安全生產(chǎn)管理某單位信息安全等級(jí)保護(hù)建設(shè)方案

{安全生產(chǎn)管理}本文檔版權(quán)歸xxxxxx股份有限公司所有，未經(jīng)xxxx有限公司允許，本文檔里的任何內(nèi)容都不得被用來(lái)宣傳和傳播。未經(jīng)xxxx有限公司書(shū)面批準(zhǔn)，文檔或任何類似的資訊都不允許被發(fā)布。1.2.1法律要求61.2.2政策要求71.3.1項(xiàng)目建設(shè)目標(biāo)82.1.1信息系統(tǒng)現(xiàn)狀92.2.1物理安全現(xiàn)狀與差距分析122.2.3主機(jī)安全現(xiàn)狀與差距分析222.2.4應(yīng)用安全現(xiàn)狀與差距分析272.2.5數(shù)據(jù)安全現(xiàn)狀與差距分析322.2.6安全管理現(xiàn)狀與差距分析342.3.1技術(shù)措施綜合整改建議372.3.2安全管理綜合整改建議434.1.1指導(dǎo)原則464.1.2安全防護(hù)體系設(shè)計(jì)整體架構(gòu)474.2.1安全建設(shè)規(guī)劃拓樸圖494.2.2安全設(shè)備功能505.1.5安全管理體系建設(shè)服務(wù)86xxxxxx是人民政府的職能部門，貫徹執(zhí)行國(guó)家有關(guān)機(jī)關(guān)事務(wù)工作的方針政策，擬訂省機(jī)關(guān)事務(wù)工作的政策、規(guī)劃和規(guī)章制度并組織實(shí)施，負(fù)責(zé)省機(jī)關(guān)事務(wù)的管理、保障、服務(wù)工作。在面對(duì)現(xiàn)在越來(lái)越嚴(yán)重的網(wǎng)絡(luò)安全態(tài)勢(shì)下，xxxxxx積極響應(yīng)國(guó)家相關(guān)政策法規(guī)，積極開(kāi)展信息安全等級(jí)保護(hù)建設(shè)。對(duì)自有網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行自我核查，補(bǔ)齊等保短板，履行安全保護(hù)義務(wù)。項(xiàng)目目標(biāo)：打造一個(gè)可信、可管、可控、可視的安全網(wǎng)絡(luò)環(huán)境，更好的為機(jī)關(guān)各部門及領(lǐng)導(dǎo)者和公務(wù)人員提供工作和生活條件，更好的保障各項(xiàng)行政活動(dòng)正常進(jìn)行。機(jī)關(guān)后勤管理工作因?yàn)槠湔畠?nèi)部服務(wù)的特殊性，一直比較少地為社會(huì)公眾所關(guān)注或重視。機(jī)關(guān)后勤管理包括對(duì)物資、財(cái)務(wù)、環(huán)境、生活以及各種服務(wù)項(xiàng)目在內(nèi)的事務(wù)工作的管理，是行政機(jī)關(guān)辦公室管理的重要一環(huán)，為機(jī)關(guān)各部門以及領(lǐng)導(dǎo)者和公務(wù)人員提供工作和生活條件，是保障各項(xiàng)行政活動(dòng)正常進(jìn)行的物質(zhì)基礎(chǔ)。隨著這幾年地區(qū)經(jīng)濟(jì)的高速發(fā)展和政府行政職能分配管理的需要，使機(jī)關(guān)事務(wù)管理工作的管理范圍和管理對(duì)象也相應(yīng)的擴(kuò)展和增加，管理工作變得十分繁重。尤其是在新增的一些業(yè)務(wù)管理工作方面，如對(duì)政府機(jī)關(guān)單位固定資產(chǎn)的管理、房屋出租、分配的管理等，同時(shí)，隨著這幾年國(guó)家對(duì)資產(chǎn)管理的重視，信息化建設(shè)從原來(lái)注重財(cái)務(wù)管理信息化逐漸向國(guó)有資產(chǎn)管理信息化發(fā)展，作為機(jī)關(guān)事務(wù)管理的機(jī)構(gòu)，正承擔(dān)著這樣一種責(zé)任和使命。同時(shí)在面對(duì)現(xiàn)在不容樂(lè)觀的整體安全態(tài)勢(shì)環(huán)境下，開(kāi)展機(jī)關(guān)事務(wù)管理的信息化建設(shè)與信息安全建設(shè)，是整個(gè)社會(huì)和國(guó)家發(fā)展的必然趨勢(shì)。確規(guī)定了法律層面的網(wǎng)絡(luò)安全。具體如下：“沒(méi)有網(wǎng)絡(luò)安全，就沒(méi)有國(guó)家安全”，《網(wǎng)絡(luò)安全法》第二十一條明確規(guī)定“國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度”。各網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照要求，開(kāi)展網(wǎng)絡(luò)安全等級(jí)保護(hù)的定級(jí)備案、等級(jí)測(cè)評(píng)、安全建設(shè)、安全檢查等工作。除此之外，《網(wǎng)絡(luò)安全法》中還從網(wǎng)絡(luò)運(yùn)行安全、關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)行安全、網(wǎng)絡(luò)信息安全等對(duì)以下方面做了詳細(xì)規(guī)定：網(wǎng)絡(luò)日志留存：第二十一條還規(guī)定，網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)制定內(nèi)部安全管理制度和操作規(guī)程，確定網(wǎng)絡(luò)安全負(fù)責(zé)人，落實(shí)網(wǎng)絡(luò)安全保護(hù)責(zé)任;采取防計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施;采取監(jiān)測(cè)、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，留存不少于六個(gè)月的相關(guān)網(wǎng)絡(luò)日志;采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施。未履行上述網(wǎng)絡(luò)安全保護(hù)義務(wù)的，會(huì)被依照此條款責(zé)令整改，拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處一萬(wàn)元以上十萬(wàn)元以下罰款，對(duì)直接負(fù)責(zé)的主管人員處五千元以上五萬(wàn)元以下罰款。漏洞處置：第二十五條規(guī)定，網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，及時(shí)處置系統(tǒng)漏洞、計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等安全風(fēng)險(xiǎn);在發(fā)生危害網(wǎng)絡(luò)安全的事件時(shí)，立即啟動(dòng)應(yīng)急預(yù)案，采取相應(yīng)的補(bǔ)救措施，并按照規(guī)定向有關(guān)主管部門報(bào)告。沒(méi)有網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案的，沒(méi)有及時(shí)處置高危漏洞、網(wǎng)絡(luò)攻擊的;在發(fā)生網(wǎng)絡(luò)安全事件時(shí)處置不恰當(dāng)?shù)模瑫?huì)被依照此條款責(zé)令整改，拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處一萬(wàn)元以上十萬(wàn)元以下罰款，對(duì)直接負(fù)責(zé)的主管人員處五千元以上五萬(wàn)元以下罰款。容災(zāi)備份：第三十四條第三項(xiàng)規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施單位對(duì)重要系統(tǒng)和數(shù)據(jù)庫(kù)進(jìn)行容災(zāi)備份。沒(méi)有對(duì)重要系統(tǒng)和數(shù)據(jù)庫(kù)進(jìn)行容災(zāi)備份的會(huì)被依照此條款責(zé)令改正。應(yīng)急演練：第三十四條第四項(xiàng)規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施單位應(yīng)當(dāng)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，并定期進(jìn)行演練。沒(méi)有網(wǎng)絡(luò)安全事件預(yù)案的，或者沒(méi)有定期演練的，會(huì)被依照此條進(jìn)行責(zé)令改正。安全檢測(cè)評(píng)估：第三十八條規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對(duì)其網(wǎng)絡(luò)的安全性和可能存在的風(fēng)險(xiǎn)每年至少進(jìn)行一次檢測(cè)評(píng)估，并將檢測(cè)評(píng)估情況和改進(jìn)措施報(bào)送相關(guān)負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門。每年沒(méi)有進(jìn)行安全檢測(cè)評(píng)估的單位要被責(zé)令改正。為切實(shí)加強(qiáng)門戶網(wǎng)站安全管理和防護(hù)，保障網(wǎng)站安全穩(wěn)定運(yùn)行，國(guó)家非常重視，陸續(xù)頒布以下文件：《關(guān)于加強(qiáng)黨政機(jī)關(guān)網(wǎng)站關(guān)網(wǎng)站開(kāi)辦審核、資格復(fù)核和網(wǎng)站標(biāo)識(shí)管理工作的通知》（中央編辦發(fā)〔2014〕69號(hào)公安部、中央網(wǎng)信辦、中編辦、工信部等四部門《關(guān)于印發(fā)〈黨政機(jī)關(guān)、事業(yè)單位和國(guó)有企業(yè)互聯(lián)網(wǎng)網(wǎng)站安全依據(jù)國(guó)家信息安全等級(jí)保護(hù)相關(guān)指導(dǎo)規(guī)范，對(duì)xxxxxx信息系統(tǒng)、基礎(chǔ)設(shè)施和骨干網(wǎng)絡(luò)按照等保三級(jí)進(jìn)行安全建設(shè)規(guī)劃，對(duì)安全建設(shè)進(jìn)行統(tǒng)一規(guī)劃和設(shè)備選型，實(shí)現(xiàn)方案合理、組網(wǎng)簡(jiǎn)單、擴(kuò)容靈依據(jù)信息安全等級(jí)保護(hù)三級(jí)標(biāo)準(zhǔn)，按照“統(tǒng)一規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)、重點(diǎn)明確、合理建設(shè)”的基本原則，在物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全等幾個(gè)方面進(jìn)行安全規(guī)劃與建設(shè)，確?！熬W(wǎng)絡(luò)建設(shè)合規(guī)、安全防護(hù)到位”。方案目標(biāo)是讓xxxxxx的骨干網(wǎng)絡(luò)、相關(guān)應(yīng)用系統(tǒng)達(dá)到安全等級(jí)保護(hù)第三級(jí)要求。經(jīng)過(guò)建設(shè)后使整體網(wǎng)絡(luò)形成一套完善的安全防護(hù)體系，提升整體信息安全防護(hù)能力。本項(xiàng)目以xxxxxx骨干網(wǎng)絡(luò)、信息系統(tǒng)等級(jí)保護(hù)建設(shè)為主線，以讓相關(guān)信息系統(tǒng)達(dá)到安全等級(jí)保護(hù)第三級(jí)要求。借助網(wǎng)絡(luò)產(chǎn)品、安全產(chǎn)品、安全服務(wù)、管理制度等手段，建立全網(wǎng)的安全防控管理服1)服務(wù)器≥4臺(tái)2.1.1.1網(wǎng)絡(luò)系統(tǒng)現(xiàn)狀xxxxxx的網(wǎng)絡(luò)系統(tǒng)整體構(gòu)架采用三層層次化模型網(wǎng)絡(luò)架構(gòu)，即核心層：核心層是網(wǎng)絡(luò)的高速交換主干，對(duì)整個(gè)網(wǎng)絡(luò)的連通起成。匯聚層：匯聚層是網(wǎng)絡(luò)接入層和核心層的“中介”，是在工作站接入核心層前先做匯聚，以減輕核心層設(shè)備的負(fù)荷。xxxxxx內(nèi)網(wǎng)中，由迪普和H3C交換機(jī)作為內(nèi)網(wǎng)的有線匯聚和內(nèi)網(wǎng)的無(wú)線匯聚交換機(jī)。接入層：接入層向本地網(wǎng)段提供工作站接入。xxxxxx內(nèi)網(wǎng)網(wǎng)絡(luò)中，由各種品牌的交換機(jī)作為終端前端接入交換機(jī)，為各區(qū)域提供接入。聚交換機(jī)。其他各系統(tǒng)旁路至核心交換機(jī)上。安全現(xiàn)狀：在整體網(wǎng)絡(luò)中部署有相應(yīng)的安全設(shè)備做安全防護(hù)，但部分安全設(shè)備過(guò)保，整體網(wǎng)絡(luò)安全防護(hù)體系不夠完善、區(qū)域劃分不合理，現(xiàn)狀拓?fù)鋱D如下：2.1.1.2主機(jī)系統(tǒng)現(xiàn)狀服務(wù)器為機(jī)架式服務(wù)器和塔式服務(wù)器，固定于標(biāo)準(zhǔn)機(jī)柜與固定位2.1.1.3應(yīng)用系統(tǒng)現(xiàn)狀也包含一些其他的辦公軟件。xxxxxx機(jī)房建設(shè)過(guò)程中參照B級(jí)機(jī)房標(biāo)準(zhǔn)參考進(jìn)行統(tǒng)一規(guī)劃，存在的物理安全隱患較少。但仍需參照以下標(biāo)準(zhǔn)進(jìn)行核查、整改；根據(jù)信息安全等級(jí)保護(hù)（第三級(jí)）中對(duì)物理安全相關(guān)項(xiàng)（防火、防雷、防水、防磁及電力供應(yīng)等）存在些許差距。詳見(jiàn)下表差距分析。