XX學(xué)院等保(三級(jí))設(shè)計(jì)方案

XX市XX學(xué)院等級(jí)保護(hù)（三級(jí)）建設(shè)方案2017年1月目錄一、工程概況 4二、需求分析 41、建設(shè)背景 52、建設(shè)目標(biāo) 5三、設(shè)計(jì)原則及依據(jù) 71、設(shè)計(jì)原則 72、設(shè)計(jì)依據(jù) 8四、方案整體設(shè)計(jì) 91、信息系統(tǒng)定級(jí) 91、等級(jí)保護(hù)完全實(shí)施過(guò)程 112、能力、措施和要求 113、基本安全要求 124、系統(tǒng)的控制類(lèi)和控制項(xiàng) 125、物理安全保護(hù)要求 136、網(wǎng)絡(luò)安全保護(hù)要求 147、主機(jī)安全保護(hù)要求 148、應(yīng)用安全保護(hù)要求 159、數(shù)據(jù)安全與備份恢復(fù) 1610、安全管理制度 1711、安全管理機(jī)構(gòu) 1712、人員安全管理 1813、系統(tǒng)建設(shè)管理 1814、系統(tǒng)運(yùn)維管理 192、等級(jí)保護(hù)建設(shè)流程 202、網(wǎng)絡(luò)系統(tǒng)現(xiàn)狀分析 211、網(wǎng)絡(luò)架構(gòu) 222、可能存在的風(fēng)險(xiǎn) 233、等保三級(jí)對(duì)網(wǎng)絡(luò)的要求 241、結(jié)構(gòu)安全 242、訪問(wèn)控制 253、安全審計(jì) 254、邊界完整性檢查 255、入侵防范 266、惡意代碼防范 267、網(wǎng)絡(luò)設(shè)備防護(hù) 264、現(xiàn)狀對(duì)比與整改方案 261、 現(xiàn)狀對(duì)比 272、控制點(diǎn)整改措施 303、詳細(xì)整改方案 324、設(shè)備部署方案 34五、產(chǎn)品選型 381、選型建議 382、選型要求 393、設(shè)備選型清單 39六、公司介紹 40一、工程概況信息安全等級(jí)保護(hù)是對(duì)信息和信息載體按照重要性等級(jí)分級(jí)別進(jìn)行保護(hù)的一種工作，在中國(guó)、美國(guó)等很多國(guó)家都存在的一種信息安全領(lǐng)域的工作。在中國(guó)，信息安全等級(jí)保護(hù)廣義上為涉及到該工作的標(biāo)準(zhǔn)、產(chǎn)品、系統(tǒng)、信息等均依據(jù)等級(jí)保護(hù)思想的安全工作XX市XX學(xué)院是2008年元月，經(jīng)自治區(qū)人民政府批準(zhǔn)，國(guó)家教育部備案的公辦全日制高等職業(yè)技術(shù)院校。學(xué)院以高等職業(yè)教育為主，同時(shí)兼有中等職業(yè)教育職能。學(xué)院開(kāi)拓辦學(xué)思路，加大投入，改善辦學(xué)條件，拓寬就業(yè)渠道，內(nèi)引外聯(lián)，確立了面向社會(huì)、服務(wù)市場(chǎng)，重在培養(yǎng)學(xué)生的創(chuàng)新精神和實(shí)踐能力的辦學(xué)宗旨。學(xué)院本著讓學(xué)生既成才，又成人的原則，優(yōu)化人才培養(yǎng)模式，狠抓教育教學(xué)質(zhì)量，增強(qiáng)學(xué)生實(shí)踐動(dòng)手能力，注重對(duì)學(xué)生加強(qiáng)德育和行為規(guī)范教育，為企業(yè)和社會(huì)培養(yǎng)具有全面素質(zhì)和綜合職業(yè)能力的應(yīng)用型專(zhuān)門(mén)人才。學(xué)院雄厚的師資力量、先進(jìn)的教學(xué)設(shè)備、嚴(yán)格的日常管理、完善的文體設(shè)施、優(yōu)質(zhì)的后勤服務(wù)以及寬敞潔凈的學(xué)生公寓和食堂，為廣大師生提供了優(yōu)美、舒適、理想的學(xué)習(xí)、生活和工作環(huán)境。信息系統(tǒng)安全等級(jí)測(cè)評(píng)是驗(yàn)證信息系統(tǒng)是否滿足相應(yīng)安全保護(hù)等級(jí)的評(píng)估過(guò)程。信息安全等級(jí)保護(hù)要求不同安全等級(jí)的信息系統(tǒng)應(yīng)具有不同的安全保護(hù)能力，一方面通過(guò)在安全技術(shù)和安全管理上選用與安全等級(jí)相適應(yīng)的安全控制來(lái)實(shí)現(xiàn)；另一方面分布在信息系統(tǒng)中的安全技術(shù)和安全管理上不同的安全控制，通過(guò)連接、交互、依賴(lài)、協(xié)調(diào)、協(xié)同等相互關(guān)聯(lián)關(guān)系，共同作用于信息系統(tǒng)的安全功能，使信息系統(tǒng)的整體安全功能與信息系統(tǒng)的結(jié)構(gòu)以及安全控制間、層面間和區(qū)域間的相互關(guān)聯(lián)關(guān)系密切相關(guān)。因此，信息系統(tǒng)安全等級(jí)測(cè)評(píng)在安全控制測(cè)評(píng)的基礎(chǔ)上，還要包括系統(tǒng)整體測(cè)評(píng)。二、需求分析為了保障國(guó)家關(guān)鍵基礎(chǔ)設(shè)施和信息的安全，結(jié)合我國(guó)的基本國(guó)情，制定了等級(jí)保護(hù)制度。并將等級(jí)保護(hù)制度作為國(guó)家信息安全保障工作的基本制度、基本國(guó)策，促進(jìn)信息化、維護(hù)國(guó)家信息安全的根本保障。1、建設(shè)背景隨著我國(guó)學(xué)校信息化建設(shè)的逐步深入，學(xué)校教務(wù)工作對(duì)信息系統(tǒng)依賴(lài)的程度越來(lái)越高，教育信息化建設(shè)中大量的信息資源，成為學(xué)校成熟的業(yè)務(wù)展示和應(yīng)用平臺(tái)，在未來(lái)的教育信息化規(guī)劃中占有非常重要的地位。從安全性上分析，高校業(yè)務(wù)應(yīng)用和網(wǎng)絡(luò)系統(tǒng)日益復(fù)雜，外部攻擊、內(nèi)部資源濫用、木馬和病毒等不安全因素越來(lái)越顯著，信息化安全是業(yè)務(wù)應(yīng)用發(fā)展需要關(guān)注的核心和重點(diǎn)。為貫徹落實(shí)國(guó)家信息安全等級(jí)保護(hù)制度，規(guī)范和指導(dǎo)全國(guó)教育信息安全等級(jí)保護(hù)工作，國(guó)家教委教辦廳函[2009]80文件發(fā)出“關(guān)于開(kāi)展信息系統(tǒng)安全等級(jí)保護(hù)工作的通知”；教育部教育管理信息中心發(fā)布《教育信息系統(tǒng)安全等級(jí)保護(hù)工作方案》；教育部辦公廳《印發(fā)關(guān)于開(kāi)展教育系統(tǒng)信息安全等級(jí)保護(hù)工作專(zhuān)項(xiàng)檢查的通知》（教辦廳函[2010]80號(hào)）。XX市XX學(xué)院的網(wǎng)絡(luò)系統(tǒng)在近幾年逐步完善，作為一個(gè)現(xiàn)代化的教學(xué)機(jī)構(gòu)網(wǎng)絡(luò),除了要滿足高效的內(nèi)部自動(dòng)化辦公需求以外,還應(yīng)對(duì)外界的通訊保證暢通。結(jié)合學(xué)校的“校務(wù)管理”、“教學(xué)科研”、“招生就業(yè)”、“綜合服務(wù)”等業(yè)務(wù)信息平臺(tái)，要求網(wǎng)絡(luò)必須能夠滿足數(shù)據(jù)、語(yǔ)音、圖像等綜合業(yè)務(wù)的傳輸要求，所以在這樣的網(wǎng)絡(luò)上應(yīng)運(yùn)用多種設(shè)備和先進(jìn)技術(shù)來(lái)保證系統(tǒng)的正常運(yùn)作和穩(wěn)定的效率。同時(shí)學(xué)校的網(wǎng)絡(luò)系統(tǒng)中內(nèi)部及外部的訪問(wèn)量巨大，訪問(wèn)人員比較復(fù)雜，所以如何保證學(xué)校網(wǎng)絡(luò)系統(tǒng)中的數(shù)據(jù)安全問(wèn)題尤為重要。在日新月異的現(xiàn)代化社會(huì)進(jìn)程中，計(jì)算機(jī)網(wǎng)絡(luò)幾乎延伸到了世界每一個(gè)角落，它不停的改變著我們的工作生活方式和思維方式，但是，計(jì)算機(jī)信息網(wǎng)絡(luò)安全的脆弱性和易受攻擊性是不容忽視的。由于網(wǎng)絡(luò)設(shè)備、計(jì)算機(jī)操作系統(tǒng)、網(wǎng)絡(luò)協(xié)議等安全技術(shù)上的漏洞和管理體制上的不嚴(yán)密，都會(huì)使計(jì)算機(jī)網(wǎng)絡(luò)受到威脅。2、建設(shè)目標(biāo)本次XX市XX學(xué)院業(yè)務(wù)系統(tǒng)等級(jí)保護(hù)安全建設(shè)的主要目標(biāo)是：按照等級(jí)保護(hù)要求，結(jié)合實(shí)際業(yè)務(wù)系統(tǒng)，對(duì)學(xué)院核心業(yè)務(wù)系統(tǒng)進(jìn)行充分調(diào)研及詳細(xì)分析，將學(xué)院核心業(yè)務(wù)系統(tǒng)系統(tǒng)建設(shè)成為一個(gè)及滿足業(yè)務(wù)需要，又符合等級(jí)保護(hù)三級(jí)系統(tǒng)要求的業(yè)務(wù)平臺(tái)。

