安全大数据应用现场实施服务投标方案（技术标）

1安全大数据应用现场实施服务投标方案目录 6 6 61.1.2.服务期 8 8 8 1.3.5.实施策略 1.3.8.信息安全保障技术框架(IATF) 2 1.4.项目实施管理方案 1.4.1.项目组织机构 301.4.3.热线支持服务 1.4.4.现场支持服务 1.4.5.远程支持服务 1.4.6.主动支持服务 1.4.8.客户回访服务 1.4.9.售后服务流程 1.4.10.管理体系 1.4.11.安全管理制度 1.4.12.安全管理机构 1.4.13.安全管理人员 1.4.15.安全通信网络 2.1.项目组织结构及职责 2.1.1.项目管理组织架构图 2.1.2.项目实施小组职责分工矩阵 2.1.3.信息安全保密管理制度 2.2.技术保障措施 32.2.2.管理服务器 2.2.3.管理客户端 782.2.4.数据备份与冗余 792.2.5.数据加密 2.2.6.病毒防治措施 2.2.7.补丁更新与软件分发 2.2.8.信息安全审核制度 2.2.9.信息安全责任落实 2.2.10.防火墙的类型和设计策略 第三章质量保障措施及项目管理方案 3.1.信息安全服务质量保障流程 3.2.项目实施方法论 3.2.1.合理的组织架构 3.2.2.严格的制度规范 3.2.3.专业的工具 3.3.项目实施过程管理 3.3.1.启动阶段 3.3.2.实施阶段 3.3.3.收尾阶段 3.4.项目质量控制 3.4.1.对支撑平台设备安装阶段 3.4.2.试运行阶段 3.5.项目沟通管理 3.5.1.沟通策略 43.5.2.项目沟通渠道 3.6.项目风险及风险管理 3.6.1.风险分析 3.6.2.风险确定 3.6.3.降低风险 3.6.4.风险降低控制 3.6.5.项目风险与规避分析 3.6.6.项目保密工作 3.6.7.配置检查风险规避措施 3.6.8.渗透测试风险规避措施 3.7.其它 3.7.1.项目质量控制 3.7.2.质量控制方法 3.7.3.质量测量工具 3.7.5.进度管理 3.7.6.问题预防 3.7.7.项目文档管理 第四章项目进度、安全控制措施、应急措施 4.1.进度保证 4.1.1.安全管理制度体系 4.1.2.基本安全管理制度梳理 4.1.3.安全运维(运营)中心设计方案 4.1.4.安全运维(运营)管理定位 54.2.建设目标 4.2.1.安全人员(People) 4.2.2.运维流程(Process) 4.2.3.技术平台(Technology) 6第一章服务方案序号名称单位数量全时率备注1xx局安全大数据应用现场实施服务采购项11.1实施服务71.1.6画像分析(人员、设备):实施内容主要包括81.2运维服务1.2.1现场运维1年。9收合格后支付合同总额的35%,其余5%作为质保金，在质《网络安全法》《个人信息保护法(草案)》GB/T35273-2017信息安全技术个人信息安全规范GB17859-1999计算机信息系统安全保护等级GB/T25058-2010信息安全技术信息系统安全GB/T22239-2008信息安全技术信息系统安全GB/T20270-2006信息安全技术网络基础安全GB/T20271-2006信息安全技术信息系统通用安全技术要求GB/T20272-2006信息安全技术操作系统安全GB/T20273-2006信息安全技术数据库管理系GA/T671-2006信息安全技术终端计算机系统GA/T709-2007信息安全技术信息系统安全等GB/T22239-2008信息安全技术信息系统安全GB/T24363-2009信息安全技术信息安全应急GB/T20985.1-2017信息安全事件管理第1部信息安全防御能力滑动象限(SANS)-Gartner依先进的信息安全思想对信息安全体系整体的规划××信息安全保号说/5027001全间安全城慢替与应：市社语：×m事件管和SAn练(a对缘.