大型制造企業(yè)信息系統(tǒng)安全等級保護安全建設(shè)整改方案

大型制造企業(yè)等級保護安全建設(shè)整改方案

第1章項目概述

XX大型制造型企業(yè)是國內(nèi)一家大型從事制造型出口貿(mào)易的

大型綜合企業(yè)集團，為了落實國家及集團的信息安全等級保護

制度，提高信息系統(tǒng)的安全防護水平，細(xì)化各項信息網(wǎng)絡(luò)安全

工作措施，提升網(wǎng)絡(luò)與信息系統(tǒng)工作的效率，增強信息系統(tǒng)的

應(yīng)急處置能力，確保信息系統(tǒng)安全穩(wěn)定運行，集團參照國家等

級保護標(biāo)準(zhǔn)的要求，找出系統(tǒng)現(xiàn)有安全措施的差距，為安全整

改建設(shè)提供依據(jù)。

本方案針對XX大型制造型企業(yè)網(wǎng)絡(luò)信息系統(tǒng)的安全問題，

進行安全整改加固建議。

1.1項目目標(biāo)

本方案將通過對集團網(wǎng)絡(luò)信息系統(tǒng)的安全現(xiàn)狀進行分析工

作，參照國家信息系統(tǒng)等級保護要求，找出信息系統(tǒng)與安全等

級保護要求之間的差距，給出相應(yīng)的整改意見，推動網(wǎng)絡(luò)信息

系統(tǒng)安全整改工作的進行。

根據(jù)XX大型制造型企業(yè)集團信息系統(tǒng)目前實際情況，綜合

考慮信息系統(tǒng)現(xiàn)有的安全防護措施，存在的問題和薄弱環(huán)節(jié)，

提供完善的安全整改方案，提高信息系統(tǒng)的安全防護水平，完

善安全管理制度體系。

資產(chǎn)是企業(yè)網(wǎng)絡(luò)安全的最終評估對象。在一個全面的企業(yè)

網(wǎng)絡(luò)安全中，風(fēng)險的所有重要因素都緊緊圍繞著資產(chǎn)為中心，

威脅、脆弱性以及風(fēng)險都是針對資產(chǎn)而客觀存在的。威脅利用

資產(chǎn)自身的脆弱性使得安全事件的發(fā)生成為可能，從而形成了

風(fēng)險。這些安全事件一旦發(fā)生，將對資產(chǎn)甚至是整個系統(tǒng)都將

造成一定的影響。

因此資產(chǎn)的評估是企業(yè)網(wǎng)絡(luò)安全的一個重要的步驟，它被

確定和估價的準(zhǔn)確性將影響著后面所有因素的評估。本項目中

資產(chǎn)評估的主要工作就是對信息系統(tǒng)企業(yè)網(wǎng)絡(luò)安全范圍內(nèi)的資

產(chǎn)進行識別，確定所有的評估對象，然后根據(jù)評估的資產(chǎn)在業(yè)

務(wù)和應(yīng)用流程中的作用為資產(chǎn)進行估價。

根據(jù)整個資產(chǎn)評估報告的結(jié)果可以清晰的分析出信息系統(tǒng)

中各主要業(yè)務(wù)的重要性比較，以及各業(yè)務(wù)中各種類別的物理資

產(chǎn)、軟件資產(chǎn)和數(shù)據(jù)資產(chǎn)的重要程度，明確各業(yè)務(wù)系統(tǒng)的關(guān)鍵

資產(chǎn)，確定安全評估和保護的重點對象。

1.2項目范圍

本文檔適用于指導(dǎo)XX大型制造型企業(yè)集團網(wǎng)絡(luò)信息系統(tǒng)安

全整改加固建設(shè)工作。

1.3整改依據(jù)

主要依據(jù)：

?《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》

(GB/T22239-2008)

?《信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求》

(GB/T20271-2006)

?《信息安全技術(shù)信息系統(tǒng)等級保護安全設(shè)計技術(shù)要

求》(GB/T25070-2010)

?《信息安全技術(shù)信息系統(tǒng)安全管理要求》

(GB/T20269-2006)

?《信息安全技術(shù)信息系統(tǒng)安全工程管理要求》

(GB/T20282-2006)

?《信息安全技術(shù)信息系統(tǒng)物理安全技術(shù)要求》

(GB/T21052-2007)

?《信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》

(GB/T20270-2006)

?《信息安全技術(shù)信息系統(tǒng)安全等級保護體系框架》

(GA/T708-2007)

?《信息安全技術(shù)信息系統(tǒng)安全等級保護基本模型》

(GA/T709-2007)

?《信息安全技術(shù)信息系統(tǒng)安全等級保護基本配置》

(GA/T710-2007)

?GBT20984信息安全風(fēng)險評估規(guī)范

?GBT22239信息安全技術(shù)信息系統(tǒng)安全等級保護基本要

求

?GBZ20985信息技術(shù)安全技術(shù)信息安全事件管理指南

第2章安全整改原則

保密性原則：對安全服務(wù)的實施過程和結(jié)果將嚴(yán)格保密，

在未經(jīng)授權(quán)的情況下不會泄露給任何單位和個人，不會利用此

數(shù)據(jù)進行任何侵害客戶權(quán)益的行為；

標(biāo)準(zhǔn)性原則：服務(wù)設(shè)計和實施的全過程均依據(jù)國內(nèi)或國際

的相關(guān)標(biāo)準(zhǔn)進行；根據(jù)等級保護基本要求，進行分等級分安全

域進行安全設(shè)計和安全建設(shè)。

規(guī)范性原則：在各項安全服務(wù)工作中的過程和文檔，都具

有很好的規(guī)范性，可以便于項目的跟蹤和控制；

可控性原則：服務(wù)所使用的工具、方法和過程都會與集團

雙方認(rèn)可的范圍之內(nèi)，服務(wù)進度遵守進度表的安排，保證雙方

對服務(wù)工作的可控性；

整體性原則：服務(wù)的范圍和內(nèi)容整體全面，涉及的IT運行

的各個層面，避免由于遺漏造成未來的安全隱患；

最小影響原則：服務(wù)工作盡可能小的影響信息系統(tǒng)的正常

運行，不會對現(xiàn)有業(yè)務(wù)造成顯著影響。

體系化原則：在體系設(shè)計、建設(shè)中，需要充分考慮到各個

層面的安全風(fēng)險，構(gòu)建完整的立體安全防護體系。

先進性原則：為滿足后續(xù)不斷增長的業(yè)務(wù)需求、對安全產(chǎn)

