网络安全服务实施方案

网络安全服务实施方案目录一、 资产梳理服务 1二、 安全评估服务 2三、 渗透测试服务 3四、 安全管理制度优化 8五、 应急演练服务 11六、 重要时期网络安全保障（含HW） 13七、 日常安全运维 16八、 网站定期漏洞扫描 18九、 安全通告服务 18十、 应急响应服务 19十一、 安全咨询服务 20十二、 网络威胁监测分析服务 21十三、 配合监管单位各项安全检查工作 22十四、 终端安全保障服务 22十五、 政务云（互联网区域）云主机安全服务 23十六、 政务云（电子政务外网区域）云主机安全服务 23十七、 政务云（互联网区域）安全日志审计服务 24十八、 政务云（电子政务外网区域）安全日志审计服务 25十九、 移动APP安全加固 25二十、 政务云（互联网区域）进行数据库审计服务 26二十一、 政务云（电子政务外网区域）进行数据库审计服务 26二十二、 网络数据安全隔离与信息交换服务 27二十三、 网站全天候监测服务 27

资产梳理服务开展资产发现工作，全面梳理信息资产。尽可能地发现采购人的资产信息，全面扫描已知的和未知的信息资产，形成明确的资产清单。对网站备案情况进行检查和整改，确保网站均为正常备案。具体实施步骤和内容如下：对采购人全网（本地、政务云）信息化资产进行梳理和排查，根据梳理排查情况及采购人提供的相关信息，编制信息资产表。包括但不限于网络设备、安全设备、服务器、web应用、数据库等。明确需要保护的信息资产、保护优先级和相应的管理人员、责任人。设备资产表至少包括名称、型号、数量、IP地址、位置等信息。有调整和变动时立即更新。梳理采购人当前（本地、政务云）已有的安全监测和防御产品，对其实现的功能、效果、防御范围、安全日志、特征库更新情况等进行综合分析。依据梳理结果出具调整、处置建议，经采购人授权后进行调整和处置。1、服务流程供应商签订合同后1周内完成第一次资产梳理服务，并完成《初步信息资产表》的编制；《初步信息资产表》编制完成后，协同采购人完成对信息资产的保护范围、保护优先级认定，同时落实相应的管理人员、责任人；输出《信息资产表》；对《信息资产表》进行维护，每月完成一次信息资产表的核对工作；有调整和变动时立即更新。2、服务方式：现场服务。3、服务周期：每月至少进行1次信息资产表的核对工作，以用户实际需求为准。4、交付文档：《初步信息资产表》、《信息资产表》、《信息资产表更新维护记录表》。安全评估服务从安全风险的角度对采购人关键信息基础设施进行安全评估和渗透测试。采用各种手段模拟真实的安全攻击，从而发现黑客入侵信息系统的潜在可能途径。渗透测试工作以人工渗透为主，辅助以攻击工具的使用。对采购人各个业务系统的网络设备、安全设备、操作系统、数据库、中间件、网络边界等进行风险评估工作，找出并发现系统基础环境存在的安全漏洞或在安全配置层面存在的安全问题，及可能造成的安全风险。评估完成后，得出安全风险评估报告。具体实施步骤和内容如下：1、服务范围确定对采购人需要进行安全评估的资产范围进行梳理，梳理完毕后出具纸质文件与用户确定；双方确定完成后针对安全评估服务范围开展风险评估服务。2、服务方法为了确切、真实的反映服务器安全现状，对单位授权业务系统进行评估：人员访谈，对数据中心业务系统各种配置进行人员访谈，确认各项配置措施、安全策略是否符合安全要求，确认安全管理是否符合要求；工具扫描，扫描系统主机否存在安全漏洞；渗透测试，渗透测试工程师模拟黑客攻击，检查系统脆弱性；配置检查等；3、服务流程1) 确定评估的范围和目标2) 系统资产识别3) 已有安全措施的确认4) 风险分析5) 安全评估文件记录（3）服务方式现场或远程服务（4）服务周期签订合同进场后立即进行一次服务，后续服务时间依据招标文件约定、合同约定、用户的需求进行提供。（5）交付文档《安全评估报告》渗透测试服务对采购人的信息系统进行渗透测试，发现信息系统中的各类安全隐患。渗透测试工作以人工渗透为主，辅助以攻击工具的使用。具体实施步骤和内容如下：采购人需要进行渗透测试的信息系统范围进行梳理，梳理完毕后出具纸质文件与用户确定；双方确定完成后针对渗透测试的服务范围，开展渗透测试服务；并出具渗透测试服务报告：测试方法渗透测试完全模拟黑客的入侵思路与技术手段，黑客的攻击入侵需要利用目标网络的安全弱点，渗透测试也是同样的道理。以人工渗透为主，辅助以攻击工具的使用，这样保证了整个渗透测试过程都在可以控制和调整的范围之内。