1、信用信息體系平臺建設(shè)安全設(shè)計方案 1.1.安全體系總體設(shè)計安全系統(tǒng)建設(shè)的原則，一是必須符合國家電子政務(wù)安全 規(guī)劃及國家的其他相關(guān)規(guī)定，二是要從平臺實際工作需求出 發(fā)，建設(shè)既符合要求又滿足實際需求的安全系統(tǒng)。安全系統(tǒng)建設(shè)的重點是，確保信息的安全，確保業(yè)務(wù)應(yīng) 用過程的安全防護、身份識別和管理。安全系統(tǒng)建設(shè)的任務(wù)， 需從技術(shù)和管理兩個方面進行安全系統(tǒng)的建設(shè)基本技術(shù)要 求從物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全和數(shù)據(jù)安全 幾個層面提出；基本管理要求從安全管理制度、人員安全管 理、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理幾個方面提出，基本技術(shù) 要求和基本管理要求是確保信息系統(tǒng)安全不可分割的兩個 部分。系統(tǒng)安全體系應(yīng)用

2、安全 ' 全係統(tǒng)安全 措（物理安全安全策略安全標(biāo)準、規(guī)范安 全 制 度 管 理數(shù)據(jù)安全：數(shù)據(jù)備份、數(shù)據(jù)庫安全策略本項目安全體系結(jié)構(gòu)如下圖所示應(yīng)用安全：應(yīng)用系統(tǒng)安全、PKI/CA認|證系統(tǒng)安全：操作系統(tǒng)安全策略、防病毒 軟件網(wǎng)絡(luò)安全：網(wǎng)絡(luò)邊界安全、防火墻 物理安全：環(huán)境建設(shè)、設(shè)備冗余、. '安全管理：安全管理制度、人員安全管 理、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理安全體系結(jié)構(gòu)圖信息系統(tǒng)根據(jù)其在國家安全、經(jīng)濟建設(shè)、社會生活中的重要程度，遭到破壞后對國家安全、社會秩序、公共利益以 及公民、法人和其他組織的合法權(quán)益的危害程度等，由低到 高劃分為五級。根據(jù)等級保護相關(guān)管理文件，本項目安全等級建議

3、定級 為第二級。1.2.技術(shù)目標(biāo)從安全體系上考慮，實現(xiàn)多種安全技術(shù)或措施的有機整 合，形成一個整體、動態(tài)、實時、互動的有機防護體系。具 體包括：1）本地計算機安全：主機系統(tǒng)文件、主機系統(tǒng)的配置、 數(shù)據(jù)結(jié)構(gòu)、業(yè)務(wù)原始數(shù)據(jù)等的保護。2）網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全：網(wǎng)絡(luò)系統(tǒng)安全配置、網(wǎng)絡(luò)系統(tǒng)的 非法進入和傳輸數(shù)據(jù)的非法竊取和盜用。3）邊界安全：橫向網(wǎng)絡(luò)接入邊界，內(nèi)部局域網(wǎng)不同安全 域或子網(wǎng)邊界的保護。4）業(yè)務(wù)應(yīng)用安全：業(yè)務(wù)系統(tǒng)的安全主要是針對應(yīng)用層部 分。應(yīng)用軟件的設(shè)計是與其業(yè)務(wù)應(yīng)用模式分不開的，同時也是建立在網(wǎng)絡(luò)、主機和數(shù)據(jù)庫系統(tǒng)基礎(chǔ)之上的， 因此業(yè)務(wù)部分的軟件分發(fā)、用戶管理、權(quán)限管理、終 端設(shè)備管理需要充