建設(shè)一套符合國(guó)家政策要求、覆蓋全面、重點(diǎn)突出、持續(xù)運(yùn)行的信息安全保障體系，達(dá)到國(guó)內(nèi)一流的信息安全保障水平，支撐和保障信息系統(tǒng)和業(yè)務(wù)的安全穩(wěn)定運(yùn)行。該體系覆蓋信息系統(tǒng)安全所要求的各項(xiàng)內(nèi)容，符合信息系統(tǒng)的業(yè)務(wù)特性和發(fā)展戰(zhàn)略，滿足學(xué)院信息安全要求。本方案的安全措施框架是依據(jù)“積極防御、綜合防范”的方針，以及“管理與技術(shù)并重”的原則，并結(jié)合等級(jí)保護(hù)基本要求進(jìn)行設(shè)計(jì)。技術(shù)體系：網(wǎng)絡(luò)層面：關(guān)注安全域劃分、訪問(wèn)控制、抗拒絕服務(wù)攻擊，針對(duì)區(qū)域邊界采取防火墻進(jìn)行隔離，并在隔離后的各個(gè)安全區(qū)域邊界執(zhí)行嚴(yán)格的訪問(wèn)控制，防止非法訪問(wèn)；利用漏洞管理系統(tǒng)、網(wǎng)絡(luò)安全審計(jì)等網(wǎng)絡(luò)安全產(chǎn)品，為客戶(hù)構(gòu)建嚴(yán)密、專(zhuān)業(yè)的網(wǎng)絡(luò)安全保障體系。應(yīng)用層面：WEB應(yīng)用防火墻能夠?qū)EB應(yīng)用漏洞進(jìn)行預(yù)先掃描，同時(shí)具備對(duì)SQL注入、跨站腳本等通過(guò)應(yīng)用層的入侵動(dòng)作實(shí)時(shí)阻斷，并結(jié)合網(wǎng)頁(yè)防篡改子系統(tǒng)，真正達(dá)到雙重層面的“網(wǎng)頁(yè)防篡改”效果。數(shù)據(jù)層面，數(shù)據(jù)庫(kù)將被隱藏在安全區(qū)域，同時(shí)通過(guò)專(zhuān)業(yè)的安全加固服務(wù)對(duì)數(shù)據(jù)庫(kù)進(jìn)行安全評(píng)估和配置，對(duì)數(shù)據(jù)庫(kù)的訪問(wèn)權(quán)限進(jìn)行嚴(yán)格設(shè)定，最大限度保證數(shù)據(jù)庫(kù)安全。同時(shí)，利用SAN、遠(yuǎn)程數(shù)據(jù)備份系統(tǒng)有效保護(hù)重要數(shù)據(jù)信息的健康度。管理體系：在安全管理體系的設(shè)計(jì)中，我們借助豐富的安全咨詢(xún)經(jīng)驗(yàn)和對(duì)等級(jí)保護(hù)管理要求的清晰理解，為用戶(hù)量身定做符合實(shí)際的、可操作的安全管理體系。安全服務(wù)體系：風(fēng)險(xiǎn)評(píng)估服務(wù)：評(píng)估和分析在網(wǎng)絡(luò)上存在的安全技術(shù)分析，分析業(yè)務(wù)運(yùn)作和管理方面存在的安全缺陷，調(diào)查系統(tǒng)現(xiàn)有的安全控制措施，評(píng)價(jià)用戶(hù)的業(yè)務(wù)安全風(fēng)險(xiǎn)承擔(dān)能力；安全監(jiān)控服務(wù)：通過(guò)資深的安全專(zhuān)家對(duì)各種安全事件的日志、記錄實(shí)時(shí)監(jiān)控與分析，發(fā)現(xiàn)各種潛在的危險(xiǎn)，并提供及時(shí)的修補(bǔ)和防御措施建議；滲透測(cè)試服務(wù)：利用網(wǎng)絡(luò)安全掃描器、專(zhuān)用安全測(cè)試工具和專(zhuān)業(yè)的安全工程師的人工經(jīng)驗(yàn)對(duì)網(wǎng)絡(luò)中的核心服務(wù)器及重要的網(wǎng)絡(luò)設(shè)備進(jìn)行非破壞性質(zhì)的模擬黑客攻擊，目的是侵入系統(tǒng)并獲取機(jī)密信息并將入侵的過(guò)程和細(xì)節(jié)產(chǎn)生報(bào)告給用戶(hù)；應(yīng)急響應(yīng)服務(wù)：針對(duì)信息系統(tǒng)危機(jī)狀況的緊急響應(yīng)、分析、解決問(wèn)題的服務(wù)，當(dāng)信息系統(tǒng)發(fā)生意外的突發(fā)安全事件時(shí)，可以提供緊急的救援措施。方案收益實(shí)施信息安全等級(jí)保護(hù)建設(shè)工作可以為高校信息化建設(shè)實(shí)現(xiàn)如下收益：有利于提高信息和信息系統(tǒng)安全建設(shè)的整體水平；有利于在信息化建設(shè)過(guò)程中同步建設(shè)信息安全設(shè)施，保障信息安全與信息化建設(shè)協(xié)調(diào)發(fā)展；有利于為信息系統(tǒng)安全建設(shè)和管理提供系統(tǒng)性、針對(duì)性、可行性的指導(dǎo)和服務(wù)，有效控制信息安全建設(shè)成本；有利于優(yōu)化信息安全資源的配置，對(duì)信息系統(tǒng)分級(jí)實(shí)施保護(hù)，重點(diǎn)保障重要信息系統(tǒng)的安全；有利于明確信息安全責(zé)任，加強(qiáng)信息安全管理；有利于推動(dòng)信息安全的發(fā)展三、設(shè)計(jì)原則及依據(jù)1、設(shè)計(jì)原則根據(jù)學(xué)院的要求和國(guó)家有關(guān)法規(guī)的要求，本系統(tǒng)方案設(shè)計(jì)遵循性能先進(jìn)、質(zhì)量可靠、經(jīng)濟(jì)實(shí)用的原則，為實(shí)現(xiàn)學(xué)院等級(jí)保護(hù)管理奠定了基礎(chǔ)。全面保障：信息安全風(fēng)險(xiǎn)的控制需要多角度、多層次，從各個(gè)環(huán)節(jié)入手，全面的保障。

