信息安全等級(jí)保護(hù)建設(shè)方案信息安全等級(jí)保護(hù)（二級(jí)）建設(shè)方案3月目錄1. 項(xiàng)目概述 41.1. 項(xiàng)目建設(shè)目的 41.2. 項(xiàng)目參考原則 41.3. 方案設(shè)計(jì)原則 62. 系統(tǒng)現(xiàn)狀分析 72.1. 系統(tǒng)定級(jí)狀況闡明 72.2. 業(yè)務(wù)系統(tǒng)闡明 72.3. 網(wǎng)絡(luò)構(gòu)造闡明 73. 安全需求分析 83.1. 物理安全需求分析 83.2. 網(wǎng)絡(luò)安全需求分析 83.3. 主機(jī)安全需求分析 93.4. 應(yīng)用安全需求分析 93.5. 數(shù)據(jù)安全需求分析 93.6. 安全管理制度需求分析 94. 總體方案設(shè)計(jì) 94.1. 總體設(shè)計(jì)目的 94.2. 總體安全體系設(shè)計(jì) 104.3. 總體網(wǎng)絡(luò)架構(gòu)設(shè)計(jì) 124.4. 安全域劃分闡明 125. 具體方案設(shè)計(jì)技術(shù)部分 135.1. 物理安全 135.2. 網(wǎng)絡(luò)安全 135.2.1. 安全域邊界隔離技術(shù) 135.2.2. 入侵防備技術(shù) 135.2.3. 網(wǎng)頁(yè)防篡改技術(shù) 145.2.4. 鏈路負(fù)載均衡技術(shù) 145.2.5. 網(wǎng)絡(luò)安全審計(jì) 145.3. 主機(jī)安全 155.3.1. 數(shù)據(jù)庫(kù)安全審計(jì) 155.3.2. 運(yùn)維堡壘主機(jī) 155.3.3. 主機(jī)防病毒技術(shù) 165.4. 應(yīng)用安全 166. 具體方案設(shè)計(jì)管理部分 166.1. 總體安全方針與安全方略 176.2. 信息安全管理制度 186.3. 安全管理機(jī)構(gòu) 186.4. 人員安全管理 186.5. 系統(tǒng)建設(shè)管理 196.6. 系統(tǒng)運(yùn)維管理 196.7. 安全管理制度匯總 217. 咨詢服務(wù)和系統(tǒng)測(cè)評(píng) 227.1. 系統(tǒng)定級(jí)服務(wù) 227.2. 風(fēng)險(xiǎn)評(píng)定和安全加固服務(wù) 227.2.1. 漏洞掃描 227.2.2. 滲入測(cè)試 227.2.3. 配備核查 227.2.4. 安全加固 227.2.5. 安全管理制度編寫(xiě) 247.2.6. 安全培訓(xùn) 247.3. 系統(tǒng)測(cè)評(píng)服務(wù) 248. 項(xiàng)目預(yù)算與配備清單 258.1. 項(xiàng)目預(yù)算一期（等保二級(jí)基本規(guī)定） 258.2. 利舊安全設(shè)備使用闡明 26項(xiàng)目概述項(xiàng)目建設(shè)目的為了進(jìn)一步貫徹貫徹教育行業(yè)信息安全等級(jí)保護(hù)制度，推動(dòng)學(xué)校信息安全等級(jí)保護(hù)工作，根據(jù)國(guó)家《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》、《信息系統(tǒng)安全等級(jí)保護(hù)基本規(guī)定》、《信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南》等原則，對(duì)學(xué)校的網(wǎng)絡(luò)和信息系統(tǒng)進(jìn)行等級(jí)保護(hù)定級(jí)，按信息系統(tǒng)逐個(gè)編制訂級(jí)報(bào)告和定級(jí)備案表，并指導(dǎo)學(xué)校信息化人員將定級(jí)材料提交本地公安機(jī)關(guān)備案。本方案中，通過(guò)為滿足物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全五個(gè)方面基本技術(shù)規(guī)定進(jìn)行技術(shù)體系建設(shè)；為滿足安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理五個(gè)方面基本管理規(guī)定進(jìn)行管理體系建設(shè)。使得學(xué)校信息系統(tǒng)的等級(jí)保護(hù)建設(shè)方案最后既能夠滿足等級(jí)保護(hù)的有關(guān)規(guī)定，又能夠全方面為學(xué)校的業(yè)務(wù)系統(tǒng)提供立體、縱深的安全保障防御體系，確保信息系統(tǒng)整體的安全保護(hù)能力。本項(xiàng)目建設(shè)將完畢下列目的：1、以學(xué)校信息系統(tǒng)現(xiàn)有基礎(chǔ)設(shè)施，建設(shè)并完畢滿足等級(jí)保護(hù)二級(jí)系統(tǒng)基本規(guī)定的信息系統(tǒng)，確保學(xué)校的整體信息化建設(shè)符合有關(guān)規(guī)定。2、建立安全管理組織機(jī)構(gòu)。成立信息安全工作組，學(xué)校負(fù)責(zé)人為安全負(fù)責(zé)人，擬定實(shí)施信息系統(tǒng)安全等級(jí)保護(hù)的具體方案，并制訂對(duì)應(yīng)的崗位責(zé)任制，確保信息安全等級(jí)保護(hù)工作順利實(shí)施。3、建立完善的安全技術(shù)防護(hù)體系。根據(jù)信息安全等級(jí)保護(hù)的規(guī)定，建立滿足二級(jí)規(guī)定的安全技術(shù)防護(hù)體系。4、建立健全信息系統(tǒng)安全管理制度。根據(jù)信息安全等級(jí)保護(hù)的規(guī)定，制訂各項(xiàng)信息系統(tǒng)安全管理制度，對(duì)安全管理人員或操作人員執(zhí)行的重要管理操作建立操作規(guī)程和執(zhí)行統(tǒng)計(jì)文檔。5、制訂學(xué)校信息系統(tǒng)不中斷的應(yīng)急預(yù)案。應(yīng)急預(yù)案是安全等級(jí)保護(hù)的重要構(gòu)成部分，按可能出現(xiàn)問(wèn)題的不同情形制訂對(duì)應(yīng)的應(yīng)急方法，在系統(tǒng)出現(xiàn)故障和意外且無(wú)法短時(shí)間恢復(fù)的狀況下能確保生產(chǎn)活動(dòng)持續(xù)進(jìn)行。6、安全培訓(xùn)：為學(xué)校信息化技術(shù)人員提供信息安全有關(guān)專業(yè)技術(shù)知識(shí)培訓(xùn)。項(xiàng)目參考原則我司遵照國(guó)家信息安全等級(jí)保護(hù)指南等最新安全原則以及開(kāi)展各項(xiàng)服務(wù)工作，配合學(xué)校的等級(jí)保護(hù)測(cè)評(píng)工作。