等級保護(hù)安全設(shè)計(jì)方案

等級保護(hù)安全設(shè)計(jì)方案■文檔編號 ■密級 商業(yè)機(jī)密■版本編號 ■日期目錄TOC\o"1-5"\h\z一.刖言 1\o"CurrentDocument"二.概述 1\o"CurrentDocument"項(xiàng)目目標(biāo) 1\o"CurrentDocument"設(shè)計(jì)原則 2\o"CurrentDocument"依據(jù)標(biāo)準(zhǔn) 4\o"CurrentDocument"主要依據(jù)標(biāo)準(zhǔn) 4\o"CurrentDocument"輔助參考標(biāo)準(zhǔn) 5\o"CurrentDocument"三.安全現(xiàn)狀、風(fēng)險(xiǎn)與需求分析 5\o"CurrentDocument"安全現(xiàn)狀分析 5\o"CurrentDocument"安全需求分析 6系統(tǒng)間互聯(lián)安全需求分析 錯(cuò)誤!未定義書簽。XX大廈信息系統(tǒng)安全需求分析 錯(cuò)誤!未定義書簽。投資廣場信息系統(tǒng)安全需求分析 錯(cuò)誤!未定義書簽。XX大廈信息系統(tǒng)安全需求分析 錯(cuò)誤!未定義書簽。TOC\o"1-5"\h\z\o"CurrentDocument"四.方案總體設(shè)計(jì) 11\o"CurrentDocument"總體安全設(shè)計(jì)目標(biāo) 11\o"CurrentDocument"總體安全技術(shù)框架 11\o"CurrentDocument"分區(qū)分域建設(shè)原則 11\o"CurrentDocument"一個(gè)中心三重防護(hù)的安全保障體系 12\o"CurrentDocument"安全防護(hù)設(shè)計(jì) 13\o"CurrentDocument"五.等級保護(hù)詳細(xì)安全建設(shè)方案 14\o"CurrentDocument"技術(shù)建設(shè) 14網(wǎng)絡(luò)安全建設(shè) 錯(cuò)誤!未定義書簽。主機(jī)及應(yīng)用系統(tǒng)安全建設(shè) 錯(cuò)誤!未定義書簽。\o"CurrentDocument"數(shù)據(jù)安全及備份恢復(fù)建設(shè) 19II一.前言隨著我國信息化建設(shè)的不斷深入，我們對信息系統(tǒng)的依賴越來越強(qiáng)，國家信息基礎(chǔ)設(shè)施和重要信息系統(tǒng)能否安全正常地運(yùn)行直接關(guān)系到國家安全、經(jīng)濟(jì)命脈、社會秩序，信息系統(tǒng)安全問題已經(jīng)被提到關(guān)系國家安全和國家主權(quán)的戰(zhàn)略性高度，已引起各界的關(guān)注。由于信息系統(tǒng)的安全保障體系建設(shè)是一個(gè)極為復(fù)雜的工作，為信息系統(tǒng)組織設(shè)計(jì)一套完整和有效的安全體系一直是個(gè)很大的難題。行業(yè)性機(jī)構(gòu)、企事業(yè)單位的信息系統(tǒng)應(yīng)用眾多，結(jié)構(gòu)復(fù)雜，覆蓋地域廣闊，涉及的行政部門和人員眾多，建設(shè)起來困難重重，我國多數(shù)信息系統(tǒng)安全一直停留在網(wǎng)絡(luò)安全階段。為了保障我國現(xiàn)代化建設(shè)的有序進(jìn)行，必須加強(qiáng)我國的信息系統(tǒng)安全體系建設(shè)。信息系統(tǒng)與社會組織體系是具有對應(yīng)關(guān)系的，而這些組織體系是分層次和級別的，因此各種信息系統(tǒng)是具有不同等級的重要性和社會、經(jīng)濟(jì)價(jià)值的。對信息系統(tǒng)的基礎(chǔ)資源和信息資源的價(jià)值大小、用戶訪問權(quán)限的大小、大系統(tǒng)中各子系統(tǒng)的重要程度進(jìn)行區(qū)別對待就是級別的客觀要求。信息安全必須符合這些客觀要求，這就需要對信息系統(tǒng)進(jìn)行分級、分區(qū)域、分階段進(jìn)行保護(hù)，這是做好國家信息安全的必要條件。二.概述項(xiàng)目目標(biāo)根據(jù)對XXXX運(yùn)行監(jiān)控系統(tǒng)的了解，并結(jié)合國家的相關(guān)政策標(biāo)準(zhǔn)，XXXX運(yùn)行監(jiān)控系統(tǒng)的信息安全建設(shè)應(yīng)落實(shí)《關(guān)于信息安全等級保護(hù)工作的實(shí)施意見》（公通字【2004】66號）和《關(guān)于開展信息系統(tǒng)安全等級保護(hù)基礎(chǔ)調(diào)查工作的通知》密級：商業(yè)機(jī)密?2011xx科技密級：商業(yè)機(jī)密（公信安【2005】1431號），實(shí)施符合國家標(biāo)準(zhǔn)的安全等級保護(hù)體系建設(shè)，通過對XXXX運(yùn)行監(jiān)控系統(tǒng)的安全等級劃分，合理調(diào)配XXXX運(yùn)行監(jiān)控系統(tǒng)的資源、信息科技資源、業(yè)務(wù)骨干資源等，重點(diǎn)確保XXXX運(yùn)行監(jiān)控系統(tǒng)的核心信息資產(chǎn)的安全性，從而使重要信息系統(tǒng)的安全威脅最小化，達(dá)到XXXX運(yùn)行監(jiān)控系統(tǒng)信息安全投入的最優(yōu)化。實(shí)現(xiàn)信息資源的機(jī)密、完整、可用、不可抵賴和可審計(jì)性，基本做到“進(jìn)不來、拿不走、改不了、看不懂、跑不了、可審計(jì)、打不垮”，具體目標(biāo)是：并協(xié)助完成如下任務(wù)：1、定級：根據(jù)國家等級保護(hù)的要求，對XXXX運(yùn)行監(jiān)控系統(tǒng)提出合理的定級建議，組織專家評審定級是否合理，協(xié)助甲方完成定級工作；2、評估：XXXX運(yùn)行監(jiān)控系統(tǒng)等級保護(hù)工作不是在原有網(wǎng)絡(luò)基礎(chǔ)之上進(jìn)行整改，而是根據(jù)業(yè)務(wù)信息系統(tǒng)的需要全新構(gòu)建一個(gè)安全的業(yè)務(wù)系統(tǒng)平臺。在對XXXX運(yùn)行監(jiān)控系統(tǒng)信息系統(tǒng)建設(shè)需求進(jìn)行調(diào)研、分析的基礎(chǔ)上，按照等級保護(hù)二級的建設(shè)要求，以系統(tǒng)為單位進(jìn)行安全風(fēng)險(xiǎn)評估，找出目標(biāo)系統(tǒng)技術(shù)環(huán)節(jié)及管理環(huán)節(jié)的不足以及面臨的威脅，出具安全風(fēng)險(xiǎn)評估報(bào)告并提出安全加固建議；3、方案設(shè)計(jì)與評審：結(jié)合等級保護(hù)的技術(shù)和管理要求，提交XXXX運(yùn)行監(jiān)控系統(tǒng)的安全設(shè)計(jì)方案。召開項(xiàng)目成果專家驗(yàn)收評審會，XXXX運(yùn)行監(jiān)控系統(tǒng)的安全設(shè)計(jì)方案進(jìn)行評審。4、成果輸出：后期建設(shè)期間，提供咨詢和支持，協(xié)助客戶和集成商最終完成等級保護(hù)測評。5、輔助測評：在第三方測評的前期準(zhǔn)備，中期過程支持，后期遺漏修補(bǔ)，以幫助客戶測評合格。設(shè)計(jì)原則根據(jù)本次項(xiàng)目的目標(biāo)，本項(xiàng)目應(yīng)當(dāng)遵循以下項(xiàng)目原則：一、符合性原則符合國家等級保護(hù)的相關(guān)標(biāo)準(zhǔn)、管理文件和流程要求；二、規(guī)范性原則密級：商業(yè)機(jī)密?2011xx科技密級：商業(yè)機(jī)密工作中的過程文檔和最終文檔，具有很好的規(guī)范性，可以便于項(xiàng)目的跟蹤和控制；三、最小影響原則評估工作盡可能小的影響系統(tǒng)和網(wǎng)絡(luò)的正常運(yùn)行，不能對現(xiàn)網(wǎng)的運(yùn)行和業(yè)務(wù)的正常提供產(chǎn)生顯著影響（包括系統(tǒng)性能明顯下降、網(wǎng)絡(luò)擁塞、服務(wù)中斷等）；四、連續(xù)性原則網(wǎng)絡(luò)平臺在進(jìn)行網(wǎng)絡(luò)設(shè)計(jì)時(shí)，不僅需要滿足目前的需求，還要考慮到技術(shù)的發(fā)展，具備適度的前瞻性，能夠滿足現(xiàn)今和將來一段時(shí)期的需要。同時(shí)還要為未來系統(tǒng)的擴(kuò)充與擴(kuò)建留有余地和基礎(chǔ)。既要考慮原有投資的保護(hù)，又要兼顧未來的發(fā)展和變化。本原則的貫徹主要體現(xiàn)在網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)和應(yīng)用系統(tǒng)設(shè)計(jì)方面。五、實(shí)用性原則實(shí)用性的原則的目的是在保證實(shí)用要求和技術(shù)可行性的前提下，要選擇易于操作和管理，應(yīng)用見效快的技術(shù)和方案，以及適當(dāng)檔次和價(jià)格的設(shè)備。這主要指:“從實(shí)際出發(fā)，講求實(shí)效”，在通訊網(wǎng)絡(luò)平臺的設(shè)計(jì)中，首先要考慮的是實(shí)用性和易于操作性，確保使用技術(shù)成熟的網(wǎng)絡(luò)設(shè)備和通信技術(shù)，同時(shí)要考慮對現(xiàn)有設(shè)備和資源的充分利用，保護(hù)原有的投資。六、先進(jìn)性原則為了保證建設(shè)后的系統(tǒng)能在今后的一段時(shí)間內(nèi)能夠適應(yīng)新出現(xiàn)的應(yīng)用，將整個(gè)網(wǎng)絡(luò)系統(tǒng)的技術(shù)水平定位于一個(gè)較高的層次上，從而保證系統(tǒng)的先進(jìn)性，以適應(yīng)新世紀(jì)的發(fā)展需要。七、可擴(kuò)展性原則可擴(kuò)充性和可延展性主要包括兩個(gè)方面的內(nèi)容：一是為網(wǎng)絡(luò)將擴(kuò)充新的節(jié)點(diǎn)和新的分支預(yù)先作好硬件、軟件和管理接口。二是網(wǎng)絡(luò)必須具有升級能力，能夠適應(yīng)網(wǎng)絡(luò)新技術(shù)發(fā)展的要求。八、可靠性原則鑒于通訊網(wǎng)絡(luò)規(guī)模較大，數(shù)據(jù)類型復(fù)雜，要求網(wǎng)絡(luò)系統(tǒng)必須具有較高的可靠性，和良好的網(wǎng)絡(luò)管理能力，要充分考慮設(shè)備、線路和網(wǎng)絡(luò)設(shè)計(jì)的冗余備份，網(wǎng)絡(luò)模塊要能夠熱插拔，以便在線更換和擴(kuò)充。另外，通訊網(wǎng)絡(luò)系統(tǒng)較大，應(yīng)能對其進(jìn)行有效的管理與維護(hù)。密級：商業(yè)機(jī)密?2011xx科技密級：商業(yè)機(jī)密九、安全性原則在系統(tǒng)建設(shè)中，安全性原則應(yīng)在各個(gè)方面予以高度重視，計(jì)算機(jī)網(wǎng)絡(luò)的建設(shè)也不能例外，特別是網(wǎng)絡(luò)中和其他不可信網(wǎng)絡(luò)進(jìn)行了連接，有可能會發(fā)生這樣那樣的蓄意破壞事件，威脅到網(wǎng)絡(luò)的可靠安全運(yùn)行。因此在網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)和實(shí)施等各個(gè)環(huán)節(jié)將嚴(yán)格遵循這項(xiàng)原則。在設(shè)計(jì)上采用恰當(dāng)?shù)募夹g(shù)手段為系統(tǒng)提供保護(hù)、監(jiān)視、審計(jì)等手段。十、標(biāo)準(zhǔn)化、規(guī)范化方案所采用的技術(shù)和設(shè)備材料等，都必須符合相應(yīng)的國際標(biāo)準(zhǔn)或國家標(biāo)準(zhǔn)，或者符合相關(guān)系統(tǒng)內(nèi)部的相應(yīng)規(guī)范。便于系統(tǒng)的升級、擴(kuò)充，以及與其它系統(tǒng)或廠家的設(shè)備的互連、互通。依據(jù)標(biāo)準(zhǔn)XXXX運(yùn)行監(jiān)控系統(tǒng)屬于國家信息建設(shè)的組成部分，其信息安全保障體系的建設(shè)必須要符合國家相關(guān)法律和要求，我國對信息安全保障工作的要求非常重視，國家相關(guān)監(jiān)管部門也陸續(xù)出臺了相應(yīng)的文件和要求，從標(biāo)準(zhǔn)化的角度，XXXX運(yùn)行監(jiān)控系統(tǒng)的安全規(guī)劃應(yīng)參考以下的政策和標(biāo)準(zhǔn)：主要依據(jù)標(biāo)準(zhǔn)在本次安全策略開發(fā)中，依據(jù)的主要標(biāo)準(zhǔn)以等級保護(hù)為主，具體標(biāo)準(zhǔn)如下：令 《證券期貨業(yè)信息系統(tǒng)安全等級保護(hù)基本要求》(送審稿)令 《信息系統(tǒng)安全等級保護(hù)基本要求》(GB/T22239-2008)令 《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》(GB17859-1999)令 《信息系統(tǒng)安全保護(hù)等級定級指南》(GB/T22240-2008)令 《信息系統(tǒng)等級保護(hù)安全設(shè)計(jì)技術(shù)要求》令 《信息安全等級保護(hù)實(shí)施指南》令 《信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》(GB/T20270-2006)令 《信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求》(GB/T20271-2006)密級：商業(yè)機(jī)密?2011xx科技密級：商業(yè)機(jī)密令 《信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求》(GB/T20272-2006)令《信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)通用安全技術(shù)要求》(GB/T20273-2006)令 《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本模型》(GA/T709-2007)輔助參考標(biāo)準(zhǔn)令I(lǐng)SO27000令 《關(guān)于開展信息安全風(fēng)險(xiǎn)評估工作的意見》2006年1月國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組令 《關(guān)于印發(fā)《信息安全風(fēng)險(xiǎn)評估指南》的通知》2006年2月國信辦(國信辦綜[2006]9號)令I(lǐng)ATF：《信息保障技術(shù)框架》。由美國國家安全局組織編寫，為信息與信息基礎(chǔ)設(shè)施的安全建設(shè)提供了技術(shù)指南。令I(lǐng)SO/IEC15408(CC)：《信息技術(shù)安全評估準(zhǔn)則》。該標(biāo)準(zhǔn)歷經(jīng)數(shù)年完成，提出了新的安全模型，是很多信息安全理論的基礎(chǔ)。三.安全現(xiàn)狀、風(fēng)險(xiǎn)與需求分析3.1安全現(xiàn)狀分析說明：此拓?fù)錇檫壿嬐負(fù)鋱D，接口和系統(tǒng)為邏輯接口和邏輯系統(tǒng)模型，如有與實(shí)際情況不符的地方可修改?，F(xiàn)狀說明：?系統(tǒng)的數(shù)據(jù)倉庫專用網(wǎng)在XX大廈，本系統(tǒng)的數(shù)據(jù)對外交換平臺，也是整個(gè)系統(tǒng)的中樞環(huán)節(jié)。XX大廈的數(shù)據(jù)倉庫專用網(wǎng)包括五個(gè)對外的邏輯接口。接口1主要接收來自上交所、深交所、中登總部主機(jī)、期貨保證金監(jiān)控中心、投保基金的數(shù)據(jù)；接口2接收來自互聯(lián)網(wǎng)供應(yīng)商的數(shù)據(jù)；接口3主要密級：商業(yè)機(jī)密?2011xx科技接收來自人民銀行、外管局、發(fā)改委、統(tǒng)計(jì)局的數(shù)據(jù)；接口4主要與投資廣場進(jìn)行數(shù)據(jù)交互；接口5主要與XX大廈進(jìn)行數(shù)據(jù)交互。系統(tǒng)內(nèi)部還包括WEB/APP、數(shù)據(jù)庫服務(wù)器、磁盤陣列等。密級：商業(yè)機(jī)密?投資廣場的系統(tǒng)開發(fā)人員和運(yùn)維人員主要負(fù)責(zé)數(shù)據(jù)倉庫專用網(wǎng)的開發(fā)和運(yùn)維工作，在投資廣場包括兩個(gè)接口，接口1主要負(fù)責(zé)與XX大廈進(jìn)行數(shù)據(jù)交互；接口2為互聯(lián)網(wǎng)接口連接Internet，與內(nèi)網(wǎng)系統(tǒng)物理隔離。?XX大廈通過接口1與XX大廈進(jìn)行數(shù)據(jù)交互，用戶終端和管理服務(wù)器對數(shù)據(jù)監(jiān)控和管理。并且通過手工導(dǎo)入的方式向會內(nèi)網(wǎng)導(dǎo)入一些會內(nèi)網(wǎng)需要的數(shù)據(jù)信息。安全技術(shù)需求分析主機(jī)安全需求分析身份鑒別需要對整個(gè)XXXX運(yùn)行監(jiān)測系統(tǒng)的終端和服務(wù)器進(jìn)行安全配置或部署安全產(chǎn)品，使操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶名不能相同且用戶口令或密碼具有不被仿冒的特點(diǎn)，滿足密碼復(fù)雜性要求并定期對口令或密碼進(jìn)行更換；當(dāng)用戶口令或密碼輸入錯(cuò)誤達(dá)到一定數(shù)量需要采取一定的限制措施；遠(yuǎn)程管理時(shí)需要防止鑒別信息被竊聽。訪問控制需要對XXXX運(yùn)行監(jiān)測系統(tǒng)的終端和服務(wù)器進(jìn)行安全配置，刪除多余的賬號；實(shí)現(xiàn)操作系統(tǒng)與數(shù)據(jù)庫系統(tǒng)賬戶的權(quán)限分離；限制默認(rèn)賬戶的訪問權(quán)限。密級：商業(yè)機(jī)密?2011xx科技密級：商業(yè)機(jī)密3.2,1.3安全審計(jì)需要通過對XXXX運(yùn)行監(jiān)測系統(tǒng)的終端和服務(wù)器啟用審計(jì)功能或部署安全產(chǎn)品，對重要用戶的行為和系統(tǒng)的運(yùn)行狀況進(jìn)行審計(jì)且應(yīng)保障審計(jì)系統(tǒng)被惡意的刪除、修改或覆蓋；審計(jì)記錄應(yīng)包括事件的日期、時(shí)間、類型、主體標(biāo)識、客體標(biāo)識和結(jié)果等。3?2.1.4入侵防范需要通過對XXXX運(yùn)行監(jiān)測系統(tǒng)的終端和服務(wù)器進(jìn)行安全配置，保證其滿足最小安裝原則，僅安裝業(yè)務(wù)所需的軟件程序；通過安全配置或部署安全產(chǎn)品進(jìn)行補(bǔ)丁的更新。3.2,1.5惡意代碼防范需要通過在XXXX運(yùn)行監(jiān)測系統(tǒng)的終端和服務(wù)器部署安全軟件的方式，實(shí)現(xiàn)惡意代碼的防范，安全軟件應(yīng)當(dāng)支持統(tǒng)一管理。3.2,1.6資源控制需要通過對XXXX運(yùn)行監(jiān)測系統(tǒng)的終端和服務(wù)器進(jìn)行安全配置，實(shí)現(xiàn)登陸操作系統(tǒng)超時(shí)鎖定和設(shè)定用戶對系統(tǒng)資源的使用限額；通過部署安全產(chǎn)品的方式限制終端登陸方式。應(yīng)用安全需求分析身份鑒別XXXX運(yùn)行監(jiān)測系統(tǒng)的各應(yīng)用模塊需要提供身份鑒別功能，并且通過應(yīng)用模塊或者部署安全產(chǎn)品實(shí)現(xiàn)用戶身份標(biāo)識唯一化控制，提供登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和自動(dòng)退出等措施。密級：商業(yè)機(jī)密?2011xx科技密級：商業(yè)機(jī)密訪問控制通過對XXXX運(yùn)行監(jiān)測系統(tǒng)的各應(yīng)用模塊的配置或通過部署安全產(chǎn)品，控制用戶對文件或表單等的訪問，設(shè)置用戶業(yè)務(wù)所需的最小權(quán)限并限制默認(rèn)用戶的訪問權(quán)限。安全審計(jì)通過對XXXX運(yùn)行監(jiān)測系統(tǒng)的各應(yīng)用模塊的配置或通過部署安全產(chǎn)品，對用戶的關(guān)鍵性動(dòng)作進(jìn)行審計(jì)，審計(jì)信息事件日期、時(shí)間、發(fā)起者信息、類型、描述和結(jié)果等內(nèi)容，并保證審計(jì)信息不能隨意的添加、刪除、修改和覆蓋。通信完整性通過在XXXX運(yùn)行監(jiān)測系統(tǒng)部署安全產(chǎn)品實(shí)現(xiàn)，XX大廈與上交所、深交所、中登主機(jī)、期貨監(jiān)控、投保基金，XX大廈與投資廣場、XX大廈等在進(jìn)行數(shù)據(jù)交換過程數(shù)據(jù)的完整性保護(hù)。通信保密性通過在XXXX運(yùn)行監(jiān)測系統(tǒng)部署安全產(chǎn)品對傳輸數(shù)據(jù)進(jìn)行加密實(shí)現(xiàn)，XX大廈與上交所、深交所、中登主機(jī)、期貨監(jiān)控、投?；穑琗X大廈與投資廣場、XX大廈等在進(jìn)行數(shù)據(jù)交換過程數(shù)據(jù)的保密性保護(hù)。3?2.2.6軟禁容錯(cuò)XXXX運(yùn)行監(jiān)測系統(tǒng)各應(yīng)用模塊的開發(fā)要滿足容錯(cuò)的要求，提供數(shù)據(jù)有效性檢驗(yàn)功能，保證通過人機(jī)接口輸入或通過通信接口輸入的數(shù)據(jù)格式或長度符合系統(tǒng)設(shè)定要求；在軟件故障發(fā)生時(shí)，應(yīng)用系統(tǒng)應(yīng)能夠繼續(xù)提供一部分功能，確保能夠?qū)嵤┍匾拇胧?。密級：商業(yè)機(jī)密?2011xx科技密級：商業(yè)機(jī)密資源控制資本運(yùn)行監(jiān)測系統(tǒng)通過自身開發(fā)或者部署安全產(chǎn)品，對用戶訪問資源的情況進(jìn)行限制，對系統(tǒng)的最大并發(fā)連接進(jìn)行限制，應(yīng)用系統(tǒng)的通信雙方中的一方在一段時(shí)間內(nèi)未作任何響應(yīng)，另一方應(yīng)能夠自動(dòng)結(jié)束會話。數(shù)據(jù)安全及備份恢復(fù)數(shù)據(jù)完整性保護(hù)通過在XXXX運(yùn)行監(jiān)測系統(tǒng)部署安全產(chǎn)品或通過應(yīng)用軟件的開發(fā)，保護(hù)數(shù)據(jù)在傳輸過程中完整性不遭到隨意破壞。3?2?3.2數(shù)據(jù)保密性保護(hù)通過在XXXX運(yùn)行監(jiān)測系統(tǒng)部署安全產(chǎn)品或通過應(yīng)用軟件的開發(fā)，對鑒別信息進(jìn)行保密性保護(hù)。3,2,3?3備份和恢復(fù)XXXX運(yùn)行監(jiān)測系統(tǒng)通過備份恢復(fù)的機(jī)制，對于重要數(shù)據(jù)要每天進(jìn)行備份，并且定期進(jìn)行恢復(fù)檢測；關(guān)鍵設(shè)備要有備機(jī)、備件，通信鏈路也要有冗余機(jī)制。安全管理需求分析安全管理制度為保障資本運(yùn)行監(jiān)測系統(tǒng)安全運(yùn)行，應(yīng)當(dāng)有專門的部門和人員負(fù)責(zé)安全管理制度的制定，說明機(jī)構(gòu)安全工作的總體目標(biāo)、范圍、原則和安全框架等；并對管理制度進(jìn)行評審和修訂。密級：商業(yè)機(jī)密?2011xx科技

