1、*医院信息安全建设方案 文档编号 密级 版本编号V1.0 日期 2024目录一. 概述21.1 项目背景21.2 建设目标31.3 建设内容31.4 建设必要性4二. 安全建设思路52.1 等级保护建设流程52.2 参考标准6三. 安全现状分析73.1 网络架构分析73.2 系统定级情况7四. 安全需求分析84.1 等级保护技术要求分析84.1.1 物理层安全需求84.1.2 网络层安全需求94.1.3 系统层安全需求104.1.4 应用层安全需求104.1.5 数据层安全需求114.2 等级保护管理要求分析114.2.1 安全管理制度114.2.2 安全管理机构124.2.3 人员安全管理12、24.2.4 系统建设管理134.2.5 系统运维管理13五. 总体设计思路145.1 设计目标145.2 设计原则155.2.1 合规性原则155.2.2 先进性原则155.2.3 可靠性原则155.2.4 可扩展性原则155.2.5 开放兼容性原则165.2.6 最小授权原则165.2.7 经济性原则16六. 整改建议166.1 物理安全166.2 网络安全176.3 主机安全196.3.1 业务系统主机196.3.2 数据库主机216.4 应用安全226.4.1 HIS系统（三级）226.4.2 LIS系统（三级）246.4.3 PACS系统（三级）266.4.4 EMR系统（三级）273、6.4.5 集中平台（三级）296.4.6 门户网站系统（二级）316.5 数据安全与备份恢复326.6 安全管理制度336.7 安全管理机构336.8 人员安全管理346.9 系统建设管理346.10 系统运维管理35七. 总体设计网络拓扑387.1 设计拓扑图387.2 推荐安全产品目录39八. 技术体系建设方案418.1 外网安全建设418.1.1 抗DDos攻击：ADS抗DDos系统418.1.2 边界访问控制：下一代防火墙NF438.1.3 网络入侵防范：网络入侵防御系统NIPS468.1.4 上网行为管理：SAS488.1.5 APT攻击防护：威胁分析系统TAC508.1.6 We4、b应用防护：web应用防火墙548.2 内外网隔离建设588.2.1 解决方案598.3 内网安全建设618.3.1 边界防御：下一代防火墙NF618.3.2 入侵防御628.3.3 防病毒网关638.3.4 APT攻击防护678.4 运维管理建设688.4.1 运维安全审计：堡垒机688.4.2 流量审计：网络安全审计-SAS708.4.3 漏洞扫描：安全评估系统RSAS758.4.4 基线核查：配置核查系统BVS778.4.5 威胁态势感知808.4.6 终端安全838.4.7 数据库审计及统方监管868.4.8 终端准入898.4.9 日志审计建设978.5 安全服务1008.5.1 安5、全漏洞扫描服务1008.5.2 安全加固服务1058.5.3 渗透测试服务1138.5.4 应急演练服务1178.5.5 重要时期安全保障服务1248.5.6 安全巡检服务1328.5.7 网络架构分析服务1358.5.8 日志分析服务1428.5.9 应急响应服务1448.5.10 恶意代码排查服务149九. 管理体系建设方案1519.1 安全制度建设1519.1.1 总体方针、策略1529.1.2 制定和发布1549.1.3 评审和修订1549.2 安全管理机构1559.2.1 岗位设置1559.2.2 人员配备1569.2.3 授权和审批1569.2.4 沟通和合作1569.2.5 审核6、和检查1579.3 人员安全管理1579.4 系统建设管理1589.5 系统运维管理1589.5.1 环境管理1589.5.2 资产管理1589.5.3 介质管理1599.5.4 设备管理1599.5.5 监控管理和安全管理中心1609.5.6 网络安全管理1609.5.7 系统安全管理1609.5.8 恶意代码防范管理1619.5.9 密码管理1619.5.10 变更管理1619.5.11 备份与恢复管理1619.5.12 安全事件处置1629.5.13 应急预案管理162- V -一. 概述1.1 项目背景随着医院信息化建设的逐步深入，网上业务由单一到多元化，各类应用系统数十个，信息系统承7、受的压力日益增长，医院信息系统已经成为医院正常运行不可或缺的支撑环境和工作平台，因此按照信息系统等级保护的基本要求，通过建立合理可靠的技术平台，细致的日常管理与及时的故障处理应急预案，将信息系统等级保护措施落实到实处，确保信息系统不间断运行，只有在技术和管理互相提供支撑的前提下才能确保系统的稳定运行。从医院角度依据信息安全等级保护的要求，通过对医院核心信息系统的建设。充分发挥网络在医院信息系统中的应用。从技术安全阐述如何建立合理技术平台，加强安全防护对策。强调了保障网络和信息系统安全，让安全稳定的网络支撑医院走上可持续发展之路。核心业务是医院信息化建设的基础，是医院信息系统运行的平台，对医院运8、行效率和管理水平都有重要作用，因此创造良好信息系统安全运营环境是医院信息安全的最终目。医疗信息安全工作是我国卫生事业发展的重要组成部分。做好信息安全等级保护工作，对于促进卫生信息化健康发展，保障医药卫生体制改革，维护公共利益、社会秩序和国家安全具有重要意义。为贯彻落实国家信息安全等级保护制度，规范和指导全国卫生行业医疗机构信息安全等级保护工作，卫生部办公厅印发了关于三级甲等医院信息安全等级保护建设的相关通知，具体如：卫生部关于印发卫生行业信息安全等级保护工作的指导意见的通知卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知建设和整改要求：1.对三级甲等医院已确定安全保护等级的第三级信息9、系统，应当按照国家信息安全等级保护工作规范和医疗机构信息系统安全等级保护基本要求、医疗机构重要信息系统等级保护三级测评技术要求项等国家标准，开展安全保护现状分析，查找安全隐患及与国家信息安全等级保护标准之间的差距，确定安全需求。2.根据信息系统安全保护现状分析结果，按照信息安全技术信息系统安全等级保护基本要求、医疗机构信息系统安全等级保护基本要求、医疗机构重要信息系统等级保护三级测评技术要求项等国家标准，制订信息系统安全等级保护建设整改方案。三级卫生信息系统安全建设整改方案应当经信息安全技术专家委员会论证，完善安全保护设施，建立安全管理制度，落实安全管理措施，形成信息安全技术防护体系和信息安全10、管理体系，有效保障医院信息系统安全。1.2 建设目标依据国家相关政策要求，依据*医院信息系统的实际需要，基于现代信息系统安全保障理论，采用现代信息安全保护技术，按照一定规则和体系化的信息安全防护策略进行的整体设计。建设目标覆盖以下内容l 完善基础安全防护整体架构，开展并完成信息系统等保工作，使之基本达到（符合）行业等级保护基本要求。l 加强信息安全管理工作，制订科学合理的信息安全工作方针、政策，进一步完善信息安全管理制度体系，实现管理制度的标准化、规范化和流程化。l 建立科学、完备的信息安全运维管理体系，实现信息安全事件的全程全周期管理，切实保障信息系统安全、稳定运行。1.3 建设内容依据国家11、相关政策要求，对*医院的信息系统进行安全建设，覆盖信息安全的管理体系、技术体系和运维体系三个方面，建设内容覆盖以下各个层面l 物理层面l 网络层面l 主机层面l 应用层面l 数据层面l 管理层面1.4 建设必要性通过近几年的信息化建设，*医院已建成基本稳定的信息系统软、硬件平台，在信息安全方面也进行了基础性的部分建设，使系统有了一定的防护能力。但由于病毒攻击、恶意攻击泛滥，应用软件漏洞层出不穷，*医院的信息安全方面仍面临较大的挑战。另一方面，*医院安全措施比较薄弱，安全防护意识有待加强，安全制度还有待完善。随着信息技术的飞速发展，如今基于信息系统安全防护已不能仅停留在普通网络安全设备的层面上，12、需要部署完善的、基于保护操作系统、数据、网络和应用的安全防护体系。从等级保护安全要求来看，安全建设的必要性主要体现在两个方面： 安全管理现状与等级保护要求的差距*医院自身信息系统建设及运维基础上，建立了一套满足并能够促进网络运维的安全管理体系，但同等级保护的安全管理要求相比较，现有管理制度不论在涉及方面的健全性，还是具体内容的完善性，都存在差距。主要包括：建立信息安全总体策略、完善各个方面的信息安全管理制度、以及落实各类制度需要的表单。 安全技术现状与等级保护要求的差距整体设计方面的问题，即某些差距项的不满足是由于该系统在整体的安全策略设计上存在问题。同事缺乏相应产品实现安全控制，未能通过对产13、品的正确选择、部署和恰当配置满足相应要求。另外，由于使用者技术能力、安全意识的原因，或出于对系统运行性能影响的考虑等原因，产品没有得到正确的配置，从而使其相关安全功能没有得到发挥。二. 安全建设思路2.1 等级保护建设流程等级保护的设计与实施通过以下步骤进行：1. 系统识别与定级：通过分析系统所属类型、所属信息类别、服务范围以及业务对系统的依赖程度确定系统的等级。通过此步骤充分了解系统状况，包括系统业务流程和功能模块，以及确定系统的等级，为下一步安全域设计、安全保障体系框架设计、安全要求选择以及安全措施选择提供依据。2. 安全域设计：根据第一步的结果，通过分析系统业务流程、功能模块，根据安全域14、划分原则设计系统安全域架构。通过安全域设计将系统分解为多个层次，为下一步安全保障体系框架设计提供基础框架。3. 安全保障体系框架设计：根据安全域框架，设计系统各个层次的安全保障体系框架（包括策略、组织、技术和运作），各层次的安全保障体系框架形成系统整体的安全保障体系框架。4. 确定安全域安全要求：参照国家相关等级保护安全要求，设计等级安全指标库。通过安全域适用安全等级选择方法确定系统各区域等级，明确各安全域所需采用的安全指标。5. 评估现状：根据各等级的安全要求确定各等级的评估内容，根据国家相关风险评估方法，对系统各层次安全域进行有针对性的等级风险评估。通过等级风险评估，可以明确各层次安全域相15、应等级的安全差距，为下一步安全技术解决方案设计和安全管理建设提供依据。6. 安全技术解决方案设计：针对安全要求，建立安全技术措施库。通过等级风险评估结果，设计系统安全技术解决方案。7. 安全管理建设：针对安全要求，建立安全管理措施库。通过等级风险评估结果，进行安全管理建设。2.2 参考标准 计算机信息系统安全保护等级划分准则（GB17859-1999） 信息系统安全等级保护基本要求（GB/T 22239-2008） 信息系统安全保护等级定级指南（GB/T 22240-2008） 信息系统等级保护安全设计技术要求 信息安全等级保护实施指南（报批稿） 信息系统安全等级保护测评要求（送审稿） GA/16、T3872002计算机信息系统安全等级保护网络技术要求 GA/T3882002计算机信息系统安全等级保护操作系统技术要求 GA/T3892002计算机信息系统安全等级保护数据库管理系统技术要求 GA/T3902002计算机信息系统安全等级保护通用技术要求 GA/T3912002计算机信息系统安全等级保护管理要求 GB/T18019-1999信息技术包过滤防火墙安全技术要求 GB/T18020-1999信息技术应用级防火墙安全技术要求 ISO27000 IATF：信息保障技术框架 ISO/IEC 15408（CC） ISO/IEC 13335，第一部分：IT安全的概念和模型； 第二部分：IT安全17、的管理和计划制定； 第三部分：IT安全管理技术； 第四部分：安全措施的选择； 第五部分：网络安全管理指南。三. 安全现状分析3.1 网络架构分析现有网络情况如上图所示，安全防护能力较弱，只通过网络防火墙对互联网边界进行控制，缺少专业化的安全防护产品，存在重大安全风险。3.2 系统定级情况医院内HIS、LIS、PACS、EMR以及集成平台定义为三级，门户网站等其他系统为二级。解读国家相关文件和定级指南等要求，结合各单位的实际情况，信息系统的五个等级可以做如下初步落实、描述：第一级，各单位及其下属单位的一般信息系统，其应用范围局限于本单位内部。系统受到破坏后，会对本单位及其员工的合法权益造成一般性18、损害，不良影响主要在本单位内部，不损害国家安全、社会秩序和公共利益。第二级，总部及各单位比较重要的信息系统。系统受到破坏后，会对总部、省级单位及其员工、客户造成严重损害，影响企业形象，带来一定的法律问题；或者对社会秩序和公共利益造成一般性损害、带来一定的社会不良影响，但不损害国家安全。第三级，总部及各单位跨省或全国联网运行的重要信息系统。系统受到破坏后，会对总部、省级单位造成特别严重损害，严重影响企业形象，带来严重的法律问题；或者对社会秩序和公共利益造成严重损害，造成较大范围的社会不良影响；或者对国家安全造成了一般性损害。第四级，重要领域、重要部门三级信息系统中的部分重要系统。系统受到破坏后，19、会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。第五级，重要领域、重要部门中的极端重要系统。系统受到破坏后，会对国家安全造成特别严重损害。四. 安全需求分析4.1 等级保护技术要求分析4.1.1 物理层安全需求物理安全是信息系统安全运行的基础和前提，是系统安全建设的重要组成部分。在等级保护中将物理安全划分为技术要求的第一部分，从物理位置选择、物理访问控制、防盗窃防破坏、防雷击、防火、防水防潮、防静电、温湿度控制、电力供应、电磁防护等方面对信息系统的物理环境进行了规范。物理层考虑因素包括机房环境、机柜、电源、服务器、网络设备和其他设备的物理环境。该层为上层提供了一个生成、处理20、存储和传输数据的物理媒体。物理层主要考虑如下方面的内容：u 物理位置的选择u 物理访问控制u 防盗窃和防破坏u 防雷击u 防火u 防水和防潮u 防静电u 温湿度控制u 电力供应u 电磁防护4.1.2 网络层安全需求网络层指利用路由器、交换机和相关网络设备建成的、可以用于在本地或远程传输数据的网络环境，是应用安全运行的基础设施之一，是保证应用安全运行的关键，也是实现内部纵向交互、与其它单位横向交流的重要保证。在安全模型中，网络层中进行的各类传输活动的安全都应得到关注。现有的大部分攻击行为，包括病毒、蠕虫、远程溢出、口令猜测等攻击行为，都可以通过网络实现。网络层主要考虑如下方面的内容：u 结构安21、全与网段划分u 网络访问控制u 拨号访问控制u 网络安全审计u 边界完整性检查u 网络入侵防范u 恶意代码防范u 网络设备防护4.1.3 系统层安全需求系统层包括各类服务器、终端和其他办公设备操作系统层面的安全风险。系统层面临的安全风险主要来自两个方面，一方面来自系统本身的脆弱性，另一方面来自对系统的使用、配置和管理。这导致系统存在随时被黑客入侵或蠕虫爆发的可能。系统层主要考虑如下方面的内容：u 身份鉴别u 自主访问控制u 强制访问控制u 安全审计u 系统保护u 剩余信息保护u 入侵防范u 恶意代码防范u 资源控制4.1.4 应用层安全需求应用层是在前面层次的基础之上，可以提供给最终用户真正办22、公功能的层次，应用层是用户与前面层次的接口。这个层次包括Web应用、文件处理、文件传输、文件存储和其他办公应用等，这些功能依靠相应的IE浏览器、FTP应用软件、公文处理系统、数据库访问控制系统等实现。应用层主要考虑如下方面的内容：u 身份鉴别u 访问控制u 安全审计u 剩余信息保护u 通信完整性u 通信保密性u 抗抵赖u 软件容错u 资源控制u 代码安全4.1.5 数据层安全需求数据层是用户真正的数据，对于用户而言，数据才是真正至关重要的。数据安全需求包括数据库安全需求、数据传输安全需求、数据存储安全需求等构成。数据层主要考虑如下方面的内容：u 数据完整性u 数据保密性u 数据备份和恢复4.223、 等级保护管理要求分析4.2.1 安全管理制度安全管理制度是企业或单位安全管理的根本，它需要制定信息安全工作的总体方针和安全策略，说明机构安全工作的总体目标、范围、原则和安全框架，并对安全管理活动中的各类管理内容建立安全管理制度，严格规定安全管理制度的授权和制定，使之能完全符合企业或单位的实际情况。安全管理制度主要考虑如下方面的内容：u 管理制度u 制定和发布u 评审和修订4.2.2 安全管理机构安全管理机构是信息安全管理职能的执行者，该职能部门应该是独立的，同时设定相关的管理职责，实现信息安全管理工作有效进行的目标。加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通，24、定期召开协调会议，共同协作处理信息安全问题。安全管理机构主要考虑如下方面的内容：u 岗位设置u 人员配备u 授权和审批u 沟通和合作u 审核和检查4.2.3 人员安全管理人员安全管理是管理要求重要的组成部分，指定并授权专门的部门责人员录用，签署保密协议，并从内部人员中选拔从事关键岗位的人员，并签署岗位安全协议。定期对各个岗位的人员进行安全技能及安全认知的考核，对关键岗位的人员进行全面、严格的安全审查和技能考核，并考核结果进行记录和保存。对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训人员安全管理主要考虑如下方面的内容：u 人员录用u 人员离岗u 人员考核u 安全意识教育和培训u 外部25、人员访问管理4.2.4 系统建设管理系统建设管理，是针对信息系统定级、设计、建设等工作的管理要求。明确信息系统的边界和安全保护，组织相关部门和有关安全技术专家对信息系统定级结果的合理性和正确性进行论证和审定；据系统的安全保护等级选择基本安全措施，并依据风险分析的结果补充和调整安全措施，指定和授权专门的部门对信息系统的安全建设进行总体规划，制定近期和远期的安全建设工作计划，对产品采购和自行开发进行规范化的管理。系统建设管理主要考虑如下方面的内容：u 系统定级u 安全方案设计u 产品采购和使用u 自行软件开发u 外包软件开发u 工程实施u 测试验收u 系统交付u 系统备案u 等级测评u 安全服务商26、选择4.2.5 系统运维管理系统运维管理是安全管理时间占比最大的一项内容，需要安全管理人员按照管理规范对对机房供配电、空调、温湿度控制等环境设施进行维护管理；建立资产安全管理制度，规定信息系统资产管理的责任人员或责任部门，并规范资产管理和使用的行为，建立统一的监控和安全管理中心。系统运维管理主要考虑如下方面的内容：u 环境管理u 资产管理u 介质管理u 设备管理u 监控管理和安全管理中心u 网络安全管理u 系统安全管理u 恶意代码防范管理u 密码管理u 变更管理u 备份与恢复管理u 安全事件处置u 应急预案管理五. 总体设计思路5.1 设计目标落实GB17859-1999的安全保护要求，在安全27、保护环境的基础上，通过实现基于安全策略模型和标记的强制访问控制以及增强系统的审计机制，使得系统具有在统一安全策略管控下，保护敏感资源的能力。通过满足物理安全、网络安全、主机安全、应用安全、数据安全五个方面基本技术要求进行技术体系建设；通过满足安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五个方面基本管理要求进行管理体系建设，让信息系统的等级保护建设方案最终既可以满足等级保护的相关要求，又能够全方面提供业务服务，形成立体、纵深的安全保障防御体系，保证信息系统整体的安全保护能力5.2 设计原则5.2.1 合规性原则1994年国务院发布中华人民共和国计算机信息系统安全保护条例（28、国务院147号令），规定“计算机信息系统实行安全等级保护”的制度框架。1999年国家发布实施的计算机信息系统安全保护等级划分准则GB17859-1999，这是第一部强制性国家信息安全标准，也是一个技术法规。等级保护不仅是对信息安全产品或系统的检测、评估以及定级，更重要的是，等级保护是围绕信息安全保障全过程的一项基础性的管理制度，是一项基础性和制度性的工作。通过将等级化方法和政府行业信息安全体系建设有效结合，设计一套符合需求的信息安全保障体系，是适合我国国情、系统化地解决信息安全问题的一个非常有效的方法。5.2.2 先进性原则安全设备必须采用专用的硬件平台和安全专业的软件平台保证设备本身的安全，29、符合业界技术的发展趋势，既体现先进性又比较成熟，并且是各个领域公认的领先产品。5.2.3 可靠性原则网络是信息化发展的基础，其稳定性至关重要；网络安全设备由于部署在关键节点，成为网络稳定性的重要因素。整个网络设计必须考虑到高可靠性因素。5.2.4 可扩展性原则信息网络处在不断发展完善的阶段，其网络也会不断的扩充变化，要求在保证网络安全的基础上整个网络具有灵活的可扩展性，特别是对安全域域的新增以及原有安全域域扩充等要求具有良好的支持。5.2.5 开放兼容性原则网络安全产品设计规范、技术指标符合国际和工业标准，支持多厂家产品，从而有效的保护投资。5.2.6 最小授权原则网络安全策略管理必须遵从最小30、授权原则，即不同安全域域内的主机只能访问属于相应的安全设备必须采用专用的硬件平台和安全专业的软件平台保证设备本身的安全，符合业界技术的发展趋势，既体现先进性又比较成熟，并且是各个领域公认的领先产品。5.2.7 经济性原则项目设计和建设过程中，将充分利用现有资源，在可用性的前提条件下充分保证系统建设的经济性，提高投资效率，避免重复建设。六. 整改建议6.1 物理安全类别问题描述解决措施物理安全物理访问控制1.没有登记进出机房的人员，机房重要设备没有划区域隔离。建议安排专人值守机房出入口。2.暂无相关申请和审批流程。需要经过申请和审批流程，且有专人陪同。防盗窃与防破坏大部分设备都已固定在机柜中，但31、部分设备放至在机柜上方，仍有大部分通信线缆未整理和固定；部分设备和线缆有标签注意每个设备和线路的用途，部分设备和线缆无此设置。建议所有设备和通信线缆均固定在机柜中，且所有设备和线缆设置标签，说明用途和去向。未部署红外监控等光、电等技术的防盗报警系统建议部署红外报警系统防水和防潮精密空调出水位置布置漏水检测点，对漏水情况自动报警，但检测范围未覆盖所有易漏水的位置。建议部署完整的漏水检测电磁防护对关键设备和磁介质实施电磁屏蔽。建议对关键设备和磁介质实施电磁屏蔽6.2 网络安全类别问题描述解决措施网络安全结构安全无按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要主32、机。采用高性能下一代防火墙，按照业务的业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要主机和业务。边界完整性检查未能够对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断；建议部署网络准入系统，对非授权设备私自联到内部网络的行为进行检查。未能够对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断。建议部署上网行为管理系统，对内部用户的上网行为进行管理。入侵防范无相关入侵检测设备实现在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等；当检测到攻击33、行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时无法提供报警。建议部署IPS实现入侵防范功能，在网络边界监视并防护网络攻击行为。恶意代码防范无相关恶意代码检测设备在网络边界处对恶意代码进行检测和清除，并升级和检测系统的更新。建议部署防毒网关实现恶意代码防范功能，在网络边界监视恶意代码攻击行为。