電子政務(wù)終端安全護(hù)理實(shí)施方案模板

1、電子政務(wù)終端安全護(hù)理實(shí)施方案信息安全風(fēng)險(xiǎn)評(píng)估需求方案一、項(xiàng)目背景（放進(jìn)建議）二、項(xiàng)目目標(biāo)經(jīng)過開展信息”安全風(fēng)險(xiǎn)評(píng)估”，完善安全管理機(jī)制；經(jīng)過安全服務(wù)的引入，進(jìn)一步建立健全安全管理策略 ，實(shí)現(xiàn)安全風(fēng)險(xiǎn)的可 知、可控和可管理；經(jīng)過建立信息安全風(fēng)險(xiǎn)評(píng)估機(jī)制 ，實(shí)現(xiàn)信息安 全風(fēng)險(xiǎn)的動(dòng)態(tài)跟蹤分析，為信息安全整體規(guī)劃提供科學(xué)的決策依據(jù) 進(jìn)一步加強(qiáng)網(wǎng)絡(luò)的整體安全防護(hù)能力，全面提升我信息系統(tǒng)整體安 全防范能力，極大提高網(wǎng)絡(luò)與信息安全管理水平 ；經(jīng)過深入挖掘網(wǎng) 絡(luò)與信息系統(tǒng)存在的脆弱點(diǎn)，并以業(yè)務(wù)系統(tǒng)為關(guān)鍵要素，對(duì)現(xiàn)有的 信息安全管理制度和技術(shù)措施的有效性進(jìn)行評(píng)估，不斷增強(qiáng)系統(tǒng)的網(wǎng)絡(luò)和信息系統(tǒng)抵御風(fēng)險(xiǎn)安全風(fēng)險(xiǎn)能力

2、，促進(jìn)安全管理水平的提高 增強(qiáng)信息安全風(fēng)險(xiǎn)管理意識(shí)，培養(yǎng)信息安全專業(yè)人才，為各項(xiàng)業(yè)務(wù) 提供安全可靠的支撐平臺(tái)。三、項(xiàng)目需求（一）服務(wù)要求1基本要求”安全風(fēng)險(xiǎn)評(píng)估服務(wù)”全過程要求有據(jù)可依，并在產(chǎn)品使用有據(jù)可查，并保持項(xiàng)目之后的持續(xù)改進(jìn)。針對(duì)用戶單位網(wǎng)絡(luò)中的IT設(shè)備及應(yīng)用軟件，需要有軟件產(chǎn)品識(shí)別所有設(shè)備及其安全配置，或以其它方式收集、保存設(shè)備明細(xì)及安全配置，進(jìn)行資產(chǎn)收集作為建立信息安全體系的基礎(chǔ)。安全評(píng)估的過程及結(jié)果要求經(jīng)過軟件 或其它形式進(jìn)行展示。對(duì)于風(fēng)險(xiǎn)的處理包括：協(xié)助用戶制定安全加固方案、在工程建設(shè)及日常運(yùn)維中提供安全值守、咨詢及支持服務(wù)，經(jīng)過安全產(chǎn)品解決已知的安全風(fēng)險(xiǎn)。在日常安全管理方面提

3、供 安全支持服務(wù)，并根據(jù)國(guó)家及行業(yè)標(biāo)準(zhǔn)制定信息安全管理體系，針對(duì)安全管理員提供安全培訓(xùn)，遇有可能的安全事件發(fā)生時(shí),提供應(yīng) 急的安全分析、 緊急響應(yīng)服務(wù)。2安全評(píng)估評(píng)估的范圍應(yīng)全面，涉及到網(wǎng)絡(luò)信息系統(tǒng)的各個(gè)方面 ，包括物 理環(huán)境、網(wǎng)絡(luò)結(jié)構(gòu)、 應(yīng)用系統(tǒng)、 數(shù)據(jù)庫(kù)、 服務(wù)器及網(wǎng)絡(luò)安全設(shè) 備的安全性、安全產(chǎn)品和技術(shù)的應(yīng)用狀況以及管理體系是否完善 等等；同時(shí)對(duì)管理風(fēng)險(xiǎn)、綜合安全風(fēng)險(xiǎn)以及應(yīng)用系統(tǒng)安全性進(jìn)行評(píng)估；評(píng)估采用專業(yè)工具掃描（漏洞掃描、數(shù)據(jù)庫(kù)掃描采用產(chǎn)品必 須為商業(yè)化產(chǎn)品）、人工評(píng)估、滲透測(cè)試三種相結(jié)合的方式，對(duì)各 種操作系統(tǒng)進(jìn)行評(píng)估，包括：帳戶與口令安全、 網(wǎng)絡(luò)服務(wù)安全、 內(nèi) 核參數(shù)安全、文件系統(tǒng)

