2000年證券網上委托系統(tǒng)方案安全評測總結

1、等級保護實施技術環(huán)節(jié)說明,,任衛(wèi)紅2007年7月,根據《管理辦法》，信息安全等級保護的實施工作包括信息系統(tǒng)定級與評審、信息系統(tǒng)安全建設或者改建、對信息系統(tǒng)定期的等級測評與安全自查、辦理備案手續(xù)并提供相關材料、接受公安機關、國家指定的專門部門監(jiān)督檢查、選擇使用符合條件的信息安全產品、選擇符合條件的等級保護測評機構等，其中涉及信息系統(tǒng)運營使用單位/主管部門需要作較多技術工作的環(huán)節(jié)是系統(tǒng)定級和系統(tǒng)建設或改建。《實施指南》從系統(tǒng)的生命周期

2、角度對等級保護實施過程提供了具體的操作指導。,前言,實施指南概述,實施指南介紹和描述了實施信息系統(tǒng)等級保護過程中涉及的階段、過程和需要完成的活動，通過對過程和活動的介紹，使讀者了解對信息系統(tǒng)實施等級保護的流程方法，以及不同的角色在不同階段的作用等。,實施階段,等級變更,局部調整,信息系統(tǒng)定級,總體安全規(guī)劃,安全設計與實施,安全運行維護,信息系統(tǒng)終止,實施指南描述特點,為了便于用戶使用，《實施指南》分章介紹5個實施階段，以不同的節(jié)介紹和描

3、述本階段所要進行的主要安全過程，以及該過程所包含的活動，包括活動目標、參與角色，活動中包含的子活動，活動過程參照的等級保護對應標準，活動的輸入和輸出等內容。在每個實施階段中，如果過程具有順序性，將用流程圖的形式表述過程的執(zhí)行方式，如果沒有順序性，則用框圖分別表述每一個階段的過程 。,實施指南描述特點,階段過程活動子活動例如:信息系統(tǒng)定級信息系統(tǒng)分析系統(tǒng)識別和描繪識別信息系統(tǒng)的基本信息識別信息系統(tǒng)的管理框架…信息系統(tǒng)

4、劃分,定級階段相關技術環(huán)節(jié)行業(yè)定級指導意見定級對象確定定級過程,定級階段,根據《管理辦法》第十條：信息系統(tǒng)運營、使用單位應當依據本辦法和《信息系統(tǒng)安全等級保護定級指南》確定信息系統(tǒng)的安全保護等級。有主管部門的，應當經主管部門審核批準?？缡』蛘呷珖y(tǒng)一聯(lián)網運行的信息系統(tǒng)可以由主管部門統(tǒng)一確定安全保護等級。根據《關于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》（以下簡稱《定級通知》）要求：各行業(yè)主管部門要根據行業(yè)特點提出指導本地

5、區(qū)、本行業(yè)定級工作的指導意見。,定級階段-關于行業(yè)定級指導意見,為什么需要行業(yè)對定級提出指導意見行業(yè)的職能不同信息系統(tǒng)在行業(yè)內所發(fā)揮的作用不同信息系統(tǒng)被破壞后對國家和社會的危害后果不同行業(yè)主管部門比運營使用單位具有更高的站位、更宏觀的視野,定級階段-關于行業(yè)定級指導意見,行業(yè)定級指導意見的意義：貫徹四部委會簽的《管理辦法》闡明本行業(yè)實施等級保護工作的政策和方針制定本行業(yè)定級工作的階段計劃統(tǒng)一本行業(yè)對定級要素賦值規(guī)范,定級

6、階段-關于行業(yè)定級指導意見,定級工作的指導意見應包括：對定級對象確定的指導符合哪些條件的信息系統(tǒng)的等級保護客體是國家安全、哪些是公共利益/社會秩序。。。對不同類型的等級保護客體，本行業(yè)主要關注哪些危害后果對于每一類等級保護客體，符合哪些條件可以判斷為一般損害、哪些是嚴重損害、哪些是非常嚴重損害,定級階段-關于行業(yè)定級指導意見,對《定級指南》中有關概念的補充說明：三種客體對客體侵害程度,定級階段-關于行業(yè)定級指導意見,三種受侵

