【正文】 存儲(chǔ)空間被釋放或重新分配給其他用戶(hù)前得到完全清除。5通信完整性（S3）本項(xiàng)要求包括：應(yīng)采用密碼技術(shù)保證通信過(guò)程中數(shù)據(jù)的完整性。b)應(yīng)對(duì)通信過(guò)程中的整個(gè)報(bào)文或會(huì)話(huà)過(guò)程進(jìn)行加密。7抗抵賴(lài)（G3）本項(xiàng)要求包括：a)應(yīng)具有在請(qǐng)求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)原發(fā)證據(jù)的功能；符合要求應(yīng)用軟件中有此項(xiàng)功能b)應(yīng)具有在請(qǐng)求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)接收證據(jù)的功能。b)應(yīng)提供自動(dòng)保護(hù)功能，當(dāng)故障發(fā)生時(shí)自動(dòng)保護(hù)當(dāng)前所有狀態(tài)，保證系統(tǒng)能夠進(jìn)行恢復(fù)。9資源控制（A3）本項(xiàng)要求包括：a)當(dāng)應(yīng)用系統(tǒng)的通信雙方中的一方在一段時(shí)間內(nèi)未作任何響應(yīng)，另一方應(yīng)能夠自動(dòng)結(jié)束會(huì)話(huà)；符合要求如果通信雙方中有一方在 10 分鐘內(nèi)未作任何響應(yīng)，則自動(dòng)結(jié)束會(huì)話(huà)，釋放網(wǎng)絡(luò)連接。c)應(yīng)能夠?qū)蝹€(gè)帳戶(hù)的多重并發(fā)會(huì)話(huà)進(jìn)行限制；符合要求滿(mǎn)足d)應(yīng)能夠?qū)σ粋€(gè)時(shí)間段內(nèi)可能的并發(fā)會(huì)話(huà)連接數(shù)進(jìn)行限制；符合要求由業(yè)務(wù)應(yīng)用系統(tǒng)和實(shí)際需要設(shè)定。g)應(yīng)提供服務(wù)優(yōu)先級(jí)設(shè)定功能，并在安裝后根據(jù)安全策略設(shè)定訪(fǎng)問(wèn)帳戶(hù)或請(qǐng)求進(jìn)程的優(yōu)先級(jí)，根據(jù)優(yōu)先級(jí)分配系統(tǒng)資源。 數(shù)據(jù)安全現(xiàn)狀與差距分析xxxx大學(xué)的數(shù)據(jù)安全現(xiàn)狀是：有本地?cái)?shù)據(jù)備份措施，無(wú)備份在異地。符合要求滿(mǎn)足2數(shù)據(jù)保密性（S3）本項(xiàng)要求包括：a)應(yīng)采用加密或其他有效措施實(shí)現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)傳輸保密性；符合要求滿(mǎn)足b)應(yīng)采用加密或其他保護(hù)措施實(shí)現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)存儲(chǔ)保密性。建議后期部署異地災(zāi)備系統(tǒng)c)應(yīng)采用冗余技術(shù)設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，避免關(guān)鍵節(jié)點(diǎn)存在單點(diǎn)故障；符合要求滿(mǎn)足。符合要求滿(mǎn)足 安全管理現(xiàn)狀與差距分析xxxx大學(xué)有自己的一套完整的安全管理現(xiàn)狀，并管理規(guī)范整理成冊(cè)，但不完善。需進(jìn)行查漏補(bǔ)缺對(duì)信息系統(tǒng)相關(guān)的資產(chǎn)清單、分類(lèi)與標(biāo)識(shí)、使用、轉(zhuǎn)移、廢棄等做出規(guī)定。