软件系统安全方案（全）

原创已于 2025-08-08 12:12:16 修改 · 2.1k 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#爬虫

于 2022-01-16 15:05:02 首次发布

7G 专栏收录该内容

1 篇文章

订阅专栏

本文档详细介绍了如何在Ubuntu20桌面版本或MacOS环境下从源代码编译NekoX项目的过程，包括安装必要的开发工具和依赖库、配置Android NDK/Sdk环境变量等步骤。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

1.系统安全方案
1.1.安全现状分析
本系统对安全需求包含两个层面，首先符合国家政策相关要求，需要符合安全等级保护的相关技术要求进行全面安全保障体系的建设，另外建设的系统能够满足自身业务运行的实际需求。
公司现有的安全保障措施主要体现在网络层面和应用层面上。
主要有：内网与外网物理隔离，外网与互联网逻辑隔离；在内网中采用了防病毒技术和Notes系统提供的权限分配等基本安全措施；在外网中采取防火墙、漏洞扫描、入侵检测、防病毒、Web网站防篡改系统等安全措施。
从安全防护的角度来看，公司网络当前的安全系统建设已经取得了一定的成效，已经符合等级保护的技术要求，为平台的正常运行提供了较好的支撑与保障，在本期项目中将从整体安全保障的角度进行规划和设计，使系统更加符合国家相关政策要求,满足业务系统运行与使用过程中的安全需求。
1.2.方案设计原则
在规划本项目安全系统时，我们将遵循以下原则，以这些原则为基础，提供完善体系化的整体网络安全解决方案：
体系化设计原则
通过分析信息网络的网络层次关系、安全需求要素以及动态的实施过程，提出科学的安全体系和安全模型，并根据安全体系和安全模型分析网络中可能存在的各种安全风险，针对这些风险以动态实施过程为基础，提出整体网络安全解决方案，从而最大限度地解决可能存在的安全问题。
全局性、均衡性原则
安全设计从全局出发，综合考虑信息资产的价值、所面临的安全风险，平衡两者之间的关系，根据信息资产价值的大小和面临风险的大小，采取不同强度的安全措施，提供具有最优的性能价格比的安全解决方案。
可行性、可靠性原则
在采用全面的网络安全措施之后，不会对本项目原有的网络，以及运行在此网络上的应用系统有大的影响，实现在保证网络和应用系统正常运转的前提下，有效的提高网络及应用的安全强度，保证整个信息资产的安全。
整体性，实用性，先进性，可管理性
从网络和系统的整体性出发，选择先进且成熟的技术，满足当前的实用性，并适应未来的技术发展，节约有限的投资。
可动态演进的原则
方案针对本项目制定统一技术和管理方案，采取相同的技术路线，实现统一安全策略的制定，并能实现整个网络从基本防御的网络，逐步向深度防御的主机以及应用和数据，形成一个闭环的动态演进安全系统。
1.3.安全技术方案
这次项目系统建设，安全部分主要是围绕应用系统展开，本方案的安全重点集中在主机安全、应用安全、数据安全等方面。
1.3.1.项目安全概述
系统整体安全方案是一项系统工程，决非任何单独的一个小环节所能代替和涵盖，而整体安全方案涵盖的不仅仅只是软件和硬件，同时还应该包括管理和制度上等多方面的安全性考虑。我们将实现如下表的安全保护策略：
项目要求内容
一、技术要求
1.1物理安全包含地理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护
1.2网络安全网络结构安全、访问控制、安全审计、边界完整性检查、入侵防范、网络设备防护
1.3主机安全身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、资源控制
1.4应用安全身份鉴别、访问控制、安全审计、通信完整性、通信保密性、软件容错、资源控制
1.5数据安全与备份恢复数据完整性、数据保密性、备份和恢复
二、管理要求
2.1安全管理制度管理制度、制定和发布、评审和修改
2.2安全管理机构岗位设置、人员配置、授权和审批、沟通和合作、审核和检查
2.3人员安全管理人员录用、人员离岗、人员考核、安全意识教育和培训、外部人员访问管理
2.4系统建设管理系统定级、安全方案设计、产品采购和使用、自行软件开发、工程实施、测试验收、系统交付、安全服务商选择
2.5系统运维管理环境管理、资产管理、介质管理、设备管理、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、安全事件处置、应急预案管理
我们的整体安全方案即涵盖了从安全理念、数据存储、数据传输到应用系统访问的各个环节，只有这些所有环节的安全性都得到了保障，整个系统才能被认定是安全的。值得高度重视的是，随着病毒、木马的日益泛滥以及黑客入侵事件的频频上演，基于网络的应用越来越严峻地面临着信息安全的威胁，不难想象，没有一个信息安全规划的方案决不是一个值得信赖的方案，也不难预计，缺乏安全规划的方案也绝对不能成为一个合格的解决方案。特别指出，系统安全意识不仅仅停留在利用外部工具和手段进行安全配置和部署，内部还专门配备有专门的可信赖计算评估小组，监督从设计、开发到测试的各个环节，同时，通过制定一系列的安全设计及编码规范，在产品安全上指导开发团队遵循可信赖计算方针，并对代码安全性以及系统的总体安全性进行审查，从而确保产品总体安全性要求。
下面从以下几个方面详细阐述软件的系统整体安全方案：
1.3.2.保密安全
保密安全是指保护敏感信息和数据免受未经授权的访问、使用、披露、修改或破坏的措施和实践。通过身份认证、授权和权限管理来限制对敏感信息和数据的访问。包括使用强密码、多因素身份验证、单点登录、访问控制列表等技术和措施。使用加密算法将敏感信息和数据转化为不可读的形式，只有授权的用户才能解密和查看。这可以包括对数据传输进行加密（如SSL/TLS），对数据库和存储介质进行加密等。建立安全审计和监控机制，监测和记录对敏感信息和数据的访问和使用情况。这包括日志记录、事件告警、实时监控和异常检测等，以便及时发现和应对安全威胁。
1.3.3.物理安全
确保信息系统在对信息进行采集、处理、传输、存储过程中，不受到人为或自然因素的危害，而使信息丢失、泄露或破坏，对计算机设备、设施（包括机房建筑、供电、空调）、环境人员、系统等采取适当的安全措施。本次建设的各个业务系统统一部署在现有机房环境中，依靠现有机房的供电、制冷、视频监控、安保等措施保障性物理安全。
1.3.4.网络安全
现有数据中心的网络中部署防火墙、漏洞扫描、入侵检测、防病毒、Web防篡改系统等安全措施。实现区域隔离；入侵检测、病毒防护等安全防护。为了更好的满足要求，对于本应用系统来说，网络方面必须满足如下要求：
1.网络结构安全
避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之间采取可靠的技术隔离手段；
按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要主机；
2.访问控制
在网络边界部署访问控制设备，启用访问控制功能；
根据业务数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级；
在会话处于非活跃一定时间或会话结束后终止网络连接；
限制网络最大流量数及网络连接数；
按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问；
对进出应用系统的数据信息进行控制，阻止非授权访问。
3.安全审计
对应用系统中的设备运行状况、吞吐、I/O、用户行为等进行日志记录；
审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；
能够根据记录数据进行分析，并生成审计报表；
对审计记录进行保护，避免受到未预期的删除、修改或覆盖等。
HTTP监控策略：对于业务服务器的B/S结构的应用系统，网络安全审计可以截获、记录、回放、归档被监测网段中所有用户浏览WEB页的内容，包括各种文件，如HTML文件、图像文件、文本文件；
5.入侵防范
在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等；
检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。
6.恶意代码防范
在网络边界处对恶意代码进行检测和清除；
维护恶意代码库的升级和检测系统的更新。
1.3.5.主机安全
应用系统都部署在Linux主机操作系统上，主机系统的安全对整个业务的安全也是至关重要的，在应用系统部署时对主机进行了一定的安全策略配置，并建立相关安全管理制度，由专人负责主机安全运行与维护。本次招标的应用系统结合《信息安全技术信息安全等级保护基本要求》，从主机身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范和资源控制等方面进行主机安全等级保护建设以实现以下目标：
