XXXX集团办公及邮件系统等级保护三级安全整改建设方案

/XXXX集团公司办公及邮件系统信息等级爱护（三级）建设方案2016年5月

目录1 总述 41.1 项目背景 41.2 设计依据 51.3 设计目标 51.4 设计范围 52 平安目标分析 62.1 系统定级状况 62.2 定级系统现状 62.3 等保三级平安要求 10 《基本要求》三级要求 12 《设计技术要求》三级要求 142.4 平安需求分析 15 合标差距分析平安需求 16 风险评估分析平安需求 213 等级爱护总体设计 243.1 方案设计原则 243.2 方案设计思想 253.3 总体平安框架 27 分区分域设计 28 平安技术架构 30 平安管理架构 323.4 等级爱护建设流程规范化 324 等级爱护平安技术建设 344.1 物理平安 34 物理平安设计 34 物理平安设计具体措施 344.2 技术平安 35 技术平安设计 35 等级爱护平安建设后网络拓扑 40 平安区域划分 40 等级爱护平安技术措施 414.3 应用平安 43 应用平安设计 43 办公系统和邮件系统应开发平安功能 444.4 等级爱护所需平安产品清单 445 平安管理建设 455.1 平安管理要求 455.2 信息平安管理体系设计 46 平安管理体系设计原则 46 平安管理体系设计指导思想 46 平安管理设计具体措施 465.3 信息平安管理体系设计总结 556 平安产品选型及指标 566.1 设备选型原则 566.2 平安产品列表 586.3 主要平安产品功能性能要求 59 网络接入限制系统 59 服务器操作系统平安加固软件 64 主机监控和审计系统 66

总述项目背景随着国家信息化发展战略的不断推动，信息资源已经成为代表国家综合国力的战略资源。信息资源的爱护、信息化进程的健康发展是关乎国家安危、民族兴盛的大事。信息平安是保障国家主权、政治、经济、国防、社会平安和公民合法权益的重要保证。2003年中心办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息平安保障工作的看法》（中办发[2003]27号）明确指出：“要重点爱护基础信息网络和关系国家平安、经济命脉、社会稳定等方面的重要办公系统和邮件系统，抓紧建立信息平安等级爱护制度，制定信息平安等级爱护的管理方法和技术指南”。信息平安等级爱护制度是提高信息平安保障实力和水平，维护国家平安、社会稳定和公共利益，保障和促进信息化设计健康发展的一项基本制度，是开展信息平安爱护工作的有效方法，是信息平安爱护工作的发展方向。实行信息平安等级爱护制度有利于在信息化设计过程中同步设计信息平安设施，保障信息平安和信息化设计相协调；有利于为信息系统平安设计和管理供应系统性、针对性、可行性的指导和服务，有效限制信息平安设计成本；能够强化和重点保障基础信息网络和关系国家平安、经济命脉、社会稳定等方面的重要系统的平安；能够明确国家、法人和其他组织、公民的信息平安责任，加强信息平安管理。实行信息平安等级爱护制度具有重大的现实意义和战略意义，是国家对重要工程项目信息系统平安爱护设计提出的强制性要求。XXXX公司（以下简称为“XXXX”）的前身是中国航空技术进出口总公司。XXXX由中国航空工业集团公司控股，全国社会保障基金理事会、北京普拓瀚华投资管理中心（有限合伙）和中航建银航空产业股权投资（天津）有限公司共同持股。XXXX是中国航空工业的重要组成部分，是中国航空工业发展的先锋队，改革的试验田，是中国航空工业开拓国际市场、发展相关产业、扩大国际投资的综合平台。XXXX从自身信息化业务需求和平安需求角度动身，为了满意XXXX总部各类业务信息系统的平安稳定运行，提高对重要商业信息平安的基本防护水平，更好的实现和中航工业金航商网的对接，确定针对企业内部的办公系统和邮件系统，依据国家信息平安等级爱护三级水平开展平安整改建设工作，确保信息系统平安、牢靠、稳定运行和长远发展。设计依据本方案主要依据以下文件和技术标准进行编写：《关于信息平安等级爱护工作的实施看法》（公通字[2004]66号）《信息平安等级爱护管理方法》（公通字[2007]43号）《计算机信息系统平安爱护等级划分准则》（GB17859-1999）《信息平安技术信息系统等级爱护平安设计技术要求》（GB/T25070-2010）《信息平安技术信息系统平安等级爱护基本要求》（GB/T22239-2008）《信息平安技术信息系统平安等级爱护实施指南》（GB/T25058-2010）设计目标通过开展等级爱护平安体系设计，从“保密性、完整性、可用性”角度为XXXX办公系统和邮件系统供应平安保障，实现系统平安和信息平安，保障系统资源和信息资源的最大化平安运用，达到通过国家信息平安等级爱护（三级）测评的水平，最终实现有效支撑办公系统和邮件系统平安、牢靠、长远发展的总体目标。设计范围XXXX办公系统和邮件系统是本等级爱护平安整改建设项目要爱护的目标系统，本建设方案将以国家信息平安等级爱护相关文件和技术标准为依据，将以自主学问产权和国产化信息平安装置为基础，对XXXX的办公系统和邮件系统相关的物理环境、硬件平台、软件平台以及定级系统自身，从管理和技术两个方面进行总体的规划和设计。平安目标分析系统定级状况编号系统名称平安等级系统状态1办公系统（含门户系统、OA系统端和移动端）三级拟定级2邮件系统三级拟定级定级系统现状XXXX的办公系统和邮件系统是本次开展等级爱护建设的目标系统。两个系统尚未进行定级备案，拟定级为等保三级。（一）定级系统概述办公系统主要用于XXXX内部工作人员办公运用。办公系统由门户系统和OA系统两个子系统组成，OA系统又包括PC系统端和移动端两部分。办公系统可通过办公内网或互联网进行访问，系统用户总数约为1800人，XXXX总部大厦约有办公人员500人。办公系统可通过PC和智能移动终端进行访问，PC端系统为B/S架构，智能移动终端系统为C/S架构，需安装相应的APP客户端软件。邮件系统为XXXX内部工作人员供应邮件服务，系统总用户数为3023人，用户分布于国内和国外。邮件系统通过互联网访问，用户可运用Web方式或第三方邮件客户端软件进行收发操作。图：定级系统现状拓扑图（二）定级系统服务器状况办公系统共有6台服务器，均部署在北京总部机房中。这6台服务器的功用：OA数据库服务器、OA应用服务器、移动OA应用服务器、OA数据库备份服务器及门户数据库服务器、门户应用服务器（虚拟机）。OA系统的PC系统端和移动端有各自的应用服务器，后端数据库为同一个数据库。OA数据库服务器和OA应用服务器划分在Internet访问入口区的DMZ区中，移动OA应用服务器、OA数据库备份服务器、门户数据库服务器和门户应用服务器（虚拟机）均划分在内网服务器区中。OA系统的4台服务器均采纳Windows操作系统，系统版本为Windows2003；门户系统服务器均采纳红帽子（RHEL）Linux操作系统，系统版本为5.4。邮件系统服务器共有两台，这两台服务器采纳镜像方式部署，分别安装于北京总部机房和深圳总部机房中。深圳节点为源节点，北京节点为镜像节点，两服务器之间通过一条10M电信邮件专线互联、同步。邮件服务器操作系统为红帽子Linux6.3。