【正文】 同時，安全設(shè)備的運行應(yīng)該不會對網(wǎng)絡(luò)傳輸造成通信 “ 瓶頸 ” 。 2) 需求、風(fēng)險、代價平衡的原則 對任一網(wǎng) 絡(luò)，絕對安全難以達(dá)到，也不一定是必要的。 根據(jù)我國國情，管理的重要性還體現(xiàn)在領(lǐng)導(dǎo)的重視程度上。管理的目的就是讓參與信息安全的所有人員都能夠按照確定的要求去行動。用另一句話來描述管理的作用可能更為 確切，這就是：管理是貫穿信息安全整個過程的生命線。 知識水壩（網(wǎng) pologoogle）為您整理 謝謝使用 （ 2）整體保護(hù)性：實現(xiàn)信息的保密性、完整性和可用性（包括抗抵賴性、可控性和可操作性等），以及系統(tǒng)安全運行控制。 知識水壩（網(wǎng) pologoogle）為您整理 謝謝使用 3 等保安全體系總體設(shè)計 本章將對 廣州市財政局 網(wǎng)絡(luò) 系統(tǒng)進(jìn)行總體設(shè)計，在總體設(shè)計時，將首先描述等保體系和安全要求分析，其次遵循等保體系標(biāo)準(zhǔn)作為設(shè)計方法，并根據(jù)等 級 保護(hù) 安全要求進(jìn)行 廣州市財政局 網(wǎng)絡(luò) 系統(tǒng)的安全體系總體設(shè)計。 此外，在網(wǎng)絡(luò)邊界處部署 網(wǎng)絡(luò)層防病毒 設(shè)備，對病毒進(jìn)行基 本的過濾和檢測，可以減輕部署在 PC 終端的防病毒產(chǎn)品的壓力，也可以有效防范蠕蟲病毒的大規(guī)模傳播；同時對于網(wǎng)絡(luò)病毒的防治，采用兩家不同廠商提供的“防病毒庫”，可以避免單一防病毒產(chǎn)品的局限，達(dá)到更高的防護(hù)強(qiáng)度。 此外， 防火墻作為網(wǎng)絡(luò)邊界設(shè)備，放置在不同網(wǎng)絡(luò)出入口上，控制各級網(wǎng)絡(luò)用戶之間的相互訪問，規(guī)劃網(wǎng)絡(luò)的信息流向，同時可以起到一定的用戶隔離作用，一旦某一子網(wǎng)發(fā)生安全事故，避免波及其他子網(wǎng)。 準(zhǔn)確識別出可能的攻擊者，對于計算機(jī)系統(tǒng)來說具有重要意義，因為攻擊往往是在 “ 暗中 ” 發(fā)生的，我們只有先找到假想敵，才有可能采取正確的對策，但安全又是要付出代價的，不正確的假設(shè)不僅無助于安全的解決，還有可能是浪費資源。 安全保障和應(yīng)用支撐 ? 缺乏完善的安全保障 知識水壩（網(wǎng) pologoogle）為您整理 謝謝使用 目前，整個網(wǎng)絡(luò)系統(tǒng)沒有一套完善的信息安全保障體系，無法滿足系統(tǒng)對物理安全、網(wǎng)絡(luò)及計算機(jī)系統(tǒng)安全、應(yīng)用及數(shù)據(jù)安全和安全管理的需要，不能有效抵御來自內(nèi)部、外部的各種安全威脅和攻擊。 主機(jī)安全問題 ? 身份鑒別方面 大部分業(yè)務(wù)系統(tǒng)主機(jī)未對賬戶密碼策略、賬戶鎖定策略進(jìn)行安全配置，如：啟用密碼復(fù)雜度要求、設(shè)置密碼最長存留期、設(shè)置密碼最短存留期、設(shè)置合理的知識水壩（網(wǎng) pologoogle）為您整理 謝謝使用 賬戶鎖定時間、設(shè)置賬戶鎖定閥 值、設(shè)復(fù)位賬戶鎖定計數(shù)器值等；對類 Unix 服務(wù)器進(jìn)行遠(yuǎn)程管理時，未采取措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；個別三級系統(tǒng)，沒有采取兩種或兩種以上組合的鑒別技術(shù)對管理用戶進(jìn)行身份鑒別。 包括：網(wǎng)絡(luò)、服務(wù)器、終端、應(yīng)用系統(tǒng)和資源數(shù)據(jù)、安全保障和應(yīng)用支撐等多個方面。 