XX學(xué)院等保(三級)設(shè)計(jì)方案

1、。XX市 XX學(xué)院等級保護(hù)（三級）建設(shè)方案2017年 1月。1。目錄一、工程概況4二、需求分析51、建設(shè)背景52、建設(shè)目標(biāo)6三、設(shè)計(jì)原則及依據(jù)71、設(shè)計(jì)原則72、設(shè)計(jì)依據(jù)8四、方案整體設(shè)計(jì)91、信息系統(tǒng)定級91、等級保護(hù)完全實(shí)施過程112、能力、措施和要求123、基本安全要求124、系統(tǒng)的控制類和控制項(xiàng)135、物理安全保護(hù)要求136、網(wǎng)絡(luò)安全保護(hù)要求147、主機(jī)安全保護(hù)要求158、應(yīng)用安全保護(hù)要求169、數(shù)據(jù)安全與備份恢復(fù)1710、安全管理制度1811、安全管理機(jī)構(gòu)1812、人員安全管理1913、系統(tǒng)建設(shè)管理1914、系統(tǒng)運(yùn)維管理202、等級保護(hù)建設(shè)流程212、網(wǎng)絡(luò)系統(tǒng)現(xiàn)狀分析221、網(wǎng)絡(luò)架構(gòu)

2、222、可能存在的風(fēng)險(xiǎn)233、等保三級對網(wǎng)絡(luò)的要求24。2。1、結(jié)構(gòu)安全242、訪問控制253、安全審計(jì)254、邊界完整性檢查265、入侵防范266、惡意代碼防范267、網(wǎng)絡(luò)設(shè)備防護(hù)264、現(xiàn)狀對比與整改方案271、 現(xiàn)狀對比272、控制點(diǎn)整改措施303、詳細(xì)整改方案324、設(shè)備部署方案34五、產(chǎn)品選型361、選型建議362、選型要求373、設(shè)備選型清單37六、公司介紹38。3。一、工程概況信息安全等級保護(hù)是對信息和信息載體按照重要性等級分級別進(jìn)行保護(hù)的一種工作，在中國、美國等很多國家都存在的一種信息安全領(lǐng)域的工作。 在中國，信息安全等級保護(hù)廣義上為涉及到該工作的標(biāo)準(zhǔn)、 產(chǎn)品、系統(tǒng)、信息等均依

3、據(jù)等級保護(hù)思想的安全工作XX市 XX 學(xué)院是 2008 年元月，經(jīng)自治區(qū)人民政府批準(zhǔn)，國家教育部備案的公辦全日制高等職業(yè)技術(shù)院校。 學(xué)院以高等職業(yè)教育為主， 同時(shí)兼有中等職業(yè)教育職能。學(xué)院開拓辦學(xué)思路，加大投入，改善辦學(xué)條件，拓寬就業(yè)渠道，內(nèi)引外聯(lián)，確立了面向社會、服務(wù)市場，重在培養(yǎng)學(xué)生的創(chuàng)新精神和實(shí)踐能力的辦學(xué)宗旨。學(xué)院本著讓學(xué)生既成才， 又成人的原則，優(yōu)化人才培養(yǎng)模式，狠抓教育教學(xué)質(zhì)量，增強(qiáng)學(xué)生實(shí)踐動手能力， 注重對學(xué)生加強(qiáng)德育和行為規(guī)范教育， 為企業(yè)和社會培養(yǎng)具有全面素質(zhì)和綜合職業(yè)能力的應(yīng)用型專門人才。學(xué)院雄厚的師資力量、先進(jìn)的教學(xué)設(shè)備、嚴(yán)格的日常管理、完善的文體設(shè)施、優(yōu)質(zhì)的后勤服務(wù)以及

4、寬敞潔凈的學(xué)生公寓和食堂， 為廣大師生提供了優(yōu)美、 舒適、理想的學(xué)習(xí)、生活和工作環(huán)境。信息系統(tǒng)安全等級測評是驗(yàn)證信息系統(tǒng)是否滿足相應(yīng)安全保護(hù)等級的評估過程。信息安全等級保護(hù)要求不同安全等級的信息系統(tǒng)應(yīng)具有不同的安全保護(hù)能力，一方面通過在安全技術(shù)和安全管理上選用與安全等級相適應(yīng)的安全控制來實(shí)現(xiàn)；另一方面分布在信息系統(tǒng)中的安全技術(shù)和安全管理上不同的安全控制， 通過連接、交互、依賴、協(xié)調(diào)、協(xié)同等相互關(guān)聯(lián)關(guān)系，共同作用于信息系統(tǒng)的安全功能，使信息系統(tǒng)的整體安全功能與信息系統(tǒng)的結(jié)構(gòu)以及安全控制間、 層面間和區(qū)域間的相互關(guān)聯(lián)關(guān)系密切相關(guān)。 因此，信息系統(tǒng)安全等級測評在安全控制測評的基礎(chǔ)上，還要包括系統(tǒng)整體

5、測評。4。二、需求分析為了保障國家關(guān)鍵基礎(chǔ)設(shè)施和信息的安全，結(jié)合我國的基本國情， 制定了等級保護(hù)制度。并將等級保護(hù)制度作為國家信息安全保障工作的基本制度、基本國策，促進(jìn)信息化、維護(hù)國家信息安全的根本保障。1、建設(shè)背景隨著我國學(xué)校信息化建設(shè)的逐步深入， 學(xué)校教務(wù)工作對信息系統(tǒng)依賴的程度越來越高，教育信息化建設(shè)中大量的信息資源， 成為學(xué)校成熟的業(yè)務(wù)展示和應(yīng)用平臺，在未來的教育信息化規(guī)劃中占有非常重要的地位。 從安全性上分析， 高校業(yè)務(wù)應(yīng)用和網(wǎng)絡(luò)系統(tǒng)日益復(fù)雜， 外部攻擊、 內(nèi)部資源濫用、 木馬和病毒等不安全因素越來越顯著，信息化安全是業(yè)務(wù)應(yīng)用發(fā)展需要關(guān)注的核心和重點(diǎn)。為貫徹落實(shí)國家信息安全等級保護(hù)制

