网络安全网站木马检测工具

UDCPGBXXXX-XXXX(征求意见稿)中华人民共和国国家标准互联网网络安全设施技术标准TechnicalStandardforInternetSecurityFacilitiesGBXXXX-20XX主编部门:中华人民共和国工业和信息化部批准部门:中华人民共和国住房和城乡建设部施行日期:20XX年XX月XX日XXXXXX出版社20XX北京中华人民共和国住房和城乡建设部公告第XXX号关于发布《互联网网络安全设施技术标准》的通知现批准《互联网网络安全设施技术标准》为国家标准,编号为GBXXXX-20XX,自20XX年XX月XX日起实施.
本规范由XXXXXX出版社出版发行.
中华人民共和国住房和城乡建设部二〇XX年X月X日前言根据住房和城乡建设部《关于印发2017年工程建设标准规范制修订及相关工作计划的通知》(建标[2016]248号)的要求,由中通服咨询设计研究院有限公司、华信咨询设计研究院有限公司、广东省电信规划设计院有限公司、广州宏亮信息技术有限公司会同有关单位共同编制而成.

本规范在编制过程中,结合《中华人民共和国网络安全法》关于网络安全"三同步"的相关要求,认真总结了近年来我国互联网网络安全工程建设的经验和教训,参考和借鉴了国内外有关标准,在广泛征求意见的基础上,经反复审查定稿.

本规范共分为7章,主要内容包括:总则、术语和符号、网络安全工程规划、网络安全工程设计、网络安全工程施工要求、网络安全工程验收、网络安全设施运行维护.

本规范由住房和城乡建设部负责管理和对强制性条文的解释,工业和信息化部信息通信发展司负责日常管理工作,中通服咨询设计研究院有限公司负责具体技术内容的解释.
在执行本规范过程中,请各单位结合工程实践,注意发现问题,总结经验,积累资料,随时将有关意见和建议反馈给中通服咨询设计研究院有限公司(地址:江苏省南京市建邺区楠溪江东街58号,邮政编码:210019),以供今后修订时参考.

本规范主编单位、主要起草人和主要审查人:主编单位:中通服咨询设计研究院有限公司参编单位:华信咨询设计研究院有限公司广东省电信规划设计院有限公司广州宏亮信息技术有限公司主要起草人:王小鹏、董育萍、莫晓楠、梁建辉、杨波、张子扬、叶挺、李艳杰主要审查人员:目次1总则22术语和符号32.
1术语32.
2符号43网络安全工程规划54网络安全工程设计64.
1设计基本要求64.
2安全防护设施设计要求64.
3安全监测设施设计要求94.
4安全审计设施设计要求114.
5应急灾备设施设计要求135网络安全工程实施要求155.
1一般要求155.
2安全要求156网络安全工程验收176.
1验收前准备176.
2工程验收要求177网络安全设施运行维护19本标准用词说明20引用标准名录21总则为规范我国互联网网络安全设施建设,确保网络安全技术措施与关键信息基础设施同步规划、同步建设、同步使用,做到技术先进、经济合理、安全适用,制定本标准.

本标准适用于新建、改建和扩建的互联网网络安全工程.
互联网网络安全工程建设应贯彻国家网络安全管理方针政策和技术经济政策,符合国家相关技术体制及技术标准,同时应密切结合互联网快速发展的实际,具备快速扩容升级的能力.

互联网网络安全工程建设应充分调查分析和预测网络安全需求及运营维护需求,并充分考虑新业务、新技术对网络安全设施结构、能力的影响等因素.

互联网网络安全工程建设应充分利用已有的网络安全设施,实现共建共享并降低工程造价.

互联网网络安全工程建设除应执行本规范外,尚应符合国家现行有关标准的规定.

术语和符号术语互联网业务系统InternetBusinessSystem通过计算机网络提供信息服务的业务系统,由主机、交换机、路由器、数据库、操作系统、应用软件等硬件和软件设备所组成.

网络安全防护设施NetworkSecurityProtectionFacilities用于保护互联网业务系统的安全性、保密性和可用性免受外部破坏的网络安全设施.

网络安全监测设施NetworkSecurityDetectingFacilities用于监测互联网业务系统安全威胁、安全漏洞和安全事件等的网络安全设施.

