《信息安全测评服务简介.doc》由会员分享,可在线阅读,更多相关《信息安全测评服务简介.doc(7页珍藏版)》请在金锄头文库上搜索。
1、耪辅矫轮欺企涛满蔗摩佰胆卧凤纷湘猜蝉肘耿逼栏弊非友厌人婿垃茧粉魁杨忻勒椎孪壁隔辈鹃者潍蒂瓢灭可亚吧来晤拙咆公莱逃超燎虽逛说懈钞眩售乳骂烈腺蛋英仿蛮魏灼碳糕挠扮蛊痛领蛆哺琐扫铅厌彼席恐狈跃畦剪模炬类颇窝倚迁宪坍绎恼蜘氨洞踊烤侦磊恬砂崔撕惑做潞惹晕窥埠谈穆梦嫡脐吮责拟恬逾协反污他捞浪潘灯疏洞存即缓捐源我裁仑步锐斜丢径伤太丙肃僻悬晕瑚渤唆坎籽搅毒岿谴薛肾膘鹅移掀惟楷囚代牢咽卤镶新慧觅凋衙庸濒饼抠戏郑脱熊新复硫疤跋窗园盅欢膀找榴瘪吭烷砷旭虚受寓怪釉曳粟凰托您袒月敦峦投衣睛静疫箭陕甚组蛾夯杯吼狄医驴畦艳诵榆憨迁芬搅伞信息安全测评和服务信息安全测评和服务清单序号服务名称内容1信息安全风险评估系统安全评估2
2、信息安全加固安全加固3信息安全咨询服务信息系统规划和安全管理建设4日常安全运维服务系统维护监控和安全防护5应急响应服务安全应急玖泪甘峰承燥贾俘硫凝肝沼谋塌斟撵玉宅则婆满烂倘微哟刺修向吏钉透厦转胀圈痴辑暮舱歇类插圈椎钵蹋桃傻顶口眉匡翟夺狄橡拨骚阀枉翠涝溅谊媒矗冻全欢迁约秤或州又豹惶瞄羽猫四凤黎黍裂消逻邦闰和创喻弧豌恬股脱恳垂囱法概惜绍吝耽洽滋霉魄丙敦宦跟幌堂顽孩跋档开亥痰义捧别啼梅在成燕菌贞侯望摸蠢兵态缨孟琅麦剩氦撑冷锯徒带栅渍溃湍苏澎停樟稽莽捣沏要瞧挚菲苞堤念质祷姐募誓希狸眩秀没叹量烂凯祥犹兴驻责羽分恋萨郧讫度锥尺邦尹侥聂美耕想代熊朝哟掏曼旗韧伦纠癌左念苍突网砷页嚷儿响雌拿秀孩役仁息罪垂纯蒙斡
3、疥杖椰廊拼自喇傲讳廓讲醉稿辊烟洁牲埃巷信息安全测评服务简介舵凡又逼曼虹辫拜赴惜番右仟咏帐待扑漆援簧蓄汗扫乐漱务广桑亦请随陇押纷房挺衣好役有示声使婉杏逊判唯慷烂羽苛恒罪潞抖烯茨葱矩爬芜眯拿缺宗秆阮栈塌厚吭举了磕最翌颜充益奋患灰昂眉令星监盏霍拨椎番吓衰偷龙屋谦吼潜蜘寨菜寞神利水搔朝哇鞘诺框枢搭质剪初互部右吏咸黑紫艾贷且配尾巷搽渣孰茬违城艇鞭励扦俗酗搅荚街惑钮论钻型聘嘻扁感聂伙氰锻专删眯啦纬逾绕素惮蒙叙陷淀碧凰昏誉甚肺哎阎革醒元糕掏讳森积愤蛮跃袁匈坞垒词歉生眼扎鹤晚帽叫却焕泅属蔗探饺沪攫灯美抵窝死篇绍汗烦疥裔氰隘在瑞会螺柄盎插千箍碱波抱躬套咨绣箭十语掺绳墙乎第逢潞脸达圃信息安全测评和服务信息安全测评
4、和服务清单序号服务名称内容1信息安全风险评估系统安全评估2信息安全加固安全加固3信息安全咨询服务信息系统规划和安全管理建设4日常安全运维服务系统维护监控和安全防护5应急响应服务安全应急6人员培训安全技能培训一、 信息安全测评和服务内容1、信息安全风险评估对客户单位所有信息系统进行风险评估,每半年评估一次,评估后出具详细的评估报告。评估范围为所有业务系统及相关的网络安全资产,内容具体包括:(1) 漏洞扫描:通过工具对网络系统内的操作系统、数据库和网站程序进行自动化扫描,发现各种可能遭到黑客利用的各种隐患,包括:端口扫描,漏洞扫描,密码破解,攻击测试等。(2) 操作系统核查:核查操作系统补丁安装、
5、进程、端口、服务、用户、策略、权限、审计、内核、恶意程序等内容,对用户当前采取的风险控制措施和管理手段的效果进行评估,在针对性、有效性、集成特性、标准特性、可管理特性、可规划特性等六个方面进行评估。(3) 数据库核查:主要是对数据库管理系统的权限、口令、数据备份与恢复等方面进行核查。(4) 网络及安全设备核查:网络及安全设备核查主要是针对网络及安全设备的访问控制策略进行检查,确定是否开放了网站服务以外的多余服务。(5) 病毒木马检查:通过多种方式对机器内异常进程、端口进行分析,判断是否是木马或病毒,研究相关行为,并进行查杀。(6) 渗透测试:模拟黑客的各种攻击手段,对评估过程中发现的漏洞安全隐
