网络与信息安全管理中心安全值守技术方案.pdfVIP

1技术建议书

1.1服务方案

1.1.1项目概况

近几年来，信息安全的重要性逐步得到了行业的广泛关注，国家相关部门也出台

了多项政策、法规和标准，用以指导行业的信息安全建设C由于信息安全相关的标准

和法规相对抽象，加之信安中心承担了管理和生产职能，在突发事件处置等方面人员储

备不足，受限于人员配置和资源问题，部分安全工作需要大量安全工具及专人参与。为

保障中国公司结合自身情况制定长期、系统、有效的安全建设规划，提出驻场服务的需

求。

1.1.2建设目标

1、为安全工作开展提供高质量的安全保障服务。

2、在发生网络调整，系统升级扩容，新系统上线等变更时，进行评估，给出明确

的、可实施的安全建议及建设规划，配合相关安全工作开展c

3、在日常工作中，协助安全人员开展定期的自查评估工作，设备或系统上线时，

实施上线前的安全评估和反馈相关的制度、规范和流程的落实情况。

4、保障日常工作中的网络安全。

5、应急响应及安全事件分析。

6、开展安全培训工作，提升相关人员的安全专业水平。

7、对重要系统（网络安全整合平台）进行协助运维和推广。

1.1.3服务方法

本次安全值守服务项目我们提供以下服务方法：

L1.3.1日常安全工作

常态化漏洞扫描，弱口令检查，web业务系统渗透测试及相关文档、总结撰写

定期安全检查：

•全网扫描(范围)。

•根据目标主机数量制定扫描计划，每个月能保证至少完成一次对全部维护对象

的安全扫描工作。

•出具安全扫描结果并和维护人员进行面对面沟通确认，督促维护人员进行整改

和加固，加固结束后进行再次复查并出具复查报告，对于不能加固的漏洞提供

安全解决建议。

系统上线安全检查：

对于新的业务系统上线前，值守人员配合完成上线设备的安全检查工作，安全检查

包含以下几项工作：

＞远程安全扫描

•通过使用现有远程安全评估系统对上线设备进扫描，确保没有高、中等级的

安全问题，对于低等级的安全问题，应确保该问题不会泄露设备敏感信息

＞本地安全检查

•配合安全加固的checklist对上线设备进检查，以确保上线设备已进了必要

的安全设置

•注：若已制定相关的安全准入规范，将使用提供的checklist替代的checklist

＞远程渗透测试

•对复杂的应用系统，如：WEB系统，根据需求进远程渗透测试

.1渗透测试概述

渗透测试(PenetrationTest)是指是从一个攻击者的角度来检查和审核一个网络系统

的安全性的过程。通常由安全工程师尽可能完整地模拟黑客使用的漏洞发现技术利攻击

手段，对目标网络/系统/主机/应用的安全性作深入的探测，发现系统最脆弱的环节。渗

透测试能够直观的让管理人员知道自己网络所面临的问题。

作为一种专业的安全服务，类似于军队里的“实战演习”或者“沙盘推演”的概念，

通过实战和推演，让清晰了解目前网络的脆弱性、可能造成的影响，以便采取必要的防

范措施。

.2渗透测试意义

从渗透测试中，客户能够得到的收益至少有：

♦协助发现组织中的安全短板

一次渗透测试过程也就是一次黑客入侵实例，其中所利用到的攻击渗透方法，也是

其它具备相关技能的攻击者麻最可能利用到的方法；由渗透测试结果所暴露出来的问题,

往往也是一个企业或组织中的安全最短木板，结合这些暴露出来的弱点和问题，可以协

助企业有效的了解目前降低风险的最迫切任务，使在信息安全方面的有限投入可以得到

最大的回报。

♦作为信息安全状况方面的具体证据和真实案例

渗透测试的结果可以作为向投资方或管理人员提供的信息安全状况方面的具体

据，一份文档齐全有效的渗透测试报告有助于IT组织管