xx單位等級保護二級安全整改方案申請預(yù)算v

1、系統(tǒng)等級保護安全方案XX目錄項目概述41.1. 項目建設(shè)背景41.2. 項目建設(shè)目標41.3. 項目參考標準51.1.4.安全原則6系統(tǒng)現(xiàn)狀分析72.1. 系統(tǒng)定級情況說明72.2. 業(yè)務(wù)系統(tǒng)說明72.3. 網(wǎng)絡(luò)結(jié)構(gòu)說明8安全需求分析83.1. 物理安全需求分析83.2. 網(wǎng)絡(luò)安全需求分析83.3. 主機安全需求分析93.4. 應(yīng)用安全需求分析93.5. 數(shù)據(jù)安全需求分析93.6. 安全管理制度需求分析9總體方案設(shè)計94.1. 總體設(shè)計目標94.2. 總體安全體系設(shè)計104.3. 總體網(wǎng)絡(luò)架構(gòu)設(shè)計132.3.4.劃分說明134.4.詳細方案設(shè)計技術(shù)部分145.1. 物理安全145.2. 網(wǎng)絡(luò)安

2、全145.邊界技術(shù)145.2.1.5.2.2.5.2.3.5.2.4.5.2.5.5.2.6.5.2.7.5.2.8.5.2.9.5.3.5.3.1.5.3.2.5.3.3.5.3.4.防范技術(shù)14網(wǎng)絡(luò)防Web技術(shù)15技術(shù)錯誤!未定義書簽。網(wǎng)頁防篡改技術(shù)15流量管理技術(shù)錯誤!未定義書簽。鏈路負載均衡技術(shù)16上網(wǎng)行為管理技術(shù)16網(wǎng)絡(luò)安全審計17主機安全18數(shù)據(jù)庫安全審計18運維堡壘主機18主機防技術(shù)19漏洞掃描195.4. 應(yīng)用安全205.5. 安全管理中心21詳細方案設(shè)計管理部分216.1.總體安全方針與安全策略226.2系統(tǒng)等級保護安全方案XX管理制度236.2.6.3.安全管理機構(gòu)23安全

3、管理236.4.6.5. 系統(tǒng)建設(shè)管理246.6. 系統(tǒng)運維管理246.7. 安全管理制度匯總26咨詢服務(wù)和系統(tǒng)測評277.1. 系統(tǒng)定級服務(wù)277.2. 風(fēng)險評估和安全加固服務(wù)277.2.1. 漏洞掃描277.2.2. 滲透測試277.2.3. 配置核查287.2.4. 安全加固287.2.5. 安全管理制度編寫297.2.6. 安全培訓(xùn)307.3. 系統(tǒng)測評服務(wù)307.項目預(yù)算與配置8.308.1.項目預(yù)算308.2. 利舊8.3. 新增使用說明31詳細要求313系統(tǒng)等級保護安全方案XX1. 項目概述1.1. 項目建設(shè)背景項目背景。1.2. 項目建設(shè)目標二級系統(tǒng)安全保護環(huán)境的設(shè)計目標是：遵

4、循 GB 17859-1999 的 4.2 中相關(guān)要求，以鑒別為基礎(chǔ)，提供單個用戶和（或）用戶組對共享文件、數(shù)據(jù)庫表等的；以包過濾提供區(qū)域邊界保護；以數(shù)據(jù)校驗和代碼防范等，同時通過增加系統(tǒng)安全審計、客體安全重用等功能，使用戶對的行為負責(zé)，提供用戶數(shù)據(jù)性和完整性保護，以增強系統(tǒng)的安全保護能力。依照計算機系統(tǒng)安全保護等級劃分準則、系統(tǒng)安全等級保護基本要求、系統(tǒng)安全保護等級定級指南等標準，以及 XX對系統(tǒng)等級保護工作的有關(guān)規(guī)定和要求，對 XX的網(wǎng)絡(luò)和系統(tǒng)進行等級保護定級，按系統(tǒng)逐個編制定級報告和定級備案表，并指導(dǎo) XX化將定級材料提交當(dāng)?shù)貍浒?。通過為滿足物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安

5、全五個方面基本技術(shù)要求進行技術(shù)體系建設(shè)；為滿足安全管理制度、安全管理機構(gòu)、安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理五個方面基本管理要求進行管理體系建設(shè)。使得網(wǎng)絡(luò)系統(tǒng)的等級保護建設(shè)方案最XX終既可以滿足等級保護的相關(guān)要求，又能夠全方面為 XX的業(yè)務(wù)系統(tǒng)提供、縱深的安全保障防御體系，保證系統(tǒng)整體的安全保護能力。本項目建設(shè)將完成以下目標：1、以 XX系統(tǒng)現(xiàn)有基礎(chǔ)設(shè)施，建設(shè)并完成滿足等級保護二級系統(tǒng)基本要求的信息系統(tǒng)，確保 XX的整體化建設(shè)符合相關(guān)要求。2、建立安全管理組織機立工作組，XX為安全責(zé)任人，擬定實施系統(tǒng)安全等級保護的具體方案，并制定相應(yīng)的崗位責(zé)任制，確保等級保護工作順利實施。3、建立完善的安全

6、技術(shù)防護體系。根據(jù)等級保護的要求，建立滿足二級要求的安全技術(shù)防護體系。4、建立健全系統(tǒng)安全管理制度。根據(jù)等級保護的要求，制定各項系統(tǒng)4系統(tǒng)等級保護安全方案XX安全管理制度，對安全管理或操作執(zhí)行的重要管理操作建立操作規(guī)程和執(zhí)行文檔。5、制定 XX系統(tǒng)不中斷的應(yīng)急預(yù)案。應(yīng)急預(yù)案是安全等級保護的重要組成部分，按可能出現(xiàn)問題的不同情形制定相應(yīng)的應(yīng)急措施，在系統(tǒng)出現(xiàn)故障和意外且無法短時間恢復(fù)的情況下能確保生產(chǎn)活動持續(xù)進行。6、安全培訓(xùn)：為 XX化技術(shù)提供相關(guān)專業(yè)技術(shù)知識培訓(xùn)。1.3. 項目參考標準深信服遵循以及息安全等級保護指南等最新安全標準以及開展各項服務(wù)工作，配合 XX的等級保護測評工作。本項目建設(shè)

