【正文】 同時(shí)，安全設(shè)備的運(yùn)行應(yīng)該不會(huì)對(duì)網(wǎng)絡(luò)傳輸造成通信 “ 瓶頸 ” 。 2) 需求、風(fēng)險(xiǎn)、代價(jià)平衡的原則 對(duì)任一網(wǎng) 絡(luò)，絕對(duì)安全難以達(dá)到，也不一定是必要的。 根據(jù)我國(guó)國(guó)情，管理的重要性還體現(xiàn)在領(lǐng)導(dǎo)的重視程度上。管理的目的就是讓參與信息安全的所有人員都能夠按照確定的要求去行動(dòng)。用另一句話來(lái)描述管理的作用可能更為 確切，這就是：管理是貫穿信息安全整個(gè)過(guò)程的生命線。 知識(shí)水壩（網(wǎng) pologoogle）為您整理 謝謝使用 （ 2）整體保護(hù)性：實(shí)現(xiàn)信息的保密性、完整性和可用性（包括抗抵賴性、可控性和可操作性等），以及系統(tǒng)安全運(yùn)行控制。 知識(shí)水壩（網(wǎng) pologoogle）為您整理 謝謝使用 3 等保安全體系總體設(shè)計(jì) 本章將對(duì) 廣州市財(cái)政局 網(wǎng)絡(luò) 系統(tǒng)進(jìn)行總體設(shè)計(jì)，在總體設(shè)計(jì)時(shí)，將首先描述等保體系和安全要求分析，其次遵循等保體系標(biāo)準(zhǔn)作為設(shè)計(jì)方法，并根據(jù)等 級(jí) 保護(hù) 安全要求進(jìn)行 廣州市財(cái)政局 網(wǎng)絡(luò) 系統(tǒng)的安全體系總體設(shè)計(jì)。 此外，在網(wǎng)絡(luò)邊界處部署 網(wǎng)絡(luò)層防病毒 設(shè)備，對(duì)病毒進(jìn)行基 本的過(guò)濾和檢測(cè)，可以減輕部署在 PC 終端的防病毒產(chǎn)品的壓力，也可以有效防范蠕蟲病毒的大規(guī)模傳播；同時(shí)對(duì)于網(wǎng)絡(luò)病毒的防治，采用兩家不同廠商提供的“防病毒庫(kù)”，可以避免單一防病毒產(chǎn)品的局限，達(dá)到更高的防護(hù)強(qiáng)度。 此外， 防火墻作為網(wǎng)絡(luò)邊界設(shè)備，放置在不同網(wǎng)絡(luò)出入口上，控制各級(jí)網(wǎng)絡(luò)用戶之間的相互訪問(wèn)，規(guī)劃網(wǎng)絡(luò)的信息流向，同時(shí)可以起到一定的用戶隔離作用，一旦某一子網(wǎng)發(fā)生安全事故，避免波及其他子網(wǎng)。 準(zhǔn)確識(shí)別出可能的攻擊者，對(duì)于計(jì)算機(jī)系統(tǒng)來(lái)說(shuō)具有重要意義，因?yàn)楣敉窃?“ 暗中 ” 發(fā)生的，我們只有先找到假想敵，才有可能采取正確的對(duì)策，但安全又是要付出代價(jià)的，不正確的假設(shè)不僅無(wú)助于安全的解決，還有可能是浪費(fèi)資源。 安全保障和應(yīng)用支撐 ? 缺乏完善的安全保障 知識(shí)水壩（網(wǎng) pologoogle）為您整理 謝謝使用 目前，整個(gè)網(wǎng)絡(luò)系統(tǒng)沒(méi)有一套完善的信息安全保障體系，無(wú)法滿足系統(tǒng)對(duì)物理安全、網(wǎng)絡(luò)及計(jì)算機(jī)系統(tǒng)安全、應(yīng)用及數(shù)據(jù)安全和安全管理的需要，不能有效抵御來(lái)自內(nèi)部、外部的各種安全威脅和攻擊。 主機(jī)安全問(wèn)題 ? 