網(wǎng)絡(luò)安全等級保護(安全通用要求)建設(shè)方案.doc
《網(wǎng)絡(luò)安全等級保護(安全通用要求)建設(shè)方案.doc》由會員分享,可在線閱讀,更多相關(guān)《網(wǎng)絡(luò)安全等級保護(安全通用要求)建設(shè)方案.doc(44頁珍藏版)》請在裝配圖網(wǎng)上搜索。
網(wǎng)絡(luò)安全等級保護建設(shè)方案 安全通用要求 北京啟明星辰信息安全技術(shù)有限公司 Beijing Venustech Information Security Technology Co Ltd 二零一九年五月 目 錄 1 項目概述 4 1 1 項目概述 4 1 2 項目建設(shè)背景 4 1 2 1 法律依據(jù) 4 1 2 2 政策依據(jù) 4 1 3 項目建設(shè)目標及內(nèi)容 6 1 3 1 建設(shè)目標 6 1 3 2 建設(shè)內(nèi)容 7 1 4 等級保護對象分析與介紹 7 2 方案設(shè)計說明 7 2 1 設(shè)計依據(jù) 7 2 2 設(shè)計原則 8 2 2 1 分區(qū)分域防護原則 8 2 2 2 均衡性保護原則 8 2 2 3 技管并重原則 8 2 2 4 動態(tài)調(diào)整原則 8 2 2 5 三同步原則 9 2 3 設(shè)計思路 9 2 4 設(shè)計框架 10 3 安全現(xiàn)狀及需求分析 10 3 1 安全現(xiàn)狀概述 10 3 2 安全需求分析 11 3 2 1 物理環(huán)境安全需求 11 3 2 2 通信網(wǎng)絡(luò)安全需求 12 3 2 3 區(qū)域邊界安全需求 13 3 2 4 計算環(huán)境安全需求 14 3 2 5 安全管理中心安全需求 15 3 2 6 安全管理制度需求 15 3 2 7 安全管理機構(gòu)需求 15 3 2 8 安全管理人員需求 16 3 2 9 安全建設(shè)管理需求 16 3 2 10 安全運維管理需求 17 3 3 合規(guī)差距分析 18 4 技術(shù)體系設(shè)計方案 18 4 1 技術(shù)體系設(shè)計目標 18 4 2 技術(shù)體系設(shè)計框架 19 4 3 安全技術(shù)防護體系設(shè)計 19 4 3 1 安全計算環(huán)境防護設(shè)計 19 4 3 2 安全區(qū)域邊界防護設(shè)計 23 4 3 3 安全通信網(wǎng)絡(luò)防護設(shè)計 25 4 3 4 安全管理中心設(shè)計 28 5 管理體系設(shè)計方案 28 5 1 管理體系設(shè)計目標 28 5 2 管理體系設(shè)計框架 29 5 3 安全管理防護體系設(shè)計 29 5 3 1 安全管理制度設(shè)計 29 5 3 2 安全管理機構(gòu)設(shè)計 30 5 3 3 安全管理人員設(shè)計 30 5 3 4 安全建設(shè)管理設(shè)計 31 5 3 5 安全運維管理設(shè)計 32 6 產(chǎn)品選型與投資概算 38 7 部署示意及合規(guī)性分析 39 7 1 部署示意及描述 39 7 2 合規(guī)性分析 39 7 2 1 技術(shù)層面 39 7 2 2 管理層面 41 1 項目概述 1 1 項目概述 根據(jù)實際項目情況編寫 完善 1 2 項目建設(shè)背景 1 2 1 法律依據(jù) 1994年 中華人民共和國計算機信息系統(tǒng)安全保護條例 國務(wù)院令第147 號 第九條明確規(guī)定 計算機信息系統(tǒng)實行安全等級保護 安全等級的劃分 標準和安全等級保護的具體辦法 由公安部會同有關(guān)部門制定 2017年 網(wǎng)絡(luò)安全法 第二十一條明確規(guī)定國家實行網(wǎng)絡(luò)安全等級保護制 度 網(wǎng)絡(luò)運營者應(yīng)當按照網(wǎng)絡(luò)安全等級保護制度的要求 開展網(wǎng)絡(luò)安全等級保 護的定級備案 等級測評 安全建設(shè) 安全檢查等工作 履行安全保護義務(wù) 保障網(wǎng)絡(luò)免受干擾 破壞或者未經(jīng)授權(quán)的訪問 防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取 篡改 第三十一條規(guī)定 國家關(guān)鍵信息基礎(chǔ)設(shè)施在網(wǎng)絡(luò)安全等級保護制度的 基礎(chǔ)上 實行重點保護 網(wǎng)絡(luò)安全法 的頒布實施 標志著從1994年的國務(wù)院條例 國務(wù)院令第1 47號 上升到了國家法律的層面 標志著國家實施十余年的信息安全等級保護 制度進入2 0階段 同時也標志著以保護國家關(guān)鍵信息基礎(chǔ)設(shè)施安全為重點的網(wǎng) 絡(luò)安全等級保護制度依法全面實施 1 2 2 政策依據(jù) 2003年 國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見 中 辦發(fā) 2003 27號 明確指出 實行信息安全等級保護 要重點保護基礎(chǔ)信 息網(wǎng)絡(luò)和關(guān)系國家安全 經(jīng)濟命脈 社會穩(wěn)定等方面的重要信息系統(tǒng) 抓緊建 立信息安全等級保護制度 制定信息安全等級保護的管理辦法和技術(shù)指南 標志著等級保護從計算機信息系統(tǒng)安全保護的一項制度提升到國家信息安全保 障工作的基本制度 2004年7月3日審議通過的 關(guān)于信息安全等級保護工作的實施意見 公通 字 2004 66號 指出 信息安全等級保護制度是國民經(jīng)濟和社會信息化的發(fā)展 過程中 提高信息安全保障能力和水平 維護國家安全 社會穩(wěn)定和公共利益 保障和促進信息化建設(shè)健康發(fā)展的一項基本制度 自2007年 信息安全等級保護管理辦法 公通字 2007 43號 頒布以來 一直是國家層面推動網(wǎng)絡(luò)安全工作的重要抓手 2012年 國務(wù)院關(guān)于推進 信息化發(fā)展和切實保障信息安全的若干意見 國發(fā) 2012 23號 規(guī)定 落實信息安全等級保護制度 開展相應(yīng)等級的安全建設(shè)和管理 做好信息系統(tǒng) 定級備案 整改和監(jiān)督檢查 除此之外 下列政策文件也對等級保護相關(guān)工作提出了要求 關(guān)于開展信息系統(tǒng)安全等級保護基礎(chǔ)調(diào)查工作的通知 公信安 20 05 1431號 關(guān)于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知 公信安 2007 861號 關(guān)于加強國家電子政務(wù)工程建設(shè)項目信息安全風險評估工作的通知 發(fā)改高技 2008 2071號 國家發(fā)展改革委關(guān)于進一步加強國家電子政務(wù)工程建設(shè)項目管理工作 的通知 發(fā)改高技 2008 2544號 關(guān)于開展信息安全等級保護安全建設(shè)整改工作的指導(dǎo)意見 公信安 2 009 1429號 關(guān)于進一步推動中央企業(yè)信息安全等級保護工作的通知 公通字 2010 70號 關(guān)于推動信息安全等級保護測評體系建設(shè)和開展等級測評工作的通知 公信安 2010 303號 關(guān)于進一步加強國家電子政務(wù)網(wǎng)絡(luò)建設(shè)和應(yīng)用工作的通知 發(fā)改高 技 2012 1986號 全國人民代表大會常務(wù)委員會關(guān)于加強網(wǎng)絡(luò)信息保護的決定 2012 年12月28日第十一屆全國人民代表大會常務(wù)委員會第三十次會議通過 網(wǎng)絡(luò)安全等級保護條例 征求意見稿 2018年6月 1 3 項目建設(shè)目標及內(nèi)容 1 3 1 建設(shè)目標 網(wǎng)絡(luò)安全等級保護安全建設(shè)工作是網(wǎng)絡(luò)安全等級保護制度的核心和落腳點 等級保護建設(shè)的目標是在網(wǎng)絡(luò)定級工作基礎(chǔ)上深入開展網(wǎng)絡(luò)安全等級保護安 全建設(shè)整改工作 使網(wǎng)絡(luò)系統(tǒng)可以按照保護等級的要求進行設(shè)計 規(guī)劃和實施 并且達到相應(yīng)等級的基本保護水平和保護能力 依據(jù)網(wǎng)絡(luò)安全等級保護相關(guān)標準和指導(dǎo)規(guī)范 對XXXX單位XXXX系統(tǒng)按照 整體保護 綜合防控 的原則進行安全建設(shè)方案的設(shè)計 