XXX華為安全服務(wù)技術(shù)建議書模板

XXXX20__-20__年網(wǎng)絡(luò)安全服務(wù)技術(shù)建議書模板（V1.0）（僅供內(nèi)部使用）擬制:日期：yyyy-mm-dd審核:日期：yyyy-mm-dd審核:日期：yyyy-mm-dd批準:日期：yyyy-mm-dd深圳市華為技術(shù)服務(wù)有限公司YYYY-MM-DD

yyyy-mm-dd1.00初稿完成作者yyyy-mm-dd1.01一定要寫清楚修改了哪些主要內(nèi)容，與上一資料版本的關(guān)系，以便使用者一目了然本次修訂者yyyy-mm-dd1.02本次修訂者yyyy-mm-dd2.00修改XXX日期修訂版本描述作者日期修訂版本描述作者HUAWEI目錄TOC\o"1-5"\h\z\o"CurrentDocument"1. 服務(wù)期 2\o"CurrentDocument"2. 安全服務(wù)范圍 2\o"CurrentDocument"3. 安全服務(wù)內(nèi)容 2\o"CurrentDocument"安全評估 3\o"CurrentDocument"安全評估工具 4\o"CurrentDocument"安全評估周期 4\o"CurrentDocument"3.1.3 漏洞掃描及本地檢測對象 5\o"CurrentDocument"3.1.4 安全評估流程 6\o"CurrentDocument"3.1.5 漏洞掃描服務(wù)內(nèi)容 7\o"CurrentDocument"安全審計 9\o"CurrentDocument"3.2.1 華為安全審計服務(wù)的內(nèi)容 9\o"CurrentDocument"XXXX行業(yè)IT審計流程 10\o"CurrentDocument"IT審計的方法、技術(shù)與工具 10\o"CurrentDocument"常用設(shè)備的安全檢查手冊 11\o"CurrentDocument"CSO:華為自助開發(fā)的終端安全審計檢查工具簡介 11\o"CurrentDocument"XXXX行業(yè)IT審計方法的綜合應(yīng)用 13\o"CurrentDocument"應(yīng)急響應(yīng) 13\o"CurrentDocument"安全事件響應(yīng)機制 14\o"CurrentDocument"華為安全應(yīng)急響應(yīng)服務(wù) 18\o"CurrentDocument"安全事件和分級 1\o"CurrentDocument"安全事件處理時限: 2\o"CurrentDocument"安全巡檢 3\o"CurrentDocument"服務(wù)綜述 3\o"CurrentDocument"服務(wù)流程: 3\o"CurrentDocument"巡檢服務(wù)范圍 4\o"CurrentDocument"巡檢服務(wù)內(nèi)容 5HUAWEI1.服務(wù)期說明本次安全服務(wù)提供的期限根據(jù)XXXX《XXXX網(wǎng)絡(luò)安全服務(wù)要求》的要求，本次安全服務(wù)的提供期為： 年 月至 年 月，共__個月。2.安全服務(wù)范圍概述此次安全服務(wù)的范圍本次提供的網(wǎng)絡(luò)安全服務(wù)為XXXX的各個網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)提供安全服務(wù)和支持。主要包括：1……2……3……3.安全服務(wù)內(nèi)容作為華為整體安全解決方案的一部分，華為可以為用戶提供安全評估、安全審計、安全咨詢及建議、安全加固及優(yōu)化、安全應(yīng)急響應(yīng)、安全巡檢、安全預(yù)警、安全培訓(xùn)等專業(yè)安全服務(wù)，本次XXXXX項目將向客戶提供以下專業(yè)安全服務(wù)：安全評估安全風(fēng)險評估是信息安全管理體系（ISMS）建立的基礎(chǔ)，是組織平衡安全風(fēng)險和安全投入的依據(jù)，也是ISMS測量業(yè)績、發(fā)現(xiàn)改進機會的最重要途徑。安全風(fēng)險評估是信息安全工作開展的起點和基礎(chǔ)，是有效的安全策略設(shè)計、解決方案設(shè)計的前提。通過安全評估，明確保護的對象和其存在的弱點和威脅；通過對風(fēng)險的量化，進而明確不同信息資產(chǎn)的保護等級，從而確定對不同保護等級的信息資產(chǎn)采取不同級別的控制措施；解決對所有資產(chǎn)都采取同等防護措施帶來的影響效率、增加成本的問題。安全評估服務(wù)根據(jù)服務(wù)層次、對象以及要達到的要求的不同，一般可以分為信息安全風(fēng)險評估和網(wǎng)絡(luò)安全風(fēng)險評估作為一種高端安全服務(wù)，一個全面專業(yè)的信息安全評估一般包含以下內(nèi)容：?實體安全評估?平臺安全評估數(shù)據(jù)安全評估通信安全評估應(yīng)用安全評估運行安全評估管理安全評估網(wǎng)絡(luò)安全風(fēng)險評估則相對簡單，一般主要只是針對具體平臺，包括主機、網(wǎng)絡(luò)設(shè)備本身的系統(tǒng)安全以及運行于其上的一些應(yīng)用服務(wù)安全。針對以上涉及的評估內(nèi)容，可以采用的評估方法有現(xiàn)場勘查、人員訪談、問卷調(diào)查、漏洞掃描、本地檢測、滲透測試等。其中最基本也是一般安全評估服務(wù)最常選擇的方式主要是漏洞掃描或者再加上本地檢測。漏洞掃描技術(shù)是一種基于Internet遠程檢測目標(biāo)網(wǎng)絡(luò)或本地主機安全性脆弱點 HUAWEI的技術(shù)，本地檢測作為漏洞掃描的補充，可以有效發(fā)現(xiàn)一些更為細致、具體的風(fēng)險漏洞，兩者從技術(shù)層面對主機、網(wǎng)絡(luò)及其設(shè)備進行漏洞風(fēng)險的有效評估，是審核和保障系統(tǒng)安全的有效手段。本次的安全評估服務(wù)采取的是網(wǎng)絡(luò)安全風(fēng)險評估，包括漏洞掃描及本地檢測兩部分內(nèi)容，主要針對的對象是主機及其應(yīng)用、網(wǎng)絡(luò)及其設(shè)備方面的安全評估。安全評估工具本次安全服務(wù)中用到的漏洞掃描工具由華為根據(jù)XXXX的具體情況和需求，經(jīng)過雙方商議后決定由哪方提供，本地檢測的Checklist及腳本由華為提供。安全評估周期本次安全評估采取定期和不定期兩種方式進行。定期掃描/本地檢測根據(jù)XXXX網(wǎng)絡(luò)安全服務(wù)合同規(guī)定進行；不定期掃描/檢測根據(jù)客戶的臨時需求，由客戶提出服務(wù)需求，我方提供服務(wù)。