單位信息安全等級(jí)保護(hù)

單位名稱我們畢業(yè)啦其實(shí)是答辯的標(biāo)題地方信息安全等級(jí)保護(hù)工作匯報(bào)2016-01-18第一頁(yè)，共六十六頁(yè)。當(dāng)前，我國(guó)信息化發(fā)展正進(jìn)入全面深化的新階段。新型信息技術(shù)發(fā)展應(yīng)用，給我國(guó)網(wǎng)絡(luò)與信息安全保障工作提出了新任務(wù)。前言第二頁(yè)，共六十六頁(yè)。法律法規(guī)：《信息安全等級(jí)保護(hù)管理辦法》（公通字［2007］43號(hào)）《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》《廣東省計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》最高人民法院、最高人民檢察院2015年10月30日聯(lián)合發(fā)布《關(guān)于執(zhí)行〈中華人民共和國(guó)刑法〉確定罪名的補(bǔ)充規(guī)定(六)》對(duì)適用刑法的部分罪名進(jìn)行了補(bǔ)充或修改，其中增加了拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪、非法利用信息網(wǎng)絡(luò)罪、幫助信息網(wǎng)絡(luò)犯罪活動(dòng)罪。第三頁(yè)，共六十六頁(yè)。一、等級(jí)保護(hù)背景二、等級(jí)保護(hù)概念三、等保評(píng)定內(nèi)容四、推進(jìn)等保工作的一些探討五、本單位的問題和建議目錄第四頁(yè)，共六十六頁(yè)。一、等級(jí)保護(hù)背景第五頁(yè)，共六十六頁(yè)。等保背景2016年第1期網(wǎng)絡(luò)安全信息與動(dòng)態(tài)周報(bào)(12月28日--01月03日)第六頁(yè)，共六十六頁(yè)。等保背景當(dāng)前面臨的安全威脅：

獨(dú)立黑客：黑客攻擊越來(lái)越頻繁，影響企事業(yè)正常的業(yè)務(wù)運(yùn)作。內(nèi)部員工：1、信息安全意識(shí)薄弱的員工誤用、濫用等；2、管理員權(quán)限過(guò)大，如：系統(tǒng)管理員越權(quán)訪問數(shù)據(jù)；3、不穩(wěn)定、情緒不滿的員工。如：?jiǎn)T工離職帶走企業(yè)秘密。競(jìng)爭(zhēng)對(duì)手：法制環(huán)境不健全，行業(yè)不正當(dāng)競(jìng)爭(zhēng)（如：竊取機(jī)密）。國(guó)外政府或機(jī)構(gòu)：法制環(huán)境不健全，行業(yè)不正當(dāng)競(jìng)爭(zhēng)（如：竊取機(jī)密，破壞企業(yè)的業(yè)務(wù)服務(wù)）。第七頁(yè)，共六十六頁(yè)。等保背景2014年8月1日，浙江溫州有線數(shù)字電視被攻擊，電視屏幕疊加反動(dòng)字幕和圖片，50萬(wàn)用戶、80萬(wàn)機(jī)頂盒受影響。第八頁(yè)，共六十六頁(yè)。等保背景第九頁(yè)，共六十六頁(yè)。等保背景重要網(wǎng)站和信息系統(tǒng)被植入木馬后門第十頁(yè)，共六十六頁(yè)。等保背景網(wǎng)絡(luò)病毒和網(wǎng)絡(luò)攻擊已形成一個(gè)黑色產(chǎn)業(yè)鏈，侵害政府公信力、社會(huì)公共安全、公民個(gè)人利益和隱私。破壞數(shù)據(jù)、應(yīng)用、服務(wù)、硬件；盜取數(shù)據(jù)、資金；對(duì)外傳播危害信息，對(duì)內(nèi)傳播木馬擴(kuò)大危害范圍；利用被控制的電腦從事犯罪活動(dòng)。第十一頁(yè)，共六十六頁(yè)。等保背景一個(gè)巴掌拍不響！外因是條件，內(nèi)因才是根本。全省3523個(gè)重點(diǎn)網(wǎng)站安全技術(shù)檢測(cè)結(jié)果：存在安全漏洞的網(wǎng)站2621個(gè)，占被檢網(wǎng)站數(shù)量74.4%；其中高危網(wǎng)站1633個(gè)，占檢測(cè)網(wǎng)站的46.35%；發(fā)現(xiàn)安全漏洞數(shù)量93760個(gè)，其中高危漏洞25578個(gè)。平均1個(gè)網(wǎng)站有26個(gè)漏洞，7個(gè)高危漏洞。本行業(yè)的漏洞，本單位網(wǎng)站漏洞：詳見粵等保辦[2014]13號(hào)2014年上半年我省重點(diǎn)網(wǎng)站安全檢測(cè)情況通報(bào)第十二頁(yè)，共六十六頁(yè)。等保背景安全意識(shí)薄弱人、財(cái)、物等保障不到位；重建設(shè)、重應(yīng)用、輕安全、輕管理；系統(tǒng)建設(shè)與安全建設(shè)不同步，有的廢棄后仍未關(guān)停，有的服務(wù)器長(zhǎng)期未打補(bǔ)丁，有的雖然配備安全設(shè)備但配置不科學(xué)。第十三頁(yè)，共六十六頁(yè)。等保背景第十四頁(yè)，共六十六頁(yè)。等保背景信息安全責(zé)任不清未成立領(lǐng)導(dǎo)機(jī)構(gòu)、未明確責(zé)任、缺乏追責(zé)制度等。缺乏長(zhǎng)遠(yuǎn)信息安全規(guī)劃安全策略不當(dāng)、安全措施不合理、沒有數(shù)據(jù)備份和恢復(fù)等。監(jiān)測(cè)預(yù)警和應(yīng)急處理能力欠缺缺乏人員、技術(shù)、系統(tǒng)和預(yù)案、演練，各單位發(fā)現(xiàn)問題、處理問題能力有待提高。第十五頁(yè)，共六十六頁(yè)。二、等級(jí)保護(hù)概念第十六頁(yè)，共六十六頁(yè)。等保概念什么是信息安全等級(jí)保護(hù)工作？概念：信息安全等級(jí)保護(hù)是指對(duì)國(guó)家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲(chǔ)、傳輸、處理這些信息的信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)，對(duì)信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級(jí)管理，對(duì)信息系統(tǒng)中發(fā)生的信息安全事件分等級(jí)響應(yīng)、處置。

