XXXX集团办公及邮件系统等级保护（三级）安全整改建设方案 - 图

XXXX集团公司 办公及邮件系统

信息等级保护（三级）建设方案

2016年5月

目 录

1

1.1 1.2 1.3 1.4

总述....................................................................................................... 4

项目背景 .......................................................................................................................... 4 设计依据 .......................................................................................................................... 5 设计目标 .......................................................................................................................... 5 设计范围 .......................................................................................................................... 5

2

2.1 2.2 2.3

安全目标分析 ........................................................................................ 6

系统定级情况 .................................................................................................................. 6 定级系统现状 .................................................................................................................. 6 等保三级安全要求 ........................................................................................................ 10

2.3.1 2.3.2 2.4

《基本要求》三级要求 ....................................................................................... 12 《设计技术要求》三级要求 ............................................................................... 14

安全需求分析 ................................................................................................................ 16

2.4.1 2.4.2

合标差距分析安全需求 ....................................................................................... 16 风险评估分析安全需求 ....................................................................................... 21

3

3.1 3.2 3.3

等级保护总体设计 ............................................................................... 24

方案设计原则 ................................................................................................................ 24 方案设计思想 ................................................................................................................ 25 总体安全框架 ................................................................................................................ 27

3.3.1 3.3.2 3.3.3 3.4

分区分域设计 ....................................................................................................... 28 安全技术架构 ....................................................................................................... 30 安全管理架构 ....................................................................................................... 32

等级保护建设流程规范化 ............................................................................................ 32

4

4.1

等级保护安全技术建设 ........................................................................ 34

物理安全 ........................................................................................................................ 34

4.1.1 4.1.2 4.2

物理安全设计 ....................................................................................................... 34 物理安全设计具体措施 ....................................................................................... 34

技术安全 ........................................................................................................................ 35

4.2.1 4.2.2 4.2.3 4.2.4 4.3

技术安全设计 ....................................................................................................... 35 等级保护安全建设后网络拓扑 ........................................................................... 40 安全区域划分 ....................................................................................................... 40 等级保护安全技术措施 ....................................................................................... 41

应用安全 ........................................................................................................................ 43

4.3.1 4.3.1 4.4

应用安全设计 ....................................................................................................... 43 办公系统和邮件系统应开发安全功能 ............................................................... 44

等级保护所需安全产品清单 ........................................................................................ 44

5

5.1 5.2

安全管理建设 ....................................................................................... 45

安全管理要求 ................................................................................................................ 45 信息安全管理体系设计 ................................................................................................ 46

5.2.1 5.2.2 5.2.3 5.3

安全管理体系设计原则 ....................................................................................... 46 安全管理体系设计指导思想 ............................................................................... 46 安全管理设计具体措施 ....................................................................................... 46

信息安全管理体系设计总结 ........................................................................................ 55

6

6.1 6.2 6.3

安全产品选型及指标 ........................................................................... 56

设备选型原则 ................................................................................................................ 56 安全产品列表 ................................................................................................................ 58 主要安全产品功能性能要求 ........................................................................................ 59

6.3.1 6.3.2 6.3.3

网络接入控制系统 ............................................................................................... 59 服务器操作系统安全加固软件 ........................................................................... 64 主机监控与审计系统 ........................................................................................... 66

1 总述

1.1 项目背景

随着国家信息化发展战略的不断推进，信息资源已经成为代表国家综合国力的战略资源。信息资源的保护、信息化进程的健康发展是关乎国家安危、民族兴旺的大事。信息安全是保障国家主权、政治、经济、国防、社会安全和公民合法权益的重要保证。

2003年中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）明确指出：“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要办公系统和邮件系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。信息安全等级保护制度是提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化设计健康发展的一项基本制度，是开展信息安全保护工作的有效办法，是信息安全保护工作的发展方向。

实行信息安全等级保护制度有利于在信息化设计过程中同步设计信息安全设施，保障信息安全与信息化设计相协调；有利于为信息系统安全设计和管理提供系统性、针对性、可行性的指导和服务，有效控制信息安全设计成本；能够强化和重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要系统的安全；能够明确国家、法人和其他组织、公民的信息安全责任，加强信息安全管理。实行信息安全等级保护制度具有重大的现实意义和战略意义，是国家对重要工程项目信息系统安全保护设计提出的强制性要求。

XXXX公司（以下简称为“XXXX”）的前身是中国航空技术进出口总公司。XXXX由中国航空工业集团公司控股，全国社会保障基金理事会、北京普拓瀚华投资管理中心（有限合伙）和中航建银航空产业股权投资（天津）有限公司共同持股。XXXX是中国航空工业的重要组成部分，是中国航空工业发展的先锋队，改革的试验田，是中国航空工业开拓国际市场、发展相关产业、扩大国际投资的综合平台。

XXXX从自身信息化业务需求和安全需求角度出发，为了满足XXXX总部各类业务信息系统的安全稳定运行，提高对重要商业信息安全的基本防护水平，更好的实现与中航工业金航商网的对接，决定针对企业内部的办公系统和邮件系统，按照国家信息安全等级保护三级水平开展安全整改建设工作，确保信息系统安全、可靠、稳定运行和长远发展。

1.2 设计依据

本方案主要依据以下文件和技术标准进行编写：

《关于信息安全等级保护工作的实施意见》（公通字[2004]66号） 《信息安全等级保护管理办法》（公通字[2007]43号） 《计算机信息系统安全保护等级划分准则》（GB17859-1999）

《信息安全技术 信息系统等级保护安全设计技术要求》（GB/T25070-2010） 《信息安全技术 信息系统安全等级保护基本要求》（GB/T22239-2008） 《信息安全技术 信息系统安全等级保护实施指南》（GB/T25058-2010）

1.3 设计目标

通过开展等级保护安全体系设计，从“保密性、完整性、可用性”角度为XXXX办公系统和邮件系统提供安全保障，实现系统安全和信息安全，保障系统资源和信息资源的最大化安全使用，达到通过国家信息安全等级保护（三级）测评的水平，最终实现有效支撑办公系统和邮件系统安全、可靠、长远发展的总体目标。

1.4 设计范围

XXXX办公系统和邮件系统是本等级保护安全整改建设项目要保护的目标系统，本建设方案将以国家信息安全等级保护相关文件和技术标准为依据，将以自主知识产权和国产化信息安全装置为基础，对XXXX的办公系统和邮件系统相关的物理环境、硬件平台、软件平台以及定级系统自身，从管理和技术两个方面进行总体的规划和设计。

2 安全目标分析

2.1 系统定级情况

编号 1 2 系统名称 办公系统（含门户系统、OA系统端和移动端） 邮件系统 安全等级 三级 三级 系统状态 拟定级 拟定级 2.2 定级系统现状

XXXX的办公系统和邮件系统是本次开展等级保护建设的目标系统。两个系统尚未进行定级备案，拟定级为等保三级。 （一）定级系统概述

办公系统主要用于XXXX内部工作人员办公使用。办公系统由门户系统和OA系统两个子系统组成，OA系统又包括PC系统端和移动端两部分。办公系统可通过办公内网或互联网进行访问，系统用户总数约为1800人，XXXX总部大厦约有办公人员500人。办公系统可通过PC和智能移动终端进行访问，PC端系统为B/S架构，智能移动终端系统为C/S架构，需安装相应的APP客户端软件。

邮件系统为XXXX内部工作人员提供邮件服务，系统总用户数为3023人，用户分布于国内和国外。邮件系统通过互联网访问，用户可使用Web方式或第三方邮件客户端软件进行收发操作。

图：定级系统现状拓扑图

（二）定级系统服务器情况

办公系统共有6台服务器，均部署在北京总部机房中。这6台服务器的功用：OA数据库服务器、OA应用服务器、移动OA应用服务器、OA数据库备份服务器及门户数据库服务器、门户应用服务器（虚拟机）。OA系统的PC系统端和移动端有各自的应用服务器，后端数据库为同一个数据库。OA数据库服务器和OA应用服务器划分在Internet访问入口区的DMZ区中，移动OA应用服务器、OA数据库备份服务器、门户数据库服务器和门户应用服务器（虚拟机）均划分在内网服务器区中。OA系统的4台服务器均采用Windows操作系统，系统版本为Windows2003；门户系统服务器均采用红帽子（RHEL）Linux操作系统，系统版本为5.4。

邮件系统服务器共有两台，这两台服务器采用镜像方式部署，分别安装于北京总部机房和深圳总部机房中。深圳节点为源节点，北京节点为镜像节点，两服务器之间通过一条10M电信邮件专线互联、同步。邮件服务器操作系统为红帽子Linux6.3。

由于等级保护采用属地化管理，因此，本次安全保护建设将只针对邮件系统北京节点服务器，不涉及深圳节点服务器。

表：定级系统服务器列表

序号 1 2 3 4 5 6 7 系统 办公系统 办公系统 办公系统 办公系统 办公系统 办公系统 邮件系统 用途 OA数据库服务器 OA应用服务器 移动OA应用服务器 操作系统 版本 Windows Windows Windows 安全域 2003 DMZ区 2003 DMZ区 2003 内网服务器区 2003 内网服务器区 5.4 5.4 6.3 内网服务器区 内网服务器区 DMZ区 OA数据库备份服务器 Windows 门户数据库服务器 门户应用服务器 邮件服务器 RHEL RHEL RHEL （三）现有安全资源（设备）

表：现有安全产品列表

编号 1 2 3 4 5 6 7 8 9 设备类型和名称 深信服负载均衡M5400 AD 山石UTM-M6110 深信服流控系统AC-2080 深信服负载均衡AD-1680 启明星辰防火墙USG-2010D 绿盟入侵防护NIPS N1000A 深信服Web应用防火墙WAF 创佳互联移动设备管理 江南信安移动安全接入网关 数量 单位 1 1 1 1 1 1 1 1 1 1 1 说明 台 访问出口安全防护； 台 访问出口安全防护； 台 访问出口安全防护； 台 访问入口安全防护； 台 访问入口安全防护； 台 访问入口安全防护； 台 访问入口安全防护； 套 移动安全防护； 台 移动接入安全防护； 台 移动接入安全防护； 台 网络安全及数据库审计； 10 深信服SSL VPN 11 绿盟网络安全审计SAS1000C

