品有效期合格；自動(dòng)消防系統(tǒng)是經(jīng)消防檢測(cè)部門檢測(cè)合格的產(chǎn)品

11、應(yīng)具有除濕裝置；空調(diào)機(jī)和加濕器；溫濕度定期檢查和維護(hù)記錄

12、應(yīng)具有水敏感的檢測(cè)儀表或元件；對(duì)機(jī)房進(jìn)行防水檢測(cè)和報(bào)警；防水檢測(cè)裝置的運(yùn)行記錄、定期檢查和維護(hù)記錄

13、應(yīng)具有溫濕度自動(dòng)調(diào)節(jié)設(shè)施；溫濕度自動(dòng)調(diào)節(jié)設(shè)施的運(yùn)行記錄、定期檢查和維護(hù)記錄

14、應(yīng)具有短期備用電力供應(yīng)設(shè)備（如UPS）；短期備用電力供應(yīng)設(shè)備的運(yùn)行記錄、定期檢查和維護(hù)記錄

15、應(yīng)具有冗余或并行的電力電纜線路（如雙路供電方式）

16、應(yīng)具有備用供電系統(tǒng)（如備用發(fā)電機(jī)）；備用供電系統(tǒng)運(yùn)行記錄、定期檢查和維護(hù)記錄

二、安全管理制度

1、應(yīng)具有對(duì)重要管理操作的操作規(guī)程，如系統(tǒng)維護(hù)手冊(cè)和用戶操作規(guī)程

2、應(yīng)具有安全管理制度的制定程序：

3、應(yīng)具有專門的部門或人員負(fù)責(zé)安全管理制度的制定（發(fā)布制度具有統(tǒng)一的格式，并進(jìn)行版本控制）

4、應(yīng)對(duì)制定的安全管理制度進(jìn)行論證和審定，論證和審定方式如何（如召開評(píng)審會(huì)、函審、內(nèi)部審核等），應(yīng)具有管理制度評(píng)審記錄

5、應(yīng)具有安全管理制度的收發(fā)登記記錄，收發(fā)應(yīng)通過(guò)正式、有效的方式（如正式發(fā)文、領(lǐng)導(dǎo)簽署和單位蓋章等）----安全管理制度應(yīng)注明發(fā)布范圍，并對(duì)收發(fā)文進(jìn)行登記。

6、信息安全領(lǐng)導(dǎo)小組定期對(duì)安全管理制度體系的合理性和適用性進(jìn)行審定，審定周期多長(zhǎng)。（安全管理制度體系的評(píng)審記錄）

7、系統(tǒng)發(fā)生重大安全事故、出現(xiàn)新的安全漏洞以及技術(shù)基礎(chǔ)結(jié)構(gòu)和組織結(jié)構(gòu)等發(fā)生變更時(shí)應(yīng)對(duì)安全管理制度進(jìn)行檢查，對(duì)需要改進(jìn)的制度進(jìn)行修訂。（應(yīng)具有安全管理制度修訂記錄）

三、安全管理機(jī)構(gòu)

1、應(yīng)設(shè)立信息安全管理工作的職能部門

2、應(yīng)設(shè)立安全主管、安全管理各個(gè)方面的負(fù)責(zé)人

3、應(yīng)設(shè)立機(jī)房管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等重要崗位（分工明確，各司其職），數(shù)量情況（管理人員名單、崗位與人員對(duì)應(yīng)關(guān)系表）

4、安全管理員應(yīng)是專職人員

5、關(guān)鍵事物需要配備2人或2人以上共同管理，人員具體配備情況如何。

6、應(yīng)設(shè)立指導(dǎo)和管理信息安全工作的委員會(huì)或領(lǐng)導(dǎo)小組（最高領(lǐng)導(dǎo)是否由單位主管領(lǐng)導(dǎo)委任或授權(quán)的人員擔(dān)任）

7、應(yīng)對(duì)重要信息系統(tǒng)活動(dòng)進(jìn)行審批（如系統(tǒng)變更、重要操作、物理訪問(wèn)和系統(tǒng)接入、重要管理制度的制定和發(fā)布、人員的配備和培訓(xùn)、產(chǎn)品的采購(gòu)、外部人員的訪問(wèn)等），審批部門是何部門，審批人是何人。審批程序：

8、應(yīng)與其它部門之間及內(nèi)部各部門管理人員定期進(jìn)行溝通（信息安全領(lǐng)導(dǎo)小組或者安全管理委員會(huì)應(yīng)定期召開會(huì)議）

9、應(yīng)組織內(nèi)部機(jī)構(gòu)之間以及信息安全職能部門內(nèi)部的安全工作會(huì)議文件或會(huì)議記錄，定期：

10、信息安全管理委員會(huì)或領(lǐng)導(dǎo)小組安全管理工作執(zhí)行情況的文件或工作記錄（如會(huì)議記錄/紀(jì)要，信息安全工作決策文檔等）

11、應(yīng)與公安機(jī)關(guān)、電信公司和兄弟單位等的溝通合作（外聯(lián)單位聯(lián)系列表）

12、應(yīng)與供應(yīng)商、業(yè)界專家、專業(yè)的安全公司、安全組織等建立溝通、合作機(jī)制。

13、聘請(qǐng)信息安全專家作為常年的安全顧問(wèn)（具有安全顧問(wèn)名單或者聘請(qǐng)安全顧問(wèn)的證明文件、具有安全顧問(wèn)參與評(píng)審的文檔或記錄）

14、應(yīng)組織人員定期對(duì)信息系統(tǒng)進(jìn)行安全檢查（查看檢查內(nèi)容是否包括系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況）

15、應(yīng)定期進(jìn)行全面安全檢查（安全檢查是否包含現(xiàn)行技術(shù)措施有效性和管理制度執(zhí)行情況等方面、具有安全檢查表格，安全檢查報(bào)告，檢查結(jié)果通告記錄）

四、人員安全管理

1、何部門/何人負(fù)責(zé)安全管理和技術(shù)人員的錄用工作（錄用過(guò)程）

2、應(yīng)對(duì)被錄用人的身份、背景、專業(yè)資格和資質(zhì)進(jìn)行審查，對(duì)技術(shù)人員的技術(shù)技能進(jìn)行考核，技能考核文檔或記錄

3、應(yīng)與錄用后的技術(shù)人員簽署保密協(xié)議（協(xié)議中有保密范圍、保密責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等內(nèi)容）

4、應(yīng)設(shè)定關(guān)鍵崗位，對(duì)從事關(guān)鍵崗位的人員是否從內(nèi)部人員中選拔，是否要求其簽署崗位安全協(xié)議。

5、應(yīng)及時(shí)終止離崗人員的所有訪問(wèn)權(quán)限（離崗人員所有訪問(wèn)權(quán)限終止的記錄）

6、應(yīng)及時(shí)取回離崗人員的各種身份證件、鑰匙、徽章等以及機(jī)構(gòu)提供的軟硬件設(shè)備等（交還身份證件和設(shè)備等的登記記錄）

7、人員離崗應(yīng)辦理調(diào)離手續(xù)，是否要求關(guān)鍵崗位調(diào)離人員承諾相關(guān)保密義務(wù)后方可離開（具有按照離崗程序辦理調(diào)離手續(xù)的記錄，調(diào)離人員的簽字）

8、對(duì)各個(gè)崗位人員應(yīng)定期進(jìn)行安全技能考核；具有安全技能考核記錄，考核內(nèi)容要求包含安全知識(shí)、安全技能等。

9、對(duì)關(guān)鍵崗位人員的安全審查和考核與一般崗位人員有何不同，審查內(nèi)容是否包括操作行為和社會(huì)關(guān)系等。

10、應(yīng)對(duì)各類人員（普通用戶、運(yùn)維人員、單位領(lǐng)導(dǎo)等）進(jìn)行安全教育、崗位技能和安全技術(shù)培訓(xùn)。

11、應(yīng)針對(duì)不同崗位制定不同的培訓(xùn)計(jì)劃，并按照計(jì)劃對(duì)各個(gè)崗位人員進(jìn)行安全教育和培訓(xùn)（安全教育和培訓(xùn)的結(jié)果記錄，記錄應(yīng)與培訓(xùn)計(jì)劃一致）

12、外部人員進(jìn)入條件（對(duì)哪些重要區(qū)域的訪問(wèn)須提出書面申請(qǐng)批準(zhǔn)后方可進(jìn)入），外部人員進(jìn)入的訪問(wèn)控制（由專人全程陪同或監(jiān)督等）

13、應(yīng)具有外部人員訪問(wèn)重要區(qū)域的書面申請(qǐng)

14、應(yīng)具有外部人員訪問(wèn)重要區(qū)域的登記記錄（記錄描述了外部人員訪問(wèn)重要區(qū)域的進(jìn)入時(shí)間、離開時(shí)間、訪問(wèn)區(qū)域、訪問(wèn)設(shè)備或信息及陪同人等）

五、系統(tǒng)建設(shè)管理

1、應(yīng)明確信息系統(tǒng)的邊界和安全保護(hù)等級(jí)（具有定級(jí)文檔，明確信息系統(tǒng)安全保護(hù)等級(jí)）

2、應(yīng)具有系統(tǒng)建設(shè)/整改方案

3、應(yīng)授權(quán)專門的部門對(duì)信息系統(tǒng)的安全建設(shè)進(jìn)行總體規(guī)劃，由何部門/何人負(fù)責(zé)

4、應(yīng)具有系統(tǒng)的安全建設(shè)工作計(jì)劃（系統(tǒng)安全建設(shè)工作計(jì)劃中明確了近期和遠(yuǎn)期的安全建設(shè)計(jì)劃）

5、應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對(duì)總體安全策略、安全技術(shù)框架、安全管理策略等相關(guān)配套文件進(jìn)行論證和審定（配套文件的論證評(píng)審記錄或文檔）

6、應(yīng)對(duì)總體安全策略、安全技術(shù)框架、安全管理策略等相關(guān)配套文件應(yīng)定期進(jìn)行調(diào)整和修訂

7、應(yīng)具有總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等相關(guān)配套文件的維護(hù)記錄或修訂版本

8、應(yīng)按照國(guó)家的相關(guān)規(guī)定進(jìn)行采購(gòu)和使用系統(tǒng)信息安全產(chǎn)品

9、安全產(chǎn)品的相關(guān)憑證，如銷售許可等，應(yīng)使用符合國(guó)家有關(guān)規(guī)定產(chǎn)品

10、應(yīng)具有專門的部門負(fù)責(zé)產(chǎn)品的采購(gòu)