按照等級保護三級的 要求進行安全建設(shè)規(guī)劃 對安全建設(shè)進行統(tǒng)一規(guī)劃和設(shè)備選型 實現(xiàn)方案合理 組網(wǎng)簡單 擴容靈活 標準統(tǒng)一 經(jīng)濟適用的建設(shè)目標 依據(jù)網(wǎng)絡(luò)安全等級保護三級標準 按照 統(tǒng)一規(guī)劃 重點明確 合理建設(shè) 的基本原則 在安全物理環(huán)境 安全通信網(wǎng)絡(luò) 安全區(qū)域邊界 安全計算環(huán) 境和安全管理中心等方面進行安全規(guī)劃與建設(shè) 確保 網(wǎng)絡(luò)建設(shè)合規(guī) 安全防 護到位 最終使XXXXX系統(tǒng)達到安全等級保護第三級要求 經(jīng)過建設(shè)后 使整個網(wǎng)絡(luò) 形成一套完善的安全防護體系 提升整體網(wǎng)絡(luò)安全防護能力 對于三級網(wǎng)絡(luò) 經(jīng)過安全建設(shè)整改 網(wǎng)絡(luò)在統(tǒng)一的安全保護策略下要具有 抵御大規(guī)模 較強惡意攻擊的能力 抵抗較為嚴重的自然災(zāi)害的能力 以及防 范計算機病毒和惡意代碼危害的能力 具有檢測 發(fā)現(xiàn) 報警及記錄入侵行為 的能力 具有對安全事件進行響應(yīng)處置 并能夠追蹤安全責任的能力 遭到損 害后 具有能夠較快恢復(fù)正常運行狀態(tài)的能力 對于服務(wù)保障性要求高的網(wǎng)絡(luò) 應(yīng)該能夠快速恢復(fù)正常運行狀態(tài) 具有對網(wǎng)絡(luò)資源 用戶 安全機制等進行集中控管的能力 1 3 2 建設(shè)內(nèi)容 本項目以XXX單位XXXXX系統(tǒng)等級保護建設(shè)為主線 以讓相關(guān)信息系統(tǒng)達到 安全等級保護第三級要求 借助網(wǎng)絡(luò)產(chǎn)品 安全產(chǎn)品 安全服務(wù) 管理制度等 手段 建立全網(wǎng)的安全防控管理服務(wù)體系 從而全面提高XXXX單位的安全防護 能力 建設(shè)內(nèi)容包括安全產(chǎn)品采購部署 安全加固整改 安全管理制度編寫等 1 4 等級保護對象分析與介紹 以基礎(chǔ)通信網(wǎng)絡(luò)及其承載的信息系統(tǒng) 數(shù)據(jù)為保護對象 根據(jù)實際等級保護對象情況編寫 2 方案設(shè)計說明 2 1 設(shè)計依據(jù) 本方案是根據(jù)2019年5月13日最新發(fā)布的GB T 22239 2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求 的安全通用要求和安全目標 參照GB T 25070 2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護安全設(shè)計技術(shù)要求 的通用設(shè)計技術(shù)要求 針對第三級系統(tǒng)而提出的安全保護等級設(shè)計方案 除上述兩個標準外 還參考了如下相關(guān)標準 信息技術(shù) 安全技術(shù) 信息安全管理體系要求 ISO IEC 27001 2013 信息技術(shù) 安全技術(shù) 信息安全控制實用規(guī)則 ISO IEC 27002 2013 計算機信息系統(tǒng)安全保護等級劃分準則 GB 17859 1999 信息安全技術(shù) 信息安全風險評估規(guī)范 GB T 20984 2007 信息安全技術(shù) 信息系統(tǒng)安全等級保護定級指南 GB T 22240 2008 網(wǎng)絡(luò)安全等級保護定級指南 GA T 1389 2017 信息安全技術(shù) 信息系統(tǒng)安全等級保護實施指南 GB T 25058 2010 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護測評要求 GB T 28448 2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護測評過程指南 GB T 28449 2018 2 2 設(shè)計原則 2 2 1 分區(qū)分域防護原則 任何安全措施都不是絕對安全可靠的 為保障攻破一層或一類保護的攻擊 行為而不會破壞整個網(wǎng)絡(luò) 以達到縱深防御的安全目標 需要合理劃分安全域 綜合采用多種有效安全保護措施 實施多層 多重保護 2 2 2 均衡性保護原則 對任何類型網(wǎng)絡(luò) 絕對安全難以達到 也不一定是必須的 需正確處理安 全需求 安全風險與安全保護代價的關(guān)系 因此 結(jié)合適度防護實現(xiàn)分等級安 全保護 做到安全性與可用性平衡 達到技術(shù)上可實現(xiàn) 經(jīng)濟上可執(zhí)行 2 2 3 技管并重原則 網(wǎng)絡(luò)安全涉及人 技術(shù) 操作等方面要素 單靠技術(shù)或單靠管理都不可能 實現(xiàn) 因此在考慮網(wǎng)絡(luò)安全時 必須將各種安全技術(shù)與運行管理機制 人員思 想教育 技術(shù)培訓 安全規(guī)章制度建設(shè)相結(jié)合 堅持管理與技術(shù)并重 從而保 障網(wǎng)絡(luò)安全 2 2 4 動態(tài)調(diào)整原則 由于網(wǎng)絡(luò)安全需求會不斷變化 以及環(huán)境 條件 時間的限制 安全防護 一步到位 一勞永逸地解決網(wǎng)絡(luò)安全問題是不現(xiàn)實的 網(wǎng)絡(luò)安全保障建設(shè)可先 保證基本的 必須的安全保護 后續(xù)再根據(jù)應(yīng)用和網(wǎng)絡(luò)安全技術(shù)的發(fā)展 不斷 調(diào)整安全保護措施 加強安全防護力度 以適應(yīng)新的網(wǎng)絡(luò)安全環(huán)境 滿足新的 網(wǎng)絡(luò)安全需求 當安全保護等級需要變更時 應(yīng)當根據(jù)等級保護的管理規(guī)范和 技術(shù)標準的要求 重新確定網(wǎng)絡(luò)安全保護等級 根據(jù)調(diào)整情況重新實施安全保 護 2 2 5 三同步原則 網(wǎng)絡(luò)運營者在網(wǎng)絡(luò)新建 改建 擴建時應(yīng)當同步規(guī)劃 同步建設(shè) 同步運 行網(wǎng)絡(luò)安全保護 保密和密碼保護措施 確保其具有支持業(yè)務(wù)穩(wěn)定 持續(xù)運行 性能的同時 保證安全技術(shù)措施能夠保障網(wǎng)絡(luò)安全與信息化建設(shè)相適應(yīng) 在全 過程中推行安全同步開展 強化安全工作前移 降低運維階段的服務(wù)壓力 2 3 設(shè)計思路 參考網(wǎng)絡(luò)安全等級保護安全設(shè)計技術(shù)要求 本方案的設(shè)計思路如下 根據(jù)系統(tǒng)定級的結(jié)果 明確該等級對應(yīng)的總體防護措施 根據(jù)系統(tǒng)和子系統(tǒng)劃分結(jié)果 安全定級結(jié)果 將保護對象歸類 并組成 保護對象框架 根據(jù)方案的設(shè)計目標來建立整體保障框架 來指導(dǎo)整個等級保護方案的 設(shè)計 明確關(guān)鍵的安全要素 流程及相互關(guān)系 在安全措施框架細化 后將補充到整體保障框架中 根據(jù)此等級受到的威脅對應(yīng)出該等級的保護要求 即需求分析 并分 布到安全物理環(huán)境 安全通信網(wǎng)絡(luò) 安全區(qū)域邊界 安全計算環(huán)境等 層面上 根據(jù)由威脅引出的等級保護基本要求 等級保護實施過程 整體保障框 架來確定總體安全策略 即總體安全目標 再根據(jù)等級保護的要求 將總體安全策略細分為不同的具體策略 即具體安全目標 包括安 全域內(nèi)部 安全域邊界和安全域互聯(lián)策略 根據(jù)保護對象框架 等級化安全措施要求 安全措施的成本來選擇和調(diào) 整安全措施 根據(jù)安全技術(shù)體系和安全管理體系的劃分 各安全措施 共同組成了安全措施框架 根據(jù)保護對象的系統(tǒng)功能特性 安全價值以及面臨威脅的相似性來進行 安全區(qū)域的劃分 各安全區(qū)域?qū)⒈Wo對象框架劃分成不同部分 即各 安全措施發(fā)生作用的保護對象集合 根據(jù)選擇好的保護對象安全措施 安全措施框架 實際的具體需求來設(shè) 計安全解決方案 2 4 設(shè)計框架 3 安全現(xiàn)狀及需求分析 3 1 安全現(xiàn)狀概述 根據(jù)客戶現(xiàn)狀對等級保護對象進行分析 對現(xiàn)有安全域劃分情況及網(wǎng)絡(luò)拓 