安全運維服務(wù)需求

安全運維服務(wù)需求安全運維服務(wù)（服務(wù)期限1年）定期巡檢每季度定期對數(shù)據(jù)中心軟硬件設(shè)備運行狀態(tài)、線路及接地、設(shè)備及線路標(biāo)簽、告警事件、資源使用情況進(jìn)行巡檢和故障排除，協(xié)助醫(yī)院進(jìn)行管理規(guī)范和制度的完善。（1）硬件運行、日志告警情況；（2）無線網(wǎng)絡(luò)質(zhì)量，AP掉線情況；（3）軟件運行情況；（4）各功能的實現(xiàn)是否正常；（5）各功能的運行參數(shù)是否正常；必要時，運維工程師對系統(tǒng)的歷史運行記錄進(jìn)行導(dǎo)出，并進(jìn)行分析?？梢詫ο到y(tǒng)上有關(guān)硬件系統(tǒng)性能和故障可能性進(jìn)行檢查分析，并指出硬件系統(tǒng)潛在的問題以及推薦解決方法。每次巡檢后，出具《每季度巡檢報告》，報告內(nèi)容需包含巡檢內(nèi)容、故障問題記錄、處理建議等，并協(xié)助用戶完成故障處理。安全日志分析與響應(yīng)加固每季度結(jié)合安全感知日志和威脅情報進(jìn)行深度分析，研判網(wǎng)絡(luò)中存在的威脅和攻擊行為，明確對業(yè)務(wù)的影響和危害，提供事件處置和溯源分析，根據(jù)分析結(jié)果以及巡檢、評估、日常運維過程中存在安全脆弱點的網(wǎng)絡(luò)架構(gòu)、網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、應(yīng)用系統(tǒng)和數(shù)據(jù)庫系統(tǒng)，協(xié)助進(jìn)行現(xiàn)場安全策略加固和優(yōu)化升級。1.安全威脅分析：①外部威脅評估：綜合分析數(shù)據(jù)，發(fā)現(xiàn)攻擊威脅、持續(xù)性攻擊和高級黑客等安全事件；②精準(zhǔn)入侵檢查：webshell檢查、惡意文件查殺、web日志分析、系統(tǒng)狀態(tài)分析，發(fā)現(xiàn)已經(jīng)被入侵或感染的主機；③位置威脅發(fā)現(xiàn)：及時對未公開威脅進(jìn)行評估、針對高威脅風(fēng)險進(jìn)行通告。未知威脅快速規(guī)避措施：通過安全策略的運營（例“自定義策略臨時防護(hù)）臨時應(yīng)對、規(guī)避最新爆發(fā)的風(fēng)險。安全功能迭代升級（例：更新規(guī)則庫、升級安全組件）將防護(hù)能力整合到安全設(shè)備。2.安全事件處置：對安全事件進(jìn)行處置，清除惡意文件、快速恢復(fù)業(yè)務(wù)：①策略管理：新增資產(chǎn)、業(yè)務(wù)變更策略調(diào)優(yōu)服務(wù)，業(yè)務(wù)變更時策略隨業(yè)務(wù)變化而同步更新。策略沖突、策略有效性調(diào)優(yōu)服務(wù)。②攻擊對抗：通過攻擊日志分析，發(fā)現(xiàn)持續(xù)性攻擊，立即采取行動實時對抗。通過全網(wǎng)大數(shù)據(jù)分析，發(fā)現(xiàn)有境外黑客或高級黑客正在攻擊，立即采取聯(lián)動封鎖黑客行為。③事件分析與處置：對用戶上報的安全事件進(jìn)行及時響應(yīng)。實時針對異常流量分析、攻擊日志和病毒日志分析，經(jīng)過海量數(shù)據(jù)脫敏、聚合發(fā)現(xiàn)安全事件。針對分析得到的勒索病毒、挖礦病毒、篡改事件、webshell、僵尸網(wǎng)絡(luò)等安全事件，通過工具和方法對惡意文件、代碼進(jìn)行根除，幫助客戶快速恢復(fù)業(yè)務(wù)，消除或減輕影響。3.事件溯源分析：深入分析安全事件的成因，發(fā)現(xiàn)存在的薄弱點，溯源攻擊路徑；①入侵影響抑制：通過事件檢測分析，提供抑制手段，降低入侵影響，協(xié)助快速恢復(fù)業(yè)務(wù)。②入侵威脅清除：排查攻擊路徑，惡意文件清除。③入侵原因分析：還原攻擊路徑，分析入侵事件原因。4.