【正文】 審計(jì)、日志審計(jì)），實(shí)現(xiàn)對(duì)全網(wǎng)的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器的登錄、操作進(jìn)行安全審計(jì)；對(duì)全網(wǎng)的日志審計(jì)；對(duì)全網(wǎng)的數(shù)據(jù)庫(kù)審計(jì)。 應(yīng)用安全建設(shè) 應(yīng)用安全設(shè)計(jì)應(yīng)用安全是指門(mén)戶(hù)網(wǎng)站和其它業(yè)務(wù)系統(tǒng)自身應(yīng)具備的安全功能。目前數(shù)據(jù)中心前已布置有邊界安全設(shè)備及WEB應(yīng)用防火墻，對(duì)服務(wù)器核心業(yè)務(wù)提供了安全保護(hù)。同時(shí)結(jié)合大數(shù)據(jù)分析技術(shù)和數(shù)據(jù)可視化技術(shù)，從不同維度展現(xiàn)局內(nèi)整體安全態(tài)勢(shì)。1) 將現(xiàn)有安全產(chǎn)品的管理中心或維護(hù)中心集中部署；2) 設(shè)置安全管理中心，由安全管理中心統(tǒng)一對(duì)計(jì)算環(huán)境安全支撐平臺(tái)實(shí)施安全管理，實(shí)現(xiàn)包括主客體標(biāo)記、 用戶(hù)授權(quán)、 策略維護(hù)和更新在內(nèi)的安全管理職能；3) 設(shè)置系統(tǒng)管理中心，聯(lián)合統(tǒng)一身份認(rèn)證系統(tǒng)對(duì)整個(gè)系統(tǒng)的證書(shū)和密鑰實(shí)施統(tǒng)一管理， 對(duì)用戶(hù)身份和軟硬件資源配置實(shí)施統(tǒng)一控制和管理； 由各安全產(chǎn)品管理中心或維護(hù)中心共同構(gòu)成系統(tǒng)管理中心， 實(shí)現(xiàn)對(duì)所有安全產(chǎn)品的統(tǒng)一配置和管理；4) 部署審計(jì)管理平臺(tái)，接收各個(gè)區(qū)域的審計(jì)日志，為審計(jì)信息的存儲(chǔ)、分析和處理提供平臺(tái)， 作為管理員實(shí)施事件追蹤、 責(zé)任認(rèn)定以及實(shí)施應(yīng)急響應(yīng)的依據(jù)。(八) 數(shù)據(jù)安全及備份恢復(fù)部署數(shù)據(jù)備份系統(tǒng) 對(duì)重要服務(wù)器的數(shù)據(jù)進(jìn)行備份， 評(píng)估相關(guān)業(yè)務(wù)數(shù)據(jù)的重要性程度，設(shè)計(jì)相適應(yīng)的數(shù)據(jù)備份機(jī)制和策略。 安全計(jì)算環(huán)境設(shè)計(jì)(一) 強(qiáng)制訪問(wèn)控制在門(mén)戶(hù)網(wǎng)站和業(yè)務(wù)系統(tǒng)服務(wù)器部署服務(wù)器操作系統(tǒng)安全加固系統(tǒng)，實(shí)現(xiàn)對(duì)服務(wù)器資源的訪問(wèn)行為的嚴(yán)格控制，包括對(duì)于用戶(hù)訪問(wèn)行為的控制和進(jìn)程訪問(wèn)權(quán)限的控制，保護(hù)系統(tǒng)平臺(tái)和業(yè)務(wù)數(shù)據(jù)的完整性；通過(guò)安全產(chǎn)品實(shí)現(xiàn)對(duì)服務(wù)器特定資源的強(qiáng)制訪問(wèn)控制。 