網(wǎng)絡安全保障服務方案(網(wǎng)絡安全運維、重保服務)

網(wǎng)絡安全保障服務方案（網(wǎng)絡安全運維、重保服務）TOC\o\h\z\u服務方案或項目實施方案 23.1.3項目服務方案 2服務內(nèi)容 2服務流程 3.1重點網(wǎng)絡安全保障時期保障服務 3.1.1 重保服務內(nèi)容說明 3.1.2 重保服務體系 3.1.3 重保服務機制流程 5.1.4 重保服務團隊 7.1.5 重保服務應急預案 8.2安全運維服務 11.2.1 安全運維服務內(nèi)容說明 11.2.2 安全運維服務方式 11.2.2.1 安全設備策略配置服務 12.2.2.2 安全預警服務 13.2.2.3 安全監(jiān)控服務 13.2.2.4 安全事件管理 15.2.2.5 安全設備管理 16.2.2.6 安全管理流程服務 17.2.2.7 安全現(xiàn)狀分析與整改建議 19.3網(wǎng)站安全監(jiān)測服務 20.3.1網(wǎng)站安全監(jiān)測服務內(nèi)容說明 20.3.2網(wǎng)站安全監(jiān)測服務流程 20.4應急演練服務 23.4.1應急演練服務內(nèi)容說明 23.4.2應急演練服務流程 23.4.2.1 工作背景 23.4.2.2 工作目標 23.4.2.3 演練安排 24.4.2.4 演練流程 24.5應急響應服務 27.5.1應急響應服務內(nèi)容說明 27.5.2應急響應服務流程 27.5.2.1應急響應組織機構設立 27.5.2.2應急響應服務事件報告 28.5.2.3應急響應 28.5.2.4應急結束 37.5.2.5調(diào)查與評估 37.5.2.6系統(tǒng)恢復 38.5.2.7改進措施 38.6安全培訓服務 38.6.1培訓服務內(nèi)容說明 38.6.2培訓服務流程 38.7基線檢查服務 41.7.1基線檢查服務內(nèi)容說明 41.7.2基線檢查服務流程 41 服務交付物 43 服務計劃 44 服務工具 45服務方案或項目實施方案3.1.3項目服務方案服務內(nèi)容隨著我國高校信息化建設的逐步深入，學校教務、校務、一卡通、招生、就業(yè)、財務、日常辦公等工作對信息系統(tǒng)依賴的程度越來越高；教育信息化建設中大量的信息資源，成為學校成熟的業(yè)務展示和應用平臺，在未來的教育信息化規(guī)劃中占有非常重要的地位。從安全性上分析，高校業(yè)務應用和網(wǎng)絡系統(tǒng)日益復雜，外部攻擊、內(nèi)部資源濫用、木馬和病毒等不安全因素越來越顯著，信息化安全是業(yè)務應用發(fā)展需要關注的核心和重點。為貫徹落實國家信息安全等級保護制度，規(guī)范和指導全國教育信息化建設工作，國家發(fā)布了一系列關于教育行業(yè)信息化工作的通知，并且隨著今年我國網(wǎng)絡安全法的正式實行，信息安全保障已經(jīng)成為學校應承擔的法律義務。為此四川xxx單位引入專業(yè)的網(wǎng)絡安全服務商，通過專業(yè)安全技術人員、安全服務工具（網(wǎng)站監(jiān)測、基線核查）、重要安全運維服務（重保值守、應急響應、應急演練、安全培訓）等維度，提升和加強學院一體化網(wǎng)絡安全運營能力，切實提升學院安全防護水平。通過安全服務的引入具備如下3個優(yōu)勢：一是能及時甄別安全風險、發(fā)現(xiàn)安全脆弱性問題，有針對性的進行安全加固及優(yōu)化，保障信息系統(tǒng)長期安全穩(wěn)定運行；二是通過加強事前發(fā)現(xiàn)、事中防護、事后響應溯源的安全閉環(huán)處置能力，形成完善的安全防護保障體系；三是通過服務方式引入第三方網(wǎng)絡安全服務商專業(yè)技術人員，能有效解決學院專業(yè)安全技術人員短缺的現(xiàn)狀。針對四川xxx單位的安全服務需求，我司依據(jù)磋商文件要求，提供包括但不限于如下服務內(nèi)容：序號服務名稱服務期重點網(wǎng)絡安全保障時期保障服務1年安全運維服務1年網(wǎng)站安全監(jiān)測服務1年應急演練服務1年應急響應服務1年安全培訓服務1年基線檢查服務1年服務流程.1重點網(wǎng)絡安全保障時期保障服務重保服務內(nèi)容說明重保服務內(nèi)容：包含磋商文件要求的全部服務內(nèi)容。整體服務流程：我司依據(jù)重保服務體系、重保服務機制流程、重保服務團隊、重保服務應急預按，各工作人員參照章節(jié)內(nèi)容各司其職，循序開展重點網(wǎng)絡安全保障時期保障服務。重保服務體系針對重點網(wǎng)絡安全保障時期保障服務，我司專門成立了重保服務小組，以應對一切突發(fā)的事情。應急小組由我司各類技術人員組成。將事情分為：嚴重、緊急，二類情況，根據(jù)不同情況我方啟動后備組，同時調(diào)動我方可控的其他資源，經(jīng)過應急流程，啟動相應的應急計劃，保證快速響應，迅速解決問題。項目重保服務應急事件處置流程圖重保服務組織架構重保服務組織架構說明：（1）領導小組：成員組成：采購人相關項目負責人主持。工作職責：負責領導、指揮和協(xié)調(diào)應急處置工作的開展，向上級領導和有關部門匯報重保服務工作開展情況。（2）重保服務小組(含我司技術人員、售后服務人員、原廠商技術支撐人員)：組長:我司項目經(jīng)理成員組成：原廠商技術支撐人員、我司技術支撐人員。工作職責：負責整體的項目溝通、重保服務響應、人員籌備、任務分工、分析研判、防護監(jiān)測、應急處置、安全整改、事件匯報等工作。重保服務機制流程（一）風險控制機制采取以下措施對項目中的風險進行監(jiān)控，以防止危及項目重大事故的風險發(fā)生。建立并及時更新項目風險列表及風險排序。項目管理人員隨時關注與關鍵風險相關因素的變化情況，及時決定何時、采用何種風險應對措施。隨時關注風險應對措施（規(guī)避、減輕、轉(zhuǎn)移）實施的效果，對殘余風險進行評估。建立報告機制，及時將項目中存在的問題反映到項目經(jīng)理或項目領導層。定期召集項目干系人召開項目會議，對風險狀況進行評估，并通過各方面對項目實施的反應來發(fā)現(xiàn)新風險。（二）現(xiàn)場重保服務機制重保服務防護前期階段派駐安全專家到學?，F(xiàn)場按學校要求為學校內(nèi)部網(wǎng)絡進行安全評估：包括但不限于全網(wǎng)信息資產(chǎn)梳理、網(wǎng)絡架構分析、安全漏洞檢測、基線配置核查、安全滲透測試、漏洞加固指導、安全應急演練、安全漏洞復測，最終按照學校要求的格式、數(shù)量等標準形成詳細文檔資料，針對發(fā)現(xiàn)的信息系統(tǒng)的安全漏洞等出具經(jīng)過人工驗證的分析報告及相應的具有可操作性處理建議。重點網(wǎng)絡安全保障時期事前須交付全網(wǎng)信息資產(chǎn)清單表、網(wǎng)絡架構分析報告、經(jīng)人工驗證的安全漏洞檢測報告及漏洞修復建議、基線配置核查報告、安全滲透測試報告、漏洞加固記錄、安全應急演練報告、安全漏洞復測報告。重保服務防護階段在重保服務階段，提供對指定的保障目標進行現(xiàn)場值守、24小時安全應急響應服務，重點加強防護過程中的安全保障工作，各崗位人員（參見重保服務團隊和重保服務組織架構）各司其職，從攻擊監(jiān)測、攻擊分析、攻擊阻斷、漏洞修復和追蹤溯源、售后服務支撐等方面全面加強重保服務期間的安全防護效果。重保服務監(jiān)測當重保服務工作正式開始后，重保服務工作小組組織各小組人員，根據(jù)崗位職責開展安全事件監(jiān)測工作。重保服務工作小組借助安全防護設備（Web防火墻、IPS、入侵檢測、蜜罐、態(tài)勢感知、網(wǎng)站監(jiān)測、主機加固軟件等）開展攻擊安全事件監(jiān)測，對發(fā)現(xiàn)的攻擊行為進行確認，詳細記錄攻擊相關數(shù)據(jù)，為后續(xù)處置工作開展提供信息。事件分析與處置重保服務工作小組根據(jù)監(jiān)測到安全事件，協(xié)同進行分析和確認。如有必要可通過主機日志、網(wǎng)絡設備日志、入侵檢測設備日志等信息對攻擊行為進行分析，以找到攻擊者的源IP地址、攻擊服務器IP地址、郵件地址等信息，并對攻擊方法、攻擊方式、攻擊路徑和工具等進行分析研判。重保服務工作小組根據(jù)分析結果，應采取相應的處置措施，來確保目標系統(tǒng)安全。