【導讀】業(yè)務流程中信構企業(yè)信用。通過體系化、標準化的信息安全風險評估，積極采。提高信構企業(yè)信用信息管理系統(tǒng)安全防護能力。防護水平，防止信息網(wǎng)絡癱瘓，防止應用系統(tǒng)破壞，防止業(yè)務數(shù)據(jù)丟失，行安全防護系統(tǒng)的設計和建設，從而有效控制成本。技術管理并重原則。息管理系統(tǒng)的整體安全性。純依賴經(jīng)驗是無法對抗未知的威脅和攻擊，因此需要遵循相應的安全標準，從更全面的角度進行差異性分析。實能夠解決安全問題并在很多項目中有成功應用的。決********信息網(wǎng)絡中存在的安全問題，滿足特性需求。關于轉發(fā)《國家信息化領導小組關于加強信息安全保障工作的意見》。關于印發(fā)《信息安全等級保護管理辦法》的通知（公通字[2021]43. 《關于開展全國重要信構企業(yè)信用信息管理系統(tǒng)安全等級保護

　　

【正文】 不準確，誤操作引起，因此在系統(tǒng)加固前應做好系統(tǒng)備份。 應用安 全 目前 *********** *****和 ****** ******相關應用系統(tǒng) 的安全目前往往依賴于基礎設施、操作系統(tǒng)、數(shù)據(jù)庫的安全，對于訪問用戶不同的應用系統(tǒng)，應分別制定相應的安全防護策略。應用系統(tǒng)的基本安全防護主要應該依靠身份鑒別、內(nèi)部審計和管理策略，實現(xiàn)內(nèi)部控制的合規(guī)性；對于需要對外網(wǎng)開放的應用系統(tǒng)，應在外網(wǎng)增設前置服務器，還需要考慮訪問控制和代碼安全。 針對 ********網(wǎng)站 的應用系統(tǒng)，主要的安全措施有： ? 嚴格的安全審查和測試應用系統(tǒng) ? 安全的定義應用系統(tǒng)中軟件和硬件的配合 ? 外網(wǎng)需要訪問的應用系統(tǒng) ，應采取業(yè)務分離方式設置前置機 ? 制訂嚴格的應用系統(tǒng)安全使用制度 ? 配置應用系統(tǒng)的安全備份系統(tǒng)，特別是數(shù)據(jù)庫系統(tǒng) 信息系統(tǒng)安全規(guī)劃建議書 27 / 33 ? 制訂應用系統(tǒng)的應急響應制度，和配置響應的安全人員 ? 對不同的數(shù)據(jù)接口處采用入侵監(jiān)測和身份認證等多方位安全方式 . 所需資源 需要用戶方提供以下資源、資料及信息： 協(xié)調(diào)各 信構企業(yè)信用信息管理系統(tǒng) 的相關管理人員（或設備供貨商、服務商等）作為溝通接口人員（討論整改思路）。 . 階段成果 在本階段， ******將整理并向用戶方提交以下服務資料： ? 《 信構企業(yè)信用信息管理系統(tǒng) 安全建設規(guī)劃方案》 4. 附錄 . 項目實施內(nèi)容列表及報 價清單 信息安全系統(tǒng)規(guī)劃作業(yè)計劃表 序號 評估控制項 評估內(nèi)容 評估周期 費用(元 ) 工具 /作業(yè)指導書 配合人員 備注 1 物理安全（ ） 機房 機房現(xiàn)場環(huán)境檢查 0.5 《物理安全調(diào)查表》 機房管理員 如果有機房建設、驗收材料，請信息系統(tǒng)安全規(guī)劃建議書 28 / 33 提供。 2 網(wǎng)絡安全（ ） 交換機 /路由器 交換機 /路由器安全配置檢查 1 《網(wǎng)絡安全調(diào)查表》 網(wǎng)絡管理員 需要協(xié)助登錄并操作，可提供配置文件 《交換機檢查表》 《路由器檢查 表》 防火墻 /VPN/網(wǎng)閘 防火墻安全配置檢查 0.5 《網(wǎng)絡安全調(diào)查表》 安全管理員 /網(wǎng)絡管理員 需要協(xié)助登錄并操作，可提供配置文件 《 VPN檢查表》 《網(wǎng)閘檢查表》 IPS/IDS/防病毒 IPS/IDS/防火墻安全配置檢查 0.5 《網(wǎng)絡安全調(diào)查表》 安全管理員 /網(wǎng)絡管理員 需要協(xié)助登錄并操作，可提供配置文件 《 IDS檢查表》 網(wǎng)絡結構 邊界分析 0.5 《網(wǎng)絡安全調(diào)查表》 網(wǎng)絡管理員 提供訪問控制策略文件。