XX公司网络安全总体规划方案

信息安全建设规划建议书XX公司

专业资料整理

WORD格式

昆明睿哲科技有限公司

2013 年 11 月

专业资料整理

WORD格式

目录

第 1 章

1.1 1.2 1.3 第 2 章

综述 .................................................................. 4 概述 .................................................................. 4 现状分析 .............................................................. 5 设计目标 .............................................................. 9 信息安全总体规划 ..................................................... 11

2.1 设计目标、依据及原则 ................................................... 11

2.1.1 设计目标 2.1.2 设计依据

2.1.3 设计原则 ......................................................... 2.2 总体信息安全规划方案 ................................................... 2.2.1 信息安全管理体系 ................................................. 2.2.2 分阶段建设策略 ................................................... 第 3 章 分阶段安全建设规划 ................................................... 3.1 规划原则 ............................................................. 3.2 安全基础框架设计 ..................................................... 第 4 章

初期规划 ............................................................. 4.1 建设目标 ............................................................. 4.2 建立信息安全管理体系 ................................................. 4.3 建立安全管理组织 ..................................................... 第 5 章

中期规划 ............................................................. 5.1 建设目标 ............................................................. 5.2 建立基础保障体系 ..................................................... 5.3 建立监控审计体系 ..................................................... 5.4 建立应急响应体系 ..................................................... 5.5 建立灾难备份与恢复体系 ............................................... 第 6 章

三期规划 ............................................................. 6.1 建设目标 ............................................................. 6.2 建立服务保障体系 ..................................................... 6.3 保持和改进 ISMS ...................................................... 第 7 章

总结 ................................................................. 7.1 综述 ................................................................. 7.2 效果预期 ............................................................. 7.3

后期 ................................................................. 专业资料整理

11 11

12 13

13

19

21

21 22 24 24 24 26 29 29 29 29 31 35 38 38 38 39 40 40 40 40

WORD格式

1.1 概述

第1章

综述

信息技术和经济全球化的发展， 使企业间的竞争已经转为技术和信息的 竞争，随着企业的业务的快速增长、

企业信息系统规模的不断扩大，

企业对信息

技术的依赖性也越来越强， 企业是否能长期生存、 企业的业务是否能高效的运作

也越来越依赖于是否有一个稳定、 安全的信息系统和数据资产。 因此，确保信息 系统稳定、安全的运行， 保证企业知识资产的安全，

已经成为现代企业发展创新

的必然要求，信息安全能力已成为企业核心竞争力的重要部分。

企业高度重视客户及生产信息， 生产资料，设计文档，知识产权之安全防护。 而终端，服务器作为信息数据的载体，是信息安全防护的首要目标。

与此同时，随着企业业务领域的扩展和规模的快速扩张， 为了满足企业发展

和业务需要，企业的

IT 生产和支撑支撑系统也进行了相应规模的建设和扩展，

为了满足生产的高速发展， 市场的大力扩张， 企业决定在近期进行信息安全系统 系统的调研建设，因此随着

IT 系统规模的扩大和应用的复杂化，相关的信息安

全风险也随之而来，比如病毒、蠕虫、垃圾邮件、间谍软件、流氓软件、数据截 获、嗅探、监听、肆意泛滥，内部机密数据泄漏、办公系统受到影响等等，因此 为了保证企业业务正常运营、 制卡系统的高效安全的运行， 不因各种安全威胁的 破坏而中断，信息安全建设不可或缺， 信息安全建设必然应该和当前的信息化建 设进行统一全局考虑，

应该在相关的重要信息化建设中进行安全前置的考虑和

规划，避免安全防护措施的遗漏， 安全防护的滞后造成的重大安全事件的发生。

专业资料整理

。

WORD格式

本次企业信息安全体系建设规划主要考虑采用各种被证明是行之有效的各 种信息安全产品和技术， 帮助企业建设一个主动、 高效、全面的信息安全防御体 系，降低信息安全风险，更好的为企业生产和运营服务。

1.2 现状分析

目前企业已经在前期进行了部分信息安全的建设， 毒，网络边界处的基本防火墙等安全软件和设备，

包括终端上的一部分防病 在很大程度上已经对外部威胁

层出不穷，

能有一个基本的防护能力， 但是如今的安全威胁和攻击手段日新月异，

各种高危零日漏洞不断被攻击者挖掘出来， 攻击的目标越来越有针对性， 目前的 企业所面临的全球安全威胁呈现如下几个新的趋势：

恶意攻击数量快速增加，攻击手段不断丰富，最新的未知威胁防不胜防：如 何防范未知威胁，抵御不同攻击手段和攻击途径带来的信息安全冲击

?

高级、有针对性的高危持续性攻击 APT 已蔓延至各类规模企业：如何阻止不

同的攻击手段？不仅仅是防病毒！需要服务器，终端，网络，数据等各方面 多层次的防护，增加威胁防范能力

复杂混乱的应用与外接设备环境：如何确保应用和设备的准入控制？ 繁琐枯燥的系统维护和安全管理：如何更有效利用有限的信息人力资源？ 工具带来的新问题：如何保证安全策略的强制要求，统一管理和实施效果？ 终端接入不受控：如何确保终端满足制定的终端安全策略 网页式攻击 (Web-based Attack) 靠网站？

内外部有意无意的信息泄露将严重影响企业的声誉和重大经济损失

- 终端准入控制

已成为最主流的攻击手法： 如何确保访问可

专业资料整理

WORD格式

从目前大多数企业的信息安全建设来看，

针对以上的目前主流的新形势的信

息威胁，企业在安全建设上还面临安全防护需要进一步依靠国际先进技术增强主 动防御，纵深防御的能力，目前大多数企业在安全防护上还有如下的欠缺：

1.2.1 目前信息安全存在的问题

在信息系统安全评估中我们对网络设备、 主机系统、数据库系统、应用系统、网络扫描、安全管理等等方面进行了安全评估，发现主要有如下的问题：网络设备安全：

访问控制问题 网络设备安全漏洞 设备配置安全 系统安全：

补丁问题 运行服务问题 安全策略问题 弱口令问题 默认共享问题 防病毒情况 应用安全：

exchange

邮件系统的版本问题

专业资料整理

WORD格式

数据安全：

数据库补丁问题

Oracle 数据库默认帐号问题 Oracle 数据库弱口令问题 Oracle 数据库默认配置问题

Mssql 数据库默认有威胁的存储过程问题 网络区域安全：

市局政务安全措施完善 市局与分局的访问控制问题 分局政务安全措施加强 安全管理：

没有建立安全管理组织 没有制定总体的安全策略

没有落实各个部门信息安全的责任人 缺少安全管理文档

apache 、 iis 、weblogic 的安全配置问题 serv-U 的版本问题

radmin 远程管理的安全问题

通过安全评估中的安全修复过程， 我们对上述大部分的的安全问题进行了修补，但是依然存在残余的风险，主要是数据安全（已安排升级计划） 、网络区域安全和安全管理方面的

问题。 所以当前信息安全存在的问题， 主要表现在如下的几个方面：

1. 在政务中，市局建立了基本的安全体系，但是还需要进一步的完善， 例 如政务总出口有单点故障的隐患、门户网站有被撰改的隐患。另外分局并没有实

施任何的防护措施，存在被黑客入侵的安全隐患；

2. 在政务内网中，市局和分局之间没有做访问控制，存在蠕虫病毒相互扩散的 可能。另外，如果黑客入侵了分局的政务内网后，可能进一步的向市局进行渗透攻击。

3. 原有的信息安全组织没有实施起来，没有制定安全总体策略；没有落实信息 安全责任人。导致信息安全管理没有能够自上而下的下发策略和制度，信息安全管理没有落到实处。