通過遏制攻擊行為，使其不再危害目標系統(tǒng)和網(wǎng)絡，依據(jù)攻擊行為的具體特點實時制定攻擊阻斷的安全措施，詳細記錄攻擊阻斷操作。重保服務工作小組對業(yè)務穩(wěn)定性進行監(jiān)測并及時通報相關信息。重保服務工作小組應針對可能產(chǎn)生的攻擊事件，根據(jù)已經(jīng)制定的重保服務預案進行協(xié)同處置，同時在明確攻擊源和攻擊方式后，保證正常業(yè)務運行的前提下，可以通過調(diào)整安全設備策略的方式對攻擊命令或IP進行阻斷，分析確認攻擊嘗試利用的安全漏洞，確認安全漏洞的影響，制定漏洞修復方案并及時修復。防護總結與整改全面總結本次重保服務各階段的工作情況，包括組織隊伍、攻擊情況、安全防護措施、監(jiān)測手段、響應和協(xié)同處置等，形成總結報告并向業(yè)主單位匯報。針對重保服務期間存在的脆弱點，開展整改工作或提出安全整改建議，進一步提高目標系統(tǒng)的安全防護能力。重保服務團隊多年的項目售后服務支持經(jīng)驗積累，我司建立了一套完整的重保服務體系，全面的服務內(nèi)容，詳細的服務流程，深厚的服務經(jīng)驗和一個優(yōu)秀的服務團隊。針對本項目，我司成立專門的重保服務團隊為本項目提供優(yōu)質(zhì)服務和有力保障。重保服務支持在工服務過程中的具體職責是：1）負責落實項目重保服務范圍內(nèi)各項重保服務，并按服務內(nèi)容輸出相關文檔資料；2）跟蹤各項服務內(nèi)容的執(zhí)行進度和情況，確保服務按預定目標和計劃執(zhí)行；3）項目范圍內(nèi)安全設備出現(xiàn)故障及應急處理，對返修設備緊密跟蹤，確保盡快到達；4）負責在應急支撐完成后與用戶或用戶指定人員進行知識傳遞和培訓。6）負責用戶突發(fā)事件的應急響應與保障工作，項目經(jīng)理負責總體牽頭，協(xié)協(xié)調(diào)我司的相關人員進行解決。7) 負責制定《重保服務服務方案》、《重保服務應急預案》；8) 對指定范圍內(nèi)的應用系統(tǒng)、網(wǎng)絡、安全監(jiān)測與防護設備相關資產(chǎn)進行全面梳理和安全檢查，摸清網(wǎng)絡安全現(xiàn)狀、發(fā)現(xiàn)安全漏洞、弱點和不完善的策略設置；排查整體網(wǎng)絡中的安全薄弱點，對薄弱點進行安全整改或提出安全整改建議。9 重保服務工作期間利用甲方已有的安全防護設施（比如：防火墻、IPS、安全審計、日志審計系統(tǒng)、主機加固軟件、防病毒軟件）對網(wǎng)絡攻擊行為進行監(jiān)測、分析、預警和處置。10) 依據(jù)《重保服務預案》，負責重保服務工作期間的安全事件的應急響應和處置。11) 負責對本次重保服務工作中的重要事件進行每日匯報，重保服務工作結束后進行總結，編寫總結報告。重保服務應急預案重保服務預案為保障重保服務應急事件處置工作中，業(yè)主單位方在發(fā)現(xiàn)各類突發(fā)事件時，重保服務團隊能按規(guī)范流程進行各項應急處置，同時也能驗證各方面人員應對應急過程中的組織能力和應急處置能力，為提高應用系統(tǒng)的防護和應急水平，特此制定本重保服務預案流程。一、工作目標本應急流程主要是在應急處置期間，針對安全設備故障、業(yè)務系統(tǒng)在遭受攻擊時，通過監(jiān)測發(fā)現(xiàn)、分析研判、處置上報等環(huán)節(jié)有效抑制應急事件發(fā)生及影響擴散，保障業(yè)務系統(tǒng)和網(wǎng)絡環(huán)境安全穩(wěn)定的運行。二、組織及職責重保服務組織架構說明：見上述重保服務體系及重保服務團隊。工作內(nèi)容及流程結合單位實際工作情況，將應急流程工作分為三個階段：監(jiān)測發(fā)現(xiàn)階段、分析階段和處置階段。具體應急流程圖如下：重保服務過程中，依據(jù)重保服務任務的不同開展各項應急工作，如下所示：（一）被動響應用戶的重保服務需求重保服務工作小組，接受重保服務需求。項目經(jīng)理依據(jù)需求進行人員安排和任務分配。即刻響應，提供專職工程師進行重保服務支撐，整體事件處置過程參照應急流程圖執(zhí)行。重保服務工作小組提供重保服務，包括但不限于現(xiàn)場處置服務、遠程支持、電話聯(lián)系等。應急工作處置完成后輸出相應的是事件報告。（二）用戶現(xiàn)場重保服務服務（重大節(jié)假日專人現(xiàn)場重保服務）1.監(jiān)測發(fā)現(xiàn)重保服務工作小組應按照職責開展全網(wǎng)的監(jiān)測和分析工作，具體內(nèi)容如下：重保服務工作小組利用防火墻、WAF、IPS、安全審計、主機加固軟件等安全監(jiān)測設備對攻擊行為進行識別，同時對主機、應用系統(tǒng)、中間件和數(shù)據(jù)庫的日志進行人工分析及時發(fā)現(xiàn)識別可疑攻擊。重保服務工作小組通過分析確定是攻擊行為（例如：后門上傳、口令爆破）且未入侵成功，則在防火墻、WAF、網(wǎng)絡設備上進行阻斷。2.分析研判重保服務工作小組經(jīng)綜合分析判斷為可疑入侵成功事件，將分析結果和事件上報領導小組。3.處置措施重保服務工作小組綜合分析確認事件嚴重程度，為領導小組是否啟動重保服務預案提供決策支持。領導小組根據(jù)重保服務工作小組上報的事件和決策支持信息，決定啟動相應應急預案并通知重保服務工作小組開展安全事件應急處置工作。重保服務工作小組根據(jù)事件性質(zhì)按照相應應急預案開展應急處置工作。安全事件處置完成后，重保服務工作小組將事件處置結果上報領導小組。.2安全運維服務安全運維服務內(nèi)容說明安全運維服務內(nèi)容：包含磋商文件要求的全部服務內(nèi)容。整體服務流程：我司派駐專業(yè)安全人員參與到四川xxx單位日常安全管理和運維中，常態(tài)化的開展安全運維服務，包括但不限于安全設備策略配置服務、安全管理流程服務和安全現(xiàn)狀分析與整改建議服務。安全運維服務方式我司按照運維服務要求，配備現(xiàn)場駐場運維團隊；按項目需求配備足夠數(shù)量的專人進行信息安全運維。服務方式包括：提供5×8小時現(xiàn)場人員響應，非工作時間進行手機值班和服務熱線支持；節(jié)假日和特殊情況提供7×24現(xiàn)場人員響應。日常主要包括但不限于以下服務內(nèi)容：安全設備策略配置服務工作內(nèi)容根據(jù)信息安全運維工作需要，對安全設備自身的配置進行變更調(diào)整，如登錄口令、登錄方式、密碼復雜度等設備運維策略；定期（如：每月）對安全設備業(yè)務訪問策略進行梳理分析，發(fā)現(xiàn)過期、冗余、無效、不明確用途等策略，根據(jù)分析結果提供優(yōu)化調(diào)整建議；配合客戶業(yè)務系統(tǒng)部署與調(diào)整，從安全角度給出部署建議，制定和更新安全設備的防護、檢測策略工作過程特征庫升級：派駐工程師應對具有檢測功能的安全設備的特征進行定期升級，保持設備以最新特征庫運行。當發(fā)生重大漏洞時，應實時更新設備特征庫。設備不能自動在線升級時，通?？赏ㄟ^供應商網(wǎng)站手動下載升級包進行升級。運維策略變更：派駐工程師因日常運維工作需要、客戶安全策略變更、突發(fā)事件引起的策略變更等，對安全設備自身配置進行變更時（如：變更口令、更換遠程登錄方式、配置日志告警等），需先向客戶提交《<設備名稱>策略變更申請》，審批通過后，再按照申請單內(nèi)容進行相應策略變更，并記錄到《安全設備配置策略變更記錄表》。策略優(yōu)化分析：定期（如：每月）一次對防火墻訪問控制策略進行梳理分析，發(fā)現(xiàn)過期、冗余、無效、不明確用途等策略，根據(jù)分析結果向客戶提供《防火墻策略優(yōu)化分析報告》。業(yè)務策略變更管理：其他人員（其他運維人員、開發(fā)人員、業(yè)務人員、客戶等）因相關工作需要派駐工程師配合對業(yè)務策略進行變更的，需由策略使用者填寫《<設備名稱>策略變更申請》，并經(jīng)本項目客戶直接領導審批同意后再進行相應策略變更并記錄到《安全設備配置策略變更記錄表》?；ヂ?lián)網(wǎng)開放服務管理： 派駐工程師應對映射發(fā)布到互聯(lián)網(wǎng)的服務端口及歸屬進行梳理，梳理結果記錄到《互聯(lián)網(wǎng)服務開放情況統(tǒng)計表》?？