第一篇：某等級(jí)保護(hù)建設(shè)整改解決方案（范文）

X X XX 高校 信息系統(tǒng) 等級(jí)保護(hù)

整改方案((模板）

I

目錄

一、背景、現(xiàn)狀和必要性 ...................................................................................................................................................-3-（一）背景.......................................................................................................................................................................-

-（二）現(xiàn)狀.......................................................................................................................................................................-

-（三）項(xiàng)目必要性...........................................................................................................................................................-

-二、差距分析.......................................................................................................................................................................-6-（一）技術(shù)差距分析.......................................................................................................................................................-

-（二）管理差距分析.......................................................................................................................................................-

-三、建設(shè)目標(biāo)...........................................................................................................................................................................9（一）業(yè)務(wù)目標(biāo)...................................................................................................................................................................9（二）技術(shù)目標(biāo)...................................................................................................................................................................9 四、建設(shè)方案.........................................................................................................................................................................10（一）建設(shè)原則.................................................................................................................................................................10（二）設(shè)計(jì)依據(jù).................................................................................................................................................................11（三）總體建設(shè)內(nèi)容.........................................................................................................................................................12（四）總體框架.................................................................................................................................................................13（五）技術(shù)方案.................................................................................................................................................................15 1、安全技術(shù)體系設(shè)計(jì)

.............................................................................................................................................15 2、安全管理中心設(shè)計(jì)（云智）

.............................................................................................................................23 3、安全制度建設(shè)

.....................................................................................................................................................30（六）設(shè)備部署說明及關(guān)鍵技術(shù)指標(biāo).............................................................................................................................45 1、防火墻

.................................................................................................................................................................46 a)

部署說明

.............................................................................................................................................................46 b)

關(guān)鍵指標(biāo)

.............................................................................................................................................................46 2、堡壘機(jī)

.................................................................................................................................................................46 a)

部署說明

.............................................................................................................................................................46 b)

關(guān)鍵指標(biāo)

.............................................................................................................................................................47 3、入侵防御系統(tǒng)(IPS)

...........................................................................................................................................47 a)

部署說明

.............................................................................................................................................................47 b)

關(guān)鍵指標(biāo)

.............................................................................................................................................................48 4、非法接入/外聯(lián)監(jiān)測系統(tǒng)

...................................................................................................................................48 a)

部署說明

.............................................................................................................................................................48 b)

關(guān)鍵指標(biāo)

.............................................................................................................................................................48 5、漏洞掃描系統(tǒng)

.....................................................................................................................................................49 a)

部署說明

.............................................................................................................................................................49 b)

關(guān)鍵指標(biāo)

.............................................................................................................................................................49 6、數(shù)據(jù)庫審計(jì)系統(tǒng)

.................................................................................................................................................49 a)

部署說明

.............................................................................................................................................................49 b)

關(guān)鍵指標(biāo)

.............................................................................................................................................................50 7、Web 應(yīng)用防火墻

..................................................................................................................................................50

II a)

部署說明

.............................................................................................................................................................50 b)

關(guān)鍵指標(biāo)

.............................................................................................................................................................51 8、安全管理平臺(tái)

.....................................................................................................................................................51 a)

部署說明

.............................................................................................................................................................51 b)

關(guān)鍵指標(biāo)

................................................................................................................................錯(cuò)誤!未定義書簽。

一、背景、現(xiàn)狀和必要性

（一）背景 XXX經(jīng)過多年的信息化推進(jìn)建設(shè)，信息化應(yīng)用水平正不斷提高，信息化建設(shè)成效顯著。為促進(jìn)XXX信息安全發(fā)展，響應(yīng)國家和上級(jí)要求，進(jìn)一步落實(shí)等級(jí)保護(hù)，夯實(shí)等級(jí)保護(hù)作為國家信息安全國策的成果，XXX計(jì)劃參照《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)劃分準(zhǔn)則》（GB/T17859-1999）

和《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》（GB/T 22240-2008）要求將XXX系統(tǒng)和XXX系統(tǒng)擬定為三級(jí)，按照《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（GB/T 22239-2008）完成兩個(gè)系統(tǒng)三級(jí)等保建設(shè)。同時(shí)為提高全網(wǎng)安全防護(hù)能力，XXX計(jì)劃整網(wǎng)參照等保標(biāo)準(zhǔn)建設(shè)。

隨著2017年《網(wǎng)絡(luò)安全法》正式實(shí)施，更加需要高校加強(qiáng)自身系統(tǒng)安全建設(shè)，《網(wǎng)絡(luò)安全法》其中 系統(tǒng)的基本情況，按照物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)、管理六個(gè)層面進(jìn)行，可根據(jù)實(shí)際情況進(jìn)行修改；同時(shí)根據(jù)安全域劃分的結(jié)果，在分析過程中將不同的安全域所面臨的風(fēng)險(xiǎn)與需求予以對(duì)應(yīng)說明。1、網(wǎng)絡(luò) 現(xiàn)狀

核心交換機(jī)分別通過防病毒網(wǎng)關(guān)和防火墻連接通過xx網(wǎng)絡(luò)設(shè)備XX路由器接入政務(wù)外網(wǎng)，通過全員防火墻連接xx管理信息系統(tǒng)2臺(tái)XX交換機(jī)，通過二級(jí)/安管防火墻連接安全管理域和二級(jí)系統(tǒng)域。

統(tǒng)一認(rèn)證服務(wù)器、數(shù)據(jù)庫服務(wù)器和負(fù)載均衡通過接入交換機(jī)接入到核心交換機(jī)ZXX。

XXX通過接入交換機(jī)與中環(huán)機(jī)房的兩臺(tái)XX互聯(lián)，訪問xx個(gè)案管理信息系統(tǒng)。網(wǎng)絡(luò)現(xiàn)狀拓?fù)鋱D如下所示：

現(xiàn)網(wǎng)總體拓?fù)鋱D

XX高校網(wǎng)絡(luò)拓?fù)鋱D 2 2、安全防護(hù)措施現(xiàn)狀

目前xx校園網(wǎng)采用的安全措施有：

? 網(wǎng)絡(luò)設(shè)備安全防護(hù)方面：

網(wǎng)絡(luò)設(shè)備的安全防護(hù)是依托機(jī)房現(xiàn)有的安全設(shè)備進(jìn)行安全防護(hù)，定期的檢查網(wǎng)絡(luò)設(shè)備和安全設(shè)備的策略，根據(jù)業(yè)務(wù)系統(tǒng)的需求及時(shí)的更新各個(gè)策略，對(duì)網(wǎng)絡(luò)設(shè)備和安全設(shè)備的訪問使用了復(fù)雜性的加長口令進(jìn)行安全防護(hù)。

? 信息安全設(shè)備部署及使用方面：

中環(huán)機(jī)房部署了專門的防火墻設(shè)備和防病毒網(wǎng)關(guān)對(duì)邊界網(wǎng)絡(luò)進(jìn)行安全防護(hù)。

? 服務(wù)器的安全防護(hù)方面：

服務(wù)器的安全防護(hù)主要是依靠機(jī)房現(xiàn)有的網(wǎng)絡(luò)安全設(shè)備對(duì)服務(wù)器進(jìn)行安全防護(hù)，同時(shí)對(duì)服務(wù)器統(tǒng)一安裝了防病毒軟件對(duì)惡意代碼進(jìn)行查殺。

? 在應(yīng)用信任措施方面：

xx管理信息系統(tǒng)通過用戶名、口令進(jìn)行身份鑒別方式，來保證業(yè)務(wù)系統(tǒng)信息的機(jī)密性。3、系統(tǒng)軟硬件現(xiàn)狀

xx個(gè)案管理信息系統(tǒng)所使用的軟硬件設(shè)備資源情況如下：

序號(hào) 類型 內(nèi)容 制造/開發(fā)商 單位(臺(tái)套)數(shù)量 一 基礎(chǔ)硬件

（三）項(xiàng)目必要性 為了保障xx管理信息系統(tǒng)的安全持續(xù)運(yùn)行，落實(shí)國家信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)GB/T25070-2010和GB/T 22239-2008的要求，降低系統(tǒng)面臨的安全風(fēng)險(xiǎn)，有必要對(duì)xx管

理信息系統(tǒng)進(jìn)行安全保障體系設(shè)計(jì)。

(1)政策法規(guī)要求

XXX公安局、XXX經(jīng)濟(jì)和信息化委員會(huì)、XXX國家保密局、XXX密碼管理局《關(guān)于印發(fā)XXX開展信息安全等級(jí)保護(hù)安全建設(shè)整改工作實(shí)施方案的通知》（京公網(wǎng)安字[2010]1179號(hào)）文件的要求全市各單位加強(qiáng)信息安全等級(jí)保護(hù)建設(shè)、整改工作。每年，XXX網(wǎng)絡(luò)信息安全協(xié)調(diào)小組發(fā)文要求全市各單位開展信息安全自查工作，并對(duì)一些單位進(jìn)行抽查工作，要求各單位從管理和技術(shù)兩個(gè)方面加強(qiáng)信息安全建設(shè)。

(2)xx 管理 信息系統(tǒng)安全保障的需要

xx管理信息系統(tǒng)的數(shù)據(jù)包括xx的個(gè)案信息數(shù)據(jù)庫。一旦這些信息泄漏，將會(huì)對(duì)市xx造成重大影響，因此，迫切需要加強(qiáng)xx管理信息系統(tǒng)的信息安全保障，防范數(shù)據(jù)信息泄漏風(fēng)險(xiǎn)。

（四）等級(jí)保護(hù)工作流程：

系統(tǒng)定級(jí)定級(jí)備案等級(jí)測評(píng) 建設(shè)整改安全檢查 圖 1 等級(jí)保護(hù)工作流程

二、差距分析

（一）技術(shù)差距分析 通過對(duì)xx管理信息系統(tǒng)進(jìn)行等級(jí)保護(hù)安全整改建設(shè)，達(dá)到等級(jí)保護(hù)三級(jí)安全標(biāo)準(zhǔn)，并最終通過等級(jí)保護(hù)三級(jí)測評(píng)。

計(jì)算環(huán)境的安全主要是物理、主機(jī)以及應(yīng)用層面的安全風(fēng)險(xiǎn)與需求分析，包括：物理機(jī)房安全、身份鑒別、訪問控制、系統(tǒng)審計(jì)、入侵防范、惡意代碼防范、軟件容錯(cuò)、數(shù)據(jù)完整性與保密性、備份與恢復(fù)、資源合理控制、剩余信息保護(hù)、抗抵賴等方面。

根據(jù)XXX自評(píng)估結(jié)果，現(xiàn)網(wǎng)如要達(dá)到等級(jí)保護(hù)三級(jí)關(guān)于安全計(jì)算環(huán)境的要求，還需要改進(jìn)以下幾點(diǎn)：

物理機(jī)房安全：根據(jù)物理機(jī)房情況描述，看看是否需要整改。

數(shù)據(jù)庫審計(jì)：現(xiàn)網(wǎng)XXX系統(tǒng)和XXX系統(tǒng)都缺少針對(duì)數(shù)據(jù)的審計(jì)設(shè)備，不能很好的滿足主機(jī)安全審計(jì)的要求，需要部署專業(yè)的數(shù)據(jù)庫審計(jì)設(shè)備。

運(yùn)維堡壘機(jī)：現(xiàn)網(wǎng)XXX系統(tǒng)和XXX系統(tǒng)都未實(shí)現(xiàn)管理員對(duì)網(wǎng)絡(luò)設(shè)備和服務(wù)器管理時(shí)的雙因素認(rèn)證，計(jì)劃通過部署堡壘機(jī)來實(shí)現(xiàn)。

主機(jī)審計(jì)：現(xiàn)網(wǎng)XXX系統(tǒng)和XXX系統(tǒng)主機(jī)自身安全策略配置不能符合要求，計(jì)劃通過專業(yè)安全服務(wù)實(shí)現(xiàn)服務(wù)器整改加固。

主機(jī)病毒防護(hù)：現(xiàn)網(wǎng)XXX系統(tǒng)和XXX系統(tǒng)缺少主機(jī)防病毒的相關(guān)安全策略，需要配置主機(jī)防病毒系統(tǒng)。

備份與恢復(fù)：現(xiàn)網(wǎng)沒有完善的數(shù)據(jù)備份與恢復(fù)方案，需要制定相關(guān)策略。同時(shí)現(xiàn)網(wǎng)沒有實(shí)現(xiàn)對(duì)關(guān)鍵網(wǎng)絡(luò)設(shè)備的冗余，本期計(jì)劃部署雙鏈路確保設(shè)備冗余。

另外還需要對(duì)用戶名/口令的復(fù)雜度，訪問控制策略，操作系統(tǒng)、WEB和數(shù)據(jù)庫存在的各種安全漏洞，主機(jī)登陸條件限制、超時(shí)鎖定、用戶可用資源閾值設(shè)置等資源控制策略的合理性和存在的問題進(jìn)行一一排查解決。