7、害的客體體現了三種不同層次、不同覆蓋范圍的社會關系。國家安全利益體現了國家層面、與全局相關的國家政治安全、軍事安全、經濟安全、社會安全、科技安全和資源環(huán)境安全等方面利益。社會秩序包括社會的政治、經濟、生產、生活、科研、工作等各方面的正常秩序。公共利益是指不特定的社會成員所共同享有的，維持其生產、生活、教育、衛(wèi)生等方面的利益。合法權益是法律確認的并受法律保護的公民、法人和其他組織所享有的一定的社會權利和利益，,定級階段-關于行業(yè)定級

8、指導意見,關于國家安全重要的國家事務處理系統(tǒng)、國防工業(yè)生產系統(tǒng)和國防設施的控制系統(tǒng)等屬于影響國家政權穩(wěn)固和國防實力的信息系統(tǒng)；廣播、電視、網絡等重要新聞媒體的發(fā)布或播出系統(tǒng)，其受到非法控制可能引發(fā)影響國家統(tǒng)一、民族團結和社會安定的重大事件；處理國家對外活動信息的信息系統(tǒng)；處理國家重要安全保衛(wèi)工作信息的信息系統(tǒng)和重大刑事案件的偵查系統(tǒng)；尖端科技領域的研發(fā)、生產系統(tǒng)等影響國家經濟競爭力和科技實力的信息系統(tǒng)，以及電力、通信、能源、交通運輸、

9、金融等國家重要基礎設施的生產、控制、管理系統(tǒng)等。,定級階段-關于行業(yè)定級指導意見,關于社會秩序各級政府機構的社會管理和公共服務系統(tǒng)，如財政、金融、工商、稅務、公檢法、海關、社保等領域的信息系統(tǒng)，也包括教育、科研機構的工作系統(tǒng)，以及所有為公眾提供醫(yī)療衛(wèi)生、應急服務、供水、供電、郵政等必要服務的生產系統(tǒng)或管理系統(tǒng)。,定級階段-關于行業(yè)定級指導意見,關于公共利益借助信息化手段為社會成員提供使用的公共設施和通過信息系統(tǒng)對公共設施進行進行管理

10、控制都應當是要考慮的方面，例如：公共通信設施、公共衛(wèi)生設施、公共休閑娛樂設施、公共管理設施、公共服務設施等。公共利益與社會秩序密切相關，社會秩序的破壞一般會造成對公共利益的損害。,定級階段-關于行業(yè)定級指導意見,對客體的侵害不是威脅直接作用的結果，而是通過對等級保護對象——信息系統(tǒng)的破壞而導致的，因此確定對客體侵害的程度時，必須考慮對等級保護對象所造成破壞的不同客觀表現形態(tài)以及不同程度的結果，也就是侵害的客觀方面。,定級階段-關于行業(yè)

11、定級指導意見,定級階段-關于行業(yè)定級指導意見,客體,對客體的侵害,對等級保護對象的危害,等級保護對象,危害后果,對客體侵害的客觀方面,危害方式,+,,關于危害后果影響行使工作職能，工作職能包括國家管理職能、公共管理職能、公共服務職能等國家或社會方面的職能。導致業(yè)務能力下降，下降的表現形式可能包括業(yè)務范圍的減少、業(yè)務處理性能的下降、可服務的用戶數量的下降以及其他各種業(yè)務指標的下降，每個行業(yè)務都有本行業(yè)關注的業(yè)務指標。例如電力行業(yè)關注

12、發(fā)電量和用電量，稅務行業(yè)關注稅費收入，銀行業(yè)關注存款額、貸款額、交易量等，證券經紀行業(yè)關注股民數和交易額。,定級階段-關于行業(yè)定級指導意見,關于危害后果引起法律糾紛是比較嚴重的影響，在較輕的程度時可能表現為投訴、索賠、媒體曝光等形式。導致財產損失，包括系統(tǒng)資產被破壞的直接損失、業(yè)務量下降帶來的損失、直接的資金損失、為客戶索賠所支付的資金等，以及由于信譽下降、單位形象降低、客戶關系損失等導致的間接經濟損失。直接造成人員傷亡，例如醫(yī)療

13、服務系統(tǒng)，公安行業(yè)的某些系統(tǒng)等。造成社會不良影響，包括在社會風氣、執(zhí)政信心等方面的影響。,定級階段-關于行業(yè)定級指導意見,一、定級對象的三個條件具有唯一確定的安全責任單位作為定級對象的信息系統(tǒng)應能夠唯一地確定其安全責任單位，這個安全責任單位就是負責等級保護工作部署、實施的單位，也是完成等級保護備案和接受監(jiān)督檢查的直接責任單位。滿足信息系統(tǒng)的基本要素作為定級對象的信息系統(tǒng)應該是由相關的和配套的設備、設施按照一定的應用目標和規(guī)則組