赏ㄟ^查看互聯(lián)網(wǎng)出口處執(zhí)行NAT的設備的地址轉(zhuǎn)換策略進行梳理； 梳理完成后根據(jù)該表在互聯(lián)網(wǎng)出口處通過防火墻配置訪問控制策略，嚴格控制互聯(lián)網(wǎng)服務的開放。 當新增服務要發(fā)布到互聯(lián)網(wǎng)時，派駐工程師先根據(jù)具體業(yè)務情況制定相應保護措施（如在WAF、IPS中增加防護、漏洞掃描）后，再開放端口訪問，并更新《互聯(lián)網(wǎng)服務開放情況統(tǒng)計表》。（在進行相關防護措施部署時，仍應根據(jù)策略變更流程進行）。安全預警服務工作內(nèi)容服務期內(nèi)定期以報告形式向甲方公布常規(guī)漏洞通報，內(nèi)容包括國內(nèi)外權威漏洞發(fā)布公開站點為主要數(shù)據(jù)源的安全漏洞信息（如CVE、NVD、Bugtraq、CERT等）。重大安全漏洞或事件時，實時向甲方通報事件預警，提供防護或規(guī)避建議。工作方式安全漏洞信息收集：通過各種官方渠道收集安全漏洞信息發(fā)布安全漏洞信息預警：派駐工作師定期需要對漏洞信息進行收錄與整理形成《[漏洞預警]漏洞信息預警》發(fā)送給客戶。國家信息安全漏洞庫-漏洞預警：可從國家信息安全漏洞庫官網(wǎng)“漏洞預警”頁面獲取漏洞關聯(lián)性分析：分析公布的漏洞影響范圍，是否存在與客戶應用系統(tǒng)運行環(huán)境相匹配的漏洞（如匹配的中間件類型、操作系統(tǒng)類型、版本、軟件廠商等）。安全監(jiān)控服務工作內(nèi)容根據(jù)持續(xù)關注客戶網(wǎng)絡、系統(tǒng)運行情況，一旦發(fā)生安全事件后，及時分析安全系統(tǒng)及設備的事件日志，進行事件的追蹤定位。根據(jù)收集到的信息，整理分析后形成安全運維監(jiān)測項識別每個監(jiān)控對象探測到的事件（威脅）的來源、影響和重要性，綜合分析所有監(jiān)控對象探測到的事件及系統(tǒng)產(chǎn)生告警日志，形成分析報告并定期報告給用戶；對于觸發(fā)到應急預案的安全事件，則按照事件處理流程執(zhí)行。對于持續(xù)監(jiān)測項的變化進行分析，以用戶認同的方法進行建模計算，評估安全態(tài)勢變化趨勢以及變化對環(huán)境因素、威脅、脆弱性及影響可能產(chǎn)生的風險。對于偏離正常態(tài)勢的檢測項及相關內(nèi)容做進一步的風險評估或安全措施有效性檢查，確保系統(tǒng)處于風險可控狀態(tài)。通過對項目范圍內(nèi)所有安全系統(tǒng)及設備的報警日志進行分析客戶近一月的信息安全情勢、安全狀況，提出改進建議，形成《信息安全運維周報/月報》。工作方式告警配置：根據(jù)安全措施中約定的安全策略，在安全設備上設置事件告警策略，告警方式根據(jù)設備支持情況可以是短信、郵件、日志等形式；監(jiān)控威脅：監(jiān)控各安全設備和系統(tǒng)的安全告警信息及網(wǎng)絡實際運行狀況，并對這些信息進行分析，形成記錄；對于觸發(fā)應急預案的事件，則執(zhí)行安全事件管理；如需要進行安全設備策略修改的，根據(jù)“安全策略配置服務”描述進行工作開展。監(jiān)控現(xiàn)有安全策略有效性：分析安全設備、系統(tǒng)發(fā)生發(fā)出告警或安全事件發(fā)生的原因，判斷現(xiàn)有安全策略是否被有效執(zhí)行，對于未被有效執(zhí)行的策略，根據(jù)“安全策略配置服務”進行相關工作。安全態(tài)勢趨勢分析：根據(jù)項目范圍，用客戶接受的統(tǒng)計分析方法，對安全監(jiān)測項進行持續(xù)觀察（如近幾月，SQL注入入侵事件每天發(fā)生的次數(shù)；違反訪問控制策略的次數(shù)及來源分析等）；當監(jiān)測到較大變化或明顯異常時，對偏離進行分析，查找根本原因，判斷該變化對系統(tǒng)（威脅、脆弱性、影響）產(chǎn)生的風險，并提出相應的處置建議。形成階段性報告，如：《信息安全運維周報/月報》。運行報告：派駐工程師根據(jù)與用戶約定的周期提交運行監(jiān)控報告，每周提交《安全監(jiān)控周報》；根據(jù)用戶約定的周期每月提交《信息安全運維月度報告》。安全事件管理工作內(nèi)容在發(fā)現(xiàn)或發(fā)生安全事件后，派駐工程師先行判斷分析，進行匯報、跟蹤、處理、總結、記錄工作。工作方式事件通告：派駐工程師在發(fā)現(xiàn)或發(fā)生安全事件后，先進行事件分析分類，填寫《[安全事件通告]<事件編號>.<事件名稱>》，并及時發(fā)送給客戶。事件跟蹤處置：漏洞事件：在安全漏洞預警信息中發(fā)現(xiàn)的與客戶信息相關的安全漏洞；派駐工程師在發(fā)出事件通告后，應收集漏洞具體影響范圍及測試方法，并與相關供應商的運維負責人聯(lián)系，協(xié)助確認其系統(tǒng)是否在此漏洞影響范圍，并根據(jù)安全加固影響范圍和判斷結果進行相關工作，將漏洞事件記錄到《安全事件監(jiān)控記錄表》持續(xù)關注。設備故障事件：因安全設備故障引起的網(wǎng)絡運行中斷或性能下降的安全事件；駐場工作師在發(fā)出事件通告，根據(jù)甲方管理流程協(xié)助進行相關工作，并記錄到《安全事件監(jiān)控記錄表》持續(xù)關注。網(wǎng)絡攻擊事件：發(fā)現(xiàn)正在發(fā)生或已經(jīng)發(fā)生的網(wǎng)絡攻擊事件；派駐工程師應立即發(fā)出事件通告，并向客戶電話匯報，請其協(xié)調(diào)所有相關供應商的運維負責人配合，啟動相應應急預案。派駐工程師根據(jù)項目實際情況向公司申請相應資源支持，并跟蹤配合后續(xù)所有工作。將過程記錄到《安全事件監(jiān)控記錄表》，并持續(xù)關注。事件總結：派駐工程師對事件起因、處置過程、結果等進行整理并出具《<事件名稱>安全事件處理報告》安全設備管理工作內(nèi)容根據(jù)安全運維范圍，定期對項目范圍內(nèi)的所有在運行的安全系統(tǒng)及設備進行巡檢，如：對設備的物理運行情況、清潔情況、系統(tǒng)運行情況、系統(tǒng)資源利用情況、系統(tǒng)運行日志、相應功能是否正常運行等進行檢查并記錄，排除可能存在的安全問題和隱患。定期對設備配置、日志進行備份。在安全設備故障處理過程中的所有協(xié)調(diào)配合及總結報告工作。工作方式現(xiàn)場巡檢：駐場工程師在定期進入機房根據(jù)《安全設備巡檢記錄表》對項目范圍內(nèi)的安全設備的物理運行情況進行實地勘查，確保及時發(fā)現(xiàn)設備物理故障及被物理破壞的風險。遠程巡檢：在完成現(xiàn)場巡檢后，駐場工程師還需要依次登錄所有項目范圍內(nèi)的安全設備，根據(jù)《安全設備巡檢記錄表》檢查設備的軟件運行情況、功能運行情況，確保及時發(fā)現(xiàn)設備軟故障及功能故障。硬維修：駐場工程師在機房巡檢過程中如發(fā)現(xiàn)設備有物理故障的，應第一時間向客戶電話或當面匯報，并根據(jù)安全設備信息統(tǒng)計表聯(lián)系供應商負責人，確認維修方案后向客戶發(fā)起維修申請，請客戶協(xié)調(diào)供應商提供維修服務。駐場工程師配合供應商進行相關維修工作，并通過設備維修跟蹤記錄表跟蹤此事。在故障處理完畢后，向客戶提交《<設備故障處理報告》。軟維修：駐場工程師在遠程巡檢過程中如發(fā)現(xiàn)設備有運行或功能故障的（如故障會影響客戶業(yè)務正常運行的，應第一時間向客戶負責人電話匯報），根據(jù)安全設備信息統(tǒng)計表聯(lián)系供應商負責人遠程支持，遠程支持不能解決的可通過向客戶發(fā)出原廠售后服務支持申請，請客戶協(xié)調(diào)供應商提供現(xiàn)場支持。駐場工程師配合供應商進行相關維修工作，并通過故障處理跟蹤記錄表跟蹤此事。在故障處理完畢后，向客戶提交《<設備故障處理報告》。斷網(wǎng)管理：在進行硬維修與軟維修時，如在維修過程中會造成客戶任何主機斷網(wǎng)的，駐場工程師事先應與供應商負責人確認斷網(wǎng)影響范圍、斷網(wǎng)時間等情況，請客戶協(xié)調(diào)安排合適的斷網(wǎng)維修時間段及網(wǎng)絡恢復后的業(yè)務測試工作；駐場工程師在申請通過后配合供應商維修負責人按計劃進行維修，在斷網(wǎng)恢復后配合業(yè)務連通性測試。