數(shù)字化項(xiàng)目等保測(cè)評(píng)整改方案（技術(shù)方案）

等保測(cè)評(píng)整改技術(shù)方案（技術(shù)方案）投標(biāo)方案投標(biāo)人名稱：****有限責(zé)任公司地址：****號(hào)二樓聯(lián)系人：****報(bào)告說明聲明：本文內(nèi)容信息來源于公開渠道，對(duì)文中內(nèi)容的準(zhǔn)確性、完整性、及時(shí)性或可靠性不作任何保證。本文內(nèi)容僅供參考與學(xué)習(xí)交流使用，不構(gòu)成相關(guān)領(lǐng)域的建議和依據(jù)。目錄一、方案概述 31項(xiàng)目建設(shè)背景 31.1法律依據(jù) 31.2政策依據(jù) 32項(xiàng)目建設(shè)目標(biāo)及內(nèi)容 42.1建設(shè)目標(biāo) 52.2建設(shè)內(nèi)容 53方案設(shè)計(jì)依據(jù)及網(wǎng)絡(luò)安全等級(jí)保護(hù)要求 5二、安全整改網(wǎng)絡(luò)拓?fù)鋱D 61現(xiàn)狀及整改建議 1.1安全物理環(huán)境 1.2安全通信網(wǎng)絡(luò) 1.3安全區(qū)域邊界 1.4安全計(jì)算環(huán)境 1.5安全管理中心 282設(shè)備整改采購清單 三、安全加固參考 1項(xiàng)目建設(shè)背景1.1法律依據(jù)1.2政策依據(jù)(2005〕1431號(hào))通知》(發(fā)改高技〔2008)2544號(hào)〕(公信安(2010)303號(hào))2項(xiàng)目建設(shè)目標(biāo)及內(nèi)容方案根據(jù)GB/T22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》并參照GB/T25070-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》的通用設(shè)計(jì)技術(shù)要求?！缎畔⒓夹g(shù)安全技術(shù)信息安全控制實(shí)用規(guī)則》(IS0/IEC27002:《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》(GB/T20984-2007)《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》(GB/T22240一《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》(GB/T25058-2010)《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)過程指南(GB/T28449-2018)張家口高新盛華熱力有限公司收費(fèi)生產(chǎn)系統(tǒng)網(wǎng)絡(luò)安全改造安全堆一體機(jī)版拓?fù)鋱D***單位網(wǎng)絡(luò)安全整改設(shè)備系統(tǒng)預(yù)算(收費(fèi)三級(jí)、控制二級(jí))產(chǎn)品1收費(fèi)專線防火墻H3CF1000-式設(shè)備，8個(gè)千兆電口+2對(duì)Combo口性能：七層吞吐量800Mbps,三層吞吐量3.5Gbps;并發(fā)連接數(shù)80萬，每秒級(jí)授權(quán)，15個(gè)SSLVPN用戶授權(quán)，鏈1臺(tái)2機(jī)H3CA2000-硬件：1U高機(jī)架式硬件架構(gòu)，8GB內(nèi)網(wǎng)千兆電口，支持1個(gè)接口擴(kuò)展槽1臺(tái)性能：最大圖形并發(fā)連接數(shù)50個(gè)，最配套授權(quán)：默認(rèn)可管理資產(chǎn)50個(gè)，5*10*NBD備件服務(wù)。