针对各应用系统的渗透测试方法包括以下方法但不局限于以下方法：测试方法描述信息收集信息收集是渗透攻击的前提，通过信息收集可以有针对性地制定模拟攻击测试计划，提高模拟攻击的成功率，同时可以有效的降低攻击测试对系统正常运行造成的不利影响。信息收集的方法包括端口扫描、操作系统指纹判别、应用判别、账号扫描、配置判别等。端口扫描通过对目标地址的TCP/UDP端口扫描，确定其所开放的服务的数量和类型，这是所有渗透测试的基础。通过端口扫描，可以基本确定一个系统的基本信息，结合安全工程师的经验可以确定其可能存在以及被利用的安全弱点，为进行深层次的渗透提供依据。口令猜测本阶段将对暴露在公网的所有登陆口进行口令猜解的测试，找出各个系统可能存在的弱口令或易被猜解的口令。猜解成功后将继续对系统进行渗透测试，挖掘嵌套在登录口背后的漏洞、寻找新的突破口以及可能泄漏的敏感信息，并评估相应的危害性。猜解的对象包括：WEB登录口、FTP端口、数据库端口、远程管理端口等。远程溢出这是当前出现的频率最高、威胁最严重，同时又是最容易实现的一种渗透方法，一个具有一般网络知识的入侵者就可以在很短的时间内利用现成的工具实现远程溢出攻击。对于在防火墙内的系统存在同样的风险，只要对跨接防火墙内外的一台主机攻击成功，那么通过这台主机对防火墙内的主机进行攻击就易如反掌。本地溢出本地溢出是指在拥有了一个普通用户的账号之后，通过一段特殊的指令代码获得管理员权限的方法。使用本地溢出的前提是首先要获得一个普通用户的密码。也就是说由于导致本地溢出的一个关键条件是设置不当的密码策略。多年的实践证明，在经过前期的口令猜测阶段获取的普通账号登录系统之后，对系统实施本地溢出攻击，就能获取不进行主动安全防御的系统的控制管理权限。脚本测试脚本测试专门针对Web服务器进行。根据最新的技术统计，脚本安全弱点为当前Web系统尤其存在动态内容的Web系统存在的主要比较严重的安全弱点之一。利用脚本相关弱点轻则可以获取系统其他目录的访问权限，重则将有可能取得系统的控制权限。因此对于含有动态页面的Web系统，脚本测试将是必不可少的一个环节。权限获取通过初步信息收集分析，存在两种可能性，一种是目标系统存在重大的安全弱点，测试可以直接控制目标系统；另一种是目标系统没有远程重大的安全弱点，但是可以获得普通用户权限，这时可以通过该普通用户权限进一步收集目标系统信息。接下来尽最大努力取得超级用户权限、收集目标主机资料信息，寻求本地权限提升的机会。这样不停的进行信息收集分析、权限提升的结果形成了整个的渗透测试过程。测试内容本项目渗透测试包括但不限于以下内容：测试大类测试项测试目的身份验证类用户注册检查用户注册功能可能涉及的安全问题用户登录检查用户登录功能可能涉及的安全问题修改密码检查用户修改密码功能可能涉及的安全问题密码重置检查忘记密码、找回密码、密码重置功能可能涉及的安全问题验证码绕过检测验证码机制是否合理，是否可以被绕过用户锁定功能测试用户锁定功能相关的安全问题会话管理类Cookie重放攻击检测目标系统是否仅依靠cookie来确认会话身份，从而易受到cookie回放攻击会话令牌分析Cookie具有明显含义，或可被预测、可逆向，可被攻击者分析出cookie结构会话令牌泄露测试会话令牌是否存在泄露的可能会话固定攻击测试目标系统是否存在固定会话的缺陷跨站请求伪造检测目标系统是否存在CSRF漏洞访问控制类功能滥用测试目标系统是否由于设计不当，导致合法功能非法利用垂直权限提升测试可能出现垂直权限提升的情况水平权限提升测试可能出现水平权限提升的情况输入处理类SQL注入检测目标系统是否存在SQL注入漏洞文件上传检测目标系统的文件上传功能是否存在缺陷，导致可以上传非预期类型和内容的文件任意文件下载检测目标系统加载/下载文件功能是否可以造成任意文件下载问题XML注入测试目标系统-是否存在XML注入漏洞目录穿越测试目标系统是否存在目录穿越漏洞SSRF检测目标系统是否存在服务端跨站请求伪造漏洞本地文件包含测试目标站点是否存在LFI漏洞远程文件包含测试目标站点是否存在RFI漏洞远程命令/代码执行测试目标系统是否存在命令/代码注入漏洞反射型跨站脚本检测目标系统是否存在反射型跨站脚本漏洞存储型跨站脚本检测目标系统是否存在存储型跨站脚本漏洞DOM-based跨站脚本检测目标系统是否存在DOM-based跨站脚本漏洞服务端URL重定向检查目标系统是否存在服务端URL重定向漏洞信息泄露类errorcode测试目标系统的错误处理能力，是否会输出详尽的错误信息StackTraces测试目标系统是否开启了StackTraces调试信息敏感信息尽量收集目标系统的敏感信息第三方应用类中间件测试目标系统是否存在jboss、weblogic、tomcat等中间件CMS测试目标系统是否存在dedecms、phpcms等CMS测试方式根据测试的位置不同可以分为现场测试和远程测试；根据测试的方法不同分为黑盒测试和白盒测试两类；现场测试是指经过用户授权后，测试人员到达用户工作现场或接入用户工作内网，根据用户的期望测试的目标直接接入到用户的办公网络甚至业务网络中。