【文章內(nèi)容簡(jiǎn)介】 沒(méi)有超級(jí)用戶的特權(quán)，但同 樣應(yīng)受到保護(hù)，因?yàn)檫@些帳戶的系統(tǒng)進(jìn)程可以控制基本的系統(tǒng)功能，如電子郵件、關(guān)系數(shù)據(jù)庫(kù)訪問(wèn)、打印等。這些管理帳戶內(nèi)的任何一個(gè)遭到攻擊，都可能導(dǎo)致相應(yīng) 子系統(tǒng)中的文件被大規(guī)模地暴露和損壞。例如， lp帳戶所受的破壞可能會(huì)造成攻擊者對(duì)打印子系統(tǒng)獲得完全控制，從而使黑客能夠任意地修改打印輸出的內(nèi)容。 ? 不必要的網(wǎng)絡(luò)服務(wù) 所謂不必要的網(wǎng)絡(luò)訪問(wèn)服務(wù)是指實(shí)現(xiàn)主機(jī)系統(tǒng)網(wǎng)絡(luò)服務(wù)功能所不需要運(yùn)行的服務(wù)。對(duì)于Web主機(jī)而言，很多網(wǎng)絡(luò)訪問(wèn)服務(wù)在操作系統(tǒng)安裝時(shí)就被缺省配置，其所對(duì) 應(yīng)的 TCP/UDP端口也對(duì)外打開(kāi)，如非常危險(xiǎn)的 finger服務(wù)和它對(duì)應(yīng)的 79號(hào) TCP端口。通過(guò)對(duì)網(wǎng)站的端口掃描，可以發(fā)現(xiàn)很多系統(tǒng)管理員對(duì)外提供了 或多或少的不必要的網(wǎng)絡(luò)訪問(wèn)服務(wù)。而從系統(tǒng)內(nèi)部審核不必要網(wǎng)絡(luò)訪問(wèn)服務(wù)的方法是禁止不必要的網(wǎng)絡(luò)訪問(wèn)服務(wù)的最有效手段之一。 、物理層面安全 、 等級(jí)保護(hù) 建設(shè)規(guī)范 參照 GB/T 222392021標(biāo)準(zhǔn) 要求，物理安全主要從 物理位置的選擇 、 物理訪問(wèn)控制 、防盜竊防破壞 、 防雷擊 、 防火 、 防水和防潮 、 防靜電 、 溫濕度控制 、 電力供應(yīng) 、 電磁防護(hù)等十個(gè)方面進(jìn)行評(píng)測(cè)，以下為物理安全的要求 部分截取摘要 。 （ 1）、物理位置的選擇 本項(xiàng)要求包括： a) 機(jī)房和辦公場(chǎng)地應(yīng)選擇在具有防震、防風(fēng)和防雨等能力的建筑內(nèi)； b) 機(jī)房場(chǎng)地應(yīng)避免設(shè)在建筑物的高層或地下室，以及用水設(shè)備的下層或隔壁。 （ 2）、物理訪問(wèn)控制 本項(xiàng)要求包括： a) 機(jī)房出入口應(yīng)安排專(zhuān)人值守，控制、鑒別和記錄進(jìn)入的人員； b) 需進(jìn)入機(jī)房的來(lái)訪人員應(yīng)經(jīng)過(guò)申請(qǐng)和審批流程，并限制和監(jiān)控其活動(dòng)范圍； c) 應(yīng)對(duì)機(jī)房劃分區(qū)域進(jìn)行管理，區(qū)域和區(qū)域之間設(shè)置物理隔離裝置，在重要區(qū)域前設(shè)置交付或安 裝等過(guò)渡區(qū)域； d) 重要區(qū)域應(yīng)配置電子門(mén)禁系統(tǒng)，控制、鑒別和記錄進(jìn)入的人員。 （ 3）、防盜竊防破壞 本項(xiàng)要求包括： a) 應(yīng)將主要設(shè)備放置在機(jī)房?jī)?nèi)； b) 應(yīng)將設(shè)備或主要部件進(jìn)行固定，并設(shè)置明顯的不易除去的標(biāo)記； c) 應(yīng)將通信線纜鋪設(shè)在隱蔽處，可鋪設(shè)在地下或管道中； d) 應(yīng)對(duì)介質(zhì)分類(lèi)標(biāo)識(shí)，存儲(chǔ)在介質(zhì)庫(kù)或檔案室中； e) 應(yīng)利用光、電等技術(shù)設(shè)置機(jī)房防盜報(bào)警系統(tǒng)； f) 應(yīng)對(duì)機(jī)房設(shè)置監(jiān)控報(bào)警系統(tǒng)。 、 物理層 面臨安全風(fēng)險(xiǎn) 、安全管理層面 、 等級(jí)保護(hù) 建設(shè)規(guī)范 ? 安全管理制度 按照國(guó)內(nèi)等級(jí)保護(hù)條例，目前等級(jí)保護(hù)一共分為 5個(gè)等級(jí)，每個(gè)等級(jí)參照 GB/T 222392021標(biāo)準(zhǔn)都有明確的要求，等級(jí)保護(hù)基本要求分為技術(shù)與管理兩大塊，管理部分分為安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)與管理及系統(tǒng)運(yùn)維管理，以下為安全管理制度要求 部分截取摘要 。 （ 1）、管理制度 本項(xiàng)要求包括： a) 應(yīng)制定信息安全工作的總體方針和安全策略，說(shuō)明機(jī)構(gòu)安全工作的總體目標(biāo)、范圍、原則和安 全框架等； b) 應(yīng)對(duì)安全管理活動(dòng)中的各類(lèi)管理內(nèi)容建立安全管理制度； c) 應(yīng)對(duì)要求管理人員或操作人員執(zhí)行的日常管理操作建立操作規(guī)程； d) 應(yīng)形成由安全策略、管理制度、操作規(guī)程等構(gòu)成的全面的信息安全管理制度體系。 （ 2）、制定與發(fā)布 本項(xiàng)要求包括： a) 應(yīng)指定或授權(quán)專(zhuān)門(mén)的部門(mén)或人員負(fù)責(zé)安全管理制度的制定； b) 安全管理制度應(yīng)具有統(tǒng)一的格式，并進(jìn)行版本控制； c) 應(yīng)組織相關(guān)人員對(duì)制定的安 全管理制度進(jìn)行論證和審定； d) 安全管理制度應(yīng)通過(guò)正式、有效的方式發(fā)布； e) 安全管理制度應(yīng)注明發(fā)布范圍，并對(duì)收發(fā)文進(jìn)行登記。 （ 3）、評(píng)審與修訂 本項(xiàng)要求包括： a) 信息安全領(lǐng)導(dǎo)小組應(yīng)負(fù)責(zé)定期組織相關(guān)部門(mén)和相關(guān)人員對(duì)安全管理制度體系的合理性和適用 性進(jìn)行審定； b) 應(yīng)定期或不定期對(duì)安全管理制度進(jìn)行檢查和審定，對(duì)存在不足或需要改進(jìn)的安全管理制度進(jìn)行 修訂。 ? 安全管理機(jī)構(gòu) 按照國(guó)內(nèi)等級(jí)保護(hù)條例，目前等級(jí)保護(hù)一共分為 5個(gè)等級(jí)，每個(gè)等級(jí)參照 GB/T 222392021標(biāo)準(zhǔn)都有明確的要求，等級(jí)保護(hù)基本要求分為技術(shù)與管理兩大塊，管理部分分為安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)與管理及系統(tǒng)運(yùn)維管理，以下為安全管理機(jī)構(gòu)要求 部分截取摘要 。 （ 1）、崗位設(shè)置 本項(xiàng)要求包括： a) 應(yīng)設(shè)立信息安全管理工作的職能部門(mén)，設(shè)立安全主管、安全管理各個(gè)方面的負(fù)責(zé)人崗位，并定 義各負(fù)責(zé)人的職責(zé)； b) 應(yīng)設(shè)立系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等崗位，并定義各個(gè)工作崗位的職責(zé)； c) 應(yīng)成立指導(dǎo)和管理信息安全工作的委員會(huì)或領(lǐng)導(dǎo)小組，其最高領(lǐng)導(dǎo)由單位主管 領(lǐng)導(dǎo)委任或授 權(quán)； d) 應(yīng)制定文件明確安全管理機(jī)構(gòu)各個(gè)部門(mén)和崗位的職責(zé)、分工和技能要求。 （ 2）、人員配備 本項(xiàng)要求包括： a) 應(yīng)配備一定數(shù)量的系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等； b) 應(yīng)配備專(zhuān)職安全管理員，不可兼任； c) 關(guān)鍵事務(wù)崗位應(yīng)配備多人共同管理。 、管理過(guò)程存在 的 問(wèn)題 ? 1．制度建設(shè)方面對(duì)介質(zhì)管理、日常檢查管理規(guī)范還存在不足，需要進(jìn)一步完善。直屬單位對(duì)應(yīng)急預(yù)案演練管理不到位。 ? 2．運(yùn)維安全。一是賬號(hào)及密碼管理策略落實(shí)不到位，服務(wù)器、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備和安全設(shè)備等均不同程度存在賬號(hào)訪問(wèn)控制不嚴(yán)、未實(shí)現(xiàn)權(quán)限分離、使用默認(rèn)賬號(hào)、口令簡(jiǎn)單和未定期更換等現(xiàn)象。二是對(duì)外包運(yùn)維廠商的監(jiān)管力度和手段不足，外包運(yùn)維廠商在對(duì)系統(tǒng)進(jìn)行操作時(shí)存在未嚴(yán)格遵守相關(guān)規(guī)章制度情況。三是 CA數(shù)字證書(shū)應(yīng)用不廣，對(duì)登錄用戶身份鑒別措施簡(jiǎn)單無(wú)法保證信息傳輸保密性。四是流程建設(shè)滯后、痕跡化要求不到位，機(jī)房出入記錄不完整，存在記錄缺失情況。五是部分主機(jī)未做好運(yùn)行狀態(tài)監(jiān)控。 ? 3．系統(tǒng)建設(shè)。軟件開(kāi)發(fā)項(xiàng)目建設(shè)過(guò)程控制不足，應(yīng)用系統(tǒng) 上線前未進(jìn)行第三方安全測(cè)試，無(wú)法降低系統(tǒng)因設(shè)計(jì)缺陷導(dǎo)致的安全風(fēng)險(xiǎn)。 、建設(shè)目標(biāo)與意義 本項(xiàng)目首先通過(guò)對(duì)信息資產(chǎn)并進(jìn)行全面風(fēng)險(xiǎn)評(píng)估，了解 xx數(shù)字環(huán)保與數(shù)字能源平臺(tái) 信息系統(tǒng)的基本安全現(xiàn)狀，發(fā)現(xiàn)系統(tǒng)的安全問(wèn)題及其可能的危害，為做好業(yè)務(wù)系統(tǒng)的安全加固和維護(hù)工作做好基礎(chǔ)準(zhǔn)備；分析網(wǎng)絡(luò)信息系統(tǒng)的安全需求，找出目前的安全策略和實(shí)際需求的差距，為 xx數(shù)字環(huán)保與數(shù)字能源平臺(tái) 選擇正確的安全解決方案、確定有效的安全措施、選擇可靠的安全產(chǎn)品提供充分的依據(jù)；構(gòu)建全面的信息安全管理體系（ ISMS），制定嚴(yán)謹(jǐn)?shù)木W(wǎng)絡(luò)安全策略和安全基線，為建立全面的安全防護(hù)層次提供一套完整、規(guī)范的指導(dǎo)模型。