1、信息平安等級評測師課堂筆記1. 網絡平安測評1.1 網絡全局1.1.1 結構平安1. 應該保證主要網絡設備的業(yè)務處理能力具備 冗 余空間，滿足業(yè)務頂峰期需要； / 硬件要 達標 , 也就是硬件的性能不能局限于剛好夠 用的地步2. 應該保證網絡的各個局部的帶寬滿足業(yè)務高 峰 期需要； / 帶寬要達標3. 應在業(yè)務終端與效勞器之間進行路由控制， 簡 歷平安的訪問路徑； / 傳輸過程中的信息 要加 密，節(jié)點和節(jié)點之間要進行認證， 例如 OSPF 的 認證：檢測方法： Cisco show ru & display cu4. 繪制與當前運行狀況相符合的網絡拓撲結構 圖；5. 根據各個部門工作智能，重要

2、性和所涉及信 息 的重要程度等一些因素，劃分不同的子網 或者 網段，并按照方便管理和控制的原那么為 各子網， 網段分配地址段； / 劃分 VLAN 最適宜 ,檢測 方法： Cisco show vlan Huawei display vlan all6. 防止將重要的網段不是在網絡邊界處且直接 連 接到外部信息系統(tǒng)，重要網段與其他網段 之間 采取可靠的技術手段隔離； / 重要網段 與其他 網段之間采用訪問控制策略，平安區(qū) 域邊界處 要采用防火墻，網閘等設備7. 按照對業(yè)務的重要次序來指定帶寬的分配優(yōu) 先 級別，保證在網絡發(fā)生擁堵時優(yōu)先保護重 要主 機；/ 有防火墻是否存在策略帶寬配置， 邊界

3、網絡設備是否存在相關策略配置僅僅 在邊界進行檢查？邊界完整性檢查1 能夠應對非授權的設備私自連接到內部網 絡 的行為進行檢查，能夠做到準確定位，并 能夠 對其進行有效阻斷； / 防止外部未經授 權的設 備進來2 應該能夠對內部網絡用戶私自連接到外部 網 絡的行為進行檢查，能夠做到準確定位， 并對 其進行有效的阻斷； / 防止內部設備繞 過平安 設備出去入侵防范1. 應該在網絡邊界處監(jiān)視以下行為的攻擊： 端 口掃 描，強力攻擊，木馬后門攻擊， 拒絕服 務攻擊， 緩沖區(qū)溢出攻擊， IP 碎片攻擊和網 絡蠕蟲攻 擊 / 邊界網關處是否部署了相應的 設備，部署 的設備是否能夠完成上述功能2. 當檢測到

4、攻擊行為時，能夠記錄攻擊源 IP ， 攻擊類型，攻擊目的，攻擊時間，在發(fā)生嚴 重入 侵事件時應該提供報警； / 邊界網關處 事都部 署了包含入侵防范功能的設備，如果 部署了， 是否能夠完成上述功能1.1.4 惡意代碼防范1. 應該在網絡邊界處對惡意代碼進行檢查和清 除； / 網絡中應該有防惡意代碼的產品，可 以是防 病毒網關，可以是包含防病毒模塊的 多功能安 全網關，也可以是網絡版的防病毒 系統(tǒng)產品2. 維護惡意代碼庫的升級和檢測系統(tǒng)升級； / 應該 能夠更新自己的代碼庫文件1.2 路由器1.2.1 訪問控制1 應在網絡邊界部署訪問控制設備，啟用訪 問 控制功能； / 路由器本身就具有訪問控制

5、 功能， 看看是否開啟了，如果在網絡邊界處單獨布置了其他訪問控制的產品，那就更好了2 .應能根據會話狀態(tài)的信息為數據流提供明確的允許/拒絕訪問的能力，控制力度為端口級；/要求ACL為擴展的ACL，檢測：show ip access-list & display acl config all依據平安策略，以下的效勞建議關閉：序號效勞名稱描述關閉方式1CDPCisco設備間特有的2No cdp run No cdpenable層協議2TCP UDPsmall service標準TCPUDP的網絡 效勞： 回應，生 成字 符等Noservicetcp-small-serviceNoserviceuc

