《某单位信息安全等级保护建设方案-V1.2(DOC119页)19180.docx》由会员分享,可在线阅读,更多相关《某单位信息安全等级保护建设方案-V1.2(DOC119页)19180.docx(124页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、xxxxxxx信息安全全等级保保护(三三级)建建设项目目设计方案案二一八八年二月文档控制制文档名称称:xxxxxxx信信息安全全等保保保护建设设(三级级)设计计方案提交方xxxxxx机股份有有限公司司提交日期期Xxxxxx版本信息息日期版本撰写者审核者描述2月288日V1.00初稿3月1日日V1.11修订3月7日日V1.22修订本文档版版权归xxxxxxxx股股份有限限公司所所有,未未经xxxxx有有限公司司允许,本本文档里里的任何何内容都都不得被被用来宣宣传和传传播。未未经xxxxx有有限公司司书面批批准,文文档或任任何类似似的资讯讯都不允允许被发发布。目录第一章项项目概述述51.1项项目概
2、述述51.2项项目建设设背景551.2.1法律律要求661.2.2政策策要求771.3项项目建设设目标及及内容881.3.1项目目建设目目标81.3.2建设设内容88第二章现现状与差差距分析析92.1现现状概述述92.1.1信息息系统现现状92.2现现状与差差距分析析122.2.1物理理安全现现状与差差距分析析122.2.2网络络安全现现状与差差距分析析162.2.3主机机安全现现状与差差距分析析222.2.4应用用安全现现状与差差距分析析272.2.5数据据安全现现状与差差距分析析322.2.6安全全管理现现状与差差距分析析342.3综综合整改改建议3372.3.1技术术措施综综合整改改建议
3、3372.3.2安全全管理综综合整改改建议443第三章安安全建设设目标444第四章安安全整体体规划4464.1建建设指导导464.1.1指导导原则4464.1.2安全全防护体体系设计计整体架架构4774.2安安全技术术规划4494.2.1安全全建设规规划拓朴朴图4994.2.2安全全设备功功能5004.3建建设目标标规划555第五章工工程建设设575.1工工程一期期建设5575.1.1区域域划分5575.1.2网络络环境改改造5775.1.3网络络边界安安全加固固585.1.4网络络及安全全设备部部署5995.1.5安全全管理体体系建设设服务8865.1.6安全全加固服服务10025.1.7应
4、急急预案和和应急演演练10095.1.8安全全等保认认证协助助服务11095.2工工程二期期建设11105.2.1安全全运维管管理平台台(sooc)11005.2.2APPT高级级威胁分分析平台台11335.3产产品清单单1155第六章方方案预算算1166第七章方方案预估估效果11207.1工工程预期期效果1120图表目录录图表 11现状拓拓扑图110图表 22物理安安全现状状12图表 33网络安安全现状状16图表 44主机安安全现状状22图表 55应用安安全现状状27图表 66数据安安全现状状32图表 77安全管管理现状状34图表 88综合技技术措施施整改建建议表格格37图表 99综合安安全
5、管理理体系整整改建议议表格443图表 110安全全保障体体系图447图表 111安全全建设规规划拓扑扑图499图表 112建设设规划555图表 113 信信息安全全组织架架构示意意图922图表 114 安安全管理理制度规规划示意意图988图表 115产品品清单表表1155图表 116方案案预算表表1166第一章 项目概述述1.1 项目概述述xxxxxxx是是人民政政府的职职能部门门,贯彻彻执行国国家有关关机关事事务工作作的方针针政策,拟拟订省机机关事务务工作的的政策、规规划和规规章制度度并组织织实施,负负责省机机关事务务的管理理、保障障、服务务工作。在面对现现在越来来越严重重的网络络安全态态势
