等保三級建設(shè)方案

PAGE 網(wǎng)絡(luò)安全等級保護(hù)三級建設(shè)方案

目錄1 概述 51.1 建設(shè)背景 51.2 安全目標(biāo) 51.3 建設(shè)依據(jù) 62 需求分析 72.1 安全物理環(huán)境需求 72.2 安全通信網(wǎng)絡(luò)需求 72.3 安全區(qū)域邊界需求 82.4 安全計(jì)算環(huán)境需求 82.5 安全管理中心需求 92.6 構(gòu)建安全管理保障體系 92.7 構(gòu)建安全運(yùn)維體系 103 總體方案介紹： 103.1 設(shè)計(jì)原則 103.2 網(wǎng)絡(luò)安全等級保護(hù)建設(shè)過程 123.3 安全保障體系構(gòu)成 123.3.1 安全技術(shù)體系 123.3.2 安全管理體系 133.3.3 安全運(yùn)維體系 134 安全技術(shù)體系設(shè)計(jì) 134.1 安全區(qū)劃分 134.2 整體方案拓?fù)湓O(shè)計(jì) 144.3 安全物理環(huán)境保護(hù)措施 154.4 安全通信網(wǎng)絡(luò)保護(hù)措施 164.4.1 通信傳輸安全 164.4.2 網(wǎng)絡(luò)架構(gòu)安全 174.4.3 網(wǎng)絡(luò)設(shè)備自身防護(hù) 174.5 安全區(qū)域邊界保護(hù)措施 184.5.1 負(fù)載均衡技術(shù) 184.5.2 Ddos防護(hù)技術(shù) 184.5.3 邊界訪問控制技術(shù) 184.5.4 入侵防范技術(shù) 194.5.5 惡意代碼防范技術(shù) 194.5.6 網(wǎng)絡(luò)審計(jì)技術(shù) 194.5.7 邊界完整性技術(shù) 204.6 安全計(jì)算環(huán)境設(shè)計(jì) 204.6.1 主機(jī)防病毒技術(shù) 204.6.2 Web防火墻技術(shù) 214.6.3 漏洞掃描技術(shù) 214.6.4 數(shù)據(jù)庫審計(jì)技術(shù) 214.6.5 數(shù)據(jù)備份技術(shù) 214.7 安全管理中心保護(hù)措施 224.7.1 安全運(yùn)維管理與審計(jì)技術(shù) 224.7.2 集中日志收集與分析技術(shù) 224.7.3 安全集中管控 225 安全管理體系設(shè)計(jì) 235.1 安全管理機(jī)構(gòu)設(shè)計(jì) 235.1.1 網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組 285.1.2 信息中心 295.1.3 安全維護(hù)組 305.1.4 安全審計(jì)組 315.1.5 安全監(jiān)控中心 315.2 安全管理人員設(shè)計(jì) 325.2.1 人員錄用 325.2.2 人員離崗 325.2.3 安全意識教育和培訓(xùn) 335.2.4 外部人員訪問管理 335.3 安全管理制度設(shè)計(jì) 345.3.1 規(guī)章制度 355.3.2 管理流程 375.3.3 安全技術(shù)規(guī)范 375.3.4 保密協(xié)議 385.4 安全建設(shè)管理設(shè)計(jì) 385.4.1 系統(tǒng)定級和備案 385.4.2 安全方案設(shè)計(jì) 395.4.3 安全產(chǎn)品采購 405.4.4 外包軟件開發(fā) 405.4.5 工程實(shí)施 405.4.6 測試驗(yàn)收 415.4.7 系統(tǒng)交付 415.4.8 等級測評 415.4.9 安全服務(wù)商選擇 425.5 安全運(yùn)維管理設(shè)計(jì) 425.5.1 環(huán)境管理 425.5.2 資產(chǎn)管理 435.5.3 介質(zhì)管理 435.5.4 設(shè)備維護(hù)管理 445.5.5 漏洞和風(fēng)險管理 445.5.6 網(wǎng)絡(luò)和系統(tǒng)安全管理 445.5.7 配置安全管理 455.5.8 惡意代碼防范 465.5.9 密碼管理 465.5.10 變更管理 465.5.11 備份及恢復(fù)管理 475.5.12 安全事件處置 475.5.13 應(yīng)急預(yù)案管理 485.5.14 外包運(yùn)維管理 486 安全運(yùn)維服務(wù)設(shè)計(jì) 506.1 安全咨詢服務(wù) 506.2 安全評估服務(wù) 526.3 安全加固服務(wù) 536.4 滲透測試服務(wù) 536.5 安全配置檢查服務(wù) 546.6 應(yīng)急響應(yīng)服務(wù) 546.7 系統(tǒng)上線前檢測服務(wù) 56概述建設(shè)背景隨著信息化建設(shè)的推進(jìn)，信息化建設(shè)成效顯著，但網(wǎng)絡(luò)環(huán)境各種安全漏洞層出不窮、安全形式嚴(yán)峻，僅靠現(xiàn)有的安全設(shè)備無法保證信息系統(tǒng)的安全運(yùn)行。為加強(qiáng)信息系統(tǒng)綜合安全防御體系，本次安全建設(shè)按照國家等保要求《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》以及相關(guān)規(guī)定對XXXXX信息系統(tǒng)及網(wǎng)絡(luò)進(jìn)行相關(guān)規(guī)劃和部署。建立信息系統(tǒng)綜合防護(hù)體系，落實(shí)安全保護(hù)技術(shù)措施，使信息系統(tǒng)安全管理水平明顯提高，安全保護(hù)能力明顯增強(qiáng)，安全隱患明顯減少，有效保障信息化健康發(fā)展。安全目標(biāo)本次開展網(wǎng)絡(luò)安全等級保護(hù)建設(shè)工作的總體目標(biāo)是：“遵循國家網(wǎng)絡(luò)安全等級保護(hù)有關(guān)法規(guī)規(guī)定和標(biāo)準(zhǔn)規(guī)范，通過全面開展網(wǎng)絡(luò)安全等級保護(hù)定級備案、建設(shè)整改和等級測評工作，進(jìn)一步完善信息系統(tǒng)安全管理體系和技術(shù)防護(hù)體系，增強(qiáng)網(wǎng)絡(luò)安全保護(hù)意識，明確網(wǎng)絡(luò)安全保障重點(diǎn)，落實(shí)網(wǎng)絡(luò)安全責(zé)任，切實(shí)提高系統(tǒng)網(wǎng)絡(luò)安全防護(hù)能力，為業(yè)務(wù)工作順利開展和信息化健康發(fā)展提供可靠保障?！本唧w目標(biāo)包括：（1）體系建設(shè)，實(shí)現(xiàn)按需防御。通過體系設(shè)計(jì)制定等級方案，進(jìn)行安全技術(shù)體系、安全管理體系和安全運(yùn)維體系建設(shè)，實(shí)現(xiàn)按需防御。（2）安全運(yùn)維，確保持續(xù)安全。通過安全監(jiān)控、安全加固等運(yùn)維手段，從事前、事中、事后三個方面進(jìn)行安全運(yùn)行維護(hù)，實(shí)現(xiàn)持續(xù)性按需防御的安全需求。（3）通過合規(guī)性建設(shè)，提升信息系統(tǒng)安全防護(hù)能力，保障系統(tǒng)網(wǎng)絡(luò)安全，同時滿足國家等級保護(hù)的合規(guī)性要求，為信息化工作的推進(jìn)保駕護(hù)航。建設(shè)依據(jù)國家政策相關(guān)文件（1）《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》（國務(wù)院147號令）；（2）《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)網(wǎng)絡(luò)安全保障工作的意見》（中辦發(fā)[2003]27號）；（3）《關(guān)于網(wǎng)絡(luò)安全等級保護(hù)工作的實(shí)施意見》（公通字[2004]66號）；（4）《信息安全等級保護(hù)管理辦法》（公通字[2007]43號）；（5）《信息安全等級保護(hù)備案實(shí)施細(xì)則》（公信安[2007]1360號）；（6）《關(guān)于開展網(wǎng)絡(luò)安全等級保護(hù)安全建設(shè)整改工作的指導(dǎo)意見》（公信安[2009]1429號）。（7）《中華人民共和國網(wǎng)絡(luò)安全法》等級保護(hù)及網(wǎng)絡(luò)安全相關(guān)國家標(biāo)準(zhǔn)（1）《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》（GB17859-1999）；（2）《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)實(shí)施指南》（GBT25058-2010）；（3）《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)定級指南》（GB/T22240-2020）；（4）《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》（GB/T22239-2019）（5）《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)設(shè)計(jì)技術(shù)要求》（GB/T25070-2019）（6）《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)測評要求》（GB/T28448-2019）（7）《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)等級保護(hù)測評過程指南》（GB/T28449-2018）；（8）《信息安全技術(shù)網(wǎng)絡(luò)安全風(fēng)險評估規(guī)范》（GB/T20984-2007）；（9）《信息安全技術(shù)信息系統(tǒng)安全管理要求》（GB/T20269-2006）；（10）《信息技術(shù)安全技術(shù)網(wǎng)絡(luò)安全管理體系要求》（GB/T22080-2008（idtISO/IEC27001:2013））；（11）《信息技術(shù)安全技術(shù)網(wǎng)絡(luò)安全管理實(shí)用準(zhǔn)則》（GB/T22081-2008（idtISO/IEC27002:2013））；（12）《信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求》（GB/T20271-2006）及相關(guān)的一系列具體技術(shù)標(biāo)準(zhǔn)。需求分析安全物理環(huán)境需求機(jī)房出入口區(qū)域若無任何訪問控制措施，辦公或外來人員可隨意進(jìn)出機(jī)房，無任何管控、監(jiān)控措施，存在較大安全隱患；機(jī)房內(nèi)若無防火措施，一旦發(fā)生火情，無任何消防處置措施，存在安全隱患；因此本次安全建設(shè)需保障XXXXX網(wǎng)絡(luò)環(huán)境周邊物理環(huán)境安全和物理設(shè)備和線路的持續(xù)使用。安全通信網(wǎng)絡(luò)需求通信網(wǎng)絡(luò)重點(diǎn)關(guān)注的安全問題主要是網(wǎng)絡(luò)傳輸?shù)陌踩浴⒕W(wǎng)絡(luò)架構(gòu)的穩(wěn)定性等。因此在XXXXX網(wǎng)絡(luò)通信安全方面需要采用的安全技術(shù)手段包括：通信傳輸安全需求：公司員工進(jìn)行遠(yuǎn)程辦公或運(yùn)維人員遠(yuǎn)程運(yùn)維時，數(shù)據(jù)需要通過互聯(lián)網(wǎng)進(jìn)行傳輸，如若不采取安全措施，傳輸數(shù)據(jù)易被竊聽或篡改；網(wǎng)絡(luò)架構(gòu)安全需求：為防止網(wǎng)絡(luò)出現(xiàn)單點(diǎn)故障，同時保證網(wǎng)絡(luò)架構(gòu)安全，建議對網(wǎng)絡(luò)進(jìn)行區(qū)域的合理劃分、對重要網(wǎng)絡(luò)區(qū)域的可靠隔離、同時需進(jìn)行通信鏈路和節(jié)點(diǎn)設(shè)備的硬件冗余設(shè)計(jì)。網(wǎng)絡(luò)安全設(shè)備自身存在的安全弱點(diǎn)網(wǎng)絡(luò)中部署的網(wǎng)絡(luò)設(shè)備，如安全防護(hù)設(shè)備、交換機(jī)等，存在固有的或配置、使用上的安全弱點(diǎn)，一旦被暴露，可能導(dǎo)致網(wǎng)絡(luò)設(shè)備自身的不安全。例如對網(wǎng)絡(luò)設(shè)備登錄用戶的身份鑒別機(jī)制過于簡單，對用戶的登錄和訪問行為缺少控制和審計(jì)，對特權(quán)用戶沒有進(jìn)行權(quán)限分離等。安全區(qū)域邊界需求區(qū)域邊界重點(diǎn)關(guān)注的安全問題主要是對流入、流出邊界的數(shù)據(jù)流進(jìn)行有效的控制和監(jiān)督。因此在XXXXX網(wǎng)絡(luò)區(qū)域邊界安全方面需要采用的安全技術(shù)手段包括：異常流量管理與抗拒絕服務(wù)攻擊：在互聯(lián)網(wǎng)出口能夠準(zhǔn)確識別夾雜在復(fù)雜網(wǎng)絡(luò)流量中的各種已知和未知的應(yīng)用層拒絕服務(wù)攻擊流量，并提供實(shí)時過濾和清洗，確保應(yīng)用服務(wù)持續(xù)可用。邊界安全控制：在互聯(lián)網(wǎng)邊界、內(nèi)部各個網(wǎng)絡(luò)區(qū)域邊界以及虛擬機(jī)邊界可根據(jù)基于會話狀態(tài)檢測的訪問控制，默認(rèn)拒絕所有進(jìn)出通信，對于合法通信明確設(shè)置允許規(guī)則；啟用應(yīng)用識別和過濾功能，對進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流實(shí)現(xiàn)基于應(yīng)用協(xié)議和協(xié)議指令的訪問控制。