等级保护安全设计方案

等级保护安全设计方案

■文档编号■密级商业机密

■版本编号■日期

目录

一.前言...........................................................................1

二.概述...........................................................................1

2.1项目目标......................................................................1

2.2设计原则......................................................................2

2.3依据标准......................................................................4

2.3.1主要依据标准..............................................................4

2.3.2辅助参考标准..............................................................5

三.安全现状、风险与需求分析.........................................................5

3.1安全现状分析..................................................................5

3.2安全需求分析..................................................................6

3.2.1系统间互联安全需求分析....................................错误!未定义书签。

3.2.2XX大汉信息系统安全需求分析...............................错误!未定义书签。

3.2.3投资广场信息系统安全需求分析..............................错误!未定义书签。

324XX大厦信息系统安全需求分析................................错误!未定义书签。

四.方案总体设计....................................................................10

4.1总体安全设计目标.............................................................10

4.2总体安全技术框架.............................................................11

4.2.1分区分域建设原则.........................................................11

4.2.2一个中心三重防护的安全保障体系...........................................12

4.2.3安全防护设计.............................................................13

五.等级保护详细安全建设方案........................................................14

5.1技术建设.....................................................................14

5.1.1网络安全建设..............................................错误!未定义书签。

5.1.2主机及应用系统安全建设....................................错误!未定义书签。

5.1.3数据安全及备份恢复建设...................................................19

刖百

随着我国信息化建设的不断深入，我们对信息系统的依赖越来越强，国家信

息基础设施和重要信息系统能否安全正常地运行宜接关系到国家安全、经济命脉、

社会秩序，信息系统安全问题已经被提到关系国家安全和国家主权的战略性高度,

已引起各界的关注。

由于信息系统的安全保障体系建设是一个极为复杂的工作，为信息系统组织

设计一套完整和有效的安全体系一直是个很大的难题。行业性机构、企事业单位

的信息系统应用众多，结构更杂，覆盖地域广阔，涉及的行政部门和人员众多，

建设起来困难重重，我国多数信息系统安全一直停留在网络安全阶段。为了保障

我国现代化建设的有序进行，必须加强我国的信息系统安全体系建设。

信息系统与社会组织体系是具有对应关系的，而这些组织体系是分层次和级

别的，因此各种信息系统是具有不同等级的重要性和社会、经济价值的。对信息

系统的基础资源和信息资源的价值大小、用户访问权限的大小、大系统中各子系

统的重要程度进行区别对待就是级别的客观要求。信息安全必须符合这些客观要

求，这就需要对信息系统进行分级、分区域、分阶段进行保护，这是做好国家信

息安全的必要条件。

二.概述

2.1项目目标

根据对XXXX运行监控系统的了解，并结合国家的相关政策标准，XXXX运

行监控系统的信息安全建设应落实《关于信息安全等级保护工作的实施意见》（公

通字【2004】66号）和《关于开展信息系统安全等级保护基础调查工作的通知》

（公信安（2005]1431号），实施符合国家标准的安全等级保护体系建设，通过

三、最小影响原则

评估工作尽可能小的影响系统和网络的正常运行，不能对现网的运行和业务

的正常提供产生显著影响（包括系统性能明显下降、网络拥塞、服务中断等）；

四、连续性原则

网络平台在进行网络设计时，不仅需要满足目前的需求，还要考虑到技术的

发展，具备适度的前瞻性，能够满足现今和将来一段时期的需要。同时还要为未

来系统的扩充与扩建留有余地和基础。既要考虑原有投资的保护，乂要兼顾未来

的发展和变化。本原则的贯彻主要体现在网络系统设计和应用系统设计方面，

五、实用性原则

实用性的原则的目的是在保证实用要求和技术可行性的前提下，要选择易于

操作和管理，应用见效快的技术和方案，以及适当档次和价格的设备。这主要指:

“从实际出发，讲求实效”，在通讯网络平台的设计中，首先要考虑的是实用性和

易于操作性，确保使用技术成熟的网络设备和通信技术，同时要考虑对现有设备

和资源的充分利用，保护原有的投资。

六、先进性原则

为了保证建设后的系统能在今后的一段时间内能够适应新出现的应用，将整

个网络系统的技术水平定位于一个较高的层次上，从而保证系统的先进性，以适

应新世纪的发展需要。

七、可扩展性原则

可扩充性和可延展性主要包括两个方面的内容：一是为网络将扩充新的节点

和新的分支预先作好硬件、软件和管理接口。二是网络必须具有升级能力，能够

适应网络新技术发展的要求。

八、可靠性原则

鉴于通讯网络规模较大，数据类型复杂，要求网络系统必须具有较高的可靠

性，和良好的网络管理能力，要充分考虑设备、线路和网络设计的冗余备份，网

络模块要能够热插拔，以便在线更换和扩充。另外，通讯网络系统较大，应能对

其进行有效的管理与维护。

九、安全性原则

在系统建设中，安全性原则应在各个方面予以高度重视，计算机网络的建设

也不能例外，特别是网络中和其他不可信网络进行了连接，有可能会发生这样那

样的蓄意破坏事件，威胁到网络的可靠安全运行。因此在网络系统设计和实施等

各个环节将严格遵循这项原则。在设计上采用恰当的技术手段为系统提供保护、

监视、审计等手段。

十、标准化、规范化

方案所采用的技术和设备材料等，都必须符合相应的国际标准或国家标准，

或者符合相关系统内部的相应规范。便于系统的升级、扩充，以及与其它系统或

厂家的设备的互连、互通。

2.3依据标准

XXXX运行监控系统属于国家信息建设的组成部分，其信息安全保障体系的建

设必须要符合国家相关法律和要求，我国对信息安全保障工作的要求非常重视，

国家相关监管部门也陆续出台了相应的文件和要求，从标准化的角度，XXXX运行

监控系统的安全规划应参考以下的政策和标准：

2.3.1主要依据标准

在本次安全策略开发中，依据的主要标准以等级保护为主，具体标准妇下：

令《证券期货业信息系统安全等级保护基本要求》(送审稿)

令《信息系统安全等级保护基本要求》(GB/T22239-2008)

◊《计算机信息系统安全保护等级划分准则》(GB17859-1999)

令《信息系统安全保护等级定级指南》(GB/T22240-2008)

令《信息系统等级保护安全设计技术要求》

令《信息安全等级保护实施指南》

。《信息安全技术网络基础安全技术要求》(GB/T20270-2006)

令《信息安全技术信息系统通用安全技术要求》(GB/T20271-2006)

令《信息安全技术操作系统安全技术要求》(GB/T20272-2006)

令《信息安全技术数据库管理系统通用安全技术要求》(GB/T

20273-2006)

令《信息安全技术信息系统安全等级保护基本模型》(GA/T709-2007)

2.3.2辅助参考标准

◊IS027000

令《关于开展信息安全风险评估工作的意见》2006年1月国家网络与

信息安全协调小组

令《关于印发《信息安全风险评估指南》的通知》2006年2月国信办

(国信办综[2006]9号)

