基于单位单元的网络安全防护安全方法及系统与流程

电子通信装置的制造及其应用技术1.本发明涉及网络安全防护方面，特别涉及一种基于单位单元的网络安全防护安全方法及系统。背景技术：2.在网络技术遍布社会各个角落的时候，网络安全也随机被应用到了各个场景，针对不同环境，网路会受到不同的攻击，攻击角度多样，形式多变，手段不一。网络安全威胁还具有隐蔽性、偶发性、破坏性等特点。大部分企业内网均有互联网或逻辑隔离状态，网络威胁在互联网内触发后，企业内网也面临同样的网络安全威胁。3.随着网络的不断发展，网络攻击手段不断加强变化，思路也变化多端。单一的网络安全设备不足以做到安全防护的功能，导致网络安全防护的效率低、效果比较差。技术实现要素：4.基于此，有必要提供一种可提高防护安全性的基于单位的网络安全防护安全方法。5.同时，提供一种可提高防护安全性的基于单位的网络安全防护安全系统。6.一种基于单位的网络安全防护安全方法，包括：7.漏洞扫描；确定方案，配置策略，系统备份，实施扫描，结果分析，再进行扫描，进行漏洞修复，二次复查，进行扫描，根据安全漏洞知识库检测网络协议、网络服务、网络设备中任意一种或多种的信息资产存在的安全隐患和漏洞，分析，识别处可能被入侵者用来非法进入网络或非法获取信息资产的漏洞，并提醒，接收主机扫描指令或进行主机扫描时，先对主机进行数据备份，若服务器为双机热备系统，则在一次扫描会话中对其中一台进行扫描，对特殊要求的主机或网络设备调整扫描对象策略，采用针对某系统的单个主机扫描方式，每次扫描一个ip，扫描结束后扫描下一个ip，将生产网段进行扫描的设备的扫描时间调整到不影响到业务的时间段；8.基线检查：对目标信息系统中的网络设备、安全设备、操作系统、数据库、中间件的登录信息收集，登录目标设备对设备配置进行检查，记录配置信息，进行配置安全分析，根据收集的登录信息对网络设备、安全设备、操作系统、数据库、中间件进行逐一登录，测试登录信息收集的准确性和提供账号的权限情况，分析是否能够覆盖全部的安全配置检查内容，形成基线检查报告；9.检查网络及安全设备：检查设备管理、账号管理、认证授权、登录方式、日志审计、服务端口优化、安全防护、安全策略合理性，包括检查操作系统、检查数据库、检查web服务器、中间件；10.全流量威胁分析：利用威胁数据情报，利用采集到的全网流量进行分析，检测内部失陷主机、外部攻击、内部违规、和内部风险，对事件进行分析、研判、溯源，分析当前网络内的资产信息和相关的统计数据；11.内网资产发现：对内网信息系统主机资产和web服务器进行梳理，对内网资产台账进行全生命周期动态管理，包括：主机资产服务发现、web服务发现、资产可视化展示；12.应急响应：监控业务系统中的安全问题，通过大数据分析进行互联网层面攻击溯源，分析安全事件原因，追查事件来源，进行安全事件分类，通过大数据分析与安全威胁情报防御攻击，发现未知危险的网络行为，对攻击源头进行定位；13.应急演练：分析判断，若判断为疑似计算机病毒爆发事件，判断是否为系统问题，若为系统问题则启动系统应急预案，若不是系统问题则判断是否为病毒爆发事件，若为病毒爆发事件则执行通报流程，若判断不是病毒爆发事件则判断是否具备网络传播性，若判断具备网络传播性则判断是否需要隔离被感染主机，若判断需要被隔离则断开该主机网络连接，启动系统应急预案，判断是否需要执行杀毒措施，若判断不需要被隔离则直接判断是否需要执行杀毒措施，若判断需要执行杀毒措施则判断是否会对系统数据造成破坏，若判断会对系统造成破坏则进行系统备份后执行杀毒措施，若判断不会对系统造成破坏则直接执行杀毒措施，执行后判断病毒是否清理完毕，若判断不需要制定杀毒措施则直接判断是否把病毒清理完毕，若判断病毒清理完毕则恢复隔离主机的网络连接，执行通报流程；若执行杀毒措施后仍存在病毒则继续执行新的病毒查杀措施，直至病毒清理完毕；14.渗透测试包括：web渗透测试、高级渗透测试；所述web渗透测试：模拟真实的安全攻击，发现黑客入侵信息系统的潜在可能途径，包括：信息收集、远程溢出、口令猜测、本地溢出、企业用户端攻击、中间人攻击、web脚本及应用测试；所述高级渗透测试包括：结合信息安全最佳安全实践，模拟针对性打击，以互联网侧资产或内部不可信/半可信区域作为渗透入口，模拟黑客内网攻击获取内网最高权限或敏感数据进行进一步渗透测试，包括评估外部资产状况、寻找内部网接入点与利用互联网资产中存在可利用内网接入点、部署跳板机对内部网络进行内网渗透；15.安全运维包括：日常安全运维、重要时刻安全保障、周期性安全巡检；所述日常安全运维包括：安全策略优化、安全产品运维、安全评估；所述安全策略优化：对安全控制策略是否起到作用、是否合理进行检查和改进，包括：调研、制定方案、策略优化、输出报告；所述安全产品运维包括：设备运行安全监测、设备运行安全审计、设备及策略备份更新；所述安全评估包括：通过安全扫描评估及时发现信息系统中存在的安全漏洞，对windows、linux服务器及安全设备进行漏洞整改，根据申请、结合安全漏洞知识库于非业务高峰期对信息资产进行安全扫描，不使用含有拒绝服务类型的扫描方式，在扫描过程中若出现扫描系统没有响应的情况则立即停止扫描，分析情况确定原因后，恢复系统，调整扫描策略后进行扫描；所述重要时刻安全保障包括：重大节假日前主动探测用户在外网上暴露的资产，形成资产清单，根据资产发现结果进行精准漏洞扫描，针对特定漏洞进行全面排查，针对包括高危系统漏洞、高危蠕虫病毒、恶劣入侵与攻击中的一种或多种情况的重大安全事件进行通知，提供事件类型、影响范围、解决方案、预防方案中的一种或多种信息，对重要系统进行全面安全检查、安全加固，并对安全加固结果进行复测，确认安全问题及时有效修复；节假日中对防火墙、web应用防火墙、ids/ips、负载均衡、网页防篡改系统、网络安全审计系统进行实时告警监控及日志分析，对防病毒软件及查杀记录进行监控，对应用系统、数据库系统的状态和业务平台进行监控和日志分析，若遭到攻击或发现入侵中一种或多种事故则及时进行调查、分析，追查、分析事故来源和原因，根据调查原因及事故情况提出解决方法，并记录事故、事故分析、解决方法、追查方案；所述周期性安全巡检包括：周期性安全产品巡检、周期性安全策略优化建议；16.风险评估包括：网络安全评估、主机安全评估、应用安全评估、终端安全评估、数据安全评估、物理安全评估、中间件安全评估、管理安全评估；所述网络安全评估包括：对组织的网络拓扑架构、安全域规划、vlan划分、网络设备配置、安全设备配置、安全防护措施进行分析，对物理网络结构、逻辑网络结构、网络设备进行安全评估，发现网络结构存在的安全性、网络负载问题，网络设备存在的安全性、抗攻击问题，评估网络的安全现状，发现存在的安全性、合理性、使用效率问题；所述主机安全评估包括：对操作系统、账号、认证、授权、网络服务、系统日志、补丁升级、病毒防护、本地安全策略进行分析，发现系统配置和运行中存在的安全漏洞和安全隐患，根据业务应用情况、安全基线配置情况进行分析评估，包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、资源控制；所述应用安全评估包括：根据应用系统的账号、认证、授权、审计、性能资源、备份恢复、渗透测试对应用系统进行安全评估，检测分析输入验证、身份验证、授权、配置管理、敏感数据、会话管理、加密技术、异常管理、审核和日志记录、习惯问题，查找应用系统的安全漏洞和安全隐患；所述终端安全评估包括：检查补丁、账号口令、网络服务、病毒防护、本地安全策略，根据补丁升级、病毒防护、账号口令、网络服务、本地安全策略对终端的安全状况进行评估，查找终端的安全漏洞和安全隐患；所述数据安全评估包括：检测分析数据库用户名和密码管理、数据库访问控制、登录认证方式、数据安全、安全漏洞检查、补丁管理、数据库的安全审计，根据数据的机密性、完整性、可用性对数据安全状况进行主估，查找数据层面可能存在的安全漏洞和安全隐患；所述物理安全评估包括：检测分析物理安全边界、物理入口控制，检测分析办公室、房间、设施的安全保护，检测分析外部和环境威胁的安全防护、安全区域工作控制、交付和交接区、设备安置和保护、支持性设备、布缆安全、设备维护、资产的移动、场外设备和资产安全、设备的安全处置或再利用、无人值守的用户设备、清空桌面和屏幕策略，根据机房物理环境、访问控制、电力供应、线缆布放、设备摆放、标签规范、机房制度评估网络机房的安全；所述中间件安全评估包括：检测分析中间件用户名和密码管理、中间件安全审计、登录认证方式、通信保密性、资源控制、中间件的入侵防范策略，评估中间件的安装部署、配置参数的实现是否符合应用运行安全要求；所述管理安全评估包括：根据安全组织、安全制度、安全人员、安全运维、安全应急、安全培训对信息安全管理现状进行评估，查找可能的安全隐患和缺失点。17.信息系统等级保护测评包括：等级保护差距测评、安全保障体系设计、等级保护测评、信息系统软整改，所述等级保护差距测评包括如下过程：信息收集分析、准备工具和表单、确定测评对象、确定测评指标、确定测评工具接入点、确定测评内容、测评指导书开发、编制测评方案、准备测评实施、现场测评和结果记录、结果确认和资料归还、单项测评结果判定、单项测评结果汇总分析、整体测评、形成安全测评结论、编制测评报告；所述安全保障体系设计包括：通过信息系统等级保护差距测评分析当前网络和信息系统的弱点与风险，进行安全整改，完成相应产品的拓扑设计，实施安全技术措施，完善安全管理制度；结合信息系统等级保护差距测评结果、依照信息安全等级保护要求、根据实际情况制定信息安全体系框架，所述信息安全体系框架包括：安全策略、安全技术体系、运行保障体系、安全组织与管理体系，所述安全策略与安全技术体系、运行保障体系、安全组织与管理体系三大体系相互作用，所述安全技术体系、运行保障体系、安全组织与管理体系三大体系在所述安全策略的指导下构建，将安全策略中制定的各个要素转化成技术实现方法和管理、运行保障手段，实现所述安全策略中制定的目标；所述等级保护测评包括：对信息系统安全等级保护状况进行测试评估，包括测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况的安全控制测评与测评分析信息系统的整体安全性的信息系统整体测评，对所述安全控制测评的描述采用工作单元方式组织，工作单元包括安全技术测评和安全管理测评，所述安全技术测评包括：物理安全测评、网络安全测评、主机系统安全测评、应用安全测评、数据安全测评多层面上的安全控制测评，所述安全管理测评包括安全管理机构测评、安全管理制度测评、人员安全制度测评、系统建设管理测评、系统运维管理测评多方面的安全控制测评；所述信息系统软整改包括：通过等级保护差距测评的差距测评报告分析当前网络和信息系统的弱点和风险，包括操作系统、数据库、网络安全设备的弱点与风险，根据设备的安全配置加固规范对操作系统、数据库、网络安全设备进行逐条核查加固，制定相关的风险规避措施，包括操作系统加固、网络/安全设备加固、数据库加固、信息安全管理制度建立及完善；18.互联网威胁检测与主动响应包括：为互联网业务提供风险评估、实时监测、篡改处置、应急对抗，重新获得更安全的保障；所述风险评估包括：评估暴露面、脆弱性、内容安全，作为基线，定期持续复查，定期对资产变化进行监测，持续分析新增资产引入的风险情况；所述实时监测包括：实时监测页面篡改、0day、网马、黑链、dns、可用性安全事件并生产报告及时通知用户；所述篡改处置包括：通过dns技术快速替换被篡改站点；所述应急对抗包括：云端应急对抗，保障敏感数据。19.在优选实施例中，所述登录信息包括：登录方式、登录账号/口令、管理主机信息；所述基线检查还包括：根据基线检查在网络设备、安全设备、操作系统、数据库、中间件各个层面的最佳实践，对目标信息系统进行配置核查，记录当前设备的配置情况，对当前的安全配置情况进行分析，参考安全基线，找出在安全配置方面的差距并记录，根据基线检查整体差距分析情况，结合信息系统当前情况，形成基线检查报告；所述检查操作系统包括：基本信息检查、补丁管理、用户账号、口令安全、权限管理、日志与审计、系统服务端口检查、安全防护、网络协议安全；所述检查数据库：检查账号安全、检查数据库连接安全、检查数据库安全组件配置、检查日志配置、检查通信协议；所述检查web服务器、中间件：管理应用限制检查、列出目录检查、禁止访问web目录之外的文件检查、http请求的消息主体大小、默认端口检查、错误液面重定向、禁止列表显示文件、防范拒绝服务攻击、缺省安装的无用文件、版本号及敏感信息的隐藏、账号管理、认证授权、日志配置、通信协议、设备及安全要求。20.在优选实施例中，所述当前网络内的资产信息和相关的统计数据包括：资产统计信息、攻击面统计信息、新增资产信息、资产变更信息、新增攻击面信息、攻击面变更信息、新增资产详细列表；所述资产统计信息包括：按照资产的服务器类型进行统计服务器的类型占比；所述攻击面统计信息包括：各种开放端口的统计信息；所述新增资产详细列表包括：资产的ip地址、服务器类型、服务器版本、状态、检测到的时间中的一种或多种；所述检测外部攻击包括：反序列攻击检测、web攻击态势分析、口令爆破攻击检测；所述反序列攻击检测包括：分析发现内部服务的反序列攻击行为的数量和每个反序列攻击行为的情况；所述反序列攻击的情况包括：攻击时间、源ip、目的ip/端口；所述web攻击态势分析通过流量分析内部服务器受到攻击的情况，分析web整体攻击类型的态势分布、每种攻击手段的详细信息和攻击的结果，所述攻击结果包括：攻击告警、攻陷、提示；所述攻击手段包括：webshell、黑产菜刀扫描、web漏洞扫描、struts2攻击、上传攻击、sql注入攻击、信息泄露、应用系统新增文件中的一种或多种；所述口令爆破攻击检测针对不同服务器每日遭受口令爆破的攻击次数、服务的类型、邮件暴露攻击的情况、远程管理服务爆破攻击的情况和数据库服务爆破攻击的情况进行检测，所述攻击情况包括：攻击来源ip、目的ip、协议、60秒内攻击的次数、爆破结果；所述检测内部违规包括：暴露面检测、非法外联检测、恶意dns分析、acl梳理、弱口令检测、异常登录检测、非常规服务分析；所述暴露面检测通过大数据分析，分析出当前网络内的非法攻击面信息；所述非法攻击面信息包括：攻击面的统计信息、新增攻击面信息、攻击面变更信息、攻击面的信息，所述攻击面统计信息包括：各种开放端口的统计信息，所述攻击面的信息包括：服务器ip、端口、服务类型；所述非法外联检测分析环境内的非法外联信息，所述非法外联信息包括：非法外联的目的ip物理地址、非法外联事件的历史趋势、非法外联事件的详细时间、源ip、目的ip、端口中任一信息或多种信息；所述恶意dns分析通过流量分析监控、分析内部网络请求的dns，并结合威胁情报分析内部dns的信誉度情况，发现内部存在的恶意dns的请求，及详细信息，所述恶意dns的详细信息包括：请求时间、源ip、请求的恶意域名、域名所在的物理地址中的任一或多种信息；所述acl梳理分析当前网络内现有的所有ip的访问关系，包括源ip到目的ip不同端口的访问关系，分析网络内的acl管控，对内部不合理的acl处置；所述弱口令检测分析发现内部服务器的弱口令的状态，报告弱口令总数、被动统计发现的次数、字典匹配发现的次数和主动发现的次数，检测分析邮件服务、远程管理服务、数据库服务弱口令的信息；所述邮件服务、远程管理服务、数据库服务弱口令的信息包括：受影响的账号、弱口令、受影响的服务器、协议和检测到的时间；所述异常登录检测包括：检测内部服务器的异常行为，包括：外部登录内部服务器异常详细情况、异常登录详细情况、非工作时间登录详细情况；所述外部登录内部服务器异常详细情况包括：外部登录的ip、ip归属地、内部服务器ip、协议、访问时间，所述异常登录详细情况包括：用户、常用登录地点、异地登录地点、发现时间；所述非工作时间登录详细情况包括：来源ip、ip归属地、目的ip、协议、访问时间；所述非常规服务分析包括：远程控制服务、代理服务、regeory tunnel服务检测和发现、http代理检测和发现、socks代理检测和发现、teamview/irc检测和发现，分析连接服务的时间、连接服务的源ip、连接服务的目的ip和服务类型；所述对事件研判包括：通过发现攻陷事件、web攻击事件、内部异常信息，利用网络渗透信息，结合云端威胁情况，对事件性质是否是真的恶意攻击行为做出判断，分析事件产生原因；所述对事件溯源对恶意攻击事件进行追踪和溯源，分析攻击者的物理位置、攻击者的行为证据留存和攻击者常用的手段。21.在优选实施例中，所述主机资产服务发现包括：扫描发现新增资产、资产变更、新增端口、端口变更，识别操作系统、ip地址、域名，输出资产信息报告；所述web服务发现包括：分析发现端口、web服务器、开发语言、部分前置waf信息、web服务情况；所述应急演练还包括：网络攻击事件应急演练，所述网络攻击事件应急演练包括：分析判断，若判断为外网网站恶意攻击事件，则根据系统日志、防火墙日志、网络日志、网络流量分析、网页防篡改系统分析定位攻击源ip地址、判断是否能确定攻击源，若不能确定攻击源则判断是否能确定攻击源类型，同时根据系统安全状况判断是否是篡改、sql注入、xss跨站、木马、非法入侵中一种或多种恶意攻击，若判断存在恶意攻击则检测网页防自篡改系统是否被篡改，若被篡改则检测漏洞原因，若未被篡改则检测ids系统是否检测到入侵，若检测到入侵则进行验证，若未检测到入侵则判断是否能确定攻击源类型，若能确定攻击类型则判断是否能恢复和修复漏洞，若不能确定攻击源类型启动应急预案，若判断能恢复和修复漏洞则恢复和修复漏洞则恢复和修补漏洞，若判断不能恢复和修复漏洞则启动应急预案，恢复和修补漏洞后判断攻击是否继续，若判断攻击继续则确定攻击源，同时启动应急预案，若判断攻击没有继续则执行通报流程，若无法定位攻击源ip地址或攻击路径，或经过分析后无法关闭攻击网络路径，则启动(系统不可用情况下的)应急预案，并通报。22.在优选实施例中，所述web渗透测试的信息收集包括：主机网络扫描、端口扫描、操作类型判别、应用判断、账号扫描、配置判别中一种或多种方式进行操作系统类型收集、网络拓扑结构分析、端口扫描、目标系统提供的服务识别；所述口令猜测利用暴力攻击和字典以进行猜测口令；所述web脚本及应用测试包括：注入、跨站脚本攻击、失效的身份认证和会话管理、不安全的直接对象引用、跨站请求伪造、检查安全配置错误、检测不安全的加密存储、没有限制url访问、检测传输层保护不足、检测未验证的重定向和转发；所述注入：注入攻击漏洞，将攻击发生在当不可信的数据作为命令或查询语句的一部分，发送给解释器，欺骗解释器，以执行计划外的命令或访问未被授权的数据；所述跨站脚本攻击：当应用程序收到含有不可信的数据，在没有进行验证和转义的情况下将其发送个网页浏览器，在浏览器上执行脚本，劫持用户会话、危害网站或将用户转至恶意网站；所述失效的身份认证和会话管理：使与身份认证和会话管理相关的应用程序功能得不到正确的实现，破坏密码、密匙、会话令牌或攻击其他漏洞冒充其他用户身份；所述不安全的直接对象引用：暴露对内部实现对象的引用，产生不安全的直接对象引用，操控该引用访问未授权数据；所述跨站请求伪造：利用跨站请求伪造攻击迫使登录用户的浏览器将伪造的http请求发送到存在漏洞的web应用程序，迫使用户浏览器向存在漏洞的应用程序发送请求；所述检查安全配置错误：检测是否对应用程序、框架、应用程序服务器、web服务器、数据库服务器和平台进行定义、实施、维护安全配置的设置，是否对软件及时更新；所述检测不安全的加密存储：检测web应用程序是否使用加密措施或hash算法保护敏感数据，利用弱保护数据进行身份盗窃、信用卡诈骗犯罪；所述没有限制url访问：伪造url访问隐藏的网页；所述检测传输层保护不足：检测应用程序是否没有进行身份认证，是否采取加密措施，是否有保护敏感网络数据的保密性和完整性措施，应用程序是否是采用弱算法，是否使用过期或无效的证书，或是否正确使用身份认证或加密措施或保护措施；所述检测未验证的重定向和转发：检测web应用程序将用户重定向或转发到其他网页或网站并利用可不信的数据判定目的页面是否进行验证，重定向用户到钓鱼网站或转发到访问未授权页面。