演s价及总结)X关建位想基过应施安全保护信息晚上练安服务方案持续服务、全程保护的业务安全托管方案持续服务、全程保护的业务安全托管方案能力中心安全服按续加固金程可闭环运营业务目标业务目标R及菌略信息安全鸡和城办应用全全官息安金着烟企(3)云端SOC将分析的问题以工单形式(含处置方(4)客户安全管理员或CSO可以实时的查看三大服务机制三大服务机制未公开或处事4分析与处应身响内全信息智”,提供从安全运营到持续响应，7*24点查录：点执行日蓝、查等动点查录：点执行日蓝、查等动专家服务断同样也是为了避免或减轻损失。风险管理过程(Risk安全水平一般来说，安全风险的降低(即安全水平的提升)和在国际标准IS013335中，安全模型如下图所安全措施风险信息资产安全需求价值在国际标准IS015408中，安全模型如下图所示，其有价值一所有者希望最小化一降低可能知道一信息资产希望滥用或破坏一(IS015408风险管理模型)2000年10月发布了IATF3.1版本，在IATF中提出信息(或人)在安全策略下借助于一定的安全技术手段进行持信息安全的动态性指的是信息系统中存在的各种安信息系统安全的相对性指的是信息安全的目标实现信息安全的整体性指的是信息安全是一个整体的目已将信息安全等级保护作为国家信息安全保障工作的重系中都有体现，比如质量管理体系(IS09000)和环境管监视&复审信息安全需求信息安全设计&实施决方案；在实施(Do)阶段将解决方案付诸实现；解决方案是否有效?是否有新变化?应该在检查(Check)阶段监视和审查；一旦发现问题，需要在措施(Act)阶段予组织就能将确切的信息安全需求和期望转化为可管理的●全面摸底●整体规划●整合实施角色项目分工人数项目经理统筹协调项目交付过程与质量把控1服务经理负责日常客户沟通，服务质量监管及改进l渗透测试执行专业安全渗透，发现用户网若干工程师络和信息化系统风险点安全工程师负责日常安全运维服务工作的开展若干风险管理负责项目风险把控及风险处置若干师一线技术支持小组设立电话热线值班员以及网络系为客户提供7×24的热线技术支持服务，任何时间和紧急事态下用户都可以通过公司提供的项目经理热线和用户也可以通过邮件方式将有关问题反映到一线技严格按照质量保证体系制定的售后服务控制程序来和第45分钟；按找的间时大发生结行信息姓方批神，以驼特(信姓6(信息姓工作本与题健全门缸办法全速和技术制度、办法和，用理办法的有效文实施细则与流程取的结果定供完成乱的证据由组织最高领导层指定或授权专门的部门或人员负发布和执行过程中除了要得到管理层的大力支持和推动发布和执行前对每个人员都要做与其相关部分的充分培1)信息安全策略中的主要更新；管理工作的特点建立符合组织机构设置和人员分工特点机房管理员数据库管理员网络管理员系统管理员安全审计员安全管理员网络安全主管(部门)人员配备授权和审批程，对重要活动建立逐级审批制度，定期审查审批事项，1.4.13.安全管理人员人员录用由组织最高领导层指定或授权专门的部门或人员负人员离岗及时终止离岗人员的所有访问权限，取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备，办理严格的调离手续，并承诺调离后的保密义务后方可离开。一人员离职流程参考加强人员商职控制◆人职往柱存在安全风险，转是覆员主动对；◆使用标准的检查列(ChdSt)来实离职方淡；>解时系统、胃络和理设炼的钫板；>解电活，注销电子邮箱，物定Intemet号：道知公其的人员、外郁伙件减容户，声此人已人员离职控制参考安全意识教育和培训对各类人员进行安全意识教育和岗位技能培训，并告知相关的安全责任和惩戒措施，针对不同岗位制定不同的培训计划，对安全基础知识、岗位操作规程等进行培训，定期对不同岗位的人员进行技能考核。