等级保护二级建设方案-医卫行业

1、 医疗卫生行业等级保护建设方案医疗卫生行业等级（二级）保护建设方案 华创科技2013年12月22日日期版本创建者修改者发布者级别2013/12/1V1.0目录医疗卫生行业等级（二级）保护建设方案1一、项目概述3二、政策要求3三、方案目标与范围5四、方案设计依据6五、信息安全二级-技术方案6l物理安全7l网络安全10l主机安全13l应用安全16l数据安全及备份恢复20六、信息安全二级-管理方案21l安全管理制度22l安全管理机构23l人员安全管理23l系统建设管理23l系统运维管理24七、安全服务平台257.1安全运维服务的特点267.1.1满足信息系统等级保护要求267.1.2遵循ISO200

2、00和ITILv3277.2安全服务平台的内容287.2.1资产管理287.2.2事件管理297.2.3工单管理31一、 项目概述 项目简单介绍.随着医疗信息系统HMIS应用范围不断推广扩大，我国许多医院建立了以院长为中心的医院信息网络化管理决策机制，并将门诊管理、住院管理、医技管理、职能科室管理等各部门通过计算机网络有机集成在一起，医院信息化管理系统通过网络覆盖医院的每个部门，涵盖病人来院就诊的各个环节。 然而，在信息安全方面，我国的医院信息安全建设尚处于初级阶段，信息安全的认识、投入上更是淡漠，重投入轻防护，信息系统安全问题频频告急，严重影响到医院正常运行。应该说，基础信息网络与重要信息系

3、统的作用日益增强，已成为国家和社会发展、人民生活需要的重要资源。保障基础网络和重要信息系统安全，更好地维护国家安全、保障社会稳定和人民经济生活的需要，是信息化发展中必须解决的重大问题。二、 政策要求等级保护不仅是对信息安全产品或系统的检测、评估以及定级，更重要的是，等级保护是围绕信息安全保障全过程的一项基础性工作。通过将等级化方法和安全体系方法有效结合，设计一套等级化的信息安全保障体系，是适合我国国情、系统化地解决信息安全问题的一个非常有效的方法。信息安全等级保护对组织信息安全具有重大的意义。 1994年国务院发布的147号令中华人民共和国计算机信息系统安全保护条例首次提出计算机信息系统实行安

4、全等级保护以来，多项国家文件和政策均提到了等级保护工作的重要性。1999年9月国家质量技术监督局发布了由公安部提出并组织制定的强制性国家标准GB17859-1999计算机信息系统安全等级保护划分准则，为等级保护这一安全国策给出了技术角度的诠释。 2003年中共中央办公厅、国务院办公厅联合转发的国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号）明确指出“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。2004年公安部、国家保密局、国家密码管理局、国务院信息办联合印发了关于

5、信息安全等级保护工作的实施意见（公通字200466号），明确了信息安全等级保护制度的主要工作方向和工作内容，规定了等级保护实施的具体步骤和时间表。 2007年6月，四部委联合下发信息安全等级保护管理办法（公通字200743号），标志着等级保护的全面推广落实。43号文明确了信息安全等级保护制度的基本内容、流程及工作要求，明确了信息系统运营使用单位和主管部门、监管部门在信息安全等级保护工作中的职责、任务等。同时，四部委联合下发了“关于开展全国重要信息系统安全等级保护定级工作的通知”（公信安2007861号），全面部署了全国范围内的重要信息系统定级工作。  近年来信息安全等级保护工作取得的

6、了一定成效，初步建立了一系列执行标准：信息系统安全等级保护定级指南 ，信息系统安全等级保护基本要求；信息系统安全等级保护实施指南，信息系统等级保护安全设计技术要求 ；信息系统安全等级保护测评要求 ，信息系统安全等级保护测评指南等。  2007年下半年开始，全国范围内的重要信息系统普遍开展了信息安全等级保护定级工作，到现在为止定级工作基本上已经在重要行业初步完成，全面进入整改阶段。 2011年卫生部发布卫生行业信息安全等级保护工作的指导意见对医疗卫生行业等级保护相关工作提出了进一步的、明确的要求，并指出该项工作的重要性与迫切性。 在国家大力推行信息安全等级保护制度的背景下，华

