【正文】 統(tǒng)冗余備份等安全運(yùn)維機(jī)制，保障系統(tǒng)的運(yùn)行安全 ?管理制度 —— 管理層 應(yīng)針對(duì)本單位應(yīng)用狀況建立合理的安全管理制度 并有效執(zhí)行 ，在統(tǒng)一的安全策略下對(duì)各類可能影響系統(tǒng)信息安全的行為進(jìn)行有效管理。 ? 當(dāng)有重要信息通過公共網(wǎng)絡(luò)進(jìn)行傳輸時(shí)，應(yīng)在傳輸線路中配置 加密 設(shè)備，以保證信息傳輸?shù)谋Ｃ苄裕? ? 禁止內(nèi)部網(wǎng)絡(luò)用戶未授權(quán)與外部網(wǎng)絡(luò)連接；如提供遠(yuǎn)程撥號(hào)或移動(dòng)用戶連接，應(yīng)在系統(tǒng)入口處配置 鑒別與認(rèn)證 服務(wù)器。 ? 85%的 Oracle數(shù)據(jù)庫 ：都未設(shè) Oralce監(jiān)聽服務(wù)的密碼，導(dǎo)致局域網(wǎng)內(nèi)任何人都可隨意關(guān)閉數(shù)據(jù)庫對(duì)外服務(wù) 。當(dāng)不成功鑒別嘗試次數(shù)達(dá)到限定值時(shí)，系統(tǒng)應(yīng)鎖定用戶，并予以記錄和告警； ? 具備對(duì)不同角色用戶權(quán)限的分配和管理功能：權(quán)限分離原則、最小授權(quán)原則 應(yīng)用軟件安全 —— 要求 ?具體安全要求 —— 基本安全功能 ? 具備對(duì)用戶執(zhí)行的系統(tǒng)操作和重要業(yè)務(wù)操作的應(yīng)用審計(jì) 功能。 系統(tǒng)運(yùn)維安全 —— 要求 ?安全技術(shù)要求 —— 網(wǎng)絡(luò)管理及安全審計(jì) ? 系統(tǒng)中部署的 網(wǎng)絡(luò)管理 及 安全審計(jì) 系統(tǒng)應(yīng)實(shí)現(xiàn)對(duì)重要網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器及數(shù)據(jù)庫系統(tǒng)的故障、負(fù)載及性能等運(yùn)行狀態(tài)信息 及各類 安全事件進(jìn)行監(jiān)控 分析； ? 應(yīng) 設(shè)置合理的監(jiān)控指標(biāo)閾值、合理的審計(jì)規(guī)則和告警響應(yīng)策略，并根據(jù)實(shí)際需求提供各類綜合分析報(bào)告。 , February 11, 2023 ? 雨中黃葉樹，燈下白頭人。 2023年 2月 11日星期六 1時(shí) 47分 2秒 01:47:0211 February 2023 ? 1做前，能夠環(huán)視四周；做時(shí)，你只能或者最好沿著以腳為起點(diǎn)的射線向前。 。勝人者有力，自勝者強(qiáng)。 2023年 2月 11日星期六 上午 1時(shí) 47分 2秒 01:47: ? 1最具挑戰(zhàn)性的挑戰(zhàn)莫過于提升自我。 2023年 2月 11日星期六 1時(shí) 47分 2秒 01:47:0211 February 2023 ? 1空山新雨后，天氣晚來秋。 , February 11, 2023 ? 很多事情努力了未必有結(jié)果，但是不努力卻什么改變也沒有。 :47:0201:47Feb2311Feb23 ? 1故人江海別，幾度隔山川。 系統(tǒng)運(yùn)維安全 —— 要求 主要內(nèi)容 信息安全現(xiàn)狀 1 信息系統(tǒng)安全保障體系 2 安全保障技術(shù)要求 安全保障管理要求 4 3 安全管理要求 管理 制度 ? 應(yīng)參照 GB/T 220812023《信息安全管理實(shí)用規(guī)則》要求，建立信息系統(tǒng)的 安全 管理制度 ； ? 應(yīng)建立合理有效的監(jiān)督機(jī)制，確保各項(xiàng)制度的有效執(zhí)行 ? 定期評(píng)價(jià)制度合理性、有效性，并進(jìn)行改進(jìn)。 ? 發(fā)生錯(cuò)誤時(shí)有出錯(cuò)提示，并可以通過手工或自動(dòng)方式從錯(cuò)誤狀態(tài)恢復(fù)到正常狀態(tài)； (可靠性保障 ) ? 