集团办公及邮件系统等级保护安全整改建设方案

XXXX集团公司办公及邮件系统信息等级保护（三级）建设方案2016年5月

目录1 总述 41.1 项目背景 41.2 设计依据 51.3 设计目标 51.4 设计范围 52 安全目标分析 62.1 系统定级情况 62.2 定级系统现状 62.3 等保三级安全要求 10 《基本要求》三级要求 12 《设计技术要求》三级要求 142.4 安全需求分析 15 合标差距分析安全需求 16 风险评估分析安全需求 213 等级保护总体设计 243.1 方案设计原则 243.2 方案设计思想 253.3 总体安全框架 27 分区分域设计 28 安全技术架构 30 安全管理架构 323.4 等级保护建设流程规范化 324 等级保护安全技术建设 344.1 物理安全 34 物理安全设计 34 物理安全设计具体措施 344.2 技术安全 35 技术安全设计 35 等级保护安全建设后网络拓扑 40 安全区域划分 40 等级保护安全技术措施 414.3 应用安全 43 应用安全设计 43 办公系统和邮件系统应开发安全功能 444.4 等级保护所需安全产品清单 445 安全管理建设 455.1 安全管理要求 455.2 信息安全管理体系设计 46 安全管理体系设计原则 46 安全管理体系设计指导思想 46 安全管理设计具体措施 465.3 信息安全管理体系设计总结 556 安全产品选型及指标 566.1 设备选型原则 566.2 安全产品列表 586.3 主要安全产品功能性能要求 59 网络接入控制系统 59 服务器操作系统安全加固软件 64 主机监控与审计系统 66

总述项目背景随着国家信息化发展战略的不断推进，信息资源已经成为代表国家综合国力的战略资源。信息资源的保护、信息化进程的健康发展是关乎国家安危、民族兴旺的大事。信息安全是保障国家主权、政治、经济、国防、社会安全和公民合法权益的重要保证。2003年中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）明确指出：“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要办公系统和邮件系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。信息安全等级保护制度是提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化设计健康发展的一项基本制度，是开展信息安全保护工作的有效办法，是信息安全保护工作的发展方向。实行信息安全等级保护制度有利于在信息化设计过程中同步设计信息安全设施，保障信息安全与信息化设计相协调；有利于为信息系统安全设计和管理提供系统性、针对性、可行性的指导和服务，有效控制信息安全设计成本；能够强化和重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要系统的安全；能够明确国家、法人和其他组织、公民的信息安全责任，加强信息安全管理。实行信息安全等级保护制度具有重大的现实意义和战略意义，是国家对重要工程项目信息系统安全保护设计提出的强制性要求。XXXX公司（以下简称为“XXXX”）的前身是中国航空技术进出口总公司。XXXX由中国航空工业集团公司控股，全国社会保障基金理事会、北京普拓瀚华投资管理中心（有限合伙）和中航建银航空产业股权投资（天津）有限公司共同持股。XXXX是中国航空工业的重要组成部分，是中国航空工业发展的先锋队，改革的试验田，是中国航空工业开拓国际市场、发展相关产业、扩大国际投资的综合平台。XXXX从自身信息化业务需求和安全需求角度出发，为了满足XXXX总部各类业务信息系统的安全稳定运行，提高对重要商业信息安全的基本防护水平，更好的实现与中航工业金航商网的对接，决定针对企业内部的办公系统和邮件系统，按照国家信息安全等级保护三级水平开展安全整改建设工作，确保信息系统安全、可靠、稳定运行和长远发展。设计依据本方案主要依据以下文件和技术标准进行编写：《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）《信息安全等级保护管理办法》（公通字[2007]43号）《计算机信息系统安全保护等级划分准则》（GB17859-1999）《信息安全技术信息系统等级保护安全设计技术要求》（GB/T25070-2010）《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2008）《信息安全技术信息系统安全等级保护实施指南》（GB/T25058-2010）设计目标通过开展等级保护安全体系设计，从“保密性、完整性、可用性”角度为XXXX办公系统和邮件系统提供安全保障，实现系统安全和信息安全，保障系统资源和信息资源的最大化安全使用，达到通过国家信息安全等级保护（三级）测评的水平，最终实现有效支撑办公系统和邮件系统安全、可靠、长远发展的总体目标。设计范围XXXX办公系统和邮件系统是本等级保护安全整改建设项目要保护的目标系统，本建设方案将以国家信息安全等级保护相关文件和技术标准为依据，将以自主知识产权和国产化信息安全装置为基础，对XXXX的办公系统和邮件系统相关的物理环境、硬件平台、软件平台以及定级系统自身，从管理和技术两个方面进行总体的规划和设计。安全目标分析系统定级情况编号系统名称安全等级系统状态1办公系统（含门户系统、OA系统端和移动端）三级拟定级2邮件系统三级拟定级定级系统现状XXXX的办公系统和邮件系统是本次开展等级保护建设的目标系统。两个系统尚未进行定级备案，拟定级为等保三级。（一）定级系统概述办公系统主要用于XXXX内部工作人员办公使用。办公系统由门户系统和OA系统两个子系统组成，OA系统又包括PC系统端和移动端两部分。办公系统可通过办公内网或互联网进行访问，系统用户总数约为1800人，XXXX总部大厦约有办公人员500人。办公系统可通过PC和智能移动终端进行访问，PC端系统为B/S架构，智能移动终端系统为C/S架构，需安装相应的APP客户端软件。邮件系统为XXXX内部工作人员提供邮件服务，系统总用户数为3023人，用户分布于国内和国外。邮件系统通过互联网访问，用户可使用Web方式或第三方邮件客户端软件进行收发操作。图：定级系统现状拓扑图（二）定级系统服务器情况办公系统共有6台服务器，均部署在北京总部机房中。这6台服务器的功用：OA数据库服务器、OA应用服务器、移动OA应用服务器、OA数据库备份服务器及门户数据库服务器、门户应用服务器（虚拟机）。OA系统的PC系统端和移动端有各自的应用服务器，后端数据库为同一个数据库。OA数据库服务器和OA应用服务器划分在Internet访问入口区的DMZ区中，移动OA应用服务器、OA数据库备份服务器、门户数据库服务器和门户应用服务器（虚拟机）均划分在内网服务器区中。OA系统的4台服务器均采用Windows操作系统，系统版本为Windows2003；门户系统服务器均采用红帽子（RHEL）Linux操作系统，系统版本为5.4。邮件系统服务器共有两台，这两台服务器采用镜像方式部署，分别安装于北京总部机房和深圳总部机房中。深圳节点为源节点，北京节点为镜像节点，两服务器之间通过一条10M电信邮件专线互联、同步。邮件服务器操作系统为红帽子Linux6.3。由于等级保护采用属地化管理，因此，本次安全保护建设将只针对邮件系统北京节点服务器，不涉及深圳节点服务器。