集团办公及邮件系统等年级保护三级安全整改建设方案

来源：爱够旅游网

XXXX集团公司

办公及邮件系统

信息等级保护（三级）建设方案

2016年5月

1.1 1.2 1.3 1.4

总述 .................................................................................................

项目背景 ............................................................................................................................ 设计依据 ............................................................................................................................ 设计目标 ............................................................................................................................ 设计范围 ............................................................................................................................

2.1 2.2 2.3

安全目标分析 ................................................ 错误！未定义书签。

系统定级情况 .................................................................................................................... 定级系统现状 .................................................................................................................... 等保三级安全要求 ............................................................................................................

2.3.1 2.3.2 2.4

《基本要求》三级要求 .......................................................................................... 《设计技术要求》三级要求 ..................................................................................

安全需求分析 ....................................................................................................................

2.4.1 2.4.2

合标差距分析安全需求 .......................................................................................... 风险评估分析安全需求 ..........................................................................................

3.1 3.2 3.3

等级保护总体设计 ...........................................................................

方案设计原则 .................................................................................................................... 方案设计思想 .................................................................................................................... 总体安全框架 ....................................................................................................................

3.3.1 3.3.2 3.3.3 3.4

分区分域设计 .......................................................................................................... 安全技术架构 .......................................................................................................... 安全管理架构 ..........................................................................................................

等级保护建设流程规范化 ............................................................................................ 32

4.1

等级保护安全技术建设 ...................................................................

物理安全 ............................................................................................................................

4.1.1

物理安全设计 ..........................................................................................................

4.1.2 4.2

物理安全设计具体措施 ..........................................................................................

技术安全 ............................................................................................................................

4.2.1 4.2.2 4.2.3 4.2.4 4.3

技术安全设计 .......................................................................................................... 等级保护安全建设后网络拓扑 .............................................................................. 安全区域划分 .......................................................................................................... 等级保护安全技术措施 ..........................................................................................

应用安全 ............................................................................................................................

4.3.1 4.3.1 4.4

应用安全设计 .......................................................................................................... 办公系统和邮件系统应开发安全功能 ..................................................................

等级保护所需安全产品清单 ............................................................................................

5.1 5.2

安全管理建设 ..................................................................................

安全管理要求 .................................................................................................................... 信息安全管理体系设计 ....................................................................................................

5.2.1 5.2.2 5.2.3 5.3

安全管理体系设计原则 .......................................................................................... 安全管理体系设计指导思想 .................................................................................. 安全管理设计具体措施 ..........................................................................................

信息安全管理体系设计总结 ............................................................................................

6.1 6.2 6.3

安全产品选型及指标 .......................................................................

设备选型原则 ................................................................................. 错误！未定义书签。安全产品列表 .................................................................................................................... 主要安全产品功能性能要求 ............................................................................................

6.3.1 6.3.2 6.3.3

网络接入控制系统 .................................................................................................. 服务器操作系统安全加固软件 .............................................................................. 主机监控与审计系统 ..............................................................................................

1 总述

1.1 项目背景

随着国家信息化发展战略的不断推进，信息资源已经成为代表国家综合国力的战略资源。信息资源的保护、信息化进程的健康发展是关乎国家安危、民族兴旺的大事。信息安全是保障国家主权、政治、经济、国防、社会安全和公民合法权益的重要保证。

2003年、转发的《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）明确指出：“要重点保护基础信息网络和关系、经济命脉、社会稳定等方面的重要办公系统和邮件系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。信息安全等级保护制度是提高信息安全保障能力和水平，维护、社会稳定和公共利益，保障和促进信息化设计健康发展的一项基本制度，是开展信息安全保护工作的有效办法，是信息安全保护工作的发展方向。

实行信息安全等级保护制度有利于在信息化设计过程中同步设计信息安全设施，保障信息安全与信息化设计相协调；有利于为信息系统安全设计和管理提供系统性、针对性、可行性的指导和服务，有效控制信息安全设计成本；能够强化和重点保障基础信息网络和关系、经济命脉、社会稳定等方面的重要系统的安全；能够明确国家、法人和其他组织、公民的信息安全责任，加强信息安全管理。实行信息安全等级保护制度具有重大的现实意义和战略意义，是国家对重要工程项目信息系统安全保护设计提出的强制性要求。

XXXX公司（以下简称为“XXXX”）的前身是中国航空技术进出口总公司。XXXX由中国航空工业集团公司控股，全国社会保障基金理事会、北京普拓瀚华投资管理中心（有限合伙）和中航建银航空产业股权投资（天津）有限公司共同持股。XXXX是中国航空工业的重要组成部分，是中国航空工业发展的先锋队，改革的试验田，是中国航空工业开拓国际市场、发展相关产业、扩大国际投资的综合平台。 XXXX从自身信息化业务需求和安全需求角度出发，为了满足XXXX总部各类业务信息系统的安全稳定运行，提高对重要商业信息安全的基本防护水平，更好的实现与中航工业金航商网的对接，决定针对企业内部的办公系统和邮件系统，按照国家信息安全等级保护三级水平开展安全整改建设工作，确保信息系统安全、可靠、稳定运行和长远发展。

1.2 设计依据

本方案主要依据以下文件和技术标准进行编写：

《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）《信息安全等级保护管理办法》（公通字[2007]43号）《计算机信息系统安全保护等级划分准则》（GB17859-1999）

《信息安全技术信息系统等级保护安全设计技术要求》（GB/T25070-2010）《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2008）《信息安全技术信息系统安全等级保护实施指南》（GB/T25058-2010）

1.3 设计目标

通过开展等级保护安全体系设计，从“保密性、完整性、可用性”角度为XXXX办公系统和邮件系统提供安全保障，实现系统安全和信息安全，保障系统资源和信息资源的最大化安全使用，达到通过国家信息安全等级保护（三级）测评的水平，最终实现有效支撑办公系统和邮件系统安全、可靠、长远发

展的总体目标。

1.4 设计范围

XXXX办公系统和邮件系统是本等级保护安全整改建设项目要保护的目标系统，本建设方案将以国家信息安全等级保护相关文件和技术标准为依据，将以自主知识产权和国产化信息安全装置为基础，对XXXX的办公系统和邮件系统相关的物理环境、硬件平台、软件平台以及定级系统自身，从管理和技术两个方面进行总体的规划和设计。

2 安全目标分析

2.1 系统定级情况

编号系统名称办公系统（含门户系统、1 OA系统端和移动端） 2 邮件系统三级拟定级安全等级三级系统状态拟定级 2.2 定级系统现状

XXXX的办公系统和邮件系统是本次开展等级保护建设的目标系统。两个系统尚未进行定级备案，拟定级为等保三级。（一）定级系统概述

办公系统主要用于XXXX内部工作人员办公使用。办公系统由门户系统和OA系统两个子系统组成，OA系统又包括PC系统端和移动端两部分。办公系统可通过办公内网或互联网进行访问，系统用户总数约为1800人，XXXX总部大厦约有办公人员500人。办公系统可通过PC和智能移动终端进行访问，PC端系统为B/S架构，智能移动终端系统为C/S架构，需安装相应的APP客户端软件。

邮件系统为XXXX内部工作人员提供邮件服务，系统总用户数为3023人，用户分布于国内和国外。邮件系统通过互联网访问，用户可使用Web方式或第三方邮件客户端软件进行收发操作。

图：定级系统现状拓扑图

（二）定级系统服务器情况

办公系统共有6台服务器，均部署在北京总部机房中。这6台服务器的功用：OA数据库服务器、OA应用服务器、移动OA应用服务器、OA数据库备份服务器及门户数据库服务器、门户应用服务器（虚拟机）。OA系统的PC系统端和移动端有各自的应用服务器，后端数据库为同一个数据库。OA数据库服务器和OA应用服务器划分在Internet访问入口区的DMZ区中，移动OA应用服务器、OA数据库备份服务器、门户数据库服务器和门户应用服务器（虚拟机）均划分在内网服务器区中。OA系统的4台服务器均采用Windows操作系统，系统版本为Windows2003；门户系统服务器均采用红帽子（RHEL）Linux操作系统，系统版本为5.4。

邮件系统服务器共有两台，这两台服务器采用镜像方式部署，分别安装于北京总部机房和深圳总部机房中。深圳节点为源节点，北京节点为镜像节点，两服务器之间通过一条10M电信邮件专线互联、同步。邮件服务器操作系统为红帽子Linux6.3。

由于等级保护采用属地化管理，因此，本次安全保护建设将只针对邮件系统北京节点服务器，不涉及深圳节点服务器。

表：定级系统服务器列表

序号 1 2 3 4 5 6 7 系统办公系统办公系统办公系统办公系统办公系统办公系统邮件系统用途 OA数据库服务器 OA应用服务器移动OA应用服务器操作系统版本 Windows Windows Windows 安全域 2003 DMZ区 2003 DMZ区 2003 内网服务器区 2003 内网服务器区 5.4 5.4 6.3 内网服务器区内网服务器区 DMZ区 OA数据库备份服务器 Windows 门户数据库服务器门户应用服务器邮件服务器 RHEL RHEL RHEL （三）现有安全资源（设备）

表：现有安全产品列表

编号 1 2 3 4 5 6 7 8 9 10 11 12 设备类型和名称深信服负载均衡M00 AD 山石UTM-M6110 深信服流控系统AC-2080 深信服负载均衡AD-1680 启明星辰防火墙USG-2010D 绿盟入侵防护NIPS N1000A 深信服Web应用防火墙WAF 创佳互联移动设备管理江南信安移动安全接入网关深信服SSL VPN 绿盟网络安全审计SAS1000C 绿盟BVSS安全核查

数量 1 1 1 1 1 1 1 1 1 1 1 1 单位台台台台台台台套台台台台说明访问出口安全防护；访问出口安全防护；访问出口安全防护；访问入口安全防护；访问入口安全防护；访问入口安全防护；访问入口安全防护；移动安全防护；移动接入安全防护；移动接入安全防护；网络安全及数据库审计；网络安全审计；

13 14 15 16 17 18 19 20 21 22 安恒综合日志管理DAS-200 绿盟WSMS网站检测绿盟运维审计SASNX3-H600C 绿盟入侵检测NIDS N1000A 无线AC 启明星辰防火墙USG-FW-2010D 启明星辰天榕电子文档安全系统绿盟堡垒机华为Esigh网管系统虚拟化移动OA 1 1 1 1 1 1 500 1 1 500 台台台台台台点台套点网络安全审计；网络安全审计；网络安全审计；网络安全审计；无线网络控制管理；服务器区安全防护；终端数据防泄漏；安全运维管理；网络设备运维管理（仅限华为设备）；移动办公信息防泄漏；（四）其他安全措施

1、设备管理权限

a）专线路由器和楼层交换机通过ACL控制，只允许管理员的IP地址登陆设备，并且创建不同级别的用户权限，超级管理员拥有所有权限，一般管理员只有访问权限不可修改；

b）根据部门划分VLAN，不同VLAN不能互访；

c）安全设备没有对登陆设备的源IP进行，创建不同级别权限的用户，网络管理员拥有最高权限，普通管理员只允许查看； 2、内访问设备途径；

a) 管理员统一通过绿盟堡垒机登录设备进行网管；

b) 管理员在公司以外的地方需要管理设备的时候，首先登录公司深信服VPN设备，然后登录堡垒机对设备进行网管；

3、每月月初根据IPS日志，汇总上月入侵防护事件，形成安全月报（专人负责）；

4、内部用户上网，通过深信服行为管理实现上网认证，认证方式用户名加密码和短信认证；

5、网络入口和出口各部署一台深信服链路负载均衡设备，入口联通20M，电信20M；出口联通40M，电信40M；

6、网络入口负载均衡主要负责智能DNS和网络地址转换，有效隐藏内部服务器的IP地址；网络出口负载均衡主要负责针对内部员工上网进行地址转换和链路负载均衡； 7、通过网络入口防火墙，允许内部用户对DMZ区资源的访问，控制粒度为用户加端口；

8、通过内部服务器区防火墙，允许内部用户对内部服务器区资源的访问，控制粒度为用户加端口；

9、深信服上网行为管理的外置数据中心可以记录用户6个月内的上网行为； 10、

现有网络中，Esigh网管软件只能对华为设备的运行状况产生日志，不支持第三

方设备； 11、

IPS可以对端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻

击、IP碎片攻击和网络蠕虫攻击等进行进行告警并有效阻断； 12、

IPS可以记录攻击源IP、攻击类型、攻击目的、攻击时间，在发送严重入侵事件

时应提供报警； 13、

IPS和VPN有专人负责策略下发和资源控制。

2.3 等保三级安全要求

《计算机信息系统安全保护等级划分准则》（GB17859-1999）（以下简称为“《等级划分准则》”）中定义三级信息系统安全防护等级为安全标记保护级。安全标记保护级的计算机信息系统可信计算基具有系统审计保护级的所有功能。此外，还需提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述，具有准确地标记输出信息的能力；消除通过测试发现的任何错误。

《等级划分准则》中规定，信息系统需要具备以下安全特性以保证相应的安全等级： 

自主访问控制

计算机信息系统可信计算基定义和控制系统中命名用户对命名客体地访问。实施机制（例如：访问控制表）允许命名用户以用户和（或）用户组的身份规定并控制客体的共享；阻止非授权用户读取敏感信息。并控制访问权限扩散。自主访问控制机制根据用户指定方式或默认方式，阻止非授权用户访问客体。访问控制的粒度是单个用户。没有存取权的用户只允许由授权用户指定对客体的访问权。阻止非授权用户读取敏感信息。



