范文范例指導(dǎo)學(xué)習(xí)word版本整理分享范文范例指導(dǎo)學(xué)習(xí)***醫(yī)院信息安全建設(shè)方案■文檔編號 ■密級 ■版本編號V1.0 ■日期 word版本整理分享 范文范例指導(dǎo)學(xué)習(xí)?2022目錄一.概述91.1項目背景91.2建設(shè)目標(biāo)101.3建設(shè)內(nèi)容111.4建設(shè)必要性11二.安全建設(shè)思路122.1等級保護(hù)建設(shè)流程122.2參考標(biāo)準(zhǔn)14安全現(xiàn)狀分析15網(wǎng)絡(luò)架構(gòu)分析15系統(tǒng)定級情況16安全需求分析17 word版本整理分享4.1等級保護(hù)技術(shù)要求分析17物理層安全需求17網(wǎng)絡(luò)層安全需求18系統(tǒng)層安全需求18應(yīng)用層安全需求19數(shù)據(jù)層安全需求204.2等級保護(hù)管理要求分析21安全管理制度21安全管理機(jī)構(gòu)21人員安全管理22系統(tǒng)建設(shè)管理22系統(tǒng)運維管理23總體設(shè)計思路25設(shè)計目標(biāo)25設(shè)計原則25合規(guī)性原則25先進(jìn)性原則26可靠性原則26可擴(kuò)展性原則26開放兼容性原則26最小授權(quán)原則27范文范例指導(dǎo)學(xué)習(xí)范文范例指導(dǎo)學(xué)習(xí)word版本整理分享word版本整理分享范文范例指導(dǎo)學(xué)習(xí)word版本整理分享經(jīng)濟(jì)性原則27整改建議27物理安全27網(wǎng)絡(luò)安全28主機(jī)安全31業(yè)務(wù)系統(tǒng)主機(jī)31數(shù)據(jù)庫主機(jī)336.4應(yīng)用安全35HIS系統(tǒng)（三級）35LIS系統(tǒng)（三級）37PACS系統(tǒng)（三級）40EMR系統(tǒng)（三級）42集中平臺（三級）44門戶網(wǎng)站系統(tǒng)（二級）47數(shù)據(jù)安全與備份恢復(fù)49安全管理制度50安全管理機(jī)構(gòu)50人員安全管理51系統(tǒng)建設(shè)管理52系統(tǒng)運維管理53總體設(shè)計網(wǎng)絡(luò)拓?fù)?6設(shè)計拓?fù)鋱D56推薦安全產(chǎn)品目錄58技術(shù)體系建設(shè)方案608.1外網(wǎng)安全建設(shè)60抗DDos攻擊：ADS抗DDos系統(tǒng)60邊界訪問控制：下一代防火墻NF62網(wǎng)絡(luò)入侵防范：網(wǎng)絡(luò)入侵防御系統(tǒng)NIPS66上網(wǎng)行為管理：SAS68APT攻擊防護(hù)：威脅分析系統(tǒng)TAC70Web應(yīng)用防護(hù)：web應(yīng)用防火墻758.2內(nèi)外網(wǎng)隔離建設(shè)808.2.1解決方案818.3內(nèi)網(wǎng)安全建設(shè)84邊界防御：下一代防火墻NF84入侵防御85防病毒網(wǎng)關(guān)86APT攻擊防護(hù)908.4運維管理建設(shè)91運維安全審計：堡壘機(jī)91流量審計：網(wǎng)絡(luò)安全審計-SAS93漏洞掃描：安全評估系統(tǒng)RSAS99基線核查：配置核查系統(tǒng)BVS101威脅態(tài)勢感知104終端安全108數(shù)據(jù)庫審計及統(tǒng)方監(jiān)管112終端準(zhǔn)入115日志審計建設(shè)126TOC\o"1-2"\h\z\u\h8.5安全服務(wù) word版本整理分享網(wǎng)絡(luò)流量分析帶寬的網(wǎng)絡(luò)流量分析。復(fù)雜的網(wǎng)絡(luò)系統(tǒng)中不同的應(yīng)用需占用不同的帶寬，重要的應(yīng)用是否得到了最佳的帶寬？所占比例是多少？隊列設(shè)置和網(wǎng)絡(luò)優(yōu)化是否生效？通過基于帶寬的網(wǎng)絡(luò)流量分析會使其更加明確。采用監(jiān)控網(wǎng)絡(luò)鏈路流量負(fù)載的工具軟件，通過SNMP協(xié)議從設(shè)備得到設(shè)備的流量信息，并將流量負(fù)載以包含PNG格式的圖形的HTML文檔方式顯示給用戶，以非常直觀的形式顯示流量負(fù)載。網(wǎng)絡(luò)協(xié)議流量分析。對網(wǎng)絡(luò)流量進(jìn)行協(xié)議劃分，針對不同的協(xié)議進(jìn)行流量監(jiān)控和分析,如果某一個協(xié)議在一個時間段內(nèi)出現(xiàn)超常流量暴漲，就有可能是攻擊流量或有蠕蟲病毒出現(xiàn)。例如：CiscoNetFlowV5可以根據(jù)不同的協(xié)議對網(wǎng)絡(luò)流量進(jìn)行劃分，對不同協(xié)議流量進(jìn)行分別匯總?；诰W(wǎng)段的業(yè)務(wù)流量分析。流量分析系統(tǒng)可以針對不同的VLAN來進(jìn)行網(wǎng)絡(luò)流量監(jiān)控，大多數(shù)組織都是基于不同的業(yè)務(wù)系統(tǒng)通過VLAN來進(jìn)行邏輯隔離的，所以可以通過流量分析系統(tǒng)針對不同的VLAN來對不同的業(yè)務(wù)系統(tǒng)的業(yè)務(wù)流量進(jìn)行監(jiān)控。例如：CiscoNetFlowV5可以針對不同的VLAN進(jìn)行流量監(jiān)控。網(wǎng)絡(luò)異常流量分析。