等级保护三级建设方案

等级保护三级建设方案

XX

等级保护三级

建设方案

1概述

1.1等级保护工作背景

2003年9月中办国办颁发《关于加强信息安全保障工作的意见》

中办发[2003]27号中指出：“要重点保护基础信息网络和关系国

家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立

信息安全等级保护制度，制定信息安全等级保护的管理办法和技

术指南”。2004年11月四部委会签《关于信息安全等级保护工

作的实施意见》公通字[2004]66号强调信息安全等级保护制度是

国家在国民经济和社会信息化的发展过程中，提高信息安全保障

能力和水平，维护国家安全、社会稳定和公共利益，保障和促进

信息化建设健康发展的一项基本制度。2007年7月四部委会签

《关于印发《信息安全等级保护管理办法的通知》公通[2007]43

号。2016年11月十二届全国人大第二H^一次三次审议表决通过

了网络安全法，这部我国网络领域的基础性法律将干2017年6

月1日正式实施。网络安全法第二十一条明确国家实行网络安全

等级保护制度。网络运营者应当按照网络安全等级保护制度的要

求，保障网络免受干扰、破坏或者未经授权的访问，防止网络数

据泄露或者被窃取、篡改。

XXX经过多年的信息化推进建设，信息化应用水平正不断提高,

信息化建设成效显著。为促进XXX信息安全发展，响应国家和上

级要求，进一步落实等级保护，夯实等级保护作为国家信息安全

国策的成果，XXX计划参照《计算机信息系统安全等级保护划分

准则》(GB/T17859-1999)和《信息安全技术信息系统安全等

级保护定级指南》(GB/T22240-2008)要求将XXX系统和XXX

系统拟定为三级，按照《信息安全技术信息系统安全等级保护基

本要求》(GB/T22239.2008)完成两个系统三级等保建设。同时

为提高全网安全防护能力，XXX计划整网参照等保标准建设。

1.2等级保护工作流程

图1等级保护工作流程

1.3安全等级划分

根据《关于印发信息安全等级保护管理办法的通知》（公通字

[200刀43号）：国家信息安全等级保护坚持自主定级、自主保护

的原则。信息系统的安全保护等级应当根据信息系统在国家安全、

经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家

安全、社会秩序、公共利益以及公民、法人和其他组织的合法权

益的危害程度等因素确定。信息系统的安全保护等级分为以下五

级：

信息系统安全保护等级

1.3.1定级流程

确定信息系统安全保护等级的一般流程如下：

I确定作为定级对象的信息系统；

I确定业务信息安全受到破坏时所侵害的客体;

I根据不同的受侵害客体，从多个方面综合评定业务信息安全被

破坏对客体的侵害程度；

I根据业务信息安全等级矩阵表得到.业务信息安全等级;

I确定系统服务安全受到破坏时所侵害的客体；

I根据不同的受侵害客体，从多个方面综合评定系统服务安全被

破坏对客体的侵害程度；

I根据系统服务安全等级矩阵表得到系统服务安全等级；

I由业务信息安全等级和系统服务安全等级的较高者确定定级

对象的安全保护等级。

上述步骤如下图流程所示：

业务信息安全等级矩阵表

系统服务安全等级矩阵表

1.3.2定级结果

根据上述定级流程，各主要系统定级结果为:

一、XXX系统

业务信息安全保护等级：

系统服务安全保护等级：

因此XXX系统定级结果为S3A3G3o

二、XXX系统

业务信息安全保护等级：

系统服务安全保护等级：

因此XXX系统定级结果为S3A3G3。

2需求分析

2.1安全现状

XXX系统和XXX系统的基本情况，按照物理、网络、主机、应用、

数据、管理六个层面进行，可根据实际情况进行修改；同时根据

安全域划分的结果，在分析过程中将不同的安全域所面临的风险

与需求予以对应说明。

2.2整体网络架构

现网总体拓扑图

2.3需求分析

2.3.1安全技术需求分析

2.3.1.1安全计算环境需求分析

计算环境的安全主要是物理、主机以及应用层面的安全风险与需

求分析，包括：物理机房安全、身份鉴别、访问控制、系统审计、

入侵防范、恶意代码防范、软件容错、数据完整性与保密性、备

份与恢复、资源合理控制、剩余信息保护、抗抵赖等方面。

根据XXX自评估结果，现网如要达到等级保护三级关于安全计算

环境的要求，还需要改进以下几点：

物理机房安全：根据物理机房情况描述，看看是否需要整改。

数据库审计：现网XXX系统和XXX系统都缺少针对数据的审计设

备，不能很好的满足主机安全审计的要求，需要部署专业的数据

库审计设备。

运维堡垒机：现网XXX系统和XXX系统都未实现管理员对网络设

备和服务器管理时的双因素认证，计划通过部署堡垒机来实现。

主机审计：现网XXX系统和XXX系统主机自身安全策略配置不能

符合要求，计划通过专业安全服务实现服务器整改加固。

主机病毒防护：现网XXX系统和XXX系统缺少主机防病毒的相关

安全策略，需要配置主机防病毒系统。

备份与恢复：现网没有完善的数据备份与恢复方案，需要制定相

关策略。同时现网没有实现对关键网络设备的冗余，本期计划部

署双链路确保设备冗余。

另外还需要对用户名/口令的复杂度，访问控制策略，操作系统、

WEB和数据库存在的各种安全漏洞，主机登陆条件限制、超时锁

定、用户可用资源阈值设置等资源控制策略的合理性和存在的问

题进行一一排查解决。

2.3.1.2安全区域边界需求分析

区域边界的安全主要包括：边界访问控制、边界完整性检测、边

界入侵防范以及边界安全审计等方面。

根据XXX自评估结果，现网如要达到等级保护三级关于安全区域

边界的要求，还需要改进以下几点：

边界访问控制：需要优化网络结构，根据XXX业务情况合理划分

安全域，合理划分网段和VLAN；对于重要的信息系统的网络设

施采取冗余措施；访问控制需要在构建安全计算环境的基础上,

依托防火墙等安全设备进行访问控制。现网需要在边界部署下一

代防火墙实现边界访问控制，在各个重点安全域部署下一代防火

墙来实现各安全域的重点隔离防护。

边界入侵防范：现网没有实现边界攻击防护，需要新增入侵防御

系统/或新增下一代防火墙IPS功能模块。

恶意代码防范：主机恶意代码防护通过部署终端病毒查杀软件实

现，网络边界恶意代码防护需要部署卜一代防火墙，开启AV防

病毒功能，并且要求网络层与主机的恶意代码库不同。

防web应用层攻击：现网目前未做应用层攻击防护，计划新增

WEB应用防火墙和网页防篡改系统。

互联网出口安全审计：现网未实现对网络行为进行精细化识别和

控制，需要部署上网行为管理产品来保障网络关键应用和服务的

带宽，对网络流量、用户上网行为进行深入分析与全面的审计。

边界完整性保护：边界没有实现非法外轶，需要部署终端安全管

理设备。

安全通信网络需求分析

通信网络的安全主要包括：网络结构安全、网络安全审计、网络

设备防护、通信完整性与保密性等方面。

根据XXX自评估结果，现网如要达到等级保护三级关于安全通信

网络的要求，还需要改进以下儿点：

网络结构：网络结构是否合理直接影响着是否能够有效的承载业

务需要。因此网络结构需要具备一定的冗余性；带宽能够满足业

务高峰时期数据交换需求；并合理的划分网段和VLANo现网核

心交换需要实现双机冗余部署，提高通信网络高可用性。

通信完整性和保密性：由于网络协议及文件格式均具有标准、开

发、公开的特征，因此数据在网上存储和传输过程中，不仅仅面

临信息丢失、信息重复或信息传送的自身错误，而且会遭遇信息

攻击或欺诈行为，导致最终信息收发的差异性。因此，在信息传

输和存储过程中，必须要确保信息内容在发送、接收及保存的一

致性；并在信息遭受篡改攻击的情况下，应提供有效的察觉与发

现机制，实现通信的完整性。而数据在传输过程中，为能够抵御

不良企图者采取的各种攻击，防止遭到窃取，应采用加密措施保

证数据的机密性，因此现网需要部署VPN等安全设备。

网络审计：如果有些管理用户出现误操作，将给信息系统带来致

命的破坏。没有相应的审计记录将给事后追溯带来困难。有必要

进行基于网络行为的审计。同时可以震慑有恶意企图的少部分用

户，利于规范正常的网络应用行为。

2.3.1.4安全管理中心需求分析

“三分技术、七分管理”更加突出的是管理层面在安全体系中的

重要性。除了技术措施外，安全管理是保障安全技术手段发挥具

体作用的最有效手段，安全管理中心是实现安全管理的有力抓手。

根据XXX自评估结果，现网如要达到等级保护三级关于安全管理

中心的要求，还需要改进以下几点：

现网没有一个能对整网安全事件、安全威胁进行分析响应处理的

平台，本期需要新增统一安全监控管理平台对信息系统涉及的设

备使用情况和安全事件、系统健康程度等进行识别，要能进行统

一的监控和展现。通过对安全事件的告警，可以发现潜在的攻击

征兆和安全趋势，确保任何安全事件、事故得到及时的响应和处

理。

2.3.2安全管理需求分析

从等保思想出发，技术虽然重要，但人才是安全等级保护的重点，

因此除了技术措施，XXX还需要运用现弋安全管理原理、方法和

手段，从技术上、组织上和管理上采取有力的措施，解决和消除

各种不安全因素，防止事故的发生。需要优化安全管理组织，完

善安全管理制度，制定信息系统建设和安全运维管理的相关管理

要求，规范人员安全管理。

3总体设计

3.1项目目标

结合XXX的实际情况，按照《信息系统等级保护安全设计技术要

求》和《信息系统安全等级保护基本要求》等相关标准要求，以

“一个中心、三重防护”为核心指导思想，从安全计算环境、安

全区域边界、安全通信网络以及安全管理中心四个方面构建安全

建设方案，以满足等级保护三级系统的相关要求。

3.2项目依据

本项目方案编制依据和参考下列政策法规和标准规范。

3.2.1政策法规

n中华人民共和国计算机信息系统安全保护条例（1994国务院

147号令）

n计算机信息系统安全保护等级划分准则（GB17859-1999）

n《国家信息化领导小组关于加强信息安全保障工作的意见》（中

办发［2003］27号）

n关于信息安全等级保护工作的实施意见（公通字［2004］66号）

n《信息安全等级保护管理办法》公通字［2007］43号

n关于开展全国重要信息系统安全等级保护定级工作的通知（公

信安［200刀861号）

n《国家信息化领导小组关于加强信息安全保障工作的意见》（中

办发［2003］27号）

3.2.2标准规范

n《计算机信息系统安全保护等级划分准则》（GB/T17859-1999）

n《信息安全技术—信息系统安全等级保护基本要求》

GBT22239-2008

n《信息安全技术.信息系统安全等级保护定级指南》

GBT22240-2008

n《信息安全技术信息系统等级保护安全设计技术要求》

n《信息安全技术信息系统安全等级保护实施指南》

n《信息安全技术信息安全等级保护整改规范》(GB/T20984-2007)

n《信息系统安全等级保护整改实施指南》

n《信息技术安全技术信息安全管理体系要求》(GB/T22080-2008)

n《信息技术安全技术信息安全管理实用规则》(GB/T22081-2008)

n《信息技术安全技术信息技术安全管理指南》(ISO/IECTR13335)

n《信息技术安全技术信息技术安全性评估准则》

(GB/T18336-2001)