序號(hào)1a)機(jī)房和辦公場(chǎng)地應(yīng)選擇在具有防震、防風(fēng)和防雨等能力的建筑內(nèi)；b)機(jī)房場(chǎng)地應(yīng)避免設(shè)在建筑物的高層或地下室，以及用水設(shè)備的下層或隔壁。2a)機(jī)房出入口應(yīng)安排專人值守，控制、鑒別和記錄進(jìn)入的人員；序號(hào)b)需進(jìn)入機(jī)房的來(lái)訪人員應(yīng)經(jīng)過(guò)申請(qǐng)和審批流程，并限制和監(jiān)控其活動(dòng)范圍；有監(jiān)控，但是沒(méi)有申請(qǐng)和審批流程c)應(yīng)對(duì)機(jī)房劃分區(qū)域進(jìn)行管理，區(qū)域和區(qū)域之間設(shè)置物理隔離裝置，在重要區(qū)域前設(shè)置交付或安裝等依據(jù)業(yè)務(wù)系統(tǒng)進(jìn)行了機(jī)柜間的區(qū)域區(qū)分，但未在重要區(qū)域前設(shè)置物理隔離裝置。在重要區(qū)域前設(shè)d)重要區(qū)域應(yīng)配置電子門禁系統(tǒng)，控制、鑒別和記錄進(jìn)入的人員。3a)應(yīng)將主要設(shè)備放置在機(jī)房?jī)?nèi)；b)應(yīng)將設(shè)備或主要部件進(jìn)行固定，并設(shè)置明顯的不易除去的標(biāo)記；c)應(yīng)將通信線纜鋪設(shè)在隱蔽處，可鋪設(shè)在地下或管有部分線纜架設(shè)d)應(yīng)對(duì)介質(zhì)分類標(biāo)識(shí)，存儲(chǔ)在介質(zhì)庫(kù)或檔案室中；e)應(yīng)利用光、電等技術(shù)設(shè)f)應(yīng)對(duì)機(jī)房設(shè)置監(jiān)控報(bào)警4a)機(jī)房建筑應(yīng)設(shè)置避雷裝序號(hào)b)應(yīng)設(shè)置防雷保安器，防止感應(yīng)雷；c)機(jī)房應(yīng)設(shè)置交流電源地線。5a)機(jī)房應(yīng)設(shè)置火災(zāi)自動(dòng)消防系統(tǒng)，能夠自動(dòng)檢測(cè)火情、自動(dòng)報(bào)警，并自動(dòng)滅火；b)機(jī)房及相關(guān)的工作房間和輔助房應(yīng)采用具有耐火等級(jí)的建筑材料；c)機(jī)房應(yīng)采取區(qū)域隔離防火措施，將重要設(shè)備與其他設(shè)備隔離開(kāi)。6a)水管安裝，不得穿過(guò)機(jī)房屋頂和活動(dòng)地板下；b)應(yīng)采取措施防止雨水通過(guò)機(jī)房窗戶、屋頂和墻壁c)應(yīng)采取措施防止機(jī)房?jī)?nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透；d)應(yīng)安裝對(duì)水敏感的檢測(cè)儀表或組件，對(duì)機(jī)房進(jìn)行防水檢測(cè)和報(bào)警。7序號(hào)a)主要設(shè)備應(yīng)采用必要的接地防靜電措施；板。8機(jī)房應(yīng)設(shè)置溫、濕度自動(dòng)調(diào)節(jié)設(shè)施，使機(jī)房溫、濕度的變化在設(shè)備運(yùn)行所允許的范圍之內(nèi)。安裝有動(dòng)力環(huán)境監(jiān)控系統(tǒng)，建議機(jī)房日常溫度控9a)應(yīng)在機(jī)房供電線路上配置穩(wěn)壓器和過(guò)電壓防護(hù)設(shè)b)應(yīng)提供短期的備用電力供應(yīng)，至少滿足主要設(shè)備在斷電情況下的正常運(yùn)行要求；少保證斷電時(shí)主要設(shè)備在常運(yùn)行。c)應(yīng)設(shè)置冗余或并行的電力電纜線路為計(jì)算機(jī)系統(tǒng)供電；只有一條出口線，極容易增加線纜，做到d)應(yīng)建立備用供電系統(tǒng)。a)應(yīng)采用接地方式防止外界電磁干擾和設(shè)備寄生耦合干擾；b)電源線和通信線纜應(yīng)隔c)應(yīng)對(duì)關(guān)鍵設(shè)備和磁介質(zhì)由于xxxxxx前期已經(jīng)行相關(guān)安全建設(shè)，仍有相關(guān)安全防護(hù)建設(shè)2.新增移動(dòng)接入鏈路，3.面對(duì)日益突增的網(wǎng)絡(luò)安全事件缺乏有效防御手段及應(yīng)急機(jī)制；4.骨干網(wǎng)絡(luò)架構(gòu)規(guī)劃不合理，核心交換區(qū)無(wú)冗余，安全防護(hù)區(qū)域劃分不明晰，不能對(duì)不同區(qū)域間防護(hù)措施、技術(shù)手段進(jìn)行統(tǒng)一規(guī)詳見(jiàn)下表差距分析：序號(hào)1a)應(yīng)保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要；域網(wǎng)核心交換設(shè)備均采用單鏈路、單設(shè)備，無(wú)冗余空間，一出現(xiàn)單點(diǎn)故障，無(wú)法有效保障對(duì)外開(kāi)放的行。域網(wǎng)核心設(shè)備至少有二序號(hào)b)應(yīng)保證網(wǎng)絡(luò)各個(gè)部分的帶寬滿足業(yè)務(wù)高峰期需要；c)應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服d)應(yīng)繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖；我們會(huì)在工程結(jié)束后重新繪制網(wǎng)絡(luò)拓?fù)鋱D。e)應(yīng)根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段；整體網(wǎng)絡(luò)結(jié)構(gòu)中已按照需求進(jìn)行子網(wǎng)劃分。但使用中存在混亂，沒(méi)有按規(guī)定使用。待本次項(xiàng)目建設(shè)進(jìn)行梳理、嚴(yán)格f)應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段；2a)應(yīng)在網(wǎng)絡(luò)邊界部署訪問(wèn)控制設(shè)備，啟用訪問(wèn)控制功能；其他區(qū)域未部署訪問(wèn)建議在互聯(lián)網(wǎng)出口與服務(wù)器區(qū)前部署防火墻進(jìn)序號(hào)b)應(yīng)能根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問(wèn)的能力，控制粒度為端口級(jí)；c)應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過(guò)濾，實(shí)現(xiàn)對(duì)應(yīng)用級(jí)的控制；d)應(yīng)在會(huì)話處于非活躍一未部署流量控制設(shè)備，無(wú)法根據(jù)所承載e)應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)的業(yè)務(wù)和帶寬的實(shí)際情況確定網(wǎng)絡(luò)最大流部署上網(wǎng)行為管理及流控量數(shù)和網(wǎng)絡(luò)連接數(shù)并進(jìn)行管理。f)重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙；未部署訪問(wèn)控制設(shè)備濾或傳輸控制協(xié)議，進(jìn)行邊界訪問(wèn)控制，防止地址欺騙，應(yīng)對(duì)進(jìn)行必要的控制。實(shí)現(xiàn)重要網(wǎng)段地址進(jìn)行有效保護(hù)防止地址欺騙。g)應(yīng)按用戶和系統(tǒng)之間的允許訪問(wèn)規(guī)則，決定允許或拒絕用戶對(duì)受控系統(tǒng)進(jìn)行資源訪問(wèn)，控制粒度為單個(gè)用戶；墻、認(rèn)證網(wǎng)關(guān)或授權(quán)管理系統(tǒng)，可對(duì)單個(gè)用戶的訪問(wèn)進(jìn)行策略控制。同安全域之間的訪問(wèn)控制序號(hào)h)應(yīng)限制具有撥號(hào)訪問(wèn)權(quán)3a)應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄；有上網(wǎng)行為管理設(shè)備（過(guò)保但是并沒(méi)有辦法對(duì)網(wǎng)絡(luò)設(shè)備運(yùn)計(jì)系統(tǒng)可對(duì)來(lái)自不同廠商的安全設(shè)備、網(wǎng)志、警報(bào)等信息匯集到審計(jì)中心，實(shí)現(xiàn)綜合安全審計(jì)。部署綜合日志審計(jì)系統(tǒng)可對(duì)來(lái)自不同廠商的安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機(jī)、操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、用戶業(yè)務(wù)系統(tǒng)的日志、警報(bào)等信息匯集到審計(jì)中心，實(shí)現(xiàn)綜合安全審計(jì)。b)審計(jì)記錄應(yīng)包括：事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息；c)應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；護(hù)，避免受到未預(yù)期的刪除、修改或覆蓋等。安全審計(jì)日志記錄要求保存至少半年以上。4a)應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，可通終端管理系統(tǒng)或可采用終端管理系統(tǒng)等序號(hào)b)應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對(duì)其進(jìn)行有效阻斷?？刹捎媒K端管理系統(tǒng)等5a)應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時(shí)間，在發(fā)生嚴(yán)重入侵事件落實(shí)安全審計(jì)系統(tǒng)報(bào)警功能。6a)應(yīng)在網(wǎng)絡(luò)邊界處對(duì)惡意b)應(yīng)維護(hù)惡意代碼庫(kù)的升級(jí)和檢測(cè)系統(tǒng)的更新。7a)應(yīng)對(duì)登錄網(wǎng)絡(luò)設(shè)備的用沒(méi)有指定專人進(jìn)行維護(hù)。通過(guò)密碼和用戶可以指定專人維護(hù)網(wǎng)絡(luò)設(shè)備，并通過(guò)用戶名和序號(hào)名進(jìn)行身份鑒別，同時(shí)也沒(méi)有部署堡壘主機(jī)。密碼進(jìn)行身份鑒別，同b)應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制；對(duì)管理員登陸地址沒(méi)有限制。增添堡壘機(jī)設(shè)備，這樣可以有效對(duì)遠(yuǎn)程用戶進(jìn)行管理。c)網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識(shí)應(yīng)網(wǎng)絡(luò)設(shè)備沒(méi)有唯一的標(biāo)示。重新對(duì)設(shè)備進(jìn)行標(biāo)示。d)主要網(wǎng)絡(luò)設(shè)備應(yīng)對(duì)同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來(lái)進(jìn)行身份鑒別；一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來(lái)進(jìn)行身份鑒別；e)身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換；密碼沒(méi)有定期更換，上，數(shù)字和字母組成，f)應(yīng)具有登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動(dòng)退出等措施；自動(dòng)關(guān)閉并告警。傳輸中進(jìn)行加密，可網(wǎng)絡(luò)管理員、系統(tǒng)管h)應(yīng)實(shí)現(xiàn)設(shè)備特權(quán)用戶的開(kāi)，并按職責(zé)分工限部署堡壘機(jī)控制用戶權(quán)權(quán)限分離。限術(shù)手段控制。序號(hào)1a)應(yīng)對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的用戶進(jìn)行身份標(biāo)識(shí)和鑒別；沒(méi)有嚴(yán)格通過(guò)賬號(hào)密碼限制操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的用戶登陸，進(jìn)行身份標(biāo)識(shí)和鑒別；b)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)管理用戶身份標(biāo)識(shí)應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換；系統(tǒng)管理員的登錄身份以上，且數(shù)字和字母大小寫(xiě)組合，每半年應(yīng)更改一次。c)應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施；當(dāng)?shù)卿洿螖?shù)錯(cuò)誤超過(guò)6次，應(yīng)自動(dòng)退出并告警。d)當(dāng)對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng)；對(duì)傳輸加密的方法來(lái)保證遠(yuǎn)程管理安全可靠。e)應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的不同用戶分配不同的用戶名，確保用戶名具有唯一性。