医院信息安全重要时期安全保障服务方案.docx

《医院信息安全重要时期安全保障服务方案.docx》由会员分享，可在线阅读，更多相关《医院信息安全重要时期安全保障服务方案.docx（40页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、医院信息安全重要时期安全保障效劳方案1.1.1.1 效劳范围绿盟科技的重要时期安全保障效劳主要针对企业重要 IT 系统资产、包括主机、网络、应用等系统运行维护场景。针 对互联网 IT 效劳业务、IT 资产为效劳对象。1.1.1.2 效劳方式目前，绿盟科技的重要时期安全保障效劳可以供给现场效劳和非现场效劳两种形式。依据具体的效劳内容，现场服 务一般包括以下内容：u 安全漏洞扫描u 主机安全检查u 安全值守效劳u 安全日志分析u 应急响应效劳非现场效劳一般包括以下内容：u 信息安全通告u 信息安全询问u 对外效劳检查u WEB 站点渗透测试u 网站安全监测效劳1.1.1.3 效劳内容1.1.1.3

2、.1 信息安全通告绿盟科技凭借国内领先的安全争论力量，广泛的采集 途径，和全球同步的安全信息收集系统，使我们能将最 最严峻的安全问题，最快的通报给我们的客户并且给出相 应的解决方法，从而大大减轻网管人员做安全技术追踪和 分析的压力。绿盟科技的安全通告效劳将下面的这些成果 与用户共享：u 厂商安全通告：依据客户订阅内容，供给主流厂商的中文安全通告，包括 Windows、AIX、HP-UX、Solaris、Linux、CISCO 等。u 绿盟科技安全通告：绿盟科技觉察的安全问题通告和 其他有必要提示的重要安全问题通告。u 其他安全通告：其他应用系统和安全组织如SANS/CERT 等的安全通告。u

3、绿盟科技内部安全技术刊物技术+，每两月一期. 另外，绿盟科技还将重点收集分析银行业安全动态信息，按月供给针对银行业的信息安全通告。1.1.1.3.2 信息安全询问绿盟科技可依据用户具体需求，供给必要的技术支持 询问效劳。询问范围将包括但不限于以下内容。u 安全合规询问效劳，在系统软件开发规划和设计阶段， 供给国家法律法规、国家等级保护政策、人民银行与银监会等行业主管部门在信息安全上的合规询问服务，指导软件的开发与设计；u 系统信息安全架构设计效劳，依据合规要求和业务的IT 实现流程，设计系统的信息安全架构；u 安全编码询问效劳，供给软件编码的信息安全询问， 标准软件编码习惯，削减软件编码的安全

4、漏洞；u 其它安全询问效劳。1.1.1.3.3 对外效劳检查绿盟科技安全专家将通过专业测试工具对用户互联网端效劳进展检查和梳理，并与用户认真核对所开放的效劳是 否为必需，使用户了解并明确对互联网开放的效劳，帮助用 户关闭不需要的效劳端口，减小业务系统在互联网上的受攻 击面。1.1.1.3.4 WEB 站点渗透测试绿盟科技安全专家通过模拟黑客入侵的方法，利用多种 先进技术和手段对用户外部网站进展安全检查，觉察和找出 网站中存在的编码问题和规律问题，并提出整改建议。在用 户整改完毕后，绿盟科技安全专家再对整改内容进展一次复 查，验证整改的有效性以及是否产生了的风险。1.1.1.3.5 安全漏洞扫描

5、漏洞扫描效劳是一个闭环的效劳，分为四个不同的阶 段：漏洞觉察，数据分析，漏洞处理和扫描复查。1. 对评估范围内设备进展安全扫描，猎取被评估设备的 具体漏洞信息；2. 对猎取到的数据进展专家分析，依据漏洞具体信息和 客户实际状况供给可执行的建议解决方案；3. 用户参考漏洞建议解决方案对漏洞进展修复；4. 对评估目标再次进展漏洞扫描复查，确认漏洞修复结 果，保证漏洞被成功修复。1.1.1.3.6 主机安全检查评估操作系统、应用软件的安全配置错误等并不能通过 安全扫描工具全面觉察，因此有必要在评估工具扫描范围之 外进展安全配置的检查。安全配置检查是对操作系统、应用的脆弱性和安全配置 错误等方面进展安