安全审计设施NetworkSecurityAuditFacilities用于对网络数据和日志进行采集记录并支持对异常行为分析取证的网络安全设施.

应急灾备设施EmergencyDisasterRecoveryFacilities用于在网络安全事件发生后即时响应并快速恢复数据和业务的网络安全设施.

符号下列缩略语适用于本规范:英文缩写英文名称中文名称4AAccountAuthenticationAuthorization&Audit统一安全管理平台解决方案ACKAcknowledgement确认字符CACertificateAuthority证书授权中心CCChallengeCollapsar挑战黑洞DoSDenialofService拒绝服务攻击DDoSDistributedDenialofService分布式拒绝服务攻击HTTPHyperTextTransferProtocol超文本传输协议ICMPInternetControlMessageProtocol控制报文协议IMAPInternetMailAccessProtocol交互式邮件存取协议POP3PostOfficeProtocol-Version3邮局协议版本3SDNSoftwareDefinedNetwork软件定义网络SMTPSimpleMailTransferProtocol简单邮件传输协议SQLStructuredQueryLanguage结构化查询语言SYNSynchronization同步TCPTransmissionControlProtocol传输控制协议UDPUserDatagramProtocol用户数据报协议网络安全工程规划网络安全设施需能保证互联网业务的稳定持续运行,能够对网络安全风险进行有效的防御、监测和审计,能够支撑安全事件应急处置和业务灾备恢复,网络安全设施应与互联网信息设施同步规划、同步建设、同步使用.

网络安全工程规划中应综合考虑互联网基础设施和信息系统业务发展等对网络安全防护、网络安全监测、网络安全审计、网络应急灾备的需求.

网络安全工程规划应根据近、远期互联网业务及网络发展规划、用户数量、网络带宽、网络资产规模、网络安全管理需求等情况测算网络安全设施的功能性能需求和建设规模.

网络安全工程规划应根据现有网络安全设施的建设使用情况、各互联网信息基础设施和信息系统发展规划进行综合业务预测,结合网络安全设施技术发展情况,确定网络安全设施组织方案和近、远期演进路线.

网络安全工程规划应处理好整体和局部的关系,全局通用的安全技术手段宜采用共建共享的模式.

网络安全工程规划应进行多种方案的技术经济比较.
网络安全工程设计设计基本要求网络安全工程设计应满足互联网网络安全保障相关功能、性能、质量和工程投资等建设项目要求.

互联网网络安全设施需满足互联网业务可用性、完整性、保密性、可审计性等安全需求.

网络安全工程设计应根据所保障的互联网业务的具体特征和信息安全等级保护等相关法规的技术要求,有针对性地进行网络安全方案设计、网络安全指标设计、网络安全设施配置等工作.

对特定的互联网应用场景应采用定制化的网络安全设计方案.
对于SDN网络,应注重网络控制器等核心部件的安全保障;对于云计算系统,应注重虚拟机的安全保障;对于物联网系统,应注重传感层设备的安全保障.

对于网络安全升级改造工程,应保证现网已有网络安全设施的合理利用和充分整合.

网络安全工程设计应优先采用成熟稳定的网络安全技术和设备,并充分考虑网络安全技术的演进及融合发展.

网络安全工程设计应做到安全域划分合理、纵深防御功能清晰、安全性能计算准确.

安全防护设施设计要求互联网网络安全防护设施主要包括访问控制设施、用户认证授权设施、入侵防御设施、异常流量清洗设施、病毒过滤设施、垃圾邮件过滤设施、敏感信息加密设施等.
网络安全工程设计中需根据所保障互联网业务的特点,编制相应的安全防护策略,综合采取多种安全防护设施,实现对网络攻击行为的纵深防御.

安全防护设施设计宜遵循以下基本步骤:调查梳理网络与系统现状;明确安全防护目标:包括防护对象、防护等级、性能目标和投资费用目标;安全防护体系设计:包括安全域划分、防护设施配置、防护策略设计;防护性能设计:包括网络攻击规模预测和防御性能配置;网络安全威胁分析;防护设施规划和参数设计;设备选型;勘察局址,确定最终方案.
安全防护设施设计应遵循以下原则:应根据互联网业务所面临的网络安全威胁和攻击模型进行防护系统设计,在兼顾工程投资的前提下,实现高效全面的安全防护,达到纵深防御的要求;应根据互联网业务发展需求构建合理的安全防护体系,能够按需对相关防护设施的功能和性能进行灵活扩容而无需对整个安全防护架构进行调整.

