信息安全服務方案

　　為了確保工作或事情有序地進行，時常需要預先制定方案，方案是計劃中內容最為復雜的一種。那么我們該怎么去寫方案呢？下面是小編幫大家整理的信息安全服務方案，僅供參考，大家一起來看看吧。

　　對網絡安全設備等安全配置進行巡檢，對不符合安全基線要求的應用中間件提出改進建議，并監督相關廠商進行改進。以下是我公司安全巡檢模板，對不符合數據中心要求的地方，可以根據實際情況和廠家、用戶方一起進行修訂。安全巡檢包括：

　　對掃描范圍內的系統、服務已知的漏洞進行測試來判斷遭受攻擊的可能性。

　　設備巡檢包括：網絡設備硬件配置檢查、網絡設備功能性檢查、安全設備硬件配置檢查、安全設備功能性檢查、服務器配置檢查、存儲設備檢測、網絡性能分析、安全系統性能分析、服務器性能分析、數據備份巡檢等。

　　對設備進行巡檢，對不符合安全極限要求需提出改進意見。

　　在網絡安全體系的建設中，安全掃描工具花費代、效果好、見效快，與網絡的運行相對獨立，安裝運行簡單，要以大規模減少安全管理的手工勞動，有利于保持全網安全政策的統一和穩定，是進行風險分析的有力工具。

　　在服務過程中，安全掃描主要是通過評估工具以本地掃描的方式對評估范圍內的系統和網絡進行安全掃描，從內網和外網兩個角度來查找網絡結構、網絡設備、服務器主機、數據和用戶帳號/口令等安全對像目標存在的安全風險、漏洞和威脅。

　　從網絡層次的角度來看，掃描項目涉及了如下三個層面的安全問題。

　　該層的安全問題來自網絡運行的操作系統：UNIX系列、Linux系列、Windows系列以及專用操作系統等。安全性問題表現在兩方面：一是操作系統本身的不安全因素，主要包括身份認證、訪問控制、系統漏洞等；二是操作系統的安全配置存在問題。

　　訪問控制：注冊表普通用戶可寫，遠程主機允許匿名FTP登錄，FTP服務器存在匿名可寫目錄等。

　　安全配置問題：部分SMB用戶存在弱口令，管理員帳號不需要密碼等。

　　該層的安全問題主要指網絡信息的安全性，包括網絡層身份認證、網絡資源的訪問控制、數據傳輸的保密與完整性、遠程接入、路由系統的安全、入侵檢查的手段等。

　　域名系統：ISC BIND SIG資源記錄無效過期時間拒絕服務攻擊漏洞，Windows DNS拒絕服務攻擊。

　　路由器：cisco IOS Web配置接口安全認證可繞過，路由器交換機采用默認密碼或弱密碼等。

　　該層的安全考慮網絡對用戶提供服務器所采用的應用軟件和數據的安全性，包括：數據庫軟件、WEB服務、電子郵件、域名系統、應用系統、業務應用軟件以及其它網絡服務系統等。

　　數據庫軟件：Oracle Tnslsnr沒有配置口令，MSSQL 20xx sa帳號沒有設置密碼。

　　WEB服務：SQL注入攻擊、跨站腳本攻擊、基于WEB的DOS攻擊。

　　為了確保掃描的可靠性和安全性，我公司將根據數據中心信息系統業務情況，與用戶一起制定掃描計劃。掃描計劃主要包括掃描開始時間、掃描對象、預計結束時間、掃描項目、預期影響、需要用戶提供配合等。

　　在實際開始安全掃描時，我公司會正式通知數據中心接口人。我公司將按照預定安全掃描計劃，在規定時間內進行并完成掃描工作。如遇到特殊情況（如設備問題、停電、網絡中斷等不可預知的狀況）不能按時完成掃描計劃或其他原因導致安全掃描工作無法正常進行時，由雙方臨時協商予以解決。

　　在實施安全掃描服務的過程中，我公司擁有完善的風險規避措施，避免在掃描過程中對客戶網絡或業務系統造成不必要的影響。

　　派遣有豐富安全掃描經驗的安全工程師進行安全掃描操作；

　　采用的掃描工具是通過國家權威測評機構認可的商用掃描工具；

　　我公司會根據客戶實際情況在保證掃描效果的前提下，配置科學、高效的掃描策略，同時根據客戶業務的實際情況在非業務高峰期實施。

　　通過使用安全掃描工具或其他手段對數據中心信息系統進行脆弱性評估，查獲安全設備及系統的漏洞對應及分布情況，并提供可操作的安全建議或臨時解決辦法，達到保護數據中心信息系統安全的目的。

　　滲透測試服務，是在用戶授權的前提下，以模擬黑客攻擊的方式，對用戶業務系統的安全漏洞、安全隱患進行全面檢測，最終目標是查找業務系統的安全漏洞、評估業務系統的安全狀態、提供漏洞修復建議。

