大型制造企業等級保護安全建設整改方案

第1章項目概述

XX大型制造型企業是國內一家大型從事制造型出口貿易的

大型綜合企業集團，為了落實國家及集團的信息安全等級保護

制度，提高信息系統的安全防護水平，細化各項信息網絡安全

工作措施，提升網絡與信息系統工作的效率，增強信息系統的

應急處置能力，確保信息系統安全穩定運行，集團參照國家等

級保護標準的要求，找出系統現有安全措施的差距，為安全整

改建設提供依據。

本方案針對XX大型制造型企業網絡信息系統的安全問題，

進行安全整改加固建議。

1.1項目目標

本方案將通過對集團網絡信息系統的安全現狀進行分析工

作，參照國家信息系統等級保護要求，找出信息系統與安全等

級保護要求之間的差距，給出相應的整改意見，推動網絡信息

系統安全整改工作的進行。

根據XX大型制造型企業集團信息系統目前實際情況，綜合

考慮信息系統現有的安全防護措施，存在的問題和薄弱環節，

提供完善的安全整改方案，提高信息系統的安全防護水平，完

善安全管理制度體系。

資產是企業網絡安全的最終評估對象。在一個全面的企業

網絡安全中，風險的所有重要因素都緊緊圍繞著資產為中心，

威脅、脆弱性以及風險都是針對資產而客觀存在的。威脅利用

資產自身的脆弱性使得安全事件的發生成為可能，從而形成了

風險。這些安全事件一旦發生，將對資產甚至是整個系統都將

造成一定的影響。

因此資產的評估是企業網絡安全的一個重要的步驟，它被

確定和估價的準確性將影響著后面所有因素的評估。本項目中

資產評估的主要工作就是對信息系統企業網絡安全范圍內的資

產進行識別，確定所有的評估對象，然后根據評估的資產在業

務和應用流程中的作用為資產進行估價。

根據整個資產評估報告的結果可以清晰的分析出信息系統

中各主要業務的重要性比較，以及各業務中各種類別的物理資

產、軟件資產和數據資產的重要程度，明確各業務系統的關鍵

資產，確定安全評估和保護的重點對象。

1.2項目范圍

本文檔適用于指導XX大型制造型企業集團網絡信息系統安

全整改加固建設工作。

1.3整改依據

主要依據：

?《信息安全技術信息系統安全等級保護基本要求》

(GB/T22239-2008)

?《信息安全技術信息系統通用安全技術要求》

(GB/T20271-2006)

?《信息安全技術信息系統等級保護安全設計技術要

求》(GB/T25070-2010)

?《信息安全技術信息系統安全管理要求》

(GB/T20269-2006)

?《信息安全技術信息系統安全工程管理要求》

(GB/T20282-2006)

?《信息安全技術信息系統物理安全技術要求》

(GB/T21052-2007)

?《信息安全技術網絡基礎安全技術要求》

(GB/T20270-2006)

?《信息安全技術信息系統安全等級保護體系框架》

(GA/T708-2007)

?《信息安全技術信息系統安全等級保護基本模型》

(GA/T709-2007)

?《信息安全技術信息系統安全等級保護基本配置》

(GA/T710-2007)

