【正文】 發(fā)以及驗收與測試等環(huán)節(jié)，XX科技將針對系統(tǒng)具體的安全需求，在等級保護前期工作基礎(chǔ)上，提供專業(yè)的安全技術(shù)解決方案，提供包括安全產(chǎn)品選型、產(chǎn)品部署、產(chǎn)品調(diào)試配置、安全加固等服務(wù)，而且XX科技將站在更高的角度，以一個系統(tǒng)建設(shè)者的角度，把信息系統(tǒng)安全建設(shè)與信息系統(tǒng)建設(shè)過程平滑有機地結(jié)合起來。 安全管理體系等級建設(shè)信息安全管理是改進當(dāng)前信息系統(tǒng)安全狀況的主要保障，不健全的安全管理機制是信息安全最大的薄弱點，也是等級保護的工作重點，相對于安全技術(shù)來說，等級保護在安全管理方面所需工作更是任重道遠(yuǎn)。但安全管理體系絕不是各類安全管理制度的簡單疊加，XX科技將以系統(tǒng)用戶的角度，以保障系統(tǒng)業(yè)務(wù)正常運行為出發(fā)點，將系統(tǒng)的信息安全管理狀況與等級保護管理要求進行深入的差距分析，深入分析現(xiàn)有的系統(tǒng)管理體系和信息安全管理制度，從各個方面協(xié)助客戶建立與信息系統(tǒng)安全技術(shù)和安全運行相適應(yīng)的完善的符合系統(tǒng)業(yè)務(wù)特點的信息安全管理體系。 協(xié)助通過等級測評（可選）XX科技作為國內(nèi)領(lǐng)先的信息安全服務(wù)供應(yīng)商，在國家等級保護工作中有多年的經(jīng)驗積累，參與了國家等級保護工作的各個階段，從國家等級保護制度的研究，相關(guān)標(biāo)準(zhǔn)文件的制定，到等級保護試點工作，以及等級保護在全國范圍的全面開展。在此過程中，XX科技與相關(guān)測評機構(gòu)建立了良好的合作關(guān)系，可以更加順利地保障用戶順利通過等級保護測評，并在后續(xù)每年的安全檢查中，提供良好的基礎(chǔ)支持與咨詢服務(wù)。 整改方案制定與實施（可選）XX將根據(jù)等級測評后所暴露的問題，為用戶制定整改方案，并對系統(tǒng)進行等級改造。 安全崗位培訓(xùn)企業(yè)整體的信息安全是要靠組織中的每位員工一起參與的，而目前的實際情況中，普通工作人員往往沒有形成與之相適應(yīng)的安全意識，為提高廣大一線員工的安全意識，同時減少企業(yè)推廣安全策略的過程中不必要的摩擦，XX科技為您提供安全普及培訓(xùn)。該項培訓(xùn)主要目的是普及信息安全的基本知識，提高安全意識。對常見的安全問題進行描述和解決。 運行管理階段（可選） 階段性風(fēng)險評估信息系統(tǒng)存在的風(fēng)險不是一成不變的，系統(tǒng)承載業(yè)務(wù)的變化、面臨威脅的變化、系統(tǒng)脆弱性的變化都會使信息系統(tǒng)的風(fēng)險水平發(fā)生改變。為了及時地針對風(fēng)險的改變調(diào)整系統(tǒng)的安全控制措施，使系統(tǒng)的風(fēng)險始終維持在一個可以接受的水平，滿足系統(tǒng)所定等級的安全要求，XX科技向客戶提供階段性的風(fēng)險評估服務(wù)。 安全狀態(tài)監(jiān)控安全狀態(tài)監(jiān)控服務(wù)指通過信息共享、安全監(jiān)控、值守等技術(shù)設(shè)施，對單位的信息系統(tǒng)運行狀態(tài)進行監(jiān)控，及時發(fā)現(xiàn)各類信息安全事件并向相關(guān)人員發(fā)布預(yù)警信息，在信息安全事件發(fā)生或造成較大危害前及時采取應(yīng)對措施；安全狀態(tài)監(jiān)控服務(wù)分為安全狀態(tài)監(jiān)控和監(jiān)控外包兩種形式。