湖北武汉网络安全三级等保解决方案

1.  方案设计

1.1.  设计目标

结合等级保护2.0相关标准和要求以及国内外最新的安全防护体系模型，以保障用户业务安全高效运行为根本出发点，提出了“持续保护，不止合规”的价值主张。同时，有效的风险管理一定是建立在一定的模型之上的。为适应新的安全形势，等级保护2.0安全建设建议引入新的智安全能力模型“APDRO”。通过以APDRO为安全能力模型支撑，为用户构建以技术、管理和运营三大安全体系为目标的可运营的智能化安全体系，让等级保护对象具备了安全可视、持续检测、协同防御的能力。

图5-1 等级保护2.0建设规划框架

1.2. 设计原则

依据等级保护政策、标准、指南等文件要求以及用户业务安全需求，对保护对象进行区域划分和定级，对不同的保护对象从物理环境防护、通信网络防护、区域边界防护、计算环境防护等各方面进行不同级别的安全防护设计。以等级保护安全框架为依据和参考，在满足国家法律法规和标准体系的前提下通过“一个中心、三重防护”的安全设计，形成网络安全综合技术防护体系。突出技术思维和立体防范，注重全方位主动防御、动态防御、整体防控和精准防护。网络安全等级保护安全框架如下：

图5-2 等级保护安全框架

 

1.3.方案规划设计

1.3.1. 技术层面

1.3.1.1.  规划后网络

规划后网络拓扑

1.3.1.2. 外网业务区

l    总体框架设计

安全运维管理区新增了Atrust、云镜、堡垒机、终端杀毒网关、数据库审计、日志审计，该部分为外网业务区域的”中心大脑“，实现统一管理、统一监控、统一审计、综合分析且协同防护。

外网出口区新增了负载均衡、下一代防火墙、全网行为管理，其中负载均衡为主备模式，防火墙和全网行为管理均为透明主主模式，该部分为外网业务区的出口区域边界，用于审计管控外到内、内到外的流量。

外网区域边界，核心交换机—外网业务区新增防火墙，实现访问控制以及应用层的防御，新增应用负载均衡对外业务进行应用负载；核心交换机—安全运维区新增防火墙，实现基础的访问控制功能；新增流量探针，旁挂与核心交换机，对流量进行分析。

l  网络设计

//列出该区域所有的业务流量的走向以及网络的设计

业务流量走向

此处的业务流量分为对外业务流量、管理流量、终端上网业务流量、外网与内网业务服务器之间的业务交互。

内部访问对外业务：内部终端—>核心交换机—>防火墙（二层）—>应用负载（三层）—>对外业务

外部访问对外业务：外网—>负载均衡（三层）—>防火墙（二层）—>上网行为AC—>—>核心交换机—>防火墙（二层）—>应用负载（三层）—>对外业务。

终端上网业务：内部终端—>核心交换机（三层）—>上网行为AC（二层）—>防火墙（二层）—>负载均衡（三层）—>外网。

管理流量：管理终端—>核心交换机（三层）—>防火墙（二层）—>设备

外网与内网业务服务器之间的业务交互：外网服务器—>防火墙（二层）—>核心交换机（三层）—>网闸（二层）—>核心交换机（三层）—>防火墙（二层）—>内网服务器

网络设计

所有设备需要配置一个管理地址，接入带外管理网。

出口区域：出口负载均衡采用主备部署，起2个三层口分别交叉上联分线交换机，起1个三层口与和核心交换机逻辑互联，与下联防火墙物理互联。此处需新增一对互联地址用于核心交换机与出口负载均衡器互联，并将核心交换机的出口互联地址上移至出口负载均衡设备。出口防火墙采用主主双机透明部署，上联负载均衡，下联全网AC。全网AC采用主主透明部署，上联出口防火墙，下联核心交换机。

安全运维区域：安全运维区域的防火墙采用单机透明部署，安全运维区域设备均使用业务口接入至至接入交换机，管理口接入至管理交换机，实现管控分离。

其他区域：外网服务器区的防火墙采用主主双机透明部署，上联核心交换机，下联服务器交换机。探针设备旁挂于核心交换机，采集核心交换机所有接口的出方向的流量。区域边界的网闸设备采用代理模式，需新增2对互联地址，分别用于外网核心交换机—外网板卡网闸、内网板卡—内网核心交换机。

 

l  高可用设计

安全运维区防火墙使用虚拟网线，核心交换机与安全运维区接入交换机做聚合口。

 

