駐地安全服務(wù)安全運(yùn)維技術(shù)方案標(biāo)書(shū)

1、1.1信息系統(tǒng)安全服務(wù)1.1.1服務(wù)范圍和服務(wù)內(nèi)容本次服務(wù)范圍為XXX信息系統(tǒng)硬件及應(yīng)用系統(tǒng)，主要包括計(jì)算機(jī)終端、打印機(jī)、 服務(wù)器、存儲(chǔ)設(shè)備、網(wǎng)絡(luò)（安全）設(shè)備以及應(yīng)用系統(tǒng)。服務(wù)內(nèi)容包括日常運(yùn)維服務(wù) （駐場(chǎng)服務(wù)）、專(zhuān)業(yè)安全服務(wù)、信息化建設(shè)咨詢(xún)服務(wù)等。1.1.2服務(wù)目標(biāo)保障軟硬件的穩(wěn)定性和可靠性；保障軟硬件的安全性和可恢復(fù)性；故障的及時(shí)響應(yīng)與修復(fù)；硬件設(shè)備的維修服務(wù)；人員的技術(shù)培訓(xùn)服務(wù)；信息化建設(shè)規(guī)劃、方案制定等咨詢(xún)服務(wù)。1.1.3服務(wù)內(nèi)容風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估的目的是了解和控制運(yùn)行過(guò)程中的信息系統(tǒng)安全風(fēng)險(xiǎn)，運(yùn)維階段的風(fēng) 險(xiǎn)評(píng)估是一種較為全面的風(fēng)險(xiǎn)評(píng)估。評(píng)估內(nèi)容包括對(duì)真實(shí)運(yùn)行的信息系統(tǒng)、資產(chǎn)、威脅、脆弱

2、性等各方面。（1）資產(chǎn)評(píng)估：對(duì)真實(shí)環(huán)境下較為細(xì)致的評(píng)估，包括實(shí)施階段采購(gòu)的軟硬件資 產(chǎn)、系統(tǒng)運(yùn)行過(guò)程中生成的信息資產(chǎn)、相關(guān)的人員與服務(wù)等。本階段資產(chǎn)識(shí)別是前 期資產(chǎn)識(shí)別的補(bǔ)充與增加；（2）威脅評(píng)估：真實(shí)環(huán)境中的威脅分析，應(yīng)全面地評(píng)估威脅的可能性和影響程 度。對(duì)非故意威脅產(chǎn)生安全事件的評(píng)估可以參照事故發(fā)生率；對(duì)故意威脅主要由評(píng) 估人員就威脅的各個(gè)影響因素做出專(zhuān)業(yè)判斷；同時(shí)考慮已有控制措施；（3）脆弱性評(píng)估：全面的脆弱性評(píng)估。包括運(yùn)行環(huán)境下物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng) 用、安全保障設(shè)備、管理的脆弱性。對(duì)于技術(shù)的脆弱性評(píng)估采取核查、掃描、案例 驗(yàn)證、滲透性測(cè)試的方式驗(yàn)證脆弱性；對(duì)安全保障設(shè)備脆弱性評(píng)估時(shí)考慮

3、安全功能 的實(shí)現(xiàn)情況和安全措施本身的脆弱性。對(duì)于管理脆弱性采取文檔、記錄核查進(jìn)行驗(yàn) 證；（4）風(fēng)險(xiǎn)計(jì)算：根據(jù)相關(guān)標(biāo)準(zhǔn)，對(duì)主要資產(chǎn)的風(fēng)險(xiǎn)進(jìn)行定性或定量的風(fēng)險(xiǎn)分析， 描述不同資產(chǎn)的風(fēng)險(xiǎn)高低狀況。安全加固安全加固是指對(duì)在風(fēng)險(xiǎn)評(píng)估中發(fā)現(xiàn)的系統(tǒng)安全風(fēng)險(xiǎn)進(jìn)行處理，按照級(jí)別不同， 應(yīng)該在相應(yīng)時(shí)間內(nèi)完成。安全加固的內(nèi)容主要包括：（1）日常安全加固工作，主要是根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果進(jìn)行系統(tǒng)安全調(diào)優(yōu)服務(wù)，根據(jù)系統(tǒng)運(yùn)行需要適時(shí)調(diào)整各類(lèi)設(shè)備及系統(tǒng)配置、合理規(guī)劃系統(tǒng)資源、消除系統(tǒng)漏洞， 提高系統(tǒng)穩(wěn)定性和可靠性；（2）主動(dòng)安全加固，在未出現(xiàn)安全事故之前就對(duì)已經(jīng)通報(bào)或者暴露出來(lái)的軟件 漏洞或最新病毒庫(kù)更新，就主動(dòng)進(jìn)計(jì)劃的升級(jí)和改