23.在优选实施例中，所述评估外部资产状况、寻找内部网接入点包括：通过信息收集分析判断是否存在远程控制漏洞，若存在则获得系统权限，进行信息收集分析后生成报告；若不存在远程控制漏洞，则判断是否存在远程普通漏洞，若存在远程普通漏洞则进行信息收集分析后判断是否能获取本地普通权限，若不存在远程普通漏洞则生成报告，若能获取本地普通权限则进行信息收集分析后判断是否能进行本地提取，若不能获得本地普通权限则生成报告；若能进行本体提取则进行信息收集分析后生成报告，若不能进行本体提取则直接生成报告；24.所述利用互联网资产中存在可利用内网接入点、部署跳板机对内部网络进行内网渗透包括：确认内网渗透资产范围后进行内网基础信息采集，在系统层进行端口扫描、已知cve漏洞扫描后进行系统漏洞验证利用渗透，在应用层进行应用平台信息采集、版本指纹数据采集、常规漏洞扫描信息采集后进行应用漏洞验证挖掘渗透，然后整理漏洞数据综合利用，提升控制权限，进行信息截获、远程控制、扩充资源，提交渗透测试报告等待复查；所述信息收集分析包括：基线检查、漏洞扫描，所述基线检查包括：对系统进行基线检查发现服务器、网络设备、安全设备存在的安全漏洞和薄弱环节，并对发现的脆弱性进行识别、分析、修补、检验；所述漏洞扫描包括对系统进行漏洞扫描，检查网络协议、网络服务、网络设备中各种信息资产存在的安全隐患和漏洞，对网络设备进行安全漏洞检测分析，协助整改漏洞。25.在优选实施例中，所述调研包括：收集安全设备、网络环境、运维权限及现有安全策略信息，所述安全设备信息包括：设备名称、设备负责人、设备厂商及型号、管理地址及方式、物理地址、设备管理员信息、用户名口令、设备白皮书；所述网络环境信息包括：网络拓扑图、服务器资产信息、网络设备资产信息、业务系统信息；所述运维权限信息包括：运维人员权限、维护管理地址；所述现有安全策略包括：访问控制策略、安全防护策略、行为审计策略；所述制定方案包括：根据调研收集到的信息结合用户实际安全需求，对现有安全策略进行差距分析，发现策略缺失、策略冗余、策略未废止问题，进行方案制定；所述对现有安全策略进行差距分析包括：分析用户业务安全需求、分析现有安全策略差距、安全策略差距分析总体状况；所述分析用户业务安全需求包括：汇总业务系统、资产信息与制定安全防护策略要求；所述分析现有安全策略差距包括：访问控制策略差距分析、安全防护策略差距分析、行为审计策略差距分析；所述策略优化包括：访问控制策略优化、安全防护策略优化、行为审计策略优化；所述访问控制策略优化包括：边界访问控制设备、运维管理设备，所述边界访问控制设备包括：梳理业务系统访问需求，根据业务定制访问控制策略，明确原地址、目的地址、服务，表明策略开启工单号、日期、申请人，增加缺失策略、修改粗策略、删除冗余策略；所述运维管理设备包括：梳理运维人员及维护需求信息，按照单位组织结构构建或调整运维人员，明确人员姓名、联系方式，按照业务责任单位创建或调整资产信息，要求明确资产ip地址、承载业务、物理位置，根据不同运维人员创建对应的策略；所述安全防护策略优化包括：入侵检测设备、web应用防火墙；所述入侵检测设备包括：梳理业务系统基本信息，根据业务系统创建入侵检测防护对象，明确所含资产、责任人员，制定入侵防护策略，包括入侵攻击类策略、木马病毒类策略、审计类策略，针对每个业务系统创建入侵防护策略，根据业务系统所含资产类型、操作系统类型、软件业务类型对策略进行优化；所述web应用防火墙包括：梳理业务系统基本信息，根据业务系统创建web应用防护对象，明确所含资产、责任人员，制定防护策略，包含web恶意扫描防护策略、sql注入防护策略、xss攻击防护策略、网站挂马防护策略、盗链防护策略、网页篡改防护策略；所述行为审计策略优化包括：网络安全审计、数据库审计、上网行为管理；所述网络安全审计包括：梳理业务系统基本信息，根据业务系统创建业务访问审计策略和管理维护审计策略，业务访问审计策略对该业务系统所有被访问的网络行为进行审计，管理维护审计策略对该业务系统所有管理维护网络行为进行设计；所述数据库审计包括：梳理业务系统信息和数据库信息，针对每一个数据库创建审计策略，包括危险指针审计、异常登录设计、异常维护审计、异常工具审计，根据业务系统信息创建业务系统对象，根据不同业务系统创建报表策略，针对每个业务系统生成审计报表；所述上网行为管理包括：梳理终端信息，根据所在单位组织结构创建或调整终端用户，针对用户创建上网行为审计策略，包含邮件审计策略、网站访问审计策略、通讯聊天审计策略、发帖审计策略、关键字审计策略；所述设备运行安全监测包括：监测网络设备、安全设备、主机，设置各项功能指标告警阈值和告警规则，及时发现设备运行状态异常，对监测到的安全事件按照不同级别和类型进行不同告警，若判断为设备故障则启动故障处理流程，根据实际情况对告警阈值进行调整；所述监测网络设备包括：设备硬件状态巡检、设备软件状态巡检、设备性能状态巡检、安全策略检查与优化、日志检查，所述设备硬件状态巡检包括：设备硬件的运行情况的巡检，包括电源、风扇、机箱、板卡、flash卡、状态灯的运行状态的巡检，物理端口的稳定性检查、连线情况、标签、标识情况的巡检，设备硬件报警信息的检查；所述设备软件状态巡检包括：系统内核运行状况巡检、检查是否有新的内核升级程序能使用；所述设备性能状态巡检包括：检查cpu利用率、内存利用率、网络接口使用率、buffer使用情况；所述安全策略检查与优化包括：对安全策略正确性和有效性进行复核；所述日志检查包括：检查日志接收是否正常、日志是否需要满日志处理，日志收集及分析；所述监测安全设备包括：安全设备硬件状态巡检、安全设备软件状态巡检、安全设备性能状态巡检、安全设备的安全策略优化、安全设备日志检查、安全设备的规则库检查；所述安全设备硬件状态巡检包括：检查安全设备硬件的运行情况，包括电源、风扇、机箱、板卡、flash卡、状态灯的运行状态，对物理端口进行稳定性检查，对连线情况、标签、标识情况进行检查；所述安全设备软件状态巡检包括：检查系统内核运行状况、是否有新的内核升级程序能使用，软件系统版本升级情况；所述安全设备性能状态巡检包括：检查cpu利用率、内存利用率、网络接口使用率、buffer使用情况；所述安全设备的安全策略优化包括：对安全策略正确性和有效性进行复核；所述安全设备日志检查包括：检查日志是否正常、日志是否需要满日志处理、日志的收集和分析；所述安全设备的规则库检查包括：检查病毒定义升级情况，包括检查防毒墙定义升级情况，检查ids/ips规则库升级情况；所述监测主机包括：主机硬件状态巡检、主机操作系统安全检查、主机性能检查、可疑服务进程检查、病毒检查；所述主机硬件状态巡检包括：检查主机设备硬件的运行情况，包括电源、风扇、机箱、板卡、状态灯的运行状态，检查网卡的状态、ip地址、路由表，检查磁盘阵列运行状态、系统故障灯显示情况、系统硬件错误报告；所述主机操作系统安全检查包括：检查操作系统软件版本情况，检查windows系列补丁、linux系统补丁、unix系列补丁中一种或多种系统补丁的安装情况，检查和优化操作系统安全配置、包括账户、安全策略、服务的检查与优化，分析系统日志，检查补丁安装；所述主机性能检查包括：检查cpu利用率、内存利用率、交换区使用率、磁盘占用空间、i/o工作情况；所述可疑服务进程检查包括：检查开启服务名称、服务开启必要性、服务占用资源情况；所述病毒检查包括：检查客户端病毒软件安装情况、病毒定义库升级情况、策略分发情况、病毒处理情况；所述设备运行安全审计包括：利用安全管理平台，结合资产信息，找出网络访问日志、管理行为记录、操作行为记录、产品运行记录、网络流量、安全监测产生的信息中数据中的关联关系，设置关联分析规则和过滤条件，挖掘网络攻击、运行故障信息；所述设备及策略备份更新包括：通过日常策略配置、设备升级进行安全防护，对策略进行优化，对安全产品的策略和配置备份进行维护，包括策略配置、策略梳理、设备升级、备份恢复；所述策略配置包括：根据总体安全策略分析业务系统实际安全需求和安全产品功能，根据策略配置流程对安全产品的安全策略进行配置；所述策略梳理包括：定期对安全产品的策略配置进行梳理，对冗余的策略和废弃的策略进行梳理，进行确认后删除；所述设备升级包括：定期对安全产品的软件版本、规则库、特征库进行升级，升级前对原系统进行备份，对升级包进行测试，定期检查厂商版本更新，更新操作记录备案；所述备份恢复包括：定期对产品的配置和策略进行备份，备份内容存放在专用服务器，并对备份操作记录备案，所述漏洞整改包括：针对扫描范围内的服务器及安全设备的漏洞进行修复，将应用及数据库漏洞进行加固；所述周期性安全产品巡检包括：在信息安全产品运行过程中周期性检查安全产品安全状况的工作，包括设备运行安全监测、设备运行安全审计、设备及策略备份更新，对安全产品的cpu利用率、内存利用率、磁盘利用率、网络接口连通性设置告警阈值和告警规则，实时进行监控，若发现安全产品运行状态异常进行确认，若确认为产品故障则启动故障处理流程，在监测过程中根据实际情况对告警阈值进行调整，得到安全产品运行状态基线，根据告警规则对监测到的安全事件按照不同级别和类型进行不同告警，并将告警信息发送到安全管理平台，通过安全管理平台通知运维人员或巡检人员，根据安全事件的情况采取处理措施；利用安全管理平台结合资产信息找出网络访问日志、管理行为记录、操作行为记录、产品运行记录、网络流量中一种或多种数据之间的关联关系，设置关联分析规则和过滤条件，挖掘网络攻击、运行故障信息；通过策略配置、设备升级进行安全防护，对策略优化，对安全产品的策略和配置备份进行日常巡检；所述周期性安全策略优化建议包括：收集安全设备、网络环境、运维权限及现有安全策略信息，实施安全产品巡检，结合用户实际业务安全需求对现有安全策略进行差距评估和整改建议，进行策略优化；所述整改建议包括：安全策略优化建议，所述安全策略优化建议包括：访问控制策略优化实施方法、安全防护策略优化实施方法、行为审计策略优化实施方法。26.在优选实施例中，所述网络设备的安全评估包括：检查网络设备访问控制安全、检查网络设备安全防护配置、网络设备策略检查；所述检查网络设备访问控制安全包括：检查软件版本、设备漏洞、安全问题；所述检查网络设备安全防护配置评估包括：检查用户安全、系统口令安全，进行日志检查，评估设备访问控制安全、设备管理安全、网络设备服务安全，通过业务应用情况及安全基线配置进行评估；所述网络设备策略检查包括：评估现有网络设备、安全设备的策略配置和使用情况，评估策略配置是否满足业务需求并保证系统的安全性；所述身份鉴别包括：检测分析身份标识与鉴别机制措施、口令安全管理、账户锁定设置选项、账号安全管理并进行评估；所述访问控制包括：检测分析默认共享设置，是否符合最小授权原则，检测分析评估特权用户管理、文件系统安全特性、网络服务安全，并进行评估；所述安全审计包括：检测分析系统日志、审计策略并进行评估；所述入侵防范包括：检测分析补丁管理、漏洞风险并进行评估；所述恶意代码防范包括：检测分析恶意代码软件管理并进行评估；所述资源控制包括：检测分析资源控制策略并进行评估；所述应用系统的安全隐患包括：安全功能设计、安全弱点、安全部署中的弱点；所述检测分析输入验证包括：检测应用程序是否验证所有的输入数据、所有的输入数据是否验证长度、范围、格式、类型、是否有依赖于用户端验证码、应用程序是否信任写出到web页上的数据、是否过滤或转换用户提交数据中的所有代码及系统命令内容、在不同的信任边界之间传递数据时是否在接入口点验证数据，检测应用系统是否使用独立的数据库账号、分配最小的库、表及字段权限，检测数据库是否禁止或删除不必要的存储过程、是否屏蔽数据库错误信息，分析是否存在或可能存在将未经验证的数据写出到web页、利用未经验证的输入来生成sql查询、使用不安全的数据访问编码技术增加sqlinjection威胁、使用deny方法而非allow来筛选输入、使用输入文件或url或用户名进行安全决策、依赖于客户端验证中的一种或多种问题；所述检测分析身份验证包括：检测用户名和密码是否以明文的形式在未受保护的信道上发送、敏感信息是否有专门的加密方法、是否存储证书、若存储了检测如何进行存储和保护、是否执行强密码、执行什么样的密码策略、身份认证是否加入了二次认证、是否进行图形验证码或短信验证码、如何验证凭据、首次登录后如何识别经过身份验证的用户，分析是否存在或可能存在在未加密的网络链接上传递身份验证凭据或身份验证cookie、引起凭据捕获或会话攻击、是否存在利用弱密码和账号策略引起未经授权的访问；所述检测分析授权包括：检测是否进行了必要的行为审计、在应用程序入口点使用了什么样的访问控制、应用程序是否使用角色，若使用角色则检测对于访问控制和审核目的来说粒度是否足够细，检测应用是否限制访问系统资源，检测是否限制数据库访问、对数据库如何进行授权，分析是否使用越权角色和账户、是否提供足够的角色粒度、是否将系统资源限制于特定的应用程序身份；所述检测分析配置管理包括：检测如何保护远程管理界面、如何保护配置存储、对敏感配置数据是否加密、是否做到分离管理员特权、是否使用具有最低特权的进程和服务账户、是否对管理ip进行白名单策略管理，分析是否明文存储配置机密信息包括连接字符串和服务账户证书，分析是否保护应用程序配置管理的外观包括管理界面，分析是否使用越权进程账户和服务账户，分析安装脚本是否删除数据目录和文件名固定、配置文件扩展名，分析目录权限是否设置不当；所述检测分析敏感数据包括：检测是否在永久性存储中存储机密信息、如何存储敏感数据、是否在网络上传递敏感数据、敏感数据是否进行了灾备，分析是否在不需要存储机密信息时进保存、在代码中存储机密信息是否以明文形式存储机密信息、在网络上是否以明文形式传递敏感数据；所述检测分析会话管理包括：检测如何生成会话cookie、如何交换会话标识符、在跨越网络时如何保护会话状态、如何保护会话状态以防止会话攻击、如何保护会话状态存储、应用是否限制会话的生存期、应用程序如何用会话存储进行身份验证，分析是否在未加密信道上传递会话标识符、是否延长会话的生存期、是否在不安全的会话状态存储、会话标识符是否位于查询字符串中；所述检测分析加密技术包括：检测使用什么算法和加密技术、应用是否使用自定义加密算法，检测密钥有多长、如何进行保护，检测多长时间更换一次密钥、如何发布密钥，分析使用自定义加密方法、是否使用错误的算法或长度过短的密钥、是否没有保护密钥、对于延长的时间周期是否使用同一个密钥；所述检测分析异常管理包括：检测应用程序如何处理错误条件、是否允许异常传播回客户端、应用是否显示给客户端过多的信息、应用在哪里记录异常的详细资源、日志文件是否安全，分析是否验证所有的输入参数、是否显示给客户端的信息过多；所述检测审核和日志记录包括：检测应用是否确定进行审核的主要活动、应用的应用程序是否是跨所有层和服务器进行审核、如何保护日志文件，分析是否没有审核失败的登录、是否没有保护审核文件、是否没有跨应用程序层和服务器进行审核；所述检测分析习惯问题包括：检测编程习惯，分析程序员是否喜欢在服务器上直接修改程序，导致编辑器在服务器上生成多个备份文件，文件是否可能暴露程序代码，分析程序员是否将敏感信息包括数据库密码保存在文件中；所述渗透测试包括：在允许和可控范围内，采用可控的、不造成不可弥补损失的黑客入侵手法，对网络和系统发起攻击，侵入系统获取机密信息，根据入侵过程和细节形成报告；所述补丁检查、账号口令、网络服务的检查通过漏洞扫描工具进行检查；所述病毒防护的检查通过恶意代码查杀工具执行；所述本地策略的检查通过查看本地安全策略、检查脚本、配置扫描工具进行检查；所述数据库用户名和密码管理的检测分析包括：检测分析用户权限设置、密码策略设置、冗余账号的管理；所述数据库访问控制的检测分析包括：检测分析访问ip地址的控制、通讯安全配置；所述数据安全的检测分析包括：检测分析敏感信息的存储方式、数据库备份；所述数据库的安全审计检测分析包括：检测分析登录日志审计、操作日志审计；所述物理安全边界的检测分析包括：检测分析是否设置安全边界保护包含敏感信息、危险信息、信息处理设施的安全；所述物理入口控制的检测分析包括：检测分析在安全区域是否由入口控制进行保护，是否确保只有授权的人员才允许访问；所述办公室、房间、设施的安全保护的检测分析包括：检测分析办公室、房间、设施是否采用物理安全措施，所述外部和环境威胁的安全防护的检测分析包括：检测分析是否采用物理安全措施防范自然灾害、恶意攻击或事故；所述安全区域工作控制的检测分析包括：检测分析是否设计、应用用于安全区域工作的物理保护措施和指南；所述交付和交接区的检测分析包括：检测分析访问点包括交接区和未授权人员进入办公场所的其他点是否进行控制，是否与信息处理设施隔离，是否避免未授权访问；所述设备安置和保护的检测分析包括：检测分析是否安置及保护设备，是否减少或避免环境威胁与危害，是否减少或避免未经授权的访问；所述支持性设备的检测分析包括：检测分析是否保护设备，是否使设备免于因支持性设施的失效而引起的电源故障或终端；所述布缆安全的检测分析包括：检测分析是否保护传输数据或支持信息服务的电力及通讯电缆，是否使其免遭拦截或破坏；所述设备维护的检测分析包括：检测分析是否正确保护设备，是否确保设备持续的可用性、完整性；所述资产的移动的检测分析包括：检测分析设备、信息、软件在授权前是否不能带出组织；所述场外设备和资产安全的检测分析包括：检测分析是否对场所外的资产采用安全措施，是否考虑工作在组织场所外的不同风险；所述设备的安全处置或再利用的检测分析包括：检测分析是否对包含存储介质的设备的所有项目进行核查，是否确保在处置之前任何敏感信息和注册软件已被删除或安全地写覆盖；所述无人值守的用户设备的检测分析包括：检测分析无人值守的用户设备是否有保护；所述清空桌面和屏幕策略的检测分析包括：检测分析是否采用清空桌面上文件、可移动存储介质的策略，是否采用清空信息处理设施的屏幕策略；所述中间件用户名和密码管理的检测分析包括：检测分析用户权限设置、密码策略设置、冗余账号的管理；所述中间件安全审计的检测分析包括：检测分析登录日志审计、操作日志审计；所述中间件的入侵防范策略的检测分析包括：检测分析ssl保护开启、默认端口修改、应用服务器socket数量限制。27.