（单位名称）安全巡检服务项目建议书-模板

<客户名称>安全巡检服务项目建议书安全服务部：2010-4-22XX安全巡检服务项目建议书1.项目背景

2.需求分析3.项目范围及目标4.项目方案设计5.项目实施6.项目总结及验收7.知识转移8.项目管理

９.天融信安全巡检服务成功案例

近年来，随着业务的快速发展和信息化建设的逐步深入，企业的业务活动对信息系统的依赖性越来越大，对网络和信息系统的安全性、可靠性的要求也日益增强。然而，随着网络规模越来越大、应用信息系统的复杂度不断增加，信息系统的漏洞被发现的越来越多，随着黑客工具和技术变得泛滥，漏洞被利用的可能性越来越大，一旦发生安全事件，将对公司重要的数据造成损害，给企业的带来巨大的经济损失和业务影响。

天融信公司（以下简称：天融信）接受XX企业的委托，负责承担本次安全巡检服务工作任务。目的是对企业核心业务系统、数据库系统、安全设备、重要主机、特定日志等对象进行定期的安全巡检，并对发现的问题提出安全建议和改进方案。1-1项目背景根据前期对客户情况的了解，参考资产调研记录，描述客户的实际情况，包括企业简介，简单安全状况，企业规模，初步的需求等内容。此部分内容需要根据客户的实际情况进行描述。XX安全巡检服务项目建议书1.项目背景

2.需求分析3.项目范围及目标4.项目方案设计5.项目实施6.项目总结及验收7.知识转移8.项目管理

９.天融信安全巡检服务成功案例2-1项目需求分析需要安全巡检服务信息化安全的重要性显著提高

业务越来依赖信息化信息安全问题将严重影响经营收入和企业声誉信息安全问题将严重影响国家经济、社会稳定、国防安全信息安全已经被提升到战略高度安全的动态性和相对性要求组织不断的关注组织的安全状况人员的变动外部环境的变化策略方针的调整系统的新漏洞的出现业务系统的变更基础设施扩建及设备的重新部署新技术新产品要求组织投入众多的成本

技术的日新月异，员工难以适应技术步伐新产品层出不穷，员工无法跟上日常维护需要人才竞争激烈，流动频繁，致使企业专业人才缺乏组织需要从繁琐的安全事务中解脱出来，更加的关注业务

企业业务越来越复杂，客户服务水平要求日益体高相对于安全，企业更专长于业务企业花费较低的成本，进行安全巡检外包，以充足的精力专注业务，获得更大的收益。企业信息化主管信息中心※专业的网络信息安全人员匮乏，无法及时应对信息安全事件？※日常的安全管理机制不完善，造成各种信息安全保护措施形同虚设？※安全技术的发展日新月异，本单位人员无法达到所需的专业技能？※培养或招聘专业的安全人员进行安全维护的成本高，周期长？？庞杂的信息系统，大量的安全事件2-2项目需求分析XX安全巡检服务项目建议书1.项目背景

2.需求分析3.项目范围及目标4.项目方案设计5.项目实施6.项目总结及验收7.知识转移8.项目管理

９.天融信安全巡检服务成功案例通过信息收集，确定巡检范围及关键对象通过漏洞扫描，获得巡检对象的漏洞及脆弱性4123

53-1项目目标

6定期分析关键业务审计日志，及时发现问题，做到防患于未然通过策略检查，确保网络设备、安全设备、服务器的策略的合理性和有效性。整理漏洞扫描、日志审计、策略检查的结果，分析结果，提出改进建议，并形成报告确保业务的安全性、稳定性和连续性3-2项目范围参考信息资产调研表，将与客户确定的监控范围体现在此表。巡检对象标识巡检对象巡检对象描述责任人巡检服务类型服务频率H001OA服务器企业内部办公自动化系统张三漏洞扫描3个月S001防火墙天融信防火墙，部署于网络出口李四策略检查1个月A011NC系统核心ERP系统，用友公司产品，版本为5.5王五漏洞扫描2个月A002WEB网站企业对外服务网站王五日志审计1个月1.

漏洞扫描2.

策略检查3.

