第一篇：綠盟科技政府門戶網(wǎng)站等級(jí)保護(hù)解決方案大全

綠盟科技政府門戶網(wǎng)站等級(jí)保護(hù)解決方案

政府門戶網(wǎng)站是“政務(wù)公開”和“服務(wù)型政府”兩大主導(dǎo)思想，在落實(shí)過程中所必須憑借的重要平臺(tái)，在未來的電子政務(wù)規(guī)劃中，政府門戶網(wǎng)站必將占有非常重要的地位。

國(guó)家正在逐步推進(jìn)信息安全等級(jí)保護(hù)工作，這一國(guó)家層面的信息安全標(biāo)準(zhǔn)，已成為未來在電子政務(wù)安全建設(shè)中的重要保障。

綠盟科技特別推出的“政府門戶網(wǎng)站等級(jí)保護(hù)解決方案”以業(yè)界最為出色的技術(shù)底蘊(yùn)和對(duì)等級(jí)保護(hù)的深刻理解，為政府客戶最需要保障之處，提供了最可靠的信心保證。

政府門戶網(wǎng)站的信息安全需求

政府門戶網(wǎng)站的地位非常重要，但其安全形勢(shì)卻不容樂觀。據(jù)統(tǒng)計(jì)，僅在2007年，就有3000余個(gè)政府門戶網(wǎng)站發(fā)生過網(wǎng)頁被篡改的事件，嚴(yán)重影響了政府的對(duì)外形象。隨著電子政務(wù)建設(shè)的逐步推進(jìn)，政府門戶網(wǎng)站所承載業(yè)務(wù)的數(shù)量在逐步增加，網(wǎng)站被入侵或篡改所帶來的危害將不僅僅限于“政府形象”的損害，甚至能會(huì)造成巨大的經(jīng)濟(jì)損失，或者嚴(yán)重的社會(huì)問題。

對(duì)于政府網(wǎng)站所面臨的主要風(fēng)險(xiǎn)，總結(jié)如下：

頁面被篡改

政府門戶網(wǎng)站作為“政府形象”的標(biāo)志之一，常常是一些不法分子的重點(diǎn)攻擊對(duì)象。政府門戶網(wǎng)站一旦被篡改(加入一些敏感的顯性內(nèi)容)，常常會(huì)引發(fā)較大的影響，嚴(yán)重時(shí)甚至?xí)斐烧问录?/p>

另外一種篡改方式是網(wǎng)頁掛馬：網(wǎng)頁內(nèi)容表面上沒有任何異常，卻可能被偷偷的掛上了木馬程序。網(wǎng)頁掛馬雖然未必會(huì)給網(wǎng)站帶來直接損害，但卻會(huì)給瀏覽網(wǎng)站的用戶帶來損失。更重要的是，政府網(wǎng)站一旦被掛馬，其權(quán)威性和公信力將會(huì)受到打擊，最終給電子政務(wù)的普及帶來重大影響。

在線業(yè)務(wù)被攻擊

對(duì)企業(yè)、公眾提供在線服務(wù)，已經(jīng)成為政府門戶網(wǎng)站的重要功能。這些服務(wù)一旦受到拒絕服務(wù)攻擊而癱瘓、終止，對(duì)業(yè)務(wù)的正常運(yùn)轉(zhuǎn)必然造成極大的影響，可能會(huì)造成經(jīng)濟(jì)損失，嚴(yán)重時(shí)甚至?xí)绊懮鐣?huì)穩(wěn)定。

數(shù)據(jù)被竊取

在線業(yè)務(wù)系統(tǒng)中，總是需要保存一些企業(yè)、公眾的相關(guān)資料，這些資料往往涉及到企業(yè)秘密和個(gè)人隱私，一旦泄露，會(huì)造成企業(yè)或個(gè)人的利益受損，可能會(huì)給網(wǎng)站帶來嚴(yán)重的法律糾紛。

內(nèi)網(wǎng)被侵入

政府門戶網(wǎng)站雖然和政府的辦公網(wǎng)絡(luò)之間有邏輯隔離設(shè)備，但仍有可能被手段高明的黑客入侵，從而盜取一些敏感材料，或?qū)﹄娮诱?wù)應(yīng)用系統(tǒng)造成破壞。

以上的總結(jié)僅僅是對(duì)政府門戶網(wǎng)站主要安全需求的簡(jiǎn)單總結(jié)，事實(shí)上，政府門戶網(wǎng)站要達(dá)到真正的安全，需要建立一個(gè)完善細(xì)致的安全防護(hù)體系，不僅要在技術(shù)上建立事前、事中和事后的縱深防御系統(tǒng)，還需要建立良好的信息安全管理制度。下文將結(jié)合信息安全等級(jí)保護(hù)政策，提出整體建議方案。

綠盟科技政府門戶網(wǎng)站等級(jí)保護(hù)解決方案

出于對(duì)信息安全的重視，國(guó)家出臺(tái)了信息安全等級(jí)保護(hù)的一系列文件和標(biāo)準(zhǔn)，用以促進(jìn)和指導(dǎo)信息安全的建設(shè)。

2007年6月22日，公安部與國(guó)家保密局、密碼管理局、國(guó)務(wù)院信息辦聯(lián)合會(huì)簽并印發(fā)了《信息安全等級(jí)保護(hù)管理辦法》(公通字[2007]43號(hào))，確定了信息安全等級(jí)保護(hù)制度的基本內(nèi)容及各項(xiàng)工作要求。

2007年7月16日，四部委聯(lián)合會(huì)簽并下發(fā)了《關(guān)于開展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知》(公信安[2007]861號(hào))，就定級(jí)范圍、定級(jí)工作主要內(nèi)容、定級(jí)工作要求等事項(xiàng)進(jìn)行了通知。

43號(hào)文和861號(hào)文這兩個(gè)主要文件的出臺(tái)，標(biāo)志著信息安全等級(jí)保護(hù)工作在全國(guó)范圍內(nèi)進(jìn)入推廣實(shí)施階段。

針對(duì)政府門戶網(wǎng)站的安全需求，以及信息安全等級(jí)保護(hù)相關(guān)文件和標(biāo)準(zhǔn)，綠盟科技以安全服務(wù)為主線，提出了符合等級(jí)保護(hù)要求的政府門戶網(wǎng)站整體安全解決方案。

根據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》中所給出的等級(jí)保護(hù)的建設(shè)過程(如圖1所示)，可以看到等級(jí)保護(hù)并不是一個(gè)“一勞永逸”的孤立項(xiàng)目，而是一個(gè)連續(xù)不斷，周而復(fù)始的“過程”。

要實(shí)現(xiàn)這樣一個(gè)過程，就必須要以安全服務(wù)為主線，從門戶網(wǎng)站的安全評(píng)估、差距評(píng)估等咨詢性服務(wù)開始，到整體安全規(guī)劃、解決方案設(shè)計(jì)等設(shè)計(jì)性服務(wù)，最終以運(yùn)維支持、應(yīng)急響應(yīng)等持續(xù)的技術(shù)性服務(wù)為政府門戶網(wǎng)站提供一個(gè)符合等級(jí)保護(hù)精神的安全保障體系。

綠盟科技在等級(jí)保護(hù)過程的各階段中所提供的系列安全服務(wù)如下圖所示：

上圖所示的各階段都分別對(duì)應(yīng)多個(gè)安全服務(wù)，限于篇幅，不能一一盡述，下面就各階段中的主要部分做簡(jiǎn)要介紹。

安全定級(jí)階段安全服務(wù)

政府門戶網(wǎng)站安全定級(jí)和備案階段的安全服務(wù)包括等級(jí)保護(hù)導(dǎo)入、信息系統(tǒng)輔助定級(jí)、協(xié)助用戶完成備案等幾部分。

這些安全服務(wù)的目標(biāo)是通過培訓(xùn)，使客戶方有關(guān)人員了解等級(jí)保護(hù)的內(nèi)容和過程，并按照定級(jí)指南要求對(duì)門戶網(wǎng)站進(jìn)行定級(jí)，最終幫助用戶完成備案工作。

綠盟科技具備豐富的系統(tǒng)定級(jí)和備案經(jīng)驗(yàn)，能夠?yàn)檎T戶網(wǎng)站進(jìn)行準(zhǔn)確定級(jí)，并順利完成備案工作。

安全規(guī)劃設(shè)計(jì)階段安全服務(wù)

安全規(guī)劃設(shè)計(jì)階段的安全服務(wù)包括安全需求導(dǎo)出、信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估、等級(jí)保護(hù)差距評(píng)估、安全建設(shè)整體規(guī)劃和安全基線指標(biāo)設(shè)計(jì)等。

安全需求導(dǎo)出服務(wù)的目標(biāo)主要是為門戶網(wǎng)站導(dǎo)出真正的安全需求。不同網(wǎng)站的規(guī)模、訪問量、部署模式、政務(wù)公開信息的頻度、在線業(yè)務(wù)的重要程度都各不相同，其安全需求也就各有不同。只有對(duì)網(wǎng)站業(yè)務(wù)進(jìn)行詳細(xì)的調(diào)研和分析，才能給出符合實(shí)際的安全需求分析。

信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估服務(wù)、等級(jí)保護(hù)差距評(píng)估服務(wù)是結(jié)合風(fēng)險(xiǎn)評(píng)估的方法和理論，圍繞著系統(tǒng)所承載的具體業(yè)務(wù)，通過風(fēng)險(xiǎn)評(píng)估的方法評(píng)估系統(tǒng)的風(fēng)險(xiǎn)狀況，并根據(jù)系統(tǒng)的安全措施是否符合相應(yīng)等級(jí)的安全要求來判斷系統(tǒng)與所定等級(jí)的差距。

Lord Kelvirl有—句名言“你不能改進(jìn)你不能測(cè)量的東西”，為評(píng)價(jià)各項(xiàng)安全工作是否有效，并為門戶網(wǎng)站安全管理考核體系打下可量化考核的基礎(chǔ)，綠盟科技設(shè)計(jì)了安全基線指標(biāo)設(shè)計(jì)服務(wù)。安全基線指標(biāo)設(shè)計(jì)服務(wù)為用戶建立了可量化的安全指標(biāo)體系，為未來的運(yùn)維管理和自我檢查奠定了堅(jiān)實(shí)的基礎(chǔ)，是綠盟科技在業(yè)內(nèi)的獨(dú)有優(yōu)勢(shì)服務(wù)。安全實(shí)施階段安全服務(wù)

安全實(shí)施階段是等級(jí)保護(hù)“落地”的主要階段。在這個(gè)階段中，綠盟科技將以聞名業(yè)界的安全服務(wù)團(tuán)隊(duì)，輔以業(yè)界領(lǐng)先的高端產(chǎn)品，為政府門戶網(wǎng)站構(gòu)建符合等級(jí)保護(hù)要求的，嚴(yán)密的信息安全保障體系。

安全實(shí)施階段中主要包括安全解決方案設(shè)計(jì)、安全技術(shù)體系改造、安全管理體系改造、崗位培訓(xùn)和應(yīng)急響應(yīng)演練等安全服務(wù)。

安全解決方案設(shè)計(jì)是如何將門戶網(wǎng)站業(yè)務(wù)安全目標(biāo)和系統(tǒng)等級(jí)安全規(guī)劃落實(shí)的關(guān)鍵過程。綠盟科技依靠多年的方案設(shè)計(jì)經(jīng)驗(yàn)，將在深入理解等級(jí)保護(hù)政策、標(biāo)準(zhǔn)，分析系統(tǒng)業(yè)務(wù)安全需求的基礎(chǔ)上，為用戶提供并建立一套符合相應(yīng)等級(jí)保護(hù)要求并適合門戶網(wǎng)站實(shí)際需求整體安全解決方案。

安全技術(shù)體系改造主要包括物理層、網(wǎng)絡(luò)層、應(yīng)用層、主機(jī)層和數(shù)據(jù)層五個(gè)層面，對(duì)于一般網(wǎng)站而言，較為重要的是網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)三個(gè)層面。

在網(wǎng)絡(luò)層面，網(wǎng)站安全主要關(guān)注安全域劃分、入侵防范和抗拒絕服務(wù)攻擊。綠盟科技的安全域劃分服務(wù)通過對(duì)網(wǎng)站業(yè)務(wù)、數(shù)據(jù)流向、網(wǎng)絡(luò)結(jié)構(gòu)等多方面因素進(jìn)行專業(yè)分析，為網(wǎng)站劃分合理的安全域。在入侵防范方面，綠盟科技的入侵防御系統(tǒng)能夠抵御來自互聯(lián)網(wǎng)的入侵行為，而黑洞抗拒絕服務(wù)攻擊系統(tǒng)則能夠保證在線業(yè)務(wù)順暢進(jìn)行，不致被惡意攻擊所癱瘓。此外，綠盟科技還擁有漏洞管理系統(tǒng)、網(wǎng)絡(luò)安全審計(jì)、內(nèi)容安全管理等全線網(wǎng)絡(luò)安全產(chǎn)品，能夠?yàn)榭蛻魳?gòu)建嚴(yán)密、專業(yè)的網(wǎng)絡(luò)安全保障體系。

在應(yīng)用層面，綠盟科技WEB應(yīng)用防火墻能夠?qū)EB應(yīng)用漏洞進(jìn)行預(yù)先掃描，同時(shí)具備對(duì)SQL注入、跨站腳本等通過應(yīng)用層的入侵動(dòng)作實(shí)時(shí)阻斷，真正達(dá)到“網(wǎng)頁防篡改”的效果。

在數(shù)據(jù)層面，通過網(wǎng)絡(luò)安全域劃分，數(shù)據(jù)庫將被隱藏在安全區(qū)域，同時(shí)通過綠盟科技的安全加固服務(wù)對(duì)數(shù)據(jù)庫進(jìn)行安全配置，并對(duì)數(shù)據(jù)庫的訪問權(quán)限做最為嚴(yán)格的設(shè)定，最大限度保證數(shù)據(jù)庫安全。