異常流量分析系統(tǒng)支持異常流量發(fā)現(xiàn)和報警，能夠通過對一個時間窗內(nèi)歷史數(shù)據(jù)的自動學(xué)習(xí)，獲取包括總體網(wǎng)絡(luò)流量水平、流量波動、流量跳變等在內(nèi)的多種網(wǎng)絡(luò)流量測度，并自動建立當(dāng)前流量的置信度區(qū)間作為流量異常監(jiān)測的基礎(chǔ)。通過積極主動鑒定和防止針對網(wǎng)絡(luò)的安全威脅，保證了服務(wù)水平協(xié)議(SLA)并且改進(jìn)顧客服務(wù)，從而為組織節(jié)約成本。網(wǎng)絡(luò)設(shè)備安全安全配置是否合理，路由、交換、防火、IDS等網(wǎng)絡(luò)設(shè)備及網(wǎng)絡(luò)安全產(chǎn)品的不必要的服務(wù)、端口、協(xié)議是否關(guān)閉，網(wǎng)絡(luò)設(shè)備的安全漏洞及其脆弱的安全配置方面的優(yōu)化，如路由器的安全漏洞、訪問控制設(shè)置不嚴(yán)密、數(shù)據(jù)傳輸未加密、網(wǎng)絡(luò)邊界未完全隔離等。在網(wǎng)絡(luò)建設(shè)完成、測試通過、投入使用前，應(yīng)刪除測試用戶和口令，最小化合法用戶的權(quán)限，最優(yōu)化系統(tǒng)配置。在接入層交換機(jī)中，對于不需要用來進(jìn)行第三層連接的端口，通過設(shè)置使其屬于相應(yīng)的VLAN，應(yīng)將所有空閑交換機(jī)端口設(shè)置為Disable，防止空閑的交換機(jī)端口被非法使用。應(yīng)盡量保持防火墻規(guī)則的清晰與簡潔，并遵循“默認(rèn)拒絕，特殊規(guī)則靠前，普通規(guī)則靠后，規(guī)則不重復(fù)”的原則，通過調(diào)整規(guī)則的次序進(jìn)行優(yōu)化。應(yīng)為不同的用戶建立相應(yīng)的賬號，根據(jù)對網(wǎng)絡(luò)設(shè)備安裝、配置、升級和管理的需要為用戶設(shè)置相應(yīng)的級別，并對各個級別用戶能夠使用的命令進(jìn)行限制，嚴(yán)格遵循“不同權(quán)限的人執(zhí)行不同等級的命令集”。同時對網(wǎng)絡(luò)設(shè)備中所有用戶賬號進(jìn)行登記備案。應(yīng)制訂網(wǎng)絡(luò)設(shè)備用戶賬號口令的管理策略，對口令的選取、組成、長度、保存、修改周期以及存儲做出規(guī)定。網(wǎng)絡(luò)管理網(wǎng)絡(luò)設(shè)備網(wǎng)管軟件的部署和網(wǎng)絡(luò)安全網(wǎng)管軟件的部署；部署監(jiān)控軟件對內(nèi)部網(wǎng)絡(luò)的狀態(tài)、網(wǎng)絡(luò)行為和通信內(nèi)容進(jìn)行實時有效的監(jiān)控，既包括對網(wǎng)絡(luò)內(nèi)部的計算機(jī)違規(guī)操作、惡意攻擊行為、惡意代碼傳播等現(xiàn)象進(jìn)行有效地發(fā)現(xiàn)和阻斷，又包括對網(wǎng)絡(luò)進(jìn)行的安全漏洞評估。確認(rèn)網(wǎng)絡(luò)安全技術(shù)人員是否定期通過強(qiáng)加密通道進(jìn)行遠(yuǎn)程登錄監(jiān)控網(wǎng)絡(luò)狀況。應(yīng)盡可能加強(qiáng)網(wǎng)絡(luò)設(shè)備的安全管理方式，例如應(yīng)使用SSH代替Telnet，使用HTTPS代替HTTP，并且限定遠(yuǎn)程登錄的超時時間、遠(yuǎn)程管理的用戶數(shù)量、遠(yuǎn)程管理的終端IP地址，同時進(jìn)行嚴(yán)格的身份認(rèn)證和訪問權(quán)限的授予，并在配置完后，立刻關(guān)閉此類遠(yuǎn)程連接；應(yīng)盡可能避免使用SNMP協(xié)議進(jìn)行管理。如果的確需要，應(yīng)使用V3版本替代V1、V2版本，并啟用MD5等驗證功能。進(jìn)行遠(yuǎn)程管理時，應(yīng)設(shè)置控制口和遠(yuǎn)程登錄口的超時時間，讓控制口和遠(yuǎn)程登錄口在空閑一定時間后自動斷開。及時監(jiān)視、收集網(wǎng)絡(luò)以及安全設(shè)備生產(chǎn)廠商公布的軟件以及補(bǔ)丁更新，要求下載補(bǔ)丁程序的站點必須是相應(yīng)的官方站點，并對更新軟件或補(bǔ)丁進(jìn)行評測，在獲得信息安全工作組的批準(zhǔn)下，對生產(chǎn)環(huán)境實施軟件更新或者補(bǔ)丁安裝。服務(wù)流程網(wǎng)絡(luò)架構(gòu)分析服務(wù)主要分為四個不同的階段：資料采集，架構(gòu)分析，問題反饋和架構(gòu)整改。資料采集架構(gòu)資料采集架構(gòu)分析問題反饋架構(gòu)整改范文范例指導(dǎo)學(xué)習(xí)范文范例指導(dǎo)學(xué)習(xí)word版本整理分享word版本整理分享范文范例指導(dǎo)學(xué)習(xí)word版本整理分享對評估范圍內(nèi)網(wǎng)絡(luò)現(xiàn)狀資料進(jìn)行收集，獲取被評估網(wǎng)絡(luò)的整體布局信息，如前期網(wǎng)絡(luò)建設(shè)方案和圖表、查驗文檔、網(wǎng)絡(luò)邊界劃分、人工訪談、實地考察等方式對現(xiàn)狀進(jìn)行深入調(diào)研。對獲取到的信息進(jìn)行專家分析，根據(jù)整體網(wǎng)絡(luò)架構(gòu)的具體信息和客戶實際情況提供可執(zhí)行的建議解決方案。將問題通過多種方式清晰準(zhǔn)確的反饋給客戶。用戶參考網(wǎng)絡(luò)架構(gòu)分析結(jié)果及建議進(jìn)行整改。