技术方案模板

by Netfairy - 2020-11-16

1.  技术部分


1.1.   项目需求分析

1.1.1.        信息化现状

随着客户业务的不断发展壮大,网络的规模和节点数量也在不断增加。在网络的发展过程中,客户一直非常重视信息安全系统的规划和建设,已经建成有了基本的防护措施和安全设备。但是对于日益严峻的网络环境这些防护还远远不够:

1. 只有基础防护,没有主动防御监测。现有的设备不能发现攻击行为,对什么设备或系统受到来自什么地方的什么类型的攻击完全是未知的。攻击不单单是来自互联网的,也有可能是内部人员通过局域网发起的攻击,所以不仅需要防御外来入侵,也要监测内部非法行为。

2. 防御手段单一。现在的攻击手段越来越多元化,单一的防护产品已不能满足网络安全需求,需要通过不同的安全设备整合成一个有机的整体安全架 构,才能及时发现、快速处置、追踪溯源,保证广州海关技术中心信息系统的安全运行。

3. 人力不足,专业度不够。对网络安全的防护、监控及处置等工作,需要花费大量的人力物力,而且要求有足够的经验和专业知识去分析研判解决。广州海关技术中心自身的业务就较多,个人工作量接近饱和,如果再调配人手监控网络攻击行为,将对自身的业务处理能力造成严重影响。


1.1.2.        需求分析

根据信息化现状分析,我们需要采取相应措施消除这些安全隐患,因此我们建议进行以下几方面的措施:

根据信息化现状分析,我们需要采取相应措施消除这些安全隐患,因此我们建议进行以下几方面的措施:

1、增加安全设备,加强网络边界的安全防护手段,准确的检测入侵攻击行为、僵尸主机行为、恶意文件传输行为等,并能够实时阻断攻击;

2、能够检测出各种已知网络攻击形式,也能检测出网络中的未知威胁;能及时识别网络中的安全弱点,并且获得具体的安全弱点的修补建议;能够做到事前预警、事中防护、事后溯源;

3、需要安全驻场服务,提供日常信息安全值守及安全处置服务,提供网络安全管控、系统和应用的监控、审计和经授权后的安全运维管理及事件处置服务。同时对客户的信息系统进行漏洞扫描、安全审计、安全巡检、应急演练、策略优化等服务。


1.2.   总体服务方案

1.2.1.        安全审计服务

每周至少 2 次收集政务外网所有安全设备告警日志数据,结合资产信息等实际情况生成《安全审计报告》。

在根据网络安全法及客户网络安全运行维护的要求对政务外网内安全产品产生的网络访问日志、管理行为记录、操作行为记录、产品运行记录和网络流量等数据,以及安全监测产生的大量信息进行分析。这些信息数量庞大并且无明显关系,但其中可能隐含着潜在的网络攻击行为或已经发生但未发现的攻击行为、产品故障等。

安全日志分析是事中、事后帮助客户从海量日志中审计、发现违规的网络安


全行为,并进行告警、响应和快速溯源的必需手段,是安全分析师实现安全审计的一种技能和方法。


1.2.2.        安全巡检服务

在客户日常安全巡检是通过人工日常巡检查看的方式进行告警监控,另外由安全运维人员登陆各设备管理界面(平台)配置安全产品告警规则, 监测到的安全事件按照不同的级别和类型产生不同告警,将告警信息显示在各自

设备管理界面(平台),安全运维人员根据安全事件的具体情况采取针对性的   处理措施。

    对服务范围内的应用系统、基础操作系统、中间件、数据库、网络设备、安全设备等系统或设备产生的日常操作日志、行为日志、告警日志进行收集及综合分析,并提供相关巡检报告。


1.2.3.        应急响应服务

当客户发生安全事件时,为政务外网提供一般安全事件应急响应服务,提供远程技术支持,提供紧急安全事件应急响应服务,提供 3 小时内达到中心现场、12 小时内解决安全问题服务。

确保客户的 IT 安全应急事件能够快速响应和准确诊断,使信息系统迅速回复,确保客户信息系统事件导致的损失最小化。需要处理的紧急安全事件包括但不限于:

⚫   非授权访问,通过入侵的方式进入到未被授权访问的网络中,而导致数据信息泄漏;

⚫   信息泄密,数据在传输中因数据被截取、篡改而造成信息的更改;

