信息系統(tǒng)安全服務服務范圍和服務內(nèi)容本次服務范圍為XXX信息系統(tǒng)硬件及應用系統(tǒng)，主要包括計算機終端、打印機、服務器、存儲設備、網(wǎng)絡（安全）設備以及應用系統(tǒng)。服務內(nèi)容包括日常運維服務（駐場服務）、專業(yè)安全服務、信息化建設咨詢服務等。服務目標保障軟硬件的穩(wěn)定性和可靠性；保障軟硬件的安全性和可恢復性；故障的及時響應與修復；硬件設備的維修服務；人員的技術培訓服務；信息化建設規(guī)劃、方案制定等咨詢服務。服務內(nèi)容風險評估風險評估的目的是了解和控制運行過程中的信息系統(tǒng)安全風險，運維階段的風險評估是一種較為全面的風險評估。評估內(nèi)容包括對真實運行的信息系統(tǒng)、資產(chǎn)、威脅、脆弱性等各方面。（1）資產(chǎn)評估：對真實環(huán)境下較為細致的評估，包括實施階段采購的軟硬件資產(chǎn)、系統(tǒng)運行過程中生成的信息資產(chǎn)、相關的人員與服務等。本階段資產(chǎn)識別是前期資產(chǎn)識別的補充與增加；（2）威脅評估：真實環(huán)境中的威脅分析，應全面地評估威脅的可能性和影響程度。對非故意威脅產(chǎn)生安全事件的評估可以參照事故發(fā)生率；對故意威脅主要由評估人員就威脅的各個影響因素做出專業(yè)判斷；同時考慮已有控制措施；（3）脆弱性評估：全面的脆弱性評估。包括運行環(huán)境下物理、網(wǎng)絡、系統(tǒng)、應用、安全保障設備、管理的脆弱性。對于技術的脆弱性評估采取核查、掃描、案例驗證、滲透性測試的方式驗證脆弱性；對安全保障設備脆弱性評估時考慮安全功能的實現(xiàn)情況和安全措施本身的脆弱性。對于管理脆弱性采取文檔、記錄核查進行驗證；（4）風險計算：根據(jù)相關標準，對主要資產(chǎn)的風險進行定性或定量的風險分析，描述不同資產(chǎn)的風險高低狀況。安全加固安全加固是指對在風險評估中發(fā)現(xiàn)的系統(tǒng)安全風險進行處理，按照級別不同，應該在相應時間內(nèi)完成。安全加固的內(nèi)容主要包括：（1）日常安全加固工作，主要是根據(jù)風險評估結(jié)果進行系統(tǒng)安全調(diào)優(yōu)服務，根據(jù)系統(tǒng)運行需要適時調(diào)整各類設備及系統(tǒng)配置、合理規(guī)劃系統(tǒng)資源、消除系統(tǒng)漏洞，提高系統(tǒng)穩(wěn)定性和可靠性；（2）主動安全加固，在未出現(xiàn)安全事故之前就對已經(jīng)通報或者暴露出來的軟件漏洞或最新病毒庫更新，就主動進計劃的升級和改進，從而避免出現(xiàn)安全事故。具體加固內(nèi)容包括但不限于：帳戶策略、帳戶鎖定策略、審核策略、NTFS、用戶權限分配、系統(tǒng)服務策略、補丁管理、事件日志、應用軟件的更新等。應急響應應急狀態(tài)的安全值守、響應工作，主要是系統(tǒng)應急響應、重大安全故障處理，確保系統(tǒng)出現(xiàn)安全事件時快速反應、及時處理，降低系統(tǒng)安全問題對XX局內(nèi)工作的影響。安全巡檢安全巡檢主要是指深入現(xiàn)場，了解情況：質(zhì)檢服務內(nèi)容中的各類安全設備，了解安全設備運行情況，仔細觀察各個安全節(jié)點的可靠性，并綜合安全巡檢情況，定制安全策略。故障處理完成后必須留有相應的故障處理記錄故障處理報告上線管理為保障設備接入網(wǎng)絡的安全性，設備上線前必須安裝防病毒系統(tǒng)及更新操作系統(tǒng)補丁，并對設備進行進行安全掃描評估，針對安全漏洞進行安全加固企業(yè)網(wǎng)接入管理辦法、接入記錄為避免系統(tǒng)上線對其它系統(tǒng)和設備造成影響，發(fā)布前必須對系統(tǒng)應用站點、數(shù)據(jù)庫、后臺服務、網(wǎng)絡端口進行安全評估。系統(tǒng)投入正式運營前必須在測試環(huán)境中對系統(tǒng)進行模擬運行一周以上應用系統(tǒng)接入申請流程、接入記錄系統(tǒng)上線之后如需對系統(tǒng)進行功能更新，必須由系統(tǒng)管理員或系統(tǒng)管理員指定專門維護人員進行更新操作，嚴格按照公司安全管理規(guī)范執(zhí)行1、應用系統(tǒng)更新申請流程

