網(wǎng)絡(luò)安全測評整改投標(biāo)方案（技術(shù)方案）

網(wǎng)絡(luò)安全測評整改方案投標(biāo)方案（技術(shù)方案）投標(biāo)方案投標(biāo)人名稱：****有限責(zé)任公司地址：****號二樓聯(lián)系人：****1報告說明聲明：本文內(nèi)容信息來源于公開渠道，對文中內(nèi)容的準(zhǔn)確性、完整性、及時性或可靠性不作任何保證。本文內(nèi)容僅供參考與學(xué)習(xí)交流使用，不構(gòu)成相關(guān)領(lǐng)域的建議和依據(jù)。 第一節(jié)項目背景 一、網(wǎng)絡(luò)安全測評的作用 二、安全測評基本概念 第二節(jié)需求分析 一、物理環(huán)境安全需求分析 二、通信網(wǎng)絡(luò)安全需求 三、區(qū)域邊界安全需求 四、計算環(huán)境安全需求 五、安全管理中心安全需求 第一節(jié)項目整體服務(wù)設(shè)想 一、服務(wù)目標(biāo) 二、服務(wù)內(nèi)容 三、服務(wù)要求 第二節(jié)項目服務(wù)計劃 一、設(shè)計依據(jù) 二、設(shè)計原則 三、同步原則 一、基本工作 2二、測評標(biāo)準(zhǔn)依據(jù) 三、測評工作規(guī)范 第四節(jié)測評工作流程 一、基本工作流程 二、基本工作方法 第五節(jié)風(fēng)險控制方案 一、常見風(fēng)險 二、風(fēng)險規(guī)避 第六節(jié)合理化建議 一、影響網(wǎng)絡(luò)安全的因素 二、網(wǎng)絡(luò)安全的防范措施 第一節(jié)項目組織結(jié)構(gòu)分類 一、職能型組織結(jié)構(gòu) 二、項目型組織結(jié)構(gòu) 三、矩陣型組織結(jié)構(gòu) 第二節(jié)建立項目組織的步驟 一、確定組織目標(biāo) 二、確定項目工作內(nèi)容 三、組織結(jié)構(gòu)設(shè)計 四、項目管理結(jié)構(gòu) 第三節(jié)項目組織規(guī)劃原則 3一、目的性原則 二、精于高效原則 三、項目組織一體化原則 五、系統(tǒng)化原則 六、及時更新原則 二、項目組織機構(gòu)圖 三、項目人員一覽表 第五節(jié)人員崗位職責(zé) 一、項目經(jīng)理人員崗位職責(zé) 二、項目負(fù)責(zé)人崗位職責(zé) 三、測評組長崗位職責(zé) 五、質(zhì)量管控人員崗位職責(zé) 第四章人員管理及培訓(xùn) 第一節(jié)服務(wù)人員培訓(xùn)必要性 一、培訓(xùn)的重要性和作用 二、培訓(xùn)的系統(tǒng)性 三、培訓(xùn)的形式和方法 第二節(jié)項目人員培訓(xùn)計劃 一、培訓(xùn)對象 二、培訓(xùn)方式 4三、初級等級測評師 五、高級等級測評師 一、網(wǎng)絡(luò)信息安全主要內(nèi)容 二、良好的上網(wǎng)習(xí)慣 三、基本網(wǎng)絡(luò)故障排查 第四節(jié)安全教育與培訓(xùn) 一、信息安全培訓(xùn)的對象 二、信息安全培訓(xùn)的內(nèi)容 三、信息安全培訓(xùn)的管理 第五節(jié)對采購方人員安全管理培訓(xùn) 一、員工錄用安全管理 二、員工工作調(diào)動的安全管理 三、員工離職的安全管理 四、安全崗位人員管理 五、安全崗位人員的安全控制 第六節(jié)第三方人員安全管理 一、第三方人員短期訪問安全管理 二、第三方人員長期訪問安全管理 三、第三方人員訪問申請審批流程圖 一、網(wǎng)絡(luò)安全的基本概念 二、計算機網(wǎng)絡(luò)受攻擊的主要形式 5 二、功能測試 三、白盒測試工具 四、測試管理工具 五、測試輔助工具 六、其他測試工具 第二節(jié)滲透測試工具 第六章管理制度 第一節(jié)項目管理制度 6 三、工作程序 五、系統(tǒng)集成建設(shè)和服務(wù)提供的控制 六、測評設(shè)備的質(zhì)量管理 七、質(zhì)量方針和質(zhì)量總目標(biāo) 八、服務(wù)質(zhì)量管理 第二節(jié)項目保密管理制度 一、人員保密管理要求 二、保密崗位與職責(zé) 三、服務(wù)人員保密教育 一、評估方式 二、評估內(nèi)容 三、評估流程 四、定期風(fēng)險評估流程圖 第二節(jié)技術(shù)體系符合性分析 一、物理安全 二、網(wǎng)絡(luò)安全 三、主機安全 四、應(yīng)用安全 五、數(shù)據(jù)安全與備份恢復(fù) 7第三節(jié)部署示意及合規(guī)性分析 一、部署示意及描述 二、合規(guī)性分析 三、管理層面 第四節(jié)網(wǎng)絡(luò)安全測評工作流程 一、流程圖說明 二、業(yè)務(wù)和現(xiàn)狀調(diào)查 三、安全框架設(shè)計 第五節(jié)技術(shù)體系測評 一、技術(shù)體系測評 二、安全技術(shù)防護體系 三、安全區(qū)域邊界防護 四、安全通信網(wǎng)絡(luò)防護 248六、安全管理中心 第六節(jié)管理系統(tǒng)測評 一、管理體系目標(biāo) 二、管理體系框架 三、安全管理防護體系 四、安全管理制度 253六、安全管理人員 七、安全建設(shè)管理 8 第七節(jié)測評內(nèi)容與實施 一、物理安全 二、網(wǎng)絡(luò)安全 三、主機安全 五、數(shù)據(jù)安全及備份恢復(fù) 六、安全管理制度 277八、人員安全管理 285 第一節(jié)管理體系整改 一、策略結(jié)構(gòu)描述 二、安全制度制定 三、服務(wù)滿足指標(biāo) 一、需求分析 二、服務(wù)設(shè)計 三、服務(wù)效果 一、需求分析 二、服務(wù)設(shè)計 9 342二、質(zhì)量管理體系策劃階段 三、質(zhì)量管理體系建立階段 第二節(jié)服務(wù)質(zhì)量控制措施 一、人員保障 二、設(shè)備保障 三、機制保障 第一節(jié)服務(wù)承諾 354二、服務(wù)質(zhì)量承諾 第二節(jié)測評人員承諾書 第三節(jié)網(wǎng)絡(luò)信息安全承諾書 第四節(jié)售后服務(wù)承諾 一、責(zé)任 三、具體內(nèi)容 四、服務(wù)承諾 五、服務(wù)宗旨 第一節(jié)安全事件處置與應(yīng)急解決方案 364二、安全事件處理 三、安全事件通報 五、應(yīng)急預(yù)案的制定 六、培訓(xùn)與演練 一、總則 二、工作原則 三、事后處理 四、人員隊伍 五、監(jiān)督管理 一、檔案在企業(yè)經(jīng)營過程中發(fā)揮的作用 二、做好檔案管理工作 三、健全制度 四、與時俱進(jìn)，實現(xiàn)管理現(xiàn)代化 五、提高檔案全面質(zhì)量管理的方法 六、檔案管理工作重要的意義 第二節(jié)檔案管理制度 第三節(jié)檔案安全保密制度 第四節(jié)檔案管理工作流程 一、立卷歸檔 一、如招標(biāo)文件評分標(biāo)準(zhǔn)要求“項目背景與需求分析”(二)其他法律法規(guī)。第一章項目背景和需求分析第一節(jié)項目背景 (商務(wù)、政務(wù)等)信息系統(tǒng)的正常運行，網(wǎng)絡(luò)銀行及電子商(一)信息安全概述意外事件或惡意行為的能力，這些事件和行為將會危及存完整性、可用性、不可否認(rèn)性、真實性和可控性，這6個屬息系統(tǒng)即使能夠被訪問也不能夠越權(quán)訪問與其身份不相符(1)物理安全物理安全是圍繞網(wǎng)絡(luò)與信息系統(tǒng)的物理裝備及其有關(guān)(2)運行安全運行安全是圍繞網(wǎng)絡(luò)與信息系統(tǒng)的運行過程和運行狀(3)數(shù)據(jù)安全數(shù)據(jù)安全是圍繞數(shù)據(jù)(信息)的生成、處理、傳輸、存儲等環(huán)節(jié)中的安全。主要涉及數(shù)據(jù)(信息)的泄密、破壞、(4)內(nèi)容安全(1)輿論文化(2)社會行為有意識地利用或針對信息及信息系統(tǒng)進(jìn)行違法犯罪的行為，包括網(wǎng)絡(luò)竊(泄)密、散播病毒、信息詐騙、為信息致癱基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的網(wǎng)絡(luò)恐怖行為；國家(3)技術(shù)環(huán)境的對策。信息安全威脅的產(chǎn)生是社會發(fā)展到一定階段的產(chǎn)(1)來源威脅(2)傳輸渠道威脅的對策。信息安全威脅的產(chǎn)生是社會發(fā)展到一定階段的產(chǎn)的過程中可能被竊聽、篡改、偽造。信息的安全受到威脅，主要體現(xiàn)在2個方面：信息安全立法滯后的特點為黑客們的違法犯罪行為提(二)信息安全保障體系5-3600.1(DoDD5-3600.1)中首次給出了“信息保障(IA)”身份鑒別性和不可否認(rèn)性而采取的保護和保衛(wèi)信息及信息西方國家對“信息保障”的系統(tǒng)性研究始于1995年?；畔⑾到y(tǒng)安全”:“為系統(tǒng)和數(shù)據(jù)處理提供一個可接受保和結(jié)構(gòu)能夠得到準(zhǔn)確的調(diào)整并執(zhí)行安全策略而采取的措法以確保個人自動化系統(tǒng)與其他多個自動化系統(tǒng)動態(tài)組合我國最初于1997年由國務(wù)院信息化工作領(lǐng)導(dǎo)小組辦公室提出并實施了“國際互聯(lián)網(wǎng)安全研究項目計劃”,該計劃各自職能出發(fā)推出了相應(yīng)計劃，如保密部門的保密技術(shù)發(fā)的信息安全測評認(rèn)證體系，以及科技部啟動的“863”信息(1)PDR模型PDR模型包含3個主要部分：防護、檢測和響應(yīng)。防護、防護防護響應(yīng)檢測(2)P2DR模型表模型，也是動態(tài)安全模型的雛形，包括4個主要部分：安的。