来源:蜘蛛抓取(WebSpider)
时间:2012-01-14 15:05
标签:
it运维
网络安全审计在烟草行业中的应用浅析 - 烟草在线
网络安全审计在烟草行业中的应用浅析 烟草在线专稿 作者:张芬 更新日期:日【字号:大 中 小 | 颜色:浅 深 红| 打印】 烟草在线专稿 引:当前烟草行业的信息网络安全问题已不仅仅是来自外部,更多的是来自内部的威胁。行业网络之前的安全防御体系虽对内部“合法”用户的非法操作和越权访问具有一定的监控作用,但却缺乏事后取证功能,不能及时采取控制措施。本文简单的介绍了安全审计系统,并分析了网络安全审计在烟草行业的应用及优势和不足。
随着烟草行业信息化进程的加快,业务系统的访问和网络应用行为日益频繁,烟草商业企业的网络安全风险也日益增长,安全问题的复杂性也在日益加大,不仅有各种各样的来自外部的攻击,内部的安全事件也是频频发生,如机密信息泄漏,滥用网络资源等等。调查显示大约76%的网络安全威胁来自于内部,其危害程度远远超过黑客攻击及病毒入侵,而这些威胁绝大部分与内部各种网络访问行为有关。虽然目前行业内部也采取了防火墙、入侵检测等传统网络安全手段,可实现对网络异常行为的管理和监测,如控制访问的合法性、监测网络攻击事件等,但是不能监控授权的正常内部网络访问行为,对正常网络访问行为导致的信息泄密事件、网络资源滥用行为(即时通讯、在线视频、网络下载、在线游戏等)无能为力。因此,迫切需要一种安全手段对上述问题进行有效监控和管理。安全审计正是在这样的背景下产生。
1、安全审计的概念
CC准则(国际信息技术安全评估通用准则2.0版)中完整定义了信息系统安全审计的功能:信息系统安全审计主要指对与安全有关的活动的相关信息进行识别、记录、存储和分析;审计记录的结果用于检查网络上发生了那些与安全有关的活动,谁(哪个用户)对这个活动负责。安全审计主要是帮助安全人员审计系统的可靠性和安全性;对妨碍系统运行的明显企图及时报告给安全控制台,以便尽快采取控制措施。
安全审计的一个重要的理念是:它是针对内部人员而不是针对外部的入侵者的,其作用主要是安全威慑。因为对于内部 “合法”用户(授权用户)的不法行为不大可能在事前预防,也不容易在事中及时发现,那么最适合的就是事后的审计了。鉴于此,安全审计系统就必须具备下面几项功能:
(1)记录使用者(包括内部人员和外部人员)的行为。什么时候来的,做了那些操作,什么时候走的。
(2)确定使用者的身份。最起码要确定其计算机的IP地址,审计系统一般与网络身份认证连接,确定使用者具体是谁。
(3)重现使用者的“工作”过程。鉴于网络中应用协议多,调用资源的方式也多,重现过程不仅需要记录大量的现场通讯数据,而且还要重现环境。
(4)审计记录数据不可更改。保证审计记录的不可修改是事后取证的关键。因为计算机存储的信息是电子化的,很容易被修改,而且可以没有修改的痕迹。
2、安全审计系统在烟草信息安全系统中的地位
烟草行业的信息化工作正进入大集成阶段,网络信息安全更是不容忽视,为了保证集成化工作顺利推进,就必须加强对内部的监管,减少来自内部的安全威胁。归结起来,行业内部威胁集中表现在以下几个方面:
(1)内部系统维护人员对业务系统的越权访问、违规操作,损害业务系统的运行安全;
(2)企业重要业务数据库,被员工或系统维护人员有意或无意篡改、外泄,造成重大的经济损失;
(3)员工随意通过网络共享文件夹、文件上传下载、E-mail等方式,发送重要敏感信息、业务数据,导致信息外泄事件发生;
(4)员工在论坛发表敏感信息、传播非法言论,造成恶劣社会影响;
虽然目前全国大部分烟草系统已经采取了一定的网络安全手段(如防火墙、入侵检测、漏洞扫描等)和管理措施,但是当以上安全事件发生后,却仍然无法进行及时告警响应、准确定位事件源头,由此带来了极大的困扰和严重的信息安全隐患。
