第三方安全测评服务评估技术方案.docx

第三方安全测评服务评估技术方案目录1技术建议书11.1 服务方案11.1.1 项目概况11.1.2 建设目标11.1.3 服务方法21.1.3.1 11常安全工作21.1.3.1.1 灌透测试柢述21.1.3.1.2 透测试意义31.1.3.1.3 渗透测试步骤41.1.3.1.4 浊透测试流程71.1.3.1.5 渗域测试报告91.1.3.2 三同步工作101.13.2.1 新业务上线安全检查目标101.13.2.2 2新业务上跳安全检查范围101.13.2.3新业务上线安全检杳内容101.1.3.3安全运维111.1.3.3.1 执行运维作业计划111.1.33.2设备运行运维111.1.3,3.3安全预警服务221.1.33.4应急响应演练251.1,3.4系统运雉311.1.3.4.1 系统运维柢述321.1.3.4.2 系统运维漉程321.1.3.4.3 统运维的内容341.1.3.4.4 系统运维的类型351.1.3.4.5 系统运维注意事项361.1.3.5.2 加大节日安全保障范用371.1.3.5.3 大节日安全保障内容381.13.6安全加固服务381.1.3.6.1 加固方法确定381.1.3.6.2 安全加固流程381.1.3.6.3 安全加固步骤411.1.3.6.4 实施验证411.1.3.6.5 加固蛤证411.1.3.6.6 补丁管理421.1.4 服务流程421.1.5 项目时间安排431.1.6 实施人员简历441.2 分工界面451.2.1 项目组织451.2.2 项目组织461.2.2.1 人员角色461.2.2.2 项目办公环境471.2.2.3 审计顾问访谈471.2.2.4 资料文档481.2.2.4.1 信息资产清单481.2.2.4.2 安全策略文档481.2.2.5 网络系统信息491.2.2.6 现有安全文档491.2.2.7 项目设备491.3 工具评细说明501.3.1 代码审计工具501.3.1.1 代码审计的系统原理5013.1.2.1软件功能分类511.3.1,2,2功能模块5113.1.2.3功能列表521.1.1.2.4 功能描述521.1.1.2.5 软件和安装所在便件设备对照表521.1.2 .3软件的体系结构5413.1.4 关犍技术541.3.1.5工具特点551.3.1.5.1 操作系统独立551.3.1.5.2 编译器独立、实除环境独立，搭建测试环境简单快速I1.统一5S1.3.1.5.3 工具学习、培训和使用的成本少，最小化影响实施进度5513.1.5.4I1.SiKJ1.i551.3.1.5.5 安全漏洞段前面广且全面（低漏报）561.3.1.5.6 安全查沏现则清晰且完全公开实现561.3.1.5.7 安全规则自定义简单而效561.3.1.5.8 审计性能571.3.1.5.9 规则自定义简单高效571.3.1.5.10 业务逻辑和架构WII险调查571.3.1.5.11 攻击路径的可视化,并以3。形式展现581.3.1.5.12 代码实践的加强581.3.1.5.13 该产品目前支持主流语言581.3.1.5.14 支持的主液框架O581.3.1.5.15 服务独立，全面的团队审计支持581.3.1.5.16 高度自动化审计任务591.3.1.5.17 支持多任务591.3.1.5.18 云服务实现591.3.2.2系统功能特性和性能指标591.3.2.2.1 软件功能分类591.3.2.2.2 能模块601.3.2.2.3 功能列表621.3.2.2.4 功能描述641.3.2.2.5 软件和安装所在硬件设在对照表6413.2.3软件的体系结构6S1.3,2.4关键技术6513.2.5工具特点661.3.3安全工具说明6613.3.1 信息收集工具6713.3.1.1.1 统介绍6713.3.1.1.2 行环境6713.3.1.1.3 源要求6713.3.2 