等保服务内容及报价

等保服务内容及报价;一、信息安全等级保护服务流程及内容;信息安全等级 保护服务分为定级备案咨询、安全建设规;1.定级备案咨询阶段：通过定级对象 分析、定级要素；2.安全建设规划阶段:协助建设单位按照同步规划、；3.安全 等级现状测评阶段:详实调研业务系统，了解；4 .信息系统安全整改咨询阶段:依 据脆弱性评估结果；5.信息安全等级测评阶段:实施等级测评，以满足国;等保等保服务内容及报价一、信息安全等级保护服务流程及内容信息安全等级保护服务分为定级备案咨询、安全建设规划、安全等级现状测 评、信息系统安全整改咨询和信息安全等级测评五个阶段，各阶段工作内容如下:1. 定级备案咨询阶段:通过定级对象分析、定级要素分析,初步确定系统保护 等级,协助召开定级专家咨询会议,确定系统保护等级,协助撰写定级报告、协助联 络公安机关,完成定级备案工作。2. 安全建设规划阶段:协助建设单位按照同步规划、同步建设、同步运行的 原则,做好项目建设的安全规划。3. 安全等级现状测评阶段：详实调研业务系统,了解系统边界、功能、服务 范围、涉及部门、重要程度,全面进行差距分析和脆弱性评估;找出不足之处和安 全漏洞，为等级保护体系设计提供客观依据；将根据之前的项目成果,制定合理 安全管理措施和技术措施,形成等级化的信息安全保障体系。4 .信息系统安全整改咨询阶段:依据脆弱性评估结果，弥补技术层面的安全 漏洞；建立健全信息安全管理制度;根据前期信息安全保障体系设计方案，指导 系统运维方落实相关安全保障措施。5.信息安全等级测评阶段:实施等级测评，以满足国家信息安全监管的相 关政策要求。等保服务在合同签订后 1 个月内完成项目的系统定级、安全建设规划。在系 统建设完成后2 周内完成安全评估差距分析、整改建议等工作。在系统整改完成 后2 周内完成信息安全等级测评工作,出具等保测评报告。1 定级备案咨询1.1 工作内容(1 )系统梳理网络拓扑调查:通过对系统网络拓扑结构的调查，确定各个网络安全域,分析 网络拓扑结构安全。资产信息调查:通过对资产信息的调查,确定系统中重要资产,比如服务器、核 心交换机、边界防火墙、IDS等。服务信息调查：通过对服务信息的调查,确定系统服务对象。系统边界调查：通过对系统边界的调查，确定各子系统边界情况。(2) 定级对象分析业务类型分析:通过对业务类型的分析，确定各系统的重要性。管理机构分析:通对管理机构的分析,确定安全管理机构设置的合理性。（3）定级要素分析业务信息分析:通过以上调查与分析，明确业务信息（系统数据）被破坏后受 侵害的客体（公民、法人和其他组织的合法权益，社会秩序、公共利益,国家安 全）和侵害程度。系统服务分析：通过以上调查与分析,明确系统被破坏或者中断服务后受侵害 的客体（公民、法人和其他组织的合法权益,社会秩序、公共利益，国家安全）和 侵害程度。综合分析:通过对业务信息分析与系统服务分析,分别确定其安全等级 确定 等级：取业务信息安全等级与系统服务安全等级中最高的为整个系统安全等级。（4）撰写定级报告撰写定级报告：通过以上调查与分析,撰写系统定级报告，包括系统描述、业 务信息安全保护等级的确定、系统服务安全保护等级的确定、整个系统安全保护 等级的确定等。（5 ）协助定级备案协助填写备案表：协助业主完成系统安全等级保护备案表的填写。协助评审审批:协助业主组织召开系统定级结果评审会,协助业主完成整个定 级审批过程。1.2 交付成果信息系统安全等级保护定级报告信息系统定级备案表2 安全建设规划2.1 工作内容根据等级化安全保障体系的设计思路,等级保护的安全建设规划包括以下内 容：1 安全域设计:根据系统定级情况,通过分析系统业务流程、功能模块，根 据安全域划分原则设计系统安全域架构。通过安全域设计将系统分解为多个层 次，为下一步安全保障体系框架设计提供基础框架。2 确定安全域安全要求:参照国家相关等级保护安全要求，设计不同安全域 的安全要求。通过安全域适用安全等级选择方法确定系统各区域等级，明确各安 全域所需采用的安全指标。3. 安全保障体系方案设计:根据安全域框架，设计系统各个层次的安全保障 体系框架以及具体方案。包括:各层次的安全保障体系框架形成系统整体的安全 保障体系框架；物理安全、网络安全、服务器安全等安全技术设计,安全管理制 度规划与设计。通过如上内容的规划，系统可以形成整体的等级化的安全保障体系，同时根 据安全术建设和安全管理建设,保障系统整体的安全。