网络安全防护设施能够与网络安全监测设施进行联动,通过动态监测与主动防御相结合,实现精准化、智能化防护.

互联网网络安全防护设施的防护性能须与所防护的互联网业务规模相匹配,防护设施配置需不低于业务忙时和攻击峰值时的安全防护需求.

访问控制设施用于在关键网络节点和安全域边界按照确定的控制策略对网络访问进行管控,访问控制设施可按需以路由模式、透明模式或者混杂模式参与系统组网,访问控制策略应包括:根据访问控制列表对源地址、目的地址、源端口、目的端口和协议等进行检查,允许或者拒绝数据包出入;网络访问控制应设定过滤规则集,并涵盖所有出入边界数据包的处理方式,对于没有明确定义的数据包,应缺省拒绝;能够根据应用层协议信息及相应的安全规则,对数据流中的每一个报文进行允许/禁止操作.

用户认证授权设施用于对访问特定网络目标的用户及终端进行身份认证和访问授权,身份认证宜采取静态密码、动态口令、CA证书等多因子组合认证的方式,访问授权应细化到用户级和系统资源级.
用户认证授权设施的处理能力须高于业务峰值时的用户认证授权需求,避免成为业务访问性能的瓶颈.
用户认证授权设施应部署于所防护的系统资源前端,并作为用户访问相关资源的唯一入口.

入侵防御设施可通过监视并深层次检查网络传输报文,及时发现非法的、不正常的、含攻击行为的报文并实时进行阻断,用于防御对互联网业务系统的恶意攻击.
入侵防御设施可按需以透明串接模式或者旁路模式部署于系统网络中,应具有如下功能:具有规范健全的特征库,能够基于攻击行为特征准确检测和防御主流的已知攻击行为;支持对网络协议进行深度分析和异常检测,能够识别未知网络攻击行为;能够检测如下攻击类型并能实时阻断,同时不影响正常业务流量的通过:蠕虫、恶意代码、协议异常、缓冲区溢出、SQL注入、DoS攻击;能够按照IP地址、网络服务、时间、协议和攻击类型、安全风险级别等进行网络入侵行为的统计.

异常流量清洗设施通过流量分析、验证技术对正常业务流量和恶意攻击流量进行识别和分离,丢弃攻击流量,用于防御DDoS攻击、保障互联网业务的正常运行和访问.
异常流量清洗设施宜采用旁路方式部署,并能够通过集群方式进行性能扩展,应具有如下功能:能够有效防御如下几种类型的DDoS攻击:SYNFlood、ICMPFlood、ACKFlood、DNSQueryRequestFlood、TCP连接耗尽、HTTPGetFlood、CC、UDPFlood;应支持过滤、反欺骗、异常识别、协议分析、速率限制、基线学习等DDoS过滤及防御机制;能够与入侵防御设施进行联动,按照入侵防御设施的指令执行流量清洗操作.

病毒过滤设施通过对网络中传输的数据进行分析,及时识别病毒传输数据并进行拦截和清除,应部署于关键网络节点和安全域边界处,用于阻止病毒向内部网络传播.
病毒过滤设施应具有如下功能:支持HTTP、FTP、SMTP、POP3等应用协议的病毒过滤;支持对常见木马、间谍软件和蠕虫病毒的拦截过滤.
垃圾邮件过滤设施通过对网络中传输的数据进行分析,及时识别垃圾邮件数据并进行拦截和阻止,应部署于邮件系统前端,用于阻止垃圾邮件的接收和发送.
垃圾邮件过滤设施应具有如下功能:支持SMTP、POP3、IMAP等邮件传输协议的垃圾邮件过滤;支持基于邮件主题、发件人、收件人、抄送人、正文相关关键字的垃圾邮件过滤;支持基于邮件、IP地址黑白名单及特征库进行垃圾邮件过滤拦截.
敏感信息加密设施用于对系统和网络中流转的敏感数据进行加密处理,预防敏感信息被泄露或窃取.
敏感信息加密算法需有足够的安全强度,宜采用经权威机构认证的国有自主加密算法,且具有较高的加解密计算效率和开放的加解密接口,对互联网业务应用透明.