在安全管理體系的設(shè)計(jì)中，綠盟科技借助豐富的安全咨詢經(jīng)驗(yàn)和對(duì)等級(jí)保護(hù)管理要求的清晰理解，為用戶量身定做符合實(shí)際的、可操作的安全管理體系。

在安全管理體系建立完畢后，綠盟科技將提供全面的崗位培訓(xùn)和有針對(duì)性的應(yīng)急演練，幫助客戶掌握崗位所需的安全職責(zé)，并對(duì)未來可能發(fā)生的信息安全事件預(yù)先做好準(zhǔn)備。

安全運(yùn)行管理階段安全服務(wù)

在政府門戶網(wǎng)站的運(yùn)行管理階段，綠盟科技建議通過內(nèi)部管理人員維護(hù)和采用專業(yè)安全廠商的安全服務(wù)相結(jié)合的方式來實(shí)現(xiàn)。

安全服務(wù)提供商能夠?yàn)橛脩籼峁I(yè)的安全服務(wù)，但在日常運(yùn)行工作中，安全服務(wù)提供商不可能代替用戶做所有的事情。為保證客戶的內(nèi)部管理人員的安全管理工作也能夠保持專業(yè)水平，綠盟科技提出了“基于安全指標(biāo)設(shè)計(jì)的配置核查”安全服務(wù)，使客戶的內(nèi)部管理人員根據(jù)等級(jí)保護(hù)標(biāo)準(zhǔn)進(jìn)行量化的安全指標(biāo)，使用自動(dòng)化工具去執(zhí)行內(nèi)部核查，保證了日常運(yùn)行管理的專業(yè)程度。

在安全運(yùn)行管理階段，還需要安全服務(wù)提供商提供的階段性風(fēng)險(xiǎn)評(píng)估服務(wù)、安全應(yīng)急響應(yīng)服務(wù)和協(xié)助用戶通過等級(jí)保護(hù)安全檢查工作等。

解決方案優(yōu)勢(shì)總結(jié)

本文提出的政府門戶網(wǎng)站等級(jí)保護(hù)解決方案體現(xiàn)了綠盟科技公司多方面的獨(dú)特優(yōu)勢(shì)：

對(duì)等級(jí)保護(hù)政策的深刻理解

綠盟科技公司作為專業(yè)安全廠商，參與了等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)的制訂工作，與國(guó)家主管部門、業(yè)界專家保持緊密聯(lián)系，具備對(duì)相關(guān)政策、標(biāo)準(zhǔn)的準(zhǔn)確把握能力。

領(lǐng)先的WEB應(yīng)用防護(hù)產(chǎn)品

針對(duì)當(dāng)前WEB應(yīng)用面臨的挑戰(zhàn)，綠盟科技推出獨(dú)有的WEB應(yīng)用防火墻，能夠協(xié)助用戶準(zhǔn)確監(jiān)測(cè)、識(shí)別各類針對(duì)Web應(yīng)用的攻擊型流量并進(jìn)行實(shí)時(shí)阻斷，有效防護(hù)針對(duì)Web應(yīng)用的篡改攻擊。

領(lǐng)先的抗拒絕服務(wù)攻擊產(chǎn)品

綠盟科技的分布式拒絕服務(wù)攻擊(DDoS)防護(hù)技術(shù)處于國(guó)際領(lǐng)先水準(zhǔn)，目前在中國(guó)互聯(lián)網(wǎng)上已部署了近300G的流量防護(hù)能力，為中國(guó)互聯(lián)網(wǎng)的穩(wěn)定做出了卓越貢獻(xiàn)。

領(lǐng)先的網(wǎng)站安全漏洞管理技術(shù)

綠盟科技基礎(chǔ)研究部是國(guó)內(nèi)最強(qiáng)的研究安全攻防技術(shù)的專業(yè)團(tuán)隊(duì)，由頂尖的安全專家組成。他們長(zhǎng)期對(duì)國(guó)內(nèi)外最新的網(wǎng)絡(luò)安全漏洞進(jìn)行最及時(shí)、最緊密的跟蹤，取得了一系列在國(guó)內(nèi)甚至是國(guó)際上處于領(lǐng)先水平的優(yōu)秀成果。

專門為網(wǎng)站安全所設(shè)計(jì)的Web應(yīng)用安全漏洞檢測(cè)功能能夠?qū)Ρ粰z測(cè)站點(diǎn)進(jìn)行深度內(nèi)容分析，找出可被瀏覽的ASP、JSP、PHP、CGI等頁面，同時(shí)可以分析被檢測(cè)站點(diǎn)頁面源代碼，以檢測(cè)網(wǎng)站是否存在SQL注入或輸入驗(yàn)證信息泄露等漏洞。

專業(yè)安全服務(wù)實(shí)力

綠盟科技是國(guó)內(nèi)第一家從事專業(yè)商業(yè)安全服務(wù)的公司，第一家獲得ISO9001國(guó)內(nèi)、國(guó)際雙認(rèn)證的專業(yè)安全服務(wù)企業(yè)，第一家通過ISO27001認(rèn)證的國(guó)內(nèi)信息安全企業(yè)。

在舉世矚目的奧運(yùn)會(huì)期間，綠盟科技作為技術(shù)保障單位，出色的完成了奧運(yùn)期間的信息安全保障工作，得到了國(guó)家主管部門的高度評(píng)價(jià)

第二篇：政府門戶網(wǎng)站等級(jí)保護(hù)解決方案

綠盟科技政府門戶網(wǎng)站等級(jí)保護(hù)解決方案

政府門戶網(wǎng)站是“政務(wù)公開”和“服務(wù)型政府”兩大主導(dǎo)思想，在落實(shí)過程中所必須憑借的重要平臺(tái)，在未來的電子政務(wù)規(guī)劃中，政府門戶網(wǎng)站必將占有非常重要的地位。

國(guó)家正在逐步推進(jìn)信息安全等級(jí)保護(hù)工作，這一國(guó)家層面的信息安全標(biāo)準(zhǔn)，已成為未來在電子政務(wù)安全建設(shè)中的重要保障。

綠盟科技特別推出的“政府門戶網(wǎng)站等級(jí)保護(hù)解決方案”以業(yè)界最為出色的技術(shù)底蘊(yùn)和對(duì)等級(jí)保護(hù)的深刻理解，為政府客戶最需要保障之處，提供了最可靠的信心保證。

政府門戶網(wǎng)站的信息安全需求

政府門戶網(wǎng)站的地位非常重要，但其安全形勢(shì)卻不容樂觀。據(jù)統(tǒng)計(jì)，僅在2007年，就有3000余個(gè)政府門戶網(wǎng)站發(fā)生過網(wǎng)頁被篡改的事件，嚴(yán)重影響了政府的對(duì)外形象。隨著電子政務(wù)建設(shè)的逐步推進(jìn)，政府門戶網(wǎng)站所承載業(yè)務(wù)的數(shù)量在逐步增加，網(wǎng)站被入侵或篡改所帶來的危害將不僅僅限于“政府形象”的損害，甚至能會(huì)造成巨大的經(jīng)濟(jì)損失，或者嚴(yán)重的社會(huì)問題。

對(duì)于政府網(wǎng)站所面臨的主要風(fēng)險(xiǎn)，總結(jié)如下：

頁面被篡改

政府門戶網(wǎng)站作為“政府形象”的標(biāo)志之一，常常是一些不法分子的重點(diǎn)攻擊對(duì)象。政府門戶網(wǎng)站一旦被篡改(加入一些敏感的顯性內(nèi)容)，常常會(huì)引發(fā)較大的影響，嚴(yán)重時(shí)甚至?xí)斐烧问录?/p>

另外一種篡改方式是網(wǎng)頁掛馬：網(wǎng)頁內(nèi)容表面上沒有任何異常，卻可能被偷偷的掛上了木馬程序。網(wǎng)頁掛馬雖然未必會(huì)給網(wǎng)站帶來直接損害，但卻會(huì)給瀏覽網(wǎng)站的用戶帶來損失。更重要的是，政府網(wǎng)站一旦被掛馬，其權(quán)威性和公信力將會(huì)受到打擊，最終給電子政務(wù)的普及帶來重大影響。

在線業(yè)務(wù)被攻擊

對(duì)企業(yè)、公眾提供在線服務(wù)，已經(jīng)成為政府門戶網(wǎng)站的重要功能。這些服務(wù)一旦受到拒絕服務(wù)攻擊而癱瘓、終止，對(duì)業(yè)務(wù)的正常運(yùn)轉(zhuǎn)必然造成極大的影響，可能會(huì)造成經(jīng)濟(jì)損失，嚴(yán)重時(shí)甚至?xí)绊懮鐣?huì)穩(wěn)定。

數(shù)據(jù)被竊取

在線業(yè)務(wù)系統(tǒng)中，總是需要保存一些企業(yè)、公眾的相關(guān)資料，這些資料往往涉及到企業(yè)秘密和個(gè)人隱私，一旦泄露，會(huì)造成企業(yè)或個(gè)人的利益受損，可能會(huì)給網(wǎng)站帶來嚴(yán)重的法律糾紛。

內(nèi)網(wǎng)被侵入

政府門戶網(wǎng)站雖然和政府的辦公網(wǎng)絡(luò)之間有邏輯隔離設(shè)備，但仍有可能被手段高明的黑客入侵，從而盜取一些敏感材料，或?qū)﹄娮诱?wù)應(yīng)用系統(tǒng)造成破壞。

以上的總結(jié)僅僅是對(duì)政府門戶網(wǎng)站主要安全需求的簡(jiǎn)單總結(jié)，事實(shí)上，政府門戶網(wǎng)站要達(dá)到真正的安全，需要建立一個(gè)完善細(xì)致的安全防護(hù)體系，不僅要在技術(shù)上建立事前、事中和事后的縱深防御系統(tǒng)，還需要建立良好的信息安全管理制度。下文將結(jié)合信息安全等級(jí)保護(hù)政策，提出整體建議方案。

綠盟科技政府門戶網(wǎng)站等級(jí)保護(hù)解決方案

出于對(duì)信息安全的重視，國(guó)家出臺(tái)了信息安全等級(jí)保護(hù)的一系列文件和標(biāo)準(zhǔn)，用以促進(jìn)和指導(dǎo)信息安全的建設(shè)。

2007年6月22日，公安部與國(guó)家保密局、密碼管理局、國(guó)務(wù)院信息辦聯(lián)合會(huì)簽并印發(fā)了《信息安全等級(jí)保護(hù)管理辦法》(公通字[2007]43號(hào))，確定了信息安全等級(jí)保護(hù)制度的基本內(nèi)容及各項(xiàng)工作要求。

2007年7月16日，四部委聯(lián)合會(huì)簽并下發(fā)了《關(guān)于開展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知》(公信安[2007]861號(hào))，就定級(jí)范圍、定級(jí)工作主要內(nèi)容、定級(jí)工作要求等事項(xiàng)進(jìn)行了通知。

43號(hào)文和861號(hào)文這兩個(gè)主要文件的出臺(tái)，標(biāo)志著信息安全等級(jí)保護(hù)工作在全國(guó)范圍內(nèi)進(jìn)入推廣實(shí)施階段。

針對(duì)政府門戶網(wǎng)站的安全需求，以及信息安全等級(jí)保護(hù)相關(guān)文件和標(biāo)準(zhǔn)，綠盟科技以安全服務(wù)為主線，提出了符合等級(jí)保護(hù)要求的政府門戶網(wǎng)站整體安全解決方案。

根據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》中所給出的等級(jí)保護(hù)的建設(shè)過程(如圖1所示)，可以看到等級(jí)保護(hù)并不是一個(gè)“一勞永逸”的孤立項(xiàng)目，而是一個(gè)連續(xù)不斷，周而復(fù)始的“過程”。

要實(shí)現(xiàn)這樣一個(gè)過程，就必須要以安全服務(wù)為主線，從門戶網(wǎng)站的安全評(píng)估、差距評(píng)估等咨詢性服務(wù)開始，到整體安全規(guī)劃、解決方案設(shè)計(jì)等設(shè)計(jì)性服務(wù)，最終以運(yùn)維支持、應(yīng)急響應(yīng)等持續(xù)的技術(shù)性服務(wù)為政府門戶網(wǎng)站提供一個(gè)符合等級(jí)保護(hù)精神的安全保障體系。

綠盟科技在等級(jí)保護(hù)過程的各階段中所提供的系列安全服務(wù)如下圖所示：

圖2 等級(jí)保護(hù)過程及各階段安全服務(wù)

上圖所示的各階段都分別對(duì)應(yīng)多個(gè)安全服務(wù)，限于篇幅，不能一一盡述，下面就各階段中的主要部分做簡(jiǎn)要介紹。

安全定級(jí)階段安全服務(wù)

政府門戶網(wǎng)站安全定級(jí)和備案階段的安全服務(wù)包括等級(jí)保護(hù)導(dǎo)入、信息系統(tǒng)輔助定級(jí)、協(xié)助用戶完成備案等幾部分。

這些安全服務(wù)的目標(biāo)是通過培訓(xùn)，使客戶方有關(guān)人員了解等級(jí)保護(hù)的內(nèi)容和過程，并按照定級(jí)指南要求對(duì)門戶網(wǎng)站進(jìn)行定級(jí)，最終幫助用戶完成備案工作。

綠盟科技具備豐富的系統(tǒng)定級(jí)和備案經(jīng)驗(yàn)，能夠?yàn)檎T戶網(wǎng)站進(jìn)行準(zhǔn)確定級(jí)，并順利完成備案工作。

安全規(guī)劃設(shè)計(jì)階段安全服務(wù)

安全規(guī)劃設(shè)計(jì)階段的安全服務(wù)包括安全需求導(dǎo)出、信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估、等級(jí)保護(hù)差距評(píng)估、安全建設(shè)整體規(guī)劃和安全基線指標(biāo)設(shè)計(jì)等。