访问控制未能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级建议采用下一代防火墙，根据IP和端口设置安全策略，只有符合策略的数据包才能通过。未根据进出网络的信息内容进行过滤。建议采用下一代防火墙，对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、34、TELNET、SMTP、POP3等协议命令级的控制。未限制网络最大流量数及网络连接数；建议采用下一代防火墙，限制网络最大流量数及网络连接数。重要网段未采取技术手段防止地址欺骗；建议启用下一代防火墙的ARP防欺骗功能网络设备防护未对网络设备的管理员登录地址进行限制；建议通过堡垒机和ACL策略设置限制网络设备的登录地址，如信息技术部的网段或若干个管理IP。主要网络设备目前只使用一种身份鉴别方式。建议通过堡垒机使用U-KEY或者域认证的方式实现双因子认证。密码长8位，由小写字母和数字组成。不定期更改一次口令。建议通过堡垒机设定密码复杂度规则，并通过改密计划，自动定期进行改密目前只有一个超级管理员。建35、议通过堡垒机设置审计员、操作员等角色，实现权限分离。未能够根据记录数据进行分析，并生成审计报表；建议通过日志分析系统根据记录数据进行分析，并生成审计报表通过telnet和http方式访问设备，未采取必要措施防止鉴别信息在网络传输过程中被窃听。建议通过堡垒机，使用ssh协议登录设备。6.3 主机安全6.3.1 业务系统主机类别问题描述解决措施身份鉴别密码未符合复杂性要求建议通过堡垒机设置密码复杂度要求，并通过改密计划定期自动改密：密码长度最小值：8个字符；密码最短使用期限：2天；密码最长使用期限：90天；强制密码历史：24未启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；36、建议通过堡垒机设置登录失败处理功能建议帐户锁定策略如下：帐户锁定时间：15分钟；帐户锁定阀值：5次无效登录；重围帐户锁定计数器：15分钟之后。目前只使用用户名和密码登录建议通过堡垒机使用U-KEY或者域认证的方式实现双因子认证。访问控制已启用磁盘默认共享功能建议关闭磁盘默认共享功能操作系统用户可直接对数据库系统进行操作，权限未分离。建议禁用Windows身份登录方式。已禁用Guest用户，已设置管理员密码，但未重命名Administrator用户。建议重命名Administrator用户。安全审计所有审核策略均设置为无审核。建议采用日志审计系统对系统中的登陆日志、操作日志进行审计。剩余信息保护37、交互式登录：不显示最后的用户名：已禁用。用可还原的加密来储存密码：已禁用。建议设置：交互式登录：不显示最后的用户名：已启用关机：清除虚拟内存页面文件：已禁用。建议设置关机：清除虚拟内存页面文件：已启用。入侵防范未启用Windows自带的防火墙建议启用windows自带的防火墙未能够对重要程序的完整性进行检测，并在检测到完整性受到破坏后具有恢复的措施；建议部署防篡改软件对重要程序的完整性检测操作系统存在不需要的服务组件和应用程序，系统补丁未及时得到更新。建议通过漏洞扫描系统，定期对系统进行扫描，并及时更新系统补丁，建议通过配置检查系统，按照等级保护要求进行基线检查，及时关闭不需要的服务和应用程序38、恶意代码防范未安装杀毒软件建议安装杀毒软件，通过统一管理平台进行统一升级和维护，保证病毒特征库得到及时的更新资源控制未限制管理网络地址范围。建议设立设备管理区，仅限制几台管理终端可以登录管理服务器建议通过堡垒机和ACL策略设置限制设备的登录地址，如信息技术部的网段或若干个管理IP。未启用带密码保护的屏幕保护程序。建议启用带密码保护的屏幕保护程序。未能够对系统的服务水平降低到预先规定的最小值进行检测和报警。建议采取技术措施监控CPU，内存，硬盘等资源的使用率，并设置报警阈值。6.3.2 数据库主机类别问题描述解决措施身份鉴别sa用户的密码长最低8位，由数字、小写字母组成，不定期修改。存在7个口令39、为空的用户建议禁用口令为空的用户。未启用登录失败处理功能。建议通过堡垒机设置登录失败处理功能，如连续登录失败3次则断开连接目前仅使用用户名和密码进行身份鉴别建议通过堡垒机使用U-KEY或者域认证的方式实现双因子认证。访问控制操作系统用户可直接对数据库系统进行操作，权限未分离。建议禁用Windows身份登录方式。安全审计已启用自带的审计功能，未启用C2审核跟踪功能。建议采用数据库审计系统对数据库的所有操作进行审计和跟踪使用内置的审计策略，登录审核设置为：仅限失败的登录建议采用日志审计系统对系统中的登陆日志、操作日志进行审计。资源控制未限制管理网络地址范围。建议设立设备管理区，仅限制几台管理终端可40、以登录管理服务器建议通过堡垒机和ACL策略设置限制设备的登录地址，如信息技术部的网段或若干个管理IP。未启用带密码保护的屏幕保护程序。建议启用带密码保护的屏幕保护程序。6.4 应用安全6.4.1 HIS系统（三级）类别问题描述解决措施身份鉴别使用用户名/密码一种身份鉴别方式。建议应用系统采用两种或两种以上身份鉴别技术的组合来进行身份鉴别（如采用用户名/口令、挑战应答、动态口令、物理设备如（如U-KEY）、生物识别技术中的任意两种组合）未提供密码复杂度校验功能。建议后台管理程序提供密码复杂度校验功能已启用身份鉴别、身份标识唯一性检查、已提供登录失败处理功能，未提供用户口令复杂度检查功能，未提供根41、据需要配置相关安全参数功能。建议提供用户口令复杂度检查功能，建议后台管理程序提供根据需要配置相关安全参数功能。访问控制未对重要信息资源设置敏感标记的功能；建议采用数据审计系统，应用系统对重要信息资源设置敏感标记，如对重要信息资源设置机密和普通的等级，对高危操作或者高频率敏感数据操作进行告警依据安全策略严格控制用户对有敏感标记重要信息资源的操作建议采用数据审计系统，应用系统对重要信息资源设置敏感标记，如对重要信息资源设置机密和普通的等级，对高危操作或者高频率敏感数据操作进行告警建议应用系统的强制访问控制与用户身份鉴别、标识等安全功能密切配合，并且控制粒度达到主体为用户级，客体为文件和数据库表级。42、安全审计应用层面未提供安全审计建议采用网络审计系统实现应用层面的审计效果未保证无法单独中断审计进程，无法删除、修改或覆盖审计记录建议采用日志审计系统对日志进行独立存储的避免对审计记录的修改、删除或覆盖。应用层面未提供安全审计建议采用网络审计系统，进行全面审计，记录包括事件的日期、时间、类型、主体标识、客体标识和结果等内容应用层面未提供安全审计建议采用网络审计系统，定期生成审计报表并包含必要审计要素。数据完整性未采用密码技术保证通信过程中数据的完整性。建议采用密码技术保证通信过程中数据的完整性：如系统根据校验码判断对方数据包的有效性，用密码计算通信数据报文的报过文验证码；可通过Hash函数（如M43、D5、SHA和MAC）对完整性进行校验，但不能使用CRC。未启用带密码保护的屏幕保护程序。建议启用带密码保护的屏幕保护程序。抗抵赖未使用数字证书建议部署数字证书。资源控制未限制最大并发会话连接数。建议限制访问系统的最大并发会话连接数未对单个帐户的多重并发会话进行限制。建议限制单个账户的多重并发，限制一个账户只能在一台终端上登录未限制一个时间段内的最大并发会话连接数。建议限制访问系统的最大并发会话连接数。未能够对系统服务水平降低到预先规定的最小值进行检测和报警；建议设置专门的监控软件或硬件，监控系统的服务能力，当服务能力低于阀值时报警。6.4.2 LIS系统（三级）类别问题描述解决措施身份鉴别使44、用用户名/密码一种身份鉴别方式。建议应用系统采用两种或两种以上身份鉴别技术的组合来进行身份鉴别（如采用用户名/口令、挑战应答、动态口令、物理设备如（如U-KEY）、生物识别技术中的任意两种组合）未提供密码复杂度校验功能。建议提供鉴别信息复杂度检查功能，限制密码长度在8位以上，包含大小写字母、数字和字符，及时修改管理员密码，增强管理员密码复杂度。未提供登录失败处理功能建议提供登录失败处理功能，登录失败35次，锁定用户一段时间已启用身份鉴别、身份标识唯一性检查、已提供登录失败处理功能，未提供用户口令复杂度检查功能，未提供根据需要配置相关安全参数功能。建议提供用户口令复杂度检查功能，建议后台管理程序45、提供根据需要配置相关安全参数功能。访问控制未对重要信息资源设置敏感标记的功能；建议采用数据审计系统，应用系统对重要信息资源设置敏感标记，如对重要信息资源设置机密和普通的等级，对高危操作或者高频率敏感数据操作进行告警依据安全策略严格控制用户对有敏感标记重要信息资源的操作建议采用数据审计系统，应用系统对重要信息资源设置敏感标记，如对重要信息资源设置机密和普通的等级，对高危操作或者高频率敏感数据操作进行告警建议应用系统的强制访问控制与用户身份鉴别、标识等安全功能密切配合，并且控制粒度达到主体为用户级，客体为文件和数据库表级。安全审计应用层面未提供安全审计建议采用网络审计系统实现应用层面的审计效果未保46、证无法单独中断审计进程，无法删除、修改或覆盖审计记录建议采用日志审计系统对日志进行独立存储的避免对审计记录的修改、删除或覆盖。应用层面未提供安全审计建议采用网络审计系统，进行全面审计，记录包括事件的日期、时间、类型、主体标识、客体标识和结果等内容应用层面未提供安全审计建议采用网络审计系统，定期生成审计报表并包含必要审计要素。软件容错未有自动保护功能，当故障发生时自动保护当前所有状态，保证系统能够进行恢复。建议应用服务器架构负载均衡实现自动保护功能。资源控制未限制最大并发会话连接数。建议限制访问系统的最大并发会话连接数未对单个帐户的多重并发会话进行限制。建议限制单个账户的多重并发，限制一个账户只47、能在一台终端上登录未限制一个时间段内的最大并发会话连接数。建议限制访问系统的最大并发会话连接数。未能对一个访问帐户或一个请求进程占用的资源分配最大限额和最小限额；建议通过下一代防火墙，通过流量控制的方式限制帐户的资源配额未能够对系统服务水平降低到预先规定的最小值进行检测和报警；建议设置专门的监控软件或硬件，监控系统的服务能力，当服务能力低于阀值时报警。未提供服务优先级设定功能，并在安装后根据安全策略设定访问帐户或请求进程的优先级，根据优先级分配系统资源建议通过下一代防火墙，通过流量通道优先级设定，当资源紧张时优先满足权限高的用户的访问请求。6.4.3 PACS系统（三级）类别问题描述解决措施身48、份鉴别未提供密码复杂度校验功能。建议提供鉴别信息复杂度检查功能，限制密码长度在8位以上，包含大小写字母、数字和字符，及时修改管理员密码，增强管理员密码复杂度。已启用身份鉴别、身份标识唯一性检查、已提供登录失败处理功能，未提供用户口令复杂度检查功能，未提供根据需要配置相关安全参数功能。建议提供用户口令复杂度检查功能，建议后台管理程序提供根据需要配置相关安全参数功能。访问控制未对重要信息资源设置敏感标记的功能；建议采用数据审计系统，应用系统对重要信息资源设置敏感标记，如对重要信息资源设置机密和普通的等级，对高危操作或者高频率敏感数据操作进行告警依据安全策略严格控制用户对有敏感标记重要信息资源的操作49、建议采用数据审计系统，应用系统对重要信息资源设置敏感标记，如对重要信息资源设置机密和普通的等级，对高危操作或者高频率敏感数据操作进行告警建议应用系统的强制访问控制与用户身份鉴别、标识等安全功能密切配合，并且控制粒度达到主体为用户级，客体为文件和数据库表级。安全审计已提供日志查询功能，未提供对日志进行统计、分析及生成报表的功能。建议采用日志审计系统，提供对日志进行统计、分析及生成报表的功能。软件容错未有自动保护功能，当故障发生时自动保护当前所有状态，保证系统能够进行恢复。建议应用服务器架构负载均衡实现自动保护功能。资源控制未提供结束空闲会话功能建议应用系统提供登录终端的操作超时锁定，空闲为会话超50、时时间设置为30分钟。未能对一个访问帐户或一个请求进程占用的资源分配最大限额和最小限额；建议通过下一代防火墙，通过流量控制的方式限制帐户的资源配额6.4.4 EMR系统（三级）类别问题描述解决措施身份鉴别使用用户名/密码一种身份鉴别方式。建议应用系统采用两种或两种以上身份鉴别技术的组合来进行身份鉴别（如采用用户名/口令、挑战应答、动态口令、物理设备如（如U-KEY）、生物识别技术中的任意两种组合）未提供密码复杂度校验功能。建议提供鉴别信息复杂度检查功能，限制密码长度在8位以上，包含大小写字母、数字和字符，及时修改管理员密码，增强管理员密码复杂度。未提供登录失败处理功能建议提供登录失败处理功能，51、登录失败35次，锁定用户一段时间已启用身份鉴别、身份标识唯一性检查、已提供登录失败处理功能，未提供用户口令复杂度检查功能，未提供根据需要配置相关安全参数功能。建议提供用户口令复杂度检查功能，建议后台管理程序提供根据需要配置相关安全参数功能。访问控制未对重要信息资源设置敏感标记的功能；建议采用数据审计系统，应用系统对重要信息资源设置敏感标记，如对重要信息资源设置机密和普通的等级，对高危操作或者高频率敏感数据操作进行告警依据安全策略严格控制用户对有敏感标记重要信息资源的操作建议采用数据审计系统，应用系统对重要信息资源设置敏感标记，如对重要信息资源设置机密和普通的等级，对高危操作或者高频率敏感数据操52、作进行告警建议应用系统的强制访问控制与用户身份鉴别、标识等安全功能密切配合，并且控制粒度达到主体为用户级，客体为文件和数据库表级。安全审计应用层面未提供安全审计建议采用网络审计系统实现应用层面的审计效果未保证无法单独中断审计进程，无法删除、修改或覆盖审计记录建议采用日志审计系统对日志进行独立存储的避免对审计记录的修改、删除或覆盖。应用层面未提供安全审计建议采用网络审计系统，进行全面审计，记录包括事件的日期、时间、类型、主体标识、客体标识和结果等内容应用层面未提供安全审计建议采用网络审计系统，定期生成审计报表并包含必要审计要素。抗抵赖未使用数字证书建议部署数字证书。软件容错未有自动保护功能，当故53、障发生时自动保护当前所有状态，保证系统能够进行恢复。建议应用服务器架构负载均衡实现自动保护功能。资源控制未提供结束空闲会话功能建议应用系统提供登录终端的操作超时锁定，空闲为会话超时时间设置为30分钟。未能对一个访问帐户或一个请求进程占用的资源分配最大限额和最小限额；建议通过下一代防火墙，通过流量控制的方式限制帐户的资源配额未提供服务优先级设定功能，并在安装后根据安全策略设定访问帐户或请求进程的优先级，根据优先级分配系统资源建议通过下一代防火墙，通过流量通道优先级设定，当资源紧张时优先满足权限高的用户的访问请求。6.4.5 集中平台（三级）类别问题描述解决措施身份鉴别使用用户名/密码一种身份鉴别54、方式。建议应用系统采用两种或两种以上身份鉴别技术的组合来进行身份鉴别（如采用用户名/口令、挑战应答、动态口令、物理设备如（如U-KEY）、生物识别技术中的任意两种组合）未提供登录失败处理功能建议提供登录失败处理功能，登录失败35次，锁定用户一段时间已启用身份鉴别、身份标识唯一性检查、已提供登录失败处理功能，未提供用户口令复杂度检查功能，未提供根据需要配置相关安全参数功能。建议提供用户口令复杂度检查功能，建议后台管理程序提供根据需要配置相关安全参数功能。访问控制未对重要信息资源设置敏感标记的功能；建议采用数据审计系统，应用系统对重要信息资源设置敏感标记，如对重要信息资源设置机密和普通的等级，对高55、危操作或者高频率敏感数据操作进行告警依据安全策略严格控制用户对有敏感标记重要信息资源的操作建议采用数据审计系统，应用系统对重要信息资源设置敏感标记，如对重要信息资源设置机密和普通的等级，对高危操作或者高频率敏感数据操作进行告警建议应用系统的强制访问控制与用户身份鉴别、标识等安全功能密切配合，并且控制粒度达到主体为用户级，客体为文件和数据库表级。安全审计应用层面未提供安全审计建议采用网络审计系统实现应用层面的审计效果未保证无法单独中断审计进程，无法删除、修改或覆盖审计记录建议采用日志审计系统对日志进行独立存储的避免对审计记录的修改、删除或覆盖。应用层面未提供安全审计建议采用网络审计系统，进行全面56、审计，记录包括事件的日期、时间、类型、主体标识、客体标识和结果等内容应用层面未提供安全审计建议采用网络审计系统，定期生成审计报表并包含必要审计要素。通信完整性未采用密码技术保证通信过程中数据的完整性建议采用密码技术保证通信过程中数据的完整性：如系统根据校验码判断对方数据包的有效性，用密码计算通信数据报文的报过文验证码；可通过Hash函数（如MD5、SHA和MAC）对完整性进行校验，但不能使用CRC。通信保密性在通信双方建立连接之前，应用系统未利用密码技术进行会话初始化验证；建议在通信双方建立会话之前，利用密码技术进行如会话初始化验证（如SSL建立加密通道前是否利用密码技术进行会话初始验证）；未57、对通信过程中的整个报文或会话过程进行加密。在通信过程中对敏感信息字段进行加密等抗抵赖未使用数字证书建议部署数字证书软件容错未有自动保护功能，当故障发生时自动保护当前所有状态，保证系统能够进行恢复。建议应用服务器架构负载均衡实现自动保护功能。未保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求；建议应用系统对人机接口和通信接口输入的数据进行校验。资源控制未限制最大并发会话连接数。建议限制访问系统的最大并发会话连接数未限制一个时间段内的最大并发会话连接数。建议限制一段时间内的最大并发会话数。未提供结束空闲会话功能建议应用系统提供登录终端的操作超时锁定，空闲为会话超时时间设置为358、0分钟。未对单个帐户的多重并发会话进行限制。建议限制单个账户的多重并发，限制一个账户只能在一台终端上登录未能对一个访问帐户或一个请求进程占用的资源分配最大限额和最小限额；建议通过下一代防火墙，通过流量控制的方式限制帐户的资源配额未提供服务优先级设定功能，并在安装后根据安全策略设定访问帐户或请求进程的优先级，根据优先级分配系统资源建议通过下一代防火墙，通过流量通道优先级设定，当资源紧张时优先满足权限高的用户的访问请求。未能够对系统服务水平降低到预先规定的最小值进行检测和报警；建议设置专门的监控软件或硬件，监控系统的服务能力，当服务能力低于阀值时报警。6.4.6 门户网站系统（二级）类别问题描述解59、决措施身份鉴别未提供密码复杂度校验功能。建议提供鉴别信息复杂度检查功能，限制密码长度在8位以上，包含大小写字母、数字和字符，及时修改管理员密码，增强管理员密码复杂度。未提供登录失败处理功能建议提供登录失败处理功能，登录失败35次，锁定用户一段时间已启用身份鉴别、身份标识唯一性检查、已提供登录失败处理功能，未提供用户口令复杂度检查功能，未提供根据需要配置相关安全参数功能。建议提供用户口令复杂度检查功能，建议后台管理程序提供根据需要配置相关安全参数功能。通信完整性未采用密码技术保证通信过程中数据的完整性建议通过web应用防护系统，通过Hash函数（如MD5）对完整性进行校验通信保密性在通信双方建立60、连接之前，应用系统未利用密码技术进行会话初始化验证；建议通过web应用防护系统在通信双方建立会话之前，进行会话初始验证未对通信过程中的整个报文或会话过程进行加密。建议通过web应用防护系统在通信过程中对敏感信息字段进行加密等软件容错未有自动保护功能，当故障发生时自动保护当前所有状态，保证系统能够进行恢复。建议应用服务器架构负载均衡实现自动保护功能。未通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求；建议应用系统对人机接口和通信接口输入的数据进行校验。资源控制未限制最大并发会话连接数。建议限制访问系统的最大并发会话连接数未对单个帐户的多重并发会话进行限制。可以限制为单点登录或者61、多点登录的情况，必须限制其数量。6.5 数据安全与备份恢复类别问题描述解决措施数据完整性未能够检测到系统管理数据、鉴别信息和重要业务数据在传输过程中完整性受到破坏，并在检测到完整性错误时采取必要的恢复措施；建议采用校验码技术保证传输过程中数据的完整性。门户网站建议使用https协议进行数据传输。数据保密性未采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据传输保密性；集成平台系统建议对鉴别信息和重要业务信息进行加密传输。备份和恢复未提供异地备份功能。建议定期将重要数据备份到异地的备份机房。网络架构未完全使用冗余技术设计，无法避免单点故障建议采用冗余技术设计网络拓扑结构，避免关键节点62、存在单点故障。主要网络设备如核心交换设备、出口线路均有硬件冗余，其他关键设备未提供冗余功能。建议其他关键设备如防火墙等提供硬件冗余功能。6.6 安全管理制度类别问题描述解决措施管理制度未提供相关管理制度。建议建立信息安全相关管理制度。制定和发布未提供相关管理制度。建议对安全管理制度的制定和发布建立管理制度，并按管理制度执行。评审和修订未提供相关管理制度。建议对安全管理制度的评审和修订建立管理制度，并按管理制度执行。6.7 安全管理机构类别问题描述解决措施岗位设置未提供相关管理制度。建议对安全管理机构的岗位设置建立管理制度，并按管理制度执行。人员配备未提供相关管理制度。建议对安全管理机构的人员配63、备建立管理制度，并按管理制度执行。授权和审批未提供相关管理制度。建议定期审查审批事项，及时更新需授权和审批的项目、审批部门和审批人等信息记录审批过程并保存审批文档。沟通和合作信息技术部必须与信息使用部门密切配合，建立沟通协调制度，加强部门之间的沟通，运用恰当的方式方法，及时解决各种故障，但未提及处理信息安全问题。建议对安全管理机构的沟通和合作建立管理制度，并按管理制度执行。审批与检查未提供相关管理制度。建议对安全管理机构的审核和检查建立管理制度，并按管理制度执行。6.8 人员安全管理类别问题描述解决措施人员录用未提供相关管理制度。建议对人员安全管理的人员录用建立管理制度，并按管理制度执行。人员64、离岗未提供相关管理制度。建议对人员安全管理的人员离岗建立管理制度，并按管理制度执行。人员考核未提供相关管理制度。建议对人员安全管理的人员考核建立管理制度，并按管理制度执行。安全意识教育和培训未提供相关管理制度。建议对人员安全管理的安全意识教育和培训建立管理制度，并按管理制度执行。外部人员访问管理未提供相关管理制度。建议对人员安全管理的外部人员访问管理建立管理制度，并按管理制度执行。6.9 系统建设管理类别问题描述解决措施安全方案设计未提供相关管理制度。建议对系统建设管理的安全方案设计建立管理制度，并按管理制度执行。产品采购和使用未提供相关管理制度。建议对系统建设管理的产品采购和使用建立管理制度65、，并按管理制度执行。外包软件开发未提供相关管理制度。建议对系统建设管理的外包软件开发建立管理制度，并按管理制度执行。工程实施未提供相关管理制度。建议制定详细的工程实施方案控制实施过程，并要求工程实施单位能正式地执行安全工程过程。测试验收未提供相关管理制度。建议委托公正的第三方测试单位对系统进行安全性测试，并出具安全性测试报告建议对系统测试验收的控制方法和人员行为准则进行书面规定系统交付未提供相关管理制度。建议对系统建设管理的系统交付建立管理制度，并按管理制度执行。安全服务商选择未提供相关管理制度。建议对系统建设管理的安全服务商选择建立管理制度，并按管理制度执行。6.10 系统运维管理类别问题描66、述解决措施环境管理已制定信息技术部负责机房安全，但未配备机房安全管理人员。建议配备机房安全管理人员，对机房的出入、服务器的开机或关机等工作进行管理。