（一(yī)）滲透測試服務

1）    滲透測試是什麽

模拟黑客入侵的方式，使用專業工(gōng)具和人工(gōng)測試相結合的方法，對目标信息系統進行可控的模拟攻擊測試，獲取目标系統控制權限或找出系統的安全短闆，以此評估目标系統的安全性。

2）    滲透測試的好處

能夠通過識别安全問題來幫助一(yī)個單位理解當前的安全狀況。以期發現和挖掘系統中(zhōng)存在的漏洞，然後輸出滲透測試報告，并提交給網絡所有者。網絡所有者根據滲透人員(yuán)提供的滲透測試報告，可以清晰知(zhī)曉系統中(zhōng)存在的安全隐患和問題。

3）    實施滲透測試的時間

安全漏洞伴随着信息系統的整個生(shēng)命周期，發現漏洞，整改等工(gōng)作是一(yī)項長期工(gōng)作，所以實施滲透測試應該定期進行，推薦一(yī)年兩次。

（二）本地安全檢測

1）本地安全檢測是什麽

登錄到被檢測對象，通過運行系統命令、安全檢測工(gōng)具和檢測腳本等方式對網絡設備、服務器系統、應用服務平台、數據庫系統等進行人工(gōng)安全核查。

2）本地安全監測的好處

網絡設備檢測内容主要包括安全配置、啓用的功能、開(kāi)放(fàng)的服務等；服務器系統檢測内容主要包括系統惡意代碼、系統安全防護措施、補丁和安全設置、系統安全策略檢查等；應用服務平台檢測主要包括安全策略、權限設置、版本和補丁等；數據庫系統檢測主要包括賬戶策略、資(zī)源權限、審核功能、版本和補丁等，輸出安全監測試報告。

3）實施本地安全監測的時間

系統安全運維要求定期有針對性的優化完善安全策略，修複安全漏洞。所以推薦每年一(yī)次本地安全監測。

（三）安全漏洞檢測

1）安全漏洞監測是什麽

在信息化建設中(zhōng)，各類應用系統及其賴以運行的基礎網絡、處理的數據和信息，由于其可能存在的軟硬件缺陷、系統集成缺陷等，從而導緻不同程度的漏洞。

2）安全漏洞監測的好處

我(wǒ)們針對對業主的設備、系統進行工(gōng)具和人工(gōng)驗證以期望發現主機、web應用等方面的漏洞。

3）實施安全漏洞監測的時間

随着網絡系統遭受的安全攻擊越來越平凡，建議每年四次。

（四）安全加固

1）安全加固是什麽

安全加固主要包括對業主系統的安全策略加固、安全補丁加固。其中(zhōng)安全策略加固：過對操作系統、網絡設備、應用系統及中(zhōng)間件的基線進行檢查、審核、測試和驗證，結合安全處置原則，合理進行安全策略加固。

2）安全補丁加固的好處

實施安全補丁加固可以安全有效地修複系統漏洞，避免出現沒有驗證補丁安全而導緻系統崩潰的情況出現。我(wǒ)們嚴格按照通過測試（需用戶提供測試環境）漏洞補丁，待補丁驗證通過後，實施的工(gōng)作流程。

3）實施安全補丁加固的時間

近年來安全狀況越來越複雜(zá)，廠商(shāng)發布系統補丁的頻(pín)率越來越高，爲了保證系統的安全、穩定。建議安全補丁加固每年四次。

（五）駐場服務

1）駐場服務是什麽

爲了确保業主方相關設備完好，運行正常。常見的工(gōng)作内容包括：定時對設備的巡檢，機房的巡檢，機房配套設施的巡檢，機房出入人員(yuán)的鑒别，應急事件的相應等。

2）駐場服務的好處

業主更多的時間、精力都放(fàng)在自身業務方面，對信息化的日常運維工(gōng)作難免力不從心。駐場運維商(shāng)十分(fēn)關注不斷變化的技術，安全趨勢能提供更全面的安全服務，保障業務的安全性和穩定性。

