【正文】 . 系統(tǒng)測評服務(wù)為用戶選擇滿足國家要求的測評機(jī)構(gòu)（在本省等包辦推薦目錄下且在本省備案的測評機(jī)構(gòu)），完成對用戶單位信息系統(tǒng)的等級保護(hù)測評。具體制度詳細(xì)見詳細(xì)方案設(shè)計(jì)管理部分。. 安全加固根據(jù)漏洞掃描、配置核查和滲透測試的結(jié)果，對用戶單位提供安全加固建議（包括主機(jī)安全加固、網(wǎng)絡(luò)設(shè)備安全加固服務(wù)、安全設(shè)備安全加固優(yōu)化服務(wù)、數(shù)據(jù)庫系統(tǒng)安全加固服務(wù)、管理制度完善），并對具體的安全加固提供指導(dǎo)咨詢。通過遠(yuǎn)程滲透測試全面檢測信息系統(tǒng)清單中的系統(tǒng)（網(wǎng)站）直接暴露在互聯(lián)網(wǎng)上的安全隱患，并提供實(shí)際可行的安全修復(fù)建議。. 漏洞掃描利用業(yè)界領(lǐng)先的多種掃描工具檢查整個(gè)網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)的主機(jī)系統(tǒng)與數(shù)據(jù)庫系統(tǒng)的漏洞情況，并用人工對掃描結(jié)果進(jìn)行誤報(bào)分析，結(jié)果整理。最終提交安全制度包括但不限于以下內(nèi)容：n 總體安全策略（組織、流程、策略、技術(shù)）n 崗位安全責(zé)任制度n 第三方安全管理制度n 系統(tǒng)日常安全管理工作制度n 系統(tǒng)安全評估管理辦法n 機(jī)房建設(shè)運(yùn)行標(biāo)準(zhǔn)n 安全區(qū)域劃分及管理規(guī)定n 管理信息區(qū)域網(wǎng)管制度n 系統(tǒng)建設(shè)管理制度n 設(shè)備入網(wǎng)安全管理制度n 系統(tǒng)軟件和補(bǔ)丁管理制度n 備份與恢復(fù)管理制度n 賬號和口令及權(quán)限管理制度n 介質(zhì)管理n 加密技術(shù)使用管理辦法n 應(yīng)急預(yù)案管理制度n 安全事件報(bào)告和處置管理制度n 安全審計(jì)管理7. 咨詢服務(wù)和系統(tǒng)測評. 系統(tǒng)定級服務(wù)協(xié)助用戶單位，依據(jù)《信息系統(tǒng)安全等級保護(hù)定級指南》，確定信息系統(tǒng)的安全保護(hù)等級，準(zhǔn)備定級備案表和定級報(bào)告，協(xié)助用戶單位向所在地區(qū)的公安機(jī)關(guān)辦理備案手續(xù)。經(jīng)自查，信息系統(tǒng)安全狀況未達(dá)到安全保護(hù)等級要求的，應(yīng)當(dāng)進(jìn)一步開展整改。. 安全管理制度匯總制定安全檢查制度，明確檢查的內(nèi)容、方式、要求等，檢查各項(xiàng)制度、措施的落實(shí)情況，并不斷完善。其他制度對系統(tǒng)運(yùn)行維護(hù)過程中的其它活動，如系統(tǒng)變更、密碼使用等進(jìn)行控制和管理。 安全監(jiān)測制度開展信息系統(tǒng)實(shí)時(shí)安全監(jiān)測，實(shí)現(xiàn)對物理環(huán)境、通信線路、主機(jī)、網(wǎng)絡(luò)設(shè)備、用戶行為和業(yè)務(wù)應(yīng)用等的監(jiān)測和報(bào)警，及時(shí)發(fā)現(xiàn)設(shè)備故障、病毒入侵、黑客攻擊、誤用和誤操作等安全事件，以便及時(shí)對安全事件進(jìn)行響應(yīng)與處置。識別需要定期備份的重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等，制定數(shù)據(jù)的備份策略和恢復(fù)策略，建立備份與恢復(fù)管理相關(guān)的安全管理制度。