1

中心所有系统安全保障

渗透测试

每月对中心所有系统的互联网应用部分模拟黑客的攻击方法对系统和网络进行非破坏性质的攻击性测试。渗透测试在保证整个渗透测试过程都在可以控制和调整的范围之内尽可能的获取目标信息系统的管理权限以及敏感信息，并将入侵的过程和细节产生报告给用户，由此证实用户系统所存在的安全威胁和风险，并能及时提醒安全管理员完善安全策略。每月出具《系统安全月度报告》；

每年一次在内网对关键系统进行模拟黑客的攻击方法对系统和网络进行非破坏性质的攻击性测试。出具《渗透测试报告》对发现的安全问题（说明、危害、修复方式）进行逐项说明并提供参考解决方案；

整改支持

针对在安全检查过程中发现的安全问题提供整改支持，内容包括：问题讲解、修复方式介绍并协助修复；

在整改支持阶段，整理测试产生的所有安全问题并形成《漏洞修复跟进表》定期对漏洞修复情况进行跟踪；

回归测试

对检查中发现的问题整改部分进行补充测试，确认修复效果。

现场检查

每季度现场对服务器安全状况进行检查并出具报告。检查范围包括系统相关的：主机系统、应用前端。检查内容包括：系统账号、系统的账号权限划分、密码强度、访问限制、访问控制协议加密、系统漏洞扫描、恶意程序检测（病毒、木马等）、操作日志、端口开放情况、组件及服务安全状态检测。应用安全巡查包括不限于：网站木马检测、应用权限检测。

隐患扫描

每月对主机操作系统、网络设备、数据库进行全面扫描检测。漏洞库需符合国际CVE标准。

2

日常

整改

信息安全隐患梳理

梳理日常信息安全检查结果，整理成安全《隐患修复跟进表》。跟进表需包含：时间、漏洞类型、危害级别、详细地址、修复情况等。将安全隐患按照信息系统、责任厂商、危害级别等方式进行分类整理；

整改监督

按照信息系统、责任厂商分类对安全隐患进行下发确认，确认各责任厂商进行隐患接收。

提供在线技术支持，对责任厂商隐患修复过程中的技术问题进行指导培训；

定期开展复查工作，对各安全隐患修复情况进行回归测试，更新《隐患修复跟进表》；

定期召开安全月度会议，对隐患综合情况进行通报并确认下一步工作。

3

新系统上线测试

对新应用系统上线前进行安全检测工作。检测内容：针对系统安全性、保密  性、稳定性存在的隐患进行评估，评估范围包括不限于：身份鉴别、访问控制、安全计、剩余信息保护、入侵防范、恶意代码防范、资源控制等。针对应用系统的安全性进行的评估，分析应用程序体系结构、设计思想和功能模块，从中发现可能的安全隐患。检测范围包括不限于：SQL注入、失效的身份认证和会话管理、跨站脚本（XSS）、不安全的直接对象引用、安全配置错误、敏感信息泄漏、功能级访问控制缺失、跨站请求伪造（CSRF）、使用含有已知漏洞的组件、未验证的重定向和转发等。

4

信息安全应急响应及演练

应急响应

对突发的网络安全公共事件做出第一时间响应，通过定制一定流程完成整个事件应急响应工作，包含以下几点：先期处置、应急指挥、应急支援、信息处理、应急结束。应急响应级别：7*24，一小时到现场；

应急演练

进行每年一次的应急演练，内容包括：搭建模拟的重要系统环境，模拟黑客对重要系统进行各类常见攻击。同时，在此类紧急事件产生时，进行各信息安全组织部门（信息中心、安全运维方、监管部门-网安总队）的安全应急演练。

每年4次及以上应急响应、1次应急演练

5

日常

监控

安全性监控

基于互联网云中心对业务系统安全态势的7*24持续监控；漏洞监控方面可以及时的发现由于被监控系统的更新、维护、环境变更等原因导致的安全状况变更，有效的跟踪反馈被监控系统的安全状态趋势。安全事件监控方面可以及时的发现被监控系统被篡改、被植入恶意代码等事件的发生；

可用性监控

基于互联网云中心对业务系统可用性态势的7*24持续监控；可用性监控可以及时的发现被监控系统因为网络故障、主机宕机、服务终端等原因造成的业务系统不可用等异常状态。

中心暴露在互联网上的所有系统

1

重点检查技术支持及信息安全管理咨询

重点检查技术支持

全程配合全市重点信息安全检查工作。对检查机构提出的问题提供咨询建议，配合业主方实施整改工作；

信息安全管理制度梳理

按照网络安全法、密码法等法律法规要求，以及网络安全等级保护、商用密码应用安全性评估标准等要求，对现有信息安全管理制度进行梳理和归档，形成《信息安全管理制度汇编》；

信息安全管理制度修订咨询

根据现行法律法规、行业规范对信息安全管理制度进行修订咨询和完善，使其符合现行的管理要求；

信息安全管理配套文件咨询

对信息安全管理制度落地执行需要的表格文件进行编制。

合规性咨询

在信息系统建设过程中，如何满足国家法律法规、行业性标准要求提供合规性咨询，使信息系统安全防护工作符合对应标准。内容包含：信息安全管理体系咨询、IT治理、IT内部控制、IT规划、信息安全风险评估、业务连续性、IT服务管理、开发安全和运维；

技术咨询

软件开发过程中应注意的安全问题、代码安全规范、服务器安全配置规范、各类技术架构安全性对比及常见安全问题的咨询建议；

管理类培训

为用户提供以意识和管理为导向的安全培训，培训主要涉及意识、规范、管理、制度等方面的安全观；

技术类培训

为用户提供以技术为导向的安全培训，培训主要涉及系统、网络、主机、应用、数据等方面得安全技能。

全面评价

对中心所有系统安全性进行全面评价，每半年一次，提交评价报告和整改建议。

培训每年3次