【正文】 人員離崗（G3）規(guī)范人員離崗過程，即時收回離崗人員的各類權(quán)限，要求離崗人員履行保密義務(wù)。溝通和合作（G3）應(yīng)定期召開安全工作會議，對前一階段安全工作的總結(jié)，提出問題，在下一階段的安全工作中予以改進；通過等級保護備案，與公安機關(guān)建立安全工作的聯(lián)系；審核和檢查（G3）應(yīng)針對現(xiàn)有安全技術(shù)措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等，制定安全檢查表格實施安全檢查，組織辦公室、信息辦及信息安全相關(guān)人員進行周期性檢查匯總安全檢查數(shù)據(jù)，形成安全檢查報告，并對安全檢查結(jié)果進行通報。 終端系統(tǒng)國家XX局外網(wǎng)的辦公終端在對應(yīng)用系統(tǒng)的訪問上屬于混用模式，且無專用的管理維護終端（在辦公終端上實現(xiàn)管理維護）；無法做到按不同系統(tǒng)使用不同終端進行訪問，因此本規(guī)劃中將終端視為單獨的系統(tǒng)，進行單獨的防護，其防護需求包括：n 對其他系統(tǒng)服務(wù)器的訪問控制：利用現(xiàn)有的防火墻進行網(wǎng)絡(luò)層訪問控制。 人員風險再安全的網(wǎng)絡(luò)設(shè)備離不開人的管理，再好的安全策略最終要靠人來實現(xiàn)，因此人員是整個網(wǎng)絡(luò)安全中最為重要的一環(huán)。l 傳輸保密問題：如果敏感數(shù)據(jù)采用明文在網(wǎng)絡(luò)上進行傳輸，攻擊者能夠通過線路偵聽等方式，獲取傳輸?shù)男畔?nèi)容，造成信息泄露；非法用戶可以利用“中間人攻擊”或“會話劫持”的手段，模擬正在通信的兩臺計算機中一方或雙方的身份和行為，插入到正常的通信過程中，截取正在傳輸?shù)臄?shù)據(jù)。 對于電子政務(wù)信息交換系統(tǒng)和繼續(xù)教育管理系統(tǒng)，都存在分支單位網(wǎng)絡(luò)終端訪問局服務(wù)器的需要，目前是基于完全開放的互聯(lián)網(wǎng)，只要進行遠程業(yè)務(wù)數(shù)據(jù)傳輸，如果不采取任何加密、驗證手段進行保護的話，則整個應(yīng)用交互過程就有可能完全暴露在攻擊者面前，使得遠程用戶身份的真實性、所傳輸數(shù)據(jù)的保密性、完整性都得不到保障，將直接威脅應(yīng)用系統(tǒng)自身的安全。在國家XX局外網(wǎng)中，應(yīng)用系統(tǒng)的安全涉及很多方面，針對用戶比較關(guān)心的問題，我們認為主要存在以下幾個方面的安全風險：（1）用戶身份假冒此外，計算機操作人員自身的安全意識和自覺性也是影響終端安全的關(guān)鍵因素。如果沒有進行適當?shù)木W(wǎng)絡(luò)訪問控制、沒有對終端接入和網(wǎng)絡(luò)地址的使用進行適當限制、對網(wǎng)絡(luò)訪問行為沒有監(jiān)管和審計措施，很容易造成網(wǎng)絡(luò)資源濫用、信息泄露，輕則降低網(wǎng)絡(luò)工作效率，重則導(dǎo)致經(jīng)濟損失或名譽損失。 網(wǎng)絡(luò)通信鏈路的安全風險網(wǎng)絡(luò)的主要功能就是用來傳輸數(shù)據(jù)，因此網(wǎng)絡(luò)通信鏈路中存在的安全風險將直接給信息數(shù)據(jù)的安全性帶來極大的挑戰(zhàn)。根據(jù)表3，最終確定該系統(tǒng)的安全保護等級為第二級。侵害程度為一般損害，根據(jù)表1，確定該系統(tǒng)的業(yè)務(wù)信息安全保護等級為第二級。其中信息安全是指確保信息系統(tǒng)內(nèi)信息的保密性、完整性和可用性等；系統(tǒng)服務(wù)安全是指確保信息系統(tǒng)可以及時、有效地提供服務(wù)，以完成預(yù)定的業(yè)務(wù)目標。