6、全检查的有效手段。主机安全检查包括主 机操作系统和常见应用效劳两大局部的检查。其中，操作系统的安全检查包括：u 帐号、口令策略检查u 补丁安装状况检查u 网络与效劳检查u 文件系统检查u 日志审核检查u 安全性增加检查u 其中，常见应用的安全检查包括：u 应用的帐号、口令策略检查u 应用安装、版本状况检查u 应用软件网络与效劳检查u 软件文件系统检查u 应用日志审核检查u 安全性增加检查u 1.1.1.3.7 网站安全监测效劳绿盟网站安全监测效劳，是一款托管式效劳。用户无需 安装任何硬件或软件，无需转变目前的网络部署状况，无需 特地的人员进展安全设备维护及分析日志。用户只需将网站 域名告知绿盟

7、科技工作人员，获得授权后即可享受 724 小时的远程网站安全监测效劳。一旦觉察用户网站存在风险状 况，绿盟科技安全监控团队会第一时间通知用户，并供给专 业的安全解决建议。除此之外，阅历丰富的绿盟科技安全专 家团队会定期为用户出具周期性的综合评估报告，让用户整 体把握网站的风险状况及安全趋势。1.1.1.3.8 安全值守效劳在重要活动开头至完毕期间，绿盟科技将派遣阅历丰富 的安全专家至用户现场进展安全值守支持。现场安全值守工作主要包括如下方面工作：u 安全设备日常监控n 安全设备安康状况实时监控，包含： CPU 使用率、内存占用率、接口流量、接口工作状态、硬盘使用状况等设备安康相关的根本参数监控

8、。n 安全设备告警大事实时监控，包含：拒绝效劳攻击，网络病毒爆发，漏洞远程利用、恶意代码传递等高危大事告警信息。u 安全大事帮助处理n 当安全设备产生高危大事报警时， 绿盟科技安全专家将乐观帮助用户相关人员对报警大事进展确定、排查、分析和处理。u 日志分析1.1.1.3.9 安全日志分析在重要时期保障预备阶段和实施阶段，绿盟科技安全专家定期为用户信息系统内安全设备产生的海量日志进展一 次深度挖掘和分析，从IP 分布、时间分布、大事分布，行为分布、告警趋势这五个维度对用户信息系统内安全设备产生的日志进展梳理，觉察潜在的风险点，得出安全现状结论， 并供给极具参考价值的分析报告。目前，绿盟科技可对如

9、下类信息安全产品供给日志分析 效劳：u 入侵保护/检测系统u 上网行为治理/监测系统u 流量监测系统u 防火墙系统u 防病毒网关系统1.1.1.3.10 应急响应效劳绿盟应急响应效劳主要面对用户供给已发生安全大事 的事中、事后的取证、分析及供给解决方案等工作。绿盟科技可以帮助用户完成以下类型安全大事的应急 响应支持：u 应用效劳瘫痪问题u 网络堵塞、DDoS 攻击问题u 效劳器遭劫持问题u 系统特别宕机问题u 恶意入侵、黑客攻击问题u 病毒爆发问题u 内部安全事故u 当用户提出紧急大事应急响应效劳需求时，绿盟科技首 先派安全专家 1 小时内赶到现场，同时绿盟科技后台安全支持人员尝试通过远程接入

10、的方式与现场安全工程师协作定 位并解决问题；效劳完成后 1 个工作日内，绿盟科技将向用户供给书面的应急响应处理报告。1.1.1.4 效劳流程绿盟科技将围绕重要活动的三个阶段供给全方位的安全 保障效劳。1.1.1.5 效劳交付绿盟科技在完成此项效劳后会向用户供给如下主要交 付物作为效劳成果。安全保障效劳阶段效劳包效劳交付物对外效劳检查对外效劳检查确认单重要活动开头前重要活动进展中WEB 站点渗透测试安全漏洞扫描主机安全检查网站安全监测安全运维值守安全日志分析安全应急响应WEB 站点渗透测试报告WEB 站点渗透测试复查报告安全漏洞扫描报告安全漏洞整改复查报告主机安全检查报告主机安全检查复查报告网站

