企业等级保护安全建设整改方案

1、 企业等级保护安全建设整改方案目 录 TOC o 1-3 h z u HYPERLINK l _Toc27257118 第1章项目概述 PAGEREF _Toc27257118 h 7 HYPERLINK l _Toc27257119 1.1 项目目标 PAGEREF _Toc27257119 h 7 HYPERLINK l _Toc27257120 1.2 项目范围 PAGEREF _Toc27257120 h 8 HYPERLINK l _Toc27257121 1.3 整改依据 PAGEREF _Toc27257121 h 8 HYPERLINK l _Toc27257122 第 2 章

2、 安全整改原则 PAGEREF _Toc27257122 h 9 HYPERLINK l _Toc27257123 第 3 章 系统现状分析 PAGEREF _Toc27257123 h 10 HYPERLINK l _Toc27257124 3.1 系统定级情况说明 PAGEREF _Toc27257124 h 10 HYPERLINK l _Toc27257125 3.2 业务系统说明 PAGEREF _Toc27257125 h 10 HYPERLINK l _Toc27257126 3.3 安全定级情况 PAGEREF _Toc27257126 h 11 HYPERLINK l _To

3、c27257127 第 4 章 现网安全风险分析 PAGEREF _Toc27257127 h 12 HYPERLINK l _Toc27257128 4.1 网络安全风险 PAGEREF _Toc27257128 h 12 HYPERLINK l _Toc27257129 4.1.1 互联网出口未采用冗余架构 PAGEREF _Toc27257129 h 12 HYPERLINK l _Toc27257130 4.1.2 缺少安全防护功能 PAGEREF _Toc27257130 h 12 HYPERLINK l _Toc27257131 4.1.3 弱资源控制 PAGEREF _Toc27

4、257131 h 12 HYPERLINK l _Toc27257132 4.1.4 弱设备安全 PAGEREF _Toc27257132 h 12 HYPERLINK l _Toc27257133 4.1.5 弱安全审计 PAGEREF _Toc27257133 h 13 HYPERLINK l _Toc27257134 4.1.6 缺少安全管理中心 PAGEREF _Toc27257134 h 13 HYPERLINK l _Toc27257135 4.2 主机安全风险 PAGEREF _Toc27257135 h 13 HYPERLINK l _Toc27257136 4.2.1 存在高

5、风险安全漏洞 PAGEREF _Toc27257136 h 13 HYPERLINK l _Toc27257137 4.2.2 弱身份鉴别能力 PAGEREF _Toc27257137 h 13 HYPERLINK l _Toc27257138 4.2.3 弱访问控制能力 PAGEREF _Toc27257138 h 14 HYPERLINK l _Toc27257139 4.2.4 弱安全审计能力 PAGEREF _Toc27257139 h 14 HYPERLINK l _Toc27257140 4.2.5 缺少入侵防范能力 PAGEREF _Toc27257140 h 14 HYPERL

6、INK l _Toc27257141 4.2.6 缺少恶意代码防范能力 PAGEREF _Toc27257141 h 15 HYPERLINK l _Toc27257142 4.2.7 缺少资源控制能力 PAGEREF _Toc27257142 h 15 HYPERLINK l _Toc27257143 4.3 应用安全风险 PAGEREF _Toc27257143 h 15 HYPERLINK l _Toc27257144 4.3.1 存在高风险安全漏洞 PAGEREF _Toc27257144 h 15 HYPERLINK l _Toc27257145 4.3.2 弱身份鉴别能力 PAGE

7、REF _Toc27257145 h 15 HYPERLINK l _Toc27257146 4.3.3 未进行传输加密 PAGEREF _Toc27257146 h 16 HYPERLINK l _Toc27257147 4.3.4 缺少资源控制能力 PAGEREF _Toc27257147 h 16 HYPERLINK l _Toc27257148 4.4 数据安全和备份恢复风险 PAGEREF _Toc27257148 h 16 HYPERLINK l _Toc27257149 4.4.1 缺少数据完整性和数据保密性能力 PAGEREF _Toc27257149 h 16 HYPERLI

8、NK l _Toc27257150 4.5管理安全风险 PAGEREF _Toc27257150 h 17 HYPERLINK l _Toc27257151 4.5.1 缺少维护手册和用户操作规程 PAGEREF _Toc27257151 h 17 HYPERLINK l _Toc27257152 4.5.2 缺少执行记录和审批记录文件 PAGEREF _Toc27257152 h 17 HYPERLINK l _Toc27257153 4.5.3 缺少管理体系评审和修订 PAGEREF _Toc27257153 h 17 HYPERLINK l _Toc27257154 4.5.4 缺少总体

9、建设规划和详细设计方案 PAGEREF _Toc27257154 h 17 HYPERLINK l _Toc27257155 4.5.5 工程验收和交付缺少部分环节 PAGEREF _Toc27257155 h 17 HYPERLINK l _Toc27257156 4.5.6 未定期进行应急演练 PAGEREF _Toc27257156 h 18 HYPERLINK l _Toc27257157 4.5.7 未定期进行安全评估和安全加固 PAGEREF _Toc27257157 h 18 HYPERLINK l _Toc27257158 4.5.8 缺少安全管理中心 PAGEREF _Toc

