駐場運維-安全運維服務方案書v2

安全服務方案書目錄目錄 I第一章背景分析 41.1.項目背景 41.2.項目目標 41.3.系統(tǒng)現(xiàn)狀 51.3.1.網(wǎng)絡系統(tǒng) 51.3.2.設備清單梳理 61.3.3.應用系統(tǒng) 7第二章需求分析及理解 82.1.在重要日期能保障信息系統(tǒng)安全 82.2.信息系統(tǒng)可長期安全、持續(xù)、穩(wěn)定的運行 82.3.提升發(fā)現(xiàn)安全問題、解決安全問題能力 82.4.提升運維保障專業(yè)水平 92.5.提升安全事件應急響應時效 9第三章需求實現(xiàn)方法論 93.1.信息系統(tǒng)安全保障模型參考 93.2.需求實現(xiàn)方法論 12第四章安全服務方案 134.1.安全保障 134.1.1.安全保障方案建設 144.1.2.事前保障 144.1.3.事中保障 154.1.4.事后保障 154.1.5.服務提供方式 154.2.信息安全規(guī)劃咨詢 154.2.1.安全管理 204.2.2.安全技術 214.2.3.網(wǎng)絡基礎環(huán)境 234.2.4.計算環(huán)境 234.2.5.信息安全差距分析 244.2.6.信息安全建設需求、目標分析 244.2.7.成果交付 284.2.8.安全組織 294.3.保密檢查服務 324.4.日常安全運行保障 344.4.1.漏洞掃描 344.4.2.安全加固服務 364.4.3.安全通告服務 384.4.4.威脅感知與分析 394.4.5.應急響應 404.4.6.安全事件處置 44第五章項目管理 475.1.時間管理 475.2.范圍及變更管理 485.3.溝通管理 495.4.質量管理 505.5.風險管理 515.6.制度建設 51

背景分析項目背景XX單位是國家機關單位，擁有多個網(wǎng)站和應用，每天處理大量的業(yè)務數(shù)據(jù)和信息。為了保障業(yè)務機關信息系統(tǒng)的安全、穩(wěn)定和高效運行，提高網(wǎng)絡安全管理水平，本方案旨在為機關單位提供一套完整的網(wǎng)絡安全運維服務。項目目標通過對XX單位信息系統(tǒng)進行全面的安全評估和加固，消除各類安全隱患，提升系統(tǒng)抵御外部攻擊和內(nèi)部泄露的能力。通過對XX單位信息系統(tǒng)進行定期的安全漏洞掃描和修復，及時發(fā)現(xiàn)并解決潛在的安全風險，防止被黑客利用。通過建立有效的安全事件應急響應機制和流程，快速響應并處理發(fā)生的各類安全事件，減少損失并恢復正常運行。通過對XX單位信息資產(chǎn)進行統(tǒng)一的管理和監(jiān)控，掌握資產(chǎn)狀態(tài)和變化情況，防止資產(chǎn)丟失或被濫用。通過運營必要的安全相關基礎設施和系統(tǒng)，如防火墻、入侵檢測、日志審計等，增強網(wǎng)絡邊界防護和內(nèi)部監(jiān)管能力。通過對XX單位數(shù)據(jù)進行有效的訪問控制、備份等措施，保障數(shù)據(jù)完整性、可用性和機密性。系統(tǒng)現(xiàn)狀網(wǎng)絡系統(tǒng)XX單位計算機網(wǎng)絡包括業(yè)務工作網(wǎng)（簡稱工作網(wǎng)）、業(yè)務專網(wǎng)（簡稱內(nèi)網(wǎng)）、電子政務外網(wǎng)、財經(jīng)網(wǎng)以及互聯(lián)網(wǎng)五部分。工作網(wǎng)、內(nèi)網(wǎng)、電子政務外網(wǎng)、互聯(lián)網(wǎng)、財經(jīng)網(wǎng)所有硬件設備主要集中部署于XX單位機房各個區(qū)域，互相物理隔離。工作網(wǎng)與互聯(lián)網(wǎng)物理隔離，主要為XX單位工作人員日常公文流轉、本院及下級單位使用信息化系統(tǒng)等應用系統(tǒng)提供網(wǎng)絡平臺。工作網(wǎng)安全加固措施：服務器、終端上部署天擎殺毒軟件系統(tǒng)和亞信殺毒軟件系統(tǒng)，用于病毒防護和查殺，通過統(tǒng)一的殺毒軟件管理平臺進行病毒情況的監(jiān)管。建立IPS、防火墻等基本網(wǎng)絡安全措施，用于病毒防護和入侵防護。建立光閘隔離系統(tǒng)，用于工作網(wǎng)與互聯(lián)網(wǎng)物理隔離，實現(xiàn)單向文件交換。建立威脅態(tài)勢感知系統(tǒng)和統(tǒng)一運維監(jiān)管平臺，對工作網(wǎng)的安全態(tài)勢做統(tǒng)一監(jiān)管、發(fā)現(xiàn)和處置。內(nèi)網(wǎng)與外網(wǎng)和互聯(lián)網(wǎng)物理隔離，主要為XX單位內(nèi)部辦公及下級單位使用信息化系統(tǒng)提供基礎網(wǎng)絡平臺。安全加固措施：針對服務器部署統(tǒng)一服務器安全加固系統(tǒng)，內(nèi)網(wǎng)終端上部署天擎殺毒軟件系統(tǒng)系統(tǒng)，用于病毒防護和查殺，通過統(tǒng)一的殺毒軟件管理平臺進行病毒情況的監(jiān)管，部署流量分析平臺，對內(nèi)網(wǎng)的安全態(tài)勢做統(tǒng)一監(jiān)管和發(fā)現(xiàn)?；ヂ?lián)網(wǎng)主要為XX單位辦公及下級單位使用信息化系統(tǒng)提供基礎網(wǎng)絡平臺。安全加固措施：針對服務器部署統(tǒng)一服務器安全加固系統(tǒng)，終端上部署殺毒軟件系統(tǒng)系統(tǒng)，用于病毒防護和查殺；網(wǎng)絡邊界出口部署安全防護設備，用于病毒防護和入侵防護。設備清單梳理XX單位系統(tǒng)硬件資產(chǎn)梳理：硬件設備匯總表設備類型設備型號數(shù)量備注服務器交換機其他設備支撐軟件統(tǒng)計表類型版本數(shù)量數(shù)據(jù)庫操作系統(tǒng)應用系統(tǒng)XX單位基于內(nèi)網(wǎng)的不同應用系統(tǒng)上得以實現(xiàn)。各系統(tǒng)使用的操作系統(tǒng)包括WinServer和LINUX兩大類，數(shù)據(jù)庫等。主要應用系統(tǒng)清單如下：應用系統(tǒng)清單序號系統(tǒng)名稱訪問地址需求分析及理解在重要日期能保障信息系統(tǒng)安全應能夠提供重要日期的安全保障服務，確保在重要日期之中對業(yè)務機關重要信息系統(tǒng)提供全面的保障措施，確保信息系統(tǒng)的安全、穩(wěn)定運行。信息系統(tǒng)可長期安全、持續(xù)、穩(wěn)定的運行應能夠在全年內(nèi)為業(yè)務機關信息系統(tǒng)進行保駕護航，提供全面的安全保障服務，確保信息系統(tǒng)安全、持續(xù)、穩(wěn)定運行。