网络安全服务实施方案

目录

一、资产梳理服务 (2)

二、安全评估服务 (2)

三、渗透测试服务 (3)

四、安全管理制度优化 (9)

五、应急演练服务 (12)

六、重要时期网络安全保障（含HW） (14)

七、日常安全运维 (17)

八、网站定期漏洞扫描 (19)

九、安全通告服务 (19)

十、应急响应服务 (20)

十一、安全咨询服务 (21)

十二、网络威胁监测分析服务 (22)

十三、配合监管单位各项安全检查工作 (23)

十四、终端安全保障服务 (23)

十五、政务云（互联网区域）云主机安全服务 (24)

十六、政务云（电子政务区域）云主机安全服务 (24)

十七、政务云（互联网区域）安全日志审计服务 (25)

十八、政务云（电子政务区域）安全日志审计服务 (26)

十九、移动APP安全加固 (26)

二十、政务云（互联网区域）进行数据库审计服务 (27)

二十一、政务云（电子政务区域）进行数据库审计服务 (27)

二十二、网络数据安全隔离与信息交换服务 (28)

二十三、网站全天候监测服务 (28)一、资产梳理服务

开展资产发现工作，全面梳理信息资产。尽可能地发现采购人的资产信息，全面扫描已知的和未知的信息资产，形成明确的资产清单。对网站备案情况进行检查和整改，确保网站均为正常备案。

具体实施步骤和内容如下：

对采购人全网（本地、政务云）信息化资产进行梳理和排查，根据梳理排查情况及采购人提供的相关信息，编制信息资产表。包括但不限于网络设备、安全设备、服务器、web应用、数据库等。明确需要保护的信息资产、保护优先级和相应的管理人员、责任人。设备资产表至少包括名称、型号、数量、IP地址、位置等信息。有调整和变动时立即更新。

梳理采购人当前（本地、政务云）已有的安全监测和防御产品，对其实现的功能、效果、防御范围、安全日志、特征库更新情况等进行综合分析。依据梳理结果出具调整、处置建议，经采购人授权后进行调整和处置。

1、服务流程

供应商签订合同后1周内完成第一次资产梳理服务，并完成《初步信息资产表》的编制；

《初步信息资产表》编制完成后，协同采购人完成对信息资产的保护范围、保护优先级认定，同时落实相应的管理人员、责任人；

输出《信息资产表》；

对《信息资产表》进行维护，每月完成一次信息资产表的核对工作；有调整和变动时立即更新。

2、服务方式：现场服务。

3、服务周期：每月至少进行1次信息资产表的核对工作，以用户实际需求为准。

4、交付文档：《初步信息资产表》、《信息资产表》、《信息资产表更新维护记录表》。

二、安全评估服务

从安全风险的角度对采购人关键信息基础设施进行安全评估和渗透测试。采用各种手段模拟真实的安全攻击，从而发现黑客入侵信息系统的潜在可能途径。

渗透测试工作以人工渗透为主，辅助以攻击工具的使用。对采购人各个业务系统的网络设备、安全设备、操作系统、数据库、中间件、网络边界等进行风险评估工作，找出并发现系统基础环境存在的安全漏洞或在安全配置层面存在的安全问题，及可能造成的安全风险。评估完成后，得出安全风险评估报告。

具体实施步骤和内容如下：

1、服务范围确定

对采购人需要进行安全评估的资产范围进行梳理，梳理完毕后出具纸质文件与用户确定；双方确定完成后针对安全评估服务范围开展风险评估服务。

2、服务方法

为了确切、真实的反映服务器安全现状，对单位授权业务系统进行评估：人员访谈，对数据中心业务系统各种配置进行人员访谈，确认各项配置措施、安全策略是否符合安全要求，确认安全管理是否符合要求；工具扫描，扫描系统主机否存在安全漏洞；渗透测试，渗透测试工程师模拟黑客攻击，检查系统脆弱性；配置检查等；

3、服务流程

1) 确定评估的范围和目标

2) 系统资产识别

3) 已有安全措施的确认

4) 风险分析

5) 安全评估文件记录

（3）服务方式

现场或远程服务

（4）服务周期

签订合同进场后立即进行一次服务，后续服务时间依据招标文件约定、合同约定、用户的需求进行提供。

（5）交付文档

《安全评估报告》

三、渗透测试服务

对采购人的信息系统进行渗透测试，发现信息系统中的各类安全隐患。渗透测试工作以人工渗透为主，辅助以攻击工具的使用。

具体实施步骤和内容如下：

采购人需要进行渗透测试的信息系统范围进行梳理，梳理完毕后出具纸质文件与用户确定；双方确定完成后针对渗透测试的服务范围，开展渗透测试服务；并出具渗透测试服务报告：

测试方法

渗透测试完全模拟黑客的入侵思路与技术手段，黑客的攻击入侵需要利用目标网络的安全弱点，渗透测试也是同样的道理。以人工渗透为主，辅助以攻击工具的使用，这样保证了整个渗透测试过程都在可以控制和调整的范围之内。

