【正文】 建立網(wǎng)絡(luò)安全管理制度，對(duì)網(wǎng)絡(luò)安全配置、網(wǎng)絡(luò)用戶以及日志等方面做出規(guī)定；216。 以上規(guī)定對(duì)設(shè)備的操作和使用進(jìn)行了規(guī)范化，但是缺少了執(zhí)行的監(jiān)督管理技術(shù)手段。 對(duì)于移動(dòng)備份介質(zhì)的存放和管理可在“信息安全保密管理規(guī)定”進(jìn)行一定的修訂，確保明確明晰；216。 建立介質(zhì)管理制度；對(duì)資料介質(zhì)由專人負(fù)責(zé)，但是對(duì)于服務(wù)系統(tǒng)的備份數(shù)據(jù)存儲(chǔ)的介質(zhì)管理只是由系統(tǒng)各自管理員進(jìn)行管理；216。. 介質(zhì)管理. 介質(zhì)管理應(yīng)達(dá)到的目標(biāo)整體要求：216。 根據(jù)資產(chǎn)的重要程度對(duì)資產(chǎn)進(jìn)行定性賦值和標(biāo)識(shí)管理；資產(chǎn)管理現(xiàn)狀：216。 缺乏機(jī)房?jī)?nèi)應(yīng)有的管理規(guī)定表示、管理人員標(biāo)識(shí)。 建立機(jī)房安全管理制度；216。 周期性風(fēng)險(xiǎn)評(píng)估及風(fēng)險(xiǎn)管理3. 運(yùn)維體系建設(shè)規(guī)劃. 風(fēng)險(xiǎn)評(píng)估及安全加固. 風(fēng)險(xiǎn)評(píng)估此次XXXX公司工業(yè)安全項(xiàng)目本身已經(jīng)包含信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估部分。 網(wǎng)絡(luò)安全域劃分及整改建設(shè)216。給出風(fēng)險(xiǎn)評(píng)估報(bào)告和安全現(xiàn)狀報(bào)告，系統(tǒng)風(fēng)險(xiǎn)修正措施以及系統(tǒng)安全指導(dǎo)性架構(gòu)。 能夠有效的協(xié)助進(jìn)行信息安全事件的應(yīng)急響應(yīng)；. 周期性風(fēng)險(xiǎn)評(píng)估及風(fēng)險(xiǎn)管理. 項(xiàng)目目標(biāo)216。 安全事件的采集、匯總、過(guò)濾、壓縮。建立安全運(yùn)營(yíng)管理中心，使得XXXX公司工業(yè)的網(wǎng)絡(luò)安全管理機(jī)構(gòu)能及時(shí)準(zhǔn)確地獲知整個(gè)網(wǎng)絡(luò)安全體系的效果和現(xiàn)狀，并且?guī)椭M(jìn)行正確的決策分析。在專線故障的時(shí)候啟用VPN線路應(yīng)急。. 外網(wǎng)通信線路冗余按照相關(guān)文件的要求，在XXXX行業(yè)技術(shù)體系要求中需要建立通信線路冗余。通過(guò)該系統(tǒng)，實(shí)現(xiàn)終端主動(dòng)防護(hù)能力和有效的管理，形成整體的安全準(zhǔn)入控制體系。 如果XXX單位和分支機(jī)構(gòu)的網(wǎng)絡(luò)和總部的鏈路穩(wěn)定，那么可使分支結(jié)構(gòu)客戶端直接聯(lián)入總部的服務(wù)端；如果分公司的網(wǎng)絡(luò)和總部的鏈路不穩(wěn)定，則可在分支機(jī)構(gòu)架設(shè)二級(jí)服務(wù)器，使用“區(qū)域自治，集中管理”的模式來(lái)使得分支機(jī)構(gòu)客戶端能夠正常運(yùn)行。保證知識(shí)產(chǎn)權(quán)，就相當(dāng)于保障企業(yè)的生存空間。. 