系統(tǒng)服務(wù)安全被破壞時所侵害的客體對相應(yīng)客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權(quán)益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級表2 系統(tǒng)服務(wù)安全保護等級矩陣表（三）安全保護等級的確定信息系統(tǒng)的安全保護等級由業(yè)務(wù)信息安全等級和系統(tǒng)服務(wù)安全等級較高者決定。業(yè)務(wù)信息安全等級的確定業(yè)務(wù)信息安全受到破壞時，受到影響的客體是社會秩序、公共利益類。二、國家XX局“十一五”重點YYY系統(tǒng)安全保護等級確定國家XX局“十一五”重點YYY系統(tǒng)受到破壞時，對信息安全的危害方式表現(xiàn)為對其業(yè)務(wù)信息安全的破壞和對信息系統(tǒng)服務(wù)的破壞。侵害程度為一般損害，根據(jù)表2，確定該系統(tǒng)的信息系統(tǒng)服務(wù)安全保護等級為第二級。根據(jù)系統(tǒng)的重要性，確定其侵害程度為嚴重損害。國家XX局信息辦承擔著電子政務(wù)信息交換系統(tǒng)的安全保護責任。系統(tǒng)服務(wù)安全等級的確定信息系統(tǒng)服務(wù)安全受到破壞時，受到影響的客體是社會秩序和公共利益。信息受到破壞后對侵害客體侵害程度的確定國家XX局政府網(wǎng)站系統(tǒng)業(yè)務(wù)信息安全受到破壞時，國家XX局的工作職能受到嚴重影響，嚴重影響其信息獲取服務(wù)和信息發(fā)布，會對國家XX局公信度造成負面影響，同時會造成較大范圍的社會不良影響。數(shù)據(jù)庫與網(wǎng)站服務(wù)器安裝部署在同一臺HP服務(wù)器上。對于國家XX局外網(wǎng)，根據(jù)承載業(yè)務(wù)的獨立性，以業(yè)務(wù)系統(tǒng)為核心來劃分定級對象，并針對不同的業(yè)務(wù)系統(tǒng)來設(shè)計保護措施，確定的保護對象分別為：政府網(wǎng)站系統(tǒng)、電子政務(wù)信息交換系統(tǒng)、“十一五”重點YYY系統(tǒng)和繼續(xù)教育管理系統(tǒng)。國家XX局信息安全等級保護的總體思路是：以自身的信息系統(tǒng)特點為核心，結(jié)合國家相關(guān)標準要求，根據(jù)XX局實際業(yè)務(wù)需求，和對實際業(yè)務(wù)的影響來劃分安全等級，在確定定級方面更重視系統(tǒng)對XX局業(yè)務(wù)開展的影響性而確定等級，目的只是為體現(xiàn)對不同等級的信息系統(tǒng)，如何加強保護措施方面。 網(wǎng)絡(luò)入侵檢測系統(tǒng)國家XX局外網(wǎng)的網(wǎng)絡(luò)入侵檢測系統(tǒng)采用了啟明星辰公司的千兆網(wǎng)絡(luò)入侵檢測系統(tǒng)天闐NS2200，部署在核心交換機上，重點監(jiān)測網(wǎng)絡(luò)用戶對重要服務(wù)器的訪問行為，尤其是要能夠?qū)崟r發(fā)現(xiàn)惡意用戶對重要的服務(wù)器系統(tǒng)進行的非法訪問、惡意攻擊及蠕蟲傳播等行為并及時進行報警和采取一定的響應(yīng)操作。外網(wǎng)政府網(wǎng)站系統(tǒng)備份服務(wù)器外網(wǎng)政府網(wǎng)站系統(tǒng)備份服務(wù)器托管在外單位機房，設(shè)備型號為HP DL380G5，操作系統(tǒng)為WINDOWS 2003 Server，服務(wù)器的管理認證方式為用戶名/口令方式；利用WINDOWS自帶的口令加密方式進行保護；在管理上服務(wù)器采取高強度口令，刪除或禁用無關(guān)帳號，開啟了日志審計功能，審計重點是用戶登錄日志；管理維護采用由專人定期前往機房現(xiàn)場維護的方式。