网络安全保障服务方案(网络安全运维、重保服务)

网络安全保障服务方案（网络安全运维、重保服务）TOC\o\h\z\u服务方案或项目实施方案 23.1.3项目服务方案 2服务内容 2服务流程 3.1重点网络安全保障时期保障服务 3.1.1 重保服务内容说明 3.1.2 重保服务体系 3.1.3 重保服务机制流程 5.1.4 重保服务团队 7.1.5 重保服务应急预案 8.2安全运维服务 11.2.1 安全运维服务内容说明 11.2.2 安全运维服务方式 11.2.2.1 安全设备策略配置服务 12.2.2.2 安全预警服务 13.2.2.3 安全监控服务 13.2.2.4 安全事件管理 15.2.2.5 安全设备管理 16.2.2.6 安全管理流程服务 17.2.2.7 安全现状分析与整改建议 19.3网站安全监测服务 20.3.1网站安全监测服务内容说明 20.3.2网站安全监测服务流程 20.4应急演练服务 23.4.1应急演练服务内容说明 23.4.2应急演练服务流程 23.4.2.1 工作背景 23.4.2.2 工作目标 23.4.2.3 演练安排 24.4.2.4 演练流程 24.5应急响应服务 27.5.1应急响应服务内容说明 27.5.2应急响应服务流程 27.5.2.1应急响应组织机构设立 27.5.2.2应急响应服务事件报告 28.5.2.3应急响应 28.5.2.4应急结束 37.5.2.5调查与评估 37.5.2.6系统恢复 38.5.2.7改进措施 38.6安全培训服务 38.6.1培训服务内容说明 38.6.2培训服务流程 38.7基线检查服务 41.7.1基线检查服务内容说明 41.7.2基线检查服务流程 41 服务交付物 43 服务计划 44 服务工具 45服务方案或项目实施方案3.1.3项目服务方案服务内容随着我国高校信息化建设的逐步深入，学校教务、校务、一卡通、招生、就业、财务、日常办公等工作对信息系统依赖的程度越来越高；教育信息化建设中大量的信息资源，成为学校成熟的业务展示和应用平台，在未来的教育信息化规划中占有非常重要的地位。从安全性上分析，高校业务应用和网络系统日益复杂，外部攻击、内部资源滥用、木马和病毒等不安全因素越来越显著，信息化安全是业务应用发展需要关注的核心和重点。为贯彻落实国家信息安全等级保护制度，规范和指导全国教育信息化建设工作，国家发布了一系列关于教育行业信息化工作的通知，并且随着今年我国网络安全法的正式实行，信息安全保障已经成为学校应承担的法律义务。为此四川xxx单位引入专业的网络安全服务商，通过专业安全技术人员、安全服务工具（网站监测、基线核查）、重要安全运维服务（重保值守、应急响应、应急演练、安全培训）等维度，提升和加强学院一体化网络安全运营能力，切实提升学院安全防护水平。通过安全服务的引入具备如下3个优势：一是能及时甄别安全风险、发现安全脆弱性问题，有针对性的进行安全加固及优化，保障信息系统长期安全稳定运行；二是通过加强事前发现、事中防护、事后响应溯源的安全闭环处置能力，形成完善的安全防护保障体系；三是通过服务方式引入第三方网络安全服务商专业技术人员，能有效解决学院专业安全技术人员短缺的现状。针对四川xxx单位的安全服务需求，我司依据磋商文件要求，提供包括但不限于如下服务内容：序号服务名称服务期重点网络安全保障时期保障服务1年安全运维服务1年网站安全监测服务1年应急演练服务1年应急响应服务1年安全培训服务1年基线检查服务1年服务流程.1重点网络安全保障时期保障服务重保服务内容说明重保服务内容：包含磋商文件要求的全部服务内容。整体服务流程：我司依据重保服务体系、重保服务机制流程、重保服务团队、重保服务应急预按，各工作人员参照章节内容各司其职，循序开展重点网络安全保障时期保障服务。重保服务体系针对重点网络安全保障时期保障服务，我司专门成立了重保服务小组，以应对一切突发的事情。应急小组由我司各类技术人员组成。将事情分为：严重、紧急，二类情况，根据不同情况我方启动后备组，同时调动我方可控的其他资源，经过应急流程，启动相应的应急计划，保证快速响应，迅速解决问题。项目重保服务应急事件处置流程图重保服务组织架构重保服务组织架构说明：（1）领导小组：成员组成：采购人相关项目负责人主持。工作职责：负责领导、指挥和协调应急处置工作的开展，向上级领导和有关部门汇报重保服务工作开展情况。（2）重保服务小组(含我司技术人员、售后服务人员、原厂商技术支撑人员)：组长:我司项目经理成员组成：原厂商技术支撑人员、我司技术支撑人员。工作职责：负责整体的项目沟通、重保服务响应、人员筹备、任务分工、分析研判、防护监测、应急处置、安全整改、事件汇报等工作。重保服务机制流程（一）风险控制机制采取以下措施对项目中的风险进行监控，以防止危及项目重大事故的风险发生。建立并及时更新项目风险列表及风险排序。项目管理人员随时关注与关键风险相关因素的变化情况，及时决定何时、采用何种风险应对措施。随时关注风险应对措施（规避、减轻、转移）实施的效果，对残余风险进行评估。建立报告机制，及时将项目中存在的问题反映到项目经理或项目领导层。定期召集项目干系人召开项目会议，对风险状况进行评估，并通过各方面对项目实施的反应来发现新风险。（二）现场重保服务机制重保服务防护前期阶段派驻安全专家到学校现场按学校要求为学校内部网络进行安全评估：包括但不限于全网信息资产梳理、网络架构分析、安全漏洞检测、基线配置核查、安全渗透测试、漏洞加固指导、安全应急演练、安全漏洞复测，最终按照学校要求的格式、数量等标准形成详细文档资料，针对发现的信息系统的安全漏洞等出具经过人工验证的分析报告及相应的具有可操作性处理建议。重点网络安全保障时期事前须交付全网信息资产清单表、网络架构分析报告、经人工验证的安全漏洞检测报告及漏洞修复建议、基线配置核查报告、安全渗透测试报告、漏洞加固记录、安全应急演练报告、安全漏洞复测报告。重保服务防护阶段在重保服务阶段，提供对指定的保障目标进行现场值守、24小时安全应急响应服务，重点加强防护过程中的安全保障工作，各岗位人员（参见重保服务团队和重保服务组织架构）各司其职，从攻击监测、攻击分析、攻击阻断、漏洞修复和追踪溯源、售后服务支撑等方面全面加强重保服务期间的安全防护效果。重保服务监测当重保服务工作正式开始后，重保服务工作小组组织各小组人员，根据岗位职责开展安全事件监测工作。重保服务工作小组借助安全防护设备（Web防火墙、IPS、入侵检测、蜜罐、态势感知、网站监测、主机加固软件等）开展攻击安全事件监测，对发现的攻击行为进行确认，详细记录攻击相关数据，为后续处置工作开展提供信息。事件分析与处置重保服务工作小组根据监测到安全事件，协同进行分析和确认。