【正文】 風(fēng)險評估和安全加固服務(wù)通過漏洞掃描、配置核查和滲透測試等技術(shù)手段發(fā)現(xiàn)系統(tǒng)中的漏洞，這些漏洞不能由安全設(shè)備解決，只能有安全加固解決。結(jié)合信息系統(tǒng)安全保護(hù)等級，制定信息安全事件分級應(yīng)急處置預(yù)案，明確應(yīng)急處置策略，落實(shí)應(yīng)急指揮部門、執(zhí)行部門和技術(shù)支撐部門，建立應(yīng)急協(xié)調(diào)機(jī)制。培訓(xùn)的內(nèi)容包括單位的信息安全方針、信息安全方面的基礎(chǔ)知識、安全技術(shù)、安全標(biāo)準(zhǔn)、崗位操作規(guī)程、最新的工作流程、相關(guān)的安全責(zé)任要求、法律責(zé)任和懲戒措施等。. 總體安全方針與安全策略總體安全方針與安全策略是指導(dǎo)用戶方所有信息安全工作的綱領(lǐng)性文件，是信息安全決策機(jī)構(gòu)對信息安全工作的決策和意圖的表述。. 主機(jī)安全. 數(shù)據(jù)庫安全審計建議在二期部署數(shù)據(jù)庫審計系統(tǒng)，實(shí)現(xiàn)對用戶行為、用戶事件及系統(tǒng)狀態(tài)加以審計，范圍覆蓋到每個用戶，從而把握數(shù)據(jù)庫系統(tǒng)的整體安全。這些區(qū)域具有不同的使命，具有不同的功能，分域保護(hù)的框架為明確各個域的安全等級奠定了基礎(chǔ)，保證了信息流在交換過程中的安全性。依照GB/T250702010 信息系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求中對安全管理中心的要求，一個符合基于可信計算和主動防御的等級保護(hù)體系模型的安全管理中心應(yīng)至少包含以下三個部分：系統(tǒng)管理實(shí)現(xiàn)對系統(tǒng)資源和運(yùn)行的配置。. 業(yè)務(wù)系統(tǒng)說明學(xué)校本次參加整改的共有X個信息系統(tǒng)，分別是學(xué)校系統(tǒng)、學(xué)校系統(tǒng)、學(xué)校系統(tǒng)、學(xué)校系統(tǒng)，具體情況介紹如下：學(xué)校門戶網(wǎng)站系統(tǒng)：2012年門戶網(wǎng)站（網(wǎng)絡(luò)版）歷經(jīng)系統(tǒng)開發(fā)、模擬測試、網(wǎng)絡(luò)、硬件設(shè)備安裝部署，在試點(diǎn)和實(shí)施過程當(dāng)中發(fā)現(xiàn)系統(tǒng)仍有不足之處，需要對系統(tǒng)進(jìn)行深入完善和改進(jìn)，主要考慮到由于門戶網(wǎng)站（網(wǎng)絡(luò)版）作為學(xué)校集中部署的網(wǎng)絡(luò)化重要業(yè)務(wù)系統(tǒng)，其具有應(yīng)用面廣、用戶規(guī)模大，并涉及到學(xué)校對互聯(lián)網(wǎng)形象，以及基于公眾網(wǎng)上部署的特性，因此系統(tǒng)自身和運(yùn)行環(huán)境均存在一定的安全風(fēng)險，在數(shù)據(jù)傳輸、安全加密、網(wǎng)絡(luò)監(jiān)控、防入侵等方面的必須要建立一套更有效更完善的安全保護(hù)體系和措施。成立信息安全工作組，學(xué)校負(fù)責(zé)人為安全責(zé)任人，擬定實(shí)施信息系統(tǒng)安全等級保護(hù)的具體方案，并制定相應(yīng)的崗位責(zé)任制，確保信息安全等級保護(hù)工作順利實(shí)施。制定學(xué)校信息系統(tǒng)不中斷的應(yīng)急預(yù)案。. 主機(jī)安全需求分析主機(jī)防病毒：該信息系統(tǒng)缺少主機(jī)防病毒的相關(guān)安全策略，需要配置網(wǎng)絡(luò)版主機(jī)防病毒系統(tǒng)，從而實(shí)現(xiàn)對全網(wǎng)主機(jī)的惡意代碼防范。