门户网站系统服务方案模板.docx
- 文档编号:11573971
- 上传时间:2023-03-19
- 格式:DOCX
- 页数:17
- 大小:33.60KB
门户网站系统服务方案模板.docx
《门户网站系统服务方案模板.docx》由会员分享,可在线阅读,更多相关《门户网站系统服务方案模板.docx(17页珍藏版)》请在冰豆网上搜索。
门户网站系统服务方案模板
XX服务方案(模板)
生命周期
发行
客体对象
门户网站系统
提交时间
X-10-12
最新版本
V1.0
X年10月
文档审批信息
审阅人
审阅时间
审阅意见
文档修订记录
版本
日期
准备
批准
修订描述
V0.0
X-5-9
X
发行以评审
V1.0
X-10-11
X
最后发布
1项目背景
站作为用户对外沟通的重要载体,其已经成为区政府及其部门发布区政府信息、提供在线服务、与公众互动交流的重要平台和窗口。
在提高区行政效能、提升区政府公信力等方面发挥了重要作用。
2项目概述
1
2
2.1目标
通过对X网站进行关于可用性、性能和安全性方面的综合检测,发现X网站建设过程中在系统改造、技术升级和运行维护中存在的安全弱点。
以便在技术防护、安全管理和运行维护方面采取针对性的措施。
切实保障X网站的安全和可靠的运行。
2.2检测范围
本次的安全检测服务范围主要是X门户网站平台。
其中包括X门户网站的网络设备,服务器设备和应用系统等。
2.3检测参考依据
通过可控的安全检测技术对限定范围内的网站及主机系统进行检测,同时依据下列相关信息安全标准及法令法规的指导性安全框架进行最佳的实践操作。
●国家等级保护相关技术规范
●NISTSP800-35:
GuidetoInformationTechnologySecurityServices
●NISTSP800-115:
GuidetoInformationSecurityTesting(Draft)
●WEB安全组织OWASP发布的测试指南(OWASPTestingGuideV3.0)
●沪网安办[X]2号文《上海市政府网站安全保障指南(试行)》
●沪网安办[X]4号文《关于进一步做好政府网站安全管理试点工作的通知
2.4检测原则
针对X门户网站平台的安全性检测服务将在确保可靠性、可控性和保密性三大原则的基础上进行。
2.5风险规避
在安全检测过程中,工作人员的检测操作会尽量避免影响正常业务的运行,同时会采取风险规避的措施。
但是由于检测过程复杂,安全检测服务仍然有可能对目标网站的正常运行造成一定不同程度的影响,检测过程中主要采取以下措施进行风险规避。
2.5.1规避方式
针对检测过程中可能出现的风险,工作人员将采取以下策略来规避安全检测对信息系统带来的风险。
2.5.2应急预案
针对本次安全检测工作中可能发生的不可预见性事件,充分估计并考虑事件带来的影响,制定针对不同事件的应急预案。
3安全检测架构
3.1设计思路
信息安全风险评估实施过程中需体现可实施、可调整、可量化三个方面。
通过增强安全风险评估手段和方法的适应能力,对于各类型的门户网站等信息网站,可以灵活的调整检测手段并进行有针对性的检测,同时优化评估模型,确定网站面临的主要风险,适应不同网站不同的维护方式。
3.2安全检测架构
略
4安全检测方案
4.1安全检测内容
针对X门户网站平台的检测内容主要包括网X全检测、系统安全检测、Web应用安全检测、网站源代码检测、网站系统性能瓶颈检测及网站性能与连通性检测六个方面,具体如下:
4.1.1网X全检测
网X全检测主要是针对上海X门户网站的网络结构、网络设备、配置设备运行状态、网络冗余性等方面进行检测。