如下：定期漏洞掃描/本地檢測根據(jù)XXXX的網(wǎng)絡(luò)/系統(tǒng)的具體情況和技術(shù)需求來決定評估周期網(wǎng)絡(luò)/系統(tǒng) 評估周期不定期漏洞掃描根據(jù)XXXX要求進行，次數(shù)不限。（注：不定期掃描的收費方式由合同指出）3.1.3漏洞掃描及本地檢測對象包括需要掃描主機、設(shè)備的ip范圍，操作系統(tǒng)、設(shè)備版本類型、主要應(yīng)用服務(wù)、業(yè)務(wù)等基本信息，可參考如下表格：3?1?4安全評估流程確定評估對象確定所需資源制定評估計劃及擔(dān)描策略遠程掃描端口掃描操詐系統(tǒng)折紋掃描懸—應(yīng)用服務(wù)漏洞掃掃本地檢測VC應(yīng)用扔攤-..花應(yīng)用護咖應(yīng)用護那■<3?1?4安全評估流程確定評估對象確定所需資源制定評估計劃及擔(dān)描策略遠程掃描端口掃描操詐系統(tǒng)折紋掃描懸—應(yīng)用服務(wù)漏洞掃掃本地檢測VC應(yīng)用扔攤-..花應(yīng)用護咖應(yīng)用護那■<■2-( 異常事件記錄及處理(輸出掃描結(jié)果及報告?掃描對象包括需要掃描主機的ip范圍、操作系統(tǒng)類型、主要應(yīng)用業(yè)務(wù)等基本信息。?所需資源包括實施人員、所需設(shè)備、工具、資料、其他支持等。?掃描計劃及策略包括掃描任務(wù)的實施人員、時間安排，掃描方法、策略、工具、資料的說明，還有風(fēng)險的規(guī)避、異常事件應(yīng)急方案等等。HUAWEI?端口掃描掃描出開放的端口及其Banner信息，掃描工具有nmap、superscan。操作系統(tǒng)指文掃描通過指紋掃描判斷出操作系統(tǒng)版本，掃描工具有nmap。應(yīng)用服務(wù)漏洞掃描通過前面的端口掃描及操作系統(tǒng)指文掃描判斷服務(wù)器上面提供的應(yīng)用服務(wù)及其版本，跟據(jù)不同的服務(wù)制定不同的掃描策略，選擇相應(yīng)的掃描插件或工具進行漏洞掃描，掃描工具有：ISS、NESSUS。3.1.5漏洞掃描服務(wù)內(nèi)容服務(wù)內(nèi)容根據(jù)XXXX的具體需求對該服務(wù)的內(nèi)容具體說明，包括服務(wù)響應(yīng)時間、服務(wù)質(zhì)量承諾、掃描結(jié)果評估報告等等，對其中具有優(yōu)勢的華為服務(wù)內(nèi)容做特別說明。1、 華為在收到XXXX掃描申請后，在兩個工作日內(nèi)派出技術(shù)人員到XXXX現(xiàn)場進行掃描，并提交掃描結(jié)果給XXXX。2、 在掃描設(shè)備充足和掃描任務(wù)密集的情況下，華為保證有充足的技術(shù)人員根據(jù)XXXX要求按時按質(zhì)完成掃描工作。3、 對掃描產(chǎn)生的結(jié)果，華為根據(jù)XXXX的具體需要，導(dǎo)入《XXXX安全評估信息庫》，資產(chǎn)漏洞信息按照《XXXX安全評估信息庫》格式正確、清晰呈現(xiàn)，尤其是漏洞信息詳細描述和解決方案；掃描中的所有資產(chǎn)一并導(dǎo)入信息庫。4、 對同一網(wǎng)絡(luò)或系統(tǒng)涉及到兩次漏洞掃描的，華為提供與前次掃描的對比分析報告。5、 漏洞掃描應(yīng)安排在非業(yè)務(wù)忙時進行，根據(jù)實際網(wǎng)絡(luò)和系統(tǒng)的要求確定掃描速度，將對網(wǎng)絡(luò)和系統(tǒng)的影響降至最小。掃描計劃概述針對該次服務(wù)的具體需求制訂詳細的掃描計劃，包括時間安排、人力資源分配、緊急事件處理方案等。在接到掃描任務(wù)后，根據(jù)掃描對象和規(guī)模制定詳細的掃描計劃，并給XXXX確認。掃描計劃內(nèi)容包括：1、 掃描的具體時間安排：針對掃描對象和規(guī)模制定掃描計劃，并且計劃掃描時間安排在非業(yè)務(wù)忙時進行，根據(jù)實際網(wǎng)絡(luò)和系統(tǒng)的要求確定掃描速度，將對網(wǎng)絡(luò)和系統(tǒng)的影響降至最小2、 掃描人員安排：安排有經(jīng)驗的掃描人員，根據(jù)掃描規(guī)模的大小和掃描任務(wù)的緊急程度確定人員的數(shù)量。3、 緊急事件的響應(yīng)：緊急事件有兩種，一種是在掃描過程中發(fā)現(xiàn)的重大的必須馬上解決的漏洞，此部分華為公司提供修補建議，XXXX確認后由雙方共同安排人員進行及時的修補；另一種是掃描過程中可能出現(xiàn)的由于掃描引起的目標(biāo)系統(tǒng)服務(wù)停止或服務(wù)器宕機等風(fēng)險及其風(fēng)險規(guī)避措施，基于此類事件的可能性考慮，在掃描實施過程中XXXX應(yīng)安排專職人員負責(zé)協(xié)調(diào)。掃描結(jié)果報告概述掃描結(jié)果報告的內(nèi)容概述。掃描結(jié)果報告漏洞掃描完成后生成掃描結(jié)果報告，結(jié)果報告包含以下的內(nèi)容：1、 目標(biāo)系統(tǒng)的總體信息：包括包含的主機數(shù)量，IP地址分布，基本的操作系統(tǒng)狀況分組，發(fā)現(xiàn)的弱點分類以及數(shù)量。2、 按照目標(biāo)系統(tǒng)分類的詳細信息：系統(tǒng)內(nèi)的每一主機的：操作系統(tǒng)狀況、帳號口令狀況、端口開放狀況、弱點的詳細狀況 HUAWEI3、針對掃描結(jié)構(gòu)分析目前掃描目標(biāo)系統(tǒng)的安全隱患以及需要解決的緊急程度。對比分析報告內(nèi)容概述將此次掃描結(jié)果報告與前期做過的掃描結(jié)果報告進行對比分析，按照摸板提供對比分析報告。華為公司在掃描結(jié)束之后，將按照模板提供對比分析報告，主要針對在前期已經(jīng)做過掃描的系統(tǒng)，其主要內(nèi)容包括：1、目標(biāo)系統(tǒng)減少的弱點信息2、目標(biāo)系統(tǒng)新增的弱點信息3、新增弱點產(chǎn)生的原因與造成的隱患程度4、消除弱點的解決方案5、掃描總結(jié)安全審計華為安全審計服務(wù)是基于ISACA（信息系統(tǒng)審計與控制協(xié)會）制定的一套信息系統(tǒng)審計標(biāo)準，參考業(yè)界最佳時間并結(jié)合華為公司自身安全審計經(jīng)驗。并擁有多名通過ISACA協(xié)會認證的信息系統(tǒng)審計師（CISA）。3.2.1華為安全審計服務(wù)的內(nèi)容概述華為安全審計服務(wù)提供哪些方面的服務(wù)內(nèi)。容提供IT審計咨詢協(xié)助建立審計方法和標(biāo)準推薦IT審計工具建立日常安全維護指導(dǎo)文檔提供IT審計培訓(xùn)XXXX行業(yè)IT審計流程根據(jù)國際標(biāo)準的信息系統(tǒng)審計準則和國內(nèi)對其行業(yè)的研提出該行業(yè)IT審計工作進程方案和相關(guān)策略。