基础网络信息安全服务项目工作说明书.docx

1、基础网络信息安全服务项目工作说明书XX公司基础网络安全服务项目工作说明书1.项目概述1.1.项目背景近年来，XX公司深入开展网络安全建设，不断完善信息安全防护体系，为XX公司重要网络和信息系统提供了安全保障。但是，随着全球信息安全事件的频繁发生，网络攻击行为也从最初的自发式、分散式转向了专业化、组织化，当前整体网络安全形势已不容乐观，XX公司信息系统面临的安全威胁也在逐年提升，下一步的信息安全工作中，要通过信息安全服务项目的实施，为XX公司网络安全能力提供进一步的保障。XX公司信息安全服务内容主要包括部本级及信息中心所有非涉密网络区域，基础网络平台作为部内业务运行的主要网络系统，其安全范围主要

2、包括部本级互联网出口、XX公司门户网站、生态环境业务专网等网络区域。1.2.项目目标本项目以贯彻落实中华人民共和国网络安全法和信息系统网络安全等级保护相关标准要求为指导，以提高XX公司网络安全运行维护和整体防护水平为核心目标，为XX公司提供网络安全工作相关的全部技术服务，确保XX公司生态环境业务专网通过等级保护三级测评，切实保障XX公司重要网络及信息系统安全。1.3.服务范围本期项目为XX公司基础网络提供的信息安全服务内容，如下表所示：工作范围服务内容XX公司基础网络台账维护设备应用安全监控安全检测安全处置管理支持态势分析安全咨询产品维保应急演练等保配合安全值守风险应对1.4.服务期限本项目服

3、务期为自合同签订之日起后一年。2.工作原则和依据2.1.工作原则本项目安全服务满足以下原则：1、规范性安全服务的工作过程和所有文档，要具有很好的规范性，以便于项目的跟踪和控制。2、可控性在保证项目质量的前提下，按计划进度执行，保证对于项目的可控性。开展安全工作过程中所使用的工具、方法和过程要在双方认可的范围之内合法进行。3、完整性安全服务所涉及的范围和内容应完整地覆盖信息系统所涉及的各个层面。4、合理性安全工作的开展必须立足于用户方实际情况，设计方法应合乎逻辑，过程应完备详实，确保结论可信服。5、最小影响性安全服务工作应避免影响系统和网络的正常运行，不能对当前正常运行的系统和网络构成破坏和造成

4、停产。6、保密性安全服务的过程和结果应严格保密，XX，对项目涉及的任何信息不得泄露。2.2.工作依据本项目依据以下各项法律、法规、文件、批示和技术标准开展技术服务。1、国内网络安全相关政策、法律文件中华人民共和国国家安全法中华人民共和国网络安全法中华人民共和国电子签名法中华人民共和国突发事件应对法全国人民代表大会常务委员会关于加强网络信息保护的决定中华人民共和国计算机信息系统安全保护条例（国务院147号令）国家信息化领导小组关于加强网络安全保障工作的意见（中办发200327号）关于网络安全等级保护工作的实施意见（公通字200466号）网络安全等级保护管理办法（公通字200743号）关于开展全国

5、重要信息系统安全等级保护定级工作的通知（公信安2007861号）公安机关网络安全等级保护检查工作规范（公信安2008736号）关于开展网络安全等级保护安全建设整改工作的指导意见（公信安20091429号）国务院办公厅关于印发的通知（国办发200928号）关于推动网络安全等级保护测评体系建设和开展等级测评工作的通知（公信安2010303号）2、国际标准ISO 13335：IT安全管理指导ISO27001/27002（原ISO17799/BS7799）：网络安全管理体系标准IATF3.1信息保障技术框架AS / NZS 4360:2004 风险管理3、国家标准GB/T22239-2008 网络安全

