网络安全测评整改投标方案（技术方案）

网络安全测评整改方案投标方案（技术方案）投标方案投标人名称：****有限责任公司地址：****号二楼联系人：****1报告说明声明：本文内容信息来源于公开渠道，对文中内容的准确性、完整性、及时性或可靠性不作任何保证。本文内容仅供参考与学习交流使用，不构成相关领域的建议和依据。 第一节项目背景 一、网络安全测评的作用 二、安全测评基本概念 第二节需求分析 一、物理环境安全需求分析 二、通信网络安全需求 三、区域边界安全需求 四、计算环境安全需求 五、安全管理中心安全需求 第一节项目整体服务设想 一、服务目标 二、服务内容 三、服务要求 第二节项目服务计划 一、设计依据 二、设计原则 三、同步原则 一、基本工作 2二、测评标准依据 三、测评工作规范 第四节测评工作流程 一、基本工作流程 二、基本工作方法 第五节风险控制方案 一、常见风险 二、风险规避 第六节合理化建议 一、影响网络安全的因素 二、网络安全的防范措施 第一节项目组织结构分类 一、职能型组织结构 二、项目型组织结构 三、矩阵型组织结构 第二节建立项目组织的步骤 一、确定组织目标 二、确定项目工作内容 三、组织结构设计 四、项目管理结构 第三节项目组织规划原则 3一、目的性原则 二、精于高效原则 三、项目组织一体化原则 五、系统化原则 六、及时更新原则 二、项目组织机构图 三、项目人员一览表 第五节人员岗位职责 一、项目经理人员岗位职责 二、项目负责人岗位职责 三、测评组长岗位职责 五、质量管控人员岗位职责 第四章人员管理及培训 第一节服务人员培训必要性 一、培训的重要性和作用 二、培训的系统性 三、培训的形式和方法 第二节项目人员培训计划 一、培训对象 二、培训方式 4三、初级等级测评师 五、高级等级测评师 一、网络信息安全主要内容 二、良好的上网习惯 三、基本网络故障排查 第四节安全教育与培训 一、信息安全培训的对象 二、信息安全培训的内容 三、信息安全培训的管理 第五节对采购方人员安全管理培训 一、员工录用安全管理 二、员工工作调动的安全管理 三、员工离职的安全管理 四、安全岗位人员管理 五、安全岗位人员的安全控制 第六节第三方人员安全管理 一、第三方人员短期访问安全管理 二、第三方人员长期访问安全管理 三、第三方人员访问申请审批流程图 一、网络安全的基本概念 二、计算机网络受攻击的主要形式 5 二、功能测试 三、白盒测试工具 四、测试管理工具 五、测试辅助工具 六、其他测试工具 第二节渗透测试工具 第六章管理制度 第一节项目管理制度 6 三、工作程序 五、系统集成建设和服务提供的控制 六、测评设备的质量管理 七、质量方针和质量总目标 八、服务质量管理 第二节项目保密管理制度 一、人员保密管理要求 二、保密岗位与职责 三、服务人员保密教育 一、评估方式 二、评估内容 三、评估流程 四、定期风险评估流程图 第二节技术体系符合性分析 一、物理安全 二、网络安全 三、主机安全 四、应用安全 五、数据安全与备份恢复 7第三节部署示意及合规性分析 一、部署示意及描述 二、合规性分析 三、管理层面 第四节网络安全测评工作流程 一、流程图说明 二、业务和现状调查 三、安全框架设计 第五节技术体系测评 一、技术体系测评 二、安全技术防护体系 三、安全区域边界防护 四、安全通信网络防护 248六、安全管理中心 第六节管理系统测评 一、管理体系目标 二、管理体系框架 三、安全管理防护体系 四、安全管理制度 253六、安全管理人员 七、安全建设管理 8 第七节测评内容与实施 一、物理安全 二、网络安全 三、主机安全 五、数据安全及备份恢复 六、安全管理制度 277八、人员安全管理 285 第一节管理体系整改 一、策略结构描述 二、安全制度制定 三、服务满足指标 一、需求分析 二、服务设计 三、服务效果 一、需求分析 二、服务设计 9 342二、质量管理体系策划阶段 三、质量管理体系建立阶段 第二节服务质量控制措施 一、人员保障 二、设备保障 三、机制保障 第一节服务承诺 354二、服务质量承诺 第二节测评人员承诺书 第三节网络信息安全承诺书 第四节售后服务承诺 一、责任 三、具体内容 四、服务承诺 五、服务宗旨 第一节安全事件处置与应急解决方案 364二、安全事件处理 三、安全事件通报 五、应急预案的制定 六、培训与演练 一、总则 二、工作原则 三、事后处理 四、人员队伍 五、监督管理 一、档案在企业经营过程中发挥的作用 二、做好档案管理工作 三、健全制度 四、与时俱进，实现管理现代化 五、提高档案全面质量管理的方法 六、档案管理工作重要的意义 第二节档案管理制度 第三节档案安全保密制度 第四节档案管理工作流程 一、立卷归档 一、如招标文件评分标准要求“项目背景与需求分析”(二)其他法律法规。第一章项目背景和需求分析第一节项目背景 (商务、政务等)信息系统的正常运行，网络银行及电子商(一)信息安全概述意外事件或恶意行为的能力，这些事件和行为将会危及存完整性、可用性、不可否认性、真实性和可控性，这6个属息系统即使能够被访问也不能够越权访问与其身份不相符(1)物理安全物理安全是围绕网络与信息系统的物理装备及其有关(2)运行安全运行安全是围绕网络与信息系统的运行过程和运行状(3)数据安全数据安全是围绕数据(信息)的生成、处理、传输、存储等环节中的安全。主要涉及数据(信息)的泄密、破坏、(4)内容安全(1)舆论文化(2)社会行为有意识地利用或针对信息及信息系统进行违法犯罪的行为，包括网络窃(泄)密、散播病毒、信息诈骗、为信息致瘫基础信息网络和重要信息系统的网络恐怖行为；国家(3)技术环境的对策。信息安全威胁的产生是社会发展到一定阶段的产(1)来源威胁(2)传输渠道威胁的对策。信息安全威胁的产生是社会发展到一定阶段的产的过程中可能被窃听、篡改、伪造。信息的安全受到威胁，主要体现在2个方面：信息安全立法滞后的特点为黑客们的违法犯罪行为提(二)信息安全保障体系5-3600.1(DoDD5-3600.1)中首次给出了“信息保障(IA)”身份鉴别性和不可否认性而采取的保护和保卫信息及信息西方国家对“信息保障”的系统性研究始于1995年。化信息系统安全”:“为系统和数据处理提供一个可接受保和结构能够得到准确的调整并执行安全策略而采取的措法以确保个人自动化系统与其他多个自动化系统动态组合我国最初于1997年由国务院信息化工作领导小组办公室提出并实施了“国际互联网安全研究项目计划”,该计划各自职能出发推出了相应计划，如保密部门的保密技术发的信息安全测评认证体系，以及科技部启动的“863”信息(1)PDR模型PDR模型包含3个主要部分：防护、检测和响应。防护、防护防护响应检测(2)P2DR模型表模型，也是动态安全模型的雏形，包括4个主要部分：安的。