6、p-small-servic e3FingerUNIX用戶查 找服 務，允 許用戶 遠程No ip finger No service finger列表4BOOTP允許其 他效勞 器從這 個路由 器引導No ip bootp server5Ip souerroutingIP特 性允許 數據包 指定他 們自己 的路由No ip source-route6ARP-Prox y啟用它 容易弓 起路由 表混舌LNo ip proxy-arp7IP directed broadcast數據包 能為廣 播識別 目的的VLANNo ip directed broadcast8WINS 和DNS路由器 能實行

7、DNSNo ipdomain-lookup解析3 .應對進出網絡的信息內容進行過濾，實現對應用層 , FTP, TELNET , SMTP ,POP3等協議命令級的控制；/網絡中如果 部署了 防火墻，這個一般要在防火墻上實現 4.應該在會話 處于非活潑一段時間后自動終 止連接；/防止無用的 連接占用較多的資 源，也就是會話超時自動退出5 .應該限制網絡最大流量數及網絡連接數；/根據IP地址，端口，協議來限制應用數據 流的最大帶寬， 從而保證業(yè)務帶寬不被占用，如果網絡中有防火墻， 一般要在防火墻上面實現6 .重要網絡應該采取技術手段防止地址欺 騙；/ARP 欺騙，解決方法： 把網絡中的所 有設備

8、都輸入到一 個靜態(tài)表中，這叫IP-MAC綁定;或者在內網的所有PC上設置 網關的靜態(tài) ARP信息，這叫PC IP-MAC7 .應該按照用戶和系統(tǒng)之間的允許訪問規(guī)貝嘰決定允許或拒絕用戶對受控系統(tǒng)進行資源訪問，控制粒度為單個用戶；限制用戶對一些敏感受控資源的 訪問，驗證： show crypto isakmp policy | showcrypto ipsec transform-set | show ip access-list8 .應該限制具有撥號訪問權限的用戶數量；/對通過遠程采用撥號方式或通過其他方式連入單位內網的用戶，路由器等相關設備應提供限制具有撥號訪問權限的用戶數量的相關功能，驗證

9、：show run & dis dialer1.2.2 平安審計1. 應對網絡系統(tǒng)中的網絡設備運行狀況，網絡流量，用戶行為等進行日志記錄；默認 情況下，路由器的這個效勞處于啟動狀態(tài)，驗證：show logging& dis cu2. 審計記錄應該包括：事件的日期和時間，用 戶， 事件類型，事件是否成功等相關信息； / 思科華為 路由器開啟日志功能就可以實 現3. 應能夠根據記錄數據進行分析， 并生成審計 報表； / 使用什么手段實現了審計記錄數據 的分析和報 表生成4. 應對審計記錄進行保護， 防止受到未預期的 刪除， 修改或者覆蓋； / 要備份日志記錄， 驗證： show logging &

10、 dis cu1.2.3 網絡設備保護1. 應該對登錄網絡設備的用戶進行身份鑒別； / 身份 鑒別，也就是要有密碼， vty 的密碼， enable 的 密碼 con 0 的密碼 .,驗證： show run & dis cu2. 應對網絡設備的管理員登錄地址進行限制； / 利用ACL 等對登錄到該設備的人員范圍 進行控制，驗 證： show run & dis cu3. 網絡設備用戶的表示應該唯一； / 本意是不 能有 多人公用一個帳號，這樣方便出現問題 的時候進 行追溯 ,show run & dis cu4.主要網絡設備應對同一用戶選擇兩種或者 兩種以上組 合鑒別技術來進行身份鑒別； /

11、 感覺好似是屢次的 認證5. 身份鑒別信息應該具有不易被冒用的特點， 口令應 該具有復雜度要求并且定期更換； / 網絡中或者是效勞器上的密碼存儲應該 采用密 文存儲： show run & dis cu6. 應該具有登錄失敗處理的能力，可采取結束 會話， 限制非法登錄次數和當網絡登錄連接 超時的時候自 動退出等措施； / 也就是超時 自動退出，輸入多少 次錯誤的密碼后自動凍 結帳號一段時間： show run& dis cu7. 當網絡設備進行遠程管理時，應該采取必要措施防止鑒別信息在網絡傳輸的過程中被竊聽；建議采用一些平安帶的協議，ssh， s等&應該實現設備特權用戶的權限別離；1.3交換機