撲圖進行描述 3 2 安全需求分析 3 2 1 物理環(huán)境安全需求 物理環(huán)境安全主要影響因素包括機房環(huán)境 機柜 電源 通信線纜和其他 設(shè)備的物理環(huán)境 該層面為基礎(chǔ)設(shè)施和業(yè)務(wù)應(yīng)用系統(tǒng)提供了一個生成 處理 存儲和傳輸數(shù)據(jù)的物理環(huán)境 具體安全需求如下 由于機房容易遭受雷擊 地震和臺風和暴雨等自然災(zāi)難威脅 需要考慮 機房場地位置的選擇 以及采取防雷擊措施等來解決雷擊 地震和臺 風等威脅帶來的問題 由于機房容易遭受水患和火災(zāi)等災(zāi)害威脅 需要采取防水 防潮 防火 措施來解決水患和火災(zāi)等威脅帶來的安全威脅 由于機房容易遭受高溫 低溫 多雨等原因引起溫度 濕度異常 應(yīng)采 取溫濕度控制措施來解決因高溫 低溫和多雨帶來的安全威脅 由于機房電壓波動影響 需要合理設(shè)計電力供應(yīng)系統(tǒng)來解決因電壓波動 帶來的安全威脅 針對機房供電系統(tǒng)故障 需要合理設(shè)計電力供應(yīng)系統(tǒng) 如 購買UPS系 統(tǒng) 建立發(fā)電機機房 鋪設(shè)雙電力供電電纜來保障電力的供應(yīng) 來解 決因供電系統(tǒng)故障帶來的安全威脅 針對機房容易遭受靜電和線纜電磁干擾 需要采取防靜電和電磁防護措 施來解決靜電和線纜電磁干擾帶來的安全威脅 并對關(guān)鍵設(shè)備采取電 磁屏蔽措施 針對利用非法手段進入機房內(nèi)部盜竊 破壞等安全威脅 需要通過采取 物理區(qū)域訪問控制及監(jiān)控報警裝置等控制措施 來解決非法手段進入 機房內(nèi)部盜竊 破壞等帶來的安全問題 針對利用工具捕捉電磁泄漏的信號 導(dǎo)致信息泄露的安全威脅 需要通 過采取防電磁措施 來解決電磁泄漏帶來的安全問題 3 2 2 通信網(wǎng)絡(luò)安全需求 通信網(wǎng)絡(luò)是對定級系統(tǒng)安全計算環(huán)境之間進行信息傳輸及實施安全策略的 安全部件 是利用網(wǎng)絡(luò)設(shè)備 安全設(shè)備 服務(wù)器 通信線路以及接入鏈路等設(shè) 備或部件共同建成的 可以用于在本地或遠程傳輸數(shù)據(jù)的網(wǎng)絡(luò)環(huán)境 具體安全 需求如下 針對網(wǎng)絡(luò)架構(gòu)設(shè)計不合理而影響業(yè)務(wù)通信或傳輸問題 需要通過優(yōu)化網(wǎng) 絡(luò)設(shè)計 改造網(wǎng)絡(luò)安全域來完成 針對線路或設(shè)備的單點故障問題 需要采取冗余設(shè)計來確保系統(tǒng)的可用 性 針對利用通用安全協(xié)議 算法 軟件等缺陷獲取信息或破壞通信完整性 和保密性 需要通過數(shù)據(jù)加密技術(shù) 數(shù)據(jù)校驗技術(shù)來保障 針對通過偽造信息進行應(yīng)用系統(tǒng)數(shù)據(jù)的竊取風險 需要加強網(wǎng)絡(luò)邊界完 整性檢查 加強對網(wǎng)絡(luò)設(shè)備進行防護 對訪問網(wǎng)絡(luò)的用戶身份進行鑒 別 加強數(shù)據(jù)保密性來解決 針對病毒入侵 惡意代碼加載 非授權(quán)身份訪問等安全威脅 通信設(shè)備 需要通過采取動態(tài)可信驗證機制來確保程序運行安全可信 從而保障 業(yè)務(wù)系統(tǒng)安全可信 3 2 3 區(qū)域邊界安全需求 區(qū)域邊界包括安全計算環(huán)境邊界 以及安全計算環(huán)境與安全通信網(wǎng)絡(luò)之間 實現(xiàn)連接并實施安全策略的相關(guān)部件 區(qū)域邊界安全即各網(wǎng)絡(luò)安全域邊界和網(wǎng) 絡(luò)關(guān)鍵節(jié)點可能存在的安全風險 需要把可能的安全風險控制在相對獨立的區(qū) 域內(nèi) 避免安全風險的大規(guī)模擴散 各類網(wǎng)絡(luò)設(shè)備 服務(wù)器 管理終端和其他辦公設(shè)備系統(tǒng)層的安全風險 主 要涵蓋兩個方面 一是來自系統(tǒng)本身的脆弱性風險 另一個是來自用戶登錄帳 號 權(quán)限等系統(tǒng)使用 配置和管理等風險 具體如下 針對內(nèi)部人員未授權(quán)違規(guī)連接外部網(wǎng)絡(luò) 或者外部人員未經(jīng)許可隨意接 入內(nèi)部網(wǎng)絡(luò)而引發(fā)的安全風險 以及因使用無線網(wǎng)絡(luò)傳輸?shù)囊苿咏K端 而帶來的安全接入風險等問題 需要通過違規(guī)外聯(lián) 安全準入控制以 及無線安全控制措施來解決 針對跨安全域訪問網(wǎng)絡(luò)的行為 需要通過基于應(yīng)用協(xié)議和應(yīng)用內(nèi)容的細 粒度安全訪問控制措施來解決 以實現(xiàn)網(wǎng)絡(luò)訪問行為可控可管 針對通過分布式拒絕服務(wù)攻擊惡意地消耗網(wǎng)絡(luò) 操作系統(tǒng)和應(yīng)用系統(tǒng)資 源 導(dǎo)致拒絕服務(wù)或服務(wù)停止的安全風險 需要通過抗DDoS攻擊防護 服務(wù)器主機資源優(yōu)化 入侵檢測與防范 網(wǎng)絡(luò)結(jié)構(gòu)調(diào)整與優(yōu)化等手 段來解決 針對利用網(wǎng)絡(luò)協(xié)議 操作系統(tǒng)或應(yīng)用系統(tǒng)存在的漏洞進行惡意攻擊 如 碎片重組 協(xié)議端口重定位等 尤其是新型攻擊行為 需通過網(wǎng)絡(luò) 入侵檢測和防范等技術(shù)措施來解決 針對通過惡意代碼傳播對主機 應(yīng)用系統(tǒng)和個人隱私帶來的安全威脅 需要通過惡意代碼防護技術(shù)手段解決 針對郵件收發(fā)時遭受惡意代碼攻擊的安全風險 需要通過垃圾郵件防護 等技術(shù)手段解決 針對違規(guī)越權(quán)操作 違規(guī)訪問網(wǎng)絡(luò)等用戶行為 需要采取安全審計手段 來實現(xiàn)安全事件的有效追溯和用戶行為的審計分析 針對病毒入侵 惡意代碼加載 非授權(quán)身份訪問等安全威脅 邊界設(shè)備 需要通過采取動態(tài)可信驗證機制來確保程序運行安全可信 從而保障 業(yè)務(wù)系統(tǒng)安全可信 3 2 4 計算環(huán)境安全需求 計算環(huán)境安全涉及業(yè)務(wù)應(yīng)用系統(tǒng)及重要數(shù)據(jù)處理 存儲的安全問題 具體 安全需求如下 針對用戶帳號權(quán)限設(shè)置不合理 帳號暴力破解等等安全風險 需要通過 帳號管理 身份鑒別 密碼保護 訪問控制等技術(shù)手段解決 針對在網(wǎng)頁瀏覽 文檔傳遞 介質(zhì)拷貝或文件下載 郵件收發(fā)時而遭受 惡意代碼攻擊的安全風險 需通過惡意代碼防范 入侵防范等技術(shù)手 段解決 針對操作用戶對系統(tǒng)錯誤配置或更改而引起的安全風險 需通過安全配 置核查 終端安全管控等技術(shù)手段解決 針對設(shè)備系統(tǒng)自身安全漏洞而引起被攻擊利用的安全風險 需要通過漏 洞掃描技術(shù) 安全加固服務(wù)等手段解決 針對攻擊者越權(quán)訪問文件 數(shù)據(jù)或其他資源 需要通過訪問控制 身份 鑒別 安全審計等技術(shù)來解決 針對利用各種工具獲取應(yīng)用系統(tǒng)身份鑒別數(shù)據(jù) 進行分析獲得鑒別內(nèi)容 從而未授權(quán)訪問 使用應(yīng)用軟件 文件和數(shù)據(jù)的安全風險 需要采 用兩種或兩種以上鑒別方式來 可通過應(yīng)用系統(tǒng)開發(fā)或第三方輔助系 統(tǒng)來保證對應(yīng)用系統(tǒng)登錄鑒別安全 針對應(yīng)用系統(tǒng)缺陷 接口設(shè)計等導(dǎo)致被惡意攻擊利用 數(shù)據(jù)丟失或運行 中斷而影響服務(wù)連續(xù)性的安全風險 需要通過對產(chǎn)品采購 自行軟件 開發(fā) 外包軟件和測試驗收進行流程管理 同時保證應(yīng)用軟件具備自 我容錯能力 針對由于應(yīng)用系統(tǒng)存儲數(shù)據(jù)而引發(fā)的數(shù)據(jù)損毀 丟失等數(shù)據(jù)安全問題 需通過本地數(shù)據(jù)備份和異地容災(zāi)備份等手段來解決 針對個人信息泄露的安全威脅 采取必要的安全保護手段 針對病毒入侵 惡意代碼加載 非授權(quán)身份訪問等安全威脅 計算設(shè)備 需要通過采取動態(tài)可信驗證機制來確保程序運行安全可信 從而保障 業(yè)務(wù)系統(tǒng)安全可信 3 2 5 安全管理中心安全需求 