信息安全防護

英大支付項目信息系統(tǒng)建設(shè)

總體方案匯報

信息安全防護

安全防護需求安全防護框架一、安全防護需求與整體框架安全防護原則防護范圍和目標(biāo)系統(tǒng)概況數(shù)據(jù)中心內(nèi)網(wǎng)業(yè)務(wù)應(yīng)用系統(tǒng)呼叫中心系統(tǒng)、大系統(tǒng)、總部營銷稽查監(jiān)控系統(tǒng)、電費充值卡系統(tǒng)能效服務(wù)管理系統(tǒng)電動汽車充換電運營管理系統(tǒng)等外網(wǎng)業(yè)務(wù)應(yīng)用系統(tǒng)智能服務(wù)網(wǎng)絡(luò)統(tǒng)一接入平臺整體建設(shè)情況總部數(shù)據(jù)中心內(nèi)網(wǎng)業(yè)務(wù)應(yīng)用系統(tǒng)外網(wǎng)業(yè)務(wù)應(yīng)用系統(tǒng)統(tǒng)一接入平臺2統(tǒng)一接入平臺呼叫中心平臺分為三部分：坐席終端、接入系統(tǒng)（包括CTI接入設(shè)備、CTI服務(wù)器、IVR服務(wù)器等）、呼叫中心業(yè)務(wù)系統(tǒng)?？偛亢艚袠I(yè)務(wù)分：自用呼叫服務(wù)：使用業(yè)務(wù)應(yīng)用系統(tǒng)和數(shù)據(jù)，部署在信息內(nèi)網(wǎng)；外包呼叫服務(wù)：外包客戶業(yè)務(wù)應(yīng)用網(wǎng)絡(luò)呼叫服務(wù)：通過網(wǎng)絡(luò)途徑（eMail、WebChart）實時互動，使用智能服務(wù)網(wǎng)站。一、安全防護需求與整體框架安全防護需求安全防護框架安全防護原則防護范圍和目標(biāo)系統(tǒng)概況自用呼叫服務(wù)外包呼叫服務(wù)網(wǎng)絡(luò)呼叫服務(wù)3安全防護范圍對數(shù)據(jù)中心的安全防護；對中心內(nèi)網(wǎng)業(yè)務(wù)應(yīng)用系統(tǒng)的安全防護；對中心外網(wǎng)業(yè)務(wù)應(yīng)用系統(tǒng)的安全防護；對總部統(tǒng)一接入平臺的安全防護。安全防護目標(biāo)保證中心信息系統(tǒng)滿足國家信息安全等級保護的要求，滿足公司“雙網(wǎng)雙機、分區(qū)分域、等級保護、多層防御”的信息安全防護體系要求；確保中心內(nèi)、外網(wǎng)業(yè)務(wù)應(yīng)用系統(tǒng)的安全穩(wěn)定運行和業(yè)務(wù)數(shù)據(jù)的安全。保證應(yīng)用系統(tǒng)可抵御惡意人員、病毒、惡意代碼等造成的攻擊與破壞；保證業(yè)務(wù)數(shù)據(jù)在生成、存儲、傳輸和使用等過程中的安全，防范對信息系統(tǒng)資源的非授權(quán)訪問；保證中心的業(yè)務(wù)連續(xù)性。一、安全防護需求與整體框架安全防護需求安全防護框架安全防護原則防護范圍和目標(biāo)系統(tǒng)概況4遵循公司整體安全防護體系遵循公司現(xiàn)有的整體信息安全防護體系，充分利用公司信息網(wǎng)現(xiàn)有安全防護措施。等級防護依據(jù)國家信息安全等級保護制度，遵循國家、行業(yè)主管部門對相應(yīng)等級信息系統(tǒng)的安全等級保護要求進行設(shè)計和建設(shè)。高等級防護與整體防護相結(jié)合在對中心各業(yè)務(wù)應(yīng)用系統(tǒng)定級的基礎(chǔ)上，按照高等級防護原則進行整體安全防護設(shè)計。綜合防護、縱深防御按照“分區(qū)、分域、分級”的防護方針，從分區(qū)邊界、通信網(wǎng)絡(luò)、主機系統(tǒng)、應(yīng)用系統(tǒng)四個層次，采取綜合安全防護措施，通過邊界縱深防御，實現(xiàn)重點保護、分層防護。面向業(yè)務(wù)應(yīng)用根據(jù)業(yè)務(wù)應(yīng)用特點和應(yīng)用模式分析其面臨的安全風(fēng)險，確定其安全防護需求，提出相應(yīng)的安全防護策略和措施。風(fēng)險管理，適度安全在安全風(fēng)險分析的基礎(chǔ)上進行安全防護設(shè)計，在保證系統(tǒng)和數(shù)據(jù)安全的基礎(chǔ)上，盡可能減少對系統(tǒng)應(yīng)用模式、系統(tǒng)功能和性能的影響。一、安全防護需求與整體框架安全防護需求安全防護框架安全防護原則防護范圍和目標(biāo)系統(tǒng)概況5安全防護需求安全防護框架安全防護原則防護范圍和目標(biāo)一、安全防護需求與整體框架系統(tǒng)概況61）來自公司內(nèi)部惡意人員的攻擊；2）來自信息內(nèi)網(wǎng)的惡意代碼（病毒、蠕蟲、木馬等）的攻擊；3）支撐系統(tǒng)運行的基礎(chǔ)設(shè)施故障，導(dǎo)致系統(tǒng)不能正常運行；4）系統(tǒng)運維人員的誤操作、違規(guī)操作；5）系統(tǒng)合法用戶的非授權(quán)訪問、誤操作等。