網(wǎng)絡(luò)安全等級(jí)保護(hù)(第三級(jí))實(shí)施方案（技術(shù)方案）

勞網(wǎng)絡(luò)安全等級(jí)保護(hù)(第三級(jí))方案（技術(shù)方案）投標(biāo)方案投標(biāo)人名稱：****有限責(zé)任公司地址：****號(hào)二樓聯(lián)系人：****等保三級(jí)(等保2.0)建設(shè)綜合解決方案2020年2月第一章項(xiàng)目概述 41.1項(xiàng)目概述 41.2項(xiàng)目建設(shè)背景 41.2.1法律要求 51.2.2政策要求 71.3項(xiàng)目建設(shè)目標(biāo)及內(nèi)容 71.3.1項(xiàng)目建設(shè)目標(biāo) 71.3.2建設(shè)內(nèi)容 8第二章現(xiàn)狀與差距分析 92.1現(xiàn)狀概述 92.1.1信息系統(tǒng)現(xiàn)狀 92.2現(xiàn)狀與差距分析 2.2.1物理安全現(xiàn)狀與差距分析 2.2.2網(wǎng)絡(luò)安全現(xiàn)狀與差距分析 2.2.3主機(jī)安全現(xiàn)狀與差距分析 2.2.4應(yīng)用安全現(xiàn)狀與差距分析 442.2.5數(shù)據(jù)安全現(xiàn)狀與差距分析 562.2.6安全管理現(xiàn)狀與差距分析 592.3綜合整改建議 2.3.1技術(shù)措施綜合整改建議 2.3.2安全管理綜合整改建議 等保三級(jí)(等保2.0)建設(shè)綜合解決方案2020年2月2第三章安全建設(shè)目標(biāo) 第四章安全整體規(guī)劃 4.1建設(shè)指導(dǎo) 4.1.1指導(dǎo)原則 4.1.2安全防護(hù)體系設(shè)計(jì)整體架構(gòu) 4.2安全技術(shù)規(guī)劃 4.2.1安全建設(shè)規(guī)劃拓樸圖 884.2.2安全設(shè)備功能 4.3建設(shè)目標(biāo)規(guī)劃 第五章工程建設(shè) 5.1工程一期建設(shè) 5.1.1區(qū)域劃分 5.1.2網(wǎng)絡(luò)環(huán)境改造 5.1.3網(wǎng)絡(luò)邊界安全加固 995.1.4網(wǎng)絡(luò)及安全設(shè)備部署 5.1.5安全管理體系建設(shè)服務(wù) 5.1.6安全加固服務(wù) 5.1.7應(yīng)急預(yù)案和應(yīng)急演練 5.1.8安全等保認(rèn)證協(xié)助服務(wù) 5.2工程二期建設(shè) 5.2.1安全運(yùn)維管理平臺(tái)(soc) 4第一章項(xiàng)目概述 5在2017年6月1日頒發(fā)的《中華人民共和國網(wǎng)絡(luò)安全法》中 6 7(中央編辦發(fā)(2014)69號(hào)),公安部、中央網(wǎng)信辦、中編辦、2562號(hào)) 8方案目標(biāo)是讓某單位的骨干網(wǎng)絡(luò)、相關(guān)應(yīng)用系統(tǒng)達(dá)到安全等級(jí)保護(hù)第三級(jí)要求。經(jīng)過建設(shè)后使整體網(wǎng)絡(luò)形成一套完善的安全防護(hù)體系，提升整體信息安全防護(hù)能力。本項(xiàng)目以某單位骨干網(wǎng)絡(luò)、信息系統(tǒng)等級(jí)保護(hù)建設(shè)為主線，以讓相關(guān)信息系統(tǒng)達(dá)到安全等級(jí)保護(hù)第三級(jí)要求。借助網(wǎng)絡(luò)產(chǎn)品、安全產(chǎn)品、安全服務(wù)、管理制度等手段，建立全網(wǎng)的安全防控管理服務(wù)體系，從而全面提高某單位的工作效率，提升信息化建設(shè)內(nèi)容包括某單位內(nèi)網(wǎng)骨干網(wǎng)絡(luò)、基礎(chǔ)設(shè)施和信息系統(tǒng)第二章現(xiàn)狀與差距分析1)服務(wù)器≥4臺(tái)2)網(wǎng)絡(luò)設(shè)備若干路由器、交換機(jī)、ap3)安全設(shè)備有：1臺(tái)防火墻(過保)、WAF(過保)、2臺(tái)ips(dmz區(qū)前IPS已過保)、上網(wǎng)行為管理(過保)、防病毒網(wǎng)關(guān)、綠盟安全審計(jì)系統(tǒng)、360天擎終端殺毒(只具有殺毒模塊)4)存儲(chǔ)設(shè)備：火星艙容災(zāi)備份起到至關(guān)重要的作用。某單位內(nèi)網(wǎng)核心，由1臺(tái)DPX安全業(yè)務(wù)網(wǎng)匯聚層：匯聚層是網(wǎng)絡(luò)接入層和核心層的“中介”,是在工WindowsServer系列操作系統(tǒng)。機(jī)系統(tǒng)沒有進(jìn)行過定期更新補(bǔ)丁，安裝有360天擎殺毒軟件整改；根據(jù)信息安全等級(jí)保護(hù)(第三級(jí))中對(duì)物理安全相關(guān)項(xiàng)(防火、防雷、防水、防磁及電力供應(yīng)等)存在些許差距。詳見圖表2物理安全現(xiàn)狀是否備注物理位置的選擇(G3)a)機(jī)房和辦公場地應(yīng)選擇在具有防震、防風(fēng)和防雨等能力的建筑內(nèi)；符合要求滿足避免設(shè)在建筑物的符合要求滿足是否備注高層或地下室，以及用水設(shè)備的下層物理訪問控制(G3)a)機(jī)房出入口控制、鑒別和記錄進(jìn)入的人員；不符合要求不滿足無相關(guān)記錄b)需進(jìn)入機(jī)房的來訪人員應(yīng)經(jīng)過申請(qǐng)和審批流程，并限制和監(jiān)控其活動(dòng)范圍；不符合要求不滿足有監(jiān)控，但是沒有申請(qǐng)和審批流程c)應(yīng)對(duì)機(jī)房劃區(qū)域和區(qū)域之間設(shè)置物理隔離裝置，在重要區(qū)域前設(shè)置交付或安裝等過渡基本符合要求依據(jù)業(yè)務(wù)系統(tǒng)進(jìn)行了機(jī)柜間的區(qū)域區(qū)分，但未在重要區(qū)域前設(shè)置物理隔離裝在重要區(qū)域前設(shè)置物理隔離裝是否備注d)重要區(qū)域應(yīng)配置電子門禁系統(tǒng)，控制、鑒別和符合要求基本滿足防盜竊和防破壞(G3)a)應(yīng)將主要設(shè)備放置在機(jī)房內(nèi)；符合要求滿足b)應(yīng)將設(shè)備或主要部件進(jìn)行固定，并設(shè)置明顯的不易除去的標(biāo)記；符合要求滿足c)應(yīng)將通信線纜鋪設(shè)在隱蔽處，可鋪設(shè)在地下或管道中不符合要求不滿足有部分線纜架設(shè)在半空中d)應(yīng)對(duì)介質(zhì)分類標(biāo)識(shí)，存儲(chǔ)在介符合要求滿足是否備注質(zhì)庫或檔案室中；e)應(yīng)利用光、電等技術(shù)設(shè)置機(jī)房防盜報(bào)警系統(tǒng)；符合要求滿足f)應(yīng)對(duì)機(jī)房設(shè)符合要求滿足防雷擊(G3)a)機(jī)房建筑應(yīng)設(shè)置避雷裝置；符合要求滿足b)應(yīng)設(shè)置防雷保安器，防止感應(yīng)符合要求滿足c)機(jī)房應(yīng)設(shè)置符合要求滿足防火(G3)a)機(jī)房應(yīng)設(shè)置火災(zāi)自動(dòng)消防系統(tǒng)，能夠自動(dòng)檢測基本符合要求安裝有氣體滅火裝置是否備注并自動(dòng)滅火；b)機(jī)房及相關(guān)的工作房間和輔助房應(yīng)采用具有耐火等級(jí)的建筑材料；符合要求滿足c)機(jī)房應(yīng)采取區(qū)域隔離防火措施，將重要設(shè)備與不符合要求不滿足防水和防潮(G3)本項(xiàng)要求包括：不得穿過機(jī)房屋頂和活動(dòng)地板下；符合要求滿足b)應(yīng)采取措施防止雨水通過機(jī)房窗戶、屋頂和墻壁符合要求滿足c)應(yīng)采取措施符合滿足是否備注防止機(jī)房內(nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透；要求d)應(yīng)安裝對(duì)水敏感的檢測儀表或組件，對(duì)機(jī)房進(jìn)行防水檢測和報(bào)警。符合要求滿足防靜電(G3)本項(xiàng)要求包括：a)主要設(shè)備應(yīng)采用必要的接地防靜電措施；符合要求滿足b)機(jī)房應(yīng)采用符合要求滿足溫濕度控制(G3)本項(xiàng)要求包括：機(jī)房應(yīng)設(shè)置溫、濕度自動(dòng)調(diào)節(jié)設(shè)施，使機(jī)房溫、濕度的變化在設(shè)備符合要求安裝有動(dòng)力建議機(jī)房日常溫度控制在10~是否備注運(yùn)行所允許的范圍28℃,濕度30~電力供應(yīng)(A3)本項(xiàng)要求包括：a)應(yīng)在機(jī)房供電線路上配置穩(wěn)壓器和過電壓防護(hù)設(shè)基本符合要求滿足b)應(yīng)提供短期的備用電力供應(yīng)，至少滿足主要設(shè)備在斷電情況下的正常運(yùn)行要求符合要求設(shè)置UPS電池供電，并至少保證斷電時(shí)主要設(shè)備在滿負(fù)荷情況下4小時(shí)的正c)應(yīng)設(shè)置冗余或并行的電力電纜線路為計(jì)算機(jī)系統(tǒng)不符合要求只有一條出口線，極容易出現(xiàn)單點(diǎn)故障增加線纜，做到冗余d)應(yīng)建立備用符合要求滿足是否備注0電磁防護(hù)(S3)a)應(yīng)采用接地方式防止外界電磁干擾和設(shè)備寄生耦合干擾；符合要求滿足信線纜應(yīng)隔離鋪設(shè)，避免互相干符合要求滿足c)應(yīng)對(duì)關(guān)鍵設(shè)備和磁介質(zhì)實(shí)施電符合要求滿足2.2.2網(wǎng)絡(luò)安全現(xiàn)狀與差距分析由于某單位前期已經(jīng)行相關(guān)安全建設(shè)，仍有相關(guān)安全防護(hù)建設(shè)不到位，主要表現(xiàn)出以下問題點(diǎn)：1.網(wǎng)絡(luò)結(jié)構(gòu)基本清晰，但細(xì)節(jié)規(guī)劃不合理；2.新增移動(dòng)接入鏈路，3.面對(duì)日益突增的網(wǎng)絡(luò)安全事件缺乏有效防御手段及應(yīng)急機(jī)4.骨干網(wǎng)絡(luò)架構(gòu)規(guī)劃不合理，核心交換區(qū)無冗余，安全防護(hù)區(qū)域劃分不明晰，不能對(duì)不同區(qū)域間防護(hù)措施、技術(shù)手段進(jìn)行統(tǒng)一規(guī)劃，不同區(qū)域?qū)阂夤舻姆婪赌芰Σ灰弧Ｊ欠駛渥⒔Y(jié)構(gòu)安全(G3)本項(xiàng)要求包括：a)應(yīng)保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需不符合要求域網(wǎng)核心交換設(shè)備均采用單鏈路、單設(shè)備，無冗余域網(wǎng)核心設(shè)采用多鏈路是否備注現(xiàn)設(shè)備故障則會(huì)出現(xiàn)單點(diǎn)故障，無法有效保障對(duì)外開放的業(yè)務(wù)安全穩(wěn)b)應(yīng)保證網(wǎng)絡(luò)各個(gè)部分的帶寬滿足業(yè)務(wù)高峰期需要；符合要求滿足c)應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路由控制建立安全的符合要求滿足d)應(yīng)繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)不符合要求暫無拓?fù)鋱D我們會(huì)在工程結(jié)束后重新繪是否備注e)應(yīng)根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址基本符合要求整體網(wǎng)絡(luò)結(jié)構(gòu)中已按照需求但使用中存在混亂，沒有按規(guī)定使用。