网络安全服务对保障系统正常运行有重要的意义,通过完整的网络安全服务,可以使我们对自己的信息资产更加了解,发现脆弱点及风险点,有针对性的进行整改,封堵已存在的漏洞,更新系统的重要补丁,加强整体安全态势;针对已经发现的威胁,能够早发现早处理,防止威胁横向扩散,造成更大影响;针对可能存在的威胁,通过加强安全意识,降低风险发生概率,通过日志行为分析,发现可疑行为,及早进行处理,从而整体提高网络安全水平,保障业务系统不会被入侵,能够正常运行。

本次分享一个简单的、明确的、实用的网络安全服务方案模板,涉及到具体的网络安全服务内容和服务报价需要进一步修改,切勿完全照抄搬用。本站在网络分享时为了可读性,删减了部分内容、更改了序号,原文档请下载附件。

网络安全服务方案文档目录.docx

1、 项目背景 3
1.1 法律法规相继出台 3
1.2 当前网络安全态势和形势严峻 4
1.3 网络安全保障的必要性 4
2、 项目目的 5
2.1 政策合规要求 5
2.2 保障业务系统正常运行 5
3、 解决方案 5
3.1 详细方案列表 5
3.2 方案设计原则 9
3.3 方案参考依据 9
4、 服务及质量需求 10
4.1 服务管理 10
4.2 质量保证承诺 11
4.2.1 技术保证及承诺 11
4.2.2 售后服务承诺 11

1 安全服务方案的设计遵循如下原则

依法合规。安全工作要依法合规,各类安全服务要遵循规范性原则,要求服务人员要专业,操作要规范,工作要有流程,能够严格遵守国家和相关行业的相关法律、法规、规范、标准等相关要求,对操作过程和结果要提供规范的记录,并形成完整的服务报告。

周期保障。要全面考虑各时期的安全需求,并结合可能的安全风险,考虑安全的动态特性,提供全周期连续性的安全服务,涉及的相关业务、保障工作流程、产生的数据等过程和成果完整。

服务可控。安全服务要做到人员可控、服务涉及的工具、方法和过程可控,采取管理手段和技术手段,将各类服务、检查、管控工作对范围内系统和网络正常运行的可能影响降低到最低限度,不会对网络的运行和业务的正常提供产生显著影响。

