大型制造企业信息系统安全等级保护安全建设整改方案

大型制造企业等级保护安全建设整改方案

第1章项目概述

XX大型制造型企业是国内一家大型从事制造型出口贸易的

大型综合企业集团，为了落实国家及集团的信息安全等级保护

制度，提高信息系统的安全防护水平，细化各项信息网络安全

工作措施，提升网络与信息系统工作的效率，增强信息系统的

应急处置能力，确保信息系统安全稳定运行，集团参照国家等

级保护标准的要求，找出系统现有安全措施的差距，为安全整

改建设提供依据。

本方案针对XX大型制造型企业网络信息系统的安全问题，

进行安全整改加固建议。

1.1项目目标

本方案将通过对集团网络信息系统的安全现状进行分析工

作，参照国家信息系统等级保护要求，找出信息系统与安全等

级保护要求之间的差距，给出相应的整改意见，推动网络信息

系统安全整改工作的进行。

根据XX大型制造型企业集团信息系统目前实际情况，综合

考虑信息系统现有的安全防护措施，存在的问题和薄弱环节，

提供完善的安全整改方案，提高信息系统的安全防护水平，完

善安全管理制度体系。

资产是企业网络安全的最终评估对象。在一个全面的企业

网络安全中，风险的所有重要因素都紧紧围绕着资产为中心，

威胁、脆弱性以及风险都是针对资产而客观存在的。威胁利用

资产自身的脆弱性使得安全事件的发生成为可能，从而形成了

风险。这些安全事件一旦发生，将对资产甚至是整个系统都将

造成一定的影响。

因此资产的评估是企业网络安全的一个重要的步骤，它被

确定和估价的准确性将影响着后面所有因素的评估。本项目中

资产评估的主要工作就是对信息系统企业网络安全范围内的资

产进行识别，确定所有的评估对象，然后根据评估的资产在业

务和应用流程中的作用为资产进行估价。

根据整个资产评估报告的结果可以清晰的分析出信息系统

中各主要业务的重要性比较，以及各业务中各种类别的物理资

产、软件资产和数据资产的重要程度，明确各业务系统的关键

资产，确定安全评估和保护的重点对象。

1.2项目范围

本文档适用于指导XX大型制造型企业集团网络信息系统安

全整改加固建设工作。

1.3整改依据

主要依据：

•《信息安全技术信息系统安全等级保护基本要求》

(GB/T22239-2008)

•《信息安全技术信息系统通用安全技术要求》

(GB/T20271-2006)

•《信息安全技术信息系统等级保护安全设计技术要

求》(GB/T25070-2010)

•《信息安全技术信息系统安全管理要求》

(GB/T20269-2006)

•《信息安全技术信息系统安全工程管理要求》

(GB/T20282-2006)

•《信息安全技术信息系统物理安全技术要求》

(GB/T21052-2007)

•《信息安全技术网络基础安全技术要求》

(GB/T20270-2006)

•《信息安全技术信息系统安全等级保护体系框架》

(GA/T708-2007)

•《信息安全技术信息系统安全等级保护基本模型》

(GA/T709-2007)

•《信息安全技术信息系统安全等级保护基本配置》

(GA/T710-2007)

