信息安全等級保護與解決方案

信息安全等級保護與解決方案信息安全等級保護與解決方案信息安全等級保護

信息安全現(xiàn)狀與問題信息安全等級保護簡介信息安全解決方案

信息安全技術信息安全管理信息安全方案信息安全現(xiàn)狀日益增長的安全威脅攻擊技術越來越復雜入侵條件越來越簡單信息安全問題安全事件每年都有上千家政府網(wǎng)站被攻擊安全影響任何網(wǎng)絡都可能遭受入侵信息系統(tǒng)安全等級保護信息系統(tǒng)安全等級保護簡介信息系統(tǒng)安全保護等級劃分信息系統(tǒng)安全保護定級指南等級保護出臺是信息安全發(fā)展的需要信息安全問題層出不窮安全保護措施、安全管理建設不足，導致各種安全事故發(fā)生國內缺乏相類似的安全標準國家、服務商和用戶在安全建設過程中缺乏參考依據(jù)隨著信息安全技術的發(fā)展隨著安全意識的提高隨著安全服務范圍增大對信息安全管理需要實行等級化保護(目標/要求/能力)1994年國務院頒布的《中華人民共和國計算機信息系統(tǒng)安全保護條例》規(guī)定計算機信息系統(tǒng)實行信息系統(tǒng)安全等級保護。2003年中央辦公廳、國務院辦公廳轉發(fā)的《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號）中明確指出：“要重點保護基礎信息網(wǎng)絡和關系國家安全、經濟命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息系統(tǒng)安全等級保護制度，制定信息系統(tǒng)安全等級保護的管理辦法和技術指南”。2004年公安部等四部委《關于信息系統(tǒng)安全等級保護工作的實施意見》（公通字[2004]66號）也指出：“信息系統(tǒng)安全等級保護制度是國家在國民經濟和社會信息化的發(fā)展過程中，提高信息安全保障能力和水平，維護國家安全、社會穩(wěn)定和公共利益，保障和促進信息化建設健康發(fā)展的一項基本制度”。信息安全等級保護相關文件信息安全等級保護發(fā)展歷程1999年9月13日《計算機信息系統(tǒng)安全等級劃分準則》GB17859-19992003年9月，27號文明確提出國家信息安全按照等級化保護的制度推行2003年10月，公安部《關于信息安全等級保護政策建議》2004年初，信息辦領導開始在全國進行等級化保護巡講（北京、上海、鄭州）2004年4月，等級化保護制度開始在部分行業(yè)和省份進行試點2004年6月，頒布《等級化保護實施指南》等文件2005年8月，北戴河會議，初步通過了部分標準2006年3月，頒布部分標準2006年4月，試點工作啟動2007年6月，公安部等四部委聯(lián)合下發(fā)《信息安全等級保護管理辦法》信息安全等級保護發(fā)展歷程2007年7月，四部委聯(lián)合會簽并下發(fā)了《關于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》（公信安[2007]861號）

2007年8月,山東省公安廳、山東省保密局、山東省密碼管理局和山東省信息辦聯(lián)合下發(fā)了《山東省重要信息系統(tǒng)安全等級保護定級工作方案》定級范圍：

１電信、廣電行業(yè)的公用通信網(wǎng)、廣播電視傳輸網(wǎng)等基礎信息網(wǎng)絡，經營性公眾互聯(lián)網(wǎng)信息服務單位、互聯(lián)網(wǎng)接入服務單位、數(shù)據(jù)中心等單位的重要信息系統(tǒng)。

２鐵路、銀行、海關、稅務、民航、電力、證券、保險、科技、發(fā)展改革、國防科技、公安、人事勞動和社會保障、財政、審計、商務、水利、國土資源、能源、交通、文化、教育、統(tǒng)計、工商行政管理、郵政等行業(yè)、部門的生產、調度、管理、辦公等重要信息系統(tǒng)。

３市（地）級以上黨政機關的重要網(wǎng)站和辦公信息系統(tǒng)。

４涉及國家秘密的信息系統(tǒng)。信息安全等級保護指導性文件《信息系統(tǒng)安全等級保護基本要求》《信息系統(tǒng)安全等級保護定級指南》《信息系統(tǒng)安全等級保護實施指南》《信息系統(tǒng)安全等級保護測評準則》信息系統(tǒng)統(tǒng)安全保保護等級級劃分第一級為為自主保護護級，主要對對象為一一般的信信息系統(tǒng)統(tǒng)，其受受到破壞壞后，會會對公民民、法人和其其他組織織的權益益有一定定影響，，但不危危害國家家安全、、社會秩秩序、經經濟建設設和公共利利益。第二級為為指導保護護級，主要對對象為一一定程度度上涉及及國家安安全、社社會秩序序、經濟濟建設和和公共利利益的一一般信息息系統(tǒng)，，其受到到破壞后后，會對對國家安安全、社社會秩序序、經濟濟建設和和公共利利益造成成一定損損害。第三級為為監(jiān)督保護護級，主要對對象為涉涉及國家家安全、、社會秩秩序、經經濟建設設和公共共利益的的信息系系統(tǒng)，其其受到破破壞后，，會對國國家安全全、社會會秩序、、經濟建建設和公公共利益益造成較較大損害害。第四級為為強制保護護級，主要對對象為涉涉及國家家安全、、社會秩秩序、經經濟建設設和公共共利益的的重要信信息系統(tǒng)統(tǒng)，其受受到破壞壞后，會會對國家家安全、、社會秩秩序、經經濟建設設和公共共利益造造成嚴重重損害。。第五級為為?？乇Ｗo護級，主要對對象為涉涉及國家家安全、、社會秩秩序、經經濟建設設和公共共利益的的重要信信息系統(tǒng)統(tǒng)的核心心子系統(tǒng)統(tǒng)，其受受到破壞壞后，會會對國家家安全、、社會秩秩序、經經濟建設設和公共共利益造造成特別別嚴重損損害。信息系統(tǒng)統(tǒng)安全保保護的目目標實行等級級保護的的總體目標標是為了統(tǒng)一信息息安全保保護工作作，推進進規(guī)范化化、法制制化建設設，保障障安全，，促進發(fā)發(fā)展，完完善我國國信息安安全法規(guī)規(guī)和標準準體系，，提高我我國信息息安全和和信息系系統(tǒng)安全全建設的的整體水水平。信息安全全等級保保護的對對象信息信息系統(tǒng)統(tǒng)等級保護護工作的的三個方方面對信息系系統(tǒng)分等等級實施施安全保保護;對信息系系統(tǒng)中使使用的信信息安全全產品實實行分等等級管理理;對信息系系統(tǒng)中發(fā)發(fā)生的信信息安全全事件分分等級響響應、處處置。決定信息息系統(tǒng)重重要性的的要素信息系統(tǒng)統(tǒng)所屬類類型，即即信息系系統(tǒng)資產產的安全全利益主主體信息系統(tǒng)統(tǒng)主要處處理的業(yè)業(yè)務信息息類別----決定信息息系統(tǒng)內內信息資資產的重重要性信息系統(tǒng)統(tǒng)服務范范圍，包包括服務務對象和和服務網(wǎng)網(wǎng)絡覆蓋蓋范圍業(yè)務對信息息系統(tǒng)的依依賴程度----決定信息系系統(tǒng)所提供供服務的重重要性信息系統(tǒng)所所屬類型賦賦值表信息系統(tǒng)所屬類型舉例賦值信息系統(tǒng)的社會影響屬于一般企事業(yè)單位，處理其內部事務的信息系統(tǒng)。