3日志審計(jì)H3CCSAP-SA-日志處理速率2000EPS,日志容量6億條。5*10*NBD備件服務(wù)1臺(tái)4數(shù)據(jù)庫審計(jì)H3CD2000-電源，8G內(nèi)存，2T硬盤，支持2個(gè)管理接口，業(yè)務(wù)接口不少于4個(gè)以太網(wǎng)展槽位，具備至少8個(gè)及以太網(wǎng)千兆性能：SQL峰值處理能力不低于1.5萬條，最大吞吐量不低于1000Mbps,雙向?qū)徲?jì)數(shù)據(jù)庫流量不低于100Mbps。配套授權(quán)：默認(rèn)支持審計(jì)1個(gè)數(shù)據(jù)庫實(shí)例，每業(yè)務(wù)掛載數(shù)據(jù)庫數(shù)量不限5*10*NBD備件服務(wù)。1臺(tái)5漏洞掃描H3CSysScan-務(wù)電口，支持1個(gè)接口擴(kuò)展槽位，性能：系統(tǒng)、數(shù)據(jù)庫、基線掃描IP總并發(fā)120個(gè)，系統(tǒng)、數(shù)據(jù)庫、基線掃描任務(wù)總并發(fā)6個(gè)，Web掃描并發(fā)1個(gè)，口令猜解并發(fā)任務(wù)數(shù)1個(gè)配套授權(quán)：3年漏洞庫(含操作系統(tǒng)、5*10*NBD備件服務(wù)1臺(tái)防水和防潮b)機(jī)房及相關(guān)的工作房間和輔助房應(yīng)采用具有耐火等級(jí)的建筑材采用材料均為不符合等級(jí)的建筑材料進(jìn)行裝修，禁止放置雜物(紙箱子等易燃物)是否經(jīng)訪談，機(jī)房未部署漏水檢測(cè)行。不符合建議機(jī)房部署漏水檢測(cè)上靜電的產(chǎn)生，例如采用靜電消除器、佩戴防靜電手環(huán)等。經(jīng)檢查，機(jī)房未環(huán)或靜電消除不符合建議機(jī)房配備靜電消除器、防靜電手環(huán)等靜電度的變化在設(shè)備運(yùn)行所允許的范圍之內(nèi)。經(jīng)檢查，機(jī)房部濕度進(jìn)行自動(dòng)不符合建議機(jī)房配備精密空調(diào)控制在18℃~27℃,濕度應(yīng)控制在35%～65%。是否a)電源線和通信線纜應(yīng)隔離鋪設(shè)，避免互相干經(jīng)檢查，電源線不符合建議機(jī)房電源線和通信是否不符合建議為機(jī)房關(guān)鍵設(shè)備和網(wǎng)絡(luò)架構(gòu)e)應(yīng)提供通網(wǎng)絡(luò)設(shè)備和關(guān)鍵計(jì)算設(shè)備的硬件冗余，保證系統(tǒng)的可用取冗余部署，安全設(shè)備未采用硬件冗余部署，網(wǎng)絡(luò)設(shè)備和服務(wù)器采用建議通信線路采取冗余部署，重要網(wǎng)絡(luò)設(shè)備和關(guān)鍵計(jì)算設(shè)備采□是口否1)經(jīng)檢查，內(nèi)部網(wǎng)絡(luò)通訊未部署數(shù)據(jù)校驗(yàn)或密建議采用IPV6通訊加□是口否傳輸信過程中數(shù)據(jù)碼技術(shù)設(shè)備，未采用IPV6通訊加密協(xié)議進(jìn)行數(shù)據(jù)傳輸，無法保證數(shù)據(jù)傳輸過程中的保密性。2)數(shù)據(jù)在系統(tǒng)外部通訊時(shí)采用了HTTPS等加密技術(shù)，可以保證系統(tǒng)外部用戶與系統(tǒng)交互輸，或部署加密產(chǎn)品實(shí)現(xiàn)內(nèi)部通信加密傳可信驗(yàn)證備的系統(tǒng)引導(dǎo)用程序等進(jìn)行在應(yīng)用程序的關(guān)鍵執(zhí)行環(huán)節(jié)進(jìn)行動(dòng)態(tài)可信驗(yàn)證，在檢測(cè)到其可信性受到破壞后進(jìn)行證結(jié)果形成審計(jì)記錄送至安全管理中心。