【正文】 實施加固，運(yùn)行測試根據(jù)加固方案對目標(biāo)服務(wù)器實施加固操作，并在實施完加固后對被加固服務(wù)器的運(yùn)行狀況進(jìn)行測試，確定加固操作未對服務(wù)器正常運(yùn)行造成影響。針對中國證監(jiān)會XXXX運(yùn)行監(jiān)測系統(tǒng)的各臺服務(wù)器的漏洞和脆弱性，定期的進(jìn)行安全加固，可以使系統(tǒng)有效的抵御外來的入侵和蠕蟲病毒的襲擊，使系統(tǒng)可以長期保持在高度可信的狀態(tài)。最后由滲透測試人員清除中間數(shù)據(jù)。測試實施在規(guī)避防火墻、入侵檢測、防毒軟件等安全產(chǎn)品監(jiān)控的條件下進(jìn)行：操作系統(tǒng)可檢測到的漏洞測試、應(yīng)用系統(tǒng)檢測到的漏洞測試（如：Web應(yīng)用），此階段如果成功的話，可能獲得普通權(quán)限。并且將實施范圍、方法、時間、人員等具體的方案與客戶進(jìn)行交流，并得到客戶的認(rèn)同。它模擬真正的黑客入侵攻擊方法，以人工滲透為主，輔助以攻擊工具的使用，這樣保證了整個滲透測試過程都在可以控制和調(diào)整的范圍之內(nèi)。這里，所有的滲透測試行為將在客戶的書面明確授權(quán)和監(jiān)督下進(jìn)行。另外，滲透測試的攻擊路徑及手段不同于常見的安全產(chǎn)品，所以它往往能暴露出一條甚至多條被人們所忽視的威脅路徑，從而暴露整個系統(tǒng)或網(wǎng)絡(luò)的威脅所在。u 用戶賬號及口令清查u 系統(tǒng)授權(quán)驗證u 日志檢查u 檢查用戶登錄日志設(shè)置、登錄失敗日志和各種操作日志。目前還沒有針對安全系統(tǒng)進(jìn)行安全評估的系統(tǒng)和工具，所以只能通過手工檢查的方式進(jìn)行安全評估。 人工安全檢查XX科技提供的手工檢查服務(wù)是對評估范圍內(nèi)安全漏洞掃描工具不能有效發(fā)現(xiàn)的方面（網(wǎng)絡(luò)設(shè)備的安全策略弱點(diǎn)和部分主機(jī)的安全配置錯誤等）進(jìn)行輔助評估的一種有效手段。安全漏洞掃描服務(wù)過程如下：圖 漏洞掃描服務(wù)過程漏洞掃描服務(wù)是一個閉環(huán)的服務(wù)，分為四個不同的階段：漏洞發(fā)現(xiàn)，數(shù)據(jù)分析，漏洞處理和掃描復(fù)查u 漏洞掃描：使用XX科技自主知識產(chǎn)權(quán)遠(yuǎn)程安全評估系統(tǒng)對目標(biāo)設(shè)備安全狀況進(jìn)行評估，獲得掃描數(shù)據(jù)；u 結(jié)果分析：對獲取的掃描結(jié)果進(jìn)行分析，提供可執(zhí)行的安全建議，向用戶提交漏洞掃描報告；u 漏洞處理：針對發(fā)現(xiàn)的不同級別的漏洞，提出處理建議，如安裝補(bǔ)丁，修改空弱口令等。在整個安全評估過程中，僅需要客戶提供業(yè)務(wù)系統(tǒng)相關(guān)信息，并配合進(jìn)行系統(tǒng)登錄，如有必要還需提供業(yè)務(wù)系統(tǒng)測試帳號。 配合主管單位、用戶完成安全檢查對于三級及三級以上等重要業(yè)務(wù)系統(tǒng)，國家要求每年進(jìn)行安全檢查，隨著等級保護(hù)政策的推廣，各行業(yè)主管單位，公安部也經(jīng)常進(jìn)行不定期的安全檢查，XX科技將協(xié)助用戶完成此類安全檢查，符合主管單位和行業(yè)的要求。系統(tǒng)在任何異常行為發(fā)生時，XX科技將直接進(jìn)行處理。 