【正文】 值班管理216。網(wǎng)站安全問題 ? 現(xiàn)有傳統(tǒng)的 Web應(yīng)用的安全方案大多部署的防火墻是對 WEB服務(wù)器進(jìn)行防護(hù)，雖然防火墻可以阻擋住 ICMP攻擊、 NetBIOS攻擊、 SMB攻擊和 RPC等攻擊方式，但是卻不能阻擋所有基于 80端口（或 8080端口）的 WEB服務(wù)的攻擊，比如命令注入攻擊和非法編碼攻擊。防火墻對重要的安全事件進(jìn)行實(shí)時(shí)的報(bào)警而不是日志備份，因此， 管理員有能力及時(shí)地根據(jù)安全事件報(bào)警信息作出響應(yīng)。防火墻完成初始配置之后，要求管理人員在網(wǎng)絡(luò)針對防火墻配置進(jìn)行一定的測試，期望能夠預(yù)先發(fā)現(xiàn)可能出現(xiàn)的功能問題或性能問題，及時(shí)作出調(diào)整。?(8)為防止惡意代碼植入系統(tǒng)，預(yù)防計(jì)算機(jī)病毒感染，在收到來歷不明的電子郵件時(shí)，應(yīng)注意不要隨意打開郵件，并立即予以刪除。?安排專人負(fù)責(zé)管理制度實(shí)施情況的監(jiān)督和檢查，并處理機(jī)房的日常管理事項(xiàng)。任何變更操作應(yīng)由兩名以上工程技術(shù)人員完成，外單位、組織人員進(jìn)行的操作應(yīng)由本單位、組織相關(guān)人員陪同。不得在機(jī)房內(nèi)拍照，不得隨意取走機(jī)房內(nèi)的設(shè)備和資料。? (2)定時(shí)巡檢各種環(huán)境設(shè)備的運(yùn)轉(zhuǎn)狀況，記錄出現(xiàn)的故障代碼，供有關(guān)人員進(jìn)行設(shè)備維修時(shí)使用。物理環(huán)境安全管理規(guī)范 —電源管理? 計(jì)算機(jī)機(jī)房電源管理包括以下內(nèi)容：? (1)配電系統(tǒng)應(yīng)當(dāng)有詳細(xì)的配線圖，表明各路電源的電壓、容量、分配和連接的設(shè)備。計(jì)算機(jī)機(jī)房的報(bào)警系統(tǒng)應(yīng)當(dāng)與保衛(wèi)部門的保安系統(tǒng)以及公安 110系統(tǒng)實(shí)現(xiàn)聯(lián)動(dòng)。? 計(jì)算機(jī)機(jī)房內(nèi)部的安全域包括主機(jī)、網(wǎng)絡(luò)、打印、操作、介質(zhì)、電源、空調(diào)等，對于特別重要的安全域，如主機(jī)、網(wǎng)絡(luò)、介質(zhì)、主控等，應(yīng)當(dāng)設(shè)立完全獨(dú)立的房間和控制裝置，嚴(yán)格控制人員的出入。系統(tǒng)運(yùn)維管理系統(tǒng)運(yùn)維管理 惡意代碼防范管理惡意代碼防范管理? 提高所有用戶的防病毒意識，告知及時(shí)升級防病毒軟件；? 在讀取移動(dòng)存儲(chǔ)設(shè)備 (如軟盤、移動(dòng)硬盤、光盤 )上的數(shù)據(jù)以及網(wǎng)絡(luò)上接收文件或郵件之前，先進(jìn)行病毒檢查，對外來計(jì)算機(jī)或存儲(chǔ)設(shè)備接入網(wǎng)絡(luò)系統(tǒng)之前也要進(jìn)行病毒檢查；? 指定專人對網(wǎng)絡(luò)和主機(jī)進(jìn)行惡意代碼檢測并保存檢測記錄；? 建立惡意代碼防范管理制度，對防惡意代碼軟件的授權(quán)使用、惡意代碼庫升級、定期匯報(bào)等作出明確管理規(guī)定；? 建立惡意代碼集中防護(hù)的安全管理中心，確保整個(gè)網(wǎng)絡(luò)統(tǒng)一配置、統(tǒng)一升級、統(tǒng)一控制；? 定期檢查信息系統(tǒng)內(nèi)各種產(chǎn)品的惡意代碼庫的升級情況并進(jìn)行記錄，對主機(jī)防病毒產(chǎn)品、防病毒網(wǎng)關(guān)和郵件防病毒網(wǎng)關(guān)上截獲的危險(xiǎn)病毒或惡意代碼進(jìn)行及時(shí)分析處理，并形成書面的報(bào)表和總結(jié)匯報(bào)。系統(tǒng)建設(shè)管理系統(tǒng)建設(shè)管理 系統(tǒng)交付系統(tǒng)交付? 明確系統(tǒng)的交接手續(xù)，并按照交接手續(xù)完成交接工作；? 