經(jīng)檢查，網(wǎng)絡(luò)內(nèi)未部署于可信根實(shí)現(xiàn)系統(tǒng)、應(yīng)用等程序的可信驗(yàn)證。合證設(shè)備，基于可信根實(shí)現(xiàn)系統(tǒng)、應(yīng)用等程□是□否控制點(diǎn)范c)應(yīng)采取技術(shù)進(jìn)行分析，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊特別APT攻擊/網(wǎng)絡(luò)分析系統(tǒng)/網(wǎng)絡(luò)回溯系統(tǒng)/威脅情報(bào)檢測(cè)系統(tǒng)，不能實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊特別是新型網(wǎng)絡(luò)攻擊行為的不符合系統(tǒng)，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊特別是新型網(wǎng)是否范d)當(dāng)檢測(cè)到攻合建議核心業(yè)務(wù)區(qū)和侵防御系統(tǒng)或者防鑒別a)應(yīng)對(duì)登錄的標(biāo)識(shí)具有唯一性，身份鑒別信息具有復(fù)雜度要求并定期更換；1)經(jīng)檢查，用戶在登錄網(wǎng)絡(luò)設(shè)備時(shí)采取用戶名+口令的方式；2)口令長機(jī)制，設(shè)備用戶列表內(nèi)身份標(biāo)識(shí)唯一，無相同用建議配置口令符合密碼策略：8位以上由大小寫字母、數(shù)字和符號(hào)組成，并至少每三個(gè)月進(jìn)行更換一是否鑒別失敗處理功能，應(yīng)配置并啟用結(jié)法登錄次數(shù)和當(dāng)?shù)卿涍B接超時(shí)自動(dòng)退出等相關(guān)措施；configuration,顯示不具合建議網(wǎng)絡(luò)設(shè)備配置登錄失敗處理功能和超是否鑒別d)應(yīng)采用口令、密碼技術(shù)、生物技術(shù)等兩種的鑒別技術(shù)對(duì)用戶進(jìn)行身份鑒別，且其中一種實(shí)現(xiàn)。經(jīng)檢查，設(shè)備未采用兩種合建議系統(tǒng)中用戶中同時(shí)采用用戶名+密碼+動(dòng)態(tài)口令或其他兩種術(shù)進(jìn)行身份鑒別，防是否訪問刪除默認(rèn)賬戶，修改默認(rèn)賬戶的默認(rèn)口令；備已修改默認(rèn)帳戶的默認(rèn)建議重命名系統(tǒng)默認(rèn)帳戶，修改帳戶默認(rèn)是否訪問用戶所需的最小用戶的權(quán)限分離；管理員admin,但未建立安全管理員和審計(jì)員用合建議建立三權(quán)分離用是否c)應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)，定到未預(yù)期的刪合建議部署日志審計(jì)系統(tǒng)，對(duì)日志信息進(jìn)行是否除、修改或覆蓋防范c)應(yīng)通過設(shè)定終端接入方式或網(wǎng)絡(luò)地址范圍對(duì)通過網(wǎng)絡(luò)進(jìn)行管行限制；經(jīng)檢查，未配置訪問控制合建議網(wǎng)絡(luò)設(shè)備、安全設(shè)備配置訪問控制策略，限制終端接入方式和地址范圍，防止未授權(quán)人員訪問設(shè)是否e)應(yīng)能發(fā)現(xiàn)可能存在的已知漏洞，并在經(jīng)過充分測(cè)試評(píng)估后，及時(shí)修補(bǔ)漏洞；合建議部署漏洞掃描設(shè)備，至少每月進(jìn)行一次漏洞掃描，及時(shí)修補(bǔ)設(shè)備高危漏洞。