病毒過濾網(wǎng)關(guān)：能夠?qū)W(wǎng)絡(luò)數(shù)據(jù)流中夾帶的惡意代碼進(jìn)行檢測和清除，并提供病毒庫和檢測引擎的自動升級更新。網(wǎng)絡(luò)入侵防御：需要在互聯(lián)網(wǎng)接入邊界，實(shí)時發(fā)現(xiàn)和阻止從外部網(wǎng)絡(luò)發(fā)起的網(wǎng)絡(luò)攻擊行為；非法外聯(lián)監(jiān)控：防止內(nèi)部終端設(shè)備繞過網(wǎng)絡(luò)邊界安全設(shè)備私自連接外部網(wǎng)絡(luò)，給信息系統(tǒng)帶來無法預(yù)見和控制的安全風(fēng)險。網(wǎng)絡(luò)審計(jì)：對各類用戶的網(wǎng)絡(luò)訪問行為和網(wǎng)絡(luò)傳輸內(nèi)容進(jìn)行記錄，對所發(fā)生安全事故的追蹤與調(diào)查取證提供詳實(shí)縝密的數(shù)據(jù)支持。安全計(jì)算環(huán)境需求計(jì)算環(huán)境重點(diǎn)關(guān)注的安全問題主要是相關(guān)業(yè)務(wù)系統(tǒng)的安全和承載業(yè)務(wù)系統(tǒng)的硬件安全。因此XXXXX網(wǎng)絡(luò)在區(qū)域邊界安全方面需要采用的安全技術(shù)手段包括：統(tǒng)一身份鑒別：需對登錄操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應(yīng)用系統(tǒng)的用戶進(jìn)行集中的身份標(biāo)識和鑒別，確保只有認(rèn)證用戶才能訪問其授權(quán)范圍內(nèi)的系統(tǒng)和數(shù)據(jù)資源。網(wǎng)絡(luò)防病毒：需要在所有服務(wù)器、終端系統(tǒng)中部署防病毒軟件來保護(hù)其免受惡意代碼侵害。網(wǎng)站安全：XXXXX網(wǎng)絡(luò)在對外提供網(wǎng)站服務(wù)時，需能有效抵御黑客攻擊、SQL注入、XSS、網(wǎng)頁篡改等攻擊威脅，防止被非法篡改和破壞，能有效保護(hù)網(wǎng)站安全運(yùn)行。漏洞掃描：需要采用專業(yè)的安全漏洞掃描工具，配合人工服務(wù)，定期對XXXXX網(wǎng)絡(luò)網(wǎng)站的網(wǎng)絡(luò)、服務(wù)器、重要終端中存在的已知安全漏洞進(jìn)行掃描和評估，并及時封堵漏洞，做到防患于未然。數(shù)據(jù)庫訪問控制和安全審計(jì)：針對數(shù)據(jù)庫服務(wù)器，能夠進(jìn)行細(xì)粒度的訪問控制與審計(jì)。日志審計(jì)：對XXXXX網(wǎng)絡(luò)的所有服務(wù)器操作系統(tǒng)、應(yīng)用系統(tǒng)和新增的各種安全系統(tǒng)均開啟完整的日志記錄功能，對重要的用戶行為和重要安全事件進(jìn)行審計(jì)，并將審計(jì)記錄實(shí)時發(fā)送給集中的日志服務(wù)器，便于長期存儲保護(hù)和分析使用。數(shù)據(jù)備份恢復(fù)：通過構(gòu)建數(shù)據(jù)備份系統(tǒng)，當(dāng)發(fā)生安全事件后能迅速恢復(fù)，不影響業(yè)務(wù)正常運(yùn)行。安全管理中心需求XXXXX網(wǎng)絡(luò)缺少相應(yīng)的技術(shù)手段來對網(wǎng)絡(luò)內(nèi)部眾多的網(wǎng)絡(luò)設(shè)備、安全設(shè)備以及服務(wù)器的集中管理，缺乏對各種安全事件進(jìn)行統(tǒng)一監(jiān)測、分析、預(yù)警的能力，同時網(wǎng)絡(luò)安全管理和運(yùn)維工作效率低下、工作負(fù)擔(dān)重，需要借助自動化、平臺化的技術(shù)工具提高管理效率。構(gòu)建安全管理保障體系根據(jù)國家有關(guān)網(wǎng)絡(luò)安全等級保護(hù)方面的標(biāo)準(zhǔn)和規(guī)范要求，結(jié)合XXXXX網(wǎng)絡(luò)實(shí)際安全需求，建立一套切實(shí)可行的安全管理體系。安全管理是安全系統(tǒng)建設(shè)的重要部分，是保障安全技術(shù)手段發(fā)揮正常功效的保障之一，安全管理的根本目的是規(guī)范和約束相關(guān)的系統(tǒng)運(yùn)行維護(hù)的安全操作，貫徹執(zhí)行安全策略的各項(xiàng)要求，安全管理的具體表現(xiàn)形式往往為安全管理規(guī)范的出臺和實(shí)施。為了保障XXXXX網(wǎng)絡(luò)的長期健康運(yùn)營，需要建立規(guī)范的網(wǎng)絡(luò)安全管理體系。構(gòu)建安全運(yùn)維體系為確保XXXXX網(wǎng)絡(luò)長期穩(wěn)定、可靠、安全地運(yùn)行，需要建立專有的對信息系統(tǒng)進(jìn)行安全運(yùn)維的組織團(tuán)隊(duì)。必要時需要借助專業(yè)的第三方安全服務(wù)團(tuán)隊(duì)，幫助XXXXX網(wǎng)絡(luò)對整個網(wǎng)絡(luò)安全狀況實(shí)行動態(tài)維護(hù)，使信息系統(tǒng)安全保障能力始終保持在較高水平。安全運(yùn)維服務(wù)的主要工作包括安全評估、安全加固、安全監(jiān)控、安全巡檢、應(yīng)急響應(yīng)等?？傮w方案介紹：設(shè)計(jì)原則信息系統(tǒng)網(wǎng)絡(luò)安全等級保護(hù)的建設(shè)需要充分考慮長遠(yuǎn)發(fā)展需求，統(tǒng)一規(guī)劃、統(tǒng)一布局、統(tǒng)一設(shè)計(jì)、規(guī)范標(biāo)準(zhǔn)，并根據(jù)實(shí)際需要及投資金額，突出重點(diǎn)、分步實(shí)施，保證系統(tǒng)建設(shè)的完整性和投資的有效性。在方案設(shè)計(jì)和項(xiàng)目建設(shè)中應(yīng)當(dāng)遵循以下的原則：統(tǒng)一規(guī)劃、分步實(shí)施原則在網(wǎng)絡(luò)安全等級保護(hù)的建設(shè)過程中，將首先從一個完整的網(wǎng)絡(luò)系統(tǒng)體系結(jié)構(gòu)出發(fā)，全方位、多層次的綜合考慮信息網(wǎng)絡(luò)的各種實(shí)體和各個環(huán)節(jié)，運(yùn)用信息系統(tǒng)工程的觀點(diǎn)和方法論進(jìn)行統(tǒng)一的、整體性的設(shè)計(jì)，將有限的資源集中解決最緊迫問題，為后繼的安全實(shí)施提供基礎(chǔ)保障，通過逐步實(shí)施，來達(dá)到信息網(wǎng)絡(luò)系統(tǒng)的安全強(qiáng)化。從解決主要的問題入手，伴隨信息系統(tǒng)應(yīng)用的開展，逐步提高和完善信息系統(tǒng)的建設(shè)，充分利用現(xiàn)有資源進(jìn)行合理整合的原則。標(biāo)準(zhǔn)性和規(guī)范化原則網(wǎng)絡(luò)安全等級保護(hù)建設(shè)應(yīng)當(dāng)嚴(yán)格遵循國家和行業(yè)有關(guān)法律法規(guī)和技術(shù)規(guī)范的要求，從業(yè)務(wù)、技術(shù)、運(yùn)行管理等方面對項(xiàng)目的整體建設(shè)和實(shí)施進(jìn)行設(shè)計(jì)，充分體現(xiàn)標(biāo)準(zhǔn)化和規(guī)范化。重點(diǎn)保護(hù)原則根據(jù)信息系統(tǒng)的重要程度、業(yè)務(wù)特點(diǎn)，通過劃分不同安全保護(hù)等級的信息系統(tǒng)，實(shí)現(xiàn)不同強(qiáng)度的安全保護(hù)，集中資源優(yōu)先保護(hù)涉及核心業(yè)務(wù)或關(guān)鍵信息資產(chǎn)的信息系統(tǒng)。適度安全原則任何信息系統(tǒng)都不能做到絕對的安全，在安全規(guī)劃過程中，要在安全需求、安全風(fēng)險和安全成本之間進(jìn)行平衡和折中，過多的安全要求必將造成安全成本的迅速增加和運(yùn)行的復(fù)雜性。適度安全也是等級保護(hù)建設(shè)的初衷，因此在進(jìn)行等級保護(hù)設(shè)計(jì)的過程中，一方面要嚴(yán)格遵循基本要求，從物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)等層面加強(qiáng)防護(hù)措施，保障信息系統(tǒng)的機(jī)密性、完整性和可用性，另外也要綜合考慮業(yè)務(wù)和成本的因素，針對信息系統(tǒng)的實(shí)際風(fēng)險，提出對應(yīng)的保護(hù)強(qiáng)度，并按照保護(hù)強(qiáng)度進(jìn)行安全防護(hù)系統(tǒng)的設(shè)計(jì)和建設(shè)，從而有效控制成本。技術(shù)管理并重原則網(wǎng)絡(luò)安全問題從來就不是單純的技術(shù)問題，把防范黑客入侵和病毒感染理解為網(wǎng)絡(luò)安全問題的全部是片面的，僅僅通過部署安全產(chǎn)品很難完全覆蓋所有的網(wǎng)絡(luò)安全問題，因此必須要把技術(shù)措施和管理措施結(jié)合起來，更有效的保障信息系統(tǒng)的整體安全性。先進(jìn)形和成熟性原則所建設(shè)的安全體系應(yīng)當(dāng)在設(shè)計(jì)理念、技術(shù)體系、產(chǎn)品選型等方面實(shí)現(xiàn)先進(jìn)性和成熟性的統(tǒng)一。本方案設(shè)計(jì)采用國際先進(jìn)實(shí)用的安全技術(shù)和國產(chǎn)優(yōu)秀安全產(chǎn)品，選擇目前和未來一定時期內(nèi)有代表性和先進(jìn)性的成熟的安全技術(shù)，既保證當(dāng)前系統(tǒng)的高安全可靠，又滿足系統(tǒng)在很長生命周期內(nèi)有持續(xù)的可維護(hù)和可擴(kuò)展性。動態(tài)調(diào)整原則網(wǎng)絡(luò)安全問題不是靜態(tài)的。信息系統(tǒng)安全保障體系的設(shè)計(jì)和建設(shè)，必須遵循動態(tài)性原則。必須適應(yīng)不斷發(fā)展的信息技術(shù)和不斷改變的脆弱性，必須能夠及時地、不斷地改進(jìn)和完善系統(tǒng)的安全保障措施。經(jīng)濟(jì)性原則項(xiàng)目設(shè)計(jì)和建設(shè)過程中，將充分利用現(xiàn)有資源，在可用性的前提條件下充分保證系統(tǒng)建設(shè)的經(jīng)濟(jì)性，提高投資效率，避免重復(fù)建設(shè)。網(wǎng)絡(luò)安全等級保護(hù)建設(shè)過程網(wǎng)絡(luò)安全等級保護(hù)建設(shè)的生命周期系統(tǒng)構(gòu)成包括：系統(tǒng)定級備案、差距分析評估、總體規(guī)劃設(shè)計(jì)、安全整改實(shí)施、等級測評和風(fēng)險評估、系統(tǒng)安全運(yùn)維等方面。本方案設(shè)計(jì)重點(diǎn)在于總體規(guī)劃設(shè)計(jì)以及項(xiàng)目整改建設(shè)實(shí)施。安全保障體系構(gòu)成構(gòu)建XXXXX網(wǎng)絡(luò)安全等級保護(hù)方案的設(shè)計(jì)思想是以等級保護(hù)的“一個中心、三重防護(hù)”為核心指導(dǎo)思想，構(gòu)建集防護(hù)、檢測、響應(yīng)、恢復(fù)于一體的全面的安全保障體系。具體體現(xiàn)為：以全面貫徹落實(shí)等級保護(hù)制度為核心，打造科學(xué)實(shí)用的網(wǎng)絡(luò)安全防護(hù)能力、安全風(fēng)險監(jiān)測能力、應(yīng)急響應(yīng)能力和災(zāi)難恢復(fù)能力，從安全技術(shù)、安全管理、安全運(yùn)維三個角度構(gòu)建安全防護(hù)體系，切實(shí)保障網(wǎng)絡(luò)安全。安全技術(shù)體系參考《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)設(shè)計(jì)技術(shù)要求》（GB/T25070-2019）（以下簡稱《設(shè)計(jì)技術(shù)要求》），安全技術(shù)體系設(shè)計(jì)內(nèi)容主要涵蓋到“一個中心、三重防護(hù)”。即安全管理中心、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)、安全計(jì)算環(huán)境。安全管理體系僅有安全技術(shù)防護(hù)，無嚴(yán)格的安全管理相配合，是難以保障整個系統(tǒng)的穩(wěn)定安全運(yùn)行。應(yīng)該在安全建設(shè)、運(yùn)行、維護(hù)、管理都要重視安全管理，嚴(yán)格按制度進(jìn)行辦事，明確責(zé)任權(quán)力，規(guī)范操作，加強(qiáng)人員、設(shè)備的管理以及人員的培訓(xùn)，提高安全管理水平，同時加強(qiáng)對緊急事件的應(yīng)對能力，通過預(yù)防措施和恢復(fù)控制相結(jié)合的方式，使由意外事故所引起的破壞減小至可接受程度。安全運(yùn)維體系由于安全技術(shù)和管理的復(fù)雜性、專業(yè)性和動態(tài)性，業(yè)務(wù)信息系統(tǒng)安全的規(guī)劃、設(shè)計(jì)、建設(shè)、運(yùn)行維護(hù)均需要有較為專業(yè)的安全服務(wù)支持。安全運(yùn)維服務(wù)包括系統(tǒng)日常維護(hù)、安全加固、應(yīng)急響應(yīng)、業(yè)務(wù)持續(xù)性管理、安全審計(jì)、安全培訓(xùn)等工作。安全技術(shù)體系設(shè)計(jì)安全區(qū)劃分參考《設(shè)計(jì)技術(shù)要求》，首先需要對XXXXX整體網(wǎng)絡(luò)進(jìn)行安全區(qū)劃分，構(gòu)建分區(qū)、分等級的安全防護(hù)體系。