信息系統安全運維服務精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的信息系統安全運維服務主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：信息系統安全運維服務范文

作為政府部門的對外服務窗口，政府網站隨著電子政務的不斷發展，正在扮演著愈來愈重要的角色。同時，網站作為組織信息系統的一種邊界，與生俱來就是外部攻擊的首選，其面臨的安全形勢在智慧城市建設階段更為復雜嚴峻。2011年底，國務院辦公廳和工信部分別了《關于進一步加強政府網站管理工作的通知》（國辦函［2011］40號）和《委托開展政府網站安全管理試點工作的通知》（工信廳協函［2011］416號），要求提高政府網站的安全保障水平。據此，上海三零衛士信息安全有限公司在上海市網安辦的指導下，在前期參與信安標委《政府網站系統安全指南》國家標準和長期從事信息安全服務的基礎上，提出了“三位一體”的政府網站安全保障體系。

所謂“三位一體”，就是從“技術”、“管理”和“運維”三個方面來構建完整的政府網站安全保障體系，主要遵循信息安全“技術與管理并重”、“建設與運維并重”兩大原則。從現有的國家《信息系統安全等級保護基本要求》來看，也是分為技術和管理兩大類，技術類按信息系統的層次結構再細分，管理類則強調管理體系、建設管理和運維管理。因此，一個有效的信息安全保障體系不是安全產品的堆砌，而是需要建立完善的安全管理體系，并通過專業的安全服務來實現的。就目前政府網站的安全保障而言，管理體系主要應由政府網站主管部門負責，安全服務可以采用可控可信的服務外包的方式實現。

相關信息安全標準

目前，與電子政務相關的信息安全政策要求，主要有國家信息安全等級保護制度（2007年之后普遍開始推行）和工信部政府信息系統安全檢查（2009年起每年一次）兩項：前者是針對所有計算機和信息系統均需要實施的，主要參照《信息系統安全等級保護實施指南》和《信息系統安全等級保護基本要求》等國家標準，通過自查、測評和整改的方式落實；后者是針對政府部門的信息系統進行年度整體檢查，主要參照《政府信息系統安全檢查指南》，通過自查和監督的方式落實。具體來看，等級保護的相關標準是面向網絡信息系統的通用技術架構（物理環境網絡主機應用數據）來設置的，并沒有體現網站類信息系統特有的體系架構（如IIS、Apache等Web應用服務，網站腳本源代碼等），在管理要求上也缺乏對網站運行中普遍的托管、外包和內容等控制條款，而政府信息系統安全檢查中與網站直接相關的檢查項更是寥寥幾筆。

在美國NIST（國家標準和技術研究所）的SP800系列（關于計算機安全的特殊出版物）中，有一份專門針對公共服務網站的安全指南：SP800-44（Guidelines on Securing Public Web Servers）。該指南從網站服務器的規劃和管理、網絡基礎設施安全、操作系統安全、Web服務安全、Web內容安全、認證和加密、運維管理等方面提出了安全要求，并提供了一套非常翔實實用的檢查表，已作為聯邦政府部門和機構實施網站安全保障的推薦標準。

由此可見，目前國內并沒有完全針對政府網站這類電子政務信息系統的信息安全標準，而國外的SP800-44所提供的詳細的安全規范，還需要和等級保護制度、電子政務管理辦法等國情相結合，這也是信安標委進行相關標準研究和工信部開展相關試點的原因。目的是希望能研究制定適合我國各類各級政府網站的信息安全保障標準，從而切實指導政府網站的建設、運行和管理，提高政府網站防篡改、防病毒、防攻擊、防癱瘓、防泄密能力。

為政府網站安裝保障之門

“三位一體”的政府網站安全保障體系是基于《信息系統安全等級保護基本要求》國家標準，并結合SP800-44和國內信息安全服務企業的最佳實踐提出來的，由技術防護、管理機制和運行維護三大部分組成，共計16個控制點，下圖給出了本體系結構以及與等級保護、SP800-44的對應關系。事實上，該體系不僅適用于政府網站，對于其他服務性和商業性網站同樣可以參照使用。

安全技術防護

技術防護部分主要基于等級保護的系統分層概念和IATF（信息保障技術框架）縱深防御理念，給出了網站基本架構，如下圖所示。為保證網站安全各相關方語義上的一致，這里的網站基本架構統一將網站系統分為網站基礎設施、網站應用系統和網站數據三大層次，事實上不同層次的安全保障手段也各不相同。

基于這一基本架構，就要求在各層面均滿足安全保障的基本要求。首先，應在網絡邊界部署防火墻、入侵防護和檢測等安全網關產品；其次，應將不同的服務器部署在不同的安全區域，并采用合適的隔離措施，保證服務器操作系統和網站系統平臺滿足最小安裝原則；第三，針對網絡及安全設備、服務器操作系統和網站系統平臺、網站管理平臺等，均需要建立身份鑒別、訪問控制和安全審計三大安全技術措施；最后，針對網站數據庫文件、系統日志文件、設備配置文件和安全審計記錄等數據，應采取有區別且合適的備份策略，確保數據可用性和業務連續性。

除了上述基本要求，針對網站系統特定的技術架構，還需要根據實際情況，部署網頁防篡改、防拒絕服務攻擊、Web應用防火墻、遠程加密維護、管理終端IP地址限制等安全設備或安全機制，并充分考慮網站帶寬、鏈路冗余、訪問流量和連接數等可用性指標。

安全管理機制

等級保護中對信息安全管理的要求，基本是基于ISO27K的要求，并結合國情增加了建設安全管理和運維安全管理的內容，重點是建立完整的信息安全管理體系，落實各項信息安全管理制度。本體系在此基礎上針對政府網站管理的實際情況：在管理責任方面，分別明確了安全責任部門和內容審核部門；在管理制度方面，強調了對網站建設、運維、內容保障、應急預案和服務外包（含托管）的要求。上述管理機制和管理制度，將通過各部門自身的培訓考核、年度信息安全檢查、定期等保測評和整改等方式予以落實。本次試點工作中，上海市還提出了政府網站開辦備案和實名認證的兩項管理機制，目的在于統一管理和避免政府網站仿冒釣魚。

安全運行維護

運行維護是任何信息系統生命周期中耗時最長、投入最大的階段，但受制于以往信息化工作“重建設、重產品”指導思想的慣性，信息系統擁有者對長期運行維護及專業人力投入的理解還不深刻，等級保護和政府信息系統安全檢查中也沒有專門涉及安全運維的要求。

因此，本體系特別增加了這一大類的保障要求。一方面，在網站的日常運維中，要求通過“準實時”的監控平臺監控網站的安全性和可用性，要求通過定期的本地安全檢查確保網站各層面的配置安全，通過定期的網站安全掃描及時發現并修復安全漏洞，并將網站源代碼掃描和滲透性測試也列為運維工作的“規定項目”。另一方面，在網站的應急管理中，要求針對網站癱瘓、網頁篡改或掛馬、DDOS攻擊、域名劫持、信息泄漏等重大事件建立應急預案，明確事件級別和啟動條件、應急處置流程和系統恢復時限，并定期進行演練和修訂。

值得注意的是，本體系在關注網絡信息系統安全的同時，還特別關注了服務外包的安全。針對政府網站設計、開發、部署和運維中普遍的信息技術服務外包（可以理解為ITO），重點應在服務合同中明確安全責任、服務內容、服務方式和服務級別，并要求網站安全責任部門對外包方的資質、人員、流程、工具和文檔等服務要素進行安全管控。針對政府網站內容編輯和的服務外包（可以理解為BPO），也要求網站內容審核部門通過加強審核進行安全管控。

讓信息安全“總體可控”

第2篇：信息系統安全運維服務范文

（1.國網河北省電力公司電力科學研究院，河北 石家莊 050021；

2.國網天津電力公司電力科學研究院，中國 天津 300384）

【摘要】本文通過研究信息安全基線技術，提出在信息安全基線理論基礎上建立安全配置自動化核查的方法和步驟，制定了統一的安全配置規范，形成了一套針對企業快速、有效的信息系統安全配置核查系統，解決了困擾信息運維人員的難題。

關鍵詞 安全；基線；配置；核查

0　引言

近年來，隨著電力行業飛速發展，以網絡、計算機自動控制技術為代表的信息技術已滲透到電力生產、經營的各個方面。隨著網絡規模日益擴大，重要應用和服務器的數量及種類日益增多，傳統的被動式安全防御模式已經很難適應當前信息化發展水平。統計表明，安全事件中19.4%的攻擊是來自于利用系統配置錯誤，15.3%是利用已知的系統漏洞。事實證明，絕大多數的網絡攻擊事件都是利用廠商已經公布而用戶未及時修補的漏洞和產品不安全的配置[1]。