待本次項(xiàng)目建設(shè)進(jìn)行梳理、嚴(yán)格限制f)應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段；基本符合要求滿足訪問控制(G3)是否備注a)應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，啟用訪問控制功能；不符合要求僅在dmz區(qū)部署防火墻且防火墻已過保，其他區(qū)域未部署訪問控制設(shè)備建議在互聯(lián)網(wǎng)出口與服務(wù)器區(qū)前部署防火墻進(jìn)邊界隔離與訪問控制b)應(yīng)能根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為端口級(jí)；符合要求滿足c)應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過濾，實(shí)現(xiàn)對(duì)應(yīng)用層HTTP、SMTP、POP3等協(xié)議命令級(jí)的控符合要求滿足是否備注d)應(yīng)在會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束后終止網(wǎng)絡(luò)連符合要求滿足e)應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)；不符合要求未部署流無法根據(jù)所承載的業(yè)務(wù)和帶寬的實(shí)際情況確定網(wǎng)絡(luò)最大流量數(shù)和網(wǎng)絡(luò)連接數(shù)并進(jìn)行部署上網(wǎng)行為管理及流控f)重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙；不符合要求未部署訪問控制設(shè)備的區(qū)域無法采用包過濾或傳輸實(shí)現(xiàn)重要網(wǎng)段地址進(jìn)行有效保護(hù)防止地址欺是否備注控制協(xié)議，進(jìn)行邊界訪問控制，防止地址欺騙，應(yīng)對(duì)網(wǎng)絡(luò)中的廣播、組播進(jìn)行必要g)應(yīng)按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對(duì)受控系統(tǒng)進(jìn)行資源訪問，控制粒度為單個(gè)用不符合要求沒有在服務(wù)器區(qū)前和網(wǎng)絡(luò)出口設(shè)置防火墻、認(rèn)證網(wǎng)關(guān)或授權(quán)管理系統(tǒng)，可對(duì)單個(gè)用戶的訪問進(jìn)行策略控新增2臺(tái)防火墻實(shí)現(xiàn)不同安全域之間的訪問控制h)應(yīng)限制具有撥號(hào)訪問權(quán)限不符合要求不涉及安全審計(jì)(G3)是否備注a)應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記不符合要求有上網(wǎng)行為管理設(shè)備是并沒有辦法對(duì)網(wǎng)絡(luò)設(shè)備運(yùn)行狀況日志記錄，而部署綜合安全日志審計(jì)系統(tǒng)可對(duì)來自不同廠商的安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機(jī)、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、用戶業(yè)務(wù)系統(tǒng)的日志、警報(bào)等信息匯集到審計(jì)中心，實(shí)現(xiàn)綜合部署綜合日志審計(jì)系統(tǒng)可對(duì)來自不同廠商的安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機(jī)、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、用戶業(yè)務(wù)系統(tǒng)的日志、警報(bào)等信息匯集到審計(jì)中心，實(shí)現(xiàn)綜合安全審計(jì)。是否備注b)審計(jì)記錄應(yīng)包括：事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息；符合要求滿足c)應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；不符合要求不滿足部署日志審計(jì)系統(tǒng)d)應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)，避免受到未預(yù)期的刪除、修改或符合要求滿足安全審計(jì)日志記錄要求保存邊界完整性檢查(S3)本項(xiàng)要求包括：是否備注a)應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的并對(duì)其進(jìn)行有效不符合要求可通終端管理系統(tǒng)或ARP綁定技術(shù)手段實(shí)現(xiàn)可采用終端管理系統(tǒng)等手段進(jìn)行管理控制內(nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對(duì)其進(jìn)行不符合要求可采用終端管理系統(tǒng)等手段進(jìn)行管理控制入侵防范(G3)本項(xiàng)要求包括：a)應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口基本符合要求出口處部署有IPS入侵防御是否備注掃描、強(qiáng)力攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻b)當(dāng)檢測到攻擊行為時(shí)，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時(shí)間，在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)警基本符合要求落實(shí)安全審計(jì)系統(tǒng)報(bào)警惡意代碼防范(G3)a)應(yīng)在網(wǎng)絡(luò)邊界處對(duì)惡意代碼進(jìn)行檢測和清符合要求滿足是否備注b)應(yīng)維護(hù)惡意代碼庫的升級(jí)和檢測系統(tǒng)的更符合要求網(wǎng)絡(luò)設(shè)備防護(hù)(G3)本項(xiàng)要求包括：a)應(yīng)對(duì)登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別；不符合要求沒有指定專人進(jìn)行維護(hù)。通過密碼和用戶名進(jìn)行身份鑒別，同時(shí)也沒有部署可以指定專人維護(hù)網(wǎng)絡(luò)設(shè)備，并通過用戶名和密碼進(jìn)行身份鑒別，同時(shí)也可以部署堡壘主機(jī)b)應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限不符合要求對(duì)管理員登陸地址沒有增添堡壘機(jī)設(shè)備，這樣可以有效對(duì)遠(yuǎn)程用戶c)網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識(shí)應(yīng)唯不符合要求網(wǎng)絡(luò)設(shè)備沒有唯一的標(biāo)重新對(duì)設(shè)備是否備注;d)主要網(wǎng)絡(luò)設(shè)備應(yīng)對(duì)同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進(jìn)行身份鑒別；不符合要求主要網(wǎng)絡(luò)設(shè)備未對(duì)同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進(jìn)行身份鑒增設(shè)堡壘機(jī)e)身份鑒別信息應(yīng)具有不易口令應(yīng)有復(fù)雜度要求并定期更不符合要求密碼沒有定期更換，復(fù)雜度不夠用戶口令應(yīng)12位以上，數(shù)字和字母組成，至少3個(gè)月更換一f)應(yīng)具有登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)符合要求當(dāng)一次登錄密碼錯(cuò)誤次應(yīng)能自動(dòng)關(guān)閉是否備注自動(dòng)退出等措g)當(dāng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；不符合要求傳輸中進(jìn)行加密，可以技術(shù)h)應(yīng)實(shí)現(xiàn)設(shè)備特權(quán)用戶的權(quán)不符合要求網(wǎng)絡(luò)管理員、系統(tǒng)管理員和安全審計(jì)職責(zé)分工限制各自權(quán)限，但無技術(shù)手段控部署堡壘機(jī)控制用戶權(quán)限2.2.3主機(jī)安全現(xiàn)狀與差距分析某單位內(nèi)網(wǎng)主機(jī)終端已部署終端殺毒軟件。終端主機(jī)安全現(xiàn)狀差距分析，如下：圖表4主機(jī)安全現(xiàn)狀是否備注身份鑒別(S3)a)應(yīng)對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進(jìn)行身份標(biāo)識(shí)和鑒基本符合要求沒有嚴(yán)格通過賬號(hào)密碼限制操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶登陸，進(jìn)行身份標(biāo)識(shí)和鑒別；b)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標(biāo)識(shí)應(yīng)具有不易被冒用的特點(diǎn)，口令不符合要求不滿足系統(tǒng)管理員的登錄身份標(biāo)識(shí)位以上，且數(shù)字和字母大小寫組是否備注應(yīng)有復(fù)雜度要求并定期更換；合，每半年應(yīng)更c(diǎn))應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施；符合要求當(dāng)?shù)卿洿螖?shù)錯(cuò)誤超過6次，應(yīng)自動(dòng)退出并告d)當(dāng)對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；不符合要求沒有采用IPSecVPN對(duì)傳輸加密的方法來保證遠(yuǎn)程管理安采用IPSece)應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分配不同的用戶名，確保用戶名具有唯一性。不符合要求不滿足是否備注f)應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對(duì)管理用戶進(jìn)行身不符合要求采用用戶名密碼的鑒別技術(shù)對(duì)管理員進(jìn)行身部署堡壘機(jī)訪問控制(S3)a)應(yīng)啟用訪問控制功能，依據(jù)安全策略控制用戶對(duì)資源的訪不符合要求不滿足b)應(yīng)根據(jù)管理用戶的角色分配權(quán)限，實(shí)現(xiàn)管理用戶的權(quán)限分離，僅授予管理用戶所需的最小不符合要求因只設(shè)置了一個(gè)管理員賬號(hào)，也未通過技術(shù)手段控制授予所需要的部署堡壘機(jī)，將網(wǎng)絡(luò)管理員、系統(tǒng)管理員和安全審計(jì)員分離，通過技術(shù)手段控制授予所需c)應(yīng)實(shí)現(xiàn)操不符合還是未修是否備注作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限分離；要求改的默認(rèn)口令修改口令d)應(yīng)嚴(yán)格限制默認(rèn)帳戶的訪問權(quán)限，重命名修改這些帳戶的默認(rèn)口令；不符合要求不滿足e)應(yīng)及時(shí)刪除多余的、過期的帳戶，避免共基本符合要求因只一個(gè)賬戶，不存在多余的賬戶f)應(yīng)對(duì)重要信息資源設(shè)置敏感標(biāo)記；不符合要求未對(duì)重要服務(wù)器部署服務(wù)器加固系統(tǒng)，采取安全加固措施，并設(shè)置對(duì)重要服務(wù)器部署服務(wù)器加固系統(tǒng)，采取安全加固措施，并設(shè)置敏感標(biāo)記是否備注g)應(yīng)依據(jù)安全策略嚴(yán)格控制用戶對(duì)有敏感標(biāo)記重要信息資源的操作；不符合要求不滿足安全審計(jì)(G3)a)審計(jì)范圍應(yīng)覆蓋到服務(wù)器和重要客戶端上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫用不符合要求未部署數(shù)據(jù)庫審計(jì)系統(tǒng)，無法對(duì)服務(wù)器和重要客戶端上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫用戶部署日志審計(jì)系統(tǒng)和數(shù)據(jù)庫審計(jì)系統(tǒng)b)審計(jì)內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重不符合要求未部署數(shù)據(jù)庫審計(jì)系統(tǒng)，無法對(duì)重要用戶行部署日志審計(jì)系統(tǒng)和數(shù)據(jù)庫審計(jì)系統(tǒng)是否備注要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件進(jìn)c)審計(jì)記錄應(yīng)包括事件的日期、時(shí)間、類型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果不符合要求未部署數(shù)據(jù)庫審計(jì)系統(tǒng)，無法對(duì)數(shù)據(jù)庫進(jìn)行部署日志審計(jì)系統(tǒng)和數(shù)據(jù)庫審計(jì)系統(tǒng)d)應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；不符合要求未部署數(shù)據(jù)庫審計(jì)系統(tǒng)，無法對(duì)異常行為實(shí)部署日志審計(jì)系統(tǒng)和數(shù)據(jù)庫審計(jì)系統(tǒng)e)應(yīng)保護(hù)審不符合未部署數(shù)部署日志審是否備注計(jì)進(jìn)程，避免受到未預(yù)期的中要求據(jù)庫審計(jì)系計(jì)系統(tǒng)和數(shù)據(jù)庫審計(jì)系統(tǒng)f)應(yīng)保護(hù)審計(jì)記錄，避免受到未預(yù)期的刪除、修改或覆蓋不符合要求未部署數(shù)據(jù)庫審計(jì)系記錄至少應(yīng)保存半年。)