網(wǎng)絡(luò)安全等保三級(jí)建設(shè)整改方案 網(wǎng)絡(luò)安全等級(jí)保護(hù)第三級(jí)建設(shè)整改方案

1、某單位信息安全等級(jí)保護(hù)（三級(jí)）網(wǎng)絡(luò)安全等級(jí)保護(hù)（第三級(jí)）建設(shè)/整改方案等保2.0網(wǎng)絡(luò)安全等級(jí)保護(hù)（第三級(jí)）建設(shè)/整改方案等保2.0目錄 TOC o 1-5 h z HYPERLINK l bookmark40 o Current Document 第一章項(xiàng)目概述81.1項(xiàng)目概述81.2項(xiàng)目建設(shè)背景8法律要求91.2.2政策要求111.3項(xiàng)目建設(shè)目標(biāo)及內(nèi)容111.3.1項(xiàng)目建設(shè)目標(biāo)11建設(shè)內(nèi)容12 HYPERLINK l bookmark45 o Current Document 第二章現(xiàn)狀與差距分析132.1現(xiàn)狀概述132.1.1信息系統(tǒng)現(xiàn)狀132.2現(xiàn)狀與差距分析162.2.1物理安全現(xiàn)狀與

2、差距分析162.2.2網(wǎng)絡(luò)安全現(xiàn)狀與差距分析242.2.3主機(jī)安全現(xiàn)狀與差距分析 372.2.4應(yīng)用安全現(xiàn)狀與差距分析 492.2.5數(shù)據(jù)安全現(xiàn)狀與差距分析612.2.6安全管理現(xiàn)狀與差距分析642.3安全技術(shù)需求692.3.1物理和環(huán)境安全需求692.3.2網(wǎng)絡(luò)和通信安全需求71網(wǎng)絡(luò)安全等級(jí)保護(hù)（第三級(jí)）建設(shè)/整改方案等保2.0 網(wǎng)絡(luò)安全等級(jí)保護(hù)（第三級(jí)）建設(shè)/整改方案等保2.0 2.3.3設(shè)備和計(jì)算安全需求722.3.4應(yīng)用和數(shù)據(jù)安全需求732.4安全管理需求752.4.1安全策略和管理制度752.4.2安全管理機(jī)構(gòu)和人員762.4.3安全建設(shè)管理772.4.4安全運(yùn)維管理772.5綜合整

3、改建議792.5.1技術(shù)措施綜合整改建議792.5.2安全管理綜合整改建議95 HYPERLINK l bookmark58 o Current Document 第三章安全建設(shè)目標(biāo)97 HYPERLINK l bookmark61 o Current Document 第四章方案總體設(shè)計(jì)984.1方案設(shè)計(jì)原則984.1.1分區(qū)分域防護(hù)原則984.1.2均衡性保護(hù)原則994.1.3技術(shù)與管理相結(jié)合994.1.4動(dòng)態(tài)調(diào)整與可擴(kuò)展994.1.5網(wǎng)絡(luò)安全三同步原則994.2方案設(shè)計(jì)思路99 HYPERLINK l bookmark64 o Current Document 第五章安全整體規(guī)劃1025

4、.1建設(shè)指導(dǎo)102指導(dǎo)原則1025.1.2安全防護(hù)體系設(shè)計(jì)整體架構(gòu)1035.2安全技術(shù)規(guī)劃 1055.2.1安全建設(shè)規(guī)劃拓樸圖1055.2.2安全設(shè)備功能1065.3建設(shè)目標(biāo)規(guī)劃113第六章安全策略和方針設(shè)計(jì) 1146.1總體安全方針和策略設(shè)計(jì)114總體安全方針設(shè)計(jì)1146.1.2總體安全策略設(shè)計(jì) 1156.2安全策略具體設(shè)計(jì)1166.2.1物理和環(huán)境安全策略1176.2.2網(wǎng)絡(luò)和通信安全策略 1186.2.3設(shè)備和計(jì)算安全策略1196.2.4應(yīng)用和數(shù)據(jù)安全策略121第七章整體安全建設(shè)設(shè)計(jì)1227.1物理和環(huán)境安全建設(shè)1227.1.1機(jī)房場地的選擇122機(jī)房出入控制 1227.1.3防盜竊和防

5、破壞123防雷擊123防火1237.1.6防水和防潮1237.1.7防靜電1247.1.8 溫濕度控制 1247.1.9電力供應(yīng)1247.1.10電磁防護(hù)1247.2安全技術(shù)體系設(shè)計(jì)方案1257.2.1安全計(jì)算環(huán)境防護(hù)設(shè)計(jì)1257.2.2安全區(qū)域邊界防護(hù)設(shè)計(jì)1307.2.3安全通信網(wǎng)絡(luò)防護(hù)設(shè)計(jì)1357.2.4安全管理中心設(shè)計(jì)1367.3安全管理體系設(shè)計(jì)方案1377.3.1安全策略和管理制度設(shè)計(jì)1377.3.2安全管理機(jī)構(gòu)和人員管理設(shè)計(jì)139安全建設(shè)管理139安全運(yùn)維管理 140 HYPERLINK l bookmark79 o Current Document 第八章安全防護(hù)部署設(shè)計(jì)方案151

6、8.1異常流量及抗DDoS攻擊系統(tǒng)151產(chǎn)品特性 151產(chǎn)品部署1578.2下一代防火墻/UTM系統(tǒng)157產(chǎn)品特性157產(chǎn)品部署1618.3應(yīng)用交付控制系統(tǒng)162產(chǎn)品特性162產(chǎn)品部署1668.4入侵防御系統(tǒng)166產(chǎn)品特性166產(chǎn)品部署 168VPN綜合安全網(wǎng)關(guān)169產(chǎn)品特性1698.5.2產(chǎn)品部署1748.6入侵檢測系統(tǒng)174產(chǎn)品特性 174產(chǎn)品部署 1758.7APT攻擊檢測系統(tǒng)175產(chǎn)品特性1758.7.2產(chǎn)品部署1808.8無線安全管理系統(tǒng)180產(chǎn)品特性 1808.8.2產(chǎn)品部署1828.9終端安全管理系統(tǒng)182產(chǎn)品特性1828.9.2產(chǎn)品部署184漏洞掃描系統(tǒng)1858.10.1產(chǎn)品特

7、性1858.10.2產(chǎn)品部署187Web應(yīng)用安全防護(hù)系統(tǒng) 1878.11.1產(chǎn)品特性1878.11.2產(chǎn)品部署 189主機(jī)安全加固系統(tǒng)190安全運(yùn)維網(wǎng)關(guān)1908.13.1產(chǎn)品特性1908.13.2產(chǎn)品部署194安全配置核查系統(tǒng)1948.14.1產(chǎn)品特性1948.14.2產(chǎn)品部署198網(wǎng)絡(luò)管理監(jiān)控系統(tǒng)198安全審計(jì)系統(tǒng)198Web 應(yīng)用審計(jì)1988.16.2數(shù)據(jù)庫審計(jì)2028.16.3綜合日志審計(jì)208綜合安全管理平臺(tái)2108.17.1產(chǎn)品特性2108.17.2產(chǎn)品部署222專業(yè)安全服務(wù)2238.18.1安全風(fēng)險(xiǎn)評(píng)估2238.18.2滲透測試服務(wù)2248.18.3安全加固服務(wù)2258.18.4代

8、碼審計(jì)服務(wù)2268.18.5應(yīng)急處理服務(wù)227 HYPERLINK l bookmark163 o Current Document 第九章方案與等保要求對(duì)應(yīng)229 HYPERLINK l bookmark166 o Current Document 第十章工程建設(shè)234工程一期建設(shè)234 HYPERLINK l bookmark169 o Current Document 10.1.1區(qū)域劃分234 HYPERLINK l bookmark177 o Current Document 10.1.2網(wǎng)絡(luò)環(huán)境改造 23510.1.3網(wǎng)絡(luò)邊界安全加固23510.1.4網(wǎng)絡(luò)及安全設(shè)備部署23610.

9、1.5安全管理體系建設(shè)服務(wù) 270 HYPERLINK l bookmark283 o Current Document 10.1.6安全加固服務(wù)28810.1.7應(yīng)急預(yù)案和應(yīng)急演練29610.1.8安全等保認(rèn)證協(xié)助服務(wù)296工程二期建設(shè)29710.2.1安全運(yùn)維管理平臺(tái)(soc) 297APT高級(jí)威脅分析平臺(tái) 301 HYPERLINK l bookmark326 o Current Document 第十一章 方案預(yù)估效果303工程預(yù)期效果304第一章項(xiàng)目概述項(xiàng)目概述某單位是人民政府的職能部門，貫徹執(zhí)行國家有關(guān)機(jī)關(guān)事務(wù) 工作的方針政策，擬訂省機(jī)關(guān)事務(wù)工作的政策、規(guī)劃和規(guī)章制度 并組織實(shí)施，

10、負(fù)責(zé)省機(jī)關(guān)事務(wù)的管理、保障、服務(wù)工作。在面對(duì)現(xiàn)在越來越嚴(yán)重的網(wǎng)絡(luò)安全態(tài)勢下，某單位積極響應(yīng) 國家相關(guān)政策法規(guī)，積極開展信息安全等級(jí)保護(hù)建設(shè)。對(duì)自有網(wǎng) 絡(luò)安全態(tài)勢進(jìn)行自我核查，補(bǔ)齊等保短板，履行安全保護(hù)義務(wù)。項(xiàng)目目標(biāo)：打造一個(gè)可信、可管、可控、可視的安全網(wǎng)絡(luò)環(huán) 境，更好的為機(jī)關(guān)各部門及領(lǐng)導(dǎo)者和公務(wù)人員提供工作和生活條 件，更好的保障各項(xiàng)行政活動(dòng)正常進(jìn)行。項(xiàng)目建設(shè)背景機(jī)關(guān)后勤管理工作因?yàn)槠湔畠?nèi)部服務(wù)的特殊性，一直比較 少地為社會(huì)公眾所關(guān)注或重視。機(jī)關(guān)后勤管理包括對(duì)物資、財(cái)務(wù)、 環(huán)境、生活以及各種服務(wù)項(xiàng)目在內(nèi)的事務(wù)工作的管理，是行政機(jī) 關(guān)辦公室管理的重要一環(huán)，為機(jī)關(guān)各部門以及領(lǐng)導(dǎo)者和公務(wù)人員 提供

