信息安全服务方案
- 格式:docx
- 大小:494.78 KB
- 文档页数:32
信息安全服务内容XX有限公司XX年XX月目录1.1信息系统等级保护一揽子服务 (4)1.1.1等级保护合规建设 (4)1.1.1.1定级备案辅助※ (4)1.1.1.2差距分析※ (4)1.1.1.3脆弱性检测技术方案※ (6)1.1.1.4安全产品合规性方案※ (14)1.1.1.5.安全整改建设方案 (14)1.1.1.6.等级保护达标整改实施 (16)1.1.2等级保护测评 (19)1.1.2.1工作内容 (19)1.1.2.2实施成果 (19)1.2信息系统安全服务 (19)1.2.1安全评估类服务 (19)1.2.1.1风险评估服务※ (19)1.2.1.2安全渗透测试 (20)1.2.1.3安全漏洞扫描※ (23)1.2.2系统上线测试 (24)1.2.2.1上线安全测试 (24)1.2.2.2代码审计 (25)1.2.3安全运维类服务 (25)1.2.3.1安全巡检服务 (25)1.2.3.2应急响应服务 (26)1.2.3.3安全加固服务 (27)1.2.3.4网站安全监测※ (29)1.2.3.5安全通告 (30)1.2.4安全咨询类服务 (31)1.2.4.1管理体系咨询 (31)1.2.4.2等级保护咨询 (31)1.2.4.3网络安全架构咨询 (32)1.2.5安全培训 (32)1.2.5.1安全培训 (32)信息安全服务内容......................................... 错误!未定义书签。
1.1信息系统等级保护一揽子服务 (4)1.2信息系统安全服务 (19)1.1信息系统等级保护一揽子服务等级保护一揽子服务分为等级保护达标建设和等级保护测评两部分。
等级保护合规建设通过对系统进行差距分析,找出系统安全状况与国家标准之间的差距,而后针对这些差距,对信息系统进行专项建设,最终让系统安全状态达到国家等级保护的相应要求。
等级保护达标建设完成后,聘请等级保护测评机构入场,进行等级保护测评和认定工作。
不同的安全等级要求具有不同的基本安全保护能力,实现基本安全保护能力将通过选用合适的安全措施或安全控制来保证,可以使用的安全措施或安全控制表现为安全基本要求,依据实现方式的不同,信息系统等级保护的安全基本要求分为技术要求和管理要求两大类。
技术类安全要求通常与信息系统提供的技术安全机制有关,主要是通过在信息系统中部署软硬件并正确的配置其安全功能来实现;管理类安全要求通常与信息系统中各种角色参与的活动有关,主要是通过控制各种角色的活动,从政策、制度、规范、流程以及记录等方面做出规定来实现。
根据威胁分析、安全策略中提出的基本要求和安全目标,在整体保障框架的指导下,本节将就具体的安全技术措施和安全管理措施来设计安全解决方案,以满足相应等级的基本安全保护能力。
1.1.1等级保护合规建设1.1.1.1定级备案辅助※本公司咨询顾问协助用户单位,依据《信息系统安全等级保护定级指南》,确定信息系统的安全保护等级,准备定级备案表和定级报告,协助用户单位向所在地区的公安机关办理备案手续。
1.1.1.2差距分析※通过差距分析,可以明确客户信息系统的现状,确定不符合的安全项,明确安全建设需求。
➢差距分析准备本公司咨询顾问根据与客户确认的计划,做现场检查测试前的准备,主要包括准备差距分析表,明确现场访谈的对象(部门和人员),准备相应的网络设备、安全设备和主机设备的配置检查表和相关测试工具。