由于等级爱护采纳属地化管理，因此，本次平安爱护建设将只针对邮件系统北京节点服务器，不涉及深圳节点服务器。表：定级系统服务器列表序号系统用途操作系统版本平安域1办公系统OA数据库服务器Windows2003DMZ区2办公系统OA应用服务器Windows2003DMZ区3办公系统移动OA应用服务器Windows2003内网服务器区4办公系统OA数据库备份服务器Windows2003内网服务器区5办公系统门户数据库服务器RHEL5.4内网服务器区6办公系统门户应用服务器RHEL5.4内网服务器区7邮件系统邮件服务器RHEL6.3DMZ区（三）现有平安资源（设备）表：现有平安产品列表编号设备类型和名称数量单位说明1深信服负载均衡M5400AD1台访问出口平安防护；2山石UTM-M61101台访问出口平安防护；3深信服流控系统AC-20801台访问出口平安防护；4深信服负载均衡AD-16801台访问入口平安防护；5启明星辰防火墙USG-2010D1台访问入口平安防护；6绿盟入侵防护NIPSN1000A1台访问入口平安防护；7深信服Web应用防火墙WAF1台访问入口平安防护；8创佳互联移动设备管理1套移动平安防护；9江南信安移动平安接入网关1台移动接入平安防护；10深信服SSLVPN1台移动接入平安防护；11绿盟网络平安审计SAS1000C1台网络平安及数据库审计；12绿盟BVSS平安核查1台网络平安审计；13安恒综合日志管理DAS-2001台网络平安审计；14绿盟WSMS网站检测1台网络平安审计；15绿盟运维审计SASNX3-H600C1台网络平安审计；16绿盟入侵检测NIDSN1000A1台网络平安审计；17无线AC1台无线网络限制管理；18启明星辰防火墙USG-FW-2010D1台服务器区平安防护；19启明星辰天榕电子文档平安系统500点终端数据防泄漏；20绿盟堡垒机1台平安运维管理；21华为Esigh网管系统1套网络设备运维管理（仅限华为设备）；22虚拟化移动OA500点移动办公信息防泄漏；（四）其他平安措施设备管理权限专线路由器和楼层交换机通过ACL限制，只允许管理员的IP地址登陆设备，并且创建不同级别的用户权限，超级管理员拥有全部权限，一般管理员只有访问权限不行修改；依据部门划分VLAN，不同VLAN不能互访；平安设备没有对登陆设备的源IP进行限制，创建不同级别权限的用户，网络管理员拥有最高权限，一般管理员只允许查看；内外网访问设备途径；管理员统一通过绿盟堡垒机登录设备进行网管；管理员在公司以外的地方须要管理设备的时候，首先登录公司深信服VPN设备，然后登录堡垒机对设备进行网管；每月月初依据IPS日志，汇总上月入侵防护事务，形成平安月报（专人负责）；内部用户上网，通过深信服行为管理实现上网认证，认证方式用户名加密码和短信认证；网络入口和出口各部署一台深信服链路负载均衡设备，入口联通20M，电信20M；出口联通40M，电信40M；网络入口负载均衡主要负责智能DNS和网络地址转换，有效隐藏内部服务器的IP地址；网络出口负载均衡主要负责针对内部员工上网进行地址转换和链路负载均衡；通过网络入口防火墙，允许内部用户对DMZ区资源的访问，限制粒度为用户加端口；通过内部服务器区防火墙，允许内部用户对内部服务器区资源的访问，限制粒度为用户加端口；深信服上网行为管理的外置数据中心可以记录用户6个月内的上网行为；现有网络中，Esigh网管软件只能对华为设备的运行状况产生日志，不支持第三方设备；IPS可以对端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等进行进行告警并有效阻断；IPS可以记录攻击源IP、攻击类型、攻击目的、攻击时间，在发送严峻入侵事务时应供应报警；IPS和VPN有专人负责策略下发和资源限制。等保三级平安要求《计算机信息系统平安爱护等级划分准则》（GB17859-1999）（以下简称为“《等级划分准则》”）中定义三级信息系统平安防护等级为平安标记爱护级。平安标记爱护级的计算机信息系统可信计算基具有系统审计爱护级的全部功能。此外，还需供应有关平安策略模型、数据标记以及主体对客体强制访问限制的非形式化描述，具有精确地标记输出信息的实力；消退通过测试发觉的任何错误。《等级划分准则》中规定，信息系统须要具备以下平安特性以保证相应的平安等级：自主访问限制计算机信息系统可信计算基定义和限制系统中命名用户对命名客体地访问。实施机制（例如：访问限制表）允许命名用户以用户和（或）用户组的身份规定并限制客体的共享；阻挡非授权用户读取敏感信息。并限制访问权限扩散。自主访问限制机制依据用户指定方式或默认方式，阻挡非授权用户访问客体。访问限制的粒度是单个用户。没有存取权的用户只允许由授权用户指定对客体的访问权。阻挡非授权用户读取敏感信息。强制访问限制计算机信息系统可信计算基对全部主体及其所限制的客体（例如：进程、文件、段、设备）实施强制访问限制。为这些主体及客体指定敏感标记，这些标记是等级分类和非等级类别的组合，它们是实施强制访问限制的依据。计算机信息系统可信计算基支持两种或两种以上成分组成的平安级。计算机信息系统可信计算基限制的全部主体对客体的访问应满意：仅当主体平安级中的等级分类高于或等于客体平安级中的等级分类，且主体平安级中的非等级类别包含了客体平安级中的全部非等级类别，主体才能读客体；仅当主体平安级中的等级分类低于或等于客体平安级中的等级分类，且主体平安级中的非等级类别包含于客体平安级中的非等级类别，主体才能写一个客体。计算机信息系统可信计算基运用身份和鉴别数据，鉴别用户的身份，并保证用户创建的计算机信息系统可信计算基外部主体的平安级和授权受该用户的平安级和授权的限制。标记计算机信息系统可信计算基应维护和主体及其限制的存储客体（例如：进程、文件、段、设备）相关的敏感标记。这些标记是实施强制访问的基础。为了输入未加平安标记的数据，计算机信息系统可信计算基向授权用户要求并接受这些数据的平安级别，且可由计算机信息系统可信计算基审计。身份鉴别计算机信息系统可信计算基初始执行时，首先要求用户标识自己的身份，而且，计算机信息系统可信计算基维护用户身份识别数据并确定用户访问权及授权数据。计算机信息系统可信计算基运用这些数据鉴别用户身份，并运用爱护机制（例如：口令）来鉴别用户的身份；阻挡非授权用户访问用户身份鉴别数据。通过为用户供应唯一标识，计算机信息系统可信计算基能够运用户对自己的行为负责。计算机信息系统可信计算基还具备将身份标识和该用户全部可审计行为相关联的实力。客体重用在计算机信息系统可信计算基的空闲存储客体空间中，对客体初始指定、安排或再安排一个主体之前，撤消客体所含信息的全部授权。当主体获得对一个已被释放的客体的访问权时，当前主体不能获得原主体活动所产生的任何信息。审计计算机信息系统可信计算基能创建和维护受爱护客体的访问审计跟踪记录，并能阻挡非授权的用户对它访问或破坏。计算机信息系统可信计算基能记录下述事务：运用身份鉴别机制；将客体引入用户地址空间（例如：打开文件、程序初始化）；删除客体；由操作员、系统管理员或（和）系统平安管理员实施的动作，以及其他和系统平安有关的事务。