2.2交付成果信息系统安全等级保护建设规划方案3 安全等级现状测评为确保信息系统的安全保护措施符合相应安全等级的基本安全要求,需要实 施安全等级现状测评,以提出合理、有效的安全整改建议,为信息系统制定信息安 全规划和决策提供依据。测评机构将指导系统运维方开展安全评估工作,简要了解系统现有安全保障 措施与国家信息安全等级保护等级标准要求之间的差距，制定信息安全规划方 案；同时检查系统在技术层面存在的脆弱性漏洞,为后续安全加固工作奠定基础。3. 1等级保护差距分析按照等级保护实施要求，信息系统应该具备相应等级的安全防护能力，部署 相应的安全设备，制定相应的安全管理机构、制度、岗位等。差距分析就是依据等级保护技术标准和管理规范,比较分析信息系统安全防 护能力与等级要求之间的差距。为等级化体系设计提供依据。3.1.1工作内容差距分析将从技术上的物理安全、网络安全、主机系统安全、应用安全和数 据安全五个层面和管理上的安全管理机构、安全管理制度、人员安全管理、系统 建设管理和系统运维管理等五个方面分别进行。具体内容为：1 、技术差距检测 :(1 )物理安全:针对信息系统所处的物理环境即机房、线路、基础支撑设施等 进行标准符合性识别。主要包含:物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等 方面。(2) 网络安全:对评估工作范围内的网络与安全设备、网络架构进行网络安全 符合性调查。主要包含：结构安全与网段划分、网络访问控制、网络安全审计、 边界完整性检查、网络入侵防范、恶意代码防范、网络设备防护等方面。(3) 主机安全：评估信息系统的主机系统安全保障情况。主要包含：身份鉴别、 访问控制、安全审计、系统保护、入侵防护、恶意代码防护、资源控制等方面。(4) 应用安全：对信息系统进行应用安全符合性调查。主要包含：身份鉴别、 访问控制、安全审计、通信完整性、通信保密性、抗抵赖、软件容错、资源控制 等方面。(5) 数据安全：评估信息系统的数据安全保障情况。主要检查系统的数据在采集、传输、处理和存储过程中的安全。2、管理差距检测：(1) 安全管理制度：评估安全管理制度的制定、发布、评审和修订等情况。 主要涉及安全主管人员、安全管理人员、各类其它人员、各类管理制度、各类操 作规程文件等对象。(2) 安全管理机构:评估安全管理机构的组成情况和机构工作组织情况。主要 涉及安全主管人员、安全管理人员、相关的文件资料和工作记录等对象。(3) 人员安全管理:评估机构人员安全控制方面的情况。主要涉及安全主管人 员、人事管理人员、相关管理制度、相关工作记录等对象。(4) 系统建设管理：评估系统建设管理过程中的安全控制情况。主要涉及安全 主管人员、系统建设负责人、各类管理制度、操作规程文件、执行过程记录等对 象。(5 )系统运维管理:评估系统运维管理过程中的安全控制情况。主要涉及安全 主管人员、安全管理人员、各类运维人员、各类管理制度、操作规程文件、执行 过程记录等对象。3、等级保护差距分析:基于技术、管理层面的标准合规性检测结果,根据国家等级保护标准，结合行 业规范,针对标准的每项具体要求,从微观角度展开,深入分析信息系统与相应等 级要求之间的差距,并从宏观角度对计算环境、区域边界和通信网络等方面对单 元检测的结果进行验证、分析和整体评价，确认信息系统的整体安全防护能力有 无缺失,是否能够对抗相应等级的安全威胁,为安全规划设计提供依据。3.1.2 交付成果信息系统等级保护差距分析报告3.2 脆弱性检测脆弱性(弱点)是指可能为许多目的所利用的系统某些方面,包括系统弱点、 安全漏洞和实现的缺陷等。为识别和分析信息系统所存在的脆弱性,确认需要实 施安全加固与调优的事项，将首先进行脆弱性检测工作，从网络层、主机层和应 用层三个方面进行检测，本次脆弱性检测的主要内容是漏洞扫描和系统配置检 查。3.21 工作内容系统脆弱性检测涉及三个层面工作内容,包含整体的网络架构分析,服务器、 网络与安全设备的配置检查,以及漏洞扫描检测工作。具体内容如下:1、网络架构分析:进行网络架构分析的目的是查找需要对网络结构实施优化的事项,具体内容如下:；(1)网络现状识别：涉及应用系统和用户分布，安全；(2)网络安全分析: 从网络的整体架构进行考虑，紧;2、设备配置检查:；检查系统相关服务器、交换 机与安全设备的配置策略厂服务器手工检查:检查服务器操作系统、数据库；(2) 网络设备手工检查:检测交换机或路由器的VI； (3)安全设备手工检查:获取防 火墙的访问控制策略；3、漏洞扫描检测：；借助专业化漏如下：(1) 网络现状识别：涉及应用系统和用户分布，安全域划分，区域边界之间 所采取的访问控制措施,网络带宽需求及现状,对数据流向的安全控制，设备链路 冗余设计，对网络带宽的管控措施,远程访问通信链路的加密,各区域内所采取的 入侵检测，安全审计措施,网络出口所采取的入侵防范、病毒过滤、垃圾邮件过 滤措施、终端用户接入认证等内容。