整體規(guī)劃，分步實(shí)施：對(duì)信息安全建設(shè)進(jìn)行整體規(guī)劃，分步實(shí)施，逐步建立完善的信息安全體系。同步規(guī)劃、同步建設(shè)、同步運(yùn)行：安全建設(shè)應(yīng)與業(yè)務(wù)系統(tǒng)同步規(guī)劃、同步建設(shè)、同步運(yùn)行，在任何一個(gè)環(huán)節(jié)的疏忽都可能給業(yè)務(wù)系統(tǒng)帶來(lái)危害。

適度安全：沒(méi)有絕對(duì)的安全，安全和易用性是矛盾的，需要做到適度安全，找到安全和易用性的平衡點(diǎn)。

內(nèi)外并重：安全工作需要做到內(nèi)外并重，在防范外部威脅的同時(shí)，加強(qiáng)規(guī)范內(nèi)部人員行為和訪問(wèn)控制、監(jiān)控和審計(jì)能力。

標(biāo)準(zhǔn)化管理要規(guī)范化、標(biāo)準(zhǔn)化，以保證在能源行業(yè)龐大而多層次的組織體系中有效的控制風(fēng)險(xiǎn)。

技術(shù)與管理并重：網(wǎng)絡(luò)與信息安全不是單純的技術(shù)問(wèn)題，需要在采用安全技術(shù)和產(chǎn)品的同時(shí)，重視安全管理，不斷完善各類(lèi)安全管理規(guī)章制度和操作規(guī)程，全面提高安全管理水平。2、設(shè)計(jì)依據(jù)根據(jù)學(xué)院現(xiàn)有情況，本次方案的設(shè)計(jì)嚴(yán)格按照現(xiàn)行中華人民共和國(guó)以及內(nèi)蒙古自治區(qū)與行業(yè)的工程建設(shè)標(biāo)準(zhǔn)、規(guī)范的要求執(zhí)行。在后期設(shè)計(jì)或?qū)嵤┻^(guò)程中，如國(guó)家有新法規(guī)、規(guī)范頒布，應(yīng)以新頒布的法規(guī)規(guī)范為準(zhǔn)。本方案執(zhí)行下列有關(guān)技術(shù)標(biāo)準(zhǔn)、規(guī)范、規(guī)程但不限于以下技術(shù)標(biāo)準(zhǔn)、規(guī)范、規(guī)程。計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)劃分準(zhǔn)則（GB17859-1999）信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南（GB/T25058-2010）信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南（GB/T22240-2008）信息系統(tǒng)安全等級(jí)保護(hù)基本要求（GB/T22239-2008）信息系統(tǒng)通用安全技術(shù)要求（GB/T20271-2006）信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求（GB/T25070-2010）信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求（GB/T28448-2012）信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南（GB/T28449-2012）信息系統(tǒng)安全管理要求（GB/T20269-2006）信息系統(tǒng)安全工程管理要求（GB/T20282-2006）信息系統(tǒng)物理安全技術(shù)要求（GB/T21052-2007）網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求（GB/T20270-2006）信息系統(tǒng)通用安全技術(shù)要求（GB/T20271-2006）操作系統(tǒng)安全技術(shù)要求（GB/T20272-2006）數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求（GB/T20273-2006）信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范（GB/T20984-2007）信息安全事件管理指南（GB/T20985-2007）信息安全事件分類(lèi)分級(jí)指南（GB/Z20986-2007）信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范（GB/T20988-2007）四、方案整體設(shè)計(jì)1、信息系統(tǒng)定級(jí)確定信息系統(tǒng)安全保護(hù)等級(jí)的流程如下：識(shí)別單位基本信息

了解單位基本信息有助于判斷單位的職能特點(diǎn)，單位所在行業(yè)及單位在行業(yè)所處的地位和所用，由此判斷單位主要信息系統(tǒng)的宏觀定位。

識(shí)別業(yè)務(wù)種類(lèi)、流程和服務(wù)

應(yīng)重點(diǎn)了解定級(jí)對(duì)象信息系統(tǒng)中不同業(yè)務(wù)系統(tǒng)提供的服務(wù)在影響履行單位職能方面具體方式和程度，影響的區(qū)域范圍、用戶(hù)人數(shù)、業(yè)務(wù)量的具體數(shù)據(jù)以及對(duì)本單位以外機(jī)構(gòu)或個(gè)人的影響等方面。這些具體數(shù)據(jù)即可以為主管部門(mén)制定定級(jí)指導(dǎo)意見(jiàn)提供參照，也可以作為主管部門(mén)審批定級(jí)結(jié)果的重要依據(jù)。

識(shí)別信息

調(diào)查了解定級(jí)對(duì)象信息系統(tǒng)所處理的信息，了解單位對(duì)信息的三個(gè)安全屬性的需求，了解不同業(yè)務(wù)數(shù)據(jù)在其保密性、完整性和可用性被破壞后在單位職能、單位資金、單位信譽(yù)、人身安全等方面可能對(duì)國(guó)家、社會(huì)、本單位造成的影響，對(duì)影響程度的描述應(yīng)盡可能量化。

識(shí)別網(wǎng)絡(luò)結(jié)構(gòu)和邊界

調(diào)查了解定級(jí)對(duì)象信息系統(tǒng)所在單位的整體網(wǎng)絡(luò)狀況、安全防護(hù)和外部連接情況，目的是了解信息系統(tǒng)所處的單位內(nèi)部網(wǎng)絡(luò)環(huán)境和外部環(huán)境特點(diǎn)，以及該信息系統(tǒng)的網(wǎng)絡(luò)安全保護(hù)與單位內(nèi)部網(wǎng)絡(luò)環(huán)境的安全保護(hù)的關(guān)系。識(shí)別主要的軟硬件設(shè)備調(diào)查了解與定級(jí)對(duì)象信息系統(tǒng)相關(guān)的服務(wù)器、網(wǎng)絡(luò)、終端、存儲(chǔ)設(shè)備以及安全設(shè)備等，設(shè)備所在網(wǎng)段，在系統(tǒng)中的功能和作用。調(diào)查設(shè)備的位置和作用主要就是發(fā)現(xiàn)不同信息系統(tǒng)在設(shè)備使用方面的共用程度。

識(shí)別用戶(hù)類(lèi)型和分布調(diào)查了解各系統(tǒng)的管理用戶(hù)和一般用戶(hù)，內(nèi)部用戶(hù)和外部用戶(hù)，本地用戶(hù)和遠(yuǎn)程用戶(hù)等類(lèi)型，了解用戶(hù)或用戶(hù)群的數(shù)量分布，判斷系統(tǒng)服務(wù)中斷或系統(tǒng)信息被破壞可能影響的范圍和程度。