表：定级系统服务器列表序号系统用途操作系统版本安全域1办公系统OA数据库服务器Windows2003DMZ区2办公系统OA应用服务器Windows2003DMZ区3办公系统移动OA应用服务器Windows2003内网服务器区4办公系统OA数据库备份服务器Windows2003内网服务器区5办公系统门户数据库服务器RHEL5.4内网服务器区6办公系统门户应用服务器RHEL5.4内网服务器区7邮件系统邮件服务器RHEL6.3DMZ区（三）现有安全资源（设备）表：现有安全产品列表编号设备类型和名称数量单位说明1深信服负载均衡M5400AD1台访问出口安全防护；2山石UTM-M61101台访问出口安全防护；3深信服流控系统AC-20801台访问出口安全防护；4深信服负载均衡AD-16801台访问入口安全防护；5启明星辰防火墙USG-2010D1台访问入口安全防护；6绿盟入侵防护NIPSN1000A1台访问入口安全防护；7深信服Web应用防火墙WAF1台访问入口安全防护；8创佳互联移动设备管理1套移动安全防护；9江南信安移动安全接入网关1台移动接入安全防护；10深信服SSLVPN1台移动接入安全防护；11绿盟网络安全审计SAS1000C1台网络安全及数据库审计；12绿盟BVSS安全核查1台网络安全审计；13安恒综合日志管理DAS-2001台网络安全审计；14绿盟WSMS网站检测1台网络安全审计；15绿盟运维审计SASNX3-H600C1台网络安全审计；16绿盟入侵检测NIDSN1000A1台网络安全审计；17无线AC1台无线网络控制管理；18启明星辰防火墙USG-FW-2010D1台服务器区安全防护；19启明星辰天榕电子文档安全系统500点终端数据防泄漏；20绿盟堡垒机1台安全运维管理；21华为Esigh网管系统1套网络设备运维管理（仅限华为设备）；22虚拟化移动OA500点移动办公信息防泄漏；（四）其他安全措施设备管理权限专线路由器和楼层交换机通过ACL控制，只允许管理员的IP地址登陆设备，并且创建不同级别的用户权限，超级管理员拥有所有权限，一般管理员只有访问权限不可修改；根据部门划分VLAN，不同VLAN不能互访；安全设备没有对登陆设备的源IP进行限制，创建不同级别权限的用户，网络管理员拥有最高权限，普通管理员只允许查看；内外网访问设备途径；管理员统一通过绿盟堡垒机登录设备进行网管；管理员在公司以外的地方需要管理设备的时候，首先登录公司深信服VPN设备，然后登录堡垒机对设备进行网管；每月月初根据IPS日志，汇总上月入侵防护事件，形成安全月报（专人负责）；内部用户上网，通过深信服行为管理实现上网认证，认证方式用户名加密码和短信认证；网络入口和出口各部署一台深信服链路负载均衡设备，入口联通20M，电信20M；出口联通40M，电信40M；网络入口负载均衡主要负责智能DNS和网络地址转换，有效隐藏内部服务器的IP地址；网络出口负载均衡主要负责针对内部员工上网进行地址转换和链路负载均衡；通过网络入口防火墙，允许内部用户对DMZ区资源的访问，控制粒度为用户加端口；通过内部服务器区防火墙，允许内部用户对内部服务器区资源的访问，控制粒度为用户加端口；深信服上网行为管理的外置数据中心可以记录用户6个月内的上网行为；现有网络中，Esigh网管软件只能对华为设备的运行状况产生日志，不支持第三方设备；IPS可以对端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等进行进行告警并有效阻断；IPS可以记录攻击源IP、攻击类型、攻击目的、攻击时间，在发送严重入侵事件时应提供报警；IPS和VPN有专人负责策略下发和资源控制。等保三级安全要求《计算机信息系统安全保护等级划分准则》（GB17859-1999）（以下简称为“《等级划分准则》”）中定义三级信息系统安全防护等级为安全标记保护级。安全标记保护级的计算机信息系统可信计算基具有系统审计保护级的所有功能。此外，还需提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述，具有准确地标记输出信息的能力；消除通过测试发现的任何错误。《等级划分准则》中规定，信息系统需要具备以下安全特性以保证相应的安全等级：自主访问控制计算机信息系统可信计算基定义和控制系统中命名用户对命名客体地访问。实施机制（例如：访问控制表）允许命名用户以用户和（或）用户组的身份规定并控制客体的共享；阻止非授权用户读取敏感信息。并控制访问权限扩散。自主访问控制机制根据用户指定方式或默认方式，阻止非授权用户访问客体。访问控制的粒度是单个用户。没有存取权的用户只允许由授权用户指定对客体的访问权。阻止非授权用户读取敏感信息。强制访问控制计算机信息系统可信计算基对所有主体及其所控制的客体（例如：进程、文件、段、设备）实施强制访问控制。为这些主体及客体指定敏感标记，这些标记是等级分类和非等级类别的组合，它们是实施强制访问控制的依据。计算机信息系统可信计算基支持两种或两种以上成分组成的安全级。计算机信息系统可信计算基控制的所有主体对客体的访问应满足：仅当主体安全级中的等级分类高于或等于客体安全级中的等级分类，且主体安全级中的非等级类别包含了客体安全级中的全部非等级类别，主体才能读客体；仅当主体安全级中的等级分类低于或等于客体安全级中的等级分类，且主体安全级中的非等级类别包含于客体安全级中的非等级类别，主体才能写一个客体。计算机信息系统可信计算基使用身份和鉴别数据，鉴别用户的身份，并保证用户创建的计算机信息系统可信计算基外部主体的安全级和授权受该用户的安全级和授权的控制。标记计算机信息系统可信计算基应维护与主体及其控制的存储客体（例如：进程、文件、段、设备）相关的敏感标记。这些标记是实施强制访问的基础。为了输入未加安全标记的数据，计算机信息系统可信计算基向授权用户要求并接受这些数据的安全级别，且可由计算机信息系统可信计算基审计。身份鉴别计算机信息系统可信计算基初始执行时，首先要求用户标识自己的身份，而且，计算机信息系统可信计算基维护用户身份识别数据并确定用户访问权及授权数据。计算机信息系统可信计算基使用这些数据鉴别用户身份，并使用保护机制（例如：口令）来鉴别用户的身份；阻止非授权用户访问用户身份鉴别数据。通过为用户提供唯一标识，计算机信息系统可信计算基能够使用户对自己的行为负责。计算机信息系统可信计算基还具备将身份标识与该用户所有可审计行为相关联的能力。客体重用在计算机信息系统可信计算基的空闲存储客体空间中，对客体初始指定、分配或再分配一个主体之前，撤消客体所含信息的所有授权。当主体获得对一个已被释放的客体的访问权时，当前主体不能获得原主体活动所产生的任何信息。审计计算机信息系统可信计算基能创建和维护受保护客体的访问审计跟踪记录，并能阻止非授权的用户对它访问或破坏。计算机信息系统可信计算基能记录下述事件：使用身份鉴别机制；将客体引入用户地址空间（例如：打开文件、程序初始化）；删除客体；由操作员、系统管理员或（和）系统安全管理员实施的动作，以及其他与系统安全有关的事件。对于每一事件，其审计记录包括：事件的日期和时间、用户、事件类型、事件是否成功。对于身份鉴别事件，审计记录包含请求的来源（例如：终端标识符）；对于客体引入用户地址空间的事件及客体删除事件，审计记录包含客体名及客体的安全级别。此外，计算机信息系统可信计算基具有审计更改可读输出记号的能力。对不能由计算机信息系统可信计算基独立分辨的审计事件，审计机制提供审计记录接口，可由授权主体调用。这些审计记录区别于计算机信息系统可信计算基独立分辨的审计记录。数据完整性计算机信息系统可信计算基通过自主和强制完整性策略，阻止非授权用户修改或破坏敏感信息。在网络环境中，使用完整性敏感标记来确信信息在传送中未受损。