安全需求導(dǎo)出服務(wù)的目標(biāo)主要是為門戶網(wǎng)站導(dǎo)出真正的安全需求。不同網(wǎng)站的規(guī)模、訪問量、部署模式、政務(wù)公開信息的頻度、在線業(yè)務(wù)的重要程度都各不相同，其安全需求也就各有不同。只有對(duì)網(wǎng)站業(yè)務(wù)進(jìn)行詳細(xì)的調(diào)研和分析，才能給出符合實(shí)際的安全需求分析。

信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估服務(wù)、等級(jí)保護(hù)差距評(píng)估服務(wù)是結(jié)合風(fēng)險(xiǎn)評(píng)估的方法和理論，圍繞著系統(tǒng)所承載的具體業(yè)務(wù)，通過風(fēng)險(xiǎn)評(píng)估的方法評(píng)估系統(tǒng)的風(fēng)險(xiǎn)狀況，并根據(jù)系統(tǒng)的安全措施是否符合相應(yīng)等級(jí)的安全要求來判斷系統(tǒng)與所定等級(jí)的差距。

Lord Kelvirl有—句名言“你不能改進(jìn)你不能測(cè)量的東西”，為評(píng)價(jià)各項(xiàng)安全工作是否有效，并為門戶網(wǎng)站安全管理考核體系打下可量化考核的基礎(chǔ)，綠盟科技設(shè)計(jì)了安全基線指標(biāo)設(shè)計(jì)服務(wù)。安全基線指標(biāo)設(shè)計(jì)服務(wù)為用戶建立了可量化的安全指標(biāo)體系，為未來的運(yùn)維管理和自我檢查奠定了堅(jiān)實(shí)的基礎(chǔ)，是綠盟科技在業(yè)內(nèi)的獨(dú)有優(yōu)勢(shì)服務(wù)。

安全實(shí)施階段安全服務(wù)

安全實(shí)施階段是等級(jí)保護(hù)“落地”的主要階段。在這個(gè)階段中，綠盟科技將以聞名業(yè)界的安全服務(wù)團(tuán)隊(duì)，輔以業(yè)界領(lǐng)先的高端產(chǎn)品，為政府門戶網(wǎng)站構(gòu)建符合等級(jí)保護(hù)要求的，嚴(yán)密的信息安全保障體系。

安全實(shí)施階段中主要包括安全解決方案設(shè)計(jì)、安全技術(shù)體系改造、安全管理體系改造、崗位培訓(xùn)和應(yīng)急響應(yīng)演練等安全服務(wù)。

安全解決方案設(shè)計(jì)是如何將門戶網(wǎng)站業(yè)務(wù)安全目標(biāo)和系統(tǒng)等級(jí)安全規(guī)劃落實(shí)的關(guān)鍵過程。綠盟科技依靠多年的方案設(shè)計(jì)經(jīng)驗(yàn)，將在深入理解等級(jí)保護(hù)政策、標(biāo)準(zhǔn)，分析系統(tǒng)業(yè)務(wù)安全需求的基礎(chǔ)上，為用戶提供并建立一套符合相應(yīng)等級(jí)保護(hù)要求并適合門戶網(wǎng)站實(shí)際需求整體安全解決方案。

安全技術(shù)體系改造主要包括物理層、網(wǎng)絡(luò)層、應(yīng)用層、主機(jī)層和數(shù)據(jù)層五個(gè)層面，對(duì)于一般網(wǎng)站而言，較為重要的是網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)三個(gè)層面。

在網(wǎng)絡(luò)層面，網(wǎng)站安全主要關(guān)注安全域劃分、入侵防范和抗拒絕服務(wù)攻擊。綠盟科技的安全域劃分服務(wù)通過對(duì)網(wǎng)站業(yè)務(wù)、數(shù)據(jù)流向、網(wǎng)絡(luò)結(jié)構(gòu)等多方面因素進(jìn)行專業(yè)分析，為網(wǎng)站劃分合理的安全域。在入侵防范方面，綠盟科技的入侵防御系統(tǒng)能夠抵御來自互聯(lián)網(wǎng)的入侵行為，而黑洞抗拒絕服務(wù)攻擊系統(tǒng)則能夠保證在線業(yè)務(wù)順暢進(jìn)行，不致被惡意攻擊所癱瘓。此外，綠盟科技還擁有漏洞管理系統(tǒng)、網(wǎng)絡(luò)安全審計(jì)、內(nèi)容安全管理等全線網(wǎng)絡(luò)安全產(chǎn)品，能夠?yàn)榭蛻魳?gòu)建嚴(yán)密、專業(yè)的網(wǎng)絡(luò)安全保障體系。

在應(yīng)用層面，綠盟科技WEB應(yīng)用防火墻能夠?qū)EB應(yīng)用漏洞進(jìn)行預(yù)先掃描，同時(shí)具備對(duì)SQL注入、跨站腳本等通過應(yīng)用層的入侵動(dòng)作實(shí)時(shí)阻斷，真正達(dá)到“網(wǎng)頁防篡改”的效果。

在數(shù)據(jù)層面，通過網(wǎng)絡(luò)安全域劃分，數(shù)據(jù)庫將被隱藏在安全區(qū)域，同時(shí)通過綠盟科技的安全加固服務(wù)對(duì)數(shù)據(jù)庫進(jìn)行安全配置，并對(duì)數(shù)據(jù)庫的訪問權(quán)限做最為嚴(yán)格的設(shè)定，最大限度保證數(shù)據(jù)庫安全。

在安全管理體系的設(shè)計(jì)中，綠盟科技借助豐富的安全咨詢經(jīng)驗(yàn)和對(duì)等級(jí)保護(hù)管理要求的清晰理解，為用戶量身定做符合實(shí)際的、可操作的安全管理體系。

在安全管理體系建立完畢后，綠盟科技將提供全面的崗位培訓(xùn)和有針對(duì)性的應(yīng)急演練，幫助客戶掌握崗位所需的安全職責(zé)，并對(duì)未來可能發(fā)生的信息安全事件預(yù)先做好準(zhǔn)備。

安全運(yùn)行管理階段安全服務(wù)

在政府門戶網(wǎng)站的運(yùn)行管理階段，綠盟科技建議通過內(nèi)部管理人員維護(hù)和采用專業(yè)安全廠商的安全服務(wù)相結(jié)合的方式來實(shí)現(xiàn)。

安全服務(wù)提供商能夠?yàn)橛脩籼峁I(yè)的安全服務(wù)，但在日常運(yùn)行工作中，安全服務(wù)提供商不可能代替用戶做所有的事情。為保證客戶的內(nèi)部管理人員的安全管理工作也能夠保持專業(yè)水平，綠盟科技提出了“基于安全指標(biāo)設(shè)計(jì)的配置核查”安全服務(wù)，使客戶的內(nèi)部管理人員根據(jù)等級(jí)保護(hù)標(biāo)準(zhǔn)進(jìn)行量化的安全指標(biāo)，使用自動(dòng)化工具去執(zhí)行內(nèi)部核查，保證了日常運(yùn)行管理的專業(yè)程度。

在安全運(yùn)行管理階段，還需要安全服務(wù)提供商提供的階段性風(fēng)險(xiǎn)評(píng)估服務(wù)、安全應(yīng)急響應(yīng)服務(wù)和協(xié)助用戶通過等級(jí)保護(hù)安全檢查工作等。

第三篇：綠盟科技面試

我應(yīng)聘的是Win c/c++,昨天筆試的時(shí)候同意轉(zhuǎn) 測(cè)試方向

早上9點(diǎn)前趕到小洪山的帥府飯店，開始人不多，只有幾個(gè)人，因?yàn)?：30才開始的面試，我先在HR那簽到，然后等叫我進(jìn)去面試.期間我一直和附近的學(xué)生聊天，發(fā)現(xiàn)他們?nèi)际谴T

士，包括后來來面試的也都是碩士，有武大碩士、華科碩士、華師碩士、理工大碩士等等，只有我一個(gè)小本，不知道是不是我筆試成績(jī)好還是什么，但我沒感覺筆試好......大概11點(diǎn)多我才進(jìn)去面試。我輕聲問HR坐哪？她指給我看，然后面試官也指了一個(gè)座位

給我。我先主動(dòng)遞交簡(jiǎn)歷給他們，因?yàn)楣P試的時(shí)候我沒交簡(jiǎn)歷。中間那個(gè)面試官發(fā)問，讓我 先簡(jiǎn)單自我介紹下，我.......介紹完了,開始針對(duì)我的簡(jiǎn)歷，和我自己介紹的提問：1.做過什 么項(xiàng)目......2.問我簡(jiǎn)歷提到的作業(yè)調(diào)度算法相關(guān)的........3。問Linux 的調(diào)度算法是什么？ Windows的調(diào)度算法是什么？4.了解那些技術(shù)，怎么學(xué)習(xí)windows的？.......5.遇到過那些 困難........等等，基本上是基于你的簡(jiǎn)歷或者你自己提到的技術(shù)發(fā)問。一面有4個(gè)面試官，那 些已經(jīng)面試的告訴只有其中1個(gè)或者2個(gè)發(fā)問，但是我被3個(gè)發(fā)問了，其中右邊那個(gè)面試官問

了一個(gè)難點(diǎn)的問題，我可能沒理解他的意思或者沒答好，中間那個(gè)面試官幫我解圍，跟那個(gè) 面試官說，他（指我了）可能沒考慮到這個(gè)問題。最后問我有什么問題，我沉思幾秒說沒有，于是讓我去外面等消息.(PS:因?yàn)榻裉煲幻?、二面一起進(jìn)行，如果在外面等的時(shí)候HR告訴你 回去等消息，那==你二面沒機(jī)會(huì)了，因?yàn)槎娌畈欢鄬儆诮K面了)

在外面等的時(shí)候，HR跟我說，根據(jù)我的意愿，和對(duì)我的考慮，想把我轉(zhuǎn)到測(cè)試，我說給

我考慮幾分鐘，后來又問，我回答可以。

十幾分鐘后，我進(jìn)去二面了，面試官是一個(gè)微胖，但人很和善的一位，據(jù)說是X總。他讓

我坐在桌子對(duì)面，說稍微等一分鐘，今天面試的人比較多，我說：OK，那天我筆試的時(shí)候看

到人是挺多的。開始面試讓我自我介紹.......于是就開始扯家常了........基本上沒問技術(shù)問題，因?yàn)檫@可能是終面.我聊到我的家庭怎么樣，他問我為什么不讀研，我說從以前到現(xiàn)在，我的態(tài)度都沒有改變，不打算考研，也解釋了其他的，又問我如果我的經(jīng)濟(jì)條件允許，我是否 讀研，我說不會(huì)，也笑著說，除非讓我讀哈佛大學(xué)，然后他說是不是武漢的高校我都不會(huì)去，問我人生規(guī)劃？問為什么把改善家庭經(jīng)濟(jì)狀況作為人生規(guī)劃的首要目標(biāo)，于是又扯我的家庭 去了,還問我自己的學(xué)費(fèi)和生活費(fèi)等問題怎么處理的（因?yàn)樗牢业臓顩r），我也一一跟他 聊了，整個(gè)過程下來，和面試官互動(dòng)的挺好的，都會(huì)有說有笑，開開玩笑，他對(duì)我某些方面 也表示了認(rèn)可，說我已經(jīng)有打算了,我給他留下的印象差不多是孝道，做事有計(jì)劃等等,最后 問我有什么問題，因?yàn)槲蚁氡憩F(xiàn)出我對(duì)安全方面的了解，于是說不知道您是否有時(shí)間，我想 聊下QQ和360的安全隱私方面的，他笑著說，沒時(shí)間,然后說等候消息。于是起身，伸手和

我握手，把我送到門口了.就這樣結(jié)束了綠盟綠盟的一面和二面,等最后OFFER的消息了..

第四篇：政府門戶網(wǎng)站建設(shè)的必要性以及政府門戶網(wǎng)站建設(shè)解決方案包含內(nèi)容

政府門戶網(wǎng)站建設(shè)的必要性以及政府門戶網(wǎng)站建設(shè)解決方案包含內(nèi)容

隨著信息技術(shù)的高速發(fā)展，我國(guó)政府信息化程度也越來越高。但一直以來，政府對(duì)信息化的建設(shè)主要集中于政府外部信息門戶網(wǎng)站方面，對(duì)政府部門來說，如何在內(nèi)部及部門人員中進(jìn)行知識(shí)管理，來達(dá)到知識(shí)積累、共享和交流，就成為政府信息化建設(shè)在今后發(fā)展的一個(gè)重要方面。而基于知識(shí)管理思想構(gòu)建起來的其 知識(shí)門戶系統(tǒng)就是實(shí)現(xiàn)知識(shí)管理的一個(gè)重要手段。并且隨著政府信息化進(jìn)程加快和政府知識(shí)管理需求的增加，政府知識(shí)門戶網(wǎng)站必將成為越來越多政府部門發(fā)展必然選擇。

那么政府門戶網(wǎng)站建設(shè)的必要性都體現(xiàn)在哪些方面呢？

一、高度重視政府網(wǎng)站建設(shè)是電子政務(wù)領(lǐng)先國(guó)家的普遍經(jīng)驗(yàn)

研究美國(guó)、加拿大、歐盟、新加坡等信息化水平世界領(lǐng)先國(guó)家和地區(qū)成功經(jīng)驗(yàn)，重視和發(fā)展政府是這些國(guó)家和地區(qū)電子政務(wù)建設(shè)中具有普遍性的規(guī)律。這些國(guó)家和地區(qū) 將政府網(wǎng)站建設(shè)作為完善政府公共服務(wù)接入渠道的主要手段，給予了高度重視；按照用戶對(duì)象進(jìn)行信息資源的整合，提供覆蓋用戶全生命周期的各種信息和服務(wù)，是 國(guó)外領(lǐng)先的政府網(wǎng)站共同特征。通過訪問這些政府網(wǎng)站，企業(yè)和社會(huì)公眾可以24小時(shí)不間斷地，不受任何空間界限影響地與之進(jìn)行信息交互，政府已經(jīng)成為企業(yè)和 社會(huì)公眾感知和獲取電子政務(wù)公共服務(wù)的平臺(tái)。實(shí)踐證明，“以人為本，以用戶為中心”的網(wǎng)站能夠提高用戶對(duì)電子政務(wù)的認(rèn)知度和滿意度。

