駐地安全服務(wù)、安全運(yùn)維技術(shù)方案

1、1.1信息系統(tǒng)安全服務(wù)1.1.1服務(wù)范圍和服務(wù)內(nèi)容本次服務(wù)范圍為XXX信息系統(tǒng)硬件及應(yīng)用系統(tǒng)，主要包括計(jì)算機(jī)終端、打印 機(jī)、服務(wù)器、存儲(chǔ)設(shè)備、網(wǎng)絡(luò)（安全）設(shè)備以及應(yīng)用系統(tǒng)。服務(wù)內(nèi)容包括日常運(yùn) 維服務(wù)（駐場(chǎng)服務(wù)）、專業(yè)安全服務(wù)、信息化建設(shè)咨詢服務(wù)等。1.1.2服務(wù)目標(biāo)保障軟硬件的穩(wěn)定性和可靠性；保障軟硬件的安全性和可恢復(fù)性；故障的及時(shí)響應(yīng)與修復(fù)； 硬件設(shè)備的維修服務(wù)；人員的技術(shù)培訓(xùn)服務(wù)；信息化建設(shè)規(guī)劃、方案制定等咨詢服務(wù)。1.1.3服務(wù)內(nèi)容風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估的目的是了解和控制運(yùn)行過(guò)程中的信息系統(tǒng)安全風(fēng)險(xiǎn)，運(yùn)維階段的 風(fēng)險(xiǎn)評(píng)估是一種較為全面的風(fēng)險(xiǎn)評(píng)估。評(píng)估內(nèi)容包括對(duì)真實(shí)運(yùn)行的信息系統(tǒng)、資 產(chǎn)、威脅、

2、脆弱性等各方面。（1）資產(chǎn)評(píng)估：對(duì)真實(shí)環(huán)境下較為細(xì)致的評(píng)估，包括實(shí)施階段采購(gòu)的軟硬 件資產(chǎn)、系統(tǒng)運(yùn)行過(guò)程中生成的信息資產(chǎn)、相關(guān)的人員與服務(wù)等。本階段資產(chǎn)識(shí) 別是前期資產(chǎn)識(shí)別的補(bǔ)充與增加；（2）威脅評(píng)估：真實(shí)環(huán)境中的威脅分析，應(yīng)全面地評(píng)估威脅的可能性和影 響程度。對(duì)非故意威脅產(chǎn)生安全事件的評(píng)估可以參照事故發(fā)生率；對(duì)故意威脅主 要由評(píng)估人員就威脅的各個(gè)影響因素做出專業(yè)判斷；同時(shí)考慮已有控制措施；（3）脆弱性評(píng)估：全面的脆弱性評(píng)估。包括運(yùn)行環(huán)境下物理、網(wǎng)絡(luò)、系統(tǒng)、 應(yīng)用、安全保障設(shè)備、管理的脆弱性。對(duì)于技術(shù)的脆弱性評(píng)估采取核查、掃描、 案例驗(yàn)證、滲透性測(cè)試的方式驗(yàn)證脆弱性；對(duì)安全保障設(shè)備脆弱性評(píng)估時(shí)

3、考慮安 全功能的實(shí)現(xiàn)情況和安全措施本身的脆弱性。對(duì)于管理脆弱性采取文檔、記錄核 查進(jìn)行驗(yàn)證；（4）風(fēng)險(xiǎn)計(jì)算：根據(jù)相關(guān)標(biāo)準(zhǔn)，對(duì)主要資產(chǎn)的風(fēng)險(xiǎn)進(jìn)行定性或定量的風(fēng)險(xiǎn) 分析，描述不同資產(chǎn)的風(fēng)險(xiǎn)高低狀況。安全加固安全加固是指對(duì)在風(fēng)險(xiǎn)評(píng)估中發(fā)現(xiàn)的系統(tǒng)安全風(fēng)險(xiǎn)進(jìn)行處理，按照級(jí)別不同， 應(yīng)該在相應(yīng)時(shí)間內(nèi)完成。安全加固的內(nèi)容主要包括：（1）日常安全加固工作，主要是根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果進(jìn)行系統(tǒng)安全調(diào)優(yōu)服務(wù)， 根據(jù)系統(tǒng)運(yùn)行需要適時(shí)調(diào)整各類設(shè)備及系統(tǒng)配置、合理規(guī)劃系統(tǒng)資源、消除系統(tǒng) 漏洞，提高系統(tǒng)穩(wěn)定性和可靠性；（2）主動(dòng)安全加固，在未出現(xiàn)安全事故之前就對(duì)已經(jīng)通報(bào)或者暴露出來(lái)的 軟件漏洞或最新病毒庫(kù)更新，就主動(dòng)進(jìn)計(jì)劃的升