建設(shè)規(guī)劃內(nèi)容. CA認(rèn)證體系平臺(tái)建設(shè)按照《XXXX行業(yè)行業(yè)CA認(rèn)證體系建設(shè)方案》規(guī)范，XXXX公司工業(yè)行業(yè)CA認(rèn)證體系項(xiàng)目由數(shù)字證書簽發(fā)服務(wù)平臺(tái)標(biāo)準(zhǔn)版、數(shù)字證書應(yīng)用支撐平臺(tái)和數(shù)字證書系綜合監(jiān)管平臺(tái)組成，如下圖所示。 通過(guò)對(duì)網(wǎng)絡(luò)設(shè)備，操作系統(tǒng)，應(yīng)用系統(tǒng)的掃描，有效了解系統(tǒng)弱點(diǎn)，為實(shí)施安全防護(hù)方案和制定安全管理策略提供依據(jù)和參考。由于目標(biāo)系統(tǒng)不能區(qū)別不同人員使用同一個(gè)帳號(hào)進(jìn)行維護(hù)操作，所以不能界定維護(hù)人員的真實(shí)身份。上網(wǎng)行為管理設(shè)備可以基于應(yīng)用的重要程度進(jìn)行帶寬資源的合理分配，從而保證重要的、時(shí)效性高的應(yīng)用能夠獲得較多的帶寬，最終能夠保障關(guān)鍵應(yīng)用的正常運(yùn)行。各種P2P應(yīng)用占用了大量網(wǎng)絡(luò)帶寬(如BitTorrent，Kazza，Emule等)，消耗了網(wǎng)絡(luò)中的大量帶寬，隨之而來(lái)的是，由網(wǎng)絡(luò)鏈路擁塞引發(fā)的應(yīng)用性能下降問(wèn)題也日益嚴(yán)重，極大地影響了組織正常業(yè)務(wù)的開展及用戶正常網(wǎng)絡(luò)應(yīng)用的服務(wù)質(zhì)量。. 實(shí)現(xiàn)安全功能n 訪問(wèn)控制IP地址過(guò)濾、MAC地址過(guò)濾、IP＋MAC綁定、用戶認(rèn)證、流量整形、連接數(shù)控制等n IPS防御體系通過(guò)繼承的IPS功能，精確抵御黑客攻擊、蠕蟲、木馬、后門；抑制間諜軟件、灰色軟件、網(wǎng)絡(luò)釣魚的泛濫；并可有效防止拒絕服務(wù)攻擊。216。如下圖所示。網(wǎng)絡(luò)安全產(chǎn)品的類型是由網(wǎng)絡(luò)安全技術(shù)決定的，為了實(shí)現(xiàn)全面的安全防護(hù)，以不同的實(shí)體出現(xiàn)的安全設(shè)備要在技術(shù)上覆蓋所有的安全領(lǐng)域，也就是所有安全設(shè)備功能的總和在技術(shù)層面應(yīng)該能夠防御目前網(wǎng)絡(luò)環(huán)境下所有安全威脅的總和。此問(wèn)題可與XXXX公司工業(yè)解決建議方案同時(shí)解決。網(wǎng)絡(luò)核心交換S5516如果癱瘓，整個(gè)網(wǎng)絡(luò)通訊將斷開；服務(wù)器直接連接漏洞交換機(jī)，一旦設(shè)備出現(xiàn)故障則一號(hào)工程、內(nèi)網(wǎng)管理等業(yè)務(wù)系統(tǒng)無(wú)法正常工作，將引起業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)通訊的中斷。遠(yuǎn)程接入西倉(cāng)和XXX單位專線直接接入到核心交換機(jī)Cisco3845上，兩端均未部署防火墻實(shí)施訪問(wèn)控制。ERP、一號(hào)工程、協(xié)同辦公、營(yíng)銷等重要系統(tǒng)混雜在一起，與其它服務(wù)器都部署在同一個(gè)區(qū)域，非常不利于隔離防護(hù)及后期的安全規(guī)劃建設(shè)。 