对于每一事务，其审计记录包括：事务的日期和时间、用户、事务类型、事务是否胜利。对于身份鉴别事务，审计记录包含恳求的来源（例如：终端标识符）；对于客体引入用户地址空间的事务及客体删除事务，审计记录包含客体名及客体的平安级别。此外，计算机信息系统可信计算基具有审计更改可读输出记号的实力。对不能由计算机信息系统可信计算基独立辨别的审计事务，审计机制供应审计记录接口，可由授权主体调用。这些审计记录区分于计算机信息系统可信计算基独立辨别的审计记录。数据完整性计算机信息系统可信计算基通过自主和强制完整性策略，阻挡非授权用户修改或破坏敏感信息。在网络环境中，运用完整性敏感标记来确信信息在传送中未受损。《基本要求》三级要求《信息平安技术信息系统等级爱护平安设计技术要求》（GB/T25070-2010）（以下简称为“《基本要求》”）。《基本要求》中规定三级平安防护实力应能够在统一平安策略下防护系统免受来自内部操作性攻击和外部有组织的团体（如一个商业情报组织或犯罪组织等），拥有较为丰富资源（包括人员实力、计算实力等）的威逼源发起的恶意攻击、较为严峻的自然灾难（灾难发生的强度较大、持续时间较长、覆盖范围较广等）以及其他相当危害程度的威逼（内部人员的恶意威逼、无意失误、较严峻的技术故障等）所造成的主要资源损害并能够检测到此类威逼，并在威逼发生造成损害后，能够较快复原绝大部分功能。《基本要求》是针对不同平安等级信息系统应当具有的基本平安爱护实力提出的平安要求，基本平安要求分为基本技术要求和基本管理要求两大类。基本技术要求和信息系统供应的技术平安机制有关，主要通过在信息系统中部署软硬件并正确的配置其平安功能来实现；基本管理要求和信息系统中各种角色参和的活动有关，主要通过限制各种角色的活动，从政策、制度、规范、流程以及记录等方面做出规定来实现。基本技术要求从“物理平安、网络平安、主机平安、应用平安和数据平安”几个层面提出；基本管理要求从“平安管理机构、平安管理制度、人员平安管理、系统建设管理和系统运维管理”几个方面提出，基本技术要求和基本管理要求是确保信息系统平安不行分割的两个部分。基本平安要求从各个层面或方面提出了系统的每个组件应当满意的平安要求，信息系统具有的整体平安爱护实力通过不同组件实现基本平安要求来保证。《基本要求》平安三级对信息系统平安防护实力所提出的具体要求参看《信息系统平安等级爱护基本要求》（GB/T22239-2008）第七章节。另外，在依据《基本要求》分层面实行各种平安措施时，还应考虑以下总体性要求，保证信息系统的整体平安爱护实力。a)构建纵深的防卫体系《基本要求》从技术和管理两个方面提出基本平安要求，在实行由点到面的各种平安措施时，在系统整体上还应保证各种平安措施的组合从外到内构成一个纵深的平安防卫体系，保证信息系统整体的平安爱护实力。应从通信网络、局域网络边界、局域网络内部、各种业务应用平台等各个层次落实本标准中提到的各种平安措施，形成纵深防卫体系。b)实行互补的平安措施《基本要求》以平安限制组件的形式提出基本平安要求，在将各种平安限制组件集成到特定信息系统中时，应考虑各个平安限制组件的互补性，关注各个平安限制组件在层面内、层面间和功能间产生的连接、交互、依靠、协调、协同等相互关联关系，保证各个平安限制组件共同综合作用于信息系统的平安功能上，使得信息系统的整体平安爱护实力得以保证。c)保证一样的平安强度《基本要求》将基本平安功能要求，如身份鉴别、访问限制、平安审计、入侵防范、平安标记等内容，分解到信息系统中的各个层面，在实现各个层面平安功能时，应保证各个层面平安功能实现强度的一样性。应防止某个层面平安功能的减弱导致系统整体平安爱护实力在这个平安功能上消弱。如要实现双因子身份鉴别，则应在各个层面的身份鉴别上均实现双因子身份鉴别；要实现强制访问限制，则应保证在各个层面均基于低层操作系统实现强制访问限制，并保证标记数据在整个信息系统内部流淌时标记的唯一性等。d)建立统一的支撑平台《基本要求》在较高级别信息系统的平安功能要求上，提到了运用密码技术，多数平安功能（如身份鉴别、访问限制、数据完整性、数据保密性、抗抵赖等）为了获得更高的强度，均要基于密码技术，为了保证信息系统整体平安防护实力，应建立基于密码技术的统一支撑平台，支持高强度身份鉴别、访问限制、数据完整性、数据保密性、抗抵赖等平安功能的实现。e)进行集中的平安管理《基本要求》在较高级别信息系统的平安功能管理要求上，提到了统一平安策略、统一平安管理等要求，为了保证分散于各个层面的平安功能在统一策略的指导下实现，各个平安限制组件在可控状况下发挥各自的作用，应建立平安管理中心，集中管理信息系统中的各个平安限制组件，支持统一平安管理。《设计技术要求》三级要求为贯彻和实施信息平安等级爱护制度，国家出台了相关的法规、政策文件、国家标准和公共平安行业标准，这些内容为信息平安等级爱护工作的开展供应了法律、政策、和技术标准依据。《信息平安技术信息系统等级爱护平安设计技术要求》（GB/T25070-2010）（以下简称为“《设计技术要求》”）规范了信息系统等级爱护平安设计技术要求，为等级爱护平安技术方案的设计和实施供应了指导，是进行信息系统平安建设和加固工作的重要依据。《设计技术要求》对三级平安防护系统提出了总体的平安目标：通过实现基于平安策略模型和标记的强制访问限制以及增加系统的审计机制，使系统具有在统一平安策略管控下，爱护敏感资源的实力。其核心平安策略为：构造非形式化的平安策略模型，对主、客体进行平安标记，表明主、客体的级别分类和非级别分类的组合，以此为基础，依据强制访问限制规则实现对主体及其客体的访问限制。“统一管理、统一策略”和“访问限制”是《设计技术要求》的核心平安思想。《设计技术要求》规定等级爱护系统应依据“一个中心三重防护”体系架构进行平安技术体系规划和设计，构建“由平安管理中心进行统一管理，由平安计算环境、平安区域边界和平安通信网络三重防护环节”所组成的纵深、立体的信息平安防护体系。平安计算环境、平安区域边界、平安通信网络必需在平安管理中心的统一管控下运转，各平安环节各司其职、相互协作，共同构成定级系统的平安爱护环境，确保信息的存储、处理和传输的平安，并在跨域平安管理中心的统一平安策略限制下，实现不同定级系统的平安互操作和信息平安交换。《设计技术要求》对平安计算环境、平安区域边界、平安通信网络以及平安管理中心四个部分分别提出了明确的平安要求。《设计技术要求》对平安计算环境提出了“用户身份鉴别、自主访问限制、标记和强制访问限制、系统平安审计、用户数据完整性爱护、用户数据保密性爱护、客体平安重用、程序可信执行爱护”等平安要求；对平安区域边界提出了“区域边界访问限制、区域边界包过滤、区域边界平安审计、区域边界完整性爱护”等平安要求；对平安通信网络提出了“通信网络平安审计、通信网络数据传输完整性爱护、通信网络数据传输保密性爱护、通信网络可信接入爱护”等平安要求；要求平安管理中心须要由“系统管理分中心、平安管理分中心以及审计管理分中心”三个部分组成，即依据“三权分立，相互监督、相互制约”的架构进行设计和建设。《设计技术要求》平安三级对等级系统平安防护体系所提出的具体要求请参看《信息平安技术信息系统等级爱护平安设计技术要求》（GB/T25070-2010）第七章节。