大型制造型企业网络信息系统保护安全建设整改方案

大型制造型企业网络信息系统保护安全建设整改方案

第1章项目概述

XX 大型制造型企业是国内一家大型从事制造型出口贸易的大型综合企业集团，为了落实国家及集团的信息安全等级保护制度，提高信息系统的安全防护水平，细化各项信息网络安全工作措施，提升网络与信息系统工作的效率，增强信息系统的应急处置能力，确保信息系统安全稳定运行，集团参照国家等级保护标准的要求，找出系统现有安全措施的差距，为安全整改建设提供依据。

本方案针对 XX 大型制造型企业网络信息系统的安全问题，进行安全整改加固建议。

1.1 项目目标

本方案将通过对集团网络信息系统的安全现状进行分析工作，参照国家信息系统等级保护要求，找出信息系统与安全等级保护要求之间的差距，给出相应的整改意见，推动网络信息系统安全整改工作的进行。

根据 XX 大型制造型企业集团信息系统目前实际情况，综合考虑信息系统现有的安全防护措施，存在的问题和薄弱环节，提供完善的安全整改方案，提高信息系统的安全防护水平，完善安全管理制度体系。

资产是企业网络安全的最终评估对象。在一个全面的企业网络安全中，风险的所有重要因素都紧紧围绕着资产为中心，威胁、脆弱性以及风险都是针对资产而客观存在的。威胁利用资产自身的脆弱性使得安全事件的发生成为可能，从而形成了风险。这些安全事件一旦发生，将对资产甚至是整个系统都将造成一定的影响。

因此资产的评估是企业网络安全的一个重要的步骤，它被确定和估价的准确性将影响着后面所有因素的评估。本项目中资产评估的主要工作就是对信息系统企业网络安全范围内的资产进行识别，确定所有的评估对象，然后根据评估的资产在业务和应用流程中的作用为资产进行估价。

根据整个资产评估报告的结果可以清晰的分析出信息系统中各主要业务的重要性比较，以及各业务中各种类别的物理资产、软件资产和数据资产的重要程度，明确各业务系统的关键资产，确定安全评估和保护的重点对象。

1.2 项目范围

本文档适用于指导 XX 大型制造型企业集团网络信息系统安全整改加固建设工作。

1.3 整改依据

主要依据：

《信息安全技术 信息系统安全等级保护基本要求》( GB/T 22239-2008 )

《信息安全技术 信息系统通用安全技术要求》( GB/T20271-2006 )

《信息安全技术 信息系统等级保护安全设计技术要求》( GB/T25070-2010 )

《信息安全技术 信息系统安全管理要求》( GB/T20269-2006 )

《信息安全技术 信息系统安全工程管理要求》( GB/T20282-2006 )

《信息安全技术 信息系统物理安全技术要求》( GB/T21052-2007 )

《信息安全技术 网络基础安全技术要求》( GB/T20270-2006 )

《信息安全技术 信息系统安全等级保护体系框架》( GA/T708-2007 )

《信息安全技术 信息系统安全等级保护基本模型》( GA/T709-2007 )

《信息安全技术 信息系统安全等级保护基本配置》( GA/T710-2007 )

GBT 20984 信息安全风险评估规范

GBT 22239 信息安全技术信息系统安全等级保护基本要求

GBZ 20985 信息技术安全技术信息安全事件管理指南

第 2 章 安全整改原则

保密性原则：对安全服务的实施过程和结果将严格保密，在未经授权的情况下不会泄露给任何单位和个人，不会利用此数据进行任何侵害客户权益的行为;

标准性原则：服务设计和实施的全过程均依据国内或国际的相关标准进行;根据等级保护基本要求，进行分等级分安全域进行安全设计和安全建设。

规范性原则：在各项安全服务工作中的过程和文档，都具有很好的规范性，可以便于项目的跟踪和控制;

可控性原则：服务所使用的工具、方法和过程都会与集团双方认可的范围之内，服务进度遵守进度表的安排，保证双方对服务工作的可控性;

整体性原则：服务的范围和内容整体全面，涉及的 IT 运行的各个层面，避免由于遗漏造成未来的安全隐患;

最小影响原则：服务工作尽可能小的影响信息系统的正常运行，不会对现有业务造成显著影响。

体系化原则：在体系设计、建设中，需要 充分考虑到各个层面的安全风险，构建完整的立体安全防护体系。

先进性原则：为满足后续不断增长的业务需求、对安全产品、安全技术都充分考虑前瞻性要求，采用先进、成熟的安全产品、技术和先进的管理方法。

服务细致化原则：在项目咨询、建设过程中将充分结合自身的专业技术经验与行业经验相结合，结合现网的实际信息系统量身定做才可以保障其信息系统安全稳定的运行。

第 3 章 系统现状分析

3.1 系统定级情况说明

综合考虑信息系统的业务信息和系统服务类型，以及其受到破坏时可能受到侵害的客体以及受侵害的程度，已将系统等级定为等级保护第三级、根据就高不就低的原则，整体网络信息化平台按照三级进行建设。

3.2 业务系统说明

本次参加整改的共有 3 个信息系统，分别是 OA 系统、物流查询系统、智能制造系统，其中比较重要的是物流查询系统，具体情况介绍如下：

物流查询电子化管理系统(网络版)历经系统开发、模拟测试、网络、硬件设备安装部署，已经正式启动试运行工作，在试点和实施过程当中发现系统仍有不足之处，需要对系统进行深入完善和改进，其具有应用面广、用户规模大，并涉及到财政性资金的重要数据信息，以及基于公众网上部署的特性，因此系统自身和运行环境均存在一定的安全风险，在数据传输、安全加密、网络监控、防入侵等方面的必须要建立一套更有效更完善的安全保护体系和措施。

3.3 安全定级情况

信息系统定级是等级保护工作的首要环节，是开展信息系统安全建设整改、等级测评、监督检查等后续工作的重要基础。根据《信息安全等级保护管理办法》，信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。

第 4 章 现网安全风险分析

4.1 网络安全风险

4.1.1 互联网出口未采用冗余架构

通过网络架构分析，我们发现现网出口网络：互联网出口的入侵防御检测系统、下一代防火墙、上网行为管理等未采用冗余架构，存在单点故障风险。

4.1.2 缺少安全防护功能

通过网络架构分析和安全基线核查，我们发现现有的网络：互联网出口的下一代防火墙，入侵防御、 web 应用防护、防病毒模块授权已经过期，安全防护特征库已无法升级更新，失去安全防护功能。

4.1.3 弱资源控制

通过网络架构分析和安全基线核查，我们发现现网网络：链路负载、下一防火墙未设置网络的最大链接数，存在资源耗尽的风险。

4.1.4 弱设备安全

通过网络架构分析和安全基线核查，我们发现现网网络：网络设备和安全设备存在共享账号，无法实现有效的身份鉴别，未实现双因素鉴别，存在弱口令，未周期修改密码，部分网络设备未启用登录设备失败功能和密码复杂度要求，存在口令爆破的风险;未对网络设备和安全设备可管理地址进行限制，交换机使用 telnet 进行管理存在鉴别信息被窃取的风险。

4.1.5 弱安全审计

通过网络架构分析和安全基线核查，我们发现现网网络：未配置专业日志审计设备，无法对审计记录进行有效的保护，无法定期日志长期保存和有效审计。

4.1.6 缺少安全管理中心

通过网络架构分析和安全基线核查，我们发现现网网络：缺少安全管理中心，无法有效的组织相关人员定期对检测和报警的记录进行分析、评审和报告，无法对设备状态、恶意代码、补丁审计、安全审计等相关事项进行集中管理，且系统中存在主机和 web 的高危漏洞。

4.2 主机安全风险

4.2.1 存在高风险安全漏洞

通过漏洞扫描，我们发现 OA 系统主机上存在高风险安全漏洞：OpenSSH < 7>

通过这些漏洞，攻击者可以对业务系统主机进行攻击，获得主机的控制权限。同时，在拿到主机的控制权限后，攻击者还可以此为跳板，对网络中的其他主机、设备进行监听和攻击。

4.2.2 弱身份鉴别能力

通过安全基线核查，我们发现物流查询系统主机上：操作系统的密码策略、账户锁定策略没有配置启用。数据库系统的密码策略和锁定策略没有配置启用、系统未采用两种或以上的认证方式进行身份鉴别，无法实现有效的身份鉴别。

通过利用弱身份鉴别能力，攻击者可以对业务系统主机进行口令爆破，获得主机的控制权限。同时，在拿到主机的控制权限后，攻击者还可以此为跳板，对网络中的其他主机、设备进行监听和攻击。

4.2.3 弱访问控制能力

通过安全基线核查，我们发现系统主机上：操作系统管理使用 root 账户，数据库和主机是同一人管理，未能实现操作系统和数据库系统特权用户的权限分离;数据库系统开启 XDB 危险服务;存在数据库系统的应用账户 INVTOA3 拥有 DBA 权限。未对重要信息资源设置敏感标记;未限制登录终端的操作超时锁定时间;未设定终端接入方式、网络地址范围等条件限制终端登录。