針對系統(tǒng)管理員 審計管理員 安全管理員的違規(guī)操作行為 需要采取 角色權(quán)限控制 身份鑒別 安全審計等技術(shù)手段對其操作行為進行限 定 并對其相關(guān)操作進行審計記錄 針對眾多網(wǎng)絡(luò)設(shè)備 安全設(shè)備 通信線路等基礎(chǔ)設(shè)施環(huán)境不能有效 統(tǒng) 一監(jiān)測 分析 以及集中安全策略分發(fā) 惡意代碼特征庫 漏洞補丁 升級等安全管理問題 需要通過集中安全管控和集中監(jiān)測審計機制來 解決 針對應(yīng)用系統(tǒng)過度使用服務(wù)器內(nèi)存 CPU等系統(tǒng)資源的行為 需要對應(yīng) 用軟件進行實時的監(jiān)控管理 同時對系統(tǒng)資源進行管控來解決 針對設(shè)備違規(guī)操作或多通路運維帶來的安全風險 需要對指定管理區(qū)域 及安全管控通路 3 2 6 安全管理制度需求 安全管理制度涉及安全方針 總體安全策略 安全管理制度體系 評審 與修訂管理等方面 其安全需求如下 需要制定信息安全工作的總體方針 政策性文件和安全策略等 說明機 構(gòu)安全工作的總體目標 范圍 方針 原則 責任等 需要指定專門的部門對管理活動進行制度化管理 制定相應(yīng)的制度和操 作流程并正式發(fā)布 需要定期對安全管理制度進行評審和修訂 不斷完善 健全安全制度 3 2 7 安全管理機構(gòu)需求 安全管理機構(gòu)涉及安全部門設(shè)置 人員崗位設(shè)置 人員安全管理等方面 其安全需求如下 需要組建網(wǎng)絡(luò)安全管理領(lǐng)小組 并設(shè)立專門的安全管理工作職能部門 設(shè)置相應(yīng)的管理崗位 配備安全管理人員 審計管理員 系統(tǒng)管理員 需要建立審批制度 根據(jù)崗位職責開展審批和授權(quán)相關(guān)工作 需要建立協(xié)調(diào)機制 就信息安全相關(guān)的業(yè)務(wù)進行協(xié)調(diào)處理 需要建立審核和檢查部門 安全人員定期的進行全面的安全檢查 需要建立恰當?shù)穆?lián)絡(luò)渠道 進行溝通和合作 進行事件的有效處理 需要建立審核和檢查的制度 對安全策略的正確性和安全措施的合理性 進行審核和檢查 3 2 8 安全管理人員需求 需要對人員的錄用進行必要的管理 確保人員錄用的安全 需要對人員離崗進行有效的管理 確保人員離崗不會帶來安全問題 需要對人員考核進行嚴格的管理 提高人員安全技能和安全意識 需要對人員進行安全意識的教育和培訓 提高人員的安全意識 需要對外部人員進行嚴格控制 確保外部人員訪問受控區(qū)域或接入網(wǎng)絡(luò) 時可控可管 并簽署保密協(xié)議 3 2 9 安全建設(shè)管理需求 安全建設(shè)管理涉及定級備案管理 安全方案設(shè)計 產(chǎn)品采購和使用 軟件 開發(fā)管理 安全集成建設(shè) 測試驗收交付 等級測評以及服務(wù)商選擇等方面 其安全需求如下 需要建立備案管理制度 對系統(tǒng)的定級進行備案 需要具有總體安全方案設(shè)計 方案評審的流程和管理能力 產(chǎn)品采購符合國家有關(guān)規(guī)定 密碼算法和密鑰的使用需符合國家密碼管 理的規(guī)定 需要有專人對工程實施過程進行管理 依據(jù)工程實施方案確保安全功能 的落地 實施過程需要有第三方工程監(jiān)理來共同控制實施質(zhì)量 需要制定軟件開發(fā)的相關(guān)制度和代碼編寫規(guī)范 并對源代碼的安全性進 行檢測 需要建立產(chǎn)品采購 系統(tǒng)測試和驗收制度 確保安全產(chǎn)品的滿足項目安 全需求和功能需求 尤其是密碼應(yīng)用的安全性 需要與符合國家的有關(guān)規(guī)定的服務(wù)供應(yīng)商簽訂協(xié)議 需要每年組織開展等級測評并及時整改 需要在工程實施過程中做好文檔管理工作 并在系統(tǒng)交付時提供完整的 資料交付清單 對運維人員進行技能培訓 需要提供建設(shè)過程文檔和運行維護文檔 需要選擇符合國家有關(guān)規(guī)定的服務(wù)供應(yīng)商 并對服務(wù)情況進行定其評審 和審核 3 2 10 安全運維管理需求 安全運維管理涉及環(huán)境管理 資產(chǎn)管理 系統(tǒng)安全運行維護管理 配置與 變更管理 安全事件處置及應(yīng)急響應(yīng)管理等方面 其安全需求如下 需要保證機房具有良好的運行環(huán)境 需要建立機房安全管理制度來規(guī)范物理訪問 物品進出和環(huán)境安全 需要對信息資產(chǎn)進行分類標識 規(guī)范化管理 需要對各種軟硬件設(shè)備的選型 采購 使用和保管等過程進行控制 需要各種網(wǎng)絡(luò)設(shè)備 服務(wù)器正確使用和維護 需要采取措施對安全漏洞和隱患進行識別 并及時修補 需要對網(wǎng)絡(luò) 操作系統(tǒng) 數(shù)據(jù)庫系統(tǒng)和應(yīng)用系統(tǒng)進行安全管理 需要定期地對通信線路進行檢查和維護 需要對惡意代碼防范有效性進行驗證 需要對運維工具的使用和遠程運維的權(quán)限進行管理控制 需要硬件設(shè)備 存儲介質(zhì)存放環(huán)境安全 對其使用進行控制和保護 需要對支撐設(shè)施 硬件設(shè)備 存儲介質(zhì)進行日常維護和管理 需要對系統(tǒng)使用手冊 維護指南等工具文檔進行管理 需要規(guī)范配置管理和變更管理流程 需要在事件發(fā)生后能采取積極 有效的應(yīng)急策略和措施 需要建立應(yīng)急響應(yīng)機制來應(yīng)對突發(fā)事件 做好應(yīng)急預(yù)案并進行演練 需要與符合國家有關(guān)規(guī)定的外包運維服務(wù)商簽訂相關(guān)協(xié)議 并明確運維 服務(wù)能力要求 3 3 合規(guī)差距分析 依據(jù) 基本要求 采取對照檢查 風險評估等方法 分析判斷目前所采 取的安全技術(shù)和管理措施與等級保護標準要求之間的差距 分析網(wǎng)絡(luò)已發(fā)生的 事件或事故 分析安全技術(shù)和安全管理方面存在的問題 形成安全技術(shù)建設(shè)和 安全管理建設(shè)整改的需求 將 等級保護基本要求 8 1安全通用要求 與客戶安全現(xiàn)狀進行差距分析 4 技術(shù)體系設(shè)計方案 4 1 技術(shù)體系設(shè)計目標 技術(shù)體系設(shè)計目標是根據(jù)建設(shè)目標和建設(shè)內(nèi)容 將等級保護對象安全總體 方案中要求實現(xiàn)的安全策略 安全技術(shù)體系結(jié)構(gòu) 安全措施和要求落實到產(chǎn)品 功能或物理形態(tài)上 提出能夠?qū)崿F(xiàn)的產(chǎn)品或組件及其具體規(guī)范 并將產(chǎn)品功能 特征整理成文檔 使得在信息安全產(chǎn)品采購和安全控制開發(fā)階段具有依據(jù) 根據(jù)客戶項目具體目標進行增刪或調(diào)整 4 2 技術(shù)體系設(shè)計框架 在 一個中心 三重防護 的理念的基礎(chǔ)上 進行全方位的主動防御 安 全可信 動態(tài)感知和全面審計 4 3 安全技術(shù)防護體系設(shè)計 4 3 1 安全計算環(huán)境防護設(shè)計 依據(jù)等級保護要求第三級中安全計算環(huán)境相關(guān)控制項 結(jié)合安全計算環(huán)境 對于用戶身份鑒別 自主訪問控制 標記和強制訪問控制 系統(tǒng)安全審計 用 戶數(shù)據(jù)完整性保護 用戶數(shù)據(jù)保密性保護 客體安全重用 可信驗證 配置可 信檢查 入侵檢測和惡意代碼防范等技術(shù)設(shè)計要求 安全計算環(huán)境防護建設(shè)主 要通過身份鑒別 安全訪問控制 安全審計 入侵防范 惡意代碼防護 主機 可信驗證 數(shù)據(jù)完整性保護 數(shù)據(jù)保密性保護 個人信息保護 數(shù)據(jù)備份恢復(fù) 以及系統(tǒng)和應(yīng)用自身安全控制等多種安全機制實現(xiàn) 具體如下 4 3 1 1 身份鑒別與訪問 身份鑒別與訪問授權(quán)是對網(wǎng)絡(luò)設(shè)備 主機系統(tǒng) 數(shù)據(jù)庫系統(tǒng) 業(yè)務(wù)應(yīng)用系 統(tǒng)等身份認證及操作權(quán)限分配管理 應(yīng)對登錄的用戶進行身份標識和鑒別 身 份標識具有唯一性 身份鑒別信息具有復(fù)雜度要求并定期更換 采用雙因素認 證手段來加強身份鑒別 如采用動態(tài)口令 USBkey PKI CA系統(tǒng) 安全堡壘機 4A平臺系統(tǒng)等 借助VPN技術(shù)能夠在管理終端與主機設(shè)備之間創(chuàng)建加密傳輸通 道 實現(xiàn)遠程接入數(shù)據(jù)安全傳輸服務(wù) 保證數(shù)據(jù)傳輸?shù)耐暾院捅C苄?