《基本要求》三级要求《信息安全技术信息系统等级保护安全设计技术要求》（GB/T25070-2010）（以下简称为“《基本要求》”）。《基本要求》中规定三级安全防护能力应能够在统一安全策略下防护系统免受来自内部操作性攻击和外部有组织的团体（如一个商业情报组织或犯罪组织等），拥有较为丰富资源（包括人员能力、计算能力等）的威胁源发起的恶意攻击、较为严重的自然灾难（灾难发生的强度较大、持续时间较长、覆盖范围较广等）以及其他相当危害程度的威胁（内部人员的恶意威胁、无意失误、较严重的技术故障等）所造成的主要资源损害并能够检测到此类威胁，并在威胁发生造成损害后，能够较快恢复绝大部分功能。《基本要求》是针对不同安全等级信息系统应该具有的基本安全保护能力提出的安全要求，基本安全要求分为基本技术要求和基本管理要求两大类。基本技术要求与信息系统提供的技术安全机制有关，主要通过在信息系统中部署软硬件并正确的配置其安全功能来实现；基本管理要求与信息系统中各种角色参与的活动有关，主要通过控制各种角色的活动，从政策、制度、规范、流程以及记录等方面做出规定来实现。基本技术要求从“物理安全、网络安全、主机安全、应用安全和数据安全”几个层面提出；基本管理要求从“安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理”几个方面提出，基本技术要求和基本管理要求是确保信息系统安全不可分割的两个部分。基本安全要求从各个层面或方面提出了系统的每个组件应该满足的安全要求，信息系统具有的整体安全保护能力通过不同组件实现基本安全要求来保证。《基本要求》安全三级对信息系统安全防护能力所提出的具体要求参看《信息系统安全等级保护基本要求》（GB/T22239-2008）第七章节。另外，在依据《基本要求》分层面采取各种安全措施时，还应考虑以下总体性要求，保证信息系统的整体安全保护能力。a)构建纵深的防御体系《基本要求》从技术和管理两个方面提出基本安全要求，在采取由点到面的各种安全措施时，在系统整体上还应保证各种安全措施的组合从外到内构成一个纵深的安全防御体系，保证信息系统整体的安全保护能力。应从通信网络、局域网络边界、局域网络内部、各种业务应用平台等各个层次落实本标准中提到的各种安全措施，形成纵深防御体系。b)采取互补的安全措施《基本要求》以安全控制组件的形式提出基本安全要求，在将各种安全控制组件集成到特定信息系统中时，应考虑各个安全控制组件的互补性，关注各个安全控制组件在层面内、层面间和功能间产生的连接、交互、依赖、协调、协同等相互关联关系，保证各个安全控制组件共同综合作用于信息系统的安全功能上，使得信息系统的整体安全保护能力得以保证。c)保证一致的安全强度《基本要求》将基本安全功能要求，如身份鉴别、访问控制、安全审计、入侵防范、安全标记等内容，分解到信息系统中的各个层面，在实现各个层面安全功能时，应保证各个层面安全功能实现强度的一致性。应防止某个层面安全功能的减弱导致系统整体安全保护能力在这个安全功能上消弱。如要实现双因子身份鉴别，则应在各个层面的身份鉴别上均实现双因子身份鉴别；要实现强制访问控制，则应保证在各个层面均基于低层操作系统实现强制访问控制，并保证标记数据在整个信息系统内部流动时标记的唯一性等。d)建立统一的支撑平台《基本要求》在较高级别信息系统的安全功能要求上，提到了使用密码技术，多数安全功能（如身份鉴别、访问控制、数据完整性、数据保密性、抗抵赖等）为了获得更高的强度，均要基于密码技术，为了保证信息系统整体安全防护能力，应建立基于密码技术的统一支撑平台，支持高强度身份鉴别、访问控制、数据完整性、数据保密性、抗抵赖等安全功能的实现。e)进行集中的安全管理《基本要求》在较高级别信息系统的安全功能管理要求上，提到了统一安全策略、统一安全管理等要求，为了保证分散于各个层面的安全功能在统一策略的指导下实现，各个安全控制组件在可控情况下发挥各自的作用，应建立安全管理中心，集中管理信息系统中的各个安全控制组件，支持统一安全管理。《设计技术要求》三级要求为贯彻和实施信息安全等级保护制度，国家出台了相关的法规、政策文件、国家标准和公共安全行业标准，这些内容为信息安全等级保护工作的开展提供了法律、政策、和技术标准依据。《信息安全技术信息系统等级保护安全设计技术要求》（GB/T25070-2010）（以下简称为“《设计技术要求》”）规范了信息系统等级保护安全设计技术要求，为等级保护安全技术方案的设计和实施提供了指导，是进行信息系统安全建设和加固工作的重要依据。《设计技术要求》对三级安全防护系统提出了总体的安全目标：通过实现基于安全策略模型和标记的强制访问控制以及增强系统的审计机制，使系统具有在统一安全策略管控下，保护敏感资源的能力。其核心安全策略为：构造非形式化的安全策略模型，对主、客体进行安全标记，表明主、客体的级别分类和非级别分类的组合，以此为基础，按照强制访问控制规则实现对主体及其客体的访问控制。“统一管理、统一策略”和“访问控制”是《设计技术要求》的核心安全思想。《设计技术要求》规定等级保护系统应按照“一个中心三重防护”体系架构进行安全技术体系规划和设计，构建“由安全管理中心进行统一管理，由安全计算环境、安全区域边界和安全通信网络三重防护环节”所组成的纵深、立体的信息安全防护体系。安全计算环境、安全区域边界、安全通信网络必须在安全管理中心的统一管控下运转，各安全环节各司其职、相互配合，共同构成定级系统的安全保护环境，确保信息的存储、处理和传输的安全，并在跨域安全管理中心的统一安全策略控制下，实现不同定级系统的安全互操作和信息安全交换。《设计技术要求》对安全计算环境、安全区域边界、安全通信网络以及安全管理中心四个部分分别提出了明确的安全要求。《设计技术要求》对安全计算环境提出了“用户身份鉴别、自主访问控制、标记和强制访问控制、系统安全审计、用户数据完整性保护、用户数据保密性保护、客体安全重用、程序可信执行保护”等安全要求；对安全区域边界提出了“区域边界访问控制、区域边界包过滤、区域边界安全审计、区域边界完整性保护”等安全要求；对安全通信网络提出了“通信网络安全审计、通信网络数据传输完整性保护、通信网络数据传输保密性保护、通信网络可信接入保护”等安全要求；要求安全管理中心需要由“系统管理分中心、安全管理分中心以及审计管理分中心”三个部分组成，即按照“三权分立，相互监督、相互制约”的架构进行设计和建设。《设计技术要求》安全三级对等级系统安全防护体系所提出的具体要求请参看《信息安全技术信息系统等级保护安全设计技术要求》（GB/T25070-2010）第七章节。安全需求分析信息安全建设是一个量体裁衣的过程，因此安全体系的规划和设计，应该以办公系统和邮件系统的信息安全现状为基础展开。为了掌握办公系统和邮件系统当前信息安全现状，特通过信息安全现状合标差距分析以及安全风险评估两种方法，对系统安全现状进行了客观、细致、详实的调研和安全需求分析。合标差距分析安全需求物理安全机房选址在建筑高层；定级系统相关的服务器等设备，并非所有设备上都有标签；标签粘贴的位置、格式、内容等不统一，标签上信息不完整；不明确办公系统、邮件系统有哪些相关的光、磁类存储介质；办公系统采用一块活动硬盘定期进行数据备份，该活动硬盘完全由系统管理员个人保管，管理不规范；机房内无防盗报警装置或系统；在机房过渡区存有大量空纸箱等易燃物，带来火灾隐患，影响通过顺畅。网络安全网络设备存在着多人共用账号进行维护管理的情况；网络设备通过用户名/口令方式进行登录身份鉴别，未采用双因子等强身份鉴别技术；缺少网络准入控制措施。主机安全操作系统均使用系统默认的管理员账户，容易被冒用；管理员账户口令复杂度未形成规范化、文档化要求；口令长时间不更换；服务器操作系统和数据库系统未为每个用户分配不同的用户名，管理人员共用管理账户，一旦出现安全问题，无法落实责任到个人；服务器本地登录只通过“用户名/口令”方式进行身份鉴别，远程登录限制了登录终端地址，但也仅通过“用户名/口令”这一种方式鉴别用户身份，未实现双因子或更强的身份鉴别要求；应依据“三权分立”原则设置管理权限体系，即设置安全管理员、系统管理员、审计管理员等，根据管理员角色赋予相应的功能权限，避免出现超级用户；无论是Windows还是Linux服务器操作系统，均使用系统默认的管理员账号进行维护管理，未重命名系统默认账户或采用自定义账户；服务器和重要终端上并未安装专门的主机审计类产品，存在着审计信息不完整、不全面的问题；操作系统的审计主要依赖操作系统自身的审计日志功能，对审计记录并无任何额外的保护措施，无法阻止被删除、修改；服务器上未部署检测和防范入侵行为的安全防护措施；服务器上未部署对重要程序完整性进行检测和恢复的安全防护措施；服务器上无对用户系统资源占用进行限制的技术措施；应用安全办公系统的用户通过用户名/口令方式登录XXXX的办公门户，未采用双因子身份认证；