需進(jìn)行查漏補(bǔ)缺對(duì)進(jìn)出機(jī)房的人員和設(shè)備，機(jī)房監(jiān)控、機(jī)房值班、機(jī)房環(huán)境保障等做出規(guī)定。需進(jìn)行查漏補(bǔ)缺對(duì)設(shè)備的放置、使用、維護(hù)、維修、報(bào)廢等做出規(guī)定。需進(jìn)行查漏補(bǔ)缺對(duì)介質(zhì)的歸檔、存放、使用、銷(xiāo)毀等做出規(guī)定。需進(jìn)行查漏補(bǔ)缺對(duì)網(wǎng)絡(luò)及安全設(shè)備的操作、配置、日志記錄和監(jiān)控等做出規(guī)定。需進(jìn)行查漏補(bǔ)缺對(duì)服務(wù)器和數(shù)據(jù)庫(kù)等的操作、配置、日志記錄和監(jiān)控等做出規(guī)定。需進(jìn)行查漏補(bǔ)缺對(duì)信息系統(tǒng)數(shù)據(jù)保存、備份、使用等做出規(guī)定。需進(jìn)行查漏補(bǔ)缺對(duì)終端計(jì)算機(jī)的日常使用、軟件安裝，入網(wǎng)、維修、報(bào)廢等做出規(guī)定。需進(jìn)行查漏補(bǔ)缺對(duì)便攜計(jì)算機(jī)的使用、密碼保護(hù)、入網(wǎng)、文件存儲(chǔ)、維修等做出規(guī)定。需進(jìn)行查漏補(bǔ)缺對(duì)移動(dòng)存儲(chǔ)介質(zhì)的使用、管理、維修等做出規(guī)定。需進(jìn)行查漏補(bǔ)缺對(duì)信息化項(xiàng)目安全需求、安全保障方案及保護(hù)等級(jí)等做出規(guī)定。需進(jìn)行查漏補(bǔ)缺對(duì)開(kāi)發(fā)環(huán)境、代碼安全、上線(xiàn)測(cè)試、開(kāi)發(fā)人員保密責(zé)任等做出規(guī)定。需進(jìn)行查漏補(bǔ)缺對(duì)設(shè)立安全管理機(jī)構(gòu)、機(jī)構(gòu)職能、人員職責(zé)及管理，如重要崗位保密責(zé)任、人員離崗離職等方面做出規(guī)定。需進(jìn)行查漏補(bǔ)缺對(duì)日常運(yùn)行維護(hù)的流程、操作等做出規(guī)定。需進(jìn)行查漏補(bǔ)缺對(duì)普通業(yè)務(wù)用戶(hù)、重要業(yè)務(wù)用戶(hù)、特權(quán)用戶(hù)（網(wǎng)絡(luò)、系統(tǒng)、安全管理員）的審批、權(quán)限、安全要求等做出規(guī)定。需進(jìn)行查漏補(bǔ)缺對(duì)信息系統(tǒng)中使用的密碼強(qiáng)度、變更和保存等做出規(guī)定。需進(jìn)行查漏補(bǔ)缺對(duì)應(yīng)急計(jì)劃、處理、實(shí)施、演練等做出規(guī)定。需進(jìn)行查漏補(bǔ)缺對(duì)信息系統(tǒng)的變更申報(bào)、審批流程以及實(shí)施等做出規(guī)定。需進(jìn)行查漏補(bǔ)缺對(duì)網(wǎng)絡(luò)安全檢查流程、工作內(nèi)容等做出規(guī)定。、服務(wù)器、網(wǎng)絡(luò)設(shè)備進(jìn)行統(tǒng)一日志管理。2主機(jī)層面未定期對(duì)重要服務(wù)器、局域網(wǎng)絡(luò)進(jìn)行滲透測(cè)試和安全加固等； 1攻擊者可能通過(guò)低安全級(jí)別的業(yè)務(wù)系統(tǒng)服務(wù)器為跳板向安全級(jí)別較高的業(yè)務(wù)系統(tǒng)發(fā)起攻擊；；、告警，也不能對(duì)記錄數(shù)據(jù)進(jìn)行分析，增加了運(yùn)維風(fēng)險(xiǎn)；3應(yīng)用層面數(shù)據(jù)庫(kù)缺少審計(jì)與防護(hù)措施。