安全加固：根據(jù)事件發(fā)生的根因、影響范圍，并針對每次巡檢和安全風(fēng)險評估的結(jié)果，給出安全加固建議，并協(xié)助用戶和對應(yīng)廠商完成安全加固。每次經(jīng)過深度安全分析后出具《安全日志分析報告》，報告內(nèi)容需包含對網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機系統(tǒng)日志的精準(zhǔn)分析，對威脅流量進(jìn)行的處置和溯源過程，安全加固內(nèi)容等。安全風(fēng)險評估運維期限內(nèi)每季度對信息系統(tǒng)整體運行情況、安全建設(shè)情況、結(jié)合實際業(yè)務(wù)對安全策略制定情況進(jìn)行安全評估，出具風(fēng)險評估報告并提供安全加固建議。提供風(fēng)險評估工程師對醫(yī)院現(xiàn)有信息資產(chǎn)進(jìn)行安全風(fēng)險評估：通過識別資產(chǎn)現(xiàn)有的脆弱性，可能面臨的威脅，并充分調(diào)研已有的安全控制措施，以綜合判斷存在的風(fēng)險，幫助用戶預(yù)知可能發(fā)生的安全事件。資產(chǎn)數(shù)量=業(yè)務(wù)系統(tǒng)數(shù)量+服務(wù)器數(shù)量（含虛擬機）+安全設(shè)備+關(guān)鍵網(wǎng)絡(luò)設(shè)備（核心和匯聚交換機）①項目啟動會議(準(zhǔn)備工作)；②資產(chǎn)識別：資產(chǎn)梳理、資產(chǎn)賦值及重要性區(qū)分；③脆弱性識別：漏洞掃描（使用系統(tǒng)漏洞掃描工具對數(shù)據(jù)庫、操作系統(tǒng)、中間件等進(jìn)行漏洞、端口、弱口令掃描，掃描完成后由技術(shù)人員對漏洞進(jìn)行確認(rèn)測試，提出整改建議，協(xié)助開發(fā)人員整改。①.環(huán)境配置。②漏洞掃描。③漏洞驗證。④輸出報告）、基線核查、脆弱性統(tǒng)計及賦值等；④威脅識別：脆弱性威脅關(guān)聯(lián)及賦值、潛伏威脅檢測；⑤風(fēng)險分析：不可接受風(fēng)險處理建議；⑥編寫《風(fēng)險評估報告》；出具的《風(fēng)險評估報告》須包括資產(chǎn)識別梳理、安全現(xiàn)狀調(diào)研、脆弱風(fēng)險分析、解決方案建議等內(nèi)容。滲透測試每年兩次通過模擬黑客可能使用的攻擊技術(shù)和漏洞發(fā)現(xiàn)技術(shù)，采用黑盒測試的方法對用戶指定目標(biāo)系統(tǒng)的安全做深入的探測和滲透，了解系統(tǒng)薄弱點；滲透測試包括主機、數(shù)據(jù)庫和應(yīng)用系統(tǒng)。具體要求如下：①主機操作系統(tǒng)滲透：包括WINDOWS、SOLARIS、AIX、LINUX、SCO、SGI等。②數(shù)據(jù)庫系統(tǒng)滲透：包括MS-SQL、ORACLE、MYSQL、INFORMIX、SYBASE、DB2等。③應(yīng)用系統(tǒng)滲透：對各種應(yīng)用系統(tǒng)進(jìn)行滲透測試，如WWW、E-mail、DNS、FTP等。滲透測試范圍：核心業(yè)務(wù)HIS系統(tǒng)、CIS系統(tǒng)、LIS系統(tǒng)、PACS系統(tǒng)；交付物：出具《滲透測試報告》，需包含詳細(xì)的滲透測試過程、內(nèi)容和滲透結(jié)果，根據(jù)滲透結(jié)果發(fā)現(xiàn)的薄弱點提出整改加固建議。應(yīng)急演練每年兩次針對高發(fā)生率、高威脅事件進(jìn)行應(yīng)急預(yù)案演練，增強實戰(zhàn)經(jīng)驗和處置能力，提高安全意識。1.可選演練場景應(yīng)包括但不限于：①入侵系統(tǒng)攻擊安全事件；②拒絕服務(wù)攻擊安全事件；③病毒與木馬攻擊安全事件；④網(wǎng)站頁面篡改安全事件；⑤數(shù)據(jù)庫內(nèi)部誤操作；2.