区政府网站-等保及安全运维方案

区政府网站

等级保护预评估及安全运维

服务方案

目录

1公司简介 (4)

1.1服务范围 (4)

2杨浦区网站安全现状 (5)

2.1目的 (5)

2.2目标 (6)

一、等级保护部分 (6)

3等级保护服务概况 (6)

3.1等级保护建设模式 (6)

3.2等级保护建设目标 (7)

3.3等级保护防御建设 (8)

4等级保护实施的依据 (9)

5等级保护服务内容 (10)

6等级保护服务交付物 (11)

二、检测及运维服务部分 (13)

7杨浦区网站安全检测方案 (13)

7.1安全检测工作流程 (14)

7.2网站故障分析机制 (15)

7.3安全检测服务项 (16)

8杨浦区网站安全运行维护服务 (17)

8.1安全运维服务概述 (17)

8.2安全运维服务架构 (18)

8.3安全运维服务方式 (20)

8.4安全运维计划 (21)

8.5杨浦区安全运维服务交付物定义 (23)

9杨浦区安全运维组织保障 (25)

9.1运维组织结构 (25)

9.2岗位职责定义 (26)

10杨浦区安全运维规范保障 (28)

10.1络安安全服务流程 (28)

10.2安全运维操作规范 (29)

11杨浦区安全运维沟通机制 (29)

12杨浦区安全运维服务质量控制 (31)

12.1项目质量控制任务 (31)

12.2项目质量控制实施 (31)

13杨浦区技术移交计划 (34)

附件一：等级保护咨询服务报价 (1)

附件二：浦区安全运维服务报价 (3)

附件三：杨浦区可选产品报价 (8)

1公司简介

上海络安自2008 年03 月份起进入信息安全服务领域，在短短的几年发展过程中，络安公司陆续参与了工信部统一安全接入试点、国家60 周年庆信息安全保障、上海世博会信息安全保障应急响应支撑等工作，并取得国家科技部、发改委及市经信委等项目基金的支持。目前与国家信息安全工程技术研究中心共同合作成立的‘网络恶意攻击行为研究实验室’，更为政府单和企事业单位提供长期有效的网络信息安全防护支撑。

上海络安严格遵循ITIL/ISO27001/ISO27002/ISO27005 国际管理和实践标准，集网络安全技术、产品和综合安全运维服务为一体，向客户、合作伙伴提供增值、全面、完整的安全运维和托管服务。并致力于为政府单位和企事业单位提供长远的、有效的信息服务解决方案，按需求提供高效的网络系统运维服务，不断降低政府单位的政务信息系统运行的风险水平。上海络安正在快速发展成为拥有强大的后端技术支持平台、严格遵循服务流的工程团队、完善的监控服务的以提供全面IT 咨询与网络运维服务为主的高科技企业。

1.1服务范围

针对信息系统的安全测试。如脆弱性评、渗透测试、源代码安全性检测及压力测试等。

信息系统安全集成。如安全管理中心的建设、访问控制系统的部署等

信息系统风险管理。如安全评估、风险处置、安全加固、安全审计等。

整体信息安全系统规划和建设、信息安全策略及作业规程制定、信息安全标准合规整改。

信息安全事件和事故紧急响应。如应急预案的制定、应急技术支持、应急响应培训。

业务连续性计划开发和实施。包括信息数据备份与回复、数据容灾建设、数据迁移。

网站群 7*24*365 安全监控服务。拥有自主知识产权的安全监控平台。

依托 IDC 中心为用户提供的高质量托管及运维服务。

服务资质

2008 年公司获得高新技术企业和双软件企业证书；

2009 年获得工信部（工信部协[2009]42 号）互联网安全接入试点工作的上海市试点 工作任务承担单位；

2009 年获得上海世博会信息安全保障应急响应支撑单位；

2010 年获得工信部颁发的计算机信息系统集成资质

2010 年荣获上海世博会信息安全保障工作优秀集体（唯一一家企业单位）

2010 年公司荣获上海市创新型企业称号

2010 年公司获得工信部颁发的信息安全应急处理服务资质

2010 年公司获得中国信息安全测评中心颁发的信息安全服务资质

服务资质证书

2杨浦区网站安全现状

杨浦区门户网站作为用户对外沟通的重要载体，其已经成为区政府及其部门发布区政府信息、提供在线服务、与公众互动交流的重要平台和窗口。在提高区行政效能、提升区政府公信力等方面发挥了重要作用。

杨浦区网站群的安全在电子政务网站的实际运行中，有一定的成效，但仍存在着技术防护手段、安全管理机制和安全运行维护体系方面的木桶短板。信息安全形势依然不容乐观。

互联网黑色产业链的行程和逐渐壮大已经成为网络安全必须面对的问题。而且数以万计的国际黑客和间谍对政府网站的攻击丝毫未有减弱。

根据上海市网络与信息安全协调小组办公室（简称“沪网安办”）关于进一步做好政府网站安全管理试点工作的通知，即沪网安办（2012）4号文。同时根据《上海市政府网站安全保障指南》，要求各单位做好技术防护、安全管理机制和安全运行维护的有效结合。