二、政府網(wǎng)站是電子政務(wù)績(jī)效水平的展示窗口

政府作為企業(yè)和社會(huì)公眾獲取信息和服務(wù)的主要接入渠道，具有非常重要的作用。強(qiáng)調(diào)“以服務(wù)為主線”，與電子政務(wù)“立黨為公、執(zhí)政為民”的宗旨完全吻合。同時(shí)，政府網(wǎng)站作為電子政務(wù)建設(shè)的一扇窗口，能夠綜合體現(xiàn)出電子政務(wù)的后臺(tái)應(yīng)用系統(tǒng)、信息資源、基礎(chǔ)設(shè)施、安全系統(tǒng)及制度保障等各個(gè)要素發(fā)展水平，在一定程 度上，可以說政府網(wǎng)站是電子政務(wù)公共服務(wù)的“龍頭”。因此，政府網(wǎng)站績(jī)效評(píng)估的側(cè)重點(diǎn)與意義已經(jīng)不再局限于建站水平，更多的是在評(píng)估各級(jí)政務(wù)建設(shè)所體現(xiàn)出 的應(yīng)用效果。一方面，通過績(jī)效評(píng)估工作不斷促進(jìn)和加強(qiáng)內(nèi)部完善建設(shè)，完善電子政務(wù)服務(wù)的接入渠道；更為重要的是，通過績(jī)效評(píng)估，積極倡導(dǎo)各級(jí)政府電子政務(wù) 建設(shè)必須以用戶為中心，以應(yīng)用為宗旨，以提高用戶滿意程度為奮斗目標(biāo)。

三、政府網(wǎng)站策劃知識(shí)管理體系網(wǎng)站建設(shè)方案目標(biāo)就是圍繞信息自動(dòng)化，構(gòu)造全方位管理中心，提高辦公效率，溝通內(nèi)部信息等政府。知識(shí)門戶網(wǎng)站是基于門戶與知識(shí)管理，是目前流行的多項(xiàng)WEB技術(shù)綜 合應(yīng)用，即包括對(duì)外信息門戶，也包括對(duì)內(nèi)知識(shí)管理模塊。它是部門員工日常工作所涉及相關(guān)主題內(nèi)容的統(tǒng)一入口，員工可以通過它方便地了解最新政務(wù)消息、當(dāng)天 工作內(nèi)容、完成這些工作所需知識(shí)等，各不同部門員工還可以通過它方便快捷地進(jìn)行網(wǎng)上無紙化辦公。這種充分利用政府現(xiàn)有資源的方式是加快信息化建設(shè)，以更好 地開展電子政務(wù)，從而使政府可以更高效運(yùn)作的關(guān)鍵。有效地利用本身已有知識(shí)，提高部門人員的辦公效率和質(zhì)量，更是政府部門更好實(shí)施“簡(jiǎn)政”的極好途徑。無 論是對(duì)哪個(gè)具體行業(yè)，知識(shí)的冗余都是一種極大浪費(fèi)。而知識(shí)赤字更是當(dāng)今國(guó)際社會(huì)對(duì)知識(shí)冗余甚至浪費(fèi)以致對(duì)工作造成不良后果的一個(gè)科學(xué)而精煉的概括，其定義 是：對(duì)主要是由于智力上的重復(fù)工作、低角色水準(zhǔn)的運(yùn)作和無法找到信息源而造成的成本消耗與無效率的一種度量。尤其是對(duì)政府部門來說，其自身職能的重要性和 獨(dú)特性讓其更應(yīng)該盡量避免知識(shí)赤字產(chǎn)生。在這樣的情況下，構(gòu)建一個(gè)知識(shí)門戶網(wǎng)站來完善內(nèi)部知識(shí)管理體系就顯得尤為重要。

四、總而言之，政府網(wǎng)站是一個(gè)通過知識(shí)管理系統(tǒng)使政府部門職員之間通過順暢的信息交流和共享，從而大大提高辦公效率的一個(gè)有利平臺(tái)。其解決方案主要的功能有：知 識(shí)獲取功能、知識(shí)傳播與共享功能、知識(shí)的利用和測(cè)評(píng)功能等。其目標(biāo)是通過依托信息技術(shù)，提高政府的知識(shí)獲取能力、知識(shí)組織能力和知識(shí)創(chuàng)新能力，優(yōu)化辦公流 程，實(shí)現(xiàn)高效的辦公管理。

政府門戶網(wǎng)站建設(shè)解決方案欄目包含內(nèi)容 一 基本模塊

1、政府風(fēng)貌（概況 今日城市 經(jīng)濟(jì)環(huán)境 城市掠影）

2、政務(wù)之窗（政府領(lǐng)導(dǎo) 公告 職能部門 政務(wù)信息 政策法規(guī) 辦實(shí)事 采購 網(wǎng)上調(diào)查）

3、政府經(jīng)濟(jì)（經(jīng)濟(jì)環(huán)境 經(jīng)濟(jì)動(dòng)態(tài) 招商引資 功能街區(qū)[科技園、風(fēng)景區(qū)、旅游街、商業(yè)中心等] 服務(wù)大廳）

4、城市建設(shè)（城建動(dòng)態(tài) 市政熱點(diǎn) 危房改造 重點(diǎn)建設(shè) 環(huán)境保護(hù)）

5、為您服務(wù)（文化教育 運(yùn)動(dòng)休閑 社區(qū)服務(wù) 醫(yī)療保健 人才交流 科普?qǐng)@地 旅游天地 社會(huì)保障 法律咨詢）

6、辦事指南（人口戶籍 衛(wèi)生婚育 勞動(dòng)就業(yè) 人才教育 工商稅收 司法公安 質(zhì)量消費(fèi)社會(huì)保障 城市建設(shè) 出國(guó)手續(xù) 文化體育 科技發(fā)展 城市管理 經(jīng)濟(jì)建設(shè) 綜合）

7、站內(nèi)搜索（全文檢索 法律法規(guī)查詢）

8、市長(zhǎng)信箱（市長(zhǎng)了解群眾呼聲的窗口）

9、熱線電話（市委值班電話 市紀(jì)委舉報(bào)站 政務(wù)公開效能監(jiān)察電話 值班電話 便民電話 信訪辦公室 司法服務(wù)熱線 消費(fèi)者投訴電話）

10、進(jìn)言獻(xiàn)策（人民建議征集）

11、最新公告（市內(nèi)新聞 最新改革措施）

12、熱點(diǎn)鏈接（市內(nèi)重點(diǎn)機(jī)構(gòu) 其他地區(qū)網(wǎng)站 特色網(wǎng)站）

二 交互模塊

1、在線辦理（高新科技企業(yè)申請(qǐng) 建筑工程在線預(yù)審 工商行政審批 網(wǎng)上辦稅（地稅）網(wǎng)上審核（國(guó)稅））

2、收費(fèi)標(biāo)準(zhǔn)（按項(xiàng)目隸屬單位查詢 按收費(fèi)項(xiàng)目名稱查詢）

3、文件、表格下載（地稅 科技局 環(huán)保局 人事局 申報(bào)表類 審核類 稅務(wù)登記類等）

4、行政審批（高新科技企業(yè)申請(qǐng) 建筑工程在線預(yù)審 工商行政審批 網(wǎng)上辦稅（地稅）網(wǎng)上審核（國(guó)稅））

5、投訴舉報(bào)（紀(jì)檢監(jiān)察機(jī)關(guān)受理來信來訪和舉報(bào)）

6、進(jìn)言獻(xiàn)策（人民建議征集）

7、系統(tǒng)整合（OA辦公系統(tǒng)在線登錄 電子政務(wù)系統(tǒng)整合）

8、在線解答

9、郵件查看

第五篇：某等級(jí)保護(hù)建設(shè)整改解決方案（范文）

X X XX 高校 信息系統(tǒng) 等級(jí)保護(hù)

整改方案((模板）

I

目錄

一、背景、現(xiàn)狀和必要性 ...................................................................................................................................................-3-（一）背景.......................................................................................................................................................................-

-（二）現(xiàn)狀.......................................................................................................................................................................-

-（三）項(xiàng)目必要性...........................................................................................................................................................-

-二、差距分析.......................................................................................................................................................................-6-（一）技術(shù)差距分析.......................................................................................................................................................-

-（二）管理差距分析.......................................................................................................................................................-

-三、建設(shè)目標(biāo)...........................................................................................................................................................................9（一）業(yè)務(wù)目標(biāo)...................................................................................................................................................................9（二）技術(shù)目標(biāo)...................................................................................................................................................................9 四、建設(shè)方案.........................................................................................................................................................................10（一）建設(shè)原則.................................................................................................................................................................10（二）設(shè)計(jì)依據(jù).................................................................................................................................................................11（三）總體建設(shè)內(nèi)容.........................................................................................................................................................12（四）總體框架.................................................................................................................................................................13（五）技術(shù)方案.................................................................................................................................................................15 1、安全技術(shù)體系設(shè)計(jì)

.............................................................................................................................................15 2、安全管理中心設(shè)計(jì)（云智）

.............................................................................................................................23 3、安全制度建設(shè)

.....................................................................................................................................................30（六）設(shè)備部署說明及關(guān)鍵技術(shù)指標(biāo).............................................................................................................................45 1、防火墻

.................................................................................................................................................................46 a)

部署說明

.............................................................................................................................................................46 b)

關(guān)鍵指標(biāo)

.............................................................................................................................................................46 2、堡壘機(jī)

.................................................................................................................................................................46 a)

部署說明

.............................................................................................................................................................46 b)

關(guān)鍵指標(biāo)

.............................................................................................................................................................47 3、入侵防御系統(tǒng)(IPS)

...........................................................................................................................................47 a)

部署說明

.............................................................................................................................................................47 b)

關(guān)鍵指標(biāo)

.............................................................................................................................................................48 4、非法接入/外聯(lián)監(jiān)測(cè)系統(tǒng)

...................................................................................................................................48 a)

部署說明

.............................................................................................................................................................48 b)

關(guān)鍵指標(biāo)

.............................................................................................................................................................48 5、漏洞掃描系統(tǒng)

.....................................................................................................................................................49 a)

部署說明

.............................................................................................................................................................49 b)

關(guān)鍵指標(biāo)

.............................................................................................................................................................49 6、數(shù)據(jù)庫審計(jì)系統(tǒng)

.................................................................................................................................................49 a)

部署說明

.............................................................................................................................................................49 b)

關(guān)鍵指標(biāo)

.............................................................................................................................................................50 7、Web 應(yīng)用防火墻

..................................................................................................................................................50

II a)

部署說明

.............................................................................................................................................................50 b)

關(guān)鍵指標(biāo)

.............................................................................................................................................................51 8、安全管理平臺(tái)

.....................................................................................................................................................51 a)

部署說明

.............................................................................................................................................................51 b)

關(guān)鍵指標(biāo)

................................................................................................................................錯(cuò)誤!未定義書簽。

一、背景、現(xiàn)狀和必要性

（一）背景 XXX經(jīng)過多年的信息化推進(jìn)建設(shè)，信息化應(yīng)用水平正不斷提高，信息化建設(shè)成效顯著。為促進(jìn)XXX信息安全發(fā)展，響應(yīng)國(guó)家和上級(jí)要求，進(jìn)一步落實(shí)等級(jí)保護(hù)，夯實(shí)等級(jí)保護(hù)作為國(guó)家信息安全國(guó)策的成果，XXX計(jì)劃參照《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)劃分準(zhǔn)則》（GB/T17859-1999）

和《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》（GB/T 22240-2008）要求將XXX系統(tǒng)和XXX系統(tǒng)擬定為三級(jí)，按照《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（GB/T 22239-2008）完成兩個(gè)系統(tǒng)三級(jí)等保建設(shè)。同時(shí)為提高全網(wǎng)安全防護(hù)能力，XXX計(jì)劃整網(wǎng)參照等保標(biāo)準(zhǔn)建設(shè)。

隨著2017年《網(wǎng)絡(luò)安全法》正式實(shí)施，更加需要高校加強(qiáng)自身系統(tǒng)安全建設(shè)，《網(wǎng)絡(luò)安全法》其中 系統(tǒng)的基本情況，按照物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)、管理六個(gè)層面進(jìn)行，可根據(jù)實(shí)際情況進(jìn)行修改；同時(shí)根據(jù)安全域劃分的結(jié)果，在分析過程中將不同的安全域所面臨的風(fēng)險(xiǎn)與需求予以對(duì)應(yīng)說明。1、網(wǎng)絡(luò) 現(xiàn)狀

核心交換機(jī)分別通過防病毒網(wǎng)關(guān)和防火墻連接通過xx網(wǎng)絡(luò)設(shè)備XX路由器接入政務(wù)外網(wǎng)，通過全員防火墻連接xx管理信息系統(tǒng)2臺(tái)XX交換機(jī)，通過二級(jí)/安管防火墻連接安全管理域和二級(jí)系統(tǒng)域。

統(tǒng)一認(rèn)證服務(wù)器、數(shù)據(jù)庫服務(wù)器和負(fù)載均衡通過接入交換機(jī)接入到核心交換機(jī)ZXX。

XXX通過接入交換機(jī)與中環(huán)機(jī)房的兩臺(tái)XX互聯(lián)，訪問xx個(gè)案管理信息系統(tǒng)。網(wǎng)絡(luò)現(xiàn)狀拓?fù)鋱D如下所示：