服務(wù)特點專家級架構(gòu)整改建議網(wǎng)絡(luò)架構(gòu)分析人員根據(jù)具體環(huán)境通過多個維度的手段對客戶的目標(biāo)網(wǎng)絡(luò)進(jìn)行分析，并且會根據(jù)客戶的需求和實際情況相結(jié)合進(jìn)行深入地研究，針對客戶要保護(hù)的目標(biāo)提出確實可行的整改方案，最大化的滿足當(dāng)前以及長時間內(nèi)的安全需求。長年累積的架構(gòu)分析經(jīng)驗憑借綠盟科技多年來在網(wǎng)絡(luò)架構(gòu)分析積累的經(jīng)驗，綠盟科技不僅擁有一個強(qiáng)大的網(wǎng)絡(luò)架構(gòu)研究團(tuán)隊，而且擁有長期累積的內(nèi)部評估分析手段和資料。為客戶準(zhǔn)確、快速地發(fā)現(xiàn)網(wǎng)絡(luò)架構(gòu)的脆弱性。服務(wù)依據(jù)國際、國家發(fā)布的相關(guān)安全標(biāo)準(zhǔn)綠盟科技專業(yè)安全配置基線綠盟科技安全產(chǎn)品及服務(wù)最佳實踐服務(wù)報告安全分析人員在實施網(wǎng)絡(luò)架構(gòu)分析服務(wù)過程中，嚴(yán)格按照綠盟科技安全服務(wù)的流程，在現(xiàn)場進(jìn)行訪談和相關(guān)資料收集后，會在三個工作日（需根據(jù)分析對象的數(shù)量和規(guī)模進(jìn)行實際調(diào)整）內(nèi)出示一份網(wǎng)絡(luò)架構(gòu)分析報告。報告名稱如下：《××網(wǎng)網(wǎng)絡(luò)架構(gòu)分析報告》或《××區(qū)域網(wǎng)絡(luò)架構(gòu)分析報告》報告中，會對此次網(wǎng)絡(luò)架構(gòu)分析服務(wù)范圍內(nèi)的整體安全狀況進(jìn)行一個整體概述，從網(wǎng)絡(luò)配置和網(wǎng)絡(luò)架構(gòu)兩個層面對目標(biāo)網(wǎng)絡(luò)的架構(gòu)進(jìn)行安全性分析，配置型分析是為整體網(wǎng)絡(luò)架構(gòu)分析提供細(xì)節(jié)的參考依據(jù)，后續(xù)的網(wǎng)絡(luò)架構(gòu)分析會對目標(biāo)網(wǎng)絡(luò)的網(wǎng)絡(luò)現(xiàn)狀、網(wǎng)絡(luò)建設(shè)規(guī)范性、網(wǎng)絡(luò)可靠性、網(wǎng)絡(luò)邊界安全、網(wǎng)絡(luò)流量分析、網(wǎng)絡(luò)通信安全、網(wǎng)絡(luò)設(shè)備安全和網(wǎng)絡(luò)安全管理這八個方面進(jìn)行網(wǎng)絡(luò)架構(gòu)安全性的全面分析。除此之外，評估人員還將結(jié)合分析目標(biāo)的具體應(yīng)用提出深層次的安全建議，為管理人員的后期維護(hù)提供參考。8.5.8日志分析服務(wù)服務(wù)范圍本服務(wù)適用于任何企業(yè)或組織的IT環(huán)境、信息系統(tǒng)及網(wǎng)絡(luò)，主要范圍如下：Web應(yīng)用日志，包括IIS、Apache、ApacheTomcat、Nginx等；操作系統(tǒng)日志，包括Windows、Linux系統(tǒng)日志、安全日志、應(yīng)用日志等；網(wǎng)絡(luò)設(shè)備，包括路由器、交換機(jī)等日志；網(wǎng)絡(luò)安全設(shè)備，包括網(wǎng)絡(luò)入侵檢測系統(tǒng)、網(wǎng)絡(luò)審計系統(tǒng)、上網(wǎng)行為管理系統(tǒng)等日志。服務(wù)內(nèi)容日志分析服務(wù)主要分析日志如下方面的內(nèi)容：常見Web攻擊行為，包括XSS、SQLinj、暴力破解等；操作系統(tǒng)可疑行為，包括關(guān)機(jī)、重啟、增刪賬戶等；網(wǎng)絡(luò)可疑行為，包括網(wǎng)絡(luò)設(shè)備關(guān)機(jī)、重啟、配置變更等；安全設(shè)備監(jiān)控告警行為，包括檢測的攻擊行為、設(shè)備自身可疑操作行為等。服務(wù)方式日志分析服務(wù)主要是綠盟科技安全工程師人工分析，可根據(jù)實際情況分為現(xiàn)場日志分析和遠(yuǎn)程日志分析兩種。服務(wù)流程日志分析服務(wù)的大致流程圖如下：日志分析支持日志分析支持申請明確故障描述獲取對應(yīng)的日志文件分析過程記錄根據(jù)日志文件，完成分析工作報告輸出與提交整體匯報日志分析報告與匯報日志分析過程日志分析前準(zhǔn)備圖8.1日志分析流程圖第一步：日志分析支持申請；第二步：判斷故障類型；第二步：獲取對應(yīng)的日志文件；第三步：完成日志的分析；第四步：形成日志分析報告；第五步：整體匯報。服務(wù)特點快速、精確的日志分析響應(yīng)綠盟科技擁有一支業(yè)內(nèi)領(lǐng)先的安全服務(wù)團(tuán)隊。經(jīng)過多年專業(yè)安全服務(wù)的執(zhí)著實踐，形成了國內(nèi)最完善的專業(yè)安全服務(wù)體系和專業(yè)安全服務(wù)方法論，擁有大量安全日志分析經(jīng)驗，同時綠盟科技也是網(wǎng)絡(luò)安全產(chǎn)品供應(yīng)商，這些安全產(chǎn)品都有統(tǒng)一的日志收集平臺，在分析網(wǎng)絡(luò)安全產(chǎn)品日志中也有大量的經(jīng)驗累積?？蛇h(yuǎn)程協(xié)助和指導(dǎo)分析綠盟科技安全服務(wù)團(tuán)隊可遠(yuǎn)程接收日志文件，并盡快完成日志文件的分析，或遠(yuǎn)程協(xié)助客戶的技術(shù)人員來完成日志的分析工作。服務(wù)報告綠盟科技安全工程師在實施日志分析服務(wù)過程中，嚴(yán)格按照綠盟科技安全服務(wù)的流程，分析結(jié)束后，會在三個工作日內(nèi)出示一份日志分析報告（視分析日志的數(shù)量、多少而定）提交給客戶。