信息安全运维方案v2.docx

信息安全运维方案

TOC\o1-4\h\z\u1信息安全运维方案 1

1.1运维服务资源 1

1.2信息安全运维方案服务方式和内容 2

1.3信息安全运维服务 5

1.3.1信息安全运维服务流程 5

1.3.2安全预警 5

1.3.3安全监控 6

1.3.4安全设备管理 8

1.3.5安全策略管理 10

1.3.6安全事件管理 11

1.3.7安全检查 13

1.3.8安全加固 14

1.3.9信息安全运维报告 16

1.3.10其他服务 17

1信息安全运维方案

1.1运维服务资源

本次项目所涉及的主要信息安全运维资源如下表所示：

序号

网络范围

包含设备

总计设备

数量

1

业务网

安全设施设备：防火墙2台、入侵检测1台、杀毒软件1套、数据库审计1套、漏洞扫描1台、日志审计1台、。

7

2

专网

包括防火墙4台、入侵防御1台、综合审计1台、综合威胁分析系统1台、光闸2台、网闸2台、流量传感器1台、态势感知1台。

13

5

互联网

防火墙2台、入侵检测1台、杀毒软件1套、数据库审计1套、漏洞扫描1台、日志审计1台、。

7

备注：安全运维资源包含本次项目范围内的所有安全资源设施。

1.2信息安全运维方案服务方式和内容

我司按照运维服务要求，配备现场驻场运维团队；按项目需求配备足够数量的专人进行信息安全运维。

服务方式包括：提供5×8小时现场人员响应，非工作时间进行手机值班和服务热线支持；节假日和特殊情况还应提供7×24现场人员响应。日常主要包括但不限于以下服务内容：

（一）资产梳理

收集和梳理数据中心信息化资产信息，并建立归档。根据梳理排查情况及甲方提供的服务功能、设备等信息，编制设备资产表。设备资产表包括型号、数量、配置、功能、主机名称、IP地址、位置等信息。有调整和变动时立即更新。

（二）安全预警

服务期内每周一次以报告形式向甲方公布常规漏洞通报，内容包括国内外权威漏洞发布公开站点为主要数据源的安全漏洞信息（如CVE、NVD、Bugtraq、CERT等）。重大安全漏洞或事件时，实时向甲方通报事件预警，提供防护或规避建议。

（三）安全监控

根据持续关注客户网络、系统运行情况，一旦发生安全事件后，及时分析安全系统及设备的事件日志，进行事件的追踪定位。

根据收集到的信息，整理分析后形成安全运维监测项识别每个监控对象探测到的事件（威胁）的来源、影响和重要性，综合分析所有监控对象探测到的事件及系统产生告警日志，形成分析报告并定期报告给用户；对于触发到应急预案的安全事件，则按照应急事件处理流程执行。

（四）安全设备管理

根据安全运维范围，工作日早晚各一次，对项目范围内的所有在运行的安全系统及设备进行巡检，如：对设备的物理运行情况、清洁情况、系统运行情况、系统资源利用情况、系统运行日志、相应功能是否正常运行等进行检查并记录，排除可能存在的安全问题和隐患。

定期对设备配置、日志进行备份。

在安全设备故障处理过程中的所有协调配合及总结报告工作。

（五）安全策略管理

根据运维工作需要，对安全设备自身的配置进行变更调整，如登录口令、登录方式、密码复杂度等设备运维策略；

定期（如：每月）对安全设备业务访问策略进行梳理分析，发现过期、冗余、无效、不明确用途等策略，根据分析结果提供优化调整建议；

配合客户业务系统部署与调整，从安全角度给出部署建议，制定和更新安全设备的防护、检测策略。

（六）安全事件管理

在发现或发生安全事件后，驻场运维工程师先行判断分析，进行汇报、跟踪、处理、总结、记录、汇报等工作。

（七）安全检查工作

根据安全运维范围，驻场运维工程师利用工具定期对客户信息系统进行漏洞扫描和配置检查，检测现有安全措施是否有效；为客户内部的各种迎检及对外检查工作提供技术支持。

（八）安全加固

针对安全漏洞事件，收集加固方法及验证方法，协助相关供应商运维人员进行漏洞修复。

针对网络攻击事件，根据《事件名称安全事件处理报告》，收集相应加固方法及验证方法，协助相关供应商运维人员进行加固。

针对事件处理过程中发现的安全策略配置问题进行修正、加固。

针对安全检查工作结果，为相关供应商运维人员提供问题清单、加固建议，并协助其进行加固。

加固后应进行复测验证，确保加固有效。

（九）安全应急响应

提供网络安全应急响应服务，在发生安全事件时提供现场（驻场运维工程师）/远程技术支持（公司技术专家），依据事态情况派驻技术专家赶往现场处理，面向已发生安全事件的事中、事后的取证、分析及提供处置、解决方案、建议等工作。具体内容如下：

? a.判定安全事件类型

从网络流量、系统和IDS日志记录、桌面日志中判断安全事件类型。查明安全事件原因，确定安全事件的威胁和破坏的严重程度。查明安全