11、工作和生活條件，是保障各項(xiàng)行政活動(dòng)正常進(jìn)行的物質(zhì)基礎(chǔ)。隨著這幾年地區(qū)經(jīng)濟(jì)的高速發(fā)展和政府行政職能分配管理的 需要，使機(jī)關(guān)事務(wù)管理工作的管理范圍和管理對(duì)象也相應(yīng)的擴(kuò)展 和增加，管理工作變得十分繁重。尤其是在新增的一些業(yè)務(wù)管理 工作方面，如對(duì)政府機(jī)關(guān)單位固定資產(chǎn)的管理、房屋出租、分配 的管理等，同時(shí)，隨著這幾年國家對(duì)資產(chǎn)管理的重視，信息化建 設(shè)從原來注重財(cái)務(wù)管理信息化逐漸向國有資產(chǎn)管理信息化發(fā)展， 作為機(jī)關(guān)事務(wù)管理的機(jī)構(gòu)，正承擔(dān)著這樣一種責(zé)任和使命。同時(shí) 在面對(duì)現(xiàn)在不容樂觀的整體安全態(tài)勢環(huán)境下，開展機(jī)關(guān)事務(wù)管理 的信息化建設(shè)與信息安全建設(shè)，是整個(gè)社會(huì)和國家發(fā)展的必然趨 勢。1.2.1法律要求在20

12、17年6月1日頒發(fā)的中華人民共和國網(wǎng)絡(luò)安全法中 明確規(guī)定了法律層面的網(wǎng)絡(luò)安全。具體如下：“沒有網(wǎng)絡(luò)安全，就沒有國家安全”，網(wǎng)絡(luò)安全法第二 十一條明確規(guī)定“國家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度”。各網(wǎng)絡(luò)運(yùn) 營者應(yīng)當(dāng)按照要求，開展網(wǎng)絡(luò)安全等級(jí)保護(hù)的定級(jí)備案、等級(jí)測 評(píng)、安全建設(shè)、安全檢查等工作。除此之外，網(wǎng)絡(luò)安全法中 還從網(wǎng)絡(luò)運(yùn)行安全、關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)行安全、網(wǎng)絡(luò)信息安全 等對(duì)以下方面做了詳細(xì)規(guī)定：網(wǎng)絡(luò)日志留存：第二十一條還規(guī)定，網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)制定內(nèi) 部安全管理制度和操作規(guī)程，確定網(wǎng)絡(luò)安全負(fù)責(zé)人，落實(shí)網(wǎng)絡(luò)安 全保護(hù)責(zé)任;采取防計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò) 安全行為的技術(shù)措施;采取監(jiān)測、記錄網(wǎng)

13、絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事 件的技術(shù)措施，留存不少于六個(gè)月的相關(guān)網(wǎng)絡(luò)日志;采取數(shù)據(jù)分類、 重要數(shù)據(jù)備份和加密等措施。未履行上述網(wǎng)絡(luò)安全保護(hù)義務(wù)的， 會(huì)被依照此條款責(zé)令整改，拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后 果的，處一萬元以上十萬元以下罰款，對(duì)直接負(fù)責(zé)的主管人員處 五千元以上五萬元以下罰款。漏洞處置：第二十五條規(guī)定，網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)制定網(wǎng)絡(luò)安全 事件應(yīng)急預(yù)案，及時(shí)處置系統(tǒng)漏洞、計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng) 絡(luò)侵入等安全風(fēng)險(xiǎn);在發(fā)生危害網(wǎng)絡(luò)安全的事件時(shí)，立即啟動(dòng)應(yīng)急 預(yù)案，采取相應(yīng)的補(bǔ)救措施，并按照規(guī)定向有關(guān)主管部門報(bào)告。 沒有網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案的，沒有及時(shí)處置高危漏洞、網(wǎng)絡(luò)攻 擊的;在發(fā)生網(wǎng)絡(luò)安全事件時(shí)

14、處置不恰當(dāng)?shù)?，?huì)被依照此條款責(zé)令 整改，拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處一萬元以上 十萬元以下罰款，對(duì)直接負(fù)責(zé)的主管人員處五千元以上五萬元以 下罰款。容災(zāi)備份：第三十四條第三項(xiàng)規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施單位 對(duì)重要系統(tǒng)和數(shù)據(jù)庫進(jìn)行容災(zāi)備份。沒有對(duì)重要系統(tǒng)和數(shù)據(jù)庫進(jìn) 行容災(zāi)備份的會(huì)被依照此條款責(zé)令改正。應(yīng)急演練：第三十四條第四項(xiàng)規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施單位 應(yīng)當(dāng)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，并定期進(jìn)行演練。沒有網(wǎng)絡(luò)安 全事件預(yù)案的，或者沒有定期演練的，會(huì)被依照此條進(jìn)行責(zé)令改 正。安全檢測評(píng)估：第三十八條規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營 者應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對(duì)其網(wǎng)絡(luò)的安全性和可能 存在的風(fēng)

15、險(xiǎn)每年至少進(jìn)行一次檢測評(píng)估，并將檢測評(píng)估情況和改 進(jìn)措施報(bào)送相關(guān)負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門。每 年沒有進(jìn)行安全檢測評(píng)估的單位要被責(zé)令改正。1.2.2政策要求為切實(shí)加強(qiáng)門戶網(wǎng)站安全管理和防護(hù)，保障網(wǎng)站安全穩(wěn)定運(yùn) 行，國家非常重視，陸續(xù)頒布以下文件：關(guān)于加強(qiáng)黨政機(jī)關(guān)網(wǎng) 站安全管理的通知（中網(wǎng)辦發(fā)文2014） 1號(hào)）、關(guān)于做好黨 政機(jī)關(guān)網(wǎng)站開辦審核、資格復(fù)核和網(wǎng)站標(biāo)識(shí)管理工作的通知（中央編辦發(fā)2014） 69號(hào)）,公安部、中央網(wǎng)信辦、中編辦、 工信部等四部門關(guān)于印發(fā)黨政機(jī)關(guān)、事業(yè)單位和國有企業(yè)互 聯(lián)網(wǎng)網(wǎng)站安全專項(xiàng)整治行動(dòng)方案的通知（公信安2015） 2562 號(hào)）1.3項(xiàng)目建設(shè)目標(biāo)及內(nèi)容

16、1-3.1項(xiàng)目建設(shè)目標(biāo)依據(jù)國家信息安全等級(jí)保護(hù)相關(guān)指導(dǎo)規(guī)范，對(duì)某單位信息系 統(tǒng)、基礎(chǔ)設(shè)施和骨干網(wǎng)絡(luò)按照等保三級(jí)進(jìn)行安全建設(shè)規(guī)劃，對(duì)安 全建設(shè)進(jìn)行統(tǒng)一規(guī)劃和設(shè)備選型，實(shí)現(xiàn)方案合理、組網(wǎng)簡單、擴(kuò) 容靈活、標(biāo)準(zhǔn)統(tǒng)一、經(jīng)濟(jì)適用的建設(shè)目標(biāo)。依據(jù)信息安全等級(jí)保護(hù)三級(jí)標(biāo)準(zhǔn)，按照“統(tǒng)一規(guī)劃、統(tǒng)一標(biāo) 準(zhǔn)、重點(diǎn)明確、合理建設(shè)”的基本原則，在物理安全、網(wǎng)絡(luò)安全、 主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全等幾個(gè)方面進(jìn)行安全規(guī)劃與建設(shè), 確?！熬W(wǎng)絡(luò)建設(shè)合規(guī)、安全防護(hù)到位”。方案目標(biāo)是讓某單位的骨干網(wǎng)絡(luò)、相關(guān)應(yīng)用系統(tǒng)達(dá)到安全等 級(jí)保護(hù)第三級(jí)要求。經(jīng)過建設(shè)后使整體網(wǎng)絡(luò)形成一套完善的安全 防護(hù)體系，提升整體信息安全防護(hù)能力。1.3.2建

17、設(shè)內(nèi)容本項(xiàng)目以某單位骨干網(wǎng)絡(luò)、信息系統(tǒng)等級(jí)保護(hù)建設(shè)為主線， 以讓相關(guān)信息系統(tǒng)達(dá)到安全等級(jí)保護(hù)第三級(jí)要求。借助網(wǎng)絡(luò)產(chǎn)品、 安全產(chǎn)品、安全服務(wù)、管理制度等手段，建立全網(wǎng)的安全防控管 理服務(wù)體系，從而全面提高某單位的工作效率，提升信息化運(yùn)用 水平。建設(shè)內(nèi)容包括某單位內(nèi)網(wǎng)骨干網(wǎng)絡(luò)、基礎(chǔ)設(shè)施和信息系統(tǒng)等。網(wǎng)絡(luò)安全等級(jí)保護(hù)（第三級(jí)）建設(shè)/整改方案等保2.0網(wǎng)絡(luò)安全等級(jí)保護(hù)（第三級(jí)）建設(shè)/整改方案等保2.0第二章現(xiàn)狀與差距分析2.1 現(xiàn)狀概述2.1.1信息系統(tǒng)現(xiàn)狀本次項(xiàng)目中某單位外網(wǎng)項(xiàng)目中涉及的設(shè)備有：1）服務(wù)器N4臺(tái)2）網(wǎng)絡(luò)設(shè)備若干 路由器、交換機(jī)、ap3）安全設(shè)備有：1臺(tái)防火墻（過保）、WAF （過保）

