【正文】 密方式進(jìn)行保護(hù)；在管理上服務(wù)器采取高強(qiáng)度口令，并且能夠定期自動(dòng)更新，對(duì)于過期賬戶通過人工方式進(jìn)行定期檢查，并及時(shí)刪除過期帳號(hào)，開啟了日志審計(jì)功能，審計(jì)重點(diǎn)是用戶登錄日志。 VLAN 劃分XXX信息網(wǎng)絡(luò)內(nèi)沒有引入三層交換機(jī)，在網(wǎng)段劃分上則通過防火墻端口自然隔離為不同的VLAN，各個(gè)不同的VLAN提供給不同的部門使用，并且按照部門的職能劃分，防火墻執(zhí)行不同的訪問控制策略，具體VLAN劃分的方式如下：VLAN IP地址VLAN內(nèi)用戶網(wǎng)關(guān)防火墻VLAN 1業(yè)務(wù)服務(wù)器區(qū)域核心防火墻ETH1口VLAN 2行政部四樓防火墻ETH1口VLAN 3總裁辦公室四樓防火墻ETH1口VLAN 4銷售管理和售前四樓防火墻ETH1口VLAN 5銷售體系四樓防火墻ETH1口VLAN 6財(cái)務(wù)部四樓防火墻ETH1口VLAN 7客服部三樓防火墻ETH1口VLAN 8信息管理部四樓防火墻ETH1口VLAN 9人力資源部四樓防火墻ETH1口VLAN 10生產(chǎn)車間三樓防火墻ETH1口VLAN 11市場(chǎng)部四樓防火墻ETH1口VLAN 12四層會(huì)議室四樓防火墻ETH1口VLAN 16安全集成、服務(wù)三樓防火墻ETH1口VLAN 17商務(wù)部三樓防火墻ETH1口VLAN 18 采購(gòu)部三樓防火墻ETH1口VLAN 19生產(chǎn)部三樓防火墻ETH1口VLAN 20三層會(huì)議室三樓防火墻ETH1口VLAN 25戰(zhàn)略方案中心及五樓培訓(xùn)教室四樓防火墻ETH2口VLAN 26戰(zhàn)略方案中心及五樓培訓(xùn)教室四樓防火墻ETH2口VLAN 81研發(fā)總工辦五樓防火墻ETH2口VLAN 83研發(fā)管理部五樓防火墻ETH6口VLAN 87研發(fā)軟件平臺(tái)開發(fā)部五樓防火墻ETH5口VLAN 89研發(fā)軟件平臺(tái)開發(fā)部五樓防火墻ETH5口VLAN 91研發(fā)安全管理、高端開發(fā)部五樓防火墻ETH4口VLAN 92研發(fā)軟件平臺(tái)開發(fā)部五樓防火墻ETH5口VLAN 94研發(fā)安全管理、高端開發(fā)部五樓防火墻ETH4口VLAN 95研發(fā)安全管理、高端開發(fā)部五樓防火墻ETH4口VLAN 96研發(fā)測(cè)試部五樓防火墻ETH1口VLAN 97應(yīng)用軟件研發(fā)部五樓防火墻ETH3口VLAN 98研發(fā)測(cè)試部五樓防火墻ETH1口VLAN 99研發(fā)服務(wù)器五樓防火墻ETH7口VLAN 100研發(fā)服務(wù)器五樓防火墻ETH7口VLAN 105研發(fā)安全管理、高端開發(fā)部五樓防火墻ETH4口 服務(wù)器設(shè)備情況XXX公司的服務(wù)器，按照其承載的應(yīng)用系統(tǒng)可劃分為六種類型，分別如下： 業(yè)務(wù)應(yīng)用服務(wù)器業(yè)務(wù)應(yīng)用系統(tǒng)包括用友U8系統(tǒng)，金蝶K3及CRM系統(tǒng)，ORACLE的EBS電子商務(wù)套件，服務(wù)器均部署在業(yè)務(wù)服務(wù)器區(qū)域，該類服務(wù)器包括：用友U8應(yīng)用服務(wù)器用友U8財(cái)務(wù)系統(tǒng)的應(yīng)用和數(shù)據(jù)庫(kù)都安裝在一臺(tái)服務(wù)器上，設(shè)備型號(hào)為IBM Xseries 345，操作系統(tǒng)為WINDOWS 2000 Advance Server SP4，服務(wù)器的管理認(rèn)證方式為用戶名/口令方式，沒有做到分權(quán)管理；利用WINDOWS自帶的口令加密方式進(jìn)行保護(hù)；在管理上服務(wù)器采取高強(qiáng)度口令，并且能夠定期自動(dòng)更新，對(duì)于過期賬戶通過人工方式進(jìn)行定期檢查，并及時(shí)刪除過期帳號(hào)，開啟了日志審計(jì)功能，審計(jì)重點(diǎn)是用戶登錄日志；遠(yuǎn)程管理時(shí)采用SSL