※※※※※※※※※※※※※※※※※※※※※※※項(xiàng)目XXXXX股份有限公司XXX駐場(chǎng)運(yùn)維服務(wù)實(shí)施方案XXXXX股份有限公司2023年01月文檔說明文檔名稱XXX駐場(chǎng)運(yùn)維服務(wù)實(shí)施方案文檔管理編號(hào)SFSS-SO-T0004駐場(chǎng)運(yùn)維服務(wù)實(shí)施方案V1.0保密級(jí)別商業(yè)秘密文檔版本號(hào)V1.0制作人XXX安全服務(wù)團(tuán)隊(duì)制作日期2023-1-13復(fù)審人XXX安全服務(wù)團(tuán)隊(duì)復(fù)審日期2023-1-14擴(kuò)散范圍限“XXXXX股份有限公司項(xiàng)目組”、授權(quán)客戶分發(fā)控制XXX：創(chuàng)建、修改、讀取授權(quán)客戶：讀取適用范圍本“XXX駐場(chǎng)運(yùn)維服務(wù)實(shí)施方案”用于指導(dǎo)XXX駐場(chǎng)運(yùn)維服務(wù)項(xiàng)目的有效實(shí)施，僅限于“XXX”、XXX單位內(nèi)部人員傳閱。版本變更記錄修改日期版本說明修改人■版權(quán)聲明本文中出現(xiàn)的任何文字?jǐn)⑹?、文檔格式、插圖、照片、方法、過程等內(nèi)容，除另有特別注明，版權(quán)均屬XXX所有，受到有關(guān)產(chǎn)權(quán)及版權(quán)法保護(hù)。任何個(gè)人、機(jī)構(gòu)未經(jīng)XXX的書面授權(quán)許可，不得以任何方式復(fù)制或引用本文的任何片斷。

目錄1 項(xiàng)目概述 41.1 項(xiàng)目背景 41.2 項(xiàng)目目標(biāo) 42 實(shí)施依據(jù) 53 服務(wù)詳情 63.1 服務(wù)范圍 63.2 服務(wù)流程 63.2.1 現(xiàn)狀與環(huán)境調(diào)研階段 73.2.2 制定實(shí)施方案及計(jì)劃階段 73.2.3 項(xiàng)目啟動(dòng)階段 73.2.4 運(yùn)維服務(wù)實(shí)施階段 73.2.5 總結(jié)與驗(yàn)收階段 103.3 服務(wù)實(shí)施計(jì)劃 103.4 服務(wù)內(nèi)容 133.4.1 信息資產(chǎn)維護(hù) 133.4.2 安全巡檢 143.4.3 事件監(jiān)測(cè)預(yù)警 163.4.4 應(yīng)急響應(yīng) 163.5 服務(wù)團(tuán)隊(duì) 183.6 服務(wù)交付物 184 服務(wù)實(shí)施工具 205 服務(wù)優(yōu)勢(shì) 235.1 專業(yè)的安全服務(wù)團(tuán)隊(duì) 235.2 “云”“地”協(xié)同，人機(jī)共智 245.3 產(chǎn)品+服務(wù)實(shí)現(xiàn)價(jià)值增益 24項(xiàng)目概述項(xiàng)目背景當(dāng)前外部網(wǎng)絡(luò)攻擊呈現(xiàn)日漸嚴(yán)峻的態(tài)勢(shì)，攻防升級(jí)不斷加劇。從WannaCry、Petya到BadRabbit，勒索病毒風(fēng)暴席卷全球用戶，大量現(xiàn)成的安全攻擊工具和腳本在暗網(wǎng)售賣，數(shù)據(jù)泄露、頁(yè)面篡改、黑鏈暗鏈等安全事件使得企業(yè)所面臨的安全威脅隨之增大，外部網(wǎng)絡(luò)安全威脅的加劇導(dǎo)致企業(yè)的信息和數(shù)據(jù)安全正遭受內(nèi)外多重和多樣的防護(hù)壓力，造成的損失愈發(fā)嚴(yán)重。企業(yè)信息化建設(shè)的不斷深入，內(nèi)部已經(jīng)建立了比較完整的軟件底層平臺(tái)和各類信息系統(tǒng)，在獲得信息化所帶來的效率提升的同時(shí)，也導(dǎo)致安全運(yùn)維的工作量日益增加，同時(shí)安全監(jiān)測(cè)、安全通告、安全事件響應(yīng)等方面仍缺少一套完整的安全運(yùn)維和應(yīng)急保障體系，多數(shù)運(yùn)維人員不具備專業(yè)的安全能力，以保障信息系統(tǒng)的穩(wěn)定安全運(yùn)行和各類緊急事件的及時(shí)處理。因此，通過引入專業(yè)的安全駐場(chǎng)運(yùn)維團(tuán)隊(duì)，深入開展全面的信息安全運(yùn)維服務(wù)，逐步形成能持續(xù)完善、自我優(yōu)化的安全運(yùn)維體系，構(gòu)建預(yù)防在先、快速響應(yīng)的網(wǎng)絡(luò)與信息安全應(yīng)急機(jī)制，對(duì)一個(gè)企業(yè)的網(wǎng)絡(luò)安全建設(shè)與發(fā)展顯得尤為重要。隨著“互聯(lián)網(wǎng)+XX“的業(yè)務(wù)發(fā)展，XXX信息化程度的提高，對(duì)信息系統(tǒng)的依賴程度越來越高，信息化已經(jīng)成為關(guān)鍵業(yè)務(wù)不可或缺的保障因素。同時(shí)，內(nèi)外網(wǎng)的信息系統(tǒng)所面臨的各種安全風(fēng)險(xiǎn)也日益嚴(yán)重，來自外網(wǎng)的APT攻擊層出不窮、內(nèi)網(wǎng)威脅也不斷爆發(fā)（例如最近大規(guī)模爆發(fā)的勒索病毒，導(dǎo)致全球大量業(yè)務(wù)癱瘓）和黑客攻擊不斷多樣化，時(shí)刻對(duì)XXX的核心業(yè)務(wù)帶來潛在威脅，如何更好地為XXX信息化提供安全保障，確保各個(gè)關(guān)鍵系統(tǒng)的安全運(yùn)行和信息化的健康發(fā)展是XXX信息系統(tǒng)建設(shè)所面臨的一個(gè)主要問題。項(xiàng)目目標(biāo)1、完善現(xiàn)有安全運(yùn)營(yíng)體系針對(duì)組織已經(jīng)構(gòu)建日常安全運(yùn)營(yíng)體系，提升安全團(tuán)隊(duì)現(xiàn)有的人員編制與人員技能，彌補(bǔ)安全運(yùn)營(yíng)體系存在缺失環(huán)節(jié)，確保安全運(yùn)營(yíng)體系完整、健康持續(xù)運(yùn)轉(zhuǎn)。