网络安全等保三级建设整改方案 网络安全等级保护第三级建设整改方案（技术方案）

网络安全等保三级建设整改方案（技术方案）投标方案投标人名称：****有限责任公司地址：****号二楼联系人：****1网络安全等级保护(第三级)建设/整改方案等保2.0第一章项目概述 81.1项目概述 1.2项目建设背景 81.2.1法律要求 91.2.2政策要求 1.3项目建设目标及内容 1.3.1项目建设目标 1.3.2建设内容 第二章现状与差距分析 2.1现状概述 2.1.1信息系统现状 2.2现状与差距分析 2.2.1物理安全现状与差距分析 2.2.2网络安全现状与差距分析 242.2.3主机安全现状与差距分析 2.2.4应用安全现状与差距分析 2.2.5数据安全现状与差距分析 612.2.6安全管理现状与差距分析 2.3安全技术需求 2.3.1物理和环境安全需求 2.3.2网络和通信安全需求 712网络安全等级保护(第三级)建设/整改方案等保2.02.3.3设备和计算安全需求 2.3.4应用和数据安全需求 2.4安全管理需求 2.4.1安全策略和管理制度 752.4.2安全管理机构和人员 2.4.3安全建设管理 2.4.4安全运维管理 2.5综合整改建议 2.5.1技术措施综合整改建议 792.5.2安全管理综合整改建议 第三章安全建设目标 第四章方案总体设计 4.1方案设计原则 4.1.1分区分域防护原则 4.1.2均衡性保护原则 4.1.3技术与管理相结合 4.1.4动态调整与可扩展 4.1.5网络安全三同步原则 994.2方案设计思路 第五章安全整体规划 5.1建设指导 5.1.1指导原则 5.1.2安全防护体系设计整体架构 3网络安全等级保护(第三级)建设/整改方案等保2.05.2安全技术规划 5.2.1安全建设规划拓朴图 5.2.2安全设备功能 5.3建设目标规划 第六章安全策略和方针设计 6.1总体安全方针和策略设计 6.1.1总体安全方针设计 6.1.2总体安全策略设计 6.2安全策略具体设计 6.2.1物理和环境安全策略 6.2.2网络和通信安全策略 6.2.3设备和计算安全策略 6.2.4应用和数据安全策略 第七章整体安全建设设计 7.1物理和环境安全建设 7.1.1机房场地的选择 7.1.2机房出入控制 7.1.3防盗窃和防破坏 7.1.4防雷击 7.1.6防水和防潮 7.1.7防静电 7.1.8温湿度控制 4网络安全等级保护(第三级)建设/整改方案等保2.07.1.9电力供应 7.1.10电磁防护 7.2安全技术体系设计方案 7.2.1安全计算环境防护设计 7.2.2安全区域边界防护设计 7.2.3安全通信网络防护设计 7.2.4安全管理中心设计 7.3安全管理体系设计方案 7.3.1安全策略和管理制度设计 7.3.2安全管理机构和人员管理设计 7.3.3安全建设管理 7.3.4安全运维管理 第八章安全防护部署设计方案 8.1异常流量及抗DDoS攻击系统 8.1.1产品特性 8.1.2产品部署 8.2.1产品特性 8.2.2产品部署 8.3应用交付控制系统 8.3.1产品特性 8.3.2产品部署 8.4入侵防御系统 5网络安全等级保护(第三级)建设/整改方案等保2.08.4.1产品特性 8.4.2产品部署 8.5VPN综合安全网关 8.5.1产品特性 8.5.2产品部署 8.6入侵检测系统 8.6.1产品特性 8.6.2产品部署 8.7APT攻击检测系统 8.7.1产品特性 8.7.2产品部署 8.8无线安全管理系统 8.8.1产品特性 8.8.2产品部署 8.9终端安全管理系统 8.9.1产品特性 8.9.2产品部署 8.10漏洞扫描系统 8.10.1产品特性 8.10.2产品部署 8.11Web应用安全防护系统 8.11.1产品特性 8.11.2产品部署 6网络安全等级保护(第三级)建设/整改方案等保2.08.12主机安全加固系统 8.13安全运维网关 8.13.1产品特性 8.13.2产品部署 8.14安全配置核查系统 8.14.1产品特性 8.14.2产品部署 8.15网络管理监控系统 8.16安全审计系统 8.16.1Web应用审计 8.16.2数据库审计 8.16.3综合日志审计 8.17综合安全管理平台 8.17.1产品特性 8.17.2产品部署 8.18专业安全服务 8.18.1安全风险评估 8.18.2渗透测试服务 8.18.3安全加固服务 8.18.4代码审计服务 8.18.5应急处理服务 第九章方案与等保要求对应 第十章工程建设 7网络安全等级保护(第三级)建设/整改方案等保2.010.1工程一期建设 10.1.1区域划分 10.1.2网络环境改造 10.1.3网络边界安全加固 10.1.4网络及安全设备部署 10.1.5安全管理体系建设服务 27110.1.6安全加固服务 10.1.7应急预案和应急演练 10.1.8安全等保认证协助服务 10.2工程二期建设 10.2.1安全运维管理平台(soc) 10.2.2APT高级威胁分析平台 第十一章方案预估效果 30411.1工程预期效果 8第一章项目概述1.1项目概述1.2项目建设背景 9在2017年6月1日颁发的《中华人民共和国网络安全法》中 安全检测评估：第三十八条规定，关键信息基础设施的运营 (中央编办发(2014)69号),公安部、中央网信办、中编办、联网网站安全专项整治行动方案〉的通知》(公信安(2015)2562号)1.3项目建设目标及内容 方案目标是让某单位的骨干网络、相关应用系统达到安全等级保护第三级要求。经过建设后使整体网络形成一套完善的安全防护体系，提升整体信息安全防护能力。1.3.2建设内容本项目以某单位骨干网络、信息系统等级保护建设为主线，以让相关信息系统达到安全等级保护第三级要求。借助网络产品、安全产品、安全服务、管理制度等手段，建立全网的安全防控管理服务体系，从而全面提高某单位的工作效率，提升信息化建设内容包括某单位内网骨干网络、基础设施和信息系统第二章现状与差距分析2.1现状概述1)服务器≥4台2)网络设备若干路由器、交换机、ap3)安全设备有：1台防火墙(过保)、WAF(过保)、2台ips(dmz区前IPS已过保)、上网行为管理(过保)、防病毒网关、绿盟安全审计系统、360天擎终端杀毒(只具有杀毒模块)4)存储设备：火星舱容灾备份起到至关重要的作用。某单位内网核心，由1台DPX安全业务网汇聚层：汇聚层是网络接入层和核心层的“中介”,是在工作站接入核心层前先做汇聚，以减轻核心层设备的负荷。某单位内网中，由迪普和H3C交换机作为内网的有线汇聚和内网的无线汇聚交换机。接入层：接入层向本地网段提供工作站接入。某单位内网网络中，由各种品牌的交换机作为终端前端接入交换机，为各区域在DPX核心交换机上划分VLAN和网关，整体网络中部署了防线汇聚交换机。其他各系统旁路至核心交换机上。在整体网络中部署有相应的安全设备做安全防护，但部分安全设备过保，整体网络安全防护体系不够完善、区域划分不合理，现状拓扑图如下：某单位的业务系统OA、文件交换箱等，部署于多台服务器上。服务器为机架式服务器和塔式服务器，固定于标准机柜与固网络安全等级保护(第三级)建设/整改方案等保2.0WindowsServer系列操作系统。机系统没有进行过定期更新补丁，安装有360天擎杀毒软件2.2现状与差距分析某单位机房建设过程中参照B级机房标准参考进行统一规整改；根据信息安全等级保护(第三级)中对物理安全相关项(防火、防雷、防水、防磁及电力供应等)存在些许差距。