VPN＋遠(yuǎn)程桌面的方式進(jìn)行；金蝶K3應(yīng)用服務(wù)器系統(tǒng)與數(shù)據(jù)庫(kù)服務(wù)器均安裝在同一臺(tái)設(shè)備上，設(shè)備型號(hào)為IBM Xseries 345，操作系統(tǒng)為WINDOWS 2000 Advance Server SP4，服務(wù)器的管理認(rèn)證方式為用戶名/口令方式，沒有做到分權(quán)管理；利用WINDOWS自帶的口令加密方式進(jìn)行保護(hù)；在管理上服務(wù)器采取高強(qiáng)度口令，并且能夠定期自動(dòng)更新，對(duì)于過期賬戶通過人工方式進(jìn)行定期檢查，并及時(shí)刪除過期帳號(hào)，開啟了日志審計(jì)功能，審計(jì)重點(diǎn)是用戶登錄日志；遠(yuǎn)程管理時(shí)采用SSL VPN＋遠(yuǎn)程桌面的方式進(jìn)行；金蝶CRM應(yīng)用服務(wù)器應(yīng)用服務(wù)器與數(shù)據(jù)庫(kù)分開安裝，設(shè)備型號(hào)為IBM Xseries 345，操作系統(tǒng)為WINDOWS 2000 Advance Server SP4，服務(wù)器的管理認(rèn)證方式為用戶名/口令方式，沒有做到分權(quán)管理；利用WINDOWS自帶的口令加密方式進(jìn)行保護(hù)；在管理上服務(wù)器采取高強(qiáng)度口令，并且能夠定期自動(dòng)更新，對(duì)于過期賬戶通過人工方式進(jìn)行定期檢查，并及時(shí)刪除過期帳號(hào)，開啟了日志審計(jì)功能，審計(jì)重點(diǎn)是用戶登錄日志。從組網(wǎng)方式上，XXX公司采取防火墻作為核心交換設(shè)備，并且在各個(gè)子網(wǎng)的邊界也采用防火墻技術(shù)實(shí)現(xiàn)隔離，其具體的組網(wǎng)方式可見下圖表示： XXX公司網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)示意圖，XXX公司的網(wǎng)絡(luò)結(jié)構(gòu)分為總部和分支兩個(gè)部分，其中分支機(jī)構(gòu)的網(wǎng)絡(luò)非常簡(jiǎn)單，通過二層交換機(jī)連接終端，然后通過邊界防火墻接入到互聯(lián)網(wǎng)；同時(shí)分支機(jī)構(gòu)邊界上部署的防火墻包含了IPSec VPN模塊，與總部互聯(lián)網(wǎng)邊界部署的防火墻內(nèi)置的VPN模塊形成關(guān)到關(guān)的加密隧道，保障了分支機(jī)構(gòu)可以安全地訪問總部信息網(wǎng)絡(luò)；總部信息網(wǎng)絡(luò)的核心為一臺(tái)XXX獵豹防火墻，利用防火墻的接口將總部劃分為多個(gè)隔離的安全區(qū)域，包括辦公終端區(qū)域（包括分布在公司三樓、四樓和五樓的辦公終端設(shè)備）、研發(fā)終端區(qū)域（分布在公司五樓研發(fā)部門的辦公終端）、生產(chǎn)車間終端區(qū)域（生產(chǎn)車間內(nèi)使用的專用于訪問EBS的終端設(shè)備）、業(yè)務(wù)服務(wù)器區(qū)域（部署在公司五樓機(jī)房的服務(wù)器，運(yùn)行著公司的EBS、財(cái)務(wù)等重要業(yè)務(wù)系統(tǒng)）、研發(fā)服務(wù)器區(qū)域（部署在五樓研發(fā)機(jī)房?jī)?nèi)的服務(wù)器，運(yùn)行著研發(fā)的CVS、BUGzilla系統(tǒng)），測(cè)試機(jī)房公網(wǎng)區(qū)域（部署在五樓研發(fā)的測(cè)試專用機(jī)房,主要是對(duì)公司的安全產(chǎn)品進(jìn)行功能性測(cè)試的區(qū)域），外部服務(wù)器區(qū)域（部署在五樓機(jī)房?jī)?nèi)，運(yùn)行著公司的郵件服務(wù)器、主頁(yè)發(fā)布服務(wù)器、DNS服務(wù)器、產(chǎn)品升級(jí)服務(wù)器等面向互聯(lián)網(wǎng)開發(fā)提供訪問的區(qū)域）、網(wǎng)絡(luò)運(yùn)維區(qū)域（部署在公司四樓展示廳，運(yùn)行著公司的終端安全管理平臺(tái)以及安全信息管理平臺(tái)的服務(wù)器，防火墻管理服務(wù)器以及公司內(nèi)部使用的網(wǎng)絡(luò)管理服務(wù)器和病毒升級(jí)服務(wù)器）。