通過(guò)基于網(wǎng)絡(luò)的認(rèn)證確?；A(chǔ)網(wǎng)絡(luò)的完整性. 現(xiàn)有信息技術(shù)體系描述. XXXX公司工業(yè)現(xiàn)有網(wǎng)絡(luò)拓?fù)? XXXX公司工業(yè)網(wǎng)絡(luò)結(jié)構(gòu)脆弱性評(píng)估. 網(wǎng)絡(luò)結(jié)構(gòu)層次不清晰當(dāng)前網(wǎng)絡(luò)骨干區(qū)域，基本形成以兩臺(tái)C6509為核心，多臺(tái)C2970/C2950等為接入的架構(gòu)，網(wǎng)絡(luò)骨干設(shè)備性能優(yōu)異，擴(kuò)展能力較強(qiáng)。 帶外管理和網(wǎng)絡(luò)加密216。 身份認(rèn)證與行為審計(jì)同時(shí)也輔助以其他的防護(hù)手段：216。 內(nèi)部人員越權(quán)和濫用216。 入侵檢測(cè)與防御（IDSamp。 組織內(nèi)的異地連接（如不同地理位置的分支結(jié)構(gòu)）216。邊界接入域是各類接入的設(shè)備和終端以及業(yè)務(wù)系統(tǒng)邊界，按照接入類型分為：互聯(lián)網(wǎng)接入、外聯(lián)網(wǎng)接入、內(nèi)聯(lián)網(wǎng)接入和內(nèi)網(wǎng)接入。 主機(jī)和系統(tǒng)……. 安全域作用l 理順系統(tǒng)架構(gòu)進(jìn)行安全域劃分可以幫助理順網(wǎng)絡(luò)和應(yīng)用系統(tǒng)的架構(gòu)，使得信息系統(tǒng)的邏輯結(jié)構(gòu)更加清晰，從而更便于進(jìn)行運(yùn)行維護(hù)和各類安全防護(hù)的設(shè)計(jì)。. 目標(biāo)規(guī)劃的理論依據(jù). 安全域簡(jiǎn)介安全域是指同一系統(tǒng)內(nèi)有相同的安全保護(hù)需求，相互信任，并具有相同的安全訪問(wèn)控制和邊界控制策略的子網(wǎng)或網(wǎng)絡(luò)，相同的網(wǎng)絡(luò)安全域共享一樣的安全策略。綜合考慮信息性質(zhì)、使用主體等要素，XXXX公司工業(yè)網(wǎng)絡(luò)劃分為計(jì)算域、支撐域、接入域、基礎(chǔ)設(shè)施域四種類型安全域。各種安全技術(shù)措施盡顯其長(zhǎng)，相互補(bǔ)充。 ISO/IEC 17799:2005 /BS7799 Part 1216。顯然Et越小表示系統(tǒng)越安全，當(dāng)Et≤0時(shí)，可以認(rèn)為系統(tǒng)是安全的。改進(jìn)檢測(cè)算法和設(shè)計(jì)可縮短Dt。我們可以通過(guò)定義下列時(shí)間量來(lái)描述P2DR模型的時(shí)間特性。防護(hù)的對(duì)象涵蓋了系統(tǒng)的全部，防護(hù)手段也因此多種多樣。該模型是可量化、可由數(shù)學(xué)證明、基于時(shí)間的、以PDR為核心的安全模型。例如在信息安全管理制度的上，沒有依據(jù)《XXXX行業(yè)行業(yè)信息安全保障體系建設(shè)指南》或者是ISMS體系建設(shè)等標(biāo)準(zhǔn)和規(guī)范制定，從而使管理規(guī)定缺乏系統(tǒng)性。信息安全管理組織的健全需要明確角色模型，在此基礎(chǔ)上設(shè)計(jì)信息安全崗位職責(zé)和匯報(bào)關(guān)系，充分考慮XXXX公司工業(yè)與下屬單位的組織模式和特點(diǎn)，做到信息安全職責(zé)分工明確合理、責(zé)任落實(shí)到位。