1信息系統(tǒng)資產受到破壞會對本單位利益有直接影響。屬于重要行業(yè)、重要領域和國家基礎設施，為國計民生、經濟建設等提供重要服務的信息系統(tǒng)，或本身雖屬一般企事業(yè)單位，但為黨政或重要信息系統(tǒng)提供支撐服務的信息系統(tǒng)。2信息系統(tǒng)資產受到破壞會對公共利益有直接影響，或對國家安全利益有間接影響。屬于黨政機關，處理國家事務的信息系統(tǒng)。3信息系統(tǒng)資產受到破壞會對國家安全利益有直接影響。業(yè)務信息類類型賦值表表業(yè)務信息類型舉例賦值業(yè)務信息的安全影響可以對外公開發(fā)布的信息，或不對外發(fā)布的單位內部一般信息。1業(yè)務信息機密性、完整性或可用性被破壞會對公共利益或本單位經濟利益造成一定損害。法人和其他組織及公民的專有信息，例如內部敏感信息、關鍵技術數(shù)據(jù)、科技情報、商業(yè)秘密等。2業(yè)務信息機密性、完整性或可用性被破壞會對公共利益或本單位經濟利益造成嚴重損害。涉及國家安全利益，影響國家經濟建設的信息。3業(yè)務信息機密性、完整性或可用性被破壞對國家安全利益和國家經濟建設造成損害。信息系統(tǒng)服服務范圍賦賦值表信息系統(tǒng)服務范圍舉例賦值服務范圍的影響地區(qū)范圍的服務網(wǎng)絡。1信息系統(tǒng)因無法提供服務或無法提供有效服務會對局部范圍的資產造成損害。省級范圍的服務網(wǎng)絡。2信息系統(tǒng)因無法提供服務或無法提供有效服務會對較大范圍的資產造成損害。全國范圍的服務網(wǎng)絡。3信息系統(tǒng)因無法提供服務或無法提供有效服務會對全國范圍的資產造成損害。業(yè)務依賴程程度賦值表表業(yè)務依賴程度舉例賦值業(yè)務系統(tǒng)影響業(yè)務處理流程的大部分可以通過手工方式或其他方式完成，自動化程度低。1信息系統(tǒng)無法提供服務或無法提供有效服務對單位完成其業(yè)務使命影響較小。業(yè)務處理流程的部分環(huán)節(jié)可以通過手工方式或其他方式替代完成，自動化程度中。2信息系統(tǒng)無法提供服務或無法提供有效服務對單位完成其業(yè)務使命影響較大。業(yè)務處理流程完全依賴信息系統(tǒng)，手工方式無法完成，自動化程度高。3信息系統(tǒng)無法提供服務或無法提供有效服務使單位無法完成其業(yè)務使命。信息系統(tǒng)所屬類型業(yè)務信息類型信息系統(tǒng)服務范圍業(yè)務依賴程度業(yè)務信息安全性取值業(yè)務服務保證性取值業(yè)務服務保證性等級1.賦值選擇調節(jié)因子業(yè)務子系統(tǒng)安全保護等級2.確定兩個指標等級業(yè)務信息安全性等級3確定業(yè)務子系統(tǒng)等級信息系統(tǒng)安全保護等級4.確定信息系統(tǒng)等級其它業(yè)務子系統(tǒng)。。。業(yè)務信息安安全性等級級矩陣表業(yè)務信息類型賦值信息系統(tǒng)所屬類型賦值123112222333344業(yè)務服務保保證性取值值矩陣表信息系統(tǒng)服務范圍賦值業(yè)務依賴程度賦值123112322343344調節(jié)因子取取值表信息系統(tǒng)服務的影響程度調節(jié)因子k信息系統(tǒng)無法提供服務或無法提供有效服務會造成國家安全利益損失。1.0

k0.8信息系統(tǒng)無法提供服務或無法提供有效服務會造成較大范圍的公共利益損失。0.8

k0.5信息系統(tǒng)無法提供服務或無法提供有效服務會造成局部利益損失。0.5

k0信息系統(tǒng)安安全保護等等級業(yè)務子系統(tǒng)統(tǒng)的安全保保護等級由由業(yè)務信息息安全性等等級和業(yè)務務服務保證證性等級較較高者決定定。信息系統(tǒng)的的安全保護護等級由各各業(yè)務子系系統(tǒng)的最高高等級決定定。物理層面網(wǎng)絡層面系統(tǒng)層面應用層面管理層面安全管理制度業(yè)務處理流程

業(yè)務應用系統(tǒng)數(shù)據(jù)庫應用系統(tǒng)

身份鑒別機制強制訪問控制防火墻入侵檢測系統(tǒng)物理設備安全環(huán)境安全信息安全體系信息系統(tǒng)安安全體系結結構互聯(lián)網(wǎng)計算機網(wǎng)絡內網(wǎng)（業(yè)務專網(wǎng)）邏輯隔離物理隔離信息收集、、發(fā)布，公公眾服務內部業(yè)務處處理辦公系統(tǒng)辦公系統(tǒng)電子政務外外網(wǎng)等級保護基基本要求（（二、三級級）技術要求物理安全：：物理位置選選擇、物理理訪問控制制、防盜和和防破壞、、防雷擊、、防火、防防水、防潮潮濕、防靜靜電、電力力保障、電電磁防護網(wǎng)絡安全：：結構安全和和網(wǎng)段劃分分、網(wǎng)絡訪訪問控制、、撥號訪問問控制、網(wǎng)網(wǎng)絡安全審審計、邊界界完整性檢檢測、網(wǎng)絡絡入侵防范范、網(wǎng)絡設備防護、、惡意代碼碼防范主機系統(tǒng)安安全：身份鑒別、、自主訪問問控制、強制訪問控控制、安全審計計、系統(tǒng)保保護、剩余余信息保護護、入侵防范、惡意代碼碼防范、資源源控制應用安全：：身份鑒別、、訪問控制制、安全審審計、剩余余信息保護護、通信保保密性、通通信完整性性、抗抵賴賴、軟件容容錯、資源源控制數(shù)據(jù)安全：數(shù)據(jù)完整性性、數(shù)據(jù)保保密性、數(shù)數(shù)據(jù)備份與與恢復管理要求安全管理機機構：崗位設置、、人員配置置、授權與與審批、溝溝通與合作作、審核與與檢查安全管理制制度：管理制度、、制定與發(fā)發(fā)布、評審審與修訂人員安全管管理：人員錄用、、人員離崗崗、人員考考核、安全全意識教育育與培訓、、第三方人人員管理系統(tǒng)建設管管理：系統(tǒng)定級、、系統(tǒng)備案案、安全方方案設計、、產品采購購、自行軟軟件研發(fā)、、外包軟件件開發(fā)、工工程實施、、工程驗收收系統(tǒng)運維管管理：環(huán)境管理、、資產管理理、介質管管理、設備備管理、監(jiān)監(jiān)控管理、、網(wǎng)絡安全全管理、系系統(tǒng)安全管管理、惡意意代碼防范范管理、密碼碼管理、變變更管理、、備份與恢恢復管理、、安全事件件管理、應應急預案管管理信息安全技技術物理安全：物理位置置選擇、物物理訪問控控制、防盜盜和防破壞壞、防雷擊擊、防火、、防水、防防潮濕、防防靜電、電電力保障、、電磁防護護網(wǎng)絡安全：結構安全和和網(wǎng)段劃分分、網