服務(wù)器區(qū)域交換機采用華為S5328C，數(shù)量為一臺，部署在六層外網(wǎng)機房，具體情況如下：l 該交換機配置了兩塊交流電源，提供電源冗余能力；l 具有24個10／100／1000BaseT接口，為所有業(yè)務(wù)服務(wù)器提供網(wǎng)絡(luò)接入，并連接邊界防火墻?！笆晃濉敝攸cYYY系統(tǒng)由一臺服務(wù)器組成，數(shù)據(jù)庫與系統(tǒng)服務(wù)器安裝部署在同一臺HP服務(wù)器上。該系統(tǒng)承擔著全國XXX行業(yè)繼續(xù)教育及培訓項目的申報、審核和備案任務(wù)，同時提供學分證書查詢服務(wù)。國家XX局信息辦的網(wǎng)站維護工作人員通過遠程訪問登陸后臺、維護信息及數(shù)據(jù)。 外網(wǎng)應(yīng)用系統(tǒng)分析國家XX局外網(wǎng)目前主要的系統(tǒng)為政府網(wǎng)站系統(tǒng)、電子政務(wù)信息交換系統(tǒng)、繼續(xù)教育管理系統(tǒng)和“十一五”重點YYY系統(tǒng)。國家XX局外網(wǎng)機房到樓層配線間均采用光纖，配線間到辦公室信息點采用六類屏蔽線，能夠為外網(wǎng)重要信息的處理、存儲和傳輸提供電磁泄漏防護措施。機房內(nèi)進行了區(qū)域劃分管理，內(nèi)網(wǎng)機房、涉密屏蔽機房及外網(wǎng)機房部署在不同物理隔離區(qū)域內(nèi)，每個區(qū)域均配置了電子門禁系統(tǒng)，能夠控制、鑒別和記錄進入的人員。2 設(shè)計方案概述 編制背景國家XX局外網(wǎng)是國家XX局電子政務(wù)系統(tǒng)的重要組成部分。國家XX局自身非常重視信息化建設(shè)，從2001年就開始建設(shè)當前運行的網(wǎng)絡(luò)系統(tǒng)，分為三個網(wǎng)絡(luò)，分別是內(nèi)網(wǎng)、外網(wǎng)和國辦專網(wǎng)。從外部環(huán)境來看，信息安全已經(jīng)成為近幾年信息化建設(shè)的熱點話題，如何保障信息系統(tǒng)的安全已經(jīng)成為國家關(guān)注的焦點，從27號文件開始，國家陸續(xù)出臺了一系列的安全政策和標準，提出了以“適度安全、分級保護”為核心的等級保護建設(shè)思路，公安部、保密局、國密辦以及國信辦陸續(xù)出臺政策，要求國內(nèi)重要的信息系統(tǒng)應(yīng)按照等級保護的辦法和要求，進行相關(guān)安全防護系統(tǒng)的建設(shè)，并于2007年啟動了等級保護的定級備案工作，并于2009年底開始啟動等級保護的安全建設(shè)整改工作。本文將主要闡述和針對國家XX局外網(wǎng)的信息系統(tǒng)安全等級保護建設(shè)的規(guī)劃設(shè)計，其內(nèi)網(wǎng)的建設(shè)方案另外單獨設(shè)計。國家XX局機房采用了具有耐火等級的建筑材料，并設(shè)置了滅火設(shè)備，安裝了自動消防系統(tǒng)。國家XX局外網(wǎng)鏈路情況如下：l 核心交換機與樓層接入交換機之間采用千兆光纖鏈路；l 樓層交換機采用百兆雙絞線鏈路下聯(lián)終端計算機；l 核心交換機與服務(wù)器交換機之間采用千兆光纖鏈路，服務(wù)器交換機與所有服務(wù)器之間采用千兆雙絞線鏈路；l 核心交換機與互聯(lián)網(wǎng)邊界路由器之間采用百兆雙絞線鏈路，路由器出口連接千兆光纖鏈路，實際出口帶寬為20M；l 托管機房的鏈路均有托管機房管理單位提供。為保障政府網(wǎng)站系統(tǒng)的安全性，使用了入侵防御系統(tǒng)和網(wǎng)頁防篡改系統(tǒng)形成邊界保護和內(nèi)容防護。國家XX局信息辦承擔著電子政務(wù)信息交換系統(tǒng)的安全保護責任。該系統(tǒng)的基本情況為：n 應(yīng)用系統(tǒng)對數(shù)據(jù)庫的訪問采用ODBC方式；n 數(shù)據(jù)庫認證采取用戶名/口令的方式；n 數(shù)據(jù)庫能夠?qū)B接數(shù)進行控制；n 數(shù)據(jù)在網(wǎng)絡(luò)中傳輸沒有任何加密措施；n 目前應(yīng)用系統(tǒng)還在繼續(xù)開發(fā)過程中，還不具有備份等措施。