7、參考依據(jù)：5指導(dǎo)思想中辦200327（關(guān)于轉(zhuǎn)發(fā)息化領(lǐng)導(dǎo)小組關(guān)于加強保障工作的意見）公通字200466（等級保護工作的實施意見） 公通字200743（等級保護管理辦法）公信安20091429關(guān)于開展等級保護安全建設(shè)工作的指導(dǎo)意見關(guān)于加強網(wǎng)絡(luò)保護的決定國發(fā)201223 號關(guān)于大力推進化發(fā)展和切實保障的若干意見國發(fā)20137 號關(guān)于推進物聯(lián)網(wǎng)有序健康發(fā)展的指導(dǎo)意見公信安20142182 號關(guān)于加強級重要系統(tǒng)安全保障工作有關(guān)事項的通知（ 公信安20142182 號）等級保護GB 17859-1999 計算機系統(tǒng)安全保護等級劃分準則GB/T25058-2010系統(tǒng)安全等級保護實施指南系統(tǒng)定級GB/T 2

8、2240-2008技術(shù)系統(tǒng)安全保護等級定級指南技術(shù)方面GB/T25066-2010類別與代碼GB/T17900-1999 網(wǎng)絡(luò)服務(wù)器的安全技術(shù)要求GB/T20010-2005 包過濾評估準則GB/T20281-2006技術(shù)要求和測試評價GB/T18018-2007 路由器安全技術(shù)要求GB/T20008-2005 路由器安全評估準則GB/T20272-2006 操作系統(tǒng)安全技術(shù)要求GB/T20273-2006 數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求GB/T20009-2005 數(shù)據(jù)庫管理系統(tǒng)安全評估準則GB/T20275-2006檢測系統(tǒng)技術(shù)要求和測試評價GB/T20277-2006 網(wǎng)絡(luò)和終端部件測試評價

9、系統(tǒng)等級保護安全方案XX1.4. 安全原則本次項目，深信服等級保護方案的設(shè)計和實施將遵循以下原則：n性原則：深信服對安全服務(wù)的實施過程和結(jié)果將，在福建省財政廳的情況下泄露給任何和個人，利用此數(shù)據(jù)進行任何侵害客戶權(quán)益的行為；n標準性原則：服務(wù)設(shè)計和實施的全過程均依據(jù)國內(nèi)或國際的相關(guān)標準進行；根據(jù)等級保護二級基本要求，進行分等級分進行安全設(shè)計和安全建設(shè)。n規(guī)范性原則：深信服在各項安全服務(wù)工作中的過程和文檔，都具有很規(guī)范性（深信服安全服務(wù)實施規(guī)范），可以便于項目的跟蹤和；6GB/T20279-2006 網(wǎng)絡(luò)和終端部件安全技術(shù)要求GB/T20278-2006 網(wǎng)絡(luò)脆弱性掃描技術(shù)要求GB/T20280-

10、2006 網(wǎng)絡(luò)脆弱性掃描測試評價GB/T20945-2007系統(tǒng)安全審計技術(shù)要求和測試評價GB/T 21028-2007 服務(wù)器安全技術(shù)要求GB/T25063-2010 服務(wù)器安全側(cè)評要求GB/T 21050-2007 網(wǎng)絡(luò)交換機安全技術(shù)要求（EAL3） GB/T28452-2012 應(yīng)用系統(tǒng)通用安全技術(shù)要求GB/T29240-2012 終端計算機通用安全技術(shù)要求與測試評價GB/T28456-2012 IPsec 協(xié)議應(yīng)用測試規(guī)范GB/T28457-2012 SSL 協(xié)議應(yīng)用測試規(guī)范管理方面GB/T20269-2006系統(tǒng)安全管理要求GB/T28453-2012系統(tǒng)安全管理評估要求GB/T20

11、984-2007風(fēng)險評估規(guī)范GB/T24364-2009風(fēng)險管理指南GB/T20985-2007管理指南GB/T20986-2007分級指南GB/T20988-2007系統(tǒng)恢復(fù)規(guī)范方案設(shè)計GB/T25070-2010系統(tǒng)等級保護安全設(shè)計技術(shù)要求等保測評GB/T28448-2012系統(tǒng)安全等級保護測評要求GB/T28449-2012系統(tǒng)安全等級保護測評過程指南系統(tǒng)等級保護安全方案XXn可控性原則：服務(wù)所使用的工具、和過程都會在深信服與福建省財政廳雙方認可的范圍之內(nèi)，服務(wù)進度遵守進度表的安排，保證雙方對服務(wù)工作的可控性；n整體性原則：服務(wù)的范圍和內(nèi)容整體全面，涉及的 IT 運行的各個層面，避免由于

12、遺漏造的安全隱患；n最小影響原則：服務(wù)工作盡可能小的影響系統(tǒng)的正常運行，對現(xiàn)有業(yè)務(wù)造成顯著影響。n體系化原則：在體系設(shè)計、建設(shè)中，深信服充分考慮到各個層面的安全風(fēng)險，構(gòu)建完整的安全防護體系。n先進性原則：為滿足后續(xù)不斷增長的業(yè)務(wù)需求、對安全、安全技術(shù)都充分考慮前瞻性要求，采用先進、成熟的安全、技術(shù)和先進的管理。n分步驟原則：根據(jù)福建省財政廳要求，對福建省財政廳安全保障體系進行分期、分步驟的有序部署。n服務(wù)細致化原則：在項目咨詢、建設(shè)過程中深信服將充分結(jié)合自身的專業(yè)技術(shù)經(jīng)驗與行業(yè)經(jīng)驗相結(jié)合，結(jié)合福建省財政廳的實際系統(tǒng)量身定做才可以保障其系統(tǒng)安全的運行。2. 系統(tǒng)現(xiàn)狀分析2.1. 系統(tǒng)定級情況說明

13、XX綜合考慮了 XX系統(tǒng)、XX系統(tǒng)的業(yè)務(wù)和系統(tǒng)服務(wù)類型，以及其受到破壞時可能受到侵害的客體以及受侵害的程度，經(jīng) XX 省公安廳的批準，已將 XX 系統(tǒng)等級定為等級保護第二級（S2A2G2），整體網(wǎng)絡(luò)化平臺按照二級進行建設(shè)。2.2. 業(yè)務(wù)系統(tǒng)說明XX本次參加的共有 X 個系統(tǒng)，分別是 XX 系統(tǒng)、XX 系統(tǒng)、XX 系統(tǒng)、XX 系統(tǒng)，具體情況如下：XX 系統(tǒng)（示例）：2012 年財政票據(jù)化管理系統(tǒng)（網(wǎng)絡(luò)版）歷經(jīng)系統(tǒng)開發(fā)、模擬測試、7系統(tǒng)等級保護安全方案XX網(wǎng)絡(luò)、硬件安裝部署，于 2012 年 12 月份正式啟動試運行工作，在試點和實施過程當(dāng)中發(fā)現(xiàn)系統(tǒng)仍有不足之處，需要對系統(tǒng)進行深入完善和改進，主要