基于區(qū)進(jìn)行安全設(shè)計(jì)的總體思想是：將原本復(fù)雜的系統(tǒng)，根據(jù)支撐業(yè)務(wù)、信息資產(chǎn)、地理位置、使用單位等要素劃分為多個相對獨(dú)立的安全區(qū)域，然后根據(jù)各個安全區(qū)域的特點(diǎn)來選擇不同的防護(hù)措施。針對XXXXX網(wǎng)絡(luò)覆蓋范圍廣、業(yè)務(wù)服務(wù)種類繁、用戶對象多、等特點(diǎn)，因此采用基于安全區(qū)的安全設(shè)計(jì)辦法是非常有效的，將XXXXX根據(jù)業(yè)務(wù)訪問關(guān)系劃分為多個安全區(qū)域，然后根據(jù)各個安全區(qū)域的特點(diǎn)分別有針對性地設(shè)計(jì)保護(hù)措施和安全策略，將大大提升防護(hù)的有效性，同時也體現(xiàn)出重點(diǎn)資產(chǎn)、重點(diǎn)防范的建設(shè)原則。根據(jù)安全區(qū)劃分原則，重點(diǎn)考慮業(yè)務(wù)訪問關(guān)系，可將XXXXX網(wǎng)絡(luò)劃分為：互聯(lián)網(wǎng)接入?yún)^(qū)、核心交換區(qū)、業(yè)務(wù)服務(wù)器區(qū)、DMZ區(qū)、運(yùn)維管理區(qū)?；ヂ?lián)網(wǎng)接入?yún)^(qū)：包括外聯(lián)路由及出口安全設(shè)備。核心交換區(qū)：包括核心交換機(jī)與內(nèi)網(wǎng)防火墻業(yè)務(wù)服務(wù)器區(qū)：核心業(yè)務(wù)區(qū)域包含各個業(yè)務(wù)系統(tǒng)。DMZ區(qū)：包括對外發(fā)布服務(wù)器等。運(yùn)維管理區(qū)：包括對網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)、應(yīng)用系統(tǒng)和安全系統(tǒng)提供集中管理、運(yùn)維的服務(wù)器主機(jī)，該區(qū)域提供服務(wù)器主機(jī)及安全設(shè)備的網(wǎng)絡(luò)接入。整體方案拓?fù)湓O(shè)計(jì)針對XXXXX信息系統(tǒng)，基于分級分區(qū)保護(hù)的總體部署設(shè)計(jì)邏輯示意圖如下所示：安全物理環(huán)境保護(hù)措施安全物理環(huán)境主要涉及的方面包括環(huán)境安全（防火、防水、防雷擊等）設(shè)備和介質(zhì)的防盜竊防破壞等方面。具體包括：物理位置的選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應(yīng)和電磁防護(hù)等十個控制點(diǎn)。供配電系統(tǒng)XXXXX機(jī)房的供配電系統(tǒng)要求能保證對機(jī)房內(nèi)的主機(jī)、服務(wù)器、網(wǎng)絡(luò)設(shè)備、通訊設(shè)備等的電源供應(yīng)在任何情況下都不會間斷，做到無單點(diǎn)失效和平穩(wěn)可靠，這就要求兩路以上的市電供應(yīng)，N+1冗余的自備發(fā)電機(jī)系統(tǒng)，還有能保證足夠時間供電的UPS系統(tǒng)。防雷接地為了保證XXXXX機(jī)房的各種設(shè)備安全，要求機(jī)房設(shè)有四種接地形式，即計(jì)算機(jī)專用直流邏輯地、配電系統(tǒng)交流工作地、安全保護(hù)地、防雷保護(hù)地。溫濕控制為了保證XXXXX機(jī)房的各種設(shè)備安全，要求機(jī)房配備溫濕控制系統(tǒng)來對機(jī)房內(nèi)溫濕度進(jìn)行控制，保障設(shè)備安全。消防報(bào)警及自動滅火為實(shí)現(xiàn)火災(zāi)自動滅火功能，在XXXXX機(jī)房的各個地方，還應(yīng)該設(shè)計(jì)火災(zāi)自動監(jiān)測及報(bào)警系統(tǒng)，以便能自動監(jiān)測火災(zāi)的發(fā)生，并且啟動自動滅火系統(tǒng)和報(bào)警系統(tǒng)。門禁XXXXX機(jī)房應(yīng)建立實(shí)用、高效的門禁系統(tǒng)，門禁系統(tǒng)需要注意的原則是安全可靠、簡單易用、分級制度、中央控制和多種識別方式的結(jié)合。保安監(jiān)控XXXXX機(jī)房的保安監(jiān)控包括幾個系統(tǒng)的監(jiān)控：閉路監(jiān)視系統(tǒng)、通道報(bào)警系統(tǒng)和人工監(jiān)控系統(tǒng)。安全通信網(wǎng)絡(luò)保護(hù)措施通信傳輸安全遠(yuǎn)程辦公人員和運(yùn)維人員如果直接通過公網(wǎng)訪問內(nèi)部業(yè)務(wù)系統(tǒng)，部分?jǐn)?shù)據(jù)在公網(wǎng)可能被人劫持、利用、篡改，同時如果在公網(wǎng)傳輸?shù)臄?shù)據(jù)是明文傳輸?shù)?，風(fēng)險會更大，所以可以利用VPN功能（SSLVPN與IPSECVPN），對公網(wǎng)傳輸?shù)臄?shù)據(jù)進(jìn)行加密，構(gòu)建VPN隧道，避免在訪問內(nèi)部業(yè)務(wù)系統(tǒng)過程中數(shù)據(jù)被竊取、篡改。本次直接在互聯(lián)網(wǎng)接入?yún)^(qū)防火墻開啟VPN模塊，通過VPN隧道，用戶可以安全連入內(nèi)部業(yè)務(wù)系統(tǒng)，為用戶的數(shù)據(jù)提供了最大限度的安全保護(hù)。網(wǎng)絡(luò)架構(gòu)安全單線路、單設(shè)備的結(jié)構(gòu)很容易發(fā)生單點(diǎn)故障導(dǎo)致業(yè)務(wù)中斷，因此對于提供關(guān)鍵業(yè)務(wù)服務(wù)的XXXXX網(wǎng)絡(luò)，應(yīng)用訪問路徑上的任何一條通信鏈路、任何一臺網(wǎng)關(guān)設(shè)備和交換設(shè)備，都應(yīng)當(dāng)采用可靠的冗余備份機(jī)制，以最大化保障數(shù)據(jù)訪問的可用性和業(yè)務(wù)的連續(xù)性。建議在XXXXX網(wǎng)絡(luò)網(wǎng)絡(luò)中，除了互聯(lián)網(wǎng)接入鏈路采用多運(yùn)營商鏈路互備、XXXXX網(wǎng)絡(luò)采用多服務(wù)器互備外，對于局域網(wǎng)骨干核心鏈路及相關(guān)的網(wǎng)絡(luò)路由交換設(shè)備、安全網(wǎng)關(guān)設(shè)備等均采用冗余熱備的部署方式，以提升網(wǎng)絡(luò)系統(tǒng)的整體容錯能力，防止出現(xiàn)單點(diǎn)故障。網(wǎng)絡(luò)設(shè)備自身防護(hù)建議對XXXXX的核心交換設(shè)備和路由設(shè)備的配置信息進(jìn)行人工檢查，對于存在安全隱患的配置進(jìn)行修改，主要關(guān)注以下方面：登錄口令安全策略：應(yīng)當(dāng)使用安全的口令策略，制定口令長度、復(fù)雜度及生存周期等規(guī)則，并對本地保存的用戶口令進(jìn)行加密存放；登錄地址控制策略：對重要網(wǎng)絡(luò)設(shè)備進(jìn)行配置，指定可管理該網(wǎng)絡(luò)設(shè)備的主機(jī)地址，只有使用在指定地址范圍內(nèi)的主機(jī)方可連接并管理該網(wǎng)絡(luò)設(shè)備；用戶身份唯一性策略：對重要網(wǎng)絡(luò)設(shè)備的管理員帳號進(jìn)行維護(hù)，禁止多個管理員共享相同用戶名對網(wǎng)絡(luò)設(shè)備同時進(jìn)行登錄和操作；登錄及會話安全策略：應(yīng)當(dāng)制定登錄錯誤鎖定、會話超時退出等安全策略；特權(quán)用戶權(quán)限分離策略：應(yīng)實(shí)現(xiàn)特權(quán)用戶的權(quán)限分離，如配置管理員不應(yīng)擁有更改或刪除操作日志的權(quán)限；遠(yuǎn)程管理安全策略：應(yīng)當(dāng)采用HTTPS、SSH等安全遠(yuǎn)程管理手段，而不應(yīng)采用不安全的HTTP、Telnet方式進(jìn)行遠(yuǎn)程管理；配置文件保護(hù)策略：應(yīng)當(dāng)每次更新網(wǎng)絡(luò)設(shè)備或安全設(shè)備配置信息后，以及定期進(jìn)行配置文件備份，防止配置意外更改或丟失。安全區(qū)域邊界保護(hù)措施安全區(qū)域邊界是對內(nèi)部應(yīng)用系統(tǒng)計(jì)算環(huán)境進(jìn)行安全防護(hù)和防止敏感信息泄露的必經(jīng)渠道；通過區(qū)域邊界的安全控制，可以對進(jìn)入和流出應(yīng)用環(huán)境的信息流進(jìn)行安全檢查，既可以保證應(yīng)用系統(tǒng)中的敏感信息不會泄漏出去，同時也可以防止應(yīng)用系統(tǒng)遭受外界的惡意攻擊和破壞。負(fù)載均衡技術(shù)在互聯(lián)網(wǎng)邊界部署負(fù)載均衡設(shè)備，在實(shí)現(xiàn)不同運(yùn)營商鏈路相互備份的同時，充分利用互聯(lián)網(wǎng)出口的帶寬資源，自動選擇最優(yōu)路徑，將來自內(nèi)外網(wǎng)的流量分流到最佳的鏈路上，保證帶寬有效利用，并達(dá)到最佳訪問速度。通過全方位的負(fù)載均衡，增加了數(shù)據(jù)中心的服務(wù)器和網(wǎng)絡(luò)的利用率，保證應(yīng)用的安全性和可靠性。Ddos防護(hù)技術(shù)在互聯(lián)網(wǎng)邊界處部署抗D設(shè)備，基于數(shù)據(jù)包的規(guī)則過濾、數(shù)據(jù)流指紋檢測過濾及數(shù)據(jù)包內(nèi)容定制過濾等頂尖技術(shù)，準(zhǔn)確判斷外來訪問流量是否正常，進(jìn)一步將異常流量過濾，從而實(shí)現(xiàn)對異常流量的檢測與清洗。DDOS防范系統(tǒng)提供檢測與防御流量型DDOS攻擊（如UDPFlood、TCPSYNFlood等）、應(yīng)用型DDOS攻擊（如CC、DNSFlood、慢速連接耗盡等）、DOS攻擊（如Land、Teardrop、Smurf等）、非法協(xié)議攻擊（如IP流、TCP無標(biāo)記、無確認(rèn)FIN、圣誕樹等）四大類拒絕服務(wù)攻擊。邊界訪問控制技術(shù)在互聯(lián)網(wǎng)邊界部署防火墻系統(tǒng)，基于網(wǎng)絡(luò)訪問控制技術(shù)、包過濾技術(shù)，通過制定合理的訪問控制規(guī)則，對互聯(lián)網(wǎng)用戶訪問應(yīng)用服務(wù)器區(qū)進(jìn)行限制，從而實(shí)現(xiàn)對互聯(lián)網(wǎng)用戶的訪問控制。防火墻技術(shù)是用來阻擋外部不安全因素影響的內(nèi)部網(wǎng)絡(luò)屏障，也是用戶構(gòu)建互聯(lián)網(wǎng)邊界安全的第一道網(wǎng)絡(luò)安全屏障。入侵防范技術(shù)在互聯(lián)網(wǎng)邊界部署入侵防御系統(tǒng)，基于強(qiáng)大入侵防范規(guī)則庫對互聯(lián)網(wǎng)流入的流量數(shù)據(jù)包進(jìn)行行為實(shí)時檢測與分析，一旦發(fā)現(xiàn)攻擊行為立即阻斷，有效防止溢出攻擊類、RPC攻擊類、WEBCGI攻擊類、拒絕服務(wù)類、木馬類、蠕蟲類、掃描類、網(wǎng)絡(luò)訪問類、HTTP攻擊類、系統(tǒng)漏洞類等類別攻擊，增強(qiáng)互聯(lián)網(wǎng)邊界的網(wǎng)絡(luò)入侵防范能力。在核心交換機(jī)旁路部署沙箱設(shè)備，提供各種虛擬模擬運(yùn)行環(huán)境，為不可信代碼程序提供虛擬化的內(nèi)存、文件系統(tǒng)、網(wǎng)絡(luò)等資源，隔離運(yùn)行未知或可疑代碼并對其進(jìn)行分析，從而有效發(fā)現(xiàn)利用新爆發(fā)漏洞（0Day/NDay）的惡意代碼或未知的新型惡意代碼，并與網(wǎng)絡(luò)邊界部署的下一代防火墻進(jìn)行聯(lián)動阻斷，從而實(shí)現(xiàn)對未知新型威脅的有效防御。惡意代碼防范技術(shù)在互聯(lián)網(wǎng)邊界防火墻開啟防毒模塊，基于病毒深度檢測與防范技術(shù)，通過強(qiáng)大的病毒檢測引擎對互聯(lián)網(wǎng)流入內(nèi)網(wǎng)的流量數(shù)據(jù)包進(jìn)行實(shí)時檢測，一旦發(fā)現(xiàn)病毒、木馬、間諜軟件等惡意軟件或代碼進(jìn)行阻斷攔截，為用戶網(wǎng)絡(luò)系統(tǒng)的整體防毒建立第一道安全防線。網(wǎng)絡(luò)審計(jì)技術(shù)在互聯(lián)網(wǎng)邊界防火墻開啟應(yīng)用識別模塊，對內(nèi)網(wǎng)交互數(shù)據(jù)進(jìn)行采集，能夠分析網(wǎng)絡(luò)中的數(shù)據(jù)包、流量信息，通過對相關(guān)協(xié)議進(jìn)行分析，對網(wǎng)絡(luò)通信行為和內(nèi)容進(jìn)行記錄和統(tǒng)計(jì)，幫助發(fā)現(xiàn)網(wǎng)絡(luò)中的異常流量和違規(guī)行為。網(wǎng)絡(luò)審計(jì)的重點(diǎn)對象是內(nèi)網(wǎng)用戶終端的網(wǎng)絡(luò)訪問行為，支持多種網(wǎng)絡(luò)應(yīng)用協(xié)議的監(jiān)控、還原和審計(jì)，例如對通過HTTP、FTP、SMTP等方式訪問業(yè)務(wù)系統(tǒng)的用戶登錄、用戶登錄IP地址、訪問時間、訪問內(nèi)容等進(jìn)行監(jiān)控和審計(jì)，滿足等保網(wǎng)絡(luò)行為審計(jì)要求。邊界完整性技術(shù)服務(wù)器區(qū)域邊界完整性建議在XXXXX各服務(wù)器安全區(qū)的接入交換機(jī)端口上綁定所連接服務(wù)器的MAC地址，并關(guān)閉不用的交換機(jī)端口。對于接入到該類區(qū)域的非許可設(shè)備，由于其MAC不會被交換機(jī)識別，而有效防止接入。終端區(qū)域邊界完整性建議在核心交換機(jī)旁路部署網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)，實(shí)現(xiàn)非法外聯(lián)監(jiān)控和非法接入監(jiān)控功能。