安全狀態(tài)監(jiān)控服務(wù)主要通過在客戶網(wǎng)絡(luò)中安裝入侵監(jiān)測系統(tǒng)和通過我們的主動監(jiān)控系統(tǒng)，對被服務(wù)網(wǎng)絡(luò)的運行情況和遭受攻擊的情況進行分析記錄和報警。當(dāng)有危害的攻擊行為或網(wǎng)絡(luò)系統(tǒng)運行異常時，XX科技工程師將根據(jù)多種方式通知客戶，雙方配合解決相應(yīng)的問題。安全監(jiān)控外包與狀態(tài)監(jiān)控服務(wù)內(nèi)容不同之處在于，客戶將需要監(jiān)控管理的設(shè)備，主機的運行管理權(quán)限交付給XX科技管理。系統(tǒng)在任何異常行為發(fā)生時，XX科技將直接進行處理。這種方式對那些關(guān)注核心業(yè)務(wù)的客戶來說，將降低運營成本，并提高異常事件的反應(yīng)速度。 系統(tǒng)可持續(xù)性安全服務(wù)系統(tǒng)安全是一個持續(xù)性地需不斷改進的系統(tǒng)工程，在系統(tǒng)完成等級保護建設(shè)后，系統(tǒng)投入正式使用過程中，將不斷面臨來自組織內(nèi)外的各種安全威脅，這些安全威脅可能利用系統(tǒng)自身的各種安全漏洞或者管理缺陷攻擊系統(tǒng)，影響到單位業(yè)務(wù)的連續(xù)性和數(shù)據(jù)的保密性和完整性，因此，需要可持續(xù)的安全服務(wù)幫助單位不斷完善安全保障體系，應(yīng)對來自各方面的安全威脅。 配合用戶完成系統(tǒng)自查XX科技作為專業(yè)的第三方安全廠商，具備信息安全服務(wù)和評估領(lǐng)域的多項資質(zhì)，承擔(dān)了多個國家重要信息系統(tǒng)的等級保護評估和建設(shè)任務(wù)，積累了豐富的等級保護評估工作經(jīng)驗，在系統(tǒng)評估過程中，XX科技將采用國家認(rèn)可的專業(yè)的核查和掃描等工作，輔助客戶進行自評估，并出具第三方評估報告。 配合主管單位、用戶完成安全檢查對于三級及三級以上等重要業(yè)務(wù)系統(tǒng)，國家要求每年進行安全檢查，隨著等級保護政策的推廣，各行業(yè)主管單位，公安部也經(jīng)常進行不定期的安全檢查，XX科技將協(xié)助用戶完成此類安全檢查，符合主管單位和行業(yè)的要求。 系統(tǒng)上線前安全評估XX科技業(yè)務(wù)系統(tǒng)上線前評估服務(wù)包括：u 安全漏洞掃描：使用XX科技自主知識產(chǎn)權(quán)的遠(yuǎn)程安全評估系統(tǒng)對業(yè)務(wù)系統(tǒng)集成環(huán)境安全狀況進行評估；u 手工安全檢查：使用XX科技自主知識產(chǎn)權(quán)的配置核查系統(tǒng)和XX科技手工安全檢查規(guī)范對業(yè)務(wù)系統(tǒng)的安全策略、服務(wù)配置等情況進行檢查；u 安全滲透測試：以黑客的視角對業(yè)務(wù)系統(tǒng)的安全狀況進行黑盒測試，使用黑客攻擊的工具和手段對業(yè)務(wù)系統(tǒng)進行模擬攻擊測試，挖掘可能存在的安全漏洞；u 代碼安全審計：從編碼的角度對業(yè)務(wù)系統(tǒng)源代碼進行安全審計，檢查源代碼是否存在安全缺陷并重點檢查重要模塊的代碼是否安全，挖掘缺陷安全代碼；u 安全功能審核：參考CC的內(nèi)容要求結(jié)合XX科技安全服務(wù)經(jīng)驗，對業(yè)務(wù)系統(tǒng)的安全功能進行審核，對業(yè)務(wù)系統(tǒng)安全功能完善性和安全強度是否符合標(biāo)準(zhǔn)進行評估。業(yè)務(wù)系統(tǒng)上線前評估服務(wù)流程如下圖。