信息安全等級(jí)保護(hù)的核心是對(duì)信息系統(tǒng)分等級(jí)、按標(biāo)準(zhǔn)進(jìn)行建設(shè)、管理和監(jiān)督。第十七頁(yè)，共六十六頁(yè)。等保概念什么是信息安全等級(jí)保護(hù)工作？意義：信息安全等級(jí)保護(hù)制度是國(guó)家信息安全保障的基本制度、基本策略、基本方法；是當(dāng)今發(fā)達(dá)國(guó)家的通行做法，也是我國(guó)多年來(lái)信息安全工作經(jīng)驗(yàn)的總結(jié)。開展信息安全等級(jí)保護(hù)工作：有利于同步建設(shè)；有利于指導(dǎo)和服務(wù)；有利于保障重點(diǎn)；有利于明確責(zé)任；有利于企事業(yè)單位保護(hù)商業(yè)秘密和知識(shí)產(chǎn)權(quán)。第十八頁(yè)，共六十六頁(yè)。等保概念實(shí)施等級(jí)保護(hù)工作的基本原則：自主保護(hù)原則：信息系統(tǒng)運(yùn)營(yíng)、使用單位及其主管部門按照國(guó)家相關(guān)法規(guī)和標(biāo)準(zhǔn)，自主確定信息系統(tǒng)的安全保護(hù)等級(jí)，自行組織實(shí)施安全保護(hù)。重點(diǎn)保護(hù)原則：根據(jù)信息系統(tǒng)的重要程度、業(yè)務(wù)特點(diǎn)，通過(guò)劃分不同安全保護(hù)等級(jí)的信息系統(tǒng)，實(shí)現(xiàn)不同強(qiáng)度的安全保護(hù)，集中資源優(yōu)先保護(hù)涉及核心業(yè)務(wù)或關(guān)鍵信息資產(chǎn)的信息系統(tǒng)。同步建設(shè)原則：信息系統(tǒng)在新建、改建、擴(kuò)建時(shí)應(yīng)當(dāng)同步規(guī)劃和設(shè)計(jì)安全方案，投入一定比例的資金建設(shè)信息安全設(shè)施，保障信息安全與信息化建設(shè)相適應(yīng)。動(dòng)態(tài)調(diào)整原則：要跟蹤信息系統(tǒng)的變化情況，調(diào)整安全保護(hù)措施。由于信息系統(tǒng)的應(yīng)用類型、范圍等條件的變化及其他原因，安全保護(hù)等級(jí)需要變更的，應(yīng)當(dāng)根據(jù)等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的要求，重新確定信息系統(tǒng)的安全保護(hù)等級(jí)，根據(jù)信息系統(tǒng)安全保護(hù)等級(jí)的調(diào)整情況，重新實(shí)施安全保護(hù)。第十九頁(yè)，共六十六頁(yè)。等保概念信息系統(tǒng)的安全保護(hù)等級(jí)分為以下五級(jí)：第一級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害，但不損害國(guó)家安全、社會(huì)秩序和公共利益；第二級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對(duì)社會(huì)秩序和公共利益造成損害，但不損害國(guó)家安全；第三級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成損害；第四級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成嚴(yán)重?fù)p害；第五級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)國(guó)家安全造成特別嚴(yán)重?fù)p害。第二十頁(yè)，共六十六頁(yè)。等保概念信息安全等級(jí)保護(hù)工作定級(jí)備案檢查等級(jí)測(cè)評(píng)安全建設(shè)整改《關(guān)于開展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知》（公通字[2007]861號(hào)）《信息安全等級(jí)保護(hù)備案實(shí)施細(xì)則》（公信安[2007]1360號(hào)）《關(guān)于開展信息安全等級(jí)保護(hù)安全建設(shè)整改工作的指導(dǎo)意見》（公信安[2009]1429號(hào)）《關(guān)于加強(qiáng)國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估工作的通知》（發(fā)改高技[2008]2071號(hào)）《關(guān)于推動(dòng)信息安全等級(jí)保護(hù)測(cè)評(píng)體系建設(shè)和開展等級(jí)測(cè)評(píng)工作的通知》（公信安[2010]303號(hào)）《公安機(jī)關(guān)信息安全等級(jí)保護(hù)檢查工作規(guī)范（試行）》（公信安[2008]736號(hào)）《信息系統(tǒng)安全等級(jí)測(cè)評(píng)報(bào)告模版（試行）》（公信安[2009]1487號(hào)）《信息安全等級(jí)保護(hù)管理辦法》（公通字[2007]43號(hào)）《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見》（公通字[2004]66號(hào)）《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》（國(guó)務(wù)院147號(hào)令）《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》（中辦發(fā)[2003]27號(hào)）第二十一頁(yè)，共六十六頁(yè)。等保概念等級(jí)保護(hù)實(shí)施過(guò)程中涉及的角色和職責(zé)：第二十二頁(yè)，共六十六頁(yè)。等保概念等級(jí)保護(hù)實(shí)施的基本流程：第二十三頁(yè)，共六十六頁(yè)。三、等保評(píng)定內(nèi)容第二十四頁(yè)，共六十六頁(yè)。評(píng)定內(nèi)容等級(jí)測(cè)評(píng)內(nèi)容：物理安全技術(shù)要求管理要求基本要求網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全安全管理機(jī)構(gòu)安全管理制度人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理第二十五頁(yè)，共六十六頁(yè)。評(píng)定內(nèi)容等級(jí)測(cè)評(píng)內(nèi)容：物理位置選擇物理安全(三級(jí))物理訪問控制防盜竊