1.对主机的登录有严格的身份标识和鉴别；
2.有严格的访问控制策略限制用户对主机的访问与操作；
3.有严密的安全审计策略保证主机出现故障时可查；
4.拥有相关技术手段，抵抗非法入侵和恶意代码攻击。
1.3.5.1.主机身份鉴别
主机身份证认证是确保正确的管理人员对系统进行管理和维护，根据等级保护要求的相关技术要求，应在以下几个方面对主机身份鉴别进行配置：
1.添加多个管理账号，为操作系统和数据库系统的不同用户分配不同的用户名，实现三权分立；
2.对登录操作系统的用户进行身份标识和鉴别；
3.操作系统管理用户身份标识具有不易被冒用的特点，口令有复杂度并定期更换；
4.启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；
5.对服务器进行远程管理时，采取必要措施，防止鉴别信息在网络传输过程中被窃听；
具体技术措施：
1.对登录操作系统的管理员用户和普通用户均设置口令；删除操作系统中过期的账户，修改操作系统中默认帐户和口令，检查操作系统中是否存在相同用户名的账户。
帐户安全增强措施表
操作系统操作方式
WINDOWS 删除非法账号或多余账号，更改默认管理员账号，将原Administrator名称改成不被人熟识的帐户，新建一个普通用户，将其重命名为Administrator，并将其权限设为最低，口令复杂度为32位以上；
选择“本地用户和组”的“用户”，可设置口令、删除或禁用非必需账户或禁用Guest账户。
LINUX 检查/etc/passwd密码域中存在“*”的帐户，删除不必要的账户，或增设口令；
2.增强操作系统口令强度设置：
增强操作系统口令强度设置表
操作系统操作方式
WINDOWS 修改“密码策略”，开启复杂性要求，设置口令最小长度等：
密码复杂性要求启用
密码长度最小值 8字符
密码最长存留期 30天
密码最短存留期 0天
复位帐户锁定计数器 10分钟
帐户锁定时间 10分钟
帐户锁定阀值 5次
LINUX 修改passwd参数：
-maxage=30口令最长生存期30天
-maxrepeat=4每个口令在系统中重复出现的次数
-minalpha=4口令中最小含有的字符个数
-mindiff=2新口令不同于旧口令的最小个数
-minlen=8口令最短长度（包含字母、数字和特殊字符）
3.启用登录失败处理功能，设置限制非法登录次数和自动退出等措施。
表格：启用登录失败处理功能
操作系统操作方式
WINDOWS 修改“账户锁定策略”，设置帐户锁定相关设置：
复位账户锁定计数器15分钟
账户锁定时间15分钟
账户锁定阈值5次
4.当对服务器进行远程管理时，对于LINUX类服务器，用当前稳定版本的SSH等安全工具取代明文传输的telnet，并及时升级，保证传输数据的安全性；对于windows类服务器，关闭不必要的telnet服务，采用加密或认证的方式保证数据才网络传输过程中的保密性、完整性和可用性。
服务器加密或认证措施表
操作系统操作方式
WINDOWS 禁用不需要的服务，如remote Registry、telnet等（远程管理注册表，开启此服务带来一定的风险）。
采用其他加密的远程桌面管理软件代替远程桌面管理，或者在远程桌面管理上启用证书认证系统。
LINUX 增加或修改user文件中如下行
root:
admin=true
SYSTEM=“compat”
loginretries=0
account_locked=false
rlogin=false
如果无法禁用telnet服务，也可使用TCP wrapper、防火墙或包过滤技术禁止不可信IP对telnet服务（例如23/TCP端口）访问。
1.3.5.2.访问控制
根据等级保护要求的相关技术要求，应在以下几个方面对主机访问控制进行如下配置：
1.启用访问控制功能，依据安全策略控制用户对资源的访问；
2.实现操作系统特权用户的权限分离；
3.限制默认帐户的访问权限，重命名系统默认帐户，修改帐户的默认口令；
4.及时删除多余的、过期的帐户，避免共享帐户的存在。
具体技术措施
1.在交换机和防火墙上设置不同网段、不同用户对服务器的访问控制权限；关闭操作系统开启的默认共享，对于需开启的共享及共享文件夹设置不同的访问权限，对于操作系统重要文件和目录需设置权限要求。
重要文件和目录需设置权限要求表
操作系统操作方式
WINDOWS 修改访问控制策略，将注册标中restrictanonymous值改为1；
删除不必要的共享文件夹或修改其权限，重要共享文件夹的权限属性不能为everyone完全控制。
LINUX 修改普通用户对下列文件的权限：
/bin；
/sbin；
/etc；
/etc/passwd；
/etc/group；
/usr/bin；
2.设置不同的管理员对服务器进行管理，分为系统管理员、安全管理员、安全审计员等以实现操作系统“三员分离”机制，并对各个帐户在其工作范围内设置最小权限，如系统管理员只能对系统进行维护，安全管理员只能进行策略配置和安全设置，安全审计员只能维护审计信息等。
3.限制默认帐户的访问权限，重命名系统默认帐户，修改帐户的默认口令；删除操作系统和数据库中过期或多余的账户，禁用无用帐户或共享帐户。
默认帐户的访问权限表
操作系统操作方式
WINDOWS 修改administrator名称，将原Administrator名称改成不被人熟识的帐户，同时将一个普通帐户名称改成Administrator，登录普通帐户执行系统所有操作；
禁用Guest账号。
LINUX 禁用文件/etc/security/user中，sys,bin,uucp,nuucp,daemon等系统默认帐户。在用户前面加上注释号“#”
4.根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限。
1.3.5.3.安全审计
根据等级保护要求的相关技术要求，应在以下几个方面对主机安全审计进行如下配置：
1)审计范围覆盖到服务器和重要客户端上的每个操作系统用户；
2)审计内容包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件；
3)审计记录包括事件的日期、时间、类型、主体标识、客体标识和结果等；
4)保护审计记录，避免受到未预期的删除、修改或覆盖等。
具体技术措施：
1)审计范围覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户。
审计范围表
操作系统操作方式
WINDOWS 开启日志审计功能；
修改普通用户对日志等安全审计方式的权限配置，只有管理员用户有查看、修改、删除等权限；
LINUX 开启syslog功能：
正在审查开
bin处理开
审查事件开
审查目标开
审核启用
ftp审计。缺省情况下，系统不会记录使用ftp连接和传输文件的日志，这会对系统造成安全隐患，尤其在用户使用匿名ftp方式时。为了避免这种情况发生，可用如下的步骤使系统记录ftp的日志：
1）修改/etc/syslog.conf文件，并加入一行：
daemon.info ftplog
其中FileName是日志文件的名字，它会跟踪FTP的活动，包括匿名和其他用户ID。FileName文件必须在做下一步骤前创建。
2）运行"refresh-s syslogd"命令刷新syslogd后台程序。
3）修改/etc/inetd.conf文件，修改下面的数据行：
ftp stream tcp6 nowait root/usr/sbin/ftpd ftpd-l
4）运行“refresh-s inetd”命令刷新inetd后台程序。
2)审计内容包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件。
重要的安全相关事件表
操作系统操作方式
WINDOWS 修改安全审计策略：
审核策略更改成功
审核登录事件成功,失败
审核对象访问成功,失败
审核过程追踪无审核
审核目录服务访问无审核
审核特权使用无审核
审核系统事件成功,失败
审核帐户登录事件成功,失败
审核帐户管理成功,失败

LINUX 更改默认口令。增加、修改user文件下各用户的设置：
将su=true更改为su=false
3)审计记录包括事件的日期、时间、类型、主体标识、客体标识和结果等；
表格：审计记录
操作系统操作方式
WINDOWS 修改“事件查看器”的属性配置：
日志类型大小覆盖方式
应用日志 16384K 覆盖早于30天的事件
安全日志 16384K 覆盖早于30天的事件
系统日志 16384K 覆盖早于30天的事件