这种测试的好处就在于免去了测试人员从外部绕过防火墙、入侵保护等安全设备的工作。一般用于检测内部威胁源和路径。远程测试与现场测试相反，测试人员无需到达客户现场或接入用户内部网络，直接从互联网访问用户的某个接入到互联网的系统并进行测试即可。这种测试往往是应用于那些关注门户站点和互联网应用的用户，主要用于检测外部威胁源和路径。黑盒测试是指测试人员对除目标系统的IP或域名以外的信息一无所知的情况下对系统发起的测试工作，这种方式可以较好的模拟黑客行为，了解外部恶意用户可能对系统带来的威胁。白盒测试则是指测试人员通过用户授权获取了部分信息的情况下进行的测试，如：目标系统的帐号、配置甚至源代码。这种情况用户模拟并检测内部的恶意用户可能为系统带来的威胁。

测试流程2、服务频率：签订合同进场后立即进行一次服务，后续服务时间依据招标文件约定、合同约定、用户的需求进行提供。3、服务范围：授权业务系统。4、交付成果：《渗透测试报告》。安全管理制度优化进一步对照《网络安全法》《信息安全技术网络安全等级保护基本要求》等相关法律法规要求，加强安全管理防护制度建设。在采购人领导下，逐步完善、优化网络安全管理制度，将责任落实到具体人员。网络安全管理制度应对安全管理活动中的各类管理内容建立安全管理制度；对管理人员或操作人员执行的日常管理操作建立操作规程；形成由安全策略、管理制度、操作规程、记录表单等构成的全面管理制度体系。应定期配合采购人对安全管理制度的合理性和适用性进行论证和审定，对存在不足或需要改进的安全管理制度进行修改。具体实施步骤和内容如下：安全管理制度是安全管理体系的核心，依据国家等级保护政策的要求，分五个步骤（落实安全责任、管理现状分析、制定安全策略和制度、落实安全管理措施、安全自检与调整）落实安全管理制度。（1）落实信息安全责任制明确领导机构和责任部门，包括设立或明确信息安全领导机构，明确主管领导，落实责任部门。建立岗位和人员管理制度，根据责任分工，分别设置安全管理机构和岗位，明确每个岗位的责任和任务，落实安全管理责任制。（2）信息系统安全管理现状分析通过开展信息系统安全管理现状分析，查找信息系统安全管理建设整改需要解决的问题，明确信息系统安全管理建设整改的需求。依据等级保护基本要求的标准，采取对照检查、风险评估、等级测评等方法，分析判断目前采取的安全管理措施与等级保护标准要求之间的差距，分析系统已发生的时间或事故，分析安全管理方面存在的问题，形成安全管理建设整改的需求并论证。（3）制定安全管理策略和制度根据安全管理需求，确定安全管理目标和安全策略，针对信息系统的各类管理活动，制定人员安全管理制度，明确人员录用、离岗、考核、培训等管理内容；制定系统建设管理制度，明确系统定级备案、方案设计、产品采购使用、密码使用、软件开发、工程实施、验收交付、等级测评、安全服务等管理内容；制定系统运维管理制度，明确机房环境安全、存储介质安全、设备设施安全、安全监控、恶意代码防范、备份与恢复、应急预案等管理内容；制度定期检查制度，明确检查内容、方法、要求等，检查各项制度、措施的落实情况，并不断完善。规范安全管理人员或操作人员的操作规程等，形成安全管理制度体系。（4）安全管理制度体系组成安全管理制度体系安全管理方针和安全策略面向中高层管理层各类安全管理制度面向安全管理人员各类安全操作规程面向安全技术人员各类操作记录表格面向一线运维人员（5）落实安全管理措施人员安全管理：包括人员录入、离岗、考核、教育培训等内容。规范人员录用、离岗、过程、关键岗位签署保密协议；对各类人员进行安全意识教育、岗位技能培训；对关键岗位进行全面的严格的审查和技能考核；对外部人员允许访问的区域、系统、设备、信息等进行控制。系统运维管理：落实环境和资产安全管理、设备和介质安全管理、日常运行维护、集中安全管理、时间处置与应急响应、灾难备份、实时监测、其他安全管理系统建设管理：系统建设管理的重点是与系统建设活动相关的过程管理。由于主要的建设活动是由服务方（如集成方、开发方、测评方、安全服务方）完成的，运营使用单位人员的主要工作是对其进行管理，应此，应制定系统建设相关的管理制度。