您的当前位置：首页某单位信息安全等级保护建设方案-V1.2

某单位信息安全等级保护建设方案-V1.2

来源：尚佳旅游分享网

xxxxxx

信息安全等级保护（三级）建设项目

设计方案

信息安全等保保护建设（三级）设计方案

二〇一八年二月

文档控制

文档名称：

xxxxxx

信息安全等保保护建设（三级）设计方案

提交方 xxxxx 机股份有限公司 Xxxxx 提交日期版本信息

日期版本撰写者审核者描述初稿 2 月 28 日 V1.0 V1.1 3 月 1 日修订修订 3 月 7 日 V1.2

本文档版权归 xxxxxx 股份有限公司所有，未经 xxxx 有限公司允许，本文档里的任何内容都不得被用来宣传和传播。未经 xxxx 有限公司书面批准，文档或任何类似的资讯都不允许被发布。

信息安全等保保护建设（三级）设计方案

第一章项目概述 ........................................................................ 5

1.1 项目概述 ........................................................................ 5 1.2 项目建设背景 ................................................................. 6

1.2.1 法律要求 ............................................................. 6 1.2.2 要求 ............................................................. 8 1.3 项目建设目标及内容 ...................................................... 9

1.3.1 项目建设目标 ...................................................... 9 1.3.2 建设内容 ............................................................. 9

第二章现状与差距分析 ........................................................... 10

2.1 现状概述 ...................................................................... 10

2.1.1 信息系统现状 .................................................... 10 2.2 现状与差距分析 ........................................................... 13

2.2.1 物理安全现状与差距分析 .................................. 13 2.2.2 网络安全现状与差距分析 .................................. 18 2.2.3 主机安全现状与差距分析 .................................. 25 2.2.4 应用安全现状与差距分析 .................................. 31 2.2.5 数据安全现状与差距分析 .................................. 37

信息安全等保保护建设（三级）设计方案

2.2.6 安全管理现状与差距分析 .................................. 39 2.3 综合整改建议 ............................................................... 43

2.3.1 技术措施综合整改建议 ...................................... 43 2.3.2 安全管理综合整改建议 ...................................... 51

第三章安全建设目标 ............................................................... 52 第四章安全整体规划 ...............................................................

4.1 建设指导 ......................................................................

4.1.1 指导原则 ........................................................... 4.1.2 安全防护体系设计整体架构 ............................... 55 4.2 安全技术规划 ............................................................... 57

4.2.1 安全建设规划拓朴图 ......................................... 57 4.2.2 安全设备功能 .................................................... 58 4.3 建设目标规划 ............................................................... 65 第五章工程建设 ...................................................................... 67

5.1 工程一期建设 ............................................................... 67

5.1.1 区域划分 ........................................................... 67 5.1.2 网络环境改造 .................................................... 68 5.1.3 网络边界安全加固 ............................................. 68

信息安全等保保护建设（三级）设计方案

5.1.4 网络及安全设备部署 .......................................... 69 5.1.5 安全管理体系建设服务 .................................... 104 5.1.6 安全加固服务 .................................................. 125 5.1.7 应急预案和应急演练 ........................................ 133 5.1.8 安全等保认证协助服务 .................................... 133 5.2 工程二期建设 ............................................................. 134

5.2.1 安全运维管理平台（soc） .............................. 134 5.2.2 APT 高级威胁分析平台 ................................... 138 5.3 产品清单 .................................................................... 140 第六章方案预算 .................................................................... 141 第七章方案预估效果 ............................................................. 142

7.1 工程预期效果 ............................................................. 142

信息安全等保保护建设（三级）设计方案

图表目录

图表 1 现状拓扑图图表 2 物理安全现状图表 3 网络安全现状图表 4 主机安全现状图表 5 应用安全现状图表 6 数据安全现状图表 7 安全管理现状

图表 8 综合技术措施整改建议表格图表 9 综合安全管理体系整改建议表格图表 10 安全保障体系图图表 11 安全建设规划拓扑图图表 12 建设规划

图表 13 信息安全组织架构示意图图表 14 安全管理制度规划示意图图表 15 产品清单表图表 16 方案预算表

11 13 18 25 31 37 39 43 51 55 57 65

112119140141

信息安全等保保护建设（三级）设计方案

第一章项目概述

1.1 项目概述

xxxxxx 是的职能部门，贯彻执行国家有关机关事务工作的方针，拟订省机关事务工作的、规划和规章制度并组织实施，负责省机关事务的管理、保障、服务工作。

在面对现在越来越严重的网络安全态势下，xxxxxx 积极响应国家相关法规，积极开展信息安全等级保护建设。对自有网络安全态势进行自我核查，补齐等保短板，履行安全保护义务。

项目目标：打造一个可信、可管、可控、可视的安全网络环境，更好的为机关各部门及领导者和公务人员提供工作和生活条件，更好的保障各项行政活动正常进行。

信息安全等保保护建设（三级）设计方案

1.2 项目建设背景

机关后勤管理工作因为其内部服务的特殊性，一直比较少地为社会公众所关注或重视。机关后勤管理包括对物资、财务、环境、生活以及各种服务项目在内的事务工作的管理，是行政机关办公室管理的重要一环，为机关各部门以及领导者和公务人员提供工作和生活条件，是保障各项行政活动正常进行的物质基础。

随着这几年地区经济的高速发展和行政职能分配管理的需要，使机关事务管理工作的管理范围和管理对象也相应的扩展和增加，管理工作变得十分繁重。尤其是在新增的一些业务管理工作方面，如对机关单位固定资产的管理、房屋出租、分配的管理等，同时，随着这几年国家对资产管理的重视，信息化建设从原来注重财务管理信息化逐渐向国有资产管理信息化发展，作为机关事务管理的机构，正承担着这样一种责任和使命。同时在面对现在不容乐观的整体安全态势环境下，开展机关事务管理的信息化建设与信息安全建设，是整个社会和国家发展的必然趋势。

1.2.1 法律要求

在 2017 年 6 月 1 日颁发的《中华人民共和国网络安全法》中明确规定了法律层面的网络安全。具体如下：

“没有网络安全，就没有”，《网络安全法》第二十一条明确规定“国家实行网络安全等级保护制度”。各网络运营者应当按照要

信息安全等保保护建设（三级）设计方案

求，开展网络安全等级保护的定级备案、等级测评、安全建设、安全检查等工作。除此之外，《网络安全法》中还从网络运行安全、关键

信息基础设施运行安全、网络信息安全等对以下方面做了详细规定：

网络日志留存：第二十一条还规定，网络运营者应当制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任;采取防计算机病毒、网络攻击、网络侵入等危害网络安全行为的技术措施;采取监测、记录网络运行状态、网络安全事件的技术措施，留存不少于六个月的相关网络日志;采取数据分类、重要数据备份和加密等措施。未履行上述网络安全保护义务的，会被依照此条款责令整改，拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。

漏洞处置：第二十五条规定，网络运营者应当制定网络安全事件

应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等

安全风险;在发生危害网络安全的事件时，立即启动应急预案，采取相

应的补救措施，并按照规定向有关主管部门报告。没有网络安全事件

应急预案的，没有及时处置高危漏洞、网络攻击的;在发生网络安全事

件时处置不恰当的，会被依照此条款责令整改，拒不改正或者导致危

害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的

主管人员处五千元以上五万元以下罚款。

信息安全等保保护建设（三级）设计方案

容灾备份：第三十四条第三项规定，关键信息基础设施单位对重要系统和数据库进行容灾备份。没有对重要系统和数据库进行容灾备

份的会被依照此条款责令改正。

应急演练：第三十四条第四项规定，关键信息基础设施单位应当

制定网络安全事件应急预案，并定期进行演练。没有网络安全事件预

案的，或者没有定期演练的，会被依照此条进行责令改正。

安全检测评估：第三十规定，关键信息基础设施的运营者应

当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风

险每年至少进行一次检测评估，并将检测评估情况和改进措施报送相

关负责关键信息基础设施安全保护工作的部门。每年没有进行安全检

测评估的单位要被责令改正。

1.2.2 要求

为切实加强门户网站安全管理和防护，保障网站安全稳定运行，国家非常重视，陆续颁布以下文件：《关于加强党政机关网站安全管

理的通知》（中网办发文〔2014〕1 号）、《关于做好党政机关网站

开办审核、资格复核和网站标识管理工作的通知》（编办发

〔2014〕69 号），、、中编办、工信部等四部门

《关于印发〈党政机关、事业单位和国有企业互联网网站安全专项整

治行动方案〉的通知》（公信安〔2015〕2562 号）

信息安全等保保护建设（三级）设计方案

1.3 项目建设目标及内容

1.3.1 项目建设目标

依据国家信息安全等级保护相关指导规范，对 xxxxxx 信息系统、基础设施和骨干网络按照等保三级进行安全建设规划，对安全建设进行统一规划和设备选型，实现方案合理、组网简单、扩容灵活、标准统一、经济适用的建设目标。

依据信息安全等级保护三级标准，按照“统一规划、统一标准、重点明确、合理建设”的基本原则，在物理安全、网络安全、主机安全、应用安全、数据安全等几个方面进行安全规划与建设，确保“网络建设合规、安全防护到位”。

方案目标是让 xxxxxx 的骨干网络、相关应用系统达到安全等级保护第三级要求。经过建设后使整体网络形成一套完善的安全防护体系，提升整体信息安全防护能力。

1.3.2 建设内容

本项目以 xxxxxx 骨干网络、信息系统等级保护建设为主线，以让相关信息系统达到安全等级保护第三级要求。借助网络产品、安全产品、安全服务、管理制度等手段，建立全网的安全防控管理服务体系，从而全面提高 xxxxxx 的工作效率，提升信息化运用水平。

建设内容包括 xxxxxx 内网骨干网络、基础设施和信息系统等。

第二章现状与差距分析

2.1

现状概述

2.1.1 信息系统现状

本次项目中 xxxxxx 项目中涉及的设备有：

1) 服务器≥4 台

2) 网络设备若干路由器、交换机、ap

3) 安全设备有：1 台防火墙（过保）、WAF（过保）、2 台 ips（dmz

区前 IPS 已过保）、上网行为管理（过保）、防病毒网关、绿盟安全审计系统、360 天擎终端杀毒（只具有杀毒模块）

4) 存储设备：火星舱容灾备份

2.1.1.1 网络系统现状

xxxxxx 的网络系统整体构架采用三层层次化模型网络架构，即由核心层、汇聚层和接入层组成。

网络现状：

核心层：核心层是网络的高速交换主干，对整个网络的连通起到至关重要的作用。xxxxxx 内网核心，由 1 台 DPX 安全业务网关

组成。

汇聚层：汇聚层是网络接入层和核心层的“中介”，是在工作站接入核心层前先做汇聚，以减轻核心层设备的负荷。xxxxxx 内网中，由迪普和 H3C 交换机作为内网的有线汇聚和内网的无线汇聚交换机。

接入层：接入层向本地网段提供工作站接入。xxxxxx 内网网络中，由各种品牌的交换机作为终端前端接入交换机，为各区域提供接入。

在 DPX 核心交换机上划分 VLAN 和网关，整体网络中部署了防病毒网关、IPS、UAG、DDI、数据容灾备份系统。OA 系统连接至无线汇聚交换机。其他各系统旁路至核心交换机上。

安全现状：

在整体网络中部署有相应的安全设备做安全防护，但部分安全设

备过保，整体网络安全防护体系不够完善、区域划分不合理，现状拓

扑图如下：

图表 1 现状拓扑图

2.1.1.2 主机系统现状

xxxxxx 的业务系统 OA、文件交换箱等，部署于多台服务器上。服务器为机架式服务器和塔式服务器，固定于标准机柜与固定位置，并进行标识区分。服务器操作系统全都采用微软的 Windows Server

系列操作系统。

xxxxxx 办公终端约为 300 台，win7 为主，XP 系统占少数，主

机系统没有进行过定期更新补丁，安装有 360 天擎杀毒软件

2.1.1.3 应用系统现状

xxxxxx 的应用系统主要为以下业务系统：OA、文件交换箱等。也包含一些其他的办公软件。

2.2 现状与差距分析

2.2.1 物理安全现状与差距分析

xxxxxx 机房建设过程中参照 B 级机房标准参考进行统一规划，存在的物理安全隐患较少。但仍需参照以下标准进行核查、整改；根据信息安全等级保护（第三级）中对物理安全相关项（防火、防雷、防水、防磁及电力供应等）存在些许差距。详见下表差距分析。

图表 2 物理安全现状

号要求指标项是否符合现状分析备注物理位置的选择（G3）本项要求包括： a)机房和办公场地应求符合要选择在具有防震、防风和满足防雨等能力的建筑内； b)机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层求符合要满足或隔壁。物理访问控制（G3）本项要求包括：号要求指标项是否符合现状分析备注 a)机房出入口应安排要求专人值守，控制、鉴别和记录进入的人员；不符合不满足录无相关记 b)需进入机房的来访不符合要求不满足人员应经过申请和审批流程，并和监控其活动范围；有监控，但是没有申请和审批流程 c)应对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在重要区域前设置交付或安装等过渡区域；基本符合要求在重要区了机柜间的区域区分，但域前设置物理隔未在重要区域前设置物理离装置。隔离装置。依据业务系统进行 d) 重要区域应配置符合要求基本满足电子门禁系统，控制、鉴别和记录进入的人员。防盗窃和防破坏（G3）本项要求包括： a)应将主要设备放置求符合要在机房内；满足 b)应将设备或主要部求件进行固定，并设置明显的不易除去的标记；符合要满足 c)应将通信线缆铺设要求在隐蔽处，可铺设在地下或管道中；不符合不满足有部分线缆架设在半空中

d)应对介质分类标求符合要识，存储在介质库或档案满足号要求指标项是否符合现状分析备注室中； e)应利用光、电等技求术设置机房防盗报警系统；符合要满足 f)应对机房设置监控求符合要报警系统。满足防雷击（G3）本项要求包括： a)机房建筑应设置避求符合要雷装置；满足 b)应设置防雷保安求符合要器，防止感应雷；满足 c)机房应设置交流电求符合要源地线。满足防火（G3）本项要求包括： a)机房应设置火灾自基本符合要求安装有气体灭火装动消防系统，能够自动检测火情、自动报警，并自动灭火；置 b)机房及相关的工作求房间和辅助房应采用具有耐火等级的建筑材料；符合要满足 c)机房应采取区域隔要求离防火措施，将重要设备与其他设备隔离开。不符合不满足防水和防潮（G3）本项要求包括：号要求指标项是否符合现状分析备注 a)水管安装，不得穿求过机房屋顶和活动地板下；符合要满足 b)应采取措施防止雨求水通过机房窗户、屋顶和墙壁渗透；符合要满足 c)应采取措施防止机求房内水蒸气结露和地下积水的转移与渗透；符合要满足 d)应安装对水敏感的求检测仪表或组件，对机房进行防水检测和报警。符合要满足防静电（G3）本项要求包括： a)主要设备应采用必求符合要要的接地防静电措施；满足 b)机房应采用防静电求符合要地板。满足温湿度控制（G3）本项要求包括：机房应设置温、湿安装有动力环境监度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内。符合要控系统，建议机房日常温求度控制在 10～28℃，湿度 30～70%。电力供应（A3）本项要求包括： a)应在机房供电线路

基本符合要求上配置稳压器和过电压防满足号要求指标项是否符合现状分析备注护设备；电力供应，至少满足主要设备在断电情况下的正常运行要求； b)应提供短期的备用设置 UPS 电池供符合要电，并至少保证断电时主求要设备在满负荷情况下 4 小时的正常运行。 c)应设置冗余或并行的电力电缆线路为计算机系统供电；不符合要求只有一条出口线，增加线极容易出现单点故障缆，做到冗余统。 d)应建立备用供电系符合要求满足电磁防护（S3）本项要求包括： a)应采用接地方式防止外界电磁干扰和设备寄生耦合干扰；符合要求满足 0 b)电源线和通信线缆求应隔离铺设，避免互相干扰；符合要满足 c)应对关键设备和磁求符合要介质实施电磁屏蔽。满足