10、27257158 h 18 HYPERLINK l _Toc27257159 第 5 章 安全需求分析 PAGEREF _Toc27257159 h 18 HYPERLINK l _Toc27257160 5.1 安全计算环境需求分析 PAGEREF _Toc27257160 h 18 HYPERLINK l _Toc27257161 5.2 安全区域边界需求分析 PAGEREF _Toc27257161 h 19 HYPERLINK l _Toc27257162 5.3 安全通信网络需求分析 PAGEREF _Toc27257162 h 20 HYPERLINK l _Toc27257163

11、 5.4 安全管理中心需求分析 PAGEREF _Toc27257163 h 20 HYPERLINK l _Toc27257164 第 6 章 总体安全设计 PAGEREF _Toc27257164 h 20 HYPERLINK l _Toc27257165 6.1 总体设计目标 PAGEREF _Toc27257165 h 20 HYPERLINK l _Toc27257166 6.2 总体安全体系设计 PAGEREF _Toc27257166 h 21 HYPERLINK l _Toc27257167 6.3 安全域划分说明 PAGEREF _Toc27257167 h 23 HYPER

12、LINK l _Toc27257168 第 7 章 详细方案技术设计 PAGEREF _Toc27257168 h 25 HYPERLINK l _Toc27257169 7.1 物理和环境安全保障 PAGEREF _Toc27257169 h 25 HYPERLINK l _Toc27257170 7.2 网络边界安全管控 PAGEREF _Toc27257170 h 26 HYPERLINK l _Toc27257171 7.2.1网络安全域设计 PAGEREF _Toc27257171 h 27 HYPERLINK l _Toc27257172 7.2.2 制定访问控制策略 PAGERE

13、F _Toc27257172 h 27 HYPERLINK l _Toc27257173 7.2.3 网络安全防护管理 PAGEREF _Toc27257173 h 27 HYPERLINK l _Toc27257174 7.3 终端主机安全管理 PAGEREF _Toc27257174 h 28 HYPERLINK l _Toc27257175 7.4 核心应用系统安全保护 PAGEREF _Toc27257175 h 30 HYPERLINK l _Toc27257176 7.5 数据安全建设 PAGEREF _Toc27257176 h 33 HYPERLINK l _Toc272571

14、77 第 8 章 详细方案管理设计 PAGEREF _Toc27257177 h 35 HYPERLINK l _Toc27257178 8.1 总体安全方针与安全策略 PAGEREF _Toc27257178 h 35 HYPERLINK l _Toc27257179 8.2 安全策略和管理制度 PAGEREF _Toc27257179 h 36 HYPERLINK l _Toc27257180 8.3 安全管理机构和人员 PAGEREF _Toc27257180 h 36 HYPERLINK l _Toc27257181 8.4 安全建设管理 PAGEREF _Toc27257181 h

15、37 HYPERLINK l _Toc27257182 8.5 安全运维管理 PAGEREF _Toc27257182 h 37 HYPERLINK l _Toc27257183 8.6 安全管理制度汇总 PAGEREF _Toc27257183 h 39 HYPERLINK l _Toc27257184 第 9 章 项目实施 PAGEREF _Toc27257184 h 40 HYPERLINK l _Toc27257185 9.1 项目工程组织 架构 PAGEREF _Toc27257185 h 40 HYPERLINK l _Toc27257186 9.2 项目实施管理计划 PAGERE

16、F _Toc27257186 h 45 HYPERLINK l _Toc27257187 9.2.1 总体考虑 PAGEREF _Toc27257187 h 45 HYPERLINK l _Toc27257188 9.2.2 项目启动阶段 PAGEREF _Toc27257188 h 45 HYPERLINK l _Toc27257189 9.2.3 项目实施规划阶段 PAGEREF _Toc27257189 h 47 HYPERLINK l _Toc27257190 9.2.4 项目实施阶段 PAGEREF _Toc27257190 h 48 HYPERLINK l _Toc27257191

17、 9.2.5 项目收尾阶段 PAGEREF _Toc27257191 h 51 HYPERLINK l _Toc27257192 9.2.6 项目评估验收阶段 PAGEREF _Toc27257192 h 52 HYPERLINK l _Toc27257193 9.3 工程质量管理 PAGEREF _Toc27257193 h 53 HYPERLINK l _Toc27257194 9.3.1 组建健全有效、职责明确的项目组织机构 PAGEREF _Toc27257194 h 54 HYPERLINK l _Toc27257195 9.3.2 制订详细、切实的工程技术指导书 PAGEREF _

18、Toc27257195 h 54 HYPERLINK l _Toc27257196 9.3.3 制订详细的工程进度计划 PAGEREF _Toc27257196 h 54 HYPERLINK l _Toc27257197 9.3.4 基于实施计划的严格工程进度管理 PAGEREF _Toc27257197 h 55 HYPERLINK l _Toc27257198 9.3.5 高效合理的资源调配与管理 PAGEREF _Toc27257198 h 55 HYPERLINK l _Toc27257199 9.3.6 必要的工程协调会 PAGEREF _Toc27257199 h 56 HYPER