2、提升安全防護(hù)能力補(bǔ)齊人員編制缺乏以及人員安全技能不足，充分發(fā)揮設(shè)備+人的作用，實(shí)現(xiàn)安全設(shè)備安全效果最大化，提升安全防護(hù)能力。實(shí)施依據(jù)XXX提供的駐場(chǎng)運(yùn)維服務(wù)將參考下列法律法規(guī)和標(biāo)準(zhǔn)規(guī)范指導(dǎo)服務(wù)工作開展：國(guó)內(nèi)標(biāo)準(zhǔn)、指南或規(guī)范：《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)實(shí)施指南》（GB/T25058-2019）《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T22239-2019）《信息技術(shù)安全技術(shù)信息技術(shù)安全評(píng)估準(zhǔn)則》（GB/T18336.1-2015）《信息安全技術(shù)信息安全事件分類分級(jí)指南》（GB/Z20986-2007）《信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》（GB/T20270-2006）《信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求》（GB/T20271-2006）《信息安全技術(shù)網(wǎng)站安全云防護(hù)平臺(tái)技術(shù)要求》（GB/T37956-2019）《信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求》（GB/T20272-2019）《信息安全技術(shù)數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求》（GB/T20273-2019）《信息安全技術(shù)服務(wù)器安全技術(shù)要求和測(cè)評(píng)準(zhǔn)則》（GB/T39680-2020）《信息安全技術(shù)網(wǎng)絡(luò)交換機(jī)安全技術(shù)要求》（GB/T21050-2019）《信息技術(shù)安全技術(shù)信息安全事件管理》（GB/T20985.1-2017）《信息安全技術(shù)信息系統(tǒng)安全運(yùn)維管理指南》（GB/T36626-2018）《信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》（GB/T20988-2007）國(guó)際標(biāo)準(zhǔn)、指南或規(guī)范：《信息技術(shù)安全保障框架》（ISO/IECTR15443-1:2012）《信息技術(shù)安全技術(shù)信息系統(tǒng)規(guī)范與使用指南》（ISO/IEC27001:2013）《信息技術(shù)安全技術(shù)IT安全管理指南》（ISO/IEC13335-1:2004）《信息技術(shù)安全技術(shù)操作系統(tǒng)的安全評(píng)定》（ISO/IECTR19791-2010）服務(wù)詳情服務(wù)范圍駐場(chǎng)運(yùn)維服務(wù)范圍是對(duì)包括各種網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)操作系統(tǒng)、數(shù)據(jù)庫(kù)、常見中間件及網(wǎng)絡(luò)服務(wù)應(yīng)用等資產(chǎn)進(jìn)行現(xiàn)場(chǎng)運(yùn)維，具體運(yùn)維對(duì)象如下表所示：運(yùn)維服務(wù)資產(chǎn)范圍分類范圍描述網(wǎng)路設(shè)備及安全設(shè)備主流網(wǎng)絡(luò)設(shè)備、安全設(shè)備：Cisco、華為、Juniper等路由器Cisco、華為、Juniper等交換機(jī)其他廠商設(shè)備：防火墻、入侵檢測(cè)、入侵防御設(shè)備、防毒墻、垃圾郵件等主機(jī)操作系統(tǒng)主流主機(jī)操作系統(tǒng)：微軟Windows系列操作系統(tǒng)，Windows2003/2008/2012/2016等各類Linux系列操作系統(tǒng)，Redhat、Ubuntu、Debian等各類Unix系列操作系統(tǒng)，Solaris、AIX、HP-UX、BSD等數(shù)據(jù)庫(kù)主流數(shù)據(jù)庫(kù)：微軟MSSQL系列，SQLSever2005/2008/2012/2016等甲骨文Oracle系列，Oracle9i/10g/11g等其他數(shù)據(jù)庫(kù)，MySQL、DB2、Sybase、Informix等常見中間件及網(wǎng)絡(luò)服務(wù)常見中間件及網(wǎng)絡(luò)服務(wù)應(yīng)用：Web服務(wù)類，IIS、Apache、Tomcat、Weblogic、Nginx、WebSphere等DNS服務(wù)類，Bind8、Bind9等FTP服務(wù)類，ServU、MSIISFTP等其他常見網(wǎng)絡(luò)服務(wù)，MAIL、Proxy、POP3、SMTP等服務(wù)流程XXX將駐場(chǎng)運(yùn)維服務(wù)分為現(xiàn)狀與環(huán)境調(diào)研、制定實(shí)施方案及計(jì)劃、項(xiàng)目啟動(dòng)、服務(wù)實(shí)施及總結(jié)與驗(yàn)收五個(gè)階段，XXX依據(jù)豐富的項(xiàng)目管理實(shí)戰(zhàn)經(jīng)驗(yàn)對(duì)每個(gè)階段進(jìn)行單獨(dú)管理，確保每個(gè)階段的順利進(jìn)行。