網(wǎng)絡(luò)安全策略一般包括總體安全策略和具體安全策略2用防護工具(如防火墻、操作系統(tǒng)身份認(rèn)證、加密等)的同時，利用檢測工具(如漏洞評估、入侵檢測等)了解和評估動態(tài)的安全循環(huán)，在安全策略的指導(dǎo)下保證信息系統(tǒng)的安該理論的最基本原理認(rèn)為“信息安全相關(guān)的所有活動 PDRR(ProtectDetectReactRestore)模型中，安全的面，安全策略在整個網(wǎng)絡(luò)安全工作中處于原則性的指導(dǎo)地節(jié)，體現(xiàn)了安全動態(tài)防護和安全入侵、安全威脅“短兵相APPDRR模型還隱含了網(wǎng)絡(luò)安全的相對性和動態(tài)螺旋上對客戶信息安全的“生命周期”考慮，在7個核心方面體現(xiàn)略、安全評估、設(shè)計/方案、實施/實現(xiàn)、管理/監(jiān)控、緊急型，網(wǎng)絡(luò)安全需求主要在以下5個方面得以體過程中的人為特定的網(wǎng)絡(luò)安全需求，從而使既定的網(wǎng)絡(luò)安全目標(biāo)得以實 (1)信息安全保障重要管理制度——信息安全等級保護我國信息安全保障工作要求堅持“積極防御、綜合防②加強以密碼技術(shù)為基礎(chǔ)的信息保護和網(wǎng)絡(luò)信任體系⑤加強信息安全技術(shù)研究開發(fā)，推進(jìn)信息安全產(chǎn)業(yè)發(fā)據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》(國務(wù)院令第147號)的要求，公安部牽頭開始了信息安全等級保護制度建設(shè)，經(jīng)過十多年的調(diào)研、建設(shè)、試點，于2007年，國家信息安全等級保護堅持“自主定級、自主保護”將全國的信息系統(tǒng)(包括網(wǎng)絡(luò))按照重要性和遭受損壞后的危害性分成5個安全保護等級(從第一級到第五級，逐級增高);等級確定后，第二級(含)以上信息系統(tǒng)到公安機關(guān)(2)信息安全保障工作研究——“一二三四五”國家為：加強密碼技術(shù)的開發(fā)與應(yīng)用，建設(shè)網(wǎng)絡(luò)信息安全體從以下5個方面來開展建設(shè)?；A(chǔ)支撐能力是指國家要有一系列相應(yīng)的基礎(chǔ)支撐體對網(wǎng)上的熱點話題做訪問，如何提高處置網(wǎng)絡(luò)的能力),這(1)信息保障技術(shù)框架信息保障技術(shù)框架是關(guān)于美國政府和工業(yè)界的信息與管理體系建立的一系列相關(guān)標(biāo)準(zhǔn)的總稱，已經(jīng)預(yù)留了第二部分是有關(guān)認(rèn)證認(rèn)可和審核的指南，包括第四部分是由ISO技術(shù)委員會TC215單獨制定的(而非和IEC共同制定)應(yīng)用于健康行業(yè)的標(biāo)準(zhǔn)IS027799,以及一的要求，指出實施機構(gòu)應(yīng)該遵循的風(fēng)險評估標(biāo)準(zhǔn)，它采用的最佳實踐規(guī)則，共11個大類、39個控制目標(biāo)、133項控方面面，保證了信息安全管理的先進(jìn)性和完整性，有助于(三)安全測評的作用行抽樣測試檢驗和對供方的質(zhì)量保證能力即質(zhì)量體系進(jìn)行責(zé)信息安全產(chǎn)品的測評認(rèn)證工作。其他西方國家也紛紛效國家和社會對信息安全保障體系進(jìn)行質(zhì)量監(jiān)督與技術(shù)控制(一)國內(nèi)外信息安全測評發(fā)展?fàn)顩r信息安全測評不是簡單的某個信息安全特性的分析與測試，而是通過綜合測評獲得具有系統(tǒng)性和權(quán)威性的結(jié)論，測試并評價信息安全產(chǎn)品和信息系統(tǒng)安全及其安全程度的技術(shù)，主要由驗證技術(shù)、測試技術(shù)及評估方法三部分組成?？陀^、公正地評價和定級由驗證測試結(jié)果反映的安全性能。安全保障體系、信息產(chǎn)品/系統(tǒng)安全工程設(shè)計，以及各類信國國防部于1979年頒布了編號為5200.28M的軍標(biāo)，它為計算機安全定義4種模式，規(guī)定在各種模式下計算機安全的保護要求和控制手段。當(dāng)前普遍認(rèn)為5200.28M是世界上第一個計算機安全標(biāo)準(zhǔn)。1977年，美國國家標(biāo)準(zhǔn)局(NBS)也參1981年成立國防部計算機安全中心。該中心于1985年更名倡議歐美6國7方(即英國、德國、法國、荷蘭、加拿大的年被國際標(biāo)準(zhǔn)化組織(ISO)批準(zhǔn)為國際標(biāo)準(zhǔn)，編號是我國于20世紀(jì)90年代末也開始了信息安全的測評工作。1994年2月，國務(wù)院頒布了《中華人民共和國計算機信息系統(tǒng)安全保護條例(國務(wù)院147號令)》。為了落實國務(wù)院147號令，1997年6月和12月，公安部分別發(fā)布了《計算機信息系統(tǒng)安全專用產(chǎn)品檢測和銷售許可證管理辦法(公安部32號令)》和《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法(公安部第33號令)》。1998年7月，成立了公安質(zhì)量技術(shù)監(jiān)督局的計量認(rèn)證[(98)量認(rèn)(國)字(L1800)則》(GB17859-1999)。1999年2月，國家質(zhì)量技術(shù)監(jiān)督局正式批準(zhǔn)了國家信息安全測評認(rèn)證管理委員會章程及測評認(rèn)證管理辦法。2001年5月，成立了中國信息安全產(chǎn)品測評的權(quán)威職能機構(gòu)。2003年7月，成立了公安部信息安全等級準(zhǔn)則》(GB/T18336-2001),并于2008和2015年對其進(jìn)行有大量信息安全產(chǎn)品/系統(tǒng)通過了以上機構(gòu)的檢驗認(rèn)證，信目前，隨著信息技術(shù)的日益發(fā)展和應(yīng)用模式的不斷創(chuàng)等軟/硬件設(shè)備的脆弱性和面臨的安全威脅，并且更多地強調(diào)云平臺在為海量用戶提供計算和數(shù)據(jù)存儲服務(wù)時的平臺物聯(lián)網(wǎng)指通過射頻識別(RFID)、紅外感應(yīng)器、全球定界的擴展。物聯(lián)網(wǎng)技術(shù)的廣泛應(yīng)用引發(fā)了諸如安全隱私泄(二)信息安全測評技術(shù)(1)安全模型(2)協(xié)議形式化分析當(dāng)前對安全協(xié)議進(jìn)行形式化分析的方法主要有基于邏明結(jié)構(gòu)性的分析方法主要在形式化語言或數(shù)學(xué)描述的基礎(chǔ)(3)可證明安全性方法將能夠反映產(chǎn)品或系統(tǒng)相關(guān)性能度量的檢測對象稱為指標(biāo) 經(jīng)濟地為開發(fā)者或評估人員提供指標(biāo)值或計算它們的相關(guān)(1)測試仿真環(huán)境的構(gòu)造測試人員使用專用的軟/硬件測試工具得到結(jié)果。但隨著網(wǎng)析數(shù)據(jù)不方便。在以上背景下出現(xiàn)了各種測試環(huán)境仿真技已經(jīng)支持上述仿真，如一些網(wǎng)絡(luò)安全設(shè)備測試儀提供了對IPSec網(wǎng)關(guān)的測試功能，在測試中，可以用測試設(shè)備仿真整建專業(yè)的測試環(huán)境。為了應(yīng)對這類測評需求，采用軟/硬件環(huán)境實施測評，這種思路逐漸在安全測評技術(shù)領(lǐng)域引起重生成系統(tǒng)用戶等。在這種思路的指導(dǎo)下，人們提出了“克(2)有效性測試(3)負(fù)荷與性能測試(4)攻擊測試攻擊測試所采用的技術(shù)手段主要有主機探測、漏洞掃的測試攻擊，如可以利用測試儀對入侵檢測系統(tǒng)(IDS)進(jìn)(5)故障測試果可以反映被測對象的運行穩(wěn)健性。故障測試可以對有效(6)一致性與兼容性測試息安全評估技術(shù)能夠利用信息安全測試技術(shù)和信息安全驗(1)風(fēng)險評估方法后(但還沒有結(jié)束),對該事件給人們的生活、生命、財產(chǎn)等各個方面造成的影響和損失的可能性進(jìn)行量化評估的工從信息安全的角度來講，風(fēng)險評估是對信息資產(chǎn)(即某事件或事物所具有的信息集)所面臨的威脅、存在的弱點、信息安全風(fēng)險評估使信息系統(tǒng)的管理者可以在考慮風(fēng)(2)脆弱性評估技術(shù)普及。然而，安全問題的根源在于安全脆弱性(或稱安全漏洞)。脆弱性的發(fā)現(xiàn)、利用、防范和修補已成為信息安全攻脆弱性評估技術(shù)是一種通過綜合評判網(wǎng)絡(luò)信息系統(tǒng)的性評估可以作為這3種典型安全防御技術(shù)的有效補充，評估(3)安全態(tài)勢評估技術(shù)安全態(tài)勢評估技術(shù)能夠從整體上動態(tài)反映網(wǎng)絡(luò)信息系安全態(tài)勢評估指通過技術(shù)手段從時間和空間緯度來感近年來，安全態(tài)勢評估技術(shù)開始在計算機網(wǎng)絡(luò)領(lǐng)域得到應(yīng)展趨勢進(jìn)行預(yù)測，從而對可能發(fā)生的安全威脅進(jìn)行提前防(4)安全績效評估技術(shù)安全績效評估的重點是評估系統(tǒng)安全措施抵御攻擊的越高，建模越簡單，但模型分析結(jié)果與實際應(yīng)用差距越(三)信息安全測評方法在黑盒測試中，把測試對象看作一個不能打開的黑盒問題或規(guī)格說明的規(guī)定有誤，用黑盒測試方法是發(fā)現(xiàn)不了(1)語句覆蓋每條語句至少執(zhí)行一次；(2)判定覆蓋每個判定的每個分支至少執(zhí)行一次；(3)條件覆蓋每個判定的每個條件應(yīng)取各種可能的值；(4)判定/條件覆蓋同時滿足判定覆蓋條件覆蓋；(5)條件組合覆蓋每個判定中各條件的每一種組合至(6)路徑覆蓋使程序中每一條可能的路徑至少執(zhí)行一灰盒測試是基于對測試對象內(nèi)部細(xì)節(jié)有限認(rèn)知上的測評方處的階段和作用，動態(tài)測試可分為如下4個步驟。