品、安全技術(shù)都充分考慮前瞻性要求，采用先進、成熟的安全

產(chǎn)品、技術(shù)和先進的管理方法。

服務(wù)細(xì)致化原則：在項目咨詢、建設(shè)過程中將充分結(jié)合自

身的專業(yè)技術(shù)經(jīng)驗與行業(yè)經(jīng)驗相結(jié)合，結(jié)合現(xiàn)網(wǎng)的實際信息系

統(tǒng)量身定做才可以保障其信息系統(tǒng)安全穩(wěn)定的運行。

第3章系統(tǒng)現(xiàn)狀分析

3.1系統(tǒng)定級情況說明

綜合考慮信息系統(tǒng)的業(yè)務(wù)信息和系統(tǒng)服務(wù)類型，以及其受

到破壞時可能受到侵害的客體以及受侵害的程度，已將系統(tǒng)等

級定為等級保護第三級、根據(jù)就高不就低的原則，整體網(wǎng)絡(luò)信

息化平臺按照三級進行建設(shè)。

3.2業(yè)務(wù)系統(tǒng)說明

本次參加整改的共有3個信息系統(tǒng)，分別是0A系統(tǒng)、物流

查詢系統(tǒng)、智能制造系統(tǒng)，其中比較重要的是物流查詢系統(tǒng)，

具體情況介紹如下：

物流查詢電子化管理系統(tǒng)（網(wǎng)絡(luò)版）歷經(jīng)系統(tǒng)開發(fā)、模擬

測試、網(wǎng)絡(luò)、硬件設(shè)備安裝部署，已經(jīng)正式啟動試運行工作，

在試點和實施過程當(dāng)中發(fā)現(xiàn)系統(tǒng)仍有不足之處，需要對系統(tǒng)進

行深入完善和改進，其具有應(yīng)用面廣、用戶規(guī)模大，并涉及到

財政性資金的重要數(shù)據(jù)信息，以及基于公眾網(wǎng)上部署的特性，

因此系統(tǒng)自身和運行環(huán)境均存在一定的安全風(fēng)險，在數(shù)據(jù)傳

輸、安全加密、網(wǎng)絡(luò)監(jiān)控、防入侵等方面的必須要建立一套更

有效更完善的安全保護體系和措施。

3.3安全定級情況

信息系統(tǒng)定級是等級保護工作的首要環(huán)節(jié)，是開展信息系

統(tǒng)安全建設(shè)整改、等級測評、監(jiān)督檢查等后續(xù)工作的重要基

礎(chǔ)。根據(jù)《信息安全等級保護管理辦法》，信息系統(tǒng)的安全保護

等級應(yīng)當(dāng)根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟建設(shè)、社會生活中的

重要程度，信息系統(tǒng)遭到破壞后對國家安全、社會秩序、公共

利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素

確定。具體如下：

第4章現(xiàn)網(wǎng)安全風(fēng)險分析

4.1網(wǎng)絡(luò)安全風(fēng)險

4.1.1互聯(lián)網(wǎng)出口未采用冗余架構(gòu)

通過網(wǎng)絡(luò)架構(gòu)分析，我們發(fā)現(xiàn)現(xiàn)網(wǎng)出口網(wǎng)絡(luò)：互聯(lián)網(wǎng)出口

的入侵防御檢測系統(tǒng)、下一代防火墻、上網(wǎng)行為管理等未采用

冗余架構(gòu)，存在單點故障風(fēng)險。

4.1.2缺少安全防護功能

通過網(wǎng)絡(luò)架構(gòu)分析和安全基線核查，我們發(fā)現(xiàn)現(xiàn)有的網(wǎng)

絡(luò)：互聯(lián)網(wǎng)出口的下一代防火墻，入侵防御、web應(yīng)用防護、

防病毒模塊授權(quán)已經(jīng)過期，安全防護特征庫已無法升級更新，

失去安全防護功能。

4.1.3弱資源控制

通過網(wǎng)絡(luò)架構(gòu)分析和安全基線核查，我們發(fā)現(xiàn)現(xiàn)網(wǎng)網(wǎng)絡(luò)：

鏈路負(fù)載、下一防火墻未設(shè)置網(wǎng)絡(luò)的最大鏈接數(shù)，存在資源耗

盡的風(fēng)險。

4.1.4弱設(shè)備安全

通過網(wǎng)絡(luò)架構(gòu)分析和安全基線核查，我們發(fā)現(xiàn)現(xiàn)網(wǎng)網(wǎng)絡(luò)：

網(wǎng)絡(luò)設(shè)備和安全設(shè)備存在共享賬號，無法實現(xiàn)有效的身份鑒

別，未實現(xiàn)雙因素鑒別，存在弱口令，未周期修改密碼，部分

網(wǎng)絡(luò)設(shè)備未啟用登錄設(shè)備失敗功能和密碼復(fù)雜度要求，存在口

令爆破的風(fēng)險；未對網(wǎng)絡(luò)設(shè)備和安全設(shè)備可管理地址進行限

制，交換機使用telnet進行管理存在鑒別信息被竊取的風(fēng)險。

4.1.5弱安全審計

通過網(wǎng)絡(luò)架構(gòu)分析和安全基線核查，我們發(fā)現(xiàn)現(xiàn)網(wǎng)網(wǎng)絡(luò)：

未配置專業(yè)日志審計設(shè)備，無法對審計記錄進行有效的保護，

無法定期日志長期保存和有效審計。

4.1.6缺少安全管理中心

通過網(wǎng)絡(luò)架構(gòu)分析和安全基線核查，我們發(fā)現(xiàn)現(xiàn)網(wǎng)網(wǎng)絡(luò)：

缺少安全管理中心，無法有效的組織相關(guān)人員定期對檢測和報

警的記錄進行分析、評審和報告，無法對設(shè)備狀態(tài)、惡意代

碼、補丁審計、安全審計等相關(guān)事項進行集中管理，且系統(tǒng)中

存在主機和web的圖危漏洞。

4.2主機安全風(fēng)險

4.2.1存在高風(fēng)險安全漏洞

通過漏洞掃描，我們發(fā)現(xiàn)0A系統(tǒng)主機上存在高風(fēng)險安全漏

洞：0penSSH<7.0存在多個漏洞等，極易引發(fā)安全事件。

通過這些漏洞，攻擊者可以對業(yè)務(wù)系統(tǒng)主機進行攻擊，獲

得主機的控制權(quán)限。同時，在拿到主機的控制權(quán)限后，攻擊者

還可以此為跳板，對網(wǎng)絡(luò)中的其他主機、設(shè)備進行監(jiān)聽和攻

擊O

4.2.2弱身份鑒別能力

通過安全基線核查，我們發(fā)現(xiàn)物流查詢系統(tǒng)主機上：操作

系統(tǒng)的密碼策略、賬戶鎖定策略沒有配置啟用。數(shù)據(jù)庫系統(tǒng)的

密碼策略和鎖定策略沒有配置啟用、系統(tǒng)未采用兩種或以上的

認(rèn)證方式進行身份鑒別，無法實現(xiàn)有效的身份鑒別。

通過利用弱身份鑒別能力，攻擊者可以對業(yè)務(wù)系統(tǒng)主機進

行口令爆破，獲得主機的控制權(quán)限。同時，在拿到主機的控制

權(quán)限后，攻擊者還可以此為跳板，對網(wǎng)絡(luò)中的其他主機、設(shè)備

進行監(jiān)聽和攻擊。

4.2.3弱訪問控制能力

通過安全基線核查，我們發(fā)現(xiàn)系統(tǒng)主機上：操作系統(tǒng)管理

使用root賬戶，數(shù)據(jù)庫和主機是同一人管理，未能實現(xiàn)操作系

統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限分離；數(shù)據(jù)庫系統(tǒng)開啟XDB危