圖 業(yè)務(wù)系統(tǒng)上線前評估服務(wù)流程由于此時業(yè)務(wù)系統(tǒng)并未正式部署上線，因此所有的服務(wù)內(nèi)容均以現(xiàn)場服務(wù)的方式進行（代碼安全審計服務(wù)可非?，F(xiàn)場開展）。在整個安全評估過程中，僅需要客戶提供業(yè)務(wù)系統(tǒng)相關(guān)信息，并配合進行系統(tǒng)登錄，如有必要還需提供業(yè)務(wù)系統(tǒng)測試帳號。XX科技工程師在獲取到相關(guān)資源后，在客戶指定的時間開展安全評估工作。針對中國證監(jiān)會XXXX運行監(jiān)測系統(tǒng)，考慮到系統(tǒng)等級保護要求為二級，并且系統(tǒng)屬于委托第三方開發(fā)，因此，在系統(tǒng)上線前建議采用以下評估服務(wù)內(nèi)容。 漏洞掃描服務(wù)安全漏洞掃描主要是通過評估工具以本地掃描的方式對評估范圍內(nèi)的系統(tǒng)和網(wǎng)絡(luò)進行安全掃描，查找網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備、服務(wù)器主機、數(shù)據(jù)和用戶賬號/口令等安全對象目標(biāo)存在的安全風(fēng)險、漏洞和威脅。安全漏洞掃描服務(wù)過程如下：圖 漏洞掃描服務(wù)過程漏洞掃描服務(wù)是一個閉環(huán)的服務(wù)，分為四個不同的階段：漏洞發(fā)現(xiàn)，數(shù)據(jù)分析，漏洞處理和掃描復(fù)查u 漏洞掃描：使用XX科技自主知識產(chǎn)權(quán)遠(yuǎn)程安全評估系統(tǒng)對目標(biāo)設(shè)備安全狀況進行評估，獲得掃描數(shù)據(jù)；u 結(jié)果分析：對獲取的掃描結(jié)果進行分析，提供可執(zhí)行的安全建議，向用戶提交漏洞掃描報告；u 漏洞處理：針對發(fā)現(xiàn)的不同級別的漏洞，提出處理建議，如安裝補丁，修改空弱口令等。u 掃描復(fù)查：在用戶對發(fā)現(xiàn)的漏洞整改完成后，對目標(biāo)設(shè)備進行復(fù)查，以確保發(fā)現(xiàn)的問題得到妥善處理，向用戶提供漏洞掃描復(fù)查報告。為了確保掃描的可靠性和安全性，XX科技將與證監(jiān)會XXXX運行監(jiān)測系統(tǒng)項目組一起確定掃描計劃。計劃主要包括掃描開始時間、掃描對象、預(yù)計結(jié)束時間、掃描項目、預(yù)期影響、需要對方提供的支持等等。 人工安全檢查XX科技提供的手工檢查服務(wù)是對評估范圍內(nèi)安全漏洞掃描工具不能有效發(fā)現(xiàn)的方面（網(wǎng)絡(luò)設(shè)備的安全策略弱點和部分主機的安全配置錯誤等）進行輔助評估的一種有效手段。安全策略弱點和配置上的缺陷都會被攻擊者利用，因此有必要對評估范圍內(nèi)的系統(tǒng)和設(shè)備進行手工檢查。信息系統(tǒng)的網(wǎng)絡(luò)設(shè)備和主機的安全性是人工評估的主要對象。因為這些安全系統(tǒng)的作用是為網(wǎng)絡(luò)和應(yīng)用系統(tǒng)提供必要的保護，其安全性也必然關(guān)系到網(wǎng)絡(luò)和應(yīng)用系統(tǒng)的安全性是否可用、可控和可信。目前還沒有針對安全系統(tǒng)進行安全評估的系統(tǒng)和工具，所以只能通過手工檢查的方式進行安全評估。