部署日志審計(jì)系統(tǒng)和數(shù)據(jù)庫審計(jì)系統(tǒng)剩余信息保護(hù)(S3)a)應(yīng)保證操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶的鑒別信息所在的存儲(chǔ)空間，被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤不符合要求不滿足是否備注上還是在內(nèi)存b)應(yīng)確保系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲(chǔ)空間，被釋放或重新分配給其他用戶前得到完不符合要求可在終端Windows操作系統(tǒng)未啟用“關(guān)機(jī)前清除虛擬內(nèi)存頁面”功能在終端Windows操作系統(tǒng)啟用“關(guān)機(jī)前清除虛擬內(nèi)存頁入侵防范(G3)a)應(yīng)能夠檢測到對(duì)重要服務(wù)器進(jìn)行入侵的行為，能夠記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時(shí)間，并在發(fā)生嚴(yán)符合要式已有ips入侵防御系統(tǒng)是否備注重入侵事件時(shí)提供報(bào)警；重要程序的完整性進(jìn)行檢測，并在檢測到完整性受到破壞后具有恢復(fù)的措施；不符合要求未定期使用完整性檢查工具或腳本對(duì)服務(wù)器的重要程序和文件進(jìn)行定期使用完整性檢查工具或腳本對(duì)服務(wù)器的重要程序和文件c)操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通過設(shè)置升級(jí)服務(wù)器等方式保持系統(tǒng)補(bǔ)丁及時(shí)得到更不符合要求未通過技術(shù)手段保持系統(tǒng)補(bǔ)丁及時(shí)得到更增加終端管惡意代碼防范(G3)本項(xiàng)要求包括：是否備注a)應(yīng)安裝防并及時(shí)更新防惡意代碼軟件版本和惡意代碼庫；符合要求滿足，安裝了360天擎b)主機(jī)防惡意代碼產(chǎn)品應(yīng)具有與網(wǎng)絡(luò)防惡意代碼產(chǎn)品不同的惡意代碼庫；符合要求滿足，安裝了360天擎c)應(yīng)支持防惡意代碼的統(tǒng)一符合要求滿足，安裝了360天擎資源控制(A3)a)應(yīng)通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄；不符合要求通過賬號(hào)密碼限制終通過增設(shè)堡壘機(jī)對(duì)終端接入是否備注b)應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時(shí)不符合要求未部署終端管理系統(tǒng)對(duì)登錄終端部署終端管理系統(tǒng)對(duì)登錄終c)應(yīng)對(duì)重要服務(wù)器進(jìn)行監(jiān)視，包括監(jiān)視服務(wù)器的CPU、硬盤、內(nèi)存、網(wǎng)絡(luò)等資源的使用情不符合要求沒有網(wǎng)絡(luò)管理系統(tǒng)可通過增加網(wǎng)絡(luò)管理系統(tǒng)對(duì)重要服務(wù)器進(jìn)行監(jiān)視并對(duì)服務(wù)器的運(yùn)行狀況異常d)應(yīng)限制單個(gè)用戶對(duì)系統(tǒng)資源的最大或最小使用限度不符合要求沒有網(wǎng)絡(luò)管理系統(tǒng)可通過增加網(wǎng)絡(luò)管理系統(tǒng)對(duì)重要服務(wù)器進(jìn)行監(jiān)視并對(duì)服務(wù)器的運(yùn)行狀況異常e)應(yīng)能夠?qū)ο到y(tǒng)的服務(wù)水平降低到預(yù)先規(guī)定不符合要求不能進(jìn)行報(bào)警可通過增加網(wǎng)絡(luò)管理系統(tǒng)對(duì)重要服務(wù)器進(jìn)行是否備注2.2.4應(yīng)用安全現(xiàn)狀與差距分析某單位應(yīng)用系統(tǒng)根據(jù)國家信息安全等級(jí)保護(hù)(第三級(jí))標(biāo)準(zhǔn)在對(duì)應(yīng)用系統(tǒng)安全進(jìn)行分析時(shí)，發(fā)現(xiàn)應(yīng)用系統(tǒng)涉及到應(yīng)用系統(tǒng)的運(yùn)行穩(wěn)定以及業(yè)務(wù)數(shù)據(jù)的安全可靠，故而安全防護(hù)技術(shù)手段如1.以業(yè)務(wù)系統(tǒng)自身通過代碼查錯(cuò)、規(guī)則設(shè)置、權(quán)限細(xì)化等方法為主要手段，來滿足信息系統(tǒng)安全等級(jí)保護(hù)(第三級(jí))中應(yīng)用安全部分標(biāo)準(zhǔn)項(xiàng)(如身份鑒別、安全審計(jì)、剩余信息保護(hù)、通信完整性、通信保密性、抗抵賴、軟件容錯(cuò)、資源控制等)的要求2.部分標(biāo)準(zhǔn)項(xiàng)(如身份鑒別、訪問控制、安全審計(jì)、通信保密性等)除可通過應(yīng)用系統(tǒng)進(jìn)行安全加強(qiáng)外，也可通過設(shè)備進(jìn)行技術(shù)防護(hù)圖表5應(yīng)用安全現(xiàn)狀備注身份鑒別(S3)a)應(yīng)提供專用不未采用技術(shù)增設(shè)堡備注的登錄控制模塊對(duì)登錄用戶進(jìn)行身份符合要求手段，提供專用的登錄控制模塊對(duì)登錄用戶的身份進(jìn)行標(biāo)識(shí)和鑒壘機(jī)，通過堡壘機(jī)用戶登陸進(jìn)行身份識(shí)別和鑒b)應(yīng)對(duì)同一用戶采用兩種或兩種以上組合的鑒別技術(shù)實(shí)現(xiàn)用戶身份鑒符合要求c)應(yīng)提供用戶身份標(biāo)識(shí)唯一和鑒別信息復(fù)雜度檢查功能，保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標(biāo)識(shí)，身份鑒別信息不易被冒符合要求備注d)應(yīng)提供登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施；符合要求e)應(yīng)啟用身份鑒別、用戶身份標(biāo)識(shí)唯一性檢查、用戶身份鑒別信息復(fù)雜度檢查以及登錄失敗處理功能，并根據(jù)安全策略配置本符合要求訪問控制(S3)a)應(yīng)提供訪問控制功能，依據(jù)安全策略控制用戶對(duì)符合要求備注文件、數(shù)據(jù)庫表等客體的訪問；b)訪問控制的覆蓋范圍應(yīng)包括與資源訪問相關(guān)的主體、客體及它們之間的操作；符合要求c)應(yīng)由授權(quán)主體配置訪問控制策略，并嚴(yán)格限制默認(rèn)帳戶的訪問權(quán)符合要求d)應(yīng)授予不同帳戶為完成各自承擔(dān)任務(wù)所需的最小權(quán)限，并在它們之間形成相互制約的符合要求備注e)應(yīng)具有對(duì)重要信息資源設(shè)置敏感標(biāo)記的功能；不合要求對(duì)重要服務(wù)器部署服務(wù)器加固系統(tǒng)，采取安全加固措施，并f)應(yīng)依據(jù)安全策略嚴(yán)格控制用戶對(duì)有敏感標(biāo)記重要信息資源的操作；不合要求服務(wù)器加固系統(tǒng)有實(shí)現(xiàn)文件強(qiáng)制訪問控制、注冊(cè)表強(qiáng)制訪問控制、進(jìn)程強(qiáng)制訪問控制、程序授權(quán)控制、網(wǎng)絡(luò)級(jí)訪問控制等功安全審計(jì)(G3)a)應(yīng)提供覆蓋到每個(gè)用戶的安全基本符合部署了安全審計(jì)系備注審計(jì)功能，對(duì)應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計(jì)；要求統(tǒng)，對(duì)應(yīng)用系統(tǒng)每個(gè)用戶的安全事件進(jìn)行記錄審單獨(dú)中斷審計(jì)進(jìn)程，無法刪除、修改或覆蓋審計(jì)記本符合要求未部署安全管理系統(tǒng)部署了安全審計(jì)系統(tǒng)c)審計(jì)記錄的內(nèi)容至少應(yīng)包括事件的日期、時(shí)間、發(fā)起者信息、類型、描述和結(jié)果本符合要求部署了安全審計(jì)系統(tǒng)d)應(yīng)提供對(duì)審基本符合部署了安全審計(jì)系備注計(jì)記錄數(shù)據(jù)進(jìn)行統(tǒng)計(jì)、查詢、分析及生成審計(jì)報(bào)表的功要求統(tǒng)剩余信息保護(hù)(S3)a)應(yīng)保證用戶鑒別信息所在的存儲(chǔ)空間被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內(nèi)不符合要求在終端Windows操作系統(tǒng)中未啟用“不顯示上次登錄可在終端Windows操作系統(tǒng)啟用“不顯示上次登錄名”功能b)應(yīng)保證系統(tǒng)內(nèi)的文件、目錄和不符合要求在終端Windows操作系在終端是否符備注數(shù)據(jù)庫記錄等資源所在的存儲(chǔ)空間被釋放或重新分配給其他用戶前得到完統(tǒng)中未啟用“關(guān)機(jī)前清除虛擬內(nèi)存頁面”功能系統(tǒng)中未啟用“關(guān)機(jī)前清除虛擬內(nèi)存頁面”功通信完整性(S3)本項(xiàng)要求包括：術(shù)保證通信過程中符合要求在應(yīng)用軟件編程中，對(duì)通信的保密性提出要通信保密性(S3)本項(xiàng)要求包括：a)在通信雙方建立連接之前，應(yīng)用系統(tǒng)應(yīng)利用密碼技術(shù)進(jìn)行會(huì)話初始化驗(yàn)證；符合要求在應(yīng)用軟件編程中，對(duì)通信的保密性提出要備注程中的整個(gè)報(bào)文或會(huì)話過程進(jìn)行加符合要求應(yīng)用軟件中應(yīng)有此功能抗抵賴(G3)a)應(yīng)具有在請(qǐng)求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)原發(fā)證據(jù)的符合要求應(yīng)用軟件有b)應(yīng)具有在請(qǐng)求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)接收證據(jù)的符合要求應(yīng)用軟件有軟件容錯(cuò)(A3)備注a)應(yīng)提供數(shù)據(jù)有效性檢驗(yàn)功能，保證通過人機(jī)接口輸入或通過通信接口輸入的數(shù)據(jù)格式或長度符合系統(tǒng)設(shè)定要求；符合要求應(yīng)用軟件有b)應(yīng)提供自動(dòng)保護(hù)功能，當(dāng)故障發(fā)生時(shí)自動(dòng)保護(hù)當(dāng)前所有狀態(tài)，保證系統(tǒng)能夠進(jìn)行恢符合要求應(yīng)用軟件提供斷點(diǎn)保護(hù)和恢資源控制(A3)a)當(dāng)應(yīng)用系統(tǒng)的通信雙方中的一方在一段時(shí)間內(nèi)未符合要求如果通信雙方中有一方在10分鐘內(nèi)未作任何備注作任何響應(yīng)，另一方應(yīng)能夠自動(dòng)結(jié)束響應(yīng)，應(yīng)自動(dòng)結(jié)束會(huì)話，釋放網(wǎng)b)應(yīng)能夠?qū)ο到y(tǒng)的最大并發(fā)會(huì)話連接數(shù)進(jìn)行限制；符合要求應(yīng)當(dāng)提供系設(shè)定最大并發(fā)會(huì)c)應(yīng)能夠?qū)蝹€(gè)帳戶的多重并發(fā)會(huì)話進(jìn)行限制；符合要求滿足d)應(yīng)能夠?qū)σ粋€(gè)時(shí)間段內(nèi)可能的并發(fā)會(huì)話連接數(shù)進(jìn)行限制；符合要求應(yīng)當(dāng)業(yè)務(wù)應(yīng)用系統(tǒng)和實(shí)際需e)應(yīng)能夠?qū)σ粋€(gè)訪問帳戶或一個(gè)請(qǐng)求進(jìn)程占用的資源分配最大限額和符合要求滿足備注最小限額；f)應(yīng)能夠?qū)ο到y(tǒng)服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測和報(bào)警；不符合要求不滿足后期建議部署網(wǎng)管運(yùn)維軟件g)應(yīng)提供服務(wù)并在安裝后根據(jù)安全策略設(shè)定訪問帳戶或請(qǐng)求進(jìn)程的優(yōu)先級(jí)，根據(jù)優(yōu)先級(jí)符合要求在系統(tǒng)中應(yīng)可根據(jù)用戶的權(quán)限設(shè)定服務(wù)等級(jí)及優(yōu)先級(jí)，并保證優(yōu)先級(jí)用戶首先使用系統(tǒng)資源2.2.5數(shù)據(jù)安全現(xiàn)狀與差距分析信息系統(tǒng)的安全核心是數(shù)據(jù)的安全，某單位網(wǎng)絡(luò)中有全局正常運(yùn)行信息的數(shù)據(jù)，一旦數(shù)據(jù)出現(xiàn)被盜取、被篡改、被刪除，小則造成小范圍的某單位業(yè)務(wù)受影響，大則將對(duì)全局辦公、經(jīng)濟(jì)利益或社會(huì)形象造成不可彌補(bǔ)的損失。一旦出現(xiàn)意外，數(shù)據(jù)的還原、恢復(fù)顯得尤為重要。