7、创科技长期深度参与、密切跟踪国家等级保护相关政策，并作为信息安全企业的代表参与了等级保护相关标准的起草编制工作，在等级保护的定级、整改、评估等多项工作中积累了丰富的经验。在此基础上，华创科技推出了等级保护整体解决方案，为用户提供等级保护咨询服务，依据国家等级保护相关要求，结合信息系统安全建设最佳实践，紧跟国家等级保护的具体实施步骤，为客户提供多种类型的咨询服务、整体安全解决方案、基于等级保护的安全服务平台（SSP）、入侵检测系统（IDS）等满足不同客户不同层次和不同阶段的等级保护需求服务，全面满足国家政策要求的合规性，保障业务健康、稳定、持续运营。三、 方案目标与范围 为了落实和贯彻公安部、国

8、家保密局、国家密码管理局、卫生部等国家有关部门信息安全等级保护工作要求，全面完善信息安全防护体系，提高整体信息安全防护水平，开展等级保护建设工作。本方案主要遵循GB/T22239-2008信息安全技术信息安全等级保护基本要求、信息安全等级保护管理办法（公通字200743号）、信息安全技术信息安全风险评估规范（GB/T 20984-2007）、卫生行业信息安全等级保护工作的指导意见、ISO/IEC 27001信息安全管理体系标准和ISO/IEC 13335信息安全管理标准等。实施范围：本单位信息系统、信息系统基础架构、信息系统运维与管理。图表 等级保护与信息系统逻辑关系图通过本方案的建设实施，进

9、一步提高信息系统等级保护符合性要求，将整个信息系统的安全状况提升到一个较高的水平，并尽可能地消除或降低信息系统的安全风险。四、 方案设计依据 根据等级保护前期调研结果、信息系统目前存在的漏洞、弱点等提出相关的整改意见，并最终形成安全解决方案。方案依据以下标准与要求：Ø GB/T22239-2008信息安全技术信息安全等级保护基本要求Ø 信息安全技术信息系统等级保护安全设计技术要求Ø 信息安全等级保护管理办法（公通字200743号）Ø 信息安全技术信息安全风险评估规范（GB/T 20984-2007）Ø 卫生行业信息安全等级保护工作的指导意见&#

10、216; ISO/IEC 27001信息安全管理体系标准Ø ISO/IEC 13335信息安全管理标准五、 信息安全二级-技术方案针对信息安全技术信息安全等级保护基本要求中二级系统各项指标和要求，为保障其稳定、安全运行，本方案从物理安全、网络安全、主机系统、应用安全和数据安全与备份等五个层面进行等级保护建设。l 物理安全 物理安全均按照信息安全技术信息安全等级保护基本要求中二级系统要求进行建设。类别技术目标具体目标本单位系统现状解决方案物理安全物理位置的选择（G2）机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内；ü物理访问控制（G2）机房出入口应安排专人值守，控制

11、、鉴别和记录进入的人员；ü需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围；未知机房视频图像监控系统防盗窃和防破坏（G2）应将主要设备放置在机房内；ü应将设备或主要部件进行固定，并设置明显的不易除去的标记；ü应将通信线缆铺设在隐蔽处，可铺设在地下或管道中；ü应对介质分类标识，存储在介质库或档案室中；ü主机房应安装必要的防盗报警设施。未知防雷击（G2）机房建筑应设置避雷装置；未知避雷设备机房应设置交流电源地线。ü防火（G2）机房应设置灭火设备和火灾自动报警系统。未知火灾自动消防系统防水和防潮（G2）水管安装，不得穿过机房

12、屋顶和活动地板下；ü应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透；ü应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。ü防静电（G2）关键设备应采用必要的接地防静电措施。ü温湿度控制（G2）机房应设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内。ü电力供应（A2）应在机房供电线路上配置稳压器和过电压防护设备；未知稳压器和过电压防护设备应提供短期的备用电力供应，至少满足关键设备在断电情况下的正常运行要求。未知使用UPS、蓄电池、发电设备电磁防护（S2）电源线和通信线缆应隔离铺设，避免互相干扰；ül 网络安全