18、、2臺(tái) ips （dmz區(qū)前IPS己過保）、上網(wǎng)行為管理（過保）、 防病毒網(wǎng)關(guān)、綠盟安全審計(jì)系統(tǒng)、360天擎終端殺毒（只具有殺毒模塊）4）存儲(chǔ)設(shè)備：火星艙容災(zāi)備份網(wǎng)絡(luò)系統(tǒng)現(xiàn)狀某單位的網(wǎng)絡(luò)系統(tǒng)整體構(gòu)架采用三層層次化模型網(wǎng)絡(luò)架構(gòu)， 即由核心層、匯聚層和接入層組成。網(wǎng)絡(luò)現(xiàn)狀：核心層：核心層是網(wǎng)絡(luò)的高速交換主干，對(duì)整個(gè)網(wǎng)絡(luò)的連通 起到至關(guān)重要的作用。某單位內(nèi)網(wǎng)核心，由1臺(tái)DPX安全業(yè)務(wù)網(wǎng) 關(guān)組成。匯聚層：匯聚層是網(wǎng)絡(luò)接入層和核心層的“中介”，是在工 作站接入核心層前先做匯聚，以減輕核心層設(shè)備的負(fù)荷。某單位 內(nèi)網(wǎng)中，由迪普和H3C交換機(jī)作為內(nèi)網(wǎng)的有線匯聚和內(nèi)網(wǎng)的無線 匯聚交換機(jī)。接入層：接入層向本地網(wǎng)段

19、提供工作站接入。某單位內(nèi)網(wǎng)網(wǎng) 絡(luò)中，由各種品牌的交換機(jī)作為終端前端接入交換機(jī)，為各區(qū)域 提供接入。在DPX核心交換機(jī)上劃分VLAN和網(wǎng)關(guān)，整體網(wǎng)絡(luò)中部署了防 病毒網(wǎng)關(guān)、IPS、UAG、DDL數(shù)據(jù)容災(zāi)備份系統(tǒng)。0A系統(tǒng)連接至無 線匯聚交換機(jī)。其他各系統(tǒng)旁路至核心交換機(jī)上。安全現(xiàn)狀：在整體網(wǎng)絡(luò)中部署有相應(yīng)的安全設(shè)備做安全防護(hù)，但部分安 全設(shè)備過保，整體網(wǎng)絡(luò)安全防護(hù)體系不夠完善、區(qū)域劃分不合理, 現(xiàn)狀拓?fù)鋱D如下：圖表1現(xiàn)狀拓?fù)鋱D主機(jī)系統(tǒng)現(xiàn)狀某單位的業(yè)務(wù)系統(tǒng)OA、文件交換箱等，部署于多臺(tái)服務(wù)器上。服務(wù)器為機(jī)架式服務(wù)器和塔式服務(wù)器，固定于標(biāo)準(zhǔn)機(jī)柜與固定位 置，并進(jìn)行標(biāo)識(shí)區(qū)分。服務(wù)器操作系統(tǒng)全都采用微軟的

20、Windows Server系列操作系統(tǒng)。某單位辦公終端約為300臺(tái)，win7為主，XP系統(tǒng)占少數(shù)，主 機(jī)系統(tǒng)沒有進(jìn)行過定期更新補(bǔ)丁，安裝有360天擎殺毒軟件應(yīng)用系統(tǒng)現(xiàn)狀某單位的應(yīng)用系統(tǒng)主要為以下業(yè)務(wù)系統(tǒng)：0A、文件交換箱等。 也包含一些其他的辦公軟件。2.2 現(xiàn)狀與差距分析2.2.1物理安全現(xiàn)狀與差距分析某單位機(jī)房建設(shè)過程中參照B級(jí)機(jī)房標(biāo)準(zhǔn)參考進(jìn)行統(tǒng)一規(guī)劃, 存在的物理安全隱患較少。但仍需參照以下標(biāo)準(zhǔn)進(jìn)行核查、整改; 根據(jù)信息安全等級(jí)保護(hù)（第三級(jí)）中對(duì)物理安全相關(guān)項(xiàng)（防火、 防雷、防水、防磁及電力供應(yīng)等）存在些許差距。詳見下表差距 分析。圖表2物理安全現(xiàn)狀號(hào)要求指標(biāo)項(xiàng)是否符合現(xiàn)狀分析備注物理

21、位置的選擇（G3）本項(xiàng)要求包括：a）機(jī)房和辦公 場地應(yīng)選擇在具有 防震、防風(fēng)和防雨 等能力的建筑內(nèi)；符合要求滿足b）機(jī)房場地應(yīng) 避免設(shè)在建筑物的符合要求滿足號(hào)要求指標(biāo)項(xiàng)是否符合現(xiàn)狀分析備注高層或地下室，以 及用水設(shè)備的下層 或隔壁。物理訪問控制（G3）本項(xiàng)要求包括：a）機(jī)房出入口 應(yīng)安排專人值守， 控制、鑒別和記錄 進(jìn)入的人員；不符 合要求不滿足無相關(guān)記錄b）需進(jìn)入機(jī)房 的來訪人員應(yīng)經(jīng)過 申請(qǐng)和審批流程， 并限制和監(jiān)控其活 動(dòng)范圍；不符 合要求不滿足有監(jiān)控，但是沒有申請(qǐng)和審批流程C）應(yīng)對(duì)機(jī)房劃 分區(qū)域進(jìn)行管理， 區(qū)域和區(qū)域之間設(shè) 置物理隔離裝置， 在重要區(qū)域前設(shè)置 交付或安裝等過渡基本符合要求

22、依據(jù)業(yè)務(wù)系 統(tǒng)進(jìn)行了機(jī)柜間 的區(qū)域區(qū)分，但 未在重要區(qū)域前 設(shè)置物理隔離裝 置。在重要 區(qū)域前設(shè)置 物理隔離裝 置。號(hào)要求指標(biāo)項(xiàng)是否符合現(xiàn)狀分析備注區(qū)域；d）重要區(qū)域 應(yīng)配置電子門禁系 統(tǒng)，控制、鑒別和 記錄進(jìn)入的人員。符合要求基本滿足防盜竊和防破壞（G3）本項(xiàng)要求包括：a）應(yīng)將主要設(shè) 備放置在機(jī)房內(nèi)；符合要求滿足b）應(yīng)將設(shè)備或 主要部件進(jìn)行固 定，并設(shè)置明顯的 不易除去的標(biāo)記；符合要求滿足c）應(yīng)將通信線 纜鋪設(shè)在隱蔽處， 可鋪設(shè)在地下或管 道中；不符 合要求不滿足有部分線纜架設(shè)在半空中d）應(yīng)對(duì)介質(zhì)分 類標(biāo)識(shí)，存儲(chǔ)在介符合要求滿足號(hào)要求指標(biāo)項(xiàng)是否符合現(xiàn)狀分析備注質(zhì)庫或檔案室中；e）應(yīng)利用光、

23、電等技術(shù)設(shè)置機(jī)房 防盜報(bào)警系統(tǒng)；符合要求滿足f）應(yīng)對(duì)機(jī)房設(shè) 置監(jiān)控報(bào)警系統(tǒng)。符合要求滿足防雷擊（G3）本項(xiàng)要求包括：a）機(jī)房建筑應(yīng) 設(shè)置避雷裝置；符合要求滿足b）應(yīng)設(shè)置防雷 保安器，防止感應(yīng) 雷；符合要求滿足c）機(jī)房應(yīng)設(shè)置 交流電源地線。符合要求滿足防火（G3）本項(xiàng)要求包括：a）機(jī)房應(yīng)設(shè)置 火災(zāi)自動(dòng)消防系 統(tǒng)，能夠自動(dòng)檢測基本符合要求安裝有氣體滅火裝置號(hào)要求指標(biāo)項(xiàng)是否符合現(xiàn)狀分析備注火情、自動(dòng)報(bào)警， 并自動(dòng)滅火；b）機(jī)房及相關(guān) 的工作房間和輔助 房應(yīng)采用具有耐火 等級(jí)的建筑材料；符合要求滿足c）機(jī)房應(yīng)采取 區(qū)域隔離防火措 施，將重要設(shè)備與 其他設(shè)備隔離開。不符 合要求不滿足防水和防潮（G3）本

24、項(xiàng)要求包括：a）水管安裝， 不得穿過機(jī)房屋頂 和活動(dòng)地板下；符合要求滿足b）應(yīng)采取措施 防止雨水通過機(jī)房 窗戶、屋頂和墻壁 滲透；符合要求滿足c）應(yīng)采取措施符合滿足號(hào)要求指標(biāo)項(xiàng)是否符合現(xiàn)狀分析備注防止機(jī)房內(nèi)水蒸氣 結(jié)露和地下積水的 轉(zhuǎn)移與滲透；要求d）應(yīng)安裝對(duì)水 敏感的檢測儀表或 組件，對(duì)機(jī)房進(jìn)行 防水檢測和報(bào)警。符合要求滿足防靜電（G3）本項(xiàng)要求包括：a）主要設(shè)備應(yīng) 采用必要的接地防 靜電措施；符合要求滿足b）機(jī)房應(yīng)采用 防靜電地板。符合要求滿足溫濕度控制（G3）本項(xiàng)要求包括：機(jī)房應(yīng)設(shè)置 溫、濕度自動(dòng)調(diào)節(jié) 設(shè)施，使機(jī)房溫、 濕度的變化在設(shè)備符合要求安裝有動(dòng)力 環(huán)境監(jiān)控系統(tǒng)， 建議機(jī)房日常溫

