安全服务方案_安全服务技术方案

安全服务方案由刀豆文库小编整理，希望给你工作、学习、生活带来方便，猜你可能喜欢“安全服务技术方案”。

苏州市高新区实验小学 信息安全服务体系

建 设 方 案

江苏国瑞信安科技有限公司

2011年11月

目录项目概述.......................................................................................................................................3

1.1 项目建设背景....................................................................................................................3 1.2 项目目标............................................................................................................................3 1.3 项目建设原则....................................................................................................................3 2 信息安全服务解决方案...............................................................................................................4

2.1 信息安全服务内容大纲....................................................................................................4 2.2 信息安全服务实施方案....................................................................................................4

2.2.1 门户网站安全防护................................................................................................4 2.2.2 网络边界安全防护................................................................................................4 2.2.3 信息安全产品防护................................................................................................5 2.2.4 服务器的安全防护................................................................................................5 2.2.5 网络设备安全防护................................................................................................6 2.2.6 终端设备安全防护................................................................................................7 2.2.7 密码技术安全防护................................................................................................7 2.2.8 数字证书使用情况................................................................................................7公司简介及资质...........................................................................................................................8

3.1 公司简介............................................................................................................................8 3.2 公司资质............................................................................................................................8项目概述

1.1 项目建设背景

苏州市高新区实验小学（以下简称：新区实验小学）是苏州市地区重要性教高的教育单位，承载着相关重要的业务。而当今网络安全问题也是日益严峻，越来越多的病毒木马无孔不入，众多单位频繁遭受黑客攻击。新区实验小学领导对目前的信息化安全问题高度重视，在现有信息系统安全状况进行及时有效的信息安全服务，以保障新区实验小学所有应用系统安全稳定运行。

1.2 项目目标

建立起一套实时有效的信息安全服务体系，能根据安全要求的不断发展，升级和完善相关安全防护功能。

1.3 项目建设原则

（1）可靠性原则：能有效阻断各种常见攻击，确保新区实验小学各应用系统及网络运行稳定可靠。

（2）先进性原则：在保证系统稳定运行的基础上，使系统安全支撑环境在技术上始终与国内外的发展同步。

（3）安全性原则：系统必须有完整的防护策略和安全措施，保证系统和页面访问的稳定运行，有效抵御病毒侵入或信息篡改。

（4）可扩展性原则：系统不仅能够满足现阶段安全防护需要，而且能够根据安全要求的变化和发展进行扩展防护（维护期内），具有很好的可扩展性。信息安全服务解决方案

2.1 信息安全服务内容大纲信息安全组织机构 2 日常管理和管理制度 3 等级保护和风险评估 4 技术防护 5 应急管理 6 产品国产化 7 信息安全服务 8 信息安全教育 9 信息安全经费 10 安全隐患及整改

2.2 信息安全服务实施方案

2.2.1 门户网站安全防护

1)检查门户网站的安全漏洞

对网站内容进行备份，并用专业设备对网站进行安全漏洞扫描，提交网站安全检测报告

2)其他安全检查要求检查的内容 3)提供整改意见报告

2.2.2 网络边界安全防护

1)检查是否提供网络拓扑图，能够表明当前网络逻辑或者物理的拓扑结构。主要包括网络接入服务提供商、出口设备、核心网络设备、接入设备的连接状况，越详细越好。协助提供本单位网络拓扑图 2)检查互联网接入口安全防护设备部署情况 3)互联网访问日志是否留存；协助做日志留存 4)检查终端接入互联网时是否有安全信息提示 5)是否存在终端非法外联、整改建议

2.2.3 信息安全产品防护

信息安全产品部署及使用检查目标：

了解信息安全产品的部署和使用，这些安全产品的使用情况和策略配置。信息安全产品部署及使用检查细则：

1)检查互联网接入口安全防护设备检查使用情况

A.检查互联网接入口有哪些安全防护设备，提供安全设备明细

B.检查安全防护设备的运维日志（只要查看过去是否存在宕机或者其他异常行为），整理提供运维日志

C.检查安全防护设备的正常运作负载状态（包括CPU、内存的负载等），提供设备常规运行维护建议

2)检查安全防护设备策略

A.检查各安全防护设备的配置情况（查看使用了默认配置还是根据自主适当配置）

B.网络安全设备的配置备份问题（网络安全设备配置备份，以防设备发生意外能尽快恢复运作）

C.检查各安全防护设备的密码配置情况是否定期更换和符合密码复杂度 D.通过一些简单的测试检查各安全防护设备的策略是否有效，是否合理 3）提供检查报告、整改建议报告