信息安全建設(shè)規(guī)劃拓?fù)鋱D圖表 11 信息安全建設(shè)和規(guī)劃總體示意圖xxxx大學(xué)信息安全建設(shè)規(guī)劃產(chǎn)品清單一覽表序號(hào)軟/硬件產(chǎn)品名稱(chēng)數(shù)量單位備注1堡壘機(jī)1臺(tái)一期2數(shù)據(jù)庫(kù)審計(jì)1臺(tái)3日志審計(jì)1臺(tái)4WEB資產(chǎn)安全治理平臺(tái)1臺(tái)5主機(jī)安全加固軟件主機(jī)數(shù)待定套6容災(zāi)備份一體機(jī)1臺(tái)7準(zhǔn)入控制系統(tǒng)終端數(shù)待定套8IT綜合運(yùn)維管理系統(tǒng)1套二期9RFID機(jī)房資產(chǎn)管理系統(tǒng)1套10云WAF1套11ZDNS2臺(tái)三期12統(tǒng)一安全管理中心（soc+態(tài)勢(shì)感知）1臺(tái)13數(shù)據(jù)容災(zāi)備份一體機(jī)（異地）1臺(tái)四期14APT高級(jí)威脅分析平臺(tái)1套15GRC網(wǎng)絡(luò)安全管理平臺(tái)/安全值1套五期圖表 12 信息安全建設(shè)和規(guī)劃一期示意圖圖表 13 信息安全建設(shè)和規(guī)劃二期示意圖圖表 14 信息安全建設(shè)和規(guī)劃三期示意圖圖表 15 信息安全建設(shè)和規(guī)劃四期示意圖圖表 16 信息安全建設(shè)和規(guī)劃五期示意圖第 4 章 方案建設(shè) 建設(shè)原則統(tǒng)一原則：安全建設(shè)應(yīng)該統(tǒng)一規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)但具體的建設(shè)內(nèi)容需要分期分步實(shí)施；適用性原則：按照經(jīng)濟(jì)實(shí)用、成熟先進(jìn)、持續(xù)穩(wěn)定的要求，確定方案中安全體系的規(guī)模和軟硬件檔次；節(jié)約性原則：整體方案的設(shè)計(jì)應(yīng)該盡可能充分利用現(xiàn)有安全產(chǎn)品和系統(tǒng)資源，以免資源的浪費(fèi)和重復(fù)投資；可擴(kuò)展性原則：方案設(shè)計(jì)要立足于現(xiàn)有的安全需求，但同時(shí)為將來(lái)業(yè)務(wù)發(fā)展留有余地和可擴(kuò)展接口； 技術(shù)安全體系建設(shè) 安全區(qū)域邊界設(shè)計(jì)（一）、區(qū)域邊界防護(hù)：對(duì)Internet提供服務(wù)的服務(wù)器應(yīng)當(dāng)單獨(dú)部署于DMZ安全域中。需要“人+技術(shù)體系”的結(jié)合才能對(duì)抗外界真實(shí)攻擊。通過(guò)確定信息安全管理提醒范圍、制定信息安全方針、明確管理職責(zé)，以風(fēng)險(xiǎn)評(píng)估為基礎(chǔ)，選擇控制目標(biāo)與控制方式等活動(dòng)建立信息安全管理體系。安全技術(shù)體系設(shè)計(jì)思路為：結(jié)合x(chóng)xxx大學(xué)網(wǎng)絡(luò)現(xiàn)狀、自身需求，以安全產(chǎn)品的部署、網(wǎng)絡(luò)調(diào)整、等保建設(shè)為重點(diǎn)。主要表現(xiàn)在缺乏整體安全策略、沒(méi)有統(tǒng)一規(guī)范的安全體系建設(shè)標(biāo)準(zhǔn)，安全職責(zé)劃分不明確，各業(yè)務(wù)系統(tǒng)的安全防護(hù)程度不一、人員沒(méi)有形成統(tǒng)一的安全意識(shí)、缺乏統(tǒng)一的安全操作流程和指導(dǎo)手冊(cè)；2安全制度安全組織擁有安全管理員崗位，但安全崗位職能沒(méi)有很好得到執(zhí)行，沒(méi)有對(duì)整個(gè)業(yè)務(wù)體系安全進(jìn)行統(tǒng)一規(guī)劃和管理。應(yīng)急管理對(duì)應(yīng)急計(jì)劃、處理、實(shí)施、演練等做出規(guī)定。管理機(jī)構(gòu)和人員管理對(duì)設(shè)立安全管理機(jī)構(gòu)、機(jī)構(gòu)職能、人員職責(zé)及管理，如重要崗位保密責(zé)任、人員離崗離職等方面做出規(guī)定。便攜計(jì)算機(jī)管理對(duì)便攜計(jì)算機(jī)的使用、密碼保護(hù)、入網(wǎng)、文件存儲(chǔ)、維修等做出規(guī)定。網(wǎng)絡(luò)網(wǎng)絡(luò)安全管理對(duì)網(wǎng)絡(luò)及安全設(shè)備的操作、配置、日志記錄和監(jiān)控等做出規(guī)定。