4、分利用相關(guān)的安全技術(shù)和良好的安 全管理機制。1.3.管理目標(biāo)安全建設(shè)管理目標(biāo)就是根據(jù)覆蓋信息系統(tǒng)生命周期的 各階段管理域來建立完善的信息安全管理體系，從而在實現(xiàn) 信息能夠充分共享的基礎(chǔ)上，保障信息及其他資產(chǎn)，保證業(yè) 務(wù)的持續(xù)性并使業(yè)務(wù)的損失最小化，具體的目標(biāo)如下：1）定期對局域網(wǎng)網(wǎng)絡(luò)設(shè)備及服務(wù)器設(shè)備進行安全隱患的 檢查，確保所有運行的網(wǎng)絡(luò)設(shè)備和服務(wù)器的操作系統(tǒng) 安裝了最新補丁或修正程序，確保所有網(wǎng)絡(luò)設(shè)備及服 務(wù)器設(shè)備的配置安全。2）提供全面風(fēng)險評估、安全加固、安全通告、日常安全 維護、安全應(yīng)急響應(yīng)及安全培訓(xùn)服務(wù)。3）對已有的安全制度，進行更加全面的補充和完善。4）應(yīng)明確需要定期修訂的安全管理制

5、度，并指定負責(zé)人 或負責(zé)部門負責(zé)制度的日常維護。5）應(yīng)委托公正的第三方測試單位對系統(tǒng)進行安全性測試，并出具安全性測試報告。6）應(yīng)通過第三方工程監(jiān)理控制項目的實施過程。1.4.安全技術(shù)方案1.4.1. 網(wǎng)絡(luò)與邊界安全網(wǎng)絡(luò)安全是指通過各種手段保證網(wǎng)絡(luò)免受攻擊或是非法訪問，以保證網(wǎng)絡(luò)的正常運行和傳輸?shù)陌踩?、防火墻通過防火墻進行缺省路由巡徑、內(nèi)部私有地址轉(zhuǎn)換和公眾服務(wù)靜態(tài)地址映射，開啟2-3層安全防護功能，完成Internet 基礎(chǔ)安全接入，實現(xiàn)互聯(lián)網(wǎng)接入域的合法接入控制、內(nèi)容過 濾、傳輸安全需求。2、安全隔離網(wǎng)閘布置安全隔離網(wǎng)閘，實現(xiàn)網(wǎng)間有效的數(shù)據(jù)交換。3、網(wǎng)絡(luò)基礎(chǔ)設(shè)施的可用性本項目政務(wù)網(wǎng)核心交

6、換機、政務(wù)網(wǎng)邊界防火墻采用主備冗余設(shè)計，以保證業(yè)務(wù)信息的可靠傳輸。1.4.2. 主機系統(tǒng)安全1、操作系統(tǒng)安全策略及時檢測、發(fā)現(xiàn)操作系統(tǒng)存在的安全漏洞；對發(fā)現(xiàn)的操作系統(tǒng)安全漏洞做出及時、正確的處理； 及時給系統(tǒng)打補丁，系統(tǒng)內(nèi)部的相互調(diào)用不對外公開;通過配備安全掃描系統(tǒng)對操作系統(tǒng)進行安全掃描，發(fā)現(xiàn) 其中存在的安全漏洞，并有針對性地對網(wǎng)絡(luò)設(shè)備進行重新配 置或升級。2、網(wǎng)絡(luò)防病毒建立完善的病毒防護管理體系，負責(zé)病毒軟件的自動分 發(fā)、自動升級、集中配置和管理、統(tǒng)一事件和告警處理。通 過統(tǒng)一的管理服務(wù)器管理所有的病毒防護產(chǎn)品，包括防病 毒、防病毒網(wǎng)關(guān)、防垃圾郵件、防木馬程序、主機入侵防護。 對網(wǎng)絡(luò)內(nèi)的應(yīng)用

