安全服务项目技术方案v30.docx

技术商务分册 PAGE82 安全技术有限公司 技术方案  目录  项目背景概述 项目背景 （HNA TELECOM CO., LTD.）是世界500强集团旗下互联网虚拟运营商品牌，成立于2015年。围绕不断发展的产业集群和日渐丰富的新价值链，以“移动互联网+”业务模式，以“用户为中心”和“提升组织能力价值”为导向，以航旅、商超、农村、校园、企业为主要目标市场，以4G互联、跨境通讯、免费WiFi、话费金融四大核心产品服务集群，为基础用户提供优惠至免的体验和特权尊享服务，为集客用户提供能力开放、创新体验的移动智能管理解决方案。 一号在手，畅游全球，手机卡通过优化用户“端”至“生活”的便捷体验，创造性地将用户可享受的行业优惠、特权套餐化，成为用户尊享全球优质服务的一号通超级卡。 未来将以移动SIM卡为核心整合WIFI、航??、金融、农业等行业产品，互联网创新产品，为企业建立最具黏性的移动互联网服务渠道，实现不同产品与服务的交叉运营，打造核心用户服务体系，致力于成为中国领先的国际移动服务商 随着业务快速发展，系统应用安全开始面临挑战，为确保移动转售系统数据、业务交易等安全，需对定期对系统进行安全漏洞扫描、渗透测试、系统安全监控及安全整改等工作。 项目内容 针对公司的全部网站及系统实行7*24安全云监护服务，根据公司需求，随时的、不限次数的对网站进行自助漏洞扫描并提供修补漏洞方案；定期针对内网操作系统系统、网络设备、安全设备等进行安全风险评估并提供解风险解决方法。交付后面向公司IT体系人员，针对运维、、IT管理和安全相关人员进行安全服务项目的培训，确保公司相关人员能正常使用漏洞扫描介质。 项目要求 对移动转售支撑系统的操作系统、数据库管理系统、网络设备等通用IT设备进行漏洞扫描和安全配置检查，并针对中高危漏洞进行人工验证； 所提供的扫描工具可供系统维护人员使用，可随时对系统进行扫描并自动反馈安全扫描报告，扫描报告需包含对所发现漏洞的具体描述； 针对安全漏洞和安全配置评估中发现的安全漏洞和配置缺陷，提供加固意见和方案，配合公司完成配置修复； 针对服务官网模拟黑客的真实攻击方法对系统和网络进行非破坏性质的攻击性测试。包含信息收集、模拟渗透、信息分析、权限提升、信息获取、模拟日志清除和报告输出； 当网络或系统出现安全事件时，提供安全应急专家支持现场的安全应急响工作，协助用户安全人员及时发现问题，恢复系统，追查来源，保留证据。 网络安全监控需提供可视化管理界面，可在界面查询系统当前的安全情况、安全隐患告警等内容。 建设原则 保密原则：对服务的过程数据和结果数据严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据进行任何侵害求方网络的行为，否则求方有权追究的责任。 标准性原则：服务方案的设计与实施依据国内或国际的相关标准进行； 规范性原则：工作中的过程和文档，具有严格的规范性，可以便于项目的跟踪和控制； 可控性原则：服务用的工具、方法和过程要在双方认可的范围之内，服务的进度要跟上进度表的安排，保证求方对于服务工作的可控性； 整体性原则：服务的范围和内容当整体全面，包括安全涉及的各个层面，避免由于遗漏造成未来的安全隐患； 统筹规划、兼顾现实的原则。立足长远和全面，对信息系统安全管理工作进行统筹规划，对于紧迫的、重要的、见效快的建设内容先行建设。 统筹兼顾与保障重点的原则。以保障核心设备、数据安全为重点，同时兼顾其它非核心资源的安全建设需求。 前瞻性原则。要充分考虑未来发展以及信息化建设可持续性的需要，具备良好的可扩展性。 先进性、成熟性和实用性相结合的原则。采用业界先进、主流的技术，其中关键产品必须在国内有较大规模成熟案例。 兼顾成本与效益的原则。在满足安全建设需求的同时，力争做到平战结合，综合利用，避免重复建设和资金浪费； 最小影响原则：服务工作尽可能小的影响系统和网络的正常运行，不能对现网的运行和业务的正常提供产生显著影响（包括系统性能明显下降、网络拥塞、服务中断）。 设计依据 《中华人民共和国计算机信息系统安全保护条例》 HYPERLINK /web/Upload/2011-04/file/zhengcefagui/201104140312190312913.pdf \t _blank (国务院147号令) 《计算机信息网络国际联网安全保护管理办法》（公安部第33号令） 《信息安全等级保护管理办法》（公通字〔2007〕43号） 《 HYPERLINK /web/Upload/2011-04/file/zhengcefagui/201104140316023906994.pdf \t _blank 信息安全等级保护备案实施细则》（公信安[2007]1360号） 《 HYP