在优选实施例中，所述信息收集分析包括：检索方针文件、规章制度及过程管理记录、信息系统总体描述文件、信息系统详细描述文件、信息系统安全保护等级定级报告、安全需求分析报告、信息系统安全总体方案、安全现状评价报告、信息系统安全详细设计方案、用户指南、运行步骤、网络图表、配置管理文档中一种或多种资料，分析信息系统的基本信息、管理框架、网络及设备部署、业务种类及特性、业务数据、用户范围、用户类型，进行综合分析及整理，分析信息系统的行业特征、主管机构、业务范围、地理位置、背景信息、联络方式、组织管理结构、管理策略、部门设置、部门在业务运行终端作用、岗位职责、物理环境、网络拓扑结构、硬件设备部署情况、范围及边界、业务种类及特性、业务流程、业务安全保护等级，形成信息系统基本情况分析报告；所述确定测评对象包括：检测信息系统信息，分析整个单位信息系统及其涉及的业务系统，根据所述信息系统基本情况分析报告识别出信息系统的整体结构并加以描述，描述内容包括信息系统的标识、信息系统的物理环境、信息系统的网络拓扑结构、信息系统的外部边界的连接情况，给出网络拓扑图，识别出信息系统边界并加以描述，描述内容包括信息系统与其他网络进行外部连接的边界连接方式，包括采用光纤、无线、专线，描述边界的设备包括防火墙、路由器、服务器中的一种或多种，若信息系统边界连接处有共有设备将该设备划到等级相对较高的信息系统中，对于没有进行区域划分的信息系统根据信息系统实际情况进行划分并加以描述，描述内容包括区域划分、每个区域的主要业务应用、业务流程、区域的边界以及它们之间的连接情况，以区域为线索描述信息系统节点，描述各区域内计算机硬件设备、网络硬件设备、通信线路、应用系统软件并说明各节点之间的连接情况，所述计算机硬件设备包括服务器设备、客户端设备、打印机、存储器，所述网络硬件设备包括：交换机、路由器、适配器；对上述描述内容进行整理确定测评信息系统并加以描述，描述以信息系统的网络拓扑结构为基础，总分式描述方式，先说明整体结构，然后描述外部边界连接情况、边界主要设备，再描述信息信息系统的网络区域组成、业务功能及相关设备节点；分析各业务系统，分析业务系统的重要程度及其相关设备、组件，确定测评对象，根据业务系统的类别进行描述，包括网络、网络设备、服务器、主机、应用系统，采用列表方式描述每类测评对象，包括测评对象所属区域、设备名称、用途、设备信息、抽查说明；所述确定测评指标包括：根据信息系统基本情况分析报告获取信息系统的定级结果，包括业务信息安全保护等级和系统服务安全保护等级，得出信息系统应采取的安全保护措施asg(a系统服务保证类、s业务信息安全类、g基本要求类)组合情况，根据标准选择相应等级的安全要求作为测评指标，包括对asg三类安全要求的选择，分别针对每个业务系统进行描述，描述内容包括业务系统的定级结果、指标选择；所述确定测评内容包括：确定单向测评内容和系统测评内容，分析信息系统基本情况分析报告、测评方案的测评对象、测评指标、测评工具接入点，将测评指标和测评对象结合起来，再将测评对象与测评方法结合起来，将各层面上的测评指标结合到具体测评对象上并说明测评方法，构成测评实施的单元，结合测评指标和测评对象说明单项测评实施工作内容，根据测评工具接入点编制相应测评内容，单向测评内容包括测评指标、测评对象、测评方法、测评实施，根据相关标准的测评方法结合信息系统的实际情况及测评经验确定系统测评内容，输出测评方案的单项测评实施和系统测评实施部分；所述测评指导书开发包括：根据测试工具接入点、单项测评实施和系统测评实施部分描述单个测评对象包括测评对象的名称、ip地址、用途、管理人员，根据单项测评实施和系统测评实施部分确定测评活动包括测评项、测评方法、操作步骤和预期结果，输出测评方案的测评指导书；所述测评项指标准中对测评对象在用例中的要求，所述测评方法包括：访谈、文档检索查看、配置检查、工具测试、实地检测查看中的一种或多种；每个测评项对应一个或多个测评方法；所述操作步骤包括测评活动中执行的命令或步骤，若涉及工具测试则描述检测设备和工具要求包括检测设备的型号、规格、工具的版本；所述预期结果包括按照操作步骤在正常情况下得到的结果和获取的证据；所述编制测评方案包括：根据委托测评协议和信息系统基本情况分析报告提取项目来源、信息系统所在单位整体信息化建设情况、及与单位其他系统之间的连接情况，根据等级保护过程中的等级测评实施要求将测评活动所依据的标准罗列出来，根据委托测评协议和信息系统情况估算测评工作量，并根据配置检测的节点数量和工具测试的接入点及测试内容进行估算；根据测评经验及信息系统规模编制具体的测评计划，包括人员分工和时间安排，测评避开信息系统的业务高峰期，根据上述内容及方案编制活动的任务获取的内容形成测评方案初稿，经评审、确认后输出测评方案；所述准备测评实施包括：确认测评需要的资源包括配合人员和测评条件，根据要求更新测评计划或测评程序；所述现场测评和结果记录包括：检查标准规定的必须具备的制度、策略、操作规程是否齐备，检查是否有完整的制度执行情况记录，包括机房出入登记记录、电子记录、高等级系统的关键设备的使用登记记录，对文档进行审核分析，检查文档的完整性和文件之间的内部一致性；根据测评结果记录检查应用系统、主机系统、数据库系统及网络设备的配置是否正确，是否与文档、相关设备和部件保持一致，对文档审核的内容进行核实，包括日志审计；若系统接收到无效命令不能完成配置检查则进行错误测试；针对网络连接对连接规则进行验证；根据测评方案对系统进行测试包括基于网络探测和基于主机审计的漏洞扫描、网站漏洞扫描、数据库漏洞扫描、渗透性测试、性能测试、入侵检测、协议分析；根据信息系统的实际情况检测人员行为、技术设施、物理环境状态判断人员的安全意识、业务操作、管理程序、系统物理环境的安全情况，测评是否达到了相应等级的安全要求，记录管理安全测评的测评结果，记录技术安全测评的网络、主机、应用测评结果，记录技术安全测评的物理安全测评结果、工具测评后测试结果；所述结果确认和资料归还包括：汇总测评记录，对测评中发现的问题、证据、证据源进行汇总，对漏掉和需要进一步验证的内容进行补充测评，记录测评中发现问题的汇总、证据、证据源；所述单项测评结果判定包括：检测每个测评项，若该测评项为适用项则将测评实施时实际获得的多个测评结果与预期的测评结果进行比较，分别判断每一个测评结果与预期结果之间的符合性，得出每个测评项对应测评实施的测评结果，判断符合与否；根据所有测评结果的判断情况，综合判断该测评项的测评结果，判断为符合、部分符合或不符合，输出单项测评记录和结果；所述单项测评结果汇总分析包括：按层面分别对不同测评对象对应测评指标的单项测评结果进行汇总，包括测评项数、符合要求的项数；所述整体测评包括：针对测评对象的不符合或部分符合的单项测评项，分析与该测评相关的其他安全控制能否与其发生关联关系、发生什么样的关联关系，这些关联关系产生的作用是否能弥补该测评项的不足；分析与该测评项相关的其他层面的其他测评对象能否与其发生关联关系、发生什么样的关联关系，这些关联关系产生的作用是否能弥补该测评项的不足；分析与该测评项相关的其他区域的其他测评对象能否与其发生关联关系、发生什么样的关联关系、这些关联关系产生的作用是否能弥补该测评项的不足；从安全角度分析信息系统整体结构的安全性，从系统角度分析信息系统整体安全防范的合理性；输出信息系统整体测评结果；所述形成安全测评结论包括：结合单项测评结果和整体测评结果将物理安全、主机安全、应用安全层面中各个测评对象的单项测评结果再次汇总分析，统计符合的情况；分析不符合要求的测评项给信息系统带来的安全隐患及存在的原因，判断对信息系统整体保护能力造成的影响；根据单项测评结果进行汇总分析的结果，若存在未达到要求的测评项则判定该信息系统未达到相应等级的基本安全保护能力，若所有测评项都达到要求则判断该信息系统达到了相应等级的基本安全保护能力；输出等级测评结论；所述编制测评报告包括：针对信息系统存在的安全隐患从系统安全角度提出改进建议，根据测评方案、单项测评记录与结果、单项测评结果汇总分析、整体测评结构、等级测评结论编制测评报告，根据信息系统的数量形成相应的测评报告，给出测评的文档清单和单项测评记录、及对各个测评项的单项测评结果判断情况；根据测评协议书、相关文档、测评原始记录及辅助信息对测评报告进行评审、确认，输出信息系统等级测评报告；所述安全策略包括：草案设计、评审、实施、培训、部署、监控、强化、重新评估、修订，通过管理保证安全策略的及时性与有效性；所述安全技术体系为信息系统框架的基础，包括：网络安全、主机安全、终端安全、应用安全、数据安全、安全综合管理平台，以安全策略为指导，从网络安全防护、主机系统安全防护、应用安全防护、终端安全防护、数据安全防护多层次出发建立各个部分协同的完整的安全技术防护体系；所述安全组织与管理体系立足于总体安全策略并与所述安全技术体系相互配合；所述运行保障体系包括：安全运维管理、日常运行保障、安全应急响应、数据系统备份；所述安全运维管理包括：网络安全运维管理、主机安全运维管理、应用安全运维管理；所述网络安全运维管理包括：对网络系统全网进行统一的操作认证、授权、审计，对网络系统采用动态密码进行设备维护操作认证，对操作命令进行加密传输，只有授权的用户才能对网络设备进行维护管理，对网络系统的设备管理员设置至少二级设备操作权限，并与操作命令对应设置，禁止超越权限的管理维护操作，只有授权的操作才被执行；网络系统的运维操作须被审计，审计内容包括：操作命令、操作者、操作时间，确保授权的用户进行授权操作；所述主机安全运维管理包括：主机系统进行统一的操作认证、授权、审计；所述应用安全运维管理包括：应用系统进行统一的操作认证、授权、审计；所述数据系统备份包括：根据数据备份要求、业务系统的重要性及恢复成本制定备份策略和恢复目标，按备份策略定期备份服务器的数据，包括操作系统、数据库、文件，系统的数据备份介质根据数据重要程度进行异地存放，异地备份数据至少包括全部业务系统原始数据和恢复系统必须的静态数据，数据恢复支持多平台，通过灾难恢复磁带将整个系统迅速恢复；所述恢复目标包括：可容忍的数据丢失量和可容忍的系统恢复时间；所述物理安全测评包括：测评信息系统对应的物理安全设置，包括测评物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水、防潮、防静电、温湿度控制、电力供应、电磁防护配置；所述网络安全测评包括：路由器/交换机测评、防病毒系统测评、主机系统安全测评、应用安全测评、数据安全测评；所述路由器/交换机测评包括：测评路由器/交换机应对重要操作，包括测评结构安全域网段划分、网络访问控制、网络安全审计、边界完整性检查、网络设备防护配置；所述防病毒系统测评包括：测评防病毒系统应对重要操作，包括测评结构安全与网段划分、网络安全审计、网路如今防范、恶意代码防范、网络设备防护配置；所述主机系统安全测评包括：测评操作系统应对重要操作，包括测评令牌的使用、账户认证、密码管理、登录限制、身份标识和鉴别、主体和客体的访问控制、用户授权、安全审计、报警、监控、系统保护、恶意代码保护、剩余信息保护、资源控制配置；所述操作系统包括：windows系统、linux操作系统；所述windows系统的测评包括测评账户及口令设置是否有足够强度、包括测评账户选择或设置、口令长度、组成、生存周期，测评桌面应用软件是否有合法来源、是否设置屏保，测评注册表安全设置、smp(symmetric multi-processor对称多处理器结构)服务、rpc(remote procedure call远程过程调用协议)服务、安全最新补丁防病毒软件安装、系统资源分配；所述linux操作系统的测评包括：测评操作系统应对重要操作包括测评令牌的使用、账户认证、密码管理、登录限制、身份标识和鉴别、主体和客体的访问控制、用户授权、安全审计、报警、监控、系统保护、恶意代码保护、剩余信息保护、资源控制支持的版本、本地缓冲区溢出漏洞、安装最新的安全补丁、无关服务是否为off状态或不存在不必要服务、账户密码、rootpath环境变量、与其他主机的信任关系、系统加固tcp/ip协议栈配置；所述应用安全测评包括：对应用系统身份标识和鉴别、主体和客体的访问控制、用户授权、安全审计、剩余信息保护、资源控制进行检查、测评；所述数据安全测评包括：对应用系统的数据完整性和数据保密性、数据备份进行核查；所述操作系统加固包括：开启操作系统密码策略，强制密码符合复杂性要求并定期更换密码，为每个管理员建立独立的账户，修改默认远程运维端口，对管理员远程登录地址采用单个用户级控制，设置非法登录策略，设置审核策略；设置重要文件权限控制策略，删除不必要的默认共享；禁用不必要的服务和端口，更新系统漏洞补丁，重命名系统默认账户；根据管理用户的角色分配权限，管理用户权限分离，授予管理用户所需的最小权限；将操作系统和数据库系统特权用户的权限分离，根据实际情况对终端登录进行限制，限制单个用户对系统资源的最大或最小使用限度，检测系统的服务水平，若系统的服务水平降低于预先规定的最小值则进行报警，设置远端系统强制关机、设置取的文件或对象的所有权、设置从本地登录此计算机、设置从网络访问此计算机，启用tcp/ip筛选、开启系统防火墙、启用syn攻击保护，启用屏幕保护程序、设置microsoft网络服务器挂起时间，关闭服务、修改snmp服务密码，关闭无效启动项、关闭windows自动播放功能；所述网络/安全设备加固包括：重命名网络设备和安全设备的默认账户，设置强度较高的密码长度和策略，远程登录地址采用单个用户级控制，为各个设备管理员设立独立的用户账号，取消telnet模式，采用安全的远程管理登录方式包括ssh，取消默认的无用的服务或协议，带宽分配优先级别设置，配置端口级的访问控制，设置应用层过滤，设置网络流量控制，设置登录失败处理策略，网络拓扑环境调整、规划；所述数据库加固包括：检查数据库当前配置，分别对账号、授权、密码、日志、策略、补丁进行加固，为不同管理员分配不同的账号、删除或锁定无效账号、限制超级管理员远程登录、权限最小化，缺省密码长度复杂度限制、缺省密码生成周期限制、密码重复使用限制，启用日志记录功能、记录用户对设备的操作、记录系统安全事件、数据库审计策略；所述信息安全管理制度建立及完善包括：根据标准规范要求，建立健全并落实符合相应等级要求的安全管理制度，所述信息安全管理制度建立及完善还包括：落实信息安全责任，成立信息安全工作领导小组、信息安全管理部门或信息安全责任部分，明确信息安全工作，确定安全岗位，落实人员，明确落实领导机构、责任部门、人员信息安全责任；落实人员安全管理制度，制定人员录用、离岗、考核、教育培训的管理制度，落实管理制度的具体措施，对安全岗位人员进行安全审查、培训、考核、和安全保密教育；落实系统建设管理制度，建立信息系统定级备案、方案设计、产品采购使用、密码使用、软件开发、工程实施、验收交付、等级测评、安全服务管理制度，明确工作内容、工作方法、工作流程、工作要求；落实系统运维管理制度，建立机房环境安全、存储介质安全、设备设施安全、安全监控、网络安全、系统安全、恶意代码防范、密码保护、备份与恢复、事件处置管理制度，制定应急预案，定期进行演练。28.一种基于单位的网络安全防护安全系统，包括：29.漏洞扫描模块；确定方案，配置策略，系统备份，实施扫描，结果分析，再进行扫描，进行漏洞修复，二次复查，进行扫描，根据安全漏洞知识库检测网络协议、网络服务、网络设备中任意一种或多种的信息资产存在的安全隐患和漏洞，分析，识别处可能被入侵者用来非法进入网络或非法获取信息资产的漏洞，并提醒，接收主机扫描指令或进行主机扫描时，先对主机进行数据备份，若服务器为双机热备系统，则在一次扫描会话中对其中一台进行扫描，对特殊要求的主机或网络设备调整扫描对象策略，采用针对某系统的单个主机扫描方式，每次扫描一个ip，扫描结束后扫描下一个ip，将生产网段进行扫描的设备的扫描时间调整到不影响到业务的时间段；30.基线检查模块：对目标信息系统中的网络设备、安全设备、操作系统、数据库、中间件的登录信息收集，登录目标设备对设备配置进行检查，记录配置信息，进行配置安全分析，根据收集的登录信息对网络设备、安全设备、操作系统、数据库、中间件进行逐一登录，测试登录信息收集的准确性和提供账号的权限情况，分析是否能够覆盖全部的安全配置检查内容，形成基线检查报告；31.检查网络及安全设备模块：检查设备管理、账号管理、认证授权、登录方式、日志审计、服务端口优化、安全防护、安全策略合理性，包括检查操作系统单元、检查数据库单元、检查web服务器、中间件单元；32.全流量威胁分析模块：利用威胁数据情报，利用采集到的全网流量进行分析，检测内部失陷主机、外部攻击、内部违规、和内部风险，对事件进行分析、研判、溯源，分析当前网络内的资产信息和相关的统计数据；33.内网资产发现模块：对内网信息系统主机资产和web服务器进行梳理，对内网资产台账进行全生命周期动态管理，包括：主机资产服务发现单元、web服务发现单元、资产可视化展示单元；34.应急响应模块：监控业务系统中的安全问题，通过大数据分析进行互联网层面攻击溯源，分析安全事件原因，追查事件来源，进行安全事件分类，通过大数据分析与安全威胁情报防御攻击，发现未知危险的网络行为，对攻击源头进行定位；35.应急演练模块：分析判断，若判断为疑似计算机病毒爆发事件，判断是否为系统问题，若为系统问题则启动系统应急预案，若不是系统问题则判断是否为病毒爆发事件，若为病毒爆发事件则执行通报流程，若判断不是病毒爆发事件则判断是否具备网络传播性，若判断具备网络传播性则判断是否需要隔离被感染主机，若判断需要被隔离则断开该主机网络连接，启动系统应急预案，判断是否需要执行杀毒措施，若判断不需要被隔离则直接判断是否需要执行杀毒措施，若判断需要执行杀毒措施则判断是否会对系统数据造成破坏，若判断会对系统造成破坏则进行系统备份后执行杀毒措施，若判断不会对系统造成破坏则直接执行杀毒措施，执行后判断病毒是否清理完毕，若判断不需要制定杀毒措施则直接判断是否把病毒清理完毕，若判断病毒清理完毕则恢复隔离主机的网络连接，执行通报流程；若执行杀毒措施后仍存在病毒则继续执行新的病毒查杀措施，直至病毒清理完毕；36.渗透测试模块包括：web渗透测试单元、高级渗透测试单元；所述web渗透测试单元：模拟真实的安全攻击，发现黑客入侵信息系统的潜在可能途径，包括：信息收集、远程溢出、口令猜测、本地溢出、企业用户端攻击、中间人攻击、web脚本及应用测试；所述高级渗透测试单元包括：结合信息安全最佳安全实践，模拟针对性打击，以互联网侧资产或内部不可信/半可信区域作为渗透入口，模拟黑客内网攻击获取内网最高权限或敏感数据进行进一步渗透测试，包括评估外部资产状况、寻找内部网接入点与利用互联网资产中存在可利用内网接入点、部署跳板机对内部网络进行内网渗透；37.安全运维模块包括：日常安全运维单元、重要时刻安全保障单元、周期性安全巡检单元；所述日常安全运维单元包括：安全策略优化、安全产品运维、安全评估；所述安全策略优化：对安全控制策略是否起到作用、是否合理进行检查和改进，包括：调研、制定方案、策略优化、输出报告；所述安全产品运维包括：设备运行安全监测、设备运行安全审计、设备及策略备份更新；所述安全评估包括：通过安全扫描评估及时发现信息系统中存在的安全漏洞，对windows、linux服务器及安全设备进行漏洞整改，根据申请、结合安全漏洞知识库于非业务高峰期对信息资产进行安全扫描，不使用含有拒绝服务类型的扫描方式，在扫描过程中若出现扫描系统没有响应的情况则立即停止扫描，分析情况确定原因后，恢复系统，调整扫描策略后进行扫描；所述重要时刻安全保障单元包括：重大节假日前主动探测用户在外网上暴露的资产，形成资产清单，根据资产发现结果进行精准漏洞扫描，针对特定漏洞进行全面排查，针对包括高危系统漏洞、高危蠕虫病毒、恶劣入侵与攻击中的一种或多种情况的重大安全事件进行通知，提供事件类型、影响范围、解决方案、预防方案中的一种或多种信息，对重要系统进行全面安全检查、安全加固，并对安全加固结果进行复测，确认安全问题及时有效修复；节假日中对防火墙、web应用防火墙、ids/ips、负载均衡、网页防篡改系统、网络安全审计系统进行实时告警监控及日志分析，对防病毒软件及查杀记录进行监控，对应用系统、数据库系统的状态和业务平台进行监控和日志分析，若遭到攻击或发现入侵中一种或多种事故则及时进行调查、分析，追查、分析事故来源和原因，根据调查原因及事故情况提出解决方法，并记录事故、事故分析、解决方法、追查方案；所述周期性安全巡检单元包括：周期性安全产品巡检、周期性安全策略优化建议；38.