（6）安全自查与调整制定安全检查制度，明确检查的内容、方式、要求等，检查各项制度、措施的落实情况并不断完善。（7）信息系统安全管理建设工作流程编号流程1明确主管领导、落实责任部门2落实安全岗位和人员3信息系统安全管理现状分析4确定安全管理策略和安全管理制度5落实安全管理措施6人员安全管理系统运维管理系统建设管理环境和资产管理事件处理和应急响应设备和介质管理灾难备份日常运行维护安全监测集中安全管理其他安全运维管理7安全自查和调整（8）服务流程落实单位信息系统安全保护制度；收集单位现有安全管理制度；按照等级保护安全管理制度的建设步骤，梳理现有安全管理制度，输出《安全管理制度建议报告》；依据《安全管理制度建议报告》，完善单位安全管理制度，细化各项操作流程、规范、表单；（9）服务方式现场服务（10）服务周期签订合同进场后立即进行一次服务，后续服务时间依据招标文件约定、合同约定、用户的需求进行提供。（11）交付文档《信息安全管理制度》、《设备操作流程》、《运维表单》应急演练服务开展网络安全应急演练，全面检测采购人的综合安全防护能力，并根据演练结果进行总结，以提高处理应急事件的能力，检验应急预案的合理性、应急保障队伍和所有相关人员的专业素质以及管理组织的有效性。根据演练结果进一步完善网络安全事件应急预案，将处置应对敌对势力对我发动网络攻击有关内容纳入预案，同时预案将明确网络安全事件的应对机构、指挥机制、响应流程、临机处置权限等一系列内容。具体实施步骤和内容如下：（1）应急演练总体目标网络信息安全应急演练主要分为实战演练和桌面推演两种方式。主要目的是通过应急演练，建立健全网络与信息安全运行应急工作机制，检验网络与信息安全综合应急预案和业务技术专项应急预案的有效性，验证相关组织和人员应对网络和信息安全突发事件的组织指挥能力和应急处置能力，保证各项应急指挥调度工作迅速、高效、有序地进行，满足突发情况下网络与信息系统运行保障和故障恢复的需要，确保信息系统安全畅通。同时通过演练，不断提高各部门开展应急工作的水平和效率，发现预案的不足，进一步完善应急预案。（2）应急演练具体目标1) 信息系统突发故障时，事件报告的渠道畅通。发生紧急突发事件时，根据事件初步研判正确启动应急处理程序2) 应急预案启动后，应急领导小组、应急响应实施小组、应急响应日常运行小组、业务部门、第三方服务提供商，各机构协调有序、处置准确3) 故障恢复后，应急指挥小组按程序结束应急，完成报告和总结（3）应急演练计划安排演练时间确定：2023年xx月xx日xx时演练场地确定：xxx会议室演练步骤如下：模拟发生信息安全事件，系统遭受网络攻击，攻击者获取了系统的权限。步骤一：主持介绍。步骤二：宣布应急演练开始步骤三：攻击方演练人员开始对系统进行攻击。步骤四：系统安全管理员监控到安全攻击事件。步骤五：安全管理员向上汇报攻击事件。步骤六：系统安全负责人判断攻击事件等级，并启动应急响应预案隔离主机。步骤七：根据应急响应预案，隔离主机，协调系统厂商和技术人员进行攻击事件分析并处置攻击事件。步骤八：出具事件处置报告，根据漏洞修复情况判断是否恢复系统重新上线。步骤九：总结报告步骤十：宣布应急演练结果，出具应急演练报告步骤十一：应急演练总结分析（4）应急演练总结和汇报应急演练领导小组就本次应急演练情况进行汇报、总结。重要时期网络安全保障（含HW）在采购人领导下成立重保专项工作小组，明确重要岗位及职责，组织专业的网络技术人员重点开展网络攻击入侵、网站篡改、违规内容、病毒木马等安全事件的主动防御、实时检测、响应处置，确保企业网络与信息系统的安全稳定运行，不发重大安全事件。在重要保障期间，协助采购人加强应急值守，在关键岗位和各重要事件节点安排相关人员进行7×24小时的在岗值班。在遇到突发安全事件后采取专业的安全措施和行动，并对已经发生的安全事件进行监控、分析、协调、处理、保护资产等安全属性的工作，以达到第一时间采取紧急措施，恢复业务正常运行，追踪失陷原因并避免同类安全事件再次发生的目的，确保重要保障期间采购人各业务系统的安全稳定运行。具体实施步骤和内容如下：在重保服务将在重大活动或特殊事情，与用户成立重保专项工作小组，安排安全专家到现场提供7*24小时的安全保障服务，服务期间进行安全防护、指导等工作，协助用户单位提升安全防护能力和应急处置能力。根据网络安全保障工作各个阶段主要工作内容和目标的不同，将网络安全保障工作分为准备、监测、总结三阶段。准备工作阶段（成立工作组）为确保本次重要时期安全保障（以下简称“重保”）任务的顺利完成，拟成立重保领导小组（以下简称“领导小组”）和项目工作组（以下简称“工作组”），组织架构如下图。