國網河北電科院采用專業的信息系統安全漏洞掃描系統，形成了初步的漏洞管理解決方案。但是針對信息系統配置合規性方面，還沒有形成統一的標準來規范運維人員和督查人員的操作行為，無法滿足企業信息系統上線安全檢查、第三方設備入網安全檢查、日常安全檢查的業務需求。面對不斷增加的信息設備，如何完成系統配置合規性檢查和修復，成為一個急需解決的問題。

1　信息安全基線技術

1.1　信息安全基線定義

顧名思義，“信息安全基線”（以下簡稱安全基線）概念借用了傳統的“基線”概念。字典上對“基線”的解釋是：一種在測量、計算或定位中的基本參照。如海岸基線，是水位到達的水位線[2]。安全基線是一個信息技術環境下的一組正式的最小安全需求規格集。

1.2　安全木桶理論

“木桶理論”其核心內容為：一只木桶盛水的多少，并不取決于桶壁上最高的那塊木塊，而恰恰取決于桶壁上最短的那塊。在信息安全建設中， “短板”的長度決定了組織整體安全狀況，而安全基線正是決定組織整體信息安全程度的那個“木桶中的最短板”。類比于“木桶理論”，可以認為安全基線就是安全木桶的最短板，或者說，是最基本的信息安全要求。

1.3　國內安全基線理論的研究

1999年，公安部組織起草了國家強制性標準《計算機信息系統安全保護等級劃分準則》，該標準將計算機信息系統安全保護能力劃分為用戶自主保護級、系統審計保護級、安全標記保護級、結構化保護級、訪問驗證保護級5個等級[2]。該標準的主要目的：一是為了計算機信息系統安全法規的制定和執法部門的監督檢查提供依據；二是為安全產品的研制提供技術支持；三是為安全系統的建設和管理提供技術指導。這個標準也成為國內信息安全建設的最基本基線。

1.4　國外安全基線理論的研究

美國FISMA（The Federal Information Security Management Act，聯邦信息安全管理法案）定義了一個廣泛的框架來保護政府信息、操作和財產來免于自然以及人為的威脅。FISMA在2002年成為美國電子政府法律的一部分，把責任分配到各種各樣的機構上來確保聯邦政府的數據安全。其提出了一個包含八個步驟的信息安全生命周期模型，這個模型的執行過程涉及面非常廣泛且全面，但實施、落地的難度也非常大[3]。經過一系列的研究和改進，延伸出SCAP協議（Security Content Automation Protocol），SCAP協議定義了一套安全基線庫，得以將FISMA的信息安全生命周期模型進行落地。SCAP的自動化安全基線理念最重要貢獻簡單總結在于：第一，制定安全基線；第二，通過工具化和自動化的方式落實。

2　系統目標

通過研究安全基線理論，開發建立安全基線配置規范和核查系統，實現安全基線配置規范化管理，能夠自動識別和掃描信息網絡中各類設備和應用系統的配置合規性，在此基礎之上對系統進行綜合評估，得出安全整改加固建議，提高業務系統的防護能力，提高信息系統的安全性和可用性。

3　系統設計

國網河北電科院信息系統安全配置核查系統建設充分吸收了安全基線技術理論經驗，嚴格遵循PDCA管理理念，分三個階段進行系統開發和實踐：

1）安全基線配置規范的建立：根據國家等級保護和國家電網公司信息安全管理要求以及業務系統防護需要，建立了符合企業實際需求的安全基線配置規范。規范包括AIX系統、Windows系統、Juniper防火墻、H3C網絡設備、Oracle數據庫、WebLogic中間件等20多種主流系統的安全配置檢查點、檢查標準和整改建議，形成了Checklist表格。

2）自動化檢查工具的開發：在安全基線配置規范的基礎上，開展了信息系統安全配置核查系統的開發，將規范中定義的檢查點和檢查方法以系統的形式加以體現，使得信息系統安全基線配置合規性檢查從手工檢查演進為自動化檢查的方式，可以同時進行多個設備和系統的配置檢查。

3）實踐和完善：在系統使用過程中，不斷總結使用經驗，發現系統存在的不足，進行系統完善。同時緊跟國家和國家電網公司新的安全管理要求，完善基線配置規范和核查系統。

4　系統功能框架

在研究和業務安全相結合的基準安全標準的基礎上，參考國內外的標準、規范，充分考慮了電網行業的現狀和最佳實踐，繼承和吸收了國家等級保護、風險評估的經驗成果，形成了一套基于業務系統的基線安全模型[4]，參見圖1：

基線安全模型以業務系統為核心，分為業務層、功能架構層、系統實現層等3層架構：

1）第一層是業務層，這個層面中主要是根據不同業務系統的特性，定義不同安全防護的要求，是一個比較宏觀的要求。

2）第二層是功能架構層，將業務系統分解為相對應的應用系統、數據庫、操作系統、網絡設備、安全設備等不同的設備/系統模塊，這些模塊針對業務層定義的安全防護要求細化為此層不同模塊應該具備的要求。

3）第三層是系統實現層，將第二層的模塊根據業務系統的特性進一步分解，將操作系統分解為Windows、Solaris等系統模塊，網絡設備分解為華為路由器、Cisco路由器等系統模塊。這些模塊把第二層的安全防護要求細化到可執行和實現的要求，稱為Windows安全基線，華為路由器安全基線等。

5　系統主要功能

開發的信息系統安全配置核查系統基于WEB管理方式，用戶使用瀏覽器通過SSL加密通道和系統進行信息交互，不僅方便用戶使用，安全性也得到提高。系統采用模塊化設計思想，將整個系統分為基礎平臺層、系統服務層、系統核心層、系統接入層。

5.1　基礎平臺層功能

基礎平臺層包含專用硬件平臺和基礎軟件平臺。專用硬件平臺采用經過優化的專用安全系統平臺，具有高安全性和穩定性?；A軟件平臺采用定制的操作系統、硬盤加密解密、應用程序加密解密、輸入輸出加密解密、內置數據庫、Web服務、程序運行環境等。

5.2　系統服務層功能

系統服務層主要包含數據處理引擎和系統服務引擎。數據處理引擎是系統內部的數據接口，提供了數據庫訪問、數據緩存、數據同步等功能。系統服務引擎是系統內部的功能接口，提供了系統還原點備份與恢復、任務數據導入導出等功能。

5.3　系統核心層功能

系統核心層是產品的核心，包含了基線配置常用的功能模板，具有較強的可擴展功能，主要包括調度引擎、狀態引擎、報表引擎等。調度引擎是掃描工作的協調中心，根據用戶選擇的立即執行的任務、定時執行的任務、周期執行的任務等。狀態引擎是系統狀態的協調中心，包含系統資源狀態、任務執行進度、升級進度信息等。報表引擎主要用于處理報表展示，能夠提供HTML、WORD、EXCEL、PDF等多種報表格式。

5.4　系統接入層功能

系統接入層主要用于與用戶的信息交流，包含了用戶訪問的Web頁面、系統訪問控制臺、數據接口等。

6　結束語

通過安全基線技術研究與應用建設，很好地解決了國網河北電科院信息在信息系統安全配置方面的薄弱環節，系統投入使用后，效果明顯，查找出了應用系統配置存在的問題，并參考信息系統安全配置核查系統提供的整改建議在被惡意用戶攻擊造成損失之前主動發現應用系統的漏洞并完成修補；形成了安全基線配置規范，統一了運維人員操作標準，提升了運維人員工作效率和工作水平，從而提高了信息系統的整體的安全性。安全配置核查系統的應用是一個逐步完善提升的過程，需要依據業務系統安全防護需求的變化不斷完善配置核查標準，使之適應不斷變化的信息安全形勢。

參考文獻

［1］王羅惠.基于Rails的軟件安全漏洞分析管理工具的設計與實現[D].西安:西安電子科技大學,2008:7.

［2］桑梓勤.電信運營企業的安全基線與等級保護[J].電信網技術,2007,9:5-6.

［3］桂永宏.業務系統安全基線的研究及應用[J].計算機安全,2011,10:23.