14、考慮到由于財政票據(jù)化管理系統(tǒng)（網(wǎng)絡(luò)版）作為全省集中部署的網(wǎng)絡(luò)化財政重要業(yè)務(wù)系統(tǒng)，其具有應(yīng)用面廣、用戶規(guī)模大，并涉及到財政性資金的重要數(shù)據(jù)，以及基于公眾網(wǎng)上部署的特性，因此系統(tǒng)自身和運行環(huán)境均一定的安全風(fēng)險，在數(shù)據(jù)傳輸、安全加密、網(wǎng)絡(luò)、防等方面的必須要建立一套更有效更完善的安全保護體系和措施。XX 系統(tǒng)：XX 系統(tǒng)：2.3. 網(wǎng)絡(luò)結(jié)構(gòu)說明系統(tǒng)網(wǎng)絡(luò)拓撲圖現(xiàn)狀如下：XX3. 安全需求分析3.1. 物理安全需求分析3.2. 網(wǎng)絡(luò)安全需求分析邊界：該系統(tǒng)無法實現(xiàn)對邊界的，需要部署下一代署等安全來實現(xiàn)。邊界防范：該系統(tǒng)無法實現(xiàn)對邊界的，需要部署下一代署等安全來實現(xiàn)。防 web和網(wǎng)頁防篡改：該系統(tǒng)無法實現(xiàn)對

15、邊界的，需要部署下一代署等來實現(xiàn)。邊界安全審計：該系統(tǒng)無法實現(xiàn)對邊界的，需要部署署網(wǎng)絡(luò)安全審計等來實現(xiàn)。互聯(lián)網(wǎng)出口安全審計：該系統(tǒng)無法實現(xiàn)對邊界的，需要部署上網(wǎng)行為管理等來實現(xiàn)。來實現(xiàn)。8系統(tǒng)等級保護安全方案XX3.3. 主機安全需求分析主機防：該系統(tǒng)缺少主機防的相關(guān)安全策略，需要配置網(wǎng)絡(luò)版主機防系統(tǒng)，從而實現(xiàn)對全網(wǎng)主機的代碼防范。數(shù)據(jù)庫審計：該系統(tǒng)缺少數(shù)據(jù)的審計，不能很滿足主機安全審計的要求，需要部署專業(yè)的數(shù)據(jù)庫審計。運維堡壘機：該該系統(tǒng)無法實現(xiàn)管理員對網(wǎng)絡(luò)和服務(wù)器進行管理時的雙因素認證，需要部署堡壘機來實現(xiàn)。漏洞掃描：需要部署漏洞掃描實現(xiàn)對全網(wǎng)漏洞的掃描。3.4. 應(yīng)用安全需求分析通信完整

16、性和性：該系統(tǒng)無法實現(xiàn)對邊界的，需要部署 SSL等安全來實現(xiàn)。3.5. 數(shù)據(jù)安全需求分析備份與恢復(fù)：該該系統(tǒng)沒有完善的數(shù)據(jù)備份與恢復(fù)方案，需要制定相關(guān)策略。同時，該系統(tǒng)沒有實現(xiàn)對關(guān)鍵網(wǎng)絡(luò)的冗余，建議部署雙鏈路確保冗余。3.6. 安全管理制度需求分析根據(jù)前期差距分析結(jié)果，該還欠缺較多安全管理制度，需要后續(xù)補充。4. 總體方案設(shè)計4.1. 總體設(shè)計目標的安全等級保護方案設(shè)計的總體目標是依據(jù)等級保護的有關(guān)標準和規(guī)XX范，結(jié)合 XX系統(tǒng)的現(xiàn)狀，對其進行重新規(guī)劃和合規(guī)性，為其建立一個完整的安全保障體系，有效保障其系統(tǒng)業(yè)務(wù)的正常開展，保護敏感數(shù)據(jù)的安全，保證 XX9系統(tǒng)等級保護安全方案XX系統(tǒng)的安全防護能

17、力達到技術(shù)系統(tǒng)安全等級保護基本要求中第二級的相關(guān)技術(shù)和管理要求。4.2. 總體安全體系設(shè)計本項目提出的等級保護體系模型，必須依照等級保護的相關(guān)要求，利用、代碼驗證、可入等技術(shù)，在“一個中心三重防御”的框架下實現(xiàn)對系統(tǒng)的全面防護。整個體系模型如下圖所示：10系統(tǒng)等級保護安全方案XXn安全管理中心安全管理中心是整個等級保護體系中對系統(tǒng)進行集中安全管理的平臺，是系統(tǒng)做到可測、可控、可管理的必要和措施。依照 GB/T25070-2010系統(tǒng)等級保護安全設(shè)計技術(shù)要求中對安全管理中心的要求，一個符合基于可信計算和主動防御的等級保護體系模型的安全管理中心應(yīng)至少包含以下三個部分：系統(tǒng)管理實現(xiàn)對系統(tǒng)資源和運行的

18、配置。和管理，并對系統(tǒng)管理員進行鑒別，只其11系統(tǒng)等級保護安全方案XX通過特定令或操作界面進行系統(tǒng)管理操作，并對這些操作進行審計。安全管理實現(xiàn)對系統(tǒng)中的主體、客體進行統(tǒng)一標記，對主體進行，配置一致的安全策略，確保標記、和安全策略的數(shù)據(jù)完整性，并對安全管理員進行鑒別，只其通過特定令或操作界面進行安全管理操作，并進行審計。審計管理實現(xiàn)對系統(tǒng)各個組成部分的安全審計機制進行集中管理，根據(jù)安全審計策略對審計進行；提供按時間段開啟和關(guān)閉相應(yīng)類型的安全審計機制；對各類審計進行存儲、管理和等；對審計應(yīng)進行分析，根據(jù)分析結(jié)果進行處理。此外，對安全審計員進行鑒別，只其通過特定令或操作界面進行安全審計操作。此外，安

19、全管理中心應(yīng)做到技術(shù)與管理并重，加強在安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理等方面的管理力度，規(guī)范安全管理操作規(guī)程，建立完善的安全管理制度集。n安全計算環(huán)境參照基于可信計算和主動防御的等級保護模型，安全計算環(huán)境可劃分成節(jié)點和典型應(yīng)用兩個子系統(tǒng)。在解決方案中，這兩個子系統(tǒng)都將通過終端安全保護體系的建立來實現(xiàn)。事故的源頭主要集中在用戶終端，要實現(xiàn)一個可信的、安全的計算環(huán)境，就必終端安全抓起。因此，依照等級保護在鑒別，（強制）、網(wǎng)絡(luò)行為（上網(wǎng)、外聯(lián)的）、應(yīng)用安全、數(shù)據(jù)安全、安全審計等方面的技術(shù)要求，可充分結(jié)合可信計算技術(shù)和主動防御技術(shù)的先進性和安全性，提出一個基于可信計

