網(wǎng)絡(luò)安全服務(wù)實(shí)施方案

網(wǎng)絡(luò)安全服務(wù)實(shí)施方案目錄一、 資產(chǎn)梳理服務(wù) 1二、 安全評估服務(wù) 2三、 滲透測試服務(wù) 3四、 安全管理制度優(yōu)化 8五、 應(yīng)急演練服務(wù) 11六、 重要時期網(wǎng)絡(luò)安全保障（含HW） 13七、 日常安全運(yùn)維 16八、 網(wǎng)站定期漏洞掃描 18九、 安全通告服務(wù) 18十、 應(yīng)急響應(yīng)服務(wù) 19十一、 安全咨詢服務(wù) 20十二、 網(wǎng)絡(luò)威脅監(jiān)測分析服務(wù) 21十三、 配合監(jiān)管單位各項安全檢查工作 22十四、 終端安全保障服務(wù) 22十五、 政務(wù)云（互聯(lián)網(wǎng)區(qū)域）云主機(jī)安全服務(wù) 23十六、 政務(wù)云（電子政務(wù)外網(wǎng)區(qū)域）云主機(jī)安全服務(wù) 23十七、 政務(wù)云（互聯(lián)網(wǎng)區(qū)域）安全日志審計服務(wù) 24十八、 政務(wù)云（電子政務(wù)外網(wǎng)區(qū)域）安全日志審計服務(wù) 25十九、 移動APP安全加固 25二十、 政務(wù)云（互聯(lián)網(wǎng)區(qū)域）進(jìn)行數(shù)據(jù)庫審計服務(wù) 26二十一、 政務(wù)云（電子政務(wù)外網(wǎng)區(qū)域）進(jìn)行數(shù)據(jù)庫審計服務(wù) 26二十二、 網(wǎng)絡(luò)數(shù)據(jù)安全隔離與信息交換服務(wù) 27二十三、 網(wǎng)站全天候監(jiān)測服務(wù) 27

資產(chǎn)梳理服務(wù)開展資產(chǎn)發(fā)現(xiàn)工作，全面梳理信息資產(chǎn)。盡可能地發(fā)現(xiàn)采購人的資產(chǎn)信息，全面掃描已知的和未知的信息資產(chǎn)，形成明確的資產(chǎn)清單。對網(wǎng)站備案情況進(jìn)行檢查和整改，確保網(wǎng)站均為正常備案。具體實(shí)施步驟和內(nèi)容如下：對采購人全網(wǎng)（本地、政務(wù)云）信息化資產(chǎn)進(jìn)行梳理和排查，根據(jù)梳理排查情況及采購人提供的相關(guān)信息，編制信息資產(chǎn)表。包括但不限于網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器、web應(yīng)用、數(shù)據(jù)庫等。明確需要保護(hù)的信息資產(chǎn)、保護(hù)優(yōu)先級和相應(yīng)的管理人員、責(zé)任人。設(shè)備資產(chǎn)表至少包括名稱、型號、數(shù)量、IP地址、位置等信息。有調(diào)整和變動時立即更新。梳理采購人當(dāng)前（本地、政務(wù)云）已有的安全監(jiān)測和防御產(chǎn)品，對其實(shí)現(xiàn)的功能、效果、防御范圍、安全日志、特征庫更新情況等進(jìn)行綜合分析。依據(jù)梳理結(jié)果出具調(diào)整、處置建議，經(jīng)采購人授權(quán)后進(jìn)行調(diào)整和處置。1、服務(wù)流程供應(yīng)商簽訂合同后1周內(nèi)完成第一次資產(chǎn)梳理服務(wù)，并完成《初步信息資產(chǎn)表》的編制；《初步信息資產(chǎn)表》編制完成后，協(xié)同采購人完成對信息資產(chǎn)的保護(hù)范圍、保護(hù)優(yōu)先級認(rèn)定，同時落實(shí)相應(yīng)的管理人員、責(zé)任人；輸出《信息資產(chǎn)表》；對《信息資產(chǎn)表》進(jìn)行維護(hù)，每月完成一次信息資產(chǎn)表的核對工作；有調(diào)整和變動時立即更新。2、服務(wù)方式：現(xiàn)場服務(wù)。3、服務(wù)周期：每月至少進(jìn)行1次信息資產(chǎn)表的核對工作，以用戶實(shí)際需求為準(zhǔn)。4、交付文檔：《初步信息資產(chǎn)表》、《信息資產(chǎn)表》、《信息資產(chǎn)表更新維護(hù)記錄表》。安全評估服務(wù)從安全風(fēng)險的角度對采購人關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行安全評估和滲透測試。采用各種手段模擬真實(shí)的安全攻擊，從而發(fā)現(xiàn)黑客入侵信息系統(tǒng)的潛在可能途徑。滲透測試工作以人工滲透為主，輔助以攻擊工具的使用。對采購人各個業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫、中間件、網(wǎng)絡(luò)邊界等進(jìn)行風(fēng)險評估工作，找出并發(fā)現(xiàn)系統(tǒng)基礎(chǔ)環(huán)境存在的安全漏洞或在安全配置層面存在的安全問題，及可能造成的安全風(fēng)險。評估完成后，得出安全風(fēng)險評估報告。具體實(shí)施步驟和內(nèi)容如下：1、服務(wù)范圍確定對采購人需要進(jìn)行安全評估的資產(chǎn)范圍進(jìn)行梳理，梳理完畢后出具紙質(zhì)文件與用戶確定；雙方確定完成后針對安全評估服務(wù)范圍開展風(fēng)險評估服務(wù)。2、服務(wù)方法為了確切、真實(shí)的反映服務(wù)器安全現(xiàn)狀，對單位授權(quán)業(yè)務(wù)系統(tǒng)進(jìn)行評估：人員訪談，對數(shù)據(jù)中心業(yè)務(wù)系統(tǒng)各種配置進(jìn)行人員訪談，確認(rèn)各項配置措施、安全策略是否符合安全要求，確認(rèn)安全管理是否符合要求；工具掃描，掃描系統(tǒng)主機(jī)否存在安全漏洞；滲透測試，滲透測試工程師模擬黑客攻擊，檢查系統(tǒng)脆弱性；配置檢查等；3、服務(wù)流程1) 確定評估的范圍和目標(biāo)2) 系統(tǒng)資產(chǎn)識別3) 已有安全措施的確認(rèn)4) 風(fēng)險分析5) 安全評估文件記錄（3）服務(wù)方式現(xiàn)場或遠(yuǎn)程服務(wù)（4）服務(wù)周期簽訂合同進(jìn)場后立即進(jìn)行一次服務(wù)，后續(xù)服務(wù)時間依據(jù)招標(biāo)文件約定、合同約定、用戶的需求進(jìn)行提供。（5）交付文檔《安全評估報告》滲透測試服務(wù)對采購人的信息系統(tǒng)進(jìn)行滲透測試，發(fā)現(xiàn)信息系統(tǒng)中的各類安全隱患。滲透測試工作以人工滲透為主，輔助以攻擊工具的使用。具體實(shí)施步驟和內(nèi)容如下：采購人需要進(jìn)行滲透測試的信息系統(tǒng)范圍進(jìn)行梳理，梳理完畢后出具紙質(zhì)文件與用戶確定；雙方確定完成后針對滲透測試的服務(wù)范圍，開展?jié)B透測試服務(wù)；并出具滲透測試服務(wù)報告：測試方法滲透測試完全模擬黑客的入侵思路與技術(shù)手段，黑客的攻擊入侵需要利用目標(biāo)網(wǎng)絡(luò)的安全弱點(diǎn)，滲透測試也是同樣的道理。以人工滲透為主，輔助以攻擊工具的使用，這樣保證了整個滲透測試過程都在可以控制和調(diào)整的范圍之內(nèi)。