【正文】 件。信息系統(tǒng)根據(jù)自身應(yīng)用的特點(diǎn)和地理位置可能會(huì)面對(duì)不同的威脅源。重要資產(chǎn)面臨威脅評(píng)估威脅是指對(duì)系統(tǒng)或資產(chǎn)的保密性、完整性及可用性構(gòu)成潛在損害，以致影響系統(tǒng)或資產(chǎn)正常使用及操作的任何事件或行動(dòng)。非技術(shù)脆弱性分析非技術(shù)脆弱性分析主要采取調(diào)查表、人員訪談、現(xiàn)場勘查、文檔查看等手段進(jìn)行。技術(shù)脆弱性主要是指操作系統(tǒng)和業(yè)務(wù)應(yīng)用系統(tǒng)等存在的設(shè)計(jì)和實(shí)現(xiàn)缺陷。所謂威脅源是指能夠通過系統(tǒng)缺陷和脆弱性對(duì)系統(tǒng)安全策略造成危害的主體。資產(chǎn)賦值資產(chǎn)分析是與風(fēng)險(xiǎn)評(píng)估相關(guān)聯(lián)的重要任務(wù)之一，資產(chǎn)分析通過分析評(píng)估對(duì)象——資產(chǎn)的各種屬性，進(jìn)而對(duì)資產(chǎn)進(jìn)行確認(rèn)、價(jià)值分析和統(tǒng)計(jì)報(bào)告。依據(jù)資產(chǎn)的屬性，主要分為以下幾個(gè)類別：信息資產(chǎn)信息資產(chǎn)主要包括各種設(shè)備以及數(shù)據(jù)庫系統(tǒng)中存儲(chǔ)的各類信息、設(shè)備和系統(tǒng)的配置信息、用戶存儲(chǔ)的各類電子文檔以及各種日志等等，信息資產(chǎn)也包括各種管理制度，而且各種打印的以及部分其他成文的文檔也屬于信息資產(chǎn)的范疇。風(fēng)險(xiǎn)評(píng)估范圍內(nèi)的所有重要資產(chǎn)都要予以確認(rèn)，包括數(shù)據(jù)、服務(wù)、聲譽(yù)、硬件和軟件、通訊、程序界面、物理資產(chǎn)、支持設(shè)施、人員和訪問控制措施等有形遼寧省 XXXX 信息安全等級(jí)保護(hù)建設(shè)方案 38和無形資產(chǎn)。 在安全現(xiàn)狀和評(píng)估指標(biāo)對(duì)比后確定基本安全需求的基礎(chǔ)上，通過風(fēng)險(xiǎn)評(píng)估的手段可以確定額外或特殊的安全需求。通過觀察現(xiàn)場、詢問人員、查詢資料、檢查記錄等方式進(jìn)行安全管理方面的評(píng)估，準(zhǔn)確記錄評(píng)估結(jié)果，判斷安全管理的各個(gè)方面與評(píng)估指標(biāo)的符合程度，給出判斷結(jié)論。形成評(píng)估指標(biāo)根據(jù)各個(gè)信息系統(tǒng)的安全等級(jí)，從《基本要求》中選擇相應(yīng)等級(jí)的通用指標(biāo)，然后根據(jù)系統(tǒng)信息資產(chǎn)安全性等級(jí)選擇信息資產(chǎn)安全性指標(biāo)，根據(jù)系統(tǒng)連續(xù)性等級(jí)選擇業(yè)務(wù)連續(xù)性指標(biāo)，之后進(jìn)行三類指標(biāo)的組合，形成評(píng)估指標(biāo)。確定評(píng)估范圍明確用戶被評(píng)估系統(tǒng)的范圍，包括每個(gè)信息系統(tǒng)的范圍、各個(gè)等級(jí)信息系統(tǒng)的范圍，信息系統(tǒng)的邊界等。如果用戶或上級(jí)主管部門根據(jù)系統(tǒng)的特殊安全需求，需要對(duì)保護(hù)等級(jí)進(jìn)行等級(jí)調(diào)整，可以參考以下因素：上級(jí)主管部門在政策和管理方面的特殊要求；預(yù)測(cè)業(yè)務(wù)信息可能會(huì)隨著時(shí)間的變化從量變轉(zhuǎn)化為質(zhì)變；業(yè)務(wù)依賴程度在將來會(huì)進(jìn)一步提高，或隨著信息系統(tǒng)所承載的業(yè)務(wù)不斷完善和穩(wěn)定，與信息系統(tǒng)并行的手工處理（或老的系統(tǒng)）的業(yè)務(wù)將有可能取消；信息系統(tǒng)服務(wù)范圍隨著業(yè)務(wù)的發(fā)展，將會(huì)有較大的變化。