詳見(jiàn)下表；圖表 7 安全管理現(xiàn)狀差距分析表類(lèi)別管理內(nèi)容制度包括的主要內(nèi)容現(xiàn)狀分析備注物理資產(chǎn)安全管理對(duì)信息系統(tǒng)相關(guān)的資產(chǎn)清單、分類(lèi)與標(biāo)識(shí)、使用、轉(zhuǎn)移、廢棄等做出規(guī)定。符合要求在系統(tǒng)中應(yīng)可根據(jù)用戶(hù)的權(quán)限設(shè)定服務(wù)等級(jí)及優(yōu)先級(jí)，并保證優(yōu)先級(jí)用戶(hù)首先使用系統(tǒng)資源的權(quán)力。符合要求應(yīng)用軟件中有此項(xiàng)功能8軟件容錯(cuò)（A3）本項(xiàng)要求包括：a)應(yīng)提供數(shù)據(jù)有效性檢驗(yàn)功能，保證通過(guò)人機(jī)接口輸入或通過(guò)通信接口輸入的數(shù)據(jù)格式或長(zhǎng)度符合系統(tǒng)設(shè)定要求；符合要求應(yīng)用軟件有此項(xiàng)功能。4剩余信息保護(hù)（S3）本項(xiàng)要求包括：a)應(yīng)保證用戶(hù)鑒別信息所在的存儲(chǔ)空間被釋放或再分配給其他用戶(hù)前得到完全清除，無(wú)論這些信息是存放在硬盤(pán)上還是在內(nèi)存中；符合要求滿足。對(duì)每個(gè)系統(tǒng)管理員根據(jù)其所承擔(dān)的任務(wù)，設(shè)置其工作權(quán)限，網(wǎng)絡(luò)、系統(tǒng)和安全管理員應(yīng)分別設(shè)置，不能由一個(gè)人同時(shí)兼任。 應(yīng)用安全現(xiàn)狀與差距分析xxxx大學(xué)應(yīng)用系統(tǒng)主要是教務(wù)系統(tǒng)、一卡通、財(cái)務(wù)系統(tǒng)等，具體應(yīng)用沒(méi)有問(wèn)題，但沒(méi)有相應(yīng)的安全審計(jì)系統(tǒng)，所以無(wú)法對(duì)系統(tǒng)中安全事件進(jìn)行審計(jì)。符合要求通過(guò)補(bǔ)丁服務(wù)器保持系統(tǒng)補(bǔ)丁及時(shí)得到更新。部署日志審計(jì)系統(tǒng)/數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)e)應(yīng)保護(hù)審計(jì)進(jìn)程，避免受到未預(yù)期的中斷；不符合要求未部署日志審計(jì)系統(tǒng)/數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)部署日志審計(jì)系統(tǒng)/數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)f)應(yīng)保護(hù)審計(jì)記錄，避免受到未預(yù)期的刪除、修改或覆蓋等。c)應(yīng)實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)特權(quán)用戶(hù)的權(quán)限分離；符合要求滿足d)應(yīng)嚴(yán)格限制默認(rèn)帳戶(hù)的訪問(wèn)權(quán)限，重命名系統(tǒng)默認(rèn)帳戶(hù)，修改這些帳戶(hù)的默認(rèn)口令；基本符合要求統(tǒng)一對(duì)賬號(hào)名進(jìn)行修改，杜絕使用administration等默認(rèn)用戶(hù)名。g)當(dāng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng)；基本符合要求建議通過(guò)、ssh等加密措施進(jìn)行遠(yuǎn)程管理?；痉弦蟛渴鹩芯W(wǎng)絡(luò)運(yùn)維管理軟件、流控、上網(wǎng)行為管理設(shè)備安全審計(jì)日志記錄要求保存至少半年以上。