身份鑒別方面 大部分業(yè)務(wù)系統(tǒng)主機(jī)未對(duì)賬戶密碼策略、賬戶鎖定策略進(jìn)行安全配置，如：?jiǎn)⒂妹艽a復(fù)雜度要求、設(shè)置密碼最長(zhǎng)存留期、設(shè)置密碼最短存留期、設(shè)置合理的知識(shí)水壩（網(wǎng) pologoogle）為您整理 謝謝使用 賬戶鎖定時(shí)間、設(shè)置賬戶鎖定閥 值、設(shè)復(fù)位賬戶鎖定計(jì)數(shù)器值等；對(duì)類 Unix 服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí)，未采取措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng)；個(gè)別三級(jí)系統(tǒng)，沒(méi)有采取兩種或兩種以上組合的鑒別技術(shù)對(duì)管理用戶進(jìn)行身份鑒別。 包括：網(wǎng)絡(luò)、服務(wù)器、終端、應(yīng)用系統(tǒng)和資源數(shù)據(jù)、安全保障和應(yīng)用支撐等多個(gè)方面。 也 可能 以物理方式盜竊或知識(shí)水壩（網(wǎng) pologoogle）為您整理 謝謝使用 破壞 廣州市財(cái)政局 網(wǎng)絡(luò) 網(wǎng)絡(luò) 的設(shè)備 、 設(shè)施。 知識(shí)水壩（網(wǎng) pologoogle）為您整理 謝謝使用 ? 終端安全管理： 廣州市財(cái)政局 電子政務(wù)內(nèi)網(wǎng)服務(wù)器區(qū)部署了 桌面 終端安全管理服務(wù)器 。 針對(duì) 廣州市財(cái)政局 目前的 外部 網(wǎng)絡(luò)拓?fù)浜蛻?yīng)用需求，在應(yīng)用上， 廣州市財(cái)政局擁有對(duì)外 提供服務(wù)的服務(wù)器群、 對(duì)廣州市 電子政務(wù) 外 網(wǎng)提供服務(wù)的 業(yè)務(wù) 等 ，業(yè)務(wù)種類和業(yè)務(wù)量相對(duì)較多。 網(wǎng)絡(luò)體系現(xiàn)狀 廣州市財(cái)政局電子政務(wù)內(nèi)網(wǎng) 通過(guò)前期調(diào)研和對(duì)網(wǎng)絡(luò)拓?fù)溥M(jìn)行分析得知： 廣州市財(cái)政局 電子政務(wù)內(nèi)網(wǎng) 網(wǎng)絡(luò)系統(tǒng)以 兩 臺(tái) H3C 9508 交換機(jī)為核心，連接到了多個(gè)網(wǎng)絡(luò) 。 安全技術(shù)體系目標(biāo) 按照公安部 、 廣州市財(cái)政局 信息中心和相關(guān) 國(guó)家部門關(guān)于信息系統(tǒng)在物理、網(wǎng)絡(luò)安全運(yùn)行、信息保密和管理等方面的總體要求，科學(xué)合理評(píng)估 廣州市財(cái)政局信息系統(tǒng) 風(fēng)險(xiǎn)，協(xié)助其合理確定安全保護(hù)等級(jí)，在此基礎(chǔ)上科學(xué)規(guī) 劃設(shè)計(jì)一整套完整的安全體系 改造加固方案 。 編制目的 根據(jù) 廣州市財(cái)政局 網(wǎng)絡(luò)系統(tǒng) 的現(xiàn)狀和將來(lái)的應(yīng)用需求，并結(jié)合公安部關(guān)于等級(jí)化保護(hù)的相關(guān)要求， 而 制定 針對(duì)性的技術(shù) 方案 與管理方案 ，可為 廣州市財(cái)政局網(wǎng)絡(luò)系統(tǒng) 的等級(jí)化安全體系改造和加固提供參考和實(shí)施依據(jù)。為了保證公眾方便、及時(shí)獲取政府信息，《條例》對(duì)信息公開的方式作了明確規(guī)定：第一，行政機(jī)關(guān)應(yīng)當(dāng)將主動(dòng)公開的政府信息通過(guò)政府公報(bào)、政府網(wǎng)站、新聞發(fā)布會(huì)以及報(bào)刊、廣播、電視等等便于公眾知曉的方式公開；第二，行政機(jī)關(guān)根據(jù)需要設(shè)立公共查閱室、資料索取點(diǎn)、信息公告欄 、電子信息屏等場(chǎng)所、設(shè)施公開政府信息。 