確定系統(tǒng)等級(jí)確定業(yè)務(wù)信息安全性等級(jí)將信息系統(tǒng)所屬類型的賦值（1，2，3）與業(yè)務(wù)信息類型的賦值（1，2，3）構(gòu)成一個(gè) 3?3 矩陣，去掉不合理的交叉點(diǎn)，構(gòu)成業(yè)務(wù)信息安全性等級(jí)矩陣，如下表所示：表 5 業(yè)務(wù)信息安全性等級(jí)表確定業(yè)務(wù)服務(wù)保證性等級(jí)將信息系統(tǒng)服務(wù)范圍的賦值（1，2，3）與業(yè)務(wù)依賴程度的賦值（1，2，3）構(gòu)成一個(gè) 3?3 矩陣，構(gòu)成業(yè)務(wù)服務(wù)保證性取值矩陣，如下表所示：表 6 業(yè)務(wù)服務(wù)保證性等級(jí)表遼寧省 XXXX 信息安全等級(jí)保護(hù)建設(shè)方案 34確定信息系統(tǒng)安全保護(hù)等級(jí)業(yè)務(wù)子系統(tǒng)的安全保護(hù)等級(jí)由業(yè)務(wù)信息安全性等級(jí)和業(yè)務(wù)服務(wù)保證性等級(jí)較高者決定。業(yè)務(wù)處理流程的部分環(huán)節(jié)可以通過手工方式或其他方式替代完成，自動(dòng)化程度中。全國范圍的服務(wù)網(wǎng)絡(luò)。信息系統(tǒng)服務(wù)范圍及賦值根據(jù)信息系統(tǒng)因完整性和可用性受到破壞，無法提供服務(wù)或無法提供有效服務(wù)造成的社會(huì)影響范圍大小，典型的信息系統(tǒng)服務(wù)范圍、賦值和相關(guān)影響如下表所示：表 3 信息系統(tǒng)服務(wù)范圍及賦值表信息系統(tǒng)服務(wù)范圍舉例 賦值 服務(wù)范圍的影響地區(qū)范圍的服務(wù)網(wǎng)絡(luò)。法人和其他組織及公民的專有信息，例如內(nèi)部敏感信息、關(guān)鍵技術(shù)數(shù)據(jù)、科技情報(bào)、商業(yè)秘密等。屬于黨政機(jī)關(guān)，處理國家事務(wù)的信息系統(tǒng)。定級(jí)要素賦值信息系統(tǒng)所屬類型及賦值信息系統(tǒng)所屬類型在較大程度上決定了信息系統(tǒng)受到破壞后對(duì)其社會(huì)價(jià)值的影響程度，根據(jù)社會(huì)影響高低，典型的信息系統(tǒng)所屬類型、賦值及其社會(huì)影響如下表所示：表 1 信息系統(tǒng)所屬類型及賦值表信息系統(tǒng)所屬類型舉例 賦值 信息系統(tǒng)的社會(huì)影響屬于一般企事業(yè)單位，處理其內(nèi)部事務(wù)的信息系統(tǒng)。信息系統(tǒng)主要處理的業(yè)務(wù)信息類別。子系統(tǒng)劃分為體現(xiàn)重點(diǎn)保護(hù)重要信息系統(tǒng)安全，有效控制信息安全建設(shè)成本，優(yōu)化信息安全資源配置的等級(jí)保護(hù)原則，在進(jìn)行信息系統(tǒng)的劃分時(shí)應(yīng)考慮以下幾個(gè)方面：相同的管理機(jī)構(gòu)信息系統(tǒng)內(nèi)的各業(yè)務(wù)子系統(tǒng)在同一個(gè)管理機(jī)構(gòu)的管理控制之下，可以保證遵循相同的安全管理策略。定級(jí)流程如果用戶信息系統(tǒng)只承載一項(xiàng)業(yè)務(wù)，可以依據(jù)《信息安全等級(jí)保護(hù)管理辦法》直接確定等級(jí)，不必劃分業(yè)務(wù)子系統(tǒng)。選型建議：通過部署 SOC，實(shí)現(xiàn)內(nèi)網(wǎng)服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備的安全事件統(tǒng)一管理詳細(xì)部署說明名稱 編號(hào) 部署位置 功能及說明領(lǐng)信安全管理中心 SOC SOC_01內(nèi)網(wǎng)系統(tǒng)域? 事件管理? 脆弱性管理? 設(shè)備狀態(tài)管理? 