(wǎng)絡訪訪問控制、、撥號訪問問控制、網(wǎng)網(wǎng)絡安全審審計、邊界界完整性檢檢測、網(wǎng)絡絡入侵防范范、網(wǎng)絡設設備防護、、惡意代碼碼防范主機系統(tǒng)安安全：身份鑒別、、自主訪問問控制、強制訪問控控制、安全審計計、系統(tǒng)保保護、剩余余信息保護護、入侵防范、惡意代碼碼防范、資資源控制應用安全：身份鑒別、、訪問控制制、安全審審計、剩余余信息保護護、通信保保密性、通通信完整性性、抗抵賴賴、軟件容容錯、資源源控制數(shù)據(jù)安全：數(shù)據(jù)完整性性、數(shù)據(jù)保保密性、數(shù)數(shù)據(jù)備份與與恢復結構安全和和網(wǎng)段劃分分網(wǎng)絡設備的的業(yè)務處理理能力應具具備冗余空空間，要求求滿足業(yè)務務高峰期需需要；設計和繪制制與當前運運行情況相相符的網(wǎng)絡絡拓撲結構構圖；根據(jù)機構業(yè)業(yè)務的特點點，在滿足足業(yè)務高峰峰期需要的的基礎上，，合理設計計網(wǎng)絡帶寬寬；在業(yè)務終端端與業(yè)務服服務器之間間進行路由由控制建立立安全的訪訪問路徑；；根據(jù)各部門門的工作職職能、重要要性、所涉涉及信息的的重要程度度等因素，，劃分不同同的子網(wǎng)或或網(wǎng)段，并并按照方便便管理和控控制的原則則為各子網(wǎng)網(wǎng)、網(wǎng)段分分配地址段段；重要網(wǎng)段應應采取網(wǎng)絡絡層地址與與數(shù)據(jù)鏈路路層地址綁綁定措施，，防止地址址欺騙；按照對業(yè)務務服務的重重要次序來來指定帶寬寬分配優(yōu)先先級別，保保證在網(wǎng)絡絡發(fā)生擁堵堵的時候優(yōu)優(yōu)先保護重重要信息資資產主機。。網(wǎng)絡安全訪訪問控制根據(jù)會話狀狀態(tài)信息（（包括數(shù)據(jù)據(jù)包的源地地址、目的的地址、源源端口號、、目的端口口號、協(xié)議議、出入的的接口、會會話序列號號、發(fā)出信信息的主機機名等信息息，并應支支持地址通通配符的使使用），為為數(shù)據(jù)流提提供明確的的允許/拒絕訪問的的能力；對進出網(wǎng)絡絡的信息內內容進行過過濾，實現(xiàn)現(xiàn)對應用層層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令令級的控制制；依據(jù)安全策策略允許或或者拒絕便便攜式和移移動式設備備的網(wǎng)絡接接入；在會話處于于非活躍一一定時間或或會話結束束后終止網(wǎng)網(wǎng)絡連接；；限制網(wǎng)絡最最大流量數(shù)數(shù)及網(wǎng)絡連連接數(shù)。網(wǎng)絡安全訪訪問控制網(wǎng)絡安全訪訪問控制實實現(xiàn)的方法法有多種，，簡單網(wǎng)絡絡的安全訪訪問控制可可以在路由由器上實現(xiàn)現(xiàn)，復雜的的功能可以以由主機甚甚至一個子子網(wǎng)來實現(xiàn)現(xiàn)。網(wǎng)絡安全訪訪問控制與與防火墻防火墻產品品的初衷是是實現(xiàn)網(wǎng)絡絡之間的安安全訪問控控制。防火墻是設設置在內部部網(wǎng)絡與外外部網(wǎng)絡之之間，實施施訪問控制制策略的一一個或一組組系統(tǒng)，是是訪問控制制機制在網(wǎng)網(wǎng)絡安全環(huán)環(huán)境中的應應用。防火火墻實現(xiàn)內內部網(wǎng)絡和和外部網(wǎng)絡絡邏輯隔離離，通過限限制網(wǎng)絡互互訪來保護護內部網(wǎng)絡絡。防火墻墻是不同網(wǎng)網(wǎng)絡或網(wǎng)絡絡安全域之之間信息的的唯一出入入口，能根根據(jù)制定的的安全策略略(允許、拒絕絕及監(jiān)視等等)控制出入網(wǎng)網(wǎng)絡的數(shù)據(jù)據(jù)流，且本本身具有較較強的抗攻攻擊能力。。防火墻的的目的就是是在內部網(wǎng)網(wǎng)絡和外部部網(wǎng)絡連接接之間建立立一個安全全控制點，，允許、拒拒絕或重新新定向經過過防火墻的的數(shù)據(jù)流，，實現(xiàn)對進進出內部網(wǎng)網(wǎng)絡的網(wǎng)絡絡通信的審審計和控制制。防火墻技術術的局限性性防火墻不能能過濾應用用層的非法法攻擊，如如編碼攻擊擊防火墻對不不通過它的的連接無能能為力，如如內網(wǎng)攻擊擊防火墻采用用靜態(tài)安全全策略技術術，因此無無法動態(tài)防防御新的攻攻擊安全審計網(wǎng)絡安全審審計主機安全審審計網(wǎng)絡安全審審計對網(wǎng)絡系統(tǒng)統(tǒng)中的網(wǎng)絡絡設備運行行狀況、網(wǎng)網(wǎng)絡流量、、用戶行為為等進行全全面的監(jiān)測測、記錄；；對于每一個個事件，其其審計記錄錄應包括：：事件的日日期和時間間、用戶、、事件類型型、事件是是否成功，，及其他與與審計相關關的信息；；安全審計應應可以根據(jù)據(jù)記錄數(shù)據(jù)據(jù)進行分析析，并生成成審計報表表；安全審計應應可以對特特定事件，，提供指定定方式的實實時報警；；審計記錄應應受到保護護避免受到到未預期的的刪除、修修改或覆蓋蓋等。網(wǎng)絡安全審審計網(wǎng)絡安全審審計管理通通過對網(wǎng)絡絡中流動的的數(shù)據(jù)進行行審計分析析，能夠監(jiān)監(jiān)控到內部部網(wǎng)絡中的的外網(wǎng)訪問問行為，如如郵件、MSN/QQ聊天、Web訪問、網(wǎng)絡絡游戲、文文件傳輸、、在線電影影頻道等等等行為；能能夠實現(xiàn)對對所監(jiān)控網(wǎng)網(wǎng)絡進行基基于業(yè)務的的帶寬分配配、流量限限制等。尤尤其針對網(wǎng)網(wǎng)絡中的BT、電驢、迅迅雷等p2p的文件傳輸輸行為能有有效地進行行控制，以以控制非業(yè)業(yè)務網(wǎng)絡行行為所占用用的帶寬資資源，從而而保證正常常業(yè)務順暢暢進行。主機安全審審計安全審計應應覆蓋到服服務器和客客戶端上的的每個操作作系統(tǒng)用戶戶和數(shù)據(jù)庫庫用戶；安全審計應應記錄系統(tǒng)統(tǒng)內重要的的安全相關關事件，包包括重要用用戶行為、、系統(tǒng)資源源的異常使使用和重要要系統(tǒng)命令令的使用；；安全相關事事件的記錄錄應包括日日期和時間間、類型、、主體標識識、客體標標識、事件件的結果等等；安全審計應應可以根據(jù)據(jù)記錄數(shù)據(jù)據(jù)進行分析析，并生成成審計報表表；安全審計應應可以對特特定事件，，提供指定定方式的實實時報警；；審計進程應應受到保護護避免受到到未預期的的中斷；審計記錄應應受到保護護避免受到到未預期的的刪除、修修改或覆蓋蓋等。