駐場(chǎng)運(yùn)維服務(wù)流程現(xiàn)狀與環(huán)境調(diào)研階段在項(xiàng)目開始前系統(tǒng)性對(duì)客戶單位的網(wǎng)絡(luò)安全現(xiàn)狀、網(wǎng)絡(luò)結(jié)構(gòu)、現(xiàn)有安全措施、安全建設(shè)程度、運(yùn)維需求、組織職能、流程制度等進(jìn)行初步的調(diào)研；為后續(xù)項(xiàng)目工作計(jì)劃和服務(wù)內(nèi)容制定提供有力的依據(jù)。制定實(shí)施方案及計(jì)劃階段項(xiàng)目經(jīng)理根據(jù)客戶需求，提供標(biāo)準(zhǔn)或定制化的項(xiàng)目實(shí)施方案，并根據(jù)客戶要求的交付時(shí)間及相關(guān)駐場(chǎng)人員的排期情況，制定項(xiàng)目實(shí)施計(jì)劃。明確安全運(yùn)維工作的內(nèi)容、工作職責(zé)、服務(wù)周期、分工界定、進(jìn)度安排風(fēng)險(xiǎn)規(guī)避等內(nèi)容，并向用戶進(jìn)行方案講解，實(shí)施方案將作為項(xiàng)目實(shí)施服務(wù)的依據(jù)和參考。項(xiàng)目啟動(dòng)階段項(xiàng)目經(jīng)理召開項(xiàng)目啟動(dòng)會(huì)，在服務(wù)交付前召集項(xiàng)目組成員和客戶項(xiàng)目組相關(guān)人員就項(xiàng)目目標(biāo)，項(xiàng)目范圍，里程碑、可交付成果等內(nèi)容進(jìn)行溝通和確認(rèn)，同時(shí)簽署運(yùn)維實(shí)施申請(qǐng)單、保密協(xié)議和授權(quán)書。運(yùn)維服務(wù)實(shí)施階段此階段是駐場(chǎng)運(yùn)維服務(wù)的執(zhí)行階段，所有制定的目標(biāo)和計(jì)劃都將在這個(gè)階段來完成。項(xiàng)目實(shí)施階段的工作是項(xiàng)目驗(yàn)收的評(píng)判依據(jù)和標(biāo)準(zhǔn)。根據(jù)運(yùn)維服務(wù)的實(shí)施方案進(jìn)行服務(wù)實(shí)施，根據(jù)服務(wù)范圍對(duì)設(shè)備和系統(tǒng)進(jìn)行分類、標(biāo)識(shí)，對(duì)系統(tǒng)中的配置信息進(jìn)行備份和安全檢查，對(duì)方案中需要周期性維護(hù)的設(shè)備和系統(tǒng)，做好巡檢、安全查殺、備份、更新、升級(jí)、故障排查等維護(hù)工作的記錄，由項(xiàng)目經(jīng)理負(fù)責(zé)匯總并整理，最終形成周報(bào)、月報(bào)、季報(bào)和年度總結(jié)報(bào)告。運(yùn)維服務(wù)實(shí)施的內(nèi)容包括：信息資產(chǎn)維護(hù)收集用戶現(xiàn)有的信息資產(chǎn)表，包括信息系統(tǒng)、平臺(tái)或支撐系統(tǒng)、基礎(chǔ)設(shè)施、數(shù)據(jù)資產(chǎn)、服務(wù)、人員等。與用戶確定資產(chǎn)應(yīng)具備的屬性，通過TSS工具探測(cè)在線的目標(biāo)主機(jī)，偵測(cè)運(yùn)行的服務(wù)類型、端口、協(xié)議、組件版本信息、操作系統(tǒng)與設(shè)備類型。將系統(tǒng)探測(cè)的結(jié)果與原有的信息資產(chǎn)表進(jìn)行匹配更新，形成新的信息資產(chǎn)表，并與各信息資產(chǎn)負(fù)責(zé)人進(jìn)行一一確認(rèn)，信息資產(chǎn)表由駐場(chǎng)運(yùn)維團(tuán)隊(duì)定期負(fù)責(zé)更新。信息資產(chǎn)維護(hù)梳理的內(nèi)容包括但不限于：梳理對(duì)外發(fā)布的互聯(lián)網(wǎng)應(yīng)用系統(tǒng)；梳理互聯(lián)網(wǎng)出口及出口所使用的設(shè)備和安全措施；梳理網(wǎng)絡(luò)結(jié)構(gòu)（網(wǎng)絡(luò)拓?fù)洌?；梳理重要的或需要重點(diǎn)保護(hù)的信息系統(tǒng)、應(yīng)用系統(tǒng)各服務(wù)器之間的拓?fù)浣Y(jié)構(gòu)；梳理網(wǎng)絡(luò)安全設(shè)備及網(wǎng)絡(luò)防護(hù)情況。安全巡檢安全巡檢與策略調(diào)優(yōu)通過對(duì)整體網(wǎng)絡(luò)架構(gòu)、網(wǎng)絡(luò)邊界、網(wǎng)絡(luò)及安全設(shè)備防護(hù)措施的巡檢，發(fā)現(xiàn)可能存在的安全風(fēng)險(xiǎn)，并對(duì)安全策略進(jìn)行調(diào)優(yōu)，具體的策略調(diào)優(yōu)包括但不限于：網(wǎng)絡(luò)檢測(cè)策略：采取基于特征和基于行為的檢測(cè)，對(duì)數(shù)據(jù)包的特征進(jìn)行分析，有效發(fā)現(xiàn)網(wǎng)絡(luò)中異常的訪問行為和數(shù)據(jù)包。異常報(bào)警策略：通過報(bào)警類型的制定，明確安全事件類型，通過電子郵件或短信的方式進(jìn)行報(bào)警。會(huì)話監(jiān)控策略：配置會(huì)話監(jiān)控策略，當(dāng)會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束后，防火墻自動(dòng)將會(huì)話丟棄，訪問來源必須重新建立會(huì)話才能繼續(xù)訪問資源。會(huì)話限制策略：當(dāng)業(yè)務(wù)服務(wù)器接受的連接數(shù)接近或達(dá)到閥值時(shí)，設(shè)備自動(dòng)阻斷其他的訪問連接請(qǐng)求，避免服務(wù)器接到過多的訪問而崩潰。