網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第1頁。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第1頁。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第2頁。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第2頁。TOC\o"1-3"\h\u第一章 項目概述 81.1 項目概述 81.2 項目建設(shè)背景 81.2.1 法律要求 91.2.2 政策要求 111.3 項目建設(shè)目標(biāo)及內(nèi)容 111.3.1 項目建設(shè)目標(biāo) 111.3.2 建設(shè)內(nèi)容 12第二章 現(xiàn)狀與差距分析 132.1 現(xiàn)狀概述 132.1.1 信息系統(tǒng)現(xiàn)狀 132.2 現(xiàn)狀與差距分析 162.2.1 物理安全現(xiàn)狀與差距分析 162.2.2 網(wǎng)絡(luò)安全現(xiàn)狀與差距分析 252.2.3 主機安全現(xiàn)狀與差距分析 382.2.4 應(yīng)用安全現(xiàn)狀與差距分析 502.2.5 數(shù)據(jù)安全現(xiàn)狀與差距分析 622.2.6 安全管理現(xiàn)狀與差距分析 652.3 安全技術(shù)需求 702.3.1 物理和環(huán)境安全需求 702.3.2 網(wǎng)絡(luò)和通信安全需求 72網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第3頁。2.3.3 設(shè)備和計算安全需求 74網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第3頁。2.3.4 應(yīng)用和數(shù)據(jù)安全需求 752.4 安全管理需求 762.4.1 安全策略和管理制度 762.4.2 安全管理機構(gòu)和人員 772.4.3 安全建設(shè)管理 782.4.4 安全運維管理 792.5 綜合整改建議 802.5.1 技術(shù)措施綜合整改建議 802.5.2 安全管理綜合整改建議 96第三章 安全建設(shè)目標(biāo) 98第四章 方案總體設(shè)計 994.1 方案設(shè)計原則 994.1.1 分區(qū)分域防護原則 994.1.2 均衡性保護原則 1004.1.3 技術(shù)與管理相結(jié)合 1004.1.4 動態(tài)調(diào)整與可擴展 1004.1.5 網(wǎng)絡(luò)安全三同步原則 1004.2 方案設(shè)計思路 101第五章 安全整體規(guī)劃 1035.1 建設(shè)指導(dǎo) 1035.1.1 指導(dǎo)原則 1035.1.2 安全防護體系設(shè)計整體架構(gòu) 104網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第4頁。5.2 安全技術(shù)規(guī)劃 106網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第4頁。5.2.1 安全建設(shè)規(guī)劃拓樸圖 1065.2.2 安全設(shè)備功能 1075.3 建設(shè)目標(biāo)規(guī)劃 114第六章 安全策略和方針設(shè)計 1156.1 總體安全方針和策略設(shè)計 1166.1.1 總體安全方針設(shè)計 1166.1.2 總體安全策略設(shè)計 1166.2 安全策略具體設(shè)計 1186.2.1 物理和環(huán)境安全策略 1186.2.2 網(wǎng)絡(luò)和通信安全策略 1196.2.3 設(shè)備和計算安全策略 1216.2.4 應(yīng)用和數(shù)據(jù)安全策略 122第七章 整體安全建設(shè)設(shè)計 1237.1 物理和環(huán)境安全建設(shè) 1237.1.1 機房場地的選擇 1237.1.2 機房出入控制 1247.1.3 防盜竊和防破壞 1247.1.4 防雷擊 1247.1.5 防火 1247.1.6 防水和防潮 1257.1.7 防靜電 1257.1.8 溫濕度控制 125網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第5頁。7.1.9 電力供應(yīng) 125網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第5頁。7.1.10 電磁防護 1267.2 安全技術(shù)體系設(shè)計方案 1267.2.1 安全計算環(huán)境防護設(shè)計 1267.2.2 安全區(qū)域邊界防護設(shè)計 1317.2.3 安全通信網(wǎng)絡(luò)防護設(shè)計 1367.2.4 安全管理中心設(shè)計 1377.3 安全管理體系設(shè)計方案 1387.3.1 安全策略和管理制度設(shè)計 1387.3.2 安全管理機構(gòu)和人員管理設(shè)計 1407.3.3 安全建設(shè)管理 1417.3.4 安全運維管理 141第八章 安全防護部署設(shè)計方案 1528.1 異常流量及抗DDoS攻擊系統(tǒng) 1528.1.1 產(chǎn)品特性 1528.1.2 產(chǎn)品部署 1588.2 下一代防火墻/UTM系統(tǒng) 1588.2.1 產(chǎn)品特性 1588.2.2 產(chǎn)品部署 1628.3 應(yīng)用交付控制系統(tǒng) 1638.3.1 產(chǎn)品特性 1638.3.2 產(chǎn)品部署 1678.4 入侵防御系統(tǒng) 167網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第6頁。8.4.1 產(chǎn)品特性 167網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第6頁。8.4.2 產(chǎn)品部署 1698.5 VPN綜合安全網(wǎng)關(guān) 1698.5.1 產(chǎn)品特性 1698.5.2 產(chǎn)品部署 1758.6 入侵檢測系統(tǒng) 1758.6.1 產(chǎn)品特性 1758.6.2 產(chǎn)品部署 1768.7 APT攻擊檢測系統(tǒng) 1768.7.1 產(chǎn)品特性 1768.7.2 產(chǎn)品部署 1818.8 無線安全管理系統(tǒng) 1818.8.1 產(chǎn)品特性 1818.8.2 產(chǎn)品部署 1838.9 終端安全管理系統(tǒng) 1838.9.1 產(chǎn)品特性 1838.9.2 產(chǎn)品部署 1858.10 漏洞掃描系統(tǒng) 1868.10.1 產(chǎn)品特性 1868.10.2 產(chǎn)品部署 1888.11 Web應(yīng)用安全防護系統(tǒng) 1888.11.1 產(chǎn)品特性 1888.11.2 產(chǎn)品部署 190網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第7頁。8.12 主機安全加固系統(tǒng) 191網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第7頁。8.13 安全運維網(wǎng)關(guān) 1918.13.1 產(chǎn)品特性 1918.13.2 產(chǎn)品部署 1958.14 安全配置核查系統(tǒng) 1958.14.1 產(chǎn)品特性 1958.14.2 產(chǎn)品部署 1998.15 網(wǎng)絡(luò)管理監(jiān)控系統(tǒng) 1998.16 安全審計系統(tǒng) 1998.16.1 Web應(yīng)用審計 1998.16.2 數(shù)據(jù)庫審計 2038.16.3 綜合日志審計 2098.17 綜合安全管理平臺 2118.17.1 產(chǎn)品特性 2118.17.2 產(chǎn)品部署 2238.18 專業(yè)安全服務(wù) 2248.18.1 安全風(fēng)險評估 2248.18.2 滲透測試服務(wù) 2258.18.3 安全加固服務(wù) 2268.18.4 代碼審計服務(wù) 2278.18.5 應(yīng)急處理服務(wù) 228第九章 方案與等保要求對應(yīng) 230第十章 工程建設(shè) 235網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第8頁。10.1 工程一期建設(shè) 235網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第8頁。10.1.1 區(qū)域劃分 23510.1.2 網(wǎng)絡(luò)環(huán)境改造 23610.1.3 網(wǎng)絡(luò)邊界安全加固 23610.1.4 網(wǎng)絡(luò)及安全設(shè)備部署 23710.1.5 安全管理體系建設(shè)服務(wù) 27210.1.6 安全加固服務(wù) 29010.1.7 應(yīng)急預(yù)案和應(yīng)急演練 29810.1.8 安全等保認(rèn)證協(xié)助服務(wù) 29810.2 工程二期建設(shè) 29910.2.1 安全運維管理平臺（soc） 29910.2.2 APT高級威脅分析平臺 303第十一章 方案預(yù)估效果 30511.1 工程預(yù)期效果 306

