(6)ISO/IEC 9001:2008质量管理体系 (7)ISO/IEC 20000: 2005 IT服务管理体系
(8)ITIL(Information Technology Infrastructure Library) 2.0 IT基础架构库终端设备的日常维护
(9)ITSS(Information Technology Service Standards)信息技术服务标准
3.2信息系统安全服务
风险评估和安全加固工作贯穿于信息系统的整个生命周期的各阶段中。在运行维护阶段,要不断地实施风险评估以识别系统面临的不断变化的风险和脆弱性,并通过安全加固进行有效的安全措施干预,确保安全目标得以实现。
3.2.1风险评估
风险评估的目的是了解和控制运行过程中的信息系统安全风险,运维阶段的风险评估是一种较为全面的风险评估。评估内容包括对真实运行的信息系统、资产、威胁、脆弱性等各方面。
(1)资产评估:对真实环境下较为细致的评估,包括实施阶段采购的软硬件资产、系统运行过程中生成的信息资产、相关的人员与服务等。本阶段资产识别是前期资产识别的补充与增加;
(2)威胁评估:真实环境中的威胁分析,应全面地评估威胁的可能性和影响程度。对非故意威胁产生安全事件的评估可以参照事故发生率;对故意威胁主要由评估人员就威胁的各个影响因素做出专业判断;同时考虑已有控制措施;
15
(3)脆弱性评估:全面的脆弱性评估。包括运行环境下物理、网络、系统、应用、安全保障设备、管理的脆弱性。对于技术的脆弱性评估采取核查、扫描、案例验证、渗透性测试的方式验证脆弱性;对安全保障设备脆弱性评估时考虑安全功能的实现情况和安全措施本身的脆弱性。对于管理脆弱性采取文档、记录核查进行验证;
(4)风险计算:根据相关标准,对主要资产的风险进行定性或定量的风险分析,描述不同资产的风险高低状况。
3.2.2安全加固
安全加固是指对在风险评估中发现的系统安全风险进行处理,按照级别不同,应该在相应时间内完成。安全加固的内容主要包括:
(1)日常安全加固工作,主要是根据风险评估结果进行系统安全调优服务,根据系统运行需要适时调整各类设备及系统配置、合理规划系统资源、消除系统漏洞,提高系统稳定性和可靠性;
(2)主动安全加固,在未出现安全事故之前就对已经通报或者暴露出来的软件漏洞或最新病毒库更新,就主动进计划的升级和改进,从而避免出现安全事故。
具体加固内容包括但不限于:帐户策略、帐户锁定策略、审核策略、NTFS、用户权限分配、系统服务策略、补丁管理、事件日志、应用软件的更新等。
3.2.3应急响应
应急状态的安全值守、响应工作,主要是系统应急响应、重大安全故障处理,确保系统出现安全事件时快速反应、及时处理,降低系
16
统安全问题对XX局内工作的影响。
3.2.4安全巡检
安全巡检主要是指深入现场,了解情况:质检服务内容中的各类安全设备,了解安全设备运行情况,仔细观察各个安全节点的可靠性,并综合安全巡检情况,定制安全策略。
3.2.5安全监控
对服务内容进行监控,在安全环境产生变化时,及时更新安全策略,在现有设备和网络情况有改变的时候,快速制定,针对更新后设备环境的安全策略,并实施部署。避免因设备变更而带来的安全风险。
3.2.7安全通告
定期安全通告,在互联网上出现新型病毒或者新出现漏洞并且部分修补的情况下,制作安全通告及时告知相关运维人员,增强对于新型病毒和漏洞的防御力。 3.3系统设备维修及保养服务
针对本项目中的系统硬件设备,除在4.1.1中提供的日常运维服务外,要求运维团队提供设备的维修及保养服务。主要包括:
(1) 当硬件设备出现故障时,硬件设备故障部件的现场替换工作
或对返修工作,具体如下:
故障设备名称 内存条 硬盘 CPU 主板 电源模块
现场替换 是 是 是 返修 是 是 是 备注 视现场情况,可提供现场更换 有冗余电源的,返修后更换;无冗余电17
源现场更换。 网卡 散热模块 其他设备 是 是 是 散热模块都有冗余,可在返修后进行更换 其他非常规设备,只能原厂返修 (2) 非故障时期对系统硬件设备的定期现场巡检、功能性能测试
等日常保养工作,具体如下: 1. 电源是否稳定; 2. 散热是否正常;
3. 检查服务器指示灯是否有故障灯亮起;
4. 定期用测试软件对服务器CPU性能进行压力测试,并给予打分;
5. 定期用测试软件对服务器内存读取速度进行测试,并给予打分;
6. 定期用测试软件对服务器硬盘I/O能力进行测试,并给予打分;
检查出故障的按第一条进行相应处理,无故障但是在性能测试中分数较低者,提出相应更换或者维修建议。
(3) 要求运维团队每年定期对服务器进行一次除尘工作,既提高
服务器的散热能力,也可避免由于微尘造成的服务器线路不通、性能降低或短路等危险。
3.4软件系统升级及维保服务
针对本项目中的防病毒软件、公文综合管理及会议管理系统、智
18