针对各应用系统的渗透测试方法包括以下方法但不局限于以下方法：

测试内容

本项目渗透测试包括但不限于以下内容：

测试方式

根据测试的位置不同可以分为现场测试和远程测试；根据测试的方法不同分为黑盒测试和白盒测试两类；

现场测试是指经过用户授权后，测试人员到达用户工作现场或接入用户工作内网，根据用户的期望测试的目标直接接入到用户的办公网络甚至业务网络中。这种测试的好处就在于免去了测试人员从外部绕过防火墙、入侵保护等安全设备的工作。一般用于检测内部威胁源和路径。

远程测试与现场测试相反，测试人员无需到达客户现场或接入用户内部网络，直接从互联网访问用户的某个接入到互联网的系统并进行测试即可。这种测试往往是应用于那些关注门户站点和互联网应用的用户，主要用于检测外部威胁源和路径。

黑盒测试是指测试人员对除目标系统的IP或域名以外的信息一无所知的情况下对系统发起的测试工作，这种方式可以较好的模拟黑客行为，了解外部恶意用户可能对系统带来的威胁。

白盒测试则是指测试人员通过用户授权获取了部分信息的情况下进行的测试，如：目标系统的帐号、配置甚至源代码。这种情况用户模拟并检测内部的恶意用户可能为系统带来的威胁。

测试流程

2、服务频率：签订合同进场后立即进行一次服务，后续服务时间依据招标文件约定、合同约定、用户的需求进行提供。

3、服务范围：授权业务系统。

4、交付成果：《渗透测试报告》。

四、安全管理制度优化

进一步对照《网络安全法》《信息安全技术网络安全等级保护基本要求》等相关法律法规要求，加强安全管理防护制度建设。在采购人领导下，逐步完善、优化网络安全管理制度，将责任落实到具体人员。网络安全管理制度应对安全管理活动中的各类管理内容建立安全管理制度；对管理人员或操作人员执行的日常管理操作建立操作规程；形成由安全策略、管理制度、操作规程、记录表单等构成的全面管理制度体系。应定期配合采购人对安全管理制度的合理性和适用性进行论证和审定，对存在不足或需要改进的安全管理制度进行修改。

具体实施步骤和内容如下：

安全管理制度是安全管理体系的核心，依据国家等级保护的要求，分五个步骤（落实安全责任、管理现状分析、制定安全策略和制度、落实安全管理措施、安全自检与调整）落实安全管理制度。

（1）落实信息安全责任制

明确领导机构和责任部门，包括设立或明确信息安全领导机构，明确主管领导，落实责任部门。建立岗位和人员管理制度，根据责任分工，分别设置安全管理机构和岗位，明确每个岗位的责任和任务，落实安全管理责任制。

（2）信息系统安全管理现状分析

通过开展信息系统安全管理现状分析，查找信息系统安全管理建设整改需要解决的问题，明确信息系统安全管理建设整改的需求。

依据等级保护基本要求的标准，采取对照检查、风险评估、等级测评等方法，分析判断目前采取的安全管理措施与等级保护标准要求之间的差距，分析系统已发生的时间或事故，分析安全管理方面存在的问题，形成安全管理建设整改的需求并论证。

（3）制定安全管理策略和制度

根据安全管理需求，确定安全管理目标和安全策略，针对信息系统的各类管理活动，制定人员安全管理制度，明确人员录用、离岗、考核、培训等管理内容；制定系统建设管理制度，明确系统定级备案、方案设计、产品采购使用、密码使用、软件开发、工程实施、验收交付、等级测评、安全服务等管理内容；制定系统运维管理制度，明确机房环境安全、存储介质安全、设备设施安全、安全监控、恶意代码防范、备份与恢复、应急预案等管理内容；制度定期检查制度，明确检查内容、方法、要求等，检查各项制度、措施的落实情况，并不断完善。规范安全管理人员或操作人员的操作规程等，形成安全管理制度体系。

（4）安全管理制度体系组成

（5）落实安全管理措施

人员安全管理：包括人员录入、离岗、考核、教育培训等内容。规范人员录用、离岗、过程、关键岗位签署保密协议；对各类人员进行安全意识教育、岗位技能培训；对关键岗位进行全面的严格的审查和技能考核；对外部人员允许访问的区域、系统、设备、信息等进行控制。

系统运维管理：落实环境和资产安全管理、设备和介质安全管理、日常运行维护、集中安全管理、时间处置与应急响应、灾难备份、实时监测、其他安全管理

系统建设管理：系统建设管理的重点是与系统建设活动相关的过程管理。由于主要的建设活动是由服务方（如集成方、开发方、测评方、安全服务方）完成的，运营使用单位人员的主要工作是对其进行管理，应此，应制定系统建设相关的管理制度。