如有必要可通过主机日志、网络设备日志、入侵检测设备日志等信息对攻击行为进行分析，以找到攻击者的源IP地址、攻击服务器IP地址、邮件地址等信息，并对攻击方法、攻击方式、攻击路径和工具等进行分析研判。重保服务工作小组根据分析结果，应采取相应的处置措施，来确保目标系统安全。通过遏制攻击行为，使其不再危害目标系统和网络，依据攻击行为的具体特点实时制定攻击阻断的安全措施，详细记录攻击阻断操作。重保服务工作小组对业务稳定性进行监测并及时通报相关信息。重保服务工作小组应针对可能产生的攻击事件，根据已经制定的重保服务预案进行协同处置，同时在明确攻击源和攻击方式后，保证正常业务运行的前提下，可以通过调整安全设备策略的方式对攻击命令或IP进行阻断，分析确认攻击尝试利用的安全漏洞，确认安全漏洞的影响，制定漏洞修复方案并及时修复。防护总结与整改全面总结本次重保服务各阶段的工作情况，包括组织队伍、攻击情况、安全防护措施、监测手段、响应和协同处置等，形成总结报告并向业主单位汇报。针对重保服务期间存在的脆弱点，开展整改工作或提出安全整改建议，进一步提高目标系统的安全防护能力。重保服务团队多年的项目售后服务支持经验积累，我司建立了一套完整的重保服务体系，全面的服务内容，详细的服务流程，深厚的服务经验和一个优秀的服务团队。针对本项目，我司成立专门的重保服务团队为本项目提供优质服务和有力保障。重保服务支持在工服务过程中的具体职责是：1）负责落实项目重保服务范围内各项重保服务，并按服务内容输出相关文档资料；2）跟踪各项服务内容的执行进度和情况，确保服务按预定目标和计划执行；3）项目范围内安全设备出现故障及应急处理，对返修设备紧密跟踪，确保尽快到达；4）负责在应急支撑完成后与用户或用户指定人员进行知识传递和培训。6）负责用户突发事件的应急响应与保障工作，项目经理负责总体牵头，协协调我司的相关人员进行解决。7) 负责制定《重保服务服务方案》、《重保服务应急预案》；8) 对指定范围内的应用系统、网络、安全监测与防护设备相关资产进行全面梳理和安全检查，摸清网络安全现状、发现安全漏洞、弱点和不完善的策略设置；排查整体网络中的安全薄弱点，对薄弱点进行安全整改或提出安全整改建议。9 重保服务工作期间利用甲方已有的安全防护设施（比如：防火墙、IPS、安全审计、日志审计系统、主机加固软件、防病毒软件）对网络攻击行为进行监测、分析、预警和处置。10) 依据《重保服务预案》，负责重保服务工作期间的安全事件的应急响应和处置。11) 负责对本次重保服务工作中的重要事件进行每日汇报，重保服务工作结束后进行总结，编写总结报告。重保服务应急预案重保服务预案为保障重保服务应急事件处置工作中，业主单位方在发现各类突发事件时，重保服务团队能按规范流程进行各项应急处置，同时也能验证各方面人员应对应急过程中的组织能力和应急处置能力，为提高应用系统的防护和应急水平，特此制定本重保服务预案流程。一、工作目标本应急流程主要是在应急处置期间，针对安全设备故障、业务系统在遭受攻击时，通过监测发现、分析研判、处置上报等环节有效抑制应急事件发生及影响扩散，保障业务系统和网络环境安全稳定的运行。二、组织及职责重保服务组织架构说明：见上述重保服务体系及重保服务团队。工作内容及流程结合单位实际工作情况，将应急流程工作分为三个阶段：监测发现阶段、分析阶段和处置阶段。具体应急流程图如下：重保服务过程中，依据重保服务任务的不同开展各项应急工作，如下所示：（一）被动响应用户的重保服务需求重保服务工作小组，接受重保服务需求。项目经理依据需求进行人员安排和任务分配。即刻响应，提供专职工程师进行重保服务支撑，整体事件处置过程参照应急流程图执行。重保服务工作小组提供重保服务，包括但不限于现场处置服务、远程支持、电话联系等。应急工作处置完成后输出相应的是事件报告。（二）用户现场重保服务服务（重大节假日专人现场重保服务）1.监测发现重保服务工作小组应按照职责开展全网的监测和分析工作，具体内容如下：重保服务工作小组利用防火墙、WAF、IPS、安全审计、主机加固软件等安全监测设备对攻击行为进行识别，同时对主机、应用系统、中间件和数据库的日志进行人工分析及时发现识别可疑攻击。重保服务工作小组通过分析确定是攻击行为（例如：后门上传、口令爆破）且未入侵成功，则在防火墙、WAF、网络设备上进行阻断。2.分析研判重保服务工作小组经综合分析判断为可疑入侵成功事件，将分析结果和事件上报领导小组。3.处置措施重保服务工作小组综合分析确认事件严重程度，为领导小组是否启动重保服务预案提供决策支持。领导小组根据重保服务工作小组上报的事件和决策支持信息，决定启动相应应急预案并通知重保服务工作小组开展安全事件应急处置工作。重保服务工作小组根据事件性质按照相应应急预案开展应急处置工作。安全事件处置完成后，重保服务工作小组将事件处置结果上报领导小组。.2安全运维服务安全运维服务内容说明安全运维服务内容：包含磋商文件要求的全部服务内容。整体服务流程：我司派驻专业安全人员参与到四川xxx单位日常安全管理和运维中，常态化的开展安全运维服务，包括但不限于安全设备策略配置服务、安全管理流程服务和安全现状分析与整改建议服务。安全运维服务方式我司按照运维服务要求，配备现场驻场运维团队；按项目需求配备足够数量的专人进行信息安全运维。服务方式包括：提供5×8小时现场人员响应，非工作时间进行手机值班和服务热线支持；节假日和特殊情况提供7×24现场人员响应。日常主要包括但不限于以下服务内容：安全设备策略配置服务工作内容根据信息安全运维工作需要，对安全设备自身的配置进行变更调整，如登录口令、登录方式、密码复杂度等设备运维策略；定期（如：每月）对安全设备业务访问策略进行梳理分析，发现过期、冗余、无效、不明确用途等策略，根据分析结果提供优化调整建议；配合客户业务系统部署与调整，从安全角度给出部署建议，制定和更新安全设备的防护、检测策略工作过程特征库升级：派驻工程师应对具有检测功能的安全设备的特征进行定期升级，保持设备以最新特征库运行。当发生重大漏洞时，应实时更新设备特征库。设备不能自动在线升级时，通常可通过供应商网站手动下载升级包进行升级。运维策略变更：派驻工程师因日常运维工作需要、客户安全策略变更、突发事件引起的策略变更等，对安全设备自身配置进行变更时（如：变更口令、更换远程登录方式、配置日志告警等），需先向客户提交《<设备名称>策略变更申请》，审批通过后，再按照申请单内容进行相应策略变更，并记录到《安全设备配置策略变更记录表》。策略优化分析：定期（如：每月）一次对防火墙访问控制策略进行梳理分析，发现过期、冗余、无效、不明确用途等策略，根据分析结果向客户提供《防火墙策略优化分析报告》。