网络安全策略一般包括总体安全策略和具体安全策略2用防护工具(如防火墙、操作系统身份认证、加密等)的同时，利用检测工具(如漏洞评估、入侵检测等)了解和评估动态的安全循环，在安全策略的指导下保证信息系统的安该理论的最基本原理认为“信息安全相关的所有活动 PDRR(ProtectDetectReactRestore)模型中，安全的面，安全策略在整个网络安全工作中处于原则性的指导地节，体现了安全动态防护和安全入侵、安全威胁“短兵相APPDRR模型还隐含了网络安全的相对性和动态螺旋上对客户信息安全的“生命周期”考虑，在7个核心方面体现略、安全评估、设计/方案、实施/实现、管理/监控、紧急型，网络安全需求主要在以下5个方面得以体过程中的人为特定的网络安全需求，从而使既定的网络安全目标得以实 (1)信息安全保障重要管理制度——信息安全等级保护我国信息安全保障工作要求坚持“积极防御、综合防②加强以密码技术为基础的信息保护和网络信任体系⑤加强信息安全技术研究开发，推进信息安全产业发据《中华人民共和国计算机信息系统安全保护条例》(国务院令第147号)的要求，公安部牵头开始了信息安全等级保护制度建设，经过十多年的调研、建设、试点，于2007年，国家信息安全等级保护坚持“自主定级、自主保护”将全国的信息系统(包括网络)按照重要性和遭受损坏后的危害性分成5个安全保护等级(从第一级到第五级，逐级增高);等级确定后，第二级(含)以上信息系统到公安机关(2)信息安全保障工作研究——“一二三四五”国家为：加强密码技术的开发与应用，建设网络信息安全体从以下5个方面来开展建设。基础支撑能力是指国家要有一系列相应的基础支撑体对网上的热点话题做访问，如何提高处置网络的能力),这(1)信息保障技术框架信息保障技术框架是关于美国政府和工业界的信息与管理体系建立的一系列相关标准的总称，已经预留了第二部分是有关认证认可和审核的指南，包括第四部分是由ISO技术委员会TC215单独制定的(而非和IEC共同制定)应用于健康行业的标准IS027799,以及一的要求，指出实施机构应该遵循的风险评估标准，它采用的最佳实践规则，共11个大类、39个控制目标、133项控方面面，保证了信息安全管理的先进性和完整性，有助于(三)安全测评的作用行抽样测试检验和对供方的质量保证能力即质量体系进行责信息安全产品的测评认证工作。其他西方国家也纷纷效国家和社会对信息安全保障体系进行质量监督与技术控制(一)国内外信息安全测评发展状况信息安全测评不是简单的某个信息安全特性的分析与测试，而是通过综合测评获得具有系统性和权威性的结论，测试并评价信息安全产品和信息系统安全及其安全程度的技术，主要由验证技术、测试技术及评估方法三部分组成。客观、公正地评价和定级由验证测试结果反映的安全性能。安全保障体系、信息产品/系统安全工程设计，以及各类信国国防部于1979年颁布了编号为5200.28M的军标，它为计算机安全定义4种模式，规定在各种模式下计算机安全的保护要求和控制手段。当前普遍认为5200.28M是世界上第一个计算机安全标准。1977年，美国国家标准局(NBS)也参1981年成立国防部计算机安全中心。该中心于1985年更名倡议欧美6国7方(即英国、德国、法国、荷兰、加拿大的年被国际标准化组织(ISO)批准为国际标准，编号是我国于20世纪90年代末也开始了信息安全的测评工作。1994年2月，国务院颁布了《中华人民共和国计算机信息系统安全保护条例(国务院147号令)》。为了落实国务院147号令，1997年6月和12月，公安部分别发布了《计算机信息系统安全专用产品检测和销售许可证管理办法(公安部32号令)》和《计算机信息网络国际联网安全保护管理办法(公安部第33号令)》。1998年7月，成立了公安质量技术监督局的计量认证[(98)量认(国)字(L1800)则》(GB17859-1999)。1999年2月，国家质量技术监督局正式批准了国家信息安全测评认证管理委员会章程及测评认证管理办法。2001年5月，成立了中国信息安全产品测评的权威职能机构。2003年7月，成立了公安部信息安全等级准则》(GB/T18336-2001),并于2008和2015年对其进行有大量信息安全产品/系统通过了以上机构的检验认证，信目前，随着信息技术的日益发展和应用模式的不断创等软/硬件设备的脆弱性和面临的安全威胁，并且更多地强调云平台在为海量用户提供计算和数据存储服务时的平台物联网指通过射频识别(RFID)、红外感应器、全球定界的扩展。物联网技术的广泛应用引发了诸如安全隐私泄(二)信息安全测评技术(1)安全模型(2)协议形式化分析当前对安全协议进行形式化分析的方法主要有基于逻明结构性的分析方法主要在形式化语言或数学描述的基础(3)可证明安全性方法将能够反映产品或系统相关性能度量的检测对象称为指标 经济地为开发者或评估人员提供指标值或计算它们的相关(1)测试仿真环境的构造测试人员使用专用的软/硬件测试工具得到结果。但随着网析数据不方便。在以上背景下出现了各种测试环境仿真技已经支持上述仿真，如一些网络安全设备测试仪提供了对IPSec网关的测试功能，在测试中，可以用测试设备仿真整建专业的测试环境。为了应对这类测评需求，采用软/硬件环境实施测评，这种思路逐渐在安全测评技术领域引起重生成系统用户等。在这种思路的指导下，人们提出了“克(2)有效性测试(3)负荷与性能测试(4)攻击测试攻击测试所采用的技术手段主要有主机探测、漏洞扫的测试攻击，如可以利用测试仪对入侵检测系统(IDS)进(5)故障测试果可以反映被测对象的运行稳健性。故障测试可以对有效(6)一致性与兼容性测试息安全评估技术能够利用信息安全测试技术和信息安全验(1)风险评估方法后(但还没有结束),对该事件给人们的生活、生命、财产等各个方面造成的影响和损失的可能性进行量化评估的工从信息安全的角度来讲，风险评估是对信息资产(即某事件或事物所具有的信息集)所面临的威胁、存在的弱点、信息安全风险评估使信息系统的管理者可以在考虑风(2)脆弱性评估技术普及。然而，安全问题的根源在于安全脆弱性(或称安全漏洞)。脆弱性的发现、利用、防范和修补已成为信息安全攻脆弱性评估技术是一种通过综合评判网络信息系统的性评估可以作为这3种典型安全防御技术的有效补充，评估(3)安全态势评估技术安全态势评估技术能够从整体上动态反映网络信息系安全态势评估指通过技术手段从时间和空间纬度来感近年来，安全态势评估技术开始在计算机网络领域得到应展趋势进行预测，从而对可能发生的安全威胁进行提前防(4)安全绩效评估技术安全绩效评估的重点是评估系统安全措施抵御攻击的越高，建模越简单，但模型分析结果与实际应用差距越(三)信息安全测评方法在黑盒测试中，把测试对象看作一个不能打开的黑盒问题或规格说明的规定有误，用黑盒测试方法是发现不了(1)语句覆盖每条语句至少执行一次；(2)判定覆盖每个判定的每个分支至少执行一次；(3)条件覆盖每个判定的每个条件应取各种可能的值；(4)判定/条件覆盖同时满足判定覆盖条件覆盖；(5)条件组合覆盖每个判定中各条件的每一种组合至(6)路径覆盖使程序中每一条可能的路径至少执行一灰盒测试是基于对测试对象内部细节有限认知上的测评方处的阶段和作用，动态测试可分为如下4个步骤。