14、合而成的有形實體。應避免將某個單一的系統(tǒng)組件，如單臺的服務器、終端或網絡設備等作為定級對象。,定級階段-關于定級對象確定,一、定級對象的三個條件承載相對獨立的業(yè)務應用定級對象承載“相對獨立”的業(yè)務應用是指其中的一個或多個業(yè)務應用的主要業(yè)務流程、部分業(yè)務功能獨立，同時與其他信息系統(tǒng)的業(yè)務應用有少量的數據交換，定級對象可能會與其他業(yè)務應用共享一些設備，尤其是網絡傳輸設備?！跋鄬Κ毩ⅰ钡臉I(yè)務應用并不意味著整個業(yè)務流程，可以使完整的業(yè)務流程

15、的一部分。,定級階段-關于定級對象確定,二、定級對象的識別和劃分可能使定級要素賦值不同因素可能涉及不同客體的系統(tǒng)?？赡軐腕w造成不同程度損害的系統(tǒng)。處理不同類型業(yè)務的系統(tǒng)。本身運行在不同的網絡環(huán)境中的系統(tǒng)。分不開的系統(tǒng)，按照高級別保護。,定級階段-關于定級對象確定,系統(tǒng)邊界不應出現在服務器內部，服務器共用的系統(tǒng)一般歸入同一個信息系統(tǒng)，因此不同信息系統(tǒng)的共用設備一般是網絡/邊界設備或終端設備。兩個信息系統(tǒng)邊界存在共用設備時，

16、共用設備的安全保護等級按兩個信息系統(tǒng)安全保護等級較高者確定。例如，一個2級系統(tǒng)和一個3級系統(tǒng)之間有一個防火墻或兩個系統(tǒng)共用一個核心交換機，此時防火墻和交換機可以作為兩個系統(tǒng)的邊界設備，但應滿足3級系統(tǒng)的要求。,定級階段-關于系統(tǒng)邊界,信息系統(tǒng)的管理終端是與相應被管理設備相對應的，服務器、網絡設備及安全設備等屬于哪個系統(tǒng)，終端就應歸在哪個信息系統(tǒng)中。如果無法做到不同等級的信息系統(tǒng)使用不同的終端設備，則應將終端設備劃分為其他的信息系統(tǒng)，并

17、在服務器與內部用戶終端之間建立邊界保護，對終端通過身份鑒別和訪問控制等措施加以控制。處理涉密信息的終端必須劃分到相應的信息系統(tǒng)中，且不能與非涉密系統(tǒng)共用終端。,定級階段-關于系統(tǒng)邊界,定級階段-定級對象舉例,定級階段-定級對象舉例,識別單位基本信息 了解單位基本信息有助于判斷單位的職能特點，單位所在行業(yè)及單位在行業(yè)所處的地位和所用，由此判斷單位主要信息系統(tǒng)的宏觀定位。識別業(yè)務種類、流程和服務應重點了解定級對象信息系統(tǒng)中不同業(yè)務系

18、統(tǒng)提供的服務在影響履行單位職能方面具體方式和程度，影響的區(qū)域范圍、用戶人數、業(yè)務量的具體數據以及對本單位以外機構或個人的影響等方面。這些具體數據即可以為主管部門制定定級指導意見提供參照，也可以作為主管部門審批定級結果的重要依據。,定級階段-關于定級過程,識別信息調查了解定級對象信息系統(tǒng)所處理的信息，了解單位對信息的三個安全屬性的需求，了解不同業(yè)務數據在其保密性、完整性和可用性被破壞后在單位職能、單位資金、單位信譽、人身安全等方面可能對

19、國家、社會、本單位造成的影響，對影響程度的描述應盡可能量化。識別網絡結構和邊界調查了解定級對象信息系統(tǒng)所在單位的整體網絡狀況、安全防護和外部連接情況，目的是了解信息系統(tǒng)所處的單位內部網絡環(huán)境和外部環(huán)境特點，以及該信息系統(tǒng)的網絡安全保護與單位內部網絡環(huán)境的安全保護的關系。,定級階段-關于定級過程,識別主要的軟硬件設備調查了解與定級對象信息系統(tǒng)相關的服務器、網絡、終端、存儲設備以及安全設備等，設備所在網段，在系統(tǒng)中的功能和作用。調查設