根據(jù)信息安全等級(jí)矩陣表，形成定級(jí)結(jié)果1、等級(jí)保護(hù)完全實(shí)施過(guò)程2、能力、措施和要求3、基本安全要求4、系統(tǒng)的控制類(lèi)和控制項(xiàng)5、物理安全保護(hù)要求物理安全主要涉及的方面包括環(huán)境安全（防火、防水、防雷擊等）設(shè)備和介質(zhì)的防盜竊防破壞等方面。物理安全具體包括以下10個(gè)控制點(diǎn)：物理位置的選擇（G）物理訪問(wèn)控制（G）防盜竊和防破壞（G）防雷擊（G)防火（G）防水和防潮（G）防靜電（G）溫濕度控制（G）電力供應(yīng)（A）電磁防護(hù)（S）整改要點(diǎn)：6、網(wǎng)絡(luò)安全保護(hù)要求網(wǎng)絡(luò)安全主要關(guān)注的方面包括：網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)邊界以及網(wǎng)絡(luò)設(shè)備自身安全等。網(wǎng)絡(luò)安全具體包括以下7個(gè)控制點(diǎn)：結(jié)構(gòu)安全(G)訪問(wèn)控制(G)安全審計(jì)(G)邊界完整性檢查(A)入侵防范(G)惡意代碼防范(G)網(wǎng)絡(luò)設(shè)備防護(hù)(G)。整改要點(diǎn)：7、主機(jī)安全保護(hù)要求主機(jī)系統(tǒng)安全是包括服務(wù)器、終端/工作站等在內(nèi)的計(jì)算機(jī)設(shè)備在操作系統(tǒng)及數(shù)據(jù)庫(kù)系統(tǒng)層面的安全。主機(jī)安全具體包括以下7個(gè)控制點(diǎn)：身份鑒別(S)訪問(wèn)控制(S)安全審計(jì)(G)剩余信息保護(hù)(S)入侵防范(G)惡意代碼防范(G)資源控制(A)整改要點(diǎn)：8、應(yīng)用安全保護(hù)要求應(yīng)用系統(tǒng)的安全就是保護(hù)系統(tǒng)的各種應(yīng)用程序安全運(yùn)行。包括基本應(yīng)用，如：消息發(fā)送、web瀏覽等；業(yè)務(wù)應(yīng)用，如：電子商務(wù)、電子政務(wù)等。應(yīng)用安全具體包括以下9個(gè)控制點(diǎn)：身份鑒別（S）訪問(wèn)控制（S）安全審計(jì)（G）剩余信息保護(hù)（S）通信完整性（S）通信保密性（S）抗抵賴(lài)（G）軟件容錯(cuò)（A）資源控制（A）整改要點(diǎn)：9、數(shù)據(jù)安全與備份恢復(fù)數(shù)據(jù)安全主要是保護(hù)用戶(hù)數(shù)據(jù)、系統(tǒng)數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)的保護(hù)。將對(duì)數(shù)據(jù)造成的損害降至最小。備份恢復(fù)也是防止數(shù)據(jù)被破壞后無(wú)法恢復(fù)的重要手段，主要包括數(shù)據(jù)備份、硬件冗余和異地實(shí)時(shí)備份。數(shù)據(jù)安全和備份恢復(fù)具體包括以下3個(gè)控制點(diǎn)：數(shù)據(jù)完整性（S）數(shù)據(jù)保密性（S）、備份和恢復(fù)（A）整改要點(diǎn)：10、安全管理制度安全管理制度包括信息安全工作的總體方針、策略、規(guī)范各種安全管理活動(dòng)的管理制度以及管理人員或操作人員日常操作的操作規(guī)程。安全管理制度具體包括以下3個(gè)控制點(diǎn)：管理制度制定和發(fā)布評(píng)審和修訂整改要點(diǎn)：形成信息安全管理制度體系、統(tǒng)一發(fā)布、定期修訂等11、安全管理機(jī)構(gòu)安全管理機(jī)構(gòu)主要是在單位的內(nèi)部結(jié)構(gòu)上建立一整套從單位最高管理層（董事會(huì)）到執(zhí)行管理層以及業(yè)務(wù)運(yùn)營(yíng)層的管理結(jié)構(gòu)來(lái)約束和保證各項(xiàng)安全管理措施的執(zhí)行。安全管理機(jī)構(gòu)具體包括以下5個(gè)控制點(diǎn)：崗位設(shè)置人員配備授權(quán)和審批溝通和合作審核和檢查整改要點(diǎn)：信息安全領(lǐng)導(dǎo)小組與職能部門(mén)、專(zhuān)職安全員、定期全面安全檢查、定期協(xié)調(diào)會(huì)議、外部溝通與合作等12、人員安全管理對(duì)人員安全的管理，主要涉及兩方面：對(duì)內(nèi)部人員的安全管理和對(duì)外部人員的安全管理。人員安全管理具體包括以下5個(gè)控制點(diǎn)：人員錄用人員離崗人員考核安全意識(shí)教育及培訓(xùn)外部人員訪問(wèn)管理整改要點(diǎn)：全員保密協(xié)議、關(guān)鍵崗位人員管理、針對(duì)不同崗位的培訓(xùn)計(jì)劃、外部人員訪問(wèn)管理13、系統(tǒng)建設(shè)管理系統(tǒng)建設(shè)管理分別從定級(jí)、設(shè)計(jì)建設(shè)實(shí)施、驗(yàn)收交付、測(cè)評(píng)等方面考慮，關(guān)注各項(xiàng)安全管理活動(dòng)。系統(tǒng)建設(shè)管理具體包括以下11個(gè)控制點(diǎn)：系統(tǒng)定級(jí)安全方案設(shè)計(jì)產(chǎn)品采購(gòu)和使用自行軟件開(kāi)發(fā)外包軟件開(kāi)發(fā)工程實(shí)施測(cè)試驗(yàn)收系統(tǒng)交付系統(tǒng)備案等級(jí)測(cè)評(píng)安全服務(wù)商選擇整改要點(diǎn)：系統(tǒng)定級(jí)的論證、總體規(guī)劃、產(chǎn)品選型測(cè)試、開(kāi)發(fā)過(guò)程的人員控制、工程實(shí)施制度化、第三方委托測(cè)試、運(yùn)行起30天內(nèi)備案、每年進(jìn)行1次等級(jí)測(cè)評(píng)、安全服務(wù)商的選擇14、系統(tǒng)運(yùn)維管理系統(tǒng)運(yùn)維管理涉及日常管理、變更管理、制度化管理、安全事件處置、應(yīng)急預(yù)案管理和安管中心等。系統(tǒng)運(yùn)維管理具體包括以下13個(gè)控制點(diǎn)：環(huán)境管理資產(chǎn)管理介質(zhì)管理設(shè)備管理、監(jiān)控管理和安全管理中心網(wǎng)絡(luò)安全管理系統(tǒng)安全管理惡意代碼防范管理密碼管理變更管理備份與恢復(fù)管理安全事件處置應(yīng)急預(yù)案管理整改要點(diǎn)：辦公環(huán)境保密性、資產(chǎn)的標(biāo)識(shí)和分類(lèi)管理、介質(zhì)/設(shè)備/系統(tǒng)/網(wǎng)絡(luò)/密碼/備份與恢復(fù)的制度化管理、建立安全管理中心、安全事件分類(lèi)分級(jí)響應(yīng)、應(yīng)急預(yù)案的演練和審查。本次等保三級(jí)方案主要針對(duì)學(xué)院現(xiàn)有的網(wǎng)絡(luò)系統(tǒng)進(jìn)行設(shè)計(jì)。2、等級(jí)保護(hù)建設(shè)流程整體的安全保障體系包括技術(shù)和管理兩大部分，其中技術(shù)部分根據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》分為物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全五個(gè)方面進(jìn)行建設(shè)；而管理部分根據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》則分為安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理五個(gè)方面。

