Selected驻地安全服务安全运维技术方案标书x

1、Useful Documents 1.1 信息系统安全服务 1.1.1 服务范围和服务内容 本次服务范围为 RRR 信息系统硬件及应用系统，主要包括计算机终端、打 印机、服务器、存储设备、网络（安全）设备以及应用系统。服务内容包括日常 运维服务（驻场服务） 、专业安全服务、信息化建设咨询服务等。 1.1.2 服务目标 保障软硬件的稳定性和可靠性； 保障软硬件的安全性和可恢复性； 故障的及时响应与修复； 硬件设备的维修服务； 人员的技术培训服务； 信息化建设规划、方案制定等咨询服务。 1.1.3 服务内容 1.1.3.1 风险评估 风险评估的目的是了解和控制运行过程中的信息系统安全风险， 运维阶

2、段的 风险评估是一种较为全面的风险评估。 评估内容包括对真实运行的信息系统、 资 产、威胁、脆弱性等各方面。 （1）资产评估：对真实环境下较为细致的评估，包括实施阶段采购的软硬 件资产、系统运行过程中生成的信息资产、 相关的人员与服务等。 本阶段资产识 别是前期资产识别的补充与增加； （2）威胁评估：真实环境中的威胁分析，应全面地评估威胁的可能性和影 Useful Documents Useful Documents 响程度。对非故意威胁产生安全事件的评估可以参照事故发生率； 对故意威胁主 要由评估人员就威胁的各个影响因素做出专业判断；同时考虑已有控制措施； （3）脆弱性评估：全面的脆弱性评估

3、。包括运行环境下物理、 网络、系统、 应用、安全保障设备、管理的脆弱性。对于技术的脆弱性评估采取核查、扫描、 案例验证、 渗透性测试的方式验证脆弱性； 对安全保障设备脆弱性评估时考虑安 全功能的实现情况和安全措施本身的脆弱性。 对于管理脆弱性采取文档、 记录核 查进行验证； （4）风险计算：根据相关标准，对主要资产的风险进行定性或定量的风险 分析，描述不同资产的风险高低状况。 1.1.3.2 安全加固 安全加固是指对在风险评估中发现的系统安全风险进行处理， 按照级别不同， 应该在相应时间内完成。安全加固的内容主要包括： （1 ）日常安全加固工作，主要是根据风险评估结果进行系统安全调优服务， 根

4、据系统运行需要适时调整各类设备及系统配置、 合理规划系统资源、 消除系统 漏洞，提高系统稳定性和可靠性； （2 ）主动安全加固，在未出现安全事故之前就对已经通报或者暴露出来的 软件漏洞或最新病毒库更新， 就主动进计划的升级和改进， 从而避免出现安全事 故。 具体加固内容包括但不限于： 帐户策略、帐户锁定策略、 审核策略、NTFS、 用户权限分配、系统服务策略、补丁管理、事件日志、应用软件的更新等。 1.1.3.3 应急响应 应急状态的安全值守、响应工作，主要是系统应急响应、 重大安全故障处理， 确保系统出现安全事件时快速反应、及时处理，降低系统安全问题对 RR 局内工 Useful Docum

5、ents Useful Documents 作的影响。 1.1.3.4 安全巡检 安全巡检主要是指深入现场，了解情况：质检服务内容中的各类安全设备， 了解安全设备运行情况， 仔细观察各个安全节点的可靠性， 并综合安全巡检情况， 定制安全策略。 1.1.3.5 安全监控 对服务内容进行监控，在安全环境产生变化时，及时更新安全策略，在现有 设备和网络情况有改变的时候， 快速制定， 针对更新后设备环境的安全策略， 并 实施部署。避免因设备变更而带来的安全风险。 1.1.3.6 安全通告 定期安全通告，在互联网上出现新型病毒或者新出现漏洞并且部分修补的情 况下，制作安全通告及时告知相关运维人员， 增强

6、对于新型病毒和漏洞的防御力。 1.1.3.7 安全培训 根据驻地需要，组织开展涉及漏洞扫描、渗透性测试、安全配置、安全意识 和法律法规等信息安全相关培训。 1.1.4 服务要求及交付物 安全运维管 检查点 检查要求 交付物 日 核心 需对关键系统和服务器有清晰的定义（如 核心业务、关键 理 常 系统 DNS/DHCP 、防病毒等影响全网层面的服务 服务器列表 Useful Documents 3 Useful Documents 维 护 及关 键服 务器 定义 器、承载重要业务或包含敏感信息的系统等） 信息化系统和关键服务器需有详尽故障应急 预案 应急预案 应急 与演 练 应定期进行相关应急演

