省级电子政务云平台-整体方案建议书（XX省）-2

省级电子政务云平台整体方案第二部分目录第1章政务云项目背景及需求分析 安全运营管理安全运营是整体信息安全体系的一部分，它是在信息安全管理体系规范和指导下，通过安全的运行管理，结合安全产品和技术，保障对XX省省级电子政务外网云平台各业务系统安全稳定运行。安全体系运营管理层面设计主要是依据《信息系统安全等级保护基本要求》中的技术及管理要求而设计。电子政务外网平台安全遵照G/T22081-2008G/T20269-2006G/Z242942009G/T222392008等标准执行安全运营提供设备安全运维、安全检查、系统加固、应急响应等安全运维服务，及时、常态化的了解云平台在信息安全管理上所面临的问题和风险，可更好的服务于XX省省级电子政务外网的的信息安全规划及建设。安全运营管理工作内容运维队伍建设1）组建梯队运维服务人员建立信息安全运维服务团队，制定运维团队人员职责，提高运维工作效率。依据工作内容和性质的不同，可将运维队伍划分为一、二和三线人员，其中一线人员主要负责现场服务和常规的技术支持，二线人员主要负责值班和中等难度的技术支持，三线人员主要由内外部的技术专家组成，负责解决疑难的技术问题。2）运维队伍的主要工作职责日常设备安全维护与监控制定和实施安全策略、方案的设计以及实施人员培训应急事件响应运维服务内容日常检查维护主要内容包括：日志检查与问题分析；信息系统漏洞检查、漏洞补丁更新；病毒系统的运行检测、病毒库更新；网络设备运行状态检测、策略配置校验；机房环境检查。2）安全监控服务在安全监控服务中，将完成以下工作：监控网络安全设备运行状态，发现问题，通过界面报警、声音、手机短信、电子邮件等方式及时通知运维人员处理解决。监控电子政务云平台业务系统使用和管理过程，并对违规事件进行报警，同时对扩散范围进行分析。对各种安全事件进行综合分析，根据安全风险和安全问题情况有针对性地采取措施解决问题，降低风险。3）安全应急响应安全应急响应响应服务包括以下几个方面。违规处置当监测到违规事件正在发生时，依照应急预案采取必要的应对措施，减少系统故障、信息泄密等安全事件带来的损失。违规调查当违规事件正在发生或已经发生时，协助违规事件处置部门进行事件调查、保存证据、查找后门、追查来源等，同时提供事件处理报告以及后续的安全状况跟踪。4）安全风险评估为了充分了解电子政务外网云平台各业务应用系统、物理网络环境及安全设备存在的安全风险，以及面临的安全威胁，需要使用多种安全检查方法收集准确的基础数据信息，从而客观的从技术脆弱性上分析出信息系统中存在的安全风险。合规性检查核查基线配置情况分析策略配置合规性检查基线策略配置执行情况漏洞扫描安全扫描项目包括如下内容：主机层漏洞扫描网络层漏洞扫描应用层漏洞扫描网站安全监测网站页面响应速度监测网站源代码分析网站源代码变更监测网站SQL注入、跨站脚本等攻击行为监测网页防篡改网页内容自动探测网页内容完整性验证网站内容发布木马病毒检测与防护木马病毒安全监控主机系统漏洞安全监控安全加固补丁修复加固服务优化访问控制策略人工检查安全运营支撑工具安全管理平台系统架构SOC系统由五层构成，具体参见下图SOC系统总体架构图安全对象层：SOC系统统一监控、管理的对象，包括防火墙、入侵检测、入侵防御、防病毒网关、漏洞扫描、网络行为审计等设备。SOC系统是这些设备的上层管理同台，同时这些设备也是安全关系系统实现统一安全监控、管理的具体手段和数据来源。数据采集层：该层采集被监控对象层的数据，并将该数据上传到核心处理层。事件在数据采集层进行过滤、标准化和归并。核心处理层（数据管理层）：在SOC系统中核心处理层实现对安全数据的高层次深加工处理并负责用户相关功能的核心业务逻辑。核心层主要完成的任务包括：运行监测、业务管理、安全分析、专家知识库、策略管理、风险管理、脆弱性管理、事件管理、仪表管理、工单管理、关联分析、安全对象管理、报表管理、用户管理、系统维护。集中展示层（数据呈现层）：集中展示层主要负责完成与用户之间的交互，达到安全预警和事件监控、安全运行监控、协同工作处理、安全知识培训、综合分析的统一展示，是综合安管平台与各类安全管理人员交互的窗口。风险探知层（数据发掘层）：XX省电子政务云平台建设不断完善，基础设备、服务器、网络设备、安全设备不断增多，网络越来越复杂，各类数据信息的获取通常处于被动状态，不具备完善的网络基础信息库，无法自动化智能化的统计出网内设备与应用的数量，无法有效识别网内分别都上架了什么样的设备，存在那些应用。面对当前现状，需要采用多样化信息采集方式，主动全面获取网内各类信息，构建全网网络基础信息库。统计各类设备与应用，识别应用的基本信息。平台技术架构SOC系统需实现对网络中众多安全信息系统的异构信息的集中监控和管理，综合分析和处理这些安全数据，从而实现全网的安全集中监控。因此，该系统必须具有高可用性、负载均衡、方便扩展和分布式部署等特性。该系统基于J2EE平台构架，具有很好的开放型和扩展性，其技术体系架构如下图所示：图4.2.3-1综合SOC系统的技术体系架构SOC系统包括数据采集机、应用服务器、数据库服务器和客户端四部分。相关部分之间通过消息总线进行通讯。SOC系统的风险探知功能的整体功能结构如下图所示：系统功能安全对象管理SOC系统通过对关键安全对象的实时监控，以及对安全对象所产生的事件进行风险分析和处理，从而维护企业中各种安全对象的安全性。因此，安全对象的设置与分类是系统管理员在使用SOC系统时首先需要完成的工作。通过各种安全对象视图可以查看安全对象的软件硬件信息、漏洞补丁列表，通过查看该安全对象的最新的扫描报告可以了解最新的漏洞信息。同时，安全对象管理支持excel格式的导入导出功能。脆弱性管理SOC系统可以对系统中的相应安全对象进行脆弱性监视，方便用户随时掌握各安全对象的名称、IP、机密性、可用性、完整性及脆弱性等参数信息。SOC系统还提供了第三方漏洞扫描服务的管理接口，以便对相应安全对象进行脆弱性收集。管理员可以将第三方的漏洞扫描报告（如Nessus扫描报告）导入SOC系统，从而由SOC系统进行解析处理，最后得出相应安全对象的脆弱度。目前支持的扫描报告包括：Nessus扫描报告、绿盟XScan扫描报告、McAfeeFoundStone扫描报告、绿盟极光扫描报告、榕基扫描报告。SOC系统还提供通过问卷方式进行安全对象的脆弱性收集。可以采用在线问卷和问卷分发的方式进行问卷答题并完成对安全对象脆弱性进行收集。在线问卷方式是指用户登陆到系统中选择相应的安全对象以及问卷模版进行问答；问卷分发是指将问卷通过邮件系统分发至相应人员的邮箱中，然后利用相应工具来完成对问卷的问答；系统提供问卷结果导入的接口，方便用户将问卷结果导入到系统中。系统通过提供多种收集方式来完成对安全对象脆弱性的全多方位收集。风险管理SOC系统主要依据ISO/IEC27000系列信息安全标准，结合安全服务的最佳实践，可以提供面向企业的、实时的风险现状的整体评估。SOC系统可以根据多项指标计算出安全对象所面临风险数值，并根据指标的变化实时计算得出安全对象当前的风险状况。SOC系统还可以自动地对超过既定阀值的风险进行响应，提醒管理员关注此安全对象的安全风险，以采取必要的安全防护手段。事件管理SOC系统通过多种方式采集网络中各类安全事件，对采集到的事件执行标准化、过滤、归并等事件处理过程，并根据预先定义的分类规则对事件进行归纳分类，同时存储到事件数据库中进行数据保护。SOC系统支持主要的日志收集方式包括：syslog、snmptrap、文件、数据库。对未知设备（系统）日志格式分析可以通过标记语言的方式实现，且不需要修改程序代码。SOC系统通过业界先进的“关联分析引擎”实现事件设备源与安全对象的关联；使用状态机模型来抽象和描述攻击行为，建立多种攻击关联场景，有效地从大量安全事件中进行实时关联分析，准确识别出真实的入侵行为，从而实现报警信息的精炼化、提高报警信息的可用信息量，减少报警信息中的无用信息，降低安全设备的虚警和误警。