密級：商業(yè)機(jī)密安全管理機(jī)構(gòu)為保障資本運(yùn)行監(jiān)測系統(tǒng)安全運(yùn)行，應(yīng)設(shè)立專門的安全管理機(jī)構(gòu)，并對崗位設(shè)置、人員配備、授權(quán)和審批、溝通和合作、審核和檢查等方面進(jìn)行管理和規(guī)范。人員安全管理為保障資本運(yùn)行監(jiān)測系統(tǒng)安全運(yùn)行，應(yīng)制定人員安全管理規(guī)定，在人員錄用、人員離崗、人員考核、安全意識教育和培訓(xùn)、外部人員訪問管理等方面制定相應(yīng)的管理辦法。系統(tǒng)建設(shè)管理為保障資本運(yùn)行監(jiān)測系統(tǒng)安全運(yùn)行，在系統(tǒng)定級、安全方案設(shè)計(jì)、產(chǎn)品采購和使用、自行軟件開發(fā)、外包軟件開發(fā)、工程實(shí)施、測試驗(yàn)收、系統(tǒng)交付、安全服務(wù)上選擇等系統(tǒng)建設(shè)管理方面要制定相應(yīng)的管理制度和手段。系統(tǒng)運(yùn)維管理為保障資本運(yùn)行監(jiān)測系統(tǒng)安全運(yùn)行，在系統(tǒng)運(yùn)維過程中要有環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、變更管理、備份與恢復(fù)管理、安全事件處置、應(yīng)急預(yù)案管理等管理制度和規(guī)定。?2011xx科技-10-?2011xx科技-10-密級：商業(yè)機(jī)密方案總體設(shè)計(jì)總體安全設(shè)計(jì)目標(biāo)通過分區(qū)分域的安全建設(shè)原則，根據(jù)XXXX運(yùn)行監(jiān)控系統(tǒng)業(yè)務(wù)流的特點(diǎn)，將整個(gè)信息系統(tǒng)進(jìn)行區(qū)域劃分，突出了安全建設(shè)的重點(diǎn)，并且為“一個(gè)中心，三重防護(hù)”的安全保障體系提供了清晰的脈絡(luò)，針對重點(diǎn)區(qū)域部署相對應(yīng)的安全產(chǎn)品，達(dá)到等級保護(hù)要求的標(biāo)準(zhǔn)。總體安全技術(shù)框架分區(qū)分域建設(shè)原則安全訪問控制的前提是必須合理地分區(qū)分域，通過劃分安全域的方法，將信息系統(tǒng)按照業(yè)務(wù)流程的不同層面劃分為不同的安全域，各個(gè)安全域內(nèi)部又可以根據(jù)功能模塊劃分為不同的安全子域，安全域之間的隔離與控制通過部署不同類型和功能的安全防護(hù)設(shè)備和產(chǎn)品，從而形成相輔相成的多層次立體防護(hù)體系。通過對系統(tǒng)的分區(qū)分域，不僅使網(wǎng)絡(luò)結(jié)構(gòu)清晰，而且防護(hù)重點(diǎn)明確，從而實(shí)現(xiàn)信息系統(tǒng)的結(jié)構(gòu)化安全保護(hù)。對于信息系統(tǒng)，分區(qū)分域的過程應(yīng)遵循以下基本原則：＞等級保護(hù)的符合性原則：對此模擬平臺的搭建要符合等級保護(hù)相關(guān)標(biāo)準(zhǔn)的“一個(gè)中心、三重防護(hù)”的要求。＞業(yè)務(wù)保障原則：分區(qū)分域方法的根本目標(biāo)是能夠更好的保障網(wǎng)絡(luò)上承載的業(yè)務(wù)，在保證安全的同時(shí)，還要保證業(yè)務(wù)的正常運(yùn)行和效率；＞結(jié)構(gòu)簡化原則：分區(qū)分域方法的直接目的和效果是將信息（應(yīng)用）系統(tǒng)整個(gè)網(wǎng)絡(luò)變得更加簡單，簡單的邏輯結(jié)構(gòu)便于設(shè)計(jì)防護(hù)體系。比如，分區(qū)分?2011xx科技-?2011xx科技-11密級：商業(yè)機(jī)密域并不是粒度越細(xì)越好，區(qū)域數(shù)量過多，過雜可能會導(dǎo)致安全管理過于復(fù)雜和困難；＞立體協(xié)防原則：分區(qū)分域的主要對象是信息（應(yīng)用）系統(tǒng)對應(yīng)的網(wǎng)絡(luò)，在分區(qū)分域部署安全設(shè)備時(shí)，需綜合運(yùn)用身份鑒別、訪問控制、安全審計(jì)等安全功能實(shí)現(xiàn)立體協(xié)防；＞生命周期原則：對于信息（應(yīng)用）系統(tǒng)的分區(qū)分域建設(shè)，不僅要考慮靜態(tài)設(shè)計(jì)，還要考慮變化因素，另外，在分區(qū)分域建設(shè)和調(diào)整過程中要考慮工程化的管理。在遵循以上原則的前提下，對信息系統(tǒng)進(jìn)行安全區(qū)域劃分。為了突出重點(diǎn)保護(hù)的等級保護(hù)原則，根據(jù)XXXX運(yùn)行監(jiān)控系統(tǒng)的業(yè)務(wù)信息流的特點(diǎn)，將XXXX運(yùn)行監(jiān)控系統(tǒng)進(jìn)行區(qū)域劃分。分區(qū)分域規(guī)劃圖一個(gè)中心三重防護(hù)的安全保障體系分區(qū)分域的建設(shè)原則按照信息系統(tǒng)業(yè)務(wù)處理過程將系統(tǒng)劃分成計(jì)算環(huán)境、區(qū)域邊界和通信網(wǎng)絡(luò)三部分，以計(jì)算環(huán)境安全為基礎(chǔ)對這三部分實(shí)施保護(hù)，構(gòu)成由安全管理中心支撐下的計(jì)算環(huán)境安全、區(qū)域邊界安全、通信網(wǎng)絡(luò)安全所組成的三重防護(hù)體系結(jié)構(gòu)。安全管理中心實(shí)施對計(jì)算環(huán)境、區(qū)域邊界和通信網(wǎng)絡(luò)統(tǒng)一的安全策略管理，確保系統(tǒng)配置完整可信，確定用戶操作權(quán)限，實(shí)施全程審計(jì)追蹤。從功能上可細(xì)分為系統(tǒng)管理、安全管理和審計(jì)管理，各管理員職責(zé)和權(quán)限明確，三權(quán)分立，相互制約。