7、练， 并形成演练报告， 保证每年所有的平台和关键服务器都至少进 行一次演练 应急演练报告 根据应急演练结果更新应急预案，并保留更 新记录，记录至少保留 3 年 应急预案更新记 录，预案版本记 录 系统所涉及不同层面（如系统的重要性、操 作系统 /数据库）应当制定数据的备份恢复以 及备份介质管理制度 备份管理制度， 包括备份策略管 理制度与备份介 质管理制度 备份 管理 备份管理制度， 系统所涉及不同层面应根据业务要求制定数 包括备份策略管 据的本地和异地备份（存放）策略 理制度与备份介 质管理制度 相关人员对本地和异地备份策略的结果进行 策略审核表，加 Useful Documents 4 U

8、seful Documents 每季度审核 入备份管理制度 备份的数据进行恢复性测试，确保数据的可 用性，每年不少于一次 备份恢复应急演 练记录 相关人员对备份介质的更换记录进行每半年 审核 备份介质更换记 录表，加入备份 管理制度 相关人员对备份介质的销毁记录进行每半年 审核 备份介质销毁记 录表，加入备份 管理制度 故障 管理 各地市需制定相应的园区信息化系统及服务 器故障处理流程 故障处理流程 系统中发现的异常情况由系统维护人员根据 相关流程在规定时间内处理 故障处理流程 故障处理完成后必须留有相应的故障处理记 录 故障处理报告 上线 管理 为保障设备接入网络的安全性，设备上线前 必须安

9、装防病毒系统及更新操作系统补丁， 并对设备进行进行安全扫描评估，针对安全 漏洞进行安全加固 企业网接入管理 办法、接入记录 为避免系统上线对其它系统和设备造成影 应用系统接入申 Useful Documents Useful Documents 响，发布前必须对系统应用站点、数据库、 请流程、接入记 后台服务、网络端口进行安全评估。系统投 录 入正式运营前必须在测试环境中对系统进行 模拟运行一周以上 系统上线之后如需对系统进行功能更新，必 须由系统管理员或系统管理员指定专门维护 人员进行更新操作，严格按照公司安全管理 规范执行 1、应用系统更新 申请流程 2 、更新记录 1 、根据规范对开 发

10、规范进行修 正，用户名密码 的管理要求、敏 感数据的管理要 求、系统日志的 开发要求 2、现有应用的安 全检查 Web 应用应根据业务需求与安全设计原则 进行安全编码 ,合理划分帐号权限，确保用户 帐号密码安全 ,加强敏感数据安全保护，提供 详细的日志 漏洞 与防 病毒 定期进行服务器漏洞扫描，并根据漏洞扫描 报告封堵高危漏洞，每季度至少对所有服务 器扫描一次 需建立统一的 WSUS 服务器，并每季度对关 键服务器进行高危漏洞升级，并留有升级记 扫描记录与扫描 结果报告 1 、WSUS 服务器 中的关键更新的 Useful Documents Useful Documents 补丁清单，每个

11、月1份 2、应用服务器端 每次更新的补丁 清单 任何终端必须安装正版防病毒软件，且保证 90% 以上病毒库最新（五日以内） 每周检查防病毒软件隔离区，排除病毒威胁 防病毒检查记录 防病毒检查记录 1、操作系统层日 志策略 核心 系统 和关 键服 务器 日志 审计 在操作系统层、数据库层、应用层建立日志 记录功能，日志记录中保存 1 年的内容，日 志安全记录能够关联操作用户的身份 2、数据库日志策 略 3、应用层日志要 求加入开发规范 中 操作系统日志中需记录“账户管理” “登录事 操作系统层日志 件”“策略更改”“系统事件”等内容 策略 操作行为记录需进行定期审计 数据库层日志需记录每次数据库

12、操作的内容 数据库日志策略 Useful Documents Useful Documents 应用层日志需记录每次应用系统出错的信息 应用层日志要求 加入开发规范中 检查关键错误日志、应用程序日志中的关键 错误记录，保证日志审核正常 关键访问与操作应立即启用日志记录功能， 避免因日志记录不全，造成入侵后无法被追 踪的问题 信息 发布 管理 每天检查平台短信发送、接收的可用性 每天短信检查记 录 短信必须设置关键字过滤，每个月进行关键 字更新，并检查其有效性 短信关键字更新 记录，有效性检 查记录 信息 防泄 密 需对所有信息化系统、应用系统的核心信息 进行清晰的界定，核心信息包括但不限于涉 及客户资料、客户账户信息、客户密码、操 作记录 应用系统 - 核心 信息矩阵图 需对核心信息设定保密措施 应用系统核心信 息管理制度 对核心信息的操作进行特殊监控，并留下记 录 Useful Documents 服务器上任何账号必须有审批人员审核确认 1、账号管理办法 2、账号申请表 账号 所有系统和服务器上账号必须每季度进行审 核 账号审核表 密码 密码复杂度要求： 管理 一静态密码：密码应至少每 90 天进行更新，