針對各應(yīng)用系統(tǒng)的滲透測試方法包括以下方法但不局限于以下方法：測試方法描述信息收集信息收集是滲透攻擊的前提，通過信息收集可以有針對性地制定模擬攻擊測試計劃，提高模擬攻擊的成功率，同時可以有效的降低攻擊測試對系統(tǒng)正常運(yùn)行造成的不利影響。信息收集的方法包括端口掃描、操作系統(tǒng)指紋判別、應(yīng)用判別、賬號掃描、配置判別等。端口掃描通過對目標(biāo)地址的TCP/UDP端口掃描，確定其所開放的服務(wù)的數(shù)量和類型，這是所有滲透測試的基礎(chǔ)。通過端口掃描，可以基本確定一個系統(tǒng)的基本信息，結(jié)合安全工程師的經(jīng)驗(yàn)可以確定其可能存在以及被利用的安全弱點(diǎn)，為進(jìn)行深層次的滲透提供依據(jù)?？诹畈聹y本階段將對暴露在公網(wǎng)的所有登陸口進(jìn)行口令猜解的測試，找出各個系統(tǒng)可能存在的弱口令或易被猜解的口令。猜解成功后將繼續(xù)對系統(tǒng)進(jìn)行滲透測試，挖掘嵌套在登錄口背后的漏洞、尋找新的突破口以及可能泄漏的敏感信息，并評估相應(yīng)的危害性。猜解的對象包括：WEB登錄口、FTP端口、數(shù)據(jù)庫端口、遠(yuǎn)程管理端口等。遠(yuǎn)程溢出這是當(dāng)前出現(xiàn)的頻率最高、威脅最嚴(yán)重，同時又是最容易實(shí)現(xiàn)的一種滲透方法，一個具有一般網(wǎng)絡(luò)知識的入侵者就可以在很短的時間內(nèi)利用現(xiàn)成的工具實(shí)現(xiàn)遠(yuǎn)程溢出攻擊。對于在防火墻內(nèi)的系統(tǒng)存在同樣的風(fēng)險，只要對跨接防火墻內(nèi)外的一臺主機(jī)攻擊成功，那么通過這臺主機(jī)對防火墻內(nèi)的主機(jī)進(jìn)行攻擊就易如反掌。本地溢出本地溢出是指在擁有了一個普通用戶的賬號之后，通過一段特殊的指令代碼獲得管理員權(quán)限的方法。使用本地溢出的前提是首先要獲得一個普通用戶的密碼。也就是說由于導(dǎo)致本地溢出的一個關(guān)鍵條件是設(shè)置不當(dāng)?shù)拿艽a策略。多年的實(shí)踐證明，在經(jīng)過前期的口令猜測階段獲取的普通賬號登錄系統(tǒng)之后，對系統(tǒng)實(shí)施本地溢出攻擊，就能獲取不進(jìn)行主動安全防御的系統(tǒng)的控制管理權(quán)限。腳本測試腳本測試專門針對Web服務(wù)器進(jìn)行。根據(jù)最新的技術(shù)統(tǒng)計，腳本安全弱點(diǎn)為當(dāng)前Web系統(tǒng)尤其存在動態(tài)內(nèi)容的Web系統(tǒng)存在的主要比較嚴(yán)重的安全弱點(diǎn)之一。利用腳本相關(guān)弱點(diǎn)輕則可以獲取系統(tǒng)其他目錄的訪問權(quán)限，重則將有可能取得系統(tǒng)的控制權(quán)限。因此對于含有動態(tài)頁面的Web系統(tǒng)，腳本測試將是必不可少的一個環(huán)節(jié)。權(quán)限獲取通過初步信息收集分析，存在兩種可能性，一種是目標(biāo)系統(tǒng)存在重大的安全弱點(diǎn)，測試可以直接控制目標(biāo)系統(tǒng)；另一種是目標(biāo)系統(tǒng)沒有遠(yuǎn)程重大的安全弱點(diǎn)，但是可以獲得普通用戶權(quán)限，這時可以通過該普通用戶權(quán)限進(jìn)一步收集目標(biāo)系統(tǒng)信息。接下來盡最大努力取得超級用戶權(quán)限、收集目標(biāo)主機(jī)資料信息，尋求本地權(quán)限提升的機(jī)會。這樣不停的進(jìn)行信息收集分析、權(quán)限提升的結(jié)果形成了整個的滲透測試過程。測試內(nèi)容本項目滲透測試包括但不限于以下內(nèi)容：測試大類測試項測試目的身份驗(yàn)證類用戶注冊檢查用戶注冊功能可能涉及的安全問題用戶登錄檢查用戶登錄功能可能涉及的安全問題修改密碼檢查用戶修改密碼功能可能涉及的安全問題密碼重置檢查忘記密碼、找回密碼、密碼重置功能可能涉及的安全問題驗(yàn)證碼繞過檢測驗(yàn)證碼機(jī)制是否合理，是否可以被繞過用戶鎖定功能測試用戶鎖定功能相關(guān)的安全問題會話管理類Cookie重放攻擊檢測目標(biāo)系統(tǒng)是否僅依靠cookie來確認(rèn)會話身份，從而易受到cookie回放攻擊會話令牌分析Cookie具有明顯含義，或可被預(yù)測、可逆向，可被攻擊者分析出cookie結(jié)構(gòu)會話令牌泄露測試會話令牌是否存在泄露的可能會話固定攻擊測試目標(biāo)系統(tǒng)是否存在固定會話的缺陷跨站請求偽造檢測目標(biāo)系統(tǒng)是否存在CSRF漏洞訪問控制類功能濫用測試目標(biāo)系統(tǒng)是否由于設(shè)計不當(dāng)，導(dǎo)致合法功能非法利用垂直權(quán)限提升測試可能出現(xiàn)垂直權(quán)限提升的情況水平權(quán)限提升測試可能出現(xiàn)水平權(quán)限提升的情況輸入處理類SQL注入檢測目標(biāo)系統(tǒng)是否存在SQL注入漏洞文件上傳檢測目標(biāo)系統(tǒng)的文件上傳功能是否存在缺陷，導(dǎo)致可以上傳非預(yù)期類型和內(nèi)容的文件任意文件下載檢測目標(biāo)系統(tǒng)加載/下載文件功能是否可以造成任意文件下載問題XML注入測試目標(biāo)系統(tǒng)-是否存在XML注入漏洞目錄穿越測試目標(biāo)系統(tǒng)是否存在目錄穿越漏洞SSRF檢測目標(biāo)系統(tǒng)是否存在服務(wù)端跨站請求偽造漏洞本地文件包含測試目標(biāo)站點(diǎn)是否存在LFI漏洞遠(yuǎn)程文件包含測試目標(biāo)站點(diǎn)是否存在RFI漏洞遠(yuǎn)程命令/代碼執(zhí)行測試目標(biāo)系統(tǒng)是否存在命令/代碼注入漏洞反射型跨站腳本檢測目標(biāo)系統(tǒng)是否存在反射型跨站腳本漏洞存儲型跨站腳本檢測目標(biāo)系統(tǒng)是否存在存儲型跨站腳本漏洞DOM-based跨站腳本檢測目標(biāo)系統(tǒng)是否存在DOM-based跨站腳本漏洞服務(wù)端URL重定向檢查目標(biāo)系統(tǒng)是否存在服務(wù)端URL重定向漏洞信息泄露類errorcode測試目標(biāo)系統(tǒng)的錯誤處理能力，是否會輸出詳盡的錯誤信息StackTraces測試目標(biāo)系統(tǒng)是否開啟了StackTraces調(diào)試信息敏感信息盡量收集目標(biāo)系統(tǒng)的敏感信息第三方應(yīng)用類中間件測試目標(biāo)系統(tǒng)是否存在jboss、weblogic、tomcat等中間件CMS測試目標(biāo)系統(tǒng)是否存在dedecms、phpcms等CMS測試方式根據(jù)測試的位置不同可以分為現(xiàn)場測試和遠(yuǎn)程測試；根據(jù)測試的方法不同分為黑盒測試和白盒測試兩類；現(xiàn)場測試是指經(jīng)過用戶授權(quán)后，測試人員到達(dá)用戶工作現(xiàn)場或接入用戶工作內(nèi)網(wǎng)，根據(jù)用戶的期望測試的目標(biāo)直接接入到用戶的辦公網(wǎng)絡(luò)甚至業(yè)務(wù)網(wǎng)絡(luò)中。這種測試的好處就在于免去了測試人員從外部繞過防火墻、入侵保護(hù)等安全設(shè)備的工作。一般用于檢測內(nèi)部威脅源和路徑。遠(yuǎn)程測試與現(xiàn)場測試相反，測試人員無需到達(dá)客戶現(xiàn)場或接入用戶內(nèi)部網(wǎng)絡(luò)，直接從互聯(lián)網(wǎng)訪問用戶的某個接入到互聯(lián)網(wǎng)的系統(tǒng)并進(jìn)行測試即可。這種測試往往是應(yīng)用于那些關(guān)注門戶站點(diǎn)和互聯(lián)網(wǎng)應(yīng)用的用戶，主要用于檢測外部威脅源和路徑。黑盒測試是指測試人員對除目標(biāo)系統(tǒng)的IP或域名以外的信息一無所知的情況下對系統(tǒng)發(fā)起的測試工作，這種方式可以較好的模擬黑客行為，了解外部惡意用戶可能對系統(tǒng)帶來的威脅。白盒測試則是指測試人員通過用戶授權(quán)獲取了部分信息的情況下進(jìn)行的測試，如：目標(biāo)系統(tǒng)的帳號、配置甚至源代碼。這種情況用戶模擬并檢測內(nèi)部的惡意用戶可能為系統(tǒng)帶來的威脅。

