第1章 概述

第1条  本制度规范九州注册信息系统安全加固工作的管理，明确信息系统安全加固的申请、审批、方案设计、测试、实施以及相应文档资料建立等相关流程内容，以确保信息系统安全加固工作的顺利开展，减少对业务系统正常运行的影响，提高信息系统自身的安全防护能力。

第2条  本制度适用的客体对象：九州注册信息系统的主要设备，包括业务系统主机（操作系统、应用系统、数据库）、网络设备、安全设备等。

第3条  本制度适用的主体对象：九州注册信息系统的用户和运维人员，包括九州注册的内部员工、外部用户（系统集成商、代维厂商、软件开发商、设备供货商）等。

第4条  安全加固启动原则：定期/非定期的安全风险评估后进行风险管理；新增系统/设备上线前；原厂商发布重大安全漏洞或重大修改的补丁；出现安全事件后的应急响应加固；

第5条  安全加固实施原则：加固内容不能影响目标系统所承载的业务运行；加固操作不能严重影响目标系统的自身性能；加固操作不能影响与目标系统以及与之相连的其它系统的安全性。

第2章 实施流程

第6条  安全加固实施流程图如附录一所示。

第7条  前期准备：成立项目组，成员主要包括学院主管领导、学院安全管理员、学院系统管理员、系统集成商、安全运维厂商等人员。并确认安全加固的范围、对象、目标。确认所需的开工条件，包括技术资料、人员配合、场地环境等。

第8条  资料收集分析：阅读前期安全评估的报告，从而细化加固的目标和现有系统的安全状况，并确定是否需要进行补充评估；收集被加固设备的系统情况、应用需求、环境情况等。

第9条  方案制定：根据收集的信息制定合理的加固方案，包括时间安排、流程、操作方法等。为防止加固可能引起的不良后果，因此需要制定回退方案和应急方案，回退方案用于加固导致系统不可用时将系统回退到加固前的状态，应急方案用于处理其他不可控的情况（包括加固失败后无法回退）。

第10条  方案协商：组织项目组成员对实施方案进行研讨，提出相应修改意见，确认其可行性。

第11条  方案测试：对于特别重要的系统或特别危险的加固操作，可以进行加固测试，通过加固测试后才能确定最终实施方案。

第12条  方案报批：将方案提交相关主管领导审批，获得批准后，方可实施。

第13条  系统备份：对于重要的系统，为了能够在加固失败的情况下快速回退或恢复系统，必须在事前进行相应的备份，包括系统备份、配置备份、数据备份等。

第14条  加固实施：根据具体的加固方案实施加固操作。

第15条  设备可用性确认：在加固完成后，需要与应用人员确认设备的可用性，并观察一段时间，待确认设备正常运行后加固人员才可离开现场。

第16条  回退：加固操作实施后，被加固对象出现异常，经分析判断明确后，根据回退方案和应急方案，及时进行响应处理。

第17条  效果检验：为确保加固有效，在加固全部完成后，将对加固效果进行检验。检验方法包括：加固后对所有被加固设备进行一次扫描；对重点设备进行抽样检查；对加固日志和扫描结果进行分析；提交残余风险报告。

第18条  总结汇报：生成加固报告，内容包括加固过程的完整记录、遗留问题及解决方案建议、对加固设备的安全审计结果。

第3章 风险规避

第19条  加固实施时间：为避免加固过程影响系统业务运行，加固时间应该选择在系统业务量最小，业务临时中断对外影响最小的时候。

第20条  加固实施操作：加固操作需要按照系统加固核对表，逐项按顺序执行操作。

第21条  加固实施记录：对加固后的系统，全部复查一次所作加固内容，确保正确无误。

第22条  系统备份与恢复：系统加固之前，先对系统做完全备份。加固过程可能存在任何不可遇见的风险，当加固失败时，可以恢复到加固前状态。当出现不可预料的后果时，首先使用备份恢复系统提供服务，同时与相关安全专家小组取得联系，寻求帮助，解决问题。

第23条  沟通与交流：在工程实施过程中，确定不同阶段的实施人员以及主管方的配合人员，建立直接沟通的渠道，并在工程出现难题的过程中保持合理沟通。

第4章 附录

附录一：安全加固实施流程图