同时，图形化的攻击场景配置，可以实现用户快速响应安全问题，不断优化网络的安全状况。SOC系统提供了安全事件的实时监控功能，全面地监视在线网络设备和主机发生的各种事件，帮助用户实时了解网络安全设备的安全环境、响应事件等的使用状况，使得对于大型复杂网络设备的监视和管理变得易如反掌。SOC系统可同时基于事件、性能、状态、安全等方面对设备、服务进行健康性观察。可灵活的建立监视对象模型，支持过滤、统计、排序以及分组，幻灯片，框架等，支持表格、指示灯、图表(柱状图、圆柱图、堆叠图、线图、饼图，且可以灵活的设置图表的表现形式)、树型等展示方式。风险探知主动探测多样化探测手段风险探知在探测技术方面融合多种探则技术手段，主要支持以下技术方面： 支持针对web漏洞扫描技术 支持系统漏洞扫描技术 支持针对操作系统的探测技术 针对端口的探测技术 服务探测技术 Web爬虫技术 漏洞验证与利用技术分布式探测技术风险探知支持分布式探测节点部署，通过分布式节点管理实现了对不同目标网络的主动探测。多类型探测引擎风险探知采用基于消息总线和webService等通用扩展技术。通过消息总线可以实现对内部分布式探针的管理和扩展。可以很好的支持自有的分布式探针，同时也可以支持第三方的分布式探针。信息识别地理组织信息识别风险探知内置了一些辅助信息，可以识别所属国家、所在省市、运营商、经纬度等信息。设备基础信息识别风险探知内置的探测引擎可以识别设备端口、服务、操作系统类型；同时也可以识别设备类型、设备厂家等。工控信息识别风险探知通过探知可以识别工控设设备，识别工控协议。同时可以识别工控设备的端口、服务、操作系统等。DNS信息识别风险探知通过指纹库的比对，对设备信息采集可实现探测目标DNS类型及版本号，目标操作系统类型及版本号，可发现探测目标的脆弱性信息。WEB应用信息识别风险探知通过指纹库的比对，WEB应用信息采集引擎可探测WEB服务器操作系统版本类型和版本号、WEB服务器类型和版本号、中间件类型和版本号以及数据库类型和版本号等信息收集和判断。不但可以识别国外应用系统,还可以识别国内应用系统,如：智睿网站管理系统,齐博CMS系统等等。邮件系统信息识别风险探知通过指纹库的比对，设备信息采集可实现探测邮件服务器软件类型和版本号以及操作系统类型及版本号。风险探知不止能够识别国外邮箱,还支持国内邮箱如：盈世coremail,易邮eYouEmailSystem等邮箱的识别。网络空间地图多维搜索系统提供搜索功能对探测到网络节点进行多维度的搜索快速定位符合条件的目标网络节点，支持的信息搜索维度包括但不限于所属国家、所属城市、所属组织、开启的端口、运行的服务、IP、域名、存在的漏洞、运行的操作系统类型、运行WEB应用的标题等，通过多维搜索能够对搜索结果进行展示，支持多种结果展示方式包括但不限于结果统计图方式、结果列表方式等，通过多维搜索能够查看目标网络节点的详细信息。关联搜索系统提供关联搜索功能，在按照多维搜索进行目标网络节点搜索时，能够根据提供的结果提供用于关联搜索的条件进行快速搜索。例如：根据搜索出的网络节点的所属国家列表所属城市等关联搜索条件；根据搜索出的网络节点的开启端口列表给出端口关联搜索条件等；根据目标网络节点的IP地址给出相同网段其他的IP地址的关联搜索条件等。安全态势分析信息识别分析信息识别分析功能能够实现对网络节点属性信息的关联推理分析，达到对网络节点未知属性的发现和对已知属性内容准确性的进一步完善。信息识别分析功能主要支持用户根据长期的人工经验积累对目标网络节点进行信息识别，并将识别的结果新增或者更新到网络节点上。信息识别分析功能提供人工经验积累库，能够对信息识别的经验进行记录和共享，支持长期积累的经验进行自动识别规则转化。综合统计分析综合统计分析功能能够通过图、表、地图等多种相结合的展现方式将探测结果进行统计分析后按照特定组合进行展示，供用户直观了解网络探测结果。综合统计分析的内容类型包括但不限于网络节点按照国家、省份、运营商、操作系统类型、设备类型、服务类型、web服务器类型、应用类型等分布情况，包含高危端口网络节点分布情况，包含高危漏洞网络节点分布情况等。查询统计分析查询统计分析功能将探测结果数据分为多种类型，按照每种类型为用户提供查询检索，查询检索结果能够按照图、表方式直观展示并能下钻查看结果详细信息，高级搜索功能能够提供关键字搜索能力，并将搜索结果与地图相结合进行直观展示。查询统计分析的内容类型包括但不限于web网站名称类、web服务器类、操作系统类、设备类型类、数据库类、端口类、服务类、常见端口、地理位置类、运营商类、漏洞级别类、组件类型类等。应用场景分析应用场景分析能够针对特定的应用目标，对探测数据进行分析并采用合适的展示技术进行分析结果展示，帮助用户分析理解数据，找到有价值的信息。应用场景的类型包括但不限于网络路由地图、主机漏洞服务端口等关联关系图等。实时关联分析SOC系统能够使用状态机模型来抽象和描述攻击行为，建立多种攻击关联场景，有效地从大量安全事件中进行实时关联分析，准确识别出真实的入侵行为，从而实现报警信息的精炼化、提高报警信息的可用信息量，减少报警信息中的无用信息，降低安全设备的虚警和误警。SOC系统通过实时关联分析实现对事件的关联，可以有效的帮助用户过滤事件，在大量事件、甚至是误报事件中提取有用的信息。实时关联来自不同设备的事件，可以大大的降低攻击事件的误报率，发现引发事件的真正原因和隐藏的威胁。同时，图形化的攻击场景配置，可以实现用户快速响应安全问题，不断优化网络的安全状况。安全预警SOC系统提供了安全预警功能，根据来自预警信息分析获得对可能发生的威胁的提前通告，安全预警是一种有效预防措施，和安全对象、风险管理等功能紧密联系在一起。 安全预警分为预备预警和正式预警，预备预警审核后变成正式预警,并可以发布。预警信息除了在SOC系统内显示以提醒相关人员外，还可以选择邮件、短信和SNMPTraps等方式来通知相关人员。预警信息经安全管理员甄别后，由系统自动地与安全对象库关联，列出相应受影响的安全对象以及影响的严重程度，并自动通知相应的安全对象责任人。预警影响支持按照单个或多个安全对象、按地域、按照业务系统进行发送。同时安全预警可以手动产生预警和根据规则自动产生预警。告警管理安全事件在经过一系列的事件处理过程后，根据安全告警规则设置条件，将形成不同级别的安全告警信息。安全告警管理可以对系统内部产生威胁事件所发出的告警进行查看、追溯、确认、清除、查询等操作。安全告警可以按条件如告警级别、告警类型、标题等进行归并，同类事件只能触发一次告警。SOC系统具备多种告警和响应方式，主要的告警方式是声音告警、声光报警、短消息、命令行告警、winpop告警、邮件告警、snmptrap告警等。同时，丰富的响应激活条件可以为规则定义提供更多的灵活性，同时可以根据需要减少和归并告警的次数。用户管理SOC系统是一个多用户系统，查看或者处理用户本身权限范围内可浏览到的信息。SOC系统在用户管理方式上采用基于角色的用户认证和管理模式，一个角色可以被分配多种资源权限，用户与资源权限之间是通过角色来联系的。系统支持对系统管理员、系统操作员以及审计员三种不同角色的定义和分配，也支持细粒度的资源权限划分，能够灵活控制不同角色对不同资源的访问权限。同时支持自定义用户密码策略。安全策略SOC系统所提供的安全策略管理功能可协助用户制定各种级别，针对不同对象（人员、设备、应用）的安全策略，实现企业安全策略的快速导入以及安全策略的集中分级管理。同时支持安全策略的数据导出、安全策略的版本控制、安全策略的发布功能，实现企业内所有安全策略的全流程管理。工单管理SOC系统提供了工单管理功能。管理员可以手工创建和派发工单，也可以设定规则由系统在一定条件下自动创建/派发工单。SOC系统支持安全管理员选择一个或多个关注的安全事件添加到指定的工单。并对工单进行派发，通过邮件提醒功能以及工单超时处理的功能来提高工单处理的及时性；提供了工单处理过程的监控的功能，系统支持通过图形化的方式展示工单的处理阶段。