2024信息安全测评服务

信息安全测评服务

I

目录

TOC\o"1-3"\h\u

26812

1范围

1

16299

2信息安全风险评估

1

15814

2.1基本要求

1

30575

2.2漏洞扫描

1

14454

2.3操作系统核查

1

19848

2.4数据库核查

1

24396

2.5网络及安全设备核查

1

27333

2.6病毒木马检查

1

11006

2.7渗透测试

1

5018

3信息安全加固

1

10846

3.1基本要求

1

20220

3.2网络设备安全加固

2

22096

3.3网络安全设备安全加固

2

4345

3.4数据库安全加固

2

7809

3.5清除病毒木马

2

28438

4信息安全规划服务

2

15547

4.1基本要求

2

21706

4.2物理安全规划

2

3092

4.3主机安全规划

2

8322

4.4网络安全规划

2

19011

4.5应用安全规划

2

5652

4.6数据安全规划

2

7385

4.7安全管理体系规划

2

14737

5日常安全运维服务

3

16707

5.1安全监控和防护服务

3

32207

5.1.1监控内容

3

17841

5.1.2安全防护内容

3

19497

5.1.3监控与防护措施

3

23127

5.2现场值守服务

3

22334

6应急响应服务

3

1447

7人员培训

3

30909

7.1基本安全意识培训

3

7032

7.2数据安全管理员培训

3

6783

7.3网络安全管理员培训

3

5680

7.4安全管理知识培训

4

28028

8安全保密

4

PAGE

1

信息安全测评服务

范围

本标准规定了信息安全测评服务的信息安全风险评估、信息安全加固、信息安全咨询服务、日常安全运维服务、应急响应服务、人员培训。

本标准适用于本公司的信息安全测评服务，包括信息安全风险评估、信息安全加固、信息安全咨询服务、日常安全运维服务、应急响应服务、人员培训等内容。

信息安全风险评估

基本要求

对客户单位所有信息系统进行风险评估，应每半年评估一次，评估后出具详细的评估报告，评估范

围为所有业务系统及相关的网络安全资产。

漏洞扫描

通过工具对网络系统内的操作系统、数据库和网站程序进行自动化扫描，发现各种可能遭到恶意利

用的各种隐患，包括：端口扫描，漏洞扫描，密码破解，攻击测试等。

操作系统核查

核查操作系统补丁安装、进程、端口、服务、用户、策略、权限、审计、内核、恶意程序等内容，

对用户当前采取的风险控制措施和管理手段的效果进行评估，在针对性、有效性、集成特性、标准特性、可管理特性、可规划特性等六个方面进行评估。

数据库核查

应对数据库管理系统的权限、口令、数据备份与恢复等方面进行核查。

网络及安全设备核查

针对网络及安全设备的访问控制策略进行检查，确定是否开放了网站服务以外的多余服务。

病毒木马检查

通过多种方式对机器内异常进程、端口进行分析，判断是否是木马或病毒，研究相关行为，并进行

查杀。

渗透测试

模拟各种攻击手段，包括弱口令、本地权限提升、远程溢出、数据库查询等，对评估过程中发现的

漏洞安全隐患进行攻击测试，评估其危害程度。测评次数不低于两次，在有重大安全漏洞或隐患出现时，及时采取有针对性的渗透测试。

信息安全加固

基本要求

针对评估的结果，协助客户单位对应用系统中存在的安全隐患进行安全加固。加固内容包括：操作系统安全加固；

基本安全配置检测和优化；密码系统安全检测和增强；系统后门检测；

提供访问控制策略和安全工具；增强远程维护的安全性；

文件系统完整性审计；增强的系统日志分析；系统升级与补丁安装。

网络设备安全加固

对网络设备应进行严格的防控控制措施和安全审计，合理划分vlan，减少不必要的IOS服务或潜在

的安全问题，确保路由安全，抵抗拒绝服务的网络攻击和流量控制及广播限制。

网络安全设备安全加固

应合理部署防火墙的位置、进行必要的区域划分，对IDS、漏洞扫描系统、VPN网关进行部署，加固

安全设备的安全防护措施配置、安全设备日志管理策略、安全设备本身安全配置。

数据库安全加固

应对基本安全配置进行检测和优化，检测和增强密码系统的安全，增强远程维护的安全性，审计文

件系统的完整性，增强系统日志分析，升级系统与安装补丁。

清除病毒木马

每次评估后，应对存在的安全隐患协助加固。整体加固完成后由客户单位确认加固效果，如出现重

