安全運(yùn)維服務(wù)管理流程_第1頁(yè)
安全運(yùn)維服務(wù)管理流程_第2頁(yè)
安全運(yùn)維服務(wù)管理流程_第3頁(yè)
安全運(yùn)維服務(wù)管理流程_第4頁(yè)
安全運(yùn)維服務(wù)管理流程_第5頁(yè)
已閱讀5頁(yè),還剩10頁(yè)未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶(hù)提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

XX信息技術(shù)有限公司

安全運(yùn)維服務(wù)流程

XX信息技術(shù)有限公司

2017年1月1日

目錄

一、概述.........................................................................3

1.1信息安全服務(wù)的作用...................................................3

1.2信息安全服務(wù)行業(yè)背景.................................................3

1.3開(kāi)展信息安全等級(jí)保護(hù)的法規(guī)、政策和技術(shù)依據(jù).........................4

1.4可選的安全服務(wù).......................................................4

二、安全運(yùn)維流程................................................................5

2.1.服務(wù)目的........................................................5

2.2.服務(wù)流程........................................................6

2.2.1.需求調(diào)研與分析................................................6

2.2.2.報(bào)價(jià)與成本核算................................................7

2.2.3.合同簽訂......................................................7

2.2.4.運(yùn)維方案設(shè)計(jì)與編制..........................................7

2.2.5.運(yùn)維服務(wù)實(shí)施階段..............................................7

2.2.6.終驗(yàn)和總結(jié)報(bào)告................................................7

2.3.信息安全事件分類(lèi)分級(jí)................................................7

2.3.1.信息安全事件分類(lèi)..............................................8

2.3.2.信息安全事件分級(jí)..............................................9

2.4.服務(wù)內(nèi)容...........................................................10

2.4.1.信息安全風(fēng)險(xiǎn)評(píng)估...........................................10

2.4.2.信息安全加固...............................................11

2.4.3.信息安全咨詢(xún)服務(wù)...........................................12

2.4.4.日常安全運(yùn)維服務(wù).............................................14

2.4.5.應(yīng)急響應(yīng)服務(wù).................................................15

2.4.6.人員培訓(xùn).....................................................15

一、概述

信息安全服務(wù)是指適應(yīng)整個(gè)安全管理的需要,為企業(yè)、政府提供全面或部分

信息安全解決方案的服務(wù)。信息安全服務(wù)提供包含從高端的全面安全體系到細(xì)節(jié)

的技術(shù)解決措施。

1.1信息安全服務(wù)的作用

目前,國(guó)內(nèi)政府和企業(yè)中信息安全建設(shè)多處在較初級(jí)的階段,缺乏信息安全

的合理規(guī)劃,也普遍缺乏相應(yīng)的安全管理機(jī)制,這些問(wèn)題受到整體管理水平和信

息化水平的限制,在短期內(nèi)很難根本改變。當(dāng)前國(guó)內(nèi)的信息安全服務(wù)商紛紛提出

了自己的安全服務(wù)體系,一般都包括信息安全評(píng)估、加固、運(yùn)維、教育、風(fēng)險(xiǎn)管

理等。這些西方背景的先進(jìn)的理念在吸引用戶(hù)的同時(shí),給用戶(hù)造成了很大的迷茫,

很多用戶(hù)購(gòu)買(mǎi)安全服務(wù)的直接動(dòng)機(jī)是應(yīng)付當(dāng)前的安全事件、滿(mǎn)足管理層的意志或

減輕來(lái)自?xún)?nèi)外的輿論壓力,服務(wù)形式內(nèi)容和現(xiàn)實(shí)需求之間存在較大落差。

必須承認(rèn)當(dāng)前信息安全服務(wù)對(duì)用戶(hù)的幫助主要在技術(shù)方面,對(duì)管理的影響是

有限的。用戶(hù)普遍遇到的最大問(wèn)題是自身資源不足,實(shí)際是“安全管理員”的缺

位,其次是對(duì)基本管理體系探索的需求。從用戶(hù)的角度來(lái)看,信息安全服務(wù)能帶

來(lái)的實(shí)際好處包括:彌補(bǔ)用戶(hù)人力的不足,彌補(bǔ)用戶(hù)技術(shù)的不足,彌補(bǔ)用戶(hù)信息

的不足,彌補(bǔ)用戶(hù)管理思想的不足。這些服務(wù)內(nèi)容主要通過(guò)服務(wù)團(tuán)隊(duì)特別是一線(xiàn)