25、度控制在10號(hào)要求指標(biāo)項(xiàng)是否符合現(xiàn)狀分析備注運(yùn)行所允許的范圍 之內(nèi)。28C,濕度3070% o電力供應(yīng)（A3）本項(xiàng)要求包括：a）應(yīng)在機(jī)房供 電線路上配置穩(wěn)壓 器和過電壓防護(hù)設(shè) 備；基本符合要求滿足b）應(yīng)提供短期 的備用電力供應(yīng)， 至少滿足主要設(shè)備 在斷電情況下的 正常運(yùn)行要求；符合要求設(shè)置UPS電 池供電，并至少 保證斷電時(shí)主要 設(shè)備在滿負(fù)荷情 況下4小時(shí)的正 常運(yùn)行。c）應(yīng)設(shè)置冗余 或并行的電力電纜 線路為計(jì)算機(jī)系統(tǒng) 供電；不符 合要求只有一條出 口線，極容易出 現(xiàn)單點(diǎn)故障增加線 纜，做到冗 余d）應(yīng)建立備用 供電系統(tǒng)。符合要求滿足號(hào)要求指標(biāo)項(xiàng)是否符合現(xiàn)狀分析備注0電磁防護(hù)（S3）本項(xiàng)要求包

26、括：a）應(yīng)采用接地 方式防止外界電磁 干擾和設(shè)備寄生耦 合干擾；符合要求滿足b）電源線和通 信線纜應(yīng)隔離鋪 設(shè)，避免互相干 擾；符合要求滿足C）應(yīng)對(duì)關(guān)鍵設(shè) 備和磁介質(zhì)實(shí)施電 磁屏蔽。符合要求滿足2.2.2網(wǎng)絡(luò)安全現(xiàn)狀與差距分析由于某單位前期已經(jīng)行相關(guān)安全建設(shè)，仍有相關(guān)安全防護(hù)建 設(shè)不到位，主要表現(xiàn)出以下問題點(diǎn)：網(wǎng)絡(luò)結(jié)構(gòu)基本清晰，但細(xì)節(jié)規(guī)劃不合理；新增移動(dòng)接入鏈路，面對(duì)日益突增的網(wǎng)絡(luò)安全事件缺乏有效防御手段及應(yīng)急機(jī) 制；骨干網(wǎng)絡(luò)架構(gòu)規(guī)劃不合理，核心交換區(qū)無冗余，安全防護(hù) 區(qū)域劃分不明晰，不能對(duì)不同區(qū)域間防護(hù)措施、技術(shù)手段 進(jìn)行統(tǒng)一規(guī)劃，不同區(qū)域?qū)阂夤舻姆婪赌芰Σ灰?。詳見下表差距分析：圖表3網(wǎng)

27、絡(luò)安全現(xiàn)狀號(hào)要求指標(biāo)項(xiàng)是否符合差距分析備注結(jié)構(gòu)安全（G3）本項(xiàng)要求包括：a）應(yīng)保證主 要網(wǎng)絡(luò)設(shè)備的業(yè) 務(wù)處理能力具備 冗余空間，滿足 業(yè)務(wù)高峰期需不符 合要求域網(wǎng)核心 交換設(shè)備均采 用單鏈路、單 設(shè)備，無冗余 空間，一旦出域網(wǎng)核心設(shè) 備至少有二臺(tái)， 采用多鏈路號(hào)要求指標(biāo)項(xiàng)是否符合差距分析備注要；現(xiàn)設(shè)備故障則 會(huì)出現(xiàn)單點(diǎn)故 障，無法有效 保障對(duì)外開放 的業(yè)務(wù)安全穩(wěn) 定的運(yùn)行。b）應(yīng)保證網(wǎng) 絡(luò)各個(gè)部分的帶 寬滿足業(yè)務(wù)高峰 期需要；符合要求滿足C）應(yīng)在業(yè)務(wù) 終端與業(yè)務(wù)服務(wù) 器之間進(jìn)行路由 控制建立安全的 訪問路徑；符合要求滿足d）應(yīng)繪制與 當(dāng)前運(yùn)行情況相 符的網(wǎng)絡(luò)拓?fù)浣Y(jié) 構(gòu)圖；不符 合要求暫無拓?fù)?

28、圖我們會(huì)在工 程結(jié)束后重新繪 制網(wǎng)絡(luò)拓?fù)鋱D。號(hào)要求指標(biāo)項(xiàng)是否符合差距分析備注e）應(yīng)根據(jù)各 部門的工作職 能、重要性和所 涉及信息的重要 程度等因素，劃 分不同的子網(wǎng)或 網(wǎng)段，并按照方 便管理和控制的 原則為各子網(wǎng)、 網(wǎng)段分配地址 段；基本符合要求整體網(wǎng)絡(luò)結(jié) 構(gòu)中巳按照需求 進(jìn)行子網(wǎng)劃分。 但使用中存在混 亂，沒有按規(guī)定 使用。待本次項(xiàng) 目建設(shè)進(jìn)行梳 理、嚴(yán)格限制f）應(yīng)避免將 重要網(wǎng)段部署在 網(wǎng)絡(luò)邊界處且直 接連接外部信息 系統(tǒng)，重要網(wǎng)段 與其他網(wǎng)段之間 采取可靠的技術(shù) 隔離手段；基本符合要求滿足訪問控制（G3）號(hào)要求指標(biāo)項(xiàng)是否符合差距分析備注本項(xiàng)要求包括：a）應(yīng)在網(wǎng)絡(luò) 邊界部署訪問控 制設(shè)備，

29、啟用訪 問控制功能；不符 合要求僅在dmz 區(qū)部署防火墻 且防火墻已過 保，其他區(qū)域 未部署訪問控 制設(shè)備建議在互聯(lián) 網(wǎng)出口與服務(wù)器 區(qū)前部署防火墻 進(jìn)邊界隔離與訪 問控制b）應(yīng)能根據(jù) 會(huì)話狀態(tài)信息為 數(shù)據(jù)流提供明確 的允許/拒絕訪問 的能力，控制粒 度為端口級(jí)；符合要求滿足c）應(yīng)對(duì)進(jìn)出 網(wǎng)絡(luò)的信息內(nèi)容 進(jìn)行過濾，實(shí)現(xiàn) 對(duì)應(yīng)用層HTTP、 FTP、 TELNET、 SMTP、POP3 等協(xié) 議命令級(jí)的控符合要求滿足號(hào)要求指標(biāo)項(xiàng)是否符合差距分析備注制；d）應(yīng)在會(huì)話 處于非活躍一定 時(shí)間或會(huì)話結(jié)束 后終止網(wǎng)絡(luò)連 接；符合要求滿足e）應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及 網(wǎng)絡(luò)連接數(shù)；不符 合要求未部署流 量控制設(shè)

30、備， 無法根據(jù)所承 載的業(yè)務(wù)和帶 寬的實(shí)際情況 確定網(wǎng)絡(luò)最大 流量數(shù)和網(wǎng)絡(luò) 連接數(shù)并進(jìn)行 管理。部署上網(wǎng)行為管理及流控f）重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙；不符 合要求未部署訪 問控制設(shè)備的 區(qū)域無法采用 包過濾或傳輸實(shí)現(xiàn)重要網(wǎng) 段地址進(jìn)行有效 保護(hù)防止地址欺 騙。號(hào)要求指標(biāo)項(xiàng)是否符合差距分析備注控制協(xié)議，進(jìn) 行邊界訪問控 制，防止地址 欺騙，應(yīng)對(duì)網(wǎng) 絡(luò)中的廣播、 組播進(jìn)行必要 的控制。g）應(yīng)按用戶 和系統(tǒng)之間的允 許訪問規(guī)則，決 定允許或拒絕用 戶對(duì)受控系統(tǒng)進(jìn) 行資源訪問，控 制粒度為單個(gè)用 戶；不符 合要求沒有在服 務(wù)器區(qū)前和網(wǎng) 絡(luò)出口設(shè)置防 火墻、認(rèn)證網(wǎng) 關(guān)或授權(quán)管理 系統(tǒng)，可對(duì)單 個(gè)

31、用戶的訪問 進(jìn)行策略控 制。新增2臺(tái)防 火墻實(shí)現(xiàn)不同安 全域之間的訪問 控制h）應(yīng)限制具 有撥號(hào)訪問權(quán)限 的用戶數(shù)量。不符 合要求不涉及安全審計(jì)（G3）號(hào)要求指標(biāo)項(xiàng)是否符合差距分析備注本項(xiàng)要求包括：a）應(yīng)對(duì)網(wǎng)絡(luò) 系統(tǒng)中的網(wǎng)絡(luò)設(shè) 備運(yùn)行狀況、網(wǎng) 絡(luò)流量、用戶行 為等進(jìn)行日志記 錄；不符 合要求有上網(wǎng)行 為管理設(shè)備（過保），但 是并沒有辦法 對(duì)網(wǎng)絡(luò)設(shè)備運(yùn) 行狀況日志記 錄，而部署綜 合安全日志審 計(jì)系統(tǒng)可對(duì)來 自不同廠商的 安全設(shè)備、網(wǎng) 絡(luò)設(shè)備、主 機(jī)、操作系 統(tǒng)、數(shù)據(jù)庫系 統(tǒng)、用戶業(yè)務(wù) 系統(tǒng)的日志、 警報(bào)等信息匯 集到審計(jì)中 心，實(shí)現(xiàn)綜合部署綜合日 志審計(jì)系統(tǒng)可對(duì) 來白不同廠商的 安全設(shè)備、網(wǎng)絡(luò)

