技术方案-集团信息安全建设方案.doc

。 -可编辑修改- 某某集集团团信信息息安安全全建建设设方方案案 2011年年7月月 。 -可编辑修改- 目目录录 1.前言前言.3 1.1.项目背景.3 1.2.安全目标.4 1.3.设计范围.4 1.4.设计依据.4 1.5.设计原则.5 2.信息系信息系统统分析分析.7 2.1.网络现状描述.7 2.2.计算机基础设施建设方面.8 2.3.业务应用系统现状.8 2.4.安全定级情况.8 3.安全需求分析安全需求分析.9 3.1.等级保护基本需求分析.9 3.1.1.信息系统安全等级保护基本要求说明.9 3.1.2.技术类安全需求.11 .物理安全.11 .网络安全.12 .主机安全.14 .应用安全.15 .数据安全及备份恢复.16 3.1.3.管理类安全需求.16 .安全管理制度.16 .安全管理机构.16 .人员安全管理.17 .系统建设管理.17 .系统运维管理.17 3.2.额外/特殊保护需求分析.18 3.2.1.重要资产分析.18 3.2.2.安全弱点分析.18 3.2.3.安全威胁分析.20 3.2.4.安全风险分析.23 .物理层面的安全风险.23 .网络层面的安全风险.23 .主机层面的安全风险.25 .应用层面的安全风险.26 .管理方面的安全风险.27 3.2.5.额外/特殊保护需求分析.28 3.3.安全需求总结.29 3.3.1.安全技术防护.29 。 -可编辑修改- .通信网络安全.30 .区域边界安全.31 .计算环境安全.31 .安全管理中心.32 3.3.2.安全管理措施.33 .安全管理组织.34 .安全管理制度.34 .安全运维服务.34 4.总总体安全体安全设计设计.35 4.1.安全体系框架.35 4.2.安全策略体系.35 4.3.安全组织体系.36 4.3.1.安全组织建设.36 4.3.2.人员安全管理.37 4.4.安全技术体系.38 4.4.1.安全技术体系框架.38 4.4.2.安全域划分.40 4.4.3.安全技术措施选择.41 .区域边界安全保护措施.41 .通信网络安全保护措施.42 .计算环境安全保护措施.42 .安全管理中心.46 4.4.4.安全软硬件产品部署.48 4.5.安全运行体系.50 5.信息安全建信息安全建设规设规划划.51 5.1.信息安全总体建设过程.51 5.2.信息安全工程实施规划.53 5.2.1.阶段一：实现基本的安全部署.53 5.2.2.阶段二：实现全面的安全部署.55 5.2.3.阶段三：实现全面的安全优化.56 6.安全安全产产品采品采购预购预算算.56 。 -可编辑修改- 1. 前言前言 1.1. 项项目背景目背景 某集团为提高企业竞争力、适应新环境、实现科学管理、融入全球经济，已 经启动 ERP 项目，吹响了全面实施信息化管理的号角。企业 ERP 是一个以管理 会计为核心的信息系统，识别和规划企业资源，从而获取客户订单，完成加工和 交付，最后得到客户付款。换言之，ERP 将企业内部所有资源整合在一起，对采 购、生产、成本、库存、分销、运输、财务、人力资源进行规划，从而达到最佳资源 组合，取得最佳效益。ERP 系统的合理运用将改变企业运作的面貌，给企业的经 营管理带来深刻变革，但与此同时，集中的数据处理，多方位多层次的信息应用 也将为某集团带来新的问题信息安全。 由于某集团的信息系统安全问题直接关系到生产、销售、人力资源管理等诸 多核心业务的顺利开展，因此，在不断加强企业 ERP 建设的同时，信息安全也成 为集团企业必须努力解决的首要问题。某集团领导也充分认识到了在进行信息 系统建设的同时，同步建设信息安全保障体系的必要性，决定启动信息安全建设 项目，对信息系统可能面临的风险进行分析、控制，全面提升某集团信息系统的 安全防护能力，尽快打造出一个高效、稳定、安全的网络及系统环境，为某集团 即将上线的 ERP 系统保驾护航。 对信息系统分级实行保护是国际上通行的做法，我国也已经把等级保护制 度列入国务院关于加强信息安全保障工作的意见之中，对影响到国家安全、社 会稳定、公众利益的重要部门实施强制监管，对信息系统按照重要程度划分不同 的安全等级进行安全保护，并制定和发布了一系列相应的信息安全建设、管理的 。 -可编辑修改- 政策和标准。如何遵照国家的信息安全等级保护制度更为有效地保护重要领域 的信息网络，建立安全保障的长效机制将是今后我国信息安全建设的重点。某集 团作为我国重点国有企业之一，其信息系统的重要性不言而喻，依据国家等级保 护建设的相关要求和规范，结合自身发展要求和业务应用特点，建立一套符合实 际的按等级标准进行保护的信息安全体系是必要的，也是必须的。 1.2. 安全目安全目标标 本项目的建设目标是在国家信息系统安全等级保护相关政策和标准的指导 下，结合某集团 ERP 系统的安全需求分析，通过信息安全保障总体规划、信息安 全管理体系建设、信息安全技术策略设计以及信息安全产品集成实施等，全面提 升某集团 ERP 系统的安全性，能面对目前和未来一段时期内的安全威胁，实现 对全网安全状况的统一管理，更好地保障某集团 ERP 系统的正常运行，全面提 升某集团信息系统的安全保护水平，并达到国家信息安全等级保护相关标准的 要求。 通过本次项目的实施，将为某集团信息系统构建技术与管理相结合的全方位、 多层次、可动态发展的纵深安全防范体系。 1.3. 设计设计范范围围 本项目的设计范围为某集团 ERP 系统，以集团总部为重点进行建设，并对各 分支机构提出建议。 1.4. 设计设计依据依据 基于某集团业务的特殊性，其信息安全保障体系的建设，除了要满足系统安 。 -可编辑修改- 全可靠运行的需求，还必须符合国家和行业相关政策和要求。我们国家对信息安 全保障工作非常重视，国家相关部门陆续出台了相应的文件和要求，因此本项目 的建设应当遵从国务院、公安部、国资委等相关机构的要求，参考国际、国内、行 业信息安全标准和规范，对信息安全保障体系进行全面、深入的规划和设计，确 保某集团信息系统安全保障体系建设的先进性和规范化。 某集团信息安全建设中需遵从的信息安全政策法规包括： 中华人民共和国计算机信息系统安全保护条例（国务院 1994 年 147 号 令） 国家信息化领导小组关于加强信息安全保障工作的意见（中办2003 27 号） 关于信息安全等级保护工作的实施意见（公通字200466 号） 信息安全等级保护管理办法（公通字200743 号） 关于开展信息安全等级保护安全建设整改工作的指导意见（公信安 20091429 号） 关于进一步推进中央企业信息安全等级保护工作的通知（公通字2010 70 号） 某集团信息安全建设中需参照的信息安全标准规范包括： 计算机信息系统安全保护等级划分准则（GB 17859-1999） 信息安全技术 信息系统安全等级保护实施指南 信息安全技术 信息系统安全等级保护定级指南（GB/T 22240-2008） 信息安全技术 信息系统安全等级保护基本要求（GB/T 22239-2008） 信息安全技术 信息系统安全管理要求（GB/T 20269-2006） 。 -可编辑修改- 信息安全技术 信息系统通用安全技术要求（GB/T 20271-2006） 信息系统等级保护安全设计技术要求（GB/T 24856-2009） 某集团 ERP 系统信息安全建设中可借鉴的其他信息安全标准包括： GB/T 22080-2008（idt ISO/IEC 27001:2005）信息技术 安全技术 信息安 全管理体系要求 GB/T 22081-2008（idt ISO/IEC 27002:2005）信息技术 安全技术 信息安 全管理实用准则 ISO/IEC 13335信息技术 安全技术 信息技术安全管理指南 IATF信息保障技术框架 1.5. 设计设计原原则则 某集团信息安全保障体系的建设需要充分考虑长远发展需求，统一规划、统 一布局、统一设计、规范标准，并根据实际需要及投资金额，突出重点、分步实施， 保证系统建设的完整性和投资的有效性。在方案设计和项目建设中应当遵循以 下的原则： 统统一一规规划、分步划、分步实实施原施原则则 在信息安全保障技术体系的建设过程中，将首先从一个完整的网络系统体 系结构出发，全方位、多层次的综合考虑信息网络的各种实体和各个环节，运用 信息系统工程的观点和方法论进行统一的、整体性的设计，将有限的资源集中解 决最紧迫问题，为后继的安全实施提供基础保障，通过逐步实施，来达到信息网 络系统的安全强化。