（6）安全自查与调整

制定安全检查制度，明确检查的内容、方式、要求等，检查各项制度、措施的落实情况并不断完善。

（7）信息系统安全管理建设工作流程

（8）服务流程

1)落实单位信息系统安全保护制度；

2)收集单位现有安全管理制度；

3)按照等级保护安全管理制度的建设步骤，梳理现有安全管理制度，输出

《安全管理制度建议报告》；

4)依据《安全管理制度建议报告》，完善单位安全管理制度，细化各项操作

流程、规范、表单；

（9）服务方式

现场服务

（10）服务周期

签订合同进场后立即进行一次服务，后续服务时间依据招标文件约定、合同约定、用户的需求进行提供。

（11）交付文档

《信息安全管理制度》、《设备操作流程》、《运维表单》

五、应急演练服务

开展网络安全应急演练，全面检测采购人的综合安全防护能力，并根据演练结果进行总结，以提高处理应急事件的能力，检验应急预案的合理性、应急保障队伍和所有相关人员的专业素质以及管理组织的有效性。根据演练结果进一步完善网络安全事件应急预案，将处置应对敌对势力对我发动网络攻击有关内容纳入预案，同时预案将明确网络安全事件的应对机构、指挥机制、响应流程、临机处置权限等一系列内容。

具体实施步骤和内容如下：

（1）应急演练总体目标

网络信息安全应急演练主要分为实战演练和桌面推演两种方式。主要目的是通过应急演练，建立健全网络与信息安全运行应急工作机制，检验网络与信息安全综合应急预案和业务技术专项应急预案的有效性，验证相关组织和人员应对网络和信息安全突发事件的组织指挥能力和应急处置能力，保证各项应急指挥调度工作迅速、高效、有序地进行，满足突发情况下网络与信息系统运行保障和故障恢复的需要，确保信息系统安全畅通。同时通过演练，不断提高各部门开展应急工作的水平和效率，发现预案的不足，进一步完善应急预案。

（2）应急演练具体目标

1) 信息系统突发故障时，事件报告的渠道畅通。发生紧急突发事件时，根据事件初步研判正确启动应急处理程序

2) 应急预案启动后，应急领导小组、应急响应实施小组、应急响应日常运行小组、业务部门、第三方服务提供商，各机构协调有序、处置准确

3) 故障恢复后，应急指挥小组按程序结束应急，完成报告和总结

（3）应急演练计划安排

演练时间确定：2023年xx月xx日xx时

演练场地确定：xxx会议室

演练步骤如下：

模拟发生信息安全事件，系统遭受网络攻击，攻击者获取了系统的权限。

●步骤一：主持介绍。

●步骤二：宣布应急演练开始

●步骤三：攻击方演练人员开始对系统进行攻击。

●步骤四：系统安全管理员监控到安全攻击事件。

●步骤五：安全管理员向上汇报攻击事件。

●步骤六：系统安全负责人判断攻击事件等级，并启动应急响应预案隔离主

机。

●步骤七：根据应急响应预案，隔离主机，协调系统厂商和技术人员进行攻

击事件分析并处置攻击事件。

●步骤八：出具事件处置报告，根据漏洞修复情况判断是否恢复系统重新上

线。

●步骤九：总结报告●步骤十：宣布应急演练结果，出具应急演练报告

●步骤十一：应急演练总结分析

（4）应急演练总结和汇报

应急演练领导小组就本次应急演练情况进行汇报、总结。

六、重要时期网络安全保障（含HW）

在采购人领导下成立重保专项工作小组，明确重要岗位及职责，组织专业的网络技术人员重点开展网络攻击入侵、网站篡改、违规内容、病毒木马等安全事件的主动防御、实时检测、响应处置，确保企业网络与信息系统的安全稳定运行，不发重大安全事件。在重要保障期间，协助采购人加强应急值守，在关键岗位和各重要事件节点安排相关人员进行7×24小时的在岗值班。在遇到突发安全事件后采取专业的安全措施和行动，并对已经发生的安全事件进行监控、分析、协调、处理、保护资产等安全属性的工作，以达到第一时间采取紧急措施，恢复业务正常运行，追踪失陷原因并避免同类安全事件再次发生的目的，确保重要保障期间采购人各业务系统的安全稳定运行。

具体实施步骤和内容如下：

在重保服务将在重大活动或特殊事情，与用户成立重保专项工作小组，安排安全专家到现场提供 7*24 小时的安全保障服务，服务期间进行安全防护、指导等工作，协助用户单位提升安全防护能力和应急处置能力。