測試流程2、服務(wù)頻率：簽訂合同進(jìn)場后立即進(jìn)行一次服務(wù)，后續(xù)服務(wù)時間依據(jù)招標(biāo)文件約定、合同約定、用戶的需求進(jìn)行提供。3、服務(wù)范圍：授權(quán)業(yè)務(wù)系統(tǒng)。4、交付成果：《滲透測試報告》。安全管理制度優(yōu)化進(jìn)一步對照《網(wǎng)絡(luò)安全法》《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》等相關(guān)法律法規(guī)要求，加強(qiáng)安全管理防護(hù)制度建設(shè)。在采購人領(lǐng)導(dǎo)下，逐步完善、優(yōu)化網(wǎng)絡(luò)安全管理制度，將責(zé)任落實(shí)到具體人員。網(wǎng)絡(luò)安全管理制度應(yīng)對安全管理活動中的各類管理內(nèi)容建立安全管理制度；對管理人員或操作人員執(zhí)行的日常管理操作建立操作規(guī)程；形成由安全策略、管理制度、操作規(guī)程、記錄表單等構(gòu)成的全面管理制度體系。應(yīng)定期配合采購人對安全管理制度的合理性和適用性進(jìn)行論證和審定，對存在不足或需要改進(jìn)的安全管理制度進(jìn)行修改。具體實(shí)施步驟和內(nèi)容如下：安全管理制度是安全管理體系的核心，依據(jù)國家等級保護(hù)政策的要求，分五個步驟（落實(shí)安全責(zé)任、管理現(xiàn)狀分析、制定安全策略和制度、落實(shí)安全管理措施、安全自檢與調(diào)整）落實(shí)安全管理制度。（1）落實(shí)信息安全責(zé)任制明確領(lǐng)導(dǎo)機(jī)構(gòu)和責(zé)任部門，包括設(shè)立或明確信息安全領(lǐng)導(dǎo)機(jī)構(gòu)，明確主管領(lǐng)導(dǎo)，落實(shí)責(zé)任部門。建立崗位和人員管理制度，根據(jù)責(zé)任分工，分別設(shè)置安全管理機(jī)構(gòu)和崗位，明確每個崗位的責(zé)任和任務(wù)，落實(shí)安全管理責(zé)任制。（2）信息系統(tǒng)安全管理現(xiàn)狀分析通過開展信息系統(tǒng)安全管理現(xiàn)狀分析，查找信息系統(tǒng)安全管理建設(shè)整改需要解決的問題，明確信息系統(tǒng)安全管理建設(shè)整改的需求。依據(jù)等級保護(hù)基本要求的標(biāo)準(zhǔn)，采取對照檢查、風(fēng)險評估、等級測評等方法，分析判斷目前采取的安全管理措施與等級保護(hù)標(biāo)準(zhǔn)要求之間的差距，分析系統(tǒng)已發(fā)生的時間或事故，分析安全管理方面存在的問題，形成安全管理建設(shè)整改的需求并論證。（3）制定安全管理策略和制度根據(jù)安全管理需求，確定安全管理目標(biāo)和安全策略，針對信息系統(tǒng)的各類管理活動，制定人員安全管理制度，明確人員錄用、離崗、考核、培訓(xùn)等管理內(nèi)容；制定系統(tǒng)建設(shè)管理制度，明確系統(tǒng)定級備案、方案設(shè)計、產(chǎn)品采購使用、密碼使用、軟件開發(fā)、工程實(shí)施、驗(yàn)收交付、等級測評、安全服務(wù)等管理內(nèi)容；制定系統(tǒng)運(yùn)維管理制度，明確機(jī)房環(huán)境安全、存儲介質(zhì)安全、設(shè)備設(shè)施安全、安全監(jiān)控、惡意代碼防范、備份與恢復(fù)、應(yīng)急預(yù)案等管理內(nèi)容；制度定期檢查制度，明確檢查內(nèi)容、方法、要求等，檢查各項制度、措施的落實(shí)情況，并不斷完善。規(guī)范安全管理人員或操作人員的操作規(guī)程等，形成安全管理制度體系。（4）安全管理制度體系組成安全管理制度體系安全管理方針和安全策略面向中高層管理層各類安全管理制度面向安全管理人員各類安全操作規(guī)程面向安全技術(shù)人員各類操作記錄表格面向一線運(yùn)維人員（5）落實(shí)安全管理措施人員安全管理：包括人員錄入、離崗、考核、教育培訓(xùn)等內(nèi)容。規(guī)范人員錄用、離崗、過程、關(guān)鍵崗位簽署保密協(xié)議；對各類人員進(jìn)行安全意識教育、崗位技能培訓(xùn)；對關(guān)鍵崗位進(jìn)行全面的嚴(yán)格的審查和技能考核；對外部人員允許訪問的區(qū)域、系統(tǒng)、設(shè)備、信息等進(jìn)行控制。系統(tǒng)運(yùn)維管理：落實(shí)環(huán)境和資產(chǎn)安全管理、設(shè)備和介質(zhì)安全管理、日常運(yùn)行維護(hù)、集中安全管理、時間處置與應(yīng)急響應(yīng)、災(zāi)難備份、實(shí)時監(jiān)測、其他安全管理系統(tǒng)建設(shè)管理：系統(tǒng)建設(shè)管理的重點(diǎn)是與系統(tǒng)建設(shè)活動相關(guān)的過程管理。由于主要的建設(shè)活動是由服務(wù)方（如集成方、開發(fā)方、測評方、安全服務(wù)方）完成的，運(yùn)營使用單位人員的主要工作是對其進(jìn)行管理，應(yīng)此，應(yīng)制定系統(tǒng)建設(shè)相關(guān)的管理制度。（6）安全自查與調(diào)整制定安全檢查制度，明確檢查的內(nèi)容、方式、要求等，檢查各項制度、措施的落實(shí)情況并不斷完善。（7）信息系統(tǒng)安全管理建設(shè)工作流程編號流程1明確主管領(lǐng)導(dǎo)、落實(shí)責(zé)任部門2落實(shí)安全崗位和人員3信息系統(tǒng)安全管理現(xiàn)狀分析4確定安全管理策略和安全管理制度5落實(shí)安全管理措施6人員安全管理系統(tǒng)運(yùn)維管理系統(tǒng)建設(shè)管理環(huán)境和資產(chǎn)管理事件處理和應(yīng)急響應(yīng)設(shè)備和介質(zhì)管理災(zāi)難備份日常運(yùn)行維護(hù)安全監(jiān)測集中安全管理其他安全運(yùn)維管理7安全自查和調(diào)整（8）服務(wù)流程落實(shí)單位信息系統(tǒng)安全保護(hù)制度；收集單位現(xiàn)有安全管理制度；按照等級保護(hù)安全管理制度的建設(shè)步驟，梳理現(xiàn)有安全管理制度，輸出《安全管理制度建議報告》；依據(jù)《安全管理制度建議報告》，完善單位安全管理制度，細(xì)化各項操作流程、規(guī)范、表單；（9）服務(wù)方式現(xiàn)場服務(wù)（10）服務(wù)周期簽訂合同進(jìn)場后立即進(jìn)行一次服務(wù)，后續(xù)服務(wù)時間依據(jù)招標(biāo)文件約定、合同約定、用戶的需求進(jìn)行提供。