【正文】 安全保護(hù)定級指南等級保護(hù)出臺是信息安全發(fā)展的需要q 信息安全問題層出不窮信息安全問題層出不窮q 安全保護(hù)措施、安全管理建設(shè)不足，導(dǎo)致各種安全事故發(fā)生安全保護(hù)措施、安全管理建設(shè)不足，導(dǎo)致各種安全事故發(fā)生q 國內(nèi)缺乏相類似的安全標(biāo)準(zhǔn)國內(nèi)缺乏相類似的安全標(biāo)準(zhǔn)q 國家、服務(wù)商和用戶在安全建設(shè)過程中缺乏參考依據(jù)國家、服務(wù)商和用戶在安全建設(shè)過程中缺乏參考依據(jù)q 隨著信息安全技術(shù)的發(fā)展隨著信息安全技術(shù)的發(fā)展q 隨著安全意識的提高隨著安全意識的提高q 隨著安全服務(wù)范圍增大隨著安全服務(wù)范圍增大q 對對 信息安全管理需要實行等級化保護(hù)信息安全管理需要實行等級化保護(hù) (目標(biāo)目標(biāo) /要求要求 /能力能力 )? 1994年國務(wù)院頒布的 《 中華人民共和國計算機信息系統(tǒng)安全保護(hù)條例 》 規(guī)定計算機信息系統(tǒng)實行 信息系統(tǒng)安全等級保護(hù) 。第二級為 指導(dǎo)保護(hù)級 ，主要對象為一定程度上涉及國家安全、社會秩序、經(jīng)濟建設(shè)和公共利益的一般信息系統(tǒng)，其受到破壞后，會對國家安全、社會秩序、經(jīng)濟建設(shè)和公共利益造成一定損害。決定信息系統(tǒng)重要性的要素? 信息系統(tǒng)所屬類型，即信息系統(tǒng)資產(chǎn)的安全利益主體 ? 信息系統(tǒng)主要處理的業(yè)務(wù)信息類別 決定信息系統(tǒng)內(nèi)信息資產(chǎn)的重要性 ? 信息系統(tǒng)服務(wù)范圍，包括服務(wù)對象和服務(wù)網(wǎng)絡(luò)覆蓋范圍 ? 業(yè)務(wù)對信息系統(tǒng)的依賴程度 決定信息系統(tǒng)所提供服務(wù)的重要性 信息系統(tǒng)所屬類型賦值表 信息系統(tǒng)所屬類型舉例 賦值信息系統(tǒng)的社會影響屬于一般企事業(yè)單位，處理其內(nèi)部事務(wù)的信息系統(tǒng)。法人和其他組織及公民的專有信息，例如內(nèi)部敏感信息、關(guān)鍵技術(shù)數(shù)據(jù)、科技情報、商業(yè)秘密等。全國范圍的服務(wù)網(wǎng)絡(luò)。信息系統(tǒng)所屬類型 業(yè)務(wù)信息類型 信息系統(tǒng)服務(wù)范圍 業(yè)務(wù)依賴程度業(yè)務(wù)信息安全性取值 業(yè)務(wù)服務(wù)保證性取值業(yè)務(wù)服務(wù)保證性等級1. 賦值選擇調(diào)節(jié)因子業(yè)務(wù)子系統(tǒng)安全保護(hù)等級2. 確定兩個指標(biāo)等級業(yè)務(wù)信息安全性等級3 確定業(yè)務(wù)子系統(tǒng)等級信息系統(tǒng)安全保護(hù)等級4. 確定信息系統(tǒng)等級其它業(yè)務(wù)子系統(tǒng) 。網(wǎng)絡(luò)安全訪問控制網(wǎng)絡(luò)安全訪問控制? 網(wǎng)絡(luò)安全訪問控制實現(xiàn)的方法有多種，簡單網(wǎng)絡(luò)的安全訪問控制可以在路由器上實現(xiàn)，復(fù)雜的功能可以由主機甚至一個子網(wǎng)來實現(xiàn)。尤其針對網(wǎng)絡(luò)中的 BT、電驢、迅雷等 p2p的文件傳輸行為能有效地進(jìn)行控制，以控制非業(yè)務(wù)網(wǎng)絡(luò)行為所占用的帶寬資源，從而保證正常業(yè)務(wù)順暢進(jìn)行。 終端（桌面）病毒防護(hù)? 根據(jù)網(wǎng)絡(luò)終端平臺實際情況，分別選用相應(yīng)的客戶端防病毒軟件。? 