⚫   拒绝服务,正常用户不能正常访问服务器提供的相关服务;

⚫   大面积感染计算机病毒或蠕虫;

⚫   大规模病毒爆发;

应急响应服务主要包括以下内容:


⚫   排查安全事件,隔离关键数据;

⚫   攻击手段分析,提供应急方案、工具软件、安全防护设备和产品;

⚫   进行日志分析并溯源跟踪,找出被利用的漏洞,定位攻击来源,提出安全建议;

提供的应急响应服务方式:远程响应和现场服务,在处理紧急事件时,通常先尝试通过远程接入的方式定位并解决问题,如果条件不允许或不能解决问题, 需尽可能快的赶赴事件现场进行处理。

1. 服务方式

电话支持、远程支持和现场支持。在处理紧急事件时,可先尝试通过远程接入的方式定位并解决问题,如电话及远程方式无法解决,则根据故障等级协调技术人员赴现场进行技术支持。

2. 响应时间

⚫   严重安全事件:发生可导致信息系统完整性、控制权被破坏的严重信息安全事故,包括但不限于系统遭到入侵、网页被篡改、系统被控制、数据窃取丢失泄露、病毒/木马爆发等。

响应时间:5 分钟内响应。

⚫   较严重安全事件:发生可导致信息系统可用性严重下降的较严重信息安全事故(但系统完整性、控制权未被破坏),包括但不限于 DDOS 攻击、 CC 攻击等。

响应时间:10 分钟内响应。  

⚫   一般安全事件:网络一般安全告警、漏洞,但不影响业务的正常使用。响应时间:15 分钟内响应。

⚫   疑似安全事件:发生疑似安全攻击、安全漏洞等事件。响应时间:30 分钟内响应。


1.2.4.        网站及应用系统漏洞检测服务

每月对客户一次进行漏洞扫描,检查是否存在漏洞,及时发现并


通知、协助用户单位进行整改。包括信息系统、服务器、数据库、中间件、安全设备及网络设备进行漏洞扫描,使用漏洞扫描软件从受保护网络边界内部和边界外部,对网络上存在的主机和网络设备进行扫描,探测这些进行主机和网络设备可能存在的漏洞。(由于漏洞扫描存在漏报和误报现象,所获得的扫描结果的真实性,往往还需要本地风险评估和与用户进行沟通确认。)


1.2.5.        应急演练服务

根据客户云服务中心的要求,每年进行 2 次安全应急演练。

在项目服务期内,协助制定信息安全事件应急演练及响应处置的应急预案, 定期举行应急演练,协助客户云服务中心完善信息安全应急机制。并在应急演练完成后提交应急响应报告。

制定应急演练方案,比如网站系统遭遇 ddos 攻击、cc 攻击、网页篡改、黑页等,应急响应实施人员及时采取行动限制事件扩散和影响的范围,限制潜在的损失与破坏,检查所有受影响的系统,在准确判断安全事件原因的基础上,提出基于安全事件整体安全解决方案,排除系统安全风险并协助追查事件来源、提出解决方案、协助后续处置。确保客户的 IT 安全应急事件能够快速响应和准确诊断,使信息系统迅速回复,确保客户信息系统事件导致的损失最小化。应急演练的紧急安全事件包括但不限于:

⚫   非授权访问,通过入侵的方式进入到未被授权访问的网络中,而导致数据信息泄漏;

⚫   信息泄密,数据在传输中因数据被截取、篡改而造成信息的更改;

⚫   拒绝服务,正常用户不能正常访问服务器提供的相关服务;

⚫   大面积感染计算机病毒或蠕虫;

⚫   大规模病毒爆发;

应急演练服务主要包括以下内容:

⚫   排查安全事件,隔离关键数据;

⚫   攻击手段分析,提供应急方案、工具软件、安全防护设备和产品;


⚫   进行日志分析并溯源跟踪,找出被利用的漏洞,定位攻击来源,提出安全建议;


1.2.6.        安全意识培训服务

提供一次安全培训包括安全意识培训、安全管理与理念培训、网络及安全设备安全运维培训、操作系统及数据库安全运维培训。

1. 培训方式

我公司将提供二种培训:现场培训和集中培训。现场培训即安装、调试时指导和培训。

集中培训即安装调试完后进行系统的培训,培训时间初步定为 2-3 天。2.培训内容

培训内容注重理论和实际结合,通过理论讲授、实验操作、问题讨论等方面, 普及安全教育,提高安全意识,提高安全防范能力。安全培训服务提供包括用户相关人员参加的分批分级的安全意识、安全管理与理念、网络及安全设备安全运维、操作系统及数据库安全运维。