12 绿盟BVSS安全核查 13 安恒综合日志管理DAS-200 14 绿盟WSMS网站检测 15 绿盟运维审计SASNX3-H600C 16 绿盟入侵检测NIDS N1000A 17 无线AC 18 启明星辰防火墙USG-FW-2010D 19 启明星辰天榕电子文档安全系统 20 绿盟堡垒机 21 华为Esigh网管系统 22 虚拟化移动OA （四）其他安全措施 1、 设备管理权限

1 1 1 1 1 1 1 500 1 1 500 台 网络安全审计； 台 网络安全审计； 台 网络安全审计； 台 网络安全审计； 台 网络安全审计； 台 无线网络控制管理； 台 服务器区安全防护； 点 终端数据防泄漏； 台 安全运维管理； 套 网络设备运维管理（仅限华为设备）； 点 移动办公信息防泄漏； a） 专线路由器和楼层交换机通过ACL控制，只允许管理员的IP地址登陆设备，并且创建不同级别的用户权限，超级管理员拥有所有权限，一般管理员只有访问权限不可修改；

b） 根据部门划分VLAN，不同VLAN不能互访；

c） 安全设备没有对登陆设备的源IP进行限制，创建不同级别权限的用户，网络管理员拥有最高权限，普通管理员只允许查看； 2、 内外网访问设备途径；

a) 管理员统一通过绿盟堡垒机登录设备进行网管；

b) 管理员在公司以外的地方需要管理设备的时候，首先登录公司深信服VPN设备，然后登录堡垒机对设备进行网管；

3、 每月月初根据IPS日志，汇总上月入侵防护事件，形成安全月报（专人负责）； 4、 内部用户上网，通过深信服行为管理实现上网认证，认证方式用户名加密码和短信认证；

5、 网络入口和出口各部署一台深信服链路负载均衡设备，入口联通20M，电信20M；出口联通40M，电信40M；

6、 网络入口负载均衡主要负责智能DNS和网络地址转换，有效隐藏内部服务器

的IP地址；网络出口负载均衡主要负责针对内部员工上网进行地址转换和链路负载均衡；

7、 通过网络入口防火墙，允许内部用户对DMZ区资源的访问，控制粒度为用户加端口；

8、 通过内部服务器区防火墙，允许内部用户对内部服务器区资源的访问，控制粒度为用户加端口；

9、 深信服上网行为管理的外置数据中心可以记录用户6个月内的上网行为； 10、 11、 12、 13、

现有网络中，Esigh网管软件只能对华为设备的运行状况产生日志，不支IPS可以对端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区IPS可以记录攻击源IP、攻击类型、攻击目的、攻击时间，在发送严重入IPS和VPN有专人负责策略下发和资源控制。

持第三方设备；

溢出攻击、IP碎片攻击和网络蠕虫攻击等进行进行告警并有效阻断； 侵事件时应提供报警；

2.3 等保三级安全要求

《计算机信息系统安全保护等级划分准则》（GB17859-1999）（以下简称为“《等级划分准则》”）中定义三级信息系统安全防护等级为安全标记保护级。安全标记保护级的计算机信息系统可信计算基具有系统审计保护级的所有功能。此外，还需提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述，具有准确地标记输出信息的能力；消除通过测试发现的任何错误。

《等级划分准则》中规定，信息系统需要具备以下安全特性以保证相应的安全等级：

?

自主访问控制

计算机信息系统可信计算基定义和控制系统中命名用户对命名客体地访问。实施机制（例如：访问控制表）允许命名用户以用户和（或）用户组的身份规定并控制客体的共享；阻止非授权用户读取敏感信息。并控制访问权限扩散。自主访问控制机制根据用户指定方式或默认方式，阻止非授权用户访问客体。访问控制的粒度是单个用户。没有存取权的用户只允许由授权用户指定对客体的访问权。阻止非授权用户读取敏感信息。

?

强制访问控制

计算机信息系统可信计算基对所有主体及其所控制的客体（例如：进程、文件、段、设备）实施强制访问控制。为这些主体及客体指定敏感标记，这些标记是等级分类和非等级类别的组合，它们是实施强制访问控制的依据。计算机信息系统可信计算基支持两种或两种以上成分组成的安全级。计算机信息系统可信计算基控制的所有主体对客体的访问应满足：仅当主体安全级中的等级分类高于或等于客体安全级中的等级分类，且主体安全级中的非等级类别包含了客体安全级中的全部非等级类别，主体才能读客体；仅当主体安全级中的等级分类低于或等于客体安全级中的等级分类，且主体安全级中的非等级类别包含于客体安全级中的非等级类别，主体才能写一个客体。计算机信息系统可信计算基使用身份和鉴别数据，鉴别用户的身份，并保证用户创建的计算机信息系统可信计算基外部主体的安全级和授权受该用户的安全级和授权的控制。

?

标记

计算机信息系统可信计算基应维护与主体及其控制的存储客体（例如：进程、文件、段、设备）相关的敏感标记。这些标记是实施强制访问的基础。为了输入未加安全标记的数据，计算机信息系统可信计算基向授权用户要求并接受这些数据的安全级别，且可由计算机信息系统可信计算基审计。

?

身份鉴别

计算机信息系统可信计算基初始执行时，首先要求用户标识自己的身份，而且，计算机信息系统可信计算基维护用户身份识别数据并确定用户访问权及授权数据。计算机信息系统可信计算基使用这些数据鉴别用户身份，并使用保护机制（例如：口令）来鉴别用户的身份；阻止非授权用户访问用户身份鉴别数据。通过为用户提供唯一标识，计算机信息系统可信计算基能够使用户对自己的行为负责。计算机信息系统可信计算基还具备将身份标识与该用户所有可审计行为相关联的能力。

?

客体重用

在计算机信息系统可信计算基的空闲存储客体空间中，对客体初始指定、分配或再分配一个主体之前，撤消客体所含信息的所有授权。当主体获得对一个已被释放的客体的访问权时，当前主体不能获得原主体活动所产生的任何信息。

? 审计

计算机信息系统可信计算基能创建和维护受保护客体的访问审计跟踪记录，并能阻止非授权的用户对它访问或破坏。

计算机信息系统可信计算基能记录下述事件：使用身份鉴别机制；将客体引入用户地址空间（例如：打开文件、程序初始化）；删除客体；由操作员、系统管理员或（和）系统安全管理员实施的动作，以及其他与系统安全有关的事件。对于每一事件，其审计记录包括：事件的日期和时间、用户、事件类型、事件是否成功。对于身份鉴别事件，审计记录包含请求的来源（例如：终端标识符）；对于客体引入用户地址空间的事件及客体删除事件，审计记录包含客体名及客体的安全级别。此外，计算机信息系统可信计算基具有审计更改可读输出记号的能力。

对不能由计算机信息系统可信计算基独立分辨的审计事件，审计机制提供审计记录接口，可由授权主体调用。这些审计记录区别于计算机信息系统可信计算基独立分辨的审计记录。

?

数据完整性

计算机信息系统可信计算基通过自主和强制完整性策略，阻止非授权用户修改或破坏敏感信息。在网络环境中，使用完整性敏感标记来确信信息在传送中未受损。

2.3.1 《基本要求》三级要求

《信息安全技术 信息系统等级保护安全设计技术要求》（GB/T25070-2010）（以下简称为“《基本要求》”）。《基本要求》中规定三级安全防护能力应能够在统一安全策略下防护系统免受来自内部操作性攻击和外部有组织的团体（如一个商业情报组织或犯罪组织等），拥有较为丰富资源（包括人员能力、计算能力等）的威胁源发起的恶意攻击、较为严重的自然灾难（灾难发生的强度较大、持续时间较长、覆盖范围较广等）以及其他相当危害程度的威胁（内部人员的恶意威胁、无意失误、较严重的技术故障等）所造成的主要资源损害并能够检测到此类威胁，并在威胁发生造成损害后，能够较快恢复绝大部分功能。

《基本要求》是针对不同安全等级信息系统应该具有的基本安全保护能力提出的安全要求，基本安全要求分为基本技术要求和基本管理要求两大类。基本技术要求与信息系统提供的技术安全机制有关，主要通过在信息系统中部署软硬件并正确的配置其安全功能来实现；基本管理要求与信息系统中各种角色参与的活动有关，主要通过控制各种角色的活动，从政策、制度、规范、流程以及记录等方面做出规定来实现。

基本技术要求从“物理安全、网络安全、主机安全、应用安全和数据安全”几个层面提出；基本管理要求从“安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理”几个方面提出，基本技术要求和基本管理要求是确保信息系统安全不可分割的两个部分。基本安全要求从各个层面或方面提出了系统的每个组件应该满足的安全要求，信息系统具有的整体安全保护能力通过不同组件实现基本安全要求来保证。

《基本要求》安全三级对信息系统安全防护能力所提出的具体要求参看《信息系统安全等级保护基本要求》（GB/T22239-2008）第七章节。

另外，在依据《基本要求》分层面采取各种安全措施时，还应考虑以下总体性要求，保证信息系统的整体安全保护能力。

a) 构建纵深的防御体系

《基本要求》从技术和管理两个方面提出基本安全要求，在采取由点到面的各种安全措施时，在系统整体上还应保证各种安全措施的组合从外到内构成一个纵深的安全防御体系，保证信息系统整体的安全保护能力。应从通信网络、局域网络边界、局域网络内部、各种业务应用平台等各个层次落实本标准中提到的各种安全措施，形成纵深防御体系。

b) 采取互补的安全措施

《基本要求》以安全控制组件的形式提出基本安全要求，在将各种安全控制组件集成到特定信息系统中时，应考虑各个安全控制组件的互补性，关注各个安全控制组件在层面内、层面间和功能间产生的连接、交互、依赖、协调、协同等相互关联关系，保证各个安全控制组件共同综合作用于信息系统的安全功能上，