业务策略变更管理：其他人员（其他运维人员、开发人员、业务人员、客户等）因相关工作需要派驻工程师配合对业务策略进行变更的，需由策略使用者填写《<设备名称>策略变更申请》，并经本项目客户直接领导审批同意后再进行相应策略变更并记录到《安全设备配置策略变更记录表》。互联网开放服务管理： 派驻工程师应对映射发布到互联网的服务端口及归属进行梳理，梳理结果记录到《互联网服务开放情况统计表》。可通过查看互联网出口处执行NAT的设备的地址转换策略进行梳理； 梳理完成后根据该表在互联网出口处通过防火墙配置访问控制策略，严格控制互联网服务的开放。 当新增服务要发布到互联网时，派驻工程师先根据具体业务情况制定相应保护措施（如在WAF、IPS中增加防护、漏洞扫描）后，再开放端口访问，并更新《互联网服务开放情况统计表》。（在进行相关防护措施部署时，仍应根据策略变更流程进行）。安全预警服务工作内容服务期内定期以报告形式向甲方公布常规漏洞通报，内容包括国内外权威漏洞发布公开站点为主要数据源的安全漏洞信息（如CVE、NVD、Bugtraq、CERT等）。重大安全漏洞或事件时，实时向甲方通报事件预警，提供防护或规避建议。工作方式安全漏洞信息收集：通过各种官方渠道收集安全漏洞信息发布安全漏洞信息预警：派驻工作师定期需要对漏洞信息进行收录与整理形成《[漏洞预警]漏洞信息预警》发送给客户。国家信息安全漏洞库-漏洞预警：可从国家信息安全漏洞库官网“漏洞预警”页面获取漏洞关联性分析：分析公布的漏洞影响范围，是否存在与客户应用系统运行环境相匹配的漏洞（如匹配的中间件类型、操作系统类型、版本、软件厂商等）。安全监控服务工作内容根据持续关注客户网络、系统运行情况，一旦发生安全事件后，及时分析安全系统及设备的事件日志，进行事件的追踪定位。根据收集到的信息，整理分析后形成安全运维监测项识别每个监控对象探测到的事件（威胁）的来源、影响和重要性，综合分析所有监控对象探测到的事件及系统产生告警日志，形成分析报告并定期报告给用户；对于触发到应急预案的安全事件，则按照事件处理流程执行。对于持续监测项的变化进行分析，以用户认同的方法进行建模计算，评估安全态势变化趋势以及变化对环境因素、威胁、脆弱性及影响可能产生的风险。对于偏离正常态势的检测项及相关内容做进一步的风险评估或安全措施有效性检查，确保系统处于风险可控状态。通过对项目范围内所有安全系统及设备的报警日志进行分析客户近一月的信息安全情势、安全状况，提出改进建议，形成《信息安全运维周报/月报》。工作方式告警配置：根据安全措施中约定的安全策略，在安全设备上设置事件告警策略，告警方式根据设备支持情况可以是短信、邮件、日志等形式；监控威胁：监控各安全设备和系统的安全告警信息及网络实际运行状况，并对这些信息进行分析，形成记录；对于触发应急预案的事件，则执行安全事件管理；如需要进行安全设备策略修改的，根据“安全策略配置服务”描述进行工作开展。监控现有安全策略有效性：分析安全设备、系统发生发出告警或安全事件发生的原因，判断现有安全策略是否被有效执行，对于未被有效执行的策略，根据“安全策略配置服务”进行相关工作。安全态势趋势分析：根据项目范围，用客户接受的统计分析方法，对安全监测项进行持续观察（如近几月，SQL注入入侵事件每天发生的次数；违反访问控制策略的次数及来源分析等）；当监测到较大变化或明显异常时，对偏离进行分析，查找根本原因，判断该变化对系统（威胁、脆弱性、影响）产生的风险，并提出相应的处置建议。形成阶段性报告，如：《信息安全运维周报/月报》。运行报告：派驻工程师根据与用户约定的周期提交运行监控报告，每周提交《安全监控周报》；根据用户约定的周期每月提交《信息安全运维月度报告》。安全事件管理工作内容在发现或发生安全事件后，派驻工程师先行判断分析，进行汇报、跟踪、处理、总结、记录工作。工作方式事件通告：派驻工程师在发现或发生安全事件后，先进行事件分析分类，填写《[安全事件通告]<事件编号>.<事件名称>》，并及时发送给客户。事件跟踪处置：漏洞事件：在安全漏洞预警信息中发现的与客户信息相关的安全漏洞；派驻工程师在发出事件通告后，应收集漏洞具体影响范围及测试方法，并与相关供应商的运维负责人联系，协助确认其系统是否在此漏洞影响范围，并根据安全加固影响范围和判断结果进行相关工作，将漏洞事件记录到《安全事件监控记录表》持续关注。设备故障事件：因安全设备故障引起的网络运行中断或性能下降的安全事件；驻场工作师在发出事件通告，根据甲方管理流程协助进行相关工作，并记录到《安全事件监控记录表》持续关注。网络攻击事件：发现正在发生或已经发生的网络攻击事件；派驻工程师应立即发出事件通告，并向客户电话汇报，请其协调所有相关供应商的运维负责人配合，启动相应应急预案。派驻工程师根据项目实际情况向公司申请相应资源支持，并跟踪配合后续所有工作。将过程记录到《安全事件监控记录表》，并持续关注。事件总结：派驻工程师对事件起因、处置过程、结果等进行整理并出具《<事件名称>安全事件处理报告》安全设备管理工作内容根据安全运维范围，定期对项目范围内的所有在运行的安全系统及设备进行巡检，如：对设备的物理运行情况、清洁情况、系统运行情况、系统资源利用情况、系统运行日志、相应功能是否正常运行等进行检查并记录，排除可能存在的安全问题和隐患。定期对设备配置、日志进行备份。在安全设备故障处理过程中的所有协调配合及总结报告工作。工作方式现场巡检：驻场工程师在定期进入机房根据《安全设备巡检记录表》对项目范围内的安全设备的物理运行情况进行实地勘查，确保及时发现设备物理故障及被物理破坏的风险。远程巡检：在完成现场巡检后，驻场工程师还需要依次登录所有项目范围内的安全设备，根据《安全设备巡检记录表》检查设备的软件运行情况、功能运行情况，确保及时发现设备软故障及功能故障。硬维修：驻场工程师在机房巡检过程中如发现设备有物理故障的，应第一时间向客户电话或当面汇报，并根据安全设备信息统计表联系供应商负责人，确认维修方案后向客户发起维修申请，请客户协调供应商提供维修服务。驻场工程师配合供应商进行相关维修工作，并通过设备维修跟踪记录表跟踪此事。在故障处理完毕后，向客户提交《<设备故障处理报告》。软维修：驻场工程师在远程巡检过程中如发现设备有运行或功能故障的（如故障会影响客户业务正常运行的，应第一时间向客户负责人电话汇报），根据安全设备信息统计表联系供应商负责人远程支持，远程支持不能解决的可通过向客户发出原厂售后服务支持申请，请客户协调供应商提供现场支持。驻场工程师配合供应商进行相关维修工作，并通过故障处理跟踪记录表跟踪此事。在故障处理完毕后，向客户提交《<设备故障处理报告》。断网管理：在进行硬维修与软维修时，如在维修过程中会造成客户任何主机断网的，驻场工程师事先应与供应商负责人确认断网影响范围、断网时间等情况，请客户协调安排合适的断网维修时间段及网络恢复后的业务测试工作；驻场工程师在申请通过后配合供应商维修负责人按计划进行维修，在断网恢复后配合业务连通性测试。