【51CTO.com 獨(dú)家特稿】隨著網(wǎng)絡(luò)與信息技術(shù)的發(fā)展，尤其是互聯(lián)網(wǎng)的廣泛普及和應(yīng)用，網(wǎng)絡(luò)正深刻影響并改變著人類(lèi)的生活和工作方式。越來(lái)越多的政府、企業(yè)建立了依賴(lài)于網(wǎng)絡(luò)的業(yè)務(wù)信息系統(tǒng)，比如門(mén)戶(hù)網(wǎng)站、電子政務(wù)、電子商務(wù)、網(wǎng)上銀行、網(wǎng)絡(luò)辦公等；互聯(lián)網(wǎng)企業(yè)提供給用戶(hù)各類(lèi)Web應(yīng)用服務(wù)，如提供信息發(fā)布、信息搜索、電子購(gòu)物、網(wǎng)上游戲等業(yè)務(wù)，便利了工作，也極大豐富了人們的生活?；ヂ?lián)網(wǎng)對(duì)社會(huì)各行各業(yè)產(chǎn)生了巨大深遠(yuǎn)的影響，與此同時(shí)，信息安全的重要性也在不斷提升。

設(shè)計(jì)依據(jù)及參照標(biāo)準(zhǔn)  

◆公安部《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》 

◆公安部《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》 

◆公安部《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》 

◆GB/T 9387.2-1995 開(kāi)放系統(tǒng)互連基本參考模型第2部分：安全體系結(jié)構(gòu) 

◆ISO 10181:1996　信息技術(shù) 開(kāi)放系統(tǒng)互連開(kāi)放系統(tǒng)安全框架   

◆GB/T 18237-2000 信息技術(shù) 開(kāi)放系統(tǒng)互連通用高層安全 

◆GB 17859-1999 計(jì)算機(jī)信息系統(tǒng) 安全保護(hù)等級(jí)劃分準(zhǔn)則 　 

◆GB/T 18336-2001 信息技術(shù) 安全技術(shù) 信息技術(shù) 安全性評(píng)估準(zhǔn)則 

◆ISO/ISE 17799: 2000 /BS7799 

◆IATF《信息保障技術(shù)框架》

需求分析

系統(tǒng)現(xiàn)狀需求

趙明網(wǎng)站對(duì)外提供的服務(wù)及業(yè)務(wù)系統(tǒng)通過(guò)負(fù)載均衡設(shè)備實(shí)現(xiàn)與互聯(lián)網(wǎng)的連接；需要完善整個(gè)體系，就需要良好的等級(jí)保護(hù)措施以解決趙明根本的安全防御及安全管理問(wèn)題。  

等級(jí)保護(hù)技術(shù)需求

要保證信息系統(tǒng)的安全可靠，必須全面了解信息系統(tǒng)可能面臨的所有安全威脅和風(fēng)險(xiǎn)。威脅是指可能對(duì)信息系統(tǒng)資產(chǎn)或所在組織造成損害事故的潛在原因；威脅雖然有各種各樣的存在形式，但其結(jié)果是一致的，都將導(dǎo)致對(duì)信息或資源的破壞，影響信息系統(tǒng)的正常運(yùn)行，破壞提供服務(wù)的有效性、可靠性和權(quán)威性。

任何可能對(duì)信息系統(tǒng)造成危害的因素，都是對(duì)系統(tǒng)的安全威脅。威脅不僅來(lái)來(lái)自人為的破壞，也來(lái)自自然環(huán)境，包括各種人員、機(jī)構(gòu)出于各自目的的攻擊行為，系統(tǒng)自身的安全缺陷以及自然災(zāi)難等。信息系統(tǒng)可能面臨的威脅的主要來(lái)源有：

威脅的主要來(lái)源視圖

威脅發(fā)生的可能性與信息系統(tǒng)資產(chǎn)的吸引力、資產(chǎn)轉(zhuǎn)化為報(bào)酬的容易程度、威脅的技術(shù)含量、薄弱點(diǎn)被利用的難易程度等因素密切相關(guān)。

被動(dòng)攻擊威脅與風(fēng)險(xiǎn)：網(wǎng)絡(luò)通信數(shù)據(jù)被監(jiān)聽(tīng)、口令等敏感信息被截獲等。