網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第9頁。項目概述網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第9頁。項目概述某單位是人民政府的職能部門，貫徹執(zhí)行國家有關(guān)機關(guān)事務(wù)工作的方針政策，擬訂省機關(guān)事務(wù)工作的政策、規(guī)劃和規(guī)章制度并組織實施，負(fù)責(zé)省機關(guān)事務(wù)的管理、保障、服務(wù)工作。在面對現(xiàn)在越來越嚴(yán)重的網(wǎng)絡(luò)安全態(tài)勢下，某單位積極響應(yīng)國家相關(guān)政策法規(guī)，積極開展信息安全等級保護建設(shè)。對自有網(wǎng)絡(luò)安全態(tài)勢進行自我核查，補齊等保短板，履行安全保護義務(wù)。項目目標(biāo)：打造一個可信、可管、可控、可視的安全網(wǎng)絡(luò)環(huán)境，更好的為機關(guān)各部門及領(lǐng)導(dǎo)者和公務(wù)人員提供工作和生活條件，更好的保障各項行政活動正常進行。項目建設(shè)背景機關(guān)后勤管理工作因為其政府內(nèi)部服務(wù)的特殊性，一直比較少地為社會公眾所關(guān)注或重視。機關(guān)后勤管理包括對物資、財務(wù)、環(huán)境、生活以及各種服務(wù)項目在內(nèi)的事務(wù)工作的管理，是行政機關(guān)辦公室管理的重要一環(huán)，為機關(guān)各部門以及領(lǐng)導(dǎo)者和公務(wù)人員提供工作和生活條件，是保障各項行政活動正常進行的物質(zhì)基礎(chǔ)。隨著這幾年地區(qū)經(jīng)濟的高速發(fā)展和政府行政職能分配管理的需要，使機關(guān)事務(wù)管理工作的管理范圍和管理對象也相應(yīng)的擴展和增加，管理工作變得十分繁重。尤其是在新增的一些業(yè)務(wù)管理網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第10頁。工作方面，如對政府機關(guān)單位固定資產(chǎn)的管理、房屋出租、分配的管理等，同時，隨著這幾年國家對資產(chǎn)管理的重視，信息化建設(shè)從原來注重財務(wù)管理信息化逐漸向國有資產(chǎn)管理信息化發(fā)展，作為機關(guān)事務(wù)管理的機構(gòu)，正承擔(dān)著這樣一種責(zé)任和使命。同時在面對現(xiàn)在不容樂觀的整體安全態(tài)勢環(huán)境下，開展機關(guān)事務(wù)管理的信息化建設(shè)與信息安全建設(shè)網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第10頁。法律要求在2017年6月1日頒發(fā)的《中華人民共和國網(wǎng)絡(luò)安全法》中明確規(guī)定了法律層面的網(wǎng)絡(luò)安全。具體如下：“沒有網(wǎng)絡(luò)安全，就沒有國家安全”，《網(wǎng)絡(luò)安全法》第二十一條明確規(guī)定“國家實行網(wǎng)絡(luò)安全等級保護制度”。各網(wǎng)絡(luò)運營者應(yīng)當(dāng)按照要求，開展網(wǎng)絡(luò)安全等級保護的定級備案、等級測評、安全建設(shè)、安全檢查等工作。除此之外，《網(wǎng)絡(luò)安全法》中還從網(wǎng)絡(luò)運行安全、關(guān)鍵信息基礎(chǔ)設(shè)施運行安全、網(wǎng)絡(luò)信息安全等對以下方面做了詳細(xì)規(guī)定：網(wǎng)絡(luò)日志留存：第二十一條還規(guī)定，網(wǎng)絡(luò)運營者應(yīng)當(dāng)制定內(nèi)部安全管理制度和操作規(guī)程，確定網(wǎng)絡(luò)安全負(fù)責(zé)人，落實網(wǎng)絡(luò)安全保護責(zé)任;采取防計算機病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施;采取監(jiān)測、記錄網(wǎng)絡(luò)運行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，留存不少于六個月的相關(guān)網(wǎng)絡(luò)日志;采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施。未履行上述網(wǎng)絡(luò)安全保護義務(wù)網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第11頁。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第11頁。漏洞處置：第二十五條規(guī)定，網(wǎng)絡(luò)運營者應(yīng)當(dāng)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，及時處置系統(tǒng)漏洞、計算機病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等安全風(fēng)險;在發(fā)生危害網(wǎng)絡(luò)安全的事件時，立即啟動應(yīng)急預(yù)案，采取相應(yīng)的補救措施，并按照規(guī)定向有關(guān)主管部門報告。沒有網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案的，沒有及時處置高危漏洞、網(wǎng)絡(luò)攻擊的;在發(fā)生網(wǎng)絡(luò)安全事件時處置不恰當(dāng)?shù)?，會被依照此條款責(zé)令整改，拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處一萬元以上十萬元以下罰款，對直接負(fù)責(zé)的主管人員處五千元以上五萬元以下罰款。容災(zāi)備份：第三十四條第三項規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施單位對重要系統(tǒng)和數(shù)據(jù)庫進行容災(zāi)備份。沒有對重要系統(tǒng)和數(shù)據(jù)庫進行容災(zāi)備份的會被依照此條款責(zé)令改正。應(yīng)急演練：第三十四條第四項規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施單位應(yīng)當(dāng)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，并定期進行演練。沒有網(wǎng)絡(luò)安全事件預(yù)案的，或者沒有定期演練的，會被依照此條進行責(zé)令改正。安全檢測評估：第三十八條規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施的運營者應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機構(gòu)對其網(wǎng)絡(luò)的安全性和可能存在的風(fēng)險每年至少進行一次檢測評估，并將檢測評估情況和改網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第12頁。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第12頁。政策要求為切實加強門戶網(wǎng)站安全管理和防護，保障網(wǎng)站安全穩(wěn)定運行，國家非常重視，陸續(xù)頒布以下文件：《關(guān)于加強黨政機關(guān)網(wǎng)站安全管理的通知》（中網(wǎng)辦發(fā)文〔2014〕1號）、《關(guān)于做好黨政機關(guān)網(wǎng)站開辦審核、資格復(fù)核和網(wǎng)站標(biāo)識管理工作的通知》（中央編辦發(fā)〔2014〕69號），公安部、中央網(wǎng)信辦、中編辦、工信部等四部門《關(guān)于印發(fā)〈黨政機關(guān)、事業(yè)單位和國有企業(yè)互聯(lián)網(wǎng)網(wǎng)站安全專項整治行動方案〉的通知》（公信安〔2015〕2562號）項目建設(shè)目標(biāo)及內(nèi)容項目建設(shè)目標(biāo)依據(jù)國家信息安全等級保護相關(guān)指導(dǎo)規(guī)范，對某單位信息系統(tǒng)、基礎(chǔ)設(shè)施和骨干網(wǎng)絡(luò)按照等保三級進行安全建設(shè)規(guī)劃，對安全建設(shè)進行統(tǒng)一規(guī)劃和設(shè)備選型，實現(xiàn)方案合理、組網(wǎng)簡單、擴容靈活、標(biāo)準(zhǔn)統(tǒng)一、經(jīng)濟適用的建設(shè)目標(biāo)。依據(jù)信息安全等級保護三級標(biāo)準(zhǔn)，按照“統(tǒng)一規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)、重點明確、合理建設(shè)”的基本原則，在物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全等幾個方面進行安全規(guī)劃與建設(shè)，確保“網(wǎng)絡(luò)建設(shè)合規(guī)、安全防護到位”。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第13頁。方案目標(biāo)是讓某單位的骨干網(wǎng)絡(luò)、相關(guān)應(yīng)用系統(tǒng)達到安全等級保護第三級要求。經(jīng)過建設(shè)后使整體網(wǎng)絡(luò)形成一套完善的安全防護體系，提升整體信息安全防護能力網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第13頁。建設(shè)內(nèi)容本項目以某單位骨干網(wǎng)絡(luò)、信息系統(tǒng)等級保護建設(shè)為主線，以讓相關(guān)信息系統(tǒng)達到安全等級保護第三級要求。借助網(wǎng)絡(luò)產(chǎn)品、安全產(chǎn)品、安全服務(wù)、管理制度等手段，建立全網(wǎng)的安全防控管理服務(wù)體系，從而全面提高某單位的工作效率，提升信息化運用水平。建設(shè)內(nèi)容包括某單位內(nèi)網(wǎng)骨干網(wǎng)絡(luò)、基礎(chǔ)設(shè)施和信息系統(tǒng)等。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第14頁?，F(xiàn)狀與差距分析網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第14頁?，F(xiàn)狀概述信息系統(tǒng)現(xiàn)狀本次項目中某單位外網(wǎng)項目中涉及的設(shè)備有：服務(wù)器≥4臺網(wǎng)絡(luò)設(shè)備若干路由器、交換機、ap安全設(shè)備有：1臺防火墻（過保）、WAF（過保）、2臺ips（dmz區(qū)前IPS已過保）、上網(wǎng)行為管理（過保）、防病毒網(wǎng)關(guān)、綠盟安全審計系統(tǒng)、360天擎終端殺毒（只具有殺毒模塊）存儲設(shè)備：火星艙容災(zāi)備份網(wǎng)絡(luò)系統(tǒng)現(xiàn)狀某單位的網(wǎng)絡(luò)系統(tǒng)整體構(gòu)架采用三層層次化模型網(wǎng)絡(luò)架構(gòu)，即由核心層、匯聚層和接入層組成。網(wǎng)絡(luò)現(xiàn)狀：核心層：核心層是網(wǎng)絡(luò)的高速交換主干，對整個網(wǎng)絡(luò)的連通起到至關(guān)重要的作用。某單位內(nèi)網(wǎng)核心，由1臺DPX安全業(yè)務(wù)網(wǎng)關(guān)組成。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第15頁。匯聚層：匯聚層是網(wǎng)絡(luò)接入層和核心層的“中介”，是在工作站接入核心層前先做匯聚，以減輕核心層設(shè)備的負(fù)荷。某單位內(nèi)網(wǎng)中，由迪普和H3C交換機作為內(nèi)網(wǎng)的有線匯聚和內(nèi)網(wǎng)的無線網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第15頁。接入層：接入層向本地網(wǎng)段提供工作站接入。某單位內(nèi)網(wǎng)網(wǎng)絡(luò)中，由各種品牌的交換機作為終端前端接入交換機，為各區(qū)域提供接入。