數(shù)據(jù)安全管理規(guī)定優(yōu)質(zhì)資料

數(shù)據(jù)安全管理規(guī)定優(yōu)質(zhì)資料(可以直接使用，可編輯優(yōu)質(zhì)資料，歡迎下載）

數(shù)據(jù)安全管理規(guī)定優(yōu)質(zhì)資料(可以直接使用，可編輯優(yōu)質(zhì)資料，歡迎下載）____________________________________________________________[本文件中出現(xiàn)的任何文字?jǐn)⑹?、文檔格式、插圖、照片、方法、過(guò)程等內(nèi)容，除另有特別注明，版權(quán)均屬XXX所有，受到有關(guān)產(chǎn)權(quán)及版權(quán)法保護(hù)。任何個(gè)人、機(jī)構(gòu)未經(jīng)XXX的書面授權(quán)許可，不得以任何方式復(fù)制或引用本文件的任何片斷。]分發(fā)控制分發(fā)對(duì)象文檔權(quán)限說(shuō)明XXX內(nèi)部員工只讀文件版本信息版本日期擬稿和修改說(shuō)明文件版本信息說(shuō)明文件版本信息記錄本文件提交時(shí)的當(dāng)前有效的版本控制信息，當(dāng)前版本文件有效期將在新版本文檔生效時(shí)自動(dòng)結(jié)束。文件版本小于1.0時(shí)，表示該版本文件為草案，僅可作為參照資料之目的?？倓t為保證XXX信息系統(tǒng)核心數(shù)據(jù)安全，維護(hù)數(shù)據(jù)所有者權(quán)利，明確利益相關(guān)者的責(zé)任與義務(wù)，按照分類管理、分級(jí)保護(hù)、授權(quán)使用的原則，根據(jù)《XXX信息系統(tǒng)安全管理規(guī)定》及國(guó)家信息系統(tǒng)安全等級(jí)保護(hù)等有關(guān)要求，特制訂本規(guī)定。本規(guī)定所管理的數(shù)據(jù)均為非涉密的數(shù)據(jù)，XXX系統(tǒng)已標(biāo)識(shí)密級(jí)的文件或已聲明密級(jí)的數(shù)據(jù)不納入本規(guī)定管理范疇。本規(guī)定適用于全國(guó)XXX信息系統(tǒng)環(huán)境中的數(shù)據(jù)安全管理工作。XXX各單位、部門均應(yīng)按本規(guī)定開展數(shù)據(jù)安全管理工作。術(shù)語(yǔ)定義本規(guī)定所稱數(shù)據(jù)所有者是指，對(duì)所管理業(yè)務(wù)領(lǐng)域內(nèi)的信息或信息系統(tǒng)，有權(quán)獲取、創(chuàng)建、維護(hù)和授權(quán)的業(yè)務(wù)主管。本規(guī)定所稱利益相關(guān)者包括數(shù)據(jù)創(chuàng)建者、數(shù)據(jù)所有者、數(shù)據(jù)管理者、數(shù)據(jù)使用者及信息安全管理人員。本規(guī)定所管理的數(shù)據(jù)涵蓋以紙質(zhì)、電子等形式存在的文件和非文件形式的信息及其衍生物。其中，非文件形式的數(shù)據(jù)包括數(shù)據(jù)庫(kù)及配置文件中的數(shù)據(jù)、配置信息等。職責(zé)定義數(shù)據(jù)創(chuàng)建者負(fù)責(zé)針對(duì)其所創(chuàng)建數(shù)據(jù)的內(nèi)容和價(jià)值提出分類分級(jí)建議，提交對(duì)應(yīng)級(jí)別數(shù)據(jù)所有者確認(rèn)。來(lái)自XXX信息系統(tǒng)以外的數(shù)據(jù)，數(shù)據(jù)承接者視同創(chuàng)建者行使提出分級(jí)分類建議的責(zé)任和義務(wù)。數(shù)據(jù)所有者具有確認(rèn)數(shù)據(jù)類別和敏感級(jí)別、確認(rèn)銷毀、提出技術(shù)保障需求、審查自檢和審計(jì)報(bào)告、做出安全事件處置決定等權(quán)利和義務(wù)。其中，XXX業(yè)務(wù)數(shù)據(jù)的所有者為XXX指定的相應(yīng)業(yè)務(wù)部門。各類數(shù)據(jù)的責(zé)任部門是該類數(shù)據(jù)的管理者。數(shù)據(jù)管理者作為數(shù)據(jù)所有者的代理者，代理數(shù)據(jù)所有者從事數(shù)據(jù)管理工作，負(fù)責(zé)其所管轄范圍內(nèi)數(shù)據(jù)的安全管理工作。數(shù)據(jù)管理者的職責(zé)包括但不限于：數(shù)據(jù)類別和敏感級(jí)別的標(biāo)識(shí)與聲明，根據(jù)級(jí)別進(jìn)行管理與保護(hù)，數(shù)據(jù)使用培訓(xùn)，執(zhí)行銷毀操作并聲明，定期自查提交報(bào)告，配合數(shù)據(jù)安全違規(guī)調(diào)查等。分類與分級(jí)數(shù)據(jù)按其內(nèi)容和用途不同分為技術(shù)類數(shù)據(jù)、行政管理類數(shù)據(jù)、業(yè)務(wù)類數(shù)據(jù)以及安全運(yùn)行類數(shù)據(jù)。數(shù)據(jù)分級(jí)應(yīng)根據(jù)其價(jià)值、內(nèi)容的敏感程度、影響及發(fā)放范圍進(jìn)行確定。數(shù)據(jù)管理者負(fù)責(zé)制定其分管領(lǐng)域內(nèi)數(shù)據(jù)敏感等級(jí)的劃分規(guī)則，并制定和發(fā)布本部門或本領(lǐng)域的數(shù)據(jù)敏感等級(jí)目錄。標(biāo)識(shí)與聲明數(shù)據(jù)的分類分級(jí)標(biāo)識(shí)、聲明是數(shù)據(jù)不可分割的一部分，自其標(biāo)識(shí)、聲明之日起，數(shù)據(jù)及其標(biāo)識(shí)、聲明不得分離，數(shù)據(jù)管理者和數(shù)據(jù)使用者均須按照標(biāo)識(shí)、聲明的類別和級(jí)別安全管理和使用數(shù)據(jù)。對(duì)于文件形式的數(shù)據(jù)，須由數(shù)據(jù)管理者在文件明顯位置標(biāo)識(shí)其類別、敏感級(jí)別、失效日期等，且文件和標(biāo)識(shí)不能分開。標(biāo)識(shí)應(yīng)該醒目，標(biāo)識(shí)格式應(yīng)統(tǒng)一，標(biāo)識(shí)方法應(yīng)便于審計(jì)。對(duì)于非文件形式的高敏感級(jí)別數(shù)據(jù)，如無(wú)法標(biāo)識(shí)，須進(jìn)行聲明。失效日期指數(shù)據(jù)敏感級(jí)別的有效性截止日期。到達(dá)失效日期后，應(yīng)對(duì)數(shù)據(jù)進(jìn)行重定級(jí)。對(duì)于敏感級(jí)別高的數(shù)據(jù)，須由管理者對(duì)數(shù)據(jù)名稱、類別、敏感級(jí)別、失效日期等以聲明文件的形式進(jìn)行聲明，聲明文件須由數(shù)據(jù)所有者審批簽字。聲明文件須跟隨數(shù)據(jù)一起保管和傳遞。（聲明文件模版詳見附件）多個(gè)不同敏感級(jí)別的數(shù)據(jù)合并在一起時(shí)，按最高敏感級(jí)別給混合數(shù)據(jù)進(jìn)行標(biāo)識(shí)和聲明。保管與保護(hù)數(shù)據(jù)管理者須按照數(shù)據(jù)的敏感級(jí)別實(shí)施對(duì)應(yīng)的保管與保護(hù)措施，并確保滿足數(shù)據(jù)所有者對(duì)數(shù)據(jù)的安全要求。數(shù)據(jù)管理者在日常管理中，須對(duì)數(shù)據(jù)按敏感級(jí)別分級(jí)防護(hù)，采取對(duì)應(yīng)的存儲(chǔ)、歸檔、設(shè)定保存期限等措施。