令IATF：《信息保障技术框架》。由美国国家安全局组织编写，为信

息与信息基础设施的安全建设提供了技术指南。

令ISO/IEC15408(CC)：《信息技术安全评估准则》。该标准历经数

年完成，提出了新的安全模型，是很多信息安全理论的基础。

三.安全现状、风险与需求分析

3.1安全现状分析

说明：此拓扑为逻辑拓扑图，接口和系统为逻辑接口和逻辑系统模型，如有与

实际情况不符的地方可修改。

现状说明：

/系统的数据仓库专用网在XX大厦，本系统的数据对外交换平台，也是整

个系统的中枢环节。XX大厦的数据仓库专用网包括五个对外的逻辑接口。

接口1主要接收来自上交所、深交所、中登总部主机、期货保证金监控中

心、投保基金的数据；接口2接收来自互联网供应商的数据；接口3主要

接收来自人民银行、外管局、发改委、统计局的数据；接口4主要与投资

广场进行数据交互；接口5主要与XX大厦进行数据交互。系统内部在包

括WEB/APP、数据库服务器、磁盘阵列等。

/投资广场的系统开发人员和运维人员主要负责数据仓库专用网的开发和

运维工作，在投资广场包括两个接口，接=11主要负责与XX大厦进行数

据交互；接口2为互联网接口连接Internet,与内网系统物理隔离。

/XX大厦通过接口1与XX大厦进行数据交互，用户终端和管理服务器对数

据监控和管理。并且通过手工导入的方式向会内网导入一些会内网需要的

数据信息。

3.2安全技术需求分析

3.2.1主机安全需求分析

身份鉴别

需要对整个XXXX运行监测系统的终端和服务器进行安全配置或部署安全产

品，使操作系统和数据库系统的用户名不能相同且用户口令或密码具有不被仿冒

的特点，满足密码复杂性要求并定期对口令或密码进行更换；当用户口令或密码

输入错误达到一定数量需要采取一定的限制措施；远程管理时需要防止鉴别信息

被窃听。

访问控制

需要对XXXX运行监测系统的终端和服务器进行安全配置，删除多余的账号；

实现操作系统与数据库系统账户的权限分离；限制默认账户的访问权限。

安全审计

需要通过对XXXX运行监测系统的终端和服务相启用审计功能或部署安全产

品，对重要用户的行为和系统的运行状况进行审计旦应保障审计系统被恶意的删

除、修改或覆盖；审计记录应包括事件的日期、时间、类型、主体标识、客体标

识和结果等。

入侵防范

需要通过对XXXX运行监测系统的终端和服务器进行安全配置，保证其满足最

小安装原则，仅安装业务所需的软件程序；通过安全配置或部署安全产品进行补

丁的更新。

恶意代码防范

需要通过在XXXX运行监测系统的终端和服务器部署安全软件的方式，实现恶

意代码的防范，安全软件应当支持统一管理。

资源控制J

需要通过对XXXX运行监测系统的终端和服务器进行安全配置，实现登陆操作

系统超时锁定和设定用户对系统资源的使用限额；通过部署安全产品的方式限制

终端登陆方式。

3.2.2应用安全需求分析

身份鉴别

XXXX运行监测系统的各应用模块需要提供身份鉴别功能，并且通过应用模块

或者部署安全产品实现用户身份标识唯一化控制，提供登录失败处理功能，可采

取结束会话、限制非法登录次数和自动退出等措施。

访问控制

通过对XXXX运行监测系统的各应用模块的配置或通过部署安全产品，控制用

户对文件或表单等的访问，设置用户业务所需的最小权限并限制默认用户的访问

权限。

安全审计

通过对XXXX运行监测系统的各应用模块的配置或通过部署安全产品，对用户

的关键性动作进行审计，审计信息事件日期、时间、发起者信息、类型、描述和

结果等内容，并保证审计信息不能随意的添加、删除、修改和覆盖。

通信完整性

通过在XXXX运行监测系统部署安全产品实现，XX大厦与上交所、深交所、中

登主机、期货监控、投保基金，XX大厦与投资广场、XX大厦等在进行数据交换过

程数据的完整性保护。

通信保密性

通过在XXXX运行监测系统部署安全产品对传输数据进行加密实现，XX大厦与

上交所、深交所、中登主机、期货监控、投保基金，XX大厦与投资广场、XX大厦

等在进行数据交换过程数据的保密性保护。

软禁容错

XXXX运行监测系统各应用模块的开发要满足容错的要求，提供数据有效性检

验功能，保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统

设定要求；在软件故障发生时，应用系统应能够继续提供一部分功能，确保能够