和防破壞防雷擊防火防水和防潮溫濕度控制電力供應(yīng)電磁防護(hù)防靜電物理層面構(gòu)成組件包括信息系統(tǒng)工作的設(shè)施環(huán)境以及構(gòu)成信息系統(tǒng)的硬件設(shè)備和介質(zhì)等。第二十六頁(yè)，共六十六頁(yè)。評(píng)定內(nèi)容物理安全解讀基本要求指標(biāo)項(xiàng)實(shí)施建議重要區(qū)域應(yīng)配置電子門禁系統(tǒng)，控制、鑒別和記錄進(jìn)入的人員。對(duì)安裝網(wǎng)絡(luò)與重要服務(wù)器等核心設(shè)備的機(jī)房或區(qū)域應(yīng)配置門禁系統(tǒng)，并采用密碼或指紋識(shí)別技術(shù)。應(yīng)將設(shè)備或主要部件進(jìn)行固定，并設(shè)置明顯的不易除去的標(biāo)記；標(biāo)記應(yīng)明確服務(wù)對(duì)象、IP地址、固定資產(chǎn)編號(hào)、物理位置、設(shè)備維護(hù)責(zé)任人等信息，并粘貼在明顯的位置。應(yīng)將通信線纜鋪設(shè)在隱蔽處，可鋪設(shè)在地下或管道中；在線纜的兩端做好標(biāo)記。應(yīng)對(duì)機(jī)房設(shè)置監(jiān)控報(bào)警系統(tǒng)。應(yīng)在機(jī)房入口、機(jī)柜走道、重要服務(wù)器等位置安裝攝像頭和圖像存儲(chǔ)、監(jiān)控系統(tǒng)。第二十七頁(yè)，共六十六頁(yè)。評(píng)定內(nèi)容物理安全解讀2基本要求指標(biāo)項(xiàng)實(shí)施建議機(jī)房應(yīng)采取區(qū)域隔離防火措施，將重要設(shè)備與其他設(shè)備隔離開。政務(wù)外網(wǎng)的重要設(shè)備如廣域網(wǎng)核心路由器、城域網(wǎng)核心交換機(jī)等，應(yīng)與其他網(wǎng)絡(luò)和應(yīng)用設(shè)備隔離放置，并按消防要求采取相應(yīng)的防火措施。應(yīng)采取措施防止機(jī)房?jī)?nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透；在機(jī)房?jī)?nèi)做好隔熱層，并注意樓層之間的溫差不要太大。機(jī)房應(yīng)設(shè)置溫、濕度自動(dòng)調(diào)節(jié)設(shè)施，使機(jī)房溫、濕度的變化在設(shè)備運(yùn)行所允許的范圍之內(nèi)。一般機(jī)房日常溫度應(yīng)控制在10～28℃，濕度30～70%。應(yīng)具有聯(lián)網(wǎng)監(jiān)控和自動(dòng)報(bào)警、并及時(shí)通知相關(guān)運(yùn)維人員等功能。電源線和通信線纜應(yīng)隔離鋪設(shè)，避免互相干擾；電源線和通信線應(yīng)隔離鋪設(shè)，平行超過(guò)30米時(shí)，其鋪設(shè)間隔應(yīng)大于200毫米。第二十八頁(yè)，共六十六頁(yè)。評(píng)定內(nèi)容等級(jí)測(cè)評(píng)內(nèi)容：結(jié)構(gòu)安全和網(wǎng)段劃分網(wǎng)絡(luò)安全(三級(jí))網(wǎng)絡(luò)訪問控制網(wǎng)絡(luò)安全審計(jì)邊界完整性檢查網(wǎng)絡(luò)入侵檢測(cè)惡意代碼防護(hù)網(wǎng)絡(luò)設(shè)備防護(hù)第二十九頁(yè)，共六十六頁(yè)。評(píng)定內(nèi)容網(wǎng)絡(luò)安全解讀基本要求指標(biāo)項(xiàng)實(shí)施建議應(yīng)繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖；拓?fù)鋱D應(yīng)與實(shí)際部署一致，其各類安全設(shè)備也應(yīng)標(biāo)注在圖上，建議拓?fù)鋱D掛在機(jī)房?jī)?nèi)，以便故障處置，有利于運(yùn)維人員直觀、便捷的查看應(yīng)在會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束后終止網(wǎng)絡(luò)連接網(wǎng)絡(luò)應(yīng)有實(shí)時(shí)監(jiān)控功能，對(duì)會(huì)話處于非活躍30分鐘以上或會(huì)話結(jié)束后及時(shí)終止網(wǎng)絡(luò)連接應(yīng)按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對(duì)受控系統(tǒng)進(jìn)行資源訪問，控制粒度為單個(gè)用戶；可在應(yīng)用服務(wù)器前設(shè)置防火墻、認(rèn)證網(wǎng)關(guān)或授權(quán)管理系統(tǒng)，對(duì)單個(gè)用戶的訪問進(jìn)行策略控制。應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；對(duì)數(shù)據(jù)進(jìn)行分析時(shí)，應(yīng)能發(fā)現(xiàn)異常并主動(dòng)告警，審計(jì)報(bào)表應(yīng)能根據(jù)用戶需要修改，相關(guān)信息應(yīng)能上報(bào)到安全管理系統(tǒng)。第三十頁(yè)，共六十六頁(yè)。評(píng)定內(nèi)容網(wǎng)絡(luò)安全解讀2基本要求指標(biāo)項(xiàng)實(shí)施建議應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)，避免受到未預(yù)期的刪除、修改或覆蓋等。審計(jì)記錄應(yīng)保存至少半年以上。當(dāng)檢測(cè)到攻擊行為時(shí)，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時(shí)間，在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)警應(yīng)部署安全管理系統(tǒng)（SOC)，