國內(nèi)IT審計建設(shè)起步晚，對IT審計了解比較少，因此如何有效的控制一個IT審計項目缺乏相關(guān)的經(jīng)驗。根據(jù)對國內(nèi)XXXX行業(yè)的的研究，提出如下XXXX行業(yè)IT審計工作進程方案與相關(guān)策略：說明該行業(yè)對審計單位的組織要求以及相關(guān)的資質(zhì)要求。確定獨立IT審計組，說明審計組的成員構(gòu)成及組成員的IT安全審計資格和此次安全審計的范圍制定詳細的IT審計方案與計劃，應(yīng)包括該行業(yè)的信息系統(tǒng)現(xiàn)狀分析、內(nèi)部控制情況現(xiàn)狀初步評價、審計工作的組織安排、審計風(fēng)險評估、審計范圍、審計成本、實施時間計劃、審計協(xié)調(diào)與溝通機制等等。具體說明嚴格按照制定的審計方案與計劃進行取證、測試與評價的審計實施過程。概述IT審計報告的構(gòu)成部分，各塊內(nèi)容的匯總的組織結(jié)構(gòu)審計工作的持續(xù)改進和長期的計劃IT審計的方法、技術(shù)與工具介紹常規(guī)的審計方法、技術(shù)和工具，以及計算機輔助審計的技術(shù)工與具。1)常規(guī)的審計方法、技術(shù)與工具面談法問卷調(diào)查系統(tǒng)評審會流程圖檢查程序代碼檢查程序代碼比較設(shè)備配置檢查2)計算機輔助審計的技術(shù)與工具a)計算機輔助審計技術(shù)集成測試(IntegratedTestFacility)快拍、擴展測試(Snapshot/ExtendedTest)系統(tǒng)控制審計評審文件(SCARF,SystemcontrolandauditreviewFile)連續(xù)與間歇模擬(CIS,ContinuousandIntermittentSimulation)b)審計軟件c)性能度量工具3.2.4常用設(shè)備的安全檢查手冊列出常用設(shè)備的安全檢查手冊。?終端安全檢查手冊?網(wǎng)絡(luò)設(shè)備例行安全檢查手冊?防火墻例行安全檢查手冊Windows例行安全檢查手冊Unix例行安全檢查手冊數(shù)據(jù)庫例行安全檢查手冊3.2.5CSO：華為自助開發(fā)的終端安全審計檢查工具簡介根據(jù)GSI/FBI的調(diào)查，企業(yè)信息竊密的發(fā)生頻率可能不如病毒等攻擊手段高，但是它所造成的損失卻是最大的，因此防范泄密事件的發(fā)生是企業(yè)迫切需要解決的關(guān)系到企業(yè)生存發(fā)展的重大安全問題。那么，為什么會出現(xiàn)泄密事件呢？計算機網(wǎng)絡(luò)化為別有用心者提供了許多新的泄密途徑；信息新技術(shù)的采用為別有用心者提供了許多新的手段；用戶終端的安全性差，造成了許多非主觀的無意泄密。針對企業(yè)頻繁發(fā)生的泄密事件，通過對泄密產(chǎn)生原因的深入分析和研究，華為公司通過自主研發(fā)推出了專門防范企業(yè)用戶終端泄密的審計監(jiān)控系統(tǒng)——CSO終端安全監(jiān)控系統(tǒng)。 HUAWEI——該系統(tǒng)從兩個角度提供防泄密功能。一是從企業(yè)監(jiān)控管理的角度，主要是通過制定用戶終端的安全審計監(jiān)控策略，再根據(jù)安全策略下達審計監(jiān)控任務(wù)對用戶終端進行安全審計監(jiān)控，以達到防止內(nèi)部秘密信息有意或無意泄漏的功能；二是從用戶終端自查自防的角度，提供用戶進行本機安全自檢的功能，幫助用戶加強本機安全性，防止無意泄密的情況出現(xiàn)。CSO終端安全監(jiān)控系統(tǒng)在系統(tǒng)機構(gòu)上采用了C/S結(jié)構(gòu)和B/S結(jié)構(gòu)的混合模式。在系統(tǒng)組成上采用C/S結(jié)構(gòu)，系統(tǒng)分為安全策略服務(wù)器（SPS）和客戶端代理軟件（Agent）兩個部分；在系統(tǒng)應(yīng)用和管理上采用B/S結(jié)構(gòu)，審計人員和應(yīng)用管理員通過瀏覽器登錄Web服務(wù)器進行相關(guān)操作。系統(tǒng)應(yīng)用模型如下圖：審計丘下送申計倒戶審計丘下送申計倒戶審計經(jīng)理：主要負責(zé)增加、刪除和修改安全審計策略，配置審計員權(quán)限，檢查審計員的審計操作日志。能夠向所有用戶終端下達各種審計監(jiān)控任務(wù)，生成各種審計報表。審計員：能夠查看部分審計策略定義。根據(jù)實際審計需要，向所管轄部門（權(quán)限范圍內(nèi)的部門）的用戶終端下達各種審計監(jiān)控任務(wù)，生成各種審計報表。應(yīng)用管理員：負責(zé)系統(tǒng)運行參數(shù)的增加、刪除和修改，以及審計人員開戶等。用戶：接受審計監(jiān)控，進行本機自檢。3.2.6XXXX行業(yè)IT審計方法的綜合應(yīng)用xxxx行業(yè)it審計實施過程中應(yīng)用的關(guān)鍵方法主要包括以下幾個方面：1） 明確指出該行業(yè)it審計過程中的關(guān)鍵因素2） 對該行業(yè)IT審計過程中的關(guān)鍵因素進行評估3） 在對其關(guān)鍵因素充分識別與評估后，考慮應(yīng)用現(xiàn)有的控制措施或設(shè)計新的控制方法控制其關(guān)鍵因素4） 采用符合性測試方法與實質(zhì)性審計測試方法對其進行IT審計測試。3.3應(yīng)急響應(yīng)在當(dāng)今互聯(lián)化的計算環(huán)境中，保障組織信息財產(chǎn)的安全是一種挑戰(zhàn)，隨著各種新的"電子"產(chǎn)品和各種入侵工具的出現(xiàn)，這種挑戰(zhàn)變得越來越艱巨。對于保障信息財產(chǎn)的安全來說，不存在單一的解決方案，而需要一種多層化的安全策略。在通常的APPDRR動態(tài)安全模型中，網(wǎng)絡(luò)安全二風(fēng)險分析（A）+安全策略（P）+防御系統(tǒng)（P）+實時監(jiān)測（D）+響應(yīng)處理（R）+災(zāi)難恢復(fù)（R）。其中應(yīng)急處理是安全保障工作中一個非常重要的環(huán)節(jié)。應(yīng)急處理環(huán)節(jié)的主要工作內(nèi)容就是發(fā)現(xiàn)排除突發(fā)的安全事件，在安全保障工作中，防護和監(jiān)測環(huán)節(jié)往往都是針對已知事件特征來防護和監(jiān)測的，因此應(yīng)急處理環(huán)節(jié)的工作可以彌補其不足。PDRR模型HUAWEI網(wǎng)絡(luò)安全事件是多種多樣的，攻擊的來源、目的和方法都非常復(fù)雜，可以同時達到多種不同的結(jié)果。