提升發(fā)現(xiàn)安全問題、解決安全問題能力通過多種手段，能夠更快速精準的發(fā)現(xiàn)信息系統(tǒng)存在的安全問題并能提出更加專業(yè)有效的解決方案以指導進行問題的解決，從而提升信息系統(tǒng)安全性。提升運維保障專業(yè)水平信息安全運維保障需提供信息安全整體安全監(jiān)控、應急響應、預警與通報、評估與自測評及安全意識培訓等支撐內(nèi)容。通過全面安全保障服務，為安全運維管理提供專業(yè)化支撐。提升安全事件應急響應時效應能夠快速進行安全事件研判、分析，快速進行處置減低損失，抑制安全事件的擴散，提高應急能力和時效性。需求實現(xiàn)方法論信息系統(tǒng)安全保障模型參考本次安全服務方案將基于自適應安全架構，建設積極防御的循環(huán)，實現(xiàn)由被動安全向主動安全的轉化，確保2023年業(yè)務機關信息系統(tǒng)的安全穩(wěn)定運營?；谧赃m應安全架構的主動安保運營體系如下圖示?；谧赃m應安全架構的主動安保運營體系基于自適應安全架構的主動安保運營體系將達到如下目標：1）防御層面：面對持續(xù)攻擊，降低受攻擊面，實現(xiàn)“攻擊減速”的目標?！胺烙鶎用妗笔侵赣糜诜烙舻囊幌盗胁呗约?、服務和工具。其關鍵目標是通過減少被攻擊面來提升攻擊門檻，并在受影響前攔截攻擊動作。本次安保服務方案主要包括如下防御措施：系統(tǒng)安全評估基礎環(huán)境評估漏洞掃描評估未知資產(chǎn)發(fā)現(xiàn)安全策略優(yōu)化網(wǎng)站安全防護2）檢測層面：面對重要應用系統(tǒng)，進行7*24小時在線檢測和響應，實現(xiàn)減少威脅停留時間、控制事件、防止事件升級的目標?！皺z測層面”用于發(fā)現(xiàn)逃過防御網(wǎng)絡的攻擊，其關鍵目標是降低威脅的“停留時間”以減少威脅造成的損害。通過部署的態(tài)勢感知系統(tǒng)和安全監(jiān)管運維中心。本次安保服務方案主要包括如下檢測措施：統(tǒng)一威脅監(jiān)測現(xiàn)場值守服務運行狀態(tài)巡檢安全日志分析3）響應層面：實現(xiàn)系統(tǒng)聯(lián)動響應與處置，并對發(fā)生的重大安全事件進行回溯分析，實現(xiàn)及時處置、追蹤溯源的目標。“響應層面”用于高效調查和修復檢測在業(yè)務機關信息系統(tǒng)發(fā)現(xiàn)的安全事件，并對重大安全問題進行入侵取證和攻擊來源分析，優(yōu)化新的預防措施以避免事件再次發(fā)生。本次安保服務方案主要包括如下響應處置措施：制定應急響應預案應急響應溯源4）預測層面：通過內(nèi)部威脅預測、外部威脅情報等手段，進行平臺暴露面分析、外部威脅監(jiān)控，實現(xiàn)攻擊預測、提前預防的目標?！邦A測層面”通過從外部監(jiān)控黑客的動向，主動預測針對業(yè)務機關信息系統(tǒng)和數(shù)據(jù)有可能發(fā)起的新型攻擊，主動評估風險并確定優(yōu)先級。相關的威脅情報將反饋到防御和檢測環(huán)節(jié)，從而構成整個處理流程的閉環(huán)。本次安保服務方案主要包括如下預測措施：外部威脅情報安全預警通告態(tài)勢綜合研判需求實現(xiàn)方法論 本次項目的目標是能夠保障XX單位信息系統(tǒng)持續(xù)、穩(wěn)定、安全的運行，能夠保障XX單位信息系統(tǒng)在重要日期的安全穩(wěn)定運行，同時在日常時期中，能夠對信息系統(tǒng)提供持續(xù)保障，能夠以安全服務的方式發(fā)現(xiàn)XX單位信息系統(tǒng)安全問題，提供解決方案，從而促使這些安全問題得到整改，以此來逐步提升XX單位信息安全水平的持續(xù)不斷提升，對此結合信息系統(tǒng)安全保障模型并形成本次項目的實現(xiàn)方法論，如下圖所示：需求實現(xiàn)方法論圖 在重保期為XX單位制定重要時期安全保障方案將安全保障工作方法及流程固化用以指導后期的重保安全工作開展，并在重保前期提供安全評估檢測服務并對所發(fā)現(xiàn)的問題進行整改加固，在重保期間提供提供駐場和監(jiān)控服務能夠及時發(fā)現(xiàn)信息系統(tǒng)所面臨的安全威脅，一旦發(fā)生異常和安全事件及時進行應急響應和事件的處理并將整個過程形成知識沉淀下來，以此全面事前、事中、事后的執(zhí)行手段來保障重要時期信息系統(tǒng)的安全。在信息系統(tǒng)日常運行的過程中，發(fā)現(xiàn)問題，解決問題為安全水平提升的手段，以事前、事中、事后全面控制和保障為思路，為XX單位提供全面的保障服務，通過事前的漏洞掃描、安全通告來發(fā)現(xiàn)安全問題，通過安全加固服務來解決安全問題，并同時配套威脅感知與分析服務、安全監(jiān)管運維中心服務來持續(xù)檢測仍然未能解決的安全問題一旦監(jiān)測到安全問題立即提供分析處置建議，再在以上已處置上提供應急響應和安全事件處置服務，一旦出現(xiàn)安全事件立即進行快速的應急響應以及后期的安全事件處置。通過以上實現(xiàn)方法論，以確保XX單位的信息系統(tǒng)安全、持續(xù)、穩(wěn)定的運行。 安全服務方案安全保障協(xié)助XX單位提高網(wǎng)絡與信息系統(tǒng)安全保障能力。協(xié)助XX單位順利度過生產(chǎn)任務和政治任務的雙重考驗。針對XX單位安全保障服務從時間上可以分為三個事前、事中、事后三個階段，只有將每個階段的安全保障任務有機結合起來才能最大限度的提升XX單位網(wǎng)絡與信息系統(tǒng)的安全保障水平。安全保障方案建設編寫工作方案，主要說明人員分工，準備工作內(nèi)容，保障工作內(nèi)容，發(fā)生安全事件的處置流程及上報流程等。通過方案的建立，將工作進行固化，用以指導工作，使后續(xù)工作有序進行。事前保障針對XX單位2023年安全運維服務，提供的事前保障服務包括但不限于以下內(nèi)容：安全評估協(xié)助安全加固人員培訓安全保障流程事中保障針對XX單位2023年安全運維服務，提供的事中保障服務包括但不限于以下內(nèi)容：設備巡檢設備監(jiān)控日志分析安全事件監(jiān)控應急響應處理事后保障針對XX單位2023年安全運維服務，提供的事后保障服務包括但不限于以下內(nèi)容：安全事件分析安全知識庫建立服務提供方式提供全年安全運維保障服務。