通过利用弱访问控制能力，在攻击者拿到一部分系统访问权限后可实现越权。

4.2.4 弱安全审计能力

通过安全基线核查和网络架构分析，我们发现 OA 系统未部署专业的日志审计设备或软件，审计日志仅保存在主机本地，无法生成审计报表和自动告警。

这类弱安全审计能力，会导致系统安全事件时无法有效的记录和保存日志，影响安全事件的溯源。

4.2.5 缺少入侵防范能力

通过安全基线核查和漏洞扫描，我们发现现网系统未能够对重要程序的完整性进行检测，数据库系统和操作系统软件和补丁未及时更新，主机扫描存在漏洞。缺少入侵防范能力，攻击者会较容易利用漏洞进行入侵攻击，系统容易遭到破坏。

4.2.6 缺少恶意代码防范能力

通过安全基线核查，我们发现物流查询系统操作系统未安装防恶意代码软件。缺少恶意代码防范能力容易是系统受到恶意代码的侵害。

4.2.7 缺少资源控制能力

通过安全基线核查，我们发现 OA 系统没有限制单用户对系统资源的最大或最小使用限度;未有措施对服务器进行监视，包括监视服务器的 CPU 、硬盘、内存、网络等资源的使用情况;未能够对系统的服务水平降低到预先规定的最小值进行检测和报警。缺少资源控制能力容易导致系统资源被耗尽，容易遭受 DDoS (分布式拒绝攻击)的侵害。

4.3 应用安全风险

4.3.1 存在高风险安全漏洞

通过漏洞扫描和渗透测试，我们发现相关应用系统存在高风险安全漏洞：SQL 盲注、 URL 重定向、跨站脚本攻击等，极易引发安全事件。

通过这些漏洞，攻击者可以对业务系统主机进行攻击，获得 web 应用的权限和数据，甚至获取到主机权限。

4.3.2 弱身份鉴别能力

通过安全基线核查，我们发现 OA 系统上：应用系统没有登录失败处理;没有用户身份鉴别信息复杂度检查;应用系统仅使用用户名加口令的单因素认证方式;系统未设置超时自动退出功能。

通过利用弱身份鉴别能力，攻击者可以对业务系统进行口令爆破，获得业务系统的控制权限。同时，在拿到业务系统的控制权限后，攻击者还可以此为跳板，对网络中的其他主机、设备进行监听和攻击。

4.3.3 未进行传输加密

通过安全基线核查，我们发现仓储系统上：应用系统未采用 hash 技术或者 HTTPS 协议，未能保证通信过程中数据的完整性与保密性、应用系统鉴别信息明文传输。

通过利用未进行传输加密，攻击者可嗅探网络数据窃取到应用传输消息，甚至是用户鉴别信息、个人信息等敏感信息。

4.3.4 缺少资源控制能力

通过安全基线核查，我们发现 OA 系统：系统未对单个账户的多重并发会话进行限制;未能够对系统服务水平降低到预先规定的最小值进行检测和报警。

缺少资源控制能力容易导致系统资源被耗尽，容易遭受 DDoS (分布式拒绝攻击)的侵害。

4.4 数据安全和备份恢复风险

4.4.1 缺少数据完整性和数据保密性能力

通过安全基线核查，我们发现三个系统：未采取有效措施对数据完整性进行检查;鉴别信息明文传输，未能保证鉴别信息的通信和存储的保密性。

缺少数据完整性和数据保密性能力，容易导致数据被篡改和数据泄露的风险。

4.5管理安全风险

4.5.1 缺少维护手册和用户操作规程

通过管理体系检查，我们发现现网的管理体系缺少网络设备、安全设备、主机系统、应用系统、数据库的维护手册和用户操作规程等。

4.5.2 缺少执行记录和审批记录文件

通过管理体系检查，我们发现现网管理体系缺少各项信息安全关键事项的执行记录和审批记录文件，如：备份恢复执行记录和审批记录、变更执行记录和审批记录、防恶意代码检查记录执行记录和审批记录文、漏洞检查执行记录和报告、日志审计执行记录和报告、补丁升级执行记录和审批记录文、安全事件处理记录和审批记录文、培训记录和考核记录、应急演练执行记录和报告等。

4.5.3 缺少管理体系评审和修订

通过管理体系检查，我们发现管理体系缺少未定期对 ISMS 管理体系的合理性和适用性进行评审和修订，以及 ISMS 执行和落实情况进行检查和审核。

4.5.4 缺少总体建设规划和详细设计方案

通过管理体系检查，我们发现 ISMS 管理体系 未根据企业的安全需求和安全目标，统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略设计总体建设规划和详细设计方案，并形成配套文件。

4.5.5 工程验收和交付缺少部分环节

通过对管理体系检查，我们发现 ISMS 管理体系 未在工程的测试验收缺少必要安全性测试和安全报告，在工程交付中未未进行运维手册的定制。

4.5.6 未定期进行应急演练

通过管理体系检查，我们发现 ISMS 管理体系 未在统一的应急预案框架下制定不同事件的应急预案，应急预案框架应包括启动应急预案的条件、应急处理流程、系统恢复流程、事后教育和培训等内容，并定期进行应急演练及事后教育和培训。

4.5.7 未定期进行安全评估和安全加固

通过管理体系检查，我们发现 ISMS 管理体系未定期进行恶意代码检查扫描、漏洞扫描及漏洞加固、未定期进行整体的安全评估及风险整改。

4.5.8 缺少安全管理中心

通过网络架构分析、安全基线核查和管理体系检查，我们发现整体网络：缺少安全管理中心，无法有效的组织相关人员定期对检测和报警的记录进行分析、评审和报告，无法对设备状态、恶意代码、补丁审计、安全审计等相关事项进行集中管理，且系统中存在主机和 web 的高危漏洞。

第 5 章 安全需求分析

5.1 安全计算环境需求分析

根据前期差距分析结果，该信息系统如果想达到等级保护三级关于安全计算环境的要求，还需要满足以下需求：

主机防病毒：该信息系统缺少主机防病毒的相关安全策略，需要配置网络版主机防病毒系统，从而实现对全网主机的恶意代码防范。

数据库审计：该信息系统缺少针对数据的审计设备，不能很好的满足主机安全审计的要求，需要部署专业的数据库审计设备。

运维堡垒主机：该信息系统无法实现管理员对网络设备和服务器进行管理时的双因素认证，需要部署堡垒机来实现。

备份与恢复：该信息系统没有完善的数据备份与恢复方案，需要制定相关策略。同时，该信息系统没有实现对关键网络设备的冗余，建议部署双链路确保设备冗余。

5.2 安全区域边界需求分析

根据前期差距分析结果，该信息系统如果想达到等级保护三级关于安全区域边界的要求，还需要满足以下需求：

边界访问控制：该信息系统无法实现对边界的访问控制，需要部署防火墙等安全设备来实现。

边界入侵防范：该信息系统无法实现对边界的访问控制，需要部署防火墙等安全设备来实现。

边界恶意代码过滤：该信息系统无法实现对边界的访问控制，需要部署防火墙等安全设备来实现。

防 web 攻击：该信息系统无法实现对边界的访问控制，需要部署防火墙等安全设备来实现。

安全域边界安全审计：该信息系统无法实现对边界的访问控制，需要部署署网络安全审计等安全设备来实现。

互联网出口安全审计：该信息系统无法实现对边界的访问控制，需要部署行为管理等设备来实现。

5.3 安全通信网络需求分析

根据前期差距分析结果，该信息系统如果想达到等级保护三级关于安全通信网络的要求，还需要满足以下需求：

通信完整性和保密性：该信息系统无法实现对边界的访问控制，需要部署 SSL VPN 等安全设备来实现。

流量管理：该信息系统无法实现对边界的访问控制，需要部署流量管理系统等安全设备来实现。

5.4 安全管理中心需求分析

根据前期差距分析结果，该信息系统如果想达到等级保护三级关于安全管理中心的要求，还需要满足以下需求：

统一日志平台：该信息系统无法实现对相关网络及安全设备的日志审计功能，需要部署日志审计系统来实现。

统一监控平台：该信息系统无法统一展示边界的安全威胁情况，需要部署安全感知平台等来实现。

统一管理平台：该信息系统无法实现对边界的访问控制，需要部署运维堡垒主机来实现。

第 6 章 总体安全设计

6.1 总体设计目标

本次安全等级保护整改方案设计的总体目标是依据国家等级保护的有关标准和规范，结合现网信息系统的现状，对其进行重新规划和合规性整改，为其建立一个完整的安全保障体系，有效保障其系统业务的正常开展，保护敏感数据信息的安全，保证信息系统的安全防护能力达到《信息安全技术 信息系统安全等级保护基本要求》中第三级的相关技术和管理要求。

6.2 总体安全体系设计

本项目提出的等级保护体系模型，必须依照国家等级保护的相关要求，利用密码、代码验证、可信接入控制等核心技术，在“一个中心三重防御”的框架下实现对信息系统的全面防护。