20、算和主動防御的終端安全保護體系模型，以實現(xiàn)從應(yīng)用層、系統(tǒng)層、層三個方面對計算環(huán)境的全面防護。n安全區(qū)域邊界為保護邊界安全，本解決方案構(gòu)建一個安全的區(qū)域邊界提出的解決是在被保護的邊界部署一個“應(yīng)用系統(tǒng)”。該系統(tǒng)應(yīng)可以實現(xiàn)以下功能：層的和強制、防范 SQL 注入和跨站、抗 DoS/DDoS端口掃描、數(shù)據(jù)包過濾、網(wǎng)絡(luò)地址換、安全審計等。由于國內(nèi)外在這一方面的相關(guān)技術(shù)非常成熟，因此，在本次系統(tǒng)整改總體設(shè)計中的是考慮如何將、防網(wǎng)關(guān)、網(wǎng)絡(luò)安全審、IDS、IPS、網(wǎng)有機地結(jié)合在一起，實現(xiàn)協(xié)同防護和聯(lián)動處理。12系統(tǒng)等級保護安全方案XX此外，對于不同安全等級系統(tǒng)之間的互連邊界，可根據(jù)依照流向的高低，部署或安全

21、與交換系統(tǒng)，并配置相應(yīng)的安全策略以實現(xiàn)對流向的。n安全通信網(wǎng)絡(luò)目前，在通信網(wǎng)絡(luò)安全方面，采用等技術(shù)實現(xiàn)的各類都可以很有效的解決這類問題，達到在滿足等級保護相關(guān)要求的同時，可靈活提高通信網(wǎng)絡(luò)安全性的效果。4.3. 總體網(wǎng)絡(luò)架構(gòu)設(shè)計網(wǎng)絡(luò)架構(gòu)整體設(shè)計如下：XX4.4.劃分說明的劃分是網(wǎng)絡(luò)防護的基礎(chǔ)，事實上每一個安全邊界所包含的區(qū)域都形成了一個安全域。這些區(qū)域具有不同的使命，具有不同的功能，分域保護的框架為明確各個域的安全等級奠定了基礎(chǔ)，流在交換過程中的安全性。在本項目中，將嚴格按照系統(tǒng)的重要性和網(wǎng)絡(luò)使用的邏輯特性劃分，將劃分如下確定的：l互聯(lián)網(wǎng)出口域，該區(qū)域說明如下：l專網(wǎng)出口域，該區(qū)域說明如下：l

22、終端接入域，該區(qū)域說明如下：l對外服務(wù)器域，該區(qū)域說明如下：該內(nèi)主要承載對外提供服務(wù)的服務(wù)器等，門戶前端服務(wù)器。l內(nèi)部服務(wù)器域，該區(qū)域說明如下：l數(shù)據(jù)域，該區(qū)域說明如下：l安全管理域，該區(qū)域說明如下：13系統(tǒng)等級保護安全方案XX5. 詳細方案設(shè)計技術(shù)部分5.1. 物理安全根據(jù) GB/T25070-2010系統(tǒng)等級保護安全設(shè)計技術(shù)要求中物理安全的要求，應(yīng)從以下方面進行：5.2. 網(wǎng)絡(luò)安全5.2.1.邊界技術(shù)根據(jù)系統(tǒng)安全等級保護基本要求，應(yīng)該在 XX各的邊界處部署，保證跨的都通過進行管理。因此，在互聯(lián)網(wǎng)出口處、專網(wǎng)出口處和邊界部署下一代。規(guī)格設(shè)計：部署：下一代部署于互聯(lián)網(wǎng)出口，串行于網(wǎng)絡(luò)中。5.2

23、.2.防范技術(shù)根據(jù)等級保護基本要求，二級業(yè)務(wù)系統(tǒng)應(yīng)該在互聯(lián)網(wǎng)出口處實現(xiàn)防范功能，因此，在互聯(lián)網(wǎng)出口的下一代上啟用防御模塊非常有必要。規(guī)格設(shè)計：14名稱數(shù)量性能說明名稱數(shù)量性能說明下一代2系統(tǒng)等級保護安全方案XX部署：下一代部署于互聯(lián)網(wǎng)出口，串行于網(wǎng)絡(luò)中。5.2.3. 網(wǎng)絡(luò)防技術(shù)根據(jù)等級保護基本要求，二級業(yè)務(wù)系統(tǒng)應(yīng)該在互聯(lián)網(wǎng)出口處部署網(wǎng)絡(luò)層防，并保證與主機層防實現(xiàn)庫的異構(gòu)。因此，在互聯(lián)網(wǎng)出口的下一代上啟用防模塊非常有必要。規(guī)格設(shè)計：部署：下一代部署于互聯(lián)網(wǎng)出口，串行于網(wǎng)絡(luò)中。5.2.4. 網(wǎng)頁防篡改技術(shù)承載了 XX 等重要職責(zé)，在互聯(lián)網(wǎng)上，隨時會網(wǎng)頁被篡改及攻XX擊的，因此，在互聯(lián)網(wǎng)出口的下一代

24、上啟用網(wǎng)頁防篡改功能非常有必要。規(guī)格設(shè)計：15名稱數(shù)量性能說明名稱數(shù)量性能說明下一代網(wǎng)絡(luò)防模塊2下一代入侵防御模塊2系統(tǒng)等級保護安全方案XX部署：下一代部署于互聯(lián)網(wǎng)出口，串行于網(wǎng)絡(luò)中。5.2.5. 鏈路負載均衡技術(shù)根據(jù)等級保護基本要求，二級業(yè)務(wù)系統(tǒng)應(yīng)該在互聯(lián)網(wǎng)出口處進行優(yōu)化，保證用戶訪問選擇最優(yōu)的鏈路。因此，部署一套專業(yè)的鏈路負載均衡非常有必要。規(guī)格設(shè)計：部署：鏈路負載均衡部署于互聯(lián)網(wǎng)出口，串行于網(wǎng)絡(luò)中。5.2.6. 上網(wǎng)行為管理技術(shù)根據(jù)等級保護基本要求，所有用戶互聯(lián)網(wǎng)需要部署上網(wǎng)行為管理系統(tǒng)，并保存 3的日志。因此，必須部署一套上網(wǎng)行為管理系統(tǒng)實現(xiàn)對內(nèi)部用戶互聯(lián)網(wǎng)的欣慰進行、日志進行。規(guī)格設(shè)