领导小组工作职责：负责领导、指挥和协调本次重保工作开展，向上级领导和有关部门汇报重保工作情况。项目工作组(含重保工作小组、应用系统支撑小组、安全厂商支撑小组)工作职责：负责整体的项目沟通、人员筹备、任务分工、分析研判、防护监测、应急处置、安全整改、事件汇报等工作。准备工作阶段（梳理重保防护资产清单和网络范围）序号防护资产名称地址位置用途已有防护措施例：门户网站（门户服务器及数据库服务器）XxxxxxXxxxXxx主机加固软件：支持病毒木马、未知恶意代码、入侵攻击、APT攻击、服务器和WEB应用防护。虚拟主机杀毒软件：企业版服务器安全杀毒软件，支持防病毒、打补丁等。云WAF：支持网页篡改、网页黑链、网页挂马、业务可用性安全事件监测；支持应用层攻击防护、网页防窜改等防护功能。其他安全防护措施：云平台提供的边界和平台层安全防护措施。…………防护工作阶段（安全自查和整改）根据资产梳理工作形成的目标系统关联资产清单、未知资产清单，对与组成目标系统相关的网络设备、服务器、中间件、数据库、应用系统、安全设备等开展安全自查和整改工作。通过安全自查对目标系统的安全状况得以真实反映，结合整改加固手段对评估发现的问题逐一进行整改。设置必要的防御规则，基于最小权限原则制定，即仅仅开放允许业务正常运行所必须的网络和系统资源。实战工作阶段在实战防护阶段，重点加强防护过程中的安全保障工作，安排安全专家7*24小时值岗，各岗位人员各司其职，从攻击监测、攻击分析、攻击阻断、漏洞修复和追踪溯源等方面全面加强重保期间的安全防护效果。安全事件监测当重保正式开始后，重保工作小组组织各小组人员，根据岗位职责开展安全事件监测工作。重保工作小组借助安全防护设施（威胁监测系统、Web防火墙、IPS、主机加固软件等）开展攻击安全事件监测，对发现的攻击行为进行确认，详细记录攻击相关数据，为后续处置工作开展提供信息。事件分析与处置重保工作小组根据监测到安全事件，协同进行分析和确认。如有必要可通过主机日志、网络设备日志、入侵检测设备日志等信息对攻击行为进行分析，以找到攻击者的源IP地址、攻击服务器IP地址、邮件地址等信息，并对攻击方法、攻击方式、攻击路径和工具等进行分析研判。重保工作小组根据分析结果，应采取相应的处置措施，来确保目标系统安全。通过遏制攻击行为，使其不再危害目标系统和网络，依据攻击行为的具体特点实时制定攻击阻断的安全措施，详细记录攻击阻断操作。重保工作小组对业务稳定性进行监测并及时通报相关信息。重保工作小组应针对可能产生的攻击事件，根据已经制定的网络安全专项应急预案进行协同处置，同时在明确攻击源和攻击方式后，保证正常业务运行的前提下，可以通过调整安全设备策略的方式对攻击命令或IP进行阻断，分析确认攻击尝试利用的安全漏洞，确认安全漏洞的影响，制定漏洞修复方案并及时修复。防护总结与整改阶段全面总结本次重保服务各阶段的工作情况，包括组织队伍、攻击情况、安全防护措施、监测手段、响应和协同处置等，形成总结报告并向业主单位汇报。针对重保服务期间存在的脆弱点，开展整改工作或提出安全整改建议，进一步提高目标系统的安全防护能力。日常安全运维健全网络安全日常运维及安全防护管理，常态化开展网络安全日常监控、网络安全设备巡检、网络安全策略更新、网络安全漏洞修复等，保障网络与信息系统安全稳定运行。在日常出现安全事件时，需要协助采购人进行安全问题的及时处理、溯源分析等。针对采购人整体信息系统进行按月巡检，每月提交运维（含巡检）报告。具体实施步骤和内容如下：1、服务内容常态化开展网络安全日常监控、网络安全设备巡检、网络安全策略更新、网络安全漏洞修复等服务内容。具体服务内容包含但不限于如下内容：网络安全日常监控根据持续关注客户网络、系统运行情况，一旦发生安全事件后，及时分析安全系统及设备的事件日志，进行事件的追踪定位。根据收集到的信息，整理分析后形成安全运维监测项识别每个监控对象探测到的事件（威胁）的来源、影响和重要性，综合分析所有监控对象探测到的事件及系统产生告警日志，形成分析报告并定期报告给用户；对于触发到应急预案的安全事件，则按照事件处理流程执行。对于持续监测项的变化进行分析，以用户认同的方法进行建模计算，评估安全态势变化趋势以及变化对环境因素、威胁、脆弱性及影响可能产生的风险。对于偏离正常态势的检测项及相关内容做进一步的风险评估或安全措施有效性检查，确保系统处于风险可控状态。通过对项目范围内所有安全系统及设备的报警日志进行分析客户近一月的信息安全情势、安全状况，提出改进建议，形成《信息安全运维月报》。