某信息安全等級保護（二級）建設方案目錄1.項目概述1.1.項目建設目標1.2.項目參考標準1.3.方案設計原則2.系統現狀分析2.1.系統定級情況說明2.2.業務系統說明2.3.網絡結構說明3.安全需求分析3.1.物理安全需求分析3.2.網絡安全需求分析3.3.主機安全需求分析3.4.應用安全需求分析3.5.數據安全需求分析3.6.安全管理制度需求分析4.總體方案設計4.1.總體設計目標4.2.總體安全體系設計4.3.總體網絡架構設計4.4.安全域劃分說明5.詳細方案設計技術部分5.1.物理安全5.2.網絡安全5.2.1.安全域邊界隔離技術5.2.2.入侵防范技術5.2.3.網頁防篡改技術5.2.4.鏈路負載均衡技術5.2.5.網絡安全審計5.3.主機安全5.3.1.數據庫安全審計5.3.2.運維堡壘主機5.3.3.主機防病毒技術5.4.應用安全6.詳細方案設計管理部分6.1.總體安全方針與安全策略6.2.信息安全管理制度6.3.安全管理機構6.4.人員安全管理6.5.系統建設管理6.6.系統運維管理6.7.安全管理制度匯總7.咨詢服務和系統測評7.1.系統定級服務7.2.風險評估和安全加固服務7.2.1.漏洞掃描7.2.2.滲透測試7.2.3.配置核查7.2.4.安全加固7.2.5.安全管理制度編寫7.2.6.安全培訓7.3.系統測評服務8.項目預算與配置清單8.1.項目預算一期（等保二級基本要求）8.2.利舊安全設備使用說明1.項目概述1.1.項目建設目標為了進一步貫徹落實教育行業信息安全等級保護制度，推進學校信息安全等級保護工作，依照國家《計算機信息系統安全保護等級劃分準則》、《信息系統安全等級保護基本要求》、《信息系統安全保護等級定級指南》等標準，對學校的網絡和信息系統進行等級保護定級，按信息系統逐個編制定級報告和定級備案表，并指導學校信息化人員將定級材料提交當地公安機關備案。本方案中，通過為滿足物理安全、網絡安全、主機安全、應用安全、數據安全五個方面基本技術要求進行技術體系建設；為滿足安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理五個方面基本管理要求進行管理體系建設。使得學校信息系統的等級保護建設方案最終既可以滿足等級保護的相關要求，又能夠全方面為學校的業務系統提供立體、縱深的安全保障防御體系，保證信息系統整體的安全保護能力。本項目建設將完成以下目標：1、以學校信息系統現有基礎設施，建設并完成滿足等級保護二級系統基本要求的信息系統，確保學校的整體信息化建設符合相關要求。2、建立安全管理組織機構。成立信息安全工作組，學校負責人為安全責任人，擬定實施信息系統安全等級保護的具體方案，并制定相應的崗位責任制，確保信息安全等級保護工作順利實施。3、建立完善的安全技術防護體系。根據信息安全等級保護的要求，建立滿足二級要求的安全技術防護體系。4、建立健全信息系統安全管理制度。根據信息安全等級保護的要求，制定各項信息系統安全管理制度，對安全管理人員或操作人員執行的重要管理操作建立操作規程和執行記錄文檔。5、制定學校信息系統不中斷的應急預案。應急預案是安全等級保護的重要組成部分，按可能出現問題的不同情形制定相應的應急措施，在系統出現故障和意外且無法短時間恢復的情況下能確保生產活動持續進行。6、安全培訓：為學校信息化技術人員提供信息安全相關專業技術知識培訓。1.2.項目參考標準我司遵循國家信息安全等級保護指南等最新安全標準以及開展各項服務工作，配合學校的等級保護測評工作。本項目建設參考依據：1.3.方案設計原則針對本次項目，等級保護整改方案的設計和實施將遵循以下原則：保密性原則：我司對安全服務的實施過程和結果將嚴格保密，在未經用戶方授權的情況下不會泄露給任何單位和個人，不會利用此數據進行任何侵害客戶權益的行為；標準性原則：服務設計和實施的全過程均依據國內或國際的相關標準進行；根據等級保護二級基本要求，進行分等級分安全域進行安全設計和安全建設。