某数据中心互联网+应用安全保障体系建设需求

某数据中心互联网+应用安全保障体系建设需求一、项目概述根据信息化水平不断提高的现状，以及对网络空间安全问题的重视，本项目旨在加强的信息安全建设，特别是针对数据中心互联网+应用的安全运营保障服务。项目将通过构建基础安全服务体系、基础安全技术体系、基础安全运营体系，形成“云、网、数、用、端”一体化安全运营体系，以提升整体信息安全保障体系的能力。通过本项目的全面且深入的实施，将在多个层面进一步显著提升信息安全水平，为数据中心互联网+应用的安全运营筑牢坚实壁垒，进而为数字化改革的宏伟工作提供更为强劲、可靠的支撑。在技术防护层面，本项目所采用的一系列先进安全技术与策略，将如同一位无形的守护者，24小时不间断地对数据中心的各个环节进行严密监控和防护。从网络边界的入侵检测与防御系统，到内部网络的访问控制与权限管理；从数据的加密传输与存储，到应用程序的漏洞扫描与修复，每一处细节都将得到精心的呵护。这将有效抵御各类网络攻击，无论是来势汹汹的黑客入侵、恶意软件的肆虐，还是复杂多变的网络钓鱼、社会工程学攻击等，都能被及时察觉并成功防范，确保数据中心互联网+应用系统在安全的轨道上稳定运行。数据安全方面，项目实施后将建立起一套完善的数据安全保障体系。从数据的产生、收集、传输，到存储、处理和销毁的全生命周期，都将有严格的规章制度和技术手段保驾护航。通过数据脱敏、匿名化处理等技术手段，在保障数据可用性的同时，最大程度地保护敏感信息不被泄露。同时，建立数据的备份与恢复机制，确保在遭遇意外事件或数据丢失的情况下，能够迅速恢复数据的完整性和可用性，将对业务运营的影响降至最低。这将为数据中心互联网+应用所涉及的海量数据资产提供一个安全的“避风港”，支撑数字化改革过程中各项业务的顺利开展。在人员与管理层面上，本项目不仅注重技术手段的提升，还将强化人员的信息安全意识培训与管理制度的完善。通过定期开展专业的信息安全培训课程，提高全体员工对信息安全重要性的认识，使其在日常工作中自觉遵守信息安全规定，养成良好的安全操作习惯。同时，优化信息安全管理制度，明确各部门和岗位在信息安全工作中的职责与权限，建立严格的安全考核机制，确保信息安全措施能够得到有效执行。这种全方位的人员与管理保障，将为数据中心互联网+应用的安全运营提供持久的内在动力，确保数字化改革工作在健康、有序的环境中推进。此外，本项目还将建立信息安全应急响应机制，针对可能出现的各类信息安全事件制定详细周全的应急预案。一旦发生安全事件，应急响应团队能够迅速启动预案，快速定位问题根源，采取有效的应对措施，最大限度地减少损失，并及时总结经验教训，对应急预案进行优化和完善。这一机制将使数据中心在面对突发事件时具备强大的应变能力和恢复能力，保障数字化改革工作的连续性和稳定性。综上所述，本项目通过技术防护、数据安全、人员管理以及应急响应等多个维度的协同推进，将进一步大幅提升信息安全水平，为数据中心互联网+应用的安全运营提供坚实保障，从而为数字化改革工作的稳步推进提供更加可靠的支持，助力各项数字化战略目标的顺利实现。二、项目清单序号安全体系安全能力具体服务服务内容数量备注1基础安全服务体系常态化安全服务定期安全报告驻场人员每周开展服务器、网络设备、安全设备等的性能指标、功能指标和硬件状态的定期巡检，建立正常运行区间值、异常运行区间值、告警阈值，确保能够及时发现异常并进行响应处置。每月对巡检结果进行汇总，从态势感知、APT等安全防护设备梳理月度总结，形成每月的安全报告。12份风险评估对指定信息系统，基于信息系统现状，参照国家信息安全风险评估规范，对资产、威胁、脆弱性、安全措施进行识别和分析，确定风险计算模型，从物理层、网络层、系统层和应用层等方面进行评估，全面分析系统面临的信息安全风险。3个系统安全技术支撑服务合规性安全检测：针对已建信息系统，常态化开展合规性安全检测，开展漏洞扫描、渗透测试、木马后门扫描及代码审计等多项安全检测。（服务频率：每周1天上门服务）2人天/周新系统上线前安全检查：针对新系统，在系统上线之前结合相关要求，对新系统进行代码安全评估、渗透测试，涉及APP的，对相关APP进行安全评估。（服务频率：每周1天上门服务）未知资产探测：对用户以及市委属单位互联网未知资产进行详尽的探测，分析和梳理出单位现有互联网信息资产清单，为后续建立有针对性的安全保护措施和安全保障机制提供依据。1年2次安全应急响应处置根据事件类别，提供全年的应急响应服务，通过远程和现场支持的形式协助业主单位对遇到的突发性安全事件进行紧急分析和处理。主要工作内容包括：突发事件相关信息的收集、事件的分析、报告提交、问题解决建议等。紧急事件主要包括：勒索病毒、病毒和蠕虫事件、黑客入侵事件、数据泄露、挖矿事件等。按需重大活动安全保障服务、省、市HW在重大活动期间，派遣安全工程师开展安全检查、现场保障以及应急值守，对重要系统进行安全保障，确保业务系统在重要时期持续、稳定的运行，确保重要业务操作行为的可审计，抵御黑客、恶意代码、病毒等对信息系统的攻击与破坏，防止对信息系统的非法、非授权访问、恶意篡改、挂马等等。每日值守结束后整理日报，总体保障结束后对保障工作进行总结，输出重保总结报告。30人天2基础安全技术体系构建云安全能力体系多云SHSZB-2025-023S化云防护服务能力提供零部署零运维云防护服务，分钟级接入，完成防通报、防黑、防泄露、防CC等安全防护，避免系统出现平台瘫痪、黑客入侵、数据泄露等问题。