人員傳遞到用戶(hù)的手中,服務(wù)人員的技術(shù)技能和態(tài)度將直接決定用戶(hù)的收益

1.2信息安全服務(wù)行業(yè)背景

隨著全球信息化進(jìn)程的不斷推進(jìn),我國(guó)政府及各行各業(yè)也在進(jìn)行大量的信息

系統(tǒng)的建設(shè),這些信息系統(tǒng)己經(jīng)成為國(guó)家重要的基礎(chǔ)設(shè)施,因此,信息系統(tǒng)安全

問(wèn)題已經(jīng)被提升到關(guān)系國(guó)家安全和國(guó)家主權(quán)的戰(zhàn)略性高度,已引起黨和國(guó)家領(lǐng)導(dǎo)

以及社會(huì)各界的關(guān)注。隨著“金”字工程、政府上網(wǎng)、電子商務(wù)、電子軍事等信

息化建設(shè)和發(fā)展,作為現(xiàn)代信息社會(huì)重要基礎(chǔ)設(shè)施的信息系統(tǒng),其安全問(wèn)題必將

對(duì)我國(guó)的政治、軍事、經(jīng)濟(jì)、科技、文化等領(lǐng)域產(chǎn)生至關(guān)重要的影響。能否有效

的保護(hù)信息資源,保護(hù)信息化進(jìn)程健康、有序、可持續(xù)發(fā)展,直接關(guān)乎國(guó)家安危,

關(guān)乎民族興亡,是國(guó)家民族的頭等大事。沒(méi)有信息安全,就沒(méi)有真正意義上的政

治安全,就沒(méi)有穩(wěn)固的經(jīng)濟(jì)安全和軍事安全,沒(méi)有完整意義上的國(guó)家安全。

1.3開(kāi)展信息安全等級(jí)保護(hù)的法規(guī)、政策和技術(shù)依據(jù)

國(guó)家高度重視信息安全保護(hù)工作,為了進(jìn)一步提高信息安全的保障能力和防

護(hù)水平。經(jīng)黨中央和國(guó)務(wù)院批準(zhǔn),國(guó)家信息化領(lǐng)導(dǎo)小組決定加強(qiáng)信息安全保障工

作,實(shí)行信息安全等級(jí)保護(hù),重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全。

國(guó)家針對(duì)等級(jí)保護(hù)制定了一系列的法規(guī)和標(biāo)準(zhǔn),這些法規(guī)和標(biāo)準(zhǔn)是建設(shè)等級(jí)

保護(hù)系統(tǒng)的依據(jù)。制定了包括《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》

(GB17859T999)、《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》(GB/T22240-2008)、《信

息系統(tǒng)安全等級(jí)保護(hù)基本要求》(GB/T22239-2008)、《信息安全技術(shù)操作系統(tǒng)安

全評(píng)估準(zhǔn)則》(GB/T20009-2005)、《信息安全技術(shù)信息系統(tǒng)安全管理要求》

(GB/T20269-2006)等50多個(gè)國(guó)標(biāo)、行標(biāo)以及已報(bào)批標(biāo)準(zhǔn),初步形成了信息安

全等級(jí)保護(hù)標(biāo)準(zhǔn)體系。

1.4可選的安全服務(wù)

ISO模型中的國(guó)際標(biāo)準(zhǔn)ISO7498-2:《信息處理系統(tǒng)開(kāi)放系統(tǒng)互連基本參考模

型第2部分:安全體系結(jié)構(gòu)》。該標(biāo)準(zhǔn)為開(kāi)放系統(tǒng)互連(OSI,OpenSystem

Interworking)描述了安全體系結(jié)構(gòu)的基本參考模型,并確定在參考模型內(nèi)部可

以提供這些安全服務(wù)與安全機(jī)制的位置。ISO7498-2中定義了5大類(lèi)可選的安全

服務(wù)。

(1)鑒別

用于保證通信的真實(shí)性,正式接收的數(shù)據(jù)就來(lái)自所要求的源方,包括對(duì)等實(shí)