在DPX核心交換機上劃分VLAN和網(wǎng)關(guān)，整體網(wǎng)絡(luò)中部署了防病毒網(wǎng)關(guān)、IPS、UAG、DDI、數(shù)據(jù)容災(zāi)備份系統(tǒng)。OA系統(tǒng)連接至無線匯聚交換機。其他各系統(tǒng)旁路至核心交換機上。安全現(xiàn)狀：在整體網(wǎng)絡(luò)中部署有相應(yīng)的安全設(shè)備做安全防護，但部分安全設(shè)備過保，整體網(wǎng)絡(luò)安全防護體系不夠完善、區(qū)域劃分不合理，現(xiàn)狀拓?fù)鋱D如下：圖表SEQ圖表\*ARABIC1現(xiàn)狀拓?fù)鋱D主機系統(tǒng)現(xiàn)狀某單位的業(yè)務(wù)系統(tǒng)OA、文件交換箱等，部署于多臺服務(wù)器上。服務(wù)器為機架式服務(wù)器和塔式服務(wù)器，固定于標(biāo)準(zhǔn)機柜與固網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第16頁。定位置，并進行標(biāo)識區(qū)分。服務(wù)器操作系統(tǒng)全都采用微軟的WindowsServer系列操作系統(tǒng)。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第16頁。某單位辦公終端約為300臺，win7為主，XP系統(tǒng)占少數(shù)，主機系統(tǒng)沒有進行過定期更新補丁，安裝有360天擎殺毒軟件網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第17頁。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第17頁。某單位的應(yīng)用系統(tǒng)主要為以下業(yè)務(wù)系統(tǒng)：OA、文件交換箱等。也包含一些其他的辦公軟件?，F(xiàn)狀與差距分析物理安全現(xiàn)狀與差距分析某單位機房建設(shè)過程中參照B級機房標(biāo)準(zhǔn)參考進行統(tǒng)一規(guī)劃，存在的物理安全隱患較少。但仍需參照以下標(biāo)準(zhǔn)進行核查、整改；根據(jù)信息安全等級保護（第三級）中對物理安全相關(guān)項（防火、防雷、防水、防磁及電力供應(yīng)等）存在些許差距。詳見下表差距分析。圖表SEQ圖表\*ARABIC2物理安全現(xiàn)狀序號要求指標(biāo)項是否符合現(xiàn)狀分析備注1物理位置的選擇（G3）本項要求包括：a)機房和辦公場地應(yīng)選擇在具有防震、防風(fēng)和防雨等能力的建筑內(nèi)；符合要求滿足b)機房場地應(yīng)避免設(shè)在建筑物的網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第18頁。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第18頁。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第19頁。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第19頁。滿足2物理訪問控制（G3）本項要求包括：a)機房出入口應(yīng)安排專人值守，控制、鑒別和記錄進入的人員；不符合要求不滿足無相關(guān)記錄b)需進入機房的來訪人員應(yīng)經(jīng)過申請和審批流程，并限制和監(jiān)控其活動范圍；不符合要求不滿足有監(jiān)控，但是沒有申請和審批流程c)應(yīng)對機房劃分區(qū)域進行管理，區(qū)域和區(qū)域之間設(shè)置物理隔離裝置，在重要區(qū)域前設(shè)置交付或安裝等過渡區(qū)域；網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第20頁。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第20頁。依據(jù)業(yè)務(wù)系統(tǒng)進行了機柜間的區(qū)域區(qū)分，但未在重要區(qū)域前設(shè)置物理隔離裝置。在重要區(qū)域前設(shè)置物理隔離裝置。d)重要區(qū)域應(yīng)配置電子門禁系統(tǒng)，控制、鑒別和記錄進入的人員。符合要求基本滿足3防盜竊和防破壞（G3）本項要求包括：a)應(yīng)將主要設(shè)備放置在機房內(nèi)；符合要求滿足b)應(yīng)將設(shè)備或主要部件進行固定，并設(shè)置明顯的不易除去的標(biāo)記；符合要求滿足c)應(yīng)將通信線纜鋪設(shè)在隱蔽處，可鋪設(shè)在地下或管道中；不符合要求不滿足有部分線纜架設(shè)在半空中d)應(yīng)對介質(zhì)分類標(biāo)識，存儲在介質(zhì)庫或檔案室中；符合要求滿足e)應(yīng)利用光、電等技術(shù)設(shè)置機房防盜報警系統(tǒng)；符合要求滿足f)應(yīng)對機房設(shè)置監(jiān)控報警系統(tǒng)。符合要求滿足4防雷擊（G3）本項要求包括：a)機房建筑應(yīng)設(shè)置避雷裝置；符合要求滿足b)應(yīng)設(shè)置防雷保安器，防止感應(yīng)雷；符合要求滿足c)機房應(yīng)設(shè)置交流電源地線。符合要求滿足網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第21頁。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第21頁。防火（G3）本項要求包括：a)機房應(yīng)設(shè)置火災(zāi)自動消防系統(tǒng)，能夠自動檢測火情、自動報警，并自動滅火；基本符合要求安裝有氣體滅火裝置b)機房及相關(guān)的工作房間和輔助房應(yīng)采用具有耐火等級的建筑材料；符合要求滿足c)機房應(yīng)采取區(qū)域隔離防火措施，將重要設(shè)備與其他設(shè)備隔離開。不符合要求不滿足6防水和防潮（G3）本項要求包括：a)水管安裝，不得穿過機房屋頂和活動地板下；符合要求滿足b)應(yīng)采取措施防止雨水通過機房網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第22頁。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第22頁。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第23頁。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第23頁。滿足c)應(yīng)采取措施防止機房內(nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透；符合要求滿足d)應(yīng)安裝對水敏感的檢測儀表或組件，對機房進行防水檢測和報警。符合要求滿足7防靜電（G3）本項要求包括：a)主要設(shè)備應(yīng)采用必要的接地防靜電措施；符合要求滿足b)機房應(yīng)采用防靜電地板。符合要求滿足8溫濕度控制（G3）本項要求包括：機房應(yīng)設(shè)置溫、濕度自動調(diào)節(jié)設(shè)施，使機房溫、濕度的變化在設(shè)備運行所允許的范圍之內(nèi)。符合要求安裝有動力環(huán)境監(jiān)控系統(tǒng)，建議機房日常溫度控制在10～28℃，濕度30～70%。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第24頁。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第24頁。電力供應(yīng)（A3）本項要求包括：a)應(yīng)在機房供電線路上配置穩(wěn)壓器和過電壓防護設(shè)備；基本符合要求滿足b)應(yīng)提供短期的備用電力供應(yīng)，至少滿足主要設(shè)備在斷電情況下的正常運行要求；符合要求設(shè)置UPS電池供電，并至少保證斷電時主要設(shè)備在滿負(fù)荷情況下4小時的正常運行。c)應(yīng)設(shè)置冗余或并行的電力電纜線路為計算機系統(tǒng)供電；不符合要求只有一條出口線，極容易出現(xiàn)單點故障增加線纜，做到冗余d)應(yīng)建立備用供電系統(tǒng)。符合要求滿足10電磁防護（S3）本項要求包括：a)應(yīng)采用接地方式防止外界電磁干擾和設(shè)備寄生耦合干擾；符合要求滿足b)電源線和通信線纜應(yīng)隔離鋪設(shè)，避免互相干擾；符合要求滿足c)應(yīng)對關(guān)鍵設(shè)備和磁介質(zhì)實施電磁屏蔽。符合要求滿足網(wǎng)絡(luò)安全等保三級建設(shè)整改方案網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第25頁。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第26頁。網(wǎng)絡(luò)安全現(xiàn)狀與差距分析網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第26頁。由于某單位前期已經(jīng)行相關(guān)安全建設(shè)，仍有相關(guān)安全防護建設(shè)不到位，主要表現(xiàn)出以下問題點：網(wǎng)絡(luò)結(jié)構(gòu)基本清晰，但細(xì)節(jié)規(guī)劃不合理；新增移動接入鏈路，面對日益突增的網(wǎng)絡(luò)安全事件缺乏有效防御手段及應(yīng)急機制；骨干網(wǎng)絡(luò)架構(gòu)規(guī)劃不合理，核心交換區(qū)無冗余，安全防護區(qū)域劃分不明晰，不能對不同區(qū)域間防護措施、技術(shù)手段進行統(tǒng)一規(guī)劃，不同區(qū)域?qū)阂夤舻姆婪赌芰Σ灰弧Ｔ斠娤卤聿罹喾治觯簣D表SEQ圖表\*ARABIC3網(wǎng)絡(luò)安全現(xiàn)狀序號要求指標(biāo)項是否符合差距分析備注1結(jié)構(gòu)安全（G3）本項要求包括：a)應(yīng)保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第27頁。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第27頁。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第28頁。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第28頁。域網(wǎng)核心交換設(shè)備均采用單鏈路、單設(shè)備，無冗余空間，一旦出現(xiàn)設(shè)備故障則會出現(xiàn)單點故障，無法有效保障對外開放的業(yè)務(wù)安全穩(wěn)定的運行。