11、采購(gòu)產(chǎn)品前應(yīng)預(yù)先對(duì)產(chǎn)品進(jìn)行選型測(cè)試確定產(chǎn)品的候選范圍，形成候選產(chǎn)品清單，是否定期審定和更新候選產(chǎn)品名單

12、應(yīng)具有產(chǎn)品選型測(cè)試結(jié)果記錄和候選產(chǎn)品名單及更新記錄（產(chǎn)品選型測(cè)試結(jié)果文檔）

13、應(yīng)具有軟件設(shè)計(jì)相關(guān)文檔，專人保管軟件設(shè)計(jì)的相關(guān)文檔，應(yīng)具有軟件使用指南或操作手冊(cè)

14、對(duì)程序資源庫(kù)的修改、更新、發(fā)布應(yīng)進(jìn)行授權(quán)和批準(zhǔn)

15、應(yīng)具有程序資源庫(kù)的修改、更新、發(fā)布文檔或記錄

16、軟件交付前應(yīng)依據(jù)開發(fā)協(xié)議的技術(shù)指標(biāo)對(duì)軟件功能和性能等進(jìn)行驗(yàn)收檢測(cè)

17、軟件安裝之前應(yīng)檢測(cè)軟件中的惡意代碼（該軟件包的惡意代碼檢測(cè)報(bào)告），檢測(cè)工具是否是第三方的商業(yè)產(chǎn)品

18、應(yīng)具有軟件設(shè)計(jì)的相關(guān)文檔和使用指南

19、應(yīng)具有需求分析說(shuō)明書、軟件設(shè)計(jì)說(shuō)明書、軟件操作手冊(cè)等開發(fā)文檔

20、應(yīng)指定專門部門或人員按照工程實(shí)施方案的要求對(duì)工程實(shí)施過(guò)程進(jìn)行進(jìn)度和質(zhì)量控制

21、應(yīng)具有工程實(shí)施過(guò)程應(yīng)按照實(shí)施方案形成各種文檔，如階段性工程進(jìn)程匯報(bào)報(bào)告，工程實(shí)施方案

22、在信息系統(tǒng)正式運(yùn)行前，應(yīng)委托第三方測(cè)試機(jī)構(gòu)根據(jù)設(shè)計(jì)方案或合同要求對(duì)信息系統(tǒng)進(jìn)行獨(dú)立的安全性測(cè)試（第三方測(cè)試機(jī)構(gòu)出示的系統(tǒng)安全性測(cè)試驗(yàn)收?qǐng)?bào)告）

23、應(yīng)具有工程測(cè)試驗(yàn)收方案（測(cè)試驗(yàn)收方案與設(shè)計(jì)方案或合同要求內(nèi)容一致）

24、應(yīng)具有測(cè)試驗(yàn)收?qǐng)?bào)告

25、應(yīng)指定專門部門負(fù)責(zé)測(cè)試驗(yàn)收工作（具有對(duì)系統(tǒng)測(cè)試驗(yàn)收?qǐng)?bào)告進(jìn)行審定的意見）

26、根據(jù)交付清單對(duì)所交接的設(shè)備、文檔、軟件等進(jìn)行清點(diǎn)（系統(tǒng)交付清單）

27、應(yīng)具有系統(tǒng)交付時(shí)的技術(shù)培訓(xùn)記錄

28、應(yīng)具有系統(tǒng)建設(shè)文檔（如系統(tǒng)建設(shè)方案）、指導(dǎo)用戶進(jìn)行系統(tǒng)運(yùn)維的文檔（如服務(wù)器操作規(guī)程書）以及系統(tǒng)培訓(xùn)手冊(cè)等文檔。

29、應(yīng)指定部門負(fù)責(zé)系統(tǒng)交付工作

30、應(yīng)具有與產(chǎn)品供應(yīng)商、軟件開發(fā)商、系統(tǒng)集成商、系統(tǒng)運(yùn)維商和等級(jí)測(cè)評(píng)機(jī)構(gòu)等相關(guān)安全服務(wù)商簽訂的協(xié)議（文檔中有保密范圍、安全責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等內(nèi)容

31、選定的安全服務(wù)商應(yīng)提供一定的技術(shù)培訓(xùn)和服務(wù)

32、應(yīng)與安全服務(wù)商簽訂的服務(wù)合同或安全責(zé)任合同書

11、采購(gòu)產(chǎn)品前應(yīng)預(yù)先對(duì)產(chǎn)品進(jìn)行選型測(cè)試確定產(chǎn)品的候選范圍，形成候選產(chǎn)品清單，是否定期審定和更新候選產(chǎn)品名單

12、應(yīng)具有產(chǎn)品選型測(cè)試結(jié)果記錄和候選產(chǎn)品名單及更新記錄（產(chǎn)品選型測(cè)試結(jié)果文檔）

13、應(yīng)具有軟件設(shè)計(jì)相關(guān)文檔，專人保管軟件設(shè)計(jì)的相關(guān)文檔，應(yīng)具有軟件使用指南或操作手冊(cè)

14、對(duì)程序資源庫(kù)的修改、更新、發(fā)布應(yīng)進(jìn)行授權(quán)和批準(zhǔn)

15、應(yīng)具有程序資源庫(kù)的修改、更新、發(fā)布文檔或記錄

16、軟件交付前應(yīng)依據(jù)開發(fā)協(xié)議的技術(shù)指標(biāo)對(duì)軟件功能和性能等進(jìn)行驗(yàn)收檢測(cè)

17、軟件安裝之前應(yīng)檢測(cè)軟件中的惡意代碼（該軟件包的惡意代碼檢測(cè)報(bào)告），檢測(cè)工具是否是第三方的商業(yè)產(chǎn)品

18、應(yīng)具有軟件設(shè)計(jì)的相關(guān)文檔和使用指南

19、應(yīng)具有需求分析說(shuō)明書、軟件設(shè)計(jì)說(shuō)明書、軟件操作手冊(cè)等開發(fā)文檔

20、應(yīng)指定專門部門或人員按照工程實(shí)施方案的要求對(duì)工程實(shí)施過(guò)程進(jìn)行進(jìn)度和質(zhì)量控制

21、應(yīng)具有工程實(shí)施過(guò)程應(yīng)按照實(shí)施方案形成各種文檔，如階段性工程進(jìn)程匯報(bào)報(bào)告，工程實(shí)施方案

22、在信息系統(tǒng)正式運(yùn)行前，應(yīng)委托第三方測(cè)試機(jī)構(gòu)根據(jù)設(shè)計(jì)方案或合同要求對(duì)信息系統(tǒng)進(jìn)行獨(dú)立的安全性測(cè)試（第三方測(cè)試機(jī)構(gòu)出示的系統(tǒng)安全性測(cè)試驗(yàn)收?qǐng)?bào)告）

23、應(yīng)具有工程測(cè)試驗(yàn)收方案（測(cè)試驗(yàn)收方案與設(shè)計(jì)方案或合同要求內(nèi)容一致）

24、應(yīng)具有測(cè)試驗(yàn)收?qǐng)?bào)告

25、應(yīng)指定專門部門負(fù)責(zé)測(cè)試驗(yàn)收工作（具有對(duì)系統(tǒng)測(cè)試驗(yàn)收?qǐng)?bào)告進(jìn)行審定的意見）

26、根據(jù)交付清單對(duì)所交接的設(shè)備、文檔、軟件等進(jìn)行清點(diǎn)（系統(tǒng)交付清單）

27、應(yīng)具有系統(tǒng)交付時(shí)的技術(shù)培訓(xùn)記錄

28、應(yīng)具有系統(tǒng)建設(shè)文檔（如系統(tǒng)建設(shè)方案）、指導(dǎo)用戶進(jìn)行系統(tǒng)運(yùn)維的文檔（如服務(wù)器操作規(guī)程書）以及系統(tǒng)培訓(xùn)手冊(cè)等文檔。

29、應(yīng)指定部門負(fù)責(zé)系統(tǒng)交付工作

30、應(yīng)具有與產(chǎn)品供應(yīng)商、軟件開發(fā)商、系統(tǒng)集成商、系統(tǒng)運(yùn)維商和等級(jí)測(cè)評(píng)機(jī)構(gòu)等相關(guān)安全服務(wù)商簽訂的協(xié)議（文檔中有保密范圍、安全責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等內(nèi)容

31、選定的安全服務(wù)商應(yīng)提供一定的技術(shù)培訓(xùn)和服務(wù)

32、應(yīng)與安全服務(wù)商簽訂的服務(wù)合同或安全責(zé)任合同書

六、系統(tǒng)運(yùn)維管理

1、應(yīng)指定專人或部門對(duì)機(jī)房的基本設(shè)施（如空調(diào)、供配電設(shè)備等）進(jìn)行定期維護(hù)，由何部門/何人負(fù)責(zé)。

2、應(yīng)具有機(jī)房基礎(chǔ)設(shè)施的維護(hù)記錄，空調(diào)、溫濕度控制等機(jī)房設(shè)施定期維護(hù)保養(yǎng)的記錄

3、應(yīng)指定部門和人員負(fù)責(zé)機(jī)房安全管理工作

4、應(yīng)對(duì)辦公環(huán)境保密性進(jìn)行管理（工作人員離開座位確保終端計(jì)算機(jī)退出登錄狀態(tài)、桌面上沒(méi)有包含敏感信息的紙檔文件）

5、應(yīng)具有資產(chǎn)清單（覆蓋資產(chǎn)責(zé)任人、所屬級(jí)別、所處位置、所處部門等方面）

6、應(yīng)指定資產(chǎn)管理的責(zé)任部門或人員

7、應(yīng)依據(jù)資產(chǎn)的重要程度對(duì)資產(chǎn)進(jìn)行標(biāo)識(shí)

8、介質(zhì)存放于何種環(huán)境中，應(yīng)對(duì)存放環(huán)境實(shí)施專人管理（介質(zhì)存放在安全的環(huán)境（防潮、防盜、防火、防磁，專用存儲(chǔ)空間））

9、應(yīng)具有介質(zhì)使用管理記錄，應(yīng)記錄介質(zhì)歸檔和使用等情況（介質(zhì)存放、使用管理記錄）

10、對(duì)介質(zhì)的物理傳輸過(guò)程應(yīng)要求選擇可靠傳輸人員、嚴(yán)格介質(zhì)的打包（如采用防拆包裝置）、選擇安全的物理傳輸途徑、雙方在場(chǎng)交付等環(huán)節(jié)的控制

11、應(yīng)對(duì)介質(zhì)的使用情況進(jìn)行登記管理，并定期盤點(diǎn)（介質(zhì)歸檔和查詢的記錄、存檔介質(zhì)定期盤點(diǎn)的記錄）

