信息安全测评和服务
1信息安全风险评估
对客户单位所有信息系统进行风险评估，每半年评估一次，评估后出具详细的评估报告。

评估范围为所有业务系统及相关的网络安全资产，内容具体包括：
(1)漏洞扫描：通过工具对网络系统内的操作系统、数据库和网站程序进行自动化扫描，
发现各种可能遭到黑客利用的各种隐患，包括：端口扫描，漏洞扫描，密码破解，攻击测试等。

(2)操作系统核查：核查操作系统补丁安装、进程、端口、服务、用户、策略、权限、审
计、内核、恶意程序等内容，对用户当前采取的风险控制措施和管理手段的效果进行评估，在针对性、有效性、集成特性、标准特性、可管理特性、可规划特性等六个方面进行评估。

(3)数据库核查：主要是对数据库管理系统的权限、口令、数据备份与恢复等方面进行核
查。

(4)网络及安全设备核查：网络及安全设备核查主要是针对网络及安全设备的访问控制策
略进行检查，确定是否开放了网站服务以外的多余服务。

(5)病毒木马检查：通过多种方式对机器内异常进程、端口进行分析，判断是
否是木马或病毒，研究相关行为，并进行查杀。

(6)渗透测试：模拟黑客的各种攻击手段，对评估过程中发现的漏洞安全隐患进行攻击测
试，评估其危害程度，主要有：弱口令、本地权限提升、远程溢出、数据库查询等。

测评次数不低于两次，在有重大安全漏洞或隐患出现时，及时采取有针对性的渗透测试。

2、信息安全加固
针对评估的结果，协助客户单位对应用系统中存在的安全隐患进行安全加固。

加固内容包括：
操作系统安全加固；
基本安全配置检测和优化
密码系统安全检测和增强
系统后门检测
提供访问控制策略和安全工具
增强远程维护的安全性
文件系统完整性审计
增强的系统日志分析
系统升级与补丁安装
(1)网络设备安全加固；
严格的防控控制措施
安全审计
合理的vlan划分
不必要的IOS服务或潜在的安全问题
路由安全
抵抗拒绝服务的网络攻击和流量控制
广播限制
(2)网络安全设备安全加固；
防火墙的部署位置、区域划分
IDS、漏洞扫描系统的部署、VPN网关部署
安全设备的安全防护措施配置加固
安全设备日志管理策略加固
安全设备本身安全配置加固
(3)数据库安全加固；
基本安全配置检测和优化
密码系统安全检测和增强
增强远程维护的安全性
文件系统完整性审计
增强的系统日志分析
系统升级与补丁安装
(4)病毒木马清除。

每次评估后，对存在的安全隐患协助加固。

整体加固完成后由客户单位确认加固效果，如出现重大安全情况，需要对业务系统的源代码进行安全审查。

3、信息安全咨询服务
为确保客户单位信息系统安全，协助客户单位对所有信息系统进行整体安全规划，规划内容主要包括信息安全总体架构，信息安全技术体系和信息安全管理体系建设，其中信息安全技术体系主要包括物理安全、主机安全、网络安全、应用安全、数据安全、技术安全基线等规划。

(1物理安全规划
机房物理安全规划是以信息系统安全等级保护体系、IS027001信息安全管理体系和国家制定颁布的机房相关标准规范为参考，通过对机房物理环境安全评估和机房管理现状调研，制定机房安全规划方案，提高机房安全运行水平。

(2)主机安全规划
主机安全规划是通过对信息系统的主机进行安全评估和管理现状调研，制定主机安全规划方案，并指导进行主机安全管理改进工作，切实保障信息系统的安全运行。

所有的攻击来源和攻击目标最终都会归结到承载信息数据的终端和主机上。

但是储存数据和承载着业务系统的主机的安全问题却是层出不穷的，一旦最后一道防线被攻破，即使我们有监控证据和管理措施，重要数据丢失造成的影响是我们无法估量的。

一方面，主机操作系统不同程度上都存在一些安全漏洞。

一些广泛应用的操作系统，如Unix、Linux、Windows其
安全漏洞更是广为流传。

另一方面，系统管理员或使用人员对复杂的操作系统和其自身的
安全机制了解不够，配置不当也会造成安全隐患。

这些安全漏洞给危险人员以可乘之机。

如操作系统访问的口令认证机制，特殊目录访问读写权限设定问题等，如果设定不当，都可以使人越权访问与操作。

通过有针对性的安全规划和加固方案，能对主机系统进行深度防御，有效保护整体信息系统的安全，切实提升信息系统的安全防御水平。

（3）网络安全规划
网络安全规划是通过对网络系统进行安全评估和管理现状调研，制定网络安全规划方案，并指导进行网络安全加改进工作，切实保障网络系统的安全运行。

（4）应用安全规划
应用系统安全规划是指在对应用系统的全生命周期进行安全规划和管理，包括应用系统的需求分析、设计、实现及测试、运行和维护等阶段，要确保信息系统安全性要求在此阶段的各个具体工作过程中的贯彻和实施。