主動(dòng)攻擊威脅與風(fēng)險(xiǎn)：掃描目標(biāo)主機(jī)、拒絕服務(wù)攻擊、利用協(xié)議、軟件、系統(tǒng)故障、漏洞插入或執(zhí)行惡意代碼（如：特洛依木馬、病毒、后門(mén)等）、越權(quán)訪問(wèn)、篡改數(shù)據(jù)、偽裝、重放所截獲的數(shù)據(jù)等。

鄰近攻擊威脅與風(fēng)險(xiǎn)：毀壞設(shè)備和線路、竊取存儲(chǔ)介質(zhì)、偷窺口令等。

分發(fā)攻擊威脅與風(fēng)險(xiǎn)：在設(shè)備制造、安裝、維護(hù)過(guò)程中，在設(shè)備上設(shè)置隱藏的的后門(mén)或攻擊途徑、

內(nèi)部攻擊威脅與風(fēng)險(xiǎn)：惡意修改數(shù)據(jù)和安全機(jī)制配置參數(shù)、惡意建立未授權(quán)連接、惡意的物理?yè)p壞和破壞、無(wú)意的數(shù)據(jù)損壞和破壞。

等級(jí)保護(hù)管理需求

安全是不能僅僅靠技術(shù)來(lái)保證，單純的技術(shù)都無(wú)法實(shí)現(xiàn)絕對(duì)的安全，必須要有相應(yīng)的組織管理體制配合、支撐，才能確保信息系統(tǒng)安全、穩(wěn)定運(yùn)行。管理安全是整體安全中重要的組成部分。信息系統(tǒng)安全管理雖然得到了一定的落實(shí)，但由于人員編制有限，安全的專(zhuān)業(yè)性、復(fù)雜性、不可預(yù)計(jì)性等，在管理機(jī)構(gòu)、管理制度、人員安全、系統(tǒng)建設(shè)、系統(tǒng)運(yùn)維等安全管理方面存在一些安全隱患：

1. 管理機(jī)構(gòu) 

◆需要建立安全職能部門(mén)，設(shè)置安全管理崗位，配備必要的安全管理人員、網(wǎng)絡(luò)管理人員、系統(tǒng)管理人員； 

◆需要配備相應(yīng)的安全管理員、網(wǎng)絡(luò)管理員、系統(tǒng)管理員；

2. 管理制度  

◆需要制定信息安全工作的總體方針、政策性文件和安全策略等，說(shuō)明機(jī)構(gòu)安全工作的總體目標(biāo)、范圍、方針、原則、責(zé)任等； 

◆需要建立安全管理制度，對(duì)管理活動(dòng)進(jìn)行制度化管理，制定相應(yīng)的制定和發(fā)布制度； 

◆需要對(duì)安全管理制度進(jìn)行評(píng)審和修訂，不斷完善、健全安全管理制度； 

◆需要各功能部門(mén)協(xié)調(diào)機(jī)制，進(jìn)行必要的溝通和合作； 

◆需要建立相關(guān)工作的審批和授權(quán)機(jī)制，進(jìn)行必要活動(dòng)的審批和授權(quán)；

◆需要建立產(chǎn)品采購(gòu)，系統(tǒng)測(cè)試和驗(yàn)收制度，確保安全產(chǎn)品的可信度和產(chǎn)品質(zhì)量；

3. 人員安全 

◆需要對(duì)人員的考核進(jìn)行嚴(yán)格的管理，提高人員的安全技能和安全意識(shí)； 

◆需要對(duì)人員進(jìn)行安全意識(shí)的教育和培訓(xùn)，提高人員的安全意識(shí)； 

◆需要對(duì)第三方人員訪問(wèn)進(jìn)行嚴(yán)格的控制，確保第三方人員訪問(wèn)的安全；

4. 系統(tǒng)建設(shè)  

◆需要具有設(shè)計(jì)合理、安全網(wǎng)絡(luò)結(jié)構(gòu)的能力； 

◆需要任何變更控制和設(shè)備重用要申報(bào)和審批，并對(duì)其實(shí)行制度化的管理； 

◆需要對(duì)信息系統(tǒng)進(jìn)行合理定級(jí)，并進(jìn)行備案管理； 

◆需要安全產(chǎn)品的可信度和產(chǎn)品質(zhì)量； 

◆需要信息安全事件實(shí)行分等級(jí)響應(yīng)、處置；

5. 系統(tǒng)運(yùn)維 

◆需要對(duì)信息資產(chǎn)進(jìn)行分類(lèi)標(biāo)識(shí)、分級(jí)管理； 

◆需要對(duì)網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)和應(yīng)用系統(tǒng)進(jìn)行安全管理； 