（11）交付文檔《信息安全管理制度》、《設(shè)備操作流程》、《運(yùn)維表單》應(yīng)急演練服務(wù)開展網(wǎng)絡(luò)安全應(yīng)急演練，全面檢測采購人的綜合安全防護(hù)能力，并根據(jù)演練結(jié)果進(jìn)行總結(jié)，以提高處理應(yīng)急事件的能力，檢驗(yàn)應(yīng)急預(yù)案的合理性、應(yīng)急保障隊伍和所有相關(guān)人員的專業(yè)素質(zhì)以及管理組織的有效性。根據(jù)演練結(jié)果進(jìn)一步完善網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，將處置應(yīng)對敵對勢力對我發(fā)動網(wǎng)絡(luò)攻擊有關(guān)內(nèi)容納入預(yù)案，同時預(yù)案將明確網(wǎng)絡(luò)安全事件的應(yīng)對機(jī)構(gòu)、指揮機(jī)制、響應(yīng)流程、臨機(jī)處置權(quán)限等一系列內(nèi)容。具體實(shí)施步驟和內(nèi)容如下：（1）應(yīng)急演練總體目標(biāo)網(wǎng)絡(luò)信息安全應(yīng)急演練主要分為實(shí)戰(zhàn)演練和桌面推演兩種方式。主要目的是通過應(yīng)急演練，建立健全網(wǎng)絡(luò)與信息安全運(yùn)行應(yīng)急工作機(jī)制，檢驗(yàn)網(wǎng)絡(luò)與信息安全綜合應(yīng)急預(yù)案和業(yè)務(wù)技術(shù)專項應(yīng)急預(yù)案的有效性，驗(yàn)證相關(guān)組織和人員應(yīng)對網(wǎng)絡(luò)和信息安全突發(fā)事件的組織指揮能力和應(yīng)急處置能力，保證各項應(yīng)急指揮調(diào)度工作迅速、高效、有序地進(jìn)行，滿足突發(fā)情況下網(wǎng)絡(luò)與信息系統(tǒng)運(yùn)行保障和故障恢復(fù)的需要，確保信息系統(tǒng)安全暢通。同時通過演練，不斷提高各部門開展應(yīng)急工作的水平和效率，發(fā)現(xiàn)預(yù)案的不足，進(jìn)一步完善應(yīng)急預(yù)案。（2）應(yīng)急演練具體目標(biāo)1) 信息系統(tǒng)突發(fā)故障時，事件報告的渠道暢通。發(fā)生緊急突發(fā)事件時，根據(jù)事件初步研判正確啟動應(yīng)急處理程序2) 應(yīng)急預(yù)案啟動后，應(yīng)急領(lǐng)導(dǎo)小組、應(yīng)急響應(yīng)實(shí)施小組、應(yīng)急響應(yīng)日常運(yùn)行小組、業(yè)務(wù)部門、第三方服務(wù)提供商，各機(jī)構(gòu)協(xié)調(diào)有序、處置準(zhǔn)確3) 故障恢復(fù)后，應(yīng)急指揮小組按程序結(jié)束應(yīng)急，完成報告和總結(jié)（3）應(yīng)急演練計劃安排演練時間確定：2023年xx月xx日xx時演練場地確定：xxx會議室演練步驟如下：模擬發(fā)生信息安全事件，系統(tǒng)遭受網(wǎng)絡(luò)攻擊，攻擊者獲取了系統(tǒng)的權(quán)限。步驟一：主持介紹。步驟二：宣布應(yīng)急演練開始步驟三：攻擊方演練人員開始對系統(tǒng)進(jìn)行攻擊。步驟四：系統(tǒng)安全管理員監(jiān)控到安全攻擊事件。步驟五：安全管理員向上匯報攻擊事件。步驟六：系統(tǒng)安全負(fù)責(zé)人判斷攻擊事件等級，并啟動應(yīng)急響應(yīng)預(yù)案隔離主機(jī)。步驟七：根據(jù)應(yīng)急響應(yīng)預(yù)案，隔離主機(jī)，協(xié)調(diào)系統(tǒng)廠商和技術(shù)人員進(jìn)行攻擊事件分析并處置攻擊事件。步驟八：出具事件處置報告，根據(jù)漏洞修復(fù)情況判斷是否恢復(fù)系統(tǒng)重新上線。步驟九：總結(jié)報告步驟十：宣布應(yīng)急演練結(jié)果，出具應(yīng)急演練報告步驟十一：應(yīng)急演練總結(jié)分析（4）應(yīng)急演練總結(jié)和匯報應(yīng)急演練領(lǐng)導(dǎo)小組就本次應(yīng)急演練情況進(jìn)行匯報、總結(jié)。重要時期網(wǎng)絡(luò)安全保障（含HW）在采購人領(lǐng)導(dǎo)下成立重保專項工作小組，明確重要崗位及職責(zé)，組織專業(yè)的網(wǎng)絡(luò)技術(shù)人員重點(diǎn)開展網(wǎng)絡(luò)攻擊入侵、網(wǎng)站篡改、違規(guī)內(nèi)容、病毒木馬等安全事件的主動防御、實(shí)時檢測、響應(yīng)處置，確保企業(yè)網(wǎng)絡(luò)與信息系統(tǒng)的安全穩(wěn)定運(yùn)行，不發(fā)重大安全事件。在重要保障期間，協(xié)助采購人加強(qiáng)應(yīng)急值守，在關(guān)鍵崗位和各重要事件節(jié)點(diǎn)安排相關(guān)人員進(jìn)行7×24小時的在崗值班。在遇到突發(fā)安全事件后采取專業(yè)的安全措施和行動，并對已經(jīng)發(fā)生的安全事件進(jìn)行監(jiān)控、分析、協(xié)調(diào)、處理、保護(hù)資產(chǎn)等安全屬性的工作，以達(dá)到第一時間采取緊急措施，恢復(fù)業(yè)務(wù)正常運(yùn)行，追蹤失陷原因并避免同類安全事件再次發(fā)生的目的，確保重要保障期間采購人各業(yè)務(wù)系統(tǒng)的安全穩(wěn)定運(yùn)行。具體實(shí)施步驟和內(nèi)容如下：在重保服務(wù)將在重大活動或特殊事情，與用戶成立重保專項工作小組，安排安全專家到現(xiàn)場提供7*24小時的安全保障服務(wù)，服務(wù)期間進(jìn)行安全防護(hù)、指導(dǎo)等工作，協(xié)助用戶單位提升安全防護(hù)能力和應(yīng)急處置能力。根據(jù)網(wǎng)絡(luò)安全保障工作各個階段主要工作內(nèi)容和目標(biāo)的不同，將網(wǎng)絡(luò)安全保障工作分為準(zhǔn)備、監(jiān)測、總結(jié)三階段。準(zhǔn)備工作階段（成立工作組）為確保本次重要時期安全保障（以下簡稱“重?！保┤蝿?wù)的順利完成，擬成立重保領(lǐng)導(dǎo)小組（以下簡稱“領(lǐng)導(dǎo)小組”）和項目工作組（以下簡稱“工作組”），組織架構(gòu)如下圖。領(lǐng)導(dǎo)小組工作職責(zé)：負(fù)責(zé)領(lǐng)導(dǎo)、指揮和協(xié)調(diào)本次重保工作開展，向上級領(lǐng)導(dǎo)和有關(guān)部門匯報重保工作情況。