突发故障管理：在设备维修过程中驻场工程师应提醒约束供应商维修负责人严格按规范操作；在维修过程中发生计划外突发故障的（如设备不能重新启动），驻场工程师应第一时间电话向客户汇报，请客户协调启动相应应急措施。驻场工程师需要出具突发故障情况说明报告。备份管理：驻场工程师应定期（如：每周）对设备配置及日志进行备份并记录到《安全设备备份记录表》；在设备维修前驻场工程师应对设备进行相应程度的备份。安全管理流程服务工作内容提供安全团队融入学校的安全管理组织架构和安全管理工作流程，同时为安全工作流程中的各项工作提供技术支持。使得学校以较低的成本具备相应的专业技术能力，实现学校安全管理工作更有效、高效的运作。工作方式派驻一名我司具有安全认证证书的工程师到甲方单位参与到学校的安全管理组织架构和安全管理工作流程中，合同期内，派驻时间平均不得少于每周一个工作日，提交签到表及工作日报。以安全事件处置流程为例，工作方式如下：首先需明确各责任单位，列明所有参与安全管理的人员及联系方式，如有涉及第三方技术支持单位、设备厂商等，需列入组织结构。事件分类分级事件类型和危害程度分析将涵盖以下内容：分析突发事件风险的来源、特性等；明确突发事件可能导致紧急情况的类型、影响范围及后果。1）事件分类参考拒绝服务攻击事件；非法入侵事件；恶意代码事件；跨站脚本攻击事件；其他信息安全事件。2）事件分级参考一般：影响范围较小，导致局部互联网运行受到影响；较大：系统无法正常访问，造成一定社会影响的信息安全事件；重大：发生网页篡改事件，被张贴反动言论；工作秘密大量泄露，并在互联网等公众媒体上大量出现和传播，对系统业务和声誉造成特别重大影响。处理流程绘制从事件发现到问题关闭的全过程的应急响应流程图，明确各处理步骤，整体处理流程如下：发现与报告阶段为保证网络与信息系统正常运行，各网络与业务信息系统应建立监控措施和日志查看制度，采用必要的技术手段，确保及时发现网络安全事件。事件分析阶段分析与评估事件的性质、影响范围判断是否启动应急预案开展应急响应：若判断无需开展应急响应，发布相关预警通告，应急流程结束；若判断需开展应急响应，则结合实际情况对网络安全事件进行定位，启用相应的专项应急预案，启动应急响应。事件恢复阶段按照应急预案开展应急处置和业务恢复工作，在执行恢复方案之前，应对关键业务信息执行备份和状态检查。执行恢复方案，并记录恢复过程，检查恢复效果，如果恢复不成功则收集信息重新制定业务恢复方案。事件根除阶段在业务恢复正常之后对事件进行原因分析，对业务系统进一步进行检查，根据发现的问题与漏洞制定事件根除方案。事件总结阶段对业务影响、范围、损失进行总结，对应急措施的有效性进行评估，对事件原因进行分析，编写安全事件处置总结报告。事件上报安全事件通报/上报时限与汇报周期在安全保障工作执行过程中，安全事件应急响应组织架构中的各组，遵守下表中关于汇报时限要求及时汇报。安全事件分类监控分析小组汇报预警通告小组预警通告小组汇报重保领导组重保领导组汇报总指挥时限时限时限网络安全事件5分钟事件发生20分钟以内事件发生30分钟以内如果事件发生30分钟内仍未恢复，领导组应做好事件升级、对外公告及解释工作。信息通报/上报的方式保障过程中，事件信息的通报/上报通过电子邮件、传真以及电话等方式直接通告，必须确认信息接收方收到相关通报。安全现状分析与整改建议工作内容通过对学校安全资源的变化进行持续跟踪和评估，提供周期性的安全现状分析报告和对应的整改建议。提交年度安全现状分析与整改建议报告。工作方式项目工作组及派驻现场的运维工程师协助对以往发现的安全风险进行梳理，对尚未解决的高中风险快速进行闭环，针对历史上发生的重要安全事件进行复盘，总结教训，提升意识，并确认已无潜在风险。项目工作组及派驻现场的运维工程师对运维工作中发现的风险及问题进行最终汇总整合，并且形成相应的跟踪表，设立每项风险闭环的责任主体和负责人，并根据实际情况，选择合适的手段，规定整改最终时间，及时跟进直至各项风险闭环。我司派驻现场的运维工程师提供安全现状分析与整改建议服务，依据服务内容输出对应服务报告，包含但不限于提交年度安全现状分析与整改建议报告。.3网站安全监测服务.3.1网站安全监测服务内容说明我司按照服务内容要求提供网站安全监测服务，提供对客户网站资产的全天候SaaS化监测服务。客户只需提供网站域名，即可针对挂马、黑链、篡改、敏感内容、平稳度、DNS监测、钓鱼等方面进行实时监测。此外，我司和厂商的安全专家团队会出具周期性的综合安全评估报告，汇总网站的安全风险、安全趋势并提出专业的安全建议。.3.2网站安全监测服务流程我司提供的网站安全监测服务的体系架构依托于我司安全云，整体服务流程为：（1）实施阶段：通过梳理出需要监测的网址和域名列表，告知我司人员，我司人员会在我司安全云上做好相关监测配置；（2）交付账号阶段：我司提供我司安全云监测访问网址链接、登录账号和密码；用户可通过账户进行实时数据查看。（3）服务阶段：我司和我司安全专家团队会在安全云7×24小时值守，远程实时监测客户的网站。一旦发现客户的网站存在风险状况，安全专家团队会在第一时间通过电话、短信和邮件方式通知客户，并且提供专业的安全解决建议。同时，经验丰富的安全专家团队会定期出具周期性的综合评估报告，让客户整体掌握网站的风险状况及安全趋势，最后客户也可以登录网站监测自助门户系统（Portal）随时随地掌握最新暴露的真实漏洞和安全事件等信息。我司安全云网站监测系统服务架构和功能如下：我司安全云网站监测系统服务架构其主要分为四层：数据采集层、数据计算层、数据存储层和数据可视层。数据采集层我司安全云的数据采集层负责采集用户的资产数据，采集待评估的漏洞数据，采集待分析的可用性和完整性数据。数据计算层数据计算层从缓存服务器队列中取出采集回来的数据，进行精准化的检测和智能化的分析工作，并将处理后的结果保存到数据库服务器集群中。数据存储层数据存储层由数据库服务器集群构成，主要存储了用户的资产信息，安全风险信息，安全事件信息等三大块内容。数据可视层数据可视层将数据库服务器集群中保存的资产信息、漏洞信息、告警信息进行可视化呈现，再由7x24小时值守团队在30分钟之内将人工验证后的结果通过电话、短信、邮件方式通告用户。同时，我司和我司安全专家团队还会定期为用户出具专业安全报告，让用户可以对自身网站安全状况及趋势一目了然。除此之外用户可以通过登录Portal一目了然的看到风险、事件在地域上以及组织单位上的分布，针对暴露的漏洞风险及事件进行跟踪管理。我司安全云网站监测系统服务优势快应用快7*24小时全天候服务，按需购买，即买即用，无需安装部署。检测快平台每2-5分钟监测一次，高密度发现网站异常情况。