第3篇：信息系統安全運維服務范文

為了全面貫徹落實信息安全等級保護制度，公安部會同有關部門在全國范圍內組織開展了信息系統安全等級保護工作。該項工作主要分為定級、備案、建設整改、等級測評和監督檢查五個環節。其中安全建設整改工作是信息安全等級保護工作的重要組成部分。主要內容包括制定信息系統安全建設整改工作規劃并部署；信息系統安全現狀分析；確定安全策略，制定安全建設整改方案；開展信息系統安全管理建設整改工作；開展信息系統安全技術建設整改工作；開展安全自查和等級測評。公安部于2009年了《關于開展信息安全等級保護安全建設整改工作的指導意見》（公信安[2009]1429號），強調依據信息安全等級保護有關政策和標準，開展信息安全等級保護安全建設整改工作。通過組織開展信息安全等級保護安全管理制度建設、技術措施建設和等級測評，落實等級保護制度的各項要求，使信息系統安全管理水平明顯提高，安全防范能力明顯增強，安全隱患和安全事故明顯減少。

本文主要依據信息系統安全等級保護基本要求，結合信息安全等級保護安全技術建設整改工作內容，提出了基于“安全建設整改”的服務器安全加固方案設計、安全加固流程和安全加固方法等?；凇鞍踩ㄔO整改”的服務器安全加固工作貫穿了安全技術建設整改工作的多個方面，主要內容涉及物理安全、主機安全、應用安全和數據安全及備份恢復等。下面重點對基于“安全建設整改”的服務器安全加固可行性分析、方案設計和加固內容進行詳細的敘述。

服務器安全加固以實際需求為牽引

首先服務器安全加固是以《信息系統安全等級保護基本要求》為依據，以信息系統為最小加固單位，對信息系統范圍內的服務器操作系統、數據庫、中間件以及虛擬機集群或小機分區，以技術手段通過更改安全配置、加強審計備份、升級補丁等直接操作方式，從而達到提升服務器自身的安全防護能力的目標。

其次，通過對等保要求類、等?？刂泣c和等保要求項的仔細分析、梳理，確定信息系統服務器加固項目中能夠執行的等保要求項，并將這些加固項從技術實現角度分為可以實現的加固項，部分可加固項和安全建議項。

在此基礎上，進一步結合實際安全需求，分析現有安全技術和安全策略要求，從加固實施的角度，引入了“等保要求加固子項（簡稱加固子項）”的概念。所謂“加固子項”是對 “等保要求項”的進一步細分，將每一個檢查動作和加固動作相對應，達到每一個“加固子項”可以確定為一個獨立的檢查動作，并且有一個對應的加固動作，按照等保基本要求，實現每一個加固動作。

表1中列舉了適合于進行直接加固的操作項，主要包括了物理安全、主機安全、應用安全和數據安全及備份恢復四個方面。

服務器安全加固方案要構建閉環系統

基于“信息安全等級保護安全建設整改”的服務器安全加固方案設計是服務器安全加固實施過程中的關鍵環節，是做好服務器安全加固工作的基礎，其中的內容主要包括安全加固工作概述、安全加固工作的流程與方法、安全加固工作的準備、安全加固工作實施、安全加固工作總結等方面。

服務器安全加固工作概述主要將加固的目的和意義進行簡要的敘述，講明服務器安全加固需要遵循的原則，對服務器安全加固的依據進行說明，并進一步明確服務器加固的工作范圍、工作組織和工作安排等方面的內容。通過工作概述的描述，對服務器安全加固的工作概況有一個全面的了解。

通過對服務器安全加固的流程與方法描述，使得安全加固主線和脈絡有較為清晰。其中服務器安全加固的流程如圖1所示，主要包括加固準備、加固實施和加固總結三個方面的內容。服務器安全加固的方法主要采用文檔清分、人員訪談、信息采集、論證確認、現場加固和驗證審核等方式進行。

加固準備工作是以《信息安全等級保護基本要求》為指導形成服務器安全加固總體方案，依據總體方案對基本要求項進行梳理、拆分和論證確認需要加固的項目形成服務器加固可行性分析報告。進一步依據可行性分析報告編制服務器安全加固實施方案，在此基礎上依據基本要求編寫服務器安全加固操作表單和腳本，并在測試環境中對加固表單進行測試。通過對被加固單位信息系統安全等級保護測評的結果分析與整理，梳理出服務器的安全加固項，初步確認加固范圍，經過測試確認可加固項，進一步形成被加固單位服務器加固實施方案，對加固操作表單和腳本進行修改，制定被加固單位現場實施計劃。

加固實施工作主要包括加固范圍現場確認、加固方法和內容的現場確認、加固現場實施、加固過程中的異常處置、加固結果現場確認、加固后服務器的安全監控、加固后服務器的試運行報告，在安全監控期結束后應對加固的效果進行驗證分析。

加固總結工作主要是對加固的結果進行驗收和確認，建立較為成熟的加固方法和流程，并對加固工作進行總結。

服務器安全加固的流程把控

通過上述對服務器安全加固的可行性分析以及對服務器安全加固的方案設計的描述，已對服務器安全加固的流程和方式有了初步了解。基于“安全建設整改”的服務器安全加固內容應與安全加固的流程相一致，具體分為三個階段，即安全加固準備階段工作內容、安全加固實施階段的工作內容和安全加固總結階段的工作內容。下面對服務器安全加固在三個階段的具體內容進行詳細敘述。

1.安全加固準備

成立加固實施團隊 在完成服務器安全加固實施工作時，實施團隊應負責完成服務器操作系統、數據庫和中間件等的加固任務，同時還需要信息系統開發、運維人員的配合。需要建立一支由加固實施人員、信息系統開發人員和信息系統運維人員共同組成的加固團隊。

加固對象清分 依據等級保護測評工作確認的范圍，確定實施加固的信息系統，并進一步提取出需要加固信息系統中的服務器信息，服務器信息主要包括操作系統類型及版本號、數據庫類型及版本號、中間件類型及版本號、是否采用虛擬技術、應用軟件使用服務和端口以及補丁更新情況等。

等保測評結果梳理 服務器安全加固主要是依據信息系統安全等級保護測評結果對服務器進行安全配置和補丁更新等操作，需要對等保測評結果進行較為深入的分析，并參照安全加固可行性分析結果梳理服務器加固的內容。

加固內容初步確認 由項目實施組對等級保護測評結果梳理中產生表單的內容進行逐項的測試，在測試中排除存在問題的加固項和加固內容，測試的內容主要包括服務器安全配置更改、補丁更新、加固操作后服務器重新啟動、加固后補丁卸載和加固異常后系統恢復等。

2.安全加固實施

安全加固內容現場確認 服務器安全加固現場確認工作主要是指對準備階段確定的服務器加固方法、加固內容和操作步驟，由被加固單位的服務器管理員、數據庫管理員和應用系統管理員共同確認可加固的內容與可實施的操作步驟。

安全加固現場實施 服務器安全加固應依據以下操作順序進行。首先對服務器操作系統、數據庫和中間件的補丁進行更新操作，補丁更新操作完成后重啟服務器，監測服務器能否正常運行，如果正常運行則進入安全配置操作，如果運行出現異常則進行補丁回退等操作或啟動應急恢復流程。其次，對服務器操作系統、數據庫和中間件進行安全配置更新，并重啟服務器，監測服務器能否正常運行，如果運行正常則對加固結果進行確認，如果運行出現異常則進行安全配置回退操作或啟動應急恢復流程。最后對不能實施加固的內容進行確認并提出安全建議。

安全加固結果分析 主要是對安全加固的內容進行的分析和總結，對每個服務器上安裝的操作系統、數據庫、中間件以及采用虛擬技術中已加固成功的項和未加固的成功項進行區分整理，進一步對照信息系統安全等級保護測評報告中服務器安全測評結果驗證加固的效果。

安全運行監控 主要是對服務器安全加固后的工作進行監控和確認。安全監控的作用在于服務器進行加固處理后，某些隱藏的問題沒有當場暴露，而是運行一定時間后才顯露出來，影響業務系統的正常運行。因此加固人員需要在完成現場加固結果確認后，進行一定時間的服務器運行狀態監控。

3.安全加固總結

安全加固效果驗證 安全加固效果驗證主要依據信息安全等級保護基本要求，對已經完成操作的加固項是否達到等級保護要求進行判定，對照被加固單位信息系統安全等級保護測評報告的結果，驗證原不符合項通過加固后成為符合項或部分符合項，以驗證結果為依據編寫服務器安全加固效果驗證報告。由于被加固單位的加固內容存在差異性，各單位服務器安全加固效果驗證應存在不同，安全加固效果驗證應在安全監控期結束后進行。

安全加固工作完善 對安全加固的文檔、安全加固的方法和安全加固的內容進行修訂與完善，形成一套完整的安全加固措施。

服務器安全加固提升信息系統防護能力

目前服務器安全加固的方式多種多樣，主要包括服務器物理安全保護加固方式、服務器硬盤加固方式、通過第三方軟件對服務器操作系統和數據庫進行加固的方式、通過更改配置和補丁更新等進行直接加固的方式。