4. 通过安全评估，建立了基本的安全管理制度；但是这些安全管理制度还没有 落实到日常工作中，并且可能在实际的操作中根据实际的情况做一些修改。

专业资料整理

WORD格式

5. 没有成立安全应急小组，没有相应的应急事件预案；缺少安全事件应急处理 流

程与规范，也没有对安全事件的处理过程做记录归档。

6. 没有建立数据备份与恢复制度；应该对备份的数据做恢复演练，保证备份数 据

的有效性和可用性，在出现数据故障的时候能够及时的进行恢复操作。

7. 目前市局与分局之间的政务内网是租用天威的网络而没有其它的备用线路。 万

一租用的天威网络发生故障将可能导致市局与分局之间的政务内网网络中断。

通过信息安全风险评估，对发现的关于操作系统、数据库系统、网络设备、应用系统等等方面的漏洞， 并且由于当时信息安全管理中并没有规范的安全管理制度，也是出现操作系

统、 数据库系统、网络设备、应用系统等漏洞的原因之一。

为了达到对安全风险的长期有效的管理，我们建议建设 ISMS （信息安全管理体系），对安全

风险通过 PDCA 模型，输出为可管理的安全风险。

1.2.2 常见的信息系统面临的风险和威胁大致如下： 根据目前的安全威胁，企业的信息安全面临的问题是 信息安全仅作为后台数据的保障

前端业务应用和后端数据库信息安全等级不高

信息安全只是建立在简单的“封、堵”上，不利提升工作效率和协同办公 因此，对于企业来说，在新的 理的规划进行分期建设。

业务模式正在发生改变， 生产、研发等系统的实施， 信息安全应全面面向

应用，信息安全须前置，以适应业务的安全要求。

用户终端的多样化也应保持足够的安全。 数据集中化管控和网络融合后所需的安全要求。 数据中心业务分区模块化管理及灾备应急机制

IT 环境下，需要就如下的安全考虑，根据合

专业资料整理

WORD格式

1.3

设计目标

增强企业信息系统抵御安全风险的能

为企业设计完善的信息安全管理体系，

力，为企业生产及销售业务的健康发展提供强大的保障。

1. 通过对企业各 IT 系统的风险分析，了解企业信息系统的安全现状和存在的各种安全风险，明确未来的安全建设需求。

2. 完成安全管理体系规划设计， 涵盖安全管理的各个方面， 设计合理的建设 流程，满足中长期的安全管理要求。提供如下安全管理项目：

人员管理

规划制订和建设流程规划 安全运维管理及资产管理

3. 完成安全技术体系规划设计， 设计有前瞻性的安全解决方案， 在进行成本 / 效益分析的基础上，选用主流的安全技术和产品，建设主动、全面、高效的技 术防御体系，将企业面临的各种风险控制在可以接受的范围之内。 规划计划，在接下来的几年内分期建设，最终满足如下安全防护需求：

网络边界安全防护 安全管理策略

关键业务服务器的系统加固，入侵防护，关键文件监控和系统防护 网络和服务器安全防护及安全基线检查与漏洞检测 增强终端综合安全防护 强化内部人员上网行为管理

建设机密数据防泄漏和数据加密，磁盘加密 网络信任和加密技术防护

针对整体安全

专业资料整理

WORD格式

建设，强化容灾和备份管理

4. 加强企业内部的 IT 控制与审计，确保 IT 与法律、法规，上级监管单位的要求相符合，比如：

需要满足国家信息系统安全系统的安全检查要求需要满足国家《信息系统安全等级保护基本要求》

专业资料整理

WORD格式

存储着的重要的数据资源， 流动着经济建设和社会生活中重要的数据信息。

必须从硬件设施、软件系统、安全管理几方面，加强安全保障体系的建设，为电

子政务应用提供安全可靠的运行环境。

所以

2.1

第 2章

信息安全总体规划

设计目标、依据及原则

2.1.1 设计目标

电子政务网是深圳市电子政务业务的承载和体现，是电子政务的重要应用，

2.1.2 设计依据

《国家信息化领导小组关于我国电子政务建设指导意见》《国家信息化领导小组关于加强信息安全保障工作的意见》《电子政务总体框架》

《电子政务信息安全保障技术框架》

《电子政务信息安全等级保护实施指南》

《信息安全等级保护管理办法》

《信息技术安全技术信息技术安全性评估准则》

《计算机信息系统安全保护等级划分准则》

《电子计算机场地通用规范》

《计算机场地安全要求》

《计算机信息系统安全保密测评指南》

同时在评定其信息资产的价值等级时，也将参考

ISO17799/BS7799/ISO108/ISO13335/ISO7498-2等国际标准。

电子政务网将依据信息价值的保密性影响、 信息价值完整性影响、 信息价值的可用性影响等多个方面， 来对信息资产的价值等级进行划分为五级， 第一级为最低级，第五级为最高级。

专业资料整理

WORD格式

需求、风险、代价平衡的原则： 对任何信息系统，绝对安全难以达到，也不一定是必要的， 安全保障体系设计要正确处理需求、 风险与代价的关系， 做到安全性与可用性相容，做到技术上可实现，组织上可执行。

分级保护原则： 以应用为主导， 科学划分网络安全防护与业务安全保护的安全等级，并依据安全等级进行安全建设和管理，保证服务的有效性和快捷性。

最小特权原则：整个系统中的任何主体和客体不应具有超出执行任务所需权力以外的权力。

标准化与一致性原则： 电子政务网是一个庞大的系统工程， 其安全保障体系的设计必须遵循一系列的标准， 这样才能确保各个分系统的一致性， 使整个电子政务网安全地互联互通、信息共享。

多重保护原则： 任何安全措施都不是绝对安全的， 都可能被攻破。 但是建立一个多重保护系统， 各层保护相互补充， 当一层被攻破时， 其他层仍可保护系统的安全。

整体性和统一性原则： 一个大型网络系统的各个环节，包括设备、软件、数据、人员等，在网络安全中的地位和影响作用， 只有从系统整体的角度去统一看待、分析，才可能实现有效、可行的安全保护。

技术与管理相结合原则： 电子政务网是一个复杂的系统工程， 涉及人、技术、操作等要素，单靠技术或单靠管理都不可能实现。因此在考虑安全保障体系时，

必须将各种安全技术与运行管理机制、 人员思想教育与技术培训、 安全规章制度建设相结合。

统筹规划，分步实施原则： 由于规定、服务需求的不明朗，环境、时间的变化，安全防护与攻击手段的进步， 在一个比较全面的安全体系下， 可以根据网络的实际需要，先建立基本的的安全保障体系，保证基本的、必须的安全性。