(1)單元測試(2)集成測試裝測試是單元測試的延伸，除對軟件基本組成單位的測試對組裝測試結(jié)果的檢驗，主要目的是盡可能地排除單元測(3)系統(tǒng)測試為應(yīng)該與規(guī)約進(jìn)行對比，同時測試其健壯性。如果規(guī)約(即設(shè)計說明書、需求說明書等文檔)不完備，系統(tǒng)測試更多的是依賴測試人員的工作經(jīng)驗和判斷，這樣的測試是不充分(4)驗收測試滲透測試是為了證明網(wǎng)絡(luò)防御按照預(yù)期計劃正常運行透測試是指滲透人員在不同(如從內(nèi)網(wǎng)、從外網(wǎng)等)的位置晰知曉系統(tǒng)中存在的安全隱患和問題。滲透測試還具有2個透測試是選擇不影響業(yè)務(wù)系統(tǒng)正常運行的攻擊方法進(jìn)行的模糊測試是一種通過向目標(biāo)系統(tǒng)提供非預(yù)期的輸入并用隨機破壞數(shù)據(jù)(也稱作Fuzz)攻擊一個測評對象，然后觀察哪里遭到了破壞。模糊測試的特點在于它是不符合邏輯說明Bug在測試對象中的出現(xiàn)，并不能證明不存在這樣的Bug,而且，通過模糊測試能極大地提高測試對象的健壯性的Bug,就應(yīng)該進(jìn)行及時修正，而不是當(dāng)Bug隨機出現(xiàn)時再和/或基于語法的文件格式，更有效地從根本上加固了測試(四)信息安全測評要求對每個測評實施過程的重復(fù)執(zhí)行都應(yīng)該得到同樣的測評結(jié)果?？稍佻F(xiàn)性體現(xiàn)在不同測評者執(zhí)行相同測評結(jié)果的一致測評所產(chǎn)生的結(jié)果應(yīng)當(dāng)是在對測評指標(biāo)的正確理解下(五)信息安全測評流程信息安全測評流程是保障測評工作健康有序進(jìn)行的重統(tǒng)安全等級測評流程和信息安全專用產(chǎn)品銷售許可測評流級測評過程分為4個基本測評活動：測評準(zhǔn)備活動、方案編(1)測評準(zhǔn)備活動(2)方案編制活動(3)現(xiàn)場測評活動步實施所有測評項目，包括單元測評和整體測評2個方面，(4)分析與報告編制活動信息安全專用產(chǎn)品銷售許可測評工作中建立了完善的(1)送檢準(zhǔn)備階段(2)受理階段(3)在檢階段(4)報告審核階段核和技術(shù)負(fù)責(zé)人批準(zhǔn)等三級審核，最終形成正式的檢驗報(5)報告/樣品發(fā)送階段信息安全測評是指對信息安全產(chǎn)品或信息系統(tǒng)的安全性等進(jìn)行驗證、測試、評價和定級，規(guī)范它們的安全特測試和評估信息安全產(chǎn)品、信息系統(tǒng)安全性質(zhì)和程度的技術(shù)，主要包括驗證技術(shù)、測試技術(shù)及評估方法3個方面。發(fā)要包括可信計算機系統(tǒng)評估準(zhǔn)則(TCSEC)、信息技術(shù)安全評估準(zhǔn)則(ITSEC)、信息安全評估通用準(zhǔn)則(CC)等；我第二節(jié)需求分析5.針對機房供電系統(tǒng)故障，需要合理設(shè)計電力供應(yīng)系靜電和電磁防護措施來解決靜電和線纜電磁干擾帶來的安通信網(wǎng)絡(luò)是對定級系統(tǒng)安全計算環(huán)境之間進(jìn)行信息傳1.針對網(wǎng)絡(luò)架構(gòu)設(shè)計不合理而影響業(yè)務(wù)通信或傳輸問域邊界安全即各網(wǎng)絡(luò)安全域邊界和網(wǎng)絡(luò)關(guān)鍵節(jié)點可能存在系統(tǒng)和應(yīng)用系統(tǒng)資源，導(dǎo)致拒絕服務(wù)或服務(wù)停止的安全風(fēng)進(jìn)行惡意攻擊(如碎片重組，協(xié)議端口重定位等),尤其是采取安全審計手段來實現(xiàn)安全事件的有效追溯和用戶行為3.針對操作用戶對系統(tǒng)錯誤配置或更改而引起的安全4.針對設(shè)備系統(tǒng)自身安全漏洞而引起被攻擊利用的安可通過應(yīng)用系統(tǒng)開發(fā)或第三方輔助系統(tǒng)來保證對應(yīng)用系統(tǒng)7.針對應(yīng)用系統(tǒng)缺陷、接口設(shè)計等導(dǎo)致被惡意攻擊利10.針對病毒入侵、惡意代碼加載、非授權(quán)身份訪問等第二章項目整體服務(wù)設(shè)想第一節(jié)項目整體服務(wù)設(shè)想標(biāo)是在網(wǎng)絡(luò)定級工作基礎(chǔ)上深入開展網(wǎng)絡(luò)安全等級保護安務(wù)過程中涉及到的任何用戶信息政府采購招標(biāo)文件范本一3.最小影響要求測評工作應(yīng)該盡可能小地影響系統(tǒng)和網(wǎng)絡(luò)的正常運行，不能對業(yè)務(wù)的正常運行產(chǎn)生明顯的影響 (包括系統(tǒng)性能明顯下降、網(wǎng)絡(luò)阻塞、服務(wù)中斷等),如無4.規(guī)范性要求網(wǎng)絡(luò)安全等級保護測評服務(wù)的實施必須第二節(jié)項目服務(wù)計劃5.根據(jù)此等級受到的威脅對應(yīng)出該等級的保護要求(即需求分析),并分布到安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全過程、整體保障框架來確定總體安全策略(即總體安全目標(biāo)),再根據(jù)等級保護的要求將總體安全策略細(xì)分為不同的具體策略(即具體安全目標(biāo)),包括安全域內(nèi)部、安全域邊第三節(jié)測評服務(wù)基本工作通過進(jìn)行測評，能夠?qū)π畔⑾到y(tǒng)體系能力的分析與確(1)掌握信息系統(tǒng)的安全狀況、排查系統(tǒng)安全隱患和(2)衡量信息系統(tǒng)的安全保護管理措施和技術(shù)措施是否符合等級保護基本要求，是否具備了相應(yīng)的安全保護能(3)等級測評結(jié)果，為公安機關(guān)等安全監(jiān)管部門開展(4)為了達(dá)到上述目的，開展等級測評的最好時期是等級測評依據(jù)的兩個主要標(biāo)準(zhǔn)分別是《GB/T28448—具體要求和組織的具體網(wǎng)絡(luò)特點定制的，具有良好的可控第四節(jié)測評工作流程等級測評過程分為4個基本測評活動：測評準(zhǔn)備活動、(1)測評準(zhǔn)備活動(2)方案編制活動根據(jù)需要重用或開發(fā)測評指導(dǎo)書測評指導(dǎo)書，形成測評方(3)現(xiàn)場測評活動(4)分析與報告編制活動3.配置檢查是指利用上機驗證的方式檢查配置是否正內(nèi)容進(jìn)行核實(包括日志審計等),并記錄測評結(jié)果。配置求。如掃描探測、滲透測試、協(xié)議分析等手段。2、測評實施準(zhǔn)備調(diào)、文檔管理和測評風(fēng)險規(guī)避等11項準(zhǔn)備工作。等級保護測評目標(biāo)是驗證信息系統(tǒng)是否達(dá)到定級基本通常依據(jù)下面幾個原則來作為測評范圍邊界的界定方通常測評機構(gòu)角色主要包括測評組長、技術(shù)測評人員、被測評組織項目組長說明本次評估工作的計劃和各階段工測評機構(gòu)項目組長介紹評估工作一般性方法和工作內(nèi)組應(yīng)進(jìn)行充分的系統(tǒng)調(diào)研，以確定系統(tǒng)測評的依據(jù)和方(1)適用的法律、法規(guī)。(2)現(xiàn)有國際標(biāo)準(zhǔn)、國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)。(3)行業(yè)主管機關(guān)的業(yè)務(wù)系統(tǒng)的要求和制度。(4)與信息系統(tǒng)安全保護等級相應(yīng)的基本要求。(5)被測評組織的安全要求。(6)系統(tǒng)自身的實時性或性能要求等。(1)脆弱性發(fā)現(xiàn)工具，應(yīng)具備全面的已知系統(tǒng)脆弱性(2)測評工具的檢測規(guī)則庫應(yīng)具備更新功能，能夠及(3)測評工具使用的檢測策略和檢測方式不應(yīng)對信息系統(tǒng)所產(chǎn)生的測評報告和記錄需要保持3年以上。第五節(jié)風(fēng)險控制方案規(guī)避測評工作中的風(fēng)險，成為測評工作是否取得成功的關(guān)在現(xiàn)場測評時，會使用一些技術(shù)測試工具進(jìn)行掃描測3.敏感信息泄露范圍控制是否有效、對測評投入(包括人員時間的投入和資金等的投入)是否足夠等方面的影響。在實際實施過程中，以足夠的精力參與到測評中來，是測評成功實施的基本保合同中測評范圍與實際實施過程中項目的結(jié)構(gòu)規(guī)模有由于在項目建設(shè)過程中未確立標(biāo)準(zhǔn)的質(zhì)量考核體系以6.現(xiàn)場測評工作風(fēng)險的規(guī)避第六節(jié)合理化建議計算機網(wǎng)絡(luò)安全主要是指對數(shù)據(jù)資源處理系統(tǒng)使用技(1)病毒惡意侵入(2)黑客強行攻擊(3)操作系統(tǒng)問題(4)網(wǎng)絡(luò)釣魚殺等途徑開展工作，例如：360木馬查殺軟件，對計算機進(jìn)不僅能夠避免計算機網(wǎng)絡(luò)受到危害，還能夠及時控制入侵單純的依靠技術(shù)進(jìn)行網(wǎng)絡(luò)安全防護是難以實現(xiàn)這一目第三章項目組織機構(gòu)及人員配置第一節(jié)項目組織結(jié)構(gòu)分類個組織結(jié)構(gòu)適用于主要由一個部門完成的項目或技術(shù)比較(1)以職能部門作為承擔(dān)項目任務(wù)的主體，可以充分(2)職能部門內(nèi)部的技術(shù)專家可以被該部門承擔(dān)的不(3)同一職能部門內(nèi)部的專業(yè)人員便于交流、相互支性(4)當(dāng)項目成員調(diào)離項目或者離開公司，所屬職能部(5)項目成員可以將完成項目和完成本部門的職能工作融為一體，可以減少因項目的臨時性給項目成員帶來的不(1)客戶利益和職能部門的利益經(jīng)常發(fā)生沖突，職能(2)當(dāng)項目需要多個職能部門共同完成，或者一個職(3)當(dāng)項目需要由多個部門共同完成時，權(quán)力分割不(4)項目成員在行政上扔隸屬于各職能部門的領(lǐng)導(dǎo)，(1)項目經(jīng)理對項目可以全權(quán)負(fù)責(zé)，可以根據(jù)項目需(2)項目型組織的目標(biāo)單一，完全以項目為中心安排(3)項目經(jīng)理對項目成員有全部權(quán)利，項目成員只對(4)組織結(jié)構(gòu)簡單，易于操作。