?GBT20984信息安全風險評估規范

?GBT22239信息安全技術信息系統安全等級保護基本要

求

?GBZ20985信息技術安全技術信息安全事件管理指南

第2章安全整改原則

保密性原則：對安全服務的實施過程和結果將嚴格保密，

在未經授權的情況下不會泄露給任何單位和個人，不會利用此

數據進行任何侵害客戶權益的行為；

標準性原則：服務設計和實施的全過程均依據國內或國際

的相關標準進行；根據等級保護基本要求，進行分等級分安全

域進行安全設計和安全建設。

規范性原則：在各項安全服務工作中的過程和文檔，都具

有很好的規范性，可以便于項目的跟蹤和控制；

可控性原則：服務所使用的工具、方法和過程都會與集團

雙方認可的范圍之內，服務進度遵守進度表的安排，保證雙方

對服務工作的可控性；

整體性原則：服務的范圍和內容整體全面，涉及的IT運行

的各個層面，避免由于遺漏造成未來的安全隱患；

最小影響原則：服務工作盡可能小的影響信息系統的正常

運行，不會對現有業務造成顯著影響。

體系化原則：在體系設計、建設中，需要充分考慮到各個

層面的安全風險，構建完整的立體安全防護體系。

先進性原則：為滿足后續不斷增長的業務需求、對安全產

品、安全技術都充分考慮前瞻性要求，采用先進、成熟的安全

產品、技術和先進的管理方法。

服務細致化原則：在項目咨詢、建設過程中將充分結合自

身的專業技術經驗與行業經驗相結合，結合現網的實際信息系

統量身定做才可以保障其信息系統安全穩定的運行。

第3章系統現狀分析

3.1系統定級情況說明

綜合考慮信息系統的業務信息和系統服務類型，以及其受

到破壞時可能受到侵害的客體以及受侵害的程度，已將系統等

級定為等級保護第三級、根據就高不就低的原則，整體網絡信

息化平臺按照三級進行建設。

3.2業務系統說明

本次參加整改的共有3個信息系統，分別是0A系統、物流

查詢系統、智能制造系統，其中比較重要的是物流查詢系統，

具體情況介紹如下：

物流查詢電子化管理系統（網絡版）歷經系統開發、模擬

測試、網絡、硬件設備安裝部署，已經正式啟動試運行工作，

在試點和實施過程當中發現系統仍有不足之處，需要對系統進

行深入完善和改進，其具有應用面廣、用戶規模大，并涉及到

財政性資金的重要數據信息，以及基于公眾網上部署的特性，

因此系統自身和運行環境均存在一定的安全風險，在數據傳

輸、安全加密、網絡監控、防入侵等方面的必須要建立一套更

有效更完善的安全保護體系和措施。

3.3安全定級情況

信息系統定級是等級保護工作的首要環節，是開展信息系

統安全建設整改、等級測評、監督檢查等后續工作的重要基

礎。根據《信息安全等級保護管理辦法》，信息系統的安全保護

等級應當根據信息系統在國家安全、經濟建設、社會生活中的

重要程度，信息系統遭到破壞后對國家安全、社會秩序、公共

利益以及公民、法人和其他組織的合法權益的危害程度等因素

確定。具體如下：

第4章現網安全風險分析

4.1網絡安全風險

4.1.1互聯網出口未采用冗余架構

通過網絡架構分析，我們發現現網出口網絡：互聯網出口

的入侵防御檢測系統、下一代防火墻、上網行為管理等未采用

冗余架構，存在單點故障風險。

4.1.2缺少安全防護功能

通過網絡架構分析和安全基線核查，我們發現現有的網

絡：互聯網出口的下一代防火墻，入侵防御、web應用防護、

防病毒模塊授權已經過期，安全防護特征庫已無法升級更新，

失去安全防護功能。

4.1.3弱資源控制

通過網絡架構分析和安全基線核查，我們發現現網網絡：

鏈路負載、下一防火墻未設置網絡的最大鏈接數，存在資源耗

盡的風險。

4.1.4弱設備安全

通過網絡架構分析和安全基線核查，我們發現現網網絡：

網絡設備和安全設備存在共享賬號，無法實現有效的身份鑒

別，未實現雙因素鑒別，存在弱口令，未周期修改密碼，部分

網絡設備未啟用登錄設備失敗功能和密碼復雜度要求，存在口

令爆破的風險；未對網絡設備和安全設備可管理地址進行限

制，交換機使用telnet進行管理存在鑒別信息被竊取的風險。

4.1.5弱安全審計

通過網絡架構分析和安全基線核查，我們發現現網網絡：

未配置專業日志審計設備，無法對審計記錄進行有效的保護，

無法定期日志長期保存和有效審計。

4.1.6缺少安全管理中心

通過網絡架構分析和安全基線核查，我們發現現網網絡：

缺少安全管理中心，無法有效的組織相關人員定期對檢測和報

警的記錄進行分析、評審和報告，無法對設備狀態、惡意代

碼、補丁審計、安全審計等相關事項進行集中管理，且系統中