6、下,xxxxxxxx积极响应应国家相相关政策策法规,积积极开展展信息安安全等级级保护建建设。对对自有网网络安全全态势进进行自我我核查,补齐等等保短板板,履行行安全保保护义务务。项目目标标:打造一个个可信、可可管、可可控、可可视的安全网网络环境境,更好的的为机关关各部门门及领导导者和公公务人员员提供工工作和生生活条件件,更好好的保障各各项行政政活动正正常进行行。1.2 项目建设设背景机关后勤勤管理工工作因为为其政府府内部服服务的特特殊性,一一直比较较少地为为社会公公众所关关注或重重视。机机关后勤勤管理包包括对物物资、财财务、环环境、生生活以及及各种服服务项目目在内的的事务工工作的管管理,是是行政
7、机机关办公公室管理理的重要要一环,为为机关各各部门以以及领导导者和公公务人员员提供工工作和生生活条件件,是保保障各项项行政活活动正常常进行的的物质基基础。随着这几几年地区区经济的的高速发发展和政政府行政政职能分分配管理理的需要要,使机机关事务务管理工工作的管管理范围围和管理理对象也也相应的的扩展和和增加,管管理工作作变得十十分繁重重。尤其其是在新新增的一一些业务务管理工工作方面面,如对对政府机机关单位位固定资资产的管管理、房房屋出租租、分配配的管理理等,同同时,随随着这几几年国家家对资产产管理的的重视,信信息化建建设从原原来注重重财务管管理信息息化逐渐渐向国有有资产管管理信息息化发展展,作为为
8、机关事事务管理理的机构构,正承承担着这这样一种种责任和和使命。同时在面对现在不容乐观的整体安全态势环境下,开展机关事务管理的信息化建设与信息安全建设,是整个社会和国家发展的必然趋势。1.2.1 法律要求求在20117年66月1日日颁发的的中华华人民共共和国网网络安全全法中中明确规规定了法法律层面面的网络络安全。具具体如下下:“没有网网络安全全,就没没有国家家安全”,网络安全法第二十一条明确规定“国家实行网络安全等级保护制度”。各网络运营者应当按照要求,开展网络安全等级保护的定级备案、等级测评、安全建设、安全检查等工作。除此之外,网络安全法中还从网络运行安全、关键信息基础设施运行安全、网络信息安
9、全等对以下方面做了详细规定:网络日志志留存:第二十十一条还还规定,网网络运营营者应当当制定内内部安全全管理制制度和操操作规程程,确定定网络安安全负责责人,落落实网络络安全保保护责任任;采取取防计算算机病毒毒、网络络攻击、网网络侵入入等危害害网络安安全行为为的技术术措施;采取监监测、记记录网络络运行状状态、网网络安全全事件的的技术措措施,留留存不少少于六个个月的相相关网络络日志;采取数数据分类类、重要要数据备备份和加加密等措措施。未未履行上上述网络络安全保保护义务务的,会会被依照照此条款款责令整整改,拒拒不改正正或者导导致危害害网络安安全等后后果的,处处一万元元以上十十万元以以下罚款款,对直直接
10、负责责的主管管人员处处五千元元以上五五万元以以下罚款款。漏洞处置置:第二二十五条条规定,网网络运营营者应当当制定网网络安全全事件应应急预案案,及时时处置系系统漏洞洞、计算算机病毒毒、网络络攻击、网网络侵入入等安全全风险;在发生生危害网网络安全全的事件件时,立立即启动动应急预预案,采采取相应应的补救救措施,并并按照规规定向有有关主管管部门报报告。没没有网络络安全事事件应急急预案的的,没有有及时处处置高危危漏洞、网网络攻击击的;在在发生网网络安全全事件时时处置不不恰当的的,会被被依照此此条款责责令整改改,拒不不改正或或者导致致危害网网络安全全等后果果的,处处一万元元以上十十万元以以下罚款款,对直直
11、接负责责的主管管人员处处五千元元以上五五万元以以下罚款款。容灾备份份:第三三十四条条第三项项规定,关关键信息息基础设设施单位位对重要要系统和和数据库库进行容容灾备份份。没有有对重要要系统和和数据库库进行容容灾备份份的会被被依照此此条款责责令改正正。应急演练练:第三三十四条条第四项项规定,关关键信息息基础设设施单位位应当制制定网络络安全事事件应急急预案,并并定期进进行演练练。没有有网络安安全事件件预案的的,或者者没有定定期演练练的,会会被依照照此条进进行责令令改正。安全检测测评估:第三十十八条规规定,关关键信息息基础设设施的运运营者应应当自行行或者委委托网络络安全服服务机构构对其网网络的安安全性