具體依據(jù)標(biāo)準(zhǔn)《基本要求》中系統(tǒng)運(yùn)維管理，同時(shí)可以參照《信息安全事件分類分級指南》和《信息安全事件管理指南》等。落實(shí)安全事件報(bào)告制度，第二級以上信息系統(tǒng)發(fā)生較大、重大、特別重大安全事件時(shí)，運(yùn)營使用單位按照相應(yīng)預(yù)案開展應(yīng)急處置，并及時(shí)向受理備案的公安機(jī)關(guān)報(bào)告。 事件處置與應(yīng)急響應(yīng)制度按照國家有關(guān)標(biāo)準(zhǔn)規(guī)定，確定信息安全事件的等級。集中安全管理制度第二級以上信息系統(tǒng)應(yīng)按照統(tǒng)一的安全策略、安全管理要求，統(tǒng)一管理信息系統(tǒng)的安全運(yùn)行，進(jìn)行安全機(jī)制的配置與管理，對設(shè)備安全配置、惡意代碼、補(bǔ)丁升級、安全審計(jì)等進(jìn)行管理，對與安全有關(guān)的信息進(jìn)行匯集與分析，對安全機(jī)制進(jìn)行集中管理。日常運(yùn)行維護(hù)制度明確網(wǎng)絡(luò)、系統(tǒng)日常運(yùn)行維護(hù)的責(zé)任部門或責(zé)任人，對運(yùn)行管理中的日常操作、賬號管理、安全配置、日志管理、補(bǔ)丁升級、口令更新等過程進(jìn)行控制和管理；制訂設(shè)備操作管理、業(yè)務(wù)應(yīng)用操作管理、變更控制和重用管理、信息交換管理相應(yīng)的管理制度；制定與信息系統(tǒng)安全管理相配套的規(guī)范和操作規(guī)程并落實(shí)執(zhí)行；正確實(shí)施為信息系統(tǒng)可靠運(yùn)行而采取的各種檢測、監(jiān)控、審計(jì)、分析、備份及容錯(cuò)等方法和措施，對運(yùn)行安全進(jìn)行監(jiān)督檢查。設(shè)備和介質(zhì)安全管理制度明確配套設(shè)施、軟硬件設(shè)備管理、維護(hù)的責(zé)任部門或責(zé)任人，對信息系統(tǒng)的各種軟硬件設(shè)備采購、發(fā)放、領(lǐng)用、維護(hù)和維修等過程進(jìn)行控制，對介質(zhì)的存放、使用、維護(hù)和銷毀等方面作出規(guī)定，加強(qiáng)對涉外維修、敏感數(shù)據(jù)銷毀等過程的監(jiān)督控制。應(yīng)明確資產(chǎn)安全管理的責(zé)任部門或責(zé)任人，對資產(chǎn)進(jìn)行分類、標(biāo)識，編制與信息系統(tǒng)相關(guān)的軟件資產(chǎn)、硬件資產(chǎn)等資產(chǎn)清單。對重要區(qū)域設(shè)置門禁控制手段，或使用視頻監(jiān)控等措施。具體依據(jù)標(biāo)準(zhǔn)《基本要求》中系統(tǒng)建設(shè)管理。具體依據(jù)標(biāo)準(zhǔn)《基本要求》中人員安全管理，同時(shí)可以參照《信息系統(tǒng)安全管理要求》等。只有注重對安全管理人員的培養(yǎng)，提高其安全防范意識，才能做到安全有效的防范，因此需要對各類人員進(jìn)行安全意識教育、崗位技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn)。. 人員安全管理人員安全管理主要包括人員錄用、離崗、考核、教育培訓(xùn)等內(nèi)容。. 安全管理機(jī)構(gòu)根據(jù)基本要求設(shè)置安全管理機(jī)構(gòu)的組織形式和運(yùn)作方式，明確崗位職責(zé)；設(shè)置安全管理崗位，設(shè)立系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等崗位，根據(jù)要求進(jìn)行人員配備，配備專職安全員；成立指導(dǎo)和管理信息安全工作的委員會或領(lǐng)導(dǎo)小組，其最高領(lǐng)導(dǎo)由單位主管領(lǐng)導(dǎo)委任或授權(quán)；制定文件明確安全管理機(jī)構(gòu)各個(gè)部門和崗位的職責(zé)、分工和技能要求。