【文章內(nèi)容簡介】 沒有超級用戶的特權(quán)，但同 樣應(yīng)受到保護(hù)，因?yàn)檫@些帳戶的系統(tǒng)進(jìn)程可以控制基本的系統(tǒng)功能，如電子郵件、關(guān)系數(shù)據(jù)庫訪問、打印等。這些管理帳戶內(nèi)的任何一個遭到攻擊，都可能導(dǎo)致相應(yīng) 子系統(tǒng)中的文件被大規(guī)模地暴露和損壞。例如， lp帳戶所受的破壞可能會造成攻擊者對打印子系統(tǒng)獲得完全控制，從而使黑客能夠任意地修改打印輸出的內(nèi)容。 ? 不必要的網(wǎng)絡(luò)服務(wù) 所謂不必要的網(wǎng)絡(luò)訪問服務(wù)是指實(shí)現(xiàn)主機(jī)系統(tǒng)網(wǎng)絡(luò)服務(wù)功能所不需要運(yùn)行的服務(wù)。對于Web主機(jī)而言，很多網(wǎng)絡(luò)訪問服務(wù)在操作系統(tǒng)安裝時就被缺省配置，其所對 應(yīng)的 TCP/UDP端口也對外打開，如非常危險的 finger服務(wù)和它對應(yīng)的 79號 TCP端口。通過對網(wǎng)站的端口掃描，可以發(fā)現(xiàn)很多系統(tǒng)管理員對外提供了 或多或少的不必要的網(wǎng)絡(luò)訪問服務(wù)。而從系統(tǒng)內(nèi)部審核不必要網(wǎng)絡(luò)訪問服務(wù)的方法是禁止不必要的網(wǎng)絡(luò)訪問服務(wù)的最有效手段之一。 、物理層面安全 、 等級保護(hù) 建設(shè)規(guī)范 參照 GB/T 222392021標(biāo)準(zhǔn) 要求，物理安全主要從 物理位置的選擇 、 物理訪問控制 、防盜竊防破壞 、 防雷擊 、 防火 、 防水和防潮 、 防靜電 、 溫濕度控制 、 電力供應(yīng) 、 電磁防護(hù)等十個方面進(jìn)行評測，以下為物理安全的要求 部分截取摘要 。 （ 1）、物理位置的選擇 本項(xiàng)要求包括： a) 機(jī)房和辦公場地應(yīng)選擇在具有防震、防風(fēng)和防雨等能力的建筑內(nèi)； b) 機(jī)房場地應(yīng)避免設(shè)在建筑物的高層或地下室，以及用水設(shè)備的下層或隔壁。 （ 2）、物理訪問控制 本項(xiàng)要求包括： a) 機(jī)房出入口應(yīng)安排專人值守，控制、鑒別和記錄進(jìn)入的人員； b) 需進(jìn)入機(jī)房的來訪人員應(yīng)經(jīng)過申請和審批流程，并限制和監(jiān)控其活動范圍； c) 應(yīng)對機(jī)房劃分區(qū)域進(jìn)行管理，區(qū)域和區(qū)域之間設(shè)置物理隔離裝置，在重要區(qū)域前設(shè)置交付或安 裝等過渡區(qū)域； d) 重要區(qū)域應(yīng)配置電子門禁系統(tǒng)，控制、鑒別和記錄進(jìn)入的人員。 （ 3）、防盜竊防破壞 本項(xiàng)要求包括： a) 應(yīng)將主要設(shè)備放置在機(jī)房內(nèi)； b) 應(yīng)將設(shè)備或主要部件進(jìn)行固定，并設(shè)置明顯的不易除去的標(biāo)記； c) 應(yīng)將通信線纜鋪設(shè)在隱蔽處，可鋪設(shè)在地下或管道中； d) 應(yīng)對介質(zhì)分類標(biāo)識，存儲在介質(zhì)庫或檔案室中； e) 應(yīng)利用光、電等技術(shù)設(shè)置機(jī)房防盜報警系統(tǒng)； f) 應(yīng)對機(jī)房設(shè)置監(jiān)控報警系統(tǒng)。 、 物理層 面臨安全風(fēng)險 、安全管理層面 、 等級保護(hù) 建設(shè)規(guī)范 ? 