信息安全規(guī)劃咨詢信息安全規(guī)劃是一項較為重要的安全咨詢服務，主要依據(jù)信息安全策略及行業(yè)發(fā)展動態(tài)，在對客戶信息安全現(xiàn)狀進行風險評估、差距分析的基礎上，從安全技術、安全管理、安全組織三個角度幫助客戶構建短期、中期與長期的信息安全規(guī)劃，將信息安全的單點風險控制轉變?yōu)槿娴陌踩?guī)劃，進而實現(xiàn)有效的信息安全建設并建立完整的信息安全保障體系。在開展信息安全規(guī)劃服務時，首要工作是依據(jù)國際信息安全最佳實踐、國家信息安全政策引領、行業(yè)發(fā)展動態(tài)、監(jiān)管部門的政策規(guī)范及信息安全技術發(fā)展趨勢等要求，構建信息安全能力評估模型，依據(jù)模型對客戶的網(wǎng)絡基礎環(huán)境、計算環(huán)境、管理環(huán)境、組織環(huán)境進行現(xiàn)狀檢查、評估與差距分析，明確客戶信息安全建設的需求與目標。在此基礎上，進行信息安全建設的藍圖規(guī)劃。信息安全藍圖規(guī)劃須依托于信息化規(guī)劃，對信息化的實施應起到保駕護航的作用。依據(jù)國家、監(jiān)管部門、上級主管部門等發(fā)布的一系列信息安全政策指引，同時結合信息安全技術發(fā)展趨勢和動態(tài)，以客戶信息安全現(xiàn)狀和業(yè)務發(fā)展需求為導向，為客戶構建一套行之有效的信息安全保障體系，更好的為信息化發(fā)展保駕護航，是信息安全規(guī)劃咨詢服務的價值所在。這項服務能為客戶帶來如下收益：1、符合國家、監(jiān)管部門、上級主管部門信息安全政策需求，滿足合規(guī)要求2、緊跟信息安全發(fā)展趨勢和信息安全技術3、基于客戶當前信息安全發(fā)展現(xiàn)狀，可以將有限資源優(yōu)先用于優(yōu)先級排序較高的重點工作中，從而使得工作實施收益最大化4、通過提升整體信息安全管理和信息安全技術水平，進一步增強客戶信息安全規(guī)劃能力，為客戶信息化發(fā)展建設保駕護航5、提供業(yè)務持續(xù)保障，增強客戶對企業(yè)的信心。信息安全規(guī)劃服務包括解讀信息安全策略、構建信息安全能力評估模型、信息安全現(xiàn)狀調研、差距分析與對標分析、信息安全建設需求目標分析、信息安全建設藍圖規(guī)劃、確定任務實施路線圖等步驟。收集、整理、歸納、總結國家信息安全主管機構、行業(yè)監(jiān)管機構、地方政府對目標客戶信息安全工作開展的整體要求和指導意見；梳理NIST、ISO、COBIT等國際信息安全最佳實踐；研判行業(yè)發(fā)展動態(tài)與信息安全技術發(fā)展趨勢對目標客戶信息安全建設工作的影響。1、建立信息安全能力評估模型依據(jù)國際信息安全最佳實踐、國家信息安全政策、行業(yè)監(jiān)管機構與地方政府的政策規(guī)范要求，建立信息安全能力評估模型（以下簡稱“評估模型”），具體實施過程如下所示。（1）將國內(nèi)外信息安全最佳實踐、行業(yè)監(jiān)管要求和發(fā)展動態(tài)、信息安全技術發(fā)展趨勢等內(nèi)容轉化為做好信息安全工作必備的能力點。（2）將每一個能力點分解為與之對應的若干個評估指標項，得出評估模型。其中，評估模型包括管理能力指標和技術能力指標，管理能力指標與信息系統(tǒng)中各種角色參與的活動有關，主要通過控制各種角色的活動，從政策、制度、規(guī)范、流程以及記錄等方面做出規(guī)定來實現(xiàn)；技術能力指標與信息系統(tǒng)提供的技術安全機制有關，主要通過在信息系統(tǒng)中部署軟硬件并正確的配置其安全功能來實現(xiàn)。2、梳理評估模型與標準規(guī)范的對應指標關系梳理評估模型中能力點對應的評估指標項與所采用的信息安全相關標準規(guī)范（例如等級保護、ISO27002等）中具體安全檢查項的映射關系，用以指導后續(xù)信息安全現(xiàn)狀調研工作能夠有序開展。3、制定信息安全防護體系現(xiàn)狀評分標準主要依據(jù)ISO7498《信息處理系統(tǒng)開放系統(tǒng)互聯(lián)的安全體系結構》，從管理體系、組織體系、技術體系三個層面對評估模型中的評估指標項進行綜合評價，根據(jù)評價結果導出差距分析結果和對標差距分析結果。在此基礎上，根據(jù)Gartner成熟度模型確定客戶信息安全現(xiàn)狀的成熟度級別。信息安全規(guī)劃依托于信息化規(guī)劃，并對信息化的戰(zhàn)略實現(xiàn)起到保駕護航的作用。因此，在開展信息安全規(guī)劃相關工作之前，首要任務是對客戶的信息化現(xiàn)狀進行調研，明確客戶在信息化方面的需求以及對信息技術發(fā)展趨勢的掌握程度，確定信息化建設方面的遠景、使命、目標與戰(zhàn)略，進而全面、系統(tǒng)地指導信息安全規(guī)劃建設工作的開展。信息化現(xiàn)狀調研的內(nèi)容主要包括：●應用系統(tǒng)情況（包括業(yè)務架構、應用架構、部署模式、系統(tǒng)建設技術要求等）●應用系統(tǒng)對企業(yè)的業(yè)務支撐情況●核心業(yè)務的操作管理模式●業(yè)務流程的信息化程度●信息安全與業(yè)務運作的關聯(lián)關系●企業(yè)組織架構、部門職責分工情況依據(jù)信息安全能力評估模型，從安全管理、安全技術等方面對客戶的信息安全基礎現(xiàn)狀進行調研與檢查。風險評估的目的是了解和控制運行過程中的信息系統(tǒng)安全風險，運維階段的風險評估是一種較為全面的風險評估。評估內(nèi)容包括對真實運行的信息系統(tǒng)、資產(chǎn)、威脅、脆弱性等各方面。（1）資產(chǎn)評估：對真實環(huán)境下較為細致的評估，包括實施階段采購的軟硬件資產(chǎn)、系統(tǒng)運行過程中生成的信息資產(chǎn)、相關的人員與服務等。本階段資產(chǎn)識別是前期資產(chǎn)識別的補充與增加；（2）威脅評估：真實環(huán)境中的威脅分析，應全面地評估威脅的可能性和影響程度。對非故意威脅產(chǎn)生安全事件的評估可以參照事故發(fā)生率；對故意威脅主要由評估人員就威脅的各個影響因素做出專業(yè)判斷；同時考慮已有控制措施；（3）脆弱性評估：全面的脆弱性評估。包括運行環(huán)境下物理、網(wǎng)絡、系統(tǒng)、應用、安全保障設備、管理的脆弱性。對于技術的脆弱性評估采取核查、掃描、案例驗證、滲透性測試的方式驗證脆弱性；對安全保障設備脆弱性評估時考慮安全功能的實現(xiàn)情況和安全措施本身的脆弱性。對于管理脆弱性采取文檔、記錄核查進行驗證；（4）風險計算：根據(jù)相關標準，對主要資產(chǎn)的風險進行定性或定量的風險分析，描述不同資產(chǎn)的風險高低狀況。注意：所列舉的安全管理和安全技術的現(xiàn)狀調研檢查項主要依據(jù)等級保護要求，在具體項目實施過程中，檢查項要根據(jù)實際建立的評估模型和依據(jù)的信息安全標準規(guī)范進行增刪。