强制访问控制

计算机信息系统可信计算基对所有主体及其所控制的客体（例如：进程、文件、段、设备）实施强制访问控制。为这些主体及客体指定敏感标记，这些标记是等级分类和非等级类别的组合，它们是实施强制访问控制的依据。计算机信息系统可信计算基支持两种或两种以上成分组成的安全级。计算机信息系统可信计算基控制的所有主体对客体的访问应满足：仅当主体安全级中的等级分类高于或等于客体安全级中的等级分类，且主体安全级中的非等级类别包含了客体安全级中的全部非等级类别，主体才能读客体；仅当主体安全级中的等级分类低于或等于客体安全级中的等级分类，且主体安全级中的非等级类别包含于客体安全级中的非等级类别，主体才能写一个客体。计算机信息系统可信计算基使用身份和鉴别数据，鉴别用户的身份，并保证用户创建的计算机信息系统可信计算基外部主体的安全级和授权受该用户的安全级和授权的控制。



标记

计算机信息系统可信计算基应维护与主体及其控制的存储客体（例如：进程、文件、段、设备）相关的敏感标记。这些标记是实施强制访问的基础。为了输入未加安全标记的数据，计算机信息系统可信计算基向授权用户要求并接受这些数据的安全级别，且可由计算机信息系统可信计算基审计。



身份鉴别

计算机信息系统可信计算基初始执行时，首先要求用户标识自己的身份，而且，计算机信息系统可信计算基维护用户身份识别数据并确定用户访问权及授权数据。计算机信息系统可信计算基使用这些数据鉴别用户身份，并使用保护机制（例如：口令）来鉴别用户的身份；阻止非授权用户访问用户身份鉴别数据。通过为用户提供唯一标识，计算机信息系统可信计算基能够使用户对自己的行为负责。计算机信息系统可信计算基还具备将身份标识与该用户所有可审计行为相关联的能力。



客体重用

在计算机信息系统可信计算基的空闲存储客体空间中，对客体初始指定、分配或再分配一个主体之前，撤消客体所含信息的所有授权。当主体获得对一个已被释放的客体的访问权时，当前主体不能获得原主体活动所产生的任何信息。



审计

计算机信息系统可信计算基能创建和维护受保护客体的访问审计跟踪记录，并能阻止非授权的用户对它访问或破坏。

计算机信息系统可信计算基能记录下述事件：使用身份鉴别机制；将客体引入用户地址空间（例如：打开文件、程序初始化）；删除客体；由操作员、系统管理员或（和）系统安全管理员实施的动作，以及其他与系统安全有关的事件。对于每一事件，其审计记录包括：事件的日期和时间、用户、事件类型、事件是否成功。对于身份鉴别事件，审计记录包含请求的来源（例如：终端标识符）；对于客体引入用户地址空间的事件及客体删除事件，审计记录包含客体名及客体的安全级别。此外，计算机信息系统可信计算基具有审计更改可读输出记号的能力。

对不能由计算机信息系统可信计算基分辨的审计事件，审计机制提供审计记录接口，可由授权主体调用。这些审计记录区别于计算机信息系统可信计算基分辨的审计记录。



数据完整性

计算机信息系统可信计算基通过自主和强制完整性策略，阻止非授权用户修改或破坏敏感信息。在网络环境中，使用完整性敏感标记来确信信息在传送中未受损。

2.3.1 《基本要求》三级要求

《信息安全技术信息系统等级保护安全设计技术要求》（GB/T25070-2010）（以下简称为“《基本要求》”）。《基本要求》中规定三级安全防护能力应能够在统一安全策略下防护系统免受来自内部操作性攻击和外部有组织的团体（如一个商业情报组织或犯罪组织等），拥有较为丰富资源（包括人员能力、计算能力等）的威胁源发起的恶意攻击、较为严重的自然灾难（灾难发生的强度较大、持续时间较长、覆盖范围较广等）以及其他相当危害程度的威胁（内部人员的恶意威胁、无意失误、较严重的技术故障等）所造成的主要资源损害并能够检测到此类威胁，并在威胁发生造成损害后，能够较快恢复绝大部分功能。

《基本要求》是针对不同安全等级信息系统应该具有的基本安全保护能力提出的安全要求，基本安全要求分为基本技术要求和基本管理要求两大类。基本技术要求与信息系统提供的技术安全机制有关，主要通过在信息系统中部署软硬件并正确的配置其安全功能来实现；基本管理要求与信息系统中各种角色参与的活动有关，主要通过控制各种角色的活动，从、制度、规范、流程以及记录等方面做出规定来实现。

基本技术要求从“物理安全、网络安全、主机安全、应用安全和数据安全”几个层面提出；基本管理要求从“安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理”几个方面提出，基本技术要求和基本管理要求是确保信息系统安全不可分割的两个部分。基本安全要求从各个层面或方面提出了系统的每个组件应该满足的安全要求，信息系统具有的整体安全保护能力通过不同组件实现基本安全要求来保证。

《基本要求》安全三级对信息系统安全防护能力所提出的具体要求参看《信息系统安全等级保护基本要求》（GB/T22239-2008）第七章节。

另外，在依据《基本要求》分层面采取各种安全措施时，还应考虑以下总体性要求，保证信息系统的整体安全保护能力。

a) 构建纵深的防御体系

《基本要求》从技术和管理两个方面提出基本安全要求，在采取由点到面的各种安全措施时，在系统整体上还应保证各种安全措施的组合从外到内构成一个纵深的安全防御体系，保证信息系统整体的安全保护能力。应从通信网络、局域网络边界、局域网络内部、各种业务应用平台等各个层次落实本标准中提到的各种安全措施，形成纵深防御体系。

b) 采取互补的安全措施

《基本要求》以安全控制组件的形式提出基本安全要求，在将各种安全控制组件集成到特定信息系统中时，应考虑各个安全控制组件的互补性，关注各个安全控制组件在层面内、层面间和功能间产生的连接、交互、依赖、协调、协同等相互关联关系，保证各个安全控制组件共同综合作用于信息系统的安全功能上，使得信息系统的整体安全保护能力得以保证。

c) 保证一致的安全强度

《基本要求》将基本安全功能要求，如身份鉴别、访问控制、安全审计、入侵防范、安全标记等内容，分解到信息系统中的各个层面，在实现各个层面安全功能时，应保证各个层面安全功能实现强度的一致性。应防止某个层面安全功能的减弱导致系统整体安全保护能力在这个安全功能上消弱。如要实现双因子身份鉴别，则应在各个层面的身份鉴别上均实现双因子身份鉴别；要实现强制访问控制，则应保证在各个层面均基于低层操作系统实现强制访问控制，并保证标记数据在整个信息系统内部流动时标记的唯一性等。

d) 建立统一的支撑平台

《基本要求》在较高级别信息系统的安全功能要求上，提到了使用密码技术，多数安全功能（如身份鉴别、访问控制、数据完整性、数据保密性、抗抵赖等）为了获得更高的强度，均要基于密码技术，为了保证信息系统整体安全防护能力，应建立基于密码技术的统一支撑平台，支持高强度身份鉴别、访问控制、数据完整性、数据保密性、抗抵赖等安全功能的实现。

e) 进行集中的安全管理

《基本要求》在较高级别信息系统的安全功能管理要求上，提到了统一安全策略、统一安全管理等要求，为了保证分散于各个层面的安全功能在统一策略的指导下实现，各个安全控制组件在可控情况下发挥各自的作用，应建立安全管理中心，集中管理信息系统中的各个安全控制组件，支持统一安全管理。

2.3.2 《设计技术要求》三级要求

为贯彻和实施信息安全等级保护制度，国家出台了相关的法规、文件、国家标准和公共安全行业标准，这些内容为信息安全等级保护工作的开展提供了法律、、和技术标准依据。《信息安全技术信息系统等级保护安全设计技术要求》（GB/T25070-2010）（以下简称为“《设计技术要求》”）规范了信息系统等级保护安全设计技术要求，为等级保护安全技术方案的设计和实施提供了指导，是进行信息系统安全建设和加固工作的重要依据。

《设计技术要求》对三级安全防护系统提出了总体的安全目标：通过实现基于安全策略模型和标记的强制访问控制以及增强系统的审计机制，使系统具有在统一安全策略管控下，保护敏感资源的能力。其核心安全策略为：构造非形式化的安全策略模型，对主、客体进行安全标记，表明主、客体的级别分类和非级别分类的组合，以此为基础，按照强制访问控制规则实现对主体及其客体的访问控制。 “统一管理、统一策略”和“访问控制”是《设计技术要求》的核心安全思想。《设计技术要求》规定等级保护系统应按照“一个中心三重防护”体系架构进行安全技术体系规划和设计，构建“由安全管理中心进行统一管理，由安全计算环境、安全区域边界和安全通信网络三重防护环节”所组成的纵深、立体的信息安全防护体系。安全计算环境、安全区域边界、安全通信网络必须在安全管理中心的统一管控下运转，各安全环节各司其职、相互配合，共同构成定级系统的安全保护环境，确保信息的存储、处理和传输的安全，并在跨域安全管理中心的统一安全策略控制下，实现不同定级系统的安全互操作和信息安全交换。

《设计技术要求》对安全计算环境、安全区域边界、安全通信网络以及安全管理中心四个部分分别提出了明确的安全要求。《设计技术要求》对安全计算环境提出了“用户身份鉴别、自主访问控制、标记和强制访问控制、系统安全审计、用户数据完整性保护、用户数据保密性保护、客体安全重用、程序可信执行保护”等安全要求；对安全区域边界提出了“区域边界访问控制、区域边界包过滤、区域边界安全审计、区域边界完整性保护”等安全要求；对安全通信网络提出了“通信网络安全审计、通信网络数据传输完整性保护、通信网络数据传输保密性保护、通信网络可信接入保护”等安全要求；要求安全管理中心需要由“系统管理分中心、安全管理分中心以及审计管理分中心”三个部分组成，即按照“三权分立，相互监督、相互制约”的架构进行设计和建设。

《设计技术要求》安全三级对等级系统安全防护体系所提出的具体要求请参看《信息安全技术信息系统等级保护安全设计技术要求》（GB/T25070-2010）第七章节。

2.4 安全需求分析

信息安全建设是一个量体裁衣的过程，因此安全体系的规划和设计，应该以办公系统和邮件系统的信息安全现状为基础展开。为了掌握办公系统和邮件系统当前信息安全现状，特通过信息安全现状合标差距分析以及安全风险评估两种方法，对系统安全现状进行了客观、细致、详实的调研和安全需求分析。

2.4.1 合标差距分析安全需求

2.4.1.1 物理安全

1）机房选址在建筑高层；

2）定级系统相关的服务器等设备，并非所有设备上都有标签；标签粘贴的位置、格式、内容等不

统一，标签上信息不完整；

3）不明确办公系统、邮件系统有哪些相关的光、磁类存储介质；办公系统采用一块活动硬盘定期

进行数据备份，该活动硬盘完全由系统管理员个人保管，管理不规范；

4）机房内无防盗报警装置或系统；

5）在机房过渡区存有大量空纸箱等易燃物，带来火灾隐患，影响通过顺畅。

2.4.1.2 网络安全

1）网络设备存在着多人共用账号进行维护管理的情况；

2）网络设备通过用户名/口令方式进行登录身份鉴别，未采用双因子等强身份鉴别技术； 3）缺少网络准入控制措施。

2.4.1.3 主机安全

1）操作系统均使用系统默认的管理员账户，容易被冒用；管理员账户口令复杂度未形成规范化、

文档化要求；口令长时间不更换；

2）服务器操作系统和数据库系统未为每个用户分配不同的用户名，管理人员共用管理账户，一旦

出现安全问题，无法落实责任到个人；

3）服务器本地登录只通过“用户名/口令”方式进行身份鉴别，远程登录了登录终端地址，

但也仅通过“用户名/口令”这一种方式鉴别用户身份，未实现双因子或更强的身份鉴别要求； 4）应依据“三权分立”原则设置管理权限体系，即设置安全管理员、系统管理员、审计管理员等，

根据管理员角色赋予相应的功能权限，避免出现超级用户；

5）无论是Windows还是Linux服务器操作系统，均使用系统默认的管理员账号进行维护管理，未

重命名系统默认账户或采用自定义账户；

6）服务器和重要终端上并未安装专门的主机审计类产品，存在着审计信息不完整、不全面的问题； 7）操作系统的审计主要依赖操作系统自身的审计日志功能，对审计记录并无任何额外的保护措

施，无法阻止被删除、修改；

8）服务器上未部署检测和防范入侵行为的安全防护措施；

9）服务器上未部署对重要程序完整性进行检测和恢复的安全防护措施； 10）服务器上无对用户系统资源占用进行的技术措施；

2.4.1.4 应用安全

1）办公系统的用户通过用户名/口令方式登录XXXX的办公门户，未采用双因子身份认证； 2）邮件系统的管理员账户通过口令和动态口令双因子方式进行登录身份鉴别，普通业务用户则只

通过用户名/口令方式进行身份鉴别，未采用双因子身份认证。邮件系统其实内置有绑定动态密码登录的安全功能，不过这样会对邮件系统使用的便捷性和习惯带来很大影响，因此应先对邮件系统是否需要双因子身份认证功能进行讨论确认，然后再确定是否开启该安全策略； 3）办公系统中无任何设置敏感标记或重要程度的功能； 4）办公系统暂无审计功能；

5）邮件系统有针对管理员操作行为的审计功能；普通业务用户有登录日志及收发日志，且设有备

档系统，对收发的所有邮件均有留档；

6）邮件系统提供记住用户名、记住密码的功能，存在着被他人未经认证即可登录的可能； 7）办公系统暂无数据原发成功验证功能； 8）办公系统暂无数据接收成功验证功能；

9）办公系统具备防止单个账户多重登录功能，但未启用；

10）办公系统无任何系统服务水平检测功能；邮件系统会检测空间容量，当小于一定数值则会只提

供基本的邮件收发功能，不会再自动存档，不会进行报警；

2.4.1.5 数据安全及备份恢复

1）办公系统和邮件系统均通过SSL协议进行数据传输，可以保证数据传输的完整性，但出现完整

性错误时，无恢复机制；

2）办公系统和邮件系统均通过SSL协议进行数据的传输保存，可以检测数据的完整性，但出现完

整性错误时，无恢复机制；

3）目前办公系统中的数据，正文、附件等内容保存在系统的应用服务器中，应用服务器中的数据

通过人工方式每周一次备份在移动硬盘中，备份数据只保留一次；系统数据库中的数据，通过数据库备份工具，每天一次自动进行备份，备份数据保存在数据库服务器本地，保留最近7天数据；