4、安全、日志安全等；從應(yīng)用系統(tǒng)相關(guān)硬件、軟件和數(shù)據(jù)等方面來(lái)審核應(yīng)用所處環(huán)境下存在哪些威脅，根據(jù)應(yīng)用系統(tǒng)所存在的威脅，來(lái)確定需要達(dá)到哪些系統(tǒng)安全目標(biāo)才能 保證應(yīng)用系統(tǒng)能夠抵擋預(yù)期的安全威脅。其它評(píng)估內(nèi)容應(yīng)至少包 括以下幾方面：信息探測(cè)類網(wǎng)絡(luò)設(shè)備與防火墻RPC服務(wù)Web服務(wù)CGI問題文件服務(wù)域名服務(wù)Mail服務(wù)Windows遠(yuǎn)程訪問數(shù)據(jù)庫(kù)問題SQL注入跨站腳本攻擊后門程序其它服務(wù)網(wǎng)絡(luò)拒絕服務(wù)(DOS)其它問題安全評(píng)估服務(wù)范圍應(yīng)包括但不只限于協(xié)助用戶完成信息安全專項(xiàng)檢查工作。3安全加固每次對(duì)用戶單位網(wǎng)絡(luò)信息系統(tǒng)進(jìn)行全面評(píng)估后應(yīng)立即制定安 全加固方案，另外如用戶單位有緊急需求時(shí)可隨時(shí)安排制定安全加 固方

5、案。安全加固方案應(yīng)覆蓋用戶單位IT系統(tǒng)中所有服務(wù)器和網(wǎng)絡(luò)設(shè)備，以及不同類別的操作系統(tǒng)、數(shù)據(jù)庫(kù)和應(yīng)用系統(tǒng)。安全加固方案不能影響用戶單位各項(xiàng)業(yè)務(wù)的正常進(jìn)行，如果加固過程需要暫時(shí)中斷業(yè)務(wù)，須設(shè)計(jì)具體的解決方案。同時(shí)，隨著信息技術(shù)的發(fā)展，當(dāng)新的漏洞出現(xiàn)時(shí),評(píng)估單位有責(zé) 任和義務(wù)告知用戶，并配合用戶判定是否進(jìn)行相應(yīng)的加固工作；4緊急響應(yīng)當(dāng)用戶單位信息系統(tǒng)出現(xiàn)安全事件后 ，用戶可立即啟動(dòng)緊急響應(yīng) 服務(wù)，服務(wù)應(yīng)包括遠(yuǎn)程緊急響應(yīng)和現(xiàn)場(chǎng)緊急響應(yīng) ；緊急響應(yīng)均要求 7X24小時(shí)提供。緊急響應(yīng)要求在響應(yīng)請(qǐng)求發(fā)出2小時(shí)內(nèi)由工程師到達(dá)事故現(xiàn)場(chǎng)協(xié)助用戶進(jìn)行處理；響應(yīng)服務(wù)完成后評(píng)估單位需整理詳細(xì)的事故處理報(bào)告，內(nèi)容至少包括

6、事故原因分析、已造成的影響、處理辦法、 處理結(jié)果、預(yù)防和改進(jìn)建議；5安全咨詢?cè)u(píng)估單位應(yīng)根據(jù) ISO17799等多個(gè)標(biāo)準(zhǔn)的相關(guān)要求對(duì)安全策 略、安全制度、 安全流程進(jìn)行審計(jì)，提供改進(jìn)建議，建立信息安全 的“統(tǒng)一”策略管理機(jī)制，并對(duì)用戶單位信息安全體系建設(shè)規(guī)劃、 信息安全管理體系、信息安全管理制度建設(shè)、安全域劃分等相關(guān)內(nèi)容提出符合國(guó)家及行業(yè)標(biāo)準(zhǔn)的合理化建議，并制定完整的解決方案。對(duì)于新建信息化項(xiàng)目應(yīng)從業(yè)務(wù)需求分析、系統(tǒng)設(shè)計(jì)、 部署實(shí)施、測(cè)試驗(yàn)收等全周期提供技術(shù)咨詢支持。6安全事件通告評(píng)估單位應(yīng)具備專門的安全研究人員以跟蹤最新安全技術(shù)發(fā)展、 收集業(yè)界發(fā)布的最新安全信息及時(shí)通告用戶單位最新的安全動(dòng) 態(tài)

