| 序号 |
服务名称 |
服务内容 |
数量 |
单位 |
| 1 |
安全人员要求 |
1.现场驻场工程师两人,需要有2年以上安全从业经验,具有渗透测试能力,提供CISP-PTE资质认证。
2.项目实施时程中提供1 名项目经理,负责项目内外部沟通和管理工作,参与每周安全周会汇报,对关键问题作出决策,统筹项目整体开展进度,本项目项目经理至少具有5 年服务经验,要求有软考高级项目管理证书、CISP、PMP证书,具备项目管理能力,至少提供真实有效的**计算机软考高级信息系统项目管理师资质证书。
3.整个项目支撑团队不得少于6人。 |
/ |
/ |
| 2 |
安全运营服务要求 |
一、服务概述
综合运用丰富的技术经验及威胁情报知识库,借助安全感知平台等强大的设备对接能力及安全检测能力对安全日志、流量进行分析研判并对发现的威胁进行定位,并对分析发现的安全问题制**全运营相关台账,做好安全问题通告和处置管理工作;根据医院现有的的网络安全制度,结合法律法规及监管单位的要求,以及网络安全发展态势进行制度修订;结合威胁情报、专家指导意见、风险评估、内部安全检查、基线检查、安全运营平台监测等安全加固线索和加固处置服务。 |
/ |
全年 |
| 二、服务内容
1.威胁分析和通告
通过用户现场的安全设备****医院资产进行脆弱性分析、威胁分析和安全事件处置。
2.深度威胁分析和研判
对漏洞利用攻击事件、Webshell上传事件、Web系统目录遍历攻击、SQL注入攻击、系统命令注入攻击、信息泄露攻击深度、口令暴力破解、Web明文传输、弱密码、勒索病毒事件、挖矿病毒事件、蠕虫病毒事件、僵尸网络攻击事件、SMB扫描事件、RDP暴破 SMB暴破事件等安全事件进行深度分析研判和处置。
3.威胁主动响应
对内网脆弱性、入侵行为、潜伏威胁等安全问题进行主动响应,在授权情况对相关设备策略调整、系统升级、系统备份等工作;对终端病毒进行处置。
4.资产服务:(1)结合专业安全人员,利用资产发现工具,全面梳理xx信息化基础设施已知资产、发现未知资产,资产信息包括服务器、应用,网络设备、安全设备等,同时,结合业务特点,对资产的重要性等情况进行梳理,形成资产清单,全面、精准解决资产边界盲区问题,为持续的信息化建设提供参考依据。提供《xx资产梳理清单》,完成资产端口点对点策略配置工作;(2)API资产梳理:根据业务系统梳理出所对应的API接口,形成对应的API资产清单,通过API安全设备 (如有) 定期进行安全监测。
5.结合威胁情报、专家指导意见、风险评估、内部安全检查、基线检查、安全运营平台监测等安全加固线索,综合评判;
6:推进安全加固服务:估威胁影响级别、威胁影响范围等维度,制**全加固方案,实施安全加固,检查安全加固结果,持续提供合理的安全加固方案,安全加固方案对象包括但不限于主机系统、数据库、WEB 应用系统、微信小程序、移动APP等。 输出《xx安全加固报告》
7. 制度修订服务:每年根据国家法律法规政策、上级监管单位及网络安全发展要求,每年修订一次xx的网络安全制度。输出《xx网络安全制度》修订版
8.互联网暴露面排查:****医院互联网侧的资产进行暴露面排查,排查要求:落实****gz5055.com域名及子域名包括的所有资产、小程序。排查以****备案号或有“****”关键字的所有系统。根据排查结果进行核查,落实是否存在安全风险,并出具排查报告。
9.排查医院的网络准入情况、U盘开通以及杀毒软件安装情况,实时对安全设备进行监测,动态发现系统运行的安全情况。