12、對(duì)送出維修或銷毀的介質(zhì)如何管理，銷毀前應(yīng)對(duì)數(shù)據(jù)進(jìn)行凈化處理。（對(duì)帶出工作環(huán)境的存儲(chǔ)介質(zhì)是否進(jìn)行內(nèi)容加密并有領(lǐng)導(dǎo)批準(zhǔn)。對(duì)保密性較高的介質(zhì)銷毀前是否有領(lǐng)導(dǎo)批準(zhǔn)）（送修記錄、帶出記錄、銷毀記錄）

13、應(yīng)對(duì)某些重要介質(zhì)實(shí)行異地存儲(chǔ)，異地存儲(chǔ)環(huán)境是否與本地環(huán)境相同（防潮、防盜、防火、防磁，專用存儲(chǔ)空間）

14、介質(zhì)上應(yīng)具有分類的標(biāo)識(shí)或標(biāo)簽

15、應(yīng)對(duì)各類設(shè)施、設(shè)備指定專人或?qū)ｉT部門進(jìn)行定期維護(hù)。

16、應(yīng)具有設(shè)備操作手冊(cè)

17、應(yīng)對(duì)帶離機(jī)房的信息處理設(shè)備經(jīng)過(guò)審批流程，由何人審批（審批記錄）

18、應(yīng)監(jiān)控主機(jī)、網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)的運(yùn)行狀況等

19、應(yīng)有相關(guān)網(wǎng)絡(luò)監(jiān)控系統(tǒng)或技術(shù)措施能夠?qū)νㄐ啪€路、主機(jī)、網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件的運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行監(jiān)測(cè)和報(bào)警

20、應(yīng)具有日常運(yùn)維的監(jiān)控日志記錄和運(yùn)維交接日志記錄

21、應(yīng)定期對(duì)監(jiān)控記錄進(jìn)行分析、評(píng)審

22、應(yīng)具有異?，F(xiàn)象的現(xiàn)場(chǎng)處理記錄和事后相關(guān)的分析報(bào)告

23、應(yīng)建立安全管理中心，對(duì)設(shè)備狀態(tài)、惡意代碼、補(bǔ)丁升級(jí)、安全審計(jì)等相關(guān)事項(xiàng)進(jìn)行集中管理

24、應(yīng)指定專人負(fù)責(zé)維護(hù)網(wǎng)絡(luò)安全管理工作

25、應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行過(guò)升級(jí)，更新前應(yīng)對(duì)現(xiàn)有的重要文件是否進(jìn)行備份（網(wǎng)絡(luò)設(shè)備運(yùn)維維護(hù)工作記錄）

26、應(yīng)對(duì)網(wǎng)絡(luò)進(jìn)行過(guò)漏洞掃描，并對(duì)發(fā)現(xiàn)的漏洞進(jìn)行及時(shí)修補(bǔ)。

27、對(duì)設(shè)備的安全配置應(yīng)遵循最小服務(wù)原則，應(yīng)對(duì)配置文件進(jìn)行備份（具有網(wǎng)絡(luò)設(shè)備配置數(shù)據(jù)的離線備份）

28、系統(tǒng)網(wǎng)絡(luò)的外聯(lián)種類（互聯(lián)網(wǎng)、合作伙伴企業(yè)網(wǎng)、上級(jí)部門網(wǎng)絡(luò)等）應(yīng)都得到授權(quán)與批準(zhǔn)，由何人/何部門批準(zhǔn)。應(yīng)定期檢查違規(guī)聯(lián)網(wǎng)的行為。

29、對(duì)便攜式和移動(dòng)式設(shè)備的網(wǎng)絡(luò)接入應(yīng)進(jìn)行限制管理

30、應(yīng)具有內(nèi)部網(wǎng)絡(luò)外聯(lián)的授權(quán)批準(zhǔn)書，應(yīng)具有網(wǎng)絡(luò)違規(guī)行為（如撥號(hào)上網(wǎng)等）的檢查手段和工具。

31、在安裝系統(tǒng)補(bǔ)丁程序前應(yīng)經(jīng)過(guò)測(cè)試，并對(duì)重要文件進(jìn)行備份。

32、應(yīng)有補(bǔ)丁測(cè)試記錄和系統(tǒng)補(bǔ)丁安裝操作記錄

33、應(yīng)對(duì)系統(tǒng)管理員用戶進(jìn)行分類（比如：劃分不同的管理角色，系統(tǒng)管理權(quán)限與安全審計(jì)權(quán)限分離等）

34、審計(jì)員應(yīng)定期對(duì)系統(tǒng)審計(jì)日志進(jìn)行分析（有定期對(duì)系統(tǒng)運(yùn)行日志和審計(jì)數(shù)據(jù)的分析報(bào)告）

35、應(yīng)對(duì)員工進(jìn)行基本惡意代碼防范意識(shí)的教育，如告知應(yīng)及時(shí)升級(jí)軟件版本（對(duì)員工的惡意代碼防范教育的相關(guān)培訓(xùn)文檔）

36、應(yīng)指定專人對(duì)惡意代碼進(jìn)行檢測(cè)，并保存記錄。

37、應(yīng)具有對(duì)網(wǎng)絡(luò)和主機(jī)進(jìn)行惡意代碼檢測(cè)的記錄

38、應(yīng)對(duì)惡意代碼庫(kù)的升級(jí)情況進(jìn)行記錄（代碼庫(kù)的升級(jí)記錄），對(duì)各類防病毒產(chǎn)品上截獲的惡意代碼是否進(jìn)行分析并匯總上報(bào)。是否出現(xiàn)過(guò)大規(guī)模的病毒事件，如何處理

39、應(yīng)具有惡意代碼檢測(cè)記錄、惡意代碼庫(kù)升級(jí)記錄和分析報(bào)告 40、應(yīng)具有變更方案評(píng)審記錄和變更過(guò)程記錄文檔。

41、重要系統(tǒng)的變更申請(qǐng)書，應(yīng)具有主管領(lǐng)導(dǎo)的批準(zhǔn)

42、系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員和網(wǎng)絡(luò)管理員應(yīng)識(shí)別需定期備份的業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)（備份文件記錄）

43、應(yīng)定期執(zhí)行恢復(fù)程序，檢查和測(cè)試備份介質(zhì)的有效性

44、應(yīng)有系統(tǒng)運(yùn)維過(guò)程中發(fā)現(xiàn)的安全弱點(diǎn)和可疑事件對(duì)應(yīng)的報(bào)告或相關(guān)文檔

45、應(yīng)對(duì)安全事件記錄分析文檔

46、應(yīng)具有不同事件的應(yīng)急預(yù)案

47、應(yīng)具有應(yīng)急響應(yīng)小組，應(yīng)具備應(yīng)急設(shè)備并能正常工作，應(yīng)急預(yù)案執(zhí)行所需資金應(yīng)做過(guò)預(yù)算并能夠落實(shí)。

48、應(yīng)對(duì)系統(tǒng)相關(guān)人員進(jìn)行應(yīng)急預(yù)案培訓(xùn)（應(yīng)急預(yù)案培訓(xùn)記錄）

49、應(yīng)定期對(duì)應(yīng)急預(yù)案進(jìn)行演練（應(yīng)急預(yù)案演練記錄）50、應(yīng)對(duì)應(yīng)急預(yù)案定期進(jìn)行審查并更新

51、應(yīng)具有更新的應(yīng)急預(yù)案記錄、應(yīng)急預(yù)案審查記錄。

第三篇：信息安全等級(jí)保護(hù)工作計(jì)劃

篇一：信息安全等級(jí)保護(hù)工作實(shí)施方案 白魯?shù)A九年制學(xué)校

信息安全等級(jí)保護(hù)工作實(shí)施方案

為加強(qiáng)信息安全等級(jí)保護(hù)，規(guī)范信息安全等級(jí)保護(hù)管理，提高信息安全保障能力和水平，維護(hù)國(guó)家安全、社會(huì)穩(wěn)定和公共利益，保障和促進(jìn)我校信息化建設(shè)。根據(jù)商教發(fā)【2011】321號(hào)文件精神，結(jié)合我校實(shí)際，制訂本實(shí)施方案。

一、指導(dǎo)思想

以科學(xué)發(fā)展觀為指導(dǎo)，以黨的十七大、十七屆五中全會(huì)精神為指針，深入貫徹執(zhí)行《信息安全等級(jí)保護(hù)管理辦法》等文件精神，全面推進(jìn)信息安全等級(jí)保護(hù)工作，維護(hù)我?；A(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全穩(wěn)定運(yùn)行。

二、定級(jí)范圍

學(xué)校管理、辦公系統(tǒng)、教育教學(xué)系統(tǒng)、財(cái)務(wù)管理等重要信息系統(tǒng)以及其他重要信息系統(tǒng)。

三、組織領(lǐng)導(dǎo)

（一）工作分工。定級(jí)工作由電教組牽頭，會(huì)同學(xué)校辦公室、安全保衛(wèi)處等共同組織實(shí)施。學(xué)校辦公室負(fù)責(zé)定級(jí)工作的部門間協(xié)調(diào)。安全保衛(wèi)處負(fù)責(zé)定級(jí)工作的監(jiān)督。

電教組負(fù)責(zé)定級(jí)工作的檢查、指導(dǎo)、評(píng)審。

各部門依據(jù)《信息安全等級(jí)保護(hù)管理辦法》和本方案要求，開展信息系統(tǒng)自評(píng)工作。

（二）協(xié)調(diào)領(lǐng)導(dǎo)機(jī)制。

1、成立領(lǐng)導(dǎo)小組，校長(zhǎng)任組長(zhǎng)，副校長(zhǎng)任副組長(zhǎng)、各部門負(fù)責(zé)人為成員，負(fù)責(zé)我校信息安全等級(jí)保護(hù)工作的領(lǐng)導(dǎo)、協(xié)調(diào)工作。督促各部門按照總體方案落實(shí)工作任務(wù)和責(zé)任，對(duì)等級(jí)保護(hù)工作整體推進(jìn)情況進(jìn)行檢查監(jiān)督，指導(dǎo)安全保密方案制定。

2、成立由電教組牽頭的工作機(jī)構(gòu)，主要職責(zé)：在領(lǐng)導(dǎo)小組的領(lǐng)導(dǎo)下，切實(shí)抓好我校定級(jí)保護(hù)工作的日常工作。做好組織各信息系統(tǒng)運(yùn)營(yíng)使用部門參加信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)相關(guān)會(huì)議；組織開展政策和技術(shù)培訓(xùn)，掌握定級(jí)工作規(guī)范和技術(shù)要求，為定級(jí)工作打好基礎(chǔ)；全面掌握學(xué)校各部門定級(jí)保護(hù)工作的進(jìn)展情況和存在的問(wèn)題，對(duì)存在的問(wèn)題及時(shí)協(xié)調(diào)解決，形成定級(jí)工作總結(jié)并按時(shí)上報(bào)領(lǐng)導(dǎo)小組。