19、LINK l _Toc27257200 9.3.7 工程和技术文档的管理 PAGEREF _Toc27257200 h 56 HYPERLINK l _Toc27257201 第 10 章 安全运维服务 PAGEREF _Toc27257201 h 56 HYPERLINK l _Toc27257202 9.1 定期安全巡检 PAGEREF _Toc27257202 h 57 HYPERLINK l _Toc27257203 9.2 定期安全检查 PAGEREF _Toc27257203 h 58 HYPERLINK l _Toc27257204 9.3 新业务上线检查 PAGEREF _To

20、c27257204 h 58 HYPERLINK l _Toc27257205 9.4 安全通告与预警 PAGEREF _Toc27257205 h 59 HYPERLINK l _Toc27257206 9.5 应急响应服务 PAGEREF _Toc27257206 h 60第1章项目概述XX公司是国内一家大型从事制造型出口贸易的大型综合企业集团，为了落实国家及集团的信息安全等级保护制度，提高信息系统的安全防护水平，细化各项信息网络安全工作措施，提升网络与信息系统工作的效率，增强信息系统的应急处置能力，确保信息系统安全稳定运行，集团参照国家等级保护标准的要求，找出系统现有安全措施的差距，为安

21、全整改建设提供依据。本方案针对 XX公司网络信息系统的安全问题，进行安全整改加固建议。1.1 项目目标本方案将通过对集团网络信息系统的安全现状进行分析工作，参照国家信息系统等级保护要求，找出信息系统与安全等级保护要求之间的差距，给出相应的整改意见，推动网络信息系统安全整改工作的进行。根据 XX公司集团信息系统目前实际情况，综合考虑信息系统现有的安全防护措施，存在的问题和薄弱环节，提供完善的安全整改方案，提高信息系统的安全防护水平，完善安全管理制度体系。资产是企业网络安全的最终评估对象。在一个全面的企业网络安全中，风险的所有重要因素都紧紧围绕着资产为中心，威胁、脆弱性以及风险都是针对资产而客观存

22、在的。威胁利用资产自身的脆弱性使得安全事件的发生成为可能，从而形成了风险。这些安全事件一旦发生，将对资产甚至是整个系统都将造成一定的影响。因此资产的评估是企业网络安全的一个重要的步骤，它被确定和估价的准确性将影响着后面所有因素的评估。本项目中资产评估的主要工作就是对信息系统企业网络安全范围内的资产进行识别，确定所有的评估对象，然后根据评估的资产在业务和应用流程中的作用为资产进行估价。根据整个资产评估报告的结果可以清晰的分析出信息系统中各主要业务的重要性比较，以及各业务中各种类别的物理资产、软件资产和数据资产的重要程度，明确各业务系统的关键资产，确定安全评估和保护的重点对象。1.2 项目范围本文

23、档适用于指导 XX公司集团网络信息系统安全整改加固建设工作。1.3 整改依据主要依据： 信息安全技术 信息系统安全等级保护基本要求（ GB/T 22239-2008 ） 信息安全技术 信息系统通用安全技术要求（ GB/T20271-2006 ） 信息安全技术 信息系统等级保护安全设计技术要求（ GB/T25070-2010 ） 信息安全技术 信息系统安全管理要求（ GB/T20269-2006 ） 信息安全技术 信息系统安全工程管理要求（ GB/T20282-2006 ） 信息安全技术 信息系统物理安全技术要求（ GB/T21052-2007 ） 信息安全技术 网络基础安全技术要求（ GB/T

24、20270-2006 ） 信息安全技术 信息系统安全等级保护体系框架（ GA/T708-2007 ） 信息安全技术 信息系统安全等级保护基本模型（ GA/T709-2007 ） 信息安全技术 信息系统安全等级保护基本配置（ GA/T710-2007 ） GBT 20984 信息安全风险评估规范 GBT 22239 信息安全技术信息系统安全等级保护基本要求 GBZ 20985 信息技术安全技术信息安全事件管理指南第 2 章 安全整改原则n 保密性原则：对安全服务的实施过程和结果将严格保密，在未经授权的情况下不会泄露给任何单位和个人，不会利用此数据进行任何侵害客户权益的行为；n 标准性原则：服务设

25、计和实施的全过程均依据国内或国际的相关标准进行；根据等级保护基本要求，进行分等级分安全域进行安全设计和安全建设。n 规范性原则：在各项安全服务工作中的过程和文档，都具有很好的规范性，可以便于项目的跟踪和控制；n 可控性原则：服务所使用的工具、方法和过程都会与集团双方认可的范围之内，服务进度遵守进度表的安排，保证双方对服务工作的可控性；n 整体性原则：服务的范围和内容整体全面，涉及的 IT 运行的各个层面，避免由于遗漏造成未来的安全隐患；n 最小影响原则：服务工作尽可能小的影响信息系统的正常运行，不会对现有业务造成显著影响。n 体系化原则 ：在体系设计、建设中，需要 充分考虑到各个层面的安全风险

26、，构建完整的立体安全防护体系。n 先进性原则 ：为满足后续不断增长的业务需求、对安全产品、安全技术都充分考虑前瞻性要求，采用先进、成熟的安全产品、技术和先进的管理方法。n 服务细致化原则 ： 在项目咨询、建设过程中将充分结合自身的专业技术经验与行业经验相结合，结合现网的实际信息系统量身定做才可以保障其信息系统安全稳定的运行。第 3 章 系统现状分析3.1 系统定级情况说明综合考虑信息系统的业务信息和系统服务类型，以及其受到破坏时可能受到侵害的客体以及受侵害的程度，已将系统等级定为等级保护第三级、根据就高不就低的原则，整体网络信息化平台按照三级进行建设。3.2 业务系统说明本次参加整改的共有 3