根据网络安全保障工作各个阶段主要工作内容和目标的不同，将网络安全保障工作分为准备、监测、总结三阶段。

（1）准备工作阶段（成立工作组）

为确保本次重要时期安全保障（以下简称“重保”）任务的顺利完成，拟成立重保领导小组（以下简称“领导小组”）和项目工作组（以下简称“工作组”），组织架构如下图。

领导小组工作职责：负责领导、指挥和协调本次重保工作开展，向上级领导和有关部门汇报重保工作情况。

项目工作组(含重保工作小组、应用系统支撑小组、安全厂商支撑小组) 工作职责：负责整体的项目沟通、人员筹备、任务分工、分析研判、防护监测、应急处置、安全整改、事件汇报等工作。

（2）准备工作阶段（梳理重保防护资产清单和网络范围）

（3）防护工作阶段（安全自查和整改）

根据资产梳理工作形成的目标系统关联资产清单、未知资产清单，对与组成目标系统相关的网络设备、服务器、中间件、数据库、应用系统、安全设备等开展安全自查和整改工作。

通过安全自查对目标系统的安全状况得以真实反映，结合整改加固手段对评估发现的问题逐一进行整改。设置必要的防御规则，基于最小权限原则制定，即仅仅开放允许业务正常运行所必须的网络和系统资源。

（4）实战工作阶段

在实战防护阶段，重点加强防护过程中的安全保障工作，安排安全专家7*24小时值岗，各岗位人员各司其职，从攻击监测、攻击分析、攻击阻断、漏洞修复和追踪溯源等方面全面加强重保期间的安全防护效果。

安全事件监测

当重保正式开始后，重保工作小组组织各小组人员，根据岗位职责开展安全事件监测工作。重保工作小组借助安全防护设施（威胁监测系统、Web防火墙、IPS、主机加固软件等）开展攻击安全事件监测，对发现的攻击行为进行确认，详细记录攻击相关数据，为后续处置工作开展提供信息。

事件分析与处置

重保工作小组根据监测到安全事件，协同进行分析和确认。如有必要可通过主机日志、网络设备日志、入侵检测设备日志等信息对攻击行为进行分析，以找到攻击者的源IP地址、攻击服务器IP地址、邮件地址等信息，并对攻击方法、攻击方式、攻击路径和工具等进行分析研判。

重保工作小组根据分析结果，应采取相应的处置措施，来确保目标系统安全。通过遏制攻击行为，使其不再危害目标系统和网络，依据攻击行为的具体特点实时制定攻击阻断的安全措施，详细记录攻击阻断操作。重保工作小组对业务稳定性进行监测并及时通报相关信息。

重保工作小组应针对可能产生的攻击事件，根据已经制定的网络安全专项应急预案进行协同处置，同时在明确攻击源和攻击方式后，保证正常业务运行的前提下，可以通过调整安全设备策略的方式对攻击命令或IP进行阻断，分析确认攻击尝试利用的安全漏洞，确认安全漏洞的影响，制定漏洞修复方案并及时修复。

（5）防护总结与整改阶段

全面总结本次重保服务各阶段的工作情况，包括组织队伍、攻击情况、安全防护措施、监测手段、响应和协同处置等，形成总结报告并向业主单位汇报。

针对重保服务期间存在的脆弱点，开展整改工作或提出安全整改建议，进一步提高目标系统的安全防护能力。

七、日常安全运维

健全网络安全日常运维及安全防护管理，常态化开展网络安全日常监控、网络安全设备巡检、网络安全策略更新、网络安全漏洞修复等，保障网络与信息系统安全稳定运行。在日常出现安全事件时，需要协助采购人进行安全问题的及时处理、溯源分析等。针对采购人整体信息系统进行按月巡检，每月提交运维（含巡检）报告。

具体实施步骤和内容如下：

1、服务内容

常态化开展网络安全日常监控、网络安全设备巡检、网络安全策略更新、网络安全漏洞修复等服务内容。具体服务内容包含但不限于如下内容：网络安全日常监控

根据持续关注客户网络、系统运行情况，一旦发生安全事件后，及时分析安全系统及设备的事件日志，进行事件的追踪定位。

根据收集到的信息，整理分析后形成安全运维监测项识别每个监控对象探测到的事件（威胁）的来源、影响和重要性，综合分析所有监控对象探测到的事件及系统产生告警日志，形成分析报告并定期报告给用户；对于触发到应急预案的安全事件，则按照事件处理流程执行。

对于持续监测项的变化进行分析，以用户认同的方法进行建模计算，评估安全态势变化趋势以及变化对环境因素、威胁、脆弱性及影响可能产生的风险。对于偏离正常态势的检测项及相关内容做进一步的风险评估或安全措施有效性检查，确保系统处于风险可控状态。通过对项目范围内所有安全系统及设备的报警日志进行分析客户近一月的信息安全情势、安全状况，提出改进建议，形成《信息安全运维月报》。

网络安全设备巡检

定期对指定安全设施病毒库和特征库更新情况检查；对安全设备工作异常、安全告警等进行审核分析；对安全设备主机控制面板状态指示灯检查、CPU利用率、内存利用率、磁盘使用率、电源情况巡检；对异常情况进行排查，并针对异常情况提出解决方案和建议。