　　在滲透過程中，我們會采用業界領先的漏洞檢測技術、攻擊技術、攻擊工具和我公司安全團隊編寫的腳本。過程分為四步：計劃與準備、信息收集、實施滲透、輸出報告。計劃與準備階段主要是根據業務系統反饋的內容制定項目實施方案與計劃；信息收集與實施滲透是項目的實施階段，輸出報告主要是匯總和評估項目中發現的安全威脅，并輸出文檔。

　　信息探測階段包括信息收集，端口、服務掃描，計算機漏洞檢測，此階段主要做滲透前的踩點用。

　　Maltego，搜集管理員email、tel、常用id，網絡拓撲等

　　Nmap，端口、服務掃描，弱口令破解，系統信息探測

　　X-scan，端口、服務掃描，弱口令破解，系統信息探測

　　Scanner1000，我公司開發的漏洞檢測產品，支持系統漏洞檢測，Web漏洞檢測等一系列功能

　　通過對目標地址的TCP/UDP端口掃描，確定其所開放的服務的數量和類型，這是所有滲透測試的基礎。通過端口掃描，可以基本確定一個系統的基本信息，結合安全工程師的經驗可以確定其可能存在以及被利用的安全弱點，為進行深層次的滲透提供依據。

　　口令猜測也是一種出現概率很高的風險，幾乎不需要任何攻擊工具，利用一個簡單的暴力攻擊程序和一個比較完善的字典，就可以猜測口令。

　　對一個系統賬號的猜測通常包括兩個方面：首先是對用戶名的猜測，其次是對密碼的猜測。

　　腳本測試專門針對Web服務器進行。根據最新的技術統計，腳本安全弱點為當前Web系統尤其存在動態內容的Web系統存在的主要比較嚴重的安全弱點之一。利用腳本相關弱點輕則可以獲取系統其他目錄的訪問權限，重則將有可能取得系統的控制權限。因此對于含有動態頁面的Web系統，腳本測試將是必不可少的一個環節。

　　Hydra，暴力破解工具，支持Samba, FTP, POP3, IMAP, Telnet, HTTP Auth, LDAP, NNTP, MySQL, VNC, ICQ, Socks5, PCNFS, Cisco等多種協議的暴力破解

　　人工滲透，主要針對系統的業務邏輯漏洞進行安全測試，利用業務邏輯漏洞查找可準確、切實的找出業務中存在的安全隱患，避免被惡意用戶利用，對系統造成重大損失。

　　源代碼審計服務主要分為四個階段，包括代碼審計前期準備階段、代碼審計階段實施、復查階段實施以及成果匯報階段：

　　在實施代碼審計工作前，技術人員會和客戶對代碼審計服務相關的技術細節進行詳細溝通。由此確認代碼審計的方案，方案內容主要包括確認的代碼審計范圍、最終對象、審計方式、審計要求和時間等內容。

　　在源代碼審計實施過程中，技術人員首先使用代碼審計的掃描工具對源代碼進行掃描，完成初步的信息收集，然后由人工的方式對源代碼掃描結果進行人工的分析和確認。

　　根據收集的各類信息對客戶要求的重要功能點進行人工代碼審計。

　　結合自動化源代碼掃描和人工代碼審計兩方的結果，代碼審計服務人員需整理代碼審計服務的輸出結果并編制代碼審計報告，最終提交客戶和對報告內容進行溝通。

　　經過第一次代碼審計報告提交和溝通后，等待客戶針對代碼審計發現的問題整改或加固。經整改或加固后，代碼審計服務人員進行回歸檢查，即二次檢查。檢查結束后提交給客戶復查報告和對復查結果進行溝通。

　　根據一次代碼審計和二次復查結果，整理代碼審計服務輸出成果，最后匯總形成《信息系統代碼審計報告》 。

　　為了有效保障網絡的安全運行，在對操作系統、數據庫、中間件、網絡設備、安全設備進行安全檢測后，需要對發現的安全風險進行修復。

　　安全加固服務，是指根據安全加固列表，對目標系統的安全漏洞對進行修復、配置隱患進行優化的過程。加固內容包括但不限于系統補丁、防火墻、防病毒、危險服務、共享、自動播放、密碼安全。

　　安全加固是保證設備和系統安全運行的關鍵防護措施，通常情況下，操作系統、數據庫、中間件、網絡設備、安全設備，都需要進行安全加固。

　　我公司可進行安全加固的操作系統包括Windows、Linux、AIX、HP-Unix、Solaris。操作系統的加固內容如下表所示，詳細的加固列表可參見我公司的操作系統安全加固規范。

