完整安全服務(wù)項(xiàng)目服務(wù)方案及措施-v1

完整安全服務(wù)項(xiàng)目服務(wù)方案及措施TOC\o"1-5"\h\z\u目錄TOC\o"1-5"\h\z\u1.1項(xiàng)目服務(wù)方案及措施 21.1.1. 項(xiàng)目服務(wù)內(nèi)容 21.1.2. 項(xiàng)目技術(shù)服務(wù)方案 3. 安全服務(wù)開展前置條件調(diào)研 3.1. 網(wǎng)絡(luò)現(xiàn)狀調(diào)研 3.2. 全網(wǎng)資產(chǎn)梳理及重點(diǎn)保護(hù)資產(chǎn)確認(rèn) 4.3. 安全服務(wù)需求溝通和交流 6.4. 安全BM措施 6. 重點(diǎn)網(wǎng)絡(luò)安全保障時期保障服務(wù) 8.1. 重保服務(wù)內(nèi)容說明 8.2. 重保服務(wù)體系 9.3. 重保服務(wù)團(tuán)隊(duì) 12.4. 重保服務(wù)機(jī)制流程 13.5. 重保服務(wù)應(yīng)急預(yù)案 14.6. 重保服務(wù)-全域弱口令檢查 17.7. 重保服務(wù)-互聯(lián)網(wǎng)暴露資產(chǎn)自查 22.8. 重保服務(wù)-資產(chǎn)安全評估 23.9. 重保服務(wù)-敏感信息泄露探測 29.10. 重保服務(wù)-漏洞掃描及治理 30.11. 重保服務(wù)-安全配置檢查 33.12. 重保服務(wù)-入侵痕跡排查 35.13. 重保服務(wù)-網(wǎng)絡(luò)安全應(yīng)急演練 37. 網(wǎng)絡(luò)安全專項(xiàng)培訓(xùn)服務(wù) 45. 網(wǎng)絡(luò)安全宣傳周支撐服務(wù) 51. 遠(yuǎn)程及時支持服務(wù) 57.1. 遠(yuǎn)程及時支持服務(wù)內(nèi)容 57.2. 應(yīng)急響應(yīng)服務(wù) 57.3. 日常技術(shù)支持服務(wù) 58.4. 安全設(shè)施巡檢 58.5. 安全咨詢服務(wù) 58.6. 基線加固服務(wù) 59.7. 遠(yuǎn)程評估服務(wù) 67. 匯報和總結(jié)服務(wù) 681.1.3. 服務(wù)交付物 681.1.4. 服務(wù)工具 691.1項(xiàng)目服務(wù)方案及措施為踐行《網(wǎng)絡(luò)安全法》安全與信息化同步規(guī)劃、同步建設(shè)、同步運(yùn)行的三同步思想，通過本次項(xiàng)目安全服務(wù)規(guī)劃（網(wǎng)絡(luò)安全日常運(yùn)行保障、網(wǎng)絡(luò)安全重保服務(wù)、網(wǎng)絡(luò)安全培訓(xùn)、網(wǎng)絡(luò)安全宣傳周、遠(yuǎn)程技術(shù)支撐與應(yīng)急響應(yīng)服務(wù)等），建立從頂層設(shè)計、部署實(shí)施到安全運(yùn)行的一整套網(wǎng)絡(luò)安全新模式，使網(wǎng)絡(luò)安全向面向?qū)沟膶?shí)戰(zhàn)化運(yùn)行模式升級。通過構(gòu)建適應(yīng)信息化發(fā)展的網(wǎng)絡(luò)安全整體保障技術(shù)支撐體系，強(qiáng)化網(wǎng)絡(luò)安全技術(shù)服務(wù)力量，做實(shí)做細(xì)網(wǎng)絡(luò)安全防護(hù)工作，提高突發(fā)事件應(yīng)對能力。通過常態(tài)化開展網(wǎng)絡(luò)安全日常運(yùn)行保障、網(wǎng)絡(luò)安全重保服務(wù)、網(wǎng)絡(luò)安全培訓(xùn)、網(wǎng)絡(luò)安全宣傳周、遠(yuǎn)程技術(shù)支撐與應(yīng)急響應(yīng)服務(wù)工作，以此提高甲方整體網(wǎng)絡(luò)安全保障水平。項(xiàng)目服務(wù)內(nèi)容為更好理解甲方“2024年甲方網(wǎng)絡(luò)安全保障服務(wù)項(xiàng)目”項(xiàng)目需求及服務(wù)響應(yīng)，我司仔細(xì)全面閱讀招標(biāo)文件和服務(wù)需求內(nèi)容，梳理出項(xiàng)目核心服務(wù)內(nèi)容如下：序號服務(wù)類別服務(wù)內(nèi)容說明安全服務(wù)開展前置條件調(diào)研中標(biāo)后應(yīng)及時到甲方所在地詳細(xì)了解甲方網(wǎng)絡(luò)現(xiàn)狀，各階段現(xiàn)場網(wǎng)絡(luò)安全保障期間，乙方應(yīng)主動掌握實(shí)時動態(tài)，提前聯(lián)系甲方，獲得甲方許可后積極組織專業(yè)人員達(dá)到現(xiàn)場，并向甲方報到，按照甲方安排開展工作。重點(diǎn)網(wǎng)絡(luò)安全保障時期保障服務(wù)組織不少于4人的現(xiàn)場服務(wù)組到xx甲方基地開展2024年甲方網(wǎng)絡(luò)安全保障，負(fù)責(zé)2024年國慶節(jié)（重要單位75周年）10天、重要單位回歸紀(jì)念日5天、重要單位回歸紀(jì)念日5天、HW行動20天以及其他重要時段20天，共計60天，在甲方現(xiàn)場實(shí)施24小時現(xiàn)場保障工作，確保辦公網(wǎng)絡(luò)、生產(chǎn)網(wǎng)絡(luò)、視頻網(wǎng)絡(luò)平穩(wěn)運(yùn)行，期間完成甲方全域弱口令檢查、互聯(lián)網(wǎng)暴露資產(chǎn)自查、資產(chǎn)安全評估、敏感信息泄露探測、漏洞掃描及治理、安全配置檢查、入侵痕跡排查、網(wǎng)絡(luò)安全應(yīng)急演練等工作。網(wǎng)絡(luò)安全專項(xiàng)培訓(xùn)服務(wù)組織甲方相關(guān)專業(yè)技術(shù)人員40人，開展一次為期1天的網(wǎng)絡(luò)安全專項(xiàng)培訓(xùn)。網(wǎng)絡(luò)安全宣傳周支撐服務(wù)結(jié)合2024年網(wǎng)絡(luò)安全宣傳周重點(diǎn)方向，制作宣傳3分鐘1080P清晰度以上的高品質(zhì)動畫短片2部，制作30*40CM精美宣傳海報150張、彩色防水耐用宣傳手冊400份；遠(yuǎn)程及時支持服務(wù)服務(wù)期內(nèi)我司義務(wù)協(xié)助、支持甲方網(wǎng)絡(luò)安全相關(guān)工作，提供合同期間7*24小時遠(yuǎn)程技術(shù)支持，同時提供60次內(nèi)全面遠(yuǎn)程協(xié)助（每件事項(xiàng)完成計1次）。匯報和總結(jié)服務(wù)（1）編寫甲方全域弱口令檢查報告、互聯(lián)網(wǎng)暴露資產(chǎn)自查報告、資產(chǎn)安全評估報告、敏感信息泄露探測報告、漏洞掃描及治理報告、安全配置檢查報告、入侵痕跡排查報告、網(wǎng)絡(luò)安全應(yīng)急演練方案及配套資料。（2）做好甲方網(wǎng)絡(luò)安全保障期間各項(xiàng)資料整理工作，配合完成相關(guān)問題閉環(huán)整改，并提供整改措施與建議。收集網(wǎng)絡(luò)安全保障期間數(shù)據(jù)與圖片資料，編寫2024年甲方網(wǎng)絡(luò)安全保障總結(jié)及多媒體材料。項(xiàng)目技術(shù)服務(wù)方案安全服務(wù)開展前置條件調(diào)研為更好的為本項(xiàng)目提供優(yōu)質(zhì)的服務(wù)，達(dá)成本項(xiàng)目預(yù)想服務(wù)目標(biāo)；項(xiàng)目中標(biāo)后我司會及時與甲方聯(lián)系，第一時間到甲方本地進(jìn)行安全服務(wù)開展前置條件調(diào)研，調(diào)研內(nèi)容包括但不限于如下內(nèi)容：網(wǎng)絡(luò)現(xiàn)狀調(diào)研初期網(wǎng)絡(luò)現(xiàn)狀調(diào)研將圍繞以下六個方面展開調(diào)研:網(wǎng)絡(luò)基礎(chǔ)施、網(wǎng)絡(luò)設(shè)備和應(yīng)用、網(wǎng)絡(luò)安全現(xiàn)狀、網(wǎng)絡(luò)問題與挑戰(zhàn)、業(yè)務(wù)發(fā)展和需求、法律法規(guī)；調(diào)研方式包括但不限于人員訪談、會議交流、資料查閱、電話咨詢等，調(diào)研結(jié)束后出具完整的調(diào)研報告，報告一式兩份，一份交于甲方查閱和存檔，一份由我司項(xiàng)目組保留作為后續(xù)開展安全服務(wù)的基礎(chǔ)支撐技術(shù)資料。具體調(diào)研內(nèi)容如下：網(wǎng)絡(luò)基礎(chǔ)設(shè)施1.基礎(chǔ)網(wǎng)絡(luò)架構(gòu):調(diào)研現(xiàn)有的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)包括核心層、匯聚層、接入層等；2.數(shù)據(jù)中心建設(shè):了解數(shù)據(jù)中心的規(guī)模、布局、設(shè)備配置等。3.網(wǎng)絡(luò)及帶寬統(tǒng)計:統(tǒng)計各個區(qū)域的網(wǎng)絡(luò)連接情況及寬帶接入速度。網(wǎng)絡(luò)設(shè)備和應(yīng)用1.路由器和交換機(jī):記錄各個節(jié)點(diǎn)的設(shè)備型號、性能參數(shù)、軟件版本等。2.服務(wù)器和應(yīng)用軟件:調(diào)研服務(wù)器的型號、配置、應(yīng)用軟件的種類和使用情況。3.移動網(wǎng)絡(luò)設(shè)備:了解移動設(shè)備(如智能手機(jī)、平板電腦)的數(shù)量、型號、使用頻率。網(wǎng)絡(luò)安全現(xiàn)狀1.安全防護(hù)措施:了解當(dāng)前網(wǎng)絡(luò)的安全防護(hù)措施，如防火墻、入侵檢測系統(tǒng)、WAF、日志審計、數(shù)據(jù)庫審計系統(tǒng)、安全管理平臺等；2.數(shù)據(jù)安全:調(diào)研數(shù)據(jù)的加密、備份、恢復(fù)措施，確保數(shù)據(jù)的安全性和完整性。3.安全培訓(xùn):了解用戶的安全培訓(xùn)情況包括員工的安全意識和技能。網(wǎng)絡(luò)問題與挑戰(zhàn)1.當(dāng)前網(wǎng)絡(luò)問題:調(diào)研當(dāng)前網(wǎng)絡(luò)存在的主要問題，如連接不穩(wěn)定、速度慢、安全隱患、曾經(jīng)發(fā)生過的安全威脅等。2.未來挑戰(zhàn):預(yù)測未來網(wǎng)絡(luò)可能面臨的挑戰(zhàn)，如網(wǎng)絡(luò)安全威脅、技術(shù)更新選代等。業(yè)務(wù)發(fā)展方向和需求1.業(yè)務(wù)類型:了解用戶的業(yè)務(wù)類型，如電子商務(wù)、金融、醫(yī)療等，以評估可能面臨的安全風(fēng)險。2.業(yè)務(wù)需求和挑戰(zhàn):了解用戶的業(yè)務(wù)需求和挑戰(zhàn)，以確定網(wǎng)絡(luò)安全服務(wù)的重點(diǎn)和方向。法律法規(guī)合規(guī)性要求:了解用戶所在行業(yè)的法規(guī)和標(biāo)準(zhǔn)，以確保提供的網(wǎng)絡(luò)安全服務(wù)符合相關(guān)要求。全網(wǎng)資產(chǎn)梳理及重點(diǎn)保護(hù)資產(chǎn)確認(rèn)全網(wǎng)資產(chǎn)梳理開展全網(wǎng)資產(chǎn)梳理工作，全面梳理信息資產(chǎn)。盡可能地發(fā)現(xiàn)甲方的資產(chǎn)信息，全面掃描和排查已知的和未知的信息資產(chǎn)，形成明確的資產(chǎn)清單。對核心應(yīng)用和業(yè)務(wù)系統(tǒng)的情況進(jìn)行全面的安全排查，確保業(yè)務(wù)系統(tǒng)不具備高風(fēng)險隱患。具體實(shí)施步驟和內(nèi)容如下：對甲方全網(wǎng)信息化資產(chǎn)進(jìn)行梳理和排查，根據(jù)梳理排查情況及甲方提供的相關(guān)信息，編制信息資產(chǎn)表。包括但不限于網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器、web應(yīng)用、數(shù)據(jù)庫等。明確需要保護(hù)的信息資產(chǎn)、保護(hù)優(yōu)先級和相應(yīng)的管理人員、責(zé)任人。設(shè)備資產(chǎn)表至少包括名稱、型號、數(shù)量、IP地址、位置等信息。有調(diào)整和變動時立即更新。梳理甲方當(dāng)前已有的安全監(jiān)測和防御產(chǎn)品，對其實(shí)現(xiàn)的功能、效果、防御范圍、安全日志、特征庫更新情況等進(jìn)行綜合分析。依據(jù)梳理結(jié)果出具調(diào)整、處置建議，經(jīng)甲方授權(quán)后進(jìn)行調(diào)整和處置。