25、計：16名稱數(shù)量性能說明名稱數(shù)量性能說明鏈路負載均衡2下一代網(wǎng)頁防篡改模塊2系統(tǒng)等級保護安全方案XX部署設(shè)計：日志審旁路部署在交換上，實現(xiàn)全網(wǎng)的網(wǎng)絡(luò)行為的統(tǒng)一審計，收集網(wǎng)絡(luò)、主機系統(tǒng)等的運行狀況、網(wǎng)絡(luò)流量、用戶行為等日志，并對收集到的日志進行和關(guān)聯(lián)分析，并可根據(jù)審計的操作要求生成統(tǒng)計報表，方便和生成報告，為網(wǎng)絡(luò)追溯提供證據(jù)。5.2.7. 網(wǎng)絡(luò)安全審計用戶業(yè)務(wù)系統(tǒng)帶給我們的困擾以及諸多的安全隱患，必須部署一套日志審計系統(tǒng)利用實時跟蹤分析技術(shù)，從發(fā)起者、時間、對象、使用頻率各個角度，提供豐富的統(tǒng)計分析報告，幫助用戶在統(tǒng)一管理互聯(lián)網(wǎng)日志的同時，及時發(fā)現(xiàn)安全隱患，協(xié)助優(yōu)化網(wǎng)絡(luò)資源的使用。根據(jù)等級保護基

26、本要求，所有系統(tǒng)都需要部署日志審，并保存 3的日志，XX擁有龐大的網(wǎng)絡(luò)海量的，目前還沒有部署日志審。因此，必須部署一套日志審對全網(wǎng)行為進行、日志進行。規(guī)格設(shè)計：部署設(shè)計：17名稱數(shù)量性能說明日志審1上網(wǎng)行為管理系統(tǒng)1系統(tǒng)等級保護安全方案XX日志審旁路部署在交換上，實現(xiàn)全網(wǎng)的網(wǎng)絡(luò)行為的統(tǒng)一審計，收集網(wǎng)絡(luò)、主機系統(tǒng)等的運行狀況、網(wǎng)絡(luò)流量、用戶行為等日志，并對收集到的日志進行和關(guān)聯(lián)分析，并可根據(jù)審計的操作要求生成統(tǒng)計報表，方便和生成報告，為網(wǎng)絡(luò)追溯提供證據(jù)。5.3. 主機安全5.3.1. 數(shù)據(jù)庫安全審計通過部署數(shù)據(jù)庫審，實現(xiàn)對用戶行為、用戶及系統(tǒng)狀態(tài)加以審計，范圍覆蓋到每個用戶，從而把握數(shù)據(jù)庫系統(tǒng)的

27、整體安全。規(guī)格設(shè)計：部署設(shè)計：數(shù)據(jù)庫審計部署于數(shù)據(jù)庫前端交換機上，通過端口鏡像收集。5.3.2. 運維堡壘主機對運維的管理現(xiàn)狀進行分析，我們認為造成這種不安全現(xiàn)狀的是多方面的，總結(jié)起來主要有以下幾點：n各 IT 系立的帳戶管理體系造成管理的換亂，而的唯一性又恰恰是認證、審計的依據(jù)和前提，因此的混亂實際上造成的混亂。n各 IT 系立管理，風(fēng)險分散在中，各個擊破大，這種管理方式造成了業(yè)務(wù)管理和安全之間的失衡。18名稱數(shù)量性能說明數(shù)據(jù)庫審計1系統(tǒng)等級保護安全方案XXn服務(wù)器或的物理安全和臨機安全通過門禁系統(tǒng)和錄像系統(tǒng)得以較解決，但是對他們的網(wǎng)絡(luò)缺少或欠缺力度，在帳號、認證、授權(quán)、審計等各方面缺乏有效

28、的集中管理技術(shù)。目前，XX使用數(shù)量眾多的網(wǎng)絡(luò)、服務(wù)器主機來提供基礎(chǔ)網(wǎng)絡(luò)服務(wù)、運行務(wù)、數(shù)據(jù)庫應(yīng)用、ERP 和協(xié)同工作群件等服務(wù)。由于和服務(wù)器眾多，系統(tǒng)管理員太大等因素，越權(quán)、誤操作、破壞等情況時有發(fā)生，這嚴重影響系統(tǒng)的運行效能，另外的也有可能獲取系統(tǒng)權(quán)限，闖入部門內(nèi)部網(wǎng)絡(luò)，造成不可估量的損失。如何提高系統(tǒng)運維管理水平，跟蹤服務(wù)器上用戶的操作行為，防止的和破壞，提供和審計依據(jù)，降低運維成本，滿足相關(guān)標準要求，越來越成為系統(tǒng)關(guān)心的問題，因此 XX非常有必要部署一套運維堡壘主機來實現(xiàn)賬戶的安全維護。規(guī)格設(shè)計：部署設(shè)計：運維審部署在安全管理域，通過交換機的策略限定只能由堡壘主機內(nèi)控管理平臺直接服務(wù)器的維

29、護端口。維護對網(wǎng)絡(luò)、和服務(wù)器系統(tǒng)進行維護時，首先以 Web 方式登錄運維審，然后通過運維審上展現(xiàn)的資源列表直接資源。5.3.3. 主機防技術(shù)5.3.4. 漏洞掃描XX網(wǎng)絡(luò)龐大、結(jié)構(gòu)復(fù)雜，部署的很多，由于不同部門用戶的計算機水平不同，19名稱數(shù)量性能說明運維審11U 機架式結(jié)構(gòu)型4 個 10/100/1000BASE 自適應(yīng)電口1 個可擴展插槽500G空間150 個主機/ 單電源系統(tǒng)等級保護安全方案XX大多的不知道對系統(tǒng)定期升級，維護也很難去網(wǎng)絡(luò)及漏洞需要升級，因此，部署一套漏洞掃描系統(tǒng)實時掃描整個網(wǎng)絡(luò)內(nèi)的漏洞非常有必要，對整個網(wǎng)絡(luò)的安全體系維護非常重要。規(guī)格設(shè)計：部署設(shè)計：在 XX安全管理部署

30、漏洞掃描，對整個網(wǎng)絡(luò)系統(tǒng)內(nèi)的定期進行漏洞掃描，檢查安全隱患。5.4. 應(yīng)用安全根據(jù)等級保護的要求，二級業(yè)務(wù)系統(tǒng)必須加密傳輸，因此需要部署 SSL技術(shù)實現(xiàn)應(yīng)用系統(tǒng)的加密。規(guī)格設(shè)計：20名稱數(shù)量性能說明SSL1名稱數(shù)量性能說明漏洞掃描系統(tǒng)11U 機架式結(jié)構(gòu)4 個 1000BASE-T 電口口，320G空間單電源單個任務(wù)可包含 64 個 C 類網(wǎng)段，最大并發(fā)掃描 40 個 IP 地址：默認 20 個最大并發(fā)掃描 75 個線程：默認 50 個最大5 個掃描任務(wù)并發(fā)：默認 3 個檢測漏洞數(shù)6000分布式部署中可以向上級服務(wù)器上傳掃描結(jié)果默認含：1 年規(guī)則庫、漏洞庫升級系統(tǒng)等級保護安全方案XX部署設(shè)計：S

