二、 服務(wù)階段及內(nèi)容
 

      信息系統(tǒng)安全定級是實施信息系統(tǒng)安全等級保護的基礎(chǔ)和前提。等級確定的正確與否，直接關(guān)系到信息系統(tǒng)的定位、后續(xù)的安全規(guī)劃、安全建設(shè)、安全實施和等級保護工作相關(guān)各方的資源投入，因此在定級階段如何通過對信息系統(tǒng)的調(diào)查和分析，科學(xué)、合理地劃分信息系統(tǒng)的子系統(tǒng)，并依據(jù)各種因素確定信息系統(tǒng)的安全保護等級,對整個等級保護工作能否順利進行至關(guān)重要。廣州網(wǎng)欣在定級階段將協(xié)助用戶完成以下工作。

 

      安全規(guī)劃設(shè)計是等級保護實施過程中的另一個重要階段，安全規(guī)劃設(shè)計階段的目標是通過等級化風險評估判斷信息系統(tǒng)的安全保護現(xiàn)狀與國家等級保護基本要求之間的差距，確定安全需求，根據(jù)信息系統(tǒng)的子系統(tǒng)劃分情況、子系統(tǒng)的定級情況、子系統(tǒng)互聯(lián)情況、子系統(tǒng)承載業(yè)務(wù)情況和安全需求等，設(shè)計合理的、滿足等級保護要求的總體安全方案，并制定出安全實施計劃等，以指導(dǎo)后續(xù)的信息系統(tǒng)安全建設(shè)工程實施。廣州網(wǎng)欣在安全規(guī)劃設(shè)計階段將協(xié)助用戶完成以下工作。
 

     3、實施實現(xiàn)階段
 

     （1）等級安全解決方案設(shè)計

      廣州網(wǎng)欣依靠多年的方案設(shè)計經(jīng)驗，將在深入分析系統(tǒng)業(yè)務(wù)安全需求的基礎(chǔ)上，為用戶提供并建立一套符合相應(yīng)等級保護要求的全方位的整體系統(tǒng)安全解決實施方案，方案中不僅包括安全技術(shù)體系的實施而且包括安全組織體系的設(shè)計和安全管理體系的建立。
 

     （2）安全技術(shù)體系等級改造

      安全技術(shù)實施的活動內(nèi)容包括安全產(chǎn)品的采購、安全控制的開發(fā)以及驗收與測試等環(huán)節(jié)，廣州網(wǎng)欣將針對系統(tǒng)具體的安全需求，在等級保護前期工作基礎(chǔ)上，提供專業(yè)的安全技術(shù)解決方案，提供包括安全產(chǎn)品選型、產(chǎn)品部署、產(chǎn)品調(diào)試配置、安全加固等服務(wù)，而且廣州網(wǎng)欣將站在更高的角度，以一個系統(tǒng)建設(shè)者的角度，把信息系統(tǒng)安全建設(shè)與信息系統(tǒng)建設(shè)過程平滑有機地結(jié)合起來。
 

     （3）安全管理體系等級改造

      信息安全管理是改進當前信息系統(tǒng)安全狀況的主要保障，不健全的安全管理機制是信息安全最大的薄弱點，也是等級保護的工作重點，相對于安全技術(shù)來說，等級保護在安全管理方面所需工作更是任重道遠。但安全管理體系絕不是各類安全管理制度的簡單疊加，廣州網(wǎng)欣將以系統(tǒng)用戶的角度，以保障系統(tǒng)業(yè)務(wù)正常運行為出發(fā)點，將系統(tǒng)的信息安全管理狀況與等級保護管理要求進行深入的差距分析，深入分析現(xiàn)有的系統(tǒng)管理體系和信息安全管理制度，從各個方面協(xié)助客戶建立與信息系統(tǒng)安全技術(shù)和安全運行相適應(yīng)的完善的符合系統(tǒng)業(yè)務(wù)特點的信息安全管理體系。
 

     （4）協(xié)助通過等級測評

       等級測評在整個等級保護工作中是非常關(guān)鍵的一環(huán)，等級測評會對前期的安全建設(shè)工作給出一個量化的測評結(jié)果，是等級保護建設(shè)工作的成敗關(guān)鍵，等級測評由已獲得國家或省級等級保護工作協(xié)調(diào)（領(lǐng)導(dǎo)）小組推薦的測評機構(gòu)進行，如何進行測評前的準備工作、配合測評機構(gòu)進行測評、與測評機構(gòu)的溝通、取得良好的測評結(jié)果都是企業(yè)非常的問題，廣州網(wǎng)欣將協(xié)助用戶進行全程的測評過程，提供最大化的測評保障。
 