网络扫描工具6713.3.2.1.1 具介绍6713.3.2.1.2 行环境6813.3.2.1.3 源要求681.3.3.3漏洞扫描系统681.3.33.1 系统介绍681.3.33.2 运行环境681.3.33.3 资源要求691.3.3.4 应用扫描系统691.3.3.4.1 系统介绍691.3.3.4.2 运行环境691.3.3,43资源要求691.3.3.5 安全配置核查系统691.3.3.5.1 运行环境701.3.3.5.2 资源要求7013.3.6 集成海透测试系统7013.3.6.1.1 系统介名47013.3.6.1.2 行环境7113.3.6.1.3 源要求7113.3.7 注入工具7113.3.7.1.1 具介绍7113.3.7.1.2 行环境7113.3.7.1.3 源要求7113.3.8 应用代理7213.3.8.1.1 具介绍7213.3.8.1.2 行环境7213.3.8.1.3 源要求7213.3.9 协议分析工具7213.3.9.1.1 具介绍7213.3.9.1.2 行环境7213.3.9.1.3 源要求721.4 技术资料详细清单731.4.1 信息资产清单731.4.2 安全策略文档731.4.3 测试工具文档741.5 服务内容751.6 实施计划761.6.1 实施方案761.6.1.1 项目启动计划761.6.1.2 项目进度时表771.6.13.1项目进度质量保证781.6.1.3,2项目进度控制方法781.6.13.3项目执行跟踪监控791.6.1.3.4项目管理会议措俺811.6.2项目质量管理841.6.2.1 质量控制841.6.2.2 质量记录851.6.2.3 标识可追溯851.6.2.4 审核与评审851.6.2.5 误差控制861.6.2.6 加固质量保隙871.6.2.7 评估质量保证871.63应急安全保障871.6.3.1 风险规避871.6.3.2 应急流程891.6.3.3 事件处理901.7成果验收911.7.1 项目成果交付911.7.1.1 安全评估交付物911.7.1.2 测试整改交付物921.7.1.3 其他项目交付物921.7.2 项目验收方案931.7.2.1 项目验收标准9417.2.2项目内容验收941.7.2.3项目质量验收951.8安全培训服务961.1.1 安全培训服务内容961.8.4 培训计划971.8.5 培训原则981.8.6 培训流程981.8.6.1 培训准备阶段981.8.6.2 培训实施阶段991.8.6.3 培训评估阶段991.8.6.4 培训流程示图1001.8.7 培训质量管理1001.8.8 培训楣关文档1012安全暮a议IOi2.1 概述1012.2 目标1012.3 安全整改措施1022.3.1 关于与组织管理的整改1022.3.2 关于网络与系统安全的整改1022.3.3 关于网络服务与应用系统的整改1032.3.4 关于安全技术管理与设备运行状况的整改1032.3.5 关于存他备份系统的整改1032.3.6 关于介质安全的整改1043项目蚪安排1051技术建议书1.1 服务方案1.1.1 项目概况近儿年来,信息安全的重要性逐步得到了各行业的广泛关注.国家相关部门也出台了多项政策、法规和标准，用以指导各行业的信息安全建设。由于信息安全相关的标准和法规相对抽象，加之信安中心承担了管理和生产职能，在突发事件处设等方面人员储备不足，受限于人员配置和资源问咫，部分安全工作需要大批安全工具及专人参与。为保障中国公司结合自身情况制定长期、系统、仃效的安全建设规划，提出驻场服务的需求。1.1.2 建设目标1、为安全工作开展提供高质量的安全保障服务。2、在发生网络调整，系统升级扩容，新系统上线等变更时，进行评估，给出明确的、可实施的安全建议及建设规划，配合相关安全工作开展。3、在日常工作中，协助安全人员开展定期的自查评估工作，设备或系统上线时，实施上线前的安全评估和反馈相关的制度、规范和流程的落实情况。