13、类别建设目标具体目标本单位系统现状建设方案网络安全结构安全（G2）应保证关键网络设备的业务处理能力具备冗余空间，满足业务高峰期需要；未知网络运维监测系统应保证接入网络和核心网络的带宽满足业务高峰期需要；未知网络带宽规划、设计；QoS；带宽管理应绘制与当前运行情况相符的网络拓扑结构图；未知手工绘制；拓扑自动发现系统（网络运维监测系统一般包括该功能）应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段。未知交换机配置vlan；IP地址规划访问控制（G2）应在网络边界部署访问控制设备，启用访问控制功能；仅具备简单访问控制

14、功能通过专业防火墙进行防护与过滤；可网管交换机、路由器的安全设置，例如ACL应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为网段级；应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户；应限制具有拨号访问权限的用户数量。安全审计（G2）应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录；无网络运行监控系统（网络运维监测系统一般包括该功能）；网络流量分析系统；上网行为审计系统审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。边界完整性检查（S2）应能够对内部网络中出现的内部用户未通

15、过准许私自联到外部网络的行为进行检查。对外只开放http服务非法外联监测系统入侵防范（G2）应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等；仅具有简单防火墙功能建议在网络边界部署专业IDS、IPS、UTM设备恶意代码防范（G2）应在网络边界处对恶意代码进行检测和清除；无建议网络边界部署网络防毒墙应维护恶意代码库的升级和检测系统的更新。网络设备防护（G2）应对登录网络设备的用户进行身份鉴别；未知启用交换机安全配置：Ipsec、Ssh、Https、超时会话设置、登陆终端标识限制应对网络设备的管理员登录地址进行限制；网络设

16、备用户的标识应唯一；身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换；应具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施；当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听。l 主机安全 结合信息安全技术信息安全等级保护基本要求，从主机身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范和资源控制等方面给出二级系统主机等级保护建设方案，对主机操作系统、数据库系统进行安全加固，使之满足信息安全技术信息安全等级保护基本要求中关于主机的安全防护要求。类别建设目标具体建设目标本单位系统现状建设方案主机安全身份鉴别（S2）

17、应对登录操作系统和数据库系统的用户进行身份标识和鉴别；Ca认证采用双因素认证系统；操作系统安全策略设置；数据库系统安全设置操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换；应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听；应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性。访问控制（S2）应启用访问控制功能，依据安全策略控制用户对资源的访问；未知操作系统安全设置；数据库系统安全设置；应实现操作系统和数据库系统特权用户的权限分离；应限

18、制默认帐户的访问权限，重命名系统默认帐户，修改这些帐户的默认口令；应及时删除多余的、过期的帐户，避免共享帐户的存在。安全审计（G2）审计范围应覆盖到服务器上的每个操作系统用户和数据库用户；未采用审计系统服务器运行监控系统；服务器日志采集系统；数据库审计系统；SOC（包括以上3个系统功能）审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件；审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等；应能够根据记录数据进行分析，并生成审计报表；应保护审计记录，避免受到未预期的删除、修改或覆盖等。应确保系统内的文件、目录和数据库记录等资源所在的存储空间

19、，被释放或重新分配给其他用户前得到完全清除。入侵防范（G2）操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新。无操作系统补丁检测与升级系统；恶意代码防范（G2）应安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库；未知网络版防病毒软件主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库；应支持防恶意代码的统一管理。资源控制（A2）应通过设定终端接入方式、网络地址范围等条件限制终端登录；对外只提供http服务服务器运维监测系统应根据安全策略设置登录终端的操作超时锁定；应限制单个用户对系统资源的最大或最小使用限度；l 应

20、用安全 根据等级保护前期调研结果，结合信息安全技术信息安全等级保护基本要求，针对二级系统应用安全从身份鉴别、访问控制、安全审计、通信完整性、通信保密性、软件容错性与资源控制等几个方面提出相应的整改方案，进行应用系统安全等级保护建设与改造。类别建设目标具体建设目标本单位系统现状建设方案应用安全身份鉴别（S2）应提供专用的登录控制模块对登录用户进行身份标识和鉴别；Ca认证系统应提供用户身份标识唯一和鉴别信息复杂度检查功能，保证应用系统中不存在重复用户身份标识，身份鉴别信息不易被冒用；应提供登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；应启用身份鉴别、用户身份标识唯一性检查、用

