集團(tuán)辦公及郵件系統(tǒng)等級保護(hù)三級安全整改建設(shè)方案

XXXX集團(tuán)公司

辦公及郵件系統(tǒng)

信息等級保護(hù)（三級）建設(shè)方案

2016年5月

目錄

1總述....................................................................4

1.1項(xiàng)目背景..............................................................4

1.2設(shè)計(jì)依據(jù)..............................................................5

1.3設(shè)計(jì)目標(biāo)..............................................................5

1.4設(shè)計(jì)范圍..............................................................5

2安全目標(biāo)分析............................................................5

2.1系統(tǒng)定級情況..........................................................5

2.2定級系統(tǒng)現(xiàn)狀..........................................................6

2.3等保三級安全要求......................................................9

2.3.1《基本要求》三級要求.............................................11

2.3.2《設(shè)計(jì)技術(shù)要求》三級要求.........................................13

2.4安全需求分析.........................................................14

2.4.1合標(biāo)差距分析安全需求............................................14

2.4.2風(fēng)險評估分析安全需求............................................18

3等級保護(hù)總體設(shè)計(jì).......................................................21

3.1方案設(shè)計(jì)原則.........................................................21

3.2方案設(shè)計(jì)思想.........................................................22

3.3總體安全框架.........................................................24

3.3.1分區(qū)分域設(shè)計(jì).....................................................24

3.3.2安全技術(shù)架構(gòu).....................................................27

3.3.3安全管理架構(gòu).....................................................28

3.4等級保護(hù)建設(shè)流程規(guī)范化...............................................29

4等級保護(hù)安全技術(shù)建設(shè)..................................................30

4.1物理安全.............................................................30

4.1.1物理安全設(shè)計(jì).....................................................30

4.1.2物理安全設(shè)計(jì)具體措施............................................31

4.2技術(shù)安全.............................................................32

4.2.1技術(shù)安全設(shè)計(jì).....................................................32

4.2.2等級保護(hù)安全建設(shè)后網(wǎng)絡(luò)拓?fù)?.....................................36

4.2.3安全區(qū)域劃分.....................................................36

4.2.4等級保護(hù)安全技術(shù)措施.............................................37

4.3應(yīng)用安全.............................................................39

4.3.1應(yīng)用安全設(shè)計(jì).....................................................39

4.3.1辦公系統(tǒng)和郵件系統(tǒng)應(yīng)開發(fā)安全功能................................39

4.4等級保護(hù)所需安全產(chǎn)品清單.............................................40

5安全管理建設(shè)..........................................................40

5.1安全管理要求.........................................................41

5.2信息安全管理體系設(shè)計(jì).................................................41

5.2.1文全管理體系設(shè)計(jì)原則.............................................41

5.2.2安全管理體系設(shè)計(jì)指導(dǎo)思想.........................................41

5.2.3安全管理設(shè)計(jì)具體措施........................................................................................42

5.3信息安全管理體系設(shè)計(jì)總結(jié).............................................50

6安全產(chǎn)品選型及指標(biāo)....................................................51

6.1設(shè)備選型原則.........................................................51

6.2安全產(chǎn)品列表.........................................................53

6.3主要安全產(chǎn)品功能性能要求.............................................54

6.3.1網(wǎng)絡(luò)接入控制系統(tǒng).................................................54

6.3.2服務(wù)器煤作系統(tǒng)安全加固軟件......................................58

6.3.3主機(jī)監(jiān)控與審計(jì)系統(tǒng)...............................................61

1總述

1.1項(xiàng)目背景

隨著國家信息化發(fā)展戰(zhàn)略的不斷推進(jìn)，信息資源已經(jīng)成為代表國家綜合國力的戰(zhàn)略資

源。信息資源的保護(hù)、信息化進(jìn)程的健康發(fā)展是關(guān)乎國家安危、民族興旺的大事。信息安全

是保障國家主權(quán)、政治、經(jīng)濟(jì)、國防、社會安全和公民合法權(quán)益的重要保證。

2003年中央辦公廳、國務(wù)院辦公廳轉(zhuǎn)發(fā)的《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保

障工作的意見》（中辦發(fā)[2003]27號）明確指出：“要重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安

全、經(jīng)濟(jì)命脈、社會穩(wěn)定等方面的重要辦公系統(tǒng)和郵件系統(tǒng)，抓緊建立信息安全等級保護(hù)制

度，制定信息安全等級保護(hù)的管理辦法和技術(shù)指南”。信息安全等級保護(hù)制度是提高信息安

全保障能力和水平，維護(hù)國家安全、社會穩(wěn)定和公共利益，保障和促進(jìn)信息化設(shè)計(jì)健康發(fā)展

的一項(xiàng)基本制度，是開展信息安全保護(hù)工作的有效辦法，是信息安全保護(hù)工作的發(fā)展方向。

實(shí)行信息安全等級保護(hù)制度有利于在信息化設(shè)計(jì)過程中同步設(shè)計(jì)信息安全設(shè)施，保障信

息安全與信息化設(shè)計(jì)相協(xié)調(diào)；有利于為信息系統(tǒng)安全設(shè)計(jì)和管理提供系統(tǒng)性、針對性、可行

性的指導(dǎo)和服務(wù)，有效控制信息安全設(shè)計(jì)成本；能夠強(qiáng)化和重點(diǎn)保障基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國

家安全、經(jīng)濟(jì)命脈、社會穩(wěn)定等方面的重要系統(tǒng)的安全；能夠明確國家、法人和其他組織、

公民的信息安全責(zé)任，加強(qiáng)信息安全管理。實(shí)行信息安全等級保護(hù)制度具有重大的現(xiàn)實(shí)意義

和戰(zhàn)略意義，是國家對重要工程項(xiàng)目信息系統(tǒng)安全保護(hù)設(shè)計(jì)提出的強(qiáng)制性要求。

XXXX公司（以下簡稱為“XXXX”）的前身是中國航空技術(shù)進(jìn)出口總公司。XXXX由中國航

空工業(yè)集團(tuán)公司控股，全國社會保障基金理事會、北京普拓瀚華投資管理中心（有限合伙）

和中航建銀航空產(chǎn)業(yè)股權(quán)投資（天津）有限公司共同持股。XXXX是中國航空工業(yè)的重要組

成部分，是中國航空工業(yè)發(fā)展的先鋒隊(duì)，改革的試驗(yàn)田，是中國航空工業(yè)開拓國際市場、發(fā)

展相關(guān)產(chǎn)'也、擴(kuò)大國際投資的綜合平臺。

XXXX從自身信息化'Ik務(wù)需求和安全需求角度出發(fā)，為了滿足XXXX總部各類業(yè)務(wù)信息系

統(tǒng)的安全穩(wěn)定運(yùn)行，提高對重要商業(yè)信息安全的基本防護(hù)水平，更好的實(shí)現(xiàn)與中航T業(yè)金航

商網(wǎng)的對接，決定針對企業(yè)內(nèi)部的辦公系統(tǒng)和郵件系統(tǒng)，按照國家信息安全等級保護(hù)三級水

平開展安全整改建設(shè)工作，確保信息系統(tǒng)安全、可靠、穩(wěn)定運(yùn)行和長遠(yuǎn)發(fā)展。

1.2設(shè)計(jì)依據(jù)

本方案主要依據(jù)以下文件和技術(shù)標(biāo)準(zhǔn)進(jìn)行編寫：

《關(guān)于信息安全等級保護(hù)工作的實(shí)施意見》(公通字［2004］66號)

《信息安全等級保護(hù)管理辦法》(公通字［2007M3號)

《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》(GB17859-1999)

《信息安全技術(shù)信息系統(tǒng)等級保護(hù)安全設(shè)計(jì)技術(shù)要求》(GB/T25070-2010)

《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》(GB/T22239-2008)

《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)實(shí)施指南》(GB/T25058-2010)

1.3設(shè)計(jì)目標(biāo)

通過開展等級保護(hù)安全體系設(shè)計(jì)，從“保密性、完整性、可用性”角度為XXXX辦公系

統(tǒng)和郵件系統(tǒng)提供安全保障，實(shí)現(xiàn)系統(tǒng)安全和信息安全，保障系統(tǒng)資源和信息資源的最大化

安全使用，達(dá)到通過國家信息安全等級保護(hù)(三級)測評的水平，最終實(shí)現(xiàn)有效支撐辦公系

統(tǒng)和郵件系統(tǒng)安全、可靠、長遠(yuǎn)發(fā)展的總體目標(biāo)。

L4設(shè)計(jì)范圍

XXXX辦公系統(tǒng)和郵件系統(tǒng)是本等級保護(hù)安全整改建設(shè)項(xiàng)目要保護(hù)的目標(biāo)系統(tǒng)，本建設(shè)

方案將以國家信息安全等級保護(hù)相關(guān)文件和技術(shù)標(biāo)準(zhǔn)為依據(jù)，將以自主知識產(chǎn)權(quán)和國產(chǎn)化信