在遠程管理時 可借助VPN建立的安全隧道來對網(wǎng)絡(luò)中傳輸?shù)蔫b別信息進行 保護 防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被惡意竊聽 除此之外還應(yīng)限制登錄嘗試次數(shù)據(jù) 并配置登錄連接超時自動退出等功能 4 3 1 2 安全訪問控制 對用戶和權(quán)限實施安全策略 對重要服務(wù)器部署主機操作系統(tǒng)加固軟件 主機操作系統(tǒng)安全加固不僅能夠?qū)崿F(xiàn)基于文件自主訪問控制 對服務(wù)器上的敏 感數(shù)據(jù)設(shè)置訪問權(quán)限 禁止非授權(quán)訪問行為 保護服務(wù)器資源安全 更是能夠 實現(xiàn)文件強制訪問控制 即提供操作系統(tǒng)訪問控制權(quán)限以外的高強度的強制訪 問控制機制 對主客體設(shè)置安全標記 授權(quán)主體用戶或進程對客體的操作權(quán)限 有效杜絕重要數(shù)據(jù)被非法篡改 刪除等情況的發(fā)生 確保服務(wù)器重要數(shù)據(jù)完 整性不被破壞 4 3 1 3 安全審計管理 在安全計算環(huán)境防護中 安全審計管理包括對各類用戶的操作行為審計 以及網(wǎng)絡(luò)中重要安全事件的記錄審計等內(nèi)容 且審計記錄應(yīng)包括事件的日期和 時間 用戶 事件類型 事件是否成功及其他與審計相關(guān)的信息 因此 此類 安全審計通常包括數(shù)據(jù)庫訪問審計 Web業(yè)務(wù)訪問審計 以及對所有設(shè)備 系統(tǒng) 的綜合日志審計 同時 審計記錄產(chǎn)生時的時間應(yīng)由系統(tǒng)范圍內(nèi)唯一確定的時鐘產(chǎn)生 如部 署NTP服務(wù)器 以確保審計分析的正確性 除了借助安全審計設(shè)備來實現(xiàn)審計功能外 服務(wù)器也需要啟用自身的操作 系統(tǒng)審計功能 4 3 1 4 入侵防范 通過終端安全基線管理能夠?qū)K端計算機的基礎(chǔ)安全和使用控制實現(xiàn)自動 化安全管理和防護 包括操作系統(tǒng)安全加固 關(guān)閉不必要的服務(wù) 端口 共享 和來賓組等 為不同用戶開放相應(yīng)權(quán)限 防止安裝不必要的應(yīng)用軟件 對終端 外設(shè)接口 外聯(lián)設(shè)備及使用的監(jiān)視 有效控制計算機的資源利用率 實現(xiàn)系統(tǒng) 密碼口令安全策略管控 系統(tǒng)資源文件使用訪問控制 終端計算機基礎(chǔ)資源使 用監(jiān)控等安全功能 針對服務(wù)器和終端計算環(huán)境實施安全策略 通過部署入侵監(jiān)測系統(tǒng)來檢測 針對內(nèi)部計算環(huán)境中的惡意攻擊和探測 諸如對網(wǎng)絡(luò)蠕蟲 間諜軟件 木馬軟 件 數(shù)據(jù)庫攻擊 高級威脅攻擊 暴力破解 SQL注入 XSS 緩沖區(qū)溢出 欺 騙劫持等多種深層攻擊行為進行深入檢測并及時報警 采用漏洞掃描技術(shù)能夠?qū)W(wǎng)絡(luò)主機 如服務(wù)器 客戶機 網(wǎng)絡(luò)打印機 操作系統(tǒng) 如Microsoft Windows 系列 Sun Solaris HP Unix IBM AIX IRIX Linux BSD等 網(wǎng)絡(luò)設(shè)備 應(yīng)用系統(tǒng) 如Web應(yīng)用 FTP 電子郵 件等 常用軟件 如Office Symantec McAfee Chrome IE等 網(wǎng)站開 源架構(gòu) 如phpmyadmin WordPress 等 主流數(shù)據(jù)庫 SQL Server Oracle Sybase DB2 MySQL等 進行系統(tǒng)漏洞 應(yīng)用漏洞 安全配 置掃描和檢測 及時發(fā)現(xiàn)網(wǎng)絡(luò)中各類設(shè)備和系統(tǒng)的安全脆弱性 提出修復(fù)和整 改建議 保障設(shè)備和系統(tǒng)自身安全性 對于Web應(yīng)用 可采用Web應(yīng)用安全網(wǎng)關(guān)系統(tǒng)來進行CGI漏洞掃描攻擊 SQL 注入攻擊 XSS攻擊 CSRF攻擊防護 以及Cookie篡改防護 網(wǎng)站盜鏈防護 網(wǎng) 頁掛馬防護 WebShell防護等各種針對Web系統(tǒng)的入侵攻擊行為 結(jié)合網(wǎng)頁防篡 改技術(shù)實現(xiàn)系統(tǒng)運行過程中重要程序或文件完整性檢測和恢復(fù) 4 3 1 5 惡意代碼防護 惡意代碼是指以危害信息安全等不良意圖為目的的程序或代碼 它通常潛 伏在受害計算機系統(tǒng)中伺機實施破壞或竊取信息 是安全計算環(huán)境中的重大安 全隱患 其主要危害包括攻擊系統(tǒng) 造成系統(tǒng)癱瘓或操作異常 竊取和泄露文 件 配置或隱私信息 肆意占用資源 影響系統(tǒng) 應(yīng)用或系統(tǒng)平臺的性能 在 服務(wù)器端部署防病毒系統(tǒng)或者惡意代碼主動防御系統(tǒng) 惡意代碼防護系統(tǒng)具備 查殺各類病毒 木馬或惡意軟件的服務(wù)能力 包括文件病毒 宏病毒 腳本病 毒 蠕蟲 木馬 惡意軟件 灰色軟件等 通過主動免疫可信驗證機制及時識 別病毒行為 并將其有效阻斷 4 3 1 6 主機可信驗證 基于可信根或可信芯片 對計算節(jié)點主機的BIOS 引導(dǎo)程序 操作系統(tǒng)內(nèi) 核 應(yīng)用程序加載運行等過程進行可信驗證 尤其是在關(guān)鍵執(zhí)行環(huán)節(jié) 需要進 行動態(tài)的可信驗證 終端主機可采用基于TPM可信芯片的安全終端 服務(wù)器端采 用服務(wù)器加固系統(tǒng) 構(gòu)建服務(wù)器可信運行環(huán)境 4 3 1 7 數(shù)據(jù)完整性保護 應(yīng)采用校驗技術(shù)或密碼技術(shù)保證重要數(shù)據(jù)在傳輸 存儲過程中的完整性 包括但不限于鑒別數(shù)據(jù) 重要業(yè)務(wù)數(shù)據(jù) 重要審計數(shù)據(jù) 重要配置數(shù)據(jù) 重要 視頻數(shù)據(jù)和重要個人信息等 應(yīng)用開發(fā)時也應(yīng)同步考慮數(shù)據(jù)完整性校驗等功能 4 3 1 8 數(shù)據(jù)保密性保護 應(yīng)采用密碼技術(shù)保證重要數(shù)據(jù)在傳輸 存儲過程中的保密性 包括但不限 于鑒別數(shù)據(jù) 重要業(yè)務(wù)數(shù)據(jù)和重要個人信息等 應(yīng)用開發(fā)時應(yīng)同步考慮采用數(shù) 據(jù)保密相關(guān)的身份鑒別和數(shù)據(jù)加密等技術(shù)手段來實現(xiàn) 4 3 1 9 數(shù)據(jù)備份恢復(fù) 應(yīng)制定數(shù)據(jù)備份策略并準備數(shù)據(jù)備份服務(wù)器 實現(xiàn)本地備份與恢復(fù) 提供 異地實時備份功能 并為重要業(yè)務(wù)系統(tǒng)實現(xiàn)冗余熱備份 提供高可用性 4 3 1 10 個人信息保護 對應(yīng)用軟件開發(fā)提出要求 采集和保存必需的個人信息 同時 對個人信 息的訪問進行控制 禁止非授權(quán)使用 可采用數(shù)據(jù)防泄漏系統(tǒng) 或采用數(shù)據(jù)庫 脫敏系統(tǒng)對個人敏感信息數(shù)據(jù)進行脫敏處理 4 3 1 11 安全配置核查 在IT系統(tǒng)中 由于服務(wù)和軟件的不正確部署和配置會造成安全配置漏洞 入侵者會利用這些安裝時默認設(shè)置的安全配置漏洞進行操作從而造成威脅 特 別是在當前網(wǎng)絡(luò)環(huán)境中 無論是網(wǎng)絡(luò)運營者 還是網(wǎng)絡(luò)使用者 均面臨著越來 越復(fù)雜的系統(tǒng)平臺 種類繁多的重要應(yīng)用系統(tǒng) 數(shù)據(jù)庫系統(tǒng) 中間件系統(tǒng) 很 容易發(fā)生管理人員的配置操作失誤造成極大的影響 由此 通過自動化的安全 配置核查服務(wù)能夠及時發(fā)現(xiàn)各類關(guān)鍵資產(chǎn)的不合理策略配置 進程服務(wù)信息和 環(huán)境參數(shù)等 以便及時修復(fù) 將系統(tǒng)安全配置信息形成基準庫 