等保服務內容及報價

1、等保服務內容及報價；一、信息安全等級保護服務流程及內容；信息安全等 級保護服務分為定級備案咨詢、安全建設規(guī)；1.定級備案咨詢階段：通過定級對 象分析、定級要素；2.安全建設規(guī)劃階段：協(xié)助建設單位按照同步規(guī)劃、；3.安 全等級現(xiàn)狀測評階段：詳實調研業(yè)務系統(tǒng)，了解；4信息系統(tǒng)安全整改咨詢階段： 依據(jù)脆弱性評估結果；5.信息安全等級測評階段：實施等級測評，以滿足國；等 保 等保服務內容及報價 一、信息安全等級保護服務流程及內容 信息安全等級保護服務分為定級備案咨詢、安全建設規(guī)劃、安全等級現(xiàn)狀測 評、信息系統(tǒng)安全整改咨詢和信息安全等級測評五個階段，各階段工作內容如下： 1. 定級備案咨詢階段：通過定級

2、對象分析、定級要素分析，初步確定系統(tǒng)保 護等級，協(xié)助召開定級專家咨詢會議，確定系統(tǒng)保護等級，協(xié)助撰寫定級報告、 協(xié)助聯(lián)絡公安機關，完成定級備案工作。 2. 安全建設規(guī)劃階段：協(xié)助建設單位按照同步規(guī)劃、同步建設、同步運行的 原則，做好項目建設的安全規(guī)劃。 3. 安全等級現(xiàn)狀測評階段：詳實調研業(yè)務系統(tǒng)， 了解系統(tǒng)邊界、功能、服務 范圍、涉及部門、重要程度，全面進行差距分析和脆弱性評估；找出不足之處和 安全漏洞， 為等級保護體系設計提供客觀依據(jù)； 將根據(jù)之前的項目成果， 制定合 理安全管理措施和技術措施，形成等級化的信息安全保障體系。 4. 信息系統(tǒng)安全整改咨詢階段： 依據(jù)脆弱性評估結果， 彌補技術

3、層面的安全 漏洞；建立健全信息安全管理制度； 根據(jù)前期信息安全保障體系設計方案， 指導 系統(tǒng)運維方落實相關安全保障措施。 5. 信息安全等級測評階段： 實施等級測評， 以滿足國家信息安全監(jiān)管的相關 政策要求。 等保服務在合同簽訂后 1 個月內完成項目的系統(tǒng)定級、安全建設規(guī)劃。在系 統(tǒng)建設完成后 2 周內完成安全評估差距分析、 整改建議等工作。 在系統(tǒng)整改完成 后 2 周內完成信息安全等級測評工作，出具等保測評報告。 1 定級備案咨詢 1.1 工作內容 （1）系統(tǒng)梳理 網絡拓撲調查：通過對系統(tǒng)網絡拓撲結構的調查，確定各個網絡安全域，分 析網絡拓撲結構安全。 資產信息調查： 通過對資產信息的調查，

4、 確定系統(tǒng)中重要資產， 比如服務器、 核心交換機、邊界防火墻、 IDS 等。 服務信息調查：通過對服務信息的調查，確定系統(tǒng)服務對象。 系統(tǒng)邊界調查：通過對系統(tǒng)邊界的調查，確定各子系統(tǒng)邊界情況 （2）定級對象分析 業(yè)務類型分析：通過對業(yè)務類型的分析，確定各系統(tǒng)的重要性。 管理機構分析：通對管理機構的分析，確定安全管理機構設置的合理性。 （3）定級要素分析 業(yè)務信息分析：通過以上調查與分析，明確業(yè)務信息（系統(tǒng)數(shù)據(jù)）被破壞后 受侵害的客體（公民、法人和其他組織的合法權益，社會秩序、公共利益，國家 安全）和侵害程度。 系統(tǒng)服務分析：通過以上調查與分析，明確系統(tǒng)被破壞或者中斷服務后受侵 害的客體（公民、

5、法人和其他組織的合法權益， 社會秩序、公共利益， 國家安全） 和侵害程度。 綜合分析：通過對業(yè)務信息分析與系統(tǒng)服務分析，分別確定其安全等級 確 定等級：取業(yè)務信息安全等級與系統(tǒng)服務安全等級中最高的為整個系統(tǒng)安全等 級。 （4）撰寫定級報告 撰寫定級報告：通過以上調查與分析，撰寫系統(tǒng)定級報告，包括系統(tǒng)描述、 業(yè)務信息安全保護等級的確定、 系統(tǒng)服務安全保護等級的確定、 整個系統(tǒng)安全保 護等級的確定等。 5）協(xié)助定級備案 協(xié)助填寫備案表：協(xié)助業(yè)主完成系統(tǒng)安全等級保護備案表的填寫。 協(xié)助評審審批：協(xié)助業(yè)主組織召開系統(tǒng)定級結果評審會，協(xié)助業(yè)主完成整個 定級審批過程。 1.2 交付成果 信息系統(tǒng)安全等級保