知识库管理SOC系统的安全知识库包括安全经验库、漏洞库、补丁库、事故案例库等。SOC系统漏洞库支持CVE标准。事故案例库主要是针对工单处理系统，对于典型的安全事故通过工单方式处理结束后，用户可以将事故处理的过程信息保存在事故案例库中，以方便用户的知识积累和知识共享。数据库管理对于存储在数据库中海量的事件信息，SOC系统提供了数据库管理的功能，帮助用户管理数据库中的数据资料，为用户提供便利的分组式管理及数据导入导出服务，保证用户的数据安全。专家辅助决策管理SOC系统提供辅助决策功能，使用户在处理事件时能够采用标准的安全专家知识库。用户把现有的安全专家知识录入系统中，并采用专家推理的技术，对当前发生的各类入侵行为，给出切实可行的决策方案和建议，提高安全管理的效率和智能化水平。每当用户查看事件并调用辅助决策时，系统会根据事件的信息自动匹配辅助决策，由用户决定是否对事件进行处理及如何处理。报表管理SOC系统的报表管理用于生成和管理各类事件及安全对象信息的报表。报表管理以组的方式对系统中的报表对象及已经生成的报表进行管理，为用户提供了各类统计信息的直观综合的视图。SOC系统报表管理预置了丰富的系统报表，可以充分满足用户的需求。报表支持多种格式的显示包括：pdf、html、excel、rtf等。报表的生成方式分为手工报表和自动报表两种，手工报表支持根据用户输入的统计参数立即生成报表，自动报表可以按照每小时、每天、每周、每月、每年等周期的方式定时生成报表。使用报表管理强大的定制功能，用户可以自定义报表的logo、大标题、小标题、统计内容、统计条件以及统计图形样式等。产品优势分权分域的管理模式实现分权分域的应用模式，通过在浙江省中心部署安全管理平台，实现省、市、区县三级模式下的分权分域应用，从全省统一管理的全局出发，平台通过分权分域的管理模式，满足上级对非本地局域网内的下级的管理，例省级管理员能够看到所有的排名，并可下钻看到全部详细信息，市级管理员能够看到本级在全省的排名，但只能下钻本级查看详细的信息，县级管理员能够看到在全市的排名，但只能下钻本级的详细数据。多视角展示技术（Portal和监视仪表盘）其一，首页门户展示其二，监视仪表盘展示综合实现可视化界面的呈现，界面动态展现为浙江省地图，浙江省及各地市区以线形明确区分，首页展示信息需要包含“攻击区域排名、流量区域排名、病毒区域排名”等信息。资产的整理资产识别资产识别和赋值的目的就是要对XX省电子政务云平台的各类资产做潜在价值分析，了解其资产利用、维护和管理现状；明确各类资产具备的保护价值和需要的保护层次，从而使组织能够更合理地利用现有资产，更有效地进行资产管理，更有针对性地进行资产保护，最具策略性地进行新的资产投入。各项资产可归入不同的类别，归类的目的是反映这些资产对评估对象系统或领域的重要性。依据资产的属性，主要分为以下几个类别：软资产软件资产包括各种专门购进的系统与应用软件（比如操作系统、业务系统、办公软件、防火墙系统软件等）、随设备赠送的各种配套软件、以及自行开发的各种业务软件等。硬资产物理资产主要包括各种主机设备（比如各类PC机、工作站、服务器等）、各种网络设备（比如交换、路由、拨号设备等）、各种安全设备（比如防火墙设备、入侵检测设备等）、数据存储设备、各类工控设备（摄像头等）。基于安全驱动的一体化解决方案SOC系统可整合和集中管理企业内部现有安全资源，通过关联分析、智能响应、与其他安全管理组件的组合，实现即时监控、安全预警告警、及时防护响应的闭环管理。同时，还可帮助企业及时准确地了解自身安全现状和走势，从而以最小的投入获取最大的安全。面向服务的体系架构SOC系统采用J2EE的体系架构设计，通过基于WEB的门户管理系统向认证用户提供基于B/S架构的管理界面，无须用户安装客户端软件。可扩展的事件收集SOC系统可通过代理（Agent）收集多类安全事件源产生的日志信息，如安全设备、网络设备、操作系统以及应用系统等，目前支持的日志格式包括Syslog、Snmptrap、文件、数据库，系统还可以使用天融信专利技术（专利号：200710304767.3）以提供对未知设备（系统）日志格式分析、扩展的支持。先进的事件归并技术SOC系统的事件归并技术可以根据用户指定要归并的信息的特征、字段等信息进行归并，只有具有该特征、字段的信息才可以被归并，即当多个信息的指定特征、字段的内容一致时，产生一个归并信息。同时，用户可以自己指定是否丢弃原始信息，当指定丢弃原始信息时，被归并的原始信息将被丢弃，只保留归并产生的信息；否则，原始信息和归并产生的信息都将被保留。如果归并超时前，符合归并条件的信息达到归并阀值，则产生归并信息；如果超时已到，但符合归并条件的信息未到归并阀值，则不产生归并信息，原始的信息将被保留。标准的SQL92语法过滤技术SOC系统通过使用SQL92语法标准制订事件过滤条件，使用户直观的定义事件过滤条件，在事件收集、事件监视、报表定制中可以体现其强大的灵活性，满足各种业务需要。同时，SOC系统在支持SQL92语法标准的同时，更加方便用户定义强大的事件过滤条件。持续改进的风险管理保障SOC系统依据内置的风险管理模型，不仅可向用户提供动态、实时的风险评估以及多视角（安全对象）、多视图（仪表、拓扑、地图）的企业风险可视化展示，还可根据灵活的响应方式和专家系统建议指导用户采取有效、及时、恰当的防护手段,为企业实现闭环的、持续改进的风险管理提供有效保证。系统高安全性SOC系统各功能模块间的通信均可采用SSL加密方式（用户可选）进行；用户的认证和管理由认证系统完成，认证系统提供了基于角色的用户管理功能；系统和用户的交互由门户系统完成，可以向用户提供基于HTTPS协议的WEB管理。通过这些安全措施，有效地防止了由于网络监听或账号滥用造成的一系列安全问题。系统易扩展性SOC系统具有先进的架构设计，灵活的跨平台、跨地域的部署方式，集中、安全的平台管理模式，优异的可扩展性，可根据企业网络架构的变化，平滑地实现系统的升级与扩展。统一安全策略管控与协同系统信息安全管理是一个复杂的问题，对技术人员的水平要求很高。根据Gartner的统计，99%的防火墙安全事件均是由防火墙的配置错误而引起，统一安全策略管控与协同系统的缺乏，使得信息安全管理更加复杂。国际层面有风险管理，国家层面有信息安全等级保护，企业层面有基线核查，从不同视角对信息安全提出了明确要求。政府需要自动化工具。正是从这个意义上需要一个能够统一安全管理企业部署的网络设备的系统。设备要能够集中管理、监控、核查、审计全网安全策略的网元，实现统一地策略采集、策略分析与策略下发和执行，减少了大量的人为误操作，提升了政府网络安全能力和管理能力，降低风险和成本。安全基线的建立和应用对安全策略的管控与协同工作，应当首先建立一套本组织在当前时期的“理想化安全水平基准点”，即“安全基线”。这个“安全基线”可以同时包含政策合规性的需求、自身的安全建设发展需求、特殊时期的安全保障需求等，然后通过一些手段（比如自动化的评估工具）对组织现有的安全水平进行分析。通过对比“理想化安全水平基准点”，就形成了一套差距分析结论。企业自身针对这个差距进行适时监测、确认和跟踪即可，对任何违规情况进行预警或通报，提出“补足差距”的建议方案；而这个“理想安全水平基准点”就是该组织的最优安全状态。追求规避全部风险也是不现实的，信息系统在达到基线水平之后，部分风险自然会被转移或降低。这样便可以实现持续定义安全基线，持续监管和持续改进，可以使每一时期每一阶段的安全水平都是可控的。同时，收集完数据后，根据企业安全状况进行风险的度量，输出结合政策法规要求的风险报表。系统架构策略统一管理是统一安全策略管控与协同系统的核心功能之一，能够最全面的了解整个网络，包括：设备的可用性、接口流量、版本、配置信息、路由信息和日志等；全网拓扑、设备性能排行、设备接口流量排行；全网攻击事件、病毒信息、木马信息、应用分布流量等。