◆需要用戶(hù)具有鑒別信息使用的安全意識(shí)； 

◆需要定期地對(duì)通信線路進(jìn)行檢查和維護(hù)； 

◆需要硬件設(shè)備、存儲(chǔ)介質(zhì)存放環(huán)境安全，并對(duì)其的使用進(jìn)行控制和保護(hù)； 

◆需要對(duì)支撐設(shè)施、硬件設(shè)備、存儲(chǔ)介質(zhì)進(jìn)行日常維護(hù)和管理； 

◆需要提供足夠的使用手冊(cè)、維護(hù)指南等資料； 

◆需要在事件發(fā)生后能采取積極、有效的應(yīng)急策略和措施； #p#

方案總體設(shè)計(jì)

設(shè)計(jì)思路 

◆深度防御的思想。本方案在對(duì)趙明網(wǎng)絡(luò)平臺(tái)可能面臨的安全威脅進(jìn)行風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上，結(jié)合安全區(qū)域的劃分，從物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層和管理層五個(gè)安全層面進(jìn)行了整體的安全設(shè)計(jì)，綜合多種有效的安全防護(hù)措施，進(jìn)行多層和多重防御部署，實(shí)現(xiàn)縱深防御。 

◆等級(jí)保護(hù)的思想。本方案依據(jù)《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》（中辦發(fā)［2003］27號(hào)）以及公安部、國(guó)家保密局、國(guó)家密碼管理委員會(huì)辦公室、國(guó)務(wù)院信息化工作辦公室聯(lián)合發(fā)“關(guān)于印發(fā)《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)》的通知”（公通字［2004］66號(hào)）“信息安全等級(jí)保護(hù)管理辦法”（公通字[2007]43號(hào)）文件精神，結(jié)合《信息系統(tǒng)安全保護(hù)等級(jí)基本要求》中的技術(shù)要求，提出了等級(jí)保護(hù)實(shí)施策略。 

◆動(dòng)態(tài)發(fā)展的思想。本方案在滿(mǎn)足趙明網(wǎng)站目前基本的、急需的安全需求的基礎(chǔ)上，對(duì)未來(lái)幾年趙明網(wǎng)站在物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全和管理安全等方面提出合理的安全解決方案，以應(yīng)對(duì)不斷變化的網(wǎng)絡(luò)安全環(huán)境。

等級(jí)劃分

根據(jù)《信息安全等級(jí)保護(hù)管理辦法》（公通字[2007]43號(hào)）文件的要求，信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)按照《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》具體實(shí)施等級(jí)保護(hù)工作。具體實(shí)施上要求各信息系統(tǒng)運(yùn)營(yíng)、使用單位根據(jù)《信息安全等級(jí)保護(hù)管理辦法》和《信息安全等級(jí)保護(hù)定級(jí)指南》確定信息系統(tǒng)的安全保護(hù)等級(jí)，將信息系統(tǒng)安全等級(jí)保護(hù)工作落實(shí)到位。

根據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》和《信息系統(tǒng)安全等級(jí)保護(hù)評(píng)估指南》中規(guī)定的五個(gè)安全保護(hù)等級(jí)，結(jié)合《信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南》，信息系統(tǒng)等級(jí)保護(hù)中的等級(jí)定義如下：  

根據(jù)等級(jí)保護(hù)相關(guān)管理文件，信息系統(tǒng)的安全保護(hù)等級(jí)分為以下五級(jí)：

第一級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害，但不損害國(guó)家安全、社會(huì)秩序和公共利益。

第二級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對(duì)社會(huì)秩序和公共利益造成損害，但不損害國(guó)家安全。

第三級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成損害。

第四級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成嚴(yán)重?fù)p害。

第五級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)國(guó)家安全造成特別嚴(yán)重?fù)p害。

趙明網(wǎng)站是安全性要求較高，規(guī)劃為1級(jí)自主保護(hù)級(jí)進(jìn)行保護(hù)是適宜的。如下表所示：

建設(shè)方法

信息系統(tǒng)的安全等級(jí)保護(hù)是依據(jù)信息系統(tǒng)的安全等級(jí)情況保證它們具有相應(yīng)等級(jí)的基本安全保護(hù)能力，不同安全等級(jí)的信息系統(tǒng)要求具有不同的安全保護(hù)能力。