XXX公司作為專業(yè)的信息安全廠商，經(jīng)過十余年的經(jīng)營(yíng)發(fā)展，已經(jīng)擁有了覆蓋國(guó)內(nèi)政府、軍隊(duì)、金融、能源、電信、教育等數(shù)萬(wàn)家用戶，為用戶提供各類安全產(chǎn)品及服務(wù)，因此一旦公司的核心技術(shù)資料早到泄露，那么將嚴(yán)重影響到用戶的切身利益，將會(huì)引起大規(guī)模的恐慌，因此其信息系統(tǒng)可以按照嚴(yán)重影響社會(huì)和公眾利益的程度進(jìn)行定級(jí)，確定最高為3級(jí)。 公安部第51號(hào)令：《計(jì)算機(jī)病毒防治管理辦法》216。216。216。 參考標(biāo)準(zhǔn)本方案根據(jù)國(guó)家提出的等級(jí)保護(hù)管理辦法和實(shí)施指南，針對(duì)XXX信息系統(tǒng)的特點(diǎn)和安全建設(shè)需求，進(jìn)行全面的安全保障規(guī)劃，設(shè)計(jì)中重點(diǎn)參考的政策和標(biāo)準(zhǔn)包括以下兩個(gè)部分： 信息系統(tǒng)安全等級(jí)保護(hù)標(biāo)準(zhǔn)和規(guī)范本方案重點(diǎn)參考以下的的政策和標(biāo)準(zhǔn)：指導(dǎo)思想中辦[2003]27號(hào)文件（關(guān)于轉(zhuǎn)發(fā)《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》的通知）公通字[2004]66號(hào)文件（關(guān)于印發(fā)《信息安全等級(jí)保護(hù)工作的實(shí)施意見》的通知）公通字[2007]43號(hào)文件（關(guān)于印發(fā)《信息安全等級(jí)保護(hù)管理辦法》的通知）等級(jí)保護(hù)GB 178591999 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則GB/T aaaaaxxxx 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南系統(tǒng)定級(jí)GB/T aaaaaxxxx 信息安全技術(shù) 信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南技術(shù)方面GB/T 202702006 信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求GB/T 202712006 信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求GB/T 202722006 信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求GB/T 202732006 信息安全技術(shù) 數(shù)據(jù)庫(kù)管理系統(tǒng)通用安全技術(shù)要求GA/T6712006 信息安全技術(shù) 設(shè)計(jì)原則等級(jí)保護(hù)是國(guó)家信息安全建設(shè)的重要政策，其核心是對(duì)信息系統(tǒng)分等級(jí)、按標(biāo)準(zhǔn)進(jìn)行建設(shè)、管理和監(jiān)督。目前公司利用防火墻、VPN、防病毒、終端安全管理、安全信息管理等技術(shù)，為公司信息網(wǎng)絡(luò)的安全防護(hù)起到了一定的效果。在對(duì)外開展業(yè)務(wù)的同時(shí)，XXX公司自身也非常重視信息化建設(shè)，逐步建成了覆蓋全國(guó)35個(gè)分支機(jī)構(gòu)，覆蓋公司研發(fā)、銷售、商務(wù)、財(cái)務(wù)、生產(chǎn)等各個(gè)業(yè)務(wù)環(huán)節(jié)的信息處理平臺(tái)，信息化的建設(shè)為企業(yè)的發(fā)展，提升企業(yè)業(yè)務(wù)處理效率，降低企業(yè)管理成本起到了關(guān)鍵的作用。