（单位名称）安全巡检服务项目建议书-模板

<客户名称>安全巡检服务项目建议书XXX网络安全技术有限公司XXXX年X月X日

目录TOC\o"1-4"\u引言 41<客户名称>安全巡检服务需求分析 41.1信息化安全的重要性显著提高 41.2安全的相对性和动态性，要求组织不断的关注组织的安全状况 41.3新技术新产品要求组织投入众多的成本 51.4客户需要从繁琐的安全事务中解脱出来，更加关注业务 52<客户名称>安全巡检服务项目范围及目标 52.1项目目标 52.2项目范围 62.3项目内容 63<客户名称>安全巡检服务方案设计 73.1项目设计概述 73.2项目设计原则 93.2.1经济性原则 93.2.2安全性、可靠性原则 103.2.3机动性、灵活性原则 103.2.4高效性原则 103.2.5突出重点、业务主导原则 103.3项目设计模型 103.4项目体系结构 113.5项目体系特点 123.5.1体系规格 123.5.2体系事宜 123.5.3体系特色 124<客户名称>安全巡检服务项目实施 134.1项目实施阶段 134.1.1阶段一：项目启动准备阶段 134.1.1.1阶段目标 134.1.1.2阶段任务 134.1.1.3阶段步骤 134.1.2阶段二：巡检服务实施阶段 144.1.2.1阶段目标 144.1.2.2阶段任务 144.1.2.3阶段步骤 144.1.3阶段三：报告建议阶段 144.1.3.1阶段目标 144.1.3.2阶段任务 154.1.3.3阶段步骤 155项目总结及验收 156知识转移 157项目管理 167.1项目组织管理 177.1.1组织结构 177.1.2角色职责 187.1.2.1项目领导小组 187.1.2.2项目管理小组 187.1.2.3XXX客户经理 187.1.2.4项目实施人员 187.1.2.5技术支持人员 197.2项目风险管理 197.3项目变更管理 197.4项目质量管理 20

引言根据前期对客户情况的了解，参考信息资产调研报告，描述客户的实际情况，包括企业简介，简单安全状况，企业规模，初步的需求等内容。此部分内容需要根据客户的实际情况进行描述。XX客户（以下简称：XX），描述客户企业的性质、所属行业、规模大小等等。近年来，随着公司业务的快速发展和信息化建设的逐步深入，公司的业务活动对信息系统的依赖性越来越大，对网络和信息系统的安全性、可靠性的要求也日益增强。然而，随着网络规模越来越大、应用信息系统的复杂度不断增加，信息系统的漏洞被发现的越来越多，随着黑客工具和技术变得泛滥，漏洞被利用的可能性越来越大，一旦发生安全事件，将对公司重要的数据造成损害，给企业的带来巨大的经济损失和业务影响。XXX公司（以下简称：XXX）接受XX企业的委托，负责承担本次安全巡检服务工作任务。目的是对企业核心业务系统、数据库系统、安全设备、重要主机、特定日志等对象进行定期的安全巡检，并对发现的问题提出安全建议和改进方案。1<客户名称>安全巡检服务需求分析1.1信息化安全的重要性显著提高随着全球信息化水平的不断提高，网络与信息安全的重要性日趋增强。当前网络与信息安全产业已成为支撑国家安全、政治稳定、经济发展、社会生活、健康文化等方方面面生存性以及保障性的关键产业。网络与信息安全可能会影响个人的工作、生活；影响企业的经营状况、收入；甚至会影响国家经济发展、社会稳定、国防安全。因此，网络与信息安全产业现已在整个产业布局乃至国家战略格局中具有举足轻重的地位和作用。因此，我们需要采用PDCA的过程方法，不断保持和改进信息安全。