需要實(shí)現(xiàn)以技術(shù)人員（維護(hù)人員、應(yīng)急小組）、操作過(guò)程（相應(yīng)的管理制度和事件處理流程）和技術(shù)監(jiān)控三者的融合的全方位安全防護(hù)措施。5APT攻擊現(xiàn)有的安全防護(hù)設(shè)施無(wú)法應(yīng)對(duì)有針對(duì)性、高持續(xù)的攻擊。 管理體系差距與風(fēng)險(xiǎn)分析圖表 9 管理體系差距與風(fēng)險(xiǎn)序號(hào)類(lèi)別差距與風(fēng)險(xiǎn)1安全策略隨著業(yè)務(wù)應(yīng)用系統(tǒng)的不斷增加，網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜，由于各業(yè)務(wù)系統(tǒng)建設(shè)、運(yùn)維分散，沒(méi)有總體規(guī)劃逐漸不能適應(yīng)越來(lái)越復(fù)雜的應(yīng)用需求。安全管理基本上靠運(yùn)維管理人員的自我管理，缺乏統(tǒng)一的安全管理體系；3系統(tǒng)建設(shè)由于運(yùn)維、外包等原因，防護(hù)體系的建設(shè)依賴(lài)于各重要業(yè)務(wù)系統(tǒng)的建設(shè)，在今后的防護(hù)體系建設(shè)和改造中希望將安全防護(hù)體系統(tǒng)一考慮；4系統(tǒng)運(yùn)維對(duì)于各分院、系及處室自行建設(shè)的信息系統(tǒng)，無(wú)法有效安全監(jiān)管，造成重大安全隱患，極有可能成為攻擊跳板；5缺少專(zhuān)業(yè)性的安全運(yùn)維服務(wù)隊(duì)伍支撐，業(yè)務(wù)系統(tǒng)的安全檢查和漏洞評(píng)估沒(méi)有周期性執(zhí)行，各主機(jī)的安全程度主要依賴(lài)于各管理員個(gè)人的安全意識(shí)水平，沒(méi)有形成定期統(tǒng)一的安全檢查制度和安全基線(xiàn)要求；6缺少各項(xiàng)應(yīng)急預(yù)案，導(dǎo)致一但發(fā)生重大安全問(wèn)題無(wú)法快速進(jìn)行故障的排除和解決，安全隱患較大。 網(wǎng)絡(luò)安全綜合治理行動(dòng)差距與風(fēng)險(xiǎn)分析圖表 10 網(wǎng)絡(luò)安全綜合治理行動(dòng)差距與風(fēng)險(xiǎn)分析表序號(hào)類(lèi)別差距與風(fēng)險(xiǎn)1治亂缺少網(wǎng)站內(nèi)容檢查系統(tǒng)，不能及時(shí)檢查到網(wǎng)站發(fā)布內(nèi)容中的敏感信息（違法/違規(guī)信息），存在法律風(fēng)險(xiǎn)。3補(bǔ)短我校應(yīng)盡快完成信息系統(tǒng)（網(wǎng)站）等級(jí)保護(hù)定級(jí)、測(cè)評(píng)、整改工作；明確安全管理負(fù)責(zé)人，制訂專(zhuān)門(mén)應(yīng)急預(yù)案 。第 3 章 方案設(shè)計(jì) 設(shè)計(jì)思路本項(xiàng)目的建設(shè)思路是：以保護(hù)信息系統(tǒng)資產(chǎn)為核心，依據(jù)等級(jí)保護(hù)和ISO27000的體系標(biāo)準(zhǔn)，結(jié)合《網(wǎng)絡(luò)安全法》對(duì)高校的影響，充分考慮到學(xué)校遠(yuǎn)景規(guī)劃和發(fā)展，建設(shè)符合國(guó)家政策法規(guī)、能提升學(xué)校綜合教學(xué)能力、能抵抗安全風(fēng)險(xiǎn)的網(wǎng)絡(luò)綜合安全體系。安全管理體系解決思路為：委派專(zhuān)家為xxxx大學(xué)梳理和打造完善的安全管理體系。并委派工程師與xxxx大學(xué)配合做攻防應(yīng)急演練。