突發(fā)故障管理：在設備維修過程中駐場工程師應提醒約束供應商維修負責人嚴格按規(guī)范操作；在維修過程中發(fā)生計劃外突發(fā)故障的（如設備不能重新啟動），駐場工程師應第一時間電話向客戶匯報，請客戶協(xié)調(diào)啟動相應應急措施。駐場工程師需要出具突發(fā)故障情況說明報告。備份管理：駐場工程師應定期（如：每周）對設備配置及日志進行備份并記錄到《安全設備備份記錄表》；在設備維修前駐場工程師應對設備進行相應程度的備份。安全管理流程服務工作內(nèi)容提供安全團隊融入學校的安全管理組織架構和安全管理工作流程，同時為安全工作流程中的各項工作提供技術支持。使得學校以較低的成本具備相應的專業(yè)技術能力，實現(xiàn)學校安全管理工作更有效、高效的運作。工作方式派駐一名我司具有安全認證證書的工程師到甲方單位參與到學校的安全管理組織架構和安全管理工作流程中，合同期內(nèi)，派駐時間平均不得少于每周一個工作日，提交簽到表及工作日報。以安全事件處置流程為例，工作方式如下：首先需明確各責任單位，列明所有參與安全管理的人員及聯(lián)系方式，如有涉及第三方技術支持單位、設備廠商等，需列入組織結構。事件分類分級事件類型和危害程度分析將涵蓋以下內(nèi)容：分析突發(fā)事件風險的來源、特性等；明確突發(fā)事件可能導致緊急情況的類型、影響范圍及后果。1）事件分類參考拒絕服務攻擊事件；非法入侵事件；惡意代碼事件；跨站腳本攻擊事件；其他信息安全事件。2）事件分級參考一般：影響范圍較小，導致局部互聯(lián)網(wǎng)運行受到影響；較大：系統(tǒng)無法正常訪問，造成一定社會影響的信息安全事件；重大：發(fā)生網(wǎng)頁篡改事件，被張貼反動言論；工作秘密大量泄露，并在互聯(lián)網(wǎng)等公眾媒體上大量出現(xiàn)和傳播，對系統(tǒng)業(yè)務和聲譽造成特別重大影響。處理流程繪制從事件發(fā)現(xiàn)到問題關閉的全過程的應急響應流程圖，明確各處理步驟，整體處理流程如下：發(fā)現(xiàn)與報告階段為保證網(wǎng)絡與信息系統(tǒng)正常運行，各網(wǎng)絡與業(yè)務信息系統(tǒng)應建立監(jiān)控措施和日志查看制度，采用必要的技術手段，確保及時發(fā)現(xiàn)網(wǎng)絡安全事件。事件分析階段分析與評估事件的性質(zhì)、影響范圍判斷是否啟動應急預案開展應急響應：若判斷無需開展應急響應，發(fā)布相關預警通告，應急流程結束；若判斷需開展應急響應，則結合實際情況對網(wǎng)絡安全事件進行定位，啟用相應的專項應急預案，啟動應急響應。事件恢復階段按照應急預案開展應急處置和業(yè)務恢復工作，在執(zhí)行恢復方案之前，應對關鍵業(yè)務信息執(zhí)行備份和狀態(tài)檢查。執(zhí)行恢復方案，并記錄恢復過程，檢查恢復效果，如果恢復不成功則收集信息重新制定業(yè)務恢復方案。事件根除階段在業(yè)務恢復正常之后對事件進行原因分析，對業(yè)務系統(tǒng)進一步進行檢查，根據(jù)發(fā)現(xiàn)的問題與漏洞制定事件根除方案。事件總結階段對業(yè)務影響、范圍、損失進行總結，對應急措施的有效性進行評估，對事件原因進行分析，編寫安全事件處置總結報告。事件上報安全事件通報/上報時限與匯報周期在安全保障工作執(zhí)行過程中，安全事件應急響應組織架構中的各組，遵守下表中關于匯報時限要求及時匯報。安全事件分類監(jiān)控分析小組匯報預警通告小組預警通告小組匯報重保領導組重保領導組匯報總指揮時限時限時限網(wǎng)絡安全事件5分鐘事件發(fā)生20分鐘以內(nèi)事件發(fā)生30分鐘以內(nèi)如果事件發(fā)生30分鐘內(nèi)仍未恢復，領導組應做好事件升級、對外公告及解釋工作。信息通報/上報的方式保障過程中，事件信息的通報/上報通過電子郵件、傳真以及電話等方式直接通告，必須確認信息接收方收到相關通報。安全現(xiàn)狀分析與整改建議工作內(nèi)容通過對學校安全資源的變化進行持續(xù)跟蹤和評估，提供周期性的安全現(xiàn)狀分析報告和對應的整改建議。提交年度安全現(xiàn)狀分析與整改建議報告。工作方式項目工作組及派駐現(xiàn)場的運維工程師協(xié)助對以往發(fā)現(xiàn)的安全風險進行梳理，對尚未解決的高中風險快速進行閉環(huán)，針對歷史上發(fā)生的重要安全事件進行復盤，總結教訓，提升意識，并確認已無潛在風險。項目工作組及派駐現(xiàn)場的運維工程師對運維工作中發(fā)現(xiàn)的風險及問題進行最終匯總整合，并且形成相應的跟蹤表，設立每項風險閉環(huán)的責任主體和負責人，并根據(jù)實際情況，選擇合適的手段，規(guī)定整改最終時間，及時跟進直至各項風險閉環(huán)。我司派駐現(xiàn)場的運維工程師提供安全現(xiàn)狀分析與整改建議服務，依據(jù)服務內(nèi)容輸出對應服務報告，包含但不限于提交年度安全現(xiàn)狀分析與整改建議報告。.3網(wǎng)站安全監(jiān)測服務.3.1網(wǎng)站安全監(jiān)測服務內(nèi)容說明我司按照服務內(nèi)容要求提供網(wǎng)站安全監(jiān)測服務，提供對客戶網(wǎng)站資產(chǎn)的全天候SaaS化監(jiān)測服務。客戶只需提供網(wǎng)站域名，即可針對掛馬、黑鏈、篡改、敏感內(nèi)容、平穩(wěn)度、DNS監(jiān)測、釣魚等方面進行實時監(jiān)測。此外，我司和廠商的安全專家團隊會出具周期性的綜合安全評估報告，匯總網(wǎng)站的安全風險、安全趨勢并提出專業(yè)的安全建議。.3.2網(wǎng)站安全監(jiān)測服務流程我司提供的網(wǎng)站安全監(jiān)測服務的體系架構依托于我司安全云，整體服務流程為：（1）實施階段：通過梳理出需要監(jiān)測的網(wǎng)址和域名列表，告知我司人員，我司人員會在我司安全云上做好相關監(jiān)測配置；（2）交付賬號階段：我司提供我司安全云監(jiān)測訪問網(wǎng)址鏈接、登錄賬號和密碼；用戶可通過賬戶進行實時數(shù)據(jù)查看。（3）服務階段：我司和我司安全專家團隊會在安全云7×24小時值守，遠程實時監(jiān)測客戶的網(wǎng)站。一旦發(fā)現(xiàn)客戶的網(wǎng)站存在風險狀況，安全專家團隊會在第一時間通過電話、短信和郵件方式通知客戶，并且提供專業(yè)的安全解決建議。同時，經(jīng)驗豐富的安全專家團隊會定期出具周期性的綜合評估報告，讓客戶整體掌握網(wǎng)站的風險狀況及安全趨勢，最后客戶也可以登錄網(wǎng)站監(jiān)測自助門戶系統(tǒng)（Portal）隨時隨地掌握最新暴露的真實漏洞和安全事件等信息。我司安全云網(wǎng)站監(jiān)測系統(tǒng)服務架構和功能如下：我司安全云網(wǎng)站監(jiān)測系統(tǒng)服務架構其主要分為四層：數(shù)據(jù)采集層、數(shù)據(jù)計算層、數(shù)據(jù)存儲層和數(shù)據(jù)可視層。數(shù)據(jù)采集層我司安全云的數(shù)據(jù)采集層負責采集用戶的資產(chǎn)數(shù)據(jù)，采集待評估的漏洞數(shù)據(jù)，采集待分析的可用性和完整性數(shù)據(jù)。數(shù)據(jù)計算層數(shù)據(jù)計算層從緩存服務器隊列中取出采集回來的數(shù)據(jù)，進行精準化的檢測和智能化的分析工作，并將處理后的結果保存到數(shù)據(jù)庫服務器集群中。數(shù)據(jù)存儲層數(shù)據(jù)存儲層由數(shù)據(jù)庫服務器集群構成，主要存儲了用戶的資產(chǎn)信息，安全風險信息，安全事件信息等三大塊內(nèi)容。數(shù)據(jù)可視層數(shù)據(jù)可視層將數(shù)據(jù)庫服務器集群中保存的資產(chǎn)信息、漏洞信息、告警信息進行可視化呈現(xiàn)，再由7x24小時值守團隊在30分鐘之內(nèi)將人工驗證后的結果通過電話、短信、郵件方式通告用戶。同時，我司和我司安全專家團隊還會定期為用戶出具專業(yè)安全報告，讓用戶可以對自身網(wǎng)站安全狀況及趨勢一目了然。除此之外用戶可以通過登錄Portal一目了然的看到風險、事件在地域上以及組織單位上的分布，針對暴露的漏洞風險及事件進行跟蹤管理。