平安需求分析信息平安建设是一个量体裁衣的过程，因此平安体系的规划和设计，应当以办公系统和邮件系统的信息平安现状为基础绽开。为了驾驭办公系统和邮件系统当前信息平安现状，特通过信息平安现状合标差距分析以及平安风险评估两种方法，对系统平安现状进行了客观、细致、详实的调研和平安需求分析。合标差距分析平安需求物理平安机房选址在建筑高层；定级系统相关的服务器等设备，并非全部设备上都有标签；标签粘贴的位置、格式、内容等不统一，标签上信息不完整；不明确办公系统、邮件系统有哪些相关的光、磁类存储介质；办公系统采纳一块活动硬盘定期进行数据备份，该活动硬盘完全由系统管理员个人保管，管理不规范；机房内无防盗报警装置或系统；在机房过渡区存有大量空纸箱等易燃物，带来火灾隐患，影响通过顺畅。网络平安网络设备存在着多人共用账号进行维护管理的状况；网络设备通过用户名/口令方式进行登录身份鉴别，未采纳双因子等强身份鉴别技术；缺少网络准入限制措施。主机平安操作系统均运用系统默认的管理员账户，简洁被冒用；管理员账户口令困难度未形成规范化、文档化要求；口令长时间不更换；服务器操作系统和数据库系统未为每个用户安排不同的用户名，管理人员共用管理账户，一旦出现平安问题，无法落实责任到个人；服务器本地登录只通过“用户名/口令”方式进行身份鉴别，远程登录限制了登录终端地址，但也仅通过“用户名/口令”这一种方式鉴别用户身份，未实现双因子或更强的身份鉴别要求；应依据“三权分立”原则设置管理权限体系，即设置平安管理员、系统管理员、审计管理员等，依据管理员角色给予相应的功能权限，避开出现超级用户；无论是Windows还是Linux服务器操作系统，均运用系统默认的管理员账号进行维护管理，未重命名系统默认账户或采纳自定义账户；服务器和重要终端上并未安装特地的主机审计类产品，存在着审计信息不完整、不全面的问题；操作系统的审计主要依靠操作系统自身的审计日志功能，对审计记录并无任何额外的爱护措施，无法阻挡被删除、修改；服务器上未部署检测和防范入侵行为的平安防护措施；服务器上未部署对重要程序完整性进行检测和复原的平安防护措施；服务器上无对用户系统资源占用进行限制的技术措施；应用平安办公系统的用户通过用户名/口令方式登录XXXX的办公门户，未采纳双因子身份认证；

邮件系统的管理员账户通过口令和动态口令双因子方式进行登录身份鉴别，一般业务用户则只通过用户名/口令方式进行身份鉴别，未采纳双因子身份认证。邮件系统其实内置有绑定动态密码登录的平安功能，不过这样会对邮件系统运用的便捷性和习惯带来很大影响，因此应先对邮件系统是否须要双因子身份认证功能进行探讨确认，然后再确定是否开启该平安策略；办公系统中无任何设置敏感标记或重要程度的功能；办公系统暂无审计功能；

邮件系统有针对管理员操作行为的审计功能；一般业务用户有登录日志及收发日志，且设有备档系统，对收发的全部邮件均有留档；邮件系统供应记住用户名、记住密码的功能，存在着被他人未经认证即可登录的可能；办公系统暂多数据原发胜利验证功能；办公系统暂多数据接收胜利验证功能；办公系统具备防止单个账户多重登录限制功能，但未启用；办公系统无任何系统服务水平检测功能；邮件系统会检测空间容量，当小于肯定数值则会只供应基本的邮件收发功能，不会再自动存档，不会进行报警；数据平安及备份复原办公系统和邮件系统均通过SSL协议进行数据传输，可以保证数据传输的完整性，但出现完整性错误时，无复原机制；办公系统和邮件系统均通过SSL协议进行数据的传输保存，可以检测数据的完整性，但出现完整性错误时，无复原机制；目前办公系统中的数据，正文、附件等内容保存在系统的应用服务器中，应用服务器中的数据通过人工方式每周一次备份在移动硬盘中，备份数据只保留一次；系统数据库中的数据，通过数据库备份工具，每天一次自动进行备份，备份数据保存在数据库服务器本地，保留最近7天数据；办公系统无异地备份措施；办公系统目前已经出现不规律的系统慢等问题；平安管理制度暂未制定信息平安管理的总体方针、纲领、策略；已经编制了《信息平安管理方法》，且内容基本能够覆盖办公系统和邮件系统日常的平安管理内容，但该管理方法当前尚处于拟定状态，并未正式发布和实施；现在已经有了《应用系统事业部日常巡检管理方法》、《应用系统事业部运维管理方法》、《XXXX总部办公系统运维服务规范手册》等几个管理规范方面的文件，这个文件为运营团队内部文件，并未在公司层面正式发布；且操作规程文件覆盖不完整；已经建立了一些信息平安管理制度、规范及相关文件，但制度、规范文件覆盖不完整；制度规范文件并未形成体系化的平安管理制度体系；平安管理制度格式没有统一要求；未进行版本限制；针对管理制度文件定期进行合理性和适用性审定工作，并未规范化和制度化；无平安管理制度定期或不定期进行检查审定的机制，制度一经发布基本不会再修改，只有当适用性太差时，才会重新制定和发布新标准；平安管理机构没有明确、具体的职能部门负责信息平安管理工作；暂未设置特地的信息平安岗位；暂未有明确的信息平安岗位的工作职责说明；暂未设立指导和管理信息平安工作的委员会或领导小组；目前的日常运维工作中，有一些是和系统的平安性、可用性相关的，但这些平安运维动作并不是完全由平安管理员完成，而是由相应的管理员各自完成；而且有些关键性的平安运维动作并不在当前的日常运维工作范围内，比如服务器操作系统的补丁升级，办公系统和邮件系统服务器的补丁升级策略是关闭的，目前最新的补丁打到了2012年6月；暂无规范化、制度化的定期开展平安技术措施有效性、平安配置和平安策略一样性、平安管理制度执行状况检查、核查的要求；无信息平安方面的检查，没有相关配套的平安检查表格、报告、数据等；无平安审核和平安检查制度规范；无平安检查报告；无平安检查报告通报机制；人员平安管理目前XXXX内部只有涉密人员及涉及信息平安项目的合作厂商的现场服务人员签署保密协议；暂无针对平安技能及平安认知方面的考核及相关的制度要求；暂无对关键岗位工作人员进行全面平安审查和技能考核方面的制度要求，只是在人员入职的时候做背景调查和平安技能考核；目前暂无平安考核机制，因此也没有平安考核结果须要记录；在人员入职试用期结束时会有考核，该考核结果会由人力资源部门留存；每年XXXX保密办会开展保密方面的培训，无其他平安意识、岗位技能等方面的培训；有时会将内部管理岗位人员外送参与培训，或请相关厂商开展培训；、目前在组织内部只有针对涉密方面的平安奖惩制度和措施（《XXXX平安保密管理奖惩方法》），未涉密方面则没有任何平安责任、奖惩措施方面的规章制度或书面规定；暂无对要求定期开展平安教化和培训方面的书面规定或规章制度；暂未开展过相应的平安教化和培训，无结果可记录；暂无针对外部人访问的具体范围、系统、设备等进行明确规定的规章制度或书面文件；系统建设管理暂无明确的工程实施方面的管理制度；系统运维管理暂无办公区工作人员平安管理方面的规章制度；暂无特地针对设备维护、修理方面的管理制度或规范文件；暂无网络平安管理制度或规范文件；暂未有正式发布和执行的针对系统平安的管理制度；办公系统和邮件系统有特地的系统管理员；系统管理员未依据平安、审计、系统等方式再进行细粒度的管理角色划分，都只设有一个系统管理员；暂无定期检查日志和审计数据的行为和规