20、備的位置和作用主要就是發(fā)現不同信息系統(tǒng)在設備使用方面的共用程度。識別用戶類型和分布調查了解各系統(tǒng)的管理用戶和一般用戶，內部用戶和外部用戶，本地用戶和遠程用戶等類型，了解用戶或用戶群的數量分布，判斷系統(tǒng)服務中斷或系統(tǒng)信息被破壞可能影響的范圍和程度。形成定級結果取各類信息和服務的較高。,定級階段-關于定級過程,系統(tǒng)建設和改建階段相關技術環(huán)節(jié)安全需求分析方法系統(tǒng)的安全等級保護設計、實施方案設計 系統(tǒng)改建實施方案設計,系統(tǒng)建設和改

21、建階段,安全需求分析的目的是使信息系統(tǒng)按照等級保護相應等級的要求進行設計、規(guī)劃和實施，將來源于國家政策性要求、機構使命性要求、系統(tǒng)可能面臨的環(huán)境和影響以及機構自身的需求相結合作為信息系統(tǒng)的安全需求，使具有相同安全保護等級的信息系統(tǒng)能夠達到相應等級的基本的保護水平和保護能力。,系統(tǒng)建設階段-需求分析方法,一、選擇、調整基本安全要求 《定級指南》在確定信息系統(tǒng)的安全保護等級的同時確定了信息系統(tǒng)在業(yè)務信息安全和系統(tǒng)服務安全兩個方面的安全保護

22、等級 。系統(tǒng)的安全保護等級與這兩者的關系是：系統(tǒng)的安全保護等級=L (信息等級，服務等級) =Max(信息等級，服務等級）例如：L(3,1)=L(3,2)= L(3,3)= L(1,3)= L(2,3)= 3,系統(tǒng)建設階段-需求分析方法,一、選擇、調整基本安全要求 形成了5個等級，25個安全需求類。表明同樣等級的信息系統(tǒng)，其安全需求有所不同，因此對其實施的保護也應該有不同的要求。為了區(qū)別不同安全技

23、術要求和管理要求在保護信息系統(tǒng)的業(yè)務信息安全和系統(tǒng)服務安全所起的作用，將所有技術要求和管理要求進行了標識，標識分為三種S、A和G。,系統(tǒng)建設階段-需求分析方法,一、選擇、調整基本安全要求 三類基本要求S類—業(yè)務信息安全保護類—關注的是保護數據在存儲、傳輸、處理過程中不被泄漏、破壞和免受未授權的修改。A類—系統(tǒng)服務安全保護類—關注的是保護系統(tǒng)連續(xù)正常的運行，避免因對系統(tǒng)的未授權修改、破壞而導致系統(tǒng)不可用。G類—通用安全保護類—既關

24、注保護業(yè)務信息的安全性，同時也關注保護系統(tǒng)的連續(xù)可用性。例如，以S2表示2級的業(yè)務信息安全保護類要求，A3表示3級的系統(tǒng)服務安全保護類要求。,系統(tǒng)建設階段-需求分析方法,一、選擇、調整基本安全要求 需求分析步驟：第一步根據其等級從《基本要求》中選擇相應等級的基本安全要求。第二步根據定級過程中確定業(yè)務信息安全保護等級和系統(tǒng)服務安全保護等級，確定該信息系統(tǒng)的安全需求類。第三步根據系統(tǒng)所面臨的威脅特點調整安全要求。,系統(tǒng)建設

25、階段-需求分析方法,二、明確系統(tǒng)特殊安全需求 特殊需求來自兩個方面：等級保護相應等級的基本要求中某些方面的安全措施所達到的安全保護不能滿足本單位信息系統(tǒng)的保護需求，需要更強的保護。由于信息系統(tǒng)的業(yè)務需求、應用模式具有特殊性，系統(tǒng)面臨的威脅具有特殊性，基本要求沒有提供所需要的保護措施，例如有關無線網絡的接入和防護《基本要求》中沒有提出專門的要求，需要作為特殊需求。,系統(tǒng)建設階段-需求分析方法,二、明確系統(tǒng)特殊安全需求 兩種解決方式