网络安全策略更新

策略调优及优化：依据资产情况、业务系统网络流向、日常安全监测情况、近期风险通报结果及安全设备实际策略配置情况，对安全设施协助开展策略配置调优，以持续提升安全运行和防护能力。（安全设备包含但不限于防火墙、入侵防御、WAF、防病毒系统、安全网关等。）服务期内按需提供,不限定次数。

配置备份：定期对核心交换机、汇聚交换机、网络出口防火墙等关键节点设备的系统配置和策略配置进行完整备份；在设备发生故障后提供配置快速导入等恢复措施。服务期内按需提供,策略配置及系统配置备份每月一次。

安全设施特征库更新升级：依据巡检结果，定期对可以进行特征库、病毒库、威胁情报库和漏洞库等特征库升级的安全设施进行更新升级。（更新升级原则为同步产品厂商官网更新情况），针对已过授权许可时间的安全设备，提供处置建议。服务期内按需提供、不限定次数。（安全设施包含但不限于防火墙、入侵防御、WAF、防病毒系统、安全网关等，含政务云上采购人部署的安全设施。）网络安全漏洞修复

针对安全漏洞事件，收集加固方法及验证方法，协助相关应用系统开发商进行漏洞修复。漏洞修复后应进行复测验证，确保安全加固和修复有效。

故障处置

对于采购人出现的各类故障情况，提供技术支持服务；包括安全设备、网络设备故障等；针对未过保的设备，故障处置由我司协调设备所属维护商进行维护，并跟进维修进度和效果，及时向采购人汇报情况。针对已过保设备的故障处置由我司进行协助维护，故障发生时我司应优先进行故障应急处理和恢复；如我司自

身无法进行有效的故障处置，我司应出具实际可行的解决方案和建议，形成整体故障处置报告汇报给采购人。

2、服务方式：现场服务，按次输出巡检和运维记录表。

3、服务次数：按需提供，不限次数。

4、常规服务时间：5×8，应急服务时间：7×24。

5、交付文档：《日常安全运维记录文档》。

八、网站定期漏洞扫描

对采购人网站进行每周一次的互联网侧漏洞扫描，尽可能发现网站本身、中间件等的漏洞，避免出现网站漏洞被利用的情况。

具体实施步骤和内容如下：

1、服务内容

周期开展安全扫描服务，使用漏洞扫描系统，进行安全扫描，扫描范围为本地局域网及采购人指定的政务云主机；对识别出的能被入侵者用来非法进入网络或者非法获取信息资产的漏洞，提醒安全管理员，及时完善安全策略，降低安全风险；及时发现最新的安全漏洞及安全风险，并出具安全扫描报告。

2、服务次数：每季度1次。

3、交付成果：《安全扫描报告》。

效性与相关执行系统维护厂商进行核查。经核查后对无效的备份策略、无效的备份系统进行标记，提出相关整改建议。

1、服务方式：现场服务。

2、服务周期： 1次。

3、交付文档：《安全问题整改建议报告》、《安全问题整改报告》

九、安全通告服务

1、服务内容

专业的安全服务队伍，对最新安全技术及安全信息的发现和追踪，并通过服务的平台与单位及时交流，帮助单位保持领先的安全理念。为单位提供定期的安全信息通告服务。安全信息中会包括最新的安全事件，病毒信息，漏洞信息，安全等内容。安全通告以邮件、电话、走访等方式，将安全技术和安全信息及时传递给单位。

安全通告内容：

业界动态；

国家最新安全及法律法规；

安全攻击事件；

单位的操作系统、应用、设备等的最新安全漏洞和相应的解决措施；

最新病毒信息；

相关处理解决方案。

2、服务方式

一般信息将以邮件方式通告单位，重要信息以在线方式通告本单位负责人员，单位的敏感信息或单位指定要求现场告知的信息以走访的方式通告。

3、服务周期：安全通告每月一次；重大行业安全事件和互联网安全事件实时通告预警。

4、交付文档：《安全事件通告文档》。

十、应急响应服务

1、服务内容

提供网络安全应急响应服务，在发生安全事件时提供现场/远程技术支持，面向已发生安全事件的事中、事后的取证、分析及提供处置、解决方案、建议等工作。具体服务内容如下：

①针对问题进行入侵原因分析，找到攻击路径。入侵影响抑制：通过事件检测分析，提供抑制手段，降低入侵影响，协助快速恢复业务。入侵威胁清除：排查攻击路径，恶意文件清除。入侵原因分析：还原攻击路径，分析入侵事件原因等包括但不限于以下内容：

判定安全事件类型

从网络流量、系统和IDS日志记录、桌面日志中判断安全事件类型。查明安全事件原因，确定安全事件的威胁和破坏的严重程度。查明安全事件原因，确定安全事件的威胁和破坏的严重程度。