4）办公系统无异地备份措施；

5）办公系统目前已经出现不规律的系统慢等问题；

2.4.1.6 安全管理制度

1）暂未制定信息安全管理的总体方针、纲领、策略；

2）已经编制了《信息安全管理办法》，且内容基本能够覆盖办公系统和邮件系统日常的安全管理

内容，但该管理办法当前尚处于拟定状态，并未正式发布和实施；

3）现在已经有了《应用系统事业部日常巡检管理办法》、《应用系统事业部运维管理办法》、《XXXX

总部办公系统运维服务规范手册》等几个管理规范方面的文件，这个文件为运营团队内部文件，并未在公司层面正式发布；且操作规程文件覆盖不完整；

4）已经建立了一些信息安全管理制度、规范及相关文件，但制度、规范文件覆盖不完整；制度规

范文件并未形成体系化的安全管理制度体系； 5）安全管理制度格式没有统一要求；未进行版本控制；

6）针对管理制度文件定期进行合理性和适用性审定工作，并未规范化和制度化；

7）无安全管理制度定期或不定期进行检查审定的机制，制度一经发布基本不会再修改，只有当适

用性太差时，才会重新制定和发布新标准；

2.4.1.7 安全管理机构

1）没有明确、具体的职能部门负责信息安全管理工作；暂未设置专门的信息安全岗位；暂未有明

确的信息安全岗位的工作职责说明；

2）暂未设立指导和管理信息安全工作的委员会或领导小组；

3）目前的日常运维工作中，有一些是与系统的安全性、可用性相关的，但这些安全运维动作并不

是完全由安全管理员完成，而是由相应的管理员各自完成；而且有些关键性的安全运维动作并不在当前的日常运维工作范围内，比如服务器操作系统的补丁升级，办公系统和邮件系统服务器的补丁升级策略是关闭的，目前最新的补丁打到了2012年6月；

4）暂无规范化、制度化的定期开展安全技术措施有效性、安全配置与安全策略一致性、安全管理

制度执行情况检查、核查的要求；

5）无信息安全方面的检查，没有相关配套的安全检查表格、报告、数据等； 6）无安全审核和安全检查制度规范；无安全检查报告；无安全检查报告通报机制；

2.4.1.8 人员安全管理

1）目前XXXX内部只有涉密人员及涉及信息安全项目的合作厂商的现场服务人员签署保密协议； 2）暂无针对安全技能及安全认知方面的考核及相关的制度要求；

3）暂无对关键岗位工作人员进行全面安全审查和技能考核方面的制度要求，只是在人员入职的时

候做背景调查和安全技能考核；

4）目前暂无安全考核机制，因此也没有安全考核结果需要记录；在人员入职试用期结束时会有考

核，该考核结果会由人力资源部门留存；

5）每年XXXX保密办会开展保密方面的培训，无其他安全意识、岗位技能等方面的培训；有时会

将内部管理岗位人员外送参加培训，或请相关厂商开展培训；、

6）目前在组织内部只有针对涉密方面的安全奖惩制度和措施（《XXXX安全保密管理奖惩办法》），

未涉密方面则没有任何安全责任、奖惩措施方面的规章制度或书面规定； 7）暂无对要求定期开展安全教育和培训方面的书面规定或规章制度； 8）暂未开展过相应的安全教育和培训，无结果可记录；

9）暂无针对外部人访问的具体范围、系统、设备等进行明确规定的规章制度或书面文件；

2.4.1.9 系统建设管理

1）暂无明确的工程实施方面的管理制度；

2.4.1.10 系统运维管理

1）暂无办公区工作人员安全管理方面的规章制度；

2）暂无专门针对设备维护、维修方面的管理制度或规范文件； 3）暂无网络安全管理制度或规范文件；

4）暂未有正式发布和执行的针对系统安全的管理制度；

5）办公系统和邮件系统有专门的系统管理员；系统管理员未按照安全、审计、系统等方式再进行

细粒度的管理角色划分，都只设有一个系统管理员； 6）暂无定期检查日志和审计数据的行为和规范要求；

7）办公系统和邮件系统的服务器上未安装杀毒软件；外来计算机或存储设备接入内部网络前未做

病毒检查，也无相关规范要求；

8）办公系统和邮件系统服务器上未安装杀毒软件；

9）暂无恶意代码软件使用、规范和管理方面的管理制度或明确规定； 10）暂无备份及恢复管理规章制度；

11）办公系统和邮件系统并无明确的备份管理规范或制度性文件，并未对系统数据备份制定明确的

备份策略和恢复策略；备份策略应包括数据备份放置的场所、文件命名规则、介质替换频率及数据传输方法等；

12）没有书面化的数据备份和恢复过程的文件；数据备份过程并未做记录；

13）无明确的数据恢复程序，未定期检查或测试备份介质的有效性；针对数据备份恢复，没有相应

的管理制度或规范文件；未对数据恢复过程进行过实际的演练、操作； 14）暂未针对应急预案开展过相关的培训；

2.4.2 风险评估分析安全需求

2.4.2.1 身份鉴别

目前所有主机都采用操作系统账户口令方式进行身份鉴别，一旦密码丢失或出现字典攻击、暴力破解等攻击，非授权人员即可非法登录系统进行操作，从而导致主机系统被非授权登陆；

发现问题如下：

 目前所有主机都采用操作系统账户口令方式进行身份鉴别，未采用两种或两种以上的组合鉴别

技术对管理用户进行身份鉴别；  存在多人共用一个账户的情况；

 OA系统中主机未开启密码复杂度校验，密码有效期采用系统默认设置42天。邮件系统、门户

系统密码有效期为：99999天（永久有效），密码最短长度为：5个字符；  所有主机均未开启账户锁定策略。

 OA系统中的3台主机的管理用户administrator均未重命名。

2.4.2.2 访问控制

未能实现主客体标记的强制访问控制，缺少对服务器重要文件、重要目录、程序、进程等资源的细粒度保护，有可能出现系统正常应用程序和系统配置遭到篡改，且不能实现对主客体标记的细粒度审计，无法及时发现内部运维用户对服务器重要数据的恶意操作、客体资源滥用、破坏数据等行为。因此对于主体人员的权限、管理方面有待完善，内部人员的日常操作有待规范等，一旦安全事件发生时，无法追溯并定位真实的操作者，这种行为往往对系统造成严重的后果；

发现问题如下：

 OA系统中的应用服务器对OA业务目录的访问权限配置为：EveryOne完全控制，权限过于宽

泛，存在业务数据被恶意篡改，恶意删除等风险；

 OA系统中的所有主机均开启了磁盘默认共享，存在通过网络窃取敏感数据的风险；

 OA系统中的所有主机均未对sethc.exe程序做权限控制，存在提权漏洞，恶意人员无需知道管

理员账户密码即可获取管理员权限；

 OA系统中的数据备份服务器上存在多余账户、未锁定账户：aaa，test等；

 门户系统中的WebSphere程序包未单独设置服务账户，而采用root用户实施部署。一旦

WebSphere应用程序漏洞被利用时，将会直接获取root权限；

 邮件系统、门户系统未针对su命令配置使用权限，任何用户仅需知道root密码即可切换root

用户，权限开放过于宽泛。

2.4.2.3 安全审计

服务器自身的审计功能不能满足等级保护国家标准的要求，作为用户行为的追踪审计，一旦出现安全事件，无据可查，无据可依，无法追溯并定位真实的操作者；

发现问题如下：

 所有主机均开启了操作系统自带的审计功能，但未对审计进程做防中断措施，一旦管理员密码

被窃，恶意人员即可中断审计进程，造成审计遗漏现象；

 邮件系统、门户系统的审计日志root用户可随意更改，一旦root密码被窃，恶意人员即可中

断审计进程，修改审计结果，影响审计日志的权威性；

2.4.2.4 剩余信息保护

未实现剩余资源保护机制，一旦恶意攻击者登录服务器操作系统，还可以还原并重复上一次用户登录的数据和操作，从而对服务器操作系统和重要数据造成破坏；

发现问题如下：

 OA系统中所有主机均未配置“不显示上次登录用户名”，当恶意人员尝试登录系统系统时，

可根据上次登录的用户名对系统进行密码暴力破解。

2.4.2.5 入侵防范

服务器操作系统长期没有进行补丁的修订，处于极度危险状态，外部攻击者很可能会通过操作系统自身漏洞进行攻击，甚至导致整个业务系统瘫痪。

部分主机未遵循最小化安装原则，启用了无用的服务，加大系统资源消耗的同时提升了系统面临的风险。

发现问题如下：

 OA系统中的应用服务器上安装了无用软件WPS办公软件，容易被恶意人员利用WPS的漏洞对

服务器实现跳板攻击。

 OA系统使用windows server 2003版本的操作系统，微软在2015年7月14日已宣布停止对该

操作系统的更新支持；

 OA系统的数据库备份服务器自从系统安装后，未更新过任何补丁。

 OA系统的应用服务器、数据库服务器最新补丁更新至2012年6月8号，之后的上百个补丁未

更新。

 门户系统应用服务器、OA系统的数据库备份服务器未开启自身的网络防火墙；

 门户系统应用服务器、数据库服务器未遵循最小化安装原则安装操作系统，默认开启了不必要

的蓝牙服务，打印服务，增加了系统面临的风险。

2.4.2.6 恶意代码防范

部分服务器未使用杀毒软件或其他恶意代码防护软件，缺乏主动防护恶意代码机制，病毒和木马可以潜入或运行在操作系统，造成可信的应用程序和代码被恶意篡改；

发现问题如下：

 除OA系统中数据库服务器外，其他所有主机均未部署杀毒软件或其他恶意代码防护软件，不

具备恶意代码防范的能力。

2.4.2.7 资源控制

在服务器资源控制方面暂时未采用监控管理的手段，无法实时地了解设备运行状况和端口使用情况，一旦设备出现问题，无法及时发现并定位问题所在点，无法作出及时的措施避免攻击带来的损失；

发现问题如下：

 所有主机均未采用资源监控措施；

 所有主机未对主机资源针对用户进行合理分配；

 邮箱系统、门户系统未做超时锁定操作终端的配置，无法保护用户操作环境。

3 等级保护总体设计

3.1 方案设计原则

等级保护是国家信息安全设计的重要，其核心是对信息系统分等级、依

标准进行设计、管理和监督。安全等级保护设计，应当以适度安全为核心，以重点保护为原则，从业务的角度出发，重点保护业务应用，在方案设计中应当遵循以下的原则：

 适度安全原则

任何信息系统都不能做到绝对的安全，等级保护安全体系的设计，必须在安全需求、安全风险和安全成本之间进行平衡和折中，过低的安全保护无法满足业务系统实际的安全要求；过高的安全保护则必然导致设计成本大幅增加，系统复杂性和运维、学习成本大幅提高，整个系统环境面临的技术风险也同样大幅提高。

适度安全是等级保护设计的初衷，因此在进行等级保护设计的过程中，一方面要严格遵循《基本要求》，从基础网络安全、边界安全、终端系统安全、服务端系统安全、应用安全、数据安全与备份恢复、安全管理中心等方面进行安全设计，保障系统的机密性、完整性和可用性，另外也要综合成本的角度，针对办公系统和邮件系统的实际风险，设计相应的安全保护强度，并按照保护强度进行安全防护系统的设计，从而有效控制成本。

 重点保护原则

根据重要性程度的不同，有重点有针对性的进行安全保护，集中资源优先保护涉及核心业务或关键信息资产的组件。

 技术、管理并重原则

信息安全问题从来就不是单纯的技术问题，把防范黑客入侵和病毒感染理解为信息安全问题的全部是片面的，仅通过部署安全产品很难完全保护办公系统和邮件系统规避所有面临的安全风险和威胁，必须技术与管理相结合，通过管理手段对非法安全行为进行威慑，保证安全技术措施的落实和执行，这样才能确保安

全体系的有效性。

 分区分域设计原则

分区分域是信息安全保护的有效措施。根据业务功能、访问行为、重要性程度以及安全需求等因素，将办公系统和邮件系统划分为不同的安全域，通过技术手段将不同的安全域进行安全隔离，对安全域之间的访问行为进行隔离控制，能够有效的提高重要信息资产的安全性。通过安全域的划分，也可以防止一些非法访问行为在整网蔓延。

 标准化原则

办公系统和邮件系统的安全防护体系，将严格依据《基本要求》、《设计技术要求》等技术标准进行规划设计和集成设计。

 动态调整原则

信息安全问题不是静态的，它会随着业务功能、组织策略、组织架构、办公系统及邮件系统的操作流程的改变而改变，因此必须要根据这些变化，及时调整安全防护措施。

3.2 方案设计思想

1) 构建符合等级保护思想的安全支撑体系

随着计算机科学技术的不断发展，计算机产品的不断增加，信息系统也变得越来越复杂。但是无论如何发展，任何一个信息系统都由计算环境、区域边界、通信网络三个层次组成。计算环境是用户的工作环境，由完成信息存储与处理的计算机系统硬件和系统软件以及外部设备及其连接部件组成，计算环境的安全是办公系统和邮件系统安全的核心，是授权和访问控制的源头；区域边界是计算环境的边界，对进入和流出计算环境的信息实施控制和保护；通信网络是计算环境之间实现信息传输功能的部分。在这三个环节，如果每一个使用者都是经过认证和授权的，其操作都是符合规定的，那么就不会产生攻击性的事故，就能保证信息安全。 2) 建立科学实用的全程访问控制机制

