【導(dǎo)讀】業(yè)務(wù)流程中信構(gòu)企業(yè)信用。通過(guò)體系化、標(biāo)準(zhǔn)化的信息安全風(fēng)險(xiǎn)評(píng)估，積極采。提高信構(gòu)企業(yè)信用信息管理系統(tǒng)安全防護(hù)能力。防護(hù)水平，防止信息網(wǎng)絡(luò)癱瘓，防止應(yīng)用系統(tǒng)破壞，防止業(yè)務(wù)數(shù)據(jù)丟失，行安全防護(hù)系統(tǒng)的設(shè)計(jì)和建設(shè)，從而有效控制成本。技術(shù)管理并重原則。息管理系統(tǒng)的整體安全性。純依賴(lài)經(jīng)驗(yàn)是無(wú)法對(duì)抗未知的威脅和攻擊，因此需要遵循相應(yīng)的安全標(biāo)準(zhǔn)，從更全面的角度進(jìn)行差異性分析。實(shí)能夠解決安全問(wèn)題并在很多項(xiàng)目中有成功應(yīng)用的。決********信息網(wǎng)絡(luò)中存在的安全問(wèn)題，滿(mǎn)足特性需求。關(guān)于轉(zhuǎn)發(fā)《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》。關(guān)于印發(fā)《信息安全等級(jí)保護(hù)管理辦法》的通知（公通字[2021]43. 《關(guān)于開(kāi)展全國(guó)重要信構(gòu)企業(yè)信用信息管理系統(tǒng)安全等級(jí)保護(hù)

　　

【正文】 不準(zhǔn)確，誤操作引起，因此在系統(tǒng)加固前應(yīng)做好系統(tǒng)備份。 應(yīng)用安 全 目前 *********** *****和 ****** ******相關(guān)應(yīng)用系統(tǒng) 的安全目前往往依賴(lài)于基礎(chǔ)設(shè)施、操作系統(tǒng)、數(shù)據(jù)庫(kù)的安全，對(duì)于訪問(wèn)用戶(hù)不同的應(yīng)用系統(tǒng)，應(yīng)分別制定相應(yīng)的安全防護(hù)策略。應(yīng)用系統(tǒng)的基本安全防護(hù)主要應(yīng)該依靠身份鑒別、內(nèi)部審計(jì)和管理策略，實(shí)現(xiàn)內(nèi)部控制的合規(guī)性；對(duì)于需要對(duì)外網(wǎng)開(kāi)放的應(yīng)用系統(tǒng)，應(yīng)在外網(wǎng)增設(shè)前置服務(wù)器，還需要考慮訪問(wèn)控制和代碼安全。 針對(duì) ********網(wǎng)站 的應(yīng)用系統(tǒng)，主要的安全措施有： ? 嚴(yán)格的安全審查和測(cè)試應(yīng)用系統(tǒng) ? 安全的定義應(yīng)用系統(tǒng)中軟件和硬件的配合 ? 外網(wǎng)需要訪問(wèn)的應(yīng)用系統(tǒng) ，應(yīng)采取業(yè)務(wù)分離方式設(shè)置前置機(jī) ? 制訂嚴(yán)格的應(yīng)用系統(tǒng)安全使用制度 ? 配置應(yīng)用系統(tǒng)的安全備份系統(tǒng)，特別是數(shù)據(jù)庫(kù)系統(tǒng) 信息系統(tǒng)安全規(guī)劃建議書(shū) 27 / 33 ? 制訂應(yīng)用系統(tǒng)的應(yīng)急響應(yīng)制度，和配置響應(yīng)的安全人員 ? 對(duì)不同的數(shù)據(jù)接口處采用入侵監(jiān)測(cè)和身份認(rèn)證等多方位安全方式 . 所需資源 需要用戶(hù)方提供以下資源、資料及信息： 協(xié)調(diào)各 信構(gòu)企業(yè)信用信息管理系統(tǒng) 的相關(guān)管理人員（或設(shè)備供貨商、服務(wù)商等）作為溝通接口人員（討論整改思路）。 . 