抑制事态发展

抑制事态发展是为了将事故的损害降低到最小化。在这一步中，通常会将受影响系统和服务隔离。这一点对保持系统的可用性是非常重要的。

排除系统故障

针对发现的安全事件来源，排除潜在的隐患，消除安全威胁，彻底解决安全问题。

恢复信息系统正常操作

在根除问题后，将已经被攻击设备或由于事故造成的系统损坏做恢复性工作，使网络系统能在尽可能短的时间内恢复正常的网络服务。

客户信息系统安全加固

对系统中发现的漏洞进行安全加固，消除安全隐患。

重新评估客户信息系统的安全性能

重新评价客户系统的安全特性，确保在一定的时间范围内，不发生同类的安全事件。

②应急响应的流程包含以下内容：故障诊断、故障修复、系统清理和系统防护，服务完成后，提交完整的《应急事件分析报告》，详细说明事件原因、经过和处理方式等，而且对以后整改的方向提供适当的解决方案。安全事件发生时 15分钟内做出响应并立即提供在线技术支持，无法通过远程支持解决的问题，提供现场服务，1 小时内抵达用户现场解决问题。

2、服务频率：服务期内按需提供，不次数。

3、交付成果：《应急事件处置报告》。

十一、安全咨询服务

1、服务内容

日常安全问题咨询服务

结合本单位的实际需求，参考国内外安全标准，提供日常安全咨询服务，主要包括大的网络安全规划、安全决策、安全事件处理等。提供完整全面的处理方案，要求方案具有可操作性、能够指导采购人进行事件处理和应对。

网络安全规划服务

结合采购人的实际需求，参考国内外安全标准和国内新技术研究（如等保2.0、关键信息基础设施保护条例、商用密码体系、云计算、大数据、物联网、移动安全），对采购人网络安全方案设计，网络安全建设，包括网络安全结构设计、系统安全设计、其他网络安全方案设计，提供网络安全远景规划设计，为未来网络信息安全工作开展提供有力指导与支撑。

等级保护咨询服务

深化网络安全等级保护工作，基于对网络安全的深刻理解，在等级保护的框架下构建一个安全、可靠、灵活、可持续改进的网络安全体系，对等级保护各个阶段的工作重点为客户提供全方位的支持和服务，协助完成定级备案、差距分析、安全整改或安全建议和协助对接等保测评工作。

2、服务次数：按需提供，不限次数。

3、交付成果《安全咨询服务记录》

十二、网络威胁监测分析服务

监测从各省属企业到采购人局域网的流量、采购人办公网的流量，及时发现、分析网络中隐藏的各类威胁情况，对整网的威胁有全面的掌控。

具体实施步骤和内容如下：

1、服务内容

我司通过用户的安全设施和自带的网络威胁监测系统，对全网流量进行威胁监测与分析；包括但不限于如下内容：

告警配置：根据安全措施中约定的安全策略，在安全监测设备上设置事件告警策略，告警方式根据设备支持情况可以是短信、邮件、日志等形式；

监控威胁：监控各安全设备和系统的安全告警信息及网络实际运行状况，并对这些信息进行分析，形成记录；对于触发应急预案的事件，则执行安全事件管理；如需要进行安全设备策略修改的，根据需求进行调整和优化。

监控现有安全策略有效性：分析安全设备、系统发生发出告警或安全事件发生的原因，判断现有安全策略是否被有效执行，对于未被有效执行的策略，根据需求进行调整和优化。

安全态势趋势分析：根据项目范围，用客户接受的统计分析方法，对安全监测项进行持续观察（如近几月，SQL注入入侵事件每天发生的次数；违反访问控制策略的次数及来源分析等）；当监测到较大变化或明显异常时，对偏离进行分析，查找根本原因，判断该变化对系统（威胁、脆弱性、影响）产生的风险，并提出相应的处置建议。形成阶段性报告。

2、服务次数：按需提供，不限次数；

3、常规服务时间：5×8，应急服务时间：7×24。

4、交付文档：《服务记录文档》。

十三、配合监管单位各项安全检查工作

配合采购人处理来自监管单位的各项安全检查工作要求，按要求完成相关资料整理，为完成安全检查工作做好支撑保障。

具体实施步骤和内容如下：

1、服务内容

按照采购人及上级主管单位要求，做好正版化检查、网络安全检查、保密检查、业务对接、下级单位技术支撑、采购人交办的其他相关事宜等配合服务。

2、服务次数：按需提供，不限次数；

3、常规服务时间：5×8，应急服务时间：7×24。

4、交付文档：《服务记录文档》。

十四、终端安全保障服务

1）针对采购人自身网络办公PC提供一体化的安全防护能力，包括杀毒、补丁、运维管控。

2）客户端支持操作系统：Windows XP_SP3及以上/Windows Vista/Windows 7/Windows 8/Windows 10；服务器支持操作系统：Windows Server 2003_SP2/Windows Server 2008/Windows Server 2012。