27、 个信息系统，分别是 OA 系统、物流查询系统、智能制造系统，其中比较重要的是物流查询系统，具体情况介绍如下：物流查询电子化管理系统（网络版）历经系统开发、模拟测试、网络、硬件设备安装部署，已经正式启动试运行工作，在试点和实施过程当中发现系统仍有不足之处，需要对系统进行深入完善和改进，其具有应用面广、用户规模大，并涉及到财政性资金的重要数据信息，以及基于公众网上部署的特性，因此系统自身和运行环境均存在一定的安全风险，在数据传输、安全加密、网络监控、防入侵等方面的必须要建立一套更有效更完善的安全保护体系和措施。3.3 安全定级情况信息系统定级是等级保护工作的首要环节，是开展信息系统安全建设整改、

28、等级测评、监督检查等后续工作的重要基础。根据信息安全等级保护管理办法，信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。具体如下：安全等级基本描述安全保护要求第一级适用于一般的IT系统，系统遭到破坏后对机构履行其职能、机构财产、人员造成较小的负面影响。参照国家标准自主进行保护。第二级适用于处理日常信息和提供一般服务的IT系统，系统遭到破坏后对机构履行其职能、机构财产、人员造成中等程度的负面影响。在主管部门的指导下，按照国家标准自主进行保护。第三级适用于处理重要

29、信息和提供重要服务的IT系统，系统遭到破坏后对机构履行其职能、机构财产、人员造成较大的负面影响，对国家安全造成一定程度的损害。在主管部门的监督下，按国家标准严格落实各项保护措施进行保护。第四级适用于涉及国家安全、社会秩序、经济建设和公共利益的重要IT系统，系统遭到破坏后对机构履行其职能、机构财产、人员造成严重的负面影响，对国家安全造成较大损害。在主管部门的强制监督和检查下，按国家标准严格落实各项措施进行保护。第五级适用于关系国家安全、社会秩序、经济建设和公共利益的核心系统，系统遭到破坏后对机构履行其职能、机构财产、人员造成极其严重的负面影响，对国家安全造成严重损害。根据安全需求，由主管部门和运

30、营单位对IT系统进行专门控制和保护。第 4 章 现网安全风险分析4.1 网络安全风险4.1.1 互联网出口未采用冗余架构通过网络架构分析，我们发现现网出口网络：互联网出口的入侵防御检测系统、下一代防火墙、上网行为管理等未采用冗余架构，存在单点故障风险。4.1.2 缺少安全防护功能通过网络架构分析和安全基线核查，我们发现现有的网络：互联网出口的下一代防火墙，入侵防御、 web 应用防护、防病毒模块授权已经过期，安全防护特征库已无法升级更新，失去安全防护功能。4.1.3 弱资源控制通过网络架构分析和安全基线核查，我们发现现网网络：链路负载、下一防火墙未设置网络的最大链接数，存在资源耗尽的风险。4.

31、1.4 弱设备安全通过网络架构分析和安全基线核查，我们发现现网网络：网络设备和安全设备存在共享账号，无法实现有效的身份鉴别，未实现双因素鉴别，存在弱口令，未周期修改密码，部分网络设备未启用登录设备失败功能和密码复杂度要求，存在口令爆破的风险；未对网络设备和安全设备可管理地址进行限制，交换机使用 telnet 进行管理存在鉴别信息被窃取的风险。4.1.5 弱安全审计通过网络架构分析和安全基线核查，我们发现现网网络：未配置专业日志审计设备，无法对审计记录进行有效的保护，无法定期日志长期保存和有效审计。4.1.6 缺少安全管理中心通过网络架构分析和安全基线核查，我们发现现网网络：缺少安全管理中心，无

32、法有效的组织相关人员定期对检测和报警的记录进行分析、评审和报告，无法对设备状态、恶意代码、补丁审计、安全审计等相关事项进行集中管理，且系统中存在主机和 web 的高危漏洞。4.2 主机安全风险4.2.1 存在高风险安全漏洞通过漏洞扫描，我们发现 OA 系统主机上存在高风险安全漏洞： OpenSSH 7.0 存在多个漏洞等，极易引发安全事件。通过这些漏洞，攻击者可以对业务系统主机进行攻击，获得主机的控制权限。同时，在拿到主机的控制权限后，攻击者还可以此为跳板，对网络中的其他主机、设备进行监听和攻击。4.2.2 弱身份鉴别能力通过安全基线核查，我们发现物流查询系统主机上：操作系统的密码策略、账户锁

33、定策略没有配置启用。数据库系统的密码策略和锁定策略没有配置启用、系统未采用两种或以上的认证方式进行身份鉴别，无法实现有效的身份鉴别。通过利用弱身份鉴别能力，攻击者可以对业务系统主机进行口令爆破，获得主机的控制权限。同时，在拿到主机的控制权限后，攻击者还可以此为跳板，对网络中的其他主机、设备进行监听和攻击。4.2.3 弱访问控制能力通过安全基线核查，我们发现系统主机上：操作系统管理使用 root 账户，数据库和主机是同一人管理，未能实现操作系统和数据库系统特权用户的权限分离；数据库系统开启 XDB 危险服务；存在数据库系统的应用账户 INVTOA3 拥有 DBA 权限。未对重要信息资源设置敏感标