32、 設(shè)備、主機(jī)、操 作系統(tǒng)、數(shù)據(jù)庫 系統(tǒng)、用戶業(yè)務(wù) 系統(tǒng)的日志、警 報(bào)等信息匯集到 審計(jì)中心，實(shí)現(xiàn) 綜合安全審計(jì)。號(hào)要求指標(biāo)項(xiàng)是否符合差距分析備注安全審計(jì)。b）審計(jì)記錄 應(yīng)包括：事件的 日期和時(shí)間、用 戶、事件類型、 事件是否成功及 其他與審計(jì)相關(guān)的信息；符合要求滿足c）應(yīng)能夠根 據(jù)記錄數(shù)據(jù)進(jìn)行 分析，并生成審 計(jì)報(bào)表；不符合要求不滿足部署日志審計(jì)系統(tǒng)d）應(yīng)對(duì)審計(jì) 記錄進(jìn)行保護(hù)， 避免受到未預(yù)期 的刪除、修改或 覆蓋等。符合要求滿足安全審計(jì)日志記錄要求保存 至少半年以上。邊界完整性檢查（S3）本項(xiàng)要求包括:號(hào)要求指標(biāo)項(xiàng)是否符合差距分析備注a）應(yīng)能夠?qū)?非授權(quán)設(shè)備私自 聯(lián)到內(nèi)部網(wǎng)絡(luò)的 行為進(jìn)行檢查

33、， 準(zhǔn)確定出位置， 并對(duì)其進(jìn)行有效 阻斷；不符合要求可通終端 管理系統(tǒng)或ARP 綁定技術(shù)手段 實(shí)現(xiàn)可采用終端 管理系統(tǒng)等手段 進(jìn)行管理控制b）應(yīng)能夠?qū)?內(nèi)部網(wǎng)絡(luò)用戶私 自聯(lián)到外部網(wǎng)絡(luò) 的行為進(jìn)行檢 查，準(zhǔn)確定出位 置，并對(duì)其進(jìn)行 有效阻斷。不符 合要求可采用終端 管理系統(tǒng)等手段 進(jìn)行管理控制入侵防范（G3）本項(xiàng)要求包括：a）應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下 攻擊行為：端口基本符合要求出口處部 署有IPS入侵 防御號(hào)要求指標(biāo)項(xiàng)是否符合差距分析備注掃描、強(qiáng)力攻擊、木馬后門攻 擊、拒絕服務(wù)攻 擊、緩沖區(qū)溢出 攻擊、IP碎片攻 擊和網(wǎng)絡(luò)蠕蟲攻 -f-. AA- 山寸；b）當(dāng)檢測到 攻擊行為時(shí)，記 錄攻擊源IP、

34、攻 擊類型、攻擊目 的、攻擊時(shí)間， 在發(fā)生嚴(yán)重入侵 事件時(shí)應(yīng)提供報(bào) 警基本符合要求落實(shí)安全 審計(jì)系統(tǒng)報(bào)警 功能。惡意代碼防范（G3）本項(xiàng)要求包括：a）應(yīng)在網(wǎng)絡(luò) 邊界處對(duì)惡意代 碼進(jìn)行檢測和清符合要求滿足號(hào)要求指標(biāo)項(xiàng)是否符合差距分析備注除；b）應(yīng)維護(hù)惡 意代碼庫的升級(jí) 和檢測系統(tǒng)的更 新。符合要求網(wǎng)絡(luò)設(shè)備防護(hù)（G3）本項(xiàng)要求包括：a）應(yīng)對(duì)登錄 網(wǎng)絡(luò)設(shè)備的用戶 進(jìn)行身份鑒別；不符合要求沒有指定 專人進(jìn)行維 護(hù)。通過密碼 和用戶名進(jìn)行 身份鑒別，同 時(shí)也沒有部署 堡壘主機(jī)?？梢灾付▽?人維護(hù)網(wǎng)絡(luò)設(shè) 備，并通過用戶 名和密碼進(jìn)行 身份鑒別，同時(shí) 也可以部署堡壘 主機(jī)b）應(yīng)對(duì)網(wǎng)絡(luò) 設(shè)備的管理員登 錄地址

35、進(jìn)行限 制；不符 合要求對(duì)管理員 登陸地址沒有 限制。增添堡壘機(jī) 設(shè)備，這樣可以 有效對(duì)遠(yuǎn)程用戶 進(jìn)行管理。c）網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識(shí)應(yīng)唯不符 合要求網(wǎng)絡(luò)設(shè)備沒有唯一的標(biāo)重新對(duì)設(shè)備 進(jìn)行標(biāo)示。號(hào)要求指標(biāo)項(xiàng)是否符合差距分析備注zjs od）主要網(wǎng)絡(luò) 設(shè)備應(yīng)對(duì)同一用 戶選擇兩種或兩 種以上組合的鑒 別技術(shù)來進(jìn)行身 份鑒別；不符合耍求主要網(wǎng)絡(luò) 設(shè)備未對(duì)同一 用戶選擇兩種 或兩種以上組 合的鑒別技術(shù) 來進(jìn)行身份鑒 別；增設(shè)堡壘機(jī)e）身份鑒別 信息應(yīng)具有不易 被冒用的特點(diǎn)， 口令應(yīng)有復(fù)雜度 要求并定期更 換；不符 合要求密碼沒有 定期更換，復(fù) 雜度不夠用戶口令應(yīng) 12位以上，數(shù)字 和字母組成，至 少3個(gè)月更

36、換一 次。f）應(yīng)具有登 錄失敗處理功 能，可采取結(jié)束 會(huì)話、限制非法 登錄次數(shù)和當(dāng)網(wǎng) 絡(luò)登錄連接超時(shí)符合要求當(dāng)一次登 錄密碼錯(cuò)誤次 數(shù)超過6次， 應(yīng)能自動(dòng)關(guān)閉 并告警。號(hào)要求指標(biāo)項(xiàng)是否符合差距分析備注自動(dòng)退出等措施；g）當(dāng)對(duì)網(wǎng)絡(luò) 設(shè)備進(jìn)行遠(yuǎn)程管 理時(shí)，應(yīng)采取必 要措施防止鑒別 信息在網(wǎng)絡(luò)傳輸 過程中被竊聽；不符 合要求傳輸中進(jìn)行加密，可以 使用 IPsec VPN 技術(shù)h）應(yīng)實(shí)現(xiàn)設(shè)備特權(quán)用戶的權(quán) 限分離。不符 合要求網(wǎng)絡(luò)管理 員、系統(tǒng)管理 員和安全審計(jì) 員分開，并按 職責(zé)分工限制 各自權(quán)限，但 無技術(shù)手段控 制。部署堡壘機(jī) 控制用戶權(quán)限2.2.3主機(jī)安全現(xiàn)狀與差距分析某單位內(nèi)網(wǎng)主機(jī)終端已部署終

37、端殺毒軟件。終端主機(jī)安全現(xiàn)狀差距分析，如下：圖表4主機(jī)安全現(xiàn)狀號(hào)要求指標(biāo)項(xiàng)是否符合差距分析備注身份鑒別（S3）本項(xiàng)要求包括：a）應(yīng)對(duì)登錄 操作系統(tǒng)和數(shù)據(jù) 庫系統(tǒng)的用戶進(jìn) 行身份標(biāo)識(shí)和鑒 別；基本符 合要求沒有嚴(yán)格 通過賬號(hào)密 碼限制操作 系統(tǒng)和數(shù)據(jù) 庫系統(tǒng)的用 戶登陸，進(jìn) 行身份標(biāo)識(shí) 和鑒別；b）操作系統(tǒng) 和數(shù)據(jù)庫系統(tǒng)管 理用戶身份標(biāo)識(shí) 應(yīng)具有不易被冒 用的特點(diǎn)，口令不符合要求不滿足系統(tǒng)管理員 的登錄身份標(biāo)識(shí) 唯一，口令12 位以上，且數(shù)字 和字母大小寫組號(hào)要求指標(biāo)項(xiàng)是否符合差距分析備注應(yīng)右復(fù)雜度要求 并定期更換；合，每半年應(yīng)更 改一次。C）應(yīng)啟用登 錄失敗處理功 能，時(shí)采取結(jié)束 會(huì)話、限制非

38、法 登錄次數(shù)和自動(dòng) 退出等措施；符合要 求當(dāng)?shù)卿洿?數(shù)錯(cuò)誤超過6 次，應(yīng)自動(dòng) 退出并告 警。d）當(dāng)對(duì)服務(wù) 器進(jìn)行遠(yuǎn)程管理 時(shí)，應(yīng)采取必要 措施，防止鑒別 信息在網(wǎng)絡(luò)傳輸 過程中被竊聽；不符合要求沒有采用IPSec VPN 對(duì) 傳輸加密的 方法來保證 遠(yuǎn)程管理安 全可靠。采用IPSecVPN部署e）應(yīng)為操作 系統(tǒng)和數(shù)據(jù)庫系 統(tǒng)的不同用戶分 配不同的用戶 名，確保用戶名 具有唯一性。不符合要求不滿足號(hào)要求指標(biāo)項(xiàng)是否符合差距分析備注f）應(yīng)采用兩 種或兩種以上組 合的鑒別技術(shù)對(duì) 管理用戶進(jìn)行身 份鑒別。不符合 要求采用用戶 名密碼的鑒 別技術(shù)對(duì)管 理員進(jìn)行身 份鑒別。部署堡壘機(jī)訪問控制（S3）本項(xiàng)要求

39、包括：a）應(yīng)啟用訪 問控制功能，依 據(jù)安全策略控制 用戶對(duì)資源的訪 問；不符合要求不滿足b）應(yīng)根據(jù)管 理用戶的角色分 配權(quán)限，實(shí)現(xiàn)管 理用戶的權(quán)限分 離，僅授予管理 用戶所需的最小 權(quán)限；不符合 要求因只設(shè)置 了一個(gè)管理 員賬號(hào)，也 未通過技術(shù) 手段控制授 予所需要的 最小權(quán)限。部署堡壘 機(jī)，將網(wǎng)絡(luò)管理 員、系統(tǒng)管理員 和安全審計(jì)員分 離，通過技術(shù)手 段控制授予所需 要的最小權(quán)限。c）應(yīng)實(shí)現(xiàn)操不符合還是未修號(hào)要求指標(biāo)項(xiàng)是否符合差距分析備注作系統(tǒng)和數(shù)據(jù)庫 系統(tǒng)特權(quán)用戶的 權(quán)限分離；要求改的默認(rèn)口令修改口令d）應(yīng)嚴(yán)格限 制默認(rèn)帳戶的訪 問權(quán)限，重命名 系統(tǒng)默認(rèn)帳戶， 修改這些帳戶的 默認(rèn)口令；不符