我司安全云網(wǎng)站監(jiān)測系統(tǒng)服務優(yōu)勢快應用快7*24小時全天候服務，按需購買，即買即用，無需安裝部署。檢測快平臺每2-5分鐘監(jiān)測一次，高密度發(fā)現(xiàn)網(wǎng)站異常情況。響應快安全專家30分鐘內(nèi)分析告警，及時響應告警事件。定位問題快用戶各單位的風險及事件以組織架構形態(tài)做可視化呈現(xiàn)，讓用戶對于所轄單位暴露的問題一目了然，同時用戶在排查問題時可以得到更多的診斷信息的幫助，例如：“通斷時長、鏈路、監(jiān)測點，協(xié)議等”廣漏洞覆蓋廣支持掃描網(wǎng)站系統(tǒng)漏洞，支持掃描WASC25種Web應用漏洞，全面覆蓋OWASPTop10Web應用風險。事件覆蓋廣提供網(wǎng)頁篡改監(jiān)測、網(wǎng)頁掛馬監(jiān)測、網(wǎng)頁敏感內(nèi)容監(jiān)測、網(wǎng)頁黑鏈監(jiān)測、網(wǎng)站平穩(wěn)度監(jiān)測、域名解析監(jiān)測、遠程漏洞掃描、網(wǎng)站資產(chǎn)核查、代碼泄露核查監(jiān)測等安全事件，全方位、多角度發(fā)現(xiàn)客戶網(wǎng)站安全問題監(jiān)測點分布廣支持多點監(jiān)測，覆蓋全國多省、三大運營商線路。交付維度廣支持實時安全告警，及時了解網(wǎng)站安全問題。周期性評估報告，整體掌握網(wǎng)站風險概況?？梢暬蛻舳藬?shù)據(jù)展示，問題趨勢一目了然免免物流直接遠程交付服務，無需物流發(fā)貨。免安裝SaaS服務，無需安裝任何軟硬件。免部署無需改變網(wǎng)絡結構，無需占用機房或辦公空間。免維護無需處理軟硬件故障、升級等問題，完全托管，無需親自運維。準精準驗證高中危漏洞針對掃描結果中的高中危漏洞提供機器和安全專家兩級核查驗證精準貼合用戶業(yè)務需求能夠通過自定義可用性監(jiān)測級別，更加貼合用戶業(yè)務場景。精準貼合用戶管理規(guī)范能夠通過分級告警的方式，更加貼合用戶實際管理規(guī)范。.4應急演練服務.4.1應急演練服務內(nèi)容說明我司按照服務內(nèi)容要求提供應急演練服務，包括但不限于演練方案編制、演練活動準備、演練安排、演練流程設定等。.4.2應急演練服務流程工作背景根據(jù)中國網(wǎng)絡安全協(xié)會的調(diào)查報告顯示，近幾年以來中國90%的信息系統(tǒng)遭受過不同層次的攻擊，其中近40%的系統(tǒng)被黑客成功入侵，數(shù)據(jù)泄露、勒索軟件、APT攻擊等網(wǎng)絡安全事件也頻繁被國內(nèi)外報道并造成了巨大損失。網(wǎng)絡安全從某種程度上就是攻擊方（黑客）與防守方（合法用戶）之間的博弈，作為防守方必須站在攻擊者的角度思考，掌握攻擊者的攻擊思路、使用的攻擊手段，才能在與攻擊者的博弈過程中占得先機。應急演練，指在專業(yè)的安全人員在既定的網(wǎng)絡及應用環(huán)境中進行模擬入侵及防御的一類演練活動形式。參與者可以通過模擬的演練場景親身參與到安全事件攻防之中，進而充分了解安全事件中攻、防雙方的思路及實踐方法。工作目標此次網(wǎng)絡安全應急演練計劃完成以下目標：1.發(fā)現(xiàn)并消除安全威脅網(wǎng)絡安全應急演練根據(jù)黑客思維采取不對稱對抗，在真實網(wǎng)絡環(huán)境中進行實戰(zhàn)攻防，及時發(fā)現(xiàn)信息系統(tǒng)中存在的漏洞和現(xiàn)階段安全監(jiān)控的盲點，通過對安全漏洞的加固和不斷優(yōu)化調(diào)整策略，提高系統(tǒng)整體安全水平和防御能力。2.完善安全事件應急機制網(wǎng)絡安全應急演練的最終目的即是完善安全事件的應急機制，通過模擬的安全事件可以讓安全團隊以低成本實施一次有效的應急響應，同時也可有效識別出當前安全處理機制的不足或缺陷。3.全面提高技術人員安全技能水平網(wǎng)絡安全應急演練對于技術人員的安全水平提升是全面的。不僅包括攻擊技術分析，臨時防御措施，日志分析及事件識別等。演練安排1.演練時間：客戶指定2.演練單位：四川xxx單位3.演練地點：客戶指定演練流程一、準備階段（1）活動準備四川xxx單位單位信息保障中心負責確定應急演練接口人，組建攻擊隊伍，確定參演單位并發(fā)放參演單位作為被攻擊方的授權書；參演單位負責確定參演資產(chǎn)信息、參演人員名單并提供網(wǎng)絡環(huán)境等必要前置條件。（2）組建工作組本次網(wǎng)絡安全應急演練工作組架構如下圖：1.應急演練活動專家組由四川xxx單位單位信息保障中心工作人員組成，職責如下：審核整體方案，確認組織架構，統(tǒng)籌協(xié)調(diào)并推進演習工作開展，召開啟動會，并對整體風險進行管控；對方案及應急演練過程進行整體把控，并對演練過程中可能產(chǎn)生的問題進行技術研判。2.紅方（攻擊隊）由2名安全服務提供商技術人員組成，職責如下：負責對演習目標實施攻擊，并對攻擊結果進行提交和最終復盤。3.藍方（防守隊）由參演單位安全團隊人員及安全服務提供商技術人員組成，職責如下：負責此次應急演練攻擊目標的資源準備和確認，同時對本單位的安全防護體系進行有效性評估，在正式演練中調(diào)整防護策略，評估防守效果、遏制攻擊行為等。4.應急保障組由四川xxx單位單位信息保障中心工作人員組成，職責如下：負責對演習過程中突發(fā)事件做應急處理，確保演練工作順利進行。（3）資源準備或確認在應急演練正式開始前需要落實以下資源：確定應急演練期間的攻擊人員、防守人員清單確定攻擊目標資產(chǎn)清單和靶標在應急演練期間攻擊人員的工作場地和網(wǎng)絡接入確定攻擊目標已完成數(shù)據(jù)備份和恢復有效性測試二、演練階段（1）活動啟動會在應急演練開始的第一天召開演練工作啟動會，演練所有人員參會，進行演練目的、流程、要求的宣貫，并進行實施方案的設計，在網(wǎng)絡及人員準備妥當后根據(jù)實施方案進行實施。（2）應急演練實施攻擊隊對指定目標進行攻擊，在取得攻擊成果后及時提交攻擊成果報告，裁判通過對攻擊成果進行研判確認。由本活動專家組擔任裁判，針對攻擊方提交的攻擊成果進行有效的判斷和評分。防守隊針對本單位信息系統(tǒng)進行實施監(jiān)控，并通過對安全感知設備和安全防御設備的告警日志仔細分析研判，跟蹤并記錄攻擊路徑、結果等，在必要時刻進行干預和處置，并在演練結束后提交防守成果報告。紅、藍雙方技術人員應與專家組保持實時有效溝通，報告攻擊過程的進展和防守中發(fā)現(xiàn)的異常情況；攻擊隊伍應嚴格遵守風險控制策略實施攻擊，遵守演練時間安排，以免影響業(yè)務正常運行。（3）產(chǎn)出文檔1.《攻擊成果報告》（多份）2.《防守成果報告》三、復盤階段在演練指定攻擊時間結束之后，紅、藍隊分別編制應急演練總結報告，裁判通過雙方總結報告對本次應急演練進行綜合評估和過程推演。召開應急演練總結會，對防守方現(xiàn)有信息系統(tǒng)安全現(xiàn)狀、防護能力、應急處置流程等進行評定并提出后續(xù)整改建議。四、收尾階段（1）資源回收應急演練結束后，工作組和對選手使用電腦、綁定IP、賬號、帶寬等資源進行回收登記。（2）系統(tǒng)清理防守方可根據(jù)攻擊方提交的攻擊成果匯總報告和攻擊操作記錄，刪除演練期間攻擊方遺留的文件、數(shù)據(jù)及賬戶，攻擊方應協(xié)助清理痕跡。（3）整改加固防守方對應急演練期間發(fā)現(xiàn)的系統(tǒng)漏洞、安全策略、管理漏洞等問題進行整改加固，攻擊方協(xié)助防守方做相應的整改；在防守方將發(fā)現(xiàn)的問題整改完畢后，攻擊方對發(fā)現(xiàn)的問題進行復測。