使得信息系统的整体安全保护能力得以保证。

c) 保证一致的安全强度

《基本要求》将基本安全功能要求，如身份鉴别、访问控制、安全审计、入侵防范、安全标记等内容，分解到信息系统中的各个层面，在实现各个层面安全功能时，应保证各个层面安全功能实现强度的一致性。应防止某个层面安全功能的减弱导致系统整体安全保护能力在这个安全功能上消弱。如要实现双因子身份鉴别，则应在各个层面的身份鉴别上均实现双因子身份鉴别；要实现强制访问控制，则应保证在各个层面均基于低层操作系统实现强制访问控制，并保证标记数据在整个信息系统内部流动时标记的唯一性等。

d) 建立统一的支撑平台

《基本要求》在较高级别信息系统的安全功能要求上，提到了使用密码技术，多数安全功能（如身份鉴别、访问控制、数据完整性、数据保密性、抗抵赖等）为了获得更高的强度，均要基于密码技术，为了保证信息系统整体安全防护能力，应建立基于密码技术的统一支撑平台，支持高强度身份鉴别、访问控制、数据完整性、数据保密性、抗抵赖等安全功能的实现。

e) 进行集中的安全管理

《基本要求》在较高级别信息系统的安全功能管理要求上，提到了统一安全策略、统一安全管理等要求，为了保证分散于各个层面的安全功能在统一策略的指导下实现，各个安全控制组件在可控情况下发挥各自的作用，应建立安全管理中心，集中管理信息系统中的各个安全控制组件，支持统一安全管理。

2.3.2 《设计技术要求》三级要求

为贯彻和实施信息安全等级保护制度，国家出台了相关的法规、政策文件、国家标准和公共安全行业标准，这些内容为信息安全等级保护工作的开展提供了法律、政策、和技术标准依据。《信息安全技术信息系统等级保护安全设计技术要求》（GB/T25070-2010）（以下简称为“《设计技术要求》”）规范了信息系统等级保护安全设计技术要求，为等级保护安全技术方案的设计和实施提供了指导，是进行信息系统安全建设和加固工作的重要依据。

《设计技术要求》对三级安全防护系统提出了总体的安全目标：通过实现基于安全策略模型和标记的强制访问控制以及增强系统的审计机制，使系统具有在统一安全策略管控下，保护敏感资源的能力。其核心安全策略为：构造非形式化的安全策略模型，对主、客体进行安全标记，表明主、客体的级别分类和非级别分类的组合，以此为基础，按照强制访问控制规则实现对主体及其客体的访问控制。

“统一管理、统一策略”和“访问控制”是《设计技术要求》的核心安全思想。《设计技术要求》规定等级保护系统应按照“一个中心三重防护”体系架构进行安全技术体系规划和设计，构建“由安全管理中心进行统一管理，由安全计算环境、安全区域边界和安全通信网络三重防护环节”所组成的纵深、立体的信息安全防护体系。安全计算环境、安全区域边界、安全通信网络必须在安全管理中心的统一管控下运转，各安全环节各司其职、相互配合，共同构成定级系统的安全保护环境，确保信息的存储、处理和传输的安全，并在跨域安全管理中心的统一安全策略控制下，实现不同定级系统的安全互操作和信息安全交换。

《设计技术要求》对安全计算环境、安全区域边界、安全通信网络以及安全管理中心四个部分分别提出了明确的安全要求。《设计技术要求》对安全计算环境提出了“用户身份鉴别、自主访问控制、标记和强制访问控制、系统安全审计、用户数据完整性保护、用户数据保密性保护、客体安全重用、程序可信执行保护”等安全要求；对安全区域边界提出了“区域边界访问控制、区域边界包过滤、区域边界安全审计、区域边界完整性保护”等安全要求；对安全通信网络提出了“通信网络安全审计、通信网络数据传输完整性保护、通信网络数据传输保密性保护、通信网络可信接入保护”等安全要求；要求安全管理中心需要由“系统管理分中心、安全管理分中心以及审计管理分中心”三个部分组成，即按照“三权分立，相互监督、相互制约”的架构进行设计和建设。

《设计技术要求》安全三级对等级系统安全防护体系所提出的具体要求请参看《信息安全技术 信息系统等级保护安全设计技术要求》（GB/T25070-2010）第七章节。

2.4 安全需求分析

信息安全建设是一个量体裁衣的过程，因此安全体系的规划和设计，应该以办公系统和邮件系统的信息安全现状为基础展开。为了掌握办公系统和邮件系统当前信息安全现状，特通过信息安全现状合标差距分析以及安全风险评估两种方法，对系统安全现状进行了客观、细致、详实的调研和安全需求分析。

2.4.1 合标差距分析安全需求

2.4.1.1 物理安全

1） 机房选址在建筑高层；

2） 定级系统相关的服务器等设备，并非所有设备上都有标签；标签粘贴的

位置、格式、内容等不统一，标签上信息不完整；

3） 不明确办公系统、邮件系统有哪些相关的光、磁类存储介质；办公系统

采用一块活动硬盘定期进行数据备份，该活动硬盘完全由系统管理员个人保管，管理不规范；

4） 机房内无防盗报警装置或系统；

5） 在机房过渡区存有大量空纸箱等易燃物，带来火灾隐患，影响通过顺畅。 2.4.1.2 网络安全

1） 网络设备存在着多人共用账号进行维护管理的情况；

2） 网络设备通过用户名/口令方式进行登录身份鉴别，未采用双因子等强身

份鉴别技术；

3） 缺少网络准入控制措施。 2.4.1.3 主机安全

1） 操作系统均使用系统默认的管理员账户，容易被冒用；管理员账户口令

复杂度未形成规范化、文档化要求；口令长时间不更换；

2） 服务器操作系统和数据库系统未为每个用户分配不同的用户名，管理人

员共用管理账户，一旦出现安全问题，无法落实责任到个人； 3） 服务器本地登录只通过“用户名/口令”方式进行身份鉴别，远程登录限

制了登录终端地址，但也仅通过“用户名/口令”这一种方式鉴别用户身

份，未实现双因子或更强的身份鉴别要求；

4） 应依据“三权分立”原则设置管理权限体系，即设置安全管理员、系统

管理员、审计管理员等，根据管理员角色赋予相应的功能权限，避免出现超级用户；

5） 无论是Windows还是Linux服务器操作系统，均使用系统默认的管理员

账号进行维护管理，未重命名系统默认账户或采用自定义账户； 6） 服务器和重要终端上并未安装专门的主机审计类产品，存在着审计信息

不完整、不全面的问题；

7） 操作系统的审计主要依赖操作系统自身的审计日志功能，对审计记录并

无任何额外的保护措施，无法阻止被删除、修改； 8） 服务器上未部署检测和防范入侵行为的安全防护措施；

9） 服务器上未部署对重要程序完整性进行检测和恢复的安全防护措施； 10）

服务器上无对用户系统资源占用进行限制的技术措施；

2.4.1.4 应用安全

1） 办公系统的用户通过用户名/口令方式登录XXXX的办公门户，未采用双

因子身份认证；

邮件系统的管理员账户通过口令和动态口令双因子方式进行登录身份鉴别，普通业务用户则只通过用户名/口令方式进行身份鉴别，未采用双因子身份认证。邮件系统其实内置有绑定动态密码登录的安全功能，不过这样会对邮件系统使用的便捷性和习惯带来很大影响，因此应先对邮件系统是否需要双因子身份认证功能进行讨论确认，然后再确定是否开启该安全策略；

2） 办公系统中无任何设置敏感标记或重要程度的功能； 3） 办公系统暂无审计功能；

邮件系统有针对管理员操作行为的审计功能；普通业务用户有登录日志及收发日志，且设有备档系统，对收发的所有邮件均有留档； 4） 邮件系统提供记住用户名、记住密码的功能，存在着被他人未经认证即

可登录的可能；

5） 办公系统暂无数据原发成功验证功能；

6） 办公系统暂无数据接收成功验证功能；

7） 办公系统具备防止单个账户多重登录限制功能，但未启用；

8） 办公系统无任何系统服务水平检测功能；邮件系统会检测空间容量，当

小于一定数值则会只提供基本的邮件收发功能，不会再自动存档，不会进行报警；

2.4.1.5 数据安全及备份恢复

1） 办公系统和邮件系统均通过SSL协议进行数据传输，可以保证数据传输

的完整性，但出现完整性错误时，无恢复机制；

2） 办公系统和邮件系统均通过SSL协议进行数据的传输保存，可以检测数

据的完整性，但出现完整性错误时，无恢复机制；

3） 目前办公系统中的数据，正文、附件等内容保存在系统的应用服务器中，

应用服务器中的数据通过人工方式每周一次备份在移动硬盘中，备份数据只保留一次；系统数据库中的数据，通过数据库备份工具，每天一次自动进行备份，备份数据保存在数据库服务器本地，保留最近7天数据； 4） 办公系统无异地备份措施；

5） 办公系统目前已经出现不规律的系统慢等问题； 2.4.1.6 安全管理制度

1） 暂未制定信息安全管理的总体方针、纲领、策略；

2） 已经编制了《信息安全管理办法》，且内容基本能够覆盖办公系统和邮件

系统日常的安全管理内容，但该管理办法当前尚处于拟定状态，并未正式发布和实施；

3） 现在已经有了《应用系统事业部日常巡检管理办法》、《应用系统事业部

运维管理办法》、《XXXX总部办公系统运维服务规范手册》等几个管理规范方面的文件，这个文件为运营团队内部文件，并未在公司层面正式发布；且操作规程文件覆盖不完整；

4） 已经建立了一些信息安全管理制度、规范及相关文件，但制度、规范文

件覆盖不完整；制度规范文件并未形成体系化的安全管理制度体系； 5） 安全管理制度格式没有统一要求；未进行版本控制；

6） 针对管理制度文件定期进行合理性和适用性审定工作，并未规范化和制

度化；

7） 无安全管理制度定期或不定期进行检查审定的机制，制度一经发布基本

不会再修改，只有当适用性太差时，才会重新制定和发布新标准；

2.4.1.7 安全管理机构

1） 没有明确、具体的职能部门负责信息安全管理工作；暂未设置专门的信

息安全岗位；暂未有明确的信息安全岗位的工作职责说明； 2） 暂未设立指导和管理信息安全工作的委员会或领导小组；

3） 目前的日常运维工作中，有一些是与系统的安全性、可用性相关的，但

这些安全运维动作并不是完全由安全管理员完成，而是由相应的管理员各自完成；而且有些关键性的安全运维动作并不在当前的日常运维工作范围内，比如服务器操作系统的补丁升级，办公系统和邮件系统服务器的补丁升级策略是关闭的，目前最新的补丁打到了2012年6月； 4） 暂无规范化、制度化的定期开展安全技术措施有效性、安全配置与安全