序號(hào)f)應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對(duì)管理用戶進(jìn)行身份鑒別。采用用戶名密碼的鑒別技術(shù)對(duì)管理員進(jìn)行身份鑒別。2a)應(yīng)啟用訪問(wèn)控制功能，依據(jù)安全策略控制用戶對(duì)資源的訪問(wèn)；b)應(yīng)根據(jù)管理用戶的角色分配權(quán)限，實(shí)現(xiàn)管理用戶的權(quán)限分離，僅授予管理因只設(shè)置了一個(gè)管理員賬號(hào)，也未通過(guò)技術(shù)手段控制授予所需要的最小權(quán)限。部署堡壘機(jī)，將網(wǎng)絡(luò)管理員、系統(tǒng)管理員和安全審計(jì)員分離，通過(guò)技術(shù)手段控制授予所需要的最小權(quán)限。c)應(yīng)實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)特權(quán)用戶的權(quán)限分離；還是未修改的默認(rèn)d)應(yīng)嚴(yán)格限制默認(rèn)帳戶的訪問(wèn)權(quán)限，重命名系統(tǒng)默認(rèn)帳戶，修改這些帳戶的默認(rèn)口令；e)應(yīng)及時(shí)刪除多余的、過(guò)期的帳戶，避免共享帳戶的存在。因只一個(gè)賬戶，不f)應(yīng)對(duì)重要信息資源設(shè)置敏感標(biāo)記；未對(duì)重要服務(wù)器部統(tǒng)，采取安全加固措施，并設(shè)置敏感標(biāo)記。對(duì)重要服務(wù)器部署服務(wù)器加固系統(tǒng)，采取安全加固措施，并設(shè)置敏感g(shù))應(yīng)依據(jù)安全策略嚴(yán)格控制用戶對(duì)有敏感標(biāo)記重要信息資源的操作；3序號(hào)a)審計(jì)范圍應(yīng)覆蓋到服務(wù)器和重要客戶端上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫(kù)用戶；未部署數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)，無(wú)法對(duì)服務(wù)器和重要客戶端上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫(kù)用戶進(jìn)行審計(jì)。部署日志審計(jì)系統(tǒng)和數(shù)b)審計(jì)內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件；未部署數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)，無(wú)法對(duì)重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件進(jìn)行審計(jì)。部署日志審計(jì)系統(tǒng)和數(shù)c)審計(jì)記錄應(yīng)包括事件的日期、時(shí)間、類型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等；未部署數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)，無(wú)法對(duì)數(shù)據(jù)庫(kù)進(jìn)行審計(jì)。部署日志審計(jì)系統(tǒng)和數(shù)d)應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；未部署數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)，無(wú)法對(duì)異常行為實(shí)時(shí)告警。部署日志審計(jì)系統(tǒng)和數(shù)e)應(yīng)保護(hù)審計(jì)進(jìn)程，避免未部署數(shù)據(jù)庫(kù)審計(jì)部署日志審計(jì)系統(tǒng)和數(shù)f)應(yīng)保護(hù)審計(jì)記錄，避免受到未預(yù)期的刪除、修改或覆蓋等。未部署數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)。（審計(jì)記錄部署日志審計(jì)系統(tǒng)和數(shù)4a)應(yīng)保證操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)用戶的鑒別信息所序號(hào)在的存儲(chǔ)空間，被釋放或再分配給其他用戶前得到完全清除，無(wú)論這些信息是存放在硬盤(pán)上還是在內(nèi)存中；b)應(yīng)確保系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫(kù)記錄等資源所在的存儲(chǔ)空間，被釋放或重新分配給其他用戶前得到完全清除。操作系統(tǒng)未啟用“關(guān)機(jī)前清除虛擬項(xiàng)。統(tǒng)啟用“關(guān)機(jī)前清除虛擬內(nèi)存頁(yè)面”功能項(xiàng)。5a)應(yīng)能夠檢測(cè)到對(duì)重要服務(wù)器進(jìn)行入侵的行為，能擊的類型、攻擊的目的、攻擊的時(shí)間，并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警；已有ips入侵防御b)應(yīng)能夠?qū)χ匾绦虻耐暾赃M(jìn)行檢測(cè)，并在檢測(cè)到完整性受到破壞后具有未定期使用完整性檢查工具或腳本對(duì)服務(wù)器的重要程序和文件進(jìn)行檢查。定期使用完整性檢查工具或腳本對(duì)服務(wù)器的重要程序和文件進(jìn)行檢查。c)操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通過(guò)設(shè)置升級(jí)服務(wù)器等方式保持系統(tǒng)補(bǔ)丁及時(shí)得到更新。未通過(guò)技術(shù)手段保持系統(tǒng)補(bǔ)丁及時(shí)得到更新。增加終端管理軟件模塊。6件，并及時(shí)更新防惡意代序號(hào)碼軟件版本和惡意代碼庫(kù)；b)主機(jī)防惡意代碼產(chǎn)品應(yīng)具有與網(wǎng)絡(luò)防惡意代碼產(chǎn)c)應(yīng)支持防惡意代碼的統(tǒng)一管理。7a)應(yīng)通過(guò)設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件通過(guò)賬號(hào)密碼限制終端登錄。通過(guò)增設(shè)堡壘機(jī)對(duì)終端接入進(jìn)行管理。b)應(yīng)根據(jù)安全策略設(shè)置登未部署終端管理系統(tǒng)對(duì)登錄終端進(jìn)行管理。部署終端管理系統(tǒng)對(duì)登c)應(yīng)對(duì)重要服務(wù)器進(jìn)行監(jiān)視，包括監(jiān)視服務(wù)器的等資源的使用情況；可通過(guò)增加網(wǎng)絡(luò)管理系統(tǒng)對(duì)重要服務(wù)器進(jìn)行監(jiān)視并對(duì)服務(wù)器的運(yùn)行狀況異常實(shí)時(shí)告警。d)應(yīng)限制單個(gè)用戶對(duì)系統(tǒng)資源的最大或最小使用限度；可通過(guò)增加網(wǎng)絡(luò)管理系統(tǒng)對(duì)重要服務(wù)器進(jìn)行監(jiān)視并對(duì)服務(wù)器的運(yùn)行狀況異常實(shí)時(shí)告警。e)應(yīng)能夠?qū)ο到y(tǒng)的服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測(cè)和報(bào)警。可通過(guò)增加網(wǎng)絡(luò)管理系統(tǒng)對(duì)重要服務(wù)器進(jìn)行監(jiān)視并對(duì)服務(wù)器的運(yùn)行狀況異常實(shí)時(shí)告警。xxxxxx應(yīng)用系統(tǒng)根據(jù)國(guó)家信息安全等級(jí)保護(hù)（第三級(jí)）標(biāo)準(zhǔn)在對(duì)應(yīng)用系統(tǒng)安全進(jìn)行分析時(shí)，發(fā)現(xiàn)應(yīng)用系統(tǒng)涉及到應(yīng)用系統(tǒng)的運(yùn)行穩(wěn)定以及業(yè)務(wù)數(shù)據(jù)的安全可靠，故而安全防護(hù)技術(shù)手段如下：1.以業(yè)務(wù)系統(tǒng)自身通過(guò)代碼查錯(cuò)、規(guī)則設(shè)置、權(quán)限細(xì)化等方法為主要手段，來(lái)滿足信息系統(tǒng)安全等級(jí)保護(hù)（第三級(jí)）中應(yīng)用安全部分標(biāo)準(zhǔn)項(xiàng)（如身份鑒別、安全審計(jì)、剩余信息保護(hù)、通信完整性、通信保密性、抗抵賴、軟件容2.部分標(biāo)準(zhǔn)項(xiàng)（如身份鑒別、訪問(wèn)控制、安全審計(jì)、通信保密性等）除可詳見(jiàn)下表差距分析：序號(hào)1a)應(yīng)提供專用的登錄控制模塊對(duì)登錄用戶進(jìn)行身份標(biāo)識(shí)和鑒別；未采用技術(shù)手段，提供專用的登錄控制模塊對(duì)登錄用戶的身份進(jìn)行標(biāo)識(shí)和鑒別。增設(shè)堡壘機(jī)，通過(guò)堡壘機(jī)用戶登陸進(jìn)行身份識(shí)別和鑒別。b)應(yīng)對(duì)同一用戶采用兩種或兩種以上組合的鑒別技c)應(yīng)提供用戶身份標(biāo)識(shí)唯一和鑒別信息復(fù)雜度檢查功能，保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標(biāo)識(shí)，序號(hào)身份鑒別信息不易被冒d)應(yīng)提供登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施；e)應(yīng)啟用身份鑒別、用戶身份標(biāo)識(shí)唯一性檢查、用戶身份鑒別信息復(fù)雜度檢查以及登錄失敗處理功能，并根據(jù)安全策略配置相關(guān)參數(shù)?；痉弦?a)應(yīng)提供訪問(wèn)控制功能，依據(jù)安全策略控制用戶對(duì)文件、數(shù)據(jù)庫(kù)表等客體的訪問(wèn)；b)訪問(wèn)控制的覆蓋范圍應(yīng)包括與資源訪問(wèn)相關(guān)的主體、客體及它們之間的操作；c)應(yīng)由授權(quán)主體配置訪問(wèn)控制策略，并嚴(yán)格限制默認(rèn)帳戶的訪問(wèn)權(quán)限；d)應(yīng)授予不同帳戶為完成各自承擔(dān)任務(wù)所需的最小權(quán)限，并在它們之間形成相互制約的關(guān)系。e)應(yīng)具有對(duì)重要信息資源設(shè)置敏感標(biāo)記的功能；對(duì)重要服務(wù)器部署服務(wù)器加固系統(tǒng)，采取安全加固措施，并設(shè)置敏感標(biāo)記。序號(hào)f)應(yīng)依據(jù)安全策略嚴(yán)格控制用戶對(duì)有敏感標(biāo)記重要信息資源的操作；服務(wù)器加固系統(tǒng)有實(shí)現(xiàn)文件強(qiáng)制訪問(wèn)控制、注冊(cè)表強(qiáng)制訪問(wèn)控制、進(jìn)程強(qiáng)制訪問(wèn)控制、程序授權(quán)控制、網(wǎng)絡(luò)級(jí)訪問(wèn)控制等功能。3a)應(yīng)提供覆蓋到每個(gè)用戶的安全審計(jì)功能，對(duì)應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計(jì)；基本符合要求部署了安全審計(jì)系個(gè)用戶的安全事件進(jìn)行記錄審計(jì)。b)應(yīng)保證無(wú)法單獨(dú)中斷審計(jì)進(jìn)程，無(wú)法刪除、修改或覆蓋審計(jì)記錄；基本符合要求部署了安全審計(jì)系統(tǒng)c)審計(jì)記錄的內(nèi)容至少應(yīng)包括事件的日期、時(shí)間、發(fā)起者信息、類型、描述和結(jié)果等；基本符合要求部署了安全審計(jì)系統(tǒng)d)應(yīng)提供對(duì)審計(jì)記錄數(shù)據(jù)進(jìn)行統(tǒng)計(jì)、查詢、分析及生成審計(jì)報(bào)表的功能?；痉弦蟛渴鹆税踩珜徲?jì)系統(tǒng)4a)應(yīng)保證用戶鑒別信息所在的存儲(chǔ)空間被釋放或再分配給其他用戶前得到完全清除，無(wú)論這些信息是存放在硬盤(pán)上還是在內(nèi)存中；統(tǒng)中未啟用“不顯示上次登錄名”功能項(xiàng)。操作系統(tǒng)啟用“不顯示上次登錄名”功能項(xiàng)。序號(hào)b)應(yīng)保證系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫(kù)記錄等資源所在的存儲(chǔ)空間被釋放或重新分配給其他用戶前得到完全清除。統(tǒng)中未啟用“關(guān)機(jī)前清除虛擬內(nèi)存頁(yè)面”功能項(xiàng)。作系統(tǒng)中未啟用“關(guān)機(jī)前清除虛擬項(xiàng)。5應(yīng)采用密碼技術(shù)保證通信過(guò)程中數(shù)據(jù)的完整性。在應(yīng)用軟件編程中，對(duì)通信的保密性提出要求。6a)在通信雙方建立連接之前，應(yīng)用系統(tǒng)應(yīng)利用密碼技術(shù)進(jìn)行會(huì)話初始化驗(yàn)證；在應(yīng)用軟件編程中，對(duì)通信的保密性提出要求。b)應(yīng)對(duì)通信過(guò)程中的整個(gè)報(bào)文或會(huì)話過(guò)程進(jìn)行加密。7a)應(yīng)具有在請(qǐng)求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)原發(fā)證據(jù)的功能；應(yīng)用軟件有此項(xiàng)功能。