規范性原則：我司在各項安全服務工作中的過程和文檔，都具有很好的規范性（《南寧市學家科技有限公司安全服務實施規范》），可以便于項目的跟蹤和控制；可控性原則：服務所使用的工具、方法和過程都會在深信服與用戶方雙方認可的范圍之內，服務進度遵守進度表的安排，保證雙方對服務工作的可控性；整體性原則：服務的范圍和內容整體全面，涉及的IT運行的各個層面，避免由于遺漏造成未來的安全隱患；最小影響原則：服務工作盡可能小的影響信息系統的正常運行，不會對現有業務造成顯著影響。體系化原則：在體系設計、建設中，深信服充分考慮到各個層面的安全風險，構建完整的立體安全防護體系。先進性原則：為滿足后續不斷增長的業務需求、對安全產品、安全技術都充分考慮前瞻性要求，采用先進、成熟的安全產品、技術和先進的管理方法。分步驟原則：根據用戶方要求，對用戶方安全保障體系進行分期、分步驟的有序部署。服務細致化原則：在項目咨詢、建設過程中深信服將充分結合自身的專業技術經驗與行業經驗相結合，結合用戶方的實際信息系統量身定做才可以保障其信息系統安全穩定的運行。2.系統現狀分析2.1.系統定級情況說明學校綜合考慮了學校信息系統、學校信息系統的業務信息和系統服務類型，以及其受到破壞時可能受到侵害的客體以及受侵害的程度，經學校省公安廳的批準，已將學校系統等級定為等級保護第二級（S2A2G2），整體網絡信息化平臺按照二級進行建設。2.2.業務系統說明學校本次參加整改的共有X個信息系統，分別是學校系統、學校系統、學校系統、學校系統，具體情況介紹如下：學校門戶網站系統：2012年門戶網站（網絡版）歷經系統開發、模擬測試、網絡、硬件設備安裝部署，在試點和實施過程當中發現系統仍有不足之處，需要對系統進行深入完善和改進，主要考慮到由于門戶網站（網絡版）作為學校集中部署的網絡化重要業務系統，其具有應用面廣、用戶規模大，并涉及到學校對互聯網形象，以及基于公眾網上部署的特性，因此系統自身和運行環境均存在一定的安全風險，在數據傳輸、安全加密、網絡監控、防入侵等方面的必須要建立一套更有效更完善的安全保護體系和措施。學校OA系統：目前學校舊OA系統準備停用，并且已經開發和準備上線新的業務系統，新的業務系統目前準備對公網直接公開訪問，因此涉及到的能夠訪問到業務系統的規模比較大，而且整個網絡相對會比較復雜、流量多變，所以系統任有較多不足，在本次建設過程中應該加強安全建設，系統自身和運行環境均存在一定的安全風險，在數據傳輸、安全加密、網絡監控、防入侵等方面的必須要建立一套更有效更完善的安全保護體系和措施。2.3.網絡結構說明學校信息系統網絡拓撲圖現狀如下：3.安全需求分析3.1.物理安全需求分析目前在機房建設方面還存在如下問題：1、物理訪問控制；2、防雷擊；3、防火墻；4、防水防潮；5、溫濕度控制；3.2.網絡安全需求分析邊界入侵防范：該信息系統無法實現對邊界的訪問控制，需要部署下一代署防火墻等安全設備來實現。防web攻擊和網頁防篡改：該信息系統無法實現對邊界的訪問控制，需要部署下一代署防火墻等安全設備來實現。安全域邊界安全審計：該信息系統無法實現對邊界的訪問控制，需要部署署網絡安全審計等安全設備來實現。3.3.主機安全需求分析主機防病毒：該信息系統缺少主機防病毒的相關安全策略，需要配置網絡版主機防病毒系統，從而實現對全網主機的惡意代碼防范。數據庫審計：該信息系統缺少針對數據的審計設備，不能很好的滿足主機安全審計的要求，需要部署專業的數據庫審計設備。運維堡壘機：該該信息系統無法實現管理員對網絡設備和服務器進行管理時的雙因素認證，需要部署堡壘機來實現。