目前某單位對(duì)數(shù)據(jù)的備份主要采用維護(hù)工程師定期進(jìn)行手動(dòng)備份和數(shù)據(jù)被備份一體機(jī)的方式，備份范圍包含業(yè)務(wù)關(guān)鍵數(shù)據(jù)，且是備份在本地?？赡軙?huì)出現(xiàn)以下情況：1.出現(xiàn)極端自然災(zāi)害，數(shù)據(jù)存儲(chǔ)介質(zhì)出現(xiàn)損壞，數(shù)據(jù)損壞后無圖表6數(shù)據(jù)安全現(xiàn)狀是否備注數(shù)據(jù)完整性(S3)本項(xiàng)要求包括：a)應(yīng)能夠檢測到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過程中完整性受到破壞，并在檢測基本符合要求數(shù)據(jù)備份一體機(jī)應(yīng)帶有此功能到完整性錯(cuò)誤時(shí)采取必要的恢復(fù)措施b)應(yīng)能夠檢測到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在存儲(chǔ)過程中完整性受到破壞，并在檢測到完整性錯(cuò)誤時(shí)采取必要的恢復(fù)措基本符合要求數(shù)據(jù)備份一體機(jī)應(yīng)帶有此功能數(shù)據(jù)保密性(S3)a)應(yīng)采用加密或其他有效措施實(shí)現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)傳輸保密性；基本符合要求數(shù)據(jù)備份一體機(jī)應(yīng)帶有此功能b)應(yīng)采用加密或其他保護(hù)措施實(shí)現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)存基本符合要求數(shù)據(jù)備份一體機(jī)應(yīng)帶有此功能備份和恢復(fù)(A3)本項(xiàng)要求包括：a)應(yīng)提供本地?cái)?shù)完全數(shù)據(jù)備份至少每天一次，備份介質(zhì)場外存放；符合要求滿足部署服務(wù)器數(shù)據(jù)備據(jù)備份功能，利用通信網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)定時(shí)批量傳送至備用不符合要求不滿足有本地備份一體機(jī)，后期建議完善異地c)應(yīng)采用冗余技術(shù)設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，避免關(guān)鍵節(jié)點(diǎn)存在單點(diǎn)故障；符合要求滿足d)應(yīng)提供主要網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余，保證系統(tǒng)的高符合要求滿足圖表7安全管理現(xiàn)狀制度包括的主要內(nèi)備注物理資產(chǎn)安全管理對(duì)信息系統(tǒng)相關(guān)的資產(chǎn)清單、分類與標(biāo)識(shí)、使用、轉(zhuǎn)移、廢棄等做出規(guī)不滿足對(duì)信息系統(tǒng)相關(guān)的資產(chǎn)清單、分類與標(biāo)識(shí)、使用、轉(zhuǎn)移、廢棄等做機(jī)房安全管理對(duì)進(jìn)出機(jī)房的人員和設(shè)備，機(jī)房監(jiān)控、機(jī)房值班、機(jī)房環(huán)境保障等做出不滿足對(duì)進(jìn)出機(jī)房的機(jī)房監(jiān)控、機(jī)房值班、機(jī)房環(huán)境保障等做設(shè)備安全對(duì)設(shè)備的放置、使不滿足對(duì)設(shè)備的放管理用、維護(hù)、維修、置、使用、維護(hù)、維修、報(bào)廢等做出規(guī)介質(zhì)安全管理對(duì)介質(zhì)的歸檔、存放、使用、銷毀等不滿足對(duì)介質(zhì)的歸檔、存放、使用、銷毀等做網(wǎng)絡(luò)網(wǎng)絡(luò)安全管理對(duì)網(wǎng)絡(luò)及安全設(shè)備的操作、配置、日志記錄和監(jiān)控等做不滿足對(duì)網(wǎng)絡(luò)及安全設(shè)備的操作、配置、日志記錄和監(jiān)控等做系統(tǒng)系統(tǒng)安全管理對(duì)服務(wù)器和數(shù)據(jù)庫等的操作、配置、日志記錄和監(jiān)控等不滿足對(duì)服務(wù)器和數(shù)據(jù)庫等的操作、配置、日志記錄和監(jiān)控應(yīng)用數(shù)據(jù)安全管理對(duì)信息系統(tǒng)數(shù)據(jù)保存、備份、使用等不滿足對(duì)信息系統(tǒng)數(shù)據(jù)保存、備份、使用等做病毒防護(hù)管理對(duì)病毒防護(hù)系統(tǒng)的管理、使用和升級(jí)等做出規(guī)定不滿足對(duì)病毒防護(hù)系統(tǒng)的管理、使用和升級(jí)等做出規(guī)定終端計(jì)算機(jī)管理對(duì)終端計(jì)算機(jī)的日常使用、軟件安裝，入網(wǎng)、維修、不滿足對(duì)終端計(jì)算機(jī)的日常使用、軟件安裝，入網(wǎng)、維修、報(bào)廢等做出規(guī)便攜計(jì)算機(jī)管理對(duì)便攜計(jì)算機(jī)的使用、密碼保護(hù)、入網(wǎng)、文件存儲(chǔ)、維不滿足對(duì)便攜計(jì)算機(jī)的使用、密碼保護(hù)、入網(wǎng)、文件存儲(chǔ)、維修等做出規(guī)移動(dòng)存儲(chǔ)介質(zhì)管理對(duì)移動(dòng)存儲(chǔ)介質(zhì)的使用、管理、維修不滿足對(duì)移動(dòng)存儲(chǔ)介質(zhì)的使用、管理、維修等做建設(shè)項(xiàng)目安全審核對(duì)信息化項(xiàng)目安全需求、安全保障方不滿足對(duì)信息化項(xiàng)目安全需求、安案及保護(hù)等級(jí)等做全保障方案及保護(hù)等級(jí)等做系統(tǒng)開發(fā)安全管理對(duì)開發(fā)環(huán)境、代碼安全、上線測試、開發(fā)人員保密責(zé)任不滿足對(duì)開發(fā)環(huán)境、代碼安全、上線測試、開發(fā)人員保密責(zé)任管理機(jī)構(gòu)和人員管理對(duì)設(shè)立安全管理機(jī)構(gòu)、機(jī)構(gòu)職能、人員職責(zé)及管理，如重要崗位保密責(zé)任、人員離崗離職不滿足對(duì)設(shè)立安全管理機(jī)構(gòu)、機(jī)構(gòu)職能、人員職責(zé)及管理，如重要崗位保密責(zé)任、人員離崗離職等方面運(yùn)行維護(hù)管理對(duì)日常運(yùn)行維護(hù)的流程、操作等做出不滿足對(duì)日常運(yùn)行維護(hù)的流程、操作等做出規(guī)用戶管理對(duì)普通業(yè)務(wù)用戶、重要業(yè)務(wù)用戶、特不滿足對(duì)普通業(yè)務(wù)用戶、重要業(yè)務(wù)權(quán)用戶(網(wǎng)絡(luò)、系統(tǒng)、安全管理員)的審批、權(quán)限、安全要求等做出規(guī)用戶、特權(quán)用戶(網(wǎng)絡(luò)、系統(tǒng)、安全管理員)的審批、權(quán)限、安全要求等做出規(guī)密碼管理對(duì)信息系統(tǒng)中使用的密碼強(qiáng)度、變更和保存等做出規(guī)不滿足對(duì)信息系統(tǒng)中使用的密碼強(qiáng)度、變更和保存等做出規(guī)應(yīng)急管理對(duì)應(yīng)急計(jì)劃、處理、實(shí)施、演練等不滿足對(duì)應(yīng)急計(jì)劃、處理、實(shí)施、演練等做出規(guī)變更管理對(duì)信息系統(tǒng)的變更申報(bào)、審批流程以及實(shí)施等做出規(guī)不滿足對(duì)信息系統(tǒng)的變更申報(bào)、審批流程以及實(shí)施等做出規(guī)網(wǎng)絡(luò)安全對(duì)網(wǎng)絡(luò)安全檢查流不滿足對(duì)網(wǎng)絡(luò)安全檢檢查程、工作內(nèi)容等做查流程、工作內(nèi)容等做出規(guī)注：以上制度體系僅供參考，請(qǐng)結(jié)合某單位實(shí)際情況進(jìn)行制定，建議相關(guān)制度文件以紅頭文件發(fā)布并歸檔保存，對(duì)制度執(zhí)行過程中形成的相關(guān)記錄需定期歸檔保存。結(jié)合某單位網(wǎng)絡(luò)現(xiàn)狀以及與國家政策標(biāo)準(zhǔn)的差距分析，本方案對(duì)某單位的安全防護(hù)做出如下建議：2.3.1技術(shù)措施綜合整改建議圖表8綜合技術(shù)措施整改建議表格問題項(xiàng)目類別級(jí))1核心區(qū)域只有一臺(tái)設(shè)備，無冗余設(shè)計(jì)網(wǎng)絡(luò)安全(G3)結(jié)構(gòu)安a)應(yīng)保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要；結(jié)合用戶當(dāng)前網(wǎng)絡(luò)實(shí)際情況，建議新增一臺(tái)核心交換機(jī)2目前整體網(wǎng)絡(luò)中區(qū)域劃分不合理，未部署訪問控制設(shè)備(DMZ區(qū)前的防火墻設(shè)備已過保)網(wǎng)絡(luò)安全(G3)訪問控a)應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，啟用訪問控制功能；結(jié)合用戶當(dāng)前網(wǎng)絡(luò)實(shí)際情況，建議在互聯(lián)網(wǎng)出口和服務(wù)器區(qū)前部署防火墻實(shí)現(xiàn)邊界隔離和訪問控制問題項(xiàng)目類別級(jí))3未部署流量控制設(shè)備，無法根據(jù)所承載的業(yè)務(wù)和帶寬的實(shí)際情況確定網(wǎng)絡(luò)最大流量數(shù)和網(wǎng)絡(luò)連接數(shù)并進(jìn)行管網(wǎng)絡(luò)安全(G3)訪問控e)應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)；本次項(xiàng)目中建議部署上網(wǎng)行為管理及流控(原有的上網(wǎng)行為管理設(shè)備已過保)4無法對(duì)非法內(nèi)聯(lián)行為進(jìn)行發(fā)現(xiàn)和阻斷網(wǎng)絡(luò)安全(G3)訪問控a)應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對(duì)其進(jìn)行有效阻本次項(xiàng)目中采用終端管理軟件或相關(guān)技術(shù)手段解決5未實(shí)現(xiàn)重要網(wǎng)段地址進(jìn)行有網(wǎng)絡(luò)安全(G3)訪問控利用訪問控制設(shè)備的區(qū)域無問題項(xiàng)目類別級(jí))效保護(hù)防止地f)重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙；法采用包過濾或傳輸控制協(xié)議，進(jìn)行邊界訪問控制，防應(yīng)對(duì)網(wǎng)絡(luò)中的廣播、組播進(jìn)行必要的控6備備無訪問控制設(shè)網(wǎng)絡(luò)安全(G3)訪問控g)應(yīng)按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對(duì)受控系統(tǒng)進(jìn)行資源訪問，控制粒度為單個(gè)用戶；通過部署防火墻實(shí)現(xiàn)不同安全域之間的邊界隔離和訪問控制7原有上網(wǎng)行為管理設(shè)備過網(wǎng)絡(luò)安全(G3)安全審部署上網(wǎng)行為管理及流控、問題項(xiàng)目類別級(jí))保、無網(wǎng)管軟a)應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄；網(wǎng)管軟件結(jié)合網(wǎng)絡(luò)中的安全審計(jì)系統(tǒng)實(shí)現(xiàn)8不能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對(duì)其網(wǎng)絡(luò)安全(G3)邊界完整性檢查：應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對(duì)其進(jìn)行有效阻斷；可采用終端管理系統(tǒng)等手段進(jìn)行管理控制9無法對(duì)內(nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對(duì)其網(wǎng)路安全b)應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對(duì)其進(jìn)行有效阻可采用終端管理系統(tǒng)等手段進(jìn)行管理控制問題項(xiàng)目類別級(jí))10沒有指定專人進(jìn)行維護(hù)。