2.2.2 网络安全现状与差距分析

由于 xxxxxx 前期已经行相关安全建设，仍有相关安全防护建设不到位，主要表现出以下问题点：

1. 网络结构基本清晰，但细节规划不合理； 2. 新增移动接入链路，

3. 面对日益突增的网络安全事件缺乏有效防御手段及应急机制；

4. 骨干网络架构规划不合理，核心交换区无冗余，安全防护区域划分不明晰，不能对不同区域间防护措施、技术手段进行统一规划，不同区域对恶意攻击的防范能力不一。

详见下表差距分析：

图表 3 网络安全现状

号要求指标项是否符合差距分析备注结构安全（G3）本项要求包括：

a)应保证主要网络域网核心交换设域网核心设备至备均采用单链路、单设备，无冗余空间，不符合一旦出现设备故障则要求设备的业务处理能力具备冗余空间，满足业务高峰期需要；会出现单点故障，无少有二台，采用多链路法有效保障对外开放的业务安全稳定的运行。号要求指标项是否符合差距分析备注 b)应保证网络各个部分的带宽满足业务高峰符合要求满足期需要； c)应在业务终端与业务服务器之间进行路由控制建立安全的访问路径；符合要求满足 d)应绘制与当前运行情况相符的网络拓扑结构图；不符合要求暂无拓扑图我们会在工程结束后重新绘制网络拓扑图。整体网络结构中已按照需求进行子网划分。但使用中存在混乱，没有按规定使用。待本次项目建设进行梳理、严格 e)应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段；基本符合要求 f)应避免将重要网段部署在网络边界处且直接连接外部信息系统，重基本符合要求满足要网段与其他网段之间采取可靠的技术隔离手段；访问控制（G3）本项要求包括：号要求指标项是否符合不符合要求差距分析备注建议在互联网出 a)应在网络边界部署访问控制设备，启用访问控制功能；仅在 dmz 区部署防火墙且防火墙已过保，其他区域未部署访问控制设备口与服务器区前部署防火墙进边界隔离与访问控制 b)应能根据会话状符合要求满足态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级； c)应对进出网络的符合要求满足信息内容进行过滤，实现对应用层 HTTP、FTP、 TELNET、SMTP、 POP3 等协议命令级的控制； d)应在会话处于非活跃一定时间或会话结束求后终止网络连接；符合要满足未部署流量控制设备，无法根据所承载的业务和带宽的实际情况确定网络最大流量数和网络连接数 e)应网络最大不符合要求流量数及网络连接数；部署上网行为管理及流控并进行管理。实现重要网段地未部署访问控制

f)重要网段应采取不符合技术手段防止地址欺骗；要求设备的区域无法采用包过滤或传输控制协议，进行边界访问控址进行有效保护防止地址欺骗。号要求指标项是否符合差距分析备注制，防止地址欺骗，应对网络中的广播、组播进行必要的控制。 g)应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户；没有在服务器区不符合要求前和网络出口设置防火墙、认证网关或授权管理系统，可对单个用户的访问进行策略控制。新增 2 台防火墙实现不同安全域之间的访问控制 h)应具有拨号要求不符合访问权限的用户数量。不涉及安全审计（G3）本项要求包括：有上网行为管理设备（过保），但是并没有办法对网络设备运行状况日志记录，而部署综合安全日志审计系统可对来自不同厂商的安全设备、网络设备、主机、操作系统、数据库系统、用户业务系统的日志、警报等信 a)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录；不符合要求部署综合日志审计系统可对来自不同厂商的安全设备、网络设备、主机、操作系统、数据库系统、用户业务系统的日志、警报等信息汇集到审计中心，实现综合安全审计。息汇集到审计中心，实现综合安全审计。 b)审计记录应包符合要满足号要求指标项是否符合差距分析备注括：事件的日期和时间、求用户、事件类型、事件是否成功及其他与审计相关的信息； c)应能够根据记录不符合数据进行分析，并生成审要求计报表；不满足部署日志审计系统 d)应对审计记录进行保护，避免受到未预期求的删除、修改或覆盖等。符合要满足安全审计日志记录要求保存至少半年以上。边界完整性检查（S3）本项要求包括： a)应能够对非授权可通终端管理系可采用终端管理系统等手段进行管理控制设备私自联到内部网络的不符合行为进行检查，准确定出要求位置，并对其进行有效阻统或 ARP 绑定技术手段实现断； b)应能够对内部网络用户私自联到外部网络不符合的行为进行检查，准确定出位置，并对其进行有效要求阻断。可采用终端管理系统等手段进行管理控制入侵防范（G3）本项要求包括：

基本符监视以下攻击行为：端口合要求扫描、强力攻击、木马后 a)应在网络边界处出口处部署有 IPS 入侵防御号要求指标项是否符合差距分析备注门攻击、拒绝服务攻击、缓冲区溢出攻击、IP 碎片攻击和网络蠕虫攻击等； b)当检测到攻击行为时，记录攻击源 IP、基本符攻击类型、攻击目的、攻合要求击时间，在发生严重入侵落实安全审计系统报警功能。事件时应提供报警恶意代码防范（G3）本项要求包括： a)应在网络边界处对恶意代码进行检测和清求除；符合要满足 b)应维护恶意代码库的升级和检测系统的更求新。符合要网络设备防护（G3）本项要求包括：可以指定专人维不符合要求没有指定专人进 a)应对登录网络设备的用户进行身份鉴别；行维护。通过密码和护网络设备，并通过用户名和密码进行身份鉴别，同时也可以部署堡用户名进行身份鉴别，同时也没有部署堡垒主机。不符合要求垒主机 b)应对网络设备的管理员登录地址进行限制；对管理员登陆地增添堡垒机设址没有。备，这样可以有效对远程用户进行管理。 c)网络设备用户的要求不符合网络设备没有唯重新对设备进行标识应唯一；一的标示。标示。号要求指标项是否符合差距分析备注 d)主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别；不符合要求主要网络设备未对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别；增设堡垒机 e)身份鉴别信息应不符合用户口令应 12 位具有不易被冒用的特点，口令应有复杂度要求并定要求期更换；密码没有定期更以上，数字和字母组换，复杂度不够成，至少 3 个月更换一次。 f)应具有登录失败处理功能，可采取结束会话、非法登录次数和符合要求当网络登录连接超时自动退出等措施；当一次登录密码错误次数超过 6 次，应能自动关闭并告警。 g)当对网络设备进不符合行远程管理时，应采取必要措施防止鉴别信息在网要求络传输过程中被窃听；传输中进行加密，可以使用 IPsec VPN 技术网络管理员、系 h)应实现设备特权不符合要求用户的权限分离。统管理员和安全审计员分开，并按职责分工各自权限，但部署堡垒机控制用户权限

无技术手段控制。

2.2.3 主机安全现状与差距分析

xxxxxx 内网主机终端已部署终端杀毒软件。终端主机安全现状差距分析，如下：

图表 4 主机安全现状

号要求指标项是否符合差距分析备注本项要求包括：身份鉴别（S3） a)应对登录操作系没有严格通过账号密码操基本符合作系统和数据库系统和数据库系统的用户进行身份标识和鉴别；要求统的用户登陆，进行身份标识和鉴别； b)操作系统和数据库系统管理用户身份标识应具有不易被冒用的特不符合要不满足系统管理员的登录身份标识唯一，口令 12 位以上，且数字和字母大小写组合，每半年点，口令应有复杂度要求求并定期更换；应更改一次。 c)应启用登录失败处理功能，可采取结束会当登录次数话、非法登录次数和符合要求错误超过 6 次，应自动退出等措施；自动退出并告警。 d)当对服务器进行远程管理时，应采取必要不符合要没有采用 IPSec VPN 对传输加密的方法来保证措施，防止鉴别信息在网求采用 IPSec VPN 号要求指标项是否符合差距分析备注络传输过程中被窃听；远程管理安全可靠。不符合要求部署 e)应为操作系统和数据库系统的不同用户分配不同的用户名，确保用不满足户名具有唯一性。部署堡垒机 f)应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。不符合要求采用用户名密码的鉴别技术对管理员进行身份鉴别。访问控制（S3）本项要求包括： a)应启用访问控制功能，依据安全策略控制用户对资源的访问；不符合要求不满足 b)应根据管理用户不符合要因只设置了部署堡垒机，将的角色分配权限，实现管理用户的权限分离，仅授求予管理用户所需的最小权一个管理员账号，网络管理员、系统管理也未通过技术手段控制授予所需要的员和安全审计员分离，通过技术手段控制授予限；最小权限。所需要的最小权限。 c)应实现操作系统和数据库系统特权用户的权限分离；不符合要求还是未修改修改口令的默认口令 d)应严格默认不符合要求不满足帐户的访问权限，重命名系统默认帐户，修改这些

帐户的默认口令；号要求指标项是否符合差距分析备注 e)应及时删除多余的、过期的帐户，避免共享帐户的存在。基本符合要求因只一个账户，不存在多余的账户不符合要求未对重要服对重要服务器部 f)应对重要信息资源设置敏感标记；务器部署服务器加署服务器加固系统，采固系统，采取安全取安全加固措施，并设加固措施，并设置置敏感标记敏感标记。 g)应依据安全策略严格控制用户对有敏感标记重要信息资源的操作；不符合要求不满足安全审计（G3）本项要求包括：部署日志审计系 a)审计范围应覆盖未部署数据库审计系统，无法统和数据库审计系统不符合要对服务器和重要客求到服务器和重要客户端上的每个操作系统用户和数据库用户；部署日志审计系户端上的每个操作系统用户和数据库用户进行审计。未部署数据 b)审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件；库审计系统，无法统和数据库审计系统对重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件不符合要求 c)审计记录应包括进行审计。部署日志审计系不符合要未部署数据号要求指标项是否符合求差距分析备注事件的日期、时间、类型、主体标识、客体标识和结果等；库审计系统，无法统和数据库审计系统对数据库进行审计。 d)应能够根据记录数据进行分析，并生成审计报表；不符合要求未部署数据部署日志审计系库审计系统，无法对异常行为实时告警。统和数据库审计系统 e)应保护审计进程，避免受到未预期的中断；不符合要求未部署数据部署日志审计系库审计系统。统和数据库审计系统 f)应保护审计记录，避免受到未预期的删除、修改或覆盖等。未部署数据部署日志审计系不符合要库审计系统。（审求计记录至少应保存统和数据库审计系统半年。）剩余信息保护（S3）本项要求包括： a)应保证操作系统不符合要求不满足和数据库系统用户的鉴别信息所在的存储空间，被释放或再分配给其他用户前得到完全清除，无论这些信息是存放在硬盘上还是在内存中； b)应确保系统内的不符合要求可在终端在终端 Windows 文件、目录和数据库记录等资源所在的存储空间，被释放或重新分配给其他 Windows 操作系统操作系统启用“关机前清未启用“关机前清除除虚拟内存页面”功能虚拟内存页面”功能项。用户前得到完全清除。项。入侵防范（G3）

号要求指标项是否符合差距分析备注本项要求包括： a)应能够检测到对符合要求重要服务器进行入侵的行为，能够记录入侵的源 IP、攻击的类型、攻击的目的、攻击的时间，并在已有 ips 入侵防御系统发生严重入侵事件时提供报警；定期使用完整性 b)应能够对重要程序的完整性进行检测，并在检测到完整性受到破坏后具有恢复的措施；不符合要求未定期使用完整性检查工具或脚本对服务器的重要程序和文件进行检查。检查工具或脚本对服务器的重要程序和文件进行检查。 c)操作系统应遵循不符合要求增加终端管理软最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得未通过技术手段保持系统补丁及时得到更新。件模块。到更新。恶意代码防范（G3）本项要求包括： a)应安装防恶意代符合要求满足，安装码软件，并及时更新防恶意代码软件版本和恶意代了 360 天擎码库； b)主机防恶意代码符合要求满足，安装产品应具有与网络防恶意代码产品不同的恶意代码了 360 天擎库；号要求指标项是否符合差距分析备注 c)应支持防恶意代码的统一管理。符合要求满足，安装了 360 天擎资源控制（A3）本项要求包括： a)应通过设定终端通过增设堡垒机接入方式、网络地址范围等条件终端登录；不符合要求对终端接入进行管理。码终端登录。通过账号密 b)应根据安全策略设置登录终端的操作超时锁定；不符合要求未部署终端部署终端管理系管理系统对登录终统对登录终端进行管端进行管理。理。 c)应对重要服务器不符合要求没有网络管可通过增加网络进行监视，包括监视服务器的 CPU、硬盘、内存、网络等资源的使用情管理系统对重要服务器进行监视并对服务器的运行状况异常实时告理系统况；警。 d)应单个用户不符合要求没有网络管可通过增加网络管理系统对重要服务器进行监视并对服务器的运行状况异常实时告对系统资源的最大或最小使用限度；理系统警。 e)应能够对系统的服务水平降低到预先规定的最小值进行检测和报警。不符合要求警可通过增加网络

管理系统对重要服务器不能进行报进行监视并对服务器的运行状况异常实时告警。

2.2.4 应用安全现状与差距分析

xxxxxx 应用系统根据国家信息安全等级保护（第三级）标准在对应用系统安全进行分析时，发现应用系统涉及到应用系统的运行稳定以及业务数据的安全可靠，故而安全防护技术手段如下：

1. 以业务系统自身通过代码查错、规则设置、权限细化等方法为主要手段，来

满足信息系统安全等级保护（第三级）中应用安全部分标准项（如身份鉴别、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制等）的要求

2. 部分标准项（如身份鉴别、访问控制、安全审计、通信保密性等）除可通

过应用系统进行安全加强外，也可通过设备进行技术防护

详见下表差距分析：

图表 5 应用安全现状

号要求指标项是否符合差距分析备注身份鉴别（S3）本项要求包括：增设堡垒 a)应提供专用的登录控制模块对登录用户进行身份标识和鉴别；不符合要求未采用技术手段，提供专用的登录控制模块对登录用户的身份进行标识和鉴别。机，通过堡垒机用户登陆进行身份识别和鉴别。 b)应对同一用户采用符合要求两种或两种以上组合的鉴别技术实现用户身份鉴别； c)应提供用户身份标符合号要求指标项是否符合差距分析备注识唯一和鉴别信息复杂度检查功能，保证应用系统中不存在重复用户身份标识，身份鉴别信息不易被冒用；要求 d)应提供登录失败处符合要求理功能，可采取结束会话、非法登录次数和自动退出等措施； e)应启用身份鉴别、基本符合要求用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能，并根据安全策略配置相关参数。访问控制（S3）本项要求包括： a)应提供访问控制功符合要求能，依据安全策略控制用户对文件、数据库表等客体的访问； b)访问控制的覆盖范符合要求围应包括与资源访问相关的主体、客体及它们之间的操作； c)应由授权主体配置访问控制策略，并严格限制默认帐户的访问权限；符合要求 d)应授予不同帐户为符合要求完成各自承担任务所需的

号要求指标项是否符合差距分析备注最小权限，并在它们之间形成相互制约的关系。不合要求对重要服务器部署 e)应具有对重要信息资源设置敏感标记的功能；服务器加固系统，采取安全加固措施，并设置敏感标记。 f)应依据安全策略严不合要求服务器加固系统有实现文件强制访问控制、注册表强制访问控制、进程强制访问控制、程序授权控制、网络级访问控制格控制用户对有敏感标记重要信息资源的操作；等功能。安全审计（G3）本项要求包括：部署了安全 a)应提供覆盖到每个用户的安全审计功能，对应用系统重要安全事件进行审计；基本符合要求审计系统,对应用系统每个用户的安全事件进行记录审计。 b)应保证无法单独中断审计进程，无法删除、修改或覆盖审计记录；基本符合要求统未部署安全管理系部署了安全审计系统 c)审计记录的内容至基本符合要求部署了安全少应包括事件的日期、时间、发起者信息、类型、描述和结果等；审计系统部署了安全 d)应提供对审计记录基本符合要求数据进行统计、查询、分析及生成审计报表的功审计系统号要求指标项是否符合差距分析备注能。剩余信息保护（S3）本项要求包括： a)应保证用户鉴别信息所在的存储空间被释放或再分配给其他用户前得到完全清除，无论这些信息是存放在硬盘上还是在内存中；在终端 Windows 不符合操作系统中未启用“不显要求示上次登录名”功能项。可在终端 Windows 操作系统启用“不显示上次登录名”功能项。 b)应保证系统内的文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其他用户前得到完全清除。在终端 Windows 不符合操作系统中未启用“关机要求前清除虚拟内存页面”功能项。在终端 Windows 操作系统中未启用“关机前清除虚拟内存页面”功能项。通信完整性（S3）本项要求包括：应采用密码技术保证通信过程中数据的完整性。符合要求在应用软件编程中，对通信的保密性提出要求。通信保密性（S3）本项要求包括： a)在通信双方建立连接之前，应用系统应利用密码技术进行会话初始化验证；符合要求中，对通信的保密性提出要求。在应用软件编程 b)应对通信过程中的整个报文或会话过程进行加密。符合要求功能应用软件中应有此

号要求指标项是否符合差距分析备注抗抵赖（G3）本项要求包括： a)应具有在请求的情符合要求能。应用软件有此项功况下为数据原发者或接收者提供数据原发证据的功能； b)应具有在请求的情符合要求能。应用软件有此项功况下为数据原发者或接收者提供数据接收证据的功能。软件容错（A3）本项要求包括： a)应提供数据有效性符合要求能。应用软件有此项功检验功能，保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求； b)应提供自动保护功符合要求应用软件提供断点能，当故障发生时自动保护当前所有状态，保证系统能够进行恢复。保护和恢复功能。资源控制（A3）本项要求包括： a)当应用系统的通信符合要求如果通信双方中有双方中的一方在一段时间内未作任何响应，另一方应能够自动结束会话；一方在 10 分钟内未作任何响应，应自动结束会话，释放网络连接。 b)应能够对系统的最大并发会话连接数进行限制；符合要求应当提供系统的实际要求，设定最大并发会话连接数。号要求指标项 c)应能够对单个帐户是否符合差距分析备注的多重并发会话进行限制；符合要求满足 d)应能够对一个时间段内可能的并发会话连接数进行；符合要求应当业务应用系统和实际需要设定。 e)应能够对一个访问符合要求满足帐户或一个请求进程占用的资源分配最大限额和最小限额； f)应能够对系统服务水平降低到预先规定的最小值进行检测和报警；不符合要求不满足后期建议部署网管运维软件 g)应提供服务优先级符合要求在系统中应可根据及优先级，并保证优先级用户首先使用系统资源的设定功能，并在安装后根据安全策略设定访问帐户或请求进程的优先级，根用户的权限设定服务等级