访问控制机制是信息系统中敏感信息保护的核心，依据《等级划分准则》，三级信息系统安全保护环境的设计策略，应“提供有关安全策略模型、数据标记以及主体对客体强制访问控制”的相关要求。基于“一个中心支撑下的三重保障体系结构”的安全保护环境，构造非形式化的安全策略模型，对主、客体进行安全标记，并以此为基础，按照访问控制规则实现对所有主体及其所控制的客体的强制访问控

制。由安全管理中心统一制定和下发访问控制策略，在安全计算环境、安全区域边界、安全通信网络实施统一的全程访问控制，阻止对非授权用户的访问行为以及授权用户的非授权访问行为。 3) 加强源头控制，实现基础核心层的纵深防御

终端是一切不安全问题的根源，终端安全是保障办公系统和邮件系统安全的基础，如果在终端实施积极防御、综合防范，努力消除不安全问题的根源，那么重要信息就不会从终端泄露出去，病毒、木马也无法入侵终端，内部恶意用户更是无法从网内攻击办公系统和邮件系统，防范内部用户攻击的问题迎刃而解。安全操作系统是终端安全的核心和基础。如果没有安全操作系统的支撑，终端安全就毫无保障。实现基础核心层的纵深防御需要高安全等级操作系统的支撑，并以此为基础实施深层次的人、技术和操作的控制。

4) 面向应用，构建安全应用支撑平台

办公系统和邮件系统是本次项目的安全保护目标，应以应用安全为核心构建整个信息安全防护体系，所有的安全措施，都应该围绕着“应用安全”这一核心目标进行规划和设计。确保应用系统安全、可靠、稳定运行，同时确保系统中流转的关键信息、敏感信息的安全。

通过可信计算的基础保障机制建立可信应用环境，通过资源隔离特定进程对特定文件的访问权限，从而将应用服务隔离在一个受保护的环境中，不受外界的干扰，确保应用服务相关的客体资源不会被非授权用户访问。输入输出安全检查截获并分析用户和应用服务之间的交互请求，防范非法的输入和输出。

3.3 总体安全框架

信息系统等级保护安全体系设计工作是安全技术手段和安全管理措施的结合，以物理安全为基础，信息安全技术体系和信息安全管理体系作为整体安全支撑，达到风险评估和等级保护螺旋上升，持续改进的效果。安全体系总体架构见下图：

安全管理体系管理机构事前预防人员管理事中处理管理制度事后究责应急响应完善加强风险评估安全管理技术安全技术体系安全计算环境系统管理安全区域边界安全管理安全管理中心安全通信网络审计管理等级保护物理安全环境安全设备安全全体系总体架构图

介质安全图：安

3.3.1 分区分域设计

3.3.1.1 分区分域的目的

划分安全域采用分区分域设计，具有以下意义：

 区域的划分使整体网络结构的界限清晰；

 具有相同安全保护要求的网络和设备划分到一个安全区域中；

 不同的安全区域内，可方便地部署不同类型和功能的安全防护设备和产品，同时形成相辅相成的多层次立体防护体系；

 同一个安全区域内可方便地部署相同或相似的安全防护策略。

分区分域保护做到重点明确，将有效的安全资源投入到最需要保护的部分，并且由各个不同的区域组成多层次的立体防护体系。

3.3.1.2 分区分域的原则

分区分域的过程遵循以下基本原则：

 业务保障原则：分区分域方法的根本目标是能够更好的保障网络上承载的业务，在保证安全的同时，还要保证业务的正常运行和效率；

 结构简化原则：分区分域方法的直接目的和效果是将信息（应用）系统整个网络变得更加简单，简单的逻辑结构便于设计防护体系。比如，分区分域并不是粒度越细越好，区域数量过多，过杂可能会导致安全管理过于复杂和困难；

 立体协防原则：分区分域的主要对象是信息（应用）系统对应的网络，在分区分域部署安全设备时，需综合运用身份鉴别、访问控制、安全审计等安全功能实现立体协防；

 生命周期原则：对于信息（应用）系统的分区分域设计，不仅要考虑静态设计，还要考虑变化因素，另外，在分区分域设计和调整过程中要考虑工程化的管理。

3.3.1.3 安全区域划分

根据业务功能以及安全需求的不同，将XXXX总部信息网络规划为Internet访问出口区、Internet访问入口区（含DMZ区）、移动安全接入区、核心交换及专线区域、安全管理区（审计核查区域）、内部用户区和内网服务器区等共7个安全域。详细说明如下：

图：安全域划分图

1. Internet访问出口区：由联通、电信双出口组成，提供Internet互联网访问服务；

2. Internet访问入口区（含DMZ区）：由联通、电信双线路组成，提供Internet接入服务；本安

全区内设置有DMZ区，通过启明星城防火墙进行安全隔离；DMZ区内部署了向互联网提供服务器的应用服务器，包括办公系统应用服务器、办公系统数据库服务器和邮件系统服务器等； 3. 移动安全接入区：提供移动智能设备接入服务以及远程VPN安全接入服务，另络DNS服

务器和DHCP服务器也部署在本安全区域；

4. 核心交换及专线区域：部署了网络的核心交换设备，用于数据的高速转发；北京总部和深圳总

部之间的10M电信邮件专线，通过路由器与核心交换互联；同时，用于内部Wifi热点管理的无线AC也部署在本安全区；

5. 安全管理区：本安全区主要用于部署各类信息安全产品及相关服务器，目前主要包括绿盟网络

安全设计系统、绿盟安全核查系统、安恒综合日志管理系统、绿盟网站检测系统、绿盟运维审计系统、绿盟入侵防护系统等；

6. 内部用户区：业务终端的接入区域，连接方式有无线和有线两种方式；

7. 内网服务器区：用于部署业务应用的服务器，部署有统一身份认证系统，本安全区边界由一台

透明模式部署的启明星辰防火墙提供安全隔离和保护。

3.3.2 安全技术架构

在分区分域的基础上，根据《设计技术要求》的指导，我们将按照“一个中心三重防护”的体系架构来设计信息安全体系。根据《设计技术要求》中的定义，信息网络平台可划分成由计算环境、区域边界和通信网络三部分组成，分别在这三部分进行安全设计，构建“三重防护”体系，同时，再设计安全管理中心对整个安全体系的所有部件进行统一管理和控制，即形成了“由安全管理中心统一管控下的安全计算环境、安全区域边界和安全通信网络”的“一个中心三重防护”的安全技术架构。

安全体系架构如下图所示：

图：“一个中心三重防护”安全体系架构

安全管理中心实施对计算环境、区域边界和通信网络统一的安全策略管理，确保系统配置完整可信，确定用户操作权限，实施全程审计追踪。安全管理中心从安全权限上再细分为系统管理、安全管理和审计管理三个管理分中心，各管理分中心分别负责不同的安全管理权限，形成“三权分立，相互制约，相互监督”的安全管理体系，避免“超级用户”的出现。

计算环境安全是安全保护的重心。计算环境安全通过对服务器、终端操作系统进行安全加固，实现对数据库系统和上层应用系统的可用性、完整性和保密性的保护，保障应用业务处理全过程的安全。通过在服务器和重要终端操作系统核

心层和系统层设置以强制访问控制为主体的系统安全机制，形成严密的安全保护环境，通过对用户行为的控制，可以有效防止非授权用户访问和授权用户越权访问，保护办公系统和邮件的保密性和完整性，为系统的正常运行和免遭恶意破坏提供支撑和保障。计算环境安全是信息安全的根本，是信息安全的第一道安全屏障。

区域边界对进入和流出应用环境的信息流进行安全检查和访问行为控制，确保不会有违背系统安全策略的信息流或访问行为通过边界，边界的安全保护和控制是信息安全的第二道安全屏障。

通信网络设备通过对通信双方进行可信鉴别验证，建立安全通道，实施传输数据密码保护，确保其在传输过程中不会被窃听、篡改和破坏，是信息安全的第三道安全屏障。

根据《设计技术要求》中计算环境、区域边界、通信网络的定义，核心交换及专线区域、内部用户区域、内网服务器区为计算环境；Internet访问出口区、Internet访问入口区、移动安全接入区为区域边界；与深圳中心、其他第三方单位、其他用户之间的专线或链路即为通信网络；安全管理区承载着主要的安全防护和管理功能，实质上即构成了整个体系的安全管理中心。

物理安全是保护XXXX信息网络、定级系统的软硬件设备、设施免遭地震、水灾、火灾、雷击等自然灾害、人为破坏或操作失误，以及各种计算机犯罪行为导致破坏的技术和方法。物理安全是整个安全体系的基础，如果物理安全得不到保证，如计算机设备遭到破坏或被人非法接触，那么其他的一切安全措施就都是空中楼阁，因此，必须要把信息网络的物理安全提到一个重要的高度来进行设计。

物理安全将以《基本要求》中的物理安全为目标，从环境安全、设备安全和

介质安全三方方面进行设计。环境安全包括机房与设施安全、环境与人员安全、防自然灾害；设备安全包括防盗与防毁、防止电磁泄漏发射、防电磁干扰等；介质安全则包括介质的分类及防护要求、介质管理、信息的可靠消除等。

3.3.3 安全管理架构

“七分在管理，三分在技术”，只有有效的安全管理才能够保证安全措施的有效性。《基本要求》对信息安全管理提出了明确的指导和要求。以《基本要求》中管理安全要求为目标，充分结合XXXX信息安全安全管理现状，从安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等方面对安全管理体系进行设计和加强。

办公系统和邮件系统的安全管理内容包括：信息安全、信息安全组织、信息资产分类与管理、物理和环境安全、通信和操作安全管理、存取控制、系统的开发和维护、持续运营管理等等。

3.4 等级保护建设流程规范化

图：等级保护建设流程图

第一步、自主定级

“自主定级，自主保护”是等级保护建设的根本原则。开展信息安全等级保护建设，首先要明确定级对象（被保护的对象），然后依据《信息安全技术信息系统安全保护等级定级指南》确定系统安全等级。只有确定了定级系统及安全等级，才能明确安全保护的目标、范围和强度，才能进行有针对性的安全体系设计。这样才能够保证设计出的安全体系既满足XXXX实际的安全需求，又满足等级保护技术标准要求，避免出现安全防护强度不够或过度保护的情况。

第二步、定级备案

定级系统的定级结果需要在机关进行备案才能够正式生效。备案过程中，需按照机关的要求提交定级报告和系统备案表等材料，经机关核查无明显定级失误，定级结果才能够被批准正式生效。

第三步、方案设计

设计方案是安全体系建设的蓝图，必须在充分了解XXXX办公系统和邮件系统的安全现状及业务特点的基础上，通过与《基本要求》进行差异化分析对比，明确安全需求，才能够进行有针对性的设计。为了确保设计方案的科学性、合理性、有效性以及可操性，同时，为了避免方案设计失误所导致的严重后果，通常，在安全设计方案设计完成后，应召开1~2次专家评审会对设计方案进行评审和把关。

第四步、项目实施

项目施工单位在业主单位的配合下，严格按照设计方案实施，使能够达到方案预期的效果。在建设过程中，应尽量减少对XXXX正常业务带来的影响，要确保项目实施的安全性，要按时保质的完成项目实施。

第五步、等级测评

待所有设计的安全内容设计完成后，首先应进行安全性自查，确保项目设计达到了设计预期、满足了技术标准要求之后，再聘请相应级别、具有资质的等级保护测评机构对项目设计情况开展等级测评。如有未达标项，则进行局部整改后再进行测评。等级测评通过后，测评机构提交完整等级测评报告。

第六步、常态化检查与测评

根据国家等级保护相关方面规定：三级系统每年应进行一次安全测评，四级系统应每半年进行一次安全测评。待办公系统和邮件系统通过等级测评后，系统进入常态化的安全运维状态，应定期通过安全自查、安全评估、安全测评等手段，对系统的安全状况进行检查，确保安全体系的有效性，确保安全体系满足业务发展的需要。

4 等级保护安全技术建设

4.1 物理安全

4.1.1 物理安全设计

物理安全就是要保证信息网络的重要设备、设施处于一个安全、正常的物理环境，能够确保设备正常运转；对能够直接接触办公系统和邮件系统重要设备的人员要有一套完善的管理控制手段；充分考虑自然事件可能造成的威胁并加以规避。也就是说，物理安全就是保护办公系统和邮件系统信息平台的软硬件设备、设施免遭地震、水灾、火灾、雷击等自然灾害、人为破坏或其他物理破坏行为的技术和方法。

4.1.2 物理安全设计具体措施

通过物理安全合标差异分析得知，办公系统和邮件系统服务器所在的机房当前物理安全现状不能够完全满足《基本要求》中的物理安全要求。可通过新增和优化安全措施的方法来提高物理安全防护能力。

4.1.2.1 新增安全措施

1）增加机房防盗报警系统。

4.1.2.2 优化安全措施

1）机房选址在高层，当出现火灾等灾害时，救援的人力物力难以及时、顺利到达现场，因此应通过加

强安全巡检、保持紧急通道畅通等方法，降低各种物理灾害出现的可能，保证通道畅通等； 2）制定机房安全巡检规范，对需进行安全巡检的物理环境指标项进行明确规范，每天由安全管理员对

机房的各项物理环境指标进行安全检查并记录。安全管理员在安全巡检过程中，发现任何异常数据或情况时，应及时调查详细原因并进行相应处置，及时消除隐患，保证机房物理环境安全； 3）对机房内机柜、机架上的设备进行梳理，明确其用途；统一制定设备标签，并粘贴或安装在设备的

相同位置上；标签的格式和内容要统一，应包括“设备用途、关键信息（IP地址等）、负责人姓名、

负责人联系方式、需注意事项”等信息；

4）对与办公系统和邮件系统相关联的存储介质进行梳理，明确有哪些存储介质是与办公系统和邮件系

统相关，具体用途等；对这些与办公系统和邮件系统相关的存储介质进行规范化管理，粘贴标签、明确保管人、保管场地等；根据移动存储介质中保存数据的重要性程度，可部署移动存储介质管理系统对介质的访问进行授权控制，对存储介质中的数据进行加密保护；