體鑒別和數(shù)據(jù)源鑒別。數(shù)據(jù)源鑒別連同無(wú)連接的服務(wù)一起操作,而對(duì)等實(shí)體鑒別

通常與面向連接的服務(wù)一起操作,一方面可確保雙方實(shí)體可信的,另一方面可確

保該連接不被第三方干擾,如假冒其中的一方進(jìn)行非授權(quán)的傳輸或接收。

(2)訪問(wèn)控制

用于防止對(duì)網(wǎng)絡(luò)資源的非授權(quán)訪問(wèn),保證系統(tǒng)的可控性。訪問(wèn)控制可以用于

通信的源或目的,或是通信鏈路上的某一地方。一般用在應(yīng)用層,也可在傳輸層

試下訪問(wèn)控制。

(3)數(shù)據(jù)保密性

用于加密數(shù)據(jù)以防被竊聽(tīng),服務(wù)可根據(jù)保護(hù)范圍的大小分為幾個(gè)層次,例如

可保護(hù)一定時(shí)間范圍內(nèi)兩個(gè)用戶(hù)之間傳輸?shù)乃袛?shù)據(jù);也可以對(duì)單個(gè)消息的保護(hù)

或?qū)σ粋€(gè)消息中某個(gè)特定字段的保護(hù)。

(4)數(shù)據(jù)完整性

用于保證所接受的消息為未經(jīng)復(fù)制、插入、篡改、重排或重放,主要用于防

止主動(dòng)攻擊。此外還能對(duì)遭受一定程度毀壞的數(shù)據(jù)進(jìn)行恢復(fù)。,數(shù)據(jù)完整性可用

于一個(gè)消息流、單個(gè)消息或一個(gè)消息中所選字段。

(5)不可否認(rèn)

用于防止通訊雙方中某一方抵賴(lài)所傳輸?shù)南?。接受者能夠證明消息的確是

否消息的發(fā)送發(fā)出的,而發(fā)送者能夠證明這一消息的確已被接受者接受了。

二、安全運(yùn)維流程

2.1.服務(wù)目的

安全是一個(gè)動(dòng)態(tài)的過(guò)程,在信息系統(tǒng)運(yùn)行維護(hù)期間可能遭遇來(lái)自各方面的安

全威脅。為保證被服務(wù)單位網(wǎng)絡(luò)及應(yīng)用服務(wù)的持續(xù)正常運(yùn)行,我們依靠國(guó)家有關(guān)

信息安全事件相關(guān)標(biāo)準(zhǔn),通過(guò)提供網(wǎng)絡(luò)安全保障服務(wù)來(lái)加強(qiáng)被服務(wù)單位信息系統(tǒng)

的網(wǎng)絡(luò)安全性,通過(guò)定期和不定期的安全掃描服務(wù)、安全巡檢服務(wù)、安全預(yù)警服

務(wù)以及周到的突發(fā)應(yīng)急響應(yīng)服務(wù)將安全工作落到實(shí)處,以有效提高信息系統(tǒng)被服

務(wù)單位的網(wǎng)絡(luò)安全保障能力。

2.2.服務(wù)流程

業(yè)務(wù)部門(mén)會(huì)同市場(chǎng)郃.運(yùn)韁嘉求分析報(bào)通

對(duì)客戶(hù)遺行需求調(diào)研分析

公司喳n組成員雄合公司市場(chǎng)

an.對(duì)運(yùn)雄咬n的服務(wù)內(nèi)容版價(jià)與成本核為

進(jìn)行工tr■和工件成本的陵估

公司項(xiàng)目繳】與客戶(hù)霸討后制

合同備訂項(xiàng)目合同

定合同方案,并簽訂項(xiàng)目合同

根據(jù)系收安全運(yùn)0的實(shí)際需求.運(yùn)修方案設(shè)計(jì)與給技術(shù)方案

公司項(xiàng)目部分負(fù)費(fèi)占制安全運(yùn)維*

解務(wù)方案

信危安全近韁屋務(wù)

能力管理手制

根據(jù)運(yùn)境屋務(wù)的方案,由項(xiàng)目業(yè)務(wù)▼臺(tái)韁保艘務(wù)

運(yùn)中藤務(wù)實(shí)施齡段

文鐮部門(mén)遺行的%實(shí)簸記最?lèi)?ài)

巡松/故阿處!1

報(bào)告

喳r完地后.應(yīng)當(dāng)由項(xiàng)H組負(fù)