现如今如何有效监控内部员工对业务系统的访问和网络行为,准确掌握网络系统的安全状态,及时发现违反安全策略的事件并实时告警、记录,同时进行安全事件定位分析,事后追查取证,已经成为行业迫切需要解决的问题。因此,
一个完善的审计系统就可以帮助记录发生在重要业务系统中的各种会话和事件,包括发生在网络中、主机操作系统中,以及应用系统中的各类会话和事件。审计系统记录下来的审计信息反映了信息系统运行的基本轨迹。一方面,它可以帮助管理层和审计者审核信息系统的运行是否符合法律法规的要求和组织内部制定的安全策略;另一方面,这些宝贵的审计信息在信息系统出现故障和安全事故时,能够像航空器中的“黑盒子”一样,帮助调查者深入挖掘事件背后的情报,重建事件过程,直至完全地分析定位事件的本源,并可根据这些分析部署进一步的安全措施来避免损失再次发生。
3、安全审计系统在烟草行业中的应用
以湖北省烟草为例,其核心业务系统是由大量的Unix/Linux服务器、Windows服务器、网络设备,以及运行其上的各种应用组成,这些应用系统包括ERP、CRM、资源管理系统、办公自动化、电子商务、知识管理系统,以及其它各种C/S或B/S应用。为保证这些业务系统安全、稳定运行,2010年在全省范围了统一部署了安全运维平台,集成了福莱特公司的SA(Session Auditor)安全审计系统。
SA是一个新型的基于网络的审计系统,它提供了深入的分析和回放功能,记录了用户在一个登录会话中与所有应用交互的全过程,包括屏幕的更新、鼠标的移动与点击以及来自键盘的输入,全面覆盖管理维护活动中常用的网络协议,克服了普通审计系统无法进行事件重建与回放,不能理解加密协议的不足。SA的系统架构如图所示:
图1 SA系统架构图
(1)访问控制
在SA上可以除了可以定制记录会话内容的审计策略,还可以根据会话的源/目的地址、目的端口进行会话访问控制。
(2)会话回放
所有记录的会话都能完全真实再现地回放出来,包括加密的SSH、SFTP等操作,以及WINDOWS下的远程桌面、VNC等图形操作。会话回放能精确定位到“每一帧”,可以“步进”的方式进行查看。在进度条上有会话操作者的操作频度显示,通过曲线图能轻松找到操作密集的区域进行查看。
(3)智能审计
用户根据自己业务的需求定制专用审计脚本,实现用户自义的内容审计规则。例如通过脚本的定制,实现猜测密码,更换用户名,删除特定的敏感字符串等等。定制审计计划使用计划任务的方式,将需要审计的内容统一纳入即时计划,当事件触发时自动执行任务计划。智能审计系统还提供审计功能模块的接口,方便进行二次开发,更加适合用户业务环境的定制与开发。
(4)会话实时通知
审计系统会向管理端发送新会话开始或已连接会话结束的消息,为审计或系统管理人员提供了实时监控会话的能力。
(5)事件实时通知
实时事件包括审计事件与设备运行过程中产生的需要管理员关注的事件。事件实时通知功能让管理人员能立即发现及定位网络或系统的故障并及时排除。
(6)系统运行状态实时监视
管理端显示SA的实时运行状态,如CPU占用率、内存占用情况、网络流量等。运行状态实时监视让管理人员随时了解网络运行状态并根据状态调节系统配置,以适应变化的网络状态。
(7)加密审计流
信息的传输通道之间采用高强度的加密通信协议以保证认证及审计数据在传输过程中的安全性。
4、系统应用的优势和不足
在内控和安全审计的重要性与日俱增的今天,SA为烟草行业解决内部安全威胁问题打开了方便之门,也为信息化的大集成之路扫除了不少的障碍。其主要优势体现在:
首先,支持对Telnet、FTP、SNMP、Rlogin、Oracle、Sybase、MS SQL、POP3、SMTP以及CIFS/SMB等多种协议的审计;支持程桌面操作(Windows Remote Desktop Protocol)、Citrix ICA、VNC等会话,能够对WINDOWS远程维护进行完全记录及回放,实现了对图形界面操作的审计;支持SSH、SFTP、SCP以及SSH PORT FORWADING会话,能够对UNIX下加密登录远程维护进行完全记录及回放。
第二,采用PROXY方式克服了因为丢包而导致回话不能完整回放的的问题,并支持故障BYPASS功能。
第三,基于角色的访问控制系统和数据备份恢复机制,确保审计数据的保密性、完整性和可用性;完善的自身认证和加密方案,确保审计过程的保密性和完整性。
第四,智能审计系统方便进行用户根据内容定制审计脚本;审计机制不可旁路、审计信息不可窜改。
虽然系统具备了强大的审计追踪功能,但是系统的应用需要环境,在烟草这个大环境中,对安全审计系统的应用还不够充分,主要体现在:
第一,缺乏专业的技术人员。审计信息需要专业的分析,烟草行业有IT人员,也有审计人员,却没有专业的安全审计人员,对信息缺乏专业的分析,这样也就从一定程度上削弱了系统的监管作用。
第二,对管理人员的培训不够。对新上线的审计系统,针对系统管理人员的培训时间较短,导致对安全审计的理解存在盲区,系统也未能全面运行。
第三,针对审计结果的后续管理措施未能及时成文。安全审计从技术上为行业解决了内部忧患,但是安全审计只是起到了一个威慑的作用,真正要解决问题还得管理做保障。
5、结束语
安全审计从技术上为烟草行业解决了内忧问题,可以对内部违规行为进行有效的监控和管理,同时但是一个系统能否发挥作用,关键还在于系统的运用,而系统的应用还要看管理人员对系统熟悉程度。所以要发挥系统的强大功用,应该加强对系统操作人员的培训,从软硬件两方面加强对企业的内控和监管。同时,还应从管理上通过完善和优化安全管理理体系和措施来提高整体的安全管理能力与监督能力,从而保障整个烟草信息网络的安全、稳健运行。
经典回顾?Headlines
? ? ? ? ? ? ? ? ? ?
红云红河集团:领先者的企业谋略百万家族添新丁 低调“利群”稳健成长
热点新闻?Highlight News
??????????
“黄金叶”品牌的重塑之路红塔:践行卷烟上水平 推动品牌大发展深圳市裕明财务咨询有限公司招标公告
深圳市出租屋综合管理信息中心信息网络安全运维服务采购项目
深圳市裕明财务咨询有限公司受深圳市政府采购中心委托,就深圳市出租屋综合管理信息中心信息网络安全运维服务采购进行公开招标,欢迎国内对上述项目有服务能力的合格供应商参加投标。
1、合格的投标人必须具有下列资质和条件:
(1)投标人必须是在中华人民共和国内注册的,具有独立法人资格和独立承担民事责任的能力(提供营业执照副本复印件并加盖投标人公章)。
(2)须为深圳市政府采购中心注册的供应商(注册网址:);(提供供应商注册卡复印件并加盖投标人公章)。
(3)近三年内(即至少从2010年5月开始起算,供应商成立不足三年的可从成立之日起算)无行贿犯罪记录,由供应商营业执照住所地人民检察院出具《行贿犯罪档案查询告知函》。告知函自出具之日起2个月内有效,有效期到期日应在本项目的公告日之后。
(4)近三年内(日至本项目公告之日止)在经营活动中无重大违法记录。(提供承诺函)。
2、招标编号:SZYM
3、招标项目:深圳市出租屋综合管理信息中心信息网络安全运维服务采购(需求详见:)
4、服务期:自合同签订之日起壹年。
5、标书购买:凡愿意参加投标的合格投标人,必须携带营业执照或证书副本原件、上述资质和条件证明的复印件(如有外文证明文件的须翻译成中文)加盖公章,其中,外地投标单位可以用复印件或传真件(原件备查),按以下时间、地点购买标书:
购买标书时间:日起至6月6日止,每日上午9:00~11:30,下午14:00~17:00(公休日及节假日除外,招标文件中时间均为北京时间);