12、和和可能存存在的风风险每年年至少进进行一次次检测评评估,并并将检测测评估情情况和改改进措施施报送相相关负责责关键信信息基础础设施安安全保护护工作的的部门。每每年没有有进行安安全检测测评估的的单位要要被责令令改正。1.2.2 政策要求求为切实加加强门户户网站安安全管理理和防护护,保障障网站安安全稳定定运行,国国家非常常重视,陆陆续颁布布以下文文件:关关于加强强党政机机关网站站安全管管理的通通知(中中网办发发文2201441号号)、关关于做好好党政机机关网站站开办审审核、资资格复核核和网站站标识管管理工作作的通知知(中中央编办办发220144699号),公公安部、中中央网信信办、中中编办、工工信部
13、等等四部门门关于于印发党政机机关、事事业单位位和国有有企业互互联网网网站安全全专项整整治行动动方案的通知知(公公信安22015525562号号)1.3 项目建设设目标及及内容1.3.1 项目建设设目标依据国家家信息安安全等级级保护相相关指导导规范,对对xxxxxxxx信息系系统、基基础设施施和骨干干网络按照等等保三级级进行安安全建设设规划,对对安全建建设进行行统一规划和和设备选选型,实实现方案案合理、组组网简单单、扩容容灵活、标标准统一一、经济济适用的的建设目目标。依据信息息安全等等级保护护三级标标准,按按照“统统一规划划、统一一标准、重重点明确确、合理理建设”的的基本原原则,在在物理安安全、
14、网网络安全全、主机机安全、应应用安全全、数据据安全等等几个方方面进行行安全规规划与建建设,确确保“网网络建设设合规、安安全防护护到位”。方案目标标是让xxxxxxxx的的骨干网络络、相关关应用系统统达到安安全等级级保护第第三级要要求。经过建设设后使整体体网络形形成一套套完善的的安全防防护体系系,提升整整体信息息安全防防护能力力。1.3.2 建设内容容本项目以以xxxxxxxx骨干网络络、信息息系统等等级保护护建设为为主线,以以让相关关信息系系统达到到安全等等级保护护第三级级要求。借助网网络产品品、安全全产品、安全服务、管理制度等手段,建立全网的安全防控管理服务体系,从而全面提高xxxxxx的工
15、作效率,提升信息化运用水平。建设内容容包括xxxxxxxx内内网骨干干网络、基基础设施施和信息息系统等等。第二章 现状与差差距分析析2.1 现状概述述2.1.1 信息系统统现状本次项目目中xxxxxxxx外网网项目中中涉及的的设备有有:1) 服务器4台2) 网络设备备若干 路由器器、交换换机、aap 3) 安全设备备有:1台防火墙墙(过保保)、WWAF(过过保)、2台iips(ddmz区区前IPPS已过过保)、上网行为为管理(过过保)、防防病毒网网关、绿绿盟安全全审计系系统、3360天天擎终端端杀毒(只只具有杀毒模块块)4) 存储设备备:火星星舱容灾灾备份2.1.1.1 网络系统统现状xxxx
16、xxx的的网络系系统整体体构架采采用三层层层次化化模型网网络架构构,即由由核心层层、汇聚聚层和接接入层组组成。网络现状状:核心层:核心层层是网络络的高速速交换主主干,对对整个网网络的连连通起到到至关重重要的作作用。xxxxxxxx内网核心心,由1台DPXX安全业业务网关关组成。汇聚层:汇聚层层是网络络接入层层和核心心层的“中中介”,是是在工作作站接入入核心层层前先做做汇聚,以以减轻核核心层设设备的负负荷。xxxxxxxx内内网中,由由迪普和H3CC交换机机作为内网的有线汇聚聚和内网的的无线汇聚聚交换机机。接入层:接入层层向本地地网段提提供工作作站接入入。xxxxxxxx内网网网络中中,由各各种
17、品牌牌的交换机机作为终终端前端端接入交交换机,为各区域提供接入。在DPXX核心交交换机上上划分VVLANN和网关,整体网络络中部署署了防病病毒网关关、IPPS、UUAG、DDDI、数据容灾备份系统。OA系统连接至无线汇聚交换机。其他各系统旁路至核心交换机上。 安全现状状:在整体网网络中部部署有相应的的安全设设备做安安全防护护,但部分安安全设备备过保,整体网络安全防护体系不够完善、区域划分不合理,现状拓扑图如下: 图表1现现状拓扑扑图2.1.1.2 主机系统统现状xxxxxxx的的业务系系统OA、文件交换换箱等,部署于于多台服务务器上。服务务器为机机架式服服务器和和塔式服服务器,固定于于标准机机