當(dāng)專用應(yīng)用軟件退出后，在本地機(jī)和服務(wù)器的有關(guān)目錄下不留下任何殘余文件； 應(yīng)用軟件安全 —— 要求 ?具體安全要求 —— 應(yīng)用數(shù)據(jù)保護(hù) ? 信息生成環(huán)節(jié) ：信息源 標(biāo)識(shí)和鑒別 、遠(yuǎn)程錄入加密、輸入數(shù)據(jù)合法性性檢驗(yàn) （如：引發(fā)溢出、注入等漏洞） 等 ? 信息處理環(huán)節(jié)： 限制單一用戶多重并發(fā)會(huì)話 （防止暴力破解 )、 制定并執(zhí)行訪問控制策略 、 安全功能 不可旁路及容錯(cuò)性 ? 信息傳輸環(huán)節(jié) ：通過加密、簽名，實(shí)現(xiàn)保密性、完整性及抗抵賴性 (HTTPS、證書 ) ? 信息存儲(chǔ)環(huán)節(jié) ：保密性、完整性 ? 保障數(shù)據(jù)庫的安全性 應(yīng)用軟件安全 —— 要求 安全技術(shù)要求之 —— 運(yùn)行維護(hù)安全 運(yùn)行 維護(hù) ? 惡意代碼防范 ? 數(shù)據(jù)備份恢復(fù) ? 系統(tǒng)冗余 ? 入侵檢測與保護(hù) ? 網(wǎng)絡(luò)管理 ? 安全審計(jì) ? …… ?典型案例 ? 某單位所有服務(wù)器無防護(hù)運(yùn)行 10個(gè)月 ：網(wǎng)絡(luò)防病毒系統(tǒng)許可過期，所有服務(wù)器防病毒軟件近 10個(gè)月未升級(jí)病毒庫。 ? 2023年寧波某政府網(wǎng)站被植入后門 ：黑客利用 IIS6文件名解析漏洞 植入后門， 可以向 WEB目錄寫入任意內(nèi)容 ； ? 2023年 3月杭州某單位門戶網(wǎng)站被植入后門 ：網(wǎng)站Tomcat服務(wù)后臺(tái)管理員默認(rèn)密碼 (tomcat)未修改且對(duì)外開放，黑客上傳后門程序，可隨意對(duì)網(wǎng)站進(jìn)行文件下載、刪除、修改。 網(wǎng)絡(luò)結(jié)構(gòu)安全 —— 要求 安全技術(shù)要求之 —— 網(wǎng)絡(luò)設(shè)備安全 網(wǎng)絡(luò) 設(shè)備 根據(jù)系統(tǒng)安全策略和維護(hù)需求設(shè)置合理的設(shè)備自身安全配置： ?版本更新與漏洞修補(bǔ) ?版本信息保護(hù) ?身份鑒別 ?鏈接安全 ?配置備份 ?安全審計(jì) ?典型案例 ? 某單位 Inter防火墻 ：將防火墻所有管理界面（ Web/Tel/SSH）開放至 Inter，且未修改出廠默認(rèn)管理員密碼（天融信： superman/tal） ? 某單位 Cisco核心交換機(jī) ：使用多年的 Cisco交換機(jī)，IOS版本未升級(jí)，存在可遭受拒絕服務(wù)攻擊的漏洞 ? 某單位所有 Cisco交換機(jī) ：未在設(shè)備配置中對(duì)管理員密碼進(jìn)行加密；且配置文件曾被多人拷貝，可通過配置文件破解管理員密碼。 ?密碼產(chǎn)品 —— 對(duì)非涉密信息進(jìn)行加密保護(hù)或安全認(rèn)證時(shí)所采用的技術(shù)或產(chǎn)品應(yīng)符合《商用密碼管理?xiàng)l例》的要求 安全三原則（ CIA） ?Confidentiality 保密性 ? 數(shù)據(jù)庫數(shù)據(jù)泄漏、 …… ?Integrity 完整性 ? 網(wǎng)站篡改、 …… ?Availability 可用性 ? 局域網(wǎng)癱瘓、 …… 主要內(nèi)容 信息安全現(xiàn)狀 1 信息系統(tǒng)安全保障體系 2 安全保障技術(shù)要求 安全保障管理要求 4 3 安全技術(shù)要求之 —— 物理安全 物理 環(huán)境 機(jī)房建設(shè)應(yīng)滿足 ： ? GB/T 2887《電子計(jì)算機(jī)場地通用規(guī)范》 ? GB/T 9361《計(jì)算機(jī)場地安全要求》 ?某信息中心機(jī)房 —— 消防安全隱患 ? 機(jī)房堆放了包裝紙箱、文件柜及雜物，易燃 ? 未配備機(jī)房專用滅火設(shè)