响应快安全专家30分钟内分析告警，及时响应告警事件。定位问题快用户各单位的风险及事件以组织架构形态做可视化呈现，让用户对于所辖单位暴露的问题一目了然，同时用户在排查问题时可以得到更多的诊断信息的帮助，例如：“通断时长、链路、监测点，协议等”广漏洞覆盖广支持扫描网站系统漏洞，支持扫描WASC25种Web应用漏洞，全面覆盖OWASPTop10Web应用风险。事件覆盖广提供网页篡改监测、网页挂马监测、网页敏感内容监测、网页黑链监测、网站平稳度监测、域名解析监测、远程漏洞扫描、网站资产核查、代码泄露核查监测等安全事件，全方位、多角度发现客户网站安全问题监测点分布广支持多点监测，覆盖全国多省、三大运营商线路。交付维度广支持实时安全告警，及时了解网站安全问题。周期性评估报告，整体掌握网站风险概况。可视化客户端数据展示，问题趋势一目了然免免物流直接远程交付服务，无需物流发货。免安装SaaS服务，无需安装任何软硬件。免部署无需改变网络结构，无需占用机房或办公空间。免维护无需处理软硬件故障、升级等问题，完全托管，无需亲自运维。准精准验证高中危漏洞针对扫描结果中的高中危漏洞提供机器和安全专家两级核查验证精准贴合用户业务需求能够通过自定义可用性监测级别，更加贴合用户业务场景。精准贴合用户管理规范能够通过分级告警的方式，更加贴合用户实际管理规范。.4应急演练服务.4.1应急演练服务内容说明我司按照服务内容要求提供应急演练服务，包括但不限于演练方案编制、演练活动准备、演练安排、演练流程设定等。.4.2应急演练服务流程工作背景根据中国网络安全协会的调查报告显示，近几年以来中国90%的信息系统遭受过不同层次的攻击，其中近40%的系统被黑客成功入侵，数据泄露、勒索软件、APT攻击等网络安全事件也频繁被国内外报道并造成了巨大损失。网络安全从某种程度上就是攻击方（黑客）与防守方（合法用户）之间的博弈，作为防守方必须站在攻击者的角度思考，掌握攻击者的攻击思路、使用的攻击手段，才能在与攻击者的博弈过程中占得先机。应急演练，指在专业的安全人员在既定的网络及应用环境中进行模拟入侵及防御的一类演练活动形式。参与者可以通过模拟的演练场景亲身参与到安全事件攻防之中，进而充分了解安全事件中攻、防双方的思路及实践方法。工作目标此次网络安全应急演练计划完成以下目标：1.发现并消除安全威胁网络安全应急演练根据黑客思维采取不对称对抗，在真实网络环境中进行实战攻防，及时发现信息系统中存在的漏洞和现阶段安全监控的盲点，通过对安全漏洞的加固和不断优化调整策略，提高系统整体安全水平和防御能力。2.完善安全事件应急机制网络安全应急演练的最终目的即是完善安全事件的应急机制，通过模拟的安全事件可以让安全团队以低成本实施一次有效的应急响应，同时也可有效识别出当前安全处理机制的不足或缺陷。3.全面提高技术人员安全技能水平网络安全应急演练对于技术人员的安全水平提升是全面的。不仅包括攻击技术分析，临时防御措施，日志分析及事件识别等。演练安排1.演练时间：客户指定2.演练单位：四川xxx单位3.演练地点：客户指定演练流程一、准备阶段（1）活动准备四川xxx单位单位信息保障中心负责确定应急演练接口人，组建攻击队伍，确定参演单位并发放参演单位作为被攻击方的授权书；参演单位负责确定参演资产信息、参演人员名单并提供网络环境等必要前置条件。（2）组建工作组本次网络安全应急演练工作组架构如下图：1.应急演练活动专家组由四川xxx单位单位信息保障中心工作人员组成，职责如下：审核整体方案，确认组织架构，统筹协调并推进演习工作开展，召开启动会，并对整体风险进行管控；对方案及应急演练过程进行整体把控，并对演练过程中可能产生的问题进行技术研判。2.红方（攻击队）由2名安全服务提供商技术人员组成，职责如下：负责对演习目标实施攻击，并对攻击结果进行提交和最终复盘。3.蓝方（防守队）由参演单位安全团队人员及安全服务提供商技术人员组成，职责如下：负责此次应急演练攻击目标的资源准备和确认，同时对本单位的安全防护体系进行有效性评估，在正式演练中调整防护策略，评估防守效果、遏制攻击行为等。4.应急保障组由四川xxx单位单位信息保障中心工作人员组成，职责如下：负责对演习过程中突发事件做应急处理，确保演练工作顺利进行。（3）资源准备或确认在应急演练正式开始前需要落实以下资源：确定应急演练期间的攻击人员、防守人员清单确定攻击目标资产清单和靶标在应急演练期间攻击人员的工作场地和网络接入确定攻击目标已完成数据备份和恢复有效性测试二、演练阶段（1）活动启动会在应急演练开始的第一天召开演练工作启动会，演练所有人员参会，进行演练目的、流程、要求的宣贯，并进行实施方案的设计，在网络及人员准备妥当后根据实施方案进行实施。（2）应急演练实施攻击队对指定目标进行攻击，在取得攻击成果后及时提交攻击成果报告，裁判通过对攻击成果进行研判确认。由本活动专家组担任裁判，针对攻击方提交的攻击成果进行有效的判断和评分。防守队针对本单位信息系统进行实施监控，并通过对安全感知设备和安全防御设备的告警日志仔细分析研判，跟踪并记录攻击路径、结果等，在必要时刻进行干预和处置，并在演练结束后提交防守成果报告。红、蓝双方技术人员应与专家组保持实时有效沟通，报告攻击过程的进展和防守中发现的异常情况；攻击队伍应严格遵守风险控制策略实施攻击，遵守演练时间安排，以免影响业务正常运行。（3）产出文档1.《攻击成果报告》（多份）2.《防守成果报告》三、复盘阶段在演练指定攻击时间结束之后，红、蓝队分别编制应急演练总结报告，裁判通过双方总结报告对本次应急演练进行综合评估和过程推演。召开应急演练总结会，对防守方现有信息系统安全现状、防护能力、应急处置流程等进行评定并提出后续整改建议。四、收尾阶段（1）资源回收应急演练结束后，工作组和对选手使用电脑、绑定IP、账号、带宽等资源进行回收登记。（2）系统清理防守方可根据攻击方提交的攻击成果汇总报告和攻击操作记录，删除演练期间攻击方遗留的文件、数据及账户，攻击方应协助清理痕迹。（3）整改加固防守方对应急演练期间发现的系统漏洞、安全策略、管理漏洞等问题进行整改加固，攻击方协助防守方做相应的整改；在防守方将发现的问题整改完毕后，攻击方对发现的问题进行复测。