根據(jù)定義的安全策略，進(jìn)行檢測 /分析。信息安全管理? 安全管理機構(gòu)安全管理機構(gòu)崗位設(shè)置、人員配置、授權(quán)與審批、溝通與合作、審核與檢查崗位設(shè)置、人員配置、授權(quán)與審批、溝通與合作、審核與檢查? 安全管理制度安全管理制度管理制度、制定與發(fā)布、評審與修訂管理制度、制定與發(fā)布、評審與修訂? 人員安全管理人員安全管理人員錄用、人員離崗、人員考核、安全意識教育與培訓(xùn)、第三方人員錄用、人員離崗、人員考核、安全意識教育與培訓(xùn)、第三方人員管理人員管理? 系統(tǒng)建設(shè)管理系統(tǒng)建設(shè)管理系統(tǒng)定級、系統(tǒng)備案、安全方案設(shè)計、產(chǎn)品采購、自行軟件研發(fā)、外系統(tǒng)定級、系統(tǒng)備案、安全方案設(shè)計、產(chǎn)品采購、自行軟件研發(fā)、外包軟件開發(fā)、工程實施、工程驗收包軟件開發(fā)、工程實施、工程驗收? 系統(tǒng)運維管理系統(tǒng)運維管理環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備管理、監(jiān)控管理、網(wǎng)絡(luò)安全管環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備管理、監(jiān)控管理、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、變更管理、備份理、系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、變更管理、備份與恢復(fù)管理、安全事件管理、應(yīng)急預(yù)案管理與恢復(fù)管理、安全事件管理、應(yīng)急預(yù)案管理安全管理機構(gòu)安全管理機構(gòu)? 崗位設(shè)置崗位設(shè)置? 人員配置人員配置? 授權(quán)與審批授權(quán)與審批? 溝通與合作溝通與合作? 審核與檢查審核與檢查安全管理機構(gòu)安全管理機構(gòu) 崗位設(shè)置崗位設(shè)置? 設(shè)立信息安全管理工作的職能部門，設(shè)立安全主管人、安全管理各個方面的負(fù)責(zé)人，定義各負(fù)責(zé)人的職責(zé)；? 設(shè)立系統(tǒng)管理人員、網(wǎng)絡(luò)管理人員、安全管理人員崗位，定義各個工作崗位的職責(zé)；? 成立指導(dǎo)和管理信息安全工作的委員會或領(lǐng)導(dǎo)小組，其最高領(lǐng)導(dǎo)應(yīng)由單位主管領(lǐng)導(dǎo)委任或授權(quán)；? 制定文件，明確安全管理機構(gòu)各個部門和崗位的職責(zé)、分工和技能要求。人員安全管理人員安全管理? 人員錄用人員錄用? 人員離崗人員離崗? 人員考核人員考核? 安全意識教育與培訓(xùn)安全意識教育與培訓(xùn)? 第三方人員管理第三方人員管理人員安全管理人員安全管理 人員錄用人員錄用? 保證被錄用人具備基本的專業(yè)技術(shù)水平和安全管理知識；? 對被錄用人的身份、背景、專業(yè)資格和資質(zhì)進(jìn)行審查；? 對被錄用人所具備的技術(shù)技能進(jìn)行考核；? 對被錄用人說明其角色和職責(zé)；? 簽署保密協(xié)議；? 對從事關(guān)鍵崗位的人員應(yīng)從內(nèi)部人員選拔，并定期進(jìn)行信用審查；? 對從事關(guān)鍵崗位的人員應(yīng)簽署崗位安全協(xié)議。系統(tǒng)建設(shè)管理系統(tǒng)建設(shè)管理 工程驗收工程驗收? 對系統(tǒng)進(jìn)行安全性測試驗收；? 