　　我公司可進行安全加固的數據庫系統包括Oracle、SQL Server、DB2。數據庫的加固內容如下表所示，詳細的加固列表可參見我公司的數據庫安全加固規范。

　　我公司可進行安全加固的中間件系統包括Tomcat、Apache、WebLogic、WebSphere。中間件系統的加固內容如下表所示，詳細的加固列表可參見我公司的中間件安全加固規范。

　　我公司可進行安全加固的網絡設備包括主流廠商的路由器、交換機。網絡設備的加固內容如下表所示，詳細的加固列表可參見我公司的網絡設備安全加固規范。

　　我公司可進行安全加固的安全設備是主流廠商的防火墻，如Juniper、天融信、Cisco ASA等。安全設備的加固內容如下表所示，具體的加固列表可參見我公司的安全設備安全加固規范。

　　成立由多方人員組成的安全加固項目組，協調處理本項目的開展和實施。項目組成員包括：

　　確認本次安全加固項目的目標、范圍、IP地址和其他相關信息。

　　確認加固目標后，收集加固目標的以下信息，為評估安全加固的風險做準備。

　　同時，根據前期的安全風險評估報告，收集并分析加固目標的漏洞信息。

　　如果前期有安全風險評估報告，與用戶協商后，此步驟可省略。

　　如果前期沒有相關的風險評估報告，則需要對加固目標進行漏洞掃描，以查找加固目標存在的安全漏洞和隱患。

　　根據收集的信息制定合理的加固方案，包括時間安排、流程、操作方法等。

　　為防止加固可能引起的不良后果，因此需要制定回退方案和應急方案，回退方案用于加固導致系統不可用時將系統回退到加固前的狀態，應急方案用于處理其他不可控的情況（包括加固失敗后無法回退）。

　　由安全加固項目組成員一起對提交的加固方案和風險規避方案進行研討，確認每項加固措施和操作方法的可行性，分析安全風險，提出改進建議，完善實施方案。

　　對于重要的系統或比較危險的加固操作，可以進行加固測試，通過加固測試后才能在被加固設備上進行操作，加固測試包括：

　　實際操作時可以選擇同樣目的的不同加固方法同時進行測試，根據測試結果選擇最優的加固方法。

　　將最終的實施方案提交給業主方負責領導人，進行方案報批，報批通過后才能正式實施。

　　對于重要的系統，為了能夠在加固失敗的情況下快速回退或恢復系統，必須在事前進行相應的備份，備份內容包括且不僅限于重要系統的備份、重要配置的備份、重要數據的備份。

　　根據對應的安全加固列表，對系統和設備進行實施具體的安全加固操作。

　　加固完成后，與用戶方人員一起，確認系統、設備、應用的可用性，并觀察一段時間，待確認正常運行后，加固人員才可以離開現場。

　　為確保加固有效，在加固全部完成后，對加固范圍的系統和設備再進行一次漏洞掃描，以對加固效果進行檢驗。

　　整理并編寫安全加固過程中的報告，并提交給用戶。報告大致如下，但根據項目的不同，報告可能存在差異。

　　將安全加固過程中，記錄的所有文檔提交給用戶，下表是安全加固過程中的記錄表。

　　安全加固后，我公司為用戶提供的安全建議或解決方案。

　　客戶任務安保期間，我公司派專業安全工程師提供7*24小時駐場服務，監控維護信息系統運行，發現安全風險立刻向客戶匯報，并進行安全應急操作，保障客戶信息系統的安全。

　　處于接入層面的網絡、安全設備及鏈路；處于匯聚層面的網絡、安全設備及鏈路，內部應用服務器；處于核心層面的網絡、安全設備及鏈路，同時包括所有外接鏈路，DMZ區域

　　對服務范圍內的所有網絡設備、安全設備、服務器、存儲設備及電源設備等進行檢查，確保提前發現故障隱患；檢查機房的溫度、濕度和防塵情況。

　　客戶向我公司提出任務安保服務，包括服務時間段、安全保障范圍、安保任務強度；

　　我公司有一批專業的安全服務隊伍，非常注重對最新安全技術及安全信息的發現和追蹤，并通過服務的平臺與客戶及時交流，幫助客戶保持領先的安全理念。為客戶提供定期的安全信息通告服務。安全信息中會包括最新的安全公告，病毒信息，漏洞信息等內容。安全通告以郵件、電話、走訪等方式，將安全技術和安全信息及時傳遞給客戶。

　　1.客戶的操作系統、應用、設備等的最新安全漏洞和相應的解決措施

　　2.收集外界最新的安全公告，病毒信息，漏洞信息等內容，形成“外界安全動態”；

　　3分析業主網絡系統與“外界安全動態”的利害關系；

　　4.將與業主有利害關系的信息與分析結果通告與客戶。

　　安全風險評估是對網絡和業務系統的安全漏洞、安全隱患、安全風險，進行探測、識別、控制、消除的全過程，它從風險管理角度，運用科學的方法和手段，系統地分析網絡與應用系統所面臨的威脅及其存在的脆弱性，評估安全事件一旦發生可能造成的危害程度，提出有針對性的抵御威脅的防護對策和整改措施。