详见图表2物理安全现状是否备注物理位置的选择(G3)本项要求包括：a)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内符合要求满足避免设在建筑物的符合要求满足是否备注高层或地下室，以及用水设备的下层物理访问控制(G3)本项要求包括：a)机房出入口控制、鉴别和记录进入的人员；不符合要求不满足无相关记录b)需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围；不符合要求不满足有监控，但是没有申请和审批流程c)应对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在重要区域前设置交付或安装等过渡基本符合要求依据业务系统进行了机柜间的区域区分，但未在重要区域前设置物理隔离装在重要区域前设置物理隔离装是否备注d)重要区域应配置电子门禁系统，控制、鉴别和符合要求基本满足防盗窃和防破坏(G3)a)应将主要设备放置在机房内符合要求满足b)应将设备或主要部件进行固定，并设置明显的不易除去的标记；符合要求满足c)应将通信线可铺设在地下或管不符合要求不满足有部分线缆架设在半空中d)应对介质分类标识，存储在介符合要求满足是否备注质库或档案室中；e)应利用光、电等技术设置机房防盗报警系统；符合要求满足f)应对机房设符合要求满足防雷击(G3)本项要求包括：a)机房建筑应设置避雷装置；符合要求满足b)应设置防雷保安器，防止感应符合要求满足c)机房应设置符合要求满足防火(G3)本项要求包括：a)机房应设置火灾自动消防系统，能够自动检测基本符合要求安装有气体灭火装置是否备注并自动灭火；b)机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料；符合要求满足c)机房应采取区域隔离防火措施，将重要设备与不符合要求不满足防水和防潮(G3)不得穿过机房屋顶和活动地板下；符合要求满足b)应采取措施防止雨水通过机房窗户、屋顶和墙壁符合要求满足c)应采取措施符合满足是否备注防止机房内水蒸气结露和地下积水的转移与渗透；要求d)应安装对水敏感的检测仪表或组件，对机房进行符合要求满足防静电(G3)本项要求包括：a)主要设备应采用必要的接地防静电措施；符合要求满足b)机房应采用符合要求满足温湿度控制(G3)本项要求包括：机房应设置温、湿度自动调节设施，使机房温、湿度的变化在设备符合要求安装有动力建议机房日常温度控制在10~是否备注运行所允许的范围28℃,湿度30~电力供应(A3)本项要求包括：a)应在机房供电线路上配置稳压器和过电压防护设基本符合要求满足b)应提供短期的备用电力供应，至少满足主要设备在断电情况下的正常运行要求；符合要求设置UPS电池供电，并至少保证断电时主要设备在满负荷情况下4小时的正常运行。c)应设置冗余或并行的电力电缆线路为计算机系统不符合要求只有一条出口线，极容易出现单点故障增加线缆，做到冗余d)应建立备用供电系统。符合要求满足是否备注0电磁防护(S3)a)应采用接地方式防止外界电磁干扰和设备寄生耦合干扰；符合要求满足信线缆应隔离铺设，避免互相干符合要求满足c)应对关键设备和磁介质实施电符合要求满足网络安全等级保护(第三级)建设/整改方案等保2.02.2.2网络安全现状与差距分析由于某单位前期已经行相关安全建设，仍有相关安全防护建设不到位，主要表现出以下问题点：1.网络结构基本清晰，但细节规划不合理；2.新增移动接入链路，3.面对日益突增的网络安全事件缺乏有效防御手段及应急机4.骨干网络架构规划不合理，核心交换区无冗余，安全防护区域划分不明晰，不能对不同区域间防护措施、技术手段进行统一规划，不同区域对恶意攻击的防范能力不一。是否备注结构安全(G3)a)应保证主要网络设备的业务处理能力具备冗余空间，满足业务高峰期需不符合要求域网核心交换设备均采用单链路、单设备，无冗余域网核心设采用多链路是否备注现设备故障则会出现单点故障，无法有效保障对外开放的业务安全稳b)应保证网络各个部分的带宽满足业务高峰期需要；符合要求满足c)应在业务终端与业务服务器之间进行路由控制建立安全的访问路径；符合要求满足d)应绘制与当前运行情况相符的网络拓扑结不符合要求暂无拓扑图我们会在工程结束后重新绘是否备注e)应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址基本符合要求整体网络结构中已按照需求进行子网划分。但使用中存在混乱，没有按规定使用。待本次项目建设进行梳理、严格限制f)应避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之间采取可靠的技术隔离手段；基本符合要求满足访问控制(G3)是否备注a)应在网络边界部署访问控制设备，启用访问控制功能；不符合要求仅在dmz区部署防火墙且防火墙已过保，其他区域未部署访问控制设备建议在互联网出口与服务器区前部署防火墙进边界隔离与访问控制b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级；符合要求满足c)应对进出网络的信息内容进行过滤，实现对应用层HTTP、SMTP、POP3等协议命令级的控符合要求满足网络安全等级保护(第三级)建设/整改方案等保2.0是否备注d)应在会话处于非活跃一定时间或会话结束后终止网络连符合要求满足e)应限制网络最大流量数及网络连接数；不符合要求未部署流无法根据所承载的业务和带宽的实际情况确定网络最大流量数和网络连接数并进行部署上网行为管理及流控f)重要网段应采取技术手段防止地址欺骗；不符合要求未部署访问控制设备的区域无法采用包过滤或传输实现重要网段地址进行有效保护防止地址欺是否备注控制协议，进行边界访问控制，防止地址欺骗，应对网络中的广播、组播进行必要g)应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用不符合要求没有在服务器区前和网络出口设置防火墙、认证网关或授权管理系统，可对单个用户的访问进行策略控新增2台防火墙实现不同安全域之间的访问控制h)应限制具有拨号访问权限不符合要求不涉及安全审计(G3)是否备注a)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记不符合要求有上网行为管理设备是并没有办法对网络设备运行状况日志记录，而部署综合安全日志审计系统可对来自不同厂商的安全设备、网络设备、主机、操作系统、数据库系统、用户业务系统的日志、警报等信息汇集到审计中心，实现综合部署综合日志审计系统可对来自不同厂商的安全设备、网络设备、主机、操作系统、数据库系统、用户业务系统的日志、警报等信息汇集到审计中心，实现综合安全审计。是否备注b)审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；符合要求满足c)应能够根据记录数据进行分析，并生成审计报表；不符合要求不满足部署日志审计系统d)应对审计避免受到未预期的删除、修改或符合要求满足安全审计日志记录要求保存至少半年以上。