开发阶段的安全规划可以保证交付具有高安全特性的应用系统，为将来应用系统的安全投产运行奠定坚实的基础。

运行维护阶段的安全规划可以及时发现应用系统存在的安全问题，保证系统持续运行在安全的状态之下。

应用系统安全加固是指对在系统运行中发现的安全隐患进行处置，包括进行补丁升级、配置参数和配置文件调整等等。

应用系统安全规划与加固服务包括对应用系统本身及相关的数据库和中间件的安全规划与加固工作。

（5）数据安全规划
数据安全规划与是通过对信息系统数据进行技术检测和管理现状调研，制定包含数据备份、数据加密和数据分级的解决方案。

（6）安全管理体系规划建设
结合客户单位信息系统安全需要，建立一套符合信息系统安全等级保护要求的安全管理体系，主要内容包括安全管理机构、安全管理制度、人员安全管理、系统建设管理和系
统运维管理等内容。

4、日常安全运维服务
（1安全监控和防护服务
对客户单位所有网站提供7*24小时的实时安全监控和防护服务。

通过对日常安全监控和防护服务及访问日志的分析及时发现客户单位信息门户网站出现的安全事件，并第一时间进行应急处理、提出安全加固建议。

整体监控和防护内容如下：
监控内容：远程网页挂马监测服务、远程网页篡改事件监测服务、网页敏感信息事件监测服务、Web漏洞定期扫描服务、网站运行平稳度监测服务、网站域名解析劫持监测服务、实时告警服务、网站安全趋势分析。

安全防护内容：web攻击防护、CC攻击防护、DDOSfc击防护、网络防篡改、CDN加速等服务内容。

如遇到重大的信息安全事件预兆时，需提供有针对性的应急方案，并对重点安全事件进行集中监控和防护。

在服务期内，监控和防护提供以下具体措施：
每月提交监控和防护月报表，每季度提供监控和防护情况季度总结报表；
在服务期内对所有的发现的事件，我方提供确认机制（如邮件或者打印签字方式）。

对监控和防护到的安全事件，根据事件危害等级的不同，可以分为普通事件和严重安全事件。

普通事件每周汇报总结即可，严重安全事件，立即通知并解决。

在监控和防护到安全事件后，分析事件原因，并提供解决方案。

网络、系统层的安全问题，我方有义务解决；应用层面的安全问题，我方可协助第三方（系统集成商或者开发商）解决。

在服务期内，对于我方升级的监控和防护平台、功能模块均以免费使用。

（2）现场值守服务
对客户单位信息系统提供5*8小时的现场值守服务，安排专业的技术工程师进行现场值守，工作内容主要包括网络安全维护服务、安全状态监控服务、日志收集与分析和故障诊断。

网络安全维护服务主要包括信息资产统计、网络设备安全维护、安全设备维护、服务器安全维护、存储设备维护、系统应用软件安全建议和数据库安全维护等。

安全状态监控主要包括网络及安全设备监控、服务器系统监控、机房物理环境监控、病毒监测等。

安全日志收集与分析主要包括网络及安全设备日志，网络及安全设备日志收集与分析和服务器、操作系统等日志，服务器、操作系统及应用系统日志收集与分析，网络应用日志收集与分析等。

5、应急响应服务
当出现信息安全事件后，为迅速确定事件原因，缩小事件影响，遏制事态发展，快速恢复系统运维，保障2小时内安全应急人员到场，为客户单位提供应急响应服务，并提交应急响应服务报告。

6、人员培训
为提升客户单位从业人员的专业技能，为客户单位人员提供专业培训，培训内容主要包括：
基本安全意识培训：主要对常规人员提供个人计算机使用的基本安全知识和安全
意识。

数据安全管理员培训：对安全管理员进行针对于数据库系统的安全培训, 强化信息
系统维护人员的安全技术水平。

网络安全管理员培训：对安全管理员进行针对于网络系统的安全培训。

安全管理
知识培训：为主要管理层人员提供，强化信息系统的安全管理。

每部分的培训不少于4课时。

二、安全保密
对了解到的客户单位安全保障服务项目相关建设情况，及服务期内监控和
防护到的安全事件状况均有保密义务，我方不外泄给第三方。