從而使新的保障體系能夠適應(yīng)企業(yè)不斷發(fā)展和變化的安全需求。企業(yè)生產(chǎn)已經(jīng)高度依賴于企業(yè)的信息化和各信息系統(tǒng)。本文檔內(nèi)容為信息安全技術(shù)體系、運(yùn)維體系、管理體系的評(píng)估和規(guī)劃，是信息安全保障體系的主體。在整個(gè)信息系統(tǒng)運(yùn)行的過(guò)程中，起主導(dǎo)作用的仍然是人，是各級(jí)管理員。按照P2DR2模型，行業(yè)信息安全技術(shù)體系涉及信息安全防護(hù)、檢測(cè)、響應(yīng)和恢復(fù)四個(gè)方面的內(nèi)容：1) 防護(hù)：通過(guò)訪問(wèn)控制、信息系統(tǒng)完整性保護(hù)、系統(tǒng)與通信保護(hù)、物理與環(huán)境保護(hù)等安全控制措施，使信息系統(tǒng)具備比較完善的抵抗攻擊破壞的能力。XXXX公司工業(yè)將在明確信息安全服務(wù)團(tuán)隊(duì)設(shè)立方案的基礎(chǔ)上制定人才培養(yǎng)計(jì)劃，逐步培養(yǎng)在信息安全各個(gè)領(lǐng)域的專業(yè)技術(shù)人才，在35年的時(shí)間內(nèi)建立起一支高素質(zhì)的，能夠滿足XXXX公司工業(yè)信息安全需求的專業(yè)服務(wù)團(tuán)隊(duì)。. 建立規(guī)范化的流程隨著信息化建設(shè)的推進(jìn)，XXXX公司工業(yè)需要建設(shè)越來(lái)越多的應(yīng)用系統(tǒng)，這些系統(tǒng)目前日常維護(hù)工作基本依靠系統(tǒng)維護(hù)人員的經(jīng)驗(yàn)，因此逐步建立專業(yè)化的信息安全服務(wù)和規(guī)范化的流程成為信息安全保障體系建立的重要目標(biāo)之一。ProtectionDetectionResponseRecoveryPolicy圖 1_2 P2DR2模型216。通過(guò)不間斷的檢測(cè)網(wǎng)絡(luò)和系統(tǒng)，來(lái)發(fā)現(xiàn)威脅。防護(hù)時(shí)間由兩方面共同決定：①入侵能力，②防護(hù)能力。一個(gè)監(jiān)控系統(tǒng)的響應(yīng)可能包括見識(shí)、切換、跟蹤、報(bào)警、反擊等內(nèi)容。. 參考標(biāo)準(zhǔn)主要參考標(biāo)準(zhǔn)：216。 GB178591999216。n 可操作性原則根據(jù)XXXX公司工業(yè)風(fēng)險(xiǎn)評(píng)估結(jié)果，制定出各具特色、有較強(qiáng)針對(duì)性和可操作性的網(wǎng)絡(luò)安全技術(shù)保障規(guī)劃，適用于XXXX公司工業(yè)信息安全的規(guī)劃、建設(shè)、運(yùn)行、維護(hù)和管理。n 動(dòng)態(tài)安全的思想動(dòng)態(tài)網(wǎng)絡(luò)安全的思想，一方面是要安全體系具備良好的動(dòng)態(tài)適應(yīng)性和可擴(kuò)展性。 物理環(huán)境216。特別是針對(duì)組織的分支機(jī)構(gòu)，安全域劃分的方案也有利于協(xié)助他們進(jìn)行系統(tǒng)安全規(guī)劃和防護(hù)，從而進(jìn)行規(guī)范的、有效的安全建設(shè)工作。. 建設(shè)規(guī)劃內(nèi)容. 邊界接入域. 邊界接入域的劃分《ISO 13335信息系統(tǒng)管理指南》中將一個(gè)組織中可能的接入類型分為以下幾種：216。 惡意代碼（病毒蠕蟲）216。 