1.2安全的相对性和动态性，要求组织不断的关注组织的安全状况安全是相对的、动态的，受时间或周期、环境、范围的影响。信息安全建设是一个庞杂且动态变化的系统工程，任何系统的安全性均具有时间局限性，只能确保在某一个阶段是相对安全的，随着软件升级，系统更新、安全策略变更以及黑客攻击手段的变化，新的安全隐患和漏洞会陆续出现，系统将面临新的安全问题，因此，需要不断的监控业务信息安全的整体状况。1.3新技术新产品要求组织投入众多的成本信息化系统日趋复杂，维护成本不断提高，新技术、新产品层出不穷，客户仅凭借培训内部的技术人员已不能完全满足系统维护的需求。另外，在专业安全人才相对稀缺的现状下，雇佣以及留住专业安全人才将变得越来越困难。解决信息安全问题，除了依赖厂商及内部人员，还应重视安全服务的重要作用。1.4客户需要从繁琐的安全事务中解脱出来，更加关注业务客户自己需要更加的专注于业务，为其自身的客户提供专业的业务服务，属于业务领域的专家。但是，客户已经意识到安全对于业务的重要性，深深认识到安全是为业务服务的，如果缺乏了安全保障，业务的连续性、可靠性、可用性将受到严重的威胁，因此，为了能够专注于业务服务，更好的实现企业经营目标的经济活动，客户必须选择专业的安全服务外包企业，将自己从繁杂的信息安全事务中抽身出来。2<客户名称>安全巡检服务项目范围及目标2.1项目目标本次对<客户名称>实施安全巡检服务的主要目标有：通过信息收集，获得<客户名称>要求的巡检范围及关键对象。通过漏洞扫描，获得<客户名称>的特定对象的漏洞及脆弱性。定期分析关键系统日志内容，及时发现问题，做到防患于未然。通过策略检查，确保<客户名称>的服务器、网络设备和安全设备的策略的合理性和有效性。整理漏洞扫描、日志审计、策略检查的结果，分析结果，形成报告，并提出改进建议。2.2项目范围本部分具体内容需要项目开展实施后，结合甲方信息系统的实际情况进行确定。实施范围等参见服务实施范围表：巡检对象标识巡检对象巡检对象描述责任人巡检服务选择服务频率2.3项目内容本项目内容主要包括：漏洞扫描运用当前市场的成熟的专业的产品，同时根据XXX安全服务团队经验，对巡检服务范围内的主机、数据库、网站系统进行定期的扫描，检查当前IT环境中存在的安全漏洞，并提供整改建议，让客户对现有IT环境安全状况了然于心。根据客户实际需要，将客户需要进行扫描的主机、数据库系统、网站系统等对象进行描述。策略检查充分了解用户安全战略方针，分析用户的网络架构和业务需求，采用专家手工方法对服务服务器、网络设备等对象的策略配置进行检查分析，并提出改进和优化建议。根据客户实际需要，将需要进行策略检查的服务器、网络设备、安全设备等对象进行描述。日志审计通过自动化的工具或专家手工方法，对客户的服务器、数据库系统、网站系统等对象的日志进行审计，并且基于日志自身的关联、日志与策略的关联、日志与业务的关联进行分析，提高问题发现的准确率。根据客户实际需要，将需要日志分析服务的对象进行描述。3<客户名称>安全巡检服务方案设计3.1项目设计概述随着网络技术的发展已经深入到社会生活的各个方面。网络新业务的不断兴起，为国内政府部门日常办公提供了极大的便利，通过政府网上办公系统、网上视频会议系统、电话语音系统、互动式政府网站系统、门户型政府网站系统等应用，极大地提高了政府部门的办公效率。以信息化带动工业化，加快国民经济结构的战略性调整，实现社会生产力的跨越式发展，是电子政务建设的首要任务。推进电子政务建设作为今后一个时期我国信息化工作的重点，目的是加强政府监管、提高政府效率、推进政府高效服务。针对<客户名称>网络规模、业务特点与安全需求，充分了解<客户名称>业务当前安全风险现状。