外网服务器区的防火墙使用虚拟网线，开启链路监视，核心交换机与服务器交换机做聚合口。

 

网闸使用双机主机部署，外网板卡与外网核心交换机互联，内网板卡与内网核心交换机互联。

 

出口负载均衡采用主备部署，开启链路监视，开启接口联动，防护墙使用主主透明双机，开启链路监视，使用心跳口做配置、会话的同步，使用双机聚合口用于防止来回路径不一致，全网AC使用主主透明部署。

 

功能设计

外网出口负载均衡

外网边界部署2台负载均衡实现上网流量的分流，访问联通的流量走联通，访问电信流量的走电信，实现智能路由和链路负载；开启目的NAT功能，隐藏内部地址；开启智能DNS功能，根据地域提供A记录，保证最佳的对外业务访问访问体验；开启SSL卸载，确保防火墙可以识别并防护该网站。

外网出口防火墙

外网边界部署2台防火墙实现对网络中所有流经防火墙的数据包按照严格的安全规则进行过滤，支持配置五元组，清洗恶意流量，杜绝越权访问；开启入侵防御与检测、内容安全、僵尸主机检测功能，保证了PC和服务器的安全稳定。

外网出口全网AC

在终端准入管控方面，考虑到用户的使用体验，使用portal+MAC对用户PC进行准入控制，同时为了对审计流量更加全面，把PC去往其他区域的接口均引流到全网AC上。此处需要开启三层SNMP获取终端PC的MAC地址。

在终端的合规性和防泄密方面，全网AC对终端进行检测是否安装EDR，同时检测外设设备，比如U盘、硬盘，防止数据防泄密，若不满足则不允许接入；开启SSL解密功能，使用AC准入插件进行审计内容。

在终端的上网行为管控方面，开启应用控制功能，对百度网盘、非法网站进行限制；开启流量管控功能，保证各用户的最佳上网体验；开启行为审计功能，让管理人员看得清带宽流量现状以及对企业网络行为审计做到可视化。

在简化运维方面，外网业务区域的全网AC作为认证信息的统一可视平台，负责收集智能化专区和内网业务区的全网AC的认证信息。

注意：内部用户的终端需要安装准入客户端，移动办公终端无需安装准入客户端。

EDR终端安全

在安全合规基线方面，EDR对终端做安全基线检查，开启漏洞检测和修复，使用微隔离做终端的高危端口封禁，保证终端处于安全基线标准的环境下，提高黑客攻击难度。

在安全防护方面，外网业务区域所有终端及服务器安装EDR终端防止恶意代码软件，有效防护勒索病毒攻击，并定时对终端及服务器进行扫描，保证终端处于无毒安全状态。

在简化运维方面，EDR开启远程桌面管控，方便管理人员对用户终端进行远程运维。此处注意：共部署多套MGR，其中包括内网MGR、外网MGR、各分支单位MGR，所有区域的终端和服务器的EDR是由内网的MGR进行统一管理配置，各分支MGR、外网MGR是用于充当终端的病毒库更新服务器、漏洞补丁检测与修复服务器。

Atrust

由于XX内部有远程办公的需求，为了避免将XX内部服务器直接发布到外网上，部署Atrust安全接入平台，XX系统通过Atrust安全的发布出来，实现服务器IP隐藏，同时采用Atrust加密隧道保障XX业务数据在传输过程中的安全。

在移动办公PC的安全性方面，对终端进行检测，检测是否安装EDR若未安装EDR不可访问服务资源，同时EDR对终端进行安全基线的检查，包括漏洞检测修复、基线核查等。

在移动办公手机的防泄密方面，使用UEM的移动端，对SDK应用封装，同时使用双域隔离，将工作域中的工作应用与个人域完全隔离，包括内容读取、禁止截屏、应用水印等技术手段，有效的防止个人域病毒木马攻击的同时，阻止员工恶意泄密的行为。

在移动办公PC的防泄密方面，使用UEM的PC端，创建独立的沙箱虚拟环境，同时使用网络访问策略、程序运行限制、应用水印以保证移动办公PC的安全性和隔离性。

外网服务器防火墙

对访问流量进行严格的访问控制，同时开启入侵防御与检测、内容安全、僵尸主机检测、Web应用防护等多种功能于一体，具备L2-L7全面威胁检测和防御能力，能够精准检测与阻断网络流量中病毒、木马、蠕虫、间谍软件、恶意URL攻击，实现全面的安全防护。