随着今后网络应用和复杂程度的变化， 调整或增强安全防护力度， 保证整个网络最根本的安全需求。

动态发展原则： 要根据网络安全的变化不断调整安全措施， 适应新的网络环境，满足新的网络安全需求。

2.1.3

设计原则

电子政务网安全系统在整体设计过程中应遵循如下的原则：

专业资料整理

WORD格式

易操作性原则： 安全措施需要人去完成， 如果措施过于复杂， 对人的要求过

高，本身就降低了安全性；其次，措施的采用不能影响系统的正常运行。

适应性及灵活性原则： 安全措施必须能随着系统性能及安全需求的变化而变

化，要容易适应、容易修改和升级。

遵守有关法规： 在安全支撑平台设计和设备选型过程中，

销售应符合国家有关法律法规的规定，

通过建立建设 ISMS（信息安全管理体系），达到对安全风险的长期有效的管理，并且对于存在的安全风险/安全需求通过适用于 ISMS 的 PDCA

（ Plan-Do-Check-Act）模型，输出为可管理的安全风险。解决问题

当前的信息安全经过了一次完整的信息安全评估， 并且进行了相应的安全修复后，信息安全风险已经得到了比较有效的管理， 但是还是存在部分遗留的风险，以及其它的一些可预

系），然后通过向

满足需求和期望信息安全的输出（例如可管理的信息安全）

。

ISMS 输入的信息安全要求和期望经过必需的活动和过程产生

见的风险。在这里将会对这些安全问题进行处理。

门的销售许可证。同时安全产品应具有良好升级及售后维护。

涉及到其他安全产品的销售应具有主管部

涉及到密码产品的

2.2 总体信息安全规划方案

总体目标

2.2.1 信息安全管理体系

为了达到对信息安全进行管理，我们可以通过建立 ISMS（信息安全管理体

专业资料整理

WORD格式

策划建立 ISMS ：根据组织的整体方针和目标建立安全方针目标目的以及与

管理风险和改进信息安全相关的过程和程序以获得结果。

实施和运行 ISMS ：实施和运行安全方针控制过程和程序。

检查监视和评审 ISMS ：适用时根据安全方针目标和惯有经验评估和测量过

程业绩向管理层报告结果进行评审。

保持和改进

ISMS。

针对当前的信息安全问题， 我们可以视为是对信息安全的需求和期望， 所以我们可以把这些信息安全需求，提交到 ISMS（信息安全管理体系）的过程中，

进行处理。对于将来出现的信息安全问题，也可以提交到 ISMS（信息安全管理体系）的过程中，进行处理，并最终输出可被管理的信息安全。

所以对于信息安全的总体规划是： 首先建立 ISMS（信息安全管理体系），然后通过 ISMS 过程的 PDCA 模式处理当前的信息安全问题。 对于当前存在的信息安全问题，我们可以通过下面的四个阶段来解决：

策划建立 ISMS：建立信息安全管理系统， 包括建立安全管理组织、 制定总体安全策略。并且根据当前的信息安全问题，提出安全解决方案。

实施和运行 ISMS：根据当前的信息安全问题的安全解决方案进行实施，妥善的处理这些信息安全问题。

检查监视和评审 ISMS：通过专业的安全评估来检查信息安全问题是否得到了有效的管理。

ISMS ：根据管理评审结果采取纠正和预防措施以持续改进

专业资料整理

WORD格式

保持和改进 ISMS：根据安全事件处理经验教训和安全风险评估的结果，

落实各个部门信息安全负责人、

题，提出安全解决方案。

信息安全培训等等。 并且根据当前的信息安全问

2.2.1.1

对信息安全管理策略进行修改，对信息安全管理范围进行调整。

策划建立 ISMS

建立信息安全管理系统，包括建立安全管理组织、制定总体信息安全策略、

2.2.1.1.1 建立信息安全管理系统

信息安全风险管理体现在信息安全保障体系的技术、 组织和管理等方面。 在信息安全保障体系中，技术是工具，组织是运作，管理是指导，它们紧密配合，

共同实现信息安全保障的目标。 信息安全保障体系的技术、 组织和管理等方面都存在着相关

风险，需要采用信息安全风险管理的方法加以控制。

由于当前市的安全管理组织并没有真正运作起来， 所以没有在一个高度上来制定信息的安全策略， 因此没有落实各个部门信息安全的责任人， 没有对各个部门信息安全人员的职责进行定义； 也没有制定安全管理文档； 导致安全管理没有落到实处。另外需要对网络用户进

行安全教育和培训， 使他们具备基本的网络安全知识。

2.2.1.1.2 根据安全问题提出解决方案

针对以下两个问题，通过建立信息安全管理系统来解决，见《 2.2.1.1.1 建立信息安全管理系统》

1. 原有的信息安全组织没有实施起来，没有制定安全总体策略；没有落实

专业资料整理

WORD格式

信息安全责任人。导致信息安全管理没有能够自上而下的下发策略和制度，信息安全管理没有落到实处。

2. 通过安全评估，建立了基本的安全管理制度；但是这些安全管理制度还没有落

实到日常工作中，并且可能在实际的操作中根据实际的情况做一些修改。

基础保障体系

针对以下两个问题， 通过建立基础保障体系来解决， 同时根据这些基础的安全设备建立信息监控与审计体系。

1. 在政务中，市局建立了基本的安全体系，但是还需要进一步的完善，例如政务外

网总出口有单点故障的隐患、门户网站有被撰改的隐患。另外分局并没有实施任何的防护措施，存在被黑客入侵的安全隐患；

2. 在政务内网中，市局和分局之间没有做访问控制，存在蠕虫病毒相互扩散的可能。另

外，如果黑客入侵了分局的政务内网后，可能进一步的向市局进行渗透攻击。

建设信息安全基础保障体系， 是一项复杂的、 综合的系统工程， 是坚持积极

防御、综合防范方针的具体体现。 目前电子政务基础保障体系已经初具规模， 但是还存在个

监控审计体系设计的实现， 能完成对电子政务网所有网上行为的监控。 通过此体系监控到的数据能对电子政务网络的使用率、 数据流量、应用提供比例、 安全事件记录、 网络设备的动作情况、 网络内人员的网上行为记录、 网络整体风险 别问题，需要进一步的完善。

监控审计体系

专业资料整理

WORD格式

情况等这些情况有较全面的了解。

应急响应体系

针对下面的这个问题，通过建立应急响应体系来解决。

没有成立安全应急小组，没有相应的应急事件预案；缺少安全事件应急处理流程与规范，也没有对安全事件的处理过程做记录归档。

电子政务网络承载了大量的政务网络应用， 因此网络系统的应急响应功能变得更加关键，需要建立一个应急响应体系。 它的主要功能是采取足够的主动措施解决各类安全事件。 安全事件可以被许多不同的事件触发并破坏单个电子政务系统或整个网络的可用性，完整性、数据的保密性。因此需要特别注重响应、处理安全事件，因为安全事件可能带来重大破坏。 那些引发或可能引发本地小范围破坏的安全问题应该就地解决，以避免加重整个政务网络的

