信息系統(tǒng)安全規(guī)劃方案

信息系統(tǒng)安全規(guī)劃建議書(shū)23/23-信息系統(tǒng)安全規(guī)劃建議書(shū)

目錄1. 總論 41.1. 項(xiàng)目背景 41.2. 項(xiàng)目目標(biāo) 41.3. 依據(jù)及原則 41.3.1. 原則 41.3.2. 依據(jù) 61.4. 項(xiàng)目范圍 62. 總體需求 73. 項(xiàng)目建議 73.1. 信息系統(tǒng)安全現(xiàn)狀評(píng)估與分析 83.1.1. 評(píng)估目的 83.1.2. 評(píng)估內(nèi)容及方法 83.1.3. 實(shí)施過(guò)程 123.2. 信息系統(tǒng)安全建設(shè)規(guī)劃方案設(shè)計(jì) 193.2.1. 設(shè)計(jì)目標(biāo) 193.2.2. 主要工作 193.2.3. 所需資源 213.2.4. 階段成果 214. 附錄 224.1. 項(xiàng)目實(shí)施內(nèi)容列表及報(bào)價(jià)清單 22

總論項(xiàng)目背景******************（以下簡(jiǎn)稱(chēng)“********”）隸屬***********，主要工作職責(zé)是根據(jù)…………的授權(quán)，負(fù)責(zé)………………；負(fù)責(zé)…………等工作。********作為*********部門(mén)，在印前，需要對(duì)………………。在整個(gè)…………業(yè)務(wù)流程中信息系統(tǒng)起了關(guān)鍵的作用。項(xiàng)目目標(biāo)以國(guó)家信息安全等級(jí)保護(hù)相關(guān)文件及ISO27001/GBT22080為指導(dǎo)，結(jié)合********信息系統(tǒng)安全現(xiàn)狀及未來(lái)發(fā)展趨勢(shì)，建立一套完善的安全防護(hù)體系。通過(guò)體系化、標(biāo)準(zhǔn)化的信息安全風(fēng)險(xiǎn)評(píng)估，積極采取各種安全管理和安全技術(shù)防護(hù)措施，落實(shí)信息安全等級(jí)保護(hù)相關(guān)要求，提高信息系統(tǒng)安全防護(hù)能力。從技術(shù)與管理上提高********網(wǎng)絡(luò)與信息系統(tǒng)安全防護(hù)水平，防止信息網(wǎng)絡(luò)癱瘓，防止應(yīng)用系統(tǒng)破壞，防止業(yè)務(wù)數(shù)據(jù)丟失，防止企業(yè)信息泄密，防止終端病毒感染，防止有害信息傳播，防止惡意滲透攻擊，確保信息系統(tǒng)安全穩(wěn)定運(yùn)行，確保業(yè)務(wù)數(shù)據(jù)安全。依據(jù)及原則原則以適度風(fēng)險(xiǎn)為核心，以重點(diǎn)保護(hù)為原則，從業(yè)務(wù)的角度出發(fā)，重點(diǎn)保護(hù)重要的業(yè)務(wù)、信息系統(tǒng)，在方案設(shè)計(jì)中遵循以下的原則：適度安全原則從網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)等層面加強(qiáng)防護(hù)措施，保障信息系統(tǒng)的機(jī)密性、完整性和可用性，同時(shí)綜合成本，針對(duì)信息系統(tǒng)的實(shí)際風(fēng)險(xiǎn)，提供對(duì)應(yīng)的保護(hù)強(qiáng)度，并按照保護(hù)強(qiáng)度進(jìn)行安全防護(hù)系統(tǒng)的設(shè)計(jì)和建設(shè)，從而有效控制成本。重點(diǎn)保護(hù)原則根據(jù)信息系統(tǒng)的重要程度、業(yè)務(wù)特點(diǎn)，通過(guò)劃分不同安全保護(hù)等級(jí)的信息系統(tǒng)，實(shí)現(xiàn)不同強(qiáng)度的安全保護(hù)，集中資源優(yōu)先保護(hù)涉及核心業(yè)務(wù)或關(guān)鍵信息資產(chǎn)的信息系統(tǒng)。技術(shù)管理并重原則把技術(shù)措施和管理措施有效結(jié)合起來(lái)，加強(qiáng)********信息系統(tǒng)的整體安全性。標(biāo)準(zhǔn)性原則信息安全建設(shè)是非常復(fù)雜的過(guò)程，在規(guī)劃、設(shè)計(jì)信息安全系統(tǒng)時(shí)，單純依賴(lài)經(jīng)驗(yàn)是無(wú)法對(duì)抗未知的威脅和攻擊，因此需要遵循相應(yīng)的安全標(biāo)準(zhǔn)，從更全面的角度進(jìn)行差異性分析。同時(shí)，在規(guī)劃、設(shè)計(jì)********信息安全保護(hù)體系時(shí)應(yīng)考慮與其他標(biāo)準(zhǔn)的符合性，在方案中的技術(shù)部分將參考IATF安全體系框架進(jìn)行設(shè)計(jì)，在管理方面同時(shí)參考27001安全管理指南，使建成后的等級(jí)保護(hù)體系更具有廣泛的實(shí)用性。動(dòng)態(tài)調(diào)整原則信息安全問(wèn)題不是靜態(tài)的，它總是隨著********的安全組織策略、組織架構(gòu)、信息系統(tǒng)和操作流程的改變而改變，因此必須要跟蹤信息系統(tǒng)的變化情況，調(diào)整安全保護(hù)措施。成熟性原則本方案設(shè)計(jì)采取的安全措施和產(chǎn)品，在技術(shù)上是成熟的，是被檢驗(yàn)確實(shí)能夠解決安全問(wèn)題并在很多項(xiàng)目中有成功應(yīng)用的?？茖W(xué)性原則在對(duì)********信息系統(tǒng)進(jìn)行安全評(píng)估的基礎(chǔ)上，對(duì)其面臨的威脅、弱點(diǎn)和風(fēng)險(xiǎn)進(jìn)行了客觀評(píng)價(jià)，因此規(guī)劃方案設(shè)計(jì)的措施和策略一方面能夠符合國(guó)家等級(jí)保護(hù)的相關(guān)要求，另一方面也能夠很好地解決********信息網(wǎng)絡(luò)中存在的安全問(wèn)題，滿(mǎn)足特性需求。