邊界完整性性檢測能夠檢測內內部網(wǎng)絡中中出現(xiàn)的內內部用戶未未通過準許許私自聯(lián)到到外部網(wǎng)絡絡的行為（（即“非法外聯(lián)”行為）；能夠對非授授權設備私私自聯(lián)到網(wǎng)網(wǎng)絡的行為為進行檢查查，并準確確定出位置置，對其進進行有效阻阻斷；能夠對內部部網(wǎng)絡用戶戶私自聯(lián)到到外部網(wǎng)絡絡的行為進進行檢測后后準確定出出位置，并并對其進行行有效阻斷斷。惡意代碼防防范在網(wǎng)絡邊界界及核心業(yè)業(yè)務網(wǎng)段處處對惡意代代碼進行檢檢測和清除除維護惡意代代碼庫的升升級和檢測測系統(tǒng)的更更新支持惡意代代碼防范的的統(tǒng)一管理理惡意代碼防防范防病毒網(wǎng)關關（互聯(lián)網(wǎng)網(wǎng)病毒防護護）--網(wǎng)絡層服務器系統(tǒng)統(tǒng)病毒防護護終端（微機機）病毒防防護防病毒網(wǎng)關關（病毒防防火墻）在網(wǎng)關上安安裝病毒過過濾程序，，對網(wǎng)絡流流量進行全全面掃描，，并通過識識別表示存存在惡意代代碼的病毒毒模式，檢檢測出惡意意代碼。利利用對流經經網(wǎng)關的HTTP、FTP、SMTP協(xié)議的流量量進行掃描描，可以在在第一時間間發(fā)現(xiàn)病毒毒、阻塞病病毒，不讓讓病毒傳播播到網(wǎng)絡中中來。不僅僅如此，還還可以通過過內容過濾濾來對網(wǎng)絡絡流量中不不符合網(wǎng)絡絡策略的內內容進行阻阻斷，如非非法網(wǎng)站、、透露機密密的郵件等等。服務器系統(tǒng)統(tǒng)病毒防護護根據(jù)服務器器端系統(tǒng)平平臺的實際際情況，在在各種服務務器系統(tǒng)(如文件服務務器、主域域/備份域服務務器、郵件件服務器、、DNS服務器等)上安裝相應應的防計算算機病毒產產品。特別別是郵件系系統(tǒng)極易傳傳播病毒，，因此，要要在郵件服服務器上安安裝專門的的防護軟件件，實時掃掃描接收和和發(fā)送的電電子郵件。。終端（桌面面）病毒防防護根據(jù)網(wǎng)絡終終端平臺實實際情況，，分別選用用相應的客客戶端防病病毒軟件。?？蛻舳朔婪啦《拒浖撆c服服務器端防防病毒軟件件相配合，，統(tǒng)一管理理防病毒策策略和防病病毒軟件的的升級更新新。保護計算機機的第一個個步驟就是是確保操作作系統(tǒng)是最最新的，特特別是對于于微軟windows操作系系統(tǒng)。。其次次，必必須為為系統(tǒng)統(tǒng)安裝裝防病病毒軟軟件，，并且且經常常下載載更新新以確確保能能夠抵抵抗最最新的的病毒毒。另另外，，防病病毒軟軟件最最好能能夠實實時掃掃描來來自互互聯(lián)網(wǎng)網(wǎng)的電電子郵郵件和和文件件以便便能夠夠及時時阻止止病毒毒的入入侵。。最后后，最最好同同時為為系統(tǒng)統(tǒng)安裝裝網(wǎng)絡絡防火火墻，，它們們可以以阻止止對計計算機機的未未授權權訪問問和使使用。。入侵防防范網(wǎng)絡入入侵防防范Network-BasedIntrusionDetectionSystem主機入入侵防防范Host-BasedIntrusionDetectionSystem網(wǎng)絡入入侵防防范在網(wǎng)絡絡邊界界處應應監(jiān)視視以下下攻擊擊行為為：端端口掃掃描、、強力力攻擊擊、木木馬后后門攻攻擊、、拒絕絕服務務攻擊擊、緩緩沖區(qū)區(qū)溢出出攻擊擊、IP碎片攻攻擊、、網(wǎng)絡絡蠕蟲蟲攻擊擊等入入侵事事件的的發(fā)生生；當檢測測到入入侵事事件時時，應應記錄錄入侵侵的源源IP、攻擊擊的類類型、、攻擊擊的目目的、、攻擊擊的時時間，，并在在發(fā)生生嚴重重入侵侵事件件時提提供報報警。。網(wǎng)絡入入侵防防范工工作原原理收集網(wǎng)網(wǎng)絡中中傳輸輸?shù)臄?shù)數(shù)據(jù)包包及相相關網(wǎng)網(wǎng)絡會會話根據(jù)預預定義義的設設置，，進行行必要要的數(shù)數(shù)據(jù)過過濾及及縮略略，從從而提提高檢檢測、、分析析的效效率。。根據(jù)定定義的的安全全策略略，進進行檢檢測/分析。。一旦檢檢測到到違反反安全全策略略的行行為或或者事事件，，進行行報警警及響響應。。入侵檢檢測技技術的的局限限性入侵檢檢測通通過抓抓取數(shù)數(shù)據(jù)報報文對對其分分析，，并與與攻擊擊規(guī)則則樣本本進行行比較較發(fā)現(xiàn)現(xiàn)攻擊擊行為為通過特特殊的的編碼碼可以以繞過過入侵侵檢測測的偵偵測（（漏報報）需要不不斷的的跟蹤蹤新的的攻擊擊模式式并更更新攻攻擊樣樣本容易把把正常常的訪訪問識識別為為入侵侵行為為（誤誤報））網(wǎng)絡入入侵防防御(IPS)面臨的的挑戰(zhàn)戰(zhàn)單點故故障性能“瓶頸”增加網(wǎng)網(wǎng)絡延延遲降低網(wǎng)網(wǎng)絡效效率誤報和和漏報報主機入入侵防防范進行主主機運運行監(jiān)監(jiān)視，，包括括監(jiān)視視主機機的CPU、硬盤盤、內內存、、網(wǎng)絡絡等資資源的的使用用情況況；設定資資源報報警域域值，，以便便在資資源使使用超超過規(guī)規(guī)定數(shù)數(shù)值時時發(fā)出出報警警；進行特特定進進程監(jiān)監(jiān)控，，限制制操作作人員員運行行非法法進程程；進行主主機賬賬戶監(jiān)監(jiān)控，，限制制對重重要賬賬戶的的添加加和更更改；；檢測各各種已已知的的入侵侵行為為，記記錄入入侵的的源IP、攻擊擊的類類型、、攻擊擊的目目的、、攻擊擊的時時間，，并在在發(fā)生生嚴重重入侵侵事件件時提提供報報警；；能夠檢檢測重重要程程序完完整性性受到到破壞壞，并并在檢檢測到到完整整性錯錯誤時時采取取必要要的恢恢復措措施。。主機入入侵防防范工工作原原理根據(jù)系系統(tǒng)內內部的的審計計數(shù)據(jù)據(jù)根據(jù)預預定義義的設設置，，進行行必要要的數(shù)數(shù)據(jù)過過濾及及縮略略，從從而提提高檢檢測、、分析析的效效率。。根據(jù)定義義的安全全策略，，進行檢檢測/分析。一旦檢測測到違反反安全策策略的行行為或者者事件，，進行報報警及響響應。強制訪問問控制對重要信信息資源源和訪問問重要信信息資源源的所有有主體設設置敏感感標記；；強制訪問問控制的的覆蓋范范圍應包包括與重重要信息息資源直直接相關關的所有有主體、、客體及及它們之之間的操操作；強制訪問問控制的的粒度應應達到主主體為用用戶級，，客體為為文件、、數(shù)據(jù)庫庫表級。。