險服務(wù)；存在數(shù)據(jù)庫系統(tǒng)的應(yīng)用賬戶INVT0A3擁有DBA權(quán)限。

未對重要信息資源設(shè)置敏感標(biāo)記；未限制登錄終端的操作超時

鎖定時間；未設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終

端登錄。

通過利用弱訪問控制能力，在攻擊者拿到一部分系統(tǒng)訪問

權(quán)限后可實現(xiàn)越權(quán)。

4.2.4弱安全審計能力

通過安全基線核查和網(wǎng)絡(luò)架構(gòu)分析，我們發(fā)現(xiàn)0A系統(tǒng)未部

署專業(yè)的日志審計設(shè)備或軟件，審計日志僅保存在主機本地，

無法生成審計報表和自動告警。

這類弱安全審計能力，會導(dǎo)致系統(tǒng)安全事件時無法有效的

記錄和保存日志，影響安全事件的溯源。

4.2.5缺少入侵防范能力

通過安全基線核查和漏洞掃描，我們發(fā)現(xiàn)現(xiàn)網(wǎng)系統(tǒng)未能夠

對重要程序的完整性進行檢測，數(shù)據(jù)庫系統(tǒng)和操作系統(tǒng)軟件和

補丁未及時更新，主機掃描存在漏洞。缺少入侵防范能力，攻

擊者會較容易利用漏洞進行入侵攻擊，系統(tǒng)容易遭到破壞。

4.2.6缺少惡意代碼防范能力

通過安全基線核查，我們發(fā)現(xiàn)物流查詢系統(tǒng)操作系統(tǒng)未安

裝防惡意代碼軟件。缺少惡意代碼防范能力容易是系統(tǒng)受到惡

意代碼的侵害。

4.2.7缺少資源控制能力

通過安全基線核查，我們發(fā)現(xiàn)0A系統(tǒng)沒有限制單用戶對系

統(tǒng)資源的最大或最小使用限度；未有措施對服務(wù)器進行監(jiān)視，

包括監(jiān)視服務(wù)器的CPU、硬盤、內(nèi)存、網(wǎng)絡(luò)等資源的使用情

況；未能夠?qū)ο到y(tǒng)的服務(wù)水平降低到預(yù)先規(guī)定的最小值進行檢

測和報警。缺少資源控制能力容易導(dǎo)致系統(tǒng)資源被耗盡，容易

遭受DDoS（分布式拒絕攻擊）的侵害。

4.3應(yīng)用安全風(fēng)險

4.3.1存在高風(fēng)險安全漏洞

通過漏洞掃描和滲透測試，我們發(fā)現(xiàn)相關(guān)應(yīng)用系統(tǒng)存在高

風(fēng)險安全漏洞：SQL盲注、URL重定向、跨站腳本攻擊等，極易

引發(fā)安全事件。

通過這些漏洞，攻擊者可以對業(yè)務(wù)系統(tǒng)主機進行攻擊，獲

得web應(yīng)用的權(quán)限和數(shù)據(jù)，甚至獲取到主機權(quán)限。

4.3.2弱身份鑒別能力

通過安全基線核查，我們發(fā)現(xiàn)0A系統(tǒng)上：應(yīng)用系統(tǒng)沒有登

錄失敗處理；沒有用戶身份鑒別信息復(fù)雜度檢查；應(yīng)用系統(tǒng)僅

使用用戶名加口令的單因素認(rèn)證方式；系統(tǒng)未設(shè)置超時自動退

出功能。

通過利用弱身份鑒別能力，攻擊者可以對業(yè)務(wù)系統(tǒng)進行口

令爆破，獲得業(yè)務(wù)系統(tǒng)的控制權(quán)限。同時，在拿到業(yè)務(wù)系統(tǒng)的

控制權(quán)限后，攻擊者還可以此為跳板，對網(wǎng)絡(luò)中的其他主機、

設(shè)備進行監(jiān)聽和攻擊。

4.3.3未進行傳輸加密

通過安全基線核查，我們發(fā)現(xiàn)倉儲系統(tǒng)上：應(yīng)用系統(tǒng)未采

用hash技術(shù)或者HTTPS協(xié)議，未能保證通信過程中數(shù)據(jù)的完整

性與保密性、應(yīng)用系統(tǒng)鑒別信息明文傳輸。

通過利用未進行傳輸加密，攻擊者可嗅探網(wǎng)絡(luò)數(shù)據(jù)竊取到

應(yīng)用傳輸消息，甚至是用戶鑒別信息、個人信息等敏感信息。

4.3.4缺少資源控制能力

通過安全基線核查，我們發(fā)現(xiàn)0A系統(tǒng)：系統(tǒng)未對單個賬戶

的多重并發(fā)會話進行限制；未能夠?qū)ο到y(tǒng)服務(wù)水平降低到預(yù)先

規(guī)定的最小值進行檢測和報警。

缺少資源控制能力容易導(dǎo)致系統(tǒng)資源被耗盡，容易遭受

DDoS（分布式拒絕攻擊）的侵害。

4.4數(shù)據(jù)安全和備份恢復(fù)風(fēng)險

4.4.1缺少數(shù)據(jù)完整性和數(shù)據(jù)保密性能力

通過安全基線核查，我們發(fā)現(xiàn)三個系統(tǒng)：未采取有效措施

對數(shù)據(jù)完整性進行檢查；鑒別信息明文傳輸，未能保證鑒別信

息的通信和存儲的保密性。

缺少數(shù)據(jù)完整性和數(shù)據(jù)保密性能力，容易導(dǎo)致數(shù)據(jù)被篡改

和數(shù)據(jù)泄露的風(fēng)險。

4.5管理安全風(fēng)險

4.5.1缺少維護手冊和用戶操作規(guī)程

通過管理體系檢查，我們發(fā)現(xiàn)現(xiàn)網(wǎng)的管理體系缺少網(wǎng)絡(luò)設(shè)

備、安全設(shè)備、主機系統(tǒng)、應(yīng)用系統(tǒng)、數(shù)據(jù)庫的維護手冊和用

戶操作規(guī)程等。

4.5.2缺少執(zhí)行記錄和審批記錄文件

通過管理體系檢查，我們發(fā)現(xiàn)現(xiàn)網(wǎng)管理體系缺少各項信息

安全關(guān)鍵事項的執(zhí)行記錄和審批記錄文件，如：備份恢復(fù)執(zhí)行

記錄和審批記錄、變更執(zhí)行記錄和審批記錄、防惡意代碼檢查

記錄執(zhí)行記錄和審批記錄文、漏洞檢查執(zhí)行記錄和報告、日志

審計執(zhí)行記錄和報告、補丁升級執(zhí)行記錄和審批記錄文、安全

事件處理記錄和審批記錄文、培訓(xùn)記錄和考核記錄、應(yīng)急演練

執(zhí)行記錄和報告等。

4.5.3缺少管理體系評審和修訂

通過管理體系檢查，我們發(fā)現(xiàn)管理體系缺少未定期對ISMS

管理體系的合理性和適用性進行評審和修訂，以及ISMS執(zhí)行和

落實情況進行檢查和審核。

4.5.4缺少總體建設(shè)規(guī)劃和詳細(xì)設(shè)計方案

通過管理體系檢杳，我們發(fā)現(xiàn)ISMS管理體系未根據(jù)企業(yè)的

安全需求和安全目標(biāo)，統(tǒng)一考慮安全保障體系的總體安全策

略、安全技術(shù)框架、安全管理策略設(shè)計總體建設(shè)規(guī)劃和詳細(xì)設(shè)