依據(jù)政策文件關(guān)于轉(zhuǎn)發(fā)《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》的通知（中辦[2003]27號(hào)文件）關(guān)于印發(fā)《信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)》的通知（公通字[2004]66號(hào)文件）關(guān)于印發(fā)《信息安全等級(jí)保護(hù)管理辦法》的通知（公通字[2007]43號(hào)文件）《信息安全等級(jí)保護(hù)管理辦法》（公通字[2007]43號(hào)）《關(guān)于開(kāi)展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知》（公信安[2007]861號(hào)）《關(guān)于開(kāi)展信息安全等級(jí)保護(hù)安全建設(shè)整改工作的指導(dǎo)意見(jiàn)》(公信安[2009]1429號(hào))標(biāo)準(zhǔn)規(guī)范計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則（GB/T17859-1999）信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南信息安全技術(shù)信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南（GB/T22240-2008）信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求（GB/T22239-2008）信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南信息安全技術(shù)信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求項(xiàng)目范圍按照國(guó)家有關(guān)規(guī)定和標(biāo)準(zhǔn)規(guī)范要求，堅(jiān)持管理和技術(shù)并重的原則，將技術(shù)措施和管理措施有機(jī)結(jié)合，建立信息系統(tǒng)綜合防護(hù)體系，提高信息系統(tǒng)整體安全保護(hù)能力。依據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（以下簡(jiǎn)稱(chēng)《基本要求》），落實(shí)信息安全責(zé)任制，建立并落實(shí)各類(lèi)安全管理制度，開(kāi)展人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等工作，落實(shí)物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全等安全保護(hù)技術(shù)措施。根據(jù)********現(xiàn)狀和********規(guī)劃，確定本項(xiàng)目主要建設(shè)內(nèi)容包括：網(wǎng)絡(luò)結(jié)構(gòu)調(diào)整、物理安全建設(shè)、主機(jī)及應(yīng)用系統(tǒng)安全建設(shè)、數(shù)據(jù)存儲(chǔ)與備份安全建設(shè)、終端安全建設(shè)、運(yùn)行及優(yōu)化等。總體需求********在充分利用現(xiàn)有信息化成果的基礎(chǔ)上，進(jìn)一步將信息化技術(shù)深入應(yīng)用于管理、設(shè)計(jì)、協(xié)同等各方面，建立和完善以信息和網(wǎng)絡(luò)技術(shù)為支撐，滿(mǎn)足************服務(wù)等所需的信息網(wǎng)絡(luò)體系和協(xié)同工作平臺(tái)，滿(mǎn)足公司運(yùn)營(yíng)管控的信息化平臺(tái)，實(shí)現(xiàn)技術(shù)、人力、資金、設(shè)備、知識(shí)資源的共享。目前********隨著業(yè)務(wù)不斷增加信息化建設(shè)的進(jìn)度必須滿(mǎn)足業(yè)務(wù)發(fā)展的需要。********信息系統(tǒng)安全建設(shè)，旨在從技術(shù)與管理上加強(qiáng)公司網(wǎng)絡(luò)與信息系統(tǒng)安全防護(hù)水平，防止信息網(wǎng)絡(luò)癱瘓，防止應(yīng)用系統(tǒng)破壞，防止業(yè)務(wù)數(shù)據(jù)丟失，防止********信息泄密，防止終端病毒感染，防止有害信息傳播，防止惡意滲透攻擊，確保信息系統(tǒng)安全穩(wěn)定運(yùn)行，確保業(yè)務(wù)數(shù)據(jù)安全。針對(duì)********信息系統(tǒng)安全現(xiàn)狀及未來(lái)的需求分析，亟需建立一整套完善的安全體系。該體系包括信息系統(tǒng)的安全管理體系和技術(shù)產(chǎn)品的技術(shù)體系。通過(guò)兩個(gè)體系的建立，實(shí)現(xiàn)********信息系統(tǒng)的所有信息資產(chǎn)以及與******之間進(jìn)行安全的管理和技術(shù)保護(hù)。同時(shí)通過(guò)多層次、多角度的安全服務(wù)和產(chǎn)品，覆蓋從物理環(huán)境、網(wǎng)絡(luò)層、系統(tǒng)層、數(shù)據(jù)庫(kù)層、應(yīng)用層和組織管理信息安全的所有方面。整個(gè)安全體系包括網(wǎng)絡(luò)平臺(tái)安全、應(yīng)用安全、系統(tǒng)平臺(tái)安全以及物理和環(huán)境的安全等內(nèi)容。項(xiàng)目建議主要完成兩項(xiàng)工作，一是信息系統(tǒng)安全現(xiàn)狀調(diào)查與分析；二是信息系統(tǒng)安全建設(shè)規(guī)劃方案設(shè)計(jì)。信息系統(tǒng)安全現(xiàn)狀評(píng)估與分析評(píng)估目的為了準(zhǔn)確把握*****************當(dāng)前現(xiàn)狀，了解當(dāng)前存在的缺陷和不足，完善信息系統(tǒng)整體安全。