安全狀態(tài)監(jiān)控安全狀態(tài)監(jiān)控服務(wù)指通過信息共享、安全監(jiān)控、值守等技術(shù)設(shè)施，對單位的信息系統(tǒng)運(yùn)行狀態(tài)進(jìn)行監(jiān)控，及時發(fā)現(xiàn)各類信息安全事件并向相關(guān)人員發(fā)布預(yù)警信息，在信息安全事件發(fā)生或造成較大危害前及時采取應(yīng)對措施；安全狀態(tài)監(jiān)控服務(wù)分為安全狀態(tài)監(jiān)控和監(jiān)控外包兩種形式。該項培訓(xùn)主要目的是普及信息安全的基本知識，提高安全意識。 協(xié)助通過等級測評（可選）XX科技作為國內(nèi)領(lǐng)先的信息安全服務(wù)供應(yīng)商，在國家等級保護(hù)工作中有多年的經(jīng)驗積累，參與了國家等級保護(hù)工作的各個階段，從國家等級保護(hù)制度的研究，相關(guān)標(biāo)準(zhǔn)文件的制定，到等級保護(hù)試點(diǎn)工作，以及等級保護(hù)在全國范圍的全面開展。 實施實現(xiàn)階段 等級安全解決方案設(shè)計XX科技依靠多年的方案設(shè)計經(jīng)驗，將在深入分析系統(tǒng)業(yè)務(wù)安全需求的基礎(chǔ)上，為用戶提供并建立一套符合相應(yīng)等級保護(hù)要求的全方位的整體系統(tǒng)安全解決實施方案，方案中不僅包括安全技術(shù)體系的實施而且包括安全組織體系的設(shè)計和安全管理體系的建立。XX科技的等級安全規(guī)劃首先根據(jù)前期系統(tǒng)安全需求導(dǎo)出和等級化風(fēng)險評估結(jié)果制定系統(tǒng)總體的安全策略，然后依據(jù)總體安全策略和等級保護(hù)相關(guān)要求，設(shè)計系統(tǒng)的安全技術(shù)框架和安全管理框架，形成系統(tǒng)符合安全等級保護(hù)要求，同時滿足系統(tǒng)特定安全保護(hù)需求的安全總體方案，是在較高層次上形成的信息系統(tǒng)安全要求，包括安全方針和安全策略、安全技術(shù)框架和安全管理體系等。XX科技認(rèn)為在等級保護(hù)工作中，對信息系統(tǒng)的等級評估如果只是簡單地套用標(biāo)準(zhǔn)，按標(biāo)準(zhǔn)中描述的相應(yīng)等級基線的安全技術(shù)要求和安全管理要求進(jìn)行僵化的符合性評估，而不考慮具體信息系統(tǒng)面臨的特定的安全威脅和風(fēng)險，將很難準(zhǔn)確評估信息系統(tǒng)的安全狀況和與相應(yīng)等級的差距。沒有對客戶、行業(yè)、業(yè)務(wù)、具體系統(tǒng)的安全需求的詳細(xì)和準(zhǔn)確的分析，不可能獲得切合實際的等級保護(hù)解決方案。 協(xié)助用戶完成等級備案根據(jù)公安部等級保護(hù)相關(guān)備案要求，協(xié)助客戶完成等級保護(hù)備案工作。 信息系統(tǒng)業(yè)務(wù)安全性分析通過對信息系統(tǒng)所承載業(yè)務(wù)及業(yè)務(wù)流程的分析，分析信息系統(tǒng)內(nèi)信息資產(chǎn)和信息系統(tǒng)所提供服務(wù)的重要性，協(xié)助用戶判斷信息系統(tǒng)中業(yè)務(wù)信息和所提供的服務(wù)機(jī)密性、完整性或可用性等安全屬性遭到破壞后，對國家安全利益、經(jīng)濟(jì)建設(shè)、公共利益或單位利益所造成的影響程度。