主機系統(tǒng)統(tǒng)強制訪訪問控制制主機操作作系統(tǒng)采采用自主主訪問控控制脆弱的認認證體系系明顯的系系統(tǒng)安全全漏洞來自內部部的攻擊擊或誤操操作來自外部部的網(wǎng)絡絡攻擊操作系統(tǒng)統(tǒng)安全加加固產品品主動防御御、全面面防護操作系統(tǒng)統(tǒng)的可信信改造訪問控制監(jiān)視列表XOdata2data1訪問請求訪問請求數(shù)據(jù)訪問請求監(jiān)視操作系統(tǒng)安全內核操作系統(tǒng)統(tǒng)安全加加固產品品技術背背景-操作系統(tǒng)統(tǒng)可信改改造可信計算算機系統(tǒng)統(tǒng)評測標標準(TCSEC)國家信息息化等級級標準要要求重構與應應用的抉抉擇操作系統(tǒng)統(tǒng)安全加加固技術術（ReinforcementOperatingSystemTechnique）服務器系系統(tǒng)加固固產品特特點數(shù)據(jù)備份份和恢復復提供自動動機制對對重要信信息進行行本地和和異地備備份提供恢復復重要信信息的功功能；提供重要要網(wǎng)絡設設備、通通信線路路和服務務器的硬硬件冗余余；提供重要要業(yè)務系系統(tǒng)的本本地系統(tǒng)統(tǒng)級熱備備份。信息安全全管理安全管理理機構崗位設置置、人員員配置、、授權與與審批、、溝通與與合作、、審核與與檢查安全管理理制度管理制度度、制定定與發(fā)布布、評審審與修訂訂人員安全全管理人員錄用用、人員員離崗、、人員考考核、安安全意識識教育與與培訓、、第三方方人員管管理系統(tǒng)建設設管理系統(tǒng)定級級、系統(tǒng)統(tǒng)備案、、安全方方案設計計、產品品采購、、自行軟軟件研發(fā)發(fā)、外包包軟件開開發(fā)、工工程實施施、工程程驗收系統(tǒng)運維維管理環(huán)境管理理、資產產管理、、介質管管理、設設備管理理、監(jiān)控控管理、、網(wǎng)絡安安全管理理、系統(tǒng)統(tǒng)安全管管理、惡惡意代碼碼防范管管理、密密碼管理理、變更更管理、、備份與與恢復管管理、安安全事件件管理、、應急預預案管理理安全管理理機構崗位設置置人員配置置授權與審審批溝通與合合作審核與檢檢查安全管理理機構--崗位設置置設立信息息安全管管理工作作的職能能部門，，設立安安全主管管人、安安全管理理各個方方面的負負責人，，定義各各負責人人的職責責；設立系統(tǒng)統(tǒng)管理人人員、網(wǎng)網(wǎng)絡管理理人員、、安全管管理人員員崗位，，定義各各個工作作崗位的的職責；；成立指導導和管理理信息安安全工作作的委員員會或領領導小組組，其最最高領導導應由單單位主管管領導委委任或授授權；制定文件件，明確確安全管管理機構構各個部部門和崗崗位的職職責、分分工和技技能要求求。安全管理理機構--人員配備備配備一定定數(shù)量的的系統(tǒng)管管理人員員、網(wǎng)絡絡管理人人員、安安全管理理人員等等；配備專職職安全管管理人員員不可兼兼任；關鍵崗位位應定期期輪崗。。安全管理理機構--授權與審審批授權審批批部門及及批準人人，對關關鍵活動動進行審審批；列表說明明須審批批的事項項、審批批部門和和可批準準人；建立各審審批事項項的審批批程序，，按照審審批程序序執(zhí)行審審批過程程；建立關鍵鍵活動的的雙重審審批制度度；不再適用用的權限限應及時時取消授授權；定期審查查、更新新需授權權和審批批的項目目；記錄授權權過程并并保存授授權文檔檔。安全管理理機構--溝通與合合作加強各類類管理人人員和組組織內部部機構之之間的合合作與溝溝通，定定期或不不定期召召開協(xié)調調會議，，共同協(xié)協(xié)助處理理信息安安全問題題；信息安全全職能部部門應定定期或不不定期召召集相關關部門和和人員召召開安全全工作會會議，協(xié)協(xié)調安全全工作的的實施；；信息安全全領導小小組或者者安全管管理委員員會定期期召開例例會，對對信息安安全工作作進行指指導、決決策；加強與兄兄弟單位位、公安安機關、、電信公公司的合合作與溝溝通，以以便在發(fā)發(fā)生安全全事件時時能夠得得到及時時的支持持；加強與供供應商、、業(yè)界專專家、專專業(yè)的安安全公司司、安全全組織的的合作與與溝通，，獲取信信息安全全的最新新發(fā)展動動態(tài)，當當發(fā)生緊緊急事件件的時候候能夠及及時得到到支持和和幫助；；文件說明明外聯(lián)單單位、合合作內容容和聯(lián)系系方式；；聘請信息息安全專專家作為為常年的的安全顧顧問，指指導信息息安全建建設，參參與安全全規(guī)劃和和安全評評審等。。安全管理理機構--審核與檢檢查由安全管管理人員員定期進進行安全全檢查，，檢查內內容包括括用戶賬賬號情況況、系統(tǒng)統(tǒng)漏洞情情況、系系統(tǒng)審計計情況等等；由安全管管理部門門組織相相關人員員定期進進行全面面檢查，，檢查內內容包括括現(xiàn)有安安全技術術措施的的有效性性、安全全配置與與安全策策略的一一致性、、安全管管理制度度的執(zhí)行行情況等等；由安全管管理部門門組織相相關人員員定期分分析、評評審異常常行為的的審計記記錄，發(fā)發(fā)現(xiàn)可疑疑行為,形成審計計分析報報告，并并采取必必要的應應對措施施；制定安全全檢查表表格，實實施安全全檢查，，匯總安安全檢查查數(shù)據(jù)，，形成安安全檢查查報告，，并對安安全檢查查結果進進行通報報；制定安全全審核和和安全檢檢查制度度，規(guī)范范安全審審核和安安全檢查查工作，，定期按按照程序序進行安安全審核核和安全全檢查活活動。安全管理理制度管理制度度制定與發(fā)發(fā)布評審與修修訂安全管理理制度--管理制度度制定信息息安全工工作的總總體方針針、政策策性文件件和安全全策略等等，說明明機構安安全工作作的總體體目標、、范圍、、方針、、原則、、責任等等；對安全管管理活動動中的各各類管理理內容建建立安全全管理制制度，以以規(guī)范安安全管理理活動，，約束人人員的行行為方式式；對要求管管理人員員或操作作人員執(zhí)執(zhí)行的日日常管理理操作，，建立操操作規(guī)程程，以規(guī)規(guī)范操作作行為，，防止操操作失誤誤；形成由安安全政策策、安全全策略、、管理制制度、操操作規(guī)程程等構成成的全面面的信息息安全管管理制度度體系；；由安全管管理職能能部門定定期組織織相關部部門和相相關人員員對安全全管理制制度體系系的合理理性和適適用性進進行審定定。安全管理制制度--制定與發(fā)布布在信息安全全領導小組組的負責下下，組織相相關人員制制定；保證安全管管理制度具具有統(tǒng)一的的格式風格格，并進行行版本控制制；組織相關人人員對制定定的安全管管理制度進進行論證和和審定；安全管理制制度應經過過管理層簽簽發(fā)后按照照一定的程程序以文件件形式發(fā)布布；安全管理制制度應注明明發(fā)布范圍圍，并對收收發(fā)文進行行登記。安全管理制制度--評審與修訂訂定期對安全全管理制度度進行評審審和修訂，，對存在不不足或需要要改進的安安全管理制制度進行修修訂；當發(fā)生重大大安全事故故、出現(xiàn)新新的安全漏漏洞以及技技術基礎結結構發(fā)生變變更時，應應對安全管管理制度進進行檢查、、審定和修修訂；每個制度文文檔應有相相應負責人人或負責部部門，負責責對明確需需要修訂的的制度文檔檔，進行修訂和和維護。