敏感級(jí)別高的數(shù)據(jù)紙質(zhì)文件須參照XXX秘密級(jí)文件安全管理規(guī)定進(jìn)行保管和保護(hù)。敏感級(jí)別高的電子數(shù)據(jù)須采用必要的訪問(wèn)控制措施。數(shù)據(jù)管理工作應(yīng)該首選技術(shù)手段加管理要求實(shí)現(xiàn)。必須加強(qiáng)針對(duì)數(shù)據(jù)管理工作的技術(shù)手段的研究、選型、部署、維護(hù)等。敏感級(jí)別高的數(shù)據(jù)自產(chǎn)生之日起，所有者提出的技術(shù)保障需求應(yīng)同步到位。如技術(shù)上無(wú)法達(dá)到，技術(shù)部門應(yīng)持續(xù)跟蹤技術(shù)進(jìn)展，逐步使技術(shù)手段能夠滿足各項(xiàng)管理要求；對(duì)于已成熟并可采納的技術(shù)手段，技術(shù)部門應(yīng)驗(yàn)證其功能可靠性，逐步引入，持續(xù)優(yōu)化技術(shù)保障工作。數(shù)據(jù)使用數(shù)據(jù)使用者在使用數(shù)據(jù)時(shí)，須注意識(shí)別數(shù)據(jù)的敏感級(jí)別，按照其敏感級(jí)規(guī)范數(shù)據(jù)操作使用行為；使用中發(fā)現(xiàn)問(wèn)題及時(shí)反映，發(fā)現(xiàn)違規(guī)行為及時(shí)舉報(bào)，并積極配合違規(guī)事件的調(diào)查；自覺遵守?cái)?shù)據(jù)管理規(guī)定。數(shù)據(jù)使用者須保證其所使用數(shù)據(jù)來(lái)源的合法性，不私自拷貝、使用、傳播、保存與自己工作無(wú)關(guān)的數(shù)據(jù)。數(shù)據(jù)使用者和數(shù)據(jù)管理者無(wú)權(quán)未經(jīng)所有者批準(zhǔn)向發(fā)布范圍以外的單位或個(gè)人提供中心數(shù)據(jù)或其衍生物，否則視為違規(guī)；如因工作原因需要對(duì)外提供的，應(yīng)經(jīng)數(shù)據(jù)所有者確認(rèn)，并記錄、備案、備查。XXX業(yè)務(wù)數(shù)據(jù)須按主管業(yè)務(wù)部門授權(quán)或管理規(guī)定要求對(duì)外提供，否則視為違規(guī)，并需做好數(shù)據(jù)提供記錄，備案、備查。數(shù)據(jù)管理者要對(duì)數(shù)據(jù)使用情況進(jìn)行掌控和審計(jì)，發(fā)現(xiàn)違規(guī)行為及時(shí)制止，并依本規(guī)定進(jìn)行處置。數(shù)據(jù)銷毀數(shù)據(jù)管理者有按照數(shù)據(jù)所有者要求清理和銷毀原始數(shù)據(jù)的義務(wù)。數(shù)據(jù)使用者應(yīng)具有數(shù)據(jù)安全清理和銷毀的意識(shí)，具有按照數(shù)據(jù)管理者的要求清理和銷毀本地臨時(shí)數(shù)據(jù)、中間文件、過(guò)程文件的責(zé)任和義務(wù)。數(shù)據(jù)管理者和數(shù)據(jù)使用者具有按照規(guī)定記錄清理和銷毀數(shù)據(jù)過(guò)程，并接受安全管理人員審計(jì)的義務(wù)。數(shù)據(jù)管理者和數(shù)據(jù)使用者在清除和銷毀電子數(shù)據(jù)時(shí)，須保證清除和銷毀的徹底性。安全檢查與審計(jì)要求數(shù)據(jù)管理者有義務(wù)監(jiān)督數(shù)據(jù)的安全使用，負(fù)責(zé)所管理數(shù)據(jù)的自查工作。周期性地檢查數(shù)據(jù)安全使用和管理情況，更新過(guò)期的標(biāo)識(shí)或聲明信息，向數(shù)據(jù)所有者匯報(bào)。信息安全領(lǐng)導(dǎo)機(jī)構(gòu)根據(jù)信息安全組織授權(quán)，獨(dú)立開展高敏感級(jí)別數(shù)據(jù)的第三方審計(jì)工作。檢查和審計(jì)數(shù)據(jù)所有者、數(shù)據(jù)管理者數(shù)據(jù)管理要求的執(zhí)行情況，向信息安全組織匯報(bào)。數(shù)據(jù)保護(hù)數(shù)據(jù)保護(hù)應(yīng)遵循適度保護(hù)、積極防范、突出重點(diǎn)、分級(jí)管理的原則，通過(guò)數(shù)據(jù)的分類分級(jí)進(jìn)行區(qū)別保護(hù)、動(dòng)態(tài)保護(hù)。X系X統(tǒng)信息安全組織，應(yīng)根據(jù)信息安全工作的實(shí)際需要，制定數(shù)據(jù)保護(hù)的具體技術(shù)和管理措施。在數(shù)據(jù)的采集、決策分析、共享發(fā)布、存儲(chǔ)和廢棄的生命周期各階段，對(duì)數(shù)據(jù)的相應(yīng)級(jí)別進(jìn)行防護(hù)和處理。應(yīng)能夠檢測(cè)到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸和存儲(chǔ)過(guò)程中完整性受到破壞，并在檢測(cè)到完整性錯(cuò)誤時(shí)采取必要的恢復(fù)措施。數(shù)據(jù)在存儲(chǔ)和傳輸過(guò)程中須根據(jù)數(shù)據(jù)的級(jí)別采用加密或其他手段確保其存儲(chǔ)安全。數(shù)據(jù)在使用過(guò)程中，須根據(jù)數(shù)據(jù)的級(jí)別進(jìn)行控制，嚴(yán)禁非授權(quán)訪問(wèn)、傳輸和修改。數(shù)據(jù)交換過(guò)程中如涉及交換對(duì)象為非海關(guān)系統(tǒng)，應(yīng)確保對(duì)端保護(hù)力度不低于海關(guān)系統(tǒng)數(shù)據(jù)保護(hù)力度。數(shù)據(jù)的銷毀須嚴(yán)格按照XXX系統(tǒng)相關(guān)標(biāo)準(zhǔn)、規(guī)范要求及國(guó)家的法律法規(guī)要求進(jìn)行處理。附則對(duì)在數(shù)據(jù)安全管理工作中做出貢獻(xiàn)和創(chuàng)造性地開展工作的部門與個(gè)人予以表彰和獎(jiǎng)勵(lì)；對(duì)違反本規(guī)定而引發(fā)事故的相關(guān)責(zé)任人，按照XXX違規(guī)違紀(jì)相關(guān)規(guī)定予以處罰。本規(guī)定由XXX科技發(fā)展司負(fù)責(zé)解釋。本規(guī)定自發(fā)布之日起執(zhí)行。附件、聲明文件模板附件、聲明文件模板分類分級(jí)說(shuō)明數(shù)據(jù)名稱：失效日期：年月日發(fā)放范圍：類別：敏感級(jí)別：聲明者簽字：年月日數(shù)據(jù)所有者簽字：年月日信息安全部門備案：年月日注：“數(shù)據(jù)名稱”項(xiàng)填寫：文件形式數(shù)據(jù)的文件名稱，或非文件形式數(shù)據(jù)的數(shù)據(jù)內(nèi)容簡(jiǎn)稱；“失效日期”項(xiàng)填寫：數(shù)據(jù)敏感級(jí)別的有效性截止日期；“聲明者”為數(shù)據(jù)管理者。請(qǐng)將此文檔復(fù)印件交備案部門備案安恒信息數(shù)據(jù)安全防“脫庫(kù)”解決方案1.前言近日不斷有黑客陸續(xù)在互聯(lián)網(wǎng)上公開提供國(guó)內(nèi)多家知名網(wǎng)站部分用戶數(shù)據(jù)庫(kù)下載，國(guó)內(nèi)外媒體頻繁報(bào)道，影響惡劣，引起社會(huì)廣泛關(guān)注。