2024信息安全測(cè)評(píng)服務(wù)

信息安全測(cè)評(píng)服務(wù)

I

目錄

TOC\o"1-3"\h\u

26812

1范圍

1

16299

2信息安全風(fēng)險(xiǎn)評(píng)估

1

15814

2.1基本要求

1

30575

2.2漏洞掃描

1

14454

2.3操作系統(tǒng)核查

1

19848

2.4數(shù)據(jù)庫(kù)核查

1

24396

2.5網(wǎng)絡(luò)及安全設(shè)備核查

1

27333

2.6病毒木馬檢查

1

11006

2.7滲透測(cè)試

1

5018

3信息安全加固

1

10846

3.1基本要求

1

20220

3.2網(wǎng)絡(luò)設(shè)備安全加固

2

22096

3.3網(wǎng)絡(luò)安全設(shè)備安全加固

2

4345

3.4數(shù)據(jù)庫(kù)安全加固

2

7809

3.5清除病毒木馬

2

28438

4信息安全規(guī)劃服務(wù)

2

15547

4.1基本要求

2

21706

4.2物理安全規(guī)劃

2

3092

4.3主機(jī)安全規(guī)劃

2

8322

4.4網(wǎng)絡(luò)安全規(guī)劃

2

19011

4.5應(yīng)用安全規(guī)劃

2

5652

4.6數(shù)據(jù)安全規(guī)劃

2

7385

4.7安全管理體系規(guī)劃

2

14737

5日常安全運(yùn)維服務(wù)

3

16707

5.1安全監(jiān)控和防護(hù)服務(wù)

3

32207

5.1.1監(jiān)控內(nèi)容

3

17841

5.1.2安全防護(hù)內(nèi)容

3

19497

5.1.3監(jiān)控與防護(hù)措施

3

23127

5.2現(xiàn)場(chǎng)值守服務(wù)

3

22334

6應(yīng)急響應(yīng)服務(wù)

3

1447

7人員培訓(xùn)

3

30909

7.1基本安全意識(shí)培訓(xùn)

3

7032

7.2數(shù)據(jù)安全管理員培訓(xùn)

3

6783

7.3網(wǎng)絡(luò)安全管理員培訓(xùn)

3

5680

7.4安全管理知識(shí)培訓(xùn)

4

28028

8安全保密

4

PAGE

1

信息安全測(cè)評(píng)服務(wù)

范圍

本標(biāo)準(zhǔn)規(guī)定了信息安全測(cè)評(píng)服務(wù)的信息安全風(fēng)險(xiǎn)評(píng)估、信息安全加固、信息安全咨詢服務(wù)、日常安全運(yùn)維服務(wù)、應(yīng)急響應(yīng)服務(wù)、人員培訓(xùn)。

本標(biāo)準(zhǔn)適用于本公司的信息安全測(cè)評(píng)服務(wù)，包括信息安全風(fēng)險(xiǎn)評(píng)估、信息安全加固、信息安全咨詢服務(wù)、日常安全運(yùn)維服務(wù)、應(yīng)急響應(yīng)服務(wù)、人員培訓(xùn)等內(nèi)容。

信息安全風(fēng)險(xiǎn)評(píng)估

基本要求

對(duì)客戶單位所有信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估，應(yīng)每半年評(píng)估一次，評(píng)估后出具詳細(xì)的評(píng)估報(bào)告，評(píng)估范

圍為所有業(yè)務(wù)系統(tǒng)及相關(guān)的網(wǎng)絡(luò)安全資產(chǎn)。

漏洞掃描

通過(guò)工具對(duì)網(wǎng)絡(luò)系統(tǒng)內(nèi)的操作系統(tǒng)、數(shù)據(jù)庫(kù)和網(wǎng)站程序進(jìn)行自動(dòng)化掃描，發(fā)現(xiàn)各種可能遭到惡意利

用的各種隱患，包括：端口掃描，漏洞掃描，密碼破解，攻擊測(cè)試等。

操作系統(tǒng)核查

核查操作系統(tǒng)補(bǔ)丁安裝、進(jìn)程、端口、服務(wù)、用戶、策略、權(quán)限、審計(jì)、內(nèi)核、惡意程序等內(nèi)容，

對(duì)用戶當(dāng)前采取的風(fēng)險(xiǎn)控制措施和管理手段的效果進(jìn)行評(píng)估，在針對(duì)性、有效性、集成特性、標(biāo)準(zhǔn)特性、可管理特性、可規(guī)劃特性等六個(gè)方面進(jìn)行評(píng)估。

