日常网络安全运维服务方案

日常网络安全运维服务实施方案

目录

（1）资产梳理服务..............................................................................1

（2）安全全面排查及整改服务...................................................................2

（3）基础设施巡检服务.........................................................................4

（4）日常性技术支持和维护.....................................................................5

（5）安全整改工作..............................................................................7

（6）其他相关配合服务.........................................................................8

（7）安全扫描服务..............................................................................8

（8）安全通告服务..............................................................................9

（9）应急响应服务.............................................................................10

（10）安全咨询服务............................................................................II

（11）业务系统安全评估服务....................................................................12

（12）业务系统安全评估结果修复服务...........................................................18

（13）业务系统安全基线加固服务...............................................................19

（1）资产梳理服务

对采购人全网（业主指定范围）信息化资产进行梳理和排查，根据

梳理排查情况及采购人提供的相关信息，编制信息资产表。包括但不限

于网络设备、安全设备、服务器、web应用、数据库等。明确需要保护

的信息资产、保护优先级和相应的管理人员、责任人。设备资产表至少

包括名称、型号、数量、IP地址、位置等信息。有调整和变动时立即更

新。

梳理采购人当前（业主指定范围）已有的安全监测和防御产品，对

其实现的功能、效果、防御范围、安全日志、特征库更新情况等进行综

合分析。依据梳理结果出具调整、处置建议，经采购人授权后进行调整

和处置。

1、服务流程

供应商签订合同后1周内完成第一次资产梳理服务，并完成《初步

信息资产表》的编制；

《初步信息资产表》编制完成后，协同采购人完成对信息资产的保

护范围、保护优先级认定，同时落实相应的管理人员、责任人；

输出《信息资产表》；

对《信息资产表》进行维护，每月完成一次信息资产表的核对工作;