安全运维区防火墙

外网边界部署1台防火墙实现对网络中所有流经防火墙的数据包按照严格的安全规则进行过滤，支持配置五元组，清洗恶意流量，杜绝越权访问

网闸

在访问控制方面，按照严格的安全规则进行过滤，支持配置五元组。

在数据交换方面，使用文件交换、数据交换的功能，实现内外网之间的文件和数据在一个稳定、可靠、安全的环境下进行传输。

运维堡垒机

外网安全运维管理区部署1台运维堡垒机，实现运维人员账号管理、身份认证、单点登录、资源授权、访问控制和操作审计，提高政府和企业的IT运维管理水平。堡垒机增加动态令牌，实现网络和主机部分的双因子认证。

漏洞扫描系统

外网运维管理区部署1台漏洞扫描系统，主要解决XX系统安全漏洞及安全配置管理问题，实现了各类配置脆弱性（漏洞、WEB漏洞、弱口令、配置违规、变更）的智能发现、集中有序运维。全面集中扫描和分析各类信息系统或设备存在的安全脆弱性问题，具备自动化的采集、分析、报告能力。

潜伏威胁探针

外网核心交换机旁路部署1台潜伏威胁探针负责对业务区域内系统的网络流量进行采集和分析，将分析后的数据上传给内网安全感知平台，及时发现网络中潜在的安全威胁并快速响应，降低攻击带来的风险，提升安全运营水平，增强主动防御能力。

日志审计系统

日志审计系统，可以采集网络中安全设备、网络设备、服务器资源和应用系统的日志，对海量的日志做统一的管理和分析。

1.3.1.3.  内网业务区

l    总体框架设计

安全运维管理区新增了云镜、堡垒机、终端杀毒网关、数据库审计、态势感知、日志审计该部分为外网业务区域的”中心大脑“，实现统一管理、统一监控、统一审计、综合分析且协同防护。

内网服务器区新增应用负载，对核心系统的业务进行负载均衡以及健康检查。

内网区域边界，核心交换机—内网业务区新增防火墙，实现访问控制以及应用层的防御；核心交换机—安全运维区新增防火墙，实现基础的访问控制功能；核心交换机—外联区新增防火墙实现，实现基础的访问控制功能；新增流量探针，旁挂与核心交换机，对流量进行分析；核心交换机旁挂新增网络准入，对内网终端、外联区域进行准入控制。

l   网络设计

业务流量走向

此处的业务流量分为对内业务流量、管理流量、外网与内网业务服务器之间的业务交互、外联单位业务。

内部访问对内业务：内部终端—>核心交换机—>防火墙（二层）—>对外业务

外联单位访问对内业务：外部终端—>防火墙（二层）—>核心交换机（三层）—>防火墙（二层）—>应用负载均衡（三层）—>服务器

管理流量：管理终端—>核心交换机（三层）—>防火墙（二层）—>设备

外网与内网业务服务器之间的业务交互：外网服务器—>防火墙（二层）—>核心交换机（三层）—>网闸（二层）—>核心交换机（三层）—>防火墙（二层）—>内网服务器

外联单位业务：内部终端—>核心交换机—>防火墙（二层）—>外联单位业务

网络设计

所有设备需要配置一个管理地址，接入带外管理网。

安全运维区域：安全运维区域的防火墙采用单机透明部署，安全运维区域设备均使用业务口接入至至接入交换机，管理口接入至管理交换机，实现管控分离。

内网服务器区的防火墙采用主主双机透明部署，上联核心交换机，下联服务器交换机。负载均衡采用主备部署，单臂旁挂于核心交换机，与核心交换机三层互联。

其他区域：探针设备旁挂于核心交换机，采集核心交换机所有接口的出方向的流量。网络准入设备旁挂于核心交换机，采集核心交换机所有接口的处方向的流量。区域边界的网闸设备采用代理模式，需新增2对互联地址，分别用于智能化防火墙—外网板卡网闸、内网板卡—内网核心交换机。外联区域防火墙主主双机透明部署，上联核心交换机，下联外联区域交换机。

 

l高可用设计

安全运维区防火墙使用虚拟网线，核心交换机与安全运维区接入交换机做聚合口。

 

内网服务器区的防火墙使用虚拟网线，开启接口联动，开启链路监视，核心交换机与内网交换机做聚合口。

 