其中涉及到游戲類、社區(qū)類、交友類等網(wǎng)站用戶數(shù)據(jù)正逐步公開，各報(bào)道中也針對(duì)系列事件向用戶提出密碼設(shè)置策略等安全建議。注冊(cè)用戶數(shù)據(jù)作為網(wǎng)站所有者的核心信息資產(chǎn)，涉及到網(wǎng)站及關(guān)聯(lián)信息系統(tǒng)的實(shí)質(zhì)業(yè)務(wù)，對(duì)其保密性的要求強(qiáng)度不言而喻。隨著網(wǎng)站及微博實(shí)名制規(guī)定的陸續(xù)出臺(tái)，如果在實(shí)名制的網(wǎng)站出現(xiàn)用戶數(shù)據(jù)泄露事件，將會(huì)產(chǎn)生更惡劣的影響。針對(duì)近期部分互聯(lián)網(wǎng)站信息泄露事件，工信部于2021年12月28日發(fā)布通告要求：各互聯(lián)網(wǎng)站要高度重視用戶信息安全工作，把用戶信息保護(hù)作為關(guān)系行業(yè)健康發(fā)展和企業(yè)誠(chéng)信建設(shè)的重要工作抓好抓實(shí)。發(fā)生用戶信息泄露的網(wǎng)站，要妥善做好善后工作，盡快通過(guò)網(wǎng)站公告、電子郵件、、短信等方式向用戶發(fā)出警示，提醒用戶修改在本網(wǎng)站或其他網(wǎng)站使用的相同用戶名和密碼。未發(fā)生用戶信息泄露的網(wǎng)站，要加強(qiáng)安全監(jiān)測(cè)，必要時(shí)提醒用戶修改密碼。各互聯(lián)網(wǎng)站要引以為戒，開展全面的安全自查，及時(shí)發(fā)現(xiàn)和修復(fù)安全漏洞。要加強(qiáng)系統(tǒng)安全防護(hù)，落實(shí)相關(guān)網(wǎng)絡(luò)安全防護(hù)標(biāo)準(zhǔn)，提高系統(tǒng)防入侵、防竊取、防攻擊能力。要采用加密方式存儲(chǔ)用戶信息，保障用戶信息安全。一旦發(fā)生網(wǎng)絡(luò)安全事件，要在開展應(yīng)急處置的同時(shí)，按照規(guī)定向互聯(lián)網(wǎng)行業(yè)主管部門及時(shí)報(bào)告。工信部同時(shí)提醒廣大互聯(lián)網(wǎng)用戶提高信息安全意識(shí)，密切關(guān)注相關(guān)網(wǎng)站發(fā)布的公告，并根據(jù)網(wǎng)站安全提示修改密碼。提高密碼的安全強(qiáng)度并定期修改。2.信息泄密的根源2.1.透過(guò)現(xiàn)象看本質(zhì)2.1.1.攻擊者因?yàn)槔驿b而走險(xiǎn)攻擊者為什么會(huì)冒著巨大的法律風(fēng)險(xiǎn)去獲取用戶信息？2001年隨著網(wǎng)絡(luò)游戲的興起，虛擬物品和虛擬貨幣的價(jià)值逐步被人們認(rèn)可，網(wǎng)絡(luò)上出現(xiàn)了多種途徑可以將虛擬財(cái)產(chǎn)轉(zhuǎn)化成現(xiàn)實(shí)貨幣，針對(duì)游戲賬號(hào)攻擊的逐步興起，并發(fā)展成龐大的虛擬資產(chǎn)交易市場(chǎng)；2004年-2007年，相對(duì)于通過(guò)木馬傳播方式獲得的用戶數(shù)據(jù)，攻擊者采用入侵目標(biāo)信息系統(tǒng)獲得數(shù)據(jù)庫(kù)信息，其針對(duì)性與攻擊效率都有顯著提高。在巨額利益驅(qū)動(dòng)下，網(wǎng)絡(luò)游戲服務(wù)端成為黑客“拖庫(kù)”的主要目標(biāo)。2021年-2021年，國(guó)內(nèi)信息安全立法和追蹤手段的得到完善，攻擊者針對(duì)中國(guó)境內(nèi)網(wǎng)絡(luò)游戲的攻擊日趨收斂。與此同時(shí)殘余攻擊者的操作手法愈加精細(xì)和隱蔽，攻擊目標(biāo)也隨著電子交易系統(tǒng)的發(fā)展擴(kuò)散至的電子商務(wù)、彩票、境外賭博等主題網(wǎng)站，并通過(guò)黑色產(chǎn)業(yè)鏈將權(quán)限或數(shù)據(jù)轉(zhuǎn)換成為現(xiàn)實(shí)貨幣。招商加盟類網(wǎng)站也由于其本身數(shù)據(jù)的商業(yè)業(yè)務(wù)價(jià)值，成為攻擊者的“拖庫(kù)”的目標(biāo)。2021年，攻防雙方經(jīng)歷了多年的博弈，國(guó)內(nèi)網(wǎng)站安全運(yùn)維水平不斷提升，信息安全防御產(chǎn)品的成熟度加強(qiáng)，單純從技術(shù)角度對(duì)目標(biāo)系統(tǒng)進(jìn)行滲透攻擊的難度加大，而通過(guò)收集分析管理員、用戶信息等一系列被稱作“社會(huì)工程學(xué)”的手段的攻擊效果被廣大攻擊者認(rèn)可。獲得更多的用戶信息數(shù)據(jù)有利于提高攻擊的實(shí)際效率，攻擊者將目標(biāo)指向了擁有大量注冊(cè)用戶真實(shí)詳細(xì)信息的社區(qū)及社交網(wǎng)站，并在地下建立起“人肉搜索庫(kù)”，預(yù)期實(shí)現(xiàn)：獲知某用戶常用ID或EMAIL，可以直接搜索出其常用密碼或常用密碼密文。2021年12月21日，僅僅是在這一天，攻擊者曾經(jīng)獲取到的部分?jǐn)?shù)據(jù)庫(kù)信息內(nèi)容被陸續(xù)地公開了。2.1.2.應(yīng)用層防護(hù)百密而一疏在當(dāng)今信息安全意識(shí)、信息安全產(chǎn)品都日益成熟的年代，為何入侵者獲取數(shù)據(jù)依然如入無(wú)人之境?很多人認(rèn)為，在網(wǎng)絡(luò)中不斷部署防火墻、IDS、IPS等設(shè)備，可以提高網(wǎng)絡(luò)的安全性。但是為何基于應(yīng)用的攻擊事件以及相應(yīng)的“泄庫(kù)事件”仍然不斷發(fā)生?其根本的原因在于傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備對(duì)于應(yīng)用層的攻擊防范，作用十分有限。我們可以通過(guò)下面例子來(lái)舉例黑客是如何常規(guī)獲取信息系統(tǒng)的數(shù)據(jù)庫(kù)信息的：攻防回合的延續(xù)包括傳統(tǒng)安全設(shè)備使黑客入侵服務(wù)端主機(jī)系統(tǒng)難度加大，而WEB應(yīng)用的登錄入口表明了WEB應(yīng)用程序與用戶數(shù)據(jù)表之間存在關(guān)聯(lián)，通過(guò)入侵WEB網(wǎng)站獲得數(shù)據(jù)庫(kù)信息成為針對(duì)網(wǎng)站數(shù)據(jù)庫(kù)攻擊的主要入手點(diǎn)，常見的攻擊步驟如下：一、尋找目標(biāo)網(wǎng)站（或同臺(tái)服務(wù)器的其他網(wǎng)站）程序中存在的SQL注入、非法上傳、后臺(tái)管理權(quán)限等漏洞；二、通過(guò)上述漏洞添加一個(gè)以網(wǎng)頁(yè)腳本方式控制網(wǎng)站服務(wù)器的后門，即：WEBSHELL；三、通過(guò)已獲得的WEBSHELL提升權(quán)限，獲得對(duì)WEB應(yīng)用服務(wù)器主機(jī)操作系統(tǒng)的控制權(quán)，并通過(guò)查看網(wǎng)站數(shù)據(jù)庫(kù)鏈接文件，獲得數(shù)據(jù)庫(kù)的鏈接密碼；四、通過(guò)在WEB應(yīng)用服務(wù)器上鏡像數(shù)據(jù)庫(kù)連接，將目標(biāo)數(shù)據(jù)庫(kù)中所需要的信息導(dǎo)入至攻擊者本地?cái)?shù)據(jù)庫(kù)（或直接下載服務(wù)器上可能存在的數(shù)據(jù)庫(kù)備份文件）；五、清理服務(wù)器日志，設(shè)置長(zhǎng)期后門。