范要求；办公系统和邮件系统的服务器上未安装杀毒软件；外来计算机或存储设备接入内部网络前未做病毒检查，也无相关规范要求；办公系统和邮件系统服务器上未安装杀毒软件；暂无恶意代码软件运用、规范和管理方面的管理制度或明确规定；暂无备份及复原管理规章制度；办公系统和邮件系统并无明确的备份管理规范或制度性文件，并未对系统数据备份制定明确的备份策略和复原策略；备份策略应包括数据备份放置的场所、文件命名规则、介质替换频率及数据传输方法等；没有书面化的数据备份和复原过程的文件；数据备份过程并未做记录；无明确的数据复原程序，未定期检查或测试备份介质的有效性；针对数据备份复原，没有相应的管理制度或规范文件；未对数据复原过程进行过实际的演练、操作；暂未针对应急预案开展过相关的培训；风险评估分析平安需求身份鉴别目前全部主机都采纳操作系统账户口令方式进行身份鉴别，一旦密码丢失或出现字典攻击、暴力破解等攻击，非授权人员即可非法登录系统进行操作，从而导致主机系统被非授权登陆；发觉问题如下：目前全部主机都采纳操作系统账户口令方式进行身份鉴别，未采纳两种或两种以上的组合鉴别技术对管理用户进行身份鉴别；存在多人共用一个账户的状况；OA系统中主机未开启密码困难度校验，密码有效期采纳系统默认设置42天。邮件系统、门户系统密码有效期为：99999天（永久有效），密码最短长度为：5个字符；全部主机均未开启账户锁定策略。OA系统中的3台主机的管理用户administrator均未重命名。访问限制未能实现主客体标记的强制访问限制，缺少对服务器重要文件、重要书目、程序、进程等资源的细粒度爱护，有可能出现系统正常应用程序和系统配置遭到篡改，且不能实现对主客体标记的细粒度审计，无法刚好发觉内部运维用户对服务器重要数据的恶意操作、客体资源滥用、破坏数据等行为。因此对于主体人员的权限、管理方面有待完善，内部人员的日常操作有待规范等，一旦平安事务发生时，无法追溯并定位真实的操作者，这种行为往往对系统造成严峻的后果；发觉问题如下：OA系统中的应用服务器对OA业务书目的访问权限配置为：EveryOne完全限制，权限过于宽泛，存在业务数据被恶意篡改，恶意删除等风险；OA系统中的全部主机均开启了磁盘默认共享，存在通过网络窃取敏感数据的风险；OA系统中的全部主机均未对sethc.exe程序做权限限制，存在提权漏洞，恶意人员无需知道管理员账户密码即可获得管理员权限；OA系统中的数据备份服务器上存在多余账户、未锁定账户：aaa，test等；门户系统中的WebSphere程序包未单独设置服务账户，而采纳root用户实施部署。一旦WebSphere应用程序漏洞被利用时，将会干脆获得root权限；邮件系统、门户系统未针对su吩咐配置运用权限，任何用户仅需知道root密码即可切换root用户，权限开放过于宽泛。平安审计服务器自身的审计功能不能满意等级爱护国家标准的要求，作为用户行为的追踪审计，一旦出现平安事务，无据可查，无据可依，无法追溯并定位真实的操作者；发觉问题如下：全部主机均开启了操作系统自带的审计功能，但未对审计进程做防中断措施，一旦管理员密码被窃，恶意人员即可中断审计进程，造成审计遗漏现象；邮件系统、门户系统的审计日志root用户可随意更改，一旦root密码被窃，恶意人员即可中断审计进程，修改审计结果，影响审计日志的权威性；剩余信息爱护未实现剩余资源爱护机制，一旦恶意攻击者登录服务器操作系统，还可以还原并重复上一次用户登录的数据和操作，从而对服务器操作系统和重要数据造成破坏；发觉问题如下：OA系统中全部主机均未配置“不显示上次登录用户名”，当恶意人员尝试登录系统系统时，可依据上次登录的用户名对系统进行密码暴力破解。入侵防范服务器操作系统长期没有进行补丁的修订，处于极度危急状态，外部攻击者很可能会通过操作系统自身漏洞进行攻击，甚至导致整个业务系统瘫痪。部分主机未遵循最小化安装原则，启用了无用的服务，加大系统资源消耗的同时提升了系统面临的风险。发觉问题如下：OA系统中的应用服务器上安装了无用软件WPS办公软件，简洁被恶意人员利用WPS的漏洞对服务器实现跳板攻击。OA系统运用windowsserver2003版本的操作系统，微软在2015年7月14日已宣布停止对该操作系统的更新支持；OA系统的数据库备份服务器自从系统安装后，未更新过任何补丁。OA系统的应用服务器、数据库服务器最新补丁更新至2012年6月8号，之后的上百个补丁未更新。门户系统应用服务器、OA系统的数据库备份服务器未开启自身的网络防火墙；门户系统应用服务器、数据库服务器未遵循最小化安装原则安装操作系统，默认开启了不必要的蓝牙服务，打印服务，增加了系统面临的风险。恶意代码防范部分服务器未运用杀毒软件或其他恶意代码防护软件，缺乏主动防护恶意代码机制，病毒和木马可以潜入或运行在操作系统，造成可信的应用程序和代码被恶意篡改；发觉问题如下：除OA系统中数据库服务器外，其他全部主机均未部署杀毒软件或其他恶意代码防护软件，不具备恶意代码防范的实力。资源限制在服务器资源限制方面短暂未采纳监控管理的手段，无法实时地了解设备运行状况和端口运用状况，一旦设备出现问题，无法刚好发觉并定位问题所在点，无法作出刚好的措施避开攻击带来的损失；发觉问题如下：全部主机均未采纳资源监控措施；全部主机未对主机资源针对用户进行合理安排；邮箱系统、门户系统未做超时锁定操作终端的配置，无法爱护用户操作环境。等级爱护总体设计方案设计原则等级爱护是国家信息平安设计的重要政策，其核心是对信息系统分等级、依标准进行设计、管理和监督。平安等级爱护设计，应当以适度平安为核心，以重点爱护为原则，从业务的角度动身，重点爱护业务应用，在方案设计中应当遵循以下的原则：适度平安原则任何信息系统都不能做到肯定的平安，等级爱护平安体系的设计，必需在平安需求、平安风险和平安成本之间进行平衡和折中，过低的平安爱护无法满意业务系统实际的平安要求；过高的平安爱护则必定导致设计成本大幅增加，系统困难性和运维、学习成本大幅提高，整个系统环境面临的技术风险也同样大幅提高。适度平安是等级爱护设计的初衷，因此在进行等级爱护设计的过程中，一方面要严格遵循《基本要求》，从基础网络平安、边界平安、终端系统平安、服务端系统平安、应用平安、数据平安和备份复原、平安管理中心等方面进行平安设计，保障系统的机密性、完整性和可用性，另外也要综合成本的角度，针对办公系统和邮件系统的实际风险，设计相应的平安爱护强度，并依据爱护强度进行平安防护系统的设计，从而有效限制成本。重点爱护原则依据重要性程度的不同，有重点有针对性的进行平安爱护，集中资源优先爱护涉及核心业务或关键信息资产的组件。技术、管理并重原则信息平安问题从来就不是单纯的技术问题，把防范黑客入侵和病毒感染理解为信息平安问题的全部是片面的，仅通过部署平安产品很难完全爱护办公系统和邮件系统规避全部面临的平安风险和威逼，必需技术和管理相结合，通过管理手段对非法平安行为进行威慑，保证平安技术措施的落实和执行，这样才能确保平安体系的有效性。分区分域设计原则分区分域是信息平安爱护的有效措施。依据业务功能、访问行为、重要性程度以及平安需求等因素，将办公系统和邮件系统划分为不同的平安域，通过技术手段将不同的平安域进行平安隔离，对平安域之间的访问行为进行隔离限制，能够有效的提高重要信息资产的平安性。