安全运维服务需求

安全运维服务需求安全运维服务（服务期限1年）定期巡检每季度定期对数据中心软硬件设备运行状态、线路及接地、设备及线路标签、告警事件、资源使用情况进行巡检和故障排除，协助医院进行管理规范和制度的完善。（1）硬件运行、日志告警情况；（2）无线网络质量，AP掉线情况；（3）软件运行情况；（4）各功能的实现是否正常；（5）各功能的运行参数是否正常；必要时，运维工程师对系统的历史运行记录进行导出，并进行分析。可以对系统上有关硬件系统性能和故障可能性进行检查分析，并指出硬件系统潜在的问题以及推荐解决方法。每次巡检后，出具《每季度巡检报告》，报告内容需包含巡检内容、故障问题记录、处理建议等，并协助用户完成故障处理。安全日志分析与响应加固每季度结合安全感知日志和威胁情报进行深度分析，研判网络中存在的威胁和攻击行为，明确对业务的影响和危害，提供事件处置和溯源分析，根据分析结果以及巡检、评估、日常运维过程中存在安全脆弱点的网络架构、网络设备、操作系统、应用系统和数据库系统，协助进行现场安全策略加固和优化升级。1.安全威胁分析：①外部威胁评估：综合分析数据，发现攻击威胁、持续性攻击和高级黑客等安全事件；②精准入侵检查：webshell检查、恶意文件查杀、web日志分析、系统状态分析，发现已经被入侵或感染的主机；③位置威胁发现：及时对未公开威胁进行评估、针对高威胁风险进行通告。未知威胁快速规避措施：通过安全策略的运营（例“自定义策略临时防护）临时应对、规避最新爆发的风险。安全功能迭代升级（例：更新规则库、升级安全组件）将防护能力整合到安全设备。2.安全事件处置：对安全事件进行处置，清除恶意文件、快速恢复业务：①策略管理：新增资产、业务变更策略调优服务，业务变更时策略随业务变化而同步更新。策略冲突、策略有效性调优服务。②攻击对抗：通过攻击日志分析，发现持续性攻击，立即采取行动实时对抗。通过全网大数据分析，发现有境外黑客或高级黑客正在攻击，立即采取联动封锁黑客行为。③事件分析与处置：对用户上报的安全事件进行及时响应。实时针对异常流量分析、攻击日志和病毒日志分析，经过海量数据脱敏、聚合发现安全事件。针对分析得到的勒索病毒、挖矿病毒、篡改事件、webshell、僵尸网络等安全事件，通过工具和方法对恶意文件、代码进行根除，帮助客户快速恢复业务，消除或减轻影响。3.事件溯源分析：深入分析安全事件的成因，发现存在的薄弱点，溯源攻击路径；①入侵影响抑制：通过事件检测分析，提供抑制手段，降低入侵影响，协助快速恢复业务。②入侵威胁清除：排查攻击路径，恶意文件清除。③入侵原因分析：还原攻击路径，分析入侵事件原因。4.安全加固：根据事件发生的根因、影响范围，并针对每次巡检和安全风险评估的结果，给出安全加固建议，并协助用户和对应厂商完成安全加固。每次经过深度安全分析后出具《安全日志分析报告》，报告内容需包含对网络设备、安全设备、主机系统日志的精准分析，对威胁流量进行的处置和溯源过程，安全加固内容等。安全风险评估运维期限内每季度对信息系统整体运行情况、安全建设情况、结合实际业务对安全策略制定情况进行安全评估，出具风险评估报告并提供安全加固建议。提供风险评估工程师对医院现有信息资产进行安全风险评估：通过识别资产现有的脆弱性，可能面临的威胁，并充分调研已有的安全控制措施，以综合判断存在的风险，帮助用户预知可能发生的安全事件。资产数量=业务系统数量+服务器数量（含虚拟机）+安全设备+关键网络设备（核心和汇聚交换机）①项目启动会议(准备工作)；②资产识别：资产梳理、资产赋值及重要性区分；③脆弱性识别：漏洞扫描（使用系统漏洞扫描工具对数据库、操作系统、中间件等进行漏洞、端口、弱口令扫描，扫描完成后由技术人员对漏洞进行确认测试，提出整改建议，协助开发人员整改。①.环境配置。②漏洞扫描。③漏洞验证。④输出报告）、基线核查、脆弱性统计及赋值等；④威胁识别：脆弱性威胁关联及赋值、潜伏威胁检测；⑤风险分析：不可接受风险处理建议；⑥编写《风险评估报告》；出具的《风险评估报告》须包括资产识别梳理、安全现状调研、脆弱风险分析、解决方案建议等内容。渗透测试每年两次通过模拟黑客可能使用的攻击技术和漏洞发现技术，采用黑盒测试的方法对用户指定目标系统的安全做深入的探测和渗透，了解系统薄弱点；渗透测试包括主机、数据库和应用系统。具体要求如下：①主机操作系统渗透：包括WINDOWS、SOLARIS、AIX、LINUX、SCO、SGI等。②数据库系统渗透：包括MS-SQL、ORACLE、MYSQL、INFORMIX、SYBASE、DB2等。③应用系统渗透：对各种应用系统进行渗透测试，如WWW、E-mail、DNS、FTP等。渗透测试范围：核心业务HIS系统、CIS系统、LIS系统、PACS系统；交付物：出具《渗透测试报告》，需包含详细的渗透测试过程、内容和渗透结果，根据渗透结果发现的薄弱点提出整改加固建议。应急演练每年两次针对高发生率、高威胁事件进行应急预案演练，增强实战经验和处置能力，提高安全意识。1.可选演练场景应包括但不限于：①入侵系统攻击安全事件；②拒绝服务攻击安全事件；③病毒与木马攻击安全事件；④网站页面篡改安全事件；⑤数据库内部误操作；2.