资产管理未提供相关管理制度。建议对系统运维管理的资产管理建立管理制度，并按管理制度执行。介质管理未提供相关管理制度。建议对系统运维管理的介质管理建立管理制度，并按管理制度执行设备管理未提供相关管理制度。建议建立配套设施、软硬件维护方面的管理制度，对其维护进行有效的管理，包括明确维护人员的责任、涉外维修和服务的审批、维修过程的监督控制等建议确保信息处理设备必须经过审批才能带离机房或办公地点。监控管理和安全管理中心未提供相关管理制度。建议对系统运维管理67、的监控管理和安全管理中心建立管理制度，并按管理制度执行。采用企业安全中心系统，对网络中的安全设备进行统一管理，统一收集日志并进行日志分析，感知风险态势。网络安全管理未提供相关管理制度。建议对系统运维管理的网络安全管理建立管理制度，并按管理制度执行。建议通过态势感知平台，收集全网安全态势，定期检查违反网络安全策略的行为。系统安全管理未提供相关管理制度。建议对系统运维管理的系统安全管理建立管理制度，并按管理制度执行。恶意代码防范管理未提供相关管理制度。建议对系统运维管理的恶意代码防范管理建立管理制度，并按管理制度执行建议采用防病毒中心，统一管理终端的病毒软件，保证及时更新。密码管理未提供相关管理制68、度。建议对系统运维管理的密码管理建立管理制度，并按管理制度执行。建议采用堡垒机中的改密计划功能，设置复杂度、长度、改密周期等，并通过改密日志进行审计和保存改密历史。变更管理未提供相关管理制度。建议对系统运维管理的变更管理建立管理制度，并按管理制度执行。备份与恢复管理未提供相关管理制度。建议对系统运维管理的备份与恢复管理建立管理制度，并按管理制度执行。安全事件处置未提供相关管理制度。建议对系统运维管理的安全事件处置建立管理制度，并按管理制度执行。应急预案管理未提供相关管理制度。建立事件分级制度和应急管理体系，针对事件的影响程度进行分级，并对每个级别事件配置对应的应急预案，并对其进行定期演练和修改69、- 162 - 2024七. 总体设计网络拓扑7.1 设计拓扑图7.2 推荐安全产品目录分类子类推荐安全产品网络安全结构安全抗拒绝服务系统网络安全访问控制防火墙网络安全入侵防范入侵防护系统主机安全入侵防范应用安全访问控制web应用防护系统应用安全软件容错应用安全资源控制主机安全恶意代码防范网络版的防病毒软件主机安全恶意代码防范高级威胁分析系统数据安全及备份恢复备份和恢复网络冗余，无单点故障主机安全安全审计日志审计系统网络安全安全审计安全审计系统应用安全安全审计网络安全网络设备防护堡垒机主机安全身份鉴别主机安全访问控制主机安全资源控制应用安全身份鉴别主机安全安全审计数据库审计数据安全及备份恢复数70、据完整性系统运维管理设备管理态势感知及日志审计系统运维管理监控管理和安全管理中心系统运维管理监控管理和安全管理中心网站监控系统系统运维管理网络安全管理漏洞扫描系统运维管理系统安全管理安全管理机构沟通和合作安全咨询服务系统建设管理等级测评等级测评服务人员安全管理安全意识教育和培训培训服务系统运维管理系统安全管理日志分析服务系统建设管理外包软件开发渗透测试系统建设管理测试验收渗透测试安全管理机构审核和检查巡检服务系统运维管理网络安全管理系统运维管理系统安全管理系统运维管理安全事件处置应急响应服务系统运维管理应急预案管理系统建设管理安全方案设计咨询服务八. 技术体系建设方案8.1 外网安全建设8.171、.1 抗DDos攻击：ADS抗DDos系统在外网互联出口边界，串联部署抗DDos系统，对DDoS攻击进行检测、分析和阻断。8.1.1.1 解决方案NSFOCUS ADS（绿盟抗拒绝服务攻击产品）作为绿盟流量清洗产品系列中的关键组成，NSFOCUS ADS提供了单台最大240Gbps的DDoS线速防护能力。通过部署NSFOCUS ADS设备，可以对网络中的DDoS攻击流量进行清洗，同时保证正常流量的访问。NSFOCUS ADS采用旁路集群模式可以实现T级防护容量，提高整个系统抵御海量DDoS攻击的能力。NSFOCUS ADS展开流量的牵引和清洗。还可以通过BGP Flow spec技术与路由器进72、行联动，提高防护效率，优化清洗方案资源调配。另外，产品支持硬件部署与软件部署两种形态，满足不同场景和方案的建设需求。当发生海量DDoS攻击时，绿盟抗拒绝服务产品还可以通过集群部署的方式并联在网络中，当某台ADS设备接收到攻击告警后，会启动流量牵引机制，将可疑流量均衡分配到若干台ADS上进行流量过滤。网络位置较高处（如骨干网、城域网、IDC出口）的绿盟高性能清洗中心还可以和网络位置较低处部署的绿盟清洗中心、串联ADS设备或绿盟WAF产品进行智能联动，从而在下层位置的DDoS攻击流量超过链路带宽而堵塞链路时，协助其自动化的进行大流量清洗。针对中小企业客户业务带宽较小，无法承载大流量攻击的痛点，绿盟73、科技还提供本地防护+云端清洗的解决方案。客户通过在本地部署的ADS设备进行小流量攻击的清洗以及精细化防护，当攻击流量超过带宽负荷时，一键通告云端清洗中心展开防护，从高处拦截大流量攻击，保障本地带宽的可利用性。8.1.1.2 产品价值满足等级保护的网络安全规范中：应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等技术要求中国区抗DDos产品方案供应商销售份额中排名第一。重要客户包括联通、电信和移动，各大广播电视台以及主管机构，国有四大行、城商行、国有银行、股份银行、证券、保险和互联网金融等行业。8.1.2 边界访问控制：下74、一代防火墙NF在外网互联出口边界，双机串联部署下一代防火墙，建立起以应用为核心的网络安全策略和以内网资产风险识别、云端安全管理为显著特征的全方位的安全防护体系。下一代防火墙能精确分类与辨识出包括低风险、高风险在内的1200+种应用，根据应用不同风险等级分别进行不同级别的安全扫描，从而及时准确的识别和拦截各种威胁攻击，保障用户网络应用的安全性。8.1.2.1 解决方案云、管、端三大NF功能特点可以分别提供预警、防护、分析三种能力，逐级减小网络出现安全风险的概率，并建立事前-事中-事后这样一条完整、循环的防护链条，为客户提供全方位的安全防护。依靠内网资产识别功能，NF可以事先发现并预警内网潜在的安75、全隐患，从源头降低安全事件发生的概率，完成安全事件的事先预警。根据预警，NF强大的防火墙和应用防护功能，能够对实时流量进行有效的过滤和控制，最大限度防止安全事件发生，实现事中防护。而在实时流量处理完毕后，管理人员仍然可以依赖于云端提供的专业日志分析功能对历史事件进行分析总结，为后续的安全优化提供支持，这便完成了事后分析。8.1.2.1.1 云端接入下一代防火墙支持一键接入云端功能，用户可以7*24小时在线监控安全服务，除基础的设备状态及资源使用情况监控，保障设备健康运行以外，对用户网络中发生的入侵嗅探、漏洞攻击、恶意软件侵入、远程越权操作窃取机密信息等攻击行为第一时间进行云端捕获并记录。同时，76、用户亦可通过云登录云端，对防火墙设备状态、网络实时及历史安全事件、事件趋势及详细日志、报表、甚至全国其他地区的安全形势进行查询和跟踪。8.1.2.1.2 远程运维安全解决方案堡垒机一般部署在单位网络内部，而单位内部网与互联网隔离，远程用户无法直接登陆部署在单位内部网的堡垒机设备进行管理。如果将堡垒机映射到互联网上，虽然方便了远程用户，但是将会受到被攻击或入侵的风险，如果未采用任何加密措施，还会有被监听的风险。通过该功能，远程用户使用堡垒机帐号，登录由下一代防火墙提供的VPN，认证成功后，可直接登录堡垒机。8.1.2.1.3 智能补丁解决方案下一代防火墙与漏洞扫描系统共享漏洞和安全防护信息，互通77、有无，实现对无防护的高风险漏洞和漏洞防护情况的展示，使用户对网络安全状况一目了然，从而为用户制定更高效网络维护计划，提供参考依据。8.1.2.1.4 终端安全检查解决方案通过与防病毒管控中心软件的配合，全面提升内部资产的安全性，以及远程接入终端的安全性，从而降低病毒带来的危害。8.1.2.2 产品价值满足等级保护的网络安全技术规范：a) 应在网络边界部署访问控制设备，启用访问控制功能；b) 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级；c) 应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制；d) 应78、限制网络最大流量数及网络连接数；e) 重要网段应采取技术手段防止地址欺骗；8.1.3 网络入侵防范：网络入侵防御系统NIPS在外网互联出口边界，双机串联部署网络入侵防御系统，针对日趋复杂的应用安全威胁和混合型网络攻击，准确监测网络异常流量，自动应对各层面安全隐患，第一时间将安全威胁阻隔在单位网络外部，弥补了防火墙、入侵检测等产品的不足，提供动态的、深度的、主动的安全防御，从智能识别、环境感知、行为分析三方面加强了对应用协议、异常行为、恶意文件的检测和防护，提供了一个看得见、检得出、防得住的全新入侵防护解决方案。8.1.3.1 解决方案u 入侵防护实时、主动拦截黑客攻击、蠕虫、网络病毒、后门木马79、D.o.S等恶意流量，保护单位信息系统和网络架构免受侵害，防止操作系统和应用程序损坏或宕机。u 数据泄露防护数据泄露防护能够基于敏感数据的外泄、文件识别、服务器非法外联等异常行为检测，实现内网的数据外泄防护功能。u 高级威胁防护高级威胁防护通过NIPS与沙箱产品联动，实现0day漏洞利用和恶意软件的检测与防御。u 僵尸网络发现基于实时的信誉机制，结合单位级和全球信誉库，可有效检测恶意URI、僵尸网络，保护用户在访问被植入木马等恶意代码的网站地址时不受侵害，第一时间有效拦截Web威胁，并且能及时发现网络中可能出现的僵尸网络主机和C&C连接。u 防病毒采用流扫描技术+启发式检测技术，检测性能高，80、检测率高；针对对全球热点病毒，进行快速检测，并能够实时阻断。u 流量控制阻断一切非授权用户流量，管理合法网络资源的利用，有效保证关键应用全天候畅通无阻，通过保护关键应用带宽来不断提升单位IT产出率和收益率。u 应用管理全面监测和管理IM即时通讯、P2P下载、网络游戏、在线视频，以及在线炒股等网络行为，协助单位辨识和限制非授权网络流量，更好地执行单位的安全策略。8.1.3.2 产品价值满足主机安全、应用安全中入侵防范（G2）要求：应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。亚太区唯一一家连续5年入选Gartner魔81、力象限亚太区唯一一家进入Gartner“挑战者”象限中国地区入侵防御市场排名第一8.1.4 上网行为管理：SAS在外网核心交换区旁路部署上网行为管理系统，实现对互联网访问行为的全面管理，防止带宽资源滥用，防止无关网络行为影响工作效率，记录上网轨迹满足法规要求，实现管控外发信息，降低泄密风险，掌握组织动态、优化员工管理，为网络管理与优化提供决策依据。8.1.4.1 解决方案8.1.4.1.1 内容审计提供深入的内容审计功能，可对网页页面内容、邮件、数据库操作、论坛、即时通讯等提供完整的内容检测、信息还原功能；并内置敏感关键字库，进行细粒度的审计追踪，同时，用户可以自定义补充或者更新关键字库。8.82、1.4.1.2 行为审计提供全面的网络行为审计功能，根据设定的行为审计策略，对网站访问、邮件收发、数据库访问、远程终端访问、文件上传下载、即时通讯、论坛、移动应用、在线视频、P2P下载、网络游戏等网络应用行为进行监测，对符合行为策略的事件实时告警并记录。8.1.4.1.3 流量审计提供基于协议识别的流量分析功能，如：可识别使用80端口的P2P协议，避免基于80端口的HTTP协议流量统计错误，更精确可靠；实时统计出当前网络中的各种报文流量，进行综合流量分析，提供详细的流量报表；可以通过编辑自定义统计指定协议流量的IP TOPN，为流量管理策略的制定提供可靠支持。8.1.5 APT攻击防护：威胁分83、析系统TAC在外网核心交换区旁路部署威胁分析系统，有效检测通过网页、电子邮件或其他的在线文件共享方式进入网络的已知和未知的恶意软件，发现利用0day漏洞的APT攻击行为，保护客户网络免遭0day等攻击造成的各种风险，如敏感信息泄露、基础设施破坏等。8.1.5.1 解决方案8.1.5.1.1 多种应用层及文件层解码从高级可持续威胁的攻击路径上分析，绝大多数的攻击来自与Web冲浪，钓鱼邮件以及文件共享，基于此监测系统提供以上相关的应用协议的解码还原能力，具体包括：HTTP、SMTP、POP3、IMAP、FTP。为了更精确的检测威胁，监控系统考虑到高级可持续威胁的攻击特点，对关键文件类型进行完整的文84、件还原解析，系统支持了以下的文件解码： Office类：Word、Excel、PowerPoint Adobe类：.swf、.pdf 不同的压缩格式：.zip、.rar、.gz、.tar、.7z，.bz 图片类：jpg、jpeg、bmp.8.1.5.1.2 独特的信誉设计威胁分析系统利用广阔的全球信誉，让检测更加高效、精准，当文件被还原出来后，首先进入信誉检测引擎，利用全球信誉库的信息进行一次检测，如果文件命中则提升在非动态环境下的检测优先级但不放到动态检测引擎中进行检测，如有需求可手动加载至动态检测引擎用以生成详细的报告。目前的信誉值主要有文件的MD5、CRC32值，该文件的下载URL地址、85、IP等信息；8.1.5.1.3 集成多种已知威胁检测技术：AV、基于漏洞的静态检测系统为更全面的检测已知、未知恶意软件，同时内置AV检测模块及基于漏洞的静态检测模块。AV模块采用启发式文件扫描技术，可对HTTP、SMTP、POP3、FTP等多种协议类型的百万种病毒进行查杀，包括木马、蠕虫、宏病毒、脚本病毒等，同时可对多线程并发、深层次压缩文件等进行有效控制和查杀。静态漏洞检测模块，不同与基于攻击特征的检测技术，它关注与攻击威胁中造成溢出等漏洞利用的特征，虽然需要基于已知的漏洞信息，但是检测精度高，并且针对利用同一漏洞的不同恶意软件，可以使用一个检测规则做到完整的覆盖，也就是说不但可以针对已知漏86、洞和恶意软件，对部分的未知恶意软件也有较好的检测效果。8.1.5.1.4 智能ShellCode检测恶意攻击软件中具体的攻击功能实现是一段攻击者精心构造的可执行代码，即ShellCode。一般是开启Shell、下载并执行攻击程序、添加系统账户等。由于通常攻击程序中一定会包含ShellCode，所以可以检测是否存在ShellCode作为监测恶意软件的依据。这种检测技术不依赖与特定的攻击样本或者漏洞利用方式，可以有效的检测已知、未知威胁。系统在传统ShellCode检测基础上，增加了文件解码功能，通过对不同文件格式的解码，还原出攻击功能字段，从而在新的情势下，依然可以检测出已知、未知威胁。在系统中87、，此方式作为沙箱检测的有益补充，使系统具备更强的检测能力，提升攻击检测率。8.1.5.1.5 动态沙箱检测（虚拟执行检测）动态沙箱检测，也称虚拟执行检测，它通过虚拟机技术建立多个不同的应用环境，观察程序在其中的行为，来判断是否存在攻击。这种方式可以检测已知和未知威胁，并且因为分析的是真实应用环境下的真实行为，因此可以做到极低的误报率，而较高的检测率。检测系统具备指令级的代码分析能力，可以跟踪分析指令特征以及行为特征。指令特征包括了堆、栈中的代码执行情况等，通过指令运行中的内存空间的异常变化，可以发现各种溢出攻击等漏洞利用行为，发现0day漏洞。系统同时跟踪以下的行为特征，包括： 进程的创建中止88、，进程注入； 服务、驱动 注册表访问、改写 文件访问、改写、下载 程序端口监听 网络访问行为 系统根据以上行为特征，综合分析找到属于攻击威胁的行为特征，进而发现0day木马等恶意软件。系统发现恶意软件后，会持续观察其进一步的行为，包括网络、文件、进程、注册表等等，作为报警内容的一部分输出给安全管理员，方便追查和审计。而其中恶意软件连接C&C服务器（命令与控制服务器）的网络特征也可以进一步被用来发现、跟踪botnet网络。8.1.5.1.6 完备的虚拟环境目前典型的APT攻击多是通过钓鱼邮件、诱惑性网站等方式将恶意代码传递到内网的终端上，威胁分析系统支持http、pop3、smtp、imap、s89、mb等典型的互联网传输协议。受设备内置虚拟环境有限影响，会存在部分文件无法运行，威胁分析系统内置静态检测引擎，通过模拟CPU指令集的方式来形成轻量级的虚拟环境，以应对以上问题。很多APT安全事件都是从防御较薄弱的终端用户处入手，威胁分析系统支持WINXP、WIN7、安卓等多个终端虚拟操作系统；8.1.6 Web应用防护：web应用防火墙在对DMZ区域边界，串联部署web应用防火墙，采用黑、白名单机制相结合的完整防护体系，通过精细的配置将多种Web安全检测方法，并整合成熟的DDoS攻击抵御机制，能够在IPV4、IPV6及二者混合环境中抵御OWASP Top 10等各类Web安全威胁和拒绝服务攻击90、。8.1.6.1 解决方案8.1.6.1.1 细致高效的规则体系规则是WAF识别和阻止已知攻击的基础检测方法，绿盟WAF规则库基于多年网络安全研究积累，已高度细化，基于规则的防护功能包括：l Web服务器漏洞防护l Web插件漏洞防护l 爬虫防护l 跨站脚本防护l SQL注入防护l LDAP注入防护l SSI指令防护l XPATH注入防护l 命令行注入防护l 路径穿越防护l 远程文件包含防护在细化多种规则的同时，绿盟WAF也引入了众多机制保证规则的精准、有效。1. 前导字符网络中合法流量占主体，引入前导码机制，通过前导码的简单字符串的匹配，对流量进行预筛选，提高检测效率。2. 不同检测位置支持91、灵活的检测对象定义，包括任意的HTTP头部字段，HTTP BODY字段，支持各种检测运算。3. 多种检测条件的逻辑组合支持多个检测条件的逻辑组合，以支持复杂规则的定义。4. 自定义规则提供贴近于自然语言、支持复杂场景描述的自定义规则，能作用于具体的URL上，大大提高了规则的有效性和精准度。5. 独立的规则升级通过编译式运行的规则库，绿盟WAF还分离了规则升级和系统升级。8.1.6.1.2 智能自学习白名单黑名单规则即内置及自定义的规则是web应用防火墙在防护Web安全时的强大知识依托，然而，黑名单体系固有的”事后更新”特点使其仅仅能解决已知问题，在应对0day漏洞防护时显得略为滞后，且由于未参92、考客户环境的业务逻辑，在防护效果上也无法做到精准。web应用防火墙引入的自学习+白名单机制，弥补了黑名单防护体系的固有缺点，有效增强了0day漏洞的防护能力和精准防护能力。WEB应用防火墙基于统计学方法的自学习技术，分析用户行为和指定URL的HTTP请求参数，能将站点的业务逻辑完整的呈现出来，协助管理员构建正常的业务流量模型，形成白名单规则。在防护顺序上，web应用防火墙先利用黑名单规则解决已知安全风险，在用自学习、白名单作为黑名单规则的补充解决业务逻辑层面的安全风险，使web应用防火墙的安全防护体系更完整，进一步贴近了客户业务环境，在应对0day漏洞时也更加快速、精准、有效。而这种防护顺序的93、设计，避免了依赖白名单机制而带来的设备上线需要长时间的学习业务、且业务模型变动时策略调整频繁等缺点，上线就能即插即用、零配置防护。8.1.6.1.3 智能补丁应急响应通过与云安全平台的Web漏洞扫描服务或者WEB应用漏洞扫描系统联合防护，web应用防火墙能获取被防护站点的漏洞扫描报告，并根据自身已有的规则自动生成一套新的规则即智能补丁，应用于被保护站点。当被防护站点打上了智能补丁之后，之前被扫描出的Web应用漏洞将无法重现。智能补丁，借助了云安全平台中Web漏洞扫描服务和WEB应用漏洞扫描系统对Web漏洞的感知能力，又很好利用了web应用防火墙自身的规则体系，在不用更改被防护站点配置、不为其设94、备提供额外负担的情况下，有效减少了一些站点因无法频繁打补丁、业务频繁升级而引入漏洞带来的安全风险，还能及协助客户满足安全合规要求。8.1.6.1.4 安全管家客户可在AppStore中下载安全管家APP，通过WEB应用防火墙与云的联动，可以把APP与WEB应用防火墙进行绑定，时刻获取设备的运行的状态，包括设备的cpu、内存、规则库版本等信息，一旦设备出现问题，可通过APP上一键联系安全人员对设备进行维护。运营实时化，大大降低了运维难度。8.1.6.1.5 IP信誉WEB应用防火墙与威胁情报中心对接后，获取不同攻击类型的高危信誉IP，在WEB应用防火墙上自动生成防护策略。通过启用IP信誉功能，可95、有效防止撞库、羊毛党（刷单、刷积分）的问题，同时有效减少疑似攻击行为的告警噪音，达到提升告警精度的效果。8.1.6.2 产品价值满足应用安全中访问控制（S2）的要求：a) 应提供访问控制功能，依据安全策略控制用户对文件、数据库表等客体的访问；b) 访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作；c) 应由授权主体配置访问控制策略，并严格限制默认帐户的访问权限；满足应用安全中通信完整性（S2）的要求：a) 应采用校验码技术保证通信过程中数据的完整性。绿盟科技持续七年引领WAF国内市场，连续两年国内唯一一家进入亚太前三20142017，绿盟WAF连续四年入选Gartner魔力象96、限(2014、2015，中国厂商仅绿盟和安恒入选；2016，仅绿盟入选，2017年仅启明和绿盟入选)8.2 内外网隔离建设在内网和外网核心交换机之间，双机部署网闸系统，实现内外网的安全隔离，实现对网络层/OS层已知和未知攻击的全面防护能力，保护可信网络免遭黑客攻击。网闸系统具有网络隔离功能，通过基于ASIC设计的硬件芯片开关实现可信、不可信网络间的物理链路断开，保护可信网络免遭黑客攻击。8.2.1 解决方案8.2.1.1 IDS入侵检测功能网闸系统在设备两端内置了IDS入侵检测引擎，该引擎可有效保护系统自身及受保护网络免受攻击者的频繁攻击。该系统将自动分析对受保护内网的访问请求，并与网闸系统实97、现内部联动对可疑数据包采取拒绝连接的方式防御攻击。8.2.1.2 SAT（安全服务器地址映射）网闸系统具备完善的SAT功能，可信端服务器可通过SAT功能将自身的特定服务虚拟映射到不可信端接口上，通过隔离系统的不可信端虚拟端口对外提供服务，访问者仅能访问虚拟端口而无法直接连接服务器，从而对外屏蔽服务器，防止服务器遭到攻击。8.2.1.3 身份认证除了提供基本的用户名/口令身份认证功能以外，还可与外部认证系统集成支持扩展的PKI数字证书、SecureID等多种强身份认证功能。支持SSO（Single Sign-on）单点登录，支持Radius、LDAP、AD（Active Directory）等C98、AS认证模式。8.2.1.4 安全上网、邮件收发高级认证支持采用专用ViIE、ViMail认证客户端实现高安全性的上网、邮件应用安全认证控制功能，防止客户端涉密信息未经授权外发。没有经过客户端认证的用户即使用IE、OUTLOOK、FOXMAIL等软件也无法上网和收发邮件。8.2.1.5 安全代理服务允许可信端用户以应用代理方式访问不可信网络，支持Socks代理，支持流媒体、视频应用代理，可作为应用代理网关对内网访问请求进行检测，相对于传统的基于网络层的NAT方式来说，由于代理服务在应用层对访问请求进行检测具有更细的粒度和检查元素，因此，对访问具有更高的安全控制能力。8.2.1.6 AI安全过滤99、应用智能能够使您根据来源、目的地、用户特权和时间来控制对特定的HTTP、SMTP或FTP等资源的访问。通过协议分析技术提供应用级的安全过滤以保护数据和应用服务器免受恶意Java和ActiveX applet的攻击。