修改“事件类型”、“事件来源”等属性为“全部”；
LINUX 修改日志文件，审核记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等；
4)保护审计记录，避免受到未预期的删除、修改或覆盖等。
保护审计记录表
操作系统操作方式
WINDOWS 修改“事件查看器”的安全属性配置：
“组或用户名称”：修改为只有系统管理用户，删除Everyone；
“用户权限”：根据需要进行“完全控制”、“修改”、“写入”等权限的配置；
LINUX 利用chmod命令修改审计记录文件的操作权限，以保证日志记录文件仅root用户可访问和修改。
5)提供审计记录导出，审计记录锁定功能，并可以对特定安全审计事件进行监视，实时警报。
1.3.5.4.入侵防范
根据等级保护要求的相关技术要求，应在以下几个方面对主机入侵防范进行如下配置：
1.操作系统遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新。
2.检测到对重要服务器进行入侵的行为，能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间，并在发生严重入侵事件时提供报警。
3.对主机运行情况进行监视，包括主机的CPU、硬盘、内存、网络资源等。
4.对系统内特定进程进行监控，禁止运行非法进程。
5.对主机的各类账户进行监控，禁止随意对用户账户进行添加和删改。
6.对系统重要程序完整性进行监控，受到破坏时自动从备份恢复响应程序文件。
具体技术措施：
操作系统需遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新。
入侵防范技术措施表
操作系统操作方式
WINDOWS 安装最新的补丁。
使用WSUS或从http://www.microsoft.com/china下载最新的安装补丁进行安装。
关闭非必需服务：
常见的非必需服务有：
Alerter远程发送警告信息
Computer Browser计算机浏览器：维护网络上更新的计算机清单
Messenger允许网络之间互相传送提示信息的功能，如net send
remote Registry远程管理注册表，开启此服务带来一定的风险
Print Spooler如果相应服务器没有打印机，可以关闭此服务
Task Scheduler计划任务，查看“控制面板”的“任务计划”中是否有计划，若有，则不关闭。
SNMP简单网管协议，如启用网管应用则不关闭。
关闭空连接：
编辑注册表如下键值：HKLM\SYSTEM\CurrentControlSet\Control\Lsa“restrictanonymous”的值修改为“1”，类型为REG_DWORD。
LINUX 更新最新系统补丁
禁用应用系统不需要的TCP/UDP小服务：
禁用系统不需要启动的服务，实现最小化启动：
1.3.5.5.恶意代码防范
根据等级保护要求的相关技术要求，应在以下几个方面对恶意代码防护进行如下配置：
安装防恶意代码软件，并及时更新病毒库，增强防病毒软件的恶意代码防护能力以保证信息系统的安全稳定运行。
1.3.6.应用安全
1.3.6.1.应用安全建设目标
根据应用安全要求，结合《信息安全技术信息安全等级保护基本要求》对系统应用安全从身份鉴别、访问控制、安全审计、通信完整性、通信保密性与资源控制等几个方面对应用系统安全建设，通过等级保护建设，实现如下安全防护目标：
1)对登录应用系统的所有用户均设定身份鉴别措施；
2)拥有审计系统审计各用户的相关操作；
3)有相关的加密措施，保证应用系统数据在网络传输过程中的保密性、可靠性和可用性；
4)应用程序具有自恢复功能，保证运行出错时可自动恢复。
1.3.6.2.身份鉴别
1)根据要求的安全和等级保护的相关技术要求，所有登录到应用系统的用户都需要进行安全认证和身份鉴别，建立统一认证的目的是让每个用户只有一个唯一身份，并只对此唯一身份进行管理。
2)一个用户可关联多个角色。认证系统应在以下几个方面进行如下配置：
3)提供用户身份标识唯一和鉴别信息复杂度检查功能，保证应用系统中不存在重复用户身份标识，身份鉴别信息不易被冒用。
4)设置口令管理策略，允许从强度，时间等方面进行口令管理，实行账户锁定机制。
5)启用登录失败处理功能，设置限制非法登录次数和自动退出等措施。
6)采用加密或认证的方式，保证数据在网络传输过程中的保密性、完整性和可用性。
7)对非法用户登录提出警示。
8)对用户名唯一性检测、口令复杂度检测功能，口令复杂度功能检测模块按系统开发的相关规定进行设计。
1.3.6.3.访问控制
根据公司招标的安全和等级保护的相关技术要求，应在以下几个方面进行如下配置：
1)采用三权分立的管理机制进行访问控制，设定系统管理员、安全保密管理员、安全审计员。进行多级不同范围的授权，并对各个帐户在其工作范围内设置最小权限。
2)系统管理员：主要负责系统的日常运行维护工作。包括网络设备、安全保密产品、服务器和用户终端、操作系统数据库、涉密业务系统的安装、配置、升级、维护、运行管理；网络和系统的用户增加或删除；网络和系统的数据备份、运行日志审查和运行情况监控；应急条件下的安全恢复。安全保密管理员：主要负责系统的日常安全保密管理工作。包括网络和系统用户权限的授予与撤销；用户操作行为的安全设计；安全保密设备管理；系统安全事件的审计、分析和处理；应急条件下的安全恢复。安全审计员：主要负责对系统管理员和安全保密员的操作行为进行审计跟踪、分析和监督检查，及时发现违规行为，并定期向系统安全保密管理机构汇报情况。
3)系统管理员、安全保密管理员和安全审计员不能以其他用户身份登录系统；不能查看和修改任何业务数据库中的信息；不能增删改日志内容。
4)系统三员应由本单位内部人员担任，要求政治上可靠，熟悉涉密信息系统管理操作流程，具有较强的责任意识和风险防控意识；并签署保密承诺书。
5)系统管理人员和安全保密管理人员可由信息化部门专业技术人员担任，对于业务性较强的涉密信息系统可由相关业务部门担任；安全审计员根据工作需要由保密部门或其他能胜任安全审计员工作的人员担任。
6)同一设备或系统的系统管理员和安全审计员不能由同一人兼任，安全保密管理员和安全审计员不得由同一人兼任。
具体技术措施：
1)修改系统管理模块，细化系统权限功能。权限控制涉及到按钮级别，数据权限细化到个人。
2)对敏感性资料提供访问加密功能、使用密码技术保证文档访问安全。
3)应用系统提供用户登录控制功能，确保同一用户名不能同时登录在线。
1.3.6.4.安全审计
根据公司招标的安全和等级保护的相关技术要求，应在以下几个方面进行如下配置：
具体技术措施：
1)应用软件应能够将所有的安全相关事件记录到事件日志中，或者将事件数据安全地发送到外部日志服务器。如通过IMS系统记录应用系统日志。
2)对日志进程进行保护，避免进程被意外中止、日志记录被特权用户或意外删除、修改或覆盖等；
3)应用软件审计模块能够对所有与应用本身相关的各类事件进行有效记录，包括但不限于以下事件：
系统管理和配置事件
业务操作事件
成功事件
失败事件
对审计功能的操作
4)应用系统能够允许安全管理员选择需要进行审计的事件项目。应用软件对审计事件的记录需确保可以将每个可审计事件与引起该事件的用户身份相关联，需要包含并绑定以下信息：
事件发生的时间（或时间段）
事件发起用户ID、程序ID或其他实体的识别ID
用户操作的客户端
事件内容
事件导致的结果
5)系统日志记录系统所有用户的每一步操作，可以追溯重点业务操作，完整地记录访问过程，并对全部活动的过程轨迹进行记录。
1.3.6.5.剩余信息保护
根据公司招标的安全和等级保护的相关技术要求，应在以下几个方面进行如下配置：
应保证系统内用户鉴别信息和重要文件以及用户私有数据，在被释放时得到完全清除无论这些信息是存放在硬盘上还是在内存中；
应保证系统内的文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其他用户前得到完全清除。
具体技术措施：
1)内存中剩余信息保护的重点是：在释放内存前，将内存中存储的信息删除，也即将内存清空或者写入随机的无关信息。
2)硬盘中剩余信息保护的重点是：在删除文件前，将对文件中存储的信息进行删除，也即将文件的存储空间清空或者写入随机的无关信息。
1.3.6.6.通信完整性、通信保密性
根据公司招标的安全和等级保护的相关技术要求，应在以下几个方面进行如下配置：
采用密码技术保证通信过程中数据的完整性与保密性（使用HTTPS协议通信）；
在通信双方建立连接之前，应用系统利用密码技术进行会话初始化验证；
使用javascript加密编码：用户请求登陆页面,返回的登陆页面中调用一个javascript文件timestamp.js，该javascript里面包含服务器上的时间戳,每五分钟自动发布一次timestamp.js，也就是每五分钟更新一次js文件中的时间戳。