終端管理（注入控制、補(bǔ)丁管理、資產(chǎn)管理等）對(duì)終端進(jìn)行合規(guī)管理. 計(jì)算域. 計(jì)算域的劃分計(jì)算域是各類應(yīng)用服務(wù)、中間件、大機(jī)、數(shù)據(jù)庫(kù)等局域計(jì)算設(shè)備的集合，根據(jù)計(jì)算環(huán)境的行為不同和所受威脅不同，分為以下三個(gè)區(qū)：216。 內(nèi)部人員篡改數(shù)據(jù)216。其中，安全設(shè)備、網(wǎng)絡(luò)設(shè)備、業(yè)務(wù)操作監(jiān)控的管理端口都應(yīng)該處于獨(dú)立的管理VLAN中，如果條件允許，還應(yīng)該分別劃分安全VLAN、網(wǎng)管VLAN和業(yè)務(wù)管理VLAN。 網(wǎng)絡(luò)設(shè)備故障216。核心交換機(jī)C6509同時(shí)兼具上述多條專線接入設(shè)備的任務(wù)，網(wǎng)絡(luò)邏輯層次結(jié)構(gòu)較為模糊。業(yè)務(wù)維護(hù)人員、網(wǎng)絡(luò)管理人員、安全管理人員以及第三方運(yùn)維人員，未劃分專門的管理支撐域。內(nèi)網(wǎng)服務(wù)器區(qū)、生產(chǎn)服務(wù)器區(qū)缺乏業(yè)務(wù)審計(jì)設(shè)備，無(wú)法記錄關(guān)鍵的業(yè)務(wù)、維護(hù)操作行為。一號(hào)工程、內(nèi)網(wǎng)管理服務(wù)器僅單線連接在樓層交換機(jī)上，樓層交換本身為單線連接核心交換，連接和訪問(wèn)均為單線路，存在單點(diǎn)故障。. 技術(shù)體系規(guī)劃主要內(nèi)容. 網(wǎng)絡(luò)安全域改造建設(shè)規(guī)劃. XXXX公司工業(yè)網(wǎng)絡(luò)系統(tǒng)規(guī)劃建議改造建議說(shuō)明： 新增管理支撐域，作為整個(gè)網(wǎng)絡(luò)的設(shè)備和系統(tǒng)管理中心。在充分分析目前XXXX公司工業(yè)已經(jīng)部署的網(wǎng)絡(luò)安全設(shè)備的前提下，又結(jié)合了風(fēng)險(xiǎn)評(píng)估的結(jié)果，以及安全域劃分和網(wǎng)絡(luò)改造的具體需求，得出了最終需要新增的網(wǎng)絡(luò)安全設(shè)備需求。在新增的匯聚網(wǎng)絡(luò)層和核心網(wǎng)絡(luò)層之間冗余部署四臺(tái)防火墻設(shè)備，實(shí)現(xiàn)生產(chǎn)接入域、辦公接入域和其他區(qū)域訪問(wèn)的控制，生產(chǎn)接入域和辦公接入域之間的訪問(wèn)控制。 限制接入網(wǎng)絡(luò)穿過(guò)的應(yīng)用端口。. 上網(wǎng)行為管理設(shè)備. 部署位置上網(wǎng)行為管理部署在互聯(lián)網(wǎng)出口處。也可以理解為某種程度上QoS。XXXX公司工業(yè)面也面臨著合規(guī)性的要求。對(duì)管理部門來(lái)說(shuō)，網(wǎng)絡(luò)環(huán)境的安全狀況事關(guān)重大。. 補(bǔ)充設(shè)備部署由于系統(tǒng)已經(jīng)規(guī)劃部署了業(yè)務(wù)審計(jì)系統(tǒng)，為了防止各系統(tǒng)時(shí)間不同步，從而導(dǎo)致審計(jì)數(shù)據(jù)記錄時(shí)間不同，進(jìn)而影響審計(jì)系統(tǒng)數(shù)據(jù)的參考價(jià)值，因此需要在內(nèi)網(wǎng)部署時(shí)間同步服務(wù)器。 