安全管理中心

安全管理中心是整个等级保护体系中对信息系统进行集中安全管理的平台，是信息系统做到可测、可控、可管理的必要手段和措施。依照信息系统等级保护安全设计技术要求中对安全管理中心的要求，一个符合基于可信计算和主动防御的等级保护体系模型的安全管理中心应至少包含以下三个部分：

系统管理

实现对系统资源和运行的配置。控制和管理，并对系统管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行系统管理操作，并对这些操作进行审计。

安全管理

实现对系统中的主体、客体进行统一标记，对主体进行授权，配置一致的安全策略，确保标记、授权和安全策略的数据完整性，并对安全管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行安全管理操作，并进行审计。

审计管理

实现对系统各个组成部分的安全审计机制进行集中管理，包括根据安全审计策略对审计记录进行分类;提供按时间段开启和关闭相应类型的安全审计机制;对各类审计记录进行存储、管理和查询等;对审计记录应进行分析，根据分析结果进行处理。此外，对安全审计员进行身份鉴别，只允许其通过特定的命令或操作界面进行安全审计操作。

此外，安全管理中心应做到技术与管理并重，加强在安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等方面的管理力度，规范安全管理操作规程，建立完善的安全管理制度集。

安全计算环境

参照基于可信计算和主动防御的等级保护模型，安全计算环境可划分成节点和典型应用两个子系统。在解决方案中，这两个子系统都将通过终端安全保护体系的建立来实现。

信息安全事故的源头主要集中在用户终端，要实现一个可信的、安全的计算环境，就必须从终端安全抓起。因此，依照等级保护在身份鉴别，访问控制(包括强制访问控制)、网络行为控制(包括上网控制、违规外联的控制)、应用安全、数据安全、安全审计等方面的技术要求，可充分结合可信计算技术和主动防御技术的先进性和安全性，提出一个基于可信计算和主动防御的终端安全保护体系模型，以实现从应用层、系统层、核心层三个方面对计算环境的全面防护。

安全区域边界

为保护边界安全，本解决方案针对构建一个安全的区域边界提出的解决手段是在被保护的信息边界部署一个“应用访问控制系统”。该系统应可以实现以下功能：信息层的自主和强制访问控制、防范 SQL 注入攻击和跨站攻击、抗 DoS/DDoS 攻击端口扫描、数据包过滤、网络地址换、安全审计等。由于国内外在这一方面的相关技术非常成熟，因此，在本次系统整改总体设计中更多的是考虑如何将防火墙、防病毒网关、网络安全审计系统、 IDS 、 IPS 等有机地结合在一起，实现协同防护和联动处理。

此外，对于不同安全等级信息系统之间的互连边界，可根据依照信息流向的高低，部署防火墙或安全隔离与信息交换系统，并配置相应的安全策略以实现对信息流向的控制。

安全通信网络

目前，在通信网络安全方面，采用密码等核心技术实现的各类 VPN 都可以很有效的解决这类问题，达到在满足等级保护相关要求的同时，可灵活提高通信网络安全性的效果。

6.3 安全域划分说明

安全域的划分是网络防护的基础，事实上每一个安全边界所包含的区域都形成了一个安全域。这些区域具有不同的使命，具有不同的功能，分域保护的框架为明确各个域的安全等级奠定了基础，保证了信息流在交换过程中的安全性。

在本项目中，将严格按照信息系统的重要性和网络使用的逻辑特性划分安全域，将划分如下几个区域：

互联网接入域，该区域说明如下：

在网络出口需提供流量清洗设备实现对 DDOS 等异常流量的清洗，链路负载自动匹配最优线路，保障网络可用性的同时实现快速接入;需在互联网出口边界利用防火墙进行隔离和访问控制，保护内部网络，利用 IPS 从 2-7 层对攻击进行防护，实现对入侵事件的监控、阻断，保护整体网络各个安全域免受外网常见恶意攻击;需对互联网出口流量进行识别并对流量进行管控，提高带宽利用率的同时保障用户上网体验。

办公网区域，该区域说明如下：

安全域内的终端上需具备防恶意代码的能力，并对接入内网的用户终端进行访问控制，明确访问权限以及可访问的网络范围。

DMZ 区，该区域说明如下：

该安全域内主要承载对外提供服务的服务器等，包括门户网站前端服务器、 Web 业务服务器等。需在 DMZ 区域边界设置访问控制策略，并具备应用层攻击检测与防护能力、防篡改能力，同时也需要保证访问量较大的服务能够保持健康、稳定的运行。

服务器区域，该区域说明如下：

该安全域内主要承载内网核心业务信息系统，包含本次需过等级保护测评的 3 大信息系统，需对这些业务信息系统提供 2-7 层安全威胁识别及阻断攻击行为的能力，如 SQL 注入、 XSS (跨站脚本攻击)、 CSRF (跨站请求伪造攻击)、 cookie 篡改等;需对存储业务信息系统产生的数据访问权限进行划分，并对数据的相关操作进行审计;需对敏感或重要数据进行备份。

综合安全管理区域，该区域说明如下：

该安全域对业务环境下的网络操作行为进行集中管理与细粒度审计;用于监控内网安全域之间的流量，对流量中的威胁进行实时检测并统一呈现 ;对资产及其可能存在的漏洞进行扫描。

第 7 章 详细方案技术设计

7.1 物理和环境安全保障

“物理和环境安全保障体系”是支撑整个信息网应用系统的基石。其作为网信息安全管理体系建设的重要组成部分，必须依据《信息系统安全等级保护基本要求》对物理安全的有关要求，并结合信息化大集中、大整合、高共享的建设实际，不断扩展和变化，以满足信息化建设对基础设施保障和设备、数据安全的需求。

物理安全保障体系建设规划与应用的发展有着紧密的联系，其设计方向必须紧贴应用发展的实际需求，以机房的基础设施和安保系统的完善建立物理层面的保障和安全管控。在基础设施方面扩容机房的综合布线、电气配线、动力系统、制冷系统，使应用部署不再受到机房、功能区域的限制，消除物理空间上的限制，让系统的建设更加灵活且具有高度的可扩展性。在物理安保方面进一步加强对人员的管控，通过整合现有安保资源，形成多元化的安保防控一体化构件，达到对资产的全面管理和安全防护。

1、供配电系统

各级网络机房的供配电系统要求能保证对机房内的主机、服务器、网络设备、通讯设备等的电源供应在任何情况下都不会间断，做到无单点失效和平稳可靠，这就要求两路以上的市电供应，足够后备时间供电的 N+1 冗余的 UPS 系统，还有与机房供电系统匹配的自备发电机系统。

2、防雷接地

要求机房设有四种接地形式，即计算机专用直流逻辑地、配电系统交流工作地、安全保护地、防雷保护地。

3、消防报警及自动灭火

为实现火灾自动灭火功能，应该设计火灾自动监测及报警系统，以便能自动监测火灾的发生，并且启动自动灭火系统和报警系统。

4、门禁

各级网络机房应建立实用、高效的门禁系统，门禁系统需要注意的原则是安全可靠、简单易用、分级制度、中央控制和多种识别方式的结合，形成统一授权，分区管理的集中监控模式。

5、保安监控

各级网络机房的保安监控包括几个系统的监控：闭路监视系统、通道报警系统和人工监控系统，必要情况要求记录集中存储。

6、一体化的安保系统集成

机房应将门禁管理、视频监控、人员身份鉴别、人员行为管控、资产管控等多个基本安保元素进行一体化集成，遵循安全可靠、简单易维、分级授权、多种识别、全程跟踪的方式形成完善的安保防控体系。

7.2 网络边界安全管控

网络边界安全管控体系从网络整体结构、网络层边界管控措施、网络安全防护及监测、主机边界管理等几个方面来设计。

7.2.1网络安全域设计

在信息系统中，遵守相同的信息安全策略的集合(包括人员，软硬件设备)称为安全域。它的目的是对信息系统中的不同安全等级区域分别进行保护，应进行安全域的划分、结构安全、边界整合以及防护策略设计。

在理顺了信息系统访问控制关系的基础上，结合信息安全体系框架安全域划分部分的内容，以及信息系统本身的业务特点和安全要求，建立 XX 企业客户的安全域模型，从交换域、计算域和用户域划分安全域模型，提出具体解决方案及实施建议。

7.2.2 制定访问控制策略

根据信息系统网络访问关系梳理得到的相关结果，以及对于安全域划分结果进行分析，从大的方面制定各个安全级别之间的访问控制策略和安全防护措施(各种安全产品的部署)，从小的方面制定同一个安全级别各个系统之间以及各个具体的安全域之间的访问控制策略。