整個(gè)安全保障體系各部分既有機(jī)結(jié)合，又相互支撐。之間的關(guān)系可以理解為“構(gòu)建安全管理機(jī)構(gòu)，制定完善的安全管理制度及安全策略，由相關(guān)人員，利用技術(shù)工手段及相關(guān)工具，進(jìn)行系統(tǒng)建設(shè)和運(yùn)行維護(hù)?！睋?jù)等級(jí)化安全保障體系的設(shè)計(jì)思路，等級(jí)保護(hù)的設(shè)計(jì)與實(shí)施通過(guò)以下步驟進(jìn)行：系統(tǒng)識(shí)別與定級(jí)：確定保護(hù)對(duì)象，通過(guò)分析系統(tǒng)所屬類(lèi)型、所屬信息類(lèi)別、服務(wù)范圍以及業(yè)務(wù)對(duì)系統(tǒng)的依賴(lài)程度確定系統(tǒng)的等級(jí)。通過(guò)此步驟充分了解系統(tǒng)狀況，包括系統(tǒng)業(yè)務(wù)流程和功能模塊，以及確定系統(tǒng)的等級(jí)，為下一步安全域設(shè)計(jì)、安全保障體系框架設(shè)計(jì)、安全要求選擇以及安全措施選擇提供依據(jù)。

安全域設(shè)計(jì)：根據(jù)第一步的結(jié)果，通過(guò)分析系統(tǒng)業(yè)務(wù)流程、功能模塊，根據(jù)安全域劃分原則設(shè)計(jì)系統(tǒng)安全域架構(gòu)。通過(guò)安全域設(shè)計(jì)將系統(tǒng)分解為多個(gè)層次，為下一步安全保障體系框架設(shè)計(jì)提供基礎(chǔ)框架。

確定安全域安全要求：參照國(guó)家相關(guān)等級(jí)保護(hù)安全要求，設(shè)計(jì)不同安全域的安全要求。通過(guò)安全域適用安全等級(jí)選擇方法確定系統(tǒng)各區(qū)域等級(jí)，明確各安全域所需采用的安全指標(biāo)。

評(píng)估現(xiàn)狀：根據(jù)各等級(jí)的安全要求確定各等級(jí)的評(píng)估內(nèi)容，根據(jù)國(guó)家相關(guān)風(fēng)險(xiǎn)評(píng)估方法，對(duì)系統(tǒng)各層次安全域進(jìn)行有針對(duì)性的等級(jí)風(fēng)險(xiǎn)評(píng)估。并找出系統(tǒng)安全現(xiàn)狀與等級(jí)要求的差距，形成完整準(zhǔn)確的按需防御的安全需求。通過(guò)等級(jí)風(fēng)險(xiǎn)評(píng)估，可以明確各層次安全域相應(yīng)等級(jí)的安全差距，為下一步安全技術(shù)解決方案設(shè)計(jì)和安全管理建設(shè)提供依據(jù)。

安全保障體系方案設(shè)計(jì)：根據(jù)安全域框架，設(shè)計(jì)系統(tǒng)各個(gè)層次的安全保障體系框架以及具體方案。包括：各層次的安全保障體系框架形成系統(tǒng)整體的安全保障體系框架；詳細(xì)安全技術(shù)設(shè)計(jì)、安全管理設(shè)計(jì)。安全建設(shè)：根據(jù)方案設(shè)計(jì)內(nèi)容逐步進(jìn)行安全建設(shè)，滿足方案設(shè)計(jì)做要符合的安全需求，滿足等級(jí)保護(hù)相應(yīng)等級(jí)的基本要求，實(shí)現(xiàn)按需防御。

持續(xù)安全運(yùn)維：通過(guò)安全預(yù)警、安全監(jiān)控、安全加固、安全審計(jì)、應(yīng)急響應(yīng)等，從事前、事中、事后三個(gè)方面進(jìn)行安全運(yùn)行維護(hù)，確保系統(tǒng)的持續(xù)安全，滿足持續(xù)性按需防御的安全需求。通過(guò)如上步驟，系統(tǒng)可以形成整體的等級(jí)化的安全保障體系，同時(shí)根據(jù)安全技術(shù)建設(shè)和安全管理建設(shè)，保障系統(tǒng)整體的安全。而應(yīng)該特別注意的是：等級(jí)保護(hù)不是一個(gè)項(xiàng)目，它應(yīng)該是一個(gè)不斷循環(huán)的過(guò)程，所以通過(guò)整個(gè)安全項(xiàng)目、安全服務(wù)的實(shí)施，來(lái)保證用戶(hù)等級(jí)保護(hù)的建設(shè)能夠持續(xù)的運(yùn)行，能夠使整個(gè)系統(tǒng)隨著環(huán)境的變化達(dá)到持續(xù)的安全。2、網(wǎng)絡(luò)系統(tǒng)現(xiàn)狀分析XX市XX學(xué)院在2013年正式搬遷到職教園區(qū)內(nèi)，同時(shí)新建了整套校園網(wǎng)絡(luò)，后期又經(jīng)過(guò)陸陸續(xù)續(xù)的升級(jí)和改造，現(xiàn)已建成如下情況。1、網(wǎng)絡(luò)架構(gòu)拓?fù)鋱D1、內(nèi)部數(shù)據(jù)交換如上拓?fù)鋱D所示，學(xué)院有無(wú)線和有線兩套網(wǎng)絡(luò)提供使用，整網(wǎng)采用縱向三層設(shè)計(jì)，分別是核心層、匯聚層和接入層。教學(xué)和辦公網(wǎng)使用單獨(dú)的核心交換機(jī)S12006上聯(lián)至數(shù)據(jù)中心核心交換機(jī)N18010，避免了在接入?yún)^(qū)域和宿舍樓數(shù)據(jù)的混合。2、網(wǎng)絡(luò)出口整網(wǎng)有兩條互聯(lián)網(wǎng)出口鏈路，無(wú)線用戶(hù)和有線用戶(hù)各使用一條鏈路，每條鏈路各采用獨(dú)立的一臺(tái)出口網(wǎng)關(guān)進(jìn)行轉(zhuǎn)發(fā)。3、網(wǎng)絡(luò)安全安全設(shè)計(jì)分為對(duì)外部數(shù)據(jù)的安全保障和對(duì)本地內(nèi)部數(shù)據(jù)的安全保障，現(xiàn)有一臺(tái)防火墻部署在出口網(wǎng)關(guān)與核心交換機(jī)之間，保障了對(duì)外部有害數(shù)據(jù)的防范。內(nèi)部服務(wù)器區(qū)域部署了一臺(tái)服務(wù)器防護(hù)WG，下聯(lián)各服務(wù)器，上聯(lián)核心交換機(jī)，保障服務(wù)器的安全性。其它設(shè)備有網(wǎng)絡(luò)管理系統(tǒng)、Portal認(rèn)證系統(tǒng)、計(jì)費(fèi)系統(tǒng)、日志記錄系統(tǒng)、用戶(hù)自助系統(tǒng)等。2、可能存在的風(fēng)險(xiǎn)XX學(xué)院內(nèi)部的網(wǎng)絡(luò)比較復(fù)雜，加上無(wú)線網(wǎng)絡(luò)的全面覆蓋，使用人群多種多樣，因此網(wǎng)絡(luò)安全是XX學(xué)院校園網(wǎng)運(yùn)行過(guò)程中所面臨的實(shí)際問(wèn)題。1、來(lái)自硬件系統(tǒng)的安全威脅硬件的安全問(wèn)題也可以分為兩種，一種是物理安全，一種是設(shè)置安全。