网络安全设备巡检定期对指定安全设施病毒库和特征库更新情况检查；对安全设备工作异常、安全告警等进行审核分析；对安全设备主机控制面板状态指示灯检查、CPU利用率、内存利用率、磁盘使用率、电源情况巡检；对异常情况进行排查，并针对异常情况提出解决方案和建议。网络安全策略更新策略调优及优化：依据资产情况、业务系统网络流向、日常安全监测情况、近期风险通报结果及安全设备实际策略配置情况，对安全设施协助开展策略配置调优，以持续提升安全运行和防护能力。（安全设备包含但不限于防火墙、入侵防御、WAF、防病毒系统、安全网关等。）服务期内按需提供,不限定次数。配置备份：定期对核心交换机、汇聚交换机、网络出口防火墙等关键节点设备的系统配置和策略配置进行完整备份；在设备发生故障后提供配置快速导入等恢复措施。服务期内按需提供,策略配置及系统配置备份每月一次。安全设施特征库更新升级：依据巡检结果，定期对可以进行特征库、病毒库、威胁情报库和漏洞库等特征库升级的安全设施进行更新升级。（更新升级原则为同步产品厂商官网更新情况），针对已过授权许可时间的安全设备，提供处置建议。服务期内按需提供、不限定次数。（安全设施包含但不限于防火墙、入侵防御、WAF、防病毒系统、安全网关等，含政务云上采购人部署的安全设施。）网络安全漏洞修复针对安全漏洞事件，收集加固方法及验证方法，协助相关应用系统开发商进行漏洞修复。漏洞修复后应进行复测验证，确保安全加固和修复有效。故障处置对于采购人出现的各类故障情况，提供技术支持服务；包括安全设备、网络设备故障等；针对未过保的设备，故障处置由我司协调设备所属维护商进行维护，并跟进维修进度和效果，及时向采购人汇报情况。针对已过保设备的故障处置由我司进行协助维护，故障发生时我司应优先进行故障应急处理和恢复；如我司自身无法进行有效的故障处置，我司应出具实际可行的解决方案和建议，形成整体故障处置报告汇报给采购人。2、服务方式：现场服务，按次输出巡检和运维记录表。3、服务次数：按需提供，不限次数。4、常规服务时间：5×8，应急服务时间：7×24。5、交付文档：《日常安全运维记录文档》。网站定期漏洞扫描对采购人网站进行每周一次的互联网侧漏洞扫描，尽可能发现网站本身、中间件等的漏洞，避免出现网站漏洞被利用的情况。具体实施步骤和内容如下：服务内容周期开展安全扫描服务，使用漏洞扫描系统，进行安全扫描，扫描范围为本地局域网及采购人指定的政务云主机；对识别出的能被入侵者用来非法进入网络或者非法获取信息资产的漏洞，提醒安全管理员，及时完善安全策略，降低安全风险；及时发现最新的安全漏洞及安全风险，并出具安全扫描报告。服务次数：每季度1次。交付成果：《安全扫描报告》。效性与相关执行系统维护厂商进行核查。经核查后对无效的备份策略、无效的备份系统进行标记，提出相关整改建议。1、服务方式：现场服务。2、服务周期：1次。3、交付文档：《安全问题整改建议报告》、《安全问题整改报告》安全通告服务1、服务内容专业的安全服务队伍，对最新安全技术及安全信息的发现和追踪，并通过服务的平台与单位及时交流，帮助单位保持领先的安全理念。为单位提供定期的安全信息通告服务。安全信息中会包括最新的安全事件，病毒信息，漏洞信息，安全政策等内容。安全通告以邮件、电话、走访等方式，将安全技术和安全信息及时传递给单位。安全通告内容：业界动态；国家最新安全政策及法律法规；安全攻击事件；单位的操作系统、应用、设备等的最新安全漏洞和相应的解决措施；最新病毒信息；相关处理解决方案。2、服务方式一般信息将以邮件方式通告单位，重要信息以在线方式通告本单位负责人员，单位的敏感信息或单位指定要求现场告知的信息以走访的方式通告。3、服务周期：安全通告每月一次；重大行业安全事件和互联网安全事件实时通告预警。4、交付文档：《安全事件通告文档》。应急响应服务1、服务内容提供网络安全应急响应服务，在发生安全事件时提供现场/远程技术支持，面向已发生安全事件的事中、事后的取证、分析及提供处置、解决方案、建议等工作。具体服务内容如下：①针对问题进行入侵原因分析，找到攻击路径。入侵影响抑制：通过事件检测分析，提供抑制手段，降低入侵影响，协助快速恢复业务。入侵威胁清除：排查攻击路径，恶意文件清除。入侵原因分析：还原攻击路径，分析入侵事件原因等包括但不限于以下内容：判定安全事件类型从网络流量、系统和IDS日志记录、桌面日志中判断安全事件类型。查明安全事件原因，确定安全事件的威胁和破坏的严重程度。查明安全事件原因，确定安全事件的威胁和破坏的严重程度。抑制事态发展抑制事态发展是为了将事故的损害降低到最小化。