項目成員直接屬于同(1)對于每一個項目型組織，資源不能共享，即使某(2)公司里各個獨立的項目型組織處于相對封閉的環(huán)(3)在項目完成以后，項目型組織中的項目成員或者(4)項目之間處于一種條塊分隔狀態(tài)，項目之間缺乏矩陣型組織結(jié)構(gòu)是職能型組織結(jié)構(gòu)和項目型組織結(jié)構(gòu)立友好的工作關(guān)系。項目成員需要適應(yīng)于兩個上司協(xié)調(diào)工構(gòu)適用于管理規(guī)范、分工明確的公司或者跨職能部門的項(1)專職的項目經(jīng)理負(fù)責(zé)整個項目，以項目為中心，(2)多個項目可以共享各個職能部門的資源。在矩陣(3)既有利于項目目標(biāo)的實現(xiàn)，也有利于公司目標(biāo)方(4)項目成員的顧慮減少了，因為項目成員后，他們(1)容易引起職能經(jīng)理和項目經(jīng)理權(quán)力的沖突(2)資源共享可能引起項目之間的沖突(3)項目成員有多位領(lǐng)導(dǎo)，即員工必須要接受雙重領(lǐng)第二節(jié)建立項目組織的步驟段和施I階段分別歸并和組合。目的活動特點與內(nèi)容進(jìn)行科學(xué)化、程序化決策；制層(協(xié)調(diào)層和執(zhí)行層)。由專業(yè)工程師和子項目工程師組上啟下管理層次；三是作業(yè)層(操作層)。由現(xiàn)場目管理班子實施項目獲取所需資源的可能方法與相應(yīng)的權(quán)第三節(jié)項目組織規(guī)劃原則管理跨度也稱管理幅度是指一個主管人員直接管理的項目的單件性、階段性和一次性必然帶來任務(wù)量的變第四節(jié)項目組織機構(gòu)根據(jù)XX單位的采購需求，為了保障XX單位的網(wǎng)絡(luò)信息息安全技術(shù)網(wǎng)絡(luò)安全等級保護測評過程指南》的要求對XX業(yè)項目負(fù)責(zé)人測評人員記錄人員財務(wù)人員維護項目管理團隊配備情況表職務(wù)姓名職稱上崗資格證明已承擔(dān)項目情況證書名稱級別證號專業(yè)原服務(wù)單位項目數(shù)名稱姓名性別年齡職務(wù)職稱學(xué)歷參加工作時間從事項目經(jīng)理年限項目經(jīng)理資格證書編號在服務(wù)期和已完項目情況合作單位項目名稱項目規(guī)模期項目質(zhì)量項目負(fù)責(zé)人簡歷表姓名性別年齡職務(wù)職稱學(xué)歷參加工作時間從事負(fù)責(zé)人年限在建服務(wù)期和已完項目情況合作單位項目名稱項目規(guī)模開始、完成日期是否在服務(wù)期項目質(zhì)量第五節(jié)人員崗位職責(zé)4.負(fù)責(zé)公司ERP系統(tǒng)、定制軟件系統(tǒng)等業(yè)務(wù)系統(tǒng)的實施6.負(fù)責(zé)公司IT設(shè)備的檔案歸檔工作，做到IT資源的合8.負(fù)責(zé)協(xié)調(diào)采購方IT部門的工作人員，根據(jù)采購方需2.對照產(chǎn)品Spec,制定項目的測試方案、測試計劃，撰站點腳本攻擊等網(wǎng)絡(luò)攻擊的測試方法，并熟悉3種以上安全6.負(fù)責(zé)定期審核系統(tǒng)平臺安全策略，定期評估網(wǎng)絡(luò)風(fēng)除；對信息安全問題導(dǎo)致的緊急與突發(fā)事件需制定應(yīng)急預(yù)3.協(xié)助項目負(fù)責(zé)人進(jìn)行項目的質(zhì)量管理并對項目服務(wù)4.協(xié)助項目負(fù)責(zé)人做好項目測評服務(wù)前的技術(shù)交底工第四章人員管理及培訓(xùn)第一節(jié)服務(wù)人員培訓(xùn)必要性每年至少40小時培訓(xùn)，調(diào)查表明：摩托羅拉公司每1美元的培訓(xùn)費可以在3年以內(nèi)實現(xiàn)40美元的生產(chǎn)效益。世界上一是通過培訓(xùn)改善管理者或員工的工作方法提高工作二是通過培訓(xùn)調(diào)整在發(fā)展中人與崗位職責(zé)與要求之間隨著企業(yè)及全社會對培訓(xùn)重要性的認(rèn)同，各類學(xué)歷教不知道怎么辦”,“培訓(xùn)花了不少錢，效果一般”。有做好前期培訓(xùn)內(nèi)容與企業(yè)經(jīng)營目標(biāo)及需求及培訓(xùn)對象的一是看看公司管理者與員工最希望開展哪些方面的培那么我們就可以選擇內(nèi)部培訓(xùn)而不需請外面的老師來做營培訓(xùn)的效果取決于培訓(xùn)的內(nèi)容及培訓(xùn)方式的綜合考慮三是將培訓(xùn)的趣味性與培訓(xùn)者的工作實際中的實用性錄像機等工具),對員工進(jìn)行培訓(xùn)。優(yōu)點是運用視覺與聽覺四是案例研討法：通過向培訓(xùn)對象提供相關(guān)的背景資六是自學(xué)法：這一方式較適合于一般理念性知識的學(xué)際關(guān)系的能力。其優(yōu)點是可明顯提高人際關(guān)系與溝通的能第二節(jié)項目人員培訓(xùn)計劃信息安全等級測評師培訓(xùn)是針對等級測評機構(gòu)中的測機構(gòu)中的測評員、項目負(fù)責(zé)人(或項目組長)和技術(shù)負(fù)責(zé)人 (或技術(shù)總監(jiān))三個工作崗位相對應(yīng)，通過初級、中級和高報考人員需要具備信息安全基礎(chǔ)知識和信息安全相關(guān)中級等級測評師的培訓(xùn)對象是項目負(fù)責(zé)人(或項目組高級等級測評師的培訓(xùn)對象是技術(shù)負(fù)責(zé)人(或技術(shù)總(1)了解信息安全等級保護的相關(guān)政策、標(biāo)準(zhǔn)；(2)掌握等級測評方法，熟悉網(wǎng)絡(luò)、主機、應(yīng)用、安(3)熟悉信息安全產(chǎn)品分類，了解其功能、特點，熟(4)掌握測評工具的操作方法，能夠合理設(shè)計測試用(5)能夠按照報告編制要求整理測評數(shù)據(jù)，開展等級2.培訓(xùn)內(nèi)容(1)信息安全等級保護政策②信息安全等級保護政策體系(2)等級保護相關(guān)標(biāo)準(zhǔn)應(yīng)用(3)網(wǎng)絡(luò)安全測評(4)主機安全測評②類UNIX/Linux操作系統(tǒng)安全測評(5)應(yīng)用和數(shù)據(jù)安全測評(6)安全管理測評(7)工具測試方法的常用工具和技術(shù)、熟悉防范和檢測黑客攻擊的工具和技(1)熟悉信息安全等級保護相關(guān)政策、法規(guī)；正確理(2)熟悉信息安全等級測評方法，并熟悉測評指導(dǎo)書(3)熟悉測評項目的工作流程和質(zhì)量管理的方法；(4)能夠根據(jù)信息系統(tǒng)的特點，編制測評方案，確定(5)能夠依據(jù)測評報告模板要求編制測評報告，能夠(6)了解等級保護各個工作環(huán)節(jié)的相關(guān)要求。能夠針(1)信息安全等級保護政策于推動信息安全等級保護測評體系建設(shè)和開展等級測評工(2)等級保護相關(guān)標(biāo)準(zhǔn)應(yīng)用②信息安全等級保護概述(3)信息系統(tǒng)安全等級保護基本要求(4)信息系統(tǒng)安全等級保護測評方法②能夠開發(fā)測評指導(dǎo)書(5)信息系統(tǒng)安全等級保護測評實施②等級測評實施主要內(nèi)容(6)項目管理(1)熟悉和跟蹤國內(nèi)、外信息安全的相關(guān)政策、法規(guī)(2)對信息安全等級保護標(biāo)準(zhǔn)體系及主要標(biāo)準(zhǔn)有較為(3)熟悉等級保護工作的全過程，熟悉定級、等級測(4)熟悉質(zhì)量體系和制度建設(shè)的主要內(nèi)容和方法。(5)能夠把握信息安全技術(shù)的發(fā)展方向，引導(dǎo)本測評2.培訓(xùn)內(nèi)容(1)信息安全等級保護政策于推動信息安全等級保護測評體系建設(shè)和開展等級測評工②信息安全等級保護政策體系(2)等級保護相關(guān)標(biāo)準(zhǔn)應(yīng)用①等級保護標(biāo)準(zhǔn)體系及主要標(biāo)準(zhǔn)(3)信息系統(tǒng)測評基本概念與方法(4)信息安全技術(shù)發(fā)展趨勢(5)我國信息安全標(biāo)準(zhǔn)體系綜述(6)國外信息系統(tǒng)安全保護政策和標(biāo)準(zhǔn)熟悉美國IATF、NIST系列標(biāo)準(zhǔn)，熟悉800系列中53、53A、37等主要標(biāo)準(zhǔn)的內(nèi)容。(7)測評機構(gòu)的質(zhì)量體系建設(shè)級別培訓(xùn)課程課程設(shè)置目的初級信息安全等級保護政策了解信息安全等級保護的相級別培訓(xùn)課程課程設(shè)置目的等級保護相關(guān)標(biāo)準(zhǔn)應(yīng)用了解信息安全等級保護的相網(wǎng)絡(luò)安全測評熟悉網(wǎng)絡(luò)測評內(nèi)容、要求和方法，能夠根據(jù)測評指導(dǎo)書客觀、準(zhǔn)確、完整地獲取各項測評證據(jù)；能夠按照報告編制要求整理測評數(shù)據(jù)，開展等級測評工主機安全測評熟悉主機測評內(nèi)容、要求和方法，能夠根據(jù)測評指導(dǎo)書客觀、準(zhǔn)確、完整地獲取各項測評證據(jù)；能夠按照報告編制要求整理測評數(shù)據(jù)，開展等級測評工應(yīng)用和數(shù)據(jù)安全測評熟悉應(yīng)用和數(shù)據(jù)庫安全測評內(nèi)容、要求和方法，能夠根據(jù)測評指導(dǎo)書客觀、準(zhǔn)確、完整地獲取各項測評證據(jù)；能夠按照報告編制要求整理測評數(shù)據(jù)，開展等級測評工級別培訓(xùn)課程課程設(shè)置目的安全管理和物理測評熟悉安全管理和物理測評內(nèi)容、要求和方法，能夠根據(jù)測評指導(dǎo)書客觀、準(zhǔn)確、完整地獲取各項測評證據(jù)；能夠按照報告編制要求整理測評數(shù)據(jù)，開展等級測評工工具測試方法能夠合理設(shè)計測試用例獲取中級信息安全等級保護政策熟悉信息安全等級保護相關(guān)政策、法規(guī)。