购买标书地点:深圳市罗湖区嘉宾路2018号深华商业大厦6层,深圳市裕明财务咨询有限公司(前台王小姐,联系电话:);
本招标文件每套售价人民币500元,售后不退;如需邮购,另加人民币50元。
6、答疑事项:日下午5时前,将对招标文件的疑问以书面形式(包括认为招标文件的技术指标或参数存在排他性或歧视性条款)加盖单位公章传真或送达我司,逾期不予受理。我司会将集中答疑结果在深圳市政府采购中心网站或我司网站以公开发布方式发送给所有投标人。对招标文件的任何修改,以我司发出的通知为准。
7、投标截止时间:日
下午2:30(北京时间)
8、开标时间:日下午2:30(北京时间)
9、逾期送达或不符合投标规定的投标文件恕不接受
10、开标地点:深圳市罗湖区嘉宾路2018号深华商业大厦6层616室
11、评标方法:综合评分法&
联系电话:521973&&&&&&&& 联系人:钟颖 张珂文
传真: &&&&&&&&&&&&&&&&&&&&&&邮编:518001
帐户名称:深圳市裕明财务咨询有限公司&& 开户银行:平安银行深圳国贸支行
帐号:01&&&& &&&&&&&&&&&&网址:http://
&&&&&&&&&&&&&&深圳市裕明财务咨询有限公司
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&二○一三年
五月三十日
附件:需求(详见招标文件)
一、项目概况:
依据我国信息安全等级保护标准、深圳市党政机关信息安全联合检查要求,对采购人信息网络安全进行年
度保障服务,保证采购人信息系统和网络安全稳定运行,防止重大安全事件的发生。
本次项目涉及深圳市出租屋综合管理系统基础网络架构、信息系统、服务网、存储设施、安全防护设施及终端
设备等IT资产。
&&&& 二、计算机及外设服务
《2013年深圳市党政机关信息安全联合检查工作方案》
《信息安全等级保护管理办法》(公通字[2007]43号)
《信息系统安全等级保护基本要求》(GB/T)
《政府信息系统安全检查办法》(国办发[2009]28号)
《信息安全风险评估规范》(GB/T)
《深圳市信息安全风险评估实施指南》
深圳市关于开展信息安全风险评估工作的实施意见(深科信[号)
《深圳市政府网站建设和管理规范》(SZDB/Z 50—2011)
&&& 三、项目内容
为了从各个方面加强信息安全保障,全面提高采购人整体信息安全水平,本次项目的内容主要包括信息安全检
查和运维保障、信息系统实时安全监控和信息安全等级保护测评等服务工作。
信息安全检查和运维保障服务
信息安全检查和运维保障服务根据国家信息安全相关法规、标准的要求,结合采购人的实际安全需求,包括以
(1)出租屋综合管理信息系统年度安全风险评估;
(2)出租屋综合管理信息系统季度安全检测;
(3)安全咨询及安全设备日志分析;
(4)安全通报预警及安全应急服务;
(5)协助信息安全制度的建立;
(6)协助完成信息系统等保测评;
(7)协助进行信息系统安全测试;
(8)信息系统安全加固优化;
(9)协助甲方通过各类信息安全检查;
(10)对甲信息技术人员进行安全培训。
服务系统主要设备
各类服务器
包括PC服务器、刀片及小型机等
交换机、路由器
各类网络安全设备
包括部署在各区的
&具体要求如下所述:
信息安全风险评估
根据《信息安全技术信息安全风险评估规范》(GB/T)、《信息系统安全保护等级基本要求》(GB/T
)等相关标准,对采购人信息系统和IT基础设施进行安全风险评估,包括明确风险评估范围、识别重要资产、识别脆弱性和威胁、现有安全控制措施、应用系统漏洞扫描、分析和计算风险状况、制定不可接受风险处置方案和风险评估报告和总结。