.5應急響應服務.5.1應急響應服務內(nèi)容說明我司按照服務內(nèi)容要求提供應急響應服務，制定安全應急響應預案，明確責任分工、指揮機制、響應流程、臨機處置權限、應急支撐隊伍等。建立健全四川xxx單位網(wǎng)絡安全事件應急工作機制，提高應對網(wǎng)絡安全事件能力，預防和減少網(wǎng)絡安全事件造成的損失和危害。.5.2應急響應服務流程.5.2.1應急響應組織機構設立四川xxx單位網(wǎng)絡安全應急響應小組負責四川xxx單位的網(wǎng)絡安全應急響應工作，并接受四川xxx單位網(wǎng)絡安全應急指揮小組的統(tǒng)一指揮。網(wǎng)絡安全應急指揮小組四川xxx單位設立網(wǎng)絡安全應急指揮小組，應急指揮小組的工作與四川xxx單位的日常網(wǎng)絡安全工作密切相關，由信息中心領導、各單位領導以及指定技術人員組成。主要職責包括：承擔網(wǎng)絡安全值守應急工作；收集、分析工作信息，及時上報重要信息；負責四川xxx單位網(wǎng)絡與信息安全的監(jiān)測預警和風險評估控制、隱患排查整改工作；組織制訂、修訂網(wǎng)絡與信息安全突發(fā)事件相關的應急預案；負責組織協(xié)調(diào)網(wǎng)絡與信息安全突發(fā)事件應急演練；負責對四川xxx單位網(wǎng)絡與信息安全突發(fā)事件的宣傳教育與培訓。四川xxx單位網(wǎng)絡安全應急指揮小組，決定嚴重網(wǎng)絡安全突發(fā)事件應急預案的啟動，組織力量對嚴重突發(fā)事件進行處置，統(tǒng)一領導和組織指揮重大網(wǎng)絡安全突發(fā)事件的應急處置工作。網(wǎng)絡安全應急響應小組四川xxx單位網(wǎng)絡安全應急響應小組由信息安全與新技術應用科室組建，由信息安全與新技術應用科室人員和各單位信息管理員組成，負責四川xxx單位關鍵信息基礎設施及關鍵業(yè)務的日常監(jiān)控、事件報告和事件應急響應工作。應急響應小組的具體工作職責包括：負責對四川xxx單位關鍵網(wǎng)絡設備、安全設備及關鍵應用系統(tǒng)的運行狀況的日常監(jiān)控和維護，對網(wǎng)絡安全事件的處理提供技術支持和指導，遵循正確的流程，采取正確快速的行動作出響應，提出事件統(tǒng)計分析報告。.5.2.2應急響應服務事件報告發(fā)生網(wǎng)絡安全突發(fā)事件后，本著盡量減少損失的原則，依據(jù)受影響業(yè)務的安全需求，將相關信息系統(tǒng)或區(qū)域盡快隔離，四川xxx單位網(wǎng)絡安全應急響應小組應及時向應急指揮小組報告并對事件進行預定級；應急指揮小組接到信息系統(tǒng)突發(fā)事件的應急報告后，分析事件，判定事件等級，并按照相應事件等級準備應急保障資源。報告分為緊急報告和詳細報告。緊急報告是指事件發(fā)生后，以口頭和應急報告表形式匯報事件的簡要情況；詳細匯報是指由四川xxx單位網(wǎng)絡安全應急響應小組在事件處理暫告一段落后，以書面形式提交的詳細報告。發(fā)生以下引起網(wǎng)絡安全突發(fā)事件的情況時，應向應急指揮小組報告：（1）大面積病毒爆發(fā)及快速擴散事件；（2）對四川xxx單位關鍵信息系統(tǒng)和關鍵設備等的大規(guī)模攻擊和非法入侵，攻擊數(shù)據(jù)包源lP地址不明或為內(nèi)部IP地址；（3）四川xxx單位關鍵信息系統(tǒng)上傳信息不符合國家和保密要求的事件；（4）對四川xxx單位關鍵信息系統(tǒng)整體會造成影響的信息系統(tǒng)突發(fā)事件；（5）任何單位和個人均不得隱報、瞞報、謊報或者授權他人緩報、瞞報、謊報事件。.5.2.3應急響應四川xxx單位關鍵信息系統(tǒng)應急處置所需的各單位、部門協(xié)同以及應急資源，由應急指揮小組負責統(tǒng)一協(xié)調(diào)，應急響應小組負責具體工作落實。網(wǎng)絡安全應急指揮小組、網(wǎng)絡安全應急響應小組以保障四川xxx單位關鍵信息系統(tǒng)和信息網(wǎng)絡系統(tǒng)的安全穩(wěn)定運行為目標。當發(fā)生病毒、非法入侵、網(wǎng)絡攻擊、有害信息傳播、不符合規(guī)定的信息傳播等事件時，迅速調(diào)整網(wǎng)絡安全設備的安全策略或隔離事件區(qū)域，查找源頭，采取有效措施，控制事件的發(fā)展。當系統(tǒng)出現(xiàn)軟硬件設備故障、網(wǎng)絡鏈路故障、機房環(huán)境設備故障等事件時，應立即啟動備份系統(tǒng)和備用設備，調(diào)整系統(tǒng)運行和安全策略，恢復系統(tǒng)正常運行。信息系統(tǒng)發(fā)生突發(fā)事件，事件等級初步判定為一般突發(fā)事件，應急響應小組應在規(guī)定時間內(nèi)根據(jù)事件原因采取相應措施控制影響范圍的同時，向應急指揮小組進行緊急報告，請求立即啟動應急預案，根據(jù)事件發(fā)生的原因協(xié)調(diào)相關資源，開展應急處理。信息系統(tǒng)發(fā)生突發(fā)事件，事件等級初步判定為嚴重突發(fā)事件，應急響應小組應在規(guī)定時間內(nèi)根據(jù)事件原因采取相應措施控制影響范圍的同時，向應急指揮小組進行緊急報告，要求立即啟動應急預案，應急響應小組根據(jù)事件發(fā)生的原因協(xié)調(diào)其他應急資源開展應急處理。（1）應急響應流程1、系統(tǒng)值班員在風險可預知并可控情況下進行初步處理；否則向系統(tǒng)管理員報告故障，等候系統(tǒng)管理員處理辦法；2、系統(tǒng)值班員報告系統(tǒng)管理員及二線值班專家，系統(tǒng)管理員到達現(xiàn)場進行處理，在風險可預知并可控的情況下進行處理；否則向系統(tǒng)負責人匯報，同時通知系統(tǒng)集成商進行現(xiàn)場服務；3、我司工程師到達現(xiàn)場進行處理，在風險可預知并可控的情況下將處理辦法及其風險控制措施一并提交系統(tǒng)負責人，由負責人進行決策是否按照所提交的方案進行故障的排除，如可行，由我司工程師進行故障的排除；4、我司對故障無法判斷的情況下協(xié)調(diào)系統(tǒng)廠商進行現(xiàn)場服務，廠商工程師到達現(xiàn)場，提出解決方案和風險控制措施，交由系統(tǒng)負責人進行決策，如可行，由廠商工程師進行故障的排除。在處理過程中，根據(jù)事件的類型，參照不同的操作指南進行處理。（2）網(wǎng)絡支撐保障由網(wǎng)絡安全應急響應小組負責對四川xxx單位關鍵信息系統(tǒng)提供網(wǎng)絡支撐保障工作，具體由信息安全與新技術應用科室執(zhí)行。我司負責對四川xxx單位關鍵信息系統(tǒng)的互聯(lián)網(wǎng)接入進行保障。主要互聯(lián)網(wǎng)出口的邏輯結構和物理鏈路建議采用雙機雙鏈路的高可靠性接入要求，在此基礎上，我司準備好備份光纖、光模塊等備品備件，以備緊急情況下的應急處理。對四川xxx單位關鍵信息系統(tǒng)的上聯(lián)鏈路進行重點監(jiān)控和保障，對關鍵信息系統(tǒng)的流量、協(xié)議、連接數(shù)等進行重點監(jiān)控和保障。我司將加強對互聯(lián)網(wǎng)出口鏈路的狀態(tài)、流量、連接數(shù)等進行實時監(jiān)控。同時，按照互聯(lián)網(wǎng)出口既定的應急預案，保障出口鏈路的正常運行和緊急情況下的應急處理。針對WEB門戶網(wǎng)站等域名的解析，我司在重保期間需提前與域名解析商進行溝通，提出重保要求，商討應急預案，確保緊急情況下能夠及時溝通、及時處理。（3）硬件設備故障響應單臺設備應急流程若單臺防火墻或WAF，建議要支持ByPass功能（串行部署），確保業(yè)務的持續(xù)性和可用性。具體請參照下述流程：A、如果防火墻/WAF設備出現(xiàn)異常，首先檢查（確認）防火墻/WAF是否能正常進行工作，以及防火墻設置是否有問題。B、如果防火墻/WAF設備不能正常工作，技術人員應立即聯(lián)系廠商售后服務部上門維護，并且與技術工程師確認備用防火墻的具體型號，及時協(xié)作工程師在安裝備用防火墻之間的調(diào)試。在技術工程師上門之前技術人員應立即使用路由器替代現(xiàn)有防火墻，保證網(wǎng)絡的正常。C、如果防火墻能正常進行工作，是防火墻設置有問題，技術人員要根據(jù)問題大小確定是否需要用路由器來暫時替代防火墻，以保證聯(lián)機網(wǎng)絡的正常運行。D、及時完成日志記錄工作。（4）應用系統(tǒng)安全事件響應病毒和蠕蟲事件處理病毒：病毒是可以感染應用程序的一個小程序，或者一串代碼。病毒的主要功能是復制，它需要借助一個宿主應用程序（hostapplication）來進行復制。換言之，病毒不能進行自我復制。病毒通過在文件中插入或者附加自身拷貝對文件進行感染。病毒可以導致系統(tǒng)文件的刪除、顯示惡意圖形、重新配置系統(tǒng)或者控制郵件服務器。蠕蟲：蠕蟲不同于病毒，因為蠕蟲可以不需宿主程序而進行自我復制，是一種獨立的病毒程序。