支持关键字、网址、恶意代码、文件类型、黑白名单等过滤功能；在AI功能中新增了安全功能，包括：确认通信是否遵循相关的协议标准；进行异常协议检测；限制应用程序携带恶意数据的能力；对应用层操作进行控制，这些新功能对单位级网络环境中应用层的安全控制起到了很重要的强化作用。8.2.1.7 防病毒网闸系统的防病毒引擎，可实现对内外网摆渡数据的病毒查杀，其防水墙模块可有效阻止内网信息的外泄及木马、100、蠕虫等恶意程序通过HTTP、SMTP等方式向外泄漏信息。实现对病毒的高效查杀，支持包括HTTP、SMTP、POP3协议的网关级病毒过滤。8.2.1.8 内容及格式检测具备内容过滤及文件格式检查功能，支持黑白名单过滤，对管理员指定格式的文件或指定内容关键字的邮件、网页、FTP文件等具有安全过滤功能，支持深层文件格式和编码检测，能够阻止敏感的信息外泄或恶意程序的入侵。8.2.1.9 VPN通讯安全对受保护WEB服务器提供内置的SSL VPN加密通讯机制，建立客户端与虚拟服务端口间的SSL加密VPN链路，实现通讯安全。该加密方式无需修改客户端设置，透明实现客户端与服务器端的加密通讯。8.2.1.10101、 WEB站点保护全面分析来自WEB服务的漏洞，建立了WEB站点保护系统WebAppliaction，全面抵御黑客对用户对外WEB、MAIL以及FTP系统服务系统发动的攻击。包括：Cookie安全签名、URL字段细粒度过滤、输入参数检测、操作系统屏蔽、Web service函数、CGI调用函数、特别针对WEB的IDS检测、文件目录及文件访问控制等功能。8.3 内网安全建设8.3.1 边界防御：下一代防火墙NF在内网专线出口边界以及数据中心区域边界，双机串联部署高性能下一代防火墙，建立起以应用为核心的网络安全策略和以内网资产风险识别、云端安全管理为显著特征的全方位的安全防护体系。下一代防火墙能精确102、分类与辨识出包括低风险、高风险在内的1200+种应用，根据应用不同风险等级分别进行不同级别的安全扫描，从而及时准确的识别和拦截各种威胁攻击，保障用户网络应用的安全性。（产品功能介绍请参照3.1.1边界防护中下一代防火墙的相关描述）8.3.2 入侵防御在内网专线出口边界，双机串联部署网络入侵防御系统，针对日趋复杂的应用安全威胁和混合型网络攻击，准确监测网络异常流量，自动应对各层面安全隐患，第一时间将安全威胁阻隔在单位网络外部，弥补了防火墙、入侵检测等产品的不足，提供动态的、深度的、主动的安全防御，从智能识别、环境感知、行为分析三方面加强了对应用协议、异常行为、恶意文件的检测和防护，提供了一个看得103、见、检得出、防得住的全新入侵防护解决方案。（产品功能介绍请参照3.1.2入侵防御中网络入侵防护系统的相关描述）8.3.3 防病毒网关在内网专线出口边界，双机部署网络防病毒网关，有效抵御各类病毒和恶意软件对用户网络和业务系统的破坏。8.3.3.1 产品功能支持对HTTP，FTP，SMTP，POP3四大协议防毒，对通过的数据进行在线病毒查杀，查杀邮件正文附件、网页及下载文件中包含的病毒病毒库自动更新，live update采用新一代的流模式扫描技术，提供多种模式的扫描方式（快速，全面等不同级别）基于状态检测的动态包过滤实现基于源/目的IP地址、源/目的MAC地址、源/目的端口、协议、时间等数据包快104、速过滤支持不同功能区段的划分，区段间和区段内部策略的定义支持对多种文件格式扫描支持与云联动支持URL过滤8.3.3.2 蠕虫过滤蠕虫可以利用电子邮件、文件传输等方式进行扩散，更主要的特点是利用系统的漏洞发起动态攻击。近几年蠕虫造成的危害越来越大，可以导致系统严重损坏和网络瘫痪。如尼姆达（Nimda）、飞客（Conficker）、蠕虫王（Slammer）、冲击波（Blaster）、震荡波等。根据蠕虫的特点，金山VGM新一代防毒墙从OSI的多个层次进行处理。在网络层和传输层过滤蠕虫利用漏洞的动态攻击数据，在应用层过滤利用正常协议（SMTP、HTTP、POP3、FTP、IMAP、SMB等）传输的静态105、蠕虫代码。金山VGM新一代防毒墙可实现对恶意代码威胁的动态防御攻击，能够全方位抵御已知蠕虫病毒的攻击。这一技术标志着，金山VGM新一代防毒墙不仅可以过滤静态蠕虫代码，而且能够阻断蠕虫的动态攻击（包括所引发的病毒传播、后门漏洞、系统利用攻击等）。这样，可全面实现威胁动态防御。8.3.3.3 病毒过滤这里的病毒过滤是指静态型病毒（例如CIH）、邮件病毒（例如求职信、美丽杀手、爱虫、Mydoom）、特洛伊木马、网页恶意代码的过滤等。对于网页浏览（HTTP协议）、文件传输（FTP协议）、邮件传输（SMTP、POP3协议）等病毒，基于专门的病毒引擎进行查杀。对邮件病毒，可以定义对病毒的处理方式，决定清除106、病毒、删除附件、丢弃等操作，发现病毒时通知管理员、收件人、发件人等操作。金山VGM新一代防毒墙具有卓越的病毒查杀能力，能够对多种应用协议（HTTP、FTP、SMTP、POP3、IMAP、SMB）所传递的数据进行病毒过滤。金山VGM新一代防毒墙采用多引擎技术，可检测出目前“流行病毒名单”上的病毒。8.3.3.4 木马行为监测一个完整的木马程序包含控制端和被控端。控制者通过操作被控端窃取大量机密或个人隐私信息。金山VGM新一代防毒墙采用多重特征匹配、模式匹配和规则算法，对网络数据流实时解析，检测出的木马信息包括主机源IP地址、MAC地址、源端口、目的IP地址、目的端口、木马类型、危害等级等信息。8107、.3.3.5 口令嗅探攻击监测近几年帐号及口令外泄事件时有发生，越来越多的攻击手段也更加明确恶意攻击者的最终目的是要获得核心系统的最高权限，进而更加的肆意妄为。因此，对于企事业单位信息系统的账户及口令态势现状，俨然需要提升到一个新的高度，实现对各项信息系统帐户口令的恶意探测及暴力破解等非法行为的实时阻断与监控。金山VGM新一代防毒墙通过对信息系统所依赖的网络服务进行协议识别，并深入分析协议层数据包内帐户信息传输状态，进而做到对帐户及口令的有效防御措施，最终实现对信息系统帐户安全的态势分析与全面掌控。8.3.3.6 僵尸网络检测僵尸网络构成了一个攻击平台，控制者利用这个平台可以发起各种各样的恶意108、攻击，可以导致整个基础信息网络或者重要应用系统瘫痪，也可以导致大量机密或个人隐私泄漏，还可以用来从事网络欺诈等其他违法犯罪活动。金山VGM新一代防毒墙采用特征匹配、模式匹配和规则算法，对网络数据流实时解析，检测出僵尸网络发动拒绝服务攻击、发送大量垃圾邮件、窃取计算机上的有用信息、滥用网络资源等恶意的黑客行为，详细信息包括主机源IP地址、MAC地址、源端口、目的IP地址、目的端口、僵尸类型、危害等级、僵尸服务器域名等信息，通过检测信息可以找出内部网络中被种植了“僵尸程序”的“僵尸计算机”以及僵尸的行为。8.3.3.7 安全管理方式对金山VGM新一代防毒墙的管理支持https加密通讯的Web管理方109、式，界面直观、操作简便、易于理解。此外还支持console方式的本地管理，以及ssh加密方式的远程维护管理。为避免对金山VGM新一代防毒墙设备的管理权限滥用，增加安全性，可设定允许访问金山VGM新一代防毒墙设备的IP地址范围。管理员根据权限进行划分，管理用户按性质可划分为：系统维护员（超级用户）、配置管理员、策略审计员、日志审计员等。8.3.3.8 特征库自动升级金山VGM新一代防毒墙通过不断更新过滤特征码来保持与攻击数据特征的同步。根据更新策略，用户可通过HTTP方式从公网服务器自动更新特征码。8.3.4 APT攻击防护在内网核心交换区旁路部署威胁分析系统，有效检测通过网页、电子邮件或其他的110、在线文件共享方式进入网络的已知和未知的恶意软件，发现利用0day漏洞的APT攻击行为，保护客户网络免遭0day等攻击造成的各种风险，如敏感信息泄露、基础设施破坏等。（产品功能介绍请参照3.1.4 APT攻击防护中威胁分析系统的相关描述）8.4 运维管理建设8.4.1 运维安全审计：堡垒机在运维管理区，部署运维审计系统（堡垒机），通过逻辑上将人与目标设备分离，建立“人-主账号（堡垒机用户账号）-授权-从账号（目标设备账号）-目标设备”的管理模式；在此模式下，通过基于唯一身份标识的集中账号与访问控制策略，与各服务器、网络设备、安全设备、数据库服务器等无缝连接，实现集中精细化运维操作管控与审计。8.111、4.1.1 产品功能8.4.1.1.1 集中账号管理建立基于唯一身份标识的全局实名制管理，支持统一账号管理策略，实现与各服务器、网络设备、安全设备、数据库服务器等无缝连接。8.4.1.1.2 集中访问控制通过集中访问控制和细粒度的命令级授权策略，基于最小权限原则，实现集中有序的运维操作管理，让正确的人做正确的事。8.4.1.1.3 集中安全审计基于唯一身份标识，通过对用户从登录到退出的全程操作行为进行审计，监控用户对目标设备的所有敏感操作，聚焦关键事件，实现对安全事件的实时发现与预警。8.4.2 流量审计：网络安全审计-SAS在运维管理区，部署网络安全审计系统，通过对网络数据的采集、分析、识别112、，实时动态监测通信内容、网络行为和网络流量，发现和捕获各种敏感信息、违规行为，实时报警响应，全面记录网络系统中的各种会话和事件，实现对网络信息的智能关联分析、评估及安全事件的准确定位，为整体网络安全策略的制定提供权威可靠的支持。8.4.2.1 产品价值满足主机安全、应用安全中安全审计（G2）要求：a) 审计范围应覆盖到服务器上的每个操作系统用户和数据库用户；b) 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件；c) 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等；d) 应保护审计记录，避免受到未预期的删除、修改或覆盖等。满足网络安113、全、主机安全、应用安全中访问控制（G2）要求：a) 应启用访问控制功能，依据安全策略控制用户对资源的访问；b) 应实现操作系统和数据库系统特权用户的权限分离；c) 应限制默认账户的访问权限，重命名系统默认账户，修改这些账户的默认口令；d) 应及时删除多余的、过期的账户，避免共享账户的存在；满足主机安全、应用安全中身份鉴别（G2）要求：a） 应对登录操作系统和数据库系统的用户进行身份标识和鉴别；b） 操作系统和数据库系统管理用户身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换；c） 应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；d） 当对服务器进行远程114、管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听；e） 应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性；8.4.2.2 产品功能8.4.2.2.1 智能化协议识别与分析网络安全审计系统采用业界领先的智能协议识别和关联技术，智能识别采用标准及非标准端口的网络协议，例如使用80端口的P2P协议，提供全面深入的协议分析、解码回放，能够分析超过100种应用层协议，包括HTTP、TELNET、FTP、SMTP、POP3、WEBMAIL、P2P、IM等，极大地提高内容分析的准确性，帮助管理员全面掌握网络安全状态。8.4.2.2.2 智能身份关联与认证用户审计网络安全审计115、系统基于智能身份关联与认证用户审计功能，实现对网络事件责任人的精准定位。网络安全审计系统从网络数据流中收集IP地址、用户帐号、账号类型等身份信息，创建用户身份信息库，信息库中记录了审计到的IP地址、用户账号、账号类型与审计时间等信息。利用该信息库中的用户身份信息，SAS自动关联所有网络访问事件，特别是数据流中并不包含用户身份信息的网络访问事件，从而实现对网络事件的用户身份关联与自动识别功能。网络安全审计系统在进行智能身份关联的同时，进一步通过与AD域控认证系统联动，实时、动态地同步IP地址与终端认证用户的身份信息，进而识别发起网络访问的具体的终端认证用户。智能身份关联对用户身份进行模糊的识别与116、审计功能，但无需依赖任何用户认证系统。认证用户审计则对用户身份进行精准的识别与审计功能，但要求用户环境中部署AD域控认证系统，并与之联动。智能身份关联与认证用户审计功能互补，最终实现对网络事件完整而精准的审计，记录网络事件的用户身份、IP地址、访问时间、访问目标、具体访问内容等信息。网络安全审计系统对用户身份信息的识别和支持功能，不仅体现在最终的审计日志上，而是全程的用户审计。事前，支持基于用户帐号信息定义审计策略；事中，智能化识别每一次网络访问的用户帐号信息；事后，记录包含用户帐号信息在内的全面的日志信息。为安全事件的准确、快速追踪和定位提供了有力支持。如下图所示：8.4.2.2.3 智能U117、RL分类与WEB信誉管理网络安全审计系统内置超过1000万条的庞大中英文URL数据库，超过40种的精细分类，如不良言论、色情暴力、挂马网站等。基于内置URL分类库，网络安全审计系统能够精确分类用户所访问的网页类型。在此基础之上，网络安全审计系统拥有超过1万条的关键字库，支持针对URL地址、网页标题等信息进行智能分类。内置URL分类库与关键字库的配合使用，大大提高了网络安全审计系统在网页分类特性方面的识别率和准确率。在系统采用云安全中心提供的Web信誉库，云安全中心通过对互联网资源（域名、IP地址、URL等）进行威胁分析和信誉评级，将含有恶意代码的网站列入Web信誉库，实现对用户访问非法、不良和118、高风险网站行为的审计和告警功能。8.4.2.2.4 无线热点发现与移动应用审计网络安全审计系统高度关注用户在合规、信息安全建设方面所面临的新问题，针对当下被广泛使用的无线热点、移动上网，网络安全审计系统提供了相应的功能特性，协助用户更好地解决当前形势下面临的新难题，有效降低安全风险。网络安全审计系统能够实时、自动发现办公网络内的无线热点，记录无线热点访问网络时所使用的IP地址、认证用户等信息；能够识别移动热点所访问的移动应用，例如IM类、社交类、网购类、影音类、资讯类等应用，记录IP地址、应用名称、访问时间等信息；能够对主流的移动应用进行内容层面的详细审计，主要是对微博、网页言论、网页访问详细119、记录IP地址、URL地址、访问时间、访问或发布的具体内容等信息。8.4.2.2.5 业界首创“网站内容安全”主动审计网络安全审计系统“主动审计”能够帮助用户及时准确发现网站、论坛、博客中的非法敏感信息和网页挂马隐患；系统部署简单方便，接入网络就可以扫描检测。主动审计功能包括：不良敏感信息扫描：网络安全审计系统具有高效智能的内容识别引擎，通过基于域名、关键字正则表达式等多种组合主动内容审计策略扫描指定网站，对被检测站点网页页面进行深度内容扫描检测，快速、准确的分析判断网页页面是否含有非法敏感信息，实时告警响应，并支持人工辅助校正扫描结果，从而有效防止不良信息扩散，为追查取证提供有力支持。网站挂马120、扫描：网络安全审计系统系可通过扫描指定网站，分析检测网页是否被挂马，并实时告警响应，为网站安全提供及时有效支持。8.4.3 漏洞扫描：安全评估系统RSAS在运维管理区，部署漏洞扫描系统，高效、全方位的检测网络中的各类脆弱性风险，提供专业、有效的安全分析和修补建议，并贴合安全管理流程对修补效果进行审计，最大程度减小受攻击面。8.4.3.1 产品功能8.4.3.1.1 全方位系统脆弱性发现全面发现信息系统存在的安全漏洞、安全配置问题、应用系统安全漏洞，检查系统存在的弱口令，收集系统不必要开放的账号、服务、端口，形成整体安全风险报告。8.4.3.1.2 从海量数据中快速定位风险提供仪表盘报告和分析方121、式，在大规模安全检查后，快速定位风险类型、区域、严重程度，根据资产重要性进行排序，可以从仪表盘报告直接定位到具体主机具体漏洞。8.4.3.1.3 融入并促进安全管理流程安全管理不只是技术，更重要的是通过流程制度对安全脆弱性风险进行控制，产品结合安全管理制度，支持安全风险预警、检查、分级管理、修复、审计流程，并监督流程的执行。8.4.3.2 产品价值1. 连续6年市场占有率第一（数据来源：IDC安全性与漏洞管理统计2011-2016）2. 国内唯一入选国际权威分析机构Gartner报告3. 是国内测评机构最主要的漏洞扫描和风险评估工具。8.4.4 基线核查：配置核查系统BVS在运维管理区，部署基122、线核查系统，通过自动化的进行安全配置检查，从而节省传统的手动单点安全配置检查的时间，并避免传统人工检查方式所带来的失误风险，同时能够出具详细的检测报告。大大提高检查结果的准确性和合规性，节省时间成本，让检查工作变得简单。8.4.4.1 产品功能8.4.4.1.1 结合等级保护的安全配置检查在等级保护检查、测评、整改工作过程中，对定级业务系统进行对应级别的安全风险检查是技术方面的必要工作。基线核查系统产品根据安全服务团队的经验积累，对国家等级保护规范进行了细化整理，把技术要求落实到每一种网络设备的配置检查工作上基线核查系统能够结合等级保护工作过程，对业务系统资产进行等保定级跟踪，根据资产定级自动123、进行对应级别的安全配置检查，对合规情况进行等保符合性报告，保证系统建设符合等保要求、促使等保监督检查工作高效执行。8.4.4.1.2 结合授权认证系统简化配置检查操作安全配置检查工作需要具备被检查目标的账号、密码等授权信息，登录到被检查目标设备中，执行配置查看命令列举配置信息，然后与规范要求进行对比，得到合规及不合规的配置项，自动化的配置检查过程也类似，需要目标系统的账号、密码等授权信息，对数量众多的网络设备的安全配置检查，每一组目标系统的账号、密码由管理员维护和录入，工作量巨大，也容易出错。一些单位部门已经部署了4A认证授权系统或者堡垒机运维审计系统，能够很好的维护业务系统中各主机、设备的登124、录授权信息，基线核查系统充分考虑配置检查工作的方便性，能够和4A系统或者堡垒机系统对接，自动化获取被检查目标系统的登录授权信息，批量检查业务系统安全配置，使配置检查操作简单易用。8.4.4.1.3 自定义安全配置检查项目通常网络环境的情况是，设备类型逐渐增多，各种服务平台被应用，应用软件不断更新升级，这些变化给安全配置检查带来一定的困难。作为Checklist知识库的补充，基线核查系统提供自定义安全配置检查功能，可以由用户根据需要或者行业标准，自行制定对目标系统执行的各种安全配置检查操作，可以形成针对自身单位或行业的自定义安全配置检查模板。自定义安全配置检查的功能让安全管理员能够很好的适应网络125、情况的变化，对产品暂不支持的安全规范或配置检查点，都可以通过自定义安全配置检查功能轻松实现。8.4.5 威胁态势感知在运维管理区，部署威胁态势感知系统，有效支撑安全监控部门开展网络安全工作，实时掌握网络安全态势，及时掌握重要信息系统相关网络安全威胁风险，及时检测漏洞、病毒木马、网络攻击情况，及时发现网络安全事件线索，及时通报预警重大网络安全威胁，调查、防范和打击网络攻击等恶意行为。8.4.5.1 产品功能威胁态势感知系统专注于从网络入侵、异常流量、系统漏洞、网站安全、僵木蠕五大部分进行安全态势感知，能够覆盖各种安全运营场景。8.4.5.1.1 网络入侵态势感知尤其是对“基于对抗的智能态势感知预126、警模型”的相关研究，威胁态势感知系统吸收了“杀伤链”（Kill Chain）和“攻击树”（Attack Tree）等相关理论，形成了独有的推理决策引擎，借助大数据安全分析系统的分布式数据库，可以实现网络入侵态势感知。经过实际测试，在网络带宽1Gbps的典型环境中，入侵检测系统每日的日志在20万条左右，经过“入侵威胁感知引擎”分析处理后，形成500个左右的威胁事件，再经过“APT攻击推理引擎”分析处理后，仅仅形成10-20个攻击成功的事件。数据压缩率达到万分之一，大幅节省数据处理的时间成本和人工成本。8.4.5.1.2 异常流量态势感知目前，DDoS攻击越来越频繁，尤其针对发达地区和重点业务。在127、2016年第一季度，全球范围内的DDoS攻击事件频发。从重大攻击事件分析，追逐利益仍然是黑客攻击的主要动机，“黑客主义”事件也在不断挑战重要单位的门户网站。在抗拒绝服务攻击方面，可以对全网流量进行深度流检测，具有网络流量自学习功能，与同类产品相比误报率降低80%以上。网络流量分析系统可以准确发现DDoS攻击事件并掌握攻击源、攻击目的、攻击总流量和峰值流量，协助客户准确掌握网络DDoS攻击态势。8.4.5.1.3 僵木蠕态势感知僵尸网络、木马、蠕虫病毒三者合称“僵木蠕”。僵木蠕对互联网和单位内部网络危害非常巨大。僵木蠕消耗大量网络带宽，引起ARP攻击等问题，造成骨干网络瘫痪。同时受到僵木蠕传染的128、主机受到命令控制服务器的控制，成为DDoS攻击的帮凶。更为严重的是，目前大多数僵木蠕的命令控制服务器位于海外，对国家网络安全造成严重的威胁。针对僵木蠕的传播特点，对网络上传播的僵木蠕进行识别，并追踪溯源僵木蠕的传播路径、控制命令路径，最终追踪溯源发现命令控制服务器。通过发现的命令控制服务器，再反查受控主机，最终实现对僵木蠕网络态势的感知，为后续采取行动打击僵木蠕创造条件8.4.5.1.4 系统漏洞态势感知黑客攻击本质上是利用系统存在的安全漏洞对系统进行危害。因此要避免黑客攻击，一个重要的安全防护手段就是在黑客之前发现重要信息系统存在的脆弱性问题，并进行修补，做到防患于未然。依托漏洞扫描系统，可129、以发现网络信息系统脆弱性，形成脆弱性态势感知。8.4.5.1.5 网站安全态势感知网站作为网络信息系统对外提供服务的重要窗口，面临的安全威胁也是最多的。对重要网站信息系统的黑客攻击，不仅会对网站造成严重破坏，还会让黑客能够利用被黑网站对网站浏览者进行攻击，造成更为恶劣的影响。因此，需要对网站的安全态势进行监控，及时发现网站安全问题。网站安全态势感知，可以及时监控到网站漏洞情况，发现网站挂马、网页篡改、域名劫持等黑客攻击行为，对网站平稳度、网站敏感内容等进行持续监控，并有效进行运维管理，从而避免因为网站出现问题导致公众问题。8.4.6 终端安全在运维管理区，部署防病毒管控中心。8.4.6.1 产130、品功能8.4.6.1.1 领先的云引擎防病毒管控中心为单位提供数倍于传统单位杀毒软件的能力的同时，终端资源占用相对于传统本地库的杀毒软件大为降低。8.4.6.1.2 边界联动防御通过对外界程序进入电脑的监控，与云端及动态行为分析系统联动，阻止威胁于入口之外，拦截私有敏感行为，迅速发现未知新威胁,使其在尚未被运行时即可被判定为安全或不安全，上报至信息管理中心，便于追溯恶意程序的来源、感染路径。这样管理员清晰找出单位内部边防的薄弱地带，最大限度地保障对单位内部计算机的安全防护。8.4.6.1.3 动态行为分析对通过边界联动防御上报来的未知文件，进行全生命周期内的行为分析。在规模化的虚拟机中分析文件131、的进程操作行为、文件操作行为、系统配置操作行为、网络通信行为等关键行为，提供系统运行过程中的截图；通过这些行为组合综合判断是否为安全的文件。8.4.6.1.4 铠甲防御系统铠甲防御技术中的行为拦截模式，是基于多步行为的综合判定，是拥有广谱特征匹配的启发式行为判定。拥有广谱特征匹配的启发式行为判定就是指一个规则可以对应很多种的行为和一些行为的变种。通过熵，SVM，人脸识别算法等铠甲防御是全新架构的防御体系，拥有超强抽象能力的本地行为启发引擎，拥有很强的自我学习能力，无需频繁升级病毒特征库，就能直接查杀未知新病毒，尤其是在流行病毒的变种分析上，结合火眼行为分析，大幅度提升防御与病毒检出能力。