1.2.7.        策略优化服务

根据网络运行变动需求或通过对客户重要安全设备、网络设备、路由器进行配置检测对相关安全策略进行优化。

主要是针对客户的安全设备(业务区防火墙、核心区域防火墙、入侵检测系统、应用防护系统等)进行安全策略的登记梳理,并根据实际的业务需求为导向进行策略的优化,实现策略明确,不出现策略重复上线的情况,优化设备性能,提升服务能力。

1. 服务内容

服务内容包含但不限于如下服务点: 

⚫   安全设备清点造册;

⚫   安全策略登记与梳理;


⚫   安全策略执行能力评估;

⚫   安全策略命中率跟踪与评估。2.网络策略优化

网络安全是信息安全中的重要组成部分,网络传输是承载业务数据交互的重要通道。随着 IT 网络的发展,网络攻击层出不穷,通过网络攻击不但能够导致网络的瘫痪中断,还能够通过网络传输进行数据窃取、篡改等。网络安全需要专业的安全服务以保障网络的整体安全,保障业务的稳定性、可用性;传输完整性、机密性。


1.2.8.        安全检测工具服务

提供一套安全运维所需的安全检测工具。

(一)必须配置的测试工具1.漏洞扫描探测工具。

⚫   网络安全漏洞扫描系统。

⚫   数据库安全扫描系统。2.木马检查工具。

⚫   专用木马检查工具。

⚫   进程查看与分析工具。

(二)选用配置的测试工具1.应用安全漏洞扫描工具。

2. 安全攻击仿真工具

3. 网络协议分析工具

4. 系统性能压力测试工具

5. 网络性能压力测试工具

6. 应用软件性能压力测试工具


6.1.1.        其他安全工作

客户安排的其他政务云平台以及政务外网安全相关工作(重要节假日安全保障工作等)。

重点时期或重大活动系统安全保障

服务单位在重点时期或重大活动前,对技术中心内管辖范围内的重要系统进行安全扫描、渗透测试等工作,并提供 7*24 小时安全监测服务,出现安全事件能在规定时间内响应、处置。

1. 服务内容

服务内容应包含但不限于如下服务点: 

⚫   安全值守;

⚫   应急响应;

⚫   安全监测;

⚫   安全整改。2.安全巡检

    根据实际情况,在重点时期或重大活动前对重要系统进行漏洞扫描和渗透测试等工作,尽量修复系统漏洞。

3.重点保障

    在重点保障期间,安全团队做好各项保障工作,明确应急机制及保障人员。每天定时汇报最新情况,让团队成员了解进度。

按照不同的事件等级要求处理响应时间,级故障远程响应时间 30 分钟;

Ⅱ级故障远程响应时间 1 小时;级故障远程响应时间 4 小时;级故障远程响

应时间 8 小时。如远程处理无法恢复业务,一线工程师 1 小时到达现场。

6.1.2.        安全驻场服务

安排不少于 2 名具有丰富相关工作经验的技术人员为客户提供每月不少于 8 天的现场驻场服务,保证客户信息系统正常


安全运行。

驻场人员需完成以下工作:日常按需到场安全值守及安全处置服务,提供网络安全管控、系统和应用的监控、审计和经授权后的安全运维管理及事件处置服务,值守期间对各重要信息系统进行不间断监控,对值守期间出现的可疑情况、网络攻击行为、安全事件,将及时向客户信息安全负责人员报告, 得到相关授权后,与客户相关人员一起进行信息安全事件处理。

1. 网站及应用安全监控

提供网站与应用系统实时监控服务和日常XX服务,协助建立安全风险监测机制,使客户对安全隐患具备先发现的安全能力。

2. 平稳度监控

对客户进行实时远程访问平稳度的动态监视,跟踪重点对象的访问平稳度动态变化情况,并根据严重程度及时发出报警信号,第一时间通知用户, 减少网站中断对用户业务的影响,协助用户保障网站的可用性。