边界完整性检查(S3)是否备注a)应能够对非授权设备私自联到内部网络的并对其进行有效不符合要求可通终端管理系统或ARP绑定技术手段实现可采用终端管理系统等手段进行管理控制内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行不符合要求可采用终端管理系统等手段进行管理控制入侵防范(G3)a)应在网络边界处监视以下攻击行为：端口基本符合要求出口处部署有IPS入侵防御是否备注扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻b)当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目在发生严重入侵事件时应提供报警基本符合要求落实安全审计系统报警恶意代码防范(G3)a)应在网络边界处对恶意代码进行检测和清符合要求满足是否备注b)应维护恶意代码库的升级和检测系统的更符合要求网络设备防护(G3)本项要求包括：a)应对登录网络设备的用户进行身份鉴别；不符合要求没有指定专人进行维护。通过密码和用户名进行身份鉴别，同时也没有部署可以指定专人维护网络设备，并通过用户名和密码进行身份鉴别，同时也可以部署堡垒主机b)应对网络设备的管理员登录地址进行限不符合要求对管理员登陆地址没有增添堡垒机设备，这样可以有效对远程用户c)网络设备用户的标识应唯不符合要求网络设备没有唯一的标重新对设备是否备注;d)主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别；不符合要求主要网络设备未对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴增设堡垒机e)身份鉴别信息应具有不易口令应有复杂度要求并定期更不符合要求密码没有定期更换，复杂度不够用户口令应12位以上，数字和字母组成，至少3个月更换一f)应具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时符合要求当一次登录密码错误次应能自动关闭网络安全等级保护(第三级)建设/整改方案等保2.0是否备注自动退出等措g)当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听；不符合要求传输中进行加密，可以技术h)应实现设备特权用户的权不符合要求网络管理员、系统管理员和安全审计职责分工限制各自权限，但无技术手段控部署堡垒机控制用户权限2.2.3主机安全现状与差距分析某单位内网主机终端已部署终端杀毒软件。终端主机安全现状差距分析，如下：图表4主机安全现状是否备注身份鉴别(S3)a)应对登录操作系统和数据库系统的用户进行身份标识和鉴基本符合要求没有严格通过账号密码限制操作系统和数据库系统的用户登陆，进行身份标识和鉴别；b)操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令不符合要求不满足系统管理员的登录身份标识唯一，口令12位以上，且数字和字母大小写组是否备注应有复杂度要求并定期更换；合，每半年应更c)应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；符合要小当登录次数错误超过6次，应自动退出并告d)当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听；不符合要求没有采用IPSecVPN对传输加密的方法来保证远程管理安采用IPSece)应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性。不符合要求不满足是否备注f)应采用两种或两种以上组合的鉴别技术对管理用户进行身不符合要求采用用户名密码的鉴别技术对管理员进行身部署堡垒机访问控制(S3)a)应启用访问控制功能，依据安全策略控制用户对资源的访不符合要求不满足b)应根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小不符合要求因只设置了一个管理员账号，也未通过技术手段控制授予所需要的部署堡垒机，将网络管理员、系统管理员和安全审计员分离，通过技术手段控制授予所需要的最小权限。c)应实现操不符合还是未修是否备注作系统和数据库系统特权用户的权限分离；要求改的默认口令修改口令d)应严格限制默认帐户的访问权限，重命名修改这些帐户的默认口令；不符合要求不满足e)应及时删除多余的、过期的帐户，避免共基本符合要求因只一个账户，不存在多余的账户f)应对重要信息资源设置敏感标记；不符合要求未对重要服务器部署服务器加固系统，采取安全加固措施，并设置对重要服务器部署服务器加固系统，采取安全加固措施，并设置敏感标记是否备注g)应依据安全策略严格控制用户对有敏感标记重要信息资源的操作；不符合要求不满足安全审计(G3)a)审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用不符合要求未部署数据库审计系统，无法对服务器和重要客户端上的每个操作系统用户和数据库用户部署日志审计系统和数据库审计系统b)审计内容应包括重要用户行为、系统资源的异常使用和重不符合要求未部署数据库审计系统，无法对重要用户行部署日志审计系统和数据库审计系统是否备注要系统命令的使用等系统内重要的安全相关事为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件进c)审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果不符合要求未部署数据库审计系统，无法对数据库进行部署日志审计系统和数据库审计系统d)应能够根据记录数据进行分析，并生成审计报表；不符合要求未部署数据库审计系统，无法对异常行为实部署日志审计系统和数据库审计系统e)应保护审不符合未部署数部署日志审是否备注计进程，避免受到未预期的中要求据库审计系计系统和数据库审计系统f)应保护审计记录，避免受到未预期的删除、修改或覆盖不符合要求未部署数据库审计系统。(审计记录至少应保存半年。)部署日志审计系统和数据库审计系统剩余信息保护(S3)a)应保证操作系统和数据库系统用户的鉴别信息所在的存储空间，被释放或再分配给其他用户前得到完全清除，无论这些信息是存放在硬盘不符合要求不满足是否备注上还是在内存b)应确保系统内的文件、目录和数据库记录等资源所在的存储空间，被释放或重新分配给其他用户前得到完不符合要求可在终端Windows操作系统未启用“关机前清除虚拟内存页面”功能在终端Windows操作系统启用“关机前清除虚拟内存页入侵防范(G3)a)应能够检测到对重要服务器进行入侵的行为，能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间，并在发生严符合要求已有ips入侵防御系统是否备注重入侵事件时提供报警；重要程序的完整性进行检测，并在检测到完整性受到破坏后具有恢复的措施；不符合要求未定期使用完整性检查工具或脚本对服务器的重要程序和文件进行定期使用完整性检查工具或脚本对服务器的重要程序和文件c)操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更不符合要求未通过技术手段保持系统补丁及时得到更增加终端管恶意代码防范(G3)是否备注a)应安装防并及时更新防恶意代码软件版本和恶意代码库；符合要求擎擎满足，安b)主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库；符合要求擎擎满足，安c)应支持防恶意代码的统一符合要求满足，安擎资源控制(A3)a)应通过设定终端接入方式、网络地址范围等条件限制终端登录；不符合要求通过账号密码限制终通过增设堡垒机对终端接入是否备注b)应根据安全策略设置登录终端的操作超时不符合要求未部署终端管理系统对登录终端部署终端管理系统对登录终c)应对重要服务器进行监视，包括监视服务器的CPU、硬盘、内存、网络等资源的使用情不符合要求没有网络管理系统可通过增加网络管理系统对重要服务器进行监视并对服务器的运行状况异常d)应限制单个用户对系统资源的最大或最小使用限度；不符合要求没有网络管理系统可通过增加网络管理系统对重要服务器进行监视并对服务器的运行状况异常e)应能够对系统的服务水平降低到预先规定不符合要求不能进行报警可通过增加网络管理系统对重要服务器进行是否备注某单位应用系统根据国家信息安全等级保护(第三级)标准法为主要手段，来满足信息系统安全等级保护(第三级)中应用安全部分标准项(如身份鉴别、安全审计、剩余信资源控制等)的要求2.