日志分析報告包含日志分析背景描述、日志類型、日志時間段、關(guān)鍵日志內(nèi)容和總結(jié)、安全建議等。8.5.9應(yīng)急響應(yīng)服務(wù)服務(wù)范圍綠盟應(yīng)急響應(yīng)服務(wù)主要面向客戶提供已發(fā)生安全事件的事中、事后的取證、分析及提供解決方案等工作。綠盟科技可以幫助客戶完成下列類型安全事件的應(yīng)急響應(yīng)支持：應(yīng)用服務(wù)癱瘓問題網(wǎng)絡(luò)阻塞、DDoS攻擊問題服務(wù)器遭劫持問題系統(tǒng)異常宕機(jī)問題惡意入侵、黑客攻擊問題病毒爆發(fā)問題內(nèi)部安全事故……服務(wù)方式綠盟科技應(yīng)急響應(yīng)服務(wù)包括單次服務(wù)和年度服務(wù)兩種形式，服務(wù)地點可以選擇客戶現(xiàn)場和遠(yuǎn)程兩種方式，客戶可以根據(jù)需要選擇適合自己的服務(wù)。.1現(xiàn)場服務(wù)和遠(yuǎn)程服務(wù) 根據(jù)服務(wù)地點，可以分為現(xiàn)場服務(wù)和遠(yuǎn)程服務(wù)兩種?，F(xiàn)場服務(wù)：指接到客戶緊急服務(wù)請求，支持人員在最短時間內(nèi)趕赴客戶現(xiàn)場，協(xié)助客戶分析事件可能的原因，解決各類安全事件。遠(yuǎn)程服務(wù)：指通過電話、QQ遠(yuǎn)程協(xié)助、遠(yuǎn)程臨時接入等非現(xiàn)場的活動，協(xié)助客戶分析事件可能的原因，解決各類安全事件。.2單次服務(wù)和年度服務(wù) 根據(jù)服務(wù)的周期，可以分為單次服務(wù)和年度服務(wù)兩種。單次服務(wù)：指為客戶提供的一次性應(yīng)急響應(yīng)服務(wù)。一般由發(fā)生安全事件的客戶臨時申請應(yīng)急響應(yīng)支持人員參與應(yīng)急事件處理，支持人員在分析完所有客戶提供的信息后，向客戶提交應(yīng)急響應(yīng)報告。年度服務(wù)：服務(wù)期限以年為單位，服務(wù)年度內(nèi)為客戶提供有限次數(shù)的應(yīng)急響應(yīng)支持工作，每次服務(wù)均會提供詳細(xì)的應(yīng)急響應(yīng)報告。服務(wù)流程綠盟科技應(yīng)急響應(yīng)服務(wù)流程主要包括事件處理流程和事件升級流程兩部分。.1事件優(yōu)先級定義 綠盟科技結(jié)合自身經(jīng)驗，在實踐中總結(jié)制定出了一套合理的安全事件分級結(jié)構(gòu)對應(yīng)表，并且針對于不同級別的事件擬定切實可行的快速處理方式和臨時解決辦法。安全等級劃分標(biāo)準(zhǔn)如下：表8.1事件安全級別劃分標(biāo)準(zhǔn)事事件優(yōu)先級描述緊急事件客戶提供業(yè)務(wù)的系統(tǒng)由于安全原因崩潰、系統(tǒng)性能嚴(yán)重下降，已無法提供正常服務(wù)。本地區(qū)出口路由由于網(wǎng)絡(luò)安全原因非正常中斷，嚴(yán)重影響用戶使用。公眾服務(wù)由于安全原因停止服務(wù)或者造成惡劣影響的成惡劣影響的。嚴(yán)重事件用戶內(nèi)部的業(yè)務(wù)支持系統(tǒng)由于安全事件出現(xiàn)問題，導(dǎo)致不能運轉(zhuǎn)正常不穩(wěn)定。部分服務(wù)由于安全原因中斷，影響用戶正常使用一般事件由于安全原因?qū)е孪到y(tǒng)出現(xiàn)故障，但不影響用戶正常使用?？蛻籼岢霭踩夹g(shù)咨詢、索取安全技術(shù)資料、技術(shù)支援等。.2事件處理流程 綠盟科技應(yīng)急響應(yīng)服務(wù)事件處理流程主要分為三個階段，包括事件初期、應(yīng)急響應(yīng)實施及輸出報告與匯報：事件初期在實施應(yīng)急響應(yīng)工作前，客戶經(jīng)理或項目經(jīng)理收到客戶申請應(yīng)急響應(yīng)支持，由客戶經(jīng)理或項目經(jīng)理協(xié)調(diào)內(nèi)部技術(shù)支持人員和客戶技術(shù)人員第一時間取得聯(lián)系，了解事件發(fā)生情況。技術(shù)人員判斷事件類型，是否需要啟用應(yīng)急響應(yīng)服務(wù)。應(yīng)急響應(yīng)實施在判斷事件類型可能為安全事件，啟用應(yīng)急響應(yīng)后，技術(shù)人員通過現(xiàn)場或非現(xiàn)場等方式進(jìn)行信息收集工作，詳細(xì)了解掌握事件發(fā)生的始終、現(xiàn)狀、可能的影響，對事件進(jìn)行詳細(xì)分析，提供事件處理建議，并協(xié)助客戶解決事件。輸出報告與匯報待事件處理結(jié)束后，技術(shù)人員整理事件分析、事件處理的過程記錄和相關(guān)資料，撰寫應(yīng)急響應(yīng)服務(wù)記錄報告，提交給客戶。對于大型、復(fù)雜的應(yīng)急響應(yīng)過程還需進(jìn)行整體的事件處理匯報工作。支持申請支持申請初步判斷事件類型啟用緊急響應(yīng)事件分析記錄整理事件處理信息收集報告輸出與提交整體匯報報告與匯報緊急響應(yīng)實施事件初期.3事件升級流程 綠盟科技在收到事件告警后，15分鐘內(nèi)進(jìn)行故障事件的鑒別，如果是安全事件，則立即啟動應(yīng)急響應(yīng)服務(wù)流程，如果不是安全事件，立即回復(fù)相關(guān)人員，并建議尋求其他方面的支持，詳細(xì)事件升級流程參看下表。