目前攻擊者以團(tuán)隊(duì)為單位，無(wú)論從工具的制造、攻擊實(shí)施的具體手法都已經(jīng)形成了體系化、趨利化的作業(yè)流程。此例中我們發(fā)現(xiàn)，黑客針對(duì)應(yīng)用系統(tǒng)的攻擊已經(jīng)完全無(wú)視傳統(tǒng)的網(wǎng)絡(luò)安全，而應(yīng)用安全的建設(shè)恰好能夠彌補(bǔ)網(wǎng)絡(luò)安全的不足，提升了整個(gè)信息系統(tǒng)安全強(qiáng)度，能夠有效地阻止黑客針對(duì)性的應(yīng)用層攻擊，降低數(shù)據(jù)信息被泄露的風(fēng)險(xiǎn)2.2.防泄密防好應(yīng)用安全這塊板隨著互聯(lián)網(wǎng)技術(shù)的迅猛發(fā)展，許多政府和企業(yè)的關(guān)鍵業(yè)務(wù)活動(dòng)越來(lái)越多地依賴于WEB應(yīng)用，在向客戶提供通過(guò)瀏覽器訪問(wèn)企業(yè)信息功能的同時(shí)，企業(yè)所面臨的風(fēng)險(xiǎn)在不斷增加。主要表現(xiàn)在兩個(gè)層面：一是隨著Web應(yīng)用程序的增多，這些Web應(yīng)用程序所帶來(lái)的安全漏洞越來(lái)越多；二是隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，被用來(lái)進(jìn)行攻擊的黑客工具越來(lái)越多、黑客活動(dòng)越來(lái)越猖獗,組織性和經(jīng)濟(jì)利益驅(qū)動(dòng)非常明顯。然而與之形成鮮明對(duì)比的卻是：現(xiàn)階段的安全解決方案無(wú)一例外的把重點(diǎn)放在網(wǎng)絡(luò)安全層面，致使面臨應(yīng)用層攻擊（如：針對(duì)WEB應(yīng)用的SQL注入攻擊、跨站腳本攻擊等）發(fā)生時(shí)，傳統(tǒng)的網(wǎng)絡(luò)防火墻、IDS/IPS等安全產(chǎn)品對(duì)網(wǎng)站攻擊幾乎不起作用，許多政府和企業(yè)門戶網(wǎng)站成為黑客組織成批傳播木馬的最有效途徑，也將可能成為下一個(gè)被攻擊者所公開的潛在網(wǎng)站數(shù)據(jù)。據(jù)Gartner權(quán)威統(tǒng)計(jì)，目前75%的黑客攻擊發(fā)生在WEB應(yīng)用層，近期層出不窮的安全事件均源于WEB應(yīng)用層防護(hù)不到位所致，應(yīng)用系統(tǒng)漏洞的根源還是來(lái)自程序開發(fā)者對(duì)網(wǎng)頁(yè)程序編制和檢測(cè)。未經(jīng)過(guò)安全訓(xùn)練的程序員缺乏相關(guān)的網(wǎng)頁(yè)安全知識(shí)；應(yīng)用部門缺乏良好的編程規(guī)范和代碼檢測(cè)機(jī)制等等。解決此類問(wèn)題必須在WEB應(yīng)用軟件開發(fā)程序上整治，僅僅靠打補(bǔ)丁和安裝防火墻是遠(yuǎn)遠(yuǎn)不夠的。隨著攻擊向應(yīng)用層發(fā)展，傳統(tǒng)網(wǎng)絡(luò)安全設(shè)備不能有效的解決目前的安全威脅，企業(yè)如何有效地防止企業(yè)信息泄密，重點(diǎn)在于如何做好應(yīng)用安全。3.防信息泄密的建設(shè)思路信息安全是一項(xiàng)系統(tǒng)工程，包括物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層、數(shù)據(jù)層以及管理方面的內(nèi)容。信息系統(tǒng)的某一層面安全了不能代表信息系統(tǒng)就安全了，需要各方面嚴(yán)格把控和完善結(jié)合，對(duì)于企業(yè)防信息泄密工程來(lái)講，目前企業(yè)信息系統(tǒng)的物理層、網(wǎng)絡(luò)層等已經(jīng)具備了一定的安全性，在本方案中重點(diǎn)關(guān)注系統(tǒng)安全、應(yīng)用安全以及安全管理水平等方面的內(nèi)容。3.1.系統(tǒng)安全的重要性企業(yè)的信息系統(tǒng)是多種信息資產(chǎn)的龐大組合，包括防火墻、路由交換設(shè)備、主機(jī)等；其所面臨的威脅也就是對(duì)系統(tǒng)能夠造成不利影響的一些潛在的事件或者行為，威脅包括自然的、故意的以及偶然的情況。系統(tǒng)安全重點(diǎn)解決操作系統(tǒng)、數(shù)據(jù)庫(kù)和服務(wù)器等系統(tǒng)安全級(jí)安全問(wèn)題，以建立一個(gè)安全的系統(tǒng)運(yùn)行平臺(tái)，建立有效的網(wǎng)絡(luò)檢測(cè)與監(jiān)控機(jī)制，以保護(hù)主機(jī)資源，防止非法訪問(wèn)和惡意攻擊，及時(shí)發(fā)現(xiàn)系統(tǒng)和數(shù)據(jù)庫(kù)的安全漏洞，有效抵抗黑客利用系統(tǒng)的安全缺陷對(duì)系統(tǒng)進(jìn)行攻擊，做到防患于未然。3.2.應(yīng)用安全的必要性只有系統(tǒng)安全的建議得到保障，再建設(shè)應(yīng)用安全才能更加有效地降低信息泄露的風(fēng)險(xiǎn)。基于B/S架構(gòu)對(duì)外提供服務(wù)的信息系統(tǒng)面臨較大風(fēng)險(xiǎn)也是的應(yīng)用層的攻擊風(fēng)險(xiǎn)。一方面由于WEB應(yīng)用的開放性，隨著Web應(yīng)用程序的增多，這些Web應(yīng)用程序所帶來(lái)的安全漏洞越來(lái)越多，而且這些漏洞均是應(yīng)用層或者說(shuō)是代理層面的安全問(wèn)題，通過(guò)傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備無(wú)法識(shí)別，這也是導(dǎo)致大量網(wǎng)站用戶信息泄露的最主要原因之一。另一方面受利益的驅(qū)使，被用來(lái)進(jìn)行攻擊的黑客工具越來(lái)越多、黑客活動(dòng)越來(lái)越猖獗，而且這種攻擊已經(jīng)由簡(jiǎn)單的黑盒掃描滲透轉(zhuǎn)向模塊代碼分析，源代碼白盒分析等層面進(jìn)行挖掘漏洞，若應(yīng)用層面得不到有效的安全控制將導(dǎo)致非常嚴(yán)重的后果。

3.2.1.應(yīng)用安全的范疇以B/S常見的對(duì)外提供服務(wù)的網(wǎng)站、論壇、業(yè)務(wù)系統(tǒng)等所涉及到的應(yīng)用安全主要由以下幾個(gè)方面構(gòu)成。一、訪問(wèn)控制：針對(duì)用戶及惡意攻擊者訪問(wèn)信息時(shí)進(jìn)行有效地控制，對(duì)于正常請(qǐng)求允許訪問(wèn)，對(duì)于惡意請(qǐng)求應(yīng)及時(shí)進(jìn)行阻止；二、信息保護(hù)：針對(duì)于惡意攻擊者進(jìn)行敏感信息訪問(wèn)時(shí)應(yīng)及時(shí)保護(hù)；三、安全審計(jì)：對(duì)業(yè)務(wù)系統(tǒng)的運(yùn)行應(yīng)具備安全審計(jì)功能；四、數(shù)據(jù)庫(kù)應(yīng)用安全：應(yīng)針對(duì)數(shù)據(jù)庫(kù)系統(tǒng)進(jìn)行安全檢查，對(duì)數(shù)據(jù)庫(kù)的操作行為應(yīng)進(jìn)行安全監(jiān)控。五、軟件容錯(cuò)：應(yīng)用系統(tǒng)及數(shù)據(jù)庫(kù)在上線前后及更新時(shí)應(yīng)做好安全性測(cè)試，減少系統(tǒng)存在漏洞的可能性，避免有漏洞的系統(tǒng)對(duì)外發(fā)布。