34、记；未限制登录终端的操作超时锁定时间；未设定终端接入方式、网络地址范围等条件限制终端登录。通过利用弱访问控制能力，在攻击者拿到一部分系统访问权限后可实现越权。4.2.4 弱安全审计能力通过安全基线核查和网络架构分析，我们发现 OA 系统未部署专业的日志审计设备或软件，审计日志仅保存在主机本地，无法生成审计报表和自动告警。这类弱安全审计能力，会导致系统安全事件时无法有效的记录和保存日志，影响安全事件的溯源。4.2.5 缺少入侵防范能力通过安全基线核查和漏洞扫描，我们发现现网系统未能够对重要程序的完整性进行检测，数据库系统和操作系统软件和补丁未及时更新，主机扫描存在漏洞。缺少入侵防范能力，攻击者会

35、较容易利用漏洞进行入侵攻击，系统容易遭到破坏。4.2.6 缺少恶意代码防范能力通过安全基线核查，我们发现物流查询系统操作系统未安装防恶意代码软件。缺少恶意代码防范能力容易是系统受到恶意代码的侵害。4.2.7 缺少资源控制能力通过安全基线核查，我们发现 OA 系统没有限制单用户对系统资源的最大或最小使用限度；未有措施对服务器进行监视，包括监视服务器的 CPU 、硬盘、内存、网络等资源的使用情况；未能够对系统的服务水平降低到预先规定的最小值进行检测和报警。缺少资源控制能力容易导致系统资源被耗尽，容易遭受 DDoS （分布式拒绝攻击）的侵害。4.3 应用安全风险4.3.1 存在高风险安全漏洞通过漏洞

36、扫描和渗透测试，我们发现相关应用系统存在高风险安全漏洞： SQL 盲注、 URL 重定向、跨站脚本攻击等，极易引发安全事件。通过这些漏洞，攻击者可以对业务系统主机进行攻击，获得 web 应用的权限和数据，甚至获取到主机权限。4.3.2 弱身份鉴别能力通过安全基线核查，我们发现 OA 系统上：应用系统没有登录失败处理；没有用户身份鉴别信息复杂度检查；应用系统仅使用用户名加口令的单因素认证方式；系统未设置超时自动退出功能。通过利用弱身份鉴别能力，攻击者可以对业务系统进行口令爆破，获得业务系统的控制权限。同时，在拿到业务系统的控制权限后，攻击者还可以此为跳板，对网络中的其他主机、设备进行监听和攻击。

37、4.3.3 未进行传输加密通过安全基线核查，我们发现仓储系统上：应用系统未采用 hash 技术或者 HTTPS 协议，未能保证通信过程中数据的完整性与保密性、应用系统鉴别信息明文传输。通过利用未进行传输加密，攻击者可嗅探网络数据窃取到应用传输消息，甚至是用户鉴别信息、个人信息等敏感信息。4.3.4 缺少资源控制能力通过安全基线核查，我们发现 OA 系统：系统未对单个账户的多重并发会话进行限制；未能够对系统服务水平降低到预先规定的最小值进行检测和报警。缺少资源控制能力容易导致系统资源被耗尽，容易遭受 DDoS （分布式拒绝攻击）的侵害。4.4 数据安全和备份恢复风险4.4.1 缺少数据完整性和数

38、据保密性能力通过安全基线核查，我们发现三个系统：未采取有效措施对数据完整性进行检查；鉴别信息明文传输，未能保证鉴别信息的通信和存储的保密性。缺少数据完整性和数据保密性能力，容易导致数据被篡改和数据泄露的风险。4.5管理安全风险4.5.1 缺少维护手册和用户操作规程通过管理体系检查，我们发现现网的管理体系缺少网络设备、安全设备、主机系统、应用系统、数据库的维护手册和用户操作规程等。4.5.2 缺少执行记录和审批记录文件通过管理体系检查，我们发现现网管理体系缺少各项信息安全关键事项的执行记录和审批记录文件，如：备份恢复执行记录和审批记录、变更执行记录和审批记录、防恶意代码检查记录执行记录和审批记录

39、文、漏洞检查执行记录和报告、日志审计执行记录和报告、补丁升级执行记录和审批记录文、安全事件处理记录和审批记录文、培训记录和考核记录、应急演练执行记录和报告等。4.5.3 缺少管理体系评审和修订通过管理体系检查，我们发现管理体系缺少未定期对 ISMS 管理体系的合理性和适用性进行评审和修订，以及 ISMS 执行和落实情况进行检查和审核。4.5.4 缺少总体建设规划和详细设计方案通过管理体系检查，我们发现 ISMS 管理体系 未根据企业的安全需求和安全目标，统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略设计总体建设规划和详细设计方案，并形成配套文件。4.5.5 工程验收和交付缺少部