从而发现潜在的网X全隐患和网X全威胁,根据检测出的问题,我们将给予建设性的意见,以便问题在萌芽状态就采取有利措施,保障网X全。
4.1.2系统安全检测
服务器操作系统是WEB网站的运行平台,服务器操作系统的安全是网站安全的前提和基础,服务器操作系统安全上存在的脆弱性和漏洞将导致攻击者获取系统的高等级权限,进而获取对网站的完全控制权。
4.1.3Web漏洞检测
根据GB/T22239—2008(信息安全技术信息系统安全等级保护基本要求)中的网X全管理部分要求,定期对Web网站进行漏洞扫描,对发现的Web漏洞进行验证并提供整改建议。
4.1.4网站源代码检测
在新网站上线前和网站代码修改或变更后,使用专业的网站代码安全性检测系统对特定语言编写的代码进行弱点检测,并出具弱点整改和建议报告,以便减少网站程序漏洞,促进开发商编码的规范和安全性。
4.2检测手段
在安全检测过程中采用的检测方法主要包括工具检测和人工分析,完全依赖工具,工具会产生与之俱来的误报,因此需要结合人工验证,过滤误报的漏洞,确认确实存在的漏洞和威胁。
并可根据存在的风险的等级,提出相对应的风险应对策略和措施。
具体如下:
4.2.1工具检测
系统安全检测工具:
对操作系统进行安全漏洞扫描;本地安全策略配置,系统服务端口,系统口令设置,系统漏洞管理,系统最小服务等方面进行综合检测和分析,以为用户提供可视化的系统安全状态。
4.2.2人工分析
人工分析的主要工作是对扫描发现的弱点以及信息进行分析验证,找到真实存在的漏洞并进行利用或者发掘出新的弱点。
人工分析是检测工作的重要部分,主要依靠检测人员的知识和经验进行。
4.3检测流程
如上图所示,安全检测工作主要分为准备阶段、实施阶段、总结阶段三个阶段开展,具体工作内容如下:
5项目实施计划
序号
工作任务
描述
责任人
1
目标网站信息收集
由用户方提供检测网站的基本信息,如网站名称、域名、IP等
用户
2
技术准备工作
平台及检测工具的准备和搭建,数据的初始化、审核等
X
3
检测实施
对区门户网站平台内的主机及网X全威胁实施检测
X
4
结果报告分析整理
对检测结果进行人工分析和整理,形成检测分报告
X
5
问题整改
根据形成的各类安全检测报告由用户单位进行整改
用户
5项目交付定义
针对X门户网站安全运维工作中的每项工作,都保持有书面记录,以做到有跟踪、有监督、有改善、有反馈。
关于网站安全运维中的关键项工作,交付物例定义如下表。
序号
工作项
交付物名称
1
网X全检测
网络(配置、流量、攻击等)检测报告
2
系统安全检测
网站系统安全检测与建议报告
3
网站源代码安全性检测
网站源代码安全性评估报告
网站源代码安全性复测报告
4
系统性能瓶颈检测
网站系统压力测试报告
网站系统性能分析报告
5
网站性能与连通性检测
网站性能与连通性趋势报告
6
网站页面漏洞扫描
网站漏洞扫描报告
7
网站系统渗透测试
网站系统渗透测试报告
8
网站渗透测试计划
9
委办局网站安全检测
委办局网站安全态势综合报告
10
安全公告
每月信息安全威胁防范公告
6组织保障
7
7.1服务组织结构
图5.1-1:
服务组织结构图
7.2岗位职责定义
关于图5.1-1中各岗位的工作角色和具体职责定义如下表。
工作角色
岗位职责
项目经理
负责项目的计划、实施和评审及验收等生命周期过程中的进度和绩效管理及项目运行中的沟通管理和质量管理。
技术经理
负责项目所需技术方案的编写和处理技术团队中碰到的问题。
管理项目运行中的技术任务的落实和跟踪。
顶起召开技术沟通会议,制定团队的技术培训方案并负责落实。
提高技术队伍的技能素养。
现场服务组长