4、保障日常工作中的网络安全。5、应急响应及安全事件分析.6、开展安全培训工作，提升相关人员的安全专业水平。7、对重要系统（网络安全整合平台）进行协助运维和推广。1.1.3服务方法本次安全值守服务项目我们提供以下服务方法，1.1.3.1 日常安全工作常态化漏洞扫描，弱口令检查，业务系统渗透测试及相关文档、总结撰写定期安全检查， 全网扫描（范围）。 根据目标主机数量制定扫描计划，每个月能保证至少完成一次对全部维护对象的安全扫描工作。 出具安全扫描结果并和维护人员进行面对面沟通确认，杼促维护人员进行整改和加固，加固结束后进行再次更查并出具更查报告，对于不能加固的漏洞提供安全解决建议。系统上线安全检杳：对手新的业务系统上线前，值守人抗配合完成上线设备的安全检查工作，安全检查包含以下几项工作：远程安全扫描 通过使用现有远程安全评估系统对上线设备进行扫描，确保没有离、中等级的安全问题，对于低等级的安全问题，应画保该问题不会泄露设备破惨信息本地安全检查 配合安全加固的对上线设备进行检查,以确保上线设备已进行了必要的安全设置 注：若已制定相关的安全准入规范，将使用提供的替代的远程油透窝试 对发杂的应用系统，如：系统，根据需求进远程渗透测试1.1.3.1.1 渗透测试概述渗透测试（）是指是从一个攻击者的角度来检查和审核一个网络系统的安全性的过程.通常由安全工程师尽可能完整地模拟黑客使用的漏涧发现技术和攻击手段，对目标网络/系统/主应用的安全性作深入的探测，发现系统最脆弱的环节。渗透测试能够直观的让管理人m知道自己网络所面临的问题作为一种专业的安全服务，类似于军队里的“实战演习”或者“沙盘推演”的概念，通过实战和推演，让清晰J'解目前网络的脆弱性、可能造成的影响，以便采取必要的防范措施。1.1.3.1.2 渗透测试意义从涵透测试中，客户能够得到的收益至少仃： 协助发现组织中的安全短板一次渗透测试过程也就是一次黑客入侵实例，其中所利用到的攻击渗透方法，也是其它具备相关技能的攻击者所最可能利用到的方法：由渗透测试结果所暴露出来的问卷.往往也是一个企业或组织中的安全最短木板，结合这些暴露出来的弱点和问题，可以协助企业有效的r解目前降低风险的最迫切任务，使在信息安全方面的有限投入可以得到最大的回报。 作为信息安全状况方面的具体证据和真实案例渗透测试的结果可以作为向投资方或管理人员提供的信息安全状况方面的具体证据，一份文档齐全有效的浅透测试报告有助于组织管理者以案例的形式向相关人员直观展示目前企业或组织的安全现状，从而增强员工对信息安全的认知程度，提高相关人员的安全意识及素养，甚至提高组织在安全方面的预算。 发现系统或组织里逻辑性更强、更深层次的弱点渗透测试和工具扫描可以很好的互相补充。工具扫描具仃很好的效率和速度，但是存在一定的误报率和漏报率，并且不能发现高层次、复徐、并且相互关联的安全问题；渗透测试的价值直接依赖于实施者的专业技能和素养但是非常准确，可以发现系统和组织里逻辑性更强、更深层次的弱点。 从整体上把握组织或企业的信息安全现状信息安全是一个整体工程，一个完整和成功的浅透测试案例可能会涉及系统或组织中的多个部门、人员或对象，有助于组织中的所有成员意识到自己所在岗位对系统整体安全的影响，进而采取措施降低因为自身的原因造成的风险，有助丁内部安全的提升.1.1.3.1.3 渗透测试步票渗透测试实际就是一个模拟黑客攻击的过程，因此其的实施过程也类似于一次完整的黑客攻击过程，我们将其划分为如下几个阶段：令预攻击阶段（寻找渗透突破口）Q攻击阶段（获取目标权限）令后攻击阶段（扩大攻击渗透成果）如下图：1.1.3.1.3.1 预攻击阶段预攻击阶段主要是为了收集获取信息，从中发现突破口,进行进步攻击决策。主要包括÷网络信息，如网络拓补、及域名分布、网络状态等令股务器信息，如信息、端口及服务信息、应用系统情况等。