在測試驗收前根據(jù)設(shè)計方案或合同要求等制訂測試驗收方案，測試驗收過程中詳細(xì)記錄測試驗收結(jié)果，形成測試驗收報告；? 委托公正的第三方測試單位對系統(tǒng)進(jìn)行測試，并出具測試報告；? 制定系統(tǒng)測試驗收方面的管理制度，明確說明系統(tǒng)測試驗收的控制方法和人員行為準(zhǔn)則；? 指定或授權(quán)專門的部門負(fù)責(zé)系統(tǒng)測試驗收的管理，并按照管理制度的要求完成系統(tǒng)測試驗收工作；? 組織相關(guān)部門和相關(guān)人員，對系統(tǒng)測試驗收報告進(jìn)行審定，沒有疑問后由雙方簽字。系統(tǒng)運維管理系統(tǒng)運維管理 系統(tǒng)安全管理系統(tǒng)安全管理? 指定專人對系統(tǒng)進(jìn)行管理，刪除或者禁用不使用的系統(tǒng)缺省賬戶；? 制定系統(tǒng)安全管理制度，對系統(tǒng)安全配置、系統(tǒng)帳戶以及審計日志等方面作出規(guī)定；? 對能夠使用系統(tǒng)工具的人員及數(shù)量進(jìn)行限制和控制；? 定期安裝系統(tǒng)的最新補丁程序，并根據(jù)廠家提供的可能危害計算機的漏洞進(jìn)行及時修補，并在安裝系統(tǒng)補丁前對現(xiàn)有的重要文件進(jìn)行備份；? 根據(jù)業(yè)務(wù)需求和系統(tǒng)安全分析確定系統(tǒng)的訪問控制策略，系統(tǒng)訪問控制策略用于控制分配信息系統(tǒng)、文件及服務(wù)的訪問權(quán)限；? 對系統(tǒng)賬戶進(jìn)行分類管理，權(quán)限設(shè)定應(yīng)當(dāng)遵循最小授權(quán)要求；? 對系統(tǒng)的安全策略、授權(quán)訪問、最小服務(wù)、升級與打補丁、維護(hù)記錄、日志以及配置文件的生成、備份、變更審批、符合性檢查等方面做出具體要求；? 規(guī)定系統(tǒng)審計日志的保存時間以便為可能的安全事件調(diào)查提供支持；? 進(jìn)行系統(tǒng)漏洞掃描，對發(fā)現(xiàn)的系統(tǒng)安全漏洞進(jìn)行及時的修補；? 明確各類用戶的責(zé)任、義務(wù)和風(fēng)險，對系統(tǒng)賬戶的登記造冊、用戶名分配、初始口令分配、用戶權(quán)限及其審批程序、系統(tǒng)資源分配、注銷等作出規(guī)定；? 對于賬戶安全管理的執(zhí)行情況進(jìn)行檢查和監(jiān)督，定期審計和分析用戶賬戶的使用情況，對發(fā)現(xiàn)的問題和異常情況進(jìn)行相關(guān)處理。信息安全管理制度示例 ? 物理環(huán)境安全管理規(guī)范 ? 終端計算機安全使用規(guī)范 ? 防火墻系統(tǒng)管理規(guī)范 物理環(huán)境安全管理規(guī)范? 安全域 ? 門禁控制 ? 監(jiān)控與報警 ? 人員安全管理 ? 設(shè)備放置與保護(hù) ? 電源管理? 電纜管理 ? 環(huán)境管理與維護(hù) ? 設(shè)備常規(guī)管理 ? 設(shè)備變更管理 ? 設(shè)備故障處理? 管理制度和規(guī)定 物理環(huán)境安全管理規(guī)范 — 安全域? 根據(jù)計算機機房內(nèi)部設(shè)備的功能、性質(zhì)、任務(wù)、類型以及重要程度不同，同時為了防止非法進(jìn)入、危害和干擾，確保內(nèi)部設(shè)備的運行安全和信息安全，應(yīng)當(dāng)在計算機機房內(nèi)部劃分安全域。? 計算機機房必須安裝攝像監(jiān)控系統(tǒng)，對機房大門和重要區(qū)域進(jìn)行監(jiān)控和記錄，在發(fā)現(xiàn)異常情況時，啟動報警系統(tǒng)。? (4)設(shè)備應(yīng)該放置在相應(yīng)的安全區(qū)域內(nèi)。物理環(huán)境安全管理規(guī)范 — 環(huán)境管理與維護(hù) ? 