域網(wǎng)核心設(shè)備至少有二臺，采用多鏈路b)應(yīng)保證網(wǎng)絡(luò)各個部分的帶寬滿足業(yè)務(wù)高峰期需要；符合要求滿足c)應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進行路由控制建立安全的訪問路徑；符合要求滿足d)應(yīng)繪制與當(dāng)前運行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖；不符合要求暫無拓?fù)鋱D我們會在工程結(jié)束后重新繪制網(wǎng)絡(luò)拓?fù)鋱D。e)應(yīng)根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段；基本符合要求整體網(wǎng)絡(luò)結(jié)構(gòu)中已按照需求進行子網(wǎng)劃分。但使用中存在混亂，沒有按規(guī)定使用。待本次項目建設(shè)進行梳理、嚴(yán)格限制f)應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段；基本符合要求滿足網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第29頁。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第29頁。訪問控制（G3）本項要求包括：a)應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，啟用訪問控制功能；不符合要求僅在dmz區(qū)部署防火墻且防火墻已過保，其他區(qū)域未部署訪問控制設(shè)備建議在互聯(lián)網(wǎng)出口與服務(wù)器區(qū)前部署防火墻進邊界隔離與訪問控制b)應(yīng)能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為端口級；符合要求滿足c)應(yīng)對進出網(wǎng)絡(luò)的信息內(nèi)容進行過濾，實現(xiàn)對應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第30頁。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第30頁。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第31頁。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第31頁。滿足d)應(yīng)在會話處于非活躍一定時間或會話結(jié)束后終止網(wǎng)絡(luò)連接；符合要求滿足e)應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)；不符合要求未部署流量控制設(shè)備，無法根據(jù)所承載的業(yè)務(wù)和帶寬的實際情況確定網(wǎng)絡(luò)最大流量數(shù)和網(wǎng)絡(luò)連接數(shù)并進行管理。部署上網(wǎng)行為管理及流控f)重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙；不符合要求未部署訪問控制設(shè)備的區(qū)域無法采用包過濾或傳輸控制協(xié)議，進行邊界訪問控制，防止地址欺騙，應(yīng)對網(wǎng)絡(luò)中的廣播、組播進行必要的控制。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第32頁。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第32頁。g)應(yīng)按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對受控系統(tǒng)進行資源訪問，控制粒度為單個用戶；不符合要求沒有在服務(wù)器區(qū)前和網(wǎng)絡(luò)出口設(shè)置防火墻、認(rèn)證網(wǎng)關(guān)或授權(quán)管理系統(tǒng)，可對單個用戶的訪問進行策略控制。新增2臺防火墻實現(xiàn)不同安全域之間的訪問控制h)應(yīng)限制具有撥號訪問權(quán)限的用戶數(shù)量。不符合要求不涉及3安全審計（G3）本項要求包括：a)應(yīng)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)流量、用戶行為等進行日志記錄；不符合要求有上網(wǎng)行為管理設(shè)備（過保），但是并沒有辦法對網(wǎng)絡(luò)設(shè)備運行狀況日志記錄，而部署綜合安全日志審計系統(tǒng)可對來自不同廠商的安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、用戶業(yè)務(wù)系統(tǒng)的日志、警報等信息匯集到審計中網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第33頁。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第33頁。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第34頁。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第34頁。b)審計記錄應(yīng)包括：事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息；符合要求滿足c)應(yīng)能夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表；不符合要求不滿足部署日志審計系統(tǒng)d)應(yīng)對審計記錄進行保護，避免受到未預(yù)期的刪除、修改或覆蓋等。符合要求滿足安全審計日志記錄要求保存至少半年以上。4邊界完整性檢查（S3）本項要求包括：a)應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進行檢查，準(zhǔn)確定出位置，并對其進行有效阻斷；不符合要求可通終端管理系統(tǒng)或ARP綁定技術(shù)手段實現(xiàn)可采用終端管理系統(tǒng)等手段進行管理控制b)應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進行檢查，準(zhǔn)確定出位置，并對其進行有效阻斷。不符合要求可采用終端管理系統(tǒng)等手段進行管理控制5入侵防范（G3）本項要求包括：a)應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第35頁。掃描、強力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第35頁。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第36頁。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第36頁。出口處部署有IPS入侵防御b)當(dāng)檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，在發(fā)生嚴(yán)重入侵事件時應(yīng)提供報警基本符合要求落實安全審計系統(tǒng)報警功能。6惡意代碼防范（G3）本項要求包括：a)應(yīng)在網(wǎng)絡(luò)邊界處對惡意代碼進行檢測和清除；網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第37頁。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第37頁。滿足b)應(yīng)維護惡意代碼庫的升級和檢測系統(tǒng)的更新。符合要求7網(wǎng)絡(luò)設(shè)備防護（G3）本項要求包括：a)應(yīng)對登錄網(wǎng)絡(luò)設(shè)備的用戶進行身份鑒別；不符合要求沒有指定專人進行維護。通過密碼和用戶名進行身份鑒別，同時也沒有部署堡壘主機?？梢灾付▽Ｈ司S護網(wǎng)絡(luò)設(shè)備，并通過用戶名和密碼進行身份鑒別，同時也可以部署堡壘主機b)應(yīng)對網(wǎng)絡(luò)設(shè)備的管理員登錄地址進行限制；不符合要求對管理員登陸地址沒有限制。增添堡壘機設(shè)備，這樣可以有效對遠(yuǎn)程用戶進行管理。c)網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識應(yīng)唯一；不符合要求網(wǎng)絡(luò)設(shè)備沒有唯一的標(biāo)示。重新對設(shè)備進行標(biāo)示。d)主要網(wǎng)絡(luò)設(shè)備應(yīng)對同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進行身份鑒別；不符合要求主要網(wǎng)絡(luò)設(shè)備未對同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進行身份鑒別；增設(shè)堡壘機e)身份鑒別信息應(yīng)具有不易被冒用的特點，口令應(yīng)有復(fù)雜度要求并定期更換；不符合要求密碼沒有定期更換，復(fù)雜度不夠用戶口令應(yīng)12位以上，數(shù)字和字母組成，至少3個月更換一次。f)應(yīng)具有登錄失敗處理功能，可采取結(jié)束會話、限制非法網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第38頁。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第38頁。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第39頁。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第39頁。當(dāng)一次登錄密碼錯誤次數(shù)超過6次，應(yīng)能自動關(guān)閉并告警。g)當(dāng)對網(wǎng)絡(luò)設(shè)備進行遠(yuǎn)程管理時，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；不符合要求傳輸中進行加密，可以使用IPsecVPN技術(shù)h)應(yīng)實現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離。不符合要求網(wǎng)絡(luò)管理員、系統(tǒng)管理員和安全審計員分開，并按職責(zé)分工限制各自權(quán)限，但無技術(shù)手段控制。部署堡壘機控制用戶權(quán)限主機安全現(xiàn)狀與差距分析某單位內(nèi)網(wǎng)主機終端已部署終端殺毒軟件。