外联单位的防火墙使用虚拟网线，开启接口联动，开启链路监视，核心交换机与外联单位交换机做聚合口。

 

网闸分别与核心交换机、智能化专区使用聚合口接入，GAP分别与智能化专区防火墙、核心交换机使用三层互联。

l  功能设计

外网服务器防火墙

对访问流量进行严格的访问控制，同时开启入侵防御与检测、内容安全、僵尸主机检测、Web应用防护等多种功能于一体，具备L2-L7全面威胁检测和防御能力，能够精准检测与阻断网络流量中病毒、木马、蠕虫、间谍软件、恶意URL攻击，实现全面的安全防护。

EDR终端安全

在安全合规基线方面，EDR对终端做安全基线检查，开启漏洞检测和修复，使用微隔离做终端的高危端口封禁，保证终端处于安全基线标准的环境下，提高黑客攻击难度。

在安全防护方面，内网业务区域所有终端及服务器安装EDR终端防止恶意代码软件，有效防护勒索病毒攻击，并定时对终端及服务器进行扫描，保证终端处于无毒安全状态。

在简化运维方面，EDR开启远程桌面管控，方便管理人员对用户终端进行远程运维。此处注意：共部署多套MGR，其中包括内网MGR、外网MGR、各分支单位MGR，所有区域的终端和服务器的EDR是由内网的MGR进行统一管理配置，各分支MGR、外网MGR是用于充当终端的病毒库更新服务器、漏洞补丁检测与修复服务器。通过AC插件进行推送EDR的安装，

外联区域防火墙

外网边界部署2台防火墙实现对网络中所有流经防火墙的数据包按照严格的安全规则进行过滤，支持配置五元组，清洗恶意流量，杜绝越权访问；开启入侵防御与检测、内容安全、僵尸主机检测功能，保证了PC和服务器的安全稳定。

安全运维区防火墙

外网边界部署1台防火墙实现对网络中所有流经防火墙的数据包按照严格的安全规则进行过滤，支持配置五元组，清洗恶意流量，杜绝越权访问

态势感知

在安全防护方面，安全感知平台具体检测、预警、响应处置的大数据安全分析平台。其以全流量分析为核心，结合威胁情报、行为分析建模、UEBA、失陷主机检测、图关联分析、机器学习、大数据关联分析、可视化等技术，对全网流量实现全网业务可视化、威胁可视化、攻击与可疑流量可视化等，帮助客户在高级威胁入侵之后，损失发生之前及时发现威胁。

在简化运维方面，可通过SIP与深信服AF/EDR/AC进行联动，可完成部分问题的处置，提高处置效率；可通过自动响应策略，事先配置好剧本，当平台检测到对应的事件后，会自动联动对应设备进行处置；通过前期的资产发现服务，或与深信服AC/EDR或用户认证系统对接，实现风险主机的定位问题。

在安全运营方面，通过SIP+安全运营服务（Managed Security Service ，简称：MSS）以保障用户网络安全“持续有效”为目标，围绕资产、漏洞、威胁、事件四个要素，通过“人机共智”模式整合技术、专家和流程开展持续化的网络安全保障工作，与用户一同构建持续（7*24 小时）、主动、闭环的安全运营体系。

内网全网AC

在终端准入管控方面，考虑到用户的使用体验，使用portal+MAC对用户PC进行准入控制。此处需要开启三层SNMP获取终端PC的MAC地址。

在终端的合规性和防泄密方面，全网AC对终端进行检测是否安装EDR，同时检测外设设备，比如U盘、硬盘，防止数据防泄密，若不满足则不允许接入。

在简化运维方面，外网业务区域的全网AC作为认证信息的统一可视平台，负责收集智能化专区和内网业务区的全网AC的认证信息。

注意：内部用户的终端需要安装准入客户端

潜伏威胁探针

外网核心交换机旁路部署1台潜伏威胁探针负责对业务区域内系统的网络流量进行采集和分析，将分析后的数据上传给内网安全感知平台，及时发现网络中潜在的安全威胁并快速响应，降低攻击带来的风险，提升安全运营水平，增强主动防御能力。

网闸

在访问控制方面，按照严格的安全规则进行过滤，支持配置五元组。

在数据交换方面，使用文件交换、数据交换的功能，实现内外网之间的文件和数据在一个稳定、可靠、安全的环境下进行传输。

运维堡垒机

外网安全运维管理区部署1台运维堡垒机，实现运维人员账号管理、身份认证、单点登录、资源授权、访问控制和操作审计，提高政府和企业的IT运维管理水平。堡垒机增加动态令牌，实现网络和主机部分的双因子认证。