3）實施駐場服務的時間

駐場服務商(shāng)越早到駐場單位可以更全面了解業務系統的開(kāi)發目的以及安全目标，建議沒有專業技術人才支撐的單位都由專業的駐場服務單位來提供服務。

（六）安全設備運維

1)安全設備運維是什麽

安全設備運行狀況的檢查，安全設備策略的有效性驗證，安全設備的安全策略的優化、授權是否過期等。

2）安全設備運維的好處

安全設備運維可以由運維單位提供設備維護、備件支撐服務等，當核心安全設備發生(shēng)故障時，可以進行及時響應解決故障，保證系統的連續運行。

3）實施安全設備運維的時間

業務系統正常運行時，安全設備運維服務就應該啓動。

（七）安全運維服務

1、安全運維服務是什麽

網絡運維、桌面運維、安全運維

（1）網絡運維，

1)網絡運行監控，監控網絡環境的性能狀态、變化趨勢、網絡設備運行狀态，發現系統報警并上報處理。

2）.網絡接入管理，①網絡接入的實施、配置；②設備和終端接入網絡的實施、配置。

3）網絡定期巡檢，①網絡設備性能檢查、設備日志(zhì)分(fēn)析等。②巡檢頻(pín)率：1次/月。

4）網絡故障排除，網絡故障響應、排查、診斷和處理。

5）網絡調整優化，網絡結構、網絡設備及網絡配置的調整。

6）網絡配置管理，網絡配置及IP地址、帶寬、端口等資(zī)源使用情況管理。

7）網絡資(zī)産管理、桌面運維、安全運維，網絡設備資(zī)産清點、标識、建立并維護資(zī)産清單。

（2）桌面運維

1）桌面巡檢：①确認監控工(gōng)作站運行狀态；②檢查網絡通訊、應用軟件是否正常；③定期對工(gōng)作站進行清潔維護；④巡檢頻(pín)率：1次/季度。

2）應用支持：①解決用戶終端操作問題；②常用軟件安裝。

3）故障排除：終端故障響應、排查、診斷和處理。

4）硬件更換：對發生(shēng)故障的信息終端進行故障定位和設備更換（不含更換硬件的采購）。

5）系統優化：對用戶終端軟件進行調整優化。

6）資(zī)産管理：清點終端資(zī)産，建立并維護資(zī)産清單。

（3）安全運維

1）安全設備巡檢：①監控安全設備的性能狀态，檢查安全設備是否工(gōng)作正常；②巡檢頻(pín)率：1次/15天。

2）安全設備配置管理：安全策略建立、測試、更改及備份管理。

3）安全事件處置：①對關鍵安全設備進行日志(zhì)分(fēn)析和設備運行狀況檢查；②對安全事件進行響應支持，提供應急響應、安全保障；

4）資(zī)産管理：梳理安全設備資(zī)産，建立并維護資(zī)産清單。

2、安全運維的好處

運維單位每季度出具一(yī)份運維季報，就面臨的風險進行預判，提供設備維護、備件支撐服務等，當核心設備發生(shēng)故障時，可以進行及時響應解決故障，保證系統的連續運行。

3、實施安全運維服務的時間

業務系統正常運行時，安全運維服務就應該啓動。

（八）特殊時期現場值守服務

1）特殊時期現場值守服務是什麽

諸如：“兩會”、“安全周”等時間段，提供如下(xià)的值守服務：

①.對用戶網絡設備、服務器進行漏洞掃描。

②.設備巡檢。

③.監控設備狀态。

④.一(yī)般故障處理。

⑤.重大(dà)安全事件上報。

2）特殊時期現場值守服務的好處

每次特殊時期，國内單位的信息系統遭受攻擊成倍增長，系統面臨的威脅很大(dà)。業主單位的技術能力有限，遭受攻擊時難恢複。采購特殊時期現場值守服務可以由專業技術人員(yuán)進行值守，對發現的攻擊事件進行響應，保障業務系統的正常運行。

3）實施特殊時期現場值守服務的時間

在特殊時期執行。

（九）應急響應服務

1）應急響應服務是什麽

出現緊急情況時的行動響應。編制有應急方案，對一(yī)旦出現緊急情況時人員(yuán)行動作出規定，有秩序的進行救援，以減少損失。所以應急方案實際就是一(yī)個程序，應符合本單位實際，必須有可操作性，有很強的針對性。