7.2.3 网络安全防护管理

网络访问控制是防止对网络服务的未授权访问，根据安全域划分和访问控制策略在信息网络接入边界、核心边界实施访问控制;网络入侵检测( NIDS )是对信息系统的安全保障和运行状况进行监视，以发现各种攻击企图、攻击行为或者攻击结果。在现网内部署网络入侵检测系统，监控所有进出服务器网段的流量，并对核心信息系统中的安全事件进行实时监控，发现和对各种攻击企图、攻击行为或者攻击结果进行告警，从而使整个信息系统的网络入侵防范更为完善;终端准入控制机制从终端层到网络层，再到应用层和边界层，提供了客户端准入、网络准入和应用准入等多种准入控制手段，确保只有通过身份验证和安全基线检查的办公终端才能接入内网并进行受控访问，对非法的或存在安全隐患的办公终端进行隔离和修复，构建出完善的 “ 内网安检系统 ” ，从源头上有效减少内网安全漏洞。

边界出口处采用防火墙技术进行严格的链路访问控制，并能承载高会话数转发和会话状态控制。

核心计算域的访问控制通过核心交换机进行区域划分，然后通过防火墙或 ACL 机制进行对进出的数据流进行严格的访问管控，细化到 IP+ 端口细粒度的级别。

在出口增加防火墙加网络病毒检测防护，提升网络边界的恶意代码的防护。

7.3 终端主机安全管理

相关的安全接入基线要求为日常管理提供必要的安全底线，避免祼机运行或带“病”运行。应用系统主机安全在其相关的章节中描述。

应监控办公终端的操作系统补丁、防病毒软件、软件进程、登录口令、注册表等方面的运行情况。如果办公终端没有安装规定的操作系统补丁、防病毒软件的运行状态和病毒库更新状态不符合要求、没有运行指定的软件或运行了禁止运行的软件，或者有其它的 安全基线 不能满足要求的情况，该办公终端的网络访问将被禁止。此时启动自动修复机制，或提示终端用户手工进行修复。待修复完成后，办公终端将自动得到重新访问网络的授权。

终端安全加固

通过禁用系统 Autorun( 自动播放 ) 、 禁用终端的账号和共享的匿名枚举、禁用终端的可匿名的共享、禁用 Windows 系统的“发送到”菜单选项、禁用系统安全模式的功能、禁用 Windows 远程桌面、禁用启用系统自带的 DEP 功能 ( 数据执行保护 ) 、并可禁止对终端网卡属性进行修改，避免用户违规修改网卡的 IP 、 MAC 、网关地址等属性，对终端操作系统进行安全加固，防止终端用户误操作，并有效预防蠕虫病毒和木马对办公终端带来的攻击。

除此之外，还提供丰富多样的自定义安全策略，可以用于对终端进行安全加固。例如可以通过检测特定文件或指定程序是否存，来检查终端是否有隐藏的木马或病毒;通过检测指定注册表项、指定注册表值或指定的注册表项和值得匹配关系是否存在，来检查终端是否存在隐藏的木马或病毒的可能，并可以通过对指定注册表项，进行保护，防止被木马或病毒恶意对其进行修改，从而达到控制终端的可能。

还可以根据公司内网要求，检查终端是否按照要求加入或登录指定的 AD 域，如果没有按照要求加入或登录域，还可以将其进行安全隔离，使其无法访问网络，保证单位域管理的有效实施。

进程红白黑名单管理

在现网网络环境中，办公终端软件环境的标准化能为桌面运维管理带来多方面的效益：能够降低桌面维护的复杂程度，确保关键软件在办公终端的强制安装与使用，同时通过禁止运行某些软件来提高工作效率。

进程管理通过定义办公终端进程运行的红、白、黑名单，实现自动、高效的进程管理功能，完全覆盖用户对进程管理的要求。进程管理，无论是进程红名单、黑名单还是白名单，都可以通过设置 MD5 码校验的方式检查进程名，防止用户对程序改名逃避安全检查。

在进程管理中所定义的红名单、白名单和黑名单的详细定义如下：

进程红名单：办公终端必须运行的进程清单，是 “ 进程白名单 ” 的子集;

进程白名单：办公终端能够运行的进程清单;

进程黑名单：办公终端禁止运行的进程清单。

7.4 核心应用系统安全保护

核心应用系统的安全应从安全预警、安全管控和安全溯源三个方面来的保障，具体来说应做到事前的安全漏洞的检查、安全配置基线核查的安全风险预警，事中的严格边界访问控制、事后的网络业务审计、综合日志审计在内的业务溯源。

漏洞扫描及配置核查

据“全球信息安全调查”的数据，当前面临的最大安全挑战是“预防安全漏洞的出现”，在日益复杂的网络环境和层出不穷的安全威胁面前，手工的漏洞管理工作几乎是不可想象的，尤其是对于有一定规模的信息系统。信息系统管理员通常要借助漏洞管理工具来识别和修补漏洞。

应根据“发现—扫描—定性—修复—审核”的安全体系构建法则，综合运用多种国际最新的漏洞扫描与检测技术，能够快速发现网络资产，准确识别资产属性、全面扫描安全漏洞，清晰定性安全风险，给出修复建议和预防措施，并对风险控制策略进行有效审核，从而在弱点全面评估的基础上实现安全自主掌控。

由于服务和软件的不正确部署和配置造成安全配置漏洞，入侵者会利用这些安装时默认设置的安全配置漏洞进行操作从而造成威胁。随着攻击形式和各种安全威胁事件的不断发生，越来越多的安全管理人员已经意识到正确进行安全配置的重要性。但是随着业务系统网络结构越来越复杂，重要应用和服务器数量及种类繁多，很容易发生安全管理人员的配置操作失误造成极大的影响。基于安全配置最低标准的安全配置基线检查就应运而生。

通过安全配置核查管理系统对于设备入网、工程验收、日常维护、合规检查等方面展开合规安全检查，找出不符合的项并选择和实施安全措施来控制安全风险。检查范围包括主流的网络设备、安全设备、数据库、操作系统和应用系统等，检查项包括：账号、口令、授权、日志、 IP 协议和设备专有配置等内容。

核心边界业务访问控制

在核心的网络边界部署访问控制设备启用访问控制功能，根据会话状态信息为数据流提供明确的允许 / 拒绝访问的能力，控制粒度为端口级，应对进出网络的信息内容进行过滤，实现对应用层 HTTP 、 FTP 、 TELNET 等协议命令级的控制;在会话处于非活跃一定时间或会话结束后终止网络连接，限制网络最大流量数及网络连接数，对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要应用系统主机。

运维审计

因为种种历史遗留问题，并不是所有的信息系统都有严格的身份认证和权限划分，权限划分混乱，高权限账号(比如 root 账号)共用等问题一直困扰着网络管理人员，高权限账号往往掌握着数据库和业务系统的命脉，任何一个操作都可能导致数据的修改和泄露，最高权限的滥用，让运维安全变得更加脆弱，也让责任划分和威胁追踪变得更加困难。

无论是内部运维人员还是第三方代维人员，基于传统的维护方式，都是直接采用系统账号完成系统级别的认证即可进行维护操作。随着系统的不断庞大，运维人员与系统账号之间的交叉关系越来越复杂，一个账号多个人同时使用，是多对一的关系，账号不具有唯一性，系统账号的密码策略很难执行，密码修改要通知所有知道这个账号的人，如果有人离职或部门调动，密码需要立即修改，如果密码泄露无法追查，如果有误操作或者恶意操作，无法追查到责任人。

业务数据审计

信息网络的急速发展使得数据信息的价值及可访问性得到了提升，同时，也致使数据库信息资产面临严峻的挑战。数据库的安全威胁主要来自两个方面，一方面来自外部的非法入侵，黑客针对业务系统或者数据库漏洞，采取各种攻击手段，篡改或者盗取数据。这部分威胁可以通过在业务网络入口部署防火墙、入侵防护等产品得到有效预防。而另一方面的威胁来自内部，内部员工的恶意破坏、违规操作和越权访问，往往会带来数据的大量外泄和严重损坏，甚至导致数据库系统崩溃。而且，这些操作往往不具备攻击特征，很难被普通的信息安全防护系统识别出来，就更加防不胜防，迫切需要一种行之有效的手段来进行防护。

围绕数据库的业务系统安全隐患如何得到有效解决，一直以来是 IT 治理人员和 DBA 们关注的焦点：

管理层面：完善现有业务流程制度，明细人员职责和分工，规范内部员工的日常操作，严格监控第三方维护人员的操作。

技术层面：除了在业务网络部署相关的信息安全防护产品(如 FW 、 IPS 等)，还需要专门针对数据库部署独立安全审计产品，对关键的数据库操作行为进行审计，做到违规行为发生时及时告警，事故发生后精确溯源。

不过，审计关键应用程序和数据库不是一项简单工作。特别是数据库系统，服务于各有不同权限的大量用户，支持高事务处理率，还必须满足苛刻的服务水平要求。商业数据库软件内建的审计能力不能满足独立性的基本要求，还会降低数据库性能并增加管理费用。

网络安全审计系统(业务网审计)是针对业务环境下的网络操作行为进行细粒度审计的合规性管理系统。在网络层通过对业务人员访问系统的访问行为进行解析、分析、记录、汇报，用来帮助用户事前规划预防，事中实时监视、违规行为响应，事后合规报告、事故追踪溯源，同时加强内外部网络行为监管、促进核心资产(数据库、服务器、网络设备等)的正常运营。