实施必要的措施。

资源控制

资本运行监测系统通过自身开发或者部署安全产品，对用户访问资源的情况进

行限制，对系统的最大并发连接进行限制，应用系统的通信双方中的一方在一段

时间内未作任何响应，另一方应能够自动结束会话。

3.2.3数据安全及备份恢复

数据完整性保护

通过在XXXX运行监测系统部署安全产品或通过应用软件的开发，保护数据在

传输过程中完整性不遭到随意破坏。

数据保密性保护

通过在XXXX运行监测系统部署安全产品或通过应用软件的开发，对鉴别信息

进行保密性保护。

备份和恢复

XXXX运行监测系统通过备份恢复的机制，对于重要数据要每天进行备份，并

且定期进行恢复检测；关键设备要有备机、备件，通信链路也要有冗余机制，

3.3安全管理需求分析

3.3.1安全管理制度

为保障资本运行监测系统安全运行，应当有专门的部门和人员负责安全管理制

度的制定，说明机构安全工作的总体目标、范围、原则和安全框架等；并对管理

制度进行评审和修订。

3.3.2安全管理机构

为保障资本运行监测系统安全运行，应设立专门的安全管理机构，并对岗位设

置、人员配备、授权和审批、沟通和合作、审核和检查等方面进行管理和规范。

3.3.3人员安全管理

为保障资本运行监测系统安全运行，应制定人员安全管理规定，在人员录用、

人员离岗、人员考核、安全意识教育和培训、外剖人员访问管理等方面制定相应

的管理办法。

3.3.4系统建设管理

为保障资本运行监测系统安全运行，在系统定级、安全方案设计、产品采购和

使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、安全服

务上选择等系统建设管理方面要制定相应的管理制度和手段。

3.3.5系统运维管理

为保障资本运行监测系统安全运行，在系统运维过程中要有环境管理、资产管

理、介质管理、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、

变更管理、备份与恢复管理、安全事件处置、应急预案管理等管理制度和规定。

U!方案总体设计

4.1总体安全设计目标

通过分区分域的安全建设原则，根据XXXX运行监控系统业务流的特点，将整

个信息系统进行区域划分，突出了安全建设的重点，并且为“一个中心，三重防

护”的安全保障体系提供了清晰的脉络，针对重点区域部署相对应的安全产品，

达到等级保护要求的标淮。

4.2总体安全技术框架

4.2.1分区分域建设原则

安全访问控制的前提是必须合理地分区分域，通过划分安全域的方法，将信

息系统按照业务流程的不同层面划分为不同的安全域，各个安全域内部又可以根

据功能模块划分为不同的安全子域，安全域之间的隔离与控制通过部署不同类型

和功能的安全防护设备和产品，从而形成相辅相成的多层次立体防护体系。通过

对系统的分区分域，不仅使网络结构清晰，而且防护重点明确，从而实现信息系

统的结构化安全保护。

对于信息系统，分区分域的过程应遵循以下基本原则：

＞等级保护的符合性原则：对此模拟平台的搭建要符合等级保护相关标准的

“一个中心、三重防护”的要求。

＞业务保障原则：分区分域方法的根本目标是能够更好的保障网络上承载的

业务，在保证安全的同时，还要保证业务的正常运行和效率；

＞结构简化原则：分区分域方法的直接目的和效果是将信息（应用）系统整

个网络变得更加简单，简单的逻辑结构便于设计防护体系。比如，分区分

域并不是粒度越细越好，区域数量过多，过杂可能会导致安全管理过于复

杂和困难；

＞立体协防原则：分区分域的主要对象是信息（应用）系统对应的网络，在

分区分域部署安全设备时，需综合运用身份鉴别、访问控制、安全审计等

安全功能实现立体协防；

＞生命周期原则：对于信息（应用）系统的分区分域建设，不仅要考虑静态

设计，还要考虑变化因素，另外，在分区分域建设和调整过程中要考虑工

程化的管理。

在遵循以上原则的前提下，对信息系统进行安全区域划分。为了突出重点保护

的等级保护原则，根据XXXX运行监控系统的业务信息流的特点，将XXXX运行监

控系统进行区域划分。

分区分域规划图

4.2.2一个中心三重防护的安全保障体系

分区分域的建设原则按照信息系统业务处理过程将系统划分成计算环境、区

域边界和通信网络三部分，以计算环境安全为基础对这三部分实施保护，构成由