(2) 网络安全分析：从网络的整体架构进行考虑,紧密结合业务应用现状,识别 重要信息系统部署和用户所在网络区域的分布情况,分析网络设计布局的合理性, 是否存在单点隐患，确认链路带宽是否满足业务要求,检查产品设备老化问题,确 认设备性能是否满足要求,分析网络区域边界是否定义清晰,安全域划分是否合 理，服务器、终端接入是否安全，各类安全设备的部署是否到位等。2、设备配置检查:检查系统相关服务器、交换机与安全设备的配置策略,具体内容如下：(1) 服务器手工检查：检查服务器操作系统、数据库和中间件的开放服务及 端口、账户设置、文件权限设置、审计、共享资源、补丁更新和病毒防护等情况；(2) 网络设备手工检查：检测交换机或路由器的Vian划分、路由表配置、访 问控制列表ACL、IP和MAC地址绑定情况、设备登录认证方式、口令设置等配 置项；(3) 安全设备手工检查：获取防火墙的访问控制策略、以透明还是路由方式部 署、NAT地址转换、网络连接数限制等信息，检查入侵检测、安全审计设备的 审计策略配置、特征库版本情况等。3、漏洞扫描检测：借助专业化漏洞检测工具,对检测范围内的交换机、路由器和服务器实施扫描, 发现配置上存在的弱点,作为对手工检查工作所获取数据的补充，同时也是制定 安全加固方案的重要依据。3 .2. 2 交付成果信息系统脆弱性评估报告3.3 渗透测试通过模拟黑客对信息系统进行渗透测试，发现分析并验证其存在的主机安全 漏洞、敏感信息泄露、SQL注入漏洞、XSS跨站脚本漏洞及弱口令等安全隐患， 评估系统抗攻击能力，提出安全加固建议。331 工作内容针对信息系统的渗透测试将采取两种类型：第一类型:互联网渗透测试,是通过互联网发起远程攻击，比其他类型的渗透 测试更能说明漏洞的严重性;第二类型：内网渗透测试，通过接入内部网络发起内部攻击,主要针对信息系 统的后台管理系统进行测试。3.32 交付成果信息系统渗透测试报告34 源代码测评源代码安全测试对所提供的源代码采用工具进行安全扫描,分析和软件安全 风险管理,并给出安全问题审计结果，安全问题描述和推荐修复建议。3.4.1工作内容依据 CVE(C o mm on Vul nera bil ities & Exposures)安全漏洞库、设备 及软件厂商公布的漏洞,根据测试用例对信息系统的源代码进行安全扫描,对安全 漏洞进行识别,给出整改建议3. 4 .2交付成果信息系统源代码测试报告4 信息系统安全整改咨询信息系统安全整改包含3方面工作内容:首先测评机构将指导系统运维方针对脆弱性检测和渗透测试所发现的技术层面的安全隐患进行整改，其次以等级保 护对应等级的管理要求为依据建立健全信息安全管理制度，最后依照信息系统安全规划方案指导信息系统优化和完善信息系统安全防护措施，并对系统安全整改情况进行跟踪和效果评价,为后续开展的等级测评工作奠定良好基础。41 安全加固与优化根据前期脆弱性评估、渗透测试结果,结合信息系统的业务需求,对信息系统 相关设备进行安全策略加强、调优等，加强网络、系统和设备抵御攻击和威胁的 能力，整体提高网络安全防护水平。4.1.1 工作内容根据前期对信息系统进行的调研、评估与测评结果,以脆弱性评估报告和渗透 测试报告为依据,根据网络安全特殊需求和业务流程制定安全加固方案，在不影 响当前业务开展的前提下，对信息系统内的操作系统、数据库、安全设备以及中 间件的安全配置策略进行加强,及时消除因安全漏洞被恶意攻击者利用从而引发 的风险。根据信息系统网络现状,本次项目安全加固对象分为四类，即信息系统内的操 作系统、数据库、中间件以及网络与安全设备。4 .1.2交付成果信息系统安全加固与优化方案4 .2 等级保护制度建设以等级保护差距分析结果为依据，依照安全保障体系设计所提及的建设内 容，按照等级保护标准要求，制定等级保护管理体系框架，明确管理方针、策略, 以及相应的规定、操作规程、业务流程和记录表单;测评机构从结合信息系统实 际业务流程的原则出发，指导系统运维方按照等级保护对应等级的管理标准,编 写管理制度文件，并进行反复沟通和修订,确保所制定的文件的适用性,且满足各 系统相应保护等级的安全管理要求。