第4篇：信息系統安全運維服務范文

【關鍵詞】信息系統；信息安全；安全風險；安全防護

引言

隨著信息化的發展及互聯網的普及，各種信息系統也逐漸出現在我們的生活及工作學習中，改善著我們的生活品質，提高了我們的工作學習效率。如我們通過信息系統可獲取更多的工作及學習資源，為我們更好的開展工作學習創造良好的條件。但在我們使用系統的過程中，伴隨而來的是各種各樣的安全風險，如果我們存有置之不理、掉以輕心或者僥幸心理，這些風險將誘發各種安全事件，將可能帶給我們難以估量的損失。如何做好系統的風險分析及安全防護，對我們系統的安全使用將起著至關重要的作用。

1信息系統風險分析的重要性

信息系統的風險存在于系統的整個生命周期過程中，共包括五個階段：系統規劃和啟動、設計開發或采購、集成實現、運行和維護、廢棄。在《信息安全技術信息安全風險評估規范》（GB/T20984-2007）中對風險分析在信息系統生命周期中的規范要求進行了充分的闡述，如在設計階段要進行風險分析以確定系統的安全目標；在建設驗收階段要進行風險分析以確定系統的安全目標達到與否；在運行維護階段要不斷進行風險分析以確定系統安全措施的有效性，確保安全保障目標始終如一得以堅持。在系統規劃和啟動階段，主要是提出信息系統的目的、需求、規模和安全要求，通過風險分析可用于確定信息系統的安全需求。在設計開發或采購階段，主要是進行信息系統設計、購買、開發或建造。通過風險分析可為信息系統的安全分析提供支持，這可能會影響到系統在開發過程中要對體系結構和設計方案進行權衡。在集成實現階段，信息系統的安全特性應該被配置、激活、測試并得到驗證。通過風險分析可支持對系統實現效果的評價，考察其是否能滿足要求，并考察系統所運行的環境是否是預期設計的。有關風險的一系列決策必須在系統運行之前做出。在運行和維護階段，信息系統開始執行其功能，一般情況下系統要不斷修改，添加硬件和軟件，或改變機構的運行規則策略或流程等。通過風險分析可對系統進行重新評估，或者做出重大變更，以更好得保證系統能滿足需求的進行穩定運行或使用。在廢棄階段，主要涉及對信息、硬件和軟件的廢棄。這些活動可能包括信息的轉移、備份、丟棄、銷毀以及對軟硬件進行的密級處理。通過風險分析，在廢棄或替換系統組件時，能確保硬件和軟件得到了適當的廢棄處置，且殘留信息也恰當地進行了處理，并且能確保系統的更新換代能以一個安全和系統化的方式完成。

2信息系統的安全風險及影響

系統的安全風險在信息系統生命周期的各個階段都存在，在系統規劃和啟動，如果未對系統進行全面的安全方案設計及詳細方案設計，從系統的數據安全及功能服務進行統籌考慮分析，可能導致系統在設計上存在安全隱患及漏洞，可能在系統投入運行之后暴露出各種風險或問題，如設備性能的不合理配置、系統功能的不合理設置、數據庫表結構的不合理設計等都可能導致系統出現響應緩慢、數據出錯等問題。在設計開發或采購階段，如果不按照當初的規劃及需求開展系統設計開發或采購，存在隨意變更修改等行為，將導致系統的功能等無法滿足當初的設計需求或規劃，或因為方案的不合理變更導致系統無法滿足原有的功能需求，從而給系統維護及使用者帶來更多的不穩定因素。在集成實現階段，如果不按照已審定并允許實施的方案進行系統建設，可能導致系統的功能及性能造成偏差，或者帶來人力、財力或物力上的浪費及損失。同時未按方案進行建設，可能導致系統存在未知的安全漏洞或隱患，給系統的使用造成潛在的安全影響。在運行和維護階段，如果未按照管理規定或操作使用說明書對系統軟硬件進行維護使用，將容易對系統硬件設備設施造成損壞，同時造成系統被攻擊破壞等風險。如設備的開關機、日常維護等未按規定進行操作，導致設備易損壞，影響設備使用壽命。如系統軟件的使用、升級更新等未按各安全管理制度進行落實，導致系統易被攻擊，易被非授權使用等。在廢棄階段，如果未按照相關要求對系統軟硬件進行處理，可能導致設備或系統中的重要或敏感數據泄露，可能給系統維護或使用者帶來嚴重影響，如果有些敏感數據被惡意向社會公開或泄露，可能帶來社會的不良影響。如上所述，安全風險在信息系統的整個生命周期中都存在，在各個階段所存在的安全風險也不盡相同，因此造成的影響也根據系統特性的不同、系統周期的不同而有所區別。在《計算機信息安全保護等級劃分準則》（GB17859-1999）中根據信息系統安全保護能力的不同劃分了5個等級，分別為用戶自主保護級、系統審計保護級、安全標記保護級、結構化保護級及訪問驗證保護級。每個級別所需達到的安全防護能力也各不相同，用戶可根據系統的重要程度采取不同的安全防護能力。對應這個系統的等級劃分準則，在《信息安全技術信息系統安全等級保護定級指南》（GB/T22240-2008）中根據系統受到破壞時侵害的客體（國家安全、社會秩序/公共利益、公民/法人和其他組織的合法權益）和對客體造成侵害的程度（特別嚴重損害、嚴重損害、一般損害），從數據安全及服務安全兩方面將系統進行了5級劃分，從一級到五級逐級遞增。同時在《信息安全技術信息系統安全等級保護定級指南》（GB/T22240-2008）已對這些的影響進行了系統的描述，如在國家安全層面的影響包括影響國家政權穩固和國防實力，影響國家統一、民族團結和社會安定，影響國家對外活動中的政治、經濟利益，影響國家經濟競爭力和科技實力等；在社會秩序層面的影響包括影響國家機關社會管理和公共服務的工作秩序，影響各種類型的經濟活動秩序，影響各行業的科研、生產秩序等；在公共利益層面的影響包括影響社會成員使用公共設施，影響社會成員獲取公開信息資源，影響社會成員接受公共服務等；在公民、法人和其他組織的合法權益層面的影響包括影響法律確認的并受法律保護的公民、法人和其他組織所享有的一定的社會權利和利益。