8.4132、.6.1.5 虚拟化支持同无代理保护一样，轻客户端模式在系统中心也集成一个任务调度系统，负责所有高性能消耗的工作调度。安装在虚拟机上的“轻终端”将快速响应调度器的统一指令，使得服务器整体时时刻刻保持很低的负载，从而将其对机器性能的影响降到最低。8.4.6.1.6 智能漏洞修复针对病毒利用系统漏洞传播的新趋势，防病毒管控中心率先采用了分布式的漏洞扫描及修复技术。管理员通过管理节点获取终端主动智能上报的漏洞信息，再精确部署漏洞修复程序；其通过代理下载修复程序的方式，极大地降低了网络对外带宽的占用。全网漏洞扫描及修复过程无需人工参与，且能够在终端用户未登录或以受限用户登录情况下进行。并且提供了对终端133、系统漏洞管理功能，可以精确的了解全网终端的系统漏洞情况。8.4.6.1.7 软件管理为便于管理员集中管理全网软件资产，防病毒管控中心提供软件统计、软件禁用管理、软件卸载管理、软件分发管理功能，构建由软资产采集到软件行为监控再到软件行为管理的立体式软资产管理模型。大幅度提高工作效率降低管理成本。8.4.6.1.8 系统优化防病毒管控中心提供了系统优化功能，有效的帮助用户对开机启动项目进行管理，找到影响开机速度、影响电脑运行效率的软件，通过系统优化功能提升系统的运行效率，降低不必要的资源消耗。8.4.6.1.9 垃圾清理防病毒管控中心系统的垃圾清理新增52项清理垃圾规则和21项痕迹清理规则，提供的134、垃圾清理功能，能够协助终端用户对上网产生的垃圾文件、看视频和听音乐产生的缓存以及Windows系统产生的垃圾文件进行有效的清除；清除使用计算机时留下的各种痕迹，有效保护个人隐私；清理注册表可以加快系统速度。保证电脑快速健康的运转。8.4.7 数据库审计及统方监管在运维管理区，部署数据库审计系统，通过对医院的海量、无序的数据库访问操作进行整理及分析，按需记录工作人员对数据库的操作行为，提供丰富的检索和关联分析，输出完整的事件报告，供相关人员分析。8.4.7.1 产品功能8.4.7.2 全面数据库入侵监控本系统支持全局策略配置，根据【数据库类型】和【业务类型】添加不同的规则组，可引用不同的数据库开135、启监控策略，以提供业界最为全面的数据库攻击行为监控技术：l 漏洞攻击检测技术：针对CVE公布的漏洞库，提供漏洞特征检测技术；l SQL注入监控技术：提供SQL注入特征库；l 高危访问监控技术：在指定时间周期内，根据不同的访问来源，如：客户单IP、数据库用户、MAC地址、操作系统、主机名，以及应用关联的用户、ip等元素设置访问策略；l 高危操作控制技术：针对不同访问来源，提供对数据库表、函数、存储过程等对象的高危操作行为监控，l 返回行超标监控技术：提供对敏感表的返回行数监控；8.4.7.3 快速的入库检索本系统具备高效的日志检索能力，实现审计记录的快速查询。当设备旁路进入网络，即可对添加的数据136、库进行协议解析，并对解析内容快速入库建立索引文件。从而在审计分析时实现高效的查询机制。索引文件和数据表文件如果损坏，系统会启用自动修复机制，以确保系统日志查询时的有效性和准确性。8.4.7.4 准确的识别定位本系统提供强大的应用行为描述方法，并结合数据库行为建模，将误报率降低为“零”。本系统基于精确应用关联审计功能，通过关联应用层的访问和数据库层的访问操作请求，可以追溯到应用层的原始访问者及请求信息（如：操作发生的URL、客户端的IP等信息），以确定符合数据库操作请求的WEB访问，通过应用关联审计精准的定位事件发生前后所有层面的访问及操作请求。产品提供多种查询条件，并实现正向和逆向查询检索，基137、于时间、原地址、对象、关键字等十几种审计要素进行信息筛选，8.4.7.5 节约合规成本为迎合等保法规对安全审计产品日志存储的要求，本系统引用高压缩比数据存储机制。根据设置可自动对审计日志进行备份和压缩存储到系统硬盘。产品支持审计日志导出和外挂存储能力。可有效的确保三个月或半年的百亿级日志存储。系统提出【高压缩】和【高性能】两种日志备份存储方案，以满足不同现场压力下的备份存储机制有效运行。8.4.8 终端准入在运维管理区，部署终端准入系统，广泛地结合用户已有的交换机、杀毒软件、AD域、LDAP服务器等，并完全实践了“入网-在网-出网”的整体化流程。能够达到“违规不入网、入网必合规”的管理规范。8138、.4.8.1 产品功能8.4.8.1.1 边界控制管理对于国内大部分机构而言，内部网络环境都混合了多厂商的设备，终端准入系统遍历各种交换、路由设备制造商，能够兼容国内各种混合网络环境，在此基础上提供从802.1x、PBR（PolicyBased-Routing）、MVG的各种边界控制强度的实现方案，终端准入系统准入控制系统是真正适合国内网络环境的方案，也是众多用户的第一选择。利用各种网络控制技术，实现在各种网络环境下适应性，终端准入系统能够帮助用户快速实现对于内网边界的规划。可以实现基于接入层边界的控制和基于重要资源边界的控制。8.4.8.1.2 人员认证管理终端准入系统能够提供广泛的身份认证139、功能，以及基于人员角色的权限控制功能，从而在识别、授权、审计等多个角度对内网边界设立好人员管理的第一道防线。l 本地用户名/密码通过管理者在终端准入系统中内建用户名/密码，具有中小规模网络的机构能够迅速地对所有接入内网安全边界的人员进行识别和授权。由于提供了相当大限度的自定义字段，管理者能够对每个人员的身份特征进行描述，从而便于在后期进行更为详细的入网审计和统计。l Email绝大多数机构都内建了E-mail系统，利用POP3协议及其他邮件协议，终端准入系统能够和机构已有的E-mail系统进行身份衔接。用户在入网时能够凭借已有的邮箱/口令进行快速认证，并得到相应的访问授权。l RadiusRa140、dius协议是具有广泛应用基础的认证/授权/计费标准，在包括802.1x、交换机安全登录、VPN拨号等诸多环境中都能够提供唯一的、有力的支撑。终端准入系统从大量的802.1x部署环境中获取了与第三方Radius Server联动的丰富经验，在各种Radius环境下均能够迅速实现用户的识别与认证。l LDAPLDAP（Lightweight Directory Access Protocol）是相比Radius更为专业的得到关于人或资源的集中及静态数据的快速方式。被广泛运用于利用数字证书进行人员识别的系统中。终端准入系统能够对众多基于LDAP的认证系统进行身份认证联动，在提取出其中的用户信息后进141、行相关的用户认证、审计和授权管理。l AD域AD（Active Directory）是基于Windows系统的强大而有效的安全管理工具。由于在目录中包含了有关各种对象（例如：用户、用户组、计算机、域、组织单位（OU）以及安全策略）的信息，终端准入系统能够从中获取到相比其他认证系统/接口更为详细的管理信息。终端准入系统优秀的AD同步功能能够一次性或按需从AD中自动请求有关用户的所有相关字段，配合已部署的AD域实现安全准入功能。终端准入系统还能够提供AD域环境下的单点登录，为机构提供更多的管理便捷性。l 短信在管理者登记了所有授权入网用户的移动电话后，终端准入系统能够迅速跟运营商或用户网络中的短信142、平台进行结合，为入网用户提供更方便的利用动态短信验证码进行认证的入网访问验证方式。结合终端准入系统自建的用户名+密码认证方式，还可以搭建静态+动态密码的双因素认证，从而为机构提供更高层次的安全接入保障。提供自主研发的短信Modem，可以获得与终端准入系统更高的集成性和稳定性。l 生物指纹随着生物信息技术的发展，利用个人特征进行识别的人员管理模式在众多行业的管理模式中均得到了应用，如虹膜、指纹、语音等。由于这些生物特征具有唯一性和永久性，且无需人员进行预先设置和记忆，因此具有其他记忆和携带类认证方式所不具有的突出优点。终端准入系统在行业内率先推出了与众多品牌个人指纹识别系统进行结合的身份认证模块143、，能够利用用户的指纹识别系统作为入网人员身份的采集点，并结合内置的角色管理、授权审计模块进行更细致的人员入网访问管理，从而更适合高端用户基于边界的用户认证管理需求。l 其他第三方认证方式终端准入系统提供了行业内领先的第三方认证接口API，您可以通过网络中已有的各种身份系统与终端准入系统进行无缝对接，终端准入系统能够从各种以其他方式存储账号/口令的第三方系统（如OA服务器等）获取到需要进行授权的人员信息，并结合机构所制定的安全策略进行相应的角色划分和访问授权。8.4.8.1.3 设备规范管理机构自身的安全规范是隐居于抽屉、文件夹或墙头真正的安全管理高手，准入控制的意义就在于释放出安全规范中所包含144、的真正的安全意蕴，遵循ISMS的框架性指导，用技术平台的手段实现安全规范的意义，管理者的思路能够在终端准入系统中真正得到展示。终端准入系统充分利用了PDCA的管理模型，通过准入控制的技术手段加强了“Do”、“Check”和“Act”这3个在内网管理中传统的弱势环节。在终端准入系统数年所历经的大型网络用户中，积累了关于各行业的规范特征，并最终形成了更适合用户行业特点的核心规范库，终端准入系统的核心规范库与设备识别、用户认证、行为监测等共同构成了几十项的内网安全要素集合，这就克服了老旧控制技术单一利用MAC地址、用户认证等极少量安全要素进行管理的短板。l 通用规范终端准入系统所提供的机构内网安全管145、理的通用规范包括：设备识别根据IP、MAC、操作系统、硬盘ID系统指纹等特征完整地给出接入设备的形态，从而帮助管理者区分内部设备与外部设备，授权设备与非授权设备，已注册设备与未知设备等多种管理形态。用户认证依托于终端准入系统强大完善的认证系统，能够提供给管理者基于用户的角色管理，赋予不同的用户不同的访问权限、所使用设备的安全配置要素及网络行为准则。AV（Anti-Virus，防病毒软件）健康保障众多的机构都部署了防病毒软件，但在实际使用中往往存在漏装、不更新病毒库或杀毒引擎、或意外卸载的诸多问题，管理者定期的统计数据表明，国内机构内防病毒软件的安装/运行率一般徘徊在60%70%之间。因此，针对146、机构内防病毒软件的健康性保障系统是帮助管理者增强防御水平，降低管理成本的有效手段。终端准入系统能够针对主流的十几类杀毒软件进行健康性保障，基于用户所规划的边界，确保在终端设备接入边界时就自动提升杀毒软件的健康程度，从而在终端设备最重要的安全配置上实施强制管理。系统补丁（Patch）健康保障如果操作系统不及时更新补丁，那么任何漏洞都会变成0day威胁，从而对设备、使用者甚至是机构造成巨大的威胁和损失。终端准入系统依托于Microsoft每月补丁更新，及自身专业补丁检测团队，为用户提供更合适的补丁分级管理机制，确保检测过的补丁具有更高的稳定性和安全针对性。由于终端准入系统自身集成了补丁服务器功能，147、因此不需要用户额外搭建WSUS等补丁设施，从而有效降低了内网管理的TCO。l 行业特征规范医疗卫生类似于金融机构所拥有的消费及账号信息，医疗机构中存储的大量医药、患者信息由于其重要性及涉及到的非法利益链，日益成为网络安全事件的焦点所在，而在众多医疗机构纷纷加固服务器自身安全的同时，内网边界的模糊、内网接入终端的缺乏管理、人员控制成为了自身的另一块短板。终端准入系统在大量医疗机构中搭建了防御于服务器区域之前的坚强壁垒，通过强大的控制系统，终端准入系统能够在内网接入层边界进行布防，利用设备识别/用户认证/hub及NAT管理等手段进行严密的内网接入规范。终端准入系统提供的近30项安全要素规范库，能够148、充分满足企业机构对接入终端设备多样性的安全配置及安全操作要求。另外在终端准入系统的规范系统中还提供了行业内最全面的来宾管理模块，依据管理严格度从低到高可以分别配置为：禁止访客非授权入网；对试图入网的访客进行有效审计；对部分访客进行审核后允许入网；访客入网后权限受到控制；明确访客访问的内部员工对象，进行一对一监管；访客入网有时效限制，超过规定时间自动出网，如需入网则必须再次向管理员申请等。8.4.8.1.4 操作行为管理出于对NAC理念全面理解的终端准入系统，除了在边界位置履行对人员和设备控制的基本NAC职责外，更提供了延续到人员和设备入网后的行为、状态变更、维护等综合管理。能够在用户及设备入网149、后，提供机构管理策略的延展性，可配置的策略能够搭建用户/设备入网后的全面管理规范，包括：l 对用户各种操作的监控和响应：ip更改违规软件使用必须安装软件随意卸载网络访问操作安全检查违规l 计算机设备状态变更的监控和响应设备变更系统环境变更入/出网状态变更开/关机状态变更l 计算机设备的统一维护管理类别管理设备信息管理软件分发服务管理终端探测l 违规外联管控（单独授权模块）终端外联行为检测终端外联行为阻断外联行为记录违规外联报警l U盘数据加密管控（单独授权模块）U盘强制加密U盘注册审核U盘使用权限控制非法U盘禁用l 资产管理（单独授权模块）终端硬件资产信息收集终端软件资产信息收集终端硬件资产变150、动收集终端软件资产变动收集终端资产变动排行l 任务管控终端软件安装包分发终端批处理脚本分发终端消息通知分发入网后，直至设备出网或下线的管理保证了接入控制的延续性，同时更符合机构对各类规范/制度的连续性要求，确保网络管理与维护者的工作不存在盲点和漏洞，准入控制也真正成为一个能够维系和把控内网各种流程安全的平台性方案。8.4.8.1.5 视角报表管理终端准入系统中提供多种查看安全威胁点的方法和方式。系统使用人员可以从自己关注的起始点出发逐级进行查看。所有安全状态均提供了丰富的报表输出。l 基于网络管理的整体视图架设在用户网络中的终端准入系统能够对网络设备进行自动发现，同时能够利用telnet、sn151、mp、ssh等方式对机构的所有网络设备（switch、router、firewall、vpn等）进行更全面的统一管理，通过优化的算法，为用户快速生成全网的整体视图。利用终端准入系统的整体网络视图，用户能够直观地获得所辖网络的基础设施资产概况、物理分布、连接状况、地址分配、所有物理位置的接入设备状况利用报表系统，终端准入系统能够帮助管理者统计出全网接入设备的数量；利用网络整体视图，管理者则能够进一步明确接入设备的位置和分布状况。l 基于端口的空间定位在整体视图的基础上，终端准入系统能够勾勒出所有网络设备的面板视图，并展现出各个端口的运行状态，从而从物理位置/空间角度更形象地向用户传递所有即时接入152、信息。利用递进式的展现页面，管理者更能够获取到从端口到下联设备、设备安全状况直至设备详情的4层安全信息。l 事件/时间交互定位在大部分的网络安全方案忽视/忽略时间维度的情况下，终端准入系统能够在行业内提供领先的时间维度的安全定位。通过将所有事件（入网、出网、上线、下线、认证、评估、监测等）以时间维度进行串联，管理者能够获取到以时间段为中心轴的事件体系报告，从而能够对时间进行事件定位；终端准入系统还支持通过查询事件得出对应的时间报表，并得出事件的时间分布状况，以及同一类型的事件的归类视图。通过事件/时间的交互定位管理，管理者能够对网络中深层次的运维状况进行具有连续性的统计和管理，将所有的接入网络153、/组成网络的终端进行归纳，形成一个不断发展，不断治理的内网管理体系。8.4.9 日志审计建设8.4.9.1 建设方案在运维管理区中旁路部署日志审计系统，针对大量分散设备的异构日志进行集中采集、统一管理、存储、统计分析，满足等保合规要求、高效统一管理资产日志并为安全事件的事后取证提供依据。8.4.9.2 产品介绍绿盟安全审计系统日志审计(NSFOCUS SASL)包含日志采集、日志管理、资产管理、事件管理、告警管理、报表管理、系统管理以及用户管理等八大核心功能。通过内置的日志采集功能可实时采集不同厂商的安全设备、网络设备、主机、操作系统以及各种应用系统产生的日志信息，然后经过统一的日志管理过程，154、如日志范式化处理等，将采集来的海量的异构的日志信息进行集中化的解析和存储，结合资产管理模块、事件告警模块的相关规则以及配置，形成事件告警信息，用户可基于这些进行原始日志、范式化日志以及事件、告警等信息的查询，并可通过丰富灵活的日志报表功能进行可视化的查看，实现对日志的全生命周期管理。采用当前最为流行高效的大数据架构，支持高性能的多端口采集、高适应性的日志采集，可基于主流协议实时采集不同厂商的安全设备、网络设备、主机、操作系统以及各种应用系统产生的日志信息。经过高效的统一处理日志，结合基于规则的事件分析以及交互式语义提供非常灵活的事件分析规则以及交互式查询方式，提供内置的丰富报表模版、灵活自定义155、的报表模版功能、可按需配置的可视化统计图表。此外，绿盟安全审计系统日志审计(NSFOCUS SASL)提供可灵活扩展的存储方案，可满足等保合规等法律法规规定的日志存储需要。l 全面集中的日志管理支持SYSLOG、SNMP Trap、FTP、SFTP、JDBC、ODBC、Net flow等多种日志采集方式，支持但不限于网络设备，如交换机、路由器、网关等。安全设备，如防火墙、入侵防护、网闸、防毒墙等。安全系统，如身份认证系统、授权管理系统等。应用系统，如邮件系统、OA系统、数据库系统、中间件系统等。业务系统，如ERP系统、CRM系统等。绿盟安全审计系统日志审计(NSFOCUS SASL)可以支持有156、代理和无代理两种日志采集方式和多种标准协议。通过数据采集、数据理解引擎、数据抽取和数据清洗等操作，将各种应用系统和设备的日志进行预处理，帮助管理员把海量日志进行去噪，提取其中人们事先不知道，但潜在有用的信息和知识，进行事件关联分析。一. l 独家数据强化技术根据绿盟科技对攻防研究的长期积累，提供一套简洁有效的日志统一分类，使用独有的技术将日志快速标准化，并基于安全分析需要进行数据的过滤和强化，丢弃无法用的噪音信息，提升日志查询和分析效率。l 海量的日志处理能力使用大数据技术，在并发内存内处理机制方面能够带来数倍于其它采用磁盘访问方式的解决方案，借助离线计算引擎在小时级别内，即可完成对海量日志的157、处理。8.4.9.3 方案效益满足中华人民共和国网络安全法、信息系统安全等级保护基本要求以及其他行业的合规性要求：中华人民共和国网络安全法中：第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；（四）采取数据分类158、重要数据备份和加密等措施；（五）法律、行政法规规定的其他义务。信息系统安全等级保护基本要求：网络安全：安全审计（G2）：应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录；8.5 安全服务8.5.1 安全漏洞扫描服务8.5.1.1 服务范围安全漏洞扫描服务可以为客户提供包括网络设备、操作系统、数据库、常见应用服务器以及WEB应用等范围的扫描。漏洞扫描的详细服务范围如下：u 操作系统Windows、发行版Linux、AIX、UNIX通用、Solaris、FreeBSD、HP-UX、BSD等主流操作系统。u 数据库Oracle、MySQL、MSSQL、Sybase、DB2、I下一159、代防火墙ormix等主流数据库。u 常见应用服务Apache、IIS、Tomcat、Weblogic等主流应用服务，常见FTP、EMAIL、DNS、TELENT、POP3、SNMP、SMTP、Proxy、RPC服务等。u Web应用程序ASP、PHP、JSP、.NET、Perl、Python、Shell等语言编写的WEB应用程序。u 网络设备常见的路由器、交换机等设备。8.5.1.2 服务内容安全漏洞扫描会对信息系统内的网络设备、操作系统、应用软件、中间件和服务等进行安全漏洞识别，详细内容如下：8.5.1.2.1 网络层漏洞识别u 版本漏洞，包括但不限于IOS存在的漏洞，涉及包括所有在线网络设160、备及安全设备。u 开放服务，包括但不限于路由器开放的Web管理界面、其他管理方式等。u 空弱口令，例如空/弱telnet口令、snmp口令等。u 网络资源的访问控制：检测到无线访问点，u 域名系统：ISC BIND SIG资源记录无效过期时间拒绝服务攻击漏洞，Microsoft Windows DNS拒绝服务攻击，u 路由器：Cisco IOS Web配置接口安全认证可被绕过，Nortel交换机/路由器缺省口令漏洞，华为网络设备没有设置口令，u 8.5.1.2.2 操作系统层漏洞识别u 操作系统（包括Windows、AIX和Linux、HPUX、Solaris、VMware等）的系统补丁、漏洞161、病毒等各类异常缺陷，u 空/弱口令系统帐户检测u 例如：身份认证：通过telnet进行口令猜测，u 访问控制：注册表HKEY_LOCAL_MACHINE普通用户可写，远程主机允许匿名FTP登录，ftp服务器存在匿名可写目录，u 系统漏洞：System V系统Login远程缓冲区溢出漏洞，Microsoft Windows Locator服务远程缓冲区溢出漏洞，u 安全配置问题：部分SMB用户存在薄弱口令，试图使用rsh登录进入远程系统，u 8.5.1.2.3 应用层漏洞识别u 应用程序（包括但不限于数据库Oracle、DB2、MS SQL，Web服务，如Apache、WebSphere、To162、mcat、IIS等，其他SSH、FTP等）缺失补丁或版本漏洞检测，u 空弱口令应用帐户检测。u 数据库软件：Oracle tnslsnr没有设置口令，Microsoft SQL Server 2000 Resolution服务多个安全漏洞，u Web服务器：Apache Mod_SSL/Apache-SSL远程缓冲区溢出漏洞，Microsoft IIS 5.0 .printer ISAPI远程缓冲区溢出，Sun ONE/iPlanet Web服务程序分块编码传输漏洞，u 电子邮件系统：Sendmail头处理远程溢出漏洞，Microsoft Windows 2000 SMTP服务认证错误漏洞，u163、 防火墙及应用网管系统：Axent Raptor防火墙拒绝服务漏洞，u 其它网络服务系统：Wingate POP3 USER命令远程溢出漏洞，Linux系统LPRng远程格式化串漏洞，u 8.5.1.3 服务流程整个安全漏洞扫描服务的流程分为三个阶段：准备阶段、扫描过程和报告汇报。通过这三个阶段结合安全漏洞扫描内容和实际客户系统情况，完成安全漏洞扫描服务。 准备阶段：前期技术交流包括相关安全扫描技术、扫描原理、扫描方式及扫描条件进行交流和说明；同时商谈安全漏洞扫描服务的范围，主要是哪些主机，网络设备，应用系统等；并结合实际业务情况需求，确定扫描范围，扫描实施的时间，设备接入点，IP地址的预留，164、配合人员及其他相关的整体漏扫方案。扫描过程：依据前期准备阶段的漏扫方案，进行漏洞扫描、漏洞分析和漏洞测试，扫描过程主要是进行范围内的漏洞信息数据收集，为下一步的报告撰写提供依据和数据来源。漏洞扫描，主要采用远程安全评估系统进行范围内的安全扫描。漏洞分析，主要是对扫描结果进行分析，安全工程师会结合扫描结果和实际客户系统状况，进行安全分析。漏洞验证，对部分需要人工确定和安全分析的漏洞，进行手工测试，以确定其准确性和风险性。报告与汇报：这个阶段主要对现场进行扫描后的数据进行安全分析，安全工程师对远程安全评估系统输出的报告，漏洞分析结果及漏洞测试具体情况进行综合梳理，分析，总结。最后给出符合客户信息系165、统实际情况的安全需求的安全建议。8.5.1.4 服务报告安全工程师在实施安全漏洞扫描服务过程中，严格按照安全服务的流程，在现场进行安全扫描方案实施漏洞扫描后，会在两个工作日（需根据扫描对象的数量进行实际调整）内出示一份漏洞扫描报告。