3）终端支持智能屏蔽过期补丁、与操作系统不兼容的补丁，可以查看或搜索系统已安装的全部补丁。

4）防病毒的病毒查杀引擎包括云查杀引擎、启发式引擎、脚本查杀引擎等引擎，支持多引擎的协同工作对病毒、木马、恶意软件、引导区病毒、BIOS病毒等进行查杀，提供主动防御系统防护等功能。

5）运维管控功能支持对终端上传下载速度与流量进行管控；支持对各种外接设备进行外联控制，并根据违规外联发生时内连接状态分别设置违规处理措施；支持终端进程的黑白红名单设置；支持网址黑白名单策略；支持对终端各种外设、接口设置使用权限；支持对终端桌面系统的账号密码、本地安全策略、控制面板、屏保与壁纸、浏览器安全、杀毒软件检查进行管控策略配置。

具体实施步骤和内容如下：

1、服务内容

提供终端安全防护软件，对项目范围内的终端系统安装终端安全防护软件。

2、服务次数：按需提供，不限次数；

3、常规服务时间：5×8，应急服务时间：7×24。

4、交付文档：《服务记录文档》。

十五、政务云（互联网区域）云主机安全服务

1）针对云上业务系统，提供主机防病毒、主机防火墙、主机入侵防御、Hypervieor层防护、主机加固、webshell检测于一体的虚拟化安全解决方案，旨在解决云主机的病毒风险、攻击风险、管理风险等一系列的安全问题。

2）配置≥29个云主机安全防护功能授权。

3）支持对病毒文件进行手动加白置黑操作、对目录、文件、扩展名进行信任操作，以提升查杀效率和降低误杀率。

4）能够针对网站系统恶意webshell、后门等文件进行检测扫描，并统一展现扫描结果。根据情况对检测出的文件进行隔离、删除操作。

具体实施步骤和内容如下：

1、服务内容

提供云主机安全防护软件，对项目范围内的终端系统安装云主机安全防护软件。

2、服务次数：按需提供，不限次数；

3、常规服务时间：5×8，应急服务时间：7×24。

4、交付文档：《服务记录文档》。

十六、政务云（电子政务区域）云主机安全服务

1）针对云上业务系统，提供主机防病毒、主机防火墙、主机入侵防御、Hypervieor层防护、主机加固、webshell检测于一体的虚拟化安全解决方案，旨在解决云主机的病毒风险、攻击风险、管理风险等一系列的安全问题。

2）电子政务区域配置≥16个云主机安全防护功能授权。

3）支持对病毒文件进行手动加白置黑操作、对目录、文件、扩展名进行信任操作，以提升查杀效率和降低误杀率。

4）能够针对网站系统恶意webshell、后门等文件进行检测扫描，并统一展现扫描结果。根据情况对检测出的文件进行隔离、删除操作。

具体实施步骤和内容如下：

1、服务内容

提供云主机安全防护软件，对项目范围内的终端系统安装云主机安全防护软件。

2、服务次数：按需提供，不限次数；

3、常规服务时间：5×8，应急服务时间：7×24。

4、交付文档：《服务记录文档》。

十七、政务云（互联网区域）安全日志审计服务

1）通过对云上业务系统安全组件的安全事件和系统日志进行集中收集、标准化处理，及时发现各种安全威胁、异常行为事件，为管理人员提供全局的视角，确保业务运营安全；支持对事件进行追溯，为客户提供真正可信赖的事件追责依据和安全分析数据源。

2）配置≥30个节点的安全审计。

3）能够对企业和组织的IT资源中构成业务信息系统的各种网络设备、安全设备、安全系统、主机操作系统、数据库、中间件以及各种应用系统的日志、事件、告警等安全信息进行全面的审计。

4）可对不同类型设备的日志之间进行关联分析，支持递归关联，统计关联，时序关联，这几种关联方式能同时应用于一个关联分析规则。

具体实施步骤和内容如下：

1、服务内容

我司通过安全日志审计系统提供云安全日志审计服务能力。

2、服务次数：按需提供，不限次数；

3、常规服务时间：5×8，应急服务时间：7×24。

4、交付文档：《服务记录文档》。

十八、政务云（电子政务区域）安全日志审计服务

1）通过对云上业务系统安全组件的安全事件和系统日志进行集中收集、标准化处理，及时发现各种安全威胁、异常行为事件，为管理人员提供全局的视角，确保业务运营安全；支持对事件进行追溯，为客户提供真正可信赖的事件追责依据和安全分析数据源。

2）配置≥17个节点的安全审计。

3）能够对企业和组织的IT资源中构成业务信息系统的各种网络设备、安全设备、安全系统、主机操作系统、数据库、中间件以及各种应用系统的日志、事件、告警等安全信息进行全面的审计。