6、護定級報告 信息系統(tǒng)定級備案表 2 安全建設規(guī)劃 2.1 工作內容 根據(jù)等級化安全保障體系的設計思路， 等級保護的安全建設規(guī)劃包括以下內 容： 1. 安全域設計：根據(jù)系統(tǒng)定級情況， 通過分析系統(tǒng)業(yè)務流程、功能模塊，根 據(jù)安全域劃分原則設計系統(tǒng)安全域架構。通過安全域設計將系統(tǒng)分解為多個層 次，為下一步安全保障體系框架設計提供基礎框架。 2. 確定安全域安全要求： 參照國家相關等級保護安全要求， 設計不同安全域 的安全要求。 通過安全域適用安全等級選擇方法確定系統(tǒng)各區(qū)域等級， 明確各安 全域所需采用的安全指標。 3. 安全保障體系方案設計： 根據(jù)安全域框架， 設計系統(tǒng)各個層次的安全保障 體系框架以

7、及具體方案。 包括：各層次的安全保障體系框架形成系統(tǒng)整體的安全 保障體系框架；物理安全、網絡安全、服務器安全等安全技術設計，安全管理制 度規(guī)劃與設計。 通過如上內容的規(guī)劃，系統(tǒng)可以形成整體的等級化的安全保障體系，同時根 據(jù)安全術建設和安全管理建設，保障系統(tǒng)整體的安全。 2.2 交付成果 信息系統(tǒng)安全等級保護建設規(guī)劃方案 3 安全等級現(xiàn)狀測評 為確保信息系統(tǒng)的安全保護措施符合相應安全等級的基本安全要求， 需要實 施安全等級現(xiàn)狀測評， 以提出合理、 有效的安全整改建議， 為信息系統(tǒng)制定信息 安全規(guī)劃和決策提供依據(jù)。 測評機構將指導系統(tǒng)運維方開展安全評估工作， 簡要了解系統(tǒng)現(xiàn)有安全保障 措施與國家信

8、息安全等級保護等級標準要求之間的差距，制定信息安全規(guī)劃方 案；同時檢查系統(tǒng)在技術層面存在的脆弱性漏洞， 為后續(xù)安全加固工作奠定基礎。 3.1 等級保護差距分析 按照等級保護實施要求，信息系統(tǒng)應該具備相應等級的安全防護能力，部署 相應的安全設備，制定相應的安全管理機構、制度、崗位等。 差距分析就是依據(jù)等級保護技術標準和管理規(guī)范， 比較分析信息系統(tǒng)安全防 護能力與等級要求之間的差距。為等級化體系設計提供依據(jù)。 3.1.1 工作內容 差距分析將從技術上的物理安全、網絡安全、主機系統(tǒng)安全、應用安全和數(shù) 據(jù)安全五個層面和管理上的安全管理機構、 安全管理制度、 人員安全管理、 系統(tǒng) 建設管理和系統(tǒng)運維管理

9、等五個方面分別進行。具體內容為： 1、技術差距檢測： (1) 物理安全： 針對信息系統(tǒng)所處的物理環(huán)境即機房、線路、 基礎支撐設施等 進行標準符合性識別。主要包含：物理位置選擇、物理訪問控制、防盜竊和防破 壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應、電磁防護等 方面。 (2) 網絡安全： 對評估工作范圍內的網絡與安全設備、 網絡架構進行網絡安全 符合性調查。主要包含：結構安全與網段劃分、網絡訪問控制、網絡安全審計、 邊界完整性檢查、網絡入侵防范、惡意代碼防范、網絡設備防護等方面。 (3) 主機安全：評估信息系統(tǒng)的主機系統(tǒng)安全保障情況。 主要包含：身份鑒別、 訪問控制、安全審計、系