3、成立由赴省參加過(guò)計(jì)算機(jī)培訓(xùn)的教師組成的評(píng)審組，主要負(fù)責(zé)：一是為我校信息與網(wǎng)絡(luò)安全提供技術(shù)支持與服務(wù)咨詢；二是參與信息安全等級(jí)保護(hù)定級(jí)評(píng)審工作；三是參與重要信息與網(wǎng)絡(luò)安全突發(fā)公共事件的分析研判和為領(lǐng)導(dǎo)決策提供依據(jù)。

四、主要內(nèi)容、工作步驟

（一）開展信息系統(tǒng)基本情況的摸底調(diào)查。各部門要組織開展對(duì)所屬信息系統(tǒng)的摸底調(diào)查，全面掌握信息系統(tǒng)的數(shù)量、分布、業(yè)務(wù)類型、應(yīng)用或服務(wù)范圍、系統(tǒng)結(jié)構(gòu)等基本情況，按照《信息安全等級(jí)保護(hù)管理辦法》和《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》的要求，確定定級(jí)對(duì)象。

（二）初步確定安全保護(hù)等級(jí)。各使用部門要按照《信息安全等級(jí)保護(hù)管理辦法》和《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》，初步確定定級(jí)對(duì)象的安全保護(hù)等級(jí)，起草定級(jí)報(bào)告。涉密信息系統(tǒng)的等級(jí)確定按照國(guó)家保密局的有關(guān)規(guī)定和標(biāo)準(zhǔn)執(zhí)行。

（三）評(píng)審。初步確定信息系統(tǒng)安全保護(hù)等級(jí)后，上報(bào)學(xué)校信息系統(tǒng)安全等級(jí)保護(hù)評(píng)審組進(jìn)行評(píng)審。

（四）備案。根據(jù)《信息安全等級(jí)保護(hù)管理辦法》，信息系統(tǒng)安全保護(hù)等級(jí)為第二級(jí)以上的信息系統(tǒng)統(tǒng)一由電教組負(fù)責(zé)備案工作。

五、定級(jí)工作要求

（一）加強(qiáng)領(lǐng)導(dǎo)，落實(shí)保障。各部門要落實(shí)責(zé)任，并于12月15日前將《信息系統(tǒng)安全等級(jí)保護(hù)備案表》、《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)報(bào)告》上報(bào)九年制學(xué)校。

（二）加強(qiáng)培訓(xùn)，嚴(yán)格定級(jí)。為切實(shí)落實(shí)評(píng)審工作，保證定級(jí)準(zhǔn)確，備案及時(shí)，全面提高我?；A(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的信息安全保護(hù)能力和水平，保證定級(jí)工作順利進(jìn)行，各部門要認(rèn)真學(xué)習(xí)《信息安全等級(jí)保護(hù)管理辦法》、《文保處教育系統(tǒng)單位信息分級(jí)培訓(xùn)材料》、《信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南（國(guó)標(biāo)）》、《信息系統(tǒng)安全等級(jí)保護(hù)基本要求（報(bào)批）》、《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南（報(bào)批）》等材料。

（三）積極配合、認(rèn)真整改。各部門要認(rèn)真按照評(píng)級(jí)要求，組織開展等級(jí)保護(hù)工作，切實(shí)做好重要信息系統(tǒng)的安全等級(jí)保護(hù)。

（四）自查自糾、完善制度。此次定級(jí)工作完成后，請(qǐng)各部門按照《信息安全等級(jí)保護(hù)管理辦法》和有關(guān)技術(shù)標(biāo)準(zhǔn)，依據(jù)系統(tǒng)所定保護(hù)等級(jí)的要求，定期對(duì)信息系統(tǒng)安全狀況、安全保護(hù)制度及措施的落實(shí)情況進(jìn)行自查，并不斷完善安全管理制度，今后，若信息系統(tǒng)備案資料發(fā)生變化，應(yīng)及時(shí)進(jìn)行變更備案篇二：醫(yī)院信息系統(tǒng)安全等級(jí)保護(hù)工作實(shí)施方案 醫(yī)院信息系統(tǒng)安全等級(jí) 保護(hù)工作實(shí)施方案

醫(yī)院信息系統(tǒng)是醫(yī)療服務(wù)的重要支撐體系。為確保我院信息系統(tǒng)安全可靠運(yùn)行，根據(jù)公安部等四部、局、辦印發(fā)的《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見》公通字【2004】66號(hào)、《衛(wèi)生部辦公廳關(guān)于全面開展衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的通知》衛(wèi)辦綜函【2011】1126號(hào)、衛(wèi)生部關(guān)于印發(fā)《衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見》的通知 衛(wèi)辦發(fā)【2011】85號(hào)和省市有關(guān)文件精神，并結(jié)合我院信息化建設(shè)的工作實(shí)際，特制定《德江縣民族中醫(yī)院信息系統(tǒng)安全等級(jí)保護(hù)工作實(shí)施方案》確保我院信息系統(tǒng)安全。

一、組織領(lǐng)導(dǎo) 組 長(zhǎng)： 副組長(zhǎng)： 組 員：

領(lǐng)導(dǎo)小組辦公室設(shè)在xx科，由xx同志兼任主任，xx等同志負(fù)責(zé)具體工作。

二、工作任務(wù)

1、做好系統(tǒng)定級(jí)工作。定級(jí)系統(tǒng)包括基礎(chǔ)支撐系統(tǒng)，面向患者服務(wù)信息系統(tǒng)，內(nèi)部行政管理信息系統(tǒng)、網(wǎng)絡(luò)直報(bào)系統(tǒng)及門戶網(wǎng)站，定級(jí)方法由市衛(wèi)生局統(tǒng)一與市公安局等信息安全相關(guān)部門協(xié)商。

2、做好系統(tǒng)備案工作。按照市衛(wèi)生系統(tǒng)信息安全等級(jí)保護(hù)劃分定級(jí)要求，對(duì)信息系統(tǒng)進(jìn)行定級(jí)后，將本單位《信息系統(tǒng)安全等級(jí)保護(hù)備案表》《信息系統(tǒng)定級(jí)報(bào)告》和備案電子數(shù)據(jù)報(bào)衛(wèi)生局，由衛(wèi)生局報(bào)屬地公安機(jī)關(guān)辦理備案手續(xù)。

3、做好系統(tǒng)等級(jí)測(cè)評(píng)工作。完成定級(jí)備案后，選擇市衛(wèi)生局推薦的等級(jí)測(cè)評(píng)機(jī)構(gòu)，對(duì)已確定安全保護(hù)等級(jí)信息系統(tǒng)，按照國(guó)家信息安全等級(jí)保護(hù)工作規(guī)范和《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》等國(guó)家標(biāo)準(zhǔn)開展等級(jí)測(cè)評(píng)，信息系統(tǒng)測(cè)評(píng)后，及時(shí)將測(cè)評(píng)機(jī)構(gòu)出具的《信息系統(tǒng)等級(jí)測(cè)評(píng)報(bào)告》向?qū)俚毓矙C(jī)關(guān)報(bào)備。

4、完善等級(jí)保護(hù)體系建設(shè)做好整改工作。按照測(cè)評(píng)報(bào)告評(píng)測(cè)結(jié)果，對(duì)照《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（gb/t22239-2008）等有關(guān)標(biāo)準(zhǔn)，結(jié)合醫(yī)院工作實(shí)際，組織開展等級(jí)保護(hù)安全建設(shè)整改工作，具體要求如下：

三、工作要求

1、建立安全管理組織機(jī)構(gòu)。成立信息安全工作組，網(wǎng)絡(luò)辦負(fù)責(zé)人為安全責(zé)任人，擬定實(shí)施醫(yī)院信息系統(tǒng)安全等級(jí)保護(hù)的具體方案，并制定相應(yīng)的崗位責(zé)任制，確保信息安全等級(jí)保護(hù)工作順利實(shí)施。

2、建立健全信息系統(tǒng)安全管理制度。根據(jù)信息安全等級(jí)保護(hù)的要求，制定各項(xiàng)信息系統(tǒng)安全管理制度，對(duì)安全管理人員或操作人員執(zhí)行的重要管理操作建立操作規(guī)程和執(zhí)行記錄文檔。

3、制定保障醫(yī)療活動(dòng)不中斷的應(yīng)急預(yù)案。應(yīng)急預(yù)案是安全等級(jí)保護(hù)的重要組成部分，按可能出現(xiàn)問(wèn)題的不同情形制定相應(yīng)的應(yīng)急措施，在系統(tǒng)出現(xiàn)故障和意外且無(wú)法短時(shí)間恢復(fù)的情況下能確保醫(yī)療活動(dòng)持續(xù)進(jìn)行。

4、嚴(yán)格執(zhí)行安全事故報(bào)告和處置管理制度。醫(yī)院信息系統(tǒng)所有使用或管理人員均有責(zé)任發(fā)現(xiàn)和報(bào)告信息安全可疑事件，應(yīng)視情況及時(shí)以口頭或書面的形式報(bào)告院網(wǎng)絡(luò)辦。對(duì)重大信息網(wǎng)絡(luò)安全事件、安全事故和計(jì)算機(jī)違法犯罪案件，應(yīng)在24小時(shí)內(nèi)向公安機(jī)關(guān)報(bào)告，并保護(hù)好現(xiàn)場(chǎng)。篇三：2013年信息安全等級(jí)保護(hù)工作匯報(bào) 2013年信息安全等級(jí)保護(hù)工作匯報(bào)

一、加強(qiáng)領(lǐng)導(dǎo)

二、完善制度

為貫徹落實(shí)全市加強(qiáng)和改進(jìn)互聯(lián)網(wǎng)建設(shè)與管理工作會(huì)議和市委辦公室、市政府辦公室《揚(yáng)州市深入推進(jìn)信息安全等級(jí)保護(hù)工作的實(shí)施意見》（揚(yáng)辦發(fā)[2012]57號(hào)）文件精神，對(duì)集團(tuán)信息系統(tǒng)安全等級(jí)保護(hù)工作做出了具體的要求，根據(jù)等級(jí)保護(hù)要求，開展了信息安全制度的前期完善工作。陸續(xù)制定了“增加揚(yáng)州網(wǎng)一些網(wǎng)站新聞發(fā)布審核的制度”、《外部人員訪問(wèn)機(jī)房審批管理制度》、《中心機(jī)房管理辦法》、《機(jī)房消防安全管理制度》等制度。