漏洞信息，如跟踪最新漏洞发布、漏洞的利用方法等其利用到的方法及工具主要有：网络配置、状态，服务器信息令Q令<r令其它相关信息（如服务器信息，服务器管理员信息等）Q、等搜索引擎获取目标信息 企业组织名称、个人姓名、电话、生日、身份证号码、电子邮件等等（网站、论坛、社交工程欺弱） 常规扫描及漏洞发现确认 端口扫描及指纹识别 利用各种扫描工具进行漏洞扫描（、等） 采用、3等工具进行防火墙规则探测令枭用对网络电备等进行发现 采用、等软件对常见漏洞进行扫描 果用如之类的商用软件对数据库进行扫描分析 应用分析（及敷据库应用） 采用、等工具进行分析对服务进行分析检测 用、进行注入和漏洞初步分析Q某些特定应用或程序的漏洞的手工验证检测（如注入、某些论坛网站的上传湖河、验证漏洞，某些特定软件的溢出海洞等） 采用类似的工具对数据库进行分析令用抓包协助分析1.1.3.1.3.2 攻击阶段攻击阶段是渗透测试的实际实施阶段，在这一阶段根据前面得到的信息对R标进行攻击受试,尝试获取目标的定权限。在这阶段,主要会用到以下技术或工具：账号口令猜解口令是信息安全里永恒的主题，在以往的渗透测试项目中，通过账号口令问题获取权限者不在少数。有用的账号口令除了系统账号如账号、账号外，还包括一些数据库账号、账号、账号、账号、账号、账号以及一些其它应用或者服务的账号口令。尤其是各个系统或者是应用服务的一些默认账号口令和弱口令账号。大多综合性的扫描工具都有相应的弱口令审核模块，此外，也可以采用、溯雪等比较专业的账号猜解工具。假冲区溢出攻击针对具体的溢出漏洞，可以采用各种公开及私有的缓冲区溢出程序代码进行攻击,如下图:Com3CgitmACX.1.n11f»1、A*wtWh*n?CIm.A>>1.MuBurvar1.cAr*IU>c1.upCI1.-Ar1.cIUiriuipCUnAra1.rtIU«iJuipCUnRnft1.1.<>f>*NtKVmiItCA11rqMNtorDHrCAHrqhtIitorDKeCABrghtStorUn1.vCAU(Vn，CS«m«：AI1.rc,rv*fOIstGCOortVKMtG<a>*v-rv>(<rtM<-Mm«*«v*<fM*基于应用Ii务的攻击基于、数据库或特定的或结构的网络应用程序存在的弱点进行攻击，常见的如注入攻击,跨站脚本攻击、一些特定网站论坛系统的上传漏洞、下数漏涧、物理路径暴露、重要文件暴露等均属于这一类型，特定的对象及其漏洞有其特定的利用方法，这里就不一一举例。1.1.3.1.3.3 后攻击阶段后攻击阶段主要是在达到一定的攻击效果后，隐藏和清除自己的入侵痕迹，并利用现有条件进步进行渗透，扩大入侵成果,获取敏感信息及资源，长期的维持定权限。这一阶段，一般主要进行3个工作：1）植入后门木或行键盘记录工具等，获得对对象的再次的控制权在其实的黑客入侵事件中，这一步往往还要进行入侵行为的隐藏比如清楚日志、隐藏后门木马服务、修补对象漏洞以防止他人利用等,但在渗透测试实例中却不需要如此,往往需要保留对象相应的日志记录，可以作为港透测试的相关证据和参考信息。2）获得对象的完全权限这一步主要以破解系统的管理分权限账号为主，有许多著名的口令破解软件，如1.Os、等可以帮助我们实现该任务。3）利用己有条件，进行更深入的入侵渗透测试在成功获取某个对象的一定权限后，就可以利用该成果，以此对象为跳板，进行进一步的入侵渗透“在这一步会重更预攻击阶段和攻击阶段的那些操作，因为前提条件的变化，可能实现许多先前不可能实现的渗透任务。此外，还这个阶段，还有一些有用的攻击方法也是比较有效的，比如嗅探、跳板攻击、欺骗、欺腑与（中间人）攻击等，都可以帮我们实现某些特定渗透结果。1.1.3.1.4渗透测试流程渗透测试与安全风险评估、安全加固等安全服务一样，在具体实施中都有可能带来一些负面风险，因此一个泮格的有效的实施流程是保证港透测试正常实施的关键，安全渗透测试服务严格遵循以卜的项目实施流程：1.13.1.4.1制定方案并获得授权合法性即客户书面授权委托并同意实施方案，这是进行渗透测试的必要条件。渗透测试首先必须将实施方法、实施时间、实施人员、实施工具等具体的实施方案提交给客户，并得到客户的书面委托和授权。