2020 年 5 月，中共中央辦公廳、國(guó)務(wù)院辦公廳轉(zhuǎn)發(fā)《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于推進(jìn)國(guó)家電子政務(wù)網(wǎng)網(wǎng)絡(luò)建設(shè)的意見(jiàn)》（中辦發(fā)【 2020】 18 號(hào)），明確國(guó)家電子政務(wù)網(wǎng)絡(luò)建設(shè)的目標(biāo)是：用 3 年左右的時(shí)間，形成中央到地方統(tǒng)一的國(guó)家電子政務(wù)傳輸骨干網(wǎng)，建成基本滿足各級(jí)政務(wù)部門業(yè)務(wù)應(yīng)用需求的政務(wù)內(nèi)網(wǎng)和政務(wù)外網(wǎng)，健全國(guó)家電子政務(wù)網(wǎng)絡(luò)安全保障機(jī)制，完善國(guó)家電子政務(wù)網(wǎng)絡(luò)管理體制，為電子政務(wù)發(fā)展提供網(wǎng)絡(luò)支持。隨著 廣州市財(cái)政局 信息化程度的不斷提高，使 對(duì) 政務(wù)外網(wǎng) 信息系統(tǒng)的依賴程度不斷增加，網(wǎng)上信息價(jià)值不斷增大， 信息 安全問(wèn)題也日漸凸現(xiàn)。 實(shí)現(xiàn) 如下 總體安全目標(biāo) ： （ 1）依據(jù)信息系統(tǒng)所包括的 信息資產(chǎn)的安全性、信息系統(tǒng)主要處理的業(yè)務(wù)信息類別、信息系統(tǒng)服務(wù)范圍以及業(yè)務(wù)對(duì)信息系統(tǒng)的依賴性等指標(biāo) ， 來(lái)劃分 廣州市財(cái)政局 信息系統(tǒng)的安全等級(jí)。 ? 保障應(yīng)用系統(tǒng)安全 ， 保障應(yīng)用程序?qū)訉?duì)網(wǎng)絡(luò)信息的保密性、完整性和信源的真實(shí)的保護(hù)和鑒別，防止和抵御各種安全威脅和攻擊手段，在一定程度上彌補(bǔ)和完善現(xiàn)有操作系統(tǒng)和網(wǎng)絡(luò)信息系統(tǒng)的安全風(fēng)險(xiǎn)。 廣州市財(cái)政局電子政務(wù)外網(wǎng) 通過(guò)前期調(diào)研和對(duì)網(wǎng)絡(luò)拓?fù)溥M(jìn)行分析得知： 廣州市財(cái)政局電子政務(wù) 外網(wǎng) 網(wǎng)絡(luò)系統(tǒng) 以 兩 臺(tái) Cisco 6509 交換機(jī)為核心，連接到了多個(gè)網(wǎng)絡(luò) 。 ? 入侵防護(hù)： 廣州市財(cái)政局 電子政務(wù)內(nèi)網(wǎng)有部署入侵檢測(cè)系統(tǒng) 。 ? 破壞信息完整性 ， 改變 廣州市財(cái)政局 電子政務(wù) 外網(wǎng)系統(tǒng)信息 的內(nèi)容或形式。 ? 通信中斷， 由于目前 廣州市財(cái)政局 部分 網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)鏈路均未做冗余，因此，存在通信中斷而導(dǎo)致業(yè)務(wù)中斷的威脅。 ? 網(wǎng)絡(luò)設(shè)備防護(hù)方面 對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時(shí)，沒(méi)有采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng) 。 ? 數(shù)據(jù)庫(kù) 未 開啟審計(jì)功能 目前 廣州市財(cái)政局 的數(shù)據(jù)庫(kù)系統(tǒng)均未開啟審計(jì)功能。 