安全管理中心支撑下的计算环境安全、区域边界安全、通信网络安全所组成的三

重防护体系结构。

安全管理中心实施对计算环境、区域边界和通信网络统一的安全策略管理，

确保系统配置完整可信，确定用户操作权限，实施全程审计追踪。从功能上可细

分为系统管理、安全管理和审计管理，各管理员职责和权限明确，三权分立，相

互制约。

计算环境安全是信息系统安全保护的核心和基础。计算环境安全通过终端、

服务器操作系统、上层应用系统和数据库的安全机制服务，保障应用业务处理全

过程的安全。通过在操作系统核心层和系统层设置以强制访问控制为主体的系统

安全机制，形成严密的安全保护环境，通过对用户行为的控制，可以有效防止非

授权用户访问和授权用户越权访问，确保信息和信息系统得保密性和完整性，从

而为业务应用系统的正常运行和免遭恶意破坏提供支撑和保障。

区域边界对进入和流出应用环境的信息流进行安全检查和访问控制，确保不

会有违背系统安全策略的信息流经过边界，边界的安全保护和控制是信息系统的

第二道安全屏障。

通信网络设备通过对通信双方进行可信鉴别验证，建立安全通道，实施传输

数据密码保护，确保其在传输过程中不会被窃听、篡改和破坏，是信息系统的第

三道安全屏障。

4.2.3安全防护设计

安全部署图

注：产品部署图为逻辑拓扑图，实际产品部署方式和数量要根据网络系统建设完成后的状况

进行修订。

XX大厦的计算环境中，测试区和WEB/APP、数数据库服务器分别建立不同的

网段进行隔离；在所有主机上部署防病毒软件；服务器都要进行安全配置。区域

边界方面，测试区与应月数据区进行数据交换式，要通过防火墙进行隔离；WEB/APP

与数据而服务器进行数据交换时，只在核心交换区开放数据交换需要通信的IP和

端口；在核心交换区部署网络审计系统，对通过核心交换区的数据进行审计，并

对数据库的使用进行审计；在应用数据区前部署IPS,保护重要服务器免受入侵；

在在核心交换区部署IDS系统，对网络中的入侵行为进行审计追踪。传输网络方

面上交所、深交所、中登主机等于XX大厦通信的数据保密性要求较高;需要通过

加密机对数据进行加密处理。

XX大厦的计算环境方面，终端和服务器要安装杀毒软件，用户终端需要安装

桌面管理系统进行统一管理，服务器需要进行安全配置.；用户终端和服务器区分

配不同的网段进行隔离，通过交换区进行数据交换。区域边界方面，在交换区部

署网络审计系统，对数据流量进行审计核查；在外部边界区部署防火墙。

投资广场的计算环境方面，终端和服务器要安装杀毒软件，内部用户终端需

要安装桌面管理系统进行统一管理，服务器需要进行安全配置；外部开发人员、

内部开发人员和维护人员分配不同的网段进行隔离，通过交换区进行数据交换。

在外部边界区部署防火墙；与互联网通信的终端，要和内网用户做完全的物理隔

离，并且通过防火墙和内容安全管理系统进行隔离和对网络访问行为进行核直。

五.等级保护详细安全建设方案

根据系统总体安全状况与需求分析指标的符合程度，针对信息系统中不符合

指标的各个分析对象，如安全控制、管理制度等，提出相应的整改建议和措施，

对信息系统的安全防护进行加固，从而保障信息系统运营、使用的安全性和连续

性，也为信息系统安全运维及后续等级保护测评做好充足的准备和良好的铺垫。

5.1技术建设方案

资本运维监控平台信息安全技术建设的核心设计思想是：构建集防护、睑测、

响应、恢复于一体的安全保障体系。以全面贯彻落实等级保护制度为核心，打造

科学实用的信息安全防护能力、安全风险监测能力、应急响应能力和灾难恢复能

力，切实保障信息安全，

另外，资本运维监控平台信息系统技术层面的设计充分遵从国家特别是公安

部等级保护的相关标准要求。按照公安部颁布的《信息系统等级保护定级指南》

完成信息系统的定级备案工作、按照《信息系统等级保护技术要求》进行技术保

障设计。

信息安全技术体系的作用是通过使用安全产品和技术，支撑和实现安全策略,

达到信息系统的保密、完整、可用等安全目标。安全技术体系由物理安全、网络

安全、主机系统安全、应用安全、数据安全及备份恢复五个部分组成。

5.1.1主机安全建设

终端管理系统和杀毒软件

>终端管理系统

通过终端管理系统所提供的安全机制。如通过身份认证机制可以确保非授权

用户无法登录服务器，从而保证能够访问服务器的用户是可控的；通过访问控制

机制可以限制用户的权限，规定用户能做什么，不能做什么，防止越权访问，确