•GBT20984信息安全风险评估规范

•GBT22239信息安全技术信息系统安全等级保护基本要

求

•GBZ20985信息技术安全技术信息安全事件管理指南

第2章安全整改原则

保密性原则：对安全服务的实施过程和结果将严格保密，

在未经授权的情况下不会泄露给任何单位和个人，不会利用此

数据进行任何侵害客户权益的行为；

标准性原则：服务设计和实施的全过程均依据国内或国际

的相关标准进行；根据等级保护基本要求，进行分等级分安全

域进行安全设计和安全建设。

规范性原则：在各项安全服务工作中的过程和文档，都具

有很好的规范性，可以便于项目的跟踪和控制；

可控性原则：服务所使用的工具、方法和过程都会与集团

双方认可的范围之内，服务进度遵守进度表的安排，保证双方

对服务工作的可控性；

整体性原则：服务的范围和内容整体全面，涉及的IT运行

的各个层面，避免由于遗漏造成未来的安全隐患；

最小影响原则：服务工作尽可能小的影响信息系统的正常

运行，不会对现有业务造成显著影响。

体系化原则：在体系设计、建设中，需要充分考虑到各个

层面的安全风险，构建完整的立体安全防护体系。

先进性原则：为满足后续不断增长的业务需求、对安全产

品、安全技术都充分考虑前瞻性要求，采用先进、成熟的安全

产品、技术和先进的管理方法。

服务细致化原则：在项目咨询、建设过程中将充分结合自

身的专业技术经验与行业经验相结合，结合现网的实际信息系

统量身定做才可以保障其信息系统安全稳定的运行。

第3章系统现状分析

3.1系统定级情况说明

综合考虑信息系统的业务信息和系统服务类型，以及其受

到破坏时可能受到侵害的客体以及受侵害的程度，已将系统等

级定为等级保护第三级、根据就高不就低的原则，整体网络信

息化平台按照三级进行建设。

3.2业务系统说明

本次参加整改的共有3个信息系统，分别是0A系统、物流

查询系统、智能制造系统，其中比较重要的是物流查询系统，

具体情况介绍如下：

物流查询电子化管理系统（网络版）历经系统开发、模拟

测试、网络、硬件设备安装部署，已经正式启动试运行工作，

在试点和实施过程当中发现系统仍有不足之处，需要对系统进

行深入完善和改进，其具有应用面广、用户规模大，并涉及到

财政性资金的重要数据信息，以及基于公众网上部署的特性，

因此系统自身和运行环境均存在一定的安全风险，在数据传

输、安全加密、网络监控、防入侵等方面的必须要建立一套更

有效更完善的安全保护体系和措施。

3.3安全定级情况

信息系统定级是等级保护工作的首要环节，是开展信息系

统安全建设整改、等级测评、监督检查等后续工作的重要基

础。根据《信息安全等级保护管理办法》，信息系统的安全保护

等级应当根据信息系统在国家安全、经济建设、社会生活中的

重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共

利益以及公民、法人和其他组织的合法权益的危害程度等因素

确定。具体如下：

第4章现网安全风险分析

4.1网络安全风险

4.1.1互联网出口未采用冗余架构

通过网络架构分析，我们发现现网出口网络：互联网出口

的入侵防御检测系统、下一代防火墙、上网行为管理等未采用

冗余架构，存在单点故障风险。

4.1.2缺少安全防护功能

通过网络架构分析和安全基线核查，我们发现现有的网

络：互联网出口的下一代防火墙，入侵防御、web应用防护、

防病毒模块授权已经过期，安全防护特征库已无法升级更新，

失去安全防护功能。

4.1.3弱资源控制

通过网络架构分析和安全基线核查，我们发现现网网络：

链路负载、下一防火墙未设置网络的最大链接数，存在资源耗

尽的风险。

4.1.4弱设备安全

通过网络架构分析和安全基线核查，我们发现现网网络：

网络设备和安全设备存在共享账号，无法实现有效的身份鉴

别，未实现双因素鉴别，存在弱口令，未周期修改密码，部分

网络设备未启用登录设备失败功能和密码复杂度要求，存在口

令爆破的风险；未对网络设备和安全设备可管理地址进行限

制，交换机使用telnet进行管理存在鉴别信息被窃取的风险。

4.1.5弱安全审计

通过网络架构分析和安全基线核查，我们发现现网网络：

未配置专业日志审计设备，无法对审计记录进行有效的保护，

无法定期日志长期保存和有效审计。

4.1.6缺少安全管理中心

通过网络架构分析和安全基线核查，我们发现现网网络：

缺少安全管理中心，无法有效的组织相关人员定期对检测和报

警的记录进行分析、评审和报告，无法对设备状态、恶意代

