《常见信息安全服务内容描述参考》由会员分享,可在线阅读,更多相关《常见信息安全服务内容描述参考(3页珍藏版)》请在装配图网上搜索。
1、常见信息安全服务内容描述参考服务名称代码源代码安全审计审服务计网站安 网站安全监测云全服务监测主流操作系统、数据库、 web 服务安安 全问题通告全 网络安全通 问题通告告 重大安全漏洞、病毒木马预警应 7x24 小时电话安急 全咨询响应 7x24 小时安全事件紧急响应内容简介单位数备注量通过源代码检测工具进行自动化扫描并获取到自动化检测结果;对自动化检测结果进行人工分析,对误报问题进行标注和过滤,整理源代次 / 年不按采购人实际码安全审计报告。将报告交付给用限需求户的研发人员,并给予相应的问题修复建议和进行问题修复跟踪。通过重新检测验证问题修复情况。实时短信和电话通知网站安全监测的异常情况。
2、1. 网站可用性状态监控,如:网站访问速度异常、宕机或被非法破坏而不能提供访问服务等。2. 监测网站页面是否被篡改和被恢复,是否发生安全事件 (网页篡改、不包括但不限于网页挂马、网页暗链、网页敏感关实时本次等保测评限键字等检测),准确定位网页木马所的信息系统在的位置。3. 监测网站是否存在当前流行的Web应用漏洞,如:struts2 框架漏洞、 SQL 注入、跨网站脚本攻击、缓存溢出等,定位 Web应用漏洞所在的位置。每月提供汇总安全通告。次 / 年每月提供汇总安全通告。次 / 年不邮件 / 电话形式限通告。对于影响范围大、破坏性高的安全漏洞和病毒木马进行实时安全预警次 / 年通告。根据实际需
3、求,全天候,主要提供安全技术类的建不通过电话或邮议或者普通安全事件的远程沟通处次 / 年件等方式解决限理。用户遇到的安全问题。全天候,严重安全事件 2 小时到达次 / 年不远程无法解决现场,普通安全事件必要时到场。限的安全事件,包每次提供相应的响应报告,找出根源并提供可行解决方案。应包含演练计划编制、演练场景设计、急 协助采购人开展演练场景测试、演练脚本编制、演演应急演练练培训、演练实施、应急预案、演练练评估、提出完善建议等。安全意识和防范有针对性地对考点和单位员工常见的缺乏安全意识导致的安全事件和培训如何防范进行培训。安包括主流操作系统安全方面,用户安全、登录安全、文件安全;网络全信息技术工
4、作人实体安全;访问控制、防火墙、入培员安全技能培训侵检测技术;数据泄露;信息加密训技术;恶意代码防范; 数据库安全;程序员安全代码编写等方面。培训课件制作根据用户要求制作 3 个安全培训课件及相关试题。漏洞扫描每季度对全网进行一次漏洞扫描检查,提供扫描报告和分析报告。每季度利用各种主流攻击技术对客渗透测试户授权指定的应用系统和网络设备做模拟攻击测试。每季度对客户现网中部署的安全设安全设备配置检备进行有效的安全配置和日志分查和日志分析析,找出设备存在的安全威胁,并形成日志分析报告。安每季度对用户核心服务器群的安全核心服务器配置配置和日志进行分析备份,指出用全检查和日志分析户核心服务器群所存在的风
5、险和问巡题所在。检每季度对新拟上线的系统(含重大 新系统上线修改的系统)进行漏洞扫描及安全配置检查,找出不合规的配置项,安全检测形成报告并提供整改方案,通过安全检测后系统方可上线使用。每季度对现有的网络架构进行分次/年11次 / 年23次/年4次/年4次/季4次/季4次/年4括协助做好安全专项检查工作,协助用户跟进安全项目建设等。具体培训课程根据实际情况商议。提供培训课件及培训记录材料网络架构分析析,对存在的故障隐患点、不合理节点等进行建议整改。重大 节假 日和 活在重大节假日和活动前对全网进行动前安全巡检全面的安全检测。次 / 年4次 / 年不根据实际情况限协商。根据每季度的系统安全巡检评估结评果,提供整改方案,指导用户对存估信息安全风险评在安全威胁的服务器、网络设备、次 / 年4加估和安全加固数据库、Web应用等进行安全加固,固包括系统漏洞、配置、木马等威胁加固。制协助制订完善用按照等保标准和国家、省、市有关度电子政务信息安全制度,协助招标根据实际情况户信息安全相关次 / 年1制单位制订符合本单位实际使用情况协商。的制度订的信息系统安全管理制度。
常见信息安全服务内容描述参考