計方案，并形成配套文件。

4.5.5工程驗收和交付缺少部分環(huán)節(jié)

通過對管理體系檢查，我們發(fā)現(xiàn)ISMS管理體系未在工程的

測試驗收缺少必要安全性測試和安全報告，在工程交付中未未

進行運維手冊的定制。

4.5.6未定期進行應(yīng)急演練

通過管理體系檢查，我們發(fā)現(xiàn)ISMS管理體系未在統(tǒng)一的應(yīng)

急預(yù)案框架下制定不同事件的應(yīng)急預(yù)案，應(yīng)急預(yù)案框架應(yīng)包括

啟動應(yīng)急預(yù)案的條件、應(yīng)急處理流程、系統(tǒng)恢復(fù)流程、事后教

育和培訓(xùn)等內(nèi)容，并定期進行應(yīng)急演練及事后教育和培訓(xùn)。

4.5.7未定期進行安全評估和安全加固

通過管理體系檢查，我們發(fā)現(xiàn)ISMS管理體系未定期進行惡

意代碼檢查掃描、漏洞掃描及漏洞加固、未定期進行整體的安

全評估及風(fēng)險整改。

4.5.8缺少安全管理中心

通過網(wǎng)絡(luò)架構(gòu)分析、安全基線核查和管理體系檢查，我們

發(fā)現(xiàn)整體網(wǎng)絡(luò)：缺少安全管理中心，無法有效的組織相關(guān)人員

定期對檢測和報警的記錄進行分析、評審和報告，無法對設(shè)備

狀態(tài)、惡意代碼、補丁審計、安全審計等相關(guān)事項進行集中管

理，且系統(tǒng)中存在主機和web的高危漏洞。

第5章安全需求分析

5.1安全計算環(huán)境需求分析

根據(jù)前期差距分析結(jié)果，該信息系統(tǒng)如果想達(dá)到等級保護

三級關(guān)于安全計算環(huán)境的要求，還需要滿足以下需求：

主機防病毒：該信息系統(tǒng)缺少主機防病毒的相關(guān)安全策

略，需要配置網(wǎng)絡(luò)版主機防病毒系統(tǒng)，從而實現(xiàn)對全網(wǎng)主機的

惡意代碼防范。

數(shù)據(jù)庫審計：該信息系統(tǒng)缺少針對數(shù)據(jù)的審計設(shè)備，不能

很好的滿足主機安全審計的要求，需要部署專業(yè)的數(shù)據(jù)庫審計

設(shè)備。

運維堡壘主機：該信息系統(tǒng)無法實現(xiàn)管理員對網(wǎng)絡(luò)設(shè)備和

服務(wù)器進行管理時的雙因素認(rèn)證，需要部署堡壘機來實現(xiàn)。

備份與恢復(fù)：該信息系統(tǒng)沒有完善的數(shù)據(jù)備份與恢復(fù)方

案，需要制定相關(guān)策略。同時，該信息系統(tǒng)沒有實現(xiàn)對關(guān)鍵網(wǎng)

絡(luò)設(shè)備的冗余，建議部箸雙鏈路確保設(shè)備冗余。

5.2安全區(qū)域邊界需求分析

根據(jù)前期差距分析結(jié)果，該信息系統(tǒng)如果想達(dá)到等級保護

三級關(guān)于安全區(qū)域邊界的要求，還需要滿足以下需求：

邊界訪問控制：該信息系統(tǒng)無法實現(xiàn)對邊界的訪問控制，

需要部署防火墻等安全設(shè)備來實現(xiàn)。

邊界入侵防范：該信息系統(tǒng)無法實現(xiàn)對邊界的訪問控制，

需要部署防火墻等安全設(shè)備來實現(xiàn)。

邊界惡意代碼過濾：該信息系統(tǒng)無法實現(xiàn)對邊界的訪問控

制，需要部署防火墻等安全設(shè)備來實現(xiàn)。

防web攻擊：該信息系統(tǒng)無法實現(xiàn)對邊界的訪問控制，需

要部署防火墻等安全設(shè)備來實現(xiàn)。

安全域邊界安全審計：該信息系統(tǒng)無法實現(xiàn)對邊界的訪問

控制，需要部署署網(wǎng)絡(luò)安全審計等安全設(shè)備來實現(xiàn)。

互聯(lián)網(wǎng)出口安全審計：該信息系統(tǒng)無法實現(xiàn)對邊界的訪問

控制，需要部署行為管理等設(shè)備來實現(xiàn)。

5.3安全通信網(wǎng)絡(luò)需求分析

根據(jù)前期差距分析結(jié)果，該信息系統(tǒng)如果想達(dá)到等級保護

三級關(guān)于安全通信網(wǎng)絡(luò)的要求，還需要滿足以下需求：

通信完整性和保密性：該信息系統(tǒng)無法實現(xiàn)對邊界的訪問

控制，需要部署SSLVPN等安全設(shè)備來實現(xiàn)。

流量管理：該信息系統(tǒng)無法實現(xiàn)對邊界的訪問控制，需要

部署流量管理系統(tǒng)等安全設(shè)備來實現(xiàn)。

5.4安全管理中心需求分析

根據(jù)前期差距分析結(jié)果，該信息系統(tǒng)如果想達(dá)到等級保護

三級關(guān)于安全管理中心的要求，還需要滿足以下需求：

統(tǒng)一日志平臺：該信息系統(tǒng)無法實現(xiàn)對相關(guān)網(wǎng)絡(luò)及安全設(shè)

備的日志審計功能，需要部署日志審計系統(tǒng)來實現(xiàn)。

統(tǒng)一監(jiān)控平臺：該信息系統(tǒng)無法統(tǒng)一展示邊界的安全威脅

情況，需要部署安全感知平臺等來實現(xiàn)。

統(tǒng)一管理平臺：該信息系統(tǒng)無法實現(xiàn)對邊界的訪問控制，

需要部署運維堡壘主機來實現(xiàn)。

第6章總體安全設(shè)計

6.1總體設(shè)計目標(biāo)