同時(shí)，對(duì)安全運(yùn)維和日常安全事件的管理起到協(xié)助和指導(dǎo)的作用。 二、 系統(tǒng)設(shè)計(jì)思路與原則 、建設(shè)思路 PDCA循環(huán)是 信息安全工作中的一個(gè)重要模型，它是 全 面信息安全管理 所應(yīng)遵循的科學(xué)程序。全 面信息安全管理活動(dòng)的全部過(guò)程，就是信 息安全計(jì)劃的制訂和組織實(shí)現(xiàn)的過(guò)程，這 個(gè)過(guò)程就是按照 PDCA循環(huán)，不停頓地周而 復(fù)始地運(yùn)轉(zhuǎn)。 PDCA循環(huán)是 能使任何一項(xiàng)活動(dòng)有效進(jìn)行的一種合乎 邏輯的工作程序，特別是在信息安全管理 中得到了廣泛的應(yīng)用。 P、D、 C、 A四個(gè)英文 字母所代表的意義如下： P（ Plan） —— 計(jì)劃。包括方針和目標(biāo)的確定以及活動(dòng)計(jì)劃的制定； D（ DO） —— 執(zhí)行。執(zhí)行就是具體運(yùn)作，實(shí)現(xiàn)計(jì)劃中的內(nèi)容； C（ Check） —— 檢查。就是要總結(jié)執(zhí)行計(jì)劃的結(jié)果，分清哪些對(duì)了， 哪些錯(cuò)了，明確效果，找出問(wèn)題； A（ Action） —— 行動(dòng)（或處理）。對(duì)總結(jié)檢查的結(jié)果進(jìn)行處理，成功的經(jīng)驗(yàn)加以肯定，并予以制定固定方法，便于以后工作時(shí)遵循；對(duì)于失敗的教訓(xùn)也要總結(jié)，以免重現(xiàn)。對(duì)于沒(méi)有解決的問(wèn)題，應(yīng)提給下一個(gè) PDCA循環(huán)中去解決。 PDCA循環(huán)就是按照這樣的順序進(jìn)行信息安全管理，并且循環(huán)不止地進(jìn)行下去的科學(xué)程序。 全面信息安全管理活動(dòng)的運(yùn)轉(zhuǎn)，離不開(kāi)管理循環(huán)的轉(zhuǎn)動(dòng)，這就是說(shuō)，改進(jìn)與解決信息安全問(wèn)題，趕超先進(jìn)水平的各項(xiàng)工作，都要運(yùn)用 PDCA循環(huán)的科學(xué)程序。提高信息安全管理水平，需要先提出目 標(biāo)，即信息安全提高到什么程度，要有個(gè)計(jì)劃；這個(gè)計(jì)劃不僅包括目標(biāo)，而且也包括實(shí)現(xiàn)這個(gè)目標(biāo)需要采取的措施；計(jì)劃制定之后，就要按照計(jì)劃進(jìn)行檢查，看是否達(dá)實(shí)現(xiàn)了預(yù)期效果，有沒(méi)有達(dá)到預(yù)期的目標(biāo)；通過(guò)檢查找出問(wèn)題和原因；最后就要進(jìn)行處理，將經(jīng)驗(yàn)和教訓(xùn)制訂成標(biāo)準(zhǔn)、形成制度。 、建設(shè)原則 ? 標(biāo)準(zhǔn)性原則 整個(gè)信息安全項(xiàng)目建設(shè)過(guò)程遵循國(guó)際和國(guó)內(nèi)的多項(xiàng)標(biāo)準(zhǔn)，包括 ISO27001， ISO13335，ISO15408/GB18336， SSECMM， SP 80030， CVE， PMI項(xiàng)目管理規(guī)范，《信息安全等級(jí)保護(hù)管理辦法》等； ? 