費(fèi)人將項(xiàng)日匯整材料8nl后.蝮除加總站兼分穌收文件/接觸摘自/股務(wù)總公

形成符合客戶(hù)驗(yàn)收條件的殆收

住文件或總結(jié)性報(bào)告

2.2.1.需求調(diào)研與分析

需求調(diào)研與分析對(duì)于安全運(yùn)維服務(wù)來(lái)說(shuō),是一個(gè)服務(wù)的開(kāi)始階段,它的輸出

“需求調(diào)研分析報(bào)告”是設(shè)計(jì)階段的輸入,需求調(diào)研的質(zhì)量對(duì)于一個(gè)應(yīng)用軟件來(lái)

說(shuō),是一個(gè)極其重要的階段,它的質(zhì)量在一定程度上來(lái)說(shuō)決定了一個(gè)軟件的交付

結(jié)果。怎樣從客戶(hù)中聽(tīng)取用戶(hù)需求、分析用戶(hù)需求就成為調(diào)研人員最重要的任務(wù)。

在本階段中需要明確安全運(yùn)維服務(wù)的時(shí)間,服務(wù)的內(nèi)容以及交付文檔清單。

并完成《安全運(yùn)維需求調(diào)研與分析報(bào)告》。

2.2.2.報(bào)價(jià)與成本核算

根據(jù)項(xiàng)目合同的具體內(nèi)容來(lái)對(duì)本階段相關(guān)的文檔輸出做出規(guī)定。

2.2.3.合同簽訂

完成了需求調(diào)研分析階段和報(bào)價(jià)與成本核算后,與客戶(hù)簽訂安全運(yùn)維服務(wù)合

同,并計(jì)劃服務(wù)的實(shí)施時(shí)間以及安排運(yùn)維實(shí)施人員開(kāi)展安全運(yùn)維服務(wù)工作。

2.2.4.運(yùn)維方案設(shè)計(jì)與編制

在正式開(kāi)始安全運(yùn)維服務(wù)之前,根據(jù)客戶(hù)信息系統(tǒng)的安全運(yùn)維需求,安全運(yùn)

維小組經(jīng)理編制安全運(yùn)維實(shí)施方案。

2.2.5.運(yùn)維服務(wù)實(shí)施階段

安全運(yùn)維實(shí)施人員根據(jù)安全運(yùn)維實(shí)施方案開(kāi)展安全運(yùn)維服務(wù),安全運(yùn)維一般

包含了以下幾個(gè)服務(wù)內(nèi)容:

(1).信息安全管理

(2).運(yùn)維服務(wù)配置管理

(3).服務(wù)報(bào)告

2.2.6.終驗(yàn)和總結(jié)報(bào)告

安全運(yùn)維服務(wù)項(xiàng)目結(jié)束后,安全運(yùn)維經(jīng)理應(yīng)整理安全運(yùn)維項(xiàng)目匯報(bào)過(guò)程材料,

形成符合客戶(hù)驗(yàn)收的項(xiàng)目驗(yàn)收?qǐng)?bào)告,匯報(bào)過(guò)程材料一般包括了驗(yàn)收文件、驗(yàn)收?qǐng)?bào)

告、項(xiàng)目服務(wù)總結(jié)報(bào)告。最終整理的資料文檔按照驗(yàn)收流程對(duì)項(xiàng)目進(jìn)行驗(yàn)收。

2.3.信息安全事件分類(lèi)分級(jí)

根據(jù)信息安全事件的起因、表現(xiàn)、結(jié)果等,可將信息安全事件分為有害程序

事件、網(wǎng)絡(luò)攻擊事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障、災(zāi)害

性事件和其他信息安全事件等7個(gè)基本分類(lèi),了解信息安全事件的相關(guān)分類(lèi)準(zhǔn)則

并依據(jù)準(zhǔn)則構(gòu)建適用于被服務(wù)單位的網(wǎng)絡(luò)安全應(yīng)急保障體系,將是保障被服務(wù)單

位信息系統(tǒng)網(wǎng)絡(luò)安全的關(guān)鍵性工作。

2.3.1.信息安全事件分類(lèi)

有害程序事件

有害程序事件是指蓄意制造、傳播有害程序,或是因受到有害程序的影響而

導(dǎo)致的信息安全事件。有害程序是指插入到信息系統(tǒng)中的一段程序,有害程序危

害系統(tǒng)中數(shù)據(jù)、應(yīng)用程序或操作系統(tǒng)的保密性、完整性或可用性,或影響信息系

統(tǒng)的正常運(yùn)行。

有害程序事件包括計(jì)算機(jī)病毒事件、蠕蟲(chóng)事件、特洛伊木馬事件、僵尸網(wǎng)絡(luò)