安全管理制度 按照國內(nèi)等級保護(hù)條例，目前等級保護(hù)一共分為 5個等級，每個等級參照 GB/T 222392021標(biāo)準(zhǔn)都有明確的要求，等級保護(hù)基本要求分為技術(shù)與管理兩大塊，管理部分分為安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)與管理及系統(tǒng)運(yùn)維管理，以下為安全管理制度要求 部分截取摘要 。 （ 1）、管理制度 本項(xiàng)要求包括： a) 應(yīng)制定信息安全工作的總體方針和安全策略，說明機(jī)構(gòu)安全工作的總體目標(biāo)、范圍、原則和安 全框架等； b) 應(yīng)對安全管理活動中的各類管理內(nèi)容建立安全管理制度； c) 應(yīng)對要求管理人員或操作人員執(zhí)行的日常管理操作建立操作規(guī)程； d) 應(yīng)形成由安全策略、管理制度、操作規(guī)程等構(gòu)成的全面的信息安全管理制度體系。 （ 2）、制定與發(fā)布 本項(xiàng)要求包括： a) 應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)安全管理制度的制定； b) 安全管理制度應(yīng)具有統(tǒng)一的格式，并進(jìn)行版本控制； c) 應(yīng)組織相關(guān)人員對制定的安 全管理制度進(jìn)行論證和審定； d) 安全管理制度應(yīng)通過正式、有效的方式發(fā)布； e) 安全管理制度應(yīng)注明發(fā)布范圍，并對收發(fā)文進(jìn)行登記。 （ 3）、評審與修訂 本項(xiàng)要求包括： a) 信息安全領(lǐng)導(dǎo)小組應(yīng)負(fù)責(zé)定期組織相關(guān)部門和相關(guān)人員對安全管理制度體系的合理性和適用 性進(jìn)行審定； b) 應(yīng)定期或不定期對安全管理制度進(jìn)行檢查和審定，對存在不足或需要改進(jìn)的安全管理制度進(jìn)行 修訂。 ? 安全管理機(jī)構(gòu) 按照國內(nèi)等級保護(hù)條例，目前等級保護(hù)一共分為 5個等級，每個等級參照 GB/T 222392021標(biāo)準(zhǔn)都有明確的要求，等級保護(hù)基本要求分為技術(shù)與管理兩大塊，管理部分分為安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)與管理及系統(tǒng)運(yùn)維管理，以下為安全管理機(jī)構(gòu)要求 部分截取摘要 。 （ 1）、崗位設(shè)置 本項(xiàng)要求包括： a) 應(yīng)設(shè)立信息安全管理工作的職能部門，設(shè)立安全主管、安全管理各個方面的負(fù)責(zé)人崗位，并定 義各負(fù)責(zé)人的職責(zé)； b) 應(yīng)設(shè)立系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等崗位，并定義各個工作崗位的職責(zé)； c) 應(yīng)成立指導(dǎo)和管理信息安全工作的委員會或領(lǐng)導(dǎo)小組，其最高領(lǐng)導(dǎo)由單位主管 領(lǐng)導(dǎo)委任或授 權(quán)； d) 應(yīng)制定文件明確安全管理機(jī)構(gòu)各個部門和崗位的職責(zé)、分工和技能要求。 （ 2）、人員配備 本項(xiàng)要求包括： a) 應(yīng)配備一定數(shù)量的系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等； b) 應(yīng)配備專職安全管理員，不可兼任； c) 關(guān)鍵事務(wù)崗位應(yīng)配備多人共同管理。 、管理過程存在 的 問題 ? 1．制度建設(shè)方面對介質(zhì)管理、日常檢查管理規(guī)范還存在不足，需要進(jìn)一步完善。