等級確定的正確與否，直接關(guān)系到信息系統(tǒng)的定位、后續(xù)的安全規(guī)劃、安全建設(shè)、安全實施和等級保護(hù)工作相關(guān)各方的資源投入，因此在定級階段如何通過對信息系統(tǒng)的調(diào)查和分析，科學(xué)、合理地劃分信息系統(tǒng)的子系統(tǒng)，并依據(jù)各種因素確定信息系統(tǒng)的安全保護(hù)等級，對整個等級保護(hù)工作能否順利進(jìn)行至關(guān)重要。為了確保用戶意識到信息安全的威脅和利害關(guān)系，并具有在日常工作過程中支持組織安全方針的能力，應(yīng)對用戶進(jìn)行安全程序和正確使用信息處理設(shè)備的培訓(xùn)，以盡量降低可能的安全風(fēng)險。因此，用戶需要一種能夠在系統(tǒng)上線前對系統(tǒng)安全狀況進(jìn)行檢驗的服務(wù)，從信息安全的角度對應(yīng)用系統(tǒng)、集成環(huán)境等內(nèi)容的安全狀況進(jìn)行評估，對發(fā)現(xiàn)的問題進(jìn)行妥善處理，避免將影響系統(tǒng)安全的問題遺留到系統(tǒng)上線后，成為系統(tǒng)安全的隱患。 安全服務(wù)方案 等級保護(hù)安全服務(wù)內(nèi)容 在本次中國證監(jiān)會XXXX運(yùn)行監(jiān)測系統(tǒng)等級保護(hù)服務(wù)方案設(shè)計中，主要包括以下內(nèi)容：u 等級保護(hù)合規(guī)咨詢及規(guī)劃設(shè)計XX科技作為專業(yè)的安全服務(wù)提供商，基于對信息安全的深刻理解，以為客戶信息系統(tǒng)構(gòu)建“等級化的安全體系”為等級保護(hù)工作的服務(wù)理念，旨在根據(jù)不同用戶在等級保護(hù)不同等級、不同階段的業(yè)務(wù)特性、安全需求及安全應(yīng)用重點(diǎn)，為用戶在等級保護(hù)的框架下構(gòu)建一個安全、可靠、靈活、可持續(xù)改進(jìn)的信息安全體系。6系統(tǒng)使用人員的安全意識培訓(xùn)從ISO 74982模型出發(fā)，結(jié)合CBK領(lǐng)域、BS 7799領(lǐng)域劃分，對信息安全中涉及到的標(biāo)準(zhǔn)、協(xié)議、技術(shù)手段、工具/產(chǎn)品、過程方法等，通過對安全領(lǐng)域和知識的清晰劃分和描述，最終能夠形成一張信息安全的知識結(jié)構(gòu)圖。2信息安全管理體系培訓(xùn)介紹信息安全管理體系的主要國內(nèi)國際標(biāo)準(zhǔn)、信息安全管理體系框架和內(nèi)容，信息安全管理體系建設(shè)的最佳實踐等內(nèi)容。u 信息安全技術(shù)培訓(xùn)：面向信息安全技術(shù)類用戶，例如系統(tǒng)管理員、安全技術(shù)員等。本方案建議為中國證監(jiān)會XXXX運(yùn)行監(jiān)測系統(tǒng)的相關(guān)人員提供如下三類的信息安全培訓(xùn)課程：u 等級保護(hù)合規(guī)培訓(xùn)：通過詳細(xì)介紹系列等級保護(hù)相關(guān)制度規(guī)范，同時結(jié)合國際國內(nèi)其它相關(guān)制度規(guī)范的講解，使相關(guān)人員能充分認(rèn)識到信息安全的重要性，已經(jīng)信息安全的合規(guī)要求。