階段成果 在本階段， ******將整理并向用戶(hù)方提交以下服務(wù)資料： ? 《 信構(gòu)企業(yè)信用信息管理系統(tǒng) 安全建設(shè)規(guī)劃方案》 4. 附錄 . 項(xiàng)目實(shí)施內(nèi)容列表及報(bào) 價(jià)清單 信息安全系統(tǒng)規(guī)劃作業(yè)計(jì)劃表 序號(hào) 評(píng)估控制項(xiàng) 評(píng)估內(nèi)容 評(píng)估周期 費(fèi)用(元 ) 工具 /作業(yè)指導(dǎo)書(shū) 配合人員 備注 1 物理安全（ ） 機(jī)房 機(jī)房現(xiàn)場(chǎng)環(huán)境檢查 0.5 《物理安全調(diào)查表》 機(jī)房管理員 如果有機(jī)房建設(shè)、驗(yàn)收材料，請(qǐng)信息系統(tǒng)安全規(guī)劃建議書(shū) 28 / 33 提供。 2 網(wǎng)絡(luò)安全（ ） 交換機(jī) /路由器 交換機(jī) /路由器安全配置檢查 1 《網(wǎng)絡(luò)安全調(diào)查表》 網(wǎng)絡(luò)管理員 需要協(xié)助登錄并操作，可提供配置文件 《交換機(jī)檢查表》 《路由器檢查 表》 防火墻 /VPN/網(wǎng)閘 防火墻安全配置檢查 0.5 《網(wǎng)絡(luò)安全調(diào)查表》 安全管理員 /網(wǎng)絡(luò)管理員 需要協(xié)助登錄并操作，可提供配置文件 《 VPN檢查表》 《網(wǎng)閘檢查表》 IPS/IDS/防病毒 IPS/IDS/防火墻安全配置檢查 0.5 《網(wǎng)絡(luò)安全調(diào)查表》 安全管理員 /網(wǎng)絡(luò)管理員 需要協(xié)助登錄并操作，可提供配置文件 《 IDS檢查表》 網(wǎng)絡(luò)結(jié)構(gòu) 邊界分析 0.5 《網(wǎng)絡(luò)安全調(diào)查表》 網(wǎng)絡(luò)管理員 提供訪問(wèn)控制策略文件。配合解答評(píng)估問(wèn)題。 網(wǎng)絡(luò)分析 對(duì)網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行現(xiàn)場(chǎng)排查及分析 信息系統(tǒng)安全規(guī)劃建議書(shū) 29 / 33 3 主機(jī)安全（ 2天） 操作系統(tǒng) 服務(wù)器操作系統(tǒng)安全配置檢查 1.5 《主機(jī)安全調(diào)查表linux/unix》 系統(tǒng)管理員 需要協(xié)助登錄并操作 《主機(jī)安全調(diào)查表windows》 《 WINDOWS 主機(jī)評(píng)估項(xiàng)》 數(shù)據(jù)庫(kù)系統(tǒng) 數(shù)據(jù)庫(kù)安全配置檢查 0.5 《 Domino 數(shù)據(jù)庫(kù)核查表》 數(shù)據(jù)庫(kù)管理員 需要協(xié)助登錄并操作 《 SQL SERVER 數(shù)據(jù)庫(kù)核查表》 《 ORACLE 數(shù)據(jù)庫(kù)核查表》 4 應(yīng)用安全（ 3天） 應(yīng)用系統(tǒng)調(diào)研 1 應(yīng)用安全檢查 業(yè)務(wù)應(yīng)用系統(tǒng)安全檢查 2 《應(yīng)用安全調(diào)查表》 應(yīng)用系統(tǒng)管理員、開(kāi)發(fā)人員 需要協(xié)助登錄應(yīng)用系統(tǒng)并操作演信息系統(tǒng)安全規(guī)劃建議書(shū) 30 / 33 示 應(yīng)用安全驗(yàn)證測(cè)試 業(yè)務(wù)應(yīng)用系統(tǒng)安全測(cè)試（漏洞掃描等） 漏洞掃描 5 數(shù)據(jù)安全（ ） 數(shù)據(jù)安全檢查 