18、柜与固定位位置,并并进行标标识区分分。服务务器操作作系统全全都采用用微软的的Winndowws SServver系系列操作作系统。xxxxxxx办办公终端端约为3000台,winn7为主主,XPP系统占占少数,主机系统统没有进进行过定定期更新新补丁,安安装有3360天天擎杀毒毒软件2.1.1.3 应用系统统现状xxxxxxx的的应用系系统主要要为以下下业务系系统:OOA、文文件交换换箱等。也包含含一些其其他的办办公软件件。 2.2 现状与差差距分析析2.2.1 物理安全全现状与与差距分分析xxxxxxx机机房建设设过程中中参照BB级机房房标准参参考进行行统一规规划,存存在的物理安全全隐患较较少
19、。但仍需需参照以下下标准进进行核查查、整改改;根据信息息安全等等级保护护(第三三级)中中对物理理安全相相关项(防火、防雷、防水、防磁及电力供应等)存在些许差距。详见下表差距分析。图表2物物理安全全现状序号要求指标标项是否符合现状分析析备注1物理位置置的选择择(G33)本项要求求包括:a)机房房和办公公场地应应选择在在具有防防震、防防风和防防雨等能能力的建建筑内;符合要求求满足b)机房房场地应应避免设设在建筑筑物的高高层或地地下室,以以及用水水设备的的下层或或隔壁。符合要求求满足2物理访问问控制(G3)本项要求求包括:a)机房房出入口口应安排排专人值值守,控控制、鉴鉴别和记记录进入入的人员员;不
20、符合要要求不满足无相关记记录b)需进进入机房房的来访访人员应应经过申申请和审审批流程程,并限限制和监监控其活活动范围围;不符合要要求不满足有监控,但但是没有有申请和和审批流流程c)应对对机房划划分区域域进行管管理,区区域和区区域之间间设置物物理隔离离装置,在重要区域前设置交付或安装等过渡区域;基本符合合要求依据业务务系统进进行了机机柜间的的区域区区分,但但未在重重要区域域前设置置物理隔隔离装置置。在重要区区域前设设置物理理隔离装装置。d) 重重要区域域应配置置电子门门禁系统统,控制制、鉴别别和记录录进入的的人员。符合要求求基本满足足3防盗窃和和防破坏坏(G33)本项要求求包括:a)应将将主要设
21、设备放置置在机房房内;符合要求求满足b)应将将设备或或主要部部件进行行固定,并并设置明明显的不不易除去去的标记记;符合要求求满足c)应将将通信线线缆铺设设在隐蔽蔽处,可可铺设在在地下或或管道中中;不符合要要求不满足有部分线线缆架设设在半空空中d)应对对介质分分类标识识,存储储在介质质库或档档案室中中;符合要求求满足e)应利利用光、电电等技术术设置机机房防盗盗报警系系统;符合要求求满足f)应对对机房设设置监控控报警系系统。符合要求求满足4防雷击(G3)本项要求求包括:a)机房房建筑应应设置避避雷装置置;符合要求求满足b)应设设置防雷雷保安器器,防止止感应雷雷;符合要求求满足c)机房房应设置置交流
22、电电源地线线。符合要求求满足5防火(GG3)本项要求求包括:a)机房房应设置置火灾自自动消防防系统,能能够自动动检测火火情、自自动报警警,并自自动灭火火;基本符合合要求安装有气气体灭火火装置b)机房房及相关关的工作作房间和和辅助房房应采用用具有耐耐火等级级的建筑筑材料;符合要求求满足c)机房房应采取取区域隔隔离防火火措施,将将重要设设备与其其他设备备隔离开开。不符合要要求不满足6防水和防防潮(GG3)本项要求求包括:a)水管管安装,不不得穿过过机房屋屋顶和活活动地板板下;符合要求求满足b)应采采取措施施防止雨雨水通过过机房窗窗户、屋屋顶和墙墙壁渗透透;符合要求求满足c)应采采取措施施防止机机房