统一安全策略管控与协同系统提供对各种信息的实时监控，历史查询和综合审计报表，用户可以根据自己的实际需求来定制不同的功能管理界面。实时监控通过各种图形化的方式，最清晰、直观和生动的展现信息。历史查询功能提供设备状态、日志、隧道连接信息的详细记录，方便用户在遇到问题时进行定位和跟踪。审计报表提供了丰富的报表模板，用户还可以根据自己的需求来自定义报表。系统提供全面可靠的设备安全保障服务，通过基于角色的、安全的访问方式进行管理，迅速配置准确的攻击监测和网络威胁防御，从各个方面提升用户网络环境的安全性。TopPolicy提供360°安全设备体检功能，通过一键式操作对设备配置、策略、设备当前状态、历史状况、漏洞情况等多方进行综合检测和分析并最总打出分数，保障设备自身的配置正确和安全，不仅仅保障企业的安全投资，同时带来安全投资的价值提升。系统功能建立安全基线，落实风险控制要求通过统一安全策略管控与协同系统对重要信息系统建立安全配置基线，将业务的安全需求转换为对网元设备的具体技术要求进行落实。统一安全策略管控与协同系统为管理者的定量观点与安全专家所采用的具体检测方法之间架设了桥梁，通过建立业务系统的安全配置基线，以实现业务系统的安全风险度量，让安全风险可控、可管。基于实践的安全配置知识库统一安全策略管控与协同系统系统的安全配置库来源于科技多年安全服务的执着实践，每一条安全配置都是科技安全服务团队的多年评估服务的结晶。该知识库内容涵盖了操作系统、网络设备、数据库、中间件等多类设备及系统的安全配置加固建议，通过该知识库可以全面的指导IT信息系统的安全配置及加固工作。并且根据IT信息系统的不断发展持续进行更新。多类型设备自动化的安全配置核查能够根据安全配置知识库的要求，判断待查设备的检查项目达标与否，支持百分制对目标系统的达标情况进行打分。现有安全配置核查系统的检查对象涵盖了：WindowsXP/2003Server中英文版本操作系统、Solaris8/9/10中英文版本操作系统、AIX5.x操作系统、Linux操作系统、Oracle8i/9i/10g数据库、Informix数据库、思科网络设备、华为网络设备、Juniper网络设备。检查的内容包括四个部分，分类如下：账号管理、认证和授权（账号、口令和授权）日志配置操作IP协议安全配置操作设备其他配置操作集中自动化的配置安全核查运用远程核查与本地核查相结合的方式，在多种复杂应用环境下均可实现自动化的大规模性安全配置检查。通过“远程登录探测”功能，可以完全模拟人进行远程登录目标设备以进行安全配置检测，不会对目标设备正常运行造成任何影响。对隔离设备等特定使用环境，“本地安全检测”功能可直接在目标主机上收集相应的安全配置信息，并能够将数据汇总到统一安全策略管控与协同系统设备上进行统一的数据汇总分析。针对大多采用Windows终端的办公网使用环境，可通过“ActiveX检测”功能自动的对所用终端进行检测，并可进行统一数据分析。多级多用户分权使用针对现有省移动的组织结构和网络环境中，支持多级多用户分权使用。多管理员使用配置安全核查系统，对每个使用者能够设定其允许检查的范围，检查过程中不能对目标系统的配置进行任何修改，只能进行安全基线检查工作。支持集中的管理员功能，能对所有配置安全核查的结果进行统一的查阅和分析。全面灵活的报表功能综合运用历史数据搜索、对比分析、汇总查看、趋势分析等工具，不仅可直观了解单个系统的问题分布及危害，还可同时掌握多个不同省、市公司、业务系统的综合风险变化情况，从而最终做出安全对比评定。可为网络安全状况的评定和未来网络建设提供了强有力的决策支撑。根据不同阅读人员的需要生成各种自定义报告，提供所需的相关数据，从多个视角反映网络的整体配置安全状况。可对不同的检查点，定义不同的风险分值，对不安全配置分布、危害、平均符合度、设备信息等多视角进行细粒度的统计分析，生成基于不同角色、不同内容和不同格式的报表。配置加固指南针对每一条不符合规范的配置项，安全配置核查系统提供了详细的配置安全加固指南。加固指南切合具体的设备类型、系统版本，提出对应的执行命令、参数供加固人员参考，能有效的指导加固操作。堡垒机云平台的管理运维人员、第三方运维人员以及租户需要多云计算平台的主机、应用及网络设备进行管理、维护操作。为了发现和防止不当操作、越权操作的发生，需要对此类用户进行认证、授权、访问控制和审计。1、堡垒机功能堡垒机可以提供一套先进的运维安全管控与审计解决方案，目标是帮助云计算中心运维人员转变传统IT安全运维被动响应的模式，建立面向用户的集中、主动的运维安全管控模式，降低人为安全风险，满足合规要求，保障企业效益。2、部署云计算平台的管理用户类型主要包括：云平台运维管理人员、第三方管理人员以及云平台租户。从网络访问途经讲，有内部网络访问和来自互联网的访问。堡垒机部署在管理终端和被管理设备之间，并实现逻辑上的串联部署，同时，堡垒机应部署在管理平面，实现和用户数据的隔离。一般部署情况如下图所示：堡垒机部署图管理区可以细分为运维管理子区、安全管理子区。运维管理子区主要部署虚拟化管理平台、云运维管理平台、网络管理平台等，其防护与传统的IT系统基本相同，不再赘述。对于安全管理子区，一般会集中化部署安全防护措施的管理服务器、提供通用安全服务的服务平台，如综合安全管理服务器、防病毒服务器、安全检查/评估系统、安全态势监测系统等，实现“大院式”防护，降低防护成本。安全管理子区对于云平台来讲，这里采用的安全防护措施可与虚拟化管理平台、云管理平台有机集成，如实现虚拟机配置/活动信息的获取、租户信息的获取、虚拟机所部署应用的信息的获取等，以实现全程自动化实现。。漏扫系统依据等保三的要求，应定期对网络系统进行漏洞扫描，对发现的网络系统全漏洞进行及时的修补；系统安全管理，应定期进行漏洞扫描，对发现的系统安全漏洞及时进行修补；至少每半年对系统服务器等进行漏洞扫描，对高危漏洞应及时修补。防病毒系统虚拟环境基础架构除了具有传统物理机的风险之外，同时也会带来其虚拟系统自身的安全问题。新安全威胁的出现自然就需要新方法来处理。通过大量的调研，目前广泛使用的虚拟化环境内存在以下安全隐患：防病毒软件对资源的占用冲突导致防病毒风暴目前在虚拟化环境中对于虚拟化服务器仍使用每台虚拟操作系统安装防病毒客户端的方式进行病毒防护。在防护效果上可以达到安全标准，但如从资源占用方面考虑存在一定安全风险。由于每个防病毒客户端都会在同一个物理主机上产生资源消耗，并且当发生客户端同时扫描和同时更新时，资源消耗的问题会愈发明显。严重时可能导致ESX服务器宕机。亚信科技针对以主机为单位提供全新的信息安全防护方案——DeepSecurity，通过病毒防护等功能实现虚拟主机和虚拟系统的病毒防护，并满足信息系统合规性审计要求。针对虚拟化面临的风险，建议采用亚信科技的虚拟化解决方案，构建虚拟化平台的基础架构多层次的综合防护。传统的病毒针防护解决方案都是通过安装Agent代理程序到虚拟主机的操作系统中，在整合服务器虚拟化后，要实现针对病毒的实时防护，同样需要在虚拟主机的操作系统中安装防病毒Agent程序，但是服务器虚拟化的目的是整合资源，最大化的发挥服务器资源的利用率，而传统的防病毒技术需要在每个虚拟主机中安装程序，例如：一台服务器虚拟6台主机，传统方法将Agent需要安装6套，并且在制定扫描任务就需要消耗虚拟主机的计算资源，这种方式并没有达到节约计算资源的效果，反而增加了计算资源的消耗，并且在病毒库更新是带来更多的网络资源消耗。亚信科技针对虚拟化环境提供创新的方法解决防病毒程序带来的资源消耗问题，通过使用虚拟化层相关的API接口实现全面的病毒防护。针对虚拟化环境，具体如下：亚信科技在虚拟化系统中通过专用的接口实现针对虚拟系统和虚拟主机之间的全面防护，无需在虚拟主机的操作系统中安装Agent程序，即虚拟主机系统无代理方式实现实时的病毒防护，这样无需消耗分配给虚拟主机的计算资源和更多的网络资源消耗，最大化利用计算资源的同时提供全面病毒的实时防护。