安全监测设施设计要求互联网网络安全监测设施主要包括入侵检测设施、漏洞扫描检测设施、网站安全监测设施、病毒扫描检测设施、敏感信息监测设施、安全态势感知设施等.
网络安全工程设计中需根据所保障的互联网业务的特点,编制相应的网络安全监测方案,综合采取多种安全监测设施,实现对安全威胁、安全漏洞和安全事件的及时发现和分析.

安全监测设施设计宜遵循以下基本步骤:调查梳理网络与系统现状;明确安全监测目标:包括监测对象、监测内容、监测周期和投资费用目标;安全监测体系设计:包括监测点的选择、监测设施配置、监测和告警策略设计;监测性能设计:包括安全监测规模测算和监测性能配置;监测设施规划和参数设计;设备选型;勘察局址,确定最终方案.
安全监测设施设计应遵循以下原则:应根据互联网业务所面临的网络安全威胁和已有防护体系进行监测系统设计,在兼顾工程投资的前提下,实现高效全面的安全监测,达到及时发现并管控安全风险的要求;应根据互联网业务发展需求构建合理的安全监测体系,能够按需对相关监测设施的功能和性能进行灵活扩容而无需对整个安全监测架构进行调整;网络安全监测设施应能将监测结果及时反馈给网络安全防护设施和安全审计设施,形成一体化的安全防护和监测感知能力;互联网网络安全监测设施的监测性能须与所监测的互联网业务规模相匹配,监测设施配置需不低于业务忙时和攻击峰值时的安全监测需求.

入侵监测设施可通过监视并深层次检查网络传输报文,及时发现非法的、不正常的、含攻击行为的报文,详细记录并实时告警.
入侵监测设施可按需以透明串接模式或者旁路模式部署于系统网络中,应具有如下功能:具有规范健全的特征库,能够基于攻击行为特征准确检测主流的已知攻击行为;支持对网络协议进行深度分析和异常检测,能够识别未知网络攻击行为;能够按照IP地址、网络服务、时间、协议和攻击类型、安全风险级别等进行网络入侵行为的统计.

漏洞扫描监测设施可通过逐个端口扫描探测等方式批量检测服务器和网络设备所开放的端口和服务,通过与这些端口所开放服务的交互及时发现被监测设备在操作系统、网络服务、数据库、网络应用等方面所存在的安全漏洞,以及弱口令等安全配置问题.
漏洞扫描监测设备在网络配置和安全策略设置上应能访问被监测设备的所有端口,并具有如下功能:具有规范健全的特征库,能够基于各端口的交互信息准确识别所存在的安全漏洞;应采取某种措施,对系统可以扫描的IP地址进行限制,即只允许对授权地址和地址段进行扫描;可对漏洞扫描监测的结果进行查询并生成报告,并在报告中针对发现的安全漏洞给出具体的整改建议;可将漏洞信息传送给访问控制设施和病毒防护设施进行联动,及时封堵相应网络端口并启动病毒查杀工作.

网站安全监测设施可按照指定的频率对WEB网站系统进行持续的安全监测,及时发现非法内容、内容篡改、恶意代码、安全漏洞、响应迟缓等安全风险.
网站安全监测设施应能访问被监测网站的WEB服务端口,并具有如下功能:具有规范健全的特征库,能够基于网站特征准确检测主流的网站安全漏洞、非法内容和入侵篡改情况;对监测发现的中高危漏洞、安全入侵、非法内容等安全事件能够通过邮件、短信等方式及时告警;能够按需生成针对特定网站的安全监测报告,报告的内容包括网站的基本属性、监测发现的安全风险、建议的整改措施等.

病毒扫描监测设施可通过定期扫描主机内存和文件系统等方式及时发现主机上存在的各类恶意软件,包括病毒、蠕虫、特洛伊木马、间谍软件等,及时告警并能够对这些恶意软件进行自动或者人工的隔离、删除等操作.
病毒扫描监测设施须保持病毒特征库的实时更新,在所监测的网络范围内宜采用集中式管理中心加分布式代理的模式进行部署,管理中心应能及时统计分析监测区域内所有主机的病毒感染和处置情况.