无限构建数据安全能力体系数据隔离能力为持续保障业务系统数据交互的安全性，2025年度将继续租赁一套主备的网闸设备，保障业务系统信息交换的安全性和可靠性。2套构建终端安全能力体系主机安全与管理服务随着业务的不断扩容，其主机数量也在不断增长，为保证所有主机都能够被统一纳管，故2025年服务器主机授权许可增200个，主机授权许可总数合计800个，以保障新增主机的安全性。1套其他设备维保web应用防火墙续保：WAF-800AG。1年数据库审计续保：DAS-A1000。1年堡垒机续保：DAS-USM1000。1年3基础安全运营体系安全运维管理网络安全一体化运营能力建设安全运维中心，解决目前安全设备分散，运维管理困难的问题，通过安全运维管理平台，将数据中心、云机房等多地的安全设备日志数据、流量数据、告警数据、安全风险进行汇总，统一分析，打通同品牌安全设备间的协同联动，从而减轻运维压力。1套驻点技术支撑驻场安全运营服务(安全运维)驻场人员每周对网络安全设备运行状态进行监测分析，对网络安全设备的告警进行分析和预警，对整体的网络安全风险和脆弱性进行检测，针对日常安全监测和安全风险检查的结果进行综合分析研判，从整体网络安全技术防护策略的角度提出准确、有效的改进措施，定期开展策略配置的备份，系统软件、特征库升级等操作。1人驻场安全运营服务（网络运维）协助做好专网、社会办医专网的相关网络管理工作。做好数据中心的网络管理工作。1人三、项目要求（1）基础安全服务体系1、定期安全报告技术指标指标要求服务范围所有网络安全平台。服务内容1.借助网络安全威胁感知、安全日志分析等网络安全平台，通过安全专家定期分析，检测分析网络安全运行状态、恶意攻击行为、网络安全事件，定期生成分析报告；2.通过对恶意攻击的三大行为过程分析：恶意文件植入过程分析、恶意文件潜伏过程分析、恶意文件通信过程分析，针对发现的可疑文件进行测源，并定期生成分析报告；3.完成用户要求提供的其他指定报告内容。输出物《网络安全月报》、《安全威胁分析报告》。2、风险评估技术指标指标要求服务范围3个系统。服务内容识别信息系统中关键资产及对信息系统中的风险与威胁进行分析汇总，梳理现有网络安全、安全技术、安全管理等各方面的不足之处，提出安全整改建议，提供一次全面的风险评估服务。服务要求1、系统调研访谈：以IT设备为基本单位，调查设备的基本属性如IP、型号、版本号、所存储的信息、连接方式等，得到资产列表及资产详细信息库。确定各项资产（如主机、路由器等）的安全价值，分别对每一项资产的安全属性进行赋值。2、工具评估：对系统、主机、网络设备进行漏洞扫描和漏洞验证。3、渗透测试：经授权后，以模拟黑客的方式对系统进行取证式无害攻击，以获得系统脆弱性的直接证据。4、安全配置检查：包括主机配置评估、设备安全配置检查。5、网络架构评估：对办公网的网络拓扑结构进行安全分析，从整体结构合理性、设计与实际符合性与优化调整给出评估建议。6、管理评估：通过对领导、运维关键责任人等进行调研访谈，调研单位现有的管理制度。7、风险分析：依据技术方案约定的分析方法，进行风险分析，沟通风险处置方法。8、编制系列风险评估报告。输出物《网络安全风险评估报告》。3、合规性安全检测技术指标指标要求期限及频率服务期内每周1天上门服务。服务内容针对现有信息系统（包括业务网、互联网、卫生专网）开展漏洞扫描、渗透测试、木马后门扫描以及代码审计合规性安全检测，并在检测完成后出具相关的检测报告，协助进行安全整改加固工作。1、漏洞扫描对主机、数据库、应用进行扫描，并对具体漏洞提出一些解决方法。利用专业的安全工具和丰富的专家经验，协助有效解决安全漏洞整改修复。2、渗透测试从应用业务攻击入手，围绕业务系统进行逐步渗透攻击，获取网络、应用、数据库的重要资源，寻找系统的薄弱点，了解网络和应用系统的弱点，形成测试结果，提出精确的解决建议。3、木马后门扫描采用专业Webshell恶意后门扫描器，针对网站所有的文件进行安全扫描，发现网站上可能存在的Webshell、网页后门等恶意文件，提出整改措施。4、代码审计收集当前系统的源代码，在了解业务流和各模块功能和结构的情况下，以OWASPTOP10为检查依据，检查系统代码在程序编写上的安全性和脆弱性以及结构性安全。源代码安全性审计主要内容应包括：(1)分析源代码是否能追溯到需求；(2)分析源代码是否符合支持工具和编程语言分析；(3)分析源代码是否满足模块化、可验证、易安全修改的要求；(4)分析软件编码中所使用技术的安全性和方法的合理性。输出物《合规性安全检测报告》4、新系统上线前安全检查技术指标指标要求期限及频率服务期内每周1天上门服务服务内容在系统上线前需要进行安全评估时，协助制订相应的评估方案，对新系统环境及代码进行安全评估。评估包括代码安全检测、渗透测试、APP安全评估服务。在评估完成后，提供有针对性的整改建议。(以面向互联网、业务网系统为主，专网系统为辅)服务要求1、渗透测试从应用业务攻击入手，围绕业务系统进行逐步渗透攻击，获取网络、应用、数据库的重要资源，寻找系统的薄弱点，了解网络和应用系统的弱点，形成测试结果，提出精确的解决建议。2、APP安全评估采用工具及人工评估的方式对移动应用端进行安全检查，包括信息收集、认证分析、授权及会话管理分析、不安全的数据存储分析、传输层通信分析、动态调试分析、逆向重打包分析、内存分析、本地及远程fuzz分析等测试内容，并形成安全评估报告及修复建议。