策略一致性、安全管理制度执行情况检查、核查的要求；

5） 无信息安全方面的检查，没有相关配套的安全检查表格、报告、数据等； 6） 无安全审核和安全检查制度规范；无安全检查报告；无安全检查报告通

报机制；

2.4.1.8 人员安全管理

1） 目前XXXX内部只有涉密人员及涉及信息安全项目的合作厂商的现场服

务人员签署保密协议；

2） 暂无针对安全技能及安全认知方面的考核及相关的制度要求； 3） 暂无对关键岗位工作人员进行全面安全审查和技能考核方面的制度要

求，只是在人员入职的时候做背景调查和安全技能考核；

4） 目前暂无安全考核机制，因此也没有安全考核结果需要记录；在人员入

职试用期结束时会有考核，该考核结果会由人力资源部门留存； 5） 每年XXXX保密办会开展保密方面的培训，无其他安全意识、岗位技能等

方面的培训；有时会将内部管理岗位人员外送参加培训，或请相关厂商

开展培训；、

6） 目前在组织内部只有针对涉密方面的安全奖惩制度和措施（《XXXX安全

保密管理奖惩办法》），未涉密方面则没有任何安全责任、奖惩措施方面的规章制度或书面规定；

7） 暂无对要求定期开展安全教育和培训方面的书面规定或规章制度； 8） 暂未开展过相应的安全教育和培训，无结果可记录；

9） 暂无针对外部人访问的具体范围、系统、设备等进行明确规定的规章制

度或书面文件；

2.4.1.9 系统建设管理

1） 暂无明确的工程实施方面的管理制度； 2.4.1.10 系统运维管理

1） 暂无办公区工作人员安全管理方面的规章制度；

2） 暂无专门针对设备维护、维修方面的管理制度或规范文件； 3） 暂无网络安全管理制度或规范文件；

4） 暂未有正式发布和执行的针对系统安全的管理制度；

5） 办公系统和邮件系统有专门的系统管理员；系统管理员未按照安全、审

计、系统等方式再进行细粒度的管理角色划分，都只设有一个系统管理员；

6） 暂无定期检查日志和审计数据的行为和规范要求；

7） 办公系统和邮件系统的服务器上未安装杀毒软件；外来计算机或存储设

备接入内部网络前未做病毒检查，也无相关规范要求； 8） 办公系统和邮件系统服务器上未安装杀毒软件；

9） 暂无恶意代码软件使用、规范和管理方面的管理制度或明确规定； 10） 11）

暂无备份及恢复管理规章制度；

办公系统和邮件系统并无明确的备份管理规范或制度性文件，并未

对系统数据备份制定明确的备份策略和恢复策略；备份策略应包括数据备份放置的场所、文件命名规则、介质替换频率及数据传输方法等； 12）

没有书面化的数据备份和恢复过程的文件；数据备份过程并未做记

录； 13）

无明确的数据恢复程序，未定期检查或测试备份介质的有效性；针

对数据备份恢复，没有相应的管理制度或规范文件；未对数据恢复过程进行过实际的演练、操作； 14）

暂未针对应急预案开展过相关的培训；

2.4.2 风险评估分析安全需求

2.4.2.1 身份鉴别

目前所有主机都采用操作系统账户口令方式进行身份鉴别，一旦密码丢失或出现字典攻击、暴力破解等攻击，非授权人员即可非法登录系统进行操作，从而导致主机系统被非授权登陆；

发现问题如下：

? 目前所有主机都采用操作系统账户口令方式进行身份鉴别，未采用两种

或两种以上的组合鉴别技术对管理用户进行身份鉴别； ? 存在多人共用一个账户的情况；

? OA系统中主机未开启密码复杂度校验，密码有效期采用系统默认设置

42天。邮件系统、门户系统密码有效期为：99999天（永久有效），密码最短长度为：5个字符； ? 所有主机均未开启账户锁定策略。

? OA系统中的3台主机的管理用户administrator均未重命名。 2.4.2.2 访问控制

未能实现主客体标记的强制访问控制，缺少对服务器重要文件、重要目录、程序、进程等资源的细粒度保护，有可能出现系统正常应用程序和系统配置遭到篡改，且不能实现对主客体标记的细粒度审计，无法及时发现内部运维用户对服务器重要数据的恶意操作、客体资源滥用、破坏数据等行为。因此对于主体人员的权限、管理方面有待完善，内部人员的日常操作有待规范等，一旦安全事件发生时，无法追溯并定位真实的操作者，这种行为往往对系统造成严重的后果；

发现问题如下：

? OA系统中的应用服务器对OA业务目录的访问权限配置为：EveryOne

完全控制，权限过于宽泛，存在业务数据被恶意篡改，恶意删除等风险； ? OA系统中的所有主机均开启了磁盘默认共享，存在通过网络窃取敏感

数据的风险；

? OA系统中的所有主机均未对sethc.exe程序做权限控制，存在提权漏洞，

恶意人员无需知道管理员账户密码即可获取管理员权限；

? OA系统中的数据备份服务器上存在多余账户、未锁定账户：aaa，test

等；

? 门户系统中的WebSphere程序包未单独设置服务账户，而采用root用户

实施部署。一旦WebSphere应用程序漏洞被利用时，将会直接获取root权限；

? 邮件系统、门户系统未针对su命令配置使用权限，任何用户仅需知道root

密码即可切换root用户，权限开放过于宽泛。

2.4.2.3 安全审计

服务器自身的审计功能不能满足等级保护国家标准的要求，作为用户行为的追踪审计，一旦出现安全事件，无据可查，无据可依，无法追溯并定位真实的操作者；

发现问题如下：

? 所有主机均开启了操作系统自带的审计功能，但未对审计进程做防中断

措施，一旦管理员密码被窃，恶意人员即可中断审计进程，造成审计遗漏现象；

? 邮件系统、门户系统的审计日志root用户可随意更改，一旦root密码被

窃，恶意人员即可中断审计进程，修改审计结果，影响审计日志的权威性；

2.4.2.4 剩余信息保护

未实现剩余资源保护机制，一旦恶意攻击者登录服务器操作系统，还可以还原并重复上一次用户登录的数据和操作，从而对服务器操作系统和重要数据造成破坏；

发现问题如下：

? OA系统中所有主机均未配置“不显示上次登录用户名”，当恶意人员尝

试登录系统系统时，可根据上次登录的用户名对系统进行密码暴力破解。

2.4.2.5 入侵防范

服务器操作系统长期没有进行补丁的修订，处于极度危险状态，外部攻击者很可能会通过操作系统自身漏洞进行攻击，甚至导致整个业务系统瘫痪。

部分主机未遵循最小化安装原则，启用了无用的服务，加大系统资源消耗的同时提升了系统面临的风险。

发现问题如下：

? OA系统中的应用服务器上安装了无用软件WPS办公软件，容易被恶意

人员利用WPS的漏洞对服务器实现跳板攻击。

? OA系统使用windows server 2003版本的操作系统，微软在2015年7月

14日已宣布停止对该操作系统的更新支持；

? OA系统的数据库备份服务器自从系统安装后，未更新过任何补丁。 ? OA系统的应用服务器、数据库服务器最新补丁更新至2012年6月8号，

之后的上百个补丁未更新。

? 门户系统应用服务器、OA系统的数据库备份服务器未开启自身的网络

防火墙；

? 门户系统应用服务器、数据库服务器未遵循最小化安装原则安装操作系

统，默认开启了不必要的蓝牙服务，打印服务，增加了系统面临的风险。

2.4.2.6 恶意代码防范

部分服务器未使用杀毒软件或其他恶意代码防护软件，缺乏主动防护恶意代码机制，病毒和木马可以潜入或运行在操作系统，造成可信的应用程序和代码被恶意篡改；

发现问题如下：

? 除OA系统中数据库服务器外，其他所有主机均未部署杀毒软件或其他

恶意代码防护软件，不具备恶意代码防范的能力。

2.4.2.7 资源控制

在服务器资源控制方面暂时未采用监控管理的手段，无法实时地了解设备运行状况和端口使用情况，一旦设备出现问题，无法及时发现并定位问题所在点，无法作出及时的措施避免攻击带来的损失；

发现问题如下：

? 所有主机均未采用资源监控措施；

? 所有主机未对主机资源针对用户进行合理分配；

? 邮箱系统、门户系统未做超时锁定操作终端的配置，无法保护用户操作

环境。

3 等级保护总体设计

3.1 方案设计原则

等级保护是国家信息安全设计的重要政策，其核心是对信息系统分等级、依标准进行设计、管理和监督。安全等级保护设计，应当以适度安全为核心，以重点保护为原则，从业务的角度出发，重点保护业务应用，在方案设计中应当遵循以下的原则：

? 适度安全原则

任何信息系统都不能做到绝对的安全，等级保护安全体系的设计，必须在安全需求、安全风险和安全成本之间进行平衡和折中，过低的安全保护无法满足业务系统实际的安全要求；过高的安全保护则必然导致设计成本大幅增加，系统复杂性和运维、学习成本大幅提高，整个系统环境面临的技术风险也同样大幅提高。

适度安全是等级保护设计的初衷，因此在进行等级保护设计的过程中，一方面要严格遵循《基本要求》，从基础网络安全、边界安全、终端系统安全、服务端系统安全、应用安全、数据安全与备份恢复、安全管理中心等方面进行安全设计，保障系统的机密性、完整性和可用性，另外也要综合成本的角度，针对办公系统和邮件系统的实际风险，设计相应的安全保护强度，并按照保护强度进行安

全防护系统的设计，从而有效控制成本。

? 重点保护原则

根据重要性程度的不同，有重点有针对性的进行安全保护，集中资源优先保护涉及核心业务或关键信息资产的组件。

? 技术、管理并重原则

信息安全问题从来就不是单纯的技术问题，把防范黑客入侵和病毒感染理解为信息安全问题的全部是片面的，仅通过部署安全产品很难完全保护办公系统和邮件系统规避所有面临的安全风险和威胁，必须技术与管理相结合，通过管理手段对非法安全行为进行威慑，保证安全技术措施的落实和执行，这样才能确保安全体系的有效性。