以信息系統(tǒng)安全等級(jí)保護(hù)標(biāo)準(zhǔn)為基礎(chǔ)，對(duì)信息系統(tǒng)安全進(jìn)行符合性分析，作為**********************信息系統(tǒng)安全規(guī)劃的原始標(biāo)準(zhǔn)和改進(jìn)依據(jù)。評(píng)估內(nèi)容及方法評(píng)估內(nèi)容結(jié)合信息系統(tǒng)安全等級(jí)保護(hù)基本要求標(biāo)準(zhǔn)，對(duì)********的信息系統(tǒng)進(jìn)行測(cè)試評(píng)估，應(yīng)包括兩個(gè)方面的內(nèi)容：一是安全控制評(píng)估，主要評(píng)估信息安全等級(jí)保護(hù)要求的基本安全控制在信息系統(tǒng)中的實(shí)施配置情況；二是系統(tǒng)整體評(píng)估，主要評(píng)估分析信息系統(tǒng)的整體安全性。其中，安全控制評(píng)估是信息系統(tǒng)整體安全評(píng)估的基礎(chǔ)。對(duì)安全控制評(píng)估的描述，使用評(píng)估單元方式組織。評(píng)估單元分為安全技術(shù)評(píng)估和安全管理評(píng)估兩大類(lèi)。安全技術(shù)評(píng)估包括：物理安全、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)安全、應(yīng)用安全和數(shù)據(jù)安全等五個(gè)層面上的安全控制評(píng)估；安全管理評(píng)估包括：安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等五個(gè)方面的安全控制評(píng)估。具體見(jiàn)下圖：由于********在信息系統(tǒng)安全規(guī)劃建議是基于信息系統(tǒng)安全等級(jí)保護(hù)基本要求標(biāo)準(zhǔn)（二級(jí)）之上，因此，共需要對(duì)技術(shù)與管理兩大方面、十個(gè)層面的66個(gè)控制項(xiàng)、175個(gè)控制點(diǎn)進(jìn)行安全評(píng)估。技術(shù)部分技術(shù)部分將對(duì)********的物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份的五個(gè)層面進(jìn)行安全控制評(píng)估。管理部分安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等五個(gè)方面的安全控制評(píng)估評(píng)估方法評(píng)估實(shí)施階段的工作主要是進(jìn)入評(píng)估現(xiàn)場(chǎng)以后，依據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》和評(píng)估計(jì)劃和方案的要求，通過(guò)各種評(píng)估方式對(duì)涉及信息系統(tǒng)安全各個(gè)層面進(jìn)行評(píng)估。評(píng)估的主要方式包括：文檔審核文檔審核的對(duì)象主要是與被評(píng)估信息系統(tǒng)安全性有關(guān)的各個(gè)方面的文檔，如：安全管理制度和文件、安全管理的執(zhí)行過(guò)程文檔、系統(tǒng)設(shè)計(jì)方案、網(wǎng)絡(luò)設(shè)備的技術(shù)資料、系統(tǒng)和產(chǎn)品的實(shí)際配置說(shuō)明、系統(tǒng)的各種運(yùn)行記錄文檔、機(jī)房建設(shè)相關(guān)資料等等。通過(guò)對(duì)這些文檔的審核與分析確認(rèn)評(píng)估的相關(guān)內(nèi)容是否達(dá)到了等級(jí)的要求?，F(xiàn)場(chǎng)訪談評(píng)估人員與被評(píng)估信息系統(tǒng)的相關(guān)人員進(jìn)行交談和問(wèn)詢(xún)，了解信息系統(tǒng)技術(shù)和管理方面的一些基本信息，并對(duì)一些評(píng)估內(nèi)容及其文檔審核的內(nèi)容進(jìn)行核實(shí)。人員訪談是通過(guò)調(diào)查表、人員訪談、現(xiàn)場(chǎng)勘查、文檔查看等手段了解管理弱點(diǎn)，對(duì)客戶(hù)的信息安全管理體系、信息安全運(yùn)維過(guò)程等方面，對(duì)比等級(jí)要求進(jìn)行測(cè)試。評(píng)估人員通過(guò)與信息系統(tǒng)有關(guān)人員（個(gè)人/群體）進(jìn)行交流、討論等活動(dòng)，獲取證據(jù)以證明信息系統(tǒng)安全等級(jí)保護(hù)措施是否有效，評(píng)估中使用各類(lèi)調(diào)查問(wèn)卷和訪談大綱。評(píng)估方法人員訪談簡(jiǎn)要描述根據(jù)系統(tǒng)定級(jí)，對(duì)安全管理制度的制定及執(zhí)行情況進(jìn)行檢查達(dá)成目標(biāo)了解甲方安全管理制度的制定情況、落實(shí)情況主要內(nèi)容安全組織和管理，安全策略和程序，應(yīng)用安全管理，數(shù)據(jù)安全管理，操作系統(tǒng)安全管理，網(wǎng)絡(luò)安全管理，訪問(wèn)控制管理，物理安全控制，業(yè)務(wù)連續(xù)性管理（含備份）實(shí)現(xiàn)方式管理制度和程序文件的收集和分析分析和現(xiàn)場(chǎng)檢查管理過(guò)程記錄問(wèn)卷和現(xiàn)場(chǎng)訪談工作結(jié)果甲方安全管理制度訪談結(jié)果現(xiàn)場(chǎng)檢查現(xiàn)場(chǎng)檢查主要是對(duì)一些需要在現(xiàn)場(chǎng)上機(jī)進(jìn)行實(shí)際檢查與確認(rèn)的信息進(jìn)行核實(shí)，以及對(duì)某些訪談和文檔審核的內(nèi)容進(jìn)行核實(shí)。評(píng)估人員通過(guò)對(duì)評(píng)估對(duì)象進(jìn)行觀察、查驗(yàn)、分析等活動(dòng)，獲取證據(jù)以證明信息系統(tǒng)安全等級(jí)保護(hù)措施是否有效的一種方法，評(píng)估過(guò)程中使用各種檢查表和相應(yīng)的安全調(diào)查工具。人工審計(jì)對(duì)實(shí)施人員的安全知識(shí)、安全技術(shù)和安全經(jīng)驗(yàn)要求很高，因?yàn)樗麄儽仨毩私庾钚碌陌踩┒?