人員安全管管理人員錄用人員離崗人員考核安全意識教教育與培訓訓第三方人員員管理人員安全管管理--人員錄用保證被錄用用人具備基基本的專業(yè)業(yè)技術水平平和安全管管理知識；；對被錄用人人的身份、、背景、專專業(yè)資格和和資質進行行審查；對被錄用人人所具備的的技術技能能進行考核核；對被錄用人人說明其角角色和職責責；簽署保密協(xié)協(xié)議；對從事關鍵鍵崗位的人人員應從內內部人員選選拔，并定定期進行信信用審查；；對從事關鍵鍵崗位的人人員應簽署署崗位安全全協(xié)議。人員安全管管理--人員離崗立即終止由由于各種原原因即將離離崗的員工工的所有訪訪問權限；；取回各種身身份證件、、鑰匙、徽徽章等以及及機構提供供的軟硬件件設備；經機構人事事部門辦理理嚴格的調調離手續(xù)，，并承諾調調離后的保保密義務后后方可離開開。人員安全管管理--人員考核對所有人員員進行全面面、嚴格的的安全審查查；定期對各個個崗位的人人員進行安安全技能及及安全認知知的考核；；對考核結果果進行記錄錄并保存；；對違背安全全策略和規(guī)規(guī)定的人員員進行懲戒戒。人員安全管管理--安全意識教教育與培訓訓對各類人員員進行安全全意識教育育；告知人員相相關的安全全責任和懲懲戒措施；；制定安全教教育和培訓訓計劃，對對信息安全全基礎知識識、崗位操操作規(guī)程等等進行培訓訓；針對不同崗崗位制定不不同培訓計計劃；對安全教育育和培訓的的情況和結結果進行記記錄并歸檔檔保存。人員安全管管理--第三方人員員管理第三方人員員應在訪問問前與機構構簽署安全全責任合同同書或保密密協(xié)議；對重要區(qū)域域的訪問，，須提出書書面申請，，批準后由由專人全程程陪同或監(jiān)監(jiān)督，并記記錄備案；；對第三方人人員允許訪訪問的區(qū)域域、系統(tǒng)、、設備、信信息等內容容應進行書書面的規(guī)定定，并按照照規(guī)定執(zhí)行行。系統(tǒng)建設管管理系統(tǒng)定級系統(tǒng)備案安全方案設設計產品采購自行軟件研研發(fā)外包軟件開開發(fā)工程實施工程驗收系統(tǒng)交付系統(tǒng)建設管管理--系統(tǒng)定級明確信息系系統(tǒng)劃分的的方法確定信息系系統(tǒng)的安全全保護等級級以書面的形形式定義安安全保護等等級的信息息系統(tǒng)的屬屬性，包括括使命、業(yè)業(yè)務、網(wǎng)絡絡、硬件、、軟件、數(shù)數(shù)據(jù)、邊界界、人員等等以書面的形形式說明確確定一個信信息系統(tǒng)為為某個安全全保護等級級的方法和和理由組織相關部部門和有關關安全技術術專家對信信息系統(tǒng)的的定級結果果的合理性性和正確性性進行論證證和審定確保信息系系統(tǒng)的定級級結果經過過相關部門門的批準系統(tǒng)建設管管理--系統(tǒng)備案將系統(tǒng)定級級、系統(tǒng)屬屬性等材料料指定專門門的人員或或部門負責責管理，并并控制這些些材料的使使用將系統(tǒng)等級級和系統(tǒng)屬屬性等資料料報系統(tǒng)主主管部門備備案將系統(tǒng)等級級、系統(tǒng)屬屬性、等級級劃分理由由及其他要要求的備案案材料報相相應公安機機關備案系統(tǒng)建設管管理--安全方案設設計根據(jù)系統(tǒng)的的安全級別別選擇基本本安全措施施，依據(jù)風風險評估的的結果補充充和調整安安全措施指定和授權權專門的部部門對信息息系統(tǒng)的安安全建設進進行總體規(guī)規(guī)劃，制定定近期和遠遠期的安全全建設工作作計劃根據(jù)信息系系統(tǒng)的等級級劃分情況況，統(tǒng)一考考慮安全保保障體系的的總體安全全策略、安安全技術框框架、安全全管理策略略、總體建建設規(guī)劃和和詳細設計計方案，并并形成配套套文件組織相關部部門和有關關安全技術術專家對總總體安全策策略、安全全技術框架架、安全管管理策略、、總體建設設規(guī)劃、詳詳細設計方方案等相關關配套文件件的合理性性和正確性性進行論證證和審定確?？傮w安安全策略、、安全技術術框架、安安全管理策策略、總體體建設規(guī)劃劃、詳細設設計方案等等文件必須須經過批準準，才能正正式實施根據(jù)安全測測評、安全全評估的結結果定期調調整和修訂訂總體安全全策略、安安全技術框框架、安全全管理策略略、總體建建設規(guī)劃、、詳細設計計方案等相相關配套文文件系統(tǒng)建設管管理--產品采購確保安全產產品的使用用符合國家家的有關規(guī)規(guī)定確保密碼產產品的使用用符合國家家密碼主管管部門的要要求指定或授權權專門的部部門負責產產品的采購購制定產品采采購方面的的管理制度度明確說明明采購過程程的控制方方法和人員員行為準則則預先對產品品進行選型型測試，確確定產品的的候選范圍圍，并定期期審定和更更新候選產產品名單系統(tǒng)建設管管理--自行軟件研研發(fā)確保開發(fā)環(huán)環(huán)境與實際際運行環(huán)境境物理分開開；確保系統(tǒng)開開發(fā)文檔由由專人負責責保管，系系統(tǒng)開發(fā)文文檔的使用用受到控制制；制定開發(fā)方方面的管理理制度，明確說明開開發(fā)過程的的控制方法法和人員行行為準則；；確保開發(fā)人人員和測試試人員的分分離，測試試數(shù)據(jù)和測測試結果受受到控制；；確保提供軟軟件設計的的相關文檔檔和使用指指南；確保對程序序資源庫的的修改、更更新、發(fā)布布進行授權權和批準。。系統(tǒng)建設管管理--外包軟件開開發(fā)與軟件開發(fā)發(fā)單位簽訂訂協(xié)議，明明確知識產產權的歸屬屬和安全方方面的要求求；根據(jù)協(xié)議的的要求檢測測軟件質量量；在軟件安裝裝之前檢測測軟件包中中可能存在在的惡意代代碼；要求開發(fā)單單位提供技技術培訓和和服務承諾諾；要求開發(fā)單單位提供軟軟件設計的的相關文檔檔和使用指指南。系統(tǒng)建設管管理--工程實施與工程實施施單位簽訂訂與安全相相關的協(xié)議議，約束工工程實施單單位的行為為；指定或授權權專門的人人員或部門門負責工程程實施過程程的管理；；制定詳細的的工程實施施方案控制制實施過程程，并要求求工程實施施單位能正正式地執(zhí)行行安全工程程過程；制定工程實實施方面的的管理制度度明確說明明實施過程程的控制方方法和人員員行為準則則。系統(tǒng)建設管管理--工程驗收對系統(tǒng)進行行安全性測測試驗收；；在測試驗收收前根據(jù)設設計方案或或合同要求求等制訂測測試驗收方方案，測試試驗收過程程中詳細記記錄測試驗驗收結果，，形成測試試驗收報告告；委托公正的的第三方測測試單位對對系統(tǒng)進行行測試，并并出具測試試報告；制定系統(tǒng)測測試驗收方方面的管理理制度，明明確說明系系統(tǒng)測試驗驗收的控制制方法和人人員行為準準則；指定或授權權專門的部部門負責系系統(tǒng)測試驗驗收的管理理，并按照照管理制度度的要求完完成系統(tǒng)測測試驗收工工作；組織相關部部門和相關關人員，對對系統(tǒng)測試試驗收報告告進行審定定，沒有疑疑問后由雙雙方簽字。。