4.2.1工作内容制定和完善与信息系统的安全保护等级相适应的配套管理制度,制度相关内容如下:(1) 安全管理机构：加强和完善安全机构的建设，设立指导和管理信息安全 工作的信息安全领导小组,设立安全主管、安全管理各个方面的负责人，明确定 义各个工作岗位的职责。建立各种安全管理活动的审批程序，明确对内对外的沟 通协作方式,建立对各项安全管理活动的监督审核机制。(2) 安全管理制度：在差距分析的基础上,建立信息安全工作总体方针、安全 策略，以方针策略为依据建立配套的安全管理制度及流程规范，由专门的组织机 构负责管理制度的制订、发布和贯彻落实。定期对制度进行评审和修订，确保管 理制度的适用性。(3) 人员安全管理:主要涉及两方面，对内部人员的安全管理和对外部人员 的安全管理。具体包括人员录用、人员离岗、人员考核、安全意识教育和培训和 外部人员访问管理等方面。(4) 系统建设管理：为了建设符合安全等级保护要求的信息系统、系统建设管 理主要关注的是信息系统生命周期中的前三个阶段(即设计、采购、实施)中各项安全管理活动,实现信息系统的安全管理贯穿系统的整个生命周期。系统建设管理分别从工程实施建设前、建设过程以及建设完毕交付等三方面考虑,具体包 括系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、 工程实施、测试验收、系统交付、系统备案、等级测评和安全服务商选择等方面。(5) 系统运维管理：系统运行涉及到很多管理方面,要保证系统始终处于相应 安全保护等级的安全状态中。要监控系统发生的重大变化，以便修改对应的安全 措施。系统运维管理主要包括环境管理、资产管理、介质管理、设备管理、监控 管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码 管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理等方面。4. 2 .2交付成果信息系统安全管理制度5信息安全等级测评信息系统安全等级测评是测评机构依据国家信息安全等级保护制度规定，按 照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行 检测评估的活动。信息系统安全等级测评主要检测和评估信息系统在安全技术、安全管理等方面是否符合已确定的安全等级的要求；对于尚未符合要求的信 息系统，分析和评估其潜在威胁、薄弱环节以及现有安全防护措施,综合考虑信 息系统的重要性和面临的安全威胁等因素,提出相应的整改建议,并在系统整改后 进行复测确认，以确保整改措施符合相应安全等级的基本要求。5.1测评内容针对信息系统的安全等级测评的内容如下:(1)按照信息系统安全等级保护测评要求,从以下方面进行等级测评： 技术安全测评：包括物理安全、网络安全、主机安全、数据安全、应用安全；管理安全测评:包括安全管理制度、安全管理机构、人员安全管理、系统建设 管理、系统运维管理;综合测评:包括安全控制间安全测评、层面间安全测评、区域间安全测评、系 统结构安全测评。(2)对每个保护类的子项给出测评结果并分别提出改进建议；(3) 按照整改结果进行复测,出具等级测评报告。5. 2交付成果信息系统等级测评报告二、信息安全等级保护服务报价;等级保护按照运行的业务进行定级，不同业 务可以定不;按照10个业务系统计算，进行定级备案、建设规划、；10个三级 系统:;预估总价=3 4 .78+9x3. 5 5=66.73 万;预估总价=20. 7 7 + 9 x 2 .1=39.6 7 万 元;预估总价=34.7 8+4x3.55 + 5x 2.1 =；附件:；三级系统报价；二级系统报价;二、信息安全等级保护服务报价等级保护按照运行的业务进行定级，不同业务可以定不同保护等级,根据基础 网络、管理制度复用原则进行多个业务系统报价(三级、二级系统报价明细见附 件)。按照 10 个业务系统计算，进行定级备案、建设规划、安全测评、整改咨询、 等级测评报告等5 项服务,预估报价如下：10个三级系统：预估总价=3 4.78+9x3. 55=66.7 3万元10个二级系统：预估总价= 2 0.77+ 9 x2. 1=39. 67万元5个三级系统5个二级系统:预估总价=3 4.78+ 4 x3.55+5x2.1= 5 9.48 万元