由系統(tǒng)建設(shè)方完成對委托建設(shè)方的運(yùn)維技術(shù)人員的培訓(xùn)；? 由系統(tǒng)建設(shè)方提交系統(tǒng)建設(shè)過程中的文檔和指導(dǎo)用戶進(jìn)行系統(tǒng)運(yùn)行維護(hù)的文檔；? 由系統(tǒng)建設(shè)方進(jìn)行服務(wù)承諾，并提交服務(wù)承諾書，確保對系統(tǒng)運(yùn)行維護(hù)的支持；? 制定系統(tǒng)交付方面的管理制度 ， 明確說明系統(tǒng)交付的控制方法和人員行為準(zhǔn)則；? 指定或授權(quán)專門的部門負(fù)責(zé)系統(tǒng)交付的管理工作，并按照管理制度的要求完成系統(tǒng)交付工作。人員安全管理人員安全管理 人員離崗人員離崗? 立即終止由于各種原因即將離崗的員工的所有訪問權(quán)限；? 取回各種身份證件、鑰匙、徽章等以及機(jī)構(gòu)提供的軟硬件設(shè)備；? 經(jīng)機(jī)構(gòu)人事部門辦理嚴(yán)格的調(diào)離手續(xù)，并承諾調(diào)離后的保密義務(wù)后方可離開。安全管理機(jī)構(gòu)安全管理機(jī)構(gòu) 人員配備人員配備? 配備一定數(shù)量的系統(tǒng)管理人員、網(wǎng)絡(luò)管理人員、安全管理人員等；? 配備專職安全管理人員不可兼任；? 關(guān)鍵崗位應(yīng)定期輪崗。? 一旦檢測到違反安全策略的行為或者事件，進(jìn)行報(bào)警及響應(yīng)。客戶端防病毒軟件應(yīng)該與服務(wù)器端防病毒軟件相配合，統(tǒng)一管理防病毒策略和防病毒軟件的升級更新。主機(jī)安全審計(jì)? 安全審計(jì)應(yīng)覆蓋到服務(wù)器和客戶端上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫用戶；? 安全審計(jì)應(yīng)記錄系統(tǒng)內(nèi)重要的安全相關(guān)事件，包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用；? 安全相關(guān)事件的記錄應(yīng)包括日期和時(shí)間、類型、主體標(biāo)識、客體標(biāo)識、事件的結(jié)果等；? 安全審計(jì)應(yīng)可以根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；? 安全審計(jì)應(yīng)可以對特定事件，提供指定方式的實(shí)時(shí)報(bào)警；? 審計(jì)進(jìn)程應(yīng)受到保護(hù)避免受到未預(yù)期的中斷；? 審計(jì)記錄應(yīng)受到保護(hù)避免受到未預(yù)期的刪除、修改或覆蓋等。 網(wǎng)絡(luò)安全訪問控制與防火墻網(wǎng)絡(luò)安全訪問控制與防火墻? 防火墻產(chǎn)品的初衷是實(shí)現(xiàn)網(wǎng)絡(luò)之間的安全訪問控制。業(yè)務(wù)信息安全性等級矩陣表 業(yè)務(wù)信息類型賦值信息系統(tǒng)所屬類型賦值1 2 31 1 2 22 2 3 33 3 4 4業(yè)務(wù)服務(wù)保證性取值矩陣表 信息系統(tǒng)服務(wù)范圍賦值業(yè)務(wù)依賴程度賦值1 2 31 1 2 32 2 3 43 3 4 4 調(diào)節(jié)因子取值表 信息系統(tǒng)服務(wù)的影響程度 調(diào)節(jié)因子 k信息系統(tǒng)無法提供服務(wù)或無法提供有效服務(wù)會(huì)造成國家安全利益損失。3 信息系統(tǒng)因無法提供服務(wù)或無法提供有效服務(wù)會(huì)對全國范圍的資產(chǎn)造成損害。2 業(yè)務(wù)信息機(jī)密性、完整性或可用性被破壞會(huì)對公共利益或本單位經(jīng)濟(jì)利益造成嚴(yán)重?fù)p害。1 信息系統(tǒng)資產(chǎn)受到破壞會(huì)對本單位利益有直接影響。第三級為 監(jiān)督保護(hù)級 ，主要對象為涉及國家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的信息系統(tǒng)，其受到破壞后，會(huì)對國家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益造成較大損害。? 