以上幾方面的內(nèi)容都應(yīng)具有相應(yīng)的技術(shù)手段和管理制度來(lái)實(shí)現(xiàn)信息系統(tǒng)的應(yīng)用安全。3.2.2.應(yīng)用安全的時(shí)效性應(yīng)用安全從整個(gè)信息安全的生命周期中是一個(gè)動(dòng)態(tài)的、長(zhǎng)期的過(guò)程，是從建設(shè)開始，風(fēng)險(xiǎn)評(píng)估、安全加固、安全防護(hù)、安全審計(jì)、再評(píng)估、再加固的過(guò)程。而從實(shí)際應(yīng)用考慮，應(yīng)用安全至少應(yīng)滿足以下要求：一、事前預(yù)警：通過(guò)應(yīng)用系統(tǒng)及數(shù)據(jù)庫(kù)的風(fēng)險(xiǎn)評(píng)估，發(fā)現(xiàn)可能存在的信息泄密點(diǎn)，并進(jìn)行安全加固隨著應(yīng)用系統(tǒng)及數(shù)據(jù)庫(kù)的不斷升級(jí)，企業(yè)能夠及時(shí)了解并掌握應(yīng)用系統(tǒng)及數(shù)據(jù)庫(kù)自身是否存在著安全隱患，盡可能地避免漏洞對(duì)外發(fā)布，降低信息受泄密的危害；二、事中防護(hù)：惡意攻擊者對(duì)應(yīng)用系統(tǒng)及數(shù)據(jù)庫(kù)進(jìn)行攻擊或惡意操作時(shí)，管理人員及系統(tǒng)能夠具有有效地手段阻止惡意行為的發(fā)生，減少信息泄密的發(fā)生次數(shù)，避免對(duì)企業(yè)和信息造成影響；三、事后追溯：對(duì)于何人何地何時(shí)訪問(wèn)企業(yè)信息時(shí)能夠具有追溯手段，對(duì)發(fā)生的信息泄密事件提供查詢工具，方便維護(hù)人員及管理員進(jìn)行事件跟蹤和定位，并為事件的還原提供有力依據(jù)。3.2.3.應(yīng)用安全的防護(hù)方法傳統(tǒng)網(wǎng)絡(luò)層安全防護(hù)措施和防御體系在安全管理中相當(dāng)重要，但在面臨數(shù)據(jù)被泄露的安全問(wèn)題中，應(yīng)用安全的防護(hù)能力更加重要。使用安恒信息技術(shù)所提倡的一種基于風(fēng)險(xiǎn)評(píng)估模型及“事前+事中+事后”的安全理念的結(jié)合傳統(tǒng)網(wǎng)絡(luò)層防護(hù)措施的新型應(yīng)用安全解決方案，將有效降低應(yīng)用安全風(fēng)險(xiǎn)和出現(xiàn)被泄露信息的風(fēng)險(xiǎn)。風(fēng)險(xiǎn)評(píng)估與加固層面威脅一個(gè)信息系統(tǒng)的風(fēng)險(xiǎn)可能來(lái)自不同的層面，從網(wǎng)絡(luò)層、系統(tǒng)層到應(yīng)用層，都有可能形成對(duì)信息系統(tǒng)直接或間接的威脅。通過(guò)風(fēng)險(xiǎn)評(píng)估對(duì)整個(gè)信息系統(tǒng)進(jìn)行有效地安全評(píng)估，發(fā)現(xiàn)信息系統(tǒng)技術(shù)與管理方面存在的威脅。通過(guò)專業(yè)安全團(tuán)隊(duì)的加固，減少或降低威脅對(duì)系統(tǒng)造成的影響，避免因存在的威脅造成的信息泄密影響。事前安全防范層面當(dāng)前絕大多數(shù)企業(yè)缺少必備的WEB安全和數(shù)據(jù)庫(kù)安全的評(píng)估工具，使事前的風(fēng)險(xiǎn)評(píng)估難以實(shí)施。專業(yè)的安全產(chǎn)品需要有效的安全策略才能發(fā)揮應(yīng)有的功能，而事前的安全評(píng)估則顯得尤為重要。企業(yè)業(yè)務(wù)系統(tǒng)最重要的資產(chǎn)集中在WEB應(yīng)用層和數(shù)據(jù)庫(kù)系統(tǒng)，因此長(zhǎng)期有效的保障企業(yè)業(yè)務(wù)系統(tǒng)的安全，安全運(yùn)維人員應(yīng)有必備的安全評(píng)估工具及技術(shù)實(shí)力。事中安全防護(hù)層面安全的信息系統(tǒng)需要涉及物理層、網(wǎng)絡(luò)層、主機(jī)層、應(yīng)用層方方面面的安全防御措施。目前絕大多數(shù)的企業(yè)基本上把信息系統(tǒng)的相關(guān)主機(jī)托管至IDC機(jī)房，根據(jù)IDC的不同等級(jí)分別具備了物理層安全和網(wǎng)絡(luò)層安全。但企業(yè)尚缺少有力的安全防御措施如專業(yè)的遠(yuǎn)程安全接入主機(jī)的VPN，網(wǎng)絡(luò)防火墻，WEB應(yīng)用防火墻等安全設(shè)施，應(yīng)切實(shí)建設(shè)相應(yīng)的安全防御措施，提高系統(tǒng)的抗風(fēng)險(xiǎn)能力。事后安全審計(jì)層面企業(yè)核心數(shù)據(jù)庫(kù)存貯有大量的用戶信息，以及大量的有價(jià)值的其它信息資產(chǎn)。如果處理不當(dāng)敏感的數(shù)據(jù)庫(kù)信息被竊取將會(huì)導(dǎo)致極大的信譽(yù)危機(jī)，對(duì)企業(yè)造成重大影響。本項(xiàng)目中應(yīng)部署專業(yè)的數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)訪問(wèn)的詳細(xì)記錄、監(jiān)測(cè)訪問(wèn)行為的合規(guī)性，針對(duì)違規(guī)操作、異常訪問(wèn)等及時(shí)發(fā)出告警，同時(shí)可通過(guò)與應(yīng)用層關(guān)聯(lián)審計(jì)發(fā)現(xiàn)前端的請(qǐng)求與后端的數(shù)據(jù)庫(kù)操作關(guān)聯(lián)性，爭(zhēng)取將安全風(fēng)險(xiǎn)控制在最小的范圍之內(nèi)。

4.構(gòu)建防信息泄露的城墻安全服務(wù)與安全產(chǎn)品是相輔相成的，兩者如磚頭和水泥的關(guān)系，一方面，脫離服務(wù)的安全產(chǎn)品無(wú)法發(fā)揮其固有的能力，另一方面，脫離產(chǎn)品的服務(wù)效率低下、成本過(guò)高。因此，安恒提出“產(chǎn)品服務(wù)化、服務(wù)產(chǎn)品化”的理念，以優(yōu)秀的產(chǎn)品、滿意的服務(wù)為客戶網(wǎng)絡(luò)安全提供保證。防泄密涉及網(wǎng)絡(luò)安全、主機(jī)安全、運(yùn)維安全等方方面面,建設(shè)應(yīng)用安全體系是解決防泄密問(wèn)題的核心所在。本方案中通過(guò)WEB應(yīng)用層面、數(shù)據(jù)庫(kù)層面、運(yùn)維操作層面進(jìn)行技術(shù)防范，降低泄密事件的風(fēng)險(xiǎn)。并針對(duì)現(xiàn)有系統(tǒng)提出了“事前+事中+事后”的安全防護(hù)方法。安恒公司依據(jù)多年的應(yīng)用與數(shù)據(jù)庫(kù)安全經(jīng)驗(yàn)，擁有自己獨(dú)到的針對(duì)信息與網(wǎng)絡(luò)安全和信息與網(wǎng)絡(luò)安全服務(wù)的方法論，來(lái)建設(shè)應(yīng)用安全體系：