此外，安全管理中心應(yīng)做到技術(shù)與管理并重，加強(qiáng)在安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等方面的管理力度，規(guī)范安全管理操作規(guī)程，建立完善的安全管理制度集。因此，在互聯(lián)網(wǎng)出口域邊界部署下一代防火墻，在內(nèi)網(wǎng)服務(wù)器區(qū)域邊界部署WEB應(yīng)用防火墻。目前，學(xué)校使用數(shù)量眾多的網(wǎng)絡(luò)設(shè)備、服務(wù)器主機(jī)來提供基礎(chǔ)網(wǎng)絡(luò)服務(wù)、運(yùn)行關(guān)鍵業(yè)務(wù)、數(shù)據(jù)庫應(yīng)用、ERP和協(xié)同工作群件等服務(wù)。n 安全策略在經(jīng)過用戶方信息安全決策機(jī)構(gòu)批準(zhǔn)之后，將具備指導(dǎo)和規(guī)范信息安全工作的效力。對重要區(qū)域設(shè)置門禁控制手段，或使用視頻監(jiān)控等措施。識別需要定期備份的重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等，制定數(shù)據(jù)的備份策略和恢復(fù)策略，建立備份與恢復(fù)管理相關(guān)的安全管理制度。. 安全加固根據(jù)漏洞掃描、配置核查和滲透測試的結(jié)果，對用戶單位提供安全加固建議（包括主機(jī)安全加固、網(wǎng)絡(luò)設(shè)備安全加固服務(wù)、安全設(shè)備安全加固優(yōu)化服務(wù)、數(shù)據(jù)庫系統(tǒng)安全加固服務(wù)、管理制度完善），并對具體的安全加固提供指導(dǎo)咨詢。最終提交安全制度包括但不限于以下內(nèi)容：n 總體安全策略（組織、流程、策略、技術(shù)）n 崗位安全責(zé)任制度n 第三方安全管理制度n 系統(tǒng)日常安全管理工作制度n 系統(tǒng)安全評估管理辦法n 機(jī)房建設(shè)運(yùn)行標(biāo)準(zhǔn)n 安全區(qū)域劃分及管理規(guī)定n 管理信息區(qū)域網(wǎng)管制度n 系統(tǒng)建設(shè)管理制度n 設(shè)備入網(wǎng)安全管理制度n 系統(tǒng)軟件和補(bǔ)丁管理制度n 備份與恢復(fù)管理制度n 賬號和口令及權(quán)限管理制度n 介質(zhì)管理n 加密技術(shù)使用管理辦法n 應(yīng)急預(yù)案管理制度n 安全事件報告和處置管理制度n 安全審計管理7. 咨詢服務(wù)和系統(tǒng)測評. 系統(tǒng)定級服務(wù)協(xié)助用戶單位，依據(jù)《信息系統(tǒng)安全等級保護(hù)定級指南》，確定信息系統(tǒng)的安全保護(hù)等級，準(zhǔn)備定級備案表和定級報告，協(xié)助用戶單位向所在地區(qū)的公安機(jī)關(guān)辦理備案手續(xù)。 事件處置與應(yīng)急響應(yīng)制度按照國家有關(guān)標(biāo)準(zhǔn)規(guī)定，確定信息安全事件的等級。只有注重對安全管理人員的培養(yǎng)，提高其安全防范意識，才能做到安全有效的防范，因此需要對各類人員進(jìn)行安全意識教育、崗位技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn)。信息安全管理體系主要包括組織機(jī)構(gòu)、規(guī)章制度、人員安全、安全教育和培訓(xùn)等四個方面內(nèi)容。