天津市生态环境监测中心信息系统网络安全与应急保障技术服务项目结果公告

1.1重保时期安全保障服务

重保时期安全保障服务的核心是全天候安全保障值守和人员服务，需要确保在整个项目周期内，能够随时响应各种潜在安全事件。具体内容包括但不限于：

重要时期安全保障前：

1.安全战略制定：分析业务目标、组织结构和技术环境，制定切实可行的网络安全战略，提供明确的重要时期保护方案，确保重要时期信息系统的网络安全。

2.安全架构设计：根据安全战略和业务需求，设计全面的安全防护体系，涵盖安全业务架构、技术架构和应用架构等，确保安全需求得到满足。

3.安全工程规划：在安全架构基础上，规划具体的重要时期保障内容，确定服务内容优先级、分配**、制定实施计划。

重要时期安全保障期间：

1.全天候监控：提供24小时全天候的网络监控与值守服务，确保在发现安全事件时能够立即启动应急响应机制，进行问题定位与解决。

2.专职人员值守：在项目期间，需安排经验丰富的安全专家在线值守，定期巡检并监控网络安全状态，确保能够快速处理各类安全威胁。

3.实时事件处理：在服务期间，针对网络安全事件提供快速应急响应服务，包括安全事件的分析、取证、修复与后期报告的书写。

4.安全态势感知与报告：定期（具体根据甲方要求）提供安全态势报告，评估当前网络环境的安全性，提出改进建议，并及时预警潜在的安全风险。

5.对外服务检查：在服务期间，需派遣安全专家通过专业测试工具对用户互联网端服务进行检查和梳理，并与用户仔细核对所开放的服务是否为必需，使用户了解并明确对互联网开放的服务，协助用户关闭不需要的服务端口，减小业务系统在互联网上的受攻击面。

重要时期安全保障后：

1.总结与提升：根据重要时期安全保障结果，编写相应的总结报告，报告中应涵盖重要时期安全保障期间所做工作并佐以相应的证据。

2.服务汇报：汇报重要时期保障成果，并针对实际保障情况提供后续网络安全工作的建议。

1.2应急响应服务

应急响应的核心是快速高效地应对各种突发安全事件，需要确保在整个事件处理中，能够做到及时响应、及时处置和持续监控。具体内容包括但不限于：

1. 事件识别与分类：

事件监测：通过入侵检测系统、漏洞扫描工具等手段，持续监控网络安全态势。

初步分类：事件发生后，对事件类型进行分类（如：网络攻击、数据泄露、内部威胁等）。

紧急评估：评估事件对业务系统、数据和网络的潜在影响，决定是否启动应急响应流程。

2. 事件分析与处置：

事件隔离与切断：当发现安全事件时，第一时间隔离受影响区域，防止事件扩展。

事件调查与取证：通过日志分析、网络流量监控等手段，进行事件源头追踪与取证，确定攻击方式和来源。

漏洞修复与防护：如果事件是由漏洞引起，快速修复漏洞并加强防护措施（如更新补丁、配置强化等）。

3. 事件恢复：

数据恢复：如果存在数据丢失或损坏，进行备份恢复。

系统恢复：恢复受影响的服务和系统，逐步恢复业务的正常运行。

检查与验证：恢复后的系统需要进行严格检查和验证，确保安全无漏洞。

4. 事件关闭与总结：

关闭事件：确认事件已彻底处理完毕，业务恢复正常后关闭事件处理。

总结报告：编写详细的事件处理报告，包括事件发生的原因、影响评估、处置过程和改进建议。

1.3资产梳理服务

本服务需对我方所有系统及应用进行全面的漏洞扫描，涉及对目标网络全方位的扫描与资产识别。需要使用先进的网络资产探测工具进行24小时实时的资产信息更新，确保通过以下详细步骤对目标网络进行全面摸底：

1.资产扫描与更新：需要对新环境中的所有网络资产（包括服务器、工作站、网络设备、安全设备等）进行深度扫描，详细记录每一台设备的IP地址、开放端口、服务版本、操作系统类型、设备型号、厂商信息等。

2.风险分析：需要对网络暴露的资产进行评估，分析潜在的安全风险，并根据暴露面和资产类型分类管理，提出风险等级划分，确保全方位覆盖如开放端口、服务配置、漏洞修复等。