因此，網(wǎng)絡(luò)安全事件應(yīng)急處理是個非常復(fù)雜、困難的過程。對于緊急事件的應(yīng)急處理，一定要建立一套行之有效的應(yīng)急處理機制，包括其處理方法、組織和人員、實施流程等，一旦緊急事件發(fā)生，就要能在最短的時間內(nèi)對問題事件做出響應(yīng)和處理，最終解決問題。3.3.1安全事件響應(yīng)機制安全事件響應(yīng)機制，是指應(yīng)對網(wǎng)絡(luò)安全突發(fā)事件的各種制度及其具體措施的總稱。我們認為它應(yīng)由事前預(yù)防預(yù)警和監(jiān)測機制、事中緊急處理機制、事后協(xié)調(diào)恢復(fù)機制、評估和改進機制四大部分構(gòu)成。事前預(yù)防、預(yù)警和監(jiān)測機制說明在事前預(yù)防、預(yù)警和監(jiān)測的安全制度建設(shè)上要注意的要點此機制的主要功能在于通過監(jiān)控系統(tǒng)及時發(fā)現(xiàn)網(wǎng)絡(luò)安全突發(fā)事件的前兆，適時發(fā)布預(yù)警信號，為早期化解和嚴陣以待奠定基礎(chǔ)，最大限度地避免倉促應(yīng)戰(zhàn)、盲目應(yīng)戰(zhàn)、混亂應(yīng)戰(zhàn)等不良管理現(xiàn)象。在制度建設(shè)上，主要有以下幾點：1、建立全方位的監(jiān)控系統(tǒng)。不僅僅包括政府有關(guān)部門和機構(gòu)、網(wǎng)絡(luò)運營商和網(wǎng)絡(luò)服務(wù)商，還包括有關(guān)的網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)和應(yīng)用軟件廠商，有關(guān)的科研機構(gòu)和社會組織，同時保持和國外有關(guān)機構(gòu)的信息聯(lián)系，并鼓勵普通員工通過網(wǎng)站、email、電話等多種方式反映各種網(wǎng)絡(luò)安全突發(fā)事件，建立一個依靠和動員廣大員工的、吸納一切可用資源的、全方位的監(jiān)控系統(tǒng)。2、組織精干有效的專家系統(tǒng)。將各方面的專家有效地組織起來，包括職能部門、信息分析人員、危機處理專家、相關(guān)領(lǐng)域的技術(shù)顧問、法律專家、具有豐富經(jīng)驗的實際工作人員代表等，從而能對各種網(wǎng)絡(luò)安全突發(fā)事件提供涵蓋各領(lǐng)域的預(yù)防和解HUAWEI決方案，而不僅僅是從技術(shù)方面。3、完善職責(zé)明確的職能系統(tǒng)。監(jiān)控系統(tǒng)中的各部門、應(yīng)急項目組或廠商依據(jù)職能劃分，分別承擔(dān)職責(zé)范圍內(nèi)的預(yù)警工作。應(yīng)急項目組和廠商的主要職能在技術(shù)層面上，通過運用各種技術(shù)手段來完成其職責(zé)。需要指出的是，要針對網(wǎng)絡(luò)安全突發(fā)事件產(chǎn)生的原因，結(jié)合實際情況，擬定出多種應(yīng)急預(yù)案并形成預(yù)案庫。擬定預(yù)案是應(yīng)對網(wǎng)絡(luò)安全突發(fā)事件的基礎(chǔ)工作，應(yīng)當(dāng)引起高度的重視。4、劃分網(wǎng)絡(luò)安全突發(fā)事件的嚴重級別。根據(jù)可能造成的損失程度，劃分突發(fā)事件的不同級別，發(fā)布相應(yīng)的預(yù)警通告，以確定需要調(diào)用的資源和采取的措施。在具體措施上，主要是以下幾點：1、異常流量監(jiān)控。針對日益嚴重的網(wǎng)絡(luò)蠕蟲病毒，監(jiān)控全網(wǎng)流量，建立蠕蟲流量模型和蠕蟲狀態(tài)測度方法，應(yīng)用于入侵檢測系統(tǒng)中，提高蠕蟲檢測的準確度，從而減少網(wǎng)絡(luò)蠕蟲病毒帶來的威脅。2、病毒、漏洞和補丁監(jiān)控。要求有關(guān)機構(gòu)和廠商，及時發(fā)布病毒告警和漏洞告警，并迅速提供相應(yīng)的專殺工具、病毒庫升級和修補程序。同時對網(wǎng)絡(luò)上可能受影響的計算機發(fā)出警告，要求其盡快采取措施消除隱患。3、垃圾郵件和有害信息的監(jiān)控。利用各種技術(shù)手段進行搜索、監(jiān)控和過濾。事中緊急處理機制在建設(shè)事中緊急處理的制度時要注意的幾大要點一旦網(wǎng)絡(luò)安全突發(fā)事件難以避免地發(fā)生，就必須立即啟動事中緊急處理機制進行應(yīng)對。因此，事中緊急處理機制的建設(shè)是應(yīng)對網(wǎng)絡(luò)安全突發(fā)事件的核心環(huán)節(jié)，直接關(guān)系應(yīng)對的質(zhì)量與效率。在制度建設(shè)上，主要有以下幾點：1、建立全面的信息收集系統(tǒng)。應(yīng)對機制中的所有成員，對網(wǎng)絡(luò)安全突發(fā)事件的詳細情況及其發(fā)展趨勢進行分析，為迅速處理和解決網(wǎng)絡(luò)安全突發(fā)事件提供有效的、真實的信息。2、建立專業(yè)的解決方案制定系統(tǒng)。迅速調(diào)集相關(guān)的專業(yè)人員，針對具體的網(wǎng)絡(luò)安全突發(fā)事件，確定該事件的嚴重級別，研究解決方案的實施及修改完善，開展應(yīng)急指導(dǎo)工作。3、建立統(tǒng)一的應(yīng)對指揮系統(tǒng)。由擁有法定權(quán)力的領(lǐng)導(dǎo)和部門負責(zé)人組成富有權(quán)威的指揮部門，負責(zé)統(tǒng)帥其他系統(tǒng)做好網(wǎng)絡(luò)安全突發(fā)事件的緊急處理工作。指揮系統(tǒng)的建立一般有兩種：一是借助常設(shè)機構(gòu)；二是成立綜合性的非常設(shè)機構(gòu)。當(dāng)現(xiàn)有的常設(shè)機構(gòu)能力不足以解決特別重大的網(wǎng)絡(luò)安全突發(fā)事件時，可以由上級政府協(xié)調(diào)成立一個更高級別的綜合性的非常設(shè)機構(gòu)。4、建立強有力的執(zhí)行系統(tǒng)。執(zhí)行系統(tǒng)應(yīng)當(dāng)是一支訓(xùn)練有素、反應(yīng)靈敏、專業(yè)化程度高和富有戰(zhàn)斗力的隊伍。指揮系統(tǒng)將指定的解決方案部署下去之后，各相關(guān)成員應(yīng)堅決、迅速地執(zhí)行，各司其職，緊密配合，將網(wǎng)絡(luò)安全突發(fā)事件造成的負面影響和損失控制在最小范圍內(nèi)。在具體措施上，主要有以下幾點：1、迅速定位事件的傳播源和傳播途徑，分析突發(fā)事件發(fā)生的具體原因。