n《信息安全等级保护整改指南》

n《信息安全风险管理指南》

3.3安全区域划分

XXX的安全建设核心内容是将网络进行全方位的安全防护，不是

对整个系统进行同一等级的保护，而是针对系统内部的不同业务

区域进行不同等级的保护。因此，安全域划分是进行信息安全等

级保护的首要步骤。需要通过合理的划分网络安全域，针对各自

的特点而采取不同的技术及管理手段。从而构建一整套有针对性

的安防体系◊而选择这些措施的主要依据是按照等级保护相关的

要求。

安全域是具有相同或相似安全要求和策略的IT要素的集合，是

同一系统内根据信息的性质、使用主体、安全目标和策略等元素

的不同来划分的不同逻辑子网或网络，每一个逻辑区域有相同的

安全保护需求，具有相同的安全访问控制和边界控制策略，区域

间具有相互信任关系，而且相同的网络安全域共享同样的安全策

略。

经过梳理后的XXX信息系统安全区域划分如下图所示（下图为例,

建议按实际情况调整）：

3.4方案设计框架

根据《信息系统安全等级保护基本要求》，分为技术和管理两大

类要求，具体如卜图所不：

本方案将严格根据技术与管理要求进行设计。首先应根据本级具

体的基本要求设计本级系统的保护环境模型，根据《信息系统等

级保护安全设计技术要求》，保护环境按照安全计算环境、安全

区域边界、安全通信网络和安全管理中心进行设计，内容涵盖基

本要求的5个方面。同时结合管理要求，形成如下图所示的保护

环境模型：

4安全技术体系设计

4.1整体网络架构改造设计

这里放根据用户网络架构改造后的拓扑图。

4.1.1计算环境安全设计

物理安全

物理环境安全策略的目的是保护网络中计算机网络通信有一个

良好的电磁兼容工作环境，并防止非法用户进入计算机控制室和

各种偷窃、破坏活动的发生。

0机房选址

机房和办公场地选择在具有防震、防风和防雨等能力的建筑内O

机房场地应避免设在建筑物的高层或地下室，以及用水设备的下

层或隔壁。

0机房管理

机房出入口安排专人值守，控制、鉴别和记录进入的人员；

需进入机房的来访人员须经过申请和审批流程，并限制和监控其

活动范围。

对机房划分区域进行管理，区域和区域之间设置物理隔离装置,

在重要区域前设置交付或安装等过渡区域；

重要区域应配置电子门禁系统，控制、鉴别和记录进入的人员。

0机房环境

合理规划设备安装位置，应预留足够的空间作安装、维护及操作

之用。房间装修必需使用阻燃材料，耐火等级符合国家相关标准

规定。机房门大小应满足系统设备安装时运输需要。机房墙壁及

天花板应进行表面处理，防止尘埃脱落，机房应安装防静电活动

地板。

机房安装防雷和接地线，设置防雷保安器，防止感应雷，要求防

雷接地和机房接地分别安装，且相隔一定的距离；机房设置火灾

自动消防系统，能够自动检测火情、自动报警，并自动灭火；机

房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料；

机房应采取区域隔离防火措施，将重要设备与其他设备隔离开。

配备空调系统，以保持房间恒湿、恒温的工作环境；在机房供电

线路上配置稳压器和过电压防护设备；提供短期的备用电力供应,

满足关键设备在断电情况下的正常运行要求。设置冗余或并行的

电力电缆线路为计算机系统供电；建立备用供电系统。铺设线缆

要求电源线和通信线缆隔离铺设，避免互相干扰。对关键设各和

磁介质实施电磁屏蔽。

0设备与介质管理

为了防止无关人员和不法分子非法接近网络并使用网络中的主

机盗取信息、破坏网络和主机系统、破坏网络中的数据的完整性

和可用性，必须采用有效的区域监控、防盗报警系统，阻止非法

用户的各种临近攻击。此外，必须制定严格的出入管理制度和环

境监控制度，以保障区域监控系统和环境监控系统的有效运行。

对介质进行分类标识，存储在介质库或档案室中。利用光、电等

技术设置机房防盗报警系统；对机房设置监控报警系统。

4.1.1.2主机和应用安全加固

需要通过专业安全服务实现主机和应用安全加固，加固内容主要

有以下几点：

一、身份鉴别可分为主机身份鉴别和应用身份鉴别两个方面：

主机身份鉴别：

为提高主机系统安全性，保障各种应用的正常运行，对主机系统

需要进行一系列的加固措施，包括：

0对登录操作系统和数据库系统的用户进行身份标识和鉴别,且

保证用户名的唯一性。

0根据基本要求配置用户名/口令；口令必须具备采用3种以上

字符、长度不少于8位并定期更换；

0启用登陆失败处理功能，登陆失败后采取结束会话、限制非法

登录次数和自动退出等措施。

0远程管理时应启用SSH等管理方式，加密管理数据，防止被

网络窃听。

0对主机管理员登录进行双因素认证方式，采用USBkey+密码进

行身份鉴别。

应用身份鉴别：

为提高应用系统系统安全性应用系统需要进行一系列的加固措

施，包括：

0对登录用户进行身份标识和鉴别，且保证用户名的唯一性。

0根据基本要求配置用户名/口令，必须具备一定的复杂度；口

令必须具备采用3种以上字符、长度不少于8位并定期更换；

0启用登陆失败处理功能，登陆失败后采取结束会话、限制非法

登录次数和自动退出等措施。

0应用系统如具备上述功能则需要开启使用，若不具备则需进行

相应的功能开发，且使用效果要达到以上要求。

0对于三级系统，要求对用户进行两种或两种以上组合的鉴别技

术，因此可采用双因素认证（USBkey+密码）或者构建PKI体系，

采用CA证书的方式进行身份鉴别。

二、系统审计包含主机审计和应用审计两个层面：

主机审计：

通过服务器安全加固，启用服务器操作系统木身的审计功能，实

现对于主机层面的安全审计要求。

应用审计:

应用层安全审计是对业务应用系统行为的审计，需要与应用系统

紧密结合，此审计功能应与应用系统统一开发。

应用系统审计功能记录系统重要安全事件的日期、时间、发起者

信息、类型、描述和结果等，并保护好审计结果，阻止非法删除、

修改或覆盖审计记录。同时能够对记录数据进行统计、查询、分

析及生成审计报表。

三、应用资源监控：

为保证现网应用系统正常的为用户提供服务，必须进行资源控制,

否则会出现资源耗尽、服务质量下降甚至服务中断等后果。通过

对应用系统进行开发或配置来达到控制的目标。应用系统如具备

上述功能则需要通过XXX用户或者安全服务工作开启相关功能，

若不具备则需进行相应的功能开发，且使用效果要达到以下要求:

0会话自动结束：当应用系统的通信双方中的一方在一段时间内

未作任何响应，另一方应能够及时检测并自动结束会话，释放资

源；

0会话限制：对应用系统的最大并发会话连接数进行限制，对一

个时间段内可能的并发会话连接数进行限制，同时对单个帐户的

多重并发会话进行限制，设定相关阈值，保证系统可用性。

0登陆条件限制：通过设定终端接入方式、网络地址范围等条件

限制终端登录。

0超时锁定：根据安全策略设置登录终端的操作超时锁定。

0用户可用资源阈值邛艮制单个用户对系统资源的最大或最小使

用限度，保障正常合理的资源占用。

0对重要服务器的资源进行监视，包括CPU、硬盘、内存等。

0对系统的服务水平降低到预先规定的最小值进行检测和报警。

0提供服务优先级设定功能,并在安装后根据安全策略设定访问

帐户或请求进程的优先级，根据优先级分配系统资源。

数据库安全审计

计划部署数据库审计系统对用户行为、用户事件及系统状态加以

审计，范围覆盖到每个用户，从而把握数据库系统的整体安全。

数据库审计系统适用于等级保护标准和规范。数据库审计系统支

持所有主流关系型数据库的安全审计，采用多核、多线程并行处

理及CPU绑定技术及镜像流量零拷贝技术，采用黑盒逆向协议

分析技术，严格按照数据库协议规律，对所有数据库的操作行为

进行还原，支持请求和返回的全审计，保证100%还原原始操作

的真实情况，实现细粒度审计、精准化行为回溯、全方位风险控

制，为XXX的核心数据库提供全方位、细粒度的保护功能。数据

库审计系统可以帮助我们解决目前所面临的数据库安全审计缺

失问题，避免数据被内部人员及外部黑客恶意窃取泄露，极大的

保护XXX的核心敏感数据的安全，带来以下安全价值：

0全面记录数据库访问行为，识别越权操作等违规行为，并完成

追踪溯源

0跟踪敏感数据访问行为轨迹，建立访问行为模型，及时发现敏

感数据泄漏

0检测数据库配置弱点、发现SQL注入等漏洞、提供解决建议

0为数据库安全管理与性能优化提供决策依据

0提供符合法律法规的报告，满足等级保护审计要求。

运维堡垒主机

计划部署运维堡垒主机，堡垒机可为XXX提供全面的运维管理体

系和运维能力，支持资产管理、用户管理、双因子认证、命令阻

断、访问控制、自动改密、审计等功能，能够有效的保障运维过

程的安全。在协议方面，堡垒机全面支持SSH/TELNET/RDP（远

程桌面）/FTP/SFTP/VNC,并可通过应用中心技术扩展支持

VMware/XEN等虚拟机管理、oracle等数据库管理、HTTP/HTTPS、

小型机管理等。

主机病毒防护

针对病毒的风险，通过部署主机防病毒软件进行管控，要求在所

有终端主机和服务器上部署网络防病毒系统，加强主机的病毒防

护能力并及时升级恶意代码软件版本以及恶意代码库。且主机防

恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库。

在XXX单位运维管控区中，可以部署防病毒服务器，负责制定和

终端主机防病毒策略。在网络边界通过防火墙进行基于通信端口、

带宽、连接数量的过滤控制，可以在一定程度上避免蠕虫病毒爆

发时的大流量冲击。

备份与恢复

备份与恢复主要包含两方面内容，首先是指数据备份与恢复，另

外一方面是关键网络设备、线路以及服务器等硬件设备的冗余。

本地完全数据备份至少每天一次，且备份介质需要场外存放。并

且要求提供能异地数据备份功能，利用通信网络将关键数据定时

批量传送至异地备用场地。

对于核心交换设备、外部接入链路以及系统服务器进行双机、双

线的冗余设计，保障从网络结构、硬件配置上满足不间断系统运

行的需要。

客体安全重用

为实现客体的安全重用，及时清除剩余信息存储空间，应通过对

操作系统及数据库系统进行安全加固配置，使得操作系统和数据

库系统具备及时清除剩余信息的功能，从而保证用户的鉴别信息、

文件、目录、数据库记录等敏感信息所在的存储空间（内存、硬

盘）被及时释放或再分配给其他用户前得到完全清除。这部分工

作也通过安全服务来实现。

4.1.2区域边界安全设计

边界访问控制

通过对XXX网络的边界风险与需求分析，在网络层进行访问控制

需部署防火墙产品，可以对所有流经防火墙的数据包按照严格的

安全规则进行过滤，将所有不安全的或不符合安全规则的数据包

屏蔽，杜绝越权访问，防止各类非法攻击行为。对现网进行安全

域划分，每个安全域/或重要的安全域通过部署防火墙实现安全

域隔离防护。

从防火墙的实现原理看，对七层应用协议的防护是非常薄弱的,

因此外部服务区需要新增WEB应用防火墙和网页防篡改系统。

WEB应用防火墙专注于第七层防护，采用双引擎技术（用户行为

异常检测引擎、透明代理检测引擎）实现各类SQL注入、跨站、

挂马、扫描器扫描、敏感信息泄露、盗链行为等攻击防护，并有

效防护Oday攻击。支持Web应用加速，支持在透明代理部署模

式下的HA/Bypass,便于部署配置以及维护。此外，WEB应用防

火墙支持透明代理模式、旁路监听模式、反向代理模式、网关模

式等多种部署模式。

网页防篡改系统包含防篡改、防攻击两大子系统的多个功能模块,

为网站安全建立全面、立体的防护体系。支持多种保护模式，防

止静态和动态网站内容被非法篡改。采用内核驱动及文件保护技

术，确保防护功能不被恶意攻击或者非法终止。采用核心内嵌技

术，支持大规模连续篡改攻击保护。完全杜绝被篡改内容被外界

浏览。支持继线/连线状态下篡改检测。支持多服务器、多站点、

各种文件类型的防护。

边界完整性检查

边界完整性检查核心是要对内部网络中出现的内部用户未通过

准许私自联到外部网络的行为进行检查，维护网络边界完整性。

通过部署的终端安全管理系统可以实现这一目标。

终端安全管理系统其中一个重要功能模块就是非法外联控制，探

测内部网中非法上互联网的计算机。非法外联监控主要解决发现

和管理用户非法自行建立通路连接非授权网络的行为。通过非法

外联监控的管理，可以防止用户访问非信任网络资源，并防止由

于访问非信任网络资源而引入安全风险或者导致信息泄密。

边界入侵防范

在各区域边界，防火墙起到了协议过滤的主要作用，根据安全策

略偏重在网络层判断数据包的合法流动。但面对越来越广泛的基

于应用层内容的攻击行为，防火墙并不擅长处理应用层数据。

鉴于以上对防火墙核心作用的分析，需要其他具备检测新型的混

合攻击和防护的能力的设备和防火墙配合，共同防御来自应用层

到网络层的多种攻击类型，建立一整套的安全防护体系，进行多

层次、多手段的检测和防护。入侵防护系统（IPS）就是安全防

护体系中重要的一环，它能够及时识别网络中发生的入侵行为并

实时报警并且进行有效拦截防护。

IPS是继“防火墙”、“信息加密”等传统安全保护方法之后的

新一代安全保障技术。它监视计算机系统或网络中发生的事件,

并对它们进行分析，以寻找危及信息的机密性、完整性、可用性

或试图绕过安全机制的入侵行为并进行有效拦截。IPS就是自动

执行这种监视和分析过程，并且执行阻断的硬件产品。

将IPS串接在防火墙后面，在防火墙进行访问控制，保证了访问

的合法性之后，IPS动态的进行入侵行为的保护，对访问状态进

行检测、对通信协议和应用协议进行检测、对内容进行深度的检

测。阻断来自内部的数据攻击以及垃圾数据流的泛滥。

对于接入边界，IPS可针对于内网对于外网的存取应用进行管理。

可支持深入七层的分析检测技术，能检测防范的攻击类型包括:

蠕虫/病毒、木马、后门、DoS/DDoS攻击、探测/扫描、间谍软

件、网络钓鱼、利用漏洞的攻击、SQL注入攻击、缓冲区溢出攻

击、协议异常、IDS/IPS逃逸攻击等，支持P2P、IM、视频等网络

滥用协议的检测识别，可支持的网络滥用协议至少包括迅雷、BT、

eDonkey/eMule>Kugoo下载协议、多进程下载协议（网络快车、

网络蚂蚁）等P2P应用，MSN、QQ、ICQ等IM应用，PPLive、

PPStream.HTTP下载视频文件、沸点电视、QQLive等网络视频

应用；可在识别的基础上对这些应用流量进行阻断或限流。IPS

采用全面深入的分析检测技术，结合模式特征匹配、协议异常检

测、流量异常检测、事件关联等多种技术，能识别运行在非标准

端口上的协议，准确检测入侵行为。

本期计划在互联网接入区和专网接入区各部署一套入侵防御系

统/或在下一代防火墙开启IPS功能模块。

边界安全审计

各安全区域边界已经部署了相应的安全设备负责进行区域边界

的安全。对于流经各主要边界（重要服务器区域、外部连接边界）

需要设置必要的审计机制，进行数据监视并记录各类操作，通过

审计分析能够发现跨区域的安全威胁，实时地综合分析出网络中

发生的安全事件。XXX计划开启边界安全设备的审计功能模块,

根据审计策略进行数据的日志记录与审计。同时将所有审计信息

通过安全管理中心进行统一集中管理，为安全管理中心提供必要

的边界安全审计数据，利于管理中心进行全局管控。并部署网络

审计系统，实现对于所有访问业务系统的行为的审计，并能够记

录该行为的源IP、目的IP等，并可以方便的生成报表等。网络

审计系统通过网络旁路侦听的方式对网络数据流进行采集、分析

和识别，并对应用层协议进行完整还原，根据制定的安全审计策

略进行审计响应。将边界安全审计、主机审计、应用审计和网络

审计等一起构成完整的、多层次的审计系统。

另外，在互联网接入网出口已部署上网行为管理系统，实现对于

所有内部用户访问互联网的安全审计，保障网络关键应用和服务

的带宽，对网络流量、用户上网行为进行深入分析与全面的审计,

为用户全面了解网络应用模型和流量趋势，优化其带宽资源，开

展各项业务提供有力的支撑。

边界恶意代码防范

一个完善的安全体系应该包含了从桌面到服务器、从内部用户到

网络边界的全面地解决方案，以抵御来自黑客和病毒的威胁。

现网网络层面没有恶意代码防护措施，本期计划在边界部署下一

代防火墙，并开启AV防病毒功能/或部署一套入侵防御系统。

4.1.3通信网络安全设计

网络结构安全

网络结构的安全是网络安全的前提和基础，对于XXX网络，选用

主要网络设备时会充分考虑业务处理能力的高峰数据流量，考虑

冗余空间满足业务高峰期需要；网络各个部分的带宽需要保证接

入网络和核心网络满足业务高峰期需要；本期对XXX网络核心交

换区进行升级改造，实现双机冗余部署，按照'业务系统服务的重

要次序定义带宽分配的优先级，在网络拥堵时优先保障重要主机;