7、服務(wù)器進行全面防護，從而切斷病毒在服務(wù) 器內(nèi)的寄生和傳播。對所有的客戶機進行全面防護，徹底消 除病毒對客戶機的破壞，保證全網(wǎng)安全。1.43應(yīng)用安全1、應(yīng)用系統(tǒng)訪問控制控制不同用戶在不同數(shù)據(jù)、不同業(yè)務(wù)環(huán)節(jié)上的查詢、添加、修改、刪除的權(quán)限，提供面向 URL的控制能力，提供 面向Service的控制能力，提供面向 IP的控制能力，提供 Session的超時控制。限制登錄失敗次數(shù)：限制客戶在可配置的時間長度內(nèi)登 錄失敗的次數(shù)，避免客戶密碼遭到竊取。2、數(shù)據(jù)庫系統(tǒng)安全首先，通過系統(tǒng)權(quán)限、數(shù)據(jù)權(quán)限、角色權(quán)限管理建立數(shù) 據(jù)庫系統(tǒng)的權(quán)限控制機制，任何業(yè)務(wù)終端禁止直接訪問數(shù)據(jù) 庫服務(wù)器，只能夠通過 Web服務(wù)器

8、或接口服務(wù)器進行訪問數(shù) 據(jù)庫服務(wù)器，并設(shè)置嚴格的數(shù)據(jù)庫訪問權(quán)限。其次，建立完備的數(shù)據(jù)修改日志，通過安全審計記錄和 跟蹤用戶對數(shù)據(jù)庫的操作，明確對數(shù)據(jù)庫的安全責(zé)任。3、身份認證系統(tǒng)建立基于PKI/CA的安全基礎(chǔ)設(shè)施。通過信息加密、數(shù) 字簽名、身份認證等措施綜合解決信息的機密性、完整性、 身份真實性和操作的不可否認性問題。本項目能集成CA方式認證。144.數(shù)據(jù)安全數(shù)據(jù)安全主要是采用備份的方式實現(xiàn)。對于應(yīng)用軟件及系統(tǒng)軟件的備份恢復(fù)，由于應(yīng)用及系統(tǒng) 軟件穩(wěn)定性較高，可采用一次性的全備份，以防止當(dāng)系統(tǒng)遭 到任何程度的破壞，都可以方便快速地將原來的系統(tǒng)恢復(fù)出 來。對于數(shù)據(jù)的備份，由于數(shù)據(jù)的不穩(wěn)定性，可分別

9、采用定 期全備份、差分備份、按需備份和增量備份的策略，來保證 數(shù)據(jù)的安全。配置數(shù)據(jù)備份系統(tǒng)，以實現(xiàn)本地關(guān)鍵系統(tǒng)和重要數(shù)據(jù)的備份本項目應(yīng)實現(xiàn)對應(yīng)用系統(tǒng)和業(yè)務(wù)數(shù)據(jù)庫的備份。本項目配備網(wǎng)頁防篡改軟件，通過在網(wǎng)頁被訪問時進行 完整性檢查，杜絕網(wǎng)站向外發(fā)送被篡改的頁面內(nèi)容；配備一 套數(shù)據(jù)安全防護軟件，用于數(shù)據(jù)加密，確保系統(tǒng)生產(chǎn)數(shù)據(jù)的 安全。145.防火墻設(shè)計（1）防火墻部署建議控制大型網(wǎng)絡(luò)的安全的一種方法就是把網(wǎng)絡(luò)化分成單 獨的邏輯網(wǎng)絡(luò)域，如組織內(nèi)部的網(wǎng)絡(luò)域和外部網(wǎng)絡(luò)域，每一 個網(wǎng)絡(luò)域由所定義的安全邊界來保護。這種邊界的實施可通 過在相連的兩個網(wǎng)絡(luò)之間安全網(wǎng)關(guān)來控制其間訪問和信息 流。網(wǎng)關(guān)要經(jīng)過配置，以

10、過濾區(qū)域之間的通信量和根據(jù)組織 的訪問控制方針來堵塞未授權(quán)訪問。這種網(wǎng)關(guān)的一個典型應(yīng) 用就是通常所說的防火墻。（2）防火墻部署作用防火墻技術(shù)是目前網(wǎng)絡(luò)邊界保護最有效也是最常見的 技術(shù)。采用防火墻技術(shù)，對重要節(jié)點和網(wǎng)段進行邊界保護， 可以對所有流經(jīng)防火墻的數(shù)據(jù)包按照嚴格的安全規(guī)則進行 過濾，將所有不安全的或不符合安全規(guī)則的數(shù)據(jù)包屏蔽，防 范各類攻擊行為，杜絕越權(quán)訪問，防止非法攻擊，抵御可能的DOS和DDOS攻擊。通過合理布局，形成多級的縱深防 御體系。通過防火墻的部署，實現(xiàn)基于數(shù)據(jù)包的源地址、目的地址、通信協(xié)議、端口、流量、用戶、通信時間等信息，執(zhí)行 嚴格的訪問控制。并將互聯(lián)網(wǎng)服務(wù)區(qū)通過單獨的防