码、补丁审计、安全审计等相关事项进行集中管理，且系统中

存在主机和web的图危漏洞。

4.2主机安全风险

4.2.1存在高风险安全漏洞

通过漏洞扫描，我们发现0A系统主机上存在高风险安全漏

洞：0penSSH<7.0存在多个漏洞等，极易引发安全事件。

通过这些漏洞，攻击者可以对业务系统主机进行攻击，获

得主机的控制权限。同时，在拿到主机的控制权限后，攻击者

还可以此为跳板，对网络中的其他主机、设备进行监听和攻

击O

4.2.2弱身份鉴别能力

通过安全基线核查，我们发现物流查询系统主机上：操作

系统的密码策略、账户锁定策略没有配置启用。数据库系统的

密码策略和锁定策略没有配置启用、系统未采用两种或以上的

认证方式进行身份鉴别，无法实现有效的身份鉴别。

通过利用弱身份鉴别能力，攻击者可以对业务系统主机进

行口令爆破，获得主机的控制权限。同时，在拿到主机的控制

权限后，攻击者还可以此为跳板，对网络中的其他主机、设备

进行监听和攻击。

4.2.3弱访问控制能力

通过安全基线核查，我们发现系统主机上：操作系统管理

使用root账户，数据库和主机是同一人管理，未能实现操作系

统和数据库系统特权用户的权限分离；数据库系统开启XDB危

险服务；存在数据库系统的应用账户INVT0A3拥有DBA权限。

未对重要信息资源设置敏感标记；未限制登录终端的操作超时

锁定时间；未设定终端接入方式、网络地址范围等条件限制终

端登录。

通过利用弱访问控制能力，在攻击者拿到一部分系统访问

权限后可实现越权。

4.2.4弱安全审计能力

通过安全基线核查和网络架构分析，我们发现0A系统未部

署专业的日志审计设备或软件，审计日志仅保存在主机本地，

无法生成审计报表和自动告警。

这类弱安全审计能力，会导致系统安全事件时无法有效的

记录和保存日志，影响安全事件的溯源。

4.2.5缺少入侵防范能力

通过安全基线核查和漏洞扫描，我们发现现网系统未能够

对重要程序的完整性进行检测，数据库系统和操作系统软件和

补丁未及时更新，主机扫描存在漏洞。缺少入侵防范能力，攻

击者会较容易利用漏洞进行入侵攻击，系统容易遭到破坏。

4.2.6缺少恶意代码防范能力

通过安全基线核查，我们发现物流查询系统操作系统未安

装防恶意代码软件。缺少恶意代码防范能力容易是系统受到恶

意代码的侵害。

4.2.7缺少资源控制能力

通过安全基线核查，我们发现0A系统没有限制单用户对系

统资源的最大或最小使用限度；未有措施对服务器进行监视，

包括监视服务器的CPU、硬盘、内存、网络等资源的使用情

况；未能够对系统的服务水平降低到预先规定的最小值进行检

测和报警。缺少资源控制能力容易导致系统资源被耗尽，容易

遭受DDoS（分布式拒绝攻击）的侵害。

4.3应用安全风险

4.3.1存在高风险安全漏洞

通过漏洞扫描和渗透测试，我们发现相关应用系统存在高

风险安全漏洞：SQL盲注、URL重定向、跨站脚本攻击等，极易

引发安全事件。

通过这些漏洞，攻击者可以对业务系统主机进行攻击，获

得web应用的权限和数据，甚至获取到主机权限。

4.3.2弱身份鉴别能力

通过安全基线核查，我们发现0A系统上：应用系统没有登

录失败处理；没有用户身份鉴别信息复杂度检查；应用系统仅

使用用户名加口令的单因素认证方式；系统未设置超时自动退

出功能。

通过利用弱身份鉴别能力，攻击者可以对业务系统进行口

令爆破，获得业务系统的控制权限。同时，在拿到业务系统的

控制权限后，攻击者还可以此为跳板，对网络中的其他主机、

设备进行监听和攻击。

4.3.3未进行传输加密

通过安全基线核查，我们发现仓储系统上：应用系统未采

用hash技术或者HTTPS协议，未能保证通信过程中数据的完整

性与保密性、应用系统鉴别信息明文传输。

通过利用未进行传输加密，攻击者可嗅探网络数据窃取到

应用传输消息，甚至是用户鉴别信息、个人信息等敏感信息。

4.3.4缺少资源控制能力

通过安全基线核查，我们发现0A系统：系统未对单个账户

的多重并发会话进行限制；未能够对系统服务水平降低到预先

规定的最小值进行检测和报警。

缺少资源控制能力容易导致系统资源被耗尽，容易遭受

DDoS（分布式拒绝攻击）的侵害。

4.4数据安全和备份恢复风险

4.4.1缺少数据完整性和数据保密性能力

通过安全基线核查，我们发现三个系统：未采取有效措施

对数据完整性进行检查；鉴别信息明文传输，未能保证鉴别信

息的通信和存储的保密性。

缺少数据完整性和数据保密性能力，容易导致数据被篡改

和数据泄露的风险。

4.5管理安全风险

