信息系统渗透测试服务计划1

1、信息系统渗透测试服务方案1信息系统渗透测试服务方案通过模拟黑客对目标系统进行渗透测试，发现分析并验证其 存在的主机安全漏洞、敏感信息泄露、SQL注入漏洞、跨站脚本 漏洞及弱口令等安全隐患，评估系统抗攻击能力，提出安全加固 建议。信息系统渗透测试类型：第一类型：互联网渗透测试，是通过互联网发起远程攻击， 比其他类型的渗透测试更能说明漏洞的严重性；第二类型：合作伙伴网络渗透测试，通过接入第三方网络发 起远程攻击；第三类型：内网渗透测试，通过接入内部网络发起内部攻击。信息系统渗透测试步骤：基础信息收集、主机安全分析、敏感信息分析、应用安全分 析、弱口令分析主要检测内容：跨站脚本漏洞、主机远程安全、残

2、留信息、SQL注入漏洞、 系统信息泄露、弱口令等信息系统渗透测试过程:分为委托受理、准备、实施、综合评估、结题五个阶段，参 见下图。委托受理阶段：售前与委托单位就渗透测试项目进行前 期沟通，签署保密协议，接收被测单位提交的资料。前期沟 通结束后，双方签署，双方签署信息系统渗透测试合同。准备阶段：项目经理组织人员依据客户提供的文档资料和调 查数据，编写制定信息系统渗透测试方案。项目经理与客户沟通 测试方案，确定渗透测试的具体日期、客户方配合的人员。项目 经理协助被测单位填写信息系统渗透测试用户授权单，并通 知客户做好测试前的准备工作。如果项目需从被测单位的办公局 域网内进行，测试全过程需有客户方

3、配合人员在场陪同。实施阶段：项目经理明确项目组测试人员承担的测试项。测 试完成后，项目组整理渗透测试数据，形成信息系统渗透测试 报告。综合评估阶段:项目组和客户沟通测试结果，向客户发送信 息系统渗透测试报告。必要时，可根据客户需要召开报告评审 会，对信息系统渗透测试报告进行评审。如被测单位希望复 测，由被测单位在整改完毕后提交信息系统整改报告，项目组依 据信息系统渗透测试整改报告开展复测工作。复测结束后， 项目组依据复测结果，出具信息系统渗透测试复测报告。结题阶段：项目组将测评过程中生成的各类文档、过程记录 进行整理，并交档案管理员归档保存。中心质量专员请客户填写 客户满意度调查表，收集客户反

4、馈意见。1）测评流程:信息系统运行安全应急预案1保健院信息系统运行安全应急预案为了保护医院计算机网络系统安全，促进医院计算机的应用 和发展，保障系统的顺利运行，特制定本预案。一、信息系统保护的重要性1、本预案所称计算机网络系统，是指在医院信息系统中， 由计算机及其配套的设备、设施构成，按照系统的应用目标和规 则对数据信息进行采集、加工、存储、传输、检索等处理的人机 系统。2、计算机网络系统的安全保护，是保障计算机及配套的设 备、设施的安全，运行环境的安全，保障信息的安全，保障医院 信息管理系统功能的正常发挥，以维护计算机网络系统的安全运 行。4、计算机网络系统的安全保护，重点是维护网络系统中数

5、 据信息和网络上一切设备的安全。5、医院内全部上网运行的计算机的安全保护都适用本规则， 医院信息系统建设与应用。6、财务部网络技术组主管全院计算机网络系统的安全保护 工作。7、任何单位或者个人不得利用上网计算机从事危害医院利 益的活动，不得危害计算机网络系统的安全。二、安全保护制度1、计算机网络系统的建设和应用，应遵守上级主管机关办 法的行政法规，用户手册和其他有关规定。2、计算机网络系统实行安全等级保护和用户使用权限划分。 安全等级和用户使用权限以及用户口令密码的划分和设置由计 算机中心负责制定和实施。3、计算机中心机房应符合国家标准和国家规定。4、在计算机网络系统设施附近进行营房维修、改造

6、及其他 活动，不得危害计算机网络系统的安全。如无法避免而影响计算 机网络系统设施安全的作业，须事先通知计算机中心，经中心负 责人同意并采取保护措施后，方可实施作业。5、计算机网络系统的使用单位和个人都必须遵守计算机安 全使用规则，以及有关的操作规程和规章制度。6、对计算机网络系统中发生的问题，有关使用单位负责人 应当立即向计算机工程技术人员报告。7、对计算机病毒和危害网络系统安全的其他有害数据信息 的防治工作，由计算机中心负责处理。8、对计算机网络系统软件、设备、设施的安装、调试、故 障排除等各项操作由计算机工程技术人员负责。其他任何单位或 个人不得自行拆卸、安装任何软、硬件设施。9、所有上网

7、计算机绝对禁止进行国际联网或与院外其他公 共网络联接。三、安全监督计算机中心对计算机网络系统安全保护工作行使下列监督 职权。1、监督、检查、指导计算机网络系统安全维护工作。2、查处危害计算机网络系统安全的违章行为。3、履行计算机网络系统安全工作的其他监督职责。4、技术人员发现影响计算机网络系统安全的隐患时，可立 即采取各种有效措施予以制止。5、计算机工程技术人员在紧急情况下，可以就设计计算机 网络安全的特定事项采取特殊措施进行防范。四、实施情况1、制度建立后印发各使用科室，要求各科认真组织学习， 做到操作人员必须掌握。2、财务部计算机网络中心组织全院操作人员进行培训，内 容为信息质量与安全教育。五、信息管理意外事件处理（一）、应急预案1、坚持信息化领导小组，明确职责权利；2、发生意外事件后各科室在5分钟内将信息反馈财务部计 算机网络中心；3、快速向科主任及主管领导汇报，并启动应急方案；4、一旦发生无法挽回的事件后，应立即转入手工状态；5、当故障解决后，在48小时之内将手工数据全部补录到 HIS系统中；6、解决流程：故障部门5分钟上报计算机网络中心10分钟到现场事故处 理结果（重大事故报）手工模式（无法解决故障）医院领导恢复 数据，由计算机网络中心组织抢修。7、应急事件处理领导小组