部分标准项(如身份鉴别、访问控制、安全审计、通信保密性等)除可通过应用系统进行安全加强外，也可通过设图表5应用安全现状备注身份鉴别(S3)本项要求包括：a)应提供专用不未采用技术增设堡备注的登录控制模块对登录用户进行身份标识和鉴别；符合要求手段，提供专用的登录控制模块对登录用户的身份进行标识和鉴垒机，通过堡垒机用户登陆进行身份识别和鉴b)应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴符合要求c)应提供用户身份标识唯一和鉴别信息复杂度检查功能，保证应用系统中不存在重复用户身份标识，身份鉴别信息不易被冒符合要求备注d)应提供登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；符合要求e)应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能，并根据安全策略配置本符合要求访问控制(S3)a)应提供访问控制功能，依据安全策略控制用户对符合要求备注文件、数据库表等客体的访问；b)访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作；符合要求c)应由授权主体配置访问控制策略，并严格限制默认帐户的访问权符合要求d)应授予不同帐户为完成各自承担任务所需的最小权限，并在它们之间形成相互制约的符合要求备注e)应具有对重要信息资源设置敏感标记的功能；不合要求对重要服务器部署服务器加固系统，采取安全加固措施，并f)应依据安全策略严格控制用户对有敏感标记重要信息资源的操作；不合要求服务器加固系统有实现文件强制访问控制、注册表强制访问控制、进程强制访问控制、程序授权控制、网络级访问控制等功安全审计(G3)a)应提供覆盖到每个用户的安全基本符合部署了安全审计系备注审计功能，对应用系统重要安全事件进行审计；要求统，对应用系统每个用户的安全事件进行记录审单独中断审计进程，无法删除、修改或覆盖审计记本符合要求未部署安全管理系统部署了安全审计系统c)审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结果本符合要求部署了安全审计系统d)应提供对审基本符合部署了安全审计系备注计记录数据进行统计、查询、分析及生成审计报表的功要求统剩余信息保护(S3)a)应保证用户鉴别信息所在的存储空间被释放或再分配给其他用户前得到完全清除，无论这些信息是存放在硬盘上还是在内不符合要求在终端Windows操作系统中未启用“不显示上次登录可在终端Windows操作系统启用“不显示上次登录名”功能b)应保证系统内的文件、目录和不符合要求在终端Windows操作系在终端号否符备注数据库记录等资源所在的存储空间被释放或重新分配给其他用户前得到完统中未启用“关机前清除虚拟内存页面”功能系统中未启用“关机前清除虚拟内存页面”功通信完整性(S3)应采用密码技术保证通信过程中符合要求在应用软件编程中，对通信的保密性提出要通信保密性(S3)a)在通信双方建立连接之前，应用系统应利用密码技术进行会话初始化验证；符合要求在应用软件编程中，对通信的保密性提出要备注程中的整个报文或会话过程进行加符合要求应用软件中应有此功能抗抵赖(G3)本项要求包括：a)应具有在请求的情况下为数据原发者或接收者提供数据原发证据的符合要求应用软件有b)应具有在请求的情况下为数据原发者或接收者提供数据接收证据的符合要求应用软件有软件容错(A3)本项要求包括：备注a)应提供数据保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求；符合要求应用软件有b)应提供自动保护功能，当故障发生时自动保护当前所有状态，保证系统能够进行恢符合要求应用软件提供断点保护和恢资源控制(A3)a)当应用系统的通信双方中的一方在一段时间内未符合要求如果通信双方中有一方在10分钟内未作任何备注作任何响应，另一方应能够自动结束响应，应自动结束会话，释放网b)应能够对系统的最大并发会话连接数进行限制；符合要求应当提供系设定最大并发会c)应能够对单个帐户的多重并发会话进行限制；符合要求满足d)应能够对一个时间段内可能的并发会话连接数进行限制；符合要求应当业务应用系统和实际需e)应能够对一个访问帐户或一个请求进程占用的资源分配最大限额和符合要求满足网络安全等级保护(第三级)建设/整改方案等保2.0备注最小限额；f)应能够对系统服务水平降低到预先规定的最小值进行检测和报警；不符合要求不满足后期建议部署网管运维软件g)应提供服务并在安装后根据安全策略设定访问帐户或请求进程的优先级，根据优先级符合要求在系统中应可根据用户的权限设定服务等级及优先级，并保证优先级用户首先使用系统资源图表6数据安全现状是否备注数据完整性(S3)本项要求包括：a)应能够检测到系统管理数据、鉴别信息和重要业务数据在传输过程中完整性受到破坏，并在检测基本符合要求数据备份一体机应带有此功能到完整性错误时采取必要的恢复措施；b)应能够检测到系统管理数据、鉴别信息和重要业务数据在存储过程中完整性受到破坏，并在检测到完整性错误时采取必要的恢复措基本符合要求数据备份一体机应带有此功能数据保密性(S3)a)应采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据传输保密性；基本符合要求数据备份一体机应带有此功能b)应采用加密或其他保护措施实现系统管理数据、鉴别信息和重要业务数据存基本符合要求数据备份一体机应带有此功能备份和恢复(A3)本项要求包括：a)应提供本地数完全数据备份至少每天一次，备份介质场外存放；符合要求满足部署服务器数据备据备份功能，利用通信网络将关键数据定时批量传送至备用不符合要求不满足有本地备份一体机，后期建议完善异地c)应采用冗余技术设计网络拓扑结构，避免关键节点存在单点故障；符合要求满足d)应提供主要网络设备、通信线路和数据处理系统的硬件冗余，保证系统的高符合要求满足图表7安全管理现状制度包括的主要内备注物理资产安全管理对信息系统相关的资产清单、分类与标识、使用、转移、废弃等做出规不满足对信息系统相关的资产清单、分类与标识、使用、转移、废弃等做机房安全管理对进出机房的人员和设备，机房监控、机房值班、机房环境保障等做出不满足对进出机房的机房监控、机房值班、机房环境保障等做设备安全对设备的放置、使不满足对设备的放管理用、维护、维修、置、使用、维护、维修、报废等做出规介质安全管理对介质的归档、存放、使用、销毁等不满足对介质的归档、存放、使用、销毁等做网络网络安全管理对网络及安全设备的操作、配置、日志记录和监控等做不满足对网络及安全设备的操作、配置、日志记录和监控等做系统系统安全管理对服务器和数据库等的操作、配置、日志记录和监控