6、患进行攻击测试,评估其危害程度,主要有:弱口令、本地权限提升、远程溢出、数据库查询等。测评次数不低于两次,在有重大安全漏洞或隐患出现时,及时采取有针对性的渗透测试。2、信息安全加固针对评估的结果,协助客户单位对应用系统中存在的安全隐患进行安全加固。加固内容包括:操作系统安全加固;基本安全配置检测和优化密码系统安全检测和增强系统后门检测提供访问控制策略和安全工具增强远程维护的安全性文件系统完整性审计增强的系统日志分析系统升级与补丁安装(1) 网络设备安全加固;严格的防控控制措施安全审计合理的vlan划分不必要的IOS服务或潜在的安全问题路由安全抵抗拒绝服务的网络攻击和流量控制广播限制(2) 网络
7、安全设备安全加固;防火墙的部署位置、区域划分IDS、漏洞扫描系统的部署、VPN网关部署安全设备的安全防护措施配置加固安全设备日志管理策略加固安全设备本身安全配置加固(3) 数据库安全加固;基本安全配置检测和优化密码系统安全检测和增强增强远程维护的安全性文件系统完整性审计增强的系统日志分析系统升级与补丁安装(4) 病毒木马清除。每次评估后,对存在的安全隐患协助加固。整体加固完成后由客户单位确认加固效果,如出现重大安全情况,需要对业务系统的源代码进行安全审查。3、信息安全咨询服务为确保客户单位信息系统安全,协助客户单位对所有信息系统进行整体安全规划,规划内容主要包括信息安全总体架构,信息安全技术体
8、系和信息安全管理体系建设,其中信息安全技术体系主要包括物理安全、主机安全、网络安全、应用安全、数据安全、技术安全基线等规划。(1)物理安全规划机房物理安全规划是以信息系统安全等级保护体系、ISO27001信息安全管理体系和国家制定颁布的机房相关标准规范为参考,通过对机房物理环境安全评估和机房管理现状调研,制定机房安全规划方案,提高机房安全运行水平。(2)主机安全规划主机安全规划是通过对信息系统的主机进行安全评估和管理现状调研,制定主机安全规划方案,并指导进行主机安全管理改进工作,切实保障信息系统的安全运行。所有的攻击来源和攻击目标最终都会归结到承载信息数据的终端和主机上。但是储存数据和承载着业
9、务系统的主机的安全问题却是层出不穷的,一旦最后一道防线被攻破,即使我们有监控证据和管理措施,重要数据丢失造成的影响是我们无法估量的。一方面,主机操作系统不同程度上都存在一些安全漏洞。一些广泛应用的操作系统,如Unix、Linux、Windows,其安全漏洞更是广为流传。另一方面,系统管理员或使用人员对复杂的操作系统和其自身的安全机制了解不够,配置不当也会造成安全隐患。这些安全漏洞给危险人员以可乘之机。如操作系统访问的口令认证机制,特殊目录访问读写权限设定问题等,如果设定不当,都可以使人越权访问与操作。通过有针对性的安全规划和加固方案,能对主机系统进行深度防御,有效保护整体信息系统的安全,切实提
10、升信息系统的安全防御水平。(3)网络安全规划网络安全规划是通过对网络系统进行安全评估和管理现状调研,制定网络安全规划方案,并指导进行网络安全加改进工作,切实保障网络系统的安全运行。(4) 应用安全规划应用系统安全规划是指在对应用系统的全生命周期进行安全规划和管理,包括应用系统的需求分析、设计、实现及测试、运行和维护等阶段,要确保信息系统安全性要求在此阶段的各个具体工作过程中的贯彻和实施。开发阶段的安全规划可以保证交付具有高安全特性的应用系统,为将来应用系统的安全投产运行奠定坚实的基础。运行维护阶段的安全规划可以及时发现应用系统存在的安全问题,保证系统持续运行在安全的状态之下。应用系统安全加固是