安全管理主要對管理制度、組織機構、人員管理、信息安全隊伍建設、信息安全應急響應及事件管理等內(nèi)容的執(zhí)行情況進行檢查與評估。網(wǎng)絡安全管理是指對網(wǎng)絡（包含局域網(wǎng)、廣域網(wǎng)）的系統(tǒng)安全性進行規(guī)劃、組織、實施、評估等管理活動，如制定安全策略、建立安全組織機構、執(zhí)行安全審計和風險評估等。具體來說，網(wǎng)絡安全管理包括以下幾個方面：網(wǎng)絡安全規(guī)劃：根據(jù)國家和地方的法律法規(guī)、標準規(guī)范、行業(yè)特點和實際情況，協(xié)助XX單位制定出符合自身發(fā)展目標和要求的網(wǎng)絡安全戰(zhàn)略、政策、目標、計劃等。網(wǎng)絡安全組織：建立健全網(wǎng)絡安全管理機構和人員配置，明確各級各部門的職責權限和工作流程，形成有效的組織協(xié)調機制。網(wǎng)絡安全實施：按照網(wǎng)絡安全規(guī)劃和組織要求，采取必要的技術措施、管理措施、教育培訓等方式，落實各項網(wǎng)絡安全制度和規(guī)范，保障生產(chǎn)經(jīng)營活動的正常進行。網(wǎng)絡安全監(jiān)督：通過內(nèi)部檢查、外部審計、社會監(jiān)督等方式，對網(wǎng)絡安全管理工作進行有效地檢查評價和反饋改進，提高網(wǎng)絡安全管理水平和效果。網(wǎng)絡風險評估：運用科學方法和技術手段，對可能導致事故或危害發(fā)生的因素進行分析識別、量化評價和風險控制，為決策提供依據(jù)。網(wǎng)絡應急管理：建立健全應急預案、應急隊伍、應急物資等應急資源，并在事故或危機發(fā)生時及時啟動應急響應機制，采取有效措施進行處置救援，并及時恢復正常秩序。安全技術主要對客戶的網(wǎng)絡基礎環(huán)境和計算環(huán)境的安全現(xiàn)狀進行檢查與評估。對XX單位信息系統(tǒng)安全技術防護體系的整體運行狀況，由運維人員定期地組織檢查，且須將檢查中發(fā)現(xiàn)的技術安全問題及時向中心總結匯報，并提出相應的技術解決方案。對XX單位信息系統(tǒng)的管理制度、管理人員和培訓狀況，由人事部門負責進行例行檢查，并且須將檢查中發(fā)現(xiàn)的安全管理問題及時向中心總結匯報，并提出相應的處理措施或解決方案。對設備的日常運行和技術狀態(tài)檢查，由設備所屬部門的系統(tǒng)管理員負責進行，并且須將設備的安全運行狀況定期向各部門系統(tǒng)主管匯報。對各部門網(wǎng)絡設備及系統(tǒng)的日常運行和技術狀態(tài)檢查，由各部門的網(wǎng)絡管理員負責進行，并且須將網(wǎng)絡的安全運行狀況定期向系統(tǒng)主管匯報。對各部門安全設備及系統(tǒng)的日常運行和技術狀態(tài)檢查，由各部門安全管理員負責進行，并且須將安全設備及系統(tǒng)的運行狀況定期向系統(tǒng)主管匯報。對各部門信息資源的日常訪問和技術狀態(tài)檢查，由各部門信息資源管理員負責進行，并且須將信息資源的安全訪問狀況定期向系統(tǒng)主管匯報。對其管理的計算機及設備等隨時進行安全技術檢查，如發(fā)現(xiàn)安全問題應及時向各自所在部門的網(wǎng)絡管理中心報告，以便采取相應的安全技術措施。網(wǎng)絡基礎環(huán)境網(wǎng)絡基礎環(huán)境調研清單序號安全類別安全檢查項1機房安全位置選擇、訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應、電磁防護2網(wǎng)絡安全結構安全與網(wǎng)段劃分、網(wǎng)絡訪問控制、撥號訪問控制、網(wǎng)絡安全審計、邊界完整性檢查、網(wǎng)絡入侵防范、惡意代碼防范、網(wǎng)絡設備防護3邊界安全分區(qū)分域、邊界隔離手段、隔離強度、主要采用的安全策略、采取的邊界安全防護措施計算環(huán)境計算環(huán)境調研清單序號安全類別安全檢查項1應用安全身份鑒別、訪問控制、安全審計、剩余信息保護、通信完整性、通信保密性、軟件容錯、資源控制、代碼安全2主機安全身份鑒別、自主訪問控制、安全審計、系統(tǒng)保護、剩余信息保護、惡意代碼防范、資源控制3數(shù)據(jù)安全數(shù)據(jù)完整性、數(shù)據(jù)保密性、數(shù)據(jù)備份和恢復4終端安全身份鑒別、訪問控制、安全審計、剩余信息保護、入侵防范、惡意代碼防范、資源控制、軟件安裝限制信息安全差距分析依據(jù)評估模型，對客戶的信息安全基礎現(xiàn)狀進行差距分析（必要時可選取國內(nèi)同行業(yè)或其他行業(yè)的先進企業(yè)進行對標差距分析），檢查、評估客戶的信息安全發(fā)展水平、當前存在的問題與差距以及后續(xù)改進提升的方向。差距分析結果為信息安全建設需求分析及后續(xù)藍圖規(guī)劃的數(shù)據(jù)輸入。信息安全建設需求、目標分析信息安全建設需求分析差距分析結果一般作為信息安全建設需求分析的數(shù)據(jù)輸入之一，即：通過信息安全差距分析，項目組能夠對客戶當前的安全現(xiàn)狀、面臨的挑戰(zhàn)以及未來發(fā)展方向等問題有較為清醒的認識和理解，進而對建設目標要達到的預期目的有更明確的認知。因為信息安全規(guī)劃建設的本質目的是保障信息化建設的健康與良性發(fā)展，網(wǎng)絡新型技術的快速發(fā)展也使得構建信息安全防護體系面臨嚴峻挑戰(zhàn)，因此，在進行建設需求分析時，除了考慮信息安全差距分析結果外，還要綜合考慮客戶的信息化發(fā)展目標與網(wǎng)絡新型技術的影響等因素。鑒于以上分析，同時依據(jù)國家信息安全政策指領、行業(yè)發(fā)展動態(tài)、監(jiān)管部門的政策規(guī)范等要求，從縱深防御體系優(yōu)化提升推進需求、信息化的發(fā)展建設目標引領需求、網(wǎng)絡信息安全新型技術保障需求等三方面，進行信息安全實際需求的梳理與分析。1、縱深防御體系優(yōu)化提升推進需求隨著物聯(lián)網(wǎng)、云計算、大數(shù)據(jù)等新應用的不斷普及，網(wǎng)絡安全問題也日益凸顯，企業(yè)將面臨更為嚴峻的病毒、木馬、黑客入侵、拒絕服務、高級持續(xù)攻擊等信息安全威脅。