1、服務(wù)流程供應(yīng)商中標(biāo)后2周內(nèi)完成第一次資產(chǎn)梳理調(diào)研工作，并完成《初步信息資產(chǎn)表》的編制；《初步信息資產(chǎn)表》編制完成后，協(xié)同甲方完成對信息資產(chǎn)的保護(hù)范圍、保護(hù)優(yōu)先級認(rèn)定，同時落實(shí)相應(yīng)的管理人員、責(zé)任人；輸出《信息資產(chǎn)表》；對《信息資產(chǎn)表》進(jìn)行維護(hù)，初步調(diào)研工作完成后，依據(jù)項(xiàng)目開展情況和進(jìn)度，按需開展信息資產(chǎn)表的核對工作；有調(diào)整和變動時立即更新，對維護(hù)過程中監(jiān)測到的異常情況及時進(jìn)行處置。2、服務(wù)方式：現(xiàn)場服務(wù)。3、服務(wù)周期：中標(biāo)后2周內(nèi)開展全網(wǎng)資產(chǎn)梳理工作，后期按需開展信息資產(chǎn)表的排查和核對工作，以用戶實(shí)際需求為準(zhǔn)。4、交付文檔：《初步信息資產(chǎn)調(diào)研表》、《優(yōu)先重點(diǎn)保護(hù)信息資產(chǎn)表》、《信息資產(chǎn)表更新維護(hù)記錄表》等。核心應(yīng)用和業(yè)務(wù)系統(tǒng)的初步安全評估中標(biāo)后再初次調(diào)研活動中從安全風(fēng)險的角度對甲方核心應(yīng)用和業(yè)務(wù)系統(tǒng)行安全評估。采用各種手段模擬真實(shí)的安全攻擊，從而發(fā)現(xiàn)黑客入侵信息系統(tǒng)的潛在可能途徑。風(fēng)險評估工作以人工滲透為主，輔助以攻擊工具的使用。對甲方核心應(yīng)用和業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫、中間件、網(wǎng)絡(luò)邊界等進(jìn)行風(fēng)險評估工作，找出并發(fā)現(xiàn)系統(tǒng)基礎(chǔ)環(huán)境存在的安全漏洞或在安全配置層面存在的安全問題，及可能造成的安全風(fēng)險。評估完成后，得出安全風(fēng)險評估報告。1、服務(wù)范圍確定供應(yīng)商對甲方需要進(jìn)行安全評估的資產(chǎn)范圍進(jìn)行梳理，梳理完畢后出具紙質(zhì)文件與用戶確定；雙方確定完成后針對安全評估服務(wù)范圍開展安全評估服務(wù)。2、服務(wù)方法為了確切、真實(shí)的反映服務(wù)器安全現(xiàn)狀，對單位授權(quán)業(yè)務(wù)系統(tǒng)進(jìn)行評估：人員訪談，對數(shù)據(jù)中心業(yè)務(wù)系統(tǒng)各種配置進(jìn)行人員訪談，確認(rèn)各項(xiàng)配置措施、安全策略是否符合安全要求，確認(rèn)安全管理是否符合要求；工具掃描，掃描系統(tǒng)主機(jī)否存在安全漏洞；滲透測試，滲透測試工程師模擬黑客攻擊，檢查系統(tǒng)脆弱性；配置檢查等；3、服務(wù)流程1) 確定評估的范圍和目標(biāo)2) 系統(tǒng)資產(chǎn)識別3) 已有安全措施的確認(rèn)4) 風(fēng)險分析5) 安全評估文件記錄4、服務(wù)方式：會同網(wǎng)絡(luò)調(diào)研工作，現(xiàn)場開展服務(wù)。3、服務(wù)周期：中標(biāo)后2周內(nèi)，會同網(wǎng)絡(luò)調(diào)研工作，現(xiàn)場開展1次服務(wù)。4、交付文檔：《安全評估報告》。安全服務(wù)需求溝通和交流需求溝通和交流主要是我司項(xiàng)目組通過招標(biāo)文件和服務(wù)需求內(nèi)容梳理出核心重點(diǎn)任務(wù)和服務(wù)執(zhí)行的相關(guān)方案與甲方進(jìn)行詳細(xì)的溝通交流，確保相關(guān)服務(wù)內(nèi)容及執(zhí)行滿足甲方要求。需求溝通和交流可包括但不限于如下內(nèi)容：服務(wù)核心內(nèi)容確定各項(xiàng)服務(wù)需求細(xì)節(jié)探討服務(wù)執(zhí)行時間和人員組成約定服務(wù)開展工作的各項(xiàng)注意事項(xiàng)和現(xiàn)場人員管理約定BM約定和安全管理等安全BM措施本次安全服務(wù)工作中，可能要涉及很多關(guān)鍵的設(shè)備數(shù)據(jù)和業(yè)務(wù)資產(chǎn)信息，因此安全BM措施顯得尤為重要。本項(xiàng)目的BM措施分為以下兩部分：BM協(xié)議（公司與甲方簽訂BM協(xié)議）項(xiàng)目人員項(xiàng)目專項(xiàng)BM承諾（項(xiàng)目實(shí)施人員與公司和甲方簽訂BM承諾）（一）BM協(xié)議BM協(xié)議可以確保在本項(xiàng)目中，雙方對項(xiàng)目涉及的系統(tǒng)數(shù)據(jù)、技術(shù)參數(shù)等整體系統(tǒng)安全相關(guān)資料的BM。雙方以《保守國家秘密法》為根本依據(jù)，并根據(jù)國家科學(xué)技術(shù)委員會頒布的《科學(xué)技術(shù)BM規(guī)定》、《計算機(jī)軟件保護(hù)條例》以及《商用密碼管理?xiàng)l例》等相關(guān)法律、法規(guī)簽訂BM協(xié)議。BM條款承認(rèn)接受的秘密資料。本協(xié)議中秘密資料包括通過口頭、書面、電子或其他方式提供的關(guān)于技術(shù)和系統(tǒng)安全及其他方面的一切數(shù)據(jù)、報告、信息、翻譯資料、預(yù)測和記錄。同意維護(hù)商業(yè)秘密資料的BM性，不向任何第三方披露有關(guān)信息，除非由于法律需要在必要的程度上向國家有關(guān)管理部門透露。同意在披露有關(guān)信息前，正式書面知會對方并得到對方書面許可。同意秘密資料只作為本項(xiàng)目的用途。上所涉及的相關(guān)秘密資料包括以下內(nèi)容：整體系統(tǒng)安全策略相關(guān)技術(shù)整體系統(tǒng)安全總體解決方案相關(guān)技術(shù)所有整體系統(tǒng)安全服務(wù)的技術(shù)內(nèi)容以及相關(guān)細(xì)節(jié)所有檢測報告、分析技術(shù)以及內(nèi)容所有的整體系統(tǒng)安全咨詢技術(shù)內(nèi)容所有的整體系統(tǒng)安全培訓(xùn)技術(shù)內(nèi)容所有與該項(xiàng)目相關(guān)的技術(shù)文檔與此項(xiàng)目相關(guān)的商務(wù)信息違約責(zé)任違約方承擔(dān)違反此協(xié)議所造成的經(jīng)濟(jì)損失。如果違約方支付的違約金不足以補(bǔ)償對方因違約方違反本協(xié)議而遭受的其他損失，違約方應(yīng)當(dāng)繼續(xù)承擔(dān)賠償責(zé)任。違約方違反本協(xié)議，給對方造成的損失額以下面兩種方法計算的較高者為準(zhǔn)。以對方因被侵害而受到的實(shí)際損失作為賠償額。以違約方因違約所獲得的全部收益作為賠償額，包括違約方將該商業(yè)秘密和技術(shù)秘密泄露給第三方，第三方因此而得到的收益。因違約方的行為造成對方的商業(yè)秘密和技術(shù)秘密完全公開的，應(yīng)由違約方賠償該商業(yè)秘密和技術(shù)秘密的全部價值。違約方應(yīng)當(dāng)承擔(dān)對方因調(diào)查及處理侵害行為所支出的合理費(fèi)用。（二）項(xiàng)目服務(wù)人員專項(xiàng)BM承諾項(xiàng)目實(shí)施人員專項(xiàng)BM承諾可以確保在本項(xiàng)目工作中，人員本身對項(xiàng)目涉及的系統(tǒng)數(shù)據(jù)、技術(shù)參數(shù)等整體系統(tǒng)安全相關(guān)資料的BM。雙方應(yīng)根據(jù)《反不正當(dāng)競爭法》、《計算機(jī)信息系統(tǒng)安全保護(hù)條例》、《計算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法》、《商用密碼管理?xiàng)l例》和國家、地方有關(guān)法律規(guī)范，為保障國家、用戶及甲方的財產(chǎn)不受損害，就企業(yè)管理和技術(shù)秘密保護(hù)簽訂BM承諾。BM的內(nèi)容和范圍所有項(xiàng)目參與人在項(xiàng)目中涉及到的相關(guān)技術(shù)資料。包括：機(jī)構(gòu)設(shè)置和運(yùn)行機(jī)置；計算機(jī)及其它輔助產(chǎn)品、安全產(chǎn)品的型號、數(shù)量、配置、運(yùn)行狀態(tài)等資料；應(yīng)用系統(tǒng)名稱、功能、業(yè)務(wù)類型、交易量、交易特征等信息；現(xiàn)有網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)及其相關(guān)資料；業(yè)務(wù)流程、邏輯流程等資料；計算機(jī)系統(tǒng)的漏洞信息；現(xiàn)有安全機(jī)制及規(guī)劃目標(biāo)；項(xiàng)目文檔、工程文檔；與其它公司的合作信息、合同；其他需要BM的信息資料。對分析的過程數(shù)據(jù)和結(jié)果數(shù)據(jù)嚴(yán)格BM。BM的責(zé)任所有人員必須按要求從事項(xiàng)目的實(shí)施工作，并將工程實(shí)施相關(guān)資料交保存。分析人員必須遵守國家的有關(guān)制度及的BM協(xié)議，在職或離職后均不得泄漏秘密內(nèi)容（包括上述所列所有BM款項(xiàng)）給任何其他單位和個人，不得利用此數(shù)據(jù)進(jìn)行非法操作（如侵害網(wǎng)絡(luò)的行為）。重點(diǎn)網(wǎng)絡(luò)安全保障時期保障服務(wù)重保服務(wù)內(nèi)容說明重保服務(wù)內(nèi)容：我司組織不少于4人的現(xiàn)場服務(wù)組到xx甲方基地開展2024年甲方網(wǎng)絡(luò)安全保障，負(fù)責(zé)2024年國慶節(jié)（重要單位75周年）10天、重要單位回歸紀(jì)念日5天、重要單位回歸紀(jì)念日5天、HW行動20天以及其他重要時段20天，共計60天，在甲方現(xiàn)場實(shí)施24小時現(xiàn)場保障工作，確保辦公網(wǎng)絡(luò)、生產(chǎn)網(wǎng)絡(luò)、視頻網(wǎng)絡(luò)平穩(wěn)運(yùn)行，期間完成甲方全域弱口令檢查、互聯(lián)網(wǎng)暴露資產(chǎn)自查、資產(chǎn)安全評估、敏感信息泄露探測、漏洞掃描及治理、安全配置檢查、入侵痕跡排查、網(wǎng)絡(luò)安全應(yīng)急演練等工作。重保服務(wù)具體執(zhí)行流程：1、在重點(diǎn)網(wǎng)絡(luò)安全保障時期開始以前，派駐安全專家到甲方現(xiàn)場按甲方要求為甲方內(nèi)部網(wǎng)絡(luò)進(jìn)行安全評估：包括但不限于全網(wǎng)信息資產(chǎn)梳理核對、網(wǎng)絡(luò)架構(gòu)分析、安全域弱口令檢查、互聯(lián)網(wǎng)暴露資產(chǎn)自查、資產(chǎn)安全評估、敏感信息泄露探測、漏洞掃描及治理、安全配置檢查、入侵痕跡排查、網(wǎng)絡(luò)安全應(yīng)急演練，最終按照甲方要求的格式、數(shù)量等標(biāo)準(zhǔn)形成詳細(xì)文檔資料，針對發(fā)現(xiàn)的信息系統(tǒng)的安全漏洞等出具經(jīng)過人工驗(yàn)證的分析報告及相應(yīng)的具有可操作性處理建議。重點(diǎn)網(wǎng)絡(luò)安全保障時期事前須交付全網(wǎng)信息資產(chǎn)清單表、網(wǎng)絡(luò)架構(gòu)分析報告、經(jīng)人工驗(yàn)證的安全漏洞檢測報告及漏洞修復(fù)建議、基線配置核查報告、安全滲透測試報告、漏洞加固記錄、安全應(yīng)急演練報告、安全漏洞復(fù)測報告等。2、在重點(diǎn)網(wǎng)絡(luò)安全保障時期召開期間，派駐4名安全專家（7*24小時方式組織不少于4人輪班值守）到甲方現(xiàn)場提供安全保障值守服務(wù)，對指定的保障目標(biāo)進(jìn)行現(xiàn)場值守、24小時安全應(yīng)急響應(yīng)，按甲方要求巡查相關(guān)安全設(shè)備、系統(tǒng)的運(yùn)行狀態(tài)，及時處置網(wǎng)絡(luò)安全事件，確保保障目標(biāo)的安全穩(wěn)定運(yùn)行。我司安全專家具有符合安全行業(yè)標(biāo)準(zhǔn)的專業(yè)資質(zhì)證書和專業(yè)能力素養(yǎng)，同時與甲方簽訂項(xiàng)目BM協(xié)議和安全承諾書。值守時間以招標(biāo)文件約定為2024年國慶節(jié)（重要單位75周年）10天、重要單位回歸紀(jì)念日5天、重要單位回歸紀(jì)念日5天、HW行動20天以及其他重要時段20天，共計60天；合同簽訂后以甲方具體需求為準(zhǔn)；在重點(diǎn)網(wǎng)絡(luò)安全保障時期召開期間，我司完全按甲方需求派駐安全專家到甲方現(xiàn)場提供安全值守保障，每天提交簽到表及值守日報。重保期間當(dāng)出現(xiàn)安全異常事件時（如安全系統(tǒng)出現(xiàn)異常告警、包括但不限于通過安全系統(tǒng)發(fā)現(xiàn)安全漏洞等），應(yīng)當(dāng)于15分鐘內(nèi)及時反饋給甲方工作人員，并按照要求生成安全事件通報并配合甲方進(jìn)一步處置安全事件。3、對甲方在重點(diǎn)網(wǎng)絡(luò)安全保障時期期間的網(wǎng)絡(luò)安全保障工作進(jìn)行總結(jié)，整理保障工作中的案例和思路，輸出安全保障工作的典型經(jīng)驗(yàn)，進(jìn)行保障工作匯報并進(jìn)行經(jīng)驗(yàn)分享，最終按照甲方要求的格式等標(biāo)準(zhǔn)形成詳細(xì)文檔資料，以及提交重保工作匯報。整體服務(wù)流程：我司依據(jù)重保服務(wù)體系、重保服務(wù)機(jī)制流程、重保服務(wù)團(tuán)隊(duì)、重保服務(wù)應(yīng)急預(yù)案，各工作人員參照章節(jié)內(nèi)容各司其職，循序開展重點(diǎn)網(wǎng)絡(luò)安全保障時期保障服務(wù)。重保服務(wù)體系針對重點(diǎn)網(wǎng)絡(luò)安全保障時期保障服務(wù)，我司專門成立了重保服務(wù)小組，以應(yīng)對一切突發(fā)的事情。應(yīng)急小組由我司各類技術(shù)人員組成。將事情分為：嚴(yán)重、緊急，二類情況，根據(jù)不同情況我方啟動后備組，同時調(diào)動我方可控的其他資源，經(jīng)過應(yīng)急流程，啟動相應(yīng)的應(yīng)急計劃，保證快速響應(yīng)，迅速解決問題。