通過密碼和用戶名進(jìn)行身份鑒別，同時(shí)也沒有部署堡壘主網(wǎng)絡(luò)安全(a)應(yīng)對(duì)登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別；可以指定專人維護(hù)網(wǎng)絡(luò)設(shè)備，并通過用戶名和密碼進(jìn)同時(shí)也可以部署堡壘主機(jī)11對(duì)管理員登陸地址沒有限網(wǎng)絡(luò)安全b)應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制；增添堡壘機(jī)設(shè)備，這樣可以有效對(duì)運(yùn)維用12設(shè)備沒有唯一的標(biāo)示網(wǎng)絡(luò)安全c)網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識(shí)應(yīng)唯一重新對(duì)設(shè)備進(jìn)問題項(xiàng)目類別級(jí))13主要網(wǎng)絡(luò)設(shè)備未對(duì)同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進(jìn)行身份鑒別；網(wǎng)絡(luò)安全d)主要網(wǎng)絡(luò)設(shè)備應(yīng)對(duì)同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進(jìn)行身份鑒增設(shè)堡壘機(jī)414密碼沒有定期更換，復(fù)雜度不夠網(wǎng)絡(luò)安全e)身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換；用戶口令應(yīng)12位以上，數(shù)字至少3個(gè)月更15網(wǎng)絡(luò)管理員、系統(tǒng)管理員和安全審計(jì)員分開，并按職責(zé)分工限制各自權(quán)限，但無技網(wǎng)絡(luò)安全權(quán)用戶的權(quán)限分部署堡壘機(jī)控制用戶權(quán)限16沒有采用IPSecVPN對(duì)主機(jī)安全d)當(dāng)對(duì)服務(wù)器進(jìn)采用IPSec問題項(xiàng)目類別級(jí))傳輸加密的方法來保證遠(yuǎn)程管理安全可應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；17采用用戶名密碼的鑒別技術(shù)對(duì)管理員進(jìn)行主機(jī)安全f)應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對(duì)管理用戶進(jìn)行身份鑒部署堡壘機(jī)18因只設(shè)置了一個(gè)管理員賬號(hào)，也未通過技術(shù)手段控制授予所需要的主機(jī)安全b)應(yīng)根據(jù)管理用戶的角色分配權(quán)限，實(shí)現(xiàn)管理用僅授予管理用戶所需的最小權(quán)員、系統(tǒng)管理員和安全審計(jì)員分離，通過技術(shù)手段控制授予所需要的19沒有日志審計(jì)系統(tǒng)網(wǎng)絡(luò)安全(G3)安全審部署綜合日志審計(jì)系統(tǒng)可對(duì)問題項(xiàng)目類別級(jí))1.應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄；2.審計(jì)記錄應(yīng)包括：事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信3.應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)來自不同廠商的安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機(jī)、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、用戶業(yè)務(wù)系統(tǒng)的日志、警報(bào)等信息匯集到審計(jì)中心，實(shí)現(xiàn)日志20日志信息無法進(jìn)行分析和生成報(bào)表網(wǎng)絡(luò)安全(G3)安全審計(jì)：應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)部署日志審計(jì)系統(tǒng)問題項(xiàng)目類別級(jí))21未對(duì)重要服務(wù)器部署服務(wù)器加固系統(tǒng)，采取安全加固措施，并設(shè)置敏主機(jī)安全f)應(yīng)對(duì)重要信息資源設(shè)置敏感標(biāo)對(duì)重要服務(wù)器部署服務(wù)器加固系統(tǒng)，采取安全加固措施，并設(shè)置敏感標(biāo)記22未部署數(shù)據(jù)庫審計(jì)系統(tǒng)，無法對(duì)服務(wù)器和重要客戶端上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫用戶進(jìn)行審主機(jī)安全a)審計(jì)范圍應(yīng)覆蓋到服務(wù)器和重要客戶端上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫用戶；部署數(shù)據(jù)庫審計(jì)系統(tǒng)和日志審計(jì)系統(tǒng)23未部署數(shù)據(jù)庫審計(jì)系統(tǒng)，無法對(duì)重要用戶行為、系統(tǒng)資主機(jī)安全安全審計(jì)(G3):審計(jì)內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資部署數(shù)據(jù)庫審計(jì)系統(tǒng)和日志審計(jì)系統(tǒng)問題項(xiàng)目類別級(jí))源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件進(jìn)行審計(jì)源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事24未部署數(shù)據(jù)庫審計(jì)系統(tǒng)，無法對(duì)數(shù)據(jù)庫進(jìn)主機(jī)安全安全審計(jì)(G3):審計(jì)記錄應(yīng)包括事件的日期、時(shí)間、類型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等部署數(shù)據(jù)庫審計(jì)系統(tǒng)和日志審計(jì)系統(tǒng)25未部署數(shù)據(jù)庫審計(jì)系統(tǒng)，無法對(duì)異常行為主機(jī)安全安全審計(jì)(G3):)應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表部署數(shù)據(jù)庫審計(jì)系統(tǒng)和日志審計(jì)系統(tǒng)26未部署數(shù)據(jù)庫審計(jì)系統(tǒng)，無主機(jī)安全安全審計(jì)(G3):應(yīng)保護(hù)部署數(shù)據(jù)庫審計(jì)系統(tǒng)和日志問題項(xiàng)目類別級(jí))法對(duì)異常行為審計(jì)進(jìn)程，避免受到未預(yù)期的中斷審計(jì)系統(tǒng)27未部署數(shù)據(jù)庫審計(jì)系統(tǒng)，無法對(duì)異常行為主機(jī)安全安全審計(jì)(G3):應(yīng)保護(hù)審計(jì)記錄，避免受到未預(yù)期的刪除、修改或覆蓋部署數(shù)據(jù)庫審計(jì)系統(tǒng)和日志審計(jì)系統(tǒng)28數(shù)據(jù)庫登陸顯示用戶名，對(duì)歷史數(shù)據(jù)擦除未能做好主機(jī)安全剩余信息保護(hù)(S3):應(yīng)保證操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶的鑒別信息所在的存儲(chǔ)空間，被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內(nèi)存可在終端系統(tǒng)啟用“不顯示上次登錄名”功能項(xiàng)；可對(duì)服務(wù)器系統(tǒng)進(jìn)行虛擬化問題項(xiàng)目類別級(jí))中29應(yīng)確保系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲(chǔ)空間，被釋放或重新分配給其他用戶前得到完全清除主機(jī)安全剩余信息保護(hù)可在終端系統(tǒng)未啟用“關(guān)機(jī)前清除虛擬內(nèi)存頁面”功能項(xiàng)；可對(duì)服務(wù)器系統(tǒng)進(jìn)行虛擬化改造30未通過技術(shù)手段保持系統(tǒng)補(bǔ)丁及時(shí)得到更新主機(jī)安全入侵防范(G3):操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通過設(shè)置升級(jí)服務(wù)器等方式保持系部署終端安全管理系統(tǒng)/網(wǎng)絡(luò)版殺毒軟件/主能夠及時(shí)更新補(bǔ)丁問題項(xiàng)目類別級(jí))統(tǒng)補(bǔ)丁及時(shí)得到更新31未部署終端管理系統(tǒng)對(duì)登錄終端進(jìn)行管理主機(jī)安全資源控制(A3):應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時(shí)鎖定建議購買360天擎終端管理模塊32通過賬號(hào)密碼限制終端登主機(jī)安全a)應(yīng)通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登利用防火墻訪問控制功能實(shí)現(xiàn)33未部署終端管理系統(tǒng)對(duì)登錄終端進(jìn)行管管理系統(tǒng)對(duì)登錄終端進(jìn)行管理主機(jī)安全略設(shè)置登錄終端的操作超時(shí)鎖建議購買360天擎終端管理模塊問題項(xiàng)目類別級(jí))34沒有網(wǎng)絡(luò)管理系統(tǒng)主機(jī)安全c)應(yīng)對(duì)重要服務(wù)器進(jìn)行監(jiān)視，包括監(jiān)視服務(wù)器的CPU、硬盤、內(nèi)存、網(wǎng)絡(luò)等資源的使用情況可通過增加網(wǎng)絡(luò)管理系統(tǒng)對(duì)重要服務(wù)器進(jìn)行監(jiān)視并對(duì)服務(wù)器的運(yùn)行狀況異常實(shí)時(shí)告35沒有網(wǎng)絡(luò)管理系統(tǒng)主機(jī)安全d)應(yīng)限制單個(gè)用戶對(duì)系統(tǒng)資源的最大或最小使用部署網(wǎng)管軟件36不能進(jìn)行報(bào)警主機(jī)安全e)應(yīng)能夠?qū)ο到y(tǒng)的服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測和可通過增加網(wǎng)絡(luò)管理系統(tǒng)對(duì)重要服務(wù)器進(jìn)行監(jiān)視并對(duì)服務(wù)器的運(yùn)行狀況異常實(shí)時(shí)告37未采用技術(shù)手段，提供專用應(yīng)用安全身份鑒別(S3):應(yīng)提供部署堡壘機(jī)配合雙因素認(rèn)證問題項(xiàng)目類別的登錄控制模塊對(duì)登錄用戶的身份進(jìn)行標(biāo)識(shí)和鑒別專用的登錄控制模塊對(duì)登錄用戶進(jìn)行身份標(biāo)識(shí)和鑒別38對(duì)應(yīng)用系統(tǒng)每個(gè)用戶的安全事件進(jìn)行記錄審計(jì)應(yīng)用安全安全審計(jì)(G3):應(yīng)提供覆蓋到每個(gè)用戶的安全審計(jì)功能，對(duì)應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計(jì)；建議購買360天擎終端管理模塊39未部署安全管理系統(tǒng)應(yīng)用安全安全審計(jì)(G3):應(yīng)保證無法單獨(dú)中斷審計(jì)進(jìn)程，無法刪除、修改或覆蓋審計(jì)記錄建議購買360天擎終端管理模塊40未部署安全管理系統(tǒng)應(yīng)用安全安全審計(jì)(G3):審計(jì)記錄的內(nèi)容至少應(yīng)建議購買360天擎終端管理模塊問題項(xiàng)目類別級(jí))包括事件的日期、時(shí)間、發(fā)起者信息、類型、描述和結(jié)果等；41未部署安全管理系統(tǒng)應(yīng)用安全安全審計(jì)(G3):應(yīng)提供對(duì)審計(jì)記錄數(shù)據(jù)進(jìn)行統(tǒng)計(jì)、查詢、分析及生成審計(jì)報(bào)表的功能建議購買360天擎終端管理模塊42用戶鑒別信息不能清除清除應(yīng)用安全剩余信息保護(hù)(S3):應(yīng)保證用戶鑒別信息所在的存儲(chǔ)空間被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內(nèi)存中可在終端系統(tǒng)啟用“不顯示上次登錄名”功能項(xiàng)；可對(duì)服務(wù)器系統(tǒng)進(jìn)行虛擬化改造問題項(xiàng)目類別級(jí))43用戶鑒別信息不能清除清除應(yīng)用安全剩余信息保護(hù)(S3):應(yīng)保證系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲(chǔ)空間被釋放或重新分配給其他用戶前得到完全清除可在終端系統(tǒng)未啟用“關(guān)機(jī)前清除虛擬內(nèi)存頁面”功能項(xiàng)；可對(duì)服務(wù)器系統(tǒng)進(jìn)行虛擬化改造444對(duì)重要信息系統(tǒng)的數(shù)據(jù)，應(yīng)提供異地?cái)?shù)據(jù)定時(shí)批量或增量備份，數(shù)據(jù)異地備份至少每月一次未能數(shù)據(jù)安全備份和恢復(fù)已部署數(shù)據(jù)備份一體機(jī)，需規(guī)范化備份機(jī)制。