、掌握多種先進(jìn)的安全技術(shù)和積累豐富的安全領(lǐng)域經(jīng)驗(yàn)，這樣才能對(duì)技術(shù)評(píng)估對(duì)象中物理層、網(wǎng)絡(luò)層、主機(jī)層、數(shù)據(jù)層和客戶(hù)層的所有安全對(duì)象目標(biāo)進(jìn)行最有效和最完整的安全檢查，并提供最合理和最及時(shí)的安全建議。評(píng)估方法人工審計(jì)簡(jiǎn)要描述作為漏洞掃描的輔助手段，通過(guò)登陸系統(tǒng)控制臺(tái)的方式人工核查和分析系統(tǒng)的安全配置情況達(dá)成目標(biāo)檢測(cè)系統(tǒng)的安全配置情況，發(fā)現(xiàn)配置隱患主要內(nèi)容系統(tǒng)控制臺(tái)配置審計(jì)實(shí)現(xiàn)方式利用安全配置審計(jì)腳本、安全配置核查系統(tǒng)及手工配置檢查對(duì)評(píng)估對(duì)象的安全配置情況進(jìn)行審計(jì)、核查工作結(jié)果甲方系統(tǒng)人工審計(jì)結(jié)果報(bào)告工具測(cè)試工具測(cè)試主要是根據(jù)被評(píng)估信息系統(tǒng)的實(shí)際情況，評(píng)估人員使用某些技術(shù)工具對(duì)信息系統(tǒng)進(jìn)行測(cè)試。一般包括漏洞掃描（僅限于終端）、性能測(cè)試、配置檢查、日志與記錄分析等內(nèi)容。在本次差距評(píng)估服務(wù)項(xiàng)目實(shí)施中，使用的工具包括網(wǎng)絡(luò)和系統(tǒng)漏洞掃描工具、應(yīng)用漏洞掃描工具、綜合掃描工具、網(wǎng)絡(luò)協(xié)議分析工具、滲透測(cè)試工具和其它相關(guān)工具等。漏洞掃描漏洞掃描是通過(guò)自動(dòng)化的評(píng)估工具（安全評(píng)估系統(tǒng)或掃描器），根據(jù)其內(nèi)置的評(píng)估內(nèi)容、測(cè)試方法、評(píng)估策略及相關(guān)數(shù)據(jù)庫(kù)信息，從系統(tǒng)內(nèi)部、外部對(duì)系統(tǒng)進(jìn)行一系列的脆弱性檢查，發(fā)現(xiàn)潛在安全風(fēng)險(xiǎn)問(wèn)題，如易猜出的密碼、用戶(hù)權(quán)限、用戶(hù)設(shè)置、關(guān)鍵文件權(quán)限設(shè)置、路徑設(shè)置、密碼設(shè)置、網(wǎng)絡(luò)服務(wù)配置、應(yīng)用程序的可信性、服務(wù)器設(shè)置以及其他含有攻擊隱患的可疑點(diǎn)等。使用漏洞掃描工具的優(yōu)點(diǎn)是能夠明顯降低評(píng)估工作量，且其報(bào)表功能較為強(qiáng)大，有的還具備一定的智能分析和數(shù)據(jù)庫(kù)升級(jí)功能。評(píng)估方法漏洞掃描簡(jiǎn)要描述利用漏洞掃描工具從網(wǎng)絡(luò)的不同接入點(diǎn)對(duì)甲方網(wǎng)絡(luò)內(nèi)的網(wǎng)絡(luò)設(shè)備、主機(jī)、應(yīng)用和數(shù)據(jù)庫(kù)等系統(tǒng)進(jìn)行脆弱性檢查和分析達(dá)成目標(biāo)發(fā)掘甲方信息系統(tǒng)的安全漏洞，提出漏洞修補(bǔ)建議主要內(nèi)容以多種漏洞掃描工具實(shí)施漏洞掃描實(shí)現(xiàn)方式利用安全掃描器等多種漏洞掃描工具進(jìn)行安全評(píng)估工作結(jié)果甲方系統(tǒng)漏洞掃描分析結(jié)果報(bào)告安全測(cè)試安全測(cè)試包括功能測(cè)試、性能測(cè)試及滲透測(cè)試。主要針對(duì)應(yīng)用系統(tǒng)的功能及性能方面進(jìn)行測(cè)試，驗(yàn)證應(yīng)用系統(tǒng)的功能及性能是否符合要求；以及從操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、應(yīng)用系統(tǒng)及網(wǎng)絡(luò)設(shè)備等方面可能存在的漏洞及弱點(diǎn)出發(fā)，對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行滲透性測(cè)試，驗(yàn)證網(wǎng)絡(luò)系統(tǒng)的安全防護(hù)是否有效。評(píng)估人員通過(guò)對(duì)評(píng)估對(duì)象進(jìn)行探測(cè)、分析、測(cè)試及驗(yàn)證等活動(dòng)，獲取證據(jù)以證明信息系統(tǒng)安全等級(jí)保護(hù)措施是否有效，評(píng)估過(guò)程中會(huì)使用到各種專(zhuān)業(yè)的測(cè)試工具。評(píng)估方法安全測(cè)試簡(jiǎn)要描述作為人工審計(jì)及安全檢查的輔助手段，通過(guò)對(duì)設(shè)備及系統(tǒng)的功能、性能、安全性等進(jìn)行測(cè)試和驗(yàn)證，核查設(shè)備及系統(tǒng)的安全防護(hù)情況達(dá)成目標(biāo)檢測(cè)系統(tǒng)的安全防護(hù)情況，發(fā)現(xiàn)深度的安全隱患主要內(nèi)容設(shè)備及系統(tǒng)的功能、性能及安全性測(cè)試實(shí)現(xiàn)方式主要通過(guò)人工方式，并配合使用多種評(píng)估工具對(duì)設(shè)備及系統(tǒng)的功能、性能及安全性方面進(jìn)行測(cè)試工作結(jié)果甲方系統(tǒng)安全測(cè)試結(jié)果報(bào)告實(shí)施過(guò)程信息系統(tǒng)安全等級(jí)保護(hù)差距評(píng)估的全過(guò)程以項(xiàng)目管理理論為基礎(chǔ)，整個(gè)評(píng)估過(guò)程共分評(píng)估準(zhǔn)備、現(xiàn)場(chǎng)評(píng)估、評(píng)估分析和整改規(guī)劃四個(gè)階段。