(1)单元测试(2)集成测试装测试是单元测试的延伸，除对软件基本组成单位的测试对组装测试结果的检验，主要目的是尽可能地排除单元测(3)系统测试为应该与规约进行对比，同时测试其健壮性。如果规约(即设计说明书、需求说明书等文档)不完备，系统测试更多的是依赖测试人员的工作经验和判断，这样的测试是不充分(4)验收测试渗透测试是为了证明网络防御按照预期计划正常运行透测试是指渗透人员在不同(如从内网、从外网等)的位置晰知晓系统中存在的安全隐患和问题。渗透测试还具有2个透测试是选择不影响业务系统正常运行的攻击方法进行的模糊测试是一种通过向目标系统提供非预期的输入并用随机破坏数据(也称作Fuzz)攻击一个测评对象，然后观察哪里遭到了破坏。模糊测试的特点在于它是不符合逻辑说明Bug在测试对象中的出现，并不能证明不存在这样的Bug,而且，通过模糊测试能极大地提高测试对象的健壮性的Bug,就应该进行及时修正，而不是当Bug随机出现时再和/或基于语法的文件格式，更有效地从根本上加固了测试(四)信息安全测评要求对每个测评实施过程的重复执行都应该得到同样的测评结果。可再现性体现在不同测评者执行相同测评结果的一致测评所产生的结果应当是在对测评指标的正确理解下(五)信息安全测评流程信息安全测评流程是保障测评工作健康有序进行的重统安全等级测评流程和信息安全专用产品销售许可测评流级测评过程分为4个基本测评活动：测评准备活动、方案编(1)测评准备活动(2)方案编制活动(3)现场测评活动步实施所有测评项目，包括单元测评和整体测评2个方面，(4)分析与报告编制活动信息安全专用产品销售许可测评工作中建立了完善的(1)送检准备阶段(2)受理阶段(3)在检阶段(4)报告审核阶段核和技术负责人批准等三级审核，最终形成正式的检验报(5)报告/样品发送阶段信息安全测评是指对信息安全产品或信息系统的安全性等进行验证、测试、评价和定级，规范它们的安全特测试和评估信息安全产品、信息系统安全性质和程度的技术，主要包括验证技术、测试技术及评估方法3个方面。发要包括可信计算机系统评估准则(TCSEC)、信息技术安全评估准则(ITSEC)、信息安全评估通用准则(CC)等；我第二节需求分析5.针对机房供电系统故障，需要合理设计电力供应系静电和电磁防护措施来解决静电和线缆电磁干扰带来的安通信网络是对定级系统安全计算环境之间进行信息传1.针对网络架构设计不合理而影响业务通信或传输问域边界安全即各网络安全域边界和网络关键节点可能存在系统和应用系统资源，导致拒绝服务或服务停止的安全风进行恶意攻击(如碎片重组，协议端口重定位等),尤其是采取安全审计手段来实现安全事件的有效追溯和用户行为3.针对操作用户对系统错误配置或更改而引起的安全4.针对设备系统自身安全漏洞而引起被攻击利用的安可通过应用系统开发或第三方辅助系统来保证对应用系统7.针对应用系统缺陷、接口设计等导致被恶意攻击利10.针对病毒入侵、恶意代码加载、非授权身份访问等第二章项目整体服务设想第一节项目整体服务设想标是在网络定级工作基础上深入开展网络安全等级保护安务过程中涉及到的任何用户信息政府采购招标文件范本一3.最小影响要求测评工作应该尽可能小地影响系统和网络的正常运行，不能对业务的正常运行产生明显的影响 (包括系统性能明显下降、网络阻塞、服务中断等),如无4.规范性要求网络安全等级保护测评服务的实施必须第二节项目服务计划5.根据此等级受到的威胁对应出该等级的保护要求(即需求分析),并分布到安全物理环境、安全通信网络、安全过程、整体保障框架来确定总体安全策略(即总体安全目标),再根据等级保护的要求将总体安全策略细分为不同的具体策略(即具体安全目标),包括安全域内部、安全域边第三节测评服务基本工作通过进行测评，能够对信息系统体系能力的分析与确(1)掌握信息系统的安全状况、排查系统安全隐患和(2)衡量信息系统的安全保护管理措施和技术措施是否符合等级保护基本要求，是否具备了相应的安全保护能(3)等级测评结果，为公安机关等安全监管部门开展(4)为了达到上述目的，开展等级测评的最好时期是等级测评依据的两个主要标准分别是《GB/T28448—具体要求和组织的具体网络特点定制的，具有良好的可控第四节测评工作流程等级测评过程分为4个基本测评活动：测评准备活动、(1)测评准备活动(2)方案编制活动根据需要重用或开发测评指导书测评指导书，形成测评方(3)现场测评活动(4)分析与报告编制活动3.配置检查是指利用上机验证的方式检查配置是否正内容进行核实(包括日志审计等),并记录测评结果。配置求。如扫描探测、渗透测试、协议分析等手段。2、测评实施准备调、文档管理和测评风险规避等11项准备工作。等级保护测评目标是验证信息系统是否达到定级基本通常依据下面几个原则来作为测评范围边界的界定方通常测评机构角色主要包括测评组长、技术测评人员、被测评组织项目组长说明本次评估工作的计划和各阶段工测评机构项目组长介绍评估工作一般性方法和工作内组应进行充分的系统调研，以确定系统测评的依据和方(1)适用的法律、法规。(2)现有国际标准、国家标准、行业标准。(3)行业主管机关的业务系统的要求和制度。(4)与信息系统安全保护等级相应的基本要求。(5)被测评组织的安全要求。(6)系统自身的实时性或性能要求等。(1)脆弱性发现工具，应具备全面的已知系统脆弱性(2)测评工具的检测规则库应具备更新功能，能够及(3)测评工具使用的检测策略和检测方式不应对信息系统所产生的测评报告和记录需要保持3年以上。第五节风险控制方案规避测评工作中的风险，成为测评工作是否取得成功的关在现场测评时，会使用一些技术测试工具进行扫描测3.敏感信息泄露范围控制是否有效、对测评投入(包括人员时间的投入和资金等的投入)是否足够等方面的影响。在实际实施过程中，以足够的精力参与到测评中来，是测评成功实施的基本保合同中测评范围与实际实施过程中项目的结构规模有由于在项目建设过程中未确立标准的质量考核体系以6.现场测评工作风险的规避第六节合理化建议计算机网络安全主要是指对数据资源处理系统使用技(1)病毒恶意侵入(2)黑客强行攻击(3)操作系统问题(4)网络钓鱼杀等途径开展工作，例如：360木马查杀软件，对计算机进不仅能够避免计算机网络受到危害，还能够及时控制入侵单纯的依靠技术进行网络安全防护是难以实现这一目第三章项目组织机构及人员配置第一节项目组织结构分类个组织结构适用于主要由一个部门完成的项目或技术比较(1)以职能部门作为承担项目任务的主体，可以充分(2)职能部门内部的技术专家可以被该部门承担的不(3)同一职能部门内部的专业人员便于交流、相互支性(4)当项目成员调离项目或者离开公司，所属职能部(5)项目成员可以将完成项目和完成本部门的职能工作融为一体，可以减少因项目的临时性给项目成员带来的不(1)客户利益和职能部门的利益经常发生冲突，职能(2)当项目需要多个职能部门共同完成，或者一个职(3)当项目需要由多个部门共同完成时，权力分割不(4)项目成员在行政上扔隶属于各职能部门的领导，(1)项目经理对项目可以全权负责，可以根据项目需(2)项目型组织的目标单一，完全以项目为中心安排(3)项目经理对项目成员有全部权利，项目成员只对(4)组织结构简单，易于操作。