市工商行政管理局信息系统安全服务细则20242024 年年 77 月月目录1. 安全评估服务(包括漏洞扫描)21.1。 服务概述 21。2. 服务内容 21.3。 提交文档 52. 安全加固服务 52。1。 安全加固内容 52。2。 安全加固流程 72。3. 提交文档 73. 网站防篡改服务 73.1。 防篡改原理 73。2。 防篡改实现 83。3。 服务特色 83。4。 提交文档 94。 值守服务 94.1. 服务概述 94.2。 服务内容 94。3。 提交文档 105。 应急响应服务 105。1. 服务概述 105。2. 服务内容 115.3。 提交文档 136。 安全培训 137. 电信服务承诺 131. 安全评估服务(包括漏洞扫描)1.1. 服务概述主机系统与应用的全面评估是个连续的、周期性的工作,通过定期的安全评估结果结合对系统进行反复地安全加固,以达到系统与应用安全的目的。通过专业工具扫描和人工检查的方式进行专业安全的技术评定,检测已存在的安全弱点,评估安全风险,以及可能出现安全弱点.1.2. 服务内容为了确保安全风险评估能够在过程可控、目标可控的情况下进行,四川公用信息产业有限责任公司采纳 PDCA 过程方法将整个安全评估检查项目分为五个子过程进行控制。另外,根据以往在安全评估项目中获得的经验,四川公用信息产业有限责任公司特别强调在每个子过程实施中的开放式沟通和阶段性回顾,通过沟通和回顾将最大可能地、较全面地发现安全风险,并保证了在达成共识的前提下输出风险评估结果,也为用户后续的风险管理过程做了良好的过渡.四川公用信息产业有限责任公司在参考国际公认风险管理标准 AS/NZS4360 和 NIST SP800—30 的基础上,根据长期风险评估项目实施经营总结出来的评估流程。该流程把 NIST SP800—30 的九个步骤融合在五个过程中进行可持续改进的过程控制,同时更加强调了 AS/NZS4360 中的环境准备过程,因为由于特定单位的风险复杂性,导致风险评估的第一步已经不在是简单地了解业务系统和确定评估范围,它将更多地考虑来自平台的期望、评估目的以及系统的特点。通过扫描、安全检查等方式发现安全漏洞,以及模拟黑客攻击对系统和网络进行非破坏性的攻击性测试.通过可以发现逻辑性更强、更深层次的漏洞,并直观反映漏洞的潜在危害.安全评估的范围包括泸洲市工商局信息系统中所有应用服务器 10 台,互联网门户网站、年检各 1 台,内网综合业务系统 2 台、12315 系统 2 台、OA 系统、DNS、杀毒、共享各 1 台;网络安全设备共 6...