各系統(tǒng)面臨的信息安全風(fēng)險1）來自公司內(nèi)部惡意人員的攻擊；2）支撐數(shù)據(jù)中心運行的基礎(chǔ)設(shè)施故障，導(dǎo)致系統(tǒng)不能正常運行；3）數(shù)據(jù)中心運維人員的誤操作、違規(guī)操作；4）系統(tǒng)合法用戶的非授權(quán)訪問、誤操作等。數(shù)據(jù)中心內(nèi)網(wǎng)業(yè)務(wù)應(yīng)用系統(tǒng)1） 來自互聯(lián)網(wǎng)的攻擊，包括DDoS攻擊、網(wǎng)頁篡改、SQL注入、釣魚網(wǎng)站等；2） 來自互聯(lián)網(wǎng)的惡意代碼攻擊，包括病毒、蠕蟲傳播，網(wǎng)頁掛馬等；3） 支撐系統(tǒng)運行的基礎(chǔ)設(shè)施故障，導(dǎo)致系統(tǒng)不能正常運行；4） 網(wǎng)站運維人員對網(wǎng)站系統(tǒng)的誤操作和非授權(quán)操作。外網(wǎng)業(yè)務(wù)應(yīng)用系統(tǒng)安全防護需求安全防護框架安全防護原則防護范圍和目標(biāo)一、安全防護需求與整體框架安全等級防護需求安全風(fēng)險防護需求系統(tǒng)概況1） 座席終端數(shù)量龐大，管理復(fù)雜，增加了惡意代碼傳播的風(fēng)險；2） 自用座席、外包座席、網(wǎng)絡(luò)座席終端混用，導(dǎo)致病毒傳播、數(shù)據(jù)泄漏；3） 來自互聯(lián)網(wǎng)的攻擊和惡意代碼攻擊；4） CTI接入設(shè)備受到攻擊，不能正常運行，影響電話呼叫業(yè)務(wù)；5） 統(tǒng)一接入平臺受攻擊能影響其它業(yè)務(wù)應(yīng)用系統(tǒng)和數(shù)據(jù)；6） 平臺支撐系統(tǒng)不能正常運行；7） 系統(tǒng)運維人員的誤操作和非授權(quán)操作。統(tǒng)一接入平臺7信息安全風(fēng)險防護需求加強分區(qū)管理：根據(jù)數(shù)據(jù)中心、內(nèi)網(wǎng)業(yè)務(wù)應(yīng)用系統(tǒng)、外網(wǎng)業(yè)務(wù)應(yīng)用系統(tǒng)和統(tǒng)一接入平臺等業(yè)務(wù)的應(yīng)用特點和需求，合理劃分網(wǎng)絡(luò)分區(qū)，在分區(qū)邊界部署網(wǎng)絡(luò)訪問控制設(shè)備、網(wǎng)絡(luò)入侵防范、網(wǎng)絡(luò)安全審計等安全防護措施，實現(xiàn)網(wǎng)絡(luò)縱深防御；加強內(nèi)、外網(wǎng)隔離控制：根據(jù)內(nèi)、外網(wǎng)業(yè)務(wù)需求，將業(yè)務(wù)應(yīng)用系統(tǒng)和呼叫中心應(yīng)用系統(tǒng)、座席電腦終端分別部署在信息內(nèi)、外網(wǎng)，按照公司安全防護要求在信息內(nèi)、外網(wǎng)間部署邏輯強隔離設(shè)備；加強對互聯(lián)網(wǎng)攻擊的防范：對提供互聯(lián)網(wǎng)服務(wù)的智能服務(wù)網(wǎng)站，針對互聯(lián)網(wǎng)攻擊的主要方式和特點，采取有效的網(wǎng)絡(luò)攻擊和惡意代碼防護等安全措施；加強數(shù)據(jù)安全防護：將數(shù)據(jù)中心作為防護重點，通過物理、網(wǎng)絡(luò)、主機、應(yīng)用與數(shù)據(jù)、管理等方面的安全措施，保證數(shù)據(jù)中心的數(shù)據(jù)安全；加強對座席電腦終端的安全管理：對座席電腦終端，嚴(yán)格限制其網(wǎng)絡(luò)接入，加強其用戶登錄、外設(shè)和移動存儲設(shè)備使用、軟件安裝等行為的管理，防止通過座席電腦終端發(fā)起的網(wǎng)絡(luò)攻擊和惡意代碼傳播，防止座席人員利用電腦終端進行的違規(guī)操作和誤操作；加強業(yè)務(wù)連續(xù)性保障：通過物理、網(wǎng)絡(luò)、主機、應(yīng)用與數(shù)據(jù)的冗余設(shè)計和備份措施，提高中心信息系統(tǒng)的可靠性和可用性。加強系統(tǒng)建設(shè)和運維過程中的安全管控。安全防護需求安全防護框架安全防護原則防護范圍和目標(biāo)一、安全防護需求與整體框架安全等級防護需求安全風(fēng)險防護需求系統(tǒng)概況8二、安全技術(shù)方案根據(jù)業(yè)務(wù)應(yīng)用劃分為五大分區(qū)業(yè)務(wù)連續(xù)性基礎(chǔ)環(huán)境安全應(yīng)用與數(shù)據(jù)安全分區(qū)與邊界安全9數(shù)據(jù)區(qū)：