风险评估模块包括：网络安全评估单元、主机安全评估单元、应用安全评估单元、终端安全评估单元、数据安全评估单元、物理安全评估单元、中间件安全评估单元、管理安全评估单元；所述网络安全评估单元包括：对组织的网络拓扑架构、安全域规划、vlan划分、网络设备配置、安全设备配置、安全防护措施进行分析，对物理网络结构、逻辑网络结构、网络设备进行安全评估，发现网络结构存在的安全性、网络负载问题，网络设备存在的安全性、抗攻击问题，评估网络的安全现状，发现存在的安全性、合理性、使用效率问题；所述主机安全评估单元包括：对操作系统、账号、认证、授权、网络服务、系统日志、补丁升级、病毒防护、本地安全策略进行分析，发现系统配置和运行中存在的安全漏洞和安全隐患，根据业务应用情况、安全基线配置情况进行分析评估，包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、资源控制；所述应用安全评估单元包括：根据应用系统的账号、认证、授权、审计、性能资源、备份恢复、渗透测试对应用系统进行安全评估，检测分析输入验证、身份验证、授权、配置管理、敏感数据、会话管理、加密技术、异常管理、审核和日志记录、习惯问题，查找应用系统的安全漏洞和安全隐患；所述终端安全评估单元包括：检查补丁、账号口令、网络服务、病毒防护、本地安全策略，根据补丁升级、病毒防护、账号口令、网络服务、本地安全策略对终端的安全状况进行评估，查找终端的安全漏洞和安全隐患；所述数据安全评估单元包括：检测分析数据库用户名和密码管理、数据库访问控制、登录认证方式、数据安全、安全漏洞检查、补丁管理、数据库的安全审计，根据数据的机密性、完整性、可用性对数据安全状况进行主估，查找数据层面可能存在的安全漏洞和安全隐患；所述物理安全评估单元包括：检测分析物理安全边界、物理入口控制，检测分析办公室、房间、设施的安全保护，检测分析外部和环境威胁的安全防护、安全区域工作控制、交付和交接区、设备安置和保护、支持性设备、布缆安全、设备维护、资产的移动、场外设备和资产安全、设备的安全处置或再利用、无人值守的用户设备、清空桌面和屏幕策略，根据机房物理环境、访问控制、电力供应、线缆布放、设备摆放、标签规范、机房制度评估网络机房的安全；所述中间件安全评估单元包括：检测分析中间件用户名和密码管理、中间件安全审计、登录认证方式、通信保密性、资源控制、中间件的入侵防范策略，评估中间件的安装部署、配置参数的实现是否符合应用运行安全要求；所述管理安全评估单元包括：根据安全组织、安全制度、安全人员、安全运维、安全应急、安全培训对信息安全管理现状进行评估，查找可能的安全隐患和缺失点。39.信息系统等级保护测评模块包括：等级保护差距测评单元、安全保障体系设计单元、等级保护测评单元、信息系统软整改单元，所述等级保护差距测评单元包括如下过程：信息收集分析、准备工具和表单、确定测评对象、确定测评指标、确定测评工具接入点、确定测评内容、测评指导书开发、编制测评方案、准备测评实施、现场测评和结果记录、结果确认和资料归还、单项测评结果判定、单项测评结果汇总分析、整体测评、形成安全测评结论、编制测评报告；所述安全保障体系设计单元包括：通过信息系统等级保护差距测评分析当前网络和信息系统的弱点与风险，进行安全整改，完成相应产品的拓扑设计，实施安全技术措施，完善安全管理制度；结合信息系统等级保护差距测评结果、依照信息安全等级保护要求、根据实际情况制定信息安全体系框架，所述信息安全体系框架包括：安全策略、安全技术体系、运行保障体系、安全组织与管理体系，所述安全策略与安全技术体系、运行保障体系、安全组织与管理体系三大体系相互作用，所述安全技术体系、运行保障体系、安全组织与管理体系三大体系在所述安全策略的指导下构建，将安全策略中制定的各个要素转化成技术实现方法和管理、运行保障手段，实现所述安全策略中制定的目标；所述等级保护测评单元包括：对信息系统安全等级保护状况进行测试评估，包括测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况的安全控制测评与测评分析信息系统的整体安全性的信息系统整体测评，对所述安全控制测评的描述采用工作单元方式组织，工作单元包括安全技术测评和安全管理测评，所述安全技术测评包括：物理安全测评、网络安全测评、主机系统安全测评、应用安全测评、数据安全测评多层面上的安全控制测评，所述安全管理测评包括安全管理机构测评、安全管理制度测评、人员安全制度测评、系统建设管理测评、系统运维管理测评多方面的安全控制测评；所述信息系统软整改单元包括：通过等级保护差距测评的差距测评报告分析当前网络和信息系统的弱点和风险，包括操作系统、数据库、网络安全设备的弱点与风险，根据设备的安全配置加固规范对操作系统、数据库、网络安全设备进行逐条核查加固，制定相关的风险规避措施，包括操作系统加固、网络/安全设备加固、数据库加固、信息安全管理制度建立及完善；40.互联网威胁检测与主动响应模块包括：为互联网业务提供风险评估、实时监测、篡改处置、应急对抗，重新获得更安全的保障；所述风险评估包括：评估暴露面、脆弱性、内容安全，作为基线，定期持续复查，定期对资产变化进行监测，持续分析新增资产引入的风险情况；所述实时监测包括：实时监测页面篡改、0day、网马、黑链、dns、可用性安全事件并生产报告及时通知用户；所述篡改处置包括：通过dns技术快速替换被篡改站点；所述应急对抗包括：云端应急对抗，保障敏感数据。41.上述基于单位单元的网络安全防护安全方法及系统利用云计算技术融合评估、防护、监测、响应模块，打造由多引擎智能驱动，围绕业务生命周期，深入黑客攻击过程的自适应安全防护平台，帮助用户全面代管业务安全问题，交付全程可视的安全服务。通过主动评估风险，防患于未然，分布式扫描系统在业务上线时会对业务进行一次全面评估，同时每天监测业务变化情况，分析引入的新风险问题，实现对风险变化的快速感知。还原攻击行为，联动防护，基于黑客攻击过程的完整web系统安全防护，通过威胁情报共享机制全球联动封锁攻击源，有效避免出现第二个受害者。在线发掘业务风险研判攻击趋势，持续对抗攻击调优防护策略，在线实时响应及时处置安全事件，全面帮助用户代管业务安全问题，保障业务。利用机器学习、安全大数据等智能技术，不断挖掘威胁情报和隐蔽攻击，以集成联动的方式运行评估、防护和监测三大引擎，结合分布式架构，可以快速应对各种攻击威胁，并持续完善防护功能。42.漏洞扫描过程中，进行主机扫描之前做好数据备份工作，对属于双机热备的系统在一次扫描会话中只选取其中一台进行扫描；对特殊要求的重要主机或者网络设备调整扫描对象策略，不采用对生产系统的网段扫描方式，改用针对某系统的单个主机扫描方式，每次只扫描一个ip，扫描结束之后再设置扫描下一个ip，将风险率降至最低；对生产网段进行扫描的时间调整到不影响业务的时间段。漏洞扫描策略最大化，有效检查目标系统上最新的安全漏洞。漏洞扫描影响最小化，在扫描策略中去除ddos选项，并根据客户方提供的资料分析，有针对地选择端口扫描策略，保证目标系统正常运行。扫描目标中凡有双机热备的主机，两台主机应分在不同的会话中进行漏洞扫描。扫描顺序为先扫描备机，后扫描主机，保证业务的连续性。43.漏洞扫描尤其在对大范围ip进行漏洞检查的时候，进行扫描评估能对被评估目标进行覆盖面广泛的安全漏洞查找，并且评估环境与被评估对象在线运行的环境完全一致，能较真实地反映主机系统、网络设备所存在的网络安全问题和面临的网络安全威胁。通过安全扫描评估扫描网络中的核心服务器及重要的网络设备，包括服务器、交换机、防火墙等，以对网络设备进行安全漏洞检测和分析，对识别出的可能被入侵者用来非法进入网络或者非法获取信息资产的漏洞，提醒安全管理员，及时完善安全策略，降低安全风险。44.通过安全基线检查工作，发现各类服务器、网络设备、安全设备等it设备自身存在的安全漏洞和薄弱环节，并对发现的脆弱性进行识别、分析、修补、检验，消除、降低it设备的高、中风险隐患，防范安全事件发生，避免信息系统脆弱性被非法利用，增强信息系统安全防范能力，保障业务的可持续性。45.全流量威胁检测分析主要利用威胁数据情报，利用采集到的全网流量并采用分析模型，提供内部失陷主机、外部攻击、内部违规和内部风险等关键信息安全问题的周期性的检测、发现和响应服务。提升主动应对安全威胁能力，在信息安全方面构建最后一道“防火墙”。全流量威胁检测分析还可以协助了解内部的业务流程访问，为后续利用大数据分析技术来开展安全分析、安全数据的基线、安全数据的深度挖掘和安全数据的审计都提供了必要的基础。46.紧急安全事件应急响应，当安全威胁事件发生后迅速采取的措施和行动，最快速恢复系统的保密性、完整性和可用性，阻止和降低安全威胁事件带来的严重性影响。并依托大数据分析技术提供互联网层面攻击溯源服务，保障系统平稳运行，维护业务系统的安全。预拟定了安全事件级别分类和响应方式，能够快速准确保障响应服务的到位。及时监控并发现业务系统中出现的安全问题，以便对安全事件进行及时的响应，并在在安全事件响应中准确定位问题所在，及时排查故障，回复业务。充分利用安全大数据资源及安全威胁情报信息，有提升未知威胁感知和防御能力，有效防御apt等新型攻击，实现早期的快速发现未知威胁的网络行为，攻击源头进行精准定位。47.渗透测试采用各种手段模拟真实的安全攻击，从而发现黑客入侵信息系统的潜在可能途径。高级渗透测试结合国际国内信息安全建立最佳安全实践，模拟高级黑客针对性打击，以互联网侧资产或内部不可信/半可信区域作为渗透入口，模拟黑客内网攻击获取内部网络最高管理权限或敏感数据为目的而进一步进行的渗透测试，全面评估企业目前整体安全现状的有效性及安全分析能力，并根据测试结果提出相应的整改加固建议，协助用户完成整改加固实施，提高用户互联网侧业务系统及内部整体网络的安全水平。48.系统上线安全评估是应用系统生命周期中的一个重要环节，在对应用系统建设规划和现状充分调研的基础上，制订系统上线前的安全检测方案，并根据信息系统平台建设情况，按照系统上线前安全检测方案实施检测工作，进行彻底全面的安全弱点评估，发现潜在的安全漏洞。通过上线前的检测工作，对应用系统所覆盖的全部资产再次进行确认识别，完成对应用系统等级保护建设措施落实情况的合规性分析，对应用系统等级保护实施的各项安全措施和管理制度进行全面的风险评估，明确残余风险；依据风险评估结果、上线前检测结果、合规性分析结果，进行差距分析，提出安全改进建议，确保新系统上线前安全。49.安全策略优化对现场安全设备、网络环境、运维权限及现有策略进行分析、调优后保障安全策略的高效使用，安全产品运维服务进行安全产品状态监控、安全事件告警监控、安全产品升级更新版本及规则库，策略备份等工作保障设备安全高效运行；安全评估服务通过分析对基础设备进行定期评估，找出存在的问题及漏洞所在，提出解决方案进行优化提升。50.为了保证客户在重大节假日时期的安全，设计了以安全保障，覆盖事前、事中、事后三个重要环节的监测预警、安全测试、事件发现等，贯穿预警、防护、监控、响应全过程。保障客户信息系统持续的安全，在影响发生前降低风险，在事件发生后及时发现、解决问题。51.风险是具有破坏能力的某种事物发生的可能性。风险管理是识别、评估风险、并将这些风险减小到一个可以接受的程度，并实行正确的机制以保持这种程度的风险的过程。风险分析是识别风险及其可能造成的损失，从而调整安全防护措施的方法。任何企业的网络与信息系统随着其不断的发展，网络与信息系统的作用日益增强，面临的弱点、威胁以及潜在的风险都会对整个业务造成极大的影响，因此企业针对网络与信息系统的安全管理可以“风险管理”的科学方法，安全工作防患于未然，提升客户的安全保障水平和能力。52.基于网络安全运行及业务安全保障的需要，建立科学的网络运行保障，深度挖掘相关网络业务中的安全问题，通过安全监测与安全运维全面保障网络安全运行及事件响应速度，并通过安全服务找出网络目前技术层面上的不足之处，推动安全技术防护体系，真正把安全技术防护措施发挥最大效能，最终保障网络合规安全运行，并实现数据安全。53.互联网威胁检测与主动响应提供持续的风险评估+实时监测+篡改处置+应急对抗服务，让用户重新获得更加安全的保障。附图说明54.图1为本发明一实施例的信息安全体系框架图；55.图2为本发明一实施例的信息系统安全等级保护测评的示意图。具体实施方式56.本发明一实施例的基于单位单元的网络安全防护安全方法，包括：57.漏洞扫描；确定方案，配置策略，系统备份，实施扫描，结果分析，再进行扫描，进行漏洞修复，二次复查，进行扫描，根据安全漏洞知识库检测网络协议、网络服务、网络设备中任意一种或多种的信息资产存在的安全隐患和漏洞，分析，识别处可能被入侵者用来非法进入网络或非法获取信息资产的漏洞，并提醒，接收主机扫描指令或进行主机扫描时，先对主机进行数据备份，若服务器为双机热备系统，则在一次扫描会话中对其中一台进行扫描，对特殊要求的主机或网络设备调整扫描对象策略，采用针对某系统的单个主机扫描方式，每次扫描一个ip，扫描结束后扫描下一个ip，将生产网段进行扫描的设备的扫描时间调整到不影响到业务的时间段；58.基线检查：对目标信息系统中的网络设备、安全设备、操作系统、数据库、中间件的登录信息收集，登录目标设备对设备配置进行检查，记录配置信息，进行配置安全分析，根据收集的登录信息对网络设备、安全设备、操作系统、数据库、中间件进行逐一登录，测试登录信息收集的准确性和提供账号的权限情况，分析是否能够覆盖全部的安全配置检查内容，形成基线检查报告；59.检查网络及安全设备：检查设备管理(如console(控制台)、ssh(secure shell安全外壳协议)、管理ip、aaa(authentication、authorization、accounting认证、授权、计费)等)、账号管理、认证授权、登录方式、日志审计、服务端口优化、安全防护(如snmp(简单网络管理协议)、协议加密、地址欺骗等)、安全策略合理性，包括检查操作系统、检查数据库、检查web(world wide web全球广域网，也称为万维网)服务器、中间件；60.全流量威胁分析：利用威胁数据情报，利用采集到的全网流量进行分析，检测内部失陷主机、外部攻击、内部违规、和内部风险，对事件进行分析、研判、溯源，分析当前网络内的资产信息和相关的统计数据；61.内网资产发现：对内网信息系统主机资产和web服务器进行梳理，对内网资产台账进行全生命周期动态管理，包括：主机资产服务发现、web服务发现、资产可视化展示；62.应急响应：监控业务系统中的安全问题，通过大数据分析进行互联网层面攻击溯源，分析安全事件原因，追查事件来源，进行安全事件分类，通过大数据分析与安全威胁情报防御攻击，发现未知危险的网络行为，对攻击源头进行定位；63.应急演练：分析判断，若判断为疑似计算机病毒爆发事件，判断是否为系统问题，若为系统问题则启动系统应急预案，若不是系统问题则判断是否为病毒爆发事件，若为病毒爆发事件则执行通报流程，若判断不是病毒爆发事件则判断是否具备网络传播性，若判断具备网络传播性则判断是否需要隔离被感染主机，若判断需要被隔离则断开该主机网络连接，启动系统应急预案，判断是否需要执行杀毒措施，若判断不需要被隔离则直接判断是否需要执行杀毒措施，若判断需要执行杀毒措施则判断是否会对系统数据造成破坏，若判断会对系统造成破坏则进行系统备份后执行杀毒措施，若判断不会对系统造成破坏则直接执行杀毒措施，执行后判断病毒是否清理完毕，若判断不需要制定杀毒措施则直接判断是否把病毒清理完毕，若判断病毒清理完毕则恢复隔离主机的网络连接，执行通报流程；若执行杀毒措施后仍存在病毒则继续执行新的病毒查杀措施，直至病毒清理完毕；64.渗透测试包括：web渗透测试、高级渗透测试。web渗透测试：模拟真实的安全攻击，发现黑客入侵信息系统的潜在可能途径，包括：信息收集、远程溢出、口令猜测、本地溢出、企业用户端攻击、中间人攻击、web脚本及应用测试。高级渗透测试包括：结合信息安全最佳安全实践，模拟针对性打击，以互联网侧资产或内部不可信/半可信区域作为渗透入口，模拟黑客内网攻击获取内网最高权限或敏感数据进行进一步渗透测试，包括评估外部资产状况、寻找内部网接入点与利用互联网资产中存在可利用内网接入点、部署跳板机对内部网络进行内网渗透；65.安全运维包括：日常安全运维、重要时刻安全保障、周期性安全巡检；66.日常安全运维包括：安全策略优化、安全产品运维、安全评估；67.安全策略优化：对安全控制策略是否起到作用、是否合理进行检查和改进，包括：调研、制定方案、策略优化、输出报告；68.安全产品运维包括：设备运行安全监测、设备运行安全审计、设备及策略备份更新；69.安全评估包括：通过安全扫描评估及时发现信息系统中存在的安全漏洞，对windows、linux服务器及安全设备进行漏洞整改，根据申请、结合安全漏洞知识库于非业务高峰期对信息资产进行安全扫描，不使用含有拒绝服务类型的扫描方式，在扫描过程中若出现扫描系统没有响应的情况则立即停止扫描，分析情况确定原因后，恢复系统，调整扫描策略后进行扫描；70.重要时刻安全保障包括：重大节假日前主动探测用户在外网上暴露的资产，形成资产清单，根据资产发现结果进行精准漏洞扫描，针对特定漏洞进行全面排查，针对包括高危系统漏洞、高危蠕虫病毒、恶劣入侵与攻击中的一种或多种情况的重大安全事件进行通知，提供事件类型、影响范围、解决方案、预防方案中的一种或多种信息，对重要系统进行全面安全检查、安全加固，并对安全加固结果进行复测，确认安全问题及时有效修复；节假日中对防火墙、web应用防火墙、ids/ips(intrusion detection systems入侵检测系统/intrusion prevention systems入侵防御系统)、负载均衡、网页防篡改系统、网络安全审计系统进行实时告警监控及日志分析，对防病毒软件及查杀记录进行监控，对应用系统、数据库系统的状态和业务平台进行监控和日志分析，若遭到攻击或发现入侵中一种或多种事故则及时进行调查、分析，追查、分析事故来源和原因，根据调查原因及事故情况提出解决方法，并记录事故、事故分析、解决方法、追查方案；71.周期性安全巡检包括：周期性安全产品巡检、周期性安全策略优化建议；72.风险评估包括：网络安全评估、主机安全评估、应用安全评估、终端安全评估、数据安全评估、物理安全评估、中间件安全评估、管理安全评估；73.网络安全评估包括：对组织的网络拓扑架构、安全域规划、vlan划分、网络设备配置、安全设备配置、安全防护措施进行分析，对物理网络结构、逻辑网络结构、网络设备进行安全评估，发现网络结构存在的安全性、网络负载问题，网络设备存在的安全性、抗攻击问题，评估网络的安全现状，发现存在的安全性、合理性、使用效率问题；74.主机安全评估包括：对操作系统、账号、认证、授权、网络服务、系统日志、补丁升级、病毒防护、本地安全策略进行分析，发现系统配置和运行中存在的安全漏洞和安全隐患，根据业务应用情况、安全基线配置情况进行分析评估，包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、资源控制；75.应用安全评估包括：根据应用系统的账号、认证、授权、审计、性能资源、备份恢复、渗透测试对应用系统进行安全评估，检测分析输入验证、身份验证、授权、配置管理、敏感数据、会话管理、加密技术、异常管理、审核和日志记录、习惯问题，查找应用系统的安全漏洞和安全隐患；76.终端安全评估包括：检查补丁、账号口令、网络服务、病毒防护、本地安全策略，根据补丁升级、病毒防护、账号口令、网络服务、本地安全策略对终端的安全状况进行评估，查找终端的安全漏洞和安全隐患；77.