本項(xiàng)目建設(shè)參考根據(jù)：指導(dǎo)思想中辦[]27號(hào)文獻(xiàn)（有關(guān)轉(zhuǎn)發(fā)《國(guó)家信息化領(lǐng)導(dǎo)小組有關(guān)加強(qiáng)信息安全保障工作的意見(jiàn)》的告知）公通字[]66號(hào)文獻(xiàn)（有關(guān)印發(fā)《信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)》的告知）公通字[]43號(hào)文獻(xiàn)（有關(guān)印發(fā)《信息安全等級(jí)保護(hù)管理方法》的告知）公信安[]1429《有關(guān)開(kāi)展信息安全等級(jí)保護(hù)安全建設(shè)整治工作的指導(dǎo)意見(jiàn)》全國(guó)人大《有關(guān)加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》國(guó)發(fā)[]23號(hào)《國(guó)務(wù)院有關(guān)大力推動(dòng)信息化發(fā)展和切實(shí)保障信息安全的若干意見(jiàn)》國(guó)發(fā)[]7號(hào)《國(guó)務(wù)院有關(guān)推動(dòng)物聯(lián)網(wǎng)有序健康發(fā)展的指導(dǎo)意見(jiàn)》公信安[]2182號(hào)《有關(guān)加強(qiáng)國(guó)家級(jí)重要信息系統(tǒng)安全保障工作有關(guān)事項(xiàng)的告知》（公信安[]2182號(hào)）等級(jí)保護(hù)GB17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則GB/T25058-信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南系統(tǒng)定級(jí)GB/T22240-信息安全技術(shù)信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南技術(shù)方面GB/T25066-信息安全產(chǎn)品類別與代碼GB/T17900-1999網(wǎng)絡(luò)代理服務(wù)器的安全技術(shù)規(guī)定GB/T0-包過(guò)濾防火墻評(píng)定準(zhǔn)則GB/T20281-防火墻技術(shù)規(guī)定和測(cè)試評(píng)價(jià)辦法GB/T18018-路由器安全技術(shù)規(guī)定GB/T8-路由器安全評(píng)定準(zhǔn)則GB/T20272-操作系統(tǒng)安全技術(shù)規(guī)定GB/T20273-數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)規(guī)定GB/T9-數(shù)據(jù)庫(kù)管理系統(tǒng)安全評(píng)定準(zhǔn)則GB/T20275-入侵檢測(cè)系統(tǒng)技術(shù)規(guī)定和測(cè)試評(píng)價(jià)辦法GB/T20277-網(wǎng)絡(luò)和終端設(shè)備隔離部件測(cè)試評(píng)價(jià)辦法GB/T20279-網(wǎng)絡(luò)和終端設(shè)備隔離部件安全技術(shù)規(guī)定GB/T20278-網(wǎng)絡(luò)脆弱性掃描產(chǎn)品技術(shù)規(guī)定GB/T20280-網(wǎng)絡(luò)脆弱性掃描產(chǎn)品測(cè)試評(píng)價(jià)辦法GB/T20945-信息系統(tǒng)安全審計(jì)產(chǎn)品技術(shù)規(guī)定和測(cè)試評(píng)價(jià)辦法GB/T21028-服務(wù)器安全技術(shù)規(guī)定GB/T25063-服務(wù)器安全側(cè)評(píng)規(guī)定GB/T21050-網(wǎng)絡(luò)交換機(jī)安全技術(shù)規(guī)定（EAL3）GB/T28452-應(yīng)用軟件系統(tǒng)通用安全技術(shù)規(guī)定GB/T29240-終端計(jì)算機(jī)通用安全技術(shù)規(guī)定與測(cè)試評(píng)價(jià)辦法GB/T28456-IPsec合同應(yīng)用測(cè)試規(guī)范GB/T28457-SSL合同應(yīng)用測(cè)試規(guī)范管理方面GB/T20269-信息系統(tǒng)安全管理規(guī)定GB/T28453-信息系統(tǒng)安全管理評(píng)定規(guī)定GB/T20984-信息安全風(fēng)險(xiǎn)評(píng)定規(guī)范GB/T24364-信息安全風(fēng)險(xiǎn)管理指南GB/T20985-信息安全事件管理指南GB/T20986-信息安全事件分類分級(jí)指南GB/T20988-信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范方案設(shè)計(jì)GB/T25070-信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)規(guī)定等保測(cè)評(píng)GB/T28448-信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)規(guī)定GB/T28449-信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南方案設(shè)計(jì)原則針對(duì)本次項(xiàng)目，等級(jí)保護(hù)整治方案的設(shè)計(jì)和實(shí)施將遵照下列原則：保密性原則：我司對(duì)安全服務(wù)的實(shí)施過(guò)程和成果將嚴(yán)格保密，在未經(jīng)顧客方授權(quán)的狀況下不會(huì)泄露給任何單位和個(gè)人，不會(huì)運(yùn)用此數(shù)據(jù)進(jìn)行任何侵害客戶權(quán)益的行為；原則性原則：服務(wù)設(shè)計(jì)和實(shí)施的全過(guò)程均根據(jù)國(guó)內(nèi)或國(guó)際的有關(guān)原則進(jìn)行；根據(jù)等級(jí)保護(hù)二級(jí)基本規(guī)定，進(jìn)行分等級(jí)分安全域進(jìn)行安全設(shè)計(jì)和安全建設(shè)。規(guī)范性原則：我司在各項(xiàng)安全服務(wù)工作中的過(guò)程和文檔，都含有較好的規(guī)范性（《南寧市學(xué)家科技有限公司安全服務(wù)實(shí)施規(guī)范》），能夠便于項(xiàng)目的跟蹤和控制；可控性原則：服務(wù)所使用的工具、辦法和過(guò)程都會(huì)在深信服與顧客方雙方承認(rèn)的范疇之內(nèi)，服務(wù)進(jìn)度恪守進(jìn)度表的安排，確保雙方對(duì)服務(wù)工作的可控性；整體性原則：服務(wù)的范疇和內(nèi)容整體全方面，涉及的IT運(yùn)行的各個(gè)層面，避免由于遺漏造成將來(lái)的安全隱患；最小影響原則：服務(wù)工作盡量小的影響信息系統(tǒng)的正常運(yùn)行，不會(huì)對(duì)現(xiàn)有業(yè)務(wù)造成明顯影響。