2訪問(wèn)控制（G3）本項(xiàng)要求包括：a)應(yīng)在網(wǎng)絡(luò)邊界部署訪問(wèn)控制設(shè)備，啟用訪問(wèn)控制功能；符合要求滿足b)應(yīng)能根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問(wèn)的能力，控制粒度為端口級(jí)；符合要求在應(yīng)用防火墻上實(shí)現(xiàn)了訪問(wèn)控制粒度的端口級(jí) c)應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過(guò)濾，實(shí)現(xiàn)對(duì)應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級(jí)的控制；基本符合要求滿足防火墻附帶的url庫(kù)應(yīng)能實(shí)現(xiàn)應(yīng)用層的控制。 網(wǎng)絡(luò)安全現(xiàn)狀與差距分析xxxx大學(xué)網(wǎng)絡(luò)安全已有相關(guān)的防護(hù)手段，基本滿足3級(jí)等保要求，所欠缺的部分為審計(jì)部分。基本符合建議在機(jī)房?jī)?nèi)安裝對(duì)水敏感的檢測(cè)儀表或元件，實(shí)現(xiàn)防水檢測(cè)和報(bào)警。d) 重要區(qū)域應(yīng)配置電子門(mén)禁系統(tǒng)，控制、鑒別和記錄進(jìn)入的人員。不過(guò)隨著人工智能技術(shù)的發(fā)展，“人工智能”在高校的應(yīng)用將會(huì)更多，更成熟。不少學(xué)生對(duì)于如何攻破防火墻、解開(kāi)他人電腦密碼、更改網(wǎng)站信息、最新的黑客工具和技術(shù)等存在很大的興趣。這種狀況直接構(gòu)成高校網(wǎng)絡(luò)安全的隱患，有些校園網(wǎng)絡(luò)用戶(hù)對(duì)防病毒不是很在意，根本就沒(méi)裝防病毒軟件，或者裝后一年甚至幾年后都沒(méi)有再升級(jí)。但在積極發(fā)展辦公自動(dòng)化，實(shí)現(xiàn)資源共享的同時(shí)，也出現(xiàn)了諸多問(wèn)題，其中最主要的是網(wǎng)絡(luò)安全問(wèn)題，病毒惡意軟件，間諜軟件，郵件炸彈以及黑客攻擊等各種安全威脅事件，成指數(shù)級(jí)增長(zhǎng)，使人們更加深刻的認(rèn)識(shí)到了網(wǎng)絡(luò)安全的重要。編號(hào)資產(chǎn)類(lèi)資產(chǎn)名品牌數(shù)量備注1網(wǎng)絡(luò)設(shè)備核心交換機(jī)**網(wǎng)絡(luò)架構(gòu)清晰，完整。2018年開(kāi)始，建設(shè)周期為3 個(gè)月二期智能運(yùn)維體系建設(shè)（IT運(yùn)維與機(jī)房運(yùn)維）實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備、業(yè)務(wù)、應(yīng)用、服務(wù)智慧運(yùn)維、智能管理。l 建設(shè)能夠監(jiān)控學(xué)校IT資產(chǎn)、管理學(xué)校IT資產(chǎn)、保護(hù)學(xué)校IT資產(chǎn)的安全運(yùn)維管理體系。實(shí)施范圍是各級(jí)教育行政部門(mén)及其直屬單位高等學(xué)校。容災(zāi)備份：第三十四條第三項(xiàng)規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施單位對(duì)重要系統(tǒng)和數(shù)據(jù)庫(kù)進(jìn)行容災(zāi)備份。采取防計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施。2015年7月，教育部辦公廳印發(fā)關(guān)于全面推進(jìn)教育行業(yè)信息安全等級(jí)保護(hù)工作的通知。xxxx大學(xué)信息安全建設(shè)設(shè)計(jì)方案xxxx大學(xué)信息安全建設(shè)設(shè)計(jì)方案xxxx股份有限公司2018年6月■版本變更記錄時(shí)間版本說(shuō)明修改人2017530文檔修改201866文檔修改■文檔說(shuō)明本文檔作為xxxx大學(xué)信息安全設(shè)計(jì)方案的輸出文檔；本文件的讀者范圍為我公司參與項(xiàng)目建設(shè)的人員以及xxxx大學(xué)信息安全建設(shè)的相關(guān)人員。