日志审计Windows、Linux、Unix、AIX、HPUnix、solaris等主机系统扫描Oralce、MSSQL、Sybase、DB2、MySQL等数据库系统扫描Apache、WEBService、Tomcat、IIS等网站系统扫描如：主机H001，OA系统3-3项目内容Windows、Linux、Unix、AIX、HPUnix、solaris等服务器系统策略检查主流网络设备策略检查主流安全设备策略检查如：S001，防火墙Windows、Linux、Unix、AIX、HPUnix、solaris等操作系统日志Oralce、MSSQL、MySQL等数据库系统日志Apache、IIS等网站系统日志如：A001，WEB网站参考信息资产调研表和监控范围，将客户监控对象按照漏洞扫描、策略检查、日志审计进行归类，体现在上图中。如，主机H001，OA系统进行漏洞扫描。XX安全巡检服务项目建议书1.项目背景

2.需求分析3.项目范围及目标4.项目方案设计5.项目实施6.项目总结及验收7.知识转移8.项目管理

９.天融信安全巡检服务成功案例4-1项目概述天融信安全巡检服务，涉及的主机操作系统类型包括Microsoft、Unix、Linux、Solaris、AIX等；数据库类型包括MSSQLServer、MySQL、ORACLE等；涉及主流安全设备和网络设备；日志文件格式涉及特定格式、XML格式、数据库记录等类型。天融信安全巡检服务由漏洞扫描、策略检查、日志审计三部分组成，采用模块化、客户定制的方式，客户可以根据实际的巡检服务需求，选择天融信安全巡检服务的全部或某个服务模块，从而在成本与安全间达到平衡。※模块化、定制化巡检服务安全巡检服务漏洞扫描策略检查日志审计4-1项目概述天融信根据客户实际安全需求特点和丰富的安全服务经验，采用流程化、过程化的方法，统一规划，分阶段实施，将安全巡检服务项目划分成不同的阶段，每个阶段的目标、任务内容、输入输出明确清晰，通过实施阶段化方法，让客户逐渐体验和感受到天融信安全巡检服务过程和服务成果。项目启动准备阶段巡检服务实施阶段总结建议阶段※统一规划、分阶段实施4-1项目概述客户收益及时、全面掌握信息安全现状，降低安全风险运维成本大大降低从繁琐的巡检事务中解脱出来，专注于业务系统运维质量提升安全防护能力增强享受更专业安全服务业务稳定性与连续性增强天融信安全巡检服务※客户收益4-2项目原则安全性

可靠性原则天融信公司经过10多年的安全技术、安全管理的积累和沉淀，已经形成了一套非常完善的安全服务方法论，并得到了实践的充分检验，所以，对客户实施安全巡检服务时，会采取整套安全风险规避措施，来规避风险，以提高安全性和可靠性。高效性原则机动性灵活性原则突出重点业务主导原则经济性原则天融信公司根据多年来的安全服务提出安全建议，降低客户风险经验，形成一套完整的安全巡检服务基线标准库，可以根据客户特定的需求，快速扩展，从而高效的、快捷的对客户业务系统、安全设备等实施安全巡检，尽早发现存在问题信息化建设受企业信息基础设施、资金、人力等条件的限制，必须坚持通盘统筹，突出重点，并从企业实际出发，以业务需求为主导，区分不同层面和业务类别，统一标准规范，总结经验，分阶段实施。同时，信息化建设要严抓应用、追求实效，实现系统实用化水平评价的动态管理，不断促进业务流程的科学化、规范化、程序化，以实现管理和技术创新、效益和效率提高作为判断成效的标准。天融信公司的安全巡检服务可以根据用户的特定时间要求，进行灵活安排，为减轻安全巡检服务工作对客户网络、核心业务系统的影响，安全巡检的扫描测试尽量安排在业务量不大的时间段（晚上、节假日等）。确保客户业务正常开展的前提下，开展安全巡检服务。4-3设计模型巡检基线巡检准备巡检实施报告建议及改进指导天融信基于巡检基线对客户进行安全巡检，将安全巡检划分为巡检准备、巡检实施、报告建议及改进指导、巡检基线四个过程，每次巡检完成后，天融信根据用户当前的需要形成特定于客户的巡检基线，随着客户巡检需求的变更，不断更新基线库，以高效快捷的帮助客户发现问题，提出建议，降低风险。内部IT资源动态变化战略方针调整外部环境变化4-3体系结构模块类型