部署數(shù)據(jù)中心的存儲系統(tǒng)和設(shè)備。與內(nèi)網(wǎng)應(yīng)用區(qū)、外網(wǎng)應(yīng)用區(qū)的系統(tǒng)有實時數(shù)據(jù)訪問需求。內(nèi)網(wǎng)應(yīng)用區(qū)：

部署公司內(nèi)部業(yè)務(wù)服務(wù)的應(yīng)用系統(tǒng)（業(yè)務(wù)應(yīng)用系統(tǒng)、大系統(tǒng)、總部營銷稽查監(jiān)控系統(tǒng)、電費充值卡系統(tǒng)等）。外網(wǎng)應(yīng)用區(qū)：部署提供互聯(lián)網(wǎng)服務(wù)的應(yīng)用系統(tǒng)（智能服務(wù)網(wǎng)站、郵件服務(wù)器等）。

設(shè)置獨立的外包應(yīng)用區(qū)，部署外包客戶應(yīng)用系統(tǒng)。內(nèi)網(wǎng)呼叫中心區(qū)：

部署公司自用的接入系統(tǒng)和座席終端；內(nèi)網(wǎng)呼叫中心區(qū)需要訪問內(nèi)網(wǎng)應(yīng)用區(qū)的業(yè)務(wù)應(yīng)用系統(tǒng)。外網(wǎng)呼叫中

