信息安全測評服務

I

目錄

TOC\o"1-3"\h\u

26812

1范圍

1

16299

2信息安全風險評估

1

15814

2.1基本要求

1

30575

2.2漏洞掃描

1

14454

2.3操作系統(tǒng)核查

1

19848

2.4數(shù)據(jù)庫核查

1

24396

2.5網(wǎng)絡及安全設備核查

1

27333

2.6病毒木馬檢查

1

11006

2.7滲透測試

1

5018

3信息安全加固

1

10846

3.1基本要求

1

20220

3.2網(wǎng)絡設備安全加固

2

22096

3.3網(wǎng)絡安全設備安全加固

2

4345

3.4數(shù)據(jù)庫安全加固

2

7809

3.5清除病毒木馬

2

28438

4信息安全規(guī)劃服務

2

15547

4.1基本要求

2

21706

4.2物理安全規(guī)劃

2

3092

4.3主機安全規(guī)劃

2

8322

4.4網(wǎng)絡安全規(guī)劃

2

19011

4.5應用安全規(guī)劃

2

5652

4.6數(shù)據(jù)安全規(guī)劃

2

7385

4.7安全管理體系規(guī)劃

2

14737

5日常安全運維服務

3

16707

5.1安全監(jiān)控和防護服務

3

32207

5.1.1監(jiān)控內(nèi)容

3

17841

5.1.2安全防護內(nèi)容

3

19497

5.1.3監(jiān)控與防護措施

3

23127

5.2現(xiàn)場值守服務

3

22334

6應急響應服務

3

1447

7人員培訓

3

30909

7.1基本安全意識培訓

3

7032

7.2數(shù)據(jù)安全管理員培訓

3

6783

7.3網(wǎng)絡安全管理員培訓

3

5680

7.4安全管理知識培訓

4

28028

8安全保密

4

PAGE

1

信息安全測評服務

范圍

本標準規(guī)定了信息安全測評服務的信息安全風險評估、信息安全加固、信息安全咨詢服務、日常安全運維服務、應急響應服務、人員培訓。

本標準適用于本公司的信息安全測評服務，包括信息安全風險評估、信息安全加固、信息安全咨詢服務、日常安全運維服務、應急響應服務、人員培訓等內(nèi)容。

信息安全風險評估

基本要求

對客戶單位所有信息系統(tǒng)進行風險評估，應每半年評估一次，評估后出具詳細的評估報告，評估范

圍為所有業(yè)務系統(tǒng)及相關(guān)的網(wǎng)絡安全資產(chǎn)。

漏洞掃描

通過工具對網(wǎng)絡系統(tǒng)內(nèi)的操作系統(tǒng)、數(shù)據(jù)庫和網(wǎng)站程序進行自動化掃描，發(fā)現(xiàn)各種可能遭到惡意利