三、信息等級(jí)安全保護(hù)基本情況

目前，集團(tuán)已有揚(yáng)州網(wǎng)、揚(yáng)州晚報(bào)網(wǎng)、揚(yáng)州汽車網(wǎng)、藝術(shù)在線網(wǎng)和多個(gè)內(nèi)部信息系統(tǒng)根據(jù)等級(jí)保護(hù)的要求進(jìn)行了整改優(yōu)化，積極加強(qiáng)信息系統(tǒng)安全環(huán)境建設(shè)，消除安全管理中的薄弱環(huán)節(jié)。在物理安全方面，機(jī)房安裝門禁系統(tǒng)，嚴(yán)格管理機(jī)房人員進(jìn)出，消防設(shè)施完善，所有設(shè)備通過(guò)ups供電。關(guān)鍵網(wǎng)絡(luò)設(shè)備和服務(wù)器做到有主有備，確保在發(fā)生物理故障時(shí)可以及時(shí)更換。

在網(wǎng)絡(luò)安全方面，我們嚴(yán)格按照內(nèi)、外網(wǎng)物理隔離的標(biāo)準(zhǔn)建設(shè)網(wǎng)絡(luò)系統(tǒng)，并采用虛擬局域網(wǎng)技術(shù)，通過(guò)交換機(jī)端口的ip綁定，防止非法網(wǎng)絡(luò)接入；在網(wǎng)絡(luò)出口以及不同網(wǎng)絡(luò)互聯(lián)邊界全面部署硬件防火墻，部署日志服務(wù)器，記錄并留存使用互聯(lián)網(wǎng)和內(nèi)部網(wǎng)絡(luò)地址對(duì)應(yīng)關(guān)系； 在集團(tuán)互聯(lián)網(wǎng)出口部署網(wǎng)絡(luò)行為管理系統(tǒng)，規(guī)范和記錄上網(wǎng)行為，合理控制不同應(yīng)用的網(wǎng)絡(luò)流量，實(shí)現(xiàn)網(wǎng)絡(luò)帶寬動(dòng)態(tài)分配，保障了信息系統(tǒng)正常應(yīng)用的網(wǎng)絡(luò)環(huán)境。

在主機(jī)安全方面，終端計(jì)算機(jī)采用雙硬盤及物理隔離互聯(lián)網(wǎng)及內(nèi)網(wǎng)應(yīng)用，通過(guò)部署趨勢(shì)網(wǎng)絡(luò)防毒墻網(wǎng)絡(luò)版，安裝聯(lián)軟安全管理軟件保障客戶機(jī)系統(tǒng)安全，并且做到漏洞補(bǔ)丁及時(shí)更新，重要的應(yīng)用系統(tǒng)安裝了計(jì)算機(jī)監(jiān)控與審計(jì)系統(tǒng)，實(shí)現(xiàn)對(duì)主機(jī)的usb等外設(shè)接口的控制管理，采用key用戶名密碼等方式控制用戶登陸行為。

對(duì)于應(yīng)用安全，嚴(yán)格做好系統(tǒng)安全測(cè)試，配備了專門的漏洞 掃描儀定期掃描應(yīng)用系統(tǒng)漏洞，并按測(cè)試結(jié)果做好安全修復(fù)和加固工作；在網(wǎng)站區(qū)，部屬入侵防御系統(tǒng)，監(jiān)測(cè)、記錄安全事件，及時(shí)阻斷入侵行為，自部署起已多次成功檢測(cè)出sql注入，ftp匿名登錄，網(wǎng)站目錄遍歷，探測(cè)主機(jī)地址漏洞等。

在數(shù)據(jù)安全方面，數(shù)據(jù)庫(kù)通過(guò)備份系統(tǒng)定期備份，關(guān)鍵數(shù)據(jù)庫(kù)服務(wù)器采用雙機(jī)熱備份，保證數(shù)據(jù)庫(kù)服務(wù)器的可用性和高效性，在出現(xiàn)故障時(shí)可以快速恢復(fù)；數(shù)據(jù)庫(kù)的訪問(wèn)按不同用戶身份進(jìn)行嚴(yán)格的權(quán)限控制。

四、建議

信息系統(tǒng)安全等級(jí)保護(hù)工作責(zé)任重大，技術(shù)性強(qiáng)，工作量巨大，集團(tuán)在該項(xiàng)工作上雖然取得一些進(jìn)展，但是與市里要求還有相當(dāng)?shù)牟罹?，在等?jí)保護(hù)意識(shí)、宣傳力度、技術(shù)人才的培養(yǎng)和制度的建立上仍然存在問(wèn)題。

建議市里加強(qiáng)工作指導(dǎo)，通過(guò)多種方式的等級(jí)保護(hù)技術(shù)交流和培訓(xùn)，提高單位領(lǐng)導(dǎo)及員工的等級(jí)保護(hù)意識(shí)，進(jìn)一步推進(jìn)集團(tuán)的信息系統(tǒng)等級(jí)保護(hù)工作。

第四篇：淺談信息安全等級(jí)保護(hù)問(wèn)題

淺談信息安全等級(jí)保護(hù)問(wèn)題 當(dāng)今，我國(guó)關(guān)于實(shí)現(xiàn)信息安全的一項(xiàng)重要的舉措就是信息系統(tǒng)安全等級(jí)保護(hù)。嚴(yán)格按照等級(jí)保護(hù)的規(guī)定，建設(shè)安全的信息系統(tǒng)成為了目前面臨的主要問(wèn)題。本文主要介紹了信息安全等級(jí)的劃分以及如何對(duì)具體的信息系統(tǒng)實(shí)施安全等級(jí)保護(hù)措施的方法。

隨著現(xiàn)在高科技的快速發(fā)展以及當(dāng)前社會(huì)對(duì)信息系統(tǒng)需求的不斷增加，信息系統(tǒng)的規(guī)模也在日益擴(kuò)大，它的諸多應(yīng)用都給社會(huì)創(chuàng)造了巨大的財(cái)富，與此同時(shí)，信息系統(tǒng)也成為了威脅、攻擊以及破壞的對(duì)象。由于信息在網(wǎng)絡(luò)上的存儲(chǔ)、傳輸和共享等過(guò)程的非法利用，導(dǎo)致目前如何確保信息系統(tǒng)的安全性就成為了我們現(xiàn)階段亟待解決的重點(diǎn)問(wèn)題。當(dāng)前，我們正在有計(jì)劃的開展信息安全等級(jí)保護(hù)制度實(shí)施工作。為了確保計(jì)算機(jī)信息系統(tǒng)的安全，一定要系統(tǒng)地、深入地研究和學(xué)習(xí)信息系統(tǒng)安全技術(shù)和等級(jí)保護(hù)方法。

1、信息安全等級(jí)保護(hù)

2003年，中辦、國(guó)辦轉(zhuǎn)發(fā) 國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》(中辦發(fā)[2003327號(hào))，提出實(shí)行信息安全等級(jí)保護(hù)，建立國(guó)家信息安全保障體系的明確要求。信息系統(tǒng)的安全保護(hù)等級(jí)應(yīng)當(dāng)根據(jù)信息系統(tǒng)在國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度，信息系統(tǒng)遭到破壞后對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定。

信息系統(tǒng)的安全保護(hù)等級(jí)分為五級(jí)：第一級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害，但不損害國(guó)家安全、社會(huì)秩序和公共利益。該級(jí)別是用戶自主保護(hù)級(jí)。完全由用戶自己來(lái)決定如何對(duì)資源進(jìn)行保護(hù)，以及采用何種方式進(jìn)行保護(hù)。第二級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對(duì)社會(huì)秩序和公共利益造成損害，但不損害國(guó)家安全。該級(jí)別是系統(tǒng)審計(jì)保護(hù)級(jí)。第三級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成損害。該級(jí)別是安全標(biāo)記保護(hù)級(jí)。除具有第二級(jí)系統(tǒng)審計(jì)保護(hù)級(jí)的所有功能外，它還要求對(duì)訪問(wèn)者和訪問(wèn)對(duì)象實(shí)施強(qiáng)制訪問(wèn)控制，并能夠進(jìn)行記錄，以便事后的監(jiān)督 審計(jì)。第四級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成嚴(yán)重?fù)p害。該級(jí)別是結(jié)構(gòu)化保護(hù)級(jí)。

第五級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)國(guó)家安全造成特別嚴(yán)重?fù)p害。該級(jí)別是訪問(wèn)驗(yàn)證保護(hù)級(jí)。這一個(gè)級(jí)別除了具備前四級(jí)的所有功能外還特別增設(shè)了訪問(wèn)驗(yàn)證功能，負(fù)責(zé)管理訪問(wèn)者對(duì)訪問(wèn)對(duì)象的所有訪問(wèn)活動(dòng)，管理訪問(wèn)者能否訪問(wèn)某些對(duì)象從而對(duì)訪問(wèn)對(duì)象實(shí)行?？?，保護(hù)信息不能被非授權(quán)獲取。

2、信息安全等級(jí)劃分

2．1按相關(guān)政策規(guī)定劃分安全保護(hù)等級(jí)

對(duì)于我國(guó)中央和國(guó)家各級(jí)機(jī)關(guān)、國(guó)家重點(diǎn)科研部門機(jī)構(gòu)、國(guó)防建設(shè)部門等需要對(duì)信息系統(tǒng)施行特殊隔離和保護(hù)的單位機(jī)關(guān)，均應(yīng)按照相關(guān)政策、相關(guān)法律法規(guī)，實(shí)施安全等級(jí)保護(hù)。

2．2按照保護(hù)數(shù)據(jù)的價(jià)值劃分保護(hù)等級(jí)

不同類別的數(shù)據(jù)信息需要實(shí)施不同安全等級(jí)的保護(hù)，這樣不僅能使信息系統(tǒng)中的數(shù)據(jù)信息的安全得到應(yīng)有的保證，而且又能縮減一部分不必要的開銷。

3、信息安全等級(jí)保護(hù)具體方法

信息系統(tǒng)安全等級(jí)劃分的最優(yōu)的選擇是全方位劃分等級(jí)，其最基本的思想為重點(diǎn)保護(hù)和適度保護(hù)。在此基礎(chǔ)上，投入合理的安全投入，運(yùn)用以下兩點(diǎn)信息安全等級(jí)保護(hù)方法，努力使信息系統(tǒng)得到應(yīng)有的安全保護(hù)。

3．1全系統(tǒng)的同一安全等級(jí)的安全保護(hù)