数据安全评估包括：检测分析数据库用户名和密码管理、数据库访问控制、登录认证方式、数据安全、安全漏洞检查、补丁管理、数据库的安全审计，根据数据的机密性、完整性、可用性对数据安全状况进行主估，查找数据层面可能存在的安全漏洞和安全隐患；78.物理安全评估包括：检测分析物理安全边界、物理入口控制，检测分析办公室、房间、设施的安全保护，检测分析外部和环境威胁的安全防护、安全区域工作控制、交付和交接区、设备安置和保护、支持性设备、布缆安全、设备维护、资产的移动、场外设备和资产安全、设备的安全处置或再利用、无人值守的用户设备、清空桌面和屏幕策略，根据机房物理环境、访问控制、电力供应、线缆布放、设备摆放、标签规范、机房制度评估网络机房的安全；79.中间件安全评估包括：检测分析中间件用户名和密码管理、中间件安全审计、登录认证方式、通信保密性、资源控制、中间件的入侵防范策略，评估中间件的安装部署、配置参数的实现是否符合应用运行安全要求；80.管理安全评估包括：根据安全组织、安全制度、安全人员、安全运维、安全应急、安全培训对信息安全管理现状进行评估，查找可能的安全隐患和缺失点。81.信息系统等级保护测评包括：等级保护差距测评、安全保障体系设计、等级保护测评、信息系统软整改；82.等级保护差距测评包括如下过程：信息收集分析、准备工具和表单、确定测评对象、确定测评指标、确定测评工具接入点、确定测评内容、测评指导书开发、编制测评方案、准备测评实施、现场测评和结果记录、结果确认和资料归还、单项测评结果判定、单项测评结果汇总分析、整体测评、形成安全测评结论、编制测评报告；83.安全保障体系设计包括：通过信息系统等级保护差距测评分析当前网络和信息系统的弱点与风险，进行安全整改，完成相应产品的拓扑设计，实施安全技术措施，完善安全管理制度；结合信息系统等级保护差距测评结果、依照信息安全等级保护要求、根据实际情况制定信息安全体系框架；84.如图1所示，本实施例的信息安全体系框架包括：安全策略、安全技术体系、运行保障体系、安全组织与管理体系；85.安全策略与安全技术体系、运行保障体系、安全组织与管理体系三大体系相互作用，86.安全技术体系、运行保障体系、安全组织与管理体系三大体系在安全策略的指导下构建，将安全策略中制定的各个要素转化成技术实现方法和管理、运行保障手段，实现安全策略中制定的目标；87.如图2所示，本实施例的等级保护测评包括：对信息系统安全等级保护状况进行测试评估，包括测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况的安全控制测评与测评分析信息系统的整体安全性的信息系统整体测评，对安全控制测评的描述采用工作单元方式组织，工作单元包括安全技术测评和安全管理测评，安全技术测评包括：物理安全测评、网络安全测评、主机系统安全测评、应用安全测评、数据安全测评多层面上的安全控制测评；安全管理测评包括：安全管理机构测评、安全管理制度测评、人员安全制度测评、系统建设管理测评、系统运维管理测评多方面的安全控制测评；88.信息系统软整改包括：通过等级保护差距测评的差距测评报告分析当前网络和信息系统的弱点和风险，包括操作系统、数据库、网络安全设备的弱点与风险，根据设备的安全配置加固规范对操作系统、数据库、网络安全设备进行逐条核查加固，制定相关的风险规避措施，包括操作系统加固、网络/安全设备加固、数据库加固、信息安全管理制度建立及完善；89.互联网威胁检测与主动响应包括：为互联网业务提供风险评估、实时监测、篡改处置、应急对抗，重新获得更安全的保障；90.风险评估包括：评估暴露面、脆弱性、内容安全，作为基线，定期持续复查，定期对资产变化进行监测，持续分析新增资产引入的风险情况；91.实时监测包括：实时监测页面篡改、0day(系统商在知晓并发布相关补丁前就被掌握或者公开的漏洞信息)、网马、黑链、dns(domain name system域名系统)、可用性安全事件并生产报告及时通知用户；92.篡改处置包括：通过dns技术快速替换被篡改站点；93.应急对抗包括：云端应急对抗，保障敏感数据。94.本实施例的漏洞扫描评估主要根据安全漏洞知识库，检测网络协议、网络服务、网络设备等各种信息资产所存在的安全隐患和漏洞。扫描的方式可以采用工具进行网络扫描。利用安全扫描评估工具扫描网络中的核心服务器及重要的网络设备，包括服务器、交换机、防火墙等，以对网络设备进行安全漏洞检测和分析，对识别出的可能被入侵者用来非法进入网络或者非法获取信息资产的漏洞，提醒安全管理员，及时完善安全策略，降低安全风险。95.本实施例的漏洞扫描实施前策略选择遵循以下原则：首先是漏洞扫描策略最大化，有效检查目标系统上最新的安全漏洞。漏洞扫描影响最小化，在扫描策略中去除ddos(distributed denial of service attack分布式拒绝服务攻击)选项，并根据客户方提供的资料分析，有针对地选择端口扫描策略，保证目标系统正常运行。扫描目标中凡有双机热备的主机，两台主机应分在不同的会话中进行漏洞扫描。扫描顺序为先扫描备机，后扫描主机，保证业务的连续性。96.进一步，本实施例的登录信息包括：登录方式、登录账号/口令、管理主机信息。97.进一步，本实施例的基线检查还包括：根据基线检查在网络设备、安全设备、操作系统、数据库、中间件各个层面的最佳实践，对目标信息系统进行配置核查，记录当前设备的配置情况，对当前的安全配置情况进行分析，参考安全基线，找出在安全配置方面的差距并记录，根据基线检查整体差距分析情况，结合信息系统当前情况，形成基线检查报告。98.进一步，本实施例的检查操作系统包括：基本信息检查、补丁管理、用户账号、口令安全、权限管理、日志与审计、系统服务端口检查、安全防护、网络协议安全。99.进一步，本实施例的检查数据库：检查账号安全、检查数据库连接安全、检查数据库安全组件配置、检查日志配置、检查通信协议。100.进一步，本实施例的检查web服务器、中间件：管理应用限制检查、列出目录检查、禁止访问web目录之外的文件检查、http请求的消息主体大小、默认端口检查、错误液面重定向、禁止列表显示文件、防范拒绝服务攻击、缺省安装的无用文件、版本号及敏感信息的隐藏、账号管理、认证授权、日志配置、通信协议、设备及安全要求。101.本实施例的单位单元可以为一个公司、一个事业单位、学校、公益组织、或与学校关联的组织如校企、联合办校单位、集团公司、关联公司如系统共用关联公司、上下游关联公司等作为一个单元进行网络安全防护。102.进一步，本实施例的当前网络内的资产信息和相关的统计数据包括：资产统计信息、攻击面统计信息、新增资产信息、资产变更信息、新增攻击面信息、攻击面变更信息、新增资产详细列表。103.进一步，本实施例的资产统计信息包括：按照资产的服务器类型进行统计服务器的类型占比。104.进一步，本实施例的攻击面统计信息包括：各种开放端口的统计信息。105.进一步，本实施例的新增资产详细列表包括：资产的ip地址、服务器类型、服务器版本、状态、检测到的时间中的一种或多种。106.进一步，本实施例的检测外部攻击包括：反序列攻击检测、web攻击态势分析、口令爆破攻击检测。107.进一步，本实施例的反序列攻击检测包括：分析发现内部服务的反序列攻击行为的数量和每个反序列攻击行为的情况。108.进一步，本实施例的反序列攻击的情况包括：攻击时间、源ip、目的ip/端口。109.进一步，本实施例的web攻击态势分析通过流量分析内部服务器受到攻击的情况，分析web整体攻击类型的态势分布、每种攻击手段的详细信息和攻击的结果。110.进一步，本实施例的攻击结果包括：攻击告警、攻陷、提示。111.进一步，本实施例的攻击手段包括：webshell(以asp、php、jsp或cgi等网页文件形式存在的一种代码执行环境，用于网站和服务器管理)、黑产菜刀扫描、web漏洞扫描、struts2(基于mvc设计模式的web应用框架)攻击、上传攻击、sql(structured query language)注入攻击、信息泄露、应用系统新增文件中的一种或多种。112.进一步，本实施例的口令爆破攻击检测针对不同服务器每日遭受口令爆破的攻击次数、服务的类型、邮件暴露攻击的情况、远程管理服务爆破攻击的情况和数据库服务爆破攻击的情况进行检测。113.进一步，本实施例的攻击情况包括：攻击来源ip、目的ip、协议、60秒内攻击的次数、爆破结果。114.进一步，本实施例的检测内部违规包括：暴露面检测、非法外联检测、恶意dns(domain name system域名系统)分析、acl(access control lists访问控制列表)梳理、弱口令检测、异常登录检测、非常规服务分析。115.进一步，本实施例的暴露面检测通过大数据分析，分析出当前网络内的非法攻击面信息。116.进一步，本实施例的非法攻击面信息包括：攻击面的统计信息、新增攻击面信息、攻击面变更信息、攻击面的信息。117.进一步，本实施例的攻击面统计信息包括：各种开放端口的统计信息。进一步，本实施例的攻击面的信息包括：服务器ip、端口、服务类型。进一步，本实施例的非法外联检测分析环境内的非法外联信息。进一步，本实施例的非法外联信息包括：非法外联的目的ip物理地址、非法外联事件的历史趋势、非法外联事件的详细时间、源ip、目的ip、端口中任一信息或多种信息。进一步，本实施例的恶意dns分析通过流量分析监控、分析内部网络请求的dns，并结合威胁情报分析内部dns的信誉度情况，发现内部存在的恶意dns的请求，及详细信息。进一步，本实施例的恶意dns的详细信息包括：请求时间、源ip、请求的恶意域名、域名所在的物理地址中的任一或多种信息。进一步，本实施例的acl梳理分析当前网络内现有的所有ip的访问关系，包括源ip到目的ip不同端口的访问关系，分析网络内的acl管控，对内部不合理的acl处置。118.进一步，本实施例的弱口令检测分析发现内部服务器的弱口令的状态，报告弱口令总数、被动统计发现的次数、字典匹配发现的次数和主动发现的次数，检测分析邮件服务、远程管理服务、数据库服务弱口令的信息。119.进一步，本实施例的邮件服务、远程管理服务、数据库服务弱口令的信息包括：受影响的账号、弱口令、受影响的服务器、协议和检测到的时间。120.进一步，本实施例的异常登录检测包括：检测内部服务器的异常行为，包括：外部登录内部服务器异常详细情况、异常登录详细情况、非工作时间登录详细情况。121.进一步，本实施例的外部登录内部服务器异常详细情况包括：外部登录的ip、ip归属地、内部服务器ip、协议、访问时间。122.进一步，本实施例的异常登录详细情况包括：用户、常用登录地点、异地登录地点、发现时间。123.进一步，本实施例的非工作时间登录详细情况包括：来源ip、ip归属地、目的ip、协议、访问时间。124.进一步，本实施例的非常规服务分析包括：远程控制服务、代理服务、regeory tunnel(内网渗透隧道)服务检测和发现、http(hyper text transfer protocol超文本传输协议)代理检测和发现、socks(protocol for sessions traversal across firewall securely防火墙安全会话转换协议)代理检测和发现、teamview/irc(专业远程连接工具/(internet relay chat因特网中继聊天))检测和发现，分析连接服务的时间、连接服务的源ip、连接服务的目的ip和服务类型。125.进一步，本实施例的对事件研判包括：通过发现攻陷事件、web攻击事件、内部异常信息，利用网络渗透信息，结合云端威胁情况，对事件性质是否是真的恶意攻击行为做出判断，分析事件产生原因。126.进一步，本实施例的对事件溯源对恶意攻击事件进行追踪和溯源，分析攻击者的物理位置、攻击者的行为证据留存和攻击者常用的手段。127.进一步，本实施例的主机资产服务发现包括：扫描发现新增资产、资产变更、新增端口、端口变更，识别操作系统、ip地址、域名，输出资产信息报告。128.进一步，本实施例的web服务发现包括：分析发现端口、web服务器、开发语言、部分前置waf信息、web服务情况。本实施例的资产可视化展示可视化展示资产信息，支持资产信息的快速检索、报表导出，可输出web服务信息报表。129.进一步，本实施例的应急演练还包括：网络攻击事件应急演练。130.进一步，本实施例的网络攻击事件应急演练包括：分析判断，若判断为外网网站恶意攻击事件，则根据系统日志、防火墙日志、网络日志、网络流量分析、网页防篡改系统分析定位攻击源ip地址、判断是否能确定攻击源，若不能确定攻击源则判断是否能确定攻击源类型，同时根据系统安全状况判断是否是篡改、sql(structured query language结构化查询语言)注入、xss(cross site scripting跨站脚本攻击)跨站、木马、非法入侵中一种或多种恶意攻击，若判断存在恶意攻击则检测网页防自篡改系统是否被篡改，若被篡改则检测漏洞原因，若未被篡改则检测ids(intrusion detection system入侵检测系统)系统是否检测到入侵，若检测到入侵则进行验证，若未检测到入侵则判断是否能确定攻击源类型，若能确定攻击类型则判断是否能恢复和修复漏洞，若不能确定攻击源类型启动应急预案，若判断能恢复和修复漏洞则恢复和修复漏洞则恢复和修补漏洞，若判断不能恢复和修复漏洞则启动应急预案，恢复和修补漏洞后判断攻击是否继续，若判断攻击继续则确定攻击源，同时启动应急预案，若判断攻击没有继续则执行通报流程，若无法定位攻击源ip地址或攻击路径，或经过分析后无法关闭攻击网络路径，则启动(系统不可用情况下的)应急预案，并通报。131.进一步，本实施例的web渗透测试的信息收集包括：主机网络扫描、端口扫描、操作类型判别、应用判断、账号扫描、配置判别中一种或多种方式进行操作系统类型收集、网络拓扑结构分析、端口扫描、目标系统提供的服务识别；所述口令猜测利用暴力攻击和字典以进行猜测口令。132.进一步，本实施例的web脚本及应用测试包括：注入、跨站脚本攻击、失效的身份认证和会话管理、不安全的直接对象引用、跨站请求伪造、检查安全配置错误、检测不安全的加密存储、没有限制url访问、检测传输层保护不足、检测未验证的重定向和转发。本实施例的注入包括：注入攻击漏洞，将攻击发生在当不可信的数据作为命令或查询语句的一部分，发送给解释器，欺骗解释器，以执行计划外的命令或访问未被授权的数据。本实施例的跨站脚本攻击包括：当应用程序收到含有不可信的数据，在没有进行验证和转义的情况下将其发送个网页浏览器，在浏览器上执行脚本，劫持用户会话、危害网站或将用户转至恶意网站。本实施例的失效的身份认证和会话管理包括：使与身份认证和会话管理相关的应用程序功能得不到正确的实现，破坏密码、密匙、会话令牌或攻击其他漏洞冒充其他用户身份。本实施例的不安全的直接对象引用包括：暴露对内部实现对象的引用，产生不安全的直接对象引用，操控该引用访问未授权数据。本实施例的跨站请求伪造包括：利用跨站请求伪造攻击迫使登录用户的浏览器将伪造的http请求发送到存在漏洞的web应用程序，迫使用户浏览器向存在漏洞的应用程序发送请求。本实施例的检查安全配置错误：检测是否对应用程序、框架、应用程序服务器、web服务器、数据库服务器和平台进行定义、实施、维护安全配置的设置，是否对软件及时更新。本实施例的检测不安全的加密存储包括：检测web应用程序是否使用加密措施或hash算法保护敏感数据，利用弱保护数据进行身份盗窃、信用卡诈骗犯罪。本实施例的没有限制url访问包括：伪造url访问隐藏的网页。本实施例的检测传输层保护不足包括：检测应用程序是否没有进行身份认证，是否采取加密措施，是否有保护敏感网络数据的保密性和完整性措施，应用程序是否是采用弱算法，是否使用过期或无效的证书，或是否正确使用身份认证或加密措施或保护措施。本实施例的检测未验证的重定向和转发包括：检测web应用程序将用户重定向或转发到其他网页或网站并利用可不信的数据判定目的页面是否进行验证，重定向用户到钓鱼网站或转发到访问未授权页面。133.进一步，本实施例的评估外部资产状况、寻找内部网接入点包括：通过信息收集分析判断是否存在远程控制漏洞，若存在则获得系统权限，进行信息收集分析后生成报告；若不存在远程控制漏洞，则判断是否存在远程普通漏洞，若存在远程普通漏洞则进行信息收集分析后判断是否能获取本地普通权限，若不存在远程普通漏洞则生成报告，若能获取本地普通权限则进行信息收集分析后判断是否能进行本地提取，若不能获得本地普通权限则生成报告；若能进行本体提取则进行信息收集分析后生成报告，若不能进行本体提取则直接生成报告。本实施例的利用互联网资产中存在可利用内网接入点、部署跳板机对内部网络进行内网渗透包括：确认内网渗透资产范围后进行内网基础信息采集，在系统层进行端口扫描、已知cve漏洞扫描后进行系统漏洞验证利用渗透，在应用层进行应用平台信息采集、版本指纹数据采集、常规漏洞扫描信息采集后进行应用漏洞验证挖掘渗透，然后整理漏洞数据综合利用，提升控制权限，进行信息截获、远程控制、扩充资源，提交渗透测试报告等待复查。134.本实施例的信息收集分析包括：基线检查、漏洞扫描。本实施例的基线检查包括：对系统进行基线检查发现服务器、网络设备、安全设备存在的安全漏洞和薄弱环节，并对发现的脆弱性进行识别、分析、修补、检验；所述漏洞扫描包括对系统进行漏洞扫描，检查网络协议、网络服务、网络设备中各种信息资产存在的安全隐患和漏洞，对网络设备进行安全漏洞检测分析，协助整改漏洞。135.进一步，本实施例的调研包括：收集安全设备、网络环境、运维权限及现有安全策略信息。本实施例的安全设备信息包括：设备名称、设备负责人、设备厂商及型号、管理地址及方式、物理地址、设备管理员信息、用户名口令、设备白皮书。本实施例的网络环境信息包括：网络拓扑图、服务器资产信息、网络设备资产信息、业务系统信息。本实施例的运维权限信息包括：运维人员权限、维护管理地址。本实施例的现有安全策略包括：访问控制策略、安全防护策略、行为审计策略。本实施例的制定方案包括：根据调研收集到的信息结合用户实际安全需求，对现有安全策略进行差距分析，发现策略缺失、策略冗余、策略未废止问题，进行方案制定。本实施例的对现有安全策略进行差距分析包括：分析用户业务安全需求、分析现有安全策略差距、安全策略差距分析总体状况。本实施例的分析用户业务安全需求包括：汇总业务系统、资产信息与制定安全防护策略要求。本实施例的分析现有安全策略差距包括：访问控制策略差距分析、安全防护策略差距分析、行为审计策略差距分析。本实施例的策略优化包括：访问控制策略优化、安全防护策略优化、行为审计策略优化。本实施例的访问控制策略优化包括：边界访问控制设备、运维管理设备。本实施例的边界访问控制设备包括：梳理业务系统访问需求，根据业务定制访问控制策略，明确原地址、目的地址、服务，表明策略开启工单号、日期、申请人，增加缺失策略、修改粗策略、删除冗余策略。本实施例的运维管理设备包括：梳理运维人员及维护需求信息，按照单位组织结构构建或调整运维人员，明确人员姓名、联系方式，按照业务责任单位创建或调整资产信息，要求明确资产ip地址、承载业务、物理位置，根据不同运维人员创建对应的策略。本实施例的安全防护策略优化包括：入侵检测设备、web应用防火墙。本实施例的入侵检测设备包括：梳理业务系统基本信息，根据业务系统创建入侵检测防护对象，明确所含资产、责任人员，制定入侵防护策略，包括入侵攻击类策略、木马病毒类策略、审计类策略，针对每个业务系统创建入侵防护策略，根据业务系统所含资产类型、操作系统类型、软件业务类型对策略进行优化。本实施例的web应用防火墙包括：梳理业务系统基本信息，根据业务系统创建web应用防护对象，明确所含资产、责任人员，制定防护策略，包含web恶意扫描防护策略、sql注入防护策略、xss攻击防护策略、网站挂马防护策略、盗链防护策略、网页篡改防护策略。