計(jì)算環(huán)境安全是信息系統(tǒng)安全保護(hù)的核心和基礎(chǔ)。計(jì)算環(huán)境安全通過終端、服務(wù)器操作系統(tǒng)、上層應(yīng)用系統(tǒng)和數(shù)據(jù)庫的安全機(jī)制服務(wù)，保障應(yīng)用業(yè)務(wù)處理全過程的安全。通過在操作系統(tǒng)核心層和系統(tǒng)層設(shè)置以強(qiáng)制訪問控制為主體的系統(tǒng)安全機(jī)制，形成嚴(yán)密的安全保護(hù)環(huán)境，通過對用戶行為的控制，可以有效防止非授權(quán)用戶訪問和授權(quán)用戶越權(quán)訪問，確保信息和信息系統(tǒng)得保密性和完整性，從而為業(yè)務(wù)應(yīng)用系統(tǒng)的正常運(yùn)行和免遭惡意破壞提供支撐和保障。?2011xx科技?2011xx科技-12-密級：商業(yè)機(jī)密區(qū)域邊界對進(jìn)入和流出應(yīng)用環(huán)境的信息流進(jìn)行安全檢查和訪問控制，確保不會有違背系統(tǒng)安全策略的信息流經(jīng)過邊界，邊界的安全保護(hù)和控制是信息系統(tǒng)的第二道安全屏障。通信網(wǎng)絡(luò)設(shè)備通過對通信雙方進(jìn)行可信鑒別驗(yàn)證，建立安全通道，實(shí)施傳輸數(shù)據(jù)密碼保護(hù)，確保其在傳輸過程中不會被竊聽、篡改和破壞，是信息系統(tǒng)的第三道安全屏障。安全防護(hù)設(shè)計(jì)安全部署圖注：產(chǎn)品部署圖為邏輯拓?fù)鋱D，實(shí)際產(chǎn)品部署方式和數(shù)量要根據(jù)網(wǎng)絡(luò)系統(tǒng)建設(shè)完成后的狀況進(jìn)行修訂。

XX大廈的計(jì)算環(huán)境中，測試區(qū)和WEB/APP、數(shù)數(shù)據(jù)庫服務(wù)器分別建立不同的網(wǎng)段進(jìn)行隔離；在所有主機(jī)上部署防病毒軟件；服務(wù)器都要進(jìn)行安全配置。區(qū)域邊界方面，測試區(qū)與應(yīng)用數(shù)據(jù)區(qū)進(jìn)行數(shù)據(jù)交換式，要通過防火墻進(jìn)行隔離；WEB/APP與數(shù)據(jù)庫服務(wù)器進(jìn)行數(shù)據(jù)交換時(shí)，只在核心交換區(qū)開放數(shù)據(jù)交換需要通信的IP和端口；在核心交換區(qū)部署網(wǎng)絡(luò)審計(jì)系統(tǒng)，對通過核心交換區(qū)的數(shù)據(jù)進(jìn)行審計(jì)，并對數(shù)據(jù)庫的使用進(jìn)行審計(jì)；在應(yīng)用數(shù)據(jù)區(qū)前部署IPS，保護(hù)重要服務(wù)器免受入侵；在在核心交換區(qū)部署IDS系統(tǒng)，對網(wǎng)絡(luò)中的入侵行為進(jìn)行審計(jì)追蹤。傳輸網(wǎng)絡(luò)方面上交所、深交所、中登主機(jī)等于XX大廈通信的數(shù)據(jù)保密性要求較高，需要通過加密機(jī)對數(shù)據(jù)進(jìn)行加密處理。?2011xx科技?2011xx科技-13-密級：商業(yè)機(jī)密XX大廈的計(jì)算環(huán)境方面，終端和服務(wù)器要安裝殺毒軟件，用戶終端需要安裝桌面管理系統(tǒng)進(jìn)行統(tǒng)一管理，服務(wù)器需要進(jìn)行安全配置；用戶終端和服務(wù)器區(qū)分配不同的網(wǎng)段進(jìn)行隔離，通過交換區(qū)進(jìn)行數(shù)據(jù)交換。區(qū)域邊界方面，在交換區(qū)部署網(wǎng)絡(luò)審計(jì)系統(tǒng)，對數(shù)據(jù)流量進(jìn)行審計(jì)核查；在外部邊界區(qū)部署防火墻。投資廣場的計(jì)算環(huán)境方面，終端和服務(wù)器要安裝殺毒軟件，內(nèi)部用戶終端需要安裝桌面管理系統(tǒng)進(jìn)行統(tǒng)一管理，服務(wù)器需要進(jìn)行安全配置；外部開發(fā)人員、內(nèi)部開發(fā)人員和維護(hù)人員分配不同的網(wǎng)段進(jìn)行隔離，通過交換區(qū)進(jìn)行數(shù)據(jù)交換。在外部邊界區(qū)部署防火墻；與互聯(lián)網(wǎng)通信的終端，要和內(nèi)網(wǎng)用戶做完全的物理隔離，并且通過防火墻和內(nèi)容安全管理系統(tǒng)進(jìn)行隔離和對網(wǎng)絡(luò)訪問行為進(jìn)行核查。五.等級保護(hù)詳細(xì)安全建設(shè)方案根據(jù)系統(tǒng)總體安全狀況與需求分析指標(biāo)的符合程度，針對信息系統(tǒng)中不符合指標(biāo)的各個(gè)分析對象，如安全控制、管理制度等，提出相應(yīng)的整改建議和措施，對信息系統(tǒng)的安全防護(hù)進(jìn)行加固，從而保障信息系統(tǒng)運(yùn)營、使用的安全性和連續(xù)性，也為信息系統(tǒng)安全運(yùn)維及后續(xù)等級保護(hù)測評做好充足的準(zhǔn)備和良好的鋪墊。技術(shù)建設(shè)方案

資本運(yùn)維監(jiān)控平臺信息安全技術(shù)建設(shè)的核心設(shè)計(jì)思想是：構(gòu)建集防護(hù)、檢測、響應(yīng)、恢復(fù)于一體的安全保障體系。以全面貫徹落實(shí)等級保護(hù)制度為核心，打造科學(xué)實(shí)用的信息安全防護(hù)能力、安全風(fēng)險(xiǎn)監(jiān)測能力、應(yīng)急響應(yīng)能力和災(zāi)難恢復(fù)能力，切實(shí)保障信息安全。?2011xx科技?2011xx科技-14-密級：商業(yè)機(jī)密另外，資本運(yùn)維監(jiān)控平臺信息系統(tǒng)技術(shù)層面的設(shè)計(jì)充分遵從國家特別是公安部等級保護(hù)的相關(guān)標(biāo)準(zhǔn)要求。按照公安部頒布的《信息系統(tǒng)等級保護(hù)定級指南》完成信息系統(tǒng)的定級備案工作、按照《信息系統(tǒng)等級保護(hù)技術(shù)要求》進(jìn)行技術(shù)保障設(shè)計(jì)。信息安全技術(shù)體系的作用是通過使用安全產(chǎn)品和技術(shù)，支撐和實(shí)現(xiàn)安全策略，達(dá)到信息系統(tǒng)的保密、完整、可用等安全目標(biāo)。安全技術(shù)體系由物理安全、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)五個(gè)部分組成。主機(jī)安全建設(shè)終端管理系統(tǒng)和殺毒軟件＞終端管理系統(tǒng)通過終端管理系統(tǒng)所提供的安全機(jī)制。如通過身份認(rèn)證機(jī)制可以確保非授權(quán)用戶無法登錄服務(wù)器，從而保證能夠訪問服務(wù)器的用戶是可控的；通過訪問控制機(jī)制可以限制用戶的權(quán)限，規(guī)定用戶能做什么，不能做什么，防止越權(quán)訪問，確保服務(wù)器中的重要數(shù)據(jù)無法被非法泄露或竊??；通過數(shù)據(jù)加密保護(hù)機(jī)制，確保非授權(quán)用戶無法獲取服務(wù)器中的的重要數(shù)據(jù)；通過執(zhí)行程序真實(shí)性和完整性度量，確保服務(wù)器操作系統(tǒng)無法被病毒、木馬、攻擊程序等惡意代碼破壞；通過用戶行為審計(jì)機(jī)制，可以防違規(guī)行為的抵賴，做到事后追查。＞殺毒軟件查殺整個(gè)系統(tǒng)中的各種病毒、木馬等惡意代碼，并且能夠?qū)λ兄鳈C(jī)的病毒庫進(jìn)行統(tǒng)一升級和管理?！竞弦?guī)性要求】：?2011xx科技?2011xx科技-15-密級：商業(yè)機(jī)密控制類控制點(diǎn)指標(biāo)名稱措施名稱改進(jìn)動(dòng)作改進(jìn)對象