心區(qū)：

部署外包服務(wù)接入系統(tǒng)、外包座席終端和網(wǎng)絡(luò)座席終端。邊界劃分網(wǎng)絡(luò)分區(qū)安全域劃分邊界安全防護信息內(nèi)網(wǎng)縱向邊界3信息內(nèi)外網(wǎng)邊界2二、安全技術(shù)方案業(yè)務(wù)連續(xù)性基礎(chǔ)環(huán)境安全應(yīng)用與數(shù)據(jù)安全分區(qū)與邊界安全10第一層邊界(公共網(wǎng)絡(luò)邊界)互聯(lián)網(wǎng)邊界（1）PSTN接入邊界（6）第二層邊界(局域網(wǎng)邊界)信息內(nèi)外網(wǎng)邊界（2）信息內(nèi)網(wǎng)縱向邊界（3）第三層邊界(子網(wǎng)間邊界)信息內(nèi)網(wǎng)域邊界（4）信息外網(wǎng)域邊界（5）域邊界分為分區(qū)邊界和系統(tǒng)域邊界兩層。

自外向內(nèi)劃分為三層、六類邊界1互聯(lián)網(wǎng)邊界6PSTN接入邊界邊界劃分網(wǎng)絡(luò)分區(qū)安全域劃分邊界安全防護5外網(wǎng)域邊界4內(nèi)網(wǎng)域邊界二、安全技術(shù)方案分區(qū)安全域系統(tǒng)數(shù)據(jù)區(qū)三級系統(tǒng)域數(shù)據(jù)中心內(nèi)網(wǎng)

應(yīng)用區(qū)三級系統(tǒng)域業(yè)務(wù)應(yīng)用系統(tǒng)、大系統(tǒng)、

總部稽查監(jiān)控系統(tǒng)、電費充值卡系統(tǒng)等二級系統(tǒng)域服務(wù)中心OA等外網(wǎng)

應(yīng)用區(qū)三級系統(tǒng)域智能服務(wù)網(wǎng)站三級系統(tǒng)域外包客戶業(yè)務(wù)系統(tǒng)內(nèi)網(wǎng)

座席區(qū)三級系統(tǒng)域內(nèi)網(wǎng)CTI接入系統(tǒng)終端域座席終端(自用座席)外網(wǎng)