計算機機房中，環(huán)境管理與維護(hù)的內(nèi)容包括：? (1)定時檢查和記錄機房環(huán)境的溫度、濕度、漏水、通風(fēng)系統(tǒng)的運行情況。物理環(huán)境安全管理規(guī)范 — 設(shè)備常規(guī)管理 ? 對機房工作人員、維修技術(shù)人員加強保密紀(jì)律教育，自覺遵守操作程序，不得隨意向無關(guān)人員透露工作流程、軟件版本、機器配置等信息。安全檢查部門應(yīng)該參與變更管理方案的審定；實施結(jié)束，應(yīng)向安全檢查部門提交相應(yīng)的記錄和技術(shù)文檔。物理環(huán)境安全管理規(guī)范 — 管理制度和規(guī)定 ? 制定嚴(yán)密的規(guī)范和各項管理制度，包括值班制度、機房管理規(guī)定等，并將上述規(guī)定張貼于相應(yīng)的工作區(qū)域內(nèi)。終端計算機安全使用規(guī)范? (7)為防止意外情況造成文件損失，注意定期備份重要的文件，并保管好存儲備份文件的介質(zhì)。防火墻系統(tǒng)管理規(guī)范 — 規(guī)劃部署，配置測試 ? 防火墻位于網(wǎng)絡(luò)的關(guān)鍵通道，對其安全規(guī)則實施的適應(yīng)性有很高的要求，應(yīng)當(dāng)防止在配置上的錯誤以及對本單位安全策略的違背。對于防火墻的入侵 /探測行為、越權(quán) /濫用行為，可以通過系統(tǒng)安全事件的審計進(jìn)行預(yù)防和監(jiān)測。 系統(tǒng)層惡意代碼防范? 防病毒軟件（瑞星， 諾頓， KILL等）? 服務(wù)器系統(tǒng)加固（ SSR） 惡意代碼防范 入侵防范 強制訪問控制主機系統(tǒng)安全解決方案? 主機系統(tǒng)強制訪問控制? 服務(wù)器系統(tǒng)加固（ SSR） 物理層系統(tǒng)層應(yīng)用層網(wǎng)絡(luò)層管理層ROST技術(shù)安全水平操作系統(tǒng)安全加固技術(shù)Reinforcement Operating System Technique? 經(jīng)過以 ROST技術(shù)為基礎(chǔ)的 SSR加固后，自主訪問控制的 C2級系統(tǒng)就被改造成為強制訪問控制的 B1級系統(tǒng) ? 操作系統(tǒng)經(jīng)過以 ROST技術(shù)為基礎(chǔ)的 SSR加固后，不但加強了系統(tǒng)層的安全防護(hù)，而且整個信息系統(tǒng)的安全水平也得到大幅度的提高，彌補了系統(tǒng)層這塊短板的缺陷 服務(wù)器系統(tǒng)加固 (SSR)? 滿足主機系統(tǒng)強制訪問控制的要求，從根本上免疫了針對服務(wù)器操作系統(tǒng)的一切惡意攻擊；? 有效防止內(nèi)、外網(wǎng)黑客對主機系統(tǒng)的攻擊；? 從根本上防范沖擊波、振蕩波等蠕蟲類病毒對主機系統(tǒng)的侵?jǐn)_；? 防止非法盜取、修改和刪除數(shù)據(jù)；? 防止進(jìn)程（應(yīng)用）被惡意終止；? 保障操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)可信穩(wěn)定地運行；? 無需再頻繁地為服務(wù)器操作系統(tǒng)打補丁。問題管理216。工單管理216。網(wǎng)站安全問題網(wǎng)站安全問題 黑客攻擊網(wǎng)絡(luò)病毒 Inter 入侵檢測 第二層 防火墻 第一層網(wǎng)站企業(yè)級網(wǎng)站服務(wù)器安全解決方案? SSRTM Web衛(wèi)士 (Windows IIS)? InforGuard? SSRTM Web衛(wèi)士是安全服務(wù)器的網(wǎng)站應(yīng)用的分支方案，其核心產(chǎn)品是 SSR系列產(chǎn)品和 WEB過濾防護(hù)產(chǎn)品。