10、統(tǒng)保護、入侵防護、惡意代碼防護、資源控制等方面。 (4) 應用安全：對信息系統(tǒng)進行應用安全符合性調查。主要包含：身份鑒別、 訪問控制、安全審計、通信完整性、通信保密性、抗抵賴、軟件容錯、資源控制 等方面。 (5) 數(shù)據(jù)安全： 評估信息系統(tǒng)的數(shù)據(jù)安全保障情況。 主要檢查系統(tǒng)的數(shù)據(jù)在采 集、傳輸、處理和存儲過程中的安全。 2、管理差距檢測： (1) 安全管理制度 :評估安全管理制度的制定、發(fā)布、評審和修訂等情況。主 要涉及安全主管人員、安全管理人員、各類其它人員、各類管理制度、各類操作 規(guī)程文件等對象。 (2) 安全管理機構 :評估安全管理機構的組成情況和機構工作組織情況。主要 涉及安全主管人員、

11、安全管理人員、相關的文件資料和工作記錄等對象。 (3) 人員安全管理： 評估機構人員安全控制方面的情況。 主要涉及安全主管人 員、人事管理人員、相關管理制度、相關工作記錄等對象。 (4) 系統(tǒng)建設管理： 評估系統(tǒng)建設管理過程中的安全控制情況。 主要涉及安全 主管人員、系統(tǒng)建設負責人、各類管理制度、操作規(guī)程文件、執(zhí)行過程記錄等對 象。 (5) 系統(tǒng)運維管理： 評估系統(tǒng)運維管理過程中的安全控制情況。 主要涉及安全 主管人員、安全管理人員、各類運維人員、各類管理制度、操作規(guī)程文件、執(zhí)行 過程記錄等對象。 3、等級保護差距分析： 基于技術、管理層面的標準合規(guī)性檢測結果，根據(jù)國家等級保護標準，結合 行業(yè)

12、規(guī)范， 針對標準的每項具體要求， 從微觀角度展開， 深入分析信息系統(tǒng)與相 應等級要求之間的差距， 并從宏觀角度對計算環(huán)境、 區(qū)域邊界和通信網絡等方面 對單元檢測的結果進行驗證、 分析和整體評價， 確認信息系統(tǒng)的整體安全防護能 力有無缺失，是否能夠對抗相應等級的安全威脅，為安全規(guī)劃設計提供依據(jù)。 3.1.2 交付成果 信息系統(tǒng)等級保護差距分析報告 3.2 脆弱性檢測 脆弱性（弱點）是指可能為許多目的所利用的系統(tǒng)某些方面， 包括系統(tǒng)弱點、 安全漏洞和實現(xiàn)的缺陷等。 為識別和分析信息系統(tǒng)所存在的脆弱性， 確認需要實 施安全加固與調優(yōu)的事項， 將首先進行脆弱性檢測工作， 從網絡層、 主機層和應 用層三

13、個方面進行檢測，本次脆弱性檢測的主要內容是漏洞掃描和系統(tǒng)配置檢 查。 3.2.1 工作內容 系統(tǒng)脆弱性檢測涉及三個層面工作內容， 包含整體的網絡架構分析， 服務器、 網絡與安全設備的配置檢查，以及漏洞掃描檢測工作。具體內容如下： 1、網絡架構分析： 進行網絡架構分析的目的是查找需要對網絡結構實施優(yōu)化的事項， 具體內容 -可編輯修改 - 如下：；（1）網絡現(xiàn)狀識別：涉及應用系統(tǒng)和用戶分布，安全；（2）網絡安全 分析：從網絡的整體架構進行考慮，緊；2、設備配置檢查：；檢查系統(tǒng)相關服 務器、交換機與安全設備的配置策略，；（1）服務器手工檢查：檢查服務器操作 系統(tǒng)、數(shù)據(jù)庫；（2）網絡設備手工檢查：檢測

14、交換機或路由器的 VI ； （3）安全設備 手工檢查：獲取防火墻的訪問控制策略；3、漏洞掃描檢測：；借助專業(yè)化漏 如下： （1）網絡現(xiàn)狀識別：涉及應用系統(tǒng)和用戶分布，安全域劃分， 區(qū)域邊界之間所 采取的訪問控制措施，網絡帶寬需求及現(xiàn)狀，對數(shù)據(jù)流向的安全控制，設備鏈路 冗余設計，對網絡帶寬的管控措施，遠程訪問通信鏈路的加密，各區(qū)域內所采取 的入侵檢測，安全審計措施，網絡出口所采取的入侵防范、病毒過濾、垃圾郵件 過濾措施、終端用戶接入認證等內容。 （2）網絡安全分析：從網絡的整體架構進行考慮，緊密結合業(yè)務應用現(xiàn)狀，識 別重要信息系統(tǒng)部署和用戶所在網絡區(qū)域的分布情況，分析網絡設計布局的合理 性，是否