项目成员直接属于同(1)对于每一个项目型组织，资源不能共享，即使某(2)公司里各个独立的项目型组织处于相对封闭的环(3)在项目完成以后，项目型组织中的项目成员或者(4)项目之间处于一种条块分隔状态，项目之间缺乏矩阵型组织结构是职能型组织结构和项目型组织结构立友好的工作关系。项目成员需要适应于两个上司协调工构适用于管理规范、分工明确的公司或者跨职能部门的项(1)专职的项目经理负责整个项目，以项目为中心，(2)多个项目可以共享各个职能部门的资源。在矩阵(3)既有利于项目目标的实现，也有利于公司目标方(4)项目成员的顾虑减少了，因为项目成员后，他们(1)容易引起职能经理和项目经理权力的冲突(2)资源共享可能引起项目之间的冲突(3)项目成员有多位领导，即员工必须要接受双重领第二节建立项目组织的步骤段和施I阶段分别归并和组合。目的活动特点与内容进行科学化、程序化决策；制层(协调层和执行层)。由专业工程师和子项目工程师组上启下管理层次；三是作业层(操作层)。由现场目管理班子实施项目获取所需资源的可能方法与相应的权第三节项目组织规划原则管理跨度也称管理幅度是指一个主管人员直接管理的项目的单件性、阶段性和一次性必然带来任务量的变第四节项目组织机构根据XX单位的采购需求，为了保障XX单位的网络信息息安全技术网络安全等级保护测评过程指南》的要求对XX业项目负责人测评人员记录人员财务人员维护项目管理团队配备情况表职务姓名职称上岗资格证明已承担项目情况证书名称级别证号专业原服务单位项目数名称姓名性别年龄职务职称学历参加工作时间从事项目经理年限项目经理资格证书编号在服务期和已完项目情况合作单位项目名称项目规模期项目质量项目负责人简历表姓名性别年龄职务职称学历参加工作时间从事负责人年限在建服务期和已完项目情况合作单位项目名称项目规模开始、完成日期是否在服务期项目质量第五节人员岗位职责4.负责公司ERP系统、定制软件系统等业务系统的实施6.负责公司IT设备的档案归档工作，做到IT资源的合8.负责协调采购方IT部门的工作人员，根据采购方需2.对照产品Spec,制定项目的测试方案、测试计划，撰站点脚本攻击等网络攻击的测试方法，并熟悉3种以上安全6.负责定期审核系统平台安全策略，定期评估网络风除；对信息安全问题导致的紧急与突发事件需制定应急预3.协助项目负责人进行项目的质量管理并对项目服务4.协助项目负责人做好项目测评服务前的技术交底工第四章人员管理及培训第一节服务人员培训必要性每年至少40小时培训，调查表明：摩托罗拉公司每1美元的培训费可以在3年以内实现40美元的生产效益。世界上一是通过培训改善管理者或员工的工作方法提高工作二是通过培训调整在发展中人与岗位职责与要求之间随着企业及全社会对培训重要性的认同，各类学历教不知道怎么办”,“培训花了不少钱，效果一般”。有做好前期培训内容与企业经营目标及需求及培训对象的一是看看公司管理者与员工最希望开展哪些方面的培那么我们就可以选择内部培训而不需请外面的老师来做营培训的效果取决于培训的内容及培训方式的综合考虑三是将培训的趣味性与培训者的工作实际中的实用性录像机等工具),对员工进行培训。优点是运用视觉与听觉四是案例研讨法：通过向培训对象提供相关的背景资六是自学法：这一方式较适合于一般理念性知识的学际关系的能力。其优点是可明显提高人际关系与沟通的能第二节项目人员培训计划信息安全等级测评师培训是针对等级测评机构中的测机构中的测评员、项目负责人(或项目组长)和技术负责人 (或技术总监)三个工作岗位相对应，通过初级、中级和高报考人员需要具备信息安全基础知识和信息安全相关中级等级测评师的培训对象是项目负责人(或项目组高级等级测评师的培训对象是技术负责人(或技术总(1)了解信息安全等级保护的相关政策、标准；(2)掌握等级测评方法，熟悉网络、主机、应用、安(3)熟悉信息安全产品分类，了解其功能、特点，熟(4)掌握测评工具的操作方法，能够合理设计测试用(5)能够按照报告编制要求整理测评数据，开展等级2.培训内容(1)信息安全等级保护政策②信息安全等级保护政策体系(2)等级保护相关标准应用(3)网络安全测评(4)主机安全测评②类UNIX/Linux操作系统安全测评(5)应用和数据安全测评(6)安全管理测评(7)工具测试方法的常用工具和技术、熟悉防范和检测黑客攻击的工具和技(1)熟悉信息安全等级保护相关政策、法规；正确理(2)熟悉信息安全等级测评方法，并熟悉测评指导书(3)熟悉测评项目的工作流程和质量管理的方法；(4)能够根据信息系统的特点，编制测评方案，确定(5)能够依据测评报告模板要求编制测评报告，能够(6)了解等级保护各个工作环节的相关要求。能够针(1)信息安全等级保护政策于推动信息安全等级保护测评体系建设和开展等级测评工(2)等级保护相关标准应用②信息安全等级保护概述(3)信息系统安全等级保护基本要求(4)信息系统安全等级保护测评方法②能够开发测评指导书(5)信息系统安全等级保护测评实施②等级测评实施主要内容(6)项目管理(1)熟悉和跟踪国内、外信息安全的相关政策、法规(2)对信息安全等级保护标准体系及主要标准有较为(3)熟悉等级保护工作的全过程，熟悉定级、等级测(4)熟悉质量体系和制度建设的主要内容和方法。(5)能够把握信息安全技术的发展方向，引导本测评2.培训内容(1)信息安全等级保护政策于推动信息安全等级保护测评体系建设和开展等级测评工②信息安全等级保护政策体系(2)等级保护相关标准应用①等级保护标准体系及主要标准(3)信息系统测评基本概念与方法(4)信息安全技术发展趋势(5)我国信息安全标准体系综述(6)国外信息系统安全保护政策和标准熟悉美国IATF、NIST系列标准，熟悉800系列中53、53A、37等主要标准的内容。(7)测评机构的质量体系建设级别培训课程课程设置目的初级信息安全等级保护政策了解信息安全等级保护的相级别培训课程课程设置目的等级保护相关标准应用了解信息安全等级保护的相网络安全测评熟悉网络测评内容、要求和方法，能够根据测评指导书客观、准确、完整地获取各项测评证据；能够按照报告编制要求整理测评数据，开展等级测评工主机安全测评熟悉主机测评内容、要求和方法，能够根据测评指导书客观、准确、完整地获取各项测评证据；能够按照报告编制要求整理测评数据，开展等级测评工应用和数据安全测评熟悉应用和数据库安全测评内容、要求和方法，能够根据测评指导书客观、准确、完整地获取各项测评证据；能够按照报告编制要求整理测评数据，开展等级测评工级别培训课程课程设置目的安全管理和物理测评熟悉安全管理和物理测评内容、要求和方法，能够根据测评指导书客观、准确、完整地获取各项测评证据；能够按照报告编制要求整理测评数据，开展等级测评工工具测试方法能够合理设计测试用例获取中级信息安全等级保护政策熟悉信息安全等级保护相关政策、法规。