.5应急响应服务.5.1应急响应服务内容说明我司按照服务内容要求提供应急响应服务，制定安全应急响应预案，明确责任分工、指挥机制、响应流程、临机处置权限、应急支撑队伍等。建立健全四川xxx单位网络安全事件应急工作机制，提高应对网络安全事件能力，预防和减少网络安全事件造成的损失和危害。.5.2应急响应服务流程.5.2.1应急响应组织机构设立四川xxx单位网络安全应急响应小组负责四川xxx单位的网络安全应急响应工作，并接受四川xxx单位网络安全应急指挥小组的统一指挥。网络安全应急指挥小组四川xxx单位设立网络安全应急指挥小组，应急指挥小组的工作与四川xxx单位的日常网络安全工作密切相关，由信息中心领导、各单位领导以及指定技术人员组成。主要职责包括：承担网络安全值守应急工作；收集、分析工作信息，及时上报重要信息；负责四川xxx单位网络与信息安全的监测预警和风险评估控制、隐患排查整改工作；组织制订、修订网络与信息安全突发事件相关的应急预案；负责组织协调网络与信息安全突发事件应急演练；负责对四川xxx单位网络与信息安全突发事件的宣传教育与培训。四川xxx单位网络安全应急指挥小组，决定严重网络安全突发事件应急预案的启动，组织力量对严重突发事件进行处置，统一领导和组织指挥重大网络安全突发事件的应急处置工作。网络安全应急响应小组四川xxx单位网络安全应急响应小组由信息安全与新技术应用科室组建，由信息安全与新技术应用科室人员和各单位信息管理员组成，负责四川xxx单位关键信息基础设施及关键业务的日常监控、事件报告和事件应急响应工作。应急响应小组的具体工作职责包括：负责对四川xxx单位关键网络设备、安全设备及关键应用系统的运行状况的日常监控和维护，对网络安全事件的处理提供技术支持和指导，遵循正确的流程，采取正确快速的行动作出响应，提出事件统计分析报告。.5.2.2应急响应服务事件报告发生网络安全突发事件后，本着尽量减少损失的原则，依据受影响业务的安全需求，将相关信息系统或区域尽快隔离，四川xxx单位网络安全应急响应小组应及时向应急指挥小组报告并对事件进行预定级；应急指挥小组接到信息系统突发事件的应急报告后，分析事件，判定事件等级，并按照相应事件等级准备应急保障资源。报告分为紧急报告和详细报告。紧急报告是指事件发生后，以口头和应急报告表形式汇报事件的简要情况；详细汇报是指由四川xxx单位网络安全应急响应小组在事件处理暂告一段落后，以书面形式提交的详细报告。发生以下引起网络安全突发事件的情况时，应向应急指挥小组报告：（1）大面积病毒爆发及快速扩散事件；（2）对四川xxx单位关键信息系统和关键设备等的大规模攻击和非法入侵，攻击数据包源lP地址不明或为内部IP地址；（3）四川xxx单位关键信息系统上传信息不符合国家和保密要求的事件；（4）对四川xxx单位关键信息系统整体会造成影响的信息系统突发事件；（5）任何单位和个人均不得隐报、瞒报、谎报或者授权他人缓报、瞒报、谎报事件。.5.2.3应急响应四川xxx单位关键信息系统应急处置所需的各单位、部门协同以及应急资源，由应急指挥小组负责统一协调，应急响应小组负责具体工作落实。网络安全应急指挥小组、网络安全应急响应小组以保障四川xxx单位关键信息系统和信息网络系统的安全稳定运行为目标。当发生病毒、非法入侵、网络攻击、有害信息传播、不符合规定的信息传播等事件时，迅速调整网络安全设备的安全策略或隔离事件区域，查找源头，采取有效措施，控制事件的发展。当系统出现软硬件设备故障、网络链路故障、机房环境设备故障等事件时，应立即启动备份系统和备用设备，调整系统运行和安全策略，恢复系统正常运行。信息系统发生突发事件，事件等级初步判定为一般突发事件，应急响应小组应在规定时间内根据事件原因采取相应措施控制影响范围的同时，向应急指挥小组进行紧急报告，请求立即启动应急预案，根据事件发生的原因协调相关资源，开展应急处理。信息系统发生突发事件，事件等级初步判定为严重突发事件，应急响应小组应在规定时间内根据事件原因采取相应措施控制影响范围的同时，向应急指挥小组进行紧急报告，要求立即启动应急预案，应急响应小组根据事件发生的原因协调其他应急资源开展应急处理。（1）应急响应流程1、系统值班员在风险可预知并可控情况下进行初步处理；否则向系统管理员报告故障，等候系统管理员处理办法；2、系统值班员报告系统管理员及二线值班专家，系统管理员到达现场进行处理，在风险可预知并可控的情况下进行处理；否则向系统负责人汇报，同时通知系统集成商进行现场服务；3、我司工程师到达现场进行处理，在风险可预知并可控的情况下将处理办法及其风险控制措施一并提交系统负责人，由负责人进行决策是否按照所提交的方案进行故障的排除，如可行，由我司工程师进行故障的排除；4、我司对故障无法判断的情况下协调系统厂商进行现场服务，厂商工程师到达现场，提出解决方案和风险控制措施，交由系统负责人进行决策，如可行，由厂商工程师进行故障的排除。在处理过程中，根据事件的类型，参照不同的操作指南进行处理。（2）网络支撑保障由网络安全应急响应小组负责对四川xxx单位关键信息系统提供网络支撑保障工作，具体由信息安全与新技术应用科室执行。我司负责对四川xxx单位关键信息系统的互联网接入进行保障。主要互联网出口的逻辑结构和物理链路建议采用双机双链路的高可靠性接入要求，在此基础上，我司准备好备份光纤、光模块等备品备件，以备紧急情况下的应急处理。对四川xxx单位关键信息系统的上联链路进行重点监控和保障，对关键信息系统的流量、协议、连接数等进行重点监控和保障。我司将加强对互联网出口链路的状态、流量、连接数等进行实时监控。同时，按照互联网出口既定的应急预案，保障出口链路的正常运行和紧急情况下的应急处理。针对WEB门户网站等域名的解析，我司在重保期间需提前与域名解析商进行沟通，提出重保要求，商讨应急预案，确保紧急情况下能够及时沟通、及时处理。（3）硬件设备故障响应单台设备应急流程若单台防火墙或WAF，建议要支持ByPass功能（串行部署），确保业务的持续性和可用性。具体请参照下述流程：A、如果防火墙/WAF设备出现异常，首先检查（确认）防火墙/WAF是否能正常进行工作，以及防火墙设置是否有问题。B、如果防火墙/WAF设备不能正常工作，技术人员应立即联系厂商售后服务部上门维护，并且与技术工程师确认备用防火墙的具体型号，及时协作工程师在安装备用防火墙之间的调试。在技术工程师上门之前技术人员应立即使用路由器替代现有防火墙，保证网络的正常。C、如果防火墙能正常进行工作，是防火墙设置有问题，技术人员要根据问题大小确定是否需要用路由器来暂时替代防火墙，以保证联机网络的正常运行。D、及时完成日志记录工作。（4）应用系统安全事件响应病毒和蠕虫事件处理病毒：病毒是可以感染应用程序的一个小程序，或者一串代码。病毒的主要功能是复制，它需要借助一个宿主应用程序（hostapplication）来进行复制。换言之，病毒不能进行自我复制。病毒通过在文件中插入或者附加自身拷贝对文件进行感染。病毒可以导致系统文件的删除、显示恶意图形、重新配置系统或者控制邮件服务器。蠕虫：蠕虫不同于病毒，因为蠕虫可以不需宿主程序而进行自我复制，是一种独立的病毒程序。蠕虫可以通过电子邮件、TCP/IP或者磁盘进行自我传播。蠕虫和传统的病毒的定义趋于融合，它们之间的界线也逐渐模糊。