6、度， 規(guī)范和指導(dǎo)全國教育信息安全等級保護(hù)工作，國家教委教辦廳函 200980 文件發(fā)出 “關(guān)于開展信息系統(tǒng)安全等級保護(hù)工作的通知 ”；教育部教育管理信息中心發(fā)布教育信息系統(tǒng)安全等級保護(hù)工作方案；教育部辦公廳印發(fā)關(guān)于開展教育系統(tǒng)信息安全等級保護(hù)工作專項(xiàng)檢查的通知（教辦廳函 2010 80 號）。XX市 XX學(xué)院的網(wǎng)絡(luò)系統(tǒng)在近幾年逐步完善，作為一個(gè)現(xiàn)代化的教學(xué)機(jī)構(gòu)網(wǎng)絡(luò) , 除了要滿足高效的內(nèi)部自動化辦公需求以外 , 還應(yīng)對外界的通訊保證暢通。 結(jié)合學(xué)校的“校務(wù)管理”、“教學(xué)科研”、“招生就業(yè)”、“綜合服務(wù)” 等業(yè)務(wù)信息平臺，要求網(wǎng)絡(luò)必須能夠滿足數(shù)據(jù)、 語音、圖像等綜合業(yè)務(wù)的傳輸要求， 所以在這樣的

7、網(wǎng)絡(luò)上應(yīng)運(yùn)用多種設(shè)備和先進(jìn)技術(shù)來保證系統(tǒng)的正常運(yùn)作和穩(wěn)定的效率。 同時(shí)學(xué)校的網(wǎng)絡(luò)系統(tǒng)中內(nèi)部及外部的訪問量巨大， 訪問人員比較復(fù)雜， 所以如何保證學(xué)校網(wǎng)絡(luò)系統(tǒng)中的數(shù)據(jù)安全問題尤為重要。 在日新月異的現(xiàn)代化社會進(jìn)程中， 計(jì)算機(jī)網(wǎng)絡(luò)幾乎延伸到了世界每一個(gè)角落， 它不停的改變著我們的工作生活方式和思維方式，但是，計(jì)算機(jī)信息網(wǎng)絡(luò)安全的脆弱性和易受攻擊性是不容忽視的。 由于網(wǎng)絡(luò)設(shè)備、計(jì)算機(jī)操作系統(tǒng)、 網(wǎng)絡(luò)協(xié)議等安全技術(shù)上的漏洞和管理體制上的不嚴(yán)密，都會使計(jì)算機(jī)網(wǎng)絡(luò)受到威脅。5。2、建設(shè)目標(biāo)本次 XX市 XX學(xué)院業(yè)務(wù)系統(tǒng)等級保護(hù)安全建設(shè)的主要目標(biāo)是：按照等級保護(hù)要求， 結(jié)合實(shí)際業(yè)務(wù)系統(tǒng)， 對學(xué)院核心業(yè)務(wù)系統(tǒng)

8、進(jìn)行充分調(diào)研及詳細(xì)分析，將學(xué)院核心業(yè)務(wù)系統(tǒng)系統(tǒng)建設(shè)成為一個(gè)及滿足業(yè)務(wù)需要， 又符合等級保護(hù)三級系統(tǒng)要求的業(yè)務(wù)平臺。建設(shè)一套符合國家政策要求、 覆蓋全面、重點(diǎn)突出、 持續(xù)運(yùn)行的信息安全保障體系，達(dá)到國內(nèi)一流的信息安全保障水平， 支撐和保障信息系統(tǒng)和業(yè)務(wù)的安全穩(wěn)定運(yùn)行。該體系覆蓋信息系統(tǒng)安全所要求的各項(xiàng)內(nèi)容， 符合信息系統(tǒng)的業(yè)務(wù)特性和發(fā)展戰(zhàn)略，滿足學(xué)院信息安全要求。本方案的安全措施框架是依據(jù)“積極防御、綜合防范”的方針，以及“管理與技術(shù)并重”的原則，并結(jié)合等級保護(hù)基本要求進(jìn)行設(shè)計(jì)。技術(shù)體系：網(wǎng)絡(luò)層面：關(guān)注安全域劃分、訪問控制、抗拒絕服務(wù)攻擊，針對區(qū)域邊界采取防火墻進(jìn)行隔離， 并在隔離后的各個(gè)安全區(qū)

9、域邊界執(zhí)行嚴(yán)格的訪問控制，防止非法訪問；利用漏洞管理系統(tǒng)、網(wǎng)絡(luò)安全審計(jì)等網(wǎng)絡(luò)安全產(chǎn)品， 為客戶構(gòu)建嚴(yán)密、專業(yè)的網(wǎng)絡(luò)安全保障體系。應(yīng)用層面： WEB應(yīng)用防火墻能夠?qū)EB應(yīng)用漏洞進(jìn)行預(yù)先掃描，同時(shí)具備對SQL注入、跨站腳本等通過應(yīng)用層的入侵動作實(shí)時(shí)阻斷，并結(jié)合網(wǎng)頁防篡改子系統(tǒng)，真正達(dá)到雙重層面的“網(wǎng)頁防篡改”效果。數(shù)據(jù)層面，數(shù)據(jù)庫將被隱藏在安全區(qū)域， 同時(shí)通過專業(yè)的安全加固服務(wù)對數(shù)據(jù)庫進(jìn)行安全評估和配置， 對數(shù)據(jù)庫的訪問權(quán)限進(jìn)行嚴(yán)格設(shè)定， 最大限度保證數(shù)據(jù)庫安全。同時(shí)，利用 SAN、遠(yuǎn)程數(shù)據(jù)備份系統(tǒng)有效保護(hù)重要數(shù)據(jù)信息的健康度。管理體系：在安全管理體系的設(shè)計(jì)中， 我們借助豐富的安全咨詢經(jīng)驗(yàn)和對等

10、級保護(hù)管理要求的清晰理解，為用戶量身定做符合實(shí)際的、可操作的安全管理體系。安全服務(wù)體系：風(fēng)險(xiǎn)評估服務(wù)： 評估和分析在網(wǎng)絡(luò)上存在的安全技術(shù)分析，分析業(yè)務(wù)運(yùn)作和管理方面存在的安全缺陷， 調(diào)查系統(tǒng)現(xiàn)有的安全控制措施，評價(jià)用戶的業(yè)務(wù)安全。6。風(fēng)險(xiǎn)承擔(dān)能力；安全監(jiān)控服務(wù)： 通過資深的安全專家對各種安全事件的日志、記錄實(shí)時(shí)監(jiān)控與分析，發(fā)現(xiàn)各種潛在的危險(xiǎn)，并提供及時(shí)的修補(bǔ)和防御措施建議；滲透測試服務(wù)： 利用網(wǎng)絡(luò)安全掃描器、 專用安全測試工具和專業(yè)的安全工程師的人工經(jīng)驗(yàn)對網(wǎng)絡(luò)中的核心服務(wù)器及重要的網(wǎng)絡(luò)設(shè)備進(jìn)行非破壞性質(zhì)的模擬黑客攻擊，目的是侵入系統(tǒng)并獲取機(jī)密信息并將入侵的過程和細(xì)節(jié)產(chǎn)生報(bào)告給用戶；應(yīng)急響應(yīng)服務(wù)