表8.2事件升級流程事事件等級時間（小時）緊急事件嚴(yán)重事件一般事件0.50.5客戶經(jīng)理1技術(shù)負(fù)責(zé)人客戶經(jīng)理4服務(wù)總監(jiān)技術(shù)負(fù)責(zé)人客戶經(jīng)理12技術(shù)總監(jiān)服務(wù)總監(jiān)咨詢支持24總裁技術(shù)總監(jiān)技術(shù)負(fù)責(zé)人48總裁服務(wù)總監(jiān)72技術(shù)總監(jiān)綠盟科技對于一般事件首先采取安全咨詢的方式幫助用戶自行解決，當(dāng)用戶安全管理員經(jīng)過努力無法自行解決時，綠盟科技工程師將采用應(yīng)急響應(yīng)服務(wù)通過遠(yuǎn)程或本地服務(wù)方式幫助用戶解決安全事件。綠盟科技對于嚴(yán)重事件，將啟用應(yīng)急響應(yīng)服務(wù)，在2個小時內(nèi)（另加上路程時間）到達(dá)用戶現(xiàn)場，采用本地服務(wù)方式幫助用戶處理安全事件。綠盟科技對于緊急事件的處理，承諾在一個小時內(nèi)（另加路程時間）到達(dá)用戶現(xiàn)場，采用安全應(yīng)急響應(yīng)服務(wù)流程為用戶盡快解決緊急安全事件。服務(wù)特點經(jīng)驗主導(dǎo)，成果保證在應(yīng)急響應(yīng)支持方面，綠盟科技多年來積累了豐富的經(jīng)驗。無論是所收集信息的完整性，還是事件分析過程的科學(xué)性和準(zhǔn)確性都在業(yè)內(nèi)處于領(lǐng)先的位置。在經(jīng)驗與技術(shù)的完美結(jié)合之下，能夠更加容易捕獲信息中的蛛絲馬跡，為事件分析去的突破性進(jìn)展打下基礎(chǔ)。流程清晰，規(guī)范服務(wù)綠盟科技應(yīng)急響應(yīng)服務(wù)采用規(guī)范化管理，支持人員均嚴(yán)格按照設(shè)定的流程來進(jìn)行各項工作。而綠盟科技的應(yīng)急服務(wù)規(guī)范和流程均來自于多年的應(yīng)急響應(yīng)實踐，完全符合應(yīng)急響應(yīng)事件處理的相關(guān)要求。在確保獲得分析事件必需數(shù)據(jù)的同時，也防止了可能對事件目標(biāo)產(chǎn)生的影響。服務(wù)報告在應(yīng)急響應(yīng)工作完成后一個工作日內(nèi)，綠盟支持人員將會為客戶提供一份應(yīng)急響應(yīng)報告。在報告中，支持人員將會所收集的信息對整個安全事件的來龍去脈進(jìn)行詳盡的分析，并最終給出分析結(jié)果。除此之外，支持人員還將根據(jù)分析結(jié)果提出解決方案和相關(guān)的安全建議，為事件的后期處理提供參考。輸出如下報告：《XX應(yīng)急響應(yīng)服務(wù)處理報告》8.5.10惡意代碼排查服務(wù)服務(wù)范圍惡意代碼排查的服務(wù)范圍主要針對被入侵網(wǎng)站、應(yīng)用系統(tǒng)等服務(wù)器，同時包括與其同網(wǎng)段或同一區(qū)域的服務(wù)器。具體范圍我們建議如下：被入侵網(wǎng)站服務(wù)器、數(shù)據(jù)庫服務(wù)器同網(wǎng)段內(nèi)疑似被攻擊的服務(wù)器同一區(qū)域疑似被攻擊的服務(wù)器其次，該項服務(wù)主要針對以B/S架構(gòu)為主的網(wǎng)站系統(tǒng)，因此，支持的服務(wù)器操作系統(tǒng)類型包括如下：Windows系列服務(wù)器：Windows2000、Windows2003、Windows2008等Linux系列服務(wù)器：RedhatLinux、DebianGNU/Linux、SUSELinux等Unix系列服務(wù)器：HPUX、Solaris、FreeBSD、AIX等服務(wù)內(nèi)容惡意代碼排查的服務(wù)內(nèi)容包括操作系統(tǒng)排查和應(yīng)用程序排查兩部分。詳細(xì)內(nèi)容如下：操作系統(tǒng)排查包括：可疑賬號排查（隱藏、克隆賬號）可疑文件排查可疑進(jìn)程排查可疑網(wǎng)絡(luò)連接排查Rootkit排查惡意代碼排查服務(wù)內(nèi)容框架見下圖：應(yīng)用程序排查包括：WebShell網(wǎng)頁后門排查一句話網(wǎng)頁木馬排查數(shù)據(jù)庫JS掛馬排查惡意插件排查流氓軟件排查惡意代碼排查內(nèi)容操作系統(tǒng)排查惡意代碼排查內(nèi)容操作系統(tǒng)排查可疑賬號可疑文件可疑進(jìn)程可疑連接內(nèi)核級后門應(yīng)用程序排查網(wǎng)頁后門一句話木馬數(shù)據(jù)庫掛馬惡意插件流氓軟件服務(wù)流程惡意代碼排查服務(wù)過程中，會涉及到下面幾個步驟。首先確認(rèn)待檢查對象的范圍和工作內(nèi)容范圍：包括檢查對象的數(shù)量，例如20臺windows2003服務(wù)器、10臺Redhatlinux服務(wù)器；具體檢查工作內(nèi)容，例如WebShell網(wǎng)頁后門檢查。其次，綠盟科技安排安全工程師準(zhǔn)備檢查工具，包括檢查工具的升級更新，工具的光盤刻錄等事項。安全工程師到達(dá)客戶現(xiàn)場，對于網(wǎng)頁WebShell后門和一句話木馬的檢查，我們建議客戶使用專機(jī)對待檢查對象進(jìn)行檢查。對于操作系統(tǒng)級檢查，需要管理員配合上傳或拷貝檢查工具至服務(wù)器，由安全工程師進(jìn)行檢查操作。安全工程師檢查完畢后，將審計結(jié)果信息記錄并整理，最后輸出報告。準(zhǔn)備檢查工具及人員準(zhǔn)備檢查工具及人員現(xiàn)場工作管理員配合確認(rèn)檢查范圍輸出報告服務(wù)報告在進(jìn)行惡意代碼排查服務(wù)后，安全工程師會將排查結(jié)果信息記錄并整理，輸出如下報告：《XX系統(tǒng)惡意代碼排查報告》《XX網(wǎng)站惡意代碼排查報告》《XX服務(wù)器惡意代碼排查報告》九.