身份認(rèn)證策略：配置防火墻用戶認(rèn)證功能，對(duì)保護(hù)的應(yīng)用系統(tǒng)可采取身份認(rèn)證的方式（包括用戶名/口令方式、S/KEY方式等），實(shí)現(xiàn)基于用戶的訪問控制；在線升級(jí)策略：規(guī)則庫(kù)是決定系統(tǒng)檢測(cè)能力的關(guān)鍵因素，應(yīng)定期進(jìn)行在線升級(jí)，確保規(guī)則庫(kù)的完整性和有效性。安全日志分析對(duì)現(xiàn)有安全產(chǎn)品已發(fā)現(xiàn)并記錄的日志進(jìn)行分析，識(shí)別當(dāng)前網(wǎng)絡(luò)存在的脆弱性風(fēng)險(xiǎn)，根據(jù)日志結(jié)果，進(jìn)行業(yè)務(wù)加固，以及安全策略的能力加強(qiáng)?；谝陨显瓌t，至少?gòu)囊韵路矫孢M(jìn)行策略的優(yōu)化：高頻類攻擊，建立聯(lián)動(dòng)防護(hù)手段，如掃描、暴力破解、SQL注入、XSS攻擊等。一經(jīng)發(fā)現(xiàn)且分析為真實(shí)攻擊，通過聯(lián)動(dòng)手段進(jìn)行臨時(shí)或永久封鎖；清查日志分析所識(shí)別的風(fēng)險(xiǎn)隱患，如Webshell、黑鏈等已失陷的行為。一經(jīng)發(fā)現(xiàn)且確認(rèn)為真實(shí)存在風(fēng)險(xiǎn)，立即進(jìn)行相應(yīng)處置防護(hù)有效性檢驗(yàn)上述安全設(shè)備策略調(diào)優(yōu)工作完成后，進(jìn)行統(tǒng)一的防護(hù)有效性驗(yàn)證。確保當(dāng)前安全所具備的功能均已開啟且具備預(yù)期的防護(hù)能力。如有不達(dá)標(biāo)項(xiàng)，協(xié)助用戶與設(shè)備廠家進(jìn)一步完成功能調(diào)整，直至防護(hù)有效性檢驗(yàn)達(dá)標(biāo)。應(yīng)急響應(yīng)應(yīng)急響應(yīng)處置內(nèi)容包括安全事件的定級(jí)和報(bào)告，清除或抑制事件對(duì)業(yè)務(wù)系統(tǒng)產(chǎn)生的影響，恢復(fù)業(yè)務(wù)系統(tǒng)的運(yùn)行，并開展相應(yīng)的事后分析。應(yīng)急響應(yīng)流程分為以下五個(gè)階段：應(yīng)急準(zhǔn)備階段準(zhǔn)備階段是安全事件響應(yīng)的第一個(gè)階段，應(yīng)急準(zhǔn)備包括人員、工具、儀器、設(shè)備、軟件和資料等，當(dāng)發(fā)生信息安全事件時(shí)，應(yīng)立即啟動(dòng)本單位的應(yīng)急預(yù)案，對(duì)突發(fā)的安全事件或異常狀況迅速進(jìn)行發(fā)現(xiàn)并分析確認(rèn)，初步評(píng)估事件性質(zhì)、危害程度和影響范圍。事件分析階段從網(wǎng)絡(luò)流量情況、主機(jī)系統(tǒng)日志、網(wǎng)站服務(wù)日志、業(yè)務(wù)應(yīng)用日志、數(shù)據(jù)庫(kù)日志等，結(jié)合已有安全設(shè)備數(shù)據(jù)分析入侵方式，還原安全事件的過程，確定原因，取證追查，進(jìn)行后門檢查和漏洞分析，制定解決方案和安全策略。事件處置階段根據(jù)分析的結(jié)果，確定系統(tǒng)運(yùn)行的風(fēng)險(xiǎn)，制定相應(yīng)的應(yīng)急措施。通過關(guān)掉/修復(fù)已受害的系統(tǒng)隔離、修改防火墻或路由器的過濾規(guī)則、封鎖或刪除被攻破的登錄賬號(hào)、關(guān)閉可被攻擊利用的服務(wù)功能等手段進(jìn)行處置，使業(yè)務(wù)影響最小化的同時(shí)制止事態(tài)的進(jìn)一步擴(kuò)大。根除恢復(fù)階段在對(duì)安全事件進(jìn)行原因初步分析和影響抑制后，駐場(chǎng)運(yùn)維團(tuán)隊(duì)對(duì)安全事件進(jìn)一步處理，具體工作包括：掃描并清除系統(tǒng)中存在的病毒、木馬、惡意代碼等可疑程序；清理Web站點(diǎn)中存在的暗鏈、木馬等頁(yè)面；恢復(fù)被入侵篡改的系統(tǒng)配置，清理黑客創(chuàng)建的后門賬號(hào)；刪除異常系統(tǒng)服務(wù)、清理異常進(jìn)程；驗(yàn)證入侵威脅清除并協(xié)助恢復(fù)用戶的正常業(yè)務(wù)服務(wù)。事件總結(jié)階段事件處理完畢后，根據(jù)整個(gè)事件情況進(jìn)行分析匯總并提交《應(yīng)急響應(yīng)處置報(bào)告》，針對(duì)安全事件現(xiàn)象、處理過程、處理結(jié)果進(jìn)行記錄，同時(shí)對(duì)入侵原因進(jìn)行分析，進(jìn)一步總結(jié)事件教訓(xùn)，研判安全現(xiàn)狀、排查安全隱患，加強(qiáng)安全建設(shè)，提升安全防護(hù)能力?？偨Y(jié)與驗(yàn)收階段此階段是項(xiàng)目的收尾階段，向用戶進(jìn)行整體安全運(yùn)維工作匯報(bào)。詳細(xì)匯總統(tǒng)計(jì)、報(bào)告運(yùn)維工作中出現(xiàn)的故障、網(wǎng)絡(luò)攻擊、安全事件、安全巡檢等服務(wù)內(nèi)容，形成符合驗(yàn)收條件的驗(yàn)收性文件和總結(jié)性報(bào)告。服務(wù)實(shí)施計(jì)劃序號(hào)服務(wù)項(xiàng)服務(wù)內(nèi)容服務(wù)周期實(shí)施人員預(yù)估工期