11、火墻接口 形成獨立安全域進行隔離。而安全管理區(qū)集中了對安全管理和網(wǎng)絡(luò)管理的服務(wù)器，這些服務(wù)器可以集中的管理整個數(shù)據(jù)中心的網(wǎng)絡(luò)及安全設(shè) 備，因此需要高度的防護。通常，這些安全域只有授權(quán)的管 理員可以訪問，其他的訪問請求，需要被阻斷。在此邊界部 署防火墻可以對改區(qū)域進行嚴格的訪問控制，防止非授權(quán)用 戶訪問，阻斷可能發(fā)生的入侵與攻擊行為。采用防火墻實現(xiàn)以下的安全策略：安全域隔離：實現(xiàn)服務(wù)器區(qū)域與辦公網(wǎng)絡(luò)區(qū)域之間的邏輯隔離?；蛘咄ㄟ^防火墻提供多個端口，實現(xiàn)服務(wù)器A區(qū)域與服務(wù)器B區(qū)域、辦公網(wǎng)絡(luò)區(qū)域等多區(qū)域的邏輯隔離。訪問控制策略：防火墻工作在不同安全區(qū)域之間，對各 個安全區(qū)域之間流轉(zhuǎn)的數(shù)據(jù)進行深度分析，

12、依據(jù)數(shù)據(jù)包的源 地址、目的地址、通信協(xié)議、端口、流量、用戶、通信時間 等信息，進行判斷，確定是否存在非法或違規(guī)的操作，并進行阻斷，從而有效保障了各個重要的計算環(huán)境；地址轉(zhuǎn)換策略：針對核心的應(yīng)用服務(wù)器區(qū)域，部署的防 火墻將采取地址轉(zhuǎn)換策略，將來自內(nèi)網(wǎng)用戶的直接訪問變?yōu)?間接訪問，更有效的保護了應(yīng)用服務(wù)器；應(yīng)用控制策略：在防火墻上執(zhí)行內(nèi)容過濾策略，實現(xiàn)對 應(yīng)用層 HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級 的控制，從而提供給系統(tǒng)更精準的安全性；會話監(jiān)控策略：在防火墻配置會話監(jiān)控策略，當(dāng)會話處 于非活躍一定時間或會話結(jié)束后，防火墻自動將會話丟棄， 訪問來源必須重新建立會話才能繼續(xù)

13、訪問資源；會話限制策略：對于二級信息系統(tǒng)，從維護系統(tǒng)可用性 的角度必須限制會話數(shù)，來保障服務(wù)的有效性，防火墻可對 保護的應(yīng)用服務(wù)器采取會話限制策略，當(dāng)服務(wù)器接受的連接 數(shù)接近或達到閥值時，防火墻自動阻斷其他的訪問連接請 求，避免服務(wù)器接到過多的訪問而崩潰；地址綁定策略：對于二級系統(tǒng)，必須采取IP+MAC地址 綁定技術(shù)，從而有效防止地址欺騙攻擊，同時采取地址綁定 策略后，還應(yīng)當(dāng)在各個二級計算環(huán)境的交換機上綁定MAC，防止攻擊者私自將終端設(shè)備接入二級計算環(huán)境進行破壞；日志審計策略：防火墻詳細記錄了訪問日志，可提供給 網(wǎng)絡(luò)管理人員進行分析。1.46 WEB入侵防護設(shè)計(1) WEB入侵防護部署建議政