具体技术措施：
1)应用系统部署采用HTTPS，增加TLS/SSL传输层安全协议，防止数据在传输过程中不被窃取、改变，确保数据的完整性。
2)采用密码技术保证通信过程中数据的完整性，密码技术需满足以下要求：
密码算法的选择：应用软件中选择的密码算法在强度上要等于或大于公司规定和用户提出的安全强度要求（软件开发过程中需要给出相关技术要求，对算法的安全强度要求给出明确说明）。
密钥的安全管理：应用软件要在密钥生成、存储、分配、销毁的整个生命周期中对其实施保护，确保密钥明文不能被其他进程、程序和应用中非相关组件访问到。
证书验证：应用软件确保能够对系统中使用的证书进行正确鉴别，而且不会接受或继续使用非法的或者无效的证书。
1.3.6.7.软件容错
根据公司招标的安全和等级保护的相关技术要求，应在以下几个方面进行如下配置：
1)考虑到硬件有可能出故障，接近硬件的模块要对硬件行为进行检查，及时发现错误。
2)考虑到操作人员有可能失误，输入模块对输入数据进行合法性检查，是否合法、越权，及时纠错。
3)考虑到软件本身有可能失误，加强模块间检查，防止错误蔓延。
具体技术措施：
1)对各类输入接口的输入数据进行有效性验证，
2)对人机接口提供“回退”功能。
3)应用软件具有自动保护和状态检测能力，故障发生时，能自动保护当前状态并报警。
1.3.6.8.资源控制
根据公司招标的安全和等级保护的相关技术要求，应在以下几个方面进行如下配置：
限制对系统的最大并发会话连接数；
限制单个帐户的多重并发会话；
限制双方通信的空闲连接时长，如双方通信中的一方在5分钟未作任何响应，另一方自动结束会话。
具体技术措施
按照公司应用软件通用安全相关的规范中对用户会话管理要求与《信息安全技术信息安全等级保护基本要求》，系统应用软件需限制用户对系统的最大并发会话连接数、限制单个帐户的多重并发会话、限制某一时间段内可能的并发会话连接数等，整改方案如下：
应用系统要向系统管理员增设监视工具，以便实时检测客户端用户的连接状态和行为，应用系统必须允许会话发起方手动终止该会话。
应用软件能够自动处理会话的异常状态，并且能够提供给系统管理员适当的管理工具对会话进行实时控制，包括设置会话超时时间、最大允许会话数。
应用系统能够确保一个客户端只能有一个用户同时登录到系统中，一个用户只允许同时在一个客户端上登录到系统中。
1.3.6.9.代码安全
根据公司招标的安全和等级保护的相关技术要求，应在以下几个方面进行如下配置：
所有应用程序开发都参考统一代码规范，代码编写完成后对代码进行复审，保证系统中不存在恶意代码。
开发平台提供沙箱功能，过滤一些高风险操作。
利用漏洞扫描工具定期对系统进行安全扫描，并根据结果整改。
开发平台对用户表单提交的所有数据，进行服务器端安全编码，防止用户提交非法脚本及SQL注入获取敏感数据等，确保数据安全。
开发平台对用户表单提交的所有数据进行双重验证：包括客户端验证及服务器端验证，防止用户通过浏览器恶意修改（如不可写文本域、隐藏变量篡改、上传非法文件等），跳过客户端验证操作数据库。
1.3.7.数据安全
1.3.7.1.数据安全建设目标
根据公司招标的安全要求，结合《信息安全技术信息安全等级保护基本要求》对系统数据安全及备份的要求，从数据完整性、数据保密性和备份与恢复等几个方面进行数据安全和备份安全等级保护建设，以期实现如下目标：
1)确保管理数据和业务数据等重要信息在传输过程与存储过程中的完整性与保密性；
2)确保存储过程中检测到完整性错误时，具有相应的措施对信息进行恢复。
1.3.7.2.数据完整性、数据保密性
根据公司招标的安全要求，结合《信息安全技术信息安全等级保护基本要求》对系统数据安全，应对以下几个方面进行完善：
1)系统管理数据、鉴别信息和重要业务数据在传输过程和存储中应进行加密，确保信息在传输过程和存储中的完整性和保密性。
2)系统管理数据、鉴别信息和重要业务数据在存储过程中需进行加密，保证信息在存储过程中的完整性和保密性，存储过程中检测到完整性错误时需采取必要的恢复措施。
具体技术措施：
采用加密、数字签名与电子证书等保证系统管理数据、鉴别信息和重要业务数据在传输过程与存储过程中完整性不受到破坏，检测到完整性错误时，根据采用的完整性防护措施对信息进行恢复。加密技术要满足以下要求：
1)密码算法的选择：数据传输和存储中选择的密码算法需要符合国家的商密标准，如：DES、3DES、AES、PKCS、SHA1.IDEA。
2)在强度上满足对密码强度的相关规定，在应用开发规范中要对算法的安全强度要求给出明确说明。
3)密钥的安全管理：在密钥生成、存储、分配、销毁的整个生命周期中对其实施保护，确保密钥明文不能被其他进程和程序非相关组件访问到。
4)证书验证：数据传输和存储过程中必须对系统中使用的证书进行正确鉴别，且不接受或继续使用非法的或者无效的证书。
1.3.7.3.备份和恢复
根据公司招标的安全要求，结合《信息安全技术信息安全等级保护基本要求》对系统数据安全，应对以下几个方面进行完善：
1)需提供本地数据备份与恢复功能，完全数据备份需每天一次，备份介质场外存放；
2)必须提供异地数据备份功能，关键数据需定时批量传送至备用场地。
1.3.7.4.数据库安全审计
通过基于分布式存储框架进行海量数据的存储，通过数据库安全审计系统的部署，监控数据存储层的数据变更及提取，防止底层数据的安全泄露及非法篡改等操作。
完整的双向审计：除可实时监控数据库的请求操作以外，还可以实时监控所有请求操作后数据库的回应信息，如命令执行情况，错误信息等。潜在危险活动重要审计：提供对DDL类操作、DML类操作的重要审计功能，重要审计规则的审计要素可以包括：用户、源IP地址、操作时间(任意天、一天中的时间、星期中的天数、月中的天数)、使用的SQL操作类型(Select/Delete/Drop/Insert/Update)。当某个数据库活动匹配了事先定义的重要审计规则时，一条报警将被记录以进行审计。
数据库安全审计对审计和事务日志进行审查，从而跟踪各种对数据库操作的行为。一般审计主要记录对数据库的操作、对数据库的改变、执行该项目操作的人以及其他的属性。这些数据库被记录到数据库安全审计独立的平台中，并且具备较高的准确性和完整性。针对数据库活动或状态进行取证检查时，审计可以准确的反馈数据库的各种变化，对我们分析数据库的各类正常、异常、违规操作提供证据。
通过数据库安全审计产品的部署，能够达到以下效果：
1.3.7.5.全面的数据库审计
数据库审计系统对业务网络中的数据库进行全方位的安全审计,做好内部防范机制，能追踪数据的流向，能定位到时间、人和动作，数据库审计数量不受限制。具体包括：
数据访问审计：记录所有对保护数据的访问信息，包括主机访问、文件操作、数据库执行SQL语句或存储过程等。系统审计所有用户对关键数据的访问行为，防止外部黑客入侵访问和内部人员非法获取敏感信息。
数据变更审计：统计和查询所有被保护数据的变更记录，包括核心业务数据库表结构、关键数据文件的修改操作等等，防止外部和内部人员非法篡改重要的业务数据。
权限操作审计：统计和查询所有用户的登录成功和失败尝试记录，记录所有用户的访问操作和用户配置信息及其权限变更情况，可用于事故和故障的追踪和诊断。
数据库安全：支持对SQL注入、跨站脚本攻击等web攻击的识别与告警。
1.3.7.6.系统备份与恢复
随着信息技术的不断发展,近年来在世界范围内掀起了兴建网络环境、传播数据信息的热潮。随着计算存储信息量的不断增长,数据存储、备份和灾难恢复就成为引人关注的话题。组织最为宝贵的财富就是数据,要保证组织业务持续运营和成功,就要保护基于计算机的数据信息。人为错误、硬盘损毁、电脑病毒、自然灾难等等都有可能造成数据的丢失，给组织造成无可估量的损失。由此可见,在社会走向数字化的今天,数据已成为各类机构与组织的生命线。所以,一旦数据丢失时，最关键的问题在于如何尽快恢复计算机系统,使其能正常运行。
由于数据备份所占有的重要地位,它已经成为计算机领域里相对独立的分支般来说,各种操作系统所附带的备份程序都有着这样或那样的缺陷,所以若想对数据进行可靠的备份,必须选择专门的备份软、硬件,并制定相应的备份及恢复方案。在发达国家,几乎每一个网络都会配置专用的外部存储设备,而这些设备也确实在不少灾难性的数据丢失事故中发挥了扭转乾坤的作用。计算机界往往会用服务器和数据备份设备的连接率,即一百台服务器中有多少配置了数据备份设备,来作为评价备份普及程度和对网络数据安全程度的一个重要衡量指标。
一、设计目标
本方案目标是在一个集中管理的模式下,将数据备份做到安全、可靠、可用和高效,同时保证在灾难发生时,能在客户允许的数据恢复时间和恢复点,顺利地恢复系统,以保证客户的财产与业务的正常进行。
二、设计原则