評(píng)估準(zhǔn)備階段主要工作在本階段的主要工作包括：編制基于等級(jí)保護(hù)基本要求標(biāo)準(zhǔn)的差距評(píng)估實(shí)施計(jì)劃，明確差距評(píng)估小組成員及其職責(zé)、分工、溝通的流程，明確******及用戶(hù)雙方的工作分工、權(quán)利和義務(wù)，進(jìn)行相關(guān)數(shù)據(jù)信息的收集，召開(kāi)差距評(píng)估啟動(dòng)，獲取資料信息等工作。各方的主要職責(zé)分工如下：******：負(fù)責(zé)編制基于等級(jí)保護(hù)基本要求標(biāo)準(zhǔn)的差距評(píng)估實(shí)施計(jì)劃；確定實(shí)施人員、工作職責(zé)、實(shí)施時(shí)間和具體內(nèi)容；準(zhǔn)備評(píng)估工具（表單、技術(shù)工具等）。用戶(hù)方：確定用戶(hù)方的參與人員及工作職責(zé)；雙方共同：召開(kāi)基于等級(jí)保護(hù)基本要求標(biāo)準(zhǔn)的差距評(píng)估啟動(dòng)會(huì)；討論并確定本差距評(píng)估與風(fēng)險(xiǎn)分析實(shí)施計(jì)劃。所需資源需要用戶(hù)方提供以下必要的資料及信息：資產(chǎn)清單及信息系統(tǒng)拓?fù)鋱D；涉及資產(chǎn)的配置情況。規(guī)章制度相關(guān)文檔階段成果在本階段，******將整理并向用戶(hù)方提交以下服務(wù)資料：《項(xiàng)目實(shí)施計(jì)劃》《評(píng)估表單》《會(huì)議紀(jì)要》階段目標(biāo)評(píng)估準(zhǔn)備階段的主要目標(biāo)是獲取用戶(hù)方的信息系統(tǒng)基本信息，確定評(píng)估范圍，共同討論確定現(xiàn)場(chǎng)評(píng)估計(jì)劃為目標(biāo)，確保雙方在差距評(píng)估工作能夠達(dá)成共識(shí)。現(xiàn)場(chǎng)評(píng)估階段目標(biāo)進(jìn)行信息系統(tǒng)信息的收集、分析，對(duì)信息系統(tǒng)進(jìn)行合理分解，然后進(jìn)入標(biāo)準(zhǔn)符合性檢查測(cè)試評(píng)估階段，任務(wù)是全面獲取與驗(yàn)證當(dāng)前的信息系統(tǒng)，組織，信息安全管理，系統(tǒng)威脅、脆弱性、安全控制措施等信息。以此為基礎(chǔ)，結(jié)合標(biāo)準(zhǔn)、專(zhuān)業(yè)的安全知識(shí)及經(jīng)驗(yàn)對(duì)安全的概況進(jìn)行補(bǔ)充與調(diào)整，為最終的整改實(shí)施階段方案的編制提供依據(jù)。獲取當(dāng)前信息系統(tǒng)與等級(jí)保護(hù)相應(yīng)級(jí)別標(biāo)準(zhǔn)要求之間的差距情況。階段主要工作在本階段的主要工作包括：標(biāo)準(zhǔn)符合性評(píng)估階段的主要工作有人員調(diào)查、資產(chǎn)調(diào)查、安全威脅調(diào)查、安全需求調(diào)查、安全技術(shù)水平調(diào)查等，采用文檔收集、問(wèn)卷調(diào)研、人員訪談、現(xiàn)場(chǎng)檢查、技術(shù)測(cè)試（如漏洞掃描分析）等多種手段進(jìn)行差距性分析。主要工作安排如下：調(diào)查和統(tǒng)計(jì)********涉及的所有信息資產(chǎn)（包含物理環(huán)境、網(wǎng)絡(luò)設(shè)備、主機(jī)、應(yīng)用軟件、業(yè)務(wù)系統(tǒng)、數(shù)據(jù)、人員、標(biāo)準(zhǔn)流程等），明確其現(xiàn)有狀況、配置情況和管理情況。其中拓?fù)浣Y(jié)構(gòu)調(diào)查工作包括對(duì)********的TCP/IP網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)進(jìn)行實(shí)地查驗(yàn)，核實(shí)拓?fù)浣Y(jié)構(gòu)圖；現(xiàn)有安全系統(tǒng)調(diào)查工作包括現(xiàn)有安全設(shè)備(包括防火墻、防病毒系統(tǒng)、入侵檢測(cè)系統(tǒng)、安全掃描系統(tǒng))的部署情況和使用情況。結(jié)合等級(jí)保護(hù)基本要求標(biāo)準(zhǔn)（二級(jí)），對(duì)********的信息系統(tǒng)進(jìn)行全面分析面臨的威脅，評(píng)估現(xiàn)有系統(tǒng)的技術(shù)和管理、組織結(jié)構(gòu)等方面的標(biāo)準(zhǔn)符合偏差，明確所有網(wǎng)絡(luò)及應(yīng)用系統(tǒng)標(biāo)準(zhǔn)符合偏差?，F(xiàn)場(chǎng)評(píng)估階段的具體工作安排如下：序號(hào)評(píng)估控制項(xiàng)評(píng)估內(nèi)容工具/作業(yè)指導(dǎo)書(shū)配合人員備注1物理安全（0.5天）機(jī)房機(jī)房現(xiàn)場(chǎng)環(huán)境檢查《物理安全調(diào)查表》機(jī)房管理員如果有機(jī)房建設(shè)、驗(yàn)收材料，請(qǐng)?zhí)峁?網(wǎng)絡(luò)安全（3天）交換機(jī)/路由器交換機(jī)/路由器安全配置檢查《網(wǎng)絡(luò)安全調(diào)查表》

《交換機(jī)檢查表》

《路由器檢查表》網(wǎng)絡(luò)管理員需要協(xié)助登錄并操作，可提供配置文件防火墻/VPN/網(wǎng)閘防火墻安全配置檢查《網(wǎng)絡(luò)安全調(diào)查表》

《VPN檢查表》

《網(wǎng)閘檢查表》安全管理員/網(wǎng)絡(luò)管理員需要協(xié)助登錄并操作，可提供配置文件IPS/IDS/防病毒IPS/IDS/防火墻安全配置檢查《網(wǎng)絡(luò)安全調(diào)查表》

《IDS檢查表》安全管理員/網(wǎng)絡(luò)管理員需要協(xié)助登錄并操作，可提供配置文件網(wǎng)絡(luò)結(jié)構(gòu)邊界分析《網(wǎng)絡(luò)安全調(diào)查表》

對(duì)網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行現(xiàn)場(chǎng)排查及分析網(wǎng)絡(luò)管理員提供訪問(wèn)控制策略文件。配合解答評(píng)估問(wèn)題。網(wǎng)絡(luò)分析3主機(jī)安全（2天）操作系統(tǒng)服務(wù)器操作系統(tǒng)安全配置檢查《主機(jī)安全調(diào)查表-linux/unix》