4、進(jìn)，從而避免出現(xiàn)安全事故。具體加固內(nèi)容包括但不限于：帳戶(hù)策略、帳戶(hù)鎖定策略、審核策略、NTFS、用戶(hù) 權(quán)限分配、系統(tǒng)服務(wù)策略、補(bǔ)丁管理、事件日志、應(yīng)用軟件的更新等。應(yīng)急響應(yīng)應(yīng)急狀態(tài)的安全值守、響應(yīng)工作，主要是系統(tǒng)應(yīng)急響應(yīng)、重大安全故障處理，確 保系統(tǒng)出現(xiàn)安全事件時(shí)快速反應(yīng)、及時(shí)處理，降低系統(tǒng)安全問(wèn)題對(duì)XX局內(nèi)工作的影 響。安全巡檢安全巡檢主要是指深入現(xiàn)場(chǎng)，了解情況：質(zhì)檢服務(wù)內(nèi)容中的各類(lèi)安全設(shè)備，了解 安全設(shè)備運(yùn)行情況，仔細(xì)觀(guān)察各個(gè)安全節(jié)點(diǎn)的可靠性，并綜合安全巡檢情況，定制 安全策略。安全監(jiān)控對(duì)服務(wù)內(nèi)容進(jìn)行監(jiān)控，在安全環(huán)境產(chǎn)生變化時(shí)，及時(shí)更新安全策略，在現(xiàn)有設(shè)備 和網(wǎng)絡(luò)情況有改變的時(shí)候，快速制定

5、，針對(duì)更新后設(shè)備環(huán)境的安全策略，并實(shí)施部 署。避免因設(shè)備變更而帶來(lái)的安全風(fēng)險(xiǎn)。定期安全通告，在互聯(lián)網(wǎng)上出現(xiàn)新型病毒或者新出現(xiàn)漏洞并且部分修補(bǔ)的情況 下，制作安全通告及時(shí)告知相關(guān)運(yùn)維人員，增強(qiáng)對(duì)于新型病毒和漏洞的防御力。1.1.3.7 安全培訓(xùn)根據(jù)駐地需要，組織開(kāi)展涉及漏洞掃描、滲透性測(cè)試、安全配置、安全意識(shí)和法 律法規(guī)等信息安全相關(guān)培訓(xùn)。1.1.4服務(wù)要求及交付物檢查點(diǎn)檢查要求交付物安全運(yùn)維管理日常維護(hù)核心系統(tǒng)及關(guān)鍵服務(wù)器定義需對(duì)關(guān)鍵系統(tǒng)和服務(wù)器有清晰的定義（如DNS/DHCP、防病毒等影響全網(wǎng)層面 的服務(wù)器、承載重要業(yè)務(wù)或包含敏感信 息的系統(tǒng)等）核心業(yè)務(wù)、關(guān)鍵服務(wù)器列表信息化系統(tǒng)和關(guān)鍵服務(wù)器