現(xiàn)網(wǎng)總體拓?fù)鋱D

XX高校網(wǎng)絡(luò)拓?fù)鋱D 2 2、安全防護(hù)措施現(xiàn)狀

目前xx校園網(wǎng)采用的安全措施有：

? 網(wǎng)絡(luò)設(shè)備安全防護(hù)方面：

網(wǎng)絡(luò)設(shè)備的安全防護(hù)是依托機(jī)房現(xiàn)有的安全設(shè)備進(jìn)行安全防護(hù)，定期的檢查網(wǎng)絡(luò)設(shè)備和安全設(shè)備的策略，根據(jù)業(yè)務(wù)系統(tǒng)的需求及時(shí)的更新各個(gè)策略，對(duì)網(wǎng)絡(luò)設(shè)備和安全設(shè)備的訪問使用了復(fù)雜性的加長(zhǎng)口令進(jìn)行安全防護(hù)。

? 信息安全設(shè)備部署及使用方面：

中環(huán)機(jī)房部署了專門的防火墻設(shè)備和防病毒網(wǎng)關(guān)對(duì)邊界網(wǎng)絡(luò)進(jìn)行安全防護(hù)。

? 服務(wù)器的安全防護(hù)方面：

服務(wù)器的安全防護(hù)主要是依靠機(jī)房現(xiàn)有的網(wǎng)絡(luò)安全設(shè)備對(duì)服務(wù)器進(jìn)行安全防護(hù)，同時(shí)對(duì)服務(wù)器統(tǒng)一安裝了防病毒軟件對(duì)惡意代碼進(jìn)行查殺。

? 在應(yīng)用信任措施方面：

xx管理信息系統(tǒng)通過用戶名、口令進(jìn)行身份鑒別方式，來保證業(yè)務(wù)系統(tǒng)信息的機(jī)密性。3、系統(tǒng)軟硬件現(xiàn)狀

xx個(gè)案管理信息系統(tǒng)所使用的軟硬件設(shè)備資源情況如下：

序號(hào) 類型 內(nèi)容 制造/開發(fā)商 單位(臺(tái)套)數(shù)量 一 基礎(chǔ)硬件

（三）項(xiàng)目必要性 為了保障xx管理信息系統(tǒng)的安全持續(xù)運(yùn)行，落實(shí)國(guó)家信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)GB/T25070-2010和GB/T 22239-2008的要求，降低系統(tǒng)面臨的安全風(fēng)險(xiǎn)，有必要對(duì)xx管

理信息系統(tǒng)進(jìn)行安全保障體系設(shè)計(jì)。

(1)政策法規(guī)要求

XXX公安局、XXX經(jīng)濟(jì)和信息化委員會(huì)、XXX國(guó)家保密局、XXX密碼管理局《關(guān)于印發(fā)XXX開展信息安全等級(jí)保護(hù)安全建設(shè)整改工作實(shí)施方案的通知》（京公網(wǎng)安字[2010]1179號(hào)）文件的要求全市各單位加強(qiáng)信息安全等級(jí)保護(hù)建設(shè)、整改工作。每年，XXX網(wǎng)絡(luò)信息安全協(xié)調(diào)小組發(fā)文要求全市各單位開展信息安全自查工作，并對(duì)一些單位進(jìn)行抽查工作，要求各單位從管理和技術(shù)兩個(gè)方面加強(qiáng)信息安全建設(shè)。

(2)xx 管理 信息系統(tǒng)安全保障的需要

xx管理信息系統(tǒng)的數(shù)據(jù)包括xx的個(gè)案信息數(shù)據(jù)庫。一旦這些信息泄漏，將會(huì)對(duì)市xx造成重大影響，因此，迫切需要加強(qiáng)xx管理信息系統(tǒng)的信息安全保障，防范數(shù)據(jù)信息泄漏風(fēng)險(xiǎn)。

（四）等級(jí)保護(hù)工作流程：

系統(tǒng)定級(jí)定級(jí)備案等級(jí)測(cè)評(píng) 建設(shè)整改安全檢查 圖 1 等級(jí)保護(hù)工作流程

二、差距分析

（一）技術(shù)差距分析 通過對(duì)xx管理信息系統(tǒng)進(jìn)行等級(jí)保護(hù)安全整改建設(shè)，達(dá)到等級(jí)保護(hù)三級(jí)安全標(biāo)準(zhǔn)，并最終通過等級(jí)保護(hù)三級(jí)測(cè)評(píng)。

計(jì)算環(huán)境的安全主要是物理、主機(jī)以及應(yīng)用層面的安全風(fēng)險(xiǎn)與需求分析，包括：物理機(jī)房安全、身份鑒別、訪問控制、系統(tǒng)審計(jì)、入侵防范、惡意代碼防范、軟件容錯(cuò)、數(shù)據(jù)完整性與保密性、備份與恢復(fù)、資源合理控制、剩余信息保護(hù)、抗抵賴等方面。

根據(jù)XXX自評(píng)估結(jié)果，現(xiàn)網(wǎng)如要達(dá)到等級(jí)保護(hù)三級(jí)關(guān)于安全計(jì)算環(huán)境的要求，還需要改進(jìn)以下幾點(diǎn)：

物理機(jī)房安全：根據(jù)物理機(jī)房情況描述，看看是否需要整改。

數(shù)據(jù)庫審計(jì)：現(xiàn)網(wǎng)XXX系統(tǒng)和XXX系統(tǒng)都缺少針對(duì)數(shù)據(jù)的審計(jì)設(shè)備，不能很好的滿足主機(jī)安全審計(jì)的要求，需要部署專業(yè)的數(shù)據(jù)庫審計(jì)設(shè)備。

運(yùn)維堡壘機(jī)：現(xiàn)網(wǎng)XXX系統(tǒng)和XXX系統(tǒng)都未實(shí)現(xiàn)管理員對(duì)網(wǎng)絡(luò)設(shè)備和服務(wù)器管理時(shí)的雙因素認(rèn)證，計(jì)劃通過部署堡壘機(jī)來實(shí)現(xiàn)。

主機(jī)審計(jì)：現(xiàn)網(wǎng)XXX系統(tǒng)和XXX系統(tǒng)主機(jī)自身安全策略配置不能符合要求，計(jì)劃通過專業(yè)安全服務(wù)實(shí)現(xiàn)服務(wù)器整改加固。

主機(jī)病毒防護(hù)：現(xiàn)網(wǎng)XXX系統(tǒng)和XXX系統(tǒng)缺少主機(jī)防病毒的相關(guān)安全策略，需要配置主機(jī)防病毒系統(tǒng)。

備份與恢復(fù)：現(xiàn)網(wǎng)沒有完善的數(shù)據(jù)備份與恢復(fù)方案，需要制定相關(guān)策略。同時(shí)現(xiàn)網(wǎng)沒有實(shí)現(xiàn)對(duì)關(guān)鍵網(wǎng)絡(luò)設(shè)備的冗余，本期計(jì)劃部署雙鏈路確保設(shè)備冗余。

另外還需要對(duì)用戶名/口令的復(fù)雜度，訪問控制策略，操作系統(tǒng)、WEB和數(shù)據(jù)庫存在的各種安全漏洞，主機(jī)登陸條件限制、超時(shí)鎖定、用戶可用資源閾值設(shè)置等資源控制策略的合理性和存在的問題進(jìn)行一一排查解決。

（二）管理差距分析 從等保思想出發(fā)，技術(shù)雖然重要，但人才是安全等級(jí)保護(hù)的重點(diǎn)，因此除了技術(shù)措施，XXX還需要運(yùn)用現(xiàn)代安全管理原理、方法和手段，從技術(shù)上、組織上和管理上采取有力的措施，解決和消除各種不安全因素，防止事故的發(fā)生。需要優(yōu)化安全管理組織，完善安全管理制度，制定信息系統(tǒng)建設(shè)和安全運(yùn)維管理的相關(guān)管理要求，規(guī)范人員安全管理。

“三分技術(shù)、七分管理”更加突出的是管理層面在安全體系中的重要性。除了技術(shù)措施外，安全管理是保障安全技術(shù)手段發(fā)揮具體作用的最有效手段，安全管理中心是實(shí)現(xiàn)安全管理的有力抓手。

根據(jù)XXX自評(píng)估結(jié)果，現(xiàn)網(wǎng)如要達(dá)到等級(jí)保護(hù)三級(jí)關(guān)于安全管理中心的要求，還需要改進(jìn)以下幾點(diǎn)：

現(xiàn)網(wǎng)沒有一個(gè)能對(duì)整網(wǎng)安全事件、安全威脅進(jìn)行分析響應(yīng)處理的平臺(tái)，本期需要新增統(tǒng)一安全監(jiān)控管理平臺(tái)對(duì)信息系統(tǒng)涉及的設(shè)備使用情況和安全事件、系統(tǒng)健康程度等進(jìn)行識(shí)別，要能進(jìn)行統(tǒng)一的監(jiān)控和展現(xiàn)。通過對(duì)安全事件的告警，可以發(fā)現(xiàn)潛在的攻擊征兆和安全趨勢(shì)，確保任何安全事件、事故得到及時(shí)的響應(yīng)和處理。

2020-10-11

第 9 頁, 共 52 頁

三、建設(shè)目標(biāo)

（一）業(yè)務(wù)目標(biāo) 本項(xiàng)目的業(yè)務(wù)目標(biāo)是實(shí)現(xiàn)xx管理信息系統(tǒng)的安全、持續(xù)、穩(wěn)定運(yùn)行，具體為：通過安全保障措施的建設(shè)，防范業(yè)務(wù)數(shù)據(jù)信息泄漏，保障xx管理信息系統(tǒng)安全，以防數(shù)據(jù)泄漏事件發(fā)生。

（二）技術(shù)目標(biāo) 依據(jù)國(guó)家信息安全等級(jí)保護(hù)三級(jí)標(biāo)準(zhǔn)，從網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全建設(shè)等方面進(jìn)行方案的設(shè)計(jì)，建成能夠有效支撐xx管理信息系統(tǒng)高效運(yùn)行基礎(chǔ)環(huán)境。

(1)網(wǎng)絡(luò)安全

? 根據(jù)信息系統(tǒng)等級(jí)保護(hù)標(biāo)準(zhǔn)中有關(guān)結(jié)構(gòu)安全的要求，關(guān)鍵核心設(shè)備、防火墻、防病毒網(wǎng)關(guān)等設(shè)備采用冗余方式部署； ? 對(duì)用戶終端接入網(wǎng)絡(luò)的行為進(jìn)行控制，利用網(wǎng)絡(luò)實(shí)名接入網(wǎng)關(guān)和實(shí)名接入控制系統(tǒng)，實(shí)現(xiàn)對(duì)用戶接入網(wǎng)絡(luò)的認(rèn)證和能夠訪問的資源的管理； ? 針對(duì)內(nèi)部終端用戶進(jìn)行管理，內(nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對(duì)其進(jìn)行有效阻斷。

(2)主機(jī)安全

? 通過對(duì)操作系統(tǒng)、數(shù)據(jù)庫和中間件等進(jìn)行安全加固，消除存在的漏洞，降低被威脅利用的可能。

(3)應(yīng)用安全

? 通過對(duì)應(yīng)用系統(tǒng)進(jìn)行安全加固消除風(fēng)險(xiǎn)點(diǎn)，降低被威脅利用的可能；

2020-10-11

第 10 頁, 共 52 頁

? 加強(qiáng)xx管理信息系統(tǒng)用戶身份認(rèn)證強(qiáng)度，為系統(tǒng)集成數(shù)字證書登錄，實(shí)現(xiàn)對(duì)系統(tǒng)用戶基于USBKey和口令的雙因子身份認(rèn)證。

(4)安全等級(jí)測(cè)評(píng)

? 開展信息系統(tǒng)安全等級(jí)測(cè)評(píng)，驗(yàn)證信息系統(tǒng)建設(shè)完成后是否滿足國(guó)家信息安全等級(jí)保護(hù)要求。

四、建設(shè)方案

（一）建設(shè)原則 結(jié)合XXX的實(shí)際情況，按照《信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》和《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》等相關(guān)標(biāo)準(zhǔn)要求，以“一個(gè)中心、三重防護(hù)”為核心指導(dǎo)思想，從安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)以及安全管理中心四個(gè)方面構(gòu)建安全建設(shè)方案，以滿足等級(jí)保護(hù)三級(jí)系統(tǒng)的相關(guān)要求。

本方案充分結(jié)合xx管理信息系統(tǒng)業(yè)務(wù)應(yīng)用流程、網(wǎng)絡(luò)現(xiàn)狀、等級(jí)保護(hù)要求及實(shí)際的安全需求進(jìn)行設(shè)計(jì)，在設(shè)計(jì)過程中將采取如下原則：

? 綜合防范、整體安全 堅(jiān)持管理與技術(shù)并重，從人員、管理、安全技術(shù)手段等多方面著手，建立綜合防范機(jī)制，實(shí)現(xiàn)整體安全； ? 分域保護(hù)、務(wù)求實(shí)效 將信息資源劃分為計(jì)算環(huán)境、區(qū)域邊界、通信網(wǎng)絡(luò)三個(gè)方面進(jìn)行安全防護(hù)設(shè)計(jì)，以體現(xiàn)層層遞進(jìn)，逐級(jí)深入的安全防護(hù)理念； ? 同步建設(shè) 安全保障體系規(guī)劃與系統(tǒng)建設(shè)同步，協(xié)調(diào)發(fā)展，將安全保障體系建設(shè)融入到信息

2020-10-11

第 11 頁, 共 52 頁

化建設(shè)的規(guī)劃、建設(shè)、運(yùn)行和維護(hù)的全過程中； ? 縱深防御，集中管理 可構(gòu)建一個(gè)從外到內(nèi)、功能互補(bǔ)的縱深防御體系，對(duì)資產(chǎn)、安全事件、風(fēng)險(xiǎn)、訪問行為等進(jìn)行集中統(tǒng)一分析與監(jiān)管； ? 等級(jí)保護(hù)策略 安全保障體系設(shè)計(jì)以實(shí)現(xiàn)等級(jí)保護(hù)為基本出發(fā)點(diǎn)進(jìn)行安全防護(hù)體系建設(shè)，并遵照國(guó)家《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》進(jìn)行安全防護(hù)措施設(shè)計(jì)。