全系統(tǒng)同一安全等級(jí)安全保護(hù)：在一個(gè)需要進(jìn)行安全等級(jí)保護(hù)的信息系統(tǒng)中，在組成系統(tǒng)的任何部分，所存儲(chǔ)、傳輸和處理的全部數(shù)據(jù)信息，都需進(jìn)行相同的安全保護(hù)等級(jí)的保護(hù)措施。

當(dāng)有這樣要求，規(guī)定所要保護(hù)的數(shù)據(jù)信息，不管處于系統(tǒng)中任何位置，進(jìn)行任何形式的數(shù)據(jù)處理都需采取相同安全保護(hù)等級(jí)是，都應(yīng)嚴(yán)格按照全系統(tǒng)同一安全等級(jí)安全保護(hù)方法開展系統(tǒng)安全性設(shè)計(jì)，設(shè)計(jì)出要求所需的安全機(jī)制。

3．2分系統(tǒng)不同安全等級(jí)安全保護(hù)

所謂分系統(tǒng)不同安全等級(jí)安全保護(hù)：在一個(gè)需要進(jìn)行安全等級(jí)保護(hù)的計(jì)算機(jī)信息系統(tǒng)中，其中所存儲(chǔ)、傳輸和處理的全部數(shù)據(jù)信息，應(yīng)該按照信息在組成計(jì)算機(jī)信息系統(tǒng)的每個(gè)分系統(tǒng)中的不同保護(hù)要求的原則，對(duì)其實(shí)施不同安全保護(hù)等級(jí)的安全保護(hù)。

3．3虛擬系統(tǒng)不同安全等級(jí)安全保護(hù)

絡(luò)信息安全進(jìn)行控制。具體的實(shí)施措施可以使用路由器對(duì)外界進(jìn)行控制，將路由器作為網(wǎng)關(guān)的局域網(wǎng)上的諸?~llnternet等網(wǎng)絡(luò)服務(wù)的信息流量，也可以通過(guò)對(duì)系統(tǒng)文件權(quán)限的設(shè)置來(lái)確認(rèn)訪問(wèn)是否合法，以此來(lái)保證計(jì)算機(jī)網(wǎng)絡(luò)信息的安全。

3．4計(jì)算機(jī)網(wǎng)絡(luò)病毒的防范技術(shù)

計(jì)算機(jī)病毒是威脅計(jì)算機(jī)網(wǎng)絡(luò)安全的重大因素，因此應(yīng)該對(duì)常見的計(jì)算機(jī)病毒知識(shí)進(jìn)行熟練地掌握，對(duì)其基本的防治技術(shù)手段有一定的了解，能夠在發(fā)現(xiàn)病毒的第一時(shí)間里對(duì)其進(jìn)行及時(shí)的處理，將危害降到最低。對(duì)于計(jì)算機(jī)病毒的防范可以采用以下一些技術(shù)手段，可以通過(guò)加密執(zhí)行程序，引導(dǎo)區(qū)保護(hù)、系統(tǒng)監(jiān)控和讀寫控制等手段，對(duì)系統(tǒng)中是否有病毒進(jìn)行監(jiān)督判斷，進(jìn)而阻止病毒侵人計(jì)算機(jī)系統(tǒng)。

3.5漏洞掃描及修復(fù)技術(shù)

計(jì)算機(jī)系統(tǒng)中的漏洞是計(jì)算機(jī)網(wǎng)絡(luò)安全中存在的極大隱患，因此，要定期對(duì)計(jì)算機(jī)進(jìn)行全方位的系統(tǒng)漏洞掃描，以確認(rèn)當(dāng)前的計(jì)算機(jī)系統(tǒng)中是否存在著系統(tǒng)漏洞。一旦發(fā)現(xiàn)計(jì)算機(jī)中存在系統(tǒng)漏洞，要及時(shí)的對(duì)其進(jìn)行修復(fù)，避免被黑客等不放法子利用。漏洞的修復(fù)分兩種，有的漏洞系統(tǒng)自身可以進(jìn)行恢復(fù)，而有一部分漏洞則需要手動(dòng)進(jìn)行修復(fù)。

4、結(jié)語(yǔ)

在當(dāng)前通信與信息產(chǎn)業(yè)高速發(fā)展的形勢(shì)下，計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)的研究與應(yīng)用也應(yīng)該與時(shí)俱進(jìn)，不斷地研究探討更加優(yōu)化的計(jì)算機(jī)網(wǎng)絡(luò)防范技術(shù)，將其應(yīng)用到計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的運(yùn)行中，減少計(jì)算機(jī)網(wǎng)絡(luò)使用的安全風(fēng)險(xiǎn)。實(shí)現(xiàn)安全的進(jìn)行信息交流，資源共享的目的，使計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)更好的為人們的生活工作服務(wù)。

第五篇：信息安全等級(jí)保護(hù)(二級(jí))

信息安全等級(jí)保護(hù)(二級(jí))

備注：其中黑色字體為信息安全等級(jí)保護(hù)第二級(jí)系統(tǒng)要求，藍(lán)色字體為第三級(jí)系統(tǒng)等保要求。

一、物理安全

1、應(yīng)具有機(jī)房和辦公場(chǎng)地的設(shè)計(jì)/驗(yàn)收文檔（機(jī)房場(chǎng)地的選址說(shuō)明、地線連接要求的描述、建筑材料具有相應(yīng)的耐火等級(jí)說(shuō)明、接地防靜電措施）

2、應(yīng)具有有來(lái)訪人員進(jìn)入機(jī)房的申請(qǐng)、審批記錄；來(lái)訪人員進(jìn)入機(jī)房的登記記錄

3、應(yīng)配置電子門禁系統(tǒng)(三級(jí)明確要求)；電子門禁系統(tǒng)有驗(yàn)收文檔或產(chǎn)品安全認(rèn)證資質(zhì)，電子門禁系統(tǒng)運(yùn)行和維護(hù)記錄

4、主要設(shè)備或設(shè)備的主要部件上應(yīng)設(shè)置明顯的不易除去的標(biāo)記

5、介質(zhì)有分類標(biāo)識(shí)；介質(zhì)分類存放在介質(zhì)庫(kù)或檔案室內(nèi)，磁介質(zhì)、紙介質(zhì)等分類存放

6、應(yīng)具有攝像、傳感等監(jiān)控報(bào)警系統(tǒng)；機(jī)房防盜報(bào)警設(shè)施的安全資質(zhì)材料、安裝測(cè)試和驗(yàn)收?qǐng)?bào)告；機(jī)房防盜報(bào)警系統(tǒng)的運(yùn)行記錄、定期檢查和維護(hù)記錄；

7、應(yīng)具有機(jī)房監(jiān)控報(bào)警設(shè)施的安全資質(zhì)材料、安裝測(cè)試和驗(yàn)收?qǐng)?bào)告；機(jī)房監(jiān)控報(bào)警系統(tǒng)的運(yùn)行記錄、定期檢查和維護(hù)記錄

8、應(yīng)具有機(jī)房建筑的避雷裝置；通過(guò)驗(yàn)收或國(guó)家有關(guān)部門的技術(shù)檢測(cè)；

9、應(yīng)在電源和信號(hào)線上增加有資質(zhì)的防雷保安器；具有防雷檢測(cè)資質(zhì)的檢測(cè)部門對(duì)防雷裝置的檢測(cè)報(bào)告

10、應(yīng)具有自動(dòng)檢測(cè)火情、自動(dòng)報(bào)警、自動(dòng)滅火的自動(dòng)消防系統(tǒng)；自動(dòng)消防系統(tǒng)的運(yùn)行記錄、檢查和定期維護(hù)記錄；消防產(chǎn)品有效期合格；自動(dòng)消防系統(tǒng)是經(jīng)消防檢測(cè)部門檢測(cè)合格的產(chǎn)品

11、應(yīng)具有除濕裝置；空調(diào)機(jī)和加濕器；溫濕度定期檢查和維護(hù)記錄

12、應(yīng)具有水敏感的檢測(cè)儀表或元件；對(duì)機(jī)房進(jìn)行防水檢測(cè)和報(bào)警；防水檢測(cè)裝置的運(yùn)行記錄、定期檢查和維護(hù)記錄

13、應(yīng)具有溫濕度自動(dòng)調(diào)節(jié)設(shè)施；溫濕度自動(dòng)調(diào)節(jié)設(shè)施的運(yùn)行記錄、定期檢查和維護(hù)記錄

14、應(yīng)具有短期備用電力供應(yīng)設(shè)備（如UPS）；短期備用電力供應(yīng)設(shè)備的運(yùn)行記錄、定期檢查和維護(hù)記錄

15、應(yīng)具有冗余或并行的電力電纜線路（如雙路供電方式）

16、應(yīng)具有備用供電系統(tǒng)（如備用發(fā)電機(jī)）；備用供電系統(tǒng)運(yùn)行記錄、定期檢查和維護(hù)記錄

二、安全管理制度

1、應(yīng)具有對(duì)重要管理操作的操作規(guī)程，如系統(tǒng)維護(hù)手冊(cè)和用戶操作規(guī)程

2、應(yīng)具有安全管理制度的制定程序：

3、應(yīng)具有專門的部門或人員負(fù)責(zé)安全管理制度的制定（發(fā)布制度具有統(tǒng)一的格式，并進(jìn)行版本控制）

4、應(yīng)對(duì)制定的安全管理制度進(jìn)行論證和審定，論證和審定方式如何（如召開評(píng)審會(huì)、函審、內(nèi)部審核等），應(yīng)具有管理制度評(píng)審記錄

5、應(yīng)具有安全管理制度的收發(fā)登記記錄，收發(fā)應(yīng)通過(guò)正式、有效的方式（如正式發(fā)文、領(lǐng)導(dǎo)簽署和單位蓋章等）----安全管理制度應(yīng)注明發(fā)布范圍，并對(duì)收發(fā)文進(jìn)行登記。

6、信息安全領(lǐng)導(dǎo)小組定期對(duì)安全管理制度體系的合理性和適用性進(jìn)行審定，審定周期多長(zhǎng)。（安全管理制度體系的評(píng)審記錄）

7、系統(tǒng)發(fā)生重大安全事故、出現(xiàn)新的安全漏洞以及技術(shù)基礎(chǔ)結(jié)構(gòu)和組織結(jié)構(gòu)等發(fā)生變更時(shí)應(yīng)對(duì)安全管理制度進(jìn)行檢查，對(duì)需要改進(jìn)的制度進(jìn)行修訂。（應(yīng)具有安全管理制度修訂記錄）

三、安全管理機(jī)構(gòu)