（人/天）計(jì)劃開始時(shí)間計(jì)劃結(jié)束時(shí)間交付文檔需要的配合1項(xiàng)目啟動(dòng)會(huì)項(xiàng)目啟動(dòng)會(huì)介紹明確服務(wù)邊界，服務(wù)人員，服務(wù)計(jì)劃、服務(wù)方案、溝通方式等。1次XXX0.520xx/xx/xx20xx/xx/xx《SFSS-SO-F0001安全服務(wù)保密協(xié)議》《SFSS-SO-P0101項(xiàng)目實(shí)施計(jì)劃表》《SFSS-SO-P0102項(xiàng)目啟動(dòng)會(huì)》《SFSS-SO-P0103啟動(dòng)會(huì)會(huì)議紀(jì)要》《SFSS-SO-T0002安全運(yùn)維服務(wù)方案》1）申請(qǐng)項(xiàng)目啟動(dòng)會(huì)會(huì)議室2）通知項(xiàng)目相關(guān)方和人員參會(huì)2準(zhǔn)備工作獲取客戶已有資產(chǎn)清單、人員組織架構(gòu)等，并持續(xù)優(yōu)化更新。1次XXX120xx/xx/xx20xx/xx/xx《SFSS-SO-P0104用戶信息檔案表》1）簽訂駐場(chǎng)服務(wù)保密協(xié)議2）客戶提供已有資產(chǎn)清單、人員組織架構(gòu)等3信息資產(chǎn)維護(hù)通過查閱用戶資產(chǎn)臺(tái)賬、與各信息資產(chǎn)負(fù)責(zé)人進(jìn)行訪談溝通、使用TSS工具進(jìn)行掃描的方式，確認(rèn)是否有遺漏的資產(chǎn)、影子資產(chǎn)或者常年不使用但沒有下線的信息資產(chǎn)，形成與實(shí)際情況完全一致的資產(chǎn)臺(tái)賬。月次XXX520xx/xx/xx20xx/xx/xx《SFSS-SO-R0101信息資產(chǎn)表》客戶提供已有資產(chǎn)清單4安全巡檢日常巡檢所有安全設(shè)備運(yùn)行狀態(tài)記錄：附截圖，安全日志分析：安全日志、訪問日志；例如尋找異常IP、攻擊、訪問等。單次XXX120xx/xx/xx20xx/xx/xx《SFSS-SO-R0102日常安全巡檢記錄》提供相應(yīng)資源及訪問權(quán)限月度安全巡檢數(shù)據(jù)分析總結(jié)月次3《SFSS-SO-R0103安全巡檢月報(bào)》5應(yīng)急響應(yīng)按照安全事件類型進(jìn)行處置，形成安全事件處置報(bào)告按需XXX2按需20xx/xx/xx《SFSS-SO-R0104應(yīng)急響應(yīng)信息收集模板》《SFSS-SO-R0105應(yīng)急響應(yīng)報(bào)告模板》提供相應(yīng)資源及訪問權(quán)限6階段報(bào)告月度安全運(yùn)維數(shù)據(jù)分析總結(jié)月次XXX320xx/xx/xx20xx/xx/xx《SFSS-SO-R0108安全運(yùn)維月報(bào)》7季度安全運(yùn)維數(shù)據(jù)分析總結(jié)季次XXX420xx/xx/xx20xx/xx/xx《SFSS-SO-R0109安全運(yùn)維季報(bào)》8最終匯報(bào)整個(gè)安全運(yùn)維服務(wù)周期內(nèi)安全運(yùn)維數(shù)據(jù)分析匯報(bào)1次XXX0.520xx/xx/xx20xx/xx/xx《SFSS-SO-R0110安全運(yùn)維服務(wù)最終匯報(bào)》全體人員安排9項(xiàng)目驗(yàn)收整體項(xiàng)目驗(yàn)收1次XXX120xx/xx/xx20xx/xx/xx《SFSS-SO-R0111安全運(yùn)維服務(wù)驗(yàn)收?qǐng)?bào)告》全體人員安排服務(wù)內(nèi)容信息資產(chǎn)維護(hù)信息資產(chǎn)維護(hù)是實(shí)現(xiàn)信息系統(tǒng)安全運(yùn)行和維護(hù)管理的基礎(chǔ)之一，信息資產(chǎn)是具有價(jià)值的資源，是安全防護(hù)的客觀對(duì)象，只有明確具體的資產(chǎn)信息才能開展相應(yīng)的安全運(yùn)維工作，因此信息資產(chǎn)維護(hù)是網(wǎng)絡(luò)與信息安全工作的起點(diǎn)。信息資產(chǎn)維護(hù)服務(wù)根據(jù)信息資產(chǎn)的表現(xiàn)形式，在進(jìn)行維護(hù)時(shí)可根據(jù)不同的資產(chǎn)分類使用不同的信息資產(chǎn)維護(hù)策略。依據(jù)資產(chǎn)的使用特點(diǎn)及部署方式，可將資產(chǎn)分為數(shù)據(jù)、服務(wù)、信息系統(tǒng)、平臺(tái)或支撐系統(tǒng)、基礎(chǔ)設(shè)施、人員等。信息資產(chǎn)維護(hù)服務(wù)的頻率至少1次/月，定期對(duì)新增或下線的資產(chǎn)進(jìn)行更新維護(hù)。駐場(chǎng)運(yùn)維團(tuán)隊(duì)通過查閱用戶資產(chǎn)臺(tái)賬、與各信息資產(chǎn)負(fù)責(zé)人進(jìn)行訪談溝通、使用TSS工具進(jìn)行掃描的方式，確認(rèn)是否有遺漏的資產(chǎn)、影子資產(chǎn)或者常年不使用但沒有下線的信息資產(chǎn)，通過全面的資產(chǎn)梳理形成字段信息豐富、直觀的資產(chǎn)清單，同時(shí)在設(shè)備上線、版本升級(jí)、設(shè)備下線等重要時(shí)間節(jié)點(diǎn)對(duì)資產(chǎn)清單進(jìn)行主動(dòng)更新和盤點(diǎn)，形成與實(shí)際情況完全一致的資產(chǎn)清單，為其他安全工作的有序開展打下扎實(shí)基礎(chǔ)。信息資產(chǎn)梳理的范圍包括但不限于：部署在內(nèi)網(wǎng)的資產(chǎn)業(yè)務(wù)系統(tǒng)：系統(tǒng)名稱、IP地址、系統(tǒng)描述、開放端口、開放服務(wù)、是否為核心資產(chǎn)、域名、服務(wù)器操作系統(tǒng)類型、Web系統(tǒng)特征（數(shù)據(jù)庫(kù)類型及版本、中間件類型及版本、使用的腳本語(yǔ)言）、物理位置、所屬部門、責(zé)任人及聯(lián)系方式、系統(tǒng)廠商及聯(lián)系方式；安全設(shè)備：設(shè)備名稱、IP地址、功能用途、開放端口、開放服務(wù)、部署位置、物理位置、所屬部門、責(zé)任人及聯(lián)系方式、設(shè)備廠商及聯(lián)系方式；網(wǎng)絡(luò)設(shè)備：設(shè)備名稱、IP地址、軟件版本號(hào)、開放端口、開放服務(wù)、部署位置、物理位置、所屬部門、責(zé)任人及聯(lián)系方式、設(shè)備廠商及聯(lián)系方式；主機(jī)產(chǎn)品（服務(wù)器集群、虛擬化集群）：軟件名稱、軟件版本、主機(jī)IP、開放端口、開放服務(wù)、物理位置、所屬部門、責(zé)任人及聯(lián)系方式、產(chǎn)品廠商及聯(lián)系方式。