对数据进行备份是为了保证数据的一致性和完整性,消除系统使用者和操作者的后顾之忧。不同的应用环境要求不同的解决方案来适应,一般来说,一个完善的备份与恢复系统,需要满足以下原则：
1.稳定性
备份产品的主要作用是为系统提供一个数据保护的方法,于是该产品本身的稳定性和可靠性就变成了最重要的一个方面。首先,备份软件一定要与操作系统100%的兼容,其次,当事故发生时,能够快速有效地恢复数据。
2.全面性
在复杂的计算机网络环境中,可能包括了各种操作平台,如各种厂家的UNIX、NetWare、Windows nt linux、SCO、NCR等,并安装了各种应用系统,如ERP、数据库、群集系统等。选用的备份软件,要支持各种操作系统、数据库和典型应用。
3.自动化
很多系统由于工作性质,对何时备份、用多长时间备份都有一定的限制。在非工作时间系统负荷较轻,适于备份。可是这会增加系统管理员的负担,由于精力状态等原因,还会给备份安全带来潜在的隐患。因此,备份方案应能提供定时的自动备份,并利用自动磁带库等技术进行自动更换磁带。在自动备份过程中还要有日志记录功能,并在出现异常情况时自动报警。
4.高性能
随着业务的不断发展,数据越来越多,更新越来越快,在休息时间来不及备份如此多的内容,在工作时间备份又会影响系统性能。这就要求在设计备份时,尽量考虑到提高数据备份的速度,利用多种技术加快对数据的备份,充分利用通道的宽带和性能。
5.维持业务系统的有效性
实时备份对业务系统的性能将会产生一定的影响,有时会很大。如何采取有效的技术手段避免备份对服务器系统、数据库系统、网络系统的景响,将是非常重要的。
6.操作简单
数据备份应用于不同领域,进行数据备份的操作管理人员也处于不同的层次。这就需要一个直观的、操作简单的在任何操作系统下都统一的图形化用户界面,缩短操作人员的学习时间,减轻操作人员的工作压力,使备份工作得以轻松地设置和完成。
7.实时性
部分关键性的业务是需要24小时不间断运行的,在备份的时候,有一些文件可能仍然处于打开的状态。那么在进行备份的时候,要采取措施,实时地查看文件大小、进行事务跟踪,以保证正确地备份系统中的所有文件。
8.容灾考虑
将本地的数据远程的复制一份，存放在远离数据中心的地方,以防数据中心发生不可预测的灾难,自动实现异地容灾备份管理。
三、方案设计
备份解决方案主要包括备份设备、备份软件、备份策略等,能否安全有效的备份取决于以下几个因素：
1.执行备份的设备(如备份服务器、虚拟磁带库、MO盘库等)备份设备的质量与性能在整个备份过程中是至关重要的,它是能否进行高速高质量备份的关键所在。
2.存储备份数据的介质(如磁带、磁盘、光盘等介质是数据的负载物,它的质量一定要有保证,使用质量不过关的介质无疑是拿自己的数据冒险控制备份的软件优秀备份软件包括加速备份、自动操作、灾难恢复等特殊功能,对于安全有效的数据备份与恢复是非常重要的。
3.备份策略
根据需求制定的备份策略,能够提高存储介质的利用率,同时方便管理和做到快速恢复。
1.4.安全管理方案
一个完整的网络安全策略体系应该是安全管理和安全技术实施的结合，两者缺一不可。为了实现对网络的多层保护，真正达到网络安全保障的目标，建议参考等级保护安全管理体系和IATF安全体系框架，从人、技术和操作三个层次建立统一的安全策略，在一个安全体系中实现多层保护。
此外，在采用网络安全技术的同时，应该发挥网络系统中最积极的要素——“人”的作用，通过网络安全管理制度和机制来规范人在技术实施和安全操作中的职责，发挥人在网络安全实现中的能动性。
根据等级保护安全管理体系，信息网络的安全保障体系包含安全管理制度、安全管理机构、人员安全管理、建设安全管理、运维安全管理等五个方面的要素，在采用各种安全技术控制措施的同时，必须制订层次化的安全策略，完善安全管理组织机构和人员配备，提高安全管理人员的安全意识和技术水平，完善各种安全策略和安全机制，利用多种安全技术实施和网络安全管理实现对网络的多层保护，减小网络受到攻击的可能性，防范网络安全事件的发生，提高对安全事件的反应处理能力，并在网络安全事件发生时尽量减少事件造成的损失。
其次，为了使网络安全策略体系更有针对性，在网络安全保障体系的构建中还必须考虑网络安全本身的特点：动态性、相对性和整体性。
1．动态性：网络安全的动态性指的是网络中存在的各种安全风险处于不断的变化之中，从内因看，网络本身就在变化和发展之中，网络中设备的更新、操作系统或者应用系统的升级、系统设置的变化、业务的变化等要素都可能导致新的安全风险的出现。从外因看，各种软硬件系统的安全漏洞不断的被发现、各种网络攻击手段在不断在发展，这些都可能使得今天还处于相对安全状态的网络在明天就出现了新的安全风险。
2．相对性：网络安全的相对性指的是网络安全的目标实现总是相对的，由于成本以及实际业务需求的约束，任何的网络安全解决方案都不可能解决网络中所有的网络安全问题，百分之百安全的网络系统是不存在的，不管网络安全管理和安全技术实施有多么完善，网络安全问题总会在某个情况下发生。网络安全的这个属性表明安全应急计划、安全检测、应急响应和灾难恢复等都应该是安全策略体系中的重要环节。
3．整体性：网络安全的整体性指的是网络安全是一个整体的目标，正如木桶的装水容量取决于最短的木块一样，一个网络系统的安全水平也取决于防御最薄弱的环节。因此，均衡应该是网络安全策略体系的一个重要原则，这包括体系中安全管理和安全技术实施、体系中各个安全环节、各个保护对象的防御措施等方面的均衡，以实现整体的网络安全目标。
信息系统安全等级保护的核心是保证不同安全保护等级的信息系统具有相适应的安全保护能力。不同安全保护等级信息系统应该具有相应的安全保护能力以及基本安全要求，满足基本安全要求是保证信息系统具有相应等级的安全保护能力的前提。
对信息系统采取各种安全措施时，还应考虑以下总体性要求，保证信息系统的整体安全保护能力。通过增加数据库的安全套件，对数据库的进行安全加固，实现用户数据存储和传输的完整性和保密性要求。
在数据传输的完整性和保密性方面在应用安全的通信安全性中已做出相关设计，同样适用于其他层面的数据传输安全保护。
对于移动存储介质管理方面，可采用国内已经成熟的安全移动存储介质管理系统，对文件的读写进行访问控制和操作审计，并在移动存储介质中内嵌防毒功能，对数据加密存储，以解决离线备份存储的安全交换问题。
（1）构建纵深的防御体系
在采取由点到面的各种安全措施时，系统整体上还应保证各种安全措施的组合从外到内构成一个纵深的安全防御体系，保证信息系统整体的安全保护能力。应从通信网络、局域网络边界、局域网络内部、各种业务应用平台等各个层次落实本标准中提到的各种安全措施，形成纵深防御体系。
（2）采取互补的安全措施
以安全控制组件的形式提出基本安全要求，在将各种安全控制组件集成到特定信息系统中时，应考虑各个安全控制组件的互补性，关注各个安全控制组件在层面内、层面间和功能间产生的连接、交互、依赖、协调、协同等相互关联关系，保证各个安全控制组件共同综合作用于信息系统的安全功能上，使得信息系统的整体安全保护能力得以保证。
（3）保证一致的安全强度
将基本安全功能要求，如身份鉴别、访问控制、安全审计、入侵防范、安全标记等内容，分解到信息系统中的各个层面，在实现各个层面安全功能时，应保证各个层面安全功能实现强度的一致性。应防止某个层面安全功能的减弱导致系统整体安全保护能力在这个安全功能上削弱。要实现强制访问控制，则应保证在各个层面均基于低层操作系统实现强制访问控制，并保证标记数据在整个信息系统内部流动时标记的唯一性等。
（4）建立统一的支撑平台
在较高级别信息系统的安全功能要求上，需要使用密码技术，多数安全功能（如身份鉴别、访问控制、数据完整性、数据保密性、抗抵赖等）为了获得更高的强度，均要基于密码技术，为了保证信息系统整体安全防护能力，应建立基于密码技术的统一支撑平台，支持高强度身份鉴别、访问控制、数据完整性、数据保密性、抗抵赖等安全功能的实现。
（5）进行集中的安全管理
在较高级别信息系统的安全功能管理要求上，要采用统一安全策略，达到统一安全管理的要求，为了保证分散于各个层面的安全功能在统一策略的指导下实现，各个安全控制组件在可控情况下发挥各自的作用，应建立安全管理中心，集中管理信息系统中的各个安全控制组件，支持统一安全管理。我们制定了相应的安全制度和保密制度。
1.4.1.安全管理制度
制定系统安全管理制度是保证本系统安全运行的重要保障，安全管理制度包括：
总体方针和安全策略，机构安全工作的总体目标、范围、原则和安全框架等；
对安全管理活动中重要的管理内容建立安全管理制度；
对安全管理人员或操作人员执行的重要管理操作建立操作规程。
1.4.2.安全管理机构
系统安全管理机构分总部安全管理机构，分别设有安全负责人、应用系统管理员、操作系统管理员、数据库管理员、网络管理员、安全管理员等岗位。