（二）管理差距分析 從等保思想出發(fā)，技術(shù)雖然重要，但人才是安全等級(jí)保護(hù)的重點(diǎn)，因此除了技術(shù)措施，XXX還需要運(yùn)用現(xiàn)代安全管理原理、方法和手段，從技術(shù)上、組織上和管理上采取有力的措施，解決和消除各種不安全因素，防止事故的發(fā)生。需要優(yōu)化安全管理組織，完善安全管理制度，制定信息系統(tǒng)建設(shè)和安全運(yùn)維管理的相關(guān)管理要求，規(guī)范人員安全管理。

“三分技術(shù)、七分管理”更加突出的是管理層面在安全體系中的重要性。除了技術(shù)措施外，安全管理是保障安全技術(shù)手段發(fā)揮具體作用的最有效手段，安全管理中心是實(shí)現(xiàn)安全管理的有力抓手。

根據(jù)XXX自評(píng)估結(jié)果，現(xiàn)網(wǎng)如要達(dá)到等級(jí)保護(hù)三級(jí)關(guān)于安全管理中心的要求，還需要改進(jìn)以下幾點(diǎn)：

現(xiàn)網(wǎng)沒有一個(gè)能對(duì)整網(wǎng)安全事件、安全威脅進(jìn)行分析響應(yīng)處理的平臺(tái)，本期需要新增統(tǒng)一安全監(jiān)控管理平臺(tái)對(duì)信息系統(tǒng)涉及的設(shè)備使用情況和安全事件、系統(tǒng)健康程度等進(jìn)行識(shí)別，要能進(jìn)行統(tǒng)一的監(jiān)控和展現(xiàn)。通過對(duì)安全事件的告警，可以發(fā)現(xiàn)潛在的攻擊征兆和安全趨勢，確保任何安全事件、事故得到及時(shí)的響應(yīng)和處理。

2020-10-11

第 9 頁, 共 52 頁

三、建設(shè)目標(biāo)

（一）業(yè)務(wù)目標(biāo) 本項(xiàng)目的業(yè)務(wù)目標(biāo)是實(shí)現(xiàn)xx管理信息系統(tǒng)的安全、持續(xù)、穩(wěn)定運(yùn)行，具體為：通過安全保障措施的建設(shè)，防范業(yè)務(wù)數(shù)據(jù)信息泄漏，保障xx管理信息系統(tǒng)安全，以防數(shù)據(jù)泄漏事件發(fā)生。

（二）技術(shù)目標(biāo) 依據(jù)國家信息安全等級(jí)保護(hù)三級(jí)標(biāo)準(zhǔn)，從網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全建設(shè)等方面進(jìn)行方案的設(shè)計(jì)，建成能夠有效支撐xx管理信息系統(tǒng)高效運(yùn)行基礎(chǔ)環(huán)境。

(1)網(wǎng)絡(luò)安全

? 根據(jù)信息系統(tǒng)等級(jí)保護(hù)標(biāo)準(zhǔn)中有關(guān)結(jié)構(gòu)安全的要求，關(guān)鍵核心設(shè)備、防火墻、防病毒網(wǎng)關(guān)等設(shè)備采用冗余方式部署； ? 對(duì)用戶終端接入網(wǎng)絡(luò)的行為進(jìn)行控制，利用網(wǎng)絡(luò)實(shí)名接入網(wǎng)關(guān)和實(shí)名接入控制系統(tǒng)，實(shí)現(xiàn)對(duì)用戶接入網(wǎng)絡(luò)的認(rèn)證和能夠訪問的資源的管理； ? 針對(duì)內(nèi)部終端用戶進(jìn)行管理，內(nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對(duì)其進(jìn)行有效阻斷。

(2)主機(jī)安全

? 通過對(duì)操作系統(tǒng)、數(shù)據(jù)庫和中間件等進(jìn)行安全加固，消除存在的漏洞，降低被威脅利用的可能。

(3)應(yīng)用安全

? 通過對(duì)應(yīng)用系統(tǒng)進(jìn)行安全加固消除風(fēng)險(xiǎn)點(diǎn)，降低被威脅利用的可能；

2020-10-11

第 10 頁, 共 52 頁

? 加強(qiáng)xx管理信息系統(tǒng)用戶身份認(rèn)證強(qiáng)度，為系統(tǒng)集成數(shù)字證書登錄，實(shí)現(xiàn)對(duì)系統(tǒng)用戶基于USBKey和口令的雙因子身份認(rèn)證。

(4)安全等級(jí)測評(píng)

? 開展信息系統(tǒng)安全等級(jí)測評(píng)，驗(yàn)證信息系統(tǒng)建設(shè)完成后是否滿足國家信息安全等級(jí)保護(hù)要求。

四、建設(shè)方案

（一）建設(shè)原則 結(jié)合XXX的實(shí)際情況，按照《信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》和《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》等相關(guān)標(biāo)準(zhǔn)要求，以“一個(gè)中心、三重防護(hù)”為核心指導(dǎo)思想，從安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)以及安全管理中心四個(gè)方面構(gòu)建安全建設(shè)方案，以滿足等級(jí)保護(hù)三級(jí)系統(tǒng)的相關(guān)要求。

本方案充分結(jié)合xx管理信息系統(tǒng)業(yè)務(wù)應(yīng)用流程、網(wǎng)絡(luò)現(xiàn)狀、等級(jí)保護(hù)要求及實(shí)際的安全需求進(jìn)行設(shè)計(jì)，在設(shè)計(jì)過程中將采取如下原則：

? 綜合防范、整體安全 堅(jiān)持管理與技術(shù)并重，從人員、管理、安全技術(shù)手段等多方面著手，建立綜合防范機(jī)制，實(shí)現(xiàn)整體安全； ? 分域保護(hù)、務(wù)求實(shí)效 將信息資源劃分為計(jì)算環(huán)境、區(qū)域邊界、通信網(wǎng)絡(luò)三個(gè)方面進(jìn)行安全防護(hù)設(shè)計(jì)，以體現(xiàn)層層遞進(jìn)，逐級(jí)深入的安全防護(hù)理念； ? 同步建設(shè) 安全保障體系規(guī)劃與系統(tǒng)建設(shè)同步，協(xié)調(diào)發(fā)展，將安全保障體系建設(shè)融入到信息

2020-10-11

第 11 頁, 共 52 頁

化建設(shè)的規(guī)劃、建設(shè)、運(yùn)行和維護(hù)的全過程中； ? 縱深防御，集中管理 可構(gòu)建一個(gè)從外到內(nèi)、功能互補(bǔ)的縱深防御體系，對(duì)資產(chǎn)、安全事件、風(fēng)險(xiǎn)、訪問行為等進(jìn)行集中統(tǒng)一分析與監(jiān)管； ? 等級(jí)保護(hù)策略 安全保障體系設(shè)計(jì)以實(shí)現(xiàn)等級(jí)保護(hù)為基本出發(fā)點(diǎn)進(jìn)行安全防護(hù)體系建設(shè)，并遵照國家《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》進(jìn)行安全防護(hù)措施設(shè)計(jì)。

（二）設(shè)計(jì)依據(jù) (1)國家等級(jí)保護(hù)政策文件

? 《國務(wù)院關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見》（國發(fā)〔2012〕23號(hào)）

? 關(guān)于開展信息安全等級(jí)保護(hù)安全建設(shè)整改工作的指導(dǎo)意見(公信安[2009]1429號(hào))? 關(guān)于加強(qiáng)國家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估工作的通知（發(fā)改高技[2008]2071號(hào)）

? 公安機(jī)關(guān)信息安全等級(jí)保護(hù)檢查工作規(guī)范（公信安[2008]736號(hào)）

? 關(guān)于開展全國重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知（公信安[2007]861號(hào)）

? 信息安全等級(jí)保護(hù)備案實(shí)施細(xì)則（公信安[2007]1360號(hào)）

(2)國家信息安全標(biāo)準(zhǔn)

? GB/T 25058-2010《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》 ? GB/T 25070-2010《信息安全技術(shù) 信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》 ? GB/T 22239-2008《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》

2020-10-11

第 12 頁, 共 52 頁

? GB/T 22240-2008《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》 ? GB/T21082-2007信息安全技術(shù) 服務(wù)器安全技術(shù)要求 ? GB/T 20984-2007《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》 ? GB/T20269-2006信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)管理要求 ? GB/T20271-2006信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求 ? GB/T20270-2006信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求 ? GB/T20272-2006信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求 ? GB/T20273-2006信息安全技術(shù) 數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求 ? GB/T20282-2006信息安全技術(shù) 信息系統(tǒng)安全工程管理要求（三）總體建設(shè)內(nèi)容 根據(jù)xx管理信息系統(tǒng)業(yè)務(wù)安全保障需求，建立有針對(duì)性地安全策略，合理規(guī)劃網(wǎng)絡(luò)安全架構(gòu)，依據(jù)差距分析結(jié)果，進(jìn)行安全整改，實(shí)現(xiàn)關(guān)鍵核心設(shè)備、防火墻、防病毒網(wǎng)關(guān)等設(shè)備采用冗余方式部署；實(shí)現(xiàn)對(duì)用戶接入網(wǎng)絡(luò)的認(rèn)證和能夠訪問的資源的管理；實(shí)現(xiàn)內(nèi)部終端用戶進(jìn)行管理；實(shí)現(xiàn)對(duì)xx管理信息系統(tǒng)用戶雙因子強(qiáng)身份認(rèn)證；建立安全管理中心，實(shí)現(xiàn)對(duì)xx管理信息系統(tǒng)安全管理。

2020-10-11

第 13 頁, 共 52 頁

（四）總體框架 為了使xx管理信息系統(tǒng)具有較高的安全防護(hù)能力，滿足等級(jí)保護(hù)要求，本次將按照下圖所示的總體框架進(jìn)行系統(tǒng)安全改造。

2020-10-11

第 14 頁, 共 52 頁

根據(jù)xx管理信息系統(tǒng)現(xiàn)狀和安全需求，采取如下總體安全策略：

? 基礎(chǔ)安全防御得當(dāng)

依據(jù)GB/T 22239-2008《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》，和xx管理信息系統(tǒng)網(wǎng)絡(luò)以及系統(tǒng)安全現(xiàn)狀，? 根據(jù)信息系統(tǒng)等級(jí)保護(hù)標(biāo)準(zhǔn)中有關(guān)結(jié)構(gòu)安全的要求，通過增加核心交換機(jī)、防火墻、防病毒網(wǎng)關(guān)等設(shè)備實(shí)現(xiàn)冗余部署； ? 通過部署終端健康檢查和修復(fù)系統(tǒng)對(duì)終端接入的行為進(jìn)行控制，針對(duì)內(nèi)部終端用戶進(jìn)行管理，內(nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對(duì)其進(jìn)行有效阻斷。

? 部署網(wǎng)絡(luò)實(shí)名接入網(wǎng)關(guān)和實(shí)名接入控制系統(tǒng)，實(shí)現(xiàn)對(duì)用戶接入網(wǎng)絡(luò)的認(rèn)證和能夠訪問的資源的管理；

? 主機(jī)安全：通過對(duì)操作系統(tǒng)、數(shù)據(jù)庫和中間件等進(jìn)行安全加固，消除存在的漏洞，降低被威脅利用的可能； ? 應(yīng)用安全：將xx管理信息系統(tǒng)整合到現(xiàn)有的統(tǒng)一認(rèn)證管理系統(tǒng)中增加用戶身份認(rèn)證強(qiáng)度，使其通過數(shù)字證書登錄，實(shí)現(xiàn)對(duì)系統(tǒng)用戶基于USBkey和口令的雙因子身份認(rèn)證。

? 技術(shù)管理并行

安全技術(shù)以及管理體系需要同時(shí)設(shè)計(jì)并落實(shí)，兩者互為補(bǔ)充互為支撐。落實(shí)組織和人員責(zé)任。

2020-10-11

第 15 頁, 共 52 頁

（五）技術(shù)方案 1、安全技術(shù)體系設(shè)計(jì) 根據(jù)建設(shè)目標(biāo)，在充分利用現(xiàn)有設(shè)備的情況下，重新規(guī)劃整改后的網(wǎng)絡(luò)拓?fù)鋱D，如下圖所示。

整改后網(wǎng)絡(luò)拓?fù)鋱D 1.1.計(jì)算環(huán)境安全設(shè)計(jì)

1.1.1 終端安全（EAD）

通過部署2臺(tái)終端健康檢查和修復(fù)系統(tǒng)實(shí)現(xiàn)終端安全的集中統(tǒng)一管理，包括終端補(bǔ)丁的集中下載與分發(fā)、應(yīng)用軟件的集中分發(fā)、禁止非工作軟件或有害軟件的安裝和運(yùn)行等，強(qiáng)化終端安全策略，終端安全管理軟件還可滿足接入和外聯(lián)的可管理要求。對(duì)終端進(jìn)行安全檢查，確保終端符合安全規(guī)范，對(duì)不合規(guī)終端進(jìn)行隔離修復(fù)。對(duì)系統(tǒng)自身安全問題及終端安檢問題進(jìn)行報(bào)警統(tǒng)計(jì)，具體功能包括：

2020-10-11

第 16 頁, 共 52 頁

限制非法外聯(lián)。

應(yīng)設(shè)定只有與終端管理系統(tǒng)通訊的網(wǎng)卡才能發(fā)送和接收數(shù)據(jù)除，禁止其他任何網(wǎng)卡發(fā)送和接收數(shù)據(jù)，包括多網(wǎng)卡、撥號(hào)連接，VPN連接等。