11、安全监测周报安全运维值守日报安全大事处理报告安全日志分析报告应急响应报告重要活动完毕后成果汇报安全保障效劳报告1.1.2 安全巡检效劳1.1.2.1 效劳范围对象：信息系统中指定的效劳器、网络设备、安全设备 及安全日志。安全状态检查：供给对主流的安全设备状态检查效劳， 对绿盟科技产品可以进展版本升级效劳。安全漏洞扫描：供给网络设备、操作系统、数据库、常 见应用效劳器以及 WEB 应用的漏洞评估效劳。安全日志分析：供给对主流安全设备如：IDS/IPS/FW 的日志分析。漏洞治理：供给对 Windows 系统漏洞进展升级操作效劳，对其他操作系统相关的问题供给专业的安全修补建议， 并进展帮助。1.1

12、.2.2 效劳内容1.1.2.2.1 安全设备状态检查效劳内容：查看安全设备的运行状态、设备负载等是否 正常，同时对设备的版本进展检查，如版本不是最，经客 户确认需要升级后，进展版本升级依据实际状况升级。客户协作：供给登录安全设备登录地址及登录凭证。 阶段成果：安全设备记录及升级记录。1.1.2.2.2 安全漏洞扫描效劳内容：对的网络设备、主机、数据库、应用系统进 行漏洞扫描，并依据扫描结果进展综合分析，评估漏洞的危 害大小，最终供给可行的漏洞解决方案。客户协作：供给扫描器接入地址、为扫描器配置网络策 略，使网络可达，使其扫描数据能够无阻碍的到达被扫描主 机。阶段成果：原始扫描报告。1.1.2

13、.2.3 安全日志分析效劳内容：日志分析主要是定期为用户信息系统内安全 设备产生的海量日志进展深度挖掘和分析，从 IP 分布、时间分布、大事分布，行为分布、告警趋势这五个维度对用户信 息系统内安全设备产生的日志进展梳理，觉察潜在的风险点，得出安全现状结论，并供给极具参考价值的分析报告。 通过供给日志分析报告，准时把握网络运行状态和安全隐患。客户协作：供给安全设备日志阶段成果：无1.1.2.2.4 补丁治理效劳内容：在前期安全扫描的根底上，对存在严峻系统 漏洞的主机进展补丁更，从而准时消退由于系统漏洞而产 生的安全风险依据实际状况实施更。客户协作：供给登录系统的安全屏障和治理员权限 阶段成果：安

14、全加固记录1.1.2.3 效劳流程安全巡检效劳主要分为三个阶段，分别为巡检预备、巡 检实施、巡检报告。实施内容主要包括安全设备状态检查、 安全漏洞扫描、安全日志分析和补丁治理。以下为安全巡检效劳流程：开头巡检预备安全漏洞扫描安全状态检查安全日志分析安全补丁治理设备运行状态检查安全设备版本检查、更安全巡检报告完毕1.1.2.4 效劳特点u 全程化效劳，有效保证效劳质量绿盟科技可以为客户供给定期的全程化巡检效劳。效劳 的过程不仅仅是帮助客户觉察问题，也会为客户的问题修补 供给专业的建议和指导，做到问题觉察、修补、验证的全程 跟踪，力求最大程度地保证巡检目标的安全。u 专家级解决方案，一切以解决问题

15、为目标绿盟科技有着专业的安全按效劳团队，团队成员无论是 在风险评估、安全加固、渗透测试，还是在代码审计等领域均有着丰富的阅历，全部问题的解决方案均由团队成员依据 多年阅历总结而来，方案确实可行。u 降低本钱，节约投资在绿盟科技为客户打造的年度效劳方案中，效劳人员第 一次测试的结果将会成为后续审计效劳的参考依据，避开了 单次效劳中每次都会为某一特定问题所累，节约了巡检时间，同时也降低了客户在每个阶段的投入。1.1.2.5 效劳报告安全巡检实施工作完成后三个工作日内依据工作量而 定，巡检工程师将出示一份安全巡检报告。依据巡检结果，绿盟科技实施人员将针对觉察的问题进 行具体描述，描述内容至少包括了巡

16、检范围、过程、使用的 技术手段以及获得的成果。除此之外，绿盟科技巡检人员还将结合巡检目标的具体安 全内容编写解决方案和相关的安全建议，为治理员的维护和 修补工作供给参考。输出如下报告：u XX 系统安全巡检报告u XX 月度、季度安全巡检报告1.1.3 网络架构分析效劳1.1.3.1 效劳范围绿盟科技网络架构分析效劳可以为客户供给基于需要分析的整体网络或者目标区域网络的架构分析，如业务系统 子网络或公司分支网络等。网络架构分析的具体效劳范围如下：u 网络拓扑u 网络协议u 网络流量u 网络设备1.1.3.2 效劳内容网络架构分析会对目标网络的网络现状、网络建设标准 性、网络牢靠性、网络边界安全