通过平安域的划分，也可以防止一些非法访问行为在整网扩散。标准化原则办公系统和邮件系统的平安防护体系，将严格依据《基本要求》、《设计技术要求》等技术标准进行规划设计和集成设计。动态调整原则信息平安问题不是静态的，它会随着业务功能、组织策略、组织架构、办公系统及邮件系统的操作流程的变更而变更，因此必须要依据这些变更，刚好调整平安防护措施。方案设计思想构建符合等级爱护思想的平安支撑体系随着计算机科学技术的不断发展，计算机产品的不断增加，信息系统也变得越来越困难。但是无论如何发展，任何一个信息系统都由计算环境、区域边界、通信网络三个层次组成。计算环境是用户的工作环境，由完成信息存储和处理的计算机系统硬件和系统软件以及外部设备及其连接部件组成，计算环境的平安是办公系统和邮件系统平安的核心，是授权和访问限制的源头；区域边界是计算环境的边界，对进入和流出计算环境的信息实施限制和爱护；通信网络是计算环境之间实现信息传输功能的部分。在这三个环节，假如每一个运用者都是经过认证和授权的，其操作都是符合规定的，那么就不会产生攻击性的事故，就能保证信息平安。建立科学好用的全程访问限制机制访问限制机制是信息系统中敏感信息爱护的核心，依据《等级划分准则》，三级信息系统平安爱护环境的设计策略，应“供应有关平安策略模型、数据标记以及主体对客体强制访问限制”的相关要求。基于“一个中心支撑下的三重保障体系结构”的平安爱护环境，构造非形式化的平安策略模型，对主、客体进行平安标记，并以此为基础，依据访问限制规则实现对全部主体及其所限制的客体的强制访问限制。由平安管理中心统一制定和下发访问限制策略，在平安计算环境、平安区域边界、平安通信网络实施统一的全程访问限制，阻挡对非授权用户的访问行为以及授权用户的非授权访问行为。加强源头限制，实现基础核心层的纵深防卫终端是一切担心全问题的根源，终端平安是保障办公系统和邮件系统平安的基础，假如在终端实施主动防卫、综合防范，努力消退担心全问题的根源，那么重要信息就不会从终端泄露出去，病毒、木马也无法入侵终端，内部恶意用户更是无法从网内攻击办公系统和邮件系统，防范内部用户攻击的问题迎刃而解。平安操作系统是终端平安的核心和基础。假如没有平安操作系统的支撑，终端平安就毫无保障。实现基础核心层的纵深防卫须要高平安等级操作系统的支撑，并以此为基础实施深层次的人、技术和操作的限制。面对应用，构建平安应用支撑平台办公系统和邮件系统是本次项目的平安爱护目标，应以应用平安为核心构建整个信息平安防护体系，全部的平安措施，都应当围围着“应用平安”这一核心目标进行规划和设计。确保应用系统平安、牢靠、稳定运行，同时确保系统中流转的关键信息、敏感信息的平安。通过可信计算的基础保障机制建立可信应用环境，通过资源隔离限制特定进程对特定文件的访问权限，从而将应用服务隔离在一个受爱护的环境中，不受外界的干扰，确保应用服务相关的客体资源不会被非授权用户访问。输入输出平安检查截获并分析用户和应用服务之间的交互恳求，防范非法的输入和输出。总体平安框架信息系统等级爱护平安体系设计工作是平安技术手段和平安管理措施的结合，以物理平安为基础，信息平安技术体系和信息平安管理体系作为整体平安支撑，达到风险评估和等级爱护螺旋上升，持续改进的效果。平安体系总体架构见下图：图：平安体系总体架构图分区分域设计分区分域的目的 划分平安域采纳分区分域设计，具有以下意义：区域的划分使整体网络结构的界限清楚；具有相同平安爱护要求的网络和设备划分到一个平安区域中；不同的平安区域内，可便利地部署不同类型和功能的平安防护设备和产品，同时形成相辅相成的多层次立体防护体系；同一个平安区域内可便利地部署相同或相像的平安防护策略。分区分域爱护做到重点明确，将有效的平安资源投入到最须要爱护的部分，并且由各个不同的区域组成多层次的立体防护体系。分区分域的原则分区分域的过程遵循以下基本原则：业务保障原则：分区分域方法的根本目标是能够更好的保障网络上承载的业务，在保证平安的同时，还要保证业务的正常运行和效率；结构简化原则：分区分域方法的干脆目的和效果是将信息（应用）系统整个网络变得更加简洁，简洁的逻辑结构便于设计防护体系。比如，分区分域并不是粒度越细越好，区域数量过多，过杂可能会导致平安管理过于困难和困难；立体协防原则：分区分域的主要对象是信息（应用）系统对应的网络，在分区分域部署平安设备时，需综合运用身份鉴别、访问限制、平安审计等平安功能实现立体协防；生命周期原则：对于信息（应用）系统的分区分域设计，不仅要考虑静态设计，还要考虑变更因素，另外，在分区分域设计和调整过程中要考虑工程化的管理。平安区域划分依据业务功能以及平安需求的不同，将XXXX总部信息网络规划为Internet访问出口区、Internet访问入口区（含DMZ区）、移动平安接入区、核心交换及专线区域、平安管理区（审计核查区域）、内部用户区和内网服务器区等共7个平安域。具体说明如下：图：平安域划分图Internet访问出口区：由联通、电信双出口组成，供应Internet互联网访问服务；Internet访问入口区（含DMZ区）：由联通、电信双线路组成，供应Internet接入服务；本平安区内设置有DMZ区，通过启明星城防火墙进行平安隔离；DMZ区内部署了向互联网供应服务器的应用服务器，包括办公系统应用服务器、办公系统数据库服务器和邮件系统服务器等；移动平安接入区：供应移动智能设备接入服务以及远程VPN平安接入服务，另外网络DNS服务器和DHCP服务器也部署在本平安区域；核心交换及专线区域：部署了网络的核心交换设备，用于数据的高速转发；北京总部和深圳总部之间的10M电信邮件专线，通过路由器和核心交换互联；同时，用于内部Wifi热点管理的无线AC也部署在本平安区；平安管理区：本平安区主要用于部署各类信息平安产品及相关服务器，目前主要包括绿盟网络平安设计系统、绿盟平安核查系统、安恒综合日志管理系统、绿盟网站检测系统、绿盟运维审计系统、绿盟入侵防护系统等；内部用户区：业务终端的接入区域，连接方式有无线和有线两种方式；内网服务器区：用于部署业务应用的服务器，部署有统一身份认证系统，本平安区边界由一台透亮模式部署的启明星辰防火墙供应平安隔离和爱护。平安技术架构在分区分域的基础上，依据《设计技术要求》的指导，我们将依据“一个中心三重防护”的体系架构来设计信息平安体系。依据《设计技术要求》中的定义，信息网络平台可划分成由计算环境、区域边界和通信网络三部分组成，分别在这三部分进行平安设计，构建“三重防护”体系，同时，再设计平安管理中心对整个平安体系的全部部件进行统一管理和限制，即形成了“由平安管理中心统一管控下的平安计算环境、平安区域边界和平安通信网络”的“一个中心三重防护”的平安技术架构。平安体系架构如下图所示：图：“一个中心三重防护”平安体系架构平安管理中心实施对计算环境、区域边界和通信网络统一的平安策略管理，确保系统配置完整可信，确定用户操作权限，实施全程审计追踪。平安管理中心从平安权限上再细分为系统管理、平安管理和审计管理三个管理分中心，各管理分中心分别负责不同的平安管理权限，形成“三权分立，相互制约，相互监督”的平安管理体系，避开“超级用户”的出现。