（二）設(shè)計(jì)依據(jù) (1)國(guó)家等級(jí)保護(hù)政策文件

? 《國(guó)務(wù)院關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見》（國(guó)發(fā)〔2012〕23號(hào)）

? 關(guān)于開展信息安全等級(jí)保護(hù)安全建設(shè)整改工作的指導(dǎo)意見(公信安[2009]1429號(hào))? 關(guān)于加強(qiáng)國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估工作的通知（發(fā)改高技[2008]2071號(hào)）

? 公安機(jī)關(guān)信息安全等級(jí)保護(hù)檢查工作規(guī)范（公信安[2008]736號(hào)）

? 關(guān)于開展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知（公信安[2007]861號(hào)）

? 信息安全等級(jí)保護(hù)備案實(shí)施細(xì)則（公信安[2007]1360號(hào)）

(2)國(guó)家信息安全標(biāo)準(zhǔn)

? GB/T 25058-2010《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》 ? GB/T 25070-2010《信息安全技術(shù) 信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》 ? GB/T 22239-2008《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》

2020-10-11

第 12 頁, 共 52 頁

? GB/T 22240-2008《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》 ? GB/T21082-2007信息安全技術(shù) 服務(wù)器安全技術(shù)要求 ? GB/T 20984-2007《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》 ? GB/T20269-2006信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)管理要求 ? GB/T20271-2006信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求 ? GB/T20270-2006信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求 ? GB/T20272-2006信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求 ? GB/T20273-2006信息安全技術(shù) 數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求 ? GB/T20282-2006信息安全技術(shù) 信息系統(tǒng)安全工程管理要求（三）總體建設(shè)內(nèi)容 根據(jù)xx管理信息系統(tǒng)業(yè)務(wù)安全保障需求，建立有針對(duì)性地安全策略，合理規(guī)劃網(wǎng)絡(luò)安全架構(gòu)，依據(jù)差距分析結(jié)果，進(jìn)行安全整改，實(shí)現(xiàn)關(guān)鍵核心設(shè)備、防火墻、防病毒網(wǎng)關(guān)等設(shè)備采用冗余方式部署；實(shí)現(xiàn)對(duì)用戶接入網(wǎng)絡(luò)的認(rèn)證和能夠訪問的資源的管理；實(shí)現(xiàn)內(nèi)部終端用戶進(jìn)行管理；實(shí)現(xiàn)對(duì)xx管理信息系統(tǒng)用戶雙因子強(qiáng)身份認(rèn)證；建立安全管理中心，實(shí)現(xiàn)對(duì)xx管理信息系統(tǒng)安全管理。

2020-10-11

第 13 頁, 共 52 頁

（四）總體框架 為了使xx管理信息系統(tǒng)具有較高的安全防護(hù)能力，滿足等級(jí)保護(hù)要求，本次將按照下圖所示的總體框架進(jìn)行系統(tǒng)安全改造。

2020-10-11

第 14 頁, 共 52 頁

根據(jù)xx管理信息系統(tǒng)現(xiàn)狀和安全需求，采取如下總體安全策略：

? 基礎(chǔ)安全防御得當(dāng)

依據(jù)GB/T 22239-2008《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》，和xx管理信息系統(tǒng)網(wǎng)絡(luò)以及系統(tǒng)安全現(xiàn)狀，? 根據(jù)信息系統(tǒng)等級(jí)保護(hù)標(biāo)準(zhǔn)中有關(guān)結(jié)構(gòu)安全的要求，通過增加核心交換機(jī)、防火墻、防病毒網(wǎng)關(guān)等設(shè)備實(shí)現(xiàn)冗余部署； ? 通過部署終端健康檢查和修復(fù)系統(tǒng)對(duì)終端接入的行為進(jìn)行控制，針對(duì)內(nèi)部終端用戶進(jìn)行管理，內(nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對(duì)其進(jìn)行有效阻斷。

? 部署網(wǎng)絡(luò)實(shí)名接入網(wǎng)關(guān)和實(shí)名接入控制系統(tǒng)，實(shí)現(xiàn)對(duì)用戶接入網(wǎng)絡(luò)的認(rèn)證和能夠訪問的資源的管理；

? 主機(jī)安全：通過對(duì)操作系統(tǒng)、數(shù)據(jù)庫和中間件等進(jìn)行安全加固，消除存在的漏洞，降低被威脅利用的可能； ? 應(yīng)用安全：將xx管理信息系統(tǒng)整合到現(xiàn)有的統(tǒng)一認(rèn)證管理系統(tǒng)中增加用戶身份認(rèn)證強(qiáng)度，使其通過數(shù)字證書登錄，實(shí)現(xiàn)對(duì)系統(tǒng)用戶基于USBkey和口令的雙因子身份認(rèn)證。

? 技術(shù)管理并行

安全技術(shù)以及管理體系需要同時(shí)設(shè)計(jì)并落實(shí)，兩者互為補(bǔ)充互為支撐。落實(shí)組織和人員責(zé)任。

2020-10-11

第 15 頁, 共 52 頁

（五）技術(shù)方案 1、安全技術(shù)體系設(shè)計(jì) 根據(jù)建設(shè)目標(biāo)，在充分利用現(xiàn)有設(shè)備的情況下，重新規(guī)劃整改后的網(wǎng)絡(luò)拓?fù)鋱D，如下圖所示。

整改后網(wǎng)絡(luò)拓?fù)鋱D 1.1.計(jì)算環(huán)境安全設(shè)計(jì)

1.1.1 終端安全（EAD）

通過部署2臺(tái)終端健康檢查和修復(fù)系統(tǒng)實(shí)現(xiàn)終端安全的集中統(tǒng)一管理，包括終端補(bǔ)丁的集中下載與分發(fā)、應(yīng)用軟件的集中分發(fā)、禁止非工作軟件或有害軟件的安裝和運(yùn)行等，強(qiáng)化終端安全策略，終端安全管理軟件還可滿足接入和外聯(lián)的可管理要求。對(duì)終端進(jìn)行安全檢查，確保終端符合安全規(guī)范，對(duì)不合規(guī)終端進(jìn)行隔離修復(fù)。對(duì)系統(tǒng)自身安全問題及終端安檢問題進(jìn)行報(bào)警統(tǒng)計(jì)，具體功能包括：

2020-10-11

第 16 頁, 共 52 頁

限制非法外聯(lián)。

應(yīng)設(shè)定只有與終端管理系統(tǒng)通訊的網(wǎng)卡才能發(fā)送和接收數(shù)據(jù)除，禁止其他任何網(wǎng)卡發(fā)送和接收數(shù)據(jù)，包括多網(wǎng)卡、撥號(hào)連接，VPN連接等。

終端安全基線自動(dòng)檢測(cè)與強(qiáng)制修復(fù)。

能夠監(jiān)控計(jì)算機(jī)終端的操作系統(tǒng)補(bǔ)丁、防病毒軟件、軟件進(jìn)程、登錄口令、注冊(cè)表等方面的運(yùn)行情況。如果計(jì)算機(jī)終端沒有安裝規(guī)定的操作系統(tǒng)補(bǔ)丁、防病毒軟件的運(yùn)行狀態(tài)和病毒庫更新狀態(tài)不符合要求、沒有運(yùn)行指定的軟件或運(yùn)行了禁止運(yùn)行的軟件，或者有其它的安全基線不能滿足要求的情況，該計(jì)算機(jī)終端的網(wǎng)絡(luò)訪問將被禁止。

移動(dòng)存儲(chǔ)管理。

可以實(shí)現(xiàn)移動(dòng)存儲(chǔ)設(shè)備的認(rèn)證和設(shè)備使用授權(quán)，只有認(rèn)證的移動(dòng)存儲(chǔ)存儲(chǔ)設(shè)備和具有使用權(quán)限的用戶才能使用。對(duì)于認(rèn)證過的移動(dòng)存儲(chǔ)設(shè)備，可以根據(jù)防泄密控制要求的高低，可以選擇多種數(shù)據(jù)保存和共享授權(quán)方式。可以只認(rèn)證設(shè)備，不對(duì)其中保存數(shù)據(jù)進(jìn)行加密共享；也可以對(duì)認(rèn)證的設(shè)備選擇專用目錄或全盤加密共享，并可以對(duì)移動(dòng)設(shè)備使用全過程進(jìn)行審計(jì)，方便在發(fā)生意外時(shí)進(jìn)行查證。

終端審計(jì)。

包括“文件操作審計(jì)與控制”，“打印審計(jì)與控制”，“網(wǎng)站訪問審計(jì)與控制”，“異常路由審計(jì)”和“終端Windows登錄審計(jì)”。所審計(jì)的內(nèi)容盡量只與內(nèi)網(wǎng)安全合規(guī)相關(guān)的信息，不對(duì)涉及終端用戶的個(gè)人隱私信息，保證在達(dá)到合規(guī)管理的審計(jì)要求的前提下，保護(hù)終端用戶個(gè)人私隱。

2020-10-11

第 17 頁, 共 52 頁

1.1.2 漏洞發(fā)現(xiàn)（漏掃）

漏洞掃描就是對(duì)重要計(jì)算機(jī)信息系統(tǒng)進(jìn)行檢查，發(fā)現(xiàn)其中可被黑客利用的漏洞，通過合規(guī)性檢測(cè)對(duì)系統(tǒng)中不合適的設(shè)置（如不應(yīng)開放的端口）、脆弱的口令以及其他同安全規(guī)則相抵觸的對(duì)象進(jìn)行檢查；另外基于網(wǎng)絡(luò)的檢測(cè)(Network Scanner)，通過執(zhí)行一些腳本文件對(duì)系統(tǒng)進(jìn)行攻擊，并記錄它的反應(yīng)，從而發(fā)現(xiàn)其中的漏洞。

1.1.3 數(shù)據(jù)庫安全審計(jì)

計(jì)劃部署數(shù)據(jù)庫審計(jì)系統(tǒng)對(duì)用戶行為、用戶事件及系統(tǒng)狀態(tài)加以審計(jì)，范圍覆蓋到每個(gè)用戶，從而把握數(shù)據(jù)庫系統(tǒng)的整體安全。

數(shù)據(jù)庫審計(jì)系統(tǒng)適用于等級(jí)保護(hù)標(biāo)準(zhǔn)和規(guī)范。數(shù)據(jù)庫審計(jì)系統(tǒng)支持所有主流關(guān)系型數(shù)據(jù)庫的安全審計(jì)，采用多核、多線程并行處理及CPU綁定技術(shù)及鏡像流量零拷貝技術(shù)，采用黑盒逆向協(xié)議分析技術(shù)，嚴(yán)格按照數(shù)據(jù)庫協(xié)議規(guī)律，對(duì)所有數(shù)據(jù)庫的操作行為進(jìn)行還原，支持請(qǐng)求和返回的全審計(jì)，保證100%還原原始操作的真實(shí)情況，實(shí)現(xiàn)細(xì)粒度審計(jì)、精準(zhǔn)化行為回溯、全方位風(fēng)險(xiǎn)控制，為XXX的核心數(shù)據(jù)庫提供全方位、細(xì)粒度的保護(hù)功能。數(shù)據(jù)庫審計(jì)系統(tǒng)可以幫助我們解決目前所面臨的數(shù)據(jù)庫安全審計(jì)缺失問題，避免數(shù)據(jù)被內(nèi)部人員及外部黑客惡意竊取泄露，極大的保護(hù)XXX的核心敏感數(shù)據(jù)的安全，帶來以下安全價(jià)值：

? 全面記錄數(shù)據(jù)庫訪問行為，識(shí)別越權(quán)操作等違規(guī)行為，并完成追蹤溯源 ? 跟蹤敏感數(shù)據(jù)訪問行為軌跡，建立訪問行為模型，及時(shí)發(fā)現(xiàn)敏感數(shù)據(jù)泄漏 ? 檢測(cè)數(shù)據(jù)庫配置弱點(diǎn)、發(fā)現(xiàn)SQL注入等漏洞、提供解決建議 ? 為數(shù)據(jù)庫安全管理與性能優(yōu)化提供決策依據(jù) ? 提供符合法律法規(guī)的報(bào)告，滿足等級(jí)保護(hù)審計(jì)要求。

2020-10-11

第 18 頁, 共 52 頁

1.1.4 運(yùn)維堡壘主機(jī)

計(jì)劃部署運(yùn)維堡壘主機(jī)，堡壘機(jī)可為XXX提供全面的運(yùn)維管理體系和運(yùn)維能力，支持資產(chǎn)管理、用戶管理、雙因子認(rèn)證、命令阻斷、訪問控制、自動(dòng)改密、審計(jì)等功能，能夠有效的保障運(yùn)維過程的安全。在協(xié)議方面，堡壘機(jī)全面支持SSH/TELNET/RDP（遠(yuǎn)程桌面）/FTP/SFTP/VNC，并可通過應(yīng)用中心技術(shù)擴(kuò)展支持VMware/XEN等虛擬機(jī)管理、oracle等數(shù)據(jù)庫管理、HTTP/HTTPS、小型機(jī)管理等。

1.2.區(qū)域邊界安全保護(hù)設(shè)計(jì)

通過深入了解系統(tǒng)業(yè)務(wù)特點(diǎn)和系統(tǒng)功能要求，并在充分利用現(xiàn)有網(wǎng)絡(luò)設(shè)施的基礎(chǔ)上，結(jié)合國(guó)家等級(jí)保護(hù)政策和標(biāo)準(zhǔn)要求，對(duì)信息系統(tǒng)的安全區(qū)域保護(hù)目標(biāo)進(jìn)行如下設(shè)計(jì)。