終端安全基線自動(dòng)檢測與強(qiáng)制修復(fù)。

能夠監(jiān)控計(jì)算機(jī)終端的操作系統(tǒng)補(bǔ)丁、防病毒軟件、軟件進(jìn)程、登錄口令、注冊(cè)表等方面的運(yùn)行情況。如果計(jì)算機(jī)終端沒有安裝規(guī)定的操作系統(tǒng)補(bǔ)丁、防病毒軟件的運(yùn)行狀態(tài)和病毒庫更新狀態(tài)不符合要求、沒有運(yùn)行指定的軟件或運(yùn)行了禁止運(yùn)行的軟件，或者有其它的安全基線不能滿足要求的情況，該計(jì)算機(jī)終端的網(wǎng)絡(luò)訪問將被禁止。

移動(dòng)存儲(chǔ)管理。

可以實(shí)現(xiàn)移動(dòng)存儲(chǔ)設(shè)備的認(rèn)證和設(shè)備使用授權(quán)，只有認(rèn)證的移動(dòng)存儲(chǔ)存儲(chǔ)設(shè)備和具有使用權(quán)限的用戶才能使用。對(duì)于認(rèn)證過的移動(dòng)存儲(chǔ)設(shè)備，可以根據(jù)防泄密控制要求的高低，可以選擇多種數(shù)據(jù)保存和共享授權(quán)方式?？梢灾徽J(rèn)證設(shè)備，不對(duì)其中保存數(shù)據(jù)進(jìn)行加密共享；也可以對(duì)認(rèn)證的設(shè)備選擇專用目錄或全盤加密共享，并可以對(duì)移動(dòng)設(shè)備使用全過程進(jìn)行審計(jì)，方便在發(fā)生意外時(shí)進(jìn)行查證。

終端審計(jì)。

包括“文件操作審計(jì)與控制”，“打印審計(jì)與控制”，“網(wǎng)站訪問審計(jì)與控制”，“異常路由審計(jì)”和“終端Windows登錄審計(jì)”。所審計(jì)的內(nèi)容盡量只與內(nèi)網(wǎng)安全合規(guī)相關(guān)的信息，不對(duì)涉及終端用戶的個(gè)人隱私信息，保證在達(dá)到合規(guī)管理的審計(jì)要求的前提下，保護(hù)終端用戶個(gè)人私隱。

2020-10-11

第 17 頁, 共 52 頁

1.1.2 漏洞發(fā)現(xiàn)（漏掃）

漏洞掃描就是對(duì)重要計(jì)算機(jī)信息系統(tǒng)進(jìn)行檢查，發(fā)現(xiàn)其中可被黑客利用的漏洞，通過合規(guī)性檢測對(duì)系統(tǒng)中不合適的設(shè)置（如不應(yīng)開放的端口）、脆弱的口令以及其他同安全規(guī)則相抵觸的對(duì)象進(jìn)行檢查；另外基于網(wǎng)絡(luò)的檢測(Network Scanner)，通過執(zhí)行一些腳本文件對(duì)系統(tǒng)進(jìn)行攻擊，并記錄它的反應(yīng)，從而發(fā)現(xiàn)其中的漏洞。

1.1.3 數(shù)據(jù)庫安全審計(jì)

計(jì)劃部署數(shù)據(jù)庫審計(jì)系統(tǒng)對(duì)用戶行為、用戶事件及系統(tǒng)狀態(tài)加以審計(jì)，范圍覆蓋到每個(gè)用戶，從而把握數(shù)據(jù)庫系統(tǒng)的整體安全。

數(shù)據(jù)庫審計(jì)系統(tǒng)適用于等級(jí)保護(hù)標(biāo)準(zhǔn)和規(guī)范。數(shù)據(jù)庫審計(jì)系統(tǒng)支持所有主流關(guān)系型數(shù)據(jù)庫的安全審計(jì)，采用多核、多線程并行處理及CPU綁定技術(shù)及鏡像流量零拷貝技術(shù)，采用黑盒逆向協(xié)議分析技術(shù)，嚴(yán)格按照數(shù)據(jù)庫協(xié)議規(guī)律，對(duì)所有數(shù)據(jù)庫的操作行為進(jìn)行還原，支持請(qǐng)求和返回的全審計(jì)，保證100%還原原始操作的真實(shí)情況，實(shí)現(xiàn)細(xì)粒度審計(jì)、精準(zhǔn)化行為回溯、全方位風(fēng)險(xiǎn)控制，為XXX的核心數(shù)據(jù)庫提供全方位、細(xì)粒度的保護(hù)功能。數(shù)據(jù)庫審計(jì)系統(tǒng)可以幫助我們解決目前所面臨的數(shù)據(jù)庫安全審計(jì)缺失問題，避免數(shù)據(jù)被內(nèi)部人員及外部黑客惡意竊取泄露，極大的保護(hù)XXX的核心敏感數(shù)據(jù)的安全，帶來以下安全價(jià)值：

? 全面記錄數(shù)據(jù)庫訪問行為，識(shí)別越權(quán)操作等違規(guī)行為，并完成追蹤溯源 ? 跟蹤敏感數(shù)據(jù)訪問行為軌跡，建立訪問行為模型，及時(shí)發(fā)現(xiàn)敏感數(shù)據(jù)泄漏 ? 檢測數(shù)據(jù)庫配置弱點(diǎn)、發(fā)現(xiàn)SQL注入等漏洞、提供解決建議 ? 為數(shù)據(jù)庫安全管理與性能優(yōu)化提供決策依據(jù) ? 提供符合法律法規(guī)的報(bào)告，滿足等級(jí)保護(hù)審計(jì)要求。

2020-10-11

第 18 頁, 共 52 頁

1.1.4 運(yùn)維堡壘主機(jī)

計(jì)劃部署運(yùn)維堡壘主機(jī)，堡壘機(jī)可為XXX提供全面的運(yùn)維管理體系和運(yùn)維能力，支持資產(chǎn)管理、用戶管理、雙因子認(rèn)證、命令阻斷、訪問控制、自動(dòng)改密、審計(jì)等功能，能夠有效的保障運(yùn)維過程的安全。在協(xié)議方面，堡壘機(jī)全面支持SSH/TELNET/RDP（遠(yuǎn)程桌面）/FTP/SFTP/VNC，并可通過應(yīng)用中心技術(shù)擴(kuò)展支持VMware/XEN等虛擬機(jī)管理、oracle等數(shù)據(jù)庫管理、HTTP/HTTPS、小型機(jī)管理等。

1.2.區(qū)域邊界安全保護(hù)設(shè)計(jì)

通過深入了解系統(tǒng)業(yè)務(wù)特點(diǎn)和系統(tǒng)功能要求，并在充分利用現(xiàn)有網(wǎng)絡(luò)設(shè)施的基礎(chǔ)上，結(jié)合國家等級(jí)保護(hù)政策和標(biāo)準(zhǔn)要求，對(duì)信息系統(tǒng)的安全區(qū)域保護(hù)目標(biāo)進(jìn)行如下設(shè)計(jì)。

1.2.1 邊界隔離與訪問控制（NGFW）

在本方案中，XX 系統(tǒng)分布在網(wǎng)絡(luò)出口邊界、數(shù)據(jù)中心區(qū)邊界、網(wǎng)絡(luò)管理區(qū)，所以每個(gè)邊界也部署防火墻，并且通過配置防火墻的安全策略，實(shí)現(xiàn)各區(qū)域邊界的隔離與細(xì)粒度的訪問控制。防火墻是部署在不同網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是信息的唯一出入口，能根據(jù)安全策略控制（允許、拒絕、監(jiān)測）出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。防火墻實(shí)現(xiàn)網(wǎng)與網(wǎng)之間的訪問隔離，以保護(hù)整個(gè)網(wǎng)絡(luò)抵御來自其它網(wǎng)絡(luò)的入侵者。

通過對(duì)全網(wǎng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)進(jìn)行分析，確定需要進(jìn)行訪問控制的網(wǎng)絡(luò)邊界位置，并使用防火墻等邊界訪問控制系統(tǒng)，解決邊界安全問題、實(shí)現(xiàn)各個(gè)安全域間的網(wǎng)絡(luò)訪問

2020-10-11

第 19 頁, 共 52 頁

控制。

部署圖如下：

1.2.2 網(wǎng)絡(luò)入侵檢測系統(tǒng)（IPS）

入侵防御產(chǎn)品是一種對(duì)網(wǎng)絡(luò)深層威脅行為（尤其是那些防火墻所不能防御的威脅行為）進(jìn)行抵御的安全產(chǎn)品，通常以串行方式透明接入網(wǎng)絡(luò)。和其他安全產(chǎn)品不同的是，入侵防御產(chǎn)品的主要防御對(duì)象是網(wǎng)絡(luò)上TCP/IP的四層以上的實(shí)時(shí)惡意數(shù)據(jù)流（四層以下的攻擊可以由其他安全產(chǎn)品如防火墻等防御）。在本方案中入侵防御系統(tǒng)主要保護(hù)那些對(duì)外提供服務(wù)的業(yè)務(wù)系統(tǒng)的安全。在現(xiàn)有網(wǎng)絡(luò)中部署入侵檢測與防御系統(tǒng)可以對(duì)訪問xx管理信息系統(tǒng)進(jìn)行實(shí)時(shí)監(jiān)測，并進(jìn)行入侵行為跟蹤分析。

部署圖如下：

1.2.3 網(wǎng)絡(luò)惡意代碼防范（WAF）

瀏覽器都能解釋和執(zhí)行來自 Web 服務(wù)器的嵌入到 Web 頁面下載部分的腳本（用 JavaScript、JScript、VBScript 等腳本語言創(chuàng)建）。當(dāng)攻擊者向用戶提交的動(dòng)態(tài)表單輸入惡意代碼時(shí)，就會(huì)產(chǎn)生跨站點(diǎn)腳本(XSS)攻擊或是SQL注入。Web應(yīng)用防火墻主要針對(duì)Web服務(wù)器進(jìn)行第7層流量分析，防護(hù)以Web應(yīng)用程序漏洞為目標(biāo)的攻擊，并針對(duì)Web應(yīng)用訪問進(jìn)行各方面優(yōu)化，以提高Web或網(wǎng)絡(luò)協(xié)議應(yīng)用的可用性、性能和安全性，確保業(yè)務(wù)應(yīng)用能夠快速、安全、可靠地交付。同時(shí)，內(nèi)部辦公用戶也會(huì)通過互聯(lián)網(wǎng)對(duì)外進(jìn)行訪問，Internet網(wǎng)絡(luò)區(qū)域的安全風(fēng)險(xiǎn)級(jí)別最高，所以對(duì)于對(duì)外訪問和信息獲取等操作都應(yīng)進(jìn)行實(shí)時(shí)的惡意代碼檢測和事后的清除修復(fù)工作。

對(duì)于惡意代碼的防范應(yīng)達(dá)到如下要求：

2020-10-11

第 20 頁, 共 52 頁

? 應(yīng)在網(wǎng)絡(luò)邊界及核心業(yè)務(wù)網(wǎng)段處對(duì)惡意代碼進(jìn)行檢測和清除； ? 應(yīng)維護(hù)惡意代碼庫的升級(jí)和檢測系統(tǒng)的更新； ? 應(yīng)支持惡意代碼防范的統(tǒng)一管理。

1.3.通信網(wǎng)絡(luò)安全保護(hù)設(shè)計(jì)

根據(jù)《信息安全技術(shù) 信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》GB/T 25070-2010，和市xx網(wǎng)絡(luò)現(xiàn)狀，應(yīng)從鏈路冗余設(shè)計(jì)、通信網(wǎng)絡(luò)安全審計(jì)及網(wǎng)絡(luò)可信接入方面進(jìn)行展開設(shè)計(jì)。

1.3.1 鏈路冗余設(shè)計(jì)（IRF）

擬通過部署1臺(tái)H3C S9800交換機(jī)，改變核心網(wǎng)絡(luò)結(jié)構(gòu)，與原有的H3C S9800做冗余備份，以滿足等級(jí)保護(hù)三級(jí)標(biāo)準(zhǔn)針對(duì)網(wǎng)絡(luò)安全的要求。

部署圖如下：

交換機(jī)部署位置圖 1.3.2 網(wǎng)絡(luò)行為安全審計(jì)（數(shù)據(jù)庫審計(jì)）

為滿足等級(jí)保護(hù)要求中對(duì)三級(jí)系統(tǒng)通信網(wǎng)絡(luò)安全審計(jì)要求，需在網(wǎng)絡(luò)中建立基于網(wǎng)絡(luò)的安全審計(jì)措施，以實(shí)現(xiàn)通信網(wǎng)絡(luò)安全審計(jì)的防護(hù)要求。

在網(wǎng)絡(luò)中應(yīng)部署數(shù)據(jù)庫審計(jì)系統(tǒng)，可以通過網(wǎng)絡(luò)端口鏡像的方式抓取進(jìn)、出區(qū)域邊界數(shù)據(jù)包，基于數(shù)據(jù)包的源地址、目的地址、傳輸層協(xié)議、請(qǐng)求的服務(wù)等應(yīng)用訪問行為，確定行為符合安全策略，并以收集的記錄信息作為追蹤違規(guī)事件、界定安全責(zé)任的主要依據(jù)。部署圖如下：

