1.1 信息系统安全服务
1.1.1服务范围和服务内容
本次服务范围为 XXX信息系统硬件及应用系统，主要包括计算机终端、打印机、服务器、存储设备、网络（安全）设备以及应用系统。

服务内容包括日常运维服务（驻场服务）、专业安全服务、信息化建设咨询服务等。

1.1.2服务目标
保障软硬件的稳定性和可靠性；
保障软硬件的安全性和可恢复性；
故障的及时响应与修复；
硬件设备的维修服务；
人员的技术培训服务；
信息化建设规划、方案制定等咨询服务。

1.1.3服务内容
1.1.3.1风险评估
风险评估的目的是了解和控制运行过程中的信息系统安全风险，运维阶段的风险评估是一种较为全面的风险评估。

评估内容包括对真实运行的信息系统、资产、威胁、脆弱性等各方面。

（1）资产评估：对真实环境下较为细致的评估，包括实施阶段采购的软硬
件资产、系统运行过程中生成的信息资产、相关的人员与服务等。

本阶段资产识别是前期资产识别的补充与增加；
（2）威胁评估：真实环境中的威胁分析，应全面地评估威胁的可能性和影
响程度。

对非故意威胁产生安全事件的评估可以参照事故发生率；对故意威胁主要由评估人员就威胁的各个影响因素做出专业判断；同时考虑已有控制措施；
（3）脆弱性评估：全面的脆弱性评估。

包括运行环境下物理、网络、系统、应用、安全保障设备、管理的脆弱性。

对于技术的脆弱性评估采取核查、扫描、
案例验证、渗透性测试的方式验证脆弱性；对安全保障设备脆弱性评估时考虑安全功能的实现情况和安全措施本身的脆弱性。

对于管理脆弱性采取文档、记录核查
进行验证；
（4）风险计算：根据相关标准，对主要资产的风险进行定性或定量的风险
分析，描述不同资产的风险高低状况。

1.1.3.2安全加固
安全加固是指对在风险评估中发现的系统安全风险进行处理，按照级别不同，应该在相应时间内完成。

安全加固的内容主要包括：
（1）日常安全加固工作，主要是根据风险评估结果进行系统安全调优服务，根据系统运行需要适时调整各类设备及系统配置、合理规划系统资源、消除系统漏洞，提高系统稳定性和可靠性；
（2）主动安全加固，在未出现安全事故之前就对已经通报或者暴露出来的
软件漏洞或最新病毒库更新，就主动进计划的升级和改进，从而避免出现安全事故。

具体加固内容包括但不限于：帐户策略、帐户锁定策略、审核策略、 NTFS、用户权限分配、系统服务策略、补丁管理、事件日志、应用软件的更新等。

1.1.3.3应急响应
应急状态的安全值守、响应工作，主要是系统应急响应、重大安全故障处理，确保系统出现安全事件时快速反应、及时处理，降低系统安全问题对XX局内工作的影响。

1.1.3.4安全巡检
安全巡检主要是指深入现场，了解情况：质检服务内容中的各类安全设备，
了解安全设备运行情况，仔细观察各个安全节点的可靠性，并综合安全巡检情况，定制安全策略。

1.1.3.5安全监控
对服务内容进行监控，在安全环境产生变化时，及时更新安全策略，在现有
设备和网络情况有改变的时候，快速制定，针对更新后设备环境的安全策略，并实
施部署。

避免因设备变更而带来的安全风险。

1.1.3.6安全通告
定期安全通告，在互联网上出现新型病毒或者新出现漏洞并且部分修补的情况
下，制作安全通告及时告知相关运维人员，增强对于新型病毒和漏洞的防御力。