在这一步中，通常会将受影响系统和服务隔离。这一点对保持系统的可用性是非常重要的。排除系统故障针对发现的安全事件来源，排除潜在的隐患，消除安全威胁，彻底解决安全问题。恢复信息系统正常操作在根除问题后，将已经被攻击设备或由于事故造成的系统损坏做恢复性工作，使网络系统能在尽可能短的时间内恢复正常的网络服务。客户信息系统安全加固对系统中发现的漏洞进行安全加固，消除安全隐患。重新评估客户信息系统的安全性能重新评价客户系统的安全特性，确保在一定的时间范围内，不发生同类的安全事件。②应急响应的流程包含以下内容：故障诊断、故障修复、系统清理和系统防护，服务完成后，提交完整的《应急事件分析报告》，详细说明事件原因、经过和处理方式等，而且对以后整改的方向提供适当的解决方案。安全事件发生时15分钟内做出响应并立即提供在线技术支持，无法通过远程支持解决的问题，提供现场服务，1小时内抵达用户现场解决问题。2、服务频率：服务期内按需提供，不限制次数。3、交付成果：《应急事件处置报告》。安全咨询服务1、服务内容日常安全问题咨询服务结合本单位的实际需求，参考国内外安全标准，提供日常安全咨询服务，主要包括大的网络安全规划、安全决策、安全事件处理等。提供完整全面的处理方案，要求方案具有可操作性、能够指导采购人进行事件处理和应对。网络安全规划服务结合采购人的实际需求，参考国内外安全标准和国内新技术研究（如等保2.0、关键信息基础设施保护条例、商用密码体系、云计算、大数据、物联网、移动安全），对采购人网络安全方案设计，网络安全建设，包括网络安全结构设计、系统安全设计、其他网络安全方案设计，提供网络安全远景规划设计，为未来网络信息安全工作开展提供有力指导与支撑。等级保护咨询服务深化网络安全等级保护工作，基于对网络安全的深刻理解，在等级保护的框架下构建一个安全、可靠、灵活、可持续改进的网络安全体系，对等级保护各个阶段的工作重点为客户提供全方位的支持和服务，协助完成定级备案、差距分析、安全整改或安全建议和协助对接等保测评工作。2、服务次数：按需提供，不限次数。3、交付成果《安全咨询服务记录》网络威胁监测分析服务监测从各省属企业到采购人局域网的流量、采购人办公网的流量，及时发现、分析网络中隐藏的各类威胁情况，对整网的威胁有全面的掌控。具体实施步骤和内容如下：1、服务内容我司通过用户的安全设施和自带的网络威胁监测系统，对全网流量进行威胁监测与分析；包括但不限于如下内容：告警配置：根据安全措施中约定的安全策略，在安全监测设备上设置事件告警策略，告警方式根据设备支持情况可以是短信、邮件、日志等形式；监控威胁：监控各安全设备和系统的安全告警信息及网络实际运行状况，并对这些信息进行分析，形成记录；对于触发应急预案的事件，则执行安全事件管理；如需要进行安全设备策略修改的，根据需求进行调整和优化。监控现有安全策略有效性：分析安全设备、系统发生发出告警或安全事件发生的原因，判断现有安全策略是否被有效执行，对于未被有效执行的策略，根据需求进行调整和优化。安全态势趋势分析：根据项目范围，用客户接受的统计分析方法，对安全监测项进行持续观察（如近几月，SQL注入入侵事件每天发生的次数；违反访问控制策略的次数及来源分析等）；当监测到较大变化或明显异常时，对偏离进行分析，查找根本原因，判断该变化对系统（威胁、脆弱性、影响）产生的风险，并提出相应的处置建议。形成阶段性报告。2、服务次数：按需提供，不限次数；3、常规服务时间：5×8，应急服务时间：7×24。4、交付文档：《服务记录文档》。配合监管单位各项安全检查工作配合采购人处理来自监管单位的各项安全检查工作要求，按要求完成相关资料整理，为完成安全检查工作做好支撑保障。具体实施步骤和内容如下：1、服务内容按照采购人及上级主管单位要求，做好正版化检查、网络安全检查、保密检查、业务对接、下级单位技术支撑、采购人交办的其他相关事宜等配合服务。2、服务次数：按需提供，不限次数；3、常规服务时间：5×8，应急服务时间：7×24。4、交付文档：《服务记录文档》。终端安全保障服务1）针对采购人自身网络办公PC提供一体化的安全防护能力，包括杀毒、补丁、运维管控。2）客户端支持操作系统：WindowsXP_SP3及以上/WindowsVista/Windows7/Windows8/Windows10；服务器支持操作系统：WindowsServer2003_SP2/WindowsServer2008/WindowsServer2012。3）终端支持智能屏蔽过期补丁、与操作系统不兼容的补丁，可以查看或搜索系统已安装的全部补丁。