2020-10-11

第 21 頁, 共 52 頁

綜合審計(jì)部署圖 1.3.3 網(wǎng)絡(luò)實(shí)名準(zhǔn)入系統(tǒng)（EAD）

根據(jù)《信息安全技術(shù) 信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》GB/T 25070-2010，對(duì)于三級(jí)系統(tǒng)需建立網(wǎng)絡(luò)接入認(rèn)證機(jī)制，可采用由密碼技術(shù)支持的可信網(wǎng)絡(luò)連接機(jī)制，通過對(duì)連接到網(wǎng)絡(luò)的設(shè)備進(jìn)行可信檢驗(yàn)，確保接入網(wǎng)絡(luò)的設(shè)備真實(shí)可信，防止設(shè)備的非法接入。

為保證 xx 管理信息系統(tǒng)對(duì)接入用戶實(shí)行全生命周期的數(shù)字身份管理，有效管理用戶的訪問憑證和接入權(quán)限，記錄用戶的網(wǎng)絡(luò)訪問行為，在發(fā)生信息安全事件時(shí)，能將責(zé)任追溯到人，本項(xiàng)目將沿用終端準(zhǔn)入 EAD 系統(tǒng)，從而實(shí)現(xiàn)網(wǎng)絡(luò)可信接入和用戶的身份級(jí)別，需求功能包括：

終端準(zhǔn)入功能

利用終端管理系統(tǒng)與交換機(jī)配合，如采用802.1x共同完成網(wǎng)絡(luò)準(zhǔn)入控制。

限制非法外聯(lián)。

2020-10-11

第 22 頁, 共 52 頁

應(yīng)設(shè)定只有與終端管理系統(tǒng)通訊的網(wǎng)卡才能發(fā)送和接收數(shù)據(jù)除，禁止其他任何網(wǎng)卡發(fā)送和接收數(shù)據(jù)，包括多網(wǎng)卡、撥號(hào)連接，VPN連接等。

終端審計(jì)。

包括“文件操作審計(jì)與控制”，“打印審計(jì)與控制”，“網(wǎng)站訪問審計(jì)與控制”，“異常路由審計(jì)”和“終端Windows登錄審計(jì)”。所審計(jì)的內(nèi)容盡量只與內(nèi)網(wǎng)安全合規(guī)相關(guān)的信息，不對(duì)涉及終端用戶的個(gè)人隱私信息，保證在達(dá)到合規(guī)管理的審計(jì)要求的前提下，保護(hù)終端用戶個(gè)人私隱。

1.3.4 網(wǎng)絡(luò)設(shè)備保護(hù)（堡壘機(jī)）

對(duì)于網(wǎng)絡(luò)中的基礎(chǔ)設(shè)施資產(chǎn)的管理，包括：網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器和數(shù)據(jù)庫等，均需要通過堡壘機(jī)實(shí)現(xiàn)對(duì)重要業(yè)務(wù)資產(chǎn)操作的認(rèn)證、授權(quán)和操作記錄審計(jì)的要求，同時(shí)降低運(yùn)維人員的管理成本，提高運(yùn)維效率，通過運(yùn)維堡壘主機(jī)的方式進(jìn)行集中管理、協(xié)議代理和身份授權(quán)分離的安全操作。

資源集中管理：集中的資源訪問入口、集中帳號(hào)管理、集中授權(quán)管理、集中認(rèn)證管理、集中審計(jì)管理等等。

協(xié)議代理：為了對(duì)字符終端、圖形終端操作行為進(jìn)行審計(jì)和監(jiān)控，堡壘主機(jī)對(duì)各種字符終端和圖形終端使用的協(xié)議進(jìn)行代理，實(shí)現(xiàn)多平臺(tái)的操作支持和審計(jì)，例如Telnet、SSH、FTP、Windows平臺(tái)的RDP遠(yuǎn)程桌面協(xié)議，Linux/Unix平臺(tái)的X Window圖形終端訪問協(xié)議等。

當(dāng)運(yùn)維機(jī)通過堡壘主機(jī)訪問服務(wù)器時(shí)，首先由堡壘主機(jī)模擬成遠(yuǎn)程訪問的服務(wù)端，接受運(yùn)維機(jī)的連接和通訊，并對(duì)其進(jìn)行協(xié)議的還原、解析、記錄，最終獲得運(yùn)維機(jī)的操作行為，之后堡壘主機(jī)模擬運(yùn)維機(jī)與真正的目標(biāo)服務(wù)器建立通訊并轉(zhuǎn)發(fā)運(yùn)維機(jī)發(fā)送

2020-10-11

第 23 頁, 共 52 頁的指令信息，從而實(shí)現(xiàn)對(duì)各種維護(hù)協(xié)議的代理轉(zhuǎn)發(fā)過程。在通訊過程中，堡壘主機(jī)會(huì)記錄各種指令信息，并根據(jù)策略對(duì)通信過程進(jìn)行控制，如發(fā)現(xiàn)違規(guī)操作，則不進(jìn)行代理轉(zhuǎn)發(fā)，并由堡壘主機(jī)反饋禁止執(zhí)行的回顯提示。

身份授權(quán)分離：在堡壘主機(jī)上建立主帳號(hào)體系，用于身份認(rèn)證，原各IT系統(tǒng)上的系統(tǒng)帳號(hào)僅用于系統(tǒng)授權(quán)，這樣可以有效增強(qiáng)身份認(rèn)證和系統(tǒng)授權(quán)的可靠性，從本質(zhì)上解決帳號(hào)管理混亂問題，為認(rèn)證、授權(quán)、審計(jì)提供可靠的保障。

2、安全管理中心設(shè)計(jì)（云智）

建立安全管理中心，形成具備基本功能的安全監(jiān)控信息匯總樞紐和信息安全事件協(xié)調(diào)處理中心，提高對(duì)管理中心內(nèi)部網(wǎng)絡(luò)和重要業(yè)務(wù)系統(tǒng)信息安全事件的預(yù)警、響應(yīng)和安全管理能力。具體來說應(yīng)該實(shí)現(xiàn)以下功能：

1.安全信息采集 Xx系統(tǒng)所有的網(wǎng)絡(luò)設(shè)備（交換機(jī)、路由器等）、安全設(shè)備（防火墻、入侵檢測、統(tǒng)一數(shù)字身份管理系統(tǒng)、安全審計(jì)設(shè)備等）和重要業(yè)務(wù)系統(tǒng)（操作系統(tǒng)、數(shù)據(jù)庫、中間件等）的安全事件信息。

2.安全信息分析 對(duì)匯集的安全事件信息進(jìn)行綜合的關(guān)聯(lián)分析，從海量的信息中挖掘、發(fā)現(xiàn)可能的安全事件并且產(chǎn)生安全預(yù)警。

3.信息安全管理 實(shí)現(xiàn)統(tǒng)一的安全事件、安全策略、安全風(fēng)險(xiǎn)和信息安全支撐系統(tǒng)的管理，實(shí)現(xiàn)安全運(yùn)維流程的自動(dòng)化管理，滿足管理中心對(duì)安全事件及時(shí)有效響應(yīng)處置的需求。

4.可視化展示

2020-10-11

第 24 頁, 共 52 頁

實(shí)現(xiàn)整體安全態(tài)勢的多維度、多視角的展示，實(shí)現(xiàn)系統(tǒng)運(yùn)行和安全監(jiān)測的全景化和在線化。

2.1.建設(shè)目標(biāo)

安全管理中心的建設(shè)目標(biāo)是為了支撐安全運(yùn)行體系的建設(shè)和流轉(zhuǎn)，從而提升安全防護(hù)能力、隱患發(fā)現(xiàn)能力、監(jiān)控預(yù)警能力以及響應(yīng)恢復(fù)能力，以保障市xx信息系統(tǒng)的安全可靠，實(shí)現(xiàn)安全運(yùn)行工作的“可感知”、“可管理”、“可測量”、“可展示”。

“可感知”目標(biāo)：安全管理中心具備對(duì)各類安全資產(chǎn)的脆弱性和海量安全事件的采集、分析、處理報(bào)告能力，可以按需展現(xiàn)全網(wǎng)安全資產(chǎn)的脆弱性分布狀況和高危風(fēng)險(xiǎn)事件分布狀況，可集中管理各類安全資產(chǎn)的配置基線，能夠智能化分析安全事件對(duì)業(yè)務(wù)系統(tǒng)可能產(chǎn)生的實(shí)際影響和危害，“實(shí)現(xiàn)被動(dòng)安全智能化”目標(biāo)。

“可管理”目標(biāo)：初步實(shí)現(xiàn)集中化的安全風(fēng)險(xiǎn)、安全事件、安全預(yù)警和安全策略、安全合規(guī)性和績效考核管理，實(shí)現(xiàn)安全運(yùn)維流程的自動(dòng)化管理，滿足市xx對(duì)安全事件及時(shí)有效響應(yīng)處置的需求。

“可測量”目標(biāo)：安全管理中心具備針對(duì)各類信息安全管理標(biāo)準(zhǔn)或要求的符合性測量檢查能力，提供針對(duì)諸如信息安全管理體系標(biāo)準(zhǔn)要求、等級(jí)化保護(hù)要求、信息安全專項(xiàng)工作要求的符合性檢查功能，支持通過技術(shù)手段實(shí)現(xiàn)符合性檢查工作的自動(dòng)調(diào)度、自動(dòng)執(zhí)行、自動(dòng)核查、自動(dòng)報(bào)告功能。

“可展示”目標(biāo)：實(shí)現(xiàn)整體安全態(tài)勢的多維度、多視角的展示，實(shí)現(xiàn)系統(tǒng)運(yùn)行和安全監(jiān)測的全景化和在線化。針對(duì)市xx決策層、管理層和執(zhí)行層等不同角色提供不同展現(xiàn)視圖，可以向PC、移動(dòng)終端上推送當(dāng)前各業(yè)務(wù)系統(tǒng)、各地區(qū)、各單位風(fēng)險(xiǎn)管理狀態(tài)和趨勢。

2020-10-11

第 25 頁, 共 52 頁

2.2.總體結(jié)構(gòu)

綜合管理平臺(tái)門戶作為整個(gè)安全管理中心統(tǒng)一人機(jī)界面接口，采用Web應(yīng)用架構(gòu)，支持各功能模塊的信息展示和系統(tǒng)配置管理。針對(duì)不同用戶角色的特點(diǎn)，提供不同視角（決策層、管理層、執(zhí)行層）的展現(xiàn)內(nèi)容。

安全管理中心規(guī)劃的應(yīng)用服務(wù)層提供六大應(yīng)用服務(wù)，分別是：脆弱性和安全風(fēng)險(xiǎn)管理、安全事件管理、安全預(yù)警管理、安全策略管理、安全符合性管理和安全績效考核，提供的服務(wù)通過門戶層進(jìn)行展現(xiàn)。

數(shù)據(jù)感知層主要規(guī)劃兩大功能，分別是數(shù)據(jù)采集和數(shù)據(jù)分析處理。

數(shù)據(jù)采集主要負(fù)責(zé)與安全支撐系統(tǒng)數(shù)據(jù)交互以及搜集其他設(shè)備的數(shù)據(jù)。其采用的技術(shù)方式包括：Web Serivce、SYSLOG和SNMP trap等接口和協(xié)議。

數(shù)據(jù)處理主要負(fù)責(zé)對(duì)采集到的原始數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化、歸并及關(guān)聯(lián)分析等詳細(xì)的分析處理?？梢愿鶕?jù)資產(chǎn)信息、脆弱性信息校正安全信息的真實(shí)性，同時(shí)也可以根據(jù)攻擊過程描述的縱向關(guān)聯(lián)策略確認(rèn)一系列安全信息發(fā)生的后果，提取出需要處理的安全事件。

外部接口層承擔(dān)安全運(yùn)營中心與XX系統(tǒng)之間的數(shù)據(jù)交互，比如從資產(chǎn)系統(tǒng)中抽取資產(chǎn)相關(guān)的信息。

安全管理中心安全支撐層是由6個(gè)大系統(tǒng)構(gòu)成，主要為平臺(tái)提供數(shù)據(jù)及部分功能實(shí)現(xiàn)。支撐系統(tǒng)具體如下：

? 業(yè)務(wù)系統(tǒng) ? 安全設(shè)備 ? 操作系統(tǒng)

2020-10-11

第 26 頁, 共 52 頁

? 中間件 ? 數(shù)據(jù)庫 ? 網(wǎng)絡(luò)設(shè)備

平臺(tái)架構(gòu)采用組件化的分層設(shè)計(jì)理念，融和工作流組件、業(yè)務(wù)規(guī)則引擎、通用報(bào)表組件、數(shù)據(jù)查詢組件、GIS組件等對(duì)信息安全運(yùn)行管理業(yè)務(wù)加以支撐和服務(wù)；平臺(tái)架構(gòu)滿足五年以上的技術(shù)和業(yè)務(wù)發(fā)展等適應(yīng)性要求。