并定期進行配 置核查 4 3 2 安全區(qū)域邊界防護設(shè)計 依據(jù)等級保護要求第三級中安全區(qū)域邊界相關(guān)控制項 結(jié)合安全區(qū)域邊界 對于區(qū)域邊界訪問控制 區(qū)域邊界包過濾 區(qū)域邊界安全審計 區(qū)域邊界完整 性保護及可信驗證等安全設(shè)計要求 安全區(qū)域邊界防護建設(shè)主要通過基于地址 協(xié)議 服務(wù)端口的訪問控制策略 非法外聯(lián) 違規(guī)接入網(wǎng)絡(luò) 抗DDoS攻擊 惡 意代碼防護 入侵防御 APT攻擊檢測防護 無線安全管理以及安全審計管理等 安全機制來實現(xiàn)區(qū)域邊界的綜合安全防護 具體如下 4 3 2 1 區(qū)域邊界訪問控制 依據(jù)等級保護要求第三級中網(wǎng)絡(luò)和通信安全相關(guān)安全要求 區(qū)域邊界訪問 控制防護需要通過在網(wǎng)絡(luò)區(qū)域邊界部署專業(yè)的訪問控制設(shè)備 如下一代防火墻 統(tǒng)一威脅網(wǎng)關(guān)等 并配置細顆粒度的基于地址 協(xié)議和端口級的訪問控制 策略 實現(xiàn)對區(qū)域邊界信息內(nèi)容的過濾和訪問控制 4 3 2 2 違規(guī)外聯(lián) 安全接入控制 針對終端計算機非授權(quán)連接外部網(wǎng)絡(luò) 或者未經(jīng)安全檢測和授權(quán)而隨意接 入網(wǎng)絡(luò)中的情況 通常是采用安全準入控制和違規(guī)外聯(lián)控制技術(shù)來進行檢查和 控制 違規(guī)外聯(lián)控制能夠及時監(jiān)測終端計算機違規(guī)連接外網(wǎng) 互聯(lián)網(wǎng)的終端訪問 行為 并及時進行阻斷和報警 安全準入控制能夠?qū)尤氲絻?nèi)部網(wǎng)絡(luò)中的終端 計算機進行安全檢查 使其必須滿足一定安全基線要求 經(jīng)過認證授權(quán)的情況 下方能使用網(wǎng)絡(luò)系統(tǒng) 保障網(wǎng)絡(luò)區(qū)域邊界的完整性保護 4 3 2 3 抗DDoS攻擊防護 作為第一道安全防線 異常流量及抗DDoS攻擊防護能夠通過分析網(wǎng)絡(luò)中的 網(wǎng)絡(luò)流信息 包括NetFlow sFlow等 及時發(fā)現(xiàn)針對網(wǎng)絡(luò)中特定目標 IP 的DDoS攻擊等異常流量 通過流量牽引的方式將DDoS攻擊等異常數(shù)據(jù)流清洗處 理 將干凈的流量回注到網(wǎng)絡(luò)環(huán)境中繼續(xù)轉(zhuǎn)發(fā) 4 3 2 4 邊界惡意代碼防護 網(wǎng)絡(luò)區(qū)域邊界的惡意代碼防范工作是在關(guān)鍵網(wǎng)絡(luò)節(jié)點處部署網(wǎng)絡(luò)防病毒網(wǎng) 關(guān) 防垃圾郵件網(wǎng)關(guān)對惡意代碼和垃圾郵件進行及時檢測和清除 或在下一代防 火墻 統(tǒng)一威脅網(wǎng)關(guān)中啟用防病毒模塊 防垃圾郵件模塊 并保持網(wǎng)絡(luò)病毒庫和 垃圾郵件庫的升級和更新 4 3 2 5 區(qū)域邊界入侵防護 區(qū)域邊界網(wǎng)絡(luò)入侵防護主要在網(wǎng)絡(luò)區(qū)域邊界 重要節(jié)點檢測和阻止針對內(nèi)部 的惡意攻擊和探測 諸如對網(wǎng)絡(luò)蠕蟲 間諜軟件 木馬軟件 溢出攻擊 數(shù)據(jù) 庫攻擊 高級威脅攻擊 暴力破解等多種深層攻擊行為 進行及時檢測 阻止 和報警 4 3 2 6 APT攻擊檢測防護 高級持續(xù)性威脅 APT 通常隱蔽性很強 很難捕獲 而一旦APT攻擊滲透 進網(wǎng)絡(luò)內(nèi)部 建立起橋頭堡 然后在相當長一段時間內(nèi) 十分隱蔽地盜取敏感 數(shù)據(jù)信息或?qū)嵤┲卮笃茐男袆?潛在危害極大 高級可持續(xù)性威脅APT攻擊檢測 能夠?qū)Υ祟惏踩{具有細粒度檢測效果 可實現(xiàn)對未知惡意代碼檢查 嵌套 式攻擊檢測 木馬蠕蟲病毒識別 隱秘通道檢測等攻擊利用行為的檢測 4 3 2 7 無線網(wǎng)絡(luò)安全管理 無線網(wǎng)絡(luò)安全管理主要用于限制和管理無線網(wǎng)絡(luò)的使用 確保無線終端通 過無線邊界防護設(shè)備認證和授權(quán)后方能接入網(wǎng)絡(luò) 無線網(wǎng)絡(luò)安全管理通常包括 無線接入 無線認證 無線防火墻 無線入侵防御 無線加密 無線定位等技 術(shù)措施 4 3 2 8 區(qū)域邊界安全審計 區(qū)域邊界安全審計需要對區(qū)域網(wǎng)絡(luò)邊界 重要網(wǎng)絡(luò)節(jié)點進行用戶行為和重 要安全事件進行安全審計 并統(tǒng)一上傳到安全審計管理中心 同時 審計記錄產(chǎn)生時的時間應(yīng)由系統(tǒng)范圍內(nèi)唯一確定的時鐘產(chǎn)生 如部 署NTP服務(wù)器 以確保審計分析的正確性 4 3 2 9 區(qū)域邊界可信驗證 區(qū)域邊界設(shè)備需要在運行過程中基于可信根定期對程序內(nèi)存空間 操作系 統(tǒng)內(nèi)核關(guān)鍵內(nèi)存區(qū)域執(zhí)行資源進行可信驗證 可采購基于可信芯片的安全網(wǎng)絡(luò) 設(shè)備 如 可信邊界網(wǎng)關(guān)設(shè)備 4 3 3 安全通信網(wǎng)絡(luò)防護設(shè)計 依據(jù)等級保護要求第三級中網(wǎng)絡(luò)和通信安全相關(guān)安全控制項 結(jié)合通信網(wǎng) 絡(luò)安全審計 通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性 保密性保護 可信連接驗證等安全設(shè)計 要求 安全通信網(wǎng)絡(luò)防護建設(shè)主要通過網(wǎng)絡(luò)架構(gòu)設(shè)計 安全區(qū)域劃分 流量均 衡控制 通信網(wǎng)絡(luò)安全傳輸 通信網(wǎng)絡(luò)安全接入 及通信網(wǎng)絡(luò)安全審計等機制 實現(xiàn) 4 3 3 1 網(wǎng)絡(luò)架構(gòu)及安全區(qū)域設(shè)計 4 3 3 1 1 網(wǎng)絡(luò)架構(gòu)設(shè)計 網(wǎng)絡(luò)層架構(gòu)設(shè)計應(yīng)重點關(guān)注以下方面 主要網(wǎng)絡(luò)設(shè)備 安全設(shè)備 如核心交換機 核心路由器 關(guān)鍵節(jié)點安全 設(shè)備等 的業(yè)務(wù)處理能力應(yīng)能滿足業(yè)務(wù)高峰期需要 保證各項業(yè)務(wù)運 行流暢 如主干網(wǎng)絡(luò)需要采用包括設(shè)備冗余 鏈路冗余的網(wǎng)絡(luò)架構(gòu) 以滿足業(yè)務(wù)連續(xù)性需求 網(wǎng)絡(luò)帶寬應(yīng)能滿足業(yè)務(wù)高峰期的需求 保證各業(yè)務(wù)系統(tǒng)正常運行的基本 帶寬 劃分不同的子網(wǎng) 按照方便管理和控制的原則為各子網(wǎng) 網(wǎng)段分配地址 段 避免將重要網(wǎng)絡(luò)區(qū)域部署在網(wǎng)絡(luò)邊界處且沒有邊界防護措施 4 3 3 1 2 安全區(qū)域劃分 安全區(qū)域通常也稱 安全域 通常是由安全計算環(huán)境和安全區(qū)域邊界組 合形成 具體而言 安全域是指同一系統(tǒng)內(nèi)有相同的安全保護需求 相互信任 并且具有相同的訪問控制和邊界控制策略的子網(wǎng)或網(wǎng)絡(luò) 同時 安全域還可以根據(jù)其更細粒度的防護策略 進一步劃分安全子域 以便能夠落實重點防護思想 形成重要資源重點保護的策略方針 安全域及安全子域劃分時應(yīng)重點考慮以下要素 各業(yè)務(wù)系統(tǒng) 子系統(tǒng)在同一個管理機構(gòu)的管理控制之下 保證遵循相同 的安全策略 各業(yè)務(wù)系統(tǒng) 子系統(tǒng)具有相似的業(yè)務(wù)類型或相似的用戶群體 安全需求 相近 保證遵循相同的安全策略 各業(yè)務(wù)系統(tǒng) 子系統(tǒng)具有相同的物理位置或相似的運行環(huán)境 有利于采 取統(tǒng)一的安全保護機制 各業(yè)務(wù)系統(tǒng) 子系統(tǒng)面臨相似的安全威脅 需采用相似的安全控制措施 來保證安全性 4 3 3 1 3 分區(qū)分域結(jié)構(gòu)圖 實行分區(qū) 分級區(qū)域劃分 