措施有效。安全服务是在日常安全运营的基础上强化保障工作频率、强度,提高安全工作能力,安全措施要能够有效支撑服务过程,有效补充日常安全运营工作的不足和短板。

2 安全服务内容一览表

服务大类服务小类网络安全服务概述费用
安全检测服务资产梳理服务通过现场勘察与各种技术手段对资产进行全面发现和深度识别,并对发现的资产进行分类梳理,包括但不限于网络拓扑、IP 规划使用情况、应用系统、应用端口、系统版本、中间件、安全策略、硬件设备等,并对梳理结果出具相关报告。xxx/次
基线核查服务依据相关规范,根据实际情况对网络(安全)设备的配置以及业务系统中应用程序的配置情况进行核查,判断是否符合安全性要求,是否存在安全风险和隐患,并能根据不同业务系统的要求,提供相应等级的设置建议。包括但不限于设备是否正常启用、配置是否正确、是否定期更新特征及病毒库、账号设置是否正常、权限管控是否合理等。 
漏洞扫描服务通过远程或者现场方式使用专业的国产漏洞扫描工具对信息系统进行全面漏洞扫描工作,识别出信息资产的漏洞、病毒、木马等潜在风险,出具漏洞扫描报告并提供解决方案。 
渗透测试服务组织渗透测试专家完整地模拟黑客使用的漏洞发现技术和攻击手段,参考《渗透测试执行标准(PTES)》对采购人指定的目标网络/云平台/系统/主机/应用的安全性作全面深入探测,发现系统最脆弱的环节,并提交检测报告和安全漏洞修复建议方案。 
代码审计服务依据公司的具体安全规范和要求,对公司的重要应用系统代码审计,发现是否存在安全技术漏洞,避免应用程序漏洞被攻击者利用,导致应用系统被入侵,逐步建立持续改进的工作机制。 
规划咨询服务规划咨询服务依据相关规范,针对公司在信息系统安全建设过程中的各种安全管理、安全制度、安全技术等方面存在的问题,安排安全咨询专家从管理、技术、制度等维度出发,协助客户制定网络安全计划、实施方案、工作措施等,参照国内外主流标准提供制度建立、方案制定、技术改进等一体化的解决方案。 
风险评估服务对网络系统的安全现状进行分析,明确其面临的安全威胁和存在的安全漏洞,包括但不限于系统漏洞、系统备份措施、系统审计措施、网络分区措施、网络管控措施、边界防护措施、终端防护措施、机房管控措施等,评估这些漏洞被利用后可能造成的损失程度,提供风险评估报告,帮助客户制定相应的安全策略和措施,提高网络系统的安全性。 
安全运维服务安全加固服务在客户的信息资产进行安全加固,包括但不限于漏洞修复、安全补丁、清理危险账户、关闭危险端口、修正危险策略等。 
驻场运维服务派遣专业的网络安全工程师在客户现场进行驻场运维服务。 驻场工程师职责包括维护现场网络安全设备稳定,解决网络安全设备出现的各种问题,检测网络安全设备运行状态,定时更新网络安全设备特征库以及保障网络环境安全情况下协助客户处理一些信息系统问题。 
日常巡检服务定期对网络设备的维护/日志等数据进行统计、排除设备隐患、分析并提供设备配置、升级建议,提交日常巡检记录。 
安全检查服务按照客户要求,提供相应检查工具及人员,对集团下属公司进行网络安全检查,及时发现安全隐患,出具检查报告及整改建议。 
应急响应服务当发生外部黑客入侵、数据泄露、木马病毒等突发安全事件时,提供7*24应急服务包括事件检测与分析、风险抑制、问题根除、协助业务恢复的服务,最大化降低安全事件带来的影响。 
重大时刻安全保障服务在举行重大活动、处理重要事件、以及特殊保障期(如两会、法定节日、敏感时期等)时,组织专业活动前,安全检查,活动时,安全值守。提供专业的威胁检测设备,保证在重保期间及时发现威胁,及时处置风险,保障重保时期网络安全。 
安全情报分析服务提供专业工具,实时检测客户网络流量中的风险,针对流量日志,定期出去网络安全态势报告。 
安全培训服务安全培训服务提供网络安全相关培训,包括网络安全意识培训、网络安全事件培训、网络安全制度培训、网络安全攻防培训等,强化相关工作人员安全意识,理解安全问题的重要性,掌握工作中的基本安全知识和安全技能,掌握信息安全技术在网络、系统、应用的理论,了解常见的网络攻击技术原理,掌握常见的攻击防护方法。 提供不同类型的安全人员资质培训服务,根据资质不同,收费不同。 
应急演练服务应急演练服务制定应急演练预案,协助建立应急事件上报制度,协助开展预案演练,提高应对安全事件的处置能力,预防和减少安全事件造成的危害和损失。 

2 网络服务方案参考依据

2.1网络安全法律法规

  • 《中华人民共和国国家安全法》
  • 《中华人民共和国网络安全法》
  • 《中华人民共和国电子签名法》
  • 《中华人民共和国突发事件应对法》
  • 《全国人民代表大会常务委员会关于加强网络信息保护的决定》
  • 《中华人民共和国计算机信息系统安全保护条例》(国务院令第147号)

2.2网络安全相关规范标准

  • 《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)
  • 《信息安全技术 信息系统安全等级保护实施指南》(GB/T 25058-2010)
  • 《信息安全技术 网络安全等级保护安全设计技术要求》(GB/T 25070-2019)
  • 《信息安全技术 信息安全风险评估规范》(GB/T 20984-2007)
  • 《信息技术 安全技术 信息安全事件管理指南》(GB/Z 20985-2007)
  • 《信息安全技术 信息安全事件分类分级指南》(GB/Z 20986-2007)
  • 《信息安全技术 信息系统灾难恢复规范》(GB/T 20988-2007)
  • 《信息安全技术 信息安全应急响应计划规范》(GB/T 24363-2009)
  • 《信息安全技术 信息安全风险管理指南》(GB/Z 24364-2009)
  • 《信息安全技术 灾难恢复中心建设与运维管理规范》(GB/T 30285-2013)
  • 《信息技术 安全技术 IT网络安全 第2部分:网络安全体系结构》(GB/T 25068.2-2012)
  • 《信息技术 信息技术安全管理指南 第2部分:管理和规划信息技术安全》(GB/T 19715.2-2005)
  • 《信息技术 安全技术 信息技术安全保障框架 第2部分:保障方法》(GB/Z 29830.2-2013)
  • 《信息技术 安全技术 信息技术安全保障框架 第3部分:保障方法分析》(GB/Z 29830.3-2013)

相关文章

  • 实训室电脑终端管控(智慧实训终端安全)

    实训室电脑终端管控(智慧实训终端安全)