40、合 要求不滿足e）應(yīng)及時(shí)刪 除多余的、過期 的帳戶，避免共 享帳戶的存在。基本符 合要求因只一個(gè) 賬戶，不存 在多余的賬 戶f）應(yīng)對(duì)重要信息資源設(shè)置敏 感標(biāo)記；不符合 要求未對(duì)重要 服務(wù)器部署 服務(wù)器加固 系統(tǒng)，采取 安全加固措 施，并設(shè)置 敏感標(biāo)記。對(duì)重要服務(wù) 器部署服務(wù)器加 固系統(tǒng)，采取安 全加固措施，并 設(shè)置敏感標(biāo)記號(hào)要求指標(biāo)項(xiàng)是否符合差距分析備注g）應(yīng)依據(jù)安 全策略嚴(yán)格控制 用戶對(duì)有敏感標(biāo) 記重要信息資源 的操作；不符合 要求不滿足安全審計(jì)（G3）本項(xiàng)要求包括：a）審計(jì)范圍 應(yīng)覆蓋到服務(wù)器 和重要客戶端上 的每個(gè)操作系統(tǒng) 用戶和數(shù)據(jù)庫用 戶；不符合 要求未部署數(shù) 據(jù)庫審計(jì)系 統(tǒng)，無法對(duì)

41、 服務(wù)器和重 要客戶端上 的每個(gè)操作 系統(tǒng)用戶和 數(shù)據(jù)庫用戶 進(jìn)行審計(jì)。部署日志審 計(jì)系統(tǒng)和數(shù)據(jù)庫 審計(jì)系統(tǒng)b）審計(jì)內(nèi)容 應(yīng)包括重要用戶 行為、系統(tǒng)資源 的異常使用和重不符合要求未部署數(shù)據(jù)庫審計(jì)系統(tǒng)，無法對(duì)重要用戶行部署日志審計(jì)系統(tǒng)和數(shù)據(jù)庫審計(jì)系統(tǒng)號(hào)要求指標(biāo)項(xiàng)是否符合差距分析備注要系統(tǒng)命令的使 用等系統(tǒng)內(nèi)重要 的安全相關(guān)事 件；為、系統(tǒng)資 源的異常使 用和重要系 統(tǒng)命令的使 用等系統(tǒng)內(nèi) 重要的安全 相關(guān)事件進(jìn) 行審計(jì)。C）審計(jì)記錄 應(yīng)包括事件的日 期、時(shí)間、類 型、主體標(biāo)識(shí)、 客體標(biāo)識(shí)和結(jié)果 等；不符合 要求未部署數(shù)據(jù)庫審計(jì)系 統(tǒng)，無法對(duì) 數(shù)據(jù)庫進(jìn)行 審計(jì)。部署日志審 計(jì)系統(tǒng)和數(shù)據(jù)庫 審計(jì)系統(tǒng)

42、d）應(yīng)能夠根 據(jù)記錄數(shù)據(jù)進(jìn)行 分析，并生成審 計(jì)報(bào)表；不符合要求未部署數(shù)據(jù)庫審計(jì)系 統(tǒng)，無法對(duì)異常行為實(shí) 時(shí)告警。部署日志審 計(jì)系統(tǒng)和數(shù)據(jù)庫 審計(jì)系統(tǒng)e）應(yīng)保護(hù)審不符合未部署數(shù)部署日志審號(hào)要求指標(biāo)項(xiàng)是否符合差距分析備注計(jì)進(jìn)程，避免受 到未預(yù)期的中 斷；要求據(jù)庫審計(jì)系 統(tǒng)。計(jì)系統(tǒng)和數(shù)據(jù)庫 審計(jì)系統(tǒng)f）應(yīng)保護(hù)審計(jì)記錄，避免受到未預(yù)期的刪除、修改或覆蓋 等。不符合要求未部署數(shù) 據(jù)庫審計(jì)系 統(tǒng)。（審計(jì) I己錄至少應(yīng) 保存半 年。）部署日志審 計(jì)系統(tǒng)和數(shù)據(jù)庫 審計(jì)系統(tǒng)剩余信息保護(hù)（S3）本項(xiàng)要求包括：a）應(yīng)保證操 作系統(tǒng)和數(shù)據(jù)庫 系統(tǒng)用戶的鑒別 信息所在的存儲(chǔ) 空間，被釋放或 再分配給其他用 戶前得到完

43、全清 除，無論這些信 息是存放在硬盤不符合 要求不滿足號(hào)要求指標(biāo)項(xiàng)是否符合差距分析備注上還是在內(nèi)存 中；b）應(yīng)確保系 統(tǒng)內(nèi)的文件、目 錄和數(shù)據(jù)庫記錄 等資源所在的存 儲(chǔ)空間，被釋放 或重新分配給其 他用戶前得到完 全清除。不符合 要求可在終端 Windows 操作 系統(tǒng)未啟用“關(guān)機(jī)前清 除虛擬內(nèi)存 頁面”功能 項(xiàng)。在終端Windows操作系 統(tǒng)啟用“關(guān)機(jī)前 清除虛擬內(nèi)存頁 面”功能項(xiàng)。入侵防范（G3）本項(xiàng)要求包括：a）應(yīng)能夠檢 測到對(duì)重要服務(wù) 器進(jìn)行入侵的行 為，能夠記錄入 侵的源IP、攻擊 的類型、攻擊的 目的、攻擊的時(shí) 間，并在發(fā)生嚴(yán)符合要 求己有ips入侵防御系統(tǒng)號(hào)要求指標(biāo)項(xiàng)是否符合差距

44、分析備注重入侵事件時(shí)提供報(bào)警；b）應(yīng)能夠?qū)?重要程序的完整 性進(jìn)行檢測，并 在檢測到完整性 受到破壞后具有 恢復(fù)的措施；不符合 要求未定期使 用完整性檢 查工具或腳 本對(duì)服務(wù)器 的重要程序 和文件進(jìn)行 檢查。定期使用完 整性檢查工具或 腳本對(duì)服務(wù)器的 重要程序和文件 進(jìn)行檢查。C）操作系統(tǒng) 應(yīng)遵循最小安裝 的原則，僅安裝 需要的組件和應(yīng) 用程序，并通過 設(shè)置升級(jí)服務(wù)器 等方式保持系統(tǒng) 補(bǔ)丁及時(shí)得到更O不符合 要求未通過技 術(shù)手段保持 系統(tǒng)補(bǔ)丁及 時(shí)得到更 新。增加終端管 理軟件模塊。惡意代碼防范（G3）本項(xiàng)要求包括:號(hào)要求指標(biāo)項(xiàng)是否符合差距分析備注a）應(yīng)安裝防 惡意代碼軟件， 并及時(shí)更新防惡

45、意代碼軟件版本 和惡意代碼庫；符合要 求滿足，安裝7 360天 擎b）主機(jī)防惡 意代碼產(chǎn)品應(yīng)具 有與網(wǎng)絡(luò)防惡意 代碼產(chǎn)品不同的 惡意代碼庫；符合要 求滿足，安裝了 360天擎c）應(yīng)支持防 惡意代碼的統(tǒng)一 管理。符合要 求滿足，安裝了 360天擎資源控制（A3）本項(xiàng)要求包括：a）應(yīng)通過設(shè) 定終端接入方 式、網(wǎng)絡(luò)地址范 圍等條件限制終 端登錄；不符合 要求通過賬號(hào) 密碼限制終 端登錄。通過增設(shè)堡 壘機(jī)對(duì)終端接入 進(jìn)行管理。號(hào)要求指標(biāo)項(xiàng)是否符合差距分析備注b）應(yīng)根據(jù)安 全策略設(shè)置登錄 終端的操作超時(shí) 鎖定；不符合 要求未部署終端管理系統(tǒng)對(duì)登錄終端進(jìn)行管理。部署終端管 理系統(tǒng)對(duì)登錄終 端進(jìn)行管理。c）

46、應(yīng)對(duì)重要 服務(wù)器進(jìn)行監(jiān) 視，包括監(jiān)視服 務(wù)器的CPU、硬 盤、內(nèi)存、網(wǎng)絡(luò) 等資源的使用情 況；不符合 要求沒有網(wǎng)絡(luò)管理系統(tǒng)可通過增加 網(wǎng)絡(luò)管理系統(tǒng)對(duì) 重要服務(wù)器進(jìn)行 監(jiān)視并對(duì)服務(wù)器 的運(yùn)行狀況異常 實(shí)時(shí)告警。d）應(yīng)限制單 個(gè)用戶對(duì)系統(tǒng)資 源的最大或最小 使用限度；不符合要求沒有網(wǎng)絡(luò)管理系統(tǒng)可通過增加 網(wǎng)絡(luò)管理系統(tǒng)對(duì) 重要服務(wù)器進(jìn)行 監(jiān)視并對(duì)服務(wù)器 的運(yùn)行狀況異常 實(shí)時(shí)告警。e）應(yīng)能夠?qū)ο到y(tǒng)的服務(wù)水平 降低到預(yù)先規(guī)定不符合要求不能進(jìn)行 報(bào)警可通過增加 網(wǎng)絡(luò)管理系統(tǒng)對(duì) 重要服務(wù)器進(jìn)行號(hào)要求指標(biāo)項(xiàng)是否符合差距分析備注的最小值進(jìn)行檢 測和報(bào)警。監(jiān)視并對(duì)服務(wù)器 的運(yùn)行狀況異常 實(shí)時(shí)告警。2.2.4應(yīng)用安