本項(xiàng)目將嚴(yán)格按照《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》進(jìn)行建設(shè)。l ISO27000ISO27000是信息安全管理體系，包含建立、實(shí)施和維持信息安全管理體系的標(biāo)準(zhǔn)。其包含十一個(gè)控制域： 1）安全策略、2）信息安全的組織、3）資產(chǎn)管理、4）人力資源安全、5）物理和環(huán)境安全、6）通信和操作管理、7）訪(fǎng)問(wèn)控制、8）系統(tǒng)采集、開(kāi)發(fā)和維護(hù)、9）信息安全事故管理、10）業(yè)務(wù)連續(xù)性管理、11）符合性。 三種融合l 網(wǎng)安融合根據(jù)當(dāng)前技術(shù)發(fā)展趨勢(shì)，網(wǎng)絡(luò)和安全融合的一體化組網(wǎng)及應(yīng)用越來(lái)越成為主流，安全業(yè)務(wù)插卡模塊與網(wǎng)絡(luò)平臺(tái)設(shè)備融合，具有即插即用、擴(kuò)展性強(qiáng)的特點(diǎn)，降低了用戶(hù)管理難度，減少了維護(hù)成本。安全機(jī)構(gòu)補(bǔ)充的服務(wù)主要包括：風(fēng)險(xiǎn)評(píng)估、滲透測(cè)試、安全加固、應(yīng)急響應(yīng)、災(zāi)難恢復(fù)等。并且網(wǎng)絡(luò)安全作為一個(gè)“動(dòng)態(tài)安全”，每天都有安全漏洞發(fā)布，單純的依靠安全設(shè)備防護(hù)我們的系統(tǒng)，已經(jīng)無(wú)法奏效。 四個(gè)體系l 信息安全組織體系建立信息安全組織體系，是為了明確各部門(mén)及個(gè)人在保障信息安全工作中擔(dān)任的角色以及相應(yīng)的責(zé)任。l 信息安全管理體系信息安全管理體系是組織機(jī)構(gòu)單位按照相關(guān)標(biāo)準(zhǔn)的要求，制定信息安全管理方針和策略，進(jìn)行信息安全管理計(jì)劃、實(shí)施、評(píng)審檢查、改進(jìn)的信息安全管理執(zhí)行的工作體系。在每個(gè)層面依照信息安全建設(shè)的五個(gè)核心要素進(jìn)行設(shè)計(jì)：“進(jìn)不來(lái)”（身份認(rèn)證），防止非法用戶(hù)接入網(wǎng)絡(luò)；“拿不走”（訪(fǎng)問(wèn)控制），用戶(hù)訪(fǎng)問(wèn)授權(quán)，防止非授權(quán)用戶(hù)獲取關(guān)鍵信息；“看不懂”（內(nèi)容安全），數(shù)據(jù)加密傳輸，防止信息被非法劫持，導(dǎo)致數(shù)據(jù)泄露；“跑不了”（審計(jì)監(jiān)控），無(wú)論是授權(quán)的使用還是非授權(quán)的使用，事后都應(yīng)該是有據(jù)可查的；“可恢復(fù)”（容災(zāi)備份），系統(tǒng)遭受破壞時(shí)，我們能及時(shí)啟用備份系統(tǒng)/數(shù)據(jù)，控制影響和損失。安全運(yùn)行體系的內(nèi)容包括建立資產(chǎn)風(fēng)險(xiǎn)風(fēng)險(xiǎn)管理制度、日常安全運(yùn)維管理制度、安全監(jiān)控與應(yīng)急響應(yīng)機(jī)制、安全檢查與審核制度。