26、：第一種選擇《基本要求》中更高級別的安全要求達到本級別基本要求不能實現的安全保護能力第二種參照《管理辦法》第十二條和第十三條列出的等級保護的其它標準進行保護。等級保護基本安全要求和特殊安全需求共同構成系統(tǒng)的總的安全需求。,系統(tǒng)建設階段-需求分析方法,根據等級保護要求進行信息系統(tǒng)安全的設計是系統(tǒng)建設前必須完成的工作。設計分為總體安全設計和詳細安全設計?？傮w設計指導全局，一般針對整個單位，詳細設計指導具體項目的建設實施。,系統(tǒng)

27、建設階段-保護方案設計,引入等級保護概念，系統(tǒng)安全防護設計思路有所不同：在設計思路上應突出對等級較高的信息系統(tǒng)的重點保護。滿足等級保護要求不意味著各信息系統(tǒng)獨立實施保護，而應本著優(yōu)化資源配置的原則，合理布局，構建縱深防御體系。要解決等級系統(tǒng)之間的互連問題，因此必須在總體安全設計中規(guī)定相應的安全策略。如何在同一個組織機構的管理控制下，根據不同等級的系統(tǒng)需要滿足不同的安全管理要求。,系統(tǒng)建設階段-保護方案設計,一、總體安全設計方法

28、總體安全設計方法主要針對略有規(guī)模的信息系統(tǒng)，比如信息系統(tǒng)本身是由多個不同級別的系統(tǒng)構成、信息系統(tǒng)分布在多個物理地區(qū)、信息系統(tǒng)之間橫向和縱向連接關系復雜等。總體安全設計的基本方法是將復雜信息系統(tǒng)進行簡化，提取共性形成模型，針對模型要素結合相應等級的保護能力和安全需求提出安全策略和安全措施要求，指導信息系統(tǒng)中各個組織、各個安全層面和各個對象安全策略和安全措施的具體實現。,系統(tǒng)建設階段-保護方案設計,總體安全設計可參照以下步驟完成：1、局

29、域網內部抽象處理，劃分為多個具有等級安全域（邊界訪問控制策略相同）。2、局域網內部安全域之間互聯(lián)的抽象處理3、局域網之間安全域互聯(lián)的抽象處理4、局域網安全域與外部單位互聯(lián)的抽象處理5、安全域內部抽象處理6、信息系統(tǒng)抽象模型描述,系統(tǒng)建設階段-保護方案設計,系統(tǒng)建設階段-保護方案設計,四級安全域,三級安全域,二級安全域,一級安全域,局域網內部安全域之間互聯(lián)的抽象處理,系統(tǒng)建設階段-保護方案設計,四級安全域,三級安全域,二級安全域

30、,一級安全域,三級安全域,二級安全域,一級安全域,四級安全域,雙向訪問,單向推送,局域網之間安全域互聯(lián)的抽象處理,系統(tǒng)建設階段-保護方案設計,四級安全域,三級安全域,二級安全域,一級安全域,外部機構/單位,國際互聯(lián)網,雙向推送,局域網安全域與外部單位互聯(lián)的抽象處理,雙向訪問,7、 制定總體安全策略規(guī)則1通過骨干網/城域網只能建立同級安全域的連接，實現上、下級單位的同級安全域的互接；規(guī)則24級安全域通過專網的VPN通道進行數據

31、交換；3級安全域可以通過公網的VPN通道進行數據交換；規(guī)則34級安全域不能與2級安全域、1級安全域直接連接；3級安全域不能與1級安全域直接連接；規(guī)則4只有1級安全域可以直接訪問Internet。 等等。。。,系統(tǒng)建設階段-保護方案設計,8、關于等級邊界進行安全控制的規(guī)定規(guī)定14級安全域與3級安全域之間必須采用接近物理隔離的專用設備進行隔離；規(guī)定2各級別安全域網絡與外部網絡的邊界處必須使用防火墻進行有效的邊界保

32、護；規(guī)定3通過3級安全域與外部單位進行數據交換時，必須把要交換的數據推送到前置機，外部單位從外部接入網絡的前置機或中間件將數據取走，反之亦然；,系統(tǒng)建設階段-保護方案設計,9、關于各安全域內部的安全控制要求提出針對信息系統(tǒng)等級化抽象模型，根據機構總體安全策略、等級保護基本要求和系統(tǒng)的特殊安全需求，提出不同級別安全域內部網絡平臺、系統(tǒng)平臺和業(yè)務應用的安全保護策略和安全技術措施。10、關于等級安全域的管理策略從全局角度出發(fā)提出