4、級(jí)和改進(jìn)，從而避免出現(xiàn)安全事 故。具體加固內(nèi)容包括但不限于：帳戶策略、帳戶鎖定策略、審核策略、NTFS、 用戶權(quán)限分配、系統(tǒng)服務(wù)策略、補(bǔ)丁管理、事件日志、應(yīng)用軟件的更新等。應(yīng)急響應(yīng)應(yīng)急狀態(tài)的安全值守、響應(yīng)工作，主要是系統(tǒng)應(yīng)急響應(yīng)、重大安全故障處理， 確保系統(tǒng)出現(xiàn)安全事件時(shí)快速反應(yīng)、及時(shí)處理，降低系統(tǒng)安全問(wèn)題對(duì)XX局內(nèi)工 作的影響。安全巡檢安全巡檢主要是指深入現(xiàn)場(chǎng)，了解情況：質(zhì)檢服務(wù)內(nèi)容中的各類安全設(shè)備， 了解安全設(shè)備運(yùn)行情況，仔細(xì)觀察各個(gè)安全節(jié)點(diǎn)的可靠性，并綜合安全巡檢情況， 定制安全策略。對(duì)服務(wù)內(nèi)容進(jìn)行監(jiān)控，在安全環(huán)境產(chǎn)生變化時(shí)，及時(shí)更新安全策略，在現(xiàn)有 設(shè)備和網(wǎng)絡(luò)情況有改變的時(shí)候，快速制定

5、，針對(duì)更新后設(shè)備環(huán)境的安全策略，并 實(shí)施部署。避免因設(shè)備變更而帶來(lái)的安全風(fēng)險(xiǎn)。安全通告定期安全通告，在互聯(lián)網(wǎng)上出現(xiàn)新型病毒或者新出現(xiàn)漏洞并且部分修補(bǔ)的情 況下，制作安全通告及時(shí)告知相關(guān)運(yùn)維人員，增強(qiáng)對(duì)于新型病毒和漏洞的防御力。安全培訓(xùn)I根據(jù)駐地需要，組織開展涉及漏洞掃描、滲透性測(cè)試、安全配置、安全意識(shí) 和法律法規(guī)等信息安全相關(guān)培訓(xùn)。1.1.4服務(wù)要求及交付物安全運(yùn)維管理檢查點(diǎn)檢查要求交付物日常維護(hù)核心系統(tǒng)及關(guān)鍵服務(wù)器定義需對(duì)關(guān)鍵系統(tǒng)和服務(wù)器有清晰的定義（如DNS/DHCP、防病毒等影響全網(wǎng)層面的服務(wù)器、承 載重要業(yè)務(wù)或包含敏感信息的系統(tǒng)等）核心業(yè)務(wù)、關(guān)鍵服務(wù)器列表應(yīng)急與演練信息化系統(tǒng)和關(guān)鍵服務(wù)

6、器需有詳盡故障應(yīng)急預(yù)案應(yīng)急預(yù)案應(yīng)定期進(jìn)行相關(guān)應(yīng)急演練，并形成演練報(bào)告，保 證每年所有的平臺(tái)和關(guān)鍵服務(wù)器都至少進(jìn)行次 演練應(yīng)急演練報(bào)告根據(jù)應(yīng)急演練結(jié)果更新應(yīng)急預(yù)案，并保留更新記應(yīng)急預(yù)案更新記錄，記錄至少保留3年錄，預(yù)案版本記錄備份管理系統(tǒng)所涉及不同層面（如系統(tǒng)的重要性、操作系 統(tǒng)/數(shù)據(jù)庫(kù)）應(yīng)當(dāng)制定數(shù)據(jù)的備份恢復(fù)以及備份 介質(zhì)管理制度備份管理制度，包 括備份策略管理制 度與備份介質(zhì)管理 制度系統(tǒng)所涉及不同層面應(yīng)根據(jù)業(yè)務(wù)要求制定數(shù)據(jù)的 本地和異地備份（存放）策略備份管理制度，包 括備份策略管理制 度與備份介質(zhì)管理 制度相關(guān)人員對(duì)本地和異地備份策略的結(jié)果進(jìn)行每季度審核策略審核表，加入備份管理制度備份的

7、數(shù)據(jù)進(jìn)行恢復(fù)性測(cè)試，確保數(shù)據(jù)的可用性，每年不少于一次備份恢復(fù)應(yīng)急演練記錄相關(guān)人員對(duì)備份介質(zhì)的更換記錄進(jìn)行每半年審核備份介質(zhì)更換記錄 表，加入備份管理制度相關(guān)人員對(duì)備份介質(zhì)的銷毀記錄進(jìn)行每半年審核備份介質(zhì)銷毀記錄 表，加入備份管理制度故障管理各地市需制定相應(yīng)的園區(qū)信息化系統(tǒng)及服務(wù)器故障處理流程故障處理流程系統(tǒng)中發(fā)現(xiàn)的異常情況由系統(tǒng)維護(hù)人員根據(jù)相關(guān)故障處理流程流程在規(guī)定時(shí)間內(nèi)處理故障處理完成后必須留有相應(yīng)的故障處理記錄故障處理報(bào)告上線管理為保障設(shè)備接入網(wǎng)絡(luò)的安全性，設(shè)備上線前必須 安裝防病毒系統(tǒng)及更新操作系統(tǒng)補(bǔ)丁，并對(duì)設(shè)備 進(jìn)行進(jìn)行安全掃描評(píng)估，針對(duì)安全漏洞進(jìn)行安全 加固企業(yè)網(wǎng)接入管理辦法、接入記