据优先级分配系统资源。权力。

2.2.5 数据安全现状与差距分析

信息系统的安全核心是数据的安全，xxxxxx 网络中有全局正常运行信息的数据，一旦数据出现被盗取、被篡改、被删除，小则造成小范围的 xxxxxx 业务受影响，大则将对全局办公、经济利益或社会形象造成不可弥补的损失。一旦出现意外，数据的还原、恢复显得尤为重要。

目前 xxxxxx 对数据的备份主要采用维护工程师定期进行手动备份和数据被备份一体机的方式，备份范围包含业务关键数据，且是备份在本地。可能会出现以下情况：

1. 出现极端自然灾害，数据存储介质出现损坏，数据损坏后无法恢复；

详见下表差距分析：

图表 6 数据安全现状

号要求指标项是否符合差距分析备注数据完整性（S3）本项要求包括：数据备份一 a)应能够检测到系统管基本符合要求理数据、鉴别信息和重要业务数据在传输过程中完整性受到破坏，并在检测到完整性错误体机应带有此功能时采取必要的恢复措施；数据备份一 b)应能够检测到系统管理数据、鉴别信息和重要业务数据在存储过程中完整性受到基本符合要求体机应带有此功能

破坏，并在检测到完整性错误时采取必要的恢复措施。数据保密性（S3）本项要求包括： a)应采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据传输保密性；基本符合要求数据备份一体机应带有此功能 b)应采用加密或其他保护措施实现系统管理数据、鉴别信息和重要业务数据存储保密性。基本符合要求数据备份一体机应带有此功能备份和恢复（A3）本项要求包括： a)应提供本地数据备份与恢复功能，完全数据备份至少每天一次，备份介质场外存放；符合要求满足部署服务器数据备份系统。 b)应提供异地数据备份功能，利用通信网络将关键数不符合要求有本地备份不满足一体机，后期建议完善异地备份机制。据定时批量传送至备用场地； c)应采用冗余技术设计网络拓扑结构，避免关键节点存在单点故障； d)应提供主要网络设备、通信线路和数据处理系统的硬件冗余，保证系统的高可用性。符合要求满足符合要求满足

2.2.6 安全管理现状与差距分析

xxxxxx 在日常的运行维护管理中，根据自身的情况有制定一些安全管理制度并执行，但没有进行系统而规范的制度文件体系建设，以及相应制度执行记录归档保存。根据等级保护管理安全要求，仍有部分制度需要进行完善。

管理制度建议如下表：

图表 7 安全管理现状

类管理内容制度包括的主要内容别现状分析备注对信息系统相关的资产清资产安全管理单、分类与标识、使用、转移、废弃等做出规定。不满足对信息系统相关的资产清单、分类与标识、使用、转移、废弃等做出规定。物对进出机房的人员和设备，机房安全管理机房监控、机房值班、机房不满足对进出机房的人员和设备，机房监控、机房值班、机房环境保理环境保障等做出规定。障等做出规定。对设备的放置、使用、维对设备的放置、使不满足设备安全管理护、维修、报废等做出规用、维护、维修、报废等做出规定。定。对介质的归档、存放、使介质安全管理用、销毁等做出规定。不满足对介质的归档、存放、使用、销毁等做出规定。网网络安全管理络对网络及安全设备的操作、配置、日志记录和监控等做出规定。不满足对网络及安全设备的操作、配置、日志记录和监控等做出规定。系系统安全管理统对服务器和数据库等的操作、配置、日志记录和监控等做出规定。不满足对服务器和数据库等的操作、配置、日志记录和监控等做出规定。对信息系统数据保存、备数据安全管理不满足份、使用等做出规定。对信息系统数据保存、备份、使用等做出规定。对病毒防护系统的管理、使病毒防护管理不满足用和升级等做出规定对病毒防护系统的管理、使用和升级等做出规定应用终端计算机管理对终端计算机的日常使用、对终端计算机的日常使用、软件安装，入不满足网、维修、报废等做软件安装，入网、维修、报废等做出规定。出规定。便携计算机管对便携计算机的使用、密码保护、入网、文件存储、维理不满足对便携计算机的使用、密码保护、入修等做出规定。网、文件存储、维修等做出规定。移动存储介质对移动存储介质的使用、管不满足对移动存储介质的使

管理理、维修等做出规定。用、管理、维修等做出规定。建项目安全审核对信息化项目安全需求、安全保障方案及保护等级等做出规定。不满足对信息化项目安全需求、安全保障方案及保护等级等做出规定。设对开发环境、代码安全、上系统开发安全线测试、开发人员保密责任管理不满足对开发环境、代码安全、上线测试、开发等做出规定。人员保密责任等做出规定。机构和人员管理对设立安全管理机构、机构职能、人员职责及管理，如不满足重要岗位保密责任、人员离岗离职等方面做出规定。对设立安全管理机构、机构职能、人员职责及管理，如重要岗位保密责任、人员离岗离职等方面做出规定。管理对日常运行维护的流程、操运行维护管理作等做出规定。对日常运行维护的流不满足程、操作等做出规定。用户管理对普通业务用户、重要业务用户、特权用户（网络、系统、安全管理员）的审批、权限、安全要求等做出规定。对普通业务用户、重要业务用户、特权用不满足户（网络、系统、安全管理员）的审批、权限、安全要求等做

出规定。对信息系统中使用的不满足密码强度、变更和保存等做出规定。密码管理对信息系统中使用的密码强度、变更和保存等做出规定。对应急计划、处理、实施、应急管理不满足演练等做出规定。对应急计划、处理、实施、演练等做出规定。变更管理对信息系统的变更申报、审批流程以及实施等做出规定。对信息系统的变更申不满足报、审批流程以及实施等做出规定。

对网络安全检查流程、工作网络安全检查不满足内容等做出规定。对网络安全检查流程、工作内容等做出规定。注○：以上制度体系仅供参考，请结合 xxxxxx 实际情况进行制定，建议相关制度文

件以红头文件发布并归档保存，对制度执行过程中形成的相关记录需定期归档保存。

2.3 综合整改建议

结合 xxxxxx 网络现状以及与国家标准的差距分析，本方案对

xxxxxx 的安全防护做出如下建议：

2.3.1 技术措施综合整改建议

图表 8 综合技术措施整改建议表格

序号问题项目类别等保要求（三级）整改建议 1 （G3）结构安全：网络安全业务处理能力具备冗余空间，满足业务高峰期需核心区域只有一台设备，无冗余设计 a)应保证主要网络设备的结合用户当前网络实际情况，建议新增一台核心交换机要；目前整体网络中区域划分不合理，未部署 2 访问控制设备（DMZ 区前的防火墙设备已过保） a)应在网络边界部署访问网络安全控制设备，启用访问控制功能；（G3）访问控制：结合用户当前网络实际情况，建议在互联网出口和服务器区前部署防火墙实现边界隔离和访问控制未部署流量控制设本次项目中建议部署备，无法根据所承载 3 （G3）访问控制：的业务和带宽的实际网络安全 e)应网络最大流量数情况确定网络最大流及网络连接数；量数和网络连接数并上网行为管理及流控（原有的上网行为管理设备已过保）进行管理。序号问题项目类别等保要求（三级）整改建议 4 （G3）访问控制：网络安全无法对非法内联行为进行发现和阻断 a)应能够对非授权设备私本次项目中采用终端自联到内部网络的行为进管理软件或相关技术行检查，准确定出位置，手段解决并对其进行有效阻断； 5 进行有效保护防止地（G3）访问控制：段防止地址欺骗；利用访问控制设备的区域无法采用包过滤或传输控制协议，进止地址欺骗，应对网络中的广播、组播进行必要的控制。未实现重要网段地址址欺骗。网络安全 f)重要网段应采取技术手行边界访问控制，防 6 （G3）访问控制： g)应按用户和系统之间的无访问控制设备网络安全通过部署防火墙实现允许访问规则，决定允许不同安全域之间的边或拒绝用户对受控系统进界隔离和访问控制行资源访问，控制粒度为单个用户；（G3）安全审计：网络安全原有上网行为管理设 7 备过保、无网管软件，部署上网行为管理及 a)应对网络系统中的网络流控、网管软件结合设备运行状况、网络流网络中的安全审计系量、用户行为等进行日志统实现记录； 8

不能够对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断。（G3）边界完整性检网络安全查：应能够对非授权设备私自联到内部网络的行为可采用终端管理系统进行检查，准确定出位等手段进行管理控制置，并对其进行有效阻断；序号问题项目类别等保要求（三级）整改建议 9 无法对内部网络用户私自联到外部网络的 b)应能够对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断。行为进行检查，准确网路安全定出位置，并对其进可采用终端管理系统等手段进行管理控制行有效阻断。没有指定专人进行维护。通过密码和用户可以指定专人维护网络设备，并通过用户 10 （a)应对登录网络设备的名进行身份鉴别，同网络安全用户进行身份鉴别；时也没有部署堡垒主名和密码进行身份鉴别，同时也可以部署机。堡垒主机 11 对管理员登陆地址没有。网络安全 b)应对网络设备的管理员增添堡垒机设备，这样可以有效对运维用登录地址进行；户进行管理。 12 设备没有唯一的标示网络安全 c)网络设备用户的标识应重新对设备进行唯一唯一标示。一用户选择两种或两主要网络设备未对同 13 种以上组合的鉴别技 d)主要网络设备应对同一网络安全用户选择两种或两种以上份鉴别；增设堡垒机组合的鉴别技术来进行身术来进行身份鉴别； 14 密码没有定期更换，网络安全 e)身份鉴别信息应具有不用户口令应 12 位以易被冒用的特点，口令应上，数字和字母组复杂度不够有复杂度要求并定期更成，至少 3 个月更换换；一次。序号问题项目类别等保要求（三级）整改建议网络管理员、系统管理员和安全审计员分 15 h)应实现设备特权用户的开，并按职责分工限网络安全权限分离。制各自权限，但无技部署堡垒机控制用户权限术手段控制。没有采用 IPSec VPN 16 d)当对服务器进行远程管主机安全对传输加密的方法来理时，应采取必要措施，采用 IPSec VPN 部防止鉴别信息在网络传输署保证远程管理安全可靠。过程中被窃听； 17 采用用户名密码的鉴 f)应采用两种或两种以上部署堡垒机组合的鉴别技术对管理用别技术对管理员进行主机安全户进行身份鉴别。身份鉴别。员账号，也未通过技部署堡垒机，将网络因只设置了一个管理 18 术手段控制授予所需 b)应根据管理用户的角色管理员、系统管理员主机安全分配权限，实现管理用户和安全审计员分离，的权限分离，仅授予管理通过技术手段控制授要的最小权限。用户所需的最小权限；予所需要的最小权限。

19 没有日志审计系统（G3）安全审计： 1.应对网络系统中的网络部署综合日志审计系备运行状况、网络流量、统可对来自不同厂商用户行为等进行日志记的安全设备、网络设录；备、主机、操作系网络安全 2.审计记录应包括：事件统、数据库系统、用的日期和时间、用户、事户业务系统的日志、件类型、事件是否成功及警报等信息汇集到审其他与审计相关的信息；计中心，实现日志安 3.应能够根据记录数据进全审计。行分析，并生成审计报序号问题项目类别等保要求（三级）整改建议表；日志信息无法进行分 20 析和生成报表（G3）安全审计：应能网络安全够根据记录数据进行分析，并生成审计报表；部署日志审计系统未对重要服务器部署 21 主机安全敏感标记；对重要服务器部署服服务器加固系统，采 f)应对重要信息资源设置务器加固系统，采取安全加固措施，并设取安全加固措施，并设置敏感标记。置敏感标记未部署数据库审计系 22 统，无法对服务器和重要客户端上的每个操作系统用户和数据库用户进行审计。 a)审计范围应覆盖到服务器和重要客户端上的每个主机安全操作系统用户和数据库用户；部署数据库审计系统和日志审计系统未部署数据库审计系 23 统，无法对重要用户行为、系统资源的异安全审计（G3）：审计内容应包括重要用户行为、系统资源的异常使用主机安全和重要系统命令的使用等系统内重要的安全相关事件；常使用和重要系统命令的使用等系统内重要的安全相关事件进行审计部署数据库审计系统和日志审计系统未部署数据库审计系 24 统，无法对数据库进行审计。安全审计（G3）：审计记录应包括事件的日期、主机安全时间、类型、主体标识、客体标识和结果等部署数据库审计系统和日志审计系统未部署数据库审计系安全审计（G3）：)应能 25 统，无法对异常行为主机安全够根据记录数据进行分实时告警。析，并生成审计报表部署数据库审计系统和日志审计系统序号问题项目类别等保要求（三级）整改建议未部署数据库审计系安全审计（G3）：应保 26 统，无法对异常行为主机安全实时告警。部署数据库审计系统护审计进程，避免受到未和日志审计系统预期的中断未部署数据库审计系 27 统，无法对异常行为实时告警。安全审计（G3）：应保主机安全护审计记录，避免受到未部署数据库审计系统预期的删除、修改或覆盖和日志审计系统等。 28 剩余信息保护（S3）：主机安全应保证操作系统和数据库系统用户的鉴别信息所在的存储空间，被释放或再分配给其他用户前得到完全清除，无论这些信息是存放在硬盘上还是在内存数据库登陆显示用户名，对历史数据擦除未能做好可在终端 Windows 操作系统启用“不显示上次登录名”功能项；可对服务器系统进行虚拟化改造。应确保系统内的文 29 中主机安全件、目录和数据库记录等资源所在的存储空间，被释放或重新分配给其他用户前得到完全清除可在终端 Windows 操作系统未启用“关机剩余信息保护（S3）：前清除虚拟内存页面” 功能项；可对服务器系统进行虚拟化改造入侵防范（G3）：操作未通过技术手段保持 30 系统补丁及时得到更新系统应遵循最小安装的原部署终端安全管理系则，仅安装需要的组件和统/网络版杀毒软件/ 应用程序，并通过设置升主机加固软件，能够级服务器等方式保持系统及时更新补丁主机安全补丁及时得到更新未部署终端管理系统 31 对登录终端进行管理资源控制（A3）：应根主机安全建议购买 360 天擎终据安全策略设置登录终端端管理模块的操作超时锁定

序号问题项目类别等保要求（三级）整改建议 32 通过账号密码终端登录。 a)应通过设定终端接入方主机安全式、网络地址范围等条件终端登录；利用防火墙访问控制功能实现未部署终端管理系统对登录终端进行管 33 b)应根据安全策略设置登理。部署终端管理主机安全录终端的操作超时锁定；系统对登录终端进行建议购买 360 天擎终端管理模块管理 34 没有网络管理系统 c)应对重要服务器进行监视，包括监视服务器的主机安全 CPU、硬盘、内存、网络等资源的使用情况可通过增加网络管理系统对重要服务器进行监视并对服务器的运行状况异常实时告警。 35 没有网络管理系统 d)应单个用户对系统主机安全资源的最大或最小使用限部署网管软件度； 36 不能进行报警可通过增加网络管理 e)应能够对系统的服务水系统对重要服务器进主机安全平降低到预先规定的最小行监视并对服务器的值进行检测和报警。运行状况异常实时告警。未采用技术手段，提 37 身份鉴别（S3）：应提应用安全素认证供专用的登录控制模供专用的登录控制模块对部署堡垒机配合双因登录用户进行身份标识和块对登录用户的身份进行标识和鉴别鉴别对应用系统每个用户 38 的安全事件进行记录审计安全审计（G3）：应提供覆盖到每个用户的安全应用安全审计功能，对应用系统重要安全事件进行审计；建议购买 360 天擎终端管理模块序号问题项目类别等保要求（三级）整改建议 39 未部署安全管理系统安全审计（G3）：应保应用安全建议购买 360 天擎终证无法单独中断审计进盖审计记录程，无法删除、修改或覆端管理模块安全审计（G3）：审计记录的内容至少应包括事 40 未部署安全管理系统应用安全建议购买 360 天擎终件的日期、时间、发起者端管理模块信息、类型、描述和结果等； 41 未部署安全管理系统安全审计（G3）：应提应用安全供对审计记录数据进行统建议购买 360 天擎终计、查询、分析及生成审端管理模块计报表的功能 42 剩余信息保护（S3）：应用安全应保证用户鉴别信息所在的存储空间被释放或再分配给其他用户前得到完全清除，无论这些信息是存放在硬盘上还是在内存中用户鉴别信息不能清除清除可在终端 Windows 操作系统启用“不显示上次登录名”功能项；可对服务器系统进行虚拟化改造 43 剩余信息保护（S3）：应用安全应保证系统内的文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其他用户前得到完全清除用户鉴别信息不能清除清除可在终端 Windows 操作系统未启用“关机前清除虚拟内存页面” 功能项；可对服务器系统进行虚拟化改造对重要信息系统的数 44 数据安全据，应提供异地数据备份的功能，定时批量或增量备份，数据异地备份至少每月一备份和恢复（A3）：