3信息系統安全防護

信息系統在使用過程中存在著各種網絡攻擊、信息泄露等風險，如用戶標識截取、偽裝、重放攻擊、數據截取、非法使用、病毒、拒絕服務、數據庫文件丟失、系統損壞、系統源文件泄露、管理賬戶口令暴漏、惡意代碼攻擊等。針對信息系統存在的這些風險，我們應采取各種防護及加固措施將風險控制在可控范圍內，為系統的安全穩定運行提供保障。在《信息系統安全等級保護基本要求》（GB/T22239-2008）中根據《定級指南》中的系統級別，明確了各級別系統滿足相應等級安全要求的基本條款。在《基本要求》中，從人防、物防、技防、制防等方面對系統的運行維護提供了參考標準，基本涵蓋了系統的整個生命周期。為保障系統的安全穩定運行使用，主要包括技術和管理兩方面。在技術層面，主要包括物理安全、網絡安全、主機安全、應用安全、數據安全及備份恢復等；在管理層面，主要包括安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理等。結合這兩方面內容，我們可從人防、物防、技防、制防等方面對系統進行安全防護及加固。人防，在系統的整個生命周期中，人起著最重要的作用，也是最核心的一個因素。①人要具備相應的技術技能，在系統整個過程中解決處理發生的各種情況，充足的理論知識結合豐富的處理能力，能給系統的穩定運行帶來事半功倍的效果。②人在系統的運維過程中，需嚴格按照相關的規章制度進行操作，并能生成各類記錄，同時重大的操作需有詳細的操作方案或步驟及回退措施，且方案需通過審定確認。③對運維人員的管理及培訓，各重要信息運維人員需簽署保密協議及安全責任書，并定期或不定期得開展各類培訓以提高技術技能，從而滿足系統的維護需要。在此，還有一個重要的先決條件，就是單位的負責人要對系統的安全重視，能支持各崗位工作人員的工作，把信息安全當作一件重大事情對待。只有領導的充分重視與關注，各人員的工作才能得到充分得支持，才能更有利得維護系統安全穩定運行。物防，信息系統的運行離不開各種軟硬件設施設備，從基礎的機房設施設備，到網絡設備、安全設備、主機設備、應用軟件及各種輔助軟件、線路線纜等。因此一個完整的運行環境是系統得以穩定運行的大提前，機房的設計及建設可根據系統的需求按照國家的機房建設標準進行建設。網絡及設備的部署需采用冗余方式進行落實，提供設備及線路的硬件冗余，同時需配備各類相應的安全防護設備及軟件，從防火墻、WAF、IDS/IPS、防毒墻、惡意代碼防范軟件、機房監控平臺、網絡主機監控平臺等。一定需求的軟硬件產品部署能給系統保駕護航，能滿足系統的穩定運行。信息系統的安全穩定運行離不開各設備的支持，“巧婦難為無米之炊”，如果沒有合理的設備配置，再好的管理和技術也無法保障系統的安全穩定運行。技防，設備的投入需要合理的安全策略部署，才能起到安全防護作用。因此在配備了相應安全設備的同時，我們需要根據系統的需求設置合理的安全策略，如合理的訪問控制策略、路由策略、升級更新策略、惡意代碼查殺策略、數據備份策略、安全訪問規則等。策略結合設備才能起到關鍵的防護作用，給系統的穩定運行提供保障。同時策略要結合系統運行的環境及情況進行設置，包括網絡環境、使用環境等。如網絡出入的流量及帶寬限制要考慮系統的日常訪問量及網絡的帶寬等。最合理的策略才是最重要的，要系統的應用與安全相結合，應能保證系統即可用又安全。在當前現狀下，各種網絡攻擊防不勝防，只要我們能結合各安全設備，充分利用各設備的安全防護能力，遵循最小授權原則、最小服務原則，關閉多余的服務和端口，設置合理的安全策略，就能將安全風險降到最低，保持在可控范圍內。制防，沒有規矩不成方圓，信息安全管理制度的制定及完善是系統穩定運行的一道關口。我們的操作行為應嚴格按照相關制度及規章規程執行。因此制度的合理及可執行將顯得尤其重要。在整個制度體系中，應建立由信息安全方針策略、安全管理制度及操作規章規程構成的體系化的制度。各方針策略、制度及操作規章規程需由相關負責人員討論審定通過，并通過PDCA循環不斷得修訂及完善，應保證整個體系文件適用系統的運行維護需求。一旦制度確定落實，各人員將必須嚴格遵從執行。通過制度管理人的方式將我們的運維工作規范落實，以防工作人員按各自處事習慣進行運維工作，給系統帶來不確定的隱患。一套完整的適用的制度是需要通過幾年實踐才逐步完善的，只有適用的、真正落實到地的制度才能給系統的安全穩定運行帶來保障，制度不應停留于紙面，用于對付各類檢查。只有將制度真正貫穿在整個系統管理過程中，才能真正看到制度所帶得的真實意義所在。在人防、物防、技防、制防中，各個環節是相輔相成的，彼此穿插，從制度落實，由人將設備及技術相結合，以保證系統的穩定運行，降低安全風險系數，讓風險在可控范圍之內。

4結束語

信息系統的安全風險是客觀存在的，只要我們做好風險的控制，就能確保系統穩定安全的運行。本文針對信息系統的安全風險進行了描述分析，并結合風險提出了安全防護的描述，通過人防、物防、技防、制防等方式加強系統的穩定運行，希望各信息系統能更安全穩定的運行，同時給我們的生活、工作及學習帶來更多的便捷及享受。

參考文獻

[1]《信息安全技術信息安全風險評估規范》（GB/T20984-2007）[S].

[2]《計算機信息安全保護等級劃分準則》（GB17859-1999）[S].

[3]《信息安全技術信息系統安全等級保護定級指南》（GB/T22240-2008）[S].

第5篇：信息系統安全運維服務范文

關鍵詞：醫院信息系統；信息安全；信息管理；等級保護

一、引言

隨著醫院對信息化建設不斷深入滲透醫院的醫療、科研、教學、后勤保障，醫院信息系統不僅是保證醫院的正常運轉，還是醫院財務管理等方面的巨大支撐，并且安全的醫療信息數據才能有效地保護病人的權益、提高治療效果。因此加強醫院信息系統安全建設是醫院良好有序發展的前提及客觀要求[1]。

二、醫院現狀及信息安全狀況

2.1基本情況。我院現為國家三級甲等醫院，是華南地區醫療、教學、科研、保健和康復的重要基地，設有31個大科，100個?？?，其中5個國家重點學科、28個國家臨床重點?？啤ａt院信息系統自開始建設，經歷三代HIS系統的更迭，至今在線服務器和存儲近百臺，網絡設備300余臺；業務模塊近100個；終端數量近2000臺。核心系統包括HIS，CPOE、EMR、PACS、LIS。

2.2安全等保建設前信息系統安全狀況。網絡采用物理網絡隔離的方式，即業務網和互聯網物理隔離，但隨著醫院業務的不斷開展，與醫保網互聯、開通微信平臺、通過支付寶微信支付、移動終端接入，業務網不可避免地要跟外網互聯，且人為加入無線網卡等連接外部網絡等，面臨安全風險。安全防范意識上面，未形成有效的安全等級保護的規章制度和領導小組或安全管理手冊。

三、醫院安全建設規劃和實施

3.1規劃和原則。國家立法“對信息服務、公共服務、等重要行業和領域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害公共利益的關鍵信息基礎設施，實行重點保護”[2]。衛計委要求各醫院完成安全等級保護建設。具體提出定級備案、安全整改建設、等級測評、監督檢查等工作要求[3]。根據以上指定及實際情況，我院制定出“規劃先行、指導為重、分期實施”的總體指導方針。整體上，安全等級保護建設工作分為四個階段1）自我認知階段，了解面臨的風險，可能的威脅。2）基礎改進的階段，包括根據資產價值治理控制環境。3）規劃管理階段，定義業務內控流程，加強合規管理。4）安全運營階段，IT風險集中管理與監控。最后達到自行驅動完善信息系統安全。

3.2醫院信息系統安全定級。我院對HIS、LIS、PACS、電子病歷、OA以及門戶網站進行安全等保定級、備案、差距測評以及整改。HIS系統定為3級，PACS、LIS、電子病歷、OA以及門戶網站定位了2級。

3.3安全建設實施。我院信息安全建設采用安全域劃分的方式，采用國內一流的安全產品，與原有的信息系統和網絡設備實現無縫銜接，統一管理，快速響應，運行穩定。核心安全產品包括核心UTM、安全域的FW、日志審計、IDS以及終端安全。

四、信息安全建設收益

4.1提高了系統的安全防范能力。如下圖所示，體現為四方面1）服務器以及存儲只對外提供指定端口，非業務端口流量嚴禁進入。2）重要業務數據庫做操作審計。3）服務器操作系統進行漏洞掃描并及時修補。4）業務軟件系統漏洞掃描以及安全檢查并修正。

4.2數據中心實現安全域管理劃分。新增業務系統按照其等相應的等級加入相應的安全域，快速部署，統一管理，并節省安全建設成本。

4.3信息安全技能提升。通過信息安全建設，技術人員的專業水平顯著提高，安全意識增強。完成數次滲透測試與安全加固。應對供電故障，建立了機房雙路供電加UPS；應對設備故障，核心設備雙活負載均衡，次重要設備硬件冷備份，可在預見時間內恢復網絡；應對線路故障，建立備用線路；應對網絡攻擊，常規化網絡監控以及人工網絡巡查，攻擊出現時可迅速定位攻擊來源。

五、安全一體化運維平臺建設的新要求

移動互聯和物聯網，對醫院的信息安全提出新的要求，具體做到：認證、加密以及定位，即為：進不來，拿不走，留痕跡（審計）。這三點中最難的是認證，認證必然造成醫院臨床使用的不便，而部分設備較難實施認證，如一些手持終端、攝像頭等。對此，應對的管理方式可以是安裝終端管控系統，無感知認證，移動終端只允許在指定區域進行無線接入等?？傮w上看，持續的安全建設應該是向安全一體化運維平臺的方向發展。而這個方向需要管理人員安全管理組織、決策、執行，需要流程化運維，需要一套監控中心、預警中心、事件處理平臺、考核中心、知識管理中心、流程驅動的引擎。最終到達的目標是自驅動的管理與技術相融合。即安全管理制度流程化，安全可視化、動態化，形成PDCA風險優化處理閉環。

六、結語

信息安全是動態的，隨著技術的發展而變化。信息安全防護沒有完全單一而又絕對保險的措施。安全也是適度安全，沒有絕對的安全。信息安全應該是管理與技術并重，安全管理制度落地運作，通過信息化手段來實現信息安全管理工作，并隨著外界風險的變化進行調整，信息安全應該是持續改進的過程。

參考文獻

[1]黃娓娓,劉濤.大家健康,2014,5,8(10):4-5.