等级保护相关标准应用正确理解信息安全等级保护信息系统安全等级保护基本要求熟悉标准结构，熟悉不同级别系统之间的差别、熟悉各信息系统安全等级保护测评方法发、版本控制和评审流程；能够根据信息系统的特点，级别培训课程课程设置目的象、测评指标和测评方法；信息系统安全等级保护测评实施熟悉等级测评项目的工作流程和质量管理的方法。项目管理熟悉项目管理的主要内容和关键环节。掌握项目质量管理、进度管理、风险管理方高级信息安全等级保护政策熟悉信息安全等级保护相关政策、法规。等级保护相关标准应用正确理解信息安全等级保护美国信息系统安全保护政策和标准熟悉和跟踪国外信息安全的相关政策、法规及标准的发我国信息安全标准体系熟悉信息安全等级保护标准信息安全技术发展趋势掌握网络与信息安全的理论信息系统测评原理与方掌握系统测评的原理和方法级别培训课程课程设置目的法以及测评过程。测评机构的质量体系建设熟悉质量体系和制度建设的第三节网络安全培训内容(1)构成网络的各种硬件实体、通信线路等要经受诸(2)非法入侵，不法分子通过技术渗透或利用物理线(3)线路干扰，通信线路会受到各种情况的影响，产(4)病毒入侵，计算机病毒能够以多种方式侵入计算(5)意外原因，包括设备突然出现故障，或者遭到人(6)黑客攻击，黑客采用各种手段，对网络及其计算网络软件的漏洞及缺陷被利用，使网络受到入侵和破绝大多数的计算机病毒通常都以文件型病毒的形式存依靠可执行文件来传播。可执存文阵是指后缀名(1)一般网络故障可以分为硬件故障和软件故障，或(3)软件故障是指设备或者计算机软件设置上的问题(4)外网故障是指访问互联网Internet的故障。(1)功能：显示所有网络适配器(网卡、拨号连接等)的完整TCP/IP配置信息。可以检查如IP是否动态分配、显(2)HostName:主机名，亦是本地计算机名(3)Description:显示此连接的网卡属性、信息。有等等。(6)SubnetMask:子网掩码(作用：就是将某个IP地址划分成网络地址和主机地址两部分用从而来确定二个地查如IP是否动态分配、显示网卡的物理地址等。(2)Ping命令有很多参数，常用的是-tBytes:送数据包的大小，默认为32byte,(3)Time:表示以毫秒为单位显示从发送回送请求到(4)TTL(TimeToLive生存时间),它告诉网络，数(1)检测物理连接，使用ipconfig命令(2)ping本机ip地址(3)ping网关ip地址(4)ping外网ip地址(5)检查dns服务器第四节安全教育与培训同层次的人员，如对管理层(包括决策层)、信息安全管理人员，系统管理员和员工开展有针对性和不同侧重点的培1.管理层(决策层)管理层培训目标是明确建立公司信息安全体系的迫切性和重要性，获得公司管理层(决策层)有形的支持和承诺。信息安全管理人员培训目标是理解及掌握信息安全原信息安全管理人员培训方式可以采用聘请外部信息安公司系统管理员培训目标是掌握各系统相关专业安全公司系统管理员培训方式可以采用外部和内部相结合4.员工员工培训目标是了解公司相关信息安全制度和技术规(1)安全体系及安全职责分工培训(2)培训应采用长期，并覆盖公司全员。(1)员工安全技术教育针对公司系统的维护人员和管理员应定期开展安全技术教育培训(每年至少一次),明确如何安全使用有关系统，(2)各项安全专业技术教育针对公司安全管理员和系统管理员应定期开展由供应(3)安全专业资格认证选公司信息安全管理及安全技术人员进行相关的认证考试(4)信息安全内部考核(含培训)员工进行相关的信息安全培训，并在培训后实行书面(开卷或闭卷)信息安全考核。对于信息安全培训的管理主要控制信息安全培训的发(1)公司及部门安全管理组织可根据自身安全管理的(2)涉及纳入员工考核的培训，需要公司人力资源部(3)新员工、公司全员的安全培训教育，纳入公司人(4)具体操作过程遵守公司人力资源部的相关培训管(1)培训的实施，建议由公司人力资源部负责。(2)对专业性很强的培训，培训发起的各级安全培训(3)具体操作过程遵守公司人力资源部的相关培训管内容1.除了严格考察该人员的业务技术水平和相关资质认证(相关计算机认证证书等)外，还必须考虑政治、社会和3.在签订劳动合同之外，必须签订《保密协议》,明确该员工明确所有保密事项，以及在离开公司后3年内不得披网络与信息安全领导小组及各生产中心安全管理组织对于不遵守公司信息安全管理制度和安全技术规范的员工的安全培训及教育由公司网络与信息安全办公室及各部门安全管理组织统一计划，公司人力资源部协助实依据之一。成员，其工作考核的一部分归属信息安全管理部门。(具体份额，人力资源部门和信息安全领导小组确定)2.安全岗位人员的培训教育安全岗位的人员需要进行相关安全管理技能的专业培牵头负责，安全岗位人员的培训成绩作为其相应工作考核项岗位名主管学历，计算机通业2.领导、组织信息安全管理制度和技术规学历，计算机/信息安全专业3.负责监督、检查信息安全工作情况，负责对各部门信息安全5.定期向信息安全主管汇报总体及各部门信息安全的工作情安全技术学历，计算机/4.负责监督、检查信息系统安全运行情况可用性)。理学历，计算机/信息安全专业2.组织技术支持处信息安全管理制度和技术规范3.负责落实外汇局信息安全在技术支持处的工作职责4.负责技术支持处建设项目及信息安全项6.定期就技术支持处信息安全管理的效果和有关重大问题及岗位名1.根据和各部门安全建设的要求，在规划中提前考虑信息安全因素；2.为系统建设提供安全功能开发和建设的指导；3.在项目建设中同步考虑项目的信息安全因素，做好安全加固等保障工作；4.为系统维护人员提供系统安全运行和维护的指导；系统维护1.在项目规划和建设阶段提出信息安全方面的建议；2.负责系统交维后的网络设备、操作系统、数据库等信息安全状况的检查和3.负责系统设备的日常运行、安全维护和管理工作，保持系统处于良好的运行状态；应用维护1.在应用系统规划和建设阶段提出信息安全方面的建议；2.负责系统交付后业务应用系统信息安全状况的检查和验收；3.负责业务和应用系统的日常运行、安全维护和管理工作，保持应用系统处于良好的运行状态；各省安全技术人员1.严格遵循安全管理办法的相关安全要求；员工安全1.配合信息安全管理员做好个人用机的安全检查和安全加固工作；2.