系統(tǒng)建設管管理--系統(tǒng)交付明確系統(tǒng)的的交接手續(xù)續(xù)，并按照照交接手續(xù)續(xù)完成交接接工作；由系統(tǒng)建設設方完成對對委托建設設方的運維維技術人員員的培訓；；由系統(tǒng)建設設方提交系系統(tǒng)建設過過程中的文文檔和指導導用戶進行行系統(tǒng)運行行維護的文文檔；由系統(tǒng)建設設方進行服服務承諾，，并提交服服務承諾書書，確保對對系統(tǒng)運行行維護的支支持；制定系統(tǒng)交交付方面的的管理制度度，明確說明系系統(tǒng)交付的的控制方法法和人員行行為準則；；指定或授權權專門的部部門負責系系統(tǒng)交付的的管理工作作，并按照照管理制度度的要求完完成系統(tǒng)交交付工作。。系統(tǒng)運維管管理環(huán)境管理資產管理介質管理設備管理監(jiān)控管理網(wǎng)絡安全管管理系統(tǒng)安全管管理惡意代碼防防范管理密碼管理變更管理備份與恢復復管理安全事件管管理應急預案管管理系統(tǒng)運維管管理--環(huán)境管理對機房供配配電、空調調、溫濕度度控制等設設施指定專專人或專門門的部門定定期進行維維護管理；；配備機房安安全管理人人員，對機機房的出入入、服務器器的開機或或關機等工工作進行管管理；建立機房安安全管理制制度，對有有關機房物物理訪問，，物品帶進進、帶出機機房和機房房環(huán)境安全全等方面作作出規(guī)定；；加強對辦公公環(huán)境的保保密性管理理，如工作作人員調離離辦公室應應立即交還還該辦公室室鑰匙和不不在辦公區(qū)區(qū)接待來訪訪人員等；；有指定的部部門負責機機房安全，，并配置電電子門禁系系統(tǒng)，對機機房來訪人人員實行登登記記錄和和電子記錄錄雙重備案案管理；對辦公環(huán)境境的人員行行為，如工工作人員離離開座位應應確保終端端計算機退退出登錄狀狀態(tài)和桌面面上沒有包包含敏感信信息的紙檔檔文件等作作出規(guī)定。。系統(tǒng)運維管管理--資產管理建立資產安安全管理制制度，規(guī)定定信息系統(tǒng)統(tǒng)資產管理理的責任人人員或責任任部門，并并規(guī)范資產產管理和使使用的行為為；編制并保存存與信息系系統(tǒng)相關的的資產、資資產所屬關關系、安全全級別和所所處位置等等信息的資資產清單；；根據(jù)資產的的重要程度度對資產進進行定性賦賦值和標識識管理，根根據(jù)資產的的價值選擇擇相應的管管理措施；；規(guī)定信息分分類與標識識的原則和和方法，并并對信息的的使用、存存儲和傳輸輸作出規(guī)定定。系統(tǒng)運維管管理--介質管理建立介質安安全管理制制度，對介介質的存放放環(huán)境、使使用、維護護和銷毀等等方面作出出規(guī)定；有介質的歸歸檔和查詢詢記錄，并并對存檔介介質的目錄錄清單定期期盤點；對于需要送送出維修或或銷毀的介介質，應首首先清除介介質中的敏敏感數(shù)據(jù)，，防止信息息的非法泄泄漏；根據(jù)數(shù)據(jù)備備份的需要要對某些介介質實行異異地存儲，，存儲地的的環(huán)境要求求和管理方方法應與本本地相同；；根據(jù)所承載載數(shù)據(jù)和軟軟件的重要要程度對介介質進行分分類和標識識管理，并并實行存儲儲環(huán)境專人人管理；對介質的物物理傳輸過過程中人員員選擇、打打包、交付付等情況進進行控制；；對存儲介質質的使用過過程、送出出維修以及及銷毀進行行嚴格的管管理，保密密性較高的的信息存儲儲介質未經經批準不得得自行銷毀毀；必要時應對對重要介質質數(shù)據(jù)和軟軟件采取加加密存儲，，對帶出工工作環(huán)境的的存儲介質質進行內容容加密和監(jiān)監(jiān)控管理；；對存放在介介質庫中的的介質定期期進行完整整性和可用用性檢查，，確認其數(shù)數(shù)據(jù)或軟件件沒有受到到損壞或丟丟失。系統(tǒng)運維管管理--設備管理對信息系統(tǒng)統(tǒng)相關的各各種設備、、線路等指指定專人或或專門的部部門定期進進行維護管管理；對信息系統(tǒng)統(tǒng)的各種軟軟硬件設備備的選型、、采購、發(fā)發(fā)放或領用用等過程建建立基于申申報、審批批和專人負負責的管理理制度；對終端計算算機、工作作站、便攜攜機、系統(tǒng)統(tǒng)和網(wǎng)絡等等設備的操操作和使用用進行規(guī)范范化管理；；對帶離機房房或辦公地地點的信息息處理設備備進行控制制；按操作規(guī)程程實現(xiàn)服務務器的啟動動/停止、加電電/斷電等操作作，加強對對服務器操操作的日志志文件管理理和監(jiān)控管管理，并對對其定期進進行檢查；；建立立配配套套設設施施、、軟軟硬硬件件維維護護方方面面的的管管理理制制度度，，對對軟軟硬硬件件維維護護進進行行有有效效的的管管理理，，包包括括明明確確維維護護人人員員的的責責任任、、涉涉外外維維修修和和服服務務的的審審批批、、維維修修過過程程的的監(jiān)監(jiān)督督控控制制等等；；在安安全全管管理理機機構構統(tǒng)統(tǒng)一一安安全全策策略略下下對對服服務務器器進進行行系系統(tǒng)統(tǒng)配配置置和和服服務務設設定定，，并并實實施施配配置置管管理理。。系統(tǒng)統(tǒng)運運維維管管理理--監(jiān)控控管管理理進行行主主機機運運行行監(jiān)監(jiān)視視，，包包括括監(jiān)監(jiān)視視主主機機的的CPU、硬硬盤盤、、內內存存和和網(wǎng)網(wǎng)絡絡等等資資源源的的使使用用情情況況；；對分分散散或或集集中中的的安安全全管管理理系系統(tǒng)統(tǒng)的的訪訪問問授授權權、、操操作作記記錄錄、、日日志志等等方方面面進進行行有有效效管管理理；；嚴格格管管理理運運行行過過程程文文檔檔，，其其中中包包括括責責任任書書、、授授權權書書、、許許可可證證、、各各類類策策略略文文檔檔、、事事故故報報告告處處理理文文檔檔、、安安全全配配置置文文檔檔、、系系統(tǒng)統(tǒng)各各類類日日志志等等，，并并確確保保文文檔檔的的完完整整性性和和一一致致性性。。