伴隨著信息系統(tǒng)的快速發(fā)展，信息系統(tǒng)所面臨的安全威脅日益復(fù)雜，對(duì)信息安全系統(tǒng)的需求與日俱增。從外部環(huán)境來看，信息安全已經(jīng)成為近幾年信息化建設(shè)的熱點(diǎn)話題，如何保障信息系統(tǒng)的安全已經(jīng)成為國(guó)家關(guān)注的焦點(diǎn)，從27號(hào)文件開始，國(guó)家陸續(xù)出臺(tái)了一系列的安全政策和標(biāo)準(zhǔn)，提出了以“適度安全、分級(jí)保護(hù)”為核心的等級(jí)保護(hù)建設(shè)思路，公安部、保密局、國(guó)密辦以及國(guó)信辦陸續(xù)出臺(tái)政策，要求國(guó)內(nèi)重要的信息系統(tǒng)應(yīng)按照等級(jí)保護(hù)的辦法和要求，進(jìn)行相關(guān)安全防護(hù)系統(tǒng)的建設(shè)，并于2007年啟動(dòng)了等級(jí)保護(hù)的定級(jí)備案工作。對(duì)于XXX公司信息安全建設(shè)，應(yīng)當(dāng)以適度風(fēng)險(xiǎn)為核心，以重點(diǎn)保護(hù)為原則，從業(yè)務(wù)的角度出發(fā)，重點(diǎn)保護(hù)重要的業(yè)務(wù)、研發(fā)類信息系統(tǒng)，在方案設(shè)計(jì)中應(yīng)當(dāng)遵循以下的原則：適度安全原則任何信息系統(tǒng)都不能做到絕對(duì)的安全，在進(jìn)行XXX信息安全等級(jí)保護(hù)規(guī)劃中，要在安全需求、安全風(fēng)險(xiǎn)和安全成本之間進(jìn)行平衡和折中，過多的安全要求必將造成安全成本的迅速增加和運(yùn)行的復(fù)雜性。終端計(jì)算機(jī)系統(tǒng)安全等級(jí)技術(shù)要求GA/T 7092007 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本模型GB/T aaaaaxxxx 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求管理方面GB/T aaaaaxxxx 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求ISO/IEC 27001 信息系統(tǒng)安全管理體系標(biāo)準(zhǔn)方案設(shè)計(jì)信息安全技術(shù) 信息系統(tǒng)等級(jí)保護(hù)安全建設(shè)技術(shù)方案設(shè)計(jì)規(guī)范方案架構(gòu)IATF 信息保障技術(shù)框架 其他信息安全標(biāo)準(zhǔn)和規(guī)范216。 GB/T 18336：等同采用ISO 15408216。 ISO/IEC 13335，第一部分：《IT安全的概念和模型》；第二部分：《IT安全的管理和計(jì)劃制定》；第三部分：《IT安全管理技術(shù)》；第四部分：《安全措施的選擇》；第五部分：《網(wǎng)絡(luò)安全管理指南》。 《計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品檢測(cè)和銷售許可證管理辦法》公安部令32號(hào)216。2 系統(tǒng)現(xiàn)狀描述 網(wǎng)絡(luò)架構(gòu)描述XXX公司信息系統(tǒng)的建設(shè)是伴隨著企業(yè)的發(fā)展而演進(jìn)的，2005年底隨著公司遷入華控大廈，公司對(duì)原有的網(wǎng)絡(luò)進(jìn)行了改造，形成了現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)，從整體上看主要包括以下幾個(gè)部分： XXX公司網(wǎng)絡(luò)架構(gòu)示意圖，XXX公司信息網(wǎng)絡(luò)包括總部和分支機(jī)構(gòu)兩大部分，其中重要的服務(wù)器均集中在總部，分級(jí)機(jī)構(gòu)只包含了辦公終端部分，XXX在全國(guó)共有35家分支機(jī)構(gòu)，各分支機(jī)構(gòu)均通過互聯(lián)網(wǎng)遠(yuǎn)程訪問總部。