存在主機和web的圖危漏洞。

4.2主機安全風險

4.2.1存在高風險安全漏洞

通過漏洞掃描，我們發現0A系統主機上存在高風險安全漏

洞：0penSSH<7.0存在多個漏洞等，極易引發安全事件。

通過這些漏洞，攻擊者可以對業務系統主機進行攻擊，獲

得主機的控制權限。同時，在拿到主機的控制權限后，攻擊者

還可以此為跳板，對網絡中的其他主機、設備進行監聽和攻

擊O

4.2.2弱身份鑒別能力

通過安全基線核查，我們發現物流查詢系統主機上：操作

系統的密碼策略、賬戶鎖定策略沒有配置啟用。數據庫系統的

密碼策略和鎖定策略沒有配置啟用、系統未采用兩種或以上的

認證方式進行身份鑒別，無法實現有效的身份鑒別。

通過利用弱身份鑒別能力，攻擊者可以對業務系統主機進

行口令爆破，獲得主機的控制權限。同時，在拿到主機的控制

權限后，攻擊者還可以此為跳板，對網絡中的其他主機、設備

進行監聽和攻擊。

4.2.3弱訪問控制能力

通過安全基線核查，我們發現系統主機上：操作系統管理

使用root賬戶，數據庫和主機是同一人管理，未能實現操作系

統和數據庫系統特權用戶的權限分離；數據庫系統開啟XDB危

險服務；存在數據庫系統的應用賬戶INVT0A3擁有DBA權限。

未對重要信息資源設置敏感標記；未限制登錄終端的操作超時

鎖定時間；未設定終端接入方式、網絡地址范圍等條件限制終

端登錄。

通過利用弱訪問控制能力，在攻擊者拿到一部分系統訪問

權限后可實現越權。

4.2.4弱安全審計能力

通過安全基線核查和網絡架構分析，我們發現0A系統未部

署專業的日志審計設備或軟件，審計日志僅保存在主機本地，

無法生成審計報表和自動告警。

這類弱安全審計能力，會導致系統安全事件時無法有效的

記錄和保存日志，影響安全事件的溯源。

4.2.5缺少入侵防范能力

通過安全基線核查和漏洞掃描，我們發現現網系統未能夠

對重要程序的完整性進行檢測，數據庫系統和操作系統軟件和

補丁未及時更新，主機掃描存在漏洞。缺少入侵防范能力，攻

擊者會較容易利用漏洞進行入侵攻擊，系統容易遭到破壞。

4.2.6缺少惡意代碼防范能力

通過安全基線核查，我們發現物流查詢系統操作系統未安

裝防惡意代碼軟件。缺少惡意代碼防范能力容易是系統受到惡

意代碼的侵害。

4.2.7缺少資源控制能力

通過安全基線核查，我們發現0A系統沒有限制單用戶對系

統資源的最大或最小使用限度；未有措施對服務器進行監視，

包括監視服務器的CPU、硬盤、內存、網絡等資源的使用情

況；未能夠對系統的服務水平降低到預先規定的最小值進行檢

測和報警。缺少資源控制能力容易導致系統資源被耗盡，容易

遭受DDoS（分布式拒絕攻擊）的侵害。

4.3應用安全風險

4.3.1存在高風險安全漏洞

通過漏洞掃描和滲透測試，我們發現相關應用系統存在高

風險安全漏洞：SQL盲注、URL重定向、跨站腳本攻擊等，極易

引發安全事件。

通過這些漏洞，攻擊者可以對業務系統主機進行攻擊，獲

得web應用的權限和數據，甚至獲取到主機權限。

4.3.2弱身份鑒別能力

通過安全基線核查，我們發現0A系統上：應用系統沒有登

錄失敗處理；沒有用戶身份鑒別信息復雜度檢查；應用系統僅

使用用戶名加口令的單因素認證方式；系統未設置超時自動退

出功能。

通過利用弱身份鑒別能力，攻擊者可以對業務系統進行口

令爆破，獲得業務系統的控制權限。同時，在拿到業務系統的

控制權限后，攻擊者還可以此為跳板，對網絡中的其他主機、

設備進行監聽和攻擊。

4.3.3未進行傳輸加密

通過安全基線核查，我們發現倉儲系統上：應用系統未采

用hash技術或者HTTPS協議，未能保證通信過程中數據的完整

性與保密性、應用系統鑒別信息明文傳輸。

通過利用未進行傳輸加密，攻擊者可嗅探網絡數據竊取到

應用傳輸消息，甚至是用戶鑒別信息、個人信息等敏感信息。

4.3.4缺少資源控制能力

通過安全基線核查，我們發現0A系統：系統未對單個賬戶

的多重并發會話進行限制；未能夠對系統服務水平降低到預先

規定的最小值進行檢測和報警。

缺少資源控制能力容易導致系統資源被耗盡，容易遭受

DDoS（分布式拒絕攻擊）的侵害。

4.4數據安全和備份恢復風險

4.4.1缺少數據完整性和數據保密性能力

通過安全基線核查，我們發現三個系統：未采取有效措施

對數據完整性進行檢查；鑒別信息明文傳輸，未能保證鑒別信

息的通信和存儲的保密性。

缺少數據完整性和數據保密性能力，容易導致數據被篡改

和數據泄露的風險。

4.5管理安全風險

4.5.1缺少維護手冊和用戶操作規程

