【正文】 非活躍一定時間或會話結(jié)束后終止網(wǎng)絡(luò)連接。4. 在DMZ區(qū)，針對市國土資源局門戶系統(tǒng)前端部署WAF防火墻，以提供針對HTTP應(yīng)用的Web應(yīng)用防護(hù)、專業(yè)級網(wǎng)頁防篡改及DDoS等防護(hù)。6. 在核心交換機或服務(wù)器匯聚交換機上部署2臺多監(jiān)聽口的入侵檢測系統(tǒng), 對進(jìn)入核心業(yè)務(wù)安全區(qū)域的網(wǎng)絡(luò)流量進(jìn)行全面分析和監(jiān)控，及時發(fā)現(xiàn)和阻斷內(nèi)部或外部的網(wǎng)絡(luò)入侵和攻擊行為。7. 在運維管理區(qū)，部署一臺XX集成公司NetEye安全審計堡壘機。同時提供統(tǒng)一賬號管理、單點登錄、資源授權(quán)、訪問控制等功能。8. 在運維管理區(qū)，部署一臺安全監(jiān)控與管理平臺(SOC)，整合各類信息資產(chǎn)進(jìn)行安全系統(tǒng)的建設(shè)，應(yīng)將各種安全防護(hù)設(shè)備整合到一個綜合運維管理平臺上，進(jìn)行統(tǒng)一的管理和部署。9. 在運維管理區(qū)，部署統(tǒng)一身份管控系統(tǒng)，實現(xiàn)市國土資源局各類B/S和C/S應(yīng)用系統(tǒng)的帳號管理（ Account ）、認(rèn)證管理（Authentication） 、授權(quán)管理(Authorization)、綜合審計(Audit)等。10. 接入某市國土資源局的終端主機要根據(jù)內(nèi)部部門進(jìn)行安全區(qū)域設(shè)計，一般性的辦公區(qū)域之間可以采用VLAN進(jìn)行隔離，VLAN隔離可以通過核心交換機三層引擎的ACL功能實現(xiàn)。11. 在終端接入?yún)^(qū)，需要在終端主機上分別部署桌面安全管理系統(tǒng)以實現(xiàn)補丁分發(fā)、遠(yuǎn)程協(xié)助、網(wǎng)絡(luò)準(zhǔn)入、非法外聯(lián)檢測等功能，保證主機安全。13. 以及廣域網(wǎng)接入?yún)^(qū)，以分局為單位的實現(xiàn)安全域隔離與入侵防范，需要在分局網(wǎng)絡(luò)邊界必須通過安全設(shè)備如防火墻和安全網(wǎng)關(guān)進(jìn)行訪問控制、入侵防范。14. 在信息安全服務(wù)方面，要面向核心業(yè)務(wù)系統(tǒng)進(jìn)行安全風(fēng)險評估、安全加固滲透測試等保三級輔助測評、等保三級信息安全管理制度梳理等；并對定為三級的業(yè)務(wù)系統(tǒng)進(jìn)行信息安全等級保護(hù)三級評測(由具備等保測評資質(zhì)單位出具等保三級測評報告）。 確定安全方針形成某市國土資源局最高層次的安全方針文件，闡明安全工作的使命和意愿，定義信息安全的總體目標(biāo)，規(guī)定信息安全責(zé)任機構(gòu)和職責(zé)，建立安全工作運行模式等。管理層應(yīng)把制定的相關(guān)信息安全策略整個組織中發(fā)布和維護(hù)，表明自己對信息安全的支持和保護(hù)責(zé)任。文檔應(yīng)說明管理人員承擔(dān)的義務(wù)和責(zé)任，并制定組織的管理信息安全的步驟。這對組織非常重要，例如：n 符合法律和合約的要求；n 安全教育的要求；n 防止并檢測威脅；n 業(yè)務(wù)連續(xù)性管理；n 違反安全策略的后果；4. 確定信息安全管理的一般責(zé)任和具體責(zé)任，包括報告安全事故； 策略審查評估每個策略應(yīng)該有一個負(fù)責(zé)人，他根據(jù)明確規(guī)定的審查程序?qū)Σ呗赃M(jìn)行維護(hù)和審查。還應(yīng)該進(jìn)行以下預(yù)定的、階段性的審查：1. 檢查策略的有效性，通過所記錄的安全事故的性質(zhì)、數(shù)量以及影響反映出來；2. 