从解决主要的问题入手，伴随信息系统应用的开展，逐步提 高和完善信息系统的建设，充分利用现有资源进行合理整合的原则。 。 -可编辑修改- 标标准性和准性和规规范化原范化原则则 信息安全保护体系建设应当严格遵循国家和行业有关法律法规和技术规范 的要求，从业务、技术、运行管理等方面对项目的整体建设和实施进行设计，充 分体现标准化和规范化。 重点保重点保护护原原则则 根据信息系统的重要程度、业务特点，通过划分不同安全保护等级的信息系 统，实现不同强度的安全保护，集中资源优先保护涉及核心业务或关键信息资产 的信息系统；本方案在设计中将重点保护某集团总部网络信息系统，防范来自内、 外网络的安全威胁。 适度安全原适度安全原则则 任何信息系统都不能做到绝对的安全，在安全规划过程中，要在安全需求、 安全风险和安全成本之间进行平衡和折中，过多的安全要求必将造成安全成本 的迅速增加和运行的复杂性。 适度安全也是等级保护建设的初衷，因此在进行等级保护设计的过程中，一 方面要严格遵循基本要求，从网络、主机、应用、数据等层面加强防护措施，保障 信息系统的机密性、完整性和可用性，另外也要综合成本的角度，针对信息系统 的实际风险，提出对应的保护强度，并按照保护强度进行安全防护系统的设计和 建设，从而有效控制成本。 技技术术管理并重原管理并重原则则 信息安全问题从来就不是单纯的技术问题，把防范黑客入侵和病毒感染理 解为信息安全问题的全部是片面的，仅仅通过部署安全产品很难完全覆盖所有 的信息安全问题，因此必须要把技术措施和管理措施结合起来，更有效的保障信 。 -可编辑修改- 息系统的整体安全性。 先先进进形和成熟性原形和成熟性原则则 所建设的安全体系应当在设计理念、技术体系、产品选型等方面实现先进性 和成熟性的统一。本方案设计采用国际、国内先进实用的安全技术和安全产品， 选择目前和未来一定时期内有代表性和先进性的成熟的安全技术，既保证当前 系统的高安全可靠，又满足系统在很长生命周期内有持续的可维护和可扩展性。 动态调动态调整原整原则则 信息安全问题不是静态的。信息系统安全保障体系的设计和建设，必须遵循 动态性原则。必须适应不断发展的信息技术和不断改变的脆弱性，必须能够及时 地、不断地改进和完善系统的安全保障措施。 经济经济性原性原则则 项目设计和建设过程中，将充分利用现有资源，在可用性的前提条件下充分 保证系统建设的经济性，提高投资效率，避免重复建设。 2. 信息系信息系统统分析分析 信息系统分析是为了确定信息安全体系设计应覆盖的范围，并根据分析结果 进行信息系统划分和安全保护级别定义。 2.1. 网网络现络现状描述状描述 目前集团信息系统主要分布在北京、上海、兰州、长春、武汉、成都等几个地 方，每个地方的信息系统都不是非常的完善，信息化的步伐需要大大加强。 。 -可编辑修改- 图 2-1 集团信息系统分布示意图 2.2. 计计算机基算机基础设础设施建施建设设方面方面 目前集团有9个分支机构，集团有三台IBM X系列服务器和一个EMC磁盘阵 列。服务器上有集团网站、OA系统、用友U8财务系统、久琪预算系统 。 2.3. 业务应业务应用系用系统现统现状状 目前，集团先后建立办公OA、预算系统邮件系统、生产系统、财务系统等多 个信息化应用系统。这些系统对于一个集团公司的发展来说，远远不够。 2.4. 安全安全定定级级情况情况 信息系统定级是等级保护工作的首要环节，是开展信息系统安全建设整改、 等级测评、监督检查等后续工作的重要基础。根据信息安全等级保护管理办法， 。 -可编辑修改- 信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中 的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、 法人和其他组织的合法权益的危害程度等因素确定。 某集团 ERP 系统目前定为三级。 3. 安全需求分析安全需求分析 安全需求的主要依据是合规性要求分析和安全风险评估，通过分析国家等 级保护标准要求确定基本安全需求，同时通过分析信息系统自身可能存在的安 全风险对基本需求进行特殊/额外需求的必要补充，形成最终的安全建设需求。 