實(shí)現(xiàn)基本安全保護(hù)能力將通過(guò)選用合適的安全措施或安全控制來(lái)保證，根據(jù)等級(jí)保護(hù)要求，可以使用的安全措施或安全控制依據(jù)實(shí)現(xiàn)方式的不同，分為技術(shù)要求和管理要求兩大類(lèi)。

技術(shù)類(lèi)安全要求通常與信息系統(tǒng)提供的技術(shù)安全機(jī)制有關(guān)，主要是通過(guò)在信息系統(tǒng)中部署軟硬件并正確的配置其安全功能來(lái)實(shí)現(xiàn)；管理類(lèi)安全要求通常與信息系統(tǒng)中各種角色參與的活動(dòng)有關(guān)，主要是通過(guò)控制各種角色的活動(dòng)，從政策、制度、規(guī)范、流程以及記錄等方面做出規(guī)定來(lái)實(shí)現(xiàn)。

基本技術(shù)要求從物理安全、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)安全、應(yīng)用安全和數(shù)據(jù)安全幾個(gè)層面提出安全要求；基本管理要求從安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理幾個(gè)方面提出安全要求。

技術(shù)要求與管理要求是確保信息系統(tǒng)安全不可分割的兩個(gè)部分，兩者之間既互相獨(dú)立，又互相關(guān)聯(lián)，在一些情況下，技術(shù)和管理能夠發(fā)揮它們各自的作用；在另一些情況下，需要同時(shí)使用技術(shù)和管理兩種手段，實(shí)現(xiàn)安全控制或更強(qiáng)的安全控制；大多數(shù)情況下，技術(shù)和管理要求互相提供支撐以確保各自功能的正確實(shí)現(xiàn)。等級(jí)保護(hù)安全建設(shè)模型和安全方案框架如下所示：  

等級(jí)保護(hù)安全建設(shè)模型  

等級(jí)保護(hù)安全方案模型     #p#

等級(jí)保護(hù)管理體系建設(shè)

除了采用信息安全技術(shù)措施控制信息安全威脅外，安全管理措施也是必不可少的手段，所謂“三分技術(shù)，七分管理”就是這個(gè)道理。安全技術(shù)措施和安全管理措施可以相互補(bǔ)充，共同構(gòu)建全面、有效的信息安全保障體系?！缎畔⑾到y(tǒng)安全等級(jí)保護(hù)基本要求》指出，安全管理體系主要考慮如下方面的內(nèi)容： 

◆安全管理機(jī)構(gòu) 

◆安全管理制度 

◆人員安全管理 

◆系統(tǒng)建設(shè)管理 

◆系統(tǒng)運(yùn)維管理

安全管理機(jī)構(gòu)

《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》在崗位設(shè)置、人員配備、授權(quán)和審批、溝通和合作、審核和檢查等方面對(duì)安全管理機(jī)構(gòu)提出了具體的要求。趙明網(wǎng)站應(yīng)該建立專(zhuān)門(mén)的安全職能部門(mén)，配備專(zhuān)門(mén)的安全管理人員，管理外部網(wǎng)站系統(tǒng)的信息安全管理工作，同時(shí)對(duì)安全管理人員的活動(dòng)進(jìn)行指導(dǎo)。

環(huán)境安全保障措施建議

定期檢查機(jī)房的溫度和濕度

數(shù)據(jù)通信設(shè)備的長(zhǎng)期穩(wěn)定運(yùn)行是需要一個(gè)良好的環(huán)境，為保證路由器、交換機(jī)等設(shè)備正常工作和延長(zhǎng)使用壽命，機(jī)房?jī)?nèi)需維持一定的溫度和濕度。若機(jī)房?jī)?nèi)長(zhǎng)期濕度過(guò)高，易造成絕緣材料絕緣不良甚至漏電，有時(shí)也易發(fā)生材料機(jī)械性能變化、金屬部件銹蝕等現(xiàn)象；若相對(duì)濕度過(guò)低，絕緣墊片會(huì)干縮而引起緊固螺絲松動(dòng)，同時(shí)在干燥的氣候環(huán)境下，易產(chǎn)生靜電，危害路由器上的CMOS電路；溫度過(guò)高則危害更大，它會(huì)使路由器的可靠性大大降低，長(zhǎng)期高溫還會(huì)影響其壽命，過(guò)高的溫度將加速絕緣材料的老化過(guò)程。影響設(shè)備的穩(wěn)定運(yùn)行。所以建議每天檢查機(jī)房?jī)?nèi)的溫度和濕度，如果發(fā)現(xiàn)機(jī)房空調(diào)損壞，要及時(shí)的修理，減少設(shè)備在不良環(huán)境下的工作時(shí)間。