《主機(jī)安全調(diào)查表-windows》

《WINDOWS主機(jī)評(píng)估項(xiàng)》系統(tǒng)管理員需要協(xié)助登錄并操作數(shù)據(jù)庫(kù)系統(tǒng)數(shù)據(jù)庫(kù)安全配置檢查《Domino數(shù)據(jù)庫(kù)核查表》

《SQLSERVER數(shù)據(jù)庫(kù)核查表》

《ORACLE數(shù)據(jù)庫(kù)核查表》數(shù)據(jù)庫(kù)管理員需要協(xié)助登錄并操作4應(yīng)用安全（3天）應(yīng)用系統(tǒng)調(diào)研應(yīng)用安全檢查業(yè)務(wù)應(yīng)用系統(tǒng)安全檢查《應(yīng)用安全調(diào)查表》

漏洞掃描應(yīng)用系統(tǒng)管理員、開(kāi)發(fā)人員需要協(xié)助登錄應(yīng)用系統(tǒng)并操作演示應(yīng)用安全驗(yàn)證測(cè)試業(yè)務(wù)應(yīng)用系統(tǒng)安全測(cè)試（漏洞掃描等）5數(shù)據(jù)安全（0.5天）數(shù)據(jù)安全檢查檢查系統(tǒng)在數(shù)據(jù)完整性、保密性、備份恢復(fù)等安全功能和配置《數(shù)據(jù)安全及備份恢復(fù)調(diào)查表》應(yīng)用系統(tǒng)管理員、開(kāi)發(fā)人員、數(shù)據(jù)庫(kù)管理員需要協(xié)助登錄并操作演示6工具測(cè)試（3天）主機(jī)系統(tǒng)掃描主機(jī)操作系統(tǒng)掃描漏洞掃描及滲透測(cè)試系統(tǒng)網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員需要將專(zhuān)用掃描設(shè)備接入網(wǎng)絡(luò)數(shù)據(jù)庫(kù)系統(tǒng)掃描需要將專(zhuān)用掃描設(shè)備接入網(wǎng)絡(luò)遠(yuǎn)程滲透性測(cè)試網(wǎng)絡(luò)、應(yīng)用漏洞掃描網(wǎng)絡(luò)管理員、應(yīng)用管理員從internet網(wǎng)遠(yuǎn)程接入對(duì)應(yīng)用進(jìn)行滲透測(cè)試網(wǎng)絡(luò)、WEB應(yīng)用攻擊滲透測(cè)試7管理體系檢查（3天）安全管理制度制定、發(fā)布、評(píng)審、修訂等方面《安全管理制度檢查表》文檔管理員及相關(guān)管理負(fù)責(zé)人提供相關(guān)管理制度文件、記錄。若能提供系統(tǒng)建設(shè)時(shí)的設(shè)計(jì)、驗(yàn)收資料請(qǐng)?zhí)峁?。安全管理機(jī)構(gòu)崗位設(shè)置、人員配置等方面《安全管理機(jī)構(gòu)》人員安全管理人員錄用、離崗、考核等方面《人員安全管理》系統(tǒng)建設(shè)、運(yùn)維管理環(huán)境、資產(chǎn)、變更、備份恢復(fù)、安全事件、應(yīng)急預(yù)案《系統(tǒng)建設(shè)管理》管理體系執(zhí)行情況執(zhí)行記錄檢查及執(zhí)行狀況訪談《系統(tǒng)運(yùn)維管理》8結(jié)果匯總分析及確認(rèn)（1.5天）數(shù)據(jù)分析匯總可能需要進(jìn)行補(bǔ)充評(píng)估數(shù)據(jù)確認(rèn)評(píng)估配合人員各方的主要職責(zé)分工如下：******：進(jìn)行現(xiàn)場(chǎng)評(píng)估與分析（訪談、檢查、測(cè)試）；現(xiàn)場(chǎng)評(píng)估工作的部署；對(duì)服務(wù)器及應(yīng)用系統(tǒng)進(jìn)行漏洞掃描等安全測(cè)試；訪談?dòng)脩?hù)方相關(guān)人員（技術(shù)、管理角色），了解當(dāng)前現(xiàn)狀；對(duì)設(shè)備進(jìn)行實(shí)地檢查；對(duì)管理情況進(jìn)行現(xiàn)場(chǎng)訪談、檢查，檢查管理制度文件和記錄；匯總整理現(xiàn)場(chǎng)評(píng)估數(shù)據(jù)。用戶(hù)方：協(xié)助進(jìn)行必要的技術(shù)操作；協(xié)調(diào)差距評(píng)估過(guò)程中所需要的相關(guān)的資源（人員資源、技術(shù)資源、設(shè)備資源、文件資源等）。雙方共同：進(jìn)行現(xiàn)場(chǎng)評(píng)估小結(jié)，初步確認(rèn)評(píng)估結(jié)果。在本階段中，各方應(yīng)對(duì)當(dāng)前信息系統(tǒng)的現(xiàn)狀情況作出客觀、直觀的分析和說(shuō)明。所需資源需要用戶(hù)方提供以下資源、資料及信息：需要用戶(hù)方提供對(duì)信息系統(tǒng)資產(chǎn)的訪問(wèn)權(quán)限；協(xié)調(diào)各信息系統(tǒng)的相關(guān)管理人員（或設(shè)備供貨商、服務(wù)商等）作為接口人員（需要配合完成訪談、檢查與測(cè)試）；需要用戶(hù)方提供所有信息系統(tǒng)安全管理制度文件及記錄文件。階段成果在本階段，******將整理并向用戶(hù)方提交以下服務(wù)資料：《調(diào)查評(píng)估記錄（技術(shù)、管理）》《信息資產(chǎn)調(diào)查表》《漏洞掃描報(bào)告》《技術(shù)訪談?dòng)涗洝贰豆芾碓L談?dòng)涗洝贰稌?huì)議紀(jì)要》評(píng)估分析階段目標(biāo)從技術(shù)和管理兩個(gè)層面對(duì)******進(jìn)行綜合分析，找出信息系統(tǒng)安全方面，存在的缺陷和不足。為下一步信息系統(tǒng)安全建設(shè)規(guī)劃提供現(xiàn)狀上的依據(jù)。階段主要工作本階段的主要工作包括：整理現(xiàn)場(chǎng)評(píng)估數(shù)據(jù)材料，對(duì)現(xiàn)場(chǎng)評(píng)估結(jié)果進(jìn)行綜合分析，找出現(xiàn)狀與標(biāo)準(zhǔn)之間的差距情況，并為整改規(guī)劃提供數(shù)據(jù)參考。