漏洞扫描系统

外网运维管理区部署1台漏洞扫描系统，主要解决医院系统安全漏洞及安全配置管理问题，实现了各类配置脆弱性（漏洞、WEB漏洞、弱口令、配置违规、变更）的智能发现、集中有序运维。全面集中扫描和分析各类信息系统或设备存在的安全脆弱性问题，具备自动化的采集、分析、报告能力。

数据库审计系统

DAS数据库使用agent探针/镜像方式的部署模式，审计对业务人员访问系统的行为进行解析、分析、记录、汇报，用来帮助用户事前规划预防，事中实时监视、违规行为响应，事后合规报告、事故追踪溯源，促进核心资产的正常运营

日志审计系统

日志审计系统，可以采集网络中安全设备、网络设备、服务器资源和应用系统的日志，对海量的日志做统一的管理和分析。

1.3.1.4. 智能化专网区

l总体框架设计

智能网区中新增了1台防火墙，对智能网区域进行访问控制和入侵检测与防御，交换机旁挂网络准入，做哑终端的准入。        

 

l 网络设计

业务流量走向

一卡通服务器（内网服务区）与智能化专区的业务交互等

网络设计

所有设备需要配置一个管理地址，接入带外管理网。

防火墙路由部署串联至网络中，聚合口上联网闸，聚合口下联智能化核心交换机。

网络准入设备旁挂于智能化核心交换机，与智能化核心交换机三层互联。

l  高可用设计

智能化防火墙分别与智能化核心交换机、网闸使用聚合口接入，智能化防火墙分别与网闸、智能化核心交换机使用三层互联。

 

全网AC开启逃生VLAN，如果出现特殊状况需要进入逃生VLAN或者是AC出现故障时为了不影响终端的正常入网，实现逃生。

l功能设计

智能化防火墙

外联网部署1台防火墙实现对网络中所有流经防火墙的数据包按照严格的安全规则进行过滤，支持配置五元组，清洗恶意流量，杜绝越权访问；开启入侵防御与检测功能，防止哑终端的漏洞被恶意利用。

智能化全网AC

在哑终端准入管控方面，考虑到用户的使用体验，使用802.1X+MAC对用户PC进行准入控制，全网AC充当Radius服务器对哑终端进行认证。此处可使用SNMP+扫描的方式获取哑终端的MAC。

在简化运维方面，外网业务区域的全网AC作为认证信息的统一可视平台，负责收集智能化专区和内网业务区的全网AC的认证信息。

此处交换机需要交换机配置MAB属性以及802.1X认证配置。

1.3.2.管理层面

根据网络安全等级保护要求，结合用户实际及最新的安全架构模型和理念，为用户构建技术、管理和运营三大安全体系。

1.3.2.1.   安全管理制度

依据《网络安全等级保护基本要求》及组织网络安全管理工作的特点从安全策略、管理制度、制定和发布以及评审和修订等方面进行安全管理制度设计。

l   安全策略

制定网络安全工作的总体方针和安全策略，阐明机构安全工作的总体目标、范围、原则和安全框架等。

组织在实施网络安全管理的过程中，制定网络安全方针政策是非常关键的工作。网络安全方针是网络安全管理工作的纲领，用于指明网络安全工作的方向，指导网络安全管理的基本工作原则。制定网络安全管理方针政策，首先要确定方针政策的发布者，发布者在组织结构中的位置在相当程度上决定了网络安全管理方针的权威性，类同法律体系中的法律、法规的颁布机构。在信息科技已经融入组织核心生产的今天，网络安全管理方针政策由组织最高管理者（管理层）发布为最佳。网络安全管理方针政策的首要任务是设置网络安全的目标，目标的设定应简单明确，例如：“保护企业信息的机密性、完整性与可用性”，良好的做法还包括为网络安全政策设置一个简短、朗朗上口的宣贯口号，例如：“网络安全、企业未来，管技结合、内外并重，预防为上、防范为辅，全员有责、高层表率”。