2、 綜合運用訪問控制列表、速率限制、QoS、反向路由驗證等技術(shù)和關(guān)閉、隔離或限制傳播源等手段，控制網(wǎng)絡(luò)安全突發(fā)事件在網(wǎng)絡(luò)上的傳播。3、 設(shè)備和軟件廠商應(yīng)以最快速度，提交相應(yīng)的專殺工具、病毒庫升級、修補程序等產(chǎn)品解決方案。事后協(xié)調(diào)恢復(fù)機制在事后協(xié)調(diào)恢復(fù)機制的建設(shè)中要注意的重點網(wǎng)絡(luò)安全突發(fā)事件的波峰過去以后，應(yīng)盡快恢復(fù)正常的網(wǎng)絡(luò)秩序，彌補已經(jīng)造成的損失，必須適時運用事后協(xié)調(diào)恢復(fù)機制。在制度建設(shè)上，主要有以下幾點：HUAWEI1、信息收集系統(tǒng)應(yīng)繼續(xù)追蹤和掌握網(wǎng)絡(luò)安全突發(fā)事件發(fā)展的有關(guān)信息，尤其要注意觀察事態(tài)有無反復(fù)的跡象。2、指揮系統(tǒng)仍然擔(dān)負善后工作指揮職責(zé)，統(tǒng)率協(xié)調(diào)相關(guān)系統(tǒng)開展掃尾工作。為徹底解決相關(guān)問題而調(diào)用必要的有關(guān)資源，并著手研究有關(guān)組織或人員的相關(guān)責(zé)任問題。3、執(zhí)行系統(tǒng)負責(zé)善后工作的具體落實與執(zhí)行，密切關(guān)注善后工作，監(jiān)督有關(guān)制度和措施的最后落實情況。在具體措施上，主要有以下幾點：1、繼續(xù)保持對網(wǎng)絡(luò)的密切監(jiān)控和分析，防止?jié)u近平息的網(wǎng)絡(luò)安全突發(fā)事件死灰復(fù)燃。2、已采取的緊急措施和限制，要區(qū)分情況，在確定不會造成新的問題前提下，對部分影響正常網(wǎng)絡(luò)業(yè)務(wù)的措施和限制逐步放開。比如，遞次取消ACL、將被隔離的計算機恢復(fù)聯(lián)網(wǎng)、恢復(fù)關(guān)閉的網(wǎng)站等等。3、繼續(xù)發(fā)布通告，提示仍然要保持警惕。評估和改進機制在評估和改進現(xiàn)有安全機制的時候需要注意的地方在網(wǎng)絡(luò)安全突發(fā)事件基本平息之后，需要對此次的突發(fā)事件應(yīng)急處理的各系統(tǒng)、過程以及結(jié)果進行評估，改進相關(guān)制度和措施。還要對導(dǎo)致突發(fā)事件產(chǎn)生的原因進行分析，拿出根治的辦法，防止突發(fā)事件重演。1、 指揮系統(tǒng)要建立一個評估標(biāo)準，選擇合適的評估方法，對網(wǎng)絡(luò)安全突發(fā)事件預(yù)防、處理、恢復(fù)過程中，各職能系統(tǒng)的具體表現(xiàn)和效果進行評估，實施相應(yīng)的獎懲措施。2、 各職能系統(tǒng)進行自我評估，并提出預(yù)防和改進的方法、技術(shù)，供指揮系統(tǒng)參考。 HUAWEI3、全面審視現(xiàn)有的制度、技術(shù)和網(wǎng)絡(luò)安全狀況，與時俱進，不斷改進網(wǎng)絡(luò)安全突發(fā)事件應(yīng)急機制。綜上所述，我們可以建立一個網(wǎng)絡(luò)安全突發(fā)事件應(yīng)對機制模型，如圖1所示:圖1：網(wǎng)絡(luò)安全突發(fā)事件應(yīng)對機制模型一PR2IPR2I模型是將Prevent（預(yù)防）、Response（處理）、Recover（恢復(fù)）、Improve（改進）四個過程組成一個循環(huán)流程，以整體的安全策略為核心，以制度和技術(shù)為保證，建立一個自我管理、自我調(diào)節(jié)、自我改進、自我發(fā)展的“四自”網(wǎng)絡(luò)安全突發(fā)事件應(yīng)對機制。3.3.2華為安全應(yīng)急響應(yīng)服務(wù)3.3.2.1應(yīng)急響應(yīng)服務(wù)方法論華為對網(wǎng)絡(luò)安全事件的響應(yīng)采用國際上通用的PDCERF事件響應(yīng)方法學(xué)

HUAWEIJZL4HUAWEIJZL4足艮進采取標(biāo)準的事件響應(yīng)方法現(xiàn)實環(huán)境中安全事件絕不是有序發(fā)生的，安全事件及其并發(fā)性比其它任何事件更不規(guī)則，沒有技術(shù)和組織準備的應(yīng)急響應(yīng)會帶來的直接風(fēng)險：a） 破壞現(xiàn)場，不利取證b） 造成無法挽回的數(shù)據(jù)丟失c） 擴大系統(tǒng)損害d） 負面的媒體曝光e） 影響單位IT業(yè)務(wù)運作（可能影響一片）f） 影響客戶信心g） 影響合作伙伴HUAWEI■標(biāo)準的事件響應(yīng)需要那些基礎(chǔ)要素＞制定政策批準建立事件響應(yīng)機制事件響應(yīng)的任務(wù)目的及范圍給事件響應(yīng)的授權(quán)對事件響應(yīng)的限制＞計劃和組織設(shè)計事件響應(yīng)框架計劃提供相應(yīng)的資源建立合理的技術(shù)基礎(chǔ)設(shè)計流程建立合作關(guān)系處理團體利益3?3?2?2應(yīng)急響應(yīng)處理流程其它其它1、信息收集判斷根據(jù)客戶反映的情況和應(yīng)急響應(yīng)人員現(xiàn)場收集分析信息，對安全事件的類型做出判斷或確認，主要是這么幾類安全事件：?病毒蠕蟲?黑客入侵?拒絕服務(wù)攻擊?軟硬件及設(shè)備故障HUAWEI?其它2、準備“凡事預(yù)則立，不預(yù)則廢”。由于安全事件多數(shù)太復(fù)雜而且費時，在事件真正發(fā)生前為事件響應(yīng)做好準備非常重要。根據(jù)網(wǎng)絡(luò)安全事件的類型，確定應(yīng)急響應(yīng)人員，準備相關(guān)資料和工具。如進程快照，服務(wù)快照，賬號快照，網(wǎng)絡(luò)日常流量統(tǒng)計，設(shè)備、系統(tǒng)基本配置快照，相關(guān)檢測工具、修復(fù)工具、根除工具等。?基于威脅建立一組合理的防御/控制措施?建立一組盡可能高效的事件處理程序?獲得處理問題必須的資源和人員?建立一個支持事件響應(yīng)活動的基礎(chǔ)設(shè)施如：管理員的一些實際準備工作?確保過濾拒絕弱口令?確保不活躍和缺省的帳號被刪除或封鎖?安裝并維護合適的安全工具（入侵檢測/審計/安全電子郵件等）?運行并定期檢查系統(tǒng)日志/審計?安裝補丁和修補軟件?檢查系統(tǒng)文件的完整性?備份每一個必要的系統(tǒng)（包括事件處理過程中）?