14、府單位為了提供便民服務(wù)，為了實現(xiàn)各種電子政務(wù)應(yīng) 用，必須將一部分原來在內(nèi)網(wǎng)的數(shù)據(jù)信息面對公網(wǎng)，面對外 單位企業(yè)網(wǎng)絡(luò)，本方案的商事主體公眾服務(wù)平臺WEB應(yīng)用服務(wù)器部署于DMZ區(qū)域，對公眾公布相關(guān)社會信用信息。盡管商事主體公眾服務(wù)平臺 WEB應(yīng)用服務(wù)器已受到防 火墻的安全防護，但來自互聯(lián)網(wǎng)的病毒、木馬、蠕蟲應(yīng)用層 攻擊很容易會沖破防火墻的防線，對WEB應(yīng)用服務(wù)器帶來威脅，如網(wǎng)頁篡改，SQL注入等等，為提升網(wǎng)絡(luò)的安全性能， 建議在互聯(lián)網(wǎng)和電子政務(wù)外網(wǎng)WEB應(yīng)用服務(wù)器分別部署一臺硬件WEB防篡改設(shè)備，與防火墻一同構(gòu)筑 2-7層立體防 護。(2) 硬件WEB防篡改設(shè)備作用硬件WEB防篡改設(shè)備集成入侵防御

15、與檢測、病毒過濾、帶寬管理和URL過濾等功能，通過深入到 7層的分析與檢 測，實時阻斷網(wǎng)絡(luò)流量中隱藏的病毒、蠕蟲、木馬、間諜軟 件、網(wǎng)頁篡改等攻擊和惡意行為，實現(xiàn)對網(wǎng)絡(luò)應(yīng)用、網(wǎng)絡(luò)基 礎(chǔ)設(shè)施和網(wǎng)絡(luò)性能的全面保護。1.4.7.安全隔離網(wǎng)關(guān)設(shè)計安全隔離網(wǎng)關(guān)部署建議政府部門一般按照國家電子政務(wù)建設(shè)要求組建自己的 電子政務(wù)網(wǎng)絡(luò)，采用三級聯(lián)網(wǎng)。政府單位為了提供便民服務(wù)， 為了實現(xiàn)各種電子政務(wù)應(yīng)用，必須將一部分原來在內(nèi)網(wǎng)的數(shù) 據(jù)信息面對公網(wǎng)，面對上下級單位、面對外單位企業(yè)網(wǎng)絡(luò)。政府的政務(wù)網(wǎng)一般主要由四部分組成：內(nèi)部運行信息系統(tǒng)的局域網(wǎng)（政務(wù)內(nèi)網(wǎng)）上下級互聯(lián)的廣域網(wǎng)（政務(wù)專網(wǎng)）市級各部門信息資源共享的政務(wù)外網(wǎng)

16、提供信息發(fā)布查詢等社會化服務(wù)的國際互聯(lián)網(wǎng)（外網(wǎng)）政府政務(wù)內(nèi)外網(wǎng)、上下級互聯(lián)互通涉及數(shù)據(jù)的交換，必 然帶來一定的安全風(fēng)險。原來利用互連網(wǎng)發(fā)動攻擊的黑客、 病毒、下級單位的人員疏忽、惡意試探也可能利用政府內(nèi)部 網(wǎng)絡(luò)的數(shù)據(jù)交換的連接嘗試攻擊本單位政府內(nèi)部政務(wù)網(wǎng)，影 響到本單位內(nèi)部網(wǎng)的重要數(shù)據(jù)正常運行，所以安全問題變得 越來越復(fù)雜和突出。政府網(wǎng)絡(luò)信息交換的安全原則和要求體現(xiàn)在如下幾個 方面：建立統(tǒng)一的安全隔離平臺，政府政務(wù)內(nèi)網(wǎng)的辦公、業(yè) 務(wù)管理系統(tǒng)通過統(tǒng)一出口實現(xiàn)與外部應(yīng)用、單位網(wǎng)間的可信 信息交換，統(tǒng)一管理，執(zhí)行統(tǒng)一的安全策略，實現(xiàn)政務(wù)內(nèi)網(wǎng)信息和上下級單位、外部應(yīng)用網(wǎng)數(shù)據(jù)交換的高度可控性。5.532