47、全現(xiàn)狀與差距分析某單位應(yīng)用系統(tǒng)根據(jù)國家信息安全等級(jí)保護(hù)（第三級(jí)）標(biāo)準(zhǔn) 在對(duì)應(yīng)用系統(tǒng)安全進(jìn)行分析時(shí)，發(fā)現(xiàn)應(yīng)用系統(tǒng)涉及到應(yīng)用系統(tǒng)的 運(yùn)行穩(wěn)定以及業(yè)務(wù)數(shù)據(jù)的安全可靠，故而安全防護(hù)技術(shù)手段如下:以業(yè)務(wù)系統(tǒng)自身通過代碼查錯(cuò)、規(guī)則設(shè)置、權(quán)限細(xì)化等方 法為主要手段，來滿足信息系統(tǒng)安全等級(jí)保護(hù)（第三級(jí)） 中應(yīng)用安全部分標(biāo)準(zhǔn)項(xiàng)（如身份鑒別、安全審計(jì)、剩余信 息保護(hù)、通信完整性、通信保密性、抗抵賴、軟件容錯(cuò)、 資源控制等）的要求部分標(biāo)準(zhǔn)項(xiàng)（如身份鑒別、訪問控制、安全審計(jì)、通信保 密性等）除可通過應(yīng)用系統(tǒng)進(jìn)行安全加強(qiáng)外，也可通過設(shè) 備進(jìn)行技術(shù)防護(hù)詳見下表差距分析：圖表5應(yīng)用安全現(xiàn)狀號(hào)要求指標(biāo)項(xiàng)是否符合差距分析備注身

48、份鑒別（S3）本項(xiàng)要求包括：a）應(yīng)提供專用的登錄控制模塊對(duì)不符合要未采用技術(shù)手段，提供專用增設(shè)堡壘機(jī)，通過號(hào)要求指標(biāo)項(xiàng)是否符合差距分析備注登錄用戶進(jìn)行身份 標(biāo)識(shí)和鑒別；求的登錄控制模塊 對(duì)登錄用戶的身 份進(jìn)行標(biāo)識(shí)和鑒 別。堡壘機(jī)用戶 登陸進(jìn)行身 份識(shí)別和鑒 別。b）應(yīng)對(duì)同一用 戶采用兩種或兩種 以上組合的鑒別技 術(shù)實(shí)現(xiàn)用戶身份鑒 別；符合要求C）應(yīng)提供用戶 身份標(biāo)識(shí)唯一和鑒 別信息復(fù)雜度檢查 功能，保證應(yīng)用系 統(tǒng)中不存在重復(fù)用 戶身份標(biāo)識(shí)，身份 鑒別信息不易被冒 用；符合要求d）應(yīng)提供登錄符號(hào)要求指標(biāo)項(xiàng)是W符合差距分析備注失敗處理功能，可 采取結(jié)束會(huì)話、限 制非法登錄次數(shù)和 自動(dòng)退出等措施；合

49、要求e）應(yīng)啟用身份 鑒別、用戶身份標(biāo) 識(shí)唯一性檢查、用 戶身份鑒別信息復(fù) 雜度檢查以及登錄 失敗處理功能，并 根據(jù)安全策略配置 相關(guān)參數(shù)?；痉?要求訪問控制（S3）本項(xiàng)要求包括：a）應(yīng)提供訪問 控制功能，依據(jù)安 全策略控制用戶對(duì) 文件、數(shù)據(jù)庫表等符合要求號(hào)要求指標(biāo)項(xiàng)是否符合差距分析備注客體的訪問；b）訪問控制的 覆蓋范圍應(yīng)包括與 資源訪問相關(guān)的主 體、客體及它們之 間的操作；符合耍求C）應(yīng)由授權(quán)主 體配置訪問控制策 略，并嚴(yán)格限制默 認(rèn)帳戶的訪問權(quán) 限；符合要求d）應(yīng)授予不同 帳戶為完成各自承 擔(dān)任務(wù)所需的最小 權(quán)限，并在它們之 間形成相互制約的 關(guān)系。符合耍求e）應(yīng)具有對(duì)重不對(duì)重要服務(wù)號(hào)

50、要求指標(biāo)項(xiàng)是W符合差距分析備注要信息資源設(shè)置敏 感標(biāo)記的功能；合要求器部署服務(wù)器加 固系統(tǒng)，采取安 全加固措施，并 設(shè)置敏感標(biāo)記。f）應(yīng)依據(jù)安全 策略嚴(yán)格控制用戶 對(duì)有敏感標(biāo)記重要 信息資源的操作；不合要求服務(wù)器加固 系統(tǒng)有實(shí)現(xiàn)文件 強(qiáng)制訪問控制、 注冊(cè)表強(qiáng)制訪問 控制、進(jìn)程強(qiáng)制 訪問控制、程序 授權(quán)控制、網(wǎng)絡(luò) 級(jí)訪問控制等功 能。安全審計(jì)（G3）本項(xiàng)要求包括：a）應(yīng)提供覆蓋 到每個(gè)用戶的安全 審計(jì)功能，對(duì)應(yīng)用基本符合 要求部署了安全審計(jì)系 統(tǒng)，對(duì)應(yīng)用系號(hào)要求指標(biāo)項(xiàng)是否符合差距分析備注系統(tǒng)重要安全事件進(jìn)行審計(jì)；統(tǒng)每個(gè)用戶 的安全事件 進(jìn)行記錄審 計(jì)。b）應(yīng)保證無法 單獨(dú)中斷審計(jì)進(jìn) 程，無法刪除

51、、修 改或覆蓋審計(jì)記 錄；基 本符合 要求未部署安全管理系統(tǒng)部署了 安全審計(jì)系 統(tǒng)c）審計(jì)記錄的 內(nèi)容至少應(yīng)包括事 件的日期、時(shí)間、 發(fā)起者信息、類 型、描述和結(jié)果 等；基本符合 要求部署了安全審計(jì)系 統(tǒng)d）應(yīng)提供對(duì)審 計(jì)記錄數(shù)據(jù)進(jìn)行統(tǒng)基 本符合 要求部署了安全審計(jì)系 統(tǒng)號(hào)要求指標(biāo)項(xiàng)是否符 合差距分析備注計(jì)、查詢、分析及 生成審計(jì)報(bào)表的功 能。剩余信息保護(hù)（S3）本項(xiàng)要求包括：a）應(yīng)保證用戶 鑒別信息所在的存 儲(chǔ)空間被釋放或再 分配給其他用戶前 得到完全清除，無 論這些信息是存放 在硬盤上還是在內(nèi) 存中；不符 合要求在終端Windows操作系 統(tǒng)中未啟用“不 顯示上次登錄 名”功能項(xiàng)?？稍诮K

52、端 Windows 操作系統(tǒng)啟 用“不顯示 上次登錄 名”功能 項(xiàng)。b）應(yīng)保證系統(tǒng) 內(nèi)的文件、目錄和 數(shù)據(jù)庫記錄等資源不符 合要求在終端Windows操作系統(tǒng)中未啟用“關(guān)在終端Windows 操作系統(tǒng)中未啟號(hào)要求指標(biāo)項(xiàng)是否符 合差距分析備注所在的存儲(chǔ)空間被 釋放或重新分配給 其他用戶前得到完 全清除。機(jī)前清除虛擬內(nèi)存頁面”功能 項(xiàng)。用“關(guān)機(jī)前 清除虛擬內(nèi) 存頁面”功 能項(xiàng)。通信完整性(S3)本項(xiàng)要求包括：應(yīng)采用密碼技 術(shù)保證通信過程中 數(shù)據(jù)的完整性。符合要求在應(yīng)用軟件 編程中，對(duì)通信 的保密性提出要 求。通信保密性(S3)本項(xiàng)要求包括：a)在通信雙方 建立連接之前，應(yīng) 用系統(tǒng)應(yīng)利用密碼 技術(shù)進(jìn)

53、行會(huì)話初始 化驗(yàn)證；符 合要求在應(yīng)用軟件 編程中，對(duì)通信 的保密性提出要 求。b)應(yīng)對(duì)通信過符應(yīng)用軟件中號(hào)要求指標(biāo)項(xiàng)是W符合差距分析備注程中的整個(gè)報(bào)文或 會(huì)話過程進(jìn)行加 密。合要求應(yīng)有此功能抗抵賴（G3）本項(xiàng)要求包括：a）應(yīng)具有在請(qǐng) 求的情況下為數(shù)據(jù) 原發(fā)者或接收者提 供數(shù)據(jù)原發(fā)證據(jù)的 功能；符合要求應(yīng)用軟件有此項(xiàng)功能。b）應(yīng)具有在請(qǐng) 求的情況下為數(shù)據(jù) 原發(fā)者或接收者提 供數(shù)據(jù)接收證據(jù)的 功能。符合要求應(yīng)用軟件有 此項(xiàng)功能。軟件容錯(cuò)（A3）本項(xiàng)要求包括：a）應(yīng)提供數(shù)據(jù)符應(yīng)用軟件有號(hào)要求指標(biāo)項(xiàng)是否符合差距分析備注有效性檢驗(yàn)功能， 保證通過人機(jī)接口 輸入或通過通信接 口輸入的數(shù)據(jù)格式 或長度符合系

54、統(tǒng)設(shè) 定要求；合要求此項(xiàng)功能。b）應(yīng)提供自動(dòng) 保護(hù)功能，當(dāng)故障 發(fā)生時(shí)自動(dòng)保護(hù)當(dāng) 前所有狀態(tài)，保證 系統(tǒng)能夠進(jìn)行恢 復(fù)。符 合要求應(yīng)用軟件提 供斷點(diǎn)保護(hù)和恢 復(fù)功能。資源控制（A3）本項(xiàng)要求包括：a）當(dāng)應(yīng)用系統(tǒng) 的通信雙方中的一 方在一段時(shí)間內(nèi)未 作任何響應(yīng)，另一符合要求如果通信雙 方中有一方在10 分鐘內(nèi)未作任何 響應(yīng)，應(yīng)自動(dòng)結(jié)號(hào)要求指標(biāo)項(xiàng)是W符合差距分析備注方應(yīng)能夠自動(dòng)結(jié)束 會(huì)話；束會(huì)話，釋放網(wǎng) 絡(luò)連接。b）應(yīng)能夠?qū)ο?統(tǒng)的最大并發(fā)會(huì)話 連接數(shù)進(jìn)行限制；符合要求應(yīng)當(dāng)提供系 統(tǒng)的實(shí)際要求， 設(shè)定最大并發(fā)會(huì) 話連接數(shù)。c）應(yīng)能夠?qū)?個(gè)帳戶的多重并發(fā) 會(huì)話進(jìn)行限制；符合要求滿足d）應(yīng)能夠?qū)σ?