項目工作組(含重保工作小組、應(yīng)用系統(tǒng)支撐小組、安全廠商支撐小組)工作職責(zé)：負(fù)責(zé)整體的項目溝通、人員籌備、任務(wù)分工、分析研判、防護(hù)監(jiān)測、應(yīng)急處置、安全整改、事件匯報等工作。準(zhǔn)備工作階段（梳理重保防護(hù)資產(chǎn)清單和網(wǎng)絡(luò)范圍）序號防護(hù)資產(chǎn)名稱地址位置用途已有防護(hù)措施例：門戶網(wǎng)站（門戶服務(wù)器及數(shù)據(jù)庫服務(wù)器）XxxxxxXxxxXxx主機(jī)加固軟件：支持病毒木馬、未知惡意代碼、入侵攻擊、APT攻擊、服務(wù)器和WEB應(yīng)用防護(hù)。虛擬主機(jī)殺毒軟件：企業(yè)版服務(wù)器安全殺毒軟件，支持防病毒、打補(bǔ)丁等。云WAF：支持網(wǎng)頁篡改、網(wǎng)頁黑鏈、網(wǎng)頁掛馬、業(yè)務(wù)可用性安全事件監(jiān)測；支持應(yīng)用層攻擊防護(hù)、網(wǎng)頁防竄改等防護(hù)功能。其他安全防護(hù)措施：云平臺提供的邊界和平臺層安全防護(hù)措施?！雷o(hù)工作階段（安全自查和整改）根據(jù)資產(chǎn)梳理工作形成的目標(biāo)系統(tǒng)關(guān)聯(lián)資產(chǎn)清單、未知資產(chǎn)清單，對與組成目標(biāo)系統(tǒng)相關(guān)的網(wǎng)絡(luò)設(shè)備、服務(wù)器、中間件、數(shù)據(jù)庫、應(yīng)用系統(tǒng)、安全設(shè)備等開展安全自查和整改工作。通過安全自查對目標(biāo)系統(tǒng)的安全狀況得以真實(shí)反映，結(jié)合整改加固手段對評估發(fā)現(xiàn)的問題逐一進(jìn)行整改。設(shè)置必要的防御規(guī)則，基于最小權(quán)限原則制定，即僅僅開放允許業(yè)務(wù)正常運(yùn)行所必須的網(wǎng)絡(luò)和系統(tǒng)資源。實(shí)戰(zhàn)工作階段在實(shí)戰(zhàn)防護(hù)階段，重點(diǎn)加強(qiáng)防護(hù)過程中的安全保障工作，安排安全專家7*24小時值崗，各崗位人員各司其職，從攻擊監(jiān)測、攻擊分析、攻擊阻斷、漏洞修復(fù)和追蹤溯源等方面全面加強(qiáng)重保期間的安全防護(hù)效果。安全事件監(jiān)測當(dāng)重保正式開始后，重保工作小組組織各小組人員，根據(jù)崗位職責(zé)開展安全事件監(jiān)測工作。重保工作小組借助安全防護(hù)設(shè)施（威脅監(jiān)測系統(tǒng)、Web防火墻、IPS、主機(jī)加固軟件等）開展攻擊安全事件監(jiān)測，對發(fā)現(xiàn)的攻擊行為進(jìn)行確認(rèn)，詳細(xì)記錄攻擊相關(guān)數(shù)據(jù)，為后續(xù)處置工作開展提供信息。事件分析與處置重保工作小組根據(jù)監(jiān)測到安全事件，協(xié)同進(jìn)行分析和確認(rèn)。如有必要可通過主機(jī)日志、網(wǎng)絡(luò)設(shè)備日志、入侵檢測設(shè)備日志等信息對攻擊行為進(jìn)行分析，以找到攻擊者的源IP地址、攻擊服務(wù)器IP地址、郵件地址等信息，并對攻擊方法、攻擊方式、攻擊路徑和工具等進(jìn)行分析研判。重保工作小組根據(jù)分析結(jié)果，應(yīng)采取相應(yīng)的處置措施，來確保目標(biāo)系統(tǒng)安全。通過遏制攻擊行為，使其不再危害目標(biāo)系統(tǒng)和網(wǎng)絡(luò)，依據(jù)攻擊行為的具體特點(diǎn)實(shí)時制定攻擊阻斷的安全措施，詳細(xì)記錄攻擊阻斷操作。重保工作小組對業(yè)務(wù)穩(wěn)定性進(jìn)行監(jiān)測并及時通報相關(guān)信息。重保工作小組應(yīng)針對可能產(chǎn)生的攻擊事件，根據(jù)已經(jīng)制定的網(wǎng)絡(luò)安全專項應(yīng)急預(yù)案進(jìn)行協(xié)同處置，同時在明確攻擊源和攻擊方式后，保證正常業(yè)務(wù)運(yùn)行的前提下，可以通過調(diào)整安全設(shè)備策略的方式對攻擊命令或IP進(jìn)行阻斷，分析確認(rèn)攻擊嘗試?yán)玫陌踩┒矗_認(rèn)安全漏洞的影響，制定漏洞修復(fù)方案并及時修復(fù)。防護(hù)總結(jié)與整改階段全面總結(jié)本次重保服務(wù)各階段的工作情況，包括組織隊伍、攻擊情況、安全防護(hù)措施、監(jiān)測手段、響應(yīng)和協(xié)同處置等，形成總結(jié)報告并向業(yè)主單位匯報。針對重保服務(wù)期間存在的脆弱點(diǎn)，開展整改工作或提出安全整改建議，進(jìn)一步提高目標(biāo)系統(tǒng)的安全防護(hù)能力。日常安全運(yùn)維健全網(wǎng)絡(luò)安全日常運(yùn)維及安全防護(hù)管理，常態(tài)化開展網(wǎng)絡(luò)安全日常監(jiān)控、網(wǎng)絡(luò)安全設(shè)備巡檢、網(wǎng)絡(luò)安全策略更新、網(wǎng)絡(luò)安全漏洞修復(fù)等，保障網(wǎng)絡(luò)與信息系統(tǒng)安全穩(wěn)定運(yùn)行。在日常出現(xiàn)安全事件時，需要協(xié)助采購人進(jìn)行安全問題的及時處理、溯源分析等。針對采購人整體信息系統(tǒng)進(jìn)行按月巡檢，每月提交運(yùn)維（含巡檢）報告。具體實(shí)施步驟和內(nèi)容如下：1、服務(wù)內(nèi)容常態(tài)化開展網(wǎng)絡(luò)安全日常監(jiān)控、網(wǎng)絡(luò)安全設(shè)備巡檢、網(wǎng)絡(luò)安全策略更新、網(wǎng)絡(luò)安全漏洞修復(fù)等服務(wù)內(nèi)容。具體服務(wù)內(nèi)容包含但不限于如下內(nèi)容：網(wǎng)絡(luò)安全日常監(jiān)控根據(jù)持續(xù)關(guān)注客戶網(wǎng)絡(luò)、系統(tǒng)運(yùn)行情況，一旦發(fā)生安全事件后，及時分析安全系統(tǒng)及設(shè)備的事件日志，進(jìn)行事件的追蹤定位。根據(jù)收集到的信息，整理分析后形成安全運(yùn)維監(jiān)測項識別每個監(jiān)控對象探測到的事件（威脅）的來源、影響和重要性，綜合分析所有監(jiān)控對象探測到的事件及系統(tǒng)產(chǎn)生告警日志，形成分析報告并定期報告給用戶；對于觸發(fā)到應(yīng)急預(yù)案的安全事件，則按照事件處理流程執(zhí)行。對于持續(xù)監(jiān)測項的變化進(jìn)行分析，以用戶認(rèn)同的方法進(jìn)行建模計算，評估安全態(tài)勢變化趨勢以及變化對環(huán)境因素、威脅、脆弱性及影響可能產(chǎn)生的風(fēng)險。對于偏離正常態(tài)勢的檢測項及相關(guān)內(nèi)容做進(jìn)一步的風(fēng)險評估或安全措施有效性檢查，確保系統(tǒng)處于風(fēng)險可控狀態(tài)。通過對項目范圍內(nèi)所有安全系統(tǒng)及設(shè)備的報警日志進(jìn)行分析客戶近一月的信息安全情勢、安全狀況，提出改進(jìn)建議，形成《信息安全運(yùn)維月報》。