虽然病毒和蠕虫存在不同之处，但二者的处理过程除了隔离系统和时间要求不同之外，其他基本相同。病毒不会自动复制，此类事件的时间紧迫度远弱于蠕虫和黑客事件。蠕虫会自动复制并且在短时间内传染上百台机器，因此处理时间至关重要，如果不能确定事件究竟属于那种类型，就按照蠕虫的相关过程处理。对病毒或者蠕虫安全事件的处理流程包含以下步骤：第一步：隔离系统迅速将受到病毒感染的系统和网络中的其他系统隔离开，如果怀疑是蠕虫事件，则应该断开公司网络与外网的连接。网络隔离是防止蠕虫扩散的一种方法，但由于工程师可能需要到相应网站上去下载杀毒软件的升级包，因此与外网隔离会对后来的清理工作带来一些麻烦，应急响应组长负责决定是否和外网隔离，并指派人记录所有采用的行为。不要将系统断电，不要重新引导系统，有些病毒会在系统重启时破坏磁盘中的数据，同时也可能破坏有用的信息或者消除一些证据。第二步：通知相关人员尽快通知安全管理员，如果10分钟不能与其取得联系，立即通知他的备份人员。安全管理员负责通知其他相关人员。注意：对蠕虫事件和普通病毒事件规定不同的响应时间：技术人员应该立即把情况告诉安全管理员，如果一小时不能取得联系，立即通知他的备份人员；安全管理员应该在两个小时内通知应急响应执行组长，必要的话，应急响应执行组长应该向应急响应组长汇报；安全管理员应该在4小时内联系网络管理员。第三步：识别问题尽量找出病毒或者蠕虫文件和进程并将其隔离。在删除文件和杀掉进程之前，先做一个系统快照并妥善保存。如果找到了病毒或蠕虫代码，将其移到安全的地方或者用磁带将其保存，然后删除中毒的文件。列出所有活动的网络连接，在技术人员的帮助下对系统做快照。在被感染的系统上运行主机系统检查工具以检查其他可能发生的问题，如系统文件被改动，出现了新的特殊程序或者隐藏了一些特殊文件。注意检查软件的清洁，必要时，重新从原始介质重新安装检查工具。第四步：消除病毒或蠕虫关闭所有可疑的进程，备份系统映像，贴好标签，妥善保存。删除所有怀疑中毒的文件或病毒文件，对于蠕虫事件，只有所有系统都处理完毕并采取了防护措施后才能重新恢复与外网的连接。第五步：加固系统加固系统或者升级杀毒软件使系统免受进一步的破坏，在采用这些措施之前，有必要对系统的损坏程度进行评估，并对恶意代码进行分析；一旦系统恢复到安全状态，任何的修复措施和升级包都应该先做实验，证明安全后才能采用。记录所有的行为。第六步：恢复到日常状态在将系统恢复到正常工作状态之前，应该通知第一部分提到的所有相关人员；恢复后，通知用户。最好要求所有用户都改变口令，在恢复和外部的连接之前，确定所有受到影响的地方都成功地恢复到正常状态。同时记录所有工作活动。第七步：事后分析事后分析并提交报告。黑客攻击事件处理按照黑客事件进行的过程和所处的阶段，可以分成三种类型：1、攻击者正在试图取得访问系统的权限；2、已经建立连接，攻击正在进行时；3、攻击已经完成。在这三种类型的事件中，攻击正在进行时的情形最严峻，必须尽快处理。处理正在进行的黑客事件有两种方法，一种是立即切断黑客和系统的连接，将系统恢复到安全的状态；第二种方法是不惊动攻击者，尽量收集信息以确定攻击源或作为法律证据。这两种方法的选择取决于对本次黑客行为可能造成的风险的估计。攻击试探事件这种类型的事件的特征为：多次登录尝试，多次ftp、telnet或rsh尝试、反复拨号尝试等。第一步：确定问题通过系统日志文件和活动的网络连接来识别入侵者的来处，备份所有审计信息，如：系统日志文件，root的history文件，utmp和wtmp文件，并妥善保存这些文件。列出进程状态信息，并将其存在文件中妥善保存。同时记录所有工作活动。第二步：通知安全管理员在30分钟内通知安全管理员，如果不能及时找到安全管理员，就通知安全管理员的备份人员。安全管理员或其备份人员负责通知其它层次的管理人员。第三步：识别攻击源如果能够找到攻击的来源，安全管理员或其指定的专人应该负责和对方的系统管理员或安全分析员联系，尽量找出攻击的发起者。如果找到了攻击者，应该把相关信息通知应急响应执行组长，由他们来决定怎样处理。同时记录所有工作活动。第四步：事后处理在调查之后，应急响应执行组长应该指定相关人员对此次事件写一份报告，针对事件和采取的行为进行描述，并执行事后分析。正在进行的黑客攻击事件这种类型的事件包括系统上任何非授权人员建立的活动会话和执行命令的行为，如：活动的rlogin或telnet会话，活动的ftp会话。由于黑客可能在很短的时间内破坏系统，事件响应的时间非常重要，所以在处理这类事件时，应该首先由应急响应执行组长或其指定的人员在综合考虑监控人员的能力和可能造成的风险的前提下决定是立即将黑客驱逐出系统还是在不惊动黑客的情况下收集证据。第一步：通知相关人员尽快通知安全管理员，如果在5分钟内无法和他取得联系则立即通知备份人员。安全管理员负责通知其他相关人员，并且在网络系统管理员的帮助下估计黑客下一步行为，并针对黑客继续活动的风险进行评估。安全管理员应该尽快通知应急响应执行组长，如果在10分钟之内不能办到，立即通知备份人员。应急响应执行组长决定是立即将黑客驱逐出系统还是在不惊动黑客的情况下收集证据。不同的决定有不同的处理过程。应急响应执行组长应该在30分钟内通知应急响应组长，必要时，应急响应组长将情况向上级管理者汇报。第二步：系统快照对所有审计信息（如：系统日志文件，root的history文件，utmp和wtmp文件等）进行备份，并妥善保管；获取所有进程的状态信息并将其存在一个文件里，安全存放文件；所有可疑的文件都应该先转移到安全的地方或在磁带里存档，然后将其删除；列出所有活动的网络连接，在网络系统管理员的帮助下获得系统的快照，记录所有的行为。第三步：驱逐黑客杀掉所有活动的黑客进程，并删除黑客在系统中留下的文件和程序；改变所有黑客访问过的帐户的口令，删除黑客自己开的帐号。同时记录所有工作活动。第四步：恢复系统将系统恢复到日常运行状态，恢复被黑客修改的数据和文件；安装系统patch，修补系统漏洞，通知相应的人员；此次事件所有恢复系统的行为都应该记录在案。第五步：事后分析在进行调查之后，由安全管理员和相关人员提交一份对事件全过程的总结报告。第六步：监控黑客行为对黑客行为的监控没有固定的过程，每个事件都有不同的情况。应急响应执行组长或者其授权的人应该指导整个监控过程。当驱逐黑客的时机成熟时，按照第三步执行。攻击行为已经完成如果在事件发生以后才觉察，通常很难找到足够的信息来分析黑客怎样获得访问系统的权限。如果发现曾经有人闯入过系统，应该在一个工作日内通知安全管理员，安全管理员负责通知相关人员进行事件调查和处理。拒绝服务攻击处理拒绝服务攻击的英文意思是DenialofService，简称DoS。