是否a)可基于可信根對(duì)計(jì)算設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和應(yīng)用程序等進(jìn)行可信驗(yàn)證，并在應(yīng)用信驗(yàn)證，在檢測(cè)到其可信性受到警，并將驗(yàn)證結(jié)果形成審計(jì)記錄送至安全管理中合建議部署可信驗(yàn)證設(shè)是否數(shù)據(jù)的本地?cái)?shù)據(jù)備份與恢復(fù)功經(jīng)訪談，網(wǎng)絡(luò)設(shè)備未定期合建議網(wǎng)絡(luò)設(shè)備、安全備份，備份至本地，防止出現(xiàn)數(shù)據(jù)出錯(cuò)導(dǎo)致無法進(jìn)行恢復(fù)數(shù)據(jù)的風(fēng)險(xiǎn)。是否c)應(yīng)提供重要數(shù)據(jù)處理系統(tǒng)的熱冗余，保證系統(tǒng)的高可用性。合建議核心交換機(jī)采用熱冗余部署，保證系統(tǒng)的高可用性。是否鑒別應(yīng)對(duì)登錄的用戶進(jìn)行身份標(biāo)識(shí)和鑒別，身份標(biāo)識(shí)具有唯一性，身份鑒別信息具有復(fù)雜度要求并定期更換；(高風(fēng)險(xiǎn))1)經(jīng)檢查，在運(yùn)行中輸入rundl132用戶名和密碼”;已為不同人員設(shè)置了不同的用戶，用戶名具有唯一性；2)檢查密碼復(fù)雜雜性要求(已啟用);2.密碼長度(0天);4.密碼天);5.密碼強(qiáng)制的密碼復(fù)雜度策略且未定期更換；期(用戶1)建議執(zhí)行“Win+R->運(yùn)行->secpol.msc”打開本地安全策略，選擇“帳戶策略->密碼策略”,在“帳戶策略->密碼策略”設(shè)置密碼必須密碼長度最小值為8個(gè)字符，密碼最短使用期限為2天，密碼最長使用期限為90天，強(qiáng)制執(zhí)行密碼歷史為5個(gè)記住的密碼，用可還原的加密來儲(chǔ)存密碼為已禁用；是否鑒別處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措(高風(fēng)險(xiǎn))1)經(jīng)檢查，系統(tǒng)登錄失敗處理參數(shù)：1.賬戶鎖定次無效登錄);3.合全策略，選擇“帳戶策略->賬戶鎖定策略”,在“帳戶策略->賬戶鎖定策略”設(shè)分鐘之后是否用);2)未設(shè)置屏幕保護(hù)功能并設(shè)b)賬戶鎖定時(shí)間：30分鐘c)賬戶鎖定閾值：5次無效建議設(shè)置屏幕保護(hù)功能并設(shè)置超時(shí)鎖定時(shí)間為10分鐘(勾選在恢復(fù)時(shí)顯示登錄屏鑒別當(dāng)進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；1)經(jīng)檢查，【計(jì)協(xié)議為加密傳輸，可以防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽，但未限制默認(rèn)遠(yuǎn)程端口號(hào)。建議運(yùn)維人員經(jīng)過測(cè)試后，對(duì)系統(tǒng)的默認(rèn)遠(yuǎn)程端口進(jìn)行修改，防止系統(tǒng)的默認(rèn)端口被不法分子利用從而入侵信是否訪問修改默認(rèn)賬戶的默認(rèn)口令；1)經(jīng)檢查，未重命名administrator用合建議重命名系統(tǒng)默認(rèn)用，重新建立系統(tǒng)管理員用戶，防止默認(rèn)用戶被不法分是否訪問用戶所需的最小1)經(jīng)檢查，系統(tǒng)管理用戶分配所需的最小權(quán)限，但未建立審計(jì)員和安全員用戶，無法實(shí)現(xiàn)管理用戶的權(quán)限分離。