21、户身份鉴别信息复杂度检查以及登录失败处理功能，并根据安全策略配置相关参数。访问控制（S2）应提供访问控制功能，依据安全策略控制用户对文件、数据库表等客体的访问；未知可通过部署堡垒机对访问进行控制、审计访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作；应由授权主体配置访问控制策略，并严格限制默认帐户的访问权限；应授予不同帐户为完成各自承担任务所需的最小权限，并在它们之间形成相互制约的关系。安全审计（G2）应提供覆盖到每个用户的安全审计功能，对应用系统重要安全事件进行审计；未知同上，应保证无法删除、修改或覆盖审计记录；审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描

22、述和结果等。应保证系统内的文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其他用户前得到完全清除。通信完整性（S2）应采用校验码技术保证通信过程中数据的完整性。未知例如MD5消息摘要算法通信保密性（S2）在通信双方建立连接之前，应用系统应利用密码技术进行会话初始化验证；未知数字签名/身份认证；通信加密应对通信过程中的敏感信息字段进行加密。应具有在请求的情况下为数据原发者或接收者提供数据接收证据的功能。软件容错（A2）应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求；未知ü 依赖于应用系统自身容错能力在故障发生时，应用系统应能

23、够继续提供一部分功能，确保能够实施必要的措施。资源控制（A2）当应用系统的通信双方中的一方在一段时间内未作任何响应，另一方应能够自动结束会话；未知ü 依赖于应用系统自身安全设计应能够对系统的最大并发会话连接数进行限制；应能够对单个帐户的多重并发会话进行限制。l 数据安全及备份恢复 根据等级保护前期调研结果，结合信息安全技术信息安全等级保护基本要求对二级系统数据安全及备份的要求，从数据完整性、数据保密性和备份与恢复等几个方面提出相应的整改方案，进行数据安全和备份安全等级保护建设与改造。类别建设目标具体建设目标本单位系统现状建设方案数据安全及备份恢复数据完整性（S2）应能够检测到鉴别信息

24、和重要业务数据在传输过程中完整性受到破坏。未知通过协议分析或数据抓包软件进行数据完整性分析数据保密性（S2）应采用加密或其他保护措施实现鉴别信息的存储保密性。未知存储加密系统备份和恢复（A2）应能够对重要信息进行备份和恢复；未知磁带库、光盘库、存储阵列；备份与恢复软件：Symantec/EMC/CA；线路冗余、网络设备热备、服务器热备或集群应提供关键网络设备、通信线路和数据处理系统的硬件冗余，保证系统的可用性。六、 信息安全二级-管理方案按照国家有关规定，依据基本要求，参照信息系统安全管理要求等标准规范要求，开展信息系统二级等级保护安全管理制度建设工作。工作流程见下图。明确主管领导、落实责任部

25、门落实安全岗位和人员信息系统安全管理现状分析挂项目实施方案详细设计确定安全管理策略、制定安全管理制度安全自查和调整系统建设管理落实安全管理措施人员安全管理环境和资产管理设备和介质管理日常运行维护集中安全管理事件处置和应急响应灾难备份安全监测系统运维管理图：信息系统安全管理建设整改工作流程l 安全管理制度根据安全管理需求，确定安全管理目标和安全策略，针对信息系统的各类管理活动，制定人员安全管理制度、系统建设管理制度、系统运维管理制度、定期检查制度等，规范安全管理人员或操作人员的操作规程等，形成安全管理体系。具体依据基本要求中的“安全管理制度”内容，同时可以参照信息系统安全管理要求等。l 安全管理