在公安部等保三的主机安全中要求，应安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库；主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库；应支持防恶意代码的统一管理。同时具备以下功能：具备24小时自动防护功能。对已经感染病毒的文件，能够通过先进的修复工具保证文件免受破坏。能够在各种可能感染病毒的途径上加强防范，尤其必须能够预防病毒通过电子邮件传播。具备先进的检测、排除病毒功能，能够查、杀现有各类病毒，具有动态升级扩充能力。对服务器系统性能的影响应该非常小，能够实现对工作站端的病毒隔离。病毒定义和扫描病毒引擎的更新必须快速方便，能够自动提供各类动作的记录和统计报告。能够对防病毒系统客户端实现集中管理，网上分发功能。网页防篡改系统依据国家电子政务外网管理中心的要求，在门户网站前需要部署网页防篡改、WEB防火墙等设备。目前“同城双活机房”（省二院）部署了一套网页方篡改可以利旧，本次项目中将根据实际情况需要增加认证许可数量。网站安全监测系统系统架构本系统设计按照信息安全三大属性：可用性、完整性、机密性（简称：AIC）属性设计，遵循以下基本规范进行设计：（1）考虑系统功能复用，考虑结构复用，减少冗余无论互联网模式或者以设备部署的模式，相关功能（检测、监测、可用性展现）是确定的，因此，通过合理架构系统，功能模块化，模块接口丰富，可减少冗余开发工作；同时，必须考虑不用客户群的个体属性，（2）系统设计必须支持大规模应用和扩展需求单点设备或者互联网规模用户，都可能存在用户规模问题。单点设备是否可以冗余？系统规模是否随着硬件成比例增加？（3）系统的关键业务点，必须考虑业务冗余、系统冗余的思路；（4）系统设计考虑异构和当前业务多样化需要。Web预警监控系统体系结构图如图5所示，具体结构设计述如下几方面。图5预警监控系统体系结构图基于网络的网站监控预警系统的系统的核心模块进行了设计，该设计的后台主要模块分为四个：控制调度模块、网络爬虫模块、扫描功能模块和数据库。在此论述系统的设计思想及相关的技术原理，其各模块的工作关系如图6所示。图6模块的工作关系图（1）控制模块控制调度模块，既是控制整个系统执行顺序的模块，一般的小型系统可以将控制调度的逻辑直接写进代码中，这样，系统就能严格按照代码的顺序执行相关的功能，但是如若系统增加了一个功能或者删减了一个功能，就需要对调度的代码做直接修改，对于一个注重扩展性的系统而言，这显然是不合理的，当一个系统经常做功能上的修改，这种方式将浪费掉大量的时间和精力，抬高了系统的维护成本，本文设计的系统的特点之一便是扩展性强，所以本系统将调度模块和其它模块解耦，调度模块只从配置文件获得各个模块的执行顺序，而一旦有模块的增加或删减，也只对配置文件做修改，这样就避免了模块之间的耦合，提高了系统的扩展性。其工作流程如图7所示：图7控制模块工作流程图第一步：加载系统和数据库的配置文件，获得运行参数。第二步：根据配置文件获得的参数，将http访问、数据库、和线程池等系统运行的公共组件进行初始化。第三步：根据获得的运行参数及调度顺序，后台各功能模块顺序执行。（2）配置文件模块为了使各个模块之间的解耦，本系统运行中用到的可变参数均通过配置文件的形式给定，根据本系统的架构，用到的配置文件：Config.xml、SysConfig.xml、CrawlConfig.xml、LoginSequnce.xml、DataBaseConfig.xml、ScanTemplate.xml。所有配置文件均采用XML格式给出。其中，Config.xml是系统启动时加载的第一个配置文件，但其并未提供具体的配置，而是罗列了其它所有配置文件的路径，系统通过读取Config.xml，可依次加载各个配置文件；SysConfig.xml可配置系统的运行参数，例如开启的最大的线程并发数、响应超时时间等；CrawlConfig.xml则可配置网络爬虫的参数，如扫描的最大深度等；LoginSequnce.xml则是用于记录需登录方可访问网页时的cookie信息，以提供给爬虫程序爬取这些页面，DataBaseConfig.xml则是对数据库的相关配置；ScanTemplate.xml可配置各个漏洞类型扫描的执行顺序及执行参数，如SQL注入扫描和XSS扫描。如图8所示：图8配置文件模块关系图（3）网络爬虫模块根据上面的论述，本系统采用表单爬虫，应用发现新站点的自适应窗口策略以及提取表单的导航链接策略。爬虫程序在Web漏洞检测中的功能有两个：1、得到目标站点的目录结构。2、提取出网页中如表单的动态交互点等信息。爬虫程序首先使用自适应窗口策略得到站内所有站点，并将站点的URL存入unserarchedsite队列中，之后爬虫程序遍历unserarchedsite队列，从每个站点开始，使用导航链接策略搜索包含表单信息的页面，并将其URL存入unserarchedpage队列中。由于遍历过程相同，因此站点URL和页面URL采用相同的队列和数据表结构，分别为unserarchedsite队列、searchedsite表和unserarchedpage队列、searchedsitepage表，队列和数据表的结构如图9所示：图9队列和数据表的结构图由于爬虫程序对站点的遍历和对网页的遍历过程相同，现对其统一描述：爬虫程序将得到的有效地未爬取的url存入先进先出的unserarched队列，将已经爬取过的url则存入searched表中，searched表有两个字段，URL/链接和URL别名，都为VARCHAR(255)类型，为了防止反复爬取相同的url而使得爬虫程序陷入死循环，爬虫程序每次从unserarched队列头取出url，将该url与serarched表中的所有url进行遍历匹配，如该url已存在于serarched表中，则舍弃，若不存在，则采用。为使得爬虫的爬行深度可以设置，可从站点的根目录开始，对爬行的深度进行计数，当子目录的层次超过预设定的值时，爬虫程序结束爬行。网络爬虫在得到页面URL的同时，爬虫程序利用HTML解析器，也获取到了如动态表单等的动态交互点的信息，爬虫程序将表单中method、test、value、submit、get、post等关键字，及表单的提交方式和隐藏属性提取出来。并将这些协议数据存入数据库的协议数据表中。综上，网络爬虫模块的功能为爬行目录结构和分析页面信息，而对页面的爬行和分析的过程是交互进行的，可通过线程池实现它们的并行执行，使得爬虫程序在爬取新页面的同时对已经获取到的页面进行分析，提高执行效率，其执行流程如图10所示。图10网络爬虫模块流程图（4）协议分析模块如前所述，爬虫程序获得了目标站点的目录结构以及所有页面的协议信息，并已将页面的协议信息存入协议数据库中，协议分析模块的工作便是将协议数据库中的数据和检测参数数据库发生关联，产生攻击请求，再将攻击请求存入检测结果数据库中，以供模拟攻击模块调用。由于一个web站点所有页面的协议数据量可能非常庞大，而并不是所有的协议数据都会产生漏洞，因此，必须对协议数据进行全面而详细的分析，协议分析模块会遍历协议数据库中的所有数据，找到这些动态交互点中可以向目标web站点提交的参数类型，并将这些参数类型和检测参数数据库中的参数类型进行匹配，生成攻击请求URI及其特征信息，并将其存入检测结果数据库中。协议分析模块会根据一个交互点的一种数据类型生成所有的检测请求，模拟攻击模块针对这种数据类型的攻击请求发送完毕后，协议分析模块再产生同一个交互点的其它数据类型的检测请求，直到所有数据类型测试完毕后，再针对下一个交互点重复同样的过程。（5）模拟攻击模块模拟攻击模块负责每次从检测结果库中取出一条记录，向web站点发送HTTP或者HTTPS的URI请求，得到响应状态码和响应内容，再将其和检测结果库中该记录对应的参数信息进行对比，若响应状态码和Status字段相等或者响应内容包含Keyword中所罗列的关键字，则可判定为攻击成功，存在漏洞，则该记录不变，否则，攻击失败，不存在该漏洞，将该记录从检测结果库中删除。