安全风险。

灾难备份与恢复体系

针对下面的这个个问题，通过建立灾难备份与恢复体系来解决。

1. 没有建立数据备份与恢复制度；应该对备份的数据做恢复演练，保证备份数据的有效

性和可用性，在出现数据故障的时候能够及时的进行恢复操作。

2. 目前市局与分局之间的政务内网是租用天威的网络而没有其它的备用线路。万一租用

的天威网络发生故障将可能导致市局与分局之间的政务内网网络中断。

为了保证深圳市政务网的正常运行， 抵抗包括地震、火灾、水灾等自然灾难，以及战争、恐怖袭击、网络攻击、设备系统故障和人为破坏等无法预料的突发事

专业资料整理

WORD格式

件造成的损害， 因此应该建立一个灾难备份与恢复体系。

下面三个部分： 政务内网线路的冗余备份、

在上面策划建立 ISMS 的过程中，我们提出了根据当前信息安全问题处理的

解决方案，包括：

建立基础保障体系

建立信息监控与审计体系

建立应急服务体系

服务与保障体系来保障系统的正常运行。

服务保障是指保护和防御信息及信息系统，

可控性、不可否认性等特性。服务保障体系则包括：风险评估、软硬件升级、设

备安全巡检、设备日常维护等等。

确保其可用性、 完整性、保密性、

建立灾难备份与恢复体系

上述的四个安全体系将在这个阶段进行实施。 库系统的备份与恢复。

主机服务器的系统备份与恢复、

数据

在这个体系里主要包括

2.2.1.2 实施和运行 ISMS

2.2.1.3 检查监视和评审 ISMS

同时建立

通过专业的安全评估来检查信息安全问题是否得到了有效的管理。

专业资料整理

WORD格式

略进行修改，对信息安全管理范围进行调整。

总结从其它组织或组织自身的安全经验得到的教训。

以必须对安全保障建设分阶段实施。 工程实施的渐进性、 逐步性，根据先后缓急，初步将安全实施计划分为以下四个阶段：

第一阶段：策划建立

建立信息安全管理系统

建立安全管理组织并落实各个部门信息安全责任人

建立基础保障体系

建立监控审计体系

建立应急响应体系

建立灾难备份与恢复体系

第三阶段：检查监视和评审

ISMS

根据当前信息安全的问题制定解决方案

第二阶段：实施和运行

ISMS ISMS

确保改进活动达到了预期的目的。

2.2.1.4

保持和改进

ISMS

根据安全事件处理经验教训和安全风险评估的结果，对信息安全管理策

2.2.2 分阶段建设策略

安全风险长期存在，并不断变化，这导致安全保障建设没办法一步到位。所

根据当前信息安全的问题解决方案进行安全实施，包括：

专业资料整理

WORD格式

通过建立服务保障体系中的信息风险安全评估、

当前信息安全问题的处理情况

第四阶段：保持和改进

ISMS

设备巡检等评审

根据安全事件处理经验教训和安全风险评估的结果， 对信息安全管理策略进行修改，对信息安全管理范围进行调整。

专业资料整理

WORD格式

因为缺乏有效的监控和管理而不能及时发现，

也给网络的安全带来巨大挑战；

安 不但

全是一个整体， 任何一部分的薄弱都会使得整体的安全防御能力大打折扣， 使得组织重金建设的边界安全防御体系失去作用，

第 3章

分阶段安全建设规划

传统的安全设计理念基本上仍处于忙于封堵现有系统漏洞的阶段， 的称之为“修修补补”或“围、追、堵、截”

有人形象

，基于这样的设计理念建成的安全

体系只能是局部的、被动的安全，而无法提供整体的、主动的安全；同时也缺乏 有效的管理和监控手段， 使得信息安全状况令人担忧， 穷、系统漏洞众多， 另外经过很多国际权威机构的调查， 全部安全事件的

表现在病毒、 蠕虫层出不 内部发生的安全事件占

70 ％甚至更多，比如内部的误用和嗅探、攻击等滥用行为，都

同时还会严重影响组织业务的

正常运营，从经济、法律、声誉等多方面对企业造成负面影响。

新的安全形势下需要新的思维和新的解决方案。 安全是一个整体的、 动态的过程，需要全面深入的考虑， 那种头痛医头、 脚痛医脚的方法已无法满足用户日益复杂的安全需求，要解决这些问题，归根结底取决于信息安全保障体系的建设。

“企业面对的是一个以信息为核心的世界” 信息是企业的核心，规划开始前，这一点必

包括终端、服务器、存储、网络在内的基础设施， 乃至数据中心和容灾中心，这些都是信息数据的产生、存储、传输、处理的载体，围绕信息处理和流转所搭建的基础设施，同时也是 IT 系统和管理人员为保证信息和数据的安全、可用的最基础和重要的管理对象；

信息为核心层面：

信息和数据是整个企业业务运行中最为核心的部分， 所有的业务运转都围绕着信息而进

为了保障信息的安全， 不能仅仅停留在单独建设的分散的安全上， 最终安全的目标是要实现安全的治理，安全的目标则是为企业定制打造所需的技术运维、技术管理体系，帮助企

业提升整体安全管理水平。 3.1

规划原则

行，而信息的保障、安全存储流转都是信息保护所关注的重点；

安全治理层面：

须要有清晰认识，我们可以从三个层面来看：

基础架构层面：

IT 管理的基础、核心和重点内容，应该有相应的信息安全建设和保障内容与之配套，因此以信息为核心的 IT 管理视角，也同样是当前进行信息安全规划的出发点。为此，我们规划企业的整体安全的时候，应遵循如下原则：

专业资料整理

WORD格式

整体规划，应对变化

安全建设规划要有相对完整和全面的框架结构， 能应对当前安全威胁的变化趋势。 立足现有，提升能力

在现有 IT 建设基础上， 完善安全基础架构建设， 通过优化和调整挖掘潜力，提升整

体安全保障能力。

着眼信息，重点防范

以安全治理为工作目标， 着重提升安全整体水平， 对目前企业和主管部门关注的，以

明确了本次规划的目标， 我们就可以进一步确立一个针对企业信息安全建设的工作框

架

及法律法规要求的内容进行重点关注。

3.2 安全基础框架设计

附图 1. 安全工作总体框架

上述总体框架中， 通过基础架构安全、 信息安全、安全治理三个层次的工作内容，来达成我们的总体规划目标； 通过技术、管理、运维三大支撑体系为支柱，实现企业在安全体系建设、 法规遵从与落实、 安全风险管控和安全高效管理四个

专业资料整理

WORD格式

信息安全主体目标的不断治理和改善。

专业资料整理

WORD格式

4.1 建设目标

建立信息安全管理体系

建立安全管理组织并落实各个部门信息安全责任人

（ ISMS）的要求，指出实施组织需遵循某一风险评估来鉴定最适宜的控制对象，并对自己

1) 定义信息安全策略

的需求采取适当的控制。 下面将介绍应该如何建立信息安全管理体系的步骤，如下图所示：

根据当前信息安全的问题制定解决方案

第 4章 初期规划

4.2 建立信息安全管理体系

信息安全管理系统的规范，详细说明了建立、实施和维护信息安全管理系统

图 1 建立信息安全管理体系的步骤

专业资料整理

WORD格式

信息安全策略是组织信息安全的最高方针，需要根据内各个部门的实际情况，

分别制订不同的信息安全策略。例如，开发部、数据部、系统都分别有一个信息安全策略，适用于其部门内所有员工。信息安全策略应该简单明了、通俗易懂，并形成书面文件， 发给内的所有成员。 同时要对所有相关员工进行信息安全策略的培训， 对信息安全负有特殊责任的人员要进行特殊的培训， 以使信息安全方针真正植根于内所有员工的脑海并落实到实际工作中。