实施方案大致包括下面几方面的内容：÷项目基本情况及目标介绍令渗透测试实施方案及计划渗透测试成果的审核确认应该做到客户对渗透测试所有细节和风险的知晓、所有过程都在客户的控制卜进行,这也是专业渗透测试服务与男客攻击入侵的本质不同.1.1.3.1.4.2信息收集分析信息收集是每一步渗透攻击的前提，通过信息收集才找渗透测试的突破口并细化渗透测试方案，有针对性地制定模拟攻击测试计划。信息收集主要涉及如下内容：令域名及分布 网络拓补、设备及操作系统令端口及服务情况 应用系统情况 最新漏洞情况 其它信息（如眼务器管理协的相关信息等）1.1.3.1.4.3 渗透测试方案细化根据预攻击阶段信息收集的结果，对渗透测试方案进行细化，主要是具体漏洞细节及针对这些漏洞的可能采用的测试手段，详细时间安排,以及可能带来的风险,需要客户配合或关注的地方等。方案细化后再次知会客户并取得客户同意授权才能进行下一步操作。1.1.3.1.4.4 渗透测试的实施在取得客户同意后，开始具体的实施过程，包括如下几方面内容：获得目标系统权限。后门木马植入，保持控制权令跳板渗透.进一步扩展攻击成果Q获取敏感信息数据或资源在实施过程中,特别提请注意的是采取的渗透测试技术及手段定不能导致对象的业务中断和工作异常，必须对对象的状态进行实时监控，必要的情况下可以要求客户协助进行。1.1.3.1.5渗透测试报告渗透测试之后，针对每个系统需要向客户提供份渗透测试报告相关系统网络渗透测试报告及报告十分详细的说明渗透测试过程中的得到的数据和信息，并且将会详细的纪录整个渗透测试的全部操作。渗透测试报告应包含如下内容：渗透结论包括目标系统的安全状况、存在的问题、涔透测试的结果等渗透测试项目的介绍包括项H情况、时间、参与人员、操作地点等渗透测试过程包括渗透测试的各个实施阶段中的方法、工具、技术及其操作细节等渗透测试的证据漆透测试的一些过程及证明文件解决方案针对渗透测试中发现的问题给出对应的解决办法和建议附录部分渗透测试中的一些其它相关内容，如异常事件的记录和处理等1.1.3.2三同步工作包括网络部、业务支撑与信息部，兼顾全部区公司新上线系统基线达标检查，新上线设省安全配置核查，各域新业务上线安全检查。1.1.3.2.1 新业务上线安全检查目标在新业务上线前，对相关的设备、业务系统应用进行安全检查，确保业务系统安全的入网上线，符合集团及上级机关的安全要求。1.1.3.2.2 新业务上线安全检查范围针对新系统/设备上线，提供安全检杳技术服务，检查范围涵盖新系统/设备的以卜方面：(I)检查对象包括新业务系统的应用程序代码,承教新业务运行的设备，包括网络及安全设备、主机系统、数据库和中间件(2)检卷内容包含设备的安全抽线配巴、安全漏洞1.1.3.2.3 新业务上线安全检查内容需提供管理支撑系统上线前安全检查服务。(1)对现有的核心系统新版本上线进行上线前安全检查：对管理支撑网所有涉及重要核心系统，包括：网络部、业务支撵与信息部，兼顾全部区公司新上线系统基线达标检查，新上线设备安全配置核查，各域新业务上线安全枪S：(2)对新上线的业务系统及新上线设备提供以下服务：安全漏洞检查，提供加固建议：安全配置合规检查，依据集团安全配置规范，并提供相关系统的针对性加固规范书：应用系统配置安全检查：新上线业务娟有互联网，须在互联网渗透测试：新业务的安全域规划和边界访问控制策略：®网络改造协助提供安全审计、建议和整改方案：新上线业务如有网站，对网站程序全面检查，提供应用安全加固建议；1.1.3.3安全运维1.1.3.3.1 执行运维作业计划I、定期巡检设备，每周一次。2、执行天、周、月作业计划.3、定期开展设备升级和安全加固工作.1.1.3.3.2 设备运行运维网络部、业务支掾与信息系统部安全设备运行运维，提供安全事态周，月，季度报表并汇总输出，分析安全事态提供决策依据，及时处理安全事件；安全漏洞监测及新漏洞通告服务,安全预警服芬，应急演练，应对上级安全检查准符工作。