息安全裝置為基礎(chǔ)，對XXXX的辦公系統(tǒng)和郵件系統(tǒng)相關(guān)的物理環(huán)境、硬件平臺、軟件平臺

以及定級系統(tǒng)自身，從管理和技術(shù)兩個方面進(jìn)行總體的規(guī)劃和設(shè)計(jì)。

2安全目標(biāo)分析

2.1系統(tǒng)定級情況

編號系統(tǒng)名稱安全等級系統(tǒng)狀態(tài)

辦公系統(tǒng)(含門戶系統(tǒng)、OA系統(tǒng)

1三級擬定級

端和移動端)

2郵件系統(tǒng)三級擬定級

2.2定級系統(tǒng)現(xiàn)狀

XXXX的辦公系統(tǒng)和布件系統(tǒng)是本次開展等級保護(hù)建設(shè)的目標(biāo)系統(tǒng)。兩個系統(tǒng)尚未進(jìn)行

定級備案，擬定級為等保三級。

（一）定級系統(tǒng)概述

辦公系統(tǒng)主要用于XXXX內(nèi)部工作人員辦公使用。辦公系統(tǒng)由門戶系統(tǒng)和0A系統(tǒng)兩個子

系統(tǒng)組成，0A系統(tǒng)又包括PC系統(tǒng)端和移動端兩部分。辦公系統(tǒng)可通過辦公內(nèi)網(wǎng)或互聯(lián)網(wǎng)進(jìn)

行訪問，系統(tǒng)用戶總數(shù)約為1800人，XXXX總部大廈約有辦公人員500人。辦公系統(tǒng)可通過

PC和智能移動終端進(jìn)行訪問，PC端系統(tǒng)為B/S架構(gòu)，智能移動終端系統(tǒng)為C/S架構(gòu)，需安

裝相應(yīng)的APP客戶端軟件，

郵件系統(tǒng)為XXXX內(nèi)部工作人員提供郵件服務(wù)，系統(tǒng)總用戶數(shù)為3023人，用戶分布于國

內(nèi)和國外。郵件系統(tǒng)通過互聯(lián)網(wǎng)訪問，用尸可使用Web方式或第三方郵件客尸端軟件進(jìn)行收

發(fā)操作。

^^■^卜網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)等保部分拓?fù)鋱D

Interndlilcroci

移動安全接入及內(nèi)部費(fèi)源分配

訪問入口

-93g僧費(fèi)2身生”

人■防P

MIP5VI90M

??京按基?

AC-2M0

核

心

及

專

城

區(qū)

域

圖：定級系統(tǒng)現(xiàn)狀拓?fù)鋱D

（二）定級系統(tǒng)服務(wù)器情況

辦公系統(tǒng)共有6臺服務(wù)器，均部署在北京總部機(jī)房中。這6臺服務(wù)器的功用：0A數(shù)據(jù)

庫服務(wù)器、0A應(yīng)用服務(wù)器、移動0A應(yīng)用服務(wù)器、0A數(shù)據(jù)庫備份服務(wù)器及門戶數(shù)據(jù)庫服務(wù)器、

門戶應(yīng)用服務(wù)器（虛擬機(jī)）。0A系統(tǒng)的PC系統(tǒng)端和移動端有各自的應(yīng)用服務(wù)器，后端數(shù)據(jù)

庫為同一個數(shù)據(jù)庫。0A教據(jù)庫服務(wù)器和0A應(yīng)用服務(wù)器劃分在Internet訪問入口區(qū)的DMZ

區(qū)中，移動0A應(yīng)用服務(wù)器、0A數(shù)據(jù)庫備份服務(wù)器、門戶數(shù)據(jù)庫服務(wù)器和門戶應(yīng)用服務(wù)器（虛

擬機(jī)）均劃分在內(nèi)網(wǎng)服務(wù)器區(qū)中。0A系統(tǒng)的4臺服務(wù)器均采用Windows操作系統(tǒng)，系統(tǒng)版

本為Windows2003；門戶系統(tǒng)服務(wù)器均采用紅帽子（RHEL）Linux操作系統(tǒng),系統(tǒng)版本為5.4。

郵件系統(tǒng)服務(wù)器共有兩臺，這兩臺服務(wù)器采用鏡像方式部署，分別安裝于北京總部機(jī)房

和深圳總部機(jī)房中。深圳節(jié)點(diǎn)為源節(jié)點(diǎn)，北京節(jié)點(diǎn)為鏡像節(jié)點(diǎn)，兩服務(wù)器之間通過一條10M

電信郵件專線互聯(lián)、同步，郵件服務(wù)器操作系統(tǒng)為紅帽子Linux6.3。

由于等級保護(hù)采用屬地化管理，因此，本次安全保護(hù)建設(shè)將只針對郵件系統(tǒng)北京節(jié)點(diǎn)服

務(wù)器，不涉及深圳節(jié)點(diǎn)服務(wù)器。

表：定級系統(tǒng)服務(wù)器列表

序號系統(tǒng)用途操作系統(tǒng)版本安全域

1辦公系統(tǒng)0A數(shù)據(jù)庫服務(wù)器Windows2003DMZ區(qū)

2辦公系統(tǒng)0A應(yīng)用服務(wù)器Windows2003DMZ區(qū)

3辦公系統(tǒng)移動0A應(yīng)用服務(wù)器Windows2003內(nèi)網(wǎng)服務(wù)器區(qū)

4辦公系統(tǒng)0A數(shù)據(jù)庫備份服務(wù)器Windows2003內(nèi)網(wǎng)服務(wù)器區(qū)

5辦公系統(tǒng)門戶數(shù)據(jù)庫服務(wù)器RHEL5.4內(nèi)網(wǎng)服務(wù)器區(qū)

6辦公系統(tǒng)門戶應(yīng)用服務(wù)器RHEL5.4內(nèi)網(wǎng)服務(wù)器區(qū)

7郵件系統(tǒng)郵件服務(wù)器RHEL6.3DMZ區(qū)

（三）現(xiàn)有安全資源（設(shè)備）

表：現(xiàn)有安全產(chǎn)品列表

編號設(shè)備類型和名稱數(shù)量單位說明

1深信服負(fù)載均衡M5400AD1臺訪問出口安全防護(hù)；

2山石UTM-M61101臺訪問出口安全防護(hù)；

3深信服流控系統(tǒng)AC-20801臺訪問出口安全防護(hù);

4深信服負(fù)載均衡AD-16801介訪問入口安全防護(hù)；

5啟明星辰防火墻USG-2010D1臺訪問入口安全防護(hù)；

6綠盟入侵防護(hù)NIPSN1OOGA1臺訪問入口安全防護(hù)；

7深信服Web應(yīng)用防火墻WAF1臺訪問入口安全防護(hù)；

8創(chuàng)佳互聯(lián)移動設(shè)備管理1套移動安全防護(hù)：

9江南信安移動安全接入網(wǎng)關(guān)1臺移動接入安全防護(hù)；

10深信服SSLVPN1移動接入安全防護(hù)；

11綠盟網(wǎng)絡(luò)安全審計(jì)SAS1000C1臺網(wǎng)絡(luò)安全及數(shù)據(jù)庫審計(jì)；

12綠盟BVSS安全核查1臺網(wǎng)絡(luò)安全審計(jì)；

13安恒綜合日志管理DAS-2001乙口、網(wǎng)絡(luò)安全審計(jì)；

14綠盟WSMS網(wǎng)站檢測1臺網(wǎng)絡(luò)安全審計(jì)；

15綠盟運(yùn)維審計(jì)SASNX3-H6OOC1臺網(wǎng)絡(luò)安全審計(jì)；

16綠盟入侵檢測NIDSN1000A1臺網(wǎng)絡(luò)安全審計(jì)；

17無線AC1臺無線網(wǎng)絡(luò)控制管理；

18啟明星辰防火墻USG-FW-2010D1臺服務(wù)器區(qū)安全防護(hù)；

19啟明星辰天榕電子文檔安全系統(tǒng)500點(diǎn)終端數(shù)據(jù)防泄漏；

20綠盟堡壘機(jī)1A安全運(yùn)維管理；

21華為Esigh網(wǎng)管系統(tǒng)1套網(wǎng)絡(luò)設(shè)備運(yùn)維管理（僅限華為設(shè)備）；

22虛擬化移動OA500點(diǎn)移動辦公信息防泄漏；

（四）其他安全措施

1、設(shè)備管理權(quán)限

a）專線路由器和樓層交換機(jī)通過ACL控制，只允許管理員的IP地址登陸設(shè)