11、：針對信息系統(tǒng)危機(jī)狀況的緊急響應(yīng)、 分析、解決問題的服務(wù)，當(dāng)信息系統(tǒng)發(fā)生意外的突發(fā)安全事件時(shí)，可以提供緊急的救援措施。方案收益實(shí)施信息安全等級保護(hù)建設(shè)工作可以為高校信息化建設(shè)實(shí)現(xiàn)如下收益：有利于提高信息和信息系統(tǒng)安全建設(shè)的整體水平；有利于在信息化建設(shè)過程中同步建設(shè)信息安全設(shè)施，保障信息安全與信息化建設(shè)協(xié)調(diào)發(fā)展；有利于為信息系統(tǒng)安全建設(shè)和管理提供系統(tǒng)性、針對性、可行性的指導(dǎo)和服務(wù)，有效控制信息安全建設(shè)成本；有利于優(yōu)化信息安全資源的配置，對信息系統(tǒng)分級實(shí)施保護(hù)，重點(diǎn)保障重要信息系統(tǒng)的安全；有利于明確信息安全責(zé)任，加強(qiáng)信息安全管理；有利于推動信息安全的發(fā)展三、設(shè)計(jì)原則及依據(jù)1、設(shè)計(jì)原則根據(jù)學(xué)院的要求

12、和國家有關(guān)法規(guī)的要求，本系統(tǒng)方案設(shè)計(jì)遵循性能先進(jìn)、質(zhì)量可靠、經(jīng)濟(jì)實(shí)用的原則，為實(shí)現(xiàn)學(xué)院等級保護(hù)管理奠定了基礎(chǔ)。全面保障：信息安全風(fēng)險(xiǎn)的控制需要多角度、多層次，從各個(gè)環(huán)節(jié)入手， 全面的保障。7。整體規(guī)劃，分步實(shí)施：對信息安全建設(shè)進(jìn)行整體規(guī)劃，分步實(shí)施，逐步建立完善的信息安全體系。同步規(guī)劃、同步建設(shè)、同步運(yùn)行：安全建設(shè)應(yīng)與業(yè)務(wù)系統(tǒng)同步規(guī)劃、 同步建設(shè)、 同步運(yùn)行，在任何一個(gè)環(huán)節(jié)的疏忽都可能給業(yè)務(wù)系統(tǒng)帶來危害。適度安全：沒有絕對的安全， 安全和易用性是矛盾的， 需要做到適度安全， 找到安全和易用性的平衡點(diǎn)。內(nèi)外并重：安全工作需要做到內(nèi)外并重， 在防范外部威脅的同時(shí)， 加強(qiáng)規(guī)范內(nèi)部人員行為和訪問控制、

13、監(jiān)控和審計(jì)能力。標(biāo)準(zhǔn)化管理要規(guī)范化、 標(biāo)準(zhǔn)化，以保證在能源行業(yè)龐大而多層次的組織體系中有效的控制風(fēng)險(xiǎn)。技術(shù)與管理并重：網(wǎng)絡(luò)與信息安全不是單純的技術(shù)問題，需要在采用安全技術(shù)和產(chǎn)品的同時(shí)，重視安全管理， 不斷完善各類安全管理規(guī)章制度和操作規(guī)程， 全面提高安全管理水平。2、設(shè)計(jì)依據(jù)根據(jù)學(xué)院現(xiàn)有情況，本次方案的設(shè)計(jì)嚴(yán)格按照現(xiàn)行中華人民共和國以及內(nèi)蒙古自治區(qū)與行業(yè)的工程建設(shè)標(biāo)準(zhǔn)、規(guī)范的要求執(zhí)行。在后期設(shè)計(jì)或?qū)嵤┻^程中，如國家有新法規(guī)、 規(guī)范頒布，應(yīng)以新頒布的法規(guī)規(guī)范為準(zhǔn)。本方案執(zhí)行下列有關(guān)技術(shù)標(biāo)準(zhǔn)、規(guī)范、規(guī)程但不限于以下技術(shù)標(biāo)準(zhǔn)、規(guī)范、規(guī)程。計(jì)算機(jī)信息系統(tǒng)安全等級保護(hù)劃分準(zhǔn)則（GB 17859-1999

14、）信息系統(tǒng)安全等級保護(hù)實(shí)施指南（ GB/T 25058-2010）信息系統(tǒng)安全保護(hù)等級定級指南（ GB/T 22240-2008）信息系統(tǒng)安全等級保護(hù)基本要求（ GB/T 22239-2008）信息系統(tǒng)通用安全技術(shù)要求（GB/T 20271-2006 ）。8。信息系統(tǒng)等級保護(hù)安全設(shè)計(jì)技術(shù)要求（GB/T 25070-2010 ）信息系統(tǒng)安全等級保護(hù)測評要求（ GB/T 28448-2012）信息系統(tǒng)安全等級保護(hù)測評過程指南（GB/T 28449-2012 ）信息系統(tǒng)安全管理要求（GB/T 20269-2006 ）信息系統(tǒng)安全工程管理要求（GB/T 20282-2006 ）信息系統(tǒng)物理安全技術(shù)要求

15、（GB/T 21052-2007 ）網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求（GB/T 20270-2006 ）信息系統(tǒng)通用安全技術(shù)要求（GB/T 20271-2006 ）操作系統(tǒng)安全技術(shù)要求（GB/T 20272-2006 ）數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求（GB/T 20273-2006 ）信息安全風(fēng)險(xiǎn)評估規(guī)范（GB/T 20984-2007 ）信息安全事件管理指南（GB/T 20985-2007 ）信息安全事件分類分級指南（GB/Z 20986-2007 ）信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范（GB/T 20988-2007 ）四、方案整體設(shè)計(jì)1、信息系統(tǒng)定級確定信息系統(tǒng)安全保護(hù)等級的流程如下：識別單位基本信息了解單位基本信息有