b)應(yīng)具有在請(qǐng)求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)接收證據(jù)的功能。應(yīng)用軟件有此項(xiàng)功能。8a)應(yīng)提供數(shù)據(jù)有效性檢驗(yàn)功能，保證通過(guò)人機(jī)接口輸入或通過(guò)通信接口輸入的數(shù)據(jù)格式或長(zhǎng)度符合系應(yīng)用軟件有此項(xiàng)功能。序號(hào)b)應(yīng)提供自動(dòng)保護(hù)功能，當(dāng)故障發(fā)生時(shí)自動(dòng)保護(hù)當(dāng)前所有狀態(tài)，保證系統(tǒng)能夠進(jìn)行恢復(fù)。應(yīng)用軟件提供斷點(diǎn)保護(hù)和恢復(fù)功能。9a)當(dāng)應(yīng)用系統(tǒng)的通信雙方中的一方在一段時(shí)間內(nèi)未作任何響應(yīng)，另一方應(yīng)能夠自動(dòng)結(jié)束會(huì)話；應(yīng)，應(yīng)自動(dòng)結(jié)束會(huì)話，釋放網(wǎng)絡(luò)連接。b)應(yīng)能夠?qū)ο到y(tǒng)的最大并求，設(shè)定最大并發(fā)會(huì)話連接數(shù)。c)應(yīng)能夠?qū)蝹€(gè)帳戶的多d)應(yīng)能夠?qū)σ粋€(gè)時(shí)間段內(nèi)可能的并發(fā)會(huì)話連接數(shù)進(jìn)行限制；應(yīng)當(dāng)業(yè)務(wù)應(yīng)用系統(tǒng)和實(shí)際e)應(yīng)能夠?qū)σ粋€(gè)訪問(wèn)帳戶或一個(gè)請(qǐng)求進(jìn)程占用的資源分配最大限額和最小限f)應(yīng)能夠?qū)ο到y(tǒng)服務(wù)水平降低到預(yù)先規(guī)定的最小值后期建議部署網(wǎng)管g)應(yīng)提供服務(wù)優(yōu)先級(jí)設(shè)定功能，并在安裝后根據(jù)安全策略設(shè)定訪問(wèn)帳戶或請(qǐng)求進(jìn)程的優(yōu)先級(jí)，根據(jù)優(yōu)先級(jí)分配系統(tǒng)資源。在系統(tǒng)中應(yīng)可根據(jù)用戶的權(quán)限設(shè)定服務(wù)等級(jí)及優(yōu)先級(jí)，并保證優(yōu)先級(jí)用戶首先使用系統(tǒng)資源的權(quán)力。信息系統(tǒng)的安全核心是數(shù)據(jù)的安全，xxxxxx網(wǎng)絡(luò)中有全局正常運(yùn)行信息的數(shù)據(jù)，一旦數(shù)據(jù)出現(xiàn)被盜取、被篡改、被刪除，小則造成小范圍的xxxxxx業(yè)務(wù)受影響，大則將對(duì)全局辦公、經(jīng)濟(jì)利益或社會(huì)形象造成不可彌補(bǔ)的損失。一旦出現(xiàn)意外，數(shù)據(jù)的還原、恢復(fù)顯得尤為重要。目前xxxxxx對(duì)數(shù)據(jù)的備份主要采用維護(hù)工程師定期進(jìn)行手動(dòng)備份和數(shù)據(jù)被備份一體機(jī)的方式，備份范圍包含業(yè)務(wù)關(guān)鍵數(shù)據(jù)，且是備份在本地?？赡軙?huì)出現(xiàn)以下情況：1.出現(xiàn)極端自然災(zāi)害，數(shù)據(jù)存儲(chǔ)介質(zhì)出現(xiàn)損壞，數(shù)據(jù)損壞后無(wú)法恢復(fù)；詳見(jiàn)下表差距分析：序號(hào)1據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過(guò)程中完整性受到破壞，并在檢測(cè)到完整性錯(cuò)誤時(shí)采取必要的恢復(fù)措施；基本符合要求數(shù)據(jù)備份一體機(jī)應(yīng)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在存儲(chǔ)過(guò)程中完整性受到破壞，并在檢測(cè)到完整性錯(cuò)誤時(shí)采取必要的恢復(fù)措施?；痉弦髷?shù)據(jù)備份一體機(jī)應(yīng)2a)應(yīng)采用加密或其他有效措施實(shí)現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)傳輸保密性；基本符合要求數(shù)據(jù)備份一體機(jī)應(yīng)b)應(yīng)采用加密或其他保護(hù)措施實(shí)現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)存儲(chǔ)保密性。基本符合要求數(shù)據(jù)備份一體機(jī)應(yīng)3a)應(yīng)提供本地?cái)?shù)據(jù)備份與恢復(fù)功能，完全數(shù)據(jù)備份至少每天部署服務(wù)器數(shù)據(jù)備份系統(tǒng)。b)應(yīng)提供異地?cái)?shù)據(jù)備份功能，利用通信網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)定時(shí)批量傳送至備用場(chǎng)地；有本地備份一體機(jī)，后期建議完善異地備份機(jī)制。c)應(yīng)采用冗余技術(shù)設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，避免關(guān)鍵節(jié)點(diǎn)存在單點(diǎn)故障；d)應(yīng)提供主要網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余，保證系統(tǒng)的高可用性。xxxxxx在日常的運(yùn)行維護(hù)管理中，根據(jù)自身的情況有制定一些安全管理制度并執(zhí)行，但沒(méi)有進(jìn)行系統(tǒng)而規(guī)范的制度文件體系建設(shè)，以及相應(yīng)制度執(zhí)行記錄歸檔保存。根據(jù)等級(jí)保護(hù)管理安全要求，仍有部分制度需要進(jìn)行完善。類別物理對(duì)信息系統(tǒng)相關(guān)的資產(chǎn)清單、分類與標(biāo)識(shí)、使用、轉(zhuǎn)移、廢棄等做出規(guī)定。對(duì)信息系統(tǒng)相關(guān)的資產(chǎn)清單、分類與標(biāo)識(shí)、使用、轉(zhuǎn)移、廢棄等做出規(guī)定。對(duì)進(jìn)出機(jī)房的人員和設(shè)備，機(jī)房監(jiān)控、機(jī)房值班、機(jī)房環(huán)境保障等做出規(guī)定。對(duì)進(jìn)出機(jī)房的人員和設(shè)備，機(jī)房監(jiān)控、機(jī)房值班、機(jī)房環(huán)境保障等做出規(guī)定。對(duì)設(shè)備的放置、使用、維護(hù)、維修、報(bào)廢等做出規(guī)定。用、維護(hù)、維修、報(bào)廢等做出規(guī)定。對(duì)介質(zhì)的歸檔、存放、使對(duì)介質(zhì)的歸檔、存放、使用、銷毀等做出規(guī)定。對(duì)網(wǎng)絡(luò)及安全設(shè)備的操作、配置、日志記錄和監(jiān)控等做出規(guī)定。對(duì)網(wǎng)絡(luò)及安全設(shè)備的操作、配置、日志記錄和監(jiān)控等做出規(guī)定。系統(tǒng)對(duì)服務(wù)器和數(shù)據(jù)庫(kù)等的操作、配置、日志記錄和監(jiān)控等做出規(guī)定。對(duì)服務(wù)器和數(shù)據(jù)庫(kù)等的操作、配置、日志記錄和監(jiān)控等做出規(guī)定。對(duì)信息系統(tǒng)數(shù)據(jù)保存、備份、使用等做出規(guī)定。對(duì)信息系統(tǒng)數(shù)據(jù)保存、備份、使用等做出規(guī)定。對(duì)病毒防護(hù)系統(tǒng)的管理、使對(duì)病毒防護(hù)系統(tǒng)的管理、使用和升級(jí)等做終端計(jì)算機(jī)管理對(duì)終端計(jì)算機(jī)的日常使用、軟件安裝，入網(wǎng)、維修、報(bào)廢等做出規(guī)定。對(duì)終端計(jì)算機(jī)的日常使用、軟件安裝，入網(wǎng)、維修、報(bào)廢等做出規(guī)定。便攜計(jì)算機(jī)管理對(duì)便攜計(jì)算機(jī)的使用、密碼保護(hù)、入網(wǎng)、文件存儲(chǔ)、維修等做出規(guī)定。對(duì)便攜計(jì)算機(jī)的使用、密碼保護(hù)、入網(wǎng)、文件存儲(chǔ)、維修等做出規(guī)定。移動(dòng)存儲(chǔ)介質(zhì)對(duì)移動(dòng)存儲(chǔ)介質(zhì)的使用、管理、維修等做出規(guī)定。對(duì)移動(dòng)存儲(chǔ)介質(zhì)的使用、管理、維修等做建設(shè)對(duì)信息化項(xiàng)目安全需求、安全保障方案及保護(hù)等級(jí)等做出規(guī)定。對(duì)信息化項(xiàng)目安全需求、安全保障方案及保護(hù)等級(jí)等做出規(guī)定。系統(tǒng)開(kāi)發(fā)安全對(duì)開(kāi)發(fā)環(huán)境、代碼安全、上線測(cè)試、開(kāi)發(fā)人員保密責(zé)任等做出規(guī)定。對(duì)開(kāi)發(fā)環(huán)境、代碼安全、上線測(cè)試、開(kāi)發(fā)人員保密責(zé)任等做出規(guī)定。管理機(jī)構(gòu)和人員管理對(duì)設(shè)立安全管理機(jī)構(gòu)、機(jī)構(gòu)職能、人員職責(zé)及管理，如重要崗位保密責(zé)任、人員離崗離職等方面做出規(guī)定。對(duì)設(shè)立安全管理機(jī)構(gòu)、機(jī)構(gòu)職能、人員職責(zé)及管理，如重要崗位保密責(zé)任、人員離崗離職等方面做出規(guī)定。對(duì)日常運(yùn)行維護(hù)的流程、操作等做出規(guī)定。對(duì)日常運(yùn)行維護(hù)的流程、操作等做出規(guī)定。對(duì)普通業(yè)務(wù)用戶、重要業(yè)務(wù)用戶、特權(quán)用戶（網(wǎng)絡(luò)、系統(tǒng)、安全管理員）的審批、權(quán)限、安全要求等做出規(guī)定。對(duì)普通業(yè)務(wù)用戶、重要業(yè)務(wù)用戶、特權(quán)用戶（網(wǎng)絡(luò)、系統(tǒng)、安全管理員）的審批、權(quán)限、安全要求等做出規(guī)定。對(duì)信息系統(tǒng)中使用的密碼強(qiáng)度、變更和保存等做出規(guī)定。對(duì)信息系統(tǒng)中使用的密碼強(qiáng)度、變更和保存等做出規(guī)定。對(duì)應(yīng)急計(jì)劃、處理、實(shí)施、對(duì)應(yīng)急計(jì)劃、處理、實(shí)施、演練等做出規(guī)定。對(duì)信息系統(tǒng)的變更申報(bào)、審批流程以及實(shí)施等做出規(guī)定。對(duì)信息系統(tǒng)的變更申報(bào)、審批流程以及實(shí)施等做出規(guī)定。對(duì)網(wǎng)絡(luò)安全檢查流程、工作對(duì)網(wǎng)絡(luò)安全檢查流程、工作內(nèi)容等做出規(guī)定。：以上制度體系僅供參考，請(qǐng)結(jié)合x(chóng)xxxxx實(shí)際情況進(jìn)行制定，建議相關(guān)制度文件以紅頭文件發(fā)布并歸檔保存，對(duì)制度執(zhí)行過(guò)程中形成的相關(guān)記錄需定期歸檔保存。結(jié)合x(chóng)xxxxx網(wǎng)絡(luò)現(xiàn)狀以及與國(guó)家政策標(biāo)準(zhǔn)的差距分析，本方案序號(hào)1核心區(qū)域只有一臺(tái)設(shè)a)應(yīng)保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要；結(jié)合用戶當(dāng)前網(wǎng)絡(luò)實(shí)際情況，建議新增一2目前整體網(wǎng)絡(luò)中區(qū)域劃分不合理，未部署區(qū)前的防火墻設(shè)備已a(bǔ))應(yīng)在網(wǎng)絡(luò)邊界部署訪問(wèn)控制設(shè)備，啟用訪問(wèn)控制功能；結(jié)合用戶當(dāng)前網(wǎng)絡(luò)實(shí)際情況，建議在互聯(lián)網(wǎng)出口和服務(wù)器區(qū)前部署防火墻實(shí)現(xiàn)邊界3未部署流量控制設(shè)備，無(wú)法根據(jù)所承載的業(yè)務(wù)和帶寬的實(shí)際情況確定網(wǎng)絡(luò)最大流量數(shù)和網(wǎng)絡(luò)連接數(shù)并進(jìn)行管理。e)應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)本次項(xiàng)目中建議部署上網(wǎng)行為管理及流控（原有的上網(wǎng)行為管4無(wú)法對(duì)非法內(nèi)聯(lián)行為a)應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對(duì)其進(jìn)行有效阻斷；本次項(xiàng)目中采用終端管理軟件或相關(guān)技術(shù)序號(hào)5未實(shí)現(xiàn)重要網(wǎng)段地址進(jìn)行有效保護(hù)防止地址欺騙。f)重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙；利用訪問(wèn)控制設(shè)備的區(qū)域無(wú)法采用包過(guò)濾或傳輸控制協(xié)議，進(jìn)行邊界訪問(wèn)控制，防止地址欺騙，應(yīng)對(duì)網(wǎng)絡(luò)中的廣播、組播進(jìn)行必要的控制。