1.2.1 邊界隔離與訪問控制（NGFW）

在本方案中，XX 系統(tǒng)分布在網(wǎng)絡(luò)出口邊界、數(shù)據(jù)中心區(qū)邊界、網(wǎng)絡(luò)管理區(qū)，所以每個(gè)邊界也部署防火墻，并且通過配置防火墻的安全策略，實(shí)現(xiàn)各區(qū)域邊界的隔離與細(xì)粒度的訪問控制。防火墻是部署在不同網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是信息的唯一出入口，能根據(jù)安全策略控制（允許、拒絕、監(jiān)測(cè)）出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。防火墻實(shí)現(xiàn)網(wǎng)與網(wǎng)之間的訪問隔離，以保護(hù)整個(gè)網(wǎng)絡(luò)抵御來自其它網(wǎng)絡(luò)的入侵者。

通過對(duì)全網(wǎng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)進(jìn)行分析，確定需要進(jìn)行訪問控制的網(wǎng)絡(luò)邊界位置，并使用防火墻等邊界訪問控制系統(tǒng)，解決邊界安全問題、實(shí)現(xiàn)各個(gè)安全域間的網(wǎng)絡(luò)訪問

2020-10-11

第 19 頁, 共 52 頁

控制。

部署圖如下：

1.2.2 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)（IPS）

入侵防御產(chǎn)品是一種對(duì)網(wǎng)絡(luò)深層威脅行為（尤其是那些防火墻所不能防御的威脅行為）進(jìn)行抵御的安全產(chǎn)品，通常以串行方式透明接入網(wǎng)絡(luò)。和其他安全產(chǎn)品不同的是，入侵防御產(chǎn)品的主要防御對(duì)象是網(wǎng)絡(luò)上TCP/IP的四層以上的實(shí)時(shí)惡意數(shù)據(jù)流（四層以下的攻擊可以由其他安全產(chǎn)品如防火墻等防御）。在本方案中入侵防御系統(tǒng)主要保護(hù)那些對(duì)外提供服務(wù)的業(yè)務(wù)系統(tǒng)的安全。在現(xiàn)有網(wǎng)絡(luò)中部署入侵檢測(cè)與防御系統(tǒng)可以對(duì)訪問xx管理信息系統(tǒng)進(jìn)行實(shí)時(shí)監(jiān)測(cè)，并進(jìn)行入侵行為跟蹤分析。

部署圖如下：

1.2.3 網(wǎng)絡(luò)惡意代碼防范（WAF）

瀏覽器都能解釋和執(zhí)行來自 Web 服務(wù)器的嵌入到 Web 頁面下載部分的腳本（用 JavaScript、JScript、VBScript 等腳本語言創(chuàng)建）。當(dāng)攻擊者向用戶提交的動(dòng)態(tài)表單輸入惡意代碼時(shí)，就會(huì)產(chǎn)生跨站點(diǎn)腳本(XSS)攻擊或是SQL注入。Web應(yīng)用防火墻主要針對(duì)Web服務(wù)器進(jìn)行第7層流量分析，防護(hù)以Web應(yīng)用程序漏洞為目標(biāo)的攻擊，并針對(duì)Web應(yīng)用訪問進(jìn)行各方面優(yōu)化，以提高Web或網(wǎng)絡(luò)協(xié)議應(yīng)用的可用性、性能和安全性，確保業(yè)務(wù)應(yīng)用能夠快速、安全、可靠地交付。同時(shí)，內(nèi)部辦公用戶也會(huì)通過互聯(lián)網(wǎng)對(duì)外進(jìn)行訪問，Internet網(wǎng)絡(luò)區(qū)域的安全風(fēng)險(xiǎn)級(jí)別最高，所以對(duì)于對(duì)外訪問和信息獲取等操作都應(yīng)進(jìn)行實(shí)時(shí)的惡意代碼檢測(cè)和事后的清除修復(fù)工作。

對(duì)于惡意代碼的防范應(yīng)達(dá)到如下要求：

2020-10-11

第 20 頁, 共 52 頁

? 應(yīng)在網(wǎng)絡(luò)邊界及核心業(yè)務(wù)網(wǎng)段處對(duì)惡意代碼進(jìn)行檢測(cè)和清除； ? 應(yīng)維護(hù)惡意代碼庫的升級(jí)和檢測(cè)系統(tǒng)的更新； ? 應(yīng)支持惡意代碼防范的統(tǒng)一管理。

1.3.通信網(wǎng)絡(luò)安全保護(hù)設(shè)計(jì)

根據(jù)《信息安全技術(shù) 信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》GB/T 25070-2010，和市xx網(wǎng)絡(luò)現(xiàn)狀，應(yīng)從鏈路冗余設(shè)計(jì)、通信網(wǎng)絡(luò)安全審計(jì)及網(wǎng)絡(luò)可信接入方面進(jìn)行展開設(shè)計(jì)。

1.3.1 鏈路冗余設(shè)計(jì)（IRF）

擬通過部署1臺(tái)H3C S9800交換機(jī)，改變核心網(wǎng)絡(luò)結(jié)構(gòu)，與原有的H3C S9800做冗余備份，以滿足等級(jí)保護(hù)三級(jí)標(biāo)準(zhǔn)針對(duì)網(wǎng)絡(luò)安全的要求。

部署圖如下：

交換機(jī)部署位置圖 1.3.2 網(wǎng)絡(luò)行為安全審計(jì)（數(shù)據(jù)庫審計(jì)）

為滿足等級(jí)保護(hù)要求中對(duì)三級(jí)系統(tǒng)通信網(wǎng)絡(luò)安全審計(jì)要求，需在網(wǎng)絡(luò)中建立基于網(wǎng)絡(luò)的安全審計(jì)措施，以實(shí)現(xiàn)通信網(wǎng)絡(luò)安全審計(jì)的防護(hù)要求。

在網(wǎng)絡(luò)中應(yīng)部署數(shù)據(jù)庫審計(jì)系統(tǒng)，可以通過網(wǎng)絡(luò)端口鏡像的方式抓取進(jìn)、出區(qū)域邊界數(shù)據(jù)包，基于數(shù)據(jù)包的源地址、目的地址、傳輸層協(xié)議、請(qǐng)求的服務(wù)等應(yīng)用訪問行為，確定行為符合安全策略，并以收集的記錄信息作為追蹤違規(guī)事件、界定安全責(zé)任的主要依據(jù)。部署圖如下：

2020-10-11

第 21 頁, 共 52 頁

綜合審計(jì)部署圖 1.3.3 網(wǎng)絡(luò)實(shí)名準(zhǔn)入系統(tǒng)（EAD）

根據(jù)《信息安全技術(shù) 信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》GB/T 25070-2010，對(duì)于三級(jí)系統(tǒng)需建立網(wǎng)絡(luò)接入認(rèn)證機(jī)制，可采用由密碼技術(shù)支持的可信網(wǎng)絡(luò)連接機(jī)制，通過對(duì)連接到網(wǎng)絡(luò)的設(shè)備進(jìn)行可信檢驗(yàn)，確保接入網(wǎng)絡(luò)的設(shè)備真實(shí)可信，防止設(shè)備的非法接入。

為保證 xx 管理信息系統(tǒng)對(duì)接入用戶實(shí)行全生命周期的數(shù)字身份管理，有效管理用戶的訪問憑證和接入權(quán)限，記錄用戶的網(wǎng)絡(luò)訪問行為，在發(fā)生信息安全事件時(shí)，能將責(zé)任追溯到人，本項(xiàng)目將沿用終端準(zhǔn)入 EAD 系統(tǒng)，從而實(shí)現(xiàn)網(wǎng)絡(luò)可信接入和用戶的身份級(jí)別，需求功能包括：

終端準(zhǔn)入功能

利用終端管理系統(tǒng)與交換機(jī)配合，如采用802.1x共同完成網(wǎng)絡(luò)準(zhǔn)入控制。

限制非法外聯(lián)。

2020-10-11

第 22 頁, 共 52 頁

應(yīng)設(shè)定只有與終端管理系統(tǒng)通訊的網(wǎng)卡才能發(fā)送和接收數(shù)據(jù)除，禁止其他任何網(wǎng)卡發(fā)送和接收數(shù)據(jù)，包括多網(wǎng)卡、撥號(hào)連接，VPN連接等。

終端審計(jì)。

包括“文件操作審計(jì)與控制”，“打印審計(jì)與控制”，“網(wǎng)站訪問審計(jì)與控制”，“異常路由審計(jì)”和“終端Windows登錄審計(jì)”。所審計(jì)的內(nèi)容盡量只與內(nèi)網(wǎng)安全合規(guī)相關(guān)的信息，不對(duì)涉及終端用戶的個(gè)人隱私信息，保證在達(dá)到合規(guī)管理的審計(jì)要求的前提下，保護(hù)終端用戶個(gè)人私隱。

1.3.4 網(wǎng)絡(luò)設(shè)備保護(hù)（堡壘機(jī)）

對(duì)于網(wǎng)絡(luò)中的基礎(chǔ)設(shè)施資產(chǎn)的管理，包括：網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器和數(shù)據(jù)庫等，均需要通過堡壘機(jī)實(shí)現(xiàn)對(duì)重要業(yè)務(wù)資產(chǎn)操作的認(rèn)證、授權(quán)和操作記錄審計(jì)的要求，同時(shí)降低運(yùn)維人員的管理成本，提高運(yùn)維效率，通過運(yùn)維堡壘主機(jī)的方式進(jìn)行集中管理、協(xié)議代理和身份授權(quán)分離的安全操作。

資源集中管理：集中的資源訪問入口、集中帳號(hào)管理、集中授權(quán)管理、集中認(rèn)證管理、集中審計(jì)管理等等。

協(xié)議代理：為了對(duì)字符終端、圖形終端操作行為進(jìn)行審計(jì)和監(jiān)控，堡壘主機(jī)對(duì)各種字符終端和圖形終端使用的協(xié)議進(jìn)行代理，實(shí)現(xiàn)多平臺(tái)的操作支持和審計(jì)，例如Telnet、SSH、FTP、Windows平臺(tái)的RDP遠(yuǎn)程桌面協(xié)議，Linux/Unix平臺(tái)的X Window圖形終端訪問協(xié)議等。

當(dāng)運(yùn)維機(jī)通過堡壘主機(jī)訪問服務(wù)器時(shí)，首先由堡壘主機(jī)模擬成遠(yuǎn)程訪問的服務(wù)端，接受運(yùn)維機(jī)的連接和通訊，并對(duì)其進(jìn)行協(xié)議的還原、解析、記錄，最終獲得運(yùn)維機(jī)的操作行為，之后堡壘主機(jī)模擬運(yùn)維機(jī)與真正的目標(biāo)服務(wù)器建立通訊并轉(zhuǎn)發(fā)運(yùn)維機(jī)發(fā)送

2020-10-11

第 23 頁, 共 52 頁的指令信息，從而實(shí)現(xiàn)對(duì)各種維護(hù)協(xié)議的代理轉(zhuǎn)發(fā)過程。在通訊過程中，堡壘主機(jī)會(huì)記錄各種指令信息，并根據(jù)策略對(duì)通信過程進(jìn)行控制，如發(fā)現(xiàn)違規(guī)操作，則不進(jìn)行代理轉(zhuǎn)發(fā)，并由堡壘主機(jī)反饋禁止執(zhí)行的回顯提示。

身份授權(quán)分離：在堡壘主機(jī)上建立主帳號(hào)體系，用于身份認(rèn)證，原各IT系統(tǒng)上的系統(tǒng)帳號(hào)僅用于系統(tǒng)授權(quán)，這樣可以有效增強(qiáng)身份認(rèn)證和系統(tǒng)授權(quán)的可靠性，從本質(zhì)上解決帳號(hào)管理混亂問題，為認(rèn)證、授權(quán)、審計(jì)提供可靠的保障。

2、安全管理中心設(shè)計(jì)（云智）

建立安全管理中心，形成具備基本功能的安全監(jiān)控信息匯總樞紐和信息安全事件協(xié)調(diào)處理中心，提高對(duì)管理中心內(nèi)部網(wǎng)絡(luò)和重要業(yè)務(wù)系統(tǒng)信息安全事件的預(yù)警、響應(yīng)和安全管理能力。具體來說應(yīng)該實(shí)現(xiàn)以下功能：

1.安全信息采集 Xx系統(tǒng)所有的網(wǎng)絡(luò)設(shè)備（交換機(jī)、路由器等）、安全設(shè)備（防火墻、入侵檢測(cè)、統(tǒng)一數(shù)字身份管理系統(tǒng)、安全審計(jì)設(shè)備等）和重要業(yè)務(wù)系統(tǒng)（操作系統(tǒng)、數(shù)據(jù)庫、中間件等）的安全事件信息。

2.安全信息分析 對(duì)匯集的安全事件信息進(jìn)行綜合的關(guān)聯(lián)分析，從海量的信息中挖掘、發(fā)現(xiàn)可能的安全事件并且產(chǎn)生安全預(yù)警。

3.信息安全管理 實(shí)現(xiàn)統(tǒng)一的安全事件、安全策略、安全風(fēng)險(xiǎn)和信息安全支撐系統(tǒng)的管理，實(shí)現(xiàn)安全運(yùn)維流程的自動(dòng)化管理，滿足管理中心對(duì)安全事件及時(shí)有效響應(yīng)處置的需求。

4.可視化展示

2020-10-11

第 24 頁, 共 52 頁

實(shí)現(xiàn)整體安全態(tài)勢(shì)的多維度、多視角的展示，實(shí)現(xiàn)系統(tǒng)運(yùn)行和安全監(jiān)測(cè)的全景化和在線化。

2.1.建設(shè)目標(biāo)

安全管理中心的建設(shè)目標(biāo)是為了支撐安全運(yùn)行體系的建設(shè)和流轉(zhuǎn)，從而提升安全防護(hù)能力、隱患發(fā)現(xiàn)能力、監(jiān)控預(yù)警能力以及響應(yīng)恢復(fù)能力，以保障市xx信息系統(tǒng)的安全可靠，實(shí)現(xiàn)安全運(yùn)行工作的“可感知”、“可管理”、“可測(cè)量”、“可展示”。