? 分区分域设计原则

分区分域是信息安全保护的有效措施。根据业务功能、访问行为、重要性程度以及安全需求等因素，将办公系统和邮件系统划分为不同的安全域，通过技术手段将不同的安全域进行安全隔离，对安全域之间的访问行为进行隔离控制，能够有效的提高重要信息资产的安全性。通过安全域的划分，也可以防止一些非法访问行为在整网蔓延。

? 标准化原则

办公系统和邮件系统的安全防护体系，将严格依据《基本要求》、《设计技术要求》等技术标准进行规划设计和集成设计。

? 动态调整原则

信息安全问题不是静态的，它会随着业务功能、组织策略、组织架构、办公系统及邮件系统的操作流程的改变而改变，因此必须要根据这些变化，及时调整安全防护措施。

3.2 方案设计思想

1) 构建符合等级保护思想的安全支撑体系

随着计算机科学技术的不断发展，计算机产品的不断增加，信息系统也变得

越来越复杂。但是无论如何发展，任何一个信息系统都由计算环境、区域边界、通信网络三个层次组成。计算环境是用户的工作环境，由完成信息存储与处理的计算机系统硬件和系统软件以及外部设备及其连接部件组成，计算环境的安全是办公系统和邮件系统安全的核心，是授权和访问控制的源头；区域边界是计算环境的边界，对进入和流出计算环境的信息实施控制和保护；通信网络是计算环境之间实现信息传输功能的部分。在这三个环节，如果每一个使用者都是经过认证和授权的，其操作都是符合规定的，那么就不会产生攻击性的事故，就能保证信息安全。

2) 建立科学实用的全程访问控制机制

访问控制机制是信息系统中敏感信息保护的核心，依据《等级划分准则》，三级信息系统安全保护环境的设计策略，应“提供有关安全策略模型、数据标记以及主体对客体强制访问控制”的相关要求。基于“一个中心支撑下的三重保障体系结构”的安全保护环境，构造非形式化的安全策略模型，对主、客体进行安全标记，并以此为基础，按照访问控制规则实现对所有主体及其所控制的客体的强制访问控制。由安全管理中心统一制定和下发访问控制策略，在安全计算环境、安全区域边界、安全通信网络实施统一的全程访问控制，阻止对非授权用户的访问行为以及授权用户的非授权访问行为。 3) 加强源头控制，实现基础核心层的纵深防御

终端是一切不安全问题的根源，终端安全是保障办公系统和邮件系统安全的基础，如果在终端实施积极防御、综合防范，努力消除不安全问题的根源，那么重要信息就不会从终端泄露出去，病毒、木马也无法入侵终端，内部恶意用户更是无法从网内攻击办公系统和邮件系统，防范内部用户攻击的问题迎刃而解。安全操作系统是终端安全的核心和基础。如果没有安全操作系统的支撑，终端安全就毫无保障。实现基础核心层的纵深防御需要高安全等级操作系统的支撑，并以此为基础实施深层次的人、技术和操作的控制。 4) 面向应用，构建安全应用支撑平台

办公系统和邮件系统是本次项目的安全保护目标，应以应用安全为核心构建整个信息安全防护体系，所有的安全措施，都应该围绕着“应用安全”这一核心

目标进行规划和设计。确保应用系统安全、可靠、稳定运行，同时确保系统中流转的关键信息、敏感信息的安全。

通过可信计算的基础保障机制建立可信应用环境，通过资源隔离限制特定进程对特定文件的访问权限，从而将应用服务隔离在一个受保护的环境中，不受外界的干扰，确保应用服务相关的客体资源不会被非授权用户访问。输入输出安全检查截获并分析用户和应用服务之间的交互请求，防范非法的输入和输出。

3.3 总体安全框架

信息系统等级保护安全体系设计工作是安全技术手段和安全管理措施的结合，以物理安全为基础，信息安全技术体系和信息安全管理体系作为整体安全支撑，达到风险评估和等级保护螺旋上升，持续改进的效果。安全体系总体架构见下图：

安全管理体系管理机构事前预防人员管理事中处理管理制度事后究责应急响应完善加强风险评估安全管理技术安全技术体系安全计算环境系统管理安全区域边界安全管理安全管理中心安全通信网络审计管理等级保护物理安全环境安全设备安全图：安全体系总体架构图

介质安全

3.3.1 分区分域设计

3.3.1.1 分区分域的目的

划分安全域采用分区分域设计，具有以下意义： ? 区域的划分使整体网络结构的界限清晰；

? 具有相同安全保护要求的网络和设备划分到一个安全区域中； ? 不同的安全区域内，可方便地部署不同类型和功能的安全防护设备和产品，同时形成相辅相成的多层次立体防护体系；

? 同一个安全区域内可方便地部署相同或相似的安全防护策略。 分区分域保护做到重点明确，将有效的安全资源投入到最需要保护的部分，并且由各个不同的区域组成多层次的立体防护体系。 3.3.1.2 分区分域的原则

分区分域的过程遵循以下基本原则：

? 业务保障原则：分区分域方法的根本目标是能够更好的保障网络上承载的业务，在保证安全的同时，还要保证业务的正常运行和效率； ? 结构简化原则：分区分域方法的直接目的和效果是将信息（应用）系统整个网络变得更加简单，简单的逻辑结构便于设计防护体系。比如，分区分域并不是粒度越细越好，区域数量过多，过杂可能会导致安全管理过于复杂和困难；

? 立体协防原则：分区分域的主要对象是信息（应用）系统对应的网络，在分区分域部署安全设备时，需综合运用身份鉴别、访问控制、安全审计等安全功能实现立体协防；

? 生命周期原则：对于信息（应用）系统的分区分域设计，不仅要考虑静态设计，还要考虑变化因素，另外，在分区分域设计和调整过程中要考虑工程化的管理。

3.3.1.3 安全区域划分

根据业务功能以及安全需求的不同，将XXXX总部信息网络规划为Internet访问出口区、Internet访问入口区（含DMZ区）、移动安全接入区、核心交换及专线区域、安全管理区（审计核查区域）、内部用户区和内网服务器区等共7个安全域。详细说明如下：

图：安全域划分图

1. Internet访问出口区：由联通、电信双出口组成，提供Internet互联网访问服务；

2. Internet访问入口区（含DMZ区）：由联通、电信双线路组成，提供Internet接入服务；本安全区内设置有DMZ区，通过启明星城防火墙进行安全隔离；DMZ区内部署了向互联网提供服务器的应用服务器，包括办公系统应用服务器、办公系统数据库服务器和邮件系统服务器等； 3. 移动安全接入区：提供移动智能设备接入服务以及远程VPN安全接入服务，另外网络DNS服务器和DHCP服务器也部署在本安全区域； 4. 核心交换及专线区域：部署了网络的核心交换设备，用于数据的高速转发；北京总部和深圳总部之间的10M电信邮件专线，通过路由器与核心

交换互联；同时，用于内部Wifi热点管理的无线AC也部署在本安全区； 5. 安全管理区：本安全区主要用于部署各类信息安全产品及相关服务器，目前主要包括绿盟网络安全设计系统、绿盟安全核查系统、安恒综合日志管理系统、绿盟网站检测系统、绿盟运维审计系统、绿盟入侵防护系统等；

6. 内部用户区：业务终端的接入区域，连接方式有无线和有线两种方式； 7. 内网服务器区：用于部署业务应用的服务器，部署有统一身份认证系统，本安全区边界由一台透明模式部署的启明星辰防火墙提供安全隔离和保护。

3.3.2 安全技术架构

在分区分域的基础上，根据《设计技术要求》的指导，我们将按照“一个中心三重防护”的体系架构来设计信息安全体系。根据《设计技术要求》中的定义，信息网络平台可划分成由计算环境、区域边界和通信网络三部分组成，分别在这三部分进行安全设计，构建“三重防护”体系，同时，再设计安全管理中心对整个安全体系的所有部件进行统一管理和控制，即形成了“由安全管理中心统一管控下的安全计算环境、安全区域边界和安全通信网络”的“一个中心三重防护”的安全技术架构。

安全体系架构如下图所示：

计算环境计算节点n计算节点2计算节点1区域边界区域边界安全保护系统通信网络应用系统安全通信网络系统其它应用环境安全操作系统交换机路由器系统管理安全管理审计管理安全管理中心

图：“一个中心三重防护”安全体系架构

安全管理中心实施对计算环境、区域边界和通信网络统一的安全策略管理，确保系统配置完整可信，确定用户操作权限，实施全程审计追踪。安全管理中心从安全权限上再细分为系统管理、安全管理和审计管理三个管理分中心，各管理分中心分别负责不同的安全管理权限，形成“三权分立，相互制约，相互监督”的安全管理体系，避免“超级用户”的出现。

计算环境安全是安全保护的重心。计算环境安全通过对服务器、终端操作系统进行安全加固，实现对数据库系统和上层应用系统的可用性、完整性和保密性的保护，保障应用业务处理全过程的安全。通过在服务器和重要终端操作系统核心层和系统层设置以强制访问控制为主体的系统安全机制，形成严密的安全保护环境，通过对用户行为的控制，可以有效防止非授权用户访问和授权用户越权访问，保护办公系统和邮件的保密性和完整性，为系统的正常运行和免遭恶意破坏提供支撑和保障。计算环境安全是信息安全的根本，是信息安全的第一道安全屏障。

区域边界对进入和流出应用环境的信息流进行安全检查和访问行为控制，确保不会有违背系统安全策略的信息流或访问行为通过边界，边界的安全保护和控制是信息安全的第二道安全屏障。

通信网络设备通过对通信双方进行可信鉴别验证，建立安全通道，实施传输数据密码保护，确保其在传输过程中不会被窃听、篡改和破坏，是信息安全的第三道安全屏障。

根据《设计技术要求》中计算环境、区域边界、通信网络的定义，核心交换及专线区域、内部用户区域、内网服务器区为计算环境；Internet访问出口区、Internet访问入口区、移动安全接入区为区域边界；与深圳中心、其他第三方单位、其他用户之间的专线或链路即为通信网络；安全管理区承载着主要的安全防护和管理功能，实质上即构成了整个体系的安全管理中心。