邮件系统的管理员账户通过口令和动态口令双因子方式进行登录身份鉴别，普通业务用户则只通过用户名/口令方式进行身份鉴别，未采用双因子身份认证。邮件系统其实内置有绑定动态密码登录的安全功能，不过这样会对邮件系统使用的便捷性和习惯带来很大影响，因此应先对邮件系统是否需要双因子身份认证功能进行讨论确认，然后再确定是否开启该安全策略；办公系统中无任何设置敏感标记或重要程度的功能；办公系统暂无审计功能；

邮件系统有针对管理员操作行为的审计功能；普通业务用户有登录日志及收发日志，且设有备档系统，对收发的所有邮件均有留档；邮件系统提供记住用户名、记住密码的功能，存在着被他人未经认证即可登录的可能；办公系统暂无数据原发成功验证功能；办公系统暂无数据接收成功验证功能；办公系统具备防止单个账户多重登录限制功能，但未启用；办公系统无任何系统服务水平检测功能；邮件系统会检测空间容量，当小于一定数值则会只提供基本的邮件收发功能，不会再自动存档，不会进行报警；数据安全及备份恢复办公系统和邮件系统均通过SSL协议进行数据传输，可以保证数据传输的完整性，但出现完整性错误时，无恢复机制；办公系统和邮件系统均通过SSL协议进行数据的传输保存，可以检测数据的完整性，但出现完整性错误时，无恢复机制；目前办公系统中的数据，正文、附件等内容保存在系统的应用服务器中，应用服务器中的数据通过人工方式每周一次备份在移动硬盘中，备份数据只保留一次；系统数据库中的数据，通过数据库备份工具，每天一次自动进行备份，备份数据保存在数据库服务器本地，保留最近7天数据；办公系统无异地备份措施；办公系统目前已经出现不规律的系统慢等问题；安全管理制度暂未制定信息安全管理的总体方针、纲领、策略；已经编制了《信息安全管理办法》，且内容基本能够覆盖办公系统和邮件系统日常的安全管理内容，但该管理办法当前尚处于拟定状态，并未正式发布和实施；现在已经有了《应用系统事业部日常巡检管理办法》、《应用系统事业部运维管理办法》、《XXXX总部办公系统运维服务规范手册》等几个管理规范方面的文件，这个文件为运营团队内部文件，并未在公司层面正式发布；且操作规程文件覆盖不完整；已经建立了一些信息安全管理制度、规范及相关文件，但制度、规范文件覆盖不完整；制度规范文件并未形成体系化的安全管理制度体系；安全管理制度格式没有统一要求；未进行版本控制；针对管理制度文件定期进行合理性和适用性审定工作，并未规范化和制度化；无安全管理制度定期或不定期进行检查审定的机制，制度一经发布基本不会再修改，只有当适用性太差时，才会重新制定和发布新标准；安全管理机构没有明确、具体的职能部门负责信息安全管理工作；暂未设置专门的信息安全岗位；暂未有明确的信息安全岗位的工作职责说明；暂未设立指导和管理信息安全工作的委员会或领导小组；目前的日常运维工作中，有一些是与系统的安全性、可用性相关的，但这些安全运维动作并不是完全由安全管理员完成，而是由相应的管理员各自完成；而且有些关键性的安全运维动作并不在当前的日常运维工作范围内，比如服务器操作系统的补丁升级，办公系统和邮件系统服务器的补丁升级策略是关闭的，目前最新的补丁打到了2012年6月；暂无规范化、制度化的定期开展安全技术措施有效性、安全配置与安全策略一致性、安全管理制度执行情况检查、核查的要求；无信息安全方面的检查，没有相关配套的安全检查表格、报告、数据等；无安全审核和安全检查制度规范；无安全检查报告；无安全检查报告通报机制；人员安全管理目前XXXX内部只有涉密人员及涉及信息安全项目的合作厂商的现场服务人员签署保密协议；暂无针对安全技能及安全认知方面的考核及相关的制度要求；暂无对关键岗位工作人员进行全面安全审查和技能考核方面的制度要求，只是在人员入职的时候做背景调查和安全技能考核；目前暂无安全考核机制，因此也没有安全考核结果需要记录；在人员入职试用期结束时会有考核，该考核结果会由人力资源部门留存；每年XXXX保密办会开展保密方面的培训，无其他安全意识、岗位技能等方面的培训；有时会将内部管理岗位人员外送参加培训，或请相关厂商开展培训；、目前在组织内部只有针对涉密方面的安全奖惩制度和措施（《XXXX安全保密管理奖惩办法》），未涉密方面则没有任何安全责任、奖惩措施方面的规章制度或书面规定；暂无对要求定期开展安全教育和培训方面的书面规定或规章制度；暂未开展过相应的安全教育和培训，无结果可记录；暂无针对外部人访问的具体范围、系统、设备等进行明确规定的规章制度或书面文件；系统建设管理暂无明确的工程实施方面的管理制度；系统运维管理暂无办公区工作人员安全管理方面的规章制度；暂无专门针对设备维护、维修方面的管理制度或规范文件；暂无网络安全管理制度或规范文件；暂未有正式发布和执行的针对系统安全的管理制度；办公系统和邮件系统有专门的系统管理员；系统管理员未按照安全、审计、系统等方式再进行细粒度的管理角色划分，都只设有一个系统管理员；暂无定期检查日志和审计数据的行为和规范要求；办公系统和邮件系统的服务器上未安装杀毒软件；外来计算机或存储设备接入内部网络前未做病毒检查，也无相关规范要求；办公系统和邮件系统服务器上未安装杀毒软件；暂无恶意代码软件使用、规范和管理方面的管理制度或明确规定；暂无备份及恢复管理规章制度；办公系统和邮件系统并无明确的备份管理规范或制度性文件，并未对系统数据备份制定明确的备份策略和恢复策略；备份策略应包括数据备份放置的场所、文件命名规则、介质替换频率及数据传输方法等；没有书面化的数据备份和恢复过程的文件；数据备份过程并未做记录；无明确的数据恢复程序，未定期检查或测试备份介质的有效性；针对数据备份恢复，没有相应的管理制度或规范文件；未对数据恢复过程进行过实际的演练、操作；暂未针对应急预案开展过相关的培训；风险评估分析安全需求身份鉴别目前所有主机都采用操作系统账户口令方式进行身份鉴别，一旦密码丢失或出现字典攻击、暴力破解等攻击，非授权人员即可非法登录系统进行操作，从而导致主机系统被非授权登陆；发现问题如下：目前所有主机都采用操作系统账户口令方式进行身份鉴别，未采用两种或两种以上的组合鉴别技术对管理用户进行身份鉴别；存在多人共用一个账户的情况；OA系统中主机未开启密码复杂度校验，密码有效期采用系统默认设置42天。邮件系统、门户系统密码有效期为：99999天（永久有效），密码最短长度为：5个字符；所有主机均未开启账户锁定策略。OA系统中的3台主机的管理用户administrator均未重命名。