在整理差距分析表时,本公司咨询顾问会根据系统所确定的安全等级从基本要求中选择相应等级的基本安全要求,根据客户信息系统分析结果及风险评估的结果进行调整,去掉不适用项,增加不能满足客户信息系统需求的安全要求,一般来说,差距分析表包括安全技术、安全管理两个方面内容分析系统现有的安全措施和安全要求之间的差距,根据这些差距提出安全建议:✓安全技术差距分析✓安全管理差距分析➢现场差距分析现场差距分析阶段,本公司咨询顾问依据差距分析表中的各项安全要求,对比现状和安全要求之间的差距,确定不满足要求的安全项。
➢现场差距分析工作内容现场工作阶段,本公司咨询顾问可分为管理检查组和技术检查组,在客户方人员的配合下,分工如下:管理检查组负责安全管理和物理安全类文档资料分析、现场访谈、现场检查,并填写差距分析表的相关部分;技术检查组负责安全技术类文档分析、现场访谈、现场检查,并填写差距分析表的相关部分。
在差距分析阶段,可以通过以下方式收集信息,详细了解客户信息系统现状,并通过分析所收集的资料/数据,以确认客户信息系统的建设是否符合该等级的安全要求,需要进行哪些方面的整改和安全建设。
✓查看制度和记录为了获取和分析业务系统现有的安全控制措施,需要查看安全策略文档(例如政策法规、指导性文档)、管理制度(例如运维管理规定、机房管理制度等)和其它相关文档(例如定级报告)等。
✓人员访谈本公司咨询顾问与客户组织内有关的管理、技术和一般员工进行逐个沟通。
根据客户的回答,获得相应信息,并可验证之前收集到的资料,从而提高其准确度和完整性。
通过访谈管理和技术人员,项目组成员可以收集到业务系统相关的物理、环境、安全组织结构、操作习惯等大量有用的信息,也可以了解到被访谈者的安全意识和安全技能等自身素质。
由于访谈的互动性,不同于调查表,项目组成员可以广泛提问,从多个角度获得多方面的信息。
✓现场检查本公司咨询顾问也可对客户办公环境和机房内设备作现场检查,或观察人员的行为或环境状况,观察制度的执行情况及技术要求落实情况。
根据现场勘查的结果,获得相应咨询信息。
1.1.1.3脆弱性检测技术方案※差距分析的主要手段就是对信息系统的各个方面进行脆弱性检测。
通过检测系统的脆弱性,分析出与等级保护之间的差别,从而输出《差距分析报告》。
脆弱性检测主要从物理脆弱性,系统脆弱性,网络脆弱性,应用脆弱性和管理脆弱性这几个方面展开。
➢物理脆弱性检测✓设备脆弱性检测●检测目的检测应用系统内的物理设备存在的脆弱性。
●检测内容包括设备的标签、标记、位置及周边环境;设备的安全管控措施。
●检测方式问卷调查、顾问访谈、现场查看。
●检测对象应用系统内的主机、网络设备、网络安全设备及环境设施等。
✓存储介质脆弱性检测●检测目的检测应用系统内的存储设备、存储介质应用中的脆弱性。
●检测内容信息存储设备、介质的使用、保管和销毁等管控措施。
●检测方式问卷调查、顾问访谈、现场查看●检测对象应用系统内使用的磁盘阵列、磁带机、U盘、活动硬盘等。
➢网络脆弱性检测✓网络结构及边界脆弱性检测●检测目的检测应用系统内拓扑结构、网络边界与外部连接存在的脆弱性。
●检测内容对应用系统内的网络拓扑结构、网络边界等信息进行探测识别与分析。
重点是发现可能存在的边界安全问题,包括与外部网的连接、与内部网的连接。
●检测方式现场查看、顾问访谈、技术检测●检测对象应用系统内的网络拓扑结构和网络边界。
✓网络设备的脆弱性检测●检测目的检测应用系统内所用的路由器、交换机等网络设备存在的脆弱性。
●检测内容路由器的安全检测内容主要包括三个方面:操作系统、配置和抵御拒绝服务攻击。