40、分环节通过对管理体系检查，我们发现 ISMS 管理体系 未在工程的测试验收缺少必要安全性测试和安全报告，在工程交付中未未进行运维手册的定制。4.5.6 未定期进行应急演练通过管理体系检查，我们发现 ISMS 管理体系 未在统一的应急预案框架下制定不同事件的应急预案，应急预案框架应包括启动应急预案的条件、应急处理流程、系统恢复流程、事后教育和培训等内容，并定期进行应急演练及事后教育和培训。4.5.7 未定期进行安全评估和安全加固通过管理体系检查，我们发现 ISMS 管理体系未定期进行恶意代码检查扫描、漏洞扫描及漏洞加固、未定期进行整体的安全评估及风险整改。4.5.8 缺少安全管理中心通过网络架构

41、分析、安全基线核查和管理体系检查，我们发现整体网络：缺少安全管理中心，无法有效的组织相关人员定期对检测和报警的记录进行分析、评审和报告，无法对设备状态、恶意代码、补丁审计、安全审计等相关事项进行集中管理，且系统中存在主机和 web 的高危漏洞。第 5 章 安全需求分析5.1 安全计算环境需求分析根据前期差距分析结果，该信息系统如果想达到等级保护三级关于安全计算环境的要求，还需要满足以下需求：主机防病毒：该信息系统缺少主机防病毒的相关安全策略，需要配置网络版主机防病毒系统，从而实现对全网主机的恶意代码防范。数据库审计：该信息系统缺少针对数据的审计设备，不能很好的满足主机安全审计的要求，需要部署专

42、业的数据库审计设备。运维堡垒主机：该信息系统无法实现管理员对网络设备和服务器进行管理时的双因素认证，需要部署堡垒机来实现。备份与恢复：该信息系统没有完善的数据备份与恢复方案，需要制定相关策略。同时，该信息系统没有实现对关键网络设备的冗余，建议部署双链路确保设备冗余。5.2 安全区域边界需求分析根据前期差距分析结果，该信息系统如果想达到等级保护三级关于安全区域边界的要求，还需要满足以下需求：边界访问控制：该信息系统无法实现对边界的访问控制，需要部署防火墙等安全设备来实现。边界入侵防范：该信息系统无法实现对边界的访问控制，需要部署防火墙等安全设备来实现。边界恶意代码过滤：该信息系统无法实现对边界的

43、访问控制，需要部署防火墙等安全设备来实现。防 web 攻击：该信息系统无法实现对边界的访问控制，需要部署防火墙等安全设备来实现。安全域边界安全审计：该信息系统无法实现对边界的访问控制，需要部署署网络安全审计等安全设备来实现。互联网出口安全审计：该信息系统无法实现对边界的访问控制，需要部署行为管理等设备来实现。5.3 安全通信网络需求分析根据前期差距分析结果，该信息系统如果想达到等级保护三级关于安全通信网络的要求，还需要满足以下需求：通信完整性和保密性：该信息系统无法实现对边界的访问控制，需要部署 SSL VPN 等安全设备来实现。流量管理：该信息系统无法实现对边界的访问控制，需要部署流量管理系

44、统等安全设备来实现。5.4 安全管理中心需求分析根据前期差距分析结果，该信息系统如果想达到等级保护三级关于安全管理中心的要求，还需要满足以下需求：统一日志平台：该信息系统无法实现对相关网络及安全设备的日志审计功能，需要部署日志审计系统来实现。统一监控平台：该信息系统无法统一展示边界的安全威胁情况，需要部署安全感知平台等来实现。统一管理平台：该信息系统无法实现对边界的访问控制，需要部署运维堡垒主机来实现。第 6 章 总体安全设计6.1 总体设计目标本次安全等级保护整改方案设计的总体目标是依据国家等级保护的有关标准和规范，结合现网信息系统的现状，对其进行重新规划和合规性整改，为其建立一个完整的安全

45、保障体系，有效保障其系统业务的正常开展，保护敏感数据信息的安全，保证信息系统的安全防护能力达到信息安全技术 信息系统安全等级保护基本要求中第三级的相关技术和管理要求。6.2 总体安全体系设计本项目提出的等级保护体系模型，必须依照国家等级保护的相关要求，利用密码、代码验证、可信接入控制等核心技术，在“一个中心三重防御”的框架下实现对信息系统的全面防护。安全管理中心安全管理中心是整个等级保护体系中对信息系统进行集中安全管理的平台，是信息系统做到可测、可控、可管理的必要手段和措施。依照信息系统等级保护安全设计技术要求中对安全管理中心的要求，一个符合基于可信计算和主动防御的等级保护体系模型的安全管理中

46、心应至少包含以下三个部分：系统管理实现对系统资源和运行的配置。控制和管理，并对系统管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行系统管理操作，并对这些操作进行审计。安全管理实现对系统中的主体、客体进行统一标记，对主体进行授权，配置一致的安全策略，确保标记、授权和安全策略的数据完整性，并对安全管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行安全管理操作，并进行审计。审计管理实现对系统各个组成部分的安全审计机制进行集中管理，包括根据安全审计策略对审计记录进行分类；提供按时间段开启和关闭相应类型的安全审计机制；对各类审计记录进行存储、管理和查询等；对审计记录应进行分析，根据分析结果