本实施例的行为审计策略优化包括：网络安全审计、数据库审计、上网行为管理。本实施例的网络安全审计包括：梳理业务系统基本信息，根据业务系统创建业务访问审计策略和管理维护审计策略，业务访问审计策略对该业务系统所有被访问的网络行为进行审计，管理维护审计策略对该业务系统所有管理维护网络行为进行设计。本实施例的数据库审计包括：梳理业务系统信息和数据库信息，针对每一个数据库创建审计策略，包括危险指针审计、异常登录设计、异常维护审计、异常工具审计，根据业务系统信息创建业务系统对象，根据不同业务系统创建报表策略，针对每个业务系统生成审计报表。本实施例的上网行为管理包括：梳理终端信息，根据所在单位组织结构创建或调整终端用户，针对用户创建上网行为审计策略，包含邮件审计策略、网站访问审计策略、通讯聊天审计策略、发帖审计策略、关键字审计策略。136.本实施例的设备运行安全监测包括：监测网络设备、安全设备、主机，设置各项功能指标告警阈值和告警规则，及时发现设备运行状态异常，对监测到的安全事件按照不同级别和类型进行不同告警，若判断为设备故障则启动故障处理流程，根据实际情况对告警阈值进行调整。本实施例的监测网络设备包括：设备硬件状态巡检、设备软件状态巡检、设备性能状态巡检、安全策略检查与优化、日志检查。本实施例的设备硬件状态巡检包括：设备硬件的运行情况的巡检，包括电源、风扇、机箱、板卡、flash卡、状态灯的运行状态的巡检，物理端口的稳定性检查、连线情况、标签、标识情况的巡检，设备硬件报警信息的检查。本实施例的设备软件状态巡检包括：系统内核运行状况巡检、检查是否有新的内核升级程序能使用。本实施例的设备性能状态巡检包括：检查cpu利用率、内存利用率、网络接口使用率、buffer使用情况。本实施例的安全策略检查与优化包括：对安全策略正确性和有效性进行复核。本实施例的日志检查包括：检查日志接收是否正常、日志是否需要满日志处理，日志收集及分析。本实施例的监测安全设备包括：安全设备硬件状态巡检、安全设备软件状态巡检、安全设备性能状态巡检、安全设备的安全策略优化、安全设备日志检查、安全设备的规则库检查。本实施例的安全设备硬件状态巡检包括：检查安全设备硬件的运行情况，包括电源、风扇、机箱、板卡、flash卡、状态灯的运行状态，对物理端口进行稳定性检查，对连线情况、标签、标识情况进行检查。本实施例的安全设备软件状态巡检包括：检查系统内核运行状况、是否有新的内核升级程序能使用，软件系统版本升级情况。本实施例的安全设备性能状态巡检包括：检查cpu利用率、内存利用率、网络接口使用率、buffer使用情况。本实施例的安全设备的安全策略优化包括：对安全策略正确性和有效性进行复核。本实施例的安全设备日志检查包括：检查日志是否正常、日志是否需要满日志处理、日志的收集和分析。本实施的安全设备的规则库检查包括：检查病毒定义升级情况，包括检查防毒墙定义升级情况，检查ids/ips规则库升级情况。本实施例的监测主机包括：主机硬件状态巡检、主机操作系统安全检查、主机性能检查、可疑服务进程检查、病毒检查。本实施例的主机硬件状态巡检包括：检查主机设备硬件的运行情况，包括电源、风扇、机箱、板卡、状态灯的运行状态，检查网卡的状态、ip地址、路由表，检查磁盘阵列运行状态、系统故障灯显示情况、系统硬件错误报告。本实施例的主机操作系统安全检查包括：检查操作系统软件版本情况，检查windows系列补丁、linux系统补丁、unix系列补丁中一种或多种系统补丁的安装情况，检查和优化操作系统安全配置、包括账户、安全策略、服务的检查与优化，分析系统日志，检查补丁安装。本实施例的主机性能检查包括：检查cpu利用率、内存利用率、交换区使用率、磁盘占用空间、i/o工作情况。本实施例的可疑服务进程检查包括：检查开启服务名称、服务开启必要性、服务占用资源情况。本实施例的病毒检查包括：检查客户端病毒软件安装情况、病毒定义库升级情况、策略分发情况、病毒处理情况。本实施例的设备运行安全审计包括：利用安全管理平台，结合资产信息，找出网络访问日志、管理行为记录、操作行为记录、产品运行记录、网络流量、安全监测产生的信息中数据中的关联关系，设置关联分析规则和过滤条件，挖掘网络攻击、运行故障信息。本实施例的设备及策略备份更新包括：通过日常策略配置、设备升级进行安全防护，对策略进行优化，对安全产品的策略和配置备份进行维护，包括策略配置、策略梳理、设备升级、备份恢复。本实施例的策略配置包括：根据总体安全策略分析业务系统实际安全需求和安全产品功能，根据策略配置流程对安全产品的安全策略进行配置。本实施例的策略梳理包括：定期对安全产品的策略配置进行梳理，对冗余的策略和废弃的策略进行梳理，进行确认后删除。本实施例的设备升级包括：定期对安全产品的软件版本、规则库、特征库进行升级，升级前对原系统进行备份，对升级包进行测试，定期检查厂商版本更新，更新操作记录备案。本实施例的备份恢复包括：定期对产品的配置和策略进行备份，备份内容存放在专用服务器，并对备份操作记录备案。本实施例的漏洞整改包括：针对扫描范围内的服务器及安全设备的漏洞进行修复，将应用及数据库漏洞进行加固。137.本实施例的周期性安全产品巡检包括：在信息安全产品运行过程中周期性检查安全产品安全状况的工作，包括设备运行安全监测、设备运行安全审计、设备及策略备份更新，对安全产品的cpu利用率、内存利用率、磁盘利用率、网络接口连通性设置告警阈值和告警规则，实时进行监控，若发现安全产品运行状态异常进行确认，若确认为产品故障则启动故障处理流程，在监测过程中根据实际情况对告警阈值进行调整，得到安全产品运行状态基线，根据告警规则对监测到的安全事件按照不同级别和类型进行不同告警，并将告警信息发送到安全管理平台，通过安全管理平台通知运维人员或巡检人员，根据安全事件的情况采取处理措施；利用安全管理平台结合资产信息找出网络访问日志、管理行为记录、操作行为记录、产品运行记录、网络流量中一种或多种数据之间的关联关系，设置关联分析规则和过滤条件，挖掘网络攻击、运行故障信息；通过策略配置、设备升级进行安全防护，对策略优化，对安全产品的策略和配置备份进行日常巡检。本实施例的周期性安全策略优化建议包括：收集安全设备、网络环境、运维权限及现有安全策略信息，实施安全产品巡检，结合用户实际业务安全需求对现有安全策略进行差距评估和整改建议，进行策略优化；所述整改建议包括：安全策略优化建议，所述安全策略优化建议包括：访问控制策略优化实施方法、安全防护策略优化实施方法、行为审计策略优化实施方法。138.进一步，本实施例的网络设备的安全评估包括：检查网络设备访问控制安全、检查网络设备安全防护配置、网络设备策略检查。本实施例的检查网络设备访问控制安全包括：检查软件版本、设备漏洞、安全问题。本实施例的检查网络设备安全防护配置评估包括：检查用户安全、系统口令安全，进行日志检查，评估设备访问控制安全、设备管理安全、网络设备服务安全，通过业务应用情况及安全基线配置进行评估。本实施例的网络设备策略检查包括：评估现有网络设备、安全设备的策略配置和使用情况，评估策略配置是否满足业务需求并保证系统的安全性。本实施例的身份鉴别包括：检测分析身份标识与鉴别机制措施、口令安全管理、账户锁定设置选项、账号安全管理并进行评估；所述访问控制包括：检测分析默认共享设置，是否符合最小授权原则，检测分析评估特权用户管理、文件系统安全特性、网络服务安全，并进行评估；所述安全审计包括：检测分析系统日志、审计策略并进行评估。本实施例的入侵防范包括：检测分析补丁管理、漏洞风险并进行评估。本实施例的恶意代码防范包括：检测分析恶意代码软件管理并进行评估。本实施例的资源控制包括：检测分析资源控制策略并进行评估。本实施例的应用系统的安全隐患包括：安全功能设计、安全弱点、安全部署中的弱点。本实施例的检测分析输入验证包括：检测应用程序是否验证所有的输入数据、所有的输入数据是否验证长度、范围、格式、类型、是否有依赖于用户端验证码、应用程序是否信任写出到web页上的数据、是否过滤或转换用户提交数据中的所有代码及系统命令内容、在不同的信任边界之间传递数据时是否在接入口点验证数据，检测应用系统是否使用独立的数据库账号、分配最小的库、表及字段权限，检测数据库是否禁止或删除不必要的存储过程、是否屏蔽数据库错误信息，分析是否存在或可能存在将未经验证的数据写出到web页、利用未经验证的输入来生成sql查询、使用不安全的数据访问编码技术增加sqlinjection(sql注入)威胁、使用deny方法而非allow来筛选输入、使用输入文件或url(uniform resource locator，统一资源定位符)或用户名进行安全决策、依赖于客户端验证中的一种或多种问题。本实施例的检测分析身份验证包括：检测用户名和密码是否以明文的形式在未受保护的信道上发送、敏感信息是否有专门的加密方法、是否存储证书、若存储了检测如何进行存储和保护、是否执行强密码、执行什么样的密码策略、身份认证是否加入了二次认证、是否进行图形验证码或短信验证码、如何验证凭据、首次登录后如何识别经过身份验证的用户，分析是否存在或可能存在在未加密的网络链接上传递身份验证凭据或身份验证cookie、引起凭据捕获或会话攻击、是否存在利用弱密码和账号策略引起未经授权的访问。本实施例的检测分析授权包括：检测是否进行了必要的行为审计、在应用程序入口点使用了什么样的访问控制、应用程序是否使用角色，若使用角色则检测对于访问控制和审核目的来说粒度是否足够细，检测应用是否限制访问系统资源，检测是否限制数据库访问、对数据库如何进行授权，分析是否使用越权角色和账户、是否提供足够的角色粒度、是否将系统资源限制于特定的应用程序身份。本实施例的检测分析配置管理包括：检测如何保护远程管理界面、如何保护配置存储、对敏感配置数据是否加密、是否做到分离管理员特权、是否使用具有最低特权的进程和服务账户、是否对管理ip进行白名单策略管理，分析是否明文存储配置机密信息包括连接字符串和服务账户证书，分析是否保护应用程序配置管理的外观包括管理界面，分析是否使用越权进程账户和服务账户，分析安装脚本是否删除数据目录和文件名固定、配置文件扩展名，分析目录权限是否设置不当。本实施的检测分析敏感数据包括：检测是否在永久性存储中存储机密信息、如何存储敏感数据、是否在网络上传递敏感数据、敏感数据是否进行了灾备，分析是否在不需要存储机密信息时进保存、在代码中存储机密信息是否以明文形式存储机密信息、在网络上是否以明文形式传递敏感数据。本实施例的检测分析会话管理包括：检测如何生成会话cookie、如何交换会话标识符、在跨越网络时如何保护会话状态、如何保护会话状态以防止会话攻击、如何保护会话状态存储、应用是否限制会话的生存期、应用程序如何用会话存储进行身份验证，分析是否在未加密信道上传递会话标识符、是否延长会话的生存期、是否在不安全的会话状态存储、会话标识符是否位于查询字符串中。本实施例的检测分析加密技术包括：检测使用什么算法和加密技术、应用是否使用自定义加密算法，检测密钥有多长、如何进行保护，检测多长时间更换一次密钥、如何发布密钥，分析使用自定义加密方法、是否使用错误的算法或长度过短的密钥、是否没有保护密钥、对于延长的时间周期是否使用同一个密钥。本实施例的检测分析异常管理包括：检测应用程序如何处理错误条件、是否允许异常传播回客户端、应用是否显示给客户端过多的信息、应用在哪里记录异常的详细资源、日志文件是否安全，分析是否验证所有的输入参数、是否显示给客户端的信息过多。本实施例的检测审核和日志记录包括：检测应用是否确定进行审核的主要活动、应用的应用程序是否是跨所有层和服务器进行审核、如何保护日志文件，分析是否没有审核失败的登录、是否没有保护审核文件、是否没有跨应用程序层和服务器进行审核。本实施例的检测分析习惯问题包括：检测编程习惯，分析程序员是否喜欢在服务器上直接修改程序，导致编辑器在服务器上生成多个备份文件，文件是否可能暴露程序代码，分析程序员是否将敏感信息包括数据库密码保存在文件中。本实施例的渗透测试包括：在允许和可控范围内，采用可控的、不造成不可弥补损失的黑客入侵手法，对网络和系统发起攻击，侵入系统获取机密信息，根据入侵过程和细节形成报告。本实施例的补丁检查、账号口令、网络服务的检查可通过漏洞扫描工具进行检查。病毒防护的检查可通过恶意代码查杀工具执行。本地策略的检查通过可查看本地安全策略、检查脚本、配置扫描工具进行检查。数据库用户名和密码管理的检测分析包括：检测分析用户权限设置、密码策略设置、冗余账号的管理。本实施例的数据库访问控制的检测分析包括：检测分析访问ip地址的控制、通讯安全配置。本实施例的数据安全的检测分析包括：检测分析敏感信息的存储方式、数据库备份。本实施例的数据库的安全审计检测分析包括：检测分析登录日志审计、操作日志审计。本实施例的物理安全边界的检测分析包括：检测分析是否设置安全边界保护包含敏感信息、危险信息、信息处理设施的安全。本实施例的物理入口控制的检测分析包括：检测分析在安全区域是否由入口控制进行保护，是否确保只有授权的人员才允许访问。办公室、房间、设施的安全保护的检测分析包括：检测分析办公室、房间、设施是否采用物理安全措施。外部和环境威胁的安全防护的检测分析包括：检测分析是否采用物理安全措施防范自然灾害、恶意攻击或事故。安全区域工作控制的检测分析包括：检测分析是否设计、应用用于安全区域工作的物理保护措施和指南。交付和交接区的检测分析包括：检测分析访问点包括交接区和未授权人员进入办公场所的其他点是否进行控制，是否与信息处理设施隔离，是否避免未授权访问。设备安置和保护的检测分析包括：检测分析是否安置及保护设备，是否减少或避免环境威胁与危害，是否减少或避免未经授权的访问。支持性设备的检测分析包括：检测分析是否保护设备，是否使设备免于因支持性设施的失效而引起的电源故障或终端。布缆安全的检测分析包括：检测分析是否保护传输数据或支持信息服务的电力及通讯电缆，是否使其免遭拦截或破坏。设备维护的检测分析包括：检测分析是否正确保护设备，是否确保设备持续的可用性、完整性。资产的移动的检测分析包括：检测分析设备、信息、软件在授权前是否不能带出组织。场外设备和资产安全的检测分析包括：检测分析是否对场所外的资产采用安全措施，是否考虑工作在组织场所外的不同风险。设备的安全处置或再利用的检测分析包括：检测分析是否对包含存储介质的设备的所有项目进行核查，是否确保在处置之前任何敏感信息和注册软件已被删除或安全地写覆盖。无人值守的用户设备的检测分析包括：检测分析无人值守的用户设备是否有保护。清空桌面和屏幕策略的检测分析包括：检测分析是否采用清空桌面上文件、可移动存储介质的策略，是否采用清空信息处理设施的屏幕策略。中间件用户名和密码管理的检测分析包括：检测分析用户权限设置、密码策略设置、冗余账号的管理。中间件安全审计的检测分析包括：检测分析登录日志审计、操作日志审计。中间件的入侵防范策略的检测分析包括：检测分析ssl保护开启、默认端口修改、应用服务器socket数量限制。139.进一步，本实施例的信息收集分析包括：检索方针文件、规章制度及过程管理记录、信息系统总体描述文件、信息系统详细描述文件、信息系统安全保护等级定级报告、安全需求分析报告、信息系统安全总体方案、安全现状评价报告、信息系统安全详细设计方案、用户指南、运行步骤、网络图表、配置管理文档中一种或多种资料，分析信息系统的基本信息、管理框架、网络及设备部署、业务种类及特性、业务数据、用户范围、用户类型，进行综合分析及整理，分析信息系统的行业特征、主管机构、业务范围、地理位置、背景信息、联络方式、组织管理结构、管理策略、部门设置、部门在业务运行终端作用、岗位职责、物理环境、网络拓扑结构、硬件设备部署情况、范围及边界、业务种类及特性、业务流程、业务安全保护等级，形成信息系统基本情况分析报告。140.本实施例的确定测评对象包括：检测信息系统信息，分析整个单位信息系统及其涉及的业务系统，根据信息系统基本情况分析报告识别出信息系统的整体结构并加以描述，描述内容包括信息系统的标识、信息系统的物理环境、信息系统的网络拓扑结构、信息系统的外部边界的连接情况，给出网络拓扑图，识别出信息系统边界并加以描述，描述内容包括信息系统与其他网络进行外部连接的边界连接方式，包括采用光纤、无线、专线，描述边界的设备包括防火墙、路由器、服务器中的一种或多种，若信息系统边界连接处有共有设备将该设备划到等级相对较高的信息系统中，对于没有进行区域划分的信息系统根据信息系统实际情况进行划分并加以描述，描述内容包括区域划分、每个区域的主要业务应用、业务流程、区域的边界以及它们之间的连接情况，以区域为线索描述信息系统节点，描述各区域内计算机硬件设备、网络硬件设备、通信线路、应用系统软件并说明各节点之间的连接情况。计算机硬件设备包括服务器设备、客户端设备、打印机、存储器。网络硬件设备包括：交换机、路由器、适配器；对上述描述内容进行整理确定测评信息系统并加以描述，描述以信息系统的网络拓扑结构为基础，总分式描述方式，先说明整体结构，然后描述外部边界连接情况、边界主要设备，再描述信息信息系统的网络区域组成、业务功能及相关设备节点；分析各业务系统，分析业务系统的重要程度及其相关设备、组件，确定测评对象，根据业务系统的类别进行描述，包括网络、网络设备、服务器、主机、应用系统，采用列表方式描述每类测评对象，包括测评对象所属区域、设备名称、用途、设备信息、抽查说明。确定测评指标包括：根据信息系统基本情况分析报告获取信息系统的定级结果，包括业务信息安全保护等级和系统服务安全保护等级，得出信息系统应采取的安全保护措施asg(a系统服务保证类、s业务信息安全类、g基本要求类)组合情况，根据标准选择相应等级的安全要求作为测评指标，包括对asg三类安全要求的选择，分别针对每个业务系统进行描述，描述内容包括业务系统的定级结果、指标选择。确定测评内容包括：确定单向测评内容和系统测评内容，分析信息系统基本情况分析报告、测评方案的测评对象、测评指标、测评工具接入点，将测评指标和测评对象结合起来，再将测评对象与测评方法结合起来，将各层面上的测评指标结合到具体测评对象上并说明测评方法，构成测评实施的单元，结合测评指标和测评对象说明单项测评实施工作内容，根据测评工具接入点编制相应测评内容，单向测评内容包括测评指标、测评对象、测评方法、测评实施，根据相关标准的测评方法结合信息系统的实际情况及测评经验确定系统测评内容，输出测评方案的单项测评实施和系统测评实施部分。测评指导书开发包括：根据测试工具接入点、单项测评实施和系统测评实施部分描述单个测评对象包括测评对象的名称、ip地址、用途、管理人员，根据单项测评实施和系统测评实施部分确定测评活动包括测评项、测评方法、操作步骤和预期结果，输出测评方案的测评指导书；所述测评项指标准中对测评对象在用例中的要求，所述测评方法包括：访谈、文档检索查看、配置检查、工具测试、实地检测查看中的一种或多种；每个测评项对应一个或多个测评方法。操作步骤包括测评活动中执行的命令或步骤，若涉及工具测试则描述检测设备和工具要求包括检测设备的型号、规格、工具的版本。预期结果包括按照操作步骤在正常情况下得到的结果和获取的证据。编制测评方案包括：根据委托测评协议和信息系统基本情况分析报告提取项目来源、信息系统所在单位整体信息化建设情况、及与单位其他系统之间的连接情况，根据等级保护过程中的等级测评实施要求将测评活动所依据的标准罗列出来，根据委托测评协议和信息系统情况估算测评工作量，并根据配置检测的节点数量和工具测试的接入点及测试内容进行估算；根据测评经验及信息系统规模编制具体的测评计划，包括人员分工和时间安排，测评避开信息系统的业务高峰期，根据上述内容及方案编制活动的任务获取的内容形成测评方案初稿，经评审、确认后输出测评方案。