本次安全等級保護整改方案設(shè)計的總體目標(biāo)是依據(jù)國家等

級保護的有關(guān)標(biāo)準(zhǔn)和規(guī)范，結(jié)合現(xiàn)網(wǎng)信息系統(tǒng)的現(xiàn)狀，對其進

行重新規(guī)劃和合規(guī)性整改，為其建立一個完整的安全保障體

系，有效保障其系統(tǒng)業(yè)務(wù)的正常開展，保護敏感數(shù)據(jù)信息的安

全，保證信息系統(tǒng)的安全防護能力達(dá)到《信息安全技術(shù)信息系

統(tǒng)安全等級保護基本要求》中第三級的相關(guān)技術(shù)和管理要求。

6.2總體安全體系設(shè)計

本項目提出的等級保護體系模型，必須依照國家等級保護

的相關(guān)要求，利用密碼、代碼驗證、可信接入控制等核心技

術(shù)，在“一個中心三重防御”的框架下實現(xiàn)對信息系統(tǒng)的全面

防護。

安全管理中心

安全管理中心是整個等級保護體系中對信息系統(tǒng)進行集中

安全管理的平臺，是信息系統(tǒng)做到可測、可控、可管理的必要

手段和措施。依照信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求中對安

全管理中心的要求，一個符合基于可信計算和主動防御的等級

保護體系模型的安全管理中心應(yīng)至少包含以下三個部分：

系統(tǒng)管理

實現(xiàn)對系統(tǒng)資源和運行的配置。控制和管理，并對系統(tǒng)管

理員進行身份鑒別，只允許其通過特定的命令或操作界面進行

系統(tǒng)管理操作，并對這些操作進行審計。

安全管理

實現(xiàn)對系統(tǒng)中的主體、客體進行統(tǒng)一標(biāo)記，對主體進行授

權(quán)，配置一致的安全策略，確保標(biāo)記、授權(quán)和安全策略的數(shù)據(jù)

完整性，并對安全管理員進行身份鑒別，只允許其通過特定的

命令或操作界面進行安全管理操作，并進行審計。

審計管理

實現(xiàn)對系統(tǒng)各個組成部分的安全審計機制進行集中管理，

包括根據(jù)安全審計策略對審計記錄進行分類；提供按時間段開

啟和關(guān)閉相應(yīng)類型的安全審計機制；對各類審計記錄進行存

儲、管理和查詢等；對審計記錄應(yīng)進行分析，根據(jù)分析結(jié)果進

行處理。此外，對安全審計員進行身份鑒別，只允許其通過特

定的命令或操作界面進行安全審計操作。

此外，安全管理中心應(yīng)做到技術(shù)與管理并重，加強在安全

管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系

統(tǒng)運維管理等方面的管理力度，規(guī)范安全管理操作規(guī)程，建立

完善的安全管理制度集。

安全計算環(huán)境

參照基于可信計算和主動防御的等級保護模型，安全計算

環(huán)境可劃分成節(jié)點和典型應(yīng)用兩個子系統(tǒng)。在解決方案中，這

兩個子系統(tǒng)都將通過終端安全保護體系的建立來實現(xiàn)。

信息安全事故的源頭主要集中在用戶終端，要實現(xiàn)一個可

信的、安全的計算環(huán)境，就必須從終端安全抓起。因此，依照

等級保護在身份鑒別，訪問控制（包括強制訪問控制）、網(wǎng)絡(luò)行

為控制（包括上網(wǎng)控制、違規(guī)外聯(lián)的控制）、應(yīng)用安全、數(shù)據(jù)安

全、安全審計等方面的技術(shù)要求，可充分結(jié)合可信計算技術(shù)和

主動防御技術(shù)的先進性和安全性，提出一個基于可信計算和主

動防御的終端安全保護體系模型，以實現(xiàn)從應(yīng)用層、系統(tǒng)層、

核心層三個方面對計算環(huán)境的全面防護。

安全區(qū)域邊界

為保護邊界安全，本解決方案針對構(gòu)建一個安全的區(qū)域邊

界提出的解決手段是在被保護的信息邊界部署一個“應(yīng)用訪問

控制系統(tǒng)”。該系統(tǒng)應(yīng)可以實現(xiàn)以下功能：信息層的自主和強制

訪問控制、防范SQL注入攻擊和跨站攻擊、抗DoS/DDoS攻擊端

口掃描、數(shù)據(jù)包過濾、網(wǎng)絡(luò)地址換、安全審計等。由于國內(nèi)外

在這一方面的相關(guān)技術(shù)非常成熟，因此，在本次系統(tǒng)整改總體

設(shè)計中更多的是考慮如何將防火墻、防病毒網(wǎng)關(guān)、網(wǎng)絡(luò)安全審

計系統(tǒng)、IDS、IPS等有機地結(jié)合在一起，實現(xiàn)協(xié)同防護和聯(lián)動

處理。

此外，對于不同安全等級信息系統(tǒng)之間的互連邊界，可根

據(jù)依照信息流向的高低，部署防火墻或安全隔離與信息交換系

統(tǒng)，并配置相應(yīng)的安全策略以實現(xiàn)對信息流向的控制。

安全通信網(wǎng)絡(luò)

目前，在通信網(wǎng)絡(luò)安全方面，采用密碼等核心技術(shù)實現(xiàn)的

各類VPN都可以很有效的解決這類問題，達(dá)到在滿足等級保護

相關(guān)要求的同時，可靈活提高通信網(wǎng)絡(luò)安全性的效果。

6.3安全域劃分說明

安全域的劃分是網(wǎng)絡(luò)防護的基礎(chǔ)，事實上每一個安全邊界

所包含的區(qū)域都形成了一個安全域。這些區(qū)域具有不同的使

命，具有不同的功能，分域保護的框架為明確各個域的安全等

級奠定了基礎(chǔ)，保證了信息流在交換過程中的安全性。

在本項目中，將嚴(yán)格按照信息系統(tǒng)的重要性和網(wǎng)絡(luò)使用的

邏輯特性劃分安全域，將劃分如下幾個區(qū)域：

互聯(lián)網(wǎng)接入域，該區(qū)域說明如下：

在網(wǎng)絡(luò)出口需提供流量清洗設(shè)備實現(xiàn)對DDOS等異常流量的

清洗，鏈路負(fù)載自動匹配最優(yōu)線路，保障網(wǎng)絡(luò)可用性的同時實

現(xiàn)快速接入；需在互聯(lián)網(wǎng)出口邊界利用防火墻進行隔離和訪問

控制，保護內(nèi)部網(wǎng)絡(luò)，利用IPS從2-7層對攻擊進行防護，實

現(xiàn)對入侵事件的監(jiān)控、阻斷，保護整體網(wǎng)絡(luò)各個安全域免受外

網(wǎng)常見惡意攻擊；需對互聯(lián)網(wǎng)出口流量進行識別并對流量進行

管控，提高帶寬利用率的同時保障用戶上網(wǎng)體驗。

辦公網(wǎng)區(qū)域，該區(qū)域說明如下：

安全域內(nèi)的終端上需具備防惡意代碼的能力，并對接入內(nèi)

網(wǎng)的用戶終端進行訪問控制，明確訪問權(quán)限以及可訪問的網(wǎng)絡(luò)