檢查系統(tǒng)在數(shù)據(jù)完整性、保密性、備份恢復(fù)等安全功能和配置 0.5 《數(shù)據(jù)安全及備份恢復(fù)調(diào)查表》 應(yīng)用系統(tǒng)管理員、開(kāi)發(fā)人員、數(shù)據(jù)庫(kù)管 理員 需要協(xié)助登錄并操作演示 6 工具測(cè)試（ 3天） 主機(jī)系統(tǒng)掃描 主機(jī)操作系統(tǒng)掃描 1 漏洞掃描及滲透測(cè)試系統(tǒng) 網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員 需要將專(zhuān)用掃描設(shè)備接入網(wǎng)絡(luò) 數(shù)據(jù)庫(kù)系統(tǒng)掃描 0.5 需要將專(zhuān)用掃描設(shè)備接入網(wǎng)絡(luò) 遠(yuǎn)程滲透性測(cè)試 網(wǎng)絡(luò)、應(yīng)用漏洞掃描 1 網(wǎng)絡(luò)管理員、應(yīng)用管理員 從inter網(wǎng)遠(yuǎn)程接入對(duì)應(yīng)用信息系統(tǒng)安全規(guī)劃建議書(shū) 31 / 33 進(jìn)行滲透測(cè)試 網(wǎng)絡(luò)、WEB 應(yīng)用攻擊滲透測(cè)試 0.5 7 管理體系檢查（ 2 天） 安全管理 制度 制定、發(fā)布、評(píng)審、修訂等方面 2 《安全管理制度檢查表》 文檔管理員及相關(guān)管理負(fù)責(zé)人 需要收集整理并提供相關(guān)管理制度文件、記錄。若能提供系統(tǒng)建設(shè)時(shí)的設(shè)計(jì)、驗(yàn)收資料也請(qǐng)一并提供。 安全管理機(jī)構(gòu) 崗位設(shè)置、人員配置等方面 《安全管理機(jī)構(gòu)》 人員安全管理 人員錄用、離崗、考核等方面 《人員安全管理》 系統(tǒng)建設(shè)、運(yùn) 環(huán)境、 《系統(tǒng) 信息系統(tǒng)安全規(guī)劃建議書(shū) 32 / 33 維管理 資產(chǎn)、變更、備份恢復(fù)、安全事件、應(yīng)急預(yù)案 建設(shè)管理》 管理體系執(zhí)行情況 執(zhí)行記錄檢查及執(zhí)行狀況訪談 《系統(tǒng)運(yùn)維管理》 8 結(jié)果匯總分析及確認(rèn)（ 天） 數(shù)據(jù)分析匯總 1 《數(shù)據(jù)匯總分析表》 可能需要進(jìn)行補(bǔ)充評(píng)估 數(shù)據(jù)確認(rèn) 0.5 評(píng)估配合人員 對(duì)分析數(shù)據(jù)進(jìn)行確認(rèn)、補(bǔ)充和說(shuō)明 9 差距分析報(bào)告（ 天） 編寫(xiě)標(biāo)準(zhǔn)符合性分析報(bào)告 6 《等級(jí)保護(hù)標(biāo)準(zhǔn)符合性分析報(bào)告》 標(biāo)準(zhǔn)符合性分析報(bào)告會(huì) 0.5 部門(mén)負(fù)責(zé)人、評(píng)估配合人員 對(duì)差距分析報(bào)告進(jìn)行確認(rèn) 信息系統(tǒng)安全規(guī)劃建議書(shū) 33 / 33 10 信構(gòu)企業(yè)信用信息管理系統(tǒng)建設(shè)規(guī)劃（ 6 天） 編寫(xiě) 信構(gòu)企業(yè)信用信息管理系統(tǒng) 建設(shè)規(guī)劃 6 《 信構(gòu)企業(yè)信用信息管理系統(tǒng)建設(shè)規(guī)劃》 信構(gòu)企業(yè)信用信息管理系統(tǒng)建設(shè)規(guī)劃報(bào)告會(huì) 0.5 部門(mén)負(fù)責(zé)人、評(píng)估配合人員 對(duì)差距分析報(bào)告進(jìn)行確認(rèn) 人工小計(jì) 費(fèi)用總價(jià)