建議建立專門審計(jì)員用戶，對(duì)審計(jì)日志進(jìn)行審計(jì)，為不同用戶建立不同的用戶名；建立安全員用戶，實(shí)現(xiàn)管理是否審計(jì)功能，審計(jì)覆蓋到每個(gè)用戶，對(duì)重要的用戶行為和重要安全事件進(jìn)行審1)經(jīng)檢查[開始]->[控制面板]具]->[本地安全策略]->[本地策略]->[審核策略],服務(wù)器僅開啟審核登錄和審核賬戶登錄事件策略，未開啟全部的合略，對(duì)系統(tǒng)的操作事件進(jìn)行審計(jì)，使審計(jì)范圍覆蓋到每是否c)應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)，定1)經(jīng)檢查，審計(jì)建議建立審計(jì)員用戶，對(duì)審是否到未預(yù)期的刪除、修改或覆蓋保護(hù)，未建立專門的審計(jì)員賬戶進(jìn)行管理，審計(jì)記錄會(huì)的日志信息。日志審計(jì)系統(tǒng)，對(duì)審計(jì)日志進(jìn)行審計(jì)，防止審計(jì)日志受到未預(yù)期的刪除、修改或覆防范要的系統(tǒng)服務(wù)、默認(rèn)共享和高危1)經(jīng)檢查，未關(guān)閉系統(tǒng)默認(rèn)共享；[控制面板]->[管務(wù)],未關(guān)閉打印服務(wù)、server等系統(tǒng)不必要的服務(wù)；3)經(jīng)檢查，操作系統(tǒng)未關(guān)閉不必要的端口：135,139,445端口。合認(rèn)共享；建議操作系統(tǒng)開啟防火墻策略，關(guān)閉不必要的高危端口：135,137-139,445等端口。是否防范e)應(yīng)能發(fā)現(xiàn)可能存在的已知漏洞，并在經(jīng)過充分測(cè)試評(píng)估后，及時(shí)修補(bǔ)漏洞；經(jīng)檢查，系統(tǒng)未定期進(jìn)行漏洞掃描，未對(duì)漏掃報(bào)告中的高風(fēng)險(xiǎn)問題進(jìn)行及時(shí)的修復(fù)。合建議部署漏掃設(shè)備，定期(建議每個(gè)月)對(duì)操作系統(tǒng)進(jìn)行漏洞掃描，及時(shí)對(duì)操作系統(tǒng)的狀態(tài)進(jìn)行評(píng)估，防止系統(tǒng)漏洞被利用導(dǎo)致出現(xiàn)入是否防范f)應(yīng)能夠檢測(cè)到對(duì)重要節(jié)點(diǎn)進(jìn)行入侵的行為，并在發(fā)生嚴(yán)重入侵經(jīng)檢查，未安裝主機(jī)入侵檢測(cè)系統(tǒng)，件時(shí)提供報(bào)警功能。高危端口：135,137-139,445等端口進(jìn)行限制；建議部署主機(jī)入侵檢測(cè)軟件并設(shè)是否a)可基于可信根對(duì)計(jì)算設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和應(yīng)用程序等進(jìn)行可信驗(yàn)證，并在應(yīng)用程序的關(guān)鍵執(zhí)行環(huán)節(jié)進(jìn)行動(dòng)態(tài)可信驗(yàn)證，在檢測(cè)到其可信性受到警，并將驗(yàn)證結(jié)果形成審計(jì)記錄1)經(jīng)檢查，未實(shí)合計(jì)算設(shè)備的引導(dǎo)程序、應(yīng)用程序、重要參數(shù)等進(jìn)行可信是否送至安全管理中據(jù)在傳輸過程中的保密性，包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)和重要個(gè)人信1)經(jīng)檢查，未采用密碼技術(shù)保證鑒合建議windows系統(tǒng)采用密碼技術(shù)來保證鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)和重要個(gè)人信息在是否據(jù)在存儲(chǔ)過程中的保密性，包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)和重要個(gè)人信用密碼技術(shù)進(jìn)行管理，無法保證數(shù)據(jù)在存儲(chǔ)過程中的保密性。