后期建議新增異地備份機(jī)制圖表9綜合安全管理體系整改建議表格類別問題1安全策略隨著業(yè)務(wù)應(yīng)用系統(tǒng)的不斷增加，網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜，由于各業(yè)務(wù)系統(tǒng)建設(shè)、運(yùn)維分散，沒有總體規(guī)劃逐漸不能適應(yīng)越來越復(fù)雜的應(yīng)用需求。主要表現(xiàn)在缺乏整體安全策略、沒有統(tǒng)一規(guī)范的安全體系建設(shè)標(biāo)準(zhǔn)，安全職責(zé)劃分不明確，各有形成統(tǒng)一的安全意識(shí)、缺乏統(tǒng)一的安全操作流程和指導(dǎo)手冊(cè)；2度織擁有安全管理員崗位，但安全崗位職能沒有很好得到執(zhí)行，沒有對(duì)整個(gè)業(yè)務(wù)體系安全進(jìn)行統(tǒng)一規(guī)劃和管理。安全管理基本上靠運(yùn)維管理人員的自我管理，缺乏統(tǒng)一的安全管理體系；3設(shè)由于運(yùn)維、外包等原因，防護(hù)體系的建設(shè)依賴于各重要業(yè)務(wù)系統(tǒng)的建設(shè)，在今后的防護(hù)體系建設(shè)和改造中希望將安全防護(hù)體系統(tǒng)一考慮；4維無法有效安全監(jiān)管，造成重大安全隱患，極有可能成為攻擊跳板5業(yè)務(wù)系統(tǒng)的安全檢查和漏洞評(píng)估沒有周期性執(zhí)行，各主機(jī)的安全程度主要依賴于各管理員個(gè)人的安全意識(shí)水平，沒有形成定期統(tǒng)一的安全檢查制度和安全基線要求；防演練6缺少各項(xiàng)應(yīng)急預(yù)案，導(dǎo)致一但發(fā)生重大安全問題無法快速進(jìn)行故障的排除和解7展應(yīng)對(duì)行業(yè)發(fā)展帶來的安全挑戰(zhàn)，缺少專業(yè)機(jī)構(gòu)的咨詢支撐，無法及時(shí)了解行業(yè)第三章安全建設(shè)目標(biāo)某單位信息系統(tǒng)的安全建設(shè)目標(biāo)，主要是結(jié)合對(duì)現(xiàn)狀的安全需求分析，通過信息安全保障總體規(guī)劃、信息安全管理體系建設(shè)、信息安全技術(shù)策略設(shè)計(jì)以及信息安全產(chǎn)品集成實(shí)施等工作，全面提升信息系統(tǒng)的安全性，能面對(duì)目前和未來一段時(shí)期內(nèi)的安全威脅，保證信息系統(tǒng)的平穩(wěn)、高效的運(yùn)行，本次設(shè)計(jì)我們將根據(jù)以下目標(biāo)為指導(dǎo)思想：目標(biāo)一、保證信息的安全完整性：保證數(shù)據(jù)的權(quán)威性，讓使用者毫不懷疑；合規(guī)性：遵循技術(shù)標(biāo)準(zhǔn)、國家相關(guān)規(guī)范(三級(jí)等保);第四章安全整體規(guī)劃4.1.2安全防護(hù)體系設(shè)計(jì)整體架構(gòu)信息系統(tǒng)是以開放的層次化的網(wǎng)絡(luò)系統(tǒng)作為支撐平臺(tái)，為使各種信息安全技術(shù)功能合理地作用在網(wǎng)絡(luò)系統(tǒng)的各個(gè)層次上，從安全管理和安全技術(shù)兩方面，綜合人員、技術(shù)和運(yùn)行管理等實(shí)際情況，制定統(tǒng)一的認(rèn)證管理、多級(jí)訪問控制和加密保護(hù)措施，建成統(tǒng)一完整的安全體系結(jié)構(gòu)，在物理安全、運(yùn)行安全、信息安全、管理安全和標(biāo)準(zhǔn)規(guī)范等多個(gè)層面保障信息系統(tǒng)的安全。信息系統(tǒng)的安全保障體系如下圖所示：圖表10安全保障體系圖物理層安全網(wǎng)絡(luò)層安全系統(tǒng)層安全應(yīng)用層安全*物理隔離*機(jī)房環(huán)境*電磁防輻射*門禁系統(tǒng)*kvm系統(tǒng)*內(nèi)網(wǎng)安全審計(jì)根據(jù)以上的分析，通過采用技術(shù)、管理與運(yùn)行等各方面的措施，建立信息系統(tǒng)的信息安全保障體系，確保系統(tǒng)的信息安全。資產(chǎn)分析終端資產(chǎn)分析終端應(yīng)用系統(tǒng)規(guī)劃與實(shí)通選擇與評(píng)價(jià)風(fēng)險(xiǎn)網(wǎng)絡(luò)物理身份認(rèn)證訪間控制管合作與溝通安全審核安全檢壹信息安全治理與組織信息安全管理體系及信操作蓋控門禁系統(tǒng)蓋控信息安全組織模型信息安全組織模型信息安全運(yùn)維安全監(jiān)控與事件相應(yīng)安全監(jiān)控與事件相應(yīng)與安全管理內(nèi)容安至安安備份系統(tǒng)網(wǎng)緒冗余同絡(luò)審計(jì)網(wǎng)關(guān)同絡(luò)審計(jì)動(dòng)力環(huán)最監(jiān)控動(dòng)力環(huán)最監(jiān)控與審核安全安全安全4.2安全技術(shù)規(guī)劃4.2.1安全建設(shè)規(guī)劃拓樸圖圖表11安全建設(shè)規(guī)劃拓?fù)鋱DPPTP、NBT的NATALG功能。主等多種模式，關(guān)鍵部件冗余及熱插拔，支持N+1業(yè)務(wù)板以及獨(dú)創(chuàng)的應(yīng)用Bypass技術(shù)*,真正的網(wǎng)絡(luò)高可靠性。部署的網(wǎng)站防護(hù)產(chǎn)品，可以為用戶網(wǎng)站提供7X24小時(shí)的不間斷監(jiān)優(yōu)化的互聯(lián)網(wǎng)”墻、應(yīng)用防火墻、防CC攻擊、防入侵防提權(quán)、防篡改統(tǒng)，全面支持32位和64位系統(tǒng)。人體特征(指紋、視網(wǎng)膜等)、動(dòng)態(tài)令牌等等。錄樹的節(jié)點(diǎn)定義，,角色包含的權(quán)限可以自定義。自定義內(nèi)容包臺(tái)”,旨在為企業(yè)、單位、政府等單位提供對(duì)“復(fù)合型攻擊”和“未知威脅”的安全把控能力，并深度挖掘隱完成項(xiàng)目的建設(shè)目標(biāo)，本次項(xiàng)目分為二期建設(shè)，一期建設(shè)完成目標(biāo)為剛需、合規(guī)；以解決網(wǎng)絡(luò)中的整體安全隱患和獲得等級(jí)保護(hù)備案證明為主要目的，二期建設(shè)以完善整體信息安全防護(hù)提系為建設(shè)目標(biāo)。本次項(xiàng)目需完成以下任務(wù)，見下表：圖表12建設(shè)規(guī)劃時(shí)期達(dá)到目的時(shí)間2018年(一主要做邊界防御、網(wǎng)絡(luò)結(jié)構(gòu)整改、終端防護(hù)、安全隱患梳理整治、審計(jì)體系建立。包括定級(jí)備案測評(píng)、主機(jī)加固防1.達(dá)到法律要求中的等保合規(guī)2.梳理全網(wǎng)安全隱患進(jìn)行整治3.提升機(jī)關(guān)事務(wù)管理局整體信息系統(tǒng)安全防護(hù)能力年開建設(shè)周期為3個(gè)月2019(二期)1.云端防護(hù)2.通過部署安全管理平臺(tái)(soc)和APT高級(jí)威脅分析平臺(tái)將整體網(wǎng)絡(luò)中的各類事件分析審?fù)ㄟ^層層設(shè)防的方式完善信息安全總體防護(hù)體系，將各個(gè)孤立的信息年開始建設(shè)周期為3計(jì)預(yù)警、風(fēng)險(xiǎn)與態(tài)勢的度量與評(píng)估安全運(yùn)維流程的標(biāo)準(zhǔn)化、例行化和常態(tài)化，最終實(shí)現(xiàn)業(yè)務(wù)信息系統(tǒng)的持續(xù)安全運(yùn)營。將整體網(wǎng)絡(luò)達(dá)到可視、可管、可控、可感知點(diǎn)整合起來方便用戶更直觀、快捷的管理網(wǎng)絡(luò)。做到整體網(wǎng)絡(luò)的可視、可管、可個(gè)月第五章工程建設(shè)根據(jù)業(yè)務(wù)功能以及安全需求的不同，將某單位信息網(wǎng)絡(luò)規(guī)劃為互聯(lián)網(wǎng)接入?yún)^(qū)域、內(nèi)網(wǎng)核心交換區(qū)、安全管理區(qū)(審計(jì)核查區(qū)域)、服務(wù)器區(qū)、DMZ區(qū)、辦公接入?yún)^(qū)等共6個(gè)安全域。詳細(xì)說1.內(nèi)網(wǎng)核心交換區(qū)：部署了網(wǎng)絡(luò)的核心交換設(shè)備，用于數(shù)據(jù)2.內(nèi)網(wǎng)安全管理區(qū)：本安全區(qū)主要用于部署各類信息安全產(chǎn)3.辦公接入?yún)^(qū)：業(yè)務(wù)終端的接入?yún)^(qū)域，連接方式有無線和有4.內(nèi)網(wǎng)服務(wù)器區(qū)：本安全區(qū)主要用于部署各類業(yè)務(wù)系統(tǒng)服務(wù)5.DMZ區(qū)：提供對(duì)外服務(wù)，包括門戶網(wǎng)站、OA系統(tǒng)等，本安全區(qū)邊界由一臺(tái)WEB防火墻提供安全隔離和保護(hù)。6.互聯(lián)網(wǎng)訪問出口區(qū)：由運(yùn)營商出口組成，提供Internet互下1.核心交換區(qū)新增核心交換機(jī)，做冗余提高整體網(wǎng)絡(luò)健壯2.將原有2條互聯(lián)網(wǎng)線路進(jìn)行整合，整合為一個(gè)出口。5.服務(wù)器、終端及應(yīng)用系統(tǒng)風(fēng)險(xiǎn)評(píng)估、滲透測試、安全加固6.對(duì)于過?；蚴褂媚晗掭^久的網(wǎng)絡(luò)設(shè)備、安全設(shè)備，容易出>將互聯(lián)網(wǎng)的過保設(shè)備遷移至機(jī)關(guān)事務(wù)管理局其他專5.1.4網(wǎng)絡(luò)及安全設(shè)備部署部署作用防火墻是部署在不同網(wǎng)絡(luò)安全局之間的一系列部件的組合。它是信息的唯一出入口，能根據(jù)某單位專網(wǎng)、服務(wù)器區(qū)的安全政策控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。防火墻實(shí)現(xiàn)網(wǎng)與網(wǎng)之間的訪問隔離，以保護(hù)整個(gè)網(wǎng)絡(luò)抵御來自其它網(wǎng)絡(luò)的入侵者。部署拓?fù)渑c說明通過對(duì)全網(wǎng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)進(jìn)行分析，確定需要進(jìn)行訪問控制的網(wǎng)絡(luò)邊界位置，并使用防火墻等邊界訪問控制系統(tǒng)，解決邊界安全問題、實(shí)現(xiàn)各個(gè)安全局間的網(wǎng)絡(luò)訪問控制。建議在某單位互聯(lián)網(wǎng)出口和服務(wù)器區(qū)邊界部署防火墻，用來分隔各不同安全子域，對(duì)進(jìn)出數(shù)據(jù)進(jìn)行訪問控制，阻止非法數(shù)據(jù)包過濾防火墻一般在路由器上實(shí)現(xiàn)，用以過濾用戶定義的內(nèi)容，如IP地址。包過濾防火墻的工作原理是：系統(tǒng)在網(wǎng)絡(luò)層檢查數(shù)據(jù)包，與應(yīng)用層無關(guān)。這樣系統(tǒng)就具有很好的傳輸性能，可擴(kuò)普科技具有獨(dú)創(chuàng)的N:M虛擬化技術(shù)，可將多臺(tái)設(shè)備虛擬化成一臺(tái)FW1000系列應(yīng)用防火墻支持豐富的網(wǎng)絡(luò)特性，支持靜態(tài)路FW1000支持關(guān)鍵部件冗余及熱插拔，可支持N+1業(yè)務(wù)板卡冗8、獨(dú)創(chuàng)的應(yīng)用Bypass技術(shù)*迪普科技獨(dú)創(chuàng)的應(yīng)用Bypass技術(shù)，可自動(dòng)監(jiān)控各防火墻業(yè)務(wù)板CPU在位以及工作狀態(tài)，當(dāng)業(yè)務(wù)板發(fā)生故障時(shí)，系統(tǒng)會(huì)自動(dòng)將流量切換到設(shè)備交換芯片進(jìn)行轉(zhuǎn)發(fā)，此時(shí)流量不再經(jīng)過業(yè)務(wù)板CPU做安全業(yè)務(wù)，而是直接通過交換芯片進(jìn)行二三層轉(zhuǎn)發(fā)，確保業(yè)務(wù)流量轉(zhuǎn)發(fā)不中斷，確保網(wǎng)絡(luò)的可靠性。