對(duì)網(wǎng)絡(luò)攻擊行為進(jìn)行綜合分析，對(duì)發(fā)現(xiàn)有嚴(yán)重入侵事件時(shí)應(yīng)實(shí)時(shí)告警。身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換；用戶口令應(yīng)不少于12位，數(shù)字和字母組成，至少3個(gè)月更換一次。應(yīng)具有登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動(dòng)退出等措施；當(dāng)一次登錄密碼錯(cuò)誤次數(shù)超過(guò)6次，應(yīng)能自動(dòng)關(guān)閉并告警。第三十一頁(yè)，共六十六頁(yè)。評(píng)定內(nèi)容等級(jí)測(cè)評(píng)內(nèi)容：身份鑒別主機(jī)系統(tǒng)安全(三級(jí))訪問控制安全審計(jì)剩余信息保護(hù)入侵防范惡意代碼防范資源控制第三十二頁(yè)，共六十六頁(yè)。評(píng)定內(nèi)容主機(jī)安全解讀基本要求指標(biāo)項(xiàng)實(shí)施建議應(yīng)對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的用戶進(jìn)行身份標(biāo)識(shí)和鑒別；對(duì)網(wǎng)絡(luò)管理系統(tǒng)和安全管理系統(tǒng)的管理員登陸地址應(yīng)進(jìn)行限制，禁止在內(nèi)部網(wǎng)絡(luò)中的任何終端均可登陸到管理系統(tǒng)，應(yīng)在管理系統(tǒng)前的防火墻上做好訪問控制。操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)管理用戶身份標(biāo)識(shí)應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換；系統(tǒng)管理員的登錄身份標(biāo)識(shí)應(yīng)唯一，口令應(yīng)至少12位以上，且數(shù)字和字母大小寫組合，每半年應(yīng)更改一次。應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施；當(dāng)?shù)卿洿螖?shù)錯(cuò)誤超過(guò)6次，應(yīng)自動(dòng)退出并告警第三十三頁(yè)，共六十六頁(yè)。評(píng)定內(nèi)容主機(jī)安全解讀2基本要求指標(biāo)項(xiàng)實(shí)施建議應(yīng)及時(shí)刪除多余的、過(guò)期的帳戶，避免共享帳戶的存在。應(yīng)定期（每半年）清理服務(wù)器中多余、過(guò)期的賬戶。應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；審計(jì)分析系統(tǒng)應(yīng)具有這些功能，并對(duì)異常行為實(shí)時(shí)告警。應(yīng)保護(hù)審計(jì)記錄，避免受到未預(yù)期的刪除、修改或覆蓋等。審計(jì)記錄至少應(yīng)保存半年。第三十四頁(yè)，共六十六頁(yè)。評(píng)定內(nèi)容等級(jí)測(cè)評(píng)內(nèi)容：身份鑒別應(yīng)用安全(三級(jí))訪問控制通信完整性通信保密性安全審計(jì)剩余信息保護(hù)抗抵賴軟件容錯(cuò)資源控制第三十五頁(yè)，共六十六頁(yè)。評(píng)定內(nèi)容應(yīng)用安全解讀基本要求指標(biāo)項(xiàng)實(shí)施建議應(yīng)提供專用的登錄控制模塊對(duì)登錄用戶進(jìn)行身份標(biāo)識(shí)和鑒別可采用堡壘機(jī)等方式，對(duì)登錄用戶的身份進(jìn)行標(biāo)識(shí)和鑒別。應(yīng)由授權(quán)主體配置訪問控制策略，并嚴(yán)格限制默認(rèn)帳戶的訪問權(quán)限；在應(yīng)用服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器前部署網(wǎng)關(guān)或授權(quán)管理系統(tǒng)，對(duì)主體配置訪問控制策略。當(dāng)應(yīng)用系統(tǒng)的通信雙方中的一方在一段時(shí)間內(nèi)未作任何響應(yīng)，另一方應(yīng)能夠自動(dòng)結(jié)束會(huì)話；如果通信雙方中有一方在10分鐘內(nèi)未作任何響應(yīng)，則應(yīng)自動(dòng)結(jié)束會(huì)話，釋放網(wǎng)絡(luò)連接。應(yīng)能夠?qū)ο到y(tǒng)服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測(cè)和報(bào)警；在網(wǎng)絡(luò)管理系統(tǒng)或安全管理系統(tǒng)中，對(duì)重要服務(wù)器運(yùn)行狀況設(shè)定門限值，實(shí)時(shí)監(jiān)測(cè)，低于門限值時(shí)，應(yīng)及時(shí)告警。第三十六頁(yè)，共六十六頁(yè)。評(píng)定內(nèi)容等級(jí)測(cè)評(píng)內(nèi)容：數(shù)據(jù)完整性數(shù)據(jù)安全(三級(jí))數(shù)據(jù)保密性安全備份第三十七頁(yè)，共六十六頁(yè)。評(píng)定內(nèi)容數(shù)據(jù)安全解讀基本要求指標(biāo)項(xiàng)實(shí)施建議應(yīng)采用加密或其他保護(hù)措施實(shí)現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)存儲(chǔ)保密性。在數(shù)據(jù)存儲(chǔ)前，增設(shè)安全加密網(wǎng)關(guān)設(shè)備，通過(guò)密碼技術(shù)對(duì)重要數(shù)據(jù)實(shí)現(xiàn)加密存儲(chǔ)。應(yīng)提供本地?cái)?shù)據(jù)備份與恢復(fù)功能，完全數(shù)據(jù)備份至少每天一次，備份介質(zhì)場(chǎng)外存放；對(duì)網(wǎng)絡(luò)管理和安全管理系統(tǒng)等重要信息系統(tǒng)應(yīng)提供本地的數(shù)據(jù)備份和恢復(fù)功能，并按要求備份。應(yīng)提供異地?cái)?shù)據(jù)備份功能，利用通信網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)定時(shí)批量傳送至備用場(chǎng)地；對(duì)重要信息系統(tǒng)的數(shù)據(jù)，應(yīng)提供異地?cái)?shù)據(jù)備份的功能，定時(shí)批量或增量備份，數(shù)據(jù)異地備份至少每月一次。應(yīng)提供主要網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余，保證系統(tǒng)的高可用性。廣域網(wǎng)和城域網(wǎng)的關(guān)鍵設(shè)備應(yīng)采用雙電源、雙引擎，通信線路應(yīng)采用環(huán)型或雙鏈路等手段，保證網(wǎng)絡(luò)的高可用性。第三十八頁(yè)，共六十六頁(yè)。評(píng)定內(nèi)容等級(jí)測(cè)評(píng)內(nèi)容：崗