2.3.功能模塊

2.3.1 數(shù)據(jù) 采集

數(shù)據(jù)采集是運(yùn)行監(jiān)控功能的核心模塊，接收來自安全事件監(jiān)控中心的事件，支持資產(chǎn)信息、配置信息、IT事件日志以及安全支撐系統(tǒng)的數(shù)據(jù)采集，實(shí)現(xiàn)數(shù)據(jù)識(shí)別、數(shù)據(jù)解析、數(shù)據(jù)聚并和數(shù)據(jù)保存等處理。

2.3.2 日志 分析

針對(duì)業(yè)務(wù)系統(tǒng)所涉及到的操作系統(tǒng)和網(wǎng)絡(luò)設(shè)備運(yùn)行日志進(jìn)行采集和安全分析。

2.3.3 運(yùn)行狀態(tài)監(jiān)控

運(yùn)行狀態(tài)監(jiān)控主要包含主機(jī)、網(wǎng)絡(luò)、安全設(shè)備、數(shù)據(jù)庫、中間件及關(guān)鍵應(yīng)用系統(tǒng)的運(yùn)行監(jiān)控。同時(shí)，以關(guān)鍵業(yè)務(wù)為中心，通過圖形化的業(yè)務(wù)建模工具，根據(jù)實(shí)際環(huán)境，定義個(gè)性化的業(yè)務(wù)運(yùn)行評(píng)估模型，從業(yè)務(wù)角度對(duì)被監(jiān)測資源進(jìn)行關(guān)聯(lián)、重組，建立真實(shí)表達(dá)業(yè)務(wù)內(nèi)部關(guān)系的影響模型圖，實(shí)現(xiàn)快速搭建業(yè)務(wù)卡片視圖，準(zhǔn)確判斷業(yè)務(wù)健康度、繁忙度、業(yè)務(wù)層級(jí)視圖和業(yè)務(wù)告警等內(nèi)容。

2020-10-11

第 27 頁, 共 52 頁

1.主機(jī)運(yùn)行狀態(tài)監(jiān)控

系統(tǒng)能夠采集現(xiàn)有的主流操作系統(tǒng)監(jiān)控運(yùn)行性能。通過對(duì)主機(jī)監(jiān)控，實(shí)現(xiàn)對(duì)主機(jī)的故障告警，同時(shí)監(jiān)控主機(jī)的健康狀態(tài)與運(yùn)行性能指標(biāo)。覆蓋主機(jī)操作系統(tǒng)類型包括：Windows服務(wù)器系統(tǒng)、Linux服務(wù)器系統(tǒng)、IBM AIX服務(wù)器系統(tǒng)、HP UNIX服務(wù)器系統(tǒng)等。

2.網(wǎng)絡(luò)和安全設(shè)備運(yùn)行狀態(tài)監(jiān)控

系統(tǒng)能夠采集現(xiàn)有的網(wǎng)絡(luò)設(shè)備和安全設(shè)備的運(yùn)行狀態(tài)，通過對(duì)設(shè)備健康狀態(tài)與運(yùn)行性能監(jiān)控，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)延時(shí)、異常事件、連接失敗等網(wǎng)絡(luò)指標(biāo)進(jìn)行查看，結(jié)合安全設(shè)備的故障告警，及時(shí)發(fā)現(xiàn)性能隱患，能夠監(jiān)控的設(shè)備類型包括交換機(jī)、路由器、入侵檢測等。

3.數(shù)據(jù)庫運(yùn)行狀態(tài)監(jiān)控

系統(tǒng)能夠采集數(shù)據(jù)庫監(jiān)控運(yùn)行性能，收集數(shù)據(jù)庫的響應(yīng)時(shí)間、當(dāng)前總用戶數(shù)、當(dāng)前活躍用戶數(shù)等各性能指標(biāo)的變化趨勢，進(jìn)行分析，為優(yōu)化資源配置提供數(shù)據(jù)支撐。要求支持的數(shù)據(jù)庫系統(tǒng)類型包括：

Oracle、SQL Server、MYSQL等。

4.中間件運(yùn)行狀態(tài)監(jiān)控

系統(tǒng)能夠采集中間件監(jiān)控運(yùn)行性能，針對(duì)中間件的可用性、響應(yīng)延遲等狀態(tài)信息進(jìn)行分析，監(jiān)控各項(xiàng)性能指標(biāo)變化分析，為優(yōu)化資源配置提供數(shù)據(jù)支撐。能夠支持中間件系統(tǒng)類型，包括：IBM Websphere、Weblogic、Apache Tomcat、Microsoft IIS等。

5.應(yīng)用系統(tǒng)運(yùn)行狀態(tài)監(jiān)控

通過和應(yīng)用系統(tǒng)的對(duì)接接口，實(shí)現(xiàn)應(yīng)用系統(tǒng)運(yùn)行狀態(tài)的監(jiān)控和展示。

2020-10-11

第 28 頁, 共 52 頁

2.3.4 預(yù)警管理

預(yù)警管理包括但不限于IT態(tài)勢分析和展現(xiàn)、預(yù)警通告等功能。

? 態(tài)勢分析：實(shí)現(xiàn)對(duì)采集信息及分析結(jié)果進(jìn)行匯集和抽??；對(duì)IT事件及風(fēng)險(xiǎn)等事態(tài)發(fā)展和后果進(jìn)行模擬分析，能夠多維度綜合展示。

? 預(yù)警通告：能夠把IT態(tài)勢分析的處理結(jié)果進(jìn)行預(yù)警通告并展示。

? 預(yù)警管理系統(tǒng)收集和分析歷史數(shù)據(jù)，全面展現(xiàn)一段時(shí)期內(nèi)IT態(tài)勢和風(fēng)險(xiǎn)管理的情況。

? 為信息安全風(fēng)險(xiǎn)管理的規(guī)劃提供數(shù)據(jù)支撐。

預(yù)警模塊中心從系統(tǒng)管理模塊得到資產(chǎn)的基本信息，從脆弱性管理模塊獲取資產(chǎn)的脆弱性信息，從事件監(jiān)控模塊獲取發(fā)生的事件。得到上述這些原始信息后，本模塊進(jìn)行綜合風(fēng)險(xiǎn)分析。綜合風(fēng)險(xiǎn)分析是分析整個(gè)企業(yè)面臨的威脅和確保這些威脅所帶來的挑戰(zhàn)處于可以接受的范圍內(nèi)的連續(xù)流程。能夠根據(jù)各監(jiān)控點(diǎn)的資產(chǎn)信息、脆弱性統(tǒng)計(jì)信息以及威脅分布信息，為每一個(gè)資產(chǎn)定量地計(jì)算出相應(yīng)的風(fēng)險(xiǎn)等級(jí)，同時(shí)根據(jù)業(yè)務(wù)邏輯，分析此風(fēng)險(xiǎn)對(duì)其他系統(tǒng)的影響，計(jì)算出業(yè)務(wù)系統(tǒng)或區(qū)域的整體風(fēng)險(xiǎn)等級(jí)。

2.3.5 策略管理

網(wǎng)絡(luò)的整體性要求需要有統(tǒng)一策略和基于工作流程的管理。通過為全網(wǎng)管理人員提供統(tǒng)一的策略，指導(dǎo)各級(jí)管理機(jī)構(gòu)因地制宜的做好策略的部署工作，有利于在全網(wǎng)形成防范的合力，提高全網(wǎng)的整體防御能力，同時(shí)通過策略和配置管理平臺(tái)的建設(shè)可以進(jìn)一步完善整個(gè)IP網(wǎng)絡(luò)的安全策略體系建設(shè)，為指導(dǎo)各項(xiàng)安全工作的開展提供行動(dòng)指南，有效解決目前因缺乏口令、認(rèn)證、訪問控制等方面策略而帶來到安全風(fēng)險(xiǎn)問題。

策略管理系統(tǒng)包括但不限于事件關(guān)聯(lián)分析規(guī)則管理、資產(chǎn)安全配置策略符合性檢

2020-10-11

第 29 頁, 共 52 頁

查和安全策略庫管理功能。

? 事件關(guān)聯(lián)分析規(guī)則管理：能實(shí)現(xiàn)安全事件關(guān)聯(lián)分析規(guī)則的自定義、導(dǎo)入、更新、展示、查詢、修改和歸檔等功能。

? 資產(chǎn)安全配置策略符合性檢查：能實(shí)現(xiàn)對(duì)資產(chǎn)安全配置策略合規(guī)性比對(duì)和檢查；提供符合性檢查結(jié)果的展示、查詢、歸檔和策略導(dǎo)出功能；提供修正建議和策略下發(fā)功能。

? 安全策...

第二篇：政府門戶網(wǎng)站等級(jí)保護(hù)解決方案

綠盟科技政府門戶網(wǎng)站等級(jí)保護(hù)解決方案

政府門戶網(wǎng)站是“政務(wù)公開”和“服務(wù)型政府”兩大主導(dǎo)思想，在落實(shí)過程中所必須憑借的重要平臺(tái)，在未來的電子政務(wù)規(guī)劃中，政府門戶網(wǎng)站必將占有非常重要的地位。

國家正在逐步推進(jìn)信息安全等級(jí)保護(hù)工作，這一國家層面的信息安全標(biāo)準(zhǔn)，已成為未來在電子政務(wù)安全建設(shè)中的重要保障。

綠盟科技特別推出的“政府門戶網(wǎng)站等級(jí)保護(hù)解決方案”以業(yè)界最為出色的技術(shù)底蘊(yùn)和對(duì)等級(jí)保護(hù)的深刻理解，為政府客戶最需要保障之處，提供了最可靠的信心保證。

政府門戶網(wǎng)站的信息安全需求

政府門戶網(wǎng)站的地位非常重要，但其安全形勢卻不容樂觀。據(jù)統(tǒng)計(jì)，僅在2007年，就有3000余個(gè)政府門戶網(wǎng)站發(fā)生過網(wǎng)頁被篡改的事件，嚴(yán)重影響了政府的對(duì)外形象。隨著電子政務(wù)建設(shè)的逐步推進(jìn)，政府門戶網(wǎng)站所承載業(yè)務(wù)的數(shù)量在逐步增加，網(wǎng)站被入侵或篡改所帶來的危害將不僅僅限于“政府形象”的損害，甚至能會(huì)造成巨大的經(jīng)濟(jì)損失，或者嚴(yán)重的社會(huì)問題。

對(duì)于政府網(wǎng)站所面臨的主要風(fēng)險(xiǎn)，總結(jié)如下：

頁面被篡改

政府門戶網(wǎng)站作為“政府形象”的標(biāo)志之一，常常是一些不法分子的重點(diǎn)攻擊對(duì)象。政府門戶網(wǎng)站一旦被篡改(加入一些敏感的顯性內(nèi)容)，常常會(huì)引發(fā)較大的影響，嚴(yán)重時(shí)甚至?xí)斐烧问录?/p>

另外一種篡改方式是網(wǎng)頁掛馬：網(wǎng)頁內(nèi)容表面上沒有任何異常，卻可能被偷偷的掛上了木馬程序。網(wǎng)頁掛馬雖然未必會(huì)給網(wǎng)站帶來直接損害，但卻會(huì)給瀏覽網(wǎng)站的用戶帶來損失。更重要的是，政府網(wǎng)站一旦被掛馬，其權(quán)威性和公信力將會(huì)受到打擊，最終給電子政務(wù)的普及帶來重大影響。

在線業(yè)務(wù)被攻擊

對(duì)企業(yè)、公眾提供在線服務(wù)，已經(jīng)成為政府門戶網(wǎng)站的重要功能。這些服務(wù)一旦受到拒絕服務(wù)攻擊而癱瘓、終止，對(duì)業(yè)務(wù)的正常運(yùn)轉(zhuǎn)必然造成極大的影響，可能會(huì)造成經(jīng)濟(jì)損失，嚴(yán)重時(shí)甚至?xí)绊懮鐣?huì)穩(wěn)定。

數(shù)據(jù)被竊取

在線業(yè)務(wù)系統(tǒng)中，總是需要保存一些企業(yè)、公眾的相關(guān)資料，這些資料往往涉及到企業(yè)秘密和個(gè)人隱私，一旦泄露，會(huì)造成企業(yè)或個(gè)人的利益受損，可能會(huì)給網(wǎng)站帶來嚴(yán)重的法律糾紛。

內(nèi)網(wǎng)被侵入

政府門戶網(wǎng)站雖然和政府的辦公網(wǎng)絡(luò)之間有邏輯隔離設(shè)備，但仍有可能被手段高明的黑客入侵，從而盜取一些敏感材料，或?qū)﹄娮诱?wù)應(yīng)用系統(tǒng)造成破壞。

以上的總結(jié)僅僅是對(duì)政府門戶網(wǎng)站主要安全需求的簡單總結(jié)，事實(shí)上，政府門戶網(wǎng)站要達(dá)到真正的安全，需要建立一個(gè)完善細(xì)致的安全防護(hù)體系，不僅要在技術(shù)上建立事前、事中和事后的縱深防御系統(tǒng)，還需要建立良好的信息安全管理制度。下文將結(jié)合信息安全等級(jí)保護(hù)政策，提出整體建議方案。

綠盟科技政府門戶網(wǎng)站等級(jí)保護(hù)解決方案

出于對(duì)信息安全的重視，國家出臺(tái)了信息安全等級(jí)保護(hù)的一系列文件和標(biāo)準(zhǔn)，用以促進(jìn)和指導(dǎo)信息安全的建設(shè)。