16、助于判斷單位的職能特點(diǎn)， 單位所在行業(yè)及單位在行業(yè)所處的地位和所用，由此判斷單位主要信息系統(tǒng)的宏觀定位。識別業(yè)務(wù)種類、流程和服務(wù)應(yīng)重點(diǎn)了解定級對象信息系統(tǒng)中不同業(yè)務(wù)系統(tǒng)提供的服務(wù)在影響履行單位職能方面具體方式和程度， 影響的區(qū)域范圍、 用戶人數(shù)、 業(yè)務(wù)量的具體數(shù)據(jù)以及對本單位以外機(jī)構(gòu)或個(gè)人的影響等方面。 這些具體數(shù)據(jù)即可以為主管部門制定定級指導(dǎo)意見提供參照，也可以作為主管部門審批定級結(jié)果的重要依據(jù)。識別信息調(diào)查了解定級對象信息系統(tǒng)所處理的信息，了解單位對信息的三個(gè)安全屬性。9。的需求，了解不同業(yè)務(wù)數(shù)據(jù)在其保密性、完整性和可用性被破壞后在單位職能、單位資金、單位信譽(yù)、人身安全等方面可能對國家、社

17、會、本單位造成的影響，對影響程度的描述應(yīng)盡可能量化。識別網(wǎng)絡(luò)結(jié)構(gòu)和邊界調(diào)查了解定級對象信息系統(tǒng)所在單位的整體網(wǎng)絡(luò)狀況、 安全防護(hù)和外部連接情況，目的是了解信息系統(tǒng)所處的單位內(nèi)部網(wǎng)絡(luò)環(huán)境和外部環(huán)境特點(diǎn)， 以及該信息系統(tǒng)的網(wǎng)絡(luò)安全保護(hù)與單位內(nèi)部網(wǎng)絡(luò)環(huán)境的安全保護(hù)的關(guān)系。識別主要的軟硬件設(shè)備調(diào)查了解與定級對象信息系統(tǒng)相關(guān)的服務(wù)器、 網(wǎng)絡(luò)、終端、存儲設(shè)備以及安全設(shè)備等，設(shè)備所在網(wǎng)段， 在系統(tǒng)中的功能和作用。 調(diào)查設(shè)備的位置和作用主要就是發(fā)現(xiàn)不同信息系統(tǒng)在設(shè)備使用方面的共用程度。識別用戶類型和分布調(diào)查了解各系統(tǒng)的管理用戶和一般用戶， 內(nèi)部用戶和外部用戶， 本地用戶和遠(yuǎn)程用戶等類型， 了解用戶或用戶群的數(shù)

18、量分布， 判斷系統(tǒng)服務(wù)中斷或系統(tǒng)信息被破壞可能影響的范圍和程度。根據(jù)信息安全等級矩陣表，形成定級結(jié)果。10。1、等級保護(hù)完全實(shí)施過程。11。2、能力、措施和要求3、基本安全要求。12。4、系統(tǒng)的控制類和控制項(xiàng)5、物理安全保護(hù)要求物理安全主要涉及的方面包括環(huán)境安全（防火、防水、防雷擊等）設(shè)備和介質(zhì)的防盜竊防破壞等方面。物理安全具體包括以下10 個(gè)控制點(diǎn)：物理位置的選擇（ G）物理訪問控制（ G）防盜竊和防破壞（ G）防雷擊（ G)防火（ G）防水和防潮（ G）防靜電（ G）溫濕度控制（ G）電力供應(yīng)（ A）電磁防護(hù)（ S）整改要點(diǎn)：。13。6、網(wǎng)絡(luò)安全保護(hù)要求網(wǎng)絡(luò)安全主要關(guān)注的方面包括：網(wǎng)絡(luò)結(jié)構(gòu)

19、、網(wǎng)絡(luò)邊界以及網(wǎng)絡(luò)設(shè)備自身安全等。網(wǎng)絡(luò)安全具體包括以下7 個(gè)控制點(diǎn)：結(jié)構(gòu)安全 (G)訪問控制 (G)安全審計(jì) (G)邊界完整性檢查 (A)入侵防范 (G)惡意代碼防范 (G)網(wǎng)絡(luò)設(shè)備防護(hù) (G) 。整改要點(diǎn)：。14。7、主機(jī)安全保護(hù)要求主機(jī)系統(tǒng)安全是包括服務(wù)器、終端/ 工作站等在內(nèi)的計(jì)算機(jī)設(shè)備在操作系統(tǒng)及數(shù)據(jù)庫系統(tǒng)層面的安全。主機(jī)安全具體包括以下7 個(gè)控制點(diǎn)：身份鑒別 (S)訪問控制 (S)安全審計(jì) (G)剩余信息保護(hù) (S)入侵防范 (G)惡意代碼防范 (G)資源控制 (A)整改要點(diǎn)：。15。8、應(yīng)用安全保護(hù)要求應(yīng)用系統(tǒng)的安全就是保護(hù)系統(tǒng)的各種應(yīng)用程序安全運(yùn)行。包括基本應(yīng)用，如：消息發(fā)送、

20、web瀏覽等；業(yè)務(wù)應(yīng)用，如：電子商務(wù)、電子政務(wù)等。應(yīng)用安全具體包括以下9 個(gè)控制點(diǎn)：身份鑒別（ S）訪問控制（ S）安全審計(jì)（ G）剩余信息保護(hù)（ S）通信完整性（ S）通信保密性（ S）抗抵賴（ G）軟件容錯(cuò)（ A）資源控制（ A）整改要點(diǎn)：。16。9、數(shù)據(jù)安全與備份恢復(fù)數(shù)據(jù)安全主要是保護(hù)用戶數(shù)據(jù)、系統(tǒng)數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)的保護(hù)。 將對數(shù)據(jù)造成的損害降至最小。備份恢復(fù)也是防止數(shù)據(jù)被破壞后無法恢復(fù)的重要手段，主要包括數(shù)據(jù)備份、硬件冗余和異地實(shí)時(shí)備份。數(shù)據(jù)安全和備份恢復(fù)具體包括以下3 個(gè)控制點(diǎn)：數(shù)據(jù)完整性（ S）數(shù)據(jù)保密性（ S）、備份和恢復(fù)（ A）整改要點(diǎn)：。17。10、安全管理制度安全管理制度包括