根据资产、业务流程的特性和重要程度对资产进行科学的分类(数据、服务、声誉、硬件和软件、通讯、程序界面、物理资产、支持设施、人员和访问控制措施等有形和无形资产),并参考CIA(保密性、完整性和可用性)进行价值分级和定量,以识别关键的信息资产。
通过安全策略检查、文档查看、业务流程分析、网络拓扑分析、人员访谈、入侵检测系统收集的信息和人工分析等手段对可能潜在的威胁进行分类、分析和定性。
脆弱性识别
以资产为核心,针对每一项需要保护的资产、识别可能被威胁利用的弱点,并对脆弱性的严重程度进行评估,分析出有可能被潜在威胁源利用的系统缺陷或脆弱性列表,并对其进行分级。
现有控制措施有有效性
结合资产、威胁和脆弱性分析结果,对现有的预防性安全措施和保护性安全措施进行有效性测试、评估。
资产-威胁-脆弱性映射关系以及控制措施效果,分析存在的安全风险发生的可能性和影响。
以关键业务系统为关联要素,通过资产的价值、资产面临的威胁和存在的脆弱性三个方面的内容进行量化,统计分析风险值,评定业务系统所属的风险范围和等级。
风险结果与总结
通过层面汇总分析和综合分析等过程找出信息系统的安全风险,识别影响系统安全保护能力的安全隐患,形成评估结论报告。
风险处置方案
针对信息安全风险评估结果和存在的关键性问题,提出相应的不可接受风险处置建议和方案。
安全防护措施落实服务
根据《深圳市党政机关内网安全加固工作方案》、《互联网安全保护技术措施规定》、《信息系统安全保护等级基本要求》(GB/T
)、《信息系统和信息设备使用保密管理规定》以及《全国人民代表大会常务委员会关于加强网络信息保护的决定》等相关标准规范的要求,对采购人设施的漏洞扫描、应用系统检查、内网防病毒、安全审计、网站安全、防泄密、防恶意信息、非法外联和移动存储管理安全防护措施情况的核查和落实。
业务系统服务器漏洞扫描
定期制定可行的漏洞扫描计划,并对所有业务系统使用的主机、网络设备、应用中间件系统和数据库系统进行漏洞扫描和分析研判,出具相关的安全检测结果报告。
外网站点应用层漏洞扫描
定期对外网提供公众服务的站点进行应用层安全漏洞扫描,分析和研判误报,出具相关安全检测结果报告。
外网站点渗透测试
模拟黑客攻击手段,对外网站点进行可控的渗透测试,获取系统权限或找出系统的安全缺陷,以评估站点系统的安全性。
外网应用系统信息传输与存储安全措施检查
定期使用专业工具和方法对外网应用系统信息传输是否加密,加密强度是否符合标准要求,以及信息存储是否存在泄漏风险。
社会公众服务应用系统公民个人信息保障措施检查
定期评估涉及公民个人信息的公众服务应用系统在信息传输和存储方面的措施是否有效,是否足够防止信息的泄露、篡改和毁坏等情况的发生。
外网应用系统审计功能检查
定期对外网应用系统审计功能有效性,完整性以及对审计日志进行综合分析。
终端漏洞扫描
定期对配置了IP地址的终端设备,包括网络打印机等进行漏洞扫描,分析漏洞,并出具检测结果报告。
恶意代码防范
每月对内网防病毒系统查杀记录、病毒特征码更新、病毒传播趋势进行安全巡检和跟踪分析,不断优化配置策略。
网络安全审计
每月对网络安全审计设备运行状况、日志连续性进行巡检,并在需要的时候协助检查违规上网行为。
每月对网页防篡改系统运行状况、日志连续性进行巡检。
每月协助对内网计算机有无违规使用无线设备、安装的安全保密监控软件是否有效等。
计算机资产统计
整理统计采购人在使用的计算机资产下列信息,包含:
& a)计算机主机名;
& b)计算机IP地址;
& c)计算机MAC地址;
& d)计算机使用人或责任人;
& e)计算机所属部门;
& f)计算机的物理位置;
& g)服务器的内外网IP对应。
每月协助检查内网终端是否存在违规连接互联网的情况。
移动存储管理
每月检查移动存储管理措施的有效性。
安全加固与优化服务