安全负责人负责系统信息安全工作的组织、落实、独立审核、监督和检查等工作，对本单位系统安全全面负责；应用系统管理员负责是负责应用系统日常维护和管理操作；操作系统管理员负责服务器操作系统日常维护和管理工作；数据库管理员负责数据库日常维护、备份、恢复等数据库管理工作；网络管理员负责本系统相关网络日常维护和管理工作；安全管理员协助安全负责人做好信息安全工作的落实及监督、检查工作。
安全管理员不能兼任网络管理员、操作系统管理员、应用系统管理员和数据库管理员。应用系统管理员不应兼任数据库管理员和操作系统管理员，应用系统管理员、数据库管理员和操作系统管理员不应参与本系统的日常业务交易处理。
1.4.3.人员安全管理
安全负责人、网络管理员、操作系统管理员、应用系统管理员、数据库管理员、安全管理员等相关安全人员上岗前，应开展必要的信息安全技术培训，使这些员工了解、掌握网络、服务器、应用系统、数据库、个人计算机等信息资产的必要信息安全知识，并进行相关业务能力的审核，审核通过后方可上岗。相关安全管理岗位的人员上岗后需要在本单位人力资源部门备案、并签署保密协议。
外部人员因工作需要进入本系统时，需经安全负责人审批同意后方可进入本系统，安全管理人员需全程陪同或监督，并登记备案。
1.5.运维与安全管理
1.5.1.系统运维管理
根据公司各类技术规范制定本系统的安全运行维护计划，并根据已经制定的安全运行维护计划进行日常操作和检查；信息安全管理员应定期检查各系统安全运行维护计划的执行情况，查看安全运行维护记录和实际的匹配情况，并进行记录；信息安全管理员应定期向公司有关信息安全主管部门提交安全检查情况记录和报告。
1.操作程序和操作记录
各信息系统管理员在进行系统日常操作活动时应依照文档的程序进行，如计算机启动和关机程序、备份、设备维护、计算机机房和信息处理的管理和安全控制程序。
各信息系统管理员应将操作程序作为正式文件对待，经部门三级经理审批后才可修改。
为了严格日常运行的安全管理，便于落实和检查，信息系统运行管理部门的系统管理员应做日常记录和登记。
对于重要设备的各种操作行为，应保留审计记录。
2.登录访问程序与口令管理
各系统制定相应的登录规程，包括：登录失败审核、账户锁定、登录连接时间超时控制和历史登录信息提示等。
各系统的账号、口令应根据有关信息安全账号、口令及权限管理办法中的规定和内容严格执行。
3.定期安全检查
有关网络与信息安全工作主管部门要根据各等级业务系统定义的安全目标定期进行以下检查：
信息安全组织机构的组成及运作；
日常运行安全；
数据备份安全；
技术资料安全；
防病毒；
物理环境安全；
设备物理安全；
主机安全；
数据库系统安全；
应用系统安全；
信息安全应急。
1.5.2.介质管理
1.介质访问控制
介质的使用，需要严格执行介质管理制度，包括申请、审批、登记、归还等手续，介质的保管人和借用人有责任和义务保证介质的完整和安全，不得丢失和损坏。
对涉及含有公司秘密的介质原则上不能借用和复制。对确实因工作需要，如系统改造和维护等，必须由项目负责人提出申请。
介质保管理负责人有责任维护介质的完整性，一旦发现介质丢失或损坏，应立即报告技术资料的主管部门，由技术资料的主管理部门采取补救措施。
2.介质存储环境安全
介质存储室必须符合防火、防水、防震、防腐烂、防鼠害、防蛀虫、防静电、防磁场及防盗的安全要求。
介质存储室应指定明确的负责人，并明确管理人员的管理要求和责任，要求制定介质存储室管理办法。
介质存储室的管理员要严格、整齐、有序地管理好生产用各种数据和存储介质。
介质存储室管理员，应负责介质存储室的管理工作，并核查介质使用人员身份与权限。介质存储室严禁其他人员擅自进入、逗留。
应设立入库、转储、使用、销毁登记记录。对各类介质入库、使用、转储、销毁应有审批手续和传递记录。
3.介质分类与归档
介质应按照纸介质和电子介质分别集中分类管理、编制目录、造册登记。对同一内容以不同介质存储的技术资料要建立对应关系，以便于管理和使用。
对电子介质技术资料，要定期转储，并进行转储登记记录。
4.介质销毁与处置
对于纸文件、录音、复写纸、输出报表、一次性打印色带、磁带、可换的磁盘或盒式磁带、光盘（所有形式，包括所有生产商的软件光盘）、等介质，应安全销毁。
对于电子介质技术资料，要每半年进行转储，并进行转储登记记录。
应记录敏感信息的清除，如可能，保留一份审计跟踪记录。
1.5.3.恶意代码管理
公司所涉及到的应用系统计算设备用户应保证使用的计算设备按照要求安装了相应的病毒防护软件或采用了相应的病毒防护手段，并且应保证这些措施的可用性。如果自己无法对病毒防护措施的有效性进行判断，应及时通知公司有关IT服务部门进行解决；各系统防病毒系统应在遵循病毒防护系统整体规划的前提下各系统自行建设和管理；公司各级人员在发现终端感染病毒的情况下，应首先拔掉网线，降低可能对网络造成的影响；各系统管理员在生产和业务网络发现病毒，应及时进行处理，并依照相关规定进行汇报和备案。
1.病毒与恶意代码事件响应
所有病毒防护的负责部门或人员应严格遵守病毒响应时限的要求。如无法在病毒响应时限内完成对病毒的响应工作，应及时上报有关信息安全管理部门进行协调解决并承担相应责任。
办公终端感染病毒的（非蠕虫类），应在发现时（防病毒系统记录或技术支持电话记录）起在规定时间内进行解决。
办公终端感染蠕虫的，应在发现时（防病毒系统记录或技术支持电话记录）起在规定时间内进行解决。
服务器、监控平台等生产设备感染病毒的（非蠕虫类），应在发现时（防病毒系统记录）起在规定时间内进行解决。
服务器、监控平台等生产设备感染蠕虫的，应在发现时（防病毒系统记录）起在规定时间内进行解决。如果该设备会对其他生产设备产生大于设备离网产生的影响时，应立刻切断该设备与网络的连接。
2.检查与监督
病毒防护系统整体规划应由有关网络与信息安全主管部门负责，定期组织各部门、各系统安全管理员对病毒防护系统现状进行检查、评估并提出改进建议。
各系统信息安全管理员应根据系统信息安全操作计划按时上报系统防病毒系统运行情况。
1.5.4.系统变更管理
1.配置管理
公司各系统应对本系统的设备、系统等IT资产进行配置记录，并保存配置记录的信息。
公司各系统管理员对于系统配置操作的信息应进行记录并保存。
公司各部门信息安全组织应对各系统定制配置操作流程、并严格按照操作流程进行操作。
公司各系统应定制系统配置计划，根据配置计划定期进行设备和系统的配置。
2.变更管理
各系统在发生变更操作时，应根据相关制度进行审批、测试。
各系统在发生配置变更操作时，系统管理员提出变更申请，并填写《配置变更申请单》和《配置变更参与人员信息表》。
各系统执行变更操作前，要对变更操作进行测试，确定无不利影响，并向主管部门提交测试计划、风险分析报告以及回退计划。
管理员测试完成后，连同申请单一并报主管部门或领导审批，审批通过后可以进行配置变更操作。
各系统发生配置后，应在有关信息安全主管部门进行备案。
各系统管理员应对变更操作的具体步骤进行记录并保存。
1.5.5.系统备份与恢复管理
1.数据备份
数据管理牵头部门在技术支持部门的协助下制定备份策略和相应的操作规程。备份策略的制定应根据系统性能、存储容量、数据量增长速度、业务需求、备份方式、存储介质、存储介质型号、有效期等因素制定。
在特殊日、版本升级日增加特殊备份。
数据管理实施部门要根据备份策略按照操作规程做好数据备份。
实施数据备份时，要仔细检查备份作业或备份程序的执行结果，核实目标备份与源备份内容一致，确保备份数据的完整性和正确性。
数据管理实施部门应及时记录备份情况，包括备份作业（或名称），备份周期（定期或临时增加）、时间、内容、数据保存期限，磁带型号、磁带容量、业务种类、归档情况、异地备份记录、相关变更记录等信息，并进行当日备份的问题记录，以留档备查。
存放备份数据的介质必须具有明确的标识。标识必须使用统一的命名规范，注明介质编号、备份内容、备份时间和有效期等重要信息。
2.数据恢复
数据恢复前，必须根据情况对原环境有用的数据进行必要的备份，防止有用数据的丢失。
数据恢复申请、审批要按照数据恢复流程和规范执行。
数据恢复过程中严格按照数据恢复手册执行，出现问题时由技术部门进行现场技术支持。
数据恢复后，必须进行验证、确认，确保数据恢复的完整性和可用性。
3.数据保管与抽查
数据管理实施部门根据备份策略保存数据。
数据管理实施部门应编制所保管数据的清单，清单内容应包括介质编号、备份内容、备份时间和保留期限等重要信息。采用自动化技术集中管理的备份数据须实现备份数据清单管理的电子化。
数据管理牵头部门必须对数据存储介质的异地存放、运输、交接和抽检等工作制定具体的管理规程。
数据管理牵头部门和技术支持部门共同制定数据抽检方法，包括抽检频度、验证方式等。
对备份数据超过保存期限的介质进行清理，清除介质上的原有数据后入库转作可用带使用。
数据存储介质的存放和运输要满足安全管理的要求，保证存储介质的物理安全。备份数据必须异地存放，并明确落实异地备份数据的管理职责。