17、安全隔離網(wǎng)關(guān)功能性支持為保障網(wǎng)絡(luò)的安全隔離，安全隔離網(wǎng)關(guān)設(shè)備應(yīng)具備如下 特性：高性能的軟硬件處理平臺：采用先進的最新64位多核高性能處理器和高速存儲器。電信級設(shè)備高可靠性：可采用N : 1虛擬化技術(shù)，將多臺設(shè)備虛擬化為一臺邏輯設(shè)備，完成業(yè)務(wù)備份同時提高系統(tǒng) 整體性能：可采用 1： N虛擬化，劃分多個邏輯的虛擬防火 墻，基于容器化的虛擬化技術(shù)使得虛擬系統(tǒng)與實際物理系統(tǒng) 特性一致，并且可以基于虛擬系統(tǒng)進行吞吐、并發(fā)、新建、 策略等性能分配。強大的安全防護功能：支持豐富的攻擊防范功能、包過 濾和應(yīng)用層狀態(tài)包過濾（ASPF）功能，吞吐量不低于 20G， 并發(fā)鏈接數(shù)不低于 2400萬，至少滿足12個千兆

18、電口，12個 千兆光口，4個萬兆接口的接入，實現(xiàn)多個接入?yún)^(qū)域的安全 隔離，提供萬兆防護性能。全面的應(yīng)用層流量識別與管理：支持精確檢測各種 P2P/IM/網(wǎng)絡(luò)游戲/炒股/網(wǎng)絡(luò)視頻/網(wǎng)絡(luò)多媒體等應(yīng)用；支持精 確的P2P流量識別，以達到對P2P流量進行管理的目的， 同 時可提供不同的控制策略，實現(xiàn)靈活的P2P流量控制。咼精度、咼效率的入侵檢測引擎?；诰_狀態(tài)的全面 檢測引擎，引擎集成多項檢測技術(shù)，實現(xiàn)基于精確狀態(tài)的全 面檢測，具有極高的入侵檢測精度； 引擎采用并行檢測技術(shù)， 軟、硬件可靈活適配，大大提高入侵檢測的效率。實時的病毒防護：采用知名防病毒公司的流引擎查毒技 術(shù)，迅速、準確查殺網(wǎng)絡(luò)流量中的

19、病毒等惡意代碼。迅捷的 URL分類過濾：提供基礎(chǔ)的URL黑白名單過濾同時，可以配置URL分類過濾服務(wù)器在線查詢。IPv6狀態(tài)防火墻：實現(xiàn)真正意義上實現(xiàn)IPv6條件下的防火墻功能，同時完成IPv6的攻擊防范。集成鏈路負載均衡特性：通過鏈路狀態(tài)檢測、鏈路繁忙 保護等技術(shù)，有效實現(xiàn)出口的多鏈路自動均衡和自動切換。集成SSLVPN特性：滿足移動辦公、出差的安全訪問需 求，可結(jié)合USB-Key、短信進行移動用戶的身份認證，與原 有認證系統(tǒng)相結(jié)合、實現(xiàn)一體化的認證接入。DLP基礎(chǔ)功能支持：支持郵件過濾，提供SMTP郵件地 址、標(biāo)題、附件和內(nèi)容過濾；支持網(wǎng)頁過濾，提供HTTPURL 和內(nèi)容過濾；支持網(wǎng)絡(luò)傳輸