位設(shè)置安全管理機(jī)構(gòu)(三級(jí))人員配備授權(quán)和審批溝

通與合作審核和檢查第三十九頁(yè)，共六十六頁(yè)。評(píng)定內(nèi)容等級(jí)測(cè)評(píng)內(nèi)容：管理制度安全管理制度(三級(jí))制訂和發(fā)布評(píng)審和修訂

安全管理制度一般是文檔化的，被正式制定、評(píng)審、發(fā)布和修訂，內(nèi)容包括策略、制度、規(guī)程、表格和記錄等，構(gòu)成一個(gè)塔式結(jié)構(gòu)的文檔體系。第四十頁(yè)，共六十六頁(yè)。評(píng)定內(nèi)容等級(jí)測(cè)評(píng)內(nèi)容：人員錄用人員安全管理(三級(jí))人員離崗人員考核安全意識(shí)教育和培訓(xùn)外部人員訪問管理第四十一頁(yè)，共六十六頁(yè)。評(píng)定內(nèi)容等級(jí)測(cè)評(píng)內(nèi)容：系統(tǒng)定級(jí)系統(tǒng)建設(shè)管理(三級(jí))安全方案設(shè)計(jì)產(chǎn)品采購(gòu)和使用自行軟件開發(fā)外包軟件開發(fā)工程實(shí)施測(cè)試驗(yàn)收系統(tǒng)交付安全服務(wù)商選擇系統(tǒng)備案第四十二頁(yè)，共六十六頁(yè)。評(píng)定內(nèi)容等級(jí)測(cè)評(píng)內(nèi)容：環(huán)境管理系統(tǒng)運(yùn)維管理(三級(jí))資產(chǎn)管理設(shè)備管理介質(zhì)管理運(yùn)行管理和監(jiān)控管理網(wǎng)絡(luò)安全管理系統(tǒng)安全管理惡意代碼防范管理變更管理密碼管理備份和恢復(fù)管理安全事件處置應(yīng)急預(yù)案管理第四十三頁(yè)，共六十六頁(yè)。評(píng)定內(nèi)容管理安全解讀基本要求指標(biāo)項(xiàng)實(shí)施建議安全管理員應(yīng)負(fù)責(zé)定期進(jìn)行安全檢查，檢查內(nèi)容包括系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況；安全管理員應(yīng)至少每月對(duì)管轄的系統(tǒng)和設(shè)備日志、系統(tǒng)漏洞、數(shù)據(jù)備份情況檢查一次。應(yīng)對(duì)關(guān)鍵崗位的人員進(jìn)行全面、嚴(yán)格的安全審查和技能考核；考察內(nèi)容主要應(yīng)包括技能、工作責(zé)任心、保密意識(shí)和工作態(tài)度、再學(xué)習(xí)能力等各方面。應(yīng)在軟件安裝之前檢測(cè)軟件包中可能存在的惡意代碼；應(yīng)用軟件上線前，應(yīng)委托第三方對(duì)軟件中可能存在的惡意代碼專門進(jìn)行檢測(cè)，并提交檢測(cè)報(bào)告。應(yīng)指定和授權(quán)專門的部門對(duì)信息系統(tǒng)的安全建設(shè)進(jìn)行總體規(guī)劃，制定近期和遠(yuǎn)期的安全建設(shè)工作計(jì)劃；可委托信息化工程建設(shè)咨詢單位對(duì)管轄內(nèi)的政務(wù)外網(wǎng)安全建設(shè)進(jìn)行總體規(guī)劃。第四十四頁(yè)，共六十六頁(yè)。評(píng)定內(nèi)容管理安全解讀2基本要求指標(biāo)項(xiàng)實(shí)施建議應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)工程實(shí)施過(guò)程的管理；應(yīng)采用監(jiān)理制，加強(qiáng)工程實(shí)施過(guò)程中的管理。應(yīng)對(duì)通信線路、主機(jī)、網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件的運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行監(jiān)測(cè)和報(bào)警，形成記錄并妥善保存；應(yīng)定期分析政務(wù)外網(wǎng)廣域網(wǎng)、城域網(wǎng)的運(yùn)行狀況（如可用率），及網(wǎng)絡(luò)利用率（如流量），應(yīng)定期對(duì)監(jiān)測(cè)和報(bào)警記錄進(jìn)行分析形成分析報(bào)告，發(fā)現(xiàn)可疑行為時(shí)，應(yīng)采取必要的應(yīng)對(duì)措施，其設(shè)備記錄的保存時(shí)間應(yīng)與設(shè)備使用生命周期相同。應(yīng)組織相關(guān)人員定期對(duì)監(jiān)測(cè)和報(bào)警記錄進(jìn)行分析、評(píng)審，發(fā)現(xiàn)可疑行為，形成分析報(bào)告，并采取必要的應(yīng)對(duì)措施；應(yīng)能按周、月、季和年度形成分析報(bào)告，并指導(dǎo)采取相應(yīng)的解決措施。