應(yīng)將不同的業(yè)務(wù)類型劃分若干個(gè)邏輯隔離區(qū)域，在根據(jù)區(qū)域和應(yīng)用不同劃分多個(gè) VLAN， 不同 VLAN 之間通過(guò)嚴(yán)格的訪問(wèn)控制規(guī)劃信息流向，隔離廣播，限制不是必需的和非法的訪問(wèn)。利用 入侵檢測(cè)系統(tǒng)，可以進(jìn)行 7 24 的安全監(jiān)控，一旦發(fā)現(xiàn)入侵行為，可以及時(shí)的通知管理人員 或者采取其他相應(yīng)的措施。網(wǎng)絡(luò)一旦被病毒侵入 ，將會(huì)對(duì)重要數(shù)據(jù)的安全、網(wǎng)絡(luò) 的正常運(yùn)行帶來(lái)嚴(yán)重的危害 ， 所以防止計(jì)算機(jī)病毒是 廣州市財(cái)政局 網(wǎng)絡(luò)系統(tǒng) 安全工作的重要環(huán)節(jié)。 安全管理 建立完善的安全管理機(jī)構(gòu)及安全管理制度，安全管理培訓(xùn)制度化，制定有效措施，保證系統(tǒng)安全措施的執(zhí)行，強(qiáng)化安全管理。 過(guò)程控制標(biāo)準(zhǔn)包括：（ 1）工程管理標(biāo)準(zhǔn)，為管理工程實(shí)施提供指導(dǎo)；（ 2）系統(tǒng)管理標(biāo)準(zhǔn)，對(duì)系統(tǒng)運(yùn)行過(guò)程的管理提供指導(dǎo)；（ 3）監(jiān)督、檢查管理標(biāo)準(zhǔn)，為按等級(jí)保護(hù)要求對(duì)信息系統(tǒng)的構(gòu)建、測(cè)評(píng)、運(yùn)行過(guò)程進(jìn)行監(jiān)督、檢查、管理提供指導(dǎo)。 管理是生命線 管理對(duì)信息安全等級(jí)保護(hù)的實(shí)現(xiàn)有十分重要的意義和作用。另外，與技術(shù)相關(guān)管理更是無(wú)處不在。比如，如果沒(méi)有嚴(yán)格的權(quán)限管理，而是隨意授權(quán)，訪問(wèn)控制就失去了應(yīng)有作用。 等級(jí)化安全體系設(shè)計(jì)方法 設(shè)計(jì) 原則 在規(guī)劃、建設(shè)、使用、維護(hù)整個(gè) 廣州市財(cái)政局 網(wǎng)絡(luò)系統(tǒng) 項(xiàng)目的過(guò)程中，本方案 將主要 遵循 統(tǒng)一規(guī)劃、分步實(shí)施、立足現(xiàn)狀、節(jié)省投資、科學(xué)規(guī)范、嚴(yán)格管理的 原則 進(jìn)行安全體系的整體設(shè)計(jì)和實(shí)施，并充分考慮到先進(jìn)性、現(xiàn)實(shí)性、持續(xù)性和可擴(kuò)展性。 5) 設(shè)備的先進(jìn)性與成熟性 安全設(shè)備的選擇，既要考慮其先進(jìn)性，還要考慮其成熟性。 9) 綜合治理 知識(shí)水壩（網(wǎng) pologoogle）為您整理 謝謝使用 廣州市財(cái)政局 網(wǎng)絡(luò)系統(tǒng) 是社會(huì)大環(huán)境下 的 一個(gè)系統(tǒng)工程，信息網(wǎng)絡(luò)的安全同樣也絕不僅僅是一個(gè)技術(shù)問(wèn)題，各種安全技術(shù)應(yīng)該與運(yùn)行管理機(jī)制、人員的思想教育與技術(shù)培訓(xùn)、安全法律法規(guī)建設(shè)相結(jié)合，從社會(huì)系統(tǒng)工程的角度綜合考慮。一個(gè)完整的系統(tǒng)的整體安全性取決于其中安全防范最薄弱的一個(gè)環(huán)節(jié)，必須提高整個(gè)系統(tǒng)的安全性以及系統(tǒng)中各個(gè)部分之間的嚴(yán)密的安全邏輯關(guān)聯(lián)的強(qiáng)度，以保證組成系統(tǒng)的各個(gè)部分協(xié)調(diào)一致地運(yùn)行。