路由器機(jī)房?jī)?nèi)工作環(huán)境溫度、濕度的測(cè)量點(diǎn)，指在路由器機(jī)架前后沒(méi)有保護(hù)板時(shí)測(cè)量，距地板以上1.5m和距路由器架前方0.4m處測(cè)量的數(shù)值；

短期工作條件指連續(xù)不超過(guò)48小時(shí)和每年累計(jì)不超過(guò)15天。

定期檢查機(jī)房電源

電源的穩(wěn)定對(duì)于設(shè)備穩(wěn)定運(yùn)行至關(guān)重要，電壓的波動(dòng)過(guò)大，使設(shè)備的部分器件經(jīng)常工作在高電壓或低電壓，導(dǎo)致設(shè)備的壽命下降，器件工作不穩(wěn)定，對(duì)于設(shè)備的運(yùn)行造成較大的影響，建議定期（建議半年或一年一次）檢查機(jī)房的電源輸入是否正常，電壓的波動(dòng)是否在正常范圍內(nèi)，電壓的波動(dòng)范圍見(jiàn)各個(gè)產(chǎn)品的輸入電壓，如果發(fā)現(xiàn)不在正常范圍內(nèi)，及時(shí)對(duì)電源進(jìn)行整改。

建議定期檢查UPS等備用電源是否能夠正常工作，功率能否滿(mǎn)足設(shè)備需要，由于這些備用電源長(zhǎng)期不用，所以發(fā)生故障后不易被維護(hù)人員及時(shí)察覺(jué)，同時(shí)機(jī)房設(shè)備逐漸的增加，可能導(dǎo)致UPS等備用電源輸出的功率不能滿(mǎn)足機(jī)房設(shè)備的需求，這些備用電源的完好與否，功率是否滿(mǎn)足需要需要進(jìn)行定期的檢查，保證在主用的輸入電源中斷后，設(shè)備仍然能夠正常工作。

定期檢查設(shè)備的接地電阻

良好的接地系統(tǒng)是路由器穩(wěn)定可靠運(yùn)行的基礎(chǔ)，是路由器防雷擊、抗干擾和防靜電的重要保障。用戶(hù)必須為路由器提供良好的接地系統(tǒng)，接地電阻如果不正常，會(huì)對(duì)設(shè)備的防雷、抗干擾，防靜電造成很大影響，對(duì)于各個(gè)器件都會(huì)產(chǎn)生不良影響，甚至損壞重要器件。建議定期（每半年或一年一次）檢查接地線是否完好，接地電阻是否正常，接地的標(biāo)準(zhǔn)見(jiàn)各個(gè)產(chǎn)品的接地要求，在檢查時(shí)，對(duì)于設(shè)備的接地，機(jī)柜的接地，地線的腐蝕情況，地排的腐蝕情況都要進(jìn)行全面的檢查。

定期檢查設(shè)備相關(guān)線纜

建議定期（每1－2月檢查一次）檢查設(shè)備的電源線、尾纖、接地線纜是否完好，有沒(méi)有被腐蝕，有沒(méi)有被鼠咬，以保證業(yè)務(wù)不會(huì)因?yàn)榫€纜的損壞而受到影響。

定期檢查設(shè)備的風(fēng)扇

設(shè)備的風(fēng)扇如果運(yùn)行不正常，會(huì)導(dǎo)致設(shè)備內(nèi)的溫度快速上升，它會(huì)使路由器的可靠性大大降低，長(zhǎng)期高溫還會(huì)影響其壽命，過(guò)高的溫度將加速絕緣材料的老化過(guò)程，導(dǎo)致設(shè)備器件損壞，建議每天注意觀察設(shè)備風(fēng)扇是否產(chǎn)生告警，同時(shí)可以使用相關(guān)命令來(lái)查詢(xún)風(fēng)扇是否在位。