增强全员的安全意识背景谓查保护控制的效率，有助于通免地的和计算资的背景谓查员工有安全容问的沛：识培训效评估出版发布品，新试传单，物，报，布告栏：>金和赞偿等此机制；效评估安全意识教育培训参考外部人员访问管理在外部人员物理访问受控区域前先提出书面申请，批准后由专人全程陪同，并登记备案，在外部人员接入受控网络访问系统前先提出书面申请，批准后由专人开设账户、分配权限，并登记备案，外部人员离场后应及时清除其所有的访问权限，获得系统访问授权的外部人员应签署保密协议，不得进行非授权操作，不得复制和泄露任何敏感信1.4.14.安全运维管理根据组织网络安全管理制度体系框架中有关安全运维管理的制度规定，利用物理环境、网络系统、网络安全重点要进一步建立完善网络系统安全漏洞的日常扫环境管理可能的活，信息处理施应以防止未没校的法会搜权收件被成被安全重.A1115被全A921护IS027001物理和环境安全要求参考识低息和位理施的相关资产并制护群在合应终止后，所有员工和防人题选有他0#有的细织资产姚动价猫程序，并想的分方案相配阶不时，正粗可的、姓的处置A111人IS027001资产管理安全要求参考介质管理设备维护管理对各种设备(包括备份和冗余设备)、线路等指定专网络和系统安全管理配置管理指定责任部门；总结在密码设备的采购、使用、维护、保修及报废的整个生命周期内的各项国家有关规定；严格执行上述规定。A生成、、照、.分发、欧毁IS027001加密控制安全要求参考变更管理网络安全风险是“动态”的主要因素之一，就是网络和信息系统是会发生变化的。明确变更需求，变更前根据变更需求制定变更方案，变更方案经过评审、审批后方可实施，建立变更的申报和审批控制程序，依据程序控制所有的变更，记录变更实施过程，建立中止变更并从失败变更中恢复的程序，明确过程控制方法和人员职责，必要时对恢复过程进行演练。A211文件化醇粉及时向安全管理部门报告所发现的安全弱点和可疑息泄漏的重大安全事件应采用不同的处理程序和报告程.14动用国15分类分4。23专家3测与预整44应急响41住息报告.43非级响应oo48应急母来51情沈汇教和性检总52后处16应急保障7.2培词…8.1预案分订8.3预案实施o外包运维管理和管理方面均应具有按照等级保护要求开展安全运维工能涉及对敏感信息的访问、处理、存储要求，对IT基础表5-1安全管理措施实现参考分类安全控制点对应体系文件或要求安全管理制度安全策略《网络安全工作总体方针和安全策略》管理制度《物理安全管理规范》《网络安全管理规范》《主机安全管理规范》《应用安全管理规范》《数据安全管理规范》《设备操作规程》记录表单制定和发布《制度制定、发布、评审和修订管理制度》及记录评审和修订《制度制定、发布、评审和修订管理制度》及记录安全管理机构岗位设置《安全管理组织规范》人员配备单位人员配备情况表单位人员配备情况(专职安全管理员)分类安全控制点对应体系文件或要求授权和审批沟通和合作《沟通与合作管理规范》-附件记录模板审查和检查《安全审查和检查管理规范》安全管理人员人员录用《人员管理制度》人员离岗《人员管理制度》安全意识教育和培训《信息安全培训管理制度》外部人员访问管理《外部人员访问管理制度》安全建设管理定级和备案《定级备案报告》《系统定级专家评审意见》审批记录《定级备案表》《定级报告》安全方案设计产品采购和使用《IT产品采购管理制度》自行软件开发外包软件开发分类安全控制点对应体系文件或要求工程实施《工程实施管理制》测试验收《工程测试验收管理》系统交付《系统交付管理》等级测评固方案》服务供应商选择《服务供应商安全管理》安全运维管理环境管理《机房安全管理制度》《办公环境保密管理》资产管理介质管理《介质管理制度》设备维护管理漏洞和风险管理网络和系统安全管理《网络安全管理规范》《主机安全管理规范》《应用安全管理规范》《系统安全管理制度》恶意代码防范管理配置管理《配置变更管理程序》分类安全控制点对应体系文件或要求密码管理《保密管理制度》变更管理《配置变更管理程序》备份与恢复管理安全事件处置《安全事件报告和处置》应急预案管理《信息安全应急预案》外包运维管理《信息安全外包运维管理制度》求