严格遵循安全管理规定及技术规范等相关安全要求；(1)对于安全岗位人员的录用，除了应该遵守相关人(2)在严格考察该人员的业务技术水平和相关资质认证(相关计算机认证证书等)的同时，必须考虑政治、社会(4)在签订劳动合同之外，必须签订《保密协议》,(1)由于业务工作的需要或其他原因，需要对安全岗(2)根据新岗位的需要，增加、删除或修改该人员的(3)如有必要，修改保密协议，并拟定新的雇佣合同，(4)与原岗位有关的所有资料文件，包括其软硬拷贝(5)遵循“需要知道”原则，尽量避免由于不当或过(1)安全岗位人员在离职时，必须遵守以下安全操作(2)删除该员工的所有信息系统访问账号和权限，如(3)由相关人员和该员工一起回顾其签订的保密协议，并使该员工明确所有保密事项，以及在离开外汇局后3年内(1)员工安全管理由各部门专、兼职安全管理员具体接呈报给公司网络与信息安全领导小组作为公司各部门年(2)对执行制度好、信息安全工作成绩显著的部门和第六节第三方人员安全管理(一)物理安全第三方人员现场访问需要遵从公司物理安全的管理制(二)网络访问安全(1)临时接入公司办公网络的第三方人员，需要公司(2)临时接入公司生产网络的第三方人员，需要公司接待人员所属三级经理的同意，同时在本部门内部进行登记。一旦发生并经核实其起因是第三方人员引起的安全事(3)第三方人员远程访问公司网络原则上不允许。(1)临时远程访问公司网络的第三方人员，需要公司(2)临时远程访问公司网络的第三方人员在访问过程公司接待人员应及时关闭或敦促相关技术负责人员关闭临(一)物理安全(1)遵守公司物理安全管理制度，在公司安全保卫部(2)工作时间内机房必须有当班值班人员，对进入机(3)重要机房实行安全保卫管理，对第三方人员进入(4)第三方人员均应遵从机房管理人员的管理。三方人员安全保密协议》,承诺遵守公司安全制度及规范。(2)需要公司办公网管理部门相关工作负责人审批确(3)第三方人员在访问公司网络期间如违反公司安全(1)需要签署相关《第三方人员安全保密协议》,承(2)需要公司办公网管理部门(计费业务中心)相关(3)第三方人员在访问公司网络期间如违反公司安全申请表通审计结果通报进行处罚各案对第三方人员访问环境审计访问结束计算机网络系统的安全性主要是指内部安全与外部安作和工作人员接触到的敏感信息是否值得信赖的一种舍差络系统内软件(程序)与数据不被非法删改的一种技术手段，(一)威胁系统漏洞由于任何一个操作系统和网络软件在设计上存在缺陷恶意代码会通过漏洞很容易进入计算机系统对主机进行攻(二)欺骗技术攻击：(三)“黑客”的侵犯(四)计算机病毒攻击(五)网络物理设备故障问题(六)网络管理缺陷问题制，就容易导致病毒、黑客和非法受限用户入侵网络系统，减少网络故障的关键在于对网络的保养，即网络的维(一)硬件设备的维护很多开始不懂电脑人在面临电脑时总是担心电脑知识2释放身上静电(二)软件维护(一)网络安全的审计和跟踪技术审计和跟踪这种机制一般情况下并不干涉和直接影响(二)运用防火墙技术间的访问策略进行控制，限制被保护的网络与互联网络之(三)数据加密技术内容，使非法用户无法获取信息的真实内容的一种技术手(四)网络病毒的防范(五)提高网络工作人员的素质，强化网络安全责任第五章网络安全测试工具第一节常用测试工具(4)报告可以导出到Word、Excel以及HTML格式。8.ACT或称MSACT,它是微软的VisualStudio和10.PureLoad一个完全基于Java的测试工具，它的自动执行重复任务并优化测试工作，从而缩短测3.RationalRobot我经常使用的测试工具，属于程序支持的非常好，同时还支持JavaApplet、HTML、3.TrackRecord一款擅长于Bug管理的工具，与5.Jira是一个Bug管理工具，自带一个Tomcat4;同时般可以度量代码的各种指标，如McCabe测定复杂度，被执行的程度。这种工具大量的被应用于单元测试中，如具都有。例如系统测试阶段有功能测试自动化工具，如第二节渗透测试工具认证)的优秀人员维护，如今在各种方面都进行了优化，可虽然可以在自己的硬件上运行Kali,但渗透测试人员在用。哪些端口是开放的?这些端口上正在运行什么?对于侦和Censys这样的互联网搜索引擎以及BitSight这样的风险者也会进行端口扫描，因此需要进行日志记录以备将来参尝试之后，限制密码和断开用户连接是可以成功抵御攻击并且BurpSuite企业版的价格为每年3999美元。ZedAttackProxy(ZAP)几乎一样有效，它是完人),允许拦截流量进行检查和修改。它缺少Burp的许多细节，但是它的开放源代码许可证更容易进行大规模的部大家应该都听过SQL注入?接下来要介绍的是sqlmap。想检测客户的wifi或家庭wifi的安全性如何?用第六章管理制度第一节项目管理制度等级保护测评部的测评与建设服务质量监督管理纳入(1)全面领导等保测评部的质量管理工作，监督执行(2)确保质量部开展工作所需的各种资源；(3)审批质量部发展的中长期计划和年度计划；(4)主持重大质量问题的申诉，对等保测评部的质量(5)质量手册(方针、目标等)的发布者；(6)负责贯彻执行等保测评部应遵循的各种法律、法(7)负责主持制定质量方针、质量目标，并确保质量(8)主持质量管理体系的策划、建立，并完善实现等(9)主持管理评审和质量工作会，定期向等保测评部(10)负责质量问题和质量事故的申诉处理以及质量奖(11)制订质量部发展的中长期计划和年度计划，注重(12)负责组织对《等级测评报告》进行评估活动，并(13)根据等保测评与建设服务的论证签订等级保护测(14)调研分析对设备供应单位质量保证能力，确定供(15)落实质量部的保密制度和保密防范措施，对人员(16)负责与质量体系有关事宜的外部联络。2.质量部(1)履行企业法人代表赋予的职责；(2)贯彻执行等保测评部应遵循的各种法律、法规及(4)主持等级保护测评与建设服务的论证，组织《等(5)管理并监督等级保护测评部测评人员按国家有关(6)统筹安排等保测评部资源，确保每项测评工作顺(7)制定等级保护测评部测评人员技术培训计划，确(8)确保等保测评部专用设备的准确度，指定专人负1.测评部开展的等级保护测评与建设服务，严格按照质量要素优秀良好一般差进度(非测评组长可控因素除外)未按时完成，进度变更控制良好，延期在计划工期的未按时完成，延期在计划工期的25%内。未按时完成，进度变延期计划25%以上。测评成果及时提交完备的测评成果，文档材料规范。及时提交关键的测评成果，文档材料规范，得到质量主提交关键的测评成果，延期不文档材料不规范，但基本得到质量主管认可测评成果文档材料严重不规范，缺少关用户反馈《工作确认单》,表明服务规范，用户满意。认单》表明服务流程完成，用户认可。认单》,或用户主动反映现场测评存在缺陷，经核认单》,或测评客户投诉，后果对测评产生严重影响，经核查属实。