對接入XXXXX的終端設(shè)備進(jìn)行統(tǒng)一準(zhǔn)入認(rèn)證和安全策略管理，有效保證XXXXX網(wǎng)絡(luò)邊界安全。安全計(jì)算環(huán)境設(shè)計(jì)計(jì)算環(huán)境是XXXXX各類應(yīng)用的運(yùn)行環(huán)境，計(jì)算環(huán)境安全防護(hù)建設(shè)采用主機(jī)惡意代碼防范技術(shù)、Web防火墻技術(shù)、網(wǎng)頁防篡改技術(shù)、漏洞掃描技術(shù)、數(shù)據(jù)審計(jì)、數(shù)據(jù)防泄漏、關(guān)鍵數(shù)據(jù)脫敏及備份等技術(shù)進(jìn)行安全建設(shè)，增強(qiáng)XXXXX網(wǎng)絡(luò)計(jì)算環(huán)境的安全防護(hù)能力。主機(jī)防病毒技術(shù)在XXXXX網(wǎng)絡(luò)中所有適用的服務(wù)器（WINDOWS、LINUX）和客戶端（WINDOWS）計(jì)算機(jī)上部署相應(yīng)平臺的網(wǎng)絡(luò)版防病毒軟件，有效查殺、威脅服務(wù)器和客戶端正常運(yùn)行的病毒、惡意腳本、木馬、蠕蟲等惡意代碼。在運(yùn)維管理區(qū)部署統(tǒng)一的防病毒系統(tǒng)管理服務(wù)器和升級服務(wù)器，確保全網(wǎng)具有一致的防病毒策略和最新的病毒查殺能力。Web防火墻技術(shù)在DMZ區(qū)WEB服務(wù)器前端部署Web應(yīng)用防火墻系統(tǒng)，通過Web檢測引擎和安全策略對互聯(lián)網(wǎng)流量數(shù)據(jù)進(jìn)行實(shí)時檢測、對異常攻擊行為進(jìn)行阻斷，實(shí)現(xiàn)對WEB應(yīng)用服務(wù)和網(wǎng)頁內(nèi)容的防護(hù)，屏蔽對網(wǎng)站的攻擊和篡改行為，實(shí)現(xiàn)防跨站攻擊、防SQL注入、防止黑客入侵、網(wǎng)頁防篡改等功能，從而更有效地對網(wǎng)站服務(wù)器系統(tǒng)及網(wǎng)頁內(nèi)容進(jìn)行安全保護(hù)，從應(yīng)用和業(yè)務(wù)邏輯層面真正解決WEB應(yīng)用安全問題。漏洞掃描技術(shù)建議在運(yùn)維管理區(qū)部署漏洞掃描系統(tǒng)，以本地掃描或遠(yuǎn)程掃描的方式，對各臺重要的網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)及相應(yīng)的操作系統(tǒng)、應(yīng)用系統(tǒng)等進(jìn)行全面的漏洞掃描和安全評估。系統(tǒng)提供詳盡的掃描分析報(bào)告和漏洞修補(bǔ)建議，幫助管理員實(shí)現(xiàn)對XXXXX網(wǎng)絡(luò)網(wǎng)絡(luò)，尤其是其中的重要服務(wù)器主機(jī)系統(tǒng)的安全加固，提升安全等級。數(shù)據(jù)庫審計(jì)技術(shù)在業(yè)務(wù)服務(wù)器區(qū)接入交換機(jī)上旁路部署數(shù)據(jù)庫審計(jì)系統(tǒng)，通過數(shù)據(jù)庫審計(jì)技術(shù)能夠?qū)崟r記錄和分析網(wǎng)絡(luò)上的數(shù)據(jù)庫活動，對數(shù)據(jù)庫操作進(jìn)行細(xì)粒度審計(jì)的合規(guī)性管理，對數(shù)據(jù)庫遭受到的風(fēng)險行為進(jìn)行告警。通過對用戶訪問數(shù)據(jù)庫行為的記錄、分析和匯報(bào)，幫助用戶事后生成合規(guī)報(bào)告、事故追根溯源，同時加強(qiáng)內(nèi)外部數(shù)據(jù)庫網(wǎng)絡(luò)行為記錄，提高數(shù)據(jù)資產(chǎn)安全。數(shù)據(jù)備份技術(shù)通過部署備份一體機(jī)系統(tǒng)，實(shí)現(xiàn)數(shù)據(jù)的備份和恢復(fù)。安全管理中心保護(hù)措施安全運(yùn)維管理與審計(jì)技術(shù)建議在運(yùn)維管理區(qū)部署堡壘機(jī)，實(shí)現(xiàn)對企業(yè)所有網(wǎng)絡(luò)設(shè)備、安全設(shè)備以及服務(wù)器進(jìn)行集中統(tǒng)一安全運(yùn)維管理，實(shí)現(xiàn)運(yùn)維單點(diǎn)登錄，統(tǒng)一管理運(yùn)維賬號，管理運(yùn)維授權(quán)，并對運(yùn)維操作進(jìn)行審計(jì)記錄，并通過堡壘機(jī)實(shí)現(xiàn)對運(yùn)維角色與權(quán)限的劃分，分為系統(tǒng)管理員、審計(jì)管理員、安全管理員等。集中日志收集與分析技術(shù)建議在運(yùn)維管理區(qū)部署一套集中的日志收集和分析系統(tǒng)，通過被動采集（SYSLOG、SNMPTRAP）或主動采集（ODBC/JDBC、文件讀取、安裝AGENT）的方式對XXXXX網(wǎng)絡(luò)中所有網(wǎng)絡(luò)設(shè)備、服務(wù)器操作系統(tǒng)、應(yīng)用系統(tǒng)、安全設(shè)備、安全軟件管理平臺等所產(chǎn)生的日志數(shù)據(jù)進(jìn)行統(tǒng)一采集、存儲、分析和統(tǒng)計(jì)，為管理人員提供直觀的日志查詢、分析、展示界面，并長期妥善保存日志數(shù)據(jù)以便需要時查看。保證審計(jì)記錄的留存時間符合法律法規(guī)要求。安全集中管控在運(yùn)維管理區(qū)部署態(tài)勢感知平臺，提供對全網(wǎng)安全事件的集中監(jiān)控、分析和處置，以及對安全風(fēng)險、安全發(fā)展態(tài)勢的集中監(jiān)測，對整個網(wǎng)絡(luò)進(jìn)行集中的安全管理，對安全事件進(jìn)行深度分析，并快速做出智能響應(yīng)，最終實(shí)現(xiàn)對信息系統(tǒng)安全風(fēng)險的集中監(jiān)管，提升XXXXX網(wǎng)絡(luò)的安全運(yùn)維能力，更好地支撐業(yè)務(wù)持續(xù)性發(fā)展。態(tài)勢感知平臺依據(jù)ISO27001安全管理標(biāo)準(zhǔn)，結(jié)合安全服務(wù)的最佳實(shí)踐，以風(fēng)險管理為核心，通過深度數(shù)據(jù)挖掘、事件關(guān)聯(lián)等技術(shù)，實(shí)現(xiàn)了網(wǎng)絡(luò)內(nèi)部各類安全事件的集中管理和智能分析，提供多視角、實(shí)時動態(tài)的企業(yè)風(fēng)險現(xiàn)狀展示。同時，系統(tǒng)內(nèi)置了多種報(bào)警響應(yīng)、工單機(jī)制以及專家建議系統(tǒng)，可以幫助用戶采取及時、有效的安全措施以實(shí)現(xiàn)閉環(huán)的、持續(xù)改進(jìn)的網(wǎng)絡(luò)安全管理，保證用戶的業(yè)務(wù)不受影響。安全管理體系設(shè)計(jì)“三分技術(shù)，七分管理”這句話是對網(wǎng)絡(luò)安全建設(shè)工作非?？陀^的描述。任何安全建設(shè)僅在技術(shù)上是做不到完整的安全，還需要建立一套科學(xué)、嚴(yán)密的網(wǎng)絡(luò)安全管理體系，為計(jì)算機(jī)信息化網(wǎng)絡(luò)系統(tǒng)提供制度上的保證，將由于內(nèi)、外部的非法訪問或惡意攻擊造成的損失減少到最小。因此不能忽視安全建設(shè)管理，必須提供具體的安全管理措施。根據(jù)安全防范體系中的各種安全技術(shù)所需的技術(shù)管理工作，設(shè)定安全管理的角色：業(yè)務(wù)系統(tǒng)管理員、網(wǎng)絡(luò)系統(tǒng)管理員、安全保密管理員、密鑰管理員、系統(tǒng)審計(jì)員等職位。根據(jù)不同的職能，定義不同角色的責(zé)任和權(quán)利，制定相應(yīng)的操作規(guī)范。安全管理機(jī)構(gòu)設(shè)計(jì)安全管理機(jī)構(gòu)的規(guī)劃，應(yīng)以安全組織架構(gòu)設(shè)計(jì)為基礎(chǔ)，定義架構(gòu)中涉及到的處室和崗位的職責(zé)以及管理方法，其內(nèi)容包含但不少于等級保護(hù)基本要求中的第三級信息系統(tǒng)的管理要求中對管理機(jī)構(gòu)的要求。根據(jù)其在網(wǎng)絡(luò)安全工作中扮演的不同角色進(jìn)行優(yōu)化組合的結(jié)果，反映了各處室在網(wǎng)絡(luò)安全工作中的不同定位和相互協(xié)作關(guān)系。網(wǎng)絡(luò)安全組織架構(gòu)主要包括參與網(wǎng)絡(luò)安全決策、管理、執(zhí)行和監(jiān)督工作的處室。網(wǎng)絡(luò)安全組織架構(gòu)包含以下三個關(guān)鍵要素：決定了網(wǎng)絡(luò)安全工作中正式的報(bào)告關(guān)系，包括層級數(shù)和管理者的管理跨度；決定了如何由個體組合成處室，再由處室到組織；組織架構(gòu)中包含了一套系統(tǒng)，以保證跨處室的有效溝通、合作與整合。網(wǎng)絡(luò)安全組織架構(gòu)是開展網(wǎng)絡(luò)安全工作的基礎(chǔ)。在日常管理過程中，存在著多項(xiàng)網(wǎng)絡(luò)安全管理事宜，需要對其中的重要事件進(jìn)行決策，從而為網(wǎng)絡(luò)安全管理提供導(dǎo)向與支持；對于所制定的網(wǎng)絡(luò)安全管理方針需要進(jìn)行有效的貫徹和落實(shí)；另外，對網(wǎng)絡(luò)安全管理方針貫徹落實(shí)的情況還需要進(jìn)行監(jiān)督，以上各種情況都需要一個完善有效的網(wǎng)絡(luò)安全組織架構(gòu)來支撐。另外在未來網(wǎng)絡(luò)安全保障體系建立的過程中，各種網(wǎng)絡(luò)安全項(xiàng)目的開展將成為網(wǎng)絡(luò)安全工作的一項(xiàng)重要內(nèi)容，這也需要有相應(yīng)的組織予以支持。本方案提出的網(wǎng)絡(luò)安全組織架構(gòu)是以等級保護(hù)基本要求為指導(dǎo)，在借鑒國際最佳實(shí)踐的基礎(chǔ)上根據(jù)網(wǎng)絡(luò)安全工作開展的需求進(jìn)行完善的結(jié)果。在完整的網(wǎng)絡(luò)安全組織中一般包含以下幾個重要組成部分：網(wǎng)絡(luò)安全決策機(jī)構(gòu)網(wǎng)絡(luò)安全管理機(jī)構(gòu)網(wǎng)絡(luò)安全執(zhí)行機(jī)構(gòu)網(wǎng)絡(luò)安全監(jiān)管機(jī)構(gòu)以上組織機(jī)構(gòu)的具體存在形式可以是多樣的，如兼職的、虛擬的或者遠(yuǎn)程的。目前國際上普遍采用的網(wǎng)絡(luò)安全組織架構(gòu)如下圖所示：圖STYLEREF1\s5SEQ圖\*ARABIC\s11網(wǎng)絡(luò)安全組織架構(gòu)網(wǎng)絡(luò)安全決策機(jī)構(gòu)網(wǎng)絡(luò)安全決策機(jī)構(gòu)處于整個網(wǎng)絡(luò)安全組織架構(gòu)的頂端，主要從高層領(lǐng)導(dǎo)的角度對于網(wǎng)絡(luò)安全方面的工作進(jìn)行指導(dǎo)和控制，網(wǎng)絡(luò)安全決策機(jī)構(gòu)應(yīng)當(dāng)是安全工作的最高決定者，主要職能包括：確定網(wǎng)絡(luò)安全工作的戰(zhàn)略和方向決定本項(xiàng)目網(wǎng)絡(luò)安全組織總體調(diào)配網(wǎng)絡(luò)安全工作的資源負(fù)責(zé)通過和決定網(wǎng)絡(luò)安全策略和標(biāo)準(zhǔn)對于網(wǎng)絡(luò)安全方面的重大項(xiàng)目進(jìn)行審批在協(xié)調(diào)安全工作中協(xié)調(diào)各處室關(guān)系一般網(wǎng)絡(luò)安全決策機(jī)構(gòu)在組織中的主要表現(xiàn)形式是由相關(guān)各處室主管負(fù)責(zé)人或代表組成的的網(wǎng)絡(luò)安全領(lǐng)導(dǎo)委員會，參與人員主要取決于需要決策的內(nèi)容。網(wǎng)絡(luò)安全決策機(jī)構(gòu)需要對網(wǎng)絡(luò)安全工作開展中的重大事項(xiàng)進(jìn)行決策，因此必須要有網(wǎng)絡(luò)安全專職管理機(jī)構(gòu)的代表；網(wǎng)絡(luò)安全工作的需求來自于業(yè)務(wù)的開展，因此很多情況下也考慮各處室的代表的參與；網(wǎng)絡(luò)安全決策工作中的一項(xiàng)重要課題是資源保障，因此往往需要分別擁有資金調(diào)配、人員調(diào)配和設(shè)備調(diào)配權(quán)力的處室的代表。至于對各處室選派代表的要求取決于決策機(jī)構(gòu)的工作形式，一般來說需要有相關(guān)決定權(quán)力的人員作為代表。網(wǎng)絡(luò)安全管理機(jī)構(gòu)網(wǎng)絡(luò)安全管理機(jī)構(gòu)是整個網(wǎng)絡(luò)安全管理體系建立和維護(hù)的組織者和管理者，它同時具有兩種角色：網(wǎng)絡(luò)安全管理機(jī)構(gòu)是網(wǎng)絡(luò)安全決策機(jī)構(gòu)的決策支持者，由管理機(jī)構(gòu)為決策機(jī)構(gòu)提供必要的決策所需信息；網(wǎng)絡(luò)安全管理機(jī)構(gòu)是網(wǎng)絡(luò)安全工作的規(guī)則制定者和決策推行的管理者?？梢哉f是網(wǎng)絡(luò)安全決策機(jī)構(gòu)的執(zhí)行組織，也可以說是網(wǎng)絡(luò)安全執(zhí)行機(jī)構(gòu)的管理組織。