XXX利用丰富的安全巡检服务经验，专业的技术优势，体系化、规范的安全巡检服务流程，对<客户名称>特定的业务目标系统进行全面、深入、颗粒化的安全服务检测，以发现业务系统存在的安全风险和违规操作，让客户明确当前信息业务中存在的安全问题。并提供切实可行的、准确的、及时的安全建议方案，帮助用户最大限度降低安全风险和隐患，提高客户业务系统安全运营核心优势。XXX为客户提供一体化安全巡检服务设计方案：XXX安全巡检服务由漏洞扫描、策略检查、日志审计三种服务组成，采用模块化用户定制的方式，客户可以根据实际的安全服务需求，选择安全巡检服务的全部或某一服务模块，从而在成本与安全间达到平衡。XXX安全巡检服务，涉及的操作系统类型包括Microsoft、Unix、Linux、Solaris、AIX等；数据库类型包括MSSQLServer、MySQL、ORACLE、Sybase、DB2等；安全设备范围涉及各种主流安全设备，网络设备涉及主流的网络设备；日志文件格式涉及特定格式、XML格式、数据库记录等类型。XXX根据<客户名称>的实际安全需求特点和丰富的安全服务经验，采用流程化、过程化的方法，将安全巡检服务项目划分成不同的阶段，每个阶段的目标、任务内容、输入输出明确清晰，通过实施阶段化方法，让客户逐渐体验和感受到XXX安全巡检服务过程和服务成果，如下图所示：通过XXX专业化的安全巡检服务，用户不但可以享受到安全巡检服务的过程体验，而且可以获得明显的收益：通过专业、严谨的服务，为客户IT环境提供安全运维服务，确保客户IT环境的安全性和稳定性；大大降低客户的运维风险和运维成本；专业的安全技术和专业人员及时、全面的掌握客户IT环境的安全现状和面临的风险，并提出改进建议，降低风险；客户从繁琐的IT运维中解脱出来，更加的关注核心业务，提高工作效率；3.2项目设计原则根据<客户名称>的安全特点和实际需求，以<客户名称>核心业务系统安全、连续、稳定运行为核心；以安全、畅通、高效的网络传输为保障；注重实际，具体高效；确定如下安全巡检服务原则：3.2.1经济性原则XXX公司提供的安全巡检服务产品，客户可以根据实际的安全服务需求，选择安全巡检服务的全部或某一项服务，以定制化的形式满足不同的安全服务需求，从而确保客户安全需求得到满足，投资得到保护的前提下，降低了用户的成本。3.2.2安全性、可靠性原则 XXX公司经过10多年的安全技术、安全管理的积累和沉淀，已经形成了一套非常完善的安全服务方法论，并得到了实践的充分检验，所以，对客户实施安全巡检服务时，会采取整套安全风险规避措施，如扫描策略规则级选择、核心系统巡检前备份等，来规避风险，以提高安全性和可靠性。3.2.3机动性、灵活性原则 XXX公司的安全巡检服务可以根据用户的特定时间要求，进行灵活安排，为减轻安全巡检服务工作对客户网络、核心业务系统的影响，安全巡检的扫描测试尽量安排在业务量不大的时间段（晚上、节假日等）。确保客户业务正常开展的前提下，开展安全巡检服务。3.2.4高效性原则XXX公司根据多年来的安全服务经验，形成一套完整的安全巡检服务基线标准库，可以根据客户特定的需求，快速扩展，从而高效的、快捷的对客户业务系统、安全设备等实施安全巡检，尽早发现存在问题，提出安全建议，降低客户风险。3.2.5突出重点、业务主导原则信息化建设受企业信息基础设施、资金、人力等条件的限制，必须坚持通盘统筹，突出重点，并从企业实际出发，以业务需求为主导，区分不同层面和业务类别，统一标准规范，总结经验，分阶段实施。