6、技术 信息系统安全等级保护基本要求GB/T25058-2010 网络安全技术 信息系统安全等级保护实施指南GB/T20270-2006 网络安全技术 网络基础安全技术要求GB/T20271-2006 网络安全技术 信息系统通用安全技术要求GB/T20272-2006 网络安全技术 操作系统安全技术要求GB/T20273-2006 网络安全技术 数据库管理系统安全技术要求GB/T20282-2006 网络安全技术 信息系统安全工程管理要求GB/T21082-2007 网络安全技术 服务器安全技术要求GB/T 28449-2012 网络安全技术 信息系统安全等级保护测评过程指南GB/T 28448

7、-2012 网络安全技术 信息系统安全等级保护测评要求3.工作思路XX公司信息安全服务项目，将依据我公司安全服务运维体系开展相关工作，安全服务运维体系框架如下图所示：我公司依据国内外网络安全相关政策标准及最佳实践，结合以往安全服务工作中积累的丰富经验，充分利用公司云端安全服务能力、安全威胁情报资源及行业顶级的安全服务专家资源，采用“以驻场服务模式为基础、以云端安全服务能力做支撑、以后端专家级服务资源为保障”的安全服务模式。3.1.以驻场服务模式为基础在驻场运维服务环节，结合PDCA的风险控制模型，通过“防护、检测、响应、改进”四个步骤，体系化的开展安全服务工作，并通过规划化的过程与文件支撑保障

8、现场服务工作有效执行。抛弃应对性补漏的服务模式及传统机械式巡检的运维模式，使现场每一项安全服务工作有明确的工作目标与效果，驻场服务方式如下图所示：在以上驻场安全服务工作的基础上，将现场的安全服务工作细化梳理，以“周、月、年”为周期，梳理每个阶段应输出哪些文件，使安全服务工作可量化、可视化。3.2.以云端安全服务能力做支撑本项目安全服务通过基于多年大数据分析的云平台，为安全服务保障工作提供必要的技术支撑。通过云平台网站监测，实时发现用户网站系统的安全运行状态，由专门的监测技术队伍对监测到的安全事件进行验证与报警，协助现场服务人员进行及时处置，我公司云端安全服务能力如下图所示：我公司威胁情报信息平

9、台第一时间获取补天CNNVD、CNCERT等国家级安全信息平台的安全通告信息，此类信息将与驻场安全服务工作对接，形成安全威胁情报共享机制，有效推进安全事件的预防、响应与处置，如下图所示：3.3.以后端专家级服务资源为保障本项目安全服务工作可根据用户实际工作需求，结合用户方信息化发展及网络安全建设的实际情况，安排具备丰富安全技术、安全规划咨询经验的安全技术与安全咨询专家团队，配合驻场安全人员及用户针对性的开展各项服务工作。3.4.强化XX公司信息安全体系建设根据XX公司信息系统安全体系建设的具体规划，以落实国家信息安全等级保护为抓手，对信息系统态势感知、分析预测、安全管理、协调处置等方面的建设工

10、作提供咨询服务，进一步增强发现问题、分析问题、处理问题的能力。4.服务内容4.1.台账维护对XX公司基础网络安全设备资产进行梳理，建立安全设备资产台账，维护统一运维平台中的安全设备资产信息。与信息系统各类设备、系统的主管单位沟通，收集网络设备、服务器、虚拟机、终端、系统、网站、数据的台账信息，根据设备、系统主管单位的反馈情况，定期对台账信息进行更新。建立安服工作的完整工作流程，实现安全设备台账管理与安全服务工作流程的有机结合，确保安全服务事件处理完成后准确、及时的输出安全设备资产台账变更需求，由资产台账管理人员根据变更需求，及时变更台账信息，并在月底维护统一运维平台中的配置项管理库。4.2.设