系統(tǒng)統(tǒng)運運維維管管理理--網(wǎng)絡絡安安全全管管理理指定定專專人人對對網(wǎng)網(wǎng)絡絡進進行行管管理理，，負負責責運運行行日日志志、、網(wǎng)網(wǎng)絡絡監(jiān)監(jiān)控控記記錄錄的的日日常常維維護護和和報報警警信信息息分分析析和和處處理理工工作作；；根據(jù)據(jù)廠廠家家提提供供的的軟軟件件升升級級版版本本對對網(wǎng)網(wǎng)絡絡設設備備進進行行更更新新，，并并在在更更新新前前對對現(xiàn)現(xiàn)有有的的重重要要文文件件進進行行備備份份；；進行行網(wǎng)網(wǎng)絡絡系系統(tǒng)統(tǒng)漏漏洞洞掃掃描描，，對對發(fā)發(fā)現(xiàn)現(xiàn)網(wǎng)網(wǎng)絡絡系系統(tǒng)統(tǒng)安安全全漏漏洞洞進進行行及及時時的的修修補補；；應應保保證證所所有有與與外外部部系系統(tǒng)統(tǒng)連連接接均均應應得得到到授授權權和和批批準準；；建立立網(wǎng)網(wǎng)絡絡安安全全管管理理制制度度，，對對網(wǎng)網(wǎng)絡絡安安全全配配置置、、網(wǎng)網(wǎng)絡絡用用戶戶以以及及日日志志等等方方面面作作出出規(guī)規(guī)定定；；對網(wǎng)網(wǎng)絡絡設設備備的的安安全全策策略略、、授授權權訪訪問問、、最最小小服服務務、、升升級級與與打打補補丁丁、、維維護護記記錄錄、、日日志志以以及及配配置置文文件件的的生生成成、、備備份份、、變變更更審審批批、、符符合合性性檢檢查查等等方方面面做做出出具具體體要要求求；；規(guī)定定網(wǎng)網(wǎng)絡絡審審計計日日志志的的保保存存時時間間以以便便為為可可能能的的安安全全事事件件調調查查提提供供支支持持；；明確確各各類類用用戶戶的的責責任任、、義義務務和和風風險險，，并并按按照照機機構構制制定定的的審審查查和和批批準準程程序序建建立立用用戶戶和和分分配配權權限限，，定定期期檢檢查查用用戶戶實實際際權權限限與與分分配配權權限限的的符符合合性性；；對日日志志的的備備份份、、授授權權訪訪問問、、處處理理、、保保留留時時間間等等方方面面做做出出具具體體規(guī)規(guī)定定，，使使用用統(tǒng)統(tǒng)一一的的網(wǎng)網(wǎng)絡絡時時間間，，以以確確保保日日志志記記錄錄的的準準確確；；通過過身身份份鑒鑒別別、、訪訪問問控控制制等等嚴嚴格格的的規(guī)規(guī)定定限限制制遠遠程程管管理理賬賬戶戶的的操操作作權權限限和和登登錄錄行行為為；；定期期檢檢查查違違反反規(guī)規(guī)定定撥撥號號上上網(wǎng)網(wǎng)或或其其他他違違反反網(wǎng)網(wǎng)絡絡安安全全策策略略行行為為。。系統(tǒng)統(tǒng)運運維維管管理理--系統(tǒng)統(tǒng)安安全全管管理理指定定專專人人對對系系統(tǒng)統(tǒng)進進行行管管理理，，刪刪除除或或者者禁禁用用不不使使用用的的系系統(tǒng)統(tǒng)缺缺省省賬賬戶戶；；制定定系系統(tǒng)統(tǒng)安安全全管管理理制制度度，，對對系系統(tǒng)統(tǒng)安安全全配配置置、、系系統(tǒng)統(tǒng)帳帳戶戶以以及及審審計計日日志志等等方方面面作作出出規(guī)規(guī)定定；；對能能夠夠使使用用系系統(tǒng)統(tǒng)工工具具的的人人員員及及數(shù)數(shù)量量進進行行限限制制和和控控制制；；定期期安安裝裝系系統(tǒng)統(tǒng)的的最最新新補補丁丁程程序序，，并并根根據(jù)據(jù)廠廠家家提提供供的的可可能能危危害害計計算算機機的的漏漏洞洞進進行行及及時時修修補補，，并并在在安安裝裝系系統(tǒng)統(tǒng)補補丁丁前前對對現(xiàn)現(xiàn)有有的的重重要要文文件件進進行行備備份份；；根據(jù)據(jù)業(yè)業(yè)務務需需求求和和系系統(tǒng)統(tǒng)安安全全分分析析確確定定系系統(tǒng)統(tǒng)的的訪訪問問控控制制策策略略，，系系統(tǒng)統(tǒng)訪訪問問控控制制策策略略用用于于控控制制分分配配信信息息系系統(tǒng)統(tǒng)、、文文件件及及服服務務的的訪訪問問權權限限；；對系統(tǒng)賬戶戶進行分類類管理，權權限設定應應當遵循最最小授權要要求；對系統(tǒng)的安安全策略、、授權訪問問、最小服服務、升級級與打補丁丁、維護記記錄、日志志以及配置置文件的生生成、備份份、變更審審批、符合合性檢查等等方面做出出具體要求求；規(guī)定系統(tǒng)審審計日志的的保存時間間以便為可可能的安全全事件調查查提供支持持；進行系統(tǒng)漏漏洞掃描，，對發(fā)現(xiàn)的的系統(tǒng)安全全漏洞進行行及時的修修補；明確各類用用戶的責任任、義務和和風險，對對系統(tǒng)賬戶戶的登記造造冊、用戶戶名分配、、初始口令令分配、用用戶權限及及其審批程程序、系統(tǒng)統(tǒng)資源分配配、注銷等等作出規(guī)定定；對于賬戶安安全管理的的執(zhí)行情況況進行檢查查和監(jiān)督，，定期審計計和分析用用戶賬戶的的使用情況況，對發(fā)現(xiàn)現(xiàn)的問題和和異常情況況進行相關關處理。系統(tǒng)運維管管理--惡意代碼防防范管理提高所有用用戶的防病病毒意識，，告知及時時升級防病病毒軟件；；在讀取移動動存儲設備備(如軟盤、移移動硬盤、、光盤)上的數(shù)據(jù)以以及網(wǎng)絡上上接收文件件或郵件之之前，先進進行病毒檢檢查，對外外來計算機機或存儲設設備接入網(wǎng)網(wǎng)絡系統(tǒng)之之前也要進進行病毒檢檢查；指定專人對對網(wǎng)絡和主主機進行惡惡意代碼檢檢測并保存存檢測記錄錄；建立惡意代代碼防范管管理制度，，對防惡意意代碼軟件件的授權使使用、惡意意代碼庫升升級、定期期匯報等作作出明確管管理規(guī)定；；建立惡意代代碼集中防防護的安全全管理中心心，確保整整個網(wǎng)絡統(tǒng)統(tǒng)一配置、、統(tǒng)一升級級、統(tǒng)一控控制；定期檢查信信息系統(tǒng)內內各種產品品的惡意代代碼庫的升升級情況并并進行記錄錄，對主機機防病毒產產品、防病病毒網(wǎng)關和和郵件防病病毒網(wǎng)關上上截獲的危危險病毒或或惡意代碼碼進行及時時分析處理理，并形成成書面的報報表和總結結匯報。系統(tǒng)運維管管理--密碼管理建立密碼使使用管理制制度;密碼算法和和密鑰使用用應符合國國家密碼管管理規(guī)定。。系統(tǒng)運維管管理--變更管理確認系統(tǒng)中中將發(fā)生的的變更，并并制定變更更方案；建立變更管管理制度，，重要系統(tǒng)統(tǒng)變更前，，應向主管管領導申請請，變更方方案經過評評審、審批批后方可實實施變更；；系統(tǒng)變更情情況應向所所有相關人人員通告；；應建立變更更控制的申申報和審批批文件化程程序，變更更影響分析析應文檔化化，變更實實施過程應應記錄，所所有文檔記記錄應妥善善保存；中止變更并并從失敗變變更中恢復復程序應文文檔化，應應明確過程程控制方法法和人員職職責，必要要時恢復過過程應經過過演練。系統(tǒng)運維管管理--備份與恢復復管理識別需要定定期備份的的重要業(yè)務務信息、系系統(tǒng)數(shù)據(jù)及及軟件系統(tǒng)統(tǒng)等；規(guī)定備份信