“可感知”目標(biāo)：安全管理中心具備對(duì)各類安全資產(chǎn)的脆弱性和海量安全事件的采集、分析、處理報(bào)告能力，可以按需展現(xiàn)全網(wǎng)安全資產(chǎn)的脆弱性分布狀況和高危風(fēng)險(xiǎn)事件分布狀況，可集中管理各類安全資產(chǎn)的配置基線，能夠智能化分析安全事件對(duì)業(yè)務(wù)系統(tǒng)可能產(chǎn)生的實(shí)際影響和危害，“實(shí)現(xiàn)被動(dòng)安全智能化”目標(biāo)。

“可管理”目標(biāo)：初步實(shí)現(xiàn)集中化的安全風(fēng)險(xiǎn)、安全事件、安全預(yù)警和安全策略、安全合規(guī)性和績(jī)效考核管理，實(shí)現(xiàn)安全運(yùn)維流程的自動(dòng)化管理，滿足市xx對(duì)安全事件及時(shí)有效響應(yīng)處置的需求。

“可測(cè)量”目標(biāo)：安全管理中心具備針對(duì)各類信息安全管理標(biāo)準(zhǔn)或要求的符合性測(cè)量檢查能力，提供針對(duì)諸如信息安全管理體系標(biāo)準(zhǔn)要求、等級(jí)化保護(hù)要求、信息安全專項(xiàng)工作要求的符合性檢查功能，支持通過技術(shù)手段實(shí)現(xiàn)符合性檢查工作的自動(dòng)調(diào)度、自動(dòng)執(zhí)行、自動(dòng)核查、自動(dòng)報(bào)告功能。

“可展示”目標(biāo)：實(shí)現(xiàn)整體安全態(tài)勢(shì)的多維度、多視角的展示，實(shí)現(xiàn)系統(tǒng)運(yùn)行和安全監(jiān)測(cè)的全景化和在線化。針對(duì)市xx決策層、管理層和執(zhí)行層等不同角色提供不同展現(xiàn)視圖，可以向PC、移動(dòng)終端上推送當(dāng)前各業(yè)務(wù)系統(tǒng)、各地區(qū)、各單位風(fēng)險(xiǎn)管理狀態(tài)和趨勢(shì)。

2020-10-11

第 25 頁, 共 52 頁

2.2.總體結(jié)構(gòu)

綜合管理平臺(tái)門戶作為整個(gè)安全管理中心統(tǒng)一人機(jī)界面接口，采用Web應(yīng)用架構(gòu)，支持各功能模塊的信息展示和系統(tǒng)配置管理。針對(duì)不同用戶角色的特點(diǎn)，提供不同視角（決策層、管理層、執(zhí)行層）的展現(xiàn)內(nèi)容。

安全管理中心規(guī)劃的應(yīng)用服務(wù)層提供六大應(yīng)用服務(wù)，分別是：脆弱性和安全風(fēng)險(xiǎn)管理、安全事件管理、安全預(yù)警管理、安全策略管理、安全符合性管理和安全績(jī)效考核，提供的服務(wù)通過門戶層進(jìn)行展現(xiàn)。

數(shù)據(jù)感知層主要規(guī)劃兩大功能，分別是數(shù)據(jù)采集和數(shù)據(jù)分析處理。

數(shù)據(jù)采集主要負(fù)責(zé)與安全支撐系統(tǒng)數(shù)據(jù)交互以及搜集其他設(shè)備的數(shù)據(jù)。其采用的技術(shù)方式包括：Web Serivce、SYSLOG和SNMP trap等接口和協(xié)議。

數(shù)據(jù)處理主要負(fù)責(zé)對(duì)采集到的原始數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化、歸并及關(guān)聯(lián)分析等詳細(xì)的分析處理?？梢愿鶕?jù)資產(chǎn)信息、脆弱性信息校正安全信息的真實(shí)性，同時(shí)也可以根據(jù)攻擊過程描述的縱向關(guān)聯(lián)策略確認(rèn)一系列安全信息發(fā)生的后果，提取出需要處理的安全事件。

外部接口層承擔(dān)安全運(yùn)營(yíng)中心與XX系統(tǒng)之間的數(shù)據(jù)交互，比如從資產(chǎn)系統(tǒng)中抽取資產(chǎn)相關(guān)的信息。

安全管理中心安全支撐層是由6個(gè)大系統(tǒng)構(gòu)成，主要為平臺(tái)提供數(shù)據(jù)及部分功能實(shí)現(xiàn)。支撐系統(tǒng)具體如下：

? 業(yè)務(wù)系統(tǒng) ? 安全設(shè)備 ? 操作系統(tǒng)

2020-10-11

第 26 頁, 共 52 頁

? 中間件 ? 數(shù)據(jù)庫 ? 網(wǎng)絡(luò)設(shè)備

平臺(tái)架構(gòu)采用組件化的分層設(shè)計(jì)理念，融和工作流組件、業(yè)務(wù)規(guī)則引擎、通用報(bào)表組件、數(shù)據(jù)查詢組件、GIS組件等對(duì)信息安全運(yùn)行管理業(yè)務(wù)加以支撐和服務(wù)；平臺(tái)架構(gòu)滿足五年以上的技術(shù)和業(yè)務(wù)發(fā)展等適應(yīng)性要求。

2.3.功能模塊

2.3.1 數(shù)據(jù) 采集

數(shù)據(jù)采集是運(yùn)行監(jiān)控功能的核心模塊，接收來自安全事件監(jiān)控中心的事件，支持資產(chǎn)信息、配置信息、IT事件日志以及安全支撐系統(tǒng)的數(shù)據(jù)采集，實(shí)現(xiàn)數(shù)據(jù)識(shí)別、數(shù)據(jù)解析、數(shù)據(jù)聚并和數(shù)據(jù)保存等處理。

2.3.2 日志 分析

針對(duì)業(yè)務(wù)系統(tǒng)所涉及到的操作系統(tǒng)和網(wǎng)絡(luò)設(shè)備運(yùn)行日志進(jìn)行采集和安全分析。

2.3.3 運(yùn)行狀態(tài)監(jiān)控

運(yùn)行狀態(tài)監(jiān)控主要包含主機(jī)、網(wǎng)絡(luò)、安全設(shè)備、數(shù)據(jù)庫、中間件及關(guān)鍵應(yīng)用系統(tǒng)的運(yùn)行監(jiān)控。同時(shí)，以關(guān)鍵業(yè)務(wù)為中心，通過圖形化的業(yè)務(wù)建模工具，根據(jù)實(shí)際環(huán)境，定義個(gè)性化的業(yè)務(wù)運(yùn)行評(píng)估模型，從業(yè)務(wù)角度對(duì)被監(jiān)測(cè)資源進(jìn)行關(guān)聯(lián)、重組，建立真實(shí)表達(dá)業(yè)務(wù)內(nèi)部關(guān)系的影響模型圖，實(shí)現(xiàn)快速搭建業(yè)務(wù)卡片視圖，準(zhǔn)確判斷業(yè)務(wù)健康度、繁忙度、業(yè)務(wù)層級(jí)視圖和業(yè)務(wù)告警等內(nèi)容。

2020-10-11

第 27 頁, 共 52 頁

1.主機(jī)運(yùn)行狀態(tài)監(jiān)控

系統(tǒng)能夠采集現(xiàn)有的主流操作系統(tǒng)監(jiān)控運(yùn)行性能。通過對(duì)主機(jī)監(jiān)控，實(shí)現(xiàn)對(duì)主機(jī)的故障告警，同時(shí)監(jiān)控主機(jī)的健康狀態(tài)與運(yùn)行性能指標(biāo)。覆蓋主機(jī)操作系統(tǒng)類型包括：Windows服務(wù)器系統(tǒng)、Linux服務(wù)器系統(tǒng)、IBM AIX服務(wù)器系統(tǒng)、HP UNIX服務(wù)器系統(tǒng)等。

2.網(wǎng)絡(luò)和安全設(shè)備運(yùn)行狀態(tài)監(jiān)控

系統(tǒng)能夠采集現(xiàn)有的網(wǎng)絡(luò)設(shè)備和安全設(shè)備的運(yùn)行狀態(tài)，通過對(duì)設(shè)備健康狀態(tài)與運(yùn)行性能監(jiān)控，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)延時(shí)、異常事件、連接失敗等網(wǎng)絡(luò)指標(biāo)進(jìn)行查看，結(jié)合安全設(shè)備的故障告警，及時(shí)發(fā)現(xiàn)性能隱患，能夠監(jiān)控的設(shè)備類型包括交換機(jī)、路由器、入侵檢測(cè)等。

3.數(shù)據(jù)庫運(yùn)行狀態(tài)監(jiān)控

系統(tǒng)能夠采集數(shù)據(jù)庫監(jiān)控運(yùn)行性能，收集數(shù)據(jù)庫的響應(yīng)時(shí)間、當(dāng)前總用戶數(shù)、當(dāng)前活躍用戶數(shù)等各性能指標(biāo)的變化趨勢(shì)，進(jìn)行分析，為優(yōu)化資源配置提供數(shù)據(jù)支撐。要求支持的數(shù)據(jù)庫系統(tǒng)類型包括：

Oracle、SQL Server、MYSQL等。

4.中間件運(yùn)行狀態(tài)監(jiān)控

系統(tǒng)能夠采集中間件監(jiān)控運(yùn)行性能，針對(duì)中間件的可用性、響應(yīng)延遲等狀態(tài)信息進(jìn)行分析，監(jiān)控各項(xiàng)性能指標(biāo)變化分析，為優(yōu)化資源配置提供數(shù)據(jù)支撐。能夠支持中間件系統(tǒng)類型，包括：IBM Websphere、Weblogic、Apache Tomcat、Microsoft IIS等。

5.應(yīng)用系統(tǒng)運(yùn)行狀態(tài)監(jiān)控

通過和應(yīng)用系統(tǒng)的對(duì)接接口，實(shí)現(xiàn)應(yīng)用系統(tǒng)運(yùn)行狀態(tài)的監(jiān)控和展示。

2020-10-11

第 28 頁, 共 52 頁

2.3.4 預(yù)警管理

預(yù)警管理包括但不限于IT態(tài)勢(shì)分析和展現(xiàn)、預(yù)警通告等功能。

? 態(tài)勢(shì)分析：實(shí)現(xiàn)對(duì)采集信息及分析結(jié)果進(jìn)行匯集和抽??；對(duì)IT事件及風(fēng)險(xiǎn)等事態(tài)發(fā)展和后果進(jìn)行模擬分析，能夠多維度綜合展示。

? 預(yù)警通告：能夠把IT態(tài)勢(shì)分析的處理結(jié)果進(jìn)行預(yù)警通告并展示。

? 預(yù)警管理系統(tǒng)收集和分析歷史數(shù)據(jù)，全面展現(xiàn)一段時(shí)期內(nèi)IT態(tài)勢(shì)和風(fēng)險(xiǎn)管理的情況。

? 為信息安全風(fēng)險(xiǎn)管理的規(guī)劃提供數(shù)據(jù)支撐。

預(yù)警模塊中心從系統(tǒng)管理模塊得到資產(chǎn)的基本信息，從脆弱性管理模塊獲取資產(chǎn)的脆弱性信息，從事件監(jiān)控模塊獲取發(fā)生的事件。得到上述這些原始信息后，本模塊進(jìn)行綜合風(fēng)險(xiǎn)分析。綜合風(fēng)險(xiǎn)分析是分析整個(gè)企業(yè)面臨的威脅和確保這些威脅所帶來的挑戰(zhàn)處于可以接受的范圍內(nèi)的連續(xù)流程。能夠根據(jù)各監(jiān)控點(diǎn)的資產(chǎn)信息、脆弱性統(tǒng)計(jì)信息以及威脅分布信息，為每一個(gè)資產(chǎn)定量地計(jì)算出相應(yīng)的風(fēng)險(xiǎn)等級(jí)，同時(shí)根據(jù)業(yè)務(wù)邏輯，分析此風(fēng)險(xiǎn)對(duì)其他系統(tǒng)的影響，計(jì)算出業(yè)務(wù)系統(tǒng)或區(qū)域的整體風(fēng)險(xiǎn)等級(jí)。

2.3.5 策略管理

網(wǎng)絡(luò)的整體性要求需要有統(tǒng)一策略和基于工作流程的管理。通過為全網(wǎng)管理人員提供統(tǒng)一的策略，指導(dǎo)各級(jí)管理機(jī)構(gòu)因地制宜的做好策略的部署工作，有利于在全網(wǎng)形成防范的合力，提高全網(wǎng)的整體防御能力，同時(shí)通過策略和配置管理平臺(tái)的建設(shè)可以進(jìn)一步完善整個(gè)IP網(wǎng)絡(luò)的安全策略體系建設(shè)，為指導(dǎo)各項(xiàng)安全工作的開展提供行動(dòng)指南，有效解決目前因缺乏口令、認(rèn)證、訪問控制等方面策略而帶來到安全風(fēng)險(xiǎn)問題。

策略管理系統(tǒng)包括但不限于事件關(guān)聯(lián)分析規(guī)則管理、資產(chǎn)安全配置策略符合性檢

2020-10-11

第 29 頁, 共 52 頁

查和安全策略庫管理功能。

? 事件關(guān)聯(lián)分析規(guī)則管理：能實(shí)現(xiàn)安全事件關(guān)聯(lián)分析規(guī)則的自定義、導(dǎo)入、更新、展示、查詢、修改和歸檔等功能。

? 資產(chǎn)安全配置策略符合性檢查：能實(shí)現(xiàn)對(duì)資產(chǎn)安全配置策略合規(guī)性比對(duì)和檢查；提供符合性檢查結(jié)果的展示、查詢、歸檔和策略導(dǎo)出功能；提供修正建議和策略下發(fā)功能。

? 安全策...