等級保護相關(guān)標(biāo)準(zhǔn)應(yīng)用正確理解信息安全等級保護信息系統(tǒng)安全等級保護基本要求熟悉標(biāo)準(zhǔn)結(jié)構(gòu)，熟悉不同級別系統(tǒng)之間的差別、熟悉各信息系統(tǒng)安全等級保護測評方法發(fā)、版本控制和評審流程；能夠根據(jù)信息系統(tǒng)的特點，級別培訓(xùn)課程課程設(shè)置目的象、測評指標(biāo)和測評方法；信息系統(tǒng)安全等級保護測評實施熟悉等級測評項目的工作流程和質(zhì)量管理的方法。項目管理熟悉項目管理的主要內(nèi)容和關(guān)鍵環(huán)節(jié)。掌握項目質(zhì)量管理、進(jìn)度管理、風(fēng)險管理方高級信息安全等級保護政策熟悉信息安全等級保護相關(guān)政策、法規(guī)。等級保護相關(guān)標(biāo)準(zhǔn)應(yīng)用正確理解信息安全等級保護美國信息系統(tǒng)安全保護政策和標(biāo)準(zhǔn)熟悉和跟蹤國外信息安全的相關(guān)政策、法規(guī)及標(biāo)準(zhǔn)的發(fā)我國信息安全標(biāo)準(zhǔn)體系熟悉信息安全等級保護標(biāo)準(zhǔn)信息安全技術(shù)發(fā)展趨勢掌握網(wǎng)絡(luò)與信息安全的理論信息系統(tǒng)測評原理與方掌握系統(tǒng)測評的原理和方法級別培訓(xùn)課程課程設(shè)置目的法以及測評過程。測評機構(gòu)的質(zhì)量體系建設(shè)熟悉質(zhì)量體系和制度建設(shè)的第三節(jié)網(wǎng)絡(luò)安全培訓(xùn)內(nèi)容(1)構(gòu)成網(wǎng)絡(luò)的各種硬件實體、通信線路等要經(jīng)受諸(2)非法入侵，不法分子通過技術(shù)滲透或利用物理線(3)線路干擾，通信線路會受到各種情況的影響，產(chǎn)(4)病毒入侵，計算機病毒能夠以多種方式侵入計算(5)意外原因，包括設(shè)備突然出現(xiàn)故障，或者遭到人(6)黑客攻擊，黑客采用各種手段，對網(wǎng)絡(luò)及其計算網(wǎng)絡(luò)軟件的漏洞及缺陷被利用，使網(wǎng)絡(luò)受到入侵和破絕大多數(shù)的計算機病毒通常都以文件型病毒的形式存依靠可執(zhí)行文件來傳播?？蓤?zhí)存文陣是指后綴名(1)一般網(wǎng)絡(luò)故障可以分為硬件故障和軟件故障，或(3)軟件故障是指設(shè)備或者計算機軟件設(shè)置上的問題(4)外網(wǎng)故障是指訪問互聯(lián)網(wǎng)Internet的故障。(1)功能：顯示所有網(wǎng)絡(luò)適配器(網(wǎng)卡、撥號連接等)的完整TCP/IP配置信息?？梢詸z查如IP是否動態(tài)分配、顯(2)HostName:主機名，亦是本地計算機名(3)Description:顯示此連接的網(wǎng)卡屬性、信息。有等等。(6)SubnetMask:子網(wǎng)掩碼(作用：就是將某個IP地址劃分成網(wǎng)絡(luò)地址和主機地址兩部分用從而來確定二個地查如IP是否動態(tài)分配、顯示網(wǎng)卡的物理地址等。(2)Ping命令有很多參數(shù)，常用的是-tBytes:送數(shù)據(jù)包的大小，默認(rèn)為32byte,(3)Time:表示以毫秒為單位顯示從發(fā)送回送請求到(4)TTL(TimeToLive生存時間),它告訴網(wǎng)絡(luò)，數(shù)(1)檢測物理連接，使用ipconfig命令(2)ping本機ip地址(3)ping網(wǎng)關(guān)ip地址(4)ping外網(wǎng)ip地址(5)檢查dns服務(wù)器第四節(jié)安全教育與培訓(xùn)同層次的人員，如對管理層(包括決策層)、信息安全管理人員，系統(tǒng)管理員和員工開展有針對性和不同側(cè)重點的培1.管理層(決策層)管理層培訓(xùn)目標(biāo)是明確建立公司信息安全體系的迫切性和重要性，獲得公司管理層(決策層)有形的支持和承諾。信息安全管理人員培訓(xùn)目標(biāo)是理解及掌握信息安全原信息安全管理人員培訓(xùn)方式可以采用聘請外部信息安公司系統(tǒng)管理員培訓(xùn)目標(biāo)是掌握各系統(tǒng)相關(guān)專業(yè)安全公司系統(tǒng)管理員培訓(xùn)方式可以采用外部和內(nèi)部相結(jié)合4.員工員工培訓(xùn)目標(biāo)是了解公司相關(guān)信息安全制度和技術(shù)規(guī)(1)安全體系及安全職責(zé)分工培訓(xùn)(2)培訓(xùn)應(yīng)采用長期，并覆蓋公司全員。(1)員工安全技術(shù)教育針對公司系統(tǒng)的維護人員和管理員應(yīng)定期開展安全技術(shù)教育培訓(xùn)(每年至少一次),明確如何安全使用有關(guān)系統(tǒng)，(2)各項安全專業(yè)技術(shù)教育針對公司安全管理員和系統(tǒng)管理員應(yīng)定期開展由供應(yīng)(3)安全專業(yè)資格認(rèn)證選公司信息安全管理及安全技術(shù)人員進(jìn)行相關(guān)的認(rèn)證考試(4)信息安全內(nèi)部考核(含培訓(xùn))員工進(jìn)行相關(guān)的信息安全培訓(xùn)，并在培訓(xùn)后實行書面(開卷或閉卷)信息安全考核。對于信息安全培訓(xùn)的管理主要控制信息安全培訓(xùn)的發(fā)(1)公司及部門安全管理組織可根據(jù)自身安全管理的(2)涉及納入員工考核的培訓(xùn)，需要公司人力資源部(3)新員工、公司全員的安全培訓(xùn)教育，納入公司人(4)具體操作過程遵守公司人力資源部的相關(guān)培訓(xùn)管(1)培訓(xùn)的實施，建議由公司人力資源部負(fù)責(zé)。(2)對專業(yè)性很強的培訓(xùn)，培訓(xùn)發(fā)起的各級安全培訓(xùn)(3)具體操作過程遵守公司人力資源部的相關(guān)培訓(xùn)管內(nèi)容1.除了嚴(yán)格考察該人員的業(yè)務(wù)技術(shù)水平和相關(guān)資質(zhì)認(rèn)證(相關(guān)計算機認(rèn)證證書等)外，還必須考慮政治、社會和3.在簽訂勞動合同之外，必須簽訂《保密協(xié)議》,明確該員工明確所有保密事項，以及在離開公司后3年內(nèi)不得披網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組及各生產(chǎn)中心安全管理組織對于不遵守公司信息安全管理制度和安全技術(shù)規(guī)范的員工的安全培訓(xùn)及教育由公司網(wǎng)絡(luò)與信息安全辦公室及各部門安全管理組織統(tǒng)一計劃，公司人力資源部協(xié)助實依據(jù)之一。成員，其工作考核的一部分歸屬信息安全管理部門。(具體份額，人力資源部門和信息安全領(lǐng)導(dǎo)小組確定)2.安全崗位人員的培訓(xùn)教育安全崗位的人員需要進(jìn)行相關(guān)安全管理技能的專業(yè)培牽頭負(fù)責(zé)，安全崗位人員的培訓(xùn)成績作為其相應(yīng)工作考核項崗位名主管學(xué)歷，計算機通業(yè)2.領(lǐng)導(dǎo)、組織信息安全管理制度和技術(shù)規(guī)學(xué)歷，計算機/信息安全專業(yè)3.負(fù)責(zé)監(jiān)督、檢查信息安全工作情況，負(fù)責(zé)對各部門信息安全5.定期向信息安全主管匯報總體及各部門信息安全的工作情安全技術(shù)學(xué)歷，計算機/4.負(fù)責(zé)監(jiān)督、檢查信息系統(tǒng)安全運行情況可用性)。理學(xué)歷，計算機/信息安全專業(yè)2.組織技術(shù)支持處信息安全管理制度和技術(shù)規(guī)范3.負(fù)責(zé)落實外匯局信息安全在技術(shù)支持處的工作職責(zé)4.負(fù)責(zé)技術(shù)支持處建設(shè)項目及信息安全項6.定期就技術(shù)支持處信息安全管理的效果和有關(guān)重大問題及崗位名1.根據(jù)和各部門安全建設(shè)的要求，在規(guī)劃中提前考慮信息安全因素；2.為系統(tǒng)建設(shè)提供安全功能開發(fā)和建設(shè)的指導(dǎo)；3.在項目建設(shè)中同步考慮項目的信息安全因素，做好安全加固等保障工作；4.為系統(tǒng)維護人員提供系統(tǒng)安全運行和維護的指導(dǎo)；系統(tǒng)維護1.在項目規(guī)劃和建設(shè)階段提出信息安全方面的建議；2.負(fù)責(zé)系統(tǒng)交維后的網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫等信息安全狀況的檢查和3.負(fù)責(zé)系統(tǒng)設(shè)備的日常運行、安全維護和管理工作，保持系統(tǒng)處于良好的運行狀態(tài)；應(yīng)用維護1.在應(yīng)用系統(tǒng)規(guī)劃和建設(shè)階段提出信息安全方面的建議；2.負(fù)責(zé)系統(tǒng)交付后業(yè)務(wù)應(yīng)用系統(tǒng)信息安全狀況的檢查和驗收；3.負(fù)責(zé)業(yè)務(wù)和應(yīng)用系統(tǒng)的日常運行、安全維護和管理工作，保持應(yīng)用系統(tǒng)處于良好的運行狀態(tài)；各省安全技術(shù)人員1.嚴(yán)格遵循安全管理辦法的相關(guān)安全要求；員工安全1.配合信息安全管理員做好個人用機的安全檢查和安全加固工作；2.