信息安全测评和服务.doc

信息安全测评和服务 信息安全测评和服务清单 序号 服务名称 内容 1 信息安全风险评估 系统安全评估 2 信息安全加固 安全加固 3 信息安全咨询服务 信息系统规划和安全管理建设 4 日常安全运维服务 系统维护监控和安全防护 5 应急响应服务 安全应急 6 人员培训 安全技能培训 一、 信息安全测评和服务内容 1、信息安全风险评估 对客户单位所有信息系统进行风险评估，每半年评估一次，评估后出具详细的评估报告。评估范围为所有业务系统及相关的网络安全资产，内容具体包括： 漏洞扫描：通过工具对网络系统内的操作系统、数据库和网站程序进行自动化扫描，发现各种可能遭到黑客利用的各种隐患，包括：端口扫描，漏洞扫描，密码破解，攻击测试等。 操作系统核查：核查操作系统补丁安装、进程、端口、服务、用户、策略、权限、审计、内核、恶意程序等内容，对用户当前采取的风险控制措施和管理手段的效果进行评估，在针对性、有效性、集成特性、标准特性、可管理特性、可规划特性等六个方面进行评估。 数据库核查：主要是对数据库管理系统的权限、口令、数据备份及恢复等方面进行核查。 网络及安全设备核查：网络及安全设备核查主要是针对网络及安全设备的访问控制策略进行检查，确定是否开放了网站服务以外的多余服务。 病毒木马检查：通过多种方式对机器内异常进程、端口进行分析，判断是否是木马或病毒，研究相关行为，并进行查杀。 渗透测试：模拟黑客的各种攻击手段，对评估过程中发现的漏洞安全隐患进行攻击测试，评估其危害程度，主要有：弱口令、本地权限提升、远程溢出、数据库查询等。 测评次数不低于两次，在有重大安全漏洞或隐患出现时，及时采取有针对性的渗透测试。 2、信息安全加固 针对评估的结果，协助客户单位对应用系统中存在的安全隐患进行安全加固。加固内容包括： 操作系统安全加固； 基本安全配置检测和优化 密码系统安全检测和增强 系统后门检测 提供访问控制策略和安全工具 增强远程维护的安全性 文件系统完整性审计 增强的系统日志分析 系统升级及补丁安装 网络设备安全加固； 严格的防控控制措施 安全审计 合理的vlan划分 不必要的IOS服务或潜在的安全问题 路由安全 抵抗拒绝服务的网络攻击和流量控制 广播限制 网络安全设备安全加固； 防火墙的部署位置、区域划分 IDS、漏洞扫描系统的部署、VPN网关部署 安全设备的安全防护措施配置加固 安全设备日志管理策略加固 安全设备本身安全配置加固 数据库安全加固； 基本安全配置检测和优化 密码系统安全检测和增强 增强远程维护的安全性 文件系统完整性审计 增强的系统日志分析 系统升级及补丁安装 病毒木马清除。 每次评估后，对存在的安全隐患协助加固。 整体加固完成后由客户单位确认加固效果，如出现重大安全情况，需要对业务系统的源代码进行安全审查。 3、信息安全咨询服务 为确保客户单位信息系统安全，协助客户单位对所有信息系统进行整体安全规划，规划内容主要包括信息安全总体架构，信息安全技术体系和信息安全管理体系建设，其中信息安全技术体系主要包括物理安全、主机安全、网络安全、应用安全、数据安全、技术安全基线等规划。 （1）物理安全规划 机房物理安全规划是以信息系统安全等级保护体系、ISO27001信息安全管理体系和国家制定颁布的机房相关标准规范为参考，通过对机房物理环境安全评估和机房管理现状调研，制定机房安全规划方案，提高机房安全运行水平。 （2）主机安全规划 主机安全规划是通过对信息系统的主机进行安全评估和管理现状调研，制定主机安全规划方案，并指导进行主机安全管理改进工作，切实保障信息系统的安全运行。所有的攻击来源和攻击目标最终都会归结到承载信息数据的终端和主机上。但是储存数据和承载着业务系统的主机的安全问题却是层出不穷的，一旦最后一道防线被攻破，即使我们有监控证据和管理措施，重要数据丢失造成的影响是我们无法估量的。一方面，主机操作系统不同程度上都存在一些安全漏洞。一些广泛应用的操作系统，如Unix、Linux、Windows，其安全漏洞更是广为流传。另一方面，系统管理员或使用人员对复杂的操作系统和其自身的安全机制了解不够，配置不当也会造成安全隐患。这些安全漏洞给危险人员以可乘之机。如操作系统访问的口令认证机制，特殊目录访问读写权限设定问题等，如果设定不当，都可以使人越权访问及操作。通过有针对性的安全规划和加固方案，能对主机系统进行深度防御，有效保护整体信息系统的安全，切实提升信息系统的安全防御水平。 （3）网络安全规划 网络安全规划是通过对网络系统进行安全评估和管理现状调研，制定网络安全规划方案，并指导进行网络安全加改进工作，切实保障网络系统的安全运行。 （4） 应用安全规划 应用系统安全规划是指在对应用系统的全生命周期进行安全规划和管理，包括应用系统的