5）对机房环境进行整理，将机房中清理所有无必要的易燃物，对于无法清除的易燃物应规范放置位置；

清理通道，保证所有的通道通畅。

4.2 技术安全

4.2.1 技术安全设计

4.2.1.1 安全计算环境设计

(一)

用户身份鉴别

通过设置服务器、业务终端操作系统的安全策略，通过统一身份认证系统、堡垒机、主机监控与审计系统、服务器操作系统安全加固系统等安全产品，实现

对登录服务器、终端、应用系统的每一个用户的强身份鉴别。

(二)

强制访问控制

在办公系统和邮件系统服务器部署服务器操作系统安全加固系统，实现对服务器资源的访问行为的严格控制，包括对于用户访问行为的控制和进程访问权限的控制，保护系统平台和业务数据的完整性；通过安全产品实现对服务器特定资源的强制访问控制。

(三)

系统安全审计

在办公系统和邮件系统服务器部署和业务终端上部署服务器操作系统安全加固系统和主机监控与审计系统，对服务器和终端上的访问行为和安全事件进行

记录和审计。审计信息包括安全事件的主体、客体、时间、类型和结果等内容，能够提供审计记录查询、分类、分析和存储保护，对特定安全事件进行报警，同时服务器安全保护系统能够确保审计记录不被破坏或非授权访问。

(四)

用户数据完整性保护

以密码技术和机制为基础，服务器操作系统安全加固系统的完整性校验机制和防篡改机制保护服务器重要资源不会被非法修改，且在其受到破坏时能对重要数据进行恢复。服务器安全保护系统的访问控制机制保证用户重要数据不会被非法访问和篡改。

(五)

用户数据机密性保护

服务器安全保护系统的访控机制以及透明加解密机制将对服务器存储的敏感数据机密性实施有效保护，访问控制机制能够防止非授权用户读取敏感信息，透明加解密机制对硬盘存储的敏感数据实施加密存储保护，即使非法人员窃取硬盘设备，在没有用户合法密钥的前提下也无法解密敏感信息。

(六)

剩余信息保护

服务器操作系统安全加固系统对用户使用的客体资源实施针对性保护，在这

些客体资源重新分配前，对其原使用者的信息进行清除，以确保信息不被泄露，实现剩余信息的安全保护。

(七)

程序可执行保护

服务器操作系统安全加固系统可构建从操作系统到上层应用的信任链，其中

采用可信计算等技术，实现系统运行过程中可执行程序的完整性检验，阻止非授权程序的启动和执行，同时防范重要执行程序被篡改，对病毒、木马、蠕虫等恶意代码具备自免疫能力。

(八)

恶意代码防范

部分服务器未使用杀毒软件或其他恶意代码防护软件，缺乏主动防护恶意代码机制，病毒和木马可以潜入或运行在操作系统，造成可信的应用程序和代码被恶意篡改。通过在服务器和终端上部署防病毒软件，实现对恶意代码的防范。

(九)

资源控制

按照“最小化原则”对办公系统和邮件服务器的操作系统进行梳理，删除或屏蔽不必要给功能、组件、权限。

(十)

数据安全及备份恢复

部署数据备份系统对办公系统的数据进行备份，评估办公系统业务数据的重要性程度，设计相适应的数据备份机制和策略。 4.2.1.2 安全区域边界设计

(一) 区域边界访问控制

防火墙在安全区域边界实施相应的访问控制策略，对进出安全区域边界的数

据信息进行控制，阻止非授权访问；

入侵防护系统、入侵检测系统可以对网络入侵行为进行监测、报警和阻断，

对非法网络访问和入侵行为进行处置；

上网行为管理系统对访问Internet互联网的行为进行审计和管理，根据策

略阻断非法的访问行为，对所有通过公司统一出口访问互联网的行为进行审计记录。

在服务器前部署的的防火墙从应用协议、用户权限控制和异常行为阻断等方面对网络访问行为进行控制，保证服务器的访问安全，有效防范以服务器为目标的攻击行为。

移动智能设备能够访问办公系统和邮件系统，能够进行相应的业务操作。移动智能终端设备通过移动安全接入网关实现安全接入网络。

(二) 区域边界包过滤

防火墙、入侵防护系统、上网行为管理等安全产品，通过检查数据包的源地

址、目的地址、传输层协议、请求的服务等，确定访问行为是否合法，决定是否

允许该数据包或该访问进出该区域边界。

(三) 区域边界安全审计

防火墙、入侵防护系统、入侵检测系统、上网行为管理系统、网络接入控制系统、移动安全接入网关等安全产品，均属于网络边界产品，对出入网络的访问

行为进行管理和控制。这些安全产品均具有审计功能，能够对区域边界的访问行为进行审计记录。审计记录包括安全事件的主体、客体、时间、类型和结果等内容。

(四) 区域边界完整性保护

通过部署主机监控与审计系统，可以实现终端非法外联行为的发现与管控。通过部署网络接入控制系统可以实现对非合规内联行为的发现和阻断。网络接入控制系统对内联行为的合规性和合法性进行判断，然后根据安全策略，采用报警、引导至安全修复区、阻断等几种方式进行处置。 4.2.1.3 安全通信网络设计

(一)

通信网络安全审计

通过SSL VPN实现远程安全接入和访问，SSL VPN本身具有安全审计功能，能够对接入访问行为进行审计记录，包括访问行为发生的时间、是否成功、主体、客体、源地址、目标地址、类型等信息。

(二)

通信网络数据传输完整性保护

SSL VPN能够对网络数据传输的完整性提供保护，确保数据的完整性不被

破坏。

(三)

通信网络数据传输保密性保护

SSL VPN能够对网络数据传输的保密性提供保护，确保数据的完整性不被

破坏。

(四)

通信网络可信接入保护

通过网络接入控制系统、移动安全接入网关等安全产品，能够对接入设备的身份进行鉴别，并且根据接入设备的权限控制其所能访问的资源。 4.2.1.4 安全管理中心设计

在进行安全系统设计时，应当首先设计安全管理中心，从安全管理的高度为后续的安全设计打下基础。

集中部署各种安全产品或安全措施的管理或维护中心，实现对信息安全的统一安全管理。应该从系统管理、安全管理、审计管理、事件管理、风险管理、安全工作管理等方面进行统一考虑，特别要实现集中身份管理、集中认证授权、集中操作审计。

1) 将现有安全产品的管理中心或维护中心集中部署；

2) 设置安全管理中心，由安全管理中心统一对计算环境安全支撑平台实施安全管理，实现包括主客体标记、用户授权、策略维护和更新在内的安全管理职能；

3) 设置系统管理中心，联合统一身份认证系统对整个系统的证书和密钥实施统一管理，对用户身份和软硬件资源配置实施统一控制和管理；由各安全产品管理中心或维护中心共同构成系统管理中心，实现对所有安全产品的统一配置和管理；

4) 部署审计管理平台，接收各个区域的审计日志，为审计信息的存储、分析和处理提供平台，作为管理员实施事件追踪、责任认定以及实施应急响应的依据。

4.2.2 等级保护安全建设后网络拓扑

图：等级保护安全建设后网络拓扑图

4.2.3 安全区域划分

1. Internet访问出口区：由联通、电信双出口组成，提供Internet互联网访问服务；

2. Internet访问入口区（含DMZ区）：由联通、电信双线路组成，提供Internet接入服务；本安

务器和DHCP服务器也部署在本安全区域；

4. 核心交换及专线区：部署了网络的核心交换设备，用于数据的高速转发；北京总部和深圳总部

之间的10M电信邮件专线，通过路由器与核心交换互联；同时，用于内部Wifi热点管理的无线AC也部署在本安全区；

5. 安全管理区：本安全区主要用于部署各类信息安全产品及相关服务器，目前主要包括绿盟网络

安全设计系统、绿盟安全核查系统、安恒综合日志管理系统、绿盟网站检测系统、绿盟运维审计系统、绿盟入侵防护系统等；

6. 内部用户区：业务终端的接入区域，连接方式有无线和有线两种方式；

7. 内网服务器区：用于部署业务应用的服务器，部署有统一身份认证系统，本安全区边界由一台

透明模式部署的启明星辰防火墙提供安全隔离和保护。

4.2.4 等级保护安全技术措施

XXXX集团总部计算机网络已经部署了比较完备的安全设备和安全措施，但通过将XXXX信息安全现状与《基本要求》的差异化分析，还不能够达到完全满足等级保护三级安全要求的水平，还需要在现有信息安全基础上，优化安全管理策略、规范安全管理以及添加安全产品等措施，才能够做到完全达标。

4.2.4.1 新增安全措施

1）在核心交换及专线区核心交换机上旁路部署网络接入控制系统X2（采用双机热备方式部署，提供可

用性），对非法内联行为进行控制和管理； 2）在办公系统和邮件系统相关的服务器（Windows操作系统和Linux操作系统）上安装部署服务器操作系统安全加固软件，提高服务器操作系统登录的身份鉴别强度，实现双因子身份认证；对服务器操作系统自身的安全性进行加固，对服务器操作系统的关键配置、程序的完整性和可用性提供安全保护，对服务器性能资源进行监测和管理；对服务器操作系统进行监控与审计； 3）在XXXX总部所有业务终端上安装部署主机监控与审计系统（含可信介质管理模块、打印安全监控

与审计模块、刻录安全监控与审计模块），对业务终端操作系统进行安全加固，可以通过安全策略对终端进行安全管理，实现对终端操作行为的审计记录；可以防止非法外联行为发生； 4）通过可信介质管理功能模块，实现终端上移动存储介质使用的权限控制；同时能够对移动存储介质

上使用或复制、存储重要文件进行加密保护和访问权限控制； 5）通过打印安全监控与审计模块和刻录安全监控与审计模块，对打印、刻录行为进行审批、控制、审

计、备档，能够满足对打印、刻录提出的安全要求。

6）部署电子文档集中管理系统，实现敏感、重要文件的集中加密存储、统一管理，访问权限控制等； 7）分配专门的存储空间，部署数据备份系统对办公系统和邮件系统的数据进行实时或半实时备份；根

据业务数据的重要程度、综合考虑投入成本等因素，设计相适应的数据备份系统和数据备份策略，需考虑是否需要异地备份及备份份数，考虑备份周期、拷贝留存份数、备份策略（全量或增量）等； 8）在办公系统和邮件系统相关的服务器（Windows操作系统）以及所有内部业务终端上，安装部署统一品牌的网络版防病毒软件，防御病毒、恶意代码威胁，且能够通过管理端统一进行策略配置及病毒库升级。XXXX总部服务器、业务终端等，曾经统一安装过瑞星杀毒软件，但未对安装行为做强制化管理。建议先对瑞星杀毒软件的功能、性能、价格等方面进行评估，如果瑞星杀毒软件能够满足XXXX要求，则在办公系统和邮件系统的服务器及所有的业务终端上统一安装瑞星网络版杀毒软件；同时制定杀毒软件管理规范，对安装杀毒软件做出强制性规定，对杀毒软件的病毒库更新等策略进行规范。

4.2.4.2 优化安全措施

1）按照三权分立原则设置系统管理员角色，并根据管理员角色赋予相应的功能权限；尽量避免存在超

级用户； 2）规范管理维护账户，对于重要网络设备，一定要做到每人一账号，每个系统管理员都必须使用自己

的账号维护管理设备，落实责任到每个人；为每个服务器操作系统、数据库管理员分配不同的账户，每个管理员使用自己的账户登录系统；更改办公系统和邮件系统服务器操作系统默认管理员账户或采用自定义管理员账户，避免使用系统默认账户；服务器管理员账户口令应进行规范化管理，形成专门的口令管理规章制度；口令管理制度中应对口令的复杂度和更换周期进行规定，复杂度通常应不弱于：至少8位，应包括大小写字母、数字、特殊字符组合等； 3）对于重要网络设备，一定要通过限定登录地址、通过堡垒机等方式，提高登录身份鉴别强度；制定

网络设备运维管理规范，将重要网络设备的登录规范化、文档化； 4）完善数据备份恢复方案，在内部进行培训和演练，投入相应人力、物力资源，确保数据备份恢复方

案有效、可行、可操作； 5）通过二次开发等方法，使办公系统在提交办公作业时，会将办公作业临时保存，如果作业提交失败

或完整性出错可以再次提交； 6）对办公系统的系统慢原因进行彻底分析，通过优化程序、扩容资源、增加、增加冷热软硬件备份设

备、通过负载均衡等措施，提供办公系统的稳定性、可用性和性能。

4.3 应用安全

4.3.1 应用安全设计

应用安全是指办公系统和邮件系统自身应具备的安全功能。等级保护《基本要求》从“身份鉴别、访问控制、安全审计、通信完整性、通信保密性、软件容错和资源控制”等方面对应用安全提出了要求。经过细致的安全现状调研发现，办公系统和邮件系统具有简单身份鉴别、简易审计等一些基本的安全功能，还不能够完全达到等级保护三级的安全要求，需要通过二次开发的方式，使办公系统和邮件系统自身具备“身份鉴别、访问控制、安全审计、通信完整性、通信保密性、软件容错和资源控制”等安全功能。由于办公系统和邮件系统为在用系统，因此在二次开发、部署、测试等过程中一定要尽量避免对系统的正常使用造成影响。如果受客观原因，即使通过二次开发，办公系统和邮件系统也无法达到具备完全合标安全功能的水平，应充分评估残余的安全风险，并通过其他安全措施尝试解决和避免，直至达到风险可接受水平方可。

