信息系統安全服務服務范圍和服務內容此次服務范圍為XXX信息系統硬件及應用系統，關鍵包含計算機終端、打印機、服務器、存放設備、網絡（安全）設備和應用系統。服務內容包含日常運維服務（駐場服務）、專業安全服務、信息化建設咨詢服務等。服務目標保障軟硬件穩定性和可靠性；保障軟硬件安全性和可恢復性；故障立即響應和修復；硬件設備維修服務；人員技術培訓服務；信息化建設計劃、方案制訂等咨詢服務。服務內容風險評定風險評定目標是了解和控制運行過程中信息系統安全風險，運維階段風險評定是一個較為全方面風險評定。評定內容包含對真實運行信息系統、資產、威脅、脆弱性等各方面。（1）資產評定：對真實環境下較為細致評定，包含實施階段采購軟硬件資產、系統運行過程中生成信息資產、相關人員和服務等。本階段資產識別是前期資產識別補充和增加；（2）威脅評定：真實環境中威脅分析，應全方面地評定威脅可能性和影響程度。對非有意威脅產生安全事件評定能夠參考事故發生率；對有意威脅關鍵由評定人員就威脅各個影響原因做出專業判定；同時考慮已經有控制方法；（3）脆弱性評定：全方面脆弱性評定。包含運行環境下物理、網絡、系統、應用、安全保障設備、管理脆弱性。對于技術脆弱性評定采取核查、掃描、案例驗證、滲透性測試方法驗證脆弱性；對安全保障設備脆弱性評定時考慮安全功效實現情況和安全方法本身脆弱性。對于管理脆弱性采取文檔、統計核查進行驗證；（4）風險計算：依據相關標準，對關鍵資產風險進行定性或定量風險分析，描述不一樣資產風險高低情況。安全加固安全加固是指對在風險評定中發覺系統安全風險進行處理，根據等級不一樣，應該在對應時間內完成。安全加固內容關鍵包含：（1）日常安全加固工作，關鍵是依據風險評定結果進行系統安全調優服務，依據系統運行需要適時調整各類設備及系統配置、合理計劃系統資源、消除系統漏洞，提升系統穩定性和可靠性；（2）主動安全加固，在未出現安全事故之前就對已經通報或暴露出來軟件漏洞或最新病毒庫更新，就主動進計劃升級和改善，從而避免出現安全事故。具體加固內容包含但不限于：帳戶策略、帳戶鎖定策略、審核策略、NTFS、用戶權限分配、系統服務策略、補丁管理、事件日志、應用軟件更新等。應急響應應急狀態安全值守、響應工作，關鍵是系統應急響應、重大安全故障處理，確保系統出現安全事件時快速反應、立即處理，降低系統安全問題對XX局內工作影響。安全巡檢安全巡檢關鍵是指深入現場，了解情況：質檢服務內容中各類安全設備，了解安全設備運行情況，仔細觀察各個安全節點可靠性，并綜合安全巡檢情況，定制安全策略。安全監控對服務內容進行監控，在安全環境產生改變時，立即更新安全策略，在現有設備和網絡情況有改變時候，快速制訂，針對更新后設備環境安全策略，并實施布署。避免因設備變更而帶來安全風險。安全通告定時安全通告，在互聯網上出現新型病毒或新出現漏洞而且部分修補情況下，制作安全通告立即通知相關運維人員，增強對于新型病毒和漏洞防御力。安全培訓依據駐地需要，組織開展包含漏洞掃描、滲透性測試、安全配置、安全意識和法律法規等信息安全相關培訓。服務要求及交付物安全運維管理檢驗點檢驗要求交付物日常維護關鍵系統及關鍵服務器定義需對關鍵系統和服務器有清楚定義（如DNS/DHCP、防病毒等影響全網層面服務器、承載關鍵業務或包含敏感信息系統等）關鍵業務、關鍵服務器列表應急和演練信息化系統和關鍵服務器需有詳盡故障應急預案應急預案應定時進行相關應急演練，并形成演練匯報，確保每十二個月全部平臺和關鍵服務器全部最少進行一次演練應急演練匯報依據應急演練結果更新應急預案，并保留更新統計，統計最少保留3年應急預案更新統計，預案版本統計備份管理系統所包含不一樣層面（如系統關鍵性、操作系統/數據庫）應該制訂數據備份恢復和備份介質管理制度備份管理制度，包含備份策略管理制度和備份介質管理制度系統所包含不一樣層面應依據業務要求制訂數據當地和異地備份（存放）策略備份管理制度，包含備份策略管理制度和備份介質管理制度相關人員對當地和異地備份策略結果進行每三個月審核策略審核表，加入備份管理制度備份數據進行恢復性測試，確保數據可用性，每十二個月不少于一次備份恢復應急演練統計相關人員對備份介質更換統計進行每六個月審核備份介質更換統計表，加入備份管理制度相關人員對備份介質銷毀統計進行每六個月審核備份介質銷毀統計表，加入備份管理制度故障管理各地市需制訂對應園區信息化系統及服務器故障處理步驟故障處理步驟系統中發覺異常情況由系統維護人員依據相關步驟在要求時間內處理故障處理步驟故障處理完成后必需留有對應故障處理統計故障處理匯報上線管理為保障設備接入網絡安全性，設備上線前必需安裝防病毒系統及更新操作系統補丁，并對設備進行進行安全掃描評定，針對安全漏洞進行安全加固企業網接入管理措施、接入統計為避免系統上線對其它系統和設備造成影響，公布前必需對系統應用站點、數據庫、后臺服務、網絡端口進行安全評定。系統投入正式運行前必需在測試環境中對系統進行模擬運行一周以上應用系統接入申請步驟、接入統計系統上線以后如需對系統進行功效更新，必需由系統管理員或系統管理員指定專門維護人員進行更新操作，嚴格根據企業安全管理規范實施1、應用系統更新申請步驟