合建議windows系統(tǒng)采用密碼技術(shù)來保證鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)和重要個(gè)人信息在是否數(shù)據(jù)的本地?cái)?shù)據(jù)備份與恢復(fù)功實(shí)現(xiàn)備份數(shù)據(jù)的恢復(fù)。據(jù)進(jìn)行備份，并進(jìn)行恢復(fù)測(cè)試，保證備份數(shù)據(jù)的有效性和可用性，防止備份數(shù)據(jù)出現(xiàn)問題后無法對(duì)重要數(shù)據(jù)進(jìn)是否份至備份場地：1)經(jīng)檢查，未提供異地?cái)?shù)據(jù)備份功能，并進(jìn)行實(shí)時(shí)備份。合建議部署異地機(jī)房或其他異地備份機(jī)制，利用通用網(wǎng)絡(luò)實(shí)時(shí)備份重要數(shù)據(jù)到指定地點(diǎn)，防止本地機(jī)房出現(xiàn)問題是否a)應(yīng)保證鑒別信息所在的存儲(chǔ)空間被釋放或重新分配前得到完全1)經(jīng)檢查，查看管理工具-本地安項(xiàng)，不顯示上次的用戶名[未啟用],系統(tǒng)鑒別信息所在的存儲(chǔ)空間被釋放得到完全清除。合全策略，選擇“本地安全策略->安全設(shè)置->本地策略->安全選項(xiàng)”將[交互式登錄：已啟用。是否感數(shù)據(jù)的存儲(chǔ)空間被釋放或重新1)經(jīng)檢查，查看[本地安全策略]->[本地策合是否分配前得到完全略]->[安全選項(xiàng)]->[關(guān)機(jī)：清除虛擬內(nèi)存頁面文內(nèi)重要信息資源所全選項(xiàng)”將[關(guān)機(jī)：清除虛擬內(nèi)存頁面文件]設(shè)置為已啟身份鑒別d)當(dāng)對(duì)服務(wù)器進(jìn)時(shí)，應(yīng)采取必鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；1)經(jīng)檢查，查看器>右鍵屬性>服務(wù)器屬性>連接，已勾選“允許遠(yuǎn)程連接到此服務(wù)器”,可以對(duì)數(shù)據(jù)庫進(jìn)行遠(yuǎn)程管理；2)經(jīng)檢查，查Manager->SqlServer網(wǎng)絡(luò)配置->MSSQLSERVER的書”標(biāo)簽頁未發(fā)現(xiàn)存在志”標(biāo)簽頁中強(qiáng)行加密書，對(duì)網(wǎng)絡(luò)傳輸過程中建議開啟遠(yuǎn)程登錄加密功打開開始菜單-Microsoft“是”。是否訪問控制a)應(yīng)對(duì)登錄的用戶分配賬戶和權(quán)限1)經(jīng)檢查，數(shù)據(jù)庫系統(tǒng)除sa賬戶外，其余用戶因業(yè)務(wù)需要具有sysadmin角色，但未建立安全管理員建議在數(shù)據(jù)庫系統(tǒng)中設(shè)置審是否訪問控制賬戶的默認(rèn)口1)經(jīng)檢查，系統(tǒng)存在默認(rèn)sa賬戶擁有最高權(quán)限，未建議重命名sa賬戶，防止是否安全審計(jì)審計(jì)功能，審用戶，對(duì)重要