終端主機安全現(xiàn)狀差距分析，如下：圖表SEQ圖表\*ARABIC4主機安全現(xiàn)狀序號要求指標(biāo)項是否符合差距分析備注1身份鑒別（S3）本項要求包括：a)應(yīng)對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進行身份標(biāo)識和鑒別；基本符合要求沒有嚴(yán)格通過賬號密碼限制操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶登陸，進行身份標(biāo)識和鑒別；b)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標(biāo)識應(yīng)具有不易被冒用的特點，口令網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第40頁。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第40頁。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第41頁。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第41頁。不滿足系統(tǒng)管理員的登錄身份標(biāo)識唯一，口令12位以上，且數(shù)字和字母大小寫組合，每半年應(yīng)更改一次。c)應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施；符合要求當(dāng)?shù)卿洿螖?shù)錯誤超過6次，應(yīng)自動退出并告警。d)當(dāng)對服務(wù)器進行遠(yuǎn)程管理時，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；不符合要求沒有采用IPSecVPN對傳輸加密的方法來保證遠(yuǎn)程管理安全可靠。采用IPSecVPN部署e)應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分配不同的用戶名，確保用戶名具有唯一性。不符合要求不滿足f)應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對管理用戶進行身份鑒別。不符合要求采用用戶名密碼的鑒別技術(shù)對管理員進行身份鑒別。部署堡壘機網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第42頁。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第42頁。訪問控制（S3）本項要求包括：a)應(yīng)啟用訪問控制功能，依據(jù)安全策略控制用戶對資源的訪問；不符合要求不滿足b)應(yīng)根據(jù)管理用戶的角色分配權(quán)限，實現(xiàn)管理用戶的權(quán)限分離，僅授予管理用戶所需的最小權(quán)限；不符合要求因只設(shè)置了一個管理員賬號，也未通過技術(shù)手段控制授予所需要的最小權(quán)限。部署堡壘機，將網(wǎng)絡(luò)管理員、系統(tǒng)管理員和安全審計員分離，通過技術(shù)手段控制授予所需要的最小權(quán)限。c)應(yīng)實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限分離；不符合要求還是未修改的默認(rèn)口令修改口令d)應(yīng)嚴(yán)格限制默認(rèn)帳戶的訪問權(quán)限，重命名系統(tǒng)默認(rèn)帳戶，修改這些帳戶的默認(rèn)口令；不符合要求不滿足e)應(yīng)及時刪除多余的、過期的帳戶，避免共享帳戶的存在。基本符合要求因只一個賬戶，不存在多余的賬戶f)應(yīng)對重要信息資源設(shè)置敏感標(biāo)記；不符合要求未對重要服務(wù)器部署服務(wù)器加固系統(tǒng)，采取安全加固措網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第43頁。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第43頁。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第44頁。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第44頁。g)應(yīng)依據(jù)安全策略嚴(yán)格控制用戶對有敏感標(biāo)記重要信息資源的操作；不符合要求不滿足網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第45頁。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第45頁。安全審計（G3）本項要求包括：a)審計范圍應(yīng)覆蓋到服務(wù)器和重要客戶端上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶；不符合要求未部署數(shù)據(jù)庫審計系統(tǒng)，無法對服務(wù)器和重要客戶端上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶進行審計。部署日志審計系統(tǒng)和數(shù)據(jù)庫審計系統(tǒng)b)審計內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件；不符合要求未部署數(shù)據(jù)庫審計系統(tǒng)，無法對重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件進行審計。部署日志審計系統(tǒng)和數(shù)據(jù)庫審計系統(tǒng)c)審計記錄應(yīng)包括事件的日期、時間、類型、主體標(biāo)識、客體標(biāo)識和結(jié)果等；不符合要求未部署數(shù)據(jù)庫審計系統(tǒng)，無法對數(shù)據(jù)庫進行審計。部署日志審計系統(tǒng)和數(shù)據(jù)庫審計系統(tǒng)d)應(yīng)能夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表；不符合要求未部署數(shù)據(jù)庫審計系統(tǒng)，無法對異常行為實時告警。部署日志審計系統(tǒng)和數(shù)據(jù)庫審計系統(tǒng)e)應(yīng)保護審計進程，避免受到未預(yù)期的中斷；不符合要求未部署數(shù)據(jù)庫審計系統(tǒng)。部署日志審計系統(tǒng)和數(shù)據(jù)庫審計系統(tǒng)f)應(yīng)保護審計記錄，避免受到未預(yù)期的刪除、修改或覆蓋等。不符合要求未部署數(shù)據(jù)庫審計系統(tǒng)。（審計記錄至少應(yīng)保存半年。）部署日志審計系統(tǒng)和數(shù)據(jù)庫審計系統(tǒng)4剩余信息保護（S3）本項要求包括：a)應(yīng)保證操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶的鑒別網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第46頁。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第46頁。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第47頁。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第47頁。不滿足b)應(yīng)確保系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間，被釋放或重新分配給其他用戶前得到完全清除。不符合要求可在終端Windows操作系統(tǒng)未啟用“關(guān)機前清除虛擬內(nèi)存頁面”功能項。在終端Windows操作系統(tǒng)啟用“關(guān)機前清除虛擬內(nèi)存頁面”功能項。5入侵防范（G3）本項要求包括：a)應(yīng)能夠檢測到對重要服務(wù)器進行入侵的行為，能夠記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時間，并在發(fā)生嚴(yán)重入侵事件時提供報警；符合要求已有ips入侵防御系統(tǒng)b)應(yīng)能夠?qū)χ匾绦虻耐暾赃M行檢測，并在檢測到完整性受到破壞后具有恢復(fù)的措施；不符合要求未定期使用完整性檢查工具或腳本對服務(wù)器的重要程序和文件進行檢查。定期使用完整性檢查工具或腳本對服務(wù)器的重要程序和文件進行檢查。c)操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第48頁。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第48頁。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第49頁。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第49頁。未通過技術(shù)手段保持系統(tǒng)補丁及時得到更新。增加終端管理軟件模塊。6惡意代碼防范（G3）本項要求包括：a)應(yīng)安裝防惡意代碼軟件，并及時更新防惡意代碼軟件版本和惡意代碼庫；符合要求滿足，安裝了360天擎b)主機防惡意代碼產(chǎn)品應(yīng)具有與網(wǎng)絡(luò)防惡意代碼產(chǎn)品不同的惡意代碼庫；符合要求滿足，安裝了360天擎c)應(yīng)支持防惡意代碼的統(tǒng)一管理。符合要求滿足，安裝了360天擎7資源控制（A3）本項要求包括：a)應(yīng)通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄；不符合要求通過賬號密碼限制終端登錄。通過增設(shè)堡壘機對終端接入進行管理。b)應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時鎖定；不符合要求未部署終端管理系統(tǒng)對登錄終端進行管理。部署終端管理系統(tǒng)對登錄終端進行管理。c)應(yīng)對重要服務(wù)器進行監(jiān)視，包括監(jiān)視服務(wù)器的CPU、硬盤、內(nèi)存、網(wǎng)絡(luò)網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第50頁。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第50頁。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第51頁。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第51頁。沒有網(wǎng)絡(luò)管理系統(tǒng)可通過增加網(wǎng)絡(luò)管理系統(tǒng)對重要服務(wù)器進行監(jiān)視并對服務(wù)器的運行狀況異常實時告警。d)應(yīng)限制單個用戶對系統(tǒng)資源的最大或最小使用限度；不符合要求沒有網(wǎng)絡(luò)管理系統(tǒng)可通過增加網(wǎng)絡(luò)管理系統(tǒng)對重要服務(wù)器進行監(jiān)視并對服務(wù)器的運行狀況異常實時告警。