保服务器中的重要数据无法被非法泄露或窃取；通过数据加密保护机制，确保非

授权用户无法获取服务器中的的重要数据；通过执行程序真实性和完整性度量，

确保服务器操作系统无法被病毒、木马、攻击程序等恶意代码破坏；通过用户行

为审计机制，可以防违规行为的抵赖，做到事后追查。

>杀毒软件

查杀整个系统中的各种病毒、木马等恶意代码，并且能够对所有主机的病毒

库进行统一升级和管理，

【合规性要求】：

控制类控制点指标名称措施名称改进动作改进对象

应启用访问控制功能，依据安全产品配操作系统

访问控制策

主机安全访问控制a安全策略控制用户对资源置

略

的访问；

应根据管理用户的角安全产操作系

色分配权限，实现管理用户管理用户权品配置统

主机安全访问控制b

的权限分离，仅授予管理用限最小化

户所需的最小权限：

应实现操作系统和数安全产操作系

特权用户权

主机安全访问控制c据库系统特权用户的权限品配置统

限分离

分离；

应严格限制默认帐户安全产操作系

的访问权限，重命名系统默限制默认帐品配置统

主机安全访问控制d

认帐户，修改这些帐户的默户

认口令：

应及时删除多余的、过安全产操作系

主机安全访问控制期的帐户，避免共享帐户的清理帐户品配置统

存在。

应能够检测到对重要安全产操:作系

服务器进行入侵的行为，能品配置统

采购与配置

够记录入侵的源IP、攻击的

主机安全入侵防范主机入侵检

类型、攻击的目的、攻击的

测软件

时间，并在发生严重入侵事

件时提供报警：

配置主机入安全产操作系

应能够对重要程序的

侵检泅软件品配置统

完整性进行检测，并在检测

主机安全入侵防范的完挖性检

到完整性受到破坏后具有

测和恢复功

恢复的措施：

能

操作系统应遵循最小安全产操作系

安装的原则，仅安装需要的品配置统

主机最小安

主机安全入侵防范组件和应用程序，并通过设

装

置升级服务器等方式保持

系统补丁及时得到更新。

操作系统应遵循最小安全产操作系

安装的原则，仅安装需要的品配置统

设置补丁服

主机安全入侵防范组件和应用程序，并通过设

务器

置升级服务器等方式保持

系统补丁及时得到更新。

控制类控制点指标名称措施名称改进动作改进对象

应通过设定终端接入安全产操作系

主机安全配

主机安全资源控制a方式、网络地址范围等条件品配置统

置与加固

限制终端登录；

应根据安全策略设置主机安全配安全产操作系

主机安全资源控制b

登录终端的操作超时锁定；置与加固品配置统

采购部署网安全产操作系

应对重要服务器进行监视，

管监控系品配置统

包括监视服务器的CPU、硬

主机安全资源控制c统，实现重

盘、内存、网络等资源的使

要服务器监

用情况：

控

应限制单个用户对系统资主机安全配安全产操作系

主机安全资源控制d

源的最大或最小使用限度：置.与加固品配置.统

配置网管系安全产操作系

应能够对系统的服务水平统的监控与品配置统

主机安全资源控制降低到预先规定的最小值报警，实现

进行检测和报警。服务水平监

控

5.1.2应用安全建设

网络安全审计系统

对于网络访问的审计已经在网络安全建设中提出了完整地解决方案，先就应

用层的安全审计提出具体解决方案。

＞细粒度的网络内容审计：安全审计系统可对网站访问、邮件收发、远程终端访

问、数据库访问、论坛发帖等进行关键信息监测、还原；

＞全面的网络行为审计：安全审计系统可对网络行为，如网站访问、邮件收发、

数据库访问、远程终端访问、即时通讯、论坛、在线视频、P2P下载、网络

游戏等，提供全面的行为监控，方便事后追查取证；

＞综合流量分析：安全审计系统可对网络流量进行综合分析，为网络带宽资源的

管理提供可靠策略支持；

满足《基本要求》中的控制点

控制类控制点指标名称措施名称改进动作改进对象

审计范围应覆盖到服务器和重要客

应用安全审计数据用户行

户端上的每个操作系统用户和数据库用采购部署

安全审计记录要求为

户

审计内容应包括重要用户行为、系统

应用安全审计数据网络审计用户行

资源的异常使用和重要系统命令的使用

安全审计记录要求功能配置为

等系统内重要的安全相关事件

应用安全审计记录应包括事件的日期、时间、审计数据网络审计用户行

安全审计类型、主体标识、客体标识和结果等分析与报表功能配置为

应用安全应能够根据记录数据进行分析，并生审计数据网络审计用户行