控制措施的成本及其業(yè)務(wù)效率的影響；3. 技術(shù)變化帶來的影響。應(yīng)該建立有管理領(lǐng)導(dǎo)層參加的管理交流機制，以批準(zhǔn)信息安全策略、分配安全責(zé)任并協(xié)調(diào)組織范圍的安全策略實施。建立與某市國土資源局外部的安全專家的聯(lián)系，保持與業(yè)界的潮流、監(jiān)視標(biāo)準(zhǔn)和評估方法同步，并在處理安全事故時吸收他們的觀點。 建立交流機制信息安全是一種由安全管理團(tuán)隊所有成員共同承擔(dān)的業(yè)務(wù)責(zé)任。交流機制應(yīng)通過合理的責(zé)任分配和有效的資源管理促進(jìn)組織內(nèi)部安全。通常，交流機制有以下作用：1. 審查和核準(zhǔn)信息安全策略以及總體責(zé)任；2. 當(dāng)信息資產(chǎn)暴露受到嚴(yán)重威脅時，監(jiān)視重大變化；3. 審查和監(jiān)控安全事故；4. 審核加強信息安全的重要活動。通常，可以：1. 就整個組織的信息安全的作用和責(zé)任達(dá)成一致；2. 就信息安全的特定方法和處理過程達(dá)成一致，如風(fēng)險評估、安全分類系統(tǒng)；3. 就整個組織的信息安全活動達(dá)成一致并提供支持，例如安全警報程序；4. 確保將安全作為制定信息計劃的一個部分；5. 對控制措施是否完善進(jìn)行評估，并協(xié)調(diào)新系統(tǒng)或新服務(wù)的特定信息安全控制措施的實施情況；6. 審查信息安全事故；7. 在整個組織中增加對信息安全工作支持的力度。提供在組織內(nèi)分配安全任務(wù)和責(zé)任的一般指導(dǎo)原則。在組織中，指定信息安全管理員負(fù)責(zé)開展和實施安全保護(hù)，并幫助確定控制措施。一種常用的方法是為每項涉密信息指定一個所有者，并由他負(fù)責(zé)日常安全問題。盡管所有者仍對該涉密信息的安全負(fù)有最終責(zé)任，但可以確定被委托的人是否正確履行了責(zé)任。1. 必須確定并明確說明由誰負(fù)責(zé)各種信息資產(chǎn)和與每個系統(tǒng)相關(guān)的安全進(jìn)程。3. 應(yīng)明確規(guī)定授權(quán)級別并進(jìn)行備案。同樣的，也應(yīng)該考慮加入安全組織和業(yè)界的交流機制。 人員管理 人員安全1. 人事招聘安全管理l 檢查申請人的簡歷（是否完整及準(zhǔn)確）；l 確認(rèn)所提交的學(xué)歷及職業(yè)資格；l 獨立的身份檢查。至于具有授權(quán)權(quán)限的員工，應(yīng)采取定期檢查機制。當(dāng)這些員工是由非本單位的人事公司提供，應(yīng)與人事公司簽署相關(guān)合同，指明人事公司對人員的過濾職責(zé)，以及如果過濾不完整或結(jié)果有可疑時所要進(jìn)行的告知流程。2. 保密協(xié)議保密協(xié)議是用來告知信息是機密的或秘密的。對于第三方用戶，應(yīng)在允許對方進(jìn)入信息處理區(qū)前簽訂保密協(xié)議。3. 用工條款用工條款應(yīng)說明員工信息安全的責(zé)任。員工的法律責(zé)任及權(quán)利，例如關(guān)于版權(quán)法律或數(shù)據(jù)保護(hù)條例，應(yīng)說明清楚及包括在用工協(xié)議的條款中，也應(yīng)包括網(wǎng)絡(luò)數(shù)據(jù)的分類及管理的責(zé)任。信息安全管理體系的最高機構(gòu)是信息安全管理委員會，該委員會主任建議由單位負(fù)責(zé)人擔(dān)任，他可授權(quán)信息安全委員會的某位成員代理其行使信息安全管理的日?；顒?，作為執(zhí)行副主任，委員會成員建議包括部門層面各位領(lǐng)導(dǎo)。2. 信息管理部門職責(zé)單位指定信息管理部門為信息安全日?