嚴(yán)格遵循安全管理規(guī)定及技術(shù)規(guī)范等相關(guān)安全要求；(1)對于安全崗位人員的錄用，除了應(yīng)該遵守相關(guān)人(2)在嚴(yán)格考察該人員的業(yè)務(wù)技術(shù)水平和相關(guān)資質(zhì)認(rèn)證(相關(guān)計算機認(rèn)證證書等)的同時，必須考慮政治、社會(4)在簽訂勞動合同之外，必須簽訂《保密協(xié)議》,(1)由于業(yè)務(wù)工作的需要或其他原因，需要對安全崗(2)根據(jù)新崗位的需要，增加、刪除或修改該人員的(3)如有必要，修改保密協(xié)議，并擬定新的雇傭合同，(4)與原崗位有關(guān)的所有資料文件，包括其軟硬拷貝(5)遵循“需要知道”原則，盡量避免由于不當(dāng)或過(1)安全崗位人員在離職時，必須遵守以下安全操作(2)刪除該員工的所有信息系統(tǒng)訪問賬號和權(quán)限，如(3)由相關(guān)人員和該員工一起回顧其簽訂的保密協(xié)議，并使該員工明確所有保密事項，以及在離開外匯局后3年內(nèi)(1)員工安全管理由各部門專、兼職安全管理員具體接呈報給公司網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組作為公司各部門年(2)對執(zhí)行制度好、信息安全工作成績顯著的部門和第六節(jié)第三方人員安全管理(一)物理安全第三方人員現(xiàn)場訪問需要遵從公司物理安全的管理制(二)網(wǎng)絡(luò)訪問安全(1)臨時接入公司辦公網(wǎng)絡(luò)的第三方人員，需要公司(2)臨時接入公司生產(chǎn)網(wǎng)絡(luò)的第三方人員，需要公司接待人員所屬三級經(jīng)理的同意，同時在本部門內(nèi)部進(jìn)行登記。一旦發(fā)生并經(jīng)核實其起因是第三方人員引起的安全事(3)第三方人員遠(yuǎn)程訪問公司網(wǎng)絡(luò)原則上不允許。(1)臨時遠(yuǎn)程訪問公司網(wǎng)絡(luò)的第三方人員，需要公司(2)臨時遠(yuǎn)程訪問公司網(wǎng)絡(luò)的第三方人員在訪問過程公司接待人員應(yīng)及時關(guān)閉或敦促相關(guān)技術(shù)負(fù)責(zé)人員關(guān)閉臨(一)物理安全(1)遵守公司物理安全管理制度，在公司安全保衛(wèi)部(2)工作時間內(nèi)機房必須有當(dāng)班值班人員，對進(jìn)入機(3)重要機房實行安全保衛(wèi)管理，對第三方人員進(jìn)入(4)第三方人員均應(yīng)遵從機房管理人員的管理。三方人員安全保密協(xié)議》,承諾遵守公司安全制度及規(guī)范。(2)需要公司辦公網(wǎng)管理部門相關(guān)工作負(fù)責(zé)人審批確(3)第三方人員在訪問公司網(wǎng)絡(luò)期間如違反公司安全(1)需要簽署相關(guān)《第三方人員安全保密協(xié)議》,承(2)需要公司辦公網(wǎng)管理部門(計費業(yè)務(wù)中心)相關(guān)(3)第三方人員在訪問公司網(wǎng)絡(luò)期間如違反公司安全申請表通審計結(jié)果通報進(jìn)行處罰各案對第三方人員訪問環(huán)境審計訪問結(jié)束計算機網(wǎng)絡(luò)系統(tǒng)的安全性主要是指內(nèi)部安全與外部安作和工作人員接觸到的敏感信息是否值得信賴的一種舍差絡(luò)系統(tǒng)內(nèi)軟件(程序)與數(shù)據(jù)不被非法刪改的一種技術(shù)手段，(一)威脅系統(tǒng)漏洞由于任何一個操作系統(tǒng)和網(wǎng)絡(luò)軟件在設(shè)計上存在缺陷惡意代碼會通過漏洞很容易進(jìn)入計算機系統(tǒng)對主機進(jìn)行攻(二)欺騙技術(shù)攻擊：(三)“黑客”的侵犯(四)計算機病毒攻擊(五)網(wǎng)絡(luò)物理設(shè)備故障問題(六)網(wǎng)絡(luò)管理缺陷問題制，就容易導(dǎo)致病毒、黑客和非法受限用戶入侵網(wǎng)絡(luò)系統(tǒng)，減少網(wǎng)絡(luò)故障的關(guān)鍵在于對網(wǎng)絡(luò)的保養(yǎng)，即網(wǎng)絡(luò)的維(一)硬件設(shè)備的維護很多開始不懂電腦人在面臨電腦時總是擔(dān)心電腦知識2釋放身上靜電(二)軟件維護(一)網(wǎng)絡(luò)安全的審計和跟蹤技術(shù)審計和跟蹤這種機制一般情況下并不干涉和直接影響(二)運用防火墻技術(shù)間的訪問策略進(jìn)行控制，限制被保護的網(wǎng)絡(luò)與互聯(lián)網(wǎng)絡(luò)之(三)數(shù)據(jù)加密技術(shù)內(nèi)容，使非法用戶無法獲取信息的真實內(nèi)容的一種技術(shù)手(四)網(wǎng)絡(luò)病毒的防范(五)提高網(wǎng)絡(luò)工作人員的素質(zhì)，強化網(wǎng)絡(luò)安全責(zé)任第五章網(wǎng)絡(luò)安全測試工具第一節(jié)常用測試工具(4)報告可以導(dǎo)出到Word、Excel以及HTML格式。8.ACT或稱MSACT,它是微軟的VisualStudio和10.PureLoad一個完全基于Java的測試工具，它的自動執(zhí)行重復(fù)任務(wù)并優(yōu)化測試工作，從而縮短測3.RationalRobot我經(jīng)常使用的測試工具，屬于程序支持的非常好，同時還支持JavaApplet、HTML、3.TrackRecord一款擅長于Bug管理的工具，與5.Jira是一個Bug管理工具，自帶一個Tomcat4;同時般可以度量代碼的各種指標(biāo)，如McCabe測定復(fù)雜度，被執(zhí)行的程度。這種工具大量的被應(yīng)用于單元測試中，如具都有。例如系統(tǒng)測試階段有功能測試自動化工具，如第二節(jié)滲透測試工具認(rèn)證)的優(yōu)秀人員維護，如今在各種方面都進(jìn)行了優(yōu)化，可雖然可以在自己的硬件上運行Kali,但滲透測試人員在用。哪些端口是開放的?這些端口上正在運行什么?對于偵和Censys這樣的互聯(lián)網(wǎng)搜索引擎以及BitSight這樣的風(fēng)險者也會進(jìn)行端口掃描，因此需要進(jìn)行日志記錄以備將來參嘗試之后，限制密碼和斷開用戶連接是可以成功抵御攻擊并且BurpSuite企業(yè)版的價格為每年3999美元。ZedAttackProxy(ZAP)幾乎一樣有效，它是完人),允許攔截流量進(jìn)行檢查和修改。它缺少Burp的許多細(xì)節(jié)，但是它的開放源代碼許可證更容易進(jìn)行大規(guī)模的部大家應(yīng)該都聽過SQL注入?接下來要介紹的是sqlmap。想檢測客戶的wifi或家庭wifi的安全性如何?用第六章管理制度第一節(jié)項目管理制度等級保護測評部的測評與建設(shè)服務(wù)質(zhì)量監(jiān)督管理納入(1)全面領(lǐng)導(dǎo)等保測評部的質(zhì)量管理工作，監(jiān)督執(zhí)行(2)確保質(zhì)量部開展工作所需的各種資源；(3)審批質(zhì)量部發(fā)展的中長期計劃和年度計劃；(4)主持重大質(zhì)量問題的申訴，對等保測評部的質(zhì)量(5)質(zhì)量手冊(方針、目標(biāo)等)的發(fā)布者；(6)負(fù)責(zé)貫徹執(zhí)行等保測評部應(yīng)遵循的各種法律、法(7)負(fù)責(zé)主持制定質(zhì)量方針、質(zhì)量目標(biāo)，并確保質(zhì)量(8)主持質(zhì)量管理體系的策劃、建立，并完善實現(xiàn)等(9)主持管理評審和質(zhì)量工作會，定期向等保測評部(10)負(fù)責(zé)質(zhì)量問題和質(zhì)量事故的申訴處理以及質(zhì)量獎(11)制訂質(zhì)量部發(fā)展的中長期計劃和年度計劃，注重(12)負(fù)責(zé)組織對《等級測評報告》進(jìn)行評估活動，并(13)根據(jù)等保測評與建設(shè)服務(wù)的論證簽訂等級保護測(14)調(diào)研分析對設(shè)備供應(yīng)單位質(zhì)量保證能力，確定供(15)落實質(zhì)量部的保密制度和保密防范措施，對人員(16)負(fù)責(zé)與質(zhì)量體系有關(guān)事宜的外部聯(lián)絡(luò)。2.質(zhì)量部(1)履行企業(yè)法人代表賦予的職責(zé)；(2)貫徹執(zhí)行等保測評部應(yīng)遵循的各種法律、法規(guī)及(4)主持等級保護測評與建設(shè)服務(wù)的論證，組織《等(5)管理并監(jiān)督等級保護測評部測評人員按國家有關(guān)(6)統(tǒng)籌安排等保測評部資源，確保每項測評工作順(7)制定等級保護測評部測評人員技術(shù)培訓(xùn)計劃，確(8)確保等保測評部專用設(shè)備的準(zhǔn)確度，指定專人負(fù)1.測評部開展的等級保護測評與建設(shè)服務(wù)，嚴(yán)格按照質(zhì)量要素優(yōu)秀良好一般差進(jìn)度(非測評組長可控因素除外)未按時完成，進(jìn)度變更控制良好，延期在計劃工期的未按時完成，延期在計劃工期的25%內(nèi)。未按時完成，進(jìn)度變延期計劃25%以上。測評成果及時提交完備的測評成果，文檔材料規(guī)范。及時提交關(guān)鍵的測評成果，文檔材料規(guī)范，得到質(zhì)量主提交關(guān)鍵的測評成果，延期不文檔材料不規(guī)范，但基本得到質(zhì)量主管認(rèn)可測評成果文檔材料嚴(yán)重不規(guī)范，缺少關(guān)用戶反饋《工作確認(rèn)單》,表明服務(wù)規(guī)范，用戶滿意。認(rèn)單》表明服務(wù)流程完成，用戶認(rèn)可。認(rèn)單》,或用戶主動反映現(xiàn)場測評存在缺陷，經(jīng)核認(rèn)單》,或測評客戶投訴，后果對測評產(chǎn)生嚴(yán)重影響，經(jīng)核查屬實。質(zhì)量主管根據(jù)上述三項服務(wù)考察要素的質(zhì)量評定結(jié)果，管將向測評組長提交《測評與建設(shè)服務(wù)質(zhì)量審核報告》,測評組長填寫《糾正預(yù)防措施報告》,采取相應(yīng)的糾正和預(yù)防(1)依據(jù)IS09001:2000質(zhì)量管理體系的要求，對測(2)實施質(zhì)量管理體系，測評部做到：(2)質(zhì)量管理體系的范圍：測評部按等級保護測評相關(guān)法規(guī)和技術(shù)標(biāo)準(zhǔn)的要求進(jìn)行等級保護測評服務(wù)。