備，并且創(chuàng)建不同級別的用戶權(quán)限，超級管理員擁有所有權(quán)限，一般管理員

只有訪問權(quán)限不可修改；

b）根據(jù)部門劃分VLAN,不同VLAN不能互訪：

c）安全設(shè)備沒有對登陸設(shè)備的源IP進(jìn)行限制，創(chuàng)建不同級別權(quán)限的用戶，

網(wǎng)絡(luò)管理員擁有最高權(quán)限，普通管理員只允許查看；

2、內(nèi)外網(wǎng)訪問設(shè)備途徑；

a）管理員統(tǒng)一通過綠盟堡壘機(jī)登錄設(shè)備進(jìn)行網(wǎng)管；

b）管理員在公司以外的地方需要管理設(shè)備的時候，首先登錄公司深信服

VPN設(shè)備，然后登錄堡壘機(jī)對設(shè)備進(jìn)行網(wǎng)管；

3、每月月初根據(jù)IPS日志，匯總上月入侵防護(hù)事件，形成安全月報（專人負(fù)責(zé)）;

4、內(nèi)部用戶上網(wǎng)，通過深信服行為管理實(shí)現(xiàn)上網(wǎng)認(rèn)證，認(rèn)證方式用戶名加密碼

和短信認(rèn)證；

5、網(wǎng)絡(luò)入口和出口各部署一臺深信服鏈路負(fù)載均衡設(shè)備，入□聯(lián)通20M,電信

20M；出口聯(lián)通40M,電信40M；

6、網(wǎng)絡(luò)入口負(fù)載均衡主要負(fù)責(zé)智能DNS和網(wǎng)絡(luò)地址轉(zhuǎn)換，有效隱臧內(nèi)部服務(wù)器

的IP地址；網(wǎng)絡(luò)出口負(fù)載均衡主要負(fù)責(zé)針對內(nèi)部員工上網(wǎng)進(jìn)行地址轉(zhuǎn)換和旗路

負(fù)載均衡；

7、通過網(wǎng)絡(luò)入口防火墻，允許內(nèi)部用戶對DMZ區(qū)資源的訪問，控制粒度為用

戶加端口；

8、通過內(nèi)部服務(wù)器區(qū)防火墻，允許內(nèi)部用戶對內(nèi)部服務(wù)器區(qū)資源的訪問，控制

粒度為用戶加端口；

9、深信服上網(wǎng)行為管理的外置數(shù)據(jù)中心可以記錄用戶6個月內(nèi)的上網(wǎng)行為；

10、現(xiàn)有網(wǎng)絡(luò)中，Esigh網(wǎng)管軟件只能對華為設(shè)備的運(yùn)行狀況產(chǎn)生日志，不支

持第三方設(shè)備；

11、IPS可以對端匚掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)

溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等進(jìn)行進(jìn)行告警并有效阻斷；

12、IPS可以記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，在發(fā)送嚴(yán)重入

侵事件時應(yīng)提供報警；

13、IPS和VPN有專人負(fù)責(zé)策略下發(fā)和資源控制。

2.3等保三級安全要求

《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》（GBl7859T999）（以下簡稱為“《等級劃分

準(zhǔn)則》"）中定義一級信息系統(tǒng)安全防護(hù)等級為安全標(biāo)記保護(hù)級。安全標(biāo)記保護(hù)級的計(jì)算機(jī)信

息系統(tǒng)可信計(jì)算基具有系統(tǒng)審計(jì)保護(hù)級的所有功能。此外，還需提供有關(guān)安全策略模型、數(shù)

據(jù)標(biāo)記以及主體對客體強(qiáng)制訪問控制的非形式化描述，具有準(zhǔn)確地標(biāo)記輸出信息的能力：消

除通過測試發(fā)現(xiàn)的任何錯誤。

《等級劃分準(zhǔn)則》中規(guī)定，信息系統(tǒng)需要具備以下安全特性以保證相應(yīng)的安全等級:

自主訪問控制

計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基定義和控制系統(tǒng)中命名用戶對命名客體地訪問。實(shí)施機(jī)制

（例如：訪問控制表）允許命名用戶以用戶和（或）用戶組的身份規(guī)定并控制客體的共享；

阻止非授權(quán)用戶讀取敏感信息。并控制訪問權(quán)限擴(kuò)散。自主訪問控制機(jī)制根據(jù)用戶指定方式

或默認(rèn)方式，阻止非授權(quán)用戶訪問客體。訪問控制的粒度是單個用戶。沒有存取權(quán)的用戶只

允許由授權(quán)用戶指定對客體的訪問權(quán)。阻止非授權(quán)用戶讀取敏感信息。

■強(qiáng)制訪問控制

計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基對所有主體及其所控制的客體（例如：進(jìn)程、文件、段、設(shè)

備）實(shí)施強(qiáng)制訪問控制。為這些主體及客體指定敏感標(biāo)記，這些標(biāo)記是等級分類和非等級類

別的組合，它們是實(shí)施強(qiáng)制訪問控制的依據(jù)。計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基支持兩種或兩種以

上成分組成的安全級。計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基控制的所有主體對客體的訪問應(yīng)滿足：僅

當(dāng)主體安全級中的等級分類高于或等于客體安全級中的等級分類，且主體安全級中的非等級

類別包含了客體安全級中的全部非等級類別，主體/能讀客體；僅當(dāng)主體安全級中的等級分

類低于或等于客體安全級中的等級分類，且主體安全級中的非等級類別包含于客體安全級中

的非等級類別，主體才能寫一個客體。計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基使用身份和鑒別數(shù)據(jù)，鑒

別用戶的身份，并保證用戶創(chuàng)建的計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基外部主體的安全級和授權(quán)受該

用戶的安全級和授權(quán)的控制。

■標(biāo)記

計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基應(yīng)維護(hù)馬主體及其控制的存儲客體（例如：進(jìn)程、文件、段、

設(shè)備）相關(guān)的敏感標(biāo)記。這些標(biāo)記是實(shí)施強(qiáng)制訪問的基礎(chǔ)。為了輸入未加安全標(biāo)記的數(shù)據(jù)，

計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基向授權(quán)用戶要求并接受這些數(shù)據(jù)的安全級別，且可由計(jì)算機(jī)信息

系統(tǒng)可信計(jì)算基審計(jì)。

■身份鑒別

計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基初始執(zhí)行時，首先要求用戶標(biāo)識自己的身份，而且，計(jì)算機(jī)

信息系統(tǒng)可信計(jì)算基維護(hù)用戶身份識別數(shù)據(jù)并確定用戶訪問權(quán)及授權(quán)數(shù)據(jù)。計(jì)算機(jī)信息系統(tǒng)

可信計(jì)算基使用這些數(shù)據(jù)鑒別用戶身份，并使用保護(hù)機(jī)制（例如：口令）來鑒別用戶的身份:

阻止非授權(quán)用戶訪問用戶身份鑒別數(shù)據(jù)。通過為用戶提供唯一標(biāo)識，計(jì)算機(jī)信息系統(tǒng)可信計(jì)

算基能夠使用戶對自己的行為負(fù)責(zé)。計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基還具備將身份標(biāo)識與該用戶

所有可審計(jì)行為相關(guān)聯(lián)的能力。

■客體重用

在計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基的空閑存儲客體空間中，對客體初始指定、分配或再分配

一個主體之前，撤消客體所含信息的所有授權(quán)。當(dāng)主體獲得對一個已被釋放的客體的訪問權(quán)

時，當(dāng)前主體不能獲得原主體活動所產(chǎn)生的任何信息。

■審計(jì)

計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基能創(chuàng)建和維護(hù)受保護(hù)客體的訪問審計(jì)跟蹤記錄，并能阻止非

授權(quán)的用戶對它訪問或破壞。

計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基能記錄下述事件：使用身份鑒別機(jī)制：將客體引入用戶地址

空間（例如：打開文件、程序初始化）；刪除客體；由操作員、系統(tǒng)管理員或（和）系統(tǒng)安

全管理員實(shí)施的動作，以及其他與系統(tǒng)安全有關(guān)的事件。對于每一事件，其審計(jì)記錄包括：

事件的口期和時間、用戶、事件類型、事件是否成功。對于身份鑒別事件，審計(jì)記錄包含請

求的來源（例如：終端標(biāo)識符）；對于客體引入用戶地址空間的事件及客體刪除事件，審計(jì)

記錄包含客體名及客體的安全級別。此外，計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基具有審計(jì)更改可讀輸

出記號的能力。

對不能由計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基獨(dú)立分辨的審計(jì)事件，審計(jì)機(jī)制提供審計(jì)記錄接

口，可由授權(quán)主體調(diào)用。這些審計(jì)記錄區(qū)別于計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基獨(dú)立分辨的審計(jì)記

錄。

■數(shù)據(jù)完整性

計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基通過自主和強(qiáng)制完整性策略，阻止非授權(quán)用戶修改或破壞敏

感信息。在網(wǎng)絡(luò)環(huán)境中，使用完整性敏感標(biāo)記來確信信息在傳送中未受損。

2.3.1《基本要求》三級要求

《信息安全技術(shù)信息系統(tǒng)等級保護(hù)安全設(shè)計(jì)技術(shù)要求》（GB/T25070-2010）（以下簡稱

為“《基本要求》”）?！痘疽蟆分幸?guī)定三級安全防護(hù)能力應(yīng)能夠在統(tǒng)一安全策略下防護(hù)