合理规划路由，业务终端与业务服务器之间建立安全路径；绘制

与当前运行情况相符的网络拓扑结构图；根据各部门的工作职能、

重要性和所涉及信息的重要程度等因素，划分不同的网段或

VLANo保存有重要业务系统及数据的重要网段不能直接与外部

系统连接，需要和其他网段隔离，单独划分区域。

网络设备防护

为提高网络设备的自身安全性，保障各种网络应用的正常运行,

通过安全服务对网络设备需要进行一系列的加固措施，包括：

I对登录网络设备的用户进行身份鉴别，用户名必须唯一；

I对网络设备的管理员登录地址进行限制；

I身份鉴别信息具有不易被冒用的特点，口令设置需3种以上字

符、长度不少于8位，并定期更换；

I具有登录失败处理功能，失败后采取结束会话、限制非法登录

次数和当网络登录连接超时自动退出等措施；

I启用SSH等管理方式，加密管理数据，防止被网络窃听。

I对于鉴别手段，三级要求采用两种或两种以上组合的鉴别技术,

因此需采用USBkey+密码进行身份鉴别，保证对网络设备进行管

理维护的合法性。

通信完整性

信息的完整性设计包括信息传输的完整性校验以及信息存储的

完整性校验。

对于信息传输和存储的完整性校验可以采用的技术包括校验码

技术、消息鉴别码、密码校验函数、散列函数、数字签名等。

通过部署VPN系统保证远程数据传输的数据完整性。对于信息

存储的完整性校验则由应用系统和数据库系统完成。

通信保密性

应用层的通信保密性主要由应用系统完成。在通信双方建立连接

之前，应用系统应利用密码技术进行会话初始化验证；并对通信

过程中的敏感信息字段进行加密。

对于信息传输的通信保密性通过部署VPN系统保证远程数据传

输的数据机密性。

网络安全审计

计划在XX网络核心交换机上部署网络安全审计系统，形成对全

网网络数据的流量监测并进行相应安全审计，侦察系统中存在的

现有和潜在的威胁，实时地综合分析出网络中发生的安全事件,

包括各种外部事件和内部事件，同时和其它网络安全设备共同为

安全管理中心提供监控数据用于分析及检测。

4.1.4安全管理中心设计

计划部署以业务为核心的、网络安全、应用安全、业务安全一体

化的安全管理系统，该安全管理中心的特点是：定位于以面向业

务的安全管理中心，围绕着资产和业务，融合对安全、网络、应

用的管理，实现设备管理及策略部署管理、运转监控、风险预警、

到安全联动响应的完整安全闭环管理，实现安全风险的可视可管

可预防。

整个一体化安全管理中心功能要求如下：

4.1.4.1安全可视化

在虚拟化技术、大数据分析技术快速发展的背景下，安全管理中

心需考虑围绕着资产和业务为核心，以数据挖掘技术为依托，对

云、网、端提供一体化安全管理，实现安全服务从规划开通、运

行监控、到闭环响应的完整生命周期管理。

全网资产管理可以做到:

1）监控到的性能指标可用于事件关联分析，比如，DDOS事件与

CPU利用率进行关联，以确认攻击的实效是否达成；

2）确保安全设备的正常运转，提供配置文件管理、设备状态监

控、拓扑监控等，从而保障关键安全节点正常行使功能；

3）攻击溯源：基于拓扑关系，提供从源到目的端的真实拓扑路

径，管理员可进行更有针对性的实施管理动作。

资产风险管理

安全管理中心可以对被管对象进行基础信息管理，包括其IT属

性、普通属性以及安全属性，主要用于当产生安全问题时，快速

找到资产基本信息来辅助问题的解决，比如，快速找到责任人、

存放位置、资产重要程度等，另外，资产详细信息中的资产重要

程度也将作为资产风险评分计算的重要参数。

安全管理中心关注的资产不仅包含安全设备、网络设备、服务器

和应用，同时还可以由操作者自定义新的资产类型，并向其下面

增添资产。除了对资产的信息管理，还支持资产运行监控以及风

险监控。

业务风险监控

业务是最上层安全风险监控的组织单兀。业务由应用、服务器、

网络设备组成。通过业务建模，将应用、服务器、网络设备组织

成起来形成一个业务。

安全管理中心应提供基于“业务”的风险监控。在展现上，以业

务为对象，形成一个个“业务风险卡片”，呈现繁忙度、健康度、

安全度等与业务运转强相关的监控内容，并提供攻击类型统计、

漏洞类型统计、受攻击资产TOP10、资产风险情况统计、资产攻

击源和目的统计等多项美观的统计图表，使管理员/领导及时关

注到“业务”层面的宏观风险状况，快速发现业务的当前“安全

度”状况，避免直接陷入细节而对业务运转风险难以一幕了然的

展现。另外，当出现安全风险时，很可能业务性能也出问题了。

“风险卡片”帮助梳理这种内在联系。风险卡片中的业务安全度,

由组成业务的各元素（如主机、应用等）的安全状况加权而得到。

实时攻击分析

动态展示最新发生的攻击事件以及攻击行为，并统计攻击源、攻

击目的TOPN信息。通过该页面使企业面临的攻击威胁状况得以

可视化展示，便于采取相应动作来削弱政务云所面临的风险。

.1整网安全态势实时监控

列出整网安全评分，最近一小时内的攻击状态，提供针对攻击目

的IP、攻击源IP、攻击协议、安全威胁整体趋势等信息。同时提

供业务风险雷达，将各个业务面临的风险状况（按风险程度高・

中■低）在雷达中体现出来。

整网安全态势实时监控用来帮助管理员直观地了解到网内最新

的安全状况，及时采取必要的行动。

.2事件概览

给出最近一小时内的安全事件统计信息。便于管理员快速获知当

前的安全态势。事件概览中提供攻击源、攻击目的、产生事件最

多的设备、产生最多的事件等多个TOP统计图表；同时提供IPS

规则级别、攻击协议等统计图表；并支持查看安全事件趋势

.3实时事件列表

实时事件列表列出了最近一小时内的攻击事件，详细展示了最近

一小时内的攻击事件，详细给出了事件包含的具体内容，包括日

志级别、时间、源IP/用户、目的IP/用户、协议、攻击类型、事

件数和设备名称。同时，提供了基于设备名称、协议、源用户、

源IP、目的用户、目的IP的查询条件，方便管理员快速的查询

到需要的攻击事件信息。

.4攻击拓扑溯源

基于强大的拓扑引擎，计算攻击源到目的的端到端路径，对攻击

进行网络路径角度的可视化呈现，管理员可参考并实施针对性管

理动作（为确保展现效果，相应设备应加入到管理中）。该功能

用来协助操作员作出判断，可以对攻击源进行下线、走工单流程

等处理动作，也可以参考着变更安全规则的部署。

安全评估

安全管理中心的安全评估特性，可以配合WEB、主机、数据库三

种扫描器，支持扫描任务管理和部署、结果分析。

.1安全评估分析

安全管理中心可记录每次漏扫任务的执行详情。以列表的形式给

出任务执行状态（成功or失败）、任务名称、启动时间、完成

时间、扫描类型、执行人员、安全评分。以报表和列表的形式给

出扫描结果和解决办法。基于每条评估历史，可查看到评估结果

信息，包括该次评估的得分，该次评估扫描到的风险详细信息机

改进建议等。

.2漏扫关联

支持漏扫结果与业务和资产进行关联，使重要IT管理对象的安

全性得以直观呈现。这种关联是数据统计角度的关联。

安全行为管理

.1行为分析

除了SIEM从网络事件、主机信息角度的安全分析，行为分析从

用户上网行为、用户流量模型角度分析和用户行为直接相关的安

全威胁。关键技术包含深度的应用识别和用户行为识别、用户身

份的识别等。

.2数据挖掘

安全管理中心可以通过对用户行为的跟踪，进行深度数据挖掘,

从而满足公安部82号令等安全审计相关的要求。

.3行为异常审计

安全管理中心可以根据用户行为按敏感文件、可疑邮件、敏感词

等审计点进行异常行为审计，并以横轴坐标展示异常行为的发生

情况

安全风险联动

网络的风险无处不在，在实现安全风险可视化的基础上，下一步

的动作就是针对风险报警采取相应的动作阻断攻击或威胁。而如

何实时防范和抵御安全风险，最有效的手段还是能够将安全管理

平台与现网部署的安全设备联动起来，实现风险的自动防御和应

急响应。

4.1.5不同网络互联互通

XXX现有6张网之间存在数据交互需求，根据系统业务要求和等

级保护要求，两网之间部署网闸，制定相应的互联互通安全策略,

包括访问控制策略和数据交换策略等，严格控制数据在不同网络

以及不同安全等级系统之间的流动。

5安全管理体系设计

安全体系管理层面设计主要是依据《信息系统安全等级保护基本

要求》中的管理要求而设计。分别从以下方面进行设计，计划通

过XXX和专业安全服务共同实现：

I安全管理制度

根据安全管理制度的基本要求制定各类管理规定、管理办法和暂

行规定。从安全策略主文档中规定的安全各个方面所应遵守的原

则方法和指导性策略引出的具体管理规定、管理办法和实施办法,

是具有可操作性，且必须得到有效推行和实施的制度。

制定严格的制定与发布流程，方式，范围等，制度需要统一格式

并进行有效版本控制；发布方式需要正式、有效并注明发布范围，

对收发文进行登记。

信息安全领导小组负责定期组织相关部门和相关人员对安全管

理制度体系的合理性和适用性进行审定，定期或不定期对安全管

理制度进行评审和修订，修订不足及进行改进。

I安全管理机构

根据基本要求设置安全管理机构的组织形式和运作方式，明确岗

位职责；

设置安全管理岗位，设立系统管理员、网络管理员、安全管理员

等岗位，根据要求进行人员配备，配备专职安全员；成立指导和

管理信息安全工作的委员会或领导小组，其最高领导由监所主管

领导委任或授权；制定文件明确安全管理机构各个部门和岗位的

职责、分工和技能要求。

建立授权与审批制度；

建立内外部沟通合作渠道；

定期进行全面安全检查，特别是系统日常运行、系统漏洞和数据

备份等。

I人员安全管理

根据基本要求制定人员录用，离岗、考核、培训几个方面的规定,

并严格执行；规定外部人员访问流程，并严格执行。

I系统建设管理

根据基本要求制定系统建设管理制度，包括：系统定级、安全方

案设计、产品采购和使用、自行软件开发、外包软件开发、工程

实施、测试验收、系统交付、系统备案、等级评测、安全服务商

选择等方面。从工程实施的前、中、后三个方面，从初始定级设

计到验收评测完整的工程周期角度进行系统建设管理。

I系统运维管理

根据基本要求进行信息系统日常运行维护管理，利用管理制度以

及安全管理中心进行，包括：环境管理、资产管理、介质管理、

设备管理、监控管理和安全管理中心、网络安全管理、系统安全

管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管

理、安全事件处置、应急预案管理等，使系统始终处于相应等级

安全状态中。

6安全运维体系设计

新华三根据用户当前安全运维需要和安全技术保障需要提出与

信息系统安全总体方案中运维部分相适应的本期安全实施内容,

以保证安全技术建设的同时，安全运维的同步建设，具体活动内

容包括：

结合系统实际安全运维需要和本次技术建设内容，确定本次安全

运维建设的范围和内容，同时注意与信息系统安全总体方案的一

致性。安全运维设计的内容主要考虑：日常安全运维、事件应急

响应、安全咨询与评估、系统加固与培训等。

6.1周期性安全评估

0网络设备评估

根据信息系统中设备类型的不同，对核心层、交换层和接入层及

防火墙、入侵检测等边界网络安全设备的访问控制和安全策略,

现状有针对性进行风险评估。

0操作系统评估

网络服务器及可互联终端的安全始终是信息系统安全的一个重

要方面，攻击者往往通过控制它们来破坏系统和信息，或扩大已

有的破坏。

网络攻击的成功与否取决于三个因素：攻击者的能力；攻击者的

动机；攻击者的机会。正常情况下，我们是无法削弱攻击者的能

力和动机这两个因素，但有一点我们可以做到减少他们的攻击机

会。

对操作系统开放的服务、安全配置、访问控制、系统漏洞进行安

全脆弱性风险评估。

0应用程序评估

应用程序本身存在一定的安全缺陷和隐患，攻击者可以利用应用

程序中的漏洞入侵系统、窃取信息及中断系统服务。为保证客户

重要业务系统保密性、可用性，对操作系统上基于WEB服务及

第三方应用程序做安全评估。

6.2周期性安全加固

0网络设备加固

网络设备的加固，是通过对人工评估对网络设备的配置进行评估,

通过评估出的问题，进行安全加固，在进行安全加固前，应该对

加固的配置进行检验，防止因为加固而导致网络的崩溃。在加固

过程中，主要对以下内容进行加固:

口令安全规范

U访问安全规范

日志安全规范

其它安全规范

U路由协议安全规范

0安全设备加固

对网络安全设备进行加固，主要加固对象为防火墙、交换机、IPS

系统。

0安全域的划分:

根据评估结果确定防火墙划分的安全域（内、医院办公外网及

DMZ区）是否合理，如果存在问题需要重新划分相关区域。

0更新版本或引擎:

和厂商确定防火墙的当前最新版本（引擎版本及管理平台版本），

在相关人员配合下升级到最新版本。

0防火墙安全配置：

根据评估结果对防火墙的整体配置进行加固，包括以下加固对象:

U防火墙管理策略

U访问策略

U绑定策略；

uSNMP安全策略

u防攻击策略

uHA策略

u审核策略

0操作系统加固

用户按照其信息保护策略购入并部署好设备后，主机中的主要组

成系统，包括操作系统、软件配置等，往往在一定时间段内是保

持相对稳定的。在这段时间内，如果设备本身存在安全上的脆弱

性，则往往会成为攻击者攻击的目标。这些需要加固的安全脆弱

性包括：

U提供不必要的网络服务，提高了攻击者的攻击机会

U存在不安全的配置，带来不必要的安全隐患

U不适当的访问控制

U存在系统软件上的安全漏洞

U物理上没有得到安全存放，容易遭受临近攻击，针对这些安全

弱点，我们提出如下几点设备的安全加固技术建议

U禁用不必要的网络服务

u修改不安全的配置

U利用最小特权原则严格对设备的访问控制

U及时对系统进行软件升级

u提供符合IPP要求的物理保护环境

0应用程序加固

安全的威胁不仅来自设备和操作系统，应用程序本身由于设计缺

陷、系统兼容、人为预留后门、病毒、WEB服务等各种因素所导

致的弱点，针对应用程序中存在的安全隐患，提高信息系统整体

的抗病毒能力，电所有外联应用程序采用非线测试的技术手段,

进行风险分析加固。在线应用系统加固采用安全扫描技术、主页

防篡改技术等。包括以下加固对象：

u网站代码优化及程序的功能修补

u网站程序脚本漏洞修补

u数据库安全策略

iiWeb代码分析

u程序上线前测试

u病毒防落地、防传播、防扩散加固

6.3定期安全巡检

0巡检对象确定

安全关键点分析：

对影响系统、业务安全性的关键要素进行分析，确定安全状态监

控的对象，这些对象可能包括防火墙、入侵检测、防病毒、核心

路由器、核心交换机、主要通信线路、关键服务器或客户端等系

统范围内的对象；也可能包括安全标准和法律法规等外部对象。

形成巡检对象列表：

根据确定的巡检对象，分析巡检的必要性和可行性，形成监控对

象列表。

0巡检对象状态信息收集

巡检工具：

根据巡检对象的特点、巡检管理的具体要求、巡检工具的功能、

性能特点等，选择合适的巡检工具。建立完善的运维巡检体系。

状态信息收集：

整理备案巡检对象的各类状态信息，包括网络流量、日志信息、、

安全报警、性能状况、外部环境的安全标准和变更信息。

0巡检状态分析和报告

状态分析：

对安全状态信息进行分析，及时发现险情、隐患或安全事件，并

记录这些安全事件，分析其发展趋势。

影响分析:

根据对安全状况变化的分析，分析这些变化对安全的影响，通过

判断他们的影响决定是否有必要作出响应。

形成安全状态分析报告：

根据安全状态分析和影响分析的结果，形成安全状态分析报告，

上报客户安全事件或启动应急预案。

6.4应急响应处置

紧急事件响应，是当安全威胁事件发生后迅速采取的措施和行动,

其目的是最快速恢复系统的保密性、完整性和可用性，阻止和降

低安全威胁事件带来的严重性影响。

紧急事件主要包括：

0病毒和蠕虫事件

0黑客入侵事件

0误操作或设备故障事件

但通常在事件爆发的初始很难界定具体是什么。所以，通常又通

过安全威胁事件的影响程度来分类：

0单点损害：只造成独立个体的不可用，安全威胁事件影响弱。

0局部损害：造成某一系统或一个局部网络不可使用，安全威胁

事件影响较高。

0整体损害：造成整个网络系统的不可使用，安全威胁事件影响

高。

当入侵或者破坏发生时，对应的处理方法主要的原则是首先保护

或恢复计算机、网络服务的正常工作；然后再对入侵者进行追查。

因此对于客户紧急事件响应服务主要包括准备、识别事件（判定

安全事件类型）、抑制J（缩小事件的影响范围）、解决问题、恢

复以及后续跟踪。

准备工作

0建立客户事件档案

0与客户就故障级别进行定义，详见6.5小节描述。

0准备安全事件紧急响应服务相关资源

0为一个突发事件的处理取得管理方面支持

0组建事件处理队伍（1・10人）

0提供易实现的初步报告

0制定一个紧急后备方案

0随时与管理员保持联系

识别事件

0在指定时间内指派安全服务小组去负责此事件

0事件抄送专家小组

0初步评估，确定事件来源

0注意保护可追查的线索，诸如立即对日志、数据进行备份（应

该保存在磁带上或其它不联机存储设备）

0联系客户系统的相关服务商厂商、

缩小事件的影响范围

0确定系统继续运行的风险如何，决定是否关闭系统及其它措施

0客户相关工作人员与本公司相关工作人员保持联系、协商

0根据需求制定相应的应急措施

问题解决

0事件的起因分析

0事后取证追查

0后门检查

0漏洞分析

0提供解决方案

0结果提交专家小组审核

后续工作

0检查是不是所有的服务都已经恢复

0攻击者所利用的漏洞是否已经解决

0其发生的原因是否已经处理

0保险措施，法律声明/手续是否已经归档

0应急响应步骤是否需要修改

0生成紧急响应报告

0拟定一份事件记录和跟踪报告

0事件合并/录入专家信息知识库

6.5新系统安全检测

系统上线前检测是应用系统生命周期中的一个重要环节，在对应

用系统建设规划和现状充分调研的基础上，制订系统上线前的安

全检测方案，并根据信息系统平台建设情况，按照系统上线前安

全检测方案实施检测工作，进行彻底全面的安全弱点评估，发现

潜在的安全漏洞。上线前检测需采用对系统非侵害的测试方法,

检验系统的安全防护能力，发现安全风险及漏洞，采用方法至少

包括远程渗透测试、设计文档检查等。

通过上线前的检测工作，对应用系统所覆盖的全部资产再次进行

确认识别，完成对应用系统等级保护建设措施落实情况的合规性

分析，对应用系统等级保护实施的各项安全措施和管理制度进行

全面的风险评估，明确残余风险；依据风险评估结果、上线前检

测结果、合规性分析结果，进行差距分析，提出安全改进建议。

7等级保护服务流程

为实现项目目标，在木次等级保护服务项目中，将包括协助系统

定级、差距分析、等级保护建设整改、等级保护管理制度建设、

等保测评、安全运维。

系统定级备案

重要信息系统的定级工作，是开展等级保护的首要环节，是进行

信息系统建设、整改、测评、备案、监督检查等后续工作的重要

基础。

差距分析

差距分析工作内容就是根据网络和信息系统的安全保护等级，根

据国家等级保护相应等级的技术和管理要求，分析评价网络和信

息系统当前的安全防护水平和措施与相应等级要求之间的差距。

等保建设整改

等级保护建设整改是根据信息系统差距分析结果，对信息系统所

依赖的服务器操作系统、数据库、网络及安全设备进行配置安全

加固，安装和实施各项新增安全设备，保障信息系统的安全稳定

性。

等保管理制度建设

等级保护管理制度建设是根据信息安全等级保护安全管理的要

求，编写符合等级保护要求的信息安全管理规范和制度，通过安

全管理的加强来规避管理风险。

7.1定级备案

7.1.1工作目的

协助完成安全等级保护的定级与备案。依据《信息系统安全等级

保护定级指南》，对客户进行未定级、备案信息系统进行梳理,

协助客户完成信息系统安全等级保护的定级与备案工作。

7.1.2工作方式

在定级咨询过程中，新华三咨询顾问将通过现场调研的方式来全

面了解客户主要信息系统的基本情况，如数量、类别、名称、承

载业务、服务范围、用户数量、部署方式，以进行汇总分析，初

步进行系统归类、重要性划分，为下一步确定定级对象、确定级

别、形成定级报告做准备。

现场信息资料收集，以及对系统管理员进行访谈及信息确认，是

现场调研的主要工作。通过现场的了解，可以较深入理解信息系

统的重要程度，重要信息的分类情况，以及用户分布情况。一般

系统的定级结果，不依赖于现有保护措施，所以通过现场的工作,

可以基本准确理解信息系统及承载重要信息的侵害客体以及侵

害程度，从而为进一步定级报告的编写打下良好基础。

7.1.3工作内容

协助定级

如果信息系统只承载一项业务，可以直接为该信息系统确定等级,

不必划分业务子系统。如果信息系统承载多项业务，应根据各项

业务的性质和特点，将信息系统分成若干业务子系统，分别为各

业务子系统确定安全保护等级，信息系统的安全保护等级由各业

务子系统的最高等级决定。信息系统是进行等级确定和等级保护

管理的最终对象。

现场调研后，新华三咨询顾问会准备《信息系统安全等级保护定

级报告模板》，给出定级报告示例。客户信息管理部门和业务部

门依据定级报告模板，起草各信息系统安全等级保护定级报告，

咨询顾问根据已经掌握的信息系统情况，对各信息系统定级报告

的合理性进行初步研究和审核把关，请相关单位派人共同讨论，

按照系统类别梳理定级报告，对照国家对不同等级的要求，在报

告内容、行文格式、定级准确性等方面给出修改意见。根据讨论

的定级报告修改意见，统一汇总、整理后，形成定级报告的专家

评审稿。

专家评审

新华三咨询顾问还将根据需要协助聘请等级保护专家、行业专家、

主管机关领导等外部专家，召开信息系统定级评审会，对定级报

告进行外部评审，形成评审意见。

新华三咨询顾问将参考专家定级评审意见，最终协助确定信息系

统等级，协助将各信息系统安全保护等级定级报告报经上级主管

部门审批同意。

最后，咨询顾问将协助填写《信息系统安全等级保护备案表》，

协助客户主要业务系统完成备案工作。

7.1.4提交成果

《信息系统安全等级保护备案表》

《信息系统安全等级保护定级报告》

《专家评审意见》

7.2差距分析

根据国家等级保护政策法规和标准规范，确定安全保护等级的信

息系统应该具有相应级别的安全防护能力，其中主要是根据

GBT22239.2008《信息安全技术J言息系统安全等级保护基本要求》

来分析XXX目前的安全防护能力与基本要求中相应级别之间的