2007年6月22日，公安部與國家保密局、密碼管理局、國務(wù)院信息辦聯(lián)合會(huì)簽并印發(fā)了《信息安全等級(jí)保護(hù)管理辦法》(公通字[2007]43號(hào))，確定了信息安全等級(jí)保護(hù)制度的基本內(nèi)容及各項(xiàng)工作要求。

2007年7月16日，四部委聯(lián)合會(huì)簽并下發(fā)了《關(guān)于開展全國重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知》(公信安[2007]861號(hào))，就定級(jí)范圍、定級(jí)工作主要內(nèi)容、定級(jí)工作要求等事項(xiàng)進(jìn)行了通知。

43號(hào)文和861號(hào)文這兩個(gè)主要文件的出臺(tái)，標(biāo)志著信息安全等級(jí)保護(hù)工作在全國范圍內(nèi)進(jìn)入推廣實(shí)施階段。

針對(duì)政府門戶網(wǎng)站的安全需求，以及信息安全等級(jí)保護(hù)相關(guān)文件和標(biāo)準(zhǔn)，綠盟科技以安全服務(wù)為主線，提出了符合等級(jí)保護(hù)要求的政府門戶網(wǎng)站整體安全解決方案。

根據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》中所給出的等級(jí)保護(hù)的建設(shè)過程(如圖1所示)，可以看到等級(jí)保護(hù)并不是一個(gè)“一勞永逸”的孤立項(xiàng)目，而是一個(gè)連續(xù)不斷，周而復(fù)始的“過程”。

要實(shí)現(xiàn)這樣一個(gè)過程，就必須要以安全服務(wù)為主線，從門戶網(wǎng)站的安全評(píng)估、差距評(píng)估等咨詢性服務(wù)開始，到整體安全規(guī)劃、解決方案設(shè)計(jì)等設(shè)計(jì)性服務(wù)，最終以運(yùn)維支持、應(yīng)急響應(yīng)等持續(xù)的技術(shù)性服務(wù)為政府門戶網(wǎng)站提供一個(gè)符合等級(jí)保護(hù)精神的安全保障體系。

綠盟科技在等級(jí)保護(hù)過程的各階段中所提供的系列安全服務(wù)如下圖所示：

圖2 等級(jí)保護(hù)過程及各階段安全服務(wù)

上圖所示的各階段都分別對(duì)應(yīng)多個(gè)安全服務(wù)，限于篇幅，不能一一盡述，下面就各階段中的主要部分做簡要介紹。

安全定級(jí)階段安全服務(wù)

政府門戶網(wǎng)站安全定級(jí)和備案階段的安全服務(wù)包括等級(jí)保護(hù)導(dǎo)入、信息系統(tǒng)輔助定級(jí)、協(xié)助用戶完成備案等幾部分。

這些安全服務(wù)的目標(biāo)是通過培訓(xùn)，使客戶方有關(guān)人員了解等級(jí)保護(hù)的內(nèi)容和過程，并按照定級(jí)指南要求對(duì)門戶網(wǎng)站進(jìn)行定級(jí)，最終幫助用戶完成備案工作。

綠盟科技具備豐富的系統(tǒng)定級(jí)和備案經(jīng)驗(yàn)，能夠?yàn)檎T戶網(wǎng)站進(jìn)行準(zhǔn)確定級(jí)，并順利完成備案工作。

安全規(guī)劃設(shè)計(jì)階段安全服務(wù)

安全規(guī)劃設(shè)計(jì)階段的安全服務(wù)包括安全需求導(dǎo)出、信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估、等級(jí)保護(hù)差距評(píng)估、安全建設(shè)整體規(guī)劃和安全基線指標(biāo)設(shè)計(jì)等。

安全需求導(dǎo)出服務(wù)的目標(biāo)主要是為門戶網(wǎng)站導(dǎo)出真正的安全需求。不同網(wǎng)站的規(guī)模、訪問量、部署模式、政務(wù)公開信息的頻度、在線業(yè)務(wù)的重要程度都各不相同，其安全需求也就各有不同。只有對(duì)網(wǎng)站業(yè)務(wù)進(jìn)行詳細(xì)的調(diào)研和分析，才能給出符合實(shí)際的安全需求分析。

信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估服務(wù)、等級(jí)保護(hù)差距評(píng)估服務(wù)是結(jié)合風(fēng)險(xiǎn)評(píng)估的方法和理論，圍繞著系統(tǒng)所承載的具體業(yè)務(wù)，通過風(fēng)險(xiǎn)評(píng)估的方法評(píng)估系統(tǒng)的風(fēng)險(xiǎn)狀況，并根據(jù)系統(tǒng)的安全措施是否符合相應(yīng)等級(jí)的安全要求來判斷系統(tǒng)與所定等級(jí)的差距。

Lord Kelvirl有—句名言“你不能改進(jìn)你不能測量的東西”，為評(píng)價(jià)各項(xiàng)安全工作是否有效，并為門戶網(wǎng)站安全管理考核體系打下可量化考核的基礎(chǔ)，綠盟科技設(shè)計(jì)了安全基線指標(biāo)設(shè)計(jì)服務(wù)。安全基線指標(biāo)設(shè)計(jì)服務(wù)為用戶建立了可量化的安全指標(biāo)體系，為未來的運(yùn)維管理和自我檢查奠定了堅(jiān)實(shí)的基礎(chǔ)，是綠盟科技在業(yè)內(nèi)的獨(dú)有優(yōu)勢服務(wù)。

安全實(shí)施階段安全服務(wù)

安全實(shí)施階段是等級(jí)保護(hù)“落地”的主要階段。在這個(gè)階段中，綠盟科技將以聞名業(yè)界的安全服務(wù)團(tuán)隊(duì)，輔以業(yè)界領(lǐng)先的高端產(chǎn)品，為政府門戶網(wǎng)站構(gòu)建符合等級(jí)保護(hù)要求的，嚴(yán)密的信息安全保障體系。

安全實(shí)施階段中主要包括安全解決方案設(shè)計(jì)、安全技術(shù)體系改造、安全管理體系改造、崗位培訓(xùn)和應(yīng)急響應(yīng)演練等安全服務(wù)。

安全解決方案設(shè)計(jì)是如何將門戶網(wǎng)站業(yè)務(wù)安全目標(biāo)和系統(tǒng)等級(jí)安全規(guī)劃落實(shí)的關(guān)鍵過程。綠盟科技依靠多年的方案設(shè)計(jì)經(jīng)驗(yàn)，將在深入理解等級(jí)保護(hù)政策、標(biāo)準(zhǔn)，分析系統(tǒng)業(yè)務(wù)安全需求的基礎(chǔ)上，為用戶提供并建立一套符合相應(yīng)等級(jí)保護(hù)要求并適合門戶網(wǎng)站實(shí)際需求整體安全解決方案。

安全技術(shù)體系改造主要包括物理層、網(wǎng)絡(luò)層、應(yīng)用層、主機(jī)層和數(shù)據(jù)層五個(gè)層面，對(duì)于一般網(wǎng)站而言，較為重要的是網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)三個(gè)層面。

在網(wǎng)絡(luò)層面，網(wǎng)站安全主要關(guān)注安全域劃分、入侵防范和抗拒絕服務(wù)攻擊。綠盟科技的安全域劃分服務(wù)通過對(duì)網(wǎng)站業(yè)務(wù)、數(shù)據(jù)流向、網(wǎng)絡(luò)結(jié)構(gòu)等多方面因素進(jìn)行專業(yè)分析，為網(wǎng)站劃分合理的安全域。在入侵防范方面，綠盟科技的入侵防御系統(tǒng)能夠抵御來自互聯(lián)網(wǎng)的入侵行為，而黑洞抗拒絕服務(wù)攻擊系統(tǒng)則能夠保證在線業(yè)務(wù)順暢進(jìn)行，不致被惡意攻擊所癱瘓。此外，綠盟科技還擁有漏洞管理系統(tǒng)、網(wǎng)絡(luò)安全審計(jì)、內(nèi)容安全管理等全線網(wǎng)絡(luò)安全產(chǎn)品，能夠?yàn)榭蛻魳?gòu)建嚴(yán)密、專業(yè)的網(wǎng)絡(luò)安全保障體系。

在應(yīng)用層面，綠盟科技WEB應(yīng)用防火墻能夠?qū)EB應(yīng)用漏洞進(jìn)行預(yù)先掃描，同時(shí)具備對(duì)SQL注入、跨站腳本等通過應(yīng)用層的入侵動(dòng)作實(shí)時(shí)阻斷，真正達(dá)到“網(wǎng)頁防篡改”的效果。

在數(shù)據(jù)層面，通過網(wǎng)絡(luò)安全域劃分，數(shù)據(jù)庫將被隱藏在安全區(qū)域，同時(shí)通過綠盟科技的安全加固服務(wù)對(duì)數(shù)據(jù)庫進(jìn)行安全配置，并對(duì)數(shù)據(jù)庫的訪問權(quán)限做最為嚴(yán)格的設(shè)定，最大限度保證數(shù)據(jù)庫安全。

在安全管理體系的設(shè)計(jì)中，綠盟科技借助豐富的安全咨詢經(jīng)驗(yàn)和對(duì)等級(jí)保護(hù)管理要求的清晰理解，為用戶量身定做符合實(shí)際的、可操作的安全管理體系。

在安全管理體系建立完畢后，綠盟科技將提供全面的崗位培訓(xùn)和有針對(duì)性的應(yīng)急演練，幫助客戶掌握崗位所需的安全職責(zé)，并對(duì)未來可能發(fā)生的信息安全事件預(yù)先做好準(zhǔn)備。

安全運(yùn)行管理階段安全服務(wù)

在政府門戶網(wǎng)站的運(yùn)行管理階段，綠盟科技建議通過內(nèi)部管理人員維護(hù)和采用專業(yè)安全廠商的安全服務(wù)相結(jié)合的方式來實(shí)現(xiàn)。

安全服務(wù)提供商能夠?yàn)橛脩籼峁I(yè)的安全服務(wù)，但在日常運(yùn)行工作中，安全服務(wù)提供商不可能代替用戶做所有的事情。為保證客戶的內(nèi)部管理人員的安全管理工作也能夠保持專業(yè)水平，綠盟科技提出了“基于安全指標(biāo)設(shè)計(jì)的配置核查”安全服務(wù)，使客戶的內(nèi)部管理人員根據(jù)等級(jí)保護(hù)標(biāo)準(zhǔn)進(jìn)行量化的安全指標(biāo)，使用自動(dòng)化工具去執(zhí)行內(nèi)部核查，保證了日常運(yùn)行管理的專業(yè)程度。

在安全運(yùn)行管理階段，還需要安全服務(wù)提供商提供的階段性風(fēng)險(xiǎn)評(píng)估服務(wù)、安全應(yīng)急響應(yīng)服務(wù)和協(xié)助用戶通過等級(jí)保護(hù)安全檢查工作等。

第三篇：水利部(部機(jī)關(guān))等級(jí)保護(hù)建設(shè)整改案例

一、概述

信息系統(tǒng)安全等級(jí)保護(hù)工作是我國信息安全建設(shè)的必要工作，是我國信息安全保障的大勢所趨。水利部高度重視網(wǎng)絡(luò)與信息安全工作，2007年9月初便組織開展水利行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作，同年12月底全面完成了信息系統(tǒng)等級(jí)備案工作。信息系統(tǒng)安全等級(jí)保護(hù)工作主要分為定級(jí)、備案、建設(shè)整改、等級(jí)測評(píng)和監(jiān)督檢查等環(huán)節(jié)，現(xiàn)已完成定級(jí)、備案工作，下一步主要工作是建設(shè)整改。根據(jù)《關(guān)于開展信息系統(tǒng)等級(jí)保護(hù)安全建設(shè)整改工作的指導(dǎo)意見》（公信安【2009】1429號(hào)）和水利部工作的實(shí)際情況，水利部將水利網(wǎng)絡(luò)與信息安全系統(tǒng)建設(shè)作為水利信息化八大重點(diǎn)工程之一，并列入《全國水利信息化十二五規(guī)劃》。為此，水利部于2009年開始啟動(dòng)水利部本級(jí)政務(wù)外網(wǎng)信息系統(tǒng)等級(jí)保護(hù)整改工作，進(jìn)一步提高水利部政務(wù)外網(wǎng)信息系統(tǒng)的安全保障能力和防護(hù)水平，確保網(wǎng)絡(luò)與信息系統(tǒng)的安全運(yùn)行。

二、整改目標(biāo)

完善水利部電子政務(wù)外網(wǎng)安全防護(hù)體系，不斷提高水利部電子政務(wù)外網(wǎng)信息系統(tǒng)的安全保障能力和防護(hù)水平，確保網(wǎng)絡(luò)與信息系統(tǒng)的安全穩(wěn)定運(yùn)行，達(dá)到國家信息安全等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)要求。保證水利部業(yè)務(wù)信息和網(wǎng)絡(luò)的機(jī)密性、完整性、可用性、可控性和可審計(jì)性，確保水利部整體達(dá)到信息系統(tǒng)第三級(jí)安全保護(hù)等級(jí)。