计算环境平安是平安爱护的重心。计算环境平安通过对服务器、终端操作系统进行平安加固，实现对数据库系统和上层应用系统的可用性、完整性和保密性的爱护，保障应用业务处理全过程的平安。通过在服务器和重要终端操作系统核心层和系统层设置以强制访问限制为主体的系统平安机制，形成严密的平安爱护环境，通过对用户行为的限制，可以有效防止非授权用户访问和授权用户越权访问，爱护办公系统和邮件的保密性和完整性，为系统的正常运行和免遭恶意破坏供应支撑和保障。计算环境平安是信息平安的根本，是信息平安的第一道平安屏障。区域边界对进入和流出应用环境的信息流进行平安检查和访问行为限制，确保不会有违反系统平安策略的信息流或访问行为通过边界，边界的平安爱护和限制是信息平安的其次道平安屏障。通信网络设备通过对通信双方进行可信鉴别验证，建立平安通道，实施传输数据密码爱护，确保其在传输过程中不会被窃听、篡改和破坏，是信息平安的第三道平安屏障。依据《设计技术要求》中计算环境、区域边界、通信网络的定义，核心交换及专线区域、内部用户区域、内网服务器区为计算环境；Internet访问出口区、Internet访问入口区、移动平安接入区为区域边界；和深圳中心、其他第三方单位、其他用户之间的专线或链路即为通信网络；平安管理区承载着主要的平安防护和管理功能，实质上即构成了整个体系的平安管理中心。物理平安是爱护XXXX信息网络、定级系统的软硬件设备、设施免遭地震、水灾、火灾、雷击等自然灾难、人为破坏或操作失误，以及各种计算机犯罪行为导致破坏的技术和方法。物理平安是整个平安体系的基础，假如物理平安得不到保证，如计算机设备遭到破坏或被人非法接触，那么其他的一切平安措施就都是空中楼阁，因此，必须要把信息网络的物理平安提到一个重要的高度来进行设计。物理平安将以《基本要求》中的物理平安为目标，从环境平安、设备平安和介质平安三方方面进行设计。环境平安包括机房和设施平安、环境和人员平安、防自然灾难；设备平安包括防盗和防毁、防止电磁泄漏放射、防电磁干扰等；介质平安则包括介质的分类及防护要求、介质管理、信息的牢靠消退等。平安管理架构“七分在管理，三分在技术”，只有有效的平安管理才能够保证平安措施的有效性。《基本要求》对信息平安管理提出了明确的指导和要求。以《基本要求》中管理平安要求为目标，充分结合XXXX信息平安平安管理现状，从平安管理制度、平安管理机构、人员平安管理、系统建设管理、系统运维管理等方面对平安管理体系进行设计和加强。办公系统和邮件系统的平安管理内容包括：信息平安政策、信息平安组织、信息资产分类和管理、物理和环境平安、通信和操作平安管理、存取限制、系统的开发和维护、持续运营管理等等。等级爱护建设流程规范化图：等级爱护建设流程图第一步、自主定级“自主定级，自主爱护”是等级爱护建设的根本原则。开展信息平安等级爱护建设，首先要明确定级对象（被爱护的对象），然后依据《信息平安技术信息系统平安爱护等级定级指南》确定系统平安等级。只有确定了定级系统及平安等级，才能明确平安爱护的目标、范围和强度，才能进行有针对性的平安体系设计。这样才能够保证设计出的平安体系既满意XXXX实际的平安需求，又满意等级爱护技术标准要求，避开出现平安防护强度不够或过度爱护的状况。其次步、定级备案定级系统的定级结果须要在公安机关进行备案才能够正式生效。备案过程中，需依据公安机关的要求提交定级报告和系统备案表等材料，经公安机关核查无明显定级失误，定级结果才能够被批准正式生效。第三步、方案设计设计方案是平安体系建设的蓝图，必需在充分了解XXXX办公系统和邮件系统的平安现状及业务特点的基础上，通过和《基本要求》进行差异化分析对比，明确平安需求，才能够进行有针对性的设计。为了确保设计方案的科学性、合理性、有效性以及可操性，同时，为了避开方案设计失误所导致的严峻后果，通常，在平安设计方案设计完成后，应召开1~2次专家评审会对设计方案进行评审和把关。第四步、项目实施项目施工单位在业主单位的协作下，严格依据设计方案实施，使能够达到方案预期的效果。在建设过程中，应尽量削减对XXXX正常业务带来的影响，要确保项目实施的平安性，要按时保质的完成项目实施。第五步、等级测评待全部设计的平安内容设计完成后，首先应进行平安性自查，确保项目设计达到了设计预期、满意了技术标准要求之后，再聘请相应级别、具有资质的等级爱护测评机构对项目设计状况开展等级测评。如有未达标项，则进行局部整改后再进行测评。等级测评通过后，测评机构提交完整等级测评报告。第六步、常态化检查和测评依据国家等级爱护相关方面规定：三级系统每年应进行一次平安测评，四级系统应每半年进行一次平安测评。待办公系统和邮件系统通过等级测评后，系统进入常态化的平安运维状态，应定期通过平安自查、平安评估、平安测评等手段，对系统的平安状况进行检查，确保平安体系的有效性，确保平安体系满意业务发展的须要。等级爱护平安技术建设物理平安物理平安设计物理平安就是要保证信息网络的重要设备、设施处于一个平安、正常的物理环境，能够确保设备正常运转；对能够干脆接触办公系统和邮件系统重要设备的人员要有一套完善的管理限制手段；充分考虑自然事务可能造成的威逼并加以规避。也就是说，物理平安就是爱护办公系统和邮件系统信息平台的软硬件设备、设施免遭地震、水灾、火灾、雷击等自然灾难、人为破坏或其他物理破坏行为的技术和方法。物理平安设计具体措施通过物理平安合标差异分析得知，办公系统和邮件系统服务器所在的机房当前物理平安现状不能够完全满意《基本要求》中的物理平安要求。可通过新增和优化平安措施的方法来提高物理平安防护实力。新增平安措施增加机房防盗报警系统。优化平安措施机房选址在高层，当出现火灾等灾难时，救援的人力物力难以刚好、顺当到达现场，因此应通过加强平安巡检、保持紧急通道畅通等方法，降低各种物理灾难出现的可能，保证通道畅通等；

制定机房平安巡检规范，对需进行平安巡检的物理环境指标项进行明确规范，每天由平安管理员对机房的各项物理环境指标进行平安检查并记录。平安管理员在平安巡检过程中，发觉任何异样数据或状况时，应刚好调查具体缘由并进行相应处置，刚好消退隐患，保证机房物理环境平安；对机房内机柜、机架上的设备进行梳理，明确其用途；统一制定设备标签，并粘贴或安装在设备的相同位置上；标签的格式和内容要统一，应包括“设备用途、关键信息（IP地址等）、负责人姓名、负责人联系方式、需留意事项”等信息；对和办公系统和邮件系统相关联的存储介质进行梳理，明确有哪些存储介质是和办公系统和邮件系统相关，具体用途等；对这些和办公系统和邮件系统相关的存储介质进行规范化管理，粘贴标签、明确保管人、保管场地等；依据移动存储介质中保存数据的重要性程度，可部署移动存储介质管理系统对介质的访问进行授权限制，对存储介质中的数据进行加密爱护；对机房环境进行整理，将机房中清理全部无必要的易燃物，对于无法清除的易燃物应规范放置位置；清理通道，保证全部的通道通畅。技术平安技术平安设计平安计算环境设计用户身份鉴别通过设置服务器、业务终端操作系统的平安策略，通过统一身份认证系统、堡垒机、主机监控和审计系统、服务器操作系统平安加固系统等平安产品，实现对登录服务器、终端、应用系统的每一个用户的强身份鉴别。