綜合應(yīng)用平臺(tái)單點(diǎn)登錄對(duì)已建設(shè)的信息系統(tǒng)進(jìn)行整合和數(shù)據(jù)交流，并提供統(tǒng)一身份驗(yàn)證平臺(tái)，實(shí)行信息門戶單點(diǎn)登錄。. 電子文檔管理流程優(yōu)化通過(guò)部署電子文檔安全系統(tǒng)，優(yōu)化文檔安全管理工作的效率，從前需要人工審核的部門由計(jì)算機(jī)網(wǎng)絡(luò)取代，提高了工作效率。 將文件解密；216。通過(guò)準(zhǔn)入控制機(jī)制，可以實(shí)現(xiàn)對(duì)終端的身份進(jìn)行認(rèn)證，并能夠自動(dòng)檢測(cè)和修復(fù)終端安全狀態(tài)，強(qiáng)制保證終端及時(shí)進(jìn)行安全補(bǔ)丁更新、安裝并及時(shí)更新防病毒軟件及病毒定義碼、不隨意運(yùn)行可能存在風(fēng)險(xiǎn)的軟件，確保只有合法的和安全的終端電腦才能接入企業(yè)內(nèi)網(wǎng)。通常做法是選擇兩家以上的運(yùn)營(yíng)商同時(shí)接入互聯(lián)網(wǎng)，增加冗余，降低通訊鏈路故障風(fēng)險(xiǎn)。主要是解決方式有兩種：216。 安全設(shè)備日志（防火墻、IDS/IPS、防病毒系統(tǒng)、漏掃等）216。 基于資產(chǎn)和安全域的風(fēng)險(xiǎn)監(jiān)控能夠?qū)踩录募?jí)別與資產(chǎn)、安全域的價(jià)值進(jìn)行加權(quán)計(jì)算，從而得出風(fēng)險(xiǎn)評(píng)估的結(jié)果，協(xié)助進(jìn)行安全決策；216。. 項(xiàng)目?jī)?nèi)容XXXX公司工業(yè)的業(yè)務(wù)系統(tǒng)長(zhǎng)期穩(wěn)定安全地運(yùn)行，是XXXX公司工業(yè)能夠提供優(yōu)質(zhì)服務(wù)的保障。周期性的風(fēng)險(xiǎn)評(píng)估是實(shí)現(xiàn)P2DR2安全模型的重要機(jī)制和組成部分。 數(shù)據(jù)安全保障建設(shè)216。安全加固則是依據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，為了降低系統(tǒng)風(fēng)險(xiǎn)所采取的措施之一。 對(duì)機(jī)房和辦公環(huán)境實(shí)行統(tǒng)一策略的安全管理。 將現(xiàn)有的機(jī)房安全管理制度制作標(biāo)牌懸掛機(jī)房?jī)?nèi)，并監(jiān)督執(zhí)行；216。 具有資產(chǎn)的標(biāo)識(shí)管理，但未能對(duì)資產(chǎn)進(jìn)行定性賦值。 對(duì)介質(zhì)的物理傳輸過(guò)程進(jìn)行控制；216。 目前主要的業(yè)務(wù)數(shù)據(jù)均采用磁盤陣列存儲(chǔ)，定期將數(shù)據(jù)備份到移動(dòng)存儲(chǔ)介質(zhì)上由管理員保管；216。 指定專人或?qū)ｉT的部門對(duì)設(shè)備定期進(jìn)行維護(hù)管理；216。. 網(wǎng)絡(luò)和系統(tǒng)安全管理. 網(wǎng)絡(luò)安全管理. 網(wǎng)絡(luò)安全管理應(yīng)達(dá)到的目標(biāo)整體要求：216。 明確各類用戶的責(zé)任、義務(wù)和風(fēng)險(xiǎn)，并按照機(jī)構(gòu)制定的審查和批準(zhǔn)程序建立用戶和分配權(quán)限，定期檢查用戶實(shí)際權(quán)限與分配權(quán)限的符合性；216。 