6、需有詳盡故障應(yīng)急預(yù)案應(yīng)急預(yù)案應(yīng)定期進(jìn)行相關(guān)應(yīng)急演練，并形成演練報(bào)告，保證每年所有的平臺(tái)和關(guān)鍵服務(wù)應(yīng)急演練報(bào)告應(yīng)急與演練備份管理根據(jù)應(yīng)急演練結(jié)果更新應(yīng)急預(yù)案，并保留更新記錄，記錄至少保留3年應(yīng)急預(yù)案更新記錄，預(yù)案版本記錄系統(tǒng)所涉及不同層面（如系統(tǒng)的重要性、操作系統(tǒng)/數(shù)據(jù)庫(kù)）應(yīng)當(dāng)制定數(shù)據(jù)的備份恢復(fù)以及備份介質(zhì)管理制度備份管理制度，包括備份策略管理制度與備份介質(zhì)管理制度系統(tǒng)所涉及不同層面應(yīng)根據(jù)業(yè)務(wù)要求制定數(shù)據(jù)的本地和異地備份（存放）策略備份管理制度，包括備份策略管理制度與備份介質(zhì)管理制度相關(guān)人員對(duì)本地和異地備份策略的結(jié)果進(jìn)行每季度審核策略審核表，加入備份管理制度器都至少進(jìn)行一次演練備份的數(shù)據(jù)進(jìn)行恢復(fù)

7、性測(cè)試，確保數(shù)據(jù)備份恢復(fù)應(yīng)急的可用性，每年不少于一次演練記錄相關(guān)人員對(duì)備份介質(zhì)的更換記錄進(jìn)行每半年審核備份介質(zhì)更換記錄表，加入備份管理制度相關(guān)人員對(duì)備份介質(zhì)的銷(xiāo)毀記錄進(jìn)行每半年審核備份介質(zhì)銷(xiāo)毀記錄表，加入備份管理制度故障管理各地市需制定相應(yīng)的園區(qū)信息化系統(tǒng)及服務(wù)器故障處理流程故障處理流程系統(tǒng)中發(fā)現(xiàn)的異常情況由系統(tǒng)維護(hù)人員根據(jù)相關(guān)流程在規(guī)定時(shí)間內(nèi)處理故障處理流程故障處理完成后必須留有相應(yīng)的故障處理記錄故障處理報(bào)告上線(xiàn)管理為保障設(shè)備接入網(wǎng)絡(luò)的安全性，設(shè)備上 線(xiàn)前必須安裝防病毒系統(tǒng)及更新操作系 統(tǒng)補(bǔ)丁，并對(duì)設(shè)備進(jìn)行進(jìn)行安全掃描評(píng) 估，針對(duì)安全漏洞進(jìn)行安全加固企業(yè)網(wǎng)接入管 理辦法、接入 記錄為避免系統(tǒng)

8、上線(xiàn)對(duì)其它系統(tǒng)和設(shè)備造成 影響，發(fā)布前必須對(duì)系統(tǒng)應(yīng)用站點(diǎn)、數(shù) 據(jù)庫(kù)、后臺(tái)服務(wù)、網(wǎng)絡(luò)端口進(jìn)行安全評(píng) 估。系統(tǒng)投入正式運(yùn)營(yíng)前必須在測(cè)試環(huán) 境中對(duì)系統(tǒng)進(jìn)行模擬運(yùn)行一周以上系統(tǒng)上線(xiàn)之后如需對(duì)系統(tǒng)進(jìn)行功能更 新，必須由系統(tǒng)管理員或系統(tǒng)管理員指 定專(zhuān)門(mén)維護(hù)人員進(jìn)行更新操作，嚴(yán)格按 照公司安全管理規(guī)范執(zhí)行應(yīng)用系統(tǒng)接入 申請(qǐng)流程、接 入記錄1、應(yīng)用系統(tǒng)更新申請(qǐng)流程2、更新記錄Web應(yīng)用應(yīng)根據(jù)業(yè)務(wù)需求與安全設(shè)計(jì)原 則進(jìn)行安全編碼，合理劃分帳號(hào)權(quán)限，確 保用戶(hù)帳號(hào)密碼安全，加強(qiáng)敏感數(shù)據(jù)安全 保護(hù)，提供詳細(xì)的日志1、根據(jù)規(guī)范對(duì) 開(kāi)發(fā)規(guī)范進(jìn)行 修正，用戶(hù)名密碼的管理要 求、敏感數(shù)據(jù) 的管理要求、 系統(tǒng)日志的開(kāi)發(fā)要求2