的用戶行為和進(jìn)行審計(jì)；1)經(jīng)檢查，數(shù)據(jù)庫僅開啟“僅限失敗的登功能但審計(jì)范圍覆蓋到建議數(shù)據(jù)庫開啟全部的審核策略，對(duì)系統(tǒng)的成功和失敗的事件進(jìn)行審計(jì)，保證審計(jì)范圍覆蓋到每個(gè)操作系統(tǒng)用是否安全審計(jì)c)應(yīng)對(duì)審計(jì)記定期備份，避免受到未預(yù)期的刪除、修改或覆蓋等；未部署數(shù)據(jù)庫審計(jì)系統(tǒng)，無法保證審計(jì)日志合對(duì)數(shù)據(jù)庫日志進(jìn)行收集并保是否防范e)應(yīng)能發(fā)現(xiàn)可能存在的已知補(bǔ)漏洞；經(jīng)檢查，數(shù)據(jù)庫系統(tǒng)未部署數(shù)據(jù)庫漏洞掃描設(shè)合建議對(duì)數(shù)據(jù)庫補(bǔ)丁進(jìn)行及時(shí)的更新，防止數(shù)據(jù)庫的漏洞過多導(dǎo)致數(shù)據(jù)庫受到外來者的入侵；建議部署數(shù)據(jù)庫防火墻，對(duì)數(shù)據(jù)庫的虛擬補(bǔ)丁進(jìn)行更新，在出現(xiàn)違規(guī)操作是否可信a)可基于可信的系統(tǒng)引導(dǎo)程序等進(jìn)行可信證，在檢測(cè)到其可信性受到警，并將驗(yàn)證結(jié)果形成審計(jì)1)經(jīng)檢查，未部署可信合建議部署可信驗(yàn)證產(chǎn)品對(duì)系統(tǒng)的引導(dǎo)程序、應(yīng)用程序等數(shù)據(jù)完整性術(shù)保證重要數(shù)包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)、個(gè)人信息等；1)經(jīng)檢查，windows系行遠(yuǎn)程管理，可以保證鑒別數(shù)據(jù)在傳輸過程中未采用校驗(yàn)碼技術(shù)或密未采取措施對(duì)數(shù)據(jù)完整中的數(shù)據(jù)完整性進(jìn)行校驗(yàn)。是否數(shù)據(jù)備份與恢復(fù)份，不具有數(shù)據(jù)恢復(fù)功能，但未進(jìn)行數(shù)據(jù)的恢復(fù)測(cè)試，防止備份數(shù)據(jù)出現(xiàn)是否實(shí)時(shí)備份功能，利用通信網(wǎng)絡(luò)將重要數(shù)備份場地；1)經(jīng)檢查，未提供異地?cái)?shù)據(jù)備份功能，并進(jìn)行合建議部署異地機(jī)房或其他異實(shí)時(shí)備份重要數(shù)據(jù)到指定地點(diǎn)，防止本地機(jī)房出現(xiàn)問題是否控制點(diǎn)的身份鑒別功能；2)已經(jīng)對(duì)系統(tǒng)管理員的操作權(quán)限進(jìn)行限制，僅允許其擁有業(yè)務(wù)所需的最小無法對(duì)系統(tǒng)中所有設(shè)備系統(tǒng)管理員的審計(jì)管理管理員對(duì)審計(jì)記并根據(jù)分析結(jié)果略對(duì)審計(jì)記錄進(jìn)行存儲(chǔ)、管理和查詢等。1)經(jīng)檢查，網(wǎng)絡(luò)、安全設(shè)備和服務(wù)器員賬戶；2)通過審理，包括根據(jù)安全審計(jì)策略對(duì)審計(jì)記和查詢等。