6g)應(yīng)按用戶和系統(tǒng)之間的允許訪問(wèn)規(guī)則，決定允許或拒絕用戶對(duì)受控系統(tǒng)進(jìn)行資源訪問(wèn)，控制粒度為單個(gè)用戶；通過(guò)部署防火墻實(shí)現(xiàn)不同安全域之間的邊7原有上網(wǎng)行為管理設(shè)備過(guò)保、無(wú)網(wǎng)管軟件，a)應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄；部署上網(wǎng)行為管理及流控、網(wǎng)管軟件結(jié)合網(wǎng)絡(luò)中的安全審計(jì)系8不能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對(duì)其進(jìn)行有效阻斷。應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對(duì)其進(jìn)行有效阻斷；可采用終端管理系統(tǒng)9無(wú)法對(duì)內(nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對(duì)其進(jìn)行有效阻斷。b)應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對(duì)其進(jìn)行有效阻斷?？刹捎媒K端管理系統(tǒng)沒(méi)有指定專人進(jìn)行維護(hù)。通過(guò)密碼和用戶名進(jìn)行身份鑒別，同時(shí)也沒(méi)有部署堡壘主（a)應(yīng)對(duì)登錄網(wǎng)絡(luò)設(shè)備的可以指定專人維護(hù)網(wǎng)絡(luò)設(shè)備，并通過(guò)用戶名和密碼進(jìn)行身份鑒別，同時(shí)也可以部署序號(hào)機(jī)。對(duì)管理員登陸地址沒(méi)有限制。b)應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制；增添堡壘機(jī)設(shè)備，這樣可以有效對(duì)運(yùn)維用戶進(jìn)行管理。c)網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識(shí)應(yīng)唯一重新對(duì)設(shè)備進(jìn)行唯一標(biāo)示。主要網(wǎng)絡(luò)設(shè)備未對(duì)同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來(lái)進(jìn)行身份鑒別；d)主要網(wǎng)絡(luò)設(shè)備應(yīng)對(duì)同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來(lái)進(jìn)行身份鑒別；密碼沒(méi)有定期更換，e)身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換；一次。網(wǎng)絡(luò)管理員、系統(tǒng)管理員和安全審計(jì)員分開(kāi)，并按職責(zé)分工限制各自權(quán)限，但無(wú)技術(shù)手段控制。h)應(yīng)實(shí)現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離。部署堡壘機(jī)控制用戶對(duì)傳輸加密的方法來(lái)保證遠(yuǎn)程管理安全可靠。d)當(dāng)對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng)；序號(hào)采用用戶名密碼的鑒別技術(shù)對(duì)管理員進(jìn)行身份鑒別。f)應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對(duì)管理用戶進(jìn)行身份鑒別。因只設(shè)置了一個(gè)管理員賬號(hào)，也未通過(guò)技術(shù)手段控制授予所需要的最小權(quán)限。b)應(yīng)根據(jù)管理用戶的角色分配權(quán)限，實(shí)現(xiàn)管理用戶的權(quán)限分離，僅授予管理部署堡壘機(jī)，將網(wǎng)絡(luò)管理員、系統(tǒng)管理員和安全審計(jì)員分離，通過(guò)技術(shù)手段控制授予所需要的最小權(quán)限。1.應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)備運(yùn)行狀況、網(wǎng)絡(luò)流量、2.審計(jì)記錄應(yīng)包括：事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息；3.應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；部署綜合日志審計(jì)系統(tǒng)可對(duì)來(lái)自不同廠商的安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機(jī)、操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、用戶業(yè)務(wù)系統(tǒng)的日志、警報(bào)等信息匯集到審計(jì)中心，實(shí)現(xiàn)日志安全審計(jì)。日志信息無(wú)法進(jìn)行分根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；未對(duì)重要服務(wù)器部署服務(wù)器加固系統(tǒng)，采取安全加固措施，并設(shè)置敏感標(biāo)記。f)應(yīng)對(duì)重要信息資源設(shè)置敏感標(biāo)記；對(duì)重要服務(wù)器部署服務(wù)器加固系統(tǒng)，采取安全加固措施，并設(shè)未部署數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)，無(wú)法對(duì)服務(wù)器和重要客戶端上的每個(gè)a)審計(jì)范圍應(yīng)覆蓋到服務(wù)器和重要客戶端上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫(kù)用部署數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)序號(hào)操作系統(tǒng)用戶和數(shù)據(jù)庫(kù)用戶進(jìn)行審計(jì)。未部署數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)，無(wú)法對(duì)重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件進(jìn)安全審計(jì)（G3審計(jì)內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件；部署數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)未部署數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)，無(wú)法對(duì)數(shù)據(jù)庫(kù)進(jìn)行審計(jì)。安全審計(jì)（G3審計(jì)記錄應(yīng)包括事件的日期、時(shí)間、類型、主體標(biāo)識(shí)、客部署數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)未部署數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)，無(wú)法對(duì)異常行為實(shí)時(shí)告警。夠根據(jù)記錄數(shù)據(jù)進(jìn)行分部署數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)未部署數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)，無(wú)法對(duì)異常行為實(shí)時(shí)告警。安全審計(jì)（G3應(yīng)保護(hù)審計(jì)進(jìn)程，避免受到未預(yù)部署數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)未部署數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)，無(wú)法對(duì)異常行為實(shí)時(shí)告警。安全審計(jì)（G3應(yīng)保護(hù)審計(jì)記錄，避免受到未預(yù)期的刪除、修改或覆蓋等。部署數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)數(shù)據(jù)庫(kù)登陸顯示用戶名，對(duì)歷史數(shù)據(jù)擦除剩余信息保護(hù)（S3應(yīng)保證操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)用戶的鑒別信息所在的存儲(chǔ)空間，被釋放或再分配給其他用戶前得到完全清除，無(wú)論這些信息是存作系統(tǒng)啟用“不顯示項(xiàng)；可對(duì)服務(wù)器系統(tǒng)進(jìn)行虛擬化改造。序號(hào)應(yīng)確保系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫(kù)記錄等資源所在的存儲(chǔ)空間，被釋放或重新分配給其他用戶前得作系統(tǒng)未啟用“關(guān)機(jī)前清除虛擬內(nèi)存頁(yè)面”功能項(xiàng)；可對(duì)服務(wù)器系統(tǒng)進(jìn)行虛擬化未通過(guò)技術(shù)手段保持系統(tǒng)補(bǔ)丁及時(shí)得到更新統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通過(guò)設(shè)置升級(jí)服務(wù)器等方式保持系統(tǒng)部署終端安全管理系統(tǒng)/網(wǎng)絡(luò)版殺毒軟件/主機(jī)加固軟件，能夠未部署終端管理系統(tǒng)安全策略設(shè)置登錄終端的通過(guò)賬號(hào)密碼限制終端登錄。a)應(yīng)通過(guò)設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件利用防火墻訪問(wèn)控制未部署終端管理系統(tǒng)對(duì)登錄終端進(jìn)行管理。部署終端管理系統(tǒng)對(duì)登錄終端進(jìn)行管理b)應(yīng)根據(jù)安全策略設(shè)置登c)應(yīng)對(duì)重要服務(wù)器進(jìn)行監(jiān)視，包括監(jiān)視服務(wù)器的可通過(guò)增加網(wǎng)絡(luò)管理系統(tǒng)對(duì)重要服務(wù)器進(jìn)行監(jiān)視并對(duì)服務(wù)器的運(yùn)行狀況異常實(shí)時(shí)告警。序號(hào)d)應(yīng)限制單個(gè)用戶對(duì)系統(tǒng)資源的最大或最小使用限度；e)應(yīng)能夠?qū)ο到y(tǒng)的服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測(cè)和報(bào)警。可通過(guò)增加網(wǎng)絡(luò)管理系統(tǒng)對(duì)重要服務(wù)器進(jìn)行監(jiān)視并對(duì)服務(wù)器的運(yùn)行狀況異常實(shí)時(shí)告警。未采用技術(shù)手段，提供專用的登錄控制模塊對(duì)登錄用戶的身份身份鑒別（S3應(yīng)提供專用的登錄控制模塊對(duì)登錄用戶進(jìn)行身份標(biāo)識(shí)和鑒別部署堡壘機(jī)配合雙因?qū)?yīng)用系統(tǒng)每個(gè)用戶的安全事件進(jìn)行記錄安全審計(jì)（G3應(yīng)提供覆蓋到每個(gè)用戶的安全審計(jì)功能，對(duì)應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計(jì)；安全審計(jì)（G3應(yīng)保證無(wú)法單獨(dú)中斷審計(jì)進(jìn)程，無(wú)法刪除、修改或覆蓋審安全審計(jì)（G3審計(jì)記錄的內(nèi)容至少應(yīng)包括事件的日期、時(shí)間、發(fā)起者信息、類型、描述和結(jié)果安全審計(jì)（G3應(yīng)提供對(duì)審計(jì)記錄數(shù)據(jù)進(jìn)行統(tǒng)計(jì)、查詢、分析及生成審序號(hào)用戶鑒別信息不能清剩余信息保護(hù)（S3應(yīng)保證用戶鑒別信息所在的存儲(chǔ)空間被釋放或再分配給其他用戶前得到完全清除，無(wú)論這些信息是存放作系統(tǒng)啟用“不顯示項(xiàng)；可對(duì)服務(wù)器系統(tǒng)用戶鑒別信息不能清剩余信息保護(hù)（S3應(yīng)保證系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫(kù)記錄等資源所在的存儲(chǔ)空間被釋放或重新分配給其他用戶前得到完作系統(tǒng)未啟用“關(guān)機(jī)前清除虛擬內(nèi)存頁(yè)面”功能項(xiàng)；可對(duì)服務(wù)器系統(tǒng)進(jìn)行虛擬化對(duì)重要信息系統(tǒng)的數(shù)據(jù)，應(yīng)提供異地?cái)?shù)據(jù)備份的功能，定時(shí)批量或增量備份，數(shù)據(jù)異地備份至少每月一次未能做到。已部署數(shù)據(jù)備份一體機(jī)，需規(guī)范化備份機(jī)制。后期建議新增異1隨著業(yè)務(wù)應(yīng)用系統(tǒng)的不斷增加，網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜，由于各業(yè)務(wù)系統(tǒng)建設(shè)、運(yùn)維分散，沒(méi)有總體規(guī)劃逐漸不能適應(yīng)越來(lái)越復(fù)雜的應(yīng)用需求。主要表現(xiàn)在缺乏整體安全策略、沒(méi)有統(tǒng)一規(guī)范的安全體系建設(shè)標(biāo)準(zhǔn)，安全職責(zé)劃分不明確，各業(yè)務(wù)系統(tǒng)的安全防護(hù)程度不一、人員沒(méi)有形成統(tǒng)一的安全意識(shí)、缺乏統(tǒng)一的安全操作流程和指導(dǎo)手冊(cè)；梳理和完善包括安全組織體系、管理體系、防護(hù)體系和運(yùn)維體系的制度建設(shè)。