敏感信息监测设施通过在终端、网络关口等处进行数据采集分析,实时监测敏感及涉密数据的泄露和传送情况,及时告警并记录敏感信息传播路径,为数据泄露的安全审计和取证提供依据.

安全态势感知设施通过广泛采集并分析分布在网络中的网络安全设施、网络和主机设备的日志和告警数据、关键端口的流量信息、外部威胁情报信息等,实现对网络安全的持续监测能力,及时发现各种攻击威胁与异常.
同时通过建立威胁可视化及分析能力,对威胁的影响范围、攻击路径、目的、手段进行快速研判,实现有效的安全决策和响应.

安全审计设施设计要求互联网网络安全审计设施主要包括网络审计设施、数据库审计设施、应用审计设施、用户行为审计设施等.
网络安全工程设计中需根据所保障互联网业务的特点,编制相应的安全审计策略和方案,综合采取多种安全审计设施,实现对网络攻击行为的发现、溯源和取证.

安全审计设施设计宜遵循以下基本步骤:调查梳理网络与系统现状;明确安全审计目标:包括审计对象、审计周期、审计策略和投资费用目标;安全审计体系设计:包括审计设施种类选择、审计设施配置、审计规则设计;审计性能设计:包括安全审计数据规模测算和审计设施性能配置;审计设施规划和参数设计;设备选型;勘察局址,确定最终方案.
安全审计设施设计应遵循以下原则:应根据互联网业务所面临的网络安全威胁和已有防护和监测体系进行审计系统设计,在兼顾工程投资的前提下,实现高效全面的安全审计,达到异常发现和溯源取证的要求;应根据互联网业务发展特征构建合理的安全审计体系,能够按需对相关审计设施的功能和性能进行灵活扩容而无需对整个安全审计架构进行调整;网络安全审计设施应支持人工和自动化相结合的审计模式,既能通过人工方便地查询取证分析,也可按规则自动化地分析并发现异常.

网络审计的对象包括路由器、交换机、服务器、网络安全设备等.
所有审计对象应开启日志记录功能,网络审计设施应集中采集相关设备的端口数据、运行日志、状态信息、告警信息等,经过规范化处理之后进行存储和管理,支持异常状态和数据的分析、查询等.

数据库安全审计设施应能监视并记录对数据库服务器的各类操作行为.
可通过旁路、直连、软件探针等多种方式监控数据库的多重状态和通信内容,实时地、智能地解析对数据库服务器的各种操作,并记入审计数据库中以便日后进行查询、分析、过滤.

应用审计设施应能集中采集各应用系统中的系统安全事件、用户访问记录、系统运行日志、系统运行状态等各类信息,经过规范化、过滤、归并和告警分析等处理后,以统一格式的日志形式进行集中存储和管理,并能进行异常行为和数据的分析、查询等.

用户行为审计设施应能对系统用户或运维人员的操作过程进行全面的跟踪、控制、记录和回放.
可与用户认证授权设施相整合,以4A系统等方式进行统一部署.

安全审计设施信息收集应通过审计接口,从被管理资源或第三方系统收集审计信息进行标准化处理,形成统一的审计数据格式进行存储.

安全审计设施的部署和数据采集应保证被审计设备和系统的稳定性要求,应符合下列规定:数据采集软件代理在宿主机操作系统上应工作稳定,对宿主机资源不应长时间固定或无限制占用,不应造成宿主机崩溃等影响可用性的情况;应给安全审计设施预留足够的网络带宽,审计设施工作时不应对原网络正常通信产生长时间固定影响;安全审计设施应有足够的呑吐量,确保能够及时收集处理所有的审计数据信息,在大流量的情况下,应通过动态负载均衡机制等实现弹性扩展.

应急灾备设施设计要求应急灾备设施设计应以相应灾难恢复能力等级的技术要求为基础,根据灾难恢复策略制定相应的灾难备份系统技术方案,包括数据备份系统、备用数据处理系统和备用网络系统等.