一、加強(qiáng)系統(tǒng)安全體系建設(shè)，減少?gòu)南到y(tǒng)層發(fā)生信息泄密的發(fā)生：通過(guò)對(duì)系統(tǒng)層的安全風(fēng)險(xiǎn)評(píng)估，發(fā)現(xiàn)系統(tǒng)安全層面存在的安全隱患及問(wèn)題，并進(jìn)行安全加固；通過(guò)部署相應(yīng)的網(wǎng)絡(luò)防火墻進(jìn)行合理的訪問(wèn)控制及安全域劃分；建立運(yùn)維審計(jì)系統(tǒng)將遠(yuǎn)程運(yùn)維進(jìn)行安全審計(jì)，通過(guò)三個(gè)方面的建設(shè)加強(qiáng)系統(tǒng)安全體系建設(shè)。二、建設(shè)應(yīng)用安全體系，提高應(yīng)用層抗攻擊能力，降低信息泄密造成影響：通過(guò)對(duì)應(yīng)用層的安全風(fēng)險(xiǎn)評(píng)估，發(fā)現(xiàn)應(yīng)用安全層面存在的安全隱患及問(wèn)題，并進(jìn)行安全加固；建立事前預(yù)警機(jī)制，建設(shè)WEB應(yīng)用安全檢測(cè)系統(tǒng)和數(shù)據(jù)庫(kù)安全檢測(cè)系統(tǒng)，對(duì)已有業(yè)務(wù)系統(tǒng)及數(shù)據(jù)庫(kù)進(jìn)行安全檢查，減少信息泄密的發(fā)生；建立事中防護(hù)體系，建設(shè)WEB應(yīng)用防火墻，提高WEB應(yīng)用系統(tǒng)的抗風(fēng)險(xiǎn)能力；建立事后追溯手段，建設(shè)應(yīng)用與數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)，提高系統(tǒng)運(yùn)行的透明度，對(duì)用戶訪問(wèn)及數(shù)據(jù)庫(kù)操作行為進(jìn)行安全審計(jì)。三、提升信息安全管理水平，加強(qiáng)管理制度建，輔以安全培訓(xùn)及應(yīng)急響應(yīng)：建立應(yīng)急響應(yīng)機(jī)制，通過(guò)安恒專業(yè)的安全服務(wù)團(tuán)隊(duì)對(duì)發(fā)生的安全事件進(jìn)行專業(yè)分析與服務(wù)，幫助用戶快速地對(duì)安全事件進(jìn)行響應(yīng)；建立安全培訓(xùn)體系，通過(guò)定期專業(yè)安全培訓(xùn)提升企業(yè)的技術(shù)人員安全管理實(shí)力。通過(guò)管理制度建設(shè)，嚴(yán)格的安全管理制度、明確的部門安全職責(zé)劃分、合理的人員角色配置都可以在很大程度上降低其它層次的安全漏洞。4.1.加強(qiáng)系統(tǒng)安全體系上文提到了信息系統(tǒng)系統(tǒng)安全的重要性，據(jù)安恒公司的實(shí)際調(diào)研，大部分的企業(yè)都把業(yè)務(wù)系統(tǒng)及服務(wù)器托管至IDC機(jī)房，應(yīng)用服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器在網(wǎng)絡(luò)層面和應(yīng)用層面均沒有采取任何的防護(hù)措施，所有服務(wù)器的安全防護(hù)方面屬于在“裸奔”狀態(tài)下運(yùn)行，應(yīng)通過(guò)建立風(fēng)險(xiǎn)評(píng)估機(jī)制，充分考慮網(wǎng)絡(luò)訪問(wèn)控制、安全域劃分及運(yùn)維審計(jì)體系等安全管理措施。針對(duì)系統(tǒng)層安全進(jìn)行信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估與安全加固，并結(jié)合已有網(wǎng)絡(luò)訪問(wèn)控制手段加固訪問(wèn)控制策略；建立建全網(wǎng)絡(luò)訪問(wèn)控制機(jī)制及安全域劃分，對(duì)托管在IDC機(jī)房的所有設(shè)備進(jìn)行安全域劃分，管理與業(yè)務(wù)分離、應(yīng)用與數(shù)據(jù)分離；運(yùn)維審計(jì)，通過(guò)對(duì)遠(yuǎn)程運(yùn)維進(jìn)行合理有效地監(jiān)控，提升安全運(yùn)維的透明度，對(duì)運(yùn)維的操作進(jìn)行監(jiān)控審計(jì)；當(dāng)前系統(tǒng)層安全管理和網(wǎng)絡(luò)安全技術(shù)已經(jīng)非常成熟并得到廣大安全運(yùn)維人員的高度認(rèn)可，因此本文中不再講述這二個(gè)部份的建設(shè)內(nèi)容。系統(tǒng)安全，特別信息安全泄密事件中，有70％以上來(lái)自內(nèi)部，其中包括內(nèi)部人員的越權(quán)訪問(wèn)、濫用、誤操作等，以及訪問(wèn)控制不嚴(yán)格、設(shè)備自身日志簡(jiǎn)單、日趨復(fù)雜的系統(tǒng)、難以定位實(shí)際責(zé)任人、用戶操作難以審計(jì)等因素都可能造成風(fēng)險(xiǎn)。因此，完善的運(yùn)維審計(jì)系統(tǒng)是整個(gè)安全體系中不可缺少的組成部分，目前大多數(shù)企業(yè)對(duì)遠(yuǎn)程操作仍沒有特別有效的審計(jì)手段，通過(guò)運(yùn)維審計(jì)能夠有效地監(jiān)控遠(yuǎn)程操作協(xié)議，如RDP、SSH、TELNET、FTP等，以減少因遠(yuǎn)程運(yùn)維而發(fā)生的信息泄密的事件。運(yùn)維審計(jì)是一種符合4A(認(rèn)證Authentication、賬號(hào)Account、授權(quán)Authorization、審計(jì)Audit)統(tǒng)一安全管理平臺(tái)方案并且被加固的高性能抗網(wǎng)絡(luò)攻擊設(shè)備，具備很強(qiáng)安全防范能力，作為進(jìn)入內(nèi)部網(wǎng)絡(luò)的一個(gè)檢查點(diǎn)，能夠攔截非法訪問(wèn)和惡意攻擊，對(duì)不合法命令進(jìn)行阻斷，過(guò)濾掉所有對(duì)目標(biāo)設(shè)備的非法訪問(wèn)行為。運(yùn)維審計(jì)應(yīng)能支持Telnet、SSH、FTP、SFTP、RDP、VNC、X11等協(xié)議，支持單點(diǎn)登錄、統(tǒng)一賬戶管理、自定義策略、日志回放、報(bào)表等功能，保證內(nèi)部用戶的操作和行為可控、可視、可管理、可跟蹤、可審計(jì)。系統(tǒng)具備強(qiáng)大的輸入輸出審計(jì)功能，為企事業(yè)內(nèi)部提供完全的審計(jì)信息，通過(guò)賬號(hào)管理、身份認(rèn)證、資源授權(quán)、實(shí)時(shí)監(jiān)控、操作還原、自定義策略、日志服務(wù)等操作增強(qiáng)審計(jì)信息的安全性。

4.2建立事前預(yù)警機(jī)制針對(duì)現(xiàn)有的業(yè)務(wù)系統(tǒng)和數(shù)據(jù)庫(kù)進(jìn)行風(fēng)險(xiǎn)評(píng)估與安全加固，應(yīng)用安全評(píng)估主要是通過(guò)安全漏洞掃描、人工安全檢查、滲透測(cè)試等方式對(duì)業(yè)務(wù)系統(tǒng)的數(shù)據(jù)庫(kù)系統(tǒng)、應(yīng)用系統(tǒng)、WEB系統(tǒng)的安全性進(jìn)行評(píng)估。隨著企業(yè)應(yīng)用系統(tǒng)及數(shù)據(jù)庫(kù)的不斷更新升級(jí)，原有漏洞的加固或業(yè)務(wù)系統(tǒng)新功能的增加，或多或少都可能產(chǎn)生新的漏洞，企業(yè)應(yīng)具備有效地檢測(cè)預(yù)警手段，能夠及時(shí)了解并掌握應(yīng)用系統(tǒng)及數(shù)據(jù)庫(kù)自身是否存在著安全隱患，盡可能地避免漏洞對(duì)外發(fā)布。通過(guò)建立WEB應(yīng)用安全檢測(cè)系統(tǒng)和數(shù)據(jù)庫(kù)安全檢測(cè)系統(tǒng)，發(fā)現(xiàn)業(yè)務(wù)系統(tǒng)及數(shù)據(jù)庫(kù)的漏洞情況，并對(duì)其進(jìn)行安全加固和升級(jí)。