2.1目的

通过对杨浦区网站进行关于可用性、性能和安全性方面的综合检测，发现杨浦区网站建设过程中在系统改造、技术升级和运行维护中存在的安全弱点。以便在技术防护、安全管理和运行维护方面采取针对性的措施。切实保障杨浦区网站的安全和可靠的运行。

2.2目标

通过采用技术检测手段和现场访谈及审计，发现杨浦区门户网站安全防护措施的缺失，及时提供检测和防御措施。实现“五防”即防攻击、防挂马、防篡改、防瘫痪、防泄密。以下通过二大方面等保服务（管理层面）、运维服务（技术层面）予以实现。

一、等级保护部分

3等级保护服务概况

3.1等级保护建设模式

基于政府行业的实际需求,根据当前政府单位的信息运行环境和等保等级相应的对信息系统保护能力的要求。首先，将政府单位的当前现状通过调研工作深入了解；其次，根据等级保护在管理方面和技术方面的基本要求，找出当前信息环境中存在的差距；最后，在获得客户的客观需求和要符合国家政策和标准的要求后，开始计划等级保护方案的设计。

等级保护在技术体系方面包括五大方面的基本要求：分别是物理安全、网路安全、应用安全、主机安全和数据安全。

等级保护在管理体系方面也包括五方面的基本要求：分别是安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理。

通过信息安全管理方针、目标、策略、规程的开发和制定。逐步让政府信息系统的运行和维护符合国家对信息安全保障能力的要求。络安的等级保护建设模式如下图所示:

3.2等级保护建设目标

等级保护的建设目标就是通过在技术体系和管理体系的完善和加强后，使信息系统的防护能力达到相应的国家等级保护的要求。关于等级保护的基本要求如下如所示：

3.3等级保护防御建设

根据国家等级保护的安全设计要求。络安将帮助政府行业客户建设由安全管理中心统一管理,分别由通信网络、区域边界和计算环境组成的三层防御体系。如上图所示：等级保护建设流程

络安将完全参与到政府行业客户信息安全等级保护建设中，参与等保建设的各个环节。

各单位的信息等级工作已经于2008 年基本完成。4 级以下的等保定级由政府单位自主定级。

四级及以上信息系统的定级方案需要国家信息安全评审委员会的评审。

络安将参与等保建设中的等保整改、安全威胁分析、等保方案的设计和安全体系的

部署并在测评期间配合测评结构完成对信息系统对象的测评工作。等保建设流程如下图所示：

4等级保护实施的依据

《中华人民共和国计算机信息系统安全保护条例》

《国家信息化领导小组关于加强信息安全保障工作的意见》

《关于信息安全等级保护工作的实施意见》

《信息安全等级保护管理办法》

《信息安全技术信息系统安全等级保护实施指南》

《信息安全技术信息系统安全等级保护定级指南》

《信息安全技术信息系统安全等级保护基本要求》

《信息安全技术信息系统安全等级保护测评要求》

《信息安全技术信息系统安全等级保护测评过程指南》

《计算机信息系统安全保护等级划分准则》

5等级保护服务内容

上海络安通过自身的安全产品、安全服务，可协助用户完成等级保护各个阶段的建设，确保用户严格按照等级保护的过程规划并建设自己的安全保障体系，更好地支撑应用和业务的开展，具体服务内容如下：

6等级保护服务交付物

二、检测及运维服务部分

7杨浦区网站安全检测方案

使用络安的webcare 网站群警戒系统实现以下要求：Webcare安全预警平台，可以7×24小时远程网站预警服务，通过不间断的远程值守，为用户网站提供远程性能监测、安全检测、实时响应和可用性报警，大大降低了网站出现性能、安全故障的风险，有效提升了工作效率。

7.1安全检测工作流程

络安采用基于B/S架构的网站群监测平台执行政府网站安全检测工作，以部署在英特网的探测节点对用户网站群进行监控，无需在用户内部网络部署任何硬件设备，其工作流程如下图：

图2.1-1：网站群安全检测平台工作流程7.2网站故障分析机制

图2.2: 网站故障分析机制7.3安全检测服务项

8杨浦区网站安全运行维护服务8.1安全运维服务概述

关于安全运行维护服务的描述，请参考表3-1：

8.2安全运维服务架构

针对杨浦区政府和事业单位各部门电子政府建设和发展的实际现状，上海络安根据国家信息安全等级保护建设的相关标准和上海市网安办的相关通知。为上海市各杨浦区的门户网站量身定制了安全运维的一套服务。具体架构如下：

图3.2-1: 常态型服务架构

图3.2-1描述的服务为周期性提供的安全运维服务。旨在巩固安全状态和减少风险，通过发现问题并及时采取措施来解决问题，从而达到管理网站所面临的风险的服务过程。

络安提供上述两种服务外，还提供一种补充性的服务即按需服务。指针对杨浦区门户网站安全环境建设的需要和需要技术支撑时能及时予以提供的服务。这种按需提供性的服务同样由

四部分构成，具体参见图3.2-2：

图3.2-2：常态型服务架构

8.3安全运维服务方式

图3-3：安全运维服务方式

在安全运维的实施工作中，将充分以专业安全检测和预警工具为支撑，以人工分析、验证和响应为辅助，再加协助用户集成必要的安全防护系统。调试和优化安全系统策略和性能，从