7.5 数据安全建设

健全现有数据备份平台系统，并着手建立异地备份平台。

数据安全及备份恢复建设目标

根据等级保护前期调研结果，结合 对三级系统数据安全及备份的要求，从数据完整性、数据保密性和备份与恢复等几个方面提出相应的整改方案，进行数据安全和备份安全等级保护建设与改造。

数据完整性、数据保密性

三级系统数据完整性和保密性现状与等级保护要求存在一定的差距，应完善以下几点：

系统管理数据、鉴别信息和重要业务数据在传输过程中需进行加密，确保信息在传输过程中的完整性和保密性;

系统管理数据、鉴别信息和重要业务数据在存储过程中需进行加密，保证信息在存储过程中的完整性和保密性，存储过程中检测到完整性错误时需采取必要的恢复措施。

建设方案：

采用加密措施、数字签名与电子证书等保证系统管理数据、鉴别信息和重要业务数据在传输过程中完整性不受到破坏，检测到完整性错误时，根据采用的完整性防护措施对信息进行恢复。加密技术需满足以下要求：

密钥的安全管理：需要在密钥生成、存储、分配、销毁的整个生命周期中对其实施保护，确保密钥明文不能被其他进程和程序非相关组件访问到。

证书验证：数据传输和存储过程中必须确保能够对系统中使用的证书进行正确鉴别，且不接受或继续使用非法的或者无效的证书。

备份和恢复

三级系统数据备份和恢复与等级保护要求存在一定的差距，应完善以下几点：需提供本地数据备份与恢复功能，完全数据备份需每天一次，备份介质场外存放;必须提供异地数据备份功能，关键数据需定时批量传送至备用场地。

建设方案：

健全现有数据备份平台系统，完善《备份系统运行管理制度》内容，在现有内容上，需增加对三级系统备份周期要求(本地备份需每天一次)。备份介质场外存放，本地备份数据需提供恢复功能，并定期进行恢复测试。

建立异地备份中心，定期对各业务系统数据进行异地备份，对于重要的业务系统应进行实时备份。在数据异地备份传输过程中应进行加密传输以保证数据的完整性、可用性和保密性，加密方案使用数据完整性和保密性相关措施。

第 8 章 详细方案管理设计

安全管理体系的作用是通过建立健全组织机构、规章制度，以及通过人员安全管理、安全教育与培训和各项管理制度的有效执行，来落实人员职责，确定行为规范，保证技术措施真正发挥效用，与技术体系共同保障安全策略的有效贯彻和落实。信息安全管理体系主要包括组织机构、规章制度、人员安全、安全教育和培训等四个方面内容。

8.1 总体安全方针与安全策略

总体安全方针与安全策略是指导集团所有信息安全工作的纲领性文件，是信息安全决策机构对信息安全工作的决策和意图的表述。总体安全方针与安全策略的作用在于统一对信息安全工作的认识，规定信息安全的基本架构，明确信息安全的根本目标和原则。本次项目中将协助集团确定安全管理体系的层次及建立方式，明确各层次在安全管理体系中的职责以及安全策略，建立具有高可操作性的考核体系，以加强安全策略及各项管理制度的可落实性。

本次设计的 总体安全方针与安全策略 将具备以下特性：

安全策略紧紧围绕行业的发展战略，符合实际的信息安全需求，能保障与促进信息化建设的顺利进行，避免理想化与不可操作性。

总体安全方针与安全策略 中将明确阐述所有信息化建设项目在规划设计、开发建设、运行维护和变更废弃等各阶段，应遵循的总体原则和要求。

安全策略在经过信息安全决策机构批准之后，将具备指导和规范信息安全工作的效力。

安全策略中将规定其自身的时效性，当信息系统运行环境发生重大变化时，我方将协助及时对总体安全策略进行必要的调整，并将调整后的策略提交信息安全决策机构批准。

8.2 安全策略和管理制度

根据安全管理制度的基本要求制定各类管理规定、管理办法和暂行规定。从安全策略主文档中规定的安全各个方面所应遵守的原则方法和指导性策略引出的具体管理规定、管理办法和实施办法，是具有可操作性，且必须得到有效推行和实施的制度。

制定严格的制定与发布流程，方式，范围等，制度需要统一格式并进行有效版本控制;发布方式需要正式、有效并注明发布范围，对收发文进行登记。

8.3 安全管理机构和人员

根据基本要求设置安全管理机构的组织形式和运作方式，明确岗位职责;

设置安全管理岗位，设立系统管理员、网络管理员、安全管理员等岗位，根据要求进行人员配备，配备专职安全员;成立指导和管理信息安全工作的委员会或领导小组，其最高领导由单位主管领导委任或授权;制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。

建立授权与审批制度;

建立内外部沟通合作渠道;

定期进行全面安全检查，特别是系统日常运行、系统漏洞和数据备份等。

人员安全管理主要包括人员录用、离岗、考核、教育培训等内容。

一般单位都有统一的人事管理部门负责人员管理，这里的人员安全管理主要指对关键岗位人员进行的以安全为核心的管理，例如对关键岗位的人员采取在录用或上岗前进行全面、严格的安全审查和技能考核，与关键岗位人员签署保密协议，对离岗人员撤销系统帐户和相关权限等措施。

只有注重对安全管理人员的培养，提高其安全防范意识，才能做到安全有效的防范，因此需要对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训。培训的内容包括单位的信息安全方针、信息安全方面的基础知识、安全技术、安全标准、岗位操作规程、最新的工作流程、相关的安全责任要求、法律责任和惩戒措施等。

8.4 安全建设管理

系统建设管理的重点是与系统建设活动相关的过程管理，由于主要的建设活动是由服务方，如集成方、开发方、测评方、安全服务方等完成，运营使用单位人员的主要工作是对之进行管理，应制定系统建设相关的管理制度，明确系统定级备案、方案设计、产品采购使用、软件开发、工程实施、验收交付、等级测评、安全服务等活动的管理责任部门、具体的管理内容和控制方法，并按照管理制度落实各项管理措施，完整保存相关的管理记录和过程文档。

8.5 安全运维管理

1 、环境和资产安全管理制度

环境包括计算机、网络机房环境以及设置有网络终端的办公环境，明确环境安全管理的责任部门或责任人，加强对人员出入、来访人员的控制，对有关物理访问、物品进出和环境安全等方面作出规定。对重要区域设置门禁控制手段，或使用视频监控等措施。

资产包括介质、设备、设施、数据、软件、文档等，资产管理不等同于设备物资管理，而是从安全和信息系统角度对资产进行管理，将资产作为信息系统的组成部分，按其在信息系统中的作用进行管理。应明确资产安全管理的责任部门或责任人，对资产进行分类、标识，编制与信息系统相关的软件资产、硬件资产等资产清单。

具体依据标准《基本要求》中系统运维管理，同时可以参照《信息系统安全管理要求》等。

2 、设备和介质安全管理制度

明确配套设施、软硬件设备管理、维护的责任部门或责任人，对信息系统的各种软硬件设备采购、发放、领用、维护和维修等过程进行控制，对介质的存放、使用、维护和销毁等方面作出规定，加强对涉外维修、敏感数据销毁等过程的监督控制。

3 、日常运行维护制度

明确网络、系统日常运行维护的责任部门或责任人，对运行管理中的日常操作、账号管理、安全配置、日志管理、补丁升级、口令更新等过程进行控制和管理;制订设备操作管理、业务应用操作管理、变更控制和重用管理、信息交换管理相应的管理制度;制定与信息系统安全管理相配套的规范和操作规程并落实执行;正确实施为信息系统可靠运行而采取的各种检测、监控、审计、分析、备份及容错等方法和措施，对运行安全进行监督检查。

4 、集中安全管理 制度

第三级以上信息系统应按照统一的安全策略、安全管理要求，统一管理信息系统的安全运行，进行安全机制的配置与管理，对设备安全配置、恶意代码、补丁升级、安全审计等进行管理，对与安全有关的信息进行汇集与分析，对安全机制进行集中管理。

5 、事件处置与应急响应制度

按照国家有关标准规定，确定信息安全事件的等级。结合信息系统安全保护等级，制定信息安全事件分级应急处置预案，明确应急处置策略，落实应急指挥部门、执行部门和技术支撑部门，建立应急协调机制。落实安全事件报告制度，第三级以上信息系统发生较大、重大、特别重大安全事件时，运营使用单位按照相应预案开展应急处置，并及时向受理备案的公安机关报告。组织应急技术支撑力量和专家队伍，按照应急预案定期组织开展应急演练。

6 、灾难备份制度

要对第三级以上信息系统采取灾难备份措施，防止重大事故、事件发生。识别需要定期备份的重要业务信息、系统数据及软件系统等，制定数据的备份策略和恢复策略，建立备份与恢复管理相关的安全管理制度。

7 、安全监测制度

开展信息系统实时安全监测，实现对物理环境、通信线路、主机、网络设备、用户行为和业务应用等的监测和报警，及时发现设备故障、病毒入侵、黑客攻击、误用和误操作等安全事件，以便及时对安全事件进行响应与处置。