[2]《中華人民共和國網絡安全法》第三十一條

第6篇：信息系統安全運維服務范文

 

近年來，隨著信息安全等級保護工作機制的不斷完善，主管部門監督檢查力度的不斷加大，信息系統開展等級測評的數量穩步增長，測評覆蓋率顯著提升。通過統計分析本單位近些年測評的數百個信息系統的數據，可以得出以下結論：一是較早開展等級測評的行業，經過測評和整改建設，測評符合率逐年提高;二是隨著等級測評工作的持續推進，近期才開展首次測評的行業特別是基層單位的信息安全工作基礎較薄弱，測評得分明顯偏低。通過對物理安全、網絡安全、主機安全、應用安全、數據安全、安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理等10個層面的測評結果進行統計，其中網絡安全、主機安全、應用安全、系統運維管理等方面的不符合率相對較高，信息系統的建設、使用、運維階段存在一些較普遍的問題。

 

信息系統安全保護措施落實情況分析

 

整體而言，隨著等級測評工作的持續推進，黨政機關、企事業單位對信息系統安全等級保護的認識和重視程度得到普遍提升，在管理和技術兩方面主要采取了以下安全措施：

 

信息安全管理措施落實情況

 

在信息安全管理方面呈現出兩級分化的特點。一些重點行業的業務信息化程度高、自身信息技術隊伍力量足、信息安全投入經費有保障，其安全管理措施一般也能得到有效落實，在機構、人員、制度、建設管理、運維管理等方面均能較好地符合相關標準的要求。這一類的典型包括銀行、證券、電力等行業主管部門對信息安全監管嚴格的幾大行業。相反，部分對信息系統管控相對松散的單位如大專院校、在信息安全投入方面得不到充分保障的單位如基層政府部門，其信息安全專業人員的配備達不到標準規范的要求，安全責任部門地位偏低權限不足，很難制定并有效貫徹落實結合本單位實際的信息安全管理制度。

 

信息安全技術措施落實情況

 

多數單位通過部署邊界安全設備，強化入侵防范措施來提高網絡的安全性;通過加固操作系統和數據庫的安全策略，啟用安全審計，安裝殺毒軟件等措施，來提高主機安全防護水平;通過開發應用系統的安全模塊，從身份鑒別、訪問控制、日志記錄等方面，強化業務應用的安全性;通過部署數據備份設備、加密措施，加強對數據安全的保護。

 

信息系統常見安全問題分析

 

隨著等級測評工作的覆蓋面進一步擴大，近年來初次測評的單位和基層部門仍發現一些典型問題。

 

信息安全意識有待提高

 

很多單位對當前日趨嚴峻的網絡安全形勢認識不足，將信息安全工作視為被動應付上級檢查、被動應對安全事件的任務來消極對待。一些單位認為取得“基本符合”的測評結論就高枕無憂，完成測評備案就完成了等級保護。由此造成對信息安全合規的落實不夠、資金和人員投入不足、重建設輕運維、有制度無執行、有預案不演練等問題，根源還是安全意識薄弱。

 

信息安全管理有待加強

 

信息安全管理不到位主要表現在安全管理制度、系統建設管理、系統運維管理等方面。

 

信息安全管理制度不完善?；鶎訂挝恍畔踩芾碇贫炔蝗?、人員配備不足、授權審批流于形式、執行記錄缺失等問題較為常見。部分單位的信息安全管理制度照搬模版，未結合本單位實際進行修訂，導致缺乏可操作性。

 

系統建設管理不到位。系統建設過程中落實信息安全“同步建設”原則不到位。在軟件開發階段較普遍未遵循安全編碼規范，導致安全功能缺失、應用層漏洞頻現。在系統驗收階段，很多單位僅注重業務功能驗收，缺乏專門的安全性測試;電子政務類項目較普遍未按規定在項目驗收環節完成“一證兩報告”(即等級測評報告、風險評估報告和系統備案證明)。

 

系統運維管理不到位。在系統運維管理方面，部分單位運維和開發崗位不分，職責不清，存在一人身兼數職現象。很多單位在信息資產管理、介質管理、變更管理等方面缺乏操作規程和相關記錄，數據備份策略不明，應急預案不完善并缺乏演練。

 

關鍵技術措施有待落實

 

分析近年來的測評結果，安全技術措施不足問題主要體現在以下幾個方面：

 

在物理安全方面，隨著電子政務集約化建設的推進，大量信息系統已經集中到高規格的專業機房，但仍有部分單位自有機房條件簡陋，位置選擇不規范，出入管理較隨意，防盜防破壞、防雷防火防潮能力較差，環境監控措施不足。

 

在網絡安全方面，常見網絡和安全設備的配置不到位，如未合理劃分區域、未精細配置訪問控制策略、未對重要設備做地址綁定等;較普遍缺少專業審計系統。部分單位設備老舊，安全產品本身存在一定缺陷導致無法滿足等級保護要求。個別單位用于生產控制的重要信息系統在網絡層面未采取必要安全措施的同時，還違規接通互聯網，存在極大的安全隱患。

 

在主機安全方面，部分單位存在弱口令、不啟用登錄失敗處理和安全審計功能、不及時更新補丁、不關閉非必要服務等問題。此外，由于主流操作系統和數據庫很少支持強制訪問控制機制，相關要求普遍未落實。

 

在應用安全方面，很多應用軟件安全功能不足，缺少身份鑒別、審計日志、信息加密等能力。由于很少進行安全掃描、滲透測試，相當一部分系統存在高危風險，如SQL注入、跨站腳本、文件上傳等漏洞，以及弱口令、網頁木馬等問題。

 

在數據安全方面，較常見的是數據保密性和完整性措施薄弱。此外，部分信息系統的備份和恢復措施欠完善，缺乏有效的災難恢復手段。

 

針對新技術的等級保護測評標準有待出臺

 

隨著浙江政務服務網的大力推進，省內各級政務云平臺的建設使用已全面開展，有相當數量的電子政務系統已遷移上云。同時涉及城市公共設施、水電氣等工控系統密集的行業對等級保護工作越來越重視，對云計算、工控系統、移動APP等的測評需求不斷加大。但現有的《GB/T 22239-2008 信息安全技術 信息系統安全等級保護基本要求》未涉及云計算、工業控制、移動互聯等領域，在測評實踐中已遇到諸多不適應情況。針對這些新技術新應用的等級保護測評標準需求已非常迫切。

 

重要信息系統安全保護對策建議

 

針對上述存在的問題，本文提出以下對策建議，以供參考。

 

提高信息安全意識

 

提高全員信息安全意識是全面提升信息安全保障水平的根本解決之道。要樹立全體人員的安全觀念，加強信息安全培訓。除了通過強化工作考核和安全檢查來督促信息安全工作的深入開展，還應通過多種方式開展信息安全政策解讀和信息安全標準宣貫，強化對全員的安全意識教育和考查。建議結合一些合適的安全職業技能培訓，落實信息安全相關崗位“持證上崗”的要求。

 

加強信息安全管理

 

“三分技術，七分管理”，各單位應轉變觀念，將“信息安全”與“系統穩定、功能正?！蓖戎匾暺饋恚瑢踩芾硪笈c自身業務緊密結合，制訂完善的體系化的安全管理制度。

 

在系統建設管理過程中，應要求開發人員遵循安全編碼規范進行開發;在系統驗收環節，應認真做好安全性驗收測試。在電子政務領域應落實國家對電子政務項目管理的制度要求，驗收階段完成等級測評，未通過測評的應不予驗收。

 

在系統運維管理方面，應加強制定信息系統日常管理操作的詳細規范，明確定義工作流程和操作步驟，使日常運行管理制度化、規范化。對信息資產按重要性進行分類梳理，建立完善應急災備措施，定期開展演練，確保備份的有效性。

 

落實關鍵技術措施

 

針對測評發現的問題，各單位應根據系統所定級別，結合自身條件，綜合考慮問題的影響范圍、嚴重程度、整改難度等因素，制定整改計劃，有步驟地落實相關技術措施。對于策略配置類的問題及時糾正;對于整改難度大、需要添置硬件或修改代碼的問題，應在充分測試和試運行的基礎上實施整改。對于強制訪問控制、敏感標記、雙因子鑒別等難點問題，建議國家加強相關產業政策的引導，促進安全廠商研發技術、推出產品，解決市場供應問題。各級主管部門應通過測評、整改、監督檢查、再測評的閉環管理，督促關鍵技術措施的落實。

 

加快新技術的等級保護測評標準編制工作

 

目前公安部信息安全等級保護評估中心在牽頭起草針對云計算安全的等級保護標準，尚處于征求意見階段。其余新技術領域的等級保護標準制定工作進度更晚，隨著智慧城市、云計算、大數據、移動互聯、工業控制等新技術的快速應用，安全標準相對滯后的問題更加突出，應進一步加快相關新標準的制定。