行業(yè)性原則 財(cái)政部、國(guó)家發(fā)改委《關(guān)于 xx市節(jié)能減排財(cái)政政策綜合示范實(shí)施方案的批復(fù)》（財(cái)建〔 2021〕 32號(hào)） 《關(guān)于開(kāi)展節(jié)能減排財(cái)政政策綜合示范工作的通知》（財(cái)建〔 2021〕 383號(hào)） 《 xx市國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展第十二個(gè)五年規(guī)劃綱要》（ 2021年 1月 26日， xx市第七屆人民代表大會(huì)第八次會(huì)議通過(guò)） 《關(guān)于加快推進(jìn)智慧 xx建設(shè)的意見(jiàn)》（余發(fā)〔 2021〕 31號(hào)） 《 xx市?十二五?節(jié)能減排綜合性工作方案》（余府發(fā)〔 2021〕 6號(hào)） ? 規(guī)范性原則 在服務(wù)工作中的過(guò)程和文檔，嚴(yán)格遵循 深信服 的內(nèi)部規(guī)范：《 深信服 安全服務(wù)項(xiàng)目管理規(guī)范》、《 深信服 信息安全服務(wù)規(guī)范》； ? 可控性原則 進(jìn)行項(xiàng)目實(shí)施時(shí)， 深信服 公司將從用戶信譽(yù)、成功經(jīng)驗(yàn)、人員水平、工具可控性、項(xiàng)目過(guò)程可控性多個(gè)角度保證整個(gè)項(xiàng)目過(guò)程和結(jié)果的可控性； ? 整體性原則 項(xiàng)目實(shí)施中，深信服公司將從國(guó)際標(biāo)準(zhǔn)、深信服規(guī)范、 BDH需求分析和深信服長(zhǎng)期的實(shí)施經(jīng)驗(yàn)等多個(gè)角度保證整體全面，包括安全涉及的各個(gè)層面，避免遺漏； ? 最小影響原則 深信服會(huì)從項(xiàng)目管理層面和工具技術(shù)層面，將可能影響降低到最低限度，包括安全服務(wù)設(shè)計(jì)藍(lán)圖、資產(chǎn)單元風(fēng)險(xiǎn)規(guī)避的個(gè)性化、工具最小影響措施，以及和客戶充分的溝 通機(jī)制； 三、 系統(tǒng)建設(shè)內(nèi)容 、資產(chǎn)風(fēng)險(xiǎn)評(píng)估 風(fēng)險(xiǎn)評(píng)估模塊 策略智能聯(lián)動(dòng) 深信服 NGAF支持風(fēng)險(xiǎn)評(píng)估模塊，可以主動(dòng)探測(cè)目標(biāo) IP，進(jìn)行端口、服務(wù)掃描，及時(shí)發(fā)現(xiàn)業(yè)務(wù)風(fēng)險(xiǎn)；例如， ftp、 mysql、 oracle、 mssql、 ssh、 RDP、網(wǎng)上鄰居 NetBIOS、VNC等多種應(yīng)用的弱口令及溢出漏洞； sql注入、 XSS跨站腳本、目錄遍歷、敏感信息泄露、命令執(zhí)行等應(yīng)用層安全漏洞。風(fēng)險(xiǎn)評(píng)估結(jié)果可實(shí)現(xiàn)與 IPS、服務(wù)器防護(hù)模塊的智能聯(lián)動(dòng)，自動(dòng)生成策略，讓 APT防護(hù)更加高效全面。 、 風(fēng)險(xiǎn)處置加固 、威脅 性 處置加固 、惡意網(wǎng)址過(guò)濾 NGAF同步 Google每日可發(fā)現(xiàn) 9500個(gè)新的惡意網(wǎng)址 深信服 NGAF內(nèi)置了龐大的惡意網(wǎng)址庫(kù)，并且實(shí)時(shí)更新，當(dāng)內(nèi)網(wǎng)用戶訪問(wèn)惡意網(wǎng)站，將被提前告知，并實(shí)時(shí)預(yù)警攔截，讓?好奇害死貓?流血信息安全事件不再重演。 