也 可能 以物理方式盜竊或知識水壩（網(wǎng) pologoogle）為您整理 謝謝使用 破壞 廣州市財政局 網(wǎng)絡(luò) 網(wǎng)絡(luò) 的設(shè)備 、 設(shè)施。 知識水壩（網(wǎng) pologoogle）為您整理 謝謝使用 ? 終端安全管理： 廣州市財政局 電子政務(wù)內(nèi)網(wǎng)服務(wù)器區(qū)部署了 桌面 終端安全管理服務(wù)器 。 針對 廣州市財政局 目前的 外部 網(wǎng)絡(luò)拓?fù)浜蛻?yīng)用需求，在應(yīng)用上， 廣州市財政局擁有對外 提供服務(wù)的服務(wù)器群、 對廣州市 電子政務(wù) 外 網(wǎng)提供服務(wù)的 業(yè)務(wù) 等 ，業(yè)務(wù)種類和業(yè)務(wù)量相對較多。 網(wǎng)絡(luò)體系現(xiàn)狀 廣州市財政局電子政務(wù)內(nèi)網(wǎng) 通過前期調(diào)研和對網(wǎng)絡(luò)拓?fù)溥M(jìn)行分析得知： 廣州市財政局 電子政務(wù)內(nèi)網(wǎng) 網(wǎng)絡(luò)系統(tǒng)以 兩 臺 H3C 9508 交換機(jī)為核心，連接到了多個網(wǎng)絡(luò) 。 安全技術(shù)體系目標(biāo) 按照公安部 、 廣州市財政局 信息中心和相關(guān) 國家部門關(guān)于信息系統(tǒng)在物理、網(wǎng)絡(luò)安全運行、信息保密和管理等方面的總體要求，科學(xué)合理評估 廣州市財政局信息系統(tǒng) 風(fēng)險，協(xié)助其合理確定安全保護(hù)等級，在此基礎(chǔ)上科學(xué)規(guī) 劃設(shè)計一整套完整的安全體系 改造加固方案 。 編制目的 根據(jù) 廣州市財政局 網(wǎng)絡(luò)系統(tǒng) 的現(xiàn)狀和將來的應(yīng)用需求，并結(jié)合公安部關(guān)于等級化保護(hù)的相關(guān)要求， 而 制定 針對性的技術(shù) 方案 與管理方案 ，可為 廣州市財政局網(wǎng)絡(luò)系統(tǒng) 的等級化安全體系改造和加固提供參考和實施依據(jù)。為了保證公眾方便、及時獲取政府信息，《條例》對信息公開的方式作了明確規(guī)定：第一，行政機(jī)關(guān)應(yīng)當(dāng)將主動公開的政府信息通過政府公報、政府網(wǎng)站、新聞發(fā)布會以及報刊、廣播、電視等等便于公眾知曉的方式公開；第二，行政機(jī)關(guān)根據(jù)需要設(shè)立公共查閱室、資料索取點、信息公告欄 、電子信息屏等場所、設(shè)施公開政府信息。 2020 年 5 月，中共中央辦公廳、國務(wù)院辦公廳轉(zhuǎn)發(fā)《國家信息化領(lǐng)導(dǎo)小組關(guān)于推進(jìn)國家電子政務(wù)網(wǎng)網(wǎng)絡(luò)建設(shè)的意見》（中辦發(fā)【 2020】 18 號），明確國家電子政務(wù)網(wǎng)絡(luò)建設(shè)的目標(biāo)是：用 3 年左右的時間，形成中央到地方統(tǒng)一的國家電子政務(wù)傳輸骨干網(wǎng)，建成基本滿足各級政務(wù)部門業(yè)務(wù)應(yīng)用需求的政務(wù)內(nèi)網(wǎng)和政務(wù)外網(wǎng)，健全國家電子政務(wù)網(wǎng)絡(luò)安全保障機(jī)制，完善國家電子政務(wù)網(wǎng)絡(luò)管理體制，為電子政務(wù)發(fā)展提供網(wǎng)絡(luò)支持。隨著 廣州市財政局 信息化程度的不斷提高，使 對 政務(wù)外網(wǎng) 信息系統(tǒng)的依賴程度不斷增加，網(wǎng)上信息價值不斷增大， 信息 安全問題也日漸凸現(xiàn)。 