2023年中央辦公廳、國務(wù)院辦公廳轉(zhuǎn)發(fā)的《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》（ 中辦發(fā) [2023]27號 ）中明確指出： “ 要重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定等方面的重要信息系統(tǒng)，抓緊 建立信息系統(tǒng)安全等級保護(hù)制度，制定信息系統(tǒng)安全等級保護(hù)的管理辦法和技術(shù)指南 ” 。４　涉及國家秘密的信息系統(tǒng)。? 對信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行分等級管理 。業(yè)務(wù)信息類型賦值表 業(yè)務(wù)信息類型舉例 賦值業(yè)務(wù)信息的安全影響可以對外公開發(fā)布的信息，或不對外發(fā)布的單位內(nèi)部一般信息。省級范圍的服務(wù)網(wǎng)絡(luò)。業(yè)務(wù)處理流程完全依賴信息系統(tǒng)，手工方式無法完成，自動(dòng)化程度高。物理層面物理層面網(wǎng)絡(luò)層面網(wǎng)絡(luò)層面系統(tǒng)層面系統(tǒng)層面應(yīng)用層面應(yīng)用層面管理層面管理層面安全管理制度安全管理制度業(yè)務(wù)處理流程業(yè)務(wù)處理流程 業(yè)務(wù)應(yīng)用系統(tǒng)業(yè)務(wù)應(yīng)用系統(tǒng) 數(shù)據(jù)庫應(yīng)用系統(tǒng)數(shù)據(jù)庫應(yīng)用系統(tǒng) 身份鑒別機(jī)制身份鑒別機(jī)制 強(qiáng)制訪問控制強(qiáng)制訪問控制防火墻防火墻入侵檢測系統(tǒng)入侵檢測系統(tǒng)物理設(shè)備安全物理設(shè)備安全環(huán)境安全環(huán)境安全信信息息安安全全體體系系信息系統(tǒng)安全體系結(jié)構(gòu)互聯(lián)網(wǎng)計(jì)算機(jī)網(wǎng)絡(luò)內(nèi)網(wǎng)（業(yè)務(wù)專網(wǎng)）邏輯隔離物理隔離信息收集、發(fā)布，公眾服務(wù)內(nèi)部業(yè)務(wù)處理辦公系統(tǒng)辦公系統(tǒng)電子政務(wù)外網(wǎng)等級保護(hù)基本要求（二、三級）q 技術(shù)要求技術(shù)要求 物理安全：物理安全： 物理位置選擇、物理訪問控制、防盜和防破壞、防雷擊、防火、防水、防潮濕、防靜電、電力保障、電磁防護(hù)物理位置選擇、物理訪問控制、防盜和防破壞、防雷擊、防火、防水、防潮濕、防靜電、電力保障、電磁防護(hù) 網(wǎng)絡(luò)安全：網(wǎng)絡(luò)安全： 結(jié)構(gòu)安全和網(wǎng)段劃分、網(wǎng)絡(luò)訪問控制、撥號訪問控制、網(wǎng)絡(luò)安全審計(jì)、邊界完整性檢測、網(wǎng)絡(luò)入侵防范、網(wǎng)絡(luò)結(jié)構(gòu)安全和網(wǎng)段劃分、網(wǎng)絡(luò)訪問控制、撥號訪問控制、網(wǎng)絡(luò)安全審計(jì)、邊界完整性檢測、網(wǎng)絡(luò)入侵防范、網(wǎng)絡(luò) 設(shè)備防護(hù)、惡意代碼防范設(shè)備防護(hù)、惡意代碼防范 主機(jī)系統(tǒng)安全：主機(jī)系統(tǒng)安全： 身份鑒別、自主訪問控制、身份鑒別、自主訪問控制、 強(qiáng)制訪問控制強(qiáng)制訪問控制 、安全審計(jì)、系統(tǒng)保護(hù)、剩余信息保護(hù)、安全審計(jì)、系統(tǒng)保護(hù)、剩余信息保護(hù)、 入侵防范入侵防范 、惡意代碼、惡意代碼 防范、資源控制防范、資源控制 應(yīng)用安全：應(yīng)用安全： 身份鑒別、訪問控制、安全審計(jì)、剩余信息保護(hù)、通信保密性、通信完整性、抗抵賴、軟件容錯(cuò)、資源控制身份鑒別、訪問控制、安全審計(jì)、剩余信息保護(hù)、通信保密性、通信完整性、抗抵賴、軟件容錯(cuò)、資源控制 數(shù)據(jù)安全數(shù)據(jù)安全 ：： 