第7篇：信息系統安全運維服務范文

等級測評工作其實是信息系統安全建設或整改工作結束后對信息系統安全狀況進行檢驗和發現問題，以促進信息系統安全狀況達到等級保護的要求。本刊記者就等級測評工作的相關內容采訪了公安部信息安全等級保護評估中心系統測評部副主任、高級測評師陳雪秀。

|醫療衛生機構完成安全建設或整改工作之后就進入到等級測評工作階段，請您介紹一下等級測評工作的內容及流程。

陳雪秀：首先應該明確，等級測評工作是檢測評估信息系統安全等級保護狀況是否達到相應等級能力要求的過程，是落實信息安全等級保護制度的必要環節。

等級測評工作的主要內容包括：在確定的測評指標范圍內，進行現場測評（包括單元測評和系統整體測評），單項測評結果判定，綜合分析和風險評價，并給出等級測評結論、編制等級測評報告等一系列內容。

在GB/T 28449-2012《信息系統安全等級保護測評過程指南》中規范了等級測評的活動流程，分為四個基本測評活動：測評準備活動、方案編制活動、現場測評活動、分析及報告編制活動。通過這四個基本測評活動過程可以發現系統中存在的安全問題和隱患，并給出這些問題或隱患給系統帶來的安全風險或影響，為信息系統安全保護能力和安全管理水平的提升奠定技術基礎。

需要強調的是，測評雙方之間的溝通與洽談應貫穿整個等級測評過程。

|作為高級測評師，您在測評工作中已經積累了很多測評經驗，請您介紹一下測評師是如何對信息系統進行測評的。

陳雪秀：等級測評工作是一項對實踐經驗要求很強的工作，需要測評機構和人員在實踐過程中不斷積累和完善各類測評方法，規范測評活動。測評機構的權威性、公正性和質量保證，是維持測評機構生存的基礎，也是保證測評數據、測評結論客觀、準確的基礎。

現場測評活動是開展等級測評工作的核心活動?；顒拥闹饕蝿帐前凑諟y評方案的總體要求，嚴格執行測評指導書，分步實施所有測評項目，包括單元測評和整體測評兩個方面，以了解系統的真實保護情況，獲取足夠證據，發現系統存在的安全問題。

現場測評必須由具有測評師資質的人員（即測評師，一般分為高級測評師、中級測評師和初級測評師，初級測評師又分為管理測評師和技術測評師）采用一定的測評方法在委托方人員的配合下進行現場測評取證。測評方法一般包括人員訪談、文檔檢查、上機核查、工具測試、實地察看等。人員訪談一般是針對安全管理方面和技術方面的全局問題；文檔檢查主要是針對安全管理制度、安全管理機構、人員安全管理、系統建設管理和系統運維管理五大管理方面；上機查核主要針對網絡、主機和應用方面；實地察看主要針對物理安全方面，工具測試一般針對技術方面開展，包括漏洞掃描、源代碼審查、滲透測試等。

|我們都知道根據信息安全等級保護工作的要求，定為第三級的系統每年都要測評一次，請您談談每一年的測評工作內容有什么不同？

陳雪秀：《信息安全等級保護管理辦法》（公通字〔2007〕43號）中規定三級系統每年測評一次，四級系統每半年測評一次是非常有必要的。眾所周知，安全是一個動態的過程。隨著時間的推移和外部環境的變化，信息系統面臨的外部威脅和自身的安全現狀、安全需求均會發生較大的變化，變化的部分即是測評的重點。

因此，每年測評主要關注以下方面：（1）上一年度測評發現的安全問題。（2）系統的變更情況。系統由于網絡結構調整、業務規模變化可能導致測評范圍發生變化，如果系統級別變更會導致測評指標發生變化，新系統采用了虛擬化、大數據、移動互聯等新技術、新應用引發新的安全需求而帶來測評指標的變化。（3）外部環境的變化。一方面關注目前國際、國內安全形勢的新動向新變化，目前產品的自主、可控是安全關注的重點，對抗有組織的外部攻擊的能力和應急響應能力也是本年度測評關注的重點。另一方面，關注新的安全威脅或漏洞隱患情況，如心臟滴血（Open ssl heart bleeding）漏洞、struts2遠程執行漏洞、BadUSB的安全漏洞等。（4）系統日常運行帶來新的安全隱患。在信息系統日常運行維護過程安全管理執行落實情況、安全策略配置的有效性等，需要在每年測評時重點關注。

第8篇：信息系統安全運維服務范文

1.1需求分析

通過德爾菲法、訪談法、SWOT分析等風險管理技術，向學院各職能部門和其它渠道收集風險信息，分類總結，然后列出風險系統開發的大功能模塊，每個大功能模塊有哪些小功能模塊；描述實現具體模塊所涉及到的主要算法、數據結構、類的層次結構及調用關系，需要說明軟件系統各個層次中每個模塊或子程序的設計考慮，以便進行編碼測試。系統平臺可以實現以下功能：自動輸出風險評估報告和建議報告，有效監控預防風險；對風險進行定量分析，實現以圖表直觀形式輸出顯示，并展示相應的數據指標；用戶以個人賬戶或部門賬戶，登錄到風險評估輸入列表，選擇相應的職能部門、行業類型、風險級別指標、以問答的形式選擇相應的內置風險條目，根據登陸權限，可自擬增加、刪除風險條目；可實現日常工作重要環節和重點風險過程的時間提醒功能，通過手機短信或網頁提示窗提示等手段，提醒重點工作的正常開展，防范工作疏忽引起的風險；風險級別指標制定，可參考相應的國家或行業標準，也可自擬；系統平臺內有評估標準，根據評估標準設計評估模型，利用評估模型對風險評估報告進行評估，得出評估結果供風險決策者參考；校領導和各職能部門負責人可根據管理權限查詢相應的風險數據；B/S架構，實現新聞即時，可及時更新各高校風險管理中的經驗交流文章、理論知識。

1.2程序編碼實現

開始具體的編寫程序工作，分別實現各模塊的功能，從而實現對目標系統的功能、性能、接口、界面等方面的要求；開發過程中，邊開發邊測試，系統完工后，通過內部外部測試、模塊測試、整體聯調等測試方法，驗證系統的整體穩定性，不斷完善。

1.3具體應用

軟件開發完成，做成相關的技術文檔，系統上線；在具體應用中發現問題及時登記到問題記錄冊，反饋到開發人員，為以后的系統平臺升級提供依據。

2平臺功能模塊

信息安全風險評估平臺的開發環境為/MSSQL，基于SOA軟件系統架構解決學院各信息系統集成，通過PDCA循環模型具體實施。信息安全風險評估系統平臺建設主要包括評估公告、用戶管理、指標設置、綜合評估、綜合查詢、報表系統，數據導出七大模塊。

2.1評估公告模塊

評估公告模塊實現新聞即時，可及時更新各高校風險管理中的經驗交流文章、理論知識；可實現日常工作重要環節和重點風險過程的時間提醒功能，提醒重點工作的正常開展，防范工作疏忽引起的信息系統風險。

2.2用戶管理模塊

用戶管理模塊的功能是管理用戶信息，主要包括用戶的用戶名、密碼和權限，同時支持顯示所有注冊用戶信息和刪除用戶功能；模塊可以添加系統管理員、評估人和評估單位，評估人員可以設置不同的權限，限制評估范圍；用戶以個人賬戶或部門賬戶，登錄到風險評估輸入列表，選擇相應的職能部門、行業類型、風險級別指標、以問答的形式選擇相應的內置風險條目；不同的用戶登錄系統顯示的模塊不一樣，根據登陸權限，可自擬增加、刪除風險條目。

3.3指標設置模塊

指標設置模塊主要是依據國家有關信息安全風險評估指標，實現信息系統風險評估的指標體系設置，劃分兩級指標細化評估體系，一級指標劃分為信息資產、威脅性、脆弱性，二級指標從硬件、軟件、風險識別等細化指標體系；實現指標庫的設置，可以分配不同的被評估單位相應的評價指標。

2.4綜合評估模塊

綜合評估模塊包括評估列表、評估歷史。評估列表顯示所有被評估單位，某一單位用戶登錄以后，系統自動調用相應的指標庫，回答相應的信息系統安全問題，系統自動給出指標分數；評估歷史是不同的賬戶登錄，顯示的列表不同，管理員能查詢所有的用戶評估歷史，單位用戶只能查詢本系部的評估歷史。