在安全管理文档的制定中，我们对如下的文档进行了定义：

《安全管理文档 -- 业务系统软件安全技术标准》

《安全管理文档 -- 网络信息发布制度》

《安全管理文档 -- 通用网络服务安全标准》

《安全管理文档 -- 网络连接策略和标准》

《安全管理文档 -- 邮件系统安全管理标准》

《安全管理文档 -- 用户单位用户帐号和口令管理规程》

《安全管理文档 -- 信息管理人员的安全手册》

《安全管理文档 -- 用户单位信息系统安全策略》

《安全管理文档 --机房管理制度》

《安全管理文档 --系统管理员手册》

《安全管理文档 --安全事件处理流程》

《安全管理文档 --病毒防治管理规定》

《安全管理文档 --网络管理员手册》

《安全管理文档 --备份和恢复管理制度》

(2) 定义 ISMS（信息安全管理系统）的范围

ISMS（信息安全管理系统）的范围确定需要重点进行信息安全管理的领域，

需要根据自己的实际情况，在整个范围内、或者在个别部门或领域构架

在本阶段，应将划分成不同的信息安全控制领域，

行适当的信息安全管理。

(3) 进行信息安全风险评估

信息安全风险评估的复杂程度将取决于风险的复杂程度和受保护资产的敏

感程度，所采用的评估措施应该与组织对信息资产风险的保护需求相一致。 风险

以易于对有不同需求的领域进

ISMS。

专业资料整理

WORD格式

评估主要对 ISMS范围内的信息资产进行鉴定和估价，然后对信息资产面对的各

种威胁和脆弱性进行评估， 同时对已存在的或规划的安全管制措施进行鉴定。

险评估主要依赖于信息和系统的性质、

素，在进行信息资产风险评估时，需要将直接后果和潜在后果一并考虑。

(4) 信息安全风险管理

根据风险评估的结果进行相应的风险管理。 信息安全风险管理主要包括以下几种措施：

降低风险：在考虑转嫁风险前，应首先考虑采取措施降低风险；

避免风险：有些风险很容易避免， 例如通过采用不同的技术、 更改操作流程、采用简单的技术措施等；

转嫁风险：通常只有当风险不能被降低或避免、且被第三方（被转嫁方）接受时才被采用。 一般用于那些低概率、 但一旦风险发生时会对产生重大影响的风险。

接受风险：用于那些在采取了降低风险和避免风险措施后， 出于实际和经济方面的原因，只要进行运营，就必然存在并必须接受的风险。

(5) 确定管制目标和选择管制措施。

管制目标的确定和管制措施的选择原则是费用不超过风险所造成的损失。由

于信息安全是一个动态的系统工程， 应实时对选择的管制目标和管制措施加以校验和调整，以适应变化了的情况，使的信息资产得到有效、经济、合理的保护。

(6) 准备信息安全适用性声明。

信息安全适用性声明记录了内相关的风险管制目标和针对每种风险所采取

的各种控制措施。 信息安全适用性声明的准备， 一方面是为了向内的员工声明面对信息安全风险的态度， 在更大程度上则是为了向外界表明的态度和作为， 以表明已经全面、系统地审

当前信息中心成立的安全领导小组， 负责制定安全策略、落实信息安全责任，并下发到下面的几个部门。 但是，这个组织结构并没有实施起来， 实际上是各个 视了其信息安全系统， 并将所有有必要管制的风险控制在能够被接受的范围内。

4.3

建立安全管理组织

使用信息的目的、 所采用的系统环境等因

风

专业资料整理

WORD格式

部门的信息安全策略和安全管理或者没有实施， 或者不全面；并且相关的信息安全责任也没有明确的定义。可以说信息安全体系并没有建立起来。

因此，我们建议设立一个首席安全官来代替原来的安全领导小组， 负责对信息安全制定总体安全策略、 监督和协调各项安全措施在的执行情况、 设立各个部门的信息安全责任人，

落实信息安全责任。

以下是各个责任人的职责定义：

1. ＣＳＯ：首席安全官 负责对信息安全制定总体安全策略，监督和协调各项安全措施在

的执行情况，并确定安全工作的标准和主动性，包括开发部、数据部、系统部等部门。 2. 系统运维管理员：系统运维部门管理人员 3. 系统管理员：系统权限管理员

对整个系统运维部门进行管理。

对所有系统进行管理、建设、维护的相关人

员，需要有广泛的知识面，丰富的理论和实际操作经验。

4. 网络管理员：网络设备管理员 所有的网络设备、安全设备的维护人员，需要有丰富的

理论和实际操作经验。

5. 数据库管理员：网络设备管理员 所有的应用数据库的管理和维护人员，需要有丰富的

理论和实际操作经验。

6. 文档管理员：资料管理员 记录各类设备、 系统操作，维护、整理相关文档，以及日志备

份等相关信息。

7. 机房管理员：设备物理安全保障员 记录机房进出相关记录，包括系统管理员、系统用

户以及文档管理员的相关记录；对计算机硬件进行检修、维护；对物理环境的维护等。

专业资料整理

WORD格式

8. 开发管理员：软件安全保障员 监督软件开发工作的安全性措施实施情况，制定软件开

发的安全标准。

安全应急小组：安全事件紧急响应小组

应急响应中心组长由系统运维部主

管担任，组员包括：系统管理员，网络管理员，数据库管理员。

专业资料整理

WORD格式

建立基础保障体系

建立监控审计体系

建立应急响应体系

5.3 5.2

建立灾难备份与恢复体系

建立基础保障体系 通过拓扑图描述安全现状。 5.1

建设目标

第 5章 中期规划

根据当前信息安全的问题解决方案进行安全实施，包括：

建立监控审计体系

建设电子政务的审计监控体系就是要建设完整的责任认定体系和健全授权管理体系，

任认定在这里所处的地位：起到完善信任体系中痕迹保留以及事后追查的作用，

是和身份认证、 授权管理并列的保证网络内网安全的三大重要措施。

中的责任认定， 传统的手段是通过查阅应用程序的操作日志、

操作日志、通过审计其他设备的操作日志来反映合法操作行为和非法行为的责任

认定问题。这部分的责任认定体系是整个完整的责任认定体系中的一部分。 它不能解决所有的责任认定问题。 相反地，由于各产品缺乏有效的协调性， 记录的信息无法互通， 所以在很大的程度上， 这部分分散的、 凌乱的信息在工作中很难被有效使用，一直是整个信息安全建设