拓?fù)鋱D如下產(chǎn)品功能描述技術(shù)優(yōu)勢功能價(jià)值部署靈活支持路由模式、透明模式、混合模式全面安全防護(hù)全面支持深入到應(yīng)用層的防護(hù)，內(nèi)嵌豐富的應(yīng)用層過濾與控制引擎，可支持IPS、防病毒、流控等功能，并提供可實(shí)時(shí)升級(jí)的專業(yè)特征庫豐富的NAT能力支持一對(duì)一、地址池等NAT方式；支持多用協(xié)議，如FTP、H.323、RAS、RTSP、SIP、ICMP、DNS、PPTP、NBT的NATALG功能應(yīng)用虛擬化支持N:M虛擬化，可將N臺(tái)設(shè)備虛擬成一個(gè)資源池，再將資源池按需分成M臺(tái)邏輯設(shè)備，實(shí)現(xiàn)云計(jì)算環(huán)境下資源池的動(dòng)態(tài)調(diào)度優(yōu)異性能虛擬化進(jìn)行性能聚合，實(shí)現(xiàn)性能的倍增支持IPSecVPN、L2TPVPN、GREVPN、SSL投入廣泛網(wǎng)絡(luò)特性支持IPv4/IPv6,支持靜態(tài)路由、策略路由、RIPv1/v2、OSPF、BGP等多種路由協(xié)議，支持入侵防御能力可提供專業(yè)的入侵防御(IPS)能力，實(shí)現(xiàn)深入的應(yīng)用層攻擊防護(hù)；專業(yè)漏洞庫團(tuán)隊(duì)提供實(shí)時(shí)可靈活升級(jí)的攻擊特征庫專業(yè)防病毒內(nèi)置專業(yè)防病毒引擎上網(wǎng)行為管理庫，可識(shí)別主流應(yīng)用及網(wǎng)站，實(shí)現(xiàn)細(xì)粒度的上網(wǎng)行為管理高可靠性N:M虛擬化、雙機(jī)狀態(tài)熱備、靜默雙機(jī)、多主等多種模式，關(guān)鍵部件冗余及熱插拔，支持N+1業(yè)務(wù)板卡冗余以及獨(dú)創(chuàng)的應(yīng)用Bypass技術(shù)*,真正的網(wǎng)絡(luò)高可靠性日志與報(bào)表支持獨(dú)立的日志服務(wù)器，日志可自動(dòng)定時(shí)備份；內(nèi)置數(shù)百種報(bào)表，可圖形化的查詢、審計(jì)、統(tǒng)計(jì)、檢索內(nèi)網(wǎng)用戶的各種網(wǎng)絡(luò)行為日志，方便管理者了解和掌控網(wǎng)絡(luò)圖形化管理提供便捷的圖形化管理界面，支持WebGUI、SSH、串口Console,并支持通過UMC網(wǎng)管平臺(tái)部署的網(wǎng)站防護(hù)產(chǎn)品，可以為用戶網(wǎng)站提供7X腦指定單一IP地址。嚴(yán)禁工作人員盜用他人IP地址或私設(shè)IP地址。若采用手動(dòng)方法管理IP地址，不僅操作不便，而且極易出現(xiàn)同時(shí)，基于IPv4(國際互聯(lián)網(wǎng)協(xié)議第4版)的現(xiàn)有互聯(lián)網(wǎng)，已與2011年分配殆盡。全球互聯(lián)網(wǎng)管理機(jī)構(gòu)對(duì)IPv6地址的分配速度日益加快，IPv6已具備廣泛應(yīng)用的基礎(chǔ)。推動(dòng)互聯(lián)網(wǎng)由IPv4向IPv6演進(jìn)過渡，并在此基礎(chǔ)上發(fā)展下一代互聯(lián)網(wǎng)已成為全球共根據(jù)新一代信息技術(shù)產(chǎn)業(yè)“十二五”發(fā)展思路的要求，廣大用戶用上IPv6的時(shí)間須提早到2015年。在“十二五”期間，規(guī)定要求國內(nèi)訪問流量排名前100位的商業(yè)網(wǎng)站系統(tǒng)支持IPv6,約70%的中央企業(yè)及地市級(jí)以上政府外網(wǎng)網(wǎng)站系統(tǒng)支持IPv6,“211”工程學(xué)校外網(wǎng)網(wǎng)站系統(tǒng)全部支持IPv6,電信運(yùn)營企業(yè)新開展的業(yè)務(wù)基本支持IPv6,新增上網(wǎng)固定終端和移動(dòng)終端基本支持IPv6。部署拓?fù)渑c說明署WAF防護(hù)產(chǎn)品，可以為用戶網(wǎng)站提供7X24小時(shí)的不間斷監(jiān)測與保護(hù)，有效保障網(wǎng)站數(shù)據(jù)的完整性和真實(shí)性，并提供實(shí)時(shí)告警，產(chǎn)品功能描述可以通過對(duì)HTTP協(xié)議進(jìn)行深入分析，并且通過及時(shí)更新使用戶在最快的時(shí)間內(nèi)獲得最新的特征庫，能夠?yàn)閃eb應(yīng)用提供全面實(shí)時(shí)有效的防御能力。上網(wǎng)行為管理及流控部署作用幫助用戶提供包括網(wǎng)絡(luò)應(yīng)用流量分析及控制、職員上網(wǎng)行為記錄、訪問控制、數(shù)據(jù)庫安全審計(jì)，以及鏈路負(fù)載均衡、用戶認(rèn)證、病毒防范等綜合功能，幫助用戶構(gòu)建“可視、可控、可優(yōu)化的互聯(lián)網(wǎng)”部署拓?fù)渑c說明根據(jù)某單位整體安全規(guī)劃，在互聯(lián)網(wǎng)接入?yún)^(qū)域部署上網(wǎng)行為管理及流控，可以為用戶提供上網(wǎng)行為記錄、審計(jì)、訪問控制、流控等功能，具體部署拓?fù)浜驼f明如下：產(chǎn)品功能描述1.業(yè)界最全的應(yīng)用特征庫，全面支持IPv6識(shí)別具有業(yè)界數(shù)量最大、本地化支持最完善、更新最及時(shí)的特征庫，可識(shí)別超過4300+種網(wǎng)絡(luò)和應(yīng)用層協(xié)議，全面支持IPv4/IPv6協(xié)議的上網(wǎng)行為管理和流控，讓上網(wǎng)行為管理和流量控制更精2.流量控制與調(diào)度結(jié)合，保障關(guān)鍵業(yè)務(wù)支持鏈路負(fù)載均衡功能，可作為鏈路優(yōu)化網(wǎng)關(guān)使用，配合流量控制功能，達(dá)到流量“疏堵結(jié)合”的作用，流量控制可以為關(guān)統(tǒng)流量管理損耗不能低于30%的難題，啟用流量控制后整體帶寬幾乎無損耗(5%以內(nèi)),真正實(shí)現(xiàn)對(duì)應(yīng)用流量的合理、有效、有序IP地址進(jìn)行審計(jì)，難以將IP地址與具體人員身份準(zhǔn)確關(guān)聯(lián)，導(dǎo)致于帳號(hào)的實(shí)名審計(jì)，并支持與城市熱點(diǎn)、深瀾等認(rèn)證系統(tǒng)對(duì)接，實(shí)現(xiàn)精確到個(gè)人的上網(wǎng)行為審計(jì)，讓網(wǎng)絡(luò)中的每個(gè)人對(duì)自己的言6.豐富的認(rèn)證功能支持多種終端認(rèn)證，支持IP/MAC綁定、Portal認(rèn)證、短信認(rèn)證、微信認(rèn)證等多種認(rèn)證方式，并且支持與Radius、AD、LDAP第三方認(rèn)證系統(tǒng)對(duì)接。例如微信認(rèn)證顧客無需輸入繁瑣的Wi-Fi密碼，手機(jī)點(diǎn)擊“微信一鍵認(rèn)證”進(jìn)行認(rèn)證，為用戶提供更輕快的上網(wǎng)體驗(yàn)，同時(shí)可以一鍵關(guān)注商家公眾號(hào)，便于將顧客轉(zhuǎn)化為粉絲，為商家的長期發(fā)展打下良好的基礎(chǔ)，并且聯(lián)網(wǎng)后還可推送消息，利于商家做宣傳。7.全面數(shù)據(jù)庫審計(jì)覆蓋主流商用數(shù)據(jù)庫，包括Oracle、MySQL、SQLServer和DB2等多種類型的數(shù)據(jù)庫。對(duì)訪問數(shù)據(jù)庫的數(shù)據(jù)流進(jìn)行采集、分析和識(shí)別，實(shí)時(shí)監(jiān)視數(shù)據(jù)庫的運(yùn)行狀態(tài)，記錄多種訪問數(shù)據(jù)庫行為，發(fā)現(xiàn)對(duì)數(shù)據(jù)庫的異常訪問，同時(shí)提供告警及豐富報(bào)表功能，以供企業(yè)管理人員按需查看。主機(jī)安全加固系統(tǒng)部署部署作用部署在服務(wù)器區(qū)的服務(wù)器上用于防護(hù)服務(wù)器主機(jī)的安全防護(hù)守護(hù)、風(fēng)險(xiǎn)帳號(hào)(影子帳號(hào)等)優(yōu)化、DDOS防火墻、ARP防火統(tǒng)，全面支持32位和64位系統(tǒng)。1、產(chǎn)品采用云+端的云安全管理平臺(tái)(SAAS模式)解決服務(wù)統(tǒng)級(jí)的安全防護(hù)(防黑/防入侵/抗攻擊)、云監(jiān)控(安全監(jiān)控/性能監(jiān)控/日志監(jiān)控)、云管理以及基于大數(shù)據(jù)架構(gòu)的安全事件分析3、病毒查殺：對(duì)網(wǎng)頁后門(WebShel1)、他形式的新帳號(hào)創(chuàng)建操作也能夠有效禁止。支持Windows操作系8、通過直接在Agent端上內(nèi)置文件過濾驅(qū)動(dòng)模塊，并基于規(guī)9、提供基于微軟的漏洞補(bǔ)丁功能，能夠掃描100%系統(tǒng)漏洞補(bǔ)共享文件夾的訪問權(quán)限等；支持Linux平臺(tái)的安全基線檢查，包查等。支持包含中間件(IIS,Tomcat,Weblogic等)的安全基線檢擊服務(wù)器范圍等并進(jìn)行畫像分析和威脅程度排名，提供攻擊I險(xiǎn)分布圖、攻擊IP地理分布圖、最近30天攻擊IP列表和攻擊IP持按日期、攻擊類型、內(nèi)容、攻擊者IP、服務(wù)器IP等字段進(jìn)行組規(guī)均對(duì)日志審計(jì)、行為審計(jì)有明確的要求，確保關(guān)鍵信息系統(tǒng)在系統(tǒng)簡單實(shí)用、界面美觀大方、內(nèi)置豐富的儀表板，適用于具有國內(nèi)領(lǐng)先的高性能日志管理技術(shù)，使得系統(tǒng)在日志采集、分析和存儲(chǔ)三個(gè)方面獲得了本質(zhì)的性能提升。獨(dú)有的審計(jì)數(shù)據(jù)源擴(kuò)展機(jī)制，可以方便地實(shí)現(xiàn)新設(shè)備類型的自學(xué)習(xí)的事件范式化技術(shù)，提高日志分析效率。支持分布式日志采集和事件存儲(chǔ)、審計(jì)中心級(jí)聯(lián)，支持大規(guī)對(duì)用戶網(wǎng)絡(luò)和業(yè)務(wù)影響最小：在實(shí)現(xiàn)對(duì)用戶網(wǎng)絡(luò)中的IT設(shè)施進(jìn)行集中日志審計(jì)的同時(shí)，采取多種技術(shù)手段，力求對(duì)用戶網(wǎng)絡(luò)和業(yè)務(wù)的影響最小化。具備完善的自身安全性設(shè)計(jì)，保證系統(tǒng)自身的安全等級(jí)符合用戶的整體安全策略拓?fù)鋱D如下產(chǎn)品功能描述日志審計(jì)系統(tǒng)提供了強(qiáng)大的日志綜合審計(jì)功能，為不用層級(jí)的用戶提供了多視角、多層次的審計(jì)視圖。系統(tǒng)提供全局監(jiān)視儀表板、實(shí)時(shí)審計(jì)視圖、內(nèi)置或自定義策略的統(tǒng)計(jì)視圖、超強(qiáng)的日志查詢和報(bào)表管理功能，支持日志的模糊查詢和自定義報(bào)表。為了應(yīng)對(duì)海量日志管理帶來的挑戰(zhàn)，日志審計(jì)系統(tǒng)采用了國內(nèi)領(lǐng)先的高性能日志采集、分析與存儲(chǔ)架構(gòu)，從產(chǎn)品技術(shù)架構(gòu)的層面，進(jìn)行了系統(tǒng)性的設(shè)計(jì)，真正使得日志審計(jì)系統(tǒng)產(chǎn)品成為一款能夠支撐持續(xù)海量日志管理的系統(tǒng)。日志審計(jì)類產(chǎn)品的一項(xiàng)核心能力就是對(duì)審計(jì)數(shù)據(jù)源的日志采集。對(duì)于用戶而言，采集日志面臨的最大挑戰(zhàn)就是：審計(jì)數(shù)據(jù)源分散、日志類型多樣、日志量大。為此，日志審計(jì)系統(tǒng)綜合采用多種技術(shù)手段，充分適應(yīng)用戶實(shí)際網(wǎng)絡(luò)環(huán)境的運(yùn)行情況，采集用戶網(wǎng)絡(luò)中分散在各個(gè)位置的各種廠商、各種類型的海量日志。日志審計(jì)系統(tǒng)對(duì)收集的各種日志進(jìn)行范式化處理，將各種不同表達(dá)方式的日志轉(zhuǎn)換成統(tǒng)一的描述形式。審計(jì)人員不必再去熟悉不同廠商不同的日志信息，從而大大提升審計(jì)工作效率。與此同時(shí)，日志審計(jì)系統(tǒng)將原始日志都原封不動(dòng)地保存了下來，以備調(diào)查取證之用。審計(jì)員也可以直接對(duì)原始日志進(jìn)行模糊查詢。系統(tǒng)為用戶在進(jìn)行安全日志及事件的實(shí)時(shí)分析和歷史分析的時(shí)候提供了一種全新的分析體驗(yàn)——基于策略的安全事件分析過程。用戶可以通過豐富的事件分析策略對(duì)全網(wǎng)的安全事件進(jìn)行全方位、多視角、大跨度、細(xì)粒度的實(shí)時(shí)監(jiān)測、統(tǒng)計(jì)分析、查詢、調(diào)查、追溯、地圖定位、可視化分析展示等。日志審計(jì)系統(tǒng)為用戶提供了豐富的可視化審計(jì)視圖，充分提升審計(jì)效率。包括：審計(jì)對(duì)象拓?fù)鋱D、IP在線世界地圖定位、IP離線世界地圖定位、事件分時(shí)圖、事件拓?fù)鋱D、事件多維分析圖出具報(bào)表報(bào)告是安全審計(jì)系統(tǒng)的重要用途，日志審計(jì)系統(tǒng)內(nèi)置了豐富的報(bào)表模板，包括統(tǒng)計(jì)報(bào)表、明細(xì)報(bào)表、綜合審計(jì)報(bào)告，審計(jì)人員可以根據(jù)需要生成不同的報(bào)表。