12、訪問控制1. 應在網絡邊界部署訪問控制設備，啟用訪問控制功能；2. 應能根據會話狀態(tài)的信息為數據流提供明確的允許/拒絕訪問的能力，控制力度為端口級；3. 應對進出網絡的信息內容進行過濾，實現對應用層 ，FTP，TELNET，SMTP， POP3 等 協議命令級的控制；4. 應該在會話處于非活潑一段時間后自動終止連接;5. 應該限制網絡最大流量數及網絡連接數；6. 重要網絡應該采取技術手段防止地址欺騙；7. 應該按照用戶和系統(tǒng)之間的允許訪問規(guī)那么， 決定 允許或拒絕用戶對受控系統(tǒng)進行資源訪 問，控制 粒度為單個用戶；8. 應該限制具有撥號訪問權限的用戶數量；1.3.2 平安審計1. 應對網絡系統(tǒng)

13、中的網絡設備運行狀況， 網絡 流量， 用戶行為等進行日志記錄；2. 審計記錄應該包括：事件的日期和時間，用 戶， 事件類型，事件是否成功等相關信息；3. 應能夠根據記錄數據進行分析， 并生成審計 報表；4. 應對審計記錄進行保護， 防止受到未預期的 刪除， 修改或者覆蓋；1.3.3 網絡設備的保護1. 應該對登錄網絡設備的用戶進行身份鑒別；2. 應對網絡設備的管理員登錄地址進行限制； / 利用 ACL 等對登錄到該設備的人員范圍進 行控制；3. 網絡設備用戶的表示應該唯一； / 本意是不 能有 多人公用一個帳號，這樣方便出現問題 的時候進 行追溯4. 主要網絡設備應對同一用戶選擇兩種或者兩 種

14、以 上組合鑒別技術來進行身份鑒別； / 感 覺好似是 屢次的認證5. 身份鑒別信息應該具有不易被冒用的特點， 口令 應該具有復雜度要求并且定期更換；6. 應該具有登錄失敗處理的能力， 可采取結束 會話， 限制非法登錄次數和當網絡登錄連接 超時的時候 自動退出等措施；7. 當網絡設備進行遠程管理時，應該采取必要 措施 防止鑒別信息在網絡傳輸的過程中被竊 聽； / 建 議采用一些平安帶的協議， ssh ， s 等8. 應該實現設備特權用戶的權限別離；1.4 防火墻防火墻的要求完全和路由交換機完全一樣IDS1.5IDS 的要求完全和路由交換機完全一樣 主機平安測評2.操作系統(tǒng)測評2.1身份鑒別1.

15、應對登錄操作系統(tǒng)和數據庫系統(tǒng)的用戶進行 身份表示和鑒別； / 登錄階段要有密碼保護 機制， 例如 window 的登錄界面； linux 用 戶密碼的保 存路徑： /etc/shadow2. 操作系統(tǒng)和數據庫系統(tǒng)管理用戶身份鑒別信 息應 該具有不易被冒用的特點，口令應該具 有復雜度 要求并且定期更換； / 口令最好要查看 linux 下#登錄密碼有# 登錄密碼最短#登錄密碼的最#登錄密碼過定期更換，并且應該具有一定的復雜度，例 如數字 +大小寫字母 +符號之類的 使用 more /etc/login.defs 的文件內容及其各自含義 PASS_MAX_DAYS 90 效期 90 天 PASS_

16、MIN_DAYS 0 修改時間 PASS_MIN_LEN 8 小長度 8 位 PASS_WARN_AGE 7 期提 前 7 天提示修改 FALL_DELAY 10 待時間 10 秒 FALLOG_ENAB yes 到日#登錄錯誤時等SYSLOG_SU_ENAB yes戶管 #當 戶管 限理日志時使用定超SYSLOG_SG_ENAB yes戶組 級管理日志時使用用MD5_CRYPT_ENAB yes為密碼的加密方法時使用3. 啟用登錄失敗處理功能，可采取結束會話， 限制 非法登錄次數和自動退出等措施； /window 下直 接測試錯誤次數； linux 下 記錄 /etc/pam.d/syste

17、m-auth 文件中是 否存 在 account required /lib.security.pam_tally.so deny=5 no_magic_root reset4. 當對效勞器進行遠程管理時，應該采取必要措施，防止信息在網絡傳輸過程中被竊聽；/linux 下查看： 1. 首先查看是否安裝 ssh的相應包： rpm - aq | grep ssh 或者查看 是否 運行了該效勞： service - status-all | grep sshd2. 如果已經安裝那么看相應端口是 否翻開： netstat - an|grep 22 3. 假設有 SSH ，那么查看是 否還有 Telne