通过信息安全风险评估、安全基线核查、漏洞扫描和渗透测试等技术手段全面的评估的结果,对发现的信息资产安全漏洞、隐患、威胁等进行整改和加固,提高采购人信息安全保障能力。
上期联合检查问题整改
对2012年度联合检查中存在的安全问题进行协助整改。
上期不可接受风险整改
对2012年度信息安全风险评估中发现的不可接受风险进行协助整改。
通过调整网络边界、重要节点的访问控制策略、网络架构优化、修复和升级网络设备IOS、消除安全漏洞、配置安全基线等方法加固网络层面的安全。
通过加强系统恶意代码防范、系统安全防护措施、补丁和安全设置、系统安全策略检查等手段,加固和优化主机系统的整体安全;
通过修补漏洞、增强安全配置、调整系统架构和提升安全策略等方式进行系统整体加固和安全优化,提高系统的安全性和抗攻击能力,将整个系统的安全状况维持在较高的水平,减少安全事件发生的可能性和可能造成的损失。
应用中间件加固
对各类网络应用服务平台中间件进行安全策略完善、安全设置、权限划分、访问控制等安全加固和修复。
通过加强用户授予库权限、系统密码策略、系统审计等安全配置、升级和修复数据库系统安全漏洞。
通过优化信息安全管理流程、明确管理职责、加强安全管理体系落实以及信息安全意识推广等方法提高采购人信息安全管理水平。
对定期检测中发现终端设备安全漏洞和隐患提供整改和治理的咨询服务。
应急响应机制建设服务
根据《信息系统安全保护等级基本要求》(GB/T
)中关于应急响应机制建设的要求,包括应急预案制定和修订、应急预案演练、应急处置支持、灾备措施检查、应急团队建设咨询等工作。
应急预案制定和修订
根据采购人信息系统的安全状况、完善和修订安全事件应急预案,使之更适合指导突发事件的处置流程。
应急演练服务
根据应急预案和当年业界发生的重大安全事件,提供整套的安全事件应急演练服务,包括提供演练方案、计划、资源配置、人员协同、结果报告和整改方案等。
应急响应支持
对采购人IT基础设施和信息系统提供7X24小时的紧急响应服务,包括受到非法网络攻击、蠕虫病毒爆发、数据受到窃取和破坏的调查取证等方面的应急服务支持。
应急响应技能培训
对采购人信息技术人员提供专业的网络安全应急响应技能、技术的培训。
在敏感时期增派2名以上专业安全工程师现场值守,协助监测采购人网络设施和信息系统安全运行状况,保障业务系统安全稳定运行。
根据采购人需求
信息安全管理制度梳理
根据《信息系统安全等级保护基本要求》(GB/T)中信息安全管理和深圳市信息化主管部门关于信息安全工作的要求,对我院整个信息安全管理的方针、策略、制度、规程等进行体系化的梳理和核查,结合信息化实际情况进完成对信息安全管理体系规范的落实。
信息安全制度制定、优化及落实
梳理和核查包括不限于以下各项信息安全管理制度及制度执行情况:
信息安全组织架构设置;
信息安全人员配备和岗位职责制定优化;
c)信息系统的规划、建设、运维、废弃等环节的信息安全制度制定;
d)信息安全制度执行情况记录。
信息安全管理体系落地
a)建立适合采购人实际的信息安全管理体系框架;
b)评估和识别关键的业务处理流程、资产和岗位设置等;
c) 实现安全体系文档化,管理流程化、绩效控制可量化和安全意识普及;
外包服务管理
a)对外包开发软件在投入使用前进行了全面的安全检测;
不少于4次/年
安全培训教育服务
针对不同岗位和职责的人员提供不同培训内容,包括信息安全意识教育、网络攻防、应用安全开发和国家等级保护相关标准的培训。
安全培训计划
根据采购人信息系统和人员的情况,提供不少于三人次的信息安全专业系列培训课程,培训课程和培训计划采购人自行选择。
安全意识培训
主要讲办公电脑、平板、智能设备、移动存储设备等终端设备在使用互联网、内网网络的安全、保密意识和安全常识。
2次(每次培训时间不少于2个小时)