制定嚴(yán)格的制定與發(fā)布流程，方式，范圍等，制度需要統(tǒng)一格式并進(jìn)行有效版本控制；發(fā)布方式需要正式、有效并注明發(fā)布范圍，對收發(fā)文進(jìn)行登記。. 信息安全管理制度根據(jù)安全管理制度的基本要求制定各類管理規(guī)定、管理辦法和暫行規(guī)定。n 安全策略在經(jīng)過用戶方信息安全決策機(jī)構(gòu)批準(zhǔn)之后，將具備指導(dǎo)和規(guī)范信息安全工作的效力。我方為用戶方設(shè)計(jì)的總體安全方針與安全策略將具備以下特性：n 安全策略緊緊圍繞行業(yè)的發(fā)展戰(zhàn)略，符合用戶方實(shí)際的信息安全需求，能保障與促進(jìn)信息化建設(shè)的順利進(jìn)行，避免理想化與不可操作性?？傮w安全方針與安全策略的作用在于統(tǒng)一對信息安全工作的認(rèn)識，規(guī)定信息安全的基本架構(gòu)，明確信息安全的根本目標(biāo)和原則。信息安全管理體系主要包括組織機(jī)構(gòu)、規(guī)章制度、人員安全、安全教育和培訓(xùn)等四個(gè)方面內(nèi)容。部署設(shè)計(jì)：SSL VPN旁路部署于核心交換機(jī)上。部署設(shè)計(jì)軟件客戶端部署在內(nèi)外防服務(wù)器上面，通過管理區(qū)域防病毒升級服務(wù)器對病毒規(guī)則庫進(jìn)行升級。維護(hù)人員對網(wǎng)絡(luò)設(shè)備、安全設(shè)備和服務(wù)器系統(tǒng)進(jìn)行遠(yuǎn)程維護(hù)時(shí)，首先以 Web 方式登錄運(yùn)維審計(jì)系統(tǒng)，然后通過運(yùn)維審計(jì)系統(tǒng)上展現(xiàn)的訪問資源列表直接訪問授權(quán)資源。如何提高系統(tǒng)運(yùn)維管理水平，跟蹤服務(wù)器上用戶的操作行為，防止黑客的入侵和破壞，提供控制和審計(jì)依據(jù)，降低運(yùn)維成本，滿足相關(guān)標(biāo)準(zhǔn)要求，越來越成為信息系統(tǒng)關(guān)心的問題，因此建議在學(xué)校二期安全建設(shè)有必要部署一套運(yùn)維堡壘主機(jī)來實(shí)現(xiàn)賬戶的安全維護(hù)。目前，學(xué)校使用數(shù)量眾多的網(wǎng)絡(luò)設(shè)備、服務(wù)器主機(jī)來提供基礎(chǔ)網(wǎng)絡(luò)服務(wù)、運(yùn)行關(guān)鍵業(yè)務(wù)、數(shù)據(jù)庫應(yīng)用、ERP和協(xié)同工作群件等服務(wù)。n 各IT系統(tǒng)獨(dú)立管理，風(fēng)險(xiǎn)分散在各系統(tǒng)中，各個(gè)擊破困難大，這種管理方式造成了業(yè)務(wù)管理和安全之間的失衡。部署設(shè)計(jì)：數(shù)據(jù)庫審計(jì)部署于數(shù)據(jù)庫前端交換機(jī)上，通過端口鏡像收集信息。部署設(shè)計(jì)：日志審計(jì)系統(tǒng)旁路部署在核心交換上，實(shí)現(xiàn)全網(wǎng)的網(wǎng)絡(luò)行為的統(tǒng)一審計(jì)，收集網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)系統(tǒng)等設(shè)備的運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等日志信息，并對收集到的日志信息進(jìn)行分類和關(guān)聯(lián)分析，并可根據(jù)審計(jì)人員的操作要求生成統(tǒng)計(jì)報(bào)表，方便查詢和生成報(bào)告