體系化原則：在體系設(shè)計(jì)、建設(shè)中，深信服充足考慮到各個(gè)層面的安全風(fēng)險(xiǎn)，構(gòu)建完整的立體安全防護(hù)體系。先進(jìn)性原則：為滿足后續(xù)不停增加的業(yè)務(wù)需求、對(duì)安全產(chǎn)品、安全技術(shù)都充足考慮前瞻性規(guī)定，采用先進(jìn)、成熟的安全產(chǎn)品、技術(shù)和先進(jìn)的管理辦法。分環(huán)節(jié)原則：根據(jù)顧客方規(guī)定，對(duì)顧客方安全保障體系進(jìn)行分期、分環(huán)節(jié)的有序布署。服務(wù)細(xì)致化原則：在項(xiàng)目咨詢、建設(shè)過(guò)程中深信服將充足結(jié)合本身的專業(yè)技術(shù)經(jīng)驗(yàn)與行業(yè)經(jīng)驗(yàn)相結(jié)合，結(jié)合顧客方的實(shí)際信息系統(tǒng)量身定做才干夠保障其信息系統(tǒng)安全穩(wěn)定的運(yùn)行。系統(tǒng)現(xiàn)狀分析系統(tǒng)定級(jí)狀況闡明學(xué)校綜合考慮了學(xué)校信息系統(tǒng)、學(xué)校信息系統(tǒng)的業(yè)務(wù)信息和系統(tǒng)服務(wù)類型，以及其受到破壞時(shí)可能受到侵害的客體以及受侵害的程度，經(jīng)學(xué)校省公安廳的同意，已將學(xué)校系統(tǒng)等級(jí)定為等級(jí)保護(hù)第二級(jí)（S2A2G2），整體網(wǎng)絡(luò)信息化平臺(tái)按照二級(jí)進(jìn)行建設(shè)。業(yè)務(wù)系統(tǒng)闡明學(xué)校本次參加整治的共有X個(gè)信息系統(tǒng)，分別是學(xué)校系統(tǒng)、學(xué)校系統(tǒng)、學(xué)校系統(tǒng)、學(xué)校系統(tǒng)，具體狀況介紹以下：學(xué)校門(mén)戶網(wǎng)站系統(tǒng)：門(mén)戶網(wǎng)站（網(wǎng)絡(luò)版）歷經(jīng)系統(tǒng)開(kāi)發(fā)、模擬測(cè)試、網(wǎng)絡(luò)、硬件設(shè)備安裝布署，在試點(diǎn)和實(shí)施過(guò)程當(dāng)中發(fā)現(xiàn)系統(tǒng)仍有局限性之處，需要對(duì)系統(tǒng)進(jìn)行進(jìn)一步完善和改善，重要考慮到由于門(mén)戶網(wǎng)站（網(wǎng)絡(luò)版）作為學(xué)校集中布署的網(wǎng)絡(luò)化重要業(yè)務(wù)系統(tǒng)，其含有應(yīng)用面廣、顧客規(guī)模大，并涉及到學(xué)校對(duì)互聯(lián)網(wǎng)形象，以及基于公眾網(wǎng)上布署的特性，因此系統(tǒng)本身和運(yùn)行環(huán)境均存在一定的安全風(fēng)險(xiǎn)，在數(shù)據(jù)傳輸、安全加密、網(wǎng)絡(luò)監(jiān)控、防入侵等方面的必須要建立一套更有效更完善的安全保護(hù)體系和方法。學(xué)校OA系統(tǒng)：目前學(xué)校舊OA系統(tǒng)準(zhǔn)備停用，并且已經(jīng)開(kāi)發(fā)和準(zhǔn)備上線新的業(yè)務(wù)系統(tǒng)，新的業(yè)務(wù)系統(tǒng)目前準(zhǔn)備對(duì)公網(wǎng)直接公開(kāi)訪問(wèn)，因此涉及到的能夠訪問(wèn)到業(yè)務(wù)系統(tǒng)的規(guī)模比較大，并且整個(gè)網(wǎng)絡(luò)相對(duì)會(huì)比較復(fù)雜、流量多變，因此系統(tǒng)任有較多局限性，在本次建設(shè)過(guò)程中應(yīng)當(dāng)加強(qiáng)安全建設(shè)，系統(tǒng)本身和運(yùn)行環(huán)境均存在一定的安全風(fēng)險(xiǎn)，在數(shù)據(jù)傳輸、安全加密、網(wǎng)絡(luò)監(jiān)控、防入侵等方面的必須要建立一套更有效更完善的安全保護(hù)體系和方法。網(wǎng)絡(luò)構(gòu)造闡明學(xué)校信息系統(tǒng)網(wǎng)絡(luò)拓?fù)鋱D現(xiàn)狀以下：安全需求分析物理安全需求分析目前在機(jī)房建設(shè)方面還存在以下問(wèn)題：物理訪問(wèn)控制；防雷擊；防火墻；防水防潮；溫濕度控制；網(wǎng)絡(luò)安全需求分析邊界入侵防備：該信息系統(tǒng)無(wú)法實(shí)現(xiàn)對(duì)邊界的訪問(wèn)控制，需要布署下一代署防火墻等安全設(shè)備來(lái)實(shí)現(xiàn)。防web攻擊和網(wǎng)頁(yè)防篡改：該信息系統(tǒng)無(wú)法實(shí)現(xiàn)對(duì)邊界的訪問(wèn)控制，需要布署下一代署防火墻等安全設(shè)備來(lái)實(shí)現(xiàn)。安全域邊界安全審計(jì)：該信息系統(tǒng)無(wú)法實(shí)現(xiàn)對(duì)邊界的訪問(wèn)控制，需要布署署網(wǎng)絡(luò)安全審計(jì)等安全設(shè)備來(lái)實(shí)現(xiàn)。主機(jī)安全需求分析主機(jī)防病毒：該信息系統(tǒng)缺少主機(jī)防病毒的有關(guān)安全方略，需要配備網(wǎng)絡(luò)版主機(jī)防病毒系統(tǒng)，從而實(shí)現(xiàn)對(duì)全網(wǎng)主機(jī)的惡意代碼防備。數(shù)據(jù)庫(kù)審計(jì)：該信息系統(tǒng)缺少針對(duì)數(shù)據(jù)的審計(jì)設(shè)備，不能較好的滿足主機(jī)安全審計(jì)的規(guī)定，需要布署專業(yè)的數(shù)據(jù)庫(kù)審計(jì)設(shè)備。運(yùn)維堡壘機(jī)：該該信息系統(tǒng)無(wú)法實(shí)現(xiàn)管理員對(duì)網(wǎng)絡(luò)設(shè)備和服務(wù)器進(jìn)行管理時(shí)的雙因素認(rèn)證，需要布署堡壘機(jī)來(lái)實(shí)現(xiàn)。漏洞掃描：需要布署漏洞掃描實(shí)現(xiàn)對(duì)全網(wǎng)漏洞的掃描。應(yīng)用安全需求分析通信完整性和保密性：該信息系統(tǒng)無(wú)法實(shí)現(xiàn)對(duì)邊界的訪問(wèn)控制，需要布署SSLVPN等安全設(shè)備來(lái)實(shí)現(xiàn)。