3、代码审计收集当前系统的源代码，在了解业务流和各模块功能和结构的情况下，以OWASPTOP10为检查依据，检查系统代码在程序编写上的安全性和脆弱性以及结构性安全。源代码安全性审计主要内容应包括：（1）分析源代码是否能追溯到需求；（2）分析源代码是否符合支持工具和编程语言分析；（3）分析源代码是否满足模块化、可验证、易安全修改的要求；（4）分析软件编码中所使用技术的安全性和方法的合理性。人员要求需具有2年以上网络安全工作经验；具有丰富的安全评估与漏洞挖掘、渗透经验，参与过攻防演练项目，提供相关服务报告证明。输出物《新系统上线前安全检查》。5、未知资产探测技术指标指标要求期限及频率1年2次。服务内容通过对用户以及市委属单位的互联网资产进行详尽的调研，分析和梳理出单位现有互联网信息资产清单，为后续建立有针对性的安全保护措施和安全保障机制提供依据。服务要求通过现场调研和信息收集的方式确定本次保障互联网资产范围，结合人员经验、标准化流程、资产探测工具，采用网络扫描、搜索引擎等探测技术，对暴露在互联网上的网站、信息系统、主机/服务器、安全设备、网络设备等信息资产进行主动发现，IP资产探测发现内容包括存活的互联网IP地址、对应开放的端口、访问URL、协议/服务、所采用的组件等，子域名探测发现内容包括一级域名下的二级域名、访问URL、CNAME、对应IP地址、开放的端口、响应码、网站title、banner信息、ISP运营商等，并形成资产列表。输出物《互联网暴露面资产清单》。6、安全应急响应处置技术指标指标要求期限及频率服务期内按需提供。服务内容服务期内，通过远程和现场支持的形式协助业主单位对遇到的突发性安全事件进行紧急分析和处理。服务要求当出现安全事件时，必须及时进行响应，具体要求包括：1、技术人员必须在2小时内到达现场；2、对入侵事件进行分析，查找原因；3、抑制入侵事件的进一步发展，将事故的损害降低到最小化；4、排除安全隐患，消除安全威胁，协助恢复系统正常运作；5、提交应急响应报告及系统安全改进方案。输出物《安全事件应急响应报告》。工具要求为保证服务质量，应具备专业的应急处置工具箱：1、支持设置线索，发现关键可疑行为，包括IP线索、关键词线索、文件名线索、时间线索的设置；2、支持对所采集的系统配置数据、使用痕迹数据、运行状态数据、恶意代码情况、系统日志、中间件日志等进行数据分析；3、支持手动分析，支持处置人员查看采集的数据信息，标记关键数据形成可疑行为事件；4、支持根据所提供的线索自动发现关键可疑行为并进行标记；5、支持根据关键字搜索相关知识内容；6、支持根据勒索文件后缀查找对应解密工具，提供解密工具的下载、使用介绍等；7、支持提供IP、域名、文件等威胁情报查询；8、支持自定义设置策略规则、描述信息、处置建议等内容；9、支持生成应急处置报告，报告内容包括事件基本信息、关键可疑行为信息及对应处置建议等内容。7、重大活动安全保障服务、省、市护网技术指标指标要求期限及频率省、市攻防演练等重要时期（30人天）。服务内容重要时期提供人员现场保障服务，服务期间保障工程师利用人工结合工具等方式对单位信息系统、网站、服务器等资产进行实时监测，及时处理发现的系统安全事件。同时利用安全监测平台对安全威胁及事件进行取证溯源，并对内部安全设备策略进行配置优化，帮助用户建立完善的网络安全保障机制。针对重要系统，值守工程师模拟黑客的攻击思路进行渗透测试，发现信息系统存在的安全威胁。除完成以上内容外，还需满足业主单位提出的其他临时安全需求，并最终提交各项报告。输出物《重保日报》、《重保总结报告》等。（2）基础安全技术体系1、多云SHSZB-2025-023S化云防护服务技术指标指标要求期限及频率无限。服务范围所有域名。服务平台要求能提供国家信息安全漏洞库(CNNVD)的兼容性服务，通过CNNVD标识，在各类安全工具、漏洞数据存储库及信息安全服务之间，以及其他漏洞披露平台之间，实现漏洞信息交叉关联的方式。2.支持集群化和高可用部署架构，全国范围至少具备90个云防护节点。部署方式1、无需在网站前端安装任何安全设备、软件，通过DNS流量指向到云端进行安全防护。2、支持将防护网站NS解析到云防护DNS服务器，支持将防护网站CNAME别名指向云防护。防护要求1、支持检查提交的报文是否符合HTTP协议框架，如异常的请求方法、特殊字符、重点字段的缺失、超长报文造成的溢出攻击以及对高危文件的访问等；2、支持识别恶意请求含：跨站脚本(XSS)、注入式攻击（包括SQL注入、命令注入、Cookie注入等）、跨站请求伪造等应用攻击行为；3、支持对用户上传的文件后缀名和文件内容进行全方面检查，杜绝Webshell的上传和访问；4、支持区域访问控制，限制国外用户或者国内以市为最低行政单位的区域进行访问控制；5、可提供基于IPv6协议的转换与防护功能；6、具备流量监测的功能，基于用户的访问记录，实时检查被访问页面的安全状况，能够发现暗链、Webshell等问题，或作为网站防护的补充功能，更精准地挖掘出网站存在的问题与风险；7、支持网站关停功能，当网站出现紧急安全事件时，可一键快速完成关停，防止产生恶劣影响。安全审计1、提供攻击日志记录与查询功能，攻击日志至少保存6个月，满足《网络安全法》要求，可根据域名、URL、攻击方法、返回码、威胁等级、攻击IP、攻击区域和攻击类型进行查询，查询后的攻击日志数据可导出下载。