网络安全服务对保障系统正常运行有重要的意义,通过完整的网络安全服务,可以使我们对自己的信息资产更加了解,发现脆弱点及风险点,有针对性的进行整改,封堵已存在的漏洞,更新系统的重要补丁,加强整体安全态势;针对已经发现的威胁,能够早发现早处理,防止威胁横向扩散,造成更大影响;针对可能存在的威胁,通过加强安全意识,降低风险发生概率,通过日志行为分析,发现可疑行为,及早进行处理,从而整体提高网络安全水平,保障业务系统不会被入侵,能够正常运行。
本次分享一个简单的、明确的、实用的网络安全服务方案模板,涉及到具体的网络安全服务内容和服务报价需要进一步修改,切勿完全照抄搬用。本站在网络分享时为了可读性,删减了部分内容、更改了序号,原文档请下载附件。
1、 项目背景 3
1.1 法律法规相继出台 3
1.2 当前网络安全态势和形势严峻 4
1.3 网络安全保障的必要性 4
2、 项目目的 5
2.1 政策合规要求 5
2.2 保障业务系统正常运行 5
3、 解决方案 5
3.1 详细方案列表 5
3.2 方案设计原则 9
3.3 方案参考依据 9
4、 服务及质量需求 10
4.1 服务管理 10
4.2 质量保证承诺 11
4.2.1 技术保证及承诺 11
4.2.2 售后服务承诺 11
1 安全服务方案的设计遵循如下原则
依法合规。安全工作要依法合规,各类安全服务要遵循规范性原则,要求服务人员要专业,操作要规范,工作要有流程,能够严格遵守国家和相关行业的相关法律、法规、规范、标准等相关要求,对操作过程和结果要提供规范的记录,并形成完整的服务报告。
周期保障。要全面考虑各时期的安全需求,并结合可能的安全风险,考虑安全的动态特性,提供全周期连续性的安全服务,涉及的相关业务、保障工作流程、产生的数据等过程和成果完整。
服务可控。安全服务要做到人员可控、服务涉及的工具、方法和过程可控,采取管理手段和技术手段,将各类服务、检查、管控工作对范围内系统和网络正常运行的可能影响降低到最低限度,不会对网络的运行和业务的正常提供产生显著影响。
措施有效。安全服务是在日常安全运营的基础上强化保障工作频率、强度,提高安全工作能力,安全措施要能够有效支撑服务过程,有效补充日常安全运营工作的不足和短板。
2 安全服务内容一览表
服务大类 | 服务小类 | 网络安全服务概述 | 费用 |
安全检测服务 | 资产梳理服务 | 通过现场勘察与各种技术手段对资产进行全面发现和深度识别,并对发现的资产进行分类梳理,包括但不限于网络拓扑、IP 规划使用情况、应用系统、应用端口、系统版本、中间件、安全策略、硬件设备等,并对梳理结果出具相关报告。 | xxx/次 |
基线核查服务 | 依据相关规范,根据实际情况对网络(安全)设备的配置以及业务系统中应用程序的配置情况进行核查,判断是否符合安全性要求,是否存在安全风险和隐患,并能根据不同业务系统的要求,提供相应等级的设置建议。包括但不限于设备是否正常启用、配置是否正确、是否定期更新特征及病毒库、账号设置是否正常、权限管控是否合理等。 | ||
漏洞扫描服务 | 通过远程或者现场方式使用专业的国产漏洞扫描工具对信息系统进行全面漏洞扫描工作,识别出信息资产的漏洞、病毒、木马等潜在风险,出具漏洞扫描报告并提供解决方案。 | ||
渗透测试服务 | 组织渗透测试专家完整地模拟黑客使用的漏洞发现技术和攻击手段,参考《渗透测试执行标准(PTES)》对采购人指定的目标网络/云平台/系统/主机/应用的安全性作全面深入探测,发现系统最脆弱的环节,并提交检测报告和安全漏洞修复建议方案。 | ||
代码审计服务 | 依据公司的具体安全规范和要求,对公司的重要应用系统代码审计,发现是否存在安全技术漏洞,避免应用程序漏洞被攻击者利用,导致应用系统被入侵,逐步建立持续改进的工作机制。 | ||
规划咨询服务 | 规划咨询服务 | 依据相关规范,针对公司在信息系统安全建设过程中的各种安全管理、安全制度、安全技术等方面存在的问题,安排安全咨询专家从管理、技术、制度等维度出发,协助客户制定网络安全计划、实施方案、工作措施等,参照国内外主流标准提供制度建立、方案制定、技术改进等一体化的解决方案。 | |