系統(tǒng)免受來自內(nèi)部操作性攻擊和外部有組織的團(tuán)體（如一個商業(yè)情報組織或犯罪組織等），

擁有較為豐富資源（包括人員能力、計(jì)算能力等）的威脅源發(fā)起的惡意攻擊、較為嚴(yán)重的自

然災(zāi)難（災(zāi)難發(fā)生的強(qiáng)度較大，持續(xù)時間較長，覆蓋范圍較廣等）以及其他相當(dāng)危害程度的

威脅（內(nèi)部人員的惡意威脅、無意失誤、較嚴(yán)重的技術(shù)故障等）所造成的主要資源損害并能

夠檢測到此類威脅，并在威脅發(fā)生造成損害后，能夠較快恢復(fù)絕大部分功能。

《基本要求》是針對不同安全等級信息系統(tǒng)應(yīng)該具有的基本安全保護(hù)能力提出的安全要

求，基本安全要求分為基本技術(shù)要求和基本管理要求兩大類?；炯夹g(shù)要求與信息系統(tǒng)提供

的技術(shù)安全機(jī)制有關(guān)，主要通過在信息系統(tǒng)中部署軟硬件并正確的配置其安全功能來實(shí)現(xiàn)；

基本管理要求與信息系統(tǒng)中各種角色參與的活動有關(guān)，主要通過控制各種角色的活動，從政

策、制度、規(guī)范、流程以及記錄等方面做出規(guī)定來實(shí)現(xiàn)。

基本技術(shù)要求從“物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全”幾個層面

提出；基本管理要求從“安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和

系統(tǒng)運(yùn)維管理”幾個方面提出，基本技術(shù)要求和基本管理要求是確保信息系統(tǒng)安全不可分割

的兩個部分?；景踩髲母鱾€層面或方面提出了系統(tǒng)的每個組件應(yīng)該滿足的安全要求，

信息系統(tǒng)具有的整體安全保護(hù)能力通過不同組件實(shí)現(xiàn)基本安全要求來保證。

《基本要求》安全三級對信息系統(tǒng)安全防護(hù)能力所提出的具體要求參看《信息系統(tǒng)安全

等級保護(hù)基本要求》（GB/T22239-2008）第七章節(jié)。

另外，在依據(jù)《基本要求》分層面采取各種安全措施時，還應(yīng)考慮以下總體性要求，保

證信息系統(tǒng)的整體安全保護(hù)能力。

a）構(gòu)建縱深的防御體系

《基本要求》從技術(shù)和管理兩個方面提出基本安全要求，在采取由點(diǎn)到面的各種安全措

施時，在系統(tǒng)整體上還應(yīng)保證各種安全措施的組合從外到內(nèi)構(gòu)成一個縱深的安全防御體系，

保證信息系統(tǒng)整體的安全保護(hù)能力。應(yīng)從通信網(wǎng)絡(luò)、局域網(wǎng)絡(luò)邊界、局域網(wǎng)絡(luò)內(nèi)部、各種業(yè)

務(wù)應(yīng)用平臺等各個層次落實(shí)本標(biāo)準(zhǔn)中提到的各種安全措施，形成縱深防御體系。

b）采取互補(bǔ)的安全措施

《基本要求》以安全控制組件的形式提出基本安全要求，在將各種安全控制組件集成到

特定信息系統(tǒng)中時，應(yīng)考慮各個安全控制組件的互補(bǔ)性，關(guān)注各個安全控制組件在層面內(nèi)、

層面間和功能間產(chǎn)生的連接、交互、依賴、協(xié)調(diào)、協(xié)同等相互關(guān)聯(lián)關(guān)系，保證各個安全控制

組件共同綜合作用于信息系統(tǒng)的安全功能上，使得信息系統(tǒng)的整體安全保護(hù)能力得以保證。

c）保證一致的安全強(qiáng)度

《基本要求》將基本安全功能要求，如身份鑒別、訪問控制、安全審計(jì)、入侵防范、安

全標(biāo)記等內(nèi)容，分解到信息系統(tǒng)中的各個層面I在實(shí)現(xiàn)各個層面安全功能時，應(yīng)保證各個層

面安全功能實(shí)現(xiàn)強(qiáng)度的?致性。應(yīng)防止某個層面安全功能的減弱導(dǎo)致系統(tǒng)整休安全保護(hù)能力

在這個安全功能上消弱。如要實(shí)現(xiàn)雙因子身份鑒別，則應(yīng)在各個層面的身份鑒別上均實(shí)現(xiàn)雙

因子身份鑒別；要實(shí)現(xiàn)強(qiáng)制訪問控制，則應(yīng)保證在各個層面均基于低層操作系統(tǒng)實(shí)現(xiàn)強(qiáng)制訪

問控制，并保證標(biāo)記數(shù)據(jù)在整個信息系統(tǒng)內(nèi)部流動時標(biāo)記的唯一性等。

d）建立統(tǒng)一的支撐平臺

《基本要求》在較高級別信息系統(tǒng)的安全功能要求上，提到了使用密碼技術(shù)，多數(shù)安全

功能（如身份鑒別.訪問控制，數(shù)據(jù)完整性.數(shù)據(jù)保密性.抗抵賴等）為了獲得更高的強(qiáng)度，

均要基于密碼技術(shù)，為了保證信息系統(tǒng)整體安全防護(hù)能力，應(yīng)建立基于密碼技術(shù)的統(tǒng)一支撐

平臺，支持高強(qiáng)度身份鑒別、訪問控制、數(shù)據(jù)完整性、數(shù)據(jù)保密性、抗抵賴等安全功能的實(shí)

現(xiàn)。

e）進(jìn)行集中的安全管理

《基本要求》在較高級別信息系統(tǒng)的安全功能管理要求上，提到了統(tǒng)一安全策略、統(tǒng)一

安全管理等要求，為了保證分散于各個層面的安全功能在統(tǒng)一策略的指導(dǎo)下實(shí)現(xiàn)，各個安全

控制組件在可控情況下發(fā)揮各自的作用，應(yīng)建立安全管理中心，集中管理信息系統(tǒng)中的各個

安全控制組件，支持統(tǒng)一安全管理。

2.3.2《設(shè)計(jì)技術(shù)要求》三級要求

為貫徹和實(shí)施信息安全等級保護(hù)制度，國家出臺了相關(guān)的法規(guī)、政策文件、國家標(biāo)準(zhǔn)和

公共安全行業(yè)標(biāo)準(zhǔn)，這些內(nèi)容為信息安全等級保護(hù)工作的開展提供了法律、政策、和技術(shù)標(biāo)

準(zhǔn)依據(jù)?！缎畔踩夹g(shù)信息系統(tǒng)等級保護(hù)安全設(shè)計(jì)技術(shù)要求》（GB/T25070-2010）（以下簡

稱為“《設(shè)計(jì)技術(shù)要求》”）規(guī)范了信息系統(tǒng)等級保護(hù)安全設(shè)計(jì)技術(shù)要求，為等級保護(hù)安全技

術(shù)方案的設(shè)計(jì)和實(shí)施提供了指導(dǎo)，是進(jìn)行信息系統(tǒng)安全建設(shè)和加固工作的重要依據(jù)。

《設(shè)計(jì)技術(shù)要求》對三級安全防護(hù)系統(tǒng)提出了總體的安全H標(biāo)：通過實(shí)現(xiàn)基于安全策略

模型和標(biāo)記的強(qiáng)制訪問控制以及增強(qiáng)系統(tǒng)的審計(jì)機(jī)制，使系統(tǒng)具有在統(tǒng)?安全策略管控下，

保護(hù)敏感資源的能力。其核心安全策略為：構(gòu)造非形式化的安全策略模型，對主、客體進(jìn)行

安全標(biāo)記，表明主、客體的級別分類和非級別分類的組合，以此為基礎(chǔ)，按照強(qiáng)制訪問控制

規(guī)則實(shí)現(xiàn)對主體及其客體的訪問控制。

“統(tǒng)一管理、統(tǒng)一策略”和“訪問控制”是《設(shè)計(jì)技術(shù)要求》的核心安全思想。《設(shè)計(jì)

技術(shù)要求》規(guī)定等級保護(hù)系統(tǒng)應(yīng)按照“一個中心三重防護(hù)”體系架構(gòu)進(jìn)行安全技術(shù)體系規(guī)劃

和設(shè)計(jì)，構(gòu)建“由安全管理中心進(jìn)行統(tǒng)一管理，由安全計(jì)算環(huán)境、安全區(qū)域邊界和安全通信

網(wǎng)絡(luò)三重防護(hù)環(huán)節(jié)”所組成的縱深、立體的信息安全防護(hù)體系。安全計(jì)算環(huán)境、安全區(qū)域邊

界、安全通信網(wǎng)絡(luò)必須在安全管理中心的統(tǒng)?管控下運(yùn)轉(zhuǎn)，各安全環(huán)節(jié)各司其職、相互配合,