直屬單位對應(yīng)急預(yù)案演練管理不到位。 ? 2．運(yùn)維安全。一是賬號及密碼管理策略落實(shí)不到位，服務(wù)器、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備和安全設(shè)備等均不同程度存在賬號訪問控制不嚴(yán)、未實(shí)現(xiàn)權(quán)限分離、使用默認(rèn)賬號、口令簡單和未定期更換等現(xiàn)象。二是對外包運(yùn)維廠商的監(jiān)管力度和手段不足，外包運(yùn)維廠商在對系統(tǒng)進(jìn)行操作時存在未嚴(yán)格遵守相關(guān)規(guī)章制度情況。三是 CA數(shù)字證書應(yīng)用不廣，對登錄用戶身份鑒別措施簡單無法保證信息傳輸保密性。四是流程建設(shè)滯后、痕跡化要求不到位，機(jī)房出入記錄不完整，存在記錄缺失情況。五是部分主機(jī)未做好運(yùn)行狀態(tài)監(jiān)控。 ? 3．系統(tǒng)建設(shè)。軟件開發(fā)項(xiàng)目建設(shè)過程控制不足，應(yīng)用系統(tǒng) 上線前未進(jìn)行第三方安全測試，無法降低系統(tǒng)因設(shè)計缺陷導(dǎo)致的安全風(fēng)險。 、建設(shè)目標(biāo)與意義 本項(xiàng)目首先通過對信息資產(chǎn)并進(jìn)行全面風(fēng)險評估，了解 xx數(shù)字環(huán)保與數(shù)字能源平臺 信息系統(tǒng)的基本安全現(xiàn)狀，發(fā)現(xiàn)系統(tǒng)的安全問題及其可能的危害，為做好業(yè)務(wù)系統(tǒng)的安全加固和維護(hù)工作做好基礎(chǔ)準(zhǔn)備；分析網(wǎng)絡(luò)信息系統(tǒng)的安全需求，找出目前的安全策略和實(shí)際需求的差距，為 xx數(shù)字環(huán)保與數(shù)字能源平臺 選擇正確的安全解決方案、確定有效的安全措施、選擇可靠的安全產(chǎn)品提供充分的依據(jù)；構(gòu)建全面的信息安全管理體系（ ISMS），制定嚴(yán)謹(jǐn)?shù)木W(wǎng)絡(luò)安全策略和安全基線，為建立全面的安全防護(hù)層次提供一套完整、規(guī)范的指導(dǎo)模型。同時，對安全運(yùn)維和日常安全事件的管理起到協(xié)助和指導(dǎo)的作用。 二、 系統(tǒng)設(shè)計思路與原則 、建設(shè)思路 PDCA循環(huán)是 信息安全工作中的一個重要模型，它是 全 面信息安全管理 所應(yīng)遵循的科學(xué)程序。全 面信息安全管理活動的全部過程，就是信 息安全計劃的制訂和組織實(shí)現(xiàn)的過程，這 個過程就是按照 PDCA循環(huán)，不停頓地周而 復(fù)始地運(yùn)轉(zhuǎn)。 PDCA循環(huán)是 能使任何一項(xiàng)活動有效進(jìn)行的一種合乎 邏輯的工作程序，特別是在信息安全管理 中得到了廣泛的應(yīng)用。 P、D、 C、 A四個英文 字母所代表的意義如下： P（ Plan） —— 計劃。包括方針和目標(biāo)的確定以及活動計劃的制定； D（ DO） —— 執(zhí)行。執(zhí)行就是具體運(yùn)作，實(shí)現(xiàn)計劃中的內(nèi)容； C（ Check） —— 檢查。就是要總結(jié)執(zhí)行計劃的結(jié)果，分清哪些對了， 哪些錯了，明確效果，找出問題； A（ Action） —— 行動（或處理）。對總結(jié)檢查的結(jié)果進(jìn)行處理，成功的經(jīng)驗(yàn)加以肯定，并予以制定固定方法，便于以后工作時遵循；對于失敗的教訓(xùn)也要總結(jié)，以免重現(xiàn)。對于沒有解決的問題，應(yīng)提給下一個 PDCA循環(huán)中去解決。 