值得注意的是，由于模拟攻击模块可集中的向目标站点发送大量的URI请求，这可能会影响到目标站点，应设法避免这种情况的发生。由于不管是基于哪种漏洞的检测，比如SQL注入和XSS跨站脚本，或者其它的漏洞类型，改变的只是检测参数数据库，而其它的系统执行和调用流程，统一的，所以不对某种特定的漏洞检测单独论述。基于以上，扫描攻击模块的执行流程如图11所示。图11扫描攻击模块执行流程图系统功能Web系统扫描和漏洞扫描监控服务目前该系统支持远程OWASP定义的Web威胁和及其相关的漏洞扫描监控服务。通过远程的Web应用业务漏洞扫描服务，由安全专家定期进行Web应用业务结构分析、漏洞分析，即时获得Web应用业务的漏洞情况，以及修补建议，漏洞扫描如图1-1、图1-2所示：监控平台除了提供Web漏洞扫描引擎，还提供了内置了端口探测、未知站点探测、弱口令破解（图1-1弱口令检测）等安全工具，检测网站的中间件、程序代码是否存在漏洞。图1-1弱口令检测图1-2漏洞扫描图1-3漏洞扫描模板网络钓鱼监控服务基于云计算技术（SaaS），具有先天的防钓鱼优势。通过构建可信URL数据库、IP信誉和自动化的扫描辅助以人工确认等综合手段，从而构建高效、准确的反钓鱼监控系统。监控系统可以针对制定网站利用搜索引擎的方式检测互联网上存在的假冒的钓鱼网站，同时支持三种搜索引擎的钓鱼检测算法，对钓鱼链接或者网页能保留证据，如图1-4所示：图1-4钓鱼检测网页木马检测服务采用业内领先的一体化挂马检测技术，高效、准确的识别网站页面中的恶意代码，从而使的网站管理员能够第一时间感知网站的安全状态，及时清除网页木马，避免给用户带来安全威胁，继而影响网站信誉。采用强大的爬虫技术提供全面的测试用例,静态和动态检测技术结合,静态技术采用恶意URL库以及恶意代码库相结合的方式,动态技术基于浏览器沙盒技术,无视各种脚本变形、加密技术，如图1-5所示：图1-5木马检测技术电子渠道内容检测服务检测目标站点页面是否遭受篡改，检测目标网站页面中是否包含黑链，检测目标网站页面中是否包含政治、色情、犯罪等类别的敏感字，如图1-6、图1-7所示：1）对页面篡改监控提供两种模式处理：对于网站结构或者属性单一的用户，提供基于防护的篡改监控防护模式。用户可以根据自己情况，从管理中心下载与其服务器相对应的防篡改客户端，安装在自己服务器上，和管理中心互联，完成”监控-防护”的功能；基于扫描的网页篡改监控服务。通过远程实时监测目标网站页面的信息，一旦发现页面被篡改情况，第一时间通知用户。用户可根据WebRay提供的安全建议及时修复被篡改页面，避免篡改事件影响扩散，给自身带来声誉和法律风险。远程实时监测目标站点页面状况，发现页面出现敏感关键词，第一时间通知用户。用户可参考提供的安全建议及时删除敏感内容，避免事件影响扩散，给自身带来声誉和法律风险。用户也可以自定义所关心的敏感关键词。监控系统可以对网站的页面内容安全做检测，包括篡改、暗恋、敏感词做检查。其中篡改检测采用自主知识产权的页面矢量比较算法，能够识别页面正常更新和篡改，暗恋检测采用动态沙箱技术检测js动态生成的暗链，css暗链等。敏感词检测采用语义分析技术针对政治、色情、犯罪等敏感信息进行检测。图8.6内容监控策略图1-7内容监控模板Web应用业务可用性监测服务应用监控主要涉及以下指标：Web应用业务可用性、Web应用业务从不同线路来访问得速度情况、Web应用业务响应时间，从而判断是否能达到最优、最安全的服务质量。通过监测系统，从各省运营商网络线路远程实时监测目标站点在多种网络协议下的响应速度、首页加载时间等反映Web应用业务性能状况的内容，一旦发现网站无法访问，第一时间通知用户，如图1-8所示：全线路探测的PING、DNS监控域名解析变动、HTTPGET、HEAD、关键字监控，检测目标站点的首页访问时延，能计量服务器掉线等安全事件发生的频率、时间段，同时提供报警操作。图1-8可用性监控域名监测(DNS)服务从各省运营商网络线路远程实时监测各地主流ISP的DNS缓存服务器和用户DNS授权服务器的可用性，以及它们对被监测域名的解析结果情况。一旦发现用户域名无法解析或解析不正确，第一时间通知用户。用户可参考提供的安全建议恢复域名正常解析，避免域名不可用给访问者带来不好的体验。监控平台实时集中化监控效果如图1-9所示：图1-9DNS监控告警服务网站监控平台提供了多种告警方式，发布网站遭受篡改的及时信息，以便应急响应，发布最新的安全漏洞以及相关新闻。监控系统提供了多种告警方式，包括短信、邮件、syslog、SNMP等多种告警方式，同时监控平台还提供了重大安全新闻通报（图1-12所示）、重大安全事件告警等多种功能，如图1-10、图1-11所示：图1-10短信告警和邮件告警图1-12灾情通报风险评估风险评估是全面、准确的了解XX省省级电子政务外网的网络安全现状，发现系统的安全问题及其可能的危害，为系统最终安全需求的提出提供依据；分析网络信息系统的安全需求，找出目前的安全策略和实际需求的差距，为保护信息系统的安全提供科学依据；通过合理步骤制定适合系统具体情况的安全策略及其管理和实施规范，为安全体系的设计提供参考。图：风险评估服务流程应急响应对XX省省级电子政务外网统一云平台的紧急网络安全事件提供7×24小时应急响应服务，在接到应急响应服务请求后，安全专家依据安全事件的分类和应急响应的目标，及时提供现场应急响应，进行有效的应急处理，包括：对安全事件进行起因分析、取证追查、后门检查、漏洞分析、数据收集和数据分析；安全事件抑制、消除和恢复；恢复系统正常；安全事件总结与分析等，最大程度上减少损失和事件造成的负面影响。在应急响应服务中，本次项目主要提供如下的服务内容：应急响应体系建设该服务主要协助完善XX省省级电子政务外网统一云平台的网络与信息安全应急响应机制，规范网络与信息安全应急响应工作内容和流程，科学应对网络与信息安全突发事件，有效预防、及时控制和最大限度地消除信息安全各类突发事件的危害和影响，保障信息系统的实体安全、运行安全和数据安全。主要包括：网络与信息安全应急预案制度的编写。明确应急响应的组织指挥体系及职责任务的划分，并形市网络与信息安全应急协调领导小组、领导小组办公室两级领导机制，并明确领导小组各成员单位的主要职责。建立预警和预防机制，主要包括信息监测及预警报告和预防机制。确定应急响应启动条件。制定应急响应流程，形成预案启动、应急处理、应急支援、安全事件应急处理记录和结束等流程。制定日常的应急演练计划。应急预案规划该服务主要针对XX省省级电子政务外网统一云平台自身的业务特点，为XX省省级电子政务外网统一云平台所面临的各种信息安全威胁制定应急响应预案，为其安全工程师在遇到这些信息安全的突发事件，可以参照上述应急预案完成应急响应的安全事件处置。最大程度上减少XX省省级电子政务外网统一云平台的业务影响面。主要包括：风险评估和对业务的影响分析。应急预案规划。对应急预案的修订提出指导意见。应急预案编制为XX省省级电子政务外网统一云平台所面临的主要的一些恶意攻击编写相应的应急预案，例如常见的DDOS攻击、蠕虫攻击、CC攻击、木马等网络攻击。应急预案的编写内容应包括如下信息：安全事件名称：例如宏病毒、SQLSlam攻击等；安全事件类型：主要是安全事件归属的类别，例如木马、病毒、DDOS攻击等；安全事件现象：指出现这类事件的比较显著的特征，例如DNS解析出错、跳转到特定的URL等信息；安全事件处置方法：解决这些问题的方法，包括排查问题的方法、解决问题的方法；应急预案培训通过上述的应急预案的编写，为XX省省级电子政务外网统一云平台形成应急预案库。为了保证安全工程师对XX省省级电子政务外网统一云平台应急安全库内容可以很好的理解，并可以遵守应急预案进行有效处置，需要给XX省省级电子政务外网统一云平台安全工程师开展应急预案培训，培训的目的就是让安全工程师可以完全掌握应急预案的内容，并可以有效的开展应急处置的工作。培训的内容包括：安全事件的演示；应急处置的演示。