防火墻在安全區(qū)域邊界實(shí)施相應(yīng)的訪(fǎng)問(wèn)控制策略， 對(duì)進(jìn)出安全區(qū)域邊界的數(shù)據(jù)信息進(jìn)行控制，阻止非授權(quán)訪(fǎng)問(wèn)；入侵防護(hù)系統(tǒng)、入侵檢測(cè)系統(tǒng)可以對(duì)網(wǎng)絡(luò)入侵行為進(jìn)行監(jiān)測(cè)、報(bào)警和阻斷，對(duì)非法網(wǎng)絡(luò)訪(fǎng)問(wèn)和入侵行為進(jìn)行處置；在DMZ區(qū)服務(wù)器前部署的WAB應(yīng)用防火墻從應(yīng)用協(xié)議、用戶(hù)權(quán)限控制和異常行為阻斷等方面對(duì)網(wǎng)絡(luò)訪(fǎng)問(wèn)行為進(jìn)行控制，保證服務(wù)器的訪(fǎng)問(wèn)安全，有效防范以服務(wù)器為目標(biāo)的攻擊行為。（三）、區(qū)域邊界安全審計(jì)防火墻、入侵防護(hù)系統(tǒng)、上網(wǎng)行為管理系統(tǒng)、網(wǎng)絡(luò)接入控制系統(tǒng)等安全產(chǎn)品，均屬于網(wǎng)絡(luò)邊界產(chǎn)品，對(duì)出入網(wǎng)絡(luò)的訪(fǎng)問(wèn)行為進(jìn)行管理和控制。審計(jì)記錄包括安全事件的主體、客體、時(shí)間、類(lèi)型和結(jié)果等內(nèi)容。 網(wǎng)絡(luò)接入控制系統(tǒng)對(duì)內(nèi)聯(lián)行為的合規(guī)性和合法性進(jìn)行判斷， 然后根據(jù)安全策略， 采用報(bào)警、引導(dǎo)至安全修復(fù)區(qū)、阻斷等幾種方式進(jìn)行處置。 (二) 用戶(hù)數(shù)據(jù)完整性保護(hù)以密碼技術(shù)和機(jī)制為基礎(chǔ)，服務(wù)器操作系統(tǒng)安全加固系統(tǒng)的完整性校驗(yàn)機(jī)制和防篡改機(jī)制保護(hù)服務(wù)器重要資源不會(huì)被非法修改，且在其受到破壞時(shí)能對(duì)重要數(shù)據(jù)進(jìn)行恢復(fù)。(三) 應(yīng)用數(shù)據(jù)機(jī)密性保護(hù)服務(wù)器安全加固系統(tǒng)的訪(fǎng)控機(jī)制以及透明加解密機(jī)制將對(duì)服務(wù)器存儲(chǔ)的敏感數(shù)據(jù)機(jī)密性實(shí)施有效保護(hù)，訪(fǎng)問(wèn)控制機(jī)制能夠防止非授權(quán)用戶(hù)讀取敏感信息，透明加解密機(jī)制對(duì)硬盤(pán)存儲(chǔ)的敏感數(shù)據(jù)實(shí)施加密存儲(chǔ)保護(hù)，即使非法人員竊取硬盤(pán)設(shè)備，在沒(méi)有用戶(hù)合法密鑰的前提下也無(wú)法解密敏感信息。(五) 程序可執(zhí)行保護(hù)服務(wù)器操作系統(tǒng)安全加固系統(tǒng)可構(gòu)建從操作系統(tǒng)到上層應(yīng)用的信任鏈， 其中采用可信計(jì)算等技術(shù)，實(shí)現(xiàn)系統(tǒng)運(yùn)行過(guò)程中可執(zhí)行程序的完整性檢驗(yàn)， 阻止非授權(quán)程序的啟動(dòng)和執(zhí)行，同時(shí)防范重要執(zhí)行程序被篡改，對(duì)病毒、木馬、蠕蟲(chóng)等惡意代碼具備自免疫能力。（需保持惡意代碼庫(kù)的及時(shí)更新）(七) 資源控制按照“最小化原則”對(duì)門(mén)戶(hù)網(wǎng)站和業(yè)務(wù)服務(wù)器的操作系統(tǒng)進(jìn)行梳理， 刪除或屏蔽不必要給功能、組件、權(quán)限。 安全通信網(wǎng)絡(luò)設(shè)計(jì)(一) 通信網(wǎng)絡(luò)安全審計(jì)通過(guò) SSL VPN實(shí)現(xiàn)遠(yuǎn)程安全接入和訪(fǎng)問(wèn)， SSL VPN 本身具有安全審計(jì)功能，能夠?qū)尤朐L(fǎng)問(wèn)行為進(jìn)行審計(jì)記錄， 包括訪(fǎng)問(wèn)行為發(fā)生的時(shí)間、 是否成功、主體、客體、源地址、目標(biāo)地址、類(lèi)型等信息。