同时，信息化建设要严抓应用、追求实效，实现系统实用化水平评价的动态管理，不断促进业务流程的科学化、规范化、程序化，以实现管理和技术创新、效益和效率提高作为判断成效的标准。3.3项目设计模型由于<客户名称>IT基础设施、业务系统、数据库系统、网络安全设备策略和人员在不断的发生变化，本身安全也是一个动态的、相对的概念，基于客户的这些实际情况，XXX公司结合10多年来在安全领域积累的经验和丰富的专业知识，设计了一套安全巡检服务的体系模型。由于内部IT资源，如人员、业务系统、安全设备等的动态变化；战略方针的调整；外部环境的变化，如威胁严峻等；再加上安全本身就是一个动态的、相对的概念，因此<客户名称>需要定期的检查组织的现有安全状况，及时发现问题，及时采取措施解决问题，让组织一直处于一个安全良好的状况下，从而让安全为组织业务保驾护航。如下图所示： XXX基于巡检基线对客户进行安全巡检，将安全巡检划分为巡检准备、巡检实施、报告及改进指导、巡检基线四个过程，每次巡检完成后，XXX根据用户当前的需要形成特定于<客户名称>的巡检基线，随着客户巡检需求的变更，不断更新基线库。3.4项目体系结构针对当前<客户名称>的安全需求，对客户主机系统、服务器、安全设备、网络设备、数据库系统和网站系统等进行全局、深入、颗粒化安全项目检测。为<客户名称>提供准确、完整、可视化的安全巡检服务报告，帮助客户确保及时发现问题，并提出建议，指导用户改进，降低风险，巡检报告是客户保持和改进安全状况的依据与先决条件。3.5项目体系特点3.5.1体系规格主机操作系统支持类型：windows、Unix、Linux、Solaris、AIX等；数据库系统支持类型：MSSQL、MySQL、Orcale、DB2、Sybase等；安全设备：主流的安全设备，如防火墙、IDS、IPS、安全网关、防病毒网关等；网络设备：主流的网络设备，如思科交换机、思科路由器等；网站系统支持类型：主流网站系统，如IIS、Apache等；日志格式支持：文本文件、XML、数据库记录等3.5.2体系事宜可根据客户实际安全巡检服务需求，选择全部或某一模块的安全巡检服务，以满足客户不同的安全服务需求，最终达到成本与收益平衡。3.5.3体系特色提供相应数量的专职安全工程师为客户提供外包服务，外包工程师将在约定时间内完全按照客户的作息时间上下班，为客户提供安全巡检服务。XXX依托完善的安全外包服务体系与服务知识库，建设并完善了外包运维服务中心，整体负责外包工程师日常工作的支持、协调和监督，更贴近客户实际需求。4<客户名称>安全巡检服务项目实施4.1项目实施阶段针对<客户名称>的实际安全巡检需求，XXX将本项目的实施划分为项目启动准备阶段、巡检服务实施阶段、总结建议阶段三个阶段，并且根据客户的安全服务巡检周期定期执行此过程流程，不断对客户指定的安全设备策略、核心业务系统及主机、核心业务系统的日志采用自动化或人工的方式进行安全巡检服务，如下图所示：4.1.1阶段一：项目启动准备阶段4.1.1.1阶段目标确定安全巡检实施范围确定《安全巡检服务实施计划》4.1.1.2阶段任务在客户方相关人员陪同下，采用实地检查和问询的方式调查统计信息系统所涉及资产，填写信息系统资产调研表。资产调研完成后，由项目双方交流讨论，确定最终安全巡检实施范围。然后根据范围制定项目实施计划。4.1.1.3阶段步骤4.1.1.3.1系统资产调查XXX项目组成员在客户方相关从员陪同下，采用实地检查和问询的方式调查统计信息系统所涉及资产，填写信息系统资产调研表，最终确认客户信息系统所涉及的所有资产。4.1.1.3.2确定巡检范围在客户信息系统所涉及的所有资产中，根据客观情况和客户实际需求，由客户确定最终安全巡检范围。