漏洞掃描：需要部署漏洞掃描實現對全網漏洞的掃描。3.4.應用安全需求分析通信完整性和保密性：該信息系統無法實現對邊界的訪問控制，需要部署SSLVPN等安全設備來實現。3.5.數據安全需求分析備份與恢復：該該信息系統沒有完善的數據備份與恢復方案，需要制定相關策略。同時，該信息系統沒有實現對關鍵網絡設備的冗余，建議部署雙鏈路確保設備冗余。3.6.安全管理制度需求分析根據前期差距分析結果，該單位還欠缺較多安全管理制度，需要后續補充。4.總體方案設計4.1.總體設計目標學校的安全等級保護整改方案設計的總體目標是依據國家等級保護的有關標準和規范，結合學校信息系統的現狀，對其進行重新規劃和合規性整改，為其建立一個完整的安全保障體系，有效保障其系統業務的正常開展，保護敏感數據信息的安全，保證學校信息系統的安全防護能力達到《信息安全技術信息系統安全等級保護基本要求》中第二級的相關技術和管理要求。4.2.總體安全體系設計本項目提出的等級保護體系模型，必須依照國家等級保護的相關要求，利用密碼、代碼驗證、可信接入控制等核心技術，在“一個中心三重防御”的框架下實現對信息系統的全面防護。整個體系模型如下圖所示：安全管理中心安全管理中心是整個等級保護體系中對信息系統進行集中安全管理的平臺，是信息系統做到可測、可控、可管理的必要手段和措施。依照GB/T25070-2010信息系統等級保護安全設計技術要求中對安全管理中心的要求，一個符合基于可信計算和主動防御的等級保護體系模型的安全管理中心應至少包含以下三個部分：系統管理實現對系統資源和運行的配置。控制和管理，并對系統管理員進行身份鑒別，只允許其通過特定的命令或操作界面進行系統管理操作，并對這些操作進行審計。安全管理實現對系統中的主體、客體進行統一標記，對主體進行授權，配置一致的安全策略，確保標記、授權和安全策略的數據完整性，并對安全管理員進行身份鑒別，只允許其通過特定的命令或操作界面進行安全管理操作，并進行審計。審計管理實現對系統各個組成部分的安全審計機制進行集中管理，包括根據安全審計策略對審計記錄進行分類；提供按時間段開啟和關閉相應類型的安全審計機制；對各類審計記錄進行存儲、管理和查詢等；對審計記錄應進行分析，根據分析結果進行處理。此外，對安全審計員進行身份鑒別，只允許其通過特定的命令或操作界面進行安全審計操作。此外，安全管理中心應做到技術與管理并重，加強在安全管理制度、安全管理機構、人員安全管理、系統建設管理和系統運維管理等方面的管理力度，規范安全管理操作規程，建立完善的安全管理制度集。安全計算環境參照基于可信計算和主動防御的等級保護模型，安全計算環境可劃分成節點和典型應用兩個子系統。在解決方案中，這兩個子系統都將通過終端安全保護體系的建立來實現。信息安全事故的源頭主要集中在用戶終端，要實現一個可信的、安全的計算環境，就必須從終端安全抓起。因此，依照等級保護在身份鑒別，訪問控制（包括強制訪問控制）、網絡行為控制（包括上網控制、違規外聯的控制）、應用安全、數據安全、安全審計等方面的技術要求，可充分結合可信計算技術和主動防御技術的先進性和安全性，提出一個基于可信計算和主動防御的終端安全保護體系模型，以實現從應用層、系統層、核心層三個方面對計算環境的全面防護。安全區域邊界為保護邊界安全，本解決方案針對構建一個安全的區域邊界提出的解決手段是在被保護的信息邊界部署一個“應用訪問控制系統”。該系統應可以實現以下功能：信息層的自主和強制訪問控制、防范SQL注入攻擊和跨站攻擊、抗DoS/DDoS攻擊端口掃描、數據包過濾、網絡地址換、安全審計等。由于國內外在這一方面的相關技術非常成熟，因此，在本次系統整改總體設計中更多的是考慮如何將防火墻、防病毒網關、網絡安全審計系統、IDS、IPS、網管系統等有機地結合在一起，實現協同防護和聯動處理。