17、、网络流量分析、网络通信 安全、网络设备安全和网络安全治理这八个方面进展网络架 构安全性的全面分析，对整体网络中的脆弱点进展识别，评 估结果包括定性和定量分析，让用户对网络中存在的风险了 如指掌，具体内容如下：1.1.3.2.1 网络架构整体分析u 网络架构设计应符合层次清楚、分级治理、统一规划 的原则，应便于以后网络整体规划和改造。u 依据组织实际状况进展区间划分，Internet、Intranet 和Extranet 之间以及它们内部各区域之间构造必需使网络应有的性能得到充分发挥。u 依据各部门的工作职能、重要性、所涉及信息等级等因素划分不同的子网或网段。u 网络规划应考虑把核心网络设备的

18、处理任务分散到边 缘设备，使其能将主要的处理力量放在对数据的转发 或处理上。u 实体的访问权限通常与其真实身份相关，身份不同， 工作的内容、性质、所在的部门就不同，因此所应关 注的网络操作也不同，授予的权限也就不同。1.1.3.2.2 网络建设标准性u IP 地址规划是否合理，IP 地址规划是否连续，在不同的业务系统承受不同的网段，便于以后网络 IP 调整。u 网络设备命名是否标准，是否有统一的命名原则，并且很简洁区分各个设备的。u 应合理设计网络地址，应充分考虑地址的连续性治理 以及业务流量分布的均衡性。u 网络系统建设是否标准，包括机房、线缆、配电等物理安全方面，是否承受标准材料和进展标准

19、设计，设 备和线缆是否贴有标签。u 网络设备名称应具有合理的命名体系和名称标识，便于网管人员快速准确识别，全部网络端口应进展充分 描述和标记。1.1.3.2.3 网络边界安全u Internet、Intranet 和Extranet 之间及它们内部各 VLAN 或区域之间边界划分是否合理；在网络节点如路由器、交换机、防火墙等设备互连互通应依据实际需求进展严格掌握；验证设备当前配置的有效策略是否 符合组织确定的安全策略。u 内网中的安全区域划分和访问掌握要合理，各 VLAN之间的访问掌握要严格，不严格就会越权访问。u 可检查网络系统现有的身份鉴别、路由器的访问掌握、 防火墙的访问掌握、NAT 等

20、策略配置的安全性；防止非法数据的流入；对内防止敏感数据涉密或重要网段数据的流出。u 防火墙是否划分 DMZ 区域；是否配置登录配置的安全参数。例如：最大鉴别失败次数、最大审计存储容量 等数据。u 网络隔离部件上的访问通道应当遵循“默认全部关闭，按需求开通的原则”；拒绝访问除明确许可以外的任 何一种效劳，也就是拒绝一切未经特许的效劳。1.1.3.2.4 网络协议分析u 路由协议、路由相关的协议及交换协议应以安全的、 对网络规划和设计便利为原则，应充分考虑局域网络 的规划、建设、扩大、性能、故障排解、安全隐患、 被攻击可能性，并应启用加密和验证功能。u 应合理设计网络路由协议和路由策略，保证网络的

21、连通性、可达性，以及网络业务流向分布的均衡性。u 启用动态路由协议的认证功能，并设置具有肯定强度的密钥,相互之间交换路由信息的路由器必需具有一样 的密钥。默认的认证密码是明文传输的，建议启用加密认证。u 对使用动态路由协议的路由设备设置稳定的规律地址，如 Loopback 地址，以削减路由振荡的可能性。u 应制止路由器上 IP 直接播送、ICMP 重定向、Loopback 数据包和多目地址数据包，保证网络路径的正确性， 防止IP 源地址哄骗。如制止非公有地址、组播地址、全网络地址和自己内部的网络地址访问内部网络，同时制止非内部网络中的地址访问外部网络。1.1.3.2.5 网络流量分析u 带宽的