11、备应用1、配置变更根据业务及安全需求，为安全设备提供配置、策略变更服务，变更前要对变更内容进行安全审核，确保变更内容符合等级保护有关防护要求，变更后要对修改内容进行再次确认，避免出现人为失误。调整防火墙策略，应以最小化原则对源、目的，及相关服务进行限制。每年对安全策略开展一次梳理工作，明确每一条策略的用途、意义，删除无效策略。2、配置备份每周对安全设备的配置进行一次全面备份，每次配置调整后对设备配置进行一次备份，设备配置集中存放，应至少保存半年以上。及时关注安全设备厂商的特征库、漏洞库、病毒库发布网站，发现新的升级补丁发布后，立即开展安全设备升级工作，升级完成后对设备软件版本进行确认记录。3、

12、设备巡查、巡检每个工作日查看各类安全设备运行状况，及时发现安全设备的运行故障，并立即进行处理，认真填写每日巡查记录。每周前往安全设备的部署现场开展例行巡检，详细检查各类安全设备的面板指示灯、物理状态、系统资源使用情况等信息，发现设备异常及时进行处理，并填写巡检记录表。4、设备维修及调试通过每日巡查和每周巡检监控安全设备的运行情况，发现设备故障立即进行故障排查和处置。在信息系统建设中，配合实施人员对新部署安全设备进行安装调试。5、日志管理对各类安全设备的日志存储情况进行检查，确认各类安全设备的日志存储空间是否能够保存一年以上的设备日志，对于设备自身日志存储充足的，采取定期清理策略，避免因设备日志

13、长期留存导致存储空间不足，对于设备自身日志存储空间不足的，制定日志导出策略，定期对设备日志进行导出存储，导出日志要集中存放，并保存一年以上。本项目提供安全服务设备清单，如下表所示：设备类型品牌型号数量购置时间是否出保入侵检测系统NSFOCUSNIDS-2000-Series12010是漏洞扫描设备NSFOCUSRSAS-E-Series12010是审计系统NSFOCUSSAS-2000-Series12010是防火墙迪普DPtech FW1000-GE-N52010是防火墙迪普DPtech FW1000-GT12010是防火墙迪普DPtech FW1000-GA-NE32010是防火墙迪普UT

14、M2000-GA-N22010是防毒网关冠群金辰KILL-KSG-V5000-3S22010是防火墙华为USG500012011是网络入侵检测与管理系统启明星辰NS2800-H22017否天玥网络安全审计系统启明星辰GE2000ER32017否360NGSOC360NG-SOC32017否防火墙XXNSG6000-3466-M22014是防火墙网御power v4400c12008是防火墙网御Power v341412008是InforGuard主页防篡改中创H260022012是天镜脆弱性扫描与管理系统(光工控机)启明星辰天镜脆弱性扫描与管理系统(光工控机)22017否网络回溯设备科来201

15、4x22017否4.3.安全监控本项目安全监控服务的对象包括生态环境专网基础网络的网站、系统、设备、终端等，具体工作包括工具监控和安全状况深入分析：1、网站云监测平台监控为本项目单位100个门户网站提供7*24小时网站云监测服务，通过云端发现网站的安全问题，依靠强大的云端资源，为XX公司提供网站漏洞扫描、网页篡改监测、网页挂马监测、黑词暗链监测、可用性监测、仿冒/钓鱼网站监测、未知资产监测、DDOS攻击监测等安全服务。2、安全漏洞监控使用现有设备及安全软件，每月对XX公司基础网络区域内的服务器、PC终端、网络设备、安全设备、门户网站及应用系统等进行安全扫描，编制详细处置意见，负责对PC终端、W

16、indows和Linux操作系统及安全设备的漏洞进行修复。应用系统相关漏洞的修复，应提供修复方案，交由应用系统厂商进行评估和修复，避免直接修复对应用系统正常运行造成影响。3、入侵监测监控及时监控入侵检测系统的告警信息，对发现的入侵事件进行检查、处置。4、NGSOC安全平台监控及时监测NGSOC平台的安全事件告警情况，对发现的高危、危急事件进行处置。5、天擎系统监控及时监控天擎系统中的病毒感染情况，对天擎系统扫描到的病毒感染、木马感染进行查杀处置。6、云安全系统监控对云平台安全产品中的防病毒系统、入侵防御系统进行及时监控，对云平台中发现的病毒感染、木马感染进行查杀处置，对入侵防御系统中的告警信息