报告名称如下：u 系统安全漏洞扫描报告u IP地址段安全漏洞扫描报告报告中，会对此次扫描服务范围内的安全状况进行一个整体概述，对主机系统，网络设备，开放服务和漏洞情况进行一个统计。还包括弱口令，每个主机的安全扫描报告。以上内容会通过表格，饼状图，柱状图直观地表现漏洞情况和安全情况。评估人员将会根据漏洞扫描的结果针对每个漏洞进行详细描述，描述内容至少包括了漏洞厂商、威166、胁目标、危险级别、危害描述、检测依据以及提供的详细解决方案等。除此之外，评估人员还将结合检测目标的具体应用提出深层次的安全建议，为管理人员的后期维护提供参考。8.5.1.5 服务注意事项及措施漏洞扫描是一项风险比较高的测试活动，扫描不当可能导致被扫描目标发生服务性能下降、影响其可用性。漏洞扫描还会尝试部分漏洞或者配置的脆弱性验证，可能会与原有的管理发生冲突，这些可以在扫描方案确定前进行沟通和交流，以此降低风险。扫描实施的时间选择，最好是避免业务高峰期和重要时期内。通过以下手段降低服务过程中的各种风险。u 专业设备服务中采用技自主研发的漏洞评估产品进行扫描。漏洞评估产品已通过西海岸实验室的权威检167、测认证，在全球占据较大的市场份额，用户群体包括运营商、军工、能源、金融、政府、中小单位等各行各业。凭借强大的技术实力，产品一直深受客户好评，普遍反映产品工作稳定可靠，漏洞检测准确、不影响系统的正常运行。u 解决方案验证在将具体的漏洞解决方案提交给客户前，扫描人员会进行必要的验证，确保漏洞可以被安全修补，也不会导致扫描目标工作异常。u 数据加密客户提供的任何信息以及扫描人员测试所获得的数据均属于客户的机密数据，有义务保护好这些数据，不将其泄露给第三方个人或组织。为了保证客户信息的安全性，所有扫描人员获得的客户数据（包括客户联系方式、被测目标的相关信息，如应用、漏洞列表等）均采用加密方式存储，并且168、仅在项目范围内扩散；所有与客户之间的数据交互（电话除外）均采用SSL加密传输，包括电子邮件、直接U盘拷贝等。u 管理监控为了确保扫描人员严格按照秘密保护管理办法执行客户相关信息的保密工作，公司安排了专门的人员实时负责监督和纠正扫描人员工作中可能出现的危害的客户信息安全的行为。u 操作记录扫描人员会对服务过程中的每一个关键环节进行详细的记录，包括什么时候收到客户信息、什么时候进行了哪些工作等等，以便出现意外后进行追查。在服务过程中，扫描人员若需要对被测系统进行任何操作，均会在操作之前以电话（或邮件）等形式通知客户，在取得客户同意后开始工作。8.5.2 安全加固服务8.5.2.1 服务范围安全加固169、服务范围包括各种网络设备、安全设备、主机操作系统、数据库、常见中间件及网络服务应用等。详细如下表所示：加固分类加固范围详细描述网路设备加固主流网络设备、安全设备：u Cisco、华为、Juniper等路由器u Cisco、华为、Juniper等交换机u 其他厂商设备：防火墙、入侵检测、入侵防御设备、防毒墙、垃圾邮件等主机操作系统加固主流主机操作系统：u 微软Windows系列操作系统，Windows 2000/2003/2008等u 各类Linux系列操作系统，Redhat、Ubuntu、Debian等u 各类Unix系列操作系统，Solaris、AIX、HP-UX、BSD等数据库加固主流数据170、库：u 微软MSSQL系列，SQL Sever 2000/2005/2008等u 甲骨文Oracle系列，Oracle 9i/10g/11g等u 其他数据库，MySQL、DB2、Sybase、Informix等常见中间件及网络服务加固常见中间件及网络服务应用：u Web服务类，IIS6.0、IIS7.0、Apache、Tomcat、Weblogic、Nginx、WebSphere等u DNS服务类，Bind 8、Bind 9等u FTP服务类，ServU、MS IIS FTP等u 其他常见网络服务，MAIL、Proxy、POP3、SMTP等8.5.2.2 服务内容安全加固服务并非直接的服务过程171、，需要通过前期对系统的资产调查、扫描、人工检查和分析等过程，才可执行安全加固。安全加固前需提出系统的安全加固方案，在加固过程中可能产生对系统的不同程度、不同方面的影响，因此，安全加固的方案内容需综合考虑实际情况，针对不同的风险选择不同的策略。安全加固服务的一般性内容如下：8.5.2.2.1 网络设备加固内容网络设备安全加固包含但不限于以下内容：u OS升级u 帐号和口令管理u 认证和授权策略调整u 网络与服务加固u 访问控制策略增强u 通讯协议、路由协议加固u 日志审核策略增强u 加密管理加固u 设备其他安全配置增强u 8.5.2.2.2 主机操作系统加固内容主机操作系统安全加固包含但不限于以172、下内容：u 系统漏洞补丁管理u 帐号和口令管理u 认证、授权策略调整u 网络与服务、进程和启动加固u 文件系统权限增强u 访问控制管理u 通讯协议加固u 日志审核功能增强u 防DDOS攻击增强u 剩余信息保护u 其他安全配置增强u 8.5.2.2.3 数据库加固内容数据库安全加固包含但不限于以下内容：u 漏洞补丁管理u 帐号和口令管理u 认证、授权策略调整u 访问控制管理u 通讯协议加固u 日志审核功能增强u 其他安全配置增强u 8.5.2.2.4 中间件及常见网络服务加固内容中间件及常见网络服务安全加固包含但不限于以下内容：u 漏洞补丁管理u 帐号和口令管理u 认证、授权策略调整u 通讯协议173、加固u 日志审核功能增强u 其他安全配置增强u 8.5.2.3 服务流程为了保证客户信息系统的可用性，安全加固服务会按照科学、合理的流程实施，依据安全检查和漏洞扫描结果和安全建议，结合信息系统的实际运行情况，写出具有实际可操作性、可行的安全加固方案。具体加固方案和加固实施，会反复进行多次评估其可行性，不会对原有系统的稳定性造成影响，方会实施加固。在保障可用性的基础上，尽可能的提高系统的安全性，逐个加固项都会有加固对象和影响范围和回退方案。回退方案是业务正常运行的必要步骤，必要时会在实验环境的条件下，进行加固实验，把握最小影响原则、规范性原则、整体性原则。在具体实施过程中，一旦发现出现异常，则进174、行回退操作。最后会进行加固项的统计，对不能加固的项，则采取其他措施来实现安全互补，或者默认接受并记录在案。具体安全加固服务工作流程如下：8.5.2.4 服务报告安全工程师在实施安全加固服务过程中，严格按照安全加固服务的流程，在现场进行安全加固方案实施后，会在两个工作日内出示一份安全加固报告（根据加固数量需按实际情况调整）。加固报告是向用户提供完成网络与应用系统加固和优化服务后的最终报告。一般名称为：系统安全加固报告或设备安全加固报告，其中包含以下内容：1、 对加固过程的完整记录2、 对加固系统安全审计结果3、 有关系统安全管理方面的建议或解决方案报告中，会对此次安全加固服务的范围进行一个整体概175、述，并详细记录每一个加固项及加固结果。对于未能实施加固的项进行详细说明，并提出安全补救措施和安全专家建议。除此之外，加固人员还将结合具体应用提出深层次的安全建议，为管理人员的后期维护提供参考。8.5.2.5 服务注意事项8.5.2.5.1 安全加固中的可能风险步骤安全加固过程中可能带来的风险的步骤有如下几个方面：1、 网络设备u 升级OS：可能导致网络设备无法正常工作（事先需对OS、配置文件进行备份，一旦发现问题立即退回）；u 根据安全要求配置访问列表：可能导致某些用户无法访问、管理复杂度上升（改回即可恢复）；u 关闭不必要的服务：可能导致部分相关服务不可用，改动前需经网络管理员确认（改回即可176、恢复）；u 对路由协议进行安全配置：可能导致网络连接不正常（改回即可恢复）；2、 主机操作系统u 安装Patch：可能会导致某些特定的服务不可用甚至主机崩溃（尽量采用可卸载的Patch安装方式，如无法卸载则我司根据以往的经验以及被加固主机的应用特点提出的建议，由管理员最终确认）；u 修改配置文件禁止某些默认用户登陆：可能导致某些特定服务不可用（改回配置文件即可恢复）；u 停掉某些不必要的系统服务：可能导致某些应用程序不可用，需管理员事先确认（重新启动服务即可恢复）；u 对主机上的某些应用程序进行升级或对配置文件进行调整，以增强安全性：可能导致应用程序运行不正常（改回配置即可恢复）；u 文件系统177、加固，调整重要系统文件的安全属性和存取权限：可能导致某些程序无法正常运行（改回属性和权限即可恢复）；3、 数据库u 针对系统平台选择安装数据库Patch：可能导致数据库无法正常工作，其他依赖于数据库的应用程序也将受到影响（根据我司的实施经验由实施工程师提出建议，由数据库管理员进行确认，必要时可咨询厂商技术人员）；u 将数据库某些帐户的密码改为强壮的密码：可能导致某些登陆数据库的应用程序需要重新设置（加固前通知相关应用系统管理员，同时设置应用程序）；u 禁止数据库系统使用不必要的网络协议：可能导致某些依赖于相关协议的应用程序无法正常工作（改动前需由数据库管理员进行确认）；u 正确分配数据库相关文178、件的访问权限：可能导致被遗漏的用户无法访问相关文件（重新设置即可）；u 删除无用的存储过程或扩展存储过程：可能导致数据库的某些功能无法使用，实施前需经数据库管理员确认。4、 中间件及常见网络服务u 针对系统平台选择安装中间件或网络服务Patch：可能导致中间件或网络服务无法正常工作，其他依赖于这些中间件的应用程序也将受到影响（根据我司的实施经验由实施工程师提出建议，由系统管理员进行确认，必要时可咨询厂商技术人员）；u 修改某些默认的安全配置：可能导致某些关联的程序不可用，需管理员事先确认（修改回原来的配置即可恢复）。8.5.2.5.2 安全加固中的风险规避手段安全加固服务是一项有风险的实施活动179、，安全加固不当可能导致被加固目标发生服务无法使用、影响其可用性。安全加固服务已经对原有的系统配置进行了改变，可能会与原有的管理发生冲突，这些可以在加固方案确定前进行沟通和交流，以此降低风险。加固实施的时间选择，最好避免业务高峰期和重要时期等。通过以下手段实行风险规避，降低服务过程中的各种风险。1、 充分的交流在确定加固方案之前，会与客户进行方案的深层次沟通，让客户知晓每一个安全加固项可能会给系统带来的影响，并结合实际情况和丰富的安全服务经验，确定安全加固实施的时间和范围。2、 加固方案验证在将具体的安全加固方案提交给客户前，加固人员会进行必要的验证，确保加固项不会导致加固目标工作异常。3、 数180、据加密客户提供的任何信息以及加固人员测试所获得的数据均属于客户的机密数据，有义务保护好这些数据，不将其泄露给第三方个人或组织。为了保证客户信息的安全性，所有加固人员获得的客户数据（包括客户联系方式、被加固目标的相关信息，如应用、加固内容等）均采用加密方式存储，并且仅在项目范围内扩散；所有与客户之间的数据交互（电话除外）均采用SSL加密传输，包括电子邮件、直接U盘拷贝等。4、 管理监控为了确保加固人员严格按照秘密保护管理办法执行客户相关信息的保密工作，公司安排了专门的人员实时负责监督和纠正加固人员工作中可能出现的危害的客户信息安全的行为。5、 操作记录加固人员会对项目过程中的每一个关键环节进行详181、细的记录，包括什么时候收到客户信息、什么时候进行了哪些工作等等，以便出现意外后进行追查。8.5.3 渗透测试服务8.5.3.1 服务范围渗透测试服务的范围主要包括了操作系统、应用系统、WEB程序和网络设备。操作系统包括：Windows、发行版Linux、AIX、Solaris、FreeBSD等主流系统。应用系统包括：Oracle、MySQL、MSSQL、Sybase、DB2、I下一代防火墙ormix等主流数据库，Apache、IIS、Tomcat、Weblogic等主流WEB服务器，FTP、DNS等主流应用服务器。WEB程序包括：ASP、PHP、JSP、.NET、Perl、Python、She182、ll等语言编写的WEB程序。网络设备包括：常见厂商的路由器、交换机等设备。8.5.3.2 服务方式目前，渗透测试服务根据测试的位置不同可以分为内部测试和外部测试；根据测试的方法不同分为黑盒测试和白盒测试两类；根据服务的周期不同分为单次服务和年度服务两种类型。8.5.3.2.1 内部测试和外部测试内部测试是指经过用户授权后，测试人员到达用户工作现场，根据用户的期望测试的目标直接接入到用户的办公网络甚至业务网络中。这种测试的好处就在于免去了测试人员从外部绕过防火墙、入侵保护等安全设备的工作。一般用于检测内部威胁源和路径。外部测试与内部测试相反，测试人员无需到达客户现场，直接从互联网访问用户的某个接183、入到互联网的系统并进行测试即可。这种测试往往是应用于那些关注门户站点的用户，主要用于检测外部威胁源和路径。8.5.3.2.2 黑盒测试和白盒测试黑盒测试是指测试人员对除目标系统的IP或域名以外的信息一无所知的情况下对系统发起的测试工作，这种方式可以较好的模拟黑客行为，了解外部恶意用户可能对系统带来的威胁。白盒测试则是指测试人员通过用户授权获取了部分信息的情况下进行的测试，如：目标系统的帐号、配置甚至源代码。这种情况用户模拟并检测内部的恶意用户可能为系统带来的威胁。8.5.3.3 服务流程渗透测试服务主要分为四个阶段，包括测试前期准备阶段、测试阶段实施、复测阶段实施以及成果汇报阶段：u 前期准备184、阶段在实施渗透测试工作前，技术人员会和客户对渗透测试服务相关的技术细节进行详细沟通。由此确认渗透测试的方案，方案内容主要包括确认的渗透测试范围、最终对象、测试方式、测试要求的时间等内容。同时，客户签署渗透测试授权书。u 测试阶段实施在测试实施过程中，测试人员首先使用自动化的安全扫描工具，完成初步的信息收集、服务判断、版本判断、补丁判断等工作。然后由人工的方式对安全扫描的结果进行人工的确认和分析。并且根据收集的各类信息进行人工的进一步渗透测试深入。结合自动化测试和人工测试两方的结果，测试人员需整理渗透测试服务的输出结果并编制渗透测试报告，最终提交客户和对报告内容进行沟通。u 复测阶段实施在经过第185、一次渗透测试报告提交和沟通后，等待客户针对渗透测试发现的问题整改或加固。经整改或加固后，测试人员进行回归测试，即二次复测。复测结束后提交给客户复测报告和对复测结果进行沟通。u 成果汇报阶段根据一次渗透测试和二次复测结果，整理渗透测试服务输出成果，最后汇报项目领导。8.5.3.4 服务报告在渗透测试实施工作完成后三个工作日内，渗透测试人员将出示一份渗透测试报告。根据测试结果，测试人员将针对每种威胁进行详细描述，描述内容至少包括了测试范围、过程、使用的技术手段以及获得的成果。除此之外，测试人员还将结合测试目标的具体威胁内容编写解决方案和相关的安全建议，为管理员的维护和修补工作提供参考。输出如下报告186、：u XX系统渗透测试报告8.5.3.5 服务注意事项为保障客户系统在渗透测试过程中稳定、安全的运转，我们将提供以下多种方式来进行风险规避。8.5.3.5.1 时间的控制从时间安排上，测试人员将将尽量避免在数据高峰时进行测试，以此来减小测试工作对被测试系统带来的压力。另外，测试人员在每次测试前也将通过电话、邮件等方式告知相关人员，以防止测试过程中出现意外情况。8.5.3.5.2 工具使用在使用工具测试的过程中，测试人员会通过设置线程、插件数量等参数来减少其对系统的压力，同时还会去除任何可能对目标系统带来危害的插件，如：远程溢出攻击类插件、拒绝服务攻击类插件等等。8.5.3.5.3 技术手段渗透187、测试人员都具有丰富的经验和技能，在每一步测试前都会预估可能带来的后果，对于可能产生影响的测试（如：溢出攻击）将被记录并跳过，并在随后与客户协商决定是否进行测试及测试方法。8.5.3.5.4 监控措施针对每一系统进行测试前，测试人员都会告知被测试系统管理员，并且在测试过程中会随时关注目标系统的负荷等信息，一旦出现任何异常，将会停止测试。8.5.3.5.5 目标对象的选择为更大程度的避免风险的产生，渗透测试还经常选择对备份系统进行测试。因为备份系统与在线系统所安装的应用和承载的数据差异较小，而其稳定性要求又比在线系统低，因此，选择对备份系统进行测试也是规避风险的一种常见方式。8.5.3.5.6 操188、作记录测试人员会在测试过程中形成操作记录文档，以便出现意外后进行追溯。8.5.3.5.7 沟通测试过程中，确定测试人员和客户方配合人员的联系方式，便于及时沟通并解决工程中的难点。8.5.4 应急演练服务8.5.4.1 服务范围安全应急演练服务的对象范围主要针对组织核心业务及支撑核心业务的资源、人员、组织、流程、场所，以及相关第三方单位、上下级单位等，在服务过程中，重点需要梳理和掌握单位的组织架构、人员情况、业务流程、相关资产、关联第三方以及与应急演练相关的文档等。8.5.4.2 演练形式开展安全应急演练可以采取不同方式进行，应急演练方式分为以下几种：u 按组织形式划分，安全应急演练可分为模拟演189、练和实战演练。模拟演练：模拟演练是指参演人员利用各种辅助手段（如流程图、计算机模拟、视频会议）对IT运行环境进行模拟，针对事先假定的系统信息安全事件的演练情景，讨论和推演应急决策及现场处置的过程，从而促进相关人员掌握应急预案中所规定的职责和程序，提高指挥决策和协同配合能力。实战演练：实战演练是指参演人员利用应急处置涉及的设备和物资，针对事先设置的突发事件情景及其后续的发展情景，通过实际决策、行动和操作，完成真实应急响应的过程，从而检验和提高相关人员的临场组织指挥、队伍调动、应急处置技能和后勤保障等应急能力。实战演练通常要在特定场所完成。u 按内容划分，应急演练可分为单项演练和综合演练。单项演练190、：单项演练是指涉及应急预案中特定应急响应功能或现场处置方案中一系列应急响应功能的演练活动。注重针对一个或少数几个参与单位（岗位）的特定环节和功能进行检验。综合演练：综合演练是指涉及应急预案中多项或全部应急响应功能的演练活动。注重对多个环节和功能进行检验，特别是对不同单位之间应急机制和联合应对能力的检验。u 按目的与作用划分，应急演练可分为检验性演练、示范性演练和研究性演练。检验性演练：检验性演练是指为检验应急预案的可行性、应急准备的充分性、应急机制的协调性及相关人员的应急处置能力而组织的演练，检验性演练通常采用随机演练方式：随机协商，检验真实应急水平，按照”随机、协商、安全、渐进”的原则。示范191、性演练：示范性演练是指为向观摩人员展示应急能力或提供示范教学，严格按照应急预案规定开展的表演性演练。研究性演练：研究性演练是指为研究和解决突发事件应急处置的重点、难点问题，试验新方案、新技术、新装备而组织的演练。在以往开展安全应急演练过程中，结合客户实际情况和行业经验将不同类型的演练相互组合，形成了专项模拟演练、综合模拟演练、专项实战演练、综合实战演练、示范性专项演练、示范性综合演练等。8.5.4.3 演练场景选择8.5.4.3.1 安全事件入口点安全事件的发生通常由几类固定的因素引起，在设计安全应急演练场景时，应考虑几种安全事件的入口点，下表列出几类场景入口供选择演练场景时参考：易发安全事件192、的场景入口分类场景入口触发的安全事件的相关类型基础环境类业务系统类安全事件类电力中断机房灾害硬件故障通讯中断系统故障入侵系统故障网络攻击信息泄露误操作软件故障通讯中断系统故障设备故障物理环境硬件故障通讯中断系统故障8.5.4.3.2 演练场景分类选择安全应急演练场景时可参照的常见事件包括机房灾害、硬件故障、软件故障、应用故障、通讯中断、安全事件等，包含的事件如下表所示：事件分类（安全应急演练场景）类型包含的事件基础环境类机房灾害电力中断空调中断UPS故障漏水硬件故障主机存储网络软件故障数据库中间件操作系统通讯中断局域网广域网互联网业务系统类系统故障核心业务A故障核心业务B故障安全事件类安全事件193、蠕虫（恶意代码）病毒木马DDOS入侵信息泄露网络攻击8.5.4.4 演练流程安全应急演练服务主要分为三个阶段，包括应急演练准备阶段、应急演练实施阶段和应急演练收尾阶段，在应急演练准备阶段提供演练计划咨询、演练方案设计撰写与修订、演练前培训等工作，并在应急演练实施和收尾阶段提供全程化的指导与咨询。整体流程如下图所示：8.5.4.4.1 演练准备（1）制定演练计划主要内容包括：u 确定演练目的，明确举办应急演练的原因、演练要解决的问题和期望达到的效果等。u 分析演练需求，在对事先设定事件的风险及应急预案进行认真分析的基础上，确定需调整的演练人员、需锻炼的技能、需检验的设备、需完善的应急处置流程和需194、进一步明确的职责等。u 确定演练范围，根据演练需求、经费、资源和时间等条件的限制，确定演练事件类型、等级、地域、参演机构及人数、演练方式等。演练需求和演练范围往往互为影响。u 安排演练准备与实施的日程计划，包括各种演练文件编写与审定的期限、物资器材准备的期限、演练实施的日期等。（2）设计演练方案主要内容包括：u 确定演练目标演练目标是需完成的主要演练任务及其达到的效果，一般说明”由谁在什么条件下完成什么任务，依据什么标准，取得什么效果”。演练目标应简单、具体、可量化、可实现。一次演练一般有若干项演练目标，每项演练目标都要在演练方案中有相应的事件和演练活动予以实现，并在演练评估中有相应的评估项目195、判断该目标的实现情况。u 设计演练情景与实施步骤演练情景要为演练活动提供初始条件，还要通过一系列的情景事件引导演练活动继续，直至演练完成。演练情景包括演练场景概述和演练场景清单。演练场景概述。要对每一处演练场景的概要说明，主要说明事件类别、发生的时间地点、发展速度、强度与危险性、受影响范围、人员和物资分布、已造成的损失、后续发展预测、气象及其他环境条件等。演练场景清单。要明确演练过程中各场景的时间顺序列表和空间分布情况。演练场景之间的逻辑关联依赖于事件发展规律、控制消息和演练人员收到控制消息后应采取的行动。u 编写演练方案文件演练方案文件是指导演练实施的详细工作文件。根据演练类别和规模的不同，196、演练方案可以编为一个或多个文件。编为多个文件时可包括演练人员手册、演练宣传方案、演练脚本等，分别发给相关人员。演练人员手册。内容主要包括演练概述、组织机构、时间、地点、参演单位、演练目的、演练情景概述、演练现场标识、演练后勤保障、演练规则、安全注意事项、通信联系方式等，但不包括演练细节。演练人员手册可发放给所有参加演练的人员。演练宣传方案。内容主要包括宣传目标、宣传方式、传播途径、主要任务及分工、技术支持、通信联系方式等。演练脚本。描述演练事件场景、处置行动、执行人员、指令与对白、视频背景与字幕、解说词等。u 演练方案评审对综合性较强、风险较大的应急演练，应针对演练中可能发生的非预期事件单独编197、制相应的处置方案，由专家顾问对演练方案进行评审，确保演练方案科学可行，以确保应急演练工作的顺利进行。（3）演练动员与培训在演练开始前要进行演练动员和培训，确保所有演练参与人员掌握演练规则，演练情景和各自在演练中的任务。所有演练参与人员都要经过应急基本知识、演练基本概念、演练现场规则等方面的培训。对演练控制人员要进行岗位职责、演练过程控制和管理等方面的培训；对演练评估人员要进行岗位职责、演练评估方法、工具使用等方面的培训；对演练参演人员要进行应急预案、应急技能及设备使用等方面的培训。8.5.4.4.2 演练实施（1）演练启动演练正式启动前一般要举行简短仪式，由应急演练总指挥宣布演练开始并启动应急198、演练。（2）演练执行u 演练指挥与行动应急演练总指挥负责演练实施全过程的指挥控制。按照演练方案要求，应急指挥机构指挥各参演队伍和人员，开展对演练事件的应急处置行动，完成各项演练活动。