項(xiàng)目重保服務(wù)應(yīng)急事件處置流程圖

重保服務(wù)組織架構(gòu)重保服務(wù)組織架構(gòu)說明：（1）領(lǐng)導(dǎo)小組：成員組成：采購人相關(guān)項(xiàng)目負(fù)責(zé)人主持。工作職責(zé)：負(fù)責(zé)領(lǐng)導(dǎo)、指揮和協(xié)調(diào)應(yīng)急處置工作的開展，向上級領(lǐng)導(dǎo)和有關(guān)部門匯報重保服務(wù)工作開展情況。（2）重保服務(wù)小組(含我司技術(shù)人員、售后服務(wù)人員、原廠商技術(shù)支撐人員)：組長:我司項(xiàng)目經(jīng)理成員組成：原廠商技術(shù)支撐人員、我司技術(shù)支撐人員。工作職責(zé)：負(fù)責(zé)整體的項(xiàng)目溝通、重保服務(wù)響應(yīng)、人員籌備、任務(wù)分工、分析研判、防護(hù)監(jiān)測、應(yīng)急處置、安全整改、事件匯報等工作。我司信息技術(shù)有限公司重保服務(wù)團(tuán)隊(duì)職責(zé)與分工如下所示：我司信息技術(shù)有限公司項(xiàng)目角色主要職責(zé)人員配置重保服務(wù)保障小組項(xiàng)目經(jīng)理具體領(lǐng)導(dǎo)本項(xiàng)目重保服務(wù)工作的開展，直接向公司匯報項(xiàng)目情況，負(fù)責(zé)甲方的安全服務(wù)內(nèi)容及服務(wù)執(zhí)行等項(xiàng)目溝通協(xié)調(diào)，負(fù)責(zé)公司內(nèi)部項(xiàng)目組的溝通協(xié)調(diào)負(fù)責(zé)制定重保安全服務(wù)計劃、任務(wù)分配、服務(wù)過程管理控制、服務(wù)報告審核與匯編、服務(wù)情況匯報、技術(shù)把關(guān)、人員考評、服務(wù)持續(xù)改進(jìn)等我司內(nèi)部配置1名專員，鄒工。重保服務(wù)保障小組現(xiàn)場技術(shù)支撐人員組長職責(zé)：對整體重保安全服務(wù)工作負(fù)責(zé)，負(fù)責(zé)安全服務(wù)執(zhí)行計劃和安全服務(wù)報告編制、安全服務(wù)檔案管理、現(xiàn)場安全服務(wù)人員培訓(xùn)，參與安全服務(wù)任務(wù)執(zhí)行，并提供技術(shù)支持成員職責(zé)：負(fù)責(zé)重保值守工作。我司內(nèi)部配置4名專員，吳工（技術(shù)負(fù)責(zé)人）、嚴(yán)工、劉工、王工。后臺支持人員我司公司后備支撐服務(wù)組負(fù)責(zé)公司所有項(xiàng)目售后服務(wù)技術(shù)支撐，在需要時對公司項(xiàng)目提供完善的技術(shù)支持和售后服務(wù)，包括但不限于技術(shù)咨詢解答、應(yīng)急響應(yīng)、現(xiàn)場服務(wù)、電話問詢、遠(yuǎn)程支持等。我司公司所有技術(shù)人員安全設(shè)備原廠商技術(shù)支持人員負(fù)責(zé)對現(xiàn)場服務(wù)人員提供二線技術(shù)支持服務(wù)，必要時提供現(xiàn)場技術(shù)服務(wù)。重保服務(wù)團(tuán)隊(duì)多年的安全服務(wù)支持經(jīng)驗(yàn)積累，我司建立了一套完整的重保服務(wù)體系，全面的服務(wù)內(nèi)容，詳細(xì)的服務(wù)流程，深厚的服務(wù)經(jīng)驗(yàn)和一個優(yōu)秀的服務(wù)團(tuán)隊(duì)。針對本項(xiàng)目，我司成立專門的重保服務(wù)團(tuán)隊(duì)為本項(xiàng)目提供優(yōu)質(zhì)服務(wù)和有力保障。重保服務(wù)支持在服務(wù)過程中的具體職責(zé)是：1）負(fù)責(zé)落實(shí)項(xiàng)目重保服務(wù)范圍內(nèi)各項(xiàng)重保服務(wù)，并按服務(wù)內(nèi)容輸出相關(guān)文檔資料；2）跟蹤各項(xiàng)服務(wù)內(nèi)容的執(zhí)行進(jìn)度和情況，確保服務(wù)按預(yù)定目標(biāo)和計劃執(zhí)行；3）項(xiàng)目范圍內(nèi)安全設(shè)備出現(xiàn)故障及應(yīng)急處理，對返修設(shè)備緊密跟蹤，確保盡快到達(dá)；4）負(fù)責(zé)在應(yīng)急支撐完成后與用戶或用戶指定人員進(jìn)行知識傳遞和培訓(xùn)。6）負(fù)責(zé)用戶突發(fā)事件的應(yīng)急響應(yīng)與保障工作，項(xiàng)目經(jīng)理負(fù)責(zé)總體牽頭，協(xié)協(xié)調(diào)我司的相關(guān)人員進(jìn)行解決。7) 負(fù)責(zé)制定《重保服務(wù)服務(wù)方案》、《重保服務(wù)應(yīng)急預(yù)案》；8) 對指定范圍內(nèi)的應(yīng)用系統(tǒng)、網(wǎng)絡(luò)、安全監(jiān)測與防護(hù)設(shè)備相關(guān)資產(chǎn)進(jìn)行全面梳理和安全檢查，摸清網(wǎng)絡(luò)安全現(xiàn)狀、發(fā)現(xiàn)安全漏洞、弱點(diǎn)和不完善的策略設(shè)置；排查整體網(wǎng)絡(luò)中的安全薄弱點(diǎn)，對薄弱點(diǎn)進(jìn)行安全整改或提出安全整改建議。9 重保服務(wù)工作期間利用甲方已有的安全防護(hù)設(shè)施（比如：防火墻、IPS、安全審計、日志審計系統(tǒng)、主機(jī)加固軟件、防病毒軟件）對網(wǎng)絡(luò)攻擊行為進(jìn)行監(jiān)測、分析、預(yù)警和處置。10) 依據(jù)《重保服務(wù)預(yù)案》，負(fù)責(zé)重保服務(wù)工作期間的安全事件的應(yīng)急響應(yīng)和處置。11) 負(fù)責(zé)對本次重保服務(wù)工作中的重要事件進(jìn)行每日匯報，重保服務(wù)工作結(jié)束后進(jìn)行總結(jié)，編寫總結(jié)報告。重保服務(wù)機(jī)制流程（一）風(fēng)險控制機(jī)制采取以下措施對項(xiàng)目中的風(fēng)險進(jìn)行監(jiān)控，以防止危及項(xiàng)目重大事故的風(fēng)險發(fā)生。建立并及時更新項(xiàng)目風(fēng)險列表及風(fēng)險排序。項(xiàng)目管理人員隨時關(guān)注與關(guān)鍵風(fēng)險相關(guān)因素的變化情況，及時決定何時、采用何種風(fēng)險應(yīng)對措施。隨時關(guān)注風(fēng)險應(yīng)對措施（規(guī)避、減輕、轉(zhuǎn)移）實(shí)施的效果，對殘余風(fēng)險進(jìn)行評估。建立報告機(jī)制，及時將項(xiàng)目中存在的問題反映到項(xiàng)目經(jīng)理或項(xiàng)目領(lǐng)導(dǎo)層。定期召集項(xiàng)目干系人召開項(xiàng)目會議，對風(fēng)險狀況進(jìn)行評估，并通過各方面對項(xiàng)目實(shí)施的反應(yīng)來發(fā)現(xiàn)新風(fēng)險。（二）現(xiàn)場重保服務(wù)機(jī)制重保服務(wù)防護(hù)前期階段派駐安全專家到甲方現(xiàn)場按甲方要求為甲方內(nèi)部網(wǎng)絡(luò)進(jìn)行安全評估：包括但不限于全網(wǎng)信息資產(chǎn)梳理核對、網(wǎng)絡(luò)架構(gòu)分析、安全域弱口令檢查、互聯(lián)網(wǎng)暴露資產(chǎn)自查、資產(chǎn)安全評估、敏感信息泄露探測、漏洞掃描及治理、安全配置檢查、入侵痕跡排查、網(wǎng)絡(luò)安全應(yīng)急演練，最終按照甲方要求的格式、數(shù)量等標(biāo)準(zhǔn)形成詳細(xì)文檔資料，針對發(fā)現(xiàn)的信息系統(tǒng)的安全漏洞等出具經(jīng)過人工驗(yàn)證的分析報告及相應(yīng)的具有可操作性處理建議。重點(diǎn)網(wǎng)絡(luò)安全保障時期事前須交付全網(wǎng)信息資產(chǎn)清單表、網(wǎng)絡(luò)架構(gòu)分析報告、經(jīng)人工驗(yàn)證的安全漏洞檢測報告及漏洞修復(fù)建議、基線配置核查報告、安全滲透測試報告、漏洞加固記錄、安全應(yīng)急演練報告、安全漏洞復(fù)測報告等。重保服務(wù)防護(hù)值守階段在重保服務(wù)階段，提供對指定的保障目標(biāo)進(jìn)行現(xiàn)場值守、24小時安全應(yīng)急響應(yīng)服務(wù)，重點(diǎn)加強(qiáng)防護(hù)過程中的安全保障工作，各崗位人員（參見重保服務(wù)團(tuán)隊(duì)和重保服務(wù)組織架構(gòu)）各司其職，從攻擊監(jiān)測、攻擊分析、攻擊阻斷、漏洞修復(fù)和追蹤溯源、售后服務(wù)支撐等方面全面加強(qiáng)重保服務(wù)期間的安全防護(hù)效果。重保服務(wù)監(jiān)測階段當(dāng)重保服務(wù)工作正式開始后，重保服務(wù)工作小組組織各小組人員，根據(jù)崗位職責(zé)開展安全事件監(jiān)測工作。重保服務(wù)工作小組借助安全防護(hù)設(shè)備（Web防火墻、IPS、入侵檢測、蜜罐、態(tài)勢感知、網(wǎng)站監(jiān)測、主機(jī)加固軟件、動態(tài)應(yīng)用防護(hù)平臺等）開展攻擊安全事件監(jiān)測，對發(fā)現(xiàn)的攻擊行為進(jìn)行確認(rèn)，詳細(xì)記錄攻擊相關(guān)數(shù)據(jù)，為后續(xù)處置工作開展提供信息。事件分析與處置重保服務(wù)工作小組根據(jù)監(jiān)測到安全事件，協(xié)同進(jìn)行分析和確認(rèn)。如有必要可通過主機(jī)日志、網(wǎng)絡(luò)設(shè)備日志、入侵檢測設(shè)備日志等信息對攻擊行為進(jìn)行分析，以找到攻擊者的源IP地址、攻擊服務(wù)器IP地址、郵件地址等信息，并對攻擊方法、攻擊方式、攻擊路徑和工具等進(jìn)行分析研判。重保服務(wù)工作小組根據(jù)分析結(jié)果，應(yīng)采取相應(yīng)的處置措施，來確保目標(biāo)系統(tǒng)安全。通過遏制攻擊行為，使其不再危害目標(biāo)系統(tǒng)和網(wǎng)絡(luò)，依據(jù)攻擊行為的具體特點(diǎn)實(shí)時制定攻擊阻斷的安全措施，詳細(xì)記錄攻擊阻斷操作。重保服務(wù)工作小組對業(yè)務(wù)穩(wěn)定性進(jìn)行監(jiān)測并及時通報相關(guān)信息。重保服務(wù)工作小組應(yīng)針對可能產(chǎn)生的攻擊事件，根據(jù)已經(jīng)制定的重保服務(wù)預(yù)案進(jìn)行協(xié)同處置，同時在明確攻擊源和攻擊方式后，保證正常業(yè)務(wù)運(yùn)行的前提下，可以通過調(diào)整安全設(shè)備策略的方式對攻擊命令或IP進(jìn)行阻斷，分析確認(rèn)攻擊嘗試?yán)玫陌踩┒矗_認(rèn)安全漏洞的影響，制定漏洞修復(fù)方案并及時修復(fù)。防護(hù)總結(jié)與整改全面總結(jié)本次重保服務(wù)各階段的工作情況，包括組織隊(duì)伍、攻擊情況、安全防護(hù)措施、監(jiān)測手段、響應(yīng)和協(xié)同處置等，形成總結(jié)報告并向甲方單位匯報。針對重保服務(wù)期間存在的脆弱點(diǎn)，開展整改工作或提出安全整改建議，進(jìn)一步提高目標(biāo)系統(tǒng)的安全防護(hù)能力。