物理安全是保护XXXX信息网络、定级系统的软硬件设备、设施免遭地震、水灾、火灾、雷击等自然灾害、人为破坏或操作失误，以及各种计算机犯罪行为导致破坏的技术和方法。物理安全是整个安全体系的基础，如果物理安全得不到

保证，如计算机设备遭到破坏或被人非法接触，那么其他的一切安全措施就都是空中楼阁，因此，必须要把信息网络的物理安全提到一个重要的高度来进行设计。

物理安全将以《基本要求》中的物理安全为目标，从环境安全、设备安全和介质安全三方方面进行设计。环境安全包括机房与设施安全、环境与人员安全、防自然灾害；设备安全包括防盗与防毁、防止电磁泄漏发射、防电磁干扰等；介质安全则包括介质的分类及防护要求、介质管理、信息的可靠消除等。

3.3.3 安全管理架构

“七分在管理，三分在技术”，只有有效的安全管理才能够保证安全措施的有效性。《基本要求》对信息安全管理提出了明确的指导和要求。以《基本要求》中管理安全要求为目标，充分结合XXXX信息安全安全管理现状，从安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等方面对安全管理体系进行设计和加强。

办公系统和邮件系统的安全管理内容包括：信息安全政策、信息安全组织、信息资产分类与管理、物理和环境安全、通信和操作安全管理、存取控制、系统的开发和维护、持续运营管理等等。

3.4 等级保护建设流程规范化

图：等级保护建设流程图

第一步、自主定级

“自主定级，自主保护”是等级保护建设的根本原则。开展信息安全等级保护建设，首先要明确定级对象（被保护的对象），然后依据《信息安全技术 信息系统安全保护等级定级指南》确定系统安全等级。只有确定了定级系统及安全等级，才能明确安全保护的目标、范围和强度，才能进行有针对性的安全体系设计。这样才能够保证设计出的安全体系既满足XXXX实际的安全需求，又满足等级保护技术标准要求，避免出现安全防护强度不够或过度保护的情况。

第二步、定级备案

定级系统的定级结果需要在公安机关进行备案才能够正式生效。备案过程中，需按照公安机关的要求提交定级报告和系统备案表等材料，经公安机关核查无明显定级失误，定级结果才能够被批准正式生效。

第三步、方案设计

设计方案是安全体系建设的蓝图，必须在充分了解XXXX办公系统和邮件系统的安全现状及业务特点的基础上，通过与《基本要求》进行差异化分析对比，明确安全需求，才能够进行有针对性的设计。

为了确保设计方案的科学性、合理性、有效性以及可操性，同时，为了避免方案设计失误所导致的严重后果，通常，在安全设计方案设计完成后，应召开1~2次专家评审会对设计方案进行评审和把关。

第四步、项目实施

项目施工单位在业主单位的配合下，严格按照设计方案实施，使能够达到方案预期的效果。在建设过程中，应尽量减少对XXXX正常业务带来的影响，要确保项目实施的安全性，要按时保质的完成项目实施。

第五步、等级测评

待所有设计的安全内容设计完成后，首先应进行安全性自查，确保项目设计达到了设计预期、满足了技术标准要求之后，再聘请相应级别、具有资质的等级

保护测评机构对项目设计情况开展等级测评。如有未达标项，则进行局部整改后再进行测评。等级测评通过后，测评机构提交完整等级测评报告。

第六步、常态化检查与测评

根据国家等级保护相关方面规定：三级系统每年应进行一次安全测评，四级系统应每半年进行一次安全测评。待办公系统和邮件系统通过等级测评后，系统进入常态化的安全运维状态，应定期通过安全自查、安全评估、安全测评等手段，对系统的安全状况进行检查，确保安全体系的有效性，确保安全体系满足业务发展的需要。

4 等级保护安全技术建设

4.1 物理安全

4.1.1 物理安全设计

物理安全就是要保证信息网络的重要设备、设施处于一个安全、正常的物理环境，能够确保设备正常运转；对能够直接接触办公系统和邮件系统重要设备的人员要有一套完善的管理控制手段；充分考虑自然事件可能造成的威胁并加以规避。也就是说，物理安全就是保护办公系统和邮件系统信息平台的软硬件设备、设施免遭地震、水灾、火灾、雷击等自然灾害、人为破坏或其他物理破坏行为的技术和方法。

4.1.2 物理安全设计具体措施

通过物理安全合标差异分析得知，办公系统和邮件系统服务器所在的机房当前物理安全现状不能够完全满足《基本要求》中的物理安全要求。可通过新增和优化安全措施的方法来提高物理安全防护能力。 4.1.2.1 新增安全措施 1） 增加机房防盗报警系统。

4.1.2.2 优化安全措施

1） 机房选址在高层，当出现火灾等灾害时，救援的人力物力难以及时、顺利到

达现场，因此应通过加强安全巡检、保持紧急通道畅通等方法，降低各种物理灾害出现的可能，保证通道畅通等；

制定机房安全巡检规范，对需进行安全巡检的物理环境指标项进行明确规范，每天由安全管理员对机房的各项物理环境指标进行安全检查并记录。安全管理员在安全巡检过程中，发现任何异常数据或情况时，应及时调查详细原因并进行相应处置，及时消除隐患，保证机房物理环境安全；

2） 对机房内机柜、机架上的设备进行梳理，明确其用途；统一制定设备标签，

并粘贴或安装在设备的相同位置上；标签的格式和内容要统一，应包括“设备用途、关键信息（IP地址等）、负责人姓名、负责人联系方式、需注意事项”等信息；

3） 对与办公系统和邮件系统相关联的存储介质进行梳理，明确有哪些存储介质

是与办公系统和邮件系统相关，具体用途等；对这些与办公系统和邮件系统相关的存储介质进行规范化管理，粘贴标签、明确保管人、保管场地等；根据移动存储介质中保存数据的重要性程度，可部署移动存储介质管理系统对介质的访问进行授权控制，对存储介质中的数据进行加密保护；

4） 对机房环境进行整理，将机房中清理所有无必要的易燃物，对于无法清除的

易燃物应规范放置位置；清理通道，保证所有的通道通畅。

4.2 技术安全

4.2.1 技术安全设计

4.2.1.1 安全计算环境设计

(一) 用户身份鉴别

通过设置服务器、业务终端操作系统的安全策略，通过统一身份认证系统、堡垒机、主机监控与审计系统、服务器操作系统安全加固系统等安全产品，实现对登录服务器、终端、应用系统的每一个用户的强身份鉴别。

(二) 强制访问控制

在办公系统和邮件系统服务器部署服务器操作系统安全加固系统，实现对服务器资源的访问行为的严格控制，包括对于用户访问行为的控制和进程访问权限的控制，保护系统平台和业务数据的完整性；通过安全产品实现对服务器特定资源的强制访问控制。

(三) 系统安全审计

在办公系统和邮件系统服务器部署和业务终端上部署服务器操作系统安全加固系统和主机监控与审计系统，对服务器和终端上的访问行为和安全事件进行记录和审计。审计信息包括安全事件的主体、客体、时间、类型和结果等内容，能够提供审计记录查询、分类、分析和存储保护，对特定安全事件进行报警，同时服务器安全保护系统能够确保审计记录不被破坏或非授权访问。

(四) 用户数据完整性保护

以密码技术和机制为基础，服务器操作系统安全加固系统的完整性校验机制和防篡改机制保护服务器重要资源不会被非法修改，且在其受到破坏时能对重要数据进行恢复。服务器安全保护系统的访问控制机制保证用户重要数据不会被非法访问和篡改。

(五) 用户数据机密性保护

服务器安全保护系统的访控机制以及透明加解密机制将对服务器存储的敏感数据机密性实施有效保护，访问控制机制能够防止非授权用户读取敏感信息，透明加解密机制对硬盘存储的敏感数据实施加密存储保护，即使非法人员窃取硬盘设备，在没有用户合法密钥的前提下也无法解密敏感信息。

(六) 剩余信息保护

服务器操作系统安全加固系统对用户使用的客体资源实施针对性保护，在这些客体资源重新分配前，对其原使用者的信息进行清除，以确保信息不被泄露，实现剩余信息的安全保护。

(七) 程序可执行保护

服务器操作系统安全加固系统可构建从操作系统到上层应用的信任链，其中采用可信计算等技术，实现系统运行过程中可执行程序的完整性检验，阻止非授

权程序的启动和执行，同时防范重要执行程序被篡改，对病毒、木马、蠕虫等恶意代码具备自免疫能力。

(八) 恶意代码防范

部分服务器未使用杀毒软件或其他恶意代码防护软件，缺乏主动防护恶意代码机制，病毒和木马可以潜入或运行在操作系统，造成可信的应用程序和代码被恶意篡改。通过在服务器和终端上部署防病毒软件，实现对恶意代码的防范。

(九) 资源控制

按照“最小化原则”对办公系统和邮件服务器的操作系统进行梳理，删除或屏蔽不必要给功能、组件、权限。

(十) 数据安全及备份恢复

部署数据备份系统对办公系统的数据进行备份，评估办公系统业务数据的重要性程度，设计相适应的数据备份机制和策略。 4.2.1.2 安全区域边界设计

(一) 区域边界访问控制

防火墙在安全区域边界实施相应的访问控制策略，对进出安全区域边界的数据信息进行控制，阻止非授权访问；

入侵防护系统、入侵检测系统可以对网络入侵行为进行监测、报警和阻断，对非法网络访问和入侵行为进行处置；

上网行为管理系统对访问Internet互联网的行为进行审计和管理，根据策略阻断非法的访问外网行为，对所有通过公司统一外网出口访问互联网的行为进行审计记录。

在服务器前部署的的防火墙从应用协议、用户权限控制和异常行为阻断等方面对网络访问行为进行控制，保证服务器的访问安全，有效防范以服务器为目标的攻击行为。

移动智能设备能够访问办公系统和邮件系统，能够进行相应的业务操作。移动智能终端设备通过移动安全接入网关实现安全接入网络。

(二) 区域边界包过滤

防火墙、入侵防护系统、上网行为管理等安全产品，通过检查数据包的源地址、目的地址、传输层协议、请求的服务等，确定访问行为是否合法，决定是否允许该数据包或该访问进出该区域边界。