8 、其他制度

对系统运行维护过程中的其它活动，如系统变更、密码使用等进行控制和管理。按国家密码管理部门的规定，对信息系统中密码算法和密钥的使用进行分级管理。

8.6 安全管理制度汇总

制定安全检查制度，明确检查的内容、方式、要求等，检查各项制度、措施的落实情况，并不断完善。定期对信息系统安全状况进行自查，第三级信息系统每年自查一次，第四级信息系统每半年自查一次。经自查，信息系统安全状况未达到安全保护等级要求的，应当进一步开展整改。

第 9 章 项目实施

9.1 项目工程组织架构

为了保证在这种复杂环境中的实施成功，真正达到预定目标，工程实施将进行严格管理。

完善的组织机构是项目管理体系的基础，集成商将根据外网等保安全体系建设项目的目标，对项目组织结构进行定义，赋予各级部门、各个岗位适当的质量责任和相应权限，并安排合适的资源和人员以及工作程序。

XX 大型制造型企业等保安全体系建设项目上的组织结构如下：

项目领导小组

外网等保安全体系建设项目：1 人

集成商公司：1 人

领导小组由 XX 大型制造型企业等保安全体系建设项目、集成商相关领导人员组成。其职责为：监督项目的进度、工程实施质量，听取项目经理的汇报，提出指导及建设性意见，在人财物上给予支持，进行质量把关，进行项目重大问题的决策。

项目经理

受集成商公司委托，直接领导项目的工作，监督工程实施的质量，是集成工作具体开展的负责人。其职责如下：

? 完成对工程的协调与控制，协调各方之间的工作;

? 负责与设备厂商及相关第三方厂商的联系和交流工作，控制各方的工作进度;

? 最后批准各个工程技术文件并对此负责;

? 监督、支持系统集成的工作，给予指导和必要的提示;

? 对研发工作提供全面的支持和协调;

? 定期如实向质量监督组汇报工作;

? 负责协调会的主持和工作简报的总结，对当前工程实施状况作出说明;

? 对有争议和分歧的问题从工程角度做最后的决断，并对此负责。

工程质量监督组

XX 大型制造型企业等保安全体系建设项目：1 人

集成商：1 人

对系统建设进行监督审核，工程质量监督组在工程管理过程中的具体职责是：

根据工程实施进度，对工程实施过程进行全方位的监督(包括从设备到货开始的工程实施全过程，设备的保管，文档管理控制等);

定期或不定期召集质量监督小组会议，商讨工程实施中的质量问题，听取小组成员对当前质量状态的观点及质量监督工作的建议，提交工程质量报告给项目经理;

及时向项目经理反映质量问题，向其提出改进质量的建议与计划。

系统集成及维护小组

组长：资深系统工程师

负责完成系统集成的实施，定期向项目经理提交工程实施报告。系统集成组的职责：

? 完成设备的到货清点、测试和初验(或称设备到货验收)。负责提出测试计划(或要求厂家提供测试计划并审查接受)，制定测试实施方案和进度安排，和厂家技术人员一道参与测试工作，并填写到货验收报告 , 填写测试记录，经项目经理审核后才能投入工程实施，经审核的文档交由文档管理员保管;

? 对到货检验中的不合格设备，填写退货 / 更换设备备忘录;

? 设备到货验收完毕后，与用户签订 << 验货报告 >> ;

? 负责系统实施方案制定 , 在工程实施前提出系统实施方案;

? 负责在工程实施前，同用户协调提出工程进度计划，并明确本组人员配备;

? 在工程实施前，负责督促和检查机房环境建设;

? 在工程实施前，负责检查外网等保安全体系建设项目提供的系统状况;

? 在工程实施前，负责从库中提取设备，并检查测试;

? 完成软硬件设备的现场施工、调试，认真填写日志 , 测试报告;

? 在工程结束时，提交有关设备管理维护的报告。

工程测试小组

组长：资深测试工程师

职责：

? 负责测试人员的协调、组织;

? 提出测试配备人员要求;

? 明确测试工作量及人员配备和工作进度;

? 划分测试功能任务，具体落实各任务的系统测试工作;

? 配置测试环境，并负责具体落实;

? 编写测试方案和测试报告。

安全集成小组

组长：资深安全工程师

职责：

? 负责本项目所有安全产品的安装、调试;

? 制定安全产品使用策略及网络安全管理规划;

? 提供网络安全技术咨询服务。

商务及后勤支持小组

组长：资深商务经理

职责：

? 负责落实合同产品的订购与国内运输;

? 跟踪订购设备的到货情况，确保设备按期、准确、全部到达;

? 设备到货后出现的故障及时联系厂家处理，对返修设备要紧密跟踪厂商，确保尽快到达;

? 完成整个工程期间的后勤支持，减少项目组的无效投入。

文档管理组

组长：资深文档管理工程师

文档管理组是工程实施过程中重要的环节之一，文档管理组由项目经理直接领导，负责所有文档(技术文件，质量记录，合同，技术资料等)的控制管理工作。其职责如下：

? 接收、保存各种内部文档(包括书面文档和电子文档);

? 当项目有关成员需要借阅相关文档时，负责按照完善的借阅手续提供文档;

? 有责任保证文档的完整性;

? 有责任在接收文档时检查文档的规范性，对不规范的文档可以拒绝接收;

? 管理各种外部文档，如设备厂商提供的资料和文档，对外部文档进行编号。

9.2 项目实施管理计划

9.2.1 总体考虑

本次项目实施范围涉及面较广。考虑到这些方面的要求，我们为本项目的实施拟定了项目实施指导思想：细心规划、充分沟通、谨慎实施、详尽测试。

根据这种指导思想，将整个项目的实施过程划分为五个主要阶段，在其中再划分成若干细小而便于操作的阶段，在每一阶段集中解决一个关键问题。在每一个阶段结束时根据阶段目标进行检查，以保证项目的持续可控。这一部分详细内容将在中标后的《项目实施计划书》内进一步展开。此处着重描述重点的阶段划分及各阶段的目标与主要项目工作。

9.2.2 项目启动阶段

项目的实施启动阶段，此阶段将进行实施前的工程调研和所有相关的准备工作。主要工作为以下几个方面：

成立项目组

根据等保安全体系建设项目的具体情况组建相应的项目团队。将采用熟悉等保安全体系建设项目业务流程以及办公方式的工程师，为本项目服务建设项目的工程技术人员。将最大限度提高与客户的沟通效率，使项目能顺利高效的进行。

项目交接

在公司下达项目实施任命通知书后，完成项目前期技术人员与工程实施人员的交接，和各项申请准备工作。

施工前技术协调会

为了保证工程实施的顺利进行。在项目施工开始之前，项目指导管理小组、技术工程小组将进行一次技术协调会。通过协调会让各有关接口人员了解产品相关知识、详细的实施步骤、各阶段中的注意事项、大致的项目进度安排以及技术工程小组实施人员的联系方式等内容。

工程调研

进一步的对用户网络和系统进行详细的工程调研，力求项目实施计划的全面性、完整性和可操作性。防止项目实施过程中风险因素的增加。

编制项目管理计划

编制详细的工程项目管理计划，设计项目的组织结构，赋予每一位项目成员具体的任务与职责。

根据合同要求，编制项目的总体进度安排和详细的进度计划;编制执行项目的详细预算计划，控制项目的执行成本;编制项目的风险管理计划，尽可能早的预见项目执行过程中可能出现的各种风险，并提出相应的应对措施。

采购计划

根据中标的设备和系统内容，以及本工程的进度计划、质量目标，制定本工程设备采购计划，其重点要满足工程工期安排，工程质量要求，制定一个符合工程特点，满足项目施工要求的设备采购策略。

设立专门的商务组完成设备采购计划的制定。其工作范围包括以下内容：

1、设备采购计划应确保满足项目实施的工期安排，计划安排应充分考虑设备的生产周期以及运输周期，不得影响工期需求。

2、设备采购计划应明确设备型号，产地，规格生产厂家等内容。

3、设备采购计划应包含运输计划安排，运输计划要明确专人负责以及各区域设备临时仓储地点及保管人员名单。

4、保证按时供货至用户指定地点。

9.2.3 项目实施规划阶段

本阶段将成立项目组，完成项目设计人员与实施人员间的项目交接工作、编写项目计划、实施方案、与用户作沟通调研以及集中培训的工作。

编制项目实施计划

派遣资深的网络系统工程师与用户沟通编制切实可行的详细工程实施计划方案，工程实施组会根据对客户的调研情况制定详细工程实施方案。充分考虑当地现有状况以及人员状况，评估施工难度作出合理的施工安排与执行方案。

到货验收

到货验收将完成以下工作。

设备到货通知

设备到达用户指定地点前，我公司将向用户项目负责人员提供设备供货清单，由用户确认。

外包装验收

用户与集成商工程师、厂商工程师按照订货合同及交货单检查包装箱外观，点验包装箱件数。外观检查和箱数点验时，检查到发货单和包装箱是否相符，外包装有无损坏和碰伤。

开箱验收

依照设备清单，详细清点到货设备的数量是否正确;查验到货设备的附 / 配件是否齐全;设备的随机文档是否完整;同时在《设备到货验收报告》中记录到货设备序列号或服务号。