管理體系建設(shè)方案9.1安全制度建設(shè)《信息系統(tǒng)安全等級保護(hù)基本要求》在管理制度、制定和發(fā)布、評審和修訂等三個方面對安全管理制度提出了要求。根據(jù)管理信息大區(qū)系統(tǒng)的實際情況，在信息安全領(lǐng)導(dǎo)小組的負(fù)責(zé)下，組織相關(guān)人員制定和發(fā)布信息安全工作的總體方針、政策，說明信息安全工作的總體目標(biāo)、范圍、方針、原則和責(zé)任，并定期進(jìn)行評審和修訂。對于管理制度的制定，也可以依托外部專業(yè)安全廠商的力量進(jìn)行。管理制度方面的具體工作包括：制定信息安全工作的總體方針和安全策略，說明機(jī)構(gòu)安全工作的總體目標(biāo)、范圍、原則和安全框架等；建立管理人員或操作人員執(zhí)行的日常管理操作規(guī)程；形成由安全策略、管理制度、操作規(guī)程等構(gòu)成的全面的信息安全管理制度體系。安全管理制度應(yīng)通過正式、有效的方式發(fā)布；每年由信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)組織相關(guān)部門和相關(guān)人員對安全管理制度體系的合理性和適用性進(jìn)行審定；進(jìn)行定期或不定期對安全管理制度檢查和審定，對存在不足或需要改進(jìn)的安全管理制度進(jìn)行修訂。安全制度管理框架如下：范文范例指導(dǎo)學(xué)習(xí)范文范例指導(dǎo)學(xué)習(xí)word版本整理分享word版本整理分享word版本整理分享范文范例指導(dǎo)學(xué)習(xí)9.1.1總體方針、策略總體方針、策略是綱領(lǐng)性的安全策略主文檔，陳述本策略的目的、適用范圍、信息安全的管理意圖、支持目標(biāo)以及指導(dǎo)原則，信息安全各個方面所應(yīng)遵守的原則方法和指導(dǎo)性策略。與其它部分的關(guān)系：所有其它部分都從最高方針引申出來，并遵照最高方針，不與之發(fā)生違背和抵觸。信息安全策略文件應(yīng)得到信息系統(tǒng)項目管理者的批準(zhǔn)，并以適當(dāng)?shù)姆绞桨l(fā)布、傳達(dá)到所有員工。該文件應(yīng)該闡明管理者對實行信息安全的承諾，并陳述組織管理信息安全的方法，它至少應(yīng)該包括以下幾個部分：信息安全的定義，其總體目標(biāo)和范圍，以及其作為信息共享的安全機(jī)制的重要性；申明支持信息安全目標(biāo)和原則的管理意向；對組織有重大意義的安全策略、原則、標(biāo)準(zhǔn)和符合性要求的簡要說明；對信息安全管理的總體和具體責(zé)任的定義，包括匯報安全事故；提及支持安全策略的文件，如：特定信息系統(tǒng)的更加詳細(xì)的安全策略和程序，或用戶應(yīng)該遵守的安全規(guī)定。技術(shù)標(biāo)準(zhǔn)和規(guī)范技術(shù)標(biāo)準(zhǔn)和規(guī)范，包括各個網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)操作系統(tǒng)和主要應(yīng)用程序的應(yīng)遵守的安全配置和管理的技術(shù)標(biāo)準(zhǔn)和規(guī)范。技術(shù)標(biāo)準(zhǔn)和規(guī)范將作為各個網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)操作系統(tǒng)和應(yīng)用程序的安裝、配置、采購、項目評審、日常安全管理和維護(hù)時必須遵照的標(biāo)準(zhǔn)，不允許發(fā)生違背和沖突。與其它部分的關(guān)系：向上遵照最高方針。管理制度和規(guī)定各類管理規(guī)定、管理辦法和暫行規(guī)定。從安全策略主文檔中規(guī)定的安全各個方面所應(yīng)遵守的原則方法和指導(dǎo)性策略引出的具體管理規(guī)定、管理辦法和實施辦法，是必須具有可操作性，而且必須得到有效推行和實施的。此部分文檔較多。與其它部分的關(guān)系：向上遵照最高方針。組織機(jī)構(gòu)和人員職責(zé)安全管理組織機(jī)構(gòu)和人員的安全職責(zé)，包括的安全管理機(jī)構(gòu)組織形式和運作方式，機(jī)構(gòu)和人員的一般責(zé)任和具體責(zé)任。作為機(jī)構(gòu)和員工具體工作時的具體職責(zé)依照，此部分必須具有可操作性，而且必須得到有效推行和實施。與其它部分的關(guān)系：從最高方針中延伸出來，其具體執(zhí)行和實施由管理規(guī)定、技術(shù)標(biāo)準(zhǔn)規(guī)范等來落實。9.1.2制定和發(fā)布安全管理制度制定安全管理制度的制定在信息系統(tǒng)安全保密工作部門的總體負(fù)責(zé)下統(tǒng)一制定，并由安全保密工作部門指定參與安全管理制度制定的具體人員。安全管理制度按照統(tǒng)一的格式標(biāo)準(zhǔn)要求制定，在制定過程中，編寫管理文檔說明安全管理制度的制定程序、格式要求及版本編號等內(nèi)容。組織相關(guān)人員對安全管理制度進(jìn)行論證和評審，論證和評審方式包括召開評審會、函審、內(nèi)部審核等，并詳細(xì)記錄相關(guān)人員的評審意見。安全管理制度發(fā)布安全管理制度經(jīng)過管理層的簽發(fā)后按照一定的流程以文件的方式發(fā)布，安全管理制度發(fā)布時注明適用和發(fā)布范圍以及版本表示，并詳細(xì)記錄安全管理制度的收發(fā)登記記錄。9.1.3評審和修訂定期對安全管理制度進(jìn)行評審，并由安全保密工作辦公室指定參與安全管理制度評審的具體人員。