范圍。

DMZ區(qū)，該區(qū)域說明如下：

該安全域內(nèi)主要承載對外提供服務(wù)的服務(wù)器等，包括門戶

網(wǎng)站前端服務(wù)器、Web業(yè)務(wù)服務(wù)器等。需在DMZ區(qū)域邊界設(shè)置

訪問控制策略，并具備應(yīng)用層攻擊檢測與防護能力、防篡改能

力，同時也需要保證訪問量較大的服務(wù)能夠保持健康、穩(wěn)定的

運行。

服務(wù)器區(qū)域，該區(qū)域說明如下：

該安全域內(nèi)主要承載內(nèi)網(wǎng)核心業(yè)務(wù)信息系統(tǒng)，包含本次需

過等級保護測評的3大信息系統(tǒng)，需對這些業(yè)務(wù)信息系統(tǒng)提供

2-7層安全威脅識別及阻斷攻擊行為的能力，如SQL注入、XSS

（跨站腳本攻擊）、CSRF（跨站請求偽造攻擊）、cookie篡改

等；需對存儲業(yè)務(wù)信息系統(tǒng)產(chǎn)生的數(shù)據(jù)訪問權(quán)限進行劃分，并

對數(shù)據(jù)的相關(guān)操作進行審計；需對敏感或重要數(shù)據(jù)進行備份。

綜合安全管理區(qū)域，該區(qū)域說明如下：

該安全域?qū)I(yè)務(wù)環(huán)境下的網(wǎng)絡(luò)操作行為進行集中管理與細(xì)

粒度審計；用于監(jiān)控內(nèi)網(wǎng)安全域之間的流量，對流量中的威脅

進行實時檢測并統(tǒng)一呈現(xiàn)；對資產(chǎn)及其可能存在的漏洞進行掃

描。

第7章詳細(xì)方案技術(shù)設(shè)計

7.1物理和環(huán)境安全保障

“物理和環(huán)境安全保障體系”是支撐整個信息網(wǎng)應(yīng)用系統(tǒng)

的基石。其作為網(wǎng)信息安全管理體系建設(shè)的重要組成部分，必

須依據(jù)《信息系統(tǒng)安全等級保護基本要求》對物理安全的有關(guān)

要求，并結(jié)合信息化大集中、大整合、高共享的建設(shè)實際，不

斷擴展和變化，以滿足信息化建設(shè)對基礎(chǔ)設(shè)施保障和設(shè)備、數(shù)

據(jù)安全的需求。

物理安全保障體系建設(shè)規(guī)劃與應(yīng)用的發(fā)展有著緊密的聯(lián)

系，其設(shè)計方向必須緊貼應(yīng)用發(fā)展的實際需求，以機房的基礎(chǔ)

設(shè)施和安保系統(tǒng)的完善建立物理層面的保障和安全管控。在基

礎(chǔ)設(shè)施方面擴容機房的綜合布線、電氣配線、動力系統(tǒng)、制冷

系統(tǒng)，使應(yīng)用部署不再受到機房、功能區(qū)域的限制，消除物理

空間上的限制，讓系統(tǒng)的建設(shè)更加靈活且具有高度的可擴展

性。在物理安保方面進一步加強對人員的管控，通過整合現(xiàn)有

安保資源，形成多元化的安保防控一體化構(gòu)件，達(dá)到對資產(chǎn)的

全面管理和安全防護。

1、供配電系統(tǒng)

各級網(wǎng)絡(luò)機房的供配電系統(tǒng)要求能保證對機房內(nèi)的主機、

服務(wù)器、網(wǎng)絡(luò)設(shè)備、通訊設(shè)備等的電源供應(yīng)在任何情況下都不

會間斷，做到無單點失效和平穩(wěn)可靠，這就要求兩路以上的市

電供應(yīng)，足夠后備時間供電的N+1冗余的UPS系統(tǒng)，還有與機

房供電系統(tǒng)匹配的自備發(fā)電機系統(tǒng)。

2、防雷接地

要求機房設(shè)有四種接地形式，即計算機專用直流邏輯地、

配電系統(tǒng)交流工作地、安全保護地、防雷保護地。

3、消防報警及自動滅火

為實現(xiàn)火災(zāi)自動滅火功能，應(yīng)該設(shè)計火災(zāi)自動監(jiān)測及報警

系統(tǒng)，以便能自動監(jiān)測火災(zāi)的發(fā)生，并且啟動自動滅火系統(tǒng)和

報警系統(tǒng)。

4、門禁

各級網(wǎng)絡(luò)機房應(yīng)建立實用、高效的門禁系統(tǒng)，門禁系統(tǒng)需

要注意的原則是安全可靠、簡單易用、分級制度、中央控制和

多種識別方式的結(jié)合，形成統(tǒng)一授權(quán)，分區(qū)管理的集中監(jiān)控模

式。

5、保安監(jiān)控

各級網(wǎng)絡(luò)機房的保安監(jiān)控包括幾個系統(tǒng)的監(jiān)控：閉路監(jiān)視

系統(tǒng)、通道報警系統(tǒng)和人工監(jiān)控系統(tǒng)，必要情況要求記錄集中

存儲。

6、一體化的安保系統(tǒng)集成

機房應(yīng)將門禁管理、視頻監(jiān)控、人員身份鑒別、人員行為

管控、資產(chǎn)管控等多個基本安保元素進行一體化集成，遵循安

全可靠、簡單易維、分級授權(quán)、多種識別、全程跟蹤的方式形

成完善的安保防控體系。

7.2網(wǎng)絡(luò)邊界安全管控

網(wǎng)絡(luò)邊界安全管控體系從網(wǎng)絡(luò)整體結(jié)構(gòu)、網(wǎng)絡(luò)層邊界管控

措施、網(wǎng)絡(luò)安全防護及監(jiān)測、主機邊界管理等幾個方面來設(shè)

計。

7.2.1網(wǎng)絡(luò)安全域設(shè)計

在信息系統(tǒng)中，遵守相同的信息安全策略的集合（包括人

員，軟硬件設(shè)備）稱為安全域。它的目的是對信息系統(tǒng)中的不

同安全等級區(qū)域分別進行保護，應(yīng)進行安全域的劃分、結(jié)構(gòu)安

全、邊界整合以及防護策略設(shè)計。

在理順了信息系統(tǒng)訪問控制關(guān)系的基礎(chǔ)上，結(jié)合信息安全

體系框架安全域劃分部分的內(nèi)容，以及信息系統(tǒng)本身的業(yè)務(wù)特

點和安全要求，建立XX企業(yè)客戶的安全域模型，從交換域、計

算域和用戶域劃分安全域模型，提出具體解決方案及實施建

議。

7.2.2制定訪問控制策略

根據(jù)信息系統(tǒng)網(wǎng)絡(luò)訪問關(guān)系梳理得到的相關(guān)結(jié)果，以及對

于安全域劃分結(jié)果進行分析，從大的方面制定各個安全級別之

間的訪問控制策略和安全防護措施（各種安全產(chǎn)品的部署），從

小的方面制定同一個安全級別各個系統(tǒng)之間以及各個具體的安

全域之間的訪問控制策略。

7.2.3網(wǎng)絡(luò)安全防護管理

網(wǎng)絡(luò)訪問控制是防止對網(wǎng)絡(luò)服務(wù)的未授權(quán)訪問，根據(jù)安全

域劃分和訪問控制策略在信息網(wǎng)絡(luò)接入邊界、核心邊界實施訪

問控制；網(wǎng)絡(luò)入侵檢測（NIDS）是對信息系統(tǒng)的安全保障和運

行狀況進行監(jiān)視，以發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)

果。在現(xiàn)網(wǎng)內(nèi)部署網(wǎng)絡(luò)入侵檢測系統(tǒng)，監(jiān)控所有進出服務(wù)器網(wǎng)