4.1.1.3.3制定实施计划根据最终的检测范围，与客户交流巡检实施时间、阶段、参与人员、工作分工等内容，制定《安全巡检服务实施计划》，提交项目双方。4.1.2阶段二：巡检服务实施阶段4.1.2.1阶段目标完成漏洞扫描工作完成策略检查工作完成日志审计工作4.1.2.2阶段任务按照实施计划实施安全巡检服务，导出并保存好巡检实施记录。4.1.2.3阶段步骤4.1.2.3.1漏洞扫描根据的实际需要，对客户确定的巡检范围内的数据库系统、主机系统、网站系统进行自动扫描，并导出保存漏洞扫描记录。4.1.2.3.2策略检查根据的实际需要，对客户确定的巡检范围内的安全设备、网络设备、服务器，以专家人工的方式，结合客户的业务状况，进行策略的合理性和有效性检查，记录保存检查结果。4.1.2.3.3日志审计根据的实际需要，对客户确定的巡检范围内的服务器、数据库系统、网站系统的日志，采用专家人工和自动化工具相结合的方式，对日志进行审计分析，记录保存日志审计结果。4.1.3阶段三：报告建议阶段4.1.3.1阶段目标完成安全巡检实施报告与客户讨论沟通，客户认可安全巡检实施报告内容和成果4.1.3.2阶段任务整理分析安全巡检记录，编写安全巡检实施报告，经项目经理审核并批准提交给客户，同时向客户讲解巡检情况。4.1.3.3阶段步骤4.1.3.3.1输出报告对各安全巡检记录进行整理，并详细分析安全问题，编写安全巡检报告。4.1.3.3.2报告讨论提交安全巡检报告完成后，经项目经理审核并批准提交给客户，同时向客户详细讲解报告、分析问题、回答客户提问，最终双方对报告内容、成果达成统一意见，确定最终版安全巡检报告内容，向客户提交最终版巡检报告。5项目总结及验收XXX根据用户的实际需求，针对<客户名称>对XXX安全巡检服务模块的选择，XXX最终为客户提供安全巡检服务实施计划和安全巡检服务实施报告。报告提交完成后，召开项目总结验收会，经双方对项目过程及成果达成一致认可，同意对项目进行验收，签署验收文档，项目完成验收，签字确认。最终成果清单为：《安全巡检服务实施计划》《安全巡检服务实施报告》6知识转移通过现场指导和技术交流的形式，对为<客户名称>的安全巡检服务的成果进行知识转移，XXX安全巡检服务团队，根据客户的实际需求，对巡检范围内的设备、主机和系统进行巡检，并对阶段性巡检结果进行分析整理，最终形成安全巡检服务报告，并与客户进行沟通交流，对客户进行详细的讲解，回答客户提问，提交报告。安全巡检服务最终向客户提供：《安全巡检服务实施计划》和《安全巡检服务实施报告》。7项目管理根据世界标准美国项目管理协会（PMI）-《项目管理知识体系(PMBOK)指南》的项目管理体系结构，先进的项目管理体系结构有横向管理体系结构和纵向管理体系结构。XXX将一如既往应用该项目管理体系结构到本信息安全管理咨询项目的实施中。横向项目管理体系结构示意图横向项目管理体系结构示意图项目范围管理是确定和管理为成功完成项目所要做的全部工作。项目时间管理包括项目所需用时间的估算，制定可以接受的项目进度计划，并确保项目的及时完成。项目成本管理包括项目预算的准备和管理工作。项目质量是要确保项目满足明确约定的或各方默认的需要。四大项目管理辅助功能包括人力资源管理、风险管理和采购管理，之所以称其为辅助知识领域，是因为项目目标是通过他们来实现的。具体如下：项目人力资源关心的是如何有效利用参与项目的人员。项目沟通管理涉及产生、收集、发布和保存项目信息，并如何与项目干系人有效沟通。项目风险管理包括对项目相关的风险进行识别、分析和应对。