通過管理體系檢查，我們發現現網的管理體系缺少網絡設

備、安全設備、主機系統、應用系統、數據庫的維護手冊和用

戶操作規程等。

4.5.2缺少執行記錄和審批記錄文件

通過管理體系檢查，我們發現現網管理體系缺少各項信息

安全關鍵事項的執行記錄和審批記錄文件，如：備份恢復執行

記錄和審批記錄、變更執行記錄和審批記錄、防惡意代碼檢查

記錄執行記錄和審批記錄文、漏洞檢查執行記錄和報告、日志

審計執行記錄和報告、補丁升級執行記錄和審批記錄文、安全

事件處理記錄和審批記錄文、培訓記錄和考核記錄、應急演練

執行記錄和報告等。

4.5.3缺少管理體系評審和修訂

通過管理體系檢查，我們發現管理體系缺少未定期對ISMS

管理體系的合理性和適用性進行評審和修訂，以及ISMS執行和

落實情況進行檢查和審核。

4.5.4缺少總體建設規劃和詳細設計方案

通過管理體系檢杳，我們發現ISMS管理體系未根據企業的

安全需求和安全目標，統一考慮安全保障體系的總體安全策

略、安全技術框架、安全管理策略設計總體建設規劃和詳細設

計方案，并形成配套文件。

4.5.5工程驗收和交付缺少部分環節

通過對管理體系檢查，我們發現ISMS管理體系未在工程的

測試驗收缺少必要安全性測試和安全報告，在工程交付中未未

進行運維手冊的定制。

4.5.6未定期進行應急演練

通過管理體系檢查，我們發現ISMS管理體系未在統一的應

急預案框架下制定不同事件的應急預案，應急預案框架應包括

啟動應急預案的條件、應急處理流程、系統恢復流程、事后教

育和培訓等內容，并定期進行應急演練及事后教育和培訓。

4.5.7未定期進行安全評估和安全加固

通過管理體系檢查，我們發現ISMS管理體系未定期進行惡

意代碼檢查掃描、漏洞掃描及漏洞加固、未定期進行整體的安

全評估及風險整改。

4.5.8缺少安全管理中心

通過網絡架構分析、安全基線核查和管理體系檢查，我們

發現整體網絡：缺少安全管理中心，無法有效的組織相關人員

定期對檢測和報警的記錄進行分析、評審和報告，無法對設備

狀態、惡意代碼、補丁審計、安全審計等相關事項進行集中管

理，且系統中存在主機和web的高危漏洞。

第5章安全需求分析

5.1安全計算環境需求分析

根據前期差距分析結果，該信息系統如果想達到等級保護

三級關于安全計算環境的要求，還需要滿足以下需求：

主機防病毒：該信息系統缺少主機防病毒的相關安全策

略，需要配置網絡版主機防病毒系統，從而實現對全網主機的

惡意代碼防范。

數據庫審計：該信息系統缺少針對數據的審計設備，不能

很好的滿足主機安全審計的要求，需要部署專業的數據庫審計

設備。

運維堡壘主機：該信息系統無法實現管理員對網絡設備和

服務器進行管理時的雙因素認證，需要部署堡壘機來實現。

備份與恢復：該信息系統沒有完善的數據備份與恢復方

案，需要制定相關策略。同時，該信息系統沒有實現對關鍵網

絡設備的冗余，建議部箸雙鏈路確保設備冗余。

5.2安全區域邊界需求分析

根據前期差距分析結果，該信息系統如果想達到等級保護

三級關于安全區域邊界的要求，還需要滿足以下需求：

邊界訪問控制：該信息系統無法實現對邊界的訪問控制，

需要部署防火墻等安全設備來實現。

邊界入侵防范：該信息系統無法實現對邊界的訪問控制，

需要部署防火墻等安全設備來實現。

邊界惡意代碼過濾：該信息系統無法實現對邊界的訪問控

制，需要部署防火墻等安全設備來實現。

防web攻擊：該信息系統無法實現對邊界的訪問控制，需

要部署防火墻等安全設備來實現。

安全域邊界安全審計：該信息系統無法實現對邊界的訪問

控制，需要部署署網絡安全審計等安全設備來實現。

互聯網出口安全審計：該信息系統無法實現對邊界的訪問

控制，需要部署行為管理等設備來實現。

5.3安全通信網絡需求分析

根據前期差距分析結果，該信息系統如果想達到等級保護

三級關于安全通信網絡的要求，還需要滿足以下需求：

通信完整性和保密性：該信息系統無法實現對邊界的訪問

控制，需要部署SSLVPN等安全設備來實現。

流量管理：該信息系統無法實現對邊界的訪問控制，需要

部署流量管理系統等安全設備來實現。

5.4安全管理中心需求分析

根據前期差距分析結果，該信息系統如果想達到等級保護

三級關于安全管理中心的要求，還需要滿足以下需求：

統一日志平臺：該信息系統無法實現對相關網絡及安全設

備的日志審計功能，需要部署日志審計系統來實現。

統一監控平臺：該信息系統無法統一展示邊界的安全威脅

情況，需要部署安全感知平臺等來實現。

統一管理平臺：該信息系統無法實現對邊界的訪問控制，