(三) 通信網(wǎng)絡(luò)數(shù)據(jù)傳輸保密性保護(hù)SSL VPN 能夠?qū)W(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)谋Ｃ苄蕴峁┍Ｗo(hù)，確保數(shù)據(jù)的完整性不被破壞。 安全管理中心設(shè)計(jì)在進(jìn)行安全系統(tǒng)設(shè)計(jì)時(shí)， 應(yīng)當(dāng)首先設(shè)計(jì)安全管理中心， 從安全管理的高度為后續(xù)的安全設(shè)計(jì)打下基礎(chǔ)。應(yīng)該從系統(tǒng)管理、安全管理、審計(jì)管理、事件管理、風(fēng)險(xiǎn)管理、安全工作管理等方面進(jìn)行統(tǒng)一考慮，特別要實(shí)現(xiàn)集中身份管理、集中認(rèn)證授權(quán)、 集中操作審計(jì)。 安全區(qū)域劃分根據(jù)業(yè)務(wù)功能以及安全需求的不同，將xxxx大學(xué)信息網(wǎng)絡(luò)規(guī)劃為互聯(lián)網(wǎng)接入?yún)^(qū)域、內(nèi)網(wǎng)核心交換區(qū)、內(nèi)網(wǎng)安全管理區(qū)（審計(jì)核查區(qū)域）、內(nèi)網(wǎng)接入?yún)^(qū) 和內(nèi)網(wǎng)服務(wù)器區(qū)、DMZ區(qū)共 6個(gè)安全域。2）在門(mén)戶(hù)網(wǎng)站和業(yè)務(wù)系統(tǒng)相關(guān)的服務(wù)器 （Windows操作系統(tǒng)和 Linux 操作系統(tǒng)）上安裝部署服務(wù)器操作系統(tǒng)安全加固軟件 ，提高服務(wù)器操作系統(tǒng)登錄的身份鑒別強(qiáng)度，實(shí)現(xiàn)雙因子身份認(rèn)證； 對(duì)服務(wù)器操作系統(tǒng)自身的安全性進(jìn)行加固，對(duì)服務(wù)器操作系統(tǒng)的關(guān)鍵配置、程序的完整性和可用性提供安全保護(hù)，對(duì)服務(wù)器性能資源進(jìn)行監(jiān)測(cè)和管理；對(duì)服務(wù)器操作系統(tǒng)進(jìn)行監(jiān)控與審計(jì)；3）部署數(shù)據(jù)備份系統(tǒng)， 部署數(shù)據(jù)備份系統(tǒng)對(duì)門(mén)戶(hù)網(wǎng)站和業(yè)務(wù)系統(tǒng)的數(shù)據(jù)進(jìn)行實(shí)時(shí)或半實(shí)時(shí)備份；根據(jù)業(yè)務(wù)數(shù)據(jù)的重要程度、綜合考慮投入成本等因素，設(shè)計(jì)相適應(yīng)的數(shù)據(jù)備份系統(tǒng)和數(shù)據(jù)備份策略，本次后期規(guī)劃進(jìn)行異地備份體系建設(shè)，同時(shí)需要考慮備份周期、拷貝留存份數(shù)、備份策略（全量或增量）等安全因素；4）通過(guò)部署ZDNS、IT綜合運(yùn)維管理系統(tǒng)及RFID機(jī)房資產(chǎn)管理系統(tǒng)對(duì)學(xué)校整體IP地址、網(wǎng)絡(luò)核心服務(wù)、網(wǎng)絡(luò)設(shè)備、硬件資產(chǎn)、網(wǎng)絡(luò)服務(wù)、網(wǎng)絡(luò)應(yīng)用、主機(jī)等進(jìn)行全生命周期管理，以達(dá)到智慧運(yùn)維的目的5）部署WEB資產(chǎn)安全管理平臺(tái)，通過(guò)資產(chǎn)發(fā)現(xiàn)、漏洞掃描、旁路阻斷等技術(shù)以及完善的網(wǎng)站及業(yè)務(wù)系統(tǒng)備案制度，形成網(wǎng)站及業(yè)務(wù)系統(tǒng)的全生命周期管理。