1、應(yīng)設(shè)立信息安全管理工作的職能部門

2、應(yīng)設(shè)立安全主管、安全管理各個(gè)方面的負(fù)責(zé)人

3、應(yīng)設(shè)立機(jī)房管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等重要崗位（分工明確，各司其職），數(shù)量情況（管理人員名單、崗位與人員對(duì)應(yīng)關(guān)系表）

4、安全管理員應(yīng)是專職人員

5、關(guān)鍵事物需要配備2人或2人以上共同管理，人員具體配備情況如何。

6、應(yīng)設(shè)立指導(dǎo)和管理信息安全工作的委員會(huì)或領(lǐng)導(dǎo)小組（最高領(lǐng)導(dǎo)是否由單位主管領(lǐng)導(dǎo)委任或授權(quán)的人員擔(dān)任）

7、應(yīng)對(duì)重要信息系統(tǒng)活動(dòng)進(jìn)行審批（如系統(tǒng)變更、重要操作、物理訪問(wèn)和系統(tǒng)接入、重要管理制度的制定和發(fā)布、人員的配備和培訓(xùn)、產(chǎn)品的采購(gòu)、外部人員的訪問(wèn)等），審批部門是何部門，審批人是何人。審批程序：

8、應(yīng)與其它部門之間及內(nèi)部各部門管理人員定期進(jìn)行溝通（信息安全領(lǐng)導(dǎo)小組或者安全管理委員會(huì)應(yīng)定期召開會(huì)議）

9、應(yīng)組織內(nèi)部機(jī)構(gòu)之間以及信息安全職能部門內(nèi)部的安全工作會(huì)議文件或會(huì)議記錄，定期：

10、信息安全管理委員會(huì)或領(lǐng)導(dǎo)小組安全管理工作執(zhí)行情況的文件或工作記錄（如會(huì)議記錄/紀(jì)要，信息安全工作決策文檔等）

11、應(yīng)與公安機(jī)關(guān)、電信公司和兄弟單位等的溝通合作（外聯(lián)單位聯(lián)系列表）

12、應(yīng)與供應(yīng)商、業(yè)界專家、專業(yè)的安全公司、安全組織等建立溝通、合作機(jī)制。

13、聘請(qǐng)信息安全專家作為常年的安全顧問(wèn)（具有安全顧問(wèn)名單或者聘請(qǐng)安全顧問(wèn)的證明文件、具有安全顧問(wèn)參與評(píng)審的文檔或記錄）

14、應(yīng)組織人員定期對(duì)信息系統(tǒng)進(jìn)行安全檢查（查看檢查內(nèi)容是否包括系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況）

15、應(yīng)定期進(jìn)行全面安全檢查（安全檢查是否包含現(xiàn)行技術(shù)措施有效性和管理制度執(zhí)行情況等方面、具有安全檢查表格，安全檢查報(bào)告，檢查結(jié)果通告記錄）

四、人員安全管理

1、何部門/何人負(fù)責(zé)安全管理和技術(shù)人員的錄用工作（錄用過(guò)程）

2、應(yīng)對(duì)被錄用人的身份、背景、專業(yè)資格和資質(zhì)進(jìn)行審查，對(duì)技術(shù)人員的技術(shù)技能進(jìn)行考核，技能考核文檔或記錄

3、應(yīng)與錄用后的技術(shù)人員簽署保密協(xié)議（協(xié)議中有保密范圍、保密責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等內(nèi)容）

4、應(yīng)設(shè)定關(guān)鍵崗位，對(duì)從事關(guān)鍵崗位的人員是否從內(nèi)部人員中選拔，是否要求其簽署崗位安全協(xié)議。

5、應(yīng)及時(shí)終止離崗人員的所有訪問(wèn)權(quán)限（離崗人員所有訪問(wèn)權(quán)限終止的記錄）

6、應(yīng)及時(shí)取回離崗人員的各種身份證件、鑰匙、徽章等以及機(jī)構(gòu)提供的軟硬件設(shè)備等（交還身份證件和設(shè)備等的登記記錄）

7、人員離崗應(yīng)辦理調(diào)離手續(xù)，是否要求關(guān)鍵崗位調(diào)離人員承諾相關(guān)保密義務(wù)后方可離開（具有按照離崗程序辦理調(diào)離手續(xù)的記錄，調(diào)離人員的簽字）

8、對(duì)各個(gè)崗位人員應(yīng)定期進(jìn)行安全技能考核；具有安全技能考核記錄，考核內(nèi)容要求包含安全知識(shí)、安全技能等。

9、對(duì)關(guān)鍵崗位人員的安全審查和考核與一般崗位人員有何不同，審查內(nèi)容是否包括操作行為和社會(huì)關(guān)系等。

10、應(yīng)對(duì)各類人員（普通用戶、運(yùn)維人員、單位領(lǐng)導(dǎo)等）進(jìn)行安全教育、崗位技能和安全技術(shù)培訓(xùn)。

11、應(yīng)針對(duì)不同崗位制定不同的培訓(xùn)計(jì)劃，并按照計(jì)劃對(duì)各個(gè)崗位人員進(jìn)行安全教育和培訓(xùn)（安全教育和培訓(xùn)的結(jié)果記錄，記錄應(yīng)與培訓(xùn)計(jì)劃一致）

12、外部人員進(jìn)入條件（對(duì)哪些重要區(qū)域的訪問(wèn)須提出書面申請(qǐng)批準(zhǔn)后方可進(jìn)入），外部人員進(jìn)入的訪問(wèn)控制（由專人全程陪同或監(jiān)督等）

13、應(yīng)具有外部人員訪問(wèn)重要區(qū)域的書面申請(qǐng)

14、應(yīng)具有外部人員訪問(wèn)重要區(qū)域的登記記錄（記錄描述了外部人員訪問(wèn)重要區(qū)域的進(jìn)入時(shí)間、離開時(shí)間、訪問(wèn)區(qū)域、訪問(wèn)設(shè)備或信息及陪同人等）

五、系統(tǒng)建設(shè)管理

1、應(yīng)明確信息系統(tǒng)的邊界和安全保護(hù)等級(jí)（具有定級(jí)文檔，明確信息系統(tǒng)安全保護(hù)等級(jí)）

2、應(yīng)具有系統(tǒng)建設(shè)/整改方案

3、應(yīng)授權(quán)專門的部門對(duì)信息系統(tǒng)的安全建設(shè)進(jìn)行總體規(guī)劃，由何部門/何人負(fù)責(zé)

4、應(yīng)具有系統(tǒng)的安全建設(shè)工作計(jì)劃（系統(tǒng)安全建設(shè)工作計(jì)劃中明確了近期和遠(yuǎn)期的安全建設(shè)計(jì)劃）

5、應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對(duì)總體安全策略、安全技術(shù)框架、安全管理策略等相關(guān)配套文件進(jìn)行論證和審定（配套文件的論證評(píng)審記錄或文檔）

6、應(yīng)對(duì)總體安全策略、安全技術(shù)框架、安全管理策略等相關(guān)配套文件應(yīng)定期進(jìn)行調(diào)整和修訂

7、應(yīng)具有總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等相關(guān)配套文件的維護(hù)記錄或修訂版本

8、應(yīng)按照國(guó)家的相關(guān)規(guī)定進(jìn)行采購(gòu)和使用系統(tǒng)信息安全產(chǎn)品

9、安全產(chǎn)品的相關(guān)憑證，如銷售許可等，應(yīng)使用符合國(guó)家有關(guān)規(guī)定產(chǎn)品

10、應(yīng)具有專門的部門負(fù)責(zé)產(chǎn)品的采購(gòu)

11、采購(gòu)產(chǎn)品前應(yīng)預(yù)先對(duì)產(chǎn)品進(jìn)行選型測(cè)試確定產(chǎn)品的候選范圍，形成候選產(chǎn)品清單，是否定期審定和更新候選產(chǎn)品名單

12、應(yīng)具有產(chǎn)品選型測(cè)試結(jié)果記錄和候選產(chǎn)品名單及更新記錄（產(chǎn)品選型測(cè)試結(jié)果文檔）

13、應(yīng)具有軟件設(shè)計(jì)相關(guān)文檔，專人保管軟件設(shè)計(jì)的相關(guān)文檔，應(yīng)具有軟件使用指南或操作手冊(cè)

14、對(duì)程序資源庫(kù)的修改、更新、發(fā)布應(yīng)進(jìn)行授權(quán)和批準(zhǔn)

15、應(yīng)具有程序資源庫(kù)的修改、更新、發(fā)布文檔或記錄

16、軟件交付前應(yīng)依據(jù)開發(fā)協(xié)議的技術(shù)指標(biāo)對(duì)軟件功能和性能等進(jìn)行驗(yàn)收檢測(cè)

17、軟件安裝之前應(yīng)檢測(cè)軟件中的惡意代碼（該軟件包的惡意代碼檢測(cè)報(bào)告），檢測(cè)工具是否是第三方的商業(yè)產(chǎn)品

18、應(yīng)具有軟件設(shè)計(jì)的相關(guān)文檔和使用指南

19、應(yīng)具有需求分析說(shuō)明書、軟件設(shè)計(jì)說(shuō)明書、軟件操作手冊(cè)等開發(fā)文檔

20、應(yīng)指定專門部門或人員按照工程實(shí)施方案的要求對(duì)工程實(shí)施過(guò)程進(jìn)行進(jìn)度和質(zhì)量控制

21、應(yīng)具有工程實(shí)施過(guò)程應(yīng)按照實(shí)施方案形成各種文檔，如階段性工程進(jìn)程匯報(bào)報(bào)告，工程實(shí)施方案

22、在信息系統(tǒng)正式運(yùn)行前，應(yīng)委托第三方測(cè)試機(jī)構(gòu)根據(jù)設(shè)計(jì)方案或合同要求對(duì)信息系統(tǒng)進(jìn)行獨(dú)立的安全性測(cè)試（第三方測(cè)試機(jī)構(gòu)出示的系統(tǒng)安全性測(cè)試驗(yàn)收?qǐng)?bào)告）

23、應(yīng)具有工程測(cè)試驗(yàn)收方案（測(cè)試驗(yàn)收方案與設(shè)計(jì)方案或合同要求內(nèi)容一致）

24、應(yīng)具有測(cè)試驗(yàn)收?qǐng)?bào)告

25、應(yīng)指定專門部門負(fù)責(zé)測(cè)試驗(yàn)收工作（具有對(duì)系統(tǒng)測(cè)試驗(yàn)收?qǐng)?bào)告進(jìn)行審定的意見）