差距。

7.2.1工作目的

根据国家等级保护要求，对于确定了安全保护等级的信息系统规

定了基本的安全保护要求，规定了应该具有的防护措施，以确保

信息系统具有相当水平的安全防护能力。

差距分析就是根据GBT22239-2008《信息安全技术—信息系统安

全等级保护基本要求》，结合云平台的业务情况和行业要求，从

安全技术和安全管理两个方面，全面分析信息系统现有防护措施

和能力与相应等级基本要求之间存在的差距，用以为等级保护建

设提供客观依据并指导信息系统等级保护体系设计。

7.2.2工作方式

业务系统差距分析工作计划通过以下方式进行。

n访谈

访谈是指评估人员与信息系统有关人员就差距分析所关注的问

题进行有针对性的询问和交流的过程，该过程可以帮助评估者了

解现状、澄清疑问或获得证据。

访谈深度（即访谈内容的详细程度）以及访谈的广度（即对被评

估组织中员工角色类型以及每种类型中人数的覆盖程度）由评估

人员依据不同的评估需要进行选择和判断。

n检查

检查是指对评估电象（如规范、机制或行为）进行观察、调查、

评审、分析或核查的过程。与访谈类似，该过程可以帮助评估者

了解现状、澄清疑问或获得证据。

比较典型的检查行为包括：对安全配置的核查、对安全策略的分

析和评审等。

n测试

测试是指在特定环境中运行一个或多个评估对象（限于机制或行

为）并将实际结果与预期结果进行比较的过程。测试的目标是判

定对象是否符合预定的一组规格。测试过程可以帮助评估者获得

证据。

n调查表

根据系统业务情况和系统现状，制定详细的调查表，并由安徽移

动相关人员进行填写，以获得业务系统基础数据。具体包括应用

信息系统调查表、物理资产调查表、软件资产调查表、各相关设

备资产调查表。

7.2.3工作内容

按照等级保护实施要求，不同安全等级的信息系统应该具备相应

等级的安全防护能力，部署相应的安全设备，制定相应的安全管

理机构、制度、岗位等。差距分析就是依据等级保护技术标准和

管理规范，比较分析信息系统安全防护能力与等级要求之间的差

距，为等级化体系设计提供依据。

7.2.4提交成果

XXX差距分析过程中将产生众多文档，其中包括过程文档和结果

文档，过程文档用以支持咨询人员进行差距分析，并形成结果文

档《XXX等级保护差距分析报告》。

信息系统等级保护差距分析报告主要内容：差距分析是以现场调

查和测试所收集的信息为依据，满足等级保护要求为目标，对现

有系统安全做出的一种客观的、真实的评价。报告内容包括对各

信息系统现有安全防护水平与相应等级之间差距的描述和整改

建议等。差距分析是制定信息系统安全等级保护体系设计方案前

的一个非常关键的环节，为信息系统安全等级保护体系设计方案

的撰写提供参考。

7.3等保建设整改

7.3.1工作目的

根据前期等级保护整改、差距分析结果，结合XXX的业务需求,

对信息系统的服务器、网络设备、安全设备、数据库进行安全策

略加强、调优等，加强网络、系统和设备抵御攻击和威胁的能力，

整体提高网络安全防护水平。

7.3.2工作方式

安全加固与优化将采用如下工作方式：

会议交流：项目组将根据脆弱性检测结果，提出安全加固与优化

建议，并通过组织交流会的形式，与相关负责人就每台主机、网

络与安全设备的具体加固内容进行协商，明确操作风险，探讨利

害关系，确定加固方式，最终确定安全加固方案；

现场实施：项目组将赴现场，以安全加固方案为依据，协助和指

导系统运维人员进行加固与优化操作，逐项实施每台设备的安全

加固项目。

7.3.3工作流程

系统相关网络设备、安全设备、服务器操作系统以及数据库等配

置安全加固与优化的工作流程如下图所示：

图配置安全加固工作流程

配置加固流程描述如下（项目实施中，可以根据实际情况需要,

对流程进行调整、合并和展开等）：

1.确定加固范围：确定实施范围，如应用系统、资产等；

2.制定加固实施方案：确定实施人员、加固工具、进度计划等，

为实施提供指导；

3.向项目负责人汇报：就配置加固实施方案向项目负责人汇报,

并得到同意；

4.系统备份：对配置加固涉及的系统利数据进行备份；

5.加固实施：根据配置加固实施方案进行加固实施；

6.检验加固结果：验证配置加固的有效性；

7.提交加固报告、总结汇报：总结配置加固实施情况，并进行

汇报。

7.3.4工作内容

根据前期对XXX进行的调研、评估与测评结果，以等级保护体系

设计和等级保护差距分析报告为依据，根据网络安全特殊需求和

业务流程制定安全加固方案，在不影响当前业务开展的前提下,

对信息系统内的操作系统、数据库、安全设备以及中间件的安全

配置策略进行加强，降低恶意攻击者利用安全漏洞威胁系统安全

运行的几率，从而有效控制因系统配置不当等因素引发的业务中

断及信息外泄等风险，将高风险漏洞和中风险漏洞降低至可接受

的范围内，使得应用系统的安全状况提升到一个较高的水平。

本次项目安全加固对象分为四类，即信息系统内的操作系统、数

据库、中间件以及网络与安全设备。

7.3.5提交成果

XXX安全加固与优化工作将产生如下文档：

《系统安全扫描人工分析报告》、《安全配置检查和加固建议报

告》、《系统主机设备加固报告》、《网络设备加固实施报告》。

通过对系统相关主机、网络与安全设备配置的加固与优化，将会

减少安全漏洞和设备配置策略的不合理性，提高系统抗攻击的能

力，从而可有效防范攻击、限制危害要延，充分发挥各项安全措

施的作用，增强系统的安全性和稳定性。

7.4等级保护管理制度建设

7.4.1工作目的

以等级保护差距分析结果为依据，依照安全保障体系设计所提及

的建设内容，按照等级保护标准要求，制定等级保护管理体系框

架，明确管理方针、策略，以及相应的规定、操作规程、业务流

程和记录表单；XXX从贴合业务流程的原则出发，指导系统运维

方按照等级保护三级系统的管理标准，编写管理制度文件，并进

行反复沟通和修订，确保所制定的文件的适用性，且满足各系统

相应保护等级的安全管理要求。通过制定和完善管理制度，明确

责任权力，规范操作，加强对人员、设备和业务系统的管理，完

备应急响应机制，将显著提升XXX的信息安全管理水平，有效控

制信息系统所面临的安全风险，从而确保业务系统的安全、稳定

运行。

7.4.2工作方式

等级制度建设的工作方式主要如下:

1、调研访谈：采用定制的调研问卷进行访谈，了解XXX的详细

情况，如组织机构（部门设置、人员职务、外部联系和接口）、

业务流程（目标、流程、人员、物理位置、外部联系和接口）、

信息资产（网络拓扑、主机和设备资料）、内部文件（运维程序、

安全管理制度、建设方案）、原有管理相关文件及需遵守的法律

法规文件等。

2、项目会议：召开会议，以调研访谈记录和差距分析结果为依

据，研究制定安全管理制度框架和编写相应的管理制度。

3、交流：与相关人员就管理制度框架、管理制度内容进行反复

的沟通、讨论和修订，确保安全管理制度贴合业务实际，并满足

等级保护标准和相关政策要求。

7.4.3工作内容

制定和XXX的安全保护等级相适应的配套管理制度，制度相关内

容如下：

1、安全管理机构：加强和完善安全机构的建设，设立