段的流量，并對核心信息系統(tǒng)中的安全事件進行實時監(jiān)控，發(fā)

現(xiàn)和對各種攻擊企圖、攻擊行為或者攻擊結(jié)果進行告警，從而

使整個信息系統(tǒng)的網(wǎng)絡(luò)入侵防范更為完善；終端準(zhǔn)入控制機制

從終端層到網(wǎng)絡(luò)層，再到應(yīng)用層和邊界層，提供了客戶端準(zhǔn)

入、網(wǎng)絡(luò)準(zhǔn)入和應(yīng)用準(zhǔn)入等多種準(zhǔn)入控制手段，確保只有通過

身份驗證和安全基線檢查的辦公終端才能接入內(nèi)網(wǎng)并進行受控

訪問，對非法的或存在安全隱患的辦公終端進行隔離和修復(fù)，

構(gòu)建出完善的“內(nèi)網(wǎng)安檢系統(tǒng)”，從源頭上有效減少內(nèi)網(wǎng)安全

漏洞。

邊界出口處采用防火墻技術(shù)進行嚴(yán)格的鏈路訪問控制，并

能承載高會話數(shù)轉(zhuǎn)發(fā)和會話狀態(tài)控制。

核心計算域的訪問控制通過核心交換機進行區(qū)域劃分，然

后通過防火墻或ACL機制進行對進出的數(shù)據(jù)流進行嚴(yán)格的訪問

管控，細(xì)化到IP+端口細(xì)粒度的級別。

在出口增加防火墻加網(wǎng)絡(luò)病毒檢測防護，提升網(wǎng)絡(luò)邊界的

惡意代碼的防護。

7.3終端主機安全管理

相關(guān)的安全接入基線要求為日常管理提供必要的安全底

線，避免裸機運行或帶“病”運行。應(yīng)用系統(tǒng)主機安全在其相

關(guān)的章節(jié)中描述。

應(yīng)監(jiān)控辦公終端的操作系統(tǒng)補丁、防病毒軟件、軟件進

程、登錄口令、注冊表等方面的運行情況。如果辦公終端沒有

安裝規(guī)定的操作系統(tǒng)補丁、防病毒軟件的運行狀態(tài)和病毒庫更

新狀態(tài)不符合要求、沒有運行指定的軟件或運行了禁止運行的

軟件，或者有其它的安全基線不能滿足要求的情況，該辦公終

端的網(wǎng)絡(luò)訪問將被禁止。此時啟動自動修復(fù)機制，或提示終端

用戶手工進行修復(fù)。待修復(fù)完成后，辦公終端將自動得到重新

訪問網(wǎng)絡(luò)的授權(quán)。

終端安全加固

通過禁用系統(tǒng)Autorun（自動播放）、禁用終端的賬號和共

享的匿名枚舉、禁用終端的可匿名的共享、禁用Windows系統(tǒng)

的“發(fā)送到”菜單選項、禁用系統(tǒng)安全模式的功能、禁用

Windows遠(yuǎn)程桌面、禁用啟用系統(tǒng)自帶的DEP功能（數(shù)據(jù)執(zhí)行保

護）、并可禁止對終端網(wǎng)卡屬性進行修改，避免用戶違規(guī)修改網(wǎng)

卡的IP、MAC、網(wǎng)關(guān)地址等屬性，對終端操作系統(tǒng)進行安全加

固，防止終端用戶誤操作，并有效預(yù)防蠕蟲病毒和木馬對辦公

終端帶來的攻擊。

除此之外，還提供豐富多樣的自定義安全策略，可以用于

對終端進行安全加固。例如可以通過檢測特定文件或指定程序

是否存，來檢查終端是否有隱藏的木馬或病毒；通過檢測指定

注冊表項、指定注冊表值或指定的注冊表項和值得匹配關(guān)系是

否存在，來檢查終端是否存在隱藏的木馬或病毒的可能，并可

以通過對指定注冊表項，進行保護，防止被木馬或病毒惡意對

其進行修改，從而達(dá)到控制終端的可能。

還可以根據(jù)公司內(nèi)網(wǎng)要求，檢查終端是否按照要求加入或

登錄指定的AD域，如果沒有按照要求加入或登錄域，還可以將

其進行安全隔離，使其無法訪問網(wǎng)絡(luò)，保證單位域管理的有效

實施。

進程紅白黑名單管理

在現(xiàn)網(wǎng)網(wǎng)絡(luò)環(huán)境中，辦公終端軟件環(huán)境的標(biāo)準(zhǔn)化能為桌面

運維管理帶來多方面的效益：能夠降低桌面維護的復(fù)雜程度，

確保關(guān)鍵軟件在辦公終端的強制安裝與使用，同時通過禁止運

行某些軟件來提高工作效率。

進程管理通過定義辦公終端進程運行的紅、白、黑名單.

實現(xiàn)自動、高效的進程管理功能，完全覆蓋用戶對進程管理的

要求。進程管理，無論是進程紅名單、黑名單還是白名單，都

可以通過設(shè)置MD5碼校驗的方式檢查進程名，防止用戶對程序

改名逃避安全檢查。

在進程管理中所定義的紅名單、白名單和黑名單的詳細(xì)定

義如下：

進程紅名單：辦公終端必須運行的進程清單，是“進程白

名單”的子集；

進程白名單：辦公終端能夠運行的進程清單；

進程黑名單：辦公終端禁止運行的進程清單。

7.4核心應(yīng)用系統(tǒng)安全保護

核心應(yīng)用系統(tǒng)的安全應(yīng)從安全預(yù)警、安全管控和安全溯源

三個方面來的保障，具體來說應(yīng)做到事前的安全漏洞的檢查、

安全配置基線核查的安全風(fēng)險預(yù)警，事中的嚴(yán)格邊界訪問控

制、事后的網(wǎng)絡(luò)業(yè)務(wù)審計、綜合日志審計在內(nèi)的業(yè)務(wù)溯源。

漏洞掃描及配置核查

據(jù)“全球信息安全調(diào)查”的數(shù)據(jù)，當(dāng)前面臨的最大安全挑

戰(zhàn)是“預(yù)防安全漏洞的出現(xiàn)“，在日益復(fù)雜的網(wǎng)絡(luò)環(huán)境和層出不

窮的安全威脅面前，手工的漏洞管理工作幾乎是不可想象的.