1、安全集中整合平台（包括漏洞扫描器、防病毒和补丁、安全监测系统、防篡改、安全域网络设备）；2、垃圾短信拦截平台协助运维；3、重要系统、潦量清洗设备运维（、网厅）：4、偃木蝶系统监测等。1.1.3.3.2.1设备运维目标及内容通过定期升级，对云定制化安全设备进行日常运维支撑，满足高可用、易用等使用耍求.具体内容如下:按规定周期定期检查并总结设符规则版本及系统版本,并将规则版本升级至官方推荐版本、将系统版木（引擎版本）升级至官方推荐版本，并定期输出安全设备版木运维记录讥定期进行安全设备状态检查、策略检查、接入检杳、配置合规检查、配置备份、日志统计各项工作，并定期饰出安全设备运营运维记录。结合云网络与业务特征优化安全设备告密监控指标和处理方法，指导针对云计算环境下出现的新类型安全事件的分析及解决，不定期输出安全设备运营优化建议。1.1.332.2设备运维服务流程采用的服务方式为两种：一种为技术人员现场值守，另一种是定期巡检结合故障现场服务。技术人员现场值守运行运维眼务的基本操作流程如下图所示：ITD1C定期巡检结合故障现场运行运维服务的基本操作流程如下图所示:11oiic1.1.3.3.2.3网络、安全系统运维从网络的连通性、网络的性能、网络的监控管理三个方面实现对网络系统的运维管理。网络、安全系统基本服务内容：序号服务模块内容描述1现场得件安装配合进行，按备件到达现场时间工程师到达现场2现场软件升级首先分析软件升级的必要性和风险,配合进行软件升级3现场故障诊断按服务级别：7X24小时5X8小时安全加固流程图系统加固1.1.3.6.3安全加固步51准冬工海一人操作，一人记录，尽量防止可能出现的误操作。收集系统信就加固之前收集所有的系统信息和服芬需求，收集所有应用和服务软件信息，做好加固前预备工作。做好领工用系统加固之前，先对系统做完全备份。加固过程可.能存在任何不可遇见的风险，当加固失败时，可以恢夏到加固前状态.加固麴期按照系统加固核对表，逐项按顺序执行操作。K1对加固后的系统，全部复查一次所作加固内容，确保正确无误。应急恢川当出现不可预料的后果时，首先使用备份恢竟系统提供服务，同时与总部安全专家小组取得联系，寻求帮助,解决问题，1.1.3.6.4 实施验证加固实施工程和在按照上述加固操作细节执行完毕后，由运维人员对主机上承载的业务进行验证，确认加固操作安全可靠，并对业务的正常运行无任何影响。1.1.3.6.5 加固验证按照整个的加固流程，在这个加固操作执行完毕后，由安全评估商对所加固的系统进行二次评估，从而对系统的安全现状进行再次评估，也是对安全加固操作的一个有效的确认。而对与仃些为加固的系统以及系统中未执行的加固项,都会在加固最终的实施报告中予以体现。1.1.3.6.6 能特性和性能指标1.3.1.2.1 软件功能分类1 .管理应用：接受客户端扫描和杳询请求，规则自定义，集中式提供企业级的、角色和团队管理、权限管理、扫描结果管理、扫描调度和自动化管理、扫描资源管理、查询规则管理、扫描策略管理、更新管理、报表管理。2 .扫描引擎：执行具体扫描（分布式扫描和并行扫描），接受管理应用的扫描任务.并将扫描的结果存放在数据库，供管理应用查询和管理。3 .客户端：管理应用的疲客户端，可以允许多个客户端在局域网内按照所赋予的权限和级别执行相应的代码扫描和结果审查及管理。4 客户端：用于公司局域网或者外部网络采用或者实施插件使用扫描服务。5 浏览器、和：客户端，用于公司局域网或者外部网络采用或者实施插件使用扫描服务、管理扫描结果。1.3.1.2.2 功能模块1 .管理应用：接受客户端扫描和查询请求，规则自定义,集中式提供企业级的、角色和团队管理、权限管理、扫描结果管理、扫描调度和自动化管理、扫描资源管理、杳询规则管理、扫描策略管理、更新管理、报表管理。2 .扫描引擎：执行具体扫描（分布式扫描和并行扫描），接受管理应用的扫描任务，并将扫描的结果存放在数据库，供管理应用查询和管理.3 .