網(wǎng)絡(luò)安全管理機(jī)構(gòu)的職能主要包括：整個XXXXX網(wǎng)絡(luò)網(wǎng)絡(luò)安全相關(guān)政策標(biāo)準(zhǔn)的制定、更新網(wǎng)絡(luò)安全項(xiàng)目的規(guī)劃、評審和質(zhì)量控制對網(wǎng)絡(luò)安全工作的開展進(jìn)行日常管理和監(jiān)督網(wǎng)絡(luò)安全執(zhí)行機(jī)構(gòu)網(wǎng)絡(luò)安全執(zhí)行機(jī)構(gòu)主要負(fù)責(zé)具體網(wǎng)絡(luò)安全工作的執(zhí)行和開展。一般網(wǎng)絡(luò)安全執(zhí)行機(jī)構(gòu)主要包括網(wǎng)絡(luò)安全工程組織和網(wǎng)絡(luò)安全運(yùn)行組織兩大類的組織。網(wǎng)絡(luò)安全工程組織一般以獨(dú)立項(xiàng)目小組的形式存在，由專門的網(wǎng)絡(luò)安全開發(fā)和工程處室和相關(guān)工程人員組成。網(wǎng)絡(luò)安全工程組織主要負(fù)責(zé)的工作包括：網(wǎng)絡(luò)安全基礎(chǔ)建設(shè)包括各項(xiàng)網(wǎng)絡(luò)安全技術(shù)的實(shí)施，如認(rèn)證授權(quán)與訪問控制系統(tǒng)的建設(shè)，網(wǎng)絡(luò)安全運(yùn)營中心的建設(shè)等網(wǎng)絡(luò)安全管理項(xiàng)目實(shí)施網(wǎng)絡(luò)安全管理項(xiàng)目的實(shí)施也是網(wǎng)絡(luò)安全工程組織的重要工作之一，例如網(wǎng)絡(luò)安全規(guī)劃，信息資產(chǎn)識別與風(fēng)險評估，網(wǎng)絡(luò)安全標(biāo)準(zhǔn)與規(guī)范的制定等。對于網(wǎng)絡(luò)安全運(yùn)行組織在XXXXX網(wǎng)絡(luò)中主要負(fù)責(zé)日常信息系統(tǒng)監(jiān)控維護(hù)方面的工作，并及時匯報(bào)日常運(yùn)作中信息系統(tǒng)的安全情況。網(wǎng)絡(luò)安全運(yùn)行組織一般是一個虛擬的機(jī)構(gòu)，包括運(yùn)行維護(hù)、監(jiān)控和技術(shù)支持在內(nèi)的專職或兼職的網(wǎng)絡(luò)安全人員，通常會分散安排在各個相關(guān)處室中，并統(tǒng)一向?qū)ｉT的網(wǎng)絡(luò)安全運(yùn)行管理人員匯報(bào)和負(fù)責(zé)。除此之外，專門的網(wǎng)絡(luò)安全運(yùn)營中心或是由外包商提供的監(jiān)控服務(wù)也屬于這一機(jī)構(gòu)的范疇內(nèi)。網(wǎng)絡(luò)安全運(yùn)行組織的主要職責(zé)可以概括如下：依照各項(xiàng)管理政策、標(biāo)準(zhǔn)與規(guī)范、指南與細(xì)則開展工作提供各種安全服務(wù)以直接支持業(yè)務(wù)，包括監(jiān)控、事件響應(yīng)、故障處理等將工作中的各種需求和重要事項(xiàng)匯報(bào)給網(wǎng)絡(luò)安全管理機(jī)構(gòu)接受管理機(jī)構(gòu)和監(jiān)督機(jī)構(gòu)的監(jiān)管、控制，并配合其開展工作網(wǎng)絡(luò)安全監(jiān)管機(jī)構(gòu)網(wǎng)絡(luò)安全監(jiān)管機(jī)構(gòu)的主要職能是對XXXXX網(wǎng)絡(luò)內(nèi)網(wǎng)絡(luò)安全工作的開展情況進(jìn)行獨(dú)立的審查和監(jiān)督。它可以是XXXXX網(wǎng)絡(luò)的內(nèi)部審計(jì)處室，也可以是獨(dú)立的外部第三方審計(jì)機(jī)構(gòu)，其主要職責(zé)如下：監(jiān)督各項(xiàng)網(wǎng)絡(luò)安全策略、標(biāo)準(zhǔn)與規(guī)范、指南與細(xì)則的執(zhí)行情況，檢驗(yàn)網(wǎng)絡(luò)安全管理機(jī)構(gòu)和執(zhí)行機(jī)構(gòu)是否按照其開展工作。檢驗(yàn)網(wǎng)絡(luò)安全管理機(jī)構(gòu)和執(zhí)行機(jī)構(gòu)的工作效果，包括網(wǎng)絡(luò)安全項(xiàng)目審查、網(wǎng)絡(luò)安全服務(wù)效果審查，總體網(wǎng)絡(luò)安全情況評估和信息系統(tǒng)安全性評價等工作。網(wǎng)絡(luò)安全監(jiān)管機(jī)構(gòu)是針對XXXXX網(wǎng)絡(luò)網(wǎng)絡(luò)安全管理機(jī)構(gòu)和執(zhí)行機(jī)構(gòu)的工作進(jìn)行監(jiān)管，其審查監(jiān)督的結(jié)果直接向網(wǎng)絡(luò)安全決策機(jī)構(gòu)或者XXXXX網(wǎng)絡(luò)的決策層進(jìn)行匯報(bào)，為網(wǎng)絡(luò)安全組織改進(jìn)工作提供支持。網(wǎng)絡(luò)安全角色和職責(zé)從根本上來說，網(wǎng)絡(luò)安全是XXXXX網(wǎng)絡(luò)中每一個和信息系統(tǒng)相關(guān)或是能影響信息系統(tǒng)的安全情況的人員的職責(zé)。每個人在信息系統(tǒng)的運(yùn)行中，在不同崗位上都扮演著相應(yīng)的角色。本部分將定義出XXXXX網(wǎng)絡(luò)中與網(wǎng)絡(luò)安全工作相關(guān)的主要角色，并從總體上描述他們所承擔(dān)的職責(zé)。在網(wǎng)絡(luò)安全工作方面一直在進(jìn)行討論的一個基本問題就是“到底是誰的職責(zé)？”，許多人對于網(wǎng)絡(luò)安全相關(guān)職責(zé)仍停留在傳統(tǒng)概念中，認(rèn)為網(wǎng)絡(luò)安全是信息技術(shù)處室或僅僅是網(wǎng)絡(luò)安全處室的職責(zé)，這樣給網(wǎng)絡(luò)安全工作的開展帶來了很大的困難。通過定義網(wǎng)絡(luò)安全角色與職責(zé)，使XXXXX網(wǎng)絡(luò)中每個工作人員都能找到自己的位置，同時為以后具體崗位職責(zé)的定義打下了堅(jiān)實(shí)的基礎(chǔ)。通常在網(wǎng)絡(luò)安全相關(guān)的角色主要包括幾下幾種：高層管理人員網(wǎng)絡(luò)安全管理人員處室和項(xiàng)目管理者/應(yīng)用所有者技術(shù)提供、維護(hù)和支持人員管理支持者用戶由于各自的角色不同他們在網(wǎng)絡(luò)安全方面也承擔(dān)著不同的職責(zé)。網(wǎng)絡(luò)安全組織架構(gòu)和相關(guān)職責(zé)圖STYLEREF1\s5SEQ圖\*ARABIC\s12網(wǎng)絡(luò)安全組織架構(gòu)和相關(guān)職責(zé)圖網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組高層領(lǐng)導(dǎo)參加的網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組，負(fù)責(zé)批準(zhǔn)網(wǎng)絡(luò)安全策略、分配安全責(zé)任并協(xié)調(diào)整個XXXXX網(wǎng)絡(luò)范圍的安全策略實(shí)施，確保對安全管理和建設(shè)有一個明確的方向并得到管理層的實(shí)際支持。網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組應(yīng)通過合理的責(zé)任分配和有效的資源管理促進(jìn)XXXXX網(wǎng)絡(luò)網(wǎng)絡(luò)信息系統(tǒng)的安全。網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組可以作為目前管理機(jī)構(gòu)的一個組成部分。網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組有如下職責(zé)：就整個科技處的網(wǎng)絡(luò)安全的作用和責(zé)任達(dá)成一致；審查和批準(zhǔn)網(wǎng)絡(luò)安全策略以及總體責(zé)任；就網(wǎng)絡(luò)安全的重要和原則性的方法、處理過程達(dá)成一致，并提供支持。如風(fēng)險評估、機(jī)密信息分類方法等；確保將安全作為制定業(yè)務(wù)建設(shè)和維護(hù)計(jì)劃、內(nèi)部信息系統(tǒng)建設(shè)的一個部分；授權(quán)對安全控制措施是否完善進(jìn)行評估，并協(xié)調(diào)新系統(tǒng)或新服務(wù)的特定網(wǎng)絡(luò)安全控制措施的實(shí)施情況；審查重大的網(wǎng)絡(luò)安全事故，并協(xié)調(diào)改進(jìn)措施；審核網(wǎng)絡(luò)安全建設(shè)和管理的重要活動，如重要安全項(xiàng)目建設(shè)、重要的安全管理措施出臺等；在整個組織中增加對網(wǎng)絡(luò)安全工作支持的力度。信息中心負(fù)責(zé)設(shè)計(jì)、建設(shè)安全管理體系，包括策略、組織和運(yùn)作模式，并且進(jìn)行宣貫和培訓(xùn)。信息中心有如下職責(zé)：貫徹執(zhí)行相關(guān)主管處室有關(guān)網(wǎng)絡(luò)及網(wǎng)絡(luò)安全管理方面的方針、政策及各項(xiàng)工作要求，在各網(wǎng)上落實(shí)網(wǎng)絡(luò)及網(wǎng)絡(luò)安全的各項(xiàng)工作。通過等級保護(hù)工作保持與公安機(jī)關(guān)的聯(lián)系，接受和執(zhí)行公安機(jī)關(guān)的監(jiān)督和指導(dǎo)。負(fù)責(zé)建立網(wǎng)絡(luò)安全策略體系，制定網(wǎng)絡(luò)及網(wǎng)絡(luò)安全工作制度及管理流程，起草、制定網(wǎng)絡(luò)及網(wǎng)絡(luò)安全的技術(shù)規(guī)范、標(biāo)準(zhǔn)及策略，聘請外部專家對網(wǎng)絡(luò)及網(wǎng)絡(luò)安全工作制度及管理流程進(jìn)行評審，組織在全網(wǎng)范圍內(nèi)的實(shí)施。組織、協(xié)調(diào)內(nèi)部各處室實(shí)施網(wǎng)絡(luò)及網(wǎng)絡(luò)安全工作。在XXXXX網(wǎng)絡(luò)內(nèi)開展網(wǎng)絡(luò)安全知識共享，建立有針對網(wǎng)絡(luò)安全的知識共享的技術(shù)平臺，促進(jìn)內(nèi)部交流與學(xué)習(xí)。定期組織內(nèi)部人員或聘請外部單位，公安機(jī)關(guān)等進(jìn)行全面安全檢查，檢查內(nèi)容包括現(xiàn)有安全技術(shù)措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等；匯總安全檢查數(shù)據(jù)，形成安全檢查報(bào)告，并對安全檢查結(jié)果在安全組織內(nèi)召開會議進(jìn)行通報(bào)。安全維護(hù)組負(fù)責(zé)項(xiàng)目日常安全維護(hù)工作，包括網(wǎng)絡(luò)安全專員和各處室網(wǎng)絡(luò)安全助理。安全維護(hù)組有如下職責(zé)：執(zhí)行有關(guān)網(wǎng)絡(luò)安全問題的處理在日常維護(hù)中發(fā)現(xiàn)有安全問題，首先進(jìn)行應(yīng)急處理保證業(yè)務(wù)的連續(xù)性，然后通過提供安全事件報(bào)告的方式通知安全維護(hù)組相關(guān)人員，安全維護(hù)組人員在接到報(bào)告后，將和各專業(yè)組一起在保證業(yè)務(wù)正常運(yùn)行的前提下解決安全問題，工作結(jié)束后，將由雙方一起記錄安全處理過程；對重點(diǎn)主機(jī)系統(tǒng)的安全職責(zé)；至少每月進(jìn)行一次安全漏洞掃描；對主機(jī)系統(tǒng)和網(wǎng)絡(luò)設(shè)備上的用戶進(jìn)行審核，發(fā)現(xiàn)可疑的用戶賬號時及時向系統(tǒng)管理員核實(shí)并作相應(yīng)的處理。對網(wǎng)絡(luò)設(shè)備的安全職責(zé)監(jiān)督網(wǎng)絡(luò)安全管理機(jī)構(gòu)制訂的網(wǎng)絡(luò)設(shè)備用戶賬號的管理制度的實(shí)行，在發(fā)現(xiàn)有可疑的用戶賬號時向網(wǎng)絡(luò)管理員進(jìn)行核實(shí)并采取相應(yīng)的措施；根據(jù)業(yè)務(wù)保護(hù)要求，提出防火墻系統(tǒng)的部署方案，并制訂相應(yīng)的網(wǎng)絡(luò)安全訪問控制策略。對數(shù)據(jù)庫的安全職責(zé)協(xié)同數(shù)據(jù)庫管理員對對數(shù)據(jù)庫系統(tǒng)進(jìn)行安全配置，修補(bǔ)已發(fā)現(xiàn)的漏洞；協(xié)同數(shù)據(jù)庫管理員對于數(shù)據(jù)庫安全事件處理，并分析安全事件原因；協(xié)同數(shù)據(jù)庫管理員對于數(shù)據(jù)庫安全事件進(jìn)行處理，盡量減小安全事故和安全事件造成的損失，并從中吸取教訓(xùn)；驗(yàn)證數(shù)據(jù)備份策略的有效性，對數(shù)據(jù)恢復(fù)過程進(jìn)行試驗(yàn)，確保在發(fā)生安全問題時能夠從數(shù)據(jù)備份中進(jìn)行恢復(fù)；監(jiān)督數(shù)據(jù)庫管理員對重要數(shù)據(jù)的備份工作，對于重要數(shù)據(jù)的備份，必須每個月做一次檢查，確保備份的內(nèi)容和周期以及備份介質(zhì)的保存符合有關(guān)的規(guī)定。安全審計(jì)組對用戶的各種行為進(jìn)行審計(jì)，對安全監(jiān)控中心的各項(xiàng)監(jiān)控、處理和維護(hù)工作進(jìn)行審計(jì)。安全審計(jì)組有如下職責(zé)：依賴安全運(yùn)行管理平臺以及各種安全審計(jì)產(chǎn)品對管理網(wǎng)的用戶行為進(jìn)行審計(jì)。