》,对等级保护对象涉及到的安全通信网络进行设计，网络架构安全目标和策略等元素的不同来划分的不同逻辑子网或网络安全域的划分原则网络安全域的划分应该根据组织业务发展和安全基网络安全域的划分方法对等级保护对象的网络安全划分方法主要考虑如下图5-8采购方等级保护对象网络安全区域划分的业务处理能力满足业务高峰期需要及各个部分的带宽a)路由器审计管理b)交换机审计管理c)防火墙审计管理网络管理软件可以对网络中的设备和系统运行过程通信网络数据传输完整性保护全协议为等级保护对象内部的维护管理提供数据加密通可信连接验证可信连接验证主要是对内部通信网络的接入进行安部通信网络。通过采用终端准入技术(如802.1X),对接第二章项目实施组织形式和管理措施承担项目指导、管理工作。在项目中采用项目经理负责制，协助进行护网安全保障工作，保障本服务项目的顺利实施。组名角色职责输出物护网领导小组组长批准行动方案和重大决演习工作，下达系统停外信息报送授权指令组员组员联络保障组组长1、与采购方联络2、外部相关单位的工作对接与沟通负责做好信息传递工作，与上下级单组员组员3、物资保障位的演习指挥部联络。负责与外部相关单位的工作对接与沟通，负责做好演习期间相关人员物资保障工作风险评估组组长核查、渗透等)《资产清单》与管理服务资产表》组员组员单位数据中心安全评估核查、渗透等)组员威胁分析组组长型与处置报告》、威胁通报及情报攻击源的排查处置跟踪服务技术支持组员组员组员处置加固组组长单位数据中心安全事件处置：失陷主机处置终端安全加固(待定),无线安全加固，数据安全加固，邮件安全加固复查：漏洞复测与管理服务《事件处置组员组员组员组员组员组员组员组员巡检升级组组长检对核心网络设备进行软件升级《资产巡检设备及核心网络设备升组员组员监测预警组组长7*24H安全监测预警《监测预警报告》S0C、IOS、安全深度威胁识别系统等安全组员监测技术支应急响应组组长演练。演练方案》,事件处置报组员组员安全培训组组长员负责安全意识培训针对本次护网行动设计安全意识培训课程，并组织完成安全安全意识的强弱对于整个信息系统避免或尽量减小损过网管中心的管理软件，对该交换机远程实施管理包括服务器安全审核、组策略实施、服务器的备份策服务器安全审核的范围包括安全漏洞检查、日志分析、服务器的备份策略包括系统软件备份和数据库备份两程序，制定合理的备份策略，每周日晚上做一次完全备份，备份工作情况进行检查(数据库备份后面有论述)。(1)将客户端都加入到域中，客户端纳入管理员集中管(2)只给用户以普通域用户的身份登录到域，因为普通域用户不属于本地Administrators和PowerUsers组，这了便于用户工作，通过本地安全策略措施，授予基本操作权(1)在网络中心的0racle服务器以及文件服务器上分(2)在服务器上设置在线备份策略，每天凌晨1点自动备份SQL数据库、凌晨2点自动备份Oracle数据库、凌(3)采用本地硬件RAID5对硬件级磁盘故障进行保和SoftwareUpdateService(SUS)软件来自动实现这一1)设立信息安全岗位，实行信息安全责任制(1)设立专职信息安全管理领导岗位和3个信息安全管(2)信息安全岗位工作人员不得在其他单位兼任信息安(3)信息安全管理岗位人员负责本单位制作、复制、发(5)信息安全部门统一规划、组织、协调、监督、管理(2)重要数据备份：对于数据服务器中的用户信息、重要(3)定期系统升级：对于windows操作系统的服务器每周3)建立并实行机房值班安全制度(1)确保线路畅通。上班后与下班前检查线路，寻找网络(2)及时、准确、无误地填写运行记录。出现事故尽快处(3)负担整个网络的性能管理任务。对网络性能进行动态(4)注意网络运行安全，对网络异常现象进行反应。利用(5)保证机房的供电及室内空气的温度、湿度正常。注意(6)完成网络设备的安装，调试。