已部署数据备份一体机，需规范化备份机制。后期建议新增异地备份机制序号问题项目类别等保要求（三级）整改建议次未能做到。 2.3.2 安全管理综合整改建议

图表 9 综合安全管理体系整改建议表格

序号类别问题整改建议 1 安全策略随着业务应用系统的不断增加，网络结构日益复杂，由于各业务系统建设、运维分散，没有总体规划逐渐不能适应越来越复杂的应用需求。主要表现在缺乏整体安全策略、没有统一规范的安全体系建设标准，安全职责划分不明确，各业务系统的安全防护程度不一、人员没有形成统一的安全意识、缺乏统一的安全操作流程和指导手册；安全制度安全组织 2 拥有安全管理员岗位，但安全岗位职能没有很好得到执行，没有对整个业务体系安全进行统一规划和管理。安全管理基本上靠运维管理人员的自我管理，缺乏统一的安全管理体系；梳理和完善包括安全组织体系、管理体系、防 3 系统建设由于运维、外包等原因，防护体系的建设依赖于各重要业务系统的建设，在今后的防护体系建设和改造中希望将安全防护体系统一考虑；护体系和运维体系的制度建设。应 4 系统运维无法有效安全监管，造成重大安全隐患，极有可能成为

5 攻击跳板；急预案建设与应急预案缺少专业性的安全运维服务队伍支撑，业务系统的安全及攻防演练检查和漏洞评估没有周期性执行，各主机的安全程度主要依赖于各管理员个人的安全意识水平，没有形成定期统一的安全检查制度和安全基线要求； 6 缺少各项应急预案，导致一但发生重大安全问题无法快速进行故障的排除和解决，安全隐患较大。应对行业发展带来的安全挑战,缺少专业机构的咨询支安全发展 7 撑，无法及时了解行业安全动态,以及发展趋势。

第三章安全建设目标

xxxxxx 信息系统的安全建设目标，主要是结合对现状的安全需求分析，通过信息安全保障总体规划、信息安全管理体系建设、信息安全技术策略设计以及信息安全产品集成实施等工作，全面提升信息系统的安全性，能面对目前和未来一段时期内的安全威胁，保证信息系统的平稳、高效的运行，本次设计我们将根据以下目标为指导思想：

目标一、保证信息的安全

完整性：保证数据的权威性，让使用者毫不怀疑；

保密性：防止未经授权的数据外泄，阻止他人恶意的窥探攻击；

可用性：随时提供全部的数据，以供系统分析、处理；

目标二、保证提供服务的安全

连续性：保证业务连续性，提供 7X24 小时保质保量的服务；

可靠性：即使遭受不可抗力，也能够在足够短的时间内恢复；

满意度：达到内部用户、客户、主管部门对安全性的要求；

目标三：提高安全投资的效益

合规性：遵循技术标准、国家相关规范（三级等保）；

示范性：树立 xxxxxx 信息安全建设标杆典范；

经济性：提高安全投资的性价比，考核人员的安全绩效

第四章安全整体规划

4.1

建设指导

4.1.1 指导原则

安全保密原则：安全保密性是系统建设的重要前提。先进性原则：采用国际上最先进和成熟的体系结构，比如 IS02700 体系，使系统能够适应今后的业务发展需要。

可扩展性原则：在尽量节省投资的同时实现系统平滑扩展。

可靠性原则：采用成熟的主流技术和产品的详尽的故障处理方

案。

可行性原则：在风险分析的基础上，发掘重要的资源进行保护，做到适量投入，有效防护。

标准化原则：遵循技术标准、国家相关规范。

4.1.2 安全防护体系设计整体架构

信息系统是以开放的层次化的网络系统作为支撑平台，为使各种信息安全技术功能合理地作用在网络系统的各个层次上，从安全管理

和安全技术两方面，综合人员、技术和运行管理等实际情况，制定统

一的认证管理、多级访问控制和加密保护措施，建成统一完整的安全

体系结构，在物理安全、运行安全、信息安全、管理安全和标准规范

等多个层面保障信息系统的安全。信息系统的安全保障体系如下图所

示：

图表 10 安全保障体系图

根据以上的分析，通过采用技术、管理与运行等各方面的措施，

建立信息系统的信息安全保障体系，确保系统的信息安全。

技术措施：身份认证、防火墙、入侵检测、入侵防御、安全审计、防病毒、漏洞扫描等；

运行措施：备份与恢复、远程容灾、病毒的检测与消除、电磁兼容等。

管理措施：建立信息安全职责制度、系统操作流程、系统安全响应流程、系统培训制度、信息系统人员管理等一系列规范。

故而我们可构建信息安全保障体系，如下图：

4.2 安全技术规划

4.2.1 安全建设规划拓朴图

图表 11 安全建设规划拓扑图

4.2.2 安全设备功能

4.2.2.1 防火墙

全面安全防护：全面支持深入到应用层的防护，内嵌丰富的应用层过滤与控制引擎。

丰富的 NAT 能力：支持一对一、地址池等 NAT 方式；支持多种应用协议，如 FTP、H.323、RAS、RTSP、SIP、ICMP、DNS、PPTP、NBT 的 NAT ALG 功能。

应用虚拟化：支持 N:M 虚拟化，可将 N 台设备虚拟成一个资源池，再将资源池按需分成 M 台逻辑设备，实现云计算环境下资源池的动态调度。

广泛网络特性：支持 IPv4/IPv6，支持静态路由、策略路由、RIP v1/v2、OSPF、BGP 等多种路由协议，支持 MPLS VPN，支持组播协议。

高可靠性：N:M 虚拟化、双机状态热备、静默双机、VRRP 多主等多种模式，关键部件冗余及热插拔，支持 N+1 业务板卡冗余以及独创的应用 Bypass 技术*，真正的网络高可靠性。

日志与报表：支持的日志服务器，日志可自动定时备份；内置数百种报表，可图形化的查询、审计、统计、检索内网用户的各种

网络行为日志，方便管理者了解和掌控网络。

图形化管理：提供便捷的图形化管理界面，支持 Web GUI、SSH、串口 Console，并支持通过 UMC 网管平台集中管理。

4.2.2.2 WEB 应用防火墙

部署灵活：支持在旁路模式、透明模式、混合模式。

WEB 防护系统是结合多年应用安全的攻防理论和应急响应实际经验积累基础上研发完成，是三维一体的网站防护产品，可以同时向网站提供：防攻击、防篡改、防 ARP 三重保护。该产品致力于全面防护各类恶意攻击，保护网站页面不被篡改，避免被钓鱼攻击或跨站脚本攻击等，防止网站被挂马，保护用户网站免遭破坏。广泛适用于“、运营商、金融、、教育、税务、电力”等的门户网站及以互联网为基础的电子商务门户网站。在线部署的网站防护产品，可以为用户网站提供 7X24 小时的不间断监测与保护，有效保障网站数据的完整性和真实性，并提供实时告警。

4.2.2.3 上网行为管理及流控

飞速发展的信息技术给工作带来便利的同时，对用户应用模式产

生根本影响，网络所承载的数据应用日益增加，呈现复杂化、多元化

趋势，会导致网络出口拥堵、工作状态无法监控、泄漏公司机密、甚

至法律违规等严重问题，基于用户的上网行为管理和带宽控制成为众

多管理者面临的新挑战，同时数据的安全审计也成为无法回避的问

题。可帮助用户达成合理利用网络带宽、保障数据安全、提升职员工

作效率和避免法律风险的目标。上网行为管理系列产品提供包括网络

应用流量分析及控制、职员上网行为记录、访问控制、数据库安全审计，以及链路负载均衡、用户认证、病毒防范等综合功能，帮助用户

构建“可视、可控、可优化的互联网”

4.2.2.4 主机安全加固软件

集服务器安全防护和安全管理为一体的综合性服务器工具。提供

服务器杀毒、服务器优化、系统漏洞补丁修复、服务器程序守护、风

险帐号（影子帐号等）优化、DDOS 防火墙、ARP 防火墙、应用防火

墙、防 CC 攻击、防入侵防提权、防篡改、安全策略设置等，使服务

器免受攻击，同时提供邮件实时告警等功能，服务器状态实时掌握。

软件支持 Windows 系列

（Windows2003/Windows2008/Windows2012）、linux 主流操作系

统，全面支持 32 位和位系统。

4.2.2.1

终端管理系统

具有控制管理和远程部控管理功能，支持在网内所有服务器、客户端上部署，能够远程管理。

可以提供基本的安全资质证书，以保证满足等保考核基本要求；

对计算机外设接口、网络通讯接口提供禁用、启用控制功能；

终端接入认证，未经认证计算机无法接入网络使用；

身份认证，非法身份无法登陆操作系统；

划分，划分不同权限的，灵活设置相互访问权；终端数据安全，对本地磁盘进行整体加密，预防数据外泄违规外联监控；

统一介质管理，移动介质注册数目>400；

根据策略审计文件创建、更名、复制、删除等操作；审计敏感文档的打印操作；

审计计算机 IP 地址、主机名、用户名等基本配置信息的变更操

作；

对指定的重要文件可进行防读取、防复制、防删除控制；支持可跨 VLAN 进行监控与审计；能够方便地进行软件升级；

支持分权、分级管理，以适应复杂网络环境的管理需求；

4.2.2.2 堡垒主机

主帐号的整个生命周期管理，对主帐号进行增加、修改、删除及锁定、解锁等操作。

主帐号的新建和修改时，支持通过配置访问时间策略达到主

帐号只能在规定的时间段内进行资源访问。

主帐号的新建和修改时，支持通过配置访问地址策略达到主帐号只能在规定的地址段内进行资源访问。

主帐号的新建和修改时，支持通过配置访问锁定策略，达到主帐号密码输入错误次数和锁定时间。

主帐号的新建和修改时，支持通过配置密码策略，达到指定密码有效期和主帐号密码强度的目的。

主帐号登录堡垒主机后，可以自助方式修改自身帐号信息，包括密码、手机、邮件等基础信息。

支持主帐号的分组管理，分组可以树形方式展现，不分组层级数量。

支持主帐号的证书认证，可以灵活配置主帐号的认证方式。堡垒主机上定义主帐号时可以为主帐号生成证书，方便证书认证模式的部署和实施。也可以和其他认证方式结合，做组合认证，提高访问的安全性。例如，支持静态口令、证书、智能卡、各种人体特征（指纹、视网膜等）、动态令牌等等。

可以将资源和资源的从帐号授权给主帐号。授权给主帐号的资源可以新增和删除。授权时可以按照树形组显示资源，方便资源的选择。

授权分为堡垒主机管理功能授权和资源访问授权。内部管理功能

授权可以到某个树形节点的范围内。

主帐号登录后，对本主帐号授权的资源只能在即符合主帐号的访问时间策略、访问地址策略，也符合资源从帐号的主机命令策略、访问时间策略、访问地址策略时访问到资源。

堡垒主机内部管理功能权限支持角色定义，角色可以针对目录树的节点定义，，角色包含的权限可以自定义。自定义内容包括：分组管理权，自然人管理权，资源管理权，授权管理权，角色定义管理权，计划管理权，审计管理权等等。

堡垒主机自身管理权限支持灵活的授权。可以建立组，并将组的管理权限下放给下级管理员，下级管理员也可以在自己的管理组中建立子组，并下放子组的管理权。便于大型网络的权限管理和划分。

图形资源审计可以记录键盘，那么图形资源的审计有可能审计到密码输入，因此必须对键盘输入的审计做权限的细分，可以定义哪些审计员可以看键盘记录，哪些不能。类似的可以定义是否可以看图像审计，是否可以实时监控，是否可以看字符审计的内容，命令，录像等。

4.2.2.3 数据库审计系统

对网络上的数据库活动实时记录，对数据库操作进行细粒度审

计，对数据库遭受到的风险行为进行告警，攻击行为进行阻断等。

4.2.2.4 日志审计系统

综合日志审计平台通过集中采集信息系统中的系统安全事件、用户访问记录、系统运行日志、系统运行状态等各类信息，经过规范化、过滤、归并和告警分析等处理后，以统一格式的日志形式进行集中存储和管理，结合丰富的日志统计汇总及关联分析功能，实现对信息系统日志的全面审计。

4.2.2.5 安全管理平台（SOC）

SOC 系统是一个以 IT 资产为基础，以业务信息系统为核心，以客

户体验为指引，从监控、审计、风险和运维四个维度建立起来的一套

可度量的统一业务支撑平台，使得各种用户能够对业务信息系统进行

可用性与性能的监控、配置与事件的分析审计预警、风险与态势的度

量与评估、安全运维流程的标准化、例行化和常态化，最终实现业务

信息系统的持续安全运营。

4.2.2.6 APT 高级威胁分析平台

APT 攻击对传统的安全产品提出了严峻的挑战，越来越多的安全

厂商认识到必须变革现有安全防御产品，用新的技术来发现未知的安

全威胁，重点包括：发现应用层攻击手段、发现基于未知漏洞

（0DAY）的攻击、检测未知木马、提供攻击历史回溯与反馈测试等功

能。针对以上问题，apt 提供了“高级威胁分析平台”，旨在为企业、单

位、等单位提供对“复合型攻击” 和“未知威胁” 的安全把控能力，并深度挖掘隐藏在网络中的黑客攻击行为，保障业务安全

4.3 建设目标规划

通过对 xxxxxx 信息系统安全现状与差距分析，结合安全防护体系规划、安全技术规划以及信息安全等级保护基本要求，为了完成项目

的建设目标，本次项目分为二期建设，一期建设完成目标为刚需、合

规；以解决网络中的整体安全隐患和获得等级保护备案证明为主要目

的，二期建设以完善整体信息安全防护提系为建设目标。本次项目需

完成以下任务，见下表：

图表 12 建设规划

时期安全建设重点达到目的时间主要做边界防御、网络结构整改、终端防护、安全隐患梳理整 2018 年（一期）治、审计体系建立。包括定级备案测评、主机加固防护、安全管理体系等。 1.达到法律要求中的等保合规 2.梳理全网安全隐患进行整治 3.提升机关事务管理局整体信息系统安全防护能力 2018 年开始，建设周期为 3 个月 1.云端防护通过层层设防的方式完 2019（二期） 2.通过部署安全管理平台（soc）善信息安全总体防护体和 APT 高级威胁分析平台将整体系，将各个孤立的信息网络中的各类事件分析审计预警、风险与态势的度量与评估安全运维流程的标准化、例行化和 2019 年开始建设周期为 3 个月点整合起来，方便用户更直观、快捷的管理网络。做到整体网络的可

常态化，最终实现业务信息系统视、可管、可控、可感的持续安全运营。将整体网络达知。到可视、可管、可控、

可感知

第五章

5.1

工程一期建设

工程建设

5.1.1 区域划分

根据业务功能以及安全需求的不同，将 xxxxxx 信息网络规划为互联网接入区域、内网核心交换区、安全管理区（审计核查区域）、服务器区、DMZ 区、办公接入区等共 6 个安全域。详细说明如下：

1.内网核心交换区：部署了网络的核心交换设备，用于数据的高速转发；

2.内网安全管理区：本安全区主要用于部署各类信息安全产品及相关服务器；

3.办公接入区：业务终端的接入区域，连接方式有无线和有线两种方式；

4.内网服务器区：本安全区主要用于部署各类业务系统服务器； 5. DMZ 区：提供对外服务，包括门户网站、OA 系统等，本安全区边界由一台 WEB 防火墙提供安全隔离和保护。

6.互联网访问出口区：由运营商出口组成，提供 Internet 互联网访

问服务；

5.1.2 网络环境改造

本次项目中对原有网络架构进行合理性规划和调整。具体如下 1. 核心交换区新增核心交换机，做冗余提高整体网络健壮性。 2. 将原有 2 条互联网线路进行整合，整合为一个出口。 3. 利用防火墙做好规则，将电子政务接入互联网。 4. 将 OA 服务器迁移至 DMZ 区.