2）應急響應服務的好處

應急響應服務提供一(yī)個合理的救援流程響應，可以對網絡入侵、拒絕服務攻擊、大(dà)規模病毒爆發等安全事件提供應急響應服務。服務過程中(zhōng)提供應急響應服務報告，不斷完善業主單位應急保障制度。

3）實施應急響應服務的時間

應急響應服務是系統面臨系統遭受安全攻擊時的一(yī)種有效地安全補救措施，所以系統在建設階段就啓動。建議每年進行。

（十）業務連續性咨詢

1）業務連續性咨詢是什麽

首先業務連續性是計算機容災技術的升華概念，一(yī)種由計劃和執行過程組成的策略，其目的是爲了保證企業包括生(shēng)産、銷售、市場、财務、管理以及其他各種重要的功能完全在内的運營狀況百分(fēn)之百可用。可以這樣說，業務連續性是覆蓋整個企業的技術以及操作方式的集合，其目的是保證企業信息流在任何時候以及任何需要的狀況下(xià)都能保持業務連續運行。

2）業務連續性咨詢的好處

業務連續性咨詢就是要提供覆蓋全企業的業務連續、穩定方面的咨詢，提供可操作、安全的咨詢方案。

3）實施業務連續咨詢的時間

業務是單位生(shēng)産過程的重要支撐，那麽業務連續性的作用變得尤爲重要，建議在系統立項時就進行業務連續咨詢。

（十一(yī)）安全應急體(tǐ)系建設咨詢

1）安全應急體(tǐ)系建設咨詢

被咨詢方将根據業主的單位性質，信息系統防護等級提出針對系統可操作咨詢方案建立一(yī)套完成的應急響應體(tǐ)系。

2）安全應急體(tǐ)系建設咨詢的好處

爲強化應急管理，有效防止事故擴大(dà)，消除或降低事故影響。

3）實施安全應急體(tǐ)系建設咨詢的時間

随着企業對信息化的重視，信息化對于生(shēng)産變得越來越重要，安全應急體(tǐ)系是信息系統的保護神可以在危急時刻對系統進行補救，建議在這個系統生(shēng)命周期裏做咨詢服務。

（十二）雲計算安全咨詢

1）雲計算安全咨詢是什麽

主要針對雲平台安全隐患提供解決辦法，使得雲計算處于相對安全的地步，後續的安全投入也有序進行。

2）雲計算安全咨詢的好處

雲計算安全咨詢可以優化應用配置，對平台構建漏洞、可用性、完整性進行整合。解決SSL協議及部署缺陷和雲數據中(zhōng)的非法安全訪問許可，出具咨詢報告。

3）實施雲計算安全咨詢的時間

雲在建設初期的規劃就要進行安全咨詢，做到資(zī)源合理整合，減少不必要的投入。

（十三）工(gōng)控系統安全咨詢

1）工(gōng)控系統安全咨詢是什麽

工(gōng)業控制系統采用通用設備與操作系統，存在大(dà)量危害性大(dà)的漏洞；同時廠家補丁發布周期長、用戶偏重運行穩定性，漏洞修複嚴重滞後，容易造成遠程攻擊、指令攻擊、越權執行等安全事故，甚至生(shēng)産設備損壞。

2）工(gōng)控系統安全咨詢的好處

工(gōng)控系統安全咨詢将從系統可用性、連續性以及安全性找到平衡點以達到系統的相對安全。出具權威的咨詢報告，報告對建設中(zhōng)的資(zī)金投入以及安全建設目标進行量化。

3）實施工(gōng)控系統安全咨詢的時間

在建設初期的規劃就要進行安全咨詢，做到資(zī)源合理整合，減少不必要的投入。

（十四）信息安全規劃

1）信息安全規劃是什麽

網絡信息安全是一(yī)門涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論、信息論等多種學科的綜合性學科。它主要是指網絡系統的硬件、軟件及其系統中(zhōng)的數據受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、洩露，系統連續可靠正常地運行，網絡服務不中(zhōng)斷的規劃。

2）信息安全規劃的好處

信息安全規劃是從系統可用性、連續性以及安全性找到平衡點以達到系統的相對安全。出具權威的咨詢報告，報告對建設中(zhōng)的資(zī)金投入以及安全建設目标進行量化。

3）實施信息安全規劃的時間

在建設初期的規劃就要進行安全咨詢，做到資(zī)源合理整合，減少不必要的投入。