將過(guò)濾后的安全流量放行，實(shí)現(xiàn)對(duì)服務(wù)器的安全防護(hù)。及APT攻擊分防御。 優(yōu)化安全措施1） 按照三權(quán)分立原則設(shè)置系統(tǒng)管理員角色， 并根據(jù)管理員角色賦予相應(yīng)的功能權(quán)限；盡量避免存在超級(jí)用戶(hù)；2） 規(guī)范管理維護(hù)賬戶(hù)，對(duì)于重要網(wǎng)絡(luò)設(shè)備，一定要做到每人一賬號(hào)，每個(gè)系統(tǒng)管理員都必須使用自己的賬號(hào)維護(hù)管理設(shè)備，落實(shí)責(zé)任到每個(gè)人；為每個(gè)服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫(kù)管理員分配不同的賬戶(hù)，每個(gè)管理員使用自己的賬戶(hù)登錄系統(tǒng)； 更改門(mén)戶(hù)網(wǎng)站和郵件系統(tǒng)服務(wù)器操作系統(tǒng)默認(rèn)管理員賬戶(hù)或采用自定義管理員賬戶(hù)，避免使用系統(tǒng)默認(rèn)賬戶(hù)；服務(wù)器管理員賬戶(hù)口令應(yīng)進(jìn)行規(guī)范化管理，形成專(zhuān)門(mén)的口令管理規(guī)章制度；口令管理制度中應(yīng)對(duì)口令的復(fù)雜度和更換周期進(jìn)行規(guī)定，復(fù)雜度通常應(yīng)不弱于：至少 8 位，應(yīng)包括大小寫(xiě)字母、數(shù)字、特殊字符組合等；3） 對(duì)于重要網(wǎng)絡(luò)設(shè)備，一定要通過(guò)限定登錄地址、通過(guò)堡壘機(jī)等方式，提高登錄身份鑒別強(qiáng)度；制定網(wǎng)絡(luò)設(shè)備運(yùn)維管理規(guī)范，將重要網(wǎng)絡(luò)設(shè)備的登錄限制規(guī)范化、文檔化；4） 完善數(shù)據(jù)備份恢復(fù)方案， 在內(nèi)部進(jìn)行培訓(xùn)和演練， 投入相應(yīng)人力、 物力資源，確保數(shù)據(jù)備份恢復(fù)方案有效、可行、可操作；5）對(duì)門(mén)戶(hù)網(wǎng)站、業(yè)務(wù)系統(tǒng)慢原因進(jìn)行徹底分析，通過(guò)優(yōu)化程序、擴(kuò)容資源、增加、增加冷熱軟硬件備份設(shè)備、通過(guò)負(fù)載均衡等措施，提供門(mén)戶(hù)網(wǎng)站的穩(wěn)定性、可用性和性能。 等級(jí)保護(hù)“基本要求”第三級(jí)要求業(yè)務(wù)系統(tǒng)自身具備“身份鑒別、訪(fǎng)問(wèn)控制、安全審計(jì)、通信完整性、通信保密性、軟件容錯(cuò)和資源控制”等安全功能。如果受客觀原因限制，即使通過(guò)二次開(kāi)發(fā)，門(mén)戶(hù)網(wǎng)站和業(yè)務(wù)系統(tǒng)也無(wú)法達(dá)到具備完全合標(biāo)安全功能的水平， 應(yīng)充分評(píng)估殘余的安全風(fēng)險(xiǎn)， 并通過(guò)其他安全措施嘗試解決和避免，直至達(dá)到風(fēng)險(xiǎn)可接受水平方可。因此信息安全訪(fǎng)問(wèn)、信息處理及信息安全傳輸在整個(gè)信息化進(jìn)程中變得至關(guān)重要。 安全管理體系建設(shè) 安全管理機(jī)構(gòu)概述安全管理機(jī)構(gòu)的規(guī)劃，將從xxxx大學(xué)的實(shí)際情況出發(fā)，以安全組織架構(gòu)設(shè)計(jì)為基礎(chǔ)，定