網(wǎng)絡(luò)安全設(shè)備巡檢定期對指定安全設(shè)施病毒庫和特征庫更新情況檢查；對安全設(shè)備工作異常、安全告警等進(jìn)行審核分析；對安全設(shè)備主機(jī)控制面板狀態(tài)指示燈檢查、CPU利用率、內(nèi)存利用率、磁盤使用率、電源情況巡檢；對異常情況進(jìn)行排查，并針對異常情況提出解決方案和建議。網(wǎng)絡(luò)安全策略更新策略調(diào)優(yōu)及優(yōu)化：依據(jù)資產(chǎn)情況、業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)流向、日常安全監(jiān)測情況、近期風(fēng)險通報結(jié)果及安全設(shè)備實(shí)際策略配置情況，對安全設(shè)施協(xié)助開展策略配置調(diào)優(yōu)，以持續(xù)提升安全運(yùn)行和防護(hù)能力。（安全設(shè)備包含但不限于防火墻、入侵防御、WAF、防病毒系統(tǒng)、安全網(wǎng)關(guān)等。）服務(wù)期內(nèi)按需提供,不限定次數(shù)。配置備份：定期對核心交換機(jī)、匯聚交換機(jī)、網(wǎng)絡(luò)出口防火墻等關(guān)鍵節(jié)點(diǎn)設(shè)備的系統(tǒng)配置和策略配置進(jìn)行完整備份；在設(shè)備發(fā)生故障后提供配置快速導(dǎo)入等恢復(fù)措施。服務(wù)期內(nèi)按需提供,策略配置及系統(tǒng)配置備份每月一次。安全設(shè)施特征庫更新升級：依據(jù)巡檢結(jié)果，定期對可以進(jìn)行特征庫、病毒庫、威脅情報庫和漏洞庫等特征庫升級的安全設(shè)施進(jìn)行更新升級。（更新升級原則為同步產(chǎn)品廠商官網(wǎng)更新情況），針對已過授權(quán)許可時間的安全設(shè)備，提供處置建議。服務(wù)期內(nèi)按需提供、不限定次數(shù)。（安全設(shè)施包含但不限于防火墻、入侵防御、WAF、防病毒系統(tǒng)、安全網(wǎng)關(guān)等，含政務(wù)云上采購人部署的安全設(shè)施。）網(wǎng)絡(luò)安全漏洞修復(fù)針對安全漏洞事件，收集加固方法及驗(yàn)證方法，協(xié)助相關(guān)應(yīng)用系統(tǒng)開發(fā)商進(jìn)行漏洞修復(fù)。漏洞修復(fù)后應(yīng)進(jìn)行復(fù)測驗(yàn)證，確保安全加固和修復(fù)有效。故障處置對于采購人出現(xiàn)的各類故障情況，提供技術(shù)支持服務(wù)；包括安全設(shè)備、網(wǎng)絡(luò)設(shè)備故障等；針對未過保的設(shè)備，故障處置由我司協(xié)調(diào)設(shè)備所屬維護(hù)商進(jìn)行維護(hù)，并跟進(jìn)維修進(jìn)度和效果，及時向采購人匯報情況。針對已過保設(shè)備的故障處置由我司進(jìn)行協(xié)助維護(hù)，故障發(fā)生時我司應(yīng)優(yōu)先進(jìn)行故障應(yīng)急處理和恢復(fù)；如我司自身無法進(jìn)行有效的故障處置，我司應(yīng)出具實(shí)際可行的解決方案和建議，形成整體故障處置報告匯報給采購人。2、服務(wù)方式：現(xiàn)場服務(wù)，按次輸出巡檢和運(yùn)維記錄表。3、服務(wù)次數(shù)：按需提供，不限次數(shù)。4、常規(guī)服務(wù)時間：5×8，應(yīng)急服務(wù)時間：7×24。5、交付文檔：《日常安全運(yùn)維記錄文檔》。網(wǎng)站定期漏洞掃描對采購人網(wǎng)站進(jìn)行每周一次的互聯(lián)網(wǎng)側(cè)漏洞掃描，盡可能發(fā)現(xiàn)網(wǎng)站本身、中間件等的漏洞，避免出現(xiàn)網(wǎng)站漏洞被利用的情況。具體實(shí)施步驟和內(nèi)容如下：服務(wù)內(nèi)容周期開展安全掃描服務(wù)，使用漏洞掃描系統(tǒng)，進(jìn)行安全掃描，掃描范圍為本地局域網(wǎng)及采購人指定的政務(wù)云主機(jī)；對識別出的能被入侵者用來非法進(jìn)入網(wǎng)絡(luò)或者非法獲取信息資產(chǎn)的漏洞，提醒安全管理員，及時完善安全策略，降低安全風(fēng)險；及時發(fā)現(xiàn)最新的安全漏洞及安全風(fēng)險，并出具安全掃描報告。服務(wù)次數(shù)：每季度1次。交付成果：《安全掃描報告》。效性與相關(guān)執(zhí)行系統(tǒng)維護(hù)廠商進(jìn)行核查。經(jīng)核查后對無效的備份策略、無效的備份系統(tǒng)進(jìn)行標(biāo)記，提出相關(guān)整改建議。1、服務(wù)方式：現(xiàn)場服務(wù)。2、服務(wù)周期：1次。3、交付文檔：《安全問題整改建議報告》、《安全問題整改報告》安全通告服務(wù)1、服務(wù)內(nèi)容專業(yè)的安全服務(wù)隊伍，對最新安全技術(shù)及安全信息的發(fā)現(xiàn)和追蹤，并通過服務(wù)的平臺與單位及時交流，幫助單位保持領(lǐng)先的安全理念。為單位提供定期的安全信息通告服務(wù)。安全信息中會包括最新的安全事件，病毒信息，漏洞信息，安全政策等內(nèi)容。安全通告以郵件、電話、走訪等方式，將安全技術(shù)和安全信息及時傳遞給單位。安全通告內(nèi)容：業(yè)界動態(tài)；國家最新安全政策及法律法規(guī)；安全攻擊事件；單位的操作系統(tǒng)、應(yīng)用、設(shè)備等的最新安全漏洞和相應(yīng)的解決措施；最新病毒信息；相關(guān)處理解決方案。2、服務(wù)方式一般信息將以郵件方式通告單位，重要信息以在線方式通告本單位負(fù)責(zé)人員，單位的敏感信息或單位指定要求現(xiàn)場告知的信息以走訪的方式通告。3、服務(wù)周期：安全通告每月一次；重大行業(yè)安全事件和互聯(lián)網(wǎng)安全事件實(shí)時通告預(yù)警。4、交付文檔：《安全事件通告文檔》。應(yīng)急響應(yīng)服務(wù)1、服務(wù)內(nèi)容提供網(wǎng)絡(luò)安全應(yīng)急響應(yīng)服務(wù)，在發(fā)生安全事件時提供現(xiàn)場/遠(yuǎn)程技術(shù)支持，面向已發(fā)生安全事件的事中、事后的取證、分析及提供處置、解決方案、建議等工作。具體服務(wù)內(nèi)容如下：①針對問題進(jìn)行入侵原因分析，找到攻擊路徑。入侵影響抑制：通過事件檢測分析，提供抑制手段，降低入侵影響，協(xié)助快速恢復(fù)業(yè)務(wù)。入侵威脅清除：排查攻擊路徑，惡意文件清除。入侵原因分析：還原攻擊路徑，分析入侵事件原因等包括但不限于以下內(nèi)容：判定安全事件類型從網(wǎng)絡(luò)流量、系統(tǒng)和IDS日志記錄、桌面日志中判斷安全事件類型。查明安全事件原因，確定安全事件的威脅和破壞的嚴(yán)重程度。查明安全事件原因，確定安全事件的威脅和破壞的嚴(yán)重程度。抑制事態(tài)發(fā)展抑制事態(tài)發(fā)展是為了將事故的損害降低到最小化。在這一步中，通常會將受影響系統(tǒng)和服務(wù)隔離。這一點(diǎn)對保持系統(tǒng)的可用性是非常重要的。排除系統(tǒng)故障針對發(fā)現(xiàn)的安全事件來源，排除潛在的隱患，消除安全威脅，徹底解決安全問題?