建議主機(jī)、安全設(shè)備、網(wǎng)絡(luò)設(shè)備配置審計(jì)管理員用戶；建議部署日志審計(jì)系統(tǒng)，對(duì)日志進(jìn)行收集并保晷安全管理a)應(yīng)對(duì)安全管理員進(jìn)行身份鑒經(jīng)檢查，網(wǎng)絡(luò)、安建立安全管理員賬管理員的操作記不符合建議網(wǎng)絡(luò)、安全設(shè)備、服務(wù)器建立安全管理員賬戶；部署堡是否控c)應(yīng)對(duì)網(wǎng)絡(luò)鏈路、安全設(shè)備、網(wǎng)行集中監(jiān)測(cè)；系統(tǒng)，無法實(shí)現(xiàn)對(duì)系統(tǒng)中網(wǎng)絡(luò)鏈路、安全設(shè)備、服務(wù)器的運(yùn)行狀態(tài)進(jìn)行集中管理。不符合是否e)應(yīng)對(duì)安全策略、惡意代碼、補(bǔ)丁升級(jí)等安全相關(guān)事項(xiàng)進(jìn)行集中1)未部署統(tǒng)一策略管理平臺(tái)；2)服務(wù)器安裝360網(wǎng)神網(wǎng)對(duì)防惡意代碼和補(bǔ)建議部署統(tǒng)一策略管理平臺(tái)，實(shí)現(xiàn)系統(tǒng)中網(wǎng)絡(luò)、安全設(shè)備和服務(wù)器等策略的統(tǒng)一管是否f)應(yīng)能對(duì)網(wǎng)絡(luò)中的各類安全事件進(jìn)行進(jìn)行識(shí)別、事件的識(shí)別、報(bào)警和分析不符合APT攻擊系統(tǒng)，實(shí)現(xiàn)對(duì)全網(wǎng)安全事件的識(shí)是類別1網(wǎng)絡(luò)設(shè)備1行熱備或堆疊部署，提高業(yè)務(wù)高峰期的網(wǎng)絡(luò)可用率和容錯(cuò)2安全設(shè)備回溯系統(tǒng)/威脅情報(bào)檢測(cè)系統(tǒng)1析系統(tǒng)/網(wǎng)絡(luò)回溯系統(tǒng)/威脅情報(bào)檢測(cè)系統(tǒng)，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊特別是新型網(wǎng)絡(luò)攻擊行為的分防病毒網(wǎng)關(guān)或防火墻開啟防病毒模塊1意代碼進(jìn)行防范。1建議網(wǎng)絡(luò)內(nèi)部署可信驗(yàn)證設(shè)備，基于可信根實(shí)現(xiàn)系統(tǒng)、應(yīng)用防火墻開啟IPS模塊N墻開啟IPS模塊，對(duì)安全事件的入侵行為進(jìn)行防御和報(bào)警。日志審計(jì)系統(tǒng)1建議部署日志審計(jì)系統(tǒng)，對(duì)設(shè)備日志進(jìn)行收集和存儲(chǔ)至少61數(shù)據(jù)庫日志進(jìn)行收集和存儲(chǔ)至少6個(gè)月時(shí)間。11建議部署雙因素認(rèn)證設(shè)備3安全設(shè)備IT運(yùn)維管理系統(tǒng)1網(wǎng)絡(luò)設(shè)備、安全設(shè)備和服務(wù)器4安全運(yùn)維1建議部署漏掃裝置，定期對(duì)內(nèi)網(wǎng)應(yīng)用和服務(wù)器進(jìn)行漏洞掃描并修復(fù)漏洞。5安全防護(hù)件1實(shí)現(xiàn)敏感標(biāo)記、剩余信息保護(hù)、6配置加固網(wǎng)絡(luò)/安全設(shè)備117管理體系安全管理制度1安全管理機(jī)構(gòu)1111設(shè)備(路由器、交換機(jī)、安全設(shè)備等)通信線路和數(shù)據(jù)處理系統(tǒng)(服務(wù)<身份鑒別>進(jìn)入“控制面板->管理工具->本地安全策略”,在“帳戶策略->密碼策略”。已禁用已啟用密碼最短使用期限密碼最長使用期限強(qiáng)制執(zhí)行密碼歷史用可還原的加密來儲(chǔ)存密碼已禁用已禁用如下策略：復(fù)位賬戶鎖定計(jì)數(shù)器不適用30分鐘賬戶鎖定時(shí)間不適用30分鐘賬戶鎖定閾值05次無效登錄1)打開注冊(cè)表2)定位的注冊(cè)表HKEY_LOCAL_MACHINE\SYSTEM\Current3)修改右邊Po