4.2.1WEB應(yīng)用系統(tǒng)檢測(cè)機(jī)制企業(yè)通過(guò)建立WEB應(yīng)用安全檢測(cè)系統(tǒng)，對(duì)更新升級(jí)的業(yè)務(wù)系統(tǒng)進(jìn)行上線前的檢測(cè)，及時(shí)發(fā)現(xiàn)WEB應(yīng)用的常見技術(shù)弱點(diǎn)，攔截因業(yè)務(wù)系統(tǒng)的更新將漏洞暴露。檢測(cè)系統(tǒng)本質(zhì)是一種模擬常見WEB攻擊的非破壞性的工具，在WEB應(yīng)用的開發(fā)、測(cè)試、運(yùn)維階段，經(jīng)常作為一種事前的安全檢查用具，來(lái)快速高效地，發(fā)現(xiàn)系統(tǒng)可能存在的弱點(diǎn)，系統(tǒng)支持OWASPTOP10檢測(cè)，可以幫助用戶充分了解WEB應(yīng)用存在的安全隱患，建立安全可靠的WEB應(yīng)用服務(wù)，改善并提升應(yīng)用系統(tǒng)抗各類WEB應(yīng)用攻擊的能力（如：注入攻擊、跨站腳本、釣魚攻擊、信息泄漏、惡意編碼、表單繞過(guò)、緩沖區(qū)溢出等），協(xié)助用戶滿足等級(jí)保護(hù)、PCI、內(nèi)控審計(jì)等規(guī)范要求。功能如下圖所示：

數(shù)據(jù)庫(kù)檢測(cè)機(jī)制企業(yè)通過(guò)建立數(shù)據(jù)庫(kù)安全檢測(cè)系統(tǒng)，發(fā)現(xiàn)業(yè)務(wù)系統(tǒng)所依靠的核心數(shù)據(jù)庫(kù)是否存在安全漏洞，如默認(rèn)密碼、弱口令、不安全的配置等。數(shù)據(jù)庫(kù)安全檢測(cè)系統(tǒng)是專門針對(duì)于數(shù)據(jù)庫(kù)管理系統(tǒng)的脆弱性檢測(cè)而開發(fā)的一種安全工具，主要包含前端程序和掃描引擎兩部分。引擎的功能是訪問(wèn)要掃描的數(shù)據(jù)庫(kù)，執(zhí)行前端提交的掃描請(qǐng)求，并將掃描結(jié)果返回前端。前端功能是與用戶交互，主要功能模塊包含：項(xiàng)目管理、掃描管理、報(bào)表管理、用戶權(quán)限管理、策略管理、日志管理。引擎和前端程序可以分開運(yùn)行，它們之間一般采用自定義的網(wǎng)絡(luò)協(xié)議通信。功能如下圖所示：

4.3建立事中防護(hù)體系安全的信息系統(tǒng)需要涉及物理層、網(wǎng)絡(luò)層、應(yīng)用層、主機(jī)層方方面面的安全防御措施，目前企業(yè)的尚缺少有力的應(yīng)用層安全防御措施，應(yīng)切實(shí)建設(shè)相應(yīng)的安全防御措施，提高系統(tǒng)的抗風(fēng)險(xiǎn)能力。當(dāng)前最為高效的解決方法是在WEB應(yīng)用前端部署WEB應(yīng)用防火墻，實(shí)現(xiàn)對(duì)WEB應(yīng)用安全防御。本項(xiàng)目中主要的應(yīng)用系統(tǒng)為WEB應(yīng)用尚未部署WEB應(yīng)用防火墻。Web應(yīng)用防火墻（WebApplicationFirewall，簡(jiǎn)稱：WAF）是通過(guò)執(zhí)行一系列針對(duì)HTTP/HTTPS的安全策略來(lái)專門為Web應(yīng)用提供保護(hù)的一款產(chǎn)品。主要功能是：檢測(cè)、防御并記錄的WEB攻擊、應(yīng)用加速、抗應(yīng)用層DDOS、防篡改等。它是攻擊發(fā)生時(shí)，提升系統(tǒng)防御能力的主要手段，能夠阻擋攻擊者對(duì)WEB應(yīng)用程序漏洞的利用，為修復(fù)程序漏洞爭(zhēng)取時(shí)間。在WAF的保護(hù)下，也能夠提升新業(yè)務(wù)系統(tǒng)上線的速度。甚至于，保護(hù)哪些歷史上遺留下來(lái)，已經(jīng)找不到開發(fā)者修復(fù)漏洞的歷史遺留WEB應(yīng)用系統(tǒng)。它的一個(gè)常見部署方式如下：透明直連模式不需要給WAF配置IP地址，只要將WAF接入業(yè)務(wù)鏈路，配置好保護(hù)的WEB應(yīng)用服務(wù)器的IP地址及端口，就可以實(shí)現(xiàn)對(duì)WEB應(yīng)用業(yè)務(wù)的安全檢測(cè)。而部署WAF，不但不會(huì)影響業(yè)務(wù)系統(tǒng)的性能，同時(shí)還能夠提升應(yīng)用交付。4.4建立事后追溯手段企業(yè)核心數(shù)據(jù)庫(kù)存貯有大量的用戶信息，以及大量的有價(jià)值的其它信息資產(chǎn)。如果處理不當(dāng)敏感的數(shù)據(jù)庫(kù)信息被竊取將會(huì)導(dǎo)致極大的信譽(yù)危機(jī)，對(duì)企業(yè)造成重大影響。本項(xiàng)目中應(yīng)部署專業(yè)的數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)訪問(wèn)的詳細(xì)記錄、監(jiān)測(cè)訪問(wèn)行為的合規(guī)性，針對(duì)違規(guī)操作、異常訪問(wèn)等及時(shí)發(fā)出告警，同時(shí)可通過(guò)與應(yīng)用層關(guān)聯(lián)審計(jì)發(fā)現(xiàn)前端的請(qǐng)求與后端的數(shù)據(jù)庫(kù)操作關(guān)聯(lián)性，爭(zhēng)取將安全風(fēng)險(xiǎn)控制在最小的范圍之內(nèi)。數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)是一種檢測(cè)、響應(yīng)、記錄并分析對(duì)數(shù)據(jù)庫(kù)操作的安全管理設(shè)備。通過(guò)部署數(shù)據(jù)庫(kù)審計(jì)能夠?qū)崿F(xiàn)：對(duì)數(shù)據(jù)庫(kù)的對(duì)象（包括用戶（數(shù)據(jù)庫(kù)）、表、字段、視圖、索引、存儲(chǔ)過(guò)程、包等）進(jìn)行審計(jì)規(guī)則定制，制定細(xì)粒度的審計(jì)規(guī)則，如精細(xì)到表、字段、具體報(bào)文內(nèi)容的細(xì)粒度審計(jì)規(guī)則，實(shí)現(xiàn)對(duì)敏感信息的精細(xì)監(jiān)控；基于IP地址、MAC地址和端口號(hào)審計(jì)；根據(jù)SQL執(zhí)行時(shí)間長(zhǎng)短、根據(jù)SQL執(zhí)行回應(yīng)以及具體報(bào)文內(nèi)容等設(shè)定規(guī)則等。數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)不僅能夠檢測(cè)、記錄與回放攻擊者的在任何時(shí)間的操作行為，也應(yīng)當(dāng)能夠展現(xiàn)其已經(jīng)獲取到的信息，讓運(yùn)維和安全人員了解到當(dāng)前造成的損失。如圖所示：對(duì)于B/S架構(gòu)的應(yīng)用系統(tǒng)而言，用戶通過(guò)WEB應(yīng)用服務(wù)器實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)的訪問(wèn)，傳統(tǒng)的數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)只能審計(jì)到WEB應(yīng)用服務(wù)器的相關(guān)信息，無(wú)法識(shí)別是哪個(gè)原始訪問(wèn)者發(fā)出的請(qǐng)求。