3. 网页篡改监控

实时监测目标站点的页面状况,当网页篡改发生时,第一时间通知用户,减少用户的响应时间,降低篡改事件带来的政治、法律、经济等方面的影响,协助用户保障网站的完整性。

4. 可用性监控

实时远程监测目标网站 DNS 服务器及 ISP DNS 缓存服务器对目标网站域名的解析情况,如发现无法解析或者解析错误,将第一时间通知用户,减少用户的响应时间,降低相关事件带来的政治、法律、经济等方面的影响。

5. 网页挂马监控

检查 WEB 页面是否已经存在网页挂马,通过专业人员核实后标明网页木马所在的网页链接,提供《网页木马检查报告》。

可以定期掌握网站的木马安全风险,减少及避免给访问者带来安全威胁和相关损失,减少及避免因此给用户带来商誉、经济、法律方面的各种风险。当发现

网站存在网页挂马现象,安全专家还会在检测报告中提出专业挂马清除方案,可


以根据相应建议进行网站安全应急处理。

1.3.   应急处置方案

在项目服务期内,提供信息安全事件应急响应处置服务、制定并更新信息系统的应急预案,协助客户完善信息安全应急机制。并在应急响应完成后提交应急响应报告。

1. 服务内容

在发生疑似和确切安全事件时,比如网站系统遭遇 ddos 攻击、cc 攻击、网页篡改、黑页等,应急响应实施人员及时采取行动限制事件扩散和影响的范围, 限制潜在的损失与破坏,检查所有受影响的系统,在准确判断安全事件原因的基础上,提出基于安全事件整体安全解决方案,排除系统安全风险并协助追查事件来源、提出解决方案、协助后续处置。确保客户的 IT 安全应急事件能够快速响应和准确诊断,使信息系统迅速回复,确保客户信息系统事件导致的损失最小化。需要处理的紧急安全事件包括但不限于:

⚫   非授权访问,通过入侵的方式进入到未被授权访问的网络中,而导致数据信息泄漏;

⚫   信息泄密,数据在传输中因数据被截取、篡改而造成信息的更改;

⚫   拒绝服务,正常用户不能正常访问服务器提供的相关服务;

⚫   大面积感染计算机病毒或蠕虫;

⚫   大规模病毒爆发;

应急响应服务主要包括以下内容:

⚫   排查安全事件,隔离关键数据;

⚫   攻击手段分析,提供应急方案、工具软件、安全防护设备和产品;

⚫   进行日志分析并溯源跟踪,找出被利用的漏洞,定位攻击来源,提出安全建议;

提供的应急响应服务方式:远程响应和现场服务,在处理紧急事件时,通常先尝试通过远程接入的方式定位并解决问题,如果条件不允许或不能解决问题,


需尽可能快的赶赴事件现场进行处理。2.服务时效

远程服务:不限次数。

应急响应现场服务:发生确切的安全事件时, 7×24 小时全天候待命。疑似事件现场支持:发生疑似安全事件,我方根据实际要求到现场进行事件

排除和分析,提供技术支持,不限服务次数。3.服务方式

电话支持、远程支持和现场支持。在处理紧急事件时,可先尝试通过远程接入的方式定位并解决问题,如电话及远程方式无法解决,则根据故障等级协调技术人员赴现场进行技术支持。

4. 响应时间

⚫   严重安全事件:发生可导致信息系统完整性、控制权被破坏的严重信息安全事故,包括但不限于系统遭到入侵、网页被篡改、系统被控制、数据窃取丢失泄露、病毒/木马爆发等。

响应时间:5 分钟内响应。

⚫   较严重安全事件:发生可导致信息系统可用性严重下降的较严重信息安全事故(但系统完整性、控制权未被破坏),包括但不限于 DDOS 攻击、 CC 攻击等。

响应时间:10 分钟内响应。  

⚫   一般安全事件:网络一般安全告警、漏洞,但不影响业务的正常使用。响应时间:15 分钟内响应。

⚫   疑似安全事件:发生疑似安全攻击、安全漏洞等事件。响应时间:30 分钟内响应。

5. 关于应急工具、应急安全防护设备和产品

我方承诺当发生安全事件时,根据事件类型和严重程度临时提供必要的应急工具、应急安全防护设备和服务,包括云 WAF、流量清洗服务、病毒木马清理工具、Webshell 清理工具等。