如果風(fēng)扇框上的防塵網(wǎng)上積累了過(guò)多的灰塵，或者風(fēng)扇運(yùn)轉(zhuǎn)不順暢，都會(huì)影響風(fēng)扇的通風(fēng)排熱效果，建議每月檢查一次設(shè)備風(fēng)扇運(yùn)轉(zhuǎn)是否良好，是否有隱患，風(fēng)扇框上的防塵網(wǎng)是否積累了過(guò)多灰塵。

安全管理制度

《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》在管理制度、制定和發(fā)布、評(píng)審和修訂等三個(gè)方面對(duì)安全管理制度提出了要求。趙明網(wǎng)站應(yīng)根據(jù)外部網(wǎng)站系統(tǒng)的實(shí)際情況，在信息安全領(lǐng)導(dǎo)小組的負(fù)責(zé)下，組織相關(guān)人員制定和發(fā)布信息安全工作的總體方針、政策，說(shuō)明信息安全工作的總體目標(biāo)、范圍、方針、原則和責(zé)任。并定期進(jìn)行評(píng)審和修訂。

登陸口令強(qiáng)壯性

加強(qiáng)設(shè)備登錄口令的強(qiáng)壯性，以保證登錄口令的保密性。

建議登錄口令長(zhǎng)度不小于8位，由英文字母、數(shù)字和特殊符號(hào)共同組成。

口令中不建議使用超過(guò)3位連續(xù)或相同的數(shù)字或英文字母。

不建議使用地名、人名、各種日期、英文單詞作為口令。

用戶(hù)名和密碼不能有相關(guān)性，不能從用戶(hù)名推測(cè)出密碼。

各個(gè)級(jí)別的用戶(hù)名和密碼要單獨(dú)設(shè)備，不能有相關(guān)性。

登陸口令的經(jīng)定期更改

建議定期更換一次登錄口令，以保證登錄口令的保密性。

對(duì)于管理級(jí)和配置級(jí)口令，建議每2個(gè)月更換一次，口令在10次內(nèi)不得重復(fù)。

對(duì)于監(jiān)控級(jí)口令，建議每6個(gè)月更換一次，口令在5次內(nèi)不得重復(fù)。

對(duì)于參觀級(jí)口令，視情況而定。

前后2個(gè)口令中相同位置的字符相同的不得多于2個(gè)；

口令不得有明顯的意義修改；

不能從前一個(gè)口令的用戶(hù)名和密碼猜測(cè)出后一個(gè)口令的用戶(hù)名和密碼。

分級(jí)分權(quán)的口令管理

對(duì)于不同級(jí)別的維護(hù)人員提供不同級(jí)別的登錄口令，尤其是管理級(jí)的口令，要嚴(yán)格控制能夠獲取該口令的人員范圍。

建議定期（每月一次）檢查各個(gè)口令的授權(quán)人員，在掌握登錄口令的人員發(fā)生工作調(diào)動(dòng)的時(shí)候，及時(shí)修改設(shè)備登錄口令。

對(duì)于設(shè)備的軟、硬件操作、配置要登記備案

對(duì)于每一次的對(duì)設(shè)備的硬件、軟件、數(shù)據(jù)配置的操作，建議都由相關(guān)的授權(quán)人員進(jìn)行授權(quán)，之后在嚴(yán)格按照申請(qǐng)的項(xiàng)目進(jìn)行操作，并都進(jìn)行記錄，以便在日后進(jìn)行查閱。

對(duì)于每一次的網(wǎng)絡(luò)異常進(jìn)行登記備案

建議對(duì)于每一次網(wǎng)絡(luò)的異常都進(jìn)行詳細(xì)的記錄

記錄的內(nèi)容：

故障的發(fā)生時(shí)間、現(xiàn)象、原因、恢復(fù)時(shí)間、恢復(fù)方法。

以便于日后進(jìn)行分析總結(jié)。

對(duì)于某一個(gè)節(jié)點(diǎn)發(fā)生的故障，進(jìn)行分析，必要時(shí)進(jìn)行全網(wǎng)的預(yù)警，采取統(tǒng)一的應(yīng)對(duì)措施，防止其他節(jié)點(diǎn)再次出現(xiàn)類(lèi)似的故障。