數(shù)據(jù)安全需求分析備份與恢復(fù)：該該信息系統(tǒng)沒(méi)有完善的數(shù)據(jù)備份與恢復(fù)方案，需要制訂有關(guān)方略。同時(shí)，該信息系統(tǒng)沒(méi)有實(shí)現(xiàn)對(duì)核心網(wǎng)絡(luò)設(shè)備的冗余，建議布署雙鏈路確保設(shè)備冗余。安全管理制度需求分析根據(jù)前期差距分析成果，該單位還欠缺較多安全管理制度，需要后續(xù)補(bǔ)充。總體方案設(shè)計(jì)總體設(shè)計(jì)目的學(xué)校的安全等級(jí)保護(hù)整治方案設(shè)計(jì)的總體目的是根據(jù)國(guó)家等級(jí)保護(hù)的有關(guān)原則和規(guī)范，結(jié)合學(xué)校信息系統(tǒng)的現(xiàn)狀，對(duì)其進(jìn)行重新規(guī)劃和合規(guī)性整治，為其建立一種完整的安全保障體系，有效保障其系統(tǒng)業(yè)務(wù)的正常開(kāi)展，保護(hù)敏感數(shù)據(jù)信息的安全，確保學(xué)校信息系統(tǒng)的安全防護(hù)能力達(dá)成《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本規(guī)定》中第二級(jí)的有關(guān)技術(shù)和管理規(guī)定?？傮w安全體系設(shè)計(jì)本項(xiàng)目提出的等級(jí)保護(hù)體系模型，必須根據(jù)國(guó)家等級(jí)保護(hù)的有關(guān)規(guī)定，運(yùn)用密碼、代碼驗(yàn)證、可信接入控制等核心技術(shù)，在“一種中心三重防御”的框架下實(shí)現(xiàn)對(duì)信息系統(tǒng)的全方面防護(hù)。整個(gè)體系模型以下圖所示：安全管理中心安全管理中心是整個(gè)等級(jí)保護(hù)體系中對(duì)信息系統(tǒng)進(jìn)行集中安全管理的平臺(tái)，是信息系統(tǒng)做到可測(cè)、可控、可管理的必要手段和方法。根據(jù)GB/T25070-信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)規(guī)定中對(duì)安全管理中心的規(guī)定，一種符合基于可信計(jì)算和主動(dòng)防御的等級(jí)保護(hù)體系模型的安全管理中心應(yīng)最少包含下列三個(gè)部分：系統(tǒng)管理實(shí)現(xiàn)對(duì)系統(tǒng)資源和運(yùn)行的配備。控制和管理，并對(duì)系統(tǒng)管理員進(jìn)行身份鑒別，只允許其通過(guò)特定的命令或操作界面進(jìn)行系統(tǒng)管理操作，并對(duì)這些操作進(jìn)行審計(jì)。安全管理實(shí)現(xiàn)對(duì)系統(tǒng)中的主體、客體進(jìn)行統(tǒng)一標(biāo)記，對(duì)主體進(jìn)行授權(quán)，配備一致的安全方略，確保標(biāo)記、授權(quán)和安全方略的數(shù)據(jù)完整性，并對(duì)安全管理員進(jìn)行身份鑒別，只允許其通過(guò)特定的命令或操作界面進(jìn)行安全管理操作，并進(jìn)行審計(jì)。審計(jì)管理實(shí)現(xiàn)對(duì)系統(tǒng)各個(gè)構(gòu)成部分的安全審計(jì)機(jī)制進(jìn)行集中管理，涉及根據(jù)安全審計(jì)方略對(duì)審計(jì)統(tǒng)計(jì)進(jìn)行分類；提供準(zhǔn)時(shí)間段啟動(dòng)和關(guān)閉對(duì)應(yīng)類型的安全審計(jì)機(jī)制；對(duì)各類審計(jì)統(tǒng)計(jì)進(jìn)行存儲(chǔ)、管理和查詢等；對(duì)審計(jì)統(tǒng)計(jì)應(yīng)進(jìn)行分析，根據(jù)分析成果進(jìn)行解決。另外，對(duì)安全審計(jì)員進(jìn)行身份鑒別，只允許其通過(guò)特定的命令或操作界面進(jìn)行安全審計(jì)操作。另外，安全管理中心應(yīng)做到技術(shù)與管理并重，加強(qiáng)在安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等方面的管理力度，規(guī)范安全管理操作規(guī)程，建立完善的安全管理制度集。安全計(jì)算環(huán)境參考基于可信計(jì)算和主動(dòng)防御的等級(jí)保護(hù)模型，安全計(jì)算環(huán)境可劃分成節(jié)點(diǎn)和典型應(yīng)用兩個(gè)子系統(tǒng)。在解決方案中，這兩個(gè)子系統(tǒng)都將通過(guò)終端安全保護(hù)體系的建立來(lái)實(shí)現(xiàn)。信息安全事故的源頭重要集中在顧客終端，要實(shí)現(xiàn)一種可信的、安全的計(jì)算環(huán)境，就必須從終端安全抓起。因此，根據(jù)等級(jí)保護(hù)在身份鑒別，訪問(wèn)控制（涉及強(qiáng)制訪問(wèn)控制）、網(wǎng)絡(luò)行為控制（涉及上網(wǎng)控制、違規(guī)外聯(lián)的控制）、應(yīng)用安全、數(shù)據(jù)安全、安全審計(jì)等方面的技術(shù)規(guī)定，可充足結(jié)合可信計(jì)算技術(shù)和主動(dòng)防御技術(shù)的先進(jìn)性和安全性，提出一種基于可信計(jì)算和主動(dòng)防御的終端安全保護(hù)體系模型，以實(shí)現(xiàn)從應(yīng)用層、系統(tǒng)層、核心層三個(gè)方面對(duì)計(jì)算環(huán)境的全方面防護(hù)。安全區(qū)域邊界為保護(hù)邊界安全，本解決方案針對(duì)構(gòu)建一種安全的區(qū)域邊界提出的解決手段是在被保護(hù)的信息邊界布署一種“應(yīng)用訪問(wèn)控制系統(tǒng)”。該系統(tǒng)應(yīng)能夠?qū)崿F(xiàn)下列功效：信息層的自主和強(qiáng)制訪問(wèn)控制、防備SQL注入攻擊和跨站攻擊、抗DoS/DDoS攻擊端口掃描、數(shù)據(jù)包過(guò)濾、網(wǎng)絡(luò)地址換、安全審計(jì)等。由于國(guó)內(nèi)外在這首先的有關(guān)技術(shù)非常成熟，因此，在本次系統(tǒng)整治總體設(shè)計(jì)中更多的是考慮如何將防火墻、防病毒網(wǎng)關(guān)、網(wǎng)絡(luò)安全審計(jì)系統(tǒng)、IDS、IPS、網(wǎng)管系統(tǒng)等有機(jī)地結(jié)合在一起，實(shí)現(xiàn)協(xié)同防護(hù)和聯(lián)動(dòng)解決。