第四十五頁(yè)，共六十六頁(yè)。評(píng)定內(nèi)容管理安全解讀3基本要求指標(biāo)項(xiàng)實(shí)施建議應(yīng)定期進(jìn)行漏洞掃描，對(duì)發(fā)現(xiàn)的系統(tǒng)安全漏洞及時(shí)進(jìn)行修補(bǔ)；至少每半年對(duì)系統(tǒng)服務(wù)器等進(jìn)行漏洞掃描，對(duì)高危漏洞應(yīng)及時(shí)修補(bǔ)。應(yīng)安裝系統(tǒng)的最新補(bǔ)丁程序，在安裝系統(tǒng)補(bǔ)丁前，首先在測(cè)試環(huán)境中測(cè)試通過(guò)，并對(duì)重要文件進(jìn)行備份后，方可實(shí)施系統(tǒng)補(bǔ)丁程序的安裝；為防止系統(tǒng)因補(bǔ)丁程序?qū)е掳c瘓，影響工作，測(cè)試和備份是必須要做的，并應(yīng)做好記錄。應(yīng)定期對(duì)運(yùn)行日志和審計(jì)數(shù)據(jù)進(jìn)行分析，以便及時(shí)發(fā)現(xiàn)異常行為。應(yīng)每月對(duì)系統(tǒng)運(yùn)行日志和審計(jì)數(shù)據(jù)進(jìn)行分析，并提交分析報(bào)告。第四十六頁(yè)，共六十六頁(yè)。評(píng)定內(nèi)容管理安全解讀4基本要求指標(biāo)項(xiàng)實(shí)施建議應(yīng)定期檢查信息系統(tǒng)內(nèi)各種產(chǎn)品的惡意代碼庫(kù)的升級(jí)情況并進(jìn)行記錄，對(duì)主機(jī)防病毒產(chǎn)品、防病毒網(wǎng)關(guān)和郵件防病毒網(wǎng)關(guān)上截獲的危險(xiǎn)病毒或惡意代碼進(jìn)行及時(shí)分析處理，并形成書面的報(bào)表和總結(jié)匯報(bào)。每個(gè)月應(yīng)檢查一次信息系統(tǒng)內(nèi)各類惡意代碼庫(kù)的升級(jí)情況。應(yīng)建立變更管理制度，系統(tǒng)發(fā)生變更前，向主管領(lǐng)導(dǎo)申請(qǐng)，變更和變更方案經(jīng)過(guò)評(píng)審、審批后方可實(shí)施變更，并在實(shí)施后將變更情況向相關(guān)人員通告；應(yīng)制定系統(tǒng)變更的管理制度和流程，明確軟件開發(fā)商、集成商、管理、運(yùn)維等各方的職責(zé)和工作內(nèi)容，并根據(jù)系統(tǒng)的影響范圍通告相關(guān)人員和領(lǐng)導(dǎo)。應(yīng)定期執(zhí)行恢復(fù)程序，檢查和測(cè)試備份介質(zhì)的有效性，確?？梢栽诨謴?fù)程序規(guī)定的時(shí)間內(nèi)完成備份的恢復(fù)。每年應(yīng)至少執(zhí)行恢復(fù)程序一次，可與應(yīng)急演練相結(jié)合，并保證其有效性和可靠性。第四十七頁(yè)，共六十六頁(yè)。評(píng)定內(nèi)容管理安全解讀5基本要求指標(biāo)項(xiàng)實(shí)施建議應(yīng)報(bào)告所發(fā)現(xiàn)的安全弱點(diǎn)和可疑事件，但任何情況下用戶均不應(yīng)嘗試驗(yàn)證弱點(diǎn)；對(duì)于所發(fā)現(xiàn)的問題，應(yīng)及時(shí)報(bào)告，禁止在生產(chǎn)網(wǎng)絡(luò)環(huán)境中嘗試驗(yàn)證，而應(yīng)在模擬環(huán)境中驗(yàn)證或通知相關(guān)廠商處置。應(yīng)從人力、設(shè)備、技術(shù)和財(cái)務(wù)等方面確保應(yīng)急預(yù)案的執(zhí)行有足夠的資源保障；在運(yùn)維費(fèi)用中，應(yīng)充分保證應(yīng)急處置時(shí)有足夠的資源。應(yīng)定期對(duì)應(yīng)急預(yù)案進(jìn)行演練，根據(jù)不同的應(yīng)急恢復(fù)內(nèi)容，確定演練的周期；對(duì)各類的應(yīng)急預(yù)案，根據(jù)不同的情況，每年至少進(jìn)行一次應(yīng)急演練，檢驗(yàn)預(yù)案的可操作性及應(yīng)急處置能力。應(yīng)規(guī)定應(yīng)急預(yù)案需要定期審查和根據(jù)實(shí)際情況更新的內(nèi)容，并按照?qǐng)?zhí)行。每年應(yīng)審查應(yīng)急預(yù)案并及時(shí)更新相關(guān)內(nèi)容。第四十八頁(yè)，共六十六頁(yè)。四、推進(jìn)等保工作的一些探討第四十九頁(yè)，共六十六頁(yè)。探討安全管理制度體系典型結(jié)構(gòu)安全方針管理規(guī)定、規(guī)范作業(yè)指導(dǎo)書、操作規(guī)程記錄、日志第一級(jí)