访问控制未能实现主客体标记的强制访问控制，缺少对服务器重要文件、重要目录、程序、进程等资源的细粒度保护，有可能出现系统正常应用程序和系统配置遭到篡改，且不能实现对主客体标记的细粒度审计，无法及时发现内部运维用户对服务器重要数据的恶意操作、客体资源滥用、破坏数据等行为。因此对于主体人员的权限、管理方面有待完善，内部人员的日常操作有待规范等，一旦安全事件发生时，无法追溯并定位真实的操作者，这种行为往往对系统造成严重的后果；发现问题如下：OA系统中的应用服务器对OA业务目录的访问权限配置为：EveryOne完全控制，权限过于宽泛，存在业务数据被恶意篡改，恶意删除等风险；OA系统中的所有主机均开启了磁盘默认共享，存在通过网络窃取敏感数据的风险；OA系统中的所有主机均未对sethc.exe程序做权限控制，存在提权漏洞，恶意人员无需知道管理员账户密码即可获取管理员权限；OA系统中的数据备份服务器上存在多余账户、未锁定账户：aaa，test等；门户系统中的WebSphere程序包未单独设置服务账户，而采用root用户实施部署。一旦WebSphere应用程序漏洞被利用时，将会直接获取root权限；邮件系统、门户系统未针对su命令配置使用权限，任何用户仅需知道root密码即可切换root用户，权限开放过于宽泛。安全审计服务器自身的审计功能不能满足等级保护国家标准的要求，作为用户行为的追踪审计，一旦出现安全事件，无据可查，无据可依，无法追溯并定位真实的操作者；发现问题如下：所有主机均开启了操作系统自带的审计功能，但未对审计进程做防中断措施，一旦管理员密码被窃，恶意人员即可中断审计进程，造成审计遗漏现象；邮件系统、门户系统的审计日志root用户可随意更改，一旦root密码被窃，恶意人员即可中断审计进程，修改审计结果，影响审计日志的权威性；剩余信息保护未实现剩余资源保护机制，一旦恶意攻击者登录服务器操作系统，还可以还原并重复上一次用户登录的数据和操作，从而对服务器操作系统和重要数据造成破坏；发现问题如下：OA系统中所有主机均未配置“不显示上次登录用户名”，当恶意人员尝试登录系统系统时，可根据上次登录的用户名对系统进行密码暴力破解。入侵防范服务器操作系统长期没有进行补丁的修订，处于极度危险状态，外部攻击者很可能会通过操作系统自身漏洞进行攻击，甚至导致整个业务系统瘫痪。部分主机未遵循最小化安装原则，启用了无用的服务，加大系统资源消耗的同时提升了系统面临的风险。发现问题如下：OA系统中的应用服务器上安装了无用软件WPS办公软件，容易被恶意人员利用WPS的漏洞对服务器实现跳板攻击。OA系统使用windowsserver2003版本的操作系统，微软在2015年7月14日已宣布停止对该操作系统的更新支持；OA系统的数据库备份服务器自从系统安装后，未更新过任何补丁。OA系统的应用服务器、数据库服务器最新补丁更新至2012年6月8号，之后的上百个补丁未更新。门户系统应用服务器、OA系统的数据库备份服务器未开启自身的网络防火墙；门户系统应用服务器、数据库服务器未遵循最小化安装原则安装操作系统，默认开启了不必要的蓝牙服务，打印服务，增加了系统面临的风险。恶意代码防范部分服务器未使用杀毒软件或其他恶意代码防护软件，缺乏主动防护恶意代码机制，病毒和木马可以潜入或运行在操作系统，造成可信的应用程序和代码被恶意篡改；发现问题如下：除OA系统中数据库服务器外，其他所有主机均未部署杀毒软件或其他恶意代码防护软件，不具备恶意代码防范的能力。资源控制在服务器资源控制方面暂时未采用监控管理的手段，无法实时地了解设备运行状况和端口使用情况，一旦设备出现问题，无法及时发现并定位问题所在点，无法作出及时的措施避免攻击带来的损失；发现问题如下：所有主机均未采用资源监控措施；所有主机未对主机资源针对用户进行合理分配；邮箱系统、门户系统未做超时锁定操作终端的配置，无法保护用户操作环境。等级保护总体设计方案设计原则等级保护是国家信息安全设计的重要政策，其核心是对信息系统分等级、依标准进行设计、管理和监督。安全等级保护设计，应当以适度安全为核心，以重点保护为原则，从业务的角度出发，重点保护业务应用，在方案设计中应当遵循以下的原则：适度安全原则任何信息系统都不能做到绝对的安全，等级保护安全体系的设计，必须在安全需求、安全风险和安全成本之间进行平衡和折中，过低的安全保护无法满足业务系统实际的安全要求；过高的安全保护则必然导致设计成本大幅增加，系统复杂性和运维、学习成本大幅提高，整个系统环境面临的技术风险也同样大幅提高。适度安全是等级保护设计的初衷，因此在进行等级保护设计的过程中，一方面要严格遵循《基本要求》，从基础网络安全、边界安全、终端系统安全、服务端系统安全、应用安全、数据安全与备份恢复、安全管理中心等方面进行安全设计，保障系统的机密性、完整性和可用性，另外也要综合成本的角度，针对办公系统和邮件系统的实际风险，设计相应的安全保护强度，并按照保护强度进行安全防护系统的设计，从而有效控制成本。重点保护原则根据重要性程度的不同，有重点有针对性的进行安全保护，集中资源优先保护涉及核心业务或关键信息资产的组件。技术、管理并重原则信息安全问题从来就不是单纯的技术问题，把防范黑客入侵和病毒感染理解为信息安全问题的全部是片面的，仅通过部署安全产品很难完全保护办公系统和邮件系统规避所有面临的安全风险和威胁，必须技术与管理相结合，通过管理手段对非法安全行为进行威慑，保证安全技术措施的落实和执行，这样才能确保安全体系的有效性。分区分域设计原则分区分域是信息安全保护的有效措施。根据业务功能、访问行为、重要性程度以及安全需求等因素，将办公系统和邮件系统划分为不同的安全域，通过技术手段将不同的安全域进行安全隔离，对安全域之间的访问行为进行隔离控制，能够有效的提高重要信息资产的安全性。通过安全域的划分，也可以防止一些非法访问行为在整网蔓延。标准化原则办公系统和邮件系统的安全防护体系，将严格依据《基本要求》、《设计技术要求》等技术标准进行规划设计和集成设计。动态调整原则信息安全问题不是静态的，它会随着业务功能、组织策略、组织架构、办公系统及邮件系统的操作流程的改变而改变，因此必须要根据这些变化，及时调整安全防护措施。方案设计思想构建符合等级保护思想的安全支撑体系随着计算机科学技术的不断发展，计算机产品的不断增加，信息系统也变得越来越复杂。但是无论如何发展，任何一个信息系统都由计算环境、区域边界、通信网络三个层次组成。计算环境是用户的工作环境，由完成信息存储与处理的计算机系统硬件和系统软件以及外部设备及其连接部件组成，计算环境的安全是办公系统和邮件系统安全的核心，是授权和访问控制的源头；区域边界是计算环境的边界，对进入和流出计算环境的信息实施控制和保护；通信网络是计算环境之间实现信息传输功能的部分。在这三个环节，如果每一个使用者都是经过认证和授权的，其操作都是符合规定的，那么就不会产生攻击性的事故，就能保证信息安全。建立科学实用的全程访问控制机制访问控制机制是信息系统中敏感信息保护的核心，依据《等级划分准则》，三级信息系统安全保护环境的设计策略，应“提供有关安全策略模型、数据标记以及主体对客体强制访问控制”的相关要求。基于“一个中心支撑下的三重保障体系结构”的安全保护环境，构造非形式化的安全策略模型，对主、客体进行安全标记，并以此为基础，按照访问控制规则实现对所有主体及其所控制的客体的强制访问控制。由安全管理中心统一制定和下发访问控制策略，在安全计算环境、安全区域边界、安全通信网络实施统一的全程访问控制，阻止对非授权用户的访问行为以及授权用户的非授权访问行为。加强源头控制，实现基础核心层的纵深防御终端是一切不安全问题的根源，终端安全是保障办公系统和邮件系统安全的基础，如果在终端实施积极防御、综合防范，努力消除不安全问题的根源，那么重要信息就不会从终端泄露出去，病毒、木马也无法入侵终端，内部恶意用户更是无法从网内攻击办公系统和邮件系统，防范内部用户攻击的问题迎刃而解。