并对安装，测试过程中(7)主动监测网络，随时发现问题，及时查清故障点，并(2)坚持使用正确、安全的软件及软件操作流程，从细节5)建立应急处理流程(3)控制系统的访问权限，公司在允许一些人访问系统的(4)使用安全的软件；(5)找出问题根源；6)实行关键字的设立、过滤与更新规则(1)通信平台具有信息内容的过滤功能。信息过滤包括对(3)过滤引擎的建立：过滤引擎设定关键字、日志管理、(4)对不良信息和事件的发生进行记录，并储存，以备后7)建立并实行信息储存与查阅制度(1)信息采集：信息资料的来源渠道必须正规，不能侵犯(4)信息的存储：对采集的各种信息进行科学分类，以文据备份与冗余”行之中。为此，首先抓好组织机构建设。在原作落实到各个部门，做到分工明细，责任明确安全来体现；逻辑安全管理则是从技术层面建立诸如用户1)信息安全专员负责本网络的安全保护管理立健全安全保护管理制度2)落实安全保护技术措施，保障本网络的运行安全和信息安全3)负责对本网络用户的安全教育和培训4)对委托发布信息的单位和个人进行登记，并对所提供的信息内容按照信息发布审核制度进行审核5)BBS等实现24小时值班，并将信息安全责任落实到人，各分公司和各网站均有专人负责信息安全工作6)完善信息安全事件快速处理机制，缩短信息安全事件处理时间和环节，将不良影响降到最低7)明确信息安全工作重点，日常信息安全工作重点为邮件等8)采用技术手段检测和保障信息安全。通过采用如关键字过滤、防垃圾邮件等技术手段来杜绝有害信息9)通过高标准的控制来强化所有安全设施、重要的服务器和通讯平台防火墙(Firewall)是在一个可信的网络和不可信的网络之间建立安全屏障的软件或硬件产品。Linux接收、发送的包或主机从一个网卡转发到另一个网卡的包，在构造防火墙时，常采用2种方式，包过滤和应用代理服务。包过滤是指建立包过滤规则，根据这些规则及IP包止FTP的使用，但不能禁止FTP特定的功能(例如Get和Put的使用)。应用代理服务是由位于内部网和外部网之间的代用它们配置的4个链中，有3个在Linux内核启动时进行定附图配置基于Linux防火墙1.在一台Linux主机上安装2块网卡ech0和echl,5,用来与Internet相连。/sbin/ipchains-AinpFirewallToolkit免费软件包(/),第三章质量保障措施及项目管理方案我方凭借多年的大型项目的管理经验并结合先进的项性不强，形同虚设。在多年大型IT使用专业工具来管理和测试会大大减少项目在实施过使用这些工具的优势是降低项目风险、提高工作效率、3.3.项目实施过程管理3.3.2.实施阶段1)客户项目经理和我方项目经理作为各自一方的总接2)客户项目经理负责客户内部的沟通管理，客户项目3)我方项目经理负责内部的沟通管理，项目组成员向我方实施人员应就工程实施事宜与客户项目人员保持类别适用范围具体方式口头沟通只要双方确认的小问题现场交流、电话会议沟通对项目实施中牵涉人员会议讨论、书面会议记较广的某个专题录书面沟通需要详细描述、澄清的问题书面材料、电子邮件、电子文档●会议制度目经理或我方项目经理可不定期的召集相关人员召开专题C0优先级问题描述月题原因12高3中4目中作为低/中/高风险考虑。这个评估或者由几个关键小组成员进行并交给项目组1)保密承诺：严格遵循保密协议的要求对评估结果及2)场地环境项目期间内的安全保密管理规定：所有进他含有重要系统配置信息和用户信息的目录和文件进行备扫描方式的选取原则基于对各种扫描器的性能和风险渗透测试过程的最大的风险在于测试过程中对业务产恢复系统，采取必要的预防措施(比如调整测试策略等)之3.7.其它标准的活动或者过程规划到项目的产品和管理项目的过程我方严格贯彻IS09001质量保证体系标准，并定期进行项目经理编制质量保证计划，经质量管理部门的质保/质检人员根据软件功能/性能要求对测试计划进行审批后，项目1)根据项目总体进度要求、设计方案和实施程序制定2)严格按照投标文件所制定的进度计划按期按质完成3)涉及与用户协调导致工程工期延误的，及