由于网络安全管理的方针政策的统领特性以及由组织高层管理者颁布的因素，该方针政策需要一个良好的策略来作为编制原则，例如：

简练：网络安全管理方针政策是组织的正式文件，因此应以书面语言编制为根本，采用短句以便于阅读，避免使用修饰性词语引入度量性上的缺陷。

清晰：网络安全管理方针政策应尽量避免发生理解上的歧义，由于中文是二义性较高的语言，因此组织语言使方针政策的各条款具有高度的清晰性是个非常具有挑战的工作。例如：“信息访问权限应当依据工作职责需要进行设置”vs“应当禁止全部不必要的权限访问”，前者在编制流程、实际操作中更具备可行性。

完备：网络安全管理方针政策包含的内容需要指导流程文件、作业指导书、记录模板等文件的编写，为了使后续工作能够在方针政策中找到指导，因此方针政策的编写应当完备，良好的做法包括参考被广泛接受的国际标准、最佳实践，例如：ISO27000系列标准作为参考，对方针政策的完备性进行检查。

1  图1-8 网络安全方针策略

l   管理制度

对安全管理活动中的各类管理内容建立安全管理制度，对管理人员或操作人员执行的日常管理操作建立操作规程，形成由安全策略、管理制度、操作规程、记录表单等构成的全面的安全管理制度体系，从而指导并有效地规范各级部门的信息安全管理工作。

2   图1-9 体系化安全管理制度

l  制定和发布

由组织最高领导层指定或授权专门的部门或人员负责安全管理制度的制定，安全管理制度通过正式、有效的方式发布，并进行版本控制。

安全策略系列文档制定后，必须有效发布和执行。发布和执行过程中除了要得到管理层的大力支持和推动外，还必须要有合适的、可行的发布和推动手段，同时在发布和执行前对每个人员都要做与其相关部分的充分培训，保证每个人员都知道和了解与其相关部分的内容。

安全策略在制定和发布过程中，应当实施以下安全管理：

 

      1)  安全管理制度应具有统一的格式，并进行版本控制；

      2)   安全管理职能部门应组织相关人员对制定的安全管理制度进行论证和审定；

      3)   安全管理制度应通过正式、有效的方式发布；

      4)   安全管理制度应注明发布范围，并对收发文进行登记。

l评审和修订

定期对安全管理制度的合理性和适用性进行论证和审定，对存在不足或需要改进的安全管理制度进行修订。

信息安全领导小组应组织相关人员对于信息安全策略体系文件进行评审，并确定其有效执行期限。同时应指定信息安全职能部门每年审视安全策略系列文档，具体检查内容包括：

      2) 信息安全策略中的主要更新；

     3) 信息安全标准中的主要更新。信息安全标准不需要全部更新，可以仅对因变更而受影响的部分进行更新；如果必要，可以使用年度审视／更新流程对信息安全标准做一次全面更新；

      4) 安全管理组织机构和人员的安全职责的主要更新；

      5)操作流程的主要更新；

      6) 各类管理规定、管理办法和暂行规定的主要更新；

      7) 用户协议的主要更新等等。

1.3.2.2.  安全管理机构

依据《网络安全等级保护基本要求》及组织网络安全管理工作的特点建立符合组织机构设置和人员分工特点的信息安全管理组织体系，成立信息安全领导小组等信息安全管理机构，明确信息安全管理机构的组织形式和运作方式，建立高效的安全管理机构,设立系统管理员、审计管理员和安全管理员等岗位，并定义各个工作岗位的职责，并从人员配备、授权和审批、沟通和合作、审核和检查各方面进行管理落地。

l  岗位设置

成立指导和管理网络安全工作的委员会或领导小组，其最高领导由组织主管领导担任或授权，设立网络安全管理工作的职能部门，设立安全主管、安全管理各个方面的负责人岗位，并定义各负责人的职责；应设立系统管理员、审计管理员和安全管理员等岗位，并定义部门及各个工作岗位的职责。

3  图1-10 高效的安全管理机构

l 人员配备

配备一定数量的系统管理员、审计管理员、安全管理员、机房管理员、数据库管理员等，其中安全管理员专职，不可兼任。

l 授权和审批

根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等，针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序，按照审批程序执行审批过程，对重要活动建立逐级审批制度，定期审查审批事项，及时更新需授权和审批的项目、审批部门和审批人等信息。

l沟通和合作

加强各类管理人员、组织内部机构和网络安全管理部门之间的合作与沟通，定期召开协调会议，共同协作处理网络安全问题。加强与网络安全职能部门、各类供应商、业界专家及安全组织的合作与沟通，建立外联单位联系列表，包括外联单位名称、合作内容、联系人和联系方式等信息。

l  审查和检查

定期进行常规安全检查和全面安全检查：常规安全检查的检查内容包括系统日常运行、系统漏洞和数据备份等情况，定期进行全面安全检查，全面安全检查的检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等。制定安全检查表格实施安全检查，汇总安全检查数据，形成安全检查报告，并对安全检查结果进行通报。