知識(shí)庫管理遼寧省 XXXX 信息安全等級(jí)保護(hù)建設(shè)方案 25屬性 等級(jí) 3 級(jí)物理位置的選擇物理訪問控制防盜竊和防破壞防雷擊溫濕度控制電力供應(yīng)電磁防護(hù)防火防水和防潮物理安全防靜電本方案不涉及結(jié)構(gòu)安全與網(wǎng)段劃分 根據(jù) XXXX 要求劃分網(wǎng)絡(luò)訪問控制 使用防火墻系統(tǒng)詳見 邊界防護(hù)系統(tǒng) 章節(jié)撥號(hào)訪問控制網(wǎng)絡(luò)安全審計(jì) 使用安全管理平臺(tái) SOC邊界完整性檢查 管理員進(jìn)行終端控制網(wǎng)絡(luò)入侵防范 使用入侵防御系統(tǒng)詳見 入侵防御系統(tǒng)部署（IPS）惡意代碼防范 使用入侵防御系統(tǒng)網(wǎng)絡(luò)安全網(wǎng)絡(luò)設(shè)備防護(hù) 網(wǎng)絡(luò)設(shè)備自身安全加固身份訪問控制 系統(tǒng)安全配置加固參考 附一：Widows 系統(tǒng)加固手冊(cè)樣例訪問控制 系統(tǒng)安全配置加固參考 附一：Widows 系統(tǒng)加固手冊(cè)樣例安全審計(jì) 使用安全管理平臺(tái) SOC剩余信息保護(hù) 系統(tǒng)安全配置加固入侵防范 主機(jī) HIPS，由防病毒系統(tǒng)完成惡意代碼防范 防病毒軟件部署主機(jī)系統(tǒng)安全資源控制 系統(tǒng)安全配置加固參考 附一：Widows 系統(tǒng)加固手冊(cè)樣例身份鑒別 訪問控制網(wǎng)關(guān) SAG訪問控制 訪問控制網(wǎng)關(guān) SAG安全審計(jì) 訪問控制網(wǎng)關(guān) SAG剩余信息保護(hù) 應(yīng)用系統(tǒng)自身設(shè)計(jì)通信完整性 應(yīng)用系統(tǒng)自身設(shè)計(jì)通信的保密性 應(yīng)用系統(tǒng)自身設(shè)計(jì)，可使用 SSL 進(jìn)行應(yīng)用數(shù)據(jù)加密抗抵賴 應(yīng)用系統(tǒng)自身設(shè)計(jì)應(yīng)用安全軟件容錯(cuò) 應(yīng)用系統(tǒng)自身設(shè)計(jì)遼寧省 XXXX 信息安全等級(jí)保護(hù)建設(shè)方案 26資源控制 應(yīng)用系統(tǒng)自身設(shè)計(jì)代碼安全 應(yīng)用系統(tǒng)自身設(shè)計(jì)數(shù)據(jù)完整性數(shù)據(jù)保密性數(shù)據(jù)安全數(shù)據(jù)備份和恢復(fù)本方案不涉及環(huán)境管理資產(chǎn)管理 可由“領(lǐng)信安全管理平臺(tái) SOC”完成介質(zhì)管理設(shè)備管理監(jiān)控管理和安全管理中心 可由“領(lǐng)信安全管理平臺(tái) SOC”完成網(wǎng)絡(luò)安全管理 可由“領(lǐng)信安全管理平臺(tái) SOC”完成系統(tǒng)安全管理惡意代碼防范管理密碼管理 遵照密碼管理制度變更管理備份與恢復(fù)管理安全事件處置 可由“領(lǐng)信安全管理平臺(tái) SOC”完成系統(tǒng)運(yùn)維管理應(yīng)急預(yù)案管理 可由“領(lǐng)信安全管理平臺(tái) SOC”完成名稱 型號(hào) 數(shù)量 部署位置 功能及說明外網(wǎng)系統(tǒng)域? 監(jiān)聽安全域內(nèi)的網(wǎng)絡(luò)連接，阻斷攻擊行為? 發(fā)現(xiàn)病毒蠕蟲等事件入侵防御 1外網(wǎng)桌面域? 監(jiān)聽安全域內(nèi)的網(wǎng)絡(luò)連接，阻斷攻擊行為? 發(fā)現(xiàn)病毒蠕蟲等事件領(lǐng)信 web 盾 1外網(wǎng)系統(tǒng)域? 虛擬用戶監(jiān)測(cè)頁面篡改? 狀態(tài)防火墻雙向訪問控制? Syn 代理防護(hù)機(jī)制? 拒絕服務(wù)攻擊? 流量學(xué)習(xí)功能領(lǐng)信訪問控制網(wǎng)關(guān) SAG 1內(nèi)網(wǎng)系統(tǒng)域 ? 