客户端：管理应用的瘦客户端，可以允许多个客户端在局域网内按照所赋予的权限和级别执行相应的代码扫描和结果审杳及管理。4客户端：用于公司局域网或者外部网络采用或者实施插件使用扫描服务.4 浏览微、和：客户端，用于公司局域网或者外部网络采用或者实施插件使用扫描服务、管理扫描结果.析通报。项目例会：项目经理一般每周召开项目例会，在项目团队中沟通项目执行情况。1.6.1.3.4项目管理会议措施会议是项目管理活动的IR要形式，是项目各方进行正式沟通的渠道。项目启动会议概述项目启动会议是项目正式启动和开始的标志，项目启动会议之后，项目正式开始,项目组从此进入项目状态。此会议的主要工作是宣告项目正式开始，各方的领导阚明对项目的期望和支持，各方就项目组的组织架构和工作计划进行沟通和确认，此会议对项目的后期发展方向非常重要.参加人员：项目组相关领导和项目组成员公司相关领导和项目组成员。时间安排I项目正式开始时举行，为期半天。过程描述：项目启动会议的主要内容：介绍项目组织架构和成员项目组相关领导讲话，阐明对项目的期望和支持项目组相关领导讲话，阐明对项目的重视和支持沟通并筑更确认项目实施计划箱出项目启动会议纪要此文件将记录和描述在项目启动会议中参加各方和相关人员的情况。此报告将作为项目启动的和进展的重要证据“ 周例会雌为确保项目正常进行，项目管理组长或项目管理副组长每周举行一次项目例会，汇报项目进展状况、出现的问题和下周的工作计划.输入：项目进展状况信息过程描述：参加人员主要是各方的项目经理，可以根据情况迦靖共他项H成员参加。会议可以是正式的面对面会议，也可以是电话会议、网络会议等形式。此例会每周召开一次，主要内容：项目完成情况汇报，每周主要工作成果汇报存在的问题及解决办法分析本周的工作计划对可能的配巴管理和变更控制签署相应的文件愉出，项目实施周报一一此报告将描述本项目在各个阶段进展的具体情况，使得项目的各方对项目的进度有全面的了解，促进各方对项目的支持和投入。 项目阶段工作会议概述在每个项目阶段结束时，都会召开一个正式的项目阶段工作会议。该会议对前一个阶段进行总结，对下一个阶段进行计划确认和沟通，输入：项目进展状况信息过程描述参加人员主要是各方的项目经理，可以根据情况迦靖共他项H成员参加。会议是正式的面对面会议。主要内容：项口完成情况汇报：阶段工作成果评审作在的问题及解决办法分析对可能的配置管理和变更控制签署相应的文件下阶段的工作计划确认和沟通，出，项目进展报告一一此报告将描述本项目在各个阶段进展的具体情况,使得项目的各方对项目的进度有全面的J'解,促进各方对项目的支持和投入.项目阶段工作评审意见可能的变更文件 项目预审会议概述在项目的具体工作全部结束后，双方项H组会进行内部预审。会对最终成果和输出报告进行讲解和汇报.项目组进行评审，并提出改进意见。双方意见一致后，标志内部评审通过，会安排项目组外的相关各方参加对整个项目的正式评审会议。输入：最终成果和输出报告过程描述：参加人员主要是双方项目组主要成於，会议是正式的面对面会议.主要内容：最终成果和输出报告讲解和汇报项目工作成果评审意见输出*项目预审意见此文档将描述的项目组的内部评审意见。 项目评审会议概述在项H的具体工作全部结束后，项目管理组完成内部评审，达成一致，会安排项目的相关各方参加对整个项目的成果和过程的正式评审工作。输入：最终成果和输出报告过程描述：参加人员主要是各方的项目经理、相关领导、项目组主要成员，业务部邀请的其他专家等,会议是正式的面对面会议。主要内容：最终成果和输出报告讲解和汇报项目工作成果评审意见*出|项目评审意见B一此文档将描述项目评审意见和评价，标志着项目最终评审通过“1.6.2 项目质量管理一直视质量为企业的生命，在整个项目的实施过程中，我们将采用：级控制的方法保证整个项目的质量。1.6.2.1 质量控制 项目技术负责人质量控制项目技术负诳人在项目中不但要负击技术方案的制定、技术方向的把握和技术问题的解决，同时也是项目质量控制的第一层把关者。