应急预案测试与演练为了进一步加强安全工程师对应急预案的理解和掌握，还需要在日常针对XX省省级电子政务外网统一云平台应急案例库展开定期的测试和演练服务，让安全工程师在实战中掌握应急响应的处置方法。并根据如下图所示的流程开展应急演练活动:图:应急预案测试与演练服务流程同时运营单位在本地或者远程提供应急响应服务，配合客户完成应急演练的全过程。最后，要对演练过程中发现的问题进行总结和完善，如果有必要，并根据演练的情况完善优化XX省省级电子政务外网统一云平台应急预案库的内容。应急响应处置应急响应服务通常是根据不同的安全事件类型和安全事件级别，采取针对性的应急响应方式和流程，由相关的人员完成应急响应工作。具体实施相关内容如下：安全事件分类通常信息网络中可能发生的安全事件主要可以分为以下几大类：拒绝服务：通过占用网络/系统资源使计算机或网络无法提供正常的服务。恶意代码：病毒、蠕虫、木马等会给计算机带来不良影响的代码。未授权访问：某人在没有得到允许的情况下，获得对网络、系统、应用、数据，以及其它信息资源的访问权限。不当应用：违反安全策略的行为，包括公司和部门制定的流程、制度、标准和规范。上述几种安全事件的结合。安全事件级别根据以上安全事件类型，安全事件主要可以分为以下三个级别：一般安全事件；一般安全事件是指出现安全事件的特征，小范围影响到网络或业务系统性能，但是不影响骨干网络和业务系统的正常可用。严重安全事件；严重安全事件是指造成网络骨干节点或者业务系统中断30分钟以上；重大安全事件。重大安全事件是指造成网络骨干节点或者业务系统中断60分钟以上。应急响应方式当出现安全事件时，长城网际将提供应急响应技术支持服务，服务的方式如下：一般安全事件：支持人员：驻场工程师、专家团队；响应方式：驻场工程师现场响应，专家团队电话/VPN远程支持响应时间：半小时内电话/VPN远程；专家团队4小时内到现场，巡检工程师现场支持，技术顾问远程支持。严重安全事件：支持人员：现场运维工程师、专家团队；响应方式：驻场工程师现场响应，专家团队现场响应响应时间：专家团队2小时内到现场；重大安全事件：支持人员：现场运维工程师、专家团队、其它相关部门资源；响应方式：驻场工程师现场响应，专家团队现场响应；响应时间：专家团队2小时内到现场，项目经理协调有关外部相关部门资源。应急响应流程服务响应流程现场处理流程原则：优先保证业务可用；尽量降低客户损失，缩小影响范围；规范操作，避免误操作；注重记录，保留证据。现场处理常规流程：应急响应质量保证项目组设立安全应急响应绿色通道，保障安全事件响应速度；应急响应工作人员配备完善的应急响应工具包，保证7X24小时应急响应状态；进行应急响应的工作人员有丰富的安全事件处理能力；项目与客户及第三方厂商协调应急响应工作组，设置完备的应急响应机构；制定完备的应急响应策略和应急响应指导方案及响应流程。安全通告长城网际利用互联网信息监测系统，具备面向网络空间的多手段、多角度、大规模的信息采集和监测能力，实现高效的互联网商业情报采集、监测和预警。情报监测范围覆盖包括门户网站、行业网站、社交网站、文库、论坛、博客、微博等所有网络媒体，自动发现并收录新信息源，采集范围覆盖全球90%以上的中文网络，真正做到全方位立体式监控。通过上千台服务器组成监测矩阵，24小时不间断对互联网进行信息收集与分析处理，采用变频抓取技术收集情报数据，最快抓取时间为信息公开发表后1分钟，每天抓取信息量1000万以上。利用独有的垃圾主动防御系统，能有效过滤垃圾信息与无关信息，提高信息收集精准度；强大的商机情报预警系统，第一时间发现负面信息与商机情报，为用户赢得了宝贵的商务处理时间。系统支持全自动情报收集与分析、智能化全网追踪、可靠的报告自动生成，24小时无人作业，大大降低人力成本，有效提高商业情报工作效率。商务情报监测针对互联网上海量公开数据，有效快速的采集互联网上数亿个信息源的情报信息，有效实现信息全面覆盖。商业情报整合、分析与研判对收集的情报信息，长城网际的专业情报团队将进行从内容到结构的整合，并视用户需求对情报提供分析与研判服务。公司情报部门可针对敏感人物和事件进行深度分析,及时发现和预警情报热点，采用基于时间维度的态势感知、基于情感维度的预警分析，以及情报溯源与趋势追踪等技术手段，对网络情报的预知、预警、预防打下良好基础。通报与咨询实现基于专用通讯终端方式的信息即时推送及查看业务流程，从而保证情报信息的快速发现、安全通信、实时预警、及时响应。对情报进行定期分析总结，在遇到重大情报事件时提供专业化的情报或反情报建议，并定期提交各类形式的报告。安全服务方案（电信版）安全设备运维服务安全设备日常维护工作内容本次项目中，我方将完全满足用户方对于安全运维的人员要求。派驻2名安全工程师。提供5*8小时驻场服务，对本项目清单中的安全安全设备实行实时监控，及时发现和处理问题。驻场人员工作场所由用户方提供，工作制度按客户方要求执行。安全安全设备硬件监控和维护服务监控服务中国电信集团系统集成公司运维服务团队提供监控服务，保证对关键安全设备系统性能的实时监控。根据监控平台的实际性能，一般监控项包括：日常监控服务级别管理服务。驻场工程师可根据项目需求，提供系统现场监控服务，对于所有监控到的报警事件，进行事件的诊断和辨析，并对事件进行在线解决和管理。针对安全设备或系统的性能监控。该监控目的是为了能在故障监控的基础上实现对关键安全设备或系统的全面监控，从而可使系统管理人员及时了解到该安全设备或系统的性能和资源占有情况，并形成性能历史报告和趋势报告，以便系统管理人员根据该报告进行性能分析和调优。在原有故障监控的基础上可增加对以下关键性能指标的实时监控：CPU利用率中各个应用/进程、客户、空闲时间的百分比。内存利用率。交换空间（SwapSpace）利用率。文件系统使用情况，如：磁盘空间利用率、文件大小等。系统I/O通道性能。服务器网卡接口性能参数。自定义的操作系统性能参数，如某应用进程的资源占有状况等。针对网络安全设备和链路等监控要求，参照服务器的要求执行，对于网络关键性能指标的实时监控，包含且不限于下述指标：安全设备性能，如CPU及内存利用率等。端口性能，如端口利用率、端口丢包率、端口错误率等。端到端网络性能，如端到端延时、端到端丢包率、端到端时延抖动等。链路性能，如流入流量、流入带宽利用率、流出流量、流出带宽利用率。维护服务日常硬件维护工作是日常工作的一项重要内容，主机、存储等安全设备的日常巡视是日常维护过程中每天定时发生的过程，以人工进行系统监控的形式有效补充了环境监控系统的不足，并能做到人员对故障报警的及时响应。现场维护团队定时进行巡视，巡视内容包括电源、硬盘、网卡状态灯，LED面板、工作状态指示灯等指标。巡检人员在按时、认真执行每次巡检任务后，在巡视记录单上签字，并提交用户方相关人员签字确认，务必做到及时发现硬件故障。本次服务按以下要求实施：驻场专业维护人员每天巡视一次，每次都必须填写一张详细的《巡视记录表》作为值班记录的重要依据，巡视记录表需采集主机、存储、网络等重要安全设备当日的典型数据，若巡视过程中内发生有必要详细记录的工作内容，如故障处理、系统保养维修、更换备件、团体操作事件等则需要填写较为详细的维护日志与巡视记录表一并存档。建立运维组专用邮箱，驻场人员于下班之前发送运维日报，可一天的安全设备运行状况发送给相关负责人及全体维护团队成员，做到全体人员知晓安全设备每天运行状况。巡视过程中，发现问题要马上汇报。在处理范围内的要及时处理、不能处理的马上报告管理岗并通知厂家检修，如出现相应等级的故障，及时通知用户方相关人员。日常安全配置变更服务我公司针对本项目提供日常系统配置变更服务，根据客户方的要求对系统、数据库、存储等进行必要的参数调整。内容如下：变更需求的受理、记录和分类；进行变更影响及所需资源评估；针对变更，按照初始服务阶段确定的流程，进行变更审核；制定变更实施方案和计划，进行变更测试，并实施；总结评估，提交变更报告。安全设备故障处理服务故障是指引起或有可能引起业务中断或服务质量下降的不符合IT服务标准操作的活动。