26、根據(jù)交付清單對(duì)所交接的設(shè)備、文檔、軟件等進(jìn)行清點(diǎn)（系統(tǒng)交付清單）

27、應(yīng)具有系統(tǒng)交付時(shí)的技術(shù)培訓(xùn)記錄

28、應(yīng)具有系統(tǒng)建設(shè)文檔（如系統(tǒng)建設(shè)方案）、指導(dǎo)用戶進(jìn)行系統(tǒng)運(yùn)維的文檔（如服務(wù)器操作規(guī)程書）以及系統(tǒng)培訓(xùn)手冊(cè)等文檔。

29、應(yīng)指定部門負(fù)責(zé)系統(tǒng)交付工作

30、應(yīng)具有與產(chǎn)品供應(yīng)商、軟件開發(fā)商、系統(tǒng)集成商、系統(tǒng)運(yùn)維商和等級(jí)測(cè)評(píng)機(jī)構(gòu)等相關(guān)安全服務(wù)商簽訂的協(xié)議（文檔中有保密范圍、安全責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等內(nèi)容

31、選定的安全服務(wù)商應(yīng)提供一定的技術(shù)培訓(xùn)和服務(wù)

32、應(yīng)與安全服務(wù)商簽訂的服務(wù)合同或安全責(zé)任合同書

六、系統(tǒng)運(yùn)維管理

1、應(yīng)指定專人或部門對(duì)機(jī)房的基本設(shè)施（如空調(diào)、供配電設(shè)備等）進(jìn)行定期維護(hù)，由何部門/何人負(fù)責(zé)。

2、應(yīng)具有機(jī)房基礎(chǔ)設(shè)施的維護(hù)記錄，空調(diào)、溫濕度控制等機(jī)房設(shè)施定期維護(hù)保養(yǎng)的記錄

3、應(yīng)指定部門和人員負(fù)責(zé)機(jī)房安全管理工作

4、應(yīng)對(duì)辦公環(huán)境保密性進(jìn)行管理（工作人員離開座位確保終端計(jì)算機(jī)退出登錄狀態(tài)、桌面上沒(méi)有包含敏感信息的紙檔文件）

5、應(yīng)具有資產(chǎn)清單（覆蓋資產(chǎn)責(zé)任人、所屬級(jí)別、所處位置、所處部門等方面）

6、應(yīng)指定資產(chǎn)管理的責(zé)任部門或人員

7、應(yīng)依據(jù)資產(chǎn)的重要程度對(duì)資產(chǎn)進(jìn)行標(biāo)識(shí)

8、介質(zhì)存放于何種環(huán)境中，應(yīng)對(duì)存放環(huán)境實(shí)施專人管理（介質(zhì)存放在安全的環(huán)境（防潮、防盜、防火、防磁，專用存儲(chǔ)空間））

9、應(yīng)具有介質(zhì)使用管理記錄，應(yīng)記錄介質(zhì)歸檔和使用等情況（介質(zhì)存放、使用管理記錄）

10、對(duì)介質(zhì)的物理傳輸過(guò)程應(yīng)要求選擇可靠傳輸人員、嚴(yán)格介質(zhì)的打包（如采用防拆包裝置）、選擇安全的物理傳輸途徑、雙方在場(chǎng)交付等環(huán)節(jié)的控制

11、應(yīng)對(duì)介質(zhì)的使用情況進(jìn)行登記管理，并定期盤點(diǎn)（介質(zhì)歸檔和查詢的記錄、存檔介質(zhì)定期盤點(diǎn)的記錄）

12、對(duì)送出維修或銷毀的介質(zhì)如何管理，銷毀前應(yīng)對(duì)數(shù)據(jù)進(jìn)行凈化處理。（對(duì)帶出工作環(huán)境的存儲(chǔ)介質(zhì)是否進(jìn)行內(nèi)容加密并有領(lǐng)導(dǎo)批準(zhǔn)。對(duì)保密性較高的介質(zhì)銷毀前是否有領(lǐng)導(dǎo)批準(zhǔn)）（送修記錄、帶出記錄、銷毀記錄）

13、應(yīng)對(duì)某些重要介質(zhì)實(shí)行異地存儲(chǔ)，異地存儲(chǔ)環(huán)境是否與本地環(huán)境相同（防潮、防盜、防火、防磁，專用存儲(chǔ)空間）

14、介質(zhì)上應(yīng)具有分類的標(biāo)識(shí)或標(biāo)簽

15、應(yīng)對(duì)各類設(shè)施、設(shè)備指定專人或?qū)ｉT部門進(jìn)行定期維護(hù)。

16、應(yīng)具有設(shè)備操作手冊(cè)

17、應(yīng)對(duì)帶離機(jī)房的信息處理設(shè)備經(jīng)過(guò)審批流程，由何人審批（審批記錄）

18、應(yīng)監(jiān)控主機(jī)、網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)的運(yùn)行狀況等

19、應(yīng)有相關(guān)網(wǎng)絡(luò)監(jiān)控系統(tǒng)或技術(shù)措施能夠?qū)νㄐ啪€路、主機(jī)、網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件的運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行監(jiān)測(cè)和報(bào)警 20、應(yīng)具有日常運(yùn)維的監(jiān)控日志記錄和運(yùn)維交接日志記錄

21、應(yīng)定期對(duì)監(jiān)控記錄進(jìn)行分析、評(píng)審

22、應(yīng)具有異?，F(xiàn)象的現(xiàn)場(chǎng)處理記錄和事后相關(guān)的分析報(bào)告

23、應(yīng)建立安全管理中心，對(duì)設(shè)備狀態(tài)、惡意代碼、補(bǔ)丁升級(jí)、安全審計(jì)等相關(guān)事項(xiàng)進(jìn)行集中管理

24、應(yīng)指定專人負(fù)責(zé)維護(hù)網(wǎng)絡(luò)安全管理工作

25、應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行過(guò)升級(jí)，更新前應(yīng)對(duì)現(xiàn)有的重要文件是否進(jìn)行備份（網(wǎng)絡(luò)設(shè)備運(yùn)維維護(hù)工作記錄）

26、應(yīng)對(duì)網(wǎng)絡(luò)進(jìn)行過(guò)漏洞掃描，并對(duì)發(fā)現(xiàn)的漏洞進(jìn)行及時(shí)修補(bǔ)。

27、對(duì)設(shè)備的安全配置應(yīng)遵循最小服務(wù)原則，應(yīng)對(duì)配置文件進(jìn)行備份（具有網(wǎng)絡(luò)設(shè)備配置數(shù)據(jù)的離線備份）

28、系統(tǒng)網(wǎng)絡(luò)的外聯(lián)種類（互聯(lián)網(wǎng)、合作伙伴企業(yè)網(wǎng)、上級(jí)部門網(wǎng)絡(luò)等）應(yīng)都得到授權(quán)與批準(zhǔn)，由何人/何部門批準(zhǔn)。應(yīng)定期檢查違規(guī)聯(lián)網(wǎng)的行為。

29、對(duì)便攜式和移動(dòng)式設(shè)備的網(wǎng)絡(luò)接入應(yīng)進(jìn)行限制管理

30、應(yīng)具有內(nèi)部網(wǎng)絡(luò)外聯(lián)的授權(quán)批準(zhǔn)書，應(yīng)具有網(wǎng)絡(luò)違規(guī)行為（如撥號(hào)上網(wǎng)等）的檢查手段和工具。

31、在安裝系統(tǒng)補(bǔ)丁程序前應(yīng)經(jīng)過(guò)測(cè)試，并對(duì)重要文件進(jìn)行備份。

32、應(yīng)有補(bǔ)丁測(cè)試記錄和系統(tǒng)補(bǔ)丁安裝操作記錄

33、應(yīng)對(duì)系統(tǒng)管理員用戶進(jìn)行分類（比如：劃分不同的管理角色，系統(tǒng)管理權(quán)限與安全審計(jì)權(quán)限分離等）

34、審計(jì)員應(yīng)定期對(duì)系統(tǒng)審計(jì)日志進(jìn)行分析（有定期對(duì)系統(tǒng)運(yùn)行日志和審計(jì)數(shù)據(jù)的分析報(bào)告）

35、應(yīng)對(duì)員工進(jìn)行基本惡意代碼防范意識(shí)的教育，如告知應(yīng)及時(shí)升級(jí)軟件版本（對(duì)員工的惡意代碼防范教育的相關(guān)培訓(xùn)文檔）

36、應(yīng)指定專人對(duì)惡意代碼進(jìn)行檢測(cè)，并保存記錄。

37、應(yīng)具有對(duì)網(wǎng)絡(luò)和主機(jī)進(jìn)行惡意代碼檢測(cè)的記錄

38、應(yīng)對(duì)惡意代碼庫(kù)的升級(jí)情況進(jìn)行記錄（代碼庫(kù)的升級(jí)記錄），對(duì)各類防病毒產(chǎn)品上截獲的惡意代碼是否進(jìn)行分析并匯總上報(bào)。是否出現(xiàn)過(guò)大規(guī)模的病毒事件，如何處理

39、應(yīng)具有惡意代碼檢測(cè)記錄、惡意代碼庫(kù)升級(jí)記錄和分析報(bào)告 40、應(yīng)具有變更方案評(píng)審記錄和變更過(guò)程記錄文檔。

41、重要系統(tǒng)的變更申請(qǐng)書，應(yīng)具有主管領(lǐng)導(dǎo)的批準(zhǔn)

42、系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員和網(wǎng)絡(luò)管理員應(yīng)識(shí)別需定期備份的業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)（備份文件記錄）

43、應(yīng)定期執(zhí)行恢復(fù)程序，檢查和測(cè)試備份介質(zhì)的有效性

44、應(yīng)有系統(tǒng)運(yùn)維過(guò)程中發(fā)現(xiàn)的安全弱點(diǎn)和可疑事件對(duì)應(yīng)的報(bào)告或相關(guān)文檔

45、應(yīng)對(duì)安全事件記錄分析文檔

46、應(yīng)具有不同事件的應(yīng)急預(yù)案

47、應(yīng)具有應(yīng)急響應(yīng)小組，應(yīng)具備應(yīng)急設(shè)備并能正常工作，應(yīng)急預(yù)案執(zhí)行所需資金應(yīng)做過(guò)預(yù)算并能夠落實(shí)。

48、應(yīng)對(duì)系統(tǒng)相關(guān)人員進(jìn)行應(yīng)急預(yù)案培訓(xùn)（應(yīng)急預(yù)案培訓(xùn)記錄）

49、應(yīng)定期對(duì)應(yīng)急預(yù)案進(jìn)行演練（應(yīng)急預(yù)案演練記錄）50、應(yīng)對(duì)應(yīng)急預(yù)案定期進(jìn)行審查并更新

51、應(yīng)具有更新的應(yīng)急預(yù)案記錄、應(yīng)急預(yù)案審查記錄。