等不满足对服务器和数据库等的操作、配置、日志记录和监控应用数据安全管理对信息系统数据保存、备份、使用等不满足对信息系统数据保存、备份、使用等做病毒防护管理对病毒防护系统的管理、使用和升级等做出规定不满足对病毒防护系统的管理、使用和升级等做出规定终端计算机管理对终端计算机的日常使用、软件安装，入网、维修、不满足对终端计算机的日常使用、软件安装，入网、维修、报废等做出规便携计算机管理对便携计算机的使用、密码保护、入网、文件存储、维不满足对便携计算机的使用、密码保护、入网、文件存储、维修等做出规移动存储介质管理对移动存储介质的使用、管理、维修不满足对移动存储介质的使用、管理、维修等做建设项目安全审核对信息化项目安全需求、安全保障方不满足对信息化项目安全需求、安网络安全等级保护(第三级)建设/整改方案等保2.0案及保护等级等做全保障方案及保护等级等做系统开发安全管理对开发环境、代码安全、上线测试、开发人员保密责任不满足对开发环境、代码安全、上线测试、开发人员保密责任管理机构和人员管理对设立安全管理机构、机构职能、人员职责及管理，如重要岗位保密责任、人员离岗离职不满足对设立安全管理机构、机构职能、人员职责及管理，如重要岗位保密责任、人员离岗离职等方面运行维护管理对日常运行维护的流程、操作等做出不满足对日常运行维护的流程、操作等做出规用户管理对普通业务用户、重要业务用户、特不满足对普通业务用户、重要业务权用户(网络、系统、安全管理员)的审批、权限、安全要求等做出规用户、特权用户(网络、系统、安全管理员)的审批、权限、安全要求等做出规密码管理对信息系统中使用的密码强度、变更和保存等做出规不满足对信息系统中使用的密码强度、变更和保存等做出规应急管理对应急计划、处理、实施、演练等不满足对应急计划、处理、实施、演练等做出规变更管理对信息系统的变更申报、审批流程以及实施等做出规不满足对信息系统的变更申报、审批流程以及实施等做出规网络安全对网络安全检查流不满足对网络安全检网络安全等级保护(第三级)建设/整改方案等保2.0检查程、工作内容等做查流程、工作内容等做出规2.3安全技术需求>由于机房容易遭受雷击、地震和台风等自然灾难威胁，需>由于机房容易遭受水患和火灾等灾害威胁，需要采取防>由于机房容易遭受高温、低温、多雨等原因引起温度、湿>由于机房电压波动影响，需要合理设计电力供应系统来解>针对机房供电系统故障，需要合理设计电力供应系统，>针对机房容易遭受静电、设备寄生耦合干扰和外界电磁干>针对机房容易遭受强电磁场、强震动源、强噪声源等污网络安全等级保护(第三级)建设/整改方案等保2.0>针对利用工具捕捉电磁泄漏的信号，导致信息泄露的安全>针对网络架构设计不合理而影响业务通信或传输问题，需>针对利用通用安全协议、算法、软件等缺陷获取信息或破>针对内部人员未授权违规连接外部网络，或者外部人员未>针对通过分布式拒绝服务攻击恶意地消耗网络、操作系统>针对攻击者越权访问文件、数据或其他资源，需要通过访>针对利用网络协议、操作系统或应用系统存在的漏洞进行恶意攻击(如碎片重组，协议端口重定位等),需通过网>针对利用网络结构设计缺陷旁路安全策略，未授权访问网>针对众多网络设备、安全设备、通信线路等基础设施环境网络安全等级保护(第三级)建设/整改方案等保2.0>针对用户帐号权限设置不合理、帐号暴力破解等等安全风>针对在网页浏览、文档传递、介质拷贝或文件下载、邮件>针对操作用户对系统错误配置或更改而引起的安全风险，>针对设备系统自身安全漏洞而引起被攻击利用的安全风>针对通过恶意代码或木马程序对主机、网络设备或应用系>针对利用各种工具获取应用系统身份鉴别数据，进行分析>针对应用系统缺陷、接口设计等导致被恶意攻击利用、数>针对由于应用系统存储数据而引发的数据损毁、丢失等数>针对通过伪造信息进行应用系统数据的窃取风险，需要加2.4安全管理需求>需要制定信息安全工作的总体方针、政策性文件和安全策>需要建立安全管理制度，对管理活动进行制度化管理，制>需要对安全管理制度进行评审和修订，不断完善、健全安>需要建立相应的审批部门，进行相关工作的审批和授>需要建立协调机制，就信息安全相关的业务进行协调处网络安全等级保护(第三级)建设/整改方案等保2.0>需要建立审核和检查部门，安全人员定期的进行全面的安>需要建立恰当的联络渠道，进行沟通和合作，进行事件的>需要建立审核和检查的制度，对安全策略的正确性和安全>需要建立备案管理制度，对系统的定级进行备案；>需要建立产品采购，系统测试和验收制度，确保安全产品>需要建立专门安全职能部门，设置安全管理岗位，配备安>需要对人员的录用进行必要的管理，确保人员录用的安>需要对人员离岗进行有效的管理，确保人员离岗不会带来>需要对人员考核进行严格的管理，提高人员安全技能和安>需要对人员进行安全意识的教育和培训，提高人员的安全>需要对第三方人员进行严格控制，确保第三方人员访问的>需要具有总体安全方案设计、安全评审的流程和管理能>需要任何变更控制和设备重用要申报和审批，对其实行制>需要对信息安全事件实行分等级响应、处置的流程管理能网络安全等级保护(第三级)建设/整改方案等保2.0>需要对各种软硬件设备的选型、采购、使用和保管等过程>需要各种网络设备、服务器正确使用和维护；>需要对网络、操作系统、数据库系统和应用系统进行安全>需要硬件设备、存储介质存放环境安全，对其使用进行控>需要对支撑设施、硬件设备、存储介质进行日常维护和管>需要在事件发生后能采取积极、有效的应急策略和措施。网络安全等级保护(第三级)建设/整改方案等保2.02.5综合整改建议图表8综合技术措施整改建议表格问题项目类别级)1核心区域只有一台设备，无冗余设计网络安全(G3)结构安a)应保证主要网络设备的业务处理能力具备冗余空间，满足业务高峰期需要；结合用户当前网络实际情况，建议新增一台核心交换机2目前整体网络中区域划分不合理，未部署访问控制设备(DMZ区前的防火墙设备已过保)网络安全(G3)访问控a)应在网络边界部署访问控制设备，启用访问控制功能；结合用户当前网络实际情况，建议在互联网出口和服务器区前部署防火墙实现边界隔离和访问控制问题项目类别级)3未部署流量控制设备，无法根据所承载的业务和带宽的实际情况确定网络最大流量数和网络连接数并进行管网络安全(G3)访问控e)应限制网络最大流量数及网络连接数；本次项目中建议部署上网行为管理及流控(原有的上网行为管理设备已过保)4无法对非法内联行为进行发现和阻断网络安全(G3)访问控a)应能够对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效阻本次项目中采用终端管理软件或相关技术手段解决5未实现重要网段地址进行有网络安全(G3)访问控利用访问控制设备的区域无网络安全等级保护(第三级)建设/整改方案等保2.0问题项目类别级)效保护防止地f)重要网段应采取技术手段防止地址欺骗；法采用包过滤或传输控制协议，进行边界访问控制，防应对网络中的广播、组播进行必要的控6无访问控制设备网络安全(G3)访问控g)应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户；通过部署防火墙实现不同安全域之间的边界隔离和访问控制7原有上网行为管理设备过网络安全(G3)安全审部署上网行为管理及流控、问题项目类别级)保、无网管软a)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录；网管软件结合网络中的安全审计系统实现8不能够对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其网络安全(G3)边界完整性检查：应能够对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断；可采用终端管理系统等手段进行管理控制9无法对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其网路安全b)应能够对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻可采用终端管理系统等手段进行管理控制问题项目类别级)10没有指定专人进行维护。