此外，對于不同安全等級信息系統之間的互連邊界，可根據依照信息流向的高低，部署防火墻或安全隔離與信息交換系統，并配置相應的安全策略以實現對信息流向的控制。安全通信網絡目前，在通信網絡安全方面，采用密碼等核心技術實現的各類VPN都可以很有效的解決這類問題，達到在滿足等級保護相關要求的同時，可靈活提高通信網絡安全性的效果。4.3.總體網絡架構設計學校網絡架構整體設計如下：4.4.安全域劃分說明安全域的劃分是網絡防護的基礎，事實上每一個安全邊界所包含的區域都形成了一個安全域。這些區域具有不同的使命，具有不同的功能，分域保護的框架為明確各個域的安全等級奠定了基礎，保證了信息流在交換過程中的安全性。在本項目中，將嚴格按照信息系統的重要性和網絡使用的邏輯特性劃分安全域，將劃分如下確定的安全域：l互聯網出口域，該區域說明如下：l專網出口域，該區域說明如下：主要承載互聯網出口，出口主干需要部署相應的安全邊界產品。l終端接入域，該區域說明如下：主要是無線和有線終端接入；l對外服務器域，該區域說明如下：該區域主要承載對外發布服務器，比如學校的網站；l內部服務器域，該區域說明如下：主要承載對內的服務器和存儲，比如OA和學校專業先關零時性的試驗服務器。l安全管理域，該區域說明如下：主要承載網絡管理先關設備，比如網管系統，防病毒升級服務器等。5.詳細方案設計技術部分5.1.物理安全根據GB/T25070-2010信息系統等級保護安全設計技術要求中物理安全的要求，應從以下方面進行整改：5.2.網絡安全5.2.1.安全域邊界隔離技術根據《信息系統安全等級保護基本要求》，應該在學校各安全域的邊界處部署防火墻設備，保證跨安全域的訪問都通過防火墻進行控制管理。因此，在互聯網出口域邊界部署下一代防火墻，在內網服務器區域邊界部署WEB應用防火墻。5.2.2.入侵防范技術根據等級保護基本要求，二級業務系統應該在互聯網出口處實現入侵防范功能，因此，在互聯網出口的下一代防火墻上啟用入侵防御模塊非常有必要。二級業務系統應該在互聯網出口處部署網絡層防病毒設備，并保證與主機層防病毒實現病毒庫的異構。因此，在互聯網出口的下一代防火墻上啟用防病毒模塊非常有必要。5.2.3.網頁防篡改技術學校網站承載了學校等重要職責，暴露在互聯網上，隨時會面臨網頁被篡改及黑客攻擊的危險，因此，在互聯網出口的下一代防火墻上啟用網頁防篡改功能非常有必要。5.2.4.鏈路負載均衡技術根據等級保護基本要求，二級業務系統應該在互聯網出口處進行優化控制，保證用戶訪問選擇最優的鏈路。因此，建議在二期部署一套專業的鏈路負載均衡設備非常有必要。5.2.5.網絡安全審計針對用戶訪問業務系統帶給我們的困擾以及諸多的安全隱患，必須部署一套日志審計系統利用實時跟蹤分析技術，從發起者、訪問時間、訪問對象、訪問方法、使用頻率各個角度，提供豐富的統計分析報告，幫助用戶在統一管理互聯網訪問日志的同時，及時發現安全隱患，協助優化網絡資源的使用。根據公安部等級保護基本要求，所有信息系統都需要部署日志審計系統，并保存3個月的日志，學校擁有龐大的網絡海量的數據交換，目前還沒有部署日志審計系統。因此，建議在二期部署一套日志審計系統對全網行為進行監控、日志進行記錄。部署設計：日志審計系統旁路部署在核心交換上，實現全網的網絡行為的統一審計，收集網絡設備、安全設備、主機系統等設備的運行狀況、網絡流量、用戶行為等日志信息，并對收集到的日志信息進行分類和關聯分析，并可根據審計人員的操作要求生成統計報表，方便查詢和生成報告，為網絡事件追溯提供證據。5.3.主機安全5.3.1.數據庫安全審計建議在二期部署數據庫審計系統，實現對用戶行為、用戶事件及系統狀態加以審計，范圍覆蓋到每個用戶，從而把握數據庫系統的整體安全。部署設計：數據庫審計部署于數據庫前端交換機上，通過端口鏡像收集信息。