主機(jī)安全訪問控制a應(yīng)啟用訪問控制功能，依據(jù)安全策略控制用戶對資源的訪問；訪問控制策略安全產(chǎn)品配置操作系統(tǒng)主機(jī)安全訪問控制b應(yīng)根據(jù)管理用戶的角色分配權(quán)限，實(shí)現(xiàn)管理用戶的權(quán)限分離，僅授予管理用戶所需的最小權(quán)限；管理用戶權(quán)限最小化安全產(chǎn)品配置操作系統(tǒng)主機(jī)安全訪問控制c應(yīng)實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限分離；特權(quán)用戶權(quán)限分離安全產(chǎn)品配置操作系統(tǒng)主機(jī)安全訪問控制d應(yīng)嚴(yán)格限制默認(rèn)帳戶的訪問權(quán)限，重命名系統(tǒng)默認(rèn)帳戶，修改這些帳戶的默認(rèn)口令；限制默認(rèn)帳戶安全產(chǎn)品配置操作系統(tǒng)主機(jī)安全訪問控制應(yīng)及時(shí)刪除多余的、過期的帳戶，避免共享帳戶的存在。清理帳戶安全產(chǎn)品配置操作系統(tǒng)主機(jī)安全入侵防范應(yīng)能夠檢測到對重要服務(wù)器進(jìn)行入侵的行為，能夠記錄入侵的源IP、攻擊的a類型、攻擊的目的、攻擊的時(shí)間，并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警；采購與配置主機(jī)入侵檢測軟件安全產(chǎn)品配置操作系統(tǒng)主機(jī)安全入侵防范應(yīng)能夠?qū)χ匾绦虻耐暾赃M(jìn)行檢測，并在檢測b到完整性受到破壞后具有恢復(fù)的措施；配置主機(jī)入侵檢測軟件的完整性檢測和恢復(fù)功能安全產(chǎn)品配置操作系統(tǒng)主機(jī)安全入侵防范操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通過設(shè)置升級服務(wù)器等方式保持系統(tǒng)補(bǔ)丁及時(shí)得到更新。主機(jī)最小安裝安全產(chǎn)品配置操作系統(tǒng)主機(jī)安全入侵防范操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通過設(shè)置升級服務(wù)器等方式保持系統(tǒng)補(bǔ)丁及時(shí)得到更新。設(shè)置補(bǔ)丁服務(wù)器安全產(chǎn)品配置操作系統(tǒng)控制類控制點(diǎn)指標(biāo)名稱措施名稱改進(jìn)動(dòng)作改進(jìn)對象主機(jī)安全資源控制a應(yīng)通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄；主機(jī)安全配置與加固安全產(chǎn)品配置操作系統(tǒng)?2011xx科技-16-?2011xx科技-16-密級：商業(yè)機(jī)密主機(jī)安全資源控制b應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時(shí)鎖定；主機(jī)安全配置與加固安全產(chǎn)品配置操作系統(tǒng)主機(jī)安全資源控制c應(yīng)對重要服務(wù)器進(jìn)行監(jiān)視，包括監(jiān)視服務(wù)器的CPU、硬盤、內(nèi)存、網(wǎng)絡(luò)等資源的使用情況；采購部署網(wǎng)管監(jiān)控系統(tǒng)，實(shí)現(xiàn)重要服務(wù)器監(jiān)控安全產(chǎn)品配置操作系統(tǒng)主機(jī)安全資源控制d應(yīng)限制單個(gè)用戶對系統(tǒng)資源的最大或最小使用限度；主機(jī)安全配置與加固安全產(chǎn)品配置操作系統(tǒng)主機(jī)安全資源控制應(yīng)能夠?qū)ο到y(tǒng)的服務(wù)水平舞低到預(yù)先規(guī)定的最小值進(jìn)行檢測和報(bào)警。配置網(wǎng)管系統(tǒng)的監(jiān)控與報(bào)警，實(shí)現(xiàn)服務(wù)水平監(jiān)控安全產(chǎn)品配置操作系統(tǒng)應(yīng)用安全建設(shè)網(wǎng)絡(luò)安全審計(jì)系統(tǒng)對于網(wǎng)絡(luò)訪問的審計(jì)已經(jīng)在網(wǎng)絡(luò)安全建設(shè)中提出了完整地解決方案，先就應(yīng)用層的安全審計(jì)提出具體解決方案。＞細(xì)粒度的網(wǎng)絡(luò)內(nèi)容審計(jì)：安全審計(jì)系統(tǒng)可對網(wǎng)站訪問、郵件收發(fā)、遠(yuǎn)程終端訪問、數(shù)據(jù)庫訪問、論壇發(fā)帖等進(jìn)行關(guān)鍵信息監(jiān)測、還原；＞全面的網(wǎng)絡(luò)行為審計(jì)：安全審計(jì)系統(tǒng)可對網(wǎng)絡(luò)行為，如網(wǎng)站訪問、郵件收發(fā)、數(shù)據(jù)庫訪問、遠(yuǎn)程終端訪問、即時(shí)通訊、論壇、在線視頻、P2P下載、網(wǎng)絡(luò)游戲等，提供全面的行為監(jiān)控，方便事后追查取證；＞綜合流量分析：安全審計(jì)系統(tǒng)可對網(wǎng)絡(luò)流量進(jìn)行綜合分析，為網(wǎng)絡(luò)帶寬資源的管理提供可靠策略支持；滿足《基本要求》中的控制點(diǎn)?2011xx科技?2011xx科技-17-密級：商業(yè)機(jī)密控制類控制點(diǎn)指標(biāo)名稱措施名稱改進(jìn)動(dòng)作改進(jìn)對象

應(yīng)用安全安全審計(jì)審計(jì)范圍應(yīng)覆蓋到服務(wù)器和重要客戶端上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫用戶審計(jì)數(shù)據(jù)記錄要求采購部署用戶行為應(yīng)用安全安全審計(jì)審計(jì)內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)b資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件審計(jì)數(shù)據(jù)記錄要求網(wǎng)絡(luò)審計(jì)功能配置用戶行為應(yīng)用安全安全審計(jì)審計(jì)記錄應(yīng)包括事件的日期、時(shí)間、c類型、主體標(biāo)識、客體標(biāo)識和結(jié)果等審計(jì)數(shù)據(jù)分析與報(bào)表網(wǎng)絡(luò)審計(jì)功能配置用戶行為應(yīng)用安全安全審計(jì)應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生d成審計(jì)報(bào)表審計(jì)數(shù)據(jù)分析與報(bào)表網(wǎng)絡(luò)審計(jì)功能配置用戶行為數(shù)據(jù)安全及備份恢復(fù)數(shù)據(jù)完整性a應(yīng)能夠檢測到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過程中完整性受到破壞，并在檢測到完整性錯(cuò)誤時(shí)采取必要的恢復(fù)措施數(shù)據(jù)完整性檢驗(yàn)數(shù)據(jù)庫審計(jì)功能配置數(shù)據(jù)庫審計(jì)數(shù)據(jù)安全及備份恢復(fù)數(shù)據(jù)完整性b應(yīng)能夠檢測到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在存儲過程中完整性受到破壞，并在檢測到完整性錯(cuò)誤時(shí)采取必要的恢復(fù)措施。數(shù)據(jù)完整性檢驗(yàn)數(shù)據(jù)庫審計(jì)功能配置數(shù)據(jù)庫審計(jì)堡壘主機(jī)于傳統(tǒng)網(wǎng)絡(luò)安全審計(jì)主要通過旁路鏡像或分光方式，分析網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行審計(jì)，導(dǎo)致該系統(tǒng)只能對一些非加密的運(yùn)維操作協(xié)議進(jìn)行審計(jì)，如telnet；卻無法對維護(hù)人員經(jīng)常使用的SSH、RDP等加密協(xié)議、遠(yuǎn)程桌面等進(jìn)行內(nèi)容審計(jì)。集中賬號管理：堡壘機(jī)建立基于唯一身份標(biāo)識的全局實(shí)名制管理，通過對用戶從登錄到退出的全程操作行為審計(jì)，監(jiān)控用戶對被管理設(shè)備的所有敏感關(guān)鍵操作集中訪問控制：堡壘機(jī)通過集中統(tǒng)一的訪問控制和細(xì)粒度的命令級授權(quán)策略，確保用戶擁有的權(quán)限是完成任務(wù)所需的最小權(quán)限。滿足《基本要求》中的控制點(diǎn)?2011xx科技?2011xx科技-18-密級：商業(yè)機(jī)密控制類控制點(diǎn)|指標(biāo)名稱措施名稱改進(jìn)動(dòng)作改進(jìn)對象1網(wǎng)絡(luò)安全網(wǎng)絡(luò)設(shè)備防護(hù)a應(yīng)對登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別；配置登錄身份鑒別通過堡壘主機(jī)進(jìn)行強(qiáng)制管理網(wǎng)絡(luò)設(shè)備網(wǎng)絡(luò)安全網(wǎng)絡(luò)設(shè)備防護(hù)b應(yīng)對網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制配置登錄地址限制通過堡壘主機(jī)進(jìn)行強(qiáng)制管理網(wǎng)絡(luò)設(shè)備網(wǎng)絡(luò)安全網(wǎng)絡(luò)設(shè)備防護(hù)e身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換；配置口令復(fù)雜度與更換要求通過堡壘主機(jī)進(jìn)行強(qiáng)制管理網(wǎng)絡(luò)設(shè)備