23、内水水蒸气结结露和地地下积水水的转移移与渗透透;符合要求求满足d)应安安装对水水敏感的的检测仪仪表或组组件,对对机房进进行防水水检测和和报警。符合要求求满足7防静电(G3)本项要求求包括:a)主要要设备应应采用必必要的接接地防静静电措施施;符合要求求满足b)机房房应采用用防静电电地板。符合要求求满足8温湿度控控制(GG3)本项要求求包括:机房应设设置温、湿湿度自动动调节设设施,使使机房温温、湿度度的变化化在设备备运行所所允许的的范围之之内。符合要求求安装有动动力环境境监控系系统,建建议机房房日常温温度控制制在10028,湿湿度 33070%。9电力供应应(A33)本项要求求包括:a)应在在机房
24、供供电线路路上配置置稳压器器和过电电压防护护设备;基本符合合要求满足b)应提提供短期期的备用用电力供供应,至至少满足足主要设设备在断断电情况况下的正正常运行行要求;符合要求求设置 UUPS电电池供电电,并至至少保证证断电时时主要设设备在满满负荷情情况下44小时的的正常运运行。c)应设设置冗余余或并行行的电力力电缆线线路为计计算机系系统供电电;不符合要要求只有一条条出口线线,极容易易出现单单点故障障增加线缆缆,做到到冗余d)应建建立备用用供电系系统。符合要求求满足10电磁防护护(S33)本项要求求包括:a)应采采用接地地方式防防止外界界电磁干干扰和设设备寄生生耦合干干扰;符合要求求满足b)电源源
25、线和通通信线缆缆应隔离离铺设,避避免互相相干扰;符合要求求满足c)应对对关键设设备和磁磁介质实实施电磁磁屏蔽。符合要求求满足2.2.2 网络安全全现状与与差距分分析由于xxxxxxxx前期期已经行行相关安安全建设设,仍有相关关安全防防护建设设不到位位,主要要表现出出以下问问题点:1. 网络结构构基本清清晰,但但细节规规划不合合理;2. 新增移动动接入链路路,3. 面对日益益突增的网网络安全全事件缺缺乏有效防御御手段及及应急机机制;4. 骨干网络络架构规规划不合合理,核核心交换换区无冗冗余,安安全防护护区域划划分不明明晰,不不能对不不同区域域间防护护措施、技技术手段段进行统统一规划划,不同同区域
26、对对恶意攻攻击的防防范能力力不一。详见下表表差距分分析:图表3网网络安全全现状序号要求指标标项是否符合差距分析析备注1结构安全全(G33)本项要求求包括:a)应保保证主要要网络设设备的业业务处理理能力具具备冗余余空间,满满足业务务高峰期期需要;不符合要要求域网核心心交换设设备均采采用单链链路、单单设备,无无冗余空空间,一一旦出现现设备故故障则会会出现单单点故障障,无法法有效保保障对外外开放的的业务安安全稳定定的运行。域网核心心设备至至少有二二台,采采用多链链路b)应保保证网络络各个部部分的带带宽满足足业务高高峰期需需要;符合要求求满足c)应在在业务终终端与业业务服务务器之间间进行路路由控制制建
27、立安安全的访访问路径径;符合要求求满足d)应绘绘制与当当前运行行情况相相符的网网络拓扑扑结构图图;不符合要要求暂无拓扑扑图我们会在在工程结结束后重重新绘制制网络拓拓扑图。e)应根根据各部部门的工工作职能能、重要要性和所所涉及信信息的重重要程度度等因素素,划分分不同的的子网或或网段,并并按照方方便管理理和控制制的原则则为各子子网、网网段分配配地址段段;基本符合合要求整体网络络结构中中已按照照需求进进行子网网划分。但但使用中存存在混乱乱,没有有按规定定使用。待待本次项目目建设进进行梳理理、严格格限制f)应避避免将重重要网段段部署在在网络边边界处且且直接连连接外部部信息系系统,重重要网段段与其他他网
28、段之之间采取取可靠的的技术隔隔离手段段;基本符合合要求满足2访问控制制(G33)本项要求求包括:a)应在在网络边边界部署署访问控控制设备备,启用用访问控控制功能能;不符合要要求仅在dmmz区部部署防火火墙且防火墙墙已过保保,其他他区域未未部署访访问控制制设备建议在互互联网出出口与服服务器区区前部署署防火墙墙进边界界隔离与与访问控控制b)应能能根据会会话状态态信息为为数据流流提供明明确的允允许/拒绝访访问的能能力,控控制粒度度为端口口级;符合要求求满足c)应对对进出网网络的信信息内容容进行过过滤,实实现对应应用层HHTTPP、FTPP、TELLNETT、SMTTP、POPP3等协协议命令令级的控