项目采购管理是指根据项目的需要从项目执行组织外部获取或购进产品和服务。 项目整体管理则要发挥项目管理整体上的支撑作用，它与其他项目管理领域互相影响。项目经理必须具备上述全部9个方面的管理能力。7.1项目组织管理7.1.1组织结构7.1.2角色职责7.1.2.1项目领导小组项目领导小组由XXX和XX公司相关领导共同组成，主要就项目实施方向、变更事宜起决策作用。在项目进行关键阶段与项目管理小组举行会议，检查项目的进展，并对项目中的一些关键问题和争议进行决策。7.1.2.2项目管理小组项目管理小组，由XXX项目负责人和XX公司相关负责人组成，负责对项目过程实行全面的管理，具体体现在对项目目标有一个全局、统一的观点，并组织会议制定计划和报告项目的进展，对不确定环境下对不确定问题组织集体讨论决策。具体还有：保证项目目标在实施中前后一致，实现目标对各种项目资源进行适当的管理和充分有效的使用促进项目团队和评估系统管理员之间进行及时有效的沟通，及时商讨项目进展状况，以及对可能发生的问题的预测。保证项目的成功，保证项目按时、在预期内达到预期的效果保证项目的整体性，协调项目中的各个角色和各种关系，为项目组成员创造良好的工作环境XXX项目经理为保障项目顺利实施，作为乙方接口人负责相关的协调工作，定期与甲方沟通，确定实施方案的执行情况及实施质量。7.1.2.3XXX客户经理XXX客户经理的主要任务是协调XXX和XX公司在商务方面的事情，和XX公司在项目发生之前进行谈判，前瞻性的解决项目实施中可能发生的问题。并保证项目在实施到不同的阶段，和XX公司在项目上的商务条款可以得以落实。7.1.2.4项目实施人员在项目中具体对服务对象系统进行操作，我公司会根据本项目具体情况，选择有相关技术特长的安全顾问对不同类型系统进行操作。负责项目实施文档、具体实施操作、操作记录整理，并整理相关项目报告。7.1.2.5技术支持人员由于目前信息系统日趋复杂，我们在项目实施过程中，将同时有部分安全专家在后台对项目的实施进行技术支撑，保障项目执行的技术深度。7.2项目风险管理风险管理的目的是最大限度地减少项目中各方面可能出现的负面影响，从而尽可能地减小项目的风险。项目的风险管理是通过以下一系列步骤来实现的：首先，找出项目中可能引起风险的因素；然后，估计出可能引起的影响的程度；最后制定出相应的预防措施。如下所示：通过次风险管理过程，最终确保：保证项目中运用的技术可靠性、先进性；保证项目管理的组织严密性，工程设计、施工、管理的严紧性；确保及时获得项目进程中所需的各种信息；充分估计人的因素；确保项目人员具备所需的技能；事先安排好项目所需的辅助设施；保证最小程度的差误损失；保证明确的责任分配原则。7.3项目变更管理XXX公司在项目全程实施项目变更管理。项目变更管理的内容包括项目的变更申请、变更评估、申请审批、变更实施；在整个变更管理中，完善的文档记录对达成项目所有相关体的共识和进行项目的回顾及验收有重要意义；变更申请流程在确定变更并申请批准时使用。项目的任何参与方（者）在确定变更的必要性式需要填写《变更申请》向上一级项目经理或项目领导提出变更申请。请求的范围可涉及项目的内容、时间计划、交付物、资源、技术规范和标准等诸多方面。申请人可是惠普公司的项目组成员，或者<客户名称>项目组成员；项目评估变更影响应考虑所有受到影响的项目的各个方面，如：对交付物影响；对进度的影响；对成本的影响；对风险的影响；对资源的影响；对付款进度的影响；项目经理依据以下变更批准权限范围来进行相应的上升报告和获取相应的审批，并将变更记录存放于项目文档中。变更范围 变更批准权限项目工作局部调整，项目工作范围不变