33、單位的總體安全管理框架和總體安全管理策略，對每個等級安全域提出各自的安全管理策略，安全域管理策略繼承單位的總體安全策略。,系統(tǒng)建設階段-保護方案設計,三、實施方案設計總體設計方案的設計原則和安全策略需要具體落實到若干個具體的建設項目中，一個設計方案的實施可能可以分為若干個實施方案，分期、分批建設，實現統(tǒng)一設計、分步實施。實施方案不同于設計方案，實施方案需要根據階段性的建設目標和建設內容將信息系統(tǒng)安全總體設計方案中要求實現的安全策略、

34、安全技術體系結構、安全措施和要求落實到產品功能或物理形態(tài)上，提出能夠實現的產品或組件及其具體規(guī)范，并將產品功能特征整理成文檔。使得在信息安全產品采購和安全控制開發(fā)階段具有依據。,系統(tǒng)建設階段-保護方案設計,實施方案的設計過程包括：結構框架設計功能要求設計性能要求設計部署方案設計制定安全策略實現計劃管理措施實現內容設計形成系統(tǒng)建設的安全實施方案,系統(tǒng)建設階段-保護方案設計,系統(tǒng)建設的安全實施方案包含以下內容：本期建設目標和

35、建設內容；技術實現框架；信息安全產品或組件功能及性能；信息安全產品或組件部署；安全策略和配置；配套的安全管理建設內容；工程實施計劃；項目投資概算。,系統(tǒng)建設階段-保護方案設計,本節(jié)的目的是針對已建成并投入運行的系統(tǒng)如何找出現有安全防護與相應等級基本要求的差距，如何根據差距分析結果設計系統(tǒng)的改建方案，使其能夠指導該系統(tǒng)后期具體的改建工作，逐步達到相應等級系統(tǒng)的保護能力。系統(tǒng)改建方案設計的主要依據是安全需求分析的結果，和對信

36、息系統(tǒng)目前保護措施與《基本要求》的差距的分析和評估。系統(tǒng)改建方案的主要內容則是解決如何針對這些存在的差距，分析其存在的原因以及如何進行整改。系統(tǒng)改建設實施方案與新建系統(tǒng)的安全保護設施設計實施方案都是備案所需要提交的技術文件。,系統(tǒng)建設階段-改建實施方案設計,一、確定系統(tǒng)改建的安全需求 1、根據確定的安全保護等級，參照前述的安全需求分析方法，確定本系統(tǒng)的總體安全需求，其中包括經過調整的等級保護基本要求和本單位的特殊安全需求。2、

37、由信息系統(tǒng)的運營使用單位自己組織人員或由第三方評估機構采用等級測評方法對信息系統(tǒng)安全保護現狀與等級保護基本要求進行符合性評估，得到與相應等級要求的差距項。3、針對滿足特殊安全需求（包括采用高等級的控制措施和采用其它標準的要求的）的安全措施進行符合性評估，得到與滿足特殊安全需求的差距項。,系統(tǒng)建設階段-改建實施方案設計,二、差距原因分析 1、整體設計方面的問題，即某些差距項的不滿足是由于該系統(tǒng)在整體的安全策略（包括技術策略和管理策

38、略）設計上存在問題。2、缺乏相應產品實現安全控制要求。由于安全保護要求都是要落在具體產品、組件的安全功能上，通過對產品的正確選擇和部署滿足相應要求。但在實際中，有些安全要求在系統(tǒng)中并沒有落在具體的產品上。3、產品沒有得到正確配置。一般由于使用者技術能力、安全意識的原因，或出于對系統(tǒng)運行性能影響的考慮等原因，產品沒有得到正確的配置，從而使其相關安全功能沒有得到發(fā)揮。,系統(tǒng)建設階段-改建實施方案設計,三、分類處理的改建措施 1、

39、如果系統(tǒng)需重新考慮設計網絡拓撲結構，包括安全產品或安全組件的部署位置、連線方式、IP地址分配等。根據網絡調整的圖示方案對原有網絡進行調整。針對安全管理方面的整體策略問題，機構需重新定位安全管理策略、方針，明確機構的信息安全管理工作方向。2、將未實現的安全技術要求轉化為相關安全產品的功能/性能指標要求，在適當的物理/邏輯位置對安全產品進行部署。3、正確配置產品的相關功能，使其發(fā)揮作用。,系統(tǒng)建設階段-改建實施方案設計,三、改建措施