5. 服务器、终端及应用系统风险评估、渗透测试、安全加固 6. 对于过保或使用年限较久的网络设备、安全设备，容易出现设备故障和安全隐患，从而影响机关事务管理局业务系统和正常办公的正常运营，造成不必要的损失。因此在此，我们提出了三种过保设备处理办法。

 将互联网的过保设备迁移至机关事务管理局其他专

网，做安全防护。



 直接将过保的设备下架，入库。

5.1.3 网络边界安全加固

本次项目中在互联网出口和服务器区前各部署一台防火墙，实现

不同安全域之间的安全边界隔离和访问控制。

5.1.4 网络及安全设备部署

5.1.4.1 防火墙系统部署

部署作用

防火墙是部署在不同网络之间的一系列部件的组合。它是信息的唯一出入口，能根据 xxxxxx 专网、服务器区的安全控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。防火墙实现网与网之间的访问隔离，以保护整个网络抵御来自其它网络的入侵者。

部署拓扑与说明

通过对全网网络拓扑结构进行分析，确定需要进行访问控制的网络边界位置，并使用防火墙等边界访问控制系统，解决边界安全问题、实现各个间的网络访问控制。

建议在 xxxxxx 互联网出口和服务器区边界部署防火墙，用来分隔各不同安全子域，对进出数据进行访问控制，阻止非法数据入侵到

xxxxxx 内网；

工作原理：

包过滤防火墙一般在路由器上实现，用以过滤用户定义的内容，

如 IP 地址。包过滤防火墙的工作原理是：系统在网络层检查数据包，与应用层无关。这样系统就具有很好的传输性能，可扩展能力强。

产品特点：

1、业界最高性能，网络无瓶颈

数据中心、云计算的快速发展，越来越多的网络性能都已超过百G，因此对于安全产品也提出了更高的性能要求。FW1000 系列应用防火墙基于高性能硬件架构 APP-X，采用先进的分布式架构+多核处理器+FPGA*，可提供业界性能最高的安全防护。

2、全面安全防护，确保网络稳定运行

针对用户日益复杂的网络应用，安全风险也变得更加多样化。

FW1000 在传统防火墙技术上，增加了对应用层的支持，内嵌丰富的

应用层过滤与控制引擎，可支持 IPS、防病毒、流控等功能，并提供

可实时升级的专业特征库，从而实现细粒度的安全管理。

3、独创的 N:M 虚拟化，应用能力按需调度

虚拟化技术是目前业界最受关注的技术之一，越来越多的网络和

服务器都已采用虚拟化技术，而针对应用虚拟化的要求，迪普科技具

有独创的 N:M 虚拟化技术，可将多台设备虚拟化成一台设备或将一台

设备虚拟化成多台设备，用户可将应用能力资源池化，并根据业务要

求灵活的按需调度。

4、VPN 全内置，提供最高性价比

面对用户分支互联、移动办公的需求，FW1000 系列应用防火墙全内置 IPSec VPN、SSL VPN 硬件加密功能，在简化网络结构的基础上，还大大提升了用户网络安全建设的性价比。

5、灵活组网能力，适应各种网络环境

FW1000 系列应用防火墙支持丰富的网络特性，支持静态路由、策略路由、RIP v1/v2、OSPF、BGP 等多种路由协议，支持 MPLS VPN，支持组播协议，支持 IPv6；同时，FW1000 产品可支持路由模式、透明模式、混合模式组网，可适应各种复杂组网环境。

6、丰富的 NAT 能力

面对 IPv4 地址越来越少的严峻现实，NAT 是在 IPv6 实施前最有

效的手段。FW1000 具备丰富的 NAT 能力，支持一对一、一对多、多

对多、地址池等 NAT 方式，并支持 FTP、H.323、RAS、RTSP、SIP、ICMP、DNS、PPTP、NBT 等多种 NAT ALG 功能。

7、网络高可靠性保障

FW1000 支持关键部件冗余及热插拔，可支持 N+1 业务板卡冗余，实现 RAID 级的网络高可靠性*。同时，FW1000 还支持基于状态

的双机热备，设备发生故障后确保原有的网络连接不会中断，实现真

正的无缝切换。

8、独创的应用 Bypass 技术*

迪普科技独创的应用 Bypass 技术，可自动监控各防火墙业务板

CPU 在位以及工作状态，当业务板发生故障时，系统会自动将流量切

换到设备交换芯片进行转发，此时流量不再经过业务板 CPU 做安全业

务，而是直接通过交换芯片进行二三层转发，确保业务流量转发不中

断，确保网络的可靠性。

拓扑图如下

产品功能描述

技术优势部署灵活全面安全防护功能价值支持路由模式、透明模式、混合模式全面支持深入到应用层的防护，内嵌丰富的应用层过滤与控制引擎，可支持 IPS、防病毒、流控等功能，并提供可实时升级的专业特征库丰富的 NAT 能力支持一对一、地址池等 NAT 方式；支持多种应用协议，如 FTP、H.323、 RAS、RTSP、SIP、ICMP、DNS、PPTP、NBT 的 NAT ALG 功能应用虚拟化支持 N:M 虚拟化，可将 N 台设备虚拟成一个资源池，再将资源池按需分成 M 台逻辑设备，实现云计算环境下资源池的动态调度优异性能可提供超过 400G 单设备性能*，并可通过 N:M 虚拟化进行性能聚合，实现性能的倍增全内置 VPN 支持 IPSec VPN、L2TP VPN、GRE VPN、SSL VPN，并且全内置硬件加密芯片，减少安全建设投入广泛网络特性支持 IPv4/IPv6，支持静态路由、策略路由、RIP v1/v2、OSPF、BGP 等多种路由协议，支持 MPLS VPN，支持组播协议入侵防御能力可提供专业的入侵防御（IPS）能力，实现深入的应用层攻击防护；专业漏洞库团队提供实时可灵活升级的攻击特征库专业防病毒上网行为管理内置专业防病毒引擎超过 2500 条专业协议库，超过 1000 万条 URL 库，可识别主流应用及网站，实现细粒度的上网行为管理

高可靠性 N:M 虚拟化、双机状态热备、静默双机、VRRP 多主等多种模式，关键部件冗余及热插拔，支持 N+1 业务板卡冗余以及独创的应用 Bypass 技术*，真正的网络高可靠性日志与报表支持的日志服务器，日志可自动定时备份；内置数百种报表，可图形化的查询、审计、统计、检索内网用户的各种网络行为日志，方便管理者了解和掌控网络图形化管理提供便捷的图形化管理界面，支持 Web GUI、SSH、串口 Console，并支持通过 UMC 网管平台集中管理

5.1.4.2 WEB 应用防火墙

部署作用

随着网络规模的不断扩大和应用的逐步增多，联网计算机数量不断增加，IP 地址冲突现象时有发生。公务各联网单位要严格使用分配的 IP 地址段，要求对本单位每位工作人员使用的电脑指定单一 IP 地址。严禁工作人员盗用他人 IP 地址或私设 IP 地址。若采用手动方法管理 IP 地址，不仅操作不便，而且极易出现错误。

同时，基于 IPv4（国际互联网协议第 4 版）的现有互联网，用

于标识全球网络设备和终端设备的网络地址约有 40 亿个，目前已与

2011 年分配殆尽。全球互联网管理机构对 IPv6 地址的分配速度日益加快，IPv6 已具备广泛应用的基础。推动互联网由 IPv4 向 IPv6 演进

过渡，并在此基础上发展下一代互联网已成为全球共识。

根据新一代信息技术产业“十二五”发展思路的要求，广大用户用上 IPv6 的时间须提早到 2015 年。

在“十二五”期间，规定要求国内访问流量排名前 100 位的商业网

站系统支持 IPv6，约 70%的企业及地市级以上网站系统

支持 IPv6，“211”工程学校网站系统全部支持 IPv6，电信运营企业

新开展的业务基本支持 IPv6，新增上网固定终端和移动终端基本支持

IPv6。

部署拓扑与说明

根据 xxxxxx 整体安全规划，在对外服务域的 WWW 服务器上部署

WAF 防护产品，可以为用户网站提供 7X24 小时的不间断监测与保

护，有效保障网站数据的完整性和真实性，并提供实时告警，具体部

署拓扑和说明如下：

产品功能描述

工作原理：

可以通过对 HTTP 协议进行深入分析，并且通过及时更新使用户在最快的时间内获得最新的特征库，能够为 Web 应用提供全面实时有效的防御能力。

产品特点：

1、先进的多核硬件架构，实现高性能的安全防护

基于高性能硬件架构 APP-X，采用多核处理器架构，可提供业界性能最高的 Web 应用防护能力。

2、高效的 Web 漏洞防护功能

部署在 Web 服务器之前，能够有效抵御包括 SQL 注入、跨站脚本、会话劫持在内的各种高危害性 Web 漏洞攻击。

3、HTTP 协议加固功能

支持 HTTP 协议正规化，支持对 Cookie 的各种属性进行严格检查，支持缓冲区溢出保护等多种 HTTP 协议加固功能。

4、网页防恶意篡改功能

支持对 Web 网站的数据备份和还原，并且支持在自动或手动模式下，对网站数据的精确、增量同步，能够有效防止网页被恶意篡改。

5、流量优化功能

具有强大的 Web 流量优化功能，可利用 HTTP 缓存、HTTP 压缩、连接复用、SSL 代理等技术，对服务器进行负载均衡、流量整形、Web 加速、SSL 卸载等业务优化。

6、冗余电源、无缝接入等高可靠性

支持双电源冗余，并且可以采用多种部署模式进行无缝接入，确保了网络的高可靠性

5.1.4.3 上网行为管理及流控

部署作用

帮助用户提供包括网络应用流量分析及控制、职员上网行为记录、访问控制、数据库安全审计，以及链路负载均衡、用户认证、病毒防范等综合功能，帮助用户构建“可视、可控、可优化的互联网”

部署拓扑与说明

根据 xxxxxx 整体安全规划，在互联网接入区域部署上网行为管理

及流控，可以为用户提供上网行为记录、审计、访问控制、流控等功

能，具体部署拓扑和说明如下：

产品功能描述

1.业界最全的应用特征库，全面支持 IPv6 识别

具有业界数量最大、本地化支持最完善、更新最及时的特征库，可识别超过 4300+种网络和应用层协议，全面支持 IPv4/IPv6 协议的上网行为管理和流控，让上网行为管理和流量控制更精准。

2.流量控制与调度结合，保障关键业务

支持链路负载均衡功能，可作为链路优化网关使用，配合流量控制功能，达到流量“疏堵结合”的作用，流量控制可以为关键业务预留带宽，流量负载则可以将关键业务调度到高质量的链路，共同保障关键业务的使用。

3.独创的零带宽损耗技术*

创新的零带宽损耗技术，率先采用“提前”限速的技术理念，解决传统带宽管理“丢包而导致损耗”的难题。有效解决传统流量管理损耗不能低于 30%的难题，启用流量控制后整体带宽几乎无损耗（5%以内），真正实现对应用流量的合理、有效、有序的管理。例如，针对 1G 带宽，传统解决方式流量控制后，实际可用带宽在 700M 左右，而使用迪普科技零带宽损耗技术后，实际可用带宽在 950M 左右。

4.基于网络质量的流量分析*

网络流量分析从度展现网络带宽资源使用情况，真正实现流

量可视化，基于用户和应用进行细粒度分析。同时可以对网络质量进

行分析，对网络中的链路异常事件、网络时延、重传率、状态码等参

数进行监控，并且按照用户、应用等维度进行分析，展示用户、应用

的网络质量状况，网络管理人员一目了然的了解当前网络运行质量，并为后续的网络优化提供依据。

5.基于用户的网络行为审计

上网行为管理支持全面的上网行为审计，包括网页、邮件、论

坛、即时通讯、数据库等网络行为。传统的审计方式仅能根据 IP 地址

进行审计，难以将 IP 地址与具体人员身份准确关联，导致发生安全事

件后，如何追查责任人反而又成为新的难题。实现基于帐号的实名审

计，并支持与城市热点、深澜等认证系统对接，实现精确到个人的上

网行为审计，让网络中的每个人对自己的言行负责。

6.丰富的认证功能

支持多种终端认证，支持 IP/MAC 绑定、Portal 认证、短信认证、微信认证等多种认证方式，并且支持与 Radius、AD、LDAP 第三方认证系统对接。例如微信认证顾客无需输入繁琐的 Wi-Fi 密码，手机点击“微信一键认证”进行认证，为用户提供更轻快的上网体验，同时可以一键关注商家公众号，便于将顾客转化为粉丝，为商家的长期发展打下良好的基础，并且联网后还可推送消息，利于商家做宣传。

7.全面数据库审计

覆盖主流商用数据库，包括 Oracle、MySQL、SQL Server 和

DB2 等多种类型的数据库。对访问数据库的数据流进行采集、分析和

识别，实时监视数据库的运行状态，记录多种访问数据库行为，发现

对数据库的异常访问，同时提供告警及丰富报表功能，以供企业管理人员按需查看。

5.1.4.4 主机安全加固系统部署

部署作用

部署在服务器区的服务器上用于防护服务器主机的安全防护

产品功能描述

集服务器安全防护和安全管理为一体的综合性服务器工具。提供

服务器杀毒、服务器优化、系统漏洞补丁修复、服务器程序守护、风

险帐号（影子帐号等）优化、DDOS 防火墙、ARP 防火墙、应用防火

墙、防 CC 攻击、防入侵防提权、防篡改、安全策略设置等，使服务

器免受攻击，同时提供邮件实时告警等功能，服务器状态实时掌握。

软件支持 Windows 系列

（Windows2003/Windows2008/Windows2012）、linux 主流操作系

统，全面支持 32 位和位系统。

1、产品采用云+端的云安全管理平台（SAAS 模式）解决服务器

的安全及管理问题；提供包含自动化系统风险识别和加固、系统级的

安全防护（防黑/防入侵/抗攻击）、云监控（安全监控/性能监控/日志

监控）、云管理以及基于大数据架构的安全事件分析等功能；

2、防暴力破解、防恶意扫描：实现拦截各种恶意扫描和暴力破解攻击。Windows 环境支持拦截 RDP 登录爆破、Mysql 数据库登录爆破、SQLSERVER 数据库登录爆破、FTP 登录爆破；Linux 环境支持拦截 SSH 协议爆破、Mysql 数据库登录爆破、FTP 登录爆破。

3、病毒查杀：对网页后门(WebShell)、二进制病毒进行查杀。

4、能够禁止一般的帐号创建，针对帐号提权、帐号克隆等其他形式的新帐号创建操作也能够有效禁止。支持 Windows 操作系统。

5、能够禁止对指定位置文件的操作，包括文件删除、拷贝等行

为。

6、支持 WEB 防火墙、应用防火墙、漏洞防护和黑白名单设置。

7、基于 HTTP/HTTPS 协议对网站提供漏洞防护功能，对访问者

提交的 HTTP/HTTPS 请求里的 URL、Cookie、POST 等数据进行正

则过滤。内置需超过 100 条规则，包括 SQL 注入、XSS、CSRF 等防

护规则。

8、通过直接在 Agent 端上内置文件过滤驱动模块，并基于规则进行防篡改防护设置，禁止修改指定目录下诸如 PHP、ASP、ASPX、 JSP 等类型的网页文件，修改动作至内核层直接捕获并进行拒绝。

9、提供基于微软的漏洞补丁功能，能够扫描 100%系统漏洞

补丁，并提供相关漏洞补丁下载。

10、判断系统服务安全状态，采取关闭敏感服务的策略，为用户提供优化建议。

11、支持 windows 平台的安全基线检查，包括：账号管理、口令检测、授权、日志配置、IP 协议安全配置、关闭远程桌面和共享文件夹的访问权限等；支持 Linux 平台的安全基线检查，包括：用户口令设置、用户 su 成 root 用户、root 用户超时自动注销、认证、 bash shell、网络与服务加固和文件系统安全检查等。支持包含中间件（IIS,Tomcat,Weblogic 等）的安全基线检查。

12、支持存储一年内所有的攻击日志，如： ARP 攻击、文件目录保护、远程桌面保护、病毒防护等。收集传输系统日志，构建行为模型与异常行为进行对比，发现可疑行为。从多个维度挖掘攻击者 IP 的地理信息、活跃度、攻击手法特征、攻击次数、攻击服务器范围等并进行画像分析和威胁程度排名，提供攻击 IP 风险分布图、攻击 IP 地理分布图、最近 30 天攻击 IP 列表和攻击 IP 电子档案功能。

13、支持通过发送邮件、短信等方式进行告警；告警内容包含传输中断告警、风险漏洞告警、攻击威胁告警等；告警可以支持按日期、攻击类型、内容、攻击者 IP、服务器 IP 等字段进行组合查询。

14、产品支持监控服务器，并基于云端的规则库、病毒特征库、

异常行为库等互联网安全威胁情报数据度量执行程序的安全性，对非

授权及不符合预期的执行进行预警提示。

5.1.4.5 综合日志审计

部署作用

随着各类组织的信息化程度不断提高，对信息系统的依赖程度也随之增加，如何保障信息系统安全是所有单位都十分关注的一个问题。当前，大部分组织都已对信息安全系统进行了基本的安全防护，如实施防火墙、入侵检测系统、防病毒系统等。然而，信息系统维护过程中依然还面临着诸多的困难及风险，如：

系统运维风险：由于操作系统、硬件、应用程序等故障或配置错

误导致系统异常运行，服务中断。这些异常行为往往会事先在系统及

各类日志中有反映，如果缺乏有效的日志审计手段，就无法及时发现

这些安全隐患。

应用及数据风险：包括用户非授权访问、管理员误操作、黑客恶意破坏等等，必须实行有效的安全审计手段。

安全事件定位风险：由于目前的应用系统往往都是相互关联的，

一个故障现象，往往要对数台甚至数十台网络设备及主机的日志进行

关联分析才能确定真正的故障原因，缺乏有效的统一安全事件审计平

台可能导致无法及时进行故障定位甚至错误定位，此外恶意破坏者获

得系统权限后可以清理安全日志，从而导致无法正确定位安全日志。

此外， SOX 法案、82 号令、等级保护等各类法规及行规均对日志审计、行为审计有明确的要求，确保关键信息系统在可审计、可控状态下运行。

部署拓扑与说明

按照 xxxxxx 信息安全建设整体安全规划，审计要遵循全网统一的安全规范进行建设，因此，xxxxxx 内网的审计系统部署在安全管理区，审计系统包括网络审计、主机审计等方面，为安全管理人员提供可供分析的审计数据和有效的控制手段，多方位、多层次地对网络信息系统进行立体、全面的审计跟踪与监控管理，在网络信息系统中建立安全管理与责任认定机制。

工作原理：

指按照一定的安全策略，利用记录、系统活动和用户活动等信息，检查、审查和检验操作事件的环境及活动，从而发现系统漏洞、入侵行为或改善系统性能的过程。也是审查评估系统安全风险并采取相应措施的一个过程。在不至于混淆情况下，简称为安全审计，实际是记录与审查用户操作计算机及网络系统活动的过程，是提高系统安全性的重要举措。系统活动包括操作系统活动和应用程序进程的活动。用户活动包括用户在操作系统和应用程序中的活动，如用户所使用的资