方針，是信息安全管理工作的綱領(lǐng)性文件。第二級(jí)

管理規(guī)定和規(guī)范，規(guī)定所要求的管理制度或技術(shù)控制措施。第三級(jí)

作業(yè)指導(dǎo)書、操作規(guī)程，規(guī)定各種工作和活動(dòng)的細(xì)節(jié)。第四級(jí)

記錄、日志，記錄管理活動(dòng)的客觀證據(jù)。

第五十頁(yè)，共六十六頁(yè)。探討PDCA（戴明環(huán)）大環(huán)套小環(huán)，小環(huán)保大環(huán)，推動(dòng)大循環(huán)

PDCA循環(huán)作為質(zhì)量管理的基本方法，不僅適用于整個(gè)工程項(xiàng)目，也適應(yīng)于整個(gè)單位和單位內(nèi)的處室、隊(duì)伍以至個(gè)人。各級(jí)部門根據(jù)單位的方針目標(biāo)，都有自己的PDCA循環(huán)，層層循環(huán)，形成大環(huán)套小環(huán)，小環(huán)里面又套更小的環(huán)。大環(huán)是小環(huán)的母體和依據(jù)，小環(huán)是大環(huán)的分解和保證。各級(jí)部門的小環(huán)都圍繞著企業(yè)的總目標(biāo)朝著同一方向轉(zhuǎn)動(dòng)。通過(guò)循環(huán)把單位上下或工程項(xiàng)目的各項(xiàng)工作有機(jī)地聯(lián)系起來(lái)，彼此協(xié)同，互相促進(jìn)。第五十一頁(yè)，共六十六頁(yè)。探討PDCA（戴明環(huán)）不斷前進(jìn)、不斷提高