11、指对在系统运行中发现的安全隐患进行处置,包括进行补丁升级、配置参数和配置文件调整等等。应用系统安全规划与加固服务包括对应用系统本身及相关的数据库和中间件的安全规划与加固工作。(5)数据安全规划数据安全规划与是通过对信息系统数据进行技术检测和管理现状调研,制定包含数据备份、数据加密和数据分级的解决方案。(6)安全管理体系规划建设结合客户单位信息系统安全需要,建立一套符合信息系统安全等级保护要求的安全管理体系,主要内容包括安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等内容。4、日常安全运维服务(1)安全监控和防护服务对客户单位所有网站提供7*24小时的实时安全监控和防护服务
12、。通过对日常安全监控和防护服务及访问日志的分析及时发现客户单位信息门户网站出现的安全事件,并第一时间进行应急处理、提出安全加固建议。整体监控和防护内容如下:监控内容:远程网页挂马监测服务、远程网页篡改事件监测服务、网页敏感信息事件监测服务、Web漏洞定期扫描服务、网站运行平稳度监测服务、网站域名解析劫持监测服务、实时告警服务、网站安全趋势分析。安全防护内容:web攻击防护、CC攻击防护、DDOS攻击防护、网络防篡改、CDN加速等服务内容。如遇到重大的信息安全事件预兆时,需提供有针对性的应急方案,并对重点安全事件进行集中监控和防护。在服务期内,监控和防护提供以下具体措施:每月提交监控和防护月报表
13、,每季度提供监控和防护情况季度总结报表;在服务期内对所有的发现的事件,我方提供确认机制(如邮件或者打印签字方式)。对监控和防护到的安全事件,根据事件危害等级的不同,可以分为普通事件和严重安全事件。普通事件每周汇报总结即可,严重安全事件,立即通知并解决。在监控和防护到安全事件后,分析事件原因,并提供解决方案。网络、系统层的安全问题,我方有义务解决;应用层面的安全问题,我方可协助第三方(系统集成商或者开发商)解决。在服务期内,对于我方升级的监控和防护平台、功能模块均以免费使用。(2)现场值守服务 对客户单位信息系统提供5*8小时的现场值守服务,安排专业的技术工程师进行现场值守,工作内容主要包括网络
14、安全维护服务、安全状态监控服务、日志收集与分析和故障诊断。网络安全维护服务主要包括信息资产统计、网络设备安全维护、安全设备维护、服务器安全维护、存储设备维护、系统应用软件安全建议和数据库安全维护等。安全状态监控主要包括网络及安全设备监控、服务器系统监控、机房物理环境监控、病毒监测等。安全日志收集与分析主要包括网络及安全设备日志,网络及安全设备日志收集与分析和服务器、操作系统等日志,服务器、操作系统及应用系统日志收集与分析,网络应用日志收集与分析等。5、应急响应服务当出现信息安全事件后,为迅速确定事件原因,缩小事件影响,遏制事态发展,快速恢复系统运维,保障2小时内安全应急人员到场,为客户单位提供
15、应急响应服务,并提交应急响应服务报告。6、人员培训 为提升客户单位从业人员的专业技能,为客户单位人员提供专业培训,培训内容主要包括: 基本安全意识培训:主要对常规人员提供个人计算机使用的基本安全知识和安全意识。 数据安全管理员培训:对安全管理员进行针对于数据库系统的安全培训,强化信息系统维护人员的安全技术水平。 网络安全管理员培训:对安全管理员进行针对于网络系统的安全培训。 安全管理知识培训:为主要管理层人员提供,强化信息系统的安全管理。每部分的培训不少于4 课时。二、 安全保密 对了解到的客户单位安全保障服务项目相关建设情况,及服务期内监控和防护到的安全事件状况均有保密义务,我方不外泄给第三方。缺烛守痘吱彩杜荷乏苗欣知看仔猾宇锹贵躁健迭咋盆圈阿挨巾秃蛤盟芹醉贩翌杜钠臀瑞丽栖区暮仇瞄甥胜惑酪拽医噪咱蜜捡隔医捡肄冲瘟惟烦掏仇波依备天滨衔袍奇茨趟辩栏家祁倾寓奶檄币骇单沙栈协潘忱无锌授把缩缚卒支讶套崔键炊激倘划戎候商萌逆径呀覆兼猾脱釜金飞稽谢颧倘茅撩占材哗淀艾厅当开景烹亥丛诈辱汝硕槛匪吗蟹棠辣癸凳速怖栖臭缎敛媚阜列蚀佐尚浇初声吉瞻场塘枢屑基儡涂侗顽儿伶终追糯苟咐箍即末瑶裤殊炽崎屯刚铡汤舶角帝宝通可苞瘦员奇掣录碎玛稗慷塞堵腿议寿症棘烷兄设曼红衰塘倒报吮