22、网络流量分析。简单的网络系统中不同的应用 需占用不同的带宽，重要的应用是否得到了最正确的带 宽？所占比例是多少？队列设置和网络优化是否生 效？通过基于带宽的网络流量分析会使其更加明确。 承受监控网络链路流量负载的工具软件，通过 SNMP 协议从设备得到设备的流量信息，并将流量负载以包含PNG 格式的图形的 HTML 文档方式显示给用户， 以格外直观的形式显示流量负载。u 网络协议流量分析。对网络流量进展协议划分，针对不同的协议进展流量监控和分析,假设某一个协议在一个时间段内消灭超常流量暴涨，就有可能是攻击流量或有蠕虫病毒消灭。例如：Cisco NetFlow V5 可以依据不同的协议对网络流量

23、进展划分，对不同协议流量进展分别汇总。u 基于网段的业务流量分析。流量分析系统可以针对不同的VLAN 来进展网络流量监控，大多数组织都是基于不同的业务系统通过 VLAN 来进展规律隔离的，所以可以通过流量分析系统针对不同的 VLAN 来对不同的业务系统的业务流量进展监控。例如：Cisco NetFlow V5 可以针对不同的 VLAN 进展流量监控。u 网络特别流量分析。特别流量分析系统支持特别流量觉察和报警，能够通过对一个时间窗内历史数据的自动学习，猎取包括总体网络流量水平、流量波动、流量跳变等在内的多种网络流量测度，并自动建立当前流量的置信度区间作为流量特别监测的根底。通过乐观主动鉴定和防

24、止针对网络的安全威逼，保证了效劳水平协议(SLA)并且改进顾客效劳，从而为组织节约成 本。1.1.3.2.6 网络设备安全u 安全配置是否合理，路由、交换、防火、IDS 等网络设备及网络安全产品的不必要的效劳、端口、协议是 否关闭，网络设备的安全漏洞及其脆弱的安全配置方 面的优化，如路由器的安全漏洞、访问掌握设置不严 密、数据传输未加密、网络边界未完全隔离等。u 在网络建设完成、测试通过、投入使用前，应删除测试用户和口令，最小化合法用户的权限，最优化系统 配置。u 在接入层交换机中，对于不需要用来进展第三层连接的端口，通过设置使其属于相应的 VLAN，应将全部空闲交换机端口设置为 Disabl

25、e，防止空闲的交换机端口被非法使用。u 应尽量保持防火墙规章的清楚与简洁，并遵循“默认拒绝，特别规章靠前，一般规章靠后，规章不重复”的原 则，通过调整规章的次序进展优化。u 应为不同的用户建立相应的账号，依据对网络设备安装、配置、升级和治理的需要为用户设置相应的级别， 并对各个级别用户能够使用的命令进展限制，严格遵循“不同权限的人执行不同等级的命令集”。同时对网络设备中全部用户账号进展登记备案。u 应制订网络设备用户账号口令的治理策略，对口令的 选取、组成、长度、保存、修改周期以及存储做出规 定。1.1.3.2.7 网络治理u 网络设备网管软件的部署和网络安全网管软件的部署；部署监控软件对内部

26、网络的状态、网络行为和通 信内容进展实时有效的监控，既包括对网络内部的计 算机违规操作、恶意攻击行为、恶意代码传播等现象 进展有效地觉察和阻断，又包括对网络进展的安全漏 洞评估。u 确认网络安全技术人员是否认期通过强加密通道进展远程登录监控网络状况。u 应尽可能加强网络设备的安全治理方式，例如应使用SSH 代替 Telnet，使用 S 代替 ，并且限定远程登录的超时时间、远程治理的用户数量、远程治理的终端 IP 地址，同时进展严格的身份认证和访问权限的授予，并在配置完后，马上关闭此类远程连接； 应尽可能避开使用 SNMP 协议进展治理。假设确实需要，应使用 V3 版本替代 V1、V2 版本，并

27、启用 MD5 等验证功能。进展远程治理时，应设置掌握口和远程登录口的超时时间，让掌握口和远程登录口在空闲一 定时间后自动断开。准时监视、收集网络以及安全设备生产厂商公布的软件以及补丁更，要求下载补丁程序的站点必需是相 应的官方站点，并对更软件或补丁进展评测，在获 得信息安全工作组的批准下，对生产环境实施软件更 或者补丁安装。1.1.3.3 效劳流程网络架构分析效劳主要分为四个不同的阶段：资料采 集，架构分析，问题反响和架构整改。资料采集架构分析问题反响架构整改1. 对评估范围内网络现状资料进展收集，猎取被评估网 络的整体布局信息，如前期网络建设方案和图表、查 验文档、网络边界划分、人工访谈、实