47、进行处理。此外，对安全审计员进行身份鉴别，只允许其通过特定的命令或操作界面进行安全审计操作。此外，安全管理中心应做到技术与管理并重，加强在安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等方面的管理力度，规范安全管理操作规程，建立完善的安全管理制度集。安全计算环境参照基于可信计算和主动防御的等级保护模型，安全计算环境可划分成节点和典型应用两个子系统。在解决方案中，这两个子系统都将通过终端安全保护体系的建立来实现。信息安全事故的源头主要集中在用户终端，要实现一个可信的、安全的计算环境，就必须从终端安全抓起。因此，依照等级保护在身份鉴别，访问控制（包括强制访问控制）、网络行为控

48、制（包括上网控制、违规外联的控制）、应用安全、数据安全、安全审计等方面的技术要求，可充分结合可信计算技术和主动防御技术的先进性和安全性，提出一个基于可信计算和主动防御的终端安全保护体系模型，以实现从应用层、系统层、核心层三个方面对计算环境的全面防护。安全区域边界为保护边界安全，本解决方案针对构建一个安全的区域边界提出的解决手段是在被保护的信息边界部署一个“应用访问控制系统”。该系统应可以实现以下功能：信息层的自主和强制访问控制、防范 SQL 注入攻击和跨站攻击、抗 DoS/DDoS 攻击端口扫描、数据包过滤、网络地址换、安全审计等。由于国内外在这一方面的相关技术非常成熟，因此，在本次系统整改总

49、体设计中更多的是考虑如何将防火墙、防病毒网关、网络安全审计系统、 IDS 、 IPS 等有机地结合在一起，实现协同防护和联动处理。此外，对于不同安全等级信息系统之间的互连边界，可根据依照信息流向的高低，部署防火墙或安全隔离与信息交换系统，并配置相应的安全策略以实现对信息流向的控制。安全通信网络目前，在通信网络安全方面，采用密码等核心技术实现的各类 VPN 都可以很有效的解决这类问题，达到在满足等级保护相关要求的同时，可灵活提高通信网络安全性的效果。6.3 安全域划分说明安全域的划分是网络防护的基础，事实上每一个安全边界所包含的区域都形成了一个安全域。这些区域具有不同的使命，具有不同的功能，分域

50、保护的框架为明确各个域的安全等级奠定了基础，保证了信息流在交换过程中的安全性。在本项目中，将严格按照信息系统的重要性和网络使用的逻辑特性划分安全域，将划分如下几个区域：l 互联网接入域，该区域说明如下：在网络出口需提供流量清洗设备实现对 DDOS 等异常流量的清洗，链路负载自动匹配最优线路，保障网络可用性的同时实现快速接入；需在互联网出口边界利用防火墙进行隔离和访问控制，保护内部网络，利用 IPS 从 2-7 层对攻击进行防护，实现对入侵事件的监控、阻断，保护整体网络各个安全域免受外网常见恶意攻击；需对互联网出口流量进行识别并对流量进行管控，提高带宽利用率的同时保障用户上网体验。l 办公网区域

51、，该区域说明如下：安全域内的终端上需具备防恶意代码的能力，并对接入内网的用户终端进行访问控制，明确访问权限以及可访问的网络范围。l DMZ 区，该区域说明如下：该安全域内主要承载对外提供服务的服务器等，包括门户网站前端服务器、 Web 业务服务器等。需在 DMZ 区域边界设置访问控制策略，并具备应用层攻击检测与防护能力、防篡改能力，同时也需要保证访问量较大的服务能够保持健康、稳定的运行。l 服务器区域，该区域说明如下：该安全域内主要承载内网核心业务信息系统，包含本次需过等级保护测评的 3 大信息系统，需对这些业务信息系统提供 2-7 层安全威胁识别及阻断攻击行为的能力，如 SQL 注入、 XS

52、S （跨站脚本攻击）、 CSRF （跨站请求伪造攻击）、 cookie 篡改等；需对存储业务信息系统产生的数据访问权限进行划分，并对数据的相关操作进行审计；需对敏感或重要数据进行备份。l 综合安全管理区域，该区域说明如下：该安全域对业务环境下的网络操作行为进行集中管理与细粒度审计；用于监控内网安全域之间的流量，对流量中的威胁进行实时检测并统一呈现 ；对资产及其可能存在的漏洞进行扫描。第 7 章 详细方案技术设计7.1 物理和环境安全保障“物理和环境安全保障体系”是支撑整个信息网应用系统的基石。其作为网信息安全管理体系建设的重要组成部分，必须依据信息系统安全等级保护基本要求对物理安全的有关要求，

53、并结合信息化大集中、大整合、高共享的建设实际，不断扩展和变化，以满足信息化建设对基础设施保障和设备、数据安全的需求。物理安全保障体系建设规划与应用的发展有着紧密的联系，其设计方向必须紧贴应用发展的实际需求，以机房的基础设施和安保系统的完善建立物理层面的保障和安全管控。在基础设施方面扩容机房的综合布线、电气配线、动力系统、制冷系统，使应用部署不再受到机房、功能区域的限制，消除物理空间上的限制，让系统的建设更加灵活且具有高度的可扩展性。在物理安保方面进一步加强对人员的管控，通过整合现有安保资源，形成多元化的安保防控一体化构件，达到对资产的全面管理和安全防护。供配电系统各级网络机房的供配电系统要求能