安全技能培训
主要讲解当前最新的安全技术、黑客攻击技术和手段,以及如何做好日常的各项防范工作。
2次(每次培训时间不少于2个小时)
等级保护标准培训
主要讲国家等级保护工作政策、行业标准、监管要求、最佳实践等方面的发展情况。
1次(每次培训时间不少于2个小时)
信息安全咨询服务
根据国家信息安全相关标准规范对采购人信息系统的规划、设计、建设、改造、验收、上线、运营以及废弃等阶段中涉及的安全问题提供顾问咨询服务。
技术方案咨询
对采购人信息系统的规划、设计、建设等技术方案的可行性、可靠性、安全性等提供专业咨询。
安全风险控制咨询
对采购人信息系统运行中各环节存在的安全风险控制方法、措施是否得当、有效提供专业咨询。
信息系统安全管理咨询
对采购人信息系统上线、运营中的安全管理机制提供专业咨询。
3.2信息系统安全实时监控服务
根据上级单位信息安全联合检查标准要求和《深圳市政府网站建设与管理规范》的相关要求,对网站系统运行状况、网页规范化、内容非法篡改、挂马、黑链等提供一年7X24小时安全监控,及时发现并协助采购人进行处置。
对站点可用性、合规性、安全性等进行2x24小时监控
网站运行状况监控
对网站的网络响应时间、主机响应时间、页面响应时间、数据库响应时间等相应指标对网站性能进行实时监控,以保障网站业务连续性和稳定性。
网站文字的不规范性/违规文字/页面内容恶意篡改监控
对网站上不规范性文字库进行扫描监控,以达到不规范性文字的及时发现,同时可通过平台内动态丰富的违规文字库,对网站内页面上的违规内容进行动态监控,及时发现各种反动、色情、低俗等内容。
网站内容的统一性监控
通过业务内容录制工具,创建仿真模型,然后提交给仿真终端进行高频仿真。通过高频仿真对网站上来自其它服务器或其它数据通道的内容对比,查看两方的内容是否一致,以达到实现网站内容的统一性的目的。
挂马检测/网页木马检测/黑链检测
通过在线服务平台的挂马特征库(云监控平台自学习系统动态增加挂马特征),对网页的挂马/木马和页面特征进行分析,识别出挂马、木马和挂黑链等安全问题。
3.3信息系统等级保护测评
根据《信息系统安全等级保护基本要求》(GB/T)相关要求,对采购人以下重要信息系统进行等级保护测评,认真查找各个层面存在的安全问题,提出专业的整改建议和方案,并出具符合国家等级保护要求的测评结果报告。
3.3.1测评内容
信息系统的安全等级测评内容应包括技术和管理两大类,其中技术类应包括对物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复等方面的测评,管理类测评应包括对机构安全管理机构、人员安全管理、安全管理制度、系统建设管理和系统运维管理等方面的测评。
3.3.2测评范围与对象
出租屋综合管理信息系统
项目实施要求
项目周期及计划要求
项目应严格按照2013年信息安全联合检查方案、国家信息安全等级保护相关要求以及满足采购人信息安全保护需求等按期、按质执行,确保在规定的时间内完成各项检查及信息安全工作。
项目交付要求
项目中各项安全服务结果必须真实、可靠、全面,满足本年度党政机关信息安全联合检查相关要求、国家信息安全等级保护标准要求;
项目实施过程产生的所有过程文档、检查记录、人员访谈纪要、检测原始数据、服务结果报告等必须进行电子和纸制双重归档,根据要求,整理成册,并及时交付采购人。
项目资源要求
为确保信息安全服务项目的有效落实,合作方需具备全面的项目管理能力,对于项目各项服务内容要求、实施计划与质量控制、风险评估与分析、专项问题分析与咨询等方面,提出完整的管控方案。
应当按计划合理配置人员进行安全服务实施;
应当由专人进行项目管理与跟踪;
深圳市裕明财务咨询有限公司 版权所有
建议IE4.0以上浏览器800×600