有调整和变动时立即更新。

2、服务方式：现场服务。

3、服务周期：每月1次信息资产表的核对工作。

4、交付文档：《初步信息资产表》、《信息资产表》、《信息资

产表更新维护记录表》。

（2）安全全面排查及整改服务

依据资产梳理服务结果开展安全全面排查工作，通过安全排查手

段对目标系统、目标网络进行全面排查，结合标准整改和加固方法出具

安全问题整改建议报告，对整改建议报告中采购人认可的整改建议逐

一进行协助整改或直接整改，最终出具安全整改报告。具体排查服务内

容如下：

•网络安全检查

a）本地网络架构检查:针对目标系统开展网络契构检查工作，以评

估目标系统在网络架构方面的合理性，网络安全防护方面的健壮性，是

2

否已具备有效的防护措施；

b）网络安全策略检查:针对目标系统所涉及的网络设施、安全设施

进行策略检查，确保目前已有策略均按照“按需开放，最小开放”的原

则进行开放；确保目标系统所涉及的网络设施、安全设施中无多余、过

期的策略；

C）网络安全基线检查:针对目标系统所涉及的网络设施进行安全

基线检查，重点检查多余服务、多余账号、口令策略，禁止存在默认口

令和弱口令等配置情况；

d）安全设备/软件基线检查：针对目标系统所涉及的安全设备进行

安全基线检查，重点检查多余账号、口令策略、策略启用情况、应用规

则、特征库升级情况、系统版本情况，禁止存在默认口令、弱口令、系

统版本具有漏洞的情况；

•主机（服务器）安全检查

a）主机安全基线检查:针对目标系统（本地及政务云）所涉及的主

机进行安全检查，重点检查多余账号、口令策略、账号策略、远程管理

等情况；

b）数据库安全基线检查：针对目标系统（本地及政务云）所涉及

的数据库进行安全检查，重点检查多余账号、口令策略、账号策略、远

程管理等情况；

c）中间件安全基线检查：针对目标系统（本地及政务云）所涉及

的中间件进行安全检查，重点检查中间件管理后台、口令策略、账号策

略、安全配置等情况；

3

d）中间件安全基线检查：针对目标系统（本地及政务云）所涉及

的中间件进行安全检查，重点检查中间件管理后台、口令策略、账号策

略、安全配置等情况；

e）主机漏洞扫描：针对目标系统所涉及的主机、数据库以及中间

件迸行安全漏洞扫描；

•备份有效性性检查

a）备份有效性检查：针对本次目标系统中的所涉及的备份策略、备

份系统有效性与相关执行系统维护厂商进行核查。经核查后对无效的

备份策略、无效的备份系统进行标记，提出相关整改建议。

1、服务方式：现场服务。

2、服务周期：1次。

3、交付文档：《安全问题整改建议报告》、《安全问题整改报

告》

（3）基础设施巡检服务

1、安全设备巡检

定期对指定安全设施（含采购人政务云上部署的安全设施）病毒库

和特征库更新情况检查；对安全设备工作异常、安全告警等进行审核分

析；对安全设备主机控制面板状态指示灯检查、CPU利用率、内存利用

率、磁盘使用率、电源情况巡检；对异常情况进行排查，并针对异常情

况提出解决方案和建议。

2、服务器巡检

利用数据中心现有监控设备或工具，定期对指定服务器进行健康

4

巡检；对发现的异常情况进行排查，并针对异常情况提出解决方案和建

议。

3、核心网络设备巡检

定期对指定核心网络设备CPU利用率、内存利用率、电源状态、风

扇状态巡检，对错误事件日志和异常情况进行分析和维护；对异常情况

进行排查，并针对异常情况提出解决方案和建议。

4、UPS、精密空调巡检

定期检查UPS主机、精密空调工作状态及各板件上指示灯的状态；

对发现的异常情况进行排查，并针对异常情况提出解决方案和建议。

5、服务方式：现场服务，按次输出巡检记录表。

6、服务周期：每周1次。

7、交付文档：《巡检记录表》。

（4）日常性技术支持和维护

・日常技术支持服务

1、服务内容

对在建或新建的信息化系统利用采购人现有设备设施，提供网络、

安全防护等基础IT环境的配合服务；对于采购人日常发生的网络设备

调试、安全设备调试等提供技术支持服务。

2、服务方式：现场服务，按次输出工单记录表。

3、服务次数：按需提供，不限次数。

4、常规服务时间：5X8,应急服务时间：7X8o

5、交付文档：《技术支持记录文档》。

5

・日常技术维护

1、服务内容