應(yīng)急預(yù)案建設(shè)與應(yīng)急預(yù)案2擁有安全管理員崗位，但安全崗位職能沒(méi)有很好得到執(zhí)行，沒(méi)有對(duì)整個(gè)業(yè)務(wù)體系安全進(jìn)行統(tǒng)一規(guī)劃和管理。安全管理基本上靠運(yùn)維管理人員的自我管理，缺3由于運(yùn)維、外包等原因，防護(hù)體系的建設(shè)依賴于各重要業(yè)務(wù)系統(tǒng)的建設(shè)，在今后的防護(hù)體系建設(shè)和改造中希望將安全防護(hù)體系統(tǒng)一考慮；4無(wú)法有效安全監(jiān)管，造成重大安全隱患，極有可能成5缺少專業(yè)性的安全運(yùn)維服務(wù)隊(duì)伍支撐，業(yè)務(wù)系統(tǒng)的安全檢查和漏洞評(píng)估沒(méi)有周期性執(zhí)行，各主機(jī)的安全程度主要依賴于各管理員個(gè)人的安全意識(shí)水平，沒(méi)有形成定期統(tǒng)一的安全檢查制度和安全基線要求；6缺少各項(xiàng)應(yīng)急預(yù)案，導(dǎo)致一但發(fā)生重大安全問(wèn)題無(wú)法快速進(jìn)行故障的排除和解決，安全隱患較大。7應(yīng)對(duì)行業(yè)發(fā)展帶來(lái)的安全挑戰(zhàn),缺少專業(yè)機(jī)構(gòu)的咨詢支撐，無(wú)法及時(shí)了解行業(yè)安全動(dòng)態(tài),以及發(fā)展趨勢(shì)。xxxxxx信息系統(tǒng)的安全建設(shè)目標(biāo)，主要是結(jié)合對(duì)現(xiàn)狀的安全需求分析，通過(guò)信息安全保障總體規(guī)劃、信息安全管理體系建設(shè)、信息安全技術(shù)策略設(shè)計(jì)以及信息安全產(chǎn)品集成實(shí)施等工作，全面提升信息系統(tǒng)的安全性，能面對(duì)目前和未來(lái)一段時(shí)期內(nèi)的安全威脅，保證信息系統(tǒng)的平穩(wěn)、高效的運(yùn)行，本次設(shè)計(jì)我們將根據(jù)以下目標(biāo)為指導(dǎo)思想：保密性：防止未經(jīng)授權(quán)的數(shù)據(jù)外泄，阻止他人惡意的窺探攻合規(guī)性：遵循技術(shù)標(biāo)準(zhǔn)、國(guó)家相關(guān)規(guī)范（三級(jí)等保）；4.1.1指導(dǎo)原則先進(jìn)性原則：采用國(guó)際上最先進(jìn)和成熟的體系結(jié)構(gòu)，比如可靠性原則：采用成熟的主流技術(shù)和產(chǎn)品的詳盡的故障處理方案。可行性原則：在風(fēng)險(xiǎn)分析的基礎(chǔ)上，發(fā)掘重要的資源進(jìn)行保護(hù)，做到適量投入，有效防護(hù)。信息系統(tǒng)是以開(kāi)放的層次化的網(wǎng)絡(luò)系統(tǒng)作為支撐平臺(tái)，為使各種信息安全技術(shù)功能合理地作用在網(wǎng)絡(luò)系統(tǒng)的各個(gè)層次上，從安全管理和安全技術(shù)兩方面，綜合人員、技術(shù)和運(yùn)行管理等實(shí)際情況，制定統(tǒng)一的認(rèn)證管理、多級(jí)訪問(wèn)控制和加密保護(hù)措施，建成統(tǒng)一完整的安全體系結(jié)構(gòu)，在物理安全、運(yùn)行安全、信息安全、管理安全和標(biāo)準(zhǔn)規(guī)范等多個(gè)層面保障信息系統(tǒng)的安全。信息系統(tǒng)的安全保障體系如下圖所示：根據(jù)以上的分析，通過(guò)采用技術(shù)、管理與運(yùn)行等各方面的措施，建立信息系統(tǒng)的信息安全保障體系，確保系統(tǒng)的信息安全。技術(shù)措施：身份認(rèn)證、防火墻、入侵檢測(cè)、入侵防御、安全審計(jì)、防病毒、漏洞掃描等；運(yùn)行措施：備份與恢復(fù)、遠(yuǎn)程容災(zāi)、病毒的檢測(cè)與消除、電磁兼容等。管理措施：建立信息安全職責(zé)制度、系統(tǒng)操作流程、系統(tǒng)安全響應(yīng)流程、系統(tǒng)培訓(xùn)制度、信息系統(tǒng)人員管理等一系列規(guī)范。故而我們可構(gòu)建信息安全保障體系，如下圖：4.2.2.1防火墻全面安全防護(hù)：全面支持深入到應(yīng)用層的防護(hù)，內(nèi)嵌豐富的應(yīng)池，再將資源池按需分成M臺(tái)邏輯設(shè)備，實(shí)現(xiàn)云計(jì)算環(huán)境下資源池的動(dòng)態(tài)調(diào)度。廣泛網(wǎng)絡(luò)特性：支持IPv4/IPv6，支持靜態(tài)路由、策略路由、議。等多種模式，關(guān)鍵部件冗余及熱插拔，支持N+1業(yè)務(wù)板卡冗余以及日志與報(bào)表：支持獨(dú)立的日志服務(wù)器，日志可自動(dòng)定時(shí)備份；內(nèi)置數(shù)百種報(bào)表，可圖形化的查詢、審計(jì)、統(tǒng)計(jì)、檢索內(nèi)網(wǎng)用戶的各種網(wǎng)絡(luò)行為日志，方便管理者了解和掌控網(wǎng)絡(luò)。部署靈活：支持在旁路模式、透明模式、混合模式。驗(yàn)積累基礎(chǔ)上研發(fā)完成，是三維一體的網(wǎng)站防護(hù)產(chǎn)品，可以同時(shí)向網(wǎng)站提供：防攻擊、防篡改、防ARP三重保護(hù)。該產(chǎn)品致力于全面防護(hù)各類惡意攻擊，保護(hù)網(wǎng)站頁(yè)面不被篡改，避免被釣魚(yú)攻擊或跨站腳本攻擊等，防止網(wǎng)站被掛馬，保護(hù)用戶網(wǎng)站免遭破壞。廣泛適用于“政府、運(yùn)營(yíng)商、金融、公安、教育、稅務(wù)、電力”等的門戶網(wǎng)站及以互聯(lián)網(wǎng)為基礎(chǔ)的電子商務(wù)門戶網(wǎng)站。在線部署的網(wǎng)站防護(hù)障網(wǎng)站數(shù)據(jù)的完整性和真實(shí)性，并提供實(shí)時(shí)告警。4.2.2.3上網(wǎng)行為管理及流控飛速發(fā)展的信息技術(shù)給工作帶來(lái)便利的同時(shí)，對(duì)用戶應(yīng)用模式產(chǎn)生根本影響，網(wǎng)絡(luò)所承載的數(shù)據(jù)應(yīng)用日益增加，呈現(xiàn)復(fù)雜化、多元化趨勢(shì)，會(huì)導(dǎo)致網(wǎng)絡(luò)出口擁堵、工作狀態(tài)無(wú)法監(jiān)控、泄漏公司機(jī)密、甚至法律違規(guī)等嚴(yán)重問(wèn)題，基于用戶的上網(wǎng)行為管理和帶寬控制成為眾多管理者面臨的新挑戰(zhàn)，同時(shí)數(shù)據(jù)的安全審計(jì)也成為無(wú)法回避的問(wèn)題。可幫助用戶達(dá)成合理利用網(wǎng)絡(luò)帶寬、保障數(shù)據(jù)安全、提升職員工作效率和避免法律風(fēng)險(xiǎn)的目標(biāo)。上網(wǎng)行為管理系列產(chǎn)品提供包括網(wǎng)絡(luò)應(yīng)用流量分析及控制、職員上網(wǎng)行為記錄、訪問(wèn)控制、數(shù)據(jù)庫(kù)安全審計(jì)，以及鏈路負(fù)載均衡、用戶認(rèn)證、病毒防范等綜合功能，幫助用戶構(gòu)建“可視、可控、可優(yōu)化的互聯(lián)網(wǎng)”4.2.2.4主機(jī)安全加固軟件集服務(wù)器安全防護(hù)和安全管理為一體的綜合性服務(wù)器工具。提供服務(wù)器殺毒、服務(wù)器優(yōu)化、系統(tǒng)漏洞補(bǔ)丁修復(fù)、服務(wù)器程序守用防火墻、防CC攻擊、防入侵防提權(quán)、防篡改、安全策略設(shè)置等，使服務(wù)器免受攻擊，同時(shí)提供郵件實(shí)時(shí)告警等功能，服務(wù)器狀態(tài)實(shí)4.2.2.1終端管理系統(tǒng)具有中央控制管理和遠(yuǎn)程部控管理功能，支持在網(wǎng)內(nèi)所有服務(wù)可以提供基本的安全資質(zhì)證書(shū)，以保證滿足等?？己嘶疽獙?duì)計(jì)算機(jī)外設(shè)接口、網(wǎng)絡(luò)通訊接口提供禁用、啟用控制安全局劃分，劃分不同權(quán)限的安全局，靈活設(shè)置相互訪問(wèn)權(quán)；根據(jù)策略審計(jì)文件創(chuàng)建、更名、復(fù)制、刪除等操作；審計(jì)計(jì)算機(jī)IP地址、主機(jī)名、用戶名等基本配置信息的變更操作；對(duì)指定的重要文件可進(jìn)行防讀取、防復(fù)制、防刪除4.2.2.2堡壘主機(jī)主帳號(hào)的整個(gè)生命周期管理，對(duì)主帳號(hào)進(jìn)行增加、修改、刪除及鎖定、解鎖等操作。主帳號(hào)的新建和修改時(shí)，支持通過(guò)配置訪問(wèn)時(shí)間策略達(dá)到限制主帳號(hào)只能在規(guī)定的時(shí)間段內(nèi)進(jìn)行資源訪問(wèn)。主帳號(hào)的新建和修改時(shí)，支持通過(guò)配置訪問(wèn)地址策略達(dá)到限制主帳號(hào)只能在規(guī)定的地址段內(nèi)進(jìn)行資源訪問(wèn)。主帳號(hào)的新建和修改時(shí)，支持通過(guò)配置訪問(wèn)鎖定策略，達(dá)到限制主帳號(hào)密碼輸入錯(cuò)誤次數(shù)和鎖定時(shí)間。主帳號(hào)的新建和修改時(shí)，支持通過(guò)配置密碼策略，達(dá)到指定密碼有效期和限制主帳號(hào)密碼強(qiáng)度的目的。主帳號(hào)登錄堡壘主機(jī)后，可以自助方式修改自身帳號(hào)信息，包括密碼、手機(jī)、郵件等基礎(chǔ)信息。支持主帳號(hào)的分組管理，分組可以樹(shù)形方式展現(xiàn)，不限制分組層級(jí)數(shù)量。支持主帳號(hào)的證書(shū)認(rèn)證，可以靈活配置主帳號(hào)的認(rèn)證方式。堡壘主機(jī)上定義主帳號(hào)時(shí)可以為主帳號(hào)生成證書(shū)，方便證書(shū)認(rèn)證模式的部署和實(shí)施。也可以和其他認(rèn)證方式結(jié)合，做組合認(rèn)證，提高訪問(wèn)的安全性。例如，支持靜態(tài)口令、證書(shū)、智能卡、各種人體特征（指紋、視網(wǎng)膜等）、動(dòng)態(tài)令牌等等?？梢詫①Y源和資源的從帳號(hào)授權(quán)給主帳號(hào)。授權(quán)給主帳號(hào)的資源可以新增和刪除。授權(quán)時(shí)可以按照樹(shù)形組顯示資源，方便資源的選擇。授權(quán)分為堡壘主機(jī)管理功能授權(quán)和資源訪問(wèn)授權(quán)。內(nèi)部管理功能授權(quán)可以限制到某個(gè)樹(shù)形節(jié)點(diǎn)的范圍內(nèi)。主帳號(hào)登錄后，對(duì)本主帳號(hào)授權(quán)的資源只能在即符合主帳號(hào)的訪問(wèn)時(shí)間策略、訪問(wèn)地址策略，也符合資源從帳號(hào)的主機(jī)命令策略、訪問(wèn)時(shí)間策略、訪問(wèn)地址策略時(shí)訪問(wèn)到資源。堡壘主機(jī)內(nèi)部管理功能權(quán)限支持角色定義，角色可以針對(duì)目錄樹(shù)的節(jié)點(diǎn)定義角色包含的權(quán)限可以自定義。自定義內(nèi)容包括：分組管理權(quán)，自然人管理權(quán)，資源管理權(quán)，授權(quán)管理權(quán)，角色定義管理權(quán)，計(jì)劃管理權(quán)，審計(jì)管理權(quán)等等。堡壘主機(jī)自身管理權(quán)限支持靈活的授權(quán)。可以建立組，并將組的管理權(quán)限下放給下級(jí)管理員，下級(jí)管理員也可以在自己的管理組中建立子組，并下放子組的管理權(quán)。便于大型網(wǎng)絡(luò)的權(quán)限管理和劃分。圖形資源審計(jì)可以記錄鍵盤(pán)，那么圖形資源的審計(jì)有可能審計(jì)到密碼輸入，因此必須對(duì)鍵盤(pán)輸入的審計(jì)做權(quán)限的細(xì)分，可以定義哪些審計(jì)員可以看鍵盤(pán)記錄，哪些不能。類似的可以定義是否可以看圖像審計(jì)，是否可以實(shí)時(shí)監(jiān)控，是否可以看字符審計(jì)的內(nèi)容，命令，錄像等。4.2.2.3數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)對(duì)網(wǎng)絡(luò)上的數(shù)據(jù)庫(kù)活動(dòng)實(shí)時(shí)記錄，對(duì)數(shù)據(jù)庫(kù)操作進(jìn)行細(xì)粒度審計(jì)，對(duì)數(shù)據(jù)庫(kù)遭受到的風(fēng)險(xiǎn)行為進(jìn)行告警，攻擊行為進(jìn)行阻斷等。綜合日志審計(jì)平臺(tái)通過(guò)集中采集信息系統(tǒng)中的系統(tǒng)安全事件、用戶訪問(wèn)記錄、系統(tǒng)運(yùn)行日志、系統(tǒng)運(yùn)行狀態(tài)等各類信息，經(jīng)過(guò)規(guī)范化、過(guò)濾、歸并和告警分析等處理后，以統(tǒng)一格式的日志形式進(jìn)行集中存儲(chǔ)和管理，結(jié)合豐富的日志統(tǒng)計(jì)匯總及關(guān)聯(lián)分析功能，實(shí)現(xiàn)對(duì)信息系統(tǒng)日志的全面審計(jì)?？蛻趔w驗(yàn)為指引，從監(jiān)控、審計(jì)、風(fēng)險(xiǎn)和運(yùn)維四個(gè)維度建立起來(lái)的一套可度量的統(tǒng)一業(yè)務(wù)支撐平臺(tái)，使得各種用戶能夠?qū)I(yè)務(wù)信息系統(tǒng)進(jìn)行可用性與性能的監(jiān)控、配置與事件的分析審計(jì)預(yù)警、風(fēng)險(xiǎn)與態(tài)勢(shì)的度量與評(píng)估、安全運(yùn)維流程的標(biāo)準(zhǔn)化、例行化和常態(tài)化，最終實(shí)現(xiàn)業(yè)務(wù)信息系統(tǒng)的持續(xù)安全運(yùn)營(yíng)。