用的各種隱患，包括：端口掃描，漏洞掃描，密碼破解，攻擊測試等。

操作系統(tǒng)核查

核查操作系統(tǒng)補丁安裝、進程、端口、服務、用戶、策略、權(quán)限、審計、內(nèi)核、惡意程序等內(nèi)容，

對用戶當前采取的風險控制措施和管理手段的效果進行評估，在針對性、有效性、集成特性、標準特性、可管理特性、可規(guī)劃特性等六個方面進行評估。

數(shù)據(jù)庫核查

應對數(shù)據(jù)庫管理系統(tǒng)的權(quán)限、口令、數(shù)據(jù)備份與恢復等方面進行核查。

網(wǎng)絡及安全設備核查

針對網(wǎng)絡及安全設備的訪問控制策略進行檢查，確定是否開放了網(wǎng)站服務以外的多余服務。

病毒木馬檢查

通過多種方式對機器內(nèi)異常進程、端口進行分析，判斷是否是木馬或病毒，研究相關(guān)行為，并進行

查殺。

滲透測試

模擬各種攻擊手段，包括弱口令、本地權(quán)限提升、遠程溢出、數(shù)據(jù)庫查詢等，對評估過程中發(fā)現(xiàn)的

漏洞安全隱患進行攻擊測試，評估其危害程度。測評次數(shù)不低于兩次，在有重大安全漏洞或隱患出現(xiàn)時，及時采取有針對性的滲透測試。

信息安全加固

基本要求

針對評估的結(jié)果，協(xié)助客戶單位對應用系統(tǒng)中存在的安全隱患進行安全加固。加固內(nèi)容包括：操作系統(tǒng)安全加固；

基本安全配置檢測和優(yōu)化；密碼系統(tǒng)安全檢測和增強；系統(tǒng)后門檢測；

提供訪問控制策略和安全工具；增強遠程維護的安全性；

文件系統(tǒng)完整性審計；增強的系統(tǒng)日志分析；系統(tǒng)升級與補丁安裝。

網(wǎng)絡設備安全加固

對網(wǎng)絡設備應進行嚴格的防控控制措施和安全審計，合理劃分vlan，減少不必要的IOS服務或潛在

的安全問題，確保路由安全，抵抗拒絕服務的網(wǎng)絡攻擊和流量控制及廣播限制。

網(wǎng)絡安全設備安全加固

應合理部署防火墻的位置、進行必要的區(qū)域劃分，對IDS、漏洞掃描系統(tǒng)、VPN網(wǎng)關(guān)進行部署，加固

安全設備的安全防護措施配置、安全設備日志管理策略、安全設備本身安全配置。

數(shù)據(jù)庫安全加固

應對基本安全配置進行檢測和優(yōu)化，檢測和增強密碼系統(tǒng)的安全，增強遠程維護的安全性，審計文

件系統(tǒng)的完整性，增強系統(tǒng)日志分析，升級系統(tǒng)與安裝補丁。

清除病毒木馬

每次評估后，應對存在的安全隱患協(xié)助加固。整體加固完成后由客戶單位確認加固效果，如出現(xiàn)重

大安全情況，需要對業(yè)務系統(tǒng)的源代碼進行安全審查。

信息安全規(guī)劃服務

基本要求

為確?？蛻魡挝恍畔⑾到y(tǒng)安全，協(xié)助客戶單位對所有信息系統(tǒng)進行整體安全規(guī)劃，規(guī)劃內(nèi)容主要包

括信息安全總體架構(gòu)，信息安全技術(shù)體系和信息安全管理體系建設，其中信息安全技術(shù)體系主要包括物理安全、主機安全、網(wǎng)絡安全、應用安全、數(shù)據(jù)安全、技術(shù)安全基線等規(guī)劃。

物理安全規(guī)劃

以信息系統(tǒng)安全等級保護體系、ISO27001信息安全管理體系和國家制定頒布的機房相關(guān)標準規(guī)范

為參考，通過對機房物理環(huán)境安全評估和機房管理現(xiàn)狀調(diào)研，制定機房安全規(guī)劃方案，提高機房安全運行水平。

主機安全規(guī)劃

通過對信息系統(tǒng)的主機進行安全評估和管理現(xiàn)狀調(diào)研，制定主機安全規(guī)劃方案，并指導進行主機安

全管理改進工作，切實保障信息系統(tǒng)的安全運行。通過有針對性的安全規(guī)劃和加固方案，對主機系統(tǒng)進行深度防御，有效保護整體信息系統(tǒng)的安全，切實提升信息系統(tǒng)的安全防御水平。

網(wǎng)絡安全規(guī)劃

通過對網(wǎng)絡系統(tǒng)進行安全評估和管理現(xiàn)狀調(diào)研，制定網(wǎng)絡安全規(guī)劃方案，并指導進行網(wǎng)絡安全加改

進工作，切實保障網(wǎng)絡系統(tǒng)的安全運行。

應用安全規(guī)劃

在對應用系統(tǒng)的全生命周期進行安全規(guī)劃和管理，包括應用系統(tǒng)的需求分析、設計、實現(xiàn)及測試、

運行和維護等階段，要確保信息系統(tǒng)安全性要求在此階段的各個具體工作過程中的貫徹和實施。開發(fā)階段的安全規(guī)劃可以保證交付具有高安全特性的應用系統(tǒng)，為將來應用系統(tǒng)的安全投產(chǎn)運行奠定堅實的基礎(chǔ)。運行維護階段的安全規(guī)劃可以及時發(fā)現(xiàn)應用系統(tǒng)存在的安全問題，保證系統(tǒng)持續(xù)運行在安全的狀態(tài)之下。應用系統(tǒng)安全加固是指對在系統(tǒng)運行中發(fā)現(xiàn)的安全隱患進行處置，包括進行補丁升級、配置參數(shù)和配置文件調(diào)整等等。應用系統(tǒng)安全規(guī)劃與加固服務包括對應用系統(tǒng)本身及相關(guān)的數(shù)據(jù)庫和中間件的安全規(guī)劃與加固工作。