29、控制;符合要求求满足d)应在在会话处处于非活活跃一定定时间或或会话结结束后终终止网络络连接;符合要求求满足e)应限限制网络络最大流流量数及及网络连连接数;不符合要要求未部署流流量控制制设备,无无法根据据所承载载的业务务和带宽宽的实际际情况确确定网络络最大流流量数和和网络连连接数并并进行管管理。部署上网网行为管管理及流流控f)重要要网段应应采取技技术手段段防止地地址欺骗骗;不符合要要求未部署访访问控制制设备的的区域无无法采用用包过滤滤或传输输控制协协议,进进行边界界访问控控制,防防止地址址欺骗,应应对网络络中的广广播、组组播进行行必要的的控制。实现重要要网段地地址进行行有效保保护防止止地址欺欺骗
30、。g)应按按用户和和系统之之间的允允许访问问规则,决决定允许许或拒绝绝用户对对受控系系统进行行资源访访问,控控制粒度度为单个个用户;不符合要要求没有在服服务器区区前和网络出出口设置置防火墙墙、认证证网关或或授权管管理系统统,可对对单个用用户的访访问进行行策略控控制。新增2台台防火墙墙实现不不同安全全域之间间的访问问控制h)应限限制具有有拨号访访问权限限的用户户数量。不符合要要求不涉及3安全审计计(G33)本项要求求包括:a)应对对网络系系统中的的网络设设备运行行状况、网网络流量量、用户户行为等等进行日日志记录录;不符合要要求有上网行行为管理理设备(过过保),但但是并没没有办法法对网络络设备运行
31、行状况日日志记录录,而部署署综合安安全日志志审计系系统可对对来自不不同厂商商的安全全设备、网网络设备备、主机机、操作作系统、数数据库系系统、用用户业务务系统的的日志、警警报等信信息汇集集到审计计中心,实实现综合合安全审审计。部署综合合日志审审计系统统可对来来自不同同厂商的的安全设设备、网网络设备备、主机机、操作作系统、数数据库系系统、用用户业务务系统的的日志、警警报等信信息汇集集到审计计中心,实实现综合合安全审审计。b)审计计记录应应包括:事件的的日期和和时间、用用户、事事件类型型、事件件是否成成功及其其他与审审计相关关的信息息;符合要求求满足c)应能能够根据据记录数数据进行行分析,并并生成审
32、审计报表表;不符合要要求不满足部署日志志审计系系统d)应对对审计记记录进行行保护,避避免受到到未预期期的删除除、修改改或覆盖盖等。符合要求求满足安全审计计日志记记录要求求保存至至少半年年以上。4边界完整整性检查查(S33)本项要求求包括:a)应能能够对非非授权设设备私自自联到内内部网络络的行为为进行检检查,准准确定出出位置,并并对其进进行有效效阻断;不符合要要求可通终端端管理系系统或AARP绑绑定技术术手段实实现可采用终终端管理理系统等等手段进进行管理理控制b)应能能够对内内部网络络用户私私自联到到外部网网络的行行为进行行检查,准准确定出出位置,并并对其进进行有效效阻断。不符合要要求可采用终终
33、端管理理系统等等手段进进行管理理控制5入侵防范范(G33)本项要求求包括:a)应在在网络边边界处监监视以下下攻击行行为:端端口扫描描、强力力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等;基本符合合要求出口处部部署有IIPS入入侵防御御b)当检检测到攻攻击行为为时,记记录攻击击源IPP、攻击击类型、攻攻击目的的、攻击击时间,在在发生严严重入侵侵事件时时应提供供报警基本符合合要求落实安全全审计系系统报警警功能。6恶意代码码防范(G3)本项要求求包括:a)应在在网络边边界处对对恶意代代码进行行检测和和清除;符合要求求满足b)应维维护恶意意代码库库的升级级和检测测系统
34、的的更新。符合要求求7网络设备备防护(G3)本项要求求包括:a)应对对登录网网络设备备的用户户进行身身份鉴别别;不符合要要求没有指定定专人进进行维护护。通过过密码和和用户名名进行身身份鉴别别,同时时也没有有部署堡堡垒主机机。可以指定定专人维维护网络络设备,并并通过用用户名和和密码进进行身份份鉴别,同同时也可可以部署署堡垒主主机b)应对对网络设设备的管管理员登登录地址址进行限限制;不符合要要求对管理员员登陆地地址没有有限制。增添堡垒垒机设备备,这样样可以有有效对远远程用户户进行管管理。c)网络络设备用用户的标标识应唯唯一;不符合要要求网络设备备没有唯唯一的标标示。重新对设设备进行行标示。d)主要