2、提供访问与攻击原始日志离线下载功能，可按天进行下载。原始日志包含访问IP、访问时间、URL、返回码、UA、访问域名等信息。3、提供访问日志记录与查询功能，可根据域名、URL、客户端IP、返回码、访问区域、访问时间段进行查询，查询后的日志数据可导出Excel文件。报表1、可查看安全防护报告，包含攻击次数、攻击者区域统计、攻击者IP统计、攻击类型分布等报告；2、可查看网站访问报告，包含CDN加速流量、服务质量综合评价和关键指标信息、异常响应分析、访问区域统计、访问源IP统计、访问页面排行、访问终端、响应码分布等统计报告；3、支持单个网站生成报表，也支持网站群生成一个汇总报表，支持日报、月报，并支持html、word格式导出。可视化展现1、整体网站群攻击态势可视化分析，包括访问与攻击流量趋势、受攻击网站排行、攻击源IP排行、攻击类型排行等；2、支持单个网站可视化分析，包括防扫描告警、总体访问/攻击趋势、攻击源实时分析、IP追踪、访问量排行、防御能力分析等数据展示与挖掘。移动端便捷管理通过微信公众号查看网站整体防护态势，包含受攻击域名排行、攻击类型排行、攻击IP排行、攻击区域分布等状态信息。通过微信公众号完成防护配置，包括一键关停、防护模式等功能。告警方式根据不同告警级别发送邮件、短信、电话等多种告警方式。输出物《网站安全防护报告》。2、数据隔离能力技术指标指标要求性能规格网络吞吐量≥8Gbps；接口：内网6个10/100/1000MRJ45接口（含一个管理口），1个串口，2个万兆SFP+插槽，2个USB口；外网6个10/100/1000MRJ45接口（含一个HA口），1个串口，2个万兆SFP+插槽，2个USB口。系统基本架构“2+1”系统结构，内外端机为TCP/IP网络协议的终点，阻断TCP/IP协议的直接贯通；内外端机之间采用专用硬件和专用协议进行连接，不可编程。网闸以软硬件结合的方式，有效地隔断内外网络间直接的连接，防止信息无限制交换。操作系统系统基于可信安全操作平台，提供内核级主动防御；能够对两个主机系统提供多层次、高强度的安全防护，保护其重要进程、文件、数据不受黑客侵袭；采用对象互斥和线程守护技术，保护主要进程的安全性和稳定性；不采用通用的指令库和函数库，只提供有限的内部调试用指令函数。系统管理三权分立：安全管理流程主要由安全管理员、系统管理员和安全审计员通过安全管理中心执行，分别实施系统维护、安全策略制定和部署、审计记录分析和结果响应等。支持管理端IP地址限制。支持负载均衡。支持所有配置导入导出。自带数据分析和网络诊断工具。支持日志详细查询、备份和回滚机制。支持邮件告警。支持协议标准TCP、UDP协议。支持网络支持IPV4与IPV6。安全上网功能提供安全的上网访问，支持HTTP协议及代理等；访问控制对象：源地址、目标地址、源端口、目的端目、域名、URL、访问方式等；内容过滤：关键字过滤；脚本过滤：javascript、Applet、ActiveX等；支持对基于HTTP的SOAP协议进行过滤，确保访问的安全其他过滤策略：文件类型、页面提交方式等。安全邮件功能提供安全的邮件访问，支持POP3、SMTP协议；支持发件地址、收件地址、邮件主题、邮件内容过滤。文件传输功能提供安全的文件传输功能，支持FTP、NFS、SAMBA等文件传输协议；支持FTP对传输文件的类型过滤；支持FTP指令控制；支持FTP文件名黑白名单控制；支持FTP传输文件大小控制。文件同步功能可通过专用客户端和网闸主动获取两种方式提供安全的文件同步功能；支持windows平台和linux平台；支持不同任务设置不同的扫描间隔和扫描的时间段；支持任务优先级控制；支持实时扫描、多对一传输、增量传输；支持目录内子目录同步，至多支持32级目录；支持中文文件名或目录同步；支持传输后删除源文件；提供详细的日志审计；支持对格式类型进行特征过滤，并允许用户通过样本文件自定义格式类型；支持文件在线编辑、在线预览等操作；支持文件分享功能，可设置到期时间和提取密码。数据库访问功能提供对多种主流数据库（SQL、ORACLE、DB2、SYBASE等）数据库系统的安全访问；支持用户查询、修改、添加、删除等操作；支持全表复制、增量更新、全表更新等；支持各种实例访问。数据库同步功能基于专用客户端与网闸安全连接方式，提供多种主流数据库（SQLS、ORACLE、DB2、SYBASE等）的单、双向数据交换；无需修改数据库表结构，不涉及到代码修改及二次开发；同步粒度可以达到表内具体字段；支持多种增量同步方式，可分别定义增加、删除、修改的传输方式；支持数据一对一、一对多、多对多的单向或双向交换和同步。自定义功能支持用户基于标准TCP、UDP开发的自定义协议软件，无需对自定义协议软件进行二次修改开发，可以根据需求开发新的专用协议处理过滤功能；支持MAC强制访问控制通道，针对被访问端文件进行类别和等级标记，通过标记匹配才能正常访问文件。网口冗余使一端机多网口冗余，可实现链路备份冗余的工作模式，支持lacp、负载均衡、主备模式。负载均衡以浮动IP的形式对外提供服务；结合轮询、比重、流量比、服务类别等算法，保证业务实时的连续性。SNMP支持支持SNMP协议，可与标准网管平台无缝兼容，能够针对读团体字、系统位置、系统联系人等参数进行自定义。