通过密码和用户名进行身份鉴别，同时也没有部署堡垒主网络安全(a)应对登录网络设备的用户进行身份鉴别；可以指定专人维护网络设备，并通过用户名和密码进同时也可以部署堡垒主机11对管理员登陆地址没有限网络安全b)应对网络设备的管理员登录地址进行限制；增添堡垒机设备，这样可以有效对运维用12设备没有唯一的标示网络安全c)网络设备用户的标识应唯一重新对设备进问题项目类别级)13主要网络设备未对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别；网络安全d)主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴增设堡垒机14密码没有定期更换，复杂度不够网络安全e)身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换；用户口令应12位以上，数字至少3个月更15网络管理员、系统管理员和安全审计员分分工限制各自权限，但无技网络安全权用户的权限分部署堡垒机控制用户权限16没有采用IPSecVPN对主机安全d)当对服务器进采用IPSec问题项目类别级)传输加密的方法来保证远程管理安全可应采取必要措施，防止鉴别信息在网络传输过程中被窃听；17采用用户名密码的鉴别技术对管理员进行主机安全f)应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴部署堡垒机18因只设置了一个管理员账号，也未通过技术手段控制授予所需要的主机安全b)应根据管理用户的角色分配权限，实现管理用仅授予管理用户所需的最小权员、系统管理员和安全审计员分离，通过技术手段控制授予所需要的19没有日志审计系统网络安全(G3)安全审部署综合日志审计系统可对问题项目类别级)1.应对网络系统中的网络备运行状况、网络流量、用户行为等进行日志记录；2.审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信3.应能够根据记录数据进行分析，并生成审计来自不同厂商的安全设备、网络设备、主机、操作系统、数据库系统、用户业务系统的日志、警报等信息汇集到审计中心，实现日志20日志信息无法进行分析和生成报表网络安全(G3)安全审计：应能够根据记录数据进行分析，并生成审计部署日志审计系统问题项目类别级)21未对重要服务器部署服务器加固系统，采取安全加固措施，并设置敏主机安全f)应对重要信息资源设置敏感标对重要服务器部署服务器加固系统，采取安全加固措施，并设置敏感标记22未部署数据库审计系统，无法对服务器和重要客户端上的每个操作系统用户和数据库用户进行审主机安全a)审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户；部署数据库审计系统和日志审计系统23未部署数据库审计系统，无法对重要用户行为、系统资主机安全安全审计(G3):审计内容应包括重要用户行为、系统资部署数据库审计系统和日志审计系统问题项目类别源的异常使用和重要系统命令的使用等系统内重要的安全相关事件进行审计源的异常使用和重要系统命令的使用等系统内重要的安全相关事24未部署数据库审计系统，无法对数据库进行审计。主机安全安全审计(G3):审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等部署数据库审计系统和日志审计系统25未部署数据库审计系统，无法对异常行为主机安全安全审计(G3):)应能够根据记录数据进行分析，并生成审计报表部署数据库审计系统和日志审计系统26未部署数据库审计系统，无主机安全安全审计(G3):应保护部署数据库审计系统和日志问题项目类别法对异常行为实时告警。审计进程，避免受到未预期的中断审计系统27未部署数据库审计系统，无法对异常行为实时告警。主机安全安全审计(G3):应保护审计记录，避免受到未预期的删除、修改或覆盖部署数据库审计系统和日志审计系统28数据库登陆显示用户名，对历史数据擦除未能做好主机安全剩余信息保护(S3):应保证操作系统和数据库系统用户的鉴别信息所在的存储空间，被释放或再分配给其他用户前得到完全清除，无论这些信息是存放在硬盘上还是在内存可在终端Windows操作系统启用“不显示上次登录名”功能项；可对服务器系统进行虚拟化改造。网络安全等级保护(第三级)建设/整改方案等保2.0问题项目类别级)中29应确保系统内的文件、目录和数据库记录等资源所在的存储空间，被释放或重新分配给其他用户前得到完全清除主机安全剩余信息保护可在终端系统未启用“关机前清除虚拟内存页面”功能项；可对服务器系统进行虚拟化改造30未通过技术手段保持系统补丁及时得到更新主机安全入侵防范(G3):操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系部署终端安全管理系统/网络版杀毒软件/主能够及时更新补丁网络安全等级保护(第三级)建设/整改方案等保2.0问题项目类别统补丁及时得到更新31未部署终端管理系统对登录终端进行管理主机安全资源控制(A3):应根据安全策略设置登录终端的操作超时锁定建议购买360天擎终端管理模块32通过账号密码限制终端登录。主机安全a)应通过设定终端接入方式、网络地址范围等条件限制终端登利用防火墙访问控制功能实现33未部署终端管理系统对登录终端进行管理。部署终端管理系统对登录终端进行管理主机安全略设置登录终端的操作超时锁建议购买360天擎终端管理模块问题项目类别级)34没有网络管理系统主机安全c)应对重要服务器进行监视，包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况可通过增加网络管理系统对重要服务器进行监视并对服务器的运行状况异常实时告35没有网络管理系统主机安全d)应限制单个用户对系统资源的最大或最小使用部署网管软件36不能进行报警主机安全e)应能够对系统的服务水平降低到预先规定的最小值进行检测和可通过增加网络管理系统对重要服务器进行监视并对服务器的运行状况异常实时告37未采用技术手段，提供专用应用安全身份鉴别(S3):应提供部署堡垒机配合双因素认证问题项目类别的登录控制模块对登录用户的身份进行标识和鉴别专用的登录控制模块对登录用户进行身份标识和鉴别38对应用系统每个用户的安全事件进行记录审计应用安全安全审计(G3):应提供覆盖到每个用户的安全审计功能，对应用系统重要安全事件进行审计；建议购买360天擎终端管理模块39未部署安全管理系统应用安全安全审计(G3):应保证无法单独中断审计进程，无法删除、修改或覆盖审计记录建议购买360天擎终端管理模块40未部署安全管理系统应用安全安全审计(G3):审计记录的内容至少应建议购买360天擎终端管理模块问题项目类别级)包括事件的日期、时间、发起者信息、类型、描述和结果等；41未部署安全管理系统应用安全安全审计(G3):应提供对审计记录数据进行统计、查询、分析及生成审计报表的功能建议购买360天擎终端管理模块42用户鉴别信息不能清除清除应用安全剩余信息保护(S3):应保证用户鉴别信息所在的存储空间被释放或再分配给其他用户前得到完全清除，无论这些信息是存放在硬盘上还是在内存中可在终端系统启用“不显示上次登录名”功能项；可对服务器系统进行虚拟化改造问题项目类别级)43用户鉴别信息不能清除清除应用安全剩余信息保护(S3):应保证系统内的文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其他用户前得到完全清除可在终端系统未启用“关机前清除虚拟内存页面”功能项；可对服务器系统进行虚拟化改造444对重要信息系统的数据，应提供异地数据定时批量或增量备份，数据异地备份至少每月一次未能数据安全备份和恢复已部署数据备份一体机，需规范化备份机制。