巡检对象

巡检内容

巡检结果

漏洞扫描

主机、数据库系统、网站系统系统信息应用系统版本漏洞扫描结果系统服务操作系统漏洞应用漏洞用户帐号及口令系统补丁开放服务端口

策略检查

服务器、安全设备、网络设备

自身安全保护测路日志存储及备份策略策略检查结果时间管理策略系统管理及登录策略账户及密码策略配置备份策略开放服务策略访问控制策略内容安全策略系统版本及补丁策略

日志审计服务器、数据库系统、网站系统关键应用的错误信息应用加载或审计失败信息日志审计结果系统服务加载失败信息系统驱动加载失败信息

进程变更信息网络连接错误信息日志审计策略变更信息登录失败信息账户及权限变更信息账户特权使用及变更信息安全策略变更信息异常时间登录及操作信息核心服务启停信息系统异常启停信息异常IP访问信息数据库结构变更信息异常IP数据传输信息攻击信息4-4体系特点※体系特色提供相应数量的专职安全工程师为客户提供外包服务，外包工程师将在约定时间内完全按照客户的作息时间上下班，为客户提供安全巡检服务。天融信依托完善的安全外包服务体系与服务知识库，建设并完善了外包运维服务中心，整体负责外包工程师日常工作的支持、协调和监督，更贴近客户实际需求。※体系事宜可根据客户实际安全巡检服务需求，选择全部或某一模块的安全巡检服务，以满足客户不同的安全服务需求，最终达到成本与收益平衡。※体系规格操作系统支持类型：Windows、Unix、Linux、Solaris、AIX等

数据库支持类型：MSSQL、MySQL、Orcale、DB2、Sybase等主流网络设备，如思科交换机、路由器等

安全设备：主流的安全设备，如防火墙等日志格式支持：文本文件、XML、数据库记录等网站系统支持类型：Apache、IIS等XX安全巡检服务项目建议书1.项目背景

2.需求分析3.项目范围及目标4.项目方案设计5.项目实施6.项目总结及验收7.知识转移8.项目管理

９.天融信安全巡检服务成功案例逐步走向成功之巅报告建议阶段整理分析巡检结果，提出建议，形成报告，并与客户交流，得到客户认可。巡检服务实施阶段对巡检范围内服务器、设备、系统实施巡检，并做好阶段性结果记录。项目启动准备阶段安全巡检服务项目的准备工作，确保有计划、有目的完成项目。时间4-2项目阶段规划报告建议阶段巡检服务实施阶段工作要求及目标:项目准备会项目正式启动会信息系统资产调研确定巡检范围安全巡检服务实施计划制定解决方案及文档：安全巡检服务实施计划安全巡检服务实施申请时间项目启动准备阶段工作要求及目标:漏洞扫描策略检查日志审计解决方案及文档：N/A工作要求及目标:整理巡检结果记录分析巡检结果记录编写安全巡检服务实施报告报告讨论提交解决方案及文档：安全巡检服务实施报告4-4项目分阶段任务XX安全巡检服务项目建议书1.项目背景

2.需求分析3.项目范围及目标4.项目方案设计5.项目实施6.项目总结及验收7.知识转移8.项目管理

９.天融信安全巡检服务成功案例5-3项目总结及验收天融信安全巡检服务

漏洞扫描策略检查日志审计《安全巡检服务实施计划》《安全巡检服务实施报告》客户巡检需求客户资源最终成果项目验收方式报告提交完成后，召开项目总结验收会，经双方对项目过程及成果达成一致认可，同意对项目进行验收，签署验收文档，项目完成验收。编号成果01安全巡检服务实施计划02安全巡检服务实施报告XX安全巡检服务项目建议书1.项目背景

2.需求分析3.项目范围及目标4.项目方案设计5.项目实施6.项目总结及验收7.知识转移8.项目管理

９.天融信安全巡检服务成功案例7-1知识转移

开会交流，回答客户问题，提出建议，指导改进。

提交真实可靠的《安全巡检服务实施计划》和《安全巡检服务实施报告》XX安全巡检服务项目建议