SYSLOG支持支持SYSLOG协议，可与标准日志服务器平台无缝兼容，可实时发送网闸运行状态。管理配置功能管理端采用B/S结构。管理端：用于通道建立、策略制定、日志查询、分析、导出等。安全终端管理：可通过串口终端管理方式对网闸进行维护；为保证网闸安全性，管理网口和通讯网口隔离，仅允许通过内端机管理口对网闸进行配置管理或审计日志，禁止使用其他接口对网闸进行配置管理。管理口拥有独立路由，可避免和通讯网口发生路由冲突或干扰。3、主机安全与管理服务技术指标指标要求服务数量服务数量：服务器端授权支持800套以上，并提供一台性能不低于2核4线程、8G内存、2T硬盘的主机安全管理平台硬件设备。服务配置提供主机的微隔离、防病毒、安全加固、补丁更新能力。全网风险可视支持当前待处理高危风险展示，包括弱口令、待处理病毒、待处理漏洞数据，并支持一键跳转到对应处理页面。支持控制台动态更新显示全网终端安全状态分布，包括：终端总数、在线终端数、防护中终端数、异常设备数。防病毒支持多种扫描模式包括极速模式、低资源占用模式设置，且低资源占用模式可自定义CPU使用率。支持多引擎设置，包括默认引擎、深度扫描引擎。支持对压缩包扫描及深度进行设置，默认9层深度。微隔离支持基于主机维度和业务维度的网络五元组策略下发、并支持混合模式、黑名单、白名单3种模式切换。支持一键封堵IP和端口，支持对微隔离策略进行导入和导出。补丁更新管理中心可作为补丁服务器，支持管理中心可连接外网和不可连接外网两种状态，提供离线补丁下载器，按需智能获取内网所需补丁。具备为用户提供Windows漏洞修复的热补丁列表能力。支持病毒库、Windows补丁库的离线升级及在线升级。系统性能监控支持对CPU使用率监控、内存占用率监控、磁盘读写监控、上下行流量监控。支持对CPU、内存、磁盘读写、网络上下行流量达到配置阈值时告警。支持对CPU、内存达到一定阈值时客户端进行熔断。支持网络通信全时监控。资产指纹支持自动收集终端资产信息，包括：计算机名称、内核版本、操作系统、处理器、主板、内存、硬盘、显卡、终端版本、病毒库版本、最近更新时间。支持在IPV6混合网络中进行审计日志资产识别。高级威胁防护模块支持对本机的扩展行为（信息收集、权限提升）进行监测，防止提权行为和信息泄露。识别渗透过程中的隧道代理（端口映射、端口转发、内网代理），可阻断隧道代理搭建行为。对失陷后主机远控持久化行为进行检测（反弹shell、远程控制），可阻断远控。对内网的恶意攻击行为进行识别（漏洞利用、横向移动），可阻断恶意探测行为。可对渗透的收尾阶段的数据清除行为进行识别和阻断。系统安全性模块支持网络分域访问，在服务端设置不同网络访问域，资产在同一时间只能访问任意一个网络域，支持资产自主切换不同网络访问域。支持基于IP及域名设置探测地址，实时感知违规外联行为，针对违规外联行为支持多种处置方式，包括不做处理、弹窗提醒用户并关机、弹窗提醒用户并断网。支持登录防护，包括以系统账号为粒度的异常登录防护、支持4个任意维度（任意IP，任意域名，任意计算机名，任意时间）的系统登录访问策略设置。云端威胁鉴定持对文件HASH、IP、域名、邮箱等IOC指标进行动静态鉴定，通过和云端威胁情报进行碰撞，实时返回威胁结果。联动威胁情报，支持对外联IP、DNS解析、可疑文件进行实时情报鉴定，实现风险一站式实时监测。输出物提供《主机安全态势》报告。（3）基础安全运营体系1、网络安全一体化运营能力技术指标指标要求资产中心对现网网络设备、安全设备、终端设备资产信息进行统一收集管理，支持人工录入、流量自动发现、主动扫描、web自动发现、资产同步等不少于5种的资产数据接入方式；流量自动发现方式能自动识别资产类型，如Web服务器、DNS服务器、邮件服务器、FTP文件服务器等多种类型资产，支持web业务系统自动发现；支持批量确认流量发现的资产。要求资产信息维度多元化，支持私网IP、公网IP、MAC地址、域名、主机名多种类型资产识别方式，IP类资产支持IPv4和IPv6，并支持资产组织架构、责任人、重要程度、资产类型、地理位置属性的批量修改；支持资产信息的增量导入和替换导入。支持多源资产数据接入及数据同步，支持设置资产数据源优先级管理，针对不同来源的资产数据进行优先级排序，保证资产唯一性。支持拓扑图的增加、修改、删除、导入、导出，拓扑图支持平面和3D两种方式，拓扑图内容可基于单个资产、安全域、安全设备、WEB业务系统、网络设备等多种方式组成。监测中心支持对现网内网络设备、安全设备的事件告警数据自动化归并，并通过告警列表条目颜色区分“已读告警”和“未读告警”；支持查看归并告警基本信息、规则详情、原始告警列表、全部字段、PCAP包详细信息，并支持下载PCAP包；支持在归并告警页面进行告警快速处置，包括忽略告警、误报处置、联动处置、人工处置等。支持对资产进行精细化评级评分计算，资产风险等级包括已失陷、高风险、中风险、低风险，资产评分为百分制，具备资产评级标签；支持查看资产最近15天评级评分趋势、资产威胁词云、资产评分比较等信息。分析中心支持对现网网络环境进行立体、平面、球面等多种维度的网络实体关系透视，点击每个实体可展示资产名称、风险评级、告警TOP3、最近异常发生时间等，点击实体间的访问连线可展示实体间访问方向、访问类型、累计流量、最近访问时间等。支持自定义配置安全事件分析场景，可对安全告警的任意字段进行聚合分析，支持的聚合的字段不少于400个，支持分析结果导出。