數(shù)據(jù)安全規(guī)劃

通過對信息系統(tǒng)數(shù)據(jù)進行技術(shù)檢測和管理現(xiàn)狀調(diào)研，制定包含數(shù)據(jù)備份、數(shù)據(jù)加密和數(shù)據(jù)分級的解

決方案。

安全管理體系規(guī)劃

結(jié)合客戶單位信息系統(tǒng)安全需要，建立一套符合信息系統(tǒng)安全等級保護要求的安全管理體系，主要內(nèi)容包括安全管理機構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設管理和系統(tǒng)運維管理等內(nèi)容。

日常安全運維服務

安全監(jiān)控和防護服務

對客戶單位所有網(wǎng)站提供7*24小時的實時安全監(jiān)控和防護服務。通過對日常安全監(jiān)控和防護服務及

訪問日志的分析及時發(fā)現(xiàn)客戶單位信息門戶網(wǎng)站出現(xiàn)的安全事件，并第一時間進行應急處理、提出安全加固建議。

監(jiān)控內(nèi)容

遠程網(wǎng)頁掛馬監(jiān)測、遠程網(wǎng)頁篡改事件監(jiān)測、網(wǎng)頁敏感信息事件監(jiān)測、Web漏洞定期掃描、網(wǎng)站運行平穩(wěn)度監(jiān)測、網(wǎng)站域名解析劫持監(jiān)測、實時告警、網(wǎng)站安全趨勢分析。

安全防護內(nèi)容

web攻擊防護、CC攻擊防護、DDOS攻擊防護、網(wǎng)絡防篡改、CDN加速等。

監(jiān)控與防護措施

如遇到重大的信息安全事件預兆時，需提供有針對性的應急方案，并對重點安全事件進行集中監(jiān)控和防護，具體措施如下：

每月提交監(jiān)控和防護月報表，每季度提供監(jiān)控和防護情況季度總結(jié)報表；

在服務期內(nèi)對所有的發(fā)現(xiàn)的事件，我方提供確認機制（如郵件或者打印簽字方式）；

對監(jiān)控和防護到的安全事件，根據(jù)事件危害等級的不同，可以分為普通事件和嚴重安全事件。普通事件每周匯報總結(jié)即可，嚴重安全事件，立即通知并解決；

在監(jiān)控和防護到安全事件后，分析事件原因，并提供解決方案。網(wǎng)絡、系統(tǒng)層的安全問題，我方有義務解決；應用層面的安全問題，我方可協(xié)助第三方（系統(tǒng)集成商或者開發(fā)商）解決；

在服務期內(nèi)，對于我方升級的監(jiān)控和防護平臺、功能模塊均以免費使用。

現(xiàn)場值守服務

對客戶單位信息系統(tǒng)提供5*8小時的現(xiàn)場值守服務，安排專業(yè)的技術(shù)工程師進行現(xiàn)場值守，工作內(nèi)容主要包括網(wǎng)絡安全維護服務、安全狀態(tài)監(jiān)控服務、日志收集與分析和故障診斷。網(wǎng)絡安全維護服務主要包括信息資產(chǎn)統(tǒng)計、網(wǎng)絡設備安全維護、安全設備維護、服務器安全維護、存儲設備維護、系統(tǒng)應用軟件安全建議和數(shù)據(jù)庫安全維護等。安全狀態(tài)監(jiān)控主要包括網(wǎng)絡及安全設備監(jiān)控、服務器系統(tǒng)監(jiān)控、機房物理環(huán)境監(jiān)控、病毒監(jiān)測等。安全日志收集與分析主要包括網(wǎng)絡及安全設備日志，網(wǎng)絡及安全設備日志收集與分析和服務器、操作系統(tǒng)等日志，服務器、操作系統(tǒng)及應用系統(tǒng)日志收集與分析，網(wǎng)絡應用日志收集與分析等。

應急響應服務

當出現(xiàn)信息安全事件后，為迅速確定事件原因，縮小事件影響，遏制事態(tài)發(fā)展，快速恢復系統(tǒng)運維，保障2小時內(nèi)安全應急人員到場，為客戶單位提供應急響應服務，并提交應急響應服務報告。

人員培訓

為提升客戶單位從業(yè)人員的專業(yè)技能，為客戶單位人員提供專業(yè)培訓，每部分的培訓不少于4課時。

基本安全意識培