信息安全服务目录

I信息系统安全服务方案河南宝通信息安全测评有限公司二○一三年七月I前言随着我国信息安全等级保护工作的深入开展，信息系统运营使用单位依据相关等级保护国家规定和标准进行信息系统安全建设整改的工作正逐步展开。为了进一步贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》、《关于信息安全等级保护工作的实施意见》和《关于开展信息安全等级保护安全建设整改工作的指导意见》等级保护文件精神，深入开展信息安全等级保护工作，河南宝通信息安全测评有限公司在信息安全等级保护相关领域提供服务，具体服务项目如下：1)信息系统运营使用单位信息安全等级保护体系建设服务2)信息系统运营使用单位信息系统应用软件安全咨询服务3)信息系统运营使用单位信息系统安全等级保护测评服务4)信息系统运营使用单位网络安全应急响应保障服务通过与信息系统运营使用单位（以下简称“合作单位”）合作，河南宝通信息安全测评有限公司将凭借在信息安全等级保护领域的技术优势、专家力量按照国家有关规定和标准规范要求，提供信息系统应用软件安全咨询服务，建立信息系统综合防护体系，提高信息系统安全管理水平和信息系统安全保护能力；全面提升合作单位信息系统整体安全保护能力，有效保障合作单位信息化健康发展！信息系统运营使用单位需要依据相关等级保护国家规定和标准对信息系统实行分等级保护。为了进一步贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》、《关于信息安全等级保护工作的实施意见》和《关于开展信息安全等级保护安全建设整改工作的指导意见》等级保护文件精神，深入开展信息安全等级保护工作。通过与信息系统运营使用单位（以下简称“合作单位”）合作，我公司将凭借在信息安全等级保护领域的技术优势、专家力量按照国家有关规定和标准规范要求，协助合作单位开展信息安全等级保护，全面提升合作单位信息系统整体安全保护能力，有效保障合作单位信息化健康发展！目录1概述1.1信息安全服务行业背景随着全球信息化进程的不断推进，我国政府及各行各业也在进行大量的信息系统的建设，这些信息系统已经成为国家重要的基础设施，因此，信息系统安全问题已经被提升到关系国家安全和国家主权的战略性高度，已引起党和国家领导以及社会各界的关注。随着“金”字工程、政府上网、电子商务、电子军事等信息化建设和发展，作为现代信息社会重要基础设施的信息系统，其安全问题必将对我国的政治、军事、经济、科技、文化等领域产生至关重要的影响。能否有效的保护信息资源，保护信息化进程健康、有序、可持续发展，直接关乎国家安危，关乎民族兴亡，是国家民族的头等大事。没有信息安全，就没有真正意义上的政治安全，就没有稳固的经济安全和军事安全，没有完整意义上的国家安全。1.2开展信息安全等级保护的法规、政策和技术依据国家高度重视信息安全保护工作，为了进一步提高信息安全的保障能力和防护水平。经党中央和国务院批准，国家信息化领导小组决定加强信息安全保障工作，实行信息安全等级保护，重点保护基础信息网络和重要信息系统安全。国家针对等级保护制定了一系列的法规和标准，这些法规和标准是建设等级保护系统的依据。制定了包括《计算机信息系统安全保护等级划分准则》（GB17859-1999）、《信息系统安全等级保护定级指南》(GB/T22240-2008)、《信息系统安全等级保护基本要求》(GB/T22239-2008)、《信息安全技术操作系统安全评估准则》（GB/T20009-2005）、《信息安全技术信息系统安全管理要求》（GB/T20269-2006）等50多个国标、行标以及已报批标准，初步形成了信息安全等级保护标准体系。2信息系统安全保障服务2.1服务目的安全是一个动态的过程，在信息系统运行维护期间可能遭遇来自各方面的安全威胁。为保证信息系统运营使用单位网络及应用服务的持续正常运行，我们依靠国家有关信息安全事件相关标准，通过提供网络安全保障服务来加强信息系统运营使用单位的网络安全性，通过定期和不定期的安全扫描服务、安全巡检服务、安全预警服务以及周到的突发应急响应服务将安全工作落到实处，以有效提高信息系统运营使用单位的网络安全保障能力。