安全操作系统是终端安全的核心和基础。如果没有安全操作系统的支撑，终端安全就毫无保障。实现基础核心层的纵深防御需要高安全等级操作系统的支撑，并以此为基础实施深层次的人、技术和操作的控制。面向应用，构建安全应用支撑平台办公系统和邮件系统是本次项目的安全保护目标，应以应用安全为核心构建整个信息安全防护体系，所有的安全措施，都应该围绕着“应用安全”这一核心目标进行规划和设计。确保应用系统安全、可靠、稳定运行，同时确保系统中流转的关键信息、敏感信息的安全。通过可信计算的基础保障机制建立可信应用环境，通过资源隔离限制特定进程对特定文件的访问权限，从而将应用服务隔离在一个受保护的环境中，不受外界的干扰，确保应用服务相关的客体资源不会被非授权用户访问。输入输出安全检查截获并分析用户和应用服务之间的交互请求，防范非法的输入和输出。总体安全框架信息系统等级保护安全体系设计工作是安全技术手段和安全管理措施的结合，以物理安全为基础，信息安全技术体系和信息安全管理体系作为整体安全支撑，达到风险评估和等级保护螺旋上升，持续改进的效果。安全体系总体架构见下图：图：安全体系总体架构图分区分域设计分区分域的目的 划分安全域采用分区分域设计，具有以下意义：区域的划分使整体网络结构的界限清晰；具有相同安全保护要求的网络和设备划分到一个安全区域中；不同的安全区域内，可方便地部署不同类型和功能的安全防护设备和产品，同时形成相辅相成的多层次立体防护体系；同一个安全区域内可方便地部署相同或相似的安全防护策略。分区分域保护做到重点明确，将有效的安全资源投入到最需要保护的部分，并且由各个不同的区域组成多层次的立体防护体系。分区分域的原则分区分域的过程遵循以下基本原则：业务保障原则：分区分域方法的根本目标是能够更好的保障网络上承载的业务，在保证安全的同时，还要保证业务的正常运行和效率；结构简化原则：分区分域方法的直接目的和效果是将信息（应用）系统整个网络变得更加简单，简单的逻辑结构便于设计防护体系。比如，分区分域并不是粒度越细越好，区域数量过多，过杂可能会导致安全管理过于复杂和困难；立体协防原则：分区分域的主要对象是信息（应用）系统对应的网络，在分区分域部署安全设备时，需综合运用身份鉴别、访问控制、安全审计等安全功能实现立体协防；生命周期原则：对于信息（应用）系统的分区分域设计，不仅要考虑静态设计，还要考虑变化因素，另外，在分区分域设计和调整过程中要考虑工程化的管理。安全区域划分根据业务功能以及安全需求的不同，将XXXX总部信息网络规划为Internet访问出口区、Internet访问入口区（含DMZ区）、移动安全接入区、核心交换及专线区域、安全管理区（审计核查区域）、内部用户区和内网服务器区等共7个安全域。详细说明如下：图：安全域划分图Internet访问出口区：由联通、电信双出口组成，提供Internet互联网访问服务；Internet访问入口区（含DMZ区）：由联通、电信双线路组成，提供Internet接入服务；本安全区内设置有DMZ区，通过启明星城防火墙进行安全隔离；DMZ区内部署了向互联网提供服务器的应用服务器，包括办公系统应用服务器、办公系统数据库服务器和邮件系统服务器等；移动安全接入区：提供移动智能设备接入服务以及远程VPN安全接入服务，另外网络DNS服务器和DHCP服务器也部署在本安全区域；核心交换及专线区域：部署了网络的核心交换设备，用于数据的高速转发；北京总部和深圳总部之间的10M电信邮件专线，通过路由器与核心交换互联；同时，用于内部Wifi热点管理的无线AC也部署在本安全区；安全管理区：本安全区主要用于部署各类信息安全产品及相关服务器，目前主要包括绿盟网络安全设计系统、绿盟安全核查系统、安恒综合日志管理系统、绿盟网站检测系统、绿盟运维审计系统、绿盟入侵防护系统等；内部用户区：业务终端的接入区域，连接方式有无线和有线两种方式；内网服务器区：用于部署业务应用的服务器，部署有统一身份认证系统，本安全区边界由一台透明模式部署的启明星辰防火墙提供安全隔离和保护。安全技术架构在分区分域的基础上，根据《设计技术要求》的指导，我们将按照“一个中心三重防护”的体系架构来设计信息安全体系。根据《设计技术要求》中的定义，信息网络平台可划分成由计算环境、区域边界和通信网络三部分组成，分别在这三部分进行安全设计，构建“三重防护”体系，同时，再设计安全管理中心对整个安全体系的所有部件进行统一管理和控制，即形成了“由安全管理中心统一管控下的安全计算环境、安全区域边界和安全通信网络”的“一个中心三重防护”的安全技术架构。安全体系架构如下图所示：图：“一个中心三重防护”安全体系架构安全管理中心实施对计算环境、区域边界和通信网络统一的安全策略管理，确保系统配置完整可信，确定用户操作权限，实施全程审计追踪。安全管理中心从安全权限上再细分为系统管理、安全管理和审计管理三个管理分中心，各管理分中心分别负责不同的安全管理权限，形成“三权分立，相互制约，相互监督”的安全管理体系，避免“超级用户”的出现。计算环境安全是安全保护的重心。计算环境安全通过对服务器、终端操作系统进行安全加固，实现对数据库系统和上层应用系统的可用性、完整性和保密性的保护，保障应用业务处理全过程的安全。通过在服务器和重要终端操作系统核心层和系统层设置以强制访问控制为主体的系统安全机制，形成严密的安全保护环境，通过对用户行为的控制，可以有效防止非授权用户访问和授权用户越权访问，保护办公系统和邮件的保密性和完整性，为系统的正常运行和免遭恶意破坏提供支撑和保障。计算环境安全是信息安全的根本，是信息安全的第一道安全屏障。区域边界对进入和流出应用环境的信息流进行安全检查和访问行为控制，确保不会有违背系统安全策略的信息流或访问行为通过边界，边界的安全保护和控制是信息安全的第二道安全屏障。通信网络设备通过对通信双方进行可信鉴别验证，建立安全通道，实施传输数据密码保护，确保其在传输过程中不会被窃听、篡改和破坏，是信息安全的第三道安全屏障。根据《设计技术要求》中计算环境、区域边界、通信网络的定义，核心交换及专线区域、内部用户区域、内网服务器区为计算环境；Internet访问出口区、Internet访问入口区、移动安全接入区为区域边界；与深圳中心、其他第三方单位、其他用户之间的专线或链路即为通信网络；安全管理区承载着主要的安全防护和管理功能，实质上即构成了整个体系的安全管理中心。物理安全是保护XXXX信息网络、定级系统的软硬件设备、设施免遭地震、水灾、火灾、雷击等自然灾害、人为破坏或操作失误，以及各种计算机犯罪行为导致破坏的技术和方法。物理安全是整个安全体系的基础，如果物理安全得不到保证，如计算机设备遭到破坏或被人非法接触，那么其他的一切安全措施就都是空中楼阁，因此，必须要把信息网络的物理安全提到一个重要的高度来进行设计。物理安全将以《基本要求》中的物理安全为目标，从环境安全、设备安全和介质安全三方方面进行设计。环境安全包括机房与设施安全、环境与人员安全、防自然灾害；设备安全包括防盗与防毁、防止电磁泄漏发射、防电磁干扰等；介质安全则包括介质的分类及防护要求、介质管理、信息的可靠消除等。安全管理架构“七分在管理，三分在技术”，只有有效的安全管理才能够保证安全措施的有效性。《基本要求》对信息安全管理提出了明确的指导和要求。以《基本要求》中管理安全要求为目标，充分结合XXXX信息安全安全管理现状，从安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等方面对安全管理体系进行设计和加强。