后期建议新增异地备份机制图表9综合安全管理体系整改建议表格类别问题1略随着业务应用系统的不断增加，网络结构日益复杂，由于各业务系统建设、运维分散，没有总体规划逐渐不能适应越来越复杂的应用需求。主要表现在缺乏整体安全策略、没有统一规范的安全体系建设标准，安全职责划分不明确，各有形成统一的安全意识、缺乏统一的安全操作流程和指导手册；2度织拥有安全管理员岗位，但安全岗位职能没有很好得到执行，没有对整个业务体系安全进行统一规划和管理。安全管理基本上靠运维管理人员的自我管理，缺乏统一的安全管理体系；3设由于运维、外包等原因，防护体系的建设依赖于各重要业务系统的建设，在今后的防护体系建设和改造中希望将安全防护体系统一考虑；4维无法有效安全监管，造成重大安全隐患，极有可能成为攻击跳板；5业务系统的安全检查和漏洞评估没有周期性执行，各主机的安全程度主要依赖于各管理员个人的安全意识水平，没有形成定期统一的安全检查制度和安全基线要求；防演练6缺少各项应急预案，导致一但发生重大安全问题无法快速进行故障的排除和解7展应对行业发展带来的安全挑战，缺少专业机构的咨询支撑，无法及时了解行业第三章安全建设目标网络安全等级保护(第三级)建设/整改方案等保2.0合规性：遵循技术标准、国家相关规范(三级等保);第四章方案总体设计4.1方案设计原则4.2方案设计思路>根据信息系统的安全定级结果，明确该等级对应的总体防>根据系统和子系统划分结果、安全定级结果将保护对象归>根据方案的设计目标来建立整体保障框架，来指导整个等>根据此等级受到的威胁对应出该等级的保护要求(即需求分析),并分布到物理和环境、网络和通信、设备与计>根据由威胁引出的等级保护基本要求、等级保护实施过程、整体保障框架来确定总体安全策略(即总体安全目标),再根据等级保护的要求将总体安全策略细分为不同的具体策略(即具体安全目标),包括安全域内部、安全>根据保护对象框架、等级化安全措施要求、安全措施的成网络安全等级保护(第三级)建设/整改方案等保2.0>各保护对象根据系统功能特性、安全价值以及面临威胁的>根据选择好的各保护对象安全措施、安全措施框架、实际第五章安全整体规划5.1建设指导雪雪图表10安全保障体系图系统层安全安全平台*CA系统*kvm系统应用层安全网络层安全物理层安全网络安全等级保护(第三级)建设/整改方案等保2.0资产分析终端应资产分析终端应用系统网络物理及规划与实施选择与评价风险评价人员安全管理安全审核安全检壹合作与沟通管理措施：建立信息安全职责制度、系统操作流程、系统安信息安全治理与组织信息安全组织信息安全管理体系文档及与信息安全管理体系过程线线认证管理账户防火墙建设与建设与开发安全安全运行中心安全运行中心审计s5.2安全技术规划图表11安全建设规划拓扑图网络安全等级保护(第三级)建设/整改方案等保2.0应用虚拟化：支持N:M虚拟化，可将N台设备虚拟成一个资源池，再将资源池按需分成M台逻辑设备，实现云计算环境下资主等多种模式，关键部件冗余及热插拔，支持N+1业务板卡冗余以及独创的应用Bypass技术*,真正的网络高可靠性。WEB防护系统是结合多年应用安全的攻防理论和应急响应实际部署的网站防护产品，可以为用户网站提供7X24小时的不间断监行为记录、访问控制、数据库安全审计，以及链路负载均衡、用户认证、病毒防范等综合功能，帮助用户构建“可视、可控、可优化的互联网”集服务器安全防护和安全管理为一体的综合性服务器工具。提供服务器杀毒、服务器优化、系统漏洞补丁修复、服务器程序守护、风险帐号(影子帐号等)优化、DDOS防火墙、ARP防火墙、应用防火墙、防CC攻击、防入侵防提权、防篡改、安全策略设置等，使服务器免受攻击，同时提供邮件实时告警等功能，服务器状态实时掌握。软件支持Windows系列(Windows2003/Windows2008/Windows2012)、linux主流操作系统，全面支持32位和64位系统。具有中央控制管理和远程部控管理功能，支持在网内所有服务器、客户端上部署，能够远程管理。可以提供基本的安全资质证书，以保证满足等保考核基本要对计算机外设接口、网络通讯接口提供禁用、启用控制功终端接入认证，未经认证计算机无法接入网络使用；人体特征(指纹、视网膜等)、动态令牌等等。网络安全等级保护(第三级)建设/整改方案等保2.0录树的节点定义，,角色包含的权限可以自定义。自定义内容包综合日志审计平台通过集中采集信息系统中的系统安全事件、用户访问记录、系统运行日志、系统运行状态等各类信息，经过规范化、过滤、归并和告警分析等处理后，以统一格式的日志形式进行集中存储和管理，结合丰富的日志统计汇总及关联分析功能，实现对信息系统日志的全面审计。SOC系统是一个以IT资产为基础，以业务信息系统为核心，以客户体验为指引，从监控、审计、风险和运维四个维度建立起来的一套可度量的统一业务支撑平台，使得各种用户能够对业务信息系统进行可用性与性能的监控、配置与事件的分析审计预警、风险与态势的度量与评估、安全运维流程的标准化、例行化和常态化，最终实现业务信息系统的持续安全运营。APT攻击对传统的安全产品提出了严峻的挑战，越来越多的安全厂商认识到必须变革现有安全防御产品，用新的技术来发现未知的安全威胁，重点包括：发现应用层攻击手段、发现基于未知漏洞(ODAY)的攻击、检测未知木马、提供攻击历史回溯与反馈测试等功能。针对以上问题，apt提供了“高级威胁分析平台”,旨在为企业、单位、政府等单位提供对“复合型攻击”和网络安全等级保护(第三级)建设/整改方案等保2.0“未知威胁”的安全把控能力，并深度挖掘隐藏在网络中的黑客攻击行为，保障业务安全5.3建设目标规划通过对某单位信息系统安全现状与差距分析，结合安全防护体系规划、安全技术规划以及信息安全等级保护基本要求，为了完成项目的建设目标，本次项目分为二期建设，一期建设完成目标为刚需、合规；以解决网络中的整体安全隐患和获得等级保护备案证明为主要目的，二期建设以完善整体信息安全防护提系为建设目标。本次项目需完成以下任务，见下表：图表12建设规划时期达到目的时间2018年(一期)结构整改、终端防护、周期个月网络安全等级保护(第三级)建设/整改方案等保2.0防护能力2019(二期)1.云端防护2.通过部署安全管理平台(soc)和APT高级威胁分析平台将整体网络中的各类事件分析审计预警、风险与态势的度量与评估安全运维流程的标准化、例行化和常态化，最终实现业务信息系统的持续安全运营。将整体网络达到可视、可管、可控、可感知通过层层设防的方式完善信息安全总体防护体系，将各个孤立的信息方便用户更直观、快捷的管理网络。