管理員在收到防火墻發(fā)送的報警信息之后，應(yīng)當(dāng)盡快檢查防火墻，以確定是否有危害網(wǎng)絡(luò)安全的事件發(fā)生，并上報上級信息安全管理部門 。防火墻系統(tǒng)管理規(guī)范— 防火墻狀態(tài)監(jiān)控 ? 防火墻本身的異常狀態(tài)對于整個網(wǎng)絡(luò)的安全來說舉足輕重。? (9)禁止在未經(jīng)授權(quán)的情況下，私自修改系統(tǒng)的計算機命名標(biāo)識和網(wǎng)絡(luò)配置。終端計算機安全使用規(guī)范? (1)辦公桌面系統(tǒng)必須安裝防病毒軟件，并且啟動病毒監(jiān)控和在線自動更新功能。 ? 當(dāng)機房內(nèi)的施工和維修操作必須明火作業(yè)時，要報經(jīng)消防安全部門和保衛(wèi)部門同意，采取必要的防范措施，在指定時間、地點按計劃、按步驟完成作業(yè)，經(jīng)檢查確認(rèn)沒有火災(zāi)隱患后，方可結(jié)束施工。? 建立簽收制度，設(shè)立專職介質(zhì)管理崗位，嚴(yán)格管理各種存儲介質(zhì)和信息報表文檔。? (3)定期對各類環(huán)境設(shè)備進(jìn)行例行檢修，確保環(huán)境設(shè)備和系統(tǒng)處于良好的運行狀態(tài)。? (2)配電柜設(shè)備要放置在便于維護(hù)的明顯位置，每一個配電開關(guān)應(yīng)標(biāo)明電源的來源和去向，以便掌握各相線的負(fù)載。物理環(huán)境安全管理規(guī)范 — 人員安全管理 ? 計算機機房工作崗位屬于關(guān)鍵崗位，對機房工作人員除了進(jìn)行崗位操作和技能培訓(xùn)外，還必須進(jìn)行相應(yīng)的信息安全、職業(yè)道德、法律規(guī)范的培訓(xùn)，才能上崗工作。對于高污染的打印設(shè)備，應(yīng)當(dāng)遠(yuǎn)離主機、介質(zhì)安全域，并安排專門的環(huán)境。系統(tǒng)運維管理系統(tǒng)運維管理 密碼管理密碼管理? 建立密碼使用管理制度 。 系統(tǒng)運維管理系統(tǒng)運維管理? 環(huán)境管理環(huán)境管理? 資產(chǎn)管理資產(chǎn)管理? 介質(zhì)管理介質(zhì)管理? 設(shè)備管理設(shè)備管理? 監(jiān)控管理監(jiān)控管理? 網(wǎng)絡(luò)安全管理網(wǎng)絡(luò)安全管理? 系統(tǒng)安全管理系統(tǒng)安全管理? 惡意代碼防范管理惡意代碼防范管理? 密碼管理密碼管理? 變更管理變更管理? 備份與恢復(fù)管理備份與恢復(fù)管理? 安全事件管理安全事件管理? 應(yīng)急預(yù)案管理應(yīng)急預(yù)案管理系統(tǒng)運維管理系統(tǒng)運維管理 環(huán)境管理環(huán)境管理? 對機房供配電、空調(diào)、溫濕度控制等設(shè)施指定專人或?qū)ｉT的部門定期進(jìn)行維護(hù)管理；? 配備機房安全管理人員，對機房的出入、服務(wù)器的開機或關(guān)機等工作進(jìn)行管理；? 建立機房安全管理制度，對有關(guān)機房物理訪問，物品帶進(jìn)、帶出機房和機房環(huán)境安全等方面作出規(guī)定；? 加強對辦公環(huán)境的保密性管理，如工作人員調(diào)離辦公室應(yīng)立即交還該辦公室鑰匙和不在辦公區(qū)接待來訪人員等；? 有指定的部門負(fù)責(zé)機房安全，并配置電子門禁系統(tǒng)，對機房來訪人員實行登記記錄和電子記錄雙重備案管理；? 對辦公環(huán)境的人員行為，如工作人員離開座位應(yīng)確保終端計算機退出登錄狀態(tài)和桌面上沒有包含敏感信息的紙檔文件等作出規(guī)定。人員安全管理人員安全