數(shù)據(jù)庫(kù)核查

應(yīng)對(duì)數(shù)據(jù)庫(kù)管理系統(tǒng)的權(quán)限、口令、數(shù)據(jù)備份與恢復(fù)等方面進(jìn)行核查。

網(wǎng)絡(luò)及安全設(shè)備核查

針對(duì)網(wǎng)絡(luò)及安全設(shè)備的訪問(wèn)控制策略進(jìn)行檢查，確定是否開放了網(wǎng)站服務(wù)以外的多余服務(wù)。

病毒木馬檢查

通過(guò)多種方式對(duì)機(jī)器內(nèi)異常進(jìn)程、端口進(jìn)行分析，判斷是否是木馬或病毒，研究相關(guān)行為，并進(jìn)行

查殺。

滲透測(cè)試

模擬各種攻擊手段，包括弱口令、本地權(quán)限提升、遠(yuǎn)程溢出、數(shù)據(jù)庫(kù)查詢等，對(duì)評(píng)估過(guò)程中發(fā)現(xiàn)的

漏洞安全隱患進(jìn)行攻擊測(cè)試，評(píng)估其危害程度。測(cè)評(píng)次數(shù)不低于兩次，在有重大安全漏洞或隱患出現(xiàn)時(shí)，及時(shí)采取有針對(duì)性的滲透測(cè)試。

信息安全加固

基本要求

針對(duì)評(píng)估的結(jié)果，協(xié)助客戶單位對(duì)應(yīng)用系統(tǒng)中存在的安全隱患進(jìn)行安全加固。加固內(nèi)容包括：操作系統(tǒng)安全加固；

基本安全配置檢測(cè)和優(yōu)化；密碼系統(tǒng)安全檢測(cè)和增強(qiáng)；系統(tǒng)后門檢測(cè)；

提供訪問(wèn)控制策略和安全工具；增強(qiáng)遠(yuǎn)程維護(hù)的安全性；

文件系統(tǒng)完整性審計(jì)；增強(qiáng)的系統(tǒng)日志分析；系統(tǒng)升級(jí)與補(bǔ)丁安裝。

網(wǎng)絡(luò)設(shè)備安全加固

對(duì)網(wǎng)絡(luò)設(shè)備應(yīng)進(jìn)行嚴(yán)格的防控控制措施和安全審計(jì)，合理劃分vlan，減少不必要的IOS服務(wù)或潛在

的安全問(wèn)題，確保路由安全，抵抗拒絕服務(wù)的網(wǎng)絡(luò)攻擊和流量控制及廣播限制。

網(wǎng)絡(luò)安全設(shè)備安全加固

應(yīng)合理部署防火墻的位置、進(jìn)行必要的區(qū)域劃分，對(duì)IDS、漏洞掃描系統(tǒng)、VPN網(wǎng)關(guān)進(jìn)行部署，加固

安全設(shè)備的安全防護(hù)措施配置、安全設(shè)備日志管理策略、安全設(shè)備本身安全配置。

數(shù)據(jù)庫(kù)安全加固

應(yīng)對(duì)基本安全配置進(jìn)行檢測(cè)和優(yōu)化，檢測(cè)和增強(qiáng)密碼系統(tǒng)的安全，增強(qiáng)遠(yuǎn)程維護(hù)的安全性，審計(jì)文

件系統(tǒng)的完整性，增強(qiáng)系統(tǒng)日志分析，升級(jí)系統(tǒng)與安裝補(bǔ)丁。

清除病毒木馬

每次評(píng)估后，應(yīng)對(duì)存在的安全隱患協(xié)助加固。整體加固完成后由客戶單位確認(rèn)加固效果，如出現(xiàn)重

大安全情況，需要對(duì)業(yè)務(wù)系統(tǒng)的源代碼進(jìn)行安全審查。

信息安全規(guī)劃服務(wù)

基本要求

為確?？蛻魡挝恍畔⑾到y(tǒng)安全，協(xié)助客戶單位對(duì)所有信息系統(tǒng)進(jìn)行整體安全規(guī)劃，規(guī)劃內(nèi)容主要包

括信息安全總體架構(gòu)，信息安全技術(shù)體系和信息安全管理體系建設(shè)，其中信息安全技術(shù)體系主要包括物理安全、主機(jī)安全、網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全、技術(shù)安全基線等規(guī)劃。