10、排查医院公共区域的大屏使用情况,定期进行安全排查,****医院无关的信息或其他更重要的安全事故。
11、院方安排的其他信息安全相关工作。 |
| 三、服务交付物
《安全问题管理台账》:对所有安全设备上出现的安全时间进行处置和闭环,形**全事件处置台账
《安全运营服务周报》《安全运营服务分析月报》《安全运营服务分析季报》《安全运营服务年度总结报告》:
《安全事件处置报告-日报》
《xx网络安全制度》修订版《xx资产梳理清单》《xx安全加固报告》《API资产清单》《互联网暴露面排查报告》 |
| 3 |
渗透测试服务 |
一、服务概述
在获得授权的情况下对指定的业务系统进行深层次的漏洞挖掘和利用,模拟黑客展开渗透测试攻击,获取到该业务系统的服务器权限以及最具价值的信息和资产。
二、服务内容
1.前期交互阶段
与用户进行沟通、确定渗透测试的时间、范围、深度、测试方式(黑盒 OR 白盒、现场OR 远程)等问题,并拿到用户签署的渗透测试授权函;
2.情报搜集阶段
服务团队在拿到用户授权后开始情报搜集工作,搜集阶段是对目标用户的系统进行一系列踩点工作,包括:基础资产收集、互联网信息泄露搜集、指纹识别、业务系统功能收集、接口信息收集等;
3.威胁建模阶段
在搜集到充分的情报信息之后,服务工程师对获取的信息进行威胁建模与攻击规划。从大量的信息情报中理清思路,确定出最可行的攻击通道;
4.漏洞分析阶段
针对威胁建模阶段总结的测试方法进行逐一验证,通过测试总结出可行的测试方法,排除不可行的测试方法;
5.渗透攻击阶段
对用户的业务系统进行攻击性测试;
6.报告输出阶段
渗透测试工作全部完成后输出报告,报告中阐明客户系统中存在的安全隐患以及专业的漏洞风险处置建议;
7.汇报阶段
向用户汇报本次渗透测试的成果,并现场对用户提出的疑问进行现场答疑;
8.漏洞复测阶段
当用户业务系统的漏洞修补完成后可申请一次免费的漏洞复测服务,用于验证业务系统的漏洞修补情况,并向用户提交复测报告。
9.推进漏洞整改工作。
三、服务交付物
《渗透测试报告》、《渗透测试复测报告》
四、其他要求
****医院项目实施进展,在院方提出渗透测试需求后,两个工作日内出具渗透测试初测报告(盖章)。 |
按需 |
全年 |
| 4 |
网络安全风险评估 |
一、服务概述
通过运用丰富的技术经验和专用工具对组织信息资产面临的威胁、存在的脆弱性、现有防护措施及综**用而带来风险的发生可能性进行评估,最终提供完整的风险评估报告及修复建议。
二、服务内容
1.资产识别
使用专用工具对包括:业务系统、服务器、安全设备、网络设备等进行自动化扫描发现、识别、评估,可覆盖所有的资产,根据业务对资产的实际依赖程度区分重要资产,脆弱性识别、威胁识别、风险分析等后期工作将针对重要资产进行识别;
2.脆弱性评估
漏洞扫描:使用专用工具的漏洞扫描功能,快速从内网和外网两个角度来查找网络结构、网络设备、服务器主机、数据和用户账号/口令等安全对象目标存在的安全漏洞,并给出关于安全隐患的详细信息;
基线配置核查:使用专用工具的基线配置核查功能识别信息系统的安全配置情况;
3.威胁评估
分析用户信息系统存在的威胁种类,确定威胁分类的标准;综合威胁来源、种类和其他因素后得出威胁列表;针对每项需要保护的信息资产,尽可能全面的发现资产所面临的威胁;
4.防护能力评估
识别已有的安全控制措施,分析安全措施的有效性,确定威胁利用弱点的实际可能性,指出当前安全措施的不足;
5.风险分析
综合考虑资产本身的价值、威胁发生几率、脆弱性的破坏力、现有防护能力等因素分析资产可能存在的安全风险,结合风险对业务战略的影响程度区别明确风险处置计划;