21、信息安全工作的總體方針、策略、規(guī)范各種安全管理活動的管理制度以及管理人員或操作人員日常操作的操作規(guī)程。安全管理制度具體包括以下3 個(gè)控制點(diǎn)：管理制度制定和發(fā)布評審和修訂整改要點(diǎn)：形成信息安全管理制度體系、統(tǒng)一發(fā)布、定期修訂等11、安全管理機(jī)構(gòu)安全管理機(jī)構(gòu)主要是在單位的內(nèi)部結(jié)構(gòu)上建立一整套從單位最高管理層（董事會）到執(zhí)行管理層以及業(yè)務(wù)運(yùn)營層的管理結(jié)構(gòu)來約束和保證各項(xiàng)安全管理措施的執(zhí)行。安全管理機(jī)構(gòu)具體包括以下5 個(gè)控制點(diǎn)：崗位設(shè)置人員配備授權(quán)和審批溝通和合作審核和檢查。18。整改要點(diǎn)：信息安全領(lǐng)導(dǎo)小組與職能部門、 專職安全員、 定期全面安全檢查、 定期協(xié)調(diào)會議、外部溝通與合作等12、人員安全管理

22、對人員安全的管理，主要涉及兩方面： 對內(nèi)部人員的安全管理和對外部人員的安全管理。人員安全管理具體包括以下5 個(gè)控制點(diǎn)：人員錄用人員離崗人員考核安全意識教育及培訓(xùn)外部人員訪問管理整改要點(diǎn)：全員保密協(xié)議、 關(guān)鍵崗位人員管理、 針對不同崗位的培訓(xùn)計(jì)劃、 外部人員訪問管理13、系統(tǒng)建設(shè)管理系統(tǒng)建設(shè)管理分別從定級、設(shè)計(jì)建設(shè)實(shí)施、驗(yàn)收交付、測評等方面考慮，關(guān)注各項(xiàng)安全管理活動。系統(tǒng)建設(shè)管理具體包括以下11 個(gè)控制點(diǎn)：系統(tǒng)定級安全方案設(shè)計(jì)產(chǎn)品采購和使用自行軟件開發(fā)外包軟件開發(fā)工程實(shí)施測試驗(yàn)收系統(tǒng)交付。19。系統(tǒng)備案等級測評安全服務(wù)商選擇整改要點(diǎn)：系統(tǒng)定級的論證、總體規(guī)劃、產(chǎn)品選型測試、開發(fā)過程的人員控制、工

23、程實(shí)施制度化、第三方委托測試、運(yùn)行起30 天內(nèi)備案、每年進(jìn)行1 次等級測評、安全服務(wù)商的選擇14、系統(tǒng)運(yùn)維管理系統(tǒng)運(yùn)維管理涉及日常管理、變更管理、制度化管理、安全事件處置、應(yīng)急預(yù)案管理和安管中心等。系統(tǒng)運(yùn)維管理具體包括以下13 個(gè)控制點(diǎn)：環(huán)境管理資產(chǎn)管理介質(zhì)管理設(shè)備管理、監(jiān)控管理和安全管理中心網(wǎng)絡(luò)安全管理系統(tǒng)安全管理惡意代碼防范管理密碼管理變更管理備份與恢復(fù)管理安全事件處置應(yīng)急預(yù)案管理整改要點(diǎn)：辦公環(huán)境保密性、資產(chǎn)的標(biāo)識和分類管理、介質(zhì)/設(shè)備/系統(tǒng)/ 網(wǎng)絡(luò)/ 密碼/備份與恢復(fù)的制度化管理、建 立安全管 理中心、安全事件 分類分級響應(yīng)、應(yīng)急預(yù)案的演練和審查。20。本次等保三級方案主要針對學(xué)院現(xiàn)有

24、的網(wǎng)絡(luò)系統(tǒng)進(jìn)行設(shè)計(jì)。2、等級保護(hù)建設(shè)流程整體的安全保障體系包括技術(shù)和管理兩大部分， 其中技術(shù)部分根據(jù) 信息系統(tǒng)安全等級保護(hù)基本要求分為物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全五個(gè)方面進(jìn)行建設(shè)；而管理部分根據(jù)信息系統(tǒng)安全等級保護(hù)基本要求則分為安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理五個(gè)方面。整個(gè)安全保障體系各部分既有機(jī)結(jié)合， 又相互支撐。之間的關(guān)系可以理解為“構(gòu)建安全管理機(jī)構(gòu)， 制定完善的安全管理制度及安全策略， 由相關(guān)人員， 利用技術(shù)工手段及相關(guān)工具，進(jìn)行系統(tǒng)建設(shè)和運(yùn)行維護(hù)。 ”據(jù)等級化安全保障體系的設(shè)計(jì)思路， 等級保護(hù)的設(shè)計(jì)與實(shí)施通過以下步驟進(jìn)行：1. 系

25、統(tǒng)識別與定級：確定保護(hù)對象，通過分析系統(tǒng)所屬類型、所屬信息類別、服務(wù)范圍以及業(yè)務(wù)對系統(tǒng)的依賴程度確定系統(tǒng)的等級。通過此步驟充分了解系統(tǒng)狀況，包括系統(tǒng)業(yè)務(wù)流程和功能模塊，以及確定系統(tǒng)的等級，為下一步安全域設(shè)計(jì)、安全保障體系框架設(shè)計(jì)、安全要求選擇以及安全措施選擇提供依據(jù)。2. 安全域設(shè)計(jì)：根據(jù)第一步的結(jié)果，通過分析系統(tǒng)業(yè)務(wù)流程、功能模塊，根據(jù)安全域劃分原則設(shè)計(jì)系統(tǒng)安全域架構(gòu)。 通過安全域設(shè)計(jì)將系統(tǒng)分解為多個(gè)層次，為下一步安全保障體系框架設(shè)計(jì)提供基礎(chǔ)框架。3. 確定安全域安全要求：參照國家相關(guān)等級保護(hù)安全要求，設(shè)計(jì)不同安全域的安全要求。 通過安全域適用安全等級選擇方法確定系統(tǒng)各區(qū)域等級，明確各安全域