包括(3)文件控制：測評過程中產(chǎn)生的各類文檔和記錄應(yīng)文件的架構(gòu)見“質(zhì)量體系文件架構(gòu)圖”,并建立文件目錄。備用時，則應(yīng)作出適當(dāng)鑒別(加蓋作廢章、保留章),并加(1)測評部各部門執(zhí)行《等級保護測評與建設(shè)服務(wù)質(zhì)量監(jiān)督管理制度》對質(zhì)量管理體系所需的質(zhì)量記錄予以控(2)測評部建立的《等級保護測評與建設(shè)服務(wù)質(zhì)量監(jiān)測評部測評部負(fù)責(zé)對等保測評與建設(shè)服務(wù)的被測系統(tǒng)過程活動后測評部部負(fù)責(zé)開發(fā)與被測信息系統(tǒng)相適應(yīng)的測(1)根據(jù)被測評單位要求/相關(guān)的質(zhì)檢規(guī)范、國標(biāo)、法(2)市場部接到客戶的等級保護測評需求，將信息傳遞到測評部、管理部，測評部編制《項目計劃書》,全面滿(3)根據(jù)等級保護測評相關(guān)法規(guī)和技術(shù)標(biāo)準(zhǔn)的要求針(4)對各項測評過程及測評驗收提供所需的記錄，規(guī)(5)對測評活中輸入輸入的各類作業(yè)指導(dǎo)書、記錄表行評審；確保輸入是充分的，適宜的，要求不可自相矛盾，部主任和被測評單位批準(zhǔn)；質(zhì)量部針對測評輸出(如測評記錄和測評報告)進(jìn)行評審，并由測評部主任審批后方可提交1.測評部提供可以說明測評有關(guān)特性的信息(測評方案、項目計劃書等),對測評的重要節(jié)點進(jìn)行重點控制；立《測評設(shè)備清單》,《編制保養(yǎng)計劃》,《設(shè)備履歷卡》,《維修記錄》,確保測評設(shè)備的運行正常、測評數(shù)據(jù)準(zhǔn)確。(2)測評與建設(shè)服務(wù)質(zhì)量目標(biāo)：等級保護測評報告評(3)顧客滿意率：≥95%。(1)管理部：培訓(xùn)計劃完成率98%;文件資料管理失誤次數(shù)每年度小于3次。交付率80%;客戶滿意度95%。(5)質(zhì)量部：質(zhì)量管理體系完成100%;測評與建設(shè)服質(zhì)量文件的修訂測評部測評與建設(shè)服務(wù)質(zhì)量監(jiān)督管理質(zhì)量管理體系產(chǎn)品實現(xiàn)的過程圖市場部管理部N驗評輸證審出輸入確認(rèn)第二節(jié)項目保密管理制度2.目的為防止本品質(zhì)不良或不具備一定技能的人員進(jìn)入本公司，或不具備一定資格條件的員工被安排在關(guān)鍵或重要崗3.職責(zé)(1)行政部負(fù)責(zé)員工聘用、任職期間及離職的安全考察管理及保密協(xié)議的簽訂及其他相關(guān)人員的安全考察與控(2)各部門負(fù)責(zé)本部門員工的日常考察管理工作。(1)人員考察策略B.應(yīng)聘者學(xué)歷、個人簡歷的檢查C.學(xué)術(shù)或?qū)I(yè)資格的確認(rèn)D.身份的查驗(2)對錄用人員的考察B.根據(jù)應(yīng)聘者人事經(jīng)歷的記載，了解是否有重大懲戒及C.通過與應(yīng)聘者溝通，并了解其應(yīng)聘動機D.了解其從事的專業(yè)和具備的技術(shù)水準(zhǔn)，是否符合該崗5.離職措施(1)員工離職涉及《秘密管理規(guī)程》的保密事項，應(yīng)按要求采取相應(yīng)的保密措施.(2)部門要加強員工離職時的涉密資料、口令等的交(3)部門在員工離職后要采取相應(yīng)的技術(shù)防范措施，(4)公司和部門要做好員工離職的教育工作，告知其(1)員工必須在離職日前30天向本部門部長提出書面(2)部門長接到員工離職報告后，填寫《員工特別事項處理意見表》,簽署意見后送行政部。(3)行政部在《員工特別事項處理意見表》上簽署意(4)員工離職得到批準(zhǔn)，由部門通知離職員工來人事(5)辦理離職手續(xù)(6)離職員工到行政部索取《員工離公司手續(xù)單》(7)離職員工按《員工離公司手續(xù)單》的內(nèi)容至公司(8)離職員工移交完畢后，由行政部將《市職工退工(9)技術(shù)部門員工離職必須簽訂《雙邊保密協(xié)定》(10)員工離職后如發(fā)生泄密情況，應(yīng)承擔(dān)由此涉及的(1)參與公司經(jīng)營戰(zhàn)略規(guī)劃制定；(2)負(fù)責(zé)為公司產(chǎn)品技術(shù)走向提供依據(jù)和技術(shù)分析；(3)負(fù)責(zé)對公司研發(fā)立項提供技術(shù)評審和可行性分析；(4)按照公司戰(zhàn)略規(guī)劃和研發(fā)規(guī)劃逐步實施并最終完(5)為現(xiàn)有產(chǎn)品升級換代提供研發(fā)規(guī)劃和技術(shù)支持；(6)為研發(fā)項目預(yù)算提供需求和預(yù)測；(7)將研發(fā)項目技術(shù)形成技術(shù)文檔并列為機密文件，(8)按時提交部門工作報告并對存在的問題和困難提(9)根據(jù)產(chǎn)品需求及設(shè)計編制測試方案，制定測試計(10)負(fù)責(zé)實施集成測試，產(chǎn)品驗證測試，匯總測試報(11)負(fù)責(zé)對公司研發(fā)階段中的產(chǎn)品/半成品，執(zhí)行功具《功能測試報告》,為產(chǎn)品開發(fā)提供依據(jù)；(12)負(fù)責(zé)對公司新開發(fā)出的產(chǎn)品執(zhí)行設(shè)計驗證，驗證該設(shè)計階段的輸出是否滿足設(shè)計輸入要求，并出具測試報(14)及時反映測試中的問題，并提交項目進(jìn)展報告；(15)嚴(yán)格執(zhí)行相關(guān)的企業(yè)標(biāo)準(zhǔn)和行業(yè)/國家標(biāo)準(zhǔn)和規(guī)(16)嚴(yán)格執(zhí)行公司的各項測試規(guī)章制度；(17)參與總體設(shè)計，合理控制、調(diào)配資源，使資源發(fā)(18)負(fù)責(zé)顧客滿意度測量，配合項目支持部實施軟件(1)根據(jù)公司下達(dá)的年度目標(biāo)，制定、實施并完成本部門的年度服務(wù)計劃和目標(biāo).(2)處理客戶投訴(3)負(fù)責(zé)解決客戶遇到的各種問題和困難。(4)組織公司產(chǎn)品的售后服務(wù)和維護管理(5)進(jìn)行有效的客戶管理和溝通，了解并分析客戶需(6)負(fù)責(zé)收集客戶產(chǎn)品使用情況和客戶反饋意見.(7)負(fù)責(zé)指導(dǎo)客戶產(chǎn)品的安裝、使用、保養(yǎng)(8)負(fù)責(zé)客戶產(chǎn)品故障提供技術(shù)支持，必要時上門進(jìn)(9)端正服務(wù)態(tài)度，提高服務(wù)質(zhì)量，一切工作以客戶(10)建立客戶服務(wù)團隊以及對客服代表進(jìn)行技術(shù)培訓(xùn)和新產(chǎn)品培訓(xùn)以及客戶服務(wù)禮儀培訓(xùn)，打造高品質(zhì)客服團為解決問題提供建議.(14)建立售后服務(wù)信息管理系統(tǒng)(客戶服務(wù)檔案、質(zhì)量跟蹤及反饋)。(1)負(fù)責(zé)檔案整理、編目、鑒定、統(tǒng)計、排列和檢索(2)負(fù)責(zé)庫房檔案的收進(jìn)和移出工作，嚴(yán)格履行交接(3)負(fù)責(zé)庫房內(nèi)部整理，檔案裝具和案卷排放整(6)負(fù)責(zé)檔案、資料調(diào)借工作。做到提供準(zhǔn)確、及時(7)制作電子編目檢索、存貯及調(diào)用檔案；利用裱糊2.新調(diào)入或新任用涉及公司機密或客戶信息崗位的職4.保密培訓(xùn)工作由人力資源部擬定月度、年度培訓(xùn)計(1)人力資源部每月堅持對涉密人員進(jìn)行保密教育、(2)定期對服務(wù)人員進(jìn)行考核，計入員工績效考91.5分。第七章安全測評服務(wù)調(diào)研信息系統(tǒng)名稱數(shù)據(jù)使用者或管理者及其訪問權(quán)限業(yè)務(wù)處理信息類別數(shù)據(jù)安全性要求保密性S完整性S數(shù)據(jù)篡改或丟失將造成的影響可用性A系統(tǒng)中斷將造成的影響影響系統(tǒng)系統(tǒng)開發(fā)人員、系統(tǒng)運維系統(tǒng)使用人員管理數(shù)業(yè)務(wù)數(shù)鑒別信息等高中低高中低數(shù)據(jù)篡改或丟失是否會引起法律糾紛和導(dǎo)致財產(chǎn)損失高中低描述系統(tǒng)中斷對工作職能和業(yè)務(wù)能力的影響損失關(guān)辦理備案手續(xù)，備案工作的流程是信息系統(tǒng)備案、受理、(1)協(xié)助定級(2)協(xié)助備案協(xié)助用戶填寫《信息系統(tǒng)安全等級保護備案表》,協(xié)助第一節(jié)定期風(fēng)險評估定期風(fēng)險評估體現(xiàn)了日常安全運維工作的規(guī)范化和專業(yè)化，根據(jù)客戶信息系統(tǒng)的重要程度按不同周期持續(xù)的檢定期風(fēng)險評估能使客戶的信息系統(tǒng)安全運行，向合規(guī)一、評估方式方式內(nèi)容2次/年狀況4次/年狀況6次/年狀況12次/年每個月一次完全檢查，五級粒度了解系統(tǒng)安全狀況自定義根據(jù)客戶需要，自定義評估周期，完全風(fēng)險管理解決方案以下是不同頻率的定期風(fēng)險評估方式對應(yīng)的成本費用強2次/年章4次/年6次年12次/年強2次/年章4次/年6次年12次/年通用格式通用格式通用格式成本費用風(fēng)險控制精度類型內(nèi)容方式數(shù)據(jù)層面業(yè)務(wù)分析、邏輯合理性人工分析應(yīng)用層面工具、手工主機層面通用的Windows和Unix工具、手工系統(tǒng)日志，包括：應(yīng)用程序日志、系統(tǒng)日志、安全日志網(wǎng)絡(luò)層面網(wǎng)絡(luò)設(shè)備日志、安全日志工具、手工管理層面工作制度、業(yè)務(wù)流程、操作規(guī)范、人員安全查閱分析咨詢建議物理層面主機設(shè)備、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機外設(shè)配電設(shè)備、防雷設(shè)備、溫控設(shè)備、濕控設(shè)備、電源線路、通訊線路人工實地勘察確定評估方式確定評估內(nèi)容制定評估實施計劃定制安全評估方案差距分析前提是清晰地發(fā)現(xiàn)問題，通過對信息系統(tǒng)的安全狀況的了施的指導(dǎo)性文檔，需要的相關(guān)負(fù)責(zé)人根據(jù)實際情況進(jìn)行確第二節(jié)技術(shù)體系符合性分析按照要求進(jìn)行物理理安全置的選擇擇在具有防震、防風(fēng)和防雨等能力的建筑內(nèi)；2.