策略调优及优化：依据资产情况、业务系统网络流向、日常安全

监测情况、近期风险通报结果及安全设备实际策略配置情况，对安全设

施协助开展策略配置调优，以持续提升安全运行和防护能力。（安全设

备包含但不限于防火墙、入侵防御、WAF、防病毒系统、安全网关等。）

服务期内按需提供,不限定次数。

配置备份：定期对核心交换机、汇聚交换机、网络出口防火墙等关

键节点设备的系统配置和策略配置进行完整备份；在设备发生故障后

提供配置快速导入等恢复措施。服务期内按需提供，策略配置及系统配

置备份每月一次。

安全设施特征库更新升级：每周依据巡检结果，定期对可以进行特

征库、病毒库、威胁情报库和漏洞库等特征库升级的安全设施进行更新

升级。（更新升级原则为同步产品厂商官网更新情况），针对已过授权

许可时间的安全设备，提供处置建议。服务期内按需提供、不限定次数。

（安全设施包含但不限于防火墙、入侵防御、WAF.防病毒系统、安全

网关等，含政务云上采购人部署的安全设施。）

2、服务方式:现场服务。

3、交付文档：《策略调优及优化记录文档》、《配置备份记录文

档》、《安全设备特征库更新升级记录文档》。

•故障处置支持

1、服务内容

6

对于采购人出现的各类故障情况，提供技术支持服务；包括安全设

备、网络设备、UPS、精密空调系统故障等；针对示过保的设备，故障

处置由供应商协调设备所属维护商进行维护，并跟进维修进度和效果,

及时向采购人汇报情况。针对已过保设备的故障处置由供应商进行协

助维护，故障发生时供应商应优先进行故障应急处理和恢复；如供应商

自身无法进行有效的故障处置，供应商应出具实际可行的解决方案和

建议，形成整体故障处置报告汇报给采购人。

2、服务次数：按需提供，不限次数。

3、常规服务时间：5X8,应急服务时间：7X8o

4、交付文档：《故障处置记录文档》。

（5）安全整改工作

1、服务内容

运维服务期间，如上级部门、公安部门、信息化主管部门等单位对

数据中心（不含信息系统软件本身）进行安全扫描，根据各方安全评估

结果和通知文件，协助进行安全漏洞修复、系统平台加固，防止系统破

坏、数据泄露。如安全整改经评估会对业务系统产生影响时，供应商需

提出整改建议方案（方案中需注明风险）。

及时响应相关单位发出的安全漏洞通报。

针对风险等级为严重的漏洞，在收到报告后的三个工作日内修复

解决或提出整改建议方案；针对风险等级为中、低的漏洞，须在收到

报告后的两周内修复解决或提出整改建议方案。

针对紧急漏洞（比如勒索病毒），需依据相关单位发出的安全漏洞

7

通报中的解决方案立即解决。

修复解决后提交安全整改报告（如遇到系统较大版本升级改动等

特殊情况需要延期解决，须在安全整改报告中说明）

2、服务次数：按需提供，不限次数。

3、常规服务时间：5X8,应急服务时间：7X8o

4、交付文档：《安全整改记录文档》。

（6）其他相关配合服务

1、服务内容

按照采购人及上级主管单位要求，做好正版化检查、网络安全检查、

保密检查、业务对接、下级单位技术支撑、采购人交办的其他相关事宜

等配合服务。

2、服务次数：按需提供，不限次数；

3、常规服务时间：5X8,应急服务时间：7X8o

4、交付文档：《服务记录文档》。

（7）安全扫描服务

1、服务内容

周期开展安全扫描服务，使用漏洞扫描系统，进行安全扫描，扫描

范围为本地局域网及采购人指定的政务云主机；对识别出的能被入侵

者用来非法进入网络或者非法获取信息资产的漏洞，提醒安全管理员，

及肘完善安全策略，降低安全风险；及时发现最新的安全漏洞及安全风

险，并出具安全扫描报告。

8

2、服务次数：每季度1次。

3、交付成果：《安全扫描报告》。

(8)安全通告服务

1、服务内容

专业的安全服务队伍，对最新安全技术及安全信息的发现和追踪，

并通过服务的平台与单位及时交流，帮助单位保持领先的安全理念。为

单位提供定期的安全信息通告服务。安全信息中会包括最新的安全事

件，病毒信息，漏洞信息，安全政策等内容。安全通告以邮件、电话、

走访等方式，将安全技术和安全信息及时传递给单位。

安全通告内容：

业界动态；

国家最新安全政策及法律法规；

安全攻击事件；

单位的操作系统、应用、设备等的最新安全漏洞和相应的解决措施;