系統(tǒng)內(nèi)置報(bào)表生成調(diào)度器，可以定時(shí)自動(dòng)生成日?qǐng)?bào)、周報(bào)、月報(bào)、季報(bào)、年報(bào)，并支持以郵件等方式自動(dòng)投遞，支持以PDF、Excel、Word等格式導(dǎo)系統(tǒng)還內(nèi)置了一套報(bào)表編輯器，用戶可以自行設(shè)計(jì)報(bào)表，包括報(bào)表的頁面版式、統(tǒng)計(jì)內(nèi)容、顯示風(fēng)格等。部署作用嚴(yán)重的攻擊來自系統(tǒng)內(nèi)部(80%來自內(nèi)部攻擊),內(nèi)控堡壘主機(jī)主要應(yīng)用于內(nèi)部用戶行為管理，對(duì)各種途徑的網(wǎng)絡(luò)設(shè)備及服務(wù)器的訪問方式進(jìn)行監(jiān)控，支持telnet,ftp,ssh,rdp,xwindow等，保證內(nèi)部用戶的操作和行為可控、可視、可管理、可跟蹤、可鑒定，防止內(nèi)部人員對(duì)機(jī)密材料的非法獲取和使用，保護(hù)企事網(wǎng)絡(luò)邊界安全設(shè)備是企事業(yè)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)的重要組成部分，網(wǎng)絡(luò)邊界安全設(shè)備的安全策略，對(duì)企事業(yè)內(nèi)部網(wǎng)絡(luò)安全，起著非常重要的作用。目前關(guān)鍵網(wǎng)絡(luò)邊界安全設(shè)備，主要來自于國外巨頭和國內(nèi)領(lǐng)先公司，這些公司一般都提供先進(jìn)的CLI功能，管理員可以通過SSH和串口，對(duì)網(wǎng)絡(luò)邊界安全設(shè)備(如交換機(jī)、防護(hù)墻、VPN等)進(jìn)行安全策略配置。但是，目前沒有可靠辦法保證系統(tǒng)管理員安全策略配置行為的有效性，合法性以及一致性，一般都通過行政手段，讓系統(tǒng)管理員記錄安全策略配置過程，這有嚴(yán)重的安全隱患。內(nèi)控堡壘主機(jī)提供網(wǎng)關(guān)部署方式，可以記錄系統(tǒng)管理員對(duì)網(wǎng)絡(luò)邊界安全設(shè)備的配置過程，保證安全策略的一致性，其生成的日志系統(tǒng)，可以比較方便的集成到企事業(yè)現(xiàn)有安黑客常常通過手段(如：社會(huì)工程、惡意程序、系統(tǒng)設(shè)置漏洞、緩沖區(qū)溢出程序等)獲取用戶權(quán)限，然后使用該權(quán)限登陸系統(tǒng)。內(nèi)控堡壘主機(jī)可以記錄該黑客的操作過程，對(duì)于事后查證和數(shù)據(jù)恢復(fù)，有非常好的適用價(jià)值。內(nèi)控堡壘主機(jī)還可以通過地址綁定功能對(duì)黑客行為進(jìn)行限制，即使黑客取得系統(tǒng)權(quán)限，也不能對(duì)系統(tǒng)做任何操作。部署拓?fù)渑c說明建議在某單位內(nèi)網(wǎng)中部署堡壘主機(jī)系統(tǒng)，為了給系統(tǒng)管理員查看審計(jì)信息提供方便性，內(nèi)控堡壘主機(jī)提供了審計(jì)查看檢索功能。系統(tǒng)管理員可以通過多種查詢條件進(jìn)行查看審計(jì)信息?？傊瑑?nèi)控堡壘主機(jī)能夠極大的保護(hù)內(nèi)部網(wǎng)絡(luò)設(shè)備及服務(wù)器資源的安全性，使得內(nèi)部網(wǎng)絡(luò)管理合理化，專業(yè)化，信息化。行業(yè)用戶為了對(duì)運(yùn)維人員的遠(yuǎn)程登錄進(jìn)行集中管理，會(huì)在機(jī)房里部署跳板機(jī)。跳板機(jī)就是一臺(tái)服務(wù)器，維護(hù)人員在維護(hù)過程首先要統(tǒng)一登錄到這臺(tái)服務(wù)器上，然后從這臺(tái)服務(wù)器再登錄到目標(biāo)設(shè)備進(jìn)行維護(hù)。但跳板機(jī)并沒有實(shí)現(xiàn)對(duì)運(yùn)維人員操作行為的控制和審計(jì)，使用跳板機(jī)過程中還是會(huì)有誤操作、違規(guī)操作導(dǎo)致的操作事故，一旦出現(xiàn)操作事故很難快速定位原因和責(zé)任壘機(jī)>提供堡壘主機(jī)自身狀態(tài)的監(jiān)控功能，包括：cpu工作情主機(jī)自身數(shù)據(jù)庫工作情況，堡壘主機(jī)自身WEB服務(wù)工作情>可以對(duì)堡壘主機(jī)的時(shí)間進(jìn)行設(shè)置。產(chǎn)品功能>主帳號(hào)的新建和修改時(shí)，支持通過配置訪問時(shí)間策略達(dá)到>主帳號(hào)的新建和修改時(shí)，支持通過配置訪問地址策略達(dá)到>主帳號(hào)的新建和修改時(shí)，支持通過配置訪問鎖定策略，達(dá)>主帳號(hào)的新建和修改時(shí)，支持通過配置密碼策略，達(dá)到指>支持主帳號(hào)的分組管理，分組可以樹形方式展現(xiàn)，不限制>支持資源的分組管理，分組可以樹形方式展現(xiàn)，不限制分(三)從賬戶管理>從帳號(hào)的新建和修改時(shí)，支持通過配置主機(jī)命令策略達(dá)到>從帳號(hào)的新建和修改時(shí)，支持通過配置訪問時(shí)間策略達(dá)到>從帳號(hào)的新建和修改時(shí)，支持通過配置訪問地址策略達(dá)到>支持資源從帳號(hào)的接管和共管方式，接管方式的從帳號(hào)才數(shù)據(jù)庫審計(jì)系統(tǒng)部署部署作用可以對(duì)數(shù)據(jù)庫操作行為和內(nèi)容進(jìn)行審計(jì)，還可以對(duì)業(yè)務(wù)運(yùn)維操作行為進(jìn)行細(xì)粒度的合規(guī)性審計(jì)和管理。系統(tǒng)通過對(duì)被內(nèi)部人員的數(shù)據(jù)庫操作及運(yùn)維操作等網(wǎng)絡(luò)行為進(jìn)行解析、分析、記錄、匯報(bào)，可以幫助用戶進(jìn)行事前規(guī)劃預(yù)防、事中實(shí)時(shí)監(jiān)視、事后合規(guī)報(bào)告、事故追蹤溯源，加強(qiáng)內(nèi)外部網(wǎng)絡(luò)行為監(jiān)管。進(jìn)而完善業(yè)務(wù)系統(tǒng)的安全防范體系，滿足組織機(jī)構(gòu)內(nèi)外部合規(guī)性要求，全面體現(xiàn)管理者對(duì)業(yè)務(wù)系統(tǒng)信息資源的全局把控和調(diào)度能力。部署拓?fù)渑c說明根據(jù)某單位網(wǎng)整體安全規(guī)劃，在安全管理區(qū)部署數(shù)據(jù)庫審計(jì)系統(tǒng)實(shí)現(xiàn)不間斷監(jiān)測與保護(hù)數(shù)據(jù)庫，有效保障數(shù)據(jù)庫數(shù)據(jù)的完整性和真實(shí)性，并提供實(shí)時(shí)告警，具體部署拓?fù)浜驼f明如下：完善的數(shù)據(jù)庫審計(jì)數(shù)據(jù)庫審計(jì)系統(tǒng)(數(shù)據(jù)庫審計(jì)型)全面對(duì)支持各種常見商業(yè)數(shù)據(jù)庫、開源數(shù)據(jù)庫及國產(chǎn)數(shù)據(jù)庫系統(tǒng)的審計(jì)，Oracle、DB2、PostgreSQL、Cache、人大金倉Kingbase、南大通用GBase及達(dá)夢(mèng)數(shù)據(jù)庫等多個(gè)版本的數(shù)據(jù)庫系統(tǒng)，能夠?qū)崿F(xiàn)綁定變量、SQL命令和作審計(jì)，支持包括Netbios、SMTP、POP3、HTTP等數(shù)據(jù)庫審計(jì)系統(tǒng)(數(shù)據(jù)庫審計(jì)型)適用于多種應(yīng)用環(huán)境，特實(shí)現(xiàn)Telnet協(xié)議的傳輸、某些數(shù)據(jù)庫同時(shí)采用幾種編碼與客戶端一，目前數(shù)據(jù)庫審計(jì)系統(tǒng)(數(shù)據(jù)庫審計(jì)型)系統(tǒng)支持多種編碼格數(shù)據(jù)庫審計(jì)系統(tǒng)(數(shù)據(jù)庫審計(jì)型)系統(tǒng)提供了多種響應(yīng)方(如SOC平臺(tái)、4A平臺(tái)等),以幫助用戶實(shí)時(shí)掌握審計(jì)信息。支持靈活的審計(jì)規(guī)則為了使審計(jì)策略更加靈活、精準(zhǔn)，數(shù)據(jù)庫審計(jì)系統(tǒng)(數(shù)據(jù)庫審計(jì)型)系統(tǒng)采用了靈活的審計(jì)規(guī)則和黑白名單的機(jī)制，大大降低了審計(jì)策略的復(fù)雜程度，同時(shí)也減輕了管理人員的工作量：審計(jì)規(guī)則的定制條件包括時(shí)間IP、端口、賬號(hào)名稱、事件級(jí)別、內(nèi)容等，能夠以精確匹配、模糊匹配、正則表達(dá)式匹配方式對(duì)審計(jì)事件進(jìn)行匹配，幫助用戶對(duì)關(guān)鍵操作進(jìn)行及時(shí)響應(yīng)；數(shù)據(jù)庫審計(jì)系統(tǒng)(數(shù)據(jù)庫審計(jì)型)系統(tǒng)提供了事件規(guī)則用戶自定義模塊，允許用戶自行設(shè)定和調(diào)整各種安全審計(jì)事件的觸發(fā)支持IP黑白名單、賬號(hào)黑白名單、賬號(hào)發(fā)現(xiàn)、賬號(hào)跟蹤審計(jì)、賬號(hào)行為事件分級(jí)等多種特性，便于在實(shí)際審計(jì)過程中進(jìn)行特定賬號(hào)行為跟蹤系統(tǒng)能夠?qū)崿F(xiàn)對(duì)“用戶網(wǎng)絡(luò)環(huán)境中出現(xiàn)的特定賬號(hào)或特定賬號(hào)執(zhí)行某種操作后”的場景進(jìn)行賬號(hào)跟蹤，提供對(duì)后繼會(huì)話和事件的審計(jì)。因此，管理員能夠?qū)Τ霈F(xiàn)在網(wǎng)絡(luò)中的特權(quán)賬號(hào)，比如root、DBA等，進(jìn)行重點(diǎn)的監(jiān)控，特別是本不應(yīng)出現(xiàn)在網(wǎng)絡(luò)上的特權(quán)賬號(hào)突然出現(xiàn)的事件。產(chǎn)品功能描述數(shù)據(jù)庫審計(jì)支持的數(shù)據(jù)庫類別：數(shù)據(jù)庫審計(jì)粒度：日期及時(shí)間源IP及源MAC地址源主機(jī)名*、源程序名*、源主機(jī)登陸用戶名*登陸數(shù)據(jù)庫賬號(hào)名、數(shù)據(jù)庫名、數(shù)據(jù)庫表名、數(shù)據(jù)庫字段、數(shù)據(jù)庫字段與值對(duì)應(yīng)關(guān)系、數(shù)據(jù)庫存儲(chǔ)進(jìn)程名、數(shù)據(jù)庫域名(DOMAIN)、數(shù)據(jù)庫模式名(SCHEMA)、數(shù)據(jù)庫視圖名(View)、數(shù)據(jù)庫事物名、數(shù)據(jù)庫索引名、數(shù)據(jù)庫游標(biāo)名數(shù)據(jù)庫賬號(hào)登陸失敗審計(jì)數(shù)據(jù)庫操作成功的審計(jì)數(shù)據(jù)表空間不足的審計(jì)數(shù)據(jù)庫并發(fā)會(huì)話數(shù)、進(jìn)程數(shù)、用戶、游標(biāo)數(shù)、事務(wù)數(shù)、鎖等超過限制的審計(jì)數(shù)據(jù)庫操作權(quán)限不足的審計(jì)其他審計(jì)功能運(yùn)維審計(jì)Telnet、Rlogin、X11(命令行)文件共享審計(jì)NFS、FTP、Netbios審計(jì)規(guī)則規(guī)則類型支持兩種審計(jì)規(guī)則：缺省審計(jì)規(guī)則、自定義審計(jì)規(guī)則規(guī)則匹配方式支持三種規(guī)則匹配方式：模糊匹配、精確匹配、正則表達(dá)式匹配支持系統(tǒng)日志、審計(jì)事件日志、會(huì)話日志查詢支持按條件或關(guān)鍵字內(nèi)容模板查詢功能支持缺省統(tǒng)計(jì)模板，支持會(huì)話統(tǒng)計(jì)、審計(jì)事件統(tǒng)計(jì)、資源賬號(hào)統(tǒng)計(jì)功能，支持按自定義關(guān)鍵字進(jìn)行統(tǒng)計(jì)支持統(tǒng)計(jì)報(bào)表自定義功能支持審計(jì)事件與統(tǒng)計(jì)報(bào)表的自動(dòng)備份和系統(tǒng)管理支持旁路部署，對(duì)原有系統(tǒng)無影響,支持管理員、操作員、審計(jì)員權(quán)限管理，具有自身安全審計(jì)功能支持管理員強(qiáng)身份認(rèn)證功能支持系統(tǒng)升級(jí)功能支持NTP時(shí)間同步支持審計(jì)數(shù)據(jù)、系統(tǒng)配置和引擎配置的備份和恢復(fù)、支持串口管理、SSH管理、HTTPS管理部署作用隨著全球信息化步伐的加快，計(jì)算機(jī)網(wǎng)絡(luò)作為信息社會(huì)的基礎(chǔ)設(shè)施已經(jīng)滲透到社會(huì)的各個(gè)方面，與此同時(shí)，網(wǎng)絡(luò)安全問題也進(jìn)行的一項(xiàng)調(diào)查顯示，網(wǎng)絡(luò)安全問題在很多情況下都是由“內(nèi)部人士”而非外來黑客引起。在企事業(yè)單位中，內(nèi)網(wǎng)安全普遍存在著如下問題：●IP地址使用存在一定混亂。如果沒有嚴(yán)格的管理