安全事故造成的社會影響和經(jīng)濟損失更為嚴重，縱深防御體系構建工作需求迫切，等級保護、安全測評、安全整改與加固等深度安全防護工作需加快推進，需要依據(jù)差距分析結果從安全區(qū)域劃分、安全邊界防護、訪問控制手段、主動監(jiān)控措施、人才隊伍建設、安全通報機制和應急響應體系等方面構筑全方位、多層次的安全防護體系，進一步落實信息安全等級保護制度，優(yōu)化、完善網(wǎng)絡與信息系統(tǒng)全方位、細粒度的安全管理，實現(xiàn)網(wǎng)絡與信息系統(tǒng)的深度安全防護。2、信息化的發(fā)展建設目標引領需求日趨嚴峻的信息安全形勢、信息技術的快速發(fā)展，對信息安全保障提出了更高要求。提升XX單位的整體信息安全防護水平，實現(xiàn)信息安全可控、能控、在控，是信息化的基本要求。信息安全規(guī)劃的目標應該與XX單位信息化的目標保持一致，而且應該比信息化目標更具體明確、更貼近安全。信息安全規(guī)劃的一切論述都要圍繞著這個目標展開和部署。因此，需要不斷提升信息安全水平，完善提升安全防御體系建設，進一步加強信息安全技術研究和實踐工作，建設結構合理、素質優(yōu)良的信息化建設和管理隊伍，為XX單位信息化的健康、穩(wěn)定、持續(xù)發(fā)展提供有力保障。3、網(wǎng)絡信息安全新型技術保障需求智能終端部署方式的復雜多樣性，安全防護能力薄弱以及網(wǎng)絡融合化、終端智能化、應用多樣化、平臺開放化的特點，不僅為信息安全監(jiān)管帶來極大困難，也引入了敏感信息篡改和泄露、終端被反向控制及非法接入等安全風險，對XX單位信息系統(tǒng)的安全穩(wěn)定運行產(chǎn)生了巨大的安全風險和挑戰(zhàn)。此外，各類虛擬化、云計算、大數(shù)據(jù)、移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等各種新技術、新應用和新模式的不斷涌現(xiàn)與應用，也使信息安全風險不斷升級，對信息安全提出了新的要求。在此背景下，XX單位應結合現(xiàn)有技術發(fā)展情況，緊密跟蹤前沿技術最新發(fā)展動態(tài)，從云計算、大數(shù)據(jù)、移動互聯(lián)應用等方面，逐步開展安全技術研究，利用新技術提高業(yè)務效率的同時，研究安全防護方法，為構建新技術環(huán)境下的技術防護體系打下基礎。信息安全建設目標分析通過貫徹落實國家、行業(yè)監(jiān)管部門、上級主管部門等信息安全工作要求，結合云計算、大數(shù)據(jù)、移動互聯(lián)應用等新技術發(fā)展趨勢，深入推進網(wǎng)絡基礎環(huán)境的安全防護體系建設工作；堅持技術與管理并重、外防與內(nèi)治相結合原則，逐步完善信息安全管理體系建設工作；按照信息安全與信息化建設同步規(guī)劃、同步建設、同步運行原則，穩(wěn)步開展系統(tǒng)生命周期管理建設工作，強化全過程管理；加強內(nèi)外部信息安全在線監(jiān)測、預警、應急響應能力，全面提升XX單位信息安全主動防御能力、協(xié)同防御能力和縱深防御能力，保障信息化建設工作持續(xù)、穩(wěn)定開展。確定任務實施路線圖為有效支持信息安全藍圖的實施與落地，從風險的緊迫程度、任務投資和實施的難易程度、任務建設實施的預期效果、任務運維的管理成本等四方面入手，通過量化評估與綜合分析，確定任務實施的優(yōu)先級。排序原則如下：1、排序指標及評分標準將依據(jù)的任務實施優(yōu)先級的評價項進行細粒度分解，采用3分機制對每一細化指標進行量化評分，具體描述詳見附錄A《任務實施優(yōu)先級排序指標及評分標準》。2、優(yōu)先級排序說明為使任務實施收益最大化，合理安排各項任務的開展時間，根據(jù)風險的緊迫程度、任務投資和實施的難易程度、任務建設實施的預期效果、任務運維的管理成本等要素對任務優(yōu)先級進行排序。信息安全任務優(yōu)先級排序原則如下表所示。信息安全任務優(yōu)先級排序原則優(yōu)先級解釋說明高緊迫程度高、工作投資和實施難易程度低、工作建設實施預期效果好、運維管理成本低中緊迫程度一般、工作投資和實施難易程度一般、工作建設實施預期效果一般、運維管理成本一般低緊迫程度低、工作投資和實施難易程度高、工作建設實施預期效果低、運維管理成本高成果交付信息安全規(guī)劃咨詢服務最終的輸出物為：★《信息安全風險評估與現(xiàn)狀調研報告》★《《信息安全對標分析報告》★《《信息安全規(guī)劃建設方案》安全組織運維團隊應提供必須的服務技能培訓，并對相關技術問題進行充分交流，以提高用戶技術水平，使用戶能熟練使用現(xiàn)有系統(tǒng)。培訓包括不定期或面對面培訓，并提供對部分用戶簡單故障排除方法培訓。人員配置需求人員職責項目總體負責人雙方均應安排專門的固定項目總體負責人，總體負責本項目工作。項目協(xié)調人員雙方可針對本項目工作進展的不同階段，安排人員進行項目的中間協(xié)調。系統(tǒng)管理員網(wǎng)絡管理員在系統(tǒng)調研、安全評估、安全建設及安全管控平臺部署、二次開發(fā)過程中進行配合，包括提供系統(tǒng)登錄、系統(tǒng)狀況、需求分析、工作確認等協(xié)作。業(yè)務人員在需要時請本項目所涉及到的業(yè)務人員予以支持。安全人員由安全技術人員組的的專家組負責對項目進行顧問支持工作及協(xié)作。安全培訓從目前信息安全案件的分析來看，人員的安全觀念，系統(tǒng)管理員的實際安全知識直接影響到整個系統(tǒng)安全狀況。而一個安全的網(wǎng)絡系統(tǒng)的保護不僅和系統(tǒng)管理員的系統(tǒng)安全知識有關，而且和領導的決策、工作環(huán)境中每個員工的安全操作等都有關系。因此，加大對員工的安全技能與知識的培訓，是構建信息系統(tǒng)安全體系中的重要一環(huán)。將根據(jù)本次項目實際情況制定培訓方案。使得相關技術人員在培訓后能夠獨立地對安全系統(tǒng)進行管理、維護。本次項目，安全培訓的目的是使相關人員對信息安全管理體系建設的基本知識能夠深入理解、掌握，從而使能夠自行進行體系建設，使體系逐步完善以達到業(yè)務發(fā)展需要。培訓方式培訓方式有現(xiàn)場培訓和集中課堂講授兩種方式。課堂講授主要是基礎知識培訓、項目成果展示培訓等。信息安全基礎設施目的：管理該范圍內(nèi)的信息安全。應建立一個管理框架，推行及管理信息安全。由領導層組成的合適的管理層論壇應該被建立起來以便用來討論及批準信息安全策略、指派安全角色及協(xié)調全機構安全的實施。如有需要，應在機構內(nèi)建立一個專家信息安全建議的來源信息。應開始與外面的安全專家保持聯(lián)系，以便了解最新的行業(yè)動態(tài)、留意業(yè)內(nèi)標準及評估方法，以及發(fā)生安全事件時提供適當?shù)穆?lián)絡點。