4.5.1缺少维护手册和用户操作规程

通过管理体系检查，我们发现现网的管理体系缺少网络设

备、安全设备、主机系统、应用系统、数据库的维护手册和用

户操作规程等。

4.5.2缺少执行记录和审批记录文件

通过管理体系检查，我们发现现网管理体系缺少各项信息

安全关键事项的执行记录和审批记录文件，如：备份恢复执行

记录和审批记录、变更执行记录和审批记录、防恶意代码检查

记录执行记录和审批记录文、漏洞检查执行记录和报告、日志

审计执行记录和报告、补丁升级执行记录和审批记录文、安全

事件处理记录和审批记录文、培训记录和考核记录、应急演练

执行记录和报告等。

4.5.3缺少管理体系评审和修订

通过管理体系检查，我们发现管理体系缺少未定期对ISMS

管理体系的合理性和适用性进行评审和修订，以及ISMS执行和

落实情况进行检查和审核。

4.5.4缺少总体建设规划和详细设计方案

通过管理体系检杳，我们发现ISMS管理体系未根据企业的

安全需求和安全目标，统一考虑安全保障体系的总体安全策

略、安全技术框架、安全管理策略设计总体建设规划和详细设

计方案，并形成配套文件。

4.5.5工程验收和交付缺少部分环节

通过对管理体系检查，我们发现ISMS管理体系未在工程的

测试验收缺少必要安全性测试和安全报告，在工程交付中未未

进行运维手册的定制。

4.5.6未定期进行应急演练

通过管理体系检查，我们发现ISMS管理体系未在统一的应

急预案框架下制定不同事件的应急预案，应急预案框架应包括

启动应急预案的条件、应急处理流程、系统恢复流程、事后教

育和培训等内容，并定期进行应急演练及事后教育和培训。

4.5.7未定期进行安全评估和安全加固

通过管理体系检查，我们发现ISMS管理体系未定期进行恶

意代码检查扫描、漏洞扫描及漏洞加固、未定期进行整体的安

全评估及风险整改。

4.5.8缺少安全管理中心

通过网络架构分析、安全基线核查和管理体系检查，我们

发现整体网络：缺少安全管理中心，无法有效的组织相关人员

定期对检测和报警的记录进行分析、评审和报告，无法对设备

状态、恶意代码、补丁审计、安全审计等相关事项进行集中管

理，且系统中存在主机和web的高危漏洞。

第5章安全需求分析

5.1安全计算环境需求分析

根据前期差距分析结果，该信息系统如果想达到等级保护

三级关于安全计算环境的要求，还需要满足以下需求：

主机防病毒：该信息系统缺少主机防病毒的相关安全策

略，需要配置网络版主机防病毒系统，从而实现对全网主机的

恶意代码防范。

数据库审计：该信息系统缺少针对数据的审计设备，不能

很好的满足主机安全审计的要求，需要部署专业的数据库审计

设备。

运维堡垒主机：该信息系统无法实现管理员对网络设备和

服务器进行管理时的双因素认证，需要部署堡垒机来实现。

备份与恢复：该信息系统没有完善的数据备份与恢复方

案，需要制定相关策略。同时，该信息系统没有实现对关键网

络设备的冗余，建议部箸双链路确保设备冗余。

5.2安全区域边界需求分析

根据前期差距分析结果，该信息系统如果想达到等级保护

三级关于安全区域边界的要求，还需要满足以下需求：

边界访问控制：该信息系统无法实现对边界的访问控制，

需要部署防火墙等安全设备来实现。

边界入侵防范：该信息系统无法实现对边界的访问控制，

需要部署防火墙等安全设备来实现。

边界恶意代码过滤：该信息系统无法实现对边界的访问控

制，需要部署防火墙等安全设备来实现。

防web攻击：该信息系统无法实现对边界的访问控制，需

要部署防火墙等安全设备来实现。

安全域边界安全审计：该信息系统无法实现对边界的访问

控制，需要部署署网络安全审计等安全设备来实现。

互联网出口安全审计：该信息系统无法实现对边界的访问

控制，需要部署行为管理等设备来实现。

5.3安全通信网络需求分析

根据前期差距分析结果，该信息系统如果想达到等级保护

三级关于安全通信网络的要求，还需要满足以下需求：

通信完整性和保密性：该信息系统无法实现对边界的访问

控制，需要部署SSLVPN等安全设备来实现。

流量管理：该信息系统无法实现对边界的访问控制，需要

部署流量管理系统等安全设备来实现。

5.4安全管理中心需求分析

根据前期差距分析结果，该信息系统如果想达到等级保护

三级关于安全管理中心的要求，还需要满足以下需求：

统一日志平台：该信息系统无法实现对相关网络及安全设

备的日志审计功能，需要部署日志审计系统来实现。

统一监控平台：该信息系统无法统一展示边界的安全威胁

情况，需要部署安全感知平台等来实现。