5.3.2.運維堡壘主機對運維的管理現狀進行分析，我們認為造成這種不安全現狀的原因是多方面的，總結起來主要有以下幾點：各IT系統獨立的帳戶管理體系造成身份管理的換亂，而身份的唯一性又恰恰是認證、授權、審計的依據和前提，因此身份的混亂實際上造成設備訪問的混亂。各IT系統獨立管理，風險分散在各系統中，各個擊破困難大，這種管理方式造成了業務管理和安全之間的失衡。核心服務器或設備的物理安全和臨機訪問安全通過門禁系統和錄像系統得以較好的解決，但是對他們的網絡訪問缺少控制或欠缺控制力度，在帳號、密碼、認證、授權、審計等各方面缺乏有效的集中管理技術手段。目前，學校使用數量眾多的網絡設備、服務器主機來提供基礎網絡服務、運行關鍵業務、數據庫應用、ERP和協同工作群件等服務。由于設備和服務器眾多，系統管理員壓力太大等因素，越權訪問、誤操作、濫用、惡意破壞等情況時有發生，這嚴重影響信息系統的運行效能，另外黑客的惡意訪問也有可能獲取系統權限，闖入部門內部網絡，造成不可估量的損失。如何提高系統運維管理水平，跟蹤服務器上用戶的操作行為，防止黑客的入侵和破壞，提供控制和審計依據，降低運維成本，滿足相關標準要求，越來越成為信息系統關心的問題，因此建議在學校二期安全建設有必要部署一套運維堡壘主機來實現賬戶的安全維護。部署設計：運維審計系統部署在安全管理域，通過交換機的訪問控制策略限定只能由堡壘主機內控管理平臺直接訪問服務器的遠程維護端口。維護人員對網絡設備、安全設備和服務器系統進行遠程維護時，首先以Web方式登錄運維審計系統，然后通過運維審計系統上展現的訪問資源列表直接訪問授權資源。5.3.3.主機防病毒技術學校目前網絡內所有終端使用免費的殺毒軟件，基本滿足等級保護二級的要求，但是現在主要服務器并沒有部署專業的殺毒軟件，建議第一期部署殺毒軟件。部署設計軟件客戶端部署在內外防服務器上面，通過管理區域防病毒升級服務器對病毒規則庫進行升級。5.4.應用安全根據等級保護的要求，二級業務系統必須加密傳輸，因此需要部署SSLVPN技術實現應用系統遠程訪問的加密，如果后期OA系統需要實現出差老師或則在外網的人能夠訪問需要上SSLVPN設備。部署設計：SSLVPN旁路部署于核心交換機上。6.詳細方案設計管理部分安全管理體系的作用是通過建立健全組織機構、規章制度，以及通過人員安全管理、安全教育與培訓和各項管理制度的有效執行，來落實人員職責，確定行為規范，保證技術措施真正發揮效用，與技術體系共同保障安全策略的有效貫徹和落實。信息安全管理體系主要包括組織機構、規章制度、人員安全、安全教育和培訓等四個方面內容。6.1.總體安全方針與安全策略總體安全方針與安全策略是指導用戶方所有信息安全工作的綱領性文件，是信息安全決策機構對信息安全工作的決策和意圖的表述。總體安全方針與安全策略的作用在于統一對信息安全工作的認識，規定信息安全的基本架構，明確信息安全的根本目標和原則。本次項目中深信服將協助用戶方確定安全管理體系的層次及建立方式，明確各層次在安全管理體系中的職責以及安全策略，建立具有高可操作性的考核體系，以加強安全策略及各項管理制度的可落實性。我方為用戶方設計的總體安全方針與安全策略將具備以下特性：安全策略緊緊圍繞行業的發展戰略，符合用戶方實際的信息安全需求，能保障與促進信息化建設的順利進行，避免理想化與不可操作性。總體安全方針與安全策略中將明確闡述用戶方所有信息化建設項目在規劃設計、開發建設、運行維護和變更廢棄等各階段，應遵循的總體原則和要求。安全策略在經過用戶方信息安全決策機構批準之后，將具備指導和規范信息安全工作的效力。安全策略中將規定其自身的時效性，當信息系統運行環境發生重大變化時，我方將協助用戶方及時對總體安全策略進行必要的調整，并將調整后的策略提交用戶方信息安全決策機構批準。