要求支持大型服务器集群的日志集群扫描、分析。应内置包括规则模型、关联模型、统计模型、情报模型、AI模型等不少于5类安全分析模型，数据配置可选择不同作用域，如全局通用、单选机构，单选机构可选择单独的组织架构。实现实体间网络互访关系的多级钻取，支持通过端口、协议、异常访问类型、攻击链等过滤关联关系，支持实体间网络互访关系的多级钻取，通过“一键溯源”按钮进行威胁关系的自动拓展。运维管理大数据平台支持一键巡检功能，检查项包含但不限于数据健康、探针健康检查、大数据集群健康、实时流计算引擎健康、管理服务健康、服务器节点健康等多种维度检查，提供巡检处置建议，并能将巡检结果导出PDF格式分析；支持对接入探针进行统一管理，支持查看探针在线、离线、升级等状态，可对license已过期、即将过期探针进行预警，对内存长时间超出阈值、CPU长时间超出阈值探针进行预警；支持平台统一升级和配置探针，沙箱文件检测可配置安全文件大小、文件访问方向、检测配置、检测结果复用、真实格式识别、沙箱网络行为、沙箱操作系统配置等，流量探针可配置检测模式；支持对接入探针进行运行监控，包括探针注册时间、设备IP、版本信息、许可证信息、本日数据上送条数、CPU利用率、内存使用率、磁盘使用率、网络流量大小、数据上送条数等；支持导入许可及导出许可申请文件。2、驻场安全运营服务2.1驻场安全运营服务(安全运维)技术指标指标要求服务数量人员配置：1人服务范围业务系统涉及的安全工作服务内容一、常态化安全基础运营1.对业务系统进行集中运维管理，对身份、访问、权限进行控制。2.利用收集到的安全日志，结合资产信息等实际情况，分析数据关联关系，挖掘出有价值的网络攻击、运行故障等信息，及时开展相应的处置工作。3.结合实际业务安全需求，对现有安全策略进行差距分析，发现策略缺失、策略冗余、策略未废止等问题，并制定相应工作方案开展定期策略优化。4.针对安全防护体系中构建的安全产品，在运行过程中所进行的一系列常态化维护工作，包括设备运行安全监测、设备运行安全审计、设备及策略备份更新等工作。二、安全专项研判、响应运营1.基于安全运营中预测、监测到的安全数据和安全事件信息进行安全事件研究、分析、判定，验证可能性并出具相应的解决方法。2.基于大数据平台威胁情报监测和管理区域资产的安全健康状态，主动提供安全事件预警、分析以及处置，领用大数据进行关联分析和行为分析，精确地标签出威胁情报，提供安全预警。3.基于态势感知平台对安全事件和态势进行监测，对事件进行即时确认，一旦发现安全事件属实，及时通知相关应用管理接口人，启动相应的安全应急响应流程。4.协助应急响应专家进行安全事件的调研、处置及汇报。三、重要时期护网运营在重要时期保障之前，现场运营人员需要协助完成以下工作：1.对信息系统的物理资产、系统资产、数据资产以及网络结构进行梳理分析。2.对信息系统相关的网络结构、设备配置和主机配置进行安全检查。3.根据安全检查情况，协助对安全隐患进行加固整改。4.针对在重大活动保障中的信息安全组织、岗位职责、安全事件发现和上报机制以及处理流程等内容，为相关人员进行安全培训。5.对应用、网络、操作系统、应用服务器、数据库及其他设备运行状况进行监测，随时监控系统“健康”状态。四、协同共生安全运营流程工作梳理、形成清晰的体系化运营流程族，包含流程调度类、运行类流程，包含应急处置、问题处置、安全演练、威胁情报处置、持续监测、通报预警、信息共享、指挥调度等流程；资产管理、安全配置、系统建设、安全加固、风险评估、网络策略、安全巡检类流程。五、其他运营工作服从管理和调配，除日常工作外，积极完成交办的其他任务。服务要求1.准时上下班，对所负担的工作争取时效，不拖延、不积压。2.遵守的一切规章及工作守则。3.驻场人员有义务保守的机密资料，务必妥善保管所持有的涉密文件。4.驻场人员未经授权或批准，不准对外提供密级文件或其他未公开的数据等。5.办公室事件不从事与本岗位无关的活动，不准在上班时间吃零食、睡觉、干私活、浏览与工作无关的网站、看与工作无关的书籍报刊。6.未征得同意，不得使用他人计算机，不得随意翻看他人资料物品。7.严格遵守的办公时间，不得迟到早退。8.事假需提前一天向所在公司管理人员申请并告知相关管理人员，审批通过后需同步相关管理人员。2.2驻场安全运营服务(网络运维)技术指标指标要求服务数量人员配置：1人服务范围专网管理以及数据中心网络管理工作。服务内容一、专网以及社会办医专网管理工作。1.处理线路新增、线路移机、网络IP分配等事务性工作。2.处理发展中心自主发现以及各医疗卫生单位上报的网络故障，协调各运营商做好网络故障处理工作。3.根据发展中心以及各医疗卫生单位的业务访问新增需求，做好网络配置以及网络开通工作。4、常态化开展重要线路巡检以及流量监测工作。二、数据中心的网络管理工作。1.定期巡检数据中心网络设备以及流量，并形成巡检周报；2.完成日常网络设备配置以及调优工作；3.处理数据中心网络故障以及应急处理；4.定期完善优化网络拓扑并给出网络合理化建议。三、其他运营工作服从管理和调配，除日常工作外，积极完成交办的其他任务。服务要求1.准时上下班，对所负担的工作争取时效，不拖延、不积压。2.遵守的一切规章及工作守则。3.驻场人员有义务保守的机密资料，务必妥善保管所持有的涉密文件。4.驻场人员未经授权或批准，不准对外提供密级文件或其他未公开的数据等。5.