應從多方面考慮信息安全，例如，調動部門經(jīng)理、用戶、管理員、應用系統(tǒng)設計者、審計及安全員工及保險和風險管理專家共同制定策略。以下組織結構和方面應進行考慮：信息安全管理委員會被建立以便確保有一個清晰的方向及來自管理層的大力支持。安全管理委員會的目的是在管理層的承諾及提供足夠資源的情況下，在內(nèi)提升安全；信息安全協(xié)調委員會有關部門的管理人員應組成跨越職能部門的安全協(xié)調委員會，來協(xié)調信息安全管理的實施；信息安全責任的分配。應明確定義保護個人資產(chǎn)及執(zhí)行某指定安全程序的責任；信息處理設備的授權步驟應為新的信息處理設備建立管理授權步驟；信息安全專家的意見內(nèi)部應確立信息安全專家或安全顧問的角色，以提供信息安全方方面面的意見，從而確定機構信息安全的有效性；組織之間的合作。信息安全的獨立復審信息安全的策略及責任，策略的實施可以由內(nèi)部審計部門、某經(jīng)理或第三方有關這方面的機構去執(zhí)行獨立的檢查，以保證機構的慣例如實反映策略，并且是可行的及有效的。第三方訪問的安全目的：維護被第三方訪問的機構信息處理設備及信息資產(chǎn)的安全。應控制來自第三方的對機構信息處理設備的訪問。如有業(yè)務需要讓第三方訪問，應先評估風險以確定安全內(nèi)容及對控制的需求。第三方訪問也包括其他參與者。準許第三方訪問的合同應包括其它可以訪問的參與人員的名稱及條件。保密檢查服務為了保障安全服務過程中被評估單位信息數(shù)據(jù)安全，在服務過程中采用嚴格的安全保密措施。從單位、人員、過程三個方面進行保密控制：雙方簽署保密協(xié)議，不得利用評估中的任何數(shù)據(jù)進行其他有損甲方和益的用途；所有參與項目的人員簽訂個人保密協(xié)議；在評估過程中對評估相關的數(shù)據(jù)執(zhí)行嚴格的保密控制措施。工具和設備設施不具有所有權和知識產(chǎn)權糾紛，并保證其可用性和可靠性。在評估過程中，所有過程數(shù)據(jù)及結果均留在實施地點，數(shù)據(jù)與設備不帶離現(xiàn)場，實施過程均在被評估單位的監(jiān)督下完成。充分保障XX單位系統(tǒng)信息數(shù)據(jù)保密。檢查資料結合XX單位實際情景，保密檢查的資料主要有兩項：（一）涉密文件信息資料管理。主要包括涉密文件信息資料起草、印發(fā)和傳輸、閱讀管理、清退銷毀等環(huán)節(jié)的保密管理情景，異常是個人留存涉密文件信息資料和電子文檔的，清理情景。具體檢查資料：1、在起草環(huán)節(jié)，訂密是否科學準確，密級標注是否貼合要求，設備和場所是否貼合安全保密要求；2、在印發(fā)和傳輸環(huán)節(jié)，是否遵循“根據(jù)工作需要知悉”和“知悉范圍最小化”原則；3、在閱讀管理環(huán)節(jié)，是否制定相關保密管理制度，是否存在超范圍閱讀傳達或擅自復制匯編文件信息資料；4、在清退銷毀環(huán)節(jié)，是否定期進行清退和銷毀，手續(xù)是否健全，是否到保密行政管理部門銷毀，是否對個人持有的涉密文件信息資料和電子文檔進行清理。（二）網(wǎng)絡管理。主要包括涉密網(wǎng)絡建設、防護和保密管理，互聯(lián)網(wǎng)門戶網(wǎng)站保密管理，計算機及移動存儲介質保密管理等情景。具體檢查資料包括：1、涉密網(wǎng)絡建設是否經(jīng)過測評和審批，身份鑒別、訪問控制、安全審計、邊界安全防護等措施是否貼合落實要求，是否違規(guī)連接互聯(lián)網(wǎng)及其他非涉密網(wǎng)絡；2、在互聯(lián)網(wǎng)門戶網(wǎng)站發(fā)布消息是否貼合保密審查制度，是否存在違規(guī)發(fā)布問題；3、涉密網(wǎng)絡、計算機及移動存儲介質使用管理是否貼合保密要求。4、中心計算機及移動存儲個質是否嚴格實行登記和職責制度，直接職責人對設備負管理職責。保密管理培訓(1)強化管理人員的保密培訓和監(jiān)管管理，增強風險觀念和監(jiān)督檢查；(2)要嚴格按照項目必備的保密條件要求，加強人防、物防和技防的投入與管理；(3)要不斷完善各項保密管理制度，做到監(jiān)督落實到位；(4)管理培訓將針對XX單位管理人員提供培訓，包括計算機信息系統(tǒng)保密管理規(guī)定、管理層有效監(jiān)管等內(nèi)容；(5)管理層應堅持把保密法規(guī)納入學習內(nèi)容，列為員工培訓、把保密觀念的強化作為提高愛崗敬業(yè)的要求；(6)確保保密工作責任到人，組織保密小組與部門負責人、部門負責人與員工層層簽訂《保密工作責任書》，加強考核，增強保密意識。日常安全運行保障保障日常信息系統(tǒng)穩(wěn)定、安全的運行是XX單位的又一重要目標，對此需要為XX單位進行事前、事中、時候全方位的安全服務，通過事前的檢查、事中檢測響應、事后的追蹤溯源來保障XX單位信息系統(tǒng)持續(xù)、穩(wěn)定、完全的運行。為此，通過事前的漏洞掃描、安全加固、安全通告，事中的安全運維監(jiān)測、應急響應，事后的安全事件處置服務來為XX單位提供全方位的安全服務保障。漏洞掃描服務介紹安全掃描服務主要使用技術手段，通過遠程的方式對被評估對象進行一系列的安全探測，以發(fā)現(xiàn)網(wǎng)絡中和系統(tǒng)中可能存在的安全隱患。安全掃描過程中主要是通過評估工具以遠程掃描的方式對評估范圍內(nèi)的系統(tǒng)和網(wǎng)絡進行安全掃描，從內(nèi)網(wǎng)和外網(wǎng)兩個角度來查找網(wǎng)絡結構、網(wǎng)絡設備、服務器主機、數(shù)據(jù)和用戶賬號/口令等安全對象目標存在的安全風險、漏洞和威脅。從網(wǎng)絡層次的角度來看，安全掃描涉及了如下三個層面的安全問題。系統(tǒng)層安全：該層的安全問題來自網(wǎng)絡運行的操作系統(tǒng)：UNIX系列、Linux系列、WindowsNT系列以及專用操作系統(tǒng)等。安全性問題表現(xiàn)在兩方面：一是操作系統(tǒng)本身的不安全因素，主要包括身份認證、訪問控制、系統(tǒng)漏洞等；二是操作系統(tǒng)的安全配置存在問題。網(wǎng)絡層安全：該層的安全問題主要指網(wǎng)絡信息的安全性，包括網(wǎng)絡層身份認證，網(wǎng)絡資源的訪問控制，數(shù)據(jù)傳輸?shù)谋Ｃ芘c完整性、遠程接入、域名系統(tǒng)、路由系統(tǒng)的安全，入侵檢測的手段等。應用層安全：該層的安全考慮網(wǎng)絡對用戶提供服務所采用的應用軟件和數(shù)據(jù)的安全性，包括：數(shù)據(jù)庫軟件、Web服務、電子郵件系統(tǒng)、域名系統(tǒng)、交換與路由系統(tǒng)、防火墻及應用網(wǎng)管系統(tǒng)、業(yè)務應用軟件以及其它網(wǎng)絡服務系統(tǒng)等。