(三) 区域边界安全审计

防火墙、入侵防护系统、入侵检测系统、上网行为管理系统、网络接入控制系统、移动安全接入网关等安全产品，均属于网络边界产品，对出入网络的访问行为进行管理和控制。这些安全产品均具有审计功能，能够对区域边界的访问行为进行审计记录。审计记录包括安全事件的主体、客体、时间、类型和结果等内容。

(四) 区域边界完整性保护

通过部署主机监控与审计系统，可以实现终端非法外联行为的发现与管控。 通过部署网络接入控制系统可以实现对非合规内联行为的发现和阻断。网络接入控制系统对内联行为的合规性和合法性进行判断，然后根据安全策略，采用报警、引导至安全修复区、阻断等几种方式进行处置。 4.2.1.3 安全通信网络设计

(一) 通信网络安全审计

通过SSL VPN实现远程安全接入和访问，SSL VPN本身具有安全审计功能，能够对接入访问行为进行审计记录，包括访问行为发生的时间、是否成功、主体、客体、源地址、目标地址、类型等信息。

(二) 通信网络数据传输完整性保护

SSL VPN能够对网络数据传输的完整性提供保护，确保数据的完整性不被破坏。

(三) 通信网络数据传输保密性保护

SSL VPN能够对网络数据传输的保密性提供保护，确保数据的完整性不被破坏。

(四) 通信网络可信接入保护

通过网络接入控制系统、移动安全接入网关等安全产品，能够对接入设备的身份进行鉴别，并且根据接入设备的权限控制其所能访问的资源。 4.2.1.4 安全管理中心设计

在进行安全系统设计时，应当首先设计安全管理中心，从安全管理的高度为后续的安全设计打下基础。

集中部署各种安全产品或安全措施的管理或维护中心，实现对信息安全的统一安全管理。应该从系统管理、安全管理、审计管理、事件管理、风险管理、安全工作管理等方面进行统一考虑，特别要实现集中身份管理、集中认证授权、集中操作审计。

1) 将现有安全产品的管理中心或维护中心集中部署；

2) 设置安全管理中心，由安全管理中心统一对计算环境安全支撑平台实施安全管理，实现包括主客体标记、用户授权、策略维护和更新在内的安全管理职能；

3) 设置系统管理中心，联合统一身份认证系统对整个系统的证书和密钥实施统一管理，对用户身份和软硬件资源配置实施统一控制和管理；由各安全产品管理中心或维护中心共同构成系统管理中心，实现对所有安全产品的统一配置和管理；

4) 部署审计管理平台，接收各个区域的审计日志，为审计信息的存储、分析和处理提供平台，作为管理员实施事件追踪、责任认定以及实施应急响应的依据。

4.2.2 等级保护安全建设后网络拓扑

图：等级保护安全建设后网络拓扑图

4.2.3 安全区域划分

根据业务功能以及安全需求的不同，将XXXX总部信息网络规划为Internet访问出口区、Internet访问入口区（含DMZ区）、移动安全接入区、核心交换及专线区域、安全管理区（审计核查区域）、内部用户区和内网服务器区等共7个安全域。详细说明如下：

1. Internet访问出口区：由联通、电信双出口组成，提供Internet互联网访问服务；

2. Internet访问入口区（含DMZ区）：由联通、电信双线路组成，提供Internet接入服务；本安全区内设置有DMZ区，通过启明星城防火墙进行安全隔离；DMZ区内部署了向互联网提供服务器的应用服务器，包括办公系统应用服务器、办公系统数据库服务器和邮件系统服务器等； 3. 移动安全接入区：提供移动智能设备接入服务以及远程VPN安全接入服务，另外网络DNS服务器和DHCP服务器也部署在本安全区域； 4. 核心交换及专线区：部署了网络的核心交换设备，用于数据的高速转发；

北京总部和深圳总部之间的10M电信邮件专线，通过路由器与核心交换互联；同时，用于内部Wifi热点管理的无线AC也部署在本安全区； 5. 安全管理区：本安全区主要用于部署各类信息安全产品及相关服务器，目前主要包括绿盟网络安全设计系统、绿盟安全核查系统、安恒综合日志管理系统、绿盟网站检测系统、绿盟运维审计系统、绿盟入侵防护系统等；

6. 内部用户区：业务终端的接入区域，连接方式有无线和有线两种方式； 7. 内网服务器区：用于部署业务应用的服务器，部署有统一身份认证系统，本安全区边界由一台透明模式部署的启明星辰防火墙提供安全隔离和保护。

4.2.4 等级保护安全技术措施

XXXX集团总部计算机网络已经部署了比较完备的安全设备和安全措施，但通过将XXXX信息安全现状与《基本要求》的差异化分析，还不能够达到完全满足等级保护三级安全要求的水平，还需要在现有信息安全基础上，优化安全管理策略、规范安全管理以及添加安全产品等措施，才能够做到完全达标。 4.2.4.1 新增安全措施

1） 在核心交换及专线区核心交换机上旁路部署网络接入控制系统X2（采用双机

热备方式部署，提供可用性），对非法内联行为进行控制和管理；

2） 在办公系统和邮件系统相关的服务器（Windows操作系统和Linux操作系统）

上安装部署服务器操作系统安全加固软件，提高服务器操作系统登录的身份鉴别强度，实现双因子身份认证；对服务器操作系统自身的安全性进行加固，对服务器操作系统的关键配置、程序的完整性和可用性提供安全保护，对服务器性能资源进行监测和管理；对服务器操作系统进行监控与审计； 3） 在XXXX总部所有业务终端上安装部署主机监控与审计系统（含可信介质管

理模块、打印安全监控与审计模块、刻录安全监控与审计模块），对业务终端操作系统进行安全加固，可以通过安全策略对终端进行安全管理，实现对终端操作行为的审计记录；可以防止非法外联行为发生；

通过可信介质管理功能模块，实现终端上移动存储介质使用的权限控制；同时能够对移动存储介质上使用或复制、存储重要文件进行加密保护和访问权限控制；

通过打印安全监控与审计模块和刻录安全监控与审计模块，对打印、刻录行为进行审批、控制、审计、备档，能够满足对打印、刻录提出的安全要求。 4） 部署电子文档集中管理系统，实现敏感、重要文件的集中加密存储、统一管

理，访问权限控制等；

5） 分配专门的存储空间，部署数据备份系统对办公系统和邮件系统的数据进行

实时或半实时备份；根据业务数据的重要程度、综合考虑投入成本等因素，设计相适应的数据备份系统和数据备份策略，需考虑是否需要异地备份及备份份数，考虑备份周期、拷贝留存份数、备份策略（全量或增量）等； 6） 在办公系统和邮件系统相关的服务器（Windows操作系统）以及所有内部业

务终端上，安装部署统一品牌的网络版防病毒软件，防御病毒、恶意代码威胁，且能够通过管理端统一进行策略配置及病毒库升级。XXXX总部服务器、业务终端等，曾经统一安装过瑞星杀毒软件，但未对安装行为做强制化管理。建议先对瑞星杀毒软件的功能、性能、价格等方面进行评估，如果瑞星杀毒软件能够满足XXXX要求，则在办公系统和邮件系统的服务器及所有的业务终端上统一安装瑞星网络版杀毒软件；同时制定杀毒软件管理规范，对安装杀毒软件做出强制性规定，对杀毒软件的病毒库更新等策略进行规范。 4.2.4.2 优化安全措施

1） 按照三权分立原则设置系统管理员角色，并根据管理员角色赋予相应的功能

权限；尽量避免存在超级用户；

2） 规范管理维护账户，对于重要网络设备，一定要做到每人一账号，每个系统

管理员都必须使用自己的账号维护管理设备，落实责任到每个人；为每个服务器操作系统、数据库管理员分配不同的账户，每个管理员使用自己的账户登录系统；更改办公系统和邮件系统服务器操作系统默认管理员账户或采用自定义管理员账户，避免使用系统默认账户；服务器管理员账户口令应进行规范化管理，形成专门的口令管理规章制度；口令管理制度中应对口令的复

杂度和更换周期进行规定，复杂度通常应不弱于：至少8位，应包括大小写字母、数字、特殊字符组合等；

3） 对于重要网络设备，一定要通过限定登录地址、通过堡垒机等方式，提高登

录身份鉴别强度；制定网络设备运维管理规范，将重要网络设备的登录限制规范化、文档化；

4） 完善数据备份恢复方案，在内部进行培训和演练，投入相应人力、物力资源，

确保数据备份恢复方案有效、可行、可操作；

5） 通过二次开发等方法，使办公系统在提交办公作业时，会将办公作业临时保

存，如果作业提交失败或完整性出错可以再次提交；

6） 对办公系统的系统慢原因进行彻底分析，通过优化程序、扩容资源、增加、

增加冷热软硬件备份设备、通过负载均衡等措施，提供办公系统的稳定性、可用性和性能。

4.3 应用安全

4.3.1 应用安全设计

应用安全是指办公系统和邮件系统自身应具备的安全功能。等级保护《基本要求》从“身份鉴别、访问控制、安全审计、通信完整性、通信保密性、软件容错和资源控制”等方面对应用安全提出了要求。经过细致的安全现状调研发现，办公系统和邮件系统具有简单身份鉴别、简易审计等一些基本的安全功能，还不能够完全达到等级保护三级的安全要求，需要通过二次开发的方式，使办公系统和邮件系统自身具备“身份鉴别、访问控制、安全审计、通信完整性、通信保密性、软件容错和资源控制”等安全功能。由于办公系统和邮件系统为在用系统，因此在二次开发、部署、测试等过程中一定要尽量避免对系统的正常使用造成影响。如果受客观原因限制，即使通过二次开发，办公系统和邮件系统也无法达到具备完全合标安全功能的水平，应充分评估残余的安全风险，并通过其他安全措施尝试解决和避免，直至达到风险可接受水平方可。