需要部署運維堡壘主機來實現。

第6章總體安全設計

6.1總體設計目標

本次安全等級保護整改方案設計的總體目標是依據國家等

級保護的有關標準和規范，結合現網信息系統的現狀，對其進

行重新規劃和合規性整改，為其建立一個完整的安全保障體

系，有效保障其系統業務的正常開展，保護敏感數據信息的安

全，保證信息系統的安全防護能力達到《信息安全技術信息系

統安全等級保護基本要求》中第三級的相關技術和管理要求。

6.2總體安全體系設計

本項目提出的等級保護體系模型，必須依照國家等級保護

的相關要求，利用密碼、代碼驗證、可信接入控制等核心技

術，在“一個中心三重防御”的框架下實現對信息系統的全面

防護。

安全管理中心

安全管理中心是整個等級保護體系中對信息系統進行集中

安全管理的平臺，是信息系統做到可測、可控、可管理的必要

手段和措施。依照信息系統等級保護安全設計技術要求中對安

全管理中心的要求，一個符合基于可信計算和主動防御的等級

保護體系模型的安全管理中心應至少包含以下三個部分：

系統管理

實現對系統資源和運行的配置。控制和管理，并對系統管

理員進行身份鑒別，只允許其通過特定的命令或操作界面進行

系統管理操作，并對這些操作進行審計。

安全管理

實現對系統中的主體、客體進行統一標記，對主體進行授

權，配置一致的安全策略，確保標記、授權和安全策略的數據

完整性，并對安全管理員進行身份鑒別，只允許其通過特定的

命令或操作界面進行安全管理操作，并進行審計。

審計管理

實現對系統各個組成部分的安全審計機制進行集中管理，

包括根據安全審計策略對審計記錄進行分類；提供按時間段開

啟和關閉相應類型的安全審計機制；對各類審計記錄進行存

儲、管理和查詢等；對審計記錄應進行分析，根據分析結果進

行處理。此外，對安全審計員進行身份鑒別，只允許其通過特

定的命令或操作界面進行安全審計操作。

此外，安全管理中心應做到技術與管理并重，加強在安全

管理制度、安全管理機構、人員安全管理、系統建設管理和系

統運維管理等方面的管理力度，規范安全管理操作規程，建立

完善的安全管理制度集。

安全計算環境

參照基于可信計算和主動防御的等級保護模型，安全計算

環境可劃分成節點和典型應用兩個子系統。在解決方案中，這

兩個子系統都將通過終端安全保護體系的建立來實現。

信息安全事故的源頭主要集中在用戶終端，要實現一個可

信的、安全的計算環境，就必須從終端安全抓起。因此，依照

等級保護在身份鑒別，訪問控制（包括強制訪問控制）、網絡行

為控制（包括上網控制、違規外聯的控制）、應用安全、數據安

全、安全審計等方面的技術要求，可充分結合可信計算技術和

主動防御技術的先進性和安全性，提出一個基于可信計算和主

動防御的終端安全保護體系模型，以實現從應用層、系統層、

核心層三個方面對計算環境的全面防護。

安全區域邊界

為保護邊界安全，本解決方案針對構建一個安全的區域邊

界提出的解決手段是在被保護的信息邊界部署一個“應用訪問

控制系統”。該系統應可以實現以下功能：信息層的自主和強制

訪問控制、防范SQL注入攻擊和跨站攻擊、抗DoS/DDoS攻擊端

口掃描、數據包過濾、網絡地址換、安全審計等。由于國內外

在這一方面的相關技術非常成熟，因此，在本次系統整改總體

設計中更多的是考慮如何將防火墻、防病毒網關、網絡安全審

計系統、IDS、IPS等有機地結合在一起，實現協同防護和聯動

處理。

此外，對于不同安全等級信息系統之間的互連邊界，可根

據依照信息流向的高低，部署防火墻或安全隔離與信息交換系

統，并配置相應的安全策略以實現對信息流向的控制。

安全通信網絡

目前，在通信網絡安全方面，采用密碼等核心技術實現的

各類VPN都可以很有效的解決這類問題，達到在滿足等級保護

相關要求的同時，可靈活提高通信網絡安全性的效果。

6.3安全域劃分說明

安全域的劃分是網絡防護的基礎，事實上每一個安全邊界

所包含的區域都形成了一個安全域。這些區域具有不同的使

命，具有不同的功能，分域保護的框架為明確各個域的安全等

級奠定了基礎，保證了信息流在交換過程中的安全性。

在本項目中，將嚴格按照信息系統的重要性和網絡使用的

邏輯特性劃分安全域，將劃分如下幾個區域：

互聯網接入域，該區域說明如下：

在網絡出口需提供流量清洗設備實現對DDOS等異常流量的

清洗，鏈路負載自動匹配最優線路，保障網絡可用性的同時實

現快速接入；需在互聯網出口邊界利用防火墻進行隔離和訪問

控制，保護內部網絡，利用IPS從2-7層對攻擊進行防護，實