2、更新統計Web應用應依據業務需求和安全設計標準進行安全編碼,合理劃分帳號權限，確保用戶帳號密碼安全,加強敏感數據安全保護，提供具體日志1、依據規范對開發規范進行修正，用戶名密碼管理要求、敏感數據管理要求、系統日志開發要求

2、現有應用安全檢驗漏洞和防病毒定時進行服務器漏洞掃描，并依據漏洞掃描匯報封堵高危漏洞，每三個月最少對全部服務器掃描一次掃描統計和掃描結果匯報需建立統一WSUS服務器，并每三個月對關鍵服務器進行高危漏洞升級，并留有升級統計1、WSUS服務器中關鍵更新補丁清單，每個月1份

2、應用服務器端每次更新補丁清單任何終端必需安裝正版防病毒軟件，且確保90%以上病毒庫最新（五日以內）防病毒檢驗統計每七天檢驗防病毒軟件隔離區，排除病毒威脅防病毒檢驗統計關鍵系統和關鍵服務器日志審計在操作系統層、數據庫層、應用層建立日志統計功效，日志統計中保留1年內容，日志安全統計能夠關聯操作用戶身份1、操作系統層日志策略

2、數據庫日志策略

3、應用層日志要求加入開發規范中操作系統日志中需統計“賬戶管理”“登錄事件”“策略更改”“系統事件”等內容操作系統層日志策略操作行為統計需進行定時審計數據庫層日志需統計每次數據庫操作內容數據庫日志策略應用層日志需統計每次應用系統犯錯信息應用層日志要求加入開發規范中檢驗關鍵錯誤日志、應用程序日志中關鍵錯誤統計，確保日志審核正常關鍵訪問和操作應立即啟用日志統計功效，避免因日志統計不全，造成入侵后無法被追蹤問題信息公布管理天天檢驗平臺短信發送、接收可用性天天短信檢驗統計短信必需設置關鍵字過濾，每個月進行關鍵字更新，并檢驗其有效性短信關鍵字更新統計，有效性檢驗統計信息防泄密需對全部信息化系統、應用系統關鍵信息進行清楚界定，關鍵信息包含但不限于包含用戶資料、用戶賬戶信息、用戶密碼、操作統計應用系統-關鍵信息矩陣圖需對關鍵信息設定保密方法應用系統關鍵信息管理制度對關鍵信息操作進行特殊監控，并留下統計訪問控制賬號密碼管理服務器上任何賬號必需有審批人員審核確定1、賬號管理措施

2、賬號申請表全部系統和服務器上賬號必需每三個月進行審核賬號審核表密碼復雜度要求：