座席區(qū)三級系統(tǒng)域外網(wǎng)CTI接入系統(tǒng)終端域座席終端(外包座席、網(wǎng)絡(luò)座席)業(yè)務(wù)連續(xù)性基礎(chǔ)環(huán)境安全應(yīng)用與數(shù)據(jù)安全分區(qū)與邊界安全11邊界劃分網(wǎng)絡(luò)分區(qū)安全域劃分邊界安全防護二、安全技術(shù)方案邊界劃分網(wǎng)絡(luò)分區(qū)安全域劃分邊界安全防護邊界分類邊界劃分邊界防護措施PSTN接入邊界接入系統(tǒng)與PSTN網(wǎng)絡(luò)間邊界在CTI接入設(shè)備與接入系統(tǒng)之間部署硬件防火墻網(wǎng)關(guān)信息內(nèi)外網(wǎng)邊界與信息外網(wǎng)間邊界部署邏輯強隔離設(shè)備信息內(nèi)網(wǎng)縱向邊界與總部、省公司信息內(nèi)網(wǎng)間邊界部署硬件防火墻網(wǎng)關(guān)、IDS/IPS設(shè)備信息內(nèi)網(wǎng)域邊界數(shù)據(jù)區(qū)、應(yīng)用區(qū)、座席區(qū)間邊界數(shù)據(jù)區(qū)、應(yīng)用區(qū)邊界部署硬件防火墻網(wǎng)關(guān)應(yīng)用區(qū)三級系統(tǒng)域與二級系統(tǒng)域間邊界劃分VLAN進行隔離。三級系統(tǒng)域中根據(jù)應(yīng)用分為若干個VLAN。CTI接入系統(tǒng)域與終端域間邊界劃分VLAN進行隔離。其中終端域根據(jù)業(yè)務(wù)需要分為若干個VLAN。內(nèi)網(wǎng)邊界安全防護業(yè)務(wù)連續(xù)性基礎(chǔ)環(huán)境安全應(yīng)用與數(shù)據(jù)安全分區(qū)與邊界安全12二、安全技術(shù)方案邊界分類邊界劃分邊界防護措施互聯(lián)網(wǎng)邊界互聯(lián)網(wǎng)接入邊界部署硬件防火墻網(wǎng)關(guān)、IDS/IPS設(shè)備、防DDOS攻擊網(wǎng)關(guān)、WAF設(shè)備PSTN接入邊界接入系統(tǒng)與PSTN網(wǎng)絡(luò)間邊界在CTI接入設(shè)備與接入系統(tǒng)之間部署硬件防火墻網(wǎng)關(guān)外網(wǎng)域邊界應(yīng)用區(qū)、座席區(qū)間邊界通過劃分VLAN隔離。網(wǎng)站系統(tǒng)域邊界采用硬件防火墻網(wǎng)關(guān)隔離（與互聯(lián)網(wǎng)防火墻異構(gòu)）；根據(jù)應(yīng)用需要分為多個VLAN。CTI接入系統(tǒng)域與終端域間邊界外包接入系統(tǒng)、外包座席、網(wǎng)絡(luò)座席分別劃分為獨立的VLAN；外包座席、網(wǎng)絡(luò)座席可分為多個VLAN。外網(wǎng)邊界安全防護業(yè)務(wù)連續(xù)性基礎(chǔ)環(huán)境安全應(yīng)用與數(shù)據(jù)安全分區(qū)與邊界安全13邊界劃分網(wǎng)絡(luò)分區(qū)安全域劃分邊界安全防護二、安全技術(shù)方案業(yè)務(wù)連續(xù)性基礎(chǔ)環(huán)境安全應(yīng)用與數(shù)據(jù)安全分區(qū)與邊界安全統(tǒng)一接入平臺邊界分類邊界防護措施信息內(nèi)外網(wǎng)邊界部署邏輯強隔離設(shè)備，確保信息內(nèi)、外網(wǎng)邏輯強隔離。PSTN接入邊界內(nèi)網(wǎng)/外網(wǎng)：在CTI接入設(shè)備與接入系統(tǒng)之間分別部署硬件防火墻網(wǎng)關(guān)呼叫中心區(qū)與應(yīng)用區(qū)間邊界應(yīng)用區(qū)邊界部署硬件防火墻網(wǎng)關(guān)，加強對應(yīng)用系統(tǒng)的安全防護。座席終端通過劃分VLAN隔離：外網(wǎng)：外包CTI接入系統(tǒng)、外包座席、網(wǎng)絡(luò)座席分別劃分為獨立的VLAN；內(nèi)網(wǎng)：CTI接入系統(tǒng)、自用座席分別劃分為獨立的VLAN；根據(jù)業(yè)務(wù)部門劃分等需求，對座席可進一步劃分VLAN。