20、協(xié)議的文件過濾；支持應(yīng)用層過 濾，提供Java/ActiveXBIocking 和SQL注入攻擊防范。1.5.安全管理方案1.5.1.安全組織體系建設(shè)為實現(xiàn)統(tǒng)一領(lǐng)導(dǎo)和分級管理的原則，安全管理必須設(shè)立 專門的管理機構(gòu)，配備相應(yīng)的安全管理人員，并實行“第一 把手”責(zé)任制。系統(tǒng)的安全管理機構(gòu)，將根據(jù)國家的有關(guān)信息網(wǎng)絡(luò)安全 的法規(guī)、方針、政策等，承擔(dān)所屬系統(tǒng)的各項安全管理工作， 具體為：1）擬定并組織實施所屬計算機信息系統(tǒng)安全管理的各項 規(guī)章制度；2）監(jiān)督、指導(dǎo)所屬計算機信息系統(tǒng)安全保護工作，定期 組織檢查計算機信息系統(tǒng)安全運行情況，及時排除各 種安全隱患；3）貫徹國家安全主管部門的規(guī)章制度和要求，組

21、織落實安全技術(shù)措施，保障計算機信息系統(tǒng)的運行安全；4）組織宣傳計算機信息系統(tǒng)安全方面的法律、法規(guī)和有關(guān)政策，開展計算機信息系統(tǒng)的安全培訓(xùn)和教育；5）負責(zé)聯(lián)系和協(xié)調(diào)所屬計算機信息系統(tǒng)的各項安全工作；6）在結(jié)合現(xiàn)有組織和人員配置情況下，組織結(jié)構(gòu)及崗位職責(zé)設(shè)置要充分體現(xiàn)統(tǒng)一領(lǐng)導(dǎo)和分級管理的原則，主 要內(nèi)容包括：管理機構(gòu)的建立，管理機構(gòu)的職能、權(quán) 限劃分，人員崗位、數(shù)量、職責(zé)定義。1.52安全管理制度建設(shè)安全管理制度是保證網(wǎng)絡(luò)系統(tǒng)安全的基礎(chǔ)，需要通過一 系列規(guī)章制度的實施，來確保各類人員按照規(guī)定的職責(zé)行 事，做到各行其職、各負其責(zé)，避免責(zé)任事故的發(fā)生和防止 惡意的侵犯。安全管理制度包括：安全技術(shù)規(guī)范、

22、人員安全管理制度、 設(shè)備安全管理制度、運行安全管理制度、安全操作管理制度、 安全等級保護制度、有害數(shù)據(jù)防治管理制度、敏感數(shù)據(jù)保護 制度、安全技術(shù)保障制度、安全計劃管理制度等。安全技術(shù)規(guī)范包括：1、日常操作管理辦法（針對網(wǎng)絡(luò)安全管理員）安全事件的分析主要集中在網(wǎng)絡(luò)安全管理員，因此日常 操作規(guī)范主要是對不同級別安全管理員的日常工作職責(zé)、內(nèi) 容、操作流程所做的規(guī)定，從而實現(xiàn)安全防護的程序化和統(tǒng) 一化管理。2、安全策略配置管理辦法根據(jù)安全問題潛在環(huán)境的差異和對環(huán)境關(guān)注程度的不 同，選擇相應(yīng)的網(wǎng)絡(luò)安全策略是網(wǎng)絡(luò)安全建設(shè)非常重要的一步，突出重點、兼顧一般的策略配置能夠降低風(fēng)險3、數(shù)據(jù)備份管理辦法鑒于重要的

23、數(shù)據(jù)文件存在著對文件破壞后難以恢復(fù)性 的特點，出于對數(shù)據(jù)安全性、可恢復(fù)性的考慮，必須適時的 進行數(shù)據(jù)備份，以實現(xiàn)安全防范的目的，同時能夠提高遭破 壞后的數(shù)據(jù)恢復(fù)速度。更重要的是對備份數(shù)據(jù)是否存在安全 隱患，確保備份數(shù)據(jù)的真正安全可靠，這是數(shù)據(jù)備份管理規(guī) 范區(qū)別于傳統(tǒng)數(shù)據(jù)備份的重大區(qū)別所在。4、攻擊事件預(yù)警管理辦法預(yù)警是對出現(xiàn)攻擊事件的報警，其主要內(nèi)容包括：安全 事件報警形式（電子郵件、LAN即時消息等）、預(yù)警結(jié)果傳送 渠道、預(yù)警結(jié)果的處理。5、日志管理辦法（針對網(wǎng)絡(luò)安全管理員）日志是軟件對安全防護系統(tǒng)工作運行結(jié)果進行的記錄， 是管理員進行統(tǒng)計分析和發(fā)現(xiàn)問題的一種方式。其主要內(nèi)容 包括：日志生成