安全审计成审计报表分析与报表功能配置为

数据安全应能够检测到系统管理数据、鉴别信息和

数据完整重要业务数据在传输过程中完整性受到数据完整性检数据库审计

及备份恢a数据库审计

破坏，并在检测到完整性错误时采取必要

性验功能配置

复的恢复措施

数据安全应能够检测到系统管理数据、鉴别信息和

数据完整重要业务数据在存储过程中完整性受到数据完整性检数据库审计

及备份恢b数据库审计

性破坏，并在检测到完整性错误时采取必要验功能配置

复的恢复措施。

5.1.2.2堡垒主机

于传统网络安全审计主要通过旁路镜像或分光方式，分析网络数据包进行审计，导致该

系统只能对一些非加密的运维操作协议进行审计，如telnet：却无法对维护人员经常使用的

SSH、RDP等加密协议、远程桌面等进行内容审计。

>集中账号管理：堡垒机建立基于唯一身份标识的全局实名制管理，通过对用户从登录到

退出的全程操作行为审计，监控用户对被管理设备的所有敏感关键操作

>集中访问控制：堡垒机通过集中统一的访问控制和组粒度的命令级授权策略，确保用户

拥有的权限是完成任务所需的最小权限。

满足《基本要求》中的控制点

控制类控制点指标名称措施名称改进动作改进对象

网络设备配置登录身份通过堡垒主机

网络安全a应对登录网络设备的用户进行身份鉴别：网络设备

防护鉴别进行强制管理

网络设备应对网络设备的管理员登录地址进行限配置登录地址通过堡垒主机

网络安全b网络设备

防护制限制进行强制管理

网络设备身份鉴别信息应具有不易被冒用的特点，配置口令复杂通过堡垒主机

网络安全e网络设备

防护口令应有复杂度要求并定期更换；度与更换要求进行强制管理

应具有登录失败处理功能，可采取结束会

网络设备配置登录失败通过堡垒主机

网络安全f话、限制非法登录次数和当网络登录连接网络设备

防护处理功能进行控制

超时自动退出等措施

当对网络设备进行远程管理时，应采取必

网络设备评理采用SSH等通过堡垒主机

网络安全g要措施防止信息在网络传输过程中被窃网络设备

防护加密方式实现

听

网络设备通过堡垒主机

网络安全h应实现设备特权用户的权限分离。用户权限分离网络设备

防护进行配置

应及时删除多余的、过期的帐户，避免共通过堡垒主机操作系统与

主机安全访问控制e清理帐户

享帐户的存在。进行强制管理数据库

主机安全访问控制b应根据管理用户的角色分配权限，实现管管理用户权限通过堡垒主机操作系统与

理用户的权限分离，仅授予管理用户所需最小化进行配置.数据库

的最小权限

应严格限制默认帐户的访问权限，重命名通过堡垒主机操作系统与

主机安全访问控制d限制默认帐户

系统黠认帐户，修改这些帐户的默认口令进行强制管理数据库

应根据安全策略设置登录终端的操作超通过堡垒主机

主机安全资源控制b主机安全配置操作系统

时锁定进行配置

5.1.3数据安全及备份恢复建设

数据是资本运维监控平台保护的核心内容。数据的安全防护要求包括机密性、

完整性、可用性。机密性则通过加密方式对敏感数据进行加密操作。数据完整性

通过数字摘要技术结合应用系统保证数据交换传输过程的完整。数据可用性则通

过数据备份冗余操作实现。

在分析了应数据安全及备份恢复的需求以后，数据安全及备份恢复层的安全

需求可以分为以下几种类型：

＞数据完整性

＞数据保密性

＞备份和恢复：

数据的保密性和完整性需要通过备份机制来实现，备份机制是针对可能发生

的计算机网络与信息系统（重点包括：网站系统、基础物理环境、网络故障、病毒

的预案等）突发（灾难）事件进行预先防范安排，通过部署数据备份设备和备份系

统来保证安全事件发生时以最快速度做出反应，控制和减轻破坏造成的影响，提

高数据的安全性。

5.2管理设计方案

除了采用信息安全技术措施控制信息安全威胁外，安全管理措施中国证监会XXXX运行

监测系统等级保护建设中必不可少的内容，所谓“三分技术，七分管理”就是这个道理。安

全技术措施和安全管理措施可以相互补充，共同构建全面、有效的信息安全保障体系。根据

《信息系统安全等级保护基本要求》，安全管理体系主要从如下内容考虑：

♦安全管理机构

♦安全管理制度

♦人员安全管理

♦系统建设管理

♦系统运维管理

5.2.1安全管理机构

《信息系统安全等级俣护基本要求》在岗位设置、人员配备、授权和审批、沟通和合作、

审核和检杳等方面对安全管理机构提出了具体的要求。针对XXXX运行监测系统应该建立专