4）可对不同类型设备的日志之间进行关联分析，支持递归关联、统计关联、时序关联，这几种关联方式能同时应用于一个关联分析规则。

具体实施步骤和内容如下：

1、服务内容

我司通过安全日志审计系统提供云安全日志审计服务能力。

2、服务次数：按需提供，不限次数；

3、常规服务时间：5×8，应急服务时间：7×24。

4、交付文档：《服务记录文档》。

十九、移动APP安全加固

1）提供移动终端APP安全加固方案，对应用APP进行安全封装。

2）支持500个点的应用封装授权。

3）对国资监管平台移动应用APP进行安全封装，防止应用APP遭恶意破解、反编译、二次打包、内存抓取等攻击污染，同时给应用提供数据加密、签名校验、内存修改、完整性校验等安全能力。

4）为国资监管平台APP提供链路加密能力：帮助应用APP建立与国资监管平台前置服务器之间可信的加密访问隧道（基于VPN的访问），保障应用数据传输的安全性。

5）提供安全能力，无工作区形态，无须应用集成SDK等形式即可实现安全沙箱隔离、数据加密等安全能力。

6）为应用提供远程数据擦除、应用防截屏录屏控制、剪贴板隔离、第三方水印、转发及分享等安全属性。

具体实施步骤和内容如下：

1、服务内容

针对移动APP安全加固服务范围，我司通过终端APP安全加固设备对应用APP进行安全封装，必要时提供定制开发服务。

2、服务次数：按需提供，不限次数；

3、常规服务时间：5×8，应急服务时间：7×24。

4、交付文档：《服务记录文档》。

二十、政务云（互联网区域）进行数据库审计服务

1）基于数据库审计技术，实现数据库操作行为审计、事件追踪、威胁分析、实时告警等多种功能，保障云环境下核心数据的安全，以高性能的产品，为云上业务系统提供稳定可靠的云数据库审计服务。

2）能支持审计Oracle、SQL—Server、DB2、Informix、Sybase、MySQL、PostgreSQL、达梦、金仓、南大通用G base等数据库的审计。

3）支持B/S、C/S应用系统三层架构http应用审计，可提取包括应用系统的人员工号（账号）在内的“六元组”身份信息，精确定位到人，并可获取XML 返回结果。

具体实施步骤和内容如下：

1、服务内容

我司通过数据库审计系统提供数据库审计服务能力。

2、服务次数：按需提供，不限次数；

3、常规服务时间：5×8，应急服务时间：7×24。

4、交付文档：《服务记录文档》。

二十一、政务云（电子政务区域）进行数据库审计服务

1）基于数据库审计技术，实现数据库操作行为审计、事件追踪、威胁分析、实时告警等多种功能，保障云环境下核心数据的安全，以高性能的产品，为云上业务系统提供稳定可靠的云数据库审计服务。

2）能支持审计Oracle、SQL—Server、DB2、Informix、Sybase、MySQL、PostgreSQL、达梦、金仓、南大通用G base等数据库的审计。

3）支持B/S、C/S应用系统三层架构http应用审计，可提取包括应用系统的人员工号（账号）在内的“六元组”身份信息，精确定位到人，并可获取XML 返回结果。

具体实施步骤和内容如下：

1、服务内容

我司通过数据库审计系统提供数据库审计服务能力。

2、服务次数：按需提供，不限次数；

3、常规服务时间：5×8，应急服务时间：7×24。

4、交付文档：《服务记录文档》。

二十二、网络数据安全隔离与信息交换服务

保障采购人云上业务系统安全，提供数据安全隔离与信息交换服务，对接入云上业务的用户进行访问控制的安全隔离同时又能实现信息数据的交换，同时提供数据库同步、文件交换、数据库访问、邮件访问、安全浏览、安全FTP等安全服务。

具体实施步骤和内容如下：

1、服务内容

我司通过网络数据安全隔离与信息交换，提供数据安全隔离与信息交换服务能力。

2、服务次数：按需提供，不限次数；

3、常规服务时间：5×8，应急服务时间：7×24。

4、交付文档：《服务记录文档》。

二十三、网站全天候监测服务

对采购人网站进行全天候7×24小时的监测，发现网站的各类异常情况，如网站能否正常打开、网页内容是否被篡改、网站是否被挂马等。有效、及时发现网站的异常情况，针对异常情况及时告警并协助处置。

具体实施步骤和内容如下：

1、服务内容我司通过网站安全监测系统对采购人网站进行全天候7×24小时的监测，发现网站的各类异常情况，如网站能否正常打开、网页内容是否被篡改、网站是否被挂马等。有效、及时发现网站的异常情况，针对异常情况及时告警并协助处置。

2、服务次数：按需提供，不限次数；

3、服务时间： 7×24。

4、交付文档：《服务记录文档》。