1.3.2.3. 安全管理人员

在安全管理人员方面，在人员录用、调动、离岗、考核、培训教育和外部人员访问管理几个方面，进一步加强及优化。

l人员录用

由组织最高领导层指定或授权专门的部门或人员负责人员录用，对被录用人员的身份、安全背景、专业资格或资质等进行审查，对其所具有的技术技能进行考核，与被录用人员签署保密协议，与关键岗位人员签署岗位责任协议。

人员录用入职流程参考

l 人员离岗

及时终止离岗人员的所有访问权限，取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备，办理严格的调离手续，并承诺调离后的保密义务后方可离开。

人员离职流程参考

 

人员离职控制参考

l   安全意识教育和培训

对各类人员进行安全意识教育和岗位技能培训，并告知相关的安全责任和惩戒措施，针对不同岗位制定不同的培训计划，对安全基础知识、岗位操作规程等进行培训，定期对不同岗位的人员进行技能考核。

安全意识教育培训参考

l 外部人员访问管理

在外部人员物理访问受控区域前先提出书面申请，批准后由专人全程陪同，并登记备案，在外部人员接入受控网络访问系统前先提出书面申请，批准后由专人开设账户、分配权限，并登记备案，外部人员离场后应及时清除其所有的访问权限，获得系统访问授权的外部人员应签署保密协议，不得进行非授权操作，不得复制和泄露任何敏感信息。

1.3.2.4. 安全建设管理

以信息安全管理工作为出发点，充实完善信息化建设管理制度中有关网络安全的内容。涉及等级保护的定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择等方面。

l 安全方案设计

根据安全保护等级选择基本安全措施，依据风险分析的结果补充和调整安全措施，根据保护对象的安全保护等级及与其他级别保护对象的关系进行安全整体规划和安全方案设计，设计内容应包含密码技术相关内容，并形成配套文件，组织相关部门和有关安全专家对安全整体规划及其配套文件的合理性和正确性进行论证和审定，经过批准后才能正式实施。

l 测试验收

制订测试验收方案，并依据测试验收方案实施测试验收，形成测试验收报告，进行上线前的安全性测试，并出具安全测试报告，安全测试报告应包含密码应用、安全性测试等相关内容。

l系统交付

制定交付清单，并根据交付清单对所交接的设备、软件和文档等进行清点，对负责运行维护的技术人员进行相应的技能培训，提供建设过程文档和运行维护文档。

1.3.2.5. 安全运维管理

根据组织网络安全管理制度体系框架中有关安全运维管理的制度规定，利用物理环境、网络系统、网络安全防护等运行维护管理和监测审计的系统和功能，以及统一安全监控管理中心等，不断完善运维安全管理的措施和手段，强化运维安全管理的科学规范，具体包括：环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络与系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理及外包运维管理等内容，确保系统安全稳定的运行。

重点要进一步建立完善网络系统安全漏洞的日常扫描、检测评估和加固，系统安全配置变更，恶意代码病的监测防护，网络系统运行的日志审计记录和分析，数据的备份和恢复，安全事件的监测通报和应急响应等机制，并注重对安全策略和机制有效性的评估和验证。

l  环境管理

指定专门的部门或人员负责机房安全，对机房出入进行管理，定期对机房供配电、空调、温湿度控制、消防等设施进行维护管理，建立机房安全管理制度，对有关物理访问、物品带进出和环境安全等方面的管理作出规定，不在重要区域接待来访人员，不随意放置含有敏感信息的纸档文件和移动介质等。