办公室事件不从事与本岗位无关的活动，不准在上班时间吃零食、睡觉、干私活、浏览与工作无关的网站、看与工作无关的书籍报刊。6.未征得同意，不得使用他人计算机，不得随意翻看他人资料物品。7.严格遵守的办公时间，不得迟到早退。8.事假需提前一天向所在公司管理人员申请并告知相关管理人员，审批通过后需同步相关管理人员。（4）其他1、Web应用防火墙维保服务Web应用防火墙一、服务概述本Web应用防火墙维保服务旨在确保客户Web应用防火墙设备的稳定运行、性能优化、安全策略的有效性以及及时应对可能出现的安全威胁和故障。通过定期的维护、监控、升级等服务内容，为客户提供可靠的Web应用安全防护保障。二、服务目标1.可用性保障确保Web应用防火墙7×24小时稳定运行，将设备故障导致的业务中断时间降至最低，目标为年度故障停机时间不超过X小时。2.性能优化维持和提升Web应用防火墙的处理性能，确保在高流量和复杂攻击场景下能够有效过滤恶意流量且不影响正常业务访问速度。3.安全有效性保证安全策略的及时更新和有效性，防范各类已知和新兴的Web应用安全威胁，如SQL注入、跨站脚本攻击（XSS）、文件包含漏洞利用等。三、服务内容（一）日常监控与巡检1.设备状态监控7×24小时实时监控Web应用防火墙的各项运行指标，包括CPU使用率、内存使用率、网络接口流量、连接数等。设定阈值告警机制，当指标超出正常范围时及时通知运维团队进行处理。2.日志审查每日对Web应用防火墙的日志进行审查分析，包括访问日志、攻击日志、系统日志等。识别异常访问行为、潜在的安全威胁以及设备自身的运行问题，并生成日志分析报告。3.配置检查定期（每周/每月）检查Web应用防火墙的配置参数，确保配置的正确性、完整性和安全性。检查内容包括但不限于访问控制策略、安全防护规则、网络接口配置等。（二）安全策略维护1.策略更新根据最新的安全威胁情报和客户需求，及时更新Web应用防火墙的安全防护策略。针对新兴的Web应用攻击类型，制定并部署相应的防范规则，确保防护的及时性和有效性。2.策略优化定期评估安全策略的有效性和合理性，对过度宽松或过于严格的策略进行调整优化。在不影响业务正常运行的前提下，提高安全策略的精准度，减少误报和漏报情况。（三）软件升级与补丁管理1.版本升级当Web应用防火墙厂商发布新的软件版本，包含功能增强、性能优化或安全修复时，及时评估对现有环境和业务的影响。在测试环境进行充分测试后，安排合适的维护窗口进行生产环境的版本升级工作，确保升级过程顺利且不影响业务连续性。2.补丁安装及时安装Web应用防火墙的安全补丁，修复已知的安全漏洞。建立补丁管理流程，记录补丁的来源、安装时间、测试结果等信息，确保补丁安装的可追溯性。（四）故障排除与应急响应1.故障诊断在收到Web应用防火墙故障报警或客户反馈后，迅速启动故障诊断流程。通过远程登录、日志分析、流量监测等手段确定故障原因，判断是硬件故障、软件故障还是配置问题。2.应急处理对于紧急故障，按照预先制定的应急响应预案进行处理，采取临时措施恢复业务访问，如切换到备用设备、调整安全策略等。在故障解决过程中，及时与客户沟通故障处理进展情况，确保客户了解事件的影响和处理方案。3.故障复盘故障解决后，对故障原因进行深入分析，总结经验教训，制定相应的预防措施，防止类似故障再次发生。（五）性能优化服务1.性能评估定期（每季度/半年）对Web应用防火墙的性能进行全面评估，包括在不同负载条件下的吞吐量、响应时间、并发连接数等指标的测试。根据评估结果分析性能瓶颈所在，为优化提供依据。2.优化措施根据性能评估结果，采取相应的优化措施，如调整设备资源分配、优化安全策略算法、升级硬件组件（如有需要）等。在优化实施后重新进行性能测试，验证优化效果并形成性能优化报告。（六）技术支持与培训1.技术支持提供7×24小时的技术支持热线，客户可随时咨询Web应用防火墙相关的技术问题，包括配置、故障排除、安全策略等方面的疑问。远程协助客户解决技术问题，在必要时安排现场工程师到客户现场提供服务。2.培训服务根据客户需求，定期为客户提供Web应用防火墙的操作使用、安全策略配置、日常维护等方面的培训课程。培训方式可采用线上培训（视频教程、在线直播等）或线下培训（现场授课、实操演练等），确保客户的技术人员能够熟练掌握相关知识和技能。四、服务流程（一）服务请求受理1.客户可通过电话、邮件或在线服务平台提交服务请求。2.服务台接到请求后，对请求进行初步分类和登记，记录客户信息、问题描述、紧急程度等内容。（二）服务调度与分配1.根据服务请求的类型和紧急程度，将请求调度分配给相应的运维工程师或技术专家。2.对于紧急故障请求，优先分配资源进行处理，并及时通知客户已受理。（三）服务执行1.运维工程师或技术专家按照服务内容和标准流程对请求进行处理。2.在处理过程中，详细记录每一个操作步骤、发现的问题、解决方案等信息，以便后续跟踪和审计。（四）服务反馈与确认1.服务完成后，及时向客户反馈处理结果，包括问题解决情况、采取的措施、对业务的影响等内容。2.客户对服务结果进行确认，如满意则关闭服务请求；如不满意，则重新评估问题并继续处理，直至客户满意为止。五、服务保障措施（一）人员保障1.组建专业的Web应用防火墙维保团队，团队成员具备丰富的防火墙技术知识和运维经验。2.明确各成员的职责分工，确保服务的高效执行。（二）工具保障1.