目前XXXX公司工業(yè)還沒有專門的網(wǎng)絡(luò)安全管理制度，對(duì)網(wǎng)絡(luò)安全配置、網(wǎng)絡(luò)用戶以及日志等方面做出規(guī)定；216。 部署網(wǎng)絡(luò)漏洞掃描系統(tǒng)，并制定掃描管理規(guī)范，定期對(duì)網(wǎng)絡(luò)和服務(wù)系統(tǒng)進(jìn)行掃描，并生成檢查報(bào)告；216。 指定專人對(duì)系統(tǒng)進(jìn)行管理，刪除或者禁用不使用的系統(tǒng)缺省帳戶；216。 進(jìn)行系統(tǒng)漏洞掃描，對(duì)發(fā)現(xiàn)的系統(tǒng)安全漏洞進(jìn)行及時(shí)的修補(bǔ)；216。 重要的業(yè)務(wù)系統(tǒng)自身對(duì)訪問(wèn)用戶和權(quán)限進(jìn)行了較為嚴(yán)格的管理，但是網(wǎng)絡(luò)方面僅僅通過(guò)網(wǎng)絡(luò)設(shè)備和訪問(wèn)控制列表和防火墻進(jìn)行控制，技術(shù)力度不足；216。 服務(wù)器補(bǔ)丁采取謹(jǐn)慎處理，建議聘請(qǐng)專業(yè)安全公司協(xié)同應(yīng)用系統(tǒng)開發(fā)廠商對(duì)漏洞修補(bǔ)對(duì)業(yè)務(wù)系統(tǒng)的影響進(jìn)行評(píng)估后，對(duì)能夠修補(bǔ)的補(bǔ)丁進(jìn)行修正，不能修補(bǔ)的補(bǔ)丁漏洞通過(guò)網(wǎng)絡(luò)訪問(wèn)控制、入侵防御等技術(shù)手段將風(fēng)險(xiǎn)控制到可接受范圍內(nèi)；216。 對(duì)分散或集中的安全管理系統(tǒng)的訪問(wèn)授權(quán)、操作記錄、日志等方面進(jìn)行有效管理；216。. 備份與恢復(fù). 備份與恢復(fù)應(yīng)達(dá)到的目標(biāo)整體要求：216。 現(xiàn)按照業(yè)務(wù)類型設(shè)置不同系統(tǒng)管理員，對(duì)個(gè)系統(tǒng)的數(shù)據(jù)進(jìn)行及時(shí)的備份；216。 將執(zhí)行恢復(fù)程序，檢查和測(cè)試備份介質(zhì)的有效性的檢查驗(yàn)證工作變?yōu)槎ㄆ陂_展工作；. 惡意代碼防范. 惡意代碼防護(hù)應(yīng)達(dá)到的目標(biāo)整體要求：216。 目前從外部接收郵件、通過(guò)移動(dòng)存儲(chǔ)設(shè)備進(jìn)行文件傳遞過(guò)程均受到防病毒軟件的監(jiān)控，另外部署了內(nèi)網(wǎng)管理系統(tǒng)，可對(duì)移動(dòng)存儲(chǔ)設(shè)備進(jìn)行有效管理；216。. 變更管理. 變更管理應(yīng)達(dá)到的目標(biāo)整體要求：216。 現(xiàn)有系統(tǒng)的變更情況應(yīng)向所有相關(guān)人員通告；216。 分析信息系統(tǒng)的類型、網(wǎng)絡(luò)連接特點(diǎn)和信息系統(tǒng)用戶特點(diǎn)，了解本系統(tǒng)和同類系統(tǒng)已發(fā)生的安全事件，識(shí)別本系統(tǒng)需要防止發(fā)生的安全事件，事件可能來(lái)自攻擊、錯(cuò)誤、故障、事故或?yàn)?zāi)難；216。 制定了信息安全保密規(guī)范和信息安全事故專項(xiàng)預(yù)案，能夠有計(jì)劃步驟的處理發(fā)生的安全事件；216。 對(duì)系統(tǒng)相關(guān)的人員進(jìn)行培訓(xùn)使之了解如何