詳細(xì)制定安全管理制度評審的流程，記錄評審意見和結(jié)果。對存在不足或需要改進(jìn)的安全管理制度進(jìn)行合理適度的修訂，參與安全管理制度修訂的部門和人員由安全保密工作辦公室指定。詳細(xì)制定安全管理制度修訂的流程，記錄修訂意見和結(jié)果。當(dāng)發(fā)生重大安全事故、出現(xiàn)新的安全漏洞以及技術(shù)基礎(chǔ)結(jié)構(gòu)發(fā)生變更時，組織對安全管理制度進(jìn)行檢查、審定和修訂。詳細(xì)合理分配每個制度文檔的相應(yīng)負(fù)責(zé)人或負(fù)責(zé)部分，負(fù)責(zé)對明確需要修訂的制度文檔進(jìn)行維護(hù)。具體來說，信息系統(tǒng)項目建設(shè)中應(yīng)至少考慮如下的管理制度建設(shè)：制定信息系統(tǒng)系統(tǒng)的信息安全工作總體方針、政策性文件和安全策略等；建立信息系統(tǒng)總體安全制度，并詳細(xì)制定和各之間的信息訪問和數(shù)據(jù)交換安全策略，并研究制定一套有效的安全應(yīng)急計劃；對安全管理活動中的各類管理內(nèi)容建立安全管理制度，以規(guī)范安全管理活動，約束人員的行為方式；對要求管理人員或操作人員執(zhí)行的日常管理操作，建立操作規(guī)程，以規(guī)范操作行為，防止操作失誤；由安全管理職能部門定期組織相關(guān)部門和相關(guān)人員對安全管理制度體系的合理性和適用性進(jìn)行審定。在安全保密工作辦公室的負(fù)責(zé)下，組織相關(guān)人員制定；保證安全管理制度具有統(tǒng)一的格式風(fēng)格，并進(jìn)行版本控制；安全管理制度應(yīng)經(jīng)過管理層簽發(fā)后按照一定的程序以文件形式發(fā)布；安全管理制度應(yīng)注明發(fā)布范圍，并對收發(fā)文進(jìn)行登記；安全管理制度應(yīng)注明密級，進(jìn)行密級管理；定期對安全管理制度進(jìn)行評審和修訂，對存在不足或需要改進(jìn)的安全管理制度進(jìn)行修訂；當(dāng)發(fā)生重大安全事故、出現(xiàn)新的安全漏洞以及技術(shù)基礎(chǔ)結(jié)構(gòu)發(fā)生變更時，應(yīng)對安全管理制度進(jìn)行檢查、審定和修訂；每個制度文檔應(yīng)有相應(yīng)負(fù)責(zé)人或負(fù)責(zé)部門，負(fù)責(zé)對明確需要修訂的制度文檔的維護(hù)；評審和修訂的操作范圍應(yīng)考慮安全管理制度的相應(yīng)密級。9.2安全管理機(jī)構(gòu)《信息系統(tǒng)安全等級保護(hù)基本要求》在崗位設(shè)置、人員配備、授權(quán)和審批、溝通和合作、審核和檢查等方面對安全管理機(jī)構(gòu)提出了具體的要求。應(yīng)該建立專門的安全職能部門，配備專門的安全管理人員，負(fù)責(zé)信息安全管理工作，同時對安全管理人員的活動進(jìn)行指導(dǎo)。安全管理員還應(yīng)負(fù)責(zé)定期進(jìn)行安全檢查，檢查內(nèi)容包括系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況；并組織力量定期進(jìn)行全省的安全檢查，檢查內(nèi)容包括現(xiàn)有安全技術(shù)措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況，匯總安全檢查數(shù)據(jù)，形成安全檢查報告，并對安全檢查結(jié)果進(jìn)行通報；9.2.1崗位設(shè)置設(shè)立指導(dǎo)和管理信息安全工作的委員會或領(lǐng)導(dǎo)小組，其最高領(lǐng)導(dǎo)由單位主管領(lǐng)導(dǎo)委任或授權(quán)的人員擔(dān)任；設(shè)立專職的安全管理機(jī)構(gòu)（即信息安全管理工作的職能部門），明確各部門職責(zé)分工；設(shè)立安全管理各個方面的負(fù)責(zé)人，設(shè)置工作崗位（如安全主管、安全管理各個方面的負(fù)責(zé)人、機(jī)房管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等重要崗位），明確各個崗位的職責(zé)分工。9.2.2人員配備對關(guān)鍵區(qū)域或部位的安全管理人員配備有一定條件要求（如中心機(jī)房的安全管理人員、關(guān)鍵服務(wù)器的安全管理人員等），對關(guān)鍵事務(wù)配備2人或2人以上共同管理，相互監(jiān)督和制約；配備專職的安全管理員；9.2.3授權(quán)和審批對信息系統(tǒng)中的重要活動進(jìn)行審批，審批部門是何部門，批準(zhǔn)人是何人，審批活動是否得到授權(quán)；詢問是否定期審查、更新審批流程，審查周期多長；對重要活動的審批范圍包括哪些（如系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入，重要管理制度的制定和發(fā)布，人員的配備、培訓(xùn)，產(chǎn)品的采購，外部人員的訪問、管理，與合作單位的合作項目等)；9.2.4溝通和合作建立與外單位（公安機(jī)關(guān)、電信公司、兄弟單位、供應(yīng)商、業(yè)界專家、專業(yè)的安全公司、安全組織等），與組織機(jī)構(gòu)內(nèi)其它部門之間及內(nèi)部各部門管理人員之間的溝通、合作機(jī)制；召開部門間協(xié)調(diào)會議，組織其它部門人員共同協(xié)助處理信息系統(tǒng)安全有關(guān)問題，安全管理機(jī)構(gòu)內(nèi)部召開過安全工作會議部署安全工作的實施，參加會議的部門和人員，會議結(jié)果；信息安全領(lǐng)導(dǎo)小組或者安全管理委員會定期召開例會；聘請信息安全專家作為常年的安全顧問，指導(dǎo)信息安全建設(shè)，參與安全規(guī)劃和安全評審等；9.2.5審核和檢查定期對信息系統(tǒng)進(jìn)行安全檢查，檢查內(nèi)容包括系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況；定期進(jìn)行全面安全檢查9.3人員安全管理人員安全管理要求在人員的錄用、離崗、考核、培訓(xùn)以及第三方人員管理上，都要考慮安全因素。