其中各個(gè)區(qū)域之間的訪問關(guān)系分別為：辦公終端區(qū)域：該區(qū)域包含公司總部的所有辦公終端，涉及部門有總裁辦、董事會(huì)、行政部、技術(shù)服務(wù)中心、人力資源中心、信息管理部、戰(zhàn)略方案中心、銷售中心、商務(wù)部、銷售管理部、財(cái)務(wù)部、行政部、市場(chǎng)部等，該區(qū)域的終端均可通過部署在三樓、四樓以及五樓的防火墻以及核心防火墻訪問到互聯(lián)網(wǎng)；其中銷售管理部、商務(wù)部、銷售中心、財(cái)務(wù)部、行政部的辦公終端可訪問業(yè)務(wù)服務(wù)器區(qū)域內(nèi)的EBS系統(tǒng)；所有的辦公終端均可以訪問業(yè)務(wù)服務(wù)器區(qū)域內(nèi)的內(nèi)部論壇；所有的辦公終端均可訪問外部服務(wù)器區(qū)域，可以訪問郵件系統(tǒng)，公司主頁(yè)以及DNS服務(wù)器；技術(shù)服務(wù)中心的終端可以訪問研發(fā)服務(wù)器區(qū)域的BUGzilla外部服務(wù)器；研發(fā)辦公終端區(qū)域：該區(qū)域包含公司研發(fā)中心的所有終端，該區(qū)域可以訪問外部服務(wù)器區(qū)域的公司主頁(yè)服務(wù)器、郵件服務(wù)器以及DNS服務(wù)器；可以訪問研發(fā)服務(wù)器的CVS服務(wù)器和BUGzilla服務(wù)器；在研發(fā)辦公終端邊界部署了防火墻設(shè)備，通過訪問控制規(guī)則限制辦公終端不得訪問互聯(lián)網(wǎng)；業(yè)務(wù)服務(wù)器區(qū)域：該區(qū)域包含運(yùn)行著公司的EBS系統(tǒng)以及內(nèi)部論壇的所有服務(wù)器，該區(qū)域只接收外部的訪問，目前EBS系統(tǒng)已開放采購(gòu)、訂單、制造、財(cái)務(wù)和CRM模塊，并根據(jù)各個(gè)部門的職能劃分，系統(tǒng)內(nèi)進(jìn)行模塊的訪問控制，比如允許行政部訪問EBS的采購(gòu)模塊；商務(wù)部和銷售中心以及各地的分支結(jié)構(gòu)可以訪問訂單模塊；各地分支機(jī)構(gòu)的商務(wù)人員以及財(cái)務(wù)部可以訪問其財(cái)務(wù)模塊；銷售中心以及各地分支機(jī)構(gòu)的銷售人員可以訪問其CRM模塊等；業(yè)務(wù)服務(wù)器區(qū)域直接連接到核心防火墻的端口上，通過核心交換機(jī)的訪問控制規(guī)則限制該區(qū)域?qū)ν獾娜魏卧L問；研發(fā)服務(wù)器區(qū)域：該區(qū)域包含運(yùn)行著研發(fā)CVS以及BUGzilla的所有服務(wù)器，主要提供給研發(fā)人員使用，此外，技術(shù)服務(wù)中心的辦公終端可以訪問其BUGzilla的外部服務(wù)器；該區(qū)域與研發(fā)終端區(qū)域以及測(cè)試機(jī)房區(qū)域共享一臺(tái)防火墻，通過防火墻的訪問控制規(guī)則限制該區(qū)域不得對(duì)外進(jìn)行任何訪問；生產(chǎn)車間終端區(qū)域：該區(qū)域包含了生產(chǎn)車間的所有的終端，與三樓的辦公終端共享一臺(tái)服務(wù)器，防火墻通過嚴(yán)格的訪問控制規(guī)則限制該區(qū)域只能訪問業(yè)務(wù)服務(wù)器區(qū)域的EBS系統(tǒng)，并通過EBS系統(tǒng)的應(yīng)用訪問控制，限制生產(chǎn)車間終端只能訪問其中的制造模塊；并且該區(qū)域不得訪問其他任何外部區(qū)域；外部服務(wù)器區(qū)域：對(duì)互聯(lián)網(wǎng)開放，提供四類服務(wù)器，包括主頁(yè)發(fā)布服務(wù)、郵件服務(wù)、DNS服務(wù)，以及提供給XXX的安全產(chǎn)品用戶進(jìn)行升級(jí)的服務(wù)，該區(qū)域直接連接到核心防火墻上，其中主頁(yè)發(fā)布服務(wù)和郵件、DNS也可提供給辦公終端人員進(jìn)行訪問；分支機(jī)構(gòu)區(qū)域：各分支機(jī)構(gòu)的邊界均部署了防火墻，可以訪問互聯(lián)網(wǎng)，并且可通過互聯(lián)網(wǎng)訪問公司的外部服務(wù)器區(qū)域以及