物理安全是指由于物理設(shè)備的放置不合適或者防范不得力，使得服務(wù)器、交換機(jī)、路由器等網(wǎng)絡(luò)設(shè)備，纜和雙絞線等網(wǎng)絡(luò)線路以及UPS和電纜線等電源設(shè)備遭受意外事故或人為破壞，造成網(wǎng)絡(luò)不能正常運(yùn)行。設(shè)置安全是指在設(shè)備上進(jìn)行必要的設(shè)置，如服務(wù)器、交換機(jī)的密碼等，防止黑客取得硬件設(shè)備的遠(yuǎn)程控制權(quán)。2、來(lái)自學(xué)院網(wǎng)絡(luò)內(nèi)部的安全威脅校園網(wǎng)內(nèi)部也存在很大的安全隱患，由于內(nèi)部用戶(hù)對(duì)網(wǎng)絡(luò)的結(jié)構(gòu)和應(yīng)用模式都比較了解，特別是在校學(xué)生，學(xué)校通常不能有效的規(guī)范和約束學(xué)生的上網(wǎng)行為，學(xué)生會(huì)經(jīng)常的監(jiān)聽(tīng)或掃描學(xué)校網(wǎng)絡(luò)，因此來(lái)自?xún)?nèi)部的安全威脅更難應(yīng)付。3、來(lái)自Internet的威脅

Internet上有各種不同內(nèi)容的網(wǎng)站，這些形形色色、良莠不齊的網(wǎng)絡(luò)資源不但會(huì)占用大量流量資源，造成網(wǎng)絡(luò)堵塞、上網(wǎng)速度慢等問(wèn)題，而且由于校園網(wǎng)與Internet相連，校園網(wǎng)也就面臨著遭遇攻擊的風(fēng)險(xiǎn)。4、系統(tǒng)或軟件的漏洞目前使用的操作系統(tǒng)和應(yīng)用軟件都存在安全漏洞，對(duì)網(wǎng)絡(luò)安全構(gòu)成了威脅。而且現(xiàn)在許多從網(wǎng)絡(luò)上隨意下載的軟件中可能隱藏木馬、后門(mén)等惡意代碼這些軟件的使用也可能被攻擊者侵入和利用。5、管理方面可能存在的漏洞XX學(xué)院的用戶(hù)群體比較大，數(shù)據(jù)量大、速度高。隨著校園內(nèi)計(jì)算機(jī)應(yīng)用的大范圍普及，接入校園網(wǎng)節(jié)點(diǎn)日漸增多，學(xué)生通過(guò)網(wǎng)絡(luò)在線看電影、聽(tīng)音樂(lè)，很容易造成網(wǎng)絡(luò)堵塞和病毒傳播。而這些節(jié)點(diǎn)大部分都沒(méi)有采取一定的防護(hù)措施，隨時(shí)有可能造成病毒泛濫、信息丟失、數(shù)據(jù)損壞、網(wǎng)絡(luò)被攻擊、系統(tǒng)癱瘓等嚴(yán)重后果。3、等保三級(jí)對(duì)網(wǎng)絡(luò)的要求1、結(jié)構(gòu)安全應(yīng)保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要；應(yīng)保證網(wǎng)絡(luò)各個(gè)部分的帶寬滿足業(yè)務(wù)高峰期需要；應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路由控制建立安全的訪問(wèn)路徑；應(yīng)繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖；應(yīng)根據(jù)各部門(mén)的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段；應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段；應(yīng)按照對(duì)業(yè)務(wù)服務(wù)的重要次序來(lái)指定帶寬分配優(yōu)先級(jí)別，保證在網(wǎng)絡(luò)發(fā)生擁堵的時(shí)候優(yōu)先保護(hù)重要主機(jī)。2、訪問(wèn)控制應(yīng)在網(wǎng)絡(luò)邊界部署訪問(wèn)控制設(shè)備，啟用訪問(wèn)控制功能；應(yīng)能根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問(wèn)的能力，控制粒度為端口級(jí)；應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過(guò)濾，實(shí)現(xiàn)對(duì)應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級(jí)的控制；應(yīng)在會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束后終止網(wǎng)絡(luò)連接；應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)；重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙；應(yīng)按用戶(hù)和系統(tǒng)之間的允許訪問(wèn)規(guī)則，決定允許或拒絕用戶(hù)對(duì)受控系統(tǒng)進(jìn)行資源訪問(wèn)，控制粒度為單個(gè)用應(yīng)限制具有撥號(hào)訪問(wèn)權(quán)限的用戶(hù)數(shù)量3、安全審計(jì)應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶(hù)行為等進(jìn)行日志記錄；審計(jì)記錄應(yīng)包括：事件的日期和時(shí)間、用戶(hù)、事件類(lèi)型、事件是否成功及其他與審計(jì)相關(guān)的信息；應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)，避免受到未預(yù)期的刪除、修改或覆蓋等。4、邊界完整性檢查應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對(duì)其進(jìn)行有效阻斷；應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶(hù)私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對(duì)其進(jìn)行有效阻斷。5、入侵防范應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬后門(mén)攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲(chóng)攻擊等；當(dāng)檢測(cè)到攻擊行為時(shí)，記錄攻擊源IP、攻擊類(lèi)型、攻擊目的、攻擊時(shí)間，在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)告；6、惡意代碼防范應(yīng)在網(wǎng)絡(luò)邊界處對(duì)惡意代碼進(jìn)行檢測(cè)和清除；應(yīng)維護(hù)惡意代碼庫(kù)的升級(jí)和檢測(cè)系統(tǒng)的更新。7、網(wǎng)絡(luò)設(shè)備防護(hù)應(yīng)對(duì)登錄網(wǎng)絡(luò)設(shè)備的用戶(hù)進(jìn)行身份鑒別；應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制；網(wǎng)絡(luò)設(shè)備用戶(hù)的標(biāo)識(shí)應(yīng)唯一；主要網(wǎng)絡(luò)設(shè)備應(yīng)對(duì)同一用戶(hù)選擇兩種或兩種以上組合的鑒別技術(shù)來(lái)進(jìn)行身份鑒別；身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換；應(yīng)具有登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動(dòng)退出等措施；當(dāng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng)；應(yīng)實(shí)現(xiàn)設(shè)備特權(quán)用戶(hù)的權(quán)限分離4、現(xiàn)狀對(duì)比與整改方案現(xiàn)有網(wǎng)絡(luò)雖然已經(jīng)在各方面比較完善，但是還達(dá)不到三級(jí)等保的要求，下面從以上7個(gè)控制點(diǎn)進(jìn)行詳細(xì)的對(duì)比，找出存在的問(wèn)題并提出解決方案?，F(xiàn)狀對(duì)比主要是對(duì)已有設(shè)備的配置和使用情況進(jìn)行檢查和修改。網(wǎng)絡(luò)及安全設(shè)備的配置和優(yōu)化服務(wù)；監(jiān)控分析及優(yōu)化服務(wù)；是否進(jìn)行了路由控制建立安全的訪問(wèn)路徑？重要網(wǎng)段的隔離部署；重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙；如：MAC+IP綁定審計(jì)數(shù)據(jù)的梳理及分析；設(shè)定用戶(hù)的訪問(wèn)權(quán)限并配置策略（內(nèi)部和外部）；對(duì)登錄網(wǎng)絡(luò)設(shè)備的用戶(hù)進(jìn)行身份鑒別和地址限制；對(duì)重要業(yè)務(wù)的帶寬做最小流量設(shè)置。如下表格：打鉤表示已滿足要求。未打鉤表示未滿足要求，需要完善，可通過(guò)對(duì)現(xiàn)有設(shè)備進(jìn)行深化配置或者增添新設(shè)備來(lái)實(shí)現(xiàn)。結(jié)構(gòu)安全1應(yīng)保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要；√2應(yīng)保證網(wǎng)絡(luò)各個(gè)部分的帶寬滿足業(yè)務(wù)高峰期需要；√3應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路由控制建立安全的訪問(wèn)路徑；√4應(yīng)繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖；√5應(yīng)根據(jù)各部門(mén)的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段；√6應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段；7應(yīng)按照對(duì)業(yè)務(wù)服務(wù)的重要次序來(lái)指定帶寬分配優(yōu)先級(jí)別，保證在網(wǎng)絡(luò)發(fā)生擁堵的時(shí)候優(yōu)先保護(hù)重要主機(jī)。訪問(wèn)控制1應(yīng)在網(wǎng)絡(luò)邊界部署訪問(wèn)控制設(shè)備，啟用訪問(wèn)控制功能；√2應(yīng)能根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問(wèn)的能力，控制粒度為端口級(jí)；3應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過(guò)濾，實(shí)現(xiàn)對(duì)應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級(jí)的控制；4應(yīng)在會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束后終止網(wǎng)絡(luò)連接；5應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)；6重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙；7應(yīng)按用戶(hù)和系統(tǒng)之間的允許訪問(wèn)規(guī)則，決定允許或拒絕用戶(hù)對(duì)受控系統(tǒng)進(jìn)行資源訪問(wèn)，控制粒度為單個(gè)用戶(hù)；8應(yīng)限制具有撥號(hào)訪問(wèn)權(quán)限的用戶(hù)數(shù)量；安全審計(jì)1應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶(hù)行為等進(jìn)行日志記錄；√2審計(jì)記錄應(yīng)包括：事件的日期和時(shí)間、用戶(hù)、事件類(lèi)型、事件是否成功及其他與審計(jì)相關(guān)的信息；3應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；√4應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)，避免受到未預(yù)期的刪除、修改或覆蓋等。邊界完整性檢查1應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對(duì)其進(jìn)行有效阻斷；2應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶(hù)私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對(duì)其進(jìn)行有效阻斷。入侵防范1應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬后門(mén)攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲(chóng)攻擊等；2當(dāng)檢測(cè)到攻擊行為時(shí)，記錄攻擊源IP、攻擊類(lèi)型、攻擊目的、攻擊時(shí)間，在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)惡意代碼防范措施。惡意代碼防范1應(yīng)在網(wǎng)絡(luò)邊界處對(duì)惡意代碼進(jìn)行檢測(cè)和清除；2應(yīng)維護(hù)惡意代碼庫(kù)的升級(jí)和檢測(cè)系統(tǒng)的更新。網(wǎng)絡(luò)設(shè)備防護(hù)1應(yīng)對(duì)登錄網(wǎng)絡(luò)設(shè)備的用戶(hù)進(jìn)行身份鑒別；√2應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制；3網(wǎng)絡(luò)設(shè)備用戶(hù)的標(biāo)識(shí)應(yīng)唯一；√4主要網(wǎng)絡(luò)設(shè)備應(yīng)對(duì)同一用戶(hù)選擇兩種或兩種以上組合的鑒別技術(shù)來(lái)進(jìn)行身份鑒別；5身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換；6應(yīng)具有登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動(dòng)退出等措施；7當(dāng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng)；8應(yīng)實(shí)現(xiàn)設(shè)備特權(quán)用戶(hù)的權(quán)限分離2、控制點(diǎn)整改措施1、結(jié)構(gòu)安全主要網(wǎng)絡(luò)設(shè)備的處理能力以及各部分帶寬均需滿足業(yè)務(wù)高峰需要；