部署在互聯(lián)網(wǎng)的資產(chǎn)公有云系統(tǒng)：系統(tǒng)名稱、系統(tǒng)描述、域名、開放端口、開放服務(wù)、服務(wù)器操作系統(tǒng)類型、是否購(gòu)買云防護(hù)、Web系統(tǒng)特征（數(shù)據(jù)庫(kù)類型及版本、中間件類型及版本、使用的腳本語(yǔ)言）、責(zé)任人及聯(lián)系方式、所屬部門、責(zé)任人及聯(lián)系方式、系統(tǒng)廠商及聯(lián)系方式；微信公眾號(hào)：公眾號(hào)名稱、公眾號(hào)描述、開放端口、開放服務(wù)、服務(wù)器操作系統(tǒng)類型、是否有鏈接至本地服務(wù)器功能、負(fù)責(zé)人及聯(lián)系方式、所屬部門、責(zé)任人及聯(lián)系方式、系統(tǒng)廠商及聯(lián)系方式；微信小程序：小程序名稱、小程序描述、開放端口、開放服務(wù)、服務(wù)器操作系統(tǒng)類型、是否有鏈接至本地服務(wù)器功能、負(fù)責(zé)人及聯(lián)系方式、所屬部門、責(zé)任人及聯(lián)系方式、系統(tǒng)廠商及聯(lián)系方式。數(shù)據(jù)及文檔網(wǎng)絡(luò)拓?fù)鋱D、機(jī)柜立面圖；網(wǎng)絡(luò)鏈路：名稱、帶寬、數(shù)量、運(yùn)營(yíng)商、IP 地址、接入設(shè)備、用途、到期時(shí)間；IP地址規(guī)劃表：區(qū)域、網(wǎng)段、用途等。人員資產(chǎn)信息中心組織架構(gòu)；系統(tǒng)、網(wǎng)絡(luò)、安全管理員具體職能劃分、人員聯(lián)系方式。安全巡檢安全巡檢是指使用多種手段，對(duì)防火墻、IPS、WAF、網(wǎng)頁(yè)防篡改系統(tǒng)等安全設(shè)備的運(yùn)行狀態(tài)進(jìn)行監(jiān)控，對(duì)安全策略和安全日志進(jìn)行檢查，記錄重點(diǎn)安全問題，有針對(duì)性地提出通告及解決建議，使用戶能夠提早預(yù)防，最大限度降低安全風(fēng)險(xiǎn)。安全巡檢服務(wù)的頻率：每天對(duì)設(shè)備運(yùn)行狀態(tài)和安全日志進(jìn)行記錄，每月對(duì)安全巡檢數(shù)據(jù)進(jìn)行分析和總結(jié)。定期進(jìn)行安全設(shè)備的日常運(yùn)行狀態(tài)的監(jiān)控，對(duì)各種安全設(shè)備的日志檢查，對(duì)重點(diǎn)事件進(jìn)行記錄，對(duì)安全事件的產(chǎn)生原因進(jìn)行判斷和解決，及時(shí)發(fā)現(xiàn)問題，防患于未然。安全巡檢的具體工作包括但不限于：日常巡檢定期查看設(shè)備（包含但不限于：防火墻、AC、數(shù)據(jù)庫(kù)審計(jì)、IDS、IPS、WAF、防病毒、VPN、堡壘機(jī)、態(tài)勢(shì)感知）的運(yùn)行狀況、分析設(shè)備運(yùn)行日志，發(fā)現(xiàn)網(wǎng)絡(luò)中潛在的安全威脅并及時(shí)進(jìn)行處理，輸出巡檢結(jié)果及維護(hù)記錄。巡檢的內(nèi)容包括但不限于：檢查并記錄軟硬件設(shè)備自身的安全性，制定安全配置加固策略（口令策略、限制不必要端口和服務(wù)、合理賬號(hào)權(quán)限分配、加密傳輸方式、設(shè)備冗余情況等）對(duì)設(shè)備進(jìn)行安全加固；檢查并記錄軟硬件設(shè)備的配置、系統(tǒng)版本、License、硬件模塊數(shù)量、CPU、內(nèi)存和硬盤使用情況等是否滿足實(shí)際應(yīng)用的要求；檢查并記錄軟硬件設(shè)備訪問控制策略、安全事件告警信息、病毒/漏洞特征識(shí)別規(guī)則庫(kù)升級(jí)策略和查殺策略；檢查在網(wǎng)絡(luò)邊界處是否有對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)的相關(guān)措施。設(shè)備優(yōu)化根據(jù)業(yè)務(wù)及安全需求，調(diào)整設(shè)備部署，定期對(duì)設(shè)備安全策略進(jìn)行梳理、歸并和調(diào)優(yōu)。針對(duì)網(wǎng)關(guān)設(shè)備，根據(jù)網(wǎng)絡(luò)安全區(qū)域的劃分優(yōu)化訪問控制策略，防護(hù)DDOS分布式拒絕服務(wù)攻擊、惡意IP攻擊、telnet攻擊、SSH攻擊和暴力破解攻擊；針對(duì)網(wǎng)絡(luò)安全設(shè)備進(jìn)行安全策略的優(yōu)化，如高峰時(shí)段PSP線路單用戶流速上限策略，禁止代理策略等；開啟設(shè)備日志功能，配置日志服務(wù)器并對(duì)核心設(shè)備的日志進(jìn)行收集、分析和回溯；調(diào)整各類冗余策略、隱藏策略、過期策略、可合并策略、空策略等，根據(jù)分析結(jié)果再對(duì)策略進(jìn)行精簡(jiǎn)和優(yōu)化，保證訪問控制規(guī)則最小化。設(shè)備升級(jí)在設(shè)備系統(tǒng)軟件或特征庫(kù)新版本發(fā)布后，協(xié)助用戶完成設(shè)備系統(tǒng)的升級(jí)，實(shí)現(xiàn)對(duì)新的安全威脅進(jìn)行檢測(cè)。按照安全補(bǔ)丁更新流程在設(shè)備升級(jí)前，應(yīng)對(duì)系統(tǒng)配置進(jìn)行備份，同時(shí)避開業(yè)務(wù)高峰時(shí)段進(jìn)行實(shí)施。