14邊界劃分網(wǎng)絡(luò)分區(qū)安全域劃分邊界安全防護二、安全技術(shù)方案業(yè)務(wù)連續(xù)性基礎(chǔ)環(huán)境安全應(yīng)用與數(shù)據(jù)安全分區(qū)與邊界安全網(wǎng)站防護基本防護項目安全防護措施安全防護效果應(yīng)用和數(shù)據(jù)安全應(yīng)用系統(tǒng)安全機制在應(yīng)用系統(tǒng)中實現(xiàn)用戶管理、身份鑒別、訪問控制、安全審計、數(shù)據(jù)安全等要求。按系統(tǒng)等級實現(xiàn)等保三級系統(tǒng)要求。代碼安全組織對系統(tǒng)設(shè)計和代碼的安全審查；采用源代碼安全檢測工具對代碼進行安全分析和評估保證軟件系統(tǒng)設(shè)計、代碼實現(xiàn)層面的安全性。系統(tǒng)安全配置在系統(tǒng)上線前進行全面、深入的安全檢測和安全配置加固保證系統(tǒng)賬號、密碼、權(quán)限、加密、審計等安全機制有效配置、合理利用數(shù)據(jù)安全數(shù)據(jù)傳輸：采用安全傳輸協(xié)議（如SSL）或鏈路安全加密設(shè)備（如VPN網(wǎng)關(guān)）數(shù)據(jù)存儲：對服務(wù)器和數(shù)據(jù)庫中的敏感數(shù)據(jù)進行加密存儲；采用文件系統(tǒng)和操作系統(tǒng)的訪問控制機制數(shù)據(jù)備份和恢復(fù)：通過數(shù)據(jù)庫、文件系統(tǒng)、應(yīng)用系統(tǒng)的存儲安全機制實現(xiàn)數(shù)據(jù)備份和冗余保護；通過公司三地災(zāi)備中心進行數(shù)據(jù)備份保證數(shù)據(jù)的保密性、完整性和可用性。系統(tǒng)間接口安全采用接口認(rèn)證、數(shù)據(jù)傳輸加密、通信完整性、抗抵賴等措施。保證系統(tǒng)間數(shù)據(jù)交互使用的接口安全；保證通過接口傳輸?shù)臄?shù)據(jù)安全。15二、安全技術(shù)方案業(yè)務(wù)連續(xù)性基礎(chǔ)環(huán)境安全應(yīng)用與數(shù)據(jù)安全分區(qū)與邊界安全網(wǎng)站防護基本防護在互聯(lián)網(wǎng)邊界、外網(wǎng)域邊界部署兩道不同廠商的異構(gòu)防火墻設(shè)備；在互聯(lián)網(wǎng)邊界部署防DDOS攻擊網(wǎng)關(guān)、IDS/IPS設(shè)備，防范互聯(lián)網(wǎng)攻擊；在網(wǎng)站前面部署WEB應(yīng)用防火墻（WAF）設(shè)備，防范從WEB應(yīng)用層面發(fā)起的攻擊（網(wǎng)頁篡改、SQL注入、WEB跨站、應(yīng)用層DDOS攻擊、網(wǎng)頁掛馬等）；部署負(fù)載均衡設(shè)備，保證網(wǎng)絡(luò)可用性和服務(wù)質(zhì)量；WEB服務(wù)器安全配置和安全評估；采取技術(shù)、管理措施，防止網(wǎng)站被假冒：域名管理、網(wǎng)站防偽、登錄認(rèn)證16二、安全技術(shù)方案業(yè)務(wù)連續(xù)性基礎(chǔ)環(huán)境安全應(yīng)用與數(shù)據(jù)安全分區(qū)與邊界安全項目安全防護措施安全防護效果基礎(chǔ)環(huán)境安全物理安全防護使用煙感、火感、水感等感應(yīng)系統(tǒng)；使用UPS系統(tǒng)；部署光電防盜系統(tǒng)；部署機房環(huán)境監(jiān)控系統(tǒng)。按照高等級整體防護原則，實現(xiàn)等保三級對機房系統(tǒng)物理安全的位置選擇、訪問控制、防盜竊和防破壞、防雷擊、防火等要求。通信網(wǎng)絡(luò)安全防護網(wǎng)絡(luò)設(shè)備安全：上線前設(shè)備安全配置加固；定期安全評估和加固；部署統(tǒng)一運維堡壘平臺進行管理。