物理安全規(guī)劃

以信息系統(tǒng)安全等級(jí)保護(hù)體系、ISO27001信息安全管理體系和國(guó)家制定頒布的機(jī)房相關(guān)標(biāo)準(zhǔn)規(guī)范

為參考，通過(guò)對(duì)機(jī)房物理環(huán)境安全評(píng)估和機(jī)房管理現(xiàn)狀調(diào)研，制定機(jī)房安全規(guī)劃方案，提高機(jī)房安全運(yùn)行水平。

主機(jī)安全規(guī)劃

通過(guò)對(duì)信息系統(tǒng)的主機(jī)進(jìn)行安全評(píng)估和管理現(xiàn)狀調(diào)研，制定主機(jī)安全規(guī)劃方案，并指導(dǎo)進(jìn)行主機(jī)安

全管理改進(jìn)工作，切實(shí)保障信息系統(tǒng)的安全運(yùn)行。通過(guò)有針對(duì)性的安全規(guī)劃和加固方案，對(duì)主機(jī)系統(tǒng)進(jìn)行深度防御，有效保護(hù)整體信息系統(tǒng)的安全，切實(shí)提升信息系統(tǒng)的安全防御水平。

網(wǎng)絡(luò)安全規(guī)劃

通過(guò)對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全評(píng)估和管理現(xiàn)狀調(diào)研，制定網(wǎng)絡(luò)安全規(guī)劃方案，并指導(dǎo)進(jìn)行網(wǎng)絡(luò)安全加改

進(jìn)工作，切實(shí)保障網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行。

應(yīng)用安全規(guī)劃

在對(duì)應(yīng)用系統(tǒng)的全生命周期進(jìn)行安全規(guī)劃和管理，包括應(yīng)用系統(tǒng)的需求分析、設(shè)計(jì)、實(shí)現(xiàn)及測(cè)試、

運(yùn)行和維護(hù)等階段，要確保信息系統(tǒng)安全性要求在此階段的各個(gè)具體工作過(guò)程中的貫徹和實(shí)施。開發(fā)階段的安全規(guī)劃可以保證交付具有高安全特性的應(yīng)用系統(tǒng)，為將來(lái)應(yīng)用系統(tǒng)的安全投產(chǎn)運(yùn)行奠定堅(jiān)實(shí)的基礎(chǔ)。運(yùn)行維護(hù)階段的安全規(guī)劃可以及時(shí)發(fā)現(xiàn)應(yīng)用系統(tǒng)存在的安全問(wèn)題，保證系統(tǒng)持續(xù)運(yùn)行在安全的狀態(tài)之下。應(yīng)用系統(tǒng)安全加固是指對(duì)在系統(tǒng)運(yùn)行中發(fā)現(xiàn)的安全隱患進(jìn)行處置，包括進(jìn)行補(bǔ)丁升級(jí)、配置參數(shù)和配置文件調(diào)整等等。應(yīng)用系統(tǒng)安全規(guī)劃與加固服務(wù)包括對(duì)應(yīng)用系統(tǒng)本身及相關(guān)的數(shù)據(jù)庫(kù)和中間件的安全規(guī)劃與加固工作。

數(shù)據(jù)安全規(guī)劃

通過(guò)對(duì)信息系統(tǒng)數(shù)據(jù)進(jìn)行技術(shù)檢測(cè)和管理現(xiàn)狀調(diào)研，制定包含數(shù)據(jù)備份、數(shù)據(jù)加密和數(shù)據(jù)分級(jí)的解

決方案。

安全管理體系規(guī)劃

結(jié)合客戶單位信息系統(tǒng)安全需要，建立一套符合信息系統(tǒng)安全等級(jí)保護(hù)要求的安全管理體系，主要內(nèi)容包括安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等內(nèi)容。

日常安全運(yùn)維服務(wù)

安全監(jiān)控和防護(hù)服務(wù)

對(duì)客戶單位所有網(wǎng)站提供7*24小時(shí)的實(shí)時(shí)安全監(jiān)控和防護(hù)服務(wù)。通過(guò)對(duì)日常安全監(jiān)控和防護(hù)服務(wù)及

訪問(wèn)日志的分析及時(shí)發(fā)現(xiàn)客戶單位信息門戶網(wǎng)站出現(xiàn)的安全事件，并第一時(shí)間進(jìn)行應(yīng)急處理、提出安全加固建議。