機房場地應(yīng)避免設(shè)在建筑物的高層或地下室，以及用水設(shè)備的下位置選址及樓層的物理訪問控制1.機房出入口應(yīng)安排專人值守，控制、鑒別和記錄進(jìn)入的人員；2.需進(jìn)入機房的來訪人員應(yīng)經(jīng)過申請和審批流程，并限制和監(jiān)控其活動范圍；3.應(yīng)對機房劃分區(qū)域進(jìn)行管理，區(qū)域和區(qū)域之間設(shè)置物理隔離裝置，在重要區(qū)域前設(shè)置交付或安裝等過渡區(qū)域；4.重要區(qū)域應(yīng)配置電子門禁系統(tǒng)，控制、鑒別按照基本要求進(jìn)行人員配備，制定管理制度；對進(jìn)出人員采用陪同或監(jiān)控設(shè)備進(jìn)行劃分機房區(qū)域，加強對區(qū)域的管理和重要區(qū)域控制力防盜竊和防破壞1.應(yīng)將主要設(shè)備放置在機房內(nèi)；2.應(yīng)將設(shè)備或主要部件按照基本要求進(jìn)行建設(shè)。制定防盜竊防破壞相關(guān)管理制進(jìn)行固定，并設(shè)置明顯的不易除去的標(biāo)記；3.應(yīng)將通信線纜鋪設(shè)在隱蔽處，可鋪設(shè)在地下或管道中；存儲在介質(zhì)庫或檔案室5.應(yīng)利用光、電等技術(shù)設(shè)置機房防盜報警系6.應(yīng)對機房設(shè)置監(jiān)控報進(jìn)行光、電技術(shù)防盜報警系統(tǒng)的配防雷擊1.機房建筑應(yīng)設(shè)置避雷防止感應(yīng)雷；3.機房應(yīng)設(shè)置交流電源按照基本要求進(jìn)行防火1.機房應(yīng)設(shè)置火災(zāi)自動消防系統(tǒng)，能夠自動檢測火情、自動報警，并自動滅火；2.機房及相關(guān)的工作房按照基本要求進(jìn)行進(jìn)行消防、耐火、間和輔助房應(yīng)采用具有耐火等級的建筑材料；3.機房應(yīng)采取區(qū)域隔離防火措施，將重要設(shè)備防水和防潮1.水管安裝，不得穿過機房屋頂和活動地板下；2.應(yīng)采取措施防止雨水通過機房窗戶、屋頂和墻壁滲透；3.應(yīng)采取措施防止機房內(nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透；4.應(yīng)安裝對水敏感的檢測儀表或元件，對機房按照基本要求進(jìn)行進(jìn)行防水檢測儀表防靜電1.主要設(shè)備應(yīng)采用必要的接地防靜電措施；2.機房應(yīng)采用防靜電地按照基本要求進(jìn)行溫濕度控制動調(diào)節(jié)設(shè)施，使機房溫、濕度的變化在設(shè)備運行電力供應(yīng)1.應(yīng)在機房供電線路上配置穩(wěn)壓器和過電壓防護設(shè)備；2.應(yīng)提供短期的備用電力供應(yīng)，至少滿足主要設(shè)備在斷電情況下的正常運行要求；3.應(yīng)設(shè)置冗余或并行的電力電纜線路為計算機系統(tǒng)供電；4.應(yīng)建立備用供電系配備穩(wěn)壓器和過電壓防護設(shè)備；配備UPS系統(tǒng)。設(shè)置冗余或并行的電力電纜線路，建立電磁防護1.應(yīng)采用接地方式防止外界電磁干擾和設(shè)備寄生耦合干擾；2.電源線和通信線纜應(yīng)隔離鋪設(shè)，避免互相干3.應(yīng)對關(guān)鍵設(shè)備和磁介按照基本要求進(jìn)行進(jìn)行接地，暫時無需電磁屏蔽措施。二、網(wǎng)絡(luò)安全網(wǎng)結(jié)構(gòu)安1.應(yīng)保證主要網(wǎng)絡(luò)設(shè)備根據(jù)高峰業(yè)務(wù)流絡(luò)安全全的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要；2.應(yīng)保證網(wǎng)絡(luò)各個部分的帶寬滿足業(yè)務(wù)高峰期3.應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路由控制建立安全的訪問路4.應(yīng)繪制與當(dāng)前運行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)5.應(yīng)根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段；6.應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，重要網(wǎng)段與其他網(wǎng)段之間用冗余設(shè)備部署；主要網(wǎng)絡(luò)設(shè)備的處理能力以及各部分帶寬均需滿足業(yè)務(wù)高峰需要；合理規(guī)劃路由及VLAN,在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間建立安全路徑；在系統(tǒng)內(nèi)、外通過防火墻進(jìn)行有效隔離，保證重要網(wǎng)段采取可靠的技術(shù)隔離手7.應(yīng)按照對業(yè)務(wù)服務(wù)的重要次序來指定帶寬分配優(yōu)先級別，保證在網(wǎng)絡(luò)發(fā)生擁堵的時候優(yōu)先保護重要主機。與其他網(wǎng)段之間進(jìn)行可靠的隔離；網(wǎng)絡(luò)設(shè)備規(guī)劃帶寬優(yōu)先級，保證在網(wǎng)絡(luò)發(fā)生擁堵的時候優(yōu)先保護重要主機。訪問控制1.應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，啟用訪問控制功能；2.應(yīng)能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為端口級；3.應(yīng)對進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過濾，實現(xiàn)對應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級的控制；4.應(yīng)在會話處于非活躍一定時間或會話結(jié)束后終止網(wǎng)絡(luò)連接；5.應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)；通過仔細(xì)配置防火墻完成邊界訪問控TCP訪問明確私有端口，以防惡意攻根據(jù)基本要求對隔離設(shè)備以及網(wǎng)絡(luò)設(shè)備等制定相應(yīng)的訪問控制粒度、用戶數(shù)量等。根據(jù)要求在配置防火墻等隔離設(shè)備的策略時要滿足相應(yīng)要求，包括：端口6.重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙；7.應(yīng)按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對受控系統(tǒng)進(jìn)行資源訪問，控制粒度為單個用戶；8.應(yīng)限制具有撥號訪問級的控制粒度；常見應(yīng)用層協(xié)議命令過濾；會話控制；控制；防地址欺騙安全審計1.應(yīng)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄；事件類型、事件是否成功及其他與審計相關(guān)的信息：3.應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計4.應(yīng)對審計記錄進(jìn)行保護，避免受到未預(yù)期的刪除、修改或覆蓋等。在業(yè)務(wù)服務(wù)器區(qū)交換機旁路部署網(wǎng)絡(luò)審計系統(tǒng)(數(shù)據(jù)庫),在互聯(lián)網(wǎng)邊界旁路部署網(wǎng)絡(luò)審計系統(tǒng)(互聯(lián)網(wǎng)),記錄用戶網(wǎng)絡(luò)行為、網(wǎng)絡(luò)設(shè)備運行審計記錄包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信審計記錄的保存，避免非正常刪除、修改或覆蓋。邊界完整性檢查1.應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對其進(jìn)行有效2.應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對其進(jìn)行有效阻斷。所有終端部署終端安全管理系統(tǒng)，啟用非法外聯(lián)監(jiān)控以及安全準(zhǔn)入功能進(jìn)行邊界完整性檢查。在檢測的同時要進(jìn)行有效阻斷。入侵防范以下攻擊行為：端口掃描、強力攻擊、木馬后緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等；2.當(dāng)檢測到攻擊行為核心交換機部署IDS入侵檢測系統(tǒng)進(jìn)行檢測。包括：端口掃描、強力攻擊、木馬后門攻擊等各類攻擊行為。配置入侵檢測系統(tǒng)的日志模塊，記錄時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，在