55、個(gè)時(shí)間段內(nèi)可能的 并發(fā)會(huì)話連接數(shù)進(jìn) 行限制；符合要求應(yīng)當(dāng)業(yè)務(wù)應(yīng) 用系統(tǒng)和實(shí)際需 要設(shè)定。e）應(yīng)能夠?qū)σ?個(gè)訪問帳戶或一個(gè) 請(qǐng)求進(jìn)程占用的資 源分配最大限額和 最小限額；符合要求滿足號(hào)要求指標(biāo)項(xiàng)是否符合差距分析備注f）應(yīng)能夠?qū)ο?統(tǒng)服務(wù)水平降低到 預(yù)先規(guī)定的最小值 進(jìn)行檢測和報(bào)警；不符合要求不滿足后期建 議部署網(wǎng)管 運(yùn)維軟件g）應(yīng)提供服務(wù) 優(yōu)先級(jí)設(shè)定功能， 并在安裝后根據(jù)安 全策略設(shè)定訪問帳 戶或請(qǐng)求進(jìn)程的優(yōu) 先級(jí)，根據(jù)優(yōu)先級(jí) 分配系統(tǒng)資源。符合要求在系統(tǒng)中應(yīng) 可根據(jù)用戶的權(quán) 限設(shè)定服務(wù)等級(jí) 及優(yōu)先級(jí)，并保 證優(yōu)先級(jí)用戶首 先使用系統(tǒng)資源 的權(quán)力。2.2.5數(shù)據(jù)安全現(xiàn)狀與差距分析信息系統(tǒng)的安全核

56、心是數(shù)據(jù)的安全，某單位網(wǎng)絡(luò)中有全局正 常運(yùn)行信息的數(shù)據(jù)，一旦數(shù)據(jù)出現(xiàn)被盜取、被篡改、被刪除，小 則造成小范圍的某單位業(yè)務(wù)受影響，大則將對(duì)全局辦公、經(jīng)濟(jì)利 益或社會(huì)形象造成不可彌補(bǔ)的損失。一旦出現(xiàn)意外，數(shù)據(jù)的還原、 恢復(fù)顯得尤為重要。目前某單位對(duì)數(shù)據(jù)的備份主要采用維護(hù)工程師定期進(jìn)行手動(dòng) 備份和數(shù)據(jù)被備份一體機(jī)的方式，備份范圍包含業(yè)務(wù)關(guān)鍵數(shù)據(jù)， 且是備份在本地?？赡軙?huì)出現(xiàn)以下情況：1.出現(xiàn)極端自然災(zāi)害，數(shù)據(jù)存儲(chǔ)介質(zhì)出現(xiàn)損壞，數(shù)據(jù)損壞后無 法恢復(fù)；詳見下表差距分析：圖表6數(shù)據(jù)安全現(xiàn)狀號(hào)要求指標(biāo)項(xiàng)是否 符合差距分析備注數(shù)據(jù)完!座性（S3）本項(xiàng)要求包括：a）應(yīng)能夠檢測到 系統(tǒng)管理數(shù)據(jù)、鑒別 信息和重要業(yè)

57、務(wù)數(shù)據(jù) 在傳輸過程中完整性 受到破壞，并在檢測基本符合要求數(shù)據(jù)備份一體機(jī)應(yīng)帶有此功能到完整性錯(cuò)誤時(shí)采取 必要的恢復(fù)措施；b）應(yīng)能夠檢測到 系統(tǒng)管理數(shù)據(jù)、鑒別 信息和重要業(yè)務(wù)數(shù)據(jù) 在存儲(chǔ)過程中完整 性受到破壞，并在檢 測到完整性錯(cuò)誤時(shí)采 取必要的恢復(fù)措 施。基本符合要求數(shù)據(jù)備份一體機(jī)應(yīng)帶有此功能數(shù)據(jù)保密性（S3）本項(xiàng)要求包括：a）應(yīng)采用加密或 其他有效措施實(shí)現(xiàn)系 統(tǒng)管理數(shù)據(jù)、鑒別信 息和重要業(yè)務(wù)數(shù)據(jù)傳輸保密性；基本符合要求數(shù)據(jù)備份一體機(jī)應(yīng)帶有此功能b）應(yīng)采用加密或 其他保護(hù)措施實(shí)現(xiàn)系 統(tǒng)管理數(shù)據(jù)、鑒別信 息和重要業(yè)務(wù)數(shù)據(jù)存儲(chǔ)保密性?；痉弦髷?shù)據(jù)備份一體機(jī)應(yīng)帶有此功能備份和恢復(fù)（A3）本項(xiàng)要求

58、包括：a）應(yīng)提供本地?cái)?shù) 據(jù)備份與恢復(fù)功能， 完全數(shù)據(jù)備份至少每 天一次，備份介質(zhì)場 外存放；符合要求滿足部署服 務(wù)器數(shù)據(jù)備 份系統(tǒng)。b）應(yīng)提供異地?cái)?shù) 據(jù)備份功能，利用通 信網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)定 時(shí)批量傳送至備用 場地；不符 合要求不滿足有本地 備份一體 機(jī)，后期建 議完善異地 備份機(jī)制。C）應(yīng)采用冗余技 術(shù)設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié) 構(gòu)，避免關(guān)鍵節(jié)點(diǎn)存 在單點(diǎn)故障；符合要求滿足d）應(yīng)提供主要網(wǎng) 絡(luò)設(shè)備、通信線路和 數(shù)據(jù)處理系統(tǒng)的硬件 冗余，保證系統(tǒng)的高 可用性。符合要求滿足2.2.6安全管理現(xiàn)狀與差距分析某單位在日常的運(yùn)行維護(hù)管理中，根據(jù)自身的情況有制定一 些安全管理制度并執(zhí)行，但沒有進(jìn)行系統(tǒng)而規(guī)范的制度文件

59、體系 建設(shè)，以及相應(yīng)制度執(zhí)行記錄歸檔保存。根據(jù)等級(jí)保護(hù)管理安全 要求，仍有部分制度需要進(jìn)行完善。管理制度建議如下表：圖表7安全管理現(xiàn)狀類 別管理內(nèi)容制度包括的主要內(nèi)容現(xiàn)狀分析備注物理資產(chǎn)安全 管理對(duì)信息系統(tǒng)相關(guān)的 資產(chǎn)清單、分類與 標(biāo)識(shí)、使用、轉(zhuǎn) 移、廢棄等做出規(guī) 定。不滿足對(duì)信息系統(tǒng)相 關(guān)的資產(chǎn)清 單、分類與標(biāo) 識(shí)、使用、轉(zhuǎn) 移、廢棄等做 出規(guī)定。機(jī)房安全 管理對(duì)進(jìn)出機(jī)房的人員 和設(shè)備，機(jī)房監(jiān) 控、機(jī)房值班、機(jī) 房環(huán)境保障等做出 規(guī)定。不滿足對(duì)進(jìn)出機(jī)房的 人員和設(shè)備， 機(jī)房監(jiān)控、機(jī) 房值班、機(jī)房 環(huán)境保障等做 出規(guī)定。設(shè)備安全對(duì)設(shè)備的放置、使不滿足對(duì)設(shè)備的放管理用、維護(hù)、維修、 報(bào)廢等做出規(guī)

60、定。置、使用、維 護(hù)、維修、報(bào) 廢等做出規(guī) 定。介質(zhì)安全 管理對(duì)介質(zhì)的歸檔、存 放、使用、銷毀等 做出規(guī)定。不滿足對(duì)介質(zhì)的歸 檔、存放、使 用、銷毀等做 出規(guī)定。網(wǎng)絡(luò)網(wǎng)絡(luò)安全 管理對(duì)網(wǎng)絡(luò)及安全設(shè)備 的操作、配置、日 志記錄和監(jiān)控等做 出規(guī)定。不滿足對(duì)網(wǎng)絡(luò)及安全 設(shè)備的操作、 配置、日志記 錄和監(jiān)控等做 出規(guī)定。系統(tǒng)系統(tǒng)安全 管理對(duì)服務(wù)器和數(shù)據(jù)庫 等的操作、配置、 日志記錄和監(jiān)控等 做出規(guī)定。不滿足對(duì)服務(wù)器和數(shù) 據(jù)庫等的操 作、配置、日 志記錄和監(jiān)控 等做出規(guī)定。應(yīng)用數(shù)據(jù)安全 管理對(duì)信息系統(tǒng)數(shù)據(jù)保 存、備份、使用等 做出規(guī)定。不滿足對(duì)信息系統(tǒng)數(shù) 據(jù)保存、備 份、使用等做 出規(guī)定。病毒防護(hù) 管理對(duì)