从网络攻击的各种方法和所产生的破坏情况来看，拒绝服务攻击是一种很简单但又很有效的进攻方式。它可以使服务器或者网络充斥大量信息，消耗网络带宽或系统资源，导致网络或系统趋于瘫痪而无法提供正常的网络服务。分布式拒绝服务DDoS(DistributedDenialofService)是一种基于DoS的特殊形式的拒绝服务攻击，是一种分布、协作的大规模攻击方式，主要瞄准比较大的站点，如商业公司，搜索引擎和政府部门的站点。分布式拒绝服务攻击是危害最大、最易于达到攻击效果、最难以抵御和追踪的一种拒绝服务攻击。对于业界来说，DoS攻击已经伴随着Internet的发展存在了多年，其原理极为简单，也早已为人们所熟知。虽然各种攻击手法层出不穷，但DoS攻击依然是互联网面临的主要威胁。这种类型的事件的特征为：服务无法提供，可能出现服务器无法响应，造成用户无法访问，或者出口路由器或防火墙无法响应，造成网络中断等等。拒绝服务攻击直接造成客户业务的中断或服务的无法提供，因此尽可能迅速地阻止攻击数据包是非常重要的。对拒绝服务攻击事件的处理流程包含以下步骤：第一步：确定问题通过服务器/网络设备/防火墙等的系统状态、网络链路状态，判断问题的类型和造成的影响程度。记录所有工作活动。第二步：通知安全管理员在30分钟内通知安全管理员。安全管理员负责通知其它层次的管理人员。第三步：识别攻击手段利用数据分析产品，如IDS、sniffer等，分析攻击数据包，同时根据路由器、防火墙上的记录判断攻击手段和攻击来源。如果攻击来源明确，安全管理员可以指导网络管理员对路由器进行应急安全增强配置，或部署防御拒绝服务攻击的产品，阻断来自攻击来源的攻击数据包。如果数据包中的源地址是随机生成的，那么是否能迅速准确地确定伪造来源将取决于客户的响应动作是否迅速，因为路由器中的记录可能会在攻击中止后很快就被清除。尽快联系互联网服务供应商（ISP），获得他们的协助和合作，调整路由访问控制策略，以实现对带宽总量的限制以及不同的访问地址在同一时间对带宽的占有率。最理想的情况是当发生攻击时ISP愿意监视网络流量或允许客户访问他们的路由器。如果找到了攻击者，应该把相关信息通知应急响应执行组长，由他们来决定怎样处理。同时记录所有工作活动。第四步：事后处理在调查之后，应急响应执行组长应该指定相关人员对此次事件写一份报告，针对事件和采取的行为进行描述，并执行事后分析。 网站大量正常访问造成性能下降处理当前四川xxx单位关键信息系统的主要流量是对网站的HTTP访问流量，如果由于正常的访问造成网站性能的下降，可以采取临时网页的措施，临时网页相对于正式网页来说，去除了一部分次要信息，只保留主要信息，并且对图片等占用资源较大的元素，进行了优化处理，以降低网络访问所造成的流量。对于此类事件的具体处理如下：第一步：确定问题在这个阶段，关键是要把正常访问流量增加造成的性能下降与拒绝服务攻击区分开。最明显的标志是有重大消息的宣布、网站内容有较大的调整，另外从具体行为来说，访问来源非常分散，网络行为正常。第二步：通知安全管理员在30分钟内通知安全管理员。安全管理员负责通知其它层次的管理人员。第三步：临时网页替换将访问量过大的页面用临时页面替换，同时也要考虑主页的替换，以提高网站首页的打开速度。第四步：事后总结在调查之后，应急响应执行组长应该指定相关人员对此次事件写一份报告，针对事件和采取的行为进行描述，并执行事后分析。.5.2.4应急结束应急响应小组对应急事件处置后应根据事件等级对系统进行监控：严重信息系统突发事件应急处理结束后应密切关注、监测系统1周，确认无异常现象；一般信息系统突发事件应急处理结束后应密切关注、监测系统3天，确认无异常现象。应急指挥小组在以下条件同时满足的情况下，可决定解除应急状态，并向上级有关部门报告：（1）各种信息系统事件已得到有效控制，情况趋缓；（2）信息系统突发事件处理已经结束，设备、系统已恢复运行；（3）上级应急部门发布的解除应急响应状态指令。.5.2.5调查与评估信息系统突发事件应急处理结束后，应急响应小组应结合运行过程中的异常和事件，对本次应急事件进行深入的调查和评估，综合分析信息系统中存在的关键点和薄弱点，正确认识系统面临的威胁和风险，提出该类事件的整改措施。.5.2.6系统恢复系统恢复是在对突发事件应急后，根据事件调查与评估结果，对系统暴露的漏洞进行全面修补，制定整改实施方案并予以落实，是采取有效手段消除、减少、规避系统威胁、风险，提升系统原有安全防护能力的过程。.5.2.7改进措施信息系统突发事件应急处理结束后，应急响应小组应结合运行过程中的异常和事件组织研究事件发生的原因和特点、分析事件发展过程，总结应急处理过程中的经验和教训，进行应急处置知识积累，进一步补充、完善和修订有关应急预案，整改措施和方案报应急指挥小组备案。.6安全培训服务.6.1培训服务内容说明我司按照服务内容要求提供培训服务，提供培训教程、培训方案等内容，采用高级安全专家现场提供培训服务。.6.2培训服务流程培训说明我司将会向用户的技术人员提供全面的培训，通过讲授网络安全政策法规、网络安全基础设备原理、网络安全基础攻击手段、网络安全基础防御知识，使参训人员知道网络安全行为准则，知道怎么去维护行为准则，有哪些行为打破了行为准则。培训目的为保障项目建设顺利实施和运行，我们组织安排不同工作层面的技术人员有针对性的接受不同的培训。通过培训，主要实现两个目标：一、为用户建立一支训练有素的技术队伍，为今后持续的信息化建设奠定良好的基础。二、让技术人员掌握有关软件系统、设备使用维护和管理等技术，达到能独立进行故障处理、日常测试维护的目的，保证我们提供的设备能够正常、安全的运行。培训需求我们做如下培训安排：（一）提供进行培训的环境。（二）培训教员至少具有三年的相同课程的教学经验。（三）使用中文授课（四）为所有被培训人员提供培训用文字资料和讲义等相关用品。（五）提供培训资料培训对象系统管理人员人员基本素质要求：对系统和设备基本的使用、管理、配置、维护能力。系统维护人员人员基本素质要求：对系统和设备基本的使用、管理、配置、维护能力。系统操作人员人员基本素质要求：对系统和设备有基本的应用、理解能力。培训方式现场技术培训和集中培训两种方式。现场培训在招标方设备安装调试所在地；集中培训方式与客户沟通后确定。培训时间分两类培训时间，集中培训和现场培训。集中培训跟客户协商确定，一般安排在部署完成之后，对相关人员集中培训；现场培训时间，一般在部署的过程中，对协助的甲方人员进行操作指导及现场培训指导。培训地点具体由双方协商确定。培训内容集中培训的内容安排如下：培训对象具体内容系统管理人员系统操作人员系统维护人员1、网络安全政策法规2、网络安全基础设备原理3、网络安全基础攻击手段4、网络安全基础防御知识具体内容课时分配如下：（1网络