28、地考察等方式 对现状进展深入调研。2. 对猎取到的信息进展专家分析，依据整体网络架构的 具体信息和客户实际状况供给可执行的建议解决方案。3. 将问题通过多种方式清楚准确的反响给客户。4. 用户参考网络架构分析结果及建议进展整改。1.1.3.4 效劳特点u 专家级架构整改建议网络架构分析人员依据具体环境通过多个维度的手段对客户的目标网络进展分析，并且会依据客户的需求和实际 状况相结合进展深入地争论，针对客户要保护的目标提出确 实可行的整改方案，最大化的满足当前以及长时间内的安全 需求。u 常年累积的架构分析阅历凭借绿盟科技多年来在网络架构分析积存的阅历，绿盟 科技不仅拥有一个强大的网络架构争论团

29、队，而且拥有长期 累积的内部评估分析手段和资料。为客户准确、快速地觉察 网络架构的脆弱性。1.1.3.5 效劳依据u 国际、国家公布的相关安全标准u 绿盟科技专业安全配置基线u 绿盟科技安全产品及效劳最正确实践1.1.3.6 效劳报告安全分析人员在实施网络架构分析效劳过程中，严格按 照绿盟科技安全效劳的流程，在现场进展访谈和相关资料收集后，会在三个工作日需依据分析对象的数量和规模进展 实际调整内出示一份网络架构分析报告。报告名称如下：网网络架构分析报告或区域网络架构分 析报告报告中，会对此次网络架构分析效劳范围内的整体安全 状况进展一个整体概述，从网络配置和网络架构两个层面对 目标网络的架构进

30、展安全性分析，配置型分析是为整体网络 架构分析供给细节的参考依据，后续的网络架构分析会对目 标网络的网络现状、网络建设标准性、网络牢靠性、网络边 界安全、网络流量分析、网络通信安全、网络设备安全和网 络安全治理这八个方面进展网络架构安全性的全面分析。除此之外，评估人员还将结合分析目标的具体应用提出 深层次的安全建议，为治理人员的后期维护供给参考。1.1.4 日志分析效劳1.1.4.1 效劳范围本效劳适用于任何企业或组织的 IT 环境、信息系统及网络，主要范围如下：u Web 应用日志，包括 IIS、Apache、Apache Tomcat、Nginx 等；u 操作系统日志，包括Windows、

31、Linux 系统日志、安全日志、应用日志等；u 网络设备，包括路由器、交换机等日志；u 网络安全设备，包括网络入侵检测系统、网络审计系 统、上网行为治理系统等日志。1.1.4.2 效劳内容日志分析效劳主要分析日志如下方面的内容：u 常见 Web 攻击行为，包括 XSS、SQLinj、暴力破解等；u 操作系统可疑行为，包括关机、重启、增删账户等；u 网络可疑行为，包括网络设备关机、重启、配置变更 等；u 安全设备监控告警行为，包括检测的攻击行为、设备自身可疑操作行为等。1.1.4.3 效劳方式日志分析效劳主要是绿盟科技安全工程师人工分析，可 依据实际状况分为现场日志分析和远程日志分析两种。1.1

32、.4.4 效劳流程日志分析效劳的大致流程图如下：日志分析前预备日志分析支持申请明确故障描述猎取对应的日志文件日志分析过程依据日志文件，完成分析工作日志分析报告与汇报分析过程记录报告输出与提交整体汇报图 1.1日志分析流程图第一步：日志分析支持申请；其次步：推断故障类型；其次步：猎取对应的日志文件； 第三步：完成日志的分析；第四步：形成日志分析报告； 第五步：整体汇报。1.1.4.5 效劳特点快速、准确的日志分析响应绿盟科技拥有一支业内领先的安全效劳团队。经过多年 专业安全效劳的执着实践，形成了国内最完善的专业安全服务体系和专业安全效劳方法论，拥有大量安全日志分析阅历，同时绿盟科技也是网络安全产