18、t 方式進行遠 程連接： serivce- status-all|grep running5. 應為操作系統(tǒng)和數據庫的不同用戶分配不同 的 用戶名，確保用戶名具有唯一性； /linux 下 cat /etc/passwd6. 應采取兩種或者兩種以上的認證對管理員用 戶 進行鑒別；2.1.2 訪問控制1. 實現操作系統(tǒng)和數據庫系統(tǒng)特權用戶的權限 分 離；2. 應該啟用訪問控制功能，依據平安策略控制 用戶 對資源的訪問； /Linux 下使用 ls -l 文件名 命令查看重要文件和目錄權限設置是否合理，例如Is - I/etc/passwd #744 默認存在問題的賬戶，/etc/passwd 文

19、件權限為 6663. 應該嚴格限制默認賬戶的訪問權限，重命名 系統(tǒng) 默認賬戶，修改這些賬戶的默認口令； / 默認賬 戶建議禁止， 建議默認賬戶重命名； Iinux 下查 看 cat /etc/shadow, 用戶名前 有 #號，表示已經 被禁用4. 及時刪除多余的， 過期 的賬戶，防止共享賬 戶 的存在；5. 應對重要的資源設置敏感標記； /cat /etc/passwd6. 應該根據平安策略嚴格控制用戶對有敏感標重要信息資源的操作；2.1.3 平安審計1. 審計范圍應覆蓋到效勞器和重要客戶端上的 每個操 作系統(tǒng)和數據庫用戶；2. 審計內容應該包括重要的用戶行為，系統(tǒng)資 源的異 常使用和重要系

20、統(tǒng)命令的使用等系統(tǒng) 內重要的平安 相關事件；3. 審計的記錄應該包括時間的日期，時間，類 型。主 體標識，客體標識和結果等；4. 應能夠根據記錄數據進行數據分析，并生成 審計報 表；5. 應保護審計進程，防止受到未預期的中斷；6. 應該保護審計記錄， 防止受到未預期的刪除， 修 改和覆蓋等；剩余信息保護1.應保證操作系統(tǒng)和數據庫系統(tǒng)用骨灰的鑒別信息所在的存儲空間，被釋放活再分配給其他用戶前得到完全去除，無論這些信息是存 放 在硬盤上還是存在內存中；2. 應確保系統(tǒng)內的文件，目錄和數據庫記錄等 資 源所在存儲空間，被釋放活重新分配給其 他用 戶前得到完全清楚；2.1.5 入侵防范1. 應該能夠檢

21、測到對重要效勞器進行入侵的行 為， 能夠記錄入侵的源IP，攻擊的類型，目的，時間，并在發(fā)生嚴重入侵事件時提供報 警； 警；2. 能夠對重要程序的完整性進行檢測，并在檢 測 到完整性收到破壞后具有恢復措施；3.操作系統(tǒng)應該遵循最小安裝原那么，僅僅安裝 需要的組件和應用程序，并通過設置升級服 務 器等方式保持系統(tǒng)補丁及時得到更新；惡意代碼防范1. 應安裝防范惡意代碼的軟件， 并及時更新防 范惡 意代碼軟件版本和惡意代碼庫；2. 主機防范惡意代碼庫產品應具有與網絡防惡意代碼產品不同的惡意代碼庫；3. 應支持防惡意代碼的同意管理；資源控制1. 通過設置終端接入方式，網絡地址范圍等條 件限制終端登錄；2

22、. 應根據平安策略設置登錄終端的操作超時鎖3. 應對重要效勞器進行監(jiān)視，包括監(jiān)視效勞器 的CPU ，硬盤，內存，網絡等資源的使用情 況；4. 應該限制單一用戶對系統(tǒng)資源的最大或最小 使 用限度；5. 應能夠對系統(tǒng)的效勞水平降低到預先規(guī)定的 最 小值進行檢測和報警；2.2數據庫系統(tǒng)測評身份鑒別1. 應對登錄操作系統(tǒng)和數據庫系統(tǒng)的用戶進行 身 份標記和鑒別；2. 操作系統(tǒng)和數據庫系統(tǒng)管理用戶身份鑒別信 息 應該具有不易被冒用的特點，口令應該具 有復 雜度要求并且定期更換；3. 啟用登錄失敗處理功能，可采取結束會話， 限 制非法登錄次數和自動退出等措施；4. 當對效勞器進行遠程管理時，應該采取必要