15、存在單點隱患，確認鏈路帶寬是否滿足業(yè)務要求， 檢查產品設備老化問 題，確認設備性能是否滿足要求，分析網絡區(qū)域邊界是否定義清晰， 安全域劃分 是否合理，服務器、終端接入是否安全，各類安全設備的部署是否到位等。 2、設備配置檢查： 檢查系統(tǒng)相關服務器、交換機與安全設備的配置策略，具體內容如下： (1) 服務器手工檢查： 檢查服務器操作系統(tǒng)、 數(shù)據(jù)庫和中間件的開放服務及端 口、賬戶設置、文件權限設置、審計、共享資源、補丁更新和病毒防護等情況； (2) 網絡設備手工檢查：檢測交換機或路由器的 Vlan 劃分、路由表配置、訪 問控制列表 ACL 、IP 和 MAC 地址綁定情況、設備登錄認證方式、口令設

16、置等 配置項； (3) 安全設備手工檢查： 獲取防火墻的訪問控制策略、 以透明還是路由方式部 署、 NAT 地址轉換、網絡連接數(shù)限制等信息，檢查入侵檢測、安全審計設備的 審計策略配置、特征庫版本情況等。 3、漏洞掃描檢測： 借助專業(yè)化漏洞檢測工具，對檢測范圍內的交換機、路由器和服務器實施掃 描，發(fā)現(xiàn)配置上存在的弱點， 作為對手工檢查工作所獲取數(shù)據(jù)的補充， 同時也是 制定安全加固方案的重要依據(jù)。 3.2.2 交付成果 信息系統(tǒng)脆弱性評估報告 3.3 滲透測試 通過模擬黑客對信息系統(tǒng)進行滲透測試， 發(fā)現(xiàn)分析并驗證其存在的主機安全 漏洞、敏感信息泄露、 SQL 注入漏洞、 XSS 跨站腳本漏洞及弱口

17、令等安全隱患， 評估系統(tǒng)抗攻擊能力，提出安全加固建議。 3.3.1 工作內容 針對信息系統(tǒng)的滲透測試將采取兩種類型： 第一類型：互聯(lián)網滲透測試，是通過互聯(lián)網發(fā)起遠程攻擊，比其他類型的滲 透測試更能說明漏洞的嚴重性； 第二類型：內網滲透測試，通過接入內部網絡發(fā)起內部攻擊，主要針對信息 系統(tǒng)的后臺管理系統(tǒng)進行測試。 3.3.2 交付成果 信息系統(tǒng)滲透測試報告 3.4 源代碼測評 源代碼安全測試對所提供的源代碼采用工具進行安全掃描， 分析和軟件安全 風險管理，并給出安全問題審計結果，安全問題描述和推薦修復建議。 3.4.1 工作內容 依據(jù) CVE ( Common Vulnerabilities &

18、 Exposures )安全漏洞庫、設備及 軟件廠商公布的漏洞， 根據(jù)測試用例對信息系統(tǒng)的源代碼進行安全掃描， 對安全 漏洞進行識別，給出整改建議 3.4.2 交付成果 信息系統(tǒng)源代碼測試報告 4 信息系統(tǒng)安全整改咨詢 信息系統(tǒng)安全整改包含 3方面工作內容： 首先測評機構將指導系統(tǒng)運維方針 對脆弱性檢測和滲透測試所發(fā)現(xiàn)的技術層面的安全隱患進行整改， 其次以等級保 護對應等級的管理要求為依據(jù)建立健全信息安全管理制度， 最后依照信息系統(tǒng)安 全規(guī)劃方案指導信息系統(tǒng)優(yōu)化和完善信息系統(tǒng)安全防護措施， 并對系統(tǒng)安全 整改情況進行跟蹤和效果評價，為后續(xù)開展的等級測評工作奠定良好基礎。 4.1 安全加固與優(yōu)化

19、 根據(jù)前期脆弱性評估、滲透測試結果，結合信息系統(tǒng)的業(yè)務需求，對信息系 統(tǒng)相關設備進行安全策略加強、 調優(yōu)等，加強網絡、 系統(tǒng)和設備抵御攻擊和威脅 的能力，整體提高網絡安全防護水平。 4.1.1 工作內容 根據(jù)前期對信息系統(tǒng)進行的調研、評估與測評結果，以脆弱性評估報告和滲 透測試報告為依據(jù)， 根據(jù)網絡安全特殊需求和業(yè)務流程制定安全加固方案， 在不 影響當前業(yè)務開展的前提下， 對信息系統(tǒng)內的操作系統(tǒng)、 數(shù)據(jù)庫、 安全設備以及 中間件的安全配置策略進行加強， 及時消除因安全漏洞被惡意攻擊者利用從而引 發(fā)的風險。 根據(jù)信息系統(tǒng)網絡現(xiàn)狀，本次項目安全加固對象分為四類，即信息系統(tǒng)內的 操作系統(tǒng)、數(shù)據(jù)庫、中