配备先进的监控工具、故障诊断工具和安全测试工具，用于对Web应用防火墙的日常监控、故障排查和性能评估。2.定期对工具进行更新和维护，确保工具的有效性和准确性。（三）备件保障1.建立Web应用防火墙备件库，储备常用的硬件备件和软件介质，确保在设备硬件故障或需要紧急软件升级时能够及时更换或安装。2.定期对备件库进行盘点和更新，保证备件的可用性和完整性。（四）应急演练1.定期组织应急演练，模拟Web应用防火墙可能出现的各种故障场景，检验应急响应预案的有效性和团队的应急处理能力。2.根据演练结果对应急响应预案进行优化和完善。六、服务报告1.定期报告每周/每月向客户提供Web应用防火墙维保服务的总结报告，内容包括设备运行状况统计、安全事件汇总、性能指标分析、维护操作记录等。2.专项报告在完成特定的维护任务（如大规模安全策略更新、版本升级等）后，提供专项报告详细说明任务的执行情况、结果以及对业务的影响。2、数据库审计维保服务数据库审计数据库审计维保服务方案是确保数据库安全、稳定和合规运行的重要措施。一、服务目标确保数据库系统的安全性，防止数据泄露、篡改和滥用。保持数据库系统的稳定性和可用性，减少故障和宕机时间。帮助企业满足各种法规和标准的要求，如GDPR、HIPAA、SOX等。二、服务内容定期审计‌对数据库中的所有操作进行记录和分析，包括查询、插入、更新和删除等。追踪和记录所有对数据库的访问和操作，确保每一笔操作都有据可查。实时监控与告警‌实时监控数据库的所有操作，及时发现异常行为。在检测到潜在威胁时，立即发送告警通知，帮助管理员快速响应和处理安全事件。细粒度权限管理‌根据用户的角色和权限，限制其对数据库的访问和操作。实施最小权限原则，确保每个用户或应用程序只能访问其所需的资源。安全漏洞扫描与修复‌定期扫描数据库系统，发现并修复已知的安全漏洞。及时更新数据库系统和应用程序的安全补丁，防止已知漏洞被利用。性能优化‌定期对数据库进行性能优化，包括优化数据库结构、查询语句和硬件资源。定期进行性能监测和分析，及时发现并解决性能瓶颈。数据备份与恢复‌制定完善的数据备份策略，包括全量备份、增量备份和差异备份。定期测试备份文件的可恢复性，确保在需要时能够正常使用。培训与支持‌提供数据库审计和维保方面的培训，提高团队成员的专业知识和实战能力。提供电话技术支持和现场服务，及时解决客户在维保过程中遇到的问题。三、服务流程需求分析‌与客户沟通，了解其数据库系统的具体情况和维保需求。根据客户需求，制定详细的维保服务计划。服务实施‌按照服务计划，对数据库系统进行定期审计、监控、优化和备份等工作。在服务过程中，及时发现并处理潜在的安全威胁和性能问题。报告与反馈‌定期向客户提交维保服务报告，包括审计结果、性能优化情况、安全漏洞修复情况等。根据客户反馈，不断改进和优化维保服务方案。四、应急预案故障处理‌制定详细的故障处理流程，包括故障识别、原因分析和解决方案实施。提供快速响应和故障恢复服务，确保数据库系统的稳定性和可用性。数据恢复‌在发生数据丢失或损坏时，利用备份数据进行快速恢复。提供数据恢复演练服务，帮助客户熟悉数据恢复流程和提高应对能力。五、服务保障原厂维保‌选择原厂作为维保服务供应商，确保服务质量和专业性。提供原厂的技术支持和备件支持，确保服务的及时性和有效性。技术人员‌指派具有原厂技术认证的资深工程师提供电话支持和现场服务。确保技术人员的稳定性和专业性，提高服务质量和客户满意度。文档管理‌建立和维护完整、准确的文档，包括设计文档、配置文档、操作手册和问题处理记录等。定期更新和维护文档，保持文档的准确性和时效性。数据库审计维保服务方案是确保数据库系统安全、稳定和合规运行的重要措施。通过定期审计、实时监控、权限管理、安全漏洞扫描与修复、性能优化、数据备份与恢复以及培训与支持等服务内容，可以有效提高数据库系统的安全性和稳定性，帮助企业满足各种法规和标准的要求。3、堡垒机维保服务堡垒机一、服务概述堡垒机维保服务旨在确保堡垒机设备的稳定运行，提高设备的安全性和可靠性。服务内容包括设备的定期检查、故障排查、安全更新、技术支持等，以全面保障业主单位的运维安全。二、服务内容定期检查与维护‌对堡垒机硬件设备进行定期检查，包括CPU、内存、硬盘等关键部件的状态监测。检查网络连接稳定性，确保千兆以太网的支持。定期检查操作系统和相关软件的运行状态，及时发现并修复潜在问题。故障排查与修复‌提供7x24小时的故障排查服务，确保在设备出现故障时能够迅速响应。对于现场无法解决的故障，维护工程师将在规定时间内到达现场进行修复。提供替用设备服务，在设备故障无法立即修复时，提供临时替用设备以保障运维工作的连续性。安全更新与加固‌订阅相关安全公告和漏洞通告，及时了解最新的安全风险。按照操作系统和软件提供商的建议进行安全更新和漏洞修复。定期进行系统的漏洞扫描和安全检查，发现和修复潜在的漏洞。技术支持与培训‌提供专业的技术支持服务，解答业主单位在使用过程中遇到的问题。根据业主单位需求提供针对性的培训服务，提高业主单位对堡垒机的使用和管理能力。三、服务流程服务启动‌与业主单位签订维保服务合同，明确服务内容、服务期限和双方责任。对堡垒机设备进行初次全面检查，建立设备基线。日常监控与维护‌定期对堡垒机设备进行远程监控和检查，及时发现并处理潜在问题。根据业主单位需求提供定期巡检服务，形成巡检报告。故障处理‌在设备出现故障时，迅速响应并提供故障排查和修复服务。对于现场无法解决的故障，按照