24、、統(tǒng)計分析、重要情況通報。6、定期報告辦法把安全事件等情況向相關(guān)領(lǐng)導(dǎo)逐級進行定期或不定期 的總結(jié)統(tǒng)計匯報，為領(lǐng)導(dǎo)決策提供依據(jù)。其主要內(nèi)容包括： 報告形式、報告對象、報告程序及頻率、報告內(nèi)容。1.5.3 信息安全管理原則1、多人負責(zé)原則每一項與安全有關(guān)的活動，都必須有兩人或多人在場。 這些人應(yīng)是系統(tǒng)主管領(lǐng)導(dǎo)指派的，他們忠誠可靠，能勝任此 項工作；他們應(yīng)該簽署工作情況記錄以證明安全工作已得到 保障。以下各項是與安全有關(guān)的活動：（1）信息處理系統(tǒng)使用的媒介發(fā)放與回收；（2）處理保密信息；（3）硬件和軟件的維護；（4）系統(tǒng)軟件的設(shè)計、實現(xiàn)和修改；（5）重要程序和數(shù)據(jù)的刪除和銷毀等。2、任期有限原則一般

25、地講，任何人最好不要長期擔(dān)任與安全有關(guān)的職 務(wù)，以免使他認為這個職務(wù)是專有的或永久性的。為遵循任 期有限原則，工作人員應(yīng)不定期地循環(huán)任職，強制實行休假 制度，并規(guī)定對工作人員進行輪流培訓(xùn)，以使任期有限制度 切實可行。3、職責(zé)分離原則 在信息處理系統(tǒng)工作的人員不要打聽、了解或參與職責(zé)以外的任何與安全有關(guān)的事情，除非系統(tǒng)主管領(lǐng)導(dǎo)批準。出于對安全的考慮，下面每組內(nèi)的兩項信息處理工作應(yīng) 當(dāng)分開。（1）敏感資料的接收和傳送；（2）安全管理和系統(tǒng)管理；（3）應(yīng)用程序和系統(tǒng)程序的編制；（4）計算機操作與信息處理系統(tǒng)使用媒介的保管等。安全教育和培訓(xùn)為了將安全隱患減少到最低，不僅需要對安全管理員進 行專業(yè)性的安

26、全技術(shù)培訓(xùn)，還需要加強對一般辦公人員的安 全知識的普及。通過對用戶的不斷教育和培訓(xùn)，提高用戶的 安全意識、法制觀念和技術(shù)防范水平，確保網(wǎng)絡(luò)系統(tǒng)的安全 運行。根據(jù)用戶的不同層次制定相應(yīng)的教育培訓(xùn)計劃及培訓(xùn) 方式。1.5.4. 其他管理措施建議在項目實施過程中，委托第三方測試單位進行安全 性測試，委托第三方工程監(jiān)理控制項目的實施過程。1.5.5. 售后服務(wù)內(nèi)容、要求和期限(1) 投標(biāo)人須提供售后服務(wù)隊伍的名稱、技術(shù)人員、聯(lián) 系地址、電話、服務(wù)手段等詳細相關(guān)資料。(2) 項目整體免費質(zhì)保期為三年，質(zhì)保期內(nèi)采購人可以根據(jù)業(yè)務(wù)應(yīng)用發(fā)展情況增加應(yīng)用功能，如系統(tǒng)需要升級改造 及用戶需求發(fā)生變更所產(chǎn)生的軟件開發(fā)，由中標(biāo)人免費提供 服務(wù)。(3) 在質(zhì)保期內(nèi)，投標(biāo)人對招標(biāo)人關(guān)于本系統(tǒng)的合