3.1. 等等级级保保护护基本需求分析基本需求分析 等保合规性需求分析的目标是根据信息系统的安全保护等级，判断信息系 统现有的安全保护水平与国家等级保护管理规范和技术标准之间的差距，提出 信息系统的基本安全保护需求。由于某集团 ERP 系统为一个新建系统，尚未进 行安全建设，因此无法进行等保差距分析，以下将直接采用等级保护基本要求作 为某集团 ERP 系统安全建设的基本需求。在此基础上，结合对已知安全风险的 分析结果进行额外/特殊安全需求的补充。 3.1.1. 信息系信息系统统安全等安全等级级保保护护基本要求基本要求 说说明明 根据信息安全等级保护管理办法的规定，信息系统按照重要性和被破坏 后对国家安全、社会秩序、公共利益的危害性分为五个安全保护等级。不同安全 保护等级的信息系统有着不同的安全需求，为此，针对不同等级的信息系统提出 。 -可编辑修改- 了相应的基本安全保护要求，各个级别信息系统的安全保护要求构成了 GB/T22239-2008信息系统安全等级保护基本要求（以下简称基本要求）。 基本要求分为基本技术要求和基本管理要求两大类，其中技术要求又分 为物理安全、网络安全、主机安全、应用安全、数据安全及其备份恢复五个方面， 管理要求又分为安全管理制度、安全管理机构、人员安全管理、系统建设管理和 系统运行维护管理五个方面。 技术要求主要包括身份鉴别、自主访问控制、强制访问控制、安全审计、完 整性和保密性保护、边界防护、恶意代码防范、密码技术应用等，以及物理环境 和设施安全保护要求。技术类安全要求与信息系统提供的技术安全机制有关，主 要通过在信息系统中部署软硬件并正确配置其安全功能来实现。根据保护侧重 点的不同，技术类安全要求进一步细分为信息安全类要求（简记为 S）、服务保证 类要求（简记为 A）和通用安全保护类要求（简记为 G）。信息安全类要求是指保 护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改；服务保证 类要求是指保护系统连续正常的运行，免受对系统的未授权修改、破坏而导致系 统不可用。技术要求整体框架如下图所示： 。 -可编辑修改- 图 3-1 等级保护基本要求-技术要求 管理要求主要包括确定安全策略，落实信息安全责任制，建立安全组织机构， 加强人员管理、系统建设和运行维护的安全管理。管理类安全要求与信息系统中 各种角色参与的活动有关，主要通过控制各种角色的活动，从政策、制度、规范、 流程以及记录等方面做出规定来实现。在管理要求中提出了机房安全管理、网络 安全管理、系统运行维护管理、系统安全风险管理、资产和设备管理、数据及信 息安全管理、用户管理、安全监测、备份与恢复管理、应急处置管理、密码管理、 安全审计管理等基本安全管理制度要求，提出了建立岗位和人员管理制度、安全 教育培训制度、安全建设整改的监理制度、自行检查制度等要求。管理要求整体 框架如下图所示： 。 -可编辑修改- 图 3-2 等级保护基本要求-管理要求 由于信息系统分为五个安全保护等级，其安全保护能力逐级增高，相应的安 全保护要求和措施逐级增强，体现在两个方面：一是随着信息系统安全级别提高， 安全要求的项数增加；二是随着信息系统安全级别的提高，同一项安全要求的强 度有所增加。例如，三级信息系统基本要求是在二级基本要求的基础上，在技术 方面增加了网络恶意代码防范、剩余信息保护、抗抵赖等三项要求。同时，对身 份鉴别、访问控制、安全审计、数据完整性及保密性方面的要求在强度上有所增 加；在管理方面增加了监控管理和安全管理中心等两项要求，同时对安全管理制 度评审、人员安全和系统建设过程管理提出了进一步要求。 3.1.2. 技技术类术类安全需求安全需求 下面我们将主要参考基本要求中的第三级技术要求，提出某集团 ERP 系 统符合等级保护要求的基本技术需求。 。 -可编辑修改- .物理安全物理安全 1、物理访问控制 重要区域应配置电子门禁系统，控制、鉴别和记录进入的人员。 2、防盗窃和防破坏 应利用光、电等技术设置机房防盗报警系统； 应对机房设置监控报警系统。 