三、方案設(shè)計(jì)

（一）方案設(shè)計(jì)目標(biāo)

水利部（部機(jī)關(guān)）等級(jí)保護(hù)建設(shè)整改是根據(jù)國家等級(jí)保護(hù)政策制度的工作方案思路，依照《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（以下簡稱“《基本要求》”）、參照《信息安全技術(shù) 信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》（以下簡稱“《安全設(shè)計(jì)技術(shù)要求》”）等政策標(biāo)準(zhǔn)規(guī)范要求，結(jié)合水利部業(yè)務(wù)信息系統(tǒng)的實(shí)際情況以及水利部《關(guān)于印發(fā)水利網(wǎng)絡(luò)與信息安全體系建設(shè)基本技術(shù)要求的通知》（水文[2010]190號(hào)）相關(guān)文件要求編制總體設(shè)計(jì)方案，用于指導(dǎo)水利部機(jī)關(guān)安全建設(shè)整改工作。方案的總體目標(biāo)是設(shè)計(jì)符合水利部實(shí)際業(yè)務(wù)應(yīng)用、實(shí)際網(wǎng)絡(luò)信息系統(tǒng)運(yùn)行模式和國家等級(jí)保護(hù)建設(shè)整改工作要求的總體方案，實(shí)現(xiàn)水利部機(jī)關(guān)政務(wù)外網(wǎng)的安全保護(hù)總體達(dá)到信息系統(tǒng)安全保護(hù)等級(jí)第三級(jí)基本要求。

（二）方案設(shè)計(jì)框架

水利部安全保障體系框架根據(jù)等級(jí)保護(hù)基本要求，參照國內(nèi)外相關(guān)標(biāo)準(zhǔn)，并結(jié)合水利部已有網(wǎng)絡(luò)與信息安全體系建設(shè)的實(shí)際情況，最終形成依托于安全保護(hù)對(duì)象為基礎(chǔ)，縱向建立安全管理體系、安全技術(shù)體系、安全運(yùn)行體系和安全管理中心的“三個(gè)體系，一個(gè)中心，三重防護(hù)”的安全保障體系框架。如下圖所示：

圖1：信息安全保障體系框架圖

? “三個(gè)體系”：信息安全管理體系、信息安全技術(shù)體系和信息安全運(yùn)行體系，把等級(jí)保護(hù)基本要求的控制點(diǎn)結(jié)合水利部實(shí)際情況形成相適應(yīng)的體系結(jié)構(gòu)框架；

? “一個(gè)中心”：信息安全管理中心，實(shí)現(xiàn)“自動(dòng)、平臺(tái)化”的安全工作管理、統(tǒng)一技術(shù)管理和安全運(yùn)維管理； ? “三重防護(hù)”：安全計(jì)算環(huán)境防護(hù)措施、安全區(qū)域邊界防護(hù)措施和安全網(wǎng)絡(luò)通信防護(hù)措施，把安全技術(shù)控制措施與安全保護(hù)對(duì)象相結(jié)合。

（三）方案編寫思路 方案總體思路：

圖2：方案編寫總體思路

1.信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估和等級(jí)保護(hù)差距

通過采用信息安全風(fēng)險(xiǎn)評(píng)估的方法，對(duì)水利部機(jī)關(guān)政務(wù)外網(wǎng)信息系統(tǒng)進(jìn)行全面綜合分析，并深化對(duì)已經(jīng)定級(jí)、備案的信息系統(tǒng)進(jìn)行資產(chǎn)、脆弱性、威脅和風(fēng)險(xiǎn)綜合分析，在整體網(wǎng)絡(luò)框架基礎(chǔ)上，通過差距分析的方法與等級(jí)保護(hù)基本要求進(jìn)行差距分析，形成信息系統(tǒng)等級(jí)保護(hù)建設(shè)整改的整體安全需求。

2.安全保障體系框架和總體安全策略

根據(jù)等級(jí)保護(hù)的整體保護(hù)框架，并結(jié)合水利部信息安全保障體系建設(shè)的實(shí)際情況，建立符合水利電子政務(wù)系統(tǒng)特性的安全保障體系，分別是安全管理體系、安全技術(shù)體系和安全運(yùn)行體系，并制定各個(gè)體系必要的安全設(shè)計(jì)原則和安全策略。3.安全保障體系總體設(shè)計(jì)方案

結(jié)合水利部機(jī)關(guān)電子政務(wù)外網(wǎng)信息系統(tǒng)的實(shí)際應(yīng)用情況，設(shè)計(jì)具體安全技術(shù)體系控制措施、安全管理體系控制措施和安全運(yùn)行體系控制措施，其中：

? 安全管理體系的實(shí)現(xiàn)依據(jù)《基本要求》，設(shè)計(jì)了水利部機(jī)關(guān)政務(wù)外網(wǎng)的信息安全組織機(jī)構(gòu)、人員安全管理、安全管理制度、系統(tǒng)建設(shè)管理及系統(tǒng)運(yùn)維管理等控制措施；

? 安全技術(shù)體系的實(shí)現(xiàn)一方面重點(diǎn)落實(shí)《基本要求》，另一方面采用《安全設(shè)計(jì)技術(shù)要求》的思路和方法設(shè)計(jì)了安全計(jì)算環(huán)境、安全區(qū)域邊界和安全通信網(wǎng)絡(luò)的控制措施； ? 安全運(yùn)行體系的實(shí)現(xiàn)根據(jù)《基本要求》，設(shè)計(jì)了符合系統(tǒng)全生命周期的安全需求、安全建設(shè)、安全設(shè)計(jì)與安全運(yùn)維的運(yùn)行體系要求，重點(diǎn)闡述了安全運(yùn)維體系的框架和控制組成。? 安全管理中心的實(shí)現(xiàn)根據(jù)《基本要求》和《安全設(shè)計(jì)技術(shù)要求》，結(jié)合水利部機(jī)關(guān)已經(jīng)建立的運(yùn)行保障平臺(tái)，形成覆蓋安全工作管理、安全運(yùn)維管理、統(tǒng)一安全技術(shù)管理于一體的“自動(dòng)、平臺(tái)化”的安全管理中心。4.總體實(shí)施計(jì)劃

根據(jù)總體設(shè)計(jì)方案的安全保障體系要求，結(jié)合水利部機(jī)關(guān)安全建設(shè)的實(shí)際情況，預(yù)計(jì)將水利部機(jī)關(guān)政務(wù)外網(wǎng)信息安全保障體系建設(shè)分成兩個(gè)階段，分別是基本整改和深化完善階段。

四、整改效果

經(jīng)過安全建設(shè)整改后，水利部本級(jí)政務(wù)外網(wǎng)信息系統(tǒng)將在統(tǒng)一的安全保護(hù)策略下，具有抵御大規(guī)模、較強(qiáng)惡意攻擊的能力；具有抵抗較為嚴(yán)重的自然災(zāi)害的能力；具有防范計(jì)算機(jī)病毒和惡意代碼危害的能力；具有檢測、發(fā)現(xiàn)、報(bào)警、記錄入侵行為的能力；具有對(duì)安全事件進(jìn)行響應(yīng)處置、并能夠追蹤安全責(zé)任的能力；在系統(tǒng)遭到損害后，具有能夠較快恢復(fù)正常運(yùn)行狀態(tài)的能力；對(duì)于服務(wù)保障性要求高的系統(tǒng)，具有能快速恢復(fù)正常運(yùn)行狀態(tài)的能力；具有對(duì)系統(tǒng)資源、用戶、安全機(jī)制等進(jìn)行集中控管的能力。

水利等級(jí)保護(hù)整改方案采用了體系化設(shè)計(jì)思路，強(qiáng)化了“集中”安全管理，強(qiáng)調(diào)了安全運(yùn)維工作。該設(shè)計(jì)方案得到了等級(jí)保護(hù)專家的一致認(rèn)可。目前，根據(jù)該設(shè)計(jì)的全面實(shí)施已經(jīng)完成，并順利通過等級(jí)保護(hù)測評(píng)，其中三級(jí)系統(tǒng)最高符合度評(píng)分可達(dá)到89%（即89分），二級(jí)系統(tǒng)最高符合度評(píng)分可達(dá)到96%（即96分），成為截至目前國家測評(píng)機(jī)構(gòu)部委備案系統(tǒng)等級(jí)保護(hù)測評(píng)分值最高的系統(tǒng)。

第四篇：信息安全等級(jí)保護(hù)安全建設(shè)整改工作情況統(tǒng)計(jì)表

附件 1 信息安全等級(jí)保護(hù)安全建設(shè)整改工作情況統(tǒng)計(jì)表
01 單位名稱 02 單位地址 姓 03 單位負(fù)責(zé)人 辦公電話 姓 04 單位聯(lián)系人 辦公電話 05 信息系統(tǒng)總數(shù) 第二級(jí)系統(tǒng) 第四級(jí)系統(tǒng) 移動(dòng)電話 06 未定級(jí)備案信息 系統(tǒng)數(shù)量 第三級(jí)系統(tǒng) 合 計(jì) □是 □ 否 □是 □ 否 □是 □ 否 □是 □ 否 □是 □ 否 □是 □ 否 第三級(jí)系統(tǒng) 合 計(jì) 名 職務(wù)/職稱 名 職務(wù)/職稱

07 已定級(jí)備案信息系 統(tǒng)數(shù)量

（1）是否明確主管領(lǐng)導(dǎo)、責(zé)任部門和具體負(fù)責(zé)人員（2）是否對(duì)信息系統(tǒng)安全建設(shè)整改工作進(jìn)行總體部署 08 信 息 系統(tǒng)安全 建設(shè)整改 工作情況（3）是否對(duì)信息系統(tǒng)進(jìn)行安全保護(hù)現(xiàn)狀分析（4）是否制定信息系統(tǒng)安全建設(shè)整改方案（5）是否組織開展信息系統(tǒng)安全建設(shè)整改工作（6）是否組織開展信息系統(tǒng)安全自查工作 09 已開展安全建設(shè)整 改的信息系統(tǒng)數(shù)量 10 已開展等級(jí)測評(píng)的 信息系統(tǒng)數(shù)量 11 信息系統(tǒng)發(fā)生安全事 件、事故數(shù)量 12 已達(dá)到等級(jí)保護(hù)要 求的信息系統(tǒng)數(shù)量 填表人： 第二級(jí)系統(tǒng) 第四級(jí)系統(tǒng) 第二級(jí)系統(tǒng) 第四級(jí)系統(tǒng) 第二級(jí)系統(tǒng) 第四級(jí)系統(tǒng) 第二級(jí)系統(tǒng) 第四級(jí)系統(tǒng) 審核人：

第三級(jí)系統(tǒng) 合 計(jì)

第三級(jí)系統(tǒng) 合 計(jì)

第三級(jí)系統(tǒng) 合 填表時(shí)間： 計(jì) 年 月 日
1

第五篇：等級(jí)保護(hù)保護(hù)整改與安全建設(shè)工作重要性

等級(jí)保護(hù)保護(hù)整改與安全建設(shè)工作重要性

依據(jù)公通字[2007]43號(hào)文的要求，信息系統(tǒng)定級(jí)工作完成后，運(yùn)營、使用單位首先要按照相關(guān)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行安全建設(shè)和整改，使用符合國家有關(guān)規(guī)定、滿足信息系統(tǒng)安全保護(hù)等級(jí)需求的信息技術(shù)產(chǎn)品，進(jìn)行信息系統(tǒng)安全建設(shè)或者改建工作。

等級(jí)保護(hù)整改的核心是根據(jù)用戶的實(shí)際信息安全需求、業(yè)務(wù)特點(diǎn)及應(yīng)用重點(diǎn)，在確定不同系統(tǒng)重要程度的基礎(chǔ)上，進(jìn)行重點(diǎn)保護(hù)。整改工作要遵循國家等級(jí)保護(hù)相關(guān)要求，將等級(jí)保護(hù)要求體現(xiàn)到方案、產(chǎn)品和安全服務(wù)中去，并切實(shí)結(jié)合用戶信息安全建設(shè)的實(shí)際需求，建設(shè)一套全面保護(hù)、重點(diǎn)突出、持續(xù)運(yùn)行的安全保障體系，將等級(jí)保護(hù)制度確實(shí)落實(shí)到企業(yè)的信息安全規(guī)劃、建設(shè)、評(píng)估、運(yùn)行和維護(hù)等各個(gè)環(huán)節(jié)，保障企業(yè)的信息安全。

啟明星辰等級(jí)保護(hù)整改與安全建設(shè)過程

啟明星辰等級(jí)保護(hù)整改與安全建設(shè)是基于國家信息系統(tǒng)安全等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)和文件的要求，針對(duì)客戶已定級(jí)備案的信息系統(tǒng)、或打算按照等保要求進(jìn)行安全建設(shè)的信息系統(tǒng)，結(jié)合客戶組織架構(gòu)、業(yè)務(wù)要求、信息系統(tǒng)實(shí)際情況，通過一套規(guī)范的等保整改過程，協(xié)助客戶進(jìn)行風(fēng)險(xiǎn)評(píng)估和等級(jí)保護(hù)差距分析，制定完整的安全整改建議方案，并根據(jù)需要協(xié)助客戶對(duì)落實(shí)整改實(shí)施方案或進(jìn)行方案的評(píng)審、招投標(biāo)、整改監(jiān)理等工作，協(xié)助客戶完成信息系統(tǒng)等級(jí)保護(hù)整改和安全建設(shè)工作。