服務交付物每季度進行一次漏洞掃描，輸出《漏洞掃描報告》。安全加固服務服務介紹安全加固服務是針對漏洞掃描、安全評估等過程中發(fā)現(xiàn)的各種安全隱患，通過打補丁、安全配置增強、系統(tǒng)架構和安全策略調整等方式及時進行加固和安全優(yōu)化，提高系統(tǒng)的安全性和抗攻擊能力，以期將整個系統(tǒng)的安全狀況維持在較高的水平，減少安全事件發(fā)生的可能性。服務范圍根據(jù)安全評估、安全通告等發(fā)現(xiàn)的高中風險漏洞，進行安全加固整改，主要包括以下對象：關鍵的服務器操作系統(tǒng)關鍵的數(shù)據(jù)庫系統(tǒng)關鍵的應用系統(tǒng)關鍵的網(wǎng)絡設備服務操作流程安全加固工作主要以人工的方式實現(xiàn)。收集系統(tǒng)信息加固之前收集所有的系統(tǒng)信息和用戶服務需求，收集所有應用和服務軟件信息，做好加固前預備工作。做好備份工作系統(tǒng)加固之前，建議先對系統(tǒng)做完全備份。加固過程可能存在任何不可遇見的風險，當加固失敗時，可以恢復到加固前狀態(tài)。加固系統(tǒng)按照系統(tǒng)加固核對表，逐項按順序執(zhí)行操作。復查配置對加固后的系統(tǒng)，全部復查一次所作加固內(nèi)容，確保正確無誤。應急恢復當出現(xiàn)不可預料的后果時，使用加固前備份進行還原操作。安全加固與優(yōu)化服務操作過程如下：確定每次安全加固與優(yōu)化服務的具體目標對象；針對《安全加固方案》具體操作手冊中的具體操作項目，服務人員給監(jiān)督配合人員進行講解；經(jīng)配合監(jiān)督人員的許可后，服務人員按照具體制定的《安全加固方案》執(zhí)行具體加固操作；服務風險和風險控制安全加固和優(yōu)化服務存在以下安全風險：安全加固過程中的誤操作；安全加固與業(yè)務應用系統(tǒng)沖突，安全加固后造成目標主機、設備和網(wǎng)絡的資源消耗，導致業(yè)務服務性能下降、服務中斷；廠家提供的加固補丁和工具可能存在新的漏洞，帶來新的風險；將采取以下措施，控制和避免上述風險：制定嚴格的安全加固計劃，充分考慮對業(yè)務系統(tǒng)的影響，實施過程避開業(yè)務高峰時段；嚴格審核安全加固的流程和規(guī)范；嚴格審核安全加固的各子項內(nèi)容和加固操作方法、步驟，實施前進行統(tǒng)一的培訓；嚴格員工工作紀律和操作規(guī)范，實施前進行統(tǒng)一的培訓；制訂意外事件的緊急處理和恢復流程；所有的安全加固程序和安全加固操作經(jīng)過事先驗證；服務交付物根據(jù)安全評估發(fā)現(xiàn)、安全通告漏洞重要和緊急程度與客戶溝通，完成高中風險的漏洞修復。安全通告服務服務介紹安全資訊及安全通告服務是基于互聯(lián)網(wǎng)安全威脅情報平臺對安全漏洞資訊進行整理和發(fā)布的一項專項服務，其內(nèi)容來自各主流廠商、安全研究組織以及安全研究團隊所提供的安全漏洞信息、安全新聞、安全研究報告、安全圈社交信息、安全論壇信息等，是國內(nèi)最權威、最及時、最準確的安全漏洞通告組織?？紤]到全省各市業(yè)務院技術人員可能不能及時的了解到最新的相關安全信息，提供安全通告服務，通過郵件、電話等方式，提供及時的、針對性的各類安全信息，幫助全省業(yè)務機關及時的了解最新安全動態(tài)，并及時地做好安全調整，完善安全保護措施。服務方式或方法主要通過以下方式為XX單位提供安全通告服務：電子郵件通告方式：需要單位業(yè)務提供相關管理人員的電子郵件聯(lián)系方式；電話通告方式：需要單位業(yè)務提供相關管理人員的電話聯(lián)系方。服務周期全年服務，對最新安全事件信息、安全漏洞信息及時通告。威脅感知與分析服務介紹基于單位業(yè)務已建的威脅感知系統(tǒng)和安全監(jiān)管運維中心為客戶提供未知威脅的發(fā)現(xiàn)、分析與溯源功能。對本地流量進行全量還原、存儲與深度分析，從流量、文件以及終端日志多個維度，結合威脅情報中心的專屬威脅情報，快速發(fā)現(xiàn)高級威脅與定向攻擊等惡意行為，并對受害目標和攻擊源頭進行精準定位。安全服務人員使用大數(shù)據(jù)安全分析工具分析天眼設備采集的流量，利用大數(shù)據(jù)分析技術和專業(yè)的攻防業(yè)務場景經(jīng)驗，對被防護的網(wǎng)絡中的安全威脅進行檢測和分析。為客戶提供被防護網(wǎng)絡范圍內(nèi)資產(chǎn)發(fā)現(xiàn)、ACL管控、郵件安全分析、WEB安全分析、數(shù)據(jù)庫危險操作行為分析、服務器危險行為、暴力破解、惡意DNS分析等多個方面的服務應急響應服務介紹應急響應服務是非常重要的安全服務環(huán)節(jié),針對應急響應服務主要適用于處理下列的突發(fā)信息安全事件：網(wǎng)站服務不可用事件網(wǎng)頁信息篡改事件服務器/終端后門發(fā)現(xiàn)事件病毒爆發(fā)事件實施流程應急響應處理流程主要分為五個階段，包括響應階段、檢查階段、抑制階段、根除階段和恢復階段：響應階段在實施應急響應工作前，客戶經(jīng)理或項目經(jīng)理收到客戶申請應急響應支持，由客戶經(jīng)理或項目經(jīng)理協(xié)調相關技術支持人員和客戶技術人員第一時間取得聯(lián)系，了解事件發(fā)生情況。技術人員判斷事件類型，并與客戶確認是否需要啟用應急響應服務。檢測階段啟用應急響應服務后，應急響應實施人員通過現(xiàn)場或非現(xiàn)場等方式進行信息收集，使用檢測搜集流量信息、檢測搜集系統(tǒng)信息及主機檢測等多種技術手段對事件進行詳細分析，并查找入侵痕跡。最后確定安全事件類型，評估安全事件的影響。抑制階段應急響應實施人員及時采取行動限制事件擴散和影響的范圍，限制潛在的損失與破壞，同時要與相關系統(tǒng)負責人溝通，確保抑制方法對涉及相關業(yè)務影響最小。抑制階段通常采用的技術手段如下：1）確定受害系統(tǒng)的范圍后，將被害系統(tǒng)和正常的系統(tǒng)進行隔離，斷開或暫時關閉被攻擊的系統(tǒng)，使攻擊先徹底停止；2）持續(xù)監(jiān)視系統(tǒng)和網(wǎng)絡活動，記錄異常流量的遠程IP、域名、端口；3）停止或刪除系統(tǒng)非正常帳號，隱藏帳號，更改口令，加強口令的安全級別；4）掛起或結束未被授權的、可疑的應用程序和進程；5）關閉存在的非法服務和不必要的服務；6）刪除系統(tǒng)各用戶“啟動”目錄下未授權自啟動程序；7）使用netshare或其他第三方的工具停止所有開放的共享；8）使用反病毒軟件或其他安全工具檢查文件，掃描硬盤上所有的文件，隔離或清除病毒、木馬、蠕蟲、后門等可疑文件；根除階段應急響應實施人員協(xié)助客戶檢查所有受影響的系統(tǒng)，在準確判斷安全事件原因的基礎上，提出基于安全事件整體安全解決方案，排除系統(tǒng)安全風險?