各方的主要職責(zé)分工如下：******：整理現(xiàn)場(chǎng)評(píng)估數(shù)據(jù)材料；分析評(píng)估情況，編制評(píng)估分析報(bào)告。用戶(hù)方：無(wú)雙方共同：討論確認(rèn)評(píng)估分析結(jié)論報(bào)告。所需資源無(wú)階段成果在本階段，******將整理并向用戶(hù)方提交以下服務(wù)資料：《現(xiàn)狀評(píng)估分析報(bào)告》信息系統(tǒng)安全建設(shè)規(guī)劃方案設(shè)計(jì)結(jié)合3.1部分的工作，最終為用戶(hù)設(shè)計(jì)出一套整體安全建設(shè)方案，這個(gè)方案中要包含系統(tǒng)現(xiàn)狀與差距的分析、具體的安全建設(shè)（整改）內(nèi)容等。設(shè)計(jì)目標(biāo)以信息安全等級(jí)保護(hù)相關(guān)文件及ISO27001/GBT22080為指導(dǎo)，結(jié)合********信息系統(tǒng)安全現(xiàn)狀及未來(lái)發(fā)展趨勢(shì)，建立一套完善的安全防護(hù)體系。通過(guò)體系化、標(biāo)準(zhǔn)化的信息安全風(fēng)險(xiǎn)評(píng)估，積極采取各種安全管理和安全技術(shù)防護(hù)措施，落實(shí)信息安全等級(jí)保護(hù)相關(guān)要求。從技術(shù)與管理上提高********網(wǎng)絡(luò)與信息系統(tǒng)安全防護(hù)水平，防止信息網(wǎng)絡(luò)癱瘓，防止應(yīng)用系統(tǒng)破壞，防止業(yè)務(wù)數(shù)據(jù)丟失，防止******航海測(cè)繪信息泄密，防止終端病毒感染，防止有害信息傳播，防止惡意滲透攻擊，確保信息系統(tǒng)安全穩(wěn)定運(yùn)行，確保業(yè)務(wù)數(shù)據(jù)安全。主要工作信息系統(tǒng)安全規(guī)劃設(shè)計(jì)建議網(wǎng)絡(luò)訪問(wèn)控制策略網(wǎng)絡(luò)訪問(wèn)控制策略如下：核心服務(wù)器區(qū)/非核心服務(wù)器區(qū)只允許業(yè)務(wù)網(wǎng)終端訪問(wèn)；不允許業(yè)務(wù)網(wǎng)終端到達(dá)外網(wǎng)以及更低的安全區(qū)域；不允許外網(wǎng)終端到達(dá)業(yè)務(wù)網(wǎng)以及更高的安全區(qū)域；允許外網(wǎng)終端訪問(wèn)前置服務(wù)區(qū)；允許外網(wǎng)終端訪問(wèn)因特網(wǎng)服務(wù)器區(qū)；允許外網(wǎng)終端訪問(wèn)因特網(wǎng)并對(duì)所有終端用戶(hù)訪問(wèn)行為，如郵件、網(wǎng)頁(yè)訪問(wèn)等進(jìn)行監(jiān)控；因特網(wǎng)服務(wù)器區(qū)允許因特網(wǎng)公眾訪問(wèn)特定服務(wù)（如Http、SMTP、POP3、DNS等）；同一應(yīng)用系統(tǒng)的前置服務(wù)器與內(nèi)部核心服務(wù)器、非核心服務(wù)器之間建立特定的數(shù)據(jù)交換通道。物理安全物理安全策略針對(duì)以下三個(gè)方面進(jìn)行改造和設(shè)計(jì)：環(huán)境安全：對(duì)系統(tǒng)所在環(huán)境的安全保護(hù)，如區(qū)域保護(hù)和災(zāi)難保護(hù)；（參見(jiàn)國(guó)家標(biāo)準(zhǔn)GB50173－93《電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范》、國(guó)標(biāo)GB2887－89《計(jì)算站場(chǎng)地技術(shù)條件》、GB9361－88《計(jì)算站場(chǎng)地安全要求》設(shè)備安全：主要包括設(shè)備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護(hù)等；媒體安全：包括媒體數(shù)據(jù)的安全及媒體本身的安全。主機(jī)安全主機(jī)安全包括服務(wù)器的主機(jī)安全及終端用戶(hù)的主機(jī)安全，其系統(tǒng)加固和優(yōu)化是實(shí)現(xiàn)********信息系統(tǒng)安全的關(guān)鍵環(huán)節(jié)。通過(guò)主機(jī)系統(tǒng)安全加固，可以對(duì)********各應(yīng)用系統(tǒng)的網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層及終端用戶(hù)等層次設(shè)置合理的安全狀態(tài)，并以此作為保證********信息系統(tǒng)安全的起點(diǎn)。主機(jī)系統(tǒng)安全加固的主要內(nèi)容包括：正確的安裝操作系統(tǒng)和應(yīng)用軟件；安裝全部最新的OS、應(yīng)用軟件的安全補(bǔ)??；操作系統(tǒng)和應(yīng)用軟件的安全配置；系統(tǒng)安全風(fēng)險(xiǎn)防范；應(yīng)用系統(tǒng)功能測(cè)試；系統(tǒng)完整性備份；終端安全管理；終端病毒防護(hù)；終端準(zhǔn)入控制。主機(jī)系統(tǒng)加固是有一定風(fēng)險(xiǎn)的,一般可能的風(fēng)險(xiǎn)包括停機(jī)、應(yīng)用程序不能正常使用、最嚴(yán)重的情況是系統(tǒng)被破壞無(wú)法使用。這些風(fēng)險(xiǎn)一般是由于系統(tǒng)運(yùn)行狀況調(diào)查不清導(dǎo)致，也有因?yàn)榧庸谭桨傅拇鷥r(jià)分析不準(zhǔn)確，誤操作引起，因此在系統(tǒng)加固前應(yīng)做好系統(tǒng)備份。應(yīng)用安全目前****************和************相關(guān)應(yīng)用系統(tǒng)的安全目前往往依賴(lài)于基礎(chǔ)設(shè)施、操作系統(tǒng)、數(shù)據(jù)庫(kù)的安全，對(duì)于訪問(wèn)用戶(hù)不同的應(yīng)用系統(tǒng)，應(yīng)分別制定相應(yīng)的安全防護(hù)策略。