重保服務(wù)應(yīng)急預(yù)案重保服務(wù)預(yù)案為保障重保服務(wù)應(yīng)急事件處置工作中，甲方單位方在發(fā)現(xiàn)各類突發(fā)事件時，重保服務(wù)團(tuán)隊(duì)能按規(guī)范流程進(jìn)行各項(xiàng)應(yīng)急處置，同時也能驗(yàn)證各方面人員應(yīng)對應(yīng)急過程中的組織能力和應(yīng)急處置能力，為提高應(yīng)用系統(tǒng)的防護(hù)和應(yīng)急水平，特此制定本重保服務(wù)預(yù)案流程。一、工作目標(biāo)本應(yīng)急流程主要是在應(yīng)急處置期間，針對安全設(shè)備故障、業(yè)務(wù)系統(tǒng)在遭受攻擊時，通過監(jiān)測發(fā)現(xiàn)、分析研判、處置上報等環(huán)節(jié)有效抑制應(yīng)急事件發(fā)生及影響擴(kuò)散，保障業(yè)務(wù)系統(tǒng)和網(wǎng)絡(luò)環(huán)境安全穩(wěn)定的運(yùn)行。二、組織及職責(zé)重保服務(wù)組織架構(gòu)重保服務(wù)組織架構(gòu)說明：見上述重保服務(wù)體系及重保服務(wù)團(tuán)隊(duì)。工作內(nèi)容及流程結(jié)合單位實(shí)際工作情況，將應(yīng)急流程工作分為三個階段：監(jiān)測發(fā)現(xiàn)階段、分析階段和處置階段。具體應(yīng)急流程圖如下：重保服務(wù)過程中，依據(jù)重保服務(wù)任務(wù)的不同開展各項(xiàng)應(yīng)急工作，如下所示：（一）被動響應(yīng)用戶的重保服務(wù)需求重保服務(wù)工作小組，接受重保服務(wù)需求。項(xiàng)目經(jīng)理依據(jù)需求進(jìn)行人員安排和任務(wù)分配。即刻響應(yīng)，提供專職工程師進(jìn)行重保服務(wù)支撐，整體事件處置過程參照應(yīng)急流程圖執(zhí)行。重保服務(wù)工作小組提供重保服務(wù)，包括但不限于現(xiàn)場處置服務(wù)、遠(yuǎn)程支持、電話聯(lián)系等。應(yīng)急工作處置完成后輸出相應(yīng)的事件報告。（二）用戶現(xiàn)場重保服務(wù)服務(wù)（重大節(jié)假日專人現(xiàn)場重保服務(wù)）1.監(jiān)測發(fā)現(xiàn)重保服務(wù)工作小組應(yīng)按照職責(zé)開展全網(wǎng)的監(jiān)測和分析工作，具體內(nèi)容如下：重保服務(wù)工作小組利用防火墻、WAF、IPS、安全審計、主機(jī)加固軟件等安全監(jiān)測設(shè)備對攻擊行為進(jìn)行識別，同時對主機(jī)、應(yīng)用系統(tǒng)、中間件和數(shù)據(jù)庫的日志進(jìn)行人工分析及時發(fā)現(xiàn)識別可疑攻擊。重保服務(wù)工作小組通過分析確定是攻擊行為（例如：后門上傳、口令爆破）且未入侵成功，則在防火墻、WAF、網(wǎng)絡(luò)設(shè)備上進(jìn)行阻斷。2.分析研判重保服務(wù)工作小組經(jīng)綜合分析判斷為可疑入侵成功事件，將分析結(jié)果和事件上報領(lǐng)導(dǎo)小組。3.處置措施重保服務(wù)工作小組綜合分析確認(rèn)事件嚴(yán)重程度，為領(lǐng)導(dǎo)小組是否啟動重保服務(wù)預(yù)案提供決策支持。領(lǐng)導(dǎo)小組根據(jù)重保服務(wù)工作小組上報的事件和決策支持信息，決定啟動相應(yīng)應(yīng)急預(yù)案并通知重保服務(wù)工作小組開展安全事件應(yīng)急處置工作。重保服務(wù)工作小組根據(jù)事件性質(zhì)按照相應(yīng)應(yīng)急預(yù)案開展應(yīng)急處置工作。安全事件處置完成后，重保服務(wù)工作小組將事件處置結(jié)果上報領(lǐng)導(dǎo)小組。重保服務(wù)-全域弱口令檢查弱口令，指的是容易被猜測或破解的密碼。在現(xiàn)代信息系統(tǒng)安全中，弱口令是許多安全事件的主要原因之一。一個強(qiáng)大的密碼策略對于確保系統(tǒng)安全至關(guān)重要。弱口令檢測的目的是識別、評估和更改不安全的密碼，從而減少系統(tǒng)被非法訪問的風(fēng)險。弱口令常見類型1.簡單易記型:如"123456"、"password"、"qwerty"等。2.個人信息型:如生日、名字、電話號碼等,3.字典型:存在于常用詞匯表中的密碼。4.重復(fù)字符型:如"aaaaaa”、"111111"等。5.順序字符型:如"abcd1234"、"qwertyuiop“等。檢測方法與工具檢測弱口令的常用方法包括:1.密碼強(qiáng)度檢測:通過正則表達(dá)式或?qū)ｉT的密碼強(qiáng)度檢測算法，評估密碼的復(fù)雜度。2.利用暴力破解:嘗試所有可能的密碼組合，直到找到正確的密碼。3.字典攻擊:使用預(yù)定義的字典文件，嘗試其中的每個密碼。4.工具如JohntheRipper、Hydra、Medusa或第三方商業(yè)設(shè)備等，可以幫助檢測弱口令。弱口令檢查方法本項(xiàng)目重保服務(wù)項(xiàng)目組主要借助第三方工具進(jìn)行全網(wǎng)大規(guī)模弱口令的常態(tài)化檢查工作，第三方工具主要采用提取口令文件的方式進(jìn)行破解，對用戶網(wǎng)絡(luò)和系統(tǒng)基本沒有影響。工具內(nèi)置多種加密算法和豐富的破解字典，能夠在不影響業(yè)務(wù)系統(tǒng)運(yùn)行的同時，快速有效地進(jìn)行弱口令核查工作。能根據(jù)自身情況制定定時任務(wù)和周期任務(wù)。弱口令核查工具主要功能介紹弱口令核查弱口令核查模塊用于設(shè)置和弱口令稽核相關(guān)的配置，主要包括：快速核查、任務(wù)核查、弱口令跟蹤、字典管理、口令字典組管理、弱口令規(guī)則管理、腳本管理、加密算法管理、弱口令報表、告警配置功能。快速核查快速核查基于口令文件解析方式進(jìn)行弱口令核查，分為在線核查和離線核查兩種模式，不依賴于系統(tǒng)基礎(chǔ)管理中的帳號、資源等數(shù)據(jù)，隨用隨建隨查，核查結(jié)果也不與弱口令跟蹤及報表進(jìn)行關(guān)聯(lián)，支持核查結(jié)果導(dǎo)出，如下圖所示：任務(wù)核查任務(wù)核查包括口令文件解析和口令猜測兩種方式，每一個核查任務(wù)可以關(guān)聯(lián)單個資源或多個資源進(jìn)行核查，必須使用系統(tǒng)基礎(chǔ)管理中的帳號和資源數(shù)據(jù)?？诹钗募馕龊瞬榉绞椒譃樵诰€獲取和離線導(dǎo)入兩種模式，支持周期任務(wù)、定時任務(wù)和即時任務(wù)；在線核查適合對與弱口令核查系統(tǒng)網(wǎng)絡(luò)可達(dá)的在網(wǎng)設(shè)備進(jìn)行弱口令檢查，幫助全面、準(zhǔn)確發(fā)現(xiàn)在網(wǎng)設(shè)備弱口令設(shè)置情況；離線核查功能作為在線檢查功能的有力補(bǔ)充，適合對與弱口令核查系統(tǒng)網(wǎng)絡(luò)不可達(dá)的設(shè)備進(jìn)行弱口令檢查，如下圖所示：兩種檢查模式采用了如下的具體檢查流程：在線檢查：1) 探針連接被檢查設(shè)備，讀取口令加密文件到采集器本地；2) 探針退出被檢查設(shè)備，系統(tǒng)進(jìn)行本地破解；3) WEB服務(wù)器輸出在線弱口令檢查結(jié)果；離線檢查：1) 檢查設(shè)備上執(zhí)行獲取密碼腳本，得到離線檢查原始結(jié)果；2) 弱口令核查系統(tǒng)導(dǎo)入離線檢查原始結(jié)果，進(jìn)行本地破解；3)WEB服務(wù)器輸出離線弱口令檢查結(jié)果；任務(wù)執(zhí)行時序如下圖所示：定義任務(wù)后調(diào)用資源管理獲取資產(chǎn)IP和帳號，腳本管理根據(jù)資產(chǎn)信息組裝獲取文件腳本和破解腳本，字典管理根據(jù)選擇的字典級別組裝字典文件，把這些數(shù)據(jù)交給破解模塊進(jìn)行執(zhí)行，執(zhí)行過程中定時更新進(jìn)度狀態(tài)給弱口令稽核模塊供操作者跟進(jìn)。 口令文件解析支持資源類型：Linux主機(jī)、windows主機(jī)、Unix主機(jī)和數(shù)據(jù)庫?？诹畈聹y即使用帳號字典和口令字典模擬登錄猜測方式進(jìn)行弱口令核查，對于無法提供登錄資源的帳號/密碼以及口令文件的用戶可以使用口令猜測進(jìn)行弱口令核查。口令猜測按協(xié)議支持：SSH、RDP(smbnt445端口)、FTP、SFTP、MySQL、Oracle、PostgreSQL、SQLServer。弱口令跟蹤弱口令跟蹤包括跟蹤流程和關(guān)聯(lián)任務(wù)，任務(wù)核查結(jié)果進(jìn)入弱口令跟蹤，可詳細(xì)看到弱口令賬號的整改情況以及當(dāng)前處理流程情況，如下圖所示：可通過關(guān)聯(lián)任務(wù)查看該資源在歷次任務(wù)中的之情情況，動態(tài)對比，如下圖所示：字典管理傳統(tǒng)的弱口令檢查方式大多采用暴力破解方式，即采用窮舉法，按照一定的規(guī)則和算法，將密碼進(jìn)行逐個推算直到找出真正的密碼為止，這導(dǎo)致了暴力破解的過程需要很長的時間。為了提高暴力破解效率，一般采用密碼字典、密碼組合規(guī)則或者兩者結(jié)合的方式提高破解效率。通過在密碼字典中，放入常見的弱口令信息，自行設(shè)置的口令組成信息（密碼組合一般按照數(shù)字型、大寫字母、小寫字母、特殊字符、用戶自定義字符等字符類型進(jìn)行組合）。但一般的密碼字典、密碼組合規(guī)則由于缺乏維護(hù)和自身所應(yīng)用行業(yè)特點(diǎn)，導(dǎo)致破解效率及弱口令發(fā)現(xiàn)率很低。由于設(shè)備量和帳號數(shù)量巨大，采用傳統(tǒng)暴力破解方式的弱口令檢查仍將需要投入眾多的服務(wù)器設(shè)備和耗費(fèi)很長的時間，不能支持常態(tài)化的弱口令檢測需要。弱口令核查系統(tǒng)對字典庫進(jìn)行了相應(yīng)的優(yōu)化，有效提高了弱口令的發(fā)現(xiàn)率和破解效率，系統(tǒng)提供了默認(rèn)字典、移動字典、電信字典等三類字典。用戶也可以生成自己的密碼字典，并根據(jù)具體情況組成不同的字典組，以便在執(zhí)行檢查任務(wù)時調(diào)用。弱口令字典組管理字典組管理提供對弱口令字典組與字典關(guān)聯(lián)匹配，自定義分組管理，并在弱口令稽核時可選擇對應(yīng)的字典組執(zhí)行任務(wù)。弱口令規(guī)則管理弱口令規(guī)則管理根據(jù)已有的資源賬號、核查弱口令結(jié)果以及字典進(jìn)行增量和減量變化，生成相應(yīng)規(guī)則并動態(tài)生成口令字典執(zhí)行弱口令核查任務(wù)。加密算法管理加密算法管理提供對已支持破解弱口令的系統(tǒng)資源類型的加密算法的集中管理，根據(jù)資源類型匹配加密算法，在弱口令稽核時根據(jù)此加密算法進(jìn)行密碼破解。加密算法還支持對應(yīng)用資源算法的增加，需要用戶提供加密算法和密鑰，研發(fā)改造成jar包后頁面添加應(yīng)用資源加密算法，之后可進(jìn)行應(yīng)用資源離線核查。弱口令報表弱口令核查系統(tǒng)內(nèi)置了多種報表：業(yè)務(wù)系統(tǒng)報表、資源報表、資源負(fù)責(zé)人報表、字典命中率報表、檢測任務(wù)報表、帳號信息報表。報表顯示了弱口令累計數(shù)量排名、弱口令趨勢圖等內(nèi)容，從不同維度展現(xiàn)了系統(tǒng)弱口令的情況。重保服務(wù)-互聯(lián)網(wǎng)暴露資產(chǎn)自查對于企業(yè)來說，隨著數(shù)字化轉(zhuǎn)型道路的持續(xù)推進(jìn)，除了已被納管的安全資產(chǎn)存在的不當(dāng)暴露風(fēng)險，更多的風(fēng)險和隱患來自于不受管控的未知資產(chǎn)，或稱為“影子資產(chǎn)”，即指那些不在企業(yè)和組織IT部門掌握下的設(shè)備、軟件及服務(wù)等。這類資產(chǎn)往往是攻擊者關(guān)注的重點(diǎn)目標(biāo)，一旦被拿下，就可成為突破企業(yè)防線的入口，也為企業(yè)的互聯(lián)網(wǎng)暴露面管理帶來諸多難題?；ヂ?lián)網(wǎng)暴露資產(chǎn)自查方法本項(xiàng)目重保服務(wù)項(xiàng)目組主要借助第三方工具通過人工核對的方式對甲方的互聯(lián)網(wǎng)暴露資產(chǎn)進(jìn)行探測和自查。主要方法如下：主動探測通過提取的甲方核心關(guān)鍵字組合，包括名稱、域名、icp、證書、icon等等，結(jié)合大網(wǎng)測繪、流量分析、定向爬蟲等技術(shù)進(jìn)行互聯(lián)網(wǎng)資產(chǎn)暴露面風(fēng)險探查，包括影子資產(chǎn)風(fēng)險、品牌風(fēng)險、數(shù)據(jù)泄露風(fēng)險、已知資產(chǎn)的脆弱性風(fēng)險、已下線系統(tǒng)復(fù)活風(fēng)險等，以自動篩選為主，輔助人工確認(rèn)，輸出風(fēng)險清單，并開展后續(xù)的閉環(huán)處置收斂。（1）在全互聯(lián)網(wǎng)范圍內(nèi)開展影子資產(chǎn)探查。