统一管理平台：该信息系统无法实现对边界的访问控制，

需要部署运维堡垒主机来实现。

第6章总体安全设计

6.1总体设计目标

本次安全等级保护整改方案设计的总体目标是依据国家等

级保护的有关标准和规范，结合现网信息系统的现状，对其进

行重新规划和合规性整改，为其建立一个完整的安全保障体

系，有效保障其系统业务的正常开展，保护敏感数据信息的安

全，保证信息系统的安全防护能力达到《信息安全技术信息系

统安全等级保护基本要求》中第三级的相关技术和管理要求。

6.2总体安全体系设计

本项目提出的等级保护体系模型，必须依照国家等级保护

的相关要求，利用密码、代码验证、可信接入控制等核心技

术，在“一个中心三重防御”的框架下实现对信息系统的全面

防护。

安全管理中心

安全管理中心是整个等级保护体系中对信息系统进行集中

安全管理的平台，是信息系统做到可测、可控、可管理的必要

手段和措施。依照信息系统等级保护安全设计技术要求中对安

全管理中心的要求，一个符合基于可信计算和主动防御的等级

保护体系模型的安全管理中心应至少包含以下三个部分：

系统管理

实现对系统资源和运行的配置。控制和管理，并对系统管

理员进行身份鉴别，只允许其通过特定的命令或操作界面进行

系统管理操作，并对这些操作进行审计。

安全管理

实现对系统中的主体、客体进行统一标记，对主体进行授

权，配置一致的安全策略，确保标记、授权和安全策略的数据

完整性，并对安全管理员进行身份鉴别，只允许其通过特定的

命令或操作界面进行安全管理操作，并进行审计。

审计管理

实现对系统各个组成部分的安全审计机制进行集中管理，

包括根据安全审计策略对审计记录进行分类；提供按时间段开

启和关闭相应类型的安全审计机制；对各类审计记录进行存

储、管理和查询等；对审计记录应进行分析，根据分析结果进

行处理。此外，对安全审计员进行身份鉴别，只允许其通过特

定的命令或操作界面进行安全审计操作。

此外，安全管理中心应做到技术与管理并重，加强在安全

管理制度、安全管理机构、人员安全管理、系统建设管理和系

统运维管理等方面的管理力度，规范安全管理操作规程，建立

完善的安全管理制度集。

安全计算环境

参照基于可信计算和主动防御的等级保护模型，安全计算

环境可划分成节点和典型应用两个子系统。在解决方案中，这

两个子系统都将通过终端安全保护体系的建立来实现。

信息安全事故的源头主要集中在用户终端，要实现一个可

信的、安全的计算环境，就必须从终端安全抓起。因此，依照

等级保护在身份鉴别，访问控制（包括强制访问控制）、网络行

为控制（包括上网控制、违规外联的控制）、应用安全、数据安

全、安全审计等方面的技术要求，可充分结合可信计算技术和

主动防御技术的先进性和安全性，提出一个基于可信计算和主

动防御的终端安全保护体系模型，以实现从应用层、系统层、

核心层三个方面对计算环境的全面防护。

安全区域边界

为保护边界安全，本解决方案针对构建一个安全的区域边

界提出的解决手段是在被保护的信息边界部署一个“应用访问

控制系统”。该系统应可以实现以下功能：信息层的自主和强制

访问控制、防范SQL注入攻击和跨站攻击、抗DoS/DDoS攻击端

口扫描、数据包过滤、网络地址换、安全审计等。由于国内外

在这一方面的相关技术非常成熟，因此，在本次系统整改总体

设计中更多的是考虑如何将防火墙、防病毒网关、网络安全审

计系统、IDS、IPS等有机地结合在一起，实现协同防护和联动

处理。

此外，对于不同安全等级信息系统之间的互连边界，可根

据依照信息流向的高低，部署防火墙或安全隔离与信息交换系

统，并配置相应的安全策略以实现对信息流向的控制。

安全通信网络

目前，在通信网络安全方面，采用密码等核心技术实现的

各类VPN都可以很有效的解决这类问题，达到在满足等级保护

相关要求的同时，可灵活提高通信网络安全性的效果。

6.3安全域划分说明

安全域的划分是网络防护的基础，事实上每一个安全边界

所包含的区域都形成了一个安全域。这些区域具有不同的使

命，具有不同的功能，分域保护的框架为明确各个域的安全等

级奠定了基础，保证了信息流在交换过程中的安全性。

在本项目中，将严格按照信息系统的重要性和网络使用的

逻辑特性划分安全域，将划分如下几个区域：

互联网接入域，该区域说明如下：

在网络出口需提供流量清洗设备实现对DDOS等异常流量的

清洗，链路负载自动匹配最优线路，保障网络可用性的同时实

现快速接入；需在互联网出口边界利用防火墙进行隔离和访问

控制，保护内部网络，利用IPS从2-7层对攻击进行防护，实