網(wǎng)絡(luò)安全網(wǎng)絡(luò)設(shè)備防護(hù)f應(yīng)具有登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動(dòng)退出等措施配置登錄失敗處理功能通過堡壘主機(jī)進(jìn)行控制網(wǎng)絡(luò)設(shè)備網(wǎng)絡(luò)安全網(wǎng)絡(luò)設(shè)備防護(hù)g當(dāng)對網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施防止信息在網(wǎng)絡(luò)傳輸過程中被竊聽管理采用SSH等加密方式通過堡壘主機(jī)實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備網(wǎng)絡(luò)安全網(wǎng)絡(luò)設(shè)備防護(hù)h應(yīng)實(shí)現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離。用戶權(quán)限分離通過堡壘主機(jī)進(jìn)行配置網(wǎng)絡(luò)設(shè)備主機(jī)安全訪問控制e應(yīng)及時(shí)刪除多余的、過期的帳戶，避免共享帳戶的存在。清理帳戶通過堡壘主機(jī)進(jìn)行強(qiáng)制管理操作系統(tǒng)與數(shù)據(jù)庫主機(jī)安全訪問控制b應(yīng)根據(jù)管理用戶的角色分配權(quán)限，實(shí)現(xiàn)管理用戶的權(quán)限分離，僅授予管理用戶所需的最小權(quán)限管理用戶權(quán)限最小化通過堡壘主機(jī)進(jìn)行配置操作系統(tǒng)與數(shù)據(jù)庫主機(jī)安全訪問控制d應(yīng)嚴(yán)格限制默認(rèn)帳戶的訪問權(quán)限，重命名系統(tǒng)默認(rèn)帳戶，修改這些帳戶的默認(rèn)口令限制默認(rèn)帳戶通過堡壘主機(jī)進(jìn)行強(qiáng)制管理操作系統(tǒng)與數(shù)據(jù)庫主機(jī)安全資源控制b應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時(shí)鎖定主機(jī)安全配置通過堡壘主機(jī)進(jìn)行配置操作系統(tǒng)數(shù)據(jù)安全及備份恢復(fù)建設(shè)數(shù)據(jù)是資本運(yùn)維監(jiān)控平臺保護(hù)的核心內(nèi)容。數(shù)據(jù)的安全防護(hù)要求包括機(jī)密性、完整性、可用性。機(jī)密性則通過加密方式對敏感數(shù)據(jù)進(jìn)行加密操作。數(shù)據(jù)完整性通過數(shù)字摘要技術(shù)結(jié)合應(yīng)用系統(tǒng)保證數(shù)據(jù)交換傳輸過程的完整。數(shù)據(jù)可用性則通過數(shù)據(jù)備份冗余操作實(shí)現(xiàn)。在分析了應(yīng)數(shù)據(jù)安全及備份恢復(fù)的需求以后，數(shù)據(jù)安全及備份恢復(fù)層的安全需求可以分為以下幾種類型：＞數(shù)據(jù)完整性＞數(shù)據(jù)保密性＞備份和恢復(fù)數(shù)據(jù)的保密性和完整性需要通過備份機(jī)制來實(shí)現(xiàn)，備份機(jī)制是針對可能發(fā)生的計(jì)算機(jī)網(wǎng)絡(luò)與信息系統(tǒng)（重點(diǎn)包括：網(wǎng)站系統(tǒng)、基礎(chǔ)物理環(huán)境、網(wǎng)絡(luò)故障、病毒的預(yù)案等）突發(fā)（災(zāi)難）事件進(jìn)行預(yù)先防范安排，通過部署數(shù)據(jù)備份設(shè)備和備份系?2011xx科技-19-?2011xx科技-19-密級：商業(yè)機(jī)密統(tǒng)來保證安全事件發(fā)生時(shí)以最快速度做出反應(yīng)，控制和減輕破壞造成的影響，提高數(shù)據(jù)的安全性。管理設(shè)計(jì)方案除了采用信息安全技術(shù)措施控制信息安全威脅外，安全管理措施中國證監(jiān)會XXXX運(yùn)行監(jiān)測系統(tǒng)等級保護(hù)建設(shè)中必不可少的內(nèi)容，所謂“三分技術(shù)，七分管理”就是這個(gè)道理。安全技術(shù)措施和安全管理措施可以相互補(bǔ)充，共同構(gòu)建全面、有效的信息安全保障體系。根據(jù)《信息系統(tǒng)安全等級保護(hù)基本要求》，安全管理體系主要從如下內(nèi)容考慮：安全管理機(jī)構(gòu)安全管理制度人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理5?2.1安全管理機(jī)構(gòu)《信息系統(tǒng)安全等級保護(hù)基本要求》在崗位設(shè)置、人員配備、授權(quán)和審批、溝通和合作、審核和檢查等方面對安全管理機(jī)構(gòu)提出了具體的要求。針對XXXX運(yùn)行監(jiān)測系統(tǒng)應(yīng)該建立專門的安全職能部門，配備專門的安全管理人員，管理應(yīng)用系統(tǒng)的信息安全管理工作，同時(shí)對安全管理人員的活動(dòng)進(jìn)行指導(dǎo)。安全管理制度《信息系統(tǒng)安全等級保護(hù)基本要求》在管理制度、制定和發(fā)布、評審和修訂等三個(gè)方面對安全管理制度提出了要求。中國證監(jiān)會在XXXX運(yùn)行監(jiān)測系統(tǒng)建設(shè)過程中應(yīng)根據(jù)實(shí)際情況，在系統(tǒng)負(fù)責(zé)人的領(lǐng)導(dǎo)下，組織相關(guān)人員制定和發(fā)布相關(guān)安全管理制度、安全運(yùn)維制度和安全操作規(guī)程等，并做好相關(guān)制度的培訓(xùn)和落實(shí)，在系統(tǒng)運(yùn)行過程中，要定期對相關(guān)制度進(jìn)行評審和修訂。?2011xx科技-?2011xx科技-20-密級：商業(yè)機(jī)密人員安全管理人員安全管理要求在人員的錄用、離崗、考核、培訓(xùn)以及第三方人員管理上，都要考慮安全因素。人員入職管理：從信息安全角度對在人員錄用過程中各流程提出安全需求。人員在職管理：從員工信息安全守則、系統(tǒng)用戶信息安全考核、教育培訓(xùn)三個(gè)方面提高在職人員的信息安全意識。人員離職管理：分析員工在離職過程中存在的信息安全風(fēng)險(xiǎn)。第三方人員安全管理：對第三方人員進(jìn)行定義，闡述第三方人員管理中存在的信息安全風(fēng)險(xiǎn)，并需要采取的管理方法。系統(tǒng)建設(shè)管理《信息系統(tǒng)安全等級保護(hù)基本要求》在系統(tǒng)建設(shè)管理階段針對系統(tǒng)定級、安全方案設(shè)計(jì)、產(chǎn)品采購、自行軟件開發(fā)、外包軟件開發(fā)、工程實(shí)施、測試驗(yàn)收、系統(tǒng)交付、系統(tǒng)備案、安全測評、安全服務(wù)商選擇等等方面提出了具體的要求。目前，系統(tǒng)定級、系統(tǒng)備案的工作已經(jīng)或即將完成。工程實(shí)施、測試驗(yàn)收、系統(tǒng)交付等方面需要在產(chǎn)品購買后進(jìn)行。而其他的一些方面，如自行軟件開發(fā)、外包軟件開發(fā)等，這里不涉及。在安全服務(wù)商選擇方面，我們建議系統(tǒng)的相關(guān)領(lǐng)導(dǎo)，選擇有實(shí)力，有信譽(yù)的專業(yè)安全服務(wù)廠商。關(guān)于安全方案的設(shè)計(jì)，請?jiān)斠姳疚摹栋踩夹g(shù)體系建設(shè)》章節(jié)。系統(tǒng)運(yùn)維管理《信息系統(tǒng)安全等級保護(hù)基本要求》在環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備管理、監(jiān)控管理、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、變更管理、備份與恢復(fù)管理、安全事件處置、應(yīng)急預(yù)案管理等13個(gè)方面對系統(tǒng)運(yùn)維管理進(jìn)行了詳細(xì)的要求，是等級保護(hù)管理體系建設(shè)最為重要的部分。系統(tǒng)運(yùn)維管理方面，本方案建議通過內(nèi)部管理人員維護(hù)和采用專業(yè)安全廠商的安全服務(wù)相結(jié)合的方式來實(shí)現(xiàn)。在一定程度上說，安全服務(wù)是一種專業(yè)經(jīng)驗(yàn)服務(wù)。安全服務(wù)提供商長期的服務(wù)經(jīng)驗(yàn)積累、對行業(yè)的深刻理解、處理安全問題（事件）的最佳做法、科學(xué)的安全思維方式、正確的安全思維方法都是為用戶提供完善安全解決方案的動(dòng)力來源。?2011xx科技-?2011xx科技-21密級：商業(yè)機(jī)密針對以上五個(gè)方面的管理合規(guī)性建設(shè)，建議考慮在系統(tǒng)建設(shè)過程中，首先考慮制訂和完善信息安全管理制度，達(dá)到合規(guī)性的要求，再逐步不斷完善和落實(shí)安全這些管理制度，并不?2011xx科技?2011xx科技-22-密級：商業(yè)機(jī)密斷完善和修訂，建議建設(shè)完善以下管理制度。文檔編號名稱主要內(nèi)容信息安全策略MAN-001中國證監(jiān)會XXX機(jī)構(gòu)信息安全策略本文檔是一個(gè)總體的策略性架構(gòu)文件，作為各個(gè)分項(xiàng)安全制度設(shè)計(jì)的指導(dǎo)文件RM-002中國中國證監(jiān)會XXX機(jī)構(gòu)風(fēng)險(xiǎn)管理策略本文檔規(guī)定了中國證監(jiān)會XXX機(jī)構(gòu)采用的信息安全風(fēng)險(xiǎn)管理方法和過程，通過識別風(fēng)險(xiǎn)分析和控制措施實(shí)施將信息安全風(fēng)險(xiǎn)控制在可接受的水平，保持業(yè)務(wù)持續(xù)性發(fā)展，以滿足信息安全管理的要求。信息安全組織ORG-001中國證監(jiān)會XXX機(jī)構(gòu)安全管理組織架構(gòu)本文檔明確信息安全管理體系的組織，對信息相關(guān)人員職責(zé)進(jìn)行規(guī)范。ORG-002中國證監(jiān)會XXX機(jī)構(gòu)系統(tǒng)運(yùn)維崗位職責(zé)本文檔說明了信息安全管理組織內(nèi)部各角色的定義，角色日常工作職責(zé)，日?；顒?dòng)的授權(quán)和審批要求。資產(chǎn)管理ASS-001中國證監(jiān)會XXX機(jī)構(gòu)資產(chǎn)分類與分級管理規(guī)范本文檔說明了有效管理和正確識別中國證監(jiān)會XXX機(jī)構(gòu)的各種信息資產(chǎn)，提供統(tǒng)一的分類分級方法和編號原則ASS-002中國證監(jiān)會XXX機(jī)構(gòu)移動(dòng)介質(zhì)管理規(guī)定本文檔說明了如何對介質(zhì)進(jìn)行管理，包括介質(zhì)的定義、使用、維護(hù)和銷毀管理。ASS-003中國證監(jiān)會XXX機(jī)構(gòu)辦公電腦管理辦法本文檔說明了辦公電腦的分類、領(lǐng)用、更換、歸還、維護(hù)和外來人員電腦的管理規(guī)范。ASS-004中國證監(jiān)會XXX機(jī)構(gòu)郵件系統(tǒng)使用規(guī)范本文檔說明了郵件系統(tǒng)的使用規(guī)范和運(yùn)行維護(hù)職責(zé)等內(nèi)容。ASS-005中國證監(jiān)會XXX機(jī)構(gòu)秘密保護(hù)管理規(guī)定本文檔說明了泄密危害級別、秘密等級、秘密標(biāo)識、定級管理、授權(quán)管理