中的一个软肋。

通过调用数据库的

在信任体系

从技术上加强了电子政务安全管理，从而保证了电子政务的安全性。

一、审计监控体系为电子政务建立了一个完整的责任认定体系

1) 在信任体系中对合法操作行为的责任认定

责任认定体系设计的定位就是所有的操作者都是不可信任的， 这就决定了责

2) 对网络中非法操作行为的责任认定

专业资料整理

WORD格式

对于非法操作的责任认定，现有的手段是通过审计监管技术来实现责任认定。由于这部分的责任认定针对性强，目的明确，又有响应实时、警告及时等特点，所以在电子政务建设中越来越被重视。 它的作用与审计机关在国家经济体系中的审计行为有着非常类似的共性 -- 同样是对非法的操作行为进行审计。 所不同的是，审计机关是对非法的经济行为进行审计， 而信息安全强审计是对电子政务网络中的非法操作行为进行审计。 他的作用已经决定了它是责任认

定体系中最重要的一个组成部分，对整个责任认定体系起着决定性的作用。

3) 以强审计为核心建立完整的责任认定体系

要解决一个完整的责任认定体系， 我们不仅要考虑到对合法操作行为的责任认定，更要考虑到对非法操作行为的责任认定。 同时我们又要兼顾网络中各个设备审计信息的全面收集， 以及对审计数据的集中化管理以及分析。 以强审计为核心的责任认定体系，我们通过对网络组成要素的审计，通过对应用系统的审计，通过对安全产品的审计，通过对主机、服务器、网络、数据库等网络中所有资源的审计。构建了一个完整的责任认定体系。 同时，由于强审计系统强大的审计分析功能，可以及时有效的反映责任认定数据。 确保了责任认定体系强有力、 完整等特性。

二、健全授权管理体系

在授权管理中，对网络资源的授权管理是非常重要的问题。 不解决这个问题，就无法建立

任何非法接入的企图都是能够得到有效控制和管理的；

网络内各主机之间的访问和连接都是得到授权并可以控制；

所有能够连入计算机的访问的权限都是有限的、 受控的和经过授权的。

起完整的授权管理体系。 审计监控体系从根本上对全网进行授权监督管理。主要有以下内容： 1) 网络连接的授权管理

必须保证所有连接入网络的计算机都是合法的；

专业资料整理

WORD格式

2) 主机的授权管理

对网络内的用户使用光驱 ( 含刻录光驱 ) 、软驱、 USB口授以权限并统一输入输出通道，从而保证数据进出的安全性。

对主机中重要文件资源的使用实行严格的授权管理。

对于有统一出口的网络或者物理隔离于公网的网络通过拨号上网 ( 包括ADSL拨号、 MODEM拨号、 GPRS拨号、手机拨号等 ) 的方式存在诸多的安全隐患，必须严格的

对网络打印机进行访问控制； 对终端访问服务器的进行授权管理； 授权与。

3) 数据库的授权管理

对操作者向数据库中字符、段的访问进行授权。

4) 服务器的授权管理

对重要文件的进行授权管理；

5) 对网络打印机的权限分配、控制与管理

对网络打印机进行权限分配；

通过审计监控体系完成对网络资源的授权管理既是构建完善的授权管理基础设施的重要组成部分，同时也是建立健全责任认定体系的必要前提。

系统管理员，网络管理员，数据库管理员。 案，安全应急过程文档归档。 5.4

建立应急响应体系

应急响应体系的建立主要有三个方面， 成立安全应急小组， 制定安全应急预

安全应急小组

成立安全应急小组，应急响应中心组长由系统运维部主管担任，组员包括：

专业资料整理

WORD格式

系统运维部

系统管理员

门主管

数据库管理

员

确保及时恢复。

系，组织应急计划的评审、组织各类安全问题的交流等。

（ 2）

系统层安全事件的处理。

（ 3）

全事件的处理。

（ 4）

全事故时配合系统管理员和网络管理员处理安全事件以及恢复应用

性进行分类，对每一类又按照其发作范围和危害程度进行分级。

件一览表。

1）常见的安全事件列表：

系统崩溃；

最后制作安全事

制定安全应急预案的过程：

（ 1） 预先定义深圳市的各种安全事件

通过调研，预测可能会遇到的安全事件，将其一一列出定义，并根据其相关 系统的数据。

数据库管理员：数据库的备份与恢复，维护应用系统的数据，出现安 网络管理员：维护网络正常运行，网络的安全配置和维护，网络层安 系统管理员：操作系统和应用系统的备份与恢复，系统的安全配置，

应急响应小组成员职责： （ 1）

组长：协调应急响应小组其它成员的工作，协调与其它部门的接口关

网络管理员

应急响应小组的职能：对网络安全问题能积极预防、及时发现、快速响应、

安全应急预案

专业资料整理

WORD格式

用户在奇怪的时间和地点登录；

猜口令的企图；

非授权用户使用有特权的服务；

系统时钟改变；

系统不知原因的重新启动；

活动较少的账号突然活动明显增加；

用大量变化的号码对用户进行呼叫；

非编程人员利用编译工具与开发工具；

新的或陌生的文件；

账号变化，查明是否有入侵者；

文件长度或数据内容发生变化；

企图写系统，尤其是特权用户的行为；

数据被修改或删除；

拒绝服务；

系统性能严重下降，有奇怪的进程运行并占用大量的 CPU处理时间；网络性能严重下降，用户反映无法正常使用服务；发现有人在不断强行登录系统；

系统中出现奇怪的新用户帐号；

管理员收到来自其它系统管理员的警告信，指出系统可能被威胁等。

2）常见的安全事件类型：

发现后门软件、间谍软件；

计算机病毒；

程序化入侵；

发现入侵者；

破坏和删除文件；

拒绝服务攻击等。

3）划分安全事件的级别。

考察安全事件发作的范围：

是否是多点事件；

专业资料整理

WORD格式

在一个点上有多少台计算机被影响；

检查涉密信息是否被攻击；

事件的入侵点在什么地方，确定攻击来自的方向；

安全事件发生的时间和持续时间；

处理该安全事件需要什么资源等。

考察安全事件的危害性：

是否造成了损失，确定损失的大小；

判断信息失密发生与否及其程度；

判断事件是否构成犯罪；

分析安全事件采用的手法；

分析安全事件制造者类型；

对不可预测的安全事件，也要制订通用的应急计划。

应急计划包括：

a. 安全事件序号、名称、类别、级别

b. 安全事件处理目标

事件处理目标是消除当前安全事件造成的威胁，避免和减少损失，健全和改善信息系统的安全措施。

c. 需要保护的信息

将的信息划分密级，一般分为五级：公开、内部、秘密、机密、绝密。确定对哪类密级的信息采取哪类保护措施。

d. 设计安全事件处理过程

针对本安全事件，设计现场处理流程。

e. 设计安全事件处理的验证方法

设计验证安全事件是否排除的方法。

（ 3） 安全事件处理流程

本次风险评估项目中已经定义了安全事件处理流程，所以该流程参见《安全

分析事件的潜在危险。

（ 2） 为安全事件制订应急计划（预案）

对分类分级的安全事件制订应急计划，并予以评审。

专业资料整理

WORD格式

安全事件处理完毕， 系统恢复正常运行后， 要对整个事故的相关文档进行归档，总结经验教训，并形成一个《安全事件调查研究报告》 。报告中应详细描述整个事件的经过，记录紧急响应事件的起因、 处理过程、建议改进的安全方案等。应急响应中心人员必须进行事后调查， 评估事件损失， 调查事件原委， 追究事件责任，编写《安全事件调查研究报告》 。