PDCA循環(huán)就是按照這樣的順序進(jìn)行信息安全管理，并且循環(huán)不止地進(jìn)行下去的科學(xué)程序。 全面信息安全管理活動的運(yùn)轉(zhuǎn)，離不開管理循環(huán)的轉(zhuǎn)動，這就是說，改進(jìn)與解決信息安全問題，趕超先進(jìn)水平的各項(xiàng)工作，都要運(yùn)用 PDCA循環(huán)的科學(xué)程序。提高信息安全管理水平，需要先提出目 標(biāo)，即信息安全提高到什么程度，要有個計劃；這個計劃不僅包括目標(biāo)，而且也包括實(shí)現(xiàn)這個目標(biāo)需要采取的措施；計劃制定之后，就要按照計劃進(jìn)行檢查，看是否達(dá)實(shí)現(xiàn)了預(yù)期效果，有沒有達(dá)到預(yù)期的目標(biāo)；通過檢查找出問題和原因；最后就要進(jìn)行處理，將經(jīng)驗(yàn)和教訓(xùn)制訂成標(biāo)準(zhǔn)、形成制度。 、建設(shè)原則 ? 標(biāo)準(zhǔn)性原則 整個信息安全項(xiàng)目建設(shè)過程遵循國際和國內(nèi)的多項(xiàng)標(biāo)準(zhǔn)，包括 ISO27001， ISO13335，ISO15408/GB18336， SSECMM， SP 80030， CVE， PMI項(xiàng)目管理規(guī)范，《信息安全等級保護(hù)管理辦法》等； ? 行業(yè)性原則 財政部、國家發(fā)改委《關(guān)于 xx市節(jié)能減排財政政策綜合示范實(shí)施方案的批復(fù)》（財建〔 2021〕 32號） 《關(guān)于開展節(jié)能減排財政政策綜合示范工作的通知》（財建〔 2021〕 383號） 《 xx市國民經(jīng)濟(jì)和社會發(fā)展第十二個五年規(guī)劃綱要》（ 2021年 1月 26日， xx市第七屆人民代表大會第八次會議通過） 《關(guān)于加快推進(jìn)智慧 xx建設(shè)的意見》（余發(fā)〔 2021〕 31號） 《 xx市?十二五?節(jié)能減排綜合性工作方案》（余府發(fā)〔 2021〕 6號） ? 規(guī)范性原則 在服務(wù)工作中的過程和文檔，嚴(yán)格遵循 深信服 的內(nèi)部規(guī)范：《 深信服 安全服務(wù)項(xiàng)目管理規(guī)范》、《 深信服 信息安全服務(wù)規(guī)范》； ? 可控性原則 進(jìn)行項(xiàng)目實(shí)施時， 深信服 公司將從用戶信譽(yù)、成功經(jīng)驗(yàn)、人員水平、工具可控性、項(xiàng)目過程可控性多個角度保證整個項(xiàng)目過程和結(jié)果的可控性； ? 整體性原則 項(xiàng)目實(shí)施中，深信服公司將從國際標(biāo)準(zhǔn)、深信服規(guī)范、 BDH需求分析和深信服長期的實(shí)施經(jīng)驗(yàn)等多個角度保證整體全面，包括安全涉及的各個層面，避免遺漏； ? 最小影響原則 深信服會從項(xiàng)目管理層面和工具技術(shù)層面，將可能影響降低到最低限度，包括安全服務(wù)設(shè)計藍(lán)圖、資產(chǎn)單元風(fēng)險規(guī)避的個性化、工具最小影響措施，以及和客戶充分的溝 通機(jī)制； 三、 系統(tǒng)建設(shè)內(nèi)容 、資產(chǎn)風(fēng)險評估 風(fēng)險評估模塊 策略智能聯(lián)動 深信服 NGAF支持風(fēng)險評估模塊，可以主動探測目標(biāo) IP，進(jìn)行端口、服務(wù)掃描，及時發(fā)現(xiàn)業(yè)務(wù)風(fēng)險；例如， ftp、 mysql、 oracle、 mssql、 ssh、 RDP、網(wǎng)上鄰居 NetBIOS、VNC等多種應(yīng)用的弱口令及溢出漏洞； sql注入、 XSS跨站腳本、目錄遍歷、敏感信息泄露、命令執(zhí)行等應(yīng)用層安全漏洞。