2.2信息安全事件分类分级根据信息安全事件的起因、表现、结果等，可将信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件等7个基本分类，了解信息安全事件的相关分类准则并依据准则构建适用于信息系统运营使用单位的网络安全应急保障体系，将是保障信息系统运营使用单位信息系统网络安全的关键性工作。2.2.1信息安全事件分类a)有害程序事件有害程序事件是指蓄意制造、传播有害程序，或是因受到有害程序的影响而导致的信息安全事件。有害程序是指插入到信息系统中的一段程序，有害程序危害系统中数据、应用程序或操作系统的保密性、完整性或可用性，或影响信息系统的正常运行。有害程序事件包括计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件和其它有害程序事件等7个子类。b)网络攻击事件网络攻击事件是指通过网络或其他技术手段，利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击，并造成信息系统异常或对信息系统当前运行造成潜在危害的信息安全事件。网络攻击事件包括拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件等7个子类。c)信息破坏事件信息破坏事件是指通过网络或其他技术手段，造成信息系统中的信息被篡改、假冒、泄漏、窃取等而导致的信息安全事件。信息破坏事件包括信息篡改事件、信息假冒事件、信息泄漏事件、信息窃取事件、信息丢失事件和其它信息破坏事件等6个子类。d)信息内容安全事件信息内容安全事件是指利用信息网络发布、传播危害国家安全、社会稳定和公共利益的内容的安全事件。信息内容安全事件包括以下4个子类：违反宪法和法律、行政法规的信息安全事件；针对社会事项进行讨论、评论形成网上敏感的舆论热点，出现一定规模炒作的信息安全事件；组织串连、煽动集会游行的信息安全事件；其他信息内容安全事件等4个子类。e)设备设施故障设备设施故障是指由于信息系统自身故障或外围保障设施故障而导致的信息安全事件，以及人为的使用非技术手段有意或无意的造成信息系统破坏而导致的信息安全事件。设备设施故障包括软硬件自身故障、外围保障设施故障、人为破坏事故、和其它设备设施故障等4个子类。f)灾害性事件灾害性事件是指由于不可抗力对信息系统造成物理破坏而导致的信息安全事件。灾害性事件包括水灾、台风、地震、雷击、坍塌、火灾、恐怖袭击、战争等导致的信息安全事件。g)其他事件其他事件类别是指不能归为以上6个基本分类的信息安全事件。2.2.2信息安全事件分级对信息安全事件的分级主要考虑三个要素：信息系统的重要程度、系统损失和社会影响。根据信息安全事件的分级考虑要素，将信息安全事件划分为四个级别：特别重大事件、重大事件、较大事件和一般事件。a)特别重大事件（Ⅰ级）特别重大事件是指能够导致特别严重影响或破坏的信息安全事件，包括以下情况：会使特别重要信息系统遭受特别严重的系统损失；产生特别重大的社会影响。b)重大事件（Ⅱ级）重大事件是指能够导致严重影响或破坏的信息安全事件，包括以下情况：会使特别重要信息系统遭受严重的系统损失、或使重要信息系统遭受特别严重的系统损失；产生的重大的社会影响。c)较大事件（Ⅲ级）较大事件是指能够导致较严重影响或破坏的信息安全事件，包括以下情况：会使特别重要信息系统遭受较大的系统损失、或使重要信息系统遭受严重的系统损失、一般信息信息系统遭受特别严重的系统损失；产生较大的社会影响。d)一般事件（Ⅳ级）一般事件是指不满足以上条件的信息安全事件，包括以下情况：会使特别重要信息系统遭受较小的系统损失、或使重要信息系统遭受较大的系统损失，一般信息系统遭受严重或严重以下级别的系统损失；产生一般的社会影响。