基于甲方相關(guān)的關(guān)鍵詞線索與網(wǎng)頁內(nèi)容、域名等特征的結(jié)合，通過全球互聯(lián)網(wǎng)測繪、信息挖掘、資產(chǎn)情報等進(jìn)行探查發(fā)現(xiàn)，對資產(chǎn)發(fā)現(xiàn)結(jié)果進(jìn)行信任度、歸屬、威脅評估，識別暴露在互聯(lián)網(wǎng)上可能與甲方相關(guān)的資產(chǎn)，包括應(yīng)用系統(tǒng)、APP、微信公眾號、微信小程序等，開展調(diào)查并尋找歸屬；同時協(xié)同甲方開展未知資產(chǎn)、業(yè)務(wù)公示機(jī)制，配合進(jìn)行認(rèn)領(lǐng)和資產(chǎn)業(yè)務(wù)確認(rèn)，進(jìn)而確認(rèn)資產(chǎn)類型，如自建、托管、三方、仿冒等，后續(xù)根據(jù)不同的資產(chǎn)類型進(jìn)行不同的處置，并及時補(bǔ)充至安全資產(chǎn)庫。（2）在已知范圍內(nèi)的互聯(lián)網(wǎng)資產(chǎn)風(fēng)險監(jiān)測。通過主動探測技術(shù)排查高危端口、高危敏感服務(wù)和網(wǎng)站組件信息暴露的敏感鏈接等風(fēng)險情況；通過探活等方式識別IP及端口資產(chǎn)的變更情況，如IP上線/下線、端口變動，形成IP、端口資產(chǎn)變更時間線等；通過機(jī)器學(xué)習(xí)、圖片識別、特征庫、云沙箱等技術(shù)對相關(guān)互聯(lián)網(wǎng)網(wǎng)站進(jìn)行內(nèi)容安全監(jiān)測，及時發(fā)現(xiàn)網(wǎng)站存在的篡改、涉黃涉政涉恐、死鏈、惡意鏈接、風(fēng)險外鏈、異常狀態(tài)、網(wǎng)站可用性、掛馬、漏洞等風(fēng)險內(nèi)容，及時發(fā)現(xiàn)上述網(wǎng)站暴露風(fēng)險后，結(jié)合人工驗(yàn)證并快速收斂。（3）系統(tǒng)存活情況跟蹤監(jiān)測。針對在互聯(lián)網(wǎng)暴露資產(chǎn)探測結(jié)果中存在的各項(xiàng)甲方信息化資產(chǎn)，建立一種協(xié)同甲方針對資產(chǎn)信息的定期核查工作機(jī)制。對互聯(lián)網(wǎng)異常資產(chǎn)（二次上線、未知資產(chǎn)、測試頁面、遠(yuǎn)程通道等）進(jìn)行及時告警和處置，最大化的收斂甲方互聯(lián)網(wǎng)暴露資產(chǎn)，收斂入口加強(qiáng)互聯(lián)網(wǎng)資產(chǎn)的攻擊面管理。重保服務(wù)-資產(chǎn)安全評估信息安全風(fēng)險永遠(yuǎn)存在，安全產(chǎn)品不能解決所有的問題。信息安全工作本身是一個過程，它的本質(zhì)是風(fēng)險管理。風(fēng)險管理工作不僅僅是一個簡單的理論、方法，更需要在實(shí)踐中檢驗(yàn)發(fā)展。強(qiáng)調(diào)安全必須為業(yè)務(wù)服務(wù)，以最佳實(shí)踐作為信息安全工作的落腳點(diǎn)，通過有效的安全服務(wù)，讓安全技術(shù)有效地發(fā)揮作用。安全評估服務(wù)是綜合國內(nèi)外相關(guān)標(biāo)準(zhǔn)與業(yè)界最佳實(shí)踐，識別和評估客戶信息資產(chǎn)重要性、威脅頻率、脆弱性嚴(yán)重程度以及已有安全措施的有效性等要素，為客戶清晰的展現(xiàn)信息系統(tǒng)所面臨的安全風(fēng)險，并提供公正、客觀數(shù)據(jù)作為決策參考，為下一步控制和降低安全風(fēng)險、改善安全狀況、實(shí)施信息系統(tǒng)的風(fēng)險管理提供依據(jù)。資產(chǎn)安全評估方法本項(xiàng)目重保服務(wù)項(xiàng)目組主要通過人工安全評估的方式對甲方的資產(chǎn)進(jìn)行全方位安全評估：服務(wù)內(nèi)容安全評估服務(wù)由資產(chǎn)評估、威脅評估、脆弱性評估、風(fēng)險綜合分析、風(fēng)險處置計劃五個模塊組成。安全評估服務(wù)組成模塊資產(chǎn)評估資產(chǎn)是構(gòu)成整個系統(tǒng)的各種元素的組合，它直接的表現(xiàn)了這個系統(tǒng)的業(yè)務(wù)或任務(wù)的重要性，這種重要性進(jìn)而轉(zhuǎn)化為資產(chǎn)應(yīng)具有的保護(hù)價值。此階段輸出成果為《資產(chǎn)賦值列表》資產(chǎn)評估是與風(fēng)險評估相關(guān)聯(lián)的重要任務(wù)之一，資產(chǎn)評估主要是對資產(chǎn)進(jìn)行相對估價，而其估價準(zhǔn)則就是依賴于對其影響的分析，主要從BM性、完整性、可用性三方面的安全屬性進(jìn)行影響分析，從資產(chǎn)的相對價值中體現(xiàn)了威脅的嚴(yán)重程度，這樣，威脅評估就成了對資產(chǎn)所受威脅發(fā)生可能性的評估，主要從發(fā)生的可能性、發(fā)生成功的可能性以及發(fā)生成功后的嚴(yán)重性三方面安全屬性進(jìn)行分析；目的是要對組織的歸類資產(chǎn)做潛在價值分析，了解其資產(chǎn)利用、維護(hù)和管理現(xiàn)狀。明確各類資產(chǎn)具備的保護(hù)價值和需要的保護(hù)層次，從而使組織更合理的利用現(xiàn)有資產(chǎn)，更有效地進(jìn)行資產(chǎn)管理，更有針對性的進(jìn)行資產(chǎn)保護(hù)，更有合理性的進(jìn)行新的資產(chǎn)投入。威脅評估威脅是指可能對資產(chǎn)或組織造成損害事故的潛在原因。作為風(fēng)險評估的重要因素，威脅是一個客觀存在的事物，無論對于多么安全的信息系統(tǒng)，它都存在。此階段輸出成果為《威脅賦值列表》。威脅評估采用的方法是問卷調(diào)查、訪談、IDS取樣、日志取樣等。在這一過程中，首先要對組織需要保護(hù)的每一項(xiàng)關(guān)鍵資產(chǎn)進(jìn)行威脅識別。分析威脅源、威脅主體、威脅發(fā)生的概率、威脅的影響及作用的資產(chǎn)，再將威脅進(jìn)行分類處理，并將威脅與資產(chǎn)組進(jìn)行關(guān)聯(lián)分析，根據(jù)威脅等級判定表對威脅進(jìn)行賦值。在威脅評估過程中，應(yīng)根據(jù)資產(chǎn)所處的環(huán)境條件和資產(chǎn)以前遭受威脅損害的情況來判斷，一項(xiàng)資產(chǎn)可能面臨著多個威脅，同樣一個威脅可能對不同的資產(chǎn)造成影響。識別出威脅由誰或什么事物引發(fā)以及威脅影響的資產(chǎn)是什么，即確認(rèn)威脅的主體和客體。脆弱性評估脆弱性是指資產(chǎn)或資產(chǎn)組中能被威脅所利用的弱點(diǎn)，它包括物理環(huán)境、組織機(jī)構(gòu)、業(yè)務(wù)流程、人員、管理、硬件、軟件及通訊設(shè)施等各個方面，這些都可能被各種安全威脅利用來侵害一個組織機(jī)構(gòu)內(nèi)的有關(guān)資產(chǎn)及這些資產(chǎn)所支持的業(yè)務(wù)系統(tǒng)。此階段輸出成果為《脆弱性賦值列表》。脆弱性評估將針對每一項(xiàng)需要保護(hù)的信息資產(chǎn)，找出每一種威脅所能利用的脆弱性，并對脆弱性的嚴(yán)重程度進(jìn)行評估，就是對脆弱性被威脅利用的可能性進(jìn)行評估，最終為其賦相對等級值。在進(jìn)行脆弱性評估時，提供的數(shù)據(jù)應(yīng)該來自于這些資產(chǎn)的擁有者或使用者，來自于相關(guān)業(yè)務(wù)領(lǐng)域的專家以及軟硬件信息系統(tǒng)方面的專業(yè)人員。在評估中，從技術(shù)脆弱性和安全管理脆弱性兩個方面進(jìn)行脆弱性檢查。技術(shù)脆弱性識別主要從物理環(huán)境、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)安全、應(yīng)用系統(tǒng)安全、數(shù)據(jù)安全五個方面進(jìn)行識別，識別的方法主要采用問卷調(diào)查、訪談、工具掃描、人工審計、資料查閱、滲透測試等方式；管理脆弱性主要括安全管理組織、安全管理策略、安全管理制度、人員安全管理、系統(tǒng)運(yùn)維管理（需要時增加系統(tǒng)建設(shè)管理制度）五個方面進(jìn)行識別，識別方法主要是采用問卷調(diào)查、訪談、資料查閱等方式。脆弱性識別完成后，將脆弱性進(jìn)行歸類處理，并與資產(chǎn)進(jìn)行關(guān)聯(lián)分析，再根據(jù)脆弱性等級判定表對資產(chǎn)各類脆弱性進(jìn)行賦值。風(fēng)險綜合分析風(fēng)險是指特定的威脅利用資產(chǎn)的一種或一組脆弱性，導(dǎo)致資產(chǎn)的丟失或損害的潛在可能性，即特定威脅事件發(fā)生的可能性與后果的結(jié)合。風(fēng)險只能預(yù)防、避免、降低、轉(zhuǎn)移和接受，但不可能完全被消滅。在完成資產(chǎn)、威脅和脆弱性的評估后，進(jìn)入安全風(fēng)險的評估階段。在這個過程中，采用最新的方法表述威脅源采用何種威脅方法，利用了系統(tǒng)的何種脆弱性，對哪一類資產(chǎn)，產(chǎn)生了什么樣的影響，并描述采取何種對策來防范威脅，減少脆弱性。風(fēng)險分析可以幫助客戶確定資產(chǎn)所面臨的各類安全風(fēng)險等級，幫助客戶在安全建設(shè)過程中綜合平衡安全風(fēng)險與成本代價；能夠提供有效的信息系統(tǒng)安全加固和改進(jìn)措施建議；能夠?yàn)橐院蟮男畔⑾到y(tǒng)安全規(guī)劃建設(shè)提供依據(jù)和參考；幫助客戶及時發(fā)現(xiàn)和修復(fù)網(wǎng)絡(luò)與信息系統(tǒng)的安全問題，使安全風(fēng)險降低到可以接受并且可以被有效管理的范圍內(nèi)，保障客戶組織內(nèi)信息系統(tǒng)穩(wěn)定運(yùn)行和業(yè)務(wù)連續(xù)性。風(fēng)險分析階段主要對資產(chǎn)所面對威脅、脆弱性進(jìn)行關(guān)聯(lián)分析，分析出資產(chǎn)的安全風(fēng)險等級。該階段主要是利用《資產(chǎn)賦值列表》、《威脅賦值列表》、《脆弱性賦值列表》進(jìn)行資產(chǎn)安全風(fēng)險綜合分析，根據(jù)安全風(fēng)險等級判定表確定各資產(chǎn)的安全風(fēng)險等級，最終形成輸出成果《風(fēng)險評估綜合報告》。風(fēng)險處置計劃風(fēng)險處置目的是為風(fēng)險管理過程中對不同風(fēng)險的直觀比較，以確定組織安全策略。對不可接受的風(fēng)險應(yīng)根據(jù)導(dǎo)致該風(fēng)險的脆弱性制定風(fēng)險處理計劃。此階段輸出成果為《風(fēng)險處置建議》。風(fēng)險處理計劃中應(yīng)明確采取的彌補(bǔ)脆弱性的安全措施、預(yù)期效果、實(shí)施條件、進(jìn)度安排、責(zé)任部門等。安全措施的選擇應(yīng)從管理與技術(shù)兩個方面考慮風(fēng)險處置是一種系統(tǒng)化方法，可通過多種方式實(shí)現(xiàn)：風(fēng)險接受：接受潛在的風(fēng)險并繼續(xù)運(yùn)行信息系統(tǒng)，不對風(fēng)險進(jìn)行處理。風(fēng)險降低：通過實(shí)現(xiàn)安全措施來降低風(fēng)險，從而將脆弱性被威脅源利用；后可能帶來的不利影響最小化；風(fēng)險規(guī)避：不介入風(fēng)險，通過消除風(fēng)險的原因和/或后果來規(guī)避風(fēng)險。風(fēng)險轉(zhuǎn)移：通過使用其它措施來補(bǔ)償損失，從而轉(zhuǎn)移風(fēng)險，如購買保險。風(fēng)險處置階段主要根據(jù)《風(fēng)險評估綜合報告》分析出來的風(fēng)險，并與客戶確定不可接受的安全風(fēng)險的分界線，對不可接受的安全風(fēng)險給出安全加固和改進(jìn)建議，最終形成輸出成果《風(fēng)險處置建議》。風(fēng)險評估范圍方法安全評估服務(wù)主要包括技術(shù)評估和管理評估兩個方面內(nèi)容。技術(shù)評估包括物理環(huán)境、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)安全、應(yīng)用系統(tǒng)安全、數(shù)據(jù)安全五個方面；管理評估包括安全管理組織、安全管理策略、安全管理制度、人員安全管理、系統(tǒng)運(yùn)維管理五個方面，或者在需要時增加系統(tǒng)建設(shè)管理制度的內(nèi)容。