现对入侵事件的监控、阻断，保护整体网络各个安全域免受外

网常见恶意攻击；需对互联网出口流量进行识别并对流量进行

管控，提高带宽利用率的同时保障用户上网体验。

办公网区域，该区域说明如下：

安全域内的终端上需具备防恶意代码的能力，并对接入内

网的用户终端进行访问控制，明确访问权限以及可访问的网络

范围。

DMZ区，该区域说明如下：

该安全域内主要承载对外提供服务的服务器等，包括门户

网站前端服务器、Web业务服务器等。需在DMZ区域边界设置

访问控制策略，并具备应用层攻击检测与防护能力、防篡改能

力，同时也需要保证访问量较大的服务能够保持健康、稳定的

运行。

服务器区域，该区域说明如下：

该安全域内主要承载内网核心业务信息系统，包含本次需

过等级保护测评的3大信息系统，需对这些业务信息系统提供

2-7层安全威胁识别及阻断攻击行为的能力，如SQL注入、XSS

（跨站脚本攻击）、CSRF（跨站请求伪造攻击）、cookie篡改

等；需对存储业务信息系统产生的数据访问权限进行划分，并

对数据的相关操作进行审计；需对敏感或重要数据进行备份。

综合安全管理区域，该区域说明如下：

该安全域对业务环境下的网络操作行为进行集中管理与细

粒度审计；用于监控内网安全域之间的流量，对流量中的威胁

进行实时检测并统一呈现；对资产及其可能存在的漏洞进行扫

描。

第7章详细方案技术设计

7.1物理和环境安全保障

“物理和环境安全保障体系”是支撑整个信息网应用系统

的基石。其作为网信息安全管理体系建设的重要组成部分，必

须依据《信息系统安全等级保护基本要求》对物理安全的有关

要求，并结合信息化大集中、大整合、高共享的建设实际，不

断扩展和变化，以满足信息化建设对基础设施保障和设备、数

据安全的需求。

物理安全保障体系建设规划与应用的发展有着紧密的联

系，其设计方向必须紧贴应用发展的实际需求，以机房的基础

设施和安保系统的完善建立物理层面的保障和安全管控。在基

础设施方面扩容机房的综合布线、电气配线、动力系统、制冷

系统，使应用部署不再受到机房、功能区域的限制，消除物理

空间上的限制，让系统的建设更加灵活且具有高度的可扩展

性。在物理安保方面进一步加强对人员的管控，通过整合现有

安保资源，形成多元化的安保防控一体化构件，达到对资产的

全面管理和安全防护。

1、供配电系统

各级网络机房的供配电系统要求能保证对机房内的主机、

服务器、网络设备、通讯设备等的电源供应在任何情况下都不

会间断，做到无单点失效和平稳可靠，这就要求两路以上的市

电供应，足够后备时间供电的N+1冗余的UPS系统，还有与机

房供电系统匹配的自备发电机系统。

2、防雷接地

要求机房设有四种接地形式，即计算机专用直流逻辑地、

配电系统交流工作地、安全保护地、防雷保护地。

3、消防报警及自动灭火

为实现火灾自动灭火功能，应该设计火灾自动监测及报警

系统，以便能自动监测火灾的发生，并且启动自动灭火系统和

报警系统。

4、门禁

各级网络机房应建立实用、高效的门禁系统，门禁系统需

要注意的原则是安全可靠、简单易用、分级制度、中央控制和

多种识别方式的结合，形成统一授权，分区管理的集中监控模

式。

5、保安监控

各级网络机房的保安监控包括几个系统的监控：闭路监视

系统、通道报警系统和人工监控系统，必要情况要求记录集中

存储。

6、一体化的安保系统集成

机房应将门禁管理、视频监控、人员身份鉴别、人员行为

管控、资产管控等多个基本安保元素进行一体化集成，遵循安

全可靠、简单易维、分级授权、多种识别、全程跟踪的方式形

成完善的安保防控体系。

7.2网络边界安全管控

网络边界安全管控体系从网络整体结构、网络层边界管控

措施、网络安全防护及监测、主机边界管理等几个方面来设

计。

7.2.1网络安全域设计

在信息系统中，遵守相同的信息安全策略的集合（包括人

员，软硬件设备）称为安全域。它的目的是对信息系统中的不

同安全等级区域分别进行保护，应进行安全域的划分、结构安

全、边界整合以及防护策略设计。

在理顺了信息系统访问控制关系的基础上，结合信息安全

体系框架安全域划分部分的内容，以及信息系统本身的业务特

点和安全要求，建立XX企业客户的安全域模型，从交换域、计

算域和用户域划分安全域模型，提出具体解决方案及实施建

议。

7.2.2制定访问控制策略

根据信息系统网络访问关系梳理得到的相关结果，以及对

于安全域划分结果进行分析，从大的方面制定各个安全级别之

间的访问控制策略和安全防护措施（各种安全产品的部署），从