廠商認(rèn)識(shí)到必須變革現(xiàn)有安全防御產(chǎn)品，用新的技術(shù)來(lái)發(fā)現(xiàn)未知的安全威脅，重點(diǎn)包括：發(fā)現(xiàn)應(yīng)用層攻擊手段、發(fā)現(xiàn)基于未知漏洞業(yè)、單位、政府等單位提供對(duì)“復(fù)合型攻擊”和“未知威脅”的安全把控能力，并深度挖掘隱藏在網(wǎng)絡(luò)中的黑客攻擊行為，保障業(yè)務(wù)通過(guò)對(duì)xxxxxx信息系統(tǒng)安全現(xiàn)狀與差距分析，結(jié)合安全防護(hù)體系規(guī)劃、安全技術(shù)規(guī)劃以及信息安全等級(jí)保護(hù)基本要求，為了完成項(xiàng)目的建設(shè)目標(biāo)，本次項(xiàng)目分為二期建設(shè)，一期建設(shè)完成目標(biāo)為剛需、合規(guī)；以解決網(wǎng)絡(luò)中的整體安全隱患和獲得等級(jí)保護(hù)備案證明為主要目的，二期建設(shè)以完善整體信息安全防護(hù)提系為建設(shè)目標(biāo)。主要做邊界防御、網(wǎng)絡(luò)結(jié)構(gòu)整改、終端防護(hù)、安全隱患梳理整治、審計(jì)體系建立。包括定級(jí)備案測(cè)評(píng)、主機(jī)加固防護(hù)、安全管理體系等。1.達(dá)到法律要求中的2.梳理全網(wǎng)安全隱患3.提升機(jī)關(guān)事務(wù)管理局整體信息系統(tǒng)安全開(kāi)始，建設(shè)周1.云端防護(hù)網(wǎng)絡(luò)中的各類事件分析審計(jì)預(yù)警、風(fēng)險(xiǎn)與態(tài)勢(shì)的度量與評(píng)估安全運(yùn)維流程的標(biāo)準(zhǔn)化、例行化和通過(guò)層層設(shè)防的方式完善信息安全總體防護(hù)體系，將各個(gè)孤立的信息點(diǎn)整合起來(lái)，方便用戶更直觀、快捷的管理網(wǎng)絡(luò)。做到月常態(tài)化，最終實(shí)現(xiàn)業(yè)務(wù)信息系統(tǒng)的持續(xù)安全運(yùn)營(yíng)。將整體網(wǎng)絡(luò)達(dá)整體網(wǎng)絡(luò)的可視、可管、可控、可感知。根據(jù)業(yè)務(wù)功能以及安全需求的不同，將xxxxxx信息網(wǎng)絡(luò)規(guī)劃為下：1.內(nèi)網(wǎng)核心交換區(qū)：部署了網(wǎng)絡(luò)的核心交換設(shè)備，用于數(shù)據(jù)的2.內(nèi)網(wǎng)安全管理區(qū)：本安全區(qū)主要用于部署各類信息安全產(chǎn)品3.辦公接入?yún)^(qū)：業(yè)務(wù)終端的接入?yún)^(qū)域，連接方式有無(wú)線和有線4.內(nèi)網(wǎng)服務(wù)器區(qū)：本安全區(qū)主要用于部署各類業(yè)務(wù)系統(tǒng)服務(wù)6.互聯(lián)網(wǎng)訪問(wèn)出口區(qū)：由運(yùn)營(yíng)商出口組成，提供Internet互聯(lián)1.核心交換區(qū)新增核心交換機(jī)，做冗余提高整體網(wǎng)絡(luò)健壯性。2.將原有2條互聯(lián)網(wǎng)線路進(jìn)行整合，整合為一個(gè)出口。3.利用防火墻做好規(guī)則限制，將電子政務(wù)外網(wǎng)接入互聯(lián)網(wǎng)。5.服務(wù)器、終端及應(yīng)用系統(tǒng)風(fēng)險(xiǎn)評(píng)估、滲透測(cè)試、安全加固6.對(duì)于過(guò)保或使用年限較久的網(wǎng)絡(luò)設(shè)備、安全設(shè)備，容易出現(xiàn)設(shè)備故障和安全隱患，從而影響機(jī)關(guān)事務(wù)管理局業(yè)務(wù)系統(tǒng)和正常辦公的正常運(yùn)營(yíng)，造成不必要的損失。因此在此，我們提出了三種過(guò)保設(shè)備處理辦法。將互聯(lián)網(wǎng)的過(guò)保設(shè)備遷移至機(jī)關(guān)事務(wù)管理局其他專網(wǎng)，做安全本次項(xiàng)目中在互聯(lián)網(wǎng)出口和服務(wù)器區(qū)前各部署一臺(tái)防火墻，實(shí)現(xiàn)不同安全域之間的安全邊界隔離和訪問(wèn)控制。5.1.4.1防火墻系統(tǒng)部署防火墻是部署在不同網(wǎng)絡(luò)安全局之間的一系列部件的組合。它是信息的唯一出入口，能根據(jù)xxxxxx專網(wǎng)、服務(wù)器區(qū)的安全政策控制（允許、拒絕、監(jiān)測(cè)）出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。防火墻實(shí)現(xiàn)網(wǎng)與網(wǎng)之間的訪問(wèn)隔離，以保護(hù)整個(gè)網(wǎng)絡(luò)抵御來(lái)自其它網(wǎng)絡(luò)的入侵者。通過(guò)對(duì)全網(wǎng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)進(jìn)行分析，確定需要進(jìn)行訪問(wèn)控制的網(wǎng)絡(luò)邊界位置，并使用防火墻等邊界訪問(wèn)控制系統(tǒng)，解決邊界安全建議在xxxxxx互聯(lián)網(wǎng)出口和服務(wù)器區(qū)邊界部署防火墻，用來(lái)分隔各不同安全子域，對(duì)進(jìn)出數(shù)據(jù)進(jìn)行訪問(wèn)控制，阻止非法數(shù)據(jù)入侵包過(guò)濾防火墻一般在路由器上實(shí)現(xiàn)，用以過(guò)濾用戶定義的內(nèi)容，如IP地址。包過(guò)濾防火墻的工作原理是：系統(tǒng)在網(wǎng)絡(luò)層檢查數(shù)據(jù)包，與應(yīng)用層無(wú)關(guān)。這樣系統(tǒng)就具有很好的傳輸性能，可擴(kuò)展能力強(qiáng)。數(shù)據(jù)中心、云計(jì)算的快速發(fā)展，越來(lái)越多的網(wǎng)絡(luò)性能都已超過(guò)針對(duì)用戶日益復(fù)雜的網(wǎng)絡(luò)應(yīng)用，安全風(fēng)險(xiǎn)也變得更加多樣化?？蓪?shí)時(shí)升級(jí)的專業(yè)特征庫(kù)，從而實(shí)現(xiàn)細(xì)粒度的安全管理。虛擬化技術(shù)是目前業(yè)界最受關(guān)注的技術(shù)之一，越來(lái)越多的網(wǎng)絡(luò)和服務(wù)器都已采用虛擬化技術(shù)，而針對(duì)應(yīng)用虛擬化的要求，迪普科技具有獨(dú)創(chuàng)的N:M虛擬化技術(shù)，可將多臺(tái)設(shè)備虛擬化成一臺(tái)設(shè)備或?qū)⒁慌_(tái)設(shè)備虛擬化成多臺(tái)設(shè)備，用戶可將應(yīng)用能力資源池化，并根據(jù)業(yè)務(wù)要求靈活的按需調(diào)度。硬件加密功能，在簡(jiǎn)化網(wǎng)絡(luò)結(jié)構(gòu)的基礎(chǔ)上，還大大提升了用戶網(wǎng)絡(luò)安全建設(shè)的性價(jià)比。明模式、混合模式組網(wǎng)，可適應(yīng)各種復(fù)雜組的雙機(jī)熱備，設(shè)備發(fā)生故障后確保原有的網(wǎng)絡(luò)連接不會(huì)中斷，實(shí)現(xiàn)真正的無(wú)縫切換。換到設(shè)備交換芯片進(jìn)行轉(zhuǎn)發(fā)，此時(shí)流量不再經(jīng)過(guò)業(yè)務(wù)板CPU做安全業(yè)務(wù)，而是直接通過(guò)交換芯片進(jìn)行二三層轉(zhuǎn)發(fā)，確保業(yè)務(wù)流量轉(zhuǎn)發(fā)不中斷，確保網(wǎng)絡(luò)的可靠性。全面支持深入到應(yīng)用層的防護(hù)，內(nèi)嵌豐富的應(yīng)用層過(guò)濾與控制引擎，可支持可提供專業(yè)的入侵防御（IPS）能力，實(shí)現(xiàn)深入的應(yīng)用層攻擊防護(hù)；專業(yè)漏洞支持獨(dú)立的日志服務(wù)器，日志可自動(dòng)定時(shí)備份；內(nèi)置數(shù)百種報(bào)表，可圖形化的查詢、審計(jì)、統(tǒng)計(jì)、檢索內(nèi)網(wǎng)用戶的各種網(wǎng)絡(luò)行為日志，方便管理者了解和掌驗(yàn)積累基礎(chǔ)上研發(fā)完成，是三維一體的網(wǎng)站防護(hù)產(chǎn)品，可以同時(shí)向網(wǎng)站提供：防攻擊、防篡改、防ARP三重保護(hù)。該產(chǎn)品致力于全面防護(hù)各類惡意攻擊，保護(hù)網(wǎng)站頁(yè)面不被篡改，避免被釣魚(yú)攻擊或跨站腳本攻擊等，防止網(wǎng)站被掛馬，保護(hù)用戶網(wǎng)站免遭破壞。廣泛適用于“政府、運(yùn)營(yíng)商、金融、公安、教育、稅務(wù)、電力”等的門戶網(wǎng)站及以互聯(lián)網(wǎng)為基礎(chǔ)的電子商務(wù)門戶網(wǎng)站。在線部署的網(wǎng)站防護(hù)障網(wǎng)站數(shù)據(jù)的完整性和真實(shí)性，并提供實(shí)時(shí)告警。隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大和應(yīng)用的逐步增多，聯(lián)網(wǎng)計(jì)算機(jī)數(shù)量不斷增加，IP地址沖突現(xiàn)象時(shí)有發(fā)生。公務(wù)外網(wǎng)各聯(lián)網(wǎng)單位要嚴(yán)格使用分配的IP地址段，要求對(duì)本單位每位工作人員使用的電腦指定單一IP地址。嚴(yán)禁工作人員盜用他人IP地址或私設(shè)IP地址。若采用手動(dòng)方法管理IP地址，不僅操作不便，而且極易出現(xiàn)錯(cuò)誤。同時(shí)，基于IPv4（國(guó)際互聯(lián)網(wǎng)協(xié)議第4版）的現(xiàn)有進(jìn)過(guò)渡，并在此基礎(chǔ)上發(fā)展下一代互聯(lián)網(wǎng)已成為全球共識(shí)。根據(jù)新一代信息技術(shù)產(chǎn)業(yè)“十二五”發(fā)展思路的要求，廣大用在“十二五”期間，規(guī)定要求國(guó)內(nèi)訪問(wèn)流量排名前100位的商信運(yùn)營(yíng)企業(yè)新開(kāi)展的業(yè)務(wù)基本支持IPv6，新增上網(wǎng)固定終端和移動(dòng)WAF防護(hù)產(chǎn)品，可以為用戶網(wǎng)站提供7X24小時(shí)的不間斷監(jiān)測(cè)與保護(hù)，有效保障網(wǎng)站數(shù)據(jù)的完整性和真實(shí)性，并提供實(shí)時(shí)告警，具體部署拓?fù)浜驼f(shuō)明如下：在最快的時(shí)間內(nèi)獲得最新的特征庫(kù)，能夠?yàn)閃eb應(yīng)用提供全面實(shí)時(shí)有效的防御能力。式下，對(duì)網(wǎng)站數(shù)據(jù)的精確、增量同步，能夠有效防止網(wǎng)頁(yè)被惡意篡連接復(fù)用、SSL代理等技術(shù)，對(duì)服務(wù)器進(jìn)行負(fù)載均衡、流量整形、支持雙電源冗余，并且可以采用多種部署模式進(jìn)行無(wú)縫接入，5.1.4.3上網(wǎng)行為管理及流控幫助用戶提供包括網(wǎng)絡(luò)應(yīng)用流量分析及控制、職員上網(wǎng)行為記錄、訪問(wèn)控制、數(shù)據(jù)庫(kù)安全審計(jì)，以及鏈路負(fù)載均衡、用戶認(rèn)證、病毒防范等綜合功能，幫助用戶構(gòu)建“可視、可控、可優(yōu)化的互聯(lián)網(wǎng)”根據(jù)xxxxxx整體安全規(guī)劃，在互聯(lián)網(wǎng)接入?yún)^(qū)域部署上網(wǎng)行為管理及流控，可以為用戶提供上網(wǎng)行為記錄、審計(jì)、訪問(wèn)控制、流控1.業(yè)界最全的應(yīng)用特征庫(kù)，全面支持IPv具有業(yè)界數(shù)量最大、本地化支持最完善、更新最及時(shí)的特征議的上網(wǎng)行為管理和流控，讓上網(wǎng)行為管理和流量控制更精準(zhǔn)。2.流量控制與調(diào)度結(jié)合，保障關(guān)鍵業(yè)務(wù)支持鏈路負(fù)載均衡功能，可作為鏈路優(yōu)化網(wǎng)關(guān)使用，配合流量控制功能，達(dá)到流量“疏堵結(jié)合”的作用，流量控制可以為關(guān)鍵業(yè)務(wù)預(yù)留帶寬，流量負(fù)載則可以將關(guān)鍵業(yè)務(wù)調(diào)度到高質(zhì)量的鏈路，共同保障關(guān)鍵業(yè)務(wù)的使用。3.獨(dú)創(chuàng)的零帶寬損耗技術(shù)*創(chuàng)新的零帶寬損耗技術(shù)，率先采用“提前”限速的技術(shù)理念，解決傳統(tǒng)帶寬管理“丟包而導(dǎo)致?lián)p耗”的難題。有效解決傳統(tǒng)流量（5%以內(nèi)真正實(shí)現(xiàn)對(duì)應(yīng)用流量的合理、有效、有序的管理。例如，針對(duì)1G帶寬，傳統(tǒng)解決方式流量控制后，實(shí)際可用帶寬在700M左右，而使用迪普科技零帶寬損耗技術(shù)后，實(shí)際可用帶寬在4.基于網(wǎng)絡(luò)質(zhì)量的流量分析*網(wǎng)絡(luò)流量分析從多維度展現(xiàn)網(wǎng)絡(luò)帶寬資源使用情況，真正實(shí)現(xiàn)流量可視化，基于用戶和應(yīng)用進(jìn)行細(xì)粒度分析。