加电验收

开箱验收合格后对所有到货设备进行加电测试，观察其工作状态是否正常，设备的配置是否与设备采购合同中的规定一致，设备中运行的软件版本是否与采购合同的规定相符。加电验收合格后，我公司工程师与用户实施工程师、当地负责人员共同签署《设备到货验收报告》。

确认相关计划书和需求

此阶段必须完成各种项目实施的准备工作，签署相关计划书和确认具体需求等事宜。如：签署项目管理计划书、签署项目实施计划书、需求确认，设备验收等。

9.2.4 项目实施阶段

项目实施的工作主要包括设备到货验收、调试安装、软件开发、测试、初验、现场培训。

任务分配

通过任务分解后，依据项目实施组织结构和实际用户情况，指定相应的负责人。

安装调试

根据工程实施方案以及提出的具体要求对到货设备进行调试安装，并按照合同要求，对整体安全工作进行集成。集成商在对项目涉及的设备进行安装、配置与调试时，应对整个安装、配置与调试的每一步骤以及在安装调试过程中出现的各种问题及解决方法详细地记录到现场安装调试记录中，同时对系统中可能出现的问题及其解决方法形成注意事项向建设方的技术工程师进行详细讲解。安装、调试完成之后，按照建设方对工作环境恢复的要求，恢复工作环境，梳理机柜内和设备之间的连接线缆，使之美观、整齐，利于维护。

现场培训

为了使用户方的技术工程师能尽快的熟悉和掌握新建的系统，希望用户方负责该项目人员全程参与到系统的安装与调试中，对于安装与调试中的各种问题，集成商公司的现场工程师将会进行现场解答与现场培训指导。

单项测试

在整个系统集成完成后，必须对整个网络的连通性和可靠性进行严格的测试。网络基本功能(连通性、可靠性)的测试是网络系统建设中的重要组成部分，是对前面的系统集成任务完成状况的一个综合评判。对于网络工程系统，我们将着眼于系统的建设目标，所进行的技术测试与本网络系统的技术要求相一致，使得建成的系统能够真正满足用户的需求，达到系统的建设目标。

在项目实施前，根据系统安装调试记录的有关要求，工程师将与用户协商集成工作的测试时间、测试组组成人员、测试内容以及测试步骤和接收条件等，制定《系统测试计划》，《系统测试计划》需经用户方项目负责人签字认可并作为项目测试的测试依据，同时形成测试记录。

测试组成员按《系统测试计划》中要求的测试时间进入测试现场，根据计划中规定的测试内容及测试步骤对系统性能指标进行逐项测试，得出测试结果，形成《系统测试记录》并由测试组成员签字确认。

根据《系统测试记录》得出的测试结果和合同书中规定的功能及性能指标要求及系统接收准则，由测试组出具《系统测试报告》，并由测试组成员会签认可。

全网系统综合测试

在整个实施工作结束后，将进行全网的整体联调工作。

1、检验实施后的设备的运行情况

2、检验实施后的设备的系统整体情况

3、测试网络安全系统

4、测试用户关键业务的运行状况

5、依据测试、检测结果和数据，对整个系统作出综合分析，并生成相应的报告。

6、测试安全产品和系统的功能及性能是否满足要求。

具体测试内容和规范，待项目实施过程中，在测试计划中详细描述。

项目完工报告

全网系统综合测试完成后，代表所有的实施工作基本完成，整个项目实施进入系统试运行、项目培训、文档整理等收尾阶段。关键里程碑为签署项目完工报告。

9.2.5 项目收尾阶段

系统试运行

在初验合格后系统进入试运行期。试运行期将进行以下工作：

试运行调查记录：在系统试运行期间，项目执行人员要对系统的功能、性能、稳定性以及系统的运行效果等各项关键因素进行全面的监测与记录，对出现的问题及时处理并形成系统试运行记录。

得出试运行结论：试运行期满后，项目经理根据系统试运行记录得出的系统试运行结果，写出系统试运行报告，做出系统试运行结论，并经甲乙双方签字确认。

提交终验申请：系统均通过测试与试运行后，项目经理根据《系统测试报告》及《系统试运行报告》向建设方提出项目验收申请。

进行终验工作：甲方同意项目验收申请后，根据合同的要求组织项目验收。验收的时间及安排需经用户方、监理单位以及我公司协商确定。

得出终验结论：按照合同的要求对项目中设备的到货情况、系统功能的实现、项目文档的完整性以及项目的系统培训等重要项目进行验收，用户方与我公司签署《系统终验报告》，自三方签字之日起系统进入售后服务期。

顾客满意度调查：验收后要请用户协助填写《顾客满意度调查表》，了解顾客对项目的满意程度和存在的问题及顾客进一步的希望，以便不断改进我们的工作。

项目培训

为使用户能够更方便、更熟练地管理安全设备及软件，更好地发挥网络系统的作用，提高工作效率，保障系统安全可靠运行，技术培训至关重要。必须把培训看作是实施信息系统的关键，特别注重对使用人员在网络管理、安全运行和维护等知识、技术和管理经验方面的培训。

工程初验

试运行结束后，等保安全体系建设项目与集成商组织验收，对试运行记录进行汇总，并将试运行情况进行总结，形成工程终验报告，经由双方共同签署确认，由等保安全体系建设项目出具工程终验报告。

验收标准：试运行期间系统运行是否正常;是否发挥安全防御作用。

文档要求：根据试运行期间系统运行记录报告，由等保安全体系建设项目出具终验报告，经等保安全体系建设项目与集成商双方共同签署。如未能通过验收则共同签署《设备异常情况报告单》。

初验分工界面：

9.2.6 项目评估验收阶段

项目验收申请

等保安全体系建设项目所有工程实施工作完毕、并经过了严格的系统试运行后，可以提交项目验收申请报告，由甲方根据项目实施完成的情况，予以确认是否能够进行项目验收工作。

文档移交

项目验收的同时，我公司将为等保安全体系建设项目提供整个项目从项目前期的设计方案到项目工程实施和售后服务的所有文档资料。项目验收

经等保安全体系建设项目和专家的论证后，同意验收，签署项目验收报告。其安装和验收标准按照相应原厂商的相关标准作为依据。整个等保安全体系建设项目至此工程实施完毕，进入项目的售后服务阶段。

系统验收合格后，签署最终验收文件，验收文件主要内容将包括如下内容：

( 1 )验收测试范围;

( 2 )验收数据;

( 3 )验收报告;

( 4 )遗留问题及解决方案。

针对非我方安全产品的验收标准将按照原厂的验收标准结合用户意见进行。

9.3 工程质量管理

本次等保安全体系建设项目信息安全保障体系项目的建设提供有效的工程实施质量管理措施，确保项目的质量和品质。该措施主要包括制订详细、切实的工程技术指导书，制订详细的工程实施计划，基于实施计划的严格的工程进度管理，高效合理的人力资源调配与管理，必要的项目协调会议、工程和技术文档的管理，严格的公司质量体系保证。

9.3.1 组建健全有效、职责明确的项目组织机构

健全有效的组织机构是贯彻工程意图和顺利进行工程实施的重要条件和保证。在工程实施中，由于分工责任不明确造成的混乱的项目管理，将严重影响到工程质量的好坏。为确保工程实施的规范化，在工程规划之初，我们首要的工作就是提出并组建起适于本项工程实施和管理的全套组织和领导机构，采用项目领导小组下的项目经理负责制，并明确规范所属下级各组的职责及组间协调关系，做到分工到人、责任落实。这种工程组织方案曾被集成商公司在多个大型工程项目中采用，并被验证为行之有效的。

9.3.2 制订详细、切实的工程技术指导书

由于本项目工程技术复杂，对于项目中可能遇到的相关工程技术问题，集成商公司将采用有效的措施以确保所有相关细节在设备进行现场安装和割接以前进行预处理。这种工作的基础是必须制定详细、切实的工程指导书。工程指导书是在项目经理和技术负责人对工程细节进行详细的分析研究，并对所有安装现场进行详细的调查之后形成的关键性的技术文件。

工程技术指导书将始终贯彻于整个工程实施过程之中，并且是整个工程实施的指导性技术文件。具体项目实施时，按照该指导书的精神和具体内容对整个工程中各个具体工程细节进行微调，以确保整个工程能够顺利、按时完成。这同时也是整个系统技术统一性的质量保证，可以大大避免工程中不规范现象的发生。

9.3.3 制订详细的工程进度计划

根据实际安装条件、设备到货周期、各种资源状况、传输系统状况和其他现实因素，要求项目经理必须要全面规划出一个符合实际的整个工程进度计划，其中包括：

工程进度总时间表和人力资源表;

各阶段的具体工作内容、工作周期以及相应的负责人员;