蠕蟲可以通過電子郵件、TCP/IP或者磁盤進行自我傳播。蠕蟲和傳統(tǒng)的病毒的定義趨于融合，它們之間的界線也逐漸模糊。雖然病毒和蠕蟲存在不同之處，但二者的處理過程除了隔離系統(tǒng)和時間要求不同之外，其他基本相同。病毒不會自動復制，此類事件的時間緊迫度遠弱于蠕蟲和黑客事件。蠕蟲會自動復制并且在短時間內(nèi)傳染上百臺機器，因此處理時間至關重要，如果不能確定事件究竟屬于那種類型，就按照蠕蟲的相關過程處理。對病毒或者蠕蟲安全事件的處理流程包含以下步驟：第一步：隔離系統(tǒng)迅速將受到病毒感染的系統(tǒng)和網(wǎng)絡中的其他系統(tǒng)隔離開，如果懷疑是蠕蟲事件，則應該斷開公司網(wǎng)絡與外網(wǎng)的連接。網(wǎng)絡隔離是防止蠕蟲擴散的一種方法，但由于工程師可能需要到相應網(wǎng)站上去下載殺毒軟件的升級包，因此與外網(wǎng)隔離會對后來的清理工作帶來一些麻煩，應急響應組長負責決定是否和外網(wǎng)隔離，并指派人記錄所有采用的行為。不要將系統(tǒng)斷電，不要重新引導系統(tǒng)，有些病毒會在系統(tǒng)重啟時破壞磁盤中的數(shù)據(jù)，同時也可能破壞有用的信息或者消除一些證據(jù)。第二步：通知相關人員盡快通知安全管理員，如果10分鐘不能與其取得聯(lián)系，立即通知他的備份人員。安全管理員負責通知其他相關人員。注意：對蠕蟲事件和普通病毒事件規(guī)定不同的響應時間：技術人員應該立即把情況告訴安全管理員，如果一小時不能取得聯(lián)系，立即通知他的備份人員；安全管理員應該在兩個小時內(nèi)通知應急響應執(zhí)行組長，必要的話，應急響應執(zhí)行組長應該向應急響應組長匯報；安全管理員應該在4小時內(nèi)聯(lián)系網(wǎng)絡管理員。第三步：識別問題盡量找出病毒或者蠕蟲文件和進程并將其隔離。在刪除文件和殺掉進程之前，先做一個系統(tǒng)快照并妥善保存。如果找到了病毒或蠕蟲代碼，將其移到安全的地方或者用磁帶將其保存，然后刪除中毒的文件。列出所有活動的網(wǎng)絡連接，在技術人員的幫助下對系統(tǒng)做快照。在被感染的系統(tǒng)上運行主機系統(tǒng)檢查工具以檢查其他可能發(fā)生的問題，如系統(tǒng)文件被改動，出現(xiàn)了新的特殊程序或者隱藏了一些特殊文件。注意檢查軟件的清潔，必要時，重新從原始介質(zhì)重新安裝檢查工具。第四步：消除病毒或蠕蟲關閉所有可疑的進程，備份系統(tǒng)映像，貼好標簽，妥善保存。刪除所有懷疑中毒的文件或病毒文件，對于蠕蟲事件，只有所有系統(tǒng)都處理完畢并采取了防護措施后才能重新恢復與外網(wǎng)的連接。第五步：加固系統(tǒng)加固系統(tǒng)或者升級殺毒軟件使系統(tǒng)免受進一步的破壞，在采用這些措施之前，有必要對系統(tǒng)的損壞程度進行評估，并對惡意代碼進行分析；一旦系統(tǒng)恢復到安全狀態(tài)，任何的修復措施和升級包都應該先做實驗，證明安全后才能采用。記錄所有的行為。第六步：恢復到日常狀態(tài)在將系統(tǒng)恢復到正常工作狀態(tài)之前，應該通知第一部分提到的所有相關人員；恢復后，通知用戶。最好要求所有用戶都改變口令，在恢復和外部的連接之前，確定所有受到影響的地方都成功地恢復到正常狀態(tài)。同時記錄所有工作活動。第七步：事后分析事后分析并提交報告。黑客攻擊事件處理按照黑客事件進行的過程和所處的階段，可以分成三種類型：1、攻擊者正在試圖取得訪問系統(tǒng)的權限；2、已經(jīng)建立連接，攻擊正在進行時；3、攻擊已經(jīng)完成。在這三種類型的事件中，攻擊正在進行時的情形最嚴峻，必須盡快處理。處理正在進行的黑客事件有兩種方法，一種是立即切斷黑客和系統(tǒng)的連接，將系統(tǒng)恢復到安全的狀態(tài)；第二種方法是不驚動攻擊者，盡量收集信息以確定攻擊源或作為法律證據(jù)。這兩種方法的選擇取決于對本次黑客行為可能造成的風險的估計。攻擊試探事件這種類型的事件的特征為：多次登錄嘗試，多次ftp、telnet或rsh嘗試、反復撥號嘗試等。第一步：確定問題通過系統(tǒng)日志文件和活動的網(wǎng)絡連接來識別入侵者的來處，備份所有審計信息，如：系統(tǒng)日志文件，root的history文件，utmp和wtmp文件，并妥善保存這些文件。列出進程狀態(tài)信息，并將其存在文件中妥善保存。同時記錄所有工作活動。第二步：通知安全管理員在30分鐘內(nèi)通知安全管理員，如果不能及時找到安全管理員，就通知安全管理員的備份人員。安全管理員或其備份人員負責通知其它層次的管理人員。第三步：識別攻擊源如果能夠找到攻擊的來源，安全管理員或其指定的專人應該負責和對方的系統(tǒng)管理員或安全分析員聯(lián)系，盡量找出攻擊的發(fā)起者。如果找到了攻擊者，應該把相關信息通知應急響應執(zhí)行組長，由他們來決定怎樣處理。同時記錄所有工作活動。第四步：事后處理在調(diào)查之后，應急響應執(zhí)行組長應該指定相關人員對此次事件寫一份報告，針對事件和采取的行為進行描述，并執(zhí)行事后分析。正在進行的黑客攻擊事件這種類型的事件包括系統(tǒng)上任何非授權人員建立的活動會話和執(zhí)行命令的行為，如：活動的rlogin或telnet會話，活動的ftp會話。由于黑客可能在很短的時間內(nèi)破壞系統(tǒng)，事件響應的時間非常重要，所以在處理這類事件時，應該首先由應急響應執(zhí)行組長或其指定的人員在綜合考慮監(jiān)控人員的能力和可能造成的風險的前提下決定是立即將黑客驅(qū)逐出系統(tǒng)還是在不驚動黑客的情況下收集證據(jù)。第一步：通知相關人員盡快通知安全管理員，如果在5分鐘內(nèi)無法和他取得聯(lián)系則立即通知備份人員。安全管理員負責通知其他相關人員，并且在網(wǎng)絡系統(tǒng)管理員的幫助下估計黑客下一步行為，并針對黑客繼續(xù)活動的風險進行評估。安全管理員應該盡快通知應急響應執(zhí)行組長，如果在10分鐘之內(nèi)不能辦到，立即通知備份人員。應急響應執(zhí)行組長決定是立即將黑客驅(qū)逐出系統(tǒng)還是在不驚動黑客的情況下收集證據(jù)。不同的決定有不同的處理過程。應急響應執(zhí)行組長應該在30分鐘內(nèi)通知應急響應組長，必要時，應急響應組長將情況向上級管理者匯報。第二步：系統(tǒng)快照對所有審計信息（如：系統(tǒng)日志文件，root的history文件，utmp和wtmp文件等）進行備份，并妥善保管；獲取所有進程的狀態(tài)信息并將其存在一個文件里，安全存放文件；所有可疑的文件都應該先轉(zhuǎn)移到安全的地方或在磁帶里存檔，然后將其刪除；列出所有活動的網(wǎng)絡連接，在網(wǎng)絡系統(tǒng)管理員的幫助下獲得系統(tǒng)的快照，記錄所有的行為。第三步：驅(qū)逐黑客殺掉所有活動的黑客進程，并刪除黑客在系統(tǒng)中留下的文件和程序；改變所有黑客訪問過的帳戶的口令，刪除黑客自己開的帳號。同時記錄所有工作活動。第四步：恢復系統(tǒng)將系統(tǒng)恢復到日常運行狀態(tài)，恢復被黑客修改的數(shù)據(jù)和文件；安裝系統(tǒng)patch，修補系統(tǒng)漏洞，通知相應的人員；此次事件所有恢復系統(tǒng)的行為都應該記錄在案。第五步：事后分析在進行調(diào)查之后，由安全管理員和相關人員提交一份對事件全過程的總結報告。第六步：監(jiān)控黑客行為對黑客行為的監(jiān)控沒有固定的過程，每個事件都有不同的情況。應急響應執(zhí)行組長或者其授權的人應該指導整個監(jiān)控過程。當驅(qū)逐黑客的時機成熟時，按照第三步執(zhí)行。攻擊行為已經(jīng)完成如果在事件發(fā)生以后才覺察，通常很難找到足夠的信息來分析黑客怎樣獲得訪問系統(tǒng)的權限。如果發(fā)現(xiàn)曾經(jīng)有人闖入過系統(tǒng)，應該在一個工作日內(nèi)通知安全管理員，安全管理員負責通知相關人員進行事件調(diào)查和處理。拒絕服務攻擊處理拒絕服務攻擊的英文意思是DenialofService，簡稱DoS。從網(wǎng)絡攻擊的各種方法和所產(chǎn)生的破壞情況來看，拒絕服務攻擊是一種很簡單但又很有效的進攻方式。