风险评估服务 | 对网络系统的安全现状进行分析,明确其面临的安全威胁和存在的安全漏洞,包括但不限于系统漏洞、系统备份措施、系统审计措施、网络分区措施、网络管控措施、边界防护措施、终端防护措施、机房管控措施等,评估这些漏洞被利用后可能造成的损失程度,提供风险评估报告,帮助客户制定相应的安全策略和措施,提高网络系统的安全性。 | ||
安全运维服务 | 安全加固服务 | 在客户的信息资产进行安全加固,包括但不限于漏洞修复、安全补丁、清理危险账户、关闭危险端口、修正危险策略等。 | |
驻场运维服务 | 派遣专业的网络安全工程师在客户现场进行驻场运维服务。 驻场工程师职责包括维护现场网络安全设备稳定,解决网络安全设备出现的各种问题,检测网络安全设备运行状态,定时更新网络安全设备特征库以及保障网络环境安全情况下协助客户处理一些信息系统问题。 | ||
日常巡检服务 | 定期对网络设备的维护/日志等数据进行统计、排除设备隐患、分析并提供设备配置、升级建议,提交日常巡检记录。 | ||
安全检查服务 | 按照客户要求,提供相应检查工具及人员,对集团下属公司进行网络安全检查,及时发现安全隐患,出具检查报告及整改建议。 | ||
应急响应服务 | 当发生外部黑客入侵、数据泄露、木马病毒等突发安全事件时,提供7*24应急服务包括事件检测与分析、风险抑制、问题根除、协助业务恢复的服务,最大化降低安全事件带来的影响。 | ||
重大时刻安全保障服务 | 在举行重大活动、处理重要事件、以及特殊保障期(如两会、法定节日、敏感时期等)时,组织专业活动前,安全检查,活动时,安全值守。提供专业的威胁检测设备,保证在重保期间及时发现威胁,及时处置风险,保障重保时期网络安全。 | ||
安全情报分析服务 | 提供专业工具,实时检测客户网络流量中的风险,针对流量日志,定期出去网络安全态势报告。 | ||
安全培训服务 | 安全培训服务 | 提供网络安全相关培训,包括网络安全意识培训、网络安全事件培训、网络安全制度培训、网络安全攻防培训等,强化相关工作人员安全意识,理解安全问题的重要性,掌握工作中的基本安全知识和安全技能,掌握信息安全技术在网络、系统、应用的理论,了解常见的网络攻击技术原理,掌握常见的攻击防护方法。 提供不同类型的安全人员资质培训服务,根据资质不同,收费不同。 | |
应急演练服务 | 应急演练服务 | 制定应急演练预案,协助建立应急事件上报制度,协助开展预案演练,提高应对安全事件的处置能力,预防和减少安全事件造成的危害和损失。 |
2 网络服务方案参考依据
2.1网络安全法律法规
- 《中华人民共和国国家安全法》
- 《中华人民共和国网络安全法》
- 《中华人民共和国电子签名法》
- 《中华人民共和国突发事件应对法》
- 《全国人民代表大会常务委员会关于加强网络信息保护的决定》
- 《中华人民共和国计算机信息系统安全保护条例》(国务院令第147号)
2.2网络安全相关规范标准
- 《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)
- 《信息安全技术 信息系统安全等级保护实施指南》(GB/T 25058-2010)
- 《信息安全技术 网络安全等级保护安全设计技术要求》(GB/T 25070-2019)
- 《信息安全技术 信息安全风险评估规范》(GB/T 20984-2007)
- 《信息技术 安全技术 信息安全事件管理指南》(GB/Z 20985-2007)
- 《信息安全技术 信息安全事件分类分级指南》(GB/Z 20986-2007)
- 《信息安全技术 信息系统灾难恢复规范》(GB/T 20988-2007)
- 《信息安全技术 信息安全应急响应计划规范》(GB/T 24363-2009)
- 《信息安全技术 信息安全风险管理指南》(GB/Z 24364-2009)
- 《信息安全技术 灾难恢复中心建设与运维管理规范》(GB/T 30285-2013)
- 《信息技术 安全技术 IT网络安全 第2部分:网络安全体系结构》(GB/T 25068.2-2012)
- 《信息技术 信息技术安全管理指南 第2部分:管理和规划信息技术安全》(GB/T 19715.2-2005)
- 《信息技术 安全技术 信息技术安全保障框架 第2部分:保障方法》(GB/Z 29830.2-2013)
- 《信息技术 安全技术 信息技术安全保障框架 第3部分:保障方法分析》(GB/Z 29830.3-2013)