u 演练解说在演练实施过程中，客户可以安排专人对演练过程进行解说，解说内容一般包括演练背景描述、进程讲解、案例介绍、环境渲染等。对于有演练脚本的大型综合性示范演练，可按照脚本中的解说词进行讲解。u 演练记录演练实施过程中，一般要安排专门人员，采用文字、照片和音像等手段记录演练过程。照片和音像记录可安排专业人员和宣传人员在不同现场、不同角度进行拍摄，尽可能全方位反映演练实施过程。u 演练宣传报道对于具有普遍意义的应急199、演练，可认真做好信息采集、媒体组织、广播电视节目现场采编和播报等工作，扩大演练的宣传教育效果。8.5.4.4.3 演练收尾（1）演练评估与总结演练评估是全面分析演练记录及相关资料的基础上，对比参演人员表现与演练目标要求，对演练活动及其组织过程作出客观评价，并编写演练评估报告的过程。所有应急演练活动都应进行演练评估。演练结束后可通过组织评估会议、填写演练评价表和对参演人员进行访谈等方式，也可要求参演单位提供自我评估总结材料，进一步收集演练组织实施的情况。演练评估报告的主要内容一般包括演练执行情况、预案的合理性与可操作性、应急指挥人员的指挥协调能力、参演人员的处置能力、演练所用设备装备的适用性、演200、练目标的实现情况、演练的成本效益分析、对完善预案的建议等。在演练结束后，根据演练记录、演练评估报告、应急预案、现场总结等材料，对演练进行系统和全面的总结，并形成演练总结报告。演练参与单位也可对本单位的演练情况进行总结。演练总结报告的内容包括：演练目的，时间和地点，参演单位和人员，演练方案概要，发现的问题与原因，经验和教训，以及改进有关工作的建议等。8.5.4.5 服务报告安全应急演练服务根据客户选择的演练内容和服务范围确定具体交付，服务过程中和服务完成后，至少提供以下三类报告：1、项目管理报告包括如下报告：项目启动汇报、项目实施方案、项目阶段汇报、项目管理方案、项目交付清单、项目验收总结等；2201、服务过程交付主要包括：应急预案修订版本、应急演练素材、演练脚本、演示PPT等；3、服务成果交付主要包括：安全应急演练培训课件、安全应急演练方案及总结等。8.5.5 重要时期安全保障服务8.5.5.1 服务范围绿盟科技的重要时期安全保障服务主要针对企业重要IT系统资产、包括主机、网络、应用等系统运行维护场景。针对互联网IT服务业务、IT资产为服务对象。8.5.5.2 服务方式目前，绿盟科技的重要时期安全保障服务可以提供现场服务和非现场服务两种形式。根据具体的服务内容，现场服务一般包括下列内容：u 安全漏洞扫描u 主机安全检查u 安全值守服务u 安全日志分析u 应急响应服务非现场服务一般包括下列202、内容：u 信息安全通告u 信息安全咨询u 对外服务检查u WEB站点渗透测试u 网站安全监测服务8.5.5.3 服务内容8.5.5.3.1 信息安全通告绿盟科技凭借国内领先的安全研究能力，广泛的采集途径，和全球同步的安全信息收集系统，使我们能将最新最严重的安全问题，最快的通报给我们的客户并且给出相应的解决办法，从而大大减轻网管人员做安全技术追踪和分析的压力。绿盟科技的安全通告服务将下面的这些成果与用户共享：u 厂商安全通告：根据客户订阅内容，提供主流厂商的中文安全通告，包括Windows、AIX、HP-UX、Solaris、Linux、CISCO等。u 绿盟科技安全通告：绿盟科技发现的安全问题203、通告和其他有必要提示的重要安全问题通告。u 其他安全通告：其他应用系统和安全组织（如SANS/CERT等）的安全通告。u 绿盟科技内部安全技术刊物技术+，每两月一期.另外，绿盟科技还将重点收集分析银行业安全动态信息，按月提供针对银行业的信息安全通告。8.5.5.3.2 信息安全咨询绿盟科技可根据用户具体需求，提供必要的技术支持咨询服务。咨询范围将包括但不限于以下内容。u 安全合规咨询服务，在系统软件开发规划和设计阶段，提供国家法律法规、国家等级保护政策、人民银行与银监会等行业主管部门在信息安全上的合规咨询服务，指导软件的开发与设计；u 系统信息安全架构设计服务，根据合规要求和业务的IT实现流程204、，设计系统的信息安全架构；u 安全编码咨询服务，提供软件编码的信息安全咨询，规范软件编码习惯，减少软件编码的安全漏洞；u 其它安全咨询服务。8.5.5.3.3 对外服务检查绿盟科技安全专家将通过专业测试工具对用户互联网端服务进行检查和梳理，并与用户仔细核对所开放的服务是否为必须，使用户了解并明确对互联网开放的服务，协助用户关闭不需要的服务端口，减小业务系统在互联网上的受攻击面。8.5.5.3.4 WEB站点渗透测试绿盟科技安全专家通过模拟黑客入侵的方法，利用多种先进技术和手段对用户外部网站进行安全检查，发现和找出网站中存在的编码问题和逻辑问题，并提出整改建议。在用户整改完毕后，绿盟科技安全专家205、再对整改内容进行一次复查，验证整改的有效性以及是否产生了新的风险。8.5.5.3.5 安全漏洞扫描漏洞扫描服务是一个闭环的服务，分为四个不同的阶段：漏洞发现，数据分析，漏洞处理和扫描复查。1. 对评估范围内设备进行安全扫描，获取被评估设备的详细漏洞信息；2. 对获取到的数据进行专家分析，根据漏洞具体信息和客户实际情况提供可执行的建议解决方案；3. 用户参考漏洞建议解决方案对漏洞进行修复；4. 对评估目标再次进行漏洞扫描复查，确认漏洞修复结果，保证漏洞被成功修复。8.5.5.3.6 主机安全检查评估操作系统、应用软件的安全配置错误等并不能通过安全扫描工具全面发现，因此有必要在评估工具扫描范围之外206、进行安全配置的检查。安全配置检查是对操作系统、应用的脆弱性和安全配置错误等方面进行安全检查的有效手段。主机安全检查包括主机操作系统和常见应用服务两大部分的检查。其中，操作系统的安全检查包括：u 帐号、口令策略检查u 补丁安装情况检查u 网络与服务检查u 文件系统检查u 日志审核检查u 安全性增强检查u 其中，常见应用的安全检查包括：u 应用的帐号、口令策略检查u 应用安装、版本情况检查u 应用软件网络与服务检查u 软件文件系统检查u 应用日志审核检查u 安全性增强检查u 8.5.5.3.7 网站安全监测服务绿盟网站安全监测服务，是一款托管式服务。用户无需安装任何硬件或软件，无需改变目前的网络部207、署状况，无需专门的人员进行安全设备维护及分析日志。用户只需将网站域名告知绿盟科技工作人员，获得授权后即可享受724小时的远程网站安全监测服务。一旦发现用户网站存在风险状况，绿盟科技安全监控团队会第一时间通知用户，并提供专业的安全解决建议。除此之外，经验丰富的绿盟科技安全专家团队会定期为用户出具周期性的综合评估报告，让用户整体掌握网站的风险状况及安全趋势。8.5.5.3.8 安全值守服务在重要活动开始至结束期间，绿盟科技将派遣经验丰富的安全专家至用户现场进行安全值守支持。现场安全值守工作主要包括如下方面工作：u 安全设备日常监控n 安全设备健康情况实时监控，包含：CPU使用率、内存占用率、接口流208、量、接口工作状态、硬盘使用情况等设备健康相关的基本参数监控。n 安全设备告警事件实时监控，包含：拒绝服务攻击，网络病毒爆发，漏洞远程利用、恶意代码传递等高危事件告警信息。u 安全事件协助处理n 当安全设备产生高危事件报警时，绿盟科技安全专家将积极协助用户相关人员对报警事件进行确定、排查、分析和处理。u 日志分析8.5.5.3.9 安全日志分析在重要时期保障准备阶段和实施阶段，绿盟科技安全专家定期为用户信息系统内安全设备产生的海量日志进行一次深度挖掘和分析，从IP分布、时间分布、事件分布，行为分布、告警趋势这五个维度对用户信息系统内安全设备产生的日志进行梳理，发现潜在的风险点，得出安全现状结论，209、并提供极具参考价值的分析报告。目前，绿盟科技可对如下类信息安全产品提供日志分析服务：u 入侵保护/检测系统u 上网行为管理/监测系统u 流量监测系统u 防火墙系统u 防病毒网关系统8.5.5.3.10 应急响应服务绿盟应急响应服务主要面向用户提供已发生安全事件的事中、事后的取证、分析及提供解决方案等工作。绿盟科技可以帮助用户完成下列类型安全事件的应急响应支持：u 应用服务瘫痪问题u 网络阻塞、DDoS攻击问题u 服务器遭劫持问题u 系统异常宕机问题u 恶意入侵、黑客攻击问题u 病毒爆发问题u 内部安全事故u 当用户提出紧急事件应急响应服务需求时，绿盟科技首先派安全专家1小时内赶到现场，同时绿盟210、科技后台安全支持人员尝试通过远程接入的方式与现场安全工程师协作定位并解决问题；服务完成后1个工作日内，绿盟科技将向用户提供书面的应急响应处理报告。8.5.5.4 服务流程绿盟科技将围绕重要活动的三个阶段提供全方位的安全保障服务。8.5.5.5 服务交付绿盟科技在完成此项服务后会向用户提供如下主要交付物作为服务成果。安全保障服务阶段服务包服务交付物重要活动开始前对外服务检查对外服务检查确认单WEB站点渗透测试WEB站点渗透测试报告WEB站点渗透测试复查报告安全漏洞扫描安全漏洞扫描报告安全漏洞整改复查报告主机安全检查主机安全检查报告主机安全检查复查报告重要活动进行中网站安全监测网站安全监测周报安全211、运维值守安全运维值守日报安全事件处理报告安全日志分析安全日志分析报告安全应急响应应急响应报告重要活动结束后成果汇报安全保障服务报告8.5.6 安全巡检服务8.5.6.1 服务范围对象：信息系统中指定的服务器、网络设备、安全设备及安全日志。安全状态检查：提供对主流的安全设备状态检查服务，对绿盟科技产品可以进行版本升级服务。安全漏洞扫描：提供网络设备、操作系统、数据库、常见应用服务器以及WEB应用的漏洞评估服务。安全日志分析：提供对主流安全设备（如：IDS/IPS/FW）的日志分析。漏洞管理：提供对Windows系统漏洞进行升级操作服务，对其他操作系统相关的问题提供专业的安全修补建议，并进行协助。212、8.5.6.2 服务内容8.5.6.2.1 安全设备状态检查服务内容：查看安全设备的运行状态、设备负载等是否正常，同时对设备的版本进行检查，如版本不是最新，经客户确认需要升级后，进行版本升级（根据实际情况升级）。客户配合：提供登录安全设备登录地址及登录凭证。阶段成果：安全设备记录及升级记录。8.5.6.2.2 安全漏洞扫描服务内容：对的网络设备、主机、数据库、应用系统进行漏洞扫描，并根据扫描结果进行综合分析，评估漏洞的危害大小，最终提供可行的漏洞解决方案。客户配合：提供扫描器接入地址、为扫描器配置网络策略，使网络可达，使其扫描数据能够无阻碍的到达被扫描主机。阶段成果：原始扫描报告。8.5.6.213、2.3 安全日志分析服务内容：日志分析主要是定期为用户信息系统内安全设备产生的海量日志进行深度挖掘和分析，从IP分布、时间分布、事件分布，行为分布、告警趋势这五个维度对用户信息系统内安全设备产生的日志进行梳理，发现潜在的风险点，得出安全现状结论，并提供极具参考价值的分析报告。通过提供日志分析报告，及时掌握网络运行状态和安全隐患。客户配合：提供安全设备日志阶段成果：无8.5.6.2.4 补丁管理服务内容：在前期安全扫描的基础上，对存在严重系统漏洞的主机进行补丁更新，从而及时消除因为系统漏洞而产生的安全风险（根据实际情况实施更新）。客户配合：提供登录系统的安全屏障和管理员权限阶段成果：安全加固记录214、8.5.6.3 服务流程安全巡检服务主要分为三个阶段，分别为巡检准备、巡检实施、巡检报告。实施内容主要包括安全设备状态检查、安全漏洞扫描、安全日志分析和补丁管理。以下为安全巡检服务流程：8.5.6.4 服务特点u 全程化服务，有效保证服务质量绿盟科技可以为客户提供定期的全程化巡检服务。服务的过程不仅仅是帮助客户发现问题，也会为客户的问题修补提供专业的建议和指导，做到问题发现、修补、验证的全程跟踪，力求最大程度地保证巡检目标的安全。u 专家级解决方案，一切以解决问题为目标绿盟科技有着专业的安全按服务团队，团队成员无论是在风险评估、安全加固、渗透测试，还是在代码审计等领域均有着丰富的经验，所有问题215、的解决方案均由团队成员根据多年经验总结而来，方案确实可行。u 降低成本，节省投资在绿盟科技为客户打造的年度服务方案中，服务人员第一次测试的结果将会成为后续审计服务的参考依据，避免了单次服务中每次都会为某一特定问题所累，节省了巡检时间，同时也降低了客户在每个阶段的投入。8.5.6.5 服务报告安全巡检实施工作完成后三个工作日内（根据工作量而定），巡检工程师将出示一份安全巡检报告。根据巡检结果，绿盟科技实施人员将针对发现的问题进行详细描述，描述内容至少包括了巡检范围、过程、使用的技术手段以及获得的成果。除此之外，绿盟科技巡检人员还将结合巡检目标的具体安全内容编写解决方案和相关的安全建议，为管理员的216、维护和修补工作提供参考。输出如下报告：u XX系统安全巡检报告u XX月度、季度安全巡检报告8.5.7 网络架构分析服务8.5.7.1 服务范围绿盟科技网络架构分析服务可以为客户提供基于需要分析的整体网络或者目标区域网络的架构分析，如业务系统子网络或公司分支网络等。网络架构分析的详细服务范围如下：u 网络拓扑u 网络协议u 网络流量u 网络设备8.5.7.2 服务内容网络架构分析会对目标网络的网络现状、网络建设规范性、网络可靠性、网络边界安全、网络流量分析、网络通信安全、网络设备安全和网络安全管理这八个方面进行网络架构安全性的全面分析，对整体网络中的脆弱点进行识别，评估结果包括定性和定量分析，217、让用户对网络中存在的风险了如指掌，详细内容如下：8.5.7.2.1 网络架构整体分析u 网络架构设计应符合层次分明、分级管理、统一规划的原则，应便于以后网络整体规划和改造。u 根据组织实际情况进行区间划分，Internet、Intranet和Extranet之间以及它们内部各区域之间结构必须使网络应有的性能得到充分发挥。u 根据各部门的工作职能、重要性、所涉及信息等级等因素划分不同的子网或网段。u 网络规划应考虑把核心网络设备的处理任务分散到边缘设备，使其能将主要的处理能力放在对数据的转发或处理上。u 实体的访问权限通常与其真实身份相关，身份不同，工作的内容、性质、所在的部门就不同，因此所应关218、注的网络操作也不同，授予的权限也就不同。8.5.7.2.2 网络建设规范性u IP地址规划是否合理，IP地址规划是否连续，在不同的业务系统采用不同的网段，便于以后网络IP调整。u 网络设备命名是否规范，是否有统一的命名原则，并且很容易区分各个设备的。u 应合理设计网络地址，应充分考虑地址的连续性管理以及业务流量分布的均衡性。u 网络系统建设是否规范，包括机房、线缆、配电等物理安全方面，是否采用标准材料和进行规范设计，设备和线缆是否贴有标签。u 网络设备名称应具有合理的命名体系和名称标识，便于网管人员迅速准确识别，所有网络端口应进行充分描述和标记。8.5.7.2.3 网络边界安全u Intern219、et、Intranet和Extranet之间及它们内部各VLAN或区域之间边界划分是否合理；在网络节点（如路由器、交换机、防火墙等设备）互连互通应根据实际需求进行严格控制；验证设备当前配置的有效策略是否符合组织确定的安全策略。u 内网中的安全区域划分和访问控制要合理，各VLAN之间的访问控制要严格，不严格就会越权访问。u 可检查网络系统现有的身份鉴别、路由器的访问控制、防火墙的访问控制、NAT等策略配置的安全性；防止非法数据的流入；对内防止敏感数据（涉密或重要网段数据）的流出。u 防火墙是否划分DMZ区域；是否配置登录配置的安全参数。例如：最大鉴别失败次数、最大审计存储容量等数据。u 网络隔离220、部件上的访问通道应该遵循“默认全部关闭，按需求开通的原则”；拒绝访问除明确许可以外的任何一种服务，也就是拒绝一切未经特许的服务。8.5.7.2.4 网络协议分析u 路由协议、路由相关的协议及交换协议应以安全的、对网络规划和设计方便为原则，应充分考虑局域网络的规划、建设、扩充、性能、故障排除、安全隐患、被攻击可能性，并应启用加密和验证功能。u 应合理设计网络路由协议和路由策略，保证网络的连通性、可达性，以及网络业务流向分布的均衡性。u 启用动态路由协议的认证功能，并设置具有一定强度的密钥,相互之间交换路由信息的路由器必须具有相同的密钥。默认的认证密码是明文传输的，建议启用加密认证。u 对使用动态221、路由协议的路由设备设置稳定的逻辑地址，如Loopback地址，以减少路由振荡的可能性。u 应禁止路由器上IP直接广播、ICMP重定向、Loopback数据包和多目地址数据包，保证网络路径的正确性，防止IP源地址欺骗。如禁止非公有地址、组播地址、全网络地址和自己内部的网络地址访问内部网络，同时禁止非内部网络中的地址访问外部网络。8.5.7.2.5 网络流量分析u 带宽的网络流量分析。复杂的网络系统中不同的应用需占用不同的带宽，重要的应用是否得到了最佳的带宽？所占比例是多少？队列设置和网络优化是否生效？通过基于带宽的网络流量分析会使其更加明确。采用监控网络链路流量负载的工具软件，通过SNMP协议从222、设备得到设备的流量信息，并将流量负载以包含PNG格式的图形的HTML文档方式显示给用户，以非常直观的形式显示流量负载。u 网络协议流量分析。对网络流量进行协议划分，针对不同的协议进行流量监控和分析,如果某一个协议在一个时间段内出现超常流量暴涨，就有可能是攻击流量或有蠕虫病毒出现。例如：Cisco NetFlow V5可以根据不同的协议对网络流量进行划分，对不同协议流量进行分别汇总。u 基于网段的业务流量分析。流量分析系统可以针对不同的VLAN来进行网络流量监控，大多数组织都是基于不同的业务系统通过VLAN来进行逻辑隔离的，所以可以通过流量分析系统针对不同的VLAN来对不同的业务系统的业务流量进223、行监控。例如：Cisco NetFlow V5可以针对不同的VLAN进行流量监控。u 网络异常流量分析。异常流量分析系统支持异常流量发现和报警，能够通过对一个时间窗内历史数据的自动学习，获取包括总体网络流量水平、流量波动、流量跳变等在内的多种网络流量测度，并自动建立当前流量的置信度区间作为流量异常监测的基础。通过积极主动鉴定和防止针对网络的安全威胁，保证了服务水平协议(SLA)并且改进顾客服务，从而为组织节约成本。8.5.7.2.6 网络设备安全u 安全配置是否合理，路由、交换、防火、IDS等网络设备及网络安全产品的不必要的服务、端口、协议是否关闭，网络设备的安全漏洞及其脆弱的安全配置方面的优224、化，如路由器的安全漏洞、访问控制设置不严密、数据传输未加密、网络边界未完全隔离等。u 在网络建设完成、测试通过、投入使用前，应删除测试用户和口令，最小化合法用户的权限，最优化系统配置。u 在接入层交换机中，对于不需要用来进行第三层连接的端口，通过设置使其属于相应的VLAN，应将所有空闲交换机端口设置为Disable，防止空闲的交换机端口被非法使用。u 应尽量保持防火墙规则的清晰与简洁，并遵循“默认拒绝，特殊规则靠前，普通规则靠后，规则不重复”的原则，通过调整规则的次序进行优化。u 应为不同的用户建立相应的账号，根据对网络设备安装、配置、升级和管理的需要为用户设置相应的级别，并对各个级别用户能够225、使用的命令进行限制，严格遵循“不同权限的人执行不同等级的命令集”。同时对网络设备中所有用户账号进行登记备案。u 应制订网络设备用户账号口令的管理策略，对口令的选取、组成、长度、保存、修改周期以及存储做出规定。8.5.7.2.7 网络管理u 网络设备网管软件的部署和网络安全网管软件的部署；部署监控软件对内部网络的状态、网络行为和通信内容进行实时有效的监控，既包括对网络内部的计算机违规操作、恶意攻击行为、恶意代码传播等现象进行有效地发现和阻断，又包括对网络进行的安全漏洞评估。u 确认网络安全技术人员是否定期通过强加密通道进行远程登录监控网络状况。u 应尽可能加强网络设备的安全管理方式，例如应使用S226、SH代替Telnet，使用HTTPS代替HTTP，并且限定远程登录的超时时间、远程管理的用户数量、远程管理的终端IP地址，同时进行严格的身份认证和访问权限的授予，并在配置完后，立刻关闭此类远程连接；应尽可能避免使用SNMP协议进行管理。如果的确需要，应使用V3版本替代V1、V2版本，并启用MD5等验证功能。进行远程管理时，应设置控制口和远程登录口的超时时间，让控制口和远程登录口在空闲一定时间后自动断开。u 及时监视、收集网络以及安全设备生产厂商公布的软件以及补丁更新，要求下载补丁程序的站点必须是相应的官方站点，并对更新软件或补丁进行评测，在获得信息安全工作组的批准下，对生产环境实施软件更新或者227、补丁安装。8.5.7.3 服务流程网络架构分析服务主要分为四个不同的阶段：资料采集，架构分析，问题反馈和架构整改。1. 对评估范围内网络现状资料进行收集，获取被评估网络的整体布局信息，如前期网络建设方案和图表、查验文档、网络边界划分、人工访谈、实地考察等方式对现状进行深入调研。2. 对获取到的信息进行专家分析，根据整体网络架构的具体信息和客户实际情况提供可执行的建议解决方案。3. 将问题通过多种方式清晰准确的反馈给客户。4. 用户参考网络架构分析结果及建议进行整改。8.5.7.4 服务特点u 专家级架构整改建议网络架构分析人员根据具体环境通过多个维度的手段对客户的目标网络进行分析，并且会根据客228、户的需求和实际情况相结合进行深入地研究，针对客户要保护的目标提出确实可行的整改方案，最大化的满足当前以及长时间内的安全需求。u 长年累积的架构分析经验凭借绿盟科技多年来在网络架构分析积累的经验，绿盟科技不仅拥有一个强大的网络架构研究团队，而且拥有长期累积的内部评估分析手段和资料。为客户准确、快速地发现网络架构的脆弱性。8.5.7.5 服务依据u 国际、国家发布的相关安全标准u 绿盟科技专业安全配置基线u 绿盟科技安全产品及服务最佳实践8.5.7.6 服务报告安全分析人员在实施网络架构分析服务过程中，严格按照绿盟科技安全服务的流程，在现场进行访谈和相关资料收集后，会在三个工作日（需根据分析对象的229、数量和规模进行实际调整）内出示一份网络架构分析报告。报告名称如下：网网络架构分析报告或区域网络架构分析报告报告中，会对此次网络架构分析服务范围内的整体安全状况进行一个整体概述，从网络配置和网络架构两个层面对目标网络的架构进行安全性分析，配置型分析是为整体网络架构分析提供细节的参考依据，后续的网络架构分析会对目标网络的网络现状、网络建设规范性、网络可靠性、网络边界安全、网络流量分析、网络通信安全、网络设备安全和网络安全管理这八个方面进行网络架构安全性的全面分析。除此之外，评估人员还将结合分析目标的具体应用提出深层次的安全建议，为管理人员的后期维护提供参考。8.5.8 日志分析服务8.5.8.1 230、服务范围本服务适用于任何企业或组织的IT环境、信息系统及网络，主要范围如下：u Web应用日志，包括IIS、Apache、Apache Tomcat、Nginx等；u 操作系统日志，包括Windows、Linux系统日志、安全日志、应用日志等；u 网络设备，包括路由器、交换机等日志；u 网络安全设备，包括网络入侵检测系统、网络审计系统、上网行为管理系统等日志。8.5.8.2 服务内容日志分析服务主要分析日志如下方面的内容：u 常见Web攻击行为，包括XSS、SQLinj、暴力破解等；u 操作系统可疑行为，包括关机、重启、增删账户等；u 网络可疑行为，包括网络设备关机、重启、配置变更等；u 安全231、设备监控告警行为，包括检测的攻击行为、设备自身可疑操作行为等。8.5.8.3 服务方式日志分析服务主要是绿盟科技安全工程师人工分析，可根据实际情况分为现场日志分析和远程日志分析两种。