事件、混合攻擊程序事件、網(wǎng)頁(yè)內(nèi)嵌惡意代碼事件和其它有害程序事件等7個(gè)子

類(lèi)。

網(wǎng)絡(luò)攻擊事件

網(wǎng)絡(luò)攻擊事件是指通過(guò)網(wǎng)絡(luò)或其他技術(shù)手段,利用信息系統(tǒng)的配置缺陷、協(xié)

議缺陷、程序缺陷或使用暴力攻擊對(duì)信息系統(tǒng)實(shí)施攻擊,并造成信息系統(tǒng)異?;?/p>

對(duì)信息系統(tǒng)當(dāng)前運(yùn)行造成潛在危害的信息安全事件。

網(wǎng)絡(luò)攻擊事件包括拒絕服務(wù)攻擊事件、后門(mén)攻擊事件、漏洞攻擊事件、網(wǎng)絡(luò)

掃描竊聽(tīng)事件、網(wǎng)絡(luò)釣魚(yú)事件、干擾事件和其他網(wǎng)絡(luò)攻擊事件等7個(gè)子類(lèi)。

信息破壞事件

信息破壞事件是指通過(guò)網(wǎng)絡(luò)或其他技術(shù)手段,造成信息系統(tǒng)中的信息被篡改、

假冒、泄漏、竊取等而導(dǎo)致的信息安全事件。

信息破壞事件包括信息篡改事件、信息假冒事件、信息泄漏事件、信息竊取

事件、信息丟失事件和其它信息破壞事件等6個(gè)子類(lèi)。

信息內(nèi)容安全事件

信息內(nèi)容安全事件是指利用信息網(wǎng)絡(luò)發(fā)布、傳播危害國(guó)家安全、社會(huì)穩(wěn)定和

公共利益的內(nèi)容的安全事件。

信息內(nèi)容安全事件包括以下4個(gè)子類(lèi):

>違反憲法和法律、行政法規(guī)的信息安全事件;

>針對(duì)社會(huì)事項(xiàng)進(jìn)行討論、評(píng)論形成網(wǎng)上敏感的輿論熱點(diǎn),出現(xiàn)一定規(guī)模

炒作的信息安全事件;

>組織串連、煽動(dòng)集會(huì)游行的信息安全事件;

>其他信息內(nèi)容安全事件等4個(gè)子類(lèi)。

設(shè)備設(shè)施故障

設(shè)備設(shè)施故障是指由于信息系統(tǒng)自身故障或外圍保障設(shè)施故障而導(dǎo)致的信

息安全事件,以及人為的使用非技術(shù)手段有意或無(wú)意的造成信息系統(tǒng)破壞而導(dǎo)致

的信息安全事件。

設(shè)備設(shè)施故障包括軟硬件自身故障、外圍保障設(shè)施故障、人為破壞事故、和

其它設(shè)備設(shè)施故障等4個(gè)子類(lèi)。

災(zāi)害性事件

災(zāi)害性事件是指由于不G抗力對(duì)信息系統(tǒng)造成物理破壞而導(dǎo)致的信息安全

事件。災(zāi)害性事件包括水災(zāi)、臺(tái)風(fēng)、地震、雷擊、坍塌、火災(zāi)、恐怖襲擊、戰(zhàn)爭(zhēng)

等導(dǎo)致的信息安全事件。

其他事件

其他事件類(lèi)別是指不能歸為以上6個(gè)基本分類(lèi)的信息安全事件。

2.3.2.信息安全事件分級(jí)

對(duì)信息安全事件的分級(jí)主要考慮三個(gè)要素:信息系統(tǒng)的重要程度、系統(tǒng)損失

和社會(huì)影響。

根據(jù)信息安全事件的分級(jí)考慮要素,將信息安全事件劃分為四個(gè)級(jí)別:特別

重大事件、重大事件、較大事件和一般事件。

特別重大事件(I級(jí))

特別重大事件是指能夠?qū)е绿貏e嚴(yán)重影響或破壞的信息安全事件,包括以下

情況:

>會(huì)替使特別重要信息系統(tǒng)遭受特別嚴(yán)重的系統(tǒng)損失;

>產(chǎn)生特別重大的社會(huì)影響。

重大事件(II級(jí))

重大事件是指能夠?qū)е聡?yán)重影響或破壞的信息安全事件,包括以下情況:

>會(huì)使特別重要信息系統(tǒng)遭受?chē)?yán)重的系統(tǒng)損失、或使重要信息系統(tǒng)遭受特別嚴(yán)

重的系統(tǒng)損失;

>產(chǎn)生的重大的社會(huì)影響。

較大事件(ni級(jí))

較大事件是指能夠?qū)е螺^嚴(yán)重影響或破壞的信息安全事件,包括以下情況;

>會(huì)使特別重要信息系統(tǒng)遭受較大的系統(tǒng)損失、或使重要信息系統(tǒng)遭受?chē)?yán)重的

系統(tǒng)損失、一般信息信息系統(tǒng)遭受特別嚴(yán)重的系統(tǒng)損失;

>產(chǎn)生較大的社會(huì)影響。

一般事件(W級(jí))

一般事件是指不滿(mǎn)足以上條件的信息安全事件,包括以下情況:

>會(huì)使特別重要信息系統(tǒng)遭受較小的系統(tǒng)損失、或使重要信息系統(tǒng)遭受較大的

系統(tǒng)損失,一般信息系統(tǒng)遭受?chē)?yán)重或嚴(yán)重以下級(jí)別的系統(tǒng)損失;

>產(chǎn)生一般的社會(huì)影響。

2.4.服務(wù)內(nèi)容

2.4.1.信息安全風(fēng)險(xiǎn)評(píng)估

對(duì)被服務(wù)單位所有信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估,每半年評(píng)估一次,評(píng)估后出具詳

細(xì)的評(píng)估報(bào)告。評(píng)估范圍為所有業(yè)務(wù)系統(tǒng)及相關(guān)的網(wǎng)絡(luò)安全資產(chǎn),內(nèi)容具體包括:

(1).漏洞掃描:通過(guò)工具對(duì)網(wǎng)絡(luò)系統(tǒng)內(nèi)的操作系統(tǒng)、數(shù)據(jù)庫(kù)和網(wǎng)站程序

進(jìn)行自動(dòng)化掃描,發(fā)現(xiàn)各種可能遭到黑客利用的各種隱患,包括:端口掃

描,漏洞掃描,密碼破解,攻擊測(cè)試等。

(2).操作系統(tǒng)核查:核查操作系統(tǒng)補(bǔ)丁安裝、進(jìn)程、端口、服務(wù)、用戶(hù)、

策略、權(quán)限、審計(jì)、內(nèi)核、惡意程序等內(nèi)容,對(duì)用戶(hù)當(dāng)前采取的風(fēng)險(xiǎn)控制

措施和管理手段的效果進(jìn)行評(píng)估,在針對(duì)性、有效性、集成特性、標(biāo)準(zhǔn)特

性、可管理特性、可規(guī)劃特性等六個(gè)方面進(jìn)行評(píng)估。

(3).數(shù)據(jù)庫(kù)核查:主要是對(duì)數(shù)據(jù)庫(kù)管理系統(tǒng)的權(quán)限、口令、數(shù)據(jù)備份與

恢復(fù)等方面進(jìn)行核查。

(4).網(wǎng)絡(luò)及安全設(shè)備核查:網(wǎng)絡(luò)及安全設(shè)備核查主要是針對(duì)網(wǎng)絡(luò)及安全

設(shè)備的訪問(wèn)控制策略進(jìn)行檢查,確定是否開(kāi)放了網(wǎng)站服務(wù)以外的多余服務(wù)。

(5).病毒木馬檢查:通過(guò)多種方式對(duì)機(jī)器內(nèi)異常進(jìn)程、端口進(jìn)行分析,

判斷是否是木馬或病毒,研究相關(guān)行為,并進(jìn)行查殺。

(6).滲透測(cè)試:模擬黑客的各種攻擊手段,對(duì)評(píng)估過(guò)程中發(fā)現(xiàn)的漏洞安

全隱患進(jìn)行攻擊測(cè)試,評(píng)估其危害程度,主要有:弱口令、本地權(quán)限提升、

遠(yuǎn)程溢出、數(shù)據(jù)庫(kù)查詢(xún)等。

測(cè)評(píng)次數(shù)不低于兩次,在有重大安全漏洞或隱患出現(xiàn)時(shí),及時(shí)采取有針對(duì)性

的滲透測(cè)試。

2.4.2.信息安全加固

針對(duì)評(píng)估的結(jié)果,協(xié)助客戶(hù)單位對(duì)應(yīng)用系統(tǒng)中存在的安全隱患進(jìn)行安全加固。