對安全監(jiān)控中心的各項(xiàng)監(jiān)控、處理和維護(hù)工作進(jìn)行審計(jì)。安全監(jiān)控中心可利用現(xiàn)有的本項(xiàng)目安全信息管理平臺，對網(wǎng)絡(luò)進(jìn)行全面的安全監(jiān)控。安全監(jiān)控中心有如下職責(zé)：查看安全運(yùn)行管理平臺的各種告警，做出處理判斷，并編制下發(fā)工單。定期查看網(wǎng)絡(luò)安全站點(diǎn)的安全公告，跟蹤和研究各種網(wǎng)絡(luò)安全漏洞和攻擊手段，在發(fā)現(xiàn)可能影響網(wǎng)絡(luò)安全的安全漏洞和攻擊手段時，及時做出相應(yīng)的對策，通知并指導(dǎo)系統(tǒng)管理員進(jìn)行安全防范。跟蹤信息系統(tǒng)系統(tǒng)中使用的操作系統(tǒng)和通用應(yīng)用系統(tǒng)最新版本和安全補(bǔ)丁程序的發(fā)布情況，在發(fā)現(xiàn)有新版本或者安全補(bǔ)丁出現(xiàn)發(fā)布時，通知并指導(dǎo)系統(tǒng)管理員進(jìn)行升級或打補(bǔ)丁。根據(jù)信息中心提出的安全標(biāo)準(zhǔn)，對主機(jī)系統(tǒng)上開放的網(wǎng)絡(luò)服務(wù)和端口進(jìn)行檢查，發(fā)現(xiàn)不需要開放的網(wǎng)絡(luò)服務(wù)和端口時及時通知系統(tǒng)管理員進(jìn)行關(guān)閉；定期對主機(jī)的網(wǎng)絡(luò)服務(wù)進(jìn)行全面安全檢測，在發(fā)現(xiàn)安全設(shè)置不當(dāng)或存在安全漏洞時及時通知系統(tǒng)管理員進(jìn)行修補(bǔ)；根據(jù)安全管理機(jī)構(gòu)規(guī)定的周期和時間，對網(wǎng)絡(luò)設(shè)備進(jìn)行全面網(wǎng)絡(luò)安全掃描，發(fā)現(xiàn)安全網(wǎng)絡(luò)設(shè)備上存在的異常開放的網(wǎng)絡(luò)服務(wù)或者開放的網(wǎng)絡(luò)服務(wù)存在安全漏洞時及時通知網(wǎng)絡(luò)管理員采取相應(yīng)的措施。安全管理人員設(shè)計(jì)人員錄用人員錄用的應(yīng)以《網(wǎng)絡(luò)安全工作人員安全管理辦法》為標(biāo)準(zhǔn)：對應(yīng)聘者進(jìn)行審查，確認(rèn)其具有基本的專業(yè)技術(shù)水平，接受過安全意識教育和培訓(xùn)，能夠掌握安全管理基本知識；對信息系統(tǒng)關(guān)鍵崗位的人員還應(yīng)注重思想品質(zhì)、歷史方面的考察；在簽署勞動合同前，應(yīng)由人力資源部進(jìn)行人員背景、資質(zhì)審查，技能考核等，合格者還要簽署《工保密協(xié)議》方可上崗；安全管理人員應(yīng)具有基本的系統(tǒng)安全風(fēng)險分析和評估能力；關(guān)鍵區(qū)域或部位的安全管理人員應(yīng)選用實(shí)踐證明精干、內(nèi)行、忠實(shí)、可靠的人員，必要時可按JY人員條件配備。人員離崗人員離崗的應(yīng)以《網(wǎng)絡(luò)安全工作人員安全管理辦法》為標(biāo)準(zhǔn)：立即中止被解雇的、退休的、辭職的或其他原因離開的人員的所有訪問權(quán)限；收回所有相關(guān)證件、徽章、密鑰、訪問控制標(biāo)記等；收回機(jī)構(gòu)提供的設(shè)備等；調(diào)離后的保密要求：管理層和信息系統(tǒng)關(guān)鍵崗位人員調(diào)離崗位，必須經(jīng)XXXXX網(wǎng)絡(luò)人力資源部嚴(yán)格辦理調(diào)離手續(xù)，承諾其調(diào)離后的保密要求；離崗的審計(jì)要求：涉及組織機(jī)構(gòu)管理層和信息系統(tǒng)關(guān)鍵崗位的人員調(diào)離單位，必須進(jìn)行離崗安全審查，在審查合格后，方可調(diào)離；對于在組織內(nèi)進(jìn)行崗位調(diào)動的工作人員，須根據(jù)新崗位的需要，增加、刪除或修改該人員的計(jì)算機(jī)信息系統(tǒng)訪問權(quán)限，包括電子郵件系統(tǒng)、業(yè)務(wù)應(yīng)用系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)和其他計(jì)算機(jī)信息軟硬件系統(tǒng)。與原崗位有關(guān)的所有資料文件，包括其軟硬拷貝都需要移交，不允許私自帶走。安全意識教育和培訓(xùn)定期的人員考核：應(yīng)定期對各個崗位的人員進(jìn)行不同側(cè)重的安全認(rèn)知和安全技能的考核，作為人員是否適合當(dāng)前崗位的參考；定期的人員審查：對關(guān)鍵崗位人員，應(yīng)定期進(jìn)行審查，如發(fā)現(xiàn)其違反安全規(guī)定，應(yīng)控制使用；管理有效性的審查：對關(guān)鍵崗位人員的工作，應(yīng)通過例行考核進(jìn)行審查，保證安全管理的有效性；并保留審查結(jié)果；全面嚴(yán)格的審查：對所有安全崗位人員的工作，應(yīng)通過全面考核進(jìn)行審查，如發(fā)現(xiàn)其違反安全規(guī)定，應(yīng)采取必要的應(yīng)對措施。應(yīng)知應(yīng)會要求：應(yīng)讓信息系統(tǒng)相關(guān)工作人員知曉信息的敏感性和網(wǎng)絡(luò)安全的重要性，認(rèn)識其自身的責(zé)任和安全違例會受到紀(jì)律懲罰，以及應(yīng)掌握的網(wǎng)絡(luò)安全基本知識和技能等；有計(jì)劃培訓(xùn)：制定并實(shí)施安全教育和培訓(xùn)計(jì)劃，根據(jù)不同培訓(xùn)對象的需要，每季度或每半年進(jìn)行安全培訓(xùn)，培養(yǎng)信息系統(tǒng)各類人員安全意識，并提供對安全政策和操作規(guī)程的認(rèn)知教育和訓(xùn)練等；針對不同崗位培訓(xùn)：針對不同崗位，制定不同的專業(yè)培訓(xùn)計(jì)劃，包括安全知識、安全技術(shù)、安全標(biāo)準(zhǔn)、安全要求、法律責(zé)任和業(yè)務(wù)控制措施等；按人員資質(zhì)要求培訓(xùn)：對所有工作人員的安全資質(zhì)進(jìn)行定期檢查和評估，使相應(yīng)的安全教育成為組織機(jī)構(gòu)工作計(jì)劃的一部分；培養(yǎng)安全意識自覺性：對所有工作人員進(jìn)行相應(yīng)的安全資質(zhì)管理，并使安全意識成為所有工作人員的自覺存在。外部人員訪問管理應(yīng)對硬件和軟件維護(hù)人員，咨詢?nèi)藛T，臨時性的短期職位人員，以及輔助人員和外部服務(wù)人員等第三方人員簽署包括不同安全責(zé)任的合同書或保密協(xié)議；規(guī)定各類人員的活動范圍，進(jìn)入計(jì)算機(jī)房需要得到批準(zhǔn)，并有專人負(fù)責(zé)；第三方人員必須進(jìn)行邏輯訪問時，應(yīng)劃定范圍并經(jīng)過負(fù)責(zé)人批準(zhǔn)，必要時應(yīng)有人監(jiān)督或陪同；在重要區(qū)域，第三方人員必須進(jìn)入或進(jìn)行邏輯訪問（包括近程訪問和遠(yuǎn)程訪問等）均應(yīng)有書面申請、批準(zhǔn)和過程記錄，并有專人全程監(jiān)督或陪同；進(jìn)行邏輯訪問應(yīng)使用專門設(shè)置的臨時用戶，并進(jìn)行審計(jì)；關(guān)鍵區(qū)域管理要求：在關(guān)鍵區(qū)域，一般不允許第三方人員進(jìn)入或進(jìn)行邏輯訪問；如確有必要，除有書面申請外，可采取由機(jī)構(gòu)內(nèi)部人員帶為操作的方式，對結(jié)果進(jìn)行必要的過濾后再提供第三方人員，并進(jìn)行審計(jì)；必要時對上述過程進(jìn)行風(fēng)險評估和記錄備案，并對相應(yīng)風(fēng)險采取必要的安全補(bǔ)救措施。安全管理制度設(shè)計(jì)幫助用戶建立起以網(wǎng)絡(luò)安全方針、安全策略、安全管理制度、安全技術(shù)規(guī)范以及流程為一體的網(wǎng)絡(luò)安全管理制度體系。安全管理制度體系模型參見下圖：圖STYLEREF1\s5SEQ圖\*ARABIC\s13安全管理制度設(shè)計(jì)安全管理制度的建設(shè)，需要對XXXXX網(wǎng)絡(luò)的業(yè)務(wù)和日常運(yùn)營等情況非常熟悉，根據(jù)XXXXX網(wǎng)絡(luò)實(shí)際情況以及等級保護(hù)管理要求制定完整的安全管理體系。規(guī)章制度《網(wǎng)絡(luò)安全組織體系和職責(zé)》：規(guī)定XXXXX網(wǎng)絡(luò)安全組織機(jī)構(gòu)的職責(zé)和工作?！毒W(wǎng)絡(luò)安全崗位人員管理辦法》：加強(qiáng)內(nèi)部人員安全管理，依據(jù)最小特權(quán)原則清晰劃分崗位，在所有崗位職責(zé)中明確網(wǎng)絡(luò)安全責(zé)任，要害工作崗位實(shí)現(xiàn)職責(zé)分離，關(guān)鍵事務(wù)雙人臨崗，重要崗位要有人員備份，定期進(jìn)行人員的安全審查。《網(wǎng)絡(luò)安全工作人員安全管理辦法》：工作人員在錄用、調(diào)動、離職過程中的網(wǎng)絡(luò)安全管理，提出對網(wǎng)絡(luò)安全培訓(xùn)及教育、獎勵和考核的要求?！毒W(wǎng)絡(luò)安全培訓(xùn)及教育管理辦法》：XXXXX網(wǎng)絡(luò)各層面網(wǎng)絡(luò)安全培訓(xùn)的要求和主要內(nèi)容?！毒W(wǎng)絡(luò)安全第三方人員安全管理辦法》：必須加強(qiáng)第三方訪問和外包服務(wù)的安全控制，在風(fēng)險評估的基礎(chǔ)上制定安全控制措施，并與第三方XXXXX網(wǎng)絡(luò)和外包服務(wù)XXXXX網(wǎng)絡(luò)簽署安全責(zé)任協(xié)議，明確其安全責(zé)任?！栋踩珯z查及考核管理辦法》建立安全檢查制度和安全處罰制度，對違反規(guī)章制度的處室和人員按照規(guī)定進(jìn)行處罰。《網(wǎng)絡(luò)安全體系管理辦法》：建設(shè)完整安全體系，實(shí)現(xiàn)從設(shè)計(jì)、實(shí)施、修改和維護(hù)生命周期的安全體系自身保障?！毒W(wǎng)絡(luò)安全策略管理辦法》：安全策略本身應(yīng)規(guī)范從創(chuàng)建、執(zhí)行、修改、到更新、廢止等整個生命周期的維護(hù)保障?！毒W(wǎng)絡(luò)安全安全現(xiàn)狀評估管理辦法》：網(wǎng)絡(luò)安全體系的建設(shè)和維護(hù)，要通過及時獲知和評價網(wǎng)絡(luò)安全的現(xiàn)狀，通過對于安全現(xiàn)狀的評估，實(shí)施網(wǎng)絡(luò)安全建設(shè)工作，減少和降低網(wǎng)絡(luò)安全風(fēng)險，提高網(wǎng)絡(luò)安全保障水平?！毒W(wǎng)絡(luò)安全信息資產(chǎn)管理辦法》：必須加強(qiáng)信息資產(chǎn)管理，建立和維護(hù)信息資產(chǎn)清單，維護(hù)最新的網(wǎng)絡(luò)拓?fù)鋱D，建立信息資產(chǎn)責(zé)任制，對信息資產(chǎn)進(jìn)行分類管理和貼標(biāo)簽?！毒W(wǎng)絡(luò)安全I(xiàn)T設(shè)備弱點(diǎn)評估及加固管理辦法》：增強(qiáng)主機(jī)系統(tǒng)和網(wǎng)絡(luò)設(shè)備的安全配置，應(yīng)定期進(jìn)行安全評估和安全加固。《網(wǎng)絡(luò)安全預(yù)警管理辦法》：對安全威脅提前預(yù)警，及時將國內(nèi)外安全信息通知XXXXX網(wǎng)絡(luò)各級網(wǎng)絡(luò)安全管理人員及工作人員，確保能夠及時采取應(yīng)對措施，以此降低XXXXX網(wǎng)絡(luò)的網(wǎng)絡(luò)安全風(fēng)險?！毒W(wǎng)絡(luò)安全安全審計(jì)及監(jiān)控管理辦法》：應(yīng)部署網(wǎng)絡(luò)層面和系統(tǒng)層面的訪問控制、安全審計(jì)以及安全監(jiān)控技術(shù)措施，保障業(yè)務(wù)系統(tǒng)的安全運(yùn)行?！毒W(wǎng)絡(luò)安全項(xiàng)目立項(xiàng)安全管理辦法》：加強(qiáng)項(xiàng)目建設(shè)的安全管理，配套安全系統(tǒng)必須與業(yè)務(wù)系統(tǒng)“同步規(guī)劃、同步建設(shè)、同步運(yùn)行”，加強(qiáng)安全規(guī)劃、安全評估和論證的管理。《安全運(yùn)行維護(hù)管理辦法》：建立日常維護(hù)操作規(guī)程和變更控制規(guī)程，規(guī)范日常運(yùn)行維護(hù)操作?！毒W(wǎng)絡(luò)安全配置變更管理辦法》：嚴(yán)格控制和審批任何變更行為?！毒W(wǎng)絡(luò)安全病毒防護(hù)管理辦法》：加強(qiáng)XXXXX網(wǎng)絡(luò)病毒防治工作，提升XXXXX網(wǎng)絡(luò)病毒整體防護(hù)能力，降低并防范病毒對于XXXXX網(wǎng)絡(luò)業(yè)務(wù)造成的影響。《網(wǎng)絡(luò)安全補(bǔ)丁管理辦法》：按照補(bǔ)丁跟進(jìn)和發(fā)布、補(bǔ)丁獲取、補(bǔ)丁測試、補(bǔ)丁加載、補(bǔ)丁驗(yàn)證、補(bǔ)丁歸檔這一流程進(jìn)行補(bǔ)丁安全管理?！毒W(wǎng)絡(luò)安全賬號口令及權(quán)限管理辦法》：加強(qiáng)用戶賬號和權(quán)限管理，按照最小特權(quán)原則為用戶分配權(quán)限，避免出現(xiàn)共用賬號的情況。《網(wǎng)絡(luò)安全應(yīng)急響應(yīng)管理辦法》：制定各業(yè)務(wù)系統(tǒng)的應(yīng)急方案，及時發(fā)現(xiàn)、報(bào)告、處理和記錄。