6.风险评估报告
根据资产识别、脆弱性评估、威胁评估、防护能力评估的输出结果进行风险分析之后,输出风险评估报告,风险评估报告中为用户提供符合业务需求的安全整改建议。
7.风险整改验证
在用户根据风险评估报告完成对应风险项整改后,可以免费申请一次整改项结果验证。
三、服务交付物
1.风险评估方案2.资产识别清单3.脆弱性列表4.已有安全措施确认表5.风险评估报告 |
1 |
次 |
| 5 |
脆弱性扫描 |
一、服务概述
使用扫描工具对业务系统进行扫描,准确识别出注入缺陷、跨站脚本攻击、非法链接跳转、信息泄露、异常处理等安全漏洞,全面检测并发现业务应用安全隐患。
二、服务内容
1.准备阶段
对目标用户的服务范围内资产进行搜集,获取域名、IP、网络拓扑等相关信息,作为后续的扫描资产范围;
签署漏洞扫描委托授权函,获得用户的授权,约定漏洞扫描的时间和漏洞扫描工具;确认漏洞扫描设备接入点;与用户协商进行相关目标资产文件与数据的备份;
2.扫描实施阶段
实施扫描阶段开始现场检查网络连通性情况,根据情况分配合理 IP,确保扫描工具能探测到扫描范围内的所有主机,且无防火墙等安全设备进行阻拦,之后开展漏洞扫描;
扫描过程中,如果目标系统出现无响应、中断等情况,扫描人员会立即中止漏洞扫描,并配合客户进行问题排查,在确认问题以及完成系统修复之后,根据分析结果调整扫描方式,经客户再次授权同意的前提下才会继续进行其余的扫描;并对发现的安全漏洞,提供切合实际安全解决方案,协助漏洞修复。
三、服务交付物
《资产漏评估报告》、《资产漏洞整改通知》以及《资产漏洞复测报告》,涉及系统弱口令方面时另须提供《系统弱口令核查报告》。 |
/ |
全年 |
| 6 |
安全设备巡检服务 |
一、服务概述
提供安全巡检服务,每月一次例行安全设备巡检,巡检内容为分为硬件状态检查、安全性检查和稳定性检查,定期对策略优化,制定策略优化报告。
二、服务内容
1、硬件状态检查包含:设备电源指示灯,网口指示灯,设备ALARM灯,CPU,内存等使用情况;
2、安全性检查包含:配置备份,规则库更新,软件升级,预警补丁更新情况;
3、稳定性检查包含:设备流量负载情况分析,系统运行日志分析,及时发现潜在风险。
三、服务交付物
《安全设备巡检报告》《策略优化报告》
四、其他要求
驻场工程师每日对安全设备、网络设备运行情况进行巡检。 |
/ |
全年 |
| 7 |
应急演练服务 |
一、服务概述
据相关国家标准或国际标准,提供对应的应急演练场景专项应急预案模板,以指导应急响应团队应对与处置安全事件;
制定应急演练方案及脚本并协助开展应急演练,模拟安全事件发生及处置的全过程,提高应对安全事件的处置能力,预防和减少安全事件造成的危害和损失。
二、服务内容
(一)安全事件应急演练:通过模拟各种突发事件场景进行,应急演练场景可分为:有害程序事件演练、网络攻击事件演练、信息破坏事件演练、设备设施故障演练;
有害程序事件:内网传播型病毒应急演练、勒索病毒应急演练、挖矿病毒应急演练等;
网络攻击事件:漏洞攻击应急演练、后门攻击应急演练等;
信息破坏事件:网站篡改应急演练、网页挂马应急演练等;
设备设施故障事件:网络设备、安全设备故障应急演练、服务器故障应急演练等;
(二)拟定应急演练方案,配合开展全院信息系统故障应急演练。
三、服务交付物
《应急演练方案》、《应急演练总结报告》、《专项应急预案模板》 |
3 |
次 |
| 8 |
应急响应服务 |
一、服务概述