门的安全职能部门，配备专门的安全管理人员，管理应用系统的信息安全管理工作，同时对

安全管理人员的活动进行指导。

5.2.2安全管理制度

《信息系统安全等级俣护基本要求》在管理制度、制定和发布、评审和修订等三个方面

对安全管理制度提出了要求。中国证监会在XXXX运行监测系统建设过程中应根据实际情况,

在系统负责人的领导下，组织相关人员制定和发布相关安全管理制度、安全运维制度和安全

操作规程等，并做好相关制度的培训和落实，在系统运行过程中，要定期对相关制度进行评

审和修订。

5.2.3人员安全管理

人员安全管理要求在人员的录用、离岗、考核、培训以及第三方人员管理上，都要考虑

安全因素。

■人员入职管理：从信息安全角度对在人员录用过程中各流程提出安全需求。

■人员在职管理：从员工信息安全守则、系统用户信息安全考核、教育培训三个

方面提高在职人员的信息安全意识。

■人员离职管理：分析员工在离职过程中存在的信息安全风险。

■第三方人员安全管理：对第三方人员进行定义，阐述第三方人员管理中存在的

信息安全风险，并需要采取的管理方法。

5.2.4系统建设管理

《信息系统安全等级俣护基本要求》在系统建设管理阶段针对系统定级、安全方案设计、

产品采购、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、安

全测评、安全服务商选择等等方面提出了具体的要求。在前，系统定级、系统备案的工作已

经或即将完成。工程实施、测试验收、系统交付等方面需要在产品购买后进行。而其他的一

些方面，如自行软件开发、外包软件开发等，这里不涉及。在安全服务商选择方面，我们建

议系统的相关领导，选择有实力，有信誉的专业安全服务厂商。关于安全方案的设计，请详

见本文《安全技术体系建设》章节。

5.2.5系统运维管理

《信息系统安全等级俣护基本要求》在环境管理、费产管理、介质管理、设备管理、监

控管理、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与

恢复管理、安全事件处置、应急预案管理等13个方面对系统运维管理进行了详细的要求，是

等级保护管理体系建设最为重要的部分。

系统运维管理方面，本方案建议通过内部管理人员维护和采用专业安全厂商的安全服务

相结合的方式来实现。

在一定程度匕说，安全服务是一种专业经验服务。安全服务提供商长期的服务经验积累、

对行业的深刻理解、处理安全问题（事件）的最佳做法、科学的安全思维方式、正确的安全

思维方法都是为用户提供完善安全解决方案的动力来源。

针对以上五个方面的管理合规性建设，建议考虑在系统建设过程中，首先考虑制订和完

善信息安全管理制度，达到合规性的要求，再逐步不断完善和落实安全这些管理制度，并不

断完善和修订，建议建设完善以下管理制度。

文档编号名称主要内容

木文档是一个总体的策略性架构文

中国证监会XXX机构信

MAN-001件，作为各个分项安全制度设计的指

息安全策略

导文件

信息安全策本文档规定了中国证监会XXX机构采

略用的信息安全风险管理方法和过程，

中国中国证监会XXX机

RM-002通过识别风险分析和控制措施实施

构风险管理策略

将信息安全风险控制在可接受的水

平，保持业务持续性发展，以满足信

息安全管理的要求。

中国证监会XXX机构安本文档明确信息安全管理体系的组

0RG-001

全管理组织架构织，对信息相关人员职责进行规范。

信息安全组

本文档说明了信息安全管理组织内

织中国证监会XXX机构系

0RG-002部各角色的定义，角色FI常工作职

统运维岗位职责

责，日常活动的授权和审批要求。

本文档说明了有效管理和正确识别

中国证监会XXX机构资中国证监会XXX机构的各种信息资

ASS-001

产分类与分级管理规范产，提供统一的分类分级方法和编号

原则

本文档说明了如何对介质进行管理，

中国证监会XXX机构移

ASS-002包括介质的定义、使用、维护和销毁

动介质管理规定

管理。

本文档说明了办公电脑的分类、领

中国证监会XXX机构办

ASS-003用、更换、归还、维护和外来人员电

资产管理公电脑管理办法

脑的管理规范。

中国证监会XXX机构邮本文档说明了邮件系统的使用规范

ASS-004

件系统使用规范和运行维护职责等内容。

本文档说明了泄密危害级别、秘密等