他将按照项目验收标准每周对项目实施技术顾问所提交的自然日志进行批阅，并将之与实际项目执行情况进行比对。如果出现质量不符合要求的情况，技术负贵人有货任予以指出并督促项目实施技术顾问予以修正. 项目经理质控制项目经理将会同技术负贡人在项目过程中以周为时间单位进行项目实施质量的检隹。并将项H实施质量情况记录进工作报告中作为技术顾问工作业绩考评的依据.一旦发现项目实施中存在侦星问题，项目经理将通知技术负资人监督项目实施工程师进行整改。 质置管理质量控制质量管理部是独立的质量控制部门。在项目实施的过程中，质量管理部将针对该项目成立痂量控制小组，到项目实施现场进行侦量检验，并将检验的结果同工程师的工作业绩考评联系起来。当出现严歪质量问题时，质量管理部有权向专业服务部提出建议,对相关项目人员进行处罚。1.6.2.2 质量记录质狂记录是项目中各子任务以及最终购量效果是否达到规定要求的证实文件，是质量可追溯性的保证。在文档控制中己对质量记录的格式已经进行了规定，各任务的负贡人在制定实施方案时应规定质量记录的具体格式，力争全面而不繁琐。项目实施过程中，各任务的负贡人必须严格检查质址记录的记录状况，并以此作为评定参与人员业绩的指标之一。项目痂量管理组成不定期对质量记录的记录状况进行抽检。1.6.2.3 标识可追溯为r在出现质量问题时，能够尽快找出问题原因和症结所在，必须强调质量标识和可追溯性。标识主要是对设招状态而言，每一台设备在进行安全测试后必须作出相应的标识（详见各自的作业指导书规定），直接体现在设备上醒目的位置,例如粘贴某种标识等.可追溯性的实现主要体现在质量记录的填写和控制。质量记录是项目实施过程的记录，也是最原始的数据，必须严格填写和保存。1.6.2.4 审核与评审审核与评审是保证项目质量的田要保障手段，应当有计划地安排进行。项目中所产生的每一份文件（实施过程产生的质量记录除外）都要极行审核手续，审核的目的是使文件符合文件规范规定和有关作业程序的规定，验证是否存在质量漏洞和职责不明确现象。对于项目中的重要关键问题必须召开评审会，评审会分为两种：种是项目管理组召集的论证评审会，另一种是项目质量管理组负贲人召开的检验性评审会,后拧由工程质员管理组负责人定期向领导决策组者提交评审计划安排。项目经理应每月给出误差（失误）分析报告，并有每一误差的详细分析报告，此报告应提交相关人员。1.6.2.6 加固质量保障1 .服务人员熟悉网管中心网络，并熟练使用主流操作系统、数据库、中间件，熟悉常见安全漏洞验证利用方法以及加固方法。能然针对无法加固的漏洞提出规避方法。2 .分析项目实施期间操作系统、中间件及数据库厂商提供的服务器、中间件、数据库补J,，制订详细的补安全加固方案，方案中包含详细的加固实施步骤和风险规避措施,加固实施步骤应详细到命令级。漏洞分析给出漏洞影晌的操作系统版本号，影响程度。3 .在补丁安全加固后，通过工具扫描等方式提供加固效果核查服务，检查安全加固的完成情况。漏洞扫描工具需使用业内主流安全评估产品。4,为确保安全加固工作的顺利进行，提供专人做为安全加固的总协调人。1.6.2.7 评估质量保证所有经过检测的业务在未发生变化的情况下，在服务期内如接受第一方进行的其它安全检测时不出现未经确认的安全漏洞，不出现按照工信部标准进行检杳未发现的安全隐患，同时确保安全检测和整改加固过的业务能够正常通过集团、工信部等各级主管部门组织的各类检杳。1.6.3 应急安全保障1.6.3.1 风险规避在本次项目实施中，我们主要采用卜图所示风险规避措施来规避项目实施过程中可能带来的各种风险.时间与策略无论是在渗透测试环节，还是系统加固环节，为了避免对网络、主机及业务系统等造成明显的影响，特别是设备、服务重启，测试、加固时间尽量安排在业务非繁忙的时段,通常是下班后或深夜.时r不能接受任何可能风险的主机系统,业务系统等，可选择在系统测试区域事先测忒，或者豆制一份目标环境，对目标的副本进行模拟测忒，测试无误后方可实施系统备份与恢复措篇为防止在加固过程中出现的异常的情况，所有被加固