26、所需采用的安全指標(biāo)。4. 評估現(xiàn)狀：根據(jù)各等級的安全要求確定各等級的評估內(nèi)容，根據(jù)國家相關(guān)風(fēng)險(xiǎn)評估方法，對系統(tǒng)各層次安全域進(jìn)行有針對性的等級風(fēng)險(xiǎn)評估。并找出系統(tǒng)安全現(xiàn)狀與等級要求的差距， 形成完整準(zhǔn)確的按需防御的安全需求。通過等級風(fēng)險(xiǎn)評估，可以明確各層次安全域相應(yīng)等級的安全差距，為下一步安全技術(shù)解決方案設(shè)計(jì)和安全管理建設(shè)提供依據(jù)。21。5. 安全保障體系方案設(shè)計(jì)：根據(jù)安全域框架，設(shè)計(jì)系統(tǒng)各個(gè)層次的安全保障體系框架以及具體方案。包括：各層次的安全保障體系框架形成系統(tǒng)整體的安全保障體系框架；詳細(xì)安全技術(shù)設(shè)計(jì)、安全管理設(shè)計(jì)。6. 安全建設(shè)：根據(jù)方案設(shè)計(jì)內(nèi)容逐步進(jìn)行安全建設(shè)，滿足方案設(shè)計(jì)做要符合的安全

27、需求，滿足等級保護(hù)相應(yīng)等級的基本要求，實(shí)現(xiàn)按需防御。7. 持續(xù)安全運(yùn)維：通過安全預(yù)警、安全監(jiān)控、安全加固、安全審計(jì)、應(yīng)急響應(yīng)等，從事前、事中、事后三個(gè)方面進(jìn)行安全運(yùn)行維護(hù)，確保系統(tǒng)的持續(xù)安全，滿足持續(xù)性按需防御的安全需求。通過如上步驟， 系統(tǒng)可以形成整體的等級化的安全保障體系， 同時(shí)根據(jù)安全技術(shù)建設(shè)和安全管理建設(shè)， 保障系統(tǒng)整體的安全。 而應(yīng)該特別注意的是： 等級保護(hù)不是一個(gè)項(xiàng)目， 它應(yīng)該是一個(gè)不斷循環(huán)的過程， 所以通過整個(gè)安全項(xiàng)目、 安全服務(wù)的實(shí)施，來保證用戶等級保護(hù)的建設(shè)能夠持續(xù)的運(yùn)行， 能夠使整個(gè)系統(tǒng)隨著環(huán)境的變化達(dá)到持續(xù)的安全。2、網(wǎng)絡(luò)系統(tǒng)現(xiàn)狀分析XX市 XX學(xué)院在 2013 年正式搬

28、遷到職教園區(qū)內(nèi)， 同時(shí)新建了整套校園網(wǎng)絡(luò)，后期又經(jīng)過陸陸續(xù)續(xù)的升級和改造，現(xiàn)已建成如下情況。1、網(wǎng)絡(luò)架構(gòu)拓?fù)鋱D1、內(nèi)部數(shù)據(jù)交換如上拓?fù)鋱D所示， 學(xué)院有無線和有線兩套網(wǎng)絡(luò)提供使用，整網(wǎng)采用縱向三層設(shè)計(jì)，分別是核心層、匯聚層和接入層。教學(xué)和辦公網(wǎng)使用單獨(dú)的核心交換機(jī)S12006 上聯(lián)至數(shù)據(jù)中心核心交換機(jī)N18010，避免了在接入?yún)^(qū)域和宿舍樓數(shù)據(jù)的混合。22。2、網(wǎng)絡(luò)出口整網(wǎng)有兩條互聯(lián)網(wǎng)出口鏈路， 無線用戶和有線用戶各使用一條鏈路，每條鏈路各采用獨(dú)立的一臺出口網(wǎng)關(guān)進(jìn)行轉(zhuǎn)發(fā)。3、網(wǎng)絡(luò)安全安全設(shè)計(jì)分為對外部數(shù)據(jù)的安全保障和對本地內(nèi)部數(shù)據(jù)的安全保障，現(xiàn)有一臺防火墻部署在出口網(wǎng)關(guān)與核心交換機(jī)之間，保障了對外

29、部有害數(shù)據(jù)的防范。內(nèi)部服務(wù)器區(qū)域部署了一臺服務(wù)器防護(hù)WG，下聯(lián)各服務(wù)器，上聯(lián)核心交換機(jī)，保障服務(wù)器的安全性。其它設(shè)備有網(wǎng)絡(luò)管理系統(tǒng)、Portal認(rèn)證系統(tǒng)、計(jì)費(fèi)系統(tǒng)、日志記錄系統(tǒng)、用戶自助系統(tǒng)等。2、可能存在的風(fēng)險(xiǎn)XX 學(xué)院內(nèi)部的網(wǎng)絡(luò)比較復(fù)雜，加上無線網(wǎng)絡(luò)的全面覆蓋，使用人群多種多樣，因此網(wǎng)絡(luò)安全是 XX學(xué)院校園網(wǎng)運(yùn)行過程中所面臨的實(shí)際問題。1、來自硬件系統(tǒng)的安全威脅硬件的安全問題也可以分為兩種，一種是物理安全，一種是設(shè)置安全。物理安全是指由于物理設(shè)備的放置不合適或者防范不得力，使得服務(wù)器、交換機(jī)、路由器等網(wǎng)絡(luò)設(shè)備， 纜和雙絞線等網(wǎng)絡(luò)線路以及UPS和電纜線等電源設(shè)備遭受意外事故或人為破壞， 造成

30、網(wǎng)絡(luò)不能正常運(yùn)行。 設(shè)置安全是指在設(shè)備上進(jìn)行必要的設(shè)置，如服務(wù)器、交換機(jī)的密碼等，防止黑客取得硬件設(shè)備的遠(yuǎn)程控制權(quán)。2、來自學(xué)院網(wǎng)絡(luò)內(nèi)部的安全威脅校園網(wǎng)內(nèi)部也存在很大的安全隱患， 由于內(nèi)部用戶對網(wǎng)絡(luò)的結(jié)構(gòu)和應(yīng)用模式都比較了解，特別是在校學(xué)生，學(xué)校通常不能有效的規(guī)范和約束學(xué)生的上網(wǎng)行為，。23。學(xué)生會經(jīng)常的監(jiān)聽或掃描學(xué)校網(wǎng)絡(luò)，因此來自內(nèi)部的安全威脅更難應(yīng)付。3、來自 Internet的威脅Internet上有各種不同內(nèi)容的網(wǎng)站，這些形形色色、良莠不齊的網(wǎng)絡(luò)資源不但會占用大量流量資源， 造成網(wǎng)絡(luò)堵塞、 上網(wǎng)速度慢等問題， 而且由于校園網(wǎng)與 Internet相連，校園網(wǎng)也就面臨著遭遇攻擊的風(fēng)險(xiǎn)。4、