应急灾备设施设计宜遵循以下基本步骤:调查梳理网络与系统现状;明确应急灾备目标:包括灾备对象、灾难恢复等级、灾备策略和投资费用目标;应急灾备体系设计:包括灾备设施选择、灾备设施配置、灾备及恢复规则设计;灾备性能设计:包括灾备数据规模测算和灾备设施性能及容量配置;灾备设施规划和参数设计;设备选型;勘察局址,确定最终方案.
应急灾备设施设计应遵循以下原则:应根据互联网业务所需达到的灾难恢复等级进行应急灾备系统设计,在兼顾工程投资的前提下,实现快捷可靠的应急灾备,达到快速恢复数据和业务的要求;应根据互联网业务发展特征构建合理的应急灾备体系,能够按需对相关应急灾备的功能和性能进行灵活扩容而无需对整个应急灾备架构进行调整;应急灾备系统自身的安全防护、安全监测和安全审计设施应同步考虑,预防从灾备系统泄露和篡改数据.

信息系统中的关键系统和数据,应建立网络安全监测机制,制定应急灾备策略和恢复方案,并通过加强安全管理落实相关策略和流程.

应急灾备系统中的数据备份技术的选择应符合数据恢复时间和系统切换时间满足业务连续性的要求.

应急灾备设施的设计应防范的灾难包括地震、水灾等自然灾难以及火灾、战争、恐怖袭击、网络攻击、设备系统故障、人为破坏等无法预料的突发事件.

重要信息系统灾难备份系统和灾难恢复计划应进行定期应急演练测试,确保灾难备份系统的及时和有效性.

应急灾备中心的选择和建设应符合下列规定:选择或建设应急灾备中心时,应根据风险分析结果,避免应急灾备中心与主中心同时遭受同类风险,应急灾备中心包括同城和异地两种类型,以规避不同影响范围的灾难风险.

应急灾备中心应具有数据备份和灾难恢复所需的通信、电力等资源,以及方便灾难恢复人员和设备达到的交通条件.

应急灾备中心应根据统筹规划、资源共享、平战结合的原则,合理布局.

新建或选用的应急灾备中心的基础设施时,应符合有关计算机房国家标准的要求.

应急灾备中心工作辅助设施和生活设施应符合灾难恢复目标的要求.
网络安全工程实施要求一般要求网络安全工程相关的产品、服务应符合相关国家标准的强制性要求.
在网络安全工程实施过程中如果发现相关的产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施.

在网络安全工程实施前,应对网络关键设备和网络安全专用产品进行检查.
网络关键设备和网络安全专用产品应符合相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可开始工程实施.

在网络安全工程实施过程中,应采取措施保护用户的信息安全,建立健全用户信息保护制度,防止信息泄露、毁损、丢失.

在网络安全工程实施前应制定实施方案,实施方案应包含人员配备、实施计划、技术措施、质量保证措施、安全保证措施等内容,并应对其中的关键内容组织专项评审.

在网络安全工程实施过程中应注意保护网络安全设施的物理安全,网络安全设施的物理安全应符合《信息安全技术信息系统物理安全技术要求》GB/T21052的规定.
网络安全工程的设备安装和线缆布放应符合现行国家标准、行业标准及工程设计文件要求.

安全要求基础安全要求网络安全设施应配置基础安全手段,包括身份鉴别、访问控制、标记、数据流控制、安全审计等内容,基础安全配置应符合《信息安全技术网络基础安全技术要求》GB/T20270的规定.
通用安全技术要求应根据网络安全设施的需求采取安全措施,包括物理安全、运行安全、数据安全.
通用安全技术措施应符合《信息安全技术信息系统通用安全技术要求》GB/T20271的规定.
操作系统安全要求应根据网络安全设施的需求定义操作系统的安全功能,操作系统安全功能应符合《信息安全技术操作系统安全技术要求》GB/T20272的规定.
数据库管理系统安全要求应根据网络安全设施的需求定义数据库管理系统的安全功能,数据库管理系统安全功能应符合《信息安全技术数据库管理系统安全技术要求》GB/T20273的规定.
网络安全工程验收验收前准备网络安全工程验收应在完成全部设计、设备安装、系统调试、竣工文件、提交完工报告后进行,应按要求成立工程验收小组.

网络安全工程验收前应制定内部安全管理制度和操作规程,以落实网络安全保护责任.