用戶管理? 訪問控制遼寧省 XXXX 信息安全等級(jí)保護(hù)建設(shè)方案 27領(lǐng)信安全管理中心 SOC 1內(nèi)網(wǎng)系統(tǒng)域? 事件管理? 脆弱性管理? 設(shè)備狀態(tài)管理? 知識(shí)庫管理設(shè)備部署完成后，遼寧省 XXXX 的網(wǎng)絡(luò)拓?fù)淙缦聢D所示：安氏領(lǐng)信等級(jí)保護(hù)工作的整體實(shí)施過程如下圖，等級(jí)保護(hù)安全咨詢項(xiàng)目主要幫助客戶實(shí)施第一階段（定級(jí)） ，第二階段（規(guī)劃與設(shè)計(jì)） ，以及第三階段中一部分（安全措施實(shí)施） 、第四階段（運(yùn)維與改進(jìn)）的工作內(nèi)容，使客戶能夠建立起符合國家要求的等級(jí)保護(hù)安全體系。風(fēng)險(xiǎn)管理：通過分析事件與漏洞、病毒與補(bǔ)丁、漏洞與補(bǔ)丁，計(jì)算風(fēng)險(xiǎn)、產(chǎn)生告警，風(fēng)險(xiǎn)管理子系統(tǒng)還包括風(fēng)險(xiǎn)查看、告警監(jiān)控、工單處理、預(yù)警管理、數(shù)據(jù)查詢等功能。同時(shí)根據(jù)實(shí)施經(jīng)驗(yàn)，還內(nèi)置了安全月報(bào)模板，用戶增加必要的文字描述后，就可以生成一張圖文并茂的安全月報(bào)。細(xì)分后的 SOC 軟件架構(gòu)如下圖所示：基礎(chǔ)服務(wù)：安氏 SOC 提供了認(rèn)證中心、統(tǒng)計(jì)引擎、任務(wù)調(diào)度中心、響應(yīng)中心等功能，為其他模塊提供公共服務(wù)，同時(shí)還提供了系統(tǒng)撥測(cè)和系統(tǒng)升級(jí)等系統(tǒng)自我維護(hù)功能。安全門戶是用戶體驗(yàn)和感受 SOC 功能的集中場所，通過安全門戶，用戶可以使用 SOC 的所有功能，如查看原始數(shù)據(jù)、告警和風(fēng)險(xiǎn)，通過自定義各種規(guī)則，參與 SOC 的分析等。維護(hù)人員通過 SAG 的資源樹和單點(diǎn)登錄功能直接訪問目標(biāo)資源，不需要知道目標(biāo)資源的帳號(hào)密碼，進(jìn)而使得密碼管理變得安全可靠。? 維護(hù)管理統(tǒng)一入口 SAG 采用堡壘機(jī)的技術(shù)，避免維護(hù)人員直接訪問目標(biāo)資源。通過 SAG，解決了多人共同使用同一系統(tǒng)賬號(hào)所帶來的用戶身份唯一性無法確定的問題。相對(duì)于 IPS 設(shè)備，Web 盾對(duì) Web 應(yīng)用有杰出的防護(hù)效果；相對(duì)于 Web 應(yīng)用防火墻， Web 盾能夠?qū)ο到y(tǒng)服務(wù)漏洞做有效保護(hù)。能否及時(shí)發(fā)現(xiàn)并成功阻止網(wǎng)絡(luò)黑客的入侵和攻擊、保證Web 網(wǎng)站的安全和正常運(yùn)行成為政府、企業(yè)等各類組織所面臨的重要問題。 高效、全面的流量分析、事件統(tǒng)計(jì)，能迅速定位網(wǎng)絡(luò)故障，提高網(wǎng)絡(luò)穩(wěn)定運(yùn)行時(shí)間。 ? 阻止企業(yè)員工因?yàn)楦鞣N IM 即時(shí)通訊軟件、網(wǎng)絡(luò)在線游戲、 P2P 下載、在線視頻導(dǎo)致的企業(yè)網(wǎng)絡(luò)資源濫用而影響正常工作，凈化流量，為網(wǎng)絡(luò)加速。保障桌面終端安全方面，通過終端管理和防病毒部署基于主機(jī)的安全措施，從以下幾個(gè)方面進(jìn)行相關(guān)安全防護(hù)：桌面終端病毒防護(hù)惡意代碼防護(hù)補(bǔ)丁管理桌面終端安全管理. 