4）防病毒的病毒查杀引擎包括云查杀引擎、启发式引擎、脚本查杀引擎等引擎，支持多引擎的协同工作对病毒、木马、恶意软件、引导区病毒、BIOS病毒等进行查杀，提供主动防御系统防护等功能。5）运维管控功能支持对终端上传下载速度与流量进行管控；支持对各种外接设备进行外联控制，并根据违规外联发生时内外网连接状态分别设置违规处理措施；支持终端进程的黑白红名单设置；支持网址黑白名单策略；支持对终端各种外设、接口设置使用权限；支持对终端桌面系统的账号密码、本地安全策略、控制面板、屏保与壁纸、浏览器安全、杀毒软件检查进行管控策略配置。具体实施步骤和内容如下：1、服务内容提供终端安全防护软件，对项目范围内的终端系统安装终端安全防护软件。2、服务次数：按需提供，不限次数；3、常规服务时间：5×8，应急服务时间：7×24。4、交付文档：《服务记录文档》。政务云（互联网区域）云主机安全服务1）针对云上业务系统，提供主机防病毒、主机防火墙、主机入侵防御、Hypervieor层防护、主机加固、webshell检测于一体的虚拟化安全解决方案，旨在解决云主机的病毒风险、攻击风险、管理风险等一系列的安全问题。2）配置≥29个云主机安全防护功能授权。3）支持对病毒文件进行手动加白置黑操作、对目录、文件、扩展名进行信任操作，以提升查杀效率和降低误杀率。4）能够针对网站系统恶意webshell、后门等文件进行检测扫描，并统一展现扫描结果。根据情况对检测出的文件进行隔离、删除操作。具体实施步骤和内容如下：1、服务内容提供云主机安全防护软件，对项目范围内的终端系统安装云主机安全防护软件。2、服务次数：按需提供，不限次数；3、常规服务时间：5×8，应急服务时间：7×24。4、交付文档：《服务记录文档》。政务云（电子政务外网区域）云主机安全服务1）针对云上业务系统，提供主机防病毒、主机防火墙、主机入侵防御、Hypervieor层防护、主机加固、webshell检测于一体的虚拟化安全解决方案，旨在解决云主机的病毒风险、攻击风险、管理风险等一系列的安全问题。2）电子政务外网区域配置≥16个云主机安全防护功能授权。3）支持对病毒文件进行手动加白置黑操作、对目录、文件、扩展名进行信任操作，以提升查杀效率和降低误杀率。4）能够针对网站系统恶意webshell、后门等文件进行检测扫描，并统一展现扫描结果。根据情况对检测出的文件进行隔离、删除操作。具体实施步骤和内容如下：1、服务内容提供云主机安全防护软件，对项目范围内的终端系统安装云主机安全防护软件。2、服务次数：按需提供，不限次数；3、常规服务时间：5×8，应急服务时间：7×24。4、交付文档：《服务记录文档》。政务云（互联网区域）安全日志审计服务1）通过对云上业务系统安全组件的安全事件和系统日志进行集中收集、标准化处理，及时发现各种安全威胁、异常行为事件，为管理人员提供全局的视角，确保业务运营安全；支持对事件进行追溯，为客户提供真正可信赖的事件追责依据和安全分析数据源。2）配置≥30个节点的安全审计。3）能够对企业和组织的IT资源中构成业务信息系统的各种网络设备、安全设备、安全系统、主机操作系统、数据库、中间件以及各种应用系统的日志、事件、告警等安全信息进行全面的审计。4）可对不同类型设备的日志之间进行关联分析，支持递归关联，统计关联，时序关联，这几种关联方式能同时应用于一个关联分析规则。具体实施步骤和内容如下：1、服务内容我司通过安全日志审计系统提供云安全日志审计服务能力。2、服务次数：按需提供，不限次数；3、常规服务时间：5×8，应急服务时间：7×24。4、交付文档：《服务记录文档》。政务云（电子政务外网区域）安全日志审计服务1）通过对云上业务系统安全组件的安全事件和系统日志进行集中收集、标准化处理，及时发现各种安全威胁、异常行为事件，为管理人员提供全局的视角，确保业务运营安全；支持对事件进行追溯，为客户提供真正可信赖的事件追责依据和安全分析数据源。2）配置≥17个节点的安全审计。3）能够对企业和组织的IT资源中构成业务信息系统的各种网络设备、安全设备、安全系统、主机操作系统、数据库、中间件以及各种应用系统的日志、事件、告警等安全信息进行全面的审计。4）可对不同类型设备的日志之间进行关联分析，支持递归关联、统计关联、时序关联，这几种关联方式能同时应用于一个关联分析规则。具体实施步骤和内容如下：1、服务内容我司通过安全日志审计系统提供云安全日志审计服务能力。2、服务次数：按需提供，不限次数；3、常规服务时间：5×8，应急服务时间：7×24。4、交付