应急响应中心人员对照事件处理过程， 发现应急计划的不足，完善应急计划。

对事件原因进行彻底分析，找到确切根源，制订消除安全事件根源的措施，

备份：

系统业务数据库管理员和系统管理员应向备份系统管理员提供备份需求，

方协商备份策略，诸如备份范围、备份时间、备份频率、保存期限、备份拷

贝数目等。

备份系统管理员根据双方协商形成的备份需求书面文档，

相应的备份策略，并更新《备份信息汇总表》

在备份系统保护之下的文件系统在做调整（诸如目录名称更换）或者增加、

减小备份内容时，应该向备份系统管理员提交备份申请表，具体描述调整的

内容。

备份系统管理员根据备份申请表的要求，在备份系统上调整备份策略，并更

新《备份信息汇总表》 。完成备份策略调整工作后，核对备份申请表，并归

。

在备份系统上建立

双

通过拓扑图来表达建立冗余线路的基本做法。 保证同一安全事件不再发生。 5.5

建立灾难备份与恢复体系

管理文档—安全事件处理流程》

安全应急过程文档

政务内网线路冗余

服务器系统备份与恢复

专业资料整理

WORD格式

档备案。

对于某些先前不在备份策略保护内的数据，且需要临时保护的，系统管理员可向备份系统管理员提交备份申请表，具体描述备份需求。

备份系统管理员根据备份申请表的要求，建立临时备份策略对数据进行备

份。完成备份工作后，跟数据库 / 系统管理员核对备份申请表，并归档备案。对于每日全备份的数据， 在磁带中保留期限为两个星期， 过期后磁带被覆盖。对于每周全备份，每个星期六或者星期日做一次全备份，备份数据保留时间

为三个月，下一个星期一、星期二将每周备份的所有磁带迁移到带库外，异地存放，确保机房发生灾难后，数据丢失不超过一个星期。

对于每月全备份，备份数据保留时间为半年，做两份磁带拷贝，其中一份磁带留在本地，另外一份磁带异地存放。

在备份策略发生更变时，应该相应的更新《备份信息汇总表》文档，保持该文档的内容与备份系统内的策略内容同步。

恢复：

相关人员在需要恢复文件系统类型的数据时， 应当向备份系统管理员提交恢复申请表，描述需要恢复数据所在的主机、数据所在路径、数据大概备份时间、要求恢复的目的地的目录路径等。

备份系统管理员根据恢复申请表的要求，查询备份系统进行恢复。

备份：

系统业务数据库管理员和系统管理员应向备份系统管理员提供备份需求，

方协商备份策略，诸如备份范围、备份时间、备份频度、保存期限、备份拷

贝数目等。

备份系统管理员根据双方协商形成的备份需求书面文档，

相应的备份策略，并更新《备份信息汇总表》

在备份系统保护之下的文件系统在做调整（诸如目录名称更换）或者增加、

减小备份内容时，应该向备份系统管理员提交备份申请表，具体描述调整的

内容。

。

在备份系统上建立

双

完成恢复工作后，通知相关人员及核对恢复申请表，并归档备案。

数据库系统备份与恢复

专业资料整理

WORD格式

备份系统管理员根据备份申请表的要求，在备份系统上调整备份策略，并更新《备份信息汇总表》 。完成备份策略调整工作后，核对备份申请表，并归档备案。

对于每日全备份的数据， 在磁带中保留期限为两个星期， 过期后磁带被覆盖。

对于每周全备份，每个星期六或者星期日做一次全备份，备份数据保留时间为三个月，下一个星期一、星期二将每周备份的所有磁带迁移到带库外，异地存放，确保机房发生灾难后，数据丢失不超过一个星期。

对于每月全备份，备份数据保留时间为半年，做两份磁带拷贝，其中一份磁带留在本地，另外一份磁带异地存放。

在备份策略发生更变时，应该相应的更新《备份信息汇总表》文档，保持该文档的内容与备份系统内的策略内容同步。

恢复：

相关人员在需要恢复数据库类型的数据时， 应当向备份系统管理员提交恢复申请表，描述需要恢复数据所在的主机、数据库服务器名称及库名、数据大概备份时间、要求恢复的目的地等。

数据库管理员要提供数据库恢复的环境、空间，授权，满足数据库恢复的权限。

备份系统管理员根据恢复申请表的要求，查询备份系统进行恢复。

完成恢复工作后，通知相关人员及核对恢复申请表，并归档备案。

专业资料整理

WORD格式

全问题的处理情况

根据安全事件处理经验教训和安全风险评估的结果， 对信息安全管理策略进行修改，对信息安全管理范围进行调整。 6.1

建设目标

通过建立服务保障体系中的信息风险安全评估、

设备巡检等评审当前信息安

第 6章 三期规划

6.2

建立服务保障体系

实施信息安全风险评估

信息安全是一个动态的系统工程， 随着新技术的产生， 新的安全漏洞的发现，原本是安全的系统也会变得不安全。 所以深圳市必须建立专业的安全风险评估体系。安全风险评估体系包括周期性的安全评估和当引入新的业务系统或者网络或者业务系统发生重大改变时的风险评估。

风险评估需要周期性地进行， 并通过实施风险安全控制使的整体安全保持在一个较高的水平。 全面的风险评估每年进行一次。 风险评估的执行者可以是信息安全部门或者是在信息安全部门的组织下由安全服务提供商执行。 当引入新的业务系统或者网络或者业务系统发生重大改变时， 需要立刻进行局部或者整体的风险评估。

风险评估的方法是首先选定某项资产、评估资产价值、挖掘并评估资产面临

的威胁、挖掘并评估资产存在的弱点、

标的风险。

风险评估内容包括：

物理层风险评估：机房、设备、办公、线路、环境；系统层风险评估：系统漏洞、配置缺陷；

网络层风险评估：架构安全、设备漏洞、设备配置缺陷；应用层风险评估：软件漏洞、安全功能缺陷；管理层风险评估：组织、策略、技术管理。

评估该资产的风险、 进而得出整个评估目

专业资料整理

WORD格式

风险评估的过程包含以下

1. 识别资产并进行确定资产价值赋值：在确定的评估范围内识别要保护的资产，并对资产进行分类，根据资产的安全属性进行资产价值评估。参见《信息资产安全价值评估列表》 。