共同構(gòu)成定級系統(tǒng)的安全保護(hù)環(huán)境，確保信息的存儲、處理和傳輸?shù)陌踩?，并?跨域安全管

理中心的統(tǒng)一安全策略控制下，實(shí)現(xiàn)不同定級系統(tǒng)的安全互操作和信息安全交換。

《設(shè)計(jì)技術(shù)要求》對安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)以及安全管理中心四

個部分分別提出了明確的安全要求?！对O(shè)計(jì)技術(shù)要求》/安全計(jì)算環(huán)境提出了“用戶身份鑒

別、自主訪問控制、標(biāo)記司強(qiáng)制訪問控制、系統(tǒng)安全審計(jì)、用戶數(shù)據(jù)完整性保護(hù)、用戶數(shù)據(jù)

保密性保護(hù)、客體安全重用、程序可信執(zhí)行保護(hù)”等安全要求；對安全區(qū)域邊界提出了“區(qū)

域邊界訪問控制、區(qū)域邊界包過濾、區(qū)域邊界安全審計(jì)、區(qū)域邊界完整性保護(hù)”等安全要求:

對安全通信網(wǎng)絡(luò)提出了“通信網(wǎng)絡(luò)安全審計(jì)、通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護(hù)、通信網(wǎng)絡(luò)數(shù)據(jù)

傳輸保密性保護(hù)、通信網(wǎng)絡(luò)可信接入保護(hù)”等安全要求；要求安全管理中心需要由“系統(tǒng)管

理分中心、安全管理分中心以及審計(jì)管理分中心”三個部分組成，即按照“三權(quán)分立，相互

監(jiān)督、相互制約”的架構(gòu)進(jìn)行設(shè)計(jì)和建設(shè)。

《設(shè)計(jì)技術(shù)要求》安全三級對等級系統(tǒng)安全防護(hù)體系所提出的具體要求請參看《信息安

全技術(shù)信息系統(tǒng)等級保護(hù)安全設(shè)計(jì)技術(shù)要求》（GB/T25070-2010）第七章節(jié)。

2.4安全需求分析

信息安全建設(shè)是?個量體裁衣的過程，因此安全體系的規(guī)劃和設(shè)計(jì)，應(yīng)該以辦公系統(tǒng)和

郵件系統(tǒng)的信息安全現(xiàn)狀為基礎(chǔ)展開。為了掌握辦公系統(tǒng)和郵件系統(tǒng)當(dāng)前信息安全現(xiàn)狀，特

通過信息安全現(xiàn)狀合標(biāo)差距分析以及安全風(fēng)險評估兩種方法，對系統(tǒng)安全現(xiàn)狀進(jìn)行了客觀、

細(xì)致、詳實(shí)的調(diào)研和安全需求分析。

2.4.1合標(biāo)差距分析安全需求

物理安全

1）機(jī)房選址在建筑高層；

2）定級系統(tǒng)相關(guān)的服務(wù)器等設(shè)備，并非所有設(shè)備上都有標(biāo)簽；標(biāo)簽粘貼的位置、格式、

內(nèi)容等不統(tǒng)一，標(biāo)簽上信息不完整：

3）不明確辦公系統(tǒng)、郵件系統(tǒng)有哪些相關(guān)的光、堿類存儲介質(zhì)；辦公系統(tǒng)采用一塊活

動硬盤定期進(jìn)行數(shù)據(jù)備份，該活動硬盤完全由系統(tǒng)管理員個人保管，管理不規(guī)范：

4）機(jī)房內(nèi)無防盜報警裝置或系統(tǒng)；

5）在機(jī)房過渡區(qū)存有大量空紙箱等易燃物，帶來火災(zāi)隱患，影響通過順暢。

2.4.1.2網(wǎng)絡(luò)安全

1）網(wǎng)絡(luò)設(shè)備存在著多人共用賬號進(jìn)行維護(hù)管理的情況；

2）網(wǎng)絡(luò)設(shè)備通過用戶名/口令方式進(jìn)行登錄身份鑒別，未采用雙因子等強(qiáng)身份鑒別技

術(shù)；

3）缺少網(wǎng)絡(luò)準(zhǔn)入控制措施。

2.4.13主機(jī)安全

1）操作系統(tǒng)均使用系統(tǒng)默認(rèn)的管理員賬戶，容易被冒用：管理員賬戶口令復(fù)雜度未形

成規(guī)范化、文檔化要求；口令長時間不更換；

2）服務(wù)器操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)未為每個用戶分配不同的用戶名，管理人員共用管理

賬戶，一旦出現(xiàn)安全問題，無法落實(shí)責(zé)任到個人：

3）服務(wù)器本地登錄只通過“用戶名/口令”方式進(jìn)行身份鑒別，遠(yuǎn)程登錄限制了登錄

終端地址，但也僅通過“用戶名/口令”這一種方式鑒別用戶身份，未實(shí)現(xiàn)雙因子

或更強(qiáng)的身份鑒別要求；

4）應(yīng)依據(jù)“三權(quán)分立”原則設(shè)置管理權(quán)限體系，即設(shè)置安全管理員、系統(tǒng)管理員、審

計(jì)管理員等，根據(jù)管理員角色賦予相應(yīng)的功能權(quán)限，避免出現(xiàn)超級用戶；

5）無論是Windows還是Linux服務(wù)器操作系統(tǒng)，均使用系統(tǒng)默認(rèn)的管理員賬號進(jìn)行維

護(hù)管理，未重命名系統(tǒng)默認(rèn)賬戶或采用自定義賬戶：

6）服務(wù)器和重要終端上并未安裝專門的主機(jī)審計(jì)類產(chǎn)品，存在著審計(jì)信息不完整、不

全面的問撅：

7）操作系統(tǒng)的審計(jì)主要依賴操作系統(tǒng)自身的審計(jì)三志功能，對審計(jì)記錄并無任何額外

的保護(hù)措施，無法阻止被刪除、修改；

8）服務(wù)器上未部署檢測和防范入侵行為的安全防^措施；

9）服務(wù)器上未部署對重要程序完整性進(jìn)行檢測和恢復(fù)的安全防護(hù)措施；

10）服務(wù)器上無對用戶系統(tǒng)資源占用進(jìn)行限制的技術(shù)措施：

應(yīng)用安全

I）辦公系統(tǒng)的用戶通過用戶名/口令方式登錄XXXX的辦公門戶，未采用雙因子身份認(rèn)

證；

郵件系統(tǒng)的管理員賬戶通過口令和動態(tài)口令雙因子方式進(jìn)行登錄身份鑒別，普通業(yè)

務(wù)用戶則只通過用戶名/口令方式進(jìn)行身份鑒別，未采用雙因子身份認(rèn)證。郵件系

統(tǒng)其實(shí)內(nèi)置有綁定動態(tài)密碼登錄的安全功能，不過這樣會對郵件系統(tǒng)使用的便捷性

和習(xí)慣帶來很大影響，因此應(yīng)先對郵件系統(tǒng)是否需要雙因子身份認(rèn)證功能進(jìn)行討論

確認(rèn)，然后再確定是否開啟該安全策略；

2）辦公系統(tǒng)中無任何設(shè)置敏感標(biāo)記或重要程度的功能；

3）辦公系統(tǒng)暫無審計(jì)功能；

郵件系統(tǒng)有針對管理員操作行為的審計(jì)功能；普通業(yè)務(wù)用戶有登錄日志及收發(fā)口

志，且設(shè)有備檔系統(tǒng)，對收發(fā)的所有郵件均有留檔；

4）郵件系統(tǒng)提供記住用戶名、記住密碼的功能，存在著被他人未經(jīng)認(rèn)證即可登錄的可

能；

5）辦公系統(tǒng)暫無數(shù)據(jù)原發(fā)成功驗(yàn)證功能；

6）辦公系統(tǒng)暫無數(shù)據(jù)接收成功驗(yàn)證功能；

7）辦公系統(tǒng)具備防止單個賬戶多重登錄限制功能，但未啟用；

8）辦公系統(tǒng)無任何系統(tǒng)服務(wù)水平檢測功能；郵件系統(tǒng)會檢測空間容量，當(dāng)小于一定數(shù)

值則會只提供基本的郵件收發(fā)功能，不會再自動存檔，不會進(jìn)行報警；

2.4.1.5數(shù)據(jù)安全及備份恢復(fù)

1）辦公系統(tǒng)和郵件系統(tǒng)均通過SSL協(xié)議進(jìn)行數(shù)據(jù)傳輸，可以保證數(shù)據(jù)傳輸?shù)耐暾裕?/p>

但出現(xiàn)完整性錯誤時，無恢復(fù)機(jī)制；

2）辦公系統(tǒng)和郵件系統(tǒng)均通過SSL協(xié)議進(jìn)行數(shù)據(jù)的傳輸保存，可以檢測數(shù)據(jù)的完整

性，但出現(xiàn)完整性錯誤時，無恢復(fù)機(jī)制；

3）目前辦公系統(tǒng)中的數(shù)據(jù)，正文、附件等內(nèi)容保存在系統(tǒng)的應(yīng)用服務(wù)器中，應(yīng)用服務(wù)