數(shù)據(jù)完整性、數(shù)據(jù)保密性、數(shù)據(jù)備份與恢復(fù)數(shù)據(jù)完整性、數(shù)據(jù)保密性、數(shù)據(jù)備份與恢復(fù)q 管理要求 安全管理機(jī)構(gòu)：安全管理機(jī)構(gòu)： 崗位設(shè)置、人員配置、授權(quán)與審批、溝通與合作、審核與檢查崗位設(shè)置、人員配置、授權(quán)與審批、溝通與合作、審核與檢查 安全管理制度安全管理制度 ：： 管理制度、制定與發(fā)布、評審與修訂管理制度、制定與發(fā)布、評審與修訂 人員安全管理人員安全管理 ：： 人員錄用、人員離崗、人員考核、安全意識教育與培訓(xùn)、第三方人員管理人員錄用、人員離崗、人員考核、安全意識教育與培訓(xùn)、第三方人員管理 系統(tǒng)建設(shè)管理系統(tǒng)建設(shè)管理 ：： 系統(tǒng)定級、系統(tǒng)備案、安全方案設(shè)計(jì)、產(chǎn)品采購、自行軟件研發(fā)、外包軟件開發(fā)、工程實(shí)施、工程驗(yàn)收系統(tǒng)定級、系統(tǒng)備案、安全方案設(shè)計(jì)、產(chǎn)品采購、自行軟件研發(fā)、外包軟件開發(fā)、工程實(shí)施、工程驗(yàn)收 系統(tǒng)運(yùn)維管理系統(tǒng)運(yùn)維管理 ：： 環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備管理、監(jiān)控管理、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、惡意代碼防范環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備管理、監(jiān)控管理、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、惡意代碼防范 管理、密碼管理、變更管理、備份與恢復(fù)管理、安全事件管理、應(yīng)急預(yù)案管理管理、密碼管理、變更管理、備份與恢復(fù)管理、安全事件管理、應(yīng)急預(yù)案管理信息安全技術(shù)? 物理安全物理安全 ：物理位置選擇、物理訪問控制、防盜和：物理位置選擇、物理訪問控制、防盜和防破壞、防雷擊、防火、防水、防潮濕、防靜電、防破壞、防雷擊、防火、防水、防潮濕、防靜電、電力保障、電磁防護(hù)電力保障、電磁防護(hù)? 網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全 ：： 結(jié)構(gòu)安全和網(wǎng)段劃分、網(wǎng)絡(luò)訪問控制、結(jié)構(gòu)安全和網(wǎng)段劃分、網(wǎng)絡(luò)訪問控制、撥號訪問控制、網(wǎng)絡(luò)安全審計(jì)、邊界完整性檢測、撥號訪問控制、網(wǎng)絡(luò)安全審計(jì)、邊界完整性檢測、網(wǎng)絡(luò)入侵防范、網(wǎng)絡(luò)設(shè)備防護(hù)、惡意代碼防范網(wǎng)絡(luò)入侵防范、網(wǎng)絡(luò)設(shè)備防護(hù)、惡意代碼防范? 主機(jī)系統(tǒng)安全主機(jī)系統(tǒng)安全 ：： 身份鑒別、自主訪問控制、身份鑒別、自主訪問控制、 強(qiáng)制訪強(qiáng)制訪問控制問控制 、安全審計(jì)、系統(tǒng)保護(hù)、剩余信息保護(hù)、安全審計(jì)、系統(tǒng)保護(hù)、剩余信息保護(hù)、 入入侵防范侵防范 、惡意代碼防范、資源控制、惡意代碼防范、資源控制? 應(yīng)用安全應(yīng)用安全 ：： 身份鑒別、訪問控制、安全審計(jì)、剩余身份鑒別、訪問控制、安全審計(jì)、剩余信息保護(hù)、通信保密性、通信完整性、抗抵賴、軟信息保護(hù)、通信保密性、通信完整性、抗抵賴、軟件容錯(cuò)、資源控制件容錯(cuò)、資源控制? 數(shù)據(jù)安全數(shù)據(jù)安全 ：： 數(shù)據(jù)完整性、數(shù)據(jù)保密性、數(shù)據(jù)備份與數(shù)據(jù)完整性、數(shù)據(jù)保密性、數(shù)據(jù)備份與恢復(fù)恢復(fù)結(jié)構(gòu)安全和網(wǎng)段劃分結(jié)構(gòu)安全和網(wǎng)段劃分? 