現對入侵事件的監控、阻斷，保護整體網絡各個安全域免受外

網常見惡意攻擊；需對互聯網出口流量進行識別并對流量進行

管控，提高帶寬利用率的同時保障用戶上網體驗。

辦公網區域，該區域說明如下：

安全域內的終端上需具備防惡意代碼的能力，并對接入內

網的用戶終端進行訪問控制，明確訪問權限以及可訪問的網絡

范圍。

DMZ區，該區域說明如下：

該安全域內主要承載對外提供服務的服務器等，包括門戶

網站前端服務器、Web業務服務器等。需在DMZ區域邊界設置

訪問控制策略，并具備應用層攻擊檢測與防護能力、防篡改能

力，同時也需要保證訪問量較大的服務能夠保持健康、穩定的

運行。

服務器區域，該區域說明如下：

該安全域內主要承載內網核心業務信息系統，包含本次需

過等級保護測評的3大信息系統，需對這些業務信息系統提供

2-7層安全威脅識別及阻斷攻擊行為的能力，如SQL注入、XSS

（跨站腳本攻擊）、CSRF（跨站請求偽造攻擊）、cookie篡改

等；需對存儲業務信息系統產生的數據訪問權限進行劃分，并

對數據的相關操作進行審計；需對敏感或重要數據進行備份。

綜合安全管理區域，該區域說明如下：

該安全域對業務環境下的網絡操作行為進行集中管理與細

粒度審計；用于監控內網安全域之間的流量，對流量中的威脅

進行實時檢測并統一呈現；對資產及其可能存在的漏洞進行掃

描。

第7章詳細方案技術設計

7.1物理和環境安全保障

“物理和環境安全保障體系”是支撐整個信息網應用系統

的基石。其作為網信息安全管理體系建設的重要組成部分，必

須依據《信息系統安全等級保護基本要求》對物理安全的有關

要求，并結合信息化大集中、大整合、高共享的建設實際，不

斷擴展和變化，以滿足信息化建設對基礎設施保障和設備、數

據安全的需求。

物理安全保障體系建設規劃與應用的發展有著緊密的聯

系，其設計方向必須緊貼應用發展的實際需求，以機房的基礎

設施和安保系統的完善建立物理層面的保障和安全管控。在基

礎設施方面擴容機房的綜合布線、電氣配線、動力系統、制冷

系統，使應用部署不再受到機房、功能區域的限制，消除物理

空間上的限制，讓系統的建設更加靈活且具有高度的可擴展

性。在物理安保方面進一步加強對人員的管控，通過整合現有

安保資源，形成多元化的安保防控一體化構件，達到對資產的

全面管理和安全防護。

1、供配電系統

各級網絡機房的供配電系統要求能保證對機房內的主機、

服務器、網絡設備、通訊設備等的電源供應在任何情況下都不

會間斷，做到無單點失效和平穩可靠，這就要求兩路以上的市

電供應，足夠后備時間供電的N+1冗余的UPS系統，還有與機

房供電系統匹配的自備發電機系統。

2、防雷接地

要求機房設有四種接地形式，即計算機專用直流邏輯地、

配電系統交流工作地、安全保護地、防雷保護地。

3、消防報警及自動滅火

為實現火災自動滅火功能，應該設計火災自動監測及報警

系統，以便能自動監測火災的發生，并且啟動自動滅火系統和

報警系統。

4、門禁

各級網絡機房應建立實用、高效的門禁系統，門禁系統需

要注意的原則是安全可靠、簡單易用、分級制度、中央控制和

多種識別方式的結合，形成統一授權，分區管理的集中監控模

式。

5、保安監控

各級網絡機房的保安監控包括幾個系統的監控：閉路監視

系統、通道報警系統和人工監控系統，必要情況要求記錄集中

存儲。

6、一體化的安保系統集成

機房應將門禁管理、視頻監控、人員身份鑒別、人員行為

管控、資產管控等多個基本安保元素進行一體化集成，遵循安

全可靠、簡單易維、分級授權、多種識別、全程跟蹤的方式形

成完善的安保防控體系。

7.2網絡邊界安全管控

網絡邊界安全管控體系從網絡整體結構、網絡層邊界管控

措施、網絡安全防護及監測、主機邊界管理等幾個方面來設

計。

7.2.1網絡安全域設計

在信息系統中，遵守相同的信息安全策略的集合（包括人

員，軟硬件設備）稱為安全域。它的目的是對信息系統中的不

同安全等級區域分別進行保護，應進行安全域的劃分、結構安

全、邊界整合以及防護策略設計。

在理順了信息系統訪問控制關系的基礎上，結合信息安全

體系框架安全域劃分部分的內容，以及信息系統本身的業務特

點和安全要求，建立XX企業客戶的安全域模型，從交換域、計

算域和用戶域劃分安全域模型，提出具體解決方案及實施建

議。

7.2.2制定訪問控制策略

根據信息系統網絡訪問關系梳理得到的相關結果，以及對

于安全域劃分結果進行分析，從大的方面制定各個安全級別之

間的訪問控制策略和安全防護措施（各種安全產品的部署），從