網(wǎng)絡(luò)基礎(chǔ)服務(wù)安全：服務(wù)安全配置、邊界防火墻安全策略網(wǎng)絡(luò)業(yè)務(wù)流安全：廣域網(wǎng)互聯(lián)配置VPN網(wǎng)關(guān)，信息內(nèi)網(wǎng)縱向邊界部署IDS/IPS設(shè)備。按照高等級整體防護原則，實現(xiàn)等保三級對系統(tǒng)網(wǎng)絡(luò)設(shè)備防護的安全要求。服務(wù)器操作系統(tǒng)對操作系統(tǒng)進行安全配置加固；按照公司要求，部署網(wǎng)絡(luò)版服務(wù)器防病毒軟件；部署統(tǒng)一運維堡壘平臺進行管理；重要服務(wù)器采用F5負(fù)載均衡設(shè)備；通過公司運維綜合安全監(jiān)管系統(tǒng)進行日志采集和審計。實現(xiàn)等保三級對服務(wù)器操作系統(tǒng)的身份鑒別、訪問控制、安全審計、惡意代碼防范、入侵防范等要求。數(shù)據(jù)庫對數(shù)據(jù)庫進行安全配置加固；部署統(tǒng)一運維堡壘平臺進行管理；部署專用數(shù)據(jù)庫安全審計系統(tǒng)進行日志采集和審計。按照高等級整體防護原則，實現(xiàn)等保三級對數(shù)據(jù)庫系統(tǒng)的身份鑒別、訪問控制、安全審計、資源監(jiān)控等要求。桌面終端按照業(yè)務(wù)需求劃分VLAN；操作系統(tǒng)安全配置加固；按照公司要求，統(tǒng)一部署桌面終端安全管理軟件、網(wǎng)絡(luò)版防病毒軟件等安全軟件。實現(xiàn)對桌面終端的身份鑒別、訪問控制、安全審計、惡意代碼防護、邊界完整性檢查等要求。17二、安全技術(shù)方案業(yè)務(wù)連續(xù)性基礎(chǔ)環(huán)境安全應(yīng)用與數(shù)據(jù)安全分區(qū)與邊界安全座席電腦終端安全建議采用“云終端”方案。所有云終端設(shè)備通過云服務(wù)器進行集中管理，管理員可以集中進行管控，包括配置終端策略、升級終端軟件、監(jiān)控終端訪問行為等，以減輕安全管理工作量，提高座席終端的安全性。通過云服務(wù)器上的終端管理軟件進行以下安全配置：嚴(yán)格限制使用USB存儲設(shè)備、光驅(qū)、軟驅(qū)、打印機、掃描儀等外設(shè)，防止數(shù)據(jù)非授權(quán)導(dǎo)入導(dǎo)出；統(tǒng)一管理終端的網(wǎng)絡(luò)配置，禁止終端自行更改網(wǎng)絡(luò)配置，嚴(yán)格限制終端接入其它網(wǎng)絡(luò)；由云服務(wù)器為終端統(tǒng)一安裝和配置必要的業(yè)務(wù)應(yīng)用軟件，禁止終端用戶自行安裝、刪除軟件；通過云服務(wù)器設(shè)置終端能夠運行的服務(wù)和軟件。18建立、完善安全管理機構(gòu)，形成以決策層、管理層和執(zhí)行層三層組織結(jié)構(gòu)的機構(gòu)，確定相應(yīng)崗位設(shè)置及其安全職責(zé)。安全管理機構(gòu)根據(jù)安全管理制度，細(xì)化、落實對人員的安全管理，包括內(nèi)部人員的錄用、考核、培訓(xùn)、離崗、離職管理，對外來人員出入控制等。人員安全管理在系統(tǒng)建設(shè)的規(guī)劃設(shè)計、開發(fā)和上線建設(shè)三個階段，采取一系列安全管控手段對整體信息安全建設(shè)工作進行管控。系統(tǒng)建設(shè)管控加強系統(tǒng)運維階段的人員、環(huán)境、資產(chǎn)、設(shè)備與介質(zhì)、網(wǎng)絡(luò)與系統(tǒng)、備份與恢復(fù)、安全事件與應(yīng)急、等級測評與備案等工作的管理。系統(tǒng)運維管理安全管理體系建立由安全策略、管理制度、操作規(guī)程等構(gòu)成的信息安全管理制度體系，制定信息安全工作的總體方針和安全策略，制定各項安全管理制度和安全操作規(guī)程。安全管理制度運維安全管理安全建設(shè)管控安全管理體系三、安全管理方案19系統(tǒng)安全防