办公系统和邮件系统的安全管理内容包括：信息安全政策、信息安全组织、信息资产分类与管理、物理和环境安全、通信和操作安全管理、存取控制、系统的开发和维护、持续运营管理等等。等级保护建设流程规范化图：等级保护建设流程图第一步、自主定级“自主定级，自主保护”是等级保护建设的根本原则。开展信息安全等级保护建设，首先要明确定级对象（被保护的对象），然后依据《信息安全技术信息系统安全保护等级定级指南》确定系统安全等级。只有确定了定级系统及安全等级，才能明确安全保护的目标、范围和强度，才能进行有针对性的安全体系设计。这样才能够保证设计出的安全体系既满足XXXX实际的安全需求，又满足等级保护技术标准要求，避免出现安全防护强度不够或过度保护的情况。第二步、定级备案定级系统的定级结果需要在公安机关进行备案才能够正式生效。备案过程中，需按照公安机关的要求提交定级报告和系统备案表等材料，经公安机关核查无明显定级失误，定级结果才能够被批准正式生效。第三步、方案设计设计方案是安全体系建设的蓝图，必须在充分了解XXXX办公系统和邮件系统的安全现状及业务特点的基础上，通过与《基本要求》进行差异化分析对比，明确安全需求，才能够进行有针对性的设计。为了确保设计方案的科学性、合理性、有效性以及可操性，同时，为了避免方案设计失误所导致的严重后果，通常，在安全设计方案设计完成后，应召开1~2次专家评审会对设计方案进行评审和把关。第四步、项目实施项目施工单位在业主单位的配合下，严格按照设计方案实施，使能够达到方案预期的效果。在建设过程中，应尽量减少对XXXX正常业务带来的影响，要确保项目实施的安全性，要按时保质的完成项目实施。第五步、等级测评待所有设计的安全内容设计完成后，首先应进行安全性自查，确保项目设计达到了设计预期、满足了技术标准要求之后，再聘请相应级别、具有资质的等级保护测评机构对项目设计情况开展等级测评。如有未达标项，则进行局部整改后再进行测评。等级测评通过后，测评机构提交完整等级测评报告。第六步、常态化检查与测评根据国家等级保护相关方面规定：三级系统每年应进行一次安全测评，四级系统应每半年进行一次安全测评。待办公系统和邮件系统通过等级测评后，系统进入常态化的安全运维状态，应定期通过安全自查、安全评估、安全测评等手段，对系统的安全状况进行检查，确保安全体系的有效性，确保安全体系满足业务发展的需要。等级保护安全技术建设物理安全物理安全设计物理安全就是要保证信息网络的重要设备、设施处于一个安全、正常的物理环境，能够确保设备正常运转；对能够直接接触办公系统和邮件系统重要设备的人员要有一套完善的管理控制手段；充分考虑自然事件可能造成的威胁并加以规避。也就是说，物理安全就是保护办公系统和邮件系统信息平台的软硬件设备、设施免遭地震、水灾、火灾、雷击等自然灾害、人为破坏或其他物理破坏行为的技术和方法。物理安全设计具体措施通过物理安全合标差异分析得知，办公系统和邮件系统服务器所在的机房当前物理安全现状不能够完全满足《基本要求》中的物理安全要求。可通过新增和优化安全措施的方法来提高物理安全防护能力。新增安全措施增加机房防盗报警系统。优化安全措施机房选址在高层，当出现火灾等灾害时，救援的人力物力难以及时、顺利到达现场，因此应通过加强安全巡检、保持紧急通道畅通等方法，降低各种物理灾害出现的可能，保证通道畅通等；

制定机房安全巡检规范，对需进行安全巡检的物理环境指标项进行明确规范，每天由安全管理员对机房的各项物理环境指标进行安全检查并记录。安全管理员在安全巡检过程中，发现任何异常数据或情况时，应及时调查详细原因并进行相应处置，及时消除隐患，保证机房物理环境安全；对机房内机柜、机架上的设备进行梳理，明确其用途；统一制定设备标签，并粘贴或安装在设备的相同位置上；标签的格式和内容要统一，应包括“设备用途、关键信息（IP地址等）、负责人姓名、负责人联系方式、需注意事项”等信息；对与办公系统和邮件系统相关联的存储介质进行梳理，明确有哪些存储介质是与办公系统和邮件系统相关，具体用途等；对这些与办公系统和邮件系统相关的存储介质进行规范化管理，粘贴标签、明确保管人、保管场地等；根据移动存储介质中保存数据的重要性程度，可部署移动存储介质管理系统对介质的访问进行授权控制，对存储介质中的数据进行加密保护；对机房环境进行整理，将机房中清理所有无必要的易燃物，对于无法清除的易燃物应规范放置位置；清理通道，保证所有的通道通畅。技术安全技术安全设计安全计算环境设计用户身份鉴别通过设置服务器、业务终端操作系统的安全策略，通过统一身份认证系统、堡垒机、主机监控与审计系统、服务器操作系统安全加固系统等安全产品，实现对登录服务器、终端、应用系统的每一个用户的强身份鉴别。强制访问控制在办公系统和邮件系统服务器部署服务器操作系统安全加固系统，实现对服务器资源的访问行为的严格控制，包括对于用户访问行为的控制和进程访问权限的控制，保护系统平台和业务数据的完整性；通过安全产品实现对服务器特定资源的强制访问控制。系统安全审计在办公系统和邮件系统服务器部署和业务终端上部署服务器操作系统安全加固系统和主机监控与审计系统，对服务器和终端上的访问行为和安全事件进行记录和审计。审计信息包括安全事件的主体、客体、时间、类型和结果等内容，能够提供审计记录查询、分类、分析和存储保护，对特定安全事件进行报警，同时服务器安全保护系统能够确保审计记录不被破坏或非授权访问。用户数据完整性保护以密码技术和机制为基础，服务器操作系统安全加固系统的完整性校验机制和防篡改机制保护服务器重要资源不会被非法修改，且在其受到破坏时能对重要数据进行恢复。服务器安全保护系统的访问控制机制保证用户重要数据不会被非法访问和篡改。用户数据机密性保护服务器安全保护系统的访控机制以及透明加解密机制将对服务器存储的敏感数据机密性实施有效保护，访问控制机制能够防止非授权用户读取敏感信息，透明加解密机制对硬盘存储的敏感数据实施加密存储保护，即使非法人员窃取硬盘设备，在没有用户合法密钥的前提下也无法解密敏感信息。剩余信息保护服务器操作系统安全加固系统对用户使用的客体资源实施针对性保护，在这些客体资源重新分配前，对其原使用者的信息进行清除，以确保信息不被泄露，实现剩余信息的安全保护。程序可执行保护服务器操作系统安全加固系统可构建从操作系统到上层应用的信任链，其中采用可信计算等技术，实现系统运行过程中可执行程序的完整性检验，阻止非授权程序的启动和执行，同时防范重要执行程序被篡改，对病毒、木马、蠕虫等恶意代码具备自免疫能力。恶意代码防范部分服务器未使用杀毒软件或其他恶意代码防护软件，缺乏主动防护恶意代码机制，病毒和木马可以潜入或运行在操作系统，造成可信的应用程序和代码被恶意篡改。通过在服务器和终端上部署防病毒软件，实现对恶意代码的防范。资源控制按照“最小化原则”对办公系统和邮件服务器的操作系统进行梳理，删除或屏蔽不必要给功能、组件、权限。数据安全及备份恢复部署数据备份系统对办公系统的数据进行备份，评估办公系统业务数据的重要性程度，设计相适应的数据备份机制和策略。安全区域边界设计区域边界访问控制防火墙在安全区域边界实施相应的访问控制策略，对进出安全区域边界的数据信息进行控制，阻止非授权访问；入侵防护系统、入侵检测系统可以对网络入侵行为进行监测、报警和阻断，对非法网络访问和入侵行为进行处置；上网行为管理系统对访问Internet互联网的行为进行审计和管理，根据策略阻断非法的访问外网行为，对所有通过公司统一外网出口访问互联网的行为进行审计记录。在服务器前部署的的防火墙从应用协议、用户权限控制和异常行为阻断等方面对网络访问行为进行控制，保证服务器的访问安全，有效防范以服务器为目标的攻击行为。移动智能设备能够访问办公系统和邮件系统，能够进行相应的业务操作。