2. 评估对资产的威胁：评估在当前安全环境中资产能够受到的威胁来源和威胁的可能性。参见《信息系统安全威胁评估报告》

3. 评估资产威胁相关的弱点：评估威胁可能利用的资产的弱点及其严重程度。参见《信息系统安全脆弱性评估报告》

4. 评估资产安全风险：根据威胁和弱点评估的结果，评估资产受到的风险，计算资产的安全风险。参见《信息安全风险综合评估分析报告》根据风险评估结果，

在本次的安全评估过程中，我们制定了如下的安全巡检

《机房管理制度》

《系统管理员手册》

《网络管理员手册》

通过上述的这些管理制定来定期的对机房的物理设备、 操作系统、网络设备等等进行日常维护，确保这些设备的正常运行。

6.3

信息安全是一个动态的系统工程，安全管理制度也有一个不断完善的过程。

经过安全事件的处理和安全风险评估，

之处。根据安全事件处理经验教训和安全风险评估的结果，

进行修改，对信息安全管理范围进行调整。

对信息安全管理策略

会发现原有的安全管理制定中存在的不足

保持和改进 ISMS

/日常维护制度：

制定对风险实施安全控制的计划。

4 个步骤：

实施设备安全巡检 / 日常维护

专业资料整理

WORD格式

7.3 角。 7.1

综述

网络安全工程是一个系统工程，是一个牵一发而动全身的工程，

也是一个一把手工程，只有领导的高度重视，才能做好这个项目。

同时，网络安全工程也是一个人人参与的工程， 络资源使用的客户都进行安全控制，

需要所有涉及网

无死

第7章

总结

才能确保网络安全无漏洞、

7.2 效果预期

1. 内网服务器的安全可控程度； 2. 内网客户端的行为控制；

3. 内网各应用系统的安全防护级别提升； 4. 园区网络整体安全级别提升。

后期

根据 PDCA 的循环，做好后期的查缺补漏。

专业资料整理

WORD格式

附：

本文档的书写引用了：

GB/T 20008-2005 信息安全技术 操作系统安全评估准GB/T 20272-2006 则信息安全技术 操作系统安全技术

GB/T 20282-2006

要求 GB/T 19716-2005 信息安全技术 信息系统安全工程管理要

求信息安全技术 信息安全管理实用规则

专业资料整理

WORD格式

还来不及享受美丽的锦瑟华年，就已经到了白发迟暮，一生匆匆而过。生命，就是这样匆匆，还来不及细细品味，就只剩下了回忆。

生命匆匆，累了就选择放下，别让自己煎熬痛苦，别让自己不堪重负。放下该放下的，心才会释放重负，人生才能安然自如。

人生就是一个口袋，里面装的东西越多，前行的脚步就越沉重。总觉得该得到的还没有得到，该拥有的却已经失去，苦苦追寻的依然渺茫无踪。心累，有时候是为了生存，有时候是为了 攀比。

只有放下羁绊前行脚步的重担，放下阴霾缭绕的负面情绪，才能感受到 然开朗，领悟到 “一蓑烟雨任平生 ”的超然物外。 人生太匆匆，累了，就放一放吧，何苦要执拗于一时的成败得失！

很多时候，我们用汗水滋养梦想，可是，梦想是丰满的，现实是骨感的。每个人都渴望成功的鲜花围绕自己，可是，谁都不是常胜将军，都会猝不及防地遭遇人生的滑铁卢。唉声叹气只 会让自己裹足不前，一蹶不振只能让自己沉沦堕落。

如果真的不能承受其重，就放一放，重新审视前方的道路，选择更适合自己的方向。

有些东西，本就如同天上的浮云，即使竭尽全力，也未必能揽之入怀。或者即使得到，也未必能提高幸福指数。所以与其为得不到的东西惶惶终日，不如选择放下，为心减负，轻松前行。

一人难如百人愿 , 不是所有的人，都会欣赏和喜欢自己。所以，我们不必曲意逢迎他人的目光，不用祈求得到所有人的温柔以待。

真正在意你的人，不会对你无情无义，不在意你的人，你不过是轻若鸿毛的可有可无。做最好的自己，静静地守着一江春水的日子，让心云淡风轻，怡然自若。

人生本过客，何必千千结。不是所有的相识都能地久天长，不是所有的情谊都能地老天荒。有些人终究是走着走着就散了，成为我们生命中的过客。

爱过，恨过，都会装点我们原本苍白的人生，感谢曾经在我们生命中出现过的人。如果无缘继续红尘相伴，就选择放下吧，给自己和对方都留一段美好的回忆和前行的空间。

“柳暗花明又一村 ”的豁

专业资料整理

WORD格式

鱼总是自由自在地在水中快乐游弋，是因为鱼只有七秒钟的记忆，只在一瞬间，鱼便忘记了所有的不愉快。所以，忘记所有的不愉快，才能为美好的情绪留出空间，才能让心情灿然绽放。

专业资料整理

WORD格式

林清玄说：一尘不染不是不再有尘埃，而是尘埃让它飞扬，我自做我的阳光。是呀，世事喧嚣纷扰，放下纷扰，做一个阳光快乐的人，做自己快乐的主人！

还来不及享受美丽的锦瑟华年，就已经到了白发迟暮，一生匆匆而过。生命，就是这样匆匆，还来不及细细品味，就只剩下了回忆。

生命匆匆，累了就选择放下，别让自己煎熬痛苦，别让自己不堪重负。放下该放下的，心才会释放重负，人生才能安然自如。

人生就是一个口袋，里面装的东西越多，前行的脚步就越沉重。总觉得该得到的还没有得到，该拥有的却已经失去，苦苦追寻的依然渺茫无踪。心累，有时候是为了生存，有时候是为了 攀比。

只有放下羁绊前行脚步的重担，放下阴霾缭绕的负面情绪，才能感受到

“柳暗花明又一村

”的豁然开朗，领悟到

“一蓑烟雨任平生

”的超然物外。

人生太匆匆，累了，就放一放吧，何苦要执拗于一时的成败得失！

很多时候，我们用汗水滋养梦想，可是，梦想是丰满的，现实是骨感的。每个人都渴望成功的鲜花围绕自己，可是，谁都不是常胜将军，都会猝不及防地遭遇人生的滑铁卢。唉声叹气只 会让自己裹足不前，一蹶不振只能让自己沉沦堕落。

如果真的不能承受其重，就放一放，重新审视前方的道路，选择更适合自己的方向。

有些东西，本就如同天上的浮云，即使竭尽全力，也未必能揽之入怀。或者即使得到，也未必能提高幸福指数。所以与其为得不到的东西惶惶终日，不如选择放下，为心减负，轻松前行。

一人难如百人愿 , 不是所有的人，都会欣赏和喜欢自己。所以，我们不必曲意逢迎他人的目光，不用祈求得到所有人的温柔以待。

真正在意你的人，不会对你无情无义，不在意你的人，你不过是轻若鸿毛的可有可无。做最好的自己，静静地守着一江春水的日子，让心云淡风轻，怡然自若。

人生本过客，何必千千结。不是所有的相识都能地久天长，不是所有的情谊都能地老天荒。有些人终究是走着走着就散了，成为我们生命中的过客。

爱过，恨过，都会装点我们原本苍白的人生，感谢曾经在我们生命中出现过的人。如果无缘继续红尘相伴，就选择放下吧，给自己和对方都留一段美好的回忆和前行的空间。

鱼总是自由自在地在水中快乐游弋，是因为鱼只有七秒钟的记忆，只在一瞬间，鱼便忘记了所有的不愉快。所以，忘记所有的不愉快，才能为美好的情绪留出空间，才能让心情灿然绽放。

林清玄说：一尘不染不是不再有尘埃，而是尘埃让它飞扬，我自做我的阳光。是呀，世事喧嚣纷扰，放下纷扰，做一个阳光快乐的人，做自己快乐的主人！

专业资料整理

WORD格式

专业资料整理

WORD格式

专业资料整理