e)應(yīng)能夠?qū)ο到y(tǒng)的服務(wù)水平降低到預(yù)先規(guī)定的最小值進行檢測和報警。不符合要求不能進行報警可通過增加網(wǎng)絡(luò)管理系統(tǒng)對重要服務(wù)器進行監(jiān)視并對服務(wù)器的運行狀況異常實時告警。應(yīng)用安全現(xiàn)狀與差距分析某單位應(yīng)用系統(tǒng)根據(jù)國家信息安全等級保護（第三級）標(biāo)準(zhǔn)在對應(yīng)用系統(tǒng)安全進行分析時，發(fā)現(xiàn)應(yīng)用系統(tǒng)涉及到應(yīng)用系統(tǒng)的運行穩(wěn)定以及業(yè)務(wù)數(shù)據(jù)的安全可靠，故而安全防護技術(shù)手段如下：以業(yè)務(wù)系統(tǒng)自身通過代碼查錯、規(guī)則設(shè)置、權(quán)限細(xì)化等方法為主要手段，來滿足信息系統(tǒng)安全等級保護（第三級）中應(yīng)用安全部分標(biāo)準(zhǔn)項（如身份鑒別、安全審計、剩余信息保護、通信完整性、通信保密性、抗抵賴、軟件容錯、資源控制等）的要求部分標(biāo)準(zhǔn)項（如身份鑒別、訪問控制、安全審計、通信保密性等）除可通過應(yīng)用系統(tǒng)進行安全加強外，也可通過設(shè)備進行技術(shù)防護詳見下表差距分析：圖表SEQ圖表\*ARABIC5應(yīng)用安全現(xiàn)狀序號要求指標(biāo)項是否符合差距分析備注網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第52頁。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第52頁。身份鑒別（S3）本項要求包括：a)應(yīng)提供專用的登錄控制模塊對登錄用戶進行身份標(biāo)識和鑒別；不符合要求未采用技術(shù)手段，提供專用的登錄控制模塊對登錄用戶的身份進行標(biāo)識和鑒別。增設(shè)堡壘機，通過堡壘機用戶登陸進行身份識別和鑒別。b)應(yīng)對同一用戶采用兩種或兩種以上組合的鑒別技術(shù)實現(xiàn)用戶身份鑒別；符合要求c)應(yīng)提供用戶身份標(biāo)識唯一和鑒別信息復(fù)雜度檢查功能，保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標(biāo)識，身份網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第53頁。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第53頁。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第54頁。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第54頁。d)應(yīng)提供登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施；符合要求e)應(yīng)啟用身份鑒別、用戶身份標(biāo)識唯一性檢查、用戶身份鑒別信息復(fù)雜度檢查以及登錄失敗處理功能，并根據(jù)安全策略配置相關(guān)參數(shù)。基本符合要求2訪問控制（S3）本項要求包括：a)應(yīng)提供訪問控制功能，依據(jù)安全策略控制用戶對文件、數(shù)據(jù)庫表等客體的訪問；符合要求b)訪問控制的覆蓋范圍應(yīng)包括與資源訪問相關(guān)的主體、客體及它們之間的操作；符合要求c)應(yīng)由授權(quán)主體配置訪問控制策略，并嚴(yán)格限制默認(rèn)帳戶的訪問權(quán)限；符合要求d)應(yīng)授予不同帳戶為完成各自承擔(dān)任務(wù)所需的最小網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第55頁。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第55頁。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第56頁。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第56頁。e)應(yīng)具有對重要信息資源設(shè)置敏感標(biāo)記的功能；不合要求對重要服務(wù)器部署服務(wù)器加固系統(tǒng)，采取安全加固措施，并設(shè)置敏感標(biāo)記。f)應(yīng)依據(jù)安全策略嚴(yán)格控制用戶對有敏感標(biāo)記重要信息資源的操作；不合要求服務(wù)器加固系統(tǒng)有實現(xiàn)文件強制訪問控制、注冊表強制訪問控制、進程強制訪問控制、程序授權(quán)控制、網(wǎng)絡(luò)級訪問控制等功能。3安全審計（G3）本項要求包括：a)應(yīng)提供覆蓋到每個用戶的安全審計功能，對應(yīng)用系統(tǒng)重要安全事件進行審計；基本符合要求部署了安全審計系統(tǒng),對應(yīng)用系統(tǒng)每個用戶的安全事件進行記錄審計。b)應(yīng)保證無法單獨中斷審計進程，無法刪除、修改或覆蓋審計記錄；基本符合要求未部署安全管理系統(tǒng)部署了安全審計系統(tǒng)c)審計記錄的內(nèi)容至少應(yīng)包括事件的日期、時間、發(fā)起者信息、類網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第57頁。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第57頁。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第58頁。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第58頁。部署了安全審計系統(tǒng)d)應(yīng)提供對審計記錄數(shù)據(jù)進行統(tǒng)計、查詢、分析及生成審計報表的功能。基本符合要求部署了安全審計系統(tǒng)4剩余信息保護（S3）本項要求包括：a)應(yīng)保證用戶鑒別信息所在的存儲空間被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內(nèi)存中；網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第59頁。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第59頁。在終端Windows操作系統(tǒng)中未啟用“不顯示上次登錄名”功能項?？稍诮K端Windows操作系統(tǒng)啟用“不顯示上次登錄名”功能項。b)應(yīng)保證系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間被釋放或重新分配給其他用戶前得到完全清除。不符合要求在終端Windows操作系統(tǒng)中未啟用“關(guān)機前清除虛擬內(nèi)存頁面”功能項。在終端Windows操作系統(tǒng)中未啟用“關(guān)機前清除虛擬內(nèi)存頁面”功能項。5通信完整性（S3）本項要求包括：應(yīng)采用密碼技術(shù)保證通信過程中數(shù)據(jù)的完整性。符合要求在應(yīng)用軟件編程中，對通信的保密性提出要求。6通信保密性（S3）本項要求包括：a)在通信雙方建立連接之前，應(yīng)用系統(tǒng)應(yīng)利用密碼技術(shù)進行會話初始化驗證；符合要求在應(yīng)用軟件編程中，對通信的保密性提出要求。b)應(yīng)對通信過程中的整個報文或會話過程進行加密。符合要求應(yīng)用軟件中應(yīng)有此功能7抗抵賴（G3）本項要求包括：a)應(yīng)具有在請求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)原發(fā)證據(jù)的功能；符合要求應(yīng)用軟件有此項功能。b)應(yīng)具有在請求的情況下為數(shù)據(jù)網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第60頁。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第60頁。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第61頁。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第61頁。應(yīng)用軟件有此項功能。8軟件容錯（A3）本項要求包括：a)應(yīng)提供數(shù)據(jù)有效性檢驗功能，保證通過人機接口輸入或通過通信接口輸入的數(shù)據(jù)格式或長度符合系統(tǒng)設(shè)定要求；符合要求應(yīng)用軟件有此項功能。b)應(yīng)提供自動保護功能，當(dāng)故障發(fā)生時自動保護當(dāng)前所有狀態(tài)，保證系統(tǒng)能夠進行恢復(fù)。符合要求應(yīng)用軟件提供斷點保護和恢復(fù)功能。9資源控制（A3）本項要求包括：a)當(dāng)應(yīng)用系統(tǒng)的通信雙方中的一方在一段時間內(nèi)未作任何響應(yīng)，另一方應(yīng)能夠自動結(jié)束會話；符合要求如果通信雙方中有一方在10分鐘內(nèi)未作任何響應(yīng)，應(yīng)自動結(jié)束會話，釋放網(wǎng)絡(luò)連接。b)應(yīng)能夠?qū)ο到y(tǒng)的最大并發(fā)會話連接數(shù)進行限制；符合要求應(yīng)當(dāng)提供系統(tǒng)的實際要求，設(shè)定最大并發(fā)會話連接數(shù)。c)應(yīng)能夠?qū)蝹€帳戶的多重并發(fā)會話進行限制；符合要求滿足d)應(yīng)能夠?qū)σ粋€時間段內(nèi)可能的網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第62頁。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第62頁。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第63頁。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第63頁。應(yīng)當(dāng)業(yè)務(wù)應(yīng)用系統(tǒng)和實際需要設(shè)定。e)應(yīng)能夠?qū)σ粋€訪問帳戶或一個請求進程占用的資源分配最大限額和最小限額；符合要求滿足f)應(yīng)能夠?qū)ο到y(tǒng)服務(wù)水平降低到預(yù)先規(guī)定的最小值進行檢測和報警；不符合要求不滿足后期建議部署網(wǎng)管運維軟件g)應(yīng)提供服務(wù)優(yōu)先級設(shè)定功能，并在安裝后根據(jù)安全策略設(shè)定訪問帳戶或請求進程的優(yōu)先級，根據(jù)優(yōu)先級分配系統(tǒng)資源。