4.3.1 办公系统和邮件系统应开发安全功能

1） 通过二次开发为办公系统开身份认证接口，通过与统一身份认证系统联动，

实现双因子身份认证，达到强身份鉴别强度；

邮件系统因为要在内、外各种环境下登录使用，因此通常不需要达到双因子身份认证的强度；

2） 对邮件系统是否需要连续登录失败处理进行评估，如果邮件系统中会有很多

涉及工作秘密或敏感信息的内容，建议要求邮件系统具备连续登录失败处理功能；

3） 通过二次开发，使办公系统具备设置敏感标记或重要程度的功能，敏感标记

应能绑定目标本体，能够被他人识别；

4） 对办公系统进行二次开发，开发相应的审计功能，实现对所有用户的所有重

要操作行为的审计记录；审计信息需完整全面，包括事件的主体、客体、是否成功、发生日期时间、终端等信息；审计信息应能够为数据原发和接收是否成功进行记录、提供证明；

5） 对邮件系统是否允许保存用户名和口令进行评估，如果邮件系统中会有很多

涉及工作秘密或敏感信息的内容，建议要求邮件系统去除保存用户名和口令的功能，或通过安全策略禁用该功能；

6） 开启办公系统防止单个用户多重登录的策略，通过宣传、培训等方式，引导

业务用户适应新的工作方式；

7） 通过二次开发方式，为办公系统增加系统资源占用情况监测的功能，能够对

服务器的关键资源情况进行监控，并能够设置阈值策略进行报警；如果无法通过二次开发实现，则通过运维管理系统或服务器操作系统安全加固软件等安全产品，对办公系统的服务器进行实时监控，并安排技术人员实时关注，当出现资源匮乏或接近临界阈值时，通过资源扩容或限制访问等方式来保证系统的可用性。

4.4 等级保护所需安全产品清单

编号 产品名称 数量 2 单位 台 安全性 说明 网络安全 部署位置 核心交换及专线区 备注 1 网络接入控制系统

2 服务器操作系统安全加固软件 7 500 点 点 主机安全 主机安全 办公系统和邮件系统服务器（北京） 内部用户区 Win系统 Lin系统 主机监控与审计系统（含可信介质管理模块、打印安全3 监控与审计模块、刻录安全监控与审计模块） 4 服务器端防病毒软件（网络版） 7 1 1 点 套 套 主机安全 数据安全及备份恢复 物理安全 内网服务器区 内网服务器区 中心机房 Win系统 Lin系统 5 数据备份系统 6 机房防盗报警系统

5 安全管理建设

信息安全管理内容涉及：信息安全政策、信息安全组织、信息资产分类与管理、个人信息安全、物理和环境安全、通信和操作安全管理、存取控制、系统的开发和维护、持续运营管理等等，是一个庞大、复杂的系统工程。仅仅依靠技术手段来对办公系统和邮件系统进行安全保障，这样的思想是非常错误。必须要做到“领导重视，严格执行有关管理制度，建立信息安全防范意识，技术手段切实可行、有效”，做到“技管并重”才有可能做到真正意义的信息安全。

从系统的管理和运维者的角度来看，技术层面和管理层面必须相互结合、配合良好，其中，尤其需要强调管理的重要性，应以“七分管理，三分技术”的配比来设计办公系统和邮件系统的安全体系。技术层面通过部署相应的安全产品或技术手段实现，管理层面则需要完善的信息安全管理组织机构、严格的信息安全管理制度和人员安全意识和技能培训、考核等手段来实现。

5.1 安全管理要求

《基本要求》中管理安全要求包括：安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等五部分内容。

5.2 信息安全管理体系设计

5.2.1 安全管理体系设计原则

信息安全管理体系设计的基本原则是：在国家有关主管部门的统一领导下，严格遵循国家统一标准要求，严格执行各项管理制度，严格采用各项技术规范、标准，严格使用各种认证产品。

5.2.2 安全管理体系设计指导思想

《基本要求》以及各类信息安全管理标准均为信息安全管理设计提供一了些原则性的建议，要真正构建符合XXXX信息安全管理实际要求的管理体系，在设计过程中应以以下思想作为指导：“信息安全技术、信息安全产品是信息安全管理的基础，信息安全管理是信息安全的关键，人员管理是信息安全管理的核心，信息安全政策是进行信息安全管理的指导原则，信息安全管理体系是实现信息安全管理最为有效的手段。”

5.2.3 安全管理设计具体措施

《基本要求》对安全管理体系的设计提出了明确的指导和要求。我们应以《基本要求》为标准，结合XXXX目前安全管理现状，从管理机构、管理制度、人员

管理、技术手段四个方面着手管理体系的设计和加强。同时，由于信息安全是一个动态的系统工程，所以，还必须对信息安全管理措施不断的加以校验和调整，以使管理体系始终适应和满足实际情况的需要，使办公系统和邮件系统的信息资产得到有效、经济、合理的保护。 5.2.3.1 安全管理组织机构设计

建议：参照以下信息安全管理架构设计符合XXXX信息安全管理特点的组织机构，应该对各个岗位的职责进行明确的规定和说明，并且将岗位落实到人；制定各信息安全岗位考核办法；制定相应的信息安全责任追究奖惩办法等。具体信息安全管理组织机构可参照以下结构设计或完善。

图：信息安全管理组织结构图

?

信息安全管理委员会

定义：信息安全管理委员会是信息安全管理的最高管理机构； 职责：负责对办公系统和邮件系统的安全管理进行决策和监督；对下级安全部门的领导层进行委任和授权；

委任与授权：其最高领导由XXXX主管领导委任与授权；

?

信息安全管理部门

定义：信息安全管理部门是信息安全管理工作的具体执行部门；

职责：总体负责办公系统和邮件系统的安全管理，执行具体的日常管理工作，对办公系统和邮件系统的安全进行维护和监督；设立安全主管、安全管理专员等安全管理岗位，明确定义各岗位的具体职责；安全管理部门向信息安全管理委员进行汇报；

委任与授权：其最高领导应该由信息安全管理委员会委任与授权；

?

安全管理员、系统管理员、审计管理员

定义：安全管理员、系统管理员、审计管理员分别为办公系统和邮件系统安全管理工作、系统管理工作、审计管理工作的具体执行者；

职责：按照制定的安全管理策略，对办公系统和邮件系统的安全进行日常的维护与监督；安全管理员、系统管理员、审计管理员向信息安全管理部门进行汇报；

委任与授权：安全管理员、系统管理员、审计管理员由信息安全管理部门进行委任与授权；其职责权限应该依循“三权分立，相互监督”、“权限最小化”等原则进行定义和分配； ?

应急管理小组

定义：办公系统和邮件系统安全事故发生时，启动应急机制，对应急预案进行执行和决策的组织；

职责：建立办公系统和邮件系统运行应急机制，制定系统应急方案，内容包括各种紧急状态的启动条件、应急处理程序、后备程序、恢复措施、维护计划要求、员工意识培养和教育、人员的责任。定期或不定期的对应急预案中涉及的设备、人员、方案进行检查和审核等，确保应急预案的可用性；

委任与授权：根据安全事故涉及信息敏感级别的不同成立相应的应急管理小组，分别由信息安全管理委员会或信息安全管理部门进行委任和授权；

5.2.3.2 安全管理制度体系设计

信息安全管理制度是界定职责与责任的标尺，是对信息安全行为进行奖惩处理的依据，是确定信息安全保障体系有效执行的保证，因此，信息安全管理制度

体系的完善直观重要。

XXXX应根据自身业务特点与实际安全需求，制定满足本单位信息安全管理要求的信息安全管理制度体系。通常，信息安全管理制度体系设计包括：新管理制度制定申请、管理制度的编制、管理制度的审核、管理制度的发布、管理制度的变更以及其他管理制度方面的管理规定等。

建议：按照以下要求建立和完善信息安全管理制度体系，建立满足自身信息安全要求、合理、有效的安全管理制度体系。

1)

管理制度的制定与发布

? 管理制度的编制与制定：

管理制度应该由信息安全管理部门指定部门或人员，根据有关法规、政策、标准的要求，结合XXXX信息安全管理的实际情况进行编制和制定；

? 管理制度的评审

原有管理制度的修改或新制定的管理制度，应组织有关人员进行充分论证和审定，评审通过后，再根据新编制度的级别送信息安全管理委员会或信息安全管理部门进行审批。

? 管理制度的发布

原有管理制度的修改或新制定的管理制度，通过信息安全管理委员会或信息安全管理部门审批后，方可正式发布、执行。管理制度应注明发布范围、有效时限等，通过正式、有效的方式进行发布，对收发文进行登记，并指定有关部门对制度的执行进行监督和审查。

? 管理制度的修订

信息安全管理部门应定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定；应定期或不定期对安全管理制度进行检查和审定，对存在不足或需要改进的安全管理制度进行修订。

? 管理制度的管理

管理制度应该由信息安全管理部门指定部门或人员进行管理与解释；所有制度文本应具有统一的格式，并进行版本控制。

2) 需制定安全管理制度

XXXX信已经发布、制定了一些信息安全管理制度，这些制度文件构成了当前的信息安全管理制度体系。等级保护对办公系统和邮件系统的管理制度体系提出了具体的要求，现有的管理制度体系不能够完全满足标准的要求，因此，应根据《基本要求》中的相关要求，结合现有管理制度体系，对现有管理制度体系进行调整和完善，并添加新的管理制度，并发布实施。

制度性文件从用途的角度可以划分为管理制度、流程规范和记录文件等三类。目前已经制定了一些管理制度，但还没有制定相应的流程规范和记录文件。完善管理制度，根据日常安全操作编制相应的流程规范和记录文件，严格规范日常安全操作按照流程规范执行，并进行相应的记录，这些是目前信息安全管理设计的重点。

建议：根据自身业务特点和信息安全方面的需求，根据以下管理制度列表（但不局限于），补充或完善安全管理制度体系。

? 管理制度：

a) 总体信息安全指导文件

《办公系统和邮件系统安全方针》； 《办公系统和邮件系统工作总则》； 《办公系统和邮件系统安全策略》； 《办公系统和邮件系统安全规范》； 《信息安全管理组织机构及岗位职责说明》； b)

应对安全管理活动中的各类管理内容建立安全管理制度； 《机房安全管理规定》； 《机房应急预案》； 《机房值班制度》； 《防病毒管理规定》；

《计算机及相关设备管理办法》； 《计算机及相关设备入网管理规定》； 《外单位计算机及相关设备接入管理规定》； 《IP地址管理规定》；

本文来源：https://www.bwwdw.com/article/xt6p.html