最新病毒信息；

相关处理解决方案。

2、服务方式

一般信息将以邮件方式通告单位，重要信息以在线方式通告本单

位负责人员，单位的敏感信息或单位指定要求现场告知的信息以走访

的方式通告。

3、服务周期：安全通告每月一次；重大行业安全事件和互联网安

全事件实时通告预警。

9

4、交付文档：《安全事件通告文档》。

(9)应急响应服务

1、服务内容

提供网络安全应急响应服务，在发生安全事件时提供现场/远程技

术支持，面向已发生安全事件的事中、事后的取证、分析及提供处置、

解决方案、建议等工作。具体服务内容如下：

①针对问题进行入侵原因分析，找到攻击路径，入侵影响抑制：通

过事件检测分析，提供抑制手段，降低入侵影响，协助快速恢复业务。

入侵威胁清除：排查攻击路径，恶意文件清除。入侵原因分析：还原攻

击路径，分析入侵事件原因等包括但不限于以下内容：

判定安全事件类型

从网络流量、系统和IDS日志记录、桌面日志中判断安全事件类

型。查明安全事件原因，确定安全事件的威胁和破坏的严重程度。查明

安全事件原因，确定安全事件的威胁和破坏的严重程度。

抑制事态发展

抑制事态发展是为了将事故的损害降低到最小化。在这一步中，通

常会将受影响系统和服务隔离。这一点对保持系统的可用性是非常重

要的。

排除系统故障

针对发现的安全事件来源，排除潜在的隐患，消除安全威胁，彻底

解决安全问题。

恢复信息系统正常操作

10

在根除问题后，将已经被攻击设备或由于事故造成的系统损坏做

恢复性工作，使网络系统能在尽可能短的时间内恢复正常的网络服务。

客户信息系统安全加固

对系统中发现的漏洞进行安全加固，消除安全隐患。

重新评估客户信息系统的安全性能

重新评价客户系统的安全特性，确保在一定的时间范围内，不发生

同类的安全事件。

②应急响应的流程包含以下内容：故障诊断、故障修复、系统清理

和系统防护，服务完成后，提交完整的《应急事件分析报告》，详细说

明事件原因、经过和处理方式等，而且对以后整改的方向提供适当的解

决方案。安全事件发生时15分钟内做出响应并立即提供在线技术支

持，无法通过远程支持解决的问题，提供现场服务，1小时内抵达用户

现场解决问题。

2、服务频率：服务期内按需提供，不限制次数。

3、交付成果：《应急事件处置报告》。

（10）安全咨询服务

1、服务内容

日常安全问题咨询服务

结合本单位的实际需求，参考国内外安全标准，提供日常安全咨询

服务，主要包括大的网络安全规划、安全决策、安全事件处理等。提供

完整全面的处理方案，要求方案具有可操作性、能够指导采购人进行事

件处理和应对。

网络安全规划服务

结合采购人的实际需求，参考国内外安全标准和国内新技术研究

（如等保2.0、关键信息基础设施保护条例、商用密码体系、云计算、

大数据、物联网、移动安全），对采购人网络安全方案设计，网络安全

建设，包括网络安全结构设计、系统安全设计、其他网络安全方案设计,

提供网络安全远景规划设行，为未来网络信息安全工作开展提供有力

指导与支撑。

等级保护咨询服务

深化网络安全等级保护工作，基于对网络安全的深刻理解，在等级

保护的框架下构建一个安全、可靠、灵活、可持续改进的网络安全体系，

对等级保护各个阶段的工作重点为客户提供全方位的支持和服务，协

助完成定级备案、差距分析、安全整改或安全建议和协助对接等保测评

工作。

2、服务次数：按需提供，不限次数。

3、交付成果《安全咨询服务记录》

（11）业务系统安全评估服务

1、服务内容

针对安全评估服务范围，结合等级保护合规性测评等各项检查工

作的成果，采用外部渗透方式及内部渗透方式对应用系统进行非破坏

性质的模拟入侵者攻击的测试，检测外部威胁源和路径，以便掌握系统

的安全状况，寻找系统存在的漏洞和风险；并出具安全评估报告：

测试方法

12

渗透测试完全模拟黑客的入侵思路与技术手段，黑客的攻击入侵

需要利用目标网络的安全弱点，渗透测试也是同样的道理。以人工渗透

为主，辅助以攻击工具的使用，这样保证了整个渗透测试过程都在可以

控制和调整的范围之内。

针对各应用系统的渗透测试方法包括以下方法但不局限于以下方

法:

测试方法描述

信息收集是渗透攻击的前提，通过信息收集可以有针对性地制定模拟攻

击测试计划，提高模拟攻击的成功率，同时可以有效的降低攻击测试对

信息收集

系统正常运行造成的不利影响。信息收集的方法包括端口扫描、操作系

统指纹判别、应用判别、账号扫描、配置判别等。

通过对目标地址的TCP/UDP端口扫描，确定其所开放的服务的数量和类

型，这是所有渗透测试的基础。通过端口扫描，可以基本确定一个系统

端口扫描

的基本信息，结合安全工程师的经验可以确定其可能存在以及被利用的

安全弱点，为进行深层次的渗透提供依据。

本阶段将对暴露在公网的所有登陆口进行口令猜解的测试，找出各个系

统可能存在的弱口令或易被猜解的口令。猜解成功后将继续对系统进行

口令猜测渗透测试，挖掘嵌套在登录口背后的漏洞、寻找新的突破口以及可能泄

漏的敏感信息，并评估相应的危害性。猜解的对象包括：WEB登录口、

FTP端口、数据库端口、远程管理端口等。

这是当前出现的频率最高、威胁最严重，同时又是最容易实现的一种渗

远程溢出

透方法，一个具有一般网络知识的入侵者就可以在很短的时间内利用现

13

成的工具实现远程溢出攻击。对于在防火墙内的系统存在同样的风险，

只要对跨接防火墙内外的一台主机攻击成功，那么通过这台主机对防火

墙内的主机进行攻击就易如反掌。

本地溢出是指在拥有了一个普通用户的账号之后，通过一段特殊的指令

代码获得管理员权限的方法。使用本地溢出的前提是首先要获得一个普

通用户的密码。也就是说由于导致本地溢出的一个关键条件是设置不当

本地溢出

的密码策略。多年的实践证明，在经过前期的口令猜测阶段获取的普通

账号登录系统之后，对系统实施本地溢出攻击，就能获取不进行主动安

全防御的系统的控制管理权限。

脚本测试专门针对Web服务滞进行。根据最新的技术统计，脚本安全弱

点为当前Web系统尤其存在动态内容的Web系统存在的主要比较严重的

脚本测试安全弱点之一。利用脚本相关弱点轻则可以获取系统其他目录的访问权

限，重则将有可能取得系统的控制权限。因此对于含有动态页面的Web

系统，脚本测试将是必不可少的一个环节。

通过初步信息收集分析，存在两种可能性，一种是目标系统存在重大的

安全弱点，测试可以直接控制目标系统；另一种是目标系统没有远程重

大的安全弱点，但是可以获得普通用户权限，这时可以通过该普通用户

权限获取

权限进一步收集目标系统信息。接下来尽最大努力取得超级用户权限、

收集目标主机资料信息，寻求本地权限提升的机会。这样不停的进行信

息收集分析、权限提升的结果形成了整个的渗透测试过程。

测内容

本项目安全评估包括但不限于以下内容:

测试大类测试项测试目的

用户注册检查用户注册功能可能涉及的安全问题

身份验证类

用户登录检查用户登录功能可能涉及的安全问题

修改密码检查用户修改密码功能可能涉及的安全问题

检查忘记密码、找回密码、密码重置功能可能涉及的安

密码重置

全问题

验证码绕过检测验证码机制是否合理，是否可以被绕过

用户锁定功能测试用户锁定功能相关的安全问题

检测目标系统是否仅依靠cookie来确认会话身份，从

Cookie重放攻击

而易受到cookie回放攻击

Cookie具有明显含义，或可被预测、可逆向，可被攻

会话令牌分析

会话管理类击者分析出cookie结构

会话令牌泄露测试会话令牌是否存在泄露的可能

会话固定攻击测试目标系统是否存在固定会话的缺陷

跨站请求伪造检测目标系统是否存在CSRF漏洞

测试目标系统是否由于设计不当，导致合法功能非法利

功能滥用

用

访问控制类

垂直权限提升测试可能出现垂直权限提升的情况

水平权限提升测试可能出现水平权限提升的情况

SQL注入检测目标系统是否存在SQL注入漏洞

检测目标系统的文件上传功能是否存在缺陷，导致可

文件上传

以上传非预期类型和内容的文件

检测目标系统加载/下载义件功能是否可以造成任意义

任意文件下载

件下载问题

输入处理类XML注入测试目标系统-是否存在XML注入漏洞

目录穿越测试目标系统是否存在目录穿越漏洞

SSRF检测目标系统是否存在服务端跨站请求伪造漏洞

本地文件包含测试目标站点是否存在LFI漏洞

远程文件包含测试目标站点是否存在RFI漏洞

远程命令/代码执行测试目标系统是否存在命令/代码注入漏洞

反射型跨站脚本检测目标系统是否存在反射型跨站脚本漏洞

存储型跨站脚本检测目标系统是否存在存储型跨站脚本漏洞

DOM-based跨站脚

检测目标系统是否存在DOM-based跨站脚本漏洞

本

服务端URL重定向检查目标系统是否存在服务端URL重定向漏洞

测试目标系统的错误处理能力，是否会输出详尽的错误

errorcode

信息

信息泄露类

StackTraces测试目标系统是否开启了StackTraces调试信息

敏感信息尽量收集目标系统的敏感信息

测试目标系统是否存在jboss、weblogic、tomcat等中

中间件

第三方应用间件

类

CMS测试目标系统是否存在dedeems>phpems等CMS

测试方式

安全评估服务根据测试的位置不同可以分为现场测试和远程测试;

根据测试的方法不同分为黑盒测试和白盒测试两类；

现场测试是指经过用户授权后，测试人员到达用户工作现场或接

入用户工作内网，根据用户的期望测试的目标直接接入到用户的办公

网络甚至业务网