等相關(guān)內(nèi)容ASS-006中國證監(jiān)會XXX機(jī)構(gòu)資產(chǎn)轉(zhuǎn)移管理規(guī)范本文檔針對設(shè)備、信息或軟件在授權(quán)之前帶出和轉(zhuǎn)移場所提供相關(guān)管理規(guī)定人力資源安全HR-001中國證監(jiān)會XXX機(jī)構(gòu)安全崗位管理規(guī)定本文檔員工的崗位管理制度，包括定崗、招聘、入職、崗位變動(dòng)、離職等。HR-002中國證監(jiān)會XXX機(jī)構(gòu)信息安全培訓(xùn)管理制度本文檔說明了職責(zé)要求、培訓(xùn)要求、培訓(xùn)組織、培訓(xùn)項(xiàng)目和考核方式。HR-003中國證監(jiān)會XXX機(jī)構(gòu)信息安全違規(guī)處罰制度本文檔對違反相關(guān)信息安全管理制度，未按照相關(guān)規(guī)范或流程操作的責(zé)任人，進(jìn)行處罰的相關(guān)規(guī)定。物理與環(huán)境P&E-001中國證監(jiān)會XXX機(jī)構(gòu)機(jī)房安全管理制度本文檔說明了機(jī)房安全管理要求，如機(jī)房建設(shè)要求、機(jī)房環(huán)境、機(jī)房工作制度和機(jī)房巡檢制度等。P&E-002中國證監(jiān)會XXX機(jī)構(gòu)重點(diǎn)部委管理規(guī)定本文檔說明了重點(diǎn)部位的環(huán)境、進(jìn)入等管理規(guī)定。P&E-003中國證監(jiān)會XXX機(jī)構(gòu)機(jī)房與監(jiān)控室參觀規(guī)定本文檔說明了機(jī)房、監(jiān)控室等保密部位的參觀規(guī)定P&E-004中國證監(jiān)會XXX機(jī)構(gòu)辦公區(qū)安全管理制度本文檔說明了辦公區(qū)域的防火、出入、安全保密、安全檢查等規(guī)定。通信與操作C&O-001中國證監(jiān)會XXX機(jī)構(gòu)計(jì)算機(jī)病毒與移動(dòng)代碼防護(hù)管理制度本文檔說明了中國證監(jiān)會XXX機(jī)構(gòu)防病毒體系建立、防病毒日常管理、應(yīng)急出來等相關(guān)制度。C&O-002中國證監(jiān)會XXX機(jī)構(gòu)數(shù)據(jù)備份與恢復(fù)管理制度本文檔說明了中國證監(jiān)會XXX機(jī)構(gòu)網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)系統(tǒng)數(shù)據(jù)及業(yè)務(wù)系統(tǒng)的核心業(yè)務(wù)數(shù)據(jù)的備份與恢復(fù)管理。C&O-003中國證監(jiān)會XXX機(jī)構(gòu)數(shù)據(jù)中心平臺系統(tǒng)維護(hù)程序本文檔對數(shù)據(jù)中心平臺系統(tǒng)的維護(hù)提供簡要說明C&O-004中國證監(jiān)會XXX機(jī)構(gòu)系本文檔對安全系統(tǒng)的維護(hù)工作內(nèi)容?2011xx科技-23-?2011xx科技-23-密級：商業(yè)機(jī)密統(tǒng)安全系統(tǒng)運(yùn)行維護(hù)程序和流程提供簡要說明C&O-005中國證監(jiān)會XXX機(jī)構(gòu)核心交換機(jī)（服務(wù)器）維護(hù)程序本文檔核心交換機(jī)（服務(wù)器）的維護(hù)工作內(nèi)容和流程提供簡要說明C&O-006中國證監(jiān)會XXX機(jī)構(gòu)備份介質(zhì)安全管理規(guī)定本文檔對各類備份介質(zhì)的管理進(jìn)行說明，防止介質(zhì)被破壞和被盜、被毀及信息的非法泄露C&O-007中國證監(jiān)會XXX機(jī)構(gòu)供應(yīng)商管理規(guī)范本文檔規(guī)范第二方（如供應(yīng)商）在拜訪組織辦公場所的工作行為，以及規(guī)范供應(yīng)商在交付服務(wù)時(shí)的項(xiàng)目驗(yàn)收以及監(jiān)督等環(huán)節(jié)的行為，有效的規(guī)范對包括供應(yīng)商等在內(nèi)第二方在與系統(tǒng)有業(yè)務(wù)交互時(shí)的權(quán)力義務(wù)以及行為準(zhǔn)則C&O-008中國證監(jiān)會XXX機(jī)構(gòu)信息交換安全管理規(guī)定本文檔是對各類信息和軟件在組織內(nèi)以及與外部組織交換過程中的安全管理，防止在交換過程中被非法竊取、篡改以及交換后對行為的抵賴訪問控制ACL-001中國證監(jiān)會XXX機(jī)構(gòu)設(shè)備入網(wǎng)管理規(guī)范本文檔對設(shè)備入網(wǎng)工作流程進(jìn)行規(guī)范ACL-002中國證監(jiān)會XXX機(jī)構(gòu)口令管理規(guī)定本文檔對帳號口令的注冊、生成、保存、使用、更換、密鑰等的管理進(jìn)行規(guī)范ACL-003中國證監(jiān)會XXX機(jī)構(gòu)第三方人員計(jì)算機(jī)接入管理制度本文檔對第三方接入的要求和流程進(jìn)行管理ACL-004中國證監(jiān)會XXX機(jī)構(gòu)安全審計(jì)制度本文檔規(guī)定了安全審計(jì)的內(nèi)容、審計(jì)工具、審計(jì)流程和審計(jì)記錄保護(hù)等。ACL-005中國證監(jiān)會XXX機(jī)構(gòu)數(shù)據(jù)庫權(quán)限管理規(guī)定本文檔主要說明了中心數(shù)據(jù)庫的權(quán)限管理規(guī)定。ACL-006中國證監(jiān)會XXX機(jī)構(gòu)移動(dòng)計(jì)算和通信設(shè)施使用本文檔說明了對移動(dòng)計(jì)算與通信設(shè)施（筆記本電腦、掌上電腦、移動(dòng)電?2011xx科技-24-?2011xx科技-24-密級：商業(yè)機(jī)密規(guī)定話等）的安全管理規(guī)定。ACL-007中國證監(jiān)會XXX機(jī)構(gòu)無人值守設(shè)備管理規(guī)定本文檔對個(gè)人辦公電腦、打印機(jī)、復(fù)印機(jī)等設(shè)備在辦公室、會議室或控制的區(qū)域外等位置處于無人值守狀態(tài)時(shí)的安全保護(hù)措施進(jìn)行規(guī)定。ACL-008中國證監(jiān)會XXX機(jī)構(gòu)互聯(lián)網(wǎng)使用管理規(guī)定本文檔用于規(guī)范中國證監(jiān)會XXX機(jī)構(gòu)對互聯(lián)網(wǎng)的安全使用。ACL-009中國證監(jiān)會XXX機(jī)構(gòu)日常監(jiān)控管理制度本文檔主要用于加強(qiáng)對網(wǎng)絡(luò)設(shè)備、主機(jī)操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和應(yīng)用系統(tǒng)日志以及系統(tǒng)運(yùn)行狀況的安全監(jiān)控管理，在信息安全事件爆發(fā)的第一時(shí)間能夠及時(shí)發(fā)現(xiàn)并為迅速響應(yīng)提供記錄及技術(shù)數(shù)據(jù)。信息系統(tǒng)獲取、開發(fā)和維護(hù)ISADM-001中國證監(jiān)會XXX機(jī)構(gòu)網(wǎng)絡(luò)安全管理制度本文檔說明了在網(wǎng)絡(luò)規(guī)劃、建設(shè)、調(diào)整、廢棄等各階段的安全保障要求。ISADM-002中國證監(jiān)會XXX機(jī)構(gòu)系統(tǒng)安全管理制度本文檔說明了服務(wù)器、應(yīng)用系統(tǒng)、操作系統(tǒng)等系統(tǒng)在規(guī)劃、建設(shè)、調(diào)整、變更、廢棄等各階段的安全保障要求ISADM-003中國證監(jiān)會XXX機(jī)構(gòu)信息安全測試規(guī)范本文檔說明了常規(guī)信息安全檢查、滲透測試、日常出口檢查等相關(guān)工作規(guī)范，如信息安全常規(guī)檢查、滲透測試、端口檢查等。ISADM-004中國證監(jiān)會XXX機(jī)構(gòu)項(xiàng)目驗(yàn)收管理規(guī)范本文檔說明了信息系統(tǒng)項(xiàng)目驗(yàn)收方面的管理要求信息安全事件管理SIM-001中國證監(jiān)會XXX機(jī)構(gòu)信息安全事件與脆弱性報(bào)告和處置制度本文檔說明了信息安全事件定義、分類、分級，明確安全事件報(bào)告責(zé)任和流程等內(nèi)容SIM-002中國證監(jiān)會XXX機(jī)構(gòu)信息安全事件應(yīng)急預(yù)案本文檔主要內(nèi)容是中國證監(jiān)會XXX機(jī)構(gòu)總體和專項(xiàng)應(yīng)急預(yù)案，規(guī)范了信息安全事件應(yīng)急工作機(jī)制和應(yīng)急處理流程。?2011xx科技-25-?2011xx科技-25-密級：商業(yè)機(jī)密業(yè)務(wù)連續(xù)性管理BCM-001中國證監(jiān)會XXX機(jī)構(gòu)業(yè)務(wù)連續(xù)性管理制度本文檔用于說明中國證監(jiān)會XXX機(jī)構(gòu)業(yè)務(wù)連續(xù)性計(jì)劃和災(zāi)難恢復(fù)計(jì)劃等相關(guān)內(nèi)容。BCM-002中國證監(jiān)會XXX機(jī)構(gòu)業(yè)務(wù)影響分析主要說明關(guān)鍵業(yè)務(wù)活動(dòng)影響、業(yè)務(wù)恢復(fù)目標(biāo)、業(yè)務(wù)恢復(fù)所需資源等相關(guān)內(nèi)容。符合性管理COM-001中國證監(jiān)會XXX機(jī)構(gòu)知識產(chǎn)權(quán)保護(hù)規(guī)范對第三方技術(shù)、軟件等的使用進(jìn)行管理，確保在使用具有知識產(chǎn)權(quán)的材料和具有所有權(quán)的軟件產(chǎn)品時(shí)，符合法律、法規(guī)和合同的要求。安全意識及安全技術(shù)培訓(xùn)如果要使等級保護(hù)工作順利展開，對各層面用戶加強(qiáng)宣貫培訓(xùn)，使他們了解等級保護(hù)工作，提升安全意識和技能，這點(diǎn)是非常重要的。XX科技作為安全服務(wù)產(chǎn)品提供商，經(jīng)過長期對等級保護(hù)文件、標(biāo)準(zhǔn)的跟蹤和研究以及多個(gè)等級保護(hù)建設(shè)項(xiàng)目實(shí)施，積累了豐富的等級保護(hù)體系設(shè)計(jì)和建立的實(shí)踐經(jīng)驗(yàn)，總結(jié)了一套等級保護(hù)工作具體落地的實(shí)施方法。同時(shí)在系統(tǒng)建設(shè)和運(yùn)維過程中，需要安全技術(shù)人員和安全管理人員能充分了解當(dāng)前安全領(lǐng)域的相關(guān)動(dòng)態(tài)和知識，提高安全意識，掌握安全技術(shù)，在日常運(yùn)維工作中能及時(shí)處置安全事件，保障系統(tǒng)安全。本方案建議為中國證監(jiān)會XXXX運(yùn)行監(jiān)測系統(tǒng)的相關(guān)人員提供如下三類的信息安全培訓(xùn)課程：等級保護(hù)合規(guī)培訓(xùn)：通過詳細(xì)介紹系列等級保護(hù)相關(guān)制度規(guī)范，同時(shí)結(jié)合國際國內(nèi)其它相關(guān)制度規(guī)范的講解，使相關(guān)人員能充分認(rèn)識到信息安全的重要性，已經(jīng)信息安全的合規(guī)要求。信息安全意識培訓(xùn)：面向非技術(shù)類用戶。目的是通過大量的當(dāng)前典型安全事件導(dǎo)入，從感性認(rèn)知層面對目前的信息安全威脅給予直觀、形象的描述，使用戶能對當(dāng)前的信息安全威脅有一個(gè)深刻的認(rèn)識。同時(shí)通過案例介紹的方式對用戶日常工作、生活中經(jīng)常用到的一些客戶端應(yīng)用工具、系統(tǒng)的安全威脅進(jìn)行分析，并闡明具體的防范措施，最終協(xié)助建立起適合個(gè)人、企業(yè)的用戶行為基準(zhǔn)。信息安全技術(shù)培訓(xùn)：?2011xx科技-?2011xx科技-26-密級：商業(yè)機(jī)密面向信息安全技術(shù)類用戶，例如系統(tǒng)管理員、安全技術(shù)員等。目的是通過培訓(xùn)讓其在系統(tǒng)及應(yīng)用層面上了解常見通用操作系統(tǒng)架構(gòu)以及其安全性，掌握相關(guān)系統(tǒng)的安全配置和管理能力；在網(wǎng)絡(luò)層面上了解常見的網(wǎng)絡(luò)安全協(xié)議掌握網(wǎng)絡(luò)安全協(xié)議以及路由交換常見安全配置;同時(shí)通過實(shí)驗(yàn)了解常見的網(wǎng)絡(luò)攻擊技術(shù)原理，掌握常見的攻擊防護(hù)方法。以下為培訓(xùn)課程內(nèi)容示例。?2011xx科技?2011xx科技-27-密級：商業(yè)機(jī)密表5.1安全培訓(xùn)內(nèi)容序號培訓(xùn)名稱培訓(xùn)內(nèi)容簡單描述等級保護(hù)合規(guī)培訓(xùn)1等級保護(hù)制度培訓(xùn)介紹等級保護(hù)理論框架、重要等級保護(hù)相關(guān)制度介紹、國內(nèi)外等級化安全建設(shè)的演變、等級保護(hù)制度與其它信息安全制度的關(guān)系等。2信息安全管理體系培訓(xùn)介紹信息安全管理體系的主要國內(nèi)國際標(biāo)準(zhǔn)、信息安全管理體系框架和內(nèi)容，信息安全管理體系建設(shè)的最佳實(shí)踐等內(nèi)容。日常運(yùn)維方面培訓(xùn)課程3安全系統(tǒng)整體日常運(yùn)維培訓(xùn)通過實(shí)際案例和安全事件，表述信息安全對于個(gè)人生活、工作、學(xué)習(xí)無處不在的事實(shí)，同時(shí)闡明安全問題并非孤立、遙遠(yuǎn)的技術(shù)，在此基礎(chǔ)上按照一般的安全技術(shù)的劃分深入淺出地描述信息安全所包含的各個(gè)領(lǐng)域，以及這些領(lǐng)域和日常工作、生活的密切聯(lián)系，對常見客戶端應(yīng)用工具/系統(tǒng)的安全問題進(jìn)行分析，采用實(shí)證方式闡明OE、IE、Foxmail、MSN/QQ、P2P工具等的安全設(shè)置，對Windows操作系統(tǒng)存在的安全問題進(jìn)行敘述和演示。同時(shí)，就日益猖獗的病毒、木馬等威脅進(jìn)行必要的描述，并闡明具體的防范措施，最終協(xié)助建立起適合個(gè)人、企業(yè)的用戶行為基準(zhǔn)。4安全系統(tǒng)故障應(yīng)急處理培訓(xùn)本講從將結(jié)合應(yīng)急響應(yīng)演練，通過多個(gè)應(yīng)急響應(yīng)經(jīng)典案例，對應(yīng)急響應(yīng)預(yù)案等核心步驟進(jìn)行清晰的分析和描述，并且對在多個(gè)系統(tǒng)上對入侵痕跡的調(diào)查，易消失證據(jù)的獲取進(jìn)行詳解介紹和加安全管理方面培訓(xùn)課程5信息安全事件以及安全威脅培訓(xùn)通過大量典型的安全事件導(dǎo)入，反映當(dāng)前安全形勢的極端惡化，從感性認(rèn)識層面對安全威脅給予直觀、形象的描述，并形成一定的安全現(xiàn)象/知識沖擊結(jié)果，分析、強(qiáng)調(diào)漠視信息安全的嚴(yán)重后果，以及安全威脅的發(fā)展趨勢：速度更快、范圍更廣、影響更深刻。6系統(tǒng)使用人員的安全意從ISO7498-2模型出發(fā)，結(jié)合CBK領(lǐng)域、BS7799領(lǐng)域劃分，對信息安全中涉及到的標(biāo)準(zhǔn)、協(xié)議、技術(shù)手段、工具/產(chǎn)品、過程

識培訓(xùn)方法等，通過對安全領(lǐng)域和知識的清晰劃分和描述，最終能夠形成一張信息安全的知識結(jié)構(gòu)圖。7信息安全管理人員的防入侵技術(shù)提高培訓(xùn)介紹一般的黑客攻擊途徑，著重描述當(dāng)前流行的攻擊技術(shù)和防御手段，從踩點(diǎn)掃描著手，重點(diǎn)分析網(wǎng)絡(luò)嗅探、病毒與木馬攻擊、拒絕服務(wù)攻擊、SQLInjection原理、XSS跨站腳本攻擊等，并闡明相應(yīng)的防御措施，通過一次完整、完美的黑客攻擊過程的實(shí)踐展示，首先對黑客攻擊的一般步驟進(jìn)行分析，闡明黑客攻防的基本思路，并按照步驟順序?qū)ζ渲猩婕暗降墓ぞ?、平臺、弱點(diǎn)、手法進(jìn)行敘述，對黑客的慣常思維方式進(jìn)行歸納總結(jié)。8常見操作系統(tǒng)安全培訓(xùn)從Windows以及Unix的安全結(jié)構(gòu)入手，對windows安全子系統(tǒng)中的重要組件如SAM、LSA、GINA等進(jìn)行詳細(xì)分析，分別闡明帳戶安全、文件系統(tǒng)安全、注冊表安全，對于Windows的常見應(yīng)用（如IIS、Netbios、TerminalServer等）的安全性加以分析。針對Unix系統(tǒng)，則對帳號安全、文件系統(tǒng)安全、常見應(yīng)用安全的討論，強(qiáng)調(diào)Unix系統(tǒng)本身安全配置的同時(shí)，還將重點(diǎn)描述Unix主要應(yīng)用服務(wù)（Mail、H口P等）的安全問題。5.3安全服務(wù)方案等級保護(hù)安全服務(wù)內(nèi)容在本次中國證監(jiān)會XXXX運(yùn)行監(jiān)測系統(tǒng)等級保護(hù)服務(wù)方案設(shè)計(jì)中，主要包括以下內(nèi)容：等級保護(hù)合規(guī)咨詢及規(guī)劃設(shè)計(jì)XX科技作為專業(yè)的安全服務(wù)提供商，基于對信息安全的深刻理解，以為客戶信息系統(tǒng)構(gòu)建”等級化的安全體系”為等級保護(hù)工作的服務(wù)理念，旨在根據(jù)不同用戶在等級保護(hù)不同等級、不同階段的業(yè)務(wù)特性、安全需求及安全應(yīng)用重點(diǎn)，為用戶在等級保護(hù)的框架下構(gòu)建一個(gè)安全、可靠、靈活、可持續(xù)改進(jìn)的信息安全體系。等級保護(hù)的各個(gè)階段有著不同的工作重點(diǎn)，XX科技將憑借著深厚的技術(shù)實(shí)力和豐富的安全服務(wù)項(xiàng)目經(jīng)驗(yàn)，針對等級保護(hù)各個(gè)階段的工作重點(diǎn)為客戶提供全方位的支持和服務(wù)。系統(tǒng)上線前安全評估