另外，對(duì)于不同安全等級(jí)信息系統(tǒng)之間的互連邊界，可根據(jù)根據(jù)信息流向的高低，布署防火墻或安全隔離與信息交換系統(tǒng)，并配備對(duì)應(yīng)的安全方略以實(shí)現(xiàn)對(duì)信息流向的控制。安全通信網(wǎng)絡(luò)目前，在通信網(wǎng)絡(luò)安全方面，采用密碼等核心技術(shù)實(shí)現(xiàn)的各類VPN都能夠很有效的解決這類問(wèn)題，達(dá)成在滿足等級(jí)保護(hù)有關(guān)規(guī)定的同時(shí)，可靈活提高通信網(wǎng)絡(luò)安全性的效果?？傮w網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)學(xué)校網(wǎng)絡(luò)架構(gòu)整體設(shè)計(jì)以下：安全域劃分闡明安全域的劃分是網(wǎng)絡(luò)防護(hù)的基礎(chǔ)，事實(shí)上每一種安全邊界所包含的區(qū)域都形成了一種安全域。這些區(qū)域含有不同的使命，含有不同的功效，分域保護(hù)的框架為明確各個(gè)域的安全等級(jí)奠定了基礎(chǔ)，確保了信息流在交換過(guò)程中的安全性。在本項(xiàng)目中，將嚴(yán)格按照信息系統(tǒng)的重要性和網(wǎng)絡(luò)使用的邏輯特性劃分安全域，將劃分以下擬定的安全域：互聯(lián)網(wǎng)出口域，該區(qū)域闡明以下：專網(wǎng)出口域，該區(qū)域闡明以下：重要承載互聯(lián)網(wǎng)出口，出口主干需要布署對(duì)應(yīng)的安全邊界產(chǎn)品。終端接入域，該區(qū)域闡明以下：重要是無(wú)線和有線終端接入；對(duì)外服務(wù)器域，該區(qū)域闡明以下：該區(qū)域重要承載對(duì)外公布服務(wù)器，例如學(xué)校的網(wǎng)站；內(nèi)部服務(wù)器域，該區(qū)域闡明以下：重要承載對(duì)內(nèi)的服務(wù)器和存儲(chǔ)，例如OA和學(xué)校專業(yè)先關(guān)零時(shí)性的實(shí)驗(yàn)服務(wù)器。安全管理域，該區(qū)域闡明以下：重要承載網(wǎng)絡(luò)管理先關(guān)設(shè)備，例如網(wǎng)管系統(tǒng)，防病毒升級(jí)服務(wù)器等。具體方案設(shè)計(jì)技術(shù)部分物理安全根據(jù)GB/T25070-信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)規(guī)定中物理安全的規(guī)定，應(yīng)從下列方面進(jìn)行整治：網(wǎng)絡(luò)安全安全域邊界隔離技術(shù)根據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)基本規(guī)定》，應(yīng)當(dāng)在學(xué)校各安全域的邊界處布署防火墻設(shè)備，確?？绨踩虻脑L問(wèn)都通過(guò)防火墻進(jìn)行控制管理。因此，在互聯(lián)網(wǎng)出口域邊界布署下一代防火墻，在內(nèi)網(wǎng)服務(wù)器區(qū)域邊界布署WEB應(yīng)用防火墻。入侵防備技術(shù)根據(jù)等級(jí)保護(hù)基本規(guī)定，二級(jí)業(yè)務(wù)系統(tǒng)應(yīng)當(dāng)在互聯(lián)網(wǎng)出口處實(shí)現(xiàn)入侵防備功效，因此，在互聯(lián)網(wǎng)出口的下一代防火墻上啟用入侵防御模塊非常有必要。二級(jí)業(yè)務(wù)系統(tǒng)應(yīng)當(dāng)在互聯(lián)網(wǎng)出口處布署網(wǎng)絡(luò)層防病毒設(shè)備，并確保與主機(jī)層防病毒實(shí)現(xiàn)病毒庫(kù)的異構(gòu)。因此，在互聯(lián)網(wǎng)出口的下一代防火墻上啟用防病毒模塊非常有必要。網(wǎng)頁(yè)防篡改技術(shù)學(xué)校網(wǎng)站承載了學(xué)校等重要職責(zé)，暴露在互聯(lián)網(wǎng)上，隨時(shí)見(jiàn)面臨網(wǎng)頁(yè)被篡改及黑客攻擊的危險(xiǎn)，因此，在互聯(lián)網(wǎng)出口的下一代防火墻上啟用網(wǎng)頁(yè)防篡改功效非常有必要。鏈路負(fù)載均衡技術(shù)根據(jù)等級(jí)保護(hù)基本規(guī)定，二級(jí)業(yè)務(wù)系統(tǒng)應(yīng)當(dāng)在互聯(lián)網(wǎng)出口處進(jìn)行優(yōu)化控制，確保顧客訪問(wèn)選擇最優(yōu)的鏈路。因此，建議在二期布署一套專業(yè)的鏈路負(fù)載均衡設(shè)備非常有必要。網(wǎng)絡(luò)安全審計(jì)針對(duì)顧客訪問(wèn)業(yè)務(wù)系統(tǒng)帶給我們的困擾以及諸多的安全隱患，必須布署一套日志審計(jì)系統(tǒng)運(yùn)用實(shí)時(shí)跟蹤分析技術(shù)，從發(fā)起者、訪問(wèn)時(shí)間、訪問(wèn)對(duì)象、訪問(wèn)辦法、使用頻率各個(gè)角度，提供豐富的統(tǒng)計(jì)分析報(bào)告，協(xié)助顧客在統(tǒng)一管理互聯(lián)網(wǎng)訪問(wèn)日志的同時(shí)，及時(shí)發(fā)現(xiàn)安全隱患，協(xié)助優(yōu)化網(wǎng)絡(luò)資源的使用。根據(jù)公安部等級(jí)保護(hù)基本規(guī)定，全部信息系統(tǒng)都需要布署日志審計(jì)系統(tǒng)，并保存3個(gè)月的日志，學(xué)校擁有龐大的網(wǎng)絡(luò)海量的數(shù)據(jù)交換，目前還沒(méi)有布署日志審計(jì)系統(tǒng)。因此，建議在二期布署一套日志審計(jì)系統(tǒng)對(duì)全網(wǎng)行為進(jìn)行監(jiān)控、日志進(jìn)行統(tǒng)計(jì)。布署設(shè)計(jì)：日志審計(jì)系統(tǒng)旁路布署在核心交換上，實(shí)現(xiàn)全網(wǎng)的網(wǎng)絡(luò)行為的統(tǒng)一審計(jì)，收集網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)系統(tǒng)等設(shè)備的運(yùn)行狀況、網(wǎng)絡(luò)流量、顧客行為等日志信息，并對(duì)收集到的日志信息進(jìn)行分類和關(guān)聯(lián)分析，并可根據(jù)審計(jì)人員的操作規(guī)定生成統(tǒng)計(jì)報(bào)表，方便查詢和生成報(bào)告，為網(wǎng)絡(luò)事件追溯提供證據(jù)。