质量主管根据上述三项服务考察要素的质量评定结果，管将向测评组长提交《测评与建设服务质量审核报告》,测评组长填写《纠正预防措施报告》,采取相应的纠正和预防(1)依据IS09001:2000质量管理体系的要求，对测(2)实施质量管理体系，测评部做到：(2)质量管理体系的范围：测评部按等级保护测评相关法规和技术标准的要求进行等级保护测评服务。包括(3)文件控制：测评过程中产生的各类文档和记录应文件的架构见“质量体系文件架构图”,并建立文件目录。备用时，则应作出适当鉴别(加盖作废章、保留章),并加(1)测评部各部门执行《等级保护测评与建设服务质量监督管理制度》对质量管理体系所需的质量记录予以控(2)测评部建立的《等级保护测评与建设服务质量监测评部测评部负责对等保测评与建设服务的被测系统过程活动后测评部部负责开发与被测信息系统相适应的测(1)根据被测评单位要求/相关的质检规范、国标、法(2)市场部接到客户的等级保护测评需求，将信息传递到测评部、管理部，测评部编制《项目计划书》,全面满(3)根据等级保护测评相关法规和技术标准的要求针(4)对各项测评过程及测评验收提供所需的记录，规(5)对测评活中输入输入的各类作业指导书、记录表行评审；确保输入是充分的，适宜的，要求不可自相矛盾，部主任和被测评单位批准；质量部针对测评输出(如测评记录和测评报告)进行评审，并由测评部主任审批后方可提交1.测评部提供可以说明测评有关特性的信息(测评方案、项目计划书等),对测评的重要节点进行重点控制；立《测评设备清单》,《编制保养计划》,《设备履历卡》,《维修记录》,确保测评设备的运行正常、测评数据准确。(2)测评与建设服务质量目标：等级保护测评报告评(3)顾客满意率：≥95%。(1)管理部：培训计划完成率98%;文件资料管理失误次数每年度小于3次。交付率80%;客户满意度95%。(5)质量部：质量管理体系完成100%;测评与建设服质量文件的修订测评部测评与建设服务质量监督管理质量管理体系产品实现的过程图市场部管理部N验评输证审出输入确认第二节项目保密管理制度2.目的为防止本品质不良或不具备一定技能的人员进入本公司，或不具备一定资格条件的员工被安排在关键或重要岗3.职责(1)行政部负责员工聘用、任职期间及离职的安全考察管理及保密协议的签订及其他相关人员的安全考察与控(2)各部门负责本部门员工的日常考察管理工作。(1)人员考察策略B.应聘者学历、个人简历的检查C.学术或专业资格的确认D.身份的查验(2)对录用人员的考察B.根据应聘者人事经历的记载，了解是否有重大惩戒及C.通过与应聘者沟通，并了解其应聘动机D.了解其从事的专业和具备的技术水准，是否符合该岗5.离职措施(1)员工离职涉及《秘密管理规程》的保密事项，应按要求采取相应的保密措施.(2)部门要加强员工离职时的涉密资料、口令等的交(3)部门在员工离职后要采取相应的技术防范措施，(4)公司和部门要做好员工离职的教育工作，告知其(1)员工必须在离职日前30天向本部门部长提出书面(2)部门长接到员工离职报告后，填写《员工特别事项处理意见表》,签署意见后送行政部。(3)行政部在《员工特别事项处理意见表》上签署意(4)员工离职得到批准，由部门通知离职员工来人事(5)办理离职手续(6)离职员工到行政部索取《员工离公司手续单》(7)离职员工按《员工离公司手续单》的内容至公司(8)离职员工移交完毕后，由行政部将《市职工退工(9)技术部门员工离职必须签订《双边保密协定》(10)员工离职后如发生泄密情况，应承担由此涉及的(1)参与公司经营战略规划制定；(2)负责为公司产品技术走向提供依据和技术分析；(3)负责对公司研发立项提供技术评审和可行性分析；(4)按照公司战略规划和研发规划逐步实施并最终完(5)为现有产品升级换代提供研发规划和技术支持；(6)为研发项目预算提供需求和预测；(7)将研发项目技术形成技术文档并列为机密文件，(8)按时提交部门工作报告并对存在的问题和困难提(9)根据产品需求及设计编制测试方案，制定测试计(10)负责实施集成测试，产品验证测试，汇总测试报(11)负责对公司研发阶段中的产品/半成品，执行功具《功能测试报告》,为产品开发提供依据；(12)负责对公司新开发出的产品执行设计验证，验证该设计阶段的输出是否满足设计输入要求，并出具测试报(14)及时反映测试中的问题，并提交项目进展报告；(15)严格执行相关的企业标准和行业/国家标准和规(16)严格执行公司的各项测试规章制度；(17)参与总体设计，合理控制、调配资源，使资源发(18)负责顾客满意度测量，配合项目支持部实施软件(1)根据公司下达的年度目标，制定、实施并完成本部门的年度服务计划和目标.(2)处理客户投诉(3)负责解决客户遇到的各种问题和困难。(4)组织公司产品的售后服务和维护管理(5)进行有效的客户管理和沟通，了解并分析客户需(6)负责收集客户产品使用情况和客户反馈意见.(7)负责指导客户产品的安装、使用、保养(8)负责客户产品故障提供技术支持，必要时上门进(9)端正服务态度，提高服务质量，一切工作以客户(10)建立客户服务团队以及对客服代表进行技术培训和新产品培训以及客户服务礼仪培训，打造高品质客服团为解决问题提供建议.(14)建立售后服务信息管理系统(客户服务档案、质量跟踪及反馈)。(1)负责档案整理、编目、鉴定、统计、排列和检索(2)负责库房档案的收进和移出工作，严格履行交接(3)负责库房内部整理，档案装具和案卷排放整(6)负责档案、资料调借工作。做到提供准确、及时(7)制作电子编目检索、存贮及调用档案；利用裱糊2.新调入或新任用涉及公司机密或客户信息岗位的职4.保密培训工作由人力资源部拟定月度、年度培训计(1)人力资源部每月坚持对涉密人员进行保密教育、(2)定期对服务人员进行考核，计入员工绩效考91.5分。第七章安全测评服务调研信息系统名称数据使用者或管理者及其访问权限业务处理信息类别数据安全性要求保密性S完整性S数据篡改或丢失将造成的影响可用性A系统中断将造成的影响影响系统系统开发人员、系统运维系统使用人员管理数业务数鉴别信息等高中低高中低数据篡改或丢失是否会引起法律纠纷和导致财产损失高中低描述系统中断对工作职能和业务能力的影响损失关办理备案手续，备案工作的流程是信息系统备案、受理、(1)协助定级(2)协助备案协助用户填写《信息系统安全等级保护备案表》,协助第一节定期风险评估定期风险评估体现了日常安全运维工作的规范化和专业化，根据客户信息系统的重要程度按不同周期持续的检定期风险评估能使客户的信息系统安全运行，向合规一、评估方式方式内容2次/年状况4次/年状况6次/年状况12次/年每个月一次完全检查，五级粒度了解系统安全状况自定义根据客户需要，自定义评估周期，完全风险管理解决方案以下是不同频率的定期风险评估方式对应的成本费用强2次/年章4次/年6次年12次/年强2次/年章4次/年6次年12次/年通用格式通用格式通用格式成本费用风险控制精度类型内容方式数据层面业务分析、逻辑合理性人工分析应用层面工具、手工主机层面通用的Windows和Unix工具、手工系统日志，包括：应用程序日志、系统日志、安全日志网络层面网络设备日志、安全日志工具、手工管理层面工作制度、业务流程、操作规范、人员安全查阅分析咨询建议物理层面主机设备、网络设备、安全设备、主机外设配电设备、防雷设备、温控设备、湿控设备、电源线路、通讯线路人工实地勘察确定评估方式确定评估内容制定评估实施计划定制安全评估方案差距分析前提是清晰地发现问题，通过对信息系统的安全状况的了施的指导性文档，需要的相关负责人根据实际情况进行确第二节技术体系符合性分析按照要求进行物理理安全置的选择择在具有防震、防风和防雨等能力的建筑内；2.