强制访问限制在办公系统和邮件系统服务器部署服务器操作系统平安加固系统，实现对服务器资源的访问行为的严格限制，包括对于用户访问行为的限制和进程访问权限的限制，爱护系统平台和业务数据的完整性；通过平安产品实现对服务器特定资源的强制访问限制。系统平安审计在办公系统和邮件系统服务器部署和业务终端上部署服务器操作系统平安加固系统和主机监控和审计系统，对服务器和终端上的访问行为和平安事务进行记录和审计。审计信息包括平安事务的主体、客体、时间、类型和结果等内容，能够供应审计记录查询、分类、分析和存储爱护，对特定平安事务进行报警，同时服务器平安爱护系统能够确保审计记录不被破坏或非授权访问。用户数据完整性爱护以密码技术和机制为基础，服务器操作系统平安加固系统的完整性校验机制和防篡改机制爱护服务器重要资源不会被非法修改，且在其受到破坏时能对重要数据进行复原。服务器平安爱护系统的访问限制机制保证用户重要数据不会被非法访问和篡改。用户数据机密性爱护服务器平安爱护系统的访控机制以及透亮加解密机制将对服务器存储的敏感数据机密性实施有效爱护，访问限制机制能够防止非授权用户读取敏感信息，透亮加解密机制对硬盘存储的敏感数据实施加密存储爱护，即使非法人员窃取硬盘设备，在没有用户合法密钥的前提下也无法解密敏感信息。剩余信息爱护服务器操作系统平安加固系统对用户运用的客体资源实施针对性爱护，在这些客体资源重新安排前，对其原运用者的信息进行清除，以确保信息不被泄露，实现剩余信息的平安爱护。程序可执行爱护服务器操作系统平安加固系统可构建从操作系统到上层应用的信任链，其中采纳可信计算等技术，实现系统运行过程中可执行程序的完整性检验，阻挡非授权程序的启动和执行，同时防范重要执行程序被篡改，对病毒、木马、蠕虫等恶意代码具备自免疫实力。恶意代码防范部分服务器未运用杀毒软件或其他恶意代码防护软件，缺乏主动防护恶意代码机制，病毒和木马可以潜入或运行在操作系统，造成可信的应用程序和代码被恶意篡改。通过在服务器和终端上部署防病毒软件，实现对恶意代码的防范。资源限制依据“最小化原则”对办公系统和邮件服务器的操作系统进行梳理，删除或屏蔽不必要给功能、组件、权限。数据平安及备份复原部署数据备份系统对办公系统的数据进行备份，评估办公系统业务数据的重要性程度，设计相适应的数据备份机制和策略。平安区域边界设计区域边界访问限制防火墙在平安区域边界实施相应的访问限制策略，对进出平安区域边界的数据信息进行限制，阻挡非授权访问；入侵防护系统、入侵检测系统可以对网络入侵行为进行监测、报警和阻断，对非法网络访问和入侵行为进行处置；上网行为管理系统对访问Internet互联网的行为进行审计和管理，依据策略阻断非法的访问外网行为，对全部通过公司统一外网出口访问互联网的行为进行审计记录。在服务器前部署的的防火墙从应用协议、用户权限限制和异样行为阻断等方面对网络访问行为进行限制，保证服务器的访问平安，有效防范以服务器为目标的攻击行为。移动智能设备能够访问办公系统和邮件系统，能够进行相应的业务操作。移动智能终端设备通过移动平安接入网关实现平安接入网络。区域边界包过滤防火墙、入侵防护系统、上网行为管理等平安产品，通过检查数据包的源地址、目的地址、传输层协议、恳求的服务等，确定访问行为是否合法，确定是否允许该数据包或该访问进出该区域边界。区域边界平安审计防火墙、入侵防护系统、入侵检测系统、上网行为管理系统、网络接入限制系统、移动平安接入网关等平安产品，均属于网络边界产品，对出入网络的访问行为进行管理和限制。这些平安产品均具有审计功能，能够对区域边界的访问行为进行审计记录。审计记录包括平安事务的主体、客体、时间、类型和结果等内容。区域边界完整性爱护通过部署主机监控和审计系统，可以实现终端非法外联行为的发觉和管控。通过部署网络接入限制系统可以实现对非合规内联行为的发觉和阻断。网络接入限制系统对内联行为的合规性和合法性进行推断，然后依据平安策略，采纳报警、引导至平安修复区、阻断等几种方式进行处置。平安通信网络设计通信网络平安审计通过SSLVPN实现远程平安接入和访问，SSLVPN本身具有平安审计功能，能够对接入访问行为进行审计记录，包括访问行为发生的时间、是否胜利、主体、客体、源地址、目标地址、类型等信息。通信网络数据传输完整性爱护SSLVPN能够对网络数据传输的完整性供应爱护，确保数据的完整性不被破坏。通信网络数据传输保密性爱护SSLVPN能够对网络数据传输的保密性供应爱护，确保数据的完整性不被破坏。通信网络可信接入爱护通过网络接入限制系统、移动平安接入网关等平安产品，能够对接入设备的身份进行鉴别，并且依据接入设备的权限限制其所能访问的资源。平安管理中心设计在进行平安系统设计时，应当首先设计平安管理中心，从平安管理的高度为后续的平安设计打下基础。集中部署各种平安产品或平安措施的管理或维护中心，实现对信息平安的统一平安管理。应当从系统管理、平安管理、审计管理、事务管理、风险管理、平安工作管理等方面进行统一考虑，特殊要实现集中身份管理、集中认证授权、集中操作审计。将现有平安产品的管理中心或维护中心集中部署；设置平安管理中心，由平安管理中心统一对计算环境平安支撑平台实施平安管理，实现包括主客体标记、用户授权、策略维护和更新在内的平安管理职能；设置系统管理中心，联合统一身份认证系统对整个系统的证书和密钥实施统一管理，对用户身份和软硬件资源配置实施统一限制和管理；由各平安产品管理中心或维护中心共同构成系统管理中心，实现对全部平安产品的统一配置和管理；部署审计管理平台，接收各个区域的审计日志，为审计信息的存储、分析和处理供应平台，作为管理员实施事务追踪、责任认定以及实施应急响应的依据。等级爱护平安建设后网络拓扑图：等级爱护平安建设后网络拓扑图平安区域划分依据业务功能以及平安需求的不同，将XXXX总部信息网络规划为Internet访问出口区、Internet访问入口区（含DMZ区）、移动平安接入区、核心交换及专线区域、平安管理区（审计核查区域）、内部用户区和内网服务器区等共7个平安域。具体说明如下：Internet访问出口区：由联通、电信双出口组成，供应Internet互联网访问服务；Internet访问入口区（含DMZ区）：由联通、电信双线路组成，供应Internet接入服务；本平安区内设置有DMZ区，通过启明星城防火墙进行平安隔离；DMZ区内部署了向互联网供应服务器的应用服务器，包括办公系统应用服务器、办公系统数据库服务器和邮件系统服务器等；移动平安接入区：供应移动智能设备接入服务以及远程VPN平安接入服务，另外网络DNS服务器和DHCP服务器也部署在本平安区域；核心交换及专线区：部署了网络的核心交换设备，用于数据的高速转发；北京总部和深圳总部之间的10M电信邮件专线，通过路由器和核心交换互联；同时，用于内部Wifi热点管理的无线AC也部署在本平安区；平安管理区：本平安区主要用于部署各类信息平安产品及相关服务器，目前主要包括绿盟网络平安设计系统、绿盟平安核查系统、安恒综合日志管理系统、绿盟网站检测系统、绿盟运维审计系统、绿盟入侵防护系统等；内部用户区：业务终端的接入区域，连接方式有无线和有线两种方式；内网服务器区：用于部署业务应用的服务器，部署有统一身份认证系统，本平安区边界由一台透亮模式部署的