；顒拥膱?zhí)行機構(gòu)，負(fù)責(zé)單位信息安全的日常維護(hù)管理和審計工作，其主要職責(zé)如下：l 制定單位信息安全整體發(fā)展規(guī)劃和建議方案；l 制定、修改單位信息安全制度；l 制定信息安全管理的具體辦法和流程；l 組織、推動信息安全工作的開展，協(xié)調(diào)各單位以及合作者之間的關(guān)系；l 組織實施日常的監(jiān)督、檢查和審計工作；l 評定信息安全事件，協(xié)助進(jìn)行技術(shù)處理，并將事件處理結(jié)果及時上報；l 定期進(jìn)行信息安全培訓(xùn)和教育；l 單位高層領(lǐng)導(dǎo)授予的其它工作內(nèi)容。業(yè)務(wù)管理部負(fù)責(zé)對各部門和分單位信息安全管理工作的考核；人力資源部負(fù)責(zé)對相關(guān)人員和單位的獎懲。其主要工作職責(zé)如下：l 全面關(guān)注信息安全管理制度的執(zhí)行狀況，并組織實施內(nèi)部的日常檢查工作，發(fā)現(xiàn)問題，提出建議，向信息管理部出具報告；l 協(xié)助組織、推動信息安全工作的開展，協(xié)助本單位主管負(fù)責(zé)人制定本單位信息安全控制措施；l 負(fù)責(zé)維護(hù)本單位信息相關(guān)資產(chǎn)清單；審核確定本單位涉密崗位、涉密信息內(nèi)容、密級和有權(quán)接觸該等級保密信息的人員范圍，并按照單位信息安全政策的要求設(shè)立各種保密措施并檢查其有效性；l 發(fā)生或可能發(fā)生危及本單位信息安全事件時采取臨時控制措施或力所能及的補救措施，并將此類安全事件及時通報信息管理部；l 定期組織本單位內(nèi)部員工進(jìn)行信息安全培訓(xùn)和教育；l 根據(jù)員工在信息安全工作中的表現(xiàn)，提請本單位主管負(fù)責(zé)人對員工進(jìn)行獎勵或處罰；l 根據(jù)與合作者簽訂的保密協(xié)議或合作者的特殊要求對來源于合作者或其它第三方的涉密信息采取特別保密措施；l 本單位主管負(fù)責(zé)人安排的與信息安全相關(guān)的其他工作。教育過程使員工成為信息安全管理的組成部分。組織需要確定形成組織文化的最好方法，因而反饋機制對教育程序的有效性非常重要。另外，針對法規(guī)遵從和審計，應(yīng)安置正式的機制以追蹤員工都參加了什么教育培訓(xùn)。目的是增加員工的知識水平以使他們?yōu)榻M織提供更安全的系統(tǒng)和日常過程。所有組織成員都應(yīng)該了解報告安全事故的程序步驟，并根據(jù)要求，盡快報告安全事故。在進(jìn)行用戶警報培訓(xùn)時，可以將這些事件作為示例，向用戶講解可能發(fā)生什么事件、如何對這些事件進(jìn)行處理以及今后如何避免這類事件發(fā)生。他們應(yīng)該將這些事件盡快報告給管理層，或直接報告給服務(wù)提供商。這也是為了保護(hù)他們自己，這是因為在您測試某個漏洞時，很可能會導(dǎo)致對系統(tǒng)的錯誤使用。應(yīng)考慮采取以下措施。n 應(yīng)將該計算機隔離，如果可能，停止使用該計算機。如果要檢修設(shè)備，在重新接通該設(shè)備的電源前，應(yīng)將其從公司的網(wǎng)絡(luò)中斷開。n 立刻將問題報告給信息安全管理人員。應(yīng)由經(jīng)過培訓(xùn)富有經(jīng)驗員工執(zhí)行恢復(fù)工作。用這些信息來確定重復(fù)發(fā)生的或影響很大的事故或故障。l 紀(jì)律檢查程序培訓(xùn)應(yīng)該建立正式的處分流程，處罰那些違反組織安全策略和規(guī)定的員工。另外，如果懷疑某些員工有嚴(yán)重或長期違反組織安全的行為，這一方法能保證對他們的處罰是正確和公平的。一次課或訓(xùn)練可向員工提供信息，但為了更安全的組織，安全管理過程必須成為員工的自覺行動。這些機制有助于提醒員工注意問題并意識到每個員工都是組織信息安全管理的關(guān)鍵成員。這包括安全要求、法律責(zé)任和業(yè)務(wù)控制措施方面的內(nèi)容，以及如何使用信息處理設(shè)備方面的培訓(xùn)，如登