（1）技術(shù)評估技術(shù)評估服務(wù)內(nèi)容及方法評估類型評估范圍物理環(huán)境評估評估對象：機(jī)房和辦公建筑物及其配套設(shè)施、設(shè)備、線路以及用電評估內(nèi)容：機(jī)房選址、建筑物的物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應(yīng)、電磁防護(hù)評估方法：現(xiàn)場查看、詢問物理環(huán)境現(xiàn)狀網(wǎng)絡(luò)安全評估對象：網(wǎng)絡(luò)通信設(shè)備（交換機(jī)、路由器等）及網(wǎng)絡(luò)安全設(shè)備（防火墻、入侵檢測、安全審計等）、網(wǎng)絡(luò)通信線路、網(wǎng)絡(luò)通信服務(wù)評估內(nèi)容：網(wǎng)絡(luò)拓?fù)鋱D、vlan劃分、網(wǎng)絡(luò)訪問控制、網(wǎng)絡(luò)設(shè)備防護(hù)、安全審計、邊界完整性檢查、入侵防范、惡意代碼防范評估方法：結(jié)構(gòu)分析、功能分析、安全功能分析、性能分析、白盒測試、黑盒測試、灰盒測試主機(jī)系統(tǒng)安全評估對象：主機(jī)硬件設(shè)備、操作系統(tǒng)（Windows、Linux、Unix）、數(shù)據(jù)庫系統(tǒng)（Oracle、informix、ibmdb2、sqlserver、mysql）以及其他相關(guān)軟件評估內(nèi)容：身份鑒別、訪問控制、安全審計、剩余信息保護(hù)、入侵防范、惡意代碼防范、資源控制評估方法：結(jié)構(gòu)分析、功能分析、安全功能分析、性能分析、白盒測試、黑盒測試、灰盒測試應(yīng)用系統(tǒng)安全評估對象：應(yīng)用系統(tǒng)方面的問題，包括：非法訪問或控制業(yè)務(wù)應(yīng)用系統(tǒng)，非法占用業(yè)務(wù)應(yīng)用系統(tǒng)資源評估內(nèi)容：身份鑒別、訪問控制、安全審計、剩余信息保護(hù)、通信完整性、通信BM性、抗抵賴、軟件容錯、資源控制評估方法：結(jié)構(gòu)分析、功能分析、安全功能分析、性能分析、白盒測試、黑盒測試、灰盒測試數(shù)據(jù)安全評估對象：數(shù)據(jù)存儲和傳播，包括：數(shù)據(jù)泄露、數(shù)據(jù)篡改和破壞、數(shù)據(jù)不可用等評估內(nèi)容：數(shù)據(jù)完整性保護(hù)措施、數(shù)據(jù)BM性保護(hù)措施、備份和恢復(fù)評估方法：通信協(xié)議分析、數(shù)據(jù)破解、數(shù)據(jù)完整性校驗(yàn)（2）管理評估管理評估內(nèi)容及方法評估類型評估范圍安全管理組織評估內(nèi)容：組織在安全管理機(jī)構(gòu)設(shè)置、職能部門設(shè)置、崗位設(shè)置、人員配置等是否合理，分工是否明確，職責(zé)是否清晰，工作是否落實(shí)等評估方法：查看安全管理機(jī)構(gòu)設(shè)置、職能部門設(shè)置、崗位設(shè)置、人員配置等相關(guān)文件，以及安全管理組織相關(guān)活動記錄等文件。安全管理策略評估內(nèi)容：核查安全管理策略的全面性和合理性評估方法：查看是否存在明確的安全管理策略文件，并就安全策略有關(guān)內(nèi)容詢問相關(guān)人員，分析策略的有效性，識別安全管理策略存在的脆弱性安全管理制度評估內(nèi)容：安全管理制度體系的完備程度，制度落實(shí)等方面存在的脆弱性，以及安全管理制度制定與發(fā)布、評審與修訂、廢棄等管理存在的問題。評估方法：審查相關(guān)制度文件完備情況，查看制度落實(shí)的記錄，就制度有關(guān)內(nèi)容詢問相關(guān)人員，了解制度的執(zhí)行情況，綜合識別安全管理制度存在的脆弱性。人員安全管理評估內(nèi)容：人員錄用、教育與培訓(xùn)、考核、離崗等，以及外部人員訪問控制安全管理。評估方法：查閱相關(guān)制度文件以及相關(guān)記錄，或要求相關(guān)人員現(xiàn)場執(zhí)行某些任務(wù)，或以外來人員身份訪問等方式進(jìn)行人員安全管理脆弱性的識別。系統(tǒng)運(yùn)維管理評估內(nèi)容：保障系統(tǒng)正常運(yùn)行的重要環(huán)節(jié)，涉及系統(tǒng)正常運(yùn)行和組織正常運(yùn)轉(zhuǎn)，包括：物理環(huán)境、資產(chǎn)、設(shè)備、介質(zhì)、網(wǎng)絡(luò)、系統(tǒng)、密碼的安全管理，以及惡意代碼防范、安全監(jiān)控和監(jiān)管、變更、備份與恢復(fù)、安全事件、應(yīng)急預(yù)案管理等。評估方法：審閱系統(tǒng)運(yùn)維的相關(guān)制度文件、操作手冊、運(yùn)維記錄等，現(xiàn)場查看運(yùn)維情況，訪談運(yùn)維人員，讓運(yùn)維人員演示相關(guān)操作等方式進(jìn)行系統(tǒng)運(yùn)維管理脆弱性的識別。服務(wù)交付物安全評估服務(wù)實(shí)施完成后，主要成果文檔如下：《風(fēng)險評估綜合報告》；《資產(chǎn)賦值列表》；《威脅賦值列表》；《脆弱性賦值列表》；《風(fēng)險處置計劃》（附件《風(fēng)險計算表》）；《服務(wù)工作總結(jié)》；重保服務(wù)-敏感信息泄露探測敏感信息包括但不限于口令、密鑰、證書、會話標(biāo)識、License、隱私數(shù)據(jù)(如短消息的內(nèi)容)、授權(quán)憑據(jù)、個人數(shù)據(jù)(如姓名、住址、電話等)。這些信息在程序文件、配置文件、日志文件、備份文件及數(shù)據(jù)庫中都有可能存在，本項(xiàng)目主要關(guān)注的重點(diǎn)敏感信息如下：個人及個人隱私信息檢查；業(yè)務(wù)敏感數(shù)據(jù)檢查；重要數(shù)據(jù)檢查；服務(wù)器系統(tǒng)數(shù)據(jù)檢查。敏感信息泄露探測方法本項(xiàng)目重保服務(wù)項(xiàng)目組主要通過工具探測和人工挖掘的方式進(jìn)行，此項(xiàng)工作需要常態(tài)化的開展，特別是互聯(lián)網(wǎng)側(cè)敏感信息的泄露監(jiān)測，具體方式如下：1.工具爬蟲掃描:利用專業(yè)的掃描和檢測工具，對目標(biāo)系統(tǒng)進(jìn)行深度掃描，尋找可能存在的敏感文件路徑，從而發(fā)現(xiàn)敏感數(shù)據(jù)。同時通過自動化工具和人工結(jié)合的方式對互聯(lián)網(wǎng)上與甲方有關(guān)的敏感信息進(jìn)行全網(wǎng)探測，找尋是否存在已經(jīng)泄漏的敏感信息。2.手工挖掘:通過對web容器或網(wǎng)頁源代碼的細(xì)致查看，尋找可能被泄露的敏感信息。這需要對系統(tǒng)的架構(gòu)和運(yùn)行方式有深入的了解。重保服務(wù)-漏洞掃描及治理漏洞攻擊是網(wǎng)絡(luò)安全攻防實(shí)戰(zhàn)中最直接有效的手段，開展常態(tài)化漏洞掃描服務(wù),定期發(fā)現(xiàn)設(shè)備和系統(tǒng)中存在的安全漏洞，并通過及時修補(bǔ)完善，避免對信息系統(tǒng)造成嚴(yán)重影響。建立全年的風(fēng)險及漏洞檢測機(jī)制，漏洞掃描頻率不低于每季度1次，包括但不限于服務(wù)器、Web應(yīng)用、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、終端等。通過對業(yè)務(wù)應(yīng)用系統(tǒng)開展主機(jī)、中間件、數(shù)據(jù)庫等脆弱性掃描，及時發(fā)現(xiàn)安全漏洞，制定安全加固建議，作為安全加固工作輸入；通過對新應(yīng)用系統(tǒng)進(jìn)行上線前漏洞掃描工作，提前發(fā)現(xiàn)系統(tǒng)安全漏洞，輸出《信息系統(tǒng)漏洞整改記錄單》，提交至信息中心，信息中心通知系統(tǒng)相關(guān)人員進(jìn)行實(shí)施整改，我司安全服務(wù)團(tuán)隊(duì)提供技術(shù)指導(dǎo)。漏洞掃描方法根據(jù)掃描執(zhí)行方式不同，漏洞掃描產(chǎn)品主要有以下兩種方法：基于網(wǎng)絡(luò)的掃描：基于網(wǎng)絡(luò)的掃描是通過網(wǎng)絡(luò)來掃描遠(yuǎn)程信息系統(tǒng)中存在的漏洞。操作過程中不需要涉及到目標(biāo)系統(tǒng)的管理員，在檢測過程中不需要在目標(biāo)系統(tǒng)部署和安裝任何軟件，維護(hù)簡便?；谥鳈C(jī)的掃描：基于主機(jī)的掃描器是通過在目標(biāo)系統(tǒng)上部署或安裝一個客戶端或服務(wù)，以便能夠訪問所有的文件與進(jìn)行，這也使得基于主機(jī)的掃描器掃描的結(jié)果更加全面。漏洞掃描風(fēng)險規(guī)避在漏洞掃描過程中，漏洞掃描工具的使用人員會盡量避免影響業(yè)務(wù)的正常運(yùn)行，但是漏掃工具是自動化掃描，人為控制項(xiàng)較少，某些探測行為可能會對信息系統(tǒng)造成一定影響。因此，我們將采取如下的風(fēng)險規(guī)避策略來規(guī)避滲透測試帶來的風(fēng)險。漏洞掃描時間將避開業(yè)務(wù)高峰期或以低線程模式運(yùn)行；禁止為漏洞掃描工具設(shè)置賬戶、口令對應(yīng)用系統(tǒng)進(jìn)行測試；在漏洞掃描過程中，目標(biāo)系統(tǒng)出現(xiàn)無響應(yīng)、中斷或崩潰等情況，應(yīng)立即中止掃描，并配合相關(guān)負(fù)責(zé)人進(jìn)行修復(fù)處理，在確認(rèn)問題、修復(fù)系統(tǒng)、防范故障重演后，再進(jìn)行后續(xù)掃描；漏洞掃描開始時，應(yīng)對目標(biāo)系統(tǒng)的數(shù)據(jù)進(jìn)行完整備份，以便在發(fā)生問題后能及時恢復(fù)工作；漏洞掃描過程中，應(yīng)確定測試人員和相應(yīng)系統(tǒng)責(zé)任人的聯(lián)系方式，便于及時溝通；漏洞掃描工具介紹為了提高漏洞掃描的準(zhǔn)確性，減少誤報率。將采用多種商業(yè)掃描器對信息系統(tǒng)進(jìn)行掃描。以下為本次項(xiàng)目中將會使用的部分掃描器：AcunetixAcunetix是一款全自動滲透測試工具。其Web應(yīng)用程序安全掃描程序可準(zhǔn)確掃描HTML5，JavaScript和單頁應(yīng)用程序?？梢話呙鑃QLInjection，XSS和4500+其他漏洞的所有變體。它可以檢測復(fù)雜的，經(jīng)過身份驗(yàn)證的Web應(yīng)用程序，并針對各種Web和網(wǎng)絡(luò)漏洞生成檢測報告。盛邦漏掃檢測平臺漏掃安全檢測平臺是盛邦自主研發(fā)的基于行業(yè)化合規(guī)的主動安全管理產(chǎn)品。其依托上萬種資產(chǎn)指紋特征，通過主動探測的方式快速識別資產(chǎn)，有效盤點(diǎn)包括IP、MAC、設(shè)備類型、設(shè)備廠商、軟硬件版本、開放端口/服務(wù)等資產(chǎn)信息，形成資產(chǎn)信息庫；支持識別各類系統(tǒng)漏洞、中間件漏洞、數(shù)據(jù)庫漏洞、云平臺漏洞、Web漏洞、行業(yè)化漏洞（如視頻專網(wǎng)的IPC漏洞、業(yè)務(wù)平臺漏洞等），全面發(fā)現(xiàn)資產(chǎn)的安全隱患，并模擬人工滲透測試的方式對漏洞進(jìn)行驗(yàn)證，自動判斷漏洞的真實(shí)性，使用者可根據(jù)檢測結(jié)果有針對性的制定漏洞修復(fù)計劃。支持分布式部署模式，通過集中管理平臺實(shí)現(xiàn)數(shù)據(jù)采集及關(guān)聯(lián)，統(tǒng)一監(jiān)測本級及下級單位當(dāng)前資產(chǎn)安全狀態(tài)，實(shí)現(xiàn)預(yù)警通報、專項(xiàng)排查、全面展示，針對發(fā)現(xiàn)的資產(chǎn)風(fēng)險，平臺提供各維度的數(shù)據(jù)分析展示，讓用戶從展示大屏中迅速了解網(wǎng)絡(luò)空間資產(chǎn)的整體安全狀態(tài)，結(jié)合安全事件，幫助用戶進(jìn)行評估漏洞影響，快速處置，形成安全管理閉環(huán)。漏洞掃描內(nèi)容安全漏洞掃描會對信息系統(tǒng)內(nèi)的網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、應(yīng)用軟件、中間件和服務(wù)等進(jìn)行安全漏洞識別，詳細(xì)內(nèi)容如下：網(wǎng)絡(luò)層漏洞識別版本漏洞，包括但不限于IOS存在的漏洞，涉及包括所有在線網(wǎng)絡(luò)設(shè)備及安全設(shè)備；開放服務(wù)，包括但不限于路由器開放的Web管理界面、其他管理方式等；空弱口令，例如空/弱telnet口令、snmp口令等；域名系統(tǒng)：ISCBINDSIG資源記錄無效過期時間拒絕服務(wù)攻擊漏洞，MicrosoftWindowsDNS拒絕服務(wù)攻擊等。操作系統(tǒng)漏洞識別操作系統(tǒng)（包括Windows、AIX和Linux、HPUX、Solaris、VMware等）的系統(tǒng)補(bǔ)丁、漏洞、病毒等各類異常缺陷等；訪問控制：注冊表HKEY_LOCAL_MACHINE普通用戶可寫，遠(yuǎn)程主機(jī)允許匿名FTP登錄，ftp服務(wù)器存在匿名可寫目錄等；安全配置問題：部分SMB用戶存在薄弱口令，試圖使用rsh登錄進(jìn)入遠(yuǎn)程系統(tǒng)等。