加固內(nèi)容包括:

>操作系統(tǒng)安全加固;

>基本安全配置檢測(cè)和優(yōu)化

>密碼系統(tǒng)安全檢測(cè)和增強(qiáng)

>系統(tǒng)后門(mén)檢測(cè)

>提供訪問(wèn)控制策略和安全工具

>增強(qiáng)遠(yuǎn)程維護(hù)的安全性

>文件系統(tǒng)完整性審計(jì)

>增強(qiáng)的系統(tǒng)日志分析

>系統(tǒng)升級(jí)與補(bǔ)丁安裝

(1).網(wǎng)絡(luò)設(shè)備安全加固

>嚴(yán)格的防控控制措施

>安全審計(jì)

>合理的vlan劃分

>不必要的IOS服務(wù)或潛在的安全問(wèn)題

>路由安全

>抵抗拒絕服務(wù)的網(wǎng)絡(luò)攻擊和流量控制

>廣播限制

(2).網(wǎng)絡(luò)安全設(shè)備安全加固;

>防火墻的部署位置、區(qū)域劃分

>IDS、漏洞掃描系統(tǒng)的部署、VPN網(wǎng)關(guān)部署

>安全設(shè)備的安全防護(hù)措施配置加固

>安全設(shè)備日志管理策略加固

>安全設(shè)備本身安全配置加固

(3).數(shù)據(jù)庫(kù)安全加固;

>基本安全配置檢測(cè)和優(yōu)化

>密碼系統(tǒng)安全檢測(cè)和增強(qiáng)

>增強(qiáng)遠(yuǎn)程維護(hù)的安全性

>文件系統(tǒng)完整性審計(jì)

>增強(qiáng)的系統(tǒng)日志分析

>系統(tǒng)升級(jí)與補(bǔ)丁安裝

(4).病毒木馬清除。

>每次評(píng)估后,對(duì)存在的安全隱患協(xié)助加固。

>整體加固完成后由客戶(hù)單位確認(rèn)加固效果,如出現(xiàn)重大安全情況,需要

對(duì)業(yè)務(wù)系統(tǒng)的源代碼進(jìn)行安全審查。

2.4.3.信息安全咨詢(xún)服務(wù)

為確??蛻?hù)單位信息系統(tǒng)安全,協(xié)助客戶(hù)單位對(duì)所有信息系統(tǒng)進(jìn)行整體安全

規(guī)劃,規(guī)劃內(nèi)容主要包括信息安全總體架構(gòu),信息安全技術(shù)體系和信息安全管理

體系建設(shè),其中信息安全技術(shù)體系主要包括物理安全、主機(jī)安全、網(wǎng)絡(luò)安全、應(yīng)

用安全、數(shù)據(jù)安全、技術(shù)安全基線(xiàn)等規(guī)劃。

(1).物理安全規(guī)劃

機(jī)房物理安全規(guī)劃是以信息系統(tǒng)安全等級(jí)保護(hù)體系、IS027001信息安全管

理體系和國(guó)家制定頒布的機(jī)房相關(guān)標(biāo)準(zhǔn)規(guī)范為參考,通過(guò)對(duì)機(jī)房物理環(huán)境安全評(píng)

估和機(jī)房管理現(xiàn)狀調(diào)研,制定機(jī)房安全規(guī)劃方案,提高機(jī)房安全運(yùn)行水平。

(2).主機(jī)安全規(guī)劃

主機(jī)安全規(guī)劃是通過(guò)對(duì)信息系統(tǒng)的主機(jī)進(jìn)行安全評(píng)估和管理現(xiàn)狀調(diào)研,制定

主機(jī)安全規(guī)劃方案,并指導(dǎo)進(jìn)行主機(jī)安全管理改進(jìn)工作,切實(shí)保障信息系統(tǒng)的安

全運(yùn)行。所有的攻擊來(lái)源和攻擊目標(biāo)最終都會(huì)歸結(jié)到承載信息數(shù)據(jù)的終端和主機(jī)