小的方面制定同一個安全級別各個系統之間以及各個具體的安

全域之間的訪問控制策略。

7.2.3網絡安全防護管理

網絡訪問控制是防止對網絡服務的未授權訪問，根據安全

域劃分和訪問控制策略在信息網絡接入邊界、核心邊界實施訪

問控制；網絡入侵檢測（NIDS）是對信息系統的安全保障和運

行狀況進行監視，以發現各種攻擊企圖、攻擊行為或者攻擊結

果。在現網內部署網絡入侵檢測系統，監控所有進出服務器網

段的流量，并對核心信息系統中的安全事件進行實時監控，發

現和對各種攻擊企圖、攻擊行為或者攻擊結果進行告警，從而

使整個信息系統的網絡入侵防范更為完善；終端準入控制機制

從終端層到網絡層，再到應用層和邊界層，提供了客戶端準

入、網絡準入和應用準入等多種準入控制手段，確保只有通過

身份驗證和安全基線檢查的辦公終端才能接入內網并進行受控

訪問，對非法的或存在安全隱患的辦公終端進行隔離和修復，

構建出完善的“內網安檢系統”，從源頭上有效減少內網安全

漏洞。

邊界出口處采用防火墻技術進行嚴格的鏈路訪問控制，并

能承載高會話數轉發和會話狀態控制。

核心計算域的訪問控制通過核心交換機進行區域劃分，然

后通過防火墻或ACL機制進行對進出的數據流進行嚴格的訪問

管控，細化到IP+端口細粒度的級別。

在出口增加防火墻加網絡病毒檢測防護，提升網絡邊界的

惡意代碼的防護。

7.3終端主機安全管理

相關的安全接入基線要求為日常管理提供必要的安全底

線，避免裸機運行或帶“病”運行。應用系統主機安全在其相

關的章節中描述。

應監控辦公終端的操作系統補丁、防病毒軟件、軟件進

程、登錄口令、注冊表等方面的運行情況。如果辦公終端沒有

安裝規定的操作系統補丁、防病毒軟件的運行狀態和病毒庫更

新狀態不符合要求、沒有運行指定的軟件或運行了禁止運行的

軟件，或者有其它的安全基線不能滿足要求的情況，該辦公終

端的網絡訪問將被禁止。此時啟動自動修復機制，或提示終端

用戶手工進行修復。待修復完成后，辦公終端將自動得到重新

訪問網絡的授權。

終端安全加固

通過禁用系統Autorun（自動播放）、禁用終端的賬號和共

享的匿名枚舉、禁用終端的可匿名的共享、禁用Windows系統

的“發送到”菜單選項、禁用系統安全模式的功能、禁用

Windows遠程桌面、禁用啟用系統自帶的DEP功能（數據執行保

護）、并可禁止對終端網卡屬性進行修改，避免用戶違規修改網

卡的IP、MAC、網關地址等屬性，對終端操作系統進行安全加

固，防止終端用戶誤操作，并有效預防蠕蟲病毒和木馬對辦公

終端帶來的攻擊。

除此之外，還提供豐富多樣的自定義安全策略，可以用于

對終端進行安全加固。例如可以通過檢測特定文件或指定程序

是否存，來檢查終端是否有隱藏的木馬或病毒；通過檢測指定

注冊表項、指定注冊表值或指定的注冊表項和值得匹配關系是

否存在，來檢查終端是否存在隱藏的木馬或病毒的可能，并可

以通過對指定注冊表項，進行保護，防止被木馬或病毒惡意對

其進行修改，從而達到控制終端的可能。

還可以根據公司內網要求，檢查終端是否按照要求加入或

登錄指定的AD域，如果沒有按照要求加入或登錄域，還可以將

其進行安全隔離，使其無法訪問網絡，保證單位域管理的有效

實施。

進程紅白黑名單管理

在現網網絡環境中，辦公終端軟件環境的標準化能為桌面

運維管理帶來多方面的效益：能夠降低桌面維護的復雜程度，

確保關鍵軟件在辦公終端的強制安裝與使用，同時通過禁止運

行某些軟件來提高工作效率。

進程管理通過定義辦公終端進程運行的紅、白、黑名單.

實現自動、高效的進程管理功能，完全覆蓋用戶對進程管理的

要求。進程管理，無論是進程紅名單、黑名單還是白名單，都

可以通過設置MD5碼校驗的方式檢查進程名，防止用戶對程序

改名逃避安全檢查。

在進程管理中所定義的紅名單、白名單和黑名單的詳細定

義如下：

進程紅名單：辦公終端必須運行的進程清單，是“進程白

名單”的子集；

進程白名單：辦公終端能夠運行的進程清單；

進程黑名單：辦公終端禁止運行的進程清單。

7.4核心應用系統安全保護

核心應用系統的安全應從安全預警、安全管控和安全溯源

三個方面來的保障，具體來說應做到事前的安全漏洞的檢查、

安全配置基線核查的安全風險預警，事中的嚴格邊界訪問控

制、事后的網絡業務審計、綜合日志審計在內的業務溯源。

漏洞掃描及配置核查

據“全球信息安全調查”的數據，當前面臨的最大安全挑

戰是“預防安全漏洞的出現“，在日益復雜的網絡環境和層出不

窮的安全威脅面前，手工的漏洞管理工作幾乎是不可想象的.