實現(xiàn) 如下 總體安全目標(biāo) ： （ 1）依據(jù)信息系統(tǒng)所包括的 信息資產(chǎn)的安全性、信息系統(tǒng)主要處理的業(yè)務(wù)信息類別、信息系統(tǒng)服務(wù)范圍以及業(yè)務(wù)對信息系統(tǒng)的依賴性等指標(biāo) ， 來劃分 廣州市財政局 信息系統(tǒng)的安全等級。 ? 保障應(yīng)用系統(tǒng)安全 ， 保障應(yīng)用程序?qū)訉W(wǎng)絡(luò)信息的保密性、完整性和信源的真實的保護(hù)和鑒別，防止和抵御各種安全威脅和攻擊手段，在一定程度上彌補(bǔ)和完善現(xiàn)有操作系統(tǒng)和網(wǎng)絡(luò)信息系統(tǒng)的安全風(fēng)險。 廣州市財政局電子政務(wù)外網(wǎng) 通過前期調(diào)研和對網(wǎng)絡(luò)拓?fù)溥M(jìn)行分析得知： 廣州市財政局電子政務(wù) 外網(wǎng) 網(wǎng)絡(luò)系統(tǒng) 以 兩 臺 Cisco 6509 交換機(jī)為核心，連接到了多個網(wǎng)絡(luò) 。 ? 入侵防護(hù)： 廣州市財政局 電子政務(wù)內(nèi)網(wǎng)有部署入侵檢測系統(tǒng) 。 ? 破壞信息完整性 ， 改變 廣州市財政局 電子政務(wù) 外網(wǎng)系統(tǒng)信息 的內(nèi)容或形式。 ? 通信中斷， 由于目前 廣州市財政局 部分 網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)鏈路均未做冗余，因此，存在通信中斷而導(dǎo)致業(yè)務(wù)中斷的威脅。 ? 網(wǎng)絡(luò)設(shè)備防護(hù)方面 對網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時，沒有采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽 。 ? 數(shù)據(jù)庫 未 開啟審計功能 目前 廣州市財政局 的數(shù)據(jù)庫系統(tǒng)均未開啟審計功能。 應(yīng)將不同的業(yè)務(wù)類型劃分若干個邏輯隔離區(qū)域，在根據(jù)區(qū)域和應(yīng)用不同劃分多個 VLAN， 不同 VLAN 之間通過嚴(yán)格的訪問控制規(guī)劃信息流向，隔離廣播，限制不是必需的和非法的訪問。利用 入侵檢測系統(tǒng)，可以進(jìn)行 7 24 的安全監(jiān)控，一旦發(fā)現(xiàn)入侵行為，可以及時的通知管理人員 或者采取其他相應(yīng)的措施。網(wǎng)絡(luò)一旦被病毒侵入 ，將會對重要數(shù)據(jù)的安全、網(wǎng)絡(luò) 的正常運行帶來嚴(yán)重的危害 ， 所以防止計算機(jī)病毒是 廣州市財政局 網(wǎng)絡(luò)系統(tǒng) 安全工作的重要環(huán)節(jié)。 安全管理 建立完善的安全管理機(jī)構(gòu)及安全管理制度，安全管理培訓(xùn)制度化，制定有效措施，保證系統(tǒng)安全措施的執(zhí)行，強(qiáng)化安全管理。 過程控制標(biāo)準(zhǔn)包括：（ 1）工程管理標(biāo)準(zhǔn)，為管理工程實施提供指導(dǎo)；（ 2）系統(tǒng)管理標(biāo)準(zhǔn)，對系統(tǒng)運行過程的管理提供指導(dǎo)；（ 3）監(jiān)督、檢查管理標(biāo)準(zhǔn)，為按等級保護(hù)要求對信息系統(tǒng)的構(gòu)建、測評、運行過程進(jìn)行監(jiān)督、檢查、管理提供指導(dǎo)。 管理是生命線 管理對信息安全等級保護(hù)的實現(xiàn)有十分重要的意義和作用。另外，與技術(shù)相關(guān)管理更是無處不在。比如，如果沒有嚴(yán)格的權(quán)限管理，而是隨意授權(quán)，訪問控制就失去了應(yīng)有作用。 