符合性管理COM001中國證監(jiān)會XXX機(jī)構(gòu)知識產(chǎn)權(quán)保護(hù)規(guī)范對第三方技術(shù)、軟件等的使用進(jìn)行管理，確保在使用具有知識產(chǎn)權(quán)的材料和具有所有權(quán)的軟件產(chǎn)品時，符合法律、法規(guī)和合同的要求。ISADM002中國證監(jiān)會XXX機(jī)構(gòu)系統(tǒng)安全管理制度本文檔說明了服務(wù)器、應(yīng)用系統(tǒng)、操作系統(tǒng)等系統(tǒng)在規(guī)劃、建設(shè)、調(diào)整、變更、廢棄等各階段的安全保障要求ISADM003中國證監(jiān)會XXX機(jī)構(gòu)信息安全測試規(guī)范本文檔說明了常規(guī)信息安全檢查、滲透測試、日常出口檢查等相關(guān)工作規(guī)范，如信息安全常規(guī)檢查、滲透測試、端口檢查等。ACL007中國證監(jiān)會XXX機(jī)構(gòu)無人值守設(shè)備管理規(guī)定本文檔對個人辦公電腦、打印機(jī)、復(fù)印機(jī)等設(shè)備在辦公室、會議室或控制的區(qū)域外等位置處于無人值守狀態(tài)時的安全保護(hù)措施進(jìn)行規(guī)定。O007中國證監(jiān)會XXX機(jī)構(gòu)供應(yīng)商管理規(guī)范本文檔規(guī)范第三方（如供應(yīng)商）在拜訪組織辦公場所的工作行為，以及規(guī)范供應(yīng)商在交付服務(wù)時的項目驗收以及監(jiān)督等環(huán)節(jié)的行為，有效的規(guī)范對包括供應(yīng)商等在內(nèi)第三方在與系統(tǒng)有業(yè)務(wù)交互時的權(quán)力義務(wù)以及行為準(zhǔn)則Camp。O003中國證監(jiān)會XXX機(jī)構(gòu)數(shù)據(jù)中心平臺系統(tǒng)維護(hù)程序本文檔對數(shù)據(jù)中心平臺系統(tǒng)的維護(hù)提供簡要說明Camp。O001中國證監(jiān)會XXX機(jī)構(gòu)計算機(jī)病毒與移動代碼防護(hù)管理制度本文檔說明了中國證監(jiān)會XXX機(jī)構(gòu)防病毒體系建立、防病毒日常管理、應(yīng)急出來等相關(guān)制度。Pamp。物理與環(huán)境Pamp。ASS004中國證監(jiān)會XXX機(jī)構(gòu)郵件系統(tǒng)使用規(guī)范本文檔說明了郵件系統(tǒng)的使用規(guī)范和運(yùn)行維護(hù)職責(zé)等內(nèi)容。信息安全組織ORG001中國證監(jiān)會XXX機(jī)構(gòu)安全管理組織架構(gòu)本文檔明確信息安全管理體系的組織，對信息相關(guān)人員職責(zé)進(jìn)行規(guī)范。在一定程度上說，安全服務(wù)是一種專業(yè)經(jīng)驗服務(wù)。在安全服務(wù)商選擇方面，我們建議系統(tǒng)的相關(guān)領(lǐng)導(dǎo)，選擇有實力，有信譽(yù)的專業(yè)安全服務(wù)廠商。 系統(tǒng)建設(shè)管理《信息系統(tǒng)安全等級保護(hù)基本要求》在系統(tǒng)建設(shè)管理階段針對系統(tǒng)定級、安全方案設(shè)計、產(chǎn)品采購、自行軟件開發(fā)、外包軟件開發(fā)、工程實施、測試驗收、系統(tǒng)交付 、系統(tǒng)備案、安全測評、安全服務(wù)商選擇等等方面提出了具體的要求。n 人員入職管理：從信息安全角度對在人員錄用過程中各流程提出安全需求。