其中,操作系统方面,主要检测路由器操作系统是否存在安全漏洞,补丁是否安装及时;配置方面,检测端口开放、访问控制表和配置文件备份等情况;抵御拒绝服务攻击方面,则主要检测路由器能否抵御拒绝服务和分布式拒绝服务攻击,以及关键位置路由器是否有热备份。
交换机特别三层交换机操作系统的安全性,是否存在安全漏洞,补丁的安装情况;交换机VLAN的划分,以及各VLAN间的访问控制策略;交换机配置文件的备份;交换机抗拒绝服务攻击的能力。
对负载均衡设备的检测内容主要也是三个方面:一是其操作系统是否安全,例如是否存在安全漏洞,补丁是否正确及时安装;二是配置是否正确,与安全策略一致;三是是否能够抵御拒绝服务攻击。
●检测方式问卷调查、登录查看和技术检测。
●检测对象应用系统内的路由器、交换机和负载均衡设备。
✓网络安全设备脆弱性检测●检测目的检测应用系统内网络的安全防护设备存在的脆弱性。
●检测内容对应用系统内网络的安全设备的配置有效性和运行安全性进行检测。
●检测方式问卷调查、登录查看、技术检测●检测对象应用系统内的网络安全设备。
➢系统脆弱性检测✓操作系统脆弱性检测●检测目的检测应用系统内使用的操作系统存在的脆弱性。
●检测内容操作系统是否达到与网络相适应的安全级别,是否存在安全漏洞,补丁程序安装情况,是否开启了不必要的服务,系统配置是否正确等。
●检测方式调查问卷、登录查看、技术检测。
●检测对象应用系统内使用的操作系统。
✓数据库脆弱性检测●检测目的检查应用系统内数据库的脆弱性。
●检测内容检测数据库系统是否存在漏洞;检测数据库管理的安全性;检测数据库口令设置的复杂度;检测数据库数据的机密性和完整性。
●检测方式登录查看、问卷调查、技术检测。
●检测对象各类数据库。
➢应用脆弱性检测✓网络服务脆弱性检测●检测目的对系统的网络服务应用和某些专用应用系统进行脆弱性检测。
●检测内容检测WWW、电子邮件等网络服务程序的安全性,包括安全配置、补丁程序、日志审计及辅助安全措施;对应用系统内专用业务系统的口令认证、访问控制、系统脆弱性等方面进行安全检测。
●检测方式问卷调查、登录查看和技术检测。
●检测对象应用系统内的网络服务应用。
✓主机防护脆弱性检测主机防护脆弱性检测包括单机版防火墙、主机入侵检测、主机漏洞扫描、恶意代码与病毒防御和文件完整性检测。
a) 单机版防火墙●检测目的检测单机版防火墙存在的脆弱性。
●检测内容检测应用系统内的重要主机是否安装了单机版防火墙及其防护有效性。
●检测方式调查问卷、登录查看和技术检测。
●检测对象应用系统内中的重要主机。
b)主机入侵检测●检测目的检测主机入侵检测存在的脆弱性。
●检测内容检测应用系统内的重要主机是否具有基于主机的入侵检测措施,以及这些措施的防护有效性。
●检测方式调查问卷、登录查看。
●检测对象应用系统内中的重要主机。
c) 主机漏洞扫描●检测目的检测主机漏洞扫描存在的脆弱性。
●检测内容检测应用系统内的重要主机是否具有基于主机的漏洞扫描措施,以及这些措施的运行有效性。
●检测方式调查问卷、登录查看。
●检测对象应用系统内中的重要主机。
d)恶意代码与病毒防御●检测目的检测主机恶意代码与病毒防御系统的脆弱性。
●检测内容检测应用系统内的重要主机是否具有基于主机的恶意代码与病毒防御措施,以及这些措施的运行有效性,包括检测清除、升级更新、数据备份等。
●检测方式调查问卷、登录查看。
●检测对象应用系统内的所有主机。
➢管理脆弱性检测✓机构、制度和人员a)机构●检测目的检测应用系统内的管理机构是否存在脆弱性。
●检测内容为确保网络信息系统安全运行而建立的安全管理组织体系,例如设置安全管理领导机构,安全管理技术部门或小组等,安全管理职责划分是否合理,是否具有安全审计机构。