同時(shí)可以對(duì)網(wǎng)絡(luò)質(zhì)量進(jìn)行分析，對(duì)網(wǎng)絡(luò)中的鏈路異常事件、網(wǎng)絡(luò)時(shí)延、重傳率、狀態(tài)碼等參數(shù)進(jìn)行監(jiān)控，并且按照用戶、應(yīng)用等維度進(jìn)行分析，展示用戶、應(yīng)用的網(wǎng)絡(luò)質(zhì)量狀況，網(wǎng)絡(luò)管理人員一目了然的了解當(dāng)前網(wǎng)絡(luò)運(yùn)行質(zhì)量，并為后續(xù)的網(wǎng)絡(luò)優(yōu)化提供依據(jù)。5.基于用戶的網(wǎng)絡(luò)行為審計(jì)上網(wǎng)行為管理支持全面的上網(wǎng)行為審計(jì)，包括網(wǎng)頁(yè)、郵件、論壇、即時(shí)通訊、數(shù)據(jù)庫(kù)等網(wǎng)絡(luò)行為。傳統(tǒng)的審計(jì)方式僅能根據(jù)IP地址進(jìn)行審計(jì)，難以將IP地址與具體人員身份準(zhǔn)確關(guān)聯(lián)，導(dǎo)致發(fā)生安全事件后，如何追查責(zé)任人反而又成為新的難題。實(shí)現(xiàn)基于帳號(hào)的實(shí)名審計(jì)，并支持與城市熱點(diǎn)、深瀾等認(rèn)證系統(tǒng)對(duì)接，實(shí)現(xiàn)精確到個(gè)人的上網(wǎng)行為審計(jì)，讓網(wǎng)絡(luò)中的每個(gè)人對(duì)自己的言行負(fù)責(zé)。6.豐富的認(rèn)證功能支持多種終端認(rèn)證，支持IP/MAC綁定、Portal認(rèn)證、短信認(rèn)方認(rèn)證系統(tǒng)對(duì)接。例如微信認(rèn)證顧客無(wú)需輸入繁瑣的Wi-Fi密碼，手機(jī)點(diǎn)擊“微信一鍵認(rèn)證”進(jìn)行認(rèn)證，為用戶提供更輕快的上網(wǎng)體驗(yàn)，同時(shí)可以一鍵關(guān)注商家公眾號(hào)，便于將顧客轉(zhuǎn)化為粉絲，為商家的長(zhǎng)期發(fā)展打下良好的基礎(chǔ)，并且聯(lián)網(wǎng)后還可推送消息，利于商家做宣傳。7.全面數(shù)據(jù)庫(kù)審計(jì)等多種類型的數(shù)據(jù)庫(kù)。對(duì)訪問(wèn)數(shù)據(jù)庫(kù)的數(shù)據(jù)流進(jìn)行采集、分析和識(shí)別，實(shí)時(shí)監(jiān)視數(shù)據(jù)庫(kù)的運(yùn)行狀態(tài)，記錄多種訪問(wèn)數(shù)據(jù)庫(kù)行為，發(fā)現(xiàn)對(duì)數(shù)據(jù)庫(kù)的異常訪問(wèn)，同時(shí)提供告警及豐富報(bào)表功能，以供企業(yè)管理人員按需查看。5.1.4.4主機(jī)安全加固系統(tǒng)部署集服務(wù)器安全防護(hù)和安全管理為一體的綜合性服務(wù)器工具。提供服務(wù)器殺毒、服務(wù)器優(yōu)化、系統(tǒng)漏洞補(bǔ)丁修復(fù)、服務(wù)器程序守用防火墻、防CC攻擊、防入侵防提權(quán)、防篡改、安全策略設(shè)置等，使服務(wù)器免受攻擊，同時(shí)提供郵件實(shí)時(shí)告警等功能，服務(wù)器狀態(tài)實(shí)的安全及管理問(wèn)題；提供包含自動(dòng)化系統(tǒng)風(fēng)險(xiǎn)識(shí)別和加固、系統(tǒng)級(jí)的安全防護(hù)（防黑/防入侵/抗攻擊）、云監(jiān)控（安全監(jiān)控/性能監(jiān)控/日志監(jiān)控）、云管理以及基于大數(shù)據(jù)架構(gòu)的安全事件分析等功能；2、防暴力破解、防惡意掃描：實(shí)現(xiàn)攔截各種惡意掃描和暴4、能夠禁止一般的帳號(hào)創(chuàng)建，針對(duì)帳號(hào)提權(quán)、帳號(hào)克隆等其他為。則。JSP等類型的網(wǎng)頁(yè)文件，修改動(dòng)作至內(nèi)核層直接10、判斷系統(tǒng)服務(wù)安全狀態(tài)，采取關(guān)閉敏感服務(wù)的策略，為用戶提供優(yōu)化建議。令檢測(cè)、授權(quán)、日志配置、IP協(xié)議安全配置、關(guān)閉遠(yuǎn)程桌面和共享文件夾的訪問(wèn)權(quán)限等；支持Linux平臺(tái)的安全基線檢查，包括：用戶口令設(shè)置、限制用戶su成root用戶、root用戶超時(shí)自動(dòng)注銷、認(rèn)證、bashshell、網(wǎng)絡(luò)與服務(wù)加固和文件系統(tǒng)安全檢查等。支持包保護(hù)、遠(yuǎn)程桌面保護(hù)、病毒防護(hù)等。收集傳輸系統(tǒng)日志，構(gòu)建行為模型與異常行為進(jìn)行對(duì)比，發(fā)現(xiàn)可疑行為。從多個(gè)維度挖掘攻擊者IP的地理信息、活躍度、攻擊手法特征、攻擊次數(shù)、攻擊服務(wù)器范圍等并進(jìn)行畫(huà)像分析和威脅程度排名，提供攻擊IP風(fēng)險(xiǎn)分布圖、攻擊IP地理分布圖、最近30天攻擊IP列表和攻擊IP電子檔案功能。13、支持通過(guò)發(fā)送郵件、短信等方式進(jìn)行告警；告警內(nèi)容包含傳輸中斷告警、風(fēng)險(xiǎn)漏洞告警、攻擊威脅告警等；告警可以支持按日期、攻擊類型、內(nèi)容、攻擊者IP、服務(wù)器IP等字段進(jìn)行組合查詢。14、產(chǎn)品支持監(jiān)控服務(wù)器，并基于云端的規(guī)則庫(kù)、病毒特征庫(kù)、異常行為庫(kù)等互聯(lián)網(wǎng)安全威脅情報(bào)數(shù)據(jù)度量執(zhí)行程序的安全性，對(duì)非授權(quán)及不符合預(yù)期的執(zhí)行進(jìn)行預(yù)警提示。5.1.4.5綜合日志審計(jì)隨著各類組織的信息化程度不斷提高，對(duì)信息系統(tǒng)的依賴程度也隨之增加，如何保障信息系統(tǒng)安全是所有單位都十分關(guān)注的一個(gè)問(wèn)題。當(dāng)前，大部分組織都已對(duì)信息安全系統(tǒng)進(jìn)行了基本的安全防護(hù)，如實(shí)施防火墻、入侵檢測(cè)系統(tǒng)、防病毒系統(tǒng)等。然而，信息系統(tǒng)維護(hù)過(guò)程中依然還面臨著諸多的困難及風(fēng)險(xiǎn)，如：系統(tǒng)運(yùn)維風(fēng)險(xiǎn)：由于操作系統(tǒng)、硬件、應(yīng)用程序等故障或配置錯(cuò)誤導(dǎo)致系統(tǒng)異常運(yùn)行，服務(wù)中斷。這些異常行為往往會(huì)事先在系統(tǒng)及各類日志中有反映，如果缺乏有效的日志審計(jì)手段，就無(wú)法及時(shí)發(fā)現(xiàn)這些安全隱患。應(yīng)用及數(shù)據(jù)風(fēng)險(xiǎn)：包括用戶非授權(quán)訪問(wèn)、管理員誤操作、黑客安全事件定位風(fēng)險(xiǎn)：由于目前的應(yīng)用系統(tǒng)往往都是相互關(guān)聯(lián)的，一個(gè)故障現(xiàn)象，往往要對(duì)數(shù)臺(tái)甚至數(shù)十臺(tái)網(wǎng)絡(luò)設(shè)備及主機(jī)的日志進(jìn)行關(guān)聯(lián)分析才能確定真正的故障原因，缺乏有效的統(tǒng)一安全事件審計(jì)平臺(tái)可能導(dǎo)致無(wú)法及時(shí)進(jìn)行故障定位甚至錯(cuò)誤定位，此外惡意破壞者獲得系統(tǒng)權(quán)限后可以清理安全日志，從而導(dǎo)致無(wú)法正確定位安全日志。均對(duì)日志審計(jì)、行為審計(jì)有明確的要求，確保關(guān)鍵信息系統(tǒng)在可審計(jì)、可控狀態(tài)下運(yùn)行。按照xxxxxx信息安全建設(shè)整體安全規(guī)劃，審計(jì)要遵循全網(wǎng)統(tǒng)一的安全規(guī)范進(jìn)行建設(shè)，因此，xxxxxx內(nèi)網(wǎng)的審計(jì)系統(tǒng)部署在安全管理區(qū)，審計(jì)系統(tǒng)包括網(wǎng)絡(luò)審計(jì)、主機(jī)審計(jì)等方面，為安全管理人員提供可供分析的審計(jì)數(shù)據(jù)和有效的控制手段，多方位、多層次地對(duì)網(wǎng)絡(luò)信息系統(tǒng)進(jìn)行立體、全面的審計(jì)跟蹤與監(jiān)控管理，在網(wǎng)絡(luò)信息系統(tǒng)中建立安全管理與責(zé)任認(rèn)定機(jī)制。指按照一定的安全策略，利用記錄、系統(tǒng)活動(dòng)和用戶活動(dòng)等信息，檢查、審查和檢驗(yàn)操作事件的環(huán)境及活動(dòng)，從而發(fā)現(xiàn)系統(tǒng)漏洞、入侵行為或改善系統(tǒng)性能的過(guò)程。也是審查評(píng)估系統(tǒng)安全風(fēng)險(xiǎn)并采取相應(yīng)措施的一個(gè)過(guò)程。在不至于混淆情況下，簡(jiǎn)稱為安全審計(jì)，實(shí)際是記錄與審查用戶操作計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)活動(dòng)的過(guò)程，是提高系統(tǒng)安全性的重要舉措。系統(tǒng)活動(dòng)包括操作系統(tǒng)活動(dòng)和應(yīng)用程序進(jìn)程的活動(dòng)。用戶活動(dòng)包括用戶在操作系統(tǒng)和應(yīng)用程序中的活動(dòng)，如用戶所使用的資源、使用時(shí)間、執(zhí)行的操作等。系統(tǒng)簡(jiǎn)單實(shí)用、界面美觀大方、內(nèi)置豐富的儀表板，適用于各級(jí)管理人員;具有國(guó)內(nèi)領(lǐng)先的高性能日志管理技術(shù)，使得系統(tǒng)在日志采集、分析和存儲(chǔ)三個(gè)方面獲得了本質(zhì)的性能提升。獨(dú)有的審計(jì)數(shù)據(jù)源擴(kuò)展機(jī)制，可以方便地實(shí)現(xiàn)新設(shè)備類型的日志采集。支持分布式日志采集和事件存儲(chǔ)、審計(jì)中心級(jí)聯(lián)，支持大規(guī)模部署。對(duì)用戶網(wǎng)絡(luò)和業(yè)務(wù)影響最小：在實(shí)現(xiàn)對(duì)用戶網(wǎng)絡(luò)中的IT設(shè)施進(jìn)行集中日志審計(jì)的同時(shí)，采取多種技術(shù)手段，力求對(duì)用戶網(wǎng)絡(luò)和業(yè)務(wù)的影響最小化。具備完善的自身安全性設(shè)計(jì)，保證系統(tǒng)自身的安全等級(jí)符合用?集中化的日志綜合審計(jì)日志審計(jì)系統(tǒng)提供了強(qiáng)大的日志綜合審計(jì)功能，為不用層級(jí)的用戶提供了多視角、多層次的審計(jì)視圖。系統(tǒng)提供全局監(jiān)視儀表板、實(shí)時(shí)審計(jì)視圖、內(nèi)置或自定義策略的統(tǒng)計(jì)視圖、超強(qiáng)的日志查詢和報(bào)表管理功能，支持日志的模糊查詢和自定義報(bào)表。為了應(yīng)對(duì)海量日志管理帶來(lái)的挑戰(zhàn)，日志審計(jì)系統(tǒng)采用了國(guó)內(nèi)領(lǐng)先的高性能日志采集、分析與存儲(chǔ)架構(gòu)，從產(chǎn)品技術(shù)架構(gòu)的層面，進(jìn)行了系統(tǒng)性的設(shè)計(jì)，真正使得日志審計(jì)系統(tǒng)產(chǎn)品成為一款能夠支撐持續(xù)海量日志管理的系統(tǒng)。?高適應(yīng)性日志采集日志審計(jì)類產(chǎn)品的一項(xiàng)核心能力就是對(duì)審計(jì)數(shù)據(jù)源的日志采集。對(duì)于用戶而言，采集日志面臨的最大挑戰(zhàn)就是：審計(jì)數(shù)據(jù)源分散、日志類型多樣、日志量大。為此，日志審計(jì)系統(tǒng)綜合采用多種技術(shù)手段，充分適應(yīng)用戶實(shí)際網(wǎng)絡(luò)環(huán)境的運(yùn)行情況，采集用戶網(wǎng)絡(luò)中分散在各個(gè)位置的各種廠商、各種類型的海量日志。?詳盡的日志范式化和日志分類日志審計(jì)系統(tǒng)對(duì)收集的各種日志進(jìn)行范式化處理，將各種不同表達(dá)方式的日志轉(zhuǎn)換成統(tǒng)一的描述形式。審計(jì)人員不必再去熟悉不同廠商不同的日志信息，從而大大提升審計(jì)工作效率。與此同時(shí)，日志審計(jì)系統(tǒng)將原始日志都原封不動(dòng)地保存了下來(lái)，以備調(diào)查取證之用。審計(jì)員也可以直接對(duì)原始日志進(jìn)行模糊查詢。?基于策略的安全事件分析系統(tǒng)為用戶在進(jìn)行安全日志及事件的實(shí)時(shí)分析和歷史分析的時(shí)候提供了一種全新的分析體驗(yàn)——基于策略的安全事件分析過(guò)程。用戶可以通過(guò)豐富的事件分析策略對(duì)全網(wǎng)的安全事件進(jìn)行全方位、多視角、大跨度、細(xì)粒度的實(shí)時(shí)監(jiān)測(cè)、統(tǒng)計(jì)分析、查詢、調(diào)查、追溯、地圖定位、可視化分析展示等。?可視化日志審計(jì)日志審計(jì)系統(tǒng)為用戶提供了豐富的可視化審計(jì)視圖，充分提升審計(jì)效率。包括：審計(jì)對(duì)象拓?fù)鋱D、IP在線世界地圖定位、IP離線世界地圖定位、事件分時(shí)圖、事件拓?fù)鋱D、事件多維分析圖等。?豐富靈活的報(bào)表報(bào)告出具報(bào)表報(bào)告是安全審計(jì)系統(tǒng)的重要用途，日志審計(jì)系統(tǒng)內(nèi)置了豐富的報(bào)表模板，包括統(tǒng)計(jì)報(bào)表、明細(xì)報(bào)表、綜合審計(jì)報(bào)告，審計(jì)人員可以根據(jù)需要生成不同的報(bào)表。系統(tǒng)內(nèi)置報(bào)表生成調(diào)度器，可以定時(shí)自動(dòng)生成日?qǐng)?bào)、周報(bào)、月報(bào)、季報(bào)、年報(bào)，并支持以郵件印。系統(tǒng)還內(nèi)置了一套報(bào)表編輯器，用戶可以自行設(shè)計(jì)報(bào)表