器中的數(shù)據(jù)通過人工方式每周一次備份在移動硬盤中，備份數(shù)據(jù)只保留一次；系統(tǒng)

數(shù)據(jù)庫中的數(shù)據(jù)，通過數(shù)據(jù)庫備份工具，每天一次自動進(jìn)行備份，備份數(shù)據(jù)保存在

數(shù)據(jù)庫服務(wù)器本地，保留最近7天數(shù)據(jù)；

4）辦公系統(tǒng)無異地備份措施；

5）辦公系統(tǒng)目前已經(jīng)出現(xiàn)不規(guī)律的系統(tǒng)慢等問題；

安全管理制度

1）暫未制定信息安全管理的總體方針、綱領(lǐng)、策略；

2）已經(jīng)編制了《信息安全管理辦法》，且內(nèi)容基本能夠覆蓋辦公系統(tǒng)和郵件系統(tǒng)日常

的安全管理內(nèi)容，但該管理辦法當(dāng)前尚處于擬定狀態(tài)，并未正式發(fā)布和實(shí)施；

3）現(xiàn)在己經(jīng)有了《應(yīng)用系統(tǒng)事業(yè)部日常巡檢管理辦法》、《應(yīng)用系統(tǒng)事業(yè)部運(yùn)維管理辦

法》、axxx總部辦公系統(tǒng)運(yùn)維服務(wù)規(guī)范手冊》等幾個管理規(guī)范方面的文件，這個

文件為運(yùn)營團(tuán)隊(duì)內(nèi)部文件，并未在公司層面正式發(fā)布;且操作規(guī)程文件覆蓋不完整;

4）已經(jīng)建立了一些信息安全管理制度、規(guī)范及相關(guān)文件，但制度、規(guī)范文件覆蓋不完

整；制度規(guī)范文件并未形成體系化的安全管理制度體系；

5）安全管理制度格式?jīng)]有統(tǒng)一要求；未進(jìn)行版本控制；

6）針對管理制度文件定期進(jìn)行合理性和適用性審定工作，并未規(guī)范化和制度化；

7）無安全管理制度定期或不定期進(jìn)行檢查審定的機(jī)制，制度一經(jīng)發(fā)布基本不會再修

改，只有當(dāng)適用性太差時，才會重新制定和發(fā)布新標(biāo)準(zhǔn)；

安全管理機(jī)構(gòu)

1）沒有明確、具體的職能部門負(fù)責(zé)信息安全管理工作；暫未設(shè)置專門的信息安全崗位;

暫未有明確的信息安全崗位的工作職責(zé)說明；

2）暫未設(shè)立指導(dǎo)和管理信息安全工作的委員會或領(lǐng)導(dǎo)小組；

3）目前的日常運(yùn)維工作中，有一些是與系統(tǒng)的安全性、可用性相關(guān)的，但這些安全運(yùn)

維動作并不是完全由安全管理員完成，而是由相應(yīng)的管理員各自完成；而且有些關(guān)

鍵性的安全運(yùn)維動作并不在當(dāng)前的日常運(yùn)維工作范圍內(nèi)，比如服務(wù)器操作系統(tǒng)的補(bǔ)

丁升級，辦公系統(tǒng)和郵件系統(tǒng)服務(wù)器的補(bǔ)丁升級策略是關(guān)閉的，目前最新的補(bǔ)丁打

到了2012年6月;

4）暫無規(guī)范化、制度化的定期開展安全技術(shù)措施有效性、安全配置與安全策略一致性、

安全管理制度執(zhí)行情況檢查、核查的要求；

5）無信息安全方面的檢查，沒有相關(guān)配套的安全檢查表格、報告、數(shù)據(jù)等；

6）無安全審核和安全檢杳制度規(guī)范；無安全檢查農(nóng)告；無安全檢查報告通報機(jī)制；

人員安全管理

1）目前XXXX內(nèi)部只有涉密人員及涉及信息安全項(xiàng)目的合作廠商的現(xiàn)場服務(wù)人員簽署

保密協(xié)議；

2）暫無針對安全技能及安全認(rèn)知方面的考核及相關(guān)的制度要求；

3）暫無對關(guān)鍵崗位工作人員進(jìn)行全面安全審查和技能考核方面的制度要求，只是在人

員入職的時候做背景調(diào)查和安全技能考核；

4）R前暫無安全考核機(jī)制，因此也沒有安全考核結(jié)果需要記錄；在人員入職試用期結(jié)

束時會有考核，該考核結(jié)果會由人力資源部門留存；

5）每年XXXX保密辦會開展保密方面的培訓(xùn)，無其他安全意識、崗位技能等方面的培

訓(xùn)；有時會將內(nèi)部管理崗位人員外送參加培訓(xùn)，或請相關(guān)廠商開展培訓(xùn)；、

6）目前在組織內(nèi)部只有針對涉密方面的安全獎懲制度和措施（OXXX安全保密管理獎

懲辦法》），未涉密方面則沒有任何安全責(zé)任、獎懲措施方面的規(guī)章制度或書面規(guī)定;

7）暫無對要求定期開展安全教育和培訓(xùn)方面的書面規(guī)定或規(guī)章制度；

8）暫未開展過相應(yīng)的安全教育和培訓(xùn)，無結(jié)果日」汜錄:

9）暫無針對外部人訪問的具體范圍、系統(tǒng)、設(shè)備等進(jìn)行明確規(guī)定的規(guī)章制度或書面文

件；

2.4.1.9系統(tǒng)建設(shè)管理

1）暫無明確的工程實(shí)施方面的管理制度；

2.4.1.10系統(tǒng)運(yùn)維管理

1）暫無辦公區(qū)工作人員安全管理方面的規(guī)章制度；

2）暫無專門針對設(shè)備維護(hù)、維修方面的管理制度或規(guī)范文件；

3）暫無網(wǎng)絡(luò)安全管理制度或規(guī)范文件；

4）暫未有正式發(fā)布和執(zhí)行的針對系統(tǒng)安全的管理制度：

5）辦公系統(tǒng)和郵件系統(tǒng)有專門的系統(tǒng)管理員；系統(tǒng)管理員未按照安全、審計(jì)、系統(tǒng)等

方式再進(jìn)行細(xì)粒度的管理角色劃分，都只設(shè)有一個系統(tǒng)管理員：

6）暫無定期檢查日志和審計(jì)數(shù)據(jù)的行為和規(guī)范要求；

7）辦公系統(tǒng)和郵件系統(tǒng)的服務(wù)器上未安裝殺毒軟件;外來計(jì)算機(jī)或存儲設(shè)備接入內(nèi)部

網(wǎng)絡(luò)前未做病毒檢查，也無相關(guān)規(guī)范要求；

8）辦公系統(tǒng)和郵件系統(tǒng)服務(wù)器上未安裝殺毒軟件；

9）暫無惡意代碼軟件使用、規(guī)范和管理方面的管理制度或明確規(guī)定；

10）皆無備份及恢攵管理規(guī)章制度；

11）辦公系統(tǒng)和郵件系統(tǒng)并無明確的備份管理規(guī)范或制度性文件,并未對系統(tǒng)數(shù)據(jù)備份

制定明確的備份策略和恢復(fù)策略；備份策略應(yīng)包括數(shù)據(jù)備份放置的場所、文件命名

規(guī)則、介質(zhì)替換頻率及數(shù)據(jù)傳輸方法等；

12）沒有書面化的數(shù)據(jù)備份和恢復(fù)過程的文件；數(shù)據(jù)備份過程并未做記錄；

13）無明確的數(shù)據(jù)恢復(fù)程序，未定期檢查或測試備份介質(zhì)的有效性:針對數(shù)據(jù)備份恢復(fù),

沒有相應(yīng)的管理制度或規(guī)范文件；未對數(shù)據(jù)恢復(fù)過程進(jìn)行過實(shí)際的演練、操作；

14）暫未針對應(yīng)急預(yù)案開展過相關(guān)的培訓(xùn)；

2.4.2風(fēng)險評估分析安全需求

2.4.2.1身份鑒別

目前所有主機(jī)都采用操作系統(tǒng)賬戶口令方式進(jìn)行身份鑒別，一旦密碼丟失或出現(xiàn)字典攻

擊、暴力破解等攻擊，非授權(quán)人員即可非法登錄系統(tǒng)進(jìn)行操作，從而導(dǎo)致主機(jī)系統(tǒng)被非授權(quán)

