駐地安全服務安全運維技術方案標書

1、1.1信息系統(tǒng)安全服務1.1.1服務范圍和服務內容本次服務范圍為XXX信息系統(tǒng)硬件及應用系統(tǒng)，主要包括計算機終端、打印機、 服務器、存儲設備、網絡（安全）設備以及應用系統(tǒng)。服務內容包括日常運維服務 （駐場服務）、專業(yè)安全服務、信息化建設咨詢服務等。1.1.2服務目標保障軟硬件的穩(wěn)定性和可靠性；保障軟硬件的安全性和可恢復性；故障的及時響應與修復；硬件設備的維修服務；人員的技術培訓服務；信息化建設規(guī)劃、方案制定等咨詢服務。1.1.3服務內容風險評估風險評估的目的是了解和控制運行過程中的信息系統(tǒng)安全風險，運維階段的風 險評估是一種較為全面的風險評估。評估內容包括對真實運行的信息系統(tǒng)、資產、威脅、脆弱

2、性等各方面。（1）資產評估：對真實環(huán)境下較為細致的評估，包括實施階段采購的軟硬件資 產、系統(tǒng)運行過程中生成的信息資產、相關的人員與服務等。本階段資產識別是前 期資產識別的補充與增加；（2）威脅評估：真實環(huán)境中的威脅分析，應全面地評估威脅的可能性和影響程 度。對非故意威脅產生安全事件的評估可以參照事故發(fā)生率；對故意威脅主要由評 估人員就威脅的各個影響因素做出專業(yè)判斷；同時考慮已有控制措施；（3）脆弱性評估：全面的脆弱性評估。包括運行環(huán)境下物理、網絡、系統(tǒng)、應 用、安全保障設備、管理的脆弱性。對于技術的脆弱性評估采取核查、掃描、案例 驗證、滲透性測試的方式驗證脆弱性；對安全保障設備脆弱性評估時考慮

3、安全功能 的實現(xiàn)情況和安全措施本身的脆弱性。對于管理脆弱性采取文檔、記錄核查進行驗 證；（4）風險計算：根據相關標準，對主要資產的風險進行定性或定量的風險分析， 描述不同資產的風險高低狀況。安全加固安全加固是指對在風險評估中發(fā)現(xiàn)的系統(tǒng)安全風險進行處理，按照級別不同， 應該在相應時間內完成。安全加固的內容主要包括：（1）日常安全加固工作，主要是根據風險評估結果進行系統(tǒng)安全調優(yōu)服務，根據系統(tǒng)運行需要適時調整各類設備及系統(tǒng)配置、合理規(guī)劃系統(tǒng)資源、消除系統(tǒng)漏洞， 提高系統(tǒng)穩(wěn)定性和可靠性；（2）主動安全加固，在未出現(xiàn)安全事故之前就對已經通報或者暴露出來的軟件 漏洞或最新病毒庫更新，就主動進計劃的升級和改

4、進，從而避免出現(xiàn)安全事故。具體加固內容包括但不限于：帳戶策略、帳戶鎖定策略、審核策略、NTFS、用戶 權限分配、系統(tǒng)服務策略、補丁管理、事件日志、應用軟件的更新等。應急響應應急狀態(tài)的安全值守、響應工作，主要是系統(tǒng)應急響應、重大安全故障處理，確 保系統(tǒng)出現(xiàn)安全事件時快速反應、及時處理，降低系統(tǒng)安全問題對XX局內工作的影 響。安全巡檢安全巡檢主要是指深入現(xiàn)場，了解情況：質檢服務內容中的各類安全設備，了解 安全設備運行情況，仔細觀察各個安全節(jié)點的可靠性，并綜合安全巡檢情況，定制 安全策略。安全監(jiān)控對服務內容進行監(jiān)控，在安全環(huán)境產生變化時，及時更新安全策略，在現(xiàn)有設備 和網絡情況有改變的時候，快速制定

5、，針對更新后設備環(huán)境的安全策略，并實施部 署。避免因設備變更而帶來的安全風險。定期安全通告，在互聯(lián)網上出現(xiàn)新型病毒或者新出現(xiàn)漏洞并且部分修補的情況 下，制作安全通告及時告知相關運維人員，增強對于新型病毒和漏洞的防御力。1.1.3.7 安全培訓根據駐地需要，組織開展涉及漏洞掃描、滲透性測試、安全配置、安全意識和法 律法規(guī)等信息安全相關培訓。1.1.4服務要求及交付物檢查點檢查要求交付物安全運維管理日常維護核心系統(tǒng)及關鍵服務器定義需對關鍵系統(tǒng)和服務器有清晰的定義（如DNS/DHCP、防病毒等影響全網層面 的服務器、承載重要業(yè)務或包含敏感信 息的系統(tǒng)等）核心業(yè)務、關鍵服務器列表信息化系統(tǒng)和關鍵服務器