上。但是儲(chǔ)存數(shù)據(jù)和承載著業(yè)務(wù)系統(tǒng)的主機(jī)的安全問(wèn)題卻是層出不窮的,一旦最

后一道防線(xiàn)被攻破,即使我們有監(jiān)控證據(jù)和管理措施,重要數(shù)據(jù)丟失造成的影響

是我們無(wú)法估量的。一方面,主機(jī)操作系統(tǒng)不同程度上都存在一些安全漏洞。一

些廣泛應(yīng)用的操作系統(tǒng),如Unix、Linux、Windows,其安全漏洞更是廣為流傳。

另一方面,系統(tǒng)管理員或使用人員對(duì)復(fù)雜的操作系統(tǒng)和其自身的安全機(jī)制了解不

夠,配置不當(dāng)也會(huì)造成安全隱患。這些安全漏洞給危險(xiǎn)人員以可乘之機(jī)。如操作

系統(tǒng)訪問(wèn)的口令認(rèn)證機(jī)制,特殊目錄訪問(wèn)讀寫(xiě)權(quán)限設(shè)定問(wèn)題等,如果設(shè)定不當(dāng),

都可以使人越權(quán)訪問(wèn)與操作。通過(guò)有針對(duì)性的安全規(guī)劃和加固方案,能對(duì)主機(jī)系

統(tǒng)進(jìn)行深度防御,有效保護(hù)整體信息系統(tǒng)的安全,切實(shí)提升信息系統(tǒng)的安全防御

水平。

(3).網(wǎng)絡(luò)安全規(guī)劃

網(wǎng)絡(luò)安全規(guī)劃是通過(guò)對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全評(píng)估和管理現(xiàn)狀調(diào)研,制定網(wǎng)絡(luò)安

全規(guī)劃方案,并指導(dǎo)進(jìn)行網(wǎng)絡(luò)安全加改進(jìn)工作,切實(shí)保障網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行。

(4).應(yīng)用安全規(guī)劃

應(yīng)用系統(tǒng)安全規(guī)劃是指在對(duì)應(yīng)用系統(tǒng)的全生命周期進(jìn)行安全規(guī)劃和管理,包

括應(yīng)用系統(tǒng)的需求分析、設(shè)計(jì)、實(shí)現(xiàn)及測(cè)試、運(yùn)行和維護(hù)等階段,要確保信息系

統(tǒng)安全性要求在此階段的各個(gè)具體工作過(guò)程中的貫徹和實(shí)施C開(kāi)發(fā)階段的安全規(guī)

劃可以保證交付具有高安全特性的應(yīng)用系統(tǒng),為將來(lái)應(yīng)用系統(tǒng)的安全投產(chǎn)運(yùn)行奠

定堅(jiān)實(shí)的基礎(chǔ)。運(yùn)行維護(hù)階段的安全規(guī)劃可以及時(shí)發(fā)現(xiàn)應(yīng)用系統(tǒng)存在的安全問(wèn)題,

保證系統(tǒng)持續(xù)運(yùn)行在安全的狀態(tài)之下。應(yīng)用系統(tǒng)安全加固是指對(duì)在系統(tǒng)運(yùn)行中發(fā)

現(xiàn)的安全隱患進(jìn)行處置,包括進(jìn)行補(bǔ)丁升級(jí)、配置參數(shù)和配置文件調(diào)整等等。應(yīng)

用系統(tǒng)安全規(guī)劃與加固服務(wù)包括對(duì)應(yīng)用系統(tǒng)本身及相關(guān)的數(shù)據(jù)庫(kù)和中間件的安

全規(guī)劃與加固工作。

(5).數(shù)據(jù)安全規(guī)劃

數(shù)據(jù)安全規(guī)劃與是通過(guò)充信息系統(tǒng)數(shù)據(jù)進(jìn)行技術(shù)檢測(cè)和管理現(xiàn)狀調(diào)研,制定

包含數(shù)據(jù)備份、數(shù)據(jù)加密和數(shù)據(jù)分級(jí)的解決方案。

(6).安全管理體系規(guī)劃建設(shè)

結(jié)合客戶(hù)單位信息系統(tǒng)安全需要,建立一套符合信息系統(tǒng)安全等級(jí)保護(hù)要求

的安全管理體系,主要內(nèi)

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論