；謴碗A段應急響應實施人員協(xié)助客戶恢復安全事件所涉及到的系統(tǒng)，并還原到正常狀態(tài)，使業(yè)務能夠正常進行，恢復工作應避免出現(xiàn)誤操作導致數(shù)據(jù)的丟失。檢查技術檢測搜集流量信息流量搜集信息：使用終端安全管理工具搜集終端安全信息檢測流量信息將搜集到的流量信息與威脅情報系統(tǒng)進行匹配，進行攻擊溯源檢測搜集系統(tǒng)信息收集可疑文件搜集操作系統(tǒng)基本信息日志信息帳號信息主機檢測日志檢查從日志信息中檢測出未授權訪問或非法登錄事件；從IIS/FTP日志中檢測非正常訪問行為或攻擊行為；帳號檢查進程檢查服務檢查自啟動檢查網(wǎng)絡連接檢查共享檢查文件檢查檢查病毒、木馬、蠕蟲、后門等可疑文件。查找其他入侵痕跡服務方式現(xiàn)場支持遠程支持7*24小時電話支持服務當發(fā)生安全事件后，將第一時間采取措施和行動，最快速度恢復系統(tǒng)完整性和可用性，阻止安全威脅事件帶來的嚴重性影響。系統(tǒng)的設計培訓咨詢服務系統(tǒng)的開發(fā)咨詢服務產(chǎn)品安裝、調試、優(yōu)化服務故障診斷服務軟件升級服務定期健康檢查服務服務交付物針對每次安全事件輸出應急響應報告。安全事件處置服務介紹配合客戶對日常安全運維中發(fā)現(xiàn)的各類安全事件進行處置，對客戶單位的各類信息安全相關工作提供安全技術支持等。工作流程安全事件處置工作內(nèi)容包括信息安全事件的定級和報告，清除或抑制安全事件對業(yè)務系統(tǒng)產(chǎn)生的影響，恢復業(yè)務系統(tǒng)的運行，并開展相應的事后分析?？傮w流程圖如下：工作內(nèi)容安全事件報告信息系統(tǒng)所有用戶，包括網(wǎng)絡管理員、系統(tǒng)管理員、安全管理員以及普通用戶均有責任將自己發(fā)現(xiàn)的安全事件報告給安全管理員，由安全管理員按照安全事件處理流程來進行處置。事件初步處置安全管理員接到安全事件報告后，應在第一時間收集整理相關信息，如事件性質、危害程度和影響范圍等，以便對安全事件定級。如需對安全事件進行緊急處理，如隔離危險主機等，應在確認不會造成負面影響的前提下進行。事件定級安全管理員對安全事件進行初步評估，并根據(jù)安全事件分級方法對安全事件進行初步分級。如判定的信息安全事件為“輕微”級別時，則遵循事件管理流程進行處置；如判定為“一般”、“較大”以及“重大”須立即上報信息安全管理小組。信息安全管理小組接到報告后對安全事件進行最終定級，確認安全級別滿足應急預案啟動條件時，啟動應急預案。預案實施如針對該類安全事件有專項預案，則由信息安全管理小組組織，根據(jù)專項預案的相應流程進行處理。如針對該類安全事件沒有專項預案，則按照常規(guī)處理流程處理，包括應急抑制、應急根除、應急恢復等系列流程。事后分析總結事后分析工作的目標是回顧并整理發(fā)生信息安全事件的各種相關信息，盡可能將所有情況記錄到文檔中，研究事件發(fā)生的全過程，分析導致事件發(fā)生的根本原因，評估系統(tǒng)遭受的損失，并根據(jù)分析和評估結果對現(xiàn)有的工作方案做出調整。對累次事件或同期多個事件的事后聯(lián)合分析更有意義。針對信息安全事件的事后分析工作包括損失評估、審計分析以及對應急預案的評估修正。安全事件處理結束后，應對該安全事件進行總結，并整理編制《信息安全事件調查分析及處理報告》。工作重點事件追根溯源：對于安全事件的處置工作，不僅是要迅速處置安全事件，更要根據(jù)事件日志追根溯源，發(fā)現(xiàn)問題源頭，徹底杜絕該類事件的發(fā)生。服務交付物《信息安全事件調查分析及處理報告》項目管理時間管理在項目啟動前，項目經(jīng)理要提交一份項目整體進度計劃，供單位業(yè)務評估項目組審閱確定和做好相關安排。時間管理的重點是：時間、責任人、參與人、地點和準備工作。要確保每項工作開展前，提前通知需要參與的人員，并預定好時間和做好場地預定，以及工作開展需要的其他資源。如果出現(xiàn)沖突或需要調整計劃，項目組人員要及時通知雙方的項目經(jīng)理。雙方項目經(jīng)理要及時溝通，并做好風險管理和溝通管理，并盡快落實計劃的調整。范圍及變更管理如果項目范圍發(fā)現(xiàn)變化，將會帶來許多不確定因素，最終會影響項目的成功。項目范圍的變化必須得到引導和管理，才能確保項目能夠得到順利實施。導致項目范圍發(fā)生變化的因素很多。從外部環(huán)境來講，比如客戶的要求或單位業(yè)務高層的重要指示，都會對項目帶來很大的影響；從內(nèi)部環(huán)境來講，初始需求的變化，例如縮短時限、增加工作量等都是項目實施過程中的變化因素。這些變化會使得方案在功能上有些增加或減少，因而需要在設計和實施過程中嚴格控制。范圍變更的管理將采用下述流程進行控制：由項目經(jīng)理和單位業(yè)務監(jiān)管人員組成范圍管理小組。其職責是評估正式的變更申請，并對任何變更實施授權。在變更申請的調查階段，應重點分析變更對項目進度的影響和費用的影響，并在申請表的相應部分記錄下來。當一方發(fā)現(xiàn)有進行改變的需要時，應先非正式地以書面或口頭方式通知另一方；如果時間允許，雙方應對此進行討論或交換備忘錄。在討論或交換備忘錄之后，雙方應就是否正式地處理該變更及由哪方實施變更達成共識。對沒有得到非正式的討論或備忘錄的交換結果之前，由單方開始實施變更的情況，隨時記錄下來。申請變更方應填寫一份變更申請表，提交范圍管理小組進行審批。通知申請變更方是無條件還是有條件地（根據(jù)申請變更方的確認）正式接受該變更申請，及其對項目進度和費用的潛在影響；或通知變更申請方拒絕該變化申請，并說明拒絕理由；或通知變更申請方需附加信息。如果是以無條件或經(jīng)確認的條件方式接受正式的變更申請，且變更相對較小、無太大的費用影響或進度影響，雙方在申請和確認書上簽字，那么無需正式的書面說明，雙方即可繼續(xù)下面的工作；如果變更較大，對費用或進度有較大影響，那么在實施工作開展之前，必需擬定書面說明并由雙方簽字方可繼續(xù)下面的工作。所有在此流程中產(chǎn)生的變更，都要進行歸檔，而且要隨時對文檔更新。溝通管理在項目實施過程中，雙方項目組需要充分的溝通。良好的溝通是項目順利實施的重要保障。溝通管理的要點如下：雙方項目組設立唯一接口，作為溝通的通道。郵件、項目計劃和相關資料都通過這個接口進行傳達。