31、系統(tǒng)或軟件的漏洞目前使用的操作系統(tǒng)和應(yīng)用軟件都存在安全漏洞，對網(wǎng)絡(luò)安全構(gòu)成了威脅。而且現(xiàn)在許多從網(wǎng)絡(luò)上隨意下載的軟件中可能隱藏木馬、后門等惡意代碼這些軟件的使用也可能被攻擊者侵入和利用。5、管理方面可能存在的漏洞XX 學(xué)院的用戶群體比較大，數(shù)據(jù)量大、速度高。隨著校園內(nèi)計(jì)算機(jī)應(yīng)用的大范圍普及，接入校園網(wǎng)節(jié)點(diǎn)日漸增多，學(xué)生通過網(wǎng)絡(luò)在線看電影、聽音樂，很容易造成網(wǎng)絡(luò)堵塞和病毒傳播。而這些節(jié)點(diǎn)大部分都沒有采取一定的防護(hù)措施，隨時(shí)有可能造成病毒泛濫、信息丟失、數(shù)據(jù)損壞、網(wǎng)絡(luò)被攻擊、系統(tǒng)癱瘓等嚴(yán)重后果。3、等保三級對網(wǎng)絡(luò)的要求1、結(jié)構(gòu)安全1.應(yīng)保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要

32、；2. 應(yīng)保證網(wǎng)絡(luò)各個(gè)部分的帶寬滿足業(yè)務(wù)高峰期需要；3. 應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路由控制建立安全的訪問路徑；4. 應(yīng)繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖；5. 應(yīng)根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃。24。分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段；6.應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段；7.應(yīng)按照對業(yè)務(wù)服務(wù)的重要次序來指定帶寬分配優(yōu)先級別，保證在網(wǎng)絡(luò)發(fā)生擁堵的時(shí)候優(yōu)先保護(hù)重要主機(jī)。2、訪問控制1. 應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，啟用訪問控制功能；2.應(yīng)能根據(jù)會話狀

33、態(tài)信息為數(shù)據(jù)流提供明確的允許/ 拒絕訪問的能力，控制粒度為端口級；3. 應(yīng)對進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過濾， 實(shí)現(xiàn)對應(yīng)用層 HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級的控制；4. 應(yīng)在會話處于非活躍一定時(shí)間或會話結(jié)束后終止網(wǎng)絡(luò)連接；5. 應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)；6. 重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙；7. 應(yīng)按用戶和系統(tǒng)之間的允許訪問規(guī)則， 決定允許或拒絕用戶對受控系統(tǒng)進(jìn)行資源訪問，控制粒度為單個(gè)用8. 應(yīng)限制具有撥號訪問權(quán)限的用戶數(shù)量3、安全審計(jì)1. 應(yīng)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄；2. 審計(jì)記錄應(yīng)包括：事件的日期和時(shí)間、用戶、

34、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息；3. 應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；4. 應(yīng)對審計(jì)記錄進(jìn)行保護(hù)，避免受到未預(yù)期的刪除、修改或覆蓋等。25。4、邊界完整性檢查1.應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對其進(jìn)行有效阻斷；2.應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對其進(jìn)行有效阻斷。5、入侵防范1. 應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、 IP 碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等；2. 當(dāng)檢測到攻擊行為時(shí)， 記錄攻擊源 IP 、攻擊類型、攻擊目的、攻擊時(shí)間，在發(fā)生嚴(yán)重入

35、侵事件時(shí)應(yīng)提供報(bào)告；6、惡意代碼防范1. 應(yīng)在網(wǎng)絡(luò)邊界處對惡意代碼進(jìn)行檢測和清除；2. 應(yīng)維護(hù)惡意代碼庫的升級和檢測系統(tǒng)的更新。7、網(wǎng)絡(luò)設(shè)備防護(hù)1. 應(yīng)對登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別；2. 應(yīng)對網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制；3. 網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識應(yīng)唯一；4. 主要網(wǎng)絡(luò)設(shè)備應(yīng)對同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進(jìn)行身份鑒別；5. 身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn)， 口令應(yīng)有復(fù)雜度要求并定期更換；6. 應(yīng)具有登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動退出等措施；7. 當(dāng)對網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時(shí)， 應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳。26。輸過程中被

36、竊聽；8. 應(yīng)實(shí)現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離4、現(xiàn)狀對比與整改方案現(xiàn)有網(wǎng)絡(luò)雖然已經(jīng)在各方面比較完善，但是還達(dá)不到三級等保的要求，下面從以上 7 個(gè)控制點(diǎn)進(jìn)行詳細(xì)的對比，找出存在的問題并提出解決方案。1、現(xiàn)狀對比主要是對已有設(shè)備的配置和使用情況進(jìn)行檢查和修改。網(wǎng)絡(luò)及安全設(shè)備的配置和優(yōu)化服務(wù)；監(jiān)控分析及優(yōu)化服務(wù)；是否進(jìn)行了路由控制建立安全的訪問路徑？重要網(wǎng)段的隔離部署；重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙；如： MAC+IP綁定審計(jì)數(shù)據(jù)的梳理及分析；設(shè)定用戶的訪問權(quán)限并配置策略（內(nèi)部和外部） ；對登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別和地址限制；對重要業(yè)務(wù)的帶寬做最小流量設(shè)置。如下表格：打鉤表示已滿足要求。未打

37、鉤表示未滿足要求，需要完善，可通過對現(xiàn)有設(shè)備進(jìn)行深化配置或者增添新設(shè)備來實(shí)現(xiàn)。27。應(yīng)保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰1期需要；2 應(yīng)保證網(wǎng)絡(luò)各個(gè)部分的帶寬滿足業(yè)務(wù)高峰期需要；應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路由控制建立安全的訪問路3徑；結(jié)構(gòu)安全4應(yīng)繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖；應(yīng)根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素，5 劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段；應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，重6要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段；應(yīng)按照對業(yè)務(wù)服務(wù)的重要次序來指定帶寬分配優(yōu)先