2014年10月，教育部辦公廳印發(fā)《教育行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作指南（試行）》的通知。除此之外，《網(wǎng)絡(luò)安全法》中還從網(wǎng)絡(luò)運(yùn)行安全、關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)行安全、網(wǎng)絡(luò)信息安全等對(duì)以下方面做了詳細(xì)規(guī)定：網(wǎng)絡(luò)日志留存：第二十一條還規(guī)定，網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)制定內(nèi)部安全管理制度和操作規(guī)程，確定網(wǎng)絡(luò)安全負(fù)責(zé)人，落實(shí)網(wǎng)絡(luò)安全保護(hù)責(zé)任。在發(fā)生網(wǎng)絡(luò)安全事件時(shí)處置不恰當(dāng)?shù)?，?huì)被依照此條款責(zé)令整改，拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處一萬(wàn)元以上十萬(wàn)元以下罰款，對(duì)直接負(fù)責(zé)的主管人員處五千元以上五萬(wàn)元以下罰款。原則是：?jiǎn)栴}導(dǎo)向、突出重點(diǎn)、完善機(jī)制，狠抓落實(shí)。l 建設(shè)符合國(guó)家等級(jí)保護(hù)制度要求、符合ISO27000信息安全管理認(rèn)證體系要求和滿足《網(wǎng)絡(luò)安全法》對(duì)學(xué)校信息系統(tǒng)要求的高校網(wǎng)絡(luò)安全防護(hù)體系。（網(wǎng)絡(luò)安全法）、合規(guī)（等級(jí)保護(hù)）；“治亂”“堵漏”“補(bǔ)短”“規(guī)范”提升整體安全防護(hù)能力；，杜絕安全短板，提升整體網(wǎng)絡(luò)的安全防護(hù)能力；、運(yùn)維設(shè)備，規(guī)范運(yùn)維流程操作、提升對(duì)整體網(wǎng)絡(luò)的管控程度及事后追責(zé)、溯源能力。2020年開(kāi)始建設(shè)周期為3 個(gè)月四期異地容災(zāi)體系與APT攻擊防御構(gòu)建完善的災(zāi)備體系與APT攻擊防護(hù)體系。 學(xué)校IT資產(chǎn)統(tǒng)計(jì)注：*代表本次調(diào)研未確定因素。高校校園網(wǎng)，不僅是高校教育信息化的重要基礎(chǔ)設(shè)施，同時(shí)也是學(xué)?？沙掷m(xù)發(fā)展的重要保證。（三） 學(xué)生網(wǎng)絡(luò)安全知識(shí)匱乏網(wǎng)絡(luò)發(fā)展至今天上網(wǎng)就像看電視一樣簡(jiǎn)單，用戶(hù)群的能力和水平良莠不齊，對(duì)安全觀念技術(shù)一無(wú)所知的人，比比皆是。隨著大腦的大量普及和計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)快速發(fā)展，廣大學(xué)生遨游網(wǎng)絡(luò)空間，尋求精神刺激、滿足自己的好奇心和表現(xiàn)欲。這兩個(gè)技術(shù)雖然得到了應(yīng)用，但尚處于初級(jí)階段。符合處于三樓2物理訪問(wèn)控制（G3）本項(xiàng)要求包括：a)機(jī)房出入口應(yīng)安排專(zhuān)人值守，控制、鑒別和記錄進(jìn)入的人員；符合來(lái)訪人員應(yīng)經(jīng)過(guò)申請(qǐng)和審批流程，并限制和監(jiān)控其活動(dòng)范圍b)需進(jìn)入機(jī)房的來(lái)訪人員應(yīng)經(jīng)過(guò)申請(qǐng)和審批流程，并限制和監(jiān)控其活動(dòng)范圍；符合來(lái)訪人員應(yīng)經(jīng)過(guò)申請(qǐng)和審批流程，并限制和監(jiān)控其活動(dòng)范圍c)應(yīng)對(duì)機(jī)房劃分區(qū)域進(jìn)行管理，區(qū)域和區(qū)域之間設(shè)置物理隔離裝置，在重要區(qū)域前設(shè)置交付或安裝等過(guò)渡區(qū)域；不符合在重要區(qū)域前做好標(biāo)記，設(shè)置物理隔離裝置。