8.5.8.4 服务流程日志分析服务的大致流程图如下：图 8.1 日志分析流程图第一步：日志分析支持申请；第二步：判断故障类型；第二步：获取对应的日志文件；第三步：完成日志的分析；第四步：形成日志分析报告；第五步：整体汇报。8.5.8.5 服务特点u 快速、精确的日志分析响应绿盟科技拥有一支业内领先的安全服务团队。经过多年专业安全服务的执着实践，形成了国内最完善的专业安全服务体系和专业安全服务方法论，拥有大量安全日232、志分析经验，同时绿盟科技也是网络安全产品供应商，这些安全产品都有统一的日志收集平台，在分析网络安全产品日志中也有大量的经验累积。u 可远程协助和指导分析绿盟科技安全服务团队可远程接收日志文件，并尽快完成日志文件的分析，或远程协助客户的技术人员来完成日志的分析工作。8.5.8.6 服务报告绿盟科技安全工程师在实施日志分析服务过程中，严格按照绿盟科技安全服务的流程，分析结束后，会在三个工作日内出示一份日志分析报告（视分析日志的数量、多少而定）提交给客户。日志分析报告包含日志分析背景描述、日志类型、日志时间段、关键日志内容和总结、安全建议等。8.5.9 应急响应服务8.5.9.1 服务范围绿盟应急响233、应服务主要面向客户提供已发生安全事件的事中、事后的取证、分析及提供解决方案等工作。绿盟科技可以帮助客户完成下列类型安全事件的应急响应支持：u 应用服务瘫痪问题u 网络阻塞、DDoS攻击问题u 服务器遭劫持问题u 系统异常宕机问题u 恶意入侵、黑客攻击问题u 病毒爆发问题u 内部安全事故u 8.5.9.2 服务方式绿盟科技应急响应服务包括单次服务和年度服务两种形式，服务地点可以选择客户现场和远程两种方式，客户可以根据需要选择适合自己的服务。8.5.9.2.1 现场服务和远程服务根据服务地点，可以分为现场服务和远程服务两种。现场服务：指接到客户紧急服务请求，支持人员在最短时间内赶赴客户现场，协助客234、户分析事件可能的原因，解决各类安全事件。远程服务：指通过电话、QQ远程协助、远程临时接入等非现场的活动，协助客户分析事件可能的原因，解决各类安全事件。8.5.9.2.2 单次服务和年度服务根据服务的周期，可以分为单次服务和年度服务两种。单次服务：指为客户提供的一次性应急响应服务。一般由发生安全事件的客户临时申请应急响应支持人员参与应急事件处理，支持人员在分析完所有客户提供的信息后，向客户提交应急响应报告。年度服务：服务期限以年为单位，服务年度内为客户提供有限次数的应急响应支持工作，每次服务均会提供详细的应急响应报告。8.5.9.3 服务流程绿盟科技应急响应服务流程主要包括事件处理流程和事件升级235、流程两部分。8.5.9.3.1 事件优先级定义绿盟科技结合自身经验，在实践中总结制定出了一套合理的安全事件分级结构对应表，并且针对于不同级别的事件拟定切实可行的快速处理方式和临时解决办法。安全等级划分标准如下：表 8.1 事件安全级别划分标准事件优先级描述紧急事件客户提供业务的系统由于安全原因崩溃、系统性能严重下降，已无法提供正常服务。本地区出口路由由于网络安全原因非正常中断，严重影响用户使用。公众服务由于安全原因停止服务或者造成恶劣影响的。严重事件用户内部的业务支持系统由于安全事件出现问题，导致不能运转正常不稳定。部分服务由于安全原因中断，影响用户正常使用一般事件由于安全原因导致系统出现故障236、，但不影响用户正常使用。客户提出安全技术咨询、索取安全技术资料、技术支援等。8.5.9.3.2 事件处理流程绿盟科技应急响应服务事件处理流程主要分为三个阶段，包括事件初期、应急响应实施及输出报告与汇报：u 事件初期在实施应急响应工作前，客户经理或项目经理收到客户申请应急响应支持，由客户经理或项目经理协调内部技术支持人员和客户技术人员第一时间取得联系，了解事件发生情况。技术人员判断事件类型，是否需要启用应急响应服务。u 应急响应实施在判断事件类型可能为安全事件，启用应急响应后，技术人员通过现场或非现场等方式进行信息收集工作，详细了解掌握事件发生的始终、现状、可能的影响，对事件进行详细分析，提供事237、件处理建议，并协助客户解决事件。u 输出报告与汇报待事件处理结束后，技术人员整理事件分析、事件处理的过程记录和相关资料，撰写应急响应服务记录报告，提交给客户。对于大型、复杂的应急响应过程还需进行整体的事件处理汇报工作。8.5.9.3.3 事件升级流程绿盟科技在收到事件告警后，15分钟内进行故障事件的鉴别，如果是安全事件，则立即启动应急响应服务流程，如果不是安全事件，立即回复相关人员，并建议寻求其他方面的支持，详细事件升级流程参看下表。表 8.2 事件升级流程事件等级时间（小时）紧急事件严重事件一般事件0.5客户经理1技术负责人客户经理4服务总监技术负责人客户经理12技术总监服务总监咨询支持24238、总裁技术总监技术负责人48总裁服务总监72技术总监绿盟科技对于一般事件首先采取安全咨询的方式帮助用户自行解决，当用户安全管理员经过努力无法自行解决时，绿盟科技工程师将采用应急响应服务通过远程或本地服务方式帮助用户解决安全事件。绿盟科技对于严重事件，将启用应急响应服务，在2个小时内（另加上路程时间）到达用户现场，采用本地服务方式帮助用户处理安全事件。绿盟科技对于紧急事件的处理，承诺在一个小时内（另加路程时间）到达用户现场，采用安全应急响应服务流程为用户尽快解决紧急安全事件。8.5.9.4 服务特点u 经验主导，成果保证在应急响应支持方面，绿盟科技多年来积累了丰富的经验。无论是所收集信息的完整性，239、还是事件分析过程的科学性和准确性都在业内处于领先的位置。在经验与技术的完美结合之下，能够更加容易捕获信息中的蛛丝马迹，为事件分析去的突破性进展打下基础。u 流程清晰，规范服务绿盟科技应急响应服务采用规范化管理，支持人员均严格按照设定的流程来进行各项工作。而绿盟科技的应急服务规范和流程均来自于多年的应急响应实践，完全符合应急响应事件处理的相关要求。在确保获得分析事件必需数据的同时，也防止了可能对事件目标产生的影响。8.5.9.5 服务报告在应急响应工作完成后一个工作日内，绿盟支持人员将会为客户提供一份应急响应报告。在报告中，支持人员将会所收集的信息对整个安全事件的来龙去脉进行详尽的分析，并最终给240、出分析结果。除此之外，支持人员还将根据分析结果提出解决方案和相关的安全建议，为事件的后期处理提供参考。输出如下报告：XX应急响应服务处理报告8.5.10 恶意代码排查服务8.5.10.1 服务范围恶意代码排查的服务范围主要针对被入侵网站、应用系统等服务器，同时包括与其同网段或同一区域的服务器。具体范围我们建议如下：n 被入侵网站服务器、数据库服务器n 同网段内疑似被攻击的服务器n 同一区域疑似被攻击的服务器其次，该项服务主要针对以B/S架构为主的网站系统，因此，支持的服务器操作系统类型包括如下：Windows系列服务器：Windows2000、Windows2003、Windows2008等L241、inux系列服务器：Redhat Linux、Debian GNU/Linux、SUSE Linux等Unix系列服务器：HPUX、Solaris、FreeBSD、AIX等8.5.10.2 服务内容恶意代码排查的服务内容包括操作系统排查和应用程序排查两部分。详细内容如下：操作系统排查包括：n 可疑账号排查（隐藏、克隆账号）n 可疑文件排查n 可疑进程排查n 可疑网络连接排查n Rootkit排查应用程序排查包括：n WebShell网页后门排查n 一句话网页木马排查n 数据库JS挂马排查n 恶意插件排查n 流氓软件排查恶意代码排查服务内容框架见下图：8.5.10.3 服务流程恶意代码排查服务过242、程中，会涉及到下面几个步骤。1) 首先确认待检查对象的范围和工作内容范围：包括检查对象的数量，例如20台windows2003服务器、10台Redhat linux服务器；具体检查工作内容，例如WebShell网页后门检查。2) 其次，绿盟科技安排安全工程师准备检查工具，包括检查工具的升级更新，工具的光盘刻录等事项。3) 安全工程师到达客户现场，对于网页WebShell后门和一句话木马的检查，我们建议客户使用专机对待检查对象进行检查。对于操作系统级检查，需要管理员配合上传或拷贝检查工具至服务器，由安全工程师进行检查操作。4) 安全工程师检查完毕后，将审计结果信息记录并整理，最后输出报告。8.5243、.10.4 服务报告在进行恶意代码排查服务后，安全工程师会将排查结果信息记录并整理，输出如下报告：n XX系统恶意代码排查报告n XX网站恶意代码排查报告n XX服务器恶意代码排查报告九. 管理体系建设方案9.1 安全制度建设信息系统安全等级保护基本要求在管理制度、制定和发布、评审和修订等三个方面对安全管理制度提出了要求。根据管理信息大区系统的实际情况，在信息安全领导小组的负责下，组织相关人员制定和发布信息安全工作的总体方针、政策，说明信息安全工作的总体目标、范围、方针、原则和责任，并定期进行评审和修订。对于管理制度的制定，也可以依托外部专业安全厂商的力量进行。管理制度方面的具体工作包括：l 244、制定信息安全工作的总体方针和安全策略，说明机构安全工作的总体目标、范围、原则和安全框架等；l 建立管理人员或操作人员执行的日常管理操作规程；l 形成由安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系。l 安全管理制度应通过正式、有效的方式发布；l 每年由信息安全领导小组负责组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定；l 进行定期或不定期对安全管理制度检查和审定，对存在不足或需要改进的安全管理制度进行修订。l 安全制度管理框架如下：9.1.1 总体方针、策略总体方针、策略是纲领性的安全策略主文档，陈述本策略的目的、适用范围、信息安全的管理意图、支持目标以及指导245、原则，信息安全各个方面所应遵守的原则方法和指导性策略。与其它部分的关系：所有其它部分都从最高方针引申出来，并遵照最高方针，不与之发生违背和抵触。信息安全策略文件应得到信息系统项目管理者的批准，并以适当的方式发布、传达到所有员工。该文件应该阐明管理者对实行信息安全的承诺，并陈述组织管理信息安全的方法，它至少应该包括以下几个部分：n 信息安全的定义，其总体目标和范围，以及其作为信息共享的安全机制的重要性；n 申明支持信息安全目标和原则的管理意向；n 对组织有重大意义的安全策略、原则、标准和符合性要求的简要说明；n 对信息安全管理的总体和具体责任的定义，包括汇报安全事故；n 提及支持安全策略的文件，246、如：特定信息系统的更加详细的安全策略和程序，或用户应该遵守的安全规定。9.1.1.1 技术标准和规范技术标准和规范，包括各个网络设备、安全设备、主机操作系统和主要应用程序的应遵守的安全配置和管理的技术标准和规范。技术标准和规范将作为各个网络设备、安全设备、主机操作系统和应用程序的安装、配置、采购、项目评审、日常安全管理和维护时必须遵照的标准，不允许发生违背和冲突。与其它部分的关系：向上遵照最高方针。9.1.1.2 管理制度和规定各类管理规定、管理办法和暂行规定。从安全策略主文档中规定的安全各个方面所应遵守的原则方法和指导性策略引出的具体管理规定、管理办法和实施办法，是必须具有可操作性，而且必须247、得到有效推行和实施的。此部分文档较多。与其它部分的关系：向上遵照最高方针。9.1.1.3 组织机构和人员职责安全管理组织机构和人员的安全职责，包括的安全管理机构组织形式和运作方式，机构和人员的一般责任和具体责任。作为机构和员工具体工作时的具体职责依照，此部分必须具有可操作性，而且必须得到有效推行和实施。与其它部分的关系：从最高方针中延伸出来，其具体执行和实施由管理规定、技术标准规范等来落实。9.1.2 制定和发布（1）安全管理制度制定安全管理制度的制定在信息系统安全保密工作部门的总体负责下统一制定，并由安全保密工作部门指定参与安全管理制度制定的具体人员。安全管理制度按照统一的格式标准要求制定，248、在制定过程中，编写管理文档说明安全管理制度的制定程序、格式要求及版本编号等内容。组织相关人员对安全管理制度进行论证和评审，论证和评审方式包括召开评审会、函审、内部审核等，并详细记录相关人员的评审意见。（2）安全管理制度发布安全管理制度经过管理层的签发后按照一定的流程以文件的方式发布，安全管理制度发布时注明适用和发布范围以及版本表示，并详细记录安全管理制度的收发登记记录。9.1.3 评审和修订定期对安全管理制度进行评审，并由安全保密工作办公室指定参与安全管理制度评审的具体人员。详细制定安全管理制度评审的流程，记录评审意见和结果。对存在不足或需要改进的安全管理制度进行合理适度的修订，参与安全管理制249、度修订的部门和人员由安全保密工作办公室指定。详细制定安全管理制度修订的流程，记录修订意见和结果。当发生重大安全事故、出现新的安全漏洞以及技术基础结构发生变更时，组织对安全管理制度进行检查、审定和修订。详细合理分配每个制度文档的相应负责人或负责部分，负责对明确需要修订的制度文档进行维护。具体来说，信息系统项目建设中应至少考虑如下的管理制度建设： 制定信息系统系统的信息安全工作总体方针、政策性文件和安全策略等； 建立信息系统总体安全制度，并详细制定和各之间的信息访问和数据交换安全策略，并研究制定一套有效的安全应急计划； 对安全管理活动中的各类管理内容建立安全管理制度，以规范安全管理活动，约束人员的250、行为方式； 对要求管理人员或操作人员执行的日常管理操作，建立操作规程，以规范操作行为，防止操作失误； 由安全管理职能部门定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定。在安全保密工作办公室的负责下，组织相关人员制定； 保证安全管理制度具有统一的格式风格，并进行版本控制； 安全管理制度应经过管理层签发后按照一定的程序以文件形式发布；安全管理制度应注明发布范围，并对收发文进行登记；安全管理制度应注明密级，进行密级管理；定期对安全管理制度进行评审和修订，对存在不足或需要改进的安全管理制度进行修订；当发生重大安全事故、出现新的安全漏洞以及技术基础结构发生变更时，应对安全管理制度进251、行检查、审定和修订；每个制度文档应有相应负责人或负责部门，负责对明确需要修订的制度文档的维护；评审和修订的操作范围应考虑安全管理制度的相应密级。9.2 安全管理机构 信息系统安全等级保护基本要求在岗位设置、人员配备、授权和审批、沟通和合作、审核和检查等方面对安全管理机构提出了具体的要求。应该建立专门的安全职能部门，配备专门的安全管理人员，负责信息安全管理工作，同时对安全管理人员的活动进行指导。安全管理员还应负责定期进行安全检查，检查内容包括系统日常运行、系统漏洞和数据备份等情况；并组织力量定期进行全省的安全检查，检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执252、行情况，汇总安全检查数据，形成安全检查报告，并对安全检查结果进行通报；9.2.1 岗位设置1、设立指导和管理信息安全工作的委员会或领导小组，其最高领导由单位主管领导委任或授权的人员担任；2、设立专职的安全管理机构（即信息安全管理工作的职能部门），明确各部门职责分工；3、设立安全管理各个方面的负责人，设置工作岗位（如安全主管、安全管理各个方面的负责人、机房管理员、系统管理员、网络管理员、安全管理员等重要岗位），明确各个岗位的职责分工。9.2.2 人员配备1、对关键区域或部位的安全管理人员配备有一定条件要求（如中心机房的安全管理人员、关键服务器的安全管理人员等），对关键事务配备2人或2人以上共同管253、理，相互监督和制约；2、配备专职的安全管理员；9.2.3 授权和审批1）对信息系统中的重要活动进行审批，审批部门是何部门，批准人是何人，审批活动是否得到授权；询问是否定期审查、更新审批流程，审查周期多长；2）对重要活动的审批范围包括哪些（如系统变更、重要操作、物理访问和系统接入，重要管理制度的制定和发布，人员的配备、培训，产品的采购，外部人员的访问、管理，与合作单位的合作项目等)；9.2.4 沟通和合作1） 建立与外单位（公安机关、电信公司、兄弟单位、供应商、业界专家、专业的安全公司、安全组织等），与组织机构内其它部门之间及内部各部门管理人员之间的沟通、合作机制；2） 召开部门间协调会议，组织254、其它部门人员共同协助处理信息系统安全有关问题，安全管理机构内部召开过安全工作会议部署安全工作的实施，参加会议的部门和人员，会议结果；信息安全领导小组或者安全管理委员会定期召开例会；3） 聘请信息安全专家作为常年的安全顾问，指导信息安全建设，参与安全规划和安全评审等；9.2.5 审核和检查1) 定期对信息系统进行安全检查，检查内容包括系统日常运行、系统漏洞和数据备份等情况；2) 定期进行全面安全检查9.3 人员安全管理人员安全管理要求在人员的录用、离岗、考核、培训以及第三方人员管理上，都要考虑安全因素。应：l 指定或授权专门的部门或人员负责人员录用；l 严格规范人员录用过程，对被录用人的身份、背255、景、专业资格和资质等进行审查，对其所具有的技术技能进行考核；l 与所有员工和第三方厂商、服务商签署保密协议；l 严格规范人员离岗过程，及时终止离岗员工的所有访问权限；l 定期对各个岗位的人员进行安全技能及安全认知的考核；l 对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训；l 对安全责任和惩戒措施进行书面规定并告知相关人员，对违反违背安全策略和规定的人员进行惩戒；l 对外部人员允许访问的区域、系统、设备、信息等内容应进行书面的规定，并按照规定执行；9.4 系统建设管理 信息系统安全等级保护基本要求在系统建设管理阶段针对系统定级、安全方案设计、产品采购、自行软件开发、外包软件开发、工程256、实施、测试验收、系统交付、系统备案、安全测评、安全服务商选择等等方面提出了具体的要求。目前，系统定级、系统备案的工作已经完成，新搭建的系统需要重新定级与备案。工程实施、测试验收、系统交付等方面需要在产品购买后进行。而其他的一些方面，如自行软件开发、外包软件开发等，应根据具体情况制定相关管理规范和流程。在安全服务商选择方面，我们建议的相关领导，选择有实力，有信誉的专业安全服务厂商。9.5 系统运维管理信息系统安全等级保护基本要求在环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案257、管理等方面提出了要求。应在现有的系统运维管理制度的基础上，对照信息系统安全等级保护基本要求进行查漏补缺，以达到标准合规。9.5.1 环境管理建立网络安全运维小组，组织实施对机房供配电、空调、温湿度控制等设施，机房的出入，服务器的开关机等的日常维护管理；建立机房安全管理制度，明确相关安全管理规定；加强日常办公环境的保密规定的宣贯、知会和管理。9.5.2 资产管理建立完善信息系统资产台账，包括资产责任部门、责任人、重要程度和位置等内容；建立信息系统资产安全管理制度，明确相关管理规定；对重要资产进行分类标识，并采取相应的管理措施；建立信息分类与标识方法相关规定。9.5.3 介质管理建立介质管理制度，258、明确相关管理规定；对介质的存放环境进行安全检查，确保存储环境由专人负责管理；对存储介质外出、传输、归档和查询等严格履行手续，并作详细记录；对存储介质的使用过程、维修和销毁加强管理，带出的介质采用技术手段进行内容加密，对送出维修或销毁的介质中的敏感数据，采用有效技术手段进行彻底清除；介质销毁必须履行相关手续，不得擅自自行销毁；某些用于数据备份的存储介质应按照有关要求进行异地存储，异地存储的环境和安全应和本地相同；重要存储介质中的数据和软件通过技术手段采取加密存储，并对介质按存储数据的重要程度进行分类标识管理。9.5.4 设备管理建立信息系统日常维护管理制度，明确管理部门和人员对信息系统相关的各种259、设备、线路进行维护管理，明确维护人员的职责；建立设备安全管理制度，明确软硬件设备的选型、采购、发放和领用等过程的管理规范，明确设备的涉外维修和服务的审批，维修过程的监督；建立软硬件及配套设施日常维护管理制度，明确维护人员职责、涉外维修和服务审批、维修过程的监督控制等；建立设备操作规程，规范操作行为；信息处理设备带离原放置场所，必须履行审批手续。9.5.5 监控管理和安全管理中心建立系统日常运行管理记录并妥善保存；明确管理人员对监测和报警记录进行分析、评审，形成分析报告，对可疑行为采取合适的应对措施；通过集中安全管理平台，实现对设备状态、病毒防护、补丁升级、安全审计的统一管理。9.5.6 网络安260、全管理建立网络安全管理制度，明确管理人员的岗位职责，对安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期等方面作出具体规定；网络设备的软件升级由管理人员及时更新，在更新前需对重要文件保存备份；按照有关制度定期由管理人员进行系统漏洞扫描，并采取措施及时修补；对设备的配置实现最小服务配置，配置文件定期进行离线备份；与外部系统的所有连接需得到授权和批准，采取技术手段控制和禁止非授权设备的接入，监控违规外联的相关行为。9.5.7 系统安全管理根据实际需求和安全分析，制定系统访问控制策略；系统补丁在安装前，需在测试环境进行测试通过，并对重要文件进行预先备份；建立系统安全管理制度，明确系统安全策261、略、安全配置、日志管理和日常操作流程的相关具体规定，明确管理人员的角色划分、权限、责任和风险；建立系统操作手册，依据操作手册进行系统维护，对系统的维护详细记录操作日志，禁止未经授权的操作行为；定期对系统运行日志和审计数据进行分析，发现异常及时上报并处理。9.5.8 恶意代码防范管理加强对用户的防病毒知识培训；建立防病毒系统管理制度，明确管理员职责、防病毒系统日常管理、病毒库升级、升级情况记录、病毒分析处理、定期总结汇报等内容；管理员定期检查病毒库升级情况并记录，对防病毒系统、防病毒网关上截获的病毒或恶意代码进行及时分析处理，形成书面分析处理报告和总结汇报。9.5.9 密码管理建立密码使用管理制262、度，明确用户的日常密码管理要求。9.5.10 变更管理系统需要变更时，应确认变更，并制定变更方案；建立系统变更管理制度，明确系统变更前的申请、方案评审和实施情况等的规定；建立系统变更控制的申报和审批程序，对变更影响进行分析和记录；建立中止变更的程序，明确过程控制和人员职责，按需进行恢复演练。9.5.11 备份与恢复管理由管理人员负责识别需要定期备份的重要业务信息、数据及软件系统；建立备份与恢复管理制度，明确备份方式、备份频度、存储介质和保存期限等规定；建立数据备份和恢复策略；采用合适的备份系统和备份软件，对备份过程进行记录，所有文件与记录妥善存储；定期检查恢复手段的有效性，测试备份介质的有效性263、，确保恢复效果。9.5.12 安全事件处置建立安全事件报告和处置管理制度，明确有关规定；根据国家有关要求，对安全事件进行等级划分；建立安全事件报告和响应处理程序，明确有关规定；安全事件报告和响应处理过程中，应分析鉴定原因，收集证据，记录处理过程，总结经验，完善补救措施，所有记录和文档都应妥善保存；对有重大影响的安全事件（如系统中断、信息泄密等）采用不同的处理程序和报告程序。9.5.13 应急预案管理建立统一的应急预案框架及不同事件对应的应急预案，明确相关内容；确保应急预案的各方面保障到位；每年至少举办一次对系统相关人员的应急预案培训，确保培训效果；定期对应急预案进行演练，根据不同的恢复内容，确定演练周期；建立预案审查和更新的相关管理规定，并按照执行。