配備分區(qū)分域結(jié)構(gòu)圖 并簡要描述 4 3 3 2 帶寬流量負載管理 考慮到網(wǎng)絡(luò)架構(gòu)中業(yè)務(wù)應(yīng)用系統(tǒng)帶寬分配和處理能力需要 以及針對業(yè)務(wù) 應(yīng)用系統(tǒng)中資源控制要求 通過專業(yè)流量負載均衡或應(yīng)用交付系統(tǒng)能夠有效支 撐網(wǎng)絡(luò)鏈路負載 服務(wù)器負載 應(yīng)用協(xié)議優(yōu)化與加速 保障流量帶寬資源的合 理管控 4 3 3 3 通信網(wǎng)絡(luò)安全傳輸 通信安全傳輸要求能夠滿足業(yè)務(wù)處理安全保密和完整性需求 避免因傳輸 通道被竊聽 篡改而引起的數(shù)據(jù)泄露或傳輸異常等問題 通過采用VPN技術(shù)而形成加密傳輸通道 即能夠?qū)崿F(xiàn)對敏感信息傳輸過程中 的信道加密 確保信息在通信過程中不被監(jiān)聽 劫持 篡改及破譯 保證通信 傳輸中關(guān)鍵數(shù)據(jù)的的完整性 可用性 4 3 3 4 遠程安全接入防護 針對有遠程安全運維需求 或者遠程安全訪問需求的終端接入用戶而言 應(yīng)采用VPN安全接入技術(shù)來滿足遠程訪問或遠程運維的安全通信要求 保證敏感 關(guān)鍵的數(shù)據(jù) 鑒別信息不被非法竊聽 暴露 篡改或損壞 4 3 3 5 通信網(wǎng)絡(luò)安全審計 通信網(wǎng)絡(luò)安全審計需要啟用 設(shè)置安全審計功能 將用戶行為和重要安全事 件進行安全審計 并統(tǒng)一上傳到安全審計管理中心 同時 審計記錄產(chǎn)生時的時間應(yīng)由系統(tǒng)范圍內(nèi)唯一確定的時鐘產(chǎn)生 如部 署NTP服務(wù)器 以確保審計分析的正確性 4 3 3 6 可信連接驗證 通信網(wǎng)絡(luò)設(shè)備需要具備可信連接保護功能 在設(shè)備連接網(wǎng)絡(luò)時 對源和目 標平臺身份 執(zhí)行程序及其關(guān)鍵執(zhí)行環(huán)節(jié)的執(zhí)行資源進行可信驗證 4 3 4 安全管理中心設(shè)計 依據(jù)等級保護要求第三級中網(wǎng)絡(luò)和通信安全相關(guān)安全控制項 結(jié)合安全管 理中心對系統(tǒng)管理 安全管理和審計管理的設(shè)計要求 安全管理中心建設(shè)主要 通過運維審計 網(wǎng)絡(luò)管理系統(tǒng) 綜合安全管理平臺等機制實現(xiàn) 通過安全堡壘機 運維審計系統(tǒng) 能夠?qū)ο到y(tǒng)管理員 審計管理員和安全 管理員進行身份鑒別 并對操作權(quán)限進行控制 記錄相關(guān)操作審計日志 通過網(wǎng)絡(luò)管理系統(tǒng)能夠?qū)W(wǎng)絡(luò)設(shè)備 網(wǎng)絡(luò)鏈路 主機系統(tǒng)資源和運行狀態(tài) 進行監(jiān)測和管理 實現(xiàn)網(wǎng)絡(luò)鏈路 服務(wù)器 路由交換設(shè)備 業(yè)務(wù)應(yīng)用系統(tǒng)的監(jiān) 控與配置 通過綜合安全管理平臺對安全設(shè)備 網(wǎng)絡(luò)設(shè)備和服務(wù)器等系統(tǒng)的運行狀況 安全事件 安全策略進行集中監(jiān)測采集 日志范式化和過濾歸并處理 來實 現(xiàn)對網(wǎng)絡(luò)中各類安全事件的識別 關(guān)聯(lián)分析和預(yù)警通報 5 管理體系設(shè)計方案 5 1 管理體系設(shè)計目標 管理體系設(shè)計目標是根據(jù)等級保護對象當前安全管理需要和安全技術(shù)保障 需要 提出與等級保護對象安全總體方案中管理部分相適應(yīng)的本期安全實施內(nèi) 容 以保證在安全技術(shù)建設(shè)的同時 安全管理得以同步建設(shè) 根據(jù)客戶項目具體目標進行增刪或調(diào)整 5 2 管理體系設(shè)計框架 總體方針 安全策略 信息安全管理制度 技術(shù)標準 操作規(guī)程 記錄 表單 5 3 安全管理防護體系設(shè)計 安全管理防護體系的設(shè)計 可結(jié)合定級系統(tǒng)自身的特點 并結(jié)合行業(yè)安全 監(jiān)管要求及相關(guān)標準 綜合考慮各類措施來達到基本要求提出的安全保護能力 信息安全管理體系是組織在整體或特定范圍內(nèi)建立的信息安全方針和目標 以及完成這些目標所用的方法和體系 以等保安全管理基本要求為基礎(chǔ) 結(jié)合ISO270001的體系的PDCA過程和ISO2 7002的14個控制域規(guī)范 同時兼顧監(jiān)管部門的相關(guān)安全規(guī)范 整合企業(yè)自身的I T服務(wù)管理體系和安全技術(shù)防護體系 通過體系規(guī)范化 管理流程化 測量指標 化 操作工具化的手段來確保體系設(shè)計的落地 根據(jù)項目規(guī)模和實際情況 決定是否結(jié)合 ISO27000信息安全管理體系的相 關(guān)內(nèi)容展開來進行詳細的安全管理體系設(shè)計 本方案模板僅從等保合規(guī)的基本管理要求來描述 5 3 1 安全管理制度設(shè)計 安全管理制度是對信息安全目標和工作原則的規(guī)定 其表現(xiàn)形式是一系列 安全策略體系文件 安全管理制度是信息安全保障體系的核心 是信息安全管 理工作 技術(shù)工作和運維工作的目標和依據(jù) 具體安全管理制度可參考以下內(nèi) 容建設(shè) 制定一套網(wǎng)絡(luò)安全總體方針和安全策略 明確組織機構(gòu)的總體目標 范 圍 原則和安全框架 制定一套安全管理制度 形成安全策略 管理制度 操作規(guī)程 記錄表 單四級管理制度體系 指派專人或者成立專門的部門負責制度的制定 安全管理制度要正式發(fā) 布 并進行有效的版本控制 應(yīng)定期對制度進行評審和修訂 至少每年 建議 進行一次評審和修訂 5 3 2 安全管理機構(gòu)設(shè)計 安全管理機構(gòu)建設(shè)將決定整個安全管理體系的成敗 成立網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小 組及其辦公室機構(gòu) 網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組應(yīng)由單位高層領(lǐng)導(dǎo)和有關(guān)部門的管理人 員組成 負責協(xié)調(diào) 指導(dǎo)及管理信息安全各個方面的工作 設(shè)置網(wǎng)絡(luò)安全管理工作的部門 并明確其職責 根據(jù)三權(quán)分立的原則設(shè)置 工作崗位 設(shè)置三員角色 必須配備專職的安全管理員 建立授權(quán)審批制度 明確職責和要求 重要活動逐級審批 并對審批事項 進行定期審查 建立定期協(xié)調(diào)會議制度 協(xié)調(diào)處理網(wǎng)絡(luò)安全問題 加強與外部資源的溝通 與合作 建立外部單位聯(lián)系表 以便及時獲取外部資源支持 建立定期安全檢測制度 檢查內(nèi)容覆蓋技術(shù) 管理 策略等 并對檢查結(jié) 果進行分析 形成報告 并對結(jié)果進行通報 5 3 3 安全管理人員設(shè)計 需要有專人或部門負責人員錄用 需要對專業(yè)技能 身份 背景 專業(yè)資 格資質(zhì)進行審核 并確定保密協(xié)議和崗位責任協(xié)議 并對被錄用人員所具有的 技術(shù)技能進行考核 人員離崗及時終止各種權(quán)限 回收各類訪問權(quán)限 軟硬件設(shè)備 履行離職 手續(xù) 并簽訂離職保密協(xié)定 針對不同崗位制定不同培訓計劃 對安全意識 安全基礎(chǔ)知識 崗位操作 規(guī)程等進行培訓 并定期對不同崗位的人員進行技能考核 要有懲戒措施 制定外部人員訪問審批流程 訪問網(wǎng)絡(luò)申請流程 訪問結(jié)束立刻終止權(quán)限 高 危系統(tǒng)訪問需簽訂保密協(xié)議 5 3 4 安全建設(shè)管理設(shè)計 安全建設(shè)管理應(yīng)貫穿到信息系統(tǒng)整個生命周期 在系統(tǒng)審批 建設(shè) 安全 定級與備案 安全方案設(shè)計 軟件開發(fā)與實施 驗收與測試 系統(tǒng)交付與等級 測評 以及服務(wù)商選擇等過程均需要進行安全管理 根據(jù)系統(tǒng)定級等級設(shè)計安全方案 并組織專家進行評審 經(jīng)過批準后方可 以實施 需要根據(jù)網(wǎng)絡(luò)的安全保護等級和安全需求 采購使用符合國家法律法規(guī)和 