核心交換機采用華為S9303，數(shù)量為一臺，部署在六層外網(wǎng)機房。 “十一五”重點YYY系統(tǒng)服務(wù)器“十一五”重點YYY系統(tǒng)部署在外網(wǎng)機房，應(yīng)用系統(tǒng)及其數(shù)據(jù)庫都安裝在一臺機架式服務(wù)器上，設(shè)備型號為HP DL380G5，操作系統(tǒng)為WINDOWS 2003 Server，服務(wù)器的管理認證方式為用戶名/口令方式；利用WINDOWS自帶的口令加密方式進行保護；在管理上服務(wù)器采取高強度口令，刪除或禁用無關(guān)帳號，開啟了日志審計功能，審計重點是用戶登錄日志；管理維護方式采用遠程桌面和現(xiàn)場相結(jié)合的方式，有專人負責相關(guān)工作。兩臺防火墻分別部署在對外服務(wù)區(qū)域邊界和互聯(lián)網(wǎng)出口邊界，分別對區(qū)域之間的訪問執(zhí)行嚴格的訪問控制策略，以有效保護重要的信息系統(tǒng)資源。 終端防病毒國家XX局外網(wǎng)防病毒系統(tǒng)采用了瑞星公司的網(wǎng)絡(luò)版防病毒軟件，部署在所有終端和服務(wù)器上，防病毒服務(wù)器在部署安全管理區(qū)域，為全網(wǎng)提供病毒升級和監(jiān)控管理能力。應(yīng)避免將某個單一的系統(tǒng)組件，如服務(wù)器、終端、網(wǎng)絡(luò)設(shè)備等作為定級對象。政府網(wǎng)站系統(tǒng)部署在托管機房的HP 服務(wù)器上，通過互聯(lián)網(wǎng)供局機關(guān)內(nèi)部人員、全國XXX系統(tǒng)工作人員和社會公眾瀏覽查詢以及互動交流。由于業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全受到破壞所侵害的客體和對客體的侵害程度可能會有所不同，在定級過程中，分別從業(yè)務(wù)信息安全和信息系統(tǒng)服務(wù)安全兩方面評定對客體的侵害程度，確定定級對象的安全保護等級。系統(tǒng)服務(wù)受到破壞時所侵害客體的確定國家XX局政府網(wǎng)站系統(tǒng)是面向內(nèi)部工作人員、外部社會公眾、以及國內(nèi)的XXX相關(guān)機構(gòu)，提供XXX行業(yè)的信息查詢服務(wù)，并且作為對外信息發(fā)布的窗口，因此其信息系統(tǒng)服務(wù)安全受到破壞時所侵害的客體是社會秩序和公共利益，影響社會成員使用XXX相關(guān)公共設(shè)施、獲取XXX公開信息資源、接受XXX相關(guān)信息服務(wù)等，以及其他影響公共利益的事項。電子政務(wù)信息交換系統(tǒng)部署在國家XX局機房的HP 服務(wù)器上，通過外網(wǎng)局域網(wǎng)供醫(yī)藥管理局局機關(guān)外網(wǎng)用戶訪問，通過互聯(lián)網(wǎng)供下屬XXX局用戶訪問。業(yè)務(wù)信息受到破壞時所侵害客體的確定該系統(tǒng)為國家XX局及下屬XXX局提供服務(wù)，主要承擔著國家XX局系統(tǒng)內(nèi)部的電子公文交換任務(wù)。系統(tǒng)服務(wù)受到破壞后對侵害客體侵害程度的確定該系統(tǒng)為國家XX局電子公文交換的業(yè)務(wù)系統(tǒng)，當遭到破壞時將對國家XX局電子公文交換工作的順利進行造成一定的損害。“十一五”重點YYY系統(tǒng)由一臺服務(wù)器組成，數(shù)據(jù)庫與系統(tǒng)服務(wù)器安裝部署在同一臺HP服務(wù)器上。當信息系統(tǒng)受到破壞時，將主要影響社會公眾對重點信息的獲取和使用，并影響國家XX局相關(guān)職能的正常履行，因此，所侵害的客體為社會秩序和公共利益類。根據(jù)系統(tǒng)的重要性，確定其侵害程度為一般損害。