1.1.3.7安全培训
根据驻地需要，组织开展涉及漏洞扫描、渗透性测试、安全配置、安全意识
和法律法规等信息安全相关培训。

1.1.4服务要求及交付物
检查点检查要求交付物
核心
系统
需对关键系统和服务器有清晰的定义（如
核心业务、关键服及关
DNS/DHCP、防病毒等影响全网层面的服务器、承
键服务器列表安
载重要业务或包含敏感信息的系统等）
全日
务器
运
维常
定义
管
理维
护信息化系统和关键服务器需有详尽故障应急预案应急预案
应急
与演应定期进行相关应急演练，并形成演练报告，保
练证每年所有的平台和关键服务器都至少进行一次应急演练报告
演练
根据应急演练结果更新应急预案，并保留更新记应急预案更新记
录，记录至少保留 3 年录，预案版本记录
备份管理制度，包系统所涉及不同层面（如系统的重要性、操作系
括备份策略管理制统/ 数据库）应当制定数据的备份恢复以及备份
度与备份介质管理介质管理制度
制度
备份管理制度，包系统所涉及不同层面应根据业务要求制定数据的括备份策略管理制
本地和异地备份（存放）策略度与备份介质管理
制度
相关人员对本地和异地备份策略的结果进行每季策略审核表，加入备份
度审核备份管理制度
管理
备份的数据进行恢复性测试，确保数据的可用备份恢复应急演练
性，每年不少于一次记录
备份介质更换记录相关人员对备份介质的更换记录进行每半年审核表，加入备份管理
制度
备份介质销毁记录相关人员对备份介质的销毁记录进行每半年审核表，加入备份管理
制度
故障各地市需制定相应的园区信息化系统及服务器故
故障处理流程
管理障处理流程
上线管理系统中发现的异常情况由系统维护人员根据相关
故障处理流程
流程在规定时间内处理
故障处理完成后必须留有相应的故障处理记录故障处理报告
为保障设备接入网络的安全性，设备上线前必须
安装防病毒系统及更新操作系统补丁，并对设备企业网接入管理办进行进行安全扫描评估，针对安全漏洞进行安全法、接入记录
加固
为避免系统上线对其它系统和设备造成影响，发
布前必须对系统应用站点、数据库、后台服务、应用系统接入申请网络端口进行安全评估。

系统投入正式运营前必流程、接入记录须在测试环境中对系统进行模拟运行一周以上
系统上线之后如需对系统进行功能更新，必须由1、应用系统更新系统管理员或系统管理员指定专门维护人员进行申请流程
更新操作，严格按照公司安全管理规范执行2、更新记录
1、根据规范对开
发规范进行修正，
用户名密码的管理Web应用应根据业务需求与安全设计原则进行安
要求、敏感数据的全编码 , 合理划分帐号权限，确保用户帐号密码
管理要求、系统日安全 , 加强敏感数据安全保护，提供详细的日志
志的开发要求
2、现有应用的安
全检查
漏洞与防病毒
核心系统和关键服务器日志审计定期进行服务器漏洞扫描，并根据漏洞扫描报告
扫描记录与扫描结封堵高危漏洞，每季度至少对所有服务器扫描一
果报告
次
1、WSUS服务器中
的关键更新的补丁需建立统一的WSUS服务器，并每季度对关键服清单，每个月 1 份务器进行高危漏洞升级，并留有升级记录2、应用服务器端
每次更新的补丁清
单
任何终端必须安装正版防病毒软件，且保证90%
防病毒检查记录
以上病毒库最新（五日以内）
每周检查防病毒软件隔离区，排除病毒威胁防病毒检查记录
1、操作系统层日
志策略
在操作系统层、数据库层、应用层建立日志记录
2、数据库日志策
功能，日志记录中保存 1 年的内容，日志安全记
略
录能够关联操作用户的身份
3、应用层日志要
求加入开发规范中
操作系统日志中需记录“账户管理”“登录事操作系统层日志策件”“策略更改”“系统事件”等内容略
操作行为记录需进行定期审计
数据库层日志需记录每次数据库操作的内容数据库日志策略
信息
发布
管理
信息
防泄
密访
账号问
密码控
管理制应用层日志需记录每次应用系统出错的信息
检查关键错误日志、应用程序日志中的关键错误
记录，保证日志审核正常
关键访问与操作应立即启用日志记录功能，避免
因日志记录不全，造成入侵后无法被追踪的问题
每天检查平台短信发送、接收的可用性
短信必须设置关键字过滤，每个月进行关键字更
新，并检查其有效性
需对所有信息化系统、应用系统的核心信息进行
清晰的界定，核心信息包括但不限于涉及客户资
料、客户账户信息、客户密码、操作记录
需对核心信息设定保密措施
对核心信息的操作进行特殊监控，并留下记录
服务器上任何账号必须有审批人员审核确认
所有系统和服务器上账号必须每季度进行审核
密码复杂度要求：
一．静态密码：密码应至少每90 天进行更新，
密码长度应至少 6 位或以上，密码应由大小写字
母、数字或标点符号等字符组成，五次内不能重
应用层日志要求加
入开发规范中
每天短信检查记录
短信关键字更新记
录，有效性检查记
录
应用系统 - 核心信
息矩阵图
应用系统核心信息
管理制度
1、账号管理办法
2、账号申请表
账号审核表
1、密码修改记录
表
2、历史密码记录
表
复
二．动态密码。

不得有互联网远程维护的访问方式。

现场检查远程
访问远程访问只能通过 SSL VPN或 IBM VPN，不得存
现场检查在互联网以 VPN等形式的远程访问。