源、使用时间、执行的操作等。

产品特点：

系统简单实用、界面美观大方、内置丰富的仪表板，适用于各级管理人员;

具有国内领先的高性能日志管理技术，使得系统在日志采集、分析和存储三个方面获得了本质的性能提升。

独有的审计数据源扩展机制，可以方便地实现新设备类型的日志采集。

自学习的事件范式化技术，提高日志分析效率。

支持分布式日志采集和事件存储、审计中心级联，支持大规模部

署。

对用户网络和业务影响最小：在实现对用户网络中的 IT 设施进行集中日志审计的同时，采取多种技术手段，力求对用户网络和业务的影响最小化。

具备完善的自身安全性设计，保证系统自身的安全等级符合用户的整体安全策略

拓扑图如下

产品功能描述

•集中化的日志综合审计

日志审计系统提供了强大的日志综合审计功能，为不用层级的用户提供了多视角、多层次的审计视图。系统提供全局监视仪表板、实时审计视图、内置或自定义策略的统计视图、超强的日志查询和报表管理功能，支持日志的模糊查询和自定义报表。

•高性能的日志管理技术架构

为了应对海量日志管理带来的挑战，日志审计系统采用了国内领先的高性能日志采集、分析与存储架构，从产品技术架构的层面，进行了系统性的设计，真正使得日志审计系统产品成为一款能够支撑持续海量日志管理的系统。

•高适应性日志采集

日志审计类产品的一项核心能力就是对审计数据源的日志采集。对于用户而言，采集日志面临的最大挑战就是：审计数据源分散、日志类型多样、日志量大。为此，日志审计系统综合采用多种技术手段，充分适应用户实际网络环境的运行情况，采集用户网络中分散在各个位置的各种厂商、各种类型的海量日志。

•详尽的日志范式化和日志分类

日志审计系统对收集的各种日志进行范式化处理，将各种不同表

达方式的日志转换成统一的描述形式。审计人员不必再去熟悉不同厂

商不同的日志信息，从而大大提升审计工作效率。与此同时，日志审

计系统将原始日志都原封不动地保存了下来，以备调查取证之用。审计员也可以直接对原始日志进行模糊查询。

•基于策略的安全事件分析

系统为用户在进行安全日志及事件的实时分析和历史分析的时候提供了一种全新的分析体验——基于策略的安全事件分析过程。用户可以通过丰富的事件分析策略对全网的安全事件进行全方位、多视角、大跨度、细粒度的实时监测、统计分析、查询、调查、追溯、地图定位、可视化分析展示等。

•可视化日志审计

日志审计系统为用户提供了丰富的可视化审计视图，充分提升审计效率。包括：审计对象拓扑图、IP 在线世界地图定位、IP 离线世界地图定位、事件分时图、事件拓扑图、事件分析图等。

•丰富灵活的报表报告

出具报表报告是安全审计系统的重要用途，日志审计系统内置了丰富的报表模板，包括统计报表、明细报表、综合审计报告，审计人员可以根据需要生成不同的报表。系统内置报表生成调度器，可以定时自动生成日报、周报、月报、季报、年报，并支持以邮件等方式自动投递，支持以 PDF、Excel、Word 等格式导出，支持打印。

系统还内置了一套报表编辑器，用户可以自行设计报表，包括报

表的页面版式、统计内容、显示风格等。

5.1.4.6 堡垒主机

部署作用

 内部网络行为管理

严重的攻击来自系统内部（80%来自内部攻击），内控堡垒主机主要应用于内部用户行为管理，对各种途径的网络设备及服务器的访

问方式进行监控，支持 telnet，ftp，ssh，rdp，xwindow 等，保证内

部用户的操作和行为可控、可视、可管理、可跟踪、可鉴定，防止内

部人员对机密材料的非法获取和使用，保护企事业核心机密。

 对网络边界网关设备的管理

网络边界安全设备是企事业网络安全防护系统的重要组成部分，网络边界安全设备的安全策略，对企事业内部网络安全，起着非常重要的作用。目前关键网络边界安全设备，主要来自于国外巨头和国内领先公司，这些公司一般都提供先进的 CLI 功能，管理员可以通过 SSH 和串口，对网络边界安全设备（如交换机、防护墙、VPN 等）进行安全策略配置。但是，目前没有可靠办法保证系统管理员安全策略配置行为的有效性，合法性以及一致性，一般都通过行政手段，让系统管理员记录安全策略配置过程，这有严重的安全隐患。内控堡垒主机提供网关部署方

式，可以记录系统管理员对网络边界安全设备的配

置过程，保证安全策略的一致性，其生成的日志系统，可以比较方便的集成到企事业现有安全策略管理架构中。

 对黑客行为的防范

黑客常常通过手段（如：社会工程、恶意程序、系统设置漏洞、

缓冲区溢出程序等）获取用户权限，然后使用该权限登陆系统。内控

堡垒主机可以记录该黑客的操作过程，对于事后查证和数据恢复，有

非常好的适用价值。内控堡垒主机还可以通过地址绑定功能对黑客行

为进行，即使黑客取得系统权限，也不能对系统做任何操作。

部署拓扑与说明

建议在 xxxxxx 内网中部署堡垒主机系统，为了给系统管理员查看审计信息提供方便性，内控堡垒主机提供了审计查看检索功能。系统管理员可以通过多种查询条件进行查看审计信息。总之，内控堡垒主机能够极大的保护内部网络设备及服务器资源的安全性，使得内部网络管理合理化，专业化，信息化。

工作原理：

行业用户为了对运维人员的远程登录进行集中管理，会在机房里部署跳板机。跳板机就是一台服务器，维护人员在维护过程中，

首先要统一登录到这台服务器上，然后从这台服务器再登录到目标

设备进行维护。但跳板机并没有实现对运维人员操作行为的控制

和审计，使用跳板机过程中还是会有误操作、违规操作导致的操作事故，一旦出现操作事故很难快速定位原因和责任人。堡垒机

就是继承了跳板机的工作原理，在对运维操作提供管理功能的同时增加了审计功能。

拓扑图如下

产品功能描述

基本功能

 提供堡垒主机自身状态的监控功能，包括：cpu 工作情况，内

存使用情况，磁盘使用情况，网卡使用情况，堡垒主机自身数据库工作情况，堡垒主机自身 WEB 服务工作情况，堡垒主机自身其他关键组件工作情况等。



（一）主帐号管理

 可以使用 WEB 方式对堡垒主机进行重启和关机。 可以对堡垒主机的时间进行设置。

 支持堡垒主机自身程序通过 WEB 方式升级。 支持日志的备份、导出和恢复。

产品功能

 主帐号的新建和修改时，支持通过配置访问时间策略达到主帐号只能在规定的时间段内进行资源访问。



 主帐号的新建和修改时，支持通过配置访问地址策略达到主帐号只能在规定的地址段内进行资源访问。



 主帐号的新建和修改时，支持通过配置访问锁定策略，达到主帐号密码输入错误次数和锁定时间。



 主帐号的新建和修改时，支持通过配置密码策略，达到指定密码有效期和主帐号密码强度的目的。



 支持主帐号的分组管理，分组可以树形方式展现，不分组层级数量。



 支持主帐号的证书认证，可以灵活配置主帐号的认证方式。堡垒主机上定义主帐号时可以为主帐号生成证书，方便证书认证模式的部署和实施。

（二）资源管理

 支持资源的分组管理，分组可以树形方式展现，不分组层级数量。

（三）从账户管理

 能够对资源上的帐号进行管理，可以添加、修改、删除资源上

的从帐号。

 从帐号的新建和修改时，支持通过配置主机命令策略达到

使用此从帐号访问资源时，只能使用某些指令或者禁用某些指令。



 从帐号的新建和修改时，支持通过配置访问时间策略达到

使用此从帐号访问资源时只能在规定的时间段内访问。



 从帐号的新建和修改时，支持通过配置访问地址策略达到

使用此从帐号访问资源时只能在规定的地址段内访问。



 支持资源从帐号的接管和共管方式，接管方式的从帐号才能修

改。支持重置接管从帐号的密码。

5.1.4.7 数据库审计系统部署

部署作用

可以对数据库操作行为和内容进行审计，还可以对业务运维操作行为进行细粒度的合规性审计和管理。系统通过对被内部人员的数据库操作及运维操作等网络行为进行解析、分析、记录、汇报，可以帮助用户进行事前规划预防、事中实时监视、事后合规报告、事故追踪溯源，加强内外部网络行为监管。进而完善业务系统的安全防范体系，满足组织机构内外部合规性要求，全面体现管理者对业务系统信息资源的全局把控和调度能力。

部署拓扑与说明

根据 xxxxxx 网整体安全规划，在安全管理区部署数据库审计系统实现不间断监测与保护数据库，有效保障数据库数据的完整性和真实性，并提供实时告警，具体部署拓扑和说明如下：

工作原理：

完善的数据库审计

数据库审计系统（数据库审计型）全面对支持各种常见商业数据库、开源数据库及国产数据库系统的审计，Oracle、DB2、Sybase、

Informix、SQL Server、Teradata、MySQL、PostgreSQL、Cache、

金仓 Kingbase、南大通用 GBase 及达梦数据库等多个版本的数据库系统，能够实现绑定变量、SQL 命令和字段级的审计，能够满足不同用户、不同发展阶段情况下的数据库审计需求。

全面的协议覆盖能力

除数据库审计功能外，针对运维操作审计，数据库审计系统（数据库审计型）支持包括，Telnet、FTP、Rlogin、X11、Radius 等协议，能够实现命令级和过程级的内容审计；针对 OA 操作审计，支持包括 Netbios、SMTP、POP3、HTTP 等协议，能够实现 URL、邮件内容的审计。

多编码环境支持

数据库审计系统（数据库审计型）适用于多种应用环境，特别是在异构环境中，比如 IBM AS/400 通常采用 EBCDIC 编码方式实现

Telnet 协议的传输、某些数据库同时采用几种编码与客户端进行通讯，若系统不能识别多种编码，会导致审计数据出现乱码，对多编码的支持是衡量审计系统环境适应性的重要指标之一，目前数据库审计系统（数据库审计型）系统支持多种编码格式；

支持多种响应方式

数据库审计系统（数据库审计型）系统提供了多种响应方式，支持

包括记录、忽略、定级、界面告警、RST 阻断、Syslog、SNMP

Trap、邮件等技术手段，并可与第三方管理平台进行联动（如 SOC 平台、4A 平台等），以帮助用户实时掌握审计信息。

支持灵活的审计规则

为了使审计策略更加灵活、精准，数据库审计系统（数据库审计型）系统采用了灵活的审计规则和黑白名单的机制，大大降低了审计策略的复杂程度，同时也减轻了管理人员的工作量：

审计规则的定制条件包括时间 IP、端口、账号名称、事件级别、内容等，能够以精确匹配、模糊匹配、正则表达式匹配方式对审计事件进行匹配，帮助用户对关键操作进行及时响应；

数据库审计系统（数据库审计型）系统提供了事件规则用户自定义模块，允许用户自行设定和调整各种安全审计事件的触发条件与响应策略。

支持 IP 黑白名单、账号黑白名单、账号发现、账号跟踪审计、账号行为事件分级等多种特性，便于在实际审计过程中进行灵活设置。

特定账号行为跟踪

系统能够实现对“用户网络环境中出现的特定账号或特定账号执行某种操作后”的场景进行账号跟踪，提供对后继会话和事件的审计。因此，管理员能够对出现在网络中的特权账号，比如 root、DBA 等，进行重点的监控，特别是本不应出现在网络上的特权账号突然出现的事

件。

拓扑图如下：

产品功能描述

数据库审计支持的数据库类别:

Oracle、SQL Server、DB2、Mysql、Sybase、Informix、Teradata、PostgreSQL、

Cache、Kingbase、DM

数据库审计粒度:日期及时间源 IP 及源 MAC 地址源主机名*、源程序名*、源主机登陆用户名*

SQL 命令

登陆数据库账号名、数据库名、数据库表名、数据库字段、数据库字段与值对应关系、数据库存储进程名、数据库域名

（DOMAIN）、数据库模式名（SCHEMA）、数据库视图名(View）、

数据库事物名、数据库索引名、数据库游标名

SQL 语句、SQL 语句响应时间审计、SQL 语句返回行审计*、 SQL 语句响应码审计、SQL 语句响应码注释库

数据库账号登陆失败审计数据库操作成功的审计数据表空间不足的审计

数据库并发会话数、进程数、用户、游标数、事务数、锁等超过

的审计

数据库操作权限不足的审计其他审计功能

运维审计 Telnet、Rlogin、X11(命令行）

文件共享审计 NFS、FTP、Netbios

认证审计 Radius、SUN-RPC

网络审计 HTTP、SMTP、POP3

审计规则

规则类型支持两种审计规则：缺省审计规则、自定义审计规则

规则匹配方式支持三种规则匹配方式：模糊匹配、精确匹配、正则表达式匹配

支持系统日志、审计事件日志、会话日志查询支持按条件或关键字内容模板查询功能支持缺省统计模板，支持会话统计、审计事件统计、资源账号统计功能，支持按自定义关键字进行统计支持统计报表自定义功能支持审计事件与统计报表的自动备份和手工备份功能支持

PDF、XLS、CSV、HTML、Word 格式的报表

系统管理

支持旁路部署，对原有系统无影响，支持管理员、操作员、审计员

权限管理，具有自身安全审计功能支持管理员强身份认证功能支持

系统升级功能支持 NTP 时间同步支持审计数据、系统配置和引擎配

置的备份和恢复、支持串口管理、SSH 管理、HTTPS 管理

5.1.4.8 终端管理系统部署

部署作用

随着全球信息化步伐的加快，计算机网络作为信息社会的基础设施已经渗透到社会的各个方面，与此同时，网络安全问题也日益突出。据美全软件公司 Camelot 和 eWEEK 电子杂志联合进行的一项调查显示，网络安全问题在很多情况下都是由“内部人士”而非外来黑客引起。

在企事业单位中，内网安全普遍存在着如下问题：

 IP 地址使用存在一定混乱。如果没有严格的管理策略，员工随意设置 IP 地址，可能造成 IP 地址冲突，关键设备的工作异常。若出现恶意盗用、冒用 IP 地址以谋求非法利益，后果将更为严重。



 各类网络基础信息搜集不全。信息管理中心对所管辖网络的用户和资源状况难以掌握，设备软硬件配置与变更也难以知晓，发生违规事件时很难及时将问题定位到具体用户。



 外围设备使用控制困难。为了保证内部安全，要求对网内各计算机设备的外围设备使用情况进行控制，禁止或使用软

驱、光驱、USB 盘、并行、串行口、红外口、1394 口、

Modem 等外围设备，防止利用移动存储设备进行数据文件的拷贝。

 文件拷出与打印等难以管理监控。有重要的文件，如未公开

文件、资料、报表等，对这些重要且必须保密的资料的拷入拷出、打印等操作无法监控，出现信息泄露事件也无从追溯。应用资源访问存在隐患。xxxxxx 内网部署了多个管理信息系统时，多帐号身份认证和权限管理将会带来管理上的重复和不一致性，最终导致管理混乱和安全漏洞。

操作系统补丁问题。每隔一段时间微软发布修复系统漏洞的补丁，但很多用户不能及时使用这些补丁修复系统，造成重大损失。现在网络结构庞大，网管要保证每台终端及时全面的安装响应补丁，工作量很大，且很难实现。

部署拓扑与说明

建议在 xxxxxx 内网安全管理区部署一台桌面终端管理服务器，为每个主机上安装桌面终端综合安全管理系统的客户端，收集主机相关信息，接受管理服务器的控制和管理。

产品特点：

1、有效查杀已知/未知病毒

全球最大云安全系统、国际领先多引擎技术、QVM 人工智能引擎技术、隔离沙箱虚拟化技术、主动防御技术相结合，有效查杀已知和未知病毒；通过联动 360 天眼产品有效抵御 APT 攻击。

2、实时全面的资产管理

全面展示全网终端软硬件资产、操作系统、网络、进程等详细信

息，实时记录资产信息变更，有效管控网络流量、进程服务等，做到

管理安全管理一目了然。

3、智能化的补丁管理

可对全网终端进行漏洞扫描并与漏洞类型进行关联按需修复，首创蓝屏修复机制、补丁分发流控机制有效提升企业信息系统整体漏洞防护等级。

4、可靠的安全运维管控

能有效的对终端进行应用程序识别与控制、网络安全防护、非法外联控制、外设使用控制、账号密码安全检测、本地安全策略加固等。

5、灵活的移动存储管控

给予不同的移动存储介质相应的授权试用范围和读写权限，同时

支持设备状态的追踪与管理，实现对移动存储设备的灵活管控，保证

终端与移动存储介质进行数据交换和共享过程中的信息安全要求。

6、丰富的安全网络准入控制

支持旁路镜像应用准入、802.1x 认证、Portal 认证、AD 认证、复合认证等多种网络认证技术，适应各种复杂网络环境下的接入部署，支持大型多分支机构网络部署。

7、完善的安全审计

通过分组、时间、文档类型等多视角、度、多层次对终端文

件的操作行为、输出行为、打印行为、光盘刻录行为、邮件收发行为

进行完善的审计。

拓扑图如下

产品功能描述

 具有控制管理和远程部控管理功能，支持在网内所有服务

器、客户端上部署，能够远程管理



 可以提供基本的安全资质证书，以保证满足等保考核基本要求 对计算机外设接口、网络通讯接口提供禁用、启用控制功能 终端接入认证，未经认证计算机无法接入网络使用 身份认证，非法身份无法登陆操作系统