調(diào)查每一可疑的事件（管理員最清楚什么正常，什么是異常）3、檢測■檢測的實踐根據(jù)網(wǎng)絡(luò)安全事件的類型，由相關(guān)技術(shù)人員有針對性的做相關(guān)檢測，如病毒蠕蟲的進程、服務(wù)、自啟動、文件、共享、網(wǎng)絡(luò)連接等檢測、黑客入侵的賬號檢測、后門木馬檢測、漏洞檢測等，DDOS的異常流量、數(shù)據(jù)監(jiān)測等?！龀醪降膭幼骱晚憫?yīng)1） 如果安全事件發(fā)生了，重要的是不要驚慌失措，并不要引起其他人恐慌。收集證據(jù)并認真考慮下一步行動。2） 花時間分析所有異?，F(xiàn)象3） 激活審計功能，增加審計信息量HUAWEI在事件發(fā)生后迅速拿到系統(tǒng)的完整備份，并且收集一份受影響的文件/惡意代碼，以便分析§如：ddif=/dev/hd01of=/dev/rmt0開始記錄所有發(fā)生的事情■估計事件的范圍檢測到事件發(fā)生以后，迅速判斷事件影響的范圍非常重要。這不僅有助于決定下一步階段該做什么，還能幫助管理人員為這一事件指定一個優(yōu)先級，以下是需要考慮的事項：影響了多少主機？不同的范圍需要不同的干預(yù)方法涉及到多少網(wǎng)絡(luò)？攻擊者侵入到網(wǎng)絡(luò)內(nèi)部有多遠多深？攻擊者取得了什么樣的權(quán)限？對單位業(yè)務(wù)和操作的影響有多大？關(guān)鍵應(yīng)用和數(shù)據(jù)處于高風(fēng)險嗎？使用了多少種攻擊方法？有誰知道了這一事件？范圍有多大？攻擊者利用的漏洞普遍性大不大？是不是其它機器有這樣相同的脆弱性？■報告事件＞關(guān)于事件的基本信息?攻擊類型?攻擊者表現(xiàn)的目的受害操作系統(tǒng)類型和版本涉及的網(wǎng)絡(luò)/子網(wǎng)攻擊者輸入的命令被攻破的帳號攻擊者或惡意程序的標(biāo)識和特征關(guān)于攻擊源的信息HUAWEI?發(fā)起攻擊的主機/到受害主機的連接類型/攻擊所跨越的已知網(wǎng)絡(luò)路徑?攻擊的結(jié)果攻擊者是否已取得超級用戶特權(quán)/具體哪些數(shù)據(jù)已被非法訪問/系統(tǒng)的完整性是否被改變等＞威脅攻擊傳播的范圍怎樣/被攻破的系統(tǒng)和數(shù)據(jù)敏感程度如何/這一破壞或損失擴大的可能性有多大＞狀態(tài)事件當(dāng)前的狀態(tài)/事件何時能得到解決＞緊急時刻關(guān)鍵人員的聯(lián)系方式＞其它的信息，如相關(guān)漏洞信息/安全公告；審計數(shù)據(jù)＞建立一個包括以上各項的表格并在一定范圍內(nèi)分發(fā)，可以確保需要的信息得以報告4、抑制抑制的目的是限制攻擊的范圍，同時也就限制了潛在的損失和破壞。太多的安全事件可能迅速失控。抑制是非常重要的。例如受蠕蟲感染后，要盡可能地將蠕蟲的傳播限制在一個網(wǎng)絡(luò)范圍之內(nèi)。根據(jù)檢測階段得出的相關(guān)異常情況，采取一些有針對性的解決方法，抑制事件破壞程度的進一步增大及再次發(fā)生的可能性。比如說斷網(wǎng)、隔離病毒主機、清除后門程序、賬號、過濾異常流量及來源地址等抑制階段的一個關(guān)鍵部分是決策，包括決策是否采取：完全關(guān)閉所有系統(tǒng)（徹底強力措施）從網(wǎng)絡(luò)上斷開修改所有防火墻和路由器的過濾規(guī)則，拒絕來自攻擊主機的所有流量封鎖或刪除被攻破的登錄帳號提高系統(tǒng)或網(wǎng)絡(luò)行為的監(jiān)控級別設(shè)置誘餌服務(wù)器作為陷阱HUAWEI?關(guān)閉服務(wù)?找到并刪除后門?反擊攻擊者的系統(tǒng)（一般不建議這么做）5、 根除在前面抑制階段的基礎(chǔ)上進一步對對引起該類安全問題的最終技術(shù)原因在技術(shù)上進行完全的杜絕，并對這類安全問題所造成的后果進行彌補和消除。在根除階段，采取的措施最大的風(fēng)險主要是在系統(tǒng)升級或補丁時可能造成系統(tǒng)故障，所以必須作好備份工作。6、 恢復(fù)根除之后是恢復(fù)?；謴?fù)過程因不同的組織機構(gòu)而各異，不同的系統(tǒng)恢復(fù)過程必然不同，恢復(fù)時：?建議確保從完好的介質(zhì)上執(zhí)行一次完整的系統(tǒng)恢復(fù)，包括強制地修改所有的口令?從最新的完整備份中恢復(fù)數(shù)據(jù)（或增量備份）?從容錯系統(tǒng)硬件如冗余磁盤陣列（RAID）中恢復(fù)鏡象的數(shù)據(jù)或條紋數(shù)據(jù)（stripeddata）?機密系統(tǒng)的恢復(fù)更為詳細和費時，在此不贅述?調(diào)整安全策略（修改防火墻、檢測和日志設(shè)置）?恢復(fù)正常的網(wǎng)絡(luò)環(huán)境HUAWEIHUAWEI7、跟進確認處理后網(wǎng)絡(luò)、系統(tǒng)、設(shè)備等的相關(guān)狀態(tài)，看是否會再次出現(xiàn)類似事件。并形成相應(yīng)的報告，報告內(nèi)容包括安全事件的類型、時間、檢測方法、抑制方法根除方法、事件影響范圍等。8、追蹤取證根據(jù)客戶需要、合同和實際情況決定是否進入該環(huán)節(jié)。9、完成確認任務(wù)完成后現(xiàn)場填寫《應(yīng)急響應(yīng)工作記錄表》，并提請客戶簽字確認。3.3.3安全事件和分級概述安全事件的范圍和安全事件的分級下列事件可以定義為安全事件：非授權(quán)訪問，通過入侵的方式進入到未被授權(quán)訪問的網(wǎng)絡(luò)中，而導(dǎo)致數(shù)據(jù)信息泄漏；信息泄密，數(shù)據(jù)在傳輸中因數(shù)據(jù)被截取、篡改、分析等而造成信息的泄漏；□□□□□□□□□□□□系統(tǒng)性能嚴重下降，有不明的進程運行并占用大量的CPU處理時間；在系統(tǒng)日志中發(fā)現(xiàn)非法登錄者；發(fā)現(xiàn)網(wǎng)絡(luò)大面積爆發(fā)計算機病毒感染；發(fā)現(xiàn)有人在不斷強行嘗試登錄系統(tǒng)；系統(tǒng)中出現(xiàn)不明的新用戶賬號；管理員收到來自其它站點系統(tǒng)管理員的警告信，指出系統(tǒng)可能被威脅文件的訪問權(quán)限被修改；因安全漏洞導(dǎo)致的系統(tǒng)問題；其它的入侵行為。安全事件分級安全事故■由于安全原因造成的網(wǎng)絡(luò)通信物理或邏輯中斷的事故?！鲇捎诎踩蛳到y(tǒng)重要業(yè)務(wù)運行停止造成的事故。HUAWEI■系統(tǒng)重要業(yè)務(wù)數(shù)據(jù)損壞?！鱿到y(tǒng)遭受入侵，機密數(shù)據(jù)外泄?！鲆虬踩[患可能會造成事故的現(xiàn)象?？趪乐匕踩录河捎诎踩蛟斐傻木W(wǎng)絡(luò)通信物理或邏輯中斷的嚴重故障。