應(yīng)：指定或授權(quán)專門的部門或人員負(fù)責(zé)人員錄用；嚴(yán)格規(guī)范人員錄用過程，對被錄用人的身份、背景、專業(yè)資格和資質(zhì)等進(jìn)行審查，對其所具有的技術(shù)技能進(jìn)行考核；與所有員工和第三方廠商、服務(wù)商簽署保密協(xié)議；嚴(yán)格規(guī)范人員離崗過程，及時終止離崗員工的所有訪問權(quán)限；定期對各個崗位的人員進(jìn)行安全技能及安全認(rèn)知的考核；對各類人員進(jìn)行安全意識教育、崗位技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn)；對安全責(zé)任和懲戒措施進(jìn)行書面規(guī)定并告知相關(guān)人員，對違反違背安全策略和規(guī)定的人員進(jìn)行懲戒；對外部人員允許訪問的區(qū)域、系統(tǒng)、設(shè)備、信息等內(nèi)容應(yīng)進(jìn)行書面的規(guī)定，并按照規(guī)定執(zhí)行；9.4系統(tǒng)建設(shè)管理《信息系統(tǒng)安全等級保護(hù)基本要求》在系統(tǒng)建設(shè)管理階段針對系統(tǒng)定級、安全方案設(shè)計、產(chǎn)品采購、自行軟件開發(fā)、外包軟件開發(fā)、工程實施、測試驗收、系統(tǒng)交付、系統(tǒng)備案、安全測評、安全服務(wù)商選擇等等方面提出了具體的要求。目前，系統(tǒng)定級、系統(tǒng)備案的工作已經(jīng)完成，新搭建的系統(tǒng)需要重新定級與備案。工程實施、測試驗收、系統(tǒng)交付等方面需要在產(chǎn)品購買后進(jìn)行。而其他的一些方面，如自行軟件開發(fā)、外包軟件開發(fā)等，應(yīng)根據(jù)具體情況制定相關(guān)管理規(guī)范和流程。在安全服務(wù)商選擇方面，我們建議的相關(guān)領(lǐng)導(dǎo)，選擇有實力，有信譽的專業(yè)安全服務(wù)廠商。9.5系統(tǒng)運維管理《信息系統(tǒng)安全等級保護(hù)基本要求》在環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備管理、監(jiān)控管理和安全管理中心、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、變更管理、備份與恢復(fù)管理、安全事件處置、應(yīng)急預(yù)案管理等方面提出了要求。應(yīng)在現(xiàn)有的系統(tǒng)運維管理制度的基礎(chǔ)上，對照《信息系統(tǒng)安全等級保護(hù)基本要求》進(jìn)行查漏補(bǔ)缺，以達(dá)到標(biāo)準(zhǔn)合規(guī)。9.5.1環(huán)境管理建立網(wǎng)絡(luò)安全運維小組，組織實施對機(jī)房供配電、空調(diào)、溫濕度控制等設(shè)施，機(jī)房的出入，服務(wù)器的開關(guān)機(jī)等的日常維護(hù)管理；建立機(jī)房安全管理制度，明確相關(guān)安全管理規(guī)定；加強(qiáng)日常辦公環(huán)境的保密規(guī)定的宣貫、知會和管理。9.5.2資產(chǎn)管理建立完善信息系統(tǒng)資產(chǎn)臺賬，包括資產(chǎn)責(zé)任部門、責(zé)任人、重要程度和位置等內(nèi)容；建立信息系統(tǒng)資產(chǎn)安全管理制度，明確相關(guān)管理規(guī)定；對重要資產(chǎn)進(jìn)行分類標(biāo)識，并采取相應(yīng)的管理措施；建立信息分類與標(biāo)識方法相關(guān)規(guī)定。9.5.3介質(zhì)管理建立介質(zhì)管理制度，明確相關(guān)管理規(guī)定；對介質(zhì)的存放環(huán)境進(jìn)行安全檢查，確保存儲環(huán)境由專人負(fù)責(zé)管理；對存儲介質(zhì)外出、傳輸、歸檔和查詢等嚴(yán)格履行手續(xù)，并作詳細(xì)記錄；對存儲介質(zhì)的使用過程、維修和銷毀加強(qiáng)管理，帶出的介質(zhì)采用技術(shù)手段進(jìn)行內(nèi)容加密，對送出維修或銷毀的介質(zhì)中的敏感數(shù)據(jù)，采用有效技術(shù)手段進(jìn)行徹底清除；介質(zhì)銷毀必須履行相關(guān)手續(xù)，不得擅自自行銷毀；某些用于數(shù)據(jù)備份的存儲介質(zhì)應(yīng)按照有關(guān)要求進(jìn)行異地存儲，異地存儲的環(huán)境和安全應(yīng)和本地相同；重要存儲介質(zhì)中的數(shù)據(jù)和軟件通過技術(shù)手段采取加密存儲，并對介質(zhì)按存儲數(shù)據(jù)的重要程度進(jìn)行分類標(biāo)識管理。9.5.4設(shè)備管理建立信息系統(tǒng)日常維護(hù)管理制度，明確管理部門和人員對信息系統(tǒng)相關(guān)的各種設(shè)備、線路進(jìn)行維護(hù)管理，明確維護(hù)人員的職責(zé)；建立設(shè)備安全管理制度，明確軟硬件設(shè)備的選