3、防雷击 应设置防雷保安器，防止感应雷。 4、防火 机房应设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火； 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料； 机房应采取区域隔离防火措施，将重要设备与其他设备隔离开。 5、防水和防潮 应安装对水敏感的检测仪表或元件，对机房进行防水检测和报警。 6、防静电 主要设备应采用必要的接地防静电措施； 机房应采用防静电地板。 7、温湿度控制 机房应设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允 许的范围之内。 8、电力供应 应在机房供电线路上配置稳压器和过电压防护设备； 应提供短期的备用电力供应，至少满足主要设备在断电情况下的正常运行 。 -可编辑修改- 要求； 应建立备用供电系统。 9、电磁防护 应对关键设备和磁介质实施电磁屏蔽。 .网网络络安全安全 1、安全评估 需由专业安全服务人员根据相关要求对网络结构和网络设备进行安全评估， 并根据需要进行适当加固和提供整改建议。 2、结构安全 应保证主要网络设备的业务处理能力和网络链路的传输带宽具备冗余空间， 满足业务高峰期需要。 应按照业务类型、重要程度等对网络进行安全域划分，对重要的安全域与其 他网段、外部网络之间需采取可靠的技术隔离手段。 应按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生 拥堵的时候优先保证重要主机的通信带宽。 3、访问控制 应在网络边界部署具有会话状态检测功能的访问控制设备，控制粒度为端 口级，可控制单个用户对受控系统资源的访问，并能对进出网络的信息内容进行 过滤，实现对应用层 HTTP、FTP、TELNET、SMTP、POP3 等协议命令级的控制。 应限制网络最大流量数及网络连接数。 重要网段应采取技术手段防止地址欺骗。 。 -可编辑修改- 4、安全审计 需要开启网络设备的日志功能，对网络设备运行状况、网络流量、用户行为 等进行日志记录，审计记录应包括事件的日期和时间、用户、事件类型、事件是 否成功及其他与审计相关的信息。 能够根据记录数据进行分析，生成审计报表。需设置安全、独立的日志存储 系统，保护审计记录不被非法删除、修改或覆盖等。 5、边界完整性检查 需要部署非法接入监控系统和非法外联监控系统，对非授权设备私自联到 内部网络或内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并 对其进行有效阻断。 6、入侵防范 需要在网络边界部署网络入侵检测机制，对进出边界的网络数据流进行端 口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP 碎片攻击 和网络蠕虫攻击等的检测。 应在检测到攻击行为时，记录攻击源 IP、攻击类型、攻击目的、攻击时间，在 发生严重入侵事件时应提供报警。 7、恶意代码防范 需要在网络边界部署网关级的病毒过滤系统，对恶意代码进行检测和清除， 并提供代码库的升级和检测引擎的更新功能。 8、网络设备防护 需要部署双因素身份认证系统对网络管理员进行身份鉴别，身份鉴别信息 应不易被冒用。需要对远程身份认证过程提供加密保护。需要将系统特权用户的 。 -可编辑修改- 权限进行分离。 .主机安全主机安全 1、安全评估 需由专业安全服务人员根据相关要求对主机操作系统和数据库系统进行安 全评估，并根据需要进行适当加固和提供整改建议。 2、身份鉴别（S） 需要部署双因素身份认证系统对操作系统和数据库系统的管理员进行身份 鉴别，身份鉴别信息应不易被冒用。需要对远程身份认证过程提供加密保护。 3、访问控制（S） 应对重要信息资源设置敏感标记，依据安全策略严格控制用户对有敏感标 记重要信息资源的操作。 4、安全审计 需要对服务器操作系统、数据库系统和重要客户端操作系统进行用户行为、 系统事件的审计，审计记录应包括日期和时间、类型、主体标识、客体标识、事件 的结果等。需设置安全、独立的日志存储系统，保护审计记录不被非法删除、修 改或覆盖等。 