PDCA循環(huán)就像爬樓梯一樣，一個(gè)循環(huán)運(yùn)轉(zhuǎn)結(jié)束，生產(chǎn)的質(zhì)量就會(huì)提高一步，然后再制定下一個(gè)循環(huán)，再運(yùn)轉(zhuǎn)、再提高，不斷前進(jìn)，不斷提高，是一個(gè)螺旋式上升的過(guò)程。第五十二頁(yè)，共六十六頁(yè)。探討思考與建議當(dāng)前的要求與原則總體要求:堅(jiān)持積極防御、綜合防范的方針，全面提高信息安全防護(hù)能力，保障和促進(jìn)信息化發(fā)展，保護(hù)公眾利益，維護(hù)企業(yè)商業(yè)利益。主要原則：立足國(guó)情，以我為主，堅(jiān)持管理與技術(shù)并重；正確處理安全與發(fā)展的關(guān)系，以安全促發(fā)展，在發(fā)展中求安全；統(tǒng)籌規(guī)劃，突出重點(diǎn)，強(qiáng)化基礎(chǔ)性工作；明確國(guó)家、企業(yè)、個(gè)人的責(zé)任和義務(wù)，充分發(fā)揮各方面的積極性，共同構(gòu)筑國(guó)家信息安全保障體系。第五十三頁(yè)，共六十六頁(yè)。探討（1）加強(qiáng)頂層設(shè)計(jì)應(yīng)加強(qiáng)統(tǒng)籌規(guī)劃、頂層設(shè)計(jì)，在戰(zhàn)略發(fā)展規(guī)劃、信息化專項(xiàng)規(guī)劃的基礎(chǔ)上，做好信息安全體系的設(shè)計(jì)，制定信息安全專項(xiàng)規(guī)劃或工作計(jì)劃。充分重視信息資源、資產(chǎn)的梳理、界定工作，將信息安全與商業(yè)信息、個(gè)人信息保護(hù)工作密切結(jié)合。（2）強(qiáng)化組織保障應(yīng)明確專門信息安全管理機(jī)構(gòu)和安全管理負(fù)責(zé)人，并對(duì)該負(fù)責(zé)人和關(guān)鍵崗位的人員進(jìn)行安全背景審查。信息化工作領(lǐng)導(dǎo)小組組長(zhǎng)應(yīng)承擔(dān)起信息安全的領(lǐng)導(dǎo)責(zé)任，建立并完善信息化管理部門與保密及其他業(yè)務(wù)部門齊抓共管、協(xié)同配合的信息安全工作機(jī)制，并逐級(jí)落實(shí)信息安全責(zé)任制。應(yīng)加強(qiáng)信息安全人才培養(yǎng)，打造適應(yīng)信息化要求的專業(yè)人才隊(duì)伍。建立健全信息安全專業(yè)崗位持證上崗制度。加強(qiáng)全員信息安全教育培訓(xùn)工作，把相關(guān)培訓(xùn)納入員工培訓(xùn)計(jì)劃。定期對(duì)從業(yè)人員進(jìn)行網(wǎng)絡(luò)安全教育、技術(shù)培訓(xùn)和技能考核，積極組織或參與信息安全知識(shí)技能競(jìng)賽，形成培養(yǎng)、選拔、吸引和使用信息安全人才的良性機(jī)制。第五十四頁(yè)，共六十六頁(yè)。探討安全保障體系架構(gòu)第五十五頁(yè)，共六十六頁(yè)。探討

想做做不到：外包服務(wù)單位的人員素質(zhì)、業(yè)務(wù)結(jié)構(gòu)、管理水平等客觀因素都會(huì)對(duì)信息系統(tǒng)的安全和發(fā)展帶來(lái)風(fēng)險(xiǎn)，而外包單位也會(huì)顯得無(wú)能為力。沒想到要做到：信息化項(xiàng)目是一個(gè)創(chuàng)新性的工作，服務(wù)外包采購(gòu)時(shí)不可能把未來(lái)服務(wù)細(xì)節(jié)說(shuō)清楚，在合同履行期間發(fā)現(xiàn)新的需求時(shí)，服務(wù)提供商能否主動(dòng)積極配合提供服務(wù)或提升服務(wù)能力，也形成直接影響整個(gè)電子政務(wù)健康發(fā)展的風(fēng)險(xiǎn)。三專：在服務(wù)外包項(xiàng)目招標(biāo)時(shí)要明確要求服務(wù)商做到：專業(yè)團(tuán)隊(duì)專注做專項(xiàng)服務(wù)。監(jiān)管：建立外包監(jiān)管辦法，對(duì)人員結(jié)構(gòu)及流動(dòng)，業(yè)務(wù)內(nèi)容，工作規(guī)范等全面進(jìn)行強(qiáng)有力的監(jiān)管。考核：制定和實(shí)行嚴(yán)格的目標(biāo)考核與獎(jiǎng)懲制度。

說(shuō)到不做到：在投標(biāo)時(shí)承諾很好，在建設(shè)運(yùn)行中許多方面達(dá)不到服務(wù)要求，還不積極主動(dòng)想辦法改進(jìn)，使信息安全保障處于被動(dòng)地位，使工作發(fā)展受到影響。第五十六頁(yè)，共六十六頁(yè)。探討習(xí)近平總書記在中央網(wǎng)信