網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力應(yīng)具備冗余空間，要求滿足業(yè)務(wù)高峰期需要；? 設(shè)計(jì)和繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖； ? 根據(jù)機(jī)構(gòu)業(yè)務(wù)的特點(diǎn)，在滿足業(yè)務(wù)高峰期需要的基礎(chǔ)上，合理設(shè)計(jì)網(wǎng)絡(luò)帶寬；? 在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路由控制建立安全的訪問路徑；? 根據(jù)各部門的工作職能、重要性、所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段；? 重要網(wǎng)段應(yīng)采取網(wǎng)絡(luò)層地址與數(shù)據(jù)鏈路層地址綁定措施，防止地址欺騙；? 按照對業(yè)務(wù)服務(wù)的重要次序來指定帶寬分配優(yōu)先級別，保證在網(wǎng)絡(luò)發(fā)生擁堵的時(shí)候優(yōu)先保護(hù)重要信息資產(chǎn)主機(jī)。防火墻技術(shù)的局限性? 防火墻不能過濾應(yīng)用層的非法攻擊，如編碼攻擊? 防火墻對不通過它的連接無能為力，如內(nèi)網(wǎng)攻擊? 防火墻采用靜態(tài)安全策略技術(shù)，因此無法動(dòng)態(tài)防御新的攻擊安全審計(jì)? 網(wǎng)絡(luò)安全審計(jì)? 主機(jī)安全審計(jì)網(wǎng)絡(luò)安全審計(jì)? 對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行全面的監(jiān)測、記錄；? 對于每一個(gè)事件，其審計(jì)記錄應(yīng)包括：事件的日期和時(shí)間、用戶、事件類型、事件是否成功，及其他與審計(jì)相關(guān)的信息；? 安全審計(jì)應(yīng)可以根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；? 安全審計(jì)應(yīng)可以對特定事件，提供指定方式的實(shí)時(shí)報(bào)警；? 審計(jì)記錄應(yīng)受到保護(hù)避免受到未預(yù)期的刪除、修改或覆蓋等。 服務(wù)器系統(tǒng)病毒防護(hù)? 根據(jù)服務(wù)器端系統(tǒng)平臺的實(shí)際情況，在各種服務(wù)器系統(tǒng) (如文件服務(wù)器、主域 /備份域服務(wù)器、郵件服務(wù)器、 DNS服務(wù)器等 )上安裝相應(yīng)的防計(jì)算機(jī)病毒產(chǎn)品。 入侵防范入侵防范? 網(wǎng)絡(luò)入侵防范 NetworkBased Intrusion Detection System ? 主機(jī)入侵防范 HostBased Intrusion Detection System 網(wǎng)絡(luò)入侵防范? 在網(wǎng)絡(luò)邊界處應(yīng)監(jiān)視以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、 IP碎片攻擊、網(wǎng)絡(luò)蠕蟲攻擊等入侵事件的發(fā)生；? 當(dāng)檢測到入侵事件時(shí)，應(yīng)記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時(shí)間，并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警。強(qiáng)制訪問控制 ? 對重要信息資源和訪問重要信息資源的所有主體設(shè)置敏感標(biāo)記；? 強(qiáng)制訪問控制的覆蓋范圍應(yīng)包括與重要信息資源直接相關(guān)的所有主體、客體及它們之間的操作；? 強(qiáng)制訪問控制的粒度應(yīng)達(dá)到主體為用戶級，客體為文件、數(shù)據(jù)庫表級。安全管理制度安全管理制度 制定與發(fā)布制定與發(fā)布? 在信息安全領(lǐng)導(dǎo)小組的負(fù)