主機(jī)安全數(shù)據(jù)庫(kù)安全審計(jì)建議在二期布署數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)，實(shí)現(xiàn)對(duì)顧客行為、顧客事件及系統(tǒng)狀態(tài)加以審計(jì)，范疇覆蓋到每個(gè)顧客，從而把握數(shù)據(jù)庫(kù)系統(tǒng)的整體安全。布署設(shè)計(jì)：數(shù)據(jù)庫(kù)審計(jì)布署于數(shù)據(jù)庫(kù)前端交換機(jī)上，通過(guò)端口鏡像收集信息。運(yùn)維堡壘主機(jī)對(duì)運(yùn)維的管理現(xiàn)狀進(jìn)行分析，我們認(rèn)為造成這種不安全現(xiàn)狀的因素是多方面的，總結(jié)起來(lái)重要有下列幾點(diǎn)：各IT系統(tǒng)獨(dú)立的帳戶管理體系造成身份管理的換亂，而身份的唯一性又恰恰是認(rèn)證、授權(quán)、審計(jì)的根據(jù)和前提，因此身份的混亂事實(shí)上造成設(shè)備訪問(wèn)的混亂。各IT系統(tǒng)獨(dú)立管理，風(fēng)險(xiǎn)分散在各系統(tǒng)中，各個(gè)擊破困難大，這種管理方式造成了業(yè)務(wù)管理和安全之間的失衡。核心服務(wù)器或設(shè)備的物理安全和臨機(jī)訪問(wèn)安全通過(guò)門(mén)禁系統(tǒng)和錄像系統(tǒng)得以較好的解決，可是對(duì)她們的網(wǎng)絡(luò)訪問(wèn)缺少控制或欠缺控制力度，在帳號(hào)、密碼、認(rèn)證、授權(quán)、審計(jì)等各方面缺少有效的集中管理技術(shù)手段。目前，學(xué)校使用數(shù)量眾多的網(wǎng)絡(luò)設(shè)備、服務(wù)器主機(jī)來(lái)提供基礎(chǔ)網(wǎng)絡(luò)服務(wù)、運(yùn)行核心業(yè)務(wù)、數(shù)據(jù)庫(kù)應(yīng)用、ERP和協(xié)同工作群件等服務(wù)。由于設(shè)備和服務(wù)器眾多，系統(tǒng)管理員壓力太大等因素，越權(quán)訪問(wèn)、誤操作、濫用、惡意破壞等狀況時(shí)有發(fā)生，這嚴(yán)重影響信息系統(tǒng)的運(yùn)行效能，另外黑客的惡意訪問(wèn)也有可能獲取系統(tǒng)權(quán)限，闖進(jìn)部門(mén)內(nèi)部網(wǎng)絡(luò)，造成不可估計(jì)的損失。如何提高系統(tǒng)運(yùn)維管理水平，跟蹤服務(wù)器上顧客的操作行為，避免黑客的入侵和破壞，提供控制和審計(jì)根據(jù)，減少運(yùn)維成本，滿足有關(guān)原則規(guī)定，越來(lái)越成為信息系統(tǒng)關(guān)心的問(wèn)題，因此建議在學(xué)校二期安全建設(shè)有必要布署一套運(yùn)維堡壘主機(jī)來(lái)實(shí)現(xiàn)賬戶的安全維護(hù)。布署設(shè)計(jì)：運(yùn)維審計(jì)系統(tǒng)布署在安全管理域，通過(guò)交換機(jī)的訪問(wèn)控制方略限定只能由堡壘主機(jī)內(nèi)控管理平臺(tái)直接訪問(wèn)服務(wù)器的遠(yuǎn)程維護(hù)端口。維護(hù)人員對(duì)網(wǎng)絡(luò)設(shè)備、安全設(shè)備和服務(wù)器系統(tǒng)進(jìn)行遠(yuǎn)程維護(hù)時(shí)，首先以Web方式登錄運(yùn)維審計(jì)系統(tǒng)，然后通過(guò)運(yùn)維審計(jì)系統(tǒng)上呈現(xiàn)的訪問(wèn)資源列表直接訪問(wèn)授權(quán)資源。主機(jī)防病毒技術(shù)學(xué)校目前網(wǎng)絡(luò)內(nèi)全部終端使用免費(fèi)的殺毒軟件，基本滿足等級(jí)保護(hù)二級(jí)的規(guī)定，可是現(xiàn)在重要服務(wù)器并沒(méi)有布署專業(yè)的殺毒軟件，建議第一期布署殺毒軟件。布署設(shè)計(jì)軟件客戶端布署在內(nèi)外防服務(wù)器上面，通過(guò)管理區(qū)域防病毒升級(jí)服務(wù)器對(duì)病毒規(guī)則庫(kù)進(jìn)行升級(jí)。應(yīng)用安全根據(jù)等級(jí)保護(hù)的規(guī)定，二級(jí)業(yè)務(wù)系統(tǒng)必須加密傳輸，因此需要布署SSLVPN技術(shù)實(shí)現(xiàn)應(yīng)用系統(tǒng)遠(yuǎn)程訪問(wèn)的加密，如果后期OA系統(tǒng)需要實(shí)現(xiàn)出差老師或則在外網(wǎng)的人能夠訪問(wèn)需要上SSLVPN設(shè)備。布署設(shè)計(jì)：SSLVPN旁路布署于核心交換機(jī)上。具體方案設(shè)計(jì)管理部分安全管理體系的作用是通過(guò)建立健全組織機(jī)構(gòu)、規(guī)章制度，以及通過(guò)人員安全管理、安全教育與培訓(xùn)和各項(xiàng)管理制度的有效執(zhí)行，來(lái)貫徹人員職責(zé)，擬定行為規(guī)范，確保技術(shù)方法真正發(fā)揮效用，與技術(shù)體系共同保障安全方略的有效貫徹和貫徹。信息安全管理體系重要涉及組織機(jī)構(gòu)、規(guī)章制度、人員安全、安全教育和培訓(xùn)等四個(gè)方面內(nèi)容?？傮w安全方針與安全方略總體安全方針與安全方略是指導(dǎo)顧客方全部信息安全工作的大綱性文獻(xiàn)，是信息安全決策機(jī)構(gòu)對(duì)信息安全工作的決策和意圖的表述?？傮w安全方針與安全方略的作用在于統(tǒng)一對(duì)信息安全工作的認(rèn)識(shí)，規(guī)定信息安全的基本架構(gòu)，明確信息安全的根本目的和原則。本次項(xiàng)目中深信服將協(xié)助顧客方擬定安全管理體系的層次及建立方式，明確各層次在安全管理體系中的職責(zé)以及安全方略，建立含有高可操作性的考核體系，以加強(qiáng)安全方略及各項(xiàng)管理制度的可貫徹性。我方為顧客方設(shè)計(jì)的總體安全方針與安全方略將含有下列特性：安全方略緊緊圍繞行業(yè)的發(fā)展戰(zhàn)略，符合顧客方實(shí)際的信息安全需求，能保障與增進(jìn)信息化建設(shè)的順利進(jìn)行，避免抱負(fù)化與不可操作性?？傮w安全方針與安全方略中將明確論述顧客方全部信息化建設(shè)項(xiàng)目在規(guī)劃設(shè)計(jì)、開(kāi)發(fā)建設(shè)、運(yùn)行維護(hù)和變更廢棄等各階段，應(yīng)遵照的總體原則和規(guī)定。安全方略在通過(guò)顧客方信息安全決策機(jī)構(gòu)同意之后，將含有指導(dǎo)和規(guī)范信息安全工作的效力。安全方略中將規(guī)定其本身的時(shí)效性，當(dāng)信息系統(tǒng)運(yùn)行環(huán)境發(fā)生重大變化時(shí)，我方將協(xié)助顧客方及時(shí)對(duì)總體安全方略進(jìn)行必要的調(diào)節(jié)，并將調(diào)節(jié)后的方略提交顧客方信息安全決策機(jī)構(gòu)同意。