提供安全事件应急响应服务,一旦客户发生网络安全事件,驻场人员需立即响应,若发生重**全事件则需安服技术团队人员立即远程响应,并提供技术支撑;项目经理1小时内现场响应处置,防止网络瘫痪、系统中断等。
二、服务内容
1、应针对突发的安全事件,及时进行风险评估和处置;
2、安全事件响应处理过程中,应按流程进行汇报,分析和处置。
三、服务交付物
《应急响应总结报告》《应急响应事件记录单》《安全事件分析》 |
/ |
全年 |
| 9 |
重大节日网络安全保障服务 |
一、服务概述
提供重要时期安全值守保障服务,安排指定的安全专家在重要保障时期提供7*24小时现场驻场保障服务,确保重要时期客户业务的安全稳定运行。
二、服务内容
1、在重大会议、节假日等特殊时期内,指派安全攻防经验丰富的安全专家,对客户目标系统进行远程安全值守和保障,对业务系统的安全状况进行安全监控和日志分析。
2、在重大节日期间,当目标遭受黑客入侵攻击时,值守人员应立即对入侵事件进行分析、检测、抑制、处理,查找入侵来源并恢复系统正常运行,完成后给出应急响应报告,报告中将还原入侵过程,同时给出对应的解决建议。
三、服务交付物
《重大节日保障方案》
《重大节日值守日报》
《重大节日值守总结报告》 |
/ |
全年 |
| 10 |
网络安全培训 |
一、服务概述
网络安全培训旨在提升企业内部员工安全认知,让员工认识到信息安全意识不足对组织可能造成的危害,传导应正确恪守的行为方式;通过全员安全意识的理论培训和案例分析,让信息安全“人防“保障有效支撑业务高效稳定运行。
二、服务内容
1、针对全体员工进行两次网络安全培训服务,提升员工网络安全意识、规范安全用网;
2、针对信息科进行六次网络安全运维培训,提升信息科技术人员网络安全运维能力。
三、服务交付物
提供定制化的安全培训服务,主要包括安全意识培训、安全管理宣贯培训、网络及安全设备安全运维培训、操作系统及数据库安全运维培训、应用系统安全开发与运维培训等。 |
/ |
全年 |
| 11 |
日志审计综合分析服务 |
提供堡垒机、数据库、日志审计设备等日志服务设备的日志审计分析,每日对运维日志进行审计,出具审计分析日报,及时发现可能存在的违规行为和安全隐患,为调整安全管理策略提供依据。 |
/ |
全年 |
| 12 |
医院互联网应用安全托管服务 |
一、服务概述:安全运营服务以保障网络安全“持续有效”为目标,围绕资产、漏洞、威胁、事件四个要素,****中心和安全专家团队有效协同的“人机共智”模式7*24H持续性开展网络安全保障工作,与用户一同构建持续(7*24小时)、主动、闭环的安全运营体系。监测资产数量:65个面向互联网应用的业务系统、1000台主机监测授权。
二、服务内容
1、运营准备阶段
1.1、上线前策略检查:上线前安全专家对安全组件上的安全策略进行统一检查,确保安全组件上的安全策略始终处于最优水平,针对威胁能起到最好的防护效果。
1.2、资产管理
资产收集与录入:安全专家对服务资产进行收集,并将资产信息录入到安全运营平台中进行管理。
资产指纹探测:持续服务过程中安全专家定期对资产进行指纹(操作系统、中间件、软件厂商等信息)探测,并对指纹信息进行确认与更新,****运营中心中资产指纹信息的准确性和全面性。
资产变更管理:持续服务过程中安全专家定期对资产进行存活性探测,当发现未存活资产或资产发生变更时,安全专家对变更信息进行确认与更新,****运营中心中资产信息的准确性和全面性。
1.3、安全现状评估与处置
对服务资产内漏洞问题、策略配置隐患问题进行归纳汇总,针对发现的问题提供修复方案与协助处理。 |
1 |
年 |
| 2、持续有效运营
2.1、脆弱性管理