符合要求在系統(tǒng)中應(yīng)可根據(jù)用戶的權(quán)限設(shè)定服務(wù)等級及優(yōu)先級，并保證優(yōu)先級用戶首先使用系統(tǒng)資源的權(quán)力。數(shù)據(jù)安全現(xiàn)狀與差距分析信息系統(tǒng)的安全核心是數(shù)據(jù)的安全，某單位網(wǎng)絡(luò)中有全局正常運行信息的數(shù)據(jù)，一旦數(shù)據(jù)出現(xiàn)被盜取、被篡改、被刪除，小則造成小范圍的某單位業(yè)務(wù)受影響，大則將對全局辦公、經(jīng)濟利益或社會形象造成不可彌補的損失。一旦出現(xiàn)意外，數(shù)據(jù)的還原、恢復(fù)顯得尤為重要。目前某單位對數(shù)據(jù)的備份主要采用維護工程師定期進行手動備份和數(shù)據(jù)被備份一體機的方式，備份范圍包含業(yè)務(wù)關(guān)鍵數(shù)據(jù)，且是備份在本地?？赡軙霈F(xiàn)以下情況：出現(xiàn)極端自然災(zāi)害，數(shù)據(jù)存儲介質(zhì)出現(xiàn)損壞，數(shù)據(jù)損壞后無法恢復(fù)；詳見下表差距分析：圖表SEQ圖表\*ARABIC6數(shù)據(jù)安全現(xiàn)狀序號要求指標(biāo)項是否符合差距分析備注1數(shù)據(jù)完整性（S3）本項要求包括：a)應(yīng)能夠檢測到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過程中完整性受到破壞，并在檢測網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第64頁。到完整性錯誤時采取必要網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第64頁。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第65頁。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第65頁。數(shù)據(jù)備份一體機應(yīng)帶有此功能b)應(yīng)能夠檢測到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在存儲過程中完整性受到破壞，并在檢測到完整性錯誤時采取必要的恢復(fù)措施。基本符合要求數(shù)據(jù)備份一體機應(yīng)帶有此功能2數(shù)據(jù)保密性（S3）本項要求包括：a)應(yīng)采用加密或其他有效措施實現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)傳輸保密性；基本符合要求數(shù)據(jù)備份一體機應(yīng)帶有此功能b)應(yīng)采用加密或其他保護措施實現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)存儲保密性。基本符合要求數(shù)據(jù)備份一體機應(yīng)帶有此功能3備份和恢復(fù)（A3）本項要求包括：a)應(yīng)提供本地數(shù)據(jù)備份與恢復(fù)功能，完全數(shù)據(jù)備份至少每天一次，備份介質(zhì)場外存放；符合要求滿足部署服務(wù)器數(shù)據(jù)備份系統(tǒng)。b)應(yīng)提供異地數(shù)據(jù)備份功能，利用通信網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)定時批量傳送至備用場地；不符合要求不滿足有本地備份一體機，后期建議完善異地備份機制。c)應(yīng)采用冗余技術(shù)設(shè)計網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，避免關(guān)鍵節(jié)點存在單點故障；符合要求滿足d)應(yīng)提供主要網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余，保證系統(tǒng)的高可用性。符合要求滿足網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第66頁。安全管理現(xiàn)狀與差距分析網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第66頁。某單位在日常的運行維護管理中，根據(jù)自身的情況有制定一些安全管理制度并執(zhí)行，但沒有進行系統(tǒng)而規(guī)范的制度文件體系建設(shè)，以及相應(yīng)制度執(zhí)行記錄歸檔保存。根據(jù)等級保護管理安全要求，仍有部分制度需要進行完善。管理制度建議如下表：圖表SEQ圖表\*ARABIC7安全管理現(xiàn)狀類別管理內(nèi)容制度包括的主要內(nèi)容現(xiàn)狀分析備注網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第67頁。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第67頁。資產(chǎn)安全管理對信息系統(tǒng)相關(guān)的資產(chǎn)清單、分類與標(biāo)識、使用、轉(zhuǎn)移、廢棄等做出規(guī)定。不滿足對信息系統(tǒng)相關(guān)的資產(chǎn)清單、分類與標(biāo)識、使用、轉(zhuǎn)移、廢棄等做出規(guī)定。機房安全管理對進出機房的人員和設(shè)備，機房監(jiān)控、機房值班、機房環(huán)境保障等做出規(guī)定。不滿足對進出機房的人員和設(shè)備，機房監(jiān)控、機房值班、機房環(huán)境保障等做出規(guī)定。設(shè)備安全管理對設(shè)備的放置、使用、維護、維修、報廢等做出規(guī)定。不滿足對設(shè)備的放置、使用、維護、維修、報廢等做出規(guī)定。介質(zhì)安全管理對介質(zhì)的歸檔、存放、使用、銷毀等做出規(guī)定。不滿足對介質(zhì)的歸檔、存放、使用、銷毀等做出規(guī)定。網(wǎng)絡(luò)網(wǎng)絡(luò)安全管理對網(wǎng)絡(luò)及安全設(shè)備的操作、配置、日志記錄和監(jiān)控等做出規(guī)定。不滿足對網(wǎng)絡(luò)及安全設(shè)備的操作、配置、日志記錄和監(jiān)控等做出規(guī)定。系統(tǒng)系統(tǒng)安全管理對服務(wù)器和數(shù)據(jù)庫等的操作、配置、日志記錄和監(jiān)控等做出規(guī)定。不滿足對服務(wù)器和數(shù)據(jù)庫等的操作、配置、日志記錄和監(jiān)控等做出規(guī)定。應(yīng)用數(shù)據(jù)安全管理對信息系統(tǒng)數(shù)據(jù)保存、備份、使用等做出規(guī)定。不滿足對信息系統(tǒng)數(shù)據(jù)保存、備網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第68頁。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第68頁。病毒防護管理對病毒防護系統(tǒng)的管理、使用和升級等做出規(guī)定不滿足對病毒防護系統(tǒng)的管理、使用和升級等做出規(guī)定終端計算機管理對終端計算機的日常使用、軟件安裝，入網(wǎng)、維修、報廢等做出規(guī)定。不滿足對終端計算機的日常使用、軟件安裝，入網(wǎng)、維修、報廢等做出規(guī)定。便攜計算機管理對便攜計算機的使用、密碼保護、入網(wǎng)、文件存儲、維修等做出規(guī)定。不滿足對便攜計算機的使用、密碼保護、入網(wǎng)、文件存儲、維修等做出規(guī)定。移動存儲介質(zhì)管理對移動存儲介質(zhì)的使用、管理、維修等做出規(guī)定。不滿足對移動存儲介質(zhì)的使用、管理、維修等做出規(guī)定。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第69頁。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第69頁。項目安全審核對信息化項目安全需求、安全保障方案及保護等級等做出規(guī)定。不滿足對信息化項目安全需求、安全保障方案及保護等級等做出規(guī)定。系統(tǒng)開發(fā)安全管理對開發(fā)環(huán)境、代碼安全、上線測試、開發(fā)人員保密責(zé)任等做出規(guī)定。不滿足對開發(fā)環(huán)境、代碼安全、上線測試、開發(fā)人員保密責(zé)任等做出規(guī)定。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第70頁。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第70頁。機構(gòu)和人員管理對設(shè)立安全管理機構(gòu)、機構(gòu)職能、人員職責(zé)及管理，如重要崗位保密責(zé)任、人員離崗離職等方面做出規(guī)定。不滿足對設(shè)立安全管理機構(gòu)、機構(gòu)職能、人員職責(zé)及管理，如重要崗位保密責(zé)任、人員離崗離職等方面做出規(guī)定。運行維護管理對日常運行維護的流程、操作等做出規(guī)定。不滿足對日常運行維護的流程、操作等做出規(guī)定。用戶管理對普通業(yè)務(wù)用戶、重要業(yè)務(wù)用戶、特權(quán)用戶（網(wǎng)絡(luò)、系統(tǒng)、安全管理員）的審批、權(quán)限、安全要求等做出規(guī)定。不滿足對普通業(yè)務(wù)用戶、重要業(yè)務(wù)用戶、特權(quán)用戶（網(wǎng)絡(luò)、系統(tǒng)、安全管理員）的審批、權(quán)限、安全要求等做出規(guī)定。密碼管理對信息系統(tǒng)中使用的密碼強度、變更和保存等做出規(guī)定。不滿足對信息系統(tǒng)中使用的密碼強度、變更和保存等做出規(guī)定。應(yīng)急管理對應(yīng)急計劃、處理、實施、演練等做出規(guī)定。不滿足對應(yīng)急計劃、處理、實施、演練等做出規(guī)定。變更管理對信息系統(tǒng)的變更申報、審批流程以及實施等做出規(guī)定。不滿足對信息系統(tǒng)的變更申報、審批流程以及實網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第71頁。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第71頁。網(wǎng)絡(luò)安全檢查對網(wǎng)絡(luò)安全檢查流程、工作內(nèi)容等做出規(guī)定。不滿足對網(wǎng)絡(luò)安全檢查流程、工作內(nèi)容等做出規(guī)定。eq\o\ac(○,注)：以上制度體系僅供參考，請結(jié)合某單位實際情況進行制定，建議相關(guān)制度文件以紅頭文件發(fā)布并歸檔保存，對制度執(zhí)行過程中形成的相關(guān)記錄需定期歸檔保存。安全技術(shù)需求物理和環(huán)境安全需求物理和環(huán)境安全主要影響因素包括機房環(huán)境、機柜、電源、服務(wù)器、網(wǎng)絡(luò)設(shè)備和其他設(shè)備的物理環(huán)境。