大安全情况，需要对业务系统的源代码进行安全审查。

信息安全规划服务

基本要求

为确保客户单位信息系统安全，协助客户单位对所有信息系统进行整体安全规划，规划内容主要包

括信息安全总体架构，信息安全技术体系和信息安全管理体系建设，其中信息安全技术体系主要包括物理安全、主机安全、网络安全、应用安全、数据安全、技术安全基线等规划。

物理安全规划

以信息系统安全等级保护体系、ISO27001信息安全管理体系和国家制定颁布的机房相关标准规范

为参考，通过对机房物理环境安全评估和机房管理现状调研，制定机房安全规划方案，提高机房安全运行水平。

主机安全规划

通过对信息系统的主机进行安全评估和管理现状调研，制定主机安全规划方案，并指导进行主机安

全管理改进工作，切实保障信息系统的安全运行。通过有针对性的安全规划和加固方案，对主机系统进行深度防御，有效保护整体信息系统的安全，切实提升信息系统的安全防御水平。

网络安全规划

通过对网络系统进行安全评估和管理现状调研，制定网络安全规划方案，并指导进行网络安全加改

进工作，切实保障网络系统的安全运行。

应用安全规划

在对应用系统的全生命周期进行安全规划和管理，包括应用系统的需求分析、设计、实现及测试、

运行和维护等阶段，要确保信息系统安全性要求在此阶段的各个具体工作过程中的贯彻和实施。开发阶段的安全规划可以保证交付具有高安全特性的应用系统，为将来应用系统的安全投产运行奠定坚实的基础。运行维护阶段的安全规划可以及时发现应用系统存在的安全问题，保证系统持续运行在安全的状态之下。应用系统安全加固是指对在系统运行中发现的安全隐患进行处置，包括进行补丁升级、配置参数和配置文件调整等等。应用系统安全规划与加固服务包括对应用系统本身及相关的数据库和中间件的安全规划与加固工作。

数据安全规划

通过对信息系统数据进行技术检测和管理现状调研，制定包含数据备份、数据加密和数据分级的解

决方案。

安全管理体系规划

结合客户单位信息系统安全需要，建立一套符合信息系统安全等级保护要求的安全管理体系，主要内容包括安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等内容。

日常安全运维服务

安全监控和防护服务

对客户单位所有网站提供7*24小时的实时安全监控和防护服务。通过对日常安全监控和防护服务及

访问日志的分析及时发现客户单位信息门户网站出现的安全事件，并第一时间进行应急处理、提出安全加固建议。

监控内容

远程网页挂马监测、远程网页篡改事件监测、网页敏感信息事件监测、Web漏洞定期扫描、网站运行平稳度监测、网站域名解析劫持监测、实时告警、网站安全趋势分析。

安全防护内容

web攻击防护、CC攻击防护、DDOS攻击防护、网络防篡改、CDN加速等。

监控与防护措施

如遇到重大的信息安全事件预兆时，需提供有针对性的应急方案，并对重点安全事件进行集中监控和防护，具体措施如下：

每月提交监控和防护月报表，每季度提供监控和防护情况季度总结报表；

在服务期内对所有的发现的事件，我方提供确认机制（如邮件或者打印签字方式）；

对监控和防护到的安全事件，根据事件危害等级的不同，可以分为普通事件和严重安全事件。普通事件每周汇报总结即可，严重安全事件，立即通知并解决；

在监控和防护到安全事件后，分析事件原因，并提供解决方案。网络、系统层的安全问题，我方有义务解决；应用层面的安全问题，我方可协助第三方（系统集成商或者开发商）解决；

在服务期内，对于我方升级的监控和防护平台、功能模块均以免费使用。

现场值守服务

对客户单位信息系统提供5*8小时的现场值守服务，安排专业的技术工程师进行现场值守，工作内容主要包括网络安全维护服务、安全状态监控服务、日志收集与分析和故障诊断。网络安全维护服务主要包括信息资产统计、网络设备安全维护、安全设备维护、服务器安全维护、存储设备维护、系统应用软件安全建议和数据库安全维护等。安全状态监控主要包括网络及安全设备监控、服务器系统监控、机房物理环境监控、病毒监测等。安全日志收集与分析主要包括网络及安全设备日志，网络及安全设备日志收集与分析和服务器、操作系统等日志，服务器、操作系统及应用系统日志收集与分析，网络应用日志收集与分析等。

应急响应服务

当出现信息安全事件后，为迅速确定事件原因，缩小事件影响，遏制事态发展，快速恢复系统运维，保障2小时内安全应急人员到场，为客户单位提供应急响应服务，并提交应急响应服务报告。

人员培训

为提升客户单位从业人员的专业技能，为客户单位人员提供专业培训，每部分的培训不少于4课时。

基本安全意识培