管理流程包括：安全管理規(guī)定中與管理流程配合使用，管理規(guī)定中會提出涉及流程的名稱如下：《網(wǎng)絡(luò)安全管理流程—安全補(bǔ)丁管理流程》配合《信息補(bǔ)丁管理辦法》使用?！毒W(wǎng)絡(luò)安全管理流程—安全策略管理流程》：配合《網(wǎng)絡(luò)安全策略管理辦法》共同使用?！毒W(wǎng)絡(luò)安全管理流程—安全配置變更管理流程》：配合《網(wǎng)絡(luò)安全配置變更管理辦法》共同使用?！毒W(wǎng)絡(luò)安全管理流程—安全事件處理流程》：配合《網(wǎng)絡(luò)安全應(yīng)急響應(yīng)管理辦法》共同使用?！毒W(wǎng)絡(luò)安全管理流程—安全體系運(yùn)作流程》：配合《網(wǎng)絡(luò)安全安全體系管理辦法》共同使用?！毒W(wǎng)絡(luò)安全管理流程—辦公網(wǎng)絡(luò)環(huán)境第三方人員訪問申請審批流程》：配合《網(wǎng)絡(luò)安全第三方人員安全管理辦法》共同使用。《網(wǎng)絡(luò)安全管理流程—辦公終端安全處理流程》：配合《網(wǎng)絡(luò)安全辦公終端管理辦法》共同使用?！毒W(wǎng)絡(luò)安全管理流程—應(yīng)急響應(yīng)流程》：配合《網(wǎng)絡(luò)安全應(yīng)急響應(yīng)管理辦法》共同使用?！毒W(wǎng)絡(luò)安全管理流程—賬號安全管理流程》：配合《網(wǎng)絡(luò)安全賬號口令及權(quán)限管理辦法》共同使用。安全技術(shù)規(guī)范《網(wǎng)絡(luò)安全網(wǎng)絡(luò)技術(shù)安全規(guī)范—IP網(wǎng)絡(luò)安全管理規(guī)范》：規(guī)范針對網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)結(jié)構(gòu)以及網(wǎng)絡(luò)各類安全控制的操作，確保安全配置和過程控制的安全有效。《網(wǎng)絡(luò)安全網(wǎng)絡(luò)技術(shù)安全規(guī)范—防火墻配置標(biāo)準(zhǔn)》：規(guī)范系統(tǒng)的安全配置，降低被攻擊的風(fēng)險?！毒W(wǎng)絡(luò)安全主機(jī)技術(shù)安全規(guī)范—系統(tǒng)安全規(guī)范》：針對主流操作系統(tǒng)的配置安全，確保安全配置和過程控制的安全有效?！毒W(wǎng)絡(luò)安全主機(jī)技術(shù)安全規(guī)范—windows系統(tǒng)安全配置標(biāo)準(zhǔn)》：規(guī)范windows系統(tǒng)的安全配置，降低被攻擊的風(fēng)險?！毒W(wǎng)絡(luò)安全應(yīng)用技術(shù)安全規(guī)范—應(yīng)用系統(tǒng)安全規(guī)范》：規(guī)范應(yīng)用系統(tǒng)在開發(fā)過程中，安全功能設(shè)定過程中的安全?！毒W(wǎng)絡(luò)安全數(shù)據(jù)安全規(guī)范—數(shù)據(jù)安全規(guī)范》：規(guī)范數(shù)據(jù)存儲和傳輸過程中的安全控制?！毒W(wǎng)絡(luò)安全主機(jī)技術(shù)安全規(guī)范—應(yīng)急技術(shù)安全規(guī)范》：規(guī)范應(yīng)急計(jì)劃的內(nèi)容、應(yīng)急流程、職責(zé)等相關(guān)應(yīng)急準(zhǔn)備。保密協(xié)議《第三方人員安全保密協(xié)議》；《工作人員保密協(xié)議》。安全建設(shè)管理設(shè)計(jì)系統(tǒng)定級和備案由信息化管理處室負(fù)責(zé)業(yè)務(wù)系統(tǒng)的定級備案工作，由外部安全咨詢服務(wù)團(tuán)隊(duì)提供技術(shù)支持，協(xié)助信息化管理開展系統(tǒng)定級備案工作；明確信息系統(tǒng)的邊界和安全保護(hù)等級；以書面的形式說明確定信息系統(tǒng)為某個安全保護(hù)等級的方法和理由；組織相關(guān)處室和有關(guān)安全技術(shù)專家對信息系統(tǒng)定級結(jié)果的合理性和正確性進(jìn)行論證和審定；確保信息系統(tǒng)的定級結(jié)果經(jīng)過相關(guān)處室的批準(zhǔn)；制定《系統(tǒng)定級管理制度》，其基本內(nèi)容包括：明確負(fù)責(zé)系統(tǒng)定級的組織、崗位及職責(zé)，由網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組總體負(fù)責(zé)，由信息中心負(fù)責(zé)定級工作；編制《信息系統(tǒng)定級基本情況表》模板，用于說明信息系統(tǒng)的邊界和安全保護(hù)等級；編制《信息系統(tǒng)定級報(bào)告》模板，用于說明某個系統(tǒng)定為某個安全保護(hù)等級的方法和理由；編制《信息系統(tǒng)定級專家評審意見》。制定《系統(tǒng)備案管理制度》：指定責(zé)任處室：由安全管理部負(fù)責(zé)管理系統(tǒng)定級的相關(guān)材料并控制這些材料的使用；將系統(tǒng)等級及相關(guān)材料報(bào)系統(tǒng)主管處室備案；將系統(tǒng)等級及其他要求的備案材料報(bào)相應(yīng)公安機(jī)關(guān)備案。安全方案設(shè)計(jì)由信息化管理處室負(fù)責(zé)，由外部安全咨詢服務(wù)團(tuán)隊(duì)提供技術(shù)支持，開展安全方案設(shè)計(jì)工作：根據(jù)系統(tǒng)的安全保護(hù)等級選擇基本安全措施，并依據(jù)風(fēng)險分析的結(jié)果補(bǔ)充和調(diào)整安全措施；組織有關(guān)單位對信息系統(tǒng)的安全建設(shè)進(jìn)行總體規(guī)劃，制定近期和遠(yuǎn)期的安全建設(shè)工作計(jì)劃；根據(jù)信息系統(tǒng)的等級劃分情況，統(tǒng)一考慮安全保障體系的總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃和詳細(xì)設(shè)計(jì)方案，并形成配套文件；組織相關(guān)處室和有關(guān)安全技術(shù)專家對總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等相關(guān)配套文件的合理性和正確性進(jìn)行論證和審定，經(jīng)過批準(zhǔn)后，正式實(shí)施；根據(jù)等級測評、安全評估的結(jié)果定期調(diào)整和修訂總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等相關(guān)配套文件；制定《安全方案設(shè)計(jì)管理制度》指定負(fù)責(zé)處室。由信息中心協(xié)同戰(zhàn)略方案中心等有關(guān)處室負(fù)責(zé)安全方案設(shè)計(jì)；規(guī)定方案設(shè)計(jì)流程、設(shè)計(jì)文檔模板，包括：總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案；規(guī)定《專家評審意見》模板。安全產(chǎn)品采購制定《安全產(chǎn)品采購管理制度》，具體內(nèi)容有：指定責(zé)任處室：由信息中心會同他有關(guān)處室負(fù)責(zé)產(chǎn)品采購；定義采購流程：選型測試、年度審定及更新；確定采購和使用安全產(chǎn)品的國家有關(guān)規(guī)定；確定確國家密碼主管處室對采購和使用密碼產(chǎn)品的規(guī)定；定義選型測試所需文檔的模板。外包軟件開發(fā)制定《外包軟件開發(fā)管理制度》.由信息中心及有關(guān)軟件開發(fā)管理處室、處室共同負(fù)責(zé)外包軟件開發(fā)管理:根據(jù)開發(fā)需求檢測軟件質(zhì)量；軟件安裝之前要檢測軟件包中可能存在的惡意代碼；在合同中要求開發(fā)單位提供軟件設(shè)計(jì)的相關(guān)文檔和使用指南；在合同中要求開發(fā)單位提供軟件源代碼，并審查可能存在的后門；在合同中要求：在服務(wù)期內(nèi)如發(fā)現(xiàn)安全漏洞，則開發(fā)單位必須及時提供相關(guān)安全補(bǔ)丁或者進(jìn)行及時升級。工程實(shí)施制定《工程實(shí)施管理制度》:由信息中心協(xié)同有關(guān)處室負(fù)責(zé)負(fù)責(zé)工程實(shí)施管理；督促施工單位或者處室制定詳細(xì)的工程實(shí)施方案控制實(shí)施過程，并按照工程實(shí)施過程進(jìn)行實(shí)施；維護(hù)并推行工程實(shí)施管理制度，明確說明實(shí)施過程的控制方法和人員行為準(zhǔn)則。測試驗(yàn)收制定《測試驗(yàn)收管理制度》:指定信息中心和有關(guān)處室共同負(fù)責(zé)測試驗(yàn)收管理；委托公正的第三方測試單位對系統(tǒng)進(jìn)行安全性測試，并出具安全性測試報(bào)告；測評單位在測試驗(yàn)收前應(yīng)根據(jù)設(shè)計(jì)方案或合同要求等制訂測試驗(yàn)收方案，在測試驗(yàn)收過程中應(yīng)詳細(xì)記錄測試驗(yàn)收結(jié)果，并形成測試驗(yàn)收報(bào)告；測評單位對系統(tǒng)測試驗(yàn)收的控制方法和人員行為準(zhǔn)則進(jìn)行書面規(guī)定；由信息中心與相關(guān)處室對系統(tǒng)測試驗(yàn)收報(bào)告進(jìn)行審定并簽字確認(rèn)。系統(tǒng)交付制定《系統(tǒng)交付管理制度》:由安全管理部負(fù)責(zé)系統(tǒng)交付的管理工作，按照管理規(guī)定的要求完成系統(tǒng)交付工作；制定詳細(xì)的系統(tǒng)交付清單，根據(jù)交付清單對所交接的設(shè)備、軟件和文檔等進(jìn)行清點(diǎn)。對負(fù)責(zé)系統(tǒng)運(yùn)行維護(hù)的技術(shù)人員進(jìn)行相應(yīng)的技能培訓(xùn)；確保提供系統(tǒng)建設(shè)過程中的文檔和指導(dǎo)用戶進(jìn)行系統(tǒng)運(yùn)行維護(hù)的文檔；定義系統(tǒng)交付控制方法和人員行為準(zhǔn)則。等級測評制定《等級測評管理制度》：指定責(zé)任單位：由信息中心負(fù)責(zé)，每年至少組織測評單位對系統(tǒng)進(jìn)行一次等級測評，對發(fā)現(xiàn)的不符合項(xiàng)及時進(jìn)行整改；在系統(tǒng)發(fā)生變更時及時申請對系統(tǒng)進(jìn)行等級測評，發(fā)現(xiàn)級別發(fā)生變化的及時調(diào)整級別并進(jìn)行安全改造，發(fā)現(xiàn)不符合相應(yīng)等級保護(hù)標(biāo)準(zhǔn)要求的及時整改；選擇具有國家相關(guān)技術(shù)資質(zhì)和安全資質(zhì)的測評單位進(jìn)行等級測評。安全服務(wù)商選擇制定《安全服務(wù)商管理制度》：指定責(zé)任處室：由安全管理部負(fù)責(zé)選擇安全服務(wù)商；確保安全服務(wù)商的選擇符合國家的有關(guān)規(guī)定；與選定的安全服務(wù)商簽訂與安全相關(guān)的協(xié)議，明確約定相關(guān)責(zé)任、服務(wù)范圍、服務(wù)期限、服務(wù)各具體條款及服務(wù)質(zhì)量要求等；確保選定的安全服務(wù)商提供技術(shù)培訓(xùn)和服務(wù)承諾，必要的與其簽訂服務(wù)合同。安全運(yùn)維管理設(shè)計(jì)環(huán)境管理制定《環(huán)境管理制度》：指定責(zé)任處室：由信息中心同負(fù)責(zé)環(huán)境管理；定期對機(jī)房供配電、空調(diào)、溫濕度控制等設(shè)施進(jìn)行維護(hù)管理；負(fù)責(zé)機(jī)房安全，機(jī)房安全管理人員對機(jī)房的出入、服務(wù)器的開機(jī)或關(guān)機(jī)等工作進(jìn)行管理；建立《機(jī)房安全管理制度》，對有關(guān)機(jī)房物理訪問，物品帶進(jìn)、帶出機(jī)房和機(jī)房環(huán)境安全等方面作出規(guī)定；規(guī)范辦公環(huán)境人員行為，包括：工作人員調(diào)離辦公室應(yīng)立即交還該辦公室鑰匙、不在辦公區(qū)接待來訪人員、工作人員離開座位應(yīng)確保終端計(jì)算機(jī)退出登錄狀態(tài)和桌面上沒有包含敏感信息的文件等。資產(chǎn)管理制定《資產(chǎn)管理制度》：指定責(zé)任處室：由信息中心及有關(guān)處室共同負(fù)責(zé)資產(chǎn)管理；編制并保存與信息系統(tǒng)相關(guān)的資產(chǎn)清單，包括資產(chǎn)責(zé)任處室、重要程度和所處位置等；規(guī)定信息系統(tǒng)資產(chǎn)管理的責(zé)任人員或責(zé)任處室，并規(guī)范資產(chǎn)管理和使用的行為；對信息分類與標(biāo)識方法作出規(guī)定，根據(jù)資產(chǎn)的重要程度對資產(chǎn)進(jìn)行標(biāo)識管理，并對信息的使用、傳輸和存儲等進(jìn)行規(guī)范化管理；定義管理措施選擇方案：根據(jù)資產(chǎn)的價值選擇相應(yīng)管理措施。介質(zhì)管理建立《介質(zhì)管理制度》：指定責(zé)任處室。