在設(shè)備外保存設(shè)備當(dāng)前的版本、數(shù)據(jù)配置和日志信息

設(shè)備的版本和數(shù)據(jù)配置文件除了在設(shè)備上進(jìn)行保存外，建議在設(shè)備外另行保存一份。以備不時(shí)之需。

對(duì)于版本，在進(jìn)行升級(jí)后，及時(shí)將另行保存的版本同步更新。

對(duì)于數(shù)據(jù)配置，由于更新得比較頻繁，建議定期（每半個(gè)月）更新。

建議定期（2－3個(gè)月一次）將設(shè)備上的日志文件下載到其他地方，以備日后查找使用。

機(jī)房的安全管理建議

機(jī)房應(yīng)有物理出入控制措施，如門(mén)禁，警衛(wèi)等，人員和設(shè)備進(jìn)入敏感區(qū)域必須經(jīng)過(guò)審批和登記。

機(jī)房?jī)?nèi)部不允許撥號(hào)上網(wǎng)或其他對(duì)外網(wǎng)絡(luò)連接方式，如藍(lán)牙和無(wú)線連接。

非機(jī)房管理員（包括第三方人員）進(jìn)入機(jī)房，需提出申請(qǐng)，經(jīng)機(jī)房主管批準(zhǔn)后，并有公司員工（授權(quán)用戶(hù)）全程陪同。

非機(jī)房工作人員進(jìn)出機(jī)房必須登記姓名、工作單位、進(jìn)（出）入時(shí)間、事由、陪同人等信息。并保存3個(gè)月以上時(shí)間。

機(jī)房必須維護(hù)機(jī)房物理訪問(wèn)授權(quán)情況的列表，機(jī)房管理者必須至少每6個(gè)月驗(yàn)證一次訪問(wèn)權(quán)限人員列表。

人員安全管理

人員安全管理要求在人員的錄用、離崗、考核、培訓(xùn)以及第三方人員管理上，都要考慮安全因素。

系統(tǒng)建設(shè)管理   

《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》在系統(tǒng)建設(shè)管理階段針對(duì)系統(tǒng)定級(jí)、安全方案設(shè)計(jì)、產(chǎn)品采購(gòu)、自行軟件開(kāi)發(fā)、外包軟件開(kāi)發(fā)、工程實(shí)施、測(cè)試驗(yàn)收、系統(tǒng)交付 、系統(tǒng)備案、安全測(cè)評(píng)、安全服務(wù)商選擇等等方面提出了具體的要求。目前，系統(tǒng)定級(jí)、系統(tǒng)備案的工作已經(jīng)或即將完成。工程實(shí)施、測(cè)試驗(yàn)收、系統(tǒng)交付等方面需要在產(chǎn)品購(gòu)買(mǎi)后進(jìn)行。而其他的一些方面，如自行軟件開(kāi)發(fā)、外包軟件開(kāi)發(fā)等，這里不涉及。在安全服務(wù)商選擇方面，我們建議趙明網(wǎng)站系統(tǒng)的相關(guān)領(lǐng)導(dǎo)，選擇有實(shí)力，有信譽(yù)的專(zhuān)業(yè)安全服務(wù)廠商。

安全運(yùn)維管理規(guī)范

《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》在環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備管理、監(jiān)控管理、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、變更管理、備份與恢復(fù)管理、安全事件處置、應(yīng)急預(yù)案管理等13個(gè)方面對(duì)系統(tǒng)運(yùn)維管理進(jìn)行了詳細(xì)的要求。是等級(jí)保護(hù)管理體系建設(shè)最為重要的部分。

系統(tǒng)運(yùn)維管理方面，建議通過(guò)內(nèi)部管理人員維護(hù)和采用專(zhuān)業(yè)安全廠商的安全服務(wù)相結(jié)合的方式來(lái)實(shí)現(xiàn)。

在一定程度上說(shuō)，安全服務(wù)是一種專(zhuān)業(yè)經(jīng)驗(yàn)服務(wù)。安全服務(wù)提供商長(zhǎng)期的服務(wù)經(jīng)驗(yàn)積累、對(duì)行業(yè)的深刻理解、處理安全問(wèn)題（事件）的最佳做法、科學(xué)的安全思維方式、正確的安全思維方法都是為用戶(hù)提供完善安全解決方案的動(dòng)力來(lái)源?？紤]到趙明網(wǎng)站系統(tǒng)目前的實(shí)際，建議主要考慮漏洞掃描、安全檢查、滲透測(cè)試、安全加固、應(yīng)急響應(yīng)、安全通告、風(fēng)險(xiǎn)評(píng)估服務(wù)和安全培訓(xùn)服務(wù)。