驻地安全服务安全运维技术方案标书

1、1.1信息系统安全服务1.1.1服务范围和服务内容本次服务范围为XXX信息系统硬件及应用系统，主要包括计算机终端、打印机、 服务器、存储设备、网络（安全）设备以及应用系统。服务内容包括日常运维服务 （驻场服务）、专业安全服务、信息化建设咨询服务等。1.1.2服务目标保障软硬件的稳定性和可靠性；保障软硬件的安全性和可恢复性；故障的及时响应与修复；硬件设备的维修服务；人员的技术培训服务；信息化建设规划、方案制定等咨询服务。1.1.3服务内容风险评估风险评估的目的是了解和控制运行过程中的信息系统安全风险，运维阶段的风 险评估是一种较为全面的风险评估。评估内容包括对真实运行的信息系统、资产、威胁、脆弱

2、性等各方面。（1）资产评估：对真实环境下较为细致的评估，包括实施阶段采购的软硬件资 产、系统运行过程中生成的信息资产、相关的人员与服务等。本阶段资产识别是前 期资产识别的补充与增加；（2）威胁评估：真实环境中的威胁分析，应全面地评估威胁的可能性和影响程 度。对非故意威胁产生安全事件的评估可以参照事故发生率；对故意威胁主要由评 估人员就威胁的各个影响因素做出专业判断；同时考虑已有控制措施；（3）脆弱性评估：全面的脆弱性评估。包括运行环境下物理、网络、系统、应 用、安全保障设备、管理的脆弱性。对于技术的脆弱性评估采取核查、扫描、案例 验证、渗透性测试的方式验证脆弱性；对安全保障设备脆弱性评估时考虑

3、安全功能 的实现情况和安全措施本身的脆弱性。对于管理脆弱性采取文档、记录核查进行验 证；（4）风险计算：根据相关标准，对主要资产的风险进行定性或定量的风险分析， 描述不同资产的风险高低状况。安全加固安全加固是指对在风险评估中发现的系统安全风险进行处理，按照级别不同， 应该在相应时间内完成。安全加固的内容主要包括：（1）日常安全加固工作，主要是根据风险评估结果进行系统安全调优服务，根据系统运行需要适时调整各类设备及系统配置、合理规划系统资源、消除系统漏洞， 提高系统稳定性和可靠性；（2）主动安全加固，在未出现安全事故之前就对已经通报或者暴露出来的软件 漏洞或最新病毒库更新，就主动进计划的升级和改

4、进，从而避免出现安全事故。具体加固内容包括但不限于：帐户策略、帐户锁定策略、审核策略、NTFS、用户 权限分配、系统服务策略、补丁管理、事件日志、应用软件的更新等。应急响应应急状态的安全值守、响应工作，主要是系统应急响应、重大安全故障处理，确 保系统出现安全事件时快速反应、及时处理，降低系统安全问题对XX局内工作的影 响。安全巡检安全巡检主要是指深入现场，了解情况：质检服务内容中的各类安全设备，了解 安全设备运行情况，仔细观察各个安全节点的可靠性，并综合安全巡检情况，定制 安全策略。安全监控对服务内容进行监控，在安全环境产生变化时，及时更新安全策略，在现有设备 和网络情况有改变的时候，快速制定

5、，针对更新后设备环境的安全策略，并实施部 署。避免因设备变更而带来的安全风险。定期安全通告，在互联网上出现新型病毒或者新出现漏洞并且部分修补的情况 下，制作安全通告及时告知相关运维人员，增强对于新型病毒和漏洞的防御力。1.1.3.7 安全培训根据驻地需要，组织开展涉及漏洞扫描、渗透性测试、安全配置、安全意识和法 律法规等信息安全相关培训。1.1.4服务要求及交付物检查点检查要求交付物安全运维管理日常维护核心系统及关键服务器定义需对关键系统和服务器有清晰的定义（如DNS/DHCP、防病毒等影响全网层面 的服务器、承载重要业务或包含敏感信 息的系统等）核心业务、关键服务器列表信息化系统和关键服务器