由信息中心負(fù)責(zé)介質(zhì)管理；規(guī)定介質(zhì)的存放環(huán)境、使用、維護(hù)和銷毀；由信息中心負(fù)責(zé)對存儲環(huán)境進(jìn)行專人管理，確保介質(zhì)存放在安全的環(huán)境中，對各類介質(zhì)進(jìn)行控制和保護(hù)；對介質(zhì)在物理傳輸過程中的人員選擇、打包、交付等情況進(jìn)行控制，對介質(zhì)歸檔和查詢等進(jìn)行登記記錄，并根據(jù)存檔介質(zhì)的目錄清單定期盤點(diǎn)；對存儲介質(zhì)的使用過程、送出維修以及銷毀等進(jìn)行嚴(yán)格的管理，對帶出工作環(huán)境的存儲介質(zhì)進(jìn)行內(nèi)容加密和監(jiān)控管理，對送出維修或銷毀的介質(zhì)應(yīng)首先清除介質(zhì)中的敏感數(shù)據(jù)，對保密性較高的存儲介質(zhì)未經(jīng)批準(zhǔn)不得自行銷毀；根據(jù)數(shù)據(jù)備份的需要對某些介質(zhì)實(shí)行異地存儲，存儲地的環(huán)境要求和管理方法應(yīng)與本地相同；對重要介質(zhì)中的數(shù)據(jù)和軟件采取加密存儲，并根據(jù)所承載數(shù)據(jù)和軟件的重要程度對介質(zhì)進(jìn)行分類和標(biāo)識管理。設(shè)備維護(hù)管理制定《設(shè)備管理制度》：指定責(zé)任處室：由信息中心及網(wǎng)絡(luò)管理部等有關(guān)處室負(fù)責(zé)設(shè)備管理；對信息系統(tǒng)相關(guān)的各種設(shè)備（包括備份和冗余設(shè)備）、線路等每周進(jìn)行維護(hù)管理；定義基于申報(bào)、審批和專人負(fù)責(zé)的設(shè)備安全管理方法，對信息系統(tǒng)的各種軟硬件設(shè)備的選型、采購、發(fā)放、領(lǐng)用、維護(hù)、操作、維修等過程進(jìn)行規(guī)范化管理；定義配套設(shè)施、軟硬件維護(hù)方面的管理方法，明確維護(hù)人員的責(zé)任，對涉外維修和服務(wù)的審批、維修過程等監(jiān)督控制方法進(jìn)行說明；定義終端計(jì)算機(jī)、工作站、便攜機(jī)、系統(tǒng)和網(wǎng)絡(luò)等設(shè)備的操作和使用規(guī)范：針對主要設(shè)備（包括備份和冗余設(shè)備）的啟動/停止、加電/斷電等操作；定義信息處理設(shè)備帶離機(jī)房或辦公地點(diǎn)的審批流程。漏洞和風(fēng)險管理定期對系統(tǒng)進(jìn)行漏洞掃描，識別安全漏洞和隱患，對發(fā)現(xiàn)的安全漏洞和隱患及時進(jìn)行修補(bǔ)或評估可能的影響后進(jìn)行修補(bǔ)；定期開展安全測評，形成安全測評報(bào)告，采取措施應(yīng)對發(fā)現(xiàn)的安全問題。網(wǎng)絡(luò)和系統(tǒng)安全管理制定《網(wǎng)絡(luò)和系統(tǒng)安全管理制度》：指定責(zé)任處室：由信息中心負(fù)責(zé)網(wǎng)絡(luò)安全管理，由信息管理處室專人負(fù)責(zé)對運(yùn)行日志、網(wǎng)絡(luò)監(jiān)控記錄的日常維護(hù)和報(bào)警信息分析和處理工作；對網(wǎng)絡(luò)安全配置、日志保存時間、安全策略、升級與打補(bǔ)丁、口令更新周期等方面作出規(guī)定；定義更新流程：根據(jù)廠家提供的軟件升級版本對網(wǎng)絡(luò)設(shè)備進(jìn)行更新，并在更新前對現(xiàn)有的重要文件進(jìn)行備份；定義漏洞管理方法：定期對網(wǎng)絡(luò)系統(tǒng)進(jìn)行漏洞掃描，發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)安全漏洞進(jìn)行及時修補(bǔ)；定義設(shè)備配置方法：實(shí)現(xiàn)設(shè)備的最小服務(wù)配置，并對配置文件進(jìn)行定期離線備份；定義外部連接審批流程：所有與外部系統(tǒng)的連接均得到授權(quán)和批準(zhǔn)；定義設(shè)備接入策略：依據(jù)安全策略允許或者拒絕便攜式和移動式設(shè)備的網(wǎng)絡(luò)接入；定義非法上網(wǎng)管理方法：每周檢查違反規(guī)定撥號上網(wǎng)或其他違反網(wǎng)絡(luò)安全策略的行為。指定責(zé)任處室：由信息中心負(fù)責(zé)系統(tǒng)安全管理，負(fù)責(zé)對系統(tǒng)進(jìn)行管理，劃分系統(tǒng)管理員角色，明確各個角色的權(quán)限、責(zé)任和風(fēng)險，權(quán)限設(shè)定應(yīng)當(dāng)遵循最小授權(quán)原則；根據(jù)業(yè)務(wù)需求和系統(tǒng)安全分析確定系統(tǒng)的訪問控制策略；每周進(jìn)行漏洞掃描，對發(fā)現(xiàn)的系統(tǒng)安全漏洞及時進(jìn)行修補(bǔ)；安裝系統(tǒng)的最新補(bǔ)丁程序，在安裝系統(tǒng)補(bǔ)丁前，首先在測試環(huán)境中測試通過，并對重要文件進(jìn)行備份后，方可實(shí)施系統(tǒng)補(bǔ)丁程序的安裝；依據(jù)操作手冊對系統(tǒng)進(jìn)行維護(hù)，詳細(xì)記錄操作日志，包括重要的日常操作、運(yùn)行維護(hù)記錄、參數(shù)的設(shè)置和修改等內(nèi)容，嚴(yán)禁進(jìn)行未經(jīng)授權(quán)的操作；每周對運(yùn)行日志和審計(jì)數(shù)據(jù)進(jìn)行分析，以便及時發(fā)現(xiàn)異常行為。對系統(tǒng)安全策略、安全配置、日志管理和日常操作流程等方面作出具體規(guī)定。配置安全管理對記錄和保存基本配置信息，包括網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、各個設(shè)備安裝的軟件組件、軟件組件的版本和補(bǔ)丁信息、各個設(shè)備或軟件組件的配置參數(shù)等信息進(jìn)行安全管理；將基本配置信息改變納入變更范疇，實(shí)施對配置信息改變的控制，并及時更新基本配置信息庫。惡意代碼防范制定《惡意代碼防范管理制度》：指定責(zé)任處室：由安全管理部負(fù)責(zé)進(jìn)行惡意代碼防范；每年進(jìn)行定期培訓(xùn)，通過培訓(xùn)提高所有用戶的防病毒意識、及時告知防病毒軟件版本、在讀取移動存儲設(shè)備上的數(shù)據(jù)以及網(wǎng)絡(luò)上接收文件或郵件之前先進(jìn)行病毒檢查、對外來計(jì)算機(jī)或存儲設(shè)備接入網(wǎng)絡(luò)系統(tǒng)之前也應(yīng)進(jìn)行病毒檢查；由專信息中心負(fù)責(zé)對網(wǎng)絡(luò)和主機(jī)進(jìn)行惡意代碼檢測并保存檢測記錄，每周檢查信息系統(tǒng)內(nèi)各種產(chǎn)品的惡意代碼庫的升級情況并進(jìn)行記錄，對主機(jī)防病毒產(chǎn)品、防病毒網(wǎng)關(guān)和郵件防病毒網(wǎng)關(guān)上截獲的危險病毒或惡意代碼進(jìn)行及時分析處理，并形成書面的報(bào)表和總結(jié)匯報(bào)；定義防惡意代碼軟件授權(quán)使用、惡意代碼庫升級、定期匯報(bào)等流程。密碼管理建立《密碼使用管理制度》：指定責(zé)任處室：信息中心負(fù)責(zé)密碼使用管理；總結(jié)在密碼設(shè)備的采購、使用、維護(hù)、保修及報(bào)廢的整個生命周期內(nèi)的各項(xiàng)國家有關(guān)規(guī)定；嚴(yán)格執(zhí)行上述規(guī)定。變更管理建立《變更管理制度》：指定責(zé)任處室：由信息中心負(fù)責(zé)變更管理；建立變更流程：確認(rèn)系統(tǒng)中要發(fā)生的變更，制定變更方案，系統(tǒng)發(fā)生變更前向主管領(lǐng)導(dǎo)申請，變更和變更方案經(jīng)過評審、審批后方可實(shí)施變更，在實(shí)施后將變更情況向相關(guān)人員通告；建立《變更申報(bào)和審批程序》：對變更影響進(jìn)行分析并文檔化，記錄變更實(shí)施過程，并妥善保存所有文檔和記錄；建立《中止變更程序》，中止變更并從失敗變更中恢復(fù)，明確過程控制方法和人員職責(zé)，必要時對恢復(fù)過程進(jìn)行演練。備份及恢復(fù)管理建立《備份及恢復(fù)管理制度》：指定責(zé)任處室：由信息中心負(fù)責(zé)備份與恢復(fù)管理；識別需要定期備份的重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等；定義備份信息的備份方式、備份頻度、存儲介質(zhì)和保存期等；根據(jù)數(shù)據(jù)的重要性和數(shù)據(jù)對系統(tǒng)運(yùn)行的影響，制定數(shù)據(jù)的備份策略和恢復(fù)策略，備份策略須指明備份數(shù)據(jù)的放置場所、文件命名規(guī)則、介質(zhì)替換頻率和將數(shù)據(jù)離站運(yùn)輸?shù)姆椒?；建立《?shù)據(jù)備份和恢復(fù)過程》，對備份過程進(jìn)行記錄，所有文件和記錄應(yīng)妥善保存；建立演練流程：每季度對恢復(fù)程序進(jìn)行演練，檢查和測試備份介質(zhì)的有效性，確?？梢栽诨謴?fù)程序規(guī)定的時間內(nèi)完成備份的恢復(fù)。安全事件處置制定《安全事件處置管理制度》指定責(zé)任處室：由信息中心負(fù)責(zé)安全事件處置；每年進(jìn)行培訓(xùn)。通過培訓(xùn)讓所有人能夠報(bào)告所發(fā)現(xiàn)的安全弱點(diǎn)和可疑事件，但任何情況下用戶均不應(yīng)嘗試驗(yàn)證弱點(diǎn)；制定《安全事件報(bào)告和處置管理程序》：明確安全事件的類型，規(guī)定安全事件的現(xiàn)場處理、事件報(bào)告和后期恢復(fù)的管理職責(zé)；確定事件的報(bào)告流程，響應(yīng)和處置的范圍、程度，以及處理方法等；在安全事件報(bào)告和響應(yīng)處理過程中，分析和鑒定事件產(chǎn)生的原因，收集證據(jù)，記錄處理過程，總結(jié)經(jīng)驗(yàn)教訓(xùn)，制定防止再次發(fā)生的補(bǔ)救措施，過程形成的所有文件和記錄均應(yīng)妥善保存；為造成系統(tǒng)中斷和造成信息泄密的安全事件制定不同的處理程序和報(bào)告程序；制定《安全事件等級劃分方法》：根據(jù)國家相關(guān)管理處室對計(jì)算機(jī)安全事件等級劃分方法和安全事件對本系統(tǒng)產(chǎn)生的影響，對本系統(tǒng)計(jì)算機(jī)安全事件進(jìn)行等級劃分。應(yīng)急預(yù)案管理制定《應(yīng)急預(yù)案管理制度》：指定責(zé)任處室：由信息中心負(fù)責(zé)應(yīng)急預(yù)案管理；建立統(tǒng)一的應(yīng)急預(yù)案框架，框架應(yīng)包括事件分級方法、各級事件啟動應(yīng)急預(yù)案的條件、應(yīng)急處理流程、系統(tǒng)恢復(fù)流程、事后教育和培訓(xùn)等內(nèi)容；在應(yīng)急預(yù)案框架制定不同事件的應(yīng)急預(yù)案，應(yīng)急預(yù)案要指名適用的系統(tǒng)、設(shè)備等，要結(jié)合系統(tǒng)實(shí)際狀況，如《門戶網(wǎng)站被篡改應(yīng)急預(yù)案》、《網(wǎng)絡(luò)設(shè)備癱瘓應(yīng)急預(yù)案》；資源承諾：從人力、設(shè)備、技術(shù)和財(cái)務(wù)等方面確保應(yīng)急預(yù)案的執(zhí)行有足夠的資源保障；培訓(xùn)要求：對系統(tǒng)相關(guān)的人員進(jìn)行應(yīng)急預(yù)案培訓(xùn)，應(yīng)急預(yù)案的培訓(xùn)應(yīng)至少每年舉辦一次；演練要求：定期對應(yīng)急預(yù)案進(jìn)行演練，根據(jù)不同的應(yīng)急恢復(fù)內(nèi)容，確定演練的周期；更新要求：規(guī)定應(yīng)急預(yù)案需要定期審查和根據(jù)實(shí)際情況更新的內(nèi)容，并按照執(zhí)行。外包運(yùn)維管理確保外包運(yùn)維服務(wù)商的選擇符合國家的有關(guān)規(guī)定；與選定的外包運(yùn)維服務(wù)商簽訂相關(guān)的協(xié)議，明確約定外包運(yùn)維的范圍、工作內(nèi)容；保證選擇的外包運(yùn)維服務(wù)商在技術(shù)和管理方面均應(yīng)具有按照等級保護(hù)要求開展安全運(yùn)維工作的能力，并將能力要求在簽訂的協(xié)議中明確；在與外包運(yùn)維服務(wù)商簽訂的協(xié)議中明確所有相關(guān)的安全要求，如可能涉及對敏感信息的訪問、處理、存儲要求，對IT基礎(chǔ)設(shè)施中斷服務(wù)的應(yīng)急保障要求等。

安全運(yùn)維服務(wù)設(shè)計(jì)安全咨詢服務(wù)安全管理咨詢建議由專業(yè)的安全服務(wù)機(jī)構(gòu)對XXXXX網(wǎng)絡(luò)進(jìn)行全面的安全管理體系建設(shè)咨詢。參考國內(nèi)外相關(guān)標(biāo)準(zhǔn)和國內(nèi)的安全規(guī)范要求，根據(jù)業(yè)務(wù)特點(diǎn)，協(xié)助管理部門進(jìn)行安全管理組織、安全管理職責(zé)、安全管理策略、安全管理制度、安全管理流程等的制定和優(yōu)化（對已有策略），幫助推動安全管理制度的有效落地，為網(wǎng)絡(luò)安全管理和運(yùn)維提供更好的指導(dǎo)和支持，確保網(wǎng)絡(luò)安全管理正規(guī)有序。應(yīng)急預(yù)案咨詢建議由專業(yè)的安全服務(wù)機(jī)構(gòu)協(xié)助XXXXX網(wǎng)絡(luò)制定針對各類重大安全事件的安全應(yīng)急預(yù)案。預(yù)案制定以后，還要針對預(yù)案內(nèi)容進(jìn)行必要的培訓(xùn)和操作性演練。通過培訓(xùn)和演練，培養(yǎng)XXXXX網(wǎng)絡(luò)自身的應(yīng)急隊(duì)伍，使其熟悉應(yīng)急工作流程，識別應(yīng)急所需資源要求，評價應(yīng)急準(zhǔn)備狀態(tài)，檢驗(yàn)應(yīng)急預(yù)案的可行性和改進(jìn)預(yù)案，從而提高警惕性和實(shí)戰(zhàn)能力。代碼安全咨詢建議采用專業(yè)安全服務(wù)機(jī)構(gòu)提供的代碼安全檢查服務(wù)，在應(yīng)用