用戶在自主開發(fā)業(yè)務(wù)系統(tǒng)或委托開發(fā)業(yè)務(wù)系統(tǒng)時(shí)，更多的是從業(yè)務(wù)功能實(shí)現(xiàn)方面對業(yè)務(wù)系統(tǒng)進(jìn)行驗(yàn)收，缺乏相應(yīng)的技術(shù)手段和能力對交付的業(yè)務(wù)系統(tǒng)的安全狀況進(jìn)行檢驗(yàn)。如果業(yè)務(wù)系統(tǒng)在上線后由于存在類似SQL注入、密碼明文傳輸、安全功能缺失等漏洞而遭受攻擊，會直接影響正常業(yè)務(wù)運(yùn)行，甚至造成經(jīng)濟(jì)和名譽(yù)的損失，再加上有些漏洞涉及代碼改寫，考慮到業(yè)務(wù)連續(xù)性的要求，這些漏洞幾乎無法得到修復(fù)。?2011xx科技?2011xx科技-28-密級：商業(yè)機(jī)密因此，用戶需要一種能夠在系統(tǒng)上線前對系統(tǒng)安全狀況進(jìn)行檢驗(yàn)的服務(wù)，從信息安全的角度對應(yīng)用系統(tǒng)、集成環(huán)境等內(nèi)容的安全狀況進(jìn)行評估，對發(fā)現(xiàn)的問題進(jìn)行妥善處理，避免將影響系統(tǒng)安全的問題遺留到系統(tǒng)上線后，成為系統(tǒng)安全的隱患。等級保護(hù)管理體系建設(shè)“三分技術(shù)，七分管理”說明了信息安全管理體系在整個(gè)信息安全保障體系中的重要地位，等級保護(hù)管理要求從人員、制度、流程、培訓(xùn)、運(yùn)維等多個(gè)方面對系統(tǒng)管理合規(guī)性提出了要求，安全管理與安全技術(shù)不是完全獨(dú)立的，安全管理應(yīng)融合到系統(tǒng)的日常運(yùn)維中，與安全技術(shù)體系相互依托、高度融合，更好地發(fā)揮技術(shù)體系的作用。安全意識及安全技術(shù)培訓(xùn)實(shí)施中國證監(jiān)會XXXX運(yùn)行監(jiān)測系統(tǒng)的安全建設(shè)及安全運(yùn)維，人才是關(guān)鍵，同時(shí)，等級保護(hù)制度也對人員安全培訓(xùn)有明確的要求，業(yè)務(wù)系統(tǒng)建設(shè)實(shí)質(zhì)上是信息技術(shù)與技術(shù)人員工作的結(jié)合過程，這就要求系統(tǒng)運(yùn)維及管理人員必須掌握一定的安全技術(shù)知識并深刻理解國家政策要求。針對中國證監(jiān)會XXXX運(yùn)行監(jiān)測系統(tǒng)相關(guān)人員的培訓(xùn)包括兩大目的：a）安全意識培訓(xùn)一使從業(yè)人員了解安全的意義，能夠自覺守法、安全可靠的工作。為了確保用戶意識到信息安全的威脅和利害關(guān)系，并具有在日常工作過程中支持組織安全方針的能力，應(yīng)對用戶進(jìn)行安全程序和正確使用信息處理設(shè)備的培訓(xùn)，以盡量降低可能的安全風(fēng)險(xiǎn)。b）安全知識培訓(xùn)一使從業(yè)人員了解、掌握有關(guān)安全理念、安全保障體系、安全功能、安全保證、安全操作、安全關(guān)聯(lián)，為成為合格和稱職的運(yùn)維技術(shù)人員和安全工作人員奠定基礎(chǔ)。等級保護(hù)合規(guī)咨詢及規(guī)劃設(shè)計(jì)針對等級保護(hù)，XX科技可以提供全程的等級保護(hù)咨詢服務(wù)，在系統(tǒng)定級階段、規(guī)劃設(shè)計(jì)階段、實(shí)施實(shí)現(xiàn)階段和運(yùn)行管理階段，中國證監(jiān)會XXXX運(yùn)行監(jiān)測系統(tǒng)可根據(jù)需要選擇等級保護(hù)咨詢服務(wù)內(nèi)容，可提供的服務(wù)如下。?2011xx科技-?2011xx科技-29-密級：商業(yè)機(jī)密等級保護(hù)咨詢服務(wù)等級保護(hù)咨詢服務(wù)系統(tǒng)定級階段 規(guī)劃設(shè)計(jì)階段 實(shí)施實(shí)現(xiàn)階段 運(yùn)行管理階段—等級保護(hù)導(dǎo)入培訓(xùn)L系統(tǒng)安全需求導(dǎo)出，等級安設(shè)計(jì)決方案L階段性風(fēng)險(xiǎn)評估J信息系統(tǒng)業(yè)務(wù)

安全性分析系統(tǒng)劃分系統(tǒng)輔助定級等級差距評估信息系統(tǒng)等級安全 規(guī)劃安全建設(shè)規(guī)劃技術(shù)體系等級建設(shè)管理體系等級建設(shè)協(xié)助通過等級測評信息系統(tǒng)業(yè)務(wù)

安全性分析系統(tǒng)劃分系統(tǒng)輔助定級等級差距評估信息系統(tǒng)等級安全 規(guī)劃安全建設(shè)規(guī)劃技術(shù)體系等級建設(shè)管理體系等級建設(shè)協(xié)助通過等級測評安全狀態(tài)監(jiān)控協(xié)助完成等級備案整改方案制定與

實(shí)施系統(tǒng)可持續(xù)性安全

服務(wù)配合用戶完成系統(tǒng)

自查配合主管單位、用

二戶完成安全檢查」?安全崗位培訓(xùn)圖5.1XX科技信息安全等級保護(hù)咨詢服務(wù)流程系統(tǒng)定級階段（可選）信息系統(tǒng)安全定級是實(shí)施信息系統(tǒng)安全等級保護(hù)的基礎(chǔ)和前提。等級確定的正確與否，直接關(guān)系到信息系統(tǒng)的定位、后續(xù)的安全規(guī)劃、安全建設(shè)、安全實(shí)施和等級保護(hù)工作相關(guān)各方的資源投入，因此在定級階段如何通過對信息系統(tǒng)的調(diào)查和分析，科學(xué)、合理地劃分信息系統(tǒng)的子系統(tǒng)，并依據(jù)各種因素確定信息系統(tǒng)的安全保護(hù)等級，對整個(gè)等級保護(hù)工作能否順利進(jìn)行至關(guān)重要。XX科技在定級階段將協(xié)助用戶完成以下工作。等級保護(hù)導(dǎo)入培訓(xùn)XX科技作為主要編寫單位，參加了多項(xiàng)國家和北京地區(qū)的等級保護(hù)、風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)制定工作，對標(biāo)準(zhǔn)有著深入的理解。為使客戶更深入的了解等級保護(hù)標(biāo)準(zhǔn)思想內(nèi)涵、定級方法和工作思路，XX科技將為客戶進(jìn)行等級保護(hù)導(dǎo)入培訓(xùn)，普及等級保護(hù)的基礎(chǔ)知識。?2011xx科技-?2011xx科技-30-密級：商業(yè)機(jī)密信息系統(tǒng)業(yè)務(wù)安全性分析通過對信息系統(tǒng)所承載業(yè)務(wù)及業(yè)務(wù)流程的分析，分析信息系統(tǒng)內(nèi)信息資產(chǎn)和信息系統(tǒng)所提供服務(wù)的重要性，協(xié)助用戶判斷信息系統(tǒng)中業(yè)務(wù)信息和所提供的服務(wù)機(jī)密性、完整性或可用性等安全屬性遭到破壞后，對國家安全利益、經(jīng)濟(jì)建設(shè)、公共利益或單位利益所造成的影響程度。為子系統(tǒng)劃分和信息系統(tǒng)定級打下扎實(shí)基礎(chǔ)。系統(tǒng)劃分對于承載多項(xiàng)業(yè)務(wù)的用戶信息系統(tǒng)，XX科技可在深入分析各項(xiàng)業(yè)務(wù)性質(zhì)、特點(diǎn)及信息系統(tǒng)的實(shí)際情況基礎(chǔ)上，對信息系統(tǒng)按業(yè)務(wù)子系統(tǒng)進(jìn)行合理劃分。系統(tǒng)輔助定級依據(jù)《信息系統(tǒng)安全保護(hù)等級定級指南》所提出的4個(gè)定級要素，靈活運(yùn)用指南中所提出的確定信息系統(tǒng)安全保護(hù)等級的步驟和方法，在信息系統(tǒng)業(yè)務(wù)安全性分析的基礎(chǔ)上，提出等級建議，協(xié)助用戶進(jìn)行系統(tǒng)定級。5?3,3.5協(xié)助用戶完成等級備案根據(jù)公安部等級保護(hù)相關(guān)備案要求，協(xié)助客戶完成等級保護(hù)備案工作。規(guī)劃設(shè)計(jì)階段安全規(guī)劃設(shè)計(jì)是等級保護(hù)實(shí)施過程中的另一個(gè)重要階段，安全規(guī)劃設(shè)計(jì)階段的目標(biāo)是通過等級化風(fēng)險(xiǎn)評估判斷信息系統(tǒng)的安全保護(hù)現(xiàn)狀與國家等級保護(hù)基本要求之間的差距，確定安全需求，根據(jù)信息系統(tǒng)的子系統(tǒng)劃分情況、子系統(tǒng)的定級情況、子系統(tǒng)互聯(lián)情況、子系統(tǒng)承載業(yè)務(wù)情況和安全需求等，設(shè)計(jì)合理的、滿足等級保護(hù)要求的總體安全方案，并制定出安全實(shí)施計(jì)劃等，以指導(dǎo)后續(xù)的信息系統(tǒng)安全建設(shè)工程實(shí)施。XX科技在安全規(guī)劃設(shè)計(jì)階段將協(xié)助用戶完成以下工作。系統(tǒng)安全需求導(dǎo)出