應(yīng)用層漏洞識別；應(yīng)用程序（包括但不限于數(shù)據(jù)庫Oracle、DB2、MSSQL，Web服務(wù)，如Apache、WebSphere、Tomcat、IIS等，其他SSH、FTP等）缺失補(bǔ)丁或版本漏洞檢測等；數(shù)據(jù)庫軟件：Oracletnslsnr沒有設(shè)置口令，MicrosoftSQLServer2000Resolution服務(wù)多個安全漏洞等；Web服務(wù)器：ApacheMod_SSL/Apache-SSL遠(yuǎn)程緩沖區(qū)溢出漏洞，MicrosoftIIS5.0.printerISAPI遠(yuǎn)程緩沖區(qū)溢出，SunONE/iPlanetWeb服務(wù)程序分塊編碼傳輸漏洞等。重保服務(wù)-安全配置檢查重保服務(wù)資產(chǎn)梳理工作（一）網(wǎng)絡(luò)路徑梳理對目標(biāo)系統(tǒng)相關(guān)的網(wǎng)絡(luò)訪問路徑進(jìn)行梳理，明確系統(tǒng)訪問源（包括用戶、設(shè)備或系統(tǒng)）的類型、位置和途徑的網(wǎng)絡(luò)節(jié)點(diǎn)，繪制準(zhǔn)確的網(wǎng)絡(luò)路徑圖。網(wǎng)絡(luò)路徑梳理須明確從互聯(lián)網(wǎng)訪問的路徑、內(nèi)部訪問路徑等，全面梳理目標(biāo)系統(tǒng)可能被訪問到的路徑和數(shù)據(jù)流向，為后續(xù)有針對性的網(wǎng)絡(luò)安全防護(hù)和安全設(shè)備的部署和調(diào)整奠定基礎(chǔ)。（二）系統(tǒng)資產(chǎn)梳理梳理目標(biāo)系統(tǒng)的關(guān)聯(lián)及未知資產(chǎn)，形成目標(biāo)系統(tǒng)的關(guān)聯(lián)資產(chǎn)清單、未知資產(chǎn)清單，關(guān)聯(lián)資產(chǎn)包括目標(biāo)系統(tǒng)網(wǎng)絡(luò)路徑中的各個節(jié)點(diǎn)設(shè)備、節(jié)點(diǎn)設(shè)備同一區(qū)域的其它設(shè)備以及目標(biāo)系統(tǒng)相關(guān)資產(chǎn)，未知資產(chǎn)包括與目標(biāo)系統(tǒng)可有關(guān)聯(lián)但未記錄在關(guān)聯(lián)資產(chǎn)清單里的資產(chǎn)，為后續(xù)安全自查和整改加固等工作提供基礎(chǔ)數(shù)據(jù)。（三）安全資產(chǎn)梳理根據(jù)已梳理的重要資產(chǎn)和網(wǎng)絡(luò)路徑，梳理當(dāng)前已有的安全監(jiān)測和防御產(chǎn)品，對其實(shí)現(xiàn)的功能、效果、防御范圍、安全日志、特征庫更新情況等進(jìn)行綜合分析。依據(jù)梳理結(jié)果對已有防護(hù)設(shè)施進(jìn)行調(diào)整或提出相關(guān)安全建議。重保服務(wù)安全配置檢查根據(jù)重保服務(wù)前期的資產(chǎn)梳理工作形成的目標(biāo)系統(tǒng)關(guān)聯(lián)資產(chǎn)清單、未知資產(chǎn)清單，對與組成目標(biāo)系統(tǒng)相關(guān)的網(wǎng)絡(luò)設(shè)備、服務(wù)器、中間件、數(shù)據(jù)庫、應(yīng)用系統(tǒng)、安全設(shè)備等開展安全配置自查和整改工作。通過安全配置檢查對目標(biāo)系統(tǒng)的安全狀況得以真實(shí)反映，結(jié)合整改加固手段對評估發(fā)現(xiàn)的問題逐一進(jìn)行整改。設(shè)置必要的防御規(guī)則，基于最小權(quán)限原則制定，即僅僅開放允許業(yè)務(wù)正常運(yùn)行所必須的網(wǎng)絡(luò)和系統(tǒng)資源。（1）網(wǎng)絡(luò)安全檢查網(wǎng)絡(luò)架構(gòu)檢查 針對目標(biāo)系統(tǒng)開展網(wǎng)絡(luò)架構(gòu)檢查工作，以評估目標(biāo)系統(tǒng)在網(wǎng)絡(luò)架構(gòu)方面的合理性，網(wǎng)絡(luò)安全防護(hù)方面的健壯性，是否已具備有效的防護(hù)措施；網(wǎng)絡(luò)安全策略檢查針對目標(biāo)系統(tǒng)所涉及的網(wǎng)絡(luò)設(shè)備進(jìn)行策略檢查，確保目前已有策略均按照“按需開放，最小開放”的原則進(jìn)行開放；確保目標(biāo)系統(tǒng)所涉及的網(wǎng)絡(luò)設(shè)備中無多余、過期的網(wǎng)絡(luò)策略； 網(wǎng)絡(luò)安全基線檢查針對目標(biāo)系統(tǒng)所涉及的網(wǎng)絡(luò)設(shè)備進(jìn)行安全基線檢查，重點(diǎn)檢查多余服務(wù)、多余賬號、口令策略，禁止存在默認(rèn)口令和弱口令等配置情況；安全設(shè)備/軟件基線檢查針對目標(biāo)系統(tǒng)所涉及的安全設(shè)備進(jìn)行安全基線檢查，重點(diǎn)檢查多余賬號、口令策略、策略啟用情況、應(yīng)用規(guī)則、特征庫升級情況、系統(tǒng)版本情況，禁止存在默認(rèn)口令、弱口令、系統(tǒng)版本具有漏洞的情況；（2）主機(jī)安全檢查 主機(jī)安全基線檢查 針對目標(biāo)系統(tǒng)所涉及的主機(jī)進(jìn)行安全檢查，重點(diǎn)檢查多余賬號、口令策略、賬號策略、遠(yuǎn)程管理等情況； 數(shù)據(jù)庫安全基線針對目標(biāo)系統(tǒng)所涉及的數(shù)據(jù)庫進(jìn)行安全檢查，重點(diǎn)檢查多余賬號、口令策略、賬號策略、遠(yuǎn)程管理等情況；中間件安全基線針對目標(biāo)系統(tǒng)所涉及的中間件進(jìn)行安全檢查，重點(diǎn)檢查中間件管理后臺、口令策略、賬號策略、安全配置等情況；主機(jī)漏洞掃描針對目標(biāo)系統(tǒng)所涉及的主機(jī)、數(shù)據(jù)庫以及中間件進(jìn)行安全漏洞掃描；（3）應(yīng)用系統(tǒng)安全檢查應(yīng)用系統(tǒng)合規(guī)性檢查針對目標(biāo)系統(tǒng)應(yīng)用進(jìn)行安全合規(guī)檢查，重點(diǎn)檢查應(yīng)用系統(tǒng)多余賬號、賬號策略、口令策略、后臺管理等情況；滲透測試：針對目標(biāo)系統(tǒng)應(yīng)用進(jìn)行滲透測試（灰盒測試）；（4）日志審計網(wǎng)絡(luò)設(shè)備/主機(jī)/數(shù)據(jù)庫日志針對本次目標(biāo)系統(tǒng)中網(wǎng)絡(luò)設(shè)備/主機(jī)/數(shù)據(jù)庫的日志記錄進(jìn)行檢查，確認(rèn)能夠?qū)υL問和操作行為進(jìn)行記錄； 明確日志開通級別和記錄情況，并對未能進(jìn)行日志記錄的情況進(jìn)行標(biāo)記，明確改進(jìn)措施。中間件/應(yīng)用系統(tǒng)/安全設(shè)備日志針對本次目標(biāo)系統(tǒng)中中間件/應(yīng)用系統(tǒng)/安全設(shè)備的日志記錄進(jìn)行檢查，確認(rèn)能夠?qū)υL問和操作行為進(jìn)行記錄；對未能進(jìn)行日志記錄的情況進(jìn)行標(biāo)記，明確改進(jìn)措施。（5）備份有效性檢查備份策略檢查針對本次目標(biāo)系統(tǒng)中的備份策略（配置備份、重要數(shù)據(jù)備份等）進(jìn)行檢查，確認(rèn)備份策略的有效性；對無效的備份策略進(jìn)行標(biāo)記，明確改進(jìn)措施。備份系統(tǒng)有效性檢查針對本次目標(biāo)系統(tǒng)中的備份系統(tǒng)有效性進(jìn)行檢查，確認(rèn)備份系統(tǒng)可用性；對無效的備份系統(tǒng)進(jìn)行標(biāo)記，明確改進(jìn)措施。（6）安全整改加固基于以上安全自查發(fā)現(xiàn)的問題和隱患，及時進(jìn)行安全加固、策略配置優(yōu)化和改進(jìn)，切實(shí)加強(qiáng)系統(tǒng)的自身防護(hù)能力和安全措施的效能，減少安全隱患，降低可能被外部攻擊利用的脆弱性和風(fēng)險。重保工作組協(xié)同甲方完善網(wǎng)絡(luò)安全專項(xiàng)應(yīng)急預(yù)案，針對可能產(chǎn)生的網(wǎng)絡(luò)安全攻擊事件建立專項(xiàng)處置流程和措施。重保服務(wù)-入侵痕跡排查當(dāng)系統(tǒng)遭受入侵時，及時并準(zhǔn)確地排查入侵痕跡是至關(guān)重要的。本方案旨在提供一種全面而有效的入侵痕跡排查方法，包括以下關(guān)鍵步驟:系統(tǒng)日志分析、網(wǎng)絡(luò)流量監(jiān)控、用戶行為審計、文件完整性檢查、惡意軟件檢測、安全漏洞評估、系統(tǒng)配置審查以及應(yīng)急響應(yīng)計劃。本項(xiàng)目重保服務(wù)項(xiàng)目組主要是針對被攻擊主機(jī)、可疑主機(jī)、異常主機(jī)、核心業(yè)務(wù)系統(tǒng)等開展入侵痕跡排查，達(dá)到如下2個目標(biāo)；第一：確保重要核心業(yè)務(wù)資產(chǎn)未受到入侵攻擊；第二、在受到入侵攻擊的情況下通過排查對風(fēng)險威脅進(jìn)行清除。入侵痕跡排查具體方法內(nèi)容如下：異常主機(jī)、高風(fēng)險主機(jī)排查方法系統(tǒng)日志分析系統(tǒng)日志記錄了系統(tǒng)運(yùn)行的詳細(xì)信息，包括用戶活動、系統(tǒng)事件和錯誤消息等。通過分析系統(tǒng)日志，可以發(fā)現(xiàn)異常行為、未經(jīng)授權(quán)的訪問嘗試和其他可疑活動。使用專業(yè)的日志分析工具，可以更加高效地分析日志數(shù)據(jù)，從而發(fā)現(xiàn)潛在的入侵痕跡。網(wǎng)絡(luò)流量監(jiān)控和分析網(wǎng)絡(luò)流量監(jiān)控是檢測入侵活動的重要手段。通過對網(wǎng)絡(luò)流量的實(shí)時監(jiān)控和分析，可以發(fā)現(xiàn)異常流量模式、惡意軟件的通信行為和其他可疑活動。使用網(wǎng)絡(luò)流量監(jiān)控工具，可以對網(wǎng)絡(luò)流量進(jìn)行全面分析，并提取出與入侵活動相關(guān)的信息。用戶行為審計用戶行為審計是對用戶活動進(jìn)行監(jiān)控和分析的過程。通過對用戶登錄、文件訪問、系統(tǒng)命令執(zhí)行等行為的審計，可以發(fā)現(xiàn)異常行為、未經(jīng)授權(quán)的訪問和其他可疑活動。用戶行為審計可以幫助確定入侵者的身份和入侵路徑，為后續(xù)的應(yīng)急響應(yīng)提供重要線索。文件完整性檢查文件完整性檢查是檢測文件是否被篡改或破壞的重要手段。通過對關(guān)鍵系統(tǒng)文件、應(yīng)用程序文件和其他重要文件的完整性進(jìn)行定期檢查，可以發(fā)現(xiàn)文件被篡改、替換或刪除等異常情況。使用文件完整性檢查工具，可以及時發(fā)現(xiàn)文件被篡改的情況，并采取相應(yīng)措施進(jìn)行應(yīng)對。惡意軟件檢測惡意軟件檢測是發(fā)現(xiàn)和清除惡意軟件的過程，通過對系統(tǒng)進(jìn)行全面的惡意軟件掃描和檢測，可以發(fā)現(xiàn)潛在的惡意軟件、木馬和病毒等。使用專業(yè)的惡意軟件檢測工具，可以對系統(tǒng)進(jìn)行全面掃描，及時發(fā)現(xiàn)并清除惡意軟件，防止其進(jìn)一步破壞系統(tǒng)或泄露敏感信息。安全漏洞評估安全漏洞評估是對系統(tǒng)安全性的全面檢查和分析。通過對系統(tǒng)進(jìn)行漏洞掃描、漏洞利用和漏洞修復(fù)等步驟，可以發(fā)現(xiàn)系統(tǒng)存在的安全漏洞和薄弱環(huán)節(jié)，為后續(xù)的入侵痕跡排查提供重要依據(jù)。安全漏洞評估可以幫助確定入侵者可能利用的漏洞，從而采取相應(yīng)的防護(hù)措施。系統(tǒng)配置審查系統(tǒng)配置審查是對系統(tǒng)配置和設(shè)置的檢查和分析。通過對系統(tǒng)配置文件、網(wǎng)絡(luò)設(shè)置、安全策略等進(jìn)行審查，可以發(fā)現(xiàn)配置不當(dāng)、弱密碼和其他安全隱患。系統(tǒng)配置審查可以幫助確定入侵者可能利用的配置錯誤或弱密碼等漏洞，從而采取相應(yīng)的改進(jìn)措施。正常主機(jī)（低風(fēng)險）排查方法低風(fēng)險主機(jī)入侵痕跡排查將對現(xiàn)有主機(jī)、設(shè)備、應(yīng)用、服務(wù)等模塊排查是否存在隱藏創(chuàng)建賬號、未知網(wǎng)絡(luò)連接、非法創(chuàng)建進(jìn)程、webshell、僵木蠕等問題進(jìn)行排查。重保項(xiàng)目組針對不同服務(wù)器系統(tǒng)主要從以下幾個方面進(jìn)行排查： 系統(tǒng)賬號安全排查； 異常端口、進(jìn)程排查； 服務(wù)器啟動項(xiàng)、計劃任務(wù)、服務(wù)排查； 系統(tǒng)相關(guān)信息排查； 服務(wù)器后門木馬排查。重保服務(wù)-網(wǎng)絡(luò)安全應(yīng)急演練應(yīng)急演練服務(wù)內(nèi)容說明網(wǎng)絡(luò)信息安全應(yīng)急演練主要分為實(shí)戰(zhàn)演練和桌面推演兩種方式。