做到整体网络的可视、可管、可年开始建设周期为3个月第六章第六章安全策略和方针设计6.1总体安全方针和策略设计>建立信息安全领导小组，形成符合等级保护第三级要求的>建立信息安全管理制度体系，对安全管理和执行过程通过>建立符合信息系统全生命周期的安全运维要求，包括安全>建立符合等级保护第三级要求的系统资源管理、安全运行网络安全等级保护(第三级)建设/整改方案等保2.06.2安全策略具体设计>物理位置选择应能够对抗中等强度地震、台风等自然灾难>通过实施物理访问控制措施，配置电子门禁系统，实现机>通过采取防盗窃和防破坏措施，来实现防止设备、介质等>通过采取防雷击措施，来实现防止雷击事件导致设备被破>通过采取自动防火监测措施，实现自动火灾检测、扑灭和>通过实施防水和防潮措施，实现机房防水防潮、水患检测>通过采取防静电措施，实现防止静电导致设备被破>通过采取温湿度控制措施，实现温湿度自动检测和控>通过采取相应的电力供应措施，实现防止电压波动，配置>通过采取电磁防护措施，实现对重要设备和介质进行电磁网络安全等级保护(第三级)建设/整改方案等保2.0>通过结构设计和网段划分手段实现网络区域合理分配，保证网络、操作系统和应用系统资源及路由选择和控制；>通过严格访问控制手段实现网络、系统和应用的授权访问>通过细颗粒度访问控制对数据、文件或其他资源访问进行>通过安全审计技术实现用户操作行为记录和分析，以及对资源访问的行为记录、分析和响应；>通过边界完整性检查实现非法外联行为及接入设备安全性检查，切断非授权连接；>通过入侵防范技术、流量监控技术实现访问数据异常发现和攻击检测、分析、响应，阻止对网络和主机的攻击；>通过恶意代码防范实现恶意代码的检测、分析、阻止和清除，防止恶意代码在网络中的扩散；>通过网络设备防护实现对路由器、交换机等设施登录用户、管理用户的双因素身份鉴别。>通过双因素身份鉴别手段实现对网络、系统和应用的访问>通过自主访问控制对网络、系统和应用的访问进行严格控>通过强制访问控制对网络、系统和应用的访问进行基于安>通过安全审计实现用户操作行为记录和分析，并对异常行>通过剩余信息消除技术实现对用户鉴别信息、敏感数据的>通过入侵防范技术对网络和主机的各种攻击行为进行检>通过恶意代码防范技术实现对网络中的恶意代码、木马病>通过漏洞发现技术对网络和系统存在的安全脆弱性进行定>通过系统资源控制及时实现系统和网络资源的合理使用，>通过采取双因素身份鉴别措施，实现对应用系统的登录用>通过应用软件开发实现对应用系统的访问进行严格控制，>通过安全审计措施实现用户操作行为记录和分析，并对异>通过对剩余信息采取相应的保护措施，来实现对系统存储>通过采取加密或校验措施来确保通信的完整性，实现对传>通过采取加密措施来确保通信的保密性，实现对传输和存>通过应用软件开发实现软件容错机制，实现应用软件故障>通过应用软件开发或第三方负载均衡技术实现资源控制措>通过源代码审查控制软件代码的安全，实现对软件功能安第七章第七章整体安全建设设计7.1物理和环境安全建设网络安全等级保护(第三级)建设/整改方案等保2.0备；提供短期电力供应系统，如UPS系统；电力供应系统配置冗7.2安全技术体系设计方案网络安全等级保护(第三级)建设/整改方案等保2.0身份鉴别与权限授权是对网络设备、主机系统、数据库系统、业务应用系统等实现双因素身份认证及操作权限分配管理。如采用PKI/CA系统、安全堡垒机、4A平台系统等。通过VPN技术能够在管理终端与主机设备之间创建加密传输通道，实现远程接入数据安全传输服务，保证数据传输的完整性通过将VPN安全系统与安全堡垒机系统相互关联和联动，能够实现网络设备、主机系统、数据库等重要设备的远程安全管理，防止鉴别信息在网络传输过程中被恶意窃听。主机操作系统安全加固不仅能够实现基于文件自主访问控制，对服务器上的敏感数据设置访问权限，禁止非授权访问行为，保护服务器资源安全；更是能够实现文件强制访问控制，即提供操作系统访问控制权限以外的高强度的强制访问控制机制，对主客体设置安全标记，授权主体用户或进程对客体的操作权限，有效杜绝重要数据被非法篡改、删除等情况的发生，确保服务器重要数据完整性不被破坏。网络安全等级保护(第三级)建设/整改方案等保2.0网络入侵监测/入侵防御主要用于检测和阻止针断，以及对网络资源滥用行为(如P2P上传/下载、网络游戏、视频/音频、网络炒股)、网络流量异常等行为进行及时检测和报漏洞扫描技术能够对网络主机(如服务器、客户机、网络打印机)、操作系统(如MicrosoftWindows系列、SunSolaris、统(如Web应用、FTP、电子邮件等)、常用软件(如Office、Symantec、McAfee、Chrome、IE等)、网站开源架构(如phpmyadmin、WordPress等)、主流数据库(SQLServer、在IT系统中，由于服务和软件的不正确部署和配置会造成安钟产生(如部署NTP服务器),以确保审计分析的正确性。>主要网络设备、安全设备(如核心交换机、核心路由器、关键节点安全设备等)的业务处理能力应能满足业务高峰>网络带宽应能满足业务高峰期的需求，保证各业务系统正>划分不同的子网，按照方便管理和控制的原则为各子网、>避免将重要网络区域部署在网络边界处且没有边界防护措安全区域通常也称“安全域”,通常是由安全计算环境和安>各业务系统/子系统在同一个管理机构的管理控制之下，保>各业务系统/子系统具有相似的业务类型或相似的用户群>各业务系统/子系统具有相同的物理位置或相似的运行环>各业务系统/子系统面临相似的安全威胁，需采用相似的安控制设备(如下一代防火墙、统一威胁网关等),并配置细颗粒检测和清除，或在下一代防火墙/统一威胁网关中启用防病毒模块/防垃圾邮件模块，并保持网络病毒库和垃圾邮件库的升级和更考虑到网络架构中业务应用系统带宽分配和处理能力需要，以及针对业务应用系统中资源控制要求，通过专业流量负载均衡或应用交付系统能够有效支撑网络链路负载、服务器负载、应用协议优化与加速，保障流量带宽资源的合理管控。作为第一道安全防线，异常流量及抗DDoS攻击防护能够通过分析网络中的网络流信息(包括NetFlow、sFlow等),及时发现针对网络中特定目标IP的DDoS攻击等异常流量，通过流量牵引的方式将DDoS攻击等异常数据流清洗处理，将干净的流量回注到网络环境中继续转发。区域边界网络入侵防护主要在网络区域边界/重要节点检测和阻止针对内部的恶意攻击和探测，诸如对网络蠕虫、间谍软件、木马软件、溢出攻击、数据库攻击、高级威胁攻击、暴力破解等多种深层攻击行为，进行及时检测、阻止和报警。网络安全等级保护(第三级)建设/整改方案等保2.0无线网络安全管理通常包括无线接入、无线认证、无线防火墙、无线入侵防御、无线加密、无线定位等技术措施。区域边界安全审计需要对区域网络边界、重要网络节点进行用户行为和重要安全事件进行安全审计，并统一上传到安全审计同时，审计记录产生时的时间应由系统范围内唯一确定的时钟产生(如部署NTP服务器),以确保审计分析的正确性。7.2.3安全通信网络防护设计依据等级保护要求第三级中网络和通信安全相关安全控制项，结合安全通信网络对通信安全审计、通信数据完整性/保密性传输、远程安全接入防护等安全设计要求，安全通信网络防护建设主要通过通信网络安全传输、通信网络安全接入，及通信网络安全审计等机制实现。通信通信安全传输要求能够满足业务处理安全保密和完整性需求，避免因传输通道被窃听、篡改而引起的数据泄露或传输异通过采用VPN技术而形成加密传输通道，即能够实现对敏感信息传输过程中的信道加密，确保信息在通信过程中不