對信息系統(tǒng)的網(wǎng)絡(luò)設(shè)備和主機的安全性進行手工安全檢查內(nèi)容主要包括：u 安全系統(tǒng)是否配置最優(yōu)，實現(xiàn)其最優(yōu)功能和性能，保證網(wǎng)絡(luò)系統(tǒng)的正常運行；u 安全系統(tǒng)自身的保護機制是否實現(xiàn)；u 安全系統(tǒng)的管理機制是否安全；u 安全系統(tǒng)為網(wǎng)絡(luò)提供的保護措施，且這些措施是否正常和正確；u 安全系統(tǒng)是否定期升級或更新；u 安全系統(tǒng)是否存在漏洞或后門。具體來說，操作系統(tǒng)的主機安全檢查的內(nèi)容包括兩部分，一是信息搜集，二是配置檢查。針對Unix和Linux系統(tǒng)（AIX、HPUX、Solaris、Redhat、Suse）檢查項包括：u 基本信息檢查u 系統(tǒng)版本、補丁檢查及漏洞檢查。u 用戶賬號及口令清查u 系統(tǒng)授權(quán)驗證u 日志檢查u 檢查用戶登錄日志設(shè)置、登錄失敗日志和各種操作日志。u 系統(tǒng)網(wǎng)絡(luò)應(yīng)用配置檢查針對Windows Server系統(tǒng)檢查項包括：u 系統(tǒng)基本信息u 操作系統(tǒng)版本補丁檢查、各分區(qū)文件格式檢查、自動更新檢查、系統(tǒng)時鐘檢查。u 用戶身份檢查u 用戶登錄和密碼檢查u 系統(tǒng)授權(quán)檢查u 日志檢查u 系統(tǒng)網(wǎng)絡(luò)應(yīng)用配置檢查u 防火墻和防病毒軟件檢查針對數(shù)據(jù)庫的檢查項包括但不限于：u 基本信息檢查u 用戶身份驗證u 用戶登錄和密碼驗證u 系統(tǒng)授權(quán)驗證u 日志檢查針對Web服務(wù)器檢查項包括但不限于：u 基本信息檢查u 用戶身份驗證u 用戶登錄和密碼驗證u 日志檢查 滲透測試服務(wù)滲透測試是一般脆弱性評估的一種很好的補充。同時，由于主持滲透測試的測試人員一般都具備豐富的安全經(jīng)驗和技能，所以其針對性比常見的脆弱性評估會更強、粒度也會更為細(xì)致。另外，滲透測試的攻擊路徑及手段不同于常見的安全產(chǎn)品，所以它往往能暴露出一條甚至多條被人們所忽視的威脅路徑，從而暴露整個系統(tǒng)或網(wǎng)絡(luò)的威脅所在。最重要的是，滲透測試最終的成功一般不是因為某一個系統(tǒng)的某個單一問題所直接引起的，而是由于一系列看似沒有關(guān)聯(lián)而且又不嚴(yán)重的缺陷組合而導(dǎo)致的。日常工作中，無論是進行怎么樣的傳統(tǒng)安全檢查工作，對于沒有相關(guān)經(jīng)驗和技能的管理人員都無法將這些缺陷進行如此的排列組合從而引發(fā)問題，但XX科技的測試人員卻可以靠其豐富的經(jīng)驗和技能將它們進行串聯(lián)并展示出來。滲透測試過程主要依據(jù)安全專家已經(jīng)掌握的安全漏洞信息，模擬黑客的真實攻擊方法對系統(tǒng)和網(wǎng)絡(luò)進行非破壞性質(zhì)的攻擊性測試。這里，所有的滲透測試行為將在客戶的書面明確授權(quán)和監(jiān)督下進行。滲透測試主要針對系統(tǒng)主機進行，因此將占用主機系統(tǒng)及其所在的網(wǎng)絡(luò)環(huán)境的部分資源。同時需要工作人員的一些配合（某些特定條件下，如為了節(jié)省時間破解密碼，滲透測試將首先得到普通用戶權(quán)限），對于其他的資源沒有特殊的要求。黑客的攻擊入侵需要利用目標(biāo)網(wǎng)絡(luò)的安全弱點，滲透測試也是同樣的道理。它模擬真正的黑客入侵攻擊方法，以人工滲透為主，輔助以攻擊工具的使用，這樣保證了整個滲透測試過程都在可以控制和調(diào)整的范圍之內(nèi)。由于采用可控制的、非破壞性質(zhì)的滲透測試，因此不會對滲透測試對象造成嚴(yán)重的影響。在滲透測試結(jié)束后，系統(tǒng)將保持正常運行狀態(tài)。