尤其是對于有一定規(guī)模的信息系統(tǒng)。信息系統(tǒng)管理員通常要借

助漏洞管理工具來識別和修補漏洞。

應(yīng)根據(jù)“發(fā)現(xiàn)一掃描一定性一修復(fù)一審核”的安全體系構(gòu)

建法則，綜合運用多種國際最新的漏洞掃描與檢測技術(shù)，能夠

快速發(fā)現(xiàn)網(wǎng)絡(luò)資產(chǎn)，準(zhǔn)確識別資產(chǎn)屬性、全面掃描安全漏洞，

清晰定性安全風(fēng)險，給出修復(fù)建議和預(yù)防措施，并對風(fēng)險控制

策略進行有效審核，從而在弱點全面評估的基礎(chǔ)上實現(xiàn)安全自

主掌控。

由于服務(wù)和軟件的不正確部署和配置造成安全配置漏洞，

入侵者會利用這些安裝時默認(rèn)設(shè)置的安全配置漏洞進行操作從

而造成威脅。隨著攻擊形式和各種安全威脅事件的不斷發(fā)生，

越來越多的安全管理人員已經(jīng)意識到正確進行安全配置的重要

性。但是隨著業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)越來越復(fù)雜，重要應(yīng)用和服務(wù)

器數(shù)量及種類繁多，很容易發(fā)生安全管理人員的配置操作失誤

造成極大的影響?；诎踩渲米畹蜆?biāo)準(zhǔn)的安全配置基線檢查

就應(yīng)運而生。

通過安全配置核查管理系統(tǒng)對于設(shè)備入網(wǎng)、工程驗收、日

常維護、合規(guī)檢查等方面展開合規(guī)安全檢查，找出不符合的項

并選擇和實施安全措施來控制安全風(fēng)險。檢查范圍包括主流的

網(wǎng)絡(luò)設(shè)備、安全設(shè)備、數(shù)據(jù)庫、操作系統(tǒng)和應(yīng)用系統(tǒng)等，檢查

項包括：賬號、口令、授權(quán)、日志、IP協(xié)議和設(shè)備專有配置等

內(nèi)容。

核心邊界業(yè)務(wù)訪問控制

在核心的網(wǎng)絡(luò)邊界部署訪問控制設(shè)備啟用訪問控制功能，

根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，

控制粒度為端口級，應(yīng)對進出網(wǎng)絡(luò)的信息內(nèi)容進行過濾，實現(xiàn)

對應(yīng)用層HTTP、FTP、TELNET等協(xié)議命令級的控制；在會話處

于非活躍一定時間或會話結(jié)束后終止網(wǎng)絡(luò)連接，限制網(wǎng)絡(luò)最大

流量數(shù)及網(wǎng)絡(luò)連接數(shù)，對業(yè)務(wù)服務(wù)的重要次序來指定帶寬分配

優(yōu)先級別，保證在網(wǎng)絡(luò)發(fā)生擁堵的時候優(yōu)先保護重要應(yīng)用系統(tǒng)

主機。

運維審計

因為種種歷史遺留問題，并不是所有的信息系統(tǒng)都有嚴(yán)格

的身份認(rèn)證和權(quán)限劃分，權(quán)限劃分混亂，高權(quán)限賬號（比如

root賬號）共用等問題一直困擾著網(wǎng)絡(luò)管理人員，高權(quán)限賬號

往往掌握著數(shù)據(jù)庫和業(yè)務(wù)系統(tǒng)的命脈，任何一個操作都可能導(dǎo)

致數(shù)據(jù)的修改和泄露，最高權(quán)限的濫用，讓運維安全變得更加

脆弱，也讓責(zé)任劃分和威脅追蹤變得更加困難。

無論是內(nèi)部運維人員還是第三方代維人員，基于傳統(tǒng)的維

護方式，都是直接采用系統(tǒng)賬號完成系統(tǒng)級別的認(rèn)證即可進行

維護操作。隨著系統(tǒng)的不斷龐大，運維人員與系統(tǒng)賬號之間的

交叉關(guān)系越來越復(fù)雜，一個賬號多個人同時使用，是多對一的

關(guān)系，賬號不具有唯一性，系統(tǒng)賬號的密碼策略很難執(zhí)行，密

碼修改要通知所有知道這個賬號的人，如果有人離職或部門調(diào)

動，密碼需要立即修改，如果密碼泄露無法追查，如果有誤操

作或者惡意操作，無法追查到責(zé)任人。

業(yè)務(wù)數(shù)據(jù)審計

信息網(wǎng)絡(luò)的急速發(fā)展使得數(shù)據(jù)信,包的價值及可訪問性得至']

了提升，同時，也致使數(shù)據(jù)庫信息資產(chǎn)面臨嚴(yán)峻的挑戰(zhàn)。數(shù)據(jù)

庫的安全威脅主要來自兩個方面，一方面來自外部的非法入

侵，黑客針對業(yè)務(wù)系統(tǒng)或者數(shù)據(jù)庫漏洞，采取各種攻擊手段，

篡改或者盜取數(shù)據(jù)。這部分威脅可以通過在業(yè)務(wù)網(wǎng)絡(luò)入口部署

防火墻、入侵防護等產(chǎn)品得到有效預(yù)防。而另一方面的威脅來

自內(nèi)部，內(nèi)部員工的惡意破壞、違規(guī)操作和越權(quán)訪問，往往會

帶來數(shù)據(jù)的大量外泄和嚴(yán)重?fù)p壞，甚至導(dǎo)致數(shù)據(jù)庫系統(tǒng)崩潰。

而且，這些操作往往不具備攻擊特征，很難被普通的信息安全

防護系統(tǒng)識別出來，就更加防不勝防，迫切需要一種行之有效

的手段來進行防護。

圍繞數(shù)據(jù)庫的業(yè)務(wù)系統(tǒng)安全隱患如何得到有效解決，一直

以來是IT治理人員和DBA們關(guān)注的焦點：

管理層面：完善現(xiàn)有業(yè)務(wù)流程制度，明細(xì)人員職責(zé)和分

工，規(guī)范內(nèi)部員工的日常操作，嚴(yán)格監(jiān)控第三方維護人員的操

作。

技術(shù)層面：除了在業(yè)務(wù)網(wǎng)絡(luò)部署相關(guān)的信息安全防護產(chǎn)品

（如FW、IPS等），還需要專門針對數(shù)據(jù)庫部署獨立安全審計產(chǎn)

品，對關(guān)鍵的數(shù)據(jù)庫操作行為進行審計，做到違規(guī)行為發(fā)生時

及時告警，事故發(fā)生后精確溯源。

不過，審計關(guān)鍵應(yīng)用程序和數(shù)據(jù)庫不是一項簡單工作。特

別是數(shù)據(jù)庫系統(tǒng)，服務(wù)于各有不同權(quán)限的大量用戶，支持高事

務(wù)處理率，還必須滿足苛刻的服務(wù)水平要求。商業(yè)數(shù)據(jù)庫軟件

內(nèi)建的審計能力不能滿足獨立性的基本要求，還會降低數(shù)據(jù)庫

性能并增加管理費用。

網(wǎng)絡(luò)安全審計系統(tǒng)（業(yè)務(wù)網(wǎng)審計）是針對業(yè)務(wù)環(huán)境下的網(wǎng)

絡(luò)操作行為進行細(xì)粒度審計的合規(guī)性管理系統(tǒng)。在網(wǎng)絡(luò)層通過

對業(yè)務(wù)人員訪問系統(tǒng)的訪問行為進行解析、分析、記錄、匯

報，用來幫助用戶事前規(guī)劃預(yù)防，事中實時監(jiān)視、違規(guī)行為響

應(yīng)，事后合規(guī)報告、事故追蹤溯源，同時加強內(nèi)外部網(wǎng)絡(luò)行為

監(jiān)管、促進核心資產(chǎn)（數(shù)據(jù)庫、服