6、需有详尽故障应急预案应急预案应定期进行相关应急演练，并形成演练报告，保证每年所有的平台和关键服务应急演练报告应急与演练备份管理根据应急演练结果更新应急预案，并保留更新记录，记录至少保留3年应急预案更新记录，预案版本记录系统所涉及不同层面（如系统的重要性、操作系统/数据库）应当制定数据的备份恢复以及备份介质管理制度备份管理制度，包括备份策略管理制度与备份介质管理制度系统所涉及不同层面应根据业务要求制定数据的本地和异地备份（存放）策略备份管理制度，包括备份策略管理制度与备份介质管理制度相关人员对本地和异地备份策略的结果进行每季度审核策略审核表，加入备份管理制度器都至少进行一次演练备份的数据进行恢复

7、性测试，确保数据备份恢复应急的可用性，每年不少于一次演练记录相关人员对备份介质的更换记录进行每半年审核备份介质更换记录表，加入备份管理制度相关人员对备份介质的销毁记录进行每半年审核备份介质销毁记录表，加入备份管理制度故障管理各地市需制定相应的园区信息化系统及服务器故障处理流程故障处理流程系统中发现的异常情况由系统维护人员根据相关流程在规定时间内处理故障处理流程故障处理完成后必须留有相应的故障处理记录故障处理报告上线管理为保障设备接入网络的安全性，设备上 线前必须安装防病毒系统及更新操作系 统补丁，并对设备进行进行安全扫描评 估，针对安全漏洞进行安全加固企业网接入管 理办法、接入 记录为避免系统

8、上线对其它系统和设备造成 影响，发布前必须对系统应用站点、数 据库、后台服务、网络端口进行安全评 估。系统投入正式运营前必须在测试环 境中对系统进行模拟运行一周以上系统上线之后如需对系统进行功能更 新，必须由系统管理员或系统管理员指 定专门维护人员进行更新操作，严格按 照公司安全管理规范执行应用系统接入 申请流程、接 入记录1、应用系统更新申请流程2、更新记录Web应用应根据业务需求与安全设计原 则进行安全编码，合理划分帐号权限，确 保用户帐号密码安全，加强敏感数据安全 保护，提供详细的日志1、根据规范对 开发规范进行 修正，用户名密码的管理要 求、敏感数据 的管理要求、 系统日志的开发要求2

9、、现有 应用的安全检 查定期进行服务器漏洞扫描，并根据漏洞 扫描报告封堵高危漏洞，每季度至少对 所有服务器扫描一次扫描记录与扫描结果报告需建立统一的WSUS服务器，并每季度对关键服务器进行高危漏洞升级，并留有升级记录1、WSUS服务器 中的关键更新 的补丁清单， 每个月1份2、 应用服务器端 每次更新的补丁清单任何终端必须安装正版防病毒软件，且保证90%以上病毒库最新（五日以内）防病毒检查记录每周检查防病毒软件隔离区，排除病毒威胁防病毒检查记录在操作系统层、数据库层、应用层建立 日志记录功能，日志记录中保存1年的 内容，日志安全记录能够关联操作用户 的身份1、操作系统层 日志策略2、数 据库日

10、志策略3、应用层日志 要求加入开发 规范中漏洞与防病毒核心系统和关键服务器操作系统日志中需记录“账户管理” “登录事件”“策略更改”“系统事件”等内容操作系统层日志策略操作行为记录需进行定期审计数据库层日志需记录每次数据库操作的内容数据库日志策略应用层日志需记录每次应用系统出错的信息应用层日志要 求加入开发规 范中检查关键错误日志、应用程序日志中的关键错误记录，保证日志审核正常关键访问与操作应立即启用日志记录功 能，避免因日志记录不全，造成入侵后 无法被追踪的问题每天检查平台短信发送、接收的可用性每天短信检查记录日志审计访问控制短信必须设置关键字过滤，每个月进行关键字更新，并检查其有效性短信关键字更新记录，有效性检查记录需对所有信息化系统、应用系统的核心 信息进行清晰的界定，核心信息包括但 不限于涉及客户资料、客户账户信息、 客户密码、操作记录应用系统-核心信息矩阵图需对核心信息设定保密措施应用系统核心信息管理制度对核心信息的操作进行特殊监控，并留下记录服务器上任何账号必须有审批人员审核确认1、账号管理办法2、账号申请表所有系统和服务器上账号必须每季度进行审核账号审核表密码复杂度要求：一.静态密码：密码