2.3服务内容通过如上的信息安全事件分类分级描述，已经可以将信息安全事件基本划分清楚，在划分事件的基础上我公司提供如下信息安全保障服务：2.3.1漏洞扫描服务网络的应用越来越广泛，而网络不可避免的安全问题也就越来越突出，如今，每天都有数十种有关操作系统、网络软件、应用软件的安全漏洞被公布，利用这些漏洞可以很容易的破坏乃至完全的控制系统；另外，由于管理员的疏忽或者技术水平的限制造成的配置漏洞也是广泛存在的，这对于系统的威胁同样很严重。动态安全的概念是：帮助管理员主动发现问题。最有效的方法是定期对网络系统进行安全性分析，及时发现并修正存在的弱点和漏洞，保证系统的安全性。因此信息系统运营使用单位信息中心需要定期对网络系统进行安全漏洞扫描，提前发现漏洞，及时修补，以保证整体网络系统平台安全。针对此问题，我公司将在合同签订之日起每一个月，针对信息系统运营使用单位信息中心网络提供一次漏洞扫描，并提交漏洞扫描报告，协助招标方进行修正。通过对信息系统运营使用单位信息中心进行的安全漏洞检测和分析，我们可以做到：1、对信息系统运营使用单位信息中心重要服务器和PC机进行漏洞扫描，发现由于安全管理配置不当、疏忽或操作系统本身存在的漏洞(这些漏洞会使系统中的资料容易被网络上怀有恶意的人窃取，甚至造成系统本身的崩溃)，生成详细的可视化报告，同时向管理人员给出相应的解决办法及安全建议；2、我们对信息系统运营使用单位信息中心边界组件、基础组件和其他系统进行漏洞扫描，检查系统的潜在问题，发现操作系统存在的漏洞和安全隐患；3、利用漏洞扫描系统对网络及各种系统进行定期或不定期的扫描监测，并向安全管理员提供系统最新的漏洞报告，使管理员能够随时了解网络系统当前存在的漏洞并及时采取相应的措施进行修补。2.3.2源代码分析如今的软件安全漏洞越来越多，软件安全问题的产生的根源：黑客攻击主要利用软件本身的安全漏洞，这些漏洞是由不良的软件架构和不安全的编码产生的。如下为一些常见的软件漏洞。1.跨站脚本攻击CrossSiteScripting简称XSS2.注入漏洞InjectionFlaw3.恶意文件执行MaliciousFileExecution4.不安全的对象参照InsecureDirectObjectReference5.跨网站请求伪造Cross-SiteRequestForgery简称CSRF6.信息泄漏与不适当错误处理InformationLeakageandImproperErrorHandling7.验证与会话管理的破坏BrokenAuthenticationandSessionManagement8.不安全的密码储存InsecureCryptographicStorage9.不安全r通讯InsecureCommunication10.URL限制访问失败FailuretoRestrictURLAccess为从根本上解决这些软件漏洞，现已提出一种新的防御方案，也就是构建安全的代码。我公司购置有价值50余万源代码审核工具，可以为信息系统运营使用单位提供免费源代码审核，它是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎：数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析，分析的过程中与它特有的软件安全漏洞规则集进行全面地匹配、查找，从而将源代码中存在的安全漏洞扫描出来，并给予整理报告。扫描的结果中不但包括详细的安全漏洞的信息，还会有相关的安全知识的说明，以及修复意见的提供。该工具的安全编码规则包是由多位顶级的软件安全专家，多年研究出来的数十万条软件安全漏洞特征的集合。目前能查找出来约350多种安全漏洞，内置其中与分析引擎配合工作。同时，该工具支持多种国际软件安全的标准，包括：OWASP、PaymentCardIndustry(PCI)Compliance、FederalInformationSecurityManagementAct（FISMA）CommonWeaknessEnumeration（CWE）等。通过该工具对信息系统运营