141.准备测评实施包括：确认测评需要的资源包括配合人员和测评条件，根据要求更新测评计划或测评程序。现场测评和结果记录包括：检查标准规定的必须具备的制度、策略、操作规程是否齐备，检查是否有完整的制度执行情况记录，包括机房出入登记记录、电子记录、高等级系统的关键设备的使用登记记录，对文档进行审核分析，检查文档的完整性和文件之间的内部一致性；根据测评结果记录检查应用系统、主机系统、数据库系统及网络设备的配置是否正确，是否与文档、相关设备和部件保持一致，对文档审核的内容进行核实，包括日志审计；若系统接收到无效命令不能完成配置检查则进行错误测试；针对网络连接对连接规则进行验证；根据测评方案对系统进行测试包括基于网络探测和基于主机审计的漏洞扫描、网站漏洞扫描、数据库漏洞扫描、渗透性测试、性能测试、入侵检测、协议分析；根据信息系统的实际情况检测人员行为、技术设施、物理环境状态判断人员的安全意识、业务操作、管理程序、系统物理环境的安全情况，测评是否达到了相应等级的安全要求，记录管理安全测评的测评结果，记录技术安全测评的网络、主机、应用测评结果，记录技术安全测评的物理安全测评结果、工具测评后测试结果。结果确认和资料归还包括：汇总测评记录，对测评中发现的问题、证据、证据源进行汇总，对漏掉和需要进一步验证的内容进行补充测评，记录测评中发现问题的汇总、证据、证据源。单项测评结果判定包括：检测每个测评项，若该测评项为适用项则将测评实施时实际获得的多个测评结果与预期的测评结果进行比较，分别判断每一个测评结果与预期结果之间的符合性，得出每个测评项对应测评实施的测评结果，判断符合与否；根据所有测评结果的判断情况，综合判断该测评项的测评结果，判断为符合、部分符合或不符合，输出单项测评记录和结果。单项测评结果汇总分析包括：按层面分别对不同测评对象对应测评指标的单项测评结果进行汇总，包括测评项数、符合要求的项数。整体测评包括：针对测评对象的不符合或部分符合的单项测评项，分析与该测评相关的其他安全控制能否与其发生关联关系、发生什么样的关联关系，这些关联关系产生的作用是否能弥补该测评项的不足；分析与该测评项相关的其他层面的其他测评对象能否与其发生关联关系、发生什么样的关联关系，这些关联关系产生的作用是否能弥补该测评项的不足；分析与该测评项相关的其他区域的其他测评对象能否与其发生关联关系、发生什么样的关联关系、这些关联关系产生的作用是否能弥补该测评项的不足；从安全角度分析信息系统整体结构的安全性，从系统角度分析信息系统整体安全防范的合理性；输出信息系统整体测评结果。形成安全测评结论包括：结合单项测评结果和整体测评结果将物理安全、主机安全、应用安全层面中各个测评对象的单项测评结果再次汇总分析，统计符合的情况；分析不符合要求的测评项给信息系统带来的安全隐患及存在的原因，判断对信息系统整体保护能力造成的影响；根据单项测评结果进行汇总分析的结果，若存在未达到要求的测评项则判定该信息系统未达到相应等级的基本安全保护能力，若所有测评项都达到要求则判断该信息系统达到了相应等级的基本安全保护能力；输出等级测评结论。编制测评报告包括：针对信息系统存在的安全隐患从系统安全角度提出改进建议，根据测评方案、单项测评记录与结果、单项测评结果汇总分析、整体测评结构、等级测评结论编制测评报告，根据信息系统的数量形成相应的测评报告，给出测评的文档清单和单项测评记录、及对各个测评项的单项测评结果判断情况；根据测评协议书、相关文档、测评原始记录及辅助信息对测评报告进行评审、确认，输出信息系统等级测评报告。安全策略包括：草案设计、评审、实施、培训、部署、监控、强化、重新评估、修订，通过管理保证安全策略的及时性与有效性。安全技术体系为信息系统框架的基础，包括：网络安全、主机安全、终端安全、应用安全、数据安全、安全综合管理平台，以安全策略为指导，从网络安全防护、主机系统安全防护、应用安全防护、终端安全防护、数据安全防护多层次出发建立各个部分协同的完整的安全技术防护体系。安全组织与管理体系立足于总体安全策略并与所述安全技术体系相互配合。运行保障体系包括：安全运维管理、日常运行保障、安全应急响应、数据系统备份。安全运维管理包括：网络安全运维管理、主机安全运维管理、应用安全运维管理。网络安全运维管理包括：对网络系统全网进行统一的操作认证、授权、审计，对网络系统采用动态密码进行设备维护操作认证，对操作命令进行加密传输，只有授权的用户才能对网络设备进行维护管理，对网络系统的设备管理员设置至少二级设备操作权限，并与操作命令对应设置，禁止超越权限的管理维护操作，只有授权的操作才被执行；网络系统的运维操作须被审计，审计内容包括：操作命令、操作者、操作时间，确保授权的用户进行授权操作。142.进一步，本实施例的主机安全运维管理包括：主机系统进行统一的操作认证、授权、审计。应用安全运维管理包括：应用系统进行统一的操作认证、授权、审计。数据系统备份包括：根据数据备份要求、业务系统的重要性及恢复成本制定备份策略和恢复目标，按备份策略定期备份服务器的数据，包括操作系统、数据库、文件，系统的数据备份介质根据数据重要程度进行异地存放，异地备份数据至少包括全部业务系统原始数据和恢复系统必须的静态数据，数据恢复支持多平台，通过灾难恢复磁带将整个系统迅速恢复。恢复目标包括：可容忍的数据丢失量和可容忍的系统恢复时间。物理安全测评包括：测评信息系统对应的物理安全设置，包括测评物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水、防潮、防静电、温湿度控制、电力供应、电磁防护配置。网络安全测评包括：路由器/交换机测评、防病毒系统测评、主机系统安全测评、应用安全测评、数据安全测评。路由器/交换机测评包括：测评路由器/交换机应对重要操作，包括测评结构安全域网段划分、网络访问控制、网络安全审计、边界完整性检查、网络设备防护配置。防病毒系统测评包括：测评防病毒系统应对重要操作，包括测评结构安全与网段划分、网络安全审计、网路如今防范、恶意代码防范、网络设备防护配置。主机系统安全测评包括：测评操作系统应对重要操作，包括测评令牌的使用、账户认证、密码管理、登录限制、身份标识和鉴别、主体和客体的访问控制、用户授权、安全审计、报警、监控、系统保护、恶意代码保护、剩余信息保护、资源控制配置。操作系统包括：windows系统、linux操作系统。windows系统的测评包括测评账户及口令设置是否有足够强度、包括测评账户选择或设置、口令长度、组成、生存周期，测评桌面应用软件是否有合法来源、是否设置屏保，测评注册表安全设置、smp(symmetric multi-processor对称多处理器结构)服务、rpc(remote procedure call远程过程调用协议)服务、安全最新补丁防病毒软件安装、系统资源分配。linux操作系统的测评包括：测评操作系统应对重要操作包括测评令牌的使用、账户认证、密码管理、登录限制、身份标识和鉴别、主体和客体的访问控制、用户授权、安全审计、报警、监控、系统保护、恶意代码保护、剩余信息保护、资源控制支持的版本、本地缓冲区溢出漏洞、安装最新的安全补丁、无关服务是否为off状态或不存在不必要服务、账户密码、rootpath(在nfs服务器上根文件系统的路径)环境变量、与其他主机的信任关系、系统加固tcp/ip协议栈配置。应用安全测评包括：对应用系统身份标识和鉴别、主体和客体的访问控制、用户授权、安全审计、剩余信息保护、资源控制进行检查、测评。数据安全测评包括：对应用系统的数据完整性和数据保密性、数据备份进行核查。143.本实施例的网络安全建设包括：外部边界的安全隔离、内部安全域的边界防护、安全域内部的防护、网络性能保护、网络接入控制。144.外部边界的安全隔离包括：地区外部互联网和外部单位的边界防护实现安全的访问控制和入侵防御，阻止来自外部的非授权访问，检测和阻断对网络的探测和攻击行为，确保边界的安全逻辑隔离。145.内部安全域的边界防护包括：实现安全的访问控制和入侵防御，阻止来自低安全域用户/业务的非授权访问，检测和阻断对地区应用系统网络的探测和攻击行为，确保边界的安全的逻辑隔离。146.安全域内部的防护包括：相同安全域的用户/业务须采用vlan(virtual local area network虚拟局域网)、访问控制、mpls-vpn(multiprotocol label switching-virtual local area network多协议标签交换技术-虚拟局域网)、网络设备的集成式安全技术等手段实现内部用户/业务的安全访问。应用系统网络内部采用vlan或防火墙等技术实现不同应用系统的安全隔离，遵循最小化访问原则，确保应用系统间的安全访问，避免内部系统间的无限制访问，防止内部安全事件通过“跳板”方式扩散。用于内部安全访问控制的防火墙可以和地区应用系统网络边界的防火墙共用。147.网络性能保护包括：对网络流量、应用访问等的统计分析功能，采用netflow、netstream、sflow等技术实现对网络流量和网络访问的采集分析、监测记录及审计。具备网络性能保护的能力，阻止pc终端的恶意软件和不符合要求的用户行为对网络资源的滥用，确保网络资源的合理使用和用户对内部应用系统的正常访问。148.网络接入控制包括：实现用户pc的全面网络准入控制，实现和单位公司pki/ca(公钥基本结构/证书颁发机构)证书系统的全面集成，只有授权的用户才能接入网络，形成单位全网网络接入、应用系统访问统一的认证体系。网络准入控制方式宜采用中心集中认证方式。实现和终端安全技术要求的集成，只有符合终端安全规范的pc终端才能接入网络，确保端点安全。149.本实施例的操作系统加固包括：开启操作系统密码策略，强制密码符合复杂性要求并定期更换密码，为每个管理员建立独立的账户，修改默认远程运维端口，对管理员远程登录地址采用单个用户级控制，设置非法登录策略，设置审核策略；设置重要文件权限控制策略，删除不必要的默认共享；禁用不必要的服务和端口，更新系统漏洞补丁，重命名系统默认账户；根据管理用户的角色分配权限，管理用户权限分离，授予管理用户所需的最小权限；将操作系统和数据库系统特权用户的权限分离，根据实际情况对终端登录进行限制，限制单个用户对系统资源的最大或最小使用限度，检测系统的服务水平，若系统的服务水平降低于预先规定的最小值则进行报警，设置远端系统强制关机、设置取的文件或对象的所有权、设置从本地登录此计算机、设置从网络访问此计算机，启用tcp/ip(transmission control protocol/internet protocol，传输控制协议/网际协议)筛选、开启系统防火墙、启用syn(synchronize sequence numbers同步序列编号)攻击保护，启用屏幕保护程序、设置microsoft网络服务器挂起时间，关闭服务、修改snmp服务密码，关闭无效启动项、关闭windows自动播放功能。150.本实施例的网络/安全设备加固包括：重命名网络设备和安全设备的默认账户，设置强度较高的密码长度和策略，远程登录地址采用单个用户级控制，为各个设备管理员设立独立的用户账号，取消telnet模式，采用安全的远程管理登录方式包括ssh，取消默认的无用的服务或协议，带宽分配优先级别设置，配置端口级的访问控制，设置应用层过滤，设置网络流量控制，设置登录失败处理策略，网络拓扑环境调整、规划；所述数据库加固包括：检查数据库当前配置，分别对账号、授权、密码、日志、策略、补丁进行加固，为不同管理员分配不同的账号、删除或锁定无效账号、限制超级管理员远程登录、权限最小化，缺省密码长度复杂度限制、缺省密码生成周期限制、密码重复使用限制，启用日志记录功能、记录用户对设备的操作、记录系统安全事件、数据库审计策略。151.本实施的信息安全管理制度建立及完善包括：根据标准规范要求，建立健全并落实符合相应等级要求的安全管理制度。152.本实施例的信息安全管理制度建立及完善还包括：落实信息安全责任，成立信息安全工作领导小组、信息安全管理部门或信息安全责任部分，明确信息安全工作，确定安全岗位，落实人员，明确落实领导机构、责任部门、人员信息安全责任；落实人员安全管理制度，制定人员录用、离岗、考核、教育培训的管理制度，落实管理制度的具体措施，对安全岗位人员进行安全审查、培训、考核、和安全保密教育；落实系统建设管理制度，建立信息系统定级备案、方案设计、产品采购使用、密码使用、软件开发、工程实施、验收交付、等级测评、安全服务管理制度，明确工作内容、工作方法、工作流程、工作要求；落实系统运维管理制度，建立机房环境安全、存储介质安全、设备设施安全、安全监控、网络安全、系统安全、恶意代码防范、密码保护、备份与恢复、事件处置管理制度，制定应急预案，定期进行演练。153.本实施可根据gb/t22239-2008制定相应的制度、策略、操作规程等。154.本实施例的标准可以包括但不限于如下标准：iso31000风险管理标准、iso27001:2013信息安全管理体系、gb-t 20984-2007信息安全技术信息安全风险评估规范、gb-t 20269-2006信息系统安全管理要求、gb-t 20282-2006信息系统安全工程管理要求、gb/t 9361-2000计算机场地安全要求、gb/t 18336-2015信息技术安全技术信息技术安全性评估准则、《信息安全等级保护管理办法》(公通字[2007]43号)、《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(发改高技[2008]2071号)、gb/t 22239-2008信息安全技术信息系统安全等级保护基本要求、gb/t 22239—xxxx信息安全技术网络安全等级保护基本要求(等保2.0)。[0155]本实施的扫描策略包括：web漏洞扫描，系统漏洞扫描，弱口令扫描，特殊高危漏洞扫描(例如ms17-010，log4j2漏洞)等一种或多种扫描策略。也可以选择特定的漏洞知识库可生成专用策略。可以对ip，域名，端口，漏洞模板，并发数等进行编辑。可以选择模板扫描策略；对目标系统进行poc(proof of concept)或者漏洞复测检查目标系统是否存在安全漏洞。采用不使用fuzz扫描，以降低扫描影响；扫描可以根据设定或需要设置端口范围。[0156]本实施例的漏洞包括但不限于：sql注入漏洞、xss漏洞、弱口令、任意文件上传漏洞、目录遍历漏洞、任意命令执行漏洞、敏感信息泄露等。上述的漏洞都属于脆弱性；不同的脆弱性有不同的修复或者配置方式，例如：解决sql注入漏洞的关键是对所有可能来自用户输入的数据进行严格的检查、对数据库配置使用最小权限原则。解决文件上传漏洞需严格限制和校验上传的文件，禁止上传恶意代码的文件，同时限制相关目录的执行权限，防范webshell攻击。配置不当包括但不限于：存在默认账号、未关闭默认共享、未关闭启动项等。配置不严谨包括但不限于：未限制远程登陆空闲断开时间、未限制远程登入ip地址等。[0157]本实施例的渗透测试中逻辑测试包括但不限于：1、注册：一个是恶意注册，另一个是账户遍历；2、登录：一种的情况就是登录界面不存在验证码可以直接爆破，第二种存在验证码但可被绕过，第三种是第三方账户登录可被绕过；3、越权：水平越权的问题出现在同一个角色上，系统只验证了能访问数据的角色，而没有对角色内的用户做细分，也没有对数据的子集做细分，因为缺乏一个用户到数据之间的对应关系。由于水平权限管理是系统缺乏一个数据级的访问控制所造成的，水平权限管理又可称之为“基于数据的访问控制”；垂直权限问题出现在不同角色上，一般来说高权限角色可以访问低权限角色的资源，而低权限角色访问高权限角色的资源则被禁止。如果一个本属于低权限角色的用户通过一些方法能够过得低权限角色的能力，则发生了垂直越权漏洞；4、交易：订单可被恶意修改，比如修改购买数量和单价以形成超低价的总额的逻辑漏洞。[0158]本发明一实施例的基于单位单元的网络安全防护安全系统，包括：[0159]漏洞扫描模块；确定方案，配置策略，系统备份，实施扫描，结果分析，再进行扫描，进行漏洞修复，二次复查，进行扫描，根据安全漏洞知识库检测网络协议、网络服务、网络设备中任意一种或多种的信息资产存在的安全隐患和漏洞，分析，识别处可能被入侵者用来非法进入网络或非法获取信息资产的漏洞，并提醒，接收主机扫描指令或进行主机扫描时，先对主机进行数据备份，若服务器为双机热备系统，则在一次扫描会话中对其中一台进行扫描，对特殊要求的主机或网络设备调整扫描对象策略，采用针对某系统的单个主机扫描方式，每次扫描一个ip，扫描结束后扫描下一个ip，将生产网段进行扫描的设备的扫描时间调整到不影响到业务的时间段；[0160]基线检查模块：对目标信息系统中的网络设备、安全设备、操作系统、数据库、中间件的登录信息收集，登录目标设备对设备配置进行检查，记录配置信息，进行配置安全分析，根据收集的登录信息对网络设备、安全设备、操作系统、数据库、中间件进行逐一登录，测试登录信息收集的准确性和提供账号的权限情况，分析是否能够覆盖全部的安全配置检查内容，形成基线检查报告；[0161]检查网络及安全设备模块：检查设备管理(如console(控制台)、ssh(secure shell安全外壳协议)、管理ip、aaa(authentication、authorization、accounting认证、授权、计费)等)、账号管理、认证授权、登录方式、日志审计、服务端口优化、安全防护(如snmp(简单网络管理协议)、协议加密、地址欺骗等)、安全策略合理性，包括检查操作系统单元、检查数据库单元、检查web(world wide web全球广域网，也称为万维网)服务器、中间件单元；[0162]全流量威胁分析模块：利用威胁数据情报，利用采集到的全网流量进行分析，检测内部失陷主机、外部攻击、内部违规、和内部风险，对事件进行分析、研判、溯源，分析当前网络内的资产信息和相关的统计数据；[0163]内网资产发现模块：对内网信息系统主机资产和web服务器进行梳理，对内网资产台账进行全生命周期动态管理，包括：主机资产服务发现单元、web服务发现单元、资产可视化展示单元；[0164]应急响应模块：监控业务系统中的安全问题，通过大数据分析进行互联网层面攻击溯源，分析安全事件原因，追查事件来源，进行安全事件分类，通过大数据分析与安全威胁情报防御攻击，发现未知危险的网络行为，对攻击源头进行定位；[0165]应急演练模块：分析判断，若判断为疑似计算机病毒爆发事件，判断是否为系统问题，若为系统问题则启动系统应急预案，若不是系统问题则判断是否为病毒爆发事件，若为病毒爆发事件则执行通报流程，若判断不是病毒爆发事件则判断是否具备网络传播性，若判断具备网络传播性则判断是否需要隔离被感染主机，若判断需要被隔离则断开该主机网络连接，启动系统应急预案，判断是否需要执行杀毒措施，若判断不需要被隔离则直接判断是否需要执行杀毒措施，若判断需要执行杀毒措施则判断是否会对系统数据造成破坏，若判断会对系统造成破坏则进行系统备份后执行杀毒措施，若判断不会对系统造成破坏则直接执行杀毒措施，执行后判断病毒是否清理完毕，若判断不需要制定杀毒措施则直接判断是否把病毒清理完毕，若判断病毒清理完毕则恢复隔离主机的网络连接，执行通报流程；若执行杀毒措施后仍存在病毒则继续执行新的病毒查杀措施，直至病毒清理完毕；[0166]渗透测试模块包括：web渗透测试单元、高级渗透测试单元。web渗透测试单元：模拟真实的安全攻击，发现黑客入侵信息系统的潜在可能途径，包括：信息收集、远程溢出、口令猜测、本地溢出、企业用户端攻击、中间人攻击、web脚本及应用测试。