主要目的是通過應(yīng)急演練，建立健全網(wǎng)絡(luò)與信息安全運(yùn)行應(yīng)急工作機(jī)制，檢驗(yàn)網(wǎng)絡(luò)與信息安全綜合應(yīng)急預(yù)案和業(yè)務(wù)技術(shù)專項(xiàng)應(yīng)急預(yù)案的有效性，驗(yàn)證相關(guān)組織和人員應(yīng)對網(wǎng)絡(luò)和信息安全突發(fā)事件的組織指揮能力和應(yīng)急處置能力，保證各項(xiàng)應(yīng)急指揮調(diào)度工作迅速、高效、有序地進(jìn)行，滿足突發(fā)情況下網(wǎng)絡(luò)與信息系統(tǒng)運(yùn)行保障和故障恢復(fù)的需要，確保信息系統(tǒng)安全暢通。同時通過演練，不斷提高各部門開展應(yīng)急工作的水平和效率，發(fā)現(xiàn)預(yù)案的不足，進(jìn)一步完善應(yīng)急預(yù)案。我司重保服務(wù)小組協(xié)同甲方開展網(wǎng)絡(luò)安全應(yīng)急演練服務(wù)，包括但不限于演練方案編制、演練活動準(zhǔn)備、演練安排、演練流程設(shè)定等。應(yīng)急演練服務(wù)工作背景根據(jù)網(wǎng)絡(luò)安全協(xié)會的調(diào)查報告顯示，近幾年以來90%的信息系統(tǒng)遭受過不同層次的攻擊，其中近40%的系統(tǒng)被黑客成功入侵，數(shù)據(jù)泄露、勒索軟件、APT攻擊等網(wǎng)絡(luò)安全事件也頻繁被國內(nèi)外報道并造成了巨大損失。網(wǎng)絡(luò)安全從某種程度上就是攻擊方（黑客）與防守方（合法用戶）之間的博弈，作為防守方必須站在攻擊者的角度思考，掌握攻擊者的攻擊思路、使用的攻擊手段，才能在與攻擊者的博弈過程中占得先機(jī)。應(yīng)急演練，指在專業(yè)的安全人員在既定的網(wǎng)絡(luò)及應(yīng)用環(huán)境中進(jìn)行模擬入侵及防御的一類演練活動形式。參與者可以通過模擬的演練場景親身參與到安全事件攻防之中，進(jìn)而充分了解安全事件中攻、防雙方的思路及實(shí)踐方法。應(yīng)急演練工作目標(biāo)此次網(wǎng)絡(luò)安全應(yīng)急演練計劃完成以下目標(biāo)：1.發(fā)現(xiàn)并消除安全威脅網(wǎng)絡(luò)安全應(yīng)急演練根據(jù)黑客思維采取不對稱對抗，在真實(shí)網(wǎng)絡(luò)環(huán)境中進(jìn)行實(shí)戰(zhàn)攻防，及時發(fā)現(xiàn)信息系統(tǒng)中存在的漏洞和現(xiàn)階段安全監(jiān)控的盲點(diǎn)，通過對安全漏洞的加固和不斷優(yōu)化調(diào)整策略，提高系統(tǒng)整體安全水平和防御能力。2.完善安全事件應(yīng)急機(jī)制網(wǎng)絡(luò)安全應(yīng)急演練的最終目的即是完善安全事件的應(yīng)急機(jī)制，通過模擬的安全事件可以讓安全團(tuán)隊(duì)以低成本實(shí)施一次有效的應(yīng)急響應(yīng)，同時也可有效識別出當(dāng)前安全處理機(jī)制的不足或缺陷。3.全面提高技術(shù)人員安全技能水平網(wǎng)絡(luò)安全應(yīng)急演練對于技術(shù)人員的安全水平提升是全面的。不僅包括攻擊技術(shù)分析，臨時防御措施，日志分析及事件識別等。應(yīng)急演練安排1.演練時間：客戶指定；2.演練單位：甲方；3.演練地點(diǎn)：甲方指定；應(yīng)急演練流程一、準(zhǔn)備階段（1）活動準(zhǔn)備甲方單位信息保障中心負(fù)責(zé)確定應(yīng)急演練接口人，組建攻擊隊(duì)伍，確定參演單位并發(fā)放參演單位作為被攻擊方的授權(quán)書；參演單位負(fù)責(zé)確定參演資產(chǎn)信息、參演人員名單并提供網(wǎng)絡(luò)環(huán)境等必要前置條件。（2）組建工作組本次網(wǎng)絡(luò)安全應(yīng)急演練工作組架構(gòu)如下圖：1.應(yīng)急演練活動專家組由甲方單位信息保障中心工作人員組成，職責(zé)如下：審核整體方案，確認(rèn)組織架構(gòu)，統(tǒng)籌協(xié)調(diào)并推進(jìn)演習(xí)工作開展，召開啟動會，并對整體風(fēng)險進(jìn)行管控；對方案及應(yīng)急演練過程進(jìn)行整體把控，并對演練過程中可能產(chǎn)生的問題進(jìn)行技術(shù)研判。2.紅方（攻擊隊(duì)）由2名安全服務(wù)提供商技術(shù)人員組成，職責(zé)如下：負(fù)責(zé)對演習(xí)目標(biāo)實(shí)施攻擊，并對攻擊結(jié)果進(jìn)行提交和最終復(fù)盤。3.藍(lán)方（防守隊(duì)）由參演單位安全團(tuán)隊(duì)人員及安全服務(wù)提供商技術(shù)人員組成，職責(zé)如下：負(fù)責(zé)此次應(yīng)急演練攻擊目標(biāo)的資源準(zhǔn)備和確認(rèn)，同時對本單位的安全防護(hù)體系進(jìn)行有效性評估，在正式演練中調(diào)整防護(hù)策略，評估防守效果、遏制攻擊行為等。4.應(yīng)急保障組由甲方單位信息保障中心工作人員組成，職責(zé)如下：負(fù)責(zé)對演習(xí)過程中突發(fā)事件做應(yīng)急處理，確保演練工作順利進(jìn)行。（3）資源準(zhǔn)備或確認(rèn)在應(yīng)急演練正式開始前需要落實(shí)以下資源：確定應(yīng)急演練期間的攻擊人員、防守人員清單；確定攻擊目標(biāo)資產(chǎn)清單和靶標(biāo)；在應(yīng)急演練期間攻擊人員的工作場地和網(wǎng)絡(luò)接入；確定攻擊目標(biāo)已完成數(shù)據(jù)備份和恢復(fù)有效性測試；二、演練階段（1）活動啟動會在應(yīng)急演練開始的第一天召開演練工作啟動會，演練所有人員參會，進(jìn)行演練目的、流程、要求的宣貫，并進(jìn)行實(shí)施方案的設(shè)計，在網(wǎng)絡(luò)及人員準(zhǔn)備妥當(dāng)后根據(jù)實(shí)施方案進(jìn)行實(shí)施。（2）應(yīng)急演練實(shí)施攻擊隊(duì)對指定目標(biāo)進(jìn)行攻擊，在取得攻擊成果后及時提交攻擊成果報告，裁判通過對攻擊成果進(jìn)行研判確認(rèn)。由本活動專家組擔(dān)任裁判，針對攻擊方提交的攻擊成果進(jìn)行有效的判斷和評分。防守隊(duì)針對本單位信息系統(tǒng)進(jìn)行實(shí)施監(jiān)控，并通過對安全感知設(shè)備和安全防御設(shè)備的告警日志仔細(xì)分析研判，跟蹤并記錄攻擊路徑、結(jié)果等，在必要時刻進(jìn)行干預(yù)和處置，并在演練結(jié)束后提交防守成果報告。紅、藍(lán)雙方技術(shù)人員應(yīng)與專家組保持實(shí)時有效溝通，報告攻擊過程的進(jìn)展和防守中發(fā)現(xiàn)的異常情況；攻擊隊(duì)伍應(yīng)嚴(yán)格遵守風(fēng)險控制策略實(shí)施攻擊，遵守演練時間安排，以免影響業(yè)務(wù)正常運(yùn)行。（3）產(chǎn)出文檔1.《攻擊成果報告》（多份）2.《防守成果報告》三、復(fù)盤階段在演練指定攻擊時間結(jié)束之后，紅、藍(lán)隊(duì)分別編制應(yīng)急演練總結(jié)報告，裁判通過雙方總結(jié)報告對本次應(yīng)急演練進(jìn)行綜合評估和過程推演。召開應(yīng)急演練總結(jié)會，對防守方現(xiàn)有信息系統(tǒng)安全現(xiàn)狀、防護(hù)能力、應(yīng)急處置流程等進(jìn)行評定并提出后續(xù)整改建議。四、收尾階段（1）資源回收應(yīng)急演練結(jié)束后，工作組和對選手使用電腦、綁定IP、賬號、帶寬等資源進(jìn)行回收登記。（2）系統(tǒng)清理防守方可根據(jù)攻擊方提交的攻擊成果匯總報告和攻擊操作記錄，刪除演練期間攻擊方遺留的文件、數(shù)據(jù)及賬戶，攻擊方應(yīng)協(xié)助清理痕跡。（3）整改加固防守方對應(yīng)急演練期間發(fā)現(xiàn)的系統(tǒng)漏洞、安全策略、管理漏洞等問題進(jìn)行整改加固，攻擊方協(xié)助防守方做相應(yīng)的整改；在防守方將發(fā)現(xiàn)的問題整改完畢后，攻擊方對發(fā)現(xiàn)的問題進(jìn)行復(fù)測。應(yīng)急演練實(shí)戰(zhàn)劇本案例

網(wǎng)絡(luò)安全專項(xiàng)培訓(xùn)服務(wù)網(wǎng)絡(luò)安全專項(xiàng)培訓(xùn)服務(wù)內(nèi)容：組織甲方相關(guān)專業(yè)技術(shù)人員40人，開展一次為期1天的網(wǎng)絡(luò)安全專項(xiàng)培訓(xùn)。服務(wù)方案培訓(xùn)說明我司將會向用戶的專業(yè)技術(shù)人員提供全面的培訓(xùn)，通過講授網(wǎng)絡(luò)安全政策法規(guī)、網(wǎng)絡(luò)安全基礎(chǔ)設(shè)備原理、網(wǎng)絡(luò)安全基礎(chǔ)攻擊手段、網(wǎng)絡(luò)安全基礎(chǔ)防御知識，使參訓(xùn)人員知道網(wǎng)絡(luò)安全行為準(zhǔn)則，知道怎么去維護(hù)行為準(zhǔn)則，有哪些行為打破了行為準(zhǔn)則。培訓(xùn)目的為保障項(xiàng)目建設(shè)順利實(shí)施和運(yùn)行，我們組織安排不同工作層面的技術(shù)人員有針對性的接受不同的培訓(xùn)。通過培訓(xùn)，主要實(shí)現(xiàn)兩個目標(biāo)：一、為用戶建立一支訓(xùn)練有素的技術(shù)隊(duì)伍，為今后持續(xù)的信息化建設(shè)奠定良好的基礎(chǔ)。二、讓技術(shù)人員掌握有關(guān)軟件系統(tǒng)、設(shè)備使用維護(hù)和管理等技術(shù)，達(dá)到能獨(dú)立進(jìn)行故障處理、日常測試維護(hù)的目的，保證我們提供的設(shè)備能夠正常、安全的運(yùn)行。培訓(xùn)需求我們做如下培訓(xùn)安排：（一）提供進(jìn)行培訓(xùn)的環(huán)境。（二）培訓(xùn)教員至少具有三年的相同課程的教學(xué)經(jīng)驗(yàn)。（三）使用中文授課。（四）為所有被培訓(xùn)人員提供培訓(xùn)用文字資料和講義等相關(guān)用品。（五）提供培訓(xùn)資料。培訓(xùn)對象系統(tǒng)管理人員人員基本素質(zhì)要求：對系統(tǒng)和設(shè)備基本的使用、管理、配置、維護(hù)能力。系統(tǒng)維護(hù)人員人員基本素質(zhì)要求：對系統(tǒng)和設(shè)備基本的使用、管理、配置、維護(hù)能力。系統(tǒng)操作人員人員基本素質(zhì)要求：對系統(tǒng)和設(shè)備有基本的應(yīng)用、理解能力。培訓(xùn)時間集中培訓(xùn)跟客戶協(xié)商確定，一般安排項(xiàng)目服務(wù)實(shí)施過程中，對相關(guān)人員集中培訓(xùn)；。培訓(xùn)地點(diǎn)具體由雙方協(xié)商確定。培訓(xùn)內(nèi)容安全意識培訓(xùn)（所有員工均可參與）針對甲方專業(yè)技術(shù)人員的安全意識進(jìn)行培訓(xùn)，保證人員具有與其崗位職責(zé)相適應(yīng)安全意識，以減少人為因素給系統(tǒng)帶來的安全風(fēng)險。安全意識培訓(xùn)內(nèi)容：包括日常網(wǎng)絡(luò)安全防范、上網(wǎng)行為安全規(guī)范、網(wǎng)絡(luò)安全法律法規(guī)宣貫等內(nèi)容。培訓(xùn)方式：安全意識培訓(xùn)的方式包括：安全展板、手冊、動畫短片等多種方式。同時也可提供信息安全意識現(xiàn)場培訓(xùn)，講師在客戶現(xiàn)場授課，雙方約定時間交付，講述信息安全形勢，與員工息息相關(guān)的工作、生活方面的信息安全知識等。具體項(xiàng)目開展方式依據(jù)項(xiàng)目約定完成。安全技術(shù)培訓(xùn)（專業(yè)技術(shù)人員）可選培訓(xùn)內(nèi)容詳見下表所示，具體培訓(xùn)內(nèi)容課程與甲方商定后確認(rèn)：序號主題內(nèi)容網(wǎng)絡(luò)基礎(chǔ)安全介紹網(wǎng)絡(luò)安全所包含的基礎(chǔ)領(lǐng)域（注：以下包括部分講解問題）網(wǎng)絡(luò)架構(gòu)安全訪問控制安全審計網(wǎng)絡(luò)邊界完整性入侵防范惡意代碼防范網(wǎng)絡(luò)設(shè)備安全安全域介紹安全域（注：以下包括部分講解問題）基本概念安全域設(shè)計原理安全域劃分安全域邊界整合網(wǎng)絡(luò)設(shè)備安全配置介紹網(wǎng)絡(luò)設(shè)備安全配置（注：以下包括部分講解問題）路由器IOS設(shè)備本身的訪問控制網(wǎng)絡(luò)服務(wù)安全配置路由協(xié)議安全設(shè)置IP欺騙的簡單防護(hù)安全審計配置一些網(wǎng)絡(luò)攻擊