部署優(yōu)化設(shè)備，削減網(wǎng)絡(luò)流量，更好的滿足冗余要求；合理規(guī)劃路由，在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間建立安全路徑；

規(guī)劃重要網(wǎng)段，在路由交換設(shè)備上配置ACL策略進(jìn)行隔離；

網(wǎng)絡(luò)設(shè)備規(guī)劃帶寬優(yōu)先級(jí)，保證在網(wǎng)絡(luò)發(fā)生擁堵時(shí)優(yōu)先保護(hù)重要主機(jī)。必要時(shí)可部署專(zhuān)業(yè)流控產(chǎn)品進(jìn)行管控。2、訪問(wèn)控制網(wǎng)絡(luò)邊界部署如：防火墻等隔離設(shè)備；

根據(jù)基本要求對(duì)隔離設(shè)備以及網(wǎng)絡(luò)設(shè)備等制定相應(yīng)的ACL策略。包括：訪問(wèn)控制粒度、用戶(hù)數(shù)量等。在配置防火墻等隔離設(shè)備的策略時(shí)要滿足相應(yīng)要求，包括：端口級(jí)的控制粒度；常見(jiàn)應(yīng)用層協(xié)議命令過(guò)濾；會(huì)話控制；流量控制；連接數(shù)控制；防地址欺騙等。3、安全審計(jì)部署網(wǎng)絡(luò)安全審計(jì)系統(tǒng)，記錄用戶(hù)網(wǎng)絡(luò)行為、網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量等，審計(jì)記錄包括事件的日期和時(shí)間、用戶(hù)、事件類(lèi)型、事件是否成功及其他與審計(jì)相關(guān)的信息。加強(qiáng)審計(jì)功能，具備報(bào)表生成功能，同時(shí)采用日志服務(wù)器進(jìn)行審計(jì)記錄的保存，避免非正常刪除、修改或覆蓋。4、邊界完整性檢查部署終端安全管理系統(tǒng)，啟用非法外聯(lián)監(jiān)控以及安全準(zhǔn)入功能進(jìn)行邊界完整性檢查。在檢測(cè)的同時(shí)要進(jìn)行有效阻斷。5、入侵防范部署入侵檢測(cè)系統(tǒng)進(jìn)行入侵行為進(jìn)行檢測(cè)。包括：端口掃描、強(qiáng)力攻擊、木馬后門(mén)攻擊等各類(lèi)攻擊行為。配置入侵檢測(cè)系統(tǒng)的日志模塊，記錄記錄攻擊源IP、攻擊類(lèi)型、攻擊目的、攻擊時(shí)間等相關(guān)信息，并通過(guò)一定的方式進(jìn)行告警。6、惡意代碼防范在網(wǎng)絡(luò)邊界處部署UTM或AV、IPS網(wǎng)關(guān)進(jìn)行惡意代碼的檢測(cè)與清除，并定期升級(jí)惡意代碼庫(kù)。升級(jí)方式根據(jù)與互聯(lián)網(wǎng)的連接狀態(tài)采取在線或離線方式。7、網(wǎng)絡(luò)設(shè)備防護(hù)根據(jù)基本要求配置網(wǎng)絡(luò)設(shè)備自身的身份鑒別與權(quán)限控制，包括：登陸地址、標(biāo)識(shí)符、口令的復(fù)雜度（3種以上字符、長(zhǎng)度不少于8位）、失敗處理，傳輸加密等方面。

對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行安全加固。對(duì)主要網(wǎng)絡(luò)設(shè)備實(shí)施雙因素認(rèn)證手段進(jìn)身份鑒別；