17、进行检查、处置。7、流量监控及时监控生态环境专网的网络流量情况，汇总统计网络流量趋势，对流量异常情况进行分析、确认。8、网络安全深入分析本项目二线支持服务团队，每半月对生态环境专网的安全设备日志、网络流量等信息进行深入分析，确认生态环境专网的网络安全威胁的主要形势和主要类型，形成安全分析半月报。4.4.安全检测本项目安全监控服务的对象包括生态环境专网基础网络已上线和新上线的系统、网站、设备等，具体工作如下：1、新上设备及系统安全漏洞检测使用现有设备及安全软件，对新上线的设备及系统进行安全检测，检查新上线设备及系统可能存在的安全漏洞，编制安全漏洞检测报告,交由设备及应用厂商评估和修复。2、新上线

18、应用系统代码检测根据用户需求，提供代码检测工具对新上线应用系统进行源代码安全检测，发现应用系统的潜在安全隐患，并对应用系统进行规范性安全评估，以确保应用系统安全符合相应等级的安全要求，同时减少系统由于开发问题所造成的安全隐患。3、新上线网站失陷监测通过NGSOC安全平台对Web应用访问日志进行关联分析，发现内网中潜在的失陷主机，找到问题发生的根本原因，必要时可针对失陷事件进行追踪溯源的分析，进一步挖掘攻击信息。4、已上线设备及系统检测根据用户方的工作安排和实际需求，梳理进行安全检测的已上线设备及系统清单，对已上线设备及系统安全检测工作进行规划，采用已有安全检测工具，分步、分批开展设备及系统安全

19、检测工作。4.5.安全处置1、威胁分析分析XX公司基础网络内的高级安全威胁，包括但不限于资产梳理与攻击分析、服务器被攻击行为分析、数据库威胁操作分析、非常规检测分析、账户风险分析、邮件安全分析、WEB攻击分析、异常外联分析及APT事件等。及时发现潜藏在的安全威胁，对威胁的恶意行为实现快速发现，对受害目标及攻击源头进行精准定位，对入侵途径及攻击者背景的研判与溯源，从源头上解决网络中的安全问题，减少安全威胁带来的损失。2、事件处置实时监测安全设备的安全事件告警，综合分析各类安全事件日志，及时发现安全威胁，分析环境基础网络安全状况，对安全事件进行处置，并通过运维管理系统进行工单流转，安全威胁处置完成

20、后，形成知识库案例。安全服务人员将在用户现场进行5*8小时的安全监测工作，对7*24小时安全事件进行分析。3、安全通报及检查应对配合网信办、公安部等上级网络安全部门的安全检查工作，提供相关日志、数据等信息，对上级网络安全部门发来的安全通报，进行及时处置，形成处置报告。在安全服务中对XX公司的安全体系进行梳理和完善，提供XX公司信息系统的安全防护能力，第一时间应急处置上级网络安全管理部门对XX公司的安全通报。5、网络异常处置在XX公司基础网络、应用系统等出现异常时，配合用户方进行相关安全排查工作，以便迅速分析网络或系统异常原因，在最短时间内恢复正常。6、应急响应对紧急网络安全事件提供即时的响应技

21、术服务，对无法迅速解决的各种紧急安全问题提供技术支持，控制事态发展，保护或恢复主机、网络服务的正常工作，并且提供事后分析，找出信息系统的安全漏洞，根据现场保留情况尽可能对入侵者进行追查。提供全年7*24小时应急响应服务，在驻场人员无法解决问题时，二线专业响应服务人员接到通知后2小时内到场，进行应急处置。在“两会”等重要时期，进一步加强驻场和二线人力保障。4.6.管理支撑对XX公司网络安全检查、等级保护管理、网络安全宣传教育、网络安全培训等行业网络安全管理工作进行技术支持，并提供相关工具支撑。4.7.态势分析1、威胁情报实时关注新型病毒、木马的爆发情况，主动发现安全事件及安全威胁，并形成安全威胁