判斷與分析補(bǔ)丁對(duì)于業(yè)務(wù)環(huán)境與業(yè)務(wù)的風(fēng)險(xiǎn)和影響，確認(rèn)安全補(bǔ)丁安裝的評(píng)估步驟，對(duì)補(bǔ)丁進(jìn)行測(cè)試、記錄測(cè)試結(jié)果，配置補(bǔ)丁部署策略并在系統(tǒng)環(huán)境中實(shí)施，保證設(shè)備升級(jí)有效性、穩(wěn)定性和安全性。設(shè)備升級(jí)回滾，若補(bǔ)丁實(shí)施不成功，則需要進(jìn)行補(bǔ)丁回退。配置備份為防止在設(shè)備在配置策略或升級(jí)補(bǔ)丁過程中出現(xiàn)系統(tǒng)異常的情況，均應(yīng)在配置之前進(jìn)行一次完整的系統(tǒng)備份，以便在系統(tǒng)發(fā)生故障后能夠迅速恢復(fù)正常；另外在日常巡檢過程中，也需定期對(duì)安全設(shè)備配置進(jìn)行備份。故障處置對(duì)信息安全產(chǎn)品發(fā)生的故障進(jìn)行處置，輸出設(shè)備故障處理報(bào)告。事件監(jiān)測(cè)預(yù)警駐場(chǎng)運(yùn)維團(tuán)隊(duì)利用流量監(jiān)測(cè)、報(bào)文監(jiān)測(cè)等方式，對(duì)DNS解析異常、流量威脅、異常行為、終端威脅、APT攻擊、數(shù)據(jù)威脅等安全事件進(jìn)行安全監(jiān)測(cè)與研判分析，初步判斷設(shè)備是否存在誤報(bào)情況，強(qiáng)化主動(dòng)防控，加強(qiáng)監(jiān)測(cè)預(yù)警、研判分析、通報(bào)處置、應(yīng)急響應(yīng)，保障重要信息系統(tǒng)安全穩(wěn)定運(yùn)行。應(yīng)急響應(yīng)應(yīng)急響應(yīng)是駐場(chǎng)運(yùn)維服務(wù)體系的一個(gè)重要組成部分，是指為了應(yīng)對(duì)突發(fā)及重大信息安全事件的發(fā)生所做的準(zhǔn)備以及在事件發(fā)生所采取的措施。駐場(chǎng)運(yùn)維團(tuán)隊(duì)將協(xié)助系統(tǒng)運(yùn)維人員共同構(gòu)建安全響應(yīng)機(jī)制，盡可能減少和控制安全事件帶來的損失。駐場(chǎng)運(yùn)維團(tuán)隊(duì)對(duì)用戶業(yè)務(wù)環(huán)境中的安全事件進(jìn)行響應(yīng)，對(duì)用戶的主機(jī)安全數(shù)據(jù)進(jìn)行分析、全方位監(jiān)測(cè)發(fā)現(xiàn)的威脅和異常進(jìn)行快速響應(yīng)和處置，并針對(duì)安全事件進(jìn)行深入地溯源和取證；同時(shí)輸出應(yīng)急響應(yīng)報(bào)告，幫助用戶正確應(yīng)對(duì)攻擊入侵事件，降低安全事件帶來的損失。Web安全事件WEB安全事件是指B/S類信息系統(tǒng)或網(wǎng)站遭受惡意入侵，利用網(wǎng)站進(jìn)行反動(dòng)信息、賭博、黃色等信息發(fā)布，傳播危害國(guó)家安全、社會(huì)穩(wěn)定和公共利益的內(nèi)容的安全事件。WEB安全事件包括以下5個(gè)子類，詳細(xì)如下：篡改：網(wǎng)站首頁(yè)被惡意篡改，發(fā)表不當(dāng)言論；暗鏈：網(wǎng)站被植入博彩、色情、游戲等廣告內(nèi)容；掛馬：頁(yè)面被植入木馬內(nèi)容，導(dǎo)致訪問者中毒；Webshell：黑客通過Webshell控制主機(jī)；非法言論：網(wǎng)站發(fā)布非法言論，惡意組織串連、煽動(dòng)集會(huì)等。惡意程序事件惡意程序事件是指蓄意制造、傳播惡意程序，或是因受到惡意程序的影響而導(dǎo)致的信息安全事件。惡意程序是指帶有攻擊意圖的插入到信息系統(tǒng)中的一段程序，惡意程序危害系統(tǒng)中數(shù)據(jù)、應(yīng)用程序或操作系統(tǒng)的保密性、完整性或可用性，或影響信息系統(tǒng)的正常運(yùn)行。惡意程序主要包括以下：病毒事件：造成系統(tǒng)緩慢、數(shù)據(jù)損壞、運(yùn)行異常等；木馬事件：主機(jī)或服務(wù)器被遠(yuǎn)程控制；蠕蟲事件：利用漏洞進(jìn)行傳播，造成大面積被感染；僵尸網(wǎng)絡(luò)事件：主機(jī)服務(wù)器被控制對(duì)外攻擊，如DDOS、掃描等；勒索病毒事件：數(shù)據(jù)被加密，造成業(yè)務(wù)或數(shù)據(jù)無法正常使用；挖礦病毒事件：使用CPU或GPU進(jìn)行挖礦，造成服務(wù)器或主機(jī)性能下降。網(wǎng)絡(luò)攻擊事件網(wǎng)絡(luò)攻擊是指通過網(wǎng)絡(luò)或其他技術(shù)手段，利用信息系統(tǒng)的配置缺陷、協(xié)議缺陷、程序缺陷或使用暴力攻擊對(duì)信息系統(tǒng)實(shí)施攻擊，并造成信息系統(tǒng)異常或?qū)π畔⑾到y(tǒng)當(dāng)前運(yùn)行造成潛在危害的信息安全事件。網(wǎng)絡(luò)攻擊多以流量型攻擊為主。網(wǎng)絡(luò)流量攻擊包括頻繁發(fā)包、批量請(qǐng)求、DDOS攻擊、漏洞攻擊事件、暴力破解、網(wǎng)絡(luò)掃描竊聽事件、網(wǎng)絡(luò)釣魚事件、干擾事件和其他網(wǎng)絡(luò)流量攻擊。信息破壞事件信息破壞事件是指通過網(wǎng)絡(luò)或其他技術(shù)手段，造成信息系統(tǒng)中的信息被篡改、假冒、泄漏、竊取等而導(dǎo)致的信息安全事件。信息破壞事件主要包括以下內(nèi)容：系統(tǒng)配置遭篡改：系統(tǒng)中出現(xiàn)異常的服務(wù)、進(jìn)程、啟動(dòng)項(xiàng)、賬號(hào)等；數(shù)據(jù)庫(kù)內(nèi)容篡改：業(yè)務(wù)數(shù)據(jù)遭到惡意篡改，引起業(yè)務(wù)異常和損失；網(wǎng)站內(nèi)容篡改事件：網(wǎng)站頁(yè)面內(nèi)容被黑客惡意篡改；信息數(shù)據(jù)泄露事件：服務(wù)器數(shù)據(jù)、會(huì)員賬號(hào)遭到竊取并泄露。