26、机构组建本单位的信息安全管理机构，该机构应由主管本单位信息安全工作的领导、负责具体工作的网络、安全管理人员组成，责任到人，具有领导信息安全工作、制定安全策略、监督管理等职能。组建信息安全管理机构及其机构组成，人员设置,并文件化；组建的信息安全管理机构有明确的信息安全管理职能（包括物理安全管理、身份鉴别管理、访问控制管理、安全审计管理、安全教育与培训等）；组建的信息安全管理机构是自上而下，分级负责的。l 人员安全管理人员安全管理主要包括人员录用、离岗、考核、教育培训等内容。规范人员录用、离岗、过程，关键岗位签署保密协议，对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训，对关键岗位的人员

27、进行全面、严格的安全审查和技能考核。对外部人员允许访问的区域、系统、设备、信息等进行控制。具体依据基本要求中的“人员安全管理”内容，同时可以参照信息系统安全管理要求等。l 系统建设管理确定信息系统安全等级，对定级结果的合理性和正确性进行论证和审定，定级结果需经过公安部门和卫生主管部门的批准。根据安全级别，指定和授权专门的部门对信息系统的安全建设进行总体规划和详细的方案设计，组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件进行论证和审定，依据安全测评、安全评估的结果定期调整和修订。在产品采购、自行软件开发、外包软件开发、工程实施、

28、测试验收、系统交付、系统备案、安全评测、安全服务商选择等方面需满足信息安全等级保护基本要求l 系统运维管理Q 环境和资产安全管理明确环境（包括主机房、辅机房、办公环境等）安全管理的责任部门或责任人，加强对人员出入、来访人员的控制，对有关物理访问、物品进出和环境安全等方面作出规定。对重要区域设置门禁控制手段，或使用视频监控等措施。明确资产（包括介质、设备、设施、数据和信息等）安全管理的责任部门或责任人，对资产进行分类、标识，编制与信息系统相关的软件资产、硬件资产等资产清单。Q 设备和介质安全管理明确配套设施、软硬件设备管理、维护的责任部门或责任人，对信息系统的各种软硬件设备采购、发放、领用、维护

29、和维修等过程进行控制，对介质的存放、使用、维护和销毁等方面作出规定，加强对涉外维修、敏感数据销毁等过程的监督控制。Q 日常运行维护明确网络、系统日常运行维护的责任部门或责任人，对运行管理中的日常操作、账号管理、安全配置、日志管理、补丁升级、口令更新等过程进行控制和管理，制订相应的管理制度和操作规程并落实执行。Q 事件处置与应急响应结合信息系统安全保护等级，制定信息安全事件分级应急处置预案，明确应急处置策略，落实应急指挥部门、执行部门和技术支撑部门，建立应急协调机制。落实安全事件报告制度。Q 灾难备份要对关键信息系统采取灾难备份措施，防止重大事故、事件发生。识别需要定期备份的重要业务信息、系统数

30、据及软件系统等，制定数据的备份策略和恢复策略，建立备份与恢复管理相关的安全管理制度。Q 安全监测开展信息系统实时安全监测，实现对物理环境、通信线路、主机、网络设备、用户行为和业务应用等的监测和报警，及时发现设备故障、病毒入侵、黑客攻击、误用和误操作等安全事件，以便及时对安全事件进行响应与处置。七、 安全服务平台为满足等级保护基本要求，应建立和完善安全运维体系，包括：环境管理、资产管理、介质管理、设备管理、网络与系统安全管理、系统安全管理、备份与恢复、恶意代码防范、变更管理、信息安全事件管理等。华创科技安全服务平台模型如下图所示。 SSP工单和流程管理日志事件管理安全监控华创科技安全服务平台(D

31、C-SSP)由安全监控、日志事件管理和工单和流程管理三部分组成。12345677.1 安全运维服务的特点123456 满足信息系统等级保护要求客户通过部署安全服务平台(SSP)，可以针对国家信息系统等级化保护二级以上基本要求中6大类的主要控制点进行完善和增强。如下表所示，显示了能够在安全服务平台(SSP)中得以体现的等级保护的基本要求项。基本要求第一级第二级第三级第四级技术要求物理安全 物理安全监控与告警 物理安全监控与告警网络安全 拓扑管理 设备和应用监控 IP地址管理 安全审计 设备和应用监控 IP地址管理 安全审计 流量监控 地址欺骗监控 设备和应用监控 IP地址管理