31、SL旁路部署于交換機上。5.5. 安全管理中心隨著網(wǎng)絡(luò)安全意識的增強、網(wǎng)絡(luò)安全建設(shè)工作的推進，等級保護、分級保護和行業(yè)的信息安全管理等標準、規(guī)范的實施，越來越多的急需構(gòu)建管理平臺。鑒于其網(wǎng)絡(luò)規(guī)模、業(yè)務(wù)應(yīng)用和安全管理的實際情況，部分安全管理者發(fā)現(xiàn)與標準 SOC 平臺的高靈活性和擴展性相比，一款功能簡潔、部署方便、使用簡單、價格適宜的 SOC 平臺更能貼近其管理需求。根據(jù) XX系統(tǒng)的實際情況，我們認為有必要部署一套安全管理平臺來更好的管理整個網(wǎng)絡(luò)系統(tǒng)。規(guī)格：部署設(shè)計：安全管理中心部署在安全管理域，通過網(wǎng)絡(luò)協(xié)議收集來自服務(wù)器、網(wǎng)絡(luò)和的日志進行綜合分析，相關(guān)操作系統(tǒng)和數(shù)據(jù)庫的日志收集需要部署安全插件。

32、6. 詳細方案設(shè)計管理部分安全管理體系的作用是通過建立健全組織機構(gòu)、規(guī)章制度，以及通過安全管理、安全教育與培訓(xùn)和各項管理制度的有效執(zhí)行，來落實職責(zé)，確定行為規(guī)范，保證技術(shù)措施真正發(fā)揮效用，與技術(shù)體系共同保障安全策略的有效貫徹和落實。管理體系主要包括組織機構(gòu)、規(guī)章制度、安全、安全教育和培訓(xùn)等四個方面內(nèi)容。21名稱數(shù)量性能說明安全管理系統(tǒng)1含日志審計、管理、關(guān)聯(lián)分析、報表管理、監(jiān)視，含 key(Licence 介質(zhì)），可定制開發(fā)。200可管理，一個 License 對應(yīng) 1 個系統(tǒng)等級保護安全方案XX6.1. 總體安全方針與安全策略總體安全方針與安全策略是指導(dǎo)福建省財政廳所有工作的性文件，是安全決

33、策機構(gòu)對工作的決策和意圖的表述?？傮w安全方針與安全策略的作用在于統(tǒng)一對工作的認識，規(guī)定的基本架構(gòu)，明確的根本目標和原則。本次項目中深信服將協(xié)助福建省財政廳確定安全管理體系的層次及建立方式，明確各層次在安全管理體系中的職責(zé)以及安全策略，建立具有高可操作性的考核體系，以加強安全策略及各項管理制度的可落實性。我方為福建省財政廳設(shè)計的總體安全方針與安全策略將具備以下特性：n安全策略緊緊行業(yè)的發(fā)展戰(zhàn)略，符合福建省財政廳實際的需求，能保障與促進化建設(shè)的順利進行，避免理想化與不可操作性。n總體安全方針與安全策略中將明確闡述福建省財政廳所有化建設(shè)項目在規(guī)劃設(shè)計、開發(fā)建設(shè)、運行維護和變更廢棄等各階段，應(yīng)遵循的總

34、體原則和要求。n安全策略在經(jīng)過福建省財政廳決策機構(gòu)批準之后，將具備指導(dǎo)和規(guī)范的效力。n安全策略中將規(guī)定其自身的時效性，當(dāng)系統(tǒng)運行環(huán)境發(fā)生變化時，我方將22系統(tǒng)等級保護安全方案XX協(xié)助福建省財政廳及時對總體安全策略進行必要的調(diào)整，并將調(diào)整后的策略提交福建省財政廳決策機構(gòu)批準。6.2.管理制度根據(jù)安全管理制度的基本要求制定各類管理規(guī)定、管理辦法和暫行規(guī)定。從安全策略主文檔中規(guī)定的安全各個方面所應(yīng)遵守的原則和指導(dǎo)性策略引出的具體管理規(guī)定、管理辦法和實施辦法，是具有可操作性，且必須得到有效推行和實施的制度。制定嚴格的制定與發(fā)布流程，方式，范圍等，制度需要統(tǒng)一格式并進行有效版本；發(fā)布方式需要正式、有效并

35、注明發(fā)布范圍，對收進行登記。領(lǐng)導(dǎo)小組負責(zé)定期組織相關(guān)部門和相關(guān)對安全管理制度體系的合理性和適用性進行審定，定期或不定期對安全管理制度進行評審和修訂，修訂不足及進行改進。6.3. 安全管理機構(gòu)根據(jù)基本要求設(shè)置安全管理機構(gòu)的組織形式和方式，明確崗位職責(zé)；設(shè)置安全管理崗位，設(shè)立系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等崗位，根據(jù)要求進行配備，配備專職安全員；成立指導(dǎo)和管理工作的委員會或領(lǐng)導(dǎo)小組，其最高領(lǐng)導(dǎo)由主管領(lǐng)導(dǎo)委任或；制定文件明確安全管理機構(gòu)各個部門和崗位的職責(zé)、分工和技能要求。建立與審批制度；建立內(nèi)外部合作；定期進行全面安全檢查，特別是系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等。6.4.安全管理安全管理主要

36、錄用、離崗、考核、教育培訓(xùn)等內(nèi)容。都的人事管理部門員管理，這里的安全管理主要指對位進行的以的管理，例如對位的采取在錄用或上崗前進行全面、嚴格的安全審查和技能考核，與位簽署協(xié)議，對離崗撤銷系統(tǒng)帳戶和相關(guān)權(quán)限等措施。23系統(tǒng)等級保護安全方案XX只有注重對安全管理的培養(yǎng)，提高其安全防范意識，才能做到安全有效的防范，因此需要對各類進行安全意識教育、崗位技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn)。培訓(xùn)的內(nèi)容的方針、方面的基礎(chǔ)知識、安全技術(shù)、安全標準、崗位操作規(guī)程、最新的工作流程、相關(guān)的安全責(zé)任要求、法律責(zé)任和懲戒措施等。具體依據(jù)標準基本要求中安全管理，同時可以參照系統(tǒng)安全管理要求等。6.5. 系統(tǒng)建設(shè)管理系統(tǒng)建設(shè)管理的