4.3.1 办公系统和邮件系统应开发安全功能

1）通过二次开发为办公系统开身份认证接口，通过与统一身份认证系统联动，实现双因子身份认证，

达到强身份鉴别强度；

2）邮件系统因为要在内、外各种环境下登录使用，因此通常不需要达到双因子身份认证的强度； 3）对邮件系统是否需要连续登录失败处理进行评估，如果邮件系统中会有很多涉及工作秘密或敏感信

息的内容，建议要求邮件系统具备连续登录失败处理功能；

4）通过二次开发，使办公系统具备设置敏感标记或重要程度的功能，敏感标记应能绑定目标本体，能

够被他人识别；

5）对办公系统进行二次开发，开发相应的审计功能，实现对所有用户的所有重要操作行为的审计记录；

审计信息需完整全面，包括事件的主体、客体、是否成功、发生日期时间、终端等信息；审计信息应能够为数据原发和接收是否成功进行记录、提供证明；

6）对邮件系统是否允许保存用户名和口令进行评估，如果邮件系统中会有很多涉及工作秘密或敏感信

息的内容，建议要求邮件系统去除保存用户名和口令的功能，或通过安全策略禁用该功能； 7）开启办公系统防止单个用户多重登录的策略，通过宣传、培训等方式，引导业务用户适应新的工作

方式；

8）通过二次开发方式，为办公系统增加系统资源占用情况监测的功能，能够对服务器的关键资源情况

进行监控，并能够设置阈值策略进行报警；如果无法通过二次开发实现，则通过运维管理系统或服务器操作系统安全加固软件等安全产品，对办公系统的服务器进行实时监控，并安排技术人员实时关注，当出现资源匮乏或接近临界阈值时，通过资源扩容或访问等方式来保证系统的可用性。

4.4 等级保护所需安全产品清单

编号产品名称数量 2 7 500 单位台点点安全性说明网络安全主机安全主机安全部署位置核心交换及专线区办公系统和邮件系统服务器（北京）内部用户区备注 1 网络接入控制系统 2 服务器操作系统安全加固软件 Win系统 Lin系统主机监控与审计系统（含可信介质管理模块、打印安全3 监控与审计模块、刻录安全监控与审计模块） 4 服务器端防病毒软件（网络版） 7 1 1 点套套主机安全数据安全及备份恢复物理安全内网服务器区内网服务器区中心机房 Win系统 Lin系统 5 数据备份系统 6 机房防盗报警系统 5 安全管理建设

信息安全管理内容涉及：信息安全、信息安全组织、信息资产分类与管理、个人信息安全、物理和环境安全、通信和操作安全管理、存取控制、系统的开发和维护、持续运营管理等等，是一个庞大、复杂的系统工程。仅仅依靠技术手段来对办公系统和邮件系统进行安全保障，这样的思想是非常错误。

必须要做到“领导重视，严格执行有关管理制度，建立信息安全防范意识，技术手段切实可行、有效”，做到“技管并重”才有可能做到真正意义的信息安全。

从系统的管理和运维者的角度来看，技术层面和管理层面必须相互结合、配合良好，其中，尤其需要强调管理的重要性，应以“七分管理，三分技术”的配比来设计办公系统和邮件系统的安全体系。技术层面通过部署相应的安全产品或技术手段实现，管理层面则需要完善的信息安全管理组织机构、严格的信息安全管理制度和人员安全意识和技能培训、考核等手段来实现。

5.1 安全管理要求

《基本要求》中管理安全要求包括：安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等五部分内容。

5.2 信息安全管理体系设计

5.2.1 安全管理体系设计原则

信息安全管理体系设计的基本原则是：在国家有关主管部门的统一领导下，严格遵循国家统一标准要求，严格执行各项管理制度，严格采用各项技术规范、标准，严格使用各种认证产品。

5.2.2 安全管理体系设计指导思想

《基本要求》以及各类信息安全管理标准均为信息安全管理设计提供一了些原则性的建议，要真正构建符合XXXX信息安全管理实际要求的管理体系，在设计过程中应以以下思想作为指导：“信息安全技术、信息安全产品是信息安全管理的基础，信息安全管理是信息安全的关键，人员管理是信息安全管理的核心，信息安全是进行信息安全管理的指导原则，信息安全管理体系是实现信息安全管理最为有效的手段。”

5.2.3 安全管理设计具体措施

《基本要求》对安全管理体系的设计提出了明确的指导和要求。我们应以《基本要求》为标准，结合XXXX目前安全管理现状，从管理机构、管理制度、人员管理、技术手段四个方面着手管理体系的设计和加强。同时，由于信息安全是一个动态的系统工程，所以，还必须对信息安全管理措施不断的加以校验和调整，以使管理体系始终适应和满足实际情况的需要，使办公系统和邮件系统的信息资产得到有效、经济、合理的保护。

5.2.3.1 安全管理组织机构设计

建议：参照以下信息安全管理架构设计符合XXXX信息安全管理特点的组织机构，应该对各个岗位的职责进行明确的规定和说明，并且将岗位落实到人；制定各信息安全岗位考核办法；制定相应的信息安全责任追究奖惩办法等。具体信息安全管理组织机构可参照以下结构设计或完善。

图：信息安全管理组织结构图



信息安全管理委员会

定义：信息安全管理委员会是信息安全管理的最高管理机构；

职责：负责对办公系统和邮件系统的安全管理进行决策和监督；对下级安全部门的领导层进行委任和授权；

委任与授权：其最高领导由XXXX主管领导委任与授权；



信息安全管理部门

定义：信息安全管理部门是信息安全管理工作的具体执行部门；

职责：总体负责办公系统和邮件系统的安全管理，执行具体的日常管理工作，对办公系统和邮件系统的安全进行维护和监督；设立安全主管、安全管理专员等安全管理岗位，明确定义各岗位的具体职责；安全管理部门向信息安全管理委员进行汇报；

委任与授权：其最高领导应该由信息安全管理委员会委任与授权；



安全管理员、系统管理员、审计管理员

定义：安全管理员、系统管理员、审计管理员分别为办公系统和邮件系统安全管理工作、系统管理工作、审计管理工作的具体执行者；

职责：按照制定的安全管理策略，对办公系统和邮件系统的安全进行日常的维护与监督；安全管理员、系统管理员、审计管理员向信息安全管理部门进行汇报；

委任与授权：安全管理员、系统管理员、审计管理员由信息安全管理部门进行委任与授权；其职责权限应该依循“三权分立，相互监督”、“权限最小化”等原则进行定义和分配； 

应急管理小组

定义：办公系统和邮件系统安全事故发生时，启动应急机制，对应急预案进行执行和决策的组织；

职责：建立办公系统和邮件系统运行应急机制，制定系统应急方案，内容包括各种紧急状态的启动条件、应急处理程序、后备程序、恢复措施、维护计划要求、员工意识培养和教育、人员的责任。定期或不定期的对应急预案中涉及的设备、人员、方案进行检查和审核等，确保应急预案的可用性；

委任与授权：根据安全事故涉及信息敏感级别的不同成立相应的应急管理小组，分别由信息安全管理委员会或信息安全管理部门进行委任和授权；

5.2.3.2 安全管理制度体系设计

信息安全管理制度是界定职责与责任的标尺，是对信息安全行为进行奖惩处理的依据，是确定信息安全保障体系有效执行的保证，因此，信息安全管理制度体系的完善直观重要。

XXXX应根据自身业务特点与实际安全需求，制定满足本单位信息安全管理要求的信息安全管理制度体系。通常，信息安全管理制度体系设计包括：新管理制度制定申请、管理制度的编制、管理制度的审核、管理制度的发布、管理制度的变更以及其他管理制度方面的管理规定等。

建议：按照以下要求建立和完善信息安全管理制度体系，建立满足自身信息安全要求、合理、有效的安全管理制度体系。

1) 

管理制度的制定与发布管理制度的编制与制定：

管理制度应该由信息安全管理部门指定部门或人员，根据有关法规、、标准的要求，结合XXXX信息安全管理的实际情况进行编制和制定；



管理制度的评审

原有管理制度的修改或新制定的管理制度，应组织有关人员进行充分论证和审定，评审通过后，再根据新编制度的级别送信息安全管理委员会或信息安全管理部门进行审批。



管理制度的发布

原有管理制度的修改或新制定的管理制度，通过信息安全管理委员会或信息安全管理部门审批后，方可正式发布、执行。管理制度应注明发布范围、有效时限等，通过正式、有效的方式进行发布，对收发文进行登记，并指定有关部门对制度的执行进行监督和审查。



管理制度的修订

信息安全管理部门应定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定；应定期或不定期对安全管理制度进行检查和审定，对存在不足或需要改进的安全管理制度进行修订。



管理制度的管理

管理制度应该由信息安全管理部门指定部门或人员进行管理与解释；所有制度文本应具有统一的格式，并进行版本控制。

需制定安全管理制度

XXXX信已经发布、制定了一些信息安全管理制度，这些制度文件构成了当前的信息安全管理制度体系。等级保护对办公系统和邮件系统的管理制度体系提出了具体的要求，现有的管理制度体系不能够完全满足标准的要求，因此，应根据《基本要求》中的相关要求，结合现有管理制度体系，对现有管理制度体系进行调整和完善，并添加新的管理制度，并发布实施。

制度性文件从用途的角度可以划分为管理制度、流程规范和记录文件等三类。目前已经制定了一些管理制度，但还没有制定相应的流程规范和记录文件。完善管理制度，根据日常安全操作编制相应的流程规范和记录文件，严格规范日常安全操作按照流程规范执行，并进行相应的记录，这些是目前信息安全管理设计的重点。

建议：根据自身业务特点和信息安全方面的需求，根据以下管理制度列表（但不局限于），补充或完善安全管理制度体系。



管理制度：

a) 总体信息安全指导文件

《办公系统和邮件系统安全方针》；《办公系统和邮件系统工作总则》；《办公系统和邮件系统安全策略》；《办公系统和邮件系统安全规范》；

《信息安全管理组织机构及岗位职责说明》；

b) 应对安全管理活动中的各类管理内容建立安全管理制度；

《机房安全管理规定》；《机房应急预案》；《机房值班制度》；《防病毒管理规定》；

《计算机及相关设备管理办法》；《计算机及相关设备入网管理规定》；《外单位计算机及相关设备接入管理规定》；《IP地址管理规定》；《数字证书管理规定》；《账户及口令安全管理规定》；《重要系统补丁管理规定》；《介质使用安全管理规定》；《数据备份与恢复管理规定》；《软件开发及管理制度》； c) 制度管理类文件

《技术档案安全管理规定》；

《信息安全管理制度制定及发布的相关规定》； d) 人员方面管理规定

《外部人员访问管理规定》；《人员安全管理规定》；《信息安全岗位职责说明》；《信息安全意识与技能培训制度》；《岗位信息安全意识与技能考核办法》；《信息安全事故责任追究制度》；



流程规范 a)

技术类操作流程

《信息安全岗位日常操作流程规范》；《机房设备操作说明》；《机房巡检操作规范》《机房物理访问流程规范》；《病毒事件处理流程及操作规范》；《病毒事件响应记录》；《防病毒管理操作流程》；

《外单位计算机接入申请登记表》；《备用链路启用流程及操作规范》；《网络及设备故障处理流程与操作规范》；《补丁升级操作流程与规范》；《数据备份与恢复操作流程与规范》；

《服务器及存储设备运行状态检测操作规范》；《业务应用运行状态检查操作规范》；《特殊维护操作流程与规范》；《软件开发及管理流程规范》； b) c)

制度管理类流程文件

《信息安全管理制度审核及发布流程》；人员管理相关程序《人员入职流程规范》；《人员离职流程规范》；



记录文件 a)

技术类记录文件《机房出入登记表》；

《机房安全巡检结果记录单》；《网络及设备安全配置表》；《网络及设备维护结果登记表》；

《网络及设备故障申报及处理结果登记表》；《信息安全事故处理记录》；《特殊维护记录》；

《病毒事件申报及处理结果登记表》；《介质使用记录》；《密钥领用登记表》；

《密钥补做申请表》；《密钥及权限变更记录表》；《软硬件设备购买申请单》；《软硬件设备验收报告》；《软硬件设备维护记录》；《软硬件设备领用登记表》；《软硬件设备归还记录表》；《软硬件设备报废鉴定表》；《软硬件设备报废处理登记表》；《软硬件设备配置一览表》；

《软件开发必要性和可行性分析报告》；《软件需求评审记录》；《软件设计评审记录》；《软件验收报告》；《软件使用操作手册》；《存储介质销毁记录》；《数据备份及恢复记录》；

《安全专家与技术支撑单位联系表》； b)

管理制度类文件《文件变更审批记录》；《安全保密协议》；

《技术档案借阅申请登记表》；《技术文档归还登记表》；《技术档案文件销毁记录》； c)

人员管理类记录文件《人员入职申请表》；《人员离职申请表》；

《人员信息安全培训及考核记录》；

5.2.3.3 人员安全管理设计



人员录用

严格规范人员录用过程，对被录用人的身份、背景、专业资格和资质等进行审查，对其所具有的技术技能进行考核；

所有录用人员都应该根据其所接触的信息敏感级别签订相应的保密协议；关键性岗位人员必须从内部人员中选拔，并签订相应的安全协议； 

人员离岗

应严格规范人员离岗过程，应及时终止和收回离岗员工的所有访问权限；应将离岗人员身份证件、钥匙、徽章等以及机构提供的软硬件设备及时收回；应办理严格的调离手续，关键岗位人员离岗须承诺调离后的保密义务后方可离开； 

安全培训与考核

信息安全管理部门应制定《信息安全意识与技能培训制度》，针对不同的岗位制定不同的培训计划，对各类人员的安全意识、安全基础知识、岗位技能、岗位操作规程、安全技术等进行培训，并将培训的情况和结果进行记录并归档保存；

信息安全管理部门应制定《信息安全意识与技能培训制度》，定期对各个岗位的人员安全意识与技能进行考核，对关键性岗位人员的考核应该更加的全面与严格，并将考核的情况和结果进行记录并归档保存；