35、要网络设设备应对对同一用用户选择择两种或或两种以以上组合合的鉴别别技术来来进行身身份鉴别别;不符合要要求主要网络络设备未未对同一一用户选选择两种种或两种种以上组组合的鉴鉴别技术术来进行行身份鉴鉴别;增设堡垒垒机e)身份份鉴别信信息应具具有不易易被冒用用的特点点,口令令应有复复杂度要要求并定定期更换换;不符合要要求密码没有有定期更更换,复复杂度不不够用户口令令应122位以上上,数字字和字母母组成,至至少3 个月更更换一次次。f)应具具有登录录失败处处理功能能,可采采取结束束会话、限限制非法法登录次次数和当当网络登登录连接接超时自自动退出出等措施施;符合要求求当一次登登录密码码错误次次数超过过6次
36、,应能能自动关关闭并告告警。g)当对对网络设设备进行行远程管管理时,应应采取必必要措施施防止鉴鉴别信息息在网络络传输过过程中被被窃听;不符合要要求传输中进进行加密密,可以以使用IIPseec VVPN技技术h)应实实现设备备特权用用户的权权限分离离。不符合要要求网络管理理员、系系统管理理员和安安全审计计员分开开,并按按职责分分工限制制各自权权限,但但无技术术手段控控制。部署堡垒垒机控制制用户权权限2.2.3 主机安全全现状与与差距分分析xxxxxxx内内网主机机终端已已部署终终端杀毒毒软件。终端主机机安全现现状差距距分析,如如下:图表4主主机安全全现状序号要求指标标项是否符合差距分析析备注1身
37、份鉴别别(S33)本项要求求包括:a)应对对登录操操作系统统和数据据库系统统的用户户进行身身份标识识和鉴别别;基本符合合要求没有严格格通过账账号密码码限制操操作系统统和数据据库系统统的用户户登陆,进进行身份份标识和和鉴别;b)操作作系统和和数据库库系统管管理用户户身份标标识应具具有不易易被冒用用的特点点,口令令应有复复杂度要要求并定定期更换换;不符合要要求不满足系统管理理员的登登录身份份标识唯唯一,口口令122位以上上,且数数字和字字母大小小写组合合,每半半年应更更改一次次。c)应启启用登录录失败处处理功能能,可采采取结束束会话、限限制非法法登录次次数和自自动退出出等措施施;符合要求求当登录次
38、次数错误误超过66次,应应自动退退出并告告警。d)当对对服务器器进行远远程管理理时,应应采取必必要措施施,防止止鉴别信信息在网网络传输输过程中中被窃听听;不符合要要求没有采用用IPSSec VPNN对传输输加密的的方法来来保证远远程管理理安全可可靠。采用IPPSecc VPPN 部部署e)应为为操作系系统和数数据库系系统的不不同用户户分配不不同的用用户名,确确保用户户名具有有唯一性性。不符合要要求不满足f)应采采用两种种或两种种以上组组合的鉴鉴别技术术对管理理用户进进行身份份鉴别。不符合要要求采用用户户名密码码的鉴别别技术对对管理员员进行身身份鉴别别。部署堡垒垒机2访问控制制(S33)本项要求
39、求包括:a)应启启用访问问控制功功能,依依据安全全策略控控制用户户对资源源的访问问;不符合要要求不满足b)应根根据管理理用户的的角色分分配权限限,实现现管理用用户的权权限分离离,仅授授予管理理用户所所需的最最小权限限;不符合要要求因只设置置了一个个管理员员账号,也也未通过过技术手手段控制制授予所所需要的的最小权权限。部署堡垒垒机,将将网络管管理员、系系统管理理员和安安全审计计员分离离,通过过技术手手段控制制授予所所需要的的最小权权限。c)应实实现操作作系统和和数据库库系统特特权用户户的权限限分离;不符合要要求还是未修修改的默默认口令令修改口令令d)应严严格限制制默认帐帐户的访访问权限限,重命命
40、名系统统默认帐帐户,修修改这些些帐户的的默认口口令;不符合要要求不满足e)应及及时删除除多余的的、过期期的帐户户,避免免共享帐帐户的存存在。基本符合合要求因只一个个账户,不不存在多多余的账账户f)应对对重要信信息资源源设置敏敏感标记记;不符合要要求未对重要要服务器器部署服服务器加加固系统统,采取取安全加加固措施施,并设设置敏感感标记。对重要服服务器部部署服务务器加固固系统,采采取安全全加固措措施,并并设置敏敏感标记记g)应依依据安全全策略严严格控制制用户对对有敏感感标记重重要信息息资源的的操作;不符合要要求不满足3安全审计计(G33)本项要求求包括:a)审计计范围应应覆盖到到服务器器和重要要客