机房场地应避免设在建筑物的高层或地下室，以及用水设备的下位置选址及楼层的物理访问控制1.机房出入口应安排专人值守，控制、鉴别和记录进入的人员；2.需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围；3.应对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在重要区域前设置交付或安装等过渡区域；4.重要区域应配置电子门禁系统，控制、鉴别按照基本要求进行人员配备，制定管理制度；对进出人员采用陪同或监控设备进行划分机房区域，加强对区域的管理和重要区域控制力防盗窃和防破坏1.应将主要设备放置在机房内；2.应将设备或主要部件按照基本要求进行建设。制定防盗窃防破坏相关管理制进行固定，并设置明显的不易除去的标记；3.应将通信线缆铺设在隐蔽处，可铺设在地下或管道中；存储在介质库或档案室5.应利用光、电等技术设置机房防盗报警系6.应对机房设置监控报进行光、电技术防盗报警系统的配防雷击1.机房建筑应设置避雷防止感应雷；3.机房应设置交流电源按照基本要求进行防火1.机房应设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火；2.机房及相关的工作房按照基本要求进行进行消防、耐火、间和辅助房应采用具有耐火等级的建筑材料；3.机房应采取区域隔离防火措施，将重要设备防水和防潮1.水管安装，不得穿过机房屋顶和活动地板下；2.应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透；3.应采取措施防止机房内水蒸气结露和地下积水的转移与渗透；4.应安装对水敏感的检测仪表或元件，对机房按照基本要求进行进行防水检测仪表防静电1.主要设备应采用必要的接地防静电措施；2.机房应采用防静电地按照基本要求进行温湿度控制动调节设施，使机房温、湿度的变化在设备运行电力供应1.应在机房供电线路上配置稳压器和过电压防护设备；2.应提供短期的备用电力供应，至少满足主要设备在断电情况下的正常运行要求；3.应设置冗余或并行的电力电缆线路为计算机系统供电；4.应建立备用供电系配备稳压器和过电压防护设备；配备UPS系统。设置冗余或并行的电力电缆线路，建立电磁防护1.应采用接地方式防止外界电磁干扰和设备寄生耦合干扰；2.电源线和通信线缆应隔离铺设，避免互相干3.应对关键设备和磁介按照基本要求进行进行接地，暂时无需电磁屏蔽措施。二、网络安全网结构安1.应保证主要网络设备根据高峰业务流络安全全的业务处理能力具备冗余空间，满足业务高峰期需要；2.应保证网络各个部分的带宽满足业务高峰期3.应在业务终端与业务服务器之间进行路由控制建立安全的访问路4.应绘制与当前运行情况相符的网络拓扑结构5.应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段；6.应避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之间用冗余设备部署；主要网络设备的处理能力以及各部分带宽均需满足业务高峰需要；合理规划路由及VLAN,在业务终端与业务服务器之间建立安全路径；在系统内、外通过防火墙进行有效隔离，保证重要网段采取可靠的技术隔离手7.应按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要主机。与其他网段之间进行可靠的隔离；网络设备规划带宽优先级，保证在网络发生拥堵的时候优先保护重要主机。访问控制1.应在网络边界部署访问控制设备，启用访问控制功能；2.应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级；3.应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制；4.应在会话处于非活跃一定时间或会话结束后终止网络连接；5.应限制网络最大流量数及网络连接数；通过仔细配置防火墙完成边界访问控TCP访问明确私有端口，以防恶意攻根据基本要求对隔离设备以及网络设备等制定相应的访问控制粒度、用户数量等。根据要求在配置防火墙等隔离设备的策略时要满足相应要求，包括：端口6.重要网段应采取技术手段防止地址欺骗；7.应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户；8.应限制具有拨号访问级的控制粒度；常见应用层协议命令过滤；会话控制；控制；防地址欺骗安全审计1.应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录；事件类型、事件是否成功及其他与审计相关的信息：3.应能够根据记录数据进行分析，并生成审计4.应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等。在业务服务器区交换机旁路部署网络审计系统(数据库),在互联网边界旁路部署网络审计系统(互联网),记录用户网络行为、网络设备运行审计记录包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信审计记录的保存，避免非正常删除、修改或覆盖。边界完整性检查1.应能够对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效2.应能够对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断。所有终端部署终端安全管理系统，启用非法外联监控以及安全准入功能进行边界完整性检查。在检测的同时要进行有效阻断。入侵防范以下攻击行为：端口扫描、强力攻击、木马后缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等；2.当检测到攻击行为核心交换机部署IDS入侵检测系统进行检测。包括：端口扫描、强力攻击、木马后门攻击等各类攻击行为。配置入侵检测系统的日志模块，记录时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在