项目里程碑的定义及完工标准。

项目经理将按照制订的工程进度计划对项目实施进行协调、监督与管理，定期向本次项目的甲方负责人做进度报告。对于计划调整的部分，必须及时向用户提交变更申请，在得到等保安全体系建设项目有关方面的批准后，及时调整工程进度计划，并在保证工期和质量的前提下，协调各种资源，监督工程实施。

9.3.4 基于实施计划的严格工程进度管理

项目经理作为项目的总接口人及工程总负责人，负责项目实施的全面工作，包括收集有关产品到货、运输、开箱、现场准备、安装进展、用户技术人员反应等有关工程信息。在项目实施过程中，将严格按照工程实施计划，全权负责工程进度的管理与监督。定时向用户项目实施负责人汇报工程进度，在处理突发事件和项目变更时，要及时调整人员和计划以保证工程正常进行;在工程进度受阻时，要及时申请增加人员和技术力量，确保工程进度;在遇到导致工程进展的因素发生时，项目经理将负责采取必要的措施。此外，项目经理要审查技术实施后的工程质量，以确保整个工程顺利、高质量的完成。

9.3.5 高效合理的资源调配与管理

在项目管理中，由项目经理负责协调所有的内部与外部资源，并根据任务分解情况，明确各项目小组的权限和责任，以及相关人员的素质要求和具体人员配备。在必要的时候，项目经理将根据具体情况按照最高效的方法统一调配人力资源、设备资源。

9.3.6 必要的工程协调会

工程能够顺利实施的一个重要因素是 XX 等保安全体系建设项目及集成商公司，以及原厂商等各方面进行合作的密切性和一致性。相互之间的合作和理解是工程实施成功的一个重要基石。定期的工程协调会方式可以为本项目的各参与单位提供面对面交流各自负责工作进展状况和项目中遇到问题的机会，以便各相关方面了解最新的项目动态，以确保整个工程的顺利实施。特别是在工程启动、各个关键环节和里程碑阶段，召开此类工程协调会显得更为重要。

9.3.7 工程和技术文档的管理

建立一个标准化的工程技术文档体系是工程管理规范化、程序化的重要手段。通过工程文档体系可以实现对整个工程的计划与预算、定期报告、特别报告、对问题状况的分析、测评和响应这一完整过程，而正确地管理、使用各类文档则使工程管理工作变得有据可依、井井有条。

文档的管理是系统集成服务中的重要部分，其对于项目的按时、顺利实施提供了保障，同时为技术转移给用户和系统的运行维护及管理提供依据。

工程实施结束后，我们会将所有的项目文档导入技术响应中心的数据库中，以便于项目文档的规范化管理和系统的售后维护。

第 10 章 安全运维服务

安全运维服务提供现有及运维期内新增的各安全系统运维服务， 定期对现有的安全设备的日志进行分析，对存在问题进行及时处理，进一步降低网络中安全威胁， 定期对信息网络系统进行安全健康检查，协助客户完成有关信息安全应急响应工作，提供安全预警服务，定期发送安全事件通告和高危安全事件的紧急通告，对发现的安全事件提出整改方案和整改计划，并牵头进行整改。

10.1 定期安全巡检

客户定期进行安全巡检，包括安全设备巡检、策略巡检和安全事件分析总结等。

安全巡检服务主要对生产环境以及环境内的防火墙、路由器、交换机、防病毒系统、桌面管理等安全系统的进行定期巡检工作，发现是否存在安全隐患和可疑事件，运行是否正常。巡检内容包括但不限于设备的运行状态、策略、配置、日志分析等。

1、日志获取：巡检人员在现场获取业务支持系统中的安全设备、监控工具等的相关信息，并统一存储在安全信息库中。

2、事件确认：监控工具或安全设备报告的事件中有些是误报有些是有威胁的攻击，需要考虑网络环境、安全防护措施、操作系统、系统补丁、应用情况等情况。这样经过巡检人员及时分析确认的事件才有实际意义，可以用来触发事件响应，包括应急支持等。

3、专家分析：信息安全专家对数据挖掘专家的日志做进一步的分析，从中发现可疑的行为和事件，并判断这种行为对系统可能造成的影响以及影响的程度;分析可疑的节点行为，评估其对整个业务支持系统造成的影响，并建立特殊的黑名单机制，对其做进一步的监控;对需要响应的疑点、病毒事件或安全事件及时通告给紧急事件响应小组。

安全巡检报告是为客户深刻了解自身业务支持系统安全状况的一种有效形式，它主要涉及了如下的内容：

1、主体事件统计：明确了在客户业务支持系统中的主要事件，有助于客户了解其网络资源的利用效能。

2、病毒与安全危险：记录了业务支持系统中曾经出现过的病毒或者安全危险，记录了病毒或者安全事件的来源与目标，病毒感染范围、削除时限。有助于客户了解在其业务支持系统中各个终端的病毒感染、安全事件状况以及存在的内部与外部的安全隐患。

3、特殊事件分析：对于可疑安全事件进行深层次的分析，判断其可能造成的伤害和影响，并提供对这些事件的处理建议。

4、系统安全建议：根据分析的结果，对业务支持系统设备提出包括零入侵攻击保障时段时长频度，重点保护日期、时段及要求在内的合理化建议。

10.2 定期安全检查

每季度对服务器、网络设备、数据库、应用系统等进行一次全面的系统漏洞扫描和安全配置检查，清晰定性安全风险，给出修复建议和预防措施，并进行跟踪处理;每季度对的外网网站进行渗透测试服务，挖掘应用风险漏洞，避免网站被篡改和控制。

10.3 新业务上线检查

在自主开发业务系统或委托开发业务系统时，更多的是从业务功能实现方面对业务系统进行验收，缺乏相应的技术手段和能力对交付的业务系统的安全状况进行检验。如果业务系统在上线后由于存在类似 SQL 注入、密码明文传输、安全功能缺失等漏洞而遭受攻击，会直接影响正常业务运行，甚至造成经济和名誉的损失，再加上有些漏洞涉及代码改写，考虑到业务连续性的要求，这些漏洞几乎无法得到修复。

因此，用户需要一种能够在系统上线前对系统安全状况进行检验的服务，从信息安全的角度对应用系统、集成环境等内容的安全状况进行评估，对发现的问题进行妥善处理，避免将影响系统安全的问题遗留到系统上线后，成为系统安全的隐患。

10.4 安全通告与预警

在多年的安全服务经验的积累上，根据客户的安全预警需求，组织安全信息定期通告，及时告知客户最新的安全事件( 0day 系统漏洞、网络攻击)的解决办法。对于重大高危安全问题将及时通报。

1、将向客户提供最新发现的各种操作系统、数据库、网络设备、应用软件的安全漏洞信息和病毒信息，以满足安全预警服务的基本需要。此项服务由基础研究部进行追踪，最终根据预警级别，通过邮件等方式提供给客户指定接口人。

2、为客户提供包括漏洞的名称、级别、受影响的软件、检测方法、应急措施和根除措施等内容的安全预警信息。

3、提供的安全预警信息将以电子邮件的方式发送到客户指定的邮箱中。一旦预警小组确认安全漏洞，这个发送过程将由安全预警平台的邮件系统自动发送。

4、对于安全研究小组认定的严重、紧急的安全预警信息，将以电话、短信、传真的方式通知客户的预警工作接口人。并确保严重漏洞得到客户预警接口人的接受确认。

5、向客户提供的安全预警信息将先于对外公布至少 1 天时间。对有些未发现有效的最终解决方案的安全漏洞，将为客户提供临时解决方案，并至少推迟 1 周时间后再向外公布此安全漏洞。

6、针对为客户提供的安全预警信息的相关内容，由的安全专家向客户提供 7*24 小时的专人电话支持服务。

9.5 应急响应服务

目前许多客户自身尚没有足够的资源和能力对安全事故做出反应，甚至在当今的信息社会，更多的组织还没有准备面对信息安全问题的挑战。网络安全的发展日新月异，谁也无法实现一劳永逸的安全服务，所以当紧急安全问题发生，一般技术人员又无法迅速解决的时候，及时发现问题、解决问题就必须依靠紧急响应来实现。

应急响应的作用主要表现在事先的充分准备和事件发生后采取的措施两个方面的作用。

一方面是事先的充分准备。这方面在管理上包括安全培训、制订安全政策和应急预案以及风险分析等，技术上则要增加系统安全性，如备份、打补丁了，升级系统与软件，有条件的可以安装防火墙，入侵检测工具( IDS )和杀毒工具等。

另一方面事件发生后的采取的抑制、根除和恢复等措施。其目的在于尽可能的减少损失或尽快恢复正常运行。如收集系统特征，检测病毒、后门等恶意代码，隔离、限制或关闭网络服务，系统恢复，反击，跟踪总结等活动。

以上两个方面的工作是相互补充的。首先，事前的计划和准备为事件发生后的响应动作提供了指导框架，否则，响应动作将陷入混乱，而这些毫无章法的响应动作有可能造成比事件本身更大的损失。其次，事后的响应可能发现事前计划的不足，吸取教训。从而进一步完善安全计划。因此，这两个方面应该形成一种正反馈的机制，逐步强化组织的安全防范体系。