2、更新記錄Web應用應根據(jù)業(yè)務需求與安全設計原則進行安全編碼,合理劃分帳號權限，確保用戶帳號密碼安全,加強敏感數(shù)據(jù)安全保護，提供詳細的日志1、根據(jù)規(guī)范對開發(fā)規(guī)范進行修正，用戶名密碼的管理要求、敏感數(shù)據(jù)的管理要求、系統(tǒng)日志的開發(fā)要求

2、現(xiàn)有應用的安全檢查漏洞與防病毒定期進行服務器漏洞掃描，并根據(jù)漏洞掃描報告封堵高危漏洞，每季度至少對所有服務器掃描一次掃描記錄與掃描結(jié)果報告需建立統(tǒng)一的WSUS服務器，并每季度對關鍵服務器進行高危漏洞升級，并留有升級記錄1、WSUS服務器中的關鍵更新的補丁清單，每個月1份

2、應用服務器端每次更新的補丁清單任何終端必須安裝正版防病毒軟件，且保證90%以上病毒庫最新（五日以內(nèi)）防病毒檢查記錄每周檢查防病毒軟件隔離區(qū)，排除病毒威脅防病毒檢查記錄核心系統(tǒng)和關鍵服務器日志審計在操作系統(tǒng)層、數(shù)據(jù)庫層、應用層建立日志記錄功能，日志記錄中保存1年的內(nèi)容，日志安全記錄能夠關聯(lián)操作用戶的身份1、操作系統(tǒng)層日志策略

2、數(shù)據(jù)庫日志策略

3、應用層日志要求加入開發(fā)規(guī)范中操作系統(tǒng)日志中需記錄“賬戶管理”“登錄事件”“策略更改”“系統(tǒng)事件”等內(nèi)容操作系統(tǒng)層日志策略操作行為記錄需進行定期審計數(shù)據(jù)庫層日志需記錄每次數(shù)據(jù)庫操作的內(nèi)容數(shù)據(jù)庫日志策略應用層日志需記錄每次應用系統(tǒng)出錯的信息應用層日志要求加入開發(fā)規(guī)范中檢查關鍵錯誤日志、應用程序日志中的關鍵錯誤記錄，保證日志審核正常關鍵訪問與操作應立即啟用日志記錄功能，避免因日志記錄不全，造成入侵后無法被追蹤的問題信息發(fā)布管理每天檢查平臺短信發(fā)送、接收的可用性每天短信檢查記錄短信必須設置關鍵字過濾，每個月進行關鍵字更新，并檢查其有效性短信關鍵字更新記錄，有效性檢查記錄信息防泄密需對所有信息化系統(tǒng)、應用系統(tǒng)的核心信息進行清晰的界定，核心信息包括但不限于涉及客戶資料、客戶賬戶信息、客戶密碼、操作記錄應用系統(tǒng)-核心信息矩陣圖需對核心信息設定保密措施應用系統(tǒng)核心信息管理制度對核心信息的操作進行特殊監(jiān)控，并留下記錄訪問控制賬號密碼管理服務器上任何賬號必須有審批人員審核確認1、賬號管理辦法

2、賬號申請表所有系統(tǒng)和服務器上賬號必須每季度進行審核賬號審核表密碼復雜度要求：

一．靜態(tài)密碼：密碼應至少每90天進行更新，密碼長度應至少6位或以上，密碼應由大