3.跨设备协同识别：需要结合网络架构设计，综合各类资产与服务交互路径，发现潜在的跨网络段、跨服务类型的漏洞和弱点。

4.动态监控：需要实施连续监控资产的暴露情况，提供每日/每周的安全资产状态报告，确保及时掌握资产变动与潜在威胁。

5.全面资产库建设：需要构建详细的信息系统资产列表，帮助我方了解当前网络中存在的所有硬件设备和软件服务。

1.4漏洞扫描服务

本服务旨在对我方所有系统、网站及应用进行全面的漏洞扫描，需要利用多种高效的工具与技术手段，快速发现潜在漏洞并评估漏洞风险。服务内容需要包括：

1.自动化漏洞扫描：需要使用主流的漏洞扫描工具对网络设备、操作系统、数据库和Web应用等进行远程自动化漏洞扫描，涵盖CVE、OWASP十大漏洞、Web应用安全漏洞、系统和设备的配置漏洞等。

2.漏洞分类与优先级排序：需要对扫描结果进行深度分析，按照漏洞的严重性、影响范围及修复成本等因素进行优先级排序，并给出修复建议和时间表。

3.手动验证漏洞：需要对关键系统和疑似高风险漏洞，执行人工验证和复查，确保准确无误，避免误报或漏报。

4.专门漏洞探测：需要针对高危漏洞（如SQL注入、跨站脚本攻击、文件上传漏洞等），开展深度手动渗透式漏洞验证，确保漏洞暴露面得到完整识别。

5.风险报告与整改建议：需要提供详细的安全漏洞扫描报告，给出针对不同漏洞的详细整改建议，****中心进行信息系统的漏洞修复，包括补丁应用、代码审查、配置优化等。

1.5渗透测试服务

需要对目标网络进行一次全面、深入的渗透测试。模拟HK攻击的方式，采用先进的测试工具和手段，发现安全漏洞，及时向我方通报，并给出相应整改建议，具体主要内容包括：

1.黑盒渗透测试：无需了解系统内部架构，需要完全模拟外部攻击者的入侵行为，测试系统对外界恶意行为的防御能力，包括网络渗透、Web应用渗透、数据库渗透等。

2.白盒渗透测试：在了解系统内部构架的前提下，从网络环境内部，绕过安全设备进行渗透测试，旨在发现系统真实存在的漏洞，包括网络渗透、Web应用渗透、数据库渗透等。

3.全方位渗透测试：需要包括端口扫描、漏洞探测、Web应用扫描、钓鱼攻击模拟、系统权限提升攻击、横向移动攻击等，确保从多个角度对目标系统的安全性进行严格测试。

4.绕过防御机制：需要针对现有的安全防护措施（如下一代防火墙、堡垒机等），测试其防护能力，并尝试绕过这些防御系统，模拟真实的入侵情境。

5.社交工程测试：需要对人员、社交网络等方面进行安全评估，尝试通过社会工程学手段突破防御。

6.渗透测试报告与修复建议：需要详细列出渗透测试中发现的安全漏洞、攻击路径以及成功的攻击手段，并提出具体的漏洞修复建议。

1.6安全加固服务

基于前期资产梳理、漏洞扫描和渗透测试的结果，全面对我方网络环境进行安全加固，在我方允许的前提下，为我方完全、彻底地堵住这些安全缺陷和漏洞，确保网络环境的持续健康运行，服务内容需要包括：

1.操作系统加固与优化：通过系统更新、补丁管理、关闭不必要的服务、配置安全策略等手段，确保操作系统的安全性和稳定性。

2.应用程序加固：针对关键应用，进行深度的安全加固与优化，修复存在的应用漏洞，并配置合适的防护机制，防止恶意攻击。

3.网络设备加固：对核心网络设备（如路由器、交换机、负载均衡器等）进行安全配置和加固，包括加密通信、访问控制、端口过滤等，防止未经授权的访问。

4.入侵检测与防御：配置完善的入侵检测系统（IDS）和入侵防御系统（IPS），实时监控网络流量和行为，及时发现并阻止异常活动。

5.权限和访问控制：对服务器、数据库、工作站等进行严格的权限管理和访问控制，确保敏感信息的安全，防止越权访问。

6.漏洞修补与修复：针对识别出的各类漏洞，及时进行修复或更新，避免漏洞成为攻击的切入点。

7.综合安全防护措施：在我方允许的前提下，实施一系列定制化的安全加固措施，包括安全日志管理、安全审计与监控、数据备份与恢复等。