啟明星辰等保整改與建設(shè)過程主要包括等級(jí)保護(hù)差距分析、等級(jí)保護(hù)整改建議方案、等級(jí)保護(hù)整改實(shí)施三個(gè)階段。

(一)等級(jí)保護(hù)差距分析

1.等級(jí)保護(hù)風(fēng)險(xiǎn)評(píng)估

1)評(píng)估目的

對(duì)信息系統(tǒng)進(jìn)行安全等級(jí)評(píng)估是國家推行等級(jí)保護(hù)制度的一個(gè)重要環(huán)節(jié)，也是對(duì)信息系統(tǒng)進(jìn)行安全建設(shè)和管理的重要組成部分。

等級(jí)評(píng)估不同于按照等級(jí)保護(hù)要求進(jìn)行的等保差距分析。風(fēng)險(xiǎn)評(píng)估的目標(biāo)是深入、詳細(xì)地檢查信息系統(tǒng)的安全風(fēng)險(xiǎn)狀況，而差距分析則是按照等保的所有要求進(jìn)行符合性檢查，檢查信息系統(tǒng)現(xiàn)狀與國家等保要求之間的符合程度?？梢哉f，風(fēng)險(xiǎn)評(píng)估的結(jié)果更能體現(xiàn)是客戶信息系統(tǒng)技術(shù)層面的安全現(xiàn)狀，比差距分析結(jié)果在技術(shù)上更加深入。風(fēng)險(xiǎn)評(píng)估的結(jié)果和差距分析結(jié)果都是整改建議方案的輸入。

啟明星辰通過專業(yè)的等級(jí)評(píng)估服務(wù)，協(xié)助用戶完成以下的目標(biāo)：

● 了解信息系統(tǒng)的管理、網(wǎng)絡(luò)和系統(tǒng)安全現(xiàn)狀；

● 確定可能對(duì)資產(chǎn)造成危害的威脅；

● 確定威脅實(shí)施的可能性；

● 對(duì)可能受到威脅影響的資產(chǎn)確定其價(jià)值、敏感性和嚴(yán)重性，以及相應(yīng)的級(jí)別，確定哪些資產(chǎn)是最重要的；

● 對(duì)最重要的、最敏感的資產(chǎn)，確定一旦威脅發(fā)生其潛在的損失或破壞；

● 明確信息系統(tǒng)的已有安全措施的有效性；

● 明晰信息系統(tǒng)的安全管理需求。

2)評(píng)估內(nèi)容

● 資產(chǎn)識(shí)別與賦值

● 主機(jī)安全性評(píng)估

● 數(shù)據(jù)庫安全性評(píng)估

● 安全設(shè)備評(píng)估

現(xiàn)場風(fēng)險(xiǎn)評(píng)估用到的主要評(píng)估方法包括：

● 漏洞掃描

● 控制臺(tái)審計(jì)

● 技術(shù)訪談

3)評(píng)估分析

根據(jù)現(xiàn)場收集的信息及對(duì)這些信息的分析，評(píng)估小組形成定級(jí)信息系統(tǒng)的弱點(diǎn)評(píng)估報(bào)告、風(fēng)險(xiǎn)評(píng)估報(bào)告等文檔，使客戶充分了解信息系統(tǒng)存在的風(fēng)險(xiǎn)，作為等保差距分析的一項(xiàng)重要輸入，并作為后續(xù)整改建設(shè)的重要依據(jù)。

2.等保差距分析

通過差距分析，可以了解客戶信息系統(tǒng)的現(xiàn)狀，確定當(dāng)前系統(tǒng)與相應(yīng)保護(hù)等級(jí)要求之間的差距，確定不符合安全項(xiàng)。

1)準(zhǔn)備差距分析表

項(xiàng)目組通過準(zhǔn)備好的差距分析表，與客戶確認(rèn)現(xiàn)場溝通的對(duì)象（部門和人員），準(zhǔn)備相應(yīng)的檢查內(nèi)容。

在整理差距分析表時(shí)，整改項(xiàng)目組會(huì)根據(jù)信息系統(tǒng)的安全等級(jí)從基本要求中選擇相應(yīng)等級(jí)的基本安全要求，根據(jù)及風(fēng)險(xiǎn)評(píng)估的結(jié)果進(jìn)行調(diào)整，去掉不適用項(xiàng)，增加不能滿足客戶信息系統(tǒng)需求的安全要求。

差距分析表包含以下內(nèi)容：

● 安全技術(shù)差距分析：包括網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)；

● 安全管理差距分析：包括安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理；

● 系統(tǒng)運(yùn)維差距分析：包括環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、監(jiān)控管理和安全管理中心、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、變更管理、備份與恢復(fù)管理、安全事件處置；

● 物理安全差距分析：包括物理位置的選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應(yīng)、電磁防護(hù)。

不同安全保護(hù)級(jí)別的系統(tǒng)所使用的差距分析表的內(nèi)容也不同。

2)現(xiàn)場差距分析

整改項(xiàng)目組依據(jù)差距分析表中的各項(xiàng)安全要求，對(duì)比信息系統(tǒng)現(xiàn)狀和安全要求之間 的差距，確定不符合項(xiàng)。

現(xiàn)場工作階段，整改項(xiàng)目組可分為管理檢查組和技術(shù)檢查組兩個(gè)小組。

在差距分析階段，可以通過以下方式收集信息，詳細(xì)了解客戶信息系統(tǒng)現(xiàn)狀，并通過分析所收集的資料和數(shù)據(jù)，以確認(rèn)客戶信息系統(tǒng)的建設(shè)是否符合該等級(jí)的安全要求，需要進(jìn)行哪些方面的整改。

● 查驗(yàn)文檔資料

● 人員訪談

● 現(xiàn)場測試

3)生成差距分析報(bào)告

完成現(xiàn)場差距分析之后，整改項(xiàng)目組歸納整理、分析現(xiàn)場記錄，找出目前信息系統(tǒng)與等級(jí)保護(hù)安全要求之間的差距，明確不符合項(xiàng)，生成《等級(jí)保護(hù)差距分析報(bào)告》。

(二)等級(jí)保護(hù)整改建議方案

1.整改目標(biāo)溝通確認(rèn)

通過與客戶高層領(lǐng)導(dǎo)、相關(guān)業(yè)務(wù)部門和信息安全管理部門進(jìn)行廣泛的溝通協(xié)商，啟明星辰會(huì)依據(jù)風(fēng)險(xiǎn)評(píng)估和差距分析的結(jié)果，明確等級(jí)保護(hù)整改工作的工作目標(biāo)，提出等級(jí)保護(hù)整改建議方案。

對(duì)暫時(shí)難以進(jìn)行整改的部分內(nèi)容，將在討論后作為遺留問題，明確列在整改建議方案中。

2.總體框架

根據(jù)等保安全要求，啟明星辰提出如下的安全整改建議，其中PMOT體系是信息安全保障總體框架模型。

圖 信息安全PMOT體系模型

啟明星辰根據(jù)建議方案的設(shè)計(jì)原則，協(xié)助客戶制定總體安全保障體系架構(gòu)，包括制定安全策略，結(jié)合等級(jí)保護(hù)基本要求和安全保護(hù)特殊要求，來構(gòu)建客戶信息系統(tǒng)的安全技術(shù)體系、安全管理體系及安全運(yùn)維體系，具體內(nèi)容包括：

● 建立和完善安全策略：最高層次的安全策略文件，闡明安全工作的使命和意愿，定義信息安全工作的總體目標(biāo)。

● 安全技術(shù)體系：安全技術(shù)的保障包括網(wǎng)絡(luò)邊界防御、安全通信網(wǎng)絡(luò)、主機(jī)和應(yīng)用系統(tǒng)安全、檢測響應(yīng)體系、冗余與備份以及安全管理中心。

● 建立和完善安全管理體系：建立安全管理制度，建立信息安全組織，規(guī)范人員管理和系統(tǒng)建議管理?！?安全運(yùn)維體系：機(jī)房安全，資產(chǎn)及設(shè)備安全，網(wǎng)絡(luò)與系統(tǒng)安全管理、監(jiān)控和安全管理等。

展開后的等級(jí)保護(hù)整改與安全建設(shè)總體框架如下圖所示，從信息安全整體策略Policy、安全管理體系Management、安全技術(shù)體系Technology、安全運(yùn)維Operation四個(gè)層面落實(shí)等級(jí)保護(hù)安全基本要求。

圖4 等級(jí)保護(hù)整改與安全建設(shè)總體框架 3.方案說明

● 信息安全策略

信息安全策略是最高管理層對(duì)信息安全的期望和承諾的表達(dá)，位于整個(gè)PMOT信息安全體系的頂層，也是安全管理體系的最高指導(dǎo)方針，明確了信息安全工作總體目標(biāo)，對(duì)技術(shù)和管理各方面的安全工作具有通用指導(dǎo)性。● 安全技術(shù)體系

啟明星辰根據(jù)整改目標(biāo)提出整改方案的安全技術(shù)保障體系，將保障體系框架中要求實(shí)現(xiàn)的網(wǎng)絡(luò)、主機(jī)和應(yīng)用安全落實(shí)到產(chǎn)品功能或物理形態(tài)上，提出能夠?qū)崿F(xiàn)的產(chǎn)品或組件及其具體規(guī)范，并將產(chǎn)品功能特征整理成文檔。使得在信息安全產(chǎn)品采購和安全控制開發(fā)階段具有依據(jù)，主要內(nèi)容包括：網(wǎng)絡(luò)邊界護(hù)御、安全通信網(wǎng)絡(luò)、主機(jī)與應(yīng)用防護(hù)體系、檢測響應(yīng)體系、冗余與備份、信息安全管理中心。

● 安全管理體系

為滿足等?；疽?，應(yīng)建立和完善安全管理體系，包括：完善安全制度體系、完善安全組織、規(guī)范人員管理、規(guī)范系統(tǒng)建設(shè)管理。

● 安全運(yùn)維體系

為滿足等?；疽?，應(yīng)建立和完善安全運(yùn)維體系，包括：環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備管理、網(wǎng)絡(luò)與系統(tǒng)安全管理、系統(tǒng)安全管理、備份與恢復(fù)、惡意代碼防范、變更管理、信息安全事件管理等。

(三)等級(jí)保護(hù)整改實(shí)施

為了更好地協(xié)助客戶落實(shí)等保的整改工作，啟明星辰可以作為集成商、咨詢方、或者監(jiān)理方，協(xié)助客戶落實(shí)整改實(shí)施方案，或協(xié)助進(jìn)行整改實(shí)施方案的評(píng)審、招投標(biāo)、項(xiàng)目監(jiān)理等工作，以完成系統(tǒng)整改和安全建設(shè)工作。

1.制定整改實(shí)施方案

在確定整改實(shí)施的承建單位后，啟明星辰會(huì)提交相關(guān)的工程實(shí)施文檔，包括參照整改建議方案而編制的項(xiàng)目實(shí)施技術(shù)規(guī)劃等文檔，其中涵蓋安全建設(shè)階段的各項(xiàng)實(shí)施細(xì)節(jié)，主要有：

● 項(xiàng)目產(chǎn)品配置清單

● 實(shí)施設(shè)計(jì)方案

● 實(shí)施準(zhǔn)備工作描述，實(shí)施工作步驟

● 實(shí)施風(fēng)險(xiǎn)規(guī)避方案

● 實(shí)施驗(yàn)證方案

● 現(xiàn)場培訓(xùn)方案

工程實(shí)施文檔應(yīng)經(jīng)客戶方的項(xiàng)目負(fù)責(zé)人確認(rèn)后，方可進(jìn)行實(shí)施。

2.整改建設(shè)實(shí)施

啟明星辰承擔(dān)項(xiàng)目實(shí)施的工作，確保落實(shí)客戶信息系統(tǒng)的安全保護(hù)技術(shù)措施，建立健全信息安全管理制度，全面貫徹落實(shí)信息安全等級(jí)保護(hù)制度。

3.整改實(shí)施項(xiàng)目驗(yàn)收

整改實(shí)施工作完成后，啟明星辰提出驗(yàn)收申請(qǐng)和工程測試驗(yàn)收方案，由客戶審批工程測試驗(yàn)收方案（驗(yàn)收目標(biāo)、責(zé)任雙方、驗(yàn)收提交清單、驗(yàn)收標(biāo)準(zhǔn)、驗(yàn)收方式、驗(yàn)收環(huán)境等）的符合性及可行性。

4.等級(jí)保護(hù)運(yùn)維

在整改建設(shè)與實(shí)施工作完成之后，啟明星辰將協(xié)助用戶完成安全運(yùn)維策略的制定，協(xié)助用戶培養(yǎng)專業(yè)人才，進(jìn)行運(yùn)行管理和控制、安全狀態(tài)監(jiān)控、安全事件處置和應(yīng)急、安全檢查和持續(xù)改進(jìn)、等級(jí)保護(hù)測評(píng)和等級(jí)保護(hù)監(jiān)督檢查的工作。