；謴?fù)信息系統(tǒng)正常操作在根除問題后，將已經(jīng)被攻擊設(shè)備或由于事故造成的系統(tǒng)損壞做恢復(fù)性工作，使網(wǎng)絡(luò)系統(tǒng)能在盡可能短的時間內(nèi)恢復(fù)正常的網(wǎng)絡(luò)服務(wù)?？蛻粜畔⑾到y(tǒng)安全加固對系統(tǒng)中發(fā)現(xiàn)的漏洞進(jìn)行安全加固，消除安全隱患。重新評估客戶信息系統(tǒng)的安全性能重新評價客戶系統(tǒng)的安全特性，確保在一定的時間范圍內(nèi)，不發(fā)生同類的安全事件。②應(yīng)急響應(yīng)的流程包含以下內(nèi)容：故障診斷、故障修復(fù)、系統(tǒng)清理和系統(tǒng)防護(hù)，服務(wù)完成后，提交完整的《應(yīng)急事件分析報告》，詳細(xì)說明事件原因、經(jīng)過和處理方式等，而且對以后整改的方向提供適當(dāng)?shù)慕鉀Q方案。安全事件發(fā)生時15分鐘內(nèi)做出響應(yīng)并立即提供在線技術(shù)支持，無法通過遠(yuǎn)程支持解決的問題，提供現(xiàn)場服務(wù)，1小時內(nèi)抵達(dá)用戶現(xiàn)場解決問題。2、服務(wù)頻率：服務(wù)期內(nèi)按需提供，不限制次數(shù)。3、交付成果：《應(yīng)急事件處置報告》。安全咨詢服務(wù)1、服務(wù)內(nèi)容日常安全問題咨詢服務(wù)結(jié)合本單位的實(shí)際需求，參考國內(nèi)外安全標(biāo)準(zhǔn)，提供日常安全咨詢服務(wù)，主要包括大的網(wǎng)絡(luò)安全規(guī)劃、安全決策、安全事件處理等。提供完整全面的處理方案，要求方案具有可操作性、能夠指導(dǎo)采購人進(jìn)行事件處理和應(yīng)對。網(wǎng)絡(luò)安全規(guī)劃服務(wù)結(jié)合采購人的實(shí)際需求，參考國內(nèi)外安全標(biāo)準(zhǔn)和國內(nèi)新技術(shù)研究（如等保2.0、關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)條例、商用密碼體系、云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動安全），對采購人網(wǎng)絡(luò)安全方案設(shè)計，網(wǎng)絡(luò)安全建設(shè)，包括網(wǎng)絡(luò)安全結(jié)構(gòu)設(shè)計、系統(tǒng)安全設(shè)計、其他網(wǎng)絡(luò)安全方案設(shè)計，提供網(wǎng)絡(luò)安全遠(yuǎn)景規(guī)劃設(shè)計，為未來網(wǎng)絡(luò)信息安全工作開展提供有力指導(dǎo)與支撐。等級保護(hù)咨詢服務(wù)深化網(wǎng)絡(luò)安全等級保護(hù)工作，基于對網(wǎng)絡(luò)安全的深刻理解，在等級保護(hù)的框架下構(gòu)建一個安全、可靠、靈活、可持續(xù)改進(jìn)的網(wǎng)絡(luò)安全體系，對等級保護(hù)各個階段的工作重點(diǎn)為客戶提供全方位的支持和服務(wù)，協(xié)助完成定級備案、差距分析、安全整改或安全建議和協(xié)助對接等保測評工作。2、服務(wù)次數(shù)：按需提供，不限次數(shù)。3、交付成果《安全咨詢服務(wù)記錄》網(wǎng)絡(luò)威脅監(jiān)測分析服務(wù)監(jiān)測從各省屬企業(yè)到采購人局域網(wǎng)的流量、采購人辦公網(wǎng)的流量，及時發(fā)現(xiàn)、分析網(wǎng)絡(luò)中隱藏的各類威脅情況，對整網(wǎng)的威脅有全面的掌控。具體實(shí)施步驟和內(nèi)容如下：1、服務(wù)內(nèi)容我司通過用戶的安全設(shè)施和自帶的網(wǎng)絡(luò)威脅監(jiān)測系統(tǒng)，對全網(wǎng)流量進(jìn)行威脅監(jiān)測與分析；包括但不限于如下內(nèi)容：告警配置：根據(jù)安全措施中約定的安全策略，在安全監(jiān)測設(shè)備上設(shè)置事件告警策略，告警方式根據(jù)設(shè)備支持情況可以是短信、郵件、日志等形式；監(jiān)控威脅：監(jiān)控各安全設(shè)備和系統(tǒng)的安全告警信息及網(wǎng)絡(luò)實(shí)際運(yùn)行狀況，并對這些信息進(jìn)行分析，形成記錄；對于觸發(fā)應(yīng)急預(yù)案的事件，則執(zhí)行安全事件管理；如需要進(jìn)行安全設(shè)備策略修改的，根據(jù)需求進(jìn)行調(diào)整和優(yōu)化。監(jiān)控現(xiàn)有安全策略有效性：分析安全設(shè)備、系統(tǒng)發(fā)生發(fā)出告警或安全事件發(fā)生的原因，判斷現(xiàn)有安全策略是否被有效執(zhí)行，對于未被有效執(zhí)行的策略，根據(jù)需求進(jìn)行調(diào)整和優(yōu)化。安全態(tài)勢趨勢分析：根據(jù)項目范圍，用客戶接受的統(tǒng)計分析方法，對安全監(jiān)測項進(jìn)行持續(xù)觀察（如近幾月，SQL注入入侵事件每天發(fā)生的次數(shù)；違反訪問控制策略的次數(shù)及來源分析等）；當(dāng)監(jiān)測到較大變化或明顯異常時，對偏離進(jìn)行分析，查找根本原因，判斷該變化對系統(tǒng)（威脅、脆弱性、影響）產(chǎn)生的風(fēng)險，并提出相應(yīng)的處置建議。形成階段性報告。2、服務(wù)次數(shù)：按需提供，不限次數(shù)；3、常規(guī)服務(wù)時間：5×8，應(yīng)急服務(wù)時間：7×24。4、交付文檔：《服務(wù)記錄文檔》。配合監(jiān)管單位各項安全檢查工作配合采購人處理來自監(jiān)管單位的各項安全檢查工作要求，按要求完成相關(guān)資料整理，為完成安全檢查工作做好支撐保障。具體實(shí)施步驟和內(nèi)容如下：1、服務(wù)內(nèi)容按照采購人及上級主管單位要求，做好正版化檢查、網(wǎng)絡(luò)安全檢查、保密檢查、業(yè)務(wù)對接、下級單位技術(shù)支撐、采購人交辦的其他相關(guān)事宜等配合服務(wù)。2、服務(wù)次數(shù)：按需提供，不限次數(shù)；3、常規(guī)服務(wù)時間：5×8，應(yīng)急服務(wù)時間：7×24。4、交付文檔：《服務(wù)記錄文檔》。終端安全保障服務(wù)1）針對采購人自身網(wǎng)絡(luò)辦公PC提供一體化的安全防護(hù)能力，包括殺毒、補(bǔ)丁、運(yùn)維管控。2）客戶端支持操作系統(tǒng)：WindowsXP_SP3及以上/WindowsVista/Windows7/Windows8/Windows10；服務(wù)器支持操作系統(tǒng)：WindowsServer2003_SP2/WindowsServer2008/WindowsServer2012。3）終端支持智能屏蔽過期補(bǔ)丁、與操作系統(tǒng)不兼容的補(bǔ)丁，可以查看或搜索系統(tǒng)已安裝的全部補(bǔ)丁。4）防病毒的病毒查殺引擎包括云查殺引擎、啟發(fā)式引擎、腳本查殺引擎等引擎，支持多引擎的協(xié)同工作對病毒、木馬、惡意軟件、引導(dǎo)區(qū)病毒、BIOS病毒等進(jìn)行查殺，提供主動防御系統(tǒng)防護(hù)等功能。