4.数据的使用
信息系统中的数据不得随意查询、记录、携带、复制、传输、修改、删除和泄漏。
测试环境和研发环境需要使用生产环境的数据时，原则上要采用专用的处理程序进行适当的变形处理。
技术部门对数据磁带的借用严格遵守磁介质借用审批流程，进行审批、登记、交接和归还，并保证备份数据完好无缺。
5.数据的清除
数据管理牵头部门根据信息系统运行性能，运行成本和业务部门对数据使用的要求，制定数据清理规范，包括清理周期、清理内容等。
数据清理前必须对数据进行备份，在确认备份正确后方可进行清理操作。历次清理前的备份数据要根据备份策略进行定期保存或永久保存，并确保可以随时使用。
数据清理的实施应避开业务高峰期，避免对联机业务运行造成影响。
6.数据的归档
数据管理牵头部门和技术支持部门共同对归档的数据制定合理的归档方案及有效的查询、使用方法，保证数据的完整性和可用性。
需要长期保存的数据，数据管理实施部门根据归档方案和查询使用方法要在介质有效期内进行归档，防止存储介质过期失效。
归档的数据必须有详细的文档进行记录，记录信息应包括：介质的编号、存储的内容、存储数据的记录时间、归档日期、保留期限、访问记录和操作、维护人员等。
7.数据的安全保护
任何单位和个人发现使用数据的违规行为都有权阻止或举报。
涉及加密环节的重要数据（例如各类密码和密钥、各类校验算法、加/解密算法和参数、终端设备识别算法和参数、身份识别算法和参数等）及其存放介质和技术资料等，必须同时按照有关法律、法规和有关规定严格管理与执行。
厂商、服务商等外部技术服务人员对存放数据的设备进行维修、维护时，必须由设备管理人员现场全程监督。有关设备或介质需送交外单位维修、维护前，设备管理部门应确认设备或介质内的数据已经清除。
1.5.6.信息系统安全管理
1.账号管理
在账号的管理过程，需要重点考虑如下内容：
各系统应根据不同的角色确定用户账号，账号至少应当分为以下角色：
系统管理员：负责维护系统的管理员；
普通用户：访问系统的普通用户，只具有相应访问内容和操作的最小权限；
信息安全管理员：对系统账号进行管理
信息安全审计员：对系统的安全进行审计
各系统管理员应当对系统中存在的账号进行定期审计，系统中不应存在无用或匿名账号。
应定期检查和审计账户信息，内容应包含如下几个方面：
遵守最小权限原则；
用户情况是否和安全部门备案的用户账号权限情况一致；
是否存在非法账号或者长期未使用账号；
是否存在弱口令账号；
各系统应开启系统安全日志功能，能够记录系统的登录和访问时间、操作内容；
各部门在创建账号、变更账号以及撤销账号的过程中，都应进行备案。
2.权限管理
用户访问权限由用户所在部门主管领导申请，经应用系统管理部门审批后，由应用系统管理员开通相应的权限；系统管理员开通用户权限后，需向用户提供访问权限的书面说明，并要求用户签字确认，表明已了解访问的条件；各系统应限制第三方人员的访问权限，对第三方的访问进行定期的检查和审计。
3.系统用户管理
应用系统包括正式的注册、登录认证和注销模块，并且能够对不同用户的访问权限进行严格的访问控制。具体要求包括以下内容：
信息安全审计人员定期检查授权访问的级别是否基于业务目的，且符合安全策略，如不得违反职责分离原则。
系统管理员开通用户权限后，需向用户提供访问权限的书面说明，并要求用户签字确认，表明已了解访问的条件。
保留所有注册人员使用服务的正式记录。
根据人力部门的通知，及时修改或注销已经更换岗位或离开的用户的访问权限。
定期核查并删除多余、闲置或非法的用户账号。
4.系统管理与安全控制
应用系统的运维管理安全，需要进行如下限制：
确定不同系统的超级权限以及需要获得此类特权的人员类型。
超级权限的使用授权应基于“使用需要”，按逐个事件进行分配，以完成其当前工作任务的最低要求为依据，在完成特定任务后超级权限用户账号应被收回。
超级用户的使用必须严格按照超级权限分配授权流程进行审批、分配和授权，并保留所有超级权限的分配授权流程的记录，在未完成授权流程和手续之前，不得授予特权。
当现有用户需要超级权限时，应在其原有的用户账号之外，另行设置一个授予了超级权限的特殊账号。
尽量对管理权限进行分割，把不同的管理权限赋予不同的帐户。
应用系统具备管理员账号登录和管理操作的记录。
定期对系统的日志进行审计，以发现异常登录、操作。
做好超级权限拥有者无法行使职责时的应急安排，如角色备份。
5.系统安全审计
应用系统具有完善的日志功能，能够记录系统异常情况及其他安全事件。审计日志应保留规定的时长，以便支持日后的事件调查和访问控制监控。审计日志应包括以下内容：
用户创建、删除等操作。
登录和退出的日期和具体时间。
终端的身份或位置（如果可能的话）。
成功的和被拒绝的系统访问活动的记录。
成功的和被拒绝的数据与其他资源的访问记录。
成功的和被拒绝的管理操作。
1.6.安全解决方案
不同的安全等级要求具有不同的基本安全保护能力，实现基本安全保护能力将通过选用合适的安全措施或安全控制来保证，可以使用的安全措施或安全控制表现为安全基本要求，依据实现方式的不同，信息系统等级保护的安全基本要求分为技术要求和管理要求两大类。
技术类安全要求通常与信息系统提供的技术安全机制有关，主要是通过在信息系统中部署软硬件并正确的配置其安全功能来实现；管理类安全要求通常与信息系统中各种角色参与的活动有关，主要是通过控制各种角色的活动，从政策、制度、规范、流程以及记录等方面做出规定来实现。
根据威胁分析、安全策略中提出的基本要求和安全目标，在整体保障框架的指导下，本节将就具体的安全技术措施和安全管理措施来设计安全解决方案，以满足相应等级的基本安全保护能力。
1.数据链路安全
数据链路进行加密传输，于两端分别部署专业网络密码机，在数据传输过程中，通过端到端的对称加密与解密手段，确保数据不被盗取。
2.数据保密性设计
在访问控制、身份验证、数据存储加密、日志管理等方面进行安全控制，用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据传输保密性；
采用加密或其他保护措施实现系统管理数据、鉴别信息和重要业务数据存储保密性。
访问控制：系统采用多组织架构、角色、权限管理模式，实现灵活的多层级的组织架构管理；用户可按岗位、角色具有严谨的分组权限管理，并且可利用数据流等相关安全技术，防止数据从授权范围扩散到非授权范围；
身份验证：系统提供除了一般的密码安全外，还具备人员身份二次认证、动态密码管理等多种安全控制方法；
数据存储加密：关键数据进行加密存储，保护机密信息在传输或存储时被非授权暴露；
日志管理：系统应具有完整的操作日志管理功能，对用户注册、操作记录记录外，还能够分析统计不同业务人员系统的使用情况。
3.系统管理的安全性设计
能对系统管理员、安全保密管理员和安全审计员等“三员”进行权限分离管理，权限设置应互相独立、相互制约。管理员可以设置口令维护策略。
1.6.1.三员管理
1.6.1.1.“三员”职责
系统管理员：主要负责系统的日常运行维护工作。包括网络设备、安全保密产品、服务器和用户终端、操作系统数据库、涉密业务系统的安装、配置、升级、维护、运行管理；网络和系统的用户增加或删除；网络和系统的数据备份、运行日志审查和运行情况监控；应急条件下的安全恢复。
安全保密管理员：主要负责系统的日常安全保密管理工作。包括网络和系统用户权限的授予与撤销；用户操作行为的安全设计；安全保密设备管理；系统安全事件的审计、分析和处理；应急条件下的安全恢复。
安全审计员：主要负责对系统管理员和安全保密员的操作行为进行审计跟踪、分析和监督检查，及时发现违规行为，并定期向系统安全保密管理机构汇报情况。
1.6.1.2.“三员”配置
1.系统管理员、安全保密管理员和安全审计员不能以其他用户身份登录系统;不能查看和修改任何业务数据库中的信息；不能增删改日志内容。
2.涉密信息系统三员应由本单位内部人员担任，要求政治上可靠，熟悉涉密信息系统管理操作流程，具有较强的责任意识和风险防控意识；并签署保密承诺书。
3.系统管理人员和安全保密管理人员可由信息化部门专业技术人员担任，对于业务性较强的涉密信息系统可由相关业务部门担任；安全审计员根据工作需要由保密部门或其他能胜任安全审计员工作的人员担任。
4.同一设备或系统的系统管理员和安全审计员不能由同一人兼任，安全保密管理员员和安全审计员不得由同一人兼任。
1.6.1.3.“三员”权限管理流程
当用户需要使用涉密信息系统时，应该首先在本部门提出书面申请，该部门主管领导批准后，根据实际情况对此用户在系统中的权限进行说明，并将整个情况报本单位的保密工作机构备案。
系统管理员收到用户书面申请后，根据该部门主管领导审批结果和本单位保密工作机构的核准认可，在系统中为该用户生成标识符，创建用户账号。