不符合在重要區(qū)域前做好標(biāo)記，設(shè)置物理隔離裝置6防水和防潮（G3）本項(xiàng)要求包括：a)水管安裝，不得穿過(guò)機(jī)房屋頂和活動(dòng)地板下；符合b)應(yīng)采取措施防止雨水通過(guò)機(jī)房窗戶(hù)、屋頂和墻壁滲透；符合c)應(yīng)采取措施防止機(jī)房?jī)?nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透；基本符合d)應(yīng)安裝對(duì)水敏感的檢測(cè)儀表或組件，對(duì)機(jī)房進(jìn)行防水檢測(cè)和報(bào)警。符合實(shí)現(xiàn)關(guān)鍵設(shè)備的電池屏蔽功能。按照業(yè)務(wù)服務(wù)的重要次序進(jìn)行帶寬保護(hù)。符合要求3安全審計(jì)（G3）本項(xiàng)要求包括：a)應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶(hù)行為等進(jìn)行日志記錄；符合要求部署有網(wǎng)絡(luò)運(yùn)維管理軟件、流控、上網(wǎng)行為管理設(shè)備b)審計(jì)記錄應(yīng)包括：事件的日期和時(shí)間、用戶(hù)、事件類(lèi)型、事件是否成功及其他與審計(jì)相關(guān)的信息；符合要求部署有網(wǎng)絡(luò)運(yùn)維管理軟件、流控、上網(wǎng)行為管理設(shè)備c)應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；符合要求部署有網(wǎng)絡(luò)運(yùn)維管理軟件、流控、上網(wǎng)行為管理設(shè)備d)應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)，避免受到未預(yù)期的刪除、修改或覆蓋等。f)應(yīng)具有登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動(dòng)退出等措施；基本符合要求當(dāng)一次登錄密碼錯(cuò)誤次數(shù)超過(guò) 6 次， 應(yīng)能自動(dòng)關(guān)閉并告警。不符合要求增設(shè)堡壘機(jī)2訪問(wèn)控制（S3）本項(xiàng)要求包括：a)應(yīng)啟用訪問(wèn)控制功能，依據(jù)安全策略控制用戶(hù)對(duì)資源的訪問(wèn)；符合要求通過(guò)安全設(shè)備按需求設(shè)置訪問(wèn)控制策略b)應(yīng)根據(jù)管理用戶(hù)的角色分配權(quán)限，實(shí)現(xiàn)管理用戶(hù)的權(quán)限分離，僅授予管理用戶(hù)所需的最小權(quán)限；不符合要求部署堡壘機(jī)，將網(wǎng)絡(luò)管理員、系統(tǒng)管理員和安全審計(jì)員分離，通過(guò)技術(shù)手段控制授予所需要的最小權(quán)限。部署堡壘機(jī)/日志審計(jì)系統(tǒng)/數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)d)應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；不符合要求未部署日志審計(jì)系統(tǒng)/數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)，無(wú)法對(duì)異常行為實(shí)時(shí)告警。c)操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通