可選演練內(nèi)容應(yīng)包括但不限于：①信息篡改：模擬針對網(wǎng)站首頁篡改事件的監(jiān)控和處理（利用上傳漏洞或者弱口令實施攻擊）。②拒絕服務(wù)：模擬從外部發(fā)起的針對網(wǎng)站的拒絕服務(wù)攻擊事件的監(jiān)控和處理（UD\CC等DDOS攻擊工具）。③惡意代碼：模擬某惡意攻擊者，利用系統(tǒng)的弱口令，利用windows共享管理服務(wù)（tcp/445），獲得對服務(wù)器的控制權(quán)限。④DNS劫持：模擬由于網(wǎng)站的域名解析管理賬號存在弱口令，域名權(quán)威解析被篡改事件。交付物：演練前出具《應(yīng)急演練預(yù)案》，需包含應(yīng)急演練目標(biāo)、范圍、時間、人員、過程等，演練結(jié)束后出具《應(yīng)急演練報告》，詳細(xì)記錄應(yīng)急演練的時間、實際參與人員、演練過程、問題記錄、復(fù)盤分析等。重保人員值守省/市級HW、重要會議、活動、檢查期間，安排專業(yè)工程師從網(wǎng)絡(luò)層面、安全層面、數(shù)據(jù)層面構(gòu)建全方面的安全保障服務(wù)，提供事前、事中、事后的全面安全建設(shè)運維服務(wù)。每年值守服務(wù)不超過30天。1.事前檢查：針對用戶信息資產(chǎn)及系統(tǒng)現(xiàn)狀進(jìn)行詳細(xì)調(diào)研，并根據(jù)調(diào)研信息開展安全自查和整改工作，做好充分的準(zhǔn)備工作。2.事中響應(yīng)：安排專業(yè)駐點人員和在線工程師做好安全防護(hù)和保障工作，第一時間發(fā)現(xiàn)并處理威脅流量，做好應(yīng)急響應(yīng)處置工作，避免安全事件帶來的不良影響。3.事后分析：對重保期間的工作內(nèi)容和威脅處置情況進(jìn)行復(fù)盤總結(jié)和匯報，為下一步的安全建設(shè)和策略制定提供方向和建議。交付物：提供《人員值守報告》，記錄值守期間的每日工作內(nèi)容、發(fā)現(xiàn)的威脅情況、處置過程和結(jié)果，并對值守工作進(jìn)行總結(jié)分析，為下一步安全建設(shè)提供建議。誘捕防御服務(wù)在不同業(yè)務(wù)區(qū)域部署蜜罐節(jié)點，模擬虛假主機、web、ftp、郵箱、數(shù)據(jù)庫等業(yè)務(wù)應(yīng)用，主動誘使攻擊者和威脅流量現(xiàn)身，干擾、誤導(dǎo)攻擊者對己方網(wǎng)絡(luò)信息系統(tǒng)的感知與判斷，精準(zhǔn)監(jiān)測和識別網(wǎng)絡(luò)中的威脅流量和攻擊行為，并定期每季度對蜜罐獲取到的流量和攻擊行為進(jìn)行人工分析（特殊情況及重保期間額外提供人工監(jiān)控與分析），捕捉全網(wǎng)威脅流量，通過信息收集獲取攻擊源關(guān)聯(lián)的資產(chǎn)信息，構(gòu)建基礎(chǔ)資產(chǎn)信息庫，化被動防御為主動防御，為進(jìn)一步的安全建設(shè)和加固提供指導(dǎo)性方向。交付物：提供《誘捕防御報告》記錄蜜罐部署范圍、數(shù)量、發(fā)現(xiàn)的攻擊源、攻擊目標(biāo)和攻擊方式、策略加固建議等。數(shù)據(jù)庫系統(tǒng)運維每季度提供一次數(shù)據(jù)庫巡檢服務(wù)，根據(jù)數(shù)據(jù)庫使用場景和類型提供性能優(yōu)化提升，主要包含錯誤日志管理，性能管理，空間管理，對象管理，安全管理，備份管理等方面。具體內(nèi)容如下：1、數(shù)據(jù)庫巡檢提供現(xiàn)場數(shù)據(jù)庫例行檢查服務(wù)，數(shù)據(jù)庫巡檢工作由現(xiàn)場檢查和系統(tǒng)數(shù)據(jù)分析構(gòu)成，提供內(nèi)容詳盡的數(shù)據(jù)庫巡檢報告。