登陸；

發(fā)現(xiàn)問題如下：

?目前所有主機(jī)都采用操作系統(tǒng)賬戶口令方式進(jìn)行身份鑒別，未采用兩種或兩種以上

的組合鑒別技術(shù)對管理用戶進(jìn)行身份鑒別；

?存在多人共用一個賬戶的情況；

?0A系統(tǒng)中主機(jī)未開啟密碼復(fù)雜度校驗(yàn)，密碼有效期采用系統(tǒng)默認(rèn)設(shè)置42天。郵

件系統(tǒng)、門戶系統(tǒng)密碼有效期為：99999天（永久有效），密碼最短長度為：5個

字符；

?所有主機(jī)均未開啟賬戶鎖定策略。

?OA系統(tǒng)中的3臺主機(jī)的管理用戶administrator均未重命名。

訪問控制

未能實(shí)現(xiàn)主客體標(biāo)記的強(qiáng)制訪問控制，缺少對服務(wù)器重要文件、重要目錄、程序、進(jìn)程

等資源的細(xì)粒度保護(hù)，有可能出現(xiàn)系統(tǒng)正常應(yīng)用程序和系統(tǒng)配置遭到篡改，且不能實(shí)現(xiàn)對主

客體標(biāo)記的細(xì)粒度審計(jì)，無法及時發(fā)現(xiàn)內(nèi)部運(yùn)維用戶對服務(wù)器重要數(shù)據(jù)的惡意操作、客體資

源濫用、破壞數(shù)據(jù)等行為。因此對于主體人員的權(quán)限、管理方面有待完善，內(nèi)部人員的日常

操作有待規(guī)范等，一旦安全事件發(fā)生時，無法追溯并定位真實(shí)的操作者，這種行為往往對系

統(tǒng)造成嚴(yán)重的后果；

發(fā)現(xiàn)問題如下：

?0A系統(tǒng)中的應(yīng)用服務(wù)器對0A業(yè)務(wù)目錄的訪問權(quán)限配置為：EveryOne完全控制，

權(quán)限過于寬泛，存在業(yè)務(wù)數(shù)據(jù)被惡意篡改，惡意刪除等風(fēng)險；

?OA系統(tǒng)中的所有主機(jī)均開啟了磁盤默認(rèn)共享，存在通過網(wǎng)絡(luò)竊取敏感數(shù)據(jù)的風(fēng)險;

?OA系統(tǒng)中的所有主機(jī)均未對semc.exe程序做權(quán)限控制，存在提權(quán)漏洞，惡意人員

無需知道管理員賬戶密碼即可獲取管理員權(quán)限；

?0A系統(tǒng)中的數(shù)據(jù)備份服務(wù)器上存在多余賬戶、未鎖定賬戶：aaa,lest等；

?門戶系統(tǒng)中的WebSphere程序包未單獨(dú)設(shè)置服務(wù)賬戶，而采用root用戶實(shí)施部署。

U.WebSphere應(yīng)用程序漏洞被利用時，將會直接獲取root權(quán)限：

?郵件系統(tǒng)、門戶系統(tǒng)未針對su命令配置使用權(quán)限，任何用戶僅需知道root密碼即

可切換root用戶，權(quán)限開放過于寬泛。

2.423安全審計(jì)

服務(wù)器自身的審計(jì)功能不能滿足等級保護(hù)國家標(biāo)準(zhǔn)的要求，作為用戶行為的追蹤審計(jì)，

一旦出現(xiàn)安全事件，無據(jù)可查，無據(jù)可依，無法追溯并定位真實(shí)的操作者；

發(fā)現(xiàn)問題如下：

?所有主機(jī)均開啟了操作系統(tǒng)自帶的審計(jì)功能，但未對審計(jì)進(jìn)程做防中斷措施，一旦

管理員密碼被竊，惡意人員即可中斷審計(jì)進(jìn)程，造成審計(jì)遺漏現(xiàn)象；

?郵件系統(tǒng)、門戶系統(tǒng)的審計(jì)口志root用戶可隨意更改，一旦root密碼被竊，惡意

人員即可中斷審計(jì)進(jìn)程，修改審計(jì)結(jié)果，影響審計(jì)日志的權(quán)威性；

2.4.2.4剩余信息保護(hù)

未實(shí)現(xiàn)剩余資源保護(hù)機(jī)制，一旦惡意攻擊者登錄服務(wù)器操作系統(tǒng)，還可以還原并重復(fù)上

一次用戶登錄的數(shù)據(jù)和操作，從而對服務(wù)器操作系統(tǒng)和重要數(shù)據(jù)造成破壞；

發(fā)現(xiàn)問題如下：

?0A系統(tǒng)中所有主機(jī)均未配置”不顯示上次登錄用戶名”，當(dāng)惡意人員嘗試登錄系

統(tǒng)系統(tǒng)時，可根據(jù)上次登錄的用戶名對系統(tǒng)進(jìn)行密碼暴力破解。

入侵防范

服務(wù)器操作系統(tǒng)長期沒有進(jìn)行補(bǔ)丁的修訂，處于極度危險狀態(tài)，外部攻擊者很可能會通

過操作系統(tǒng)自身漏洞進(jìn)行攻擊，甚至導(dǎo)致整個業(yè)務(wù)系統(tǒng)癱瘓。

部分主機(jī)未遵循最小化安裝原則，啟用了無用的服務(wù)，加大系統(tǒng)資源消耗的同時提升了

系統(tǒng)面臨的風(fēng)險。

發(fā)現(xiàn)問題如下：

?OA系統(tǒng)中的應(yīng)用服務(wù)器上安裝了無用軟件WPS辦公軟件，容易被惡意人員利用

WPS的漏洞對服務(wù)器實(shí)現(xiàn)跳板攻擊。

?0A系統(tǒng)使用windowsserver2003版本的操作系統(tǒng)，微軟在2015年7月14日已宣

布停止對該操作系統(tǒng)的更新支持：

?0A系統(tǒng)的數(shù)據(jù)庫備份服務(wù)器自從系統(tǒng)安裝后，未更新過任何補(bǔ)丁。

?OA系統(tǒng)的應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器最新補(bǔ)丁更新至2012年6月8號，之后的

上百個補(bǔ)丁未更新。

?門戶系統(tǒng)應(yīng)用服務(wù)器、0A系統(tǒng)的數(shù)據(jù)庫備份服務(wù)器未開啟自身的網(wǎng)絡(luò)防火墻;

?門戶系統(tǒng)應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器未遵循最/,、化安裝原則安裝操作系統(tǒng)，默認(rèn)開

啟了不必要的藍(lán)牙服務(wù)，打印服務(wù)，增加了系統(tǒng)面臨的風(fēng)險。

惡意代碼防范

部分服務(wù)器未使用殺毒軟件或其他惡意代碼防護(hù)軟件，缺乏主動防護(hù)惡意代碼機(jī)制，病

毒和木馬可以潛入或運(yùn)行在操作系統(tǒng)，造成可信的應(yīng)用程序和代碼被惡意篡改；

發(fā)現(xiàn)問題如下：

?除0A系統(tǒng)中數(shù)據(jù)庫服務(wù)器外，其他所有主機(jī)均未部署殺毒軟件或其他惡意代碼防

護(hù)軟件，不具備惡意代碼防范的能力。

2.4.2.7資源控制

在服務(wù)器資源控制方面暫時未采用監(jiān)控管理的手段,無法實(shí)時地了解設(shè)備運(yùn)行狀況和端

口使用情況，一旦設(shè)備出現(xiàn)問題，無法及時發(fā)現(xiàn)并定位問題所在點(diǎn)，無法作出及時的措施避

免攻擊帶來的損失；

發(fā)現(xiàn)問題如下：

?所有主機(jī)均未采用資源監(jiān)控措施；

?所有主機(jī)未對主機(jī)資源針對用戶進(jìn)行合理分配；

?郵箱系統(tǒng)、門戶系統(tǒng)未做超時鎖定操作終端的配置，無法保護(hù)用戶操作環(huán)境。

3等級保護(hù)總體設(shè)計(jì)

3.1方案設(shè)計(jì)原則

等級保護(hù)是國家信息安全設(shè)計(jì)的重要政策，其核心是對信息系統(tǒng)分等級、依標(biāo)準(zhǔn)進(jìn)行設(shè)

計(jì)、管理和監(jiān)督。安全等級保護(hù)設(shè)計(jì)，應(yīng)當(dāng)以適度安全為核心，以重點(diǎn)保護(hù)為原則，從業(yè)務(wù)

的角度出發(fā)，重點(diǎn)保護(hù)業(yè)務(wù)應(yīng)用，在方案設(shè)計(jì)中應(yīng)當(dāng)遵循以下的原則：

＞適度安全原則

任何信息系統(tǒng)都不能做到絕對的安全，等級保護(hù)安全體系的設(shè)計(jì)，必須在安全需求、安

全風(fēng)險和安全成本之間進(jìn)行平衡和折中，過低的安全保護(hù)無法滿足業(yè)務(wù)系統(tǒng)實(shí)際的安全要

求：過高的安全保護(hù)則必然導(dǎo)致設(shè)計(jì)成本大幅增加，系統(tǒng)復(fù)雜性和運(yùn)維、學(xué)習(xí)成本大幅提高，