23、措 施，防止信息在網絡傳輸過程中被竊聽5. 應為操作系統(tǒng)和數據庫的不同用戶分配不同 的 用戶名，確保用戶名具有唯一性；2.2.2 訪問控制1. 應該啟用訪問控制功能，依據平安策略控制 用 戶對資源的訪問；2. 應根據管理用戶的角色分配權限，實現管理 用 戶的權限別離，僅僅授予管理用戶最小的 權限3. 實現操作系統(tǒng)和數據庫系統(tǒng)特權用戶的權限 分 離；4. 應該嚴格限制默認賬戶的訪問權限，重命名 系 統(tǒng)默認賬戶，修改這些賬戶的默認口令；5. 及時刪除多余的， 過期 的賬戶，防止共享賬 戶 的存在；6. 應對重要的資源設置敏感標記；7.應該根據平安策略嚴格控制用戶對有敏感標 記重要信息資源的操作；2

24、.2.3 平安審計1. 審計范圍應覆蓋到效勞器和重要客戶端上的 每 個操作系統(tǒng)和數據庫用戶；2. 審計內容應該包括重要的用戶行為，系統(tǒng)資 源 的異常使用和重要系統(tǒng)命令的使用等系統(tǒng) 內重要 的平安相關事件；3. 審計的記錄應該包括時間的日期， 時間，類 型。 主體標識，客體標識和結果等；4. 應能夠根據記錄數據進行數據分析，并生成 審 計報表；5. 應保護審計進程，防止受到未預期的中斷；6. 應該保護審計記錄， 防止受到未預期的刪除， 修 改和覆蓋等；資源控制1. 應通過設定終端接入方式，網絡地址范圍等條件限制終端登錄；2. 應該根據平安策略設置登錄終端操作超時鎖 定；3. 應該限制單個用戶對系

25、統(tǒng)資源的最大或最小 使 用限度。3. 應用平安測評3.1 身份鑒別1. 應提供專用的登錄控制模塊對登錄用戶進行 身 邊標記和鑒別；2. 應對同一個用戶采用兩種或者兩種以上組合 的 鑒別技術實現用書身份鑒別；3. 應提供用戶身份標識唯一和鑒別信息復雜度檢查功能，保證應用系統(tǒng)中不存在重復用戶 身份標識，身份鑒別信息應該不易被冒用；4. 應能夠提供登錄失敗的處理功能，可采取結 束 會話，限制非法登錄次數和自動退出等措 施；5. 應用身份鑒別，用戶身份標識唯一性檢查， 用戶身份鑒別信息復雜度檢查，以及登錄失 敗處理能力，并根據平安策略配置相關參數；3.2 訪問控制1. 應提供訪問控制功能，依據平安策略

26、控制用 戶 對文件，數據庫表等客體的訪問；2. 訪問控制的覆蓋范圍應該包括與資源訪問相 關 的注意，客體以及他們之間的操作；3. 應該由授權主體配置訪問控制策略，并嚴格 限 制默認賬戶的訪問權限；4. 應授予不同賬戶為完成各自承擔任務所需要 的最小權限，并在他們之間形成相互制約的 關系；5. 應具有對重要信息戲院設置敏感標記的功 能；6. 應依據平安策略嚴格控制用戶對有敏感標記 重 要信息資源的操作；平安審計3.3 1. 應提供覆蓋到每個用戶的平安審計功能，對 應 用系統(tǒng)重要平安時間進行審計；2. 應保證無法單獨終端審計進程，無法刪除， 修 改或者覆蓋審計記錄；3. 審計的記錄應該包括時間的日

27、期， 時間，類 型。 主體標識，客體標識和結果等；4. 應能夠根據記錄數據進行數據分析，并生成 審 計報表；剩余信息的保護3.4 1. 應保證操作系統(tǒng)和數據庫系統(tǒng)用骨灰的鑒別信息所在的存儲空間，被釋放活再分配給其他用戶前得到完全去除，無論這些信息是存 放 在硬盤上還是存在內存中；2. 應確保系統(tǒng)內的文件，目錄和數據庫記錄等 資 源所在存儲空間，被釋放活重新分配給其 他用 戶前得到完全清楚；3.53.6通信完整性1. 應采用密碼技術保證通信過程中數據的完 整性； 通信的保密性1. 在通信雙方簡歷連接之前，應用系統(tǒng)應該利 用密 碼技術進行會話的初始化驗證；2. 應對通信過程中的整個報文活會話過程進