監(jiān)控內(nèi)容

遠(yuǎn)程網(wǎng)頁(yè)掛馬監(jiān)測(cè)、遠(yuǎn)程網(wǎng)頁(yè)篡改事件監(jiān)測(cè)、網(wǎng)頁(yè)敏感信息事件監(jiān)測(cè)、Web漏洞定期掃描、網(wǎng)站運(yùn)行平穩(wěn)度監(jiān)測(cè)、網(wǎng)站域名解析劫持監(jiān)測(cè)、實(shí)時(shí)告警、網(wǎng)站安全趨勢(shì)分析。

安全防護(hù)內(nèi)容

web攻擊防護(hù)、CC攻擊防護(hù)、DDOS攻擊防護(hù)、網(wǎng)絡(luò)防篡改、CDN加速等。

監(jiān)控與防護(hù)措施

如遇到重大的信息安全事件預(yù)兆時(shí)，需提供有針對(duì)性的應(yīng)急方案，并對(duì)重點(diǎn)安全事件進(jìn)行集中監(jiān)控和防護(hù)，具體措施如下：

每月提交監(jiān)控和防護(hù)月報(bào)表，每季度提供監(jiān)控和防護(hù)情況季度總結(jié)報(bào)表；

在服務(wù)期內(nèi)對(duì)所有的發(fā)現(xiàn)的事件，我方提供確認(rèn)機(jī)制（如郵件或者打印簽字方式）；

對(duì)監(jiān)控和防護(hù)到的安全事件，根據(jù)事件危害等級(jí)的不同，可以分為普通事件和嚴(yán)重安全事件。普通事件每周匯報(bào)總結(jié)即可，嚴(yán)重安全事件，立即通知并解決；

在監(jiān)控和防護(hù)到安全事件后，分析事件原因，并提供解決方案。網(wǎng)絡(luò)、系統(tǒng)層的安全問(wèn)題，我方有義務(wù)解決；應(yīng)用層面的安全問(wèn)題，我方可協(xié)助第三方（系統(tǒng)集成商或者開發(fā)商）解決；

在服務(wù)期內(nèi)，對(duì)于我方升級(jí)的監(jiān)控和防護(hù)平臺(tái)、功能模塊均以免費(fèi)使用。

現(xiàn)場(chǎng)值守服務(wù)

對(duì)客戶單位信息系統(tǒng)提供5*8小時(shí)的現(xiàn)場(chǎng)值守服務(wù)，安排專業(yè)的技術(shù)工程師進(jìn)行現(xiàn)場(chǎng)值守，工作內(nèi)容主要包括網(wǎng)絡(luò)安全維護(hù)服務(wù)、安全狀態(tài)監(jiān)控服務(wù)、日志收集與分析和故障診斷。網(wǎng)絡(luò)安全維護(hù)服務(wù)主要包括信息資產(chǎn)統(tǒng)計(jì)、網(wǎng)絡(luò)設(shè)備安全維護(hù)、安全設(shè)備維護(hù)、服務(wù)器安全維護(hù)、存儲(chǔ)設(shè)備維護(hù)、系統(tǒng)應(yīng)用軟件安全建議和數(shù)據(jù)庫(kù)安全維護(hù)等。安全狀態(tài)監(jiān)控主要包括網(wǎng)絡(luò)及安全設(shè)備監(jiān)控、服務(wù)器系統(tǒng)監(jiān)控、機(jī)房物理環(huán)境監(jiān)控、病毒監(jiān)測(cè)等。安全日志收集與分析主要包括網(wǎng)絡(luò)及安全設(shè)備日志，網(wǎng)絡(luò)及安全設(shè)備日志收集與分析和服務(wù)器、操作系統(tǒng)等日志，服務(wù)器、操作系統(tǒng)及應(yīng)用系統(tǒng)日志收集與分析，網(wǎng)絡(luò)應(yīng)用日志收集與分析等。

應(yīng)急響應(yīng)服務(wù)

當(dāng)出現(xiàn)信息安全事件后，為迅速確定事件原因，縮小事件影響，遏制事態(tài)發(fā)展，快速恢復(fù)系統(tǒng)運(yùn)維，保障2小時(shí)內(nèi)安全應(yīng)急人員到場(chǎng)，為客戶單位提供應(yīng)急響應(yīng)服務(wù)，并提交應(yīng)急響應(yīng)服務(wù)報(bào)告。

人員培訓(xùn)

為提升客戶單位從業(yè)人員的專業(yè)技能，為客戶單位人員提供專業(yè)培訓(xùn)，每部分的培訓(xùn)不少于4課時(shí)。

基本安全意識(shí)培