22、情报周报及HTML5形式的威胁情报。以简单易懂的话语阐述近期网络安全威胁情报的动态和趋势，让用户了解最新的安全威胁，提高安全防范知识和意识。在突发网络安全事件时对漏洞风险的修复、恶意病毒的防护等进行紧急的通报与操作指南。2、工作报告每周汇总安全服务工作，形成项目工作周报提交给用户。年底根据日常安全监测工作，对XX公司网络安全总体态势进行分析，提出建设性安全建议，并编写安全服务工作总结。4.8.安全咨询1、安全运维体系建设咨询服务在统一安全管理的框架下，协助用户方构建以部本级为一级中心，部署单位为二级分中心的安全管理与运维体系，具体工作中以资产管理为基础，事件管理为主线，辅以有效的管理、监测、响

23、应措施，构建动态、高效的安全运维体系。2、网络安全操作规程编制对日常网络安全运维工作进行梳理，查漏补缺，形成XX公司基础网络安全操作规程，要简单易懂，实用性强。3、应急预案细化对XX公司的应急预案进行细化编制，确保应急预案可以切实落地。4、网络安全优化咨询服务根据用户方的要求，在XX公司网络安全体系优化工作中，提供咨询服务，如需提供网络安全优化方案，由咨询服务人员出具网络安全优化方案。5、网络安全工作资料文档整理对XX公司基础网络安全相关资料（包括：安全资产清单、安全拓扑图、安全设备技术资料、安全策略）进行梳理并实时更新，整理本项目验收文档资料。4.9.产品维保1、产品维保服务在本项目服务期内

24、，承担XX公司机关基础网络安全设备保修服务，在设备发生故障时及时对设备进行维修，必要时提供临时备机。若设备无法修复，免费提供同型号设备，经用户方同意可更换为同档设备，提供的设备产权归用户方所有。2、产品授权许可购置在合同期内，为XX公司基础网络安全设备、系统软件及特征库购置升级许可，无需购置未出保修期的设备系统软件及特征库升级许可。4.10.应急演练为保障的网络信息系统的安全稳定运行，提高系统在遇到突发事件时的可用性和业务连续性，通过应急演练工作验证应急预案和应急流程的经济性、合理性和可操作性，评估各方面人员应对安全突发事件的组织指挥能力和应急处置能力，提高应急人员应急工作熟练程度，提升全员安

25、全意识，应急演练在服务期内进行一次。结合XX公司实际，编写应急演练方案应包括演练目的、参与人员、演练地点、模拟事件范围、演练指挥、演练过程，以及演练总结报告。4.11.等保配合按照用户实际情况，在有需求的前提下，协助用户方完成生态环境业务专网的等级保护三级的评测工作，包括提供预测评服务和协助用户方完成生态环境业务专网等级保护三级测评。预测评服务是在正式测评前，采用测评机构的全套方法对生态环境业务专网等级保护符合性情况进行检查，并出具满足等级保护三级的差距报告。协助测评是指协助用户方完成系统定级报告、系统基础信息调研表的编写，并在现场测评时配合测评机构完成管理方面、物理安全方面、网络安全方面、主

26、机系统安全方面、应用安全方面、数据安全方面的现场检查与整改，主要工作内容包括并不限于：1、整理测评准备材料。2、支付生态环境业务专网的等级保护三级测评费用2、配合测评，对测评发现的问题进行整改，直至通过测评。4.12.安全值守按照用户实际需求，在“两会”等重要时期，加强驻场和二线人力保障，提供7*24小时值班服务，具体工作内容如下：（1）密切巡查各类安全设备的运行情况，确保重要时期安全设备的运行稳定。（2）及时监控入侵检测系统、NGSOC安全平台，以及网络流量，发现异常情况立即进行处理。（3）对安全监控中发现的安全事件进行分析、确认，采取有效的处置措施，及时处置。（4）应急响应团队加强应急保障