對(duì)設(shè)備的管理員等特權(quán)用戶(hù)進(jìn)行不同權(quán)限等級(jí)的配置，實(shí)現(xiàn)權(quán)限分離。3、詳細(xì)整改方案現(xiàn)有網(wǎng)絡(luò)配置未將重要網(wǎng)段與其他網(wǎng)段之間進(jìn)行可靠的技術(shù)隔離，應(yīng)采用相應(yīng)的VLAN隔離技術(shù)并為特定的無(wú)線用戶(hù)配置用戶(hù)隔離?，F(xiàn)有網(wǎng)絡(luò)未配置對(duì)業(yè)務(wù)服務(wù)的重要次序并指定帶寬分配優(yōu)先級(jí)別，需增添專(zhuān)業(yè)的流量控制設(shè)備對(duì)有線合無(wú)線用戶(hù)進(jìn)行全面管控。在出口區(qū)域部署的防火墻雖然配置了相應(yīng)的安全策略，但是沒(méi)有將某些應(yīng)用的控制粒度細(xì)化到端口級(jí)別，需完善配置?，F(xiàn)有網(wǎng)絡(luò)設(shè)備沒(méi)有對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過(guò)濾，實(shí)現(xiàn)對(duì)應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級(jí)的控制，需增添一臺(tái)專(zhuān)業(yè)的行為管理設(shè)備進(jìn)行完善。大部分設(shè)備的會(huì)話非活躍時(shí)間設(shè)置均為默認(rèn)值，應(yīng)在會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束后終止網(wǎng)絡(luò)連接，需修改設(shè)備的相應(yīng)數(shù)值進(jìn)行完善。出口網(wǎng)關(guān)上沒(méi)有相應(yīng)的限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)的配置，需根據(jù)用戶(hù)群體、數(shù)量及數(shù)據(jù)量的大小計(jì)算出合理的數(shù)值并完善。交換機(jī)上沒(méi)有對(duì)重要網(wǎng)段采取技術(shù)手段防止地址欺騙，建議全網(wǎng)采用DHCPSnooping+IPSourceguard+ARPCheck方案或使用DHCPSnooping+DAI方案對(duì)地址欺騙進(jìn)行有效的防范。由于現(xiàn)有網(wǎng)絡(luò)中有一臺(tái)SAM認(rèn)證計(jì)費(fèi)系統(tǒng)，所以也可采用與SAM聯(lián)動(dòng)的方式SAM+Supplicant方案?，F(xiàn)有設(shè)備未配置按用戶(hù)和系統(tǒng)之間的允許訪問(wèn)規(guī)則，決定允許或拒絕用戶(hù)對(duì)受控系統(tǒng)進(jìn)行資源訪問(wèn)。應(yīng)在交換機(jī)上添加相應(yīng)配置，如采用ACL進(jìn)行控制，控制粒度應(yīng)為單個(gè)用戶(hù)。設(shè)備未限制具有撥號(hào)訪問(wèn)權(quán)限的用戶(hù)數(shù)量，應(yīng)根據(jù)用戶(hù)群體及數(shù)量在出口區(qū)域進(jìn)行相應(yīng)的限制。現(xiàn)有設(shè)備無(wú)法全面有效的記錄事件的日期和時(shí)間、用戶(hù)、事件類(lèi)型、事件是否成功及其他與審計(jì)相關(guān)的信息，上述第4條中增添的行為管理設(shè)備可對(duì)此完美支持。行為管理設(shè)備應(yīng)采用雙電源設(shè)計(jì)，分開(kāi)兩路電源對(duì)其供電，配置高復(fù)雜度密碼并定期進(jìn)行修改和檢查，與日志系統(tǒng)聯(lián)動(dòng)，實(shí)時(shí)轉(zhuǎn)存日志信息，實(shí)現(xiàn)對(duì)審計(jì)記錄進(jìn)行保護(hù)，避免受到未預(yù)期的刪除、修改或覆蓋?，F(xiàn)有設(shè)備無(wú)法有效的對(duì)非授權(quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查、準(zhǔn)確定出位置并對(duì)其進(jìn)行有效阻斷，應(yīng)增添專(zhuān)業(yè)的入侵檢測(cè)設(shè)備對(duì)現(xiàn)有網(wǎng)絡(luò)進(jìn)行完善?，F(xiàn)有設(shè)備無(wú)法全面有效的對(duì)內(nèi)部網(wǎng)絡(luò)用戶(hù)私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查、準(zhǔn)確定出位置并對(duì)其進(jìn)行有效阻斷。上述第4條中增添的行為管理設(shè)備可對(duì)此完美支持。現(xiàn)有設(shè)備無(wú)法全面有效監(jiān)視網(wǎng)絡(luò)邊界處收到的端口掃描、強(qiáng)力攻擊、木馬后門(mén)攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲(chóng)攻擊等，上述第12條中增添的入侵檢測(cè)設(shè)備可對(duì)此完美支持。現(xiàn)有設(shè)備無(wú)法全面有效的在檢測(cè)到攻擊行為時(shí)，記錄攻擊源IP、攻擊類(lèi)型、攻擊目的、攻擊時(shí)間，并無(wú)法全面有效的在發(fā)生嚴(yán)重入侵事件時(shí)提供惡意代碼和防范措施，上述第12條中增添的入侵檢測(cè)設(shè)備可對(duì)此完美支持?，F(xiàn)有設(shè)備無(wú)法全面有效的在在網(wǎng)絡(luò)邊界處對(duì)惡意代碼進(jìn)行檢測(cè)和清除，上述第12條中增添的入侵檢測(cè)設(shè)備可對(duì)此完美支持。安全類(lèi)設(shè)備應(yīng)定期維護(hù)惡意代碼庫(kù)的升級(jí)和檢測(cè)系統(tǒng)的更新，以免識(shí)別不到最新的惡意代碼和攻擊方式?，F(xiàn)有設(shè)備未對(duì)網(wǎng)絡(luò)設(shè)備的管理員地址進(jìn)行限制，應(yīng)在所有設(shè)備上采用ACL等技應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制，只允許管理員所在地址段的指定地址登錄設(shè)備并進(jìn)行管理；主要網(wǎng)絡(luò)設(shè)備應(yīng)對(duì)同一用戶(hù)選擇兩種或兩種以上組合的鑒別技術(shù)來(lái)進(jìn)行身份鑒別，建議采用用戶(hù)名+密碼+驗(yàn)證碼等方式對(duì)設(shè)備進(jìn)行登錄和管理。設(shè)備的身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換；現(xiàn)有設(shè)備未配置對(duì)登錄失敗處理功能，如采取結(jié)束會(huì)話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動(dòng)退出等措施，應(yīng)完善相應(yīng)配置。現(xiàn)有大部分設(shè)備的遠(yuǎn)程管理方式均采用Telnet和HTTP方式進(jìn)行登錄管理，無(wú)法防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng)，因此，所有網(wǎng)絡(luò)設(shè)備都應(yīng)采用SSH和HTTPS的方式對(duì)設(shè)備進(jìn)行登錄和管理。當(dāng)前設(shè)備未配置對(duì)管理員的權(quán)限劃分，當(dāng)存在多個(gè)不同等級(jí)的管理員時(shí)，應(yīng)實(shí)現(xiàn)設(shè)備特權(quán)用戶(hù)的權(quán)限分離，需完善設(shè)備配置。當(dāng)前在服務(wù)器區(qū)域的防護(hù)只部署了一臺(tái)WG，但是服務(wù)器區(qū)域內(nèi)的數(shù)據(jù)庫(kù)得不到有效的安全保障，應(yīng)從數(shù)據(jù)完整性和保密性進(jìn)行防護(hù)，所以需要增添專(zhuān)業(yè)的數(shù)據(jù)庫(kù)審計(jì)設(shè)備對(duì)數(shù)據(jù)庫(kù)和網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)進(jìn)行全面檢測(cè)和審計(jì)。4、設(shè)備部署方案上述整改措施中包含服務(wù)類(lèi)與產(chǎn)品類(lèi)兩種解決方式，其中產(chǎn)品類(lèi)措施中包含3臺(tái)設(shè)備，分別是行為管理、入侵檢測(cè)和漏洞掃描。1、行為管理設(shè)備1、部署位置為了保證有效的檢測(cè)和感知用戶(hù)行為并阻斷非法數(shù)據(jù)，行為管理設(shè)備應(yīng)部署在核心交換機(jī)與出口網(wǎng)關(guān)中間，如下圖所示：拓?fù)鋱D2、設(shè)備選型建議由于設(shè)備部署在整網(wǎng)的出口區(qū)域，除了滿足等保所要求的功能