部署設(shè)計：日志審計系統(tǒng)旁路部署在核心交換上，實(shí)現(xiàn)全網(wǎng)的網(wǎng)絡(luò)行為的統(tǒng)一審計，收集網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)系統(tǒng)等設(shè)備的運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等日志信息，并對收集到的日志信息進(jìn)行分類和關(guān)聯(lián)分析，并可根據(jù)審計人員的操作要求生成統(tǒng)計報表，方便查詢和生成報告，為網(wǎng)絡(luò)事件追溯提供證據(jù)。. 總體網(wǎng)絡(luò)架構(gòu)設(shè)計學(xué)校網(wǎng)絡(luò)架構(gòu)整體設(shè)計如下：. 安全域劃分說明安全域的劃分是網(wǎng)絡(luò)防護(hù)的基礎(chǔ)，事實(shí)上每一個安全邊界所包含的區(qū)域都形成了一個安全域。整個體系模型如下圖所示：n 安全管理中心安全管理中心是整個等級保護(hù)體系中對信息系統(tǒng)進(jìn)行集中安全管理的平臺，是信息系統(tǒng)做到可測、可控、可管理的必要手段和措施。2. 系統(tǒng)現(xiàn)狀分析. 系統(tǒng)定級情況說明學(xué)校綜合考慮了學(xué)校信息系統(tǒng)、學(xué)校信息系統(tǒng)的業(yè)務(wù)信息和系統(tǒng)服務(wù)類型，以及其受到破壞時可能受到侵害的客體以及受侵害的程度，經(jīng)學(xué)校省公安廳的批準(zhǔn)，已將學(xué)校系統(tǒng)等級定為等級保護(hù)第二級（S2A2G2），整體網(wǎng)絡(luò)信息化平臺按照二級進(jìn)行建設(shè)。建立安全管理組織機(jī)構(gòu)。應(yīng)急預(yù)案是安全等級保護(hù)的重要組成部分，按可能出現(xiàn)問題的不同情形制定相應(yīng)的應(yīng)急措施，在系統(tǒng)出現(xiàn)故障和意外且無法短時間恢復(fù)的情況下能確保生產(chǎn)活動持續(xù)進(jìn)行。數(shù)據(jù)庫審計：該信息系統(tǒng)缺少針對數(shù)據(jù)的審計設(shè)備，不能很好的滿足主機(jī)安全審計的要求，需要部署專業(yè)的數(shù)據(jù)庫審計設(shè)備。n 安全計算環(huán)境參照基于可信計算和主動防御的等級保護(hù)模型，安全計算環(huán)境可劃分成節(jié)點(diǎn)和典型應(yīng)用兩個子系統(tǒng)。. 入侵防范技術(shù)根據(jù)等級保護(hù)基本要求，二級業(yè)務(wù)系統(tǒng)應(yīng)該在互聯(lián)網(wǎng)出口處實(shí)現(xiàn)入侵防范功能，因此，在互聯(lián)網(wǎng)出口的下一代防火墻上啟用入侵防御模塊非常有必要。由于設(shè)備和服務(wù)器眾多，系統(tǒng)管理員壓力太大等因素，越權(quán)訪問、誤操作、濫用、惡意破壞等情況時有發(fā)生，這嚴(yán)重影響信息系統(tǒng)的運(yùn)行效能，另外黑客的惡意訪問也有可能獲取系統(tǒng)權(quán)限，闖入部門內(nèi)部網(wǎng)絡(luò)，造成不可估量的損失。n 安全策略中將規(guī)定其自身的時效性，當(dāng)信息系統(tǒng)運(yùn)行環(huán)境發(fā)生重大變化時，我方將協(xié)助用戶方及時對總體安全策略進(jìn)行必要的調(diào)整，并將調(diào)整后的策略提交用戶方信息安全決策機(jī)構(gòu)批準(zhǔn)。資產(chǎn)包括介質(zhì)、設(shè)備、設(shè)施、數(shù)據(jù)、軟件、文檔等，資產(chǎn)管理不等同于設(shè)備物資管理，而是從安全和信息系統(tǒng)角度對資產(chǎn)進(jìn)行管理，將資產(chǎn)作為信息系統(tǒng)的組成部分，按其