服務(wù)團(tuán)隊(duì)序號(hào)角色名稱職責(zé)分工對(duì)應(yīng)人員1T1駐場(chǎng)運(yùn)維工程師1、負(fù)責(zé)現(xiàn)場(chǎng)協(xié)助處置常見安全問題，確認(rèn)問題現(xiàn)象及時(shí)間、范圍等基礎(chǔ)信息，并判斷是否需要處置、是否可以自行處理、是否需要遠(yuǎn)程支持、是否要求上門處理；2、威脅預(yù)警通告；3、問題無法處置、分析，上升至T2進(jìn)行處置，如確認(rèn)遠(yuǎn)程處理，配合云端遠(yuǎn)程處理安全問題。XXX2項(xiàng)目經(jīng)理1、開始啟動(dòng)項(xiàng)目；2、明確服務(wù)邊界，服務(wù)規(guī)范、內(nèi)容和需求；3、準(zhǔn)備項(xiàng)目啟動(dòng)會(huì)相關(guān)材料；4、發(fā)起內(nèi)部啟動(dòng)會(huì)并做人員安排；5、服務(wù)講解、工具介紹；6、服務(wù)交付物質(zhì)量審核；7、服務(wù)匯報(bào)及項(xiàng)目驗(yàn)收等組織事宜。XXX3T2安全服務(wù)工程師1、負(fù)責(zé)受理T1問題上升來的威脅處置問題，并輸出相關(guān)處理報(bào)告；2、問題無法處置、分析，上升至T3進(jìn)行處置。XXX4T3專家1、負(fù)責(zé)受理T2無法解決的問題并輸出相關(guān)解決方案。XXX服務(wù)交付物駐場(chǎng)運(yùn)維項(xiàng)目，一般包含如下材料：《信息化資產(chǎn)信息表》《業(yè)務(wù)系統(tǒng)流程梳理表》按需《網(wǎng)絡(luò)拓?fù)鋱D》《網(wǎng)絡(luò)和安全設(shè)備巡檢報(bào)告》《駐場(chǎng)安全運(yùn)維服務(wù)日/周報(bào)》按需《駐場(chǎng)安全運(yùn)維服務(wù)月度總結(jié)》按需《駐場(chǎng)安全運(yùn)維服務(wù)半年度總結(jié)》按需《駐場(chǎng)安全運(yùn)維服務(wù)年度總結(jié)》按需服務(wù)實(shí)施工具駐場(chǎng)運(yùn)維服務(wù)工具包括如下：服務(wù)工具表序號(hào)服務(wù)工具類別工具名稱用途1資產(chǎn)發(fā)現(xiàn)工具TSS工具TSS工具是XXX自研系統(tǒng)，支持ARP、TCP、ICMP混合方式探測(cè)，支持選擇常用端口、全局端口、自定義端口選項(xiàng)等。2NetworkMapper通過發(fā)送特定的網(wǎng)絡(luò)數(shù)據(jù)包，檢測(cè)目標(biāo)主機(jī)是否在線，偵測(cè)運(yùn)行的服務(wù)類型、端口、協(xié)議、組件版本信息、操作系統(tǒng)與設(shè)備類型。3Massscan一款專業(yè)的端口掃描工具，掃描速度快，采用了無狀態(tài)的掃描技術(shù)，允許自定義任意的地址范圍、端口范圍，設(shè)置掃描速率。4應(yīng)急響應(yīng)之進(jìn)程分析工具ProcessHacker一款專業(yè)的安全分析工具，能夠檢測(cè)惡意進(jìn)程，解決軟件或進(jìn)程在特定操作系統(tǒng)環(huán)境下遇到的問題。5ProcessMonitor一款系統(tǒng)進(jìn)程監(jiān)視軟件，對(duì)系統(tǒng)中的任何文件和注冊(cè)表操作同時(shí)進(jìn)行監(jiān)視和記錄，通過注冊(cè)表和文件讀寫的變化，對(duì)于幫助診斷系統(tǒng)故障或是發(fā)現(xiàn)惡意軟件、病毒或木馬6PCHunter一款強(qiáng)大的Windows系統(tǒng)信息查看軟件，可以查看內(nèi)核文件、驅(qū)動(dòng)模塊、隱藏進(jìn)程、注冊(cè)表等等信息，也是手工殺毒輔助軟件。7應(yīng)急響應(yīng)之流量分析工具XXX安全感知平臺(tái)一個(gè)檢測(cè)、預(yù)警、響應(yīng)處置的大數(shù)據(jù)安全分析平臺(tái)。以全流量分析為核心，結(jié)合威脅情報(bào)、行為分析建模、失陷主機(jī)檢測(cè)、大數(shù)據(jù)關(guān)聯(lián)分析等技術(shù)，對(duì)全網(wǎng)流量實(shí)現(xiàn)全網(wǎng)業(yè)務(wù)可視化、威脅可視化、攻擊與可疑流量可視化等8Wireshark一款網(wǎng)絡(luò)封包分析工具，可以幫助用戶深入分析網(wǎng)絡(luò)協(xié)議，涵蓋上百種協(xié)議以及各類主要平臺(tái)。9應(yīng)急響應(yīng)之啟動(dòng)項(xiàng)檢查工具Autoruns一個(gè)基于Windows平臺(tái)的自動(dòng)運(yùn)行程序的管理工具?？梢钥刂频卿洉r(shí)的加載程序、驅(qū)動(dòng)程序加載、服務(wù)啟動(dòng)、任務(wù)計(jì)劃等10應(yīng)急響應(yīng)之病毒查殺工具EDR一款支持防病毒功能、入侵防御功能、防火墻隔離功能、數(shù)據(jù)信息采集上報(bào)、安全事件的一鍵處置等的安全平臺(tái)。11應(yīng)急響應(yīng)之日志分析工具XXX安全感知平臺(tái)一個(gè)檢測(cè)、預(yù)警、響應(yīng)處置的大數(shù)據(jù)安全分析平臺(tái)。以全流量分析為核心，結(jié)合威脅情報(bào)、行為分析建模、失陷主機(jī)檢測(cè)、大數(shù)據(jù)關(guān)聯(lián)分析等技術(shù)，對(duì)全網(wǎng)流量實(shí)現(xiàn)全網(wǎng)業(yè)務(wù)可視化、威脅可視化、攻擊與可疑流量可視化等12Web日志安全