能够根据记录数据进行分析，生成审计报表。 5、入侵防范 需要在重要服务器上部署入侵检测机制，对非法入侵和攻击行为进行检测、 记录和告警，并对系统重要程序的完整性进行检测和保护。 6、恶意代码防范 需安装网络版防病毒软件，提供统一管理和更新，且需与网关防病毒系统的 。 -可编辑修改- 代码库异构。 7、资源控制（A） 需要对重要服务器的运行情况进行实时监视，包括监视服务器的 CPU、硬盘、 内存、网络等资源的使用情况，限制单个用户对系统资源的最大或最小使用限度， 并能够对系统的服务水平降低到预先规定的最小值进行检测和报警。 .应应用安全用安全 1、安全评估 需由专业安全服务人员根据相关要求对应用系统进行安全评估，并根据需 要进行适当加固和提供整改建议。 2、身份鉴别（S） 需要部署双因素身份认证系统对应用系统用户进行身份鉴别，身份鉴别信 息应不易被冒用。 3、访问控制（S） 应对重要信息资源设置敏感标记，依据安全策略严格控制用户对有敏感标 记重要信息资源的操作。 4、安全审计 需要对应用系统进行用户行为、重要安全事件的审计，审计记录应包括事件 的日期、时间、发起者信息、类型、描述和结果等。需设置安全、独立的日志存储 系统，保护审计记录不被非法删除、修改或覆盖等。 能够对记录数据进行统计、查询、分析，生成审计报表。 5、应用通信安全（S） 。 -可编辑修改- 应采用密码技术，提供通信双方的会话初始化验证，对重要通信过程进行加 解密运算和密钥管理，保证通信过程中数据的完整性，保证整个通信报文或会话 过程的保密性，保证通信双方数据收发行为的抗抵赖性。 6、资源控制（A） 需要对应用系统的运行情况进行实时监视，对系统的资源分配进行合理设 制，并能够对系统的服务水平降低到预先规定的最小值进行检测和报警。 .数据安全及数据安全及备备份恢复份恢复 1、数据传输完整性、保密性（S） 应采用密码技术或其他有效措施，保证系统管理数据、鉴别信息和重要业务 数据在传输过程中的完整性、保密性。 2、数据存储完整性、保密性（S） 应采用专门的存储安全措施，保证系统管理数据、鉴别信息和重要业务数据 在存储过程中的完整性、保密性。 3、数据备份和恢复（A） 应建立或完善数据备份和恢复机制，在提供本地备份和恢复功能的基础上， 建立异地数据备份机制。 应采用冗余技术设计网络拓扑结构，避免关键节点存在单点故障；应提供主 要网络设备、通信线路和数据处理系统的硬件冗余，保证系统的高可用性。 。 -可编辑修改- 3.1.3. 管理管理类类安全需求安全需求 .安全管理制度安全管理制度 需要制定信息安全工作的总体方针和安全策略，对安全管理活动中各类管 理内容建立安全管理制度，对管理人员或操作人员执行的日常管理操作建立操 作规程。要求形成由安全策略、管理制度、操作规程等构成的全面的信息安全管 理制度体系。 .安全管理机构安全管理机构 需要建立或完善既满足相关要求又符合实际情况的安全管理机构。应加强 与外部组织的沟通和合作，并聘请信息安全专家作为常年的安全顾问，指导信息 安全建设，参与安全规划和安全评审等。 .人人员员安全管理安全管理 需要制定既满足相关要求又符合实际情况的人员安全管理条例，并进行必 要的人员安全意识和安全技能培训。 .系系统统建建设设管理管理 需要依照等级保护相关政策和标准的要求进行系统定级、规划、设计、实施， 并委托公正的第三方测试单位对系统进行安全性测试，并出具安全性测试报告 作为验收依据。应选择具有国家相关技术资质和安全资质的测评单位至少每年 对系统进行一次等级测评，发现不符合相应等级保护标准要求的及时整改。 。 -可编辑修改- .系系统统运运维维管理管理 需要对系统运行进行维护和管理，涵盖环境管理、资产管理、 介质管理、 设备管理、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管 理、备份与恢复管理、安全事件处置、应急预案管理等各个方面，并在环境管理、 资产管理、介质管理、设备管理、网络安全管理、系统安全管理、密码管理、变更 管理、备份与恢复管理等方面要求进行规范的制度化管理。要求对安全事件根据 等级分级响应，同时加强