外部人员访问管理

信息安全管理部门应制定《外部人员访问管理规定》，对外部人员的访问行为进行规定和约束；外部人员在访问受控区域前必须先提出书面申请，批准后方可进入，且访问过程必须由专人全程陪同；访问情况应登记备案；

5.2.3.4 整合多种安全技术手段为安全管理提供支撑和依据



主动防御技术手段

硬件网络是办公系统和邮件系统运行的介质平台，整合多种安全技术手段，对办公系统和邮件系统可能存在的安全隐患与漏洞进行封堵。合理部署信息安全产品，构建办公系统和邮件系统的安全防御体系，将安全威胁屏蔽在大门之外。



安全事件处理技术手段

对办公系统和邮件系统中存在的安全风险进行充分的评估，整合多种安全技术手段，为所有可预见的安全事件建立应对机制。通过安全事件侦测与封堵、自动恢复机制、设备的冗余设计、数据的备份等技术手段，构建办公系统和邮件系统的应急机制，保证在安全事件发生时能够及时的恢复正常状态、阻止事态扩大、保证系统可用性、保证信息数据的安全性等。



事后究责技术手段

建立完善的审计与监督机制，整合多种安全技术手段，对办公系统和邮件系统中所有的安全行为进行记录和侦测。通过安全审计系统、安全设备日志等设备或手段，对办公系统和邮件系统中的所有安全行为进行定位，并使之与安全行为主体身份相关联，使所有的安全行为均有记录且抗抵赖，作为事后究责的重要依据。



技术手段的加强与完善

信息技术发展日新月异，不断有新型的攻击、破坏手段出现，所以，办公系统和邮件系统的安全体系也应该与时俱进。对曾经发生的安全事件进行总结，对新出现的安全攻击、破坏行为采取相应的技术手段进行防范，不断提高办公系统和邮件系统的安防能力，使办公系统和邮件系统具有真正意义的安全性。

5.3 信息安全管理体系设计总结

伴随信息化进程的推进，必须逐渐建立起了完善的信息安全管理体系。要做到领导的重视，完善的制度，严格采用各项技术规范、标准，严格使用各种认证产品，人员的信息安全方面的培训等。这些制度与措施，会大大加强了XXXX信息安全的保障力度，为办公系统和邮件系统的安全打下了坚实的管理基础。

办公系统和邮件系统的安全管理是一个动态的管理过程，随着观念、技术、信息化程度的发展，安全管理的指导思想也应该要与时俱进的动态前进，要根据阶段性的信息安全目标不断的对安全管理体系加以校验和调整，保证管理体系始终适应和满足实际情况的需求，只有做到这样，才能够设计健康的、合理的、有效的信息安全管理体系。

6 安全产品选型及指标

6.1 设备选型原则

 国产化原则

依据《信息安全等级保护管理办法》公通字[2007]43号文件要求，对于三级以上的定级系统，信息安全产品研制、生产单位是由中国人民、法人投资、或者国家投资或控股的，在中华人民共和国境内具有的法人资格；产品的核心技术、关键部件具有我国知识产权。

 标准化原则

所选择的设备必须遵循国际、国家行业标准设计，开放相关的接口，保证管理内容的一致性和管理信息共享。

 安全性原则

所购设备必须符合安全性和稳定性要求，产品自身具有相当的安全性，不使用有缺陷或者存在安全漏洞的产品；产品自身需要具有稳定性，能够满足长时间、大工作量的稳定运行需求。

 适应性原则

所购产品具有一定的灵活性来适应系统设计中的各种变化，不但具有适应顺义区财政局业务特点特殊要求的能力，并且也要适应单位业务特点对管理系统所提出的特殊要求。

 可管理性原则

所选网络产品需具有较强的可管理性，所选设备方便集中监管、配置，可以提供统计信息和故障检测手段。

 可扩展性原则

所选设备必须具有较强的容错冗余能力和扩展能力，以满足系统在发生故障或者扩容时的业务连续性需求。

本方案设备选型范围为按照等级保护相关标准和以上选型原则使用国产自主研发信息技术的产品。

6.2 安全产品列表

6.3 主要安全产品功能性能要求

6.3.1 网络接入控制系统

序号功能项系统组成子项功能描述整个准入系统只包含硬件设备+IE浏览器控件2个组成部1 系统组成分，补丁服务器集成在硬件设备中，完全不需要用户再安装除2个基本组件外的任何形式的客户端或软件。采用标准机架式的1U硬件设备+linux系统，必须是国内2 硬件设备防单点故障基本组成厂商拥有自主产权的产品。除硬件设备外，不需要用户额外提供服务器安装任何形式的软件。准入硬件设备支持HA模式，后台可以进行双机热备的相关配置。 1. 802.1x协议支持：准入设备后台必须支持802.1x协议的配置，且不需要网络中另外提供或安装radius服务器，准入设备本身能够作为radius服务器与用户已有网络环境中的802.1x体系及第三方客户端联动实现802.1x准入控制； 2. EOU支持：准入设备后台必须支持Cisco EOU协议的配置，在cisco 3560交换机等环境中能够搭建出整个EOU协议的准入环境； 3. Portal支持：准入设备后台必须支持H3C portal协议的配置，在H3C 5500EI交换机或H3C MSR路由器等环境中能够搭建出整个portal协议的准入环境； 4. 准入设备后台能够进行级联的配置和实现。 1. 准入环境搭建完成后，在设备入网进行IE访问时能够自动转向到指定的页面或地址； 2. 在IE访问的url中包含非80端口时，也能够自动转向到指定的页面或地址； 3. 在打开QQ程序时，能够弹出阻断页面，并在页面中包含指定的页面或地址链接； 4. 在利用outlook等邮件客户端收取邮件时，能够自动阻断，并收取到包含指定的页面或地址链接的邮件。技术架构 3 准入架构引导架构准入环境搭建完成后，新设备接入网络进行IE浏览器访流程架构问时能够自动转向到指定的页面或地址，并在IE页面完成终端注册—>入网身份认证—>安全检查—>安全结果

展示—>自动修复的完整5步入网流程，上述5步流程不接受任何非浏览器方式的实现；接入边界4 边界管理管理网关边界管理基本认证方式 U-key认证 1. 在不需要配置802.1x环境的情况下，新终端入网时，准入设备能够自动对接入层可网管（支持snmp或CLI）交换机上相应的端口执行动态vlan切换，将新终端划入隔离vlan区，防止恶意入网。 2. 支持cisco、H3C全系列的接入层可网管交换机（如cisco 2950、H3C 3100等）。在接入终端产生跨网关访问时，能够自动引导其进行准入管理； 1． 2． 3． 4． 5． 1. 2. 支持准入设备本地用户名密码认证；支持LDAP服务器认证；支持AD域服务器认证；支持邮件服务器认证；支持第三方radius服务器认证。在终端上插入u-key，能够实现身份认证并入网；拔除u-key后，终端能够在30秒内自动断网。 5 认证管理短信认证 1. 能够提供与准入系统同品牌的短信modem； 2. 能够搭建出短信认证体系，用户在登记入网手机号码后，能够在手机上接收到入网的短信验证码，并在IE页面上利用短信验证码实现身份认证入网。能够提供与准入系统同品牌的身份认证令牌卡，认证令动态口令认证牌卡能够每隔1分钟生成一个唯一识别用户的、无法预知的新编码，用户能够利用该数字编码进行入网身份认证。 Single sign-on 1. 用户已建立了AD域的情况下，在终端登录到AD域后，不需要再进行认证就可以自动直接入网，避免多次认证的繁琐流程； 2. 同样的环境下，没有登录到AD域的终端必须在IE页面进行认证才能够入网。 6 终端安全检查安全库提供至少20个安全检查项；

管理基本安全检查 1. 能够在IE页面检查出终端的杀毒软件情况，支持主流的14种以上的杀毒软件检查，包括微软MSE、可牛、Avast等，支持杀毒软件版本、病毒库和运行情况的检查，能够在IE页面显示出检查结果； 2. 在网络中不需要另外提供补丁服务器的情况下，能够在IE页面进行入网终端的补丁检查，补丁均划分为严重、重要、中等的类别，能够在IE页面显示出检查结果； 3. 能够在IE页面检查出主流的桌面管理系统（包括landesk、北信源、威盾、盈高、圣博润等）客户端是否安装并正常运行，能够在IE页面显示出检查结果。 1. 能够在IE页面上扫描并检查出包含指定关键字的文件（包括office文档、pdf、jpg等）； 2. 能够在扫描到上述包含指定关键字的文件时弹框提示用户，并自动对该文件进行备份或删除操作； 3. 能够在准入设备后台查看到敏感文件的检查记录。 1. 能够对没有安装杀毒软件的终端通过IE页面自动安装相应的杀毒软件； 2. 在不需要网络中另外提供补丁服务器的情况下，能够对检查到未安装补丁的终端通过IE页面自动更新补丁； 3. 能够对检查到未安装桌面管理客户端的终端通过IE页面自动安装相应的桌面管理客户端。 1. hub发现：在多台计算机通过hub接入网络时，准入设备后台能够产生hub接入的报警记录； 2. hub禁止：准入设备能够采用切换vlan，逻辑关闭端口等方式禁止hub接入，hub下的所有计算机均不能访问网络。敏感文件检查终端安全加固 hub管理交换机列7 网络管理表准入设备后台能够添加及配置网络中可网管（支持snmp或CLI）的交换机，并生成交换机列表，点击列表中的条目能够进入交换机面板视图。准入设备后台能够展示网络中可网管交换机的模拟面交换机查看板，面板中能显示出交换机的各接口状态（up、down、trunk等），以及各接口下联的终端信息（ip地址、mac地址等）。访问流量控制 8 流量管理访问流量报表 1. 在不需要在接入终端上安装任何客户端软件的情况下，能够控制接入终端对互联网的访问流量，对访问流量的控制以kbps为单位； 2. 能够分别控制上、下行的访问流量。 1. 能够自动生成各种报表，包括协议流量分布（TOP 100）、内部主机流量分布（TOP 100）、外部主机流量分布（TOP 100）、连接数分布等； 2. 能够展示最近1小时、1天、1周及1月的流量曲线图，曲线图中包含总流量、下行流量、上行流量、峰线、均值等参

数，在鼠标移至图中任何位置时均能够展示出相关时间点及该时刻的统计信息。设备接口管理设备资源管理设备访问管理设备 9 自身设备日志管理准入设备后台能够查看到设备自身的网络接口状态。准入设备后台能够查看到设备当前使用的准入技术、设备cpu使用曲线图、磁盘和内存使用等状况。准入设备后台必须支持https方式的访问。准入设备支持syslog日志定向输出。准入设备后台提供第三方访问接口，第三方系统能够通过准入设备获取到网络中的终端列表、ip信息及违规走势数据等信息。准入设备后台配置的安全策略能够设定私有或共享属性,私有策略或规范只能被创建者修改，其他操作员只能查看，防止误操作的发生。准入设备后台至少提供系统管理员、角色管理员、系统审计员3种管理角色，防止单个角色管理者的权限滥用。 1. 准入设备后台提供网络ip地址池图表； 2. 准入设备后台提供未关机终端报表； 3. 准入设备后台能够按周、月、年统计安全状况走势图； 4. 准入设备后台提供每日入网报告、每周入网报告、每月入网报告；管理第三方接口操作员控制管理角色控制安全管理10 报表报表管理报警提醒准入设备能够以邮件、手机短信、页面消息等多种报警方式提醒管理员各种安全异常状态。 1. 准入设备后台提供帮助系统，能够自动链接到准入设备的使用手册； 2. 文档投标时必须提供原厂的产品彩页宣传手册，须包含准入控制、敏感文件检查等功能的介绍，以证明满足招标要求。 11 配套文档配套文档 6.3.2 服务器操作系统安全加固软件

功能名称功能描述在原有操作系统登录的基础上，引入硬件USB-KEY，使用硬件USB-KEY作为用户身份的唯一标识。用户登录时插入授权的USB-KEY，并且输入正确的操作系统用户名+操作系统口令+USB-KEY口令才能登录服务器。用户离开服务器时，拔除USB-KEY，系统自动保存用户工作环境并锁屏，只有插入授权USB-KEY才能解除锁定。通过白名单方式对执行程序进行严格控制。执行程序运行时，系统核心模块会度量该程序相关模块，只有在度量结果和预期值一致的前提下，该程序才允许运行，否则拒绝运行，实现对已知/未知病毒、木马、攻击程序等恶意代码的防护能力系统安全内核模块截获对可执行代码的写操作，判断该可执行代码是否在可信代码策略文件中，如果在则认为是对可信代码的非法篡改，拒绝操作，从而达到可信代码防篡改的目的。提供程序安装接口，接管并控制程序安装行为，仅允许通过此安装接口安装应用程序。提供用户私有目录，保护用户私有信息。系统自主访问控制模块监控对私有目录的访问，判断当前登录用户是否是私有目录的拥有者，如果是则允许访问，否则拒绝当前用户对私有目录的访问，实现对用户私有信息的保护控制。设置主体（用户）、客体（文件、目录）安全标记，并基于主体、客体的安全标记制定访问控制策略。安全内核截获应用层的访问请求，查询规则库中的安全标记及安全策略以判断该请求是否允许被执行，实施严格的强制访问控制。默认禁止对受保护的重要数据进行任何的非法修改操作，杜绝重要数据被非法篡改、删除、插入等情况的发生，全方位确保重要数据完整性不被破坏。技术指标 1、提供基于硬件USB-KEY的双因子身份鉴别； 2、将硬件USB-KEY与用户身份、服务器平台进行绑定，控制用户登录权限； 3、硬件USB-KEY支持密码认证； 4、提供拔KEY锁屏功能； 1、阻止非授权及不符合预期的执行程序运行； 2、支持对白名单的添加、删除操作；身份鉴别执行程序控制软件功能指标可信代码防篡改 1、拒绝对可信代码的修改、删除等操作；程序安装控制 1、控制程序安装行为；文件自主访问控制 1、支持添加、删除私有目录； 2、私有目录授权保护；文件强制访问控制 1、提供主体、客体安全标记功能：主体标记范围为用户；客体标记范围为文件、目录； 2、支持自定义主体安全级别、客体安全级别； 3、安全策略包括读、写、拒绝访问；