物理环境安全管理的要点：

      1) 围墙、门锁、照明、告警、监视系统；

      2) 专门设立接待区，限制物理访问；

      3) 外来人员登记及陪同；

      4)  定期检查访问记录； 

      5) 关键设施不要放置在公共区域；

      6) 关键区域不做显眼标记；

      7)防止火灾、水灾、地震、爆炸等自然或人为灾难；

      8)  安全区域内工作，禁止摄影摄像，加强监督；

      9)  一定要注意那些不在视野范围内的东西。

物理和环境安全要求参考

l  介质管理

将介质存放在安全的环境中，对各类介质进行控制和保护，实行存储环境专人管理，并根据存档介质的目录清单定期盘点；对介质在物理传输过程中的人员选择、打包、交付等情况进行控制，并对介质的归档和查询等进行登记记录。

l 设备维护管理

对各种设备（包括备份和冗余设备）、线路等指定专门的部门或人员定期进行维护管理；建立配套设施、软硬件维护方面的管理制度，对其维护进行有效的管理，包括明确维护人员的责任、维修和服务的审批、维修过程的监督控制等；信息处理设备必须经过审批才能带离机房或办公地点，含有存储介质的设备带出工作环境时其中重要数据必须加密；含有存储介质的设备在报废或重用前，应进行完全清除或被完全覆盖，保证该设备上的敏感数据和授权软件无法被恢复重用。

l  漏洞和风险管理

采取必要的措施识别安全漏洞和隐患，对发现的安全漏洞和隐患及时进行修补或评估可能的影响后进行修补，定期开展安全测评，形成安全测评报告，采取措施应对发现的安全问题。

l 网络和系统安全管理

划分不同的管理员角色进行网络和系统的运维管理，明确各个角色的责任和权限；指定专门的部门或人员进行账户管理，对申请账户、建立账户、删除账户等进行控制；建立网络和系统安全管理制度，对安全策略、账户管理、配置管理、日志管理、日常操作、升级与打补丁、口令更新周期等方面作出规定；制定重要设备的配置和操作手册，依据手册对设备进行安全配置和优化配置等；详细记录运维操作日志，包括日常巡检工作、运行维护记录、参数的设置和修改等内容；指定专门的部门或人员对日志、监测和报警数据等进行分析、统计，及时发现可疑行为；严格控制变更性运维，经过审批后才可改变连接、安装系统组件或调整配置参数，操作过程中应保留不可更改的审计日志，操作结束后应同步更新配置信息库；严格控制运维工具的使用，经过审批后才可接入进行操作，操作过程中应保留不可更改的审计日志，操作结束后应删除工具中的敏感数据；严格控制远程运维的开通，经过审批后才可开通远程运维接口或通道，操作过程中应保留不可更改的审计日志，操作结束后立即关闭接口或通道；保证所有与外部的连接均得到授权和批准，应定期检查违反规定无线上网及其他违反网络安全策略的行为。

l  恶意代码防范管理

提高所有用户的防恶意代码意识，对外来计算机或存储设备接入系统前进行恶意代码检查等，定期验证防范恶意代码攻击的技术措施的有效性。

l 配置管理

记录和保存基本配置信息，包括网络拓扑结构、各个设备安装的软件组件、软件组件的版本和补丁信息、各个设备或软件组件的配置参数等；将基本配置信息改变纳入变更范畴，实施对配置信息改变的控制，并及时更新基本配置信息库。

l 密码管理

遵循密码相关国家标准和行业标准，使用国家密码管理主管部门认证核准的密码技术和产品。针对服务器、网络设备中的账号、密码需要定期更改，同时需要规定密码复杂度，制定密码管理相关制度。制度中应体现的内容为，指定责任部门；总结在密码设备的采购、使用、维护、保修及报废的整个生命周期内的各项国家有关规定；严格执行上述规定。

 

加密控制安全要求参考

l 变更管理

网络安全风险是“动态”的主要因素之一，就是网络和信息系统是会发生变化的。明确变更需求，变更前根据变更需求制定变更方案，变更方案经过评审、审批后方可实施，建立变更的申报和审批控制程序，依据程序控制所有的变更，记录变更实施过程，建立中止变更并从失败变更中恢复的程序，明确过程控制方法和人员职责，必要时对恢复过程进行演练。

27001操作安全要求参考

l 备份与恢复管理

识别需要定期备份的重要业务信息、系统数据及软件系统等，规定备份信息的备份方式、备份频度、存储介质、保存期等，根据数据的重要性和数据对系统运行的影响，制定数据的备份策略和恢复策略、备份程序和恢复程序等。

系统灾难恢复的实践建议：

1) 系统数据备份

a) 应用程序及配置文件

b)中间件配置文件

c)数据库系统备份

d)操作系统配置信息

2) 系统部署完毕并正常运行后，做好所有服务器的灾难镜像及恢复演练工作；

3) 条件允许情况下热备关键服务器，如WEB服务器、中间件服务器和数据库服务器。