移动智能终端设备通过移动安全接入网关实现安全接入网络。区域边界包过滤防火墙、入侵防护系统、上网行为管理等安全产品，通过检查数据包的源地址、目的地址、传输层协议、请求的服务等，确定访问行为是否合法，决定是否允许该数据包或该访问进出该区域边界。区域边界安全审计防火墙、入侵防护系统、入侵检测系统、上网行为管理系统、网络接入控制系统、移动安全接入网关等安全产品，均属于网络边界产品，对出入网络的访问行为进行管理和控制。这些安全产品均具有审计功能，能够对区域边界的访问行为进行审计记录。审计记录包括安全事件的主体、客体、时间、类型和结果等内容。区域边界完整性保护通过部署主机监控与审计系统，可以实现终端非法外联行为的发现与管控。通过部署网络接入控制系统可以实现对非合规内联行为的发现和阻断。网络接入控制系统对内联行为的合规性和合法性进行判断，然后根据安全策略，采用报警、引导至安全修复区、阻断等几种方式进行处置。安全通信网络设计通信网络安全审计通过SSLVPN实现远程安全接入和访问，SSLVPN本身具有安全审计功能，能够对接入访问行为进行审计记录，包括访问行为发生的时间、是否成功、主体、客体、源地址、目标地址、类型等信息。通信网络数据传输完整性保护SSLVPN能够对网络数据传输的完整性提供保护，确保数据的完整性不被破坏。通信网络数据传输保密性保护SSLVPN能够对网络数据传输的保密性提供保护，确保数据的完整性不被破坏。通信网络可信接入保护通过网络接入控制系统、移动安全接入网关等安全产品，能够对接入设备的身份进行鉴别，并且根据接入设备的权限控制其所能访问的资源。安全管理中心设计在进行安全系统设计时，应当首先设计安全管理中心，从安全管理的高度为后续的安全设计打下基础。集中部署各种安全产品或安全措施的管理或维护中心，实现对信息安全的统一安全管理。应该从系统管理、安全管理、审计管理、事件管理、风险管理、安全工作管理等方面进行统一考虑，特别要实现集中身份管理、集中认证授权、集中操作审计。将现有安全产品的管理中心或维护中心集中部署；设置安全管理中心，由安全管理中心统一对计算环境安全支撑平台实施安全管理，实现包括主客体标记、用户授权、策略维护和更新在内的安全管理职能；设置系统管理中心，联合统一身份认证系统对整个系统的证书和密钥实施统一管理，对用户身份和软硬件资源配置实施统一控制和管理；由各安全产品管理中心或维护中心共同构成系统管理中心，实现对所有安全产品的统一配置和管理；部署审计管理平台，接收各个区域的审计日志，为审计信息的存储、分析和处理提供平台，作为管理员实施事件追踪、责任认定以及实施应急响应的依据。等级保护安全建设后网络拓扑图：等级保护安全建设后网络拓扑图安全区域划分根据业务功能以及安全需求的不同，将XXXX总部信息网络规划为Internet访问出口区、Internet访问入口区（含DMZ区）、移动安全接入区、核心交换及专线区域、安全管理区（审计核查区域）、内部用户区和内网服务器区等共7个安全域。详细说明如下：Internet访问出口区：由联通、电信双出口组成，提供Internet互联网访问服务；Internet访问入口区（含DMZ区）：由联通、电信双线路组成，提供Internet接入服务；本安全区内设置有DMZ区，通过启明星城防火墙进行安全隔离；DMZ区内部署了向互联网提供服务器的应用服务器，包括办公系统应用服务器、办公系统数据库服务器和邮件系统服务器等；移动安全接入区：提供移动智能设备接入服务以及远程VPN安全接入服务，另外网络DNS服务器和DHCP服务器也部署在本安全区域；核心交换及专线区：部署了网络的核心交换设备，用于数据的高速转发；北京总部和深圳总部之间的10M电信邮件专线，通过路由器与核心交换互联；同时，用于内部Wifi热点管理的无线AC也部署在本安全区；安全管理区：本安全区主要用于部署各类信息安全产品及相关服务器，目前主要包括绿盟网络安全设计系统、绿盟安全核查系统、安恒综合日志管理系统、绿盟网站检测系统、绿盟运维审计系统、绿盟入侵防护系统等；内部用户区：业务终端的接入区域，连接方式有无线和有线两种方式；内网服务器区：用于部署业务应用的服务器，部署有统一身份认证系统，本安全区边界由一台透明模式部署的启明星辰防火墙提供安全隔离和保护。等级保护安全技术措施XXXX集团总部计算机网络已经部署了比较完备的安全设备和安全措施，但通过将XXXX信息安全现状与《基本要求》的差异化分析，还不能够达到完全满足等级保护三级安全要求的水平，还需要在现有信息安全基础上，优化安全管理策略、规范安全管理以及添加安全产品等措施，才能够做到完全达标。新增安全措施在核心交换及专线区核心交换机上旁路部署网络接入控制系统X2（采用双机热备方式部署，提供可用性），对非法内联行为进行控制和管理；在办公系统和邮件系统相关的服务器（Windows操作系统和Linux操作系统）上安装部署服务器操作系统安全加固软件，提高服务器操作系统登录的身份鉴别强度，实现双因子身份认证；对服务器操作系统自身的安全性进行加固，对服务器操作系统的关键配置、程序的完整性和可用性提供安全保护，对服务器性能资源进行监测和管理；对服务器操作系统进行监控与审计；在XXXX总部所有业务终端上安装部署主机监控与审计系统（含可信介质管理模块、打印安全监控与审计模块、刻录安全监控与审计模块），对业务终端操作系统进行安全加固，可以通过安全策略对终端进行安全管理，实现对终端操作行为的审计记录；可以防止非法外联行为发生；

通过可信介质管理功能模块，实现终端上移动存储介质使用的权限控制；同时能够对移动存储介质上使用或复制、存储重要文件进行加密保护和访问权限控制；

通过打印安全监控与审计模块和刻录安全监控与审计模块，对打印、刻录行为进行审批、控制、审计、备档，能够满足对打印、刻录提出的安全要求。部署电子文档集中管理系统，实现敏感、重要文件的集中加密存储、统一管理，访问权限控制等；分配专门的存储空间，部署数据备份系统对办公系统和邮件系统的数据进行实时或半实时备份；根据业务数据的重要程度、综合考虑投入成本等因素，设计相适应的数据备份系统和数据备份策略，需考虑是否需要异地备份及备份份数，考虑备份周期、拷贝留存份数、备份策略（全量或增量）等；在办公系统和邮件系统相关的服务器（Windows操作系统）以及所有内部业务终端上，安装部署统一品牌的网络版防病毒软件，防御病毒、恶意代码威胁，且能够通过管理端统一进行策略配置及病毒库升级。XXXX总部服务器、业务终端等，曾经统一安装过瑞星杀毒软件，但未对安装行为做强制化管理。建议先对瑞星杀毒软件的功能、性能、价格等方面进行评估，如果瑞星杀毒软件能够满足XXXX要求，则在办公系统和邮件系统的服务器及所有的业务终端上统一安装瑞星网络版杀毒软件；同时制定杀毒软件管理规范，对安装杀毒软件做出强制性规定，对杀毒软件的病毒库更新等策略进行规范。优化安全措施按照三权分立原则设置系统管理员角色，并根据管理员角色赋予相应的功能权限；尽量避免存在超级用户；规范管理维护账户，对于重要网络设备，一定要做到每人一账号，每个系统管理员都必须使用自己的账号维护管理设备，落实责任到每个人；为每个服务器操作系统、数据库管理员分配不同的账户，每个管理员使用自己的账户登录系统；更改办公系统和邮件系统服务器操作系统默认管理员账户或采用自定义管理员账户，避免使用系统默认账户；服务器管理员账户口令应进行规范化管理，形成专门的口令管理规章制度；口令管理制度中应对口令的复杂度和更换周期进行规定，复杂度通常应不弱于：至少8位，应包括大小写字母、数字、特殊字符组合等；对于重要网络设备，一定要通过限定登录地址、通过堡垒机等方式，提高登录身份鉴别强度；制定网络设备运维管理规范，将重要网络设备的登录限制规