XX科技的滲透測試服務(wù)主要包括以下內(nèi)容；方案制定XX科技獲取到客戶的書面授權(quán)許可后，才進行滲透測試的實施。并且將實施范圍、方法、時間、人員等具體的方案與客戶進行交流，并得到客戶的認(rèn)同。在測試實施之前，XX科技會做到讓客戶對滲透測試過程和風(fēng)險的知曉，使隨后的正式測試流程都在客戶的控制下。信息收集這包括：操作系統(tǒng)類型指紋收集；網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)分析；端口掃描和目標(biāo)系統(tǒng)提供的服務(wù)識別等?？梢圆捎靡恍┥虡I(yè)安全評估系統(tǒng)（如：ISS、極光等）；免費的檢測工具（NESSUS、Nmap等）進行收集。測試實施在規(guī)避防火墻、入侵檢測、防毒軟件等安全產(chǎn)品監(jiān)控的條件下進行：操作系統(tǒng)可檢測到的漏洞測試、應(yīng)用系統(tǒng)檢測到的漏洞測試（如：Web應(yīng)用），此階段如果成功的話，可能獲得普通權(quán)限。滲透測試人員可能用到的測試手段有：掃描分析、溢出測試、口令爆破、社會工程學(xué)、客戶端攻擊、中間人攻擊等，用于測試人員順利完成工程。在獲取到普通權(quán)限后，嘗試由普通權(quán)限提升為管理員權(quán)限，獲得對系統(tǒng)的完全控制權(quán)。此過程將循環(huán)進行，直到測試完成。最后由滲透測試人員清除中間數(shù)據(jù)。分析報告輸出：滲透測試人員根據(jù)測試的過程結(jié)果編寫直觀的滲透測試服務(wù)報告。內(nèi)容包括：具體的操作步驟描述；響應(yīng)分析以及最后的安全修復(fù)建議。 安全加固服務(wù)網(wǎng)絡(luò)安全是動態(tài)的，需要時刻關(guān)注最新漏洞和安全動態(tài)，制定更新的安全策略以應(yīng)付外來入侵和蠕蟲病毒等威脅。針對中國證監(jiān)會XXXX運行監(jiān)測系統(tǒng)的各臺服務(wù)器的漏洞和脆弱性，定期的進行安全加固，可以使系統(tǒng)有效的抵御外來的入侵和蠕蟲病毒的襲擊，使系統(tǒng)可以長期保持在高度可信的狀態(tài)。安全加固是針對進行評估后的主機的漏洞和脆弱性采取的一種有效的安全手段，可以幫助系統(tǒng)抵御外來的入侵和蠕蟲病毒的襲擊，使系統(tǒng)可以長期保持在高度可信的狀態(tài)。通常對系統(tǒng)和應(yīng)用服務(wù)的安全加固包括如下方面：n 安裝最新補丁n 帳號、口令策略調(diào)整n 網(wǎng)絡(luò)與服務(wù)加固n 文件系統(tǒng)權(quán)限增強n 日志審核功能增強n 安全性增強常規(guī)加固工作流程如下： 圖 安全加固流程具體實施過程如下：提交加固方案根據(jù)系統(tǒng)評估結(jié)果，針對系統(tǒng)脆弱環(huán)節(jié)初步擬定系統(tǒng)加固方案。與廠商確認(rèn)加固內(nèi)容由于各應(yīng)用系統(tǒng)運行環(huán)境有所不同，因此需要與廠商確定各應(yīng)用系統(tǒng)具體的加固需求，確定加固實施內(nèi)容。實施加固，運行測試根據(jù)加固方案對目標(biāo)服務(wù)器實施加固操作，并在實施完加固后對被加固服務(wù)器的運行狀況進行測試，確定加固操作未對服務(wù)器正常運行造成影響。調(diào)整加固方案，提交最終方案如果被加固服務(wù)器出現(xiàn)影響應(yīng)用正常運行的情況，則針對具體問題提供解決方案，保證業(yè)務(wù)運行正常和系統(tǒng)安全；如果被加固服務(wù)器未出現(xiàn)異常情況，則根據(jù)加固實施的具體內(nèi)容確定各應(yīng)用系統(tǒng)最終加固方案，并提交客戶。