針對XXXX運(yùn)行監(jiān)測系統(tǒng)應(yīng)該建立專門的安全職能部門，配備專門的安全管理人員，管理應(yīng)用系統(tǒng)的信息安全管理工作，同時對安全管理人員的活動進(jìn)行指導(dǎo)。 備份和恢復(fù)數(shù)據(jù)的保密性和完整性需要通過備份機(jī)制來實現(xiàn)，備份機(jī)制是針對可能發(fā)生的計算機(jī)網(wǎng)絡(luò)與信息系統(tǒng)(重點(diǎn)包括：網(wǎng)站系統(tǒng)、基礎(chǔ)物理環(huán)境、網(wǎng)絡(luò)故障、病毒的預(yù)案等)突發(fā)（災(zāi)難）事件進(jìn)行預(yù)先防范安排，通過部署數(shù)據(jù)備份設(shè)備和備份系統(tǒng)來保證安全事件發(fā)生時以最快速度做出反應(yīng)，控制和減輕破壞造成的影響，提高數(shù)據(jù)的安全性。數(shù)據(jù)可用性則通過數(shù)據(jù)備份冗余操作實現(xiàn)。清理帳戶通過堡壘主機(jī)進(jìn)行強(qiáng)制管理操作系統(tǒng)與數(shù)據(jù)庫主機(jī)安全訪問控制b應(yīng)根據(jù)管理用戶的角色分配權(quán)限，實現(xiàn)管理用戶的權(quán)限分離，僅授予管理用戶所需的最小權(quán)限管理用戶權(quán)限最小化通過堡壘主機(jī)進(jìn)行配置操作系統(tǒng)與數(shù)據(jù)庫主機(jī)安全訪問控制d應(yīng)嚴(yán)格限制默認(rèn)帳戶的訪問權(quán)限，重命名系統(tǒng)默認(rèn)帳戶，修改這些帳戶的默認(rèn)口令限制默認(rèn)帳戶通過堡壘主機(jī)進(jìn)行強(qiáng)制管理操作系統(tǒng)與數(shù)據(jù)庫主機(jī)安全資源控制b應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時鎖定主機(jī)安全配置通過堡壘主機(jī)進(jìn)行配置操作系統(tǒng) 數(shù)據(jù)安全及備份恢復(fù)建設(shè)數(shù)據(jù)是資本運(yùn)維監(jiān)控平臺保護(hù)的核心內(nèi)容。 集中賬號管理：堡壘機(jī)建立基于唯一身份標(biāo)識的全局實名制管理，通過對用戶從登錄到退出的全程操作行為審計，監(jiān)控用戶對被管理設(shè)備的所有敏感關(guān)鍵操作216。 全面的網(wǎng)絡(luò)行為審計：安全審計系統(tǒng)可對網(wǎng)絡(luò)行為，如網(wǎng)站訪問、郵件收發(fā)、數(shù)據(jù)庫訪問、遠(yuǎn)程終端訪問、即時通訊、論壇、在線視頻、P2P下載、網(wǎng)絡(luò)游戲等，提供全面的行為監(jiān)控，方便事后追查取證；216。設(shè)置補(bǔ)丁服務(wù)器安全產(chǎn)品配置操作系統(tǒng)控制類控制點(diǎn)指標(biāo)名稱措施名稱改進(jìn)動作改進(jìn)對象主機(jī)安全資源控制a應(yīng)通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄；主機(jī)安全配置與加固安全產(chǎn)品配置操作系統(tǒng)主機(jī)安全資源控制b應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時鎖定；主機(jī)安全配置與加固安全產(chǎn)品配置操作