、病毒檢測(cè)防范 深信服 NGAF防病毒采用先進(jìn)流引擎查毒技術(shù)，針對(duì)HTTP、 FTP、 SMTP、 POP3等協(xié)議進(jìn)行查殺；能實(shí)時(shí)查殺大量文件型、網(wǎng)絡(luò)型和混合型等各類(lèi)病毒；并采用新一代虛擬脫殼和行為判斷技術(shù)，準(zhǔn)確查殺各種變種病毒、未知病毒；內(nèi)置 10萬(wàn)條以上的病毒庫(kù)，并且可以自動(dòng)或者手動(dòng)升級(jí)。 、僵尸網(wǎng)絡(luò)隔離 深信服 NGAF融合了僵尸網(wǎng)絡(luò)識(shí)別庫(kù)，利用業(yè)界領(lǐng)先的僵尸網(wǎng)絡(luò)識(shí)別檢測(cè)技術(shù)對(duì)黑客的攻擊行為進(jìn)行有效識(shí)別，針對(duì)以反彈式木馬為代表的惡意軟件進(jìn)行深度防護(hù)，目前有 15萬(wàn)條規(guī)則，并實(shí)時(shí)予以更新。同時(shí)，深信服 NGAF正在完善安全云平臺(tái)，部署在全球各地的深信服下一代防火墻設(shè)備可以自動(dòng)或手動(dòng)上傳可疑的應(yīng)用流量到安全云平臺(tái)，平臺(tái)會(huì)自動(dòng)分析，形成新的惡意軟件識(shí)別策略下發(fā)到全球所有設(shè)備的規(guī)則庫(kù)上。 、 DLP數(shù)據(jù)防泄漏 深信服 NGAF內(nèi)置常見(jiàn)敏感信息的特征庫(kù)，如身份證、 MD手機(jī)號(hào)碼、銀行卡號(hào)、郵箱等，且可以靈活根據(jù)敏感信息特征自定義策略規(guī)則；支持 響應(yīng)報(bào)文中非法敏感信息的外泄檢測(cè)；支持?jǐn)?shù)據(jù)庫(kù)文件敏感信息檢測(cè)，防止數(shù)據(jù)庫(kù)文件被?拖庫(kù)?、?暴庫(kù)?。 、防止非授權(quán)訪問(wèn) 在 黑客攻擊 滲透過(guò)程中，利用肉雞對(duì)攻擊目標(biāo)進(jìn)行賬戶 /口令暴力猜解或者數(shù)據(jù)監(jiān)聽(tīng)，獲取合法賬戶 /口令后可以繞過(guò)一切安全防護(hù)設(shè)備進(jìn)行合法登陸，這些都是 黑客攻擊 過(guò)程中的慣用思路，深信服 NGAF提供用戶登錄防護(hù)功能，對(duì) WEB登陸方式、非 WEB登陸方式 (tel、 irc、 ldap、 mysql、 pop RDP等 )進(jìn)行強(qiáng)化保護(hù)，提供登陸前短信動(dòng)態(tài)口令認(rèn)證功能，黑客即使成功獲取管理員賬戶口令，因無(wú)法獲取動(dòng)態(tài)驗(yàn)證口令，也無(wú)法完成對(duì)目標(biāo)系統(tǒng)的訪問(wèn)，從而杜絕賬戶盜用、非授權(quán)訪問(wèn)等風(fēng)險(xiǎn)。 、 無(wú)線熱點(diǎn)發(fā)現(xiàn) 發(fā)現(xiàn)并過(guò)濾內(nèi)網(wǎng)中的非法無(wú)線熱點(diǎn)和非法移動(dòng)終端，禁止無(wú)線熱點(diǎn)共享上網(wǎng)，造成管理漏洞。 、細(xì)粒度網(wǎng)絡(luò)審計(jì) 用戶、 IP地址、鏈接、網(wǎng)站類(lèi)別、時(shí)間、網(wǎng)頁(yè)標(biāo)題，并支持網(wǎng)頁(yè)快照，網(wǎng)頁(yè)內(nèi)容直觀顯示 、遠(yuǎn)程訪問(wèn)傳輸加密 、脆弱性處置加固 、網(wǎng)絡(luò)設(shè)備安全配置基線 編號(hào)： 安全要求 設(shè)備 通用 配置 可選