37、重點是建設(shè)活動相關(guān)的過程管理，由于主要的建設(shè)活動是由服務(wù)方，如集成方、開發(fā)方、測評服務(wù)方等完成，運營使用的主要工作是對之進行管理，應(yīng)制定系統(tǒng)建設(shè)相關(guān)的管理制度，明確系統(tǒng)定級備案、方案設(shè)計、采購使用、開發(fā)、工程實施、驗收交付、等級測評、安全服務(wù)等活動的管理責(zé)任部門、具體的管理內(nèi)容和，并按照管理制度落實各項管理措施，完整保存相關(guān)的管理和過程文檔。具體依據(jù)標準基本要求建設(shè)管理。6.6. 系統(tǒng)運維管理1、環(huán)境和資產(chǎn)安全管理制度環(huán)境計算機、網(wǎng)絡(luò)機房環(huán)境以及設(shè)置有網(wǎng)絡(luò)終端的辦公環(huán)境，明確環(huán)境安全管理的責(zé)任部門或責(zé)任人，加強對出入、來訪的，對有關(guān)物理、物品進出和環(huán)境安全等方面作出規(guī)定。對重要區(qū)域設(shè)置門禁，或

38、使用等措施。資產(chǎn)介質(zhì)、設(shè)施、數(shù)據(jù)、文檔等，資產(chǎn)管理不等同于物資管理，而是從安全和系統(tǒng)角度對資產(chǎn)進行管理，將資產(chǎn)作為系統(tǒng)的組成部分，按其在系統(tǒng)中的作用進行管理。應(yīng)明確資產(chǎn)安全管理的責(zé)任部門或責(zé)任人，對資產(chǎn)進行、標識，編制與系統(tǒng)相關(guān)的資產(chǎn)、硬件資產(chǎn)等資產(chǎn)。具體依據(jù)標準基本要求運維管理，同時可以參照系統(tǒng)安全管理要求等。2、和介質(zhì)安全管理制度明確配套設(shè)施、軟硬件管理、維護的責(zé)任部門或責(zé)任人，對系統(tǒng)的各種軟硬件24系統(tǒng)等級保護安全方案XX采購、發(fā)放、領(lǐng)用、維護和維修等過程進行，對介質(zhì)的存放、使用、維護和銷毀等方面作出規(guī)定，加強對維修、敏感數(shù)據(jù)銷毀等過程的監(jiān)督。具體依據(jù)標準基本要求運維管理，同時可以參照系

39、統(tǒng)安全管理要求等。3、日常運行維護制度明確網(wǎng)絡(luò)、系統(tǒng)日常運行維護的責(zé)任部門或責(zé)任人，對運行管理中的日常操作、賬號管理、安全配置、日志管理、補丁升級、口令更新等過程進行和管理；制訂操作管理、業(yè)務(wù)應(yīng)用操作管理、變更和重用管理、交換管理相應(yīng)的管理制度；制定與系統(tǒng)安全管理相配套的規(guī)范和操作規(guī)程并落實執(zhí)行；正確實施為系統(tǒng)可靠運行而采取的各種檢測、審計、分析、備份及容錯等和措施，對運行安全進行監(jiān)督檢查。具體依據(jù)標準基本要求運維管理，同時可以參照系統(tǒng)安全管理要求等。4、集中安全管理制度第二級以上系統(tǒng)應(yīng)按照統(tǒng)一的安全策略、安全管理要求，統(tǒng)一管理系統(tǒng)的安全運行，進行安全機制的配置與管理，對安全配置、代碼、補丁升

40、級、安全審計等進行管理，對與安全有關(guān)的進行匯集與分析，對安全機制進行集中管理。具體依據(jù)標準基本要求運維管理，同時可以參照系統(tǒng)等級保護安全設(shè)計技術(shù)要求和系統(tǒng)安全管理要求等。處置與應(yīng)急響應(yīng)制度按照有關(guān)標準規(guī)定，確定的等級。結(jié)合系統(tǒng)安全保護等級，制定分級應(yīng)急處置預(yù)案，明確應(yīng)急處置策略，落實應(yīng)急指揮部門、執(zhí)行部門和技術(shù)支撐部門，建立應(yīng)急協(xié)調(diào)機制。落實安全報告制度，第二級以上系統(tǒng)發(fā)生較大、重大、特別安全時，運營使用按照相應(yīng)預(yù)案開展應(yīng)急處置，并及時向受理備案的報告。組織應(yīng)急技術(shù)支撐力量和隊伍，按照應(yīng)急預(yù)案定期組織開展應(yīng)急演練。具體依據(jù)標準基本要求運維管理，同時可以參照分級指南和管理指南等。6、備份制度要對

41、第二級以上系統(tǒng)采取備份措施，防止事故、發(fā)生。識別需要定期備份的重要業(yè)務(wù)、系統(tǒng)數(shù)據(jù)及系統(tǒng)等，制定數(shù)據(jù)的備份策略和恢復(fù)策略，建立備份與恢復(fù)管理相關(guān)的安全管理制度。25系統(tǒng)等級保護安全方案XX具體依據(jù)標準基本要求運維管理和系統(tǒng)恢復(fù)規(guī)范。7、安全監(jiān)測制度開展系統(tǒng)實時安全監(jiān)測，實現(xiàn)對物理環(huán)境、通信線路、主機、網(wǎng)絡(luò)、用戶行為和業(yè)務(wù)應(yīng)用等的監(jiān)測和，及時發(fā)現(xiàn)故障、誤用和誤操作等安全，以便及時對安全進行響應(yīng)與處置。具體依據(jù)標準基本要求運維管理。8、其他制度對系統(tǒng)運行維護過程中的其它活動，如系統(tǒng)變更、使用等進行和管理。按管理部門的規(guī)定，對系統(tǒng)中算法和密鑰的使用進行分級管理。6.7. 安全管理制度匯總制定安全檢查制

42、度，明確檢查的內(nèi)容、方式、要求等，檢查各項制度、措施的落實情況，并不斷完善。定期對系統(tǒng)安全狀況進行自查，第二級系統(tǒng)每兩年自查一次，第三級系統(tǒng)每年自查一次，第四級系統(tǒng)每半年自查一次。經(jīng)自查，系統(tǒng)安全狀況未達到安全保護等級要求的，應(yīng)當(dāng)進一步開展。具體依據(jù)標準基本要求中安全管理機構(gòu)，同時可以參照系統(tǒng)安全管理要求等。最終提交安全制度但不限于以：總體安全策略（組織、流程、策略、技術(shù)）崗位安全責(zé)任制度nn第安全管理制度n系統(tǒng)日常安全管理工作制度系統(tǒng)安全評估管理辦法機房建設(shè)運行標準安全區(qū)域劃分及管理規(guī)定nnnn管理區(qū)域制度n系統(tǒng)建設(shè)管理制度入網(wǎng)安全管理制度nn系統(tǒng)補丁管理制度n備份與恢復(fù)管理制度n26系統(tǒng)等