可选演练内容应包括但不限于：①信息篡改：模拟针对网站首页篡改事件的监控和处理（利用上传漏洞或者弱口令实施攻击）。②拒绝服务：模拟从外部发起的针对网站的拒绝服务攻击事件的监控和处理（UD\CC等DDOS攻击工具）。③恶意代码：模拟某恶意攻击者，利用系统的弱口令，利用windows共享管理服务（tcp/445），获得对服务器的控制权限。④DNS劫持：模拟由于网站的域名解析管理账号存在弱口令，域名权威解析被篡改事件。交付物：演练前出具《应急演练预案》，需包含应急演练目标、范围、时间、人员、过程等，演练结束后出具《应急演练报告》，详细记录应急演练的时间、实际参与人员、演练过程、问题记录、复盘分析等。重保人员值守省/市级HW、重要会议、活动、检查期间，安排专业工程师从网络层面、安全层面、数据层面构建全方面的安全保障服务，提供事前、事中、事后的全面安全建设运维服务。每年值守服务不超过30天。1.事前检查：针对用户信息资产及系统现状进行详细调研，并根据调研信息开展安全自查和整改工作，做好充分的准备工作。2.事中响应：安排专业驻点人员和在线工程师做好安全防护和保障工作，第一时间发现并处理威胁流量，做好应急响应处置工作，避免安全事件带来的不良影响。3.事后分析：对重保期间的工作内容和威胁处置情况进行复盘总结和汇报，为下一步的安全建设和策略制定提供方向和建议。交付物：提供《人员值守报告》，记录值守期间的每日工作内容、发现的威胁情况、处置过程和结果，并对值守工作进行总结分析，为下一步安全建设提供建议。诱捕防御服务在不同业务区域部署蜜罐节点，模拟虚假主机、web、ftp、邮箱、数据库等业务应用，主动诱使攻击者和威胁流量现身，干扰、误导攻击者对己方网络信息系统的感知与判断，精准监测和识别网络中的威胁流量和攻击行为，并定期每季度对蜜罐获取到的流量和攻击行为进行人工分析（特殊情况及重保期间额外提供人工监控与分析），捕捉全网威胁流量，通过信息收集获取攻击源关联的资产信息，构建基础资产信息库，化被动防御为主动防御，为进一步的安全建设和加固提供指导性方向。交付物：提供《诱捕防御报告》记录蜜罐部署范围、数量、发现的攻击源、攻击目标和攻击方式、策略加固建议等。数据库系统运维每季度提供一次数据库巡检服务，根据数据库使用场景和类型提供性能优化提升，主要包含错误日志管理，性能管理，空间管理，对象管理，安全管理，备份管理等方面。具体内容如下：1、数据库巡检提供现场数据库例行检查服务，数据库巡检工作由现场检查和系统数据分析构成，提供内容详尽的数据库巡检报告。数据库检查的内容包括以下部分：检查相关软硬件、数据库配置和SGA、PGA的配置情况；检查数据库、备份结果集、各表空间的变化情况等，并对数据变化情况作评估；统计当前表空间、文件系统和数据文件的使用情况；检查数据库alert.log日志文件和相关trace文件；检查操作系统用户、数据库用户、系统本身的安全性；收集数据库运行期间的负载情况和Instance各性能指标；检查数据库备份是否正常；操作系统错误告警；操作系统实时性能监控；日常性检查支持服务，可适用在数据库故障隐患的检查诊断、故障分析和排除、数据备份和恢复、业务系统验证、业务系统优化等内容。2、数据库性能优化数据库性能诊断和优化主要从以下几方面出发进行性能诊断和调整：内存资源冲突；IO资源冲突；CPU开销资源冲突；回滚段资源冲突；临时段资源冲突；数据“热”块资源冲突；索引效率低下；SQL语句调整；可能影响数据库性能的其它方面。3、数据库安装新系统上线时，从实际业务应用角度出发，根据具体的硬件环境，应用类型进行分析，结合当前系统的最新补丁情况提供安装环境检查和建议，从而提供最安全可靠、适合应用的数据库具体服务内容如下：检查安装前的操作系统环境、补丁等；规划空间、规划操作系统用户权限等；安装最新的数据库软件。创建合适的数据库。根据业务的需要，分配足够大的业务表空间。安装数据库软件最新补丁、升级包。测试数据库软件、数据库的可用性等。提交完整的产品安装文档。交付物：根据每季度服务内容提供《数据库巡检报告》，包含巡检范围、数据库类型、巡检内容等；涉及数据库故障处理和性能优化的，需额外提供《数据库故障处理及性能优化报告》，包含故障原因、故障处理过程、故障处理结果等。安全规划咨询整体安全咨询服务依据国家/国际信息安全标准、信息安全策略及行业发展动态，在对用户信息安全现状进行风险评估、差距分析的基础上，从安全技术、安全管理、安全运营三个角度构建并协助完成信息安全规划。1.信息安全现状调研：通过现状调研了解用户信息安全工作现状，采用文件审核、问卷调查、现场访谈、重点业务系统检测的方式识别用户IT现状等，对IT环境、数据安全、运维规章制度进行梳理，结合用户业务发展及日常工作的实际情况，形成切实可靠的落地方案；2.安全能力成熟度分析：包括安全管理体系差距分析、安全技术防御体系差距分析、安全运营体系差距分析；3.信息安全建设规划及报告：根据用户信息化战略目标和目前的信息安全现状，制定信息安全方针和目标。并结合国内外标准最近实践经验，