7、、安全技術(shù)的發(fā)展趨勢(shì)，以及時(shí)效性很強(qiáng)的漏洞、攻擊手法、病毒碼的預(yù)先通知；評(píng)估單位至少每月提供一次匯總的安全通告信息，當(dāng)廠商或安全組織發(fā)布緊急安全通告后評(píng)估單位應(yīng)在三天之內(nèi)提供給人保相關(guān) 通告信息；及時(shí)提供最新的設(shè)備補(bǔ)丁 ，隨時(shí)根據(jù)用戶需求，提供相應(yīng)安全漏 洞與響應(yīng)的安全系統(tǒng)升級(jí)代碼；及時(shí)向招標(biāo)人提供國(guó)家頒發(fā)的最新 安全制度與法規(guī)。7安全巡檢包括不限于以人工方式檢查主機(jī)系統(tǒng)和網(wǎng)絡(luò)設(shè)備的日志信息、安全配置以及審計(jì)信息等，提出安全策略建議；如發(fā)現(xiàn)異常現(xiàn) 象或安全問題，及時(shí)向用戶單位反饋，并提供后續(xù)技術(shù)支持，配合問 題的查處和解決。要求每月對(duì)安全防護(hù)產(chǎn)品進(jìn)行一次巡檢服務(wù)，并生成巡檢報(bào)告；每季度對(duì)所有主

8、機(jī)、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)、安全產(chǎn)品進(jìn)行一次全面巡檢，并生成巡檢報(bào)告。8安全值守服務(wù)要求評(píng)估單位在重大節(jié)假日及特殊時(shí)期安排技術(shù)人員提供安 全值守服務(wù)（包含在用戶單位值守及遠(yuǎn)程值守 ）。9安全培訓(xùn)服務(wù)要求每年安排兩次信息安全管理及技術(shù)培訓(xùn) （培訓(xùn)只負(fù)責(zé)提供 師資及培訓(xùn)教材，培訓(xùn)教材可為電子版），同時(shí)，要求提供四人次專 業(yè)技術(shù)認(rèn)證培訓(xùn)（含食宿）。10應(yīng)急演練服務(wù)要求配合用戶制定信息系統(tǒng)風(fēng)險(xiǎn)應(yīng)急響應(yīng)方案，并每年至少安排一次信息系統(tǒng)風(fēng)險(xiǎn)應(yīng)急演練。（二）服務(wù)原則為保障安全風(fēng)險(xiǎn)評(píng)估工作的有序進(jìn)行，特提出以下原則：1 .保密性原則要求評(píng)估單位與用戶簽訂保密協(xié)議，在進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估的過程中，嚴(yán)格遵循彳密原則，評(píng)估過程中采取嚴(yán)格的管理措施 ，確 保所涉及到的任何用戶保密信息 ，不會(huì)泄露給第三方單位或個(gè)人 ， 不得利用這些信息損害用戶利益。2 .最小影響原則要求從項(xiàng)目管理和技術(shù)應(yīng)用的層面 ，在風(fēng)險(xiǎn)評(píng)估工作實(shí)施過程 對(duì)現(xiàn)有信息系統(tǒng)和網(wǎng)絡(luò)的正常運(yùn)行所可能的影響降到最低程度；要求制定風(fēng)險(xiǎn)評(píng)估過程中的風(fēng)險(xiǎn)規(guī)避方案及應(yīng)急措施。3 .規(guī)范性原則要求評(píng)估機(jī)構(gòu)在充分總結(jié)多年開展信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估實(shí)踐經(jīng)驗(yàn)的基礎(chǔ)上，確定規(guī)范的方案；在此次信息安全風(fēng)險(xiǎn)評(píng)估任務(wù) 執(zhí)行過程中，經(jīng)過規(guī)范的項(xiàng)目管理，在人員、項(xiàng)目實(shí)施環(huán)節(jié)、 質(zhì)量 保障和時(shí)間進(jìn)度等方面進(jìn)行嚴(yán)格管控。4 .標(biāo)準(zhǔn)化原則風(fēng)險(xiǎn)評(píng)估工作要求嚴(yán)格遵守國(guó)家和行業(yè)的相關(guān)