安全保密管理员收到用户书面申请后，根据保密工作机构的审核结果，配置相应权限，并激活账号。至此，该账号才能使用。当用户工作变动或权限发生变化时，由用户所在部门主管领导书面通知安全保密管理员，并报单位的保密工作机构备案。安全保密管理员接到通知后，根据变更结果注销用户账号或进行权限调整。
安全审计员要定期查看与系统管理员、安全保密管理员相关的审计日志，当发现有用户账号增加、删除和用户权限变化的情况时，及时查阅相关手续文件，以确定系统管理员、安全保密管理员的操作是否经过授权和批准。
在实际工作中，通过类似上述的管理流程，使3类安全保密管理人员各司其职，充分发挥作用，再加上完善的安全保密审批监督机制，就能深入贯彻安全保密管理措施，全面实现系统的安全保密目标。
涉密信息系统提供“三员”权限划分等安全保密防护措施。
1.6.1.4.“三员”权限设置
系统管理员、安全保密管理员和安全审计员是否能够发挥实效作用，除了人员设置和管理到位外，还取决于系统使用的业务应用系统和安全保密产品是否提供相应的管理员账号，以及权限划分和审计日志功能。因此，在设计开发业务应用系统和安全保密产品时，应充分考虑该方面的需求，为使用人员提供相应功能。
一、系统管理员
1.负责系统参数，如流程、表单的配置、维护和管理；
2.负责用户的注册、删除,保证用户标识符在系统生命周期的唯一性；
3.负责组织机构的变动调整,负责与用户权限相关的各类角色的设置。
二、安全保密管理员
1.负责人员涉密等级和职务等信息调整和用户权限的分配;
2.负责保管所有除系统管理员以外的所有用户的ID标志符文件。安全保密管理员不能以其他用户身份登录系统;
3.不能查看和修改任何业务数据库中的信息；
4.负责用户审计日志以及安全审计员日志的查看，但不能增删改日志内容。
三、安全审计员
1.负责监督查看系统管理员、安全保密管理员和安全审计管理员的操作日志,但不能增删改日志内容;
2.负责定期备份、维护和导出日志。
在应用系统设计过程中应避免超级用户，即该用户具有完全的资源访问权限。
对于普通用户的权限，应按照最小授权原则进行划分，将其权限设定在完成工作所需的最小授权范围内。
四、安全审计功能
审计功能主要记录系统用户业务操作的过程，为安全保密管理员和安全审计员判断用户操作的合法性提供依据。
1.审计范围。包括：审计功能的启动和关闭，用户的增加、修改和删除以及权限变更，系统管理员、安全保密管理员、安全审计员和用户所实施的各种操作，包括查阅、备份、维护和导出审计日志。
2.审计记录内容。应包括事件发生的时间、地点、类型、主体、客体和结果（开始、结束、失败、成功等）。
3.审计事项管理。审计事项管理是指对核心业务操作、需要进行审计的事件的定义和管理，配置和定义所有可能需要审计的事项或操作。
4.审计策略配置。审计策略配置是指审计事项和审计人员之间的关联、设置关系，也就是设置哪些关键人员的哪些关键操作事项需要审计；而且根据国家标准要求，用户的增加和删除、权限的变更、系统管理员、审计管理员、安全管理员和用户所实施的操作必须审计，因此根据审计内容审计分为两类强制审计和可配置审计。
5.审计信息的存储。系统应设计充足的审计记录存储空间，且当存储空间将满时能及时进行告警，必须对已存储的审计记录进行保护，能检测或防止对审计记录的修改和伪造，记录至少保存三个月。
1.7.管理制度
一、定制安全管理制度
制定信息安全工作的总体方针和安全策略，说明机构安全工作的总体目标、范围、原则和安全框架等；
对安全管理活动中的各类管理内容建立安全管理制度；
对要求管理人员或操作人员执行的日常管理操作建立操作规程；
形成由安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系。
二、管理制度的制定和发布
指定或授权专门的部门或人员负责安全管理制度的制定；
安全管理制度应具有统一的格式，并进行版本控制；
组织相关人员对制定的安全管理制度进行论证和审定；
安全管理制度应通过正式、有效的方式发布；
安全管理制度应注明发布范围，并对收发文进行登记。
三、其他安全保障
提出终端、边界、网络、主机、应用等多层次的安全防护设计方案，并提出本系统应用和安全要求提出部署建设方案，包括系统存储数据的安全性保障、具有数据集群或双机热备的本地避灾系统、系统备份和恢复方案。
保证系统中的信息能够安全存储，并有良好的数据备份和快速恢复方案，提出快速恢复机制，即在系统或数据遭受破坏时，能在最短时间内恢复正常状态。
本地数据备份与恢复功能，完全数据备份至少每天一次，备份介质场外存放；
异地数据备份功能，利用通信网络将关键数据定时批量传送至备用场地；
采用冗余技术设计网络拓扑结构，避免关键节点存在单点故障；
主要网络设备、通信线路和数据处理系统的硬件冗余，保证系统的高可用性。
四、安全服务
技术类的安全要求可以通过在信息系统中部署安全产品来实现，同时需要对网络设备、操作系统、应用软件的安全功能的正确配置，这需要通过安全评估和加固等安全服务来完成；管理类的安全要求需要通过管理咨询服务来完善，以实现IT运维管理标准化和规范化，提高安全管理的水平。
五、风险评估服务
安全风险评估服务可以为组织：
评估和分析在网络上存在的安全技术风险；
分析业务运作和管理方面存在的安全缺陷；
调查信息系统的现有安全控制措施，评价组织的业务安全风险承担能力；
评价风险的优先等级，据此为组织提出建立风险控制安全规划的建议。
六、管理监控服务
全面实时的执行对客户信息系统远程监控是M2S安全服务的主要组成部分和特点之一，通过监控来达到安全事件检测、安全事件跟踪、病毒检测、流量检测等等任务，进而通过检测的结果可以动态的调整各个安全设备的安全策略，提高系统的安全防范能力。监控服务完全是一种以人为核心的安全防范过程，通过资深的安全专家对各种安全产品与软件的日志、记录等等的实时监控与分析，发现各种潜在的危险，并提供及时的修补和防御措施建议。安全监控服务具有两种形式：远程监控服务和专家的现场值守服务。每一种服务都满足了客户一定层面的需求，体现了安全监控服务的灵活性以及可重组性。
七、安全培训服务
安全实践培训主要是从人员的角度出发来强化的安全知识以及抵御攻击行为的能力，主要包括如下方面的培训建议：
基本安全知识培训：主要对常规人员提供个人计算机使用的基本安全知识，提高个人计算机系统的防范能力。
主机安全管理员培训：对安全管理员进行针对于主机系统的安全培训，强化信息系统维护人员的安全技术水平。
网络安全管理员培训：对安全管理员进行针对于网络系统的安全培训。
安全管理知识培训：为的主要管理层人员提供，有助于从管理的角度强化信息系统的安全。
产品培训：为人员能进一步认识各种安全产品而提供的基本培训。
CISP培训：为培养技术全面的信息安全专家，而提供的具有国家认证资质的培训。“注册信息安全专业人员”，英文为Certified Information Security Professional(简称CISP)，根据实际岗位工作需要，CISP分为三类,分别是“注册信息安全工程师”,英文为Certified Information Security Engineer（简称CISE）;“注册信息安全管理人员”，英文为Certified Information Security Officer(简称CISO)，“注册信息安全审核员”英文为Certified Information Security Auditor(简称CISA)。
1.8.方案总结
本安全设计方案具有以下特点：
1.体现了等级防护的思想。本方案根据信息系统的基本要求和安全目标，提出了具体的安全等级保护的设计和实施办法，明确信息系统的主要防护策略和防护重点。
2.体现了框架指导的思想。本方案将安全措施、保护对象、整体保障等几个等级保护的关键部分和内容分别整理归纳为框架模型，利于在众多安全因素中理清等级保护的主线。
3.体现了分域防护的思想。本方案根据信息系统的访问控制要求，针对不同的保护对象进行了合理的安全域划分。通过建立合理有效的边界保护策略，实现安全域之间的访问控制；在不同的安全域内实施不同级别的安全保护策略；针对不同等级的安全域之间的互联也要实现相应的保护。
4.体现了深度防御的思想。本方案在对信息系统可能面临的安全威胁进行分析的基础上，结合安全域的划分，从物理层、网络层、系统层、应用层、数据层和管理层几个安全层面进行了整体的安全设计，在整体保障框架的指导下，综合多种有效的安全防护措施，进行多层和多重防御，实现纵深防御。
5.体现了多角度对应的思想。本方案从威胁出发引出保护基本需求，从基本要求引出安全策略和目标，在需求分析和安全策略之间分层相互对应；在总体策略里提出各层面的总体保护要求，在具体策略里提出各层面的具体保护要求，各层相互对应；在安全解决方案的安全技术措施可以与安全策略中的基本要求和安全目标相对应。
6.体现了动态发展的思想。本方案在满足信息系统目前基本的、必须的安全需求的基础上，要求随着应用和网络安全技术的发展，不断调整安全策略，应对不断变化的网络安全环境。