而通過(guò)關(guān)聯(lián)應(yīng)用層的訪問(wèn)和數(shù)據(jù)庫(kù)層的訪問(wèn)操作請(qǐng)求，可以追溯到應(yīng)用層的原始訪問(wèn)者及請(qǐng)求信息（如：操作發(fā)生的URL、客戶端的IP等信息），產(chǎn)品主要根據(jù)時(shí)間片、關(guān)鍵字等要素進(jìn)行信息篩選，以確定符合數(shù)據(jù)庫(kù)操作請(qǐng)求的WEB訪問(wèn)，通過(guò)三層審計(jì)更精確地定位事件發(fā)生前后所有層面的訪問(wèn)及操作請(qǐng)求。如圖所示：4.5提升信息安全管理水平企業(yè)的信息安全管理體系不僅僅做了風(fēng)險(xiǎn)評(píng)估、部署了安全產(chǎn)品，就認(rèn)為信息系統(tǒng)安全了，管理與技術(shù)任何一方面存在隱患或漏洞，都可能對(duì)企業(yè)的業(yè)務(wù)系統(tǒng)及信息數(shù)據(jù)造成影響，甚至破壞。我們?cè)诜佬畔⑿姑艿倪^(guò)程中不僅需要加強(qiáng)企業(yè)的信息系統(tǒng)安全技術(shù)水平，還應(yīng)在信息安全管理上面進(jìn)行提升。我們輔以應(yīng)急響應(yīng)機(jī)制、安全培訓(xùn)體系以及管理制度的建設(shè)，以幫助企業(yè)在信息系統(tǒng)安全管理方面達(dá)到一定的高度，盡可能地避免安全事件的發(fā)生，減少對(duì)企業(yè)形象的影響。附錄：安恒信息簡(jiǎn)介杭州安恒信息技術(shù)(DBAPPSecurity)，簡(jiǎn)稱“安恒信息”，是業(yè)界領(lǐng)先的應(yīng)用安全及數(shù)據(jù)庫(kù)安全整體解決方案提供商，專注于應(yīng)用安全前沿趨勢(shì)的研究和分析，核心團(tuán)隊(duì)擁有多年應(yīng)用安全和數(shù)據(jù)庫(kù)安全的深厚技術(shù)背景以及最佳安全攻防實(shí)踐經(jīng)驗(yàn)，以全球領(lǐng)先具有完全自主知識(shí)產(chǎn)權(quán)的專利技術(shù)，致力于為客戶提供應(yīng)用安全、數(shù)據(jù)庫(kù)安全、不良網(wǎng)站監(jiān)測(cè)、安全管理平臺(tái)等整體解決方案?！鞍埠阈畔ⅰ肮究偛课挥诤贾莞咝聟^(qū)，在北京、上海、廣州、深圳、成都、重慶、西安、濟(jì)南、南京、美國(guó)硅谷等地都設(shè)有分支機(jī)構(gòu)、遍布全國(guó)的代理商體系以及銷售與服務(wù)網(wǎng)絡(luò)能夠?yàn)橛脩籼峁┚珳?zhǔn)、專業(yè)的服務(wù)。公司成立以來(lái)安恒人始終以建立民族自主品牌為己任，秉承“精品創(chuàng)新，恒久品質(zhì)”的理念，力爭(zhēng)打造中國(guó)信息安全產(chǎn)業(yè)應(yīng)用安全與數(shù)據(jù)庫(kù)安全第一品牌。多年來(lái)，“安恒信息”以其精湛的技術(shù)，專業(yè)的服務(wù)得到了廣大客戶的青睞，同時(shí)贏得了高度的商業(yè)信譽(yù)。其客戶遍布全國(guó)，涉及金融、運(yùn)營(yíng)商、政府、公安、電力能源、教育、醫(yī)療、稅務(wù)/工商、社保、等保評(píng)估/安全服務(wù)機(jī)構(gòu)、電子商務(wù)企業(yè)等眾多行業(yè)?！鞍埠阈畔ⅰ澳壳皳碛忻麒b、明御兩大系列自主研發(fā)產(chǎn)品，是應(yīng)用安全、數(shù)據(jù)庫(kù)審計(jì)、不良網(wǎng)站監(jiān)測(cè)等領(lǐng)域的市場(chǎng)絕對(duì)領(lǐng)導(dǎo)者。其中明鑒?系列應(yīng)用掃描器被公安部三所測(cè)評(píng)中心等國(guó)內(nèi)權(quán)威等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)廣泛使用。未來(lái)，“安恒信息“將繼續(xù)秉承誠(chéng)信和創(chuàng)新精神，繼續(xù)致力于提供具有國(guó)際競(jìng)爭(zhēng)力的自主創(chuàng)新產(chǎn)品和服務(wù)，全面保障客戶應(yīng)用與數(shù)據(jù)庫(kù)的安全，為打造世界頂級(jí)的產(chǎn)品而不懈努力。作為2021北京奧組委安全產(chǎn)品和服務(wù)提供商，“安恒信息”被奧組委授予“奧運(yùn)信息安全保障杰出貢獻(xiàn)獎(jiǎng)”。在2021年建國(guó)60周年全國(guó)網(wǎng)站安全大檢查中，公安部和工信部安全中心均選用安恒信息明鑒應(yīng)用弱點(diǎn)掃描作為安全檢查工具并發(fā)揮了重大作用。2021年，“安恒信息”作為上海世博會(huì)安全產(chǎn)品和服務(wù)的提供商，為上海世博會(huì)信息安全保駕護(hù)航。2021年，“安恒信息”作為廣州亞運(yùn)會(huì)安全產(chǎn)品和服務(wù)的提供商，為廣州亞運(yùn)會(huì)信息安全保駕護(hù)航。2021年，“安恒信息”作為深圳大運(yùn)會(huì)安全產(chǎn)品和服務(wù)的提供商，為深圳大運(yùn)會(huì)信息安全保駕護(hù)航。上海徠木電子股份安全標(biāo)準(zhǔn)化文件A0新版發(fā)行新版發(fā)行版次修訂頁(yè)次實(shí)施日期修改簡(jiǎn)記制定Prepared日期Date審核Checked日期Date批準(zhǔn)Approved日期Date1.目標(biāo)規(guī)范基本用電要求，避免電擊、電氣火災(zāi)等電氣事故，促進(jìn)安全生產(chǎn)。2.范圍XXX各部門。3.定義無(wú)4.職責(zé)4.1設(shè)備部是車間配電系統(tǒng)的主管部門，負(fù)責(zé)車間配電系統(tǒng)的管理，包括日常安全巡檢、新設(shè)備布線審核、外來(lái)用電審核與監(jiān)管等；4.2行政部是公共區(qū)域配電系統(tǒng)主管部門，負(fù)責(zé)公共配電系統(tǒng)的管理，包括日常安全巡檢、外來(lái)用電審核與監(jiān)管等；4.3采購(gòu)部等部門購(gòu)買符合安全要求、具有3C認(rèn)證標(biāo)示的電氣耗材；4.4廠務(wù)部負(fù)責(zé)新置設(shè)備安裝電源的報(bào)批，設(shè)備部審核、董事長(zhǎng)批準(zhǔn)后組織安裝電源；4.5各部門負(fù)責(zé)轄區(qū)的安全用電檢查與管理；4.6安全部監(jiān)督各責(zé)任部門、責(zé)任人開展安全用電管理。5.工作程序5.1配電系統(tǒng)基本要求：線路負(fù)載不得超過(guò)線路承載能力；5.1.2開關(guān)與輸出負(fù)載匹配，異常時(shí)能夠自動(dòng)切斷電源；5.1.3保障安全用電保護(hù)措施存在并且有效：電氣絕緣、屏護(hù)和間距、接地系統(tǒng)、漏電保護(hù)裝置、短路保護(hù)裝置和過(guò)載保護(hù)裝置、接地電阻等存在且有效。5.2安全用電基本要求：5.2.1燈具安裝要求：室外220伏燈具距離地面不低于3米，室內(nèi)不低于2.5米；易燃易爆場(chǎng)所應(yīng)使用防爆型電氣設(shè)備等；普通燈具與易燃物品距離不得小于30厘米。5.2.2移動(dòng)電氣設(shè)備使用要求：定期對(duì)絕緣電阻進(jìn)行檢測(cè)，絕緣電阻應(yīng)小于1兆歐，電源線應(yīng)采用三芯或四芯多股橡膠電纜，無(wú)接頭，不得跨越通道，絕緣層無(wú)破損，長(zhǎng)度不得超過(guò)5米，