5）運(yùn)維管控功能支持對終端上傳下載速度與流量進(jìn)行管控；支持對各種外接設(shè)備進(jìn)行外聯(lián)控制，并根據(jù)違規(guī)外聯(lián)發(fā)生時內(nèi)外網(wǎng)連接狀態(tài)分別設(shè)置違規(guī)處理措施；支持終端進(jìn)程的黑白紅名單設(shè)置；支持網(wǎng)址黑白名單策略；支持對終端各種外設(shè)、接口設(shè)置使用權(quán)限；支持對終端桌面系統(tǒng)的賬號密碼、本地安全策略、控制面板、屏保與壁紙、瀏覽器安全、殺毒軟件檢查進(jìn)行管控策略配置。具體實(shí)施步驟和內(nèi)容如下：1、服務(wù)內(nèi)容提供終端安全防護(hù)軟件，對項目范圍內(nèi)的終端系統(tǒng)安裝終端安全防護(hù)軟件。2、服務(wù)次數(shù)：按需提供，不限次數(shù)；3、常規(guī)服務(wù)時間：5×8，應(yīng)急服務(wù)時間：7×24。4、交付文檔：《服務(wù)記錄文檔》。政務(wù)云（互聯(lián)網(wǎng)區(qū)域）云主機(jī)安全服務(wù)1）針對云上業(yè)務(wù)系統(tǒng)，提供主機(jī)防病毒、主機(jī)防火墻、主機(jī)入侵防御、Hypervieor層防護(hù)、主機(jī)加固、webshell檢測于一體的虛擬化安全解決方案，旨在解決云主機(jī)的病毒風(fēng)險、攻擊風(fēng)險、管理風(fēng)險等一系列的安全問題。2）配置≥29個云主機(jī)安全防護(hù)功能授權(quán)。3）支持對病毒文件進(jìn)行手動加白置黑操作、對目錄、文件、擴(kuò)展名進(jìn)行信任操作，以提升查殺效率和降低誤殺率。4）能夠針對網(wǎng)站系統(tǒng)惡意webshell、后門等文件進(jìn)行檢測掃描，并統(tǒng)一展現(xiàn)掃描結(jié)果。根據(jù)情況對檢測出的文件進(jìn)行隔離、刪除操作。具體實(shí)施步驟和內(nèi)容如下：1、服務(wù)內(nèi)容提供云主機(jī)安全防護(hù)軟件，對項目范圍內(nèi)的終端系統(tǒng)安裝云主機(jī)安全防護(hù)軟件。2、服務(wù)次數(shù)：按需提供，不限次數(shù)；3、常規(guī)服務(wù)時間：5×8，應(yīng)急服務(wù)時間：7×24。4、交付文檔：《服務(wù)記錄文檔》。政務(wù)云（電子政務(wù)外網(wǎng)區(qū)域）云主機(jī)安全服務(wù)1）針對云上業(yè)務(wù)系統(tǒng)，提供主機(jī)防病毒、主機(jī)防火墻、主機(jī)入侵防御、Hypervieor層防護(hù)、主機(jī)加固、webshell檢測于一體的虛擬化安全解決方案，旨在解決云主機(jī)的病毒風(fēng)險、攻擊風(fēng)險、管理風(fēng)險等一系列的安全問題。2）電子政務(wù)外網(wǎng)區(qū)域配置≥16個云主機(jī)安全防護(hù)功能授權(quán)。3）支持對病毒文件進(jìn)行手動加白置黑操作、對目錄、文件、擴(kuò)展名進(jìn)行信任操作，以提升查殺效率和降低誤殺率。4）能夠針對網(wǎng)站系統(tǒng)惡意webshell、后門等文件進(jìn)行檢測掃描，并統(tǒng)一展現(xiàn)掃描結(jié)果。根據(jù)情況對檢測出的文件進(jìn)行隔離、刪除操作。具體實(shí)施步驟和內(nèi)容如下：1、服務(wù)內(nèi)容提供云主機(jī)安全防護(hù)軟件，對項目范圍內(nèi)的終端系統(tǒng)安裝云主機(jī)安全防護(hù)軟件。2、服務(wù)次數(shù)：按需提供，不限次數(shù)；3、常規(guī)服務(wù)時間：5×8，應(yīng)急服務(wù)時間：7×24。4、交付文檔：《服務(wù)記錄文檔》。政務(wù)云（互聯(lián)網(wǎng)區(qū)域）安全日志審計服務(wù)1）通過對云上業(yè)務(wù)系統(tǒng)安全組件的安全事件和系統(tǒng)日志進(jìn)行集中收集、標(biāo)準(zhǔn)化處理，及時發(fā)現(xiàn)各種安全威脅、異常行為事件，為管理人員提供全局的視角，確保業(yè)務(wù)運(yùn)營安全；支持對事件進(jìn)行追溯，為客戶提供真正可信賴的事件追責(zé)依據(jù)和安全分析數(shù)據(jù)源。2）配置≥30個節(jié)點(diǎn)的安全審計。3）能夠?qū)ζ髽I(yè)和組織的IT資源中構(gòu)成業(yè)務(wù)信息系統(tǒng)的各種網(wǎng)絡(luò)設(shè)備、安全設(shè)備、安全系統(tǒng)、主機(jī)操作系統(tǒng)、數(shù)據(jù)庫、中間件以及各種應(yīng)用系統(tǒng)的日志、事件、告警等安全信息進(jìn)行全面的審計。4）可對不同類型設(shè)備的日志之間進(jìn)行關(guān)聯(lián)分析，支持遞歸關(guān)聯(lián)，統(tǒng)計關(guān)聯(lián)，時序關(guān)聯(lián)，這幾種關(guān)聯(lián)方式能同時應(yīng)用于一個關(guān)聯(lián)分析規(guī)則。具體實(shí)施步驟和內(nèi)容如下：1、服務(wù)內(nèi)容我司通過安全日志審計系統(tǒng)提供云安全日志審計服務(wù)能力。2、服務(wù)次數(shù)：按需提供，不限次數(shù)；3、常規(guī)服務(wù)時間：5×8，應(yīng)急服務(wù)時間：7×24。4、交付文檔：《服務(wù)記錄文檔》。政務(wù)云（電子政務(wù)外網(wǎng)區(qū)域）安全日志審計服務(wù)1）通過對云上業(yè)務(wù)系統(tǒng)安全組件的安全事件和系統(tǒng)日志進(jìn)行集中收集、標(biāo)準(zhǔn)化處理，及時發(fā)現(xiàn)各種安全威脅、異常行為事件，為管理人員提供全局的視角，確保業(yè)務(wù)運(yùn)營安全；支持對事件進(jìn)行追溯，為客戶提供真正可信賴的事件追責(zé)依據(jù)和安全分析數(shù)據(jù)源。2）配置≥17個節(jié)點(diǎn)的安全審計。3）能夠?qū)ζ髽I(yè)和組織的IT資源中構(gòu)成業(yè)務(wù)信息系統(tǒng)的各種網(wǎng)絡(luò)設(shè)備、安全設(shè)備、安全系統(tǒng)、主機(jī)操作系統(tǒng)、數(shù)據(jù)庫、中間件以及各種應(yīng)用系統(tǒng)的日志、事件、告警等安全信息進(jìn)行全面的審計。4）可對不同類型設(shè)備的日志之間進(jìn)行關(guān)聯(lián)分析，支持遞歸關(guān)聯(lián)、統(tǒng)計關(guān)聯(lián)、時序關(guān)聯(lián)，這幾種關(guān)聯(lián)方式能同時應(yīng)用于一個關(guān)聯(lián)分析規(guī)則。具體實(shí)施步驟和內(nèi)容如下：1、服務(wù)內(nèi)容我司通過安全日志審計系統(tǒng)提供云安全日志審計服務(wù)能力。2、服務(wù)次數(shù)：按需提供，不限次數(shù)；3、常規(guī)服務(wù)時間：5×8，應(yīng)急服務(wù)時間：7×24。4、交付