负责跟客户现场服务的直接沟通和对客户需求的调研和分析。
负责跟踪现场服务的执行结果并监督现场服务工程师对客户要求的实现程度和对客户承诺的实现程度。
负责客户满意度的调查和反馈。
技术专家组长
做现场服务组的坚持技术支持后盾。
对安全运维中碰到的疑难问题提供解决方案。
对安全弱点或漏洞进行先期验证并提供修复的指导手册。
对安全运维工作的具体执行,根据特定用户制定运维的技术规范和流程。
咨询顾问组长
总体负责安全运维工作的全部咨询工作的客户需求分析和调研及咨询工作的开展。
负责项目中所需系统规划、体系建设、流程建立或完善等方面的综合型工作的开展。
主机安全工程师
负责现场安全运维中的主机安全策略,安全配置,主机安全状态,主机安全维护等方面的常态检查和分析。
并根据分析结果提供改善意见。
网X全工程师
负责业务现场的网络设备的配置策略,安全设备的运行状态及策略检查。
负责现场网络问题处理的技术支持。
以及网络和安全设备上线前的集成和测试工作。
应用安全工程师
针对业务的门户网站群进行页面漏洞扫描,在网站上线前对网站源代码进行安全性检测。
分析网站应用日志并生成报告。
数据安全工程师
负责数据库安全策略、安全选项配置、数据备份与存储。
数据通讯冗余等方面的定期巡检并提交分析报告。
主机安全专家
针对主机存在的安全问题,提供防护方案。
对发现的主机漏洞提供修复方案。
并先期测试主机安全加固方案的有效性和可靠性。
对网站主机系统进行安全规划。
对主机关键日志进行特异分析。
网X全专家
研究互联网安全威胁及发展形势,对客户提供前瞻性的网X全建设意见及方案。
支持现场网X全工程师并审核其提交的现场网X全巡检报告。
研究网络攻防技术,从攻击的角度看防御。
编写网X全防护方案和规划网络系统建设。
应用安全专家
网站平台安全检测与分析,网页漏洞验证,在授权情况下的网站渗透测试等方面的工作。
对应用安全工程师提交的工作交付物进行评审和质量把关。
数据库安全专家
评审数据安全工程师提交的工作报告,并对检查中存在的问题研究并制定解决方案。
对数据库的审计和维护制定规范。
对现场数据安全工程师提供技术支持。
等级保护咨询顾问
对用户的网站应用系统根据国家等级保护建设的相关标准进行评估,协助用户进行等保备案和定级。
以及主导相关网站系统的等保整改工作以顺利完成相应级别的等保测评。
安全运维咨询顾问
调研用户网站群及相关辅助系统的安全运维现状,制定安全运维体系。
开发安全运维度量标准和绩效评估规范。
风险管理咨询顾问
负责用户网站系统和政务公共信息平台的风险评估工作。
协助用户进行风险管理工作。
提供风险管理措施并辅助实施。
安全管理咨询顾问
调研用户门户网站和政府公共信息平台的安全管理现状,提供安全管理咨询,协助用户制定安全管理规范,组建安全管理组织,制定安全管理目标和策略。
组织安全管理评审。
6检测服务规范保障
8
8.1X安全服务流程
Luo-an的安全服务流程重点包括以下几个方面:
8.2安全运维操作规范
X针对安全运维服务中的各项工作。
在开展工作前,都会制定符合运维体系的标准策略规范。
做到现场实施工作前有准备,工作中有依据,工作后有追踪。
7检测服务沟通机制
有效的项目沟通直接影响着安全运维服务的质量。
X不仅制定了内部的有效沟通管理机制。
也制定有和用户进行良好沟通的机制。
关于两部分的沟通机制,请参考如下图所示:
9X安全运维服务质量控制
略
10
11
9X技术移交计划
在安全运维服务的工作过程中将分期分批移交产生的相应的技术文档。
以便用户可以及时进行跟踪和监督及归档。
附件一:
安全检测服务报价
序号
服务内容
服务说明
服务范围