32、安全审计 流量监控 地址欺骗监控 主机安全 安全审计 安全审计 资源监控 安全审计 资源监控应用安全 安全审计 安全审计 资源监控 安全审计 资源监控数据安全 信息完整性保护 信息完整性保护 信息完整性保护 信息完整性保护管理要求系统运维管理 资产管理 资产管理 设备管理 网络监控 设备配置信息监控 日志审计 告警事件存储 资产管理 物理环境监控 设备管理 网络监控 设备配置信息监控 日志审计 告警事件统计 安全管理中心 权限管理 资产管理 物理环境监控 设备管理 网络监控 设备配置信息监控 日志审计 告警事件统计 安全管理中心 权限管理 7.1.2 遵循ISO20000和ITILv3 ISO

33、20000标准明确提出了按照PDCA思想进行IT服务建设的要求。SSP作为一套IT资源统一监控的工具，为IT服务的监视、测量和评审（Check）提供了技术支撑，也为IT服务持续改进（Act）的相关活动提供了必要的数据输入。因此，如果企业和组织准备或者已经引入ISO20000标准体系，那么华创科技安全服务平台(SSP)将能够作为标准体系建设中重要的一环。根据ITILv3的IT服务生命周期理论，信息系统的周期包括了规划、设计、转换、运营、改进等阶段。同时，Forrester公司的研究表明，企业和组织76%的IT预算用在运营上面。因此，IT管理能力的提升很大程度上取决于IT运营能力的改善。而IT运营

34、能力的改善又涉及到IT运营的人、技术、流程等各个环节，其中当前最显著的问题就是运维人员处理故障的效率较为低下。而导致效率低下的关键原因不是管理、意识和个人能力，恰恰是运维人员缺少一套协助他们有效地对IT资源进行监控和管理的平台。IT资源统一监控的目标就是通过对企业和组织所有IT基础设施的集中监控，为IT部门的运维人员呈现一幅完整的业务运行视图，通过整合的IT流程，协助他们为客户提供合格的服务。对IT资源的统一监控有助于使得IT的目标与业务的目标保持一致。通过面向业务的IT资源统一监控，企业和组织能够显著提升IT运营效率，从而节约整个IT管理的成本。安全服务平台(SSP)的IT资源统一监控系统遵

35、循ISO20000和ITILv3的基本要求，为客户提供了一个技术支撑平台，实现了IT运营的可视化、可测量化，提升了IT部门的服务运营水平，直接降低客户IT运营的成本，并为IT服务设计和IT服务持续改进提供了必要的支持。7.2 安全服务平台的内容7.2.1 资产管理资产管理模块是SSP的基础模块，它实现对安全管理平台所管辖的设备和系统对象的管理。它将其所辖IP设备资产信息按其重要程度分类登记入库，并为其他安全管理模块提供信息接口。资产管理模块支持以下的资产管理功能：资产信息导入：支持Excel、txt和指定格式资产信息数据的导入功能；资产信息导出：支持Excel、txt和指定格式（包括神码、三星

36、、ISS等扫描产品可以识别的IP列表格式）；资产信息编辑：支持资产信息人工的添加、修改以及删除功能；资产信息查询：支持资产各项属性关键字组合查询功能，能够帮助用户快速定位所需要查询的资产，查询的字段包括资产编号、资产名称、序列号、资产型号、操作系统、管理员、主机名称、所属管理部门、业务系统、资产类型、资产节点、资产位置、资产IP；资产统计分析：支持以资产各项属性为索引的统计分析能力，例如系统资产分布图表、资产类型分布图表、资产赋值分布图表等等；资产树：以树图形式列出所有资产，方便用户对资产进行浏览和操作，资产树图有多种浏览形式，包括：业务资产树图，按照业务分类浏览；物理资产树图，按照资产的物理位置分类浏览；资产类型树图，按照资产的类型分类浏览等等；资产属性管理：支持根据需求对属性进行定制，例如编辑资产业务系统信息、编辑节点信息、编辑管理部门和人员信息、编辑资产类型信息、编辑操作系统信息等；安全域管理：建立资产所属的安全域信息，建立资产与安全域的关联关系。资产变更管理：资产变更