　　安全風險評估的內容，包括網絡拓撲架構、安全域規劃、邊界防護、安全防護措施、核心設備安全配置、設備脆弱性等，從而全面評估網絡的安全現狀，查找安全隱患。

　　資產的價值、對資產的威脅和威脅發生的可能性、資產脆弱性、現有的安全控制提供的保護，風險評估過程是綜合以上因素而導出風險的過程。

　　調研階段，通過人工訪談等方式，從后果的角度出發，概要的評估可能存在的風險。

　　詳細的風險評估是對資產、威脅和脆弱點進行詳細的識別和估價，評估結果被用于評估風險和安全控制的識別和選擇。通過識別資產的風險并將風險降低到可接受水平，來證明管理者所采用的安全控制是適當的。

　　確定風險數值的大小不是風險評估的最終目的，重要的是明確不同威脅對資產所產生的風險的相對值，即要確定不同風險的優先次序或等級，對于風險級別高的資產應被優先分配資源進行保護。

　　風險等級在本項目中采用分值計算表示。分值越大，風險越高。下面是風險等級表：

　　主要參照ISO27001等國際標準，根據安全評估結果為用戶提供咨詢規劃服務，及信息安全解決方案，幫助用戶建立符合自身需求和國際標準要求的信息安全管理體系（ISMS）和持續性信息系統性能、網絡架構的優化專業建議。

　　安全管理制度是安全管理體系的核心，依據國家等級保護政策的要求，分五個步驟（落實安全責任、管理現狀分析、制度安全策略和制度、落實安全管理措施、安全自檢與調整）實現安全管理制度建設。

　　明確領導機構和責任部門，包括設立或明確信息安全領導機構，明確主管領導，落實責任部門。建立崗位和人員管理制度，根據責任分工，分別設置安全管理機構和崗位，明確每個崗位的責任和人文，落實安全管理責任制。

　　通過開展信息系統安全管理現狀分析，查找信息系統安全管理建設整改需要解決的問題，明確信息系統安全管理建設整改的需求。

　　依據等級保護基本要求的標準，采取對照檢查、風險評估、等級測評等方法，分析判斷目前采取的安全管理措施與等級保護標準要求之間的差距，分析系統已發生的時間或事故，分析安全管理方面存在的問題，形成安全管理建設整改的需求并論證。

　　根據安全管理需求，確定安全管理目標和安全策略，針對信息系統的各類管理活動，制定人員安全管理制度，明確人員錄用、離崗、考核、培訓等管理內容；制定系統建設管理制度，明確系統定級備案、方案設計、產品采購使用、密碼使用、軟件開發、工程實施、驗收交付、等級測評、安全服務等管理內容；制定系統運維管理制度，明確機房環境安全、存儲介質安全、設備設施安全、安全監控、惡意代碼防范、備份與恢復、應急預案等管理內容；制度定期檢查制度，明確檢查內容、方法、要求等，檢查各項制度、措施的落實情況，并不斷完善。規范安全管理人員或操作人員的操作規程等，形成安全管理體系。

　　人員安全管理：包括人員錄入、離崗、考核、教育培訓等內容。規范人員錄用、離崗、過程、管家崗位簽署保密協議；對各類人員進行安全意識教育、崗位技能培訓；對關鍵崗位進行全面的嚴格的審查和技能考核；對外部人員允許訪問的區域、系統、設備、信息等進行控制。

　　系統運維管理：落實環境和資產安全管理、設備和介質安全管理、日常運行維護、集中安全管理、時間處置與應急響應、災難備份、實時監測、其他安全管理

　　系統建設管理：系統建設管理的重點是與系統建設活動相關的過程管理。由于主要的建設活動是由服務方（如集成方、開發方、測評方、安全服務方）完成的，運營使用單位人員的主要工作上對其進行管理，應此，應制度系統建設相關的管理制度。

　　制定安全檢查制度，明確檢查的內容、方式、要求等，檢查各項制度、措施的落實情況并不不斷完善。

【信息安全服務方案】相關文章：

學生信息安全培養方案（精選5篇）05-04

食品安全售后服務方案大全05-06

課后服務信息化建設實施方案范文（精選5篇）08-19

課后服務信息化建設實施方案（通用6篇）08-29

信息安全意識培養方案范文（精選13篇）09-29

項目服務方案10-05

金融服務方案10-04

小學信息培訓方案02-29

學校課后服務安全工作實施方案（精選9篇）05-17

售后服務方案07-29