 安全域划分，划分不同权限的安全域，灵活设置相互访问权 终端数据安全，对本地磁盘进行整体加密，预防数据外泄



 违规外联监控

 统一介质管理，移动介质注册数目>400

 根据策略审计文件创建、更名、复制、删除等操作 审计敏感文档的打印操作

 审计计算机 IP 地址、主机名、用户名等基本配置信息的变更操作



 对指定的重要文件可进行防读取、防复制、防删除控制 支持可跨 VLAN 进行监控与审计 能够方便地进行软件升级

 支持分权、分级管理，以适应复杂网络环境的管理需求

5.1.5 安全管理体系建设服务

本次方案中，安全管理体系建设由 xxxx 有限公司与 xxxxxx 联合梳理安全管理体系。服务方式为：委派专人与 xxxxxx 相关负责人合作，结合现已有的安全管理制度，梳理完善、合规的安全管理体系。参考标准如下：

5.1.5.1 安全管理机构概述

安全管理机构的规划，将从 xxxxxx 的实际情况出发，以安全组织

架构设计为基础，定义架构中涉及到的部门和岗位的职责以及管理方

法。其内容包含但不少于等级保护基本要求中的第 3 级信息系统的管

理要求中对管理机构的要求。

xxxxxx 信息安全组织架构是 xxxxxx 参与信息安全工作的各部门进行分工协作开展工作的结构，是根据其在信息安全工作中扮演的不同角色进行优化组合的结果，反映了 xxxxxx 各类组织在信息安全工作中的不同定位和相互协作关系。信息安全组织架构设计并非对 xxxxxx 的组织架构进行重组，而是在 xxxxxx 原有组织架构的基础上针对信息安全的需求进行的提炼和完善。xxxxxx 信息安全组织架构主要包括参与 xxxxxx 信息安全决策、管理、执行和监督工作的部门。

信息安全组织架构包含以下三个关键要素：

2) 3)

决定了信息安全工作中正式的报告关系，包括层级数和

管理者的管理跨度；

决定了如何由个体组合成部门，再由部门到组织；组织架构中包含了一套系统，以保证跨部门的有效沟通、

合作与整合。

信息安全组织架构是单位信息中心开展信息安全工作的基础。在单位的日常管理过程中，存在着多项信息安全管理事宜，需要对其中的重要事件进行决策，从而为信息安全管理提供导向与支持；对于所制定的信息安全管理方针需要进行有效的贯彻和落实；另外，对信息安全管理方针贯彻落实的情况还需要进行监督。以上各种情况都需要一个完善有效的信息安全组织架构来支撑。另外在未来 xxxxxx 信息安全保障体系建立的过程中，各种信息安全项目的开展将成为 xxxxxx 信息安全工作的一项重要内容，这也需要有相应的组织予以支持。

本文提出的信息安全组织架构是以等级保护基本要求为指导，在借鉴国际最佳实践的基础上根据 xxxxxx 信息安全工作开展的需求进行完善的结果。

在完整的信息安全组织中一般包含以下几个重要组成部分：

1) 2)

信息安全决策机构信息安全管理机构

3) 4)

信息安全执行机构信息安全监管机构

以上组织机构的具体存在形式可以是多样的，如兼职的、虚拟的

或者远程的。目前国际上普遍采用的信息安全组织架构如下图所示：

1、信息安全决策机构

信息安全决策机构处于整个信息安全组织架构的顶端，主要从单

位高层的角度对于信息安全方面的工作进行指导和控制，xxxxxx 信息

安全决策机构应当是 xxxxxx 信息安全工作的最高决定者，它的主要职

能包括：

1) 2) 3) 4) 5) 6)

确定 xxxxxx 信息安全工作的战略和方向决定 xxxxxx 信息安全组织总体调配信息安全工作的资源负责通过和决定信息安全策略和标准对于信息安全方面的重大项目进行审批在协调安全工作中协调各部门关系

一般信息安全决策机构在单位中的主要表现形式是由相关各部门

主管或代表组成的跨部门的委员会，也可以是单位 CIO 或类似级别的

决策层管理人员。参与人员主要取决于需要决策的内容。信息安全决

策机构需要对信息安全工作开展中的重大事项进行决策，因此必须要

有信息安全专职管理机构的代表；信息安全工作的需求来自于业务的开展，因此很多情况下也考虑各业务部门的代表的参与；信息安全决

策工作中的一项重要课题是资源保障，因此往往需要分别拥有资金调

配、人员调配和设备调配权力的部门的代表。至于对各部门选派代表

的要求取决于决策机构的工作形式，一般来说需要有相关决定权力的

人员作为代表。

2、信息安全管理机构

信息安全管理机构是整个信息安全管理体系建立和维护的组织者和管理者，它同时具有 2 种角色：

xxxxxx 信息安全管理机构是信息安全决策机构的决策支持者，由管理机构为决策机构提供必要的决策所需信息；

xxxxxx 信息安全管理机构是信息安全工作的规则制定者和决策推行的管理者。可以说是信息安全决策机构的执行组织，也可以说是信息安全执行机构的管理组织。

xxxxxx 信息安全管理机构的职能主要包括：

1) 2) 3) 4)

整个 xxxxxx 内信息安全相关标准的制定、更新信息安全项目的规划、评审和质量控制

向信息安全决策机构定期通报单位整体信息安全情况对 xxxxxx 信息安全工作的开展进行日常管理和监督

在单位中一般表现为一个专职负责管理信息安全方面工作的部门，由一个主要负责的信息安全官和相关支持管理人员组成。在一些

单位里也可以由若干个部门分别承担信息安全管理职责，共同组成信

息安全管理机构。

3、信息安全执行机构

信息安全执行机构主要负责具体信息安全工作的执行和开展。一

般信息安全执行机构主要包括信息安全工程组织和信息安全运行组织

两大类的组织。

信息安全工程组织一般以项目小组的形式存在于单位中，由专门的信息安全开发和工程部门和相关工程人员组成。

信息安全工程组织主要负责的工作包括：

信息安全基础建设。这包括各项信息安全技术的实施，

如认证授权与访问控制系统的建设，信息安全运营中心的建设等

2) 信息安全管理项目实施。信息安全管理项目的实施也是

信息安全工程组织的重要工作之一，例如信息安全规划，信息资产识别与风险评估，信息安全标准与规范的制定等。

对于信息安全运行组织在单位中主要负责日常信息系统监控维护方

面的工作，并及时汇报日常运作中信息系统的安全情况。在单位中

信息安全运行组织一般是一个虚拟的机构，包括运行维护、监控和技术支持在内的专职或兼职的信息安全人员，通常会分散安排在单位的各个相关部门中，并统一向专门的信息安全运行管理人员汇报和负责。除此之外，专门的信息安全运营中心或是由外包商提供的监控服务也属于这一机构的范畴内。信息安全运行组织的主要职责可以概括如下：

a. 依照各项管理、标准与规范、指南与细则开展工作

提供各种安全服务以直接支持业务，包括监控、事件响

应、故障处理等

c. d.

将工作中的各种需求和重要事项汇报给信息安全管理机构接受管理机构和监督机构的监管、控制，并配合其开展工

作

4、信息安全监管机构

信息安全监管机构的主要职能是对单位内信息安全工作的开展情

况进行的审查和监督。它可以是单位的内部审计部门，也可以是

的外部第三方审计机构，其主要职责如下：

监督各项信息安全策略、标准与规范、指南与细则的执

行情况，检验信息安全管理机构和执行机构是否按照其开展工作

2) 检验信息安全管理机构和执行机构的工作效果，包括信

息安全项目审查、信息安全服务效果审查，总体信息安全情况评估和信息系统安全性评价等工作。

信息安全监管机构是针对 xxxxxx 信息安全管理机构和执行机构的工作进行监管，其审查监督的结果直接向信息安全决策机构或者单位的决策层进行汇报，为信息安全组织改进工作提供支持。

信息安全角色和职责

从根本上来说，信息安全是单位中每一个和信息系统相关或是能影响信息系统的安全情况的人员的职责。每个人，在单位的运行中，在不同岗位上都扮演着相应的角色。本部分将定义出单位中与信息安全工作相关的主要角色，并从总体上描述他们

所承担的职责。

在信息安全工作方面一直在进行讨论的一个基本问题就是“到底是谁的职责？”，在许多单位中对于信息安全相关职责仍停留在传统概念中，

认为信息安全是信息技术部门或仅仅是信息安全部门的职责，这

样给信息安全工作的开展带来了很大的困难。通过定义信息安全角色与职责，使单位中每个员工都能找到自己的位置，同时为以后具体岗位职责的定义打下了坚实的基础。

通常在单位中与信息安全相关的角色主要包括几下几种：

a.高层管理人员

b.信息安全管理人员

c.部门和项目管理者/应用所有者 d.技术提供、维护和支持人员 e.管理支持者 f.用户

由于各自的角色不同他们在信息安全方面也承担着不同的职责。

5.1.5.2 xxxxxx 信息安全规划组织架构和职责

四川省机关事务管理局信息安全组织架构

信息安全领导小组

信息管理部

信息安全专员

部门1 部门2 信息安全助理信息安全助理

部门n 信息安全助理

信息管理部负责人

信息安全专员

安全监控组

信息安全专员

安全审计组

安全监控中心

安全维护组

图表 13 信息安全组织架构示意图

5.1.5.3 信息安全领导小组

有管理领导层参加的信息安全领导小组，负责批准信息安全策略、分配安全责任并协调整个 xxxxxx 范围的安全策略实施，确保对安全管理和建设有一个明确的方向并得到管理层的实际支持。信息安全领导小组应通过合理的责任分配和有效的资源管理促进 xxxxxx 网络信息系统的安全。信息安全领导小组可以作为目前管理机构的一个组成部分。

信息安全领导小组有如下职责：

 就整个 xxxxxx 的信息安全的作用和责任达成一致；



 审查和批准信息安全策略以及总体责任；

 就信息安全的重要和原则性的方法、处理过程达成一致，并提

供支持。如风险评估、机密信息分类方法等；

 确保将安全作为制定业务建设和维护计划、内部信息系统建设

的一个部分；

 授权对安全控制措施是否完善进行评估，并协调新系统或新服

务的特定信息安全控制措施的实施情况； 审查重大的信息安全事故，并协调改进措施；

 审核信息安全建设和管理的重要活动，如重要安全项目建设、

重要的安全管理措施出台等。

 在整个组织中增加对信息安全工作支持的力度。

5.1.5.4 信息管理部

负责设计、建设安全管理体系，包括策略、组织和运作模式，并且进行宣贯和培训。

信息管理部有如下职责：

贯彻执行相关主管部门有关网络及信息安全管理方面的方针、及各项工作要求，在各网上落实网络及信息安全的各项工作。通过等级保护工作保持与机关的联系，接受和执行机关的监督和指导。

负责建立信息安全策略体系，制定网络及信息安全工作制度及管理流程，起草、制定网络及信息安全的技术规范、标准及策略，聘请外部专家对网络及信息安全工作制度及管理流程进行评审，组织在全网范围内的实施。

组织、协调内部各部门实施网络及信息安全工作。在单位内开展信息安全知识共享，建立有针对信息安全的知识共享的技术平台，促进内部交流与学习。定期组织内部人员或聘请外部单位，机关等进行全面安全检查，检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等；汇总安全检查数据，形成安全检查报告，并对安全检查结果在安全组织内召开会议进行通报。

将外部安全信息及知识及时发布给 xxxxxx 内部相关安全人员，将外部安全信息及知识及时发布到 xxxxxx 内部相关安全人员的共享

技术平台。

5.1.5.5 安全维护组

负责 xxxxxx 日常安全维护工作，包括信息安全专员和各部门信息安全助理。

安全维护组有如下职责：

执行有关信息安全问题的处理；

在日常维护中发现有安全问题，首先进行应急处理保证业务的连续性，然后通过提供安全事件报告的方式通知安全维护组相关人员，安全维护组人员在接到报告后，将和各专业组一起在保证业务正常运行的前提下解决安全问题，工作结束后，将由双方一起记录安全处理过程。

对重点主机系统的安全职责

1.至少每月进行一次安全漏洞扫描；

2.对主机系统和网络设备上的用户进行审核，发现可疑的用户账号时及时向系统管理员核实并作相应的处理；

对网络设备的安全职责

1.监督信息安全管理机构制订的网络设备用户账号的管理制度的实行，在发现有可疑的用户账号时向网络管理员进行核实并采取相应的措施；

2.根据业务保护要求，提出防火墙系统的部署方案，并制订相应的信息安全访问控制策略。

对数据库的安全职责

1.协同数据库管理员对对数据库系统进行安全配置，修补已发现的漏洞；

2.协同数据库管理员对于数据库安全事件处理，并分析安全事件原

因；

3.协同数据库管理员对于数据库安全事件进行处理，尽量减小安全事故和安全事件造成的损失，并从中吸取教训；

验证数据备份策略的有效性，对数据恢复过程进行试验，确保在发生安全问题时能够从数据备份中进行恢复；监督数据库管理员对重要数据的备份工作，对于重要数据的备份，必须每个月做一次检查，确保备份的内容和周期以及备份介质的保存符合有关的规定；

安全审计组

对用户的各种行为进行审计，对安全监控中心的各项监控、处理和维护工作进行审计。

安全审计组有如下职责：

依赖安全运行管理平台以及各种安全审计产品对管理网的用户行为进行审计。

对安全监控中心的各项监控、处理和维护工作进行审计。

5.1.5.6 安全监控中心

可利用 xxxxxx 现有的安全信息管理平台，对网络进行全面的安全监控。

安全监控中心有如下职责：

查看安全运行管理平台的各种告警，做出处理判断，并编制下发工单。

定期查看信息安全站点的安全公告，跟踪和研究各种信息安全漏

洞和攻击手段，在发现可能影响信息安全的安全漏洞和攻击手段时，及时做出相应的对策，通知并指导系统管理员进行安全防范。跟踪信息系

统系统中使用的操作系统和通用应用系统最新版本和安全补

丁程序的发布情况，在发现有新版本或者安全补丁出现发布时，通知并指导系统管理员进行升级或打补丁。

根据信息管理部提出的安全标准，对主机系统上开放的网络服务和端口进行检查，发现不需要开放的网络服务和端口时及时通知系统管理员进行关闭；

定期对主机的网络服务进行全面安全检测，在发现安全设置不当或存在安全漏洞时及时通知系统管理员进行修补；

根据安全管理机构规定的周期和时间，对网络设备进行全面信息安全扫描，发现安全网络设备上存在的异常开放的网络服务或者开放的网络服务存在安全漏洞时及时通知网络管理员采取相应的措施。

5.1.5.7

安全管理制度规划

根据等级保护基本要求对管理制度建设的要求，结合 xxxxxx 的安全组织架构体系及实际工作情况，对安全策略体系进行规划。

体系包括确定 xxxxxx 信息安全愿景和使命的信息安全总体目标

《xxxxxx 信息安全方针》，确定 xxxxxx 信息安全工作要求和指标的总

体框架《xxxxxx 信息安全体系框架》，约束和指导 xxxxxx 各层人员信

息安全工作的规章制度、管理办法和工作流程，规范 xxxxxx 系统、网

络和安全管理员进行安全操作的技术标准和规范。文档结构如下图所

示：

图表 14 安全管理制度规划示意图

信息安全方针是纲领性的安全策略主文档，阐述了安全策略的目的、适用范围、信息安全目标、信息安全的管理意图等，是信息安全

各个方面所应遵守的原则方法和指导性策略。是安全方面工作的最高

指导文件。《xxxxxx 信息安全工作管理办法》是本策略的直接体现。

5.1.5.8 安全管理制度梳理服务

以信息系统安全等级保护管理要求为依据，结合 xxxxxx 自身管理要求，对现有的安全管理制度进行梳理，帮助客户完善安全管理制度。

安全管理制度是安全管理体系的核心，依据国家等级保护的要求，分五个步骤（落实安全责任、管理现状分析、制定安全策略和制度、落实安全管理措施、安全自检与调整）落实安全管理制度。

落实信息安全责任制

明确领导机构和责任部门，包括设立或明确信息安全领导机构，明确主管领导，落实责任部门。建立岗位和人员管理制度，根据责任分工，分别设置安全管理机构和岗位，明确每个岗位的责任和人文，落实安全管理责任制。

信息系统安全管理现状分析

通过开展信息系统安全管理现状分析，查找信息系统安全管理建设整改需要解决的问题，明确信息系统安全管理建设整改的需求。

依据等级保护基本要求的标准，采取对照检查、风险评估、等级测

评等方法，分析判断目前采取的安全管理措施与等级保护标准要求

之间的差距，分析系统已发生的时间或事故，分析安全管理方面存在的问题，形成安全管理建设整改的需求并论证。

制定安全管理策略和制度

根据安全管理需求，确定安全管理目标和安全策略，针对信息系统的各类管理活动，制定人员安全管理制度，明确人员录用、离岗、考核、培训等管理内容；制定系统建设管理制度，明确系统定级备案、方案设计、产品采购使用、密码使用、软件开发、工程实施、验收交付、等级测评、安全服务等管理内容；制定系统运维管理制度，明确机房环境安全、存储介质安全、设备设施安全、安全监控、恶意代码防范、备份与恢复、应急预案等管理内容；制度定期检查制度，明确检查内容、方法、要求等，检查各项制度、措施的落实情况，并不断完善。规范安全管理人员或操作人员的操作规程等，形成安全管理制度体系。