由于安全原因系統(tǒng)重要業(yè)務(wù)運行停止造成嚴重故障。系統(tǒng)部分重要業(yè)務(wù)數(shù)據(jù)損壞。系統(tǒng)遭受入侵，部分機密資料外泄。因安全隱患可能會造成故障的現(xiàn)象。一般安全事件■由于安全隱患或系統(tǒng)遭受入侵、嘗試性入侵但未造成不良后果的網(wǎng)絡(luò)通信或系統(tǒng)業(yè)務(wù)運行中出現(xiàn)的一般故障，或利用本網(wǎng)發(fā)起的對其它網(wǎng)絡(luò)的攻擊。3.3.4安全事件處理時限：根據(jù)實際情況制定安全事件處理時限，體現(xiàn)華為的優(yōu)勢和效率按照XXXX的要求，結(jié)合華為自身對客戶網(wǎng)絡(luò)安全和設(shè)備維保服務(wù)的實踐經(jīng)驗，華為公司安全服務(wù)對安全事件的處理時限為：口事件處理響應(yīng)時間：安全事故：立即嚴重安全事件：10分鐘一般安全事件：30分鐘口事件處理到場時間：安全事故：1小時嚴重安全事件：2小時一般安全事件：必要時到場口事件初步處理時間（指受影響的通信或者業(yè)務(wù)恢復(fù)網(wǎng)絡(luò)通信的狀態(tài)，不包括系統(tǒng)或數(shù)據(jù)受到損壞需要從備份介質(zhì)恢復(fù)的工作和時間）安全事故：3小時嚴重安全事件：6小時一般安全事件：一個工作日口事件最終處理時間：安全事故：24小時，路途時間表+（恢復(fù)通信W4小時）嚴重安全事件：24小時，5天完成總數(shù)的80％10天完成剩余20％；一般安全事件：三個工作日，15天完成80％，30天完成剩余20%HUAWEI3.4安全巡檢3.4.1服務(wù)綜述網(wǎng)絡(luò)安全巡檢服務(wù)是指華為安排安全技術(shù)工程師對已在網(wǎng)上運行的設(shè)備實施現(xiàn)場檢查，對安全設(shè)備如防火墻、入侵檢測、防病毒、動態(tài)口令認證、日志分析系統(tǒng)等安全設(shè)備進行定期巡檢工作，及時發(fā)現(xiàn)設(shè)備運行中出現(xiàn)的隱患，減少發(fā)生故障的概率，保證設(shè)備的穩(wěn)定運行。巡檢服務(wù)可分為硬件巡檢、軟件巡檢。巡檢服務(wù)指華為協(xié)助用戶每年進行2次網(wǎng)上設(shè)備巡檢，由用戶確定具體時間和局點。軟件檢查內(nèi)容包括：數(shù)據(jù)完整性檢查、性能指標(biāo)檢查、告警功能檢查、軟件可用性與安全性檢查等；硬件檢查內(nèi)容包括：設(shè)備運行狀態(tài)檢查、數(shù)據(jù)設(shè)備配置檢查等。關(guān)于巡檢內(nèi)容，華為提供專門的巡檢指導(dǎo)書和巡檢項目表格模板，指導(dǎo)現(xiàn)場工作。設(shè)備巡檢過程中發(fā)現(xiàn)的問題，華為依據(jù)故障級別進行相應(yīng)的故障排除。但不包含故障件的維修和備件供應(yīng)。3.4.2服務(wù)流程：HUAWEI注：01-確定巡檢時間：與辦事處服務(wù)經(jīng)理聯(lián)系，由服務(wù)經(jīng)理與客戶確定巡檢的具體時間；同時由服務(wù)經(jīng)理協(xié)調(diào)辦事處產(chǎn)品線、客戶分別確定巡檢配合人員。02-巡檢：與辦事處、客戶配合人員一起，按照巡檢手冊中巡檢內(nèi)容進行巡檢。輸出巡檢報告。03-巡檢報告提交辦事處審核，并向辦事處匯報巡檢結(jié)果：巡檢報告提交客戶前必須經(jīng)過辦事處服務(wù)經(jīng)理、產(chǎn)品經(jīng)理審核。04-巡檢報告提交客戶，并向客戶匯報巡檢結(jié)果：巡檢報告提交客戶前必須向客戶進行一次匯報；巡檢報告以紙面件形式一式三份，分別由客戶、辦事處簽字；05-巡檢結(jié)束：巡檢結(jié)束返回前要知會到辦事處服務(wù)經(jīng)理、產(chǎn)品經(jīng)理；3.4.3巡檢服務(wù)范圍3.4.3.1對已實施安全整改的部分進行檢查如前期安全整改僅涉及數(shù)據(jù)網(wǎng)絡(luò)，則此次安全巡檢僅對數(shù)據(jù)網(wǎng)絡(luò)部分進行巡檢；如前期安全整改涉及數(shù)據(jù)網(wǎng)絡(luò)及主機安全加固，則此次安全巡檢的內(nèi)容就包括數(shù)據(jù)網(wǎng)絡(luò)巡檢與主機系統(tǒng)巡檢。3.4.3.2對發(fā)現(xiàn)問題的處理■如屬前期安全整改中的遺留問題，將盡快安排專人進行處理■如屬維護操作不規(guī)范而導(dǎo)致的問題，根據(jù)實際情況可協(xié)助客戶或辦事處處理?！鋈鐚傧到y(tǒng)新增安全模塊，則建議客戶立項處理網(wǎng)絡(luò)設(shè)備版本不屬此巡檢范圍

HUAWEI3.4.4巡檢服務(wù)內(nèi)容3.4.4.1機房環(huán)境檢查檢查內(nèi)容檢查結(jié)果參考標(biāo)準備注機房空調(diào)狀態(tài)□合格□不合格□不涉及.功率足夠并保持開機狀態(tài)機房溫度□合格□不合格□不涉及機房溫度保持在15°C—30°C機房濕度□合格□不合格□不涉及機房濕度保持在40%—65%機房防靜電情況□合格□不合格□不涉及機房地板進行了防靜電處理，防靜電地板接地機房空間狀況□合格□不合格□不涉及機房空間足夠，通風(fēng)良好機房設(shè)備電源供電情況□合格□不合格□不涉及機房至少采用兩路獨立電源為設(shè)備供電設(shè)備接地□合格□不合格□不涉及設(shè)備接地電源電壓□合格□不合格□不涉及.電源電壓穩(wěn)定電源功率□合格□不合格□不涉及.電源功率足夠UPS□合格□不合格□不涉UPS正常工作

HUAWEI及3.4.4.2數(shù)據(jù)網(wǎng)絡(luò)檢查L2/L3交換機設(shè)備安全性檢查編號檢查項目命令行結(jié)果參考標(biāo)準通用檢測項1CPU利用率華為：vQuidway>displaycpu□合格□不合格□不涉及正常情況下，CPU利用率小于50%2內(nèi)存使用率vQuidway>displaymem□合格□不合格□不涉及正常情況小余60%,S3026系列小于70%3設(shè)備上調(diào)試功能<Quidway>displaydebug□合格□不合格□不涉及正常運行時應(yīng)該全部關(guān)閉4設(shè)備上的日志信息和trap信息vQuidway>displaylogbuffer<Quidway>displaytrapbuffer□合格□不合格□不涉及正常情況下沒有端口大量UP/Down的信息，沒有環(huán)路告警，沒有大量的stp狀態(tài)切換的告警，沒有大量病毒告警，沒有IP沖突，沒有動態(tài)路由告警，沒有大量的VRRP切換告警5查看當(dāng)前配置和保存配置<Quidway>displaysaved-configuration<Quidway>displaycurrent-configureation□合格□不合格□不涉及確保當(dāng)前配置和保存配置一致，配置可遠程登時必須要有密碼