中国电信集成公司针对操作系统、数据库、中间件、应用系统等软硬件的一般故障，分析故障原因并快速有效的解决问题，并向客户提供故障处理报告，具体包括以下一些内容：根据客户安全设备的故障现象，提供现场故障诊断，快速定位故障原因；对故障安全设备进行应急处理，先快速恢复业务，再进一步解决具体故障；服务方式：电话远程支持，现场工程师响应，二线团队及安全设备原厂商的远程或现场支撑等；针对本项目我公司备件库已准备具备原厂或客户方认可品牌的备品备件，在服务期间若安全设备故障及损坏，现场工程师可及时修复和更换，关键安全设备如主机、数据库等安全设备我公司马上进行修复并以最快的时间使系统恢复正常。安全配置备份及恢复操作服务我公司针对本项目提供安全设备或系统和关键配置信息的日常备份以及恢复操作服务。依据用户方要求进行备份策略的制定、备份的执行、备份系统的测试和在必要时进行数据的恢复。用户方需提供备份和恢复所需的安全设备资源，如磁带机或服务器安全设备。安全设备应急备份恢复操作服务我公司针对本项目提供安全设备或系统和关键配置信息的应急备份恢复操作服务。本项目范围内的安全设备出现故障，我公司现场工程师可立刻通过日常的备份数据使得系统恢复正常。安全设备巡检服务我公司可为用户方提供每季度一次的设备现场巡检服务，按照系统维保巡检管理规程的相关要求，对用户方的设备进行细致全面的健康检查。检查的内容包括系统软件、硬件检查，电源、告警及设备运行环境的检查等，以及对现场进行环境评估与指导，并及时提供巡检报告。完成现场设备巡检后，可详细填写“技术服务单”。在设备巡检完成后按时提交设备巡检报告。可交付成果《安全设备日常维护记录》；《安全设备故障时间记录》；《安全设备季度巡检记录》。互联网安全审计服务概述随着互联网技术的广泛应用，政务行业的各种业务纷纷建立了具有针对性的互联网网站应用系统。在为政务工作带来极大便利的同事，也引发了极大的信息安全威胁。如页面篡改、互联网应用系统挂马、注入类攻击、DDoS攻击等，极大地困扰着政府网站应用系统的运维人员，给政府形象、信息网络甚至核心业务造成严重的破坏。虽然可以通过部署入侵保护系统、互联网应用系统防火墙等相关防御类产品来起到一定的防御效果，然而，用户难以更早的发现风险隐患，预防这些安全事件。另外安全管理员需要维护大量的安全设备，分析众多日志信息，带来额外的工作量。若能够主动的发现互联网应用系统的风险隐患，并及时采取修补措施，则可以降低风险、减少损失，科技针对该需求，推出7×24小时远程互联网应用系统监测服务，通过不间断的远程专家值守，为客户互联网互联网应用系统提供远程安全监测、安全检查、实时响应和人工分析服务，是构建完善的互联网应用系统安全体系的最好补充。系统安全分析互联网应用系统安全现状由于互联网应用系统的价值日益凸显，互联网应用系统安全问题也逐渐得到组织和个人的关注。然而，面对不断变化的互联网应用系统安全威胁，当前的安全措施是否能够很好的应对，这是关注互联网应用系统安全必须清晰认识得关键问题。接下来，我们就从客观的威胁环境以及主观的应对情况来分析一下目前互联网应用系统安全的现状。安全威胁分析从客观方面看，如今互联网应用系统所处的威胁环境已日益恶化，各种攻击事件层出不穷，在这些事件的背后，我们还要分析一下黑客为什么要攻击互联网应用系统？他们主要已用什么方式攻击互联网应用系统？这对我们采取针对性的安全措施是非常有帮助的。互联网应用系统攻击越来越密集根据CNCERT/CC《2007年网络安全工作报告》，2007年中国大陆被篡改互联网应用系统总数累积达61228个，比2006年增加了1.5倍，平均每天168个。而最新的数据显示，截止2008年7月底，我国大陆地区被篡改互联网应用系统的数量已经达到40664个，同比增长20%，平均每天更是达到188个。而且，以上统计数据只限网页或数据被篡改，其他数据窃取，未报案等事件尚不包含在其中。黑客为什么攻击互联网应用系统攻击越来越容易，成本越来越低在Internet上，自动化技术使得互联网应用系统攻击轻而易举就能成功，计算能力和网络带宽一天比一天廉价，可供攻击的目标主机在呈指数增长，这意味这几乎所有攻击付出的代价很少，因此不论其成功率有多低，对黑客来说都值得一试。攻击的主要目的是获利黑客攻击互联网应用系统的目的无外乎两种，一是为名，一是为利。只不过在市场经济时代，大多数黑客攻击互联网应用系统的目的都是后者，获取利益。而要进行攻击并获得利益，自然是要中招的人越多越好，再就是每个中招的人带来的利益越大越好。因此，黑客在选取攻击互联网应用系统时会考虑两个方面，一是互联网应用系统的访问量，要选取访问量相对较大的互联网应用系统；二是互联网应用系统利益类型，选取特定类型的互联网应用系统如电子商务、网络游戏、金融类互联网应用系统等，这样获取的利益也会更大。黑客如何攻击互联网应用系统Web应用层攻击是主流由于针对互联网应用系统的网络访问控制措施被广泛采用，且一般只开放HTTP等必要的服务端口，因此黑客已经难以通过传统网络层攻击方式（查找并攻击操作系统漏洞、数据库漏洞）攻击互联网应用系统。然而，Web应用程序漏洞的存在更加普遍，随着Web应用技术的深入普及，Web应用程序漏洞发掘和攻击速度越来越块，基于Web漏洞的攻击更容易被利用，已经成为黑客首选。据统计，现在对互联网应用系统成功的攻击中，超过7成都是基于Web应用层，而非网络层。前不久OWASP(OpenWebApplicationSecurityProject)机构发布了“2007年十大Web安全漏洞”，XSS和SQL注入漏洞排名前两位，是目前存在最为普遍，利用最为广泛，造成危害最为严重的两类Web漏洞。黑客获利的两种主要方式黑客通过Web应用程序安全漏洞攻击互联网应用系统，一般会采取两种手段来达到博名、获利的目的：篡改互联网应用系统数据通过SQL注入等漏洞获得互联网应用系统权限后，可以进行网页挂马，网页篡改，修改数据等活动。例如，黑客可以通过网页挂马，利用被攻击的互联网应用系统作为后续攻击的工具，致使更多人受害；也可以通过网页篡改，丑化互联网应用系统所有者的声誉甚至造成政治影响；还也可以通过修改互联网应用系统敏感数据，直接达到获取利益的目的。窃取用户信息利用互联网应用系统漏洞，构造特殊网页或链接引诱互联网应用系统管理员，普通用户点击，以达到窃取用户数据的目的。例如游戏、网银、论坛等账号的窃取，大多是利用了互联网应用系统的XSS漏洞实现的。总之，随着攻击技术的不断进步，越来越多的攻击者利用更容易被利用的、普遍存在的Web漏洞对互联网应用系统进行攻击并频频得手，目前互联网应用系统的生存环境已经日益恶化。部分互联网应用系统的所有者已经遭受到攻击，并从攻击造成的损失中深刻认识到互联网应用系统安全问题的紧迫性。但大多数互联网应用系统的所有者仍然处在已经被攻击而浑然不觉，或者即将被攻击而无应对的巨大风险之中。现有安全措施分析诚如上节所说，互联网应用系统面临的环境已经发生了很大变化，更多的威胁来自于Web应用层，而大部分的互联网应用系统的安全措施却仍然停留在原来对威胁认识的基础上，甚至于互联网应用系统是否已经被入侵并实施网页挂马，也往往是在访问者投诉或被监管部门查处时方才察觉，但此时损失已经造成，无法挽回。不少人会问：我的互联网应用系统已经有了安全措施，仍然会发生这样的事情，到底是为什么呢？我们来分析一下现有的安全措施。防火墙、防病毒、漏洞扫描等都是已经被广泛采用的传统互联网应用系统安全措施，尤其是防火墙的部署，使得互联网应用系统阻挡了大部分来自网络层的攻击，发挥了重要作用。但是面对目前的新情况，这些传统的安全措施能够应对吗？防火墙启用网络访问控制策略后，防火墙可以阻挡对互联网应用系统其他服务端口的访问，而仅仅只开放允许访问HTTP服务端口，这样，基于其他协议、服务端口的漏洞扫描和攻击尝试都将被阻断。但针对正在流行的Web应用层攻击攻击，其行为类似一次正常的Web访问，防火墙是无法识别和阻止的，一但阻止，将意味着正常的Web访问也