該層面為基礎(chǔ)設(shè)施和業(yè)務(wù)應(yīng)用系統(tǒng)提供了一個生成、處理、存儲和傳輸數(shù)據(jù)的物理環(huán)境。具體安全需求如下：由于機房容易遭受雷擊、地震和臺風(fēng)等自然災(zāi)難威脅，需要通過對物理位置進行選擇，及采取防雷擊措施等來解決雷擊、地震和臺風(fēng)等威脅帶來的問題；由于機房容易遭受水患和火災(zāi)等災(zāi)害威脅，需要采取防水、防潮、防火措施來解決水患和火災(zāi)等威脅帶來的安全威脅；網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第72頁。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第72頁。由于機房電壓波動影響，需要合理設(shè)計電力供應(yīng)系統(tǒng)來解決因電壓波動帶來的安全威脅；針對機房供電系統(tǒng)故障，需要合理設(shè)計電力供應(yīng)系統(tǒng)，如：購買UPS系統(tǒng)、建立發(fā)電機機房，鋪設(shè)雙電力供電電纜來保障電力的供應(yīng)，來解決因供電系統(tǒng)故障帶來的安全威脅；針對機房容易遭受靜電、設(shè)備寄生耦合干擾和外界電磁干擾，需要采取防靜電和電磁防護措施來解決靜電、設(shè)備寄生耦合干擾和外界電磁干擾帶來的安全威脅；針對機房容易遭受強電磁場、強震動源、強噪聲源等污染，需要通過對物理位置的選擇、采取適當(dāng)?shù)碾姶欧雷o措施，來解決強電磁場、強震動源、強噪聲源等污染帶來的安全隱患；針對利用非法手段進入機房內(nèi)部盜竊、破壞等安全威脅，需要通過進行環(huán)境管理、采取物理訪問控制策略、實施防網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第73頁。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第73頁。針對利用工具捕捉電磁泄漏的信號，導(dǎo)致信息泄露的安全威脅，需要通過采取防電磁措施，來解決電磁泄漏帶來的安全問題。網(wǎng)絡(luò)和通信安全需求網(wǎng)絡(luò)和通信層指利用網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器、通信線路以及接入鏈路等設(shè)備或部件共同建成的、可以用于在本地或遠(yuǎn)程傳輸數(shù)據(jù)的網(wǎng)絡(luò)環(huán)境。具體安全需求如下：針對網(wǎng)絡(luò)架構(gòu)設(shè)計不合理而影響業(yè)務(wù)通信或傳輸問題，需要通過優(yōu)化設(shè)計、安全域改造完成。針對利用通用安全協(xié)議、算法、軟件等缺陷獲取信息或破壞通信完整性和保密性，需要通過數(shù)據(jù)加密技術(shù)、數(shù)據(jù)校驗技術(shù)來保障。針對內(nèi)部人員未授權(quán)違規(guī)連接外部網(wǎng)絡(luò)，或者外部人員未經(jīng)許可隨意接入內(nèi)部網(wǎng)絡(luò)而引發(fā)的安全風(fēng)險，以及因使用無線網(wǎng)絡(luò)傳輸?shù)囊苿咏K端而帶來的安全接入風(fēng)險等問題，網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第74頁。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第74頁。針對通過分布式拒絕服務(wù)攻擊惡意地消耗網(wǎng)絡(luò)、操作系統(tǒng)和應(yīng)用系統(tǒng)資源，導(dǎo)致拒絕服務(wù)或服務(wù)停止的安全風(fēng)險，需要通過抗DDoS攻擊防護、服務(wù)器主機資源優(yōu)化、入侵檢測與防范、網(wǎng)絡(luò)結(jié)構(gòu)調(diào)整與優(yōu)化等手段來解決。針對攻擊者越權(quán)訪問文件、數(shù)據(jù)或其他資源，需要通過訪問控制、身份鑒別等技術(shù)來解決。針對利用網(wǎng)絡(luò)協(xié)議、操作系統(tǒng)或應(yīng)用系統(tǒng)存在的漏洞進行惡意攻擊（如碎片重組，協(xié)議端口重定位等），需通過網(wǎng)絡(luò)入侵檢測、惡意代碼防范等技術(shù)措施來解決。針對利用網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計缺陷旁路安全策略，未授權(quán)訪問網(wǎng)絡(luò)，需通過訪問控制、身份鑒別、網(wǎng)絡(luò)結(jié)構(gòu)優(yōu)化和調(diào)整等綜合方法解決。針對眾多網(wǎng)絡(luò)設(shè)備、安全設(shè)備、通信線路等基礎(chǔ)設(shè)施環(huán)境不能有效、統(tǒng)一監(jiān)測、分析，以及集中安全策略分發(fā)、漏洞補丁升級等安全管理問題，需要通過集中安全管控機制來解決。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第75頁。設(shè)備和計算安全需求網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第75頁。設(shè)備和計算安全包括各類網(wǎng)絡(luò)設(shè)備、服務(wù)器、管理終端和其他辦公設(shè)備系統(tǒng)層的安全風(fēng)險。主要涵蓋兩個方面，一是來自系統(tǒng)本身的脆弱性風(fēng)險；另一個是來自用戶登錄帳號、權(quán)限等系統(tǒng)使用、配置和管理等風(fēng)險。具體如下：針對用戶帳號權(quán)限設(shè)置不合理、帳號暴力破解等等安全風(fēng)險，需要通過帳號管理、身份鑒別、訪問控制等技術(shù)手段解決。針對在網(wǎng)頁瀏覽、文檔傳遞、介質(zhì)拷貝或文件下載、郵件收發(fā)時而遭受惡意代碼攻擊的安全風(fēng)險，需通過惡意代碼防范技術(shù)手段解決。針對操作用戶對系統(tǒng)錯誤配置或更改而引起的安全風(fēng)險，需通過安全配置核查、終端安全管控等技術(shù)手段解決。針對設(shè)備系統(tǒng)自身安全漏洞而引起被攻擊利用的安全風(fēng)險，需要通過漏洞掃描技術(shù)、安全加固服務(wù)等手段解決。針對通過惡意代碼或木馬程序?qū)χ鳈C、網(wǎng)絡(luò)設(shè)備或應(yīng)用系統(tǒng)進行攻擊的安全威脅，需通過惡意代碼防護、入侵檢測、身份鑒別、訪問控制、安全審計等技術(shù)手段解決。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第76頁。應(yīng)用和數(shù)據(jù)安全需求網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第76頁。應(yīng)用和數(shù)據(jù)安全涉及業(yè)務(wù)應(yīng)用系統(tǒng)及重要數(shù)據(jù)傳輸、存儲的安全問題。具體安全需求如下：針對利用各種工具獲取應(yīng)用系統(tǒng)身份鑒別數(shù)據(jù)，進行分析獲得鑒別內(nèi)容，從而未授權(quán)訪問、使用應(yīng)用軟件、文件和數(shù)據(jù)的安全風(fēng)險，需要采用兩種或兩種以上鑒別方式來，可通過應(yīng)用系統(tǒng)開發(fā)或第三方輔助系統(tǒng)來保證對應(yīng)用系統(tǒng)登錄鑒別安全；針對應(yīng)用系統(tǒng)缺陷、接口設(shè)計等導(dǎo)致被惡意攻擊利用、數(shù)據(jù)丟失或運行中斷而影響服務(wù)連續(xù)性的安全風(fēng)險，需要通過對產(chǎn)品采購、自行軟件開發(fā)、外包軟件和測試驗收進行流程管理，同時保證應(yīng)用軟件具備自我容錯能力；針對應(yīng)用系統(tǒng)過度使用內(nèi)存、CPU等系統(tǒng)資源，需要對應(yīng)用軟件進行實時的監(jiān)控管理，同時對系統(tǒng)資源進行管控來解決；針對由于應(yīng)用系統(tǒng)存儲數(shù)據(jù)而引發(fā)的數(shù)據(jù)損毀、丟失等數(shù)據(jù)安全問題，需通過本地數(shù)據(jù)備份和異地容災(zāi)備份等手段來解決；網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第77頁。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第77頁。安全管理需求安全策略和管理制度安全策略和管理制度涉及安全方針、總體安全策略、安全管理制度、審批流程管理和安全檢查管理等方面。其安全需求如下：需要制定信息安全工作的總體方針、政策性文件和安全策略等，說明機構(gòu)安全工作的總體目標(biāo)、范圍、方針、原則、責(zé)任等；需要建立安全管理制度，對管理活動進行制度化管理，制定相應(yīng)的制定和發(fā)布制度；需要對安全管理制度進行評審和修訂，不斷完善、健全安全制度；需要建立相應(yīng)的審批部門，進行相關(guān)工作的審批和授權(quán)；需要建立協(xié)調(diào)機制，就信息安全相關(guān)的業(yè)務(wù)進行協(xié)調(diào)處理；網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第78頁。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第78頁。需要建立恰當(dāng)?shù)穆?lián)絡(luò)渠道，進行溝通和合作，進行事件的有效處理；需要建立審核和檢查的制度，對安全策略的正確性和安全措施的合理性進行審核和檢查；需要建立備案管理制度，對系統(tǒng)的定級進行備案；需要建立產(chǎn)品采購，系統(tǒng)測試和驗收制度，確保安全產(chǎn)品的可信度和產(chǎn)品質(zhì)量；安全管理機構(gòu)和人員安全管理機構(gòu)和人員管理涉及安全部門設(shè)置、人員崗位設(shè)置、人員安全管理等方面。其安全需求如下：需要建立專門安全職能部門，設(shè)置安全管理崗位，配備安全管理人員、網(wǎng)絡(luò)管理人員、系統(tǒng)管理人員；需要對人員的錄用進行必要的管理，確保人員錄用的安全；需要對人員離崗進行有效的管理，確保人員離崗不會帶來安全問題；網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第79頁。網(wǎng)絡(luò)安全等保三級建設(shè)整改方案-網(wǎng)絡(luò)安全等級保護第三級建設(shè)整改方案全文共307頁，當(dāng)前為第79頁。需要對人員進行安全意識的教育和培訓(xùn)，提高人員的安全意識；需要對第三方人員進行嚴(yán)格控制，確保第三方人員訪問的安全。安全建設(shè)管理安全建設(shè)管理涉及安全方案設(shè)計、安全集成建設(shè)、變更控制管理、工程質(zhì)量管理，以及應(yīng)急事件處置等方面。其安全需求如下：需