27、，接到紧急事件的通知后第一时间响应，尽快处置。4.13.风险应对1、梳理设备资产，落实准入与注销机制建立安全设备的资产登记台账，梳理、核对资产信息，根据资产变动情况实时更新台账信息。落实信息中心设备准入与注销的管理要求，按照具体工作安排做好设备登记、注销工作。2、加强安全服务人员管理我公司与本项目的安全服务人员签订安全承诺书，并在项目开始前对项目人员开展安全教育培训，增强服务人员安全意识、责任意识。在项目工作开展过程中，我公司将组织人员进行安全操作规范的编制工作，工作中将根据用户要求形成安全服务的安全操作手册。3、加强互联网出口监测我公司将对互联网出口设备进行统计归类，并指派人员对互联网出口设

28、备进行重点监测，及时处理互联网出口发生的各类安全事件，形成安全事件处理报告。同时，对XX公司对外服务应用系统进行信息登记，便于安全事件发生后的及时定位，及时处置。4、加强网络边界防护我公司将安排专项工作对防火墙策略配置进行逐条梳理，通过更加安全的配置方式，避免防火墙策略配置方面出现潜在安全隐患。同时，在策略开通时根据信息中心要求，加强对135、139、445、3389等危险端口的审查，引导业务系统放弃使用危险端口。5、充分发挥安全设备功效在日常运维服务工作中，每月检查各类安全设备的功能运行情况，确保安全设备的各项功能充分发挥功效，并对安全设备的性能状态进行监测，发现设备性能下降、功能失效，或设

29、备性能不能满足XX公司安全防护要求时，及时向用户方报告，并协助用户方制定设备更新计划。6、提供应用系统上线监测服务按照信息中心要求，为新上线应用系统提供漏洞扫描等检测服务，出具应用系统的上线检测报告，协助应用系统厂商对应用系统中存在的安全隐患、漏洞进行及时修复、完善。7、提供安全配置备份和安全建设咨询服务本项目服务工作开展中，将定期对安全设备的配置信息进行备份操作，备份配置至少保存一年以上。同时，对用户方信息系统安全建设方面的需求，组织咨询专家提供专业的支持服务。5.服务工具1、NGSOC平台服务为确保本项目态势感知和安全运营工作的顺利开展，我公司为本项目已采购的NGSOC提供使用授权，系统基

30、于360云端威胁情报和本地安全大数据，通过对海量数据进行多维度快速、自动化的关联分析发现本地的威胁和异常行为。同时，通过图形化、可视化技术将这些威胁和异常的总体安全态势用最直观的方式展现给用户，有利于业务管理者迅速做出判断和决策。系统功能包括全量日志采集、多维关联分析、告警响应中心、态势感知展示、资产管理等。2、网站云监测服务XX网站云监测系统通过云端发现网站的安全问题，是一款基于云的安全服务产品，为XX公司提供网站漏洞扫描、网页篡改监测、网页挂马监测、黑词暗链监测、可用性监测、仿冒/钓鱼网站监测、未知资产监测、DDOS攻击监测等安全服务，XX网站云监测系统产权属于XX公司，仅为XX公司提供网站监测服务。3、全流量回溯服务通过天眼设备的全流量采集以及强大的威胁情报，结合NGSOC对流量数据进行的多维度、自动化分析，为用户提供内部失陷主机、外部攻击、内部违规和内部风险等关键信息安全问题的周期性检测、发现、响应服务。天眼设备产权属于XX公司。4、应用系统代码检测工具为确保应用系统代码检测工作的顺利开展，我公司为本项目配用源代码安全缺陷分析系统，系统包含外部系统接口模块、集成编译器模块、各编程语言检测引擎模