系統(tǒng)主機(jī)安全資源控制c應(yīng)對重要服務(wù)器進(jìn)行監(jiān)視，包括監(jiān)視服務(wù)器的CPU、硬盤、內(nèi)存、網(wǎng)絡(luò)等資源的使用情況；采購部署網(wǎng)管監(jiān)控系統(tǒng)，實現(xiàn)重要服務(wù)器監(jiān)控安全產(chǎn)品配置操作系統(tǒng)主機(jī)安全資源控制d應(yīng)限制單個用戶對系統(tǒng)資源的最大或最小使用限度；主機(jī)安全配置與加固安全產(chǎn)品配置操作系統(tǒng)主機(jī)安全資源控制e應(yīng)能夠?qū)ο到y(tǒng)的服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測和報警。 殺毒軟件查殺整個系統(tǒng)中的各種病毒、木馬等惡意代碼，并且能夠?qū)λ兄鳈C(jī)的病毒庫進(jìn)行統(tǒng)一升級和管理。 主機(jī)安全建設(shè) 終端管理系統(tǒng)和殺毒軟件216。另外，資本運(yùn)維監(jiān)控平臺信息系統(tǒng)技術(shù)層面的設(shè)計充分遵從國家特別是公安部等級保護(hù)的相關(guān)標(biāo)準(zhǔn)要求。在外部邊界區(qū)部署防火墻；與互聯(lián)網(wǎng)通信的終端，要和內(nèi)網(wǎng)用戶做完全的物理隔離，并且通過防火墻和內(nèi)容安全管理系統(tǒng)進(jìn)行隔離和對網(wǎng)絡(luò)訪問行為進(jìn)行核查。傳輸網(wǎng)絡(luò)方面上交所、深交所、中登主機(jī)等于XX大廈通信的數(shù)據(jù)保密性要求較高，需要通過加密機(jī)對數(shù)據(jù)進(jìn)行加密處理。通信網(wǎng)絡(luò)設(shè)備通過對通信雙方進(jìn)行可信鑒別驗證，建立安全通道，實施傳輸數(shù)據(jù)密碼保護(hù)，確保其在傳輸過程中不會被竊聽、篡改和破壞，是信息系統(tǒng)的第三道安全屏障。計算環(huán)境安全是信息系統(tǒng)安全保護(hù)的核心和基礎(chǔ)。為了突出重點(diǎn)保護(hù)的等級保護(hù)原則，根據(jù)XXXX運(yùn)行監(jiān)控系統(tǒng)的業(yè)務(wù)信息流的特點(diǎn)，將XXXX運(yùn)行監(jiān)控系統(tǒng)進(jìn)行區(qū)域劃分。比如，分區(qū)分域并不是粒度越細(xì)越好，區(qū)域數(shù)量過多，過雜可能會導(dǎo)致安全管理過于復(fù)雜和困難；216。 等級保護(hù)的符合性原則：對此模擬平臺的搭建要符合等級保護(hù)相關(guān)標(biāo)準(zhǔn)的“一個中心、三重防護(hù)”的要求。四. 方案總體設(shè)計 總體安全設(shè)計目標(biāo)通過分區(qū)分域的安全建設(shè)原則，根據(jù)XXXX運(yùn)行監(jiān)控系統(tǒng)業(yè)務(wù)流的特點(diǎn)，將整個信息系統(tǒng)進(jìn)行區(qū)域劃分，突出了安全建設(shè)的重點(diǎn)，并且為“一個中心，三重防護(hù)”的安全保障體系提供了清晰的脈絡(luò)，針對重點(diǎn)區(qū)域部署相對應(yīng)的安全產(chǎn)品，達(dá)到等級保護(hù)要求的標(biāo)準(zhǔn)。 安全管理機(jī)構(gòu)為保障資本運(yùn)行監(jiān)測系統(tǒng)安全運(yùn)行，