38、級別，保證在網(wǎng)7絡(luò)發(fā)生擁堵的時(shí)候優(yōu)先保護(hù)重要主機(jī)。1 應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，啟用訪問控制功能；應(yīng)能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/ 拒絕訪問的能力，2控制粒度為端口級；應(yīng)對進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過濾，實(shí)現(xiàn)對應(yīng)用層HTTP、 FTP、3TELNET、SMTP、 POP3等協(xié)議命令級的控制；訪問控制4應(yīng)在會話處于非活躍一定時(shí)間或會話結(jié)束后終止網(wǎng)絡(luò)連接；5 應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)；6 重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙；應(yīng)按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對受控7系統(tǒng)進(jìn)行資源訪問，控制粒度為單個(gè)用戶；。28。8 應(yīng)限制具有撥號訪問權(quán)限的用戶數(shù)量；應(yīng)對網(wǎng)絡(luò)系統(tǒng)

39、中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行1日志記錄；審計(jì)記錄應(yīng)包括：事件的日期和時(shí)間、用戶、事件類型、事件是否2成功及其他與審計(jì)相關(guān)的信息；安全審計(jì)3 應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；4 應(yīng)對審計(jì)記錄進(jìn)行保護(hù)，避免受到未預(yù)期的刪除、修改或覆蓋等。應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出1位置，并對其進(jìn)行有效阻斷；邊界完整性檢查應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定2出位置，并對其進(jìn)行有效阻斷。應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬后1 門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、 IP 碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等；入侵防范當(dāng)檢測

40、到攻擊行為時(shí)，記錄攻擊源IP 、攻擊類型、攻擊目的、攻擊2時(shí)間，在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)惡意代碼防范措施。1 應(yīng)在網(wǎng)絡(luò)邊界處對惡意代碼進(jìn)行檢測和清除；惡意代碼防范2 應(yīng)維護(hù)惡意代碼庫的升級和檢測系統(tǒng)的更新。1 應(yīng)對登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別；網(wǎng)絡(luò)設(shè)備防護(hù)2應(yīng)對網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制；3 網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識應(yīng)唯一；。29。主要網(wǎng)絡(luò)設(shè)備應(yīng)對同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來4進(jìn)行身份鑒別；身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定5期更換；應(yīng)具有登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和6當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動退出等措施；當(dāng)對網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理

41、時(shí)，應(yīng)采取必要措施防止鑒別信息在網(wǎng)7絡(luò)傳輸過程中被竊聽；8 應(yīng)實(shí)現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離2、控制點(diǎn)整改措施1、結(jié)構(gòu)安全主要網(wǎng)絡(luò)設(shè)備的處理能力以及各部分帶寬均需滿足業(yè)務(wù)高峰需要；部署優(yōu)化設(shè)備，削減網(wǎng)絡(luò)流量，更好的滿足冗余要求；合理規(guī)劃路由，在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間建立安全路徑；規(guī)劃重要網(wǎng)段，在路由交換設(shè)備上配置ACL策略進(jìn)行隔離；網(wǎng)絡(luò)設(shè)備規(guī)劃帶寬優(yōu)先級， 保證在網(wǎng)絡(luò)發(fā)生擁堵時(shí)優(yōu)先保護(hù)重要主機(jī)。必要時(shí)可部署專業(yè)流控產(chǎn)品進(jìn)行管控。2、訪問控制網(wǎng)絡(luò)邊界部署如：防火墻等隔離設(shè)備； 根據(jù)基本要求對隔離設(shè)備以及網(wǎng)絡(luò)設(shè)備等制定相應(yīng)的 ACL策略。包括：訪問控制粒度、用戶數(shù)量等。在配置防火墻等隔離設(shè)備的策略時(shí)

42、要滿足相應(yīng)要求，包括：端口級的控制粒度；常見應(yīng)用層協(xié)議命令過濾；會話控制；流量控制；連接數(shù)控制；防地址欺騙等。30。3、安全審計(jì)部署網(wǎng)絡(luò)安全審計(jì)系統(tǒng)， 記錄用戶網(wǎng)絡(luò)行為、 網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、 網(wǎng)絡(luò)流量等，審計(jì)記錄包括事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息。加強(qiáng)審計(jì)功能， 具備報(bào)表生成功能， 同時(shí)采用日志服務(wù)器進(jìn)行審計(jì)記錄的保存，避免非正常刪除、修改或覆蓋。4、邊界完整性檢查部署終端安全管理系統(tǒng)， 啟用非法外聯(lián)監(jiān)控以及安全準(zhǔn)入功能進(jìn)行邊界完整性檢查。在檢測的同時(shí)要進(jìn)行有效阻斷。5、入侵防范部署入侵檢測系統(tǒng)進(jìn)行入侵行為進(jìn)行檢測。包括：端口掃描、強(qiáng)力攻擊、木馬后門攻擊等

43、各類攻擊行為。配置入侵檢測系統(tǒng)的日志模塊，記錄記錄攻擊源 IP 、攻擊類型、攻擊目的、攻擊時(shí)間等相關(guān)信息，并通過一定的方式進(jìn)行告警。6、惡意代碼防范在網(wǎng)絡(luò)邊界處部署UTM或 AV、IPS 網(wǎng)關(guān)進(jìn)行惡意代碼的檢測與清除，并定期升級惡意代碼庫。升級方式根據(jù)與互聯(lián)網(wǎng)的連接狀態(tài)采取在線或離線方式。7、網(wǎng)絡(luò)設(shè)備防護(hù)根據(jù)基本要求配置網(wǎng)絡(luò)設(shè)備自身的身份鑒別與權(quán)限控制，包括：登陸地址、標(biāo)識符、口令的復(fù)雜度（3 種以上字符、長度不少于8 位）、失敗處理，傳輸加密等方面。 對網(wǎng)絡(luò)設(shè)備進(jìn)行安全加固。對主要網(wǎng)絡(luò)設(shè)備實(shí)施雙因素認(rèn)證手段進(jìn)身份鑒別；對設(shè)備的管理員等特權(quán)。31。用戶進(jìn)行不同權(quán)限等級的配置，實(shí)現(xiàn)權(quán)限分離。3、詳細(xì)整改方案1.現(xiàn)有網(wǎng)絡(luò)配置未將重要網(wǎng)段與其他網(wǎng)段之間進(jìn)行可靠的技術(shù)隔離，應(yīng)采用相應(yīng)的 VLAN隔離技術(shù)并為特定的無線用戶配置用戶隔離。2.現(xiàn)有網(wǎng)絡(luò)未配置對業(yè)務(wù)服務(wù)的重要次序并