小的方面制定同一个安全级别各个系统之间以及各个具体的安

全域之间的访问控制策略。

7.2.3网络安全防护管理

网络访问控制是防止对网络服务的未授权访问，根据安全

域划分和访问控制策略在信息网络接入边界、核心边界实施访

问控制；网络入侵检测（NIDS）是对信息系统的安全保障和运

行状况进行监视，以发现各种攻击企图、攻击行为或者攻击结

果。在现网内部署网络入侵检测系统，监控所有进出服务器网

段的流量，并对核心信息系统中的安全事件进行实时监控，发

现和对各种攻击企图、攻击行为或者攻击结果进行告警，从而

使整个信息系统的网络入侵防范更为完善；终端准入控制机制

从终端层到网络层，再到应用层和边界层，提供了客户端准

入、网络准入和应用准入等多种准入控制手段，确保只有通过

身份验证和安全基线检查的办公终端才能接入内网并进行受控

访问，对非法的或存在安全隐患的办公终端进行隔离和修复，

构建出完善的“内网安检系统”，从源头上有效减少内网安全

漏洞。

边界出口处采用防火墙技术进行严格的链路访问控制，并

能承载高会话数转发和会话状态控制。

核心计算域的访问控制通过核心交换机进行区域划分，然

后通过防火墙或ACL机制进行对进出的数据流进行严格的访问

管控，细化到IP+端口细粒度的级别。

在出口增加防火墙加网络病毒检测防护，提升网络边界的

恶意代码的防护。

7.3终端主机安全管理

相关的安全接入基线要求为日常管理提供必要的安全底

线，避免裸机运行或带“病”运行。应用系统主机安全在其相

关的章节中描述。

应监控办公终端的操作系统补丁、防病毒软件、软件进

程、登录口令、注册表等方面的运行情况。如果办公终端没有

安装规定的操作系统补丁、防病毒软件的运行状态和病毒库更

新状态不符合要求、没有运行指定的软件或运行了禁止运行的

软件，或者有其它的安全基线不能满足要求的情况，该办公终

端的网络访问将被禁止。此时启动自动修复机制，或提示终端

用户手工进行修复。待修复完成后，办公终端将自动得到重新

访问网络的授权。

终端安全加固

通过禁用系统Autorun（自动播放）、禁用终端的账号和共

享的匿名枚举、禁用终端的可匿名的共享、禁用Windows系统

的“发送到”菜单选项、禁用系统安全模式的功能、禁用

Windows远程桌面、禁用启用系统自带的DEP功能（数据执行保

护）、并可禁止对终端网卡属性进行修改，避免用户违规修改网

卡的IP、MAC、网关地址等属性，对终端操作系统进行安全加

固，防止终端用户误操作，并有效预防蠕虫病毒和木马对办公

终端带来的攻击。

除此之外，还提供丰富多样的自定义安全策略，可以用于

对终端进行安全加固。例如可以通过检测特定文件或指定程序

是否存，来检查终端是否有隐藏的木马或病毒；通过检测指定

注册表项、指定注册表值或指定的注册表项和值得匹配关系是

否存在，来检查终端是否存在隐藏的木马或病毒的可能，并可

以通过对指定注册表项，进行保护，防止被木马或病毒恶意对

其进行修改，从而达到控制终端的可能。

还可以根据公司内网要求，检查终端是否按照要求加入或

登录指定的AD域，如果没有按照要求加入或登录域，还可以将

其进行安全隔离，使其无法访问网络，保证单位域管理的有效

实施。

进程红白黑名单管理

在现网网络环境中，办公终端软件环境的标准化能为桌面

运维管理带来多方面的效益：能够降低桌面维护的复杂程度，

确保关键软件在办公终端的强制安装与使用，同时通过禁止运

行某些软件来提高工作效率。

进程管理通过定义办公终端进程运行的红、白、黑名单.

实现自动、高效的进程管理功能，完全覆盖用户对进程管理的

要求。进程管理，无论是进程红名单、黑名单还是白名单，都

可以通过设置MD5码校验的方式检查进程名，防止用户对程序

改名逃避安全检查。

在进程管理中所定义的红名单、白名单和黑名单的详细定

义如下：

进程红名单：办公终端必须运行的进程清单，是“进程白

名单”的子集；

进程白名单：办公终端能够运行的进程清单；

进程黑名单：办公终端禁止运行的进程清单。

7.4核心应用系统安全保护

核心应用系统的安全应从安全预警、安全管控和安全溯源

三个方面来的保障，具体来说应做到事前的安全漏洞的检查、

安全配置基线核查的安全风险预警，事中的严格边界访问控

制、事后的网络业务审计、综合日志审计在内的业务溯源。

漏洞扫描及配置核查

据“全球信息安全调查”的数据，当前面临的最大安全挑

战是“预防安全漏洞的出现“，在日益复杂的网络环境和层出不

穷的安全威胁面前，手工的漏洞管理工作几乎是不可想象的.