安全管理制度体系组成：

安全管理制度体系安全管理方针和安全策略

面向中高层管理

层

各类安全管理制度面向安全管理人员

各类安全操作规程面向安全技术人员各类操作记录表格面向一线运维人员

落实安全管理措施

人员安全管理：包括人员录入、离岗、考核、教育培训等内容。规范人员录用、离岗、过程、管家岗位签署保密协议；对各类人员进行安全意识教育、岗位技能培训；对关键岗位进行全面的严格的审查和技能考核；对外部人员允许访问的区域、系统、设备、信息等进行控制。

系统运维管理：落实环境和资产安全管理、设备和介质安全管理、日常运行维护、集中安全管理、时间处置与应急响应、灾难备份、实时监测、其他安全管理

系统建设管理：系统建设管理的重点是与系统建设活动相关的过程管理。由于主要的建设活动是由服务方（如集成方、开发方、测评方、安全服务方）完成的，运营使用单位人员的主要工作是对其进行管理，应此，应制定系统建设相关的管理制度。

安全自查与调整

制定安全检查制度，明确检查的内容、方式、要求等，检查各项制度、措施的落实情况并不不断完善。

信息系统安全管理建设工作流程

编号流程 1 明确主管领导、落实责任部门 2 落实安全岗位和人员 3 信息系统安全管理现状分析 4 确定安全管理策略和安全管理制度 5 落实安全管理措施系统运维管理环境和资产管理人员安全管设备和介质管理事件处理和应急响应灾难备份理系统建设管 6 理日常运行维护安全监测集中安全管理其他

安全运维管理

安全自查和调整服务流程

1)确定客户信息系统安全保护等级；

2)收集客户现有安全管理制度；

3)按照等级保护安全管理制度的建设步骤，梳理现有安全管理制度，输出《安全管理制度建议报告》；

4)依据《安全管理制度建议报告》，完善客户安全管理制度，细化各项操作流程、规范、表单；

服务方式

现场服务

服务周期

单次服务

交付文档

《信息安全管理制度》

5.1.6 安全加固服务

安全加固服务是加强网络信息系统安全性，对抗安全攻击而采取的一系列措施。本次安全加固服务是对 xxxxxx 整体网络建设（合同约定时间内）提供的一系列安全服务。目的是全面提高信息系统的整体安全保护水平。包含但不限于以下内容：信息安全风险评估、渗透测试、安全加固等。

5 .1.6.1 信息安全风险评估

本次安全风险评估服务时，主要采用的风险评估模型如图-风

险评估模型所示：

安全风险评估中要涉及资产、威胁、脆弱性三个基本要素。每个要素有各自的属性，资产的属性是资产价值；威胁的属性可以是威胁主体、影响对象、出现频率、动机等；脆弱性的属性是资产弱点的严重程度。风险分析的主要内容为：

（1）对资产进行识别，并对资产的价值进行赋值；

（2）对威胁进行识别，描述威胁的属性，并对威胁出现的频率赋值；

（3）对脆弱性进行识别，并对具体资产的脆弱性的严重程度赋

值；

（4）根据威胁及威胁利用脆弱性的难易程度判断安全事件发生的可能性；

（5）根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件的损失；

（6）根据安全事件发生的可能性以及安全事件出现后的损失，计算安全事件一旦发生对组织的影响，即风险值。

5.1.6.2 风险评估服务内容

本次安全风险评估主要针对 xxxxxx 的各业务应用服务器、数据库、网络安全进行安全评估，获得应用服务器、数据库、网络的安全风险情况。

5.1.6.3 主机安全评估服务

概述：

主机安全评估的对象包含计算机硬件系统、操作系统及其附带的软件系统（如微软的 IIS）；主机安全评估不包含非附属于操作系统的软件产品（如微软的 SQL SERVER）的安全评估。

主机安全包括：



 服务器； 客户端。服务内容描述：

主机安全评估服务的具体内容包含：



 用户安全

 控制台安全 用户许可权限 口令安全管理 帐户锁定设置选项 帐号安全管理 系统安全

 系统日志 受信主机安全 安全终端设置



 系统文件完整性及存取许可安全 SUID/SGID 许可程序安全 文件系统安全特性 审计策略 信任域的管理 网络服务安全

 FTP 服务器安全 邮件系统安全 Finger 服务安全 X window 安全 HTTP 服务器安全 RPC 服务安全 DNS 服务安全 共享服务安全 Proxy 服务安全 其它

主机安全服务涉及到 BIOS、操作系统的基本配置文件、系统注

册表、操作系统附带应用的配置文件，以及补丁等多个方面。

主机的评估主要从补丁管理、最小服务原则、最大安全性原则、用户管理、口令管理、日志安全管理以及入侵管理七个方面进行归类

处理。

方法：

工具扫描部分从制定扫描方案开始。首先确定扫描内容，扫描工具和扫描方法。由于一些扫描对系统可能造成影响，因此要进行扫描代价分析（Scanning cost analysis），提供书面的扫描代价分析报告，并提供紧急处理和恢复措施；通过和客户交流和协商，确定扫描方案。用户确认后，开始进行实际扫描，以发现系统安全漏洞。扫描后，工程师将向用户提供一份双方都认可的系统安全审计报告。

人工分析部分由安全专家通过对客户业务应用情况，主机情况的了解来进行。

5.1.6.4 数据库安全评估

概述：完整，全面发现本项目范围内系统数据库的漏洞和安全隐

患

服务内容描述：



 数据库用户名和密码管理

 用户权限设置 密码策略设置



 冗余账号的管理 数据库访问控制

 访问 IP 地址的控制 通讯安全配置 登录认证方式 数据的安全

 敏感信息的存储方式 数据库备份 数据库存储介质安全 传输加密 安全漏洞检查 补丁管理 数据库的安全审计

 登录日志审计 操作日志审计方法：

考虑到数据库的重要性，数据库评估以人工分析为主，人工分析

由安全专家凭据丰富的经验和对客户业务应用情况的了解来进行。工

具扫描主要是配合人工分析检查数据库的系统弱口令、安全漏洞等弱点。

5.1.6.5 网络安全评估

概述：

指对网络中已知或潜在的安全风险、安全隐患，进行探测、识别、控制、消除的全过程。

服务内容描述：



 IT 资产 网络架构 网络脆弱性 数据流 应用系统、 终端主机 物理安全 管理安全方法：

针对网络部分涵盖面多、杂，网络安全评估以人工与工具结合的

方式，由安全专家凭据丰富的经验、工具的检测情况和对客户的实际

网络情况的了解来进行。工具扫描主要是配合人工分析检查网络的数据流、网络的脆弱性等弱点。

5.1.6.6 渗透测试

渗透测试能够通过识别现有信息系统中的安全问题来帮助 xxxxxx

了解当前的信息系统安全状况，并以此做针对性的防护措施。全面提

升 xxxxxx 整体网络的安全防护能力，最大程度的减小安全隐患。

渗透测试是一种利用模拟黑客攻击的方式，来评估计算机网络系统安全性能的方法。本次渗透测试服务的主要内容是 WEB 应用漏洞和其他漏洞扫描和一些信息收集。并以渗透测试结果出具渗透测试报告。

5.1.6.7 安全加固

安全加固是对信息系统中的主机系统（包括主机所运行的应用系

统）与网络设备、安全设备的脆弱性进行分析并修补。另外，安全加

固也包括了对主机的身份鉴别与认证、访问控制和审计跟踪策略的增

强。

安全加固是配置软件系统的过程，针对服务器操作系统、数据库

及应用中间件等软件系统，堵塞漏洞“”后门“”，合理进行安全性加强，

提高其健壮性和安全性，增加攻击者入侵的难度，信息系统安全防范

水平得到大幅提升。

本次针对 xxxxxx 的安全加固服务包含但不仅限于以下内容：  Mysql 数据库加固 服务器系统加固 操作系统加固 网络安全加固 应用服务加固

 网络设备、安全设备加固



5.1.7 应急预案和应急演练

委派专家为 xxxxxx 梳理和制定信息安全突发事件应急预案，委派工程师配合 xxxxxx 做攻防应急演。

5.1.8 安全等保认证协助服务

依据 GB/T 22239-2008《信息安全技术信息系统安全等级保护基

本要求》从安全技术和安全管理两个层面，对客户信息系统进行差距

评估，评估方式包含文档查阅、顾问访谈、现场勘察、漏洞检测、配

置审计、渗透测试等专业技术手段，发现客户信息系统的安全现状与

相应安全等级存在的差距，明确客户在安全技术和安全管理两个层面

应采取的改进措施。

5.2 工程二期建设

5.2.1 安全运维管理平台（soc）

部署作用

帮助用户从监控、审计、风险和运维四个维度建立起来的一套可

度量的统一业务支撑平台，使得各种用户能够对业务信息系统进行可

用性与性能的监控、配置与事件的分析审计预警、风险与态势的度量

与评估、安全运维流程的标准化、例行化和常态化，最终实现业务信

息系统的持续安全运营。

部署拓扑与说明

按照 xxxxxx 信息安全建设整体安全规划，审计要遵循全网统一的

安全规范进行建设，因此，xxxxxx 内网的安全运维管理平台（soc）部

署在安全管理区

产品功能描述

1.面向业务的统一安全管理

系统内置业务建模工具，用户可以构建业务拓扑，反映业务支撑

系统的资产构成，并自动构建业务健康指标体系，从业务的性能与可

用性、业务的脆弱性和业务的威胁三个维度计算业务的健康度，协助用户从业务的角度去分析业务可用性、业务安全事件和业务告警。

2.全面的日志采集

可以通过多种方式来收集设备和业务系统的日志，例如 Syslog、

SNMP Trap、FTP、OPSEC LEA、NETBIOS、ODBC、WMI、Shell

脚本、Web Service 等等。

3.智能化安全事件关联分析

借助先进的智能事件关联分析引擎，系统能够实时不间断地对所有范式化后的日志流进行安全事件关联分析。系统为安全分析师提供

了三种事件关联分析技术，分别是：基于规则的关联分析、基于情境

的关联分析和基于行为的关联分析，并提供了丰富的可视化安全事件

分析视图，充分提升分析效率，结合威胁情报，更好的帮助安全分析

师发现安全问题。

4.全面的脆弱性管理

系统实现与天镜漏扫、网御漏扫和绿盟漏扫系统的实时高效联动，内置安全配置核查功能，从技术和管理两个维度进行全面的资产和业务脆弱性管控。

5.主动化的预警管理

用户可以通过预警管理功能发布内部及外部的早期预警信息，并与网络中的 IP 资产进行关联，分析出可能受影响的资产，提前让用户了解业务系统可能遭受的攻击和潜在的安全隐患。系统支持内部预警和外部预警；预警类型包括安全通告、攻击预警、漏洞预警和病毒预警等；预警信息包括预备预警、正式预警和归档预警三个状态。

6.主动化的网络威胁情报利用

系统提供主动化的威胁情报采集，通过采集实时威胁情报，结合

规则关联和观察列表等分析方式，使安全管理人员及时发现来自已发

现的外部攻击源的威胁。

7.基于风险矩阵的量化安全风险评估

系统参照 GB/T 20984-2007 信息安全风险评估规范、ISO 27005:2008 信息安全风险管理，以及 OWASP 威胁建模项目中风险计算模型的要求，设计了一套实用化的风险计算模型，实现了量化的安全风险估算和评估。

8.指标化宏观态势感知

针对系统收集到的海量安全事件，系统借助地址熵分析、热点分

析、威胁态势分析、KPI 分析等数据挖掘技术，帮助管理员从宏观层

面把握整体安全态势，对重大威胁进行识别、定位、预测和跟踪。

9.多样的安全响应管理

系统具备完善的响应管理功能，能够根据用户设定的各种触发条件，通过多种方式（例如邮件、短信、声音、SNMP Trap、即时消息、工单等）通知用户，并触发响应处理流程，直至跟踪到问题处理完毕，从而实现安全事件的闭环管理。

10.丰富灵活的报表报告

出具报表报告是安全管理平台的重要用途，系统内置了丰富的报表模板，包括统计报表、明细报表、综合审计报告，审计人员可以根据需要生成不同的报表。系统内置报表生成调度器，可以定时自动生成日报、周报、月报、季报、年报，并支持以邮件等方式自动投递，支持以 PDF、Excel、Word 等格式导出，支持打印。

系统还内置了一套报表编辑器，用户可以自行设计报表，包括报表的页面版式、统计内容、显示风格等。

11.流安全分析

除了采集各类安全事件，系统还能够采集形如 NetFlow 的流量数据并进行可视化展示。针对采集来的 NetFlow 流量数据的分析，系统

能够建立网络流量模型，通过泰合特有的基于流量基线的分析算法，

发现网络异常行为。

12.知识管理

系统具有国内完善的安全管理知识库系统，内容涵盖安全事件

库、安全策略库、安全公告库、预警信息库、漏洞库、关联规则库、

处理预案库、案例库、报表库等，并提供定期或者不定期的知识库升级服务。

13.用户管理

系统采用三权分立的管理，默认设置了用户管理员、系统管

理员、审计管理员分别管理。系统用户管理采用基于角色的访问控制

策略，即依据对系统中角色行为来对资源的访问。

14.自身系统管理

实现了系统自身安全及维护管理。主要包括组织管理、系统数据库及功能组件运行状态监控、日志维护及其他一些与系统本身相关的

运行维护的管理和配置功能。

15.一体化的安全管控界面

系统提供了强大的一体化安全管控功能界面，为不同层级的用户提供了多视角、多层次的管理视图。

5.2.2 APT 高级威胁分析平台

部署作用

传统的基于特征库的被动防御体系已经无法满足当今快速发展的

网络安全形势，致使那些零日攻击成功穿透 IPS/IDS、防火墙等安全设

备层层防御，并屡屡得手。APT 系统为客户提供了“高级威胁分析平

台”，为用户单位提供对“复合型攻击” 和“未知威胁” 的安全把控能力，并深度挖掘隐藏在网络中的黑客攻击行为，保障业务安全

部署拓扑与说明

基于旁路监听部署方式，不影响现有网络结构；

按照 xxxxxx 信息安全建设整体安全规划，安全管理要遵循全网统一的安全规范进行建设，因此，xxxxxx 内网的 APT 高级威胁分析平台部署在安全管理区

产品功能描述

1.对网络流量实时采集和监控，并对网络流量进行深度协议分析，

及时发现攻击；

2.动态行为检测引擎和静态特征检测引擎相结合，能够有效检测已知威胁和未知威胁；

3.专业化的 Web 攻击检测引擎，全面检测和分析各种 Web 攻击行为；

4.漏洞感知，能在黑客利用攻击时，同步感知各种漏洞；

5.基于大数据分析技术，通过全流量数据存储对历史数据进行回溯

分析，从而快速发现和定位潜伏的安全威胁；

6.具有攻击关联分析能力，能够对检测结果进行归纳分析和统计，为用户决策提供直观、有效、可靠的数据依据；

7.双向分析即时数据及历史数据，检测各种碎片化、持续性的攻击手段，提高系统的检出率和准确度；

8.提供威胁可视化展示，实时了解和掌握网络威胁状况；

9.便于管理，详细记录攻击行为日志，并提供直观的统计报表，

方便用户随时查询与分析。

5.3 产品清单

图表 15 产品清单表

第六章方案预算

图表 16 方案预算表

第七章方案预估效果

xxxxxx 外息安全建设整体规划是根据对现有信息系统的安全评估和需求分析的结果，并参考国内等级保护相关法规、标准和最佳实践。因此，信息安全保障体系的整体框架的实现，能够保证 xxxxxx

信息系统的安全性和安全方面的合规性，以完善技术体系、管理体系达到宾县人民 xxxxxx 相关业务信息系统三级等保为主要目标。

7.1 工程预期效果

通过信息安全等级保护工程的建设，可以达到以下效果，包括： 1、对机房的按照三级等保要求查漏补缺，并根据不同应用服务器特点，划分不同的功能区，并根据不同的资产理清线路，贴好标签，从而作到机房管理一目了然；

2、通过网络安全设备防火墙、IPS 和终端管理软件的部署，能够实现 xxxxxx 内网横向、纵向所有边界的访问控制、入侵检测和防御、抗 DDoS 攻击、恶意代码防护等；

3、通过终端安全管理软件和技术手段的部署落实，可以实现基于

MAC 的准入控制、IP 实名认证、主机的安全防护和管理；

4、通过综合日志审计设备和数据库审计设备、堡垒机，能够组成对全网完善安全审计体系；能够对整体网络做到一个事前、事中、事后的全方位审计。

5、通过堡垒主机的部署，能够对全网设备，包括网络设备、安全设备、服务器和应用等进行统一帐号管理和分配，从而收回之前分散的管理员帐号密码，并能实现单点登陆和操作审计；

6、通过等保测评和安全服务，找出目前的安全差距，并进行实时

修补。

祝语 :要想成为一个内心强大的人，需要具备至少以下六大品质特征：1）高度自律和自黑；2）必须经历绝望；3）培养独处的能力；4）不设限的思考；5）需要一个信仰；6）BE YOURSELF（做自己）。

因篇幅问题不能全部显示，请点此查看更多更全内容

查看全文