33、品供给商，这些安全产品 都有统一的日志收集平台，在分析网络安全产品日志中也有 大量的阅历累积。可远程帮助和指导分析绿盟科技安全效劳团队可远程接收日志文件，并尽快完 成日志文件的分析，或远程帮助客户的技术人员来完成日志 的分析工作。1.1.4.6 效劳报告绿盟科技安全工程师在实施日志分析效劳过程中，严格依据绿盟科技安全效劳的流程，分析完毕后，会在三个工作日内出示一份日志分析报告视分析日志的数量、多少而定 提交给客户。日志分析报告包含日志分析背景描述、日志类型、日志 时间段、关键日志内容和总结、安全建议等。1.1.5 应急响应效劳1.1.5.1 效劳范围绿盟应急响应效劳主要面对客户供给已发生安全大

34、事 的事中、事后的取证、分析及供给解决方案等工作。绿盟科技可以帮助客户完成以下类型安全大事的应急 响应支持：u 应用效劳瘫痪问题u 网络堵塞、DDoS 攻击问题u 效劳器遭劫持问题u 系统特别宕机问题u 恶意入侵、黑客攻击问题u 病毒爆发问题u 内部安全事故u 1.1.5.2 效劳方式绿盟科技应急响应效劳包括单次效劳和年度效劳两种形式，效劳地点可以选择客户现场和远程两种方式，客户可 以依据需要选择适合自己的效劳。1.1.5.2.1 现场效劳和远程效劳依据效劳地点，可以分为现场效劳和远程效劳两种。现场效劳：指接到客户紧急效劳恳求，支持人员在最短 时间内赶赴客户现场，帮助客户分析大事可能的缘由，解

35、决 各类安全大事。远程效劳：指通过 、QQ 远程帮助、远程临时接入等非现场的活动，帮助客户分析大事可能的缘由，解决各类 安全大事。1.1.5.2.2 单次效劳和年度效劳依据效劳的周期，可以分为单次效劳和年度效劳两种。 单次效劳：指为客户供给的一次性应急响应效劳。一般由发生安全大事的客户临时申请应急响应支持人员参与应急大事处理，支持人员在分析完全部客户供给的信息后，向 客户提交应急响应报告。年度效劳：效劳期限以年为单位，效劳年度内为客户供给 有限次数的应急响应支持工作，每次效劳均会供给具体的应 急响应报告。1.1.5.3 效劳流程绿盟科技应急响应效劳流程主要包括大事处理流程和事 件升级流程两局部

36、。1.1.5.3.1 大事优先级定义绿盟科技结合自身阅历，在实践中总结制定出了一套合 理的安全大事分级构造对应表，并且针对于不同级别的大事 拟定切实可行的快速处理方式和临时解决方法。安全等级划 分标准如下：表 1.1大事安全级别划分标准大事优先级描述客户供给业务的系统由于安全缘由崩溃、系统性能严峻下降，已无法供给正常效劳。本紧急大事地区出口路由由于网络安全缘由非正常中 断，严峻影响用户使用。公众效劳由于安全缘由停顿效劳或者造成恶劣影响的。用户内部的业务支持系统由于安全大事出严峻大事现问题，导致不能运转正常不稳定。局部服务由于安全缘由中断，影响用户正常使用由于安全缘由导致系统消灭故障，但不影响一

37、般大事用户正常使用。客户提出安全技术询问、索取安全技术资料、技术支援等。1.1.5.3.2 大事处理流程绿盟科技应急响应效劳大事处理流程主要分为三个阶 段，包括大事初期、应急响应实施及输出报告与汇报：大事初期在实施应急响应工作前，客户经理或工程经理收到客户申请应急响应支持，由客户经理或工程经理协调内部技术支 持人员和客户技术人员第一时间取得联系，了解大事发生情 况。技术人员推断大事类型，是否需要启用应急响应效劳。u 应急响应实施在推断大事类型可能为安全大事，启用应急响应后，技术人员通过现场或非现场等方式进展信息收集工作，具体了 解把握大事发生的始终、现状、可能的影响，对大事进展详 细分析，供给