2.2.4 服务器的安全防护 服务器安全防护检查目标：

检查服务器上应用、服务、端口、链接及打补丁等情况；系统口令是否强壮并定期更换以及病毒木马防护措施和是否定期进行漏洞扫描和病毒木马检测等。

服务器安全防护检查细则： 1)检查服务器系统运行情况

2)在客户机对服务器进行网络连通性 3)检测服务器各磁盘可用空间 4)检查数据备份 5)检查服务器口令 6)检查防毒软件

7)使用专业系统诊断工具对服务器系统进行全面检测，包括启动项、系统服务、进程、模块、系统文件、网络连接等，分析和判断存在的安全问题点

8)检查服务器系统补丁

9)检查服务器系统是否有可疑共享文件夹，对可疑文件夹进行删除 10)检查服务器系统是否有可疑帐户

2.2.5 网络设备安全防护

网络设备安全防护检查目标：

确认设备配置的有效性，账号口令是否强壮及定期更新，以及设备的版本更新和漏洞扫描等。

网络设备安全防护检查细则：

1)网络拓扑结构：充分了解客户的网络环境，检查设备的部署情况是否合理，近期的运行情况 2)网络设备性能安全检查 3)网络设备配置安全检查 4)专业设备对网络设备进行安全漏洞扫描 5)提供检测报告、整改建议 2.2.6 终端设备安全防护

终端计算机和移动存储设备安全防护检查目标：

检查终端计算机的管理措施是否集中式，计算机账号口令的强度和更新；终端计算机接入互联网的安全控制措施；是否装了病毒软件并定期进行病毒木马检测和漏洞扫描；确认属否存在涉密问题以及移动存储是否处理涉密信息等。

终端计算机和移动存储设备安全防护检查细则： 1)检查终端计算机是否存在域环境并检查域策略 2)检查终端计算机是否有内网管理软件管理 3)检查重要数据是否做好备份 4)检查终端设备密码

5)检查是否安装病毒防护措施

6)检查杀毒软件病毒库更新情况及相关策略 7)检查终端计算机接入互联网时的安全防护措施 8)在非涉密与涉密信息系统间是否混用了计算和移动存储 9)非涉密计算机处理涉密信息

2.2.7 密码技术安全防护

密码技术防护检查目标：

检查采用的密码技术对信息系统、终端计算机、电子文档等进行的保护情况，使用的密码产品是否符合国家管理规定。

2.2.8 数字证书使用情况

数字证书使用情况检查目标：

检查采用的数字证书方式实现身份认证和授权管理情况，使用的数字证书是否符合王家电子认证服务管理规定。公司简介及资质

3.1 公司简介

江苏国瑞信安科技有限公司成立于2002年，注册资金2200万，公司主营业务为高新技术研制与开发、计算机应用软件及系统集成、信息安全系统集成与服务、涉密系统集成与咨询服务等。公司经过8年的创业发展，人员达到一定规模，公司现已成长为在江苏地区名列前茅的计算机信息系统集成的企业，同时也是江苏省政府重点扶持的提供信息安全集成及服务的企业。

公司自成立至2004年，公司主要以系统集成业务、硬件及软件销售代理为主，为公司的发展有了良好的铺垫；自2004年至2006年，公司以行业应用软件及安全产品开发、系统集成及涉密集成工程及服务为主，培养了一支较为全面的软硬件人才团队。自2006年至今，公司业务以安全应用软件开发、安全集成、民防指挥系统集成、安全评估、等级化保护建设服、涉密分级保护建设服务为主，为行业用户提供系统设计规划、产品开发、工程实施、产品选型、系统优化加固、安全检查评估及售后服务等全系列工作，根据行业需求提前设计开发相关软件产品，成功融入客户的行业。

3.2 公司资质

公司凭借自身不断的努力，8年来的发展创新，获得了国家、各级政府、同行企业的认可和信赖。获得如下的资质和荣誉： 信息产业部颁发的 “系统集成资质” 二级

国家信息安全产品测评中心颁发“信息安全服务资质”一级 江苏省“双软认证”企业认定证书

国家保密局颁发的“涉及国家秘密的计算机信息系统集成资质（甲级）证书” 国家人防颁发的“人民防空信息系统建设保密项目设计（施工）甲级资质” 高新技术企业认定证书

国防科工委认证的“国防科技工业电子政务系统集成商”（江苏唯一企业）荣获首届江苏省政府机关信息安全建设评比一级优秀企业称号 荣获2005年度江苏省网络安全保密服务创新企业荣誉称号 荣获2006年度江苏省涉密集成服务先进单位荣誉称号 荣获2007年度江苏省信息安全服务优秀企业荣誉称号

江苏省风险评估唯一试点企业，参与江苏省风险评估规范的制订 国家等级保护试点工作（首批16家单位）江苏唯一参与的企业