服务方式/频率
提交文档
预算价格
备注
1
网X全检测
对网络结构、网络设备、设备运行状态、网络冗余性、防火墙策略、IDS/IPS管理和策略等方面进行检测
门户网站平台
12次(每月1次)
网X全检测报告
¥60,000
十八大前开展一次检测
3
系统安全检测
采用专用的网络隐患漏洞扫描系统对网站服务器上的操作系统弱点进行扫描并计算风险,对操作系统平台上安全的应用服务和平台插件进行脆弱性扫描。
人工对扫描结果进行分析和判断并汇总成报告,提供解决建议方案。
包括内容主是是网站服务器操作系统的安全配置、安全策略和补丁升级及恶意代码查杀等
门户网站服务器群
12次(每月1次)
检测报告
¥60,000
十八大前开展一次检测
4
网站源代码检测
在X新网站或者网站代码更新上线前,采用专业的网站代码测试平台,以“白盒”测试的方式对网站源代码进行安全性检测,针对网站编码的脆弱性进行评估从代码根源发现网站安全隐患。
门户网站
2次
源代码扫描报告
¥50,000
十八大前开展一次检测
5
网站系统性能瓶颈检测
在用户授权下,通过压力测试方式检测网站系统的资源配置和性能状况。
包括系统可以响应的时间和服务器资源占用等性能情况。
从而分析出网站系统性能是否存在瓶颈,并根据分析的结果有针对性的提出专业和建设性的意见。
门户网站
2次(半年1次)
压力测试报告
¥40,000
6
网站性能与连通性的检测
网站性能与连通性的检测主要是针对X门户网站的网站连通率,网站通断、域名劫持情况进行实时的检测,对发现的问题第一时间通过短信方式进行报警,以保证X门户网站的可用性和连通性。
门户网站
4次(每季度1次)
性能分析报告
¥10,000
十八大前搭建好检测平台并进行7*24小时检测
7
网站页面漏洞扫描
针对政府门户网站进行每季度的网页漏洞扫描。
评估网站页面中存在的漏洞的风险。
凡网站代码变更或者网站服务升级的情况下,都将进行网站页面漏洞远程扫描。
主要针对SQL注入、跨站脚本攻击、溢出攻击、信息泄露等进行扫描。
门户网站
8次(4次检测,4次验证复测)
网站页面漏洞扫描报告
¥15,000
十八大前开展一次检测
8
网站系统渗透测试
在获得用户网站管理人员的书面授权下,尽可能完整的模拟黑客使用的漏洞发现技术和攻击手段,对目标网络/主机的安全性深入探测,发现系统中最薄弱环节的过程。
直观的让管理人员知道自己网络所面临的安全问题。
(人工+工具)
门户网站
2次(半年1次)
网站渗透测试报告
¥50,000
9
委办局网站安全检测
针对委办局网站进行网页漏洞扫描。
评估网站页面中存在的漏洞的风险。
凡网站代码变更或者网站服务升级的情况下,都将进行网站页面漏洞远程扫描。
主要针对SQL注入、跨站脚本攻击、溢出攻击、信息泄露等进行扫描,并提供7*24小时网站性能及可用性检测。
委办局网站(提供50左右的部门网站安全检测服务)
4次页面漏洞扫描(2次检测,2次验证复测),并提供7*24小时网站性能及可用性检测
网站页面漏洞扫描报告
网站性能及可用性检测报告
¥80,000
十八大前搭建好检测平台并进行7*24小时检测
10
安全公告
每月进行一次信息系统安全通告,内容有操作系统、数据库、常规应用系统补丁升级;网X全漏洞、杀毒软件最新补丁包的更新信息;新病毒信息;信息安全管理体系新理念;新黑客技术;国际信息系统安全最新技术等信息等。
门户网站
12次(每月1次)
信息安全公告
赠送
服务总价
¥430,000
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 门户 网站 系统 服务 方案 模板