6.2.信息安全管理制度根據安全管理制度的基本要求制定各類管理規定、管理辦法和暫行規定。從安全策略主文檔中規定的安全各個方面所應遵守的原則方法和指導性策略引出的具體管理規定、管理辦法和實施辦法，是具有可操作性，且必須得到有效推行和實施的制度。制定嚴格的制定與發布流程，方式，范圍等，制度需要統一格式并進行有效版本控制；發布方式需要正式、有效并注明發布范圍，對收發文進行登記。信息安全領導小組負責定期組織相關部門和相關人員對安全管理制度體系的合理性和適用性進行審定，定期或不定期對安全管理制度進行評審和修訂，修訂不足及進行改進。6.3.安全管理機構根據基本要求設置安全管理機構的組織形式和運作方式，明確崗位職責；設置安全管理崗位，設立系統管理員、網絡管理員、安全管理員等崗位，根據要求進行人員配備，配備專職安全員；成立指導和管理信息安全工作的委員會或領導小組，其最高領導由單位主管領導委任或授權；制定文件明確安全管理機構各個部門和崗位的職責、分工和技能要求。建立授權與審批制度；建立內外部溝通合作渠道；定期進行全面安全檢查，特別是系統日常運行、系統漏洞和數據備份等。6.4.人員安全管理人員安全管理主要包括人員錄用、離崗、考核、教育培訓等內容。一般單位都有統一的人事管理部門負責人員管理，這里的人員安全管理主要指對關鍵崗位人員進行的以安全為核心的管理，例如對關鍵崗位的人員采取在錄用或上崗前進行全面、嚴格的安全審查和技能考核，與關鍵崗位人員簽署保密協議，對離崗人員撤銷系統帳戶和相關權限等措施。只有注重對安全管理人員的培養，提高其安全防范意識，才能做到安全有效的防范，因此需要對各類人員進行安全意識教育、崗位技能培訓和相關安全技術培訓。培訓的內容包括單位的信息安全方針、信息安全方面的基礎知識、安全技術、安全標準、崗位操作規程、最新的工作流程、相關的安全責任要求、法律責任和懲戒措施等。具體依據標準《基本要求》中人員安全管理，同時可以參照《信息系統安全管理要求》等。6.5.系統建設管理系統建設管理的重點是與系統建設活動相關的過程管理，由于主要的建設活動是由服務方，如集成方、開發方、測評方、安全服務方等完成，運營使用單位人員的主要工作是對之進行管理，應制定系統建設相關的管理制度，明確系統定級備案、方案設計、產品采購使用、軟件開發、工程實施、驗收交付、等級測評、安全服務等活動的管理責任部門、具體的管理內容和控制方法，并按照管理制度落實各項管理措施，完整保存相關的管理記錄和過程文檔。具體依據標準《基本要求》中系統建設管理。6.6.系統運維管理8、環境和資產安全管理制度環境包括計算機、網絡機房環境以及設置有網絡終端的辦公環境，明確環境安全管理的責任部門或責任人，加強對人員出入、來訪人員的控制，對有關物理訪問、物品進出和環境安全等方面作出規定。對重要區域設置門禁控制手段，或使用視頻監控等措施。資產包括介質、設備、設施、數據、軟件、文檔等，資產管理不等同于設備物資管理，而是從安全和信息系統角度對資產進行管理，將資產作為信息系統的組成部分，按其在信息系統中的作用進行管理。應明確資產安全管理的責任部門或責任人，對資產進行分類、標識，編制與信息系統相關的軟件資產、硬件資產等資產清單。具體依據標準《基本要求》中系統運維管理，同時可以參照《信息系統安全管理要求》等。2、設備和介質安全管理制度明確配套設施、軟硬件設備管理、維護的責任部門或責任人，對信息系統的各種軟硬件設備采購、發放、領用、維護和維修等過程進行控制，對介質的存放、使用、維護和銷毀等方面作出規定，加強對涉外維修、敏感數據銷毀等過程的監督控制。具體依據標準《基本要求》中系統運維管理，同時可以參照《信息系統安全管理要求》等。