41、户端端上的每每个操作作系统用用户和数数据库用用户;不符合要要求未部署数数据库审审计系统统,无法法对服务务器和重重要客户户端上的的每个操操作系统统用户和和数据库库用户进进行审计计。部署日志志审计系系统和数据库库审计系系统b)审计计内容应应包括重重要用户户行为、系系统资源源的异常常使用和和重要系系统命令令的使用用等系统统内重要要的安全全相关事事件;不符合要要求未部署数数据库审审计系统统,无法法对重要要用户行行为、系系统资源源的异常常使用和和重要系系统命令令的使用用等系统统内重要要的安全全相关事事件进行行审计。部署日志志审计系系统和数据库库审计系系统c)审计计记录应应包括事事件的日日期、时时间、类类
42、型、主主体标识识、客体体标识和和结果等等;不符合要要求未部署数数据库审审计系统统,无法法对数据据库进行行审计。部署日志志审计系系统和数据库库审计系系统d)应能能够根据据记录数数据进行行分析,并并生成审审计报表表;不符合要要求未部署数数据库审审计系统统,无法法对异常常行为实实时告警警。部署日志志审计系系统和数据库库审计系系统e)应保保护审计计进程,避避免受到到未预期期的中断断;不符合要要求未部署数数据库审审计系统统。部署日志志审计系系统和数据库库审计系系统f)应保保护审计计记录,避避免受到到未预期期的删除除、修改改或覆盖盖等。不符合要要求未部署数数据库审审计系统统。(审审计记录录至少应应保存半半
43、年。)部署日志志审计系系统和数据库库审计系系统4剩余信息息保护(S3)本项要求求包括:a)应保保证操作作系统和和数据库库系统用用户的鉴鉴别信息息所在的的存储空空间,被被释放或或再分配配给其他他用户前前得到完完全清除除,无论论这些信信息是存存放在硬硬盘上还还是在内内存中;不符合要要求不满足b)应确确保系统统内的文文件、目目录和数数据库记记录等资资源所在在的存储储空间,被被释放或或重新分分配给其其他用户户前得到到完全清清除。不符合要要求可在终端端Winndowws操作作系统未未启用“关关机前清清除虚拟拟内存页页面”功功能项。在终端WWinddowss操作系系统启用用“关机机前清除除虚拟内内存页面面
44、”功能能项。5入侵防范范(G33)本项要求求包括:a)应能能够检测测到对重重要服务务器进行行入侵的的行为,能能够记录录入侵的的源IPP、攻击击的类型型、攻击击的目的的、攻击击的时间间,并在在发生严严重入侵侵事件时时提供报报警;符合要求求已有ipps入侵侵防御系系统b)应能能够对重重要程序序的完整整性进行行检测,并并在检测测到完整整性受到到破坏后后具有恢恢复的措措施;不符合要要求未定期使使用完整整性检查查工具或或脚本对对服务器器的重要要程序和和文件进进行检查查。定期使用用完整性性检查工工具或脚脚本对服服务器的的重要程程序和文文件进行行检查。c)操作作系统应应遵循最最小安装装的原则则,仅安安装需要
45、要的组件件和应用用程序,并并通过设设置升级级服务器器等方式式保持系系统补丁丁及时得得到更新新。不符合要要求未通过技技术手段段保持系系统补丁丁及时得得到更新新。增加终端端管理软软件模块块。6恶意代码码防范(G3)本项要求求包括:a)应安安装防恶恶意代码码软件,并并及时更更新防恶恶意代码码软件版版本和恶恶意代码码库;符合要求求满足,安安装了3360天天擎b)主机机防恶意意代码产产品应具具有与网网络防恶恶意代码码产品不不同的恶恶意代码码库;符合要求求满足,安安装了3360天天擎c)应支支持防恶恶意代码码的统一一管理。符合要求求满足,安安装了3360天天擎7资源控制制(A33)本项要求求包括:a)应通通过设定定终端接接入方式式、网络络地址范范围等条条件限制制终端登登录;不符合要要求通过账号号密码限限制终端端登录。通过增设设堡垒机机对终端端接入进进行管理