信息安全管理制度根據(jù)安全管理制度的基本規(guī)定制訂各類管理規(guī)定、管理方法和暫行規(guī)定。從安全方略主文檔中規(guī)定的安全各個(gè)方面所應(yīng)恪守的原則辦法和指導(dǎo)性方略引出的具體管理規(guī)定、管理方法和實(shí)施方法，是含有可操作性，且必須得到有效推行和實(shí)施的制度。制訂嚴(yán)格的制訂與公布流程，方式，范疇等，制度需要統(tǒng)一格式并進(jìn)行有效版本控制；公布方式需要正式、有效并注明公布范疇，對(duì)收發(fā)文進(jìn)行登記。信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)定時(shí)組織有關(guān)部門(mén)和有關(guān)人員對(duì)安全管理制度體系的合理性和合用性進(jìn)行審定，定時(shí)或不定時(shí)對(duì)安全管理制度進(jìn)行評(píng)審和修訂，修訂局限性及進(jìn)行改善。安全管理機(jī)構(gòu)根據(jù)基本規(guī)定設(shè)立安全管理機(jī)構(gòu)的組織形式和運(yùn)作方式，明確崗位職責(zé)；設(shè)立安全管理崗位，設(shè)立系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等崗位，根據(jù)規(guī)定進(jìn)行人員配備，配備專職安全員；成立指導(dǎo)和管理信息安全工作的委員會(huì)或領(lǐng)導(dǎo)小組，其最高領(lǐng)導(dǎo)由單位主管領(lǐng)導(dǎo)委任或授權(quán)；制訂文獻(xiàn)明確安全管理機(jī)構(gòu)各個(gè)部門(mén)和崗位的職責(zé)、分工和技能規(guī)定。建立授權(quán)與審批制度；建立內(nèi)外部溝通合作渠道；定時(shí)進(jìn)行全方面安全檢查，特別是系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等。人員安全管理人員安全管理重要涉及人員錄用、離崗、考核、教育培訓(xùn)等內(nèi)容。普通單位都有統(tǒng)一的人事管理部門(mén)負(fù)責(zé)人員管理，這里的人員安全管理重要指對(duì)核心崗位人員進(jìn)行的以安全為核心的管理，例如對(duì)核心崗位的人員采用在錄用或上崗邁進(jìn)行全方面、嚴(yán)格的安全審查和技能考核，與核心崗位人員簽訂保密合同，對(duì)離崗人員撤銷系統(tǒng)帳戶和有關(guān)權(quán)限等方法。只有重視對(duì)安全管理人員的培養(yǎng)，提高其安全防備意識(shí)，才干做到安全有效的防備，因此需要對(duì)各類人員進(jìn)行安全意識(shí)教育、崗位技能培訓(xùn)和有關(guān)安全技術(shù)培訓(xùn)。培訓(xùn)的內(nèi)容涉及單位的信息安全方針、信息安全方面的基礎(chǔ)知識(shí)、安全技術(shù)、安全原則、崗位操作規(guī)程、最新的工作流程、有關(guān)的安全責(zé)任規(guī)定、法律責(zé)任和懲戒方法等。具體根據(jù)原則《基本規(guī)定》中人員安全管理，同時(shí)能夠參考《信息系統(tǒng)安全管理規(guī)定》等。系統(tǒng)建設(shè)管理系統(tǒng)建設(shè)管理的重點(diǎn)是與系統(tǒng)建設(shè)活動(dòng)有關(guān)的過(guò)程管理，由于重要的建設(shè)活動(dòng)是由服務(wù)方，如集成方、開(kāi)發(fā)方、測(cè)評(píng)方、安全服務(wù)方等完畢，運(yùn)行使用單位人員的重要工作是對(duì)之進(jìn)行管理，應(yīng)制訂系統(tǒng)建設(shè)有關(guān)的管理制度，明確系統(tǒng)定級(jí)備案、方案設(shè)計(jì)、產(chǎn)品采購(gòu)使用、軟件開(kāi)發(fā)、工程實(shí)施、驗(yàn)收交付、等級(jí)測(cè)評(píng)、安全服務(wù)等活動(dòng)的管理責(zé)任部門(mén)、具體的管理內(nèi)容和控制辦法，并按照管理制度貫徹各項(xiàng)管理方法，完整保存有關(guān)的管理統(tǒng)計(jì)和過(guò)程文檔。具體根據(jù)原則《基本規(guī)定》中系統(tǒng)建設(shè)管理。系統(tǒng)運(yùn)維管理環(huán)境和資產(chǎn)安全管理制度環(huán)境涉及計(jì)算機(jī)、網(wǎng)絡(luò)機(jī)房環(huán)境以及設(shè)立有網(wǎng)絡(luò)終端的辦公環(huán)境，明確環(huán)境安全管理的責(zé)任部門(mén)或負(fù)責(zé)人，加強(qiáng)對(duì)人員出入、來(lái)訪人員的控制，對(duì)有關(guān)物理訪問(wèn)、物品進(jìn)出和環(huán)境安全等方面作出規(guī)定。對(duì)重要區(qū)域設(shè)立門(mén)禁控制手段，或使用視頻監(jiān)控等方法。資產(chǎn)涉及介質(zhì)、設(shè)備、設(shè)施、數(shù)據(jù)、軟件、文檔等，資產(chǎn)管理不等同于設(shè)備物資管理，而是從安全和信息系統(tǒng)角度對(duì)資產(chǎn)進(jìn)行管理，將資產(chǎn)作為信息系統(tǒng)的構(gòu)成部分，按其在信息系統(tǒng)中的作用進(jìn)行管理。應(yīng)明確資產(chǎn)安全管理的責(zé)任部門(mén)或負(fù)責(zé)人，對(duì)資產(chǎn)進(jìn)行分類、標(biāo)記，編制與信息系統(tǒng)有關(guān)的軟件資產(chǎn)、硬件資產(chǎn)等資產(chǎn)清單。具體根據(jù)原則《基本規(guī)定》中系統(tǒng)運(yùn)維管理，同時(shí)能夠參考《信息系統(tǒng)安全管理規(guī)定》等。2、設(shè)備和介質(zhì)安全管理制度明確配套設(shè)施、軟硬件設(shè)備管理、維護(hù)的責(zé)任部門(mén)或負(fù)責(zé)人，對(duì)信息系統(tǒng)的多個(gè)軟硬件設(shè)備采購(gòu)、發(fā)放、領(lǐng)用、維護(hù)和維修等過(guò)程進(jìn)行控制，對(duì)介質(zhì)的寄存、使用、維護(hù)和銷毀等方面作出規(guī)定，加強(qiáng)對(duì)涉外維修、敏感數(shù)據(jù)銷毀等過(guò)程的監(jiān)督控制。具體根據(jù)原則《基本規(guī)定》中系統(tǒng)運(yùn)維管理，同時(shí)能夠參考《信息系統(tǒng)安全管理規(guī)定》等。