尤其是對于有一定規模的信息系統。信息系統管理員通常要借

助漏洞管理工具來識別和修補漏洞。

應根據“發現一掃描一定性一修復一審核”的安全體系構

建法則，綜合運用多種國際最新的漏洞掃描與檢測技術，能夠

快速發現網絡資產，準確識別資產屬性、全面掃描安全漏洞，

清晰定性安全風險，給出修復建議和預防措施，并對風險控制

策略進行有效審核，從而在弱點全面評估的基礎上實現安全自

主掌控。

由于服務和軟件的不正確部署和配置造成安全配置漏洞，

入侵者會利用這些安裝時默認設置的安全配置漏洞進行操作從

而造成威脅。隨著攻擊形式和各種安全威脅事件的不斷發生，

越來越多的安全管理人員已經意識到正確進行安全配置的重要

性。但是隨著業務系統網絡結構越來越復雜，重要應用和服務

器數量及種類繁多，很容易發生安全管理人員的配置操作失誤

造成極大的影響。基于安全配置最低標準的安全配置基線檢查

就應運而生。

通過安全配置核查管理系統對于設備入網、工程驗收、日

常維護、合規檢查等方面展開合規安全檢查，找出不符合的項

并選擇和實施安全措施來控制安全風險。檢查范圍包括主流的

網絡設備、安全設備、數據庫、操作系統和應用系統等，檢查

項包括：賬號、口令、授權、日志、IP協議和設備專有配置等

內容。

核心邊界業務訪問控制

在核心的網絡邊界部署訪問控制設備啟用訪問控制功能，

根據會話狀態信息為數據流提供明確的允許/拒絕訪問的能力，

控制粒度為端口級，應對進出網絡的信息內容進行過濾，實現

對應用層HTTP、FTP、TELNET等協議命令級的控制；在會話處

于非活躍一定時間或會話結束后終止網絡連接，限制網絡最大

流量數及網絡連接數，對業務服務的重要次序來指定帶寬分配

優先級別，保證在網絡發生擁堵的時候優先保護重要應用系統

主機。

運維審計

因為種種歷史遺留問題，并不是所有的信息系統都有嚴格

的身份認證和權限劃分，權限劃分混亂，高權限賬號（比如

root賬號）共用等問題一直困擾著網絡管理人員，高權限賬號

往往掌握著數據庫和業務系統的命脈，任何一個操作都可能導

致數據的修改和泄露，最高權限的濫用，讓運維安全變得更加

脆弱，也讓責任劃分和威脅追蹤變得更加困難。

無論是內部運維人員還是第三方代維人員，基于傳統的維

護方式，都是直接采用系統賬號完成系統級別的認證即可進行

維護操作。隨著系統的不斷龐大，運維人員與系統賬號之間的

交叉關系越來越復雜，一個賬號多個人同時使用，是多對一的

關系，賬號不具有唯一性，系統賬號的密碼策略很難執行，密

碼修改要通知所有知道這個賬號的人，如果有人離職或部門調

動，密碼需要立即修改，如果密碼泄露無法追查，如果有誤操

作或者惡意操作，無法追查到責任人。

業務數據審計

信息網絡的急速發展使得數據信,包的價值及可訪問性得至']

了提升，同時，也致使數據庫信息資產面臨嚴峻的挑戰。數據

庫的安全威脅主要來自兩個方面，一方面來自外部的非法入

侵，黑客針對業務系統或者數據庫漏洞，采取各種攻擊手段，

篡改或者盜取數據。這部分威脅可以通過在業務網絡入口部署

防火墻、入侵防護等產品得到有效預防。而另一方面的威脅來

自內部，內部員工的惡意破壞、違規操作和越權訪問，往往會

帶來數據的大量外泄和嚴重損壞，甚至導致數據庫系統崩潰。

而且，這些操作往往不具備攻擊特征，很難被普通的信息安全

防護系統識別出來，就更加防不勝防，迫切需要一種行之有效

的手段來進行防護。

圍繞數據庫的業務系統安全隱患如何得到有效解決，一直

以來是IT治理人員和DBA們關注的焦點：

管理層面：完善現有業務流程制度，明細人員職責和分

工，規范內部員工的日常操作，嚴格監控第三方維護人員的操

作。

技術層面：除了在業務網絡部署相關的信息安全防護產品

（如FW、IPS等），還需要專門針對數據庫部署獨立安全審計產

品，對關鍵的數據庫操作行為進行審計，做到違規行為發生時

及時告警，事故發生后精確溯源。

不過，審計關鍵應用程序和數據庫不是一項簡單工作。特

別是數據庫系統，服務于各有不同權限的大量用戶，支持高事

務處理率，還必須滿足苛刻的服務水平要求。商業數據庫軟件

內建的審計能力不能滿足獨立性的基本要求，還會降低數據庫

性能并增加管理費用。

網絡安全審計系統（業務網審計）是針對業務環境下的網

絡操作行為進行細粒度審計的合規性管理系統。在網絡層通過

對業務人員訪問系統的訪問行為進行解析、分析、記錄、匯

報，用來幫助用戶事前規劃預防，事中實時監視、違規行為響

應，事后合規報告、事故追蹤溯源，同時加強內外部網絡行為

監管、促進核心資產（數據庫、服