風(fēng)險評估結(jié)果可實(shí)現(xiàn)與 IPS、服務(wù)器防護(hù)模塊的智能聯(lián)動，自動生成策略，讓 APT防護(hù)更加高效全面。 、 風(fēng)險處置加固 、威脅 性 處置加固 、惡意網(wǎng)址過濾 NGAF同步 Google每日可發(fā)現(xiàn) 9500個新的惡意網(wǎng)址 深信服 NGAF內(nèi)置了龐大的惡意網(wǎng)址庫，并且實(shí)時更新，當(dāng)內(nèi)網(wǎng)用戶訪問惡意網(wǎng)站，將被提前告知，并實(shí)時預(yù)警攔截，讓?好奇害死貓?流血信息安全事件不再重演。 、病毒檢測防范 深信服 NGAF防病毒采用先進(jìn)流引擎查毒技術(shù)，針對HTTP、 FTP、 SMTP、 POP3等協(xié)議進(jìn)行查殺；能實(shí)時查殺大量文件型、網(wǎng)絡(luò)型和混合型等各類病毒；并采用新一代虛擬脫殼和行為判斷技術(shù)，準(zhǔn)確查殺各種變種病毒、未知病毒；內(nèi)置 10萬條以上的病毒庫，并且可以自動或者手動升級。 、僵尸網(wǎng)絡(luò)隔離 深信服 NGAF融合了僵尸網(wǎng)絡(luò)識別庫，利用業(yè)界領(lǐng)先的僵尸網(wǎng)絡(luò)識別檢測技術(shù)對黑客的攻擊行為進(jìn)行有效識別，針對以反彈式木馬為代表的惡意軟件進(jìn)行深度防護(hù)，目前有 15萬條規(guī)則，并實(shí)時予以更新。同時，深信服 NGAF正在完善安全云平臺，部署在全球各地的深信服下一代防火墻設(shè)備可以自動或手動上傳可疑的應(yīng)用流量到安全云平臺，平臺會自動分析，形成新的惡意軟件識別策略下發(fā)到全球所有設(shè)備的規(guī)則庫上。 、 DLP數(shù)據(jù)防泄漏 深信服 NGAF內(nèi)置常見敏感信息的特征庫，如身份證、 MD手機(jī)號碼、銀行卡號、郵箱等，且可以靈活根據(jù)敏感信息特征自定義策略規(guī)則；支持 響應(yīng)報文中非法敏感信息的外泄檢測；支持?jǐn)?shù)據(jù)庫文件敏感信息檢測，防止數(shù)據(jù)庫文件被?拖庫?、?暴庫?。 、防止非授權(quán)訪問 在 黑客攻擊 滲透過程中，利用肉雞對攻擊目標(biāo)進(jìn)行賬戶 /口令暴力猜解或者數(shù)據(jù)監(jiān)聽，獲取合法賬戶 /口令后可以繞過一切安全防護(hù)設(shè)備進(jìn)行合法登陸，這些都是 黑客攻擊 過程中的慣用思路，深信服 NGAF提供用戶登錄防護(hù)功能，對 WEB登陸方式、非 WEB登陸方式 (tel、 irc、 ldap、 mysql、 pop RDP等 )進(jìn)行強(qiáng)化保護(hù)，提供登陸前短信動態(tài)口令認(rèn)證功能，黑客即使成功獲取管理員賬戶口令，因無法獲取動態(tài)驗(yàn)證口令，也無法完成對目標(biāo)系統(tǒng)的訪問，從而杜絕賬戶盜用、非授權(quán)訪問等風(fēng)險。 、 無線熱點(diǎn)發(fā)現(xiàn) 發(fā)現(xiàn)并過濾內(nèi)網(wǎng)中的非法無線熱點(diǎn)和非法移動終端，禁止無線熱點(diǎn)共享上網(wǎng)，造成管理漏洞。 、細(xì)粒度網(wǎng)絡(luò)審計 用戶、 IP地址、鏈接、網(wǎng)站類別、時間、網(wǎng)頁標(biāo)題，并支持網(wǎng)頁快照，網(wǎng)頁內(nèi)容直觀顯示 、遠(yuǎn)程訪問傳輸加密 、脆弱性處置加固 、網(wǎng)絡(luò)設(shè)備安全配置基線 編號： 安全要求 設(shè)備 通用 配置 可選