3、日常運(yùn)行維護(hù)制度明確網(wǎng)絡(luò)、系統(tǒng)日常運(yùn)行維護(hù)的責(zé)任部門(mén)或負(fù)責(zé)人，對(duì)運(yùn)行管理中的日常操作、賬號(hào)管理、安全配備、日志管理、補(bǔ)丁升級(jí)、口令更新等過(guò)程進(jìn)行控制和管理；制訂設(shè)備操作管理、業(yè)務(wù)應(yīng)用操作管理、變更控制和重用管理、信息交換管理對(duì)應(yīng)的管理制度；制訂與信息系統(tǒng)安全管理相配套的規(guī)范和操作規(guī)程并貫徹執(zhí)行；對(duì)的實(shí)施為信息系統(tǒng)可靠運(yùn)行而采用的多個(gè)檢測(cè)、監(jiān)控、審計(jì)、分析、備份及容錯(cuò)等辦法和方法，對(duì)運(yùn)行安全進(jìn)行監(jiān)督檢查。具體根據(jù)原則《基本規(guī)定》中系統(tǒng)運(yùn)維管理，同時(shí)能夠參考《信息系統(tǒng)安全管理規(guī)定》等。4、集中安全管理制度第二級(jí)以上信息系統(tǒng)應(yīng)按照統(tǒng)一的安全方略、安全管理規(guī)定，統(tǒng)一管理信息系統(tǒng)的安全運(yùn)行，進(jìn)行安全機(jī)制的配備與管理，對(duì)設(shè)備安全配備、惡意代碼、補(bǔ)丁升級(jí)、安全審計(jì)等進(jìn)行管理，對(duì)與安全有關(guān)的信息進(jìn)行聚集與分析，對(duì)安全機(jī)制進(jìn)行集中管理。具體根據(jù)原則《基本規(guī)定》中系統(tǒng)運(yùn)維管理，同時(shí)能夠參考《信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)規(guī)定》和《信息系統(tǒng)安全管理規(guī)定》等。事件解決與應(yīng)急響應(yīng)制度按照國(guó)家有關(guān)原則規(guī)定，擬定信息安全事件的等級(jí)。結(jié)合信息系統(tǒng)安全保護(hù)等級(jí)，制訂信息安全事件分級(jí)應(yīng)急解決預(yù)案，明確應(yīng)急解決方略，貫徹應(yīng)急指揮部門(mén)、執(zhí)行部門(mén)和技術(shù)支撐部門(mén)，建立應(yīng)急協(xié)調(diào)機(jī)制。貫徹安全事件報(bào)告制度，第二級(jí)以上信息系統(tǒng)發(fā)生較大、重大、特別重大安全事件時(shí)，運(yùn)行使用單位按攝影應(yīng)預(yù)案開(kāi)展應(yīng)急解決，并及時(shí)向受理備案的公安機(jī)關(guān)報(bào)告。組織應(yīng)急技術(shù)支撐力量和專家隊(duì)伍，按照應(yīng)急預(yù)案定時(shí)組織開(kāi)展應(yīng)急演習(xí)。具體根據(jù)原則《基本規(guī)定》中系統(tǒng)運(yùn)維管理，同時(shí)能夠參考《信息安全事件分類分級(jí)指南》和《信息安全事件管理指南》等。災(zāi)難備份制度要對(duì)第二級(jí)以上信息系統(tǒng)采用災(zāi)難備份方法，避免重大事故、事件發(fā)生。識(shí)別需要定時(shí)備份的重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等，制訂數(shù)據(jù)的備份方略和恢復(fù)方略，建立備份與恢復(fù)管理有關(guān)的安全管理制度。具體根據(jù)原則《基本規(guī)定》中系統(tǒng)運(yùn)維管理和《信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》。安全監(jiān)測(cè)制度開(kāi)展信息系統(tǒng)實(shí)時(shí)安全監(jiān)測(cè)，實(shí)現(xiàn)對(duì)物理環(huán)境、通信線路、主機(jī)、網(wǎng)絡(luò)設(shè)備、顧客行為和業(yè)務(wù)應(yīng)用等的監(jiān)測(cè)和報(bào)警，及時(shí)發(fā)現(xiàn)設(shè)備故障、病毒入侵、黑客攻擊、誤用和誤操作等安全事件，方便及時(shí)對(duì)安全事件進(jìn)行響應(yīng)與解決。具體根據(jù)原則《基本規(guī)定》中系統(tǒng)運(yùn)維管理。8、其它制度對(duì)系統(tǒng)運(yùn)行維護(hù)過(guò)程中的其它活動(dòng)，如系統(tǒng)變更、密碼使用等進(jìn)行控制和管理。按國(guó)家密碼管理部門(mén)的規(guī)定，對(duì)信息系統(tǒng)中密碼算法和密鑰的使用進(jìn)行分級(jí)管理。安全管理制度匯總制訂安全檢查制度，明確檢查的內(nèi)容、方式、規(guī)定等，檢查各項(xiàng)制度、方法的貫徹狀況，并不停完善。定時(shí)對(duì)信息系統(tǒng)安全狀況進(jìn)行自查，第二級(jí)系統(tǒng)每?jī)赡曜圆橐淮危谌?jí)信息系統(tǒng)每年自查一次，第四級(jí)信息系統(tǒng)每六個(gè)月自查一次。經(jīng)自查，信息系統(tǒng)安全狀況未達(dá)成安全保護(hù)等級(jí)規(guī)定的，應(yīng)當(dāng)進(jìn)一步開(kāi)展整治。具體根據(jù)原則《基本規(guī)定》中安全管理機(jī)構(gòu)，同時(shí)能夠參考《信息系統(tǒng)安全管理規(guī)定》等。最后提交安全制度涉及但不限于下列內(nèi)容：總體安全方略（組織、流程、方略、技術(shù)）崗位安全責(zé)任制度第三方安全管理制度系統(tǒng)日常安全管理工作制度系統(tǒng)安全評(píng)定管理方法機(jī)房建設(shè)運(yùn)行原則安全區(qū)域劃分及管理規(guī)定管理信息區(qū)域網(wǎng)管制度系統(tǒng)建設(shè)管理制度設(shè)備入網(wǎng)安全管理制度系統(tǒng)軟件和補(bǔ)丁管理制度備份與恢復(fù)管理制度賬號(hào)和口令及權(quán)限管理制度介質(zhì)管理加密技術(shù)使用管理方法應(yīng)急預(yù)案管理制度安全事件報(bào)告和解決管理制度安全審計(jì)管理咨詢服務(wù)和系統(tǒng)測(cè)評(píng)系統(tǒng)定級(jí)服務(wù)協(xié)助顧客單位，根據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》，擬定信息系統(tǒng)的安全保護(hù)等級(jí)，準(zhǔn)備定級(jí)備案表和定級(jí)報(bào)告，協(xié)助顧客單位向所在地區(qū)的公安機(jī)關(guān)辦理備案手續(xù)。風(fēng)險(xiǎn)評(píng)定和安全加固服務(wù)通過(guò)漏洞掃