高级渗透测试单元包括：结合信息安全最佳安全实践，模拟针对性打击，以互联网侧资产或内部不可信/半可信区域作为渗透入口，模拟黑客内网攻击获取内网最高权限或敏感数据进行进一步渗透测试，包括评估外部资产状况、寻找内部网接入点与利用互联网资产中存在可利用内网接入点、部署跳板机对内部网络进行内网渗透；[0167]安全运维模块包括：日常安全运维单元、重要时刻安全保障单元、周期性安全巡检单元；[0168]日常安全运维单元包括：安全策略优化、安全产品运维、安全评估；[0169]安全策略优化：对安全控制策略是否起到作用、是否合理进行检查和改进，包括：调研、制定方案、策略优化、输出报告；[0170]安全产品运维包括：设备运行安全监测、设备运行安全审计、设备及策略备份更新；[0171]安全评估包括：通过安全扫描评估及时发现信息系统中存在的安全漏洞，对windows、linux服务器及安全设备进行漏洞整改，根据申请、结合安全漏洞知识库于非业务高峰期对信息资产进行安全扫描，不使用含有拒绝服务类型的扫描方式，在扫描过程中若出现扫描系统没有响应的情况则立即停止扫描，分析情况确定原因后，恢复系统，调整扫描策略后进行扫描；[0172]重要时刻安全保障单元包括：重大节假日前主动探测用户在外网上暴露的资产，形成资产清单，根据资产发现结果进行精准漏洞扫描，针对特定漏洞进行全面排查，针对包括高危系统漏洞、高危蠕虫病毒、恶劣入侵与攻击中的一种或多种情况的重大安全事件进行通知，提供事件类型、影响范围、解决方案、预防方案中的一种或多种信息，对重要系统进行全面安全检查、安全加固，并对安全加固结果进行复测，确认安全问题及时有效修复；节假日中对防火墙、web应用防火墙、ids/ips(intrusion detection systems入侵检测系统/intrusion prevention systems入侵防御系统)、负载均衡、网页防篡改系统、网络安全审计系统进行实时告警监控及日志分析，对防病毒软件及查杀记录进行监控，对应用系统、数据库系统的状态和业务平台进行监控和日志分析，若遭到攻击或发现入侵中一种或多种事故则及时进行调查、分析，追查、分析事故来源和原因，根据调查原因及事故情况提出解决方法，并记录事故、事故分析、解决方法、追查方案；[0173]周期性安全巡检单元包括：周期性安全产品巡检、周期性安全策略优化建议；[0174]风险评估模块包括：网络安全评估单元、主机安全评估单元、应用安全评估单元、终端安全评估单元、数据安全评估单元、物理安全评估单元、中间件安全评估单元、管理安全评估单元；[0175]网络安全评估单元包括：对组织的网络拓扑架构、安全域规划、vlan划分、网络设备配置、安全设备配置、安全防护措施进行分析，对物理网络结构、逻辑网络结构、网络设备进行安全评估，发现网络结构存在的安全性、网络负载问题，网络设备存在的安全性、抗攻击问题，评估网络的安全现状，发现存在的安全性、合理性、使用效率问题；[0176]主机安全评估单元包括：对操作系统、账号、认证、授权、网络服务、系统日志、补丁升级、病毒防护、本地安全策略进行分析，发现系统配置和运行中存在的安全漏洞和安全隐患，根据业务应用情况、安全基线配置情况进行分析评估，包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、资源控制；[0177]应用安全评估包括：根据应用系统的账号、认证、授权、审计、性能资源、备份恢复、渗透测试对应用系统进行安全评估，检测分析输入验证、身份验证、授权、配置管理、敏感数据、会话管理、加密技术、异常管理、审核和日志记录、习惯问题，查找应用系统的安全漏洞和安全隐患；[0178]终端安全评估单元包括：检查补丁、账号口令、网络服务、病毒防护、本地安全策略，根据补丁升级、病毒防护、账号口令、网络服务、本地安全策略对终端的安全状况进行评估，查找终端的安全漏洞和安全隐患；[0179]数据安全评估单元包括：检测分析数据库用户名和密码管理、数据库访问控制、登录认证方式、数据安全、安全漏洞检查、补丁管理、数据库的安全审计，根据数据的机密性、完整性、可用性对数据安全状况进行主估，查找数据层面可能存在的安全漏洞和安全隐患；[0180]物理安全评估单元包括：检测分析物理安全边界、物理入口控制，检测分析办公室、房间、设施的安全保护，检测分析外部和环境威胁的安全防护、安全区域工作控制、交付和交接区、设备安置和保护、支持性设备、布缆安全、设备维护、资产的移动、场外设备和资产安全、设备的安全处置或再利用、无人值守的用户设备、清空桌面和屏幕策略，根据机房物理环境、访问控制、电力供应、线缆布放、设备摆放、标签规范、机房制度评估网络机房的安全；[0181]中间件安全评估单元包括：检测分析中间件用户名和密码管理、中间件安全审计、登录认证方式、通信保密性、资源控制、中间件的入侵防范策略，评估中间件的安装部署、配置参数的实现是否符合应用运行安全要求；[0182]管理安全评估单元包括：根据安全组织、安全制度、安全人员、安全运维、安全应急、安全培训对信息安全管理现状进行评估，查找可能的安全隐患和缺失点。[0183]信息系统等级保护测评模块包括：等级保护差距测评单元、安全保障体系设计单元、等级保护测评单元、信息系统软整改单元；[0184]等级保护差距测评单元包括如下过程：信息收集分析、准备工具和表单、确定测评对象、确定测评指标、确定测评工具接入点、确定测评内容、测评指导书开发、编制测评方案、准备测评实施、现场测评和结果记录、结果确认和资料归还、单项测评结果判定、单项测评结果汇总分析、整体测评、形成安全测评结论、编制测评报告；[0185]安全保障体系设计单元包括：通过信息系统等级保护差距测评单元分析当前网络和信息系统的弱点与风险，进行安全整改，完成相应产品的拓扑设计，实施安全技术措施，完善安全管理制度；结合信息系统等级保护差距测评单元结果、依照信息安全等级保护要求、根据实际情况制定信息安全体系框架；[0186]信息安全体系框架包括：安全策略、安全技术体系、运行保障体系、安全组织与管理体系；[0187]安全策略与安全技术体系、运行保障体系、安全组织与管理体系三大体系相互作用，[0188]安全技术体系、运行保障体系、安全组织与管理体系三大体系在安全策略的指导下构建，将安全策略中制定的各个要素转化成技术实现方法和管理、运行保障手段，实现安全策略中制定的目标；[0189]等级保护测评单元包括：对信息系统安全等级保护状况进行测试评估，包括测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况的安全控制测评与测评分析信息系统的整体安全性的信息系统整体测评，对安全控制测评的描述采用工作单元方式组织，工作单元包括安全技术测评和安全管理测评，安全技术测评包括：物理安全测评、网络安全测评、主机系统安全测评、应用安全测评、数据安全测评多层面上的安全控制测评；安全管理测评包括：安全管理机构测评、安全管理制度测评、人员安全制度测评、系统建设管理测评、系统运维管理测评多方面的安全控制测评；[0190]信息系统软整改单元包括：通过等级保护差距测评单元的差距测评报告分析当前网络和信息系统的弱点和风险，包括操作系统、数据库、网络安全设备的弱点与风险，根据设备的安全配置加固规范对操作系统、数据库、网络安全设备进行逐条核查加固，制定相关的风险规避措施，包括操作系统加固、网络/安全设备加固、数据库加固、信息安全管理制度建立及完善；[0191]互联网威胁检测与主动响应模块包括：为互联网业务提供风险评估、实时监测、篡改处置、应急对抗，重新获得更安全的保障；[0192]风险评估包括：评估暴露面、脆弱性、内容安全，作为基线，定期持续复查，定期对资产变化进行监测，持续分析新增资产引入的风险情况；[0193]实时监测包括：实时监测页面篡改、0day(系统商在知晓并发布相关补丁前就被掌握或者公开的漏洞信息)、网马、黑链、dns(domain name system域名系统)、可用性安全事件并生产报告及时通知用户；[0194]篡改处置包括：通过dns技术快速替换被篡改站点；[0195]应急对抗包括：云端应急对抗，保障敏感数据。[0196]进一步，本实施例的基线检查模块还包括：根据基线检查在网络设备、安全设备、操作系统、数据库、中间件各个层面的最佳实践，对目标信息系统进行配置核查，记录当前设备的配置情况，对当前的安全配置情况进行分析，参考安全基线，找出在安全配置方面的差距并记录，根据基线检查整体差距分析情况，结合信息系统当前情况，形成基线检查报告。[0197]进一步，本实施例的检查操作系统单元包括：基本信息检查、补丁管理、用户账号、口令安全、权限管理、日志与审计、系统服务端口检查、安全防护、网络协议安全。[0198]进一步，本实施例的检查数据库单元：检查账号安全、检查数据库连接安全、检查数据库安全组件配置、检查日志配置、检查通信协议。[0199]进一步，本实施例的检查web服务器、中间件单元：管理应用限制检查、列出目录检查、禁止访问web目录之外的文件检查、http请求的消息主体大小、默认端口检查、错误液面重定向、禁止列表显示文件、防范拒绝服务攻击、缺省安装的无用文件、版本号及敏感信息的隐藏、账号管理、认证授权、日志配置、通信协议、设备及安全要求。[0200]进一步，本实施例的当前网络内的资产信息和相关的统计数据包括：资产统计信息、攻击面统计信息、新增资产信息、资产变更信息、新增攻击面信息、攻击面变更信息、新增资产详细列表。[0201]进一步，本实施例的检测外部攻击包括：反序列攻击检测、web攻击态势分析、口令爆破攻击检测。[0202]进一步，本实施例的反序列攻击检测包括：分析发现内部服务的反序列攻击行为的数量和每个反序列攻击行为的情况。[0203]进一步，本实施例的反序列攻击的情况包括：攻击时间、源ip、目的ip/端口。[0204]进一步，本实施例的web攻击态势分析通过流量分析内部服务器受到攻击的情况，分析web整体攻击类型的态势分布、每种攻击手段的详细信息和攻击的结果。[0205]进一步，本实施例的攻击结果包括：攻击告警、攻陷、提示。[0206]进一步，本实施例的口令爆破攻击检测针对不同服务器每日遭受口令爆破的攻击次数、服务的类型、邮件暴露攻击的情况、远程管理服务爆破攻击的情况和数据库服务爆破攻击的情况进行检测。[0207]进一步，本实施例的检测内部违规包括：暴露面检测、非法外联检测、恶意dns(domain name system域名系统)分析、acl(access control lists访问控制列表)梳理、弱口令检测、异常登录检测、非常规服务分析。[0208]进一步，本实施例的暴露面检测通过大数据分析，分析出当前网络内的非法攻击面信息。[0209]进一步，本实施例的非法攻击面信息包括：攻击面的统计信息、新增攻击面信息、攻击面变更信息、攻击面的信息。[0210]进一步，本实施例的非法外联检测分析环境内的非法外联信息。[0211]进一步，本实施例的恶意dns分析通过流量分析监控、分析内部网络请求的dns，并结合威胁情报分析内部dns的信誉度情况，发现内部存在的恶意dns的请求，及详细信息。[0212]进一步，本实施例的acl梳理分析当前网络内现有的所有ip的访问关系，包括源ip到目的ip不同端口的访问关系，分析网络内的acl管控，对内部不合理的acl处置。[0213]进一步，本实施例的弱口令检测分析发现内部服务器的弱口令的状态，报告弱口令总数、被动统计发现的次数、字典匹配发现的次数和主动发现的次数，检测分析邮件服务、远程管理服务、数据库服务弱口令的信息。[0214]进一步，本实施例的邮件服务、远程管理服务、数据库服务弱口令的信息包括：受影响的账号、弱口令、受影响的服务器、协议和检测到的时间。[0215]进一步，本实施例的异常登录检测包括：检测内部服务器的异常行为，包括：外部登录内部服务器异常详细情况、异常登录详细情况、非工作时间登录详细情况。[0216]进一步，本实施例的非常规服务分析包括：远程控制服务、代理服务、regeory tunnel(内网渗透隧道)服务检测和发现、http(hyper text transfer protocol超文本传输协议)代理检测和发现、socks(protocol for sessions traversal across firewall securely防火墙安全会话转换协议)代理检测和发现、teamview/irc(专业远程连接工具/(internet relay chat因特网中继聊天))检测和发现，分析连接服务的时间、连接服务的源ip、连接服务的目的ip和服务类型。[0217]进一步，本实施例的对事件研判包括：通过发现攻陷事件、web攻击事件、内部异常信息，利用网络渗透信息，结合云端威胁情况，对事件性质是否是真的恶意攻击行为做出判断，分析事件产生原因。[0218]进一步，本实施例的对事件溯源对恶意攻击事件进行追踪和溯源，分析攻击者的物理位置、攻击者的行为证据留存和攻击者常用的手段。[0219]进一步，本实施例的主机资产服务发现单元包括：扫描发现新增资产、资产变更、新增端口、端口变更，识别操作系统、ip地址、域名，输出资产信息报告。[0220]进一步，本实施例的web服务发现单元包括：分析发现端口、web服务器、开发语言、部分前置waf信息、web服务情况。本实施例的资产可视化展示单元可视化展示资产信息，支持资产信息的快速检索、报表导出，可输出web服务信息报表。[0221]进一步，本实施例的应急演练模块还包括：网络攻击事件应急演练单元。[0222]进一步，本实施例的网络攻击事件应急演练单元包括：分析判断，若判断为外网网站恶意攻击事件，则根据系统日志、防火墙日志、网络日志、网络流量分析、网页防篡改系统分析定位攻击源ip地址、判断是否能确定攻击源，若不能确定攻击源则判断是否能确定攻击源类型，同时根据系统安全状况判断是否是篡改、sql(structured query language结构化查询语言)注入、xss(cross site scripting跨站脚本攻击)跨站、木马、非法入侵中一种或多种恶意攻击，若判断存在恶意攻击则检测网页防自篡改系统是否被篡改，若被篡改则检测漏洞原因，若未被篡改则检测ids(intrusion detection system入侵检测系统)系统是否检测到入侵，若检测到入侵则进行验证，若未检测到入侵则判断是否能确定攻击源类型，若能确定攻击类型则判断是否能恢复和修复漏洞，若不能确定攻击源类型启动应急预案，若判断能恢复和修复漏洞则恢复和修复漏洞则恢复和修补漏洞，若判断不能恢复和修复漏洞则启动应急预案，恢复和修补漏洞后判断攻击是否继续，若判断攻击继续则确定攻击源，同时启动应急预案，若判断攻击没有继续则执行通报流程，若无法定位攻击源ip地址或攻击路径，或经过分析后无法关闭攻击网络路径，则启动(系统不可用情况下的)应急预案，并通报。[0223]进一步，本实施例的web渗透测试单元中的信息收集包括：主机网络扫描、端口扫描、操作类型判别、应用判断、账号扫描、配置判别中一种或多种方式进行操作系统类型收集、网络拓扑结构分析、端口扫描、目标系统提供的服务识别。口令猜测利用暴力攻击和字典以进行猜测口令。[0224]进一步，本实施例的web脚本及应用测试包括：注入、跨站脚本攻击、失效的身份认证和会话管理、不安全的直接对象引用、跨站请求伪造、检查安全配置错误、检测不安全的加密存储、没有限制url访问、检测传输层保护不足、检测未验证的重定向和转发。[0225]本实施例的信息收集分析包括：基线检查、漏洞扫描。本实施例的基线检查包括：对系统进行基线检查发现服务器、网络设备、安全设备存在的安全漏洞和薄弱环节，并对发现的脆弱性进行识别、分析、修补、检验。[0226]漏洞扫描包括对系统进行漏洞扫描，检查网络协议、网络服务、网络设备中各种信息资产存在的安全隐患和漏洞，对网络设备进行安全漏洞检测分析，协助整改漏洞。[0227]进一步，本实施例的等级保护差距测评单元中的信息收集分析包括：检索方针文件、规章制度及过程管理记录、信息系统总体描述文件、信息系统详细描述文件、信息系统安全保护等级定级报告、安全需求分析报告、信息系统安全总体方案、安全现状评价报告、信息系统安全详细设计方案、用户指南、运行步骤、网络图表、配置管理文档中一种或多种资料，分析信息系统的基本信息、管理框架、网络及设备部署、业务种类及特性、业务数据、用户范围、用户类型，进行综合分析及整理，分析信息系统的行业特征、主管机构、业务范围、地理位置、背景信息、联络方式、组织管理结构、管理策略、部门设置、部门在业务运行终端作用、岗位职责、物理环境、网络拓扑结构、硬件设备部署情况、范围及边界、业务种类及特性、业务流程、业务安全保护等级，形成信息系统基本情况分析报告。[0228]安全技术体系为信息系统框架的基础，包括：网络安全、主机安全、终端安全、应用安全、数据安全、安全综合管理平台，以安全策略为指导，从网络安全防护、主机系统安全防护、应用安全防护、终端安全防护、数据安全防护多层次出发建立各个部分协同的完整的安全技术防护体系。安全组织与管理体系立足于总体安全策略并与所述安全技术体系相互配合。[0229]运行保障体系包括：安全运维管理、日常运行保障、安全应急响应、数据系统备份。[0230]以上述依据本技术的理想实施例为启示，通过上述的说明内容，相关工作人员完全可以在不偏离本项申请技术思想的范围内，进行多样的变更以及修改。本项申请的技术性范围并不局限于说明书上的内容，必须要根据权利要求范围来确定其技术性范围。[0231]本领域内的技术人员应明白，本技术的实施例可提供为方法、系统、或计算机程序产品。因此，本技术可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本技术可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。[0232]本技术是参照根据本技术实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。[0233]这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。[0234]这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。









图片声明：本站部分配图来自人工智能系统AI生成,觅知网授权图片,PxHere摄影无版权图库。本站只作为美观性配图使用,无任何非法侵犯第三方意图,一切解释权归图片著作权方,本站不承担任何责任。如有恶意碰瓷者,必当奉陪到底严惩不贷!




内容声明：本文中引用的各种信息及资料（包括但不限于文字、数据、图表及超链接等）均来源于该信息及资料的相关主体（包括但不限于公司、媒体、协会等机构）的官方网站或公开发表的信息。部分内容参考包括:(百度百科,百度知道,头条百科,中国民法典,刑法,牛津词典,新华词典,汉语词典,国家院校,科普平台)等数据,内容仅供参考使用,不准确地方联系删除处理！本站为非盈利性质站点,发布内容不收取任何费用也不接任何广告!




免责声明：我们致力于保护作者版权，注重分享，被刊用文章因无法核实真实出处，未能及时与作者取得联系，或有版权异议的，请联系管理员，我们会立即处理，本文部分文字与图片资源来自于网络，部分文章是来自自研大数据AI进行生成,内容摘自(百度百科,百度知道,头条百科,中国民法典,刑法,牛津词典,新华词典,汉语词典,国家院校,科普平台)等数据,内容仅供学习参考,不准确地方联系删除处理!的,若有来源标注错误或侵犯了您的合法权益，请立即通知我们，情况属实，我们会第一时间予以删除，并同时向您表示歉意,谢谢!