漏洞扫描与验证:每季度针对服务资产的系统漏洞和Web漏洞进行全量扫描,并针对发现的漏洞进行验证,验证漏洞在已有的安全体系发生的风险及分析发生后可造成的危害。
漏洞修复优先级排序与通告:基于漏洞扫描结果、资产重要性及漏洞的威胁情报,对漏洞进行重要性排序,确定修复的优先级;并将最终结果通告给用户。
漏洞可落地修复方案:对漏洞进行分析并输出可落地的修复方案,通过工单系统跟踪修复情况。
漏洞复测与状态追踪:对修复的漏洞进行复测,及时更新漏洞工单的漏洞修复状态。
弱口令分析与管理:实现信息化资产不同应用弱口令猜解检测,如:SMB、Mssql、Mysql、Oracle、smtp、VNC、ftp、telnet、ssh、mysql、tomcat等。针对不同行业提供行业密码字典,有针对性的进行内网弱口令检测。并将检测发现的问题通过工单系统跟踪修复状态。"
最新漏洞通告与排查:实时抓取互联网最新漏洞与详细资产信息进行匹配,对最新漏洞进行通告与排查。通告信息中包含最新漏洞信息、服务资产受影响情况。
最新漏洞处置指导:一旦确认漏洞影响范围后,安全专家提供专业的处置建议,处置建议包含两部分,修复方案以及临时规避措施。
最新漏洞复测与状态跟踪:由安全专家对该最新漏洞建立工单进行持续跟踪。
2.2、威胁管理
7*24H威胁分析研判:基于云端安全能力平台,云端专家提供7*24小时的威胁监测:依托于安全防护组件、检测响应组件和安全平台,将海量安全数据脱敏,包括漏洞信息、共享威胁情报、异常流量、攻击日志等数据,经由大数据处理平台结合人工智能和云端安全专家使用多种数据分析算法模型进行数据归因关联分析,实时监测网络安全状态,对安全告警和威胁进行分析研判,并生成生成工单;
7*24H威胁通告:安全专家将云端分析确认后的真实威胁、事件实时通过微信、邮件等方式向用户通告,并提供处置建议。
威胁影响面分析:安全专家针对每一个真实的威胁和告警,进行深度分析验证,分析判断受影响范围及是否攻击成功,将深度关联分析的结果通过服务群/邮件等方式告知用户。
威胁协助处置:安全专家针对分析结果提供对应的处置或加固建议(如封锁攻击源、设置安全策略防护等措施),并协助用户闭环
流行威胁通告与排查:结合威胁情报,安全专家排查是否对服务资产造成影响并通知用户,及时协助进行安全加固。
策略检查:每季度安全专家对安全组件上的安全策略进行统一检查,确保安全组件上的安全策略始终处于最优水平,针对威胁能起到最好的防护效果。
策略调优:每季度安全专家根据安全威胁/事件分析的结果以及处置方式,按需对安全组件上的安全策略进行调整工作。 |
| 2.3、事件管理
安全事件调查与分析:安全专家7*24H在线服务,针对主机发生的安全事件开展调查分析和影响面分析,对发生的安全事件进行人工鉴定和举证分析。
安全事件处置:对客户网络内服务资产爆发勒索病毒、挖矿病毒、篡改事件、webshell、僵尸网络等安全事件,利用一些工具和脚本对恶意文件、代码进行根除,帮助客户快速恢复业务,消除或减轻影响。
安全事件跟踪闭环:对发生的安全事件进行分级分类,并通过事件工单跟踪处置的情况,保障安全事件闭环。
重大事件应急响应:通过事件检测分析,提供抑制手段,降低入侵影响,协助快速恢复业务。排查攻击路径、恶意文件、清除。还原攻击路径,分析入侵事件原因,提供安全事件溯源结果。结合现有安全防御体系,指导用户进行安全加固、提供整改建议、防止再次入侵。 |
| 3、运营成果可视安全运营周报:安全专家每周对服务资产进行安全运营情况的分析总结并输出安全运营周报、月报、季度分析报告及半年、年度分析报告。 |