應(yīng)用系統(tǒng)的基本安全防護(hù)主要應(yīng)該依靠身份鑒別、內(nèi)部審計(jì)和管理策略，實(shí)現(xiàn)內(nèi)部控制的合規(guī)性；對(duì)于需要對(duì)外網(wǎng)開(kāi)放的應(yīng)用系統(tǒng)，應(yīng)在外網(wǎng)增設(shè)前置服務(wù)器，還需要考慮訪問(wèn)控制和代碼安全。針對(duì)********網(wǎng)站的應(yīng)用系統(tǒng)，主要的安全措施有：嚴(yán)格的安全審查和測(cè)試應(yīng)用系統(tǒng)安全的定義應(yīng)用系統(tǒng)中軟件和硬件的配合外網(wǎng)需要訪問(wèn)的應(yīng)用系統(tǒng)，應(yīng)采取業(yè)務(wù)分離方式設(shè)置前置機(jī)制訂嚴(yán)格的應(yīng)用系統(tǒng)安全使用制度配置應(yīng)用系統(tǒng)的安全備份系統(tǒng)，特別是數(shù)據(jù)庫(kù)系統(tǒng)制訂應(yīng)用系統(tǒng)的應(yīng)急響應(yīng)制度，和配置響應(yīng)的安全人員對(duì)不同的數(shù)據(jù)接口處采用入侵監(jiān)測(cè)和身份認(rèn)證等多方位安全方式所需資源需要用戶(hù)方提供以下資源、資料及信息：協(xié)調(diào)各信息系統(tǒng)的相關(guān)管理人員（或設(shè)備供貨商、服務(wù)商等）作為溝通接口人員（討論整改思路）。階段成果在本階段，******將整理并向用戶(hù)方提交以下服務(wù)資料：《信息系統(tǒng)安全建設(shè)規(guī)劃方案》附錄項(xiàng)目實(shí)施內(nèi)容列表及報(bào)價(jià)清單信息安全系統(tǒng)規(guī)劃作業(yè)計(jì)劃表序號(hào)評(píng)估控制項(xiàng)評(píng)估內(nèi)容評(píng)估周期費(fèi)用(元)工具/作業(yè)指導(dǎo)書(shū)配合人員備注1物理安全（0.5天）機(jī)房機(jī)房現(xiàn)場(chǎng)環(huán)境檢查0.5《物理安全調(diào)查表》機(jī)房管理員如果有機(jī)房建設(shè)、驗(yàn)收材料，請(qǐng)?zhí)峁?網(wǎng)絡(luò)安全（2.5天）交換機(jī)/路由器交換機(jī)/路由器安全配置檢查1《網(wǎng)絡(luò)安全調(diào)查表》網(wǎng)絡(luò)管理員需要協(xié)助登錄并操作，可提供配置文件《交換機(jī)檢查表》《路由器檢查表》防火墻/VPN/網(wǎng)閘防火墻安全配置檢查0.5《網(wǎng)絡(luò)安全調(diào)查表》安全管理員/網(wǎng)絡(luò)管理員需要協(xié)助登錄并操作，可提供配置文件《VPN檢查表》《網(wǎng)閘檢查表》IPS/IDS/防病毒IPS/IDS/防火墻安全配置檢查0.5《網(wǎng)絡(luò)安全調(diào)查表》安全管理員/網(wǎng)絡(luò)管理員需要協(xié)助登錄并操作，可提供配置文件《IDS檢查表》網(wǎng)絡(luò)結(jié)構(gòu)邊界分析0.5《網(wǎng)絡(luò)安全調(diào)查表》網(wǎng)絡(luò)管理員提供訪問(wèn)控制策略文件。配合解答評(píng)估問(wèn)題。網(wǎng)絡(luò)分析對(duì)網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行現(xiàn)場(chǎng)排查及分析3主機(jī)安全（2天）操作系統(tǒng)服務(wù)器操作系統(tǒng)安全配置檢查1.5《主機(jī)安全調(diào)查表-linux/unix》系統(tǒng)管理員需要協(xié)助登錄并操作《主機(jī)安全調(diào)查表-windows》《WINDOWS主機(jī)評(píng)估項(xiàng)》數(shù)據(jù)庫(kù)系統(tǒng)數(shù)據(jù)庫(kù)安全配置檢查0.5《Domino數(shù)據(jù)庫(kù)核查表》數(shù)據(jù)庫(kù)管理員需要協(xié)助登錄并操作《SQLSERVER數(shù)據(jù)庫(kù)核查表》《ORACLE數(shù)據(jù)庫(kù)核查表》4應(yīng)用安全（3天）應(yīng)用系統(tǒng)調(diào)研1應(yīng)用安全檢查業(yè)務(wù)應(yīng)用系統(tǒng)安全檢查2《應(yīng)用安全調(diào)查表》應(yīng)用系統(tǒng)管理員、開(kāi)發(fā)人員需要協(xié)助登錄應(yīng)用系統(tǒng)并操作演示應(yīng)用安全驗(yàn)證測(cè)試業(yè)務(wù)應(yīng)用系統(tǒng)安全測(cè)試（漏洞掃描等）漏洞掃描5數(shù)據(jù)安全（0.5天）數(shù)據(jù)安全檢查檢查系統(tǒng)在數(shù)據(jù)完整性、保密性、備份恢復(fù)等安全功能和配置0.5《數(shù)據(jù)安全及備份恢復(fù)調(diào)查表》應(yīng)用系統(tǒng)管理員、開(kāi)發(fā)人員、數(shù)據(jù)庫(kù)管理員需要協(xié)助登錄并操作演示6工具測(cè)試（3天）主機(jī)系統(tǒng)掃描主機(jī)操作系統(tǒng)掃描1漏洞掃描及滲透測(cè)試系統(tǒng)網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員需要將專(zhuān)用掃描設(shè)備接入網(wǎng)絡(luò)數(shù)據(jù)庫(kù)系統(tǒng)掃描0.5需要將專(zhuān)用掃描設(shè)備接入網(wǎng)絡(luò)遠(yuǎn)程滲透性測(cè)試網(wǎng)絡(luò)、應(yīng)用漏洞掃描1網(wǎng)絡(luò)管理員、應(yīng)用管理員從internet網(wǎng)遠(yuǎn)程接入對(duì)應(yīng)用進(jìn)行滲透測(cè)試網(wǎng)絡(luò)、WEB應(yīng)用攻擊滲透測(cè)試0.57管理體系檢查（2天）安全管理制度制定、發(fā)布、評(píng)審、修訂等方面2《安全管