54、保证对机房内的主机、服务器、网络设备、通讯设备等的电源供应在任何情况下都不会间断，做到无单点失效和平稳可靠，这就要求两路以上的市电供应，足够后备时间供电的 N+1 冗余的 UPS 系统，还有与机房供电系统匹配的自备发电机系统。防雷接地要求机房设有四种接地形式，即计算机专用直流逻辑地、配电系统交流工作地、安全保护地、防雷保护地。消防报警及自动灭火为实现火灾自动灭火功能，应该设计火灾自动监测及报警系统，以便能自动监测火灾的发生，并且启动自动灭火系统和报警系统。门禁各级网络机房应建立实用、高效的门禁系统，门禁系统需要注意的原则是安全可靠、简单易用、分级制度、中央控制和多种识别方式的结合，形成统一授权

55、，分区管理的集中监控模式。保安监控各级网络机房的保安监控包括几个系统的监控：闭路监视系统、通道报警系统和人工监控系统，必要情况要求记录集中存储。一体化的安保系统集成机房应将门禁管理、视频监控、人员身份鉴别、人员行为管控、资产管控等多个基本安保元素进行一体化集成，遵循安全可靠、简单易维、分级授权、多种识别、全程跟踪的方式形成完善的安保防控体系。7.2 网络边界安全管控网络边界安全管控体系从网络整体结构、网络层边界管控措施、网络安全防护及监测、主机边界管理等几个方面来设计。7.2.1网络安全域设计在信息系统中，遵守相同的信息安全策略的集合（包括人员，软硬件设备）称为安全域。它的目的是对信息系统中的

56、不同安全等级区域分别进行保护，应进行安全域的划分、结构安全、边界整合以及防护策略设计。在理顺了信息系统访问控制关系的基础上，结合信息安全体系框架安全域划分部分的内容，以及信息系统本身的业务特点和安全要求，建立 XX 企业客户的安全域模型，从交换域、计算域和用户域划分安全域模型，提出具体解决方案及实施建议。7.2.2 制定访问控制策略根据信息系统网络访问关系梳理得到的相关结果，以及对于安全域划分结果进行分析，从大的方面制定各个安全级别之间的访问控制策略和安全防护措施（各种安全产品的部署），从小的方面制定同一个安全级别各个系统之间以及各个具体的安全域之间的访问控制策略。7.2.3 网络安全防护管理

57、网络访问控制是防止对网络服务的未授权访问，根据安全域划分和访问控制策略在信息网络接入边界、核心边界实施访问控制；网络入侵检测（ NIDS ）是对信息系统的安全保障和运行状况进行监视，以发现各种攻击企图、攻击行为或者攻击结果。在现网内部署网络入侵检测系统，监控所有进出服务器网段的流量，并对核心信息系统中的安全事件进行实时监控，发现和对各种攻击企图、攻击行为或者攻击结果进行告警，从而使整个信息系统的网络入侵防范更为完善；终端准入控制机制从终端层到网络层，再到应用层和边界层，提供了客户端准入、网络准入和应用准入等多种准入控制手段，确保只有通过身份验证和安全基线检查的办公终端才能接入内网并进行受控访问

58、，对非法的或存在安全隐患的办公终端进行隔离和修复，构建出完善的 “ 内网安检系统 ” ，从源头上有效减少内网安全漏洞。l 边界出口处采用防火墙技术进行严格的链路访问控制，并能承载高会话数转发和会话状态控制。l 核心计算域的访问控制通过核心交换机进行区域划分，然后通过防火墙或 ACL 机制进行对进出的数据流进行严格的访问管控，细化到 IP+ 端口细粒度的级别。l 在出口增加防火墙加网络病毒检测防护，提升网络边界的恶意代码的防护。7.3 终端主机安全管理相关的安全接入基线要求为日常管理提供必要的安全底线，避免祼机运行或带“病”运行。应用系统主机安全在其相关的章节中描述。应监控办公终端的操作系统补丁

59、、防病毒软件、软件进程、登录口令、注册表等方面的运行情况。如果办公终端没有安装规定的操作系统补丁、防病毒软件的运行状态和病毒库更新状态不符合要求、没有运行指定的软件或运行了禁止运行的软件，或者有其它的 安全基线 不能满足要求的情况，该办公终端的网络访问将被禁止。此时启动自动修复机制，或提示终端用户手工进行修复。待修复完成后，办公终端将自动得到重新访问网络的授权。l 终端安全加固通过禁用系统 Autorun( 自动播放 ) 、 禁用终端的账号和共享的匿名枚举、禁用终端的可匿名的共享、禁用 Windows 系统的“发送到”菜单选项、禁用系统安全模式的功能、禁用 Windows 远程桌面、禁用启用系

60、统自带的 DEP 功能 ( 数据执行保护 ) 、并可禁止对终端网卡属性进行修改，避免用户违规修改网卡的 IP 、 MAC 、网关地址等属性，对终端操作系统进行安全加固，防止终端用户误操作，并有效预防蠕虫病毒和木马对办公终端带来的攻击。除此之外，还提供丰富多样的自定义安全策略，可以用于对终端进行安全加固。例如可以通过检测特定文件或指定程序是否存，来检查终端是否有隐藏的木马或病毒；通过检测指定注册表项、指定注册表值或指定的注册表项和值得匹配关系是否存在，来检查终端是否存在隐藏的木马或病毒的可能，并可以通过对指定注册表项，进行保护，防止被木马或病毒恶意对其进行修改，从而达到控制终端的可能。还可以根据