2.5綜合查詢模塊

綜合查詢模塊實現不同單位評估次數、評估成績、各評估對象不同時間段等的評估查詢。

2.6報表系統模塊

報表模塊實現了不同單位評估次數、評估成績、各評估對象的柱狀圖的形式直觀展示。

2.7數據導出模塊

數據導出模塊實現了評估單位當前總成績或歷史評估成績的數據導出功能，支持PDF、Word、Excel文檔格式。

3系統評估操作流程

系統管理員首先在系統后臺對不同的用戶設置相應的評估指標庫；用戶通過用戶名和密碼登錄系統后臺；登錄成功后系統會自動調用相應的評價指標，用戶回答相應的問題；回答結束后，用戶點擊提交，系統自動給出相應的評估分值；用戶打印或存儲評估數據報告。

4平臺應用效果

4.1為我國高校的信息系統風險預防和應急處理提供建設性的意見

目前關于我國高校風險評估研究的大多停留在某些具體領域，主要是對宏觀風險管理和財務風險狀況進行探討，對信息系統安全的研究較少。信息安全風險評估系統平臺對高校信息安全風險進行定量分析評估，為我國高校信息系統風險評估提供了一個重要平臺，為高校的信息系統風險預防和應急處理提供一些建設性的意見。

4.2為高校各級信息系統管理者提供了處理信息系統

風險的決策依據系統實現各級信息系統管理者可實時查詢部門風險評估，針對高校日常管理中可能面臨的各類信息系統安全風險、建議應對措施、突發事件、應急預案、法律法規等相關風險管理文檔查詢，為科學決策提供依據。

4.3信息系統安全風險處理更迅速

信息系統安全風險評估平臺與學院網絡安全教育平臺、運維網站數據整合，當網絡遭受攻擊、病毒肆虐時，能第一時間獲得相關信息，為快速解決信息系統安全風險創造了條件。

4.4提高了全校師生網絡安全防范和參與意識

通過信息系統安全風險評估平臺，全院師生提高了網絡安全防范和參與意識，為河南牧業經濟學院網絡信息化建設出謀劃策，促進學校領導和有關職能部門制定和完善網絡有關管理制度。

4.5規范了全校師生的上網行為，減少了網絡攻擊

全校師生通過平臺了解學校網絡管理相關制度和管理方式，認識到自己的上網行為在學校監督管理中，從而自覺規范自身的上網行為。平臺為引導師生正確使用網絡、規避風險，保障校園網網絡良好正常運轉起到了積極的作用。通過信息系統風險評估的漏洞查找，各系部加強了網絡安全知識普及、全員參與、相關規章制度的約束，一直困擾我院網管人員的網絡非法攻擊，特別是破壞后果更難預測的內部網絡攻擊得到了有效的遏制。

5結束語

第9篇：信息系統安全運維服務范文

關鍵詞：銀行信息 信息系統 安全問題

前言

銀行信息系統的安全保障要以縝密的分析為前提，制定詳細的對策， 充分利用安全技術、安全產品來實現安全措施。本文以泰安農村信用 社為例闡述銀行信息安全問題.

1．信息安全分析 銀行信息系統具有服務范圍廣泛，平臺復雜多樣，業務品種不斷 更新的特點。因此銀行信息系統龐大而復雜，信息安全涉及方面眾多， 我們大體可以按照安全管理、信息資產與環境、主機系統、網絡系統、 日常運維五個方面進行分析.

1.1安全管理問題分析.

泰安農村信用社信息系統一貫重視系統安全，但對與系統安全的 管理仍處于比較傳統的模式，即一種靜態的、局部的、少數人負責的、 突擊式的、事后糾正式的管理方式；安全管理偏重對業務的保障，在內 部管理上相對比較松散；一些安全管理策略和制度規范比較宏觀，在 可操作性和實效性上還值得進一步探討與改進.

1.2信息資產與環境問題分析.

泰安農信信息系統依照相關的規定進行建設。目前還需要改進的 問題為包括物理環境的單點故障隱患及不可抗力因素導致的系統安 全的風險；對信息資產的保護缺乏信息資產分類體系，無法實現對設 備的購置、維修、報廢等環節的實時管理.

1.3主機系統問題分析 信息中心的主機上存放大量的業務數據，對全轄提供數據服務及 技術支持，保證轄內計算機系統全年365天、全天24小時不間斷運 行，因此主機采用高可用性和全冗余結構的主機系統，配置磁盤陣列 存儲數據.

目前面臨維護錯誤和操作失誤、未經授權訪問和操作、權限濫用、 硬件故障、數據庫本身存在的安全漏洞等威脅.

1.4網絡系統問題分析 現行銀行計算機網絡是銀行計算機信息系統中最易受攻擊又最 難以防范的薄弱環節，為了保障網絡安全，目前采取的的措施有增加 防火墻，對連接科技中心主機全部做了限制，安裝了IDS入侵檢測系 統。還存在以下問題：主交換機雖然劃分了VLAN，但劃分VLAN數量 少，無法滿足業務高速發展需要；辦公網現在沒有邏輯劃分；在省市和 市縣之間沒有實施QOS策略，存在一定網絡擁塞的風險.

1.5日常運維問題分析 目前日常運維工作繁重，日常運維只是通過已有的書面的操作流 程進行操作，無法記錄操作結果，對日常運維缺乏審計性；機房主要依 靠人工巡查等手段進行監控，存在不能及時發現問題的隱患。對于登 陸信息系統的網點柜員身份驗證停留在“用戶名+密碼”階段，存在非 法入侵的安全隱患.

2.信息安全風險識別 通過對泰安農村信用社進行信息資產識別，逐項進行風險評估， 并制訂風險控制措施.

2.1確定資產風險等級 全面了解泰安農信信息系統安全現狀，采用定性與定量相結合的 方法，并依據標準要求充分考慮到資產的安全價值、威脅、薄弱點、威 脅發生的可能性、威脅造成的潛在響應等因素，將各個資產所面臨的 眾多威脅因素統一起來描述.

2.2明確風險控制方法 根據風險評估表，對該資產已經識別出的風險點，在現有的控制 措施之外，進一步提出解決該風險點的新方法或新措施，以使風險降 低到可接受的程度，并明確責任人，制定一個切實可行的風險處理計 劃。3.信息安全問題解決 根據風險評估的結果及風險控制方案，依照安全管理體系的要求 對準備階段中涉及的各類問題集中解決，使得在信息系統受到侵襲 時，確保業務持續開展并將損失降到最低程度.

3.1安全管理的安全實現 針對目前泰安農信信息系統在安全管理方面存在的問題，信息安 全人員仔細分析問題，提出問題解決方案如下.

3.1.1明確指出系統中每位員工的責權問題.

3.1.2建立較完善的信息科技制度體系，明確泰安農信信息系統 工作流程，避免管理混亂.

3.1.3建立規范的信息系統風險防控和應急處置流程，逐步提高 突發事件的應急能力.

3.2信息資產與環境的安全實現 針對目前泰安農信信息系統在信息資產與環境方面存在的問題， 信息安全人員仔細分析問題，提出如下問題解決方案.

3.2.1引入“計算機設備管理系統”軟件，規范設備管理。對設備的 購置、維修、報廢等環節的管理的問題進行跟蹤記錄.

3.2.2對銀行設備與物理環境進行容災規劃，實施容災系統。對通 訊線路及硬件設備進行冗余備份；對重要數據制定完善的備份規則.

3.3主機系統的安全實現 針對目前泰安農信信息系統在主機系統方面存在的問題，信息安 全人員仔細分析問題，提出如下問題解決方案.

3.3.1開發備份配置軟件，保存每次設置變更情況，使設置變更有 跡可循.

3.3.2為保證數據信息安全，采用雙機熱備、重要數據遠程備份、 異地存放等多種措施避免系統風險.

3.3.3應用“運維安全管理系統”對操作員的操作進行限制，杜絕 由于操作用戶權限過大而造成的安全隱患.

3.4網絡信息的安全實現 主要包括信用社內部數據傳輸線路的安全實現、第三方接入的安 全實現等。泰安農信采用SDH線路進行組網；通過端點隔離方式實現 業務和辦公網絡分離；通過整體路由規劃和QOS規劃實現對各業務 數據流的控制；內網配置了多套防火墻，實現對內網的通訊訪問的控 制與隔離.

3.5日常運維的安全實現 針對目前泰安農信信息系統在日常運維方面存在的問題，信息安 全人員仔細分析問題，提出如下問題解決方案.

3.5.1建立網絡化的運維機制。探索建立科技服務聯動網.

3.5.2分析日常工作流程，開發“電子日志系統”，確保日常工作不 會遺漏，并記錄操作員日常操作，保證操作過程的可審計性.

3.5.3建立機房自動監控系統，實時監控放置、設備的運行狀態及 工作參數，發現部件故障或參數異常，及時報警，并可記錄歷史數據和 報警時間.