國家XX局的維護工作人員通過網(wǎng)絡(luò)登陸后臺、維護信息及數(shù)據(jù)。業(yè)務(wù)信息受到破壞后對侵害客體侵害程度的確定該信息系統(tǒng)受到破壞時，可能會導(dǎo)致國家XXX行業(yè)繼續(xù)教育及培訓申報數(shù)據(jù)及學分、證書信息的泄漏和篡改，影響國家XXX行業(yè)繼續(xù)教育管理工作的有序開展。系統(tǒng)服務(wù)安全等級的確定信息系統(tǒng)服務(wù)安全受到破壞時，受到影響的客體是社會秩序、公共利益類。物理層面存在的安全風險具體如下：l 機房為新建，尚未建立起機房安全管理制度；l 尚未指定專職的機房管理員和機房職守人員；l 尚未建立來訪人員的批準、限制和監(jiān)控程序以及監(jiān)控人員；l 尚未建立介質(zhì)管理制度；l 尚未建立機房基礎(chǔ)實施的運行維護管理制度和流程，未明確相關(guān)工作責任人；l 此外，政府網(wǎng)站系統(tǒng)采用了托管方式，基礎(chǔ)實施安全取決于托管機房的安全防護水平和管理水平。 內(nèi)部網(wǎng)絡(luò)不同區(qū)域邊界的安全風險國家XX局外網(wǎng)劃分成了對外服務(wù)區(qū)域、安全管理區(qū)域和辦公區(qū)域，主要目的是為了對安全級別要求比較高的網(wǎng)絡(luò)系統(tǒng)資源和信息數(shù)據(jù)進行保護，防范來自低安全級別區(qū)域的安全威脅，同時盡可能將安全風險（如黑客攻擊或病毒蠕蟲傳播）限制在較小的、不太重要的局部區(qū)域范圍內(nèi)。如何確保這些重要的網(wǎng)絡(luò)服務(wù)器能夠穩(wěn)定、可靠、安全地運行，是保證國家XX局外網(wǎng)各項業(yè)務(wù)正常開展的基礎(chǔ)。應(yīng)用系統(tǒng)是動態(tài)的、不斷變化的，應(yīng)用的安全性也動態(tài)的，這就需要我們對不同的應(yīng)用，檢測安全漏洞，采取相應(yīng)的安全措施，降低應(yīng)用的安全風險。其風險來源于兩點：一是應(yīng)用系統(tǒng)沒有正確設(shè)置訪問權(quán)限，使合法用戶通過正常手段就可以訪問到不在權(quán)限范圍之內(nèi)的資源；二是應(yīng)用系統(tǒng)中存在一些后門、隱通道、陷阱等，使非法用戶（特別是系統(tǒng)開發(fā)人員）可以通過非法的途徑進入應(yīng)用系統(tǒng)。 數(shù)據(jù)可用性風險數(shù)據(jù)可用性問題主要體現(xiàn)在：l 靜態(tài)存儲數(shù)據(jù)的可用性問題：關(guān)鍵數(shù)據(jù)的存儲設(shè)備自身是否可靠，設(shè)備是否有充分的冗余措施，如果因存儲設(shè)備物理損壞或其他原因?qū)е略诰€數(shù)據(jù)丟失或破壞時，數(shù)據(jù)是否能夠可靠地被恢復(fù)。 安全管理風險國家XX局目前缺乏有效的安全事件流程化處理機制，每當出現(xiàn)安全問題，管理員總是要嘗試很多種辦法才能解決問題，要做大量的重復(fù)性工作，而好的經(jīng)驗和方法并不能形成整個單位的安全事件處理規(guī)范供大家共享，技術(shù)人員安全響應(yīng)慢、工作效率低等現(xiàn)象時有發(fā)生。終端安全管理服務(wù)器和網(wǎng)絡(luò)殺毒管理服務(wù)器在對應(yīng)用系統(tǒng)服務(wù)器的訪問上屬于混用模式，無法做到按不同系統(tǒng)進行劃分，因此本規(guī)劃中將安全管理系統(tǒng)視為單獨的系統(tǒng)，進行單獨的防護，其防護需求包括：n 對其他系統(tǒng)服務(wù)器的訪問控制：利用防火墻進行網(wǎng)絡(luò)層邊界防護和訪問控制。授權(quán)和審批（G3）建立健全授權(quán)和審批程序，對系統(tǒng)變更、物理訪問、系統(tǒng)接入、補丁升級等事件，均須經(jīng)過授權(quán)和審批方可執(zhí)行；同時，根據(jù)各個部門和崗