数据保密性保护对重要数据的存储过程进行加密保护。采用透明加解密方式，加解密动作对用户和应用透明。 1、提供重要数据加密保护；加解密动作对用户和应用透明； 2、加密算法符合商用密码管理条例； 1、控制平台访问网络的权限，可配置允许访问的IP地址、URL地址的范围； 2、控制进程访问网络的权限； 1、提供移动介质注册上报接口，将移动介质与用户身份进行绑定，控制移动介质的使用行为； 1、管理员权限分离：系统管理员拥有系统维护权限；安全管理员拥有安全策略配置权限；审计管理员拥有查看审计记录权限； 2、支持管理员行为自审计； 1、系统管理：包括用户身份管理、平台身份管理等、平台权限管理、移动介质管理、执行程序管理； 2、标记管理：提供主体、客体标记管理功能；支持自定义主体安全级别、客体安全级别； 3、授权管理：包括用户登录服务器权限、自主访问控制权限、强制访问控制权限、平台访问网络权限、执行程序授权等授权操作，提供对授权的查询功能； 4、策略管理：支持策略实时更新；网络访问控制控制服务器网络通信，服务器网络通信行为均需管理中心授权。移动介质权限控制提供移动介质授权管理，移动介质在使用前均须经过授权；对授权移动介质进行权限控制，严格控制移动介质的使用行为。管理员职责分离采用三权分立管理模式，将管理员划分系统管理员、安全管理员、安全审计员，根据最小权限原则，赋予每个管理员完成任务所需的最小权限，使得三个管理员承担不同的职责，相互制约。统一安全管理平台功能指标服务器统一管理采用B/S管理模式，构建服务器“统一安全管理平台”，对系统中的所有服务器进行统一策略管理、统一策略下发。

行为监控审计监督与安全相关的所有违规行为，监督管理中心中安全管理员对安全策略的制定、修改以及授权用户违反安全策略的行为，达到非法行为“赖不掉”的效果。当恶意用户试图去破坏服务器节点系统安全时，其行为就必然会被审计记录，为日后追查留下证据。 1、可自定义审计策略； 2、审计信息包括用户登录审计、文件操作审计、进程控制审计、移动存储设备审计、策略加载审计、网络控制审计、管理中心审计等； 3、审计内容包括用户、平台、时间、对象、操作结果等； 4、审计信息定时上报给统一安全管理平台； 5、提供按平台、用户、操作结果、时间等条件查询审计信息的功能； 6、支持历史审计信息的导入、导出功能。可配置需要进行导出的审计类别、导出频率、导出路径等内容。 6.3.3 主机监控与审计系统

6.3.3.1 主机监控与审计模块

序号 1 功能项服务器设计要求具体要求 1. 系统必须支持三员管理功能，各管理员角色之间形成有效的制约关系 2.要求服务器支持多实例运行用以稳定的支持500点规模以上单服务器部署。 1.控制策略应能通过黑白名单和条件访问的自由控制。 2.提供违规访问、未知访问和信任访问的记录。 1.支持对卡巴斯基等当前主流防病毒软件（至少10种）进行监控，监视防病毒软件的安装情况、运行状态和病毒库版本； 2.对不符合安全策略的状态进行报警； 3.支持防病毒软件监测特征的自定义及统一的数据报表功能。 1.可定期删除客户端IE临时文件和其他系统临时文件等； 2.提供文件安全擦除功能，经过安全擦除处理后的文件无法通过磁盘剩磁的方式恢复数据，管理员可以配置文件擦除的擦写次数。 1.统一配置终端计算机的Windows安全策略，包括：帐户密码策略，共享策略，屏保策略等； 2.可对不符合安全策略的情况进行报警。 1.可检查登录Windows系统的用户权限，当发现登录用户权限与策略设置的登录用户权限不一致时，系统可阻止非法用户登录； 2 3 统一配置主机防火墙病毒库安全检查 4 文件安全删除 5 策略合规性管理登录用户权限合法性检查

2.可向服务器发送非法登录告警信息。 7 硬件设备控制功能 1.应能控制软驱、光驱、USB口、打印机口、Modem口、串口、并口、1394火线口、红外接口等； 2.应能对USB存储设备及软驱进行读写和存储内容加密控制。 3.当USB口禁用后，能识别USB鼠标、USB键盘、USB打印机、USP身份认证硬件Key、USB视频设备、USB音频设备、USB智能卡等，对于各种USB设备可以提取特征码，进行识别和控制。 1.系统可指定终端禁止安装的软件和必须安装的软件； 2.可对违规的终端进行报警提示、终端消息提示、阻断终端联网等措施。 1.支持进程黑白名单，控制禁止使用的程序，如QQ聊天、MSN炒股票等； 2.可直接关闭终端的违规进程； 3.可汇总和监视主机的进程运行情况，并生成报表。 1.能检测终端设备的CPU、硬盘(含硬盘分区)、内存等的资源占用情况； 2.可自主设定阈值，以确定终端系统资源占用是否达到上限，是否应该升级； 3.异常流量监控：当流量(包括出、入或总流量)超过自定阀值并持续一定时间后，需将信息上报，以便网管了解客户端流量异常。 1.支持对CDROM进行：自由使用、禁止使用的权限控制； 2.支持对刻录机进行只读访问的权限控制； 1.支持对终端计算机的非法外联行为进行控制，实时检测内网用户通过调制解调器、ADSL、无线网卡、红外、蓝牙、多网卡等设备进行非法外联，当有非法外联行为后，系统自动报警并进行阻断； 2.支持对非法外联行为进行详细记录，包括非法外联的计算机的名称、单位、上网方式,并进行实时报警。 1.可对本地打印机、共享打印机及网络打印机进行管理，打印管理策略支持禁止使用、允许使用并记录打印日志。打印日志至少包括打印用户、打印文件名称、打印文件页数、打印机信息等； 2.在用户违规打印机时，系统可记录违规打印操作日志。 3.可指定用户使用指定的网络打印机进行打印，并支持水印打印输出。 4.可区分实体打印机和虚拟打印机进行控制，可以指定只有某进程可以打印。 1.支持细化配置终端账户密码复杂度、屏保、账户锁定策略； 2.审核账户登录情况； 3.远程设置共享与脱机文件同步策略； 4.远程设置登录注销脚本，可组织用户访问命令行，注销，可控制用户访问磁盘； 5.可控制对任务管理器的使用； 6.可禁止CD、U盘文件的自动播放。 1.支持针对终端系统补丁版本检查，杀毒软件检查，必须安装软件检查； 2.支持针对非健康终端（以上3项某项未通过检查）进行强制补丁升8 安装软件黑白名单控制客户端进程监控 9 10 终端运维策略管理 11 CDROM控制 12 非法外联控制 13 打印机管理 14 终端合规性检查 15 终端健康性检查

级、禁止联网或禁止使用U盘强制措施。 16 终端安全策略 1.可定期删除客户端IE临时文件和其他系统临时文件等。 2.提供文件安全擦除功能，经过安全擦除处理后的文件无法通过磁盘剩磁的方式恢复数据，管理员可以配置文件擦除的擦写次数； 3.统一配置终端计算机的Windows安全策略，包括：帐户密码策略，共享策略，屏保策略等。强制终端用户设置屏保并可自定义在恢复时是否要使用密码保护，违反规则报警并记录；自定义Windows系统的密码强度，低于定义值时注销用户锁定计算机，违反规则报警并记录； 4.可对不符合安全策略的情况进行报警； 5.可检查登录Windows系统的用户权限，当发现登录用户权限与策略设置的登录用户权限不一致时，系统可阻止非法用户登录。 1.网络层日志：可提供网络层TCP/UPD协议 0—65535端口的访问日志，日志至少包括用户名、机器名、IP地址、访问时间、访问协议端口等； 2.应用层日志：可提供HTTP事件、SMTP事件、FTP事件、WEB/BBS事件、TELNET事件日志，日志至少包括用户名、机器名、IP地址、访问时间、访问协议地址等。 3.在内网计算机的NetBIOS应用方面做到双向控制，如只连入不允许连出，或只连出不允许连入，对网络上文件操作有详细记录等。 1.在正常模式和安全模式下，能防止用户停止代理进程、破坏代理运行目录和相关文件、停止代理相关服务； 2.系统管理通讯是基于数字证书的SSL安全加密方式，保证的数据的保密性，防止重放攻击； 3.系统对主机安全代理提供特定的卸载程序，用户只能通过运行卸载程序停用／删除主机安全代理。 17 网络行为日志 19 软件自身防护功能 6.3.3.2 可信介质管理系统

序号 1 功能项服务器设计要求具体要求 1. 系统必须支持三员管理功能，各管理员角色之间形成有效的制约关系 2.要求服务器支持多实例运行用以稳定的支持500点规模以上单服务器部署。 1．普通移动存储介质管理：可对普通移动存储介质配置：自由使用、禁止使用、只读使用策略 1.支持对全网使用的移动存储介质做统一管理，禁止未经过注册的移动存储设备在内网中使用，实现移动介质的准入控制 2.支持移动存储介质以用户为单位进行注册，并可以根据注册人生成详细的审计记录 3.对移动存储设备进行安全级别划分，级别不同或者级别较低，不能正常的访问移动存储设备 4.支持对移动存储数据的使用次数和使用时间进行控制，超过使用次数后，或者超过使用期限，可以移动设备的读写以及是否允许使2 3 普通移动存储介质管理可信移动存储介质管理

用 5.对移动存储数据进行加密，避免由于移动设备丢失，造成移动设备内重要数据外泄 6.可对用户使用授权的移动存储介质进行审计，对该移动存储介质从入网到销毁整个生命周期进行追踪 7.支持移动存储介质的身份鉴别管理，如:设置密码等方式，且可根据实际需求通过统一安全策略进行该项功能的启用或禁用 8.支持注册后的移动存储介质在windows操作系统下的USER权限可被识别，且不改变用户的使用习惯 9.系统管理及日志报表功能 10.支持在线用户策略、离线用户策略、笔记本出差用户策略； 11.客户端离线脱网后，策略依然有效，日志保存在本地并加密存贮，且不能被修改或删除；联网后，日志自动上传至服务器。 12.不需要重新安装，系统升级支持在线自动升级及本地升级； 13.客户端代理程序支持离线本地卸载及在线远程卸载； 14.系统必须支持三员管理功能，各管理员角色之间形成有效的制约关系 15.可支持多级管理员设置，并可对管理员的管理范围进行划分，即：一个系统可以有多个系统操作员，并授权每个操作员的管理不同的范围 16.包括在线用户统计,软件资产信息，硬件资产信息，资产变化信息，资产越阈信息等 17.可根据用户所产生的日志信息，形成多种类型的统计报表，可输出至少包括EXCEL、WORD、HTML等格式的分析报表以及根据统计数据生成柱状图和铁饼图 18.支持管理中心对注册客户端进行联机卸载、当无法联机时候，可以使用特定的随机验证码方式本地卸载。以上两种方式必须同时具备 19.系统需要提供安全知识库管理，帮助完善企业的安全管理制度。知识库的共享方式，确保管理员之间知识迁移快速准确 20.系统要求对各种违规行为提供报警功能，报警信息的分级管理，协助企业进行安全风险的量化管理 6.3.3.3 打印安全监控与审计系统

序号 1 功能项服务器设计要求具体要求 1. 系统必须支持三员管理功能，各管理员角色之间形成有效的制约关系 2.要求服务器支持多实例运行用以稳定的支持500点规模以上单服务器部署。 1.可对本地打印机、共享打印机及网络打印机进行管理，打印管理策略支持禁止使用、允许使用并记录打印日志。打印日志至少包括打印用户、打印文件名称、打印文件页数、打印机信息等； 2.在用户违规打印机时，系统可记录违规打印操作日志。 3.可指定用户使用指定的网络打印机进行打印，并支持水印打印输2 打印机管理

出。 4.可以在关闭所有打印权限的前提下，强制针对所有文件实现打印审批，审批通过才可打印文件，该审批功能不应是针对文件的特殊处理（如文件加壳等技术）。有详细的审批流程设置功能。 5.可区分实体打印机和虚拟打印机进行控制，可以指定只有某进程可以打印。 3 专用打印终端管理 1.专用打印终端支持USB和网络打印机。 2.专用打印终端支持可配外设接口管控策略。 3.专用打印终端支持支持插key或刷卡打印。 4.支持打印水印。 5.打印支持标记二维码、流水号、条形码。 6.支持打印回收管理。 6.3.3.4 刻录安全监控与审计系统

序号 1 功能项服务器设计要求具体要求 1. 系统必须支持三员管理功能，各管理员角色之间形成有效的制约关系 2.要求服务器支持多实例运行用以稳定的支持500点规模以上单服务器部署。 1.可对客户端本地刻录机进行策略控制，包括：自由使用、禁止使用、只读使用。 1.专用刻录终端支持普通USB刻录机和刻录一体机。 2.专用刻录终端支持可配外设接口管控策略。 3.专用刻录终端支持支持插key或刷卡刻录。 4.可以在关闭所有刻录权限的前提下，强制针对所有文件实现刻录审批，审批通过才可刻录光盘，该审批功能不应是针对文件的特殊处理（如文件加壳等技术）。有详细的审批流程设置功能。 5.光盘正面支持标记二维码、流水号、条形码。（刻录一体机） 6.支持光盘回收管理。 2 3 CDROM控制专用刻录终端管理

因篇幅问题不能全部显示，请点此查看更多更全内容

查看全文