3、日常運行維護制度明確網絡、系統日常運行維護的責任部門或責任人，對運行管理中的日常操作、賬號管理、安全配置、日志管理、補丁升級、口令更新等過程進行控制和管理；制訂設備操作管理、業務應用操作管理、變更控制和重用管理、信息交換管理相應的管理制度；制定與信息系統安全管理相配套的規范和操作規程并落實執行；正確實施為信息系統可靠運行而采取的各種檢測、監控、審計、分析、備份及容錯等方法和措施，對運行安全進行監督檢查。具體依據標準《基本要求》中系統運維管理，同時可以參照《信息系統安全管理要求》等。4、集中安全管理制度第二級以上信息系統應按照統一的安全策略、安全管理要求，統一管理信息系統的安全運行，進行安全機制的配置與管理，對設備安全配置、惡意代碼、補丁升級、安全審計等進行管理，對與安全有關的信息進行匯集與分析，對安全機制進行集中管理。具體依據標準《基本要求》中系統運維管理，同時可以參照《信息系統等級保護安全設計技術要求》和《信息系統安全管理要求》等。8、事件處置與應急響應制度按照國家有關標準規定，確定信息安全事件的等級。結合信息系統安全保護等級，制定信息安全事件分級應急處置預案，明確應急處置策略，落實應急指揮部門、執行部門和技術支撐部門，建立應急協調機制。落實安全事件報告制度，第二級以上信息系統發生較大、重大、特別重大安全事件時，運營使用單位按照相應預案開展應急處置，并及時向受理備案的公安機關報告。組織應急技術支撐力量和專家隊伍，按照應急預案定期組織開展應急演練。具體依據標準《基本要求》中系統運維管理，同時可以參照《信息安全事件分類分級指南》和《信息安全事件管理指南》等。8、災難備份制度要對第二級以上信息系統采取災難備份措施，防止重大事故、事件發生。識別需要定期備份的重要業務信息、系統數據及軟件系統等，制定數據的備份策略和恢復策略，建立備份與恢復管理相關的安全管理制度。具體依據標準《基本要求》中系統運維管理和《信息系統災難恢復規范》。8、安全監測制度開展信息系統實時安全監測，實現對物理環境、通信線路、主機、網絡設備、用戶行為和業務應用等的監測和報警，及時發現設備故障、病毒入侵、黑客攻擊、誤用和誤操作等安全事件，以便及時對安全事件進行響應與處置。具體依據標準《基本要求》中系統運維管理。8、其他制度對系統運行維護過程中的其它活動，如系統變更、密碼使用等進行控制和管理。按國家密碼管理部門的規定，對信息系統中密碼算法和密鑰的使用進行分級管理。6.7.安全管理制度匯總制定安全檢查制度，明確檢查的內容、方式、要求等，檢查各項制度、措施的落實情況，并不斷完善。定期對信息系統安全狀況進行自查，第二級系統每兩年自查一次，第三級信息系統每年自查一次，第四級信息系統每半年自查一次。經自查，信息系統安全狀況未達到安全保護等級要求的，應當進一步開展整改。具體依據標準《基本要求》中安全管理機構，同時可以參照《信息系統安全管理要求》等。最終提交安全制度包括但不限于以下內容：總體安全策略（組織、流程、策略、技術）崗位安全責任制度第三方安全管理制度系統日常安全管理工作制度系統安全評估管理辦法機房建設運行標準安全區域劃分及管理規定管理信息區域網管制度系統建設管理制度設備入網安全管理制度系統軟件和補丁管理制度備份與恢復管理制度賬號和口令及權限管理制度介質管理加密技術使用管理辦法應急預案管理制度安全事件報告和處置管理制度安全審計管理7.咨詢服務和系統測評7.1.系統定級服務協助用戶單位，依據《信息系統安全等級保護定級指南》，確定信息系統的安全保護等級，準備定級備案表和定級報告，協助用戶單位向所在地區的公安機關辦理備案手續。7.2.風險評估和安全加固服務通過漏洞掃描、配置核查和滲透測試等技術手段發現系統中的漏洞，這些漏洞不能由安全設備解決，只能有安全加固解決。7.2.1.漏洞掃描利用業界領先的多種掃描工具檢查整個網絡內部網絡的主機系統與數據庫系統的漏洞情況，并用人