9、、現(xiàn)有 應(yīng)用的安全檢 查定期進(jìn)行服務(wù)器漏洞掃描，并根據(jù)漏洞 掃描報(bào)告封堵高危漏洞，每季度至少對(duì) 所有服務(wù)器掃描一次掃描記錄與掃描結(jié)果報(bào)告需建立統(tǒng)一的WSUS服務(wù)器，并每季度對(duì)關(guān)鍵服務(wù)器進(jìn)行高危漏洞升級(jí)，并留有升級(jí)記錄1、WSUS服務(wù)器 中的關(guān)鍵更新 的補(bǔ)丁清單， 每個(gè)月1份2、 應(yīng)用服務(wù)器端 每次更新的補(bǔ)丁清單任何終端必須安裝正版防病毒軟件，且保證90%以上病毒庫(kù)最新（五日以?xún)?nèi)）防病毒檢查記錄每周檢查防病毒軟件隔離區(qū)，排除病毒威脅防病毒檢查記錄在操作系統(tǒng)層、數(shù)據(jù)庫(kù)層、應(yīng)用層建立 日志記錄功能，日志記錄中保存1年的 內(nèi)容，日志安全記錄能夠關(guān)聯(lián)操作用戶(hù) 的身份1、操作系統(tǒng)層 日志策略2、數(shù) 據(jù)庫(kù)日

10、志策略3、應(yīng)用層日志 要求加入開(kāi)發(fā) 規(guī)范中漏洞與防病毒核心系統(tǒng)和關(guān)鍵服務(wù)器操作系統(tǒng)日志中需記錄“賬戶(hù)管理” “登錄事件”“策略更改”“系統(tǒng)事件”等內(nèi)容操作系統(tǒng)層日志策略操作行為記錄需進(jìn)行定期審計(jì)數(shù)據(jù)庫(kù)層日志需記錄每次數(shù)據(jù)庫(kù)操作的內(nèi)容數(shù)據(jù)庫(kù)日志策略應(yīng)用層日志需記錄每次應(yīng)用系統(tǒng)出錯(cuò)的信息應(yīng)用層日志要 求加入開(kāi)發(fā)規(guī) 范中檢查關(guān)鍵錯(cuò)誤日志、應(yīng)用程序日志中的關(guān)鍵錯(cuò)誤記錄，保證日志審核正常關(guān)鍵訪(fǎng)問(wèn)與操作應(yīng)立即啟用日志記錄功 能，避免因日志記錄不全，造成入侵后 無(wú)法被追蹤的問(wèn)題每天檢查平臺(tái)短信發(fā)送、接收的可用性每天短信檢查記錄日志審計(jì)訪(fǎng)問(wèn)控制短信必須設(shè)置關(guān)鍵字過(guò)濾，每個(gè)月進(jìn)行關(guān)鍵字更新，并檢查其有效性短信關(guān)鍵字更新記錄，有效性檢查記錄需對(duì)所有信息化系統(tǒng)、應(yīng)用系統(tǒng)的核心 信息進(jìn)行清晰的界定，核心信息包括但 不限于涉及客戶(hù)資料、客戶(hù)賬戶(hù)信息、 客戶(hù)密碼、操作記錄應(yīng)用系統(tǒng)-核心信息矩陣圖需對(duì)核心信息設(shè)定保密措施應(yīng)用系統(tǒng)核心信息管理制度對(duì)核心信息的操作進(jìn)行特殊監(jiān)控，并留下記錄服務(wù)器上任何賬號(hào)必須有審批人員審核確認(rèn)1、賬號(hào)管理辦法2、賬號(hào)申請(qǐng)表所有系統(tǒng)和服務(wù)器上賬號(hào)必須每季度進(jìn)行審核賬號(hào)審核表密碼復(fù)雜度要求：一.靜態(tài)密碼：密碼