整個系統(tǒng)環(huán)境面臨的技術(shù)風(fēng)險也同樣大幅提高。

適度安全是等級保護(hù)設(shè)計(jì)的初衷，因此在進(jìn)行等級保護(hù)設(shè)計(jì)的過程中，一方面要嚴(yán)格遵

循《基本要求》，從基礎(chǔ)網(wǎng)絡(luò)安全、邊界安全、終端系統(tǒng)安全、服務(wù)端系統(tǒng)安全、應(yīng)用安全、

數(shù)據(jù)安全與備份恢復(fù)、安全管理中心等方面進(jìn)行安全設(shè)計(jì)，保障系統(tǒng)的機(jī)密性、完整性和可

用性，另外也要綜合成本的角度，針對辦公系統(tǒng)和郵件系統(tǒng)的實(shí)際風(fēng)險，設(shè)計(jì)相應(yīng)的安全保

護(hù)強(qiáng)度，并按照保護(hù)強(qiáng)度進(jìn)行安全防護(hù)系統(tǒng)的設(shè)計(jì)，從而有效控制成本。

＞重點(diǎn)保護(hù)原則

根據(jù)重要性程度的不司，有重點(diǎn)有針對性的進(jìn)行安全保護(hù)，集中資源優(yōu)先保護(hù)涉及核心

業(yè)務(wù)或關(guān)鍵信息資產(chǎn)的組件。

＞技術(shù)、管理并重原則

信息安全問題從來就不是單純的技術(shù)問題，把防范黑客入侵和病毒感染理解為信息安全

問題的全部是片面的，僅通過部署安全產(chǎn)品很難完全保護(hù)辦公系統(tǒng)和郵件系統(tǒng)規(guī)避所有面臨

的安全風(fēng)險和威脅，必須技術(shù)與管理相結(jié)合，通過管理手段對非法安全行為進(jìn)行威懾，保證

安全技術(shù)措施的落實(shí)和執(zhí)行，這樣才能確保安全體系的有效性。

＞分區(qū)分域設(shè)計(jì)原則

分區(qū)分域是信息安全保護(hù)的有效措施。根據(jù)業(yè)務(wù)功能、訪問行為、重要性程度以及安全

需求等因素，將辦公系統(tǒng)和郵件系統(tǒng)劃分為不同的安全域，通過技術(shù)手段將不同的安全域進(jìn)

行安全隔離，對安全域之間的訪問行為進(jìn)行隔離控制，能夠有效的提高重要信息資產(chǎn)的安全

性。通過安全域的劃分，也可以防止一些非法訪問行為在整網(wǎng)龕延。

＞標(biāo)準(zhǔn)化原則

辦公系統(tǒng)和郵件系統(tǒng)的安全防護(hù)體系，將嚴(yán)格依據(jù)《基本要求》、《設(shè)計(jì)技術(shù)要求》等技

術(shù)標(biāo)準(zhǔn)進(jìn)行規(guī)劃設(shè)計(jì)和集成設(shè)計(jì)。

＞動態(tài)調(diào)整原則

信息安全問題不是靜態(tài)的，它會隨著業(yè)務(wù)功能、組織策略、組織架構(gòu)、辦公系統(tǒng)及郵件

系統(tǒng)的操作流程的改變而改變，因此必須要根據(jù)這些變化，及時調(diào)整安全防護(hù)措施。

3.2方案設(shè)計(jì)思想

1）構(gòu)建符合等級保護(hù)思想的安全支撐體系

隨著計(jì)算機(jī)科學(xué)技術(shù)的不斷發(fā)展，計(jì)算機(jī)產(chǎn)品的不斷增加，信息系統(tǒng)也變得越來越復(fù)雜。

但是無論如何發(fā)展，任何一個信息系統(tǒng)都由計(jì)算環(huán)境、區(qū)域邊界、通信網(wǎng)絡(luò)三個層次組成。

計(jì)算環(huán)境是用戶的工作環(huán)境，由完成信息存儲與處理的計(jì)算機(jī)系統(tǒng)硬件和系統(tǒng)軟件以及外部

設(shè)備及其連接部件組成，計(jì)算環(huán)境的安全是辦公系統(tǒng)和郵件系統(tǒng)安全的核心，是授權(quán)和訪問

控制的源頭；區(qū)域邊界是計(jì)算環(huán)境的邊界，對進(jìn)入和流出計(jì)算環(huán)境的信息實(shí)施控制和保護(hù)；

通信網(wǎng)絡(luò)是計(jì)算環(huán)境之間實(shí)現(xiàn)信息傳輸功能的部分。在這三個環(huán)節(jié)，如果每一個使用者都是

經(jīng)過認(rèn)證和授權(quán)的，其操作都是符合規(guī)定的，那么就不會產(chǎn)生攻擊性的事故，就能保證信息

安全。

2）建立科學(xué)實(shí)用的全程訪問控制機(jī)制

訪問控制機(jī)制是信息系統(tǒng)中敏感信息保護(hù)的核心，依據(jù)《等級劃分準(zhǔn)則》，三級信息系

統(tǒng)安全保護(hù)環(huán)境的設(shè)計(jì)策略，應(yīng)“提供有關(guān)安全策略模駕、數(shù)據(jù)標(biāo)記以及主體對客體強(qiáng)制訪

問控制”的相關(guān)要求?；凇耙粋€中心支撐下的三重保障體系結(jié)構(gòu)”的安全保護(hù)環(huán)境，構(gòu)造

非形式化的安全策略模型，對主、客體進(jìn)行安全標(biāo)記，并以此為基礎(chǔ)，按照訪問控制規(guī)則實(shí)

現(xiàn)對所有主體及其所控制的客體的強(qiáng)制訪問控制。由安全管理中心統(tǒng)一制定和下發(fā)訪問控制

策略，在安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)實(shí)施統(tǒng)一的全程訪問控制，阻止對非

授權(quán)用戶的訪問行為以及授權(quán)用戶的非授權(quán)訪問行為。

3）加強(qiáng)源頭控制，實(shí)現(xiàn)基礎(chǔ)核心層的縱深防御

終端是一切不安全問題的根源，終端安全是保障辦公系統(tǒng)和郵件系統(tǒng)安全的基礎(chǔ)，如果

在終端實(shí)施積極防御、綜合防范，努力消除不安全問題的根源，那么重要信息就不會從終端

泄露出去，病毒、木馬也無法入侵終端，內(nèi)部惡意用戶更是無法從網(wǎng)內(nèi)攻擊辦公系統(tǒng)和郵件

系統(tǒng)，防范內(nèi)部用戶攻擊的問題迎刃而解。安全操作系統(tǒng)是終端安全的核心和基礎(chǔ)。如果沒

有安全操作系統(tǒng)的支撐，終端安全就亳無保障。實(shí)現(xiàn)基礎(chǔ)核心層的縱深防御需要高安全等級

操作系統(tǒng)的支撐，并以此為基礎(chǔ)實(shí)施深層次的人、技術(shù)和操作的控制。

4）面向應(yīng)用，構(gòu)建安全應(yīng)用支撐平臺

辦公系統(tǒng)和郵件系統(tǒng)是本次項(xiàng)目的安全保護(hù)目標(biāo)，應(yīng)以應(yīng)用安全為核心構(gòu)建整個信息安

全防護(hù)體系，所有的安全措施，都應(yīng)該圍繞著“應(yīng)用安全”這一核心目標(biāo)進(jìn)行規(guī)劃和設(shè)計(jì)。

確保應(yīng)用系統(tǒng)安全、可靠、穩(wěn)定運(yùn)行，同時確保系統(tǒng)中流轉(zhuǎn)的關(guān)鍵信息、敏感信息的安全。

通過可信計(jì)算的基礎(chǔ)保障機(jī)制建立可信應(yīng)用環(huán)境，通過資源隔離限制特定進(jìn)程對特定文

件的訪問權(quán)限，從而將應(yīng)用服務(wù)隔離在一個受保護(hù)的環(huán)境中，不受外界的干擾，確保應(yīng)用服

務(wù)相關(guān)的客體資源不會被非授權(quán)用戶訪問。輸入輸出安全檢查截獲并分析用戶和應(yīng)用服務(wù)之

間的交互請求，防范非法的輸入和輸出。

3?3總體安全框架

信息系統(tǒng)等級保護(hù)安全體系設(shè)計(jì)工作是安全技術(shù)手段和安全管理措施的結(jié)合，以物理安

全為基礎(chǔ)，信息安全技術(shù)體系和信息安全管理體系作為整體安全支撐，達(dá)到風(fēng)險評估和等級

保護(hù)螺旋上升，持續(xù)改進(jìn)的效果。安全體系總體架構(gòu)見下圖：

安全管理體系

管理機(jī)構(gòu)人員管理管理制度應(yīng)急響應(yīng)

事前預(yù)防事中處理事后究責(zé)完善加強(qiáng)

風(fēng)安全管理技術(shù)

等

險

安全技術(shù)體系級

評

安全計(jì)算環(huán)境安全區(qū)域邊界安全通信網(wǎng)絡(luò)保

估

護(hù)

系統(tǒng)管理安全管理審計(jì)管理

安全管理中心

物理安