從本質(zhì)上說，信息系統(tǒng)承載業(yè)務(wù)的安全需求是推動(dòng)等級保護(hù)工作向前發(fā)展的動(dòng)力和起因，系統(tǒng)的安全需求應(yīng)能滿足系統(tǒng)承載業(yè)務(wù)長期、健康、穩(wěn)定的生存發(fā)展，是增強(qiáng)競爭能力和抗風(fēng)險(xiǎn)能力的需要。沒有對客戶、行業(yè)、業(yè)務(wù)、具體系統(tǒng)的安全需求的詳細(xì)和準(zhǔn)確的分析，不可能獲得切合實(shí)際的等級保護(hù)解決方案。?2011xx科技?2011xx科技-31密級：商業(yè)機(jī)密不同信息系統(tǒng)的安全需求是不同的，XX科技的等級保護(hù)服務(wù)不是僵化套用標(biāo)準(zhǔn)的等級保護(hù)服務(wù)，而是靈活的，以業(yè)務(wù)的安全分析為基礎(chǔ)，針對不同系統(tǒng)的業(yè)務(wù)特點(diǎn)、行業(yè)特點(diǎn)，從多側(cè)面、多角度入手，全方位的導(dǎo)出信息系統(tǒng)的等級安全需求。導(dǎo)出的安全需求不僅將滿足目前承載業(yè)務(wù)的安全要求，而且會充分考慮單位未來可能出現(xiàn)的新需求。5?3?4,2等級差距評估（可選）等級化風(fēng)險(xiǎn)評估首先根據(jù)系統(tǒng)的安全等級選擇和確定系統(tǒng)基本安全要求指標(biāo)，然后按照安全指標(biāo)評估系統(tǒng)安全現(xiàn)狀，找出系統(tǒng)現(xiàn)狀與安全指標(biāo)之間的差距，并進(jìn)行額外的風(fēng)險(xiǎn)評估找出系統(tǒng)的一些特定需求。XX科技認(rèn)為在等級保護(hù)工作中，對信息系統(tǒng)的等級評估如果只是簡單地套用標(biāo)準(zhǔn)，按標(biāo)準(zhǔn)中描述的相應(yīng)等級基線的安全技術(shù)要求和安全管理要求進(jìn)行僵化的符合性評估，而不考慮具體信息系統(tǒng)面臨的特定的安全威脅和風(fēng)險(xiǎn)，將很難準(zhǔn)確評估信息系統(tǒng)的安全狀況和與相應(yīng)等級的差距。XX的等級化風(fēng)險(xiǎn)評估是結(jié)合風(fēng)險(xiǎn)評估的方法和理論，圍繞著系統(tǒng)所承載的具體業(yè)務(wù)，通過風(fēng)險(xiǎn)評估的方法評估系統(tǒng)的風(fēng)險(xiǎn)狀況，判斷系統(tǒng)風(fēng)險(xiǎn)水平是否低于系統(tǒng)可接受的風(fēng)險(xiǎn)水平要求，以及系統(tǒng)的安全措施是否符合相應(yīng)等級的安全要求兩方面條件來判斷系統(tǒng)與所定等級的差距。信息系統(tǒng)等級安全規(guī)劃安全規(guī)劃的目的是根據(jù)等級保護(hù)基本安全要求和系統(tǒng)的安全需求，設(shè)計(jì)系統(tǒng)的整體安全框架，提出系統(tǒng)在總體方面的策略要求、各個(gè)子系統(tǒng)應(yīng)該實(shí)現(xiàn)的安全技術(shù)措施、安全管理措施等，形成用于指導(dǎo)系統(tǒng)具體安全建設(shè)的安全總體方案。等級安全規(guī)劃是將等級保護(hù)基本安全要求和系統(tǒng)的安全需求在信息系統(tǒng)上的落實(shí)過程。XX科技的等級安全規(guī)劃首先根據(jù)前期系統(tǒng)安全需求導(dǎo)出和等級化風(fēng)險(xiǎn)評估結(jié)果制定系統(tǒng)總體的安全策略，然后依據(jù)總體安全策略和等級保護(hù)相關(guān)要求，設(shè)計(jì)系統(tǒng)的安全技術(shù)框架和安全管理框架，形成系統(tǒng)符合安全等級保護(hù)要求，同時(shí)滿足系統(tǒng)特定安全保護(hù)需求的安全總體方案，是在較高層次上形成的信息系統(tǒng)安全要求，包括安全方針和安全策略、安全技術(shù)框架和安全管理體系等。?2011xx科技-?2011xx科技-32-密級：商業(yè)機(jī)密5,3?4.4安全建設(shè)規(guī)劃安全建設(shè)規(guī)劃的目的是將信息系統(tǒng)安全總體設(shè)計(jì)規(guī)定的內(nèi)容落實(shí)到安全建設(shè)項(xiàng)目中。安全建設(shè)規(guī)劃通過對安全項(xiàng)目的相關(guān)性、緊迫性、難易程度和預(yù)期效果等因素進(jìn)行分析，確定實(shí)施的先后順序。根據(jù)系統(tǒng)的安全總體方案，XX科技將根據(jù)信息系統(tǒng)目前的安全狀況和安全投入情況，規(guī)劃信息系統(tǒng)優(yōu)先需要考慮的安全措施以及近期、中期和長期的安全建設(shè)內(nèi)容，為在一段時(shí)間內(nèi)指導(dǎo)系統(tǒng)安全建設(shè)工作提供完備的安全建設(shè)規(guī)劃方案。實(shí)施實(shí)現(xiàn)階段等級安全解決方案設(shè)計(jì)XX科技依靠多年的方案設(shè)計(jì)經(jīng)驗(yàn)，將在深入分析系統(tǒng)業(yè)務(wù)安全需求的基礎(chǔ)上，為用戶提供并建立一套符合相應(yīng)等級保護(hù)要求的全方位的整體系統(tǒng)安全解決實(shí)施方案，方案中不僅包括安全技術(shù)體系的實(shí)施而且包括安全組織體系的設(shè)計(jì)和安全管理體系的建立。5,3?5.2安全技術(shù)體系等級建設(shè)安全技術(shù)實(shí)施的活動(dòng)內(nèi)容包括安全產(chǎn)品的采購、安全控制的開發(fā)以及驗(yàn)收與測試等環(huán)節(jié)，XX科技將針對系統(tǒng)具體的安全需求，在等級保護(hù)前期工作基礎(chǔ)上，提供專業(yè)的安全技術(shù)解決方案，提供包括安全產(chǎn)品選型、產(chǎn)品部署、產(chǎn)品調(diào)試配置、安全加固等服務(wù)，而且XX科技將站在更高的角度，以一個(gè)系統(tǒng)建設(shè)者的角度，把信息系統(tǒng)安全建設(shè)與信息系統(tǒng)建設(shè)過程平滑有機(jī)地結(jié)合起來。5,3?5.3安全管理體系等級建設(shè)信息安全管理是改進(jìn)當(dāng)前信息系統(tǒng)安全狀況的主要保障，不健全的安全管理機(jī)制是信息安全最大的薄弱點(diǎn)，也是等級保護(hù)的工作重點(diǎn)，相對于安全技術(shù)來說，等級保護(hù)在安全管理方面所需工作更是任重道遠(yuǎn)。但安全管理體系絕不是各類安全管理制度的簡單疊加，XX科技將以系統(tǒng)用戶的角度，以保障系統(tǒng)業(yè)務(wù)正常運(yùn)行為出發(fā)點(diǎn)，將系統(tǒng)的信息安全管理狀況與等級保護(hù)管理要求進(jìn)行深入的差距分析，深入分析現(xiàn)有的系統(tǒng)管理體系和信息安全管理制度，從各個(gè)方面協(xié)助客戶建立與信息系統(tǒng)安全技術(shù)和安全運(yùn)行相適應(yīng)的完善的符合系統(tǒng)業(yè)務(wù)特點(diǎn)的信息安全管理體系。?2011xx科技-?2011xx科技-33-密級：商業(yè)機(jī)密5,3,5.4協(xié)助通過等級測評（可選）XX科技作為國內(nèi)領(lǐng)先的信息安全服務(wù)供應(yīng)商，在國家等級保護(hù)工作中有多年的經(jīng)驗(yàn)積累，參與了國家等級保護(hù)工作的各個(gè)階段，從國家等級保護(hù)制度的研究，相關(guān)標(biāo)準(zhǔn)文件的制定，到等級保護(hù)試點(diǎn)工作，以及等級保護(hù)在全國范圍的全面開展。在此過程中，XX科技與相關(guān)測評機(jī)構(gòu)建立了良好的合作關(guān)系，可以更加順利地保障用戶順利通過等級保護(hù)測評，并在后續(xù)每年的安全檢查中，提供良好的基礎(chǔ)支持與咨詢服務(wù)。5?3.5?5整改方案制定與實(shí)施（可選）XX將根據(jù)等級測評后所暴露的問題，為用戶制定整改方案，并對系統(tǒng)進(jìn)行等級改造。5,3,5.6安全崗位培訓(xùn)企業(yè)整體的信息安全是要靠組織中的每位員工一起參與的，而目前的實(shí)際情況中，普通工作人員往往沒有形成與之相適應(yīng)的安全意識，為提高廣大一線員工的安全意識，同時(shí)減少企業(yè)推廣安全策略的過程中不必要的摩擦，XX科技為您提供安全普及培訓(xùn)。該項(xiàng)培訓(xùn)主要目的是普及信息安全的基本知識，提高安全意識。對常見的安全問題進(jìn)行描述和解決。運(yùn)行管理階段（可選）階段性風(fēng)險(xiǎn)評估信息系統(tǒng)存在的風(fēng)險(xiǎn)不是一成不變的，系統(tǒng)承載業(yè)務(wù)的變化、面臨威脅的變化、系統(tǒng)脆弱性的變化都會使信息系統(tǒng)的風(fēng)險(xiǎn)水平發(fā)生改變。為了及時(shí)地針對風(fēng)險(xiǎn)的改變調(diào)整系統(tǒng)的安全控制措施，使系統(tǒng)的風(fēng)險(xiǎn)始終維持在一個(gè)可以接受的水平，滿足系統(tǒng)所定等級的安全要求，XX科技向客戶提供階段性的風(fēng)險(xiǎn)評估服務(wù)。安全狀態(tài)監(jiān)控

安全狀態(tài)監(jiān)控服務(wù)指通過信息共享、安全監(jiān)控、值守等技術(shù)設(shè)施，對單位的信息系統(tǒng)運(yùn)行狀態(tài)進(jìn)行監(jiān)控，及時(shí)發(fā)現(xiàn)各類信息安全事件并向相關(guān)人員發(fā)布預(yù)警信息，在信息安全事件發(fā)生或造成較大危害前及時(shí)采取應(yīng)對措施；安全狀態(tài)監(jiān)控服務(wù)分為安全狀態(tài)監(jiān)控和監(jiān)控外包兩種形式。?2011xx科技?2011xx科技-34-密級：商業(yè)機(jī)密安全狀態(tài)監(jiān)控服務(wù)主要通過在客戶網(wǎng)絡(luò)中安裝入侵監(jiān)測系統(tǒng)和通過我們的主動(dòng)監(jiān)控系統(tǒng)，對被服務(wù)網(wǎng)絡(luò)的運(yùn)行情況和遭受攻擊的情況進(jìn)行分析記錄和報(bào)警。當(dāng)有危害的攻擊行為或網(wǎng)絡(luò)系統(tǒng)運(yùn)行異常時(shí)，XX科技工程師將根據(jù)多種方式通知客戶，雙方配合解決相應(yīng)的問題。安全監(jiān)控外包與狀態(tài)監(jiān)控服務(wù)內(nèi)容不同之處在于，客戶將需要監(jiān)控管理的設(shè)備，主機(jī)的運(yùn)行管理權(quán)限交付給XX科技管理。系統(tǒng)在任何異常行為發(fā)生時(shí)，XX科技將直接進(jìn)行處理。這種方式對那些關(guān)注核心業(yè)務(wù)的客戶來說，將降低運(yùn)營成本，并提高異常事件的反應(yīng)速度。5?3.6.3系統(tǒng)可持續(xù)性安全服務(wù)系統(tǒng)安全是一個(gè)持續(xù)性地需不斷改進(jìn)的系統(tǒng)工程，在系統(tǒng)完成等級保護(hù)建設(shè)后，系統(tǒng)投入正式使用過程中，將不斷面臨來自組織內(nèi)外的各種安全威脅，這些安全威脅可能利用系統(tǒng)自身的各種安全漏洞或者管理缺陷攻擊系統(tǒng)，影響到單位業(yè)務(wù)的連續(xù)性和數(shù)據(jù)的保密性和完整性，因此，需要可持續(xù)的安全服務(wù)幫助單位不斷完善安全保障體系，應(yīng)對來自各方面的安全威脅。配合用戶完成系統(tǒng)自查XX科技作為專業(yè)的第三方安全廠商，具備信息安全服務(wù)和評估領(lǐng)域的多項(xiàng)資質(zhì)，承擔(dān)了多個(gè)國家重要信息系統(tǒng)的等級保護(hù)評估和建設(shè)任務(wù)，積累了豐富的等級保護(hù)評估工作經(jīng)驗(yàn)，在系統(tǒng)評估過程中，XX科技將采用國家認(rèn)可的專業(yè)的核查和掃描等工作，輔助客戶進(jìn)行自評估，并出具第三方評估報(bào)告。配合主管單位、用戶完成安全檢查對于三級及三級以上等重要業(yè)務(wù)系統(tǒng)，國家要求每年進(jìn)行安全檢查，隨著等級保護(hù)政策的推廣，各行業(yè)主管單位，公安部也經(jīng)常進(jìn)行不定期的安全檢查，XX科技將協(xié)助用戶完成此類安全檢查，符合主管單位和行業(yè)的要求。?2011xx科技-?2011xx科技-35-密級：商業(yè)機(jī)密系統(tǒng)上線前安全評估XX科技業(yè)務(wù)系統(tǒng)上線前評估服務(wù)包括：安全漏洞掃描：使用XX科技自主知識產(chǎn)權(quán)的遠(yuǎn)程安全評估系統(tǒng)對業(yè)務(wù)系統(tǒng)集成環(huán)境安全狀況進(jìn)行評估；手工安全檢查：使用XX科技自主知識產(chǎn)權(quán)的配置核查系統(tǒng)和XX科技手工安全檢查規(guī)范對業(yè)務(wù)系統(tǒng)的安全策略、服務(wù)配置等情況進(jìn)行檢查；安全滲透測試：以黑客的視角對業(yè)務(wù)系統(tǒng)的安全狀況進(jìn)行黑盒測試，使用黑客攻擊的工具和手段對業(yè)務(wù)系統(tǒng)進(jìn)行模擬攻擊測試，挖掘可能存在的安全漏洞；代碼安全審計(jì)：從編碼的角度對業(yè)務(wù)系統(tǒng)源代碼進(jìn)行安全審計(jì)，檢查源代碼是否存在安全缺陷并重點(diǎn)檢查重要模塊的代碼是否安全，挖掘缺陷安全代碼；安全功能審核：參考CC的內(nèi)容要求結(jié)合XX科技安全服務(wù)經(jīng)驗(yàn)，對業(yè)務(wù)系統(tǒng)的安全功能進(jìn)行審核，對業(yè)務(wù)系統(tǒng)安全功能完善性和安全強(qiáng)度是否符合標(biāo)準(zhǔn)進(jìn)行評估。業(yè)務(wù)系統(tǒng)上線前評估服務(wù)流程如下圖。圖5.2業(yè)務(wù)系統(tǒng)上線前評估服務(wù)流程由于此時(shí)業(yè)務(wù)系統(tǒng)并未正式部署上線，因此所有的服務(wù)內(nèi)容均以現(xiàn)場服務(wù)的方式進(jìn)行（代碼安全審計(jì)服務(wù)可非?，F(xiàn)場開展）。?2011xx科技-?2011xx科技-36-密級：商業(yè)機(jī)密在整個(gè)安全評估過程中，僅需要客戶提供業(yè)務(wù)系統(tǒng)相關(guān)信息，并配合進(jìn)行系統(tǒng)登錄，如有必要還需提供業(yè)務(wù)系統(tǒng)測試帳號。XX科技工程師在獲取到相關(guān)資源后，在客戶指定的時(shí)間開展安全評估工作。針對中國證監(jiān)會XXXX運(yùn)行監(jiān)測系統(tǒng)，考慮到系統(tǒng)等級保護(hù)要求為二級，并且系統(tǒng)屬于委托第三方開發(fā)，因此，在系統(tǒng)上線前建議采用以下評估服務(wù)內(nèi)容。5?3?7.2漏洞掃描服務(wù)安全漏洞掃描主要是通過評估工具以本地掃描的方式對評估范圍內(nèi)的系統(tǒng)和網(wǎng)絡(luò)進(jìn)行安全掃描，查找網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備、服務(wù)器主機(jī)、數(shù)據(jù)和用戶賬號/口令等安全對象目標(biāo)存在的安全風(fēng)險(xiǎn)、漏洞和威脅。安全漏洞掃描服務(wù)過程如下：圖5.3漏洞掃描服務(wù)過程漏洞掃描服務(wù)是一個(gè)閉環(huán)的服務(wù)，分為四個(gè)不同的階段：漏洞發(fā)現(xiàn)，數(shù)據(jù)分析，漏洞處理和掃描復(fù)查漏洞掃描：使用XX科技自主知識產(chǎn)權(quán)遠(yuǎn)程安全評估系統(tǒng)對目標(biāo)設(shè)備安全狀況進(jìn)行評估，獲得掃描數(shù)據(jù)；結(jié)果分析：對獲取的掃描結(jié)果進(jìn)行分析，提供可執(zhí)行的安全建議，向用戶提交漏洞掃描報(bào)告；漏洞處理：針對發(fā)現(xiàn)的不同級別的漏