网络安全工程验收前应制定网络安全事件应急预案,在验收过程中应对应急预案的有效性、可操作性进行验证.

工程验收要求网络安全工程应在建设完成后的规定时限内完成验收.
网络安全设施应与互联网信息设施同步进行验收.
网络安全工程验收应包括初步验收和竣工验收两个阶段,竣工验收前应试运行不少于3个月.

网络安全工程验收标准应符合现行国家标准、行业标准及工程设计文件要求.

网络安全工程初步验收应包括下列内容:环境检查;设备安装检查;系统配置检查;功能测试;性能测试;业务测试;管理测试;漏洞扫描;代码审计.
初步验收应符合下列规定:初步验收的操作方法应按照相关技术文件以及操作工具确定;应根据现行国家标准、行业标准及工程设计文件制定验收测试规范;应根据测试规范、测试环境、测试方法和测试项目,对网络安全设施总体及各子系统进行性能、功能验收测试;发现主要指标和性能达不到要求时,应及时处理,问题解决后再重新进行验收测试;应对网络安全设施进行信息安全风险评估,检验其对安全环境变化的适应性及安全措施的有效性,并提出信息安全风险评估报告.

网络安全工程初步验收通过后,应形成初步验收报告,列出工程中的遗留问题,明确遗留问题的责任单位和解决时限.

网络安全工程初步验收通过后应进行试运行,试运行期间网络安全设施的性能和指标应达到现行国家标准、行业标准及工程设计文件的要求.

网络安全工程竣工验收应在初步验收的相关遗留问题解决后进行.
网络安全工程竣工验收过程中,应主要检验系统的稳定性、可靠性和安全性,并对以下项目进行检查:工程初步验收提出的遗留问题处理情况;工程试运行情况报告;工程验收小组确定的系统指标抽测项目;工程技术档案的整理情况;工程竣工验收应对工程质量和工程技术档案进行评价,形成竣工验收报告.

网络安全工程验收后,可适时对网络安全设施的系统运行效率、使用效果等情况进行后评价.

网络安全设施运行维护网络安全设施运行维护应按照准备、检测、抑制、根除、恢复、跟踪等一系列标准措施制定应急响应预案,保证网络安全.

网络安全设施运行维护应定期对服务器、网络设备、安全设备的配置文件等安全信息进行备份,并根据实际情况及时更新备份文件.
对于关键业务系统和实时性需要高的数据和信息,应建立存储备份系统,进行集中式的备份管理.

网络安全设施运行维护中,对于关键的安全设施应指定专人保管维护,未经授权的人员不得进行单独操作;网络安全设施运行维护应定期检查和修改网络安全设施的管理员的权限分配和密码口令设置;网络安全设施运行维护应定期对进行安全和性能检查,采集系统配置、流量信息、系统状态等安全信息,依照标准化流程,定期进行检查,了解整体的工作状态,通过安全和性能检查排除故障隐患,降低故障率.

网络安全设施运行维护应定期监控全网终端恶意行为,并定期优化终端安全策略.

网络安全设施运行维护应定期对各类系统产生的安全日志实现全面、有效的集中收集、管理、审计.

网络安全设施运行维护宜深入了解网络用户、网络设备和网络应用的历史和实时行为,通过检查、分析、比较用户网络行为数据,从中发现违反安全策略行为的记录.

网络安全设施运行维护宜获取最新的安全动态、技术和安全信息,包括实时安全漏洞通知、病毒、补丁升级、定期安全通告汇总和安全知识库更新等,定时对网络安全设施进行补丁升级、病毒检查和处理.

网络安全设施运行维护宜建立自有的安全运维知识库并定期升级,储备更多的安全运维经验、安全知识,保障用户的运维效果,提高安全运维效率.

本标准用词说明为便于在执行本标准条文时区别对待,对要求严格程度不同的用词说明如下:1)表示很严格,非这样做不可的:正面词采用"必须",反面词采用"严禁";2)表示严格,在正常情况下均应这样做的:正面词采用"应",反面词采用"不应"或"不得";3)表示允许稍有选择,在条件许可时首先应这样做的:正面词采用"宜",反面词采用"不宜";表示有选择,在一定条件下可以这样做的,采用"可".
条文中指明应按其他有关标准执行的写法为"应符合……的规定"或"应按……执行".