20、間件以及網絡與安全設備。 4.1.2 交付成果 信息系統(tǒng)安全加固與優(yōu)化方案 4.2 等級保護制度建設 以等級保護差距分析結果為依據(jù)，依照安全保障體系設計所提及的建設內 容，按照等級保護標準要求， 制定等級保護管理體系框架， 明確管理方針、 策略， 以及相應的規(guī)定、 操作規(guī)程、 業(yè)務流程和記錄表單； 測評機構從結合信息系統(tǒng)實 際業(yè)務流程的原則出發(fā)， 指導系統(tǒng)運維方按照等級保護對應等級的管理標準， 編 寫管理制度文件， 并進行反復溝通和修訂， 確保所制定的文件的適用性， 且滿足 各系統(tǒng)相應保護等級的安全管理要求。 4.2.1 工作內容 制定和完善與信息系統(tǒng)的安全保護等級相適應的配套管理制度， 制度

21、相關內 容如下： (1) 安全管理機構： 加強和完善安全機構的建設， 設立指導和管理信息安全工 作的信息安全領導小組， 設立安全主管、 安全管理各個方面的負責人， 明確定義 各個工作崗位的職責。 建立各種安全管理活動的審批程序， 明確對內對外的溝通 協(xié)作方式，建立對各項安全管理活動的監(jiān)督審核機制。 (2) 安全管理制度： 在差距分析的基礎上，建立信息安全工作總體方針、 安全 策略，以方針策略為依據(jù)建立配套的安全管理制度及流程規(guī)范， 由專門的組織機 構負責管理制度的制訂、 發(fā)布和貫徹落實。 定期對制度進行評審和修訂， 確保管 理制度的適用性。 (3) 人員安全管理： 主要涉及兩方面， 對內部人員

22、的安全管理和對外部人員的 安全管理。具體包括人員錄用、人員離崗、人員考核、安全意識教育和培訓和外 部人員訪問管理等方面。 (4) 系統(tǒng)建設管理： 為了建設符合安全等級保護要求的信息系統(tǒng)、 系統(tǒng)建設管 理主要關注的是信息系統(tǒng)生命周期中的前三個階段(即設計、采購、實施)中各 項安全管理活動， 實現(xiàn)信息系統(tǒng)的安全管理貫穿系統(tǒng)的整個生命周期。 系統(tǒng)建設 管理分別從工程實施建設前、 建設過程以及建設完畢交付等三方面考慮， 具體包 括系統(tǒng)定級、安全方案設計、產品采購和使用、自行軟件開發(fā)、外包軟件開發(fā)、 工程實施、測試驗收、系統(tǒng)交付、系統(tǒng)備案、等級測評和安全服務商選擇等方面。 (5) 系統(tǒng)運維管理： 系統(tǒng)運

23、行涉及到很多管理方面， 要保證系統(tǒng)始終處于相應 安全保護等級的安全狀態(tài)中。 要監(jiān)控系統(tǒng)發(fā)生的重大變化， 以便修改對應的安全 措施。系統(tǒng)運維管理主要包括環(huán)境管理、資產管理、介質管理、設備管理、監(jiān)控 管理和安全管理中心、網絡安全管理、系統(tǒng)安全管理、惡意代碼防范管理、密碼 管理、變更管理、備份與恢復管理、安全事件處置、應急預案管理等方面。 4.2.2 交付成果 信息系統(tǒng)安全管理制度 5 信息安全等級測評 信息系統(tǒng)安全等級測評是測評機構依據(jù)國家信息安全等級保護制度規(guī)定， 照有關管理規(guī)范和技術標準， 對非涉及國家秘密信息系統(tǒng)安全等級保護狀況進行 檢測評估的活動。信息系統(tǒng)安全等級測評主要檢測和評估信息系統(tǒng)在安全技術、 安全管理等方面是否符合已確定的安全等級的要求； 對于尚未符合要求的信 息系統(tǒng)，分析和評估其潛在威脅、 薄弱環(huán)節(jié)以及現(xiàn)有安全防護措施， 綜合考慮信 息系統(tǒng)的重要性和面臨的安全威脅等因素， 提出相應的整改建議，