等級化安全體系設(shè)計方法 設(shè)計 原則 在規(guī)劃、建設(shè)、使用、維護(hù)整個 廣州市財政局 網(wǎng)絡(luò)系統(tǒng) 項目的過程中，本方案 將主要 遵循 統(tǒng)一規(guī)劃、分步實施、立足現(xiàn)狀、節(jié)省投資、科學(xué)規(guī)范、嚴(yán)格管理的 原則 進(jìn)行安全體系的整體設(shè)計和實施，并充分考慮到先進(jìn)性、現(xiàn)實性、持續(xù)性和可擴(kuò)展性。 5) 設(shè)備的先進(jìn)性與成熟性 安全設(shè)備的選擇，既要考慮其先進(jìn)性，還要考慮其成熟性。 9) 綜合治理 知識水壩（網(wǎng) pologoogle）為您整理 謝謝使用 廣州市財政局 網(wǎng)絡(luò)系統(tǒng) 是社會大環(huán)境下 的 一個系統(tǒng)工程，信息網(wǎng)絡(luò)的安全同樣也絕不僅僅是一個技術(shù)問題，各種安全技術(shù)應(yīng)該與運行管理機(jī)制、人員的思想教育與技術(shù)培訓(xùn)、安全法律法規(guī)建設(shè)相結(jié)合，從社會系統(tǒng)工程的角度綜合考慮。一個完整的系統(tǒng)的整體安全性取決于其中安全防范最薄弱的一個環(huán)節(jié)，必須提高整個系統(tǒng)的安全性以及系統(tǒng)中各個部分之間的嚴(yán)密的安全邏輯關(guān)聯(lián)的強(qiáng)度，以保證組成系統(tǒng)的各個部分協(xié)調(diào)一致地運行。這已經(jīng)成為不爭的事實。為達(dá)到高級別的安全要 求，需要更嚴(yán)格的管理，就像為了提供高質(zhì)量的產(chǎn)品需要有更嚴(yán)格的管理一樣。其次，信息安全等級保護(hù)的貫徹實施，需要有規(guī)范化的過程和制度，需要建立標(biāo)準(zhǔn)體系，進(jìn)行系統(tǒng)和產(chǎn)品的研究與開發(fā)，進(jìn)行系統(tǒng)和產(chǎn)品的測試與評估等等。 （ 5）前瞻性和可擴(kuò)展性：標(biāo)準(zhǔn)體系所確定的技術(shù)和管理，具有一定的前瞻性，并可根據(jù)信息安全技術(shù)的發(fā) 展改進(jìn)和擴(kuò)展。 構(gòu)建過程控制標(biāo)準(zhǔn)包括：（ 1）技術(shù)要求標(biāo)準(zhǔn)；（ 2）產(chǎn)品要求標(biāo)準(zhǔn)。 在 廣州市財政局 網(wǎng)絡(luò) 系統(tǒng) 的重要 網(wǎng)絡(luò)設(shè)備 ， 如 思科 、 H3C 核心交換機(jī) ，應(yīng)配置 安全審計系統(tǒng)，針對 應(yīng)用系統(tǒng)和 數(shù)據(jù)庫的操作進(jìn)行審計，并且針對于特殊要求的主機(jī)系統(tǒng)部署基于主機(jī)的審計系統(tǒng)，以保證觸發(fā)審計系統(tǒng)的事件存儲在審計系統(tǒng)內(nèi)，能夠根據(jù)存儲的記錄和操作者的權(quán)限進(jìn)行查詢、統(tǒng)計、管理、維護(hù)等操作。 在網(wǎng)絡(luò)中，病毒已從存儲介質(zhì)（軟、硬、光盤）的感染發(fā)展為網(wǎng)絡(luò)通訊和電子郵件的感染上來。入侵檢測 系統(tǒng) 通過對數(shù)據(jù)流的實時采集與分析，能夠洞察各種非法行為，及時彌補(bǔ)安全漏洞。 為了 在當(dāng)出現(xiàn) 新的 安全漏洞時有效的進(jìn)行安全防御 ，建立有效的訪問控制 和部署安全產(chǎn)品 是關(guān)鍵 ； 其中采用數(shù)字證書認(rèn)證技術(shù)是目前訪問控制中最有效的角色認(rèn)證方法之一 ，部署入侵防御系統(tǒng)對業(yè)務(wù)系統(tǒng)的 WEB 網(wǎng)站和后臺數(shù)據(jù)庫 系統(tǒng)進(jìn)行保護(hù)是有效抵御外部攻擊的措施之一。 ? 資源控制方面 部分系統(tǒng) 沒有采取措施對重要服務(wù)器的運行 服務(wù)水平進(jìn)行監(jiān)視和報警，不能及時掌握系統(tǒng)的運行狀況，如： CPU 的利用率、剩余磁盤空間、內(nèi)存、網(wǎng)絡(luò)帶寬等資源的使用情況。 ? 安全審計方面 未能采取措施，對局域網(wǎng)內(nèi)網(wǎng)絡(luò)設(shè)備的運行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄，不能及時發(fā)現(xiàn)網(wǎng)絡(luò)設(shè)備的運行狀態(tài)、網(wǎng)絡(luò)帶寬是否滿足業(yè)務(wù)需要、用戶對設(shè)備的操作和數(shù)據(jù)庫的操作是否合規(guī) 。 ? 電力中斷 ， 電力中 斷會破壞 廣州市財政局 網(wǎng)絡(luò)系統(tǒng) 的可用性或?qū)е聰?shù)據(jù)丟失。因此，其面臨很多的安全威脅，經(jīng)過總結(jié)分析主要包括了以下幾類： ? 身份 假冒 ， 一個實體假裝成另一個不同的實體 ，從而獲得對 廣州市財政局 網(wǎng)絡(luò)系統(tǒng) 的訪問。 現(xiàn)有安全設(shè)備部署情況如下： ? 邊界防護(hù)： 廣州市財政局 電子 政務(wù)內(nèi)網(wǎng) 與征管分局用戶邊界、番禺區(qū)財政局邊界、評審中心用戶邊界未采取訪問控制措施 ； 人行金庫、廣州市電網(wǎng)政務(wù)外網(wǎng) 邊界通過 中網(wǎng)網(wǎng)閘對數(shù)據(jù)流實施單向控制 ； 廣州市電子政務(wù)內(nèi)網(wǎng)邊界通過億陽防火墻進(jìn)行訪問控制 。 針對 廣州市財政局 目前的 內(nèi)部 網(wǎng)絡(luò)拓?fù)浜蛻?yīng)用需求，在應(yīng)用上， 廣州市財政局 擁有對內(nèi) 提供服務(wù)的服務(wù)器群、 對廣州市 電子政務(wù) 內(nèi)網(wǎng) 提供服務(wù)的 業(yè)務(wù) 等 ，業(yè)務(wù)種類和業(yè)務(wù)量相對較多。 ? 保障網(wǎng)絡(luò)連接安全 ， 保障網(wǎng)絡(luò)傳輸中的安全，尤其保障網(wǎng)絡(luò)邊界和外部接入中的安全。 等級安全體系設(shè)計目標(biāo) 根據(jù)對 廣州市財政局 電子政務(wù)信息系統(tǒng)的全面了解，并結(jié)合國家的相關(guān)政策標(biāo)準(zhǔn)， 廣州市財政局 網(wǎng)絡(luò)系統(tǒng) 的信息安全建設(shè)目標(biāo) 如下 。 廣州市財政局 網(wǎng)絡(luò) 是 廣州市財政局 電子政務(wù)的重要組成部分。知識水壩（網(wǎng) pologoogle）為您整理 謝謝使用 附件 42. 廣州市財政局 等級保護(hù)整改方案 2020 年 05 月 知識水壩（網(wǎng) pologoogle）為您整理 謝謝使用 目 錄 1 概述 ......................................................................................................................... 6 編制背景 ........................................................................................................... 6 編制目的 ........................................................................................................... 7 等級安全體系設(shè)計目標(biāo) ..................................................................................... 7 總體目標(biāo) ..................................