HUAWEI6檢查端口工作狀態(tài)〈Quidway〉displayinterface□合格□不合格□不涉及查看端口的速率，雙工和統(tǒng)計信息，保證雙工的工作狀態(tài)一致，避免出現(xiàn)一端全雙工，一端半雙工的工作狀態(tài)。錯誤包計數(shù)不增長。7檢查設(shè)備上STP運行狀態(tài)[Quidway_hidecmd]displaystp□合格□不合格□不涉及端口STP狀態(tài)正常8查看Trunk互聯(lián)端口PVID[Quidway]displayinterfacexx□合格□不合格□不涉及互聯(lián)端口的PVID配置一致。9查看當(dāng)前系統(tǒng)時間<Quidway>displayclock□合格□不合格□不涉及要求系統(tǒng)時間和當(dāng)前時間差值在10分鐘之內(nèi)，便于對照日志信息10查看boot—loader里面指定的啟動文件<Quidway>displayboot—loader<Quidway>dir□合格□不合格□不涉及要求指定的啟動文件在設(shè)備的文件系統(tǒng)中存在設(shè)備S3526EFC/S3O26ECGT/S5OOO/S3O5O檢查項1查看硬件路由表項[Quidway]displayhwfib□合格□不合格□不涉及正常應(yīng)該小余16條，如果發(fā)現(xiàn)大于16條，優(yōu)化組網(wǎng)配置，將路由減少（僅3526E適用）

HUAWEI2查看動態(tài)路由協(xié)議配置[Quidway]displayospf[Quidway]diplayrip□合格□不合格□不涉及在S3526E如果啟動了動態(tài)路由協(xié)議，建議配置路由過濾（只發(fā)布路由，不引入路由,避免路由條數(shù)過多）3查看mac地址個數(shù)[Quidway]display maccount□合格□不合格□不涉及正常的二層網(wǎng)絡(luò)，mac地址個數(shù)不應(yīng)該超過4K4查看arp表項和IPFDB表形[Quidway]displayarp[Quidway]displayipfdball□合格□不合格□不涉及正常情況下，arp表項應(yīng)該全部包含在IPFDB表項中，IPFDB表項中僅多三層接口的IP（僅3526E適用）5查看各個端口上CPU的報文<Quidway>displayswitchpacket□合格□不合格□不涉及連續(xù)幾次disswpack查看各個端口上送CPU的報文情況，正常情況不應(yīng)該超過200個/S6查看異常堆棧信息(S3050)[Quidway_hidecmd]_dismemC0700000300(other)[Quidway_hidecmd]_dismem80500000300(3026C來說)□合格□不合格□不涉及正常情況下沒有異常堆棧信息

HUAWEI設(shè)備S3552/S3528檢查項1查看文件系統(tǒng)是否有異常文件<Quidway>dir□合格□不合格□不涉及正常情況下文件系統(tǒng)中應(yīng)該沒有exception.log、taskswitch.log2查看驅(qū)動的關(guān)鍵全局變量[Quidway_hidecmd]ipshowv□合格□不合格□不涉及正常情況下顯示的g_bNSFULL應(yīng)該為0,否則說明路由表滿，可能存在軟件轉(zhuǎn)發(fā)，導(dǎo)致cpu占用率高路由器/L3交換機設(shè)備安全性檢査編號檢查項目命令行結(jié)果參考標(biāo)準1CPU利用率華為：vQuidway>displaycpu□合格□不合格□不涉及正常情況下，CPU利用率小于50%2內(nèi)存使用率vQuidway>displaymem□合格□不合格□不涉及正常情況小余60%3設(shè)備上調(diào)試功能<Quidway>displaydebug□合格□不合格□不涉及正常運行時應(yīng)該全部關(guān)閉4設(shè)備上的日志信息和trap信息<Quidway>displaylogbuffer<Quidway>displaytrapbuffer□合格□不合格□不涉及正常情況下沒有端口大量UP/Down的信息，沒有環(huán)路告警，沒有大量的stp狀態(tài)切換的告警，沒有大量病毒告警，沒有IP沖突，沒有動態(tài)路由告警，沒有大量的VRRP切換告警5查看當(dāng)前配<Quidway>display□合格□不合格確保當(dāng)前配置和保存配

HUAWEI置和保存配置saved-configurationvQuidway>displaycurrent-configureation□不涉及置一致，配置可遠程登時必須要有密碼。6檢查端口工作狀態(tài)〈Quidway〉displayinterface□合格□不合格□不涉及查看端口的速率，雙工的工作狀態(tài)一致；錯誤包計數(shù)不增長。7查看當(dāng)前系統(tǒng)時間<Quidway>displayclock□合格□不合格□不涉及要求系統(tǒng)時間和當(dāng)前時間差值在10分鐘之內(nèi)，便于對照日志信息8查看boot—loader里面指定的啟動文件<Quidway>displayboot—loader<Quidway>dir□合格□不合格□不涉及要求指定的啟動文件在設(shè)備的文件系統(tǒng)中存在9查看VRRP/HSRP狀態(tài)<Quidway>displayVRRP□合格□不合格□不涉及不出現(xiàn)VRRP/HSRP雙主情況10查看0SPF認證<Quidway>displayospfpeer□合格□不合格□不涉及OSPF鄰居間進行MD5加密認證。11查看0SPF鄰居狀態(tài)<Quidway>displayospfpeer□合格□不合格□不涉及普通OSPF間鄰居狀態(tài)為FULL,DRother間鄰居狀態(tài)為2-WAY。HUAWEI12查看靜態(tài)路12查看靜態(tài)路由<Quidway>display iproute□合格□不合格□不涉及沒有無效路由；若有默認路由，分析其合理性。防火墻設(shè)備安全性檢査編號檢查項目命令行結(jié)果參考標(biāo)準1CPU利用率□合格□不合格□不涉及2內(nèi)存使用率□合格□不合格□不涉及3設(shè)備上調(diào)試功能□合格□不合格□不涉及正常運行時應(yīng)該全部關(guān)閉4設(shè)備上的日志信息和trap信息□合格□不合格□不涉及5查看當(dāng)前配置和保存配置□合格□不