應(yīng)用系統(tǒng)防護(hù)應(yīng)用系統(tǒng)安全 應(yīng)用系統(tǒng)應(yīng)進(jìn)行安全加固參照廠商提供的安全加固列表，對(duì)通用應(yīng)用系統(tǒng)進(jìn)行加固，如Oracle、Notes 、Apache 等 應(yīng)用系統(tǒng)鏈路應(yīng)部署入侵防御設(shè)備 Web 應(yīng)用安全防護(hù)遼寧省 XXXX 信息安全等級(jí)保護(hù)建設(shè)方案 15通過部署 web 防護(hù)設(shè)備，加強(qiáng) Web 應(yīng)用安全防護(hù)。數(shù)據(jù)庫安全可參考數(shù)據(jù)庫加固手冊(cè)實(shí)現(xiàn)；桌面管理企業(yè)級(jí)用戶的員工每天在使用個(gè)人 PC、筆記本電腦等終端設(shè)備進(jìn)行辦公。具體可參照加固手冊(cè)內(nèi)容進(jìn)行，如針對(duì) Windows 系統(tǒng)的文件控制參見 附一：Widows 系統(tǒng)加固手冊(cè)樣例 中 文件系統(tǒng)基本權(quán)限設(shè)置安全審計(jì)開啟服務(wù)器日志審計(jì)功能，可將系統(tǒng)的日志統(tǒng)一發(fā)送到日志集中管理設(shè)備遼寧省 XXXX 信息安全等級(jí)保護(hù)建設(shè)方案 12上Windows 服務(wù)器 Event Log 無法直接進(jìn)行 syslog 輸出，需借助安全管理平臺(tái)的 Windows 桌面日志 Agent 實(shí)現(xiàn)；UNIX 系統(tǒng)，如 AIX 日志設(shè)置如下記錄 messages 并發(fā)送到 syslog說明：AIX 默認(rèn)未記錄 messages，通過以下設(shè)置記錄 messages 并發(fā)送到 syslog操作：printf \t\t/var/adm/authlog\n\*.info。口令必須具有一定強(qiáng)度、長度和復(fù)雜度，長度不得小于 8 位字符串，要求是字母和數(shù)字或特殊字符的混合，用戶名和口令禁止相同。Web 應(yīng)用安全XXXX 的 web 門戶網(wǎng)站部署于外網(wǎng)服務(wù)器區(qū)，為提升 web 服務(wù)質(zhì)量，抵御外界安全威脅，防止惡意份子篡改、入侵門戶網(wǎng)站，需在 XXXX 外網(wǎng)部署 web安全防護(hù)系統(tǒng)，對(duì)重點(diǎn)對(duì)象形成重點(diǎn)保護(hù)。 . 網(wǎng)絡(luò)環(huán)境安全防護(hù)網(wǎng)絡(luò)環(huán)境安全防護(hù)面向遼寧省 XXXX 整體支撐性網(wǎng)絡(luò)，以及為各安全域提供網(wǎng)絡(luò)支撐平臺(tái)的網(wǎng)絡(luò)環(huán)境設(shè)施，網(wǎng)絡(luò)環(huán)境具體包括網(wǎng)絡(luò)中提供連接的路由、交換設(shè)備及安全防護(hù)體系建設(shè)所引入的安全設(shè)備、網(wǎng)絡(luò)基礎(chǔ)服務(wù)設(shè)施。具體對(duì)應(yīng)各邊界要求，遼寧省 XXXX 基本防護(hù)部署產(chǎn)品如下：安全邊界防護(hù)要求 內(nèi)網(wǎng)服務(wù)系統(tǒng)域內(nèi)網(wǎng)終端域外網(wǎng)應(yīng)用系統(tǒng)域外網(wǎng)終端域部署產(chǎn)品外網(wǎng)第三方邊界縱向邊界訪問控制 √ √防火墻遼寧省 XXXX 信息安全等級(jí)保護(hù)建設(shè)方案 8安全邊界防護(hù)要求 內(nèi)網(wǎng)服務(wù)系統(tǒng)域內(nèi)網(wǎng)終端域外網(wǎng)應(yīng)用系統(tǒng)域外網(wǎng)終端域部署產(chǎn)品邊界流量及連接數(shù)控制√ √防火墻邊界通信入侵防護(hù) √ √IPS遠(yuǎn)程接入安全防護(hù) √ √IPS對(duì)外服務(wù)安全 √ √防火墻內(nèi)容過濾 √ √ 防火墻訪問控制 √ √ 防火墻邊界流量及連接數(shù)控制√ √防火墻內(nèi)網(wǎng)第三方邊界邊界入侵防護(hù) √ N/A防火墻內(nèi)外網(wǎng)邊