28、行 加抗抵賴3.7 1. 應具有在請求的情況下為數據原發(fā)者或者接 收者提供數據原發(fā)者證據的功能；3.83.92.應具有在請求情況下為數據原發(fā)者或接收者 提 供數據接收證據的功能；軟件容錯1. 應提供數據有效性校驗功能，保證通過人機 接口 或者通過通信接口輸入的數據格式或者 長度符合 系統(tǒng)設定要求；2. 應該提供自我保護功能，當故障發(fā)生時自動 保護 當前所有狀態(tài)， 保證系統(tǒng)能夠進行恢復； 資源控 制1. 當應用系統(tǒng)的通信雙方中的一方在一段時間 內 未做任何響應， 另一方能夠自動結束會話；2. 應能夠對系統(tǒng)的最大并發(fā)連接數進行限制；3. 應能夠對單個賬戶的多重并發(fā)會話進行限 制；4. 應能夠對一個

29、時間段內可能的并發(fā)會話書進 行 限制；5.能夠對一個訪問賬戶或者一個請求進程占用的資源分配最大限額和最小限額進行控制；6. 應能夠對系統(tǒng)效勞水平降低到預先規(guī)定的最 小值進行檢測和報警；4 數據平安測評4.1 數據完整性1. 應能夠檢測系統(tǒng)管理數據，鑒別信息和重要 業(yè)務 數據在傳輸過程中完整性是否受到破 壞，并在 檢測到完整性錯誤時采取必要的恢 復機制；2. 應能夠檢測到系統(tǒng)管理數據，鑒別信息和重 要業(yè) 務數據在存儲過程中完整性是否收到破 壞，并 在檢測到破壞的時候能夠采取必要的 恢復措施；4.2 數據保密性1. 應采用加密或者其他有效措施實現系統(tǒng)管理 數據， 鑒別信息和重要業(yè)務數據傳輸的保密

30、性；2. 應采用加密或者其他有效措施實現系統(tǒng)管理 數據， 鑒別信息和重要業(yè)務數據存儲的保密 性；4.3 備份和恢復1. 應提供本地數據備份與恢復功能，完全數據 備份至少每天一次，備份介質場外存放；2. 應提供數據異地備份功能，利用通信網絡將 關鍵 數據定時批量傳送至備用場地；3. 應采用冗余技術設計網絡拓撲結構，防止關 鍵 節(jié)點存在單點故障；4. 應提供主要網絡設備，通信線路和數據處理 系統(tǒng)的硬件冗余，保證系統(tǒng)的高可用性；5 物理平安測評5.1 物理位置的選擇； 選擇在具有防風防震防 雨 等能力的建筑物內，防止在建筑物的頂層 或者 地下室，用水設備的下層或者隔壁 物理訪問控5.2 制； 不能讓

31、人隨便進出機房， 進出必須授權 ， 防盜和防破壞； 防雷擊；5.3 防火； 有無消防器材5.4防水和防潮； 機房內不能有漏水，積水或 者5.5返潮現象5.6防靜電； 機房的地板，工作臺和主要設備 是 否采用了不易產生靜電的材料 溫濕度控制； 機5.7房是否有溫濕度自動調節(jié) 設備5.9電力供應和電磁防護； 是否有電源穩(wěn)壓器，UPS ，設備是否有電磁屏蔽層，設備外殼是 否接地平安管理測評6.1 平安管理制度 管理制度 / 了解平安管理制度體系的構成 平安管理制度的指定和發(fā)布 / 了解平安制度指 定的流程和方法評審和修訂 / 對平安管理制度進行定期的評審 和修訂6.2 平安管理機構 崗位設定 人員配備 授權和審批 溝通和合作審核和審查6.3人員平安管理人員錄用人員離崗人員考核平安意識教育和培訓外部人員訪問管理6.4系統(tǒng)建設管理系統(tǒng)定級平安方案設計產品采購自行軟件開發(fā)外包軟件開發(fā)工程實施測試驗收系統(tǒng)支付625系統(tǒng)備案 登記測評 平安效勞商選擇6.5 系統(tǒng)運維管理 環(huán)境管理 資產管理 介質管理 設 備管理 監(jiān)控管理和平安管理中心 網絡平安管理 系統(tǒng)平安管理 惡意代碼防范管理 密碼管理 變更 管理 備份與恢復管理 平安時間處置 應急元管理 7工具測試7