6、需有詳盡故障應急預案應急預案應定期進行相關應急演練，并形成演練報告，保證每年所有的平臺和關鍵服務應急演練報告應急與演練備份管理根據應急演練結果更新應急預案，并保留更新記錄，記錄至少保留3年應急預案更新記錄，預案版本記錄系統(tǒng)所涉及不同層面（如系統(tǒng)的重要性、操作系統(tǒng)/數據庫）應當制定數據的備份恢復以及備份介質管理制度備份管理制度，包括備份策略管理制度與備份介質管理制度系統(tǒng)所涉及不同層面應根據業(yè)務要求制定數據的本地和異地備份（存放）策略備份管理制度，包括備份策略管理制度與備份介質管理制度相關人員對本地和異地備份策略的結果進行每季度審核策略審核表，加入備份管理制度器都至少進行一次演練備份的數據進行恢復

7、性測試，確保數據備份恢復應急的可用性，每年不少于一次演練記錄相關人員對備份介質的更換記錄進行每半年審核備份介質更換記錄表，加入備份管理制度相關人員對備份介質的銷毀記錄進行每半年審核備份介質銷毀記錄表，加入備份管理制度故障管理各地市需制定相應的園區(qū)信息化系統(tǒng)及服務器故障處理流程故障處理流程系統(tǒng)中發(fā)現(xiàn)的異常情況由系統(tǒng)維護人員根據相關流程在規(guī)定時間內處理故障處理流程故障處理完成后必須留有相應的故障處理記錄故障處理報告上線管理為保障設備接入網絡的安全性，設備上 線前必須安裝防病毒系統(tǒng)及更新操作系 統(tǒng)補丁，并對設備進行進行安全掃描評 估，針對安全漏洞進行安全加固企業(yè)網接入管 理辦法、接入 記錄為避免系統(tǒng)

8、上線對其它系統(tǒng)和設備造成 影響，發(fā)布前必須對系統(tǒng)應用站點、數 據庫、后臺服務、網絡端口進行安全評 估。系統(tǒng)投入正式運營前必須在測試環(huán) 境中對系統(tǒng)進行模擬運行一周以上系統(tǒng)上線之后如需對系統(tǒng)進行功能更 新，必須由系統(tǒng)管理員或系統(tǒng)管理員指 定專門維護人員進行更新操作，嚴格按 照公司安全管理規(guī)范執(zhí)行應用系統(tǒng)接入 申請流程、接 入記錄1、應用系統(tǒng)更新申請流程2、更新記錄Web應用應根據業(yè)務需求與安全設計原 則進行安全編碼，合理劃分帳號權限，確 保用戶帳號密碼安全，加強敏感數據安全 保護，提供詳細的日志1、根據規(guī)范對 開發(fā)規(guī)范進行 修正，用戶名密碼的管理要 求、敏感數據 的管理要求、 系統(tǒng)日志的開發(fā)要求2

9、、現(xiàn)有 應用的安全檢 查定期進行服務器漏洞掃描，并根據漏洞 掃描報告封堵高危漏洞，每季度至少對 所有服務器掃描一次掃描記錄與掃描結果報告需建立統(tǒng)一的WSUS服務器，并每季度對關鍵服務器進行高危漏洞升級，并留有升級記錄1、WSUS服務器 中的關鍵更新 的補丁清單， 每個月1份2、 應用服務器端 每次更新的補丁清單任何終端必須安裝正版防病毒軟件，且保證90%以上病毒庫最新（五日以內）防病毒檢查記錄每周檢查防病毒軟件隔離區(qū)，排除病毒威脅防病毒檢查記錄在操作系統(tǒng)層、數據庫層、應用層建立 日志記錄功能，日志記錄中保存1年的 內容，日志安全記錄能夠關聯(lián)操作用戶 的身份1、操作系統(tǒng)層 日志策略2、數 據庫日

10、志策略3、應用層日志 要求加入開發(fā) 規(guī)范中漏洞與防病毒核心系統(tǒng)和關鍵服務器操作系統(tǒng)日志中需記錄“賬戶管理” “登錄事件”“策略更改”“系統(tǒng)事件”等內容操作系統(tǒng)層日志策略操作行為記錄需進行定期審計數據庫層日志需記錄每次數據庫操作的內容數據庫日志策略應用層日志需記錄每次應用系統(tǒng)出錯的信息應用層日志要 求加入開發(fā)規(guī) 范中檢查關鍵錯誤日志、應用程序日志中的關鍵錯誤記錄，保證日志審核正常關鍵訪問與操作應立即啟用日志記錄功 能，避免因日志記錄不全，造成入侵后 無法被追蹤的問題每天檢查平臺短信發(fā)送、接收的可用性每天短信檢查記錄日志審計訪問控制短信必須設置關鍵字過濾，每個月進行關鍵字更新，并檢查其有效性短信關鍵字更新記錄，有效性檢查記錄需對所有信息化系統(tǒng)、應用系統(tǒng)的核心 信息進行清晰的界定，核心信息包括但 不限于涉及客戶資料、客戶賬戶信息、 客戶密碼、操作記錄應用系統(tǒng)-核心信息矩陣圖需對核心信息設定保密措施應用系統(tǒng)核心信息管理制度對核心信息的操作進行特殊監(jiān)控，并留下記錄服務器上任何賬號必須有審批人員審核確認1、賬號管理辦法2、賬號申請表所有系統(tǒng)和服務器上賬號必須每季度進行審核賬號審核表密碼復雜度要求：一.靜態(tài)密碼：密碼