8、錄為避免系統(tǒng)上線對(duì)其它系統(tǒng)和設(shè)備造成影響，發(fā) 布前必須對(duì)系統(tǒng)應(yīng)用站點(diǎn)、數(shù)據(jù)庫(kù)、后臺(tái)服務(wù)、 網(wǎng)絡(luò)端口進(jìn)行安全評(píng)估。系統(tǒng)投入正式運(yùn)營(yíng)前必 須在測(cè)試環(huán)境中對(duì)系統(tǒng)進(jìn)行模擬運(yùn)行周以上應(yīng)用系統(tǒng)接入申請(qǐng)流程、接入記錄系統(tǒng)上線之后如需對(duì)系統(tǒng)進(jìn)行功能更新，必須由 系統(tǒng)管理員或系統(tǒng)管理員指定專門維護(hù)人員進(jìn)行 更新操作，嚴(yán)格按照公司安全管理規(guī)范執(zhí)行1、應(yīng)用系統(tǒng)更新申請(qǐng)流程2、更新記錄Web應(yīng)用應(yīng)根據(jù)業(yè)務(wù)需求與安全設(shè)計(jì)原則進(jìn)行安 全編碼，合理劃分帳號(hào)權(quán)限，確保用戶帳號(hào)密碼 安全，加強(qiáng)敏感數(shù)據(jù)安全保護(hù)，提供詳細(xì)的日志1、根據(jù)規(guī)范對(duì)開發(fā)規(guī)范進(jìn)行修正，用戶名密碼的管理 要求、敏感數(shù)據(jù)的 管理要求、系統(tǒng)日 志的開發(fā)要求2、現(xiàn)

9、有應(yīng)用的安全檢查定期進(jìn)行服務(wù)器漏洞掃描，并根據(jù)漏洞掃描報(bào)告 封堵高危漏洞，每季度至少對(duì)所有服務(wù)器掃描一掃描記錄與掃描結(jié)果報(bào)告漏洞與防病毒核心系統(tǒng)和關(guān)鍵服務(wù)器日志審計(jì)需建立統(tǒng) 的WSUS服務(wù)器，并每季度對(duì)關(guān)鍵服務(wù)器進(jìn)行高危漏洞升級(jí)，并留有升級(jí)記錄1、WSUS服務(wù)器中 的關(guān)鍵更新的補(bǔ)丁 清單，每個(gè)月1份2、應(yīng)用服務(wù)器端 每次更新的補(bǔ)丁清 單任何終端必須安裝正版防病毒軟件，且保證90% 以上病毒庫(kù)最新（五日以內(nèi)）防病毒檢查記錄每周檢查防病毒軟件隔離區(qū)，排除病毒威脅防病毒檢查記錄在操作系統(tǒng)層、數(shù)據(jù)庫(kù)層、應(yīng)用層建立日志記錄 功能，日志記錄中保存1年的內(nèi)容，日志安全記 錄能夠關(guān)聯(lián)操作用戶的身份1、操作系統(tǒng)

10、層日志策略2、數(shù)據(jù)庫(kù)日志策略3、應(yīng)用層日志要求加入開發(fā)規(guī)范中操作系統(tǒng)日志中需記錄“賬戶管理”“登錄事 件”“策略更改”“系統(tǒng)事件”等內(nèi)容操作系統(tǒng)層日志策 略操作行為記錄需進(jìn)行定期審計(jì)數(shù)據(jù)庫(kù)層日志需記錄每次數(shù)據(jù)庫(kù)操作的內(nèi)容數(shù)據(jù)庫(kù)日志策略次訪控制應(yīng)用層日志需記錄每次應(yīng)用系統(tǒng)出錯(cuò)的信息應(yīng)用層日志要求加入開發(fā)規(guī)范中檢查關(guān)鍵錯(cuò)誤日志、應(yīng)用程序日志中的關(guān)鍵錯(cuò)誤記錄，保證日志審核正常關(guān)鍵訪問(wèn)與操作應(yīng)立即啟用日志記錄功能，避免 因日志記錄不全，造成入侵后無(wú)法被追蹤的問(wèn)題信息發(fā)布管理每天檢查平臺(tái)短信發(fā)送、接收的可用性每天短信檢查記錄短信必須設(shè)置關(guān)鍵字過(guò)濾，每個(gè)月進(jìn)行關(guān)鍵字更新，并檢查其有效性短信關(guān)鍵字更新記錄，有效性檢查記錄信息防泄密需對(duì)所有信息化系統(tǒng)、應(yīng)用系統(tǒng)的核心信息進(jìn)行 清晰的界定，核心信息包括但不限于涉及客戶資 料、客戶賬戶信息、客戶密碼、操作記錄應(yīng)用系統(tǒng)-核心信息矩陣圖需對(duì)核心信息設(shè)定保密措施應(yīng)用系統(tǒng)核心信息管理制度對(duì)核心信息的操作進(jìn)行特