     （5）整改方案制定與實施

      廣州網(wǎng)欣將根據(jù)等級測評后所暴露的問題，為用戶制定整改方案，并對系統(tǒng)進行等級改造。
 

     （6）安全崗位培訓(xùn)

      企業(yè)整體的信息安全是要靠組織中的每位員工一起參與的，而目前的實際情況中，普通工作人員往往沒有形成與之相適應(yīng)的安全意識，為提高廣大一線員工的安全意識，同時減少企業(yè)推廣安全策略的過程中不必要的摩擦，廣州網(wǎng)欣為您提供安全普及培訓(xùn)。該項培訓(xùn)主要目的是普及信息安全的基本知識，提高安全意識。對常見的安全問題進行描述和解決。
 

     4、 運行管理階段
 

     （1）階段性風險評估

      信息系統(tǒng)存在的風險不是一成不變的，系統(tǒng)承載業(yè)務(wù)的變化、面臨威脅的變化、系統(tǒng)脆弱性的變化都會使信息系統(tǒng)的風險水平發(fā)生改變。為了及時地針對風險的改變調(diào)整系統(tǒng)的安全控制措施，使系統(tǒng)的風險始終維持在一個可以接受的水平，滿足系統(tǒng)所定等級的安全要求，廣州網(wǎng)欣向客戶提供階段性的風險評估服務(wù)。
 

     （2）安全狀態(tài)監(jiān)控

      安全狀態(tài)監(jiān)控服務(wù)指通過信息共享、安全監(jiān)控、值守等技術(shù)設(shè)施，對單位的信息系統(tǒng)運行狀態(tài)進行監(jiān)控，及時發(fā)現(xiàn)各類信息安全事件并向相關(guān)人員發(fā)布預(yù)警信息，在信息安全事件發(fā)生或造成較大危害前及時采取應(yīng)對措施；安全狀態(tài)監(jiān)控服務(wù)分為安全狀態(tài)監(jiān)控和監(jiān)控外包兩種形式。安全狀態(tài)監(jiān)控服務(wù)主要通過在客戶網(wǎng)絡(luò)中安裝入侵監(jiān)測系統(tǒng)和通過我們的主動監(jiān)控系統(tǒng)，對被服務(wù)網(wǎng)絡(luò)的運行情況和遭受攻擊的情況進行分析記錄和報警。當有危害的攻擊行為或網(wǎng)絡(luò)系統(tǒng)運行異常時，廣州網(wǎng)欣工程師將根據(jù)多種方式通知客戶，雙方配合解決相應(yīng)的問題。安全監(jiān)控外包與狀態(tài)監(jiān)控服務(wù)內(nèi)容不同之處在于，客戶將需要監(jiān)控管理的設(shè)備，主機的運行管理權(quán)限交付給廣州網(wǎng)欣管理。系統(tǒng)在任何異常行為發(fā)生時，廣州網(wǎng)欣將直接進行處理。這種方式對那些關(guān)注核心業(yè)務(wù)的客戶來說，將降低運營成本，并提高異常事件的反應(yīng)速度。
 

     （3）系統(tǒng)可持續(xù)性安全服務(wù)

      在系統(tǒng)運維中，需要定期進行采用安全服務(wù)方式，加強企業(yè)在漏洞、加固、預(yù)警、風險評估和安全培訓(xùn)等方面的能力，可以通過內(nèi)部管理人員維護和采用專業(yè)安全廠商的安全服務(wù)相結(jié)合的方式來實現(xiàn)。在一定程度上說，安全服務(wù)是一種專業(yè)經(jīng)驗服務(wù)。廣州網(wǎng)欣長期的服務(wù)經(jīng)驗積累、對行業(yè)的深刻理解、處理安全問題（事件）的最佳做法、科學(xué)的安全思維方式、正確的安全思維方法都是為用戶提供完善安全解決方案的動力來源。廣州網(wǎng)欣可以提供漏洞掃描、安全檢查、滲透測試、安全加固、應(yīng)急響應(yīng)、安全通告、風險評估服務(wù)和安全培訓(xùn)等安全服務(wù)。
 

      （4）配合用戶完成系統(tǒng)自查

      根據(jù)等級保護的要求，企業(yè)需要定期進行安全自查工作，而自查需要使用專業(yè)的工具、方法、步驟等，還需要一定的工作量，廣州網(wǎng)欣可以幫助企業(yè)進行完整的自查，出具自查報告，提出相應(yīng)的安全建議。