這已經(jīng)成為不爭(zhēng)的事實(shí)。為達(dá)到高級(jí)別的安全要 求，需要更嚴(yán)格的管理，就像為了提供高質(zhì)量的產(chǎn)品需要有更嚴(yán)格的管理一樣。其次，信息安全等級(jí)保護(hù)的貫徹實(shí)施，需要有規(guī)范化的過(guò)程和制度，需要建立標(biāo)準(zhǔn)體系，進(jìn)行系統(tǒng)和產(chǎn)品的研究與開發(fā)，進(jìn)行系統(tǒng)和產(chǎn)品的測(cè)試與評(píng)估等等。 （ 5）前瞻性和可擴(kuò)展性：標(biāo)準(zhǔn)體系所確定的技術(shù)和管理，具有一定的前瞻性，并可根據(jù)信息安全技術(shù)的發(fā) 展改進(jìn)和擴(kuò)展。 構(gòu)建過(guò)程控制標(biāo)準(zhǔn)包括：（ 1）技術(shù)要求標(biāo)準(zhǔn)；（ 2）產(chǎn)品要求標(biāo)準(zhǔn)。 在 廣州市財(cái)政局 網(wǎng)絡(luò) 系統(tǒng) 的重要 網(wǎng)絡(luò)設(shè)備 ， 如 思科 、 H3C 核心交換機(jī) ，應(yīng)配置 安全審計(jì)系統(tǒng)，針對(duì) 應(yīng)用系統(tǒng)和 數(shù)據(jù)庫(kù)的操作進(jìn)行審計(jì)，并且針對(duì)于特殊要求的主機(jī)系統(tǒng)部署基于主機(jī)的審計(jì)系統(tǒng)，以保證觸發(fā)審計(jì)系統(tǒng)的事件存儲(chǔ)在審計(jì)系統(tǒng)內(nèi)，能夠根據(jù)存儲(chǔ)的記錄和操作者的權(quán)限進(jìn)行查詢、統(tǒng)計(jì)、管理、維護(hù)等操作。 在網(wǎng)絡(luò)中，病毒已從存儲(chǔ)介質(zhì)（軟、硬、光盤）的感染發(fā)展為網(wǎng)絡(luò)通訊和電子郵件的感染上來(lái)。入侵檢測(cè) 系統(tǒng) 通過(guò)對(duì)數(shù)據(jù)流的實(shí)時(shí)采集與分析，能夠洞察各種非法行為，及時(shí)彌補(bǔ)安全漏洞。 為了 在當(dāng)出現(xiàn) 新的 安全漏洞時(shí)有效的進(jìn)行安全防御 ，建立有效的訪問(wèn)控制 和部署安全產(chǎn)品 是關(guān)鍵 ； 其中采用數(shù)字證書認(rèn)證技術(shù)是目前訪問(wèn)控制中最有效的角色認(rèn)證方法之一 ，部署入侵防御系統(tǒng)對(duì)業(yè)務(wù)系統(tǒng)的 WEB 網(wǎng)站和后臺(tái)數(shù)據(jù)庫(kù) 系統(tǒng)進(jìn)行保護(hù)是有效抵御外部攻擊的措施之一。 ? 資源控制方面 部分系統(tǒng) 沒(méi)有采取措施對(duì)重要服務(wù)器的運(yùn)行 服務(wù)水平進(jìn)行監(jiān)視和報(bào)警，不能及時(shí)掌握系統(tǒng)的運(yùn)行狀況，如： CPU 的利用率、剩余磁盤空間、內(nèi)存、網(wǎng)絡(luò)帶寬等資源的使用情況。 ? 安全審計(jì)方面 未能采取措施，對(duì)局域網(wǎng)內(nèi)網(wǎng)絡(luò)設(shè)備的運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄，不能及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)設(shè)備的運(yùn)行狀態(tài)、網(wǎng)絡(luò)帶寬是否滿足業(yè)務(wù)需要、用戶對(duì)設(shè)備的操作和數(shù)據(jù)庫(kù)的操作是否合規(guī) 。 ? 電力中斷 ， 電力中 斷會(huì)破壞 廣州市財(cái)政局 網(wǎng)絡(luò)系統(tǒng) 的可用性或?qū)е聰?shù)據(jù)丟失。因此，其面臨很多的安全威脅，經(jīng)過(guò)總結(jié)分析主要包括了以下幾類： ? 身份 假冒 ， 一個(gè)實(shí)體假裝成另一個(gè)不同的實(shí)體 ，從而獲得對(duì) 廣州市財(cái)政局 網(wǎng)絡(luò)系統(tǒng) 的訪問(wèn)。 現(xiàn)有安全設(shè)備部署情況如下： ? 邊界防護(hù)： 廣州市財(cái)政局 電子 政務(wù)內(nèi)網(wǎng) 與征管分局用戶邊界、番禺區(qū)財(cái)政局邊界、評(píng)審中心用戶邊界未采取訪問(wèn)控制措施 ； 人行金庫(kù)、廣州市電網(wǎng)政務(wù)外網(wǎng) 邊界通過(guò) 中網(wǎng)網(wǎng)閘對(duì)數(shù)據(jù)流實(shí)施單向控制 ； 廣州市電子政務(wù)內(nèi)網(wǎng)邊界通過(guò)億陽(yáng)防火墻進(jìn)行訪問(wèn)控制 。 針對(duì) 廣州市財(cái)政局 目前的 內(nèi)部 網(wǎng)絡(luò)拓?fù)浜蛻?yīng)用需求，在應(yīng)用上， 廣州市財(cái)政局 擁有對(duì)內(nèi) 提供服務(wù)的服務(wù)器群、 對(duì)廣州市 電子政務(wù) 內(nèi)網(wǎng) 提供服務(wù)的 業(yè)務(wù) 等 ，業(yè)務(wù)種類和業(yè)務(wù)量相對(duì)較多。 ? 保障網(wǎng)絡(luò)連接安全 ， 保障網(wǎng)絡(luò)傳輸中的安全，尤其保障網(wǎng)絡(luò)邊界和外部接入中的安全。 等級(jí)安全體系設(shè)計(jì)目標(biāo) 根據(jù)對(duì) 廣州市財(cái)政局 電子政務(wù)信息系統(tǒng)的全面了解，并結(jié)合國(guó)家的相關(guān)政策標(biāo)準(zhǔn)， 廣州市財(cái)政局 網(wǎng)絡(luò)系統(tǒng) 的信息安全建設(shè)目標(biāo) 如下 。 廣州市財(cái)政局 網(wǎng)絡(luò) 是 廣州市財(cái)政局 電子政務(wù)的重要組成部分。知識(shí)水壩（網(wǎng) pologoogle）為您整理 謝謝使用 附件 42. 廣州市財(cái)政局 等級(jí)保護(hù)整改方案 2020 年 05 月 知識(shí)水壩（網(wǎng) pologoogle）為您整理 謝謝使用 目 錄 1 概述 ......................................................................................................................... 6 編制背景 ........................................................................................................... 6 編制目的 ........................................................................................................... 7 等級(jí)安全體系設(shè)計(jì)目標(biāo) ..................................................................................... 7 總體目標(biāo) ..................................