    PC管控系统主要是通过对实验室PC机进行统一管理,以达到对学生上机状况全程监控及实验室和实验设备使用情况进行全面管控,PC管控系统主要包含:PC机管理、终端行为管控、计算机状态监测、数据统计、分析等。如图: 1 PC机管理 PC机终端管理支持简易模式、预约模式、限制模式等多种管理模式。 2 终端行为管控 终端行为管控主要针对学生机的管理,主要对学生的上机过程进行全面管控:主要包含:终端机锁屏与解锁、学生上机过程监管、PC机运行状态监测、故障上报、呼叫教师机功能、学生机截屏、计时提醒、行为管控等。…

  • PKI/CA身份认证系统具备哪些功能

    PKI/CA身份认证系统具备哪些功能

    PKI/CA 身份认证平台通过发放和维护数字证书来建立一套信任网络,在同一信任网络中的用户通过申请到的数字证书来完成身份认证和安全处理。PKI 从技术上解决了网络通信安全的种种障碍,CA 从运营、管理、规范、法律、人员等多个角度来解决了网络信任问题。 数据中心PKI/CA身份认证平台功能如下: 1 CA系统 1、证书管理:包括证书申请、证书下载、证书更新、证书注销、证书冻结、证书解冻、证书查询、证书归档; 2、模板管理:包括通用证书模板、签名证书模板、加密证书模板、设备证书模板、SSL服务器证书…

  • 网络防病毒怎么做?数据中心防毒墙系统建设

    网络防病毒怎么做?数据中心防毒墙系统建设

    在数据中心核心交换上部署一台网络防毒服务器对全网制定完善的防病毒策略,实施统一的防病毒策略,使分布在数据中心每台计算机上的防病毒系统实施相同的防病毒策略,全网达到统一的病毒防护强度。 同时防毒服务器实时地记录防护体系内每台计算机上的病毒监控、检测和清除信息,根据管理员控制台的设置,实现对整个防护系统的自动控制。数据中心网络防病毒系统功能如下: 1、病毒防范和查杀能力 开启实时监控后能完全预防已知病毒的危害;可防范、检测并清除隐藏于电子邮件、公共文件夹及数据库中的计算机病毒、恶性程序、病毒邮件;能…

  • 网络安全保障及运维服务项目的技术要求和服务标准

    网络安全保障及运维服务项目的技术要求和服务标准

    近年来随着网络安全威胁的日趋严重,网络安全愈来愈受到政府企事业单位的重视,同时网络安全运维也算是一个更广为人知的服务项目,本文分享之案例来源于公开挂网的真实案例。 本项目基于《中华人民共和国网络安全法》、《渝交执法﹝2018﹞162号》等要求,按照标准、规范的要求加强单位内部的网络安全防护建设与高效稳定运行维护,本次主要开展关于“单位内部及加强终端设备网络安全中”的相关安全防护建设与管理运维,实现强化单位内部的高效运维,对现有终端设备的改造、安全保障、入侵预警等,形成一套体系化的安全解决方案与良…

  • 电子政务工程建设项目可行性研究报告编制要求

    电子政务工程建设项目可行性研究报告编制要求

    对于一般的系统集成公司,售前工程师除了提供技术指导和产品配单,最重要的工作应该属于解决方案的编制……根据众平科技的经验,大部分的项目方案都是抄袭复制而来。那么问题来了,要完全新建一个电子政务工程项目,该如何编制解决方案呢? 本文是某部委发布的可行性编制报告基本要求,内容涉及封面、扉页、目录、提纲、风险效益等方方面面,非常的标准化,欢迎下载学习。 一、说明 (一)本文件是编制国家电子政务工程建设项目可行性研究报告(以下可简称“可研报告”)的指导性文件。 (二)项目可行性研究的任务旨在通过对实施条件…

  • 电信和互联网企业网络数据安全合规性评估要点(2020 版)

    电信和互联网企业网络数据安全合规性评估要点(2020 版)

    为进一步指导电信和互联网企业做好网络数据安全合规性评估工作,提升数据安全保护水平,依据《网络安全法》《电信和互联网用户个人信息保护规定》等法律法规,参考《信息安全技术个人信息安全规范》等标准规范,制定本要点,供各企业在网络数据安全合规性评估中使用。 《电信和互联网企业网络数据安全合规性评估要点(2020 版)》主要包括以下几个方面:

- 联 系 我 们 -

+86 186-2315-0440

在线咨询:点击这里给我发消息

电子邮箱:i@zzptech.com

工作时间:7*24h,全年无休

关注微信