有關(guān)標準要求的網(wǎng)絡(luò)產(chǎn)品 對于軟件開發(fā) 要確保將開發(fā)環(huán)境與實際運行環(huán)境物理分開 測試數(shù)據(jù)和 測試結(jié)果收到控制 制定軟件開發(fā)管理制度 明確說明開發(fā)過程的控制方法和 人員行為準則 制定代碼編寫安全規(guī)范并要求開發(fā)人員參照規(guī)范編寫代碼 應(yīng) 具備軟件設(shè)計的相關(guān)文檔和使用指南 并對文檔使用進行控制 應(yīng)保證在軟件 開發(fā)過程中對安全性進行測試 在軟件安裝前對可能存在的惡意代碼進行檢測 應(yīng)對程序資源庫的修改 更新 發(fā)布進行授權(quán)和批準 并嚴格進行版本控制 應(yīng)保證開發(fā)人為專職人員 開發(fā)人員的開發(fā)活動受到控制 監(jiān)視和審查 當 軟件開發(fā)采取外包模式時 還需要開發(fā)單位提供軟件設(shè)計文檔 使用指南及軟 件源代碼 并對軟件中可能存在的后門和隱蔽信道進行技術(shù)審查 在項目實施過程中 要指定或授權(quán)專門的部門或人員負責工程實施過程的 管理 制定安全工程實施方案 并通過第三方工程監(jiān)理控制項目的實施過程 在項目測試驗收階段 應(yīng)制訂測試驗收方案 并依據(jù)測試驗收方案實施測 試驗收 形成測試驗收報告 系統(tǒng)上線前還需要進行安全性測試 并出具安全 測試報告 安全測試報告應(yīng)包含密碼應(yīng)用安全性測試相關(guān)內(nèi)容 系統(tǒng)交付使用時 應(yīng)制定交付清單 并根據(jù)交付清單對所交接的設(shè)備 軟 件和文檔等進行清點 并對負責運行維護的技術(shù)人員進行相應(yīng)的技能培訓 還 要提供建設(shè)過程文檔和運行維護文檔 5 3 5 安全運維管理設(shè)計 安全運維管理是整個系統(tǒng)安全運營的重要環(huán)節(jié) 其內(nèi)容涵蓋機房環(huán)境管理 資產(chǎn)管理 介質(zhì)管理 設(shè)備管理 漏洞和風險管理 網(wǎng)絡(luò)及系統(tǒng)安全管理 惡意代碼防范 配置管理 密碼管理 變更管理 備份與恢復(fù)管理 安全應(yīng)急 處置 以及安全服務(wù)管理工作等內(nèi)容 具體如下 5 3 5 1 機房環(huán)境管理 在機房環(huán)境管理中需要對機房供配電 空調(diào) 溫濕度控制 消防等設(shè)施指 定專人或?qū)iT部門定期進行維護管理 同時還應(yīng)建立機房安全管理制度 對機房人員出入 物品帶進帶出和機房 環(huán)境安全等方面作出規(guī)定 不在重要區(qū)域接待來訪人員 不將含有敏感信息的 紙檔文件和移動介質(zhì)隨意放置 5 3 5 2 資產(chǎn)管理 針對資產(chǎn)管理 應(yīng)建立資產(chǎn)安全管理制度 規(guī)定信息系統(tǒng)資產(chǎn)管理的責任 人員或責任部門 規(guī)范資產(chǎn)管理和使用的行為 編制并保存與保護對象相關(guān)的 資產(chǎn)清單 同時應(yīng)根據(jù)資產(chǎn)的重要程度對資產(chǎn)進行定性賦值和標識管理 根據(jù)資產(chǎn)的 價值選擇相應(yīng)的管理措施 確定信息分類與標識的原則和方法 對信息的使用 傳輸和存儲作出規(guī)定 5 3 5 3 介質(zhì)管理 應(yīng)建立介質(zhì)安全管理制度 對介質(zhì)存放環(huán)境 使用 維護和銷毀等方面作 出規(guī)定 如介質(zhì)的歸檔和查詢須有記錄 并對存檔介質(zhì)的目錄清單定期盤點 除此之外 還應(yīng)對存儲介質(zhì)的數(shù)據(jù)安全進行管理和防范 具體如下 對于需要送出維修或銷毀的介質(zhì) 應(yīng)采用多次讀寫覆蓋 清除介質(zhì)中的 敏感或重要數(shù)據(jù) 防止數(shù)據(jù)泄露 根據(jù)數(shù)據(jù)備份需要對某些介質(zhì)實行異地存儲 存儲地的環(huán)境要求和管理 方法應(yīng)與本地相同 根據(jù)所承載數(shù)據(jù)和軟件的重要程度對介質(zhì)進行分類和標識管理 并實行 專人管理 對介質(zhì)物理運輸過程中人員選擇 打包 交付等情況進行控制 保密性較高的信息存儲介質(zhì)未經(jīng)批準不得自行銷毀 銷毀時必須做到雙 人監(jiān)銷 銷毀記錄應(yīng)妥善保存 重要數(shù)據(jù)存儲介質(zhì)帶出工作環(huán)境應(yīng)采取加密方式 并進行監(jiān)控管理 對存放的介質(zhì)定期進行完整性和可用性檢查 確認其數(shù)據(jù)或軟件沒有受 到損壞或丟失 5 3 5 4 設(shè)備維護管理 對信息系統(tǒng)相關(guān)的各種設(shè)備 線路等指定專人或?qū)iT部門定期進行維護 管理 對信息系統(tǒng)的各種軟硬件設(shè)備的選型 采購 發(fā)放或領(lǐng)用等過程建立申 報 審批管理規(guī)定 對終端計算機 工作站 便攜機 系統(tǒng)和網(wǎng)絡(luò)等設(shè)備的操作和使用進行 規(guī)范化管理 按操作規(guī)程實現(xiàn)服務(wù)器的啟動 停止 加電 斷電等操作 加強對服務(wù)器 網(wǎng)絡(luò)設(shè)備等重要設(shè)備或系統(tǒng)的日志文件檢查和監(jiān)控 建立軟硬件設(shè)備維護管理制度 包括明確維護人員的責任 涉外維修和 服務(wù)的審批 維修過程的監(jiān)督控制等 5 3 5 5 漏洞和風險管理 針對漏洞和風險管理 需要通過漏洞掃描系統(tǒng)對發(fā)現(xiàn)的系統(tǒng)安全漏洞進行 及時修補 需要定期安裝最新補丁程序 對重要漏洞進行及時修補 定期開展 安全測評 形成安全測評報告 采取措施應(yīng)對發(fā)現(xiàn)的安全問題 5 3 5 6 網(wǎng)絡(luò)和系統(tǒng)安全管理 指定專人對網(wǎng)絡(luò)進行管理 負責運行日志 網(wǎng)絡(luò)監(jiān)控記錄的日常維護和 報警信息分析處理工作 對網(wǎng)絡(luò)設(shè)備和系統(tǒng)的安全策略維護 配置文件更改進行流程審批 通過身份鑒別 訪問控制等措施限制遠程管理賬戶的操作行為 指定專人對系統(tǒng)進行管理 刪除或者禁用不使用的系統(tǒng)缺省賬戶 對能夠使用系統(tǒng)工具的人員及數(shù)量進行限制和控制 根據(jù)業(yè)務(wù)需求和系統(tǒng)安全確定系統(tǒng)的訪問控制策略 文件及服務(wù)的訪問 權(quán)限 對系統(tǒng)賬戶進行分類管理 權(quán)限設(shè)定應(yīng)當遵循最小授權(quán)要求 對于賬戶安全管理的執(zhí)行情況進行檢查和監(jiān)督 定期審計和分析用戶賬 戶的使用情況 定期檢查違反規(guī)定無線上網(wǎng)及其他違反網(wǎng)絡(luò)安全策略的行為 5 3 5 7 惡意代碼防范管理 提高全體員工的網(wǎng)絡(luò)病毒 惡意代碼安全防范意識 及時升級防病毒軟 件 在讀取移動存儲設(shè)備上的數(shù)據(jù)以及接收文件或郵件之前 先進行病毒檢 查 對防惡意代碼軟件的授權(quán)使用 惡意代碼庫升級 定期匯報等作出明確 管理規(guī)定 定期檢查惡意代碼庫的升級情況并進行記錄 對防病毒軟件 防病毒網(wǎng) 關(guān)上截獲的危險病毒或惡意代碼進行及時分析處理 形成書面報表和 總結(jié)匯報 5 3 5 8 配置管理 建立對包括網(wǎng)絡(luò)拓撲結(jié)構(gòu) 設(shè)備和系統(tǒng)安裝的服務(wù)組件 組件版本和補丁 信息 設(shè)- 1.請仔細閱讀文檔,確保文檔完整性,對于不預(yù)覽、不比對內(nèi)容而直接下載帶來的問題本站不予受理。
- 2.下載的文檔,不會出現(xiàn)我們的網(wǎng)址水印。
- 3、該文檔所得收入(下載+內(nèi)容+預(yù)覽)歸上傳者、原創(chuàng)作者;如果您是本文檔原作者,請點此認領(lǐng)!既往收益都歸您。
下載文檔到電腦,查找使用更方便
9.9 積分
下載 |
- 配套講稿:
如PPT文件的首頁顯示word圖標,表示該PPT已包含配套word講稿。雙擊word圖標可打開word文檔。
- 特殊限制:
部分文檔作品中含有的國旗、國徽等圖片,僅作為作品整體效果示例展示,禁止商用。設(shè)計者僅對作品中獨創(chuàng)性部分享有著作權(quán)。
- 關(guān) 鍵 詞:
- 網(wǎng)絡(luò)安全 等級 保護 安全 通用 要求 建設(shè) 方案
鏈接地址:http://www.3dchina-expo.com/p-9324219.html