尤其是对于有一定规模的信息系统。信息系统管理员通常要借

助漏洞管理工具来识别和修补漏洞。

应根据“发现一扫描一定性一修复一审核”的安全体系构

建法则，综合运用多种国际最新的漏洞扫描与检测技术，能够

快速发现网络资产，准确识别资产属性、全面扫描安全漏洞，

清晰定性安全风险，给出修复建议和预防措施，并对风险控制

策略进行有效审核，从而在弱点全面评估的基础上实现安全自

主掌控。

由于服务和软件的不正确部署和配置造成安全配置漏洞，

入侵者会利用这些安装时默认设置的安全配置漏洞进行操作从

而造成威胁。随着攻击形式和各种安全威胁事件的不断发生，

越来越多的安全管理人员已经意识到正确进行安全配置的重要

性。但是随着业务系统网络结构越来越复杂，重要应用和服务

器数量及种类繁多，很容易发生安全管理人员的配置操作失误

造成极大的影响。基于安全配置最低标准的安全配置基线检查

就应运而生。

通过安全配置核查管理系统对于设备入网、工程验收、日

常维护、合规检查等方面展开合规安全检查，找出不符合的项

并选择和实施安全措施来控制安全风险。检查范围包括主流的

网络设备、安全设备、数据库、操作系统和应用系统等，检查

项包括：账号、口令、授权、日志、IP协议和设备专有配置等

内容。

核心边界业务访问控制

在核心的网络边界部署访问控制设备启用访问控制功能，

根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，

控制粒度为端口级，应对进出网络的信息内容进行过滤，实现

对应用层HTTP、FTP、TELNET等协议命令级的控制；在会话处

于非活跃一定时间或会话结束后终止网络连接，限制网络最大

流量数及网络连接数，对业务服务的重要次序来指定带宽分配

优先级别，保证在网络发生拥堵的时候优先保护重要应用系统

主机。

运维审计

因为种种历史遗留问题，并不是所有的信息系统都有严格

的身份认证和权限划分，权限划分混乱，高权限账号（比如

root账号）共用等问题一直困扰着网络管理人员，高权限账号

往往掌握着数据库和业务系统的命脉，任何一个操作都可能导

致数据的修改和泄露，最高权限的滥用，让运维安全变得更加

脆弱，也让责任划分和威胁追踪变得更加困难。

无论是内部运维人员还是第三方代维人员，基于传统的维

护方式，都是直接采用系统账号完成系统级别的认证即可进行

维护操作。随着系统的不断庞大，运维人员与系统账号之间的

交叉关系越来越复杂，一个账号多个人同时使用，是多对一的

关系，账号不具有唯一性，系统账号的密码策略很难执行，密

码修改要通知所有知道这个账号的人，如果有人离职或部门调

动，密码需要立即修改，如果密码泄露无法追查，如果有误操

作或者恶意操作，无法追查到责任人。

业务数据审计

信息网络的急速发展使得数据信,包的价值及可访问性得至']

了提升，同时，也致使数据库信息资产面临严峻的挑战。数据

库的安全威胁主要来自两个方面，一方面来自外部的非法入

侵，黑客针对业务系统或者数据库漏洞，采取各种攻击手段，

篡改或者盗取数据。这部分威胁可以通过在业务网络入口部署

防火墙、入侵防护等产品得到有效预防。而另一方面的威胁来

自内部，内部员工的恶意破坏、违规操作和越权访问，往往会

带来数据的大量外泄和严重损坏，甚至导致数据库系统崩溃。

而且，这些操作往往不具备攻击特征，很难被普通的信息安全

防护系统识别出来，就更加防不胜防，迫切需要一种行之有效

的手段来进行防护。

围绕数据库的业务系统安全隐患如何得到有效解决，一直

以来是IT治理人员和DBA们关注的焦点：

管理层面：完善现有业务流程制度，明细人员职责和分

工，规范内部员工的日常操作，严格监控第三方维护人员的操

作。

技术层面：除了在业务网络部署相关的信息安全防护产品

（如FW、IPS等），还需要专门针对数据库部署独立安全审计产

品，对关键的数据库操作行为进行审计，做到违规行为发生时

及时告警，事故发生后精确溯源。

不过，审计关键应用程序和数据库不是一项简单工作。特

别是数据库系统，服务于各有不同权限的大量用户，支持高事

务处理率，还必须满足苛刻的服务水平要求。商业数据库软件

内建的审计能力不能满足独立性的基本要求，还会降低数据库

性能并增加管理费用。

网络安全审计系统（业务网审计）是针对业务环境下的网

络操作行为进行细粒度审计的合规性管理系统。在网络层通过

对业务人员访问系统的访问行为进行解析、分析、记录、汇

报，用来帮助用户事前规划预防，事中实时监视、违规行为响

应，事后合规报告、事故追踪溯源，同时加强内外部网络行为

监管、促进核心资产（数据库、服