43、級保護安全方案XXn 賬號和口令及權(quán)限管理制度n 介質(zhì)管理n 加密技術(shù)使用管理辦法n 應(yīng)急預(yù)案管理制度n 安全報告和處置管理制度n 安全審計管理7. 咨詢服務(wù)和系統(tǒng)測評7.1. 系統(tǒng)定級服務(wù)協(xié)助用戶，依據(jù)系統(tǒng)安全等級保護定級指南，確定系統(tǒng)的安全保護等級，準備定級備案表和定級報告，協(xié)助用戶向所在地區(qū)的辦理備案手續(xù)。7.2. 風(fēng)險評估和安全加固服務(wù)通過漏洞掃描、配置核查和滲透測試等技術(shù)發(fā)現(xiàn)系統(tǒng)中的漏洞，這些漏洞不能由安全解決，只能有安全加固解決。7.2.1. 漏洞掃描利用業(yè)界領(lǐng)先的多種掃描工具檢查整個網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)的主機系統(tǒng)與數(shù)據(jù)庫系統(tǒng)的漏洞情況，并用人工對掃描結(jié)果進行誤報分析，結(jié)果整理。目標是發(fā)掘

44、網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)的安全漏洞，但不局限于：操作系統(tǒng)漏洞、網(wǎng)絡(luò)漏洞、中間件漏洞、數(shù)據(jù)庫漏洞、脆弱賬戶等，并提出漏洞修補建議7.2.2. 滲透測試模擬的真實對系統(tǒng)和網(wǎng)絡(luò)進行非破壞性質(zhì)的性測試，旨在發(fā)現(xiàn)目標系統(tǒng)這里，所有的滲透測試行為將在客戶的書面明確和監(jiān)督下進行。通過滲透測試全面檢測系統(tǒng)中的系統(tǒng)（）直接在互聯(lián)網(wǎng)上的安全隱患，并提供實際可行的27系統(tǒng)等級保護安全方案XX安全修復(fù)建議。7.2.3. 配置核查通過配置核查工具和安全人工檢查想結(jié)合的方式，逐項檢查系統(tǒng)的各項配置和運行狀態(tài)，評估對象應(yīng)各主機的操作系統(tǒng)、網(wǎng)絡(luò)和數(shù)據(jù)庫，并出具評估報告。7.2.4. 安全加固根據(jù)漏洞掃描、配置核查和滲透測試的結(jié)果，對用戶

45、提供安全加固建議（主機安全加固、網(wǎng)絡(luò)安全加固服務(wù)安全加固優(yōu)化服務(wù)、數(shù)據(jù)庫系統(tǒng)安全加固服務(wù)、管理制度完善），并對具體的安全加固提供指導(dǎo)咨詢。主機安全加固主要對用戶所有主機系統(tǒng)（含虛擬機）進行安全加固，內(nèi)容如下:n檢查主機系統(tǒng)的補丁管理；n賬號及口令策略；n網(wǎng)絡(luò)與服務(wù)n文件系統(tǒng)；n日志審核；n策略；n系統(tǒng)鉤子；n木馬、后門及 rookit；n安全性增強；網(wǎng)絡(luò)安全加固主要對用戶所涉及的網(wǎng)絡(luò)進行安全加固，內(nèi)容如下:n網(wǎng)絡(luò)的補丁管理及版本；n賬號及口令策略；n；n網(wǎng)絡(luò)與服務(wù)；n日志審核加固28系統(tǒng)等級保護安全方案XX是否配置最優(yōu)，實現(xiàn)其最優(yōu)功能和性能，保證網(wǎng)絡(luò)系統(tǒng)的正常運行、是否漏洞或后門、自身的保護機

46、制是否實現(xiàn)、檢查的補丁管理、賬號及口令策略、網(wǎng)絡(luò)與服務(wù)、日志審核，主要內(nèi)容如下：n關(guān)閉不必要系統(tǒng)服務(wù)n開啟系統(tǒng)各項審計功能n配置賬號、組策略n配置表相應(yīng)的n配置文件系統(tǒng)的權(quán)限n評估新補丁對操作系統(tǒng)及應(yīng)用系統(tǒng)的影響，在不正常使用的情況下，升級系統(tǒng)補丁n升級防的版本數(shù)據(jù)庫系統(tǒng)安全加固數(shù)據(jù)庫系統(tǒng)主要從系統(tǒng)版本、用戶賬號、口令管理、傳輸情況、文件系統(tǒng)、日志審核等方面進行安全加固，主要內(nèi)容如下：n數(shù)據(jù)庫組件安裝優(yōu)化n適度應(yīng)用數(shù)據(jù)庫補丁程序n數(shù)據(jù)庫服務(wù)運行權(quán)限n數(shù)據(jù)庫默認配置無用賬號n程序包權(quán)限設(shè)置n登錄認證方式設(shè)置n傳輸加密協(xié)議配置n設(shè)置客戶端連接 IP 限制策略n禁用 Extproc 功能n不必要的過

47、程n增強數(shù)據(jù)庫日志審計功能7.2.5. 安全管理制度編寫為用戶完成編寫管理制度，并保障該制度適合客戶方的需求，以及便于落地。具體制度詳細見詳細方案設(shè)計管理部分。29系統(tǒng)等級保護安全方案XX7.2.6. 安全培訓(xùn)根據(jù)用戶要求，除了提品方面培訓(xùn)，將著重定制化與日常工作相關(guān)的安全培訓(xùn),具體的培訓(xùn)內(nèi)容將根據(jù)客戶提出的要求具體執(zhí)行。7.3. 系統(tǒng)測評服務(wù)為用戶選擇滿家要求的測評機構(gòu)（在本省等包辦推薦目錄下且在本省備案的測評機構(gòu)），完成對用戶系統(tǒng)的等級保護測評。8. 項目預(yù)算與配置8.1. 項目預(yù)算30序號數(shù)量性能配置要求單價（萬元）小計1.120202.3.4.5.系統(tǒng)定級服務(wù)1具有16.風(fēng)險評估和安全加固服務(wù)1107.系統(tǒng)測評服務(wù)188.總價合計（大寫）：系統(tǒng)等級保護安全方案XX8.2. 利舊使用說明8.3. 新增詳細要求流量管理系統(tǒng)31流量管理系統(tǒng)功能要求部署模式支持網(wǎng)關(guān)、網(wǎng)橋、單臂、雙單 署模式，滿足不同網(wǎng)絡(luò)環(huán)境下 的順利上架。要求在單臂、雙單 署模式下同樣可實現(xiàn)流量管理功能，譬如對 P2P 流量進行封堵和限流，而非僅實現(xiàn)行為審計、內(nèi)容審計功能。支持單臂、雙單署模式下通過 W、CDP+PBR 等協(xié)議，當(dāng)因斷電、網(wǎng)口宕等情況實現(xiàn)自動切換維持業(yè)務(wù)可持續(xù)應(yīng)用識別內(nèi)置不少