它可以使服務器或者網(wǎng)絡充斥大量信息，消耗網(wǎng)絡帶寬或系統(tǒng)資源，導致網(wǎng)絡或系統(tǒng)趨于癱瘓而無法提供正常的網(wǎng)絡服務。分布式拒絕服務DDoS(DistributedDenialofService)是一種基于DoS的特殊形式的拒絕服務攻擊，是一種分布、協(xié)作的大規(guī)模攻擊方式，主要瞄準比較大的站點，如商業(yè)公司，搜索引擎和政府部門的站點。分布式拒絕服務攻擊是危害最大、最易于達到攻擊效果、最難以抵御和追蹤的一種拒絕服務攻擊。對于業(yè)界來說，DoS攻擊已經(jīng)伴隨著Internet的發(fā)展存在了多年，其原理極為簡單，也早已為人們所熟知。雖然各種攻擊手法層出不窮，但DoS攻擊依然是互聯(lián)網(wǎng)面臨的主要威脅。這種類型的事件的特征為：服務無法提供，可能出現(xiàn)服務器無法響應，造成用戶無法訪問，或者出口路由器或防火墻無法響應，造成網(wǎng)絡中斷等等。拒絕服務攻擊直接造成客戶業(yè)務的中斷或服務的無法提供，因此盡可能迅速地阻止攻擊數(shù)據(jù)包是非常重要的。對拒絕服務攻擊事件的處理流程包含以下步驟：第一步：確定問題通過服務器/網(wǎng)絡設備/防火墻等的系統(tǒng)狀態(tài)、網(wǎng)絡鏈路狀態(tài)，判斷問題的類型和造成的影響程度。記錄所有工作活動。第二步：通知安全管理員在30分鐘內(nèi)通知安全管理員。安全管理員負責通知其它層次的管理人員。第三步：識別攻擊手段利用數(shù)據(jù)分析產(chǎn)品，如IDS、sniffer等，分析攻擊數(shù)據(jù)包，同時根據(jù)路由器、防火墻上的記錄判斷攻擊手段和攻擊來源。如果攻擊來源明確，安全管理員可以指導網(wǎng)絡管理員對路由器進行應急安全增強配置，或部署防御拒絕服務攻擊的產(chǎn)品，阻斷來自攻擊來源的攻擊數(shù)據(jù)包。如果數(shù)據(jù)包中的源地址是隨機生成的，那么是否能迅速準確地確定偽造來源將取決于客戶的響應動作是否迅速，因為路由器中的記錄可能會在攻擊中止后很快就被清除。盡快聯(lián)系互聯(lián)網(wǎng)服務供應商（ISP），獲得他們的協(xié)助和合作，調(diào)整路由訪問控制策略，以實現(xiàn)對帶寬總量的限制以及不同的訪問地址在同一時間對帶寬的占有率。最理想的情況是當發(fā)生攻擊時ISP愿意監(jiān)視網(wǎng)絡流量或允許客戶訪問他們的路由器。如果找到了攻擊者，應該把相關信息通知應急響應執(zhí)行組長，由他們來決定怎樣處理。同時記錄所有工作活動。第四步：事后處理在調(diào)查之后，應急響應執(zhí)行組長應該指定相關人員對此次事件寫一份報告，針對事件和采取的行為進行描述，并執(zhí)行事后分析。 網(wǎng)站大量正常訪問造成性能下降處理當前四川xxx單位關鍵信息系統(tǒng)的主要流量是對網(wǎng)站的HTTP訪問流量，如果由于正常的訪問造成網(wǎng)站性能的下降，可以采取臨時網(wǎng)頁的措施，臨時網(wǎng)頁相對于正式網(wǎng)頁來說，去除了一部分次要信息，只保留主要信息，并且對圖片等占用資源較大的元素，進行了優(yōu)化處理，以降低網(wǎng)絡訪問所造成的流量。對于此類事件的具體處理如下：第一步：確定問題在這個階段，關鍵是要把正常訪問流量增加造成的性能下降與拒絕服務攻擊區(qū)分開。最明顯的標志是有重大消息的宣布、網(wǎng)站內(nèi)容有較大的調(diào)整，另外從具體行為來說，訪問來源非常分散，網(wǎng)絡行為正常。第二步：通知安全管理員在30分鐘內(nèi)通知安全管理員。安全管理員負責通知其它層次的管理人員。第三步：臨時網(wǎng)頁替換將訪問量過大的頁面用臨時頁面替換，同時也要考慮主頁的替換，以提高網(wǎng)站首頁的打開速度。第四步：事后總結在調(diào)查之后，應急響應執(zhí)行組長應該指定相關人員對此次事件寫一份報告，針對事件和采取的行為進行描述，并執(zhí)行事后分析。.5.2.4應急結束應急響應小組對應急事件處置后應根據(jù)事件等級對系統(tǒng)進行監(jiān)控：嚴重信息系統(tǒng)突發(fā)事件應急處理結束后應密切關注、監(jiān)測系統(tǒng)1周，確認無異?，F(xiàn)象；一般信息系統(tǒng)突發(fā)事件應急處理結束后應密切關注、監(jiān)測系統(tǒng)3天，確認無異常現(xiàn)象。應急指揮小組在以下條件同時滿足的情況下，可決定解除應急狀態(tài)，并向上級有關部門報告：（1）各種信息系統(tǒng)事件已得到有效控制，情況趨緩；（2）信息系統(tǒng)突發(fā)事件處理已經(jīng)結束，設備、系統(tǒng)已恢復運行；（3）上級應急部門發(fā)布的解除應急響應狀態(tài)指令。.5.2.5調(diào)查與評估信息系統(tǒng)突發(fā)事件應急處理結束后，應急響應小組應結合運行過程中的異常和事件，對本次應急事件進行深入的調(diào)查和評估，綜合分析信息系統(tǒng)中存在的關鍵點和薄弱點，正確認識系統(tǒng)面臨的威脅和風險，提出該類事件的整改措施。.5.2.6系統(tǒng)恢復系統(tǒng)恢復是在對突發(fā)事件應急后，根據(jù)事件調(diào)查與評估結果，對系統(tǒng)暴露的漏洞進行全面修補，制定整改實施方案并予以落實，是采取有效手段消除、減少、規(guī)避系統(tǒng)威脅、風險，提升系統(tǒng)原有安全防護能力的過程。.5.2.7改進措施信息系統(tǒng)突發(fā)事件應急處理結束后，應急響應小組應結合運行過程中的異常和事件組織研究事件發(fā)生的原因和特點、分析事件發(fā)展過程，總結應急處理過程中的經(jīng)驗和教訓，進行應急處置知識積累，進一步補充、完善和修訂有關應急預案，整改措施和方案報應急指揮小組備案。.6安全培訓服務.6.1培訓服務內(nèi)容說明我司按照服務內(nèi)容要求提供培訓服務，提供培訓教程、培訓方案等內(nèi)容，采用高級安全專家現(xiàn)場提供培訓服務。.6.2培訓服務流程培訓說明我司將會向用戶的技術人員提供全面的培訓，通過講授網(wǎng)絡安全政策法規(guī)、網(wǎng)絡安全基礎設備原理、網(wǎng)絡安全基礎攻擊手段、網(wǎng)絡安全基礎防御知識，使參訓人員知道網(wǎng)絡安全行為準則，知道怎么去維護行為準則，有哪些行為打破了行為準則。培訓目的為保障項目建設順利實施和運行，我們組織安排不同工作層面的技術人員有針對性的接受不同的培訓。通過培訓，主要實現(xiàn)兩個目標：一、為用戶建立一支訓練有素的技術隊伍，為今后持續(xù)的信息化建設奠定良好的基礎。二、讓技術人員掌握有關軟件系統(tǒng)、設備使用維護和管理等技術，達到能獨立進行故障處理、日常測試維護的目的，保證我們提供的設備能夠正常、安全的運行。培訓需求我們做如下培訓安排：（一）提供進行培訓的環(huán)境。（二）培訓教員至少具有三年的相同課程的教學經(jīng)驗。（三）使用中文授課（四）為所有被培訓人員提供培訓用文字資料和講義等相關用品。（五）提供培訓資料培訓對象系統(tǒng)管理人員人員基本素質(zhì)要求：對系統(tǒng)和設備基本的使用、管理、配置、維護能力。系統(tǒng)維護人員人員基本素質(zhì)要求：對系統(tǒng)和設備基本的使用、管理、配置、維護能力。系統(tǒng)操作人員人員基本素質(zhì)要求：對系統(tǒng)和設備有基本的應用、理解能力。培訓方式現(xiàn)場技術培訓和集中培訓兩種方式?，F(xiàn)場培訓在招標方設備安裝調(diào)試所在地；集中培訓方式與客戶溝通后確定。培訓時間分兩類培訓時間，集中培訓和現(xiàn)場培訓。集中培訓跟客戶協(xié)商確定，一般安排在部署完成之后，對相關人員集中培訓；現(xiàn)場培訓時間，一般在部署的過程中，對協(xié)助的甲方人員進行操作指導及現(xiàn)場培訓指導。培訓地點具體由雙方協(xié)商確定。培訓內(nèi)容集中培訓的內(nèi)容安排如下：培訓對象具體內(nèi)容系統(tǒng)管理人員系統(tǒng)操作人員系統(tǒng)維護人員1、網(wǎng)絡安全政策法規(guī)2、網(wǎng)絡安全基礎設備原理3、網(wǎng)絡安全基礎攻擊手段4、網(wǎng)絡安全基礎防御知識具體內(nèi)容課時分配如下：（1網(wǎng)絡