配合解答評估問題。 網(wǎng)絡分析 對網(wǎng)絡結構進行現(xiàn)場排查及分析 信息系統(tǒng)安全規(guī)劃建議書 29 / 33 3 主機安全（ 2天） 操作系統(tǒng) 服務器操作系統(tǒng)安全配置檢查 1.5 《主機安全調(diào)查表linux/unix》 系統(tǒng)管理員 需要協(xié)助登錄并操作 《主機安全調(diào)查表windows》 《 WINDOWS 主機評估項》 數(shù)據(jù)庫系統(tǒng) 數(shù)據(jù)庫安全配置檢查 0.5 《 Domino 數(shù)據(jù)庫核查表》 數(shù)據(jù)庫管理員 需要協(xié)助登錄并操作 《 SQL SERVER 數(shù)據(jù)庫核查表》 《 ORACLE 數(shù)據(jù)庫核查表》 4 應用安全（ 3天） 應用系統(tǒng)調(diào)研 1 應用安全檢查 業(yè)務應用系統(tǒng)安全檢查 2 《應用安全調(diào)查表》 應用系統(tǒng)管理員、開發(fā)人員 需要協(xié)助登錄應用系統(tǒng)并操作演信息系統(tǒng)安全規(guī)劃建議書 30 / 33 示 應用安全驗證測試 業(yè)務應用系統(tǒng)安全測試（漏洞掃描等） 漏洞掃描 5 數(shù)據(jù)安全（ ） 數(shù)據(jù)安全檢查 檢查系統(tǒng)在數(shù)據(jù)完整性、保密性、備份恢復等安全功能和配置 0.5 《數(shù)據(jù)安全及備份恢復調(diào)查表》 應用系統(tǒng)管理員、開發(fā)人員、數(shù)據(jù)庫管 理員 需要協(xié)助登錄并操作演示 6 工具測試（ 3天） 主機系統(tǒng)掃描 主機操作系統(tǒng)掃描 1 漏洞掃描及滲透測試系統(tǒng) 網(wǎng)絡管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員 需要將專用掃描設備接入網(wǎng)絡 數(shù)據(jù)庫系統(tǒng)掃描 0.5 需要將專用掃描設備接入網(wǎng)絡 遠程滲透性測試 網(wǎng)絡、應用漏洞掃描 1 網(wǎng)絡管理員、應用管理員 從inter網(wǎng)遠程接入對應用信息系統(tǒng)安全規(guī)劃建議書 31 / 33 進行滲透測試 網(wǎng)絡、WEB 應用攻擊滲透測試 0.5 7 管理體系檢查（ 2 天） 安全管理 制度 制定、發(fā)布、評審、修訂等方面 2 《安全管理制度檢查表》 文檔管理員及相關管理負責人 需要收集整理并提供相關管理制度文件、記錄。若能提供系統(tǒng)建設時的設計、驗收資料也請一并提供。 安全管理機構 崗位設置、人員配置等方面 《安全管理機構》 人員安全管理 人員錄用、離崗、考核等方面 《人員安全管理》 系統(tǒng)建設、運 環(huán)境、 《系統(tǒng) 信息系統(tǒng)安全規(guī)劃建議書 32 / 33 維管理 資產(chǎn)、變更、備份恢復、安全事件、應急預案 建設管理》 管理體系執(zhí)行情況 執(zhí)行記錄檢查及執(zhí)行狀況訪談 《系統(tǒng)運維管理》 8 結果匯總分析及確認（ 天） 數(shù)據(jù)分析匯總 1 《數(shù)據(jù)匯總分析表》 可能需要進行補充評估 數(shù)據(jù)確認 0.5 評估配合人員 對分析數(shù)據(jù)進行確認、補充和說明 9 差距分析報告（ 天） 編寫標準符合性分析報告 6 《等級保護標準符合性分析報告》 標準符合性分析報告會 0.5 部門負責人、評估配合人員 對差距分析報告進行確認 信息系統(tǒng)安全規(guī)劃建議書 33 / 33 10 信構企業(yè)信用信息管理系統(tǒng)建設規(guī)劃（ 6 天） 編寫 信構企業(yè)信用信息管理系統(tǒng) 建設規(guī)劃 6 《 信構企業(yè)信用信息管理系統(tǒng)建設規(guī)劃》 信構企業(yè)信用信息管理系統(tǒng)建設規(guī)劃報告會 0.5 部門負責人、評估配合人員 對差距分析報告進行確認 人工小計 費用總價