數(shù)據(jù)庫檢查的內(nèi)容包括以下部分：檢查相關(guān)軟硬件、數(shù)據(jù)庫配置和SGA、PGA的配置情況；檢查數(shù)據(jù)庫、備份結(jié)果集、各表空間的變化情況等，并對數(shù)據(jù)變化情況作評估；統(tǒng)計當(dāng)前表空間、文件系統(tǒng)和數(shù)據(jù)文件的使用情況；檢查數(shù)據(jù)庫alert.log日志文件和相關(guān)trace文件；檢查操作系統(tǒng)用戶、數(shù)據(jù)庫用戶、系統(tǒng)本身的安全性；收集數(shù)據(jù)庫運行期間的負(fù)載情況和Instance各性能指標(biāo)；檢查數(shù)據(jù)庫備份是否正常；操作系統(tǒng)錯誤告警；操作系統(tǒng)實時性能監(jiān)控；日常性檢查支持服務(wù)，可適用在數(shù)據(jù)庫故障隱患的檢查診斷、故障分析和排除、數(shù)據(jù)備份和恢復(fù)、業(yè)務(wù)系統(tǒng)驗證、業(yè)務(wù)系統(tǒng)優(yōu)化等內(nèi)容。2、數(shù)據(jù)庫性能優(yōu)化數(shù)據(jù)庫性能診斷和優(yōu)化主要從以下幾方面出發(fā)進(jìn)行性能診斷和調(diào)整：內(nèi)存資源沖突；IO資源沖突；CPU開銷資源沖突；回滾段資源沖突；臨時段資源沖突；數(shù)據(jù)“熱”塊資源沖突；索引效率低下；SQL語句調(diào)整；可能影響數(shù)據(jù)庫性能的其它方面。3、數(shù)據(jù)庫安裝新系統(tǒng)上線時，從實際業(yè)務(wù)應(yīng)用角度出發(fā)，根據(jù)具體的硬件環(huán)境，應(yīng)用類型進(jìn)行分析，結(jié)合當(dāng)前系統(tǒng)的最新補丁情況提供安裝環(huán)境檢查和建議，從而提供最安全可靠、適合應(yīng)用的數(shù)據(jù)庫具體服務(wù)內(nèi)容如下：檢查安裝前的操作系統(tǒng)環(huán)境、補丁等；規(guī)劃空間、規(guī)劃操作系統(tǒng)用戶權(quán)限等；安裝最新的數(shù)據(jù)庫軟件。創(chuàng)建合適的數(shù)據(jù)庫。根據(jù)業(yè)務(wù)的需要，分配足夠大的業(yè)務(wù)表空間。安裝數(shù)據(jù)庫軟件最新補丁、升級包。測試數(shù)據(jù)庫軟件、數(shù)據(jù)庫的可用性等。提交完整的產(chǎn)品安裝文檔。交付物：根據(jù)每季度服務(wù)內(nèi)容提供《數(shù)據(jù)庫巡檢報告》，包含巡檢范圍、數(shù)據(jù)庫類型、巡檢內(nèi)容等；涉及數(shù)據(jù)庫故障處理和性能優(yōu)化的，需額外提供《數(shù)據(jù)庫故障處理及性能優(yōu)化報告》，包含故障原因、故障處理過程、故障處理結(jié)果等。安全規(guī)劃咨詢整體安全咨詢服務(wù)依據(jù)國家/國際信息安全標(biāo)準(zhǔn)、信息安全策略及行業(yè)發(fā)展動態(tài)，在對用戶信息安全現(xiàn)狀進(jìn)行風(fēng)險評估、差距分析的基礎(chǔ)上，從安全技術(shù)、安全管理、安全運營三個角度構(gòu)建并協(xié)助完成信息安全規(guī)劃。1.信息安全現(xiàn)狀調(diào)研：通過現(xiàn)狀調(diào)研了解用戶信息安全工作現(xiàn)狀，采用文件審核、問卷調(diào)查、現(xiàn)場訪談、重點業(yè)務(wù)系統(tǒng)檢測的方式識別用戶IT現(xiàn)狀等，對IT環(huán)境、數(shù)據(jù)安全、運維規(guī)章制度進(jìn)行梳理，結(jié)合用戶業(yè)務(wù)發(fā)展及日常工作的實際情況，形成切實可靠的落地方案；2.安全能力成熟度分析：包括安全管理體系差距分析、安全技術(shù)防御體系差距分析、安全運營體系差距分析；3.信息安全建設(shè)規(guī)劃及報告：根據(jù)用戶信息化戰(zhàn)略目標(biāo)和目前的信息安全現(xiàn)狀，制定信息安全方針和目標(biāo)。并結(jié)合國內(nèi)外標(biāo)準(zhǔn)最近實踐經(jīng)驗，