38、大事处理建议，并帮助客户解决大事。u 输出报告与汇报待大事处理完毕后，技术人员整理大事分析、大事处理的过程记录和相关资料，撰写应急响应效劳记录报告，提交 给客户。对于大型、简单的应急响应过程还需进展整体的事 件处理汇报工作。大事初期支持申请初步推断大事类型启用紧急响应紧急响应实施大事处理大事分析信息收集报告与汇报记录整理报告输出与提交整体汇报1.1.5.3.3 大事升级流程绿盟科技在收到大事告警后，15 分钟内进展故障大事的鉴别，假设是安全大事，则马上启动应急响应效劳流程，如 果不是安全大事，马上回复相关人员，并建议寻求其他方面 的支持，具体大事升级流程参看下表。表 1.2 大事升级流程件等级

39、事紧急大事严峻大事一般大事时间 小时0.51客户经理技术负责人4效劳总监客户经理12技术总监人效劳总监询问支持24总裁技术总监技术负责人48总裁效劳总监72技术总监客户经理技术负责绿盟科技对于一般大事首先实行安全询问的方式帮助 用户自行解决，当用户安全治理员经过努力无法自行解决时，绿盟科技工程师将承受应急响应效劳通过远程或本地服 务方式帮助用户解决安全大事。绿盟科技对于严峻大事，将启用应急响应效劳，在 2 个小时内另加上路程时间到达用户现场，承受本地效劳方 式帮助用户处理安全大事。绿盟科技对于紧急大事的处理，承诺在一个小时内另加 路程时间到达用户现场，承受安全应急响应效劳流程为用 户尽快解决紧

40、急安全大事。1.1.5.4 效劳特点u 阅历主导，成果保证在应急响应支持方面，绿盟科技多年来积存了丰富的经 验。无论是所收集信息的完整性，还是大事分析过程的科学 性和准确性都在业内处于领先的位置。在阅历与技术的完善 结合之下，能够更加简洁捕获信息中的蛛丝马迹，为大事分 析去的突破性进展打下根底。u 流程清楚，标准效劳绿盟科技应急响应效劳承受标准化治理，支持人员均严 格依据设定的流程来进展各项工作。而绿盟科技的应急效劳 标准和流程均来自于多年的应急响应实践，完全符合应急响 应大事处理的相关要求。在确保获得分析大事必需数据的同 时，也防止了可能对大事目标产生的影响。1.1.5.5 效劳报告在应急响

41、应工作完成后一个工作日内，绿盟支持人员将 会为客户供给一份应急响应报告。在报告中，支持人员将会所收集的信息对整个安全大事 的来龙去脉进展详尽的分析，并最终给出分析结果。除此之外，支持人员还将依据分析结果提出解决方案和 相关的安全建议，为大事的后期处理供给参考。输出如下报 告：XX 应急响应效劳处理报告1.1.6 恶意代码排查效劳1.1.6.1 效劳范围恶意代码排查的效劳范围主要针对被入侵网站、应用系统等效劳器，同时包括与其同网段或同一区域的效劳器。具 体范围我们建议如下：n 被入侵网站效劳器、数据库效劳器n 同网段内疑似被攻击的效劳器n 同一区域疑似被攻击的效劳器其次，该项效劳主要针对以 B/

42、S 架构为主的网站系统，因此，支持的效劳器操作系统类型包括如下：Windows 系列效劳器： Windows2023、Windows2023、Windows2023 等Linux 系列效劳器：Redhat Linux、Debian GNU/Linux、SUSE Linux 等Unix 系列效劳器：HPUX、Solaris、FreeBSD、AIX 等1.1.6.2 效劳内容恶意代码排查的效劳内容包括操作系统排查和应用程序 排查两局部。具体内容如下：操作系统排查包括：n 可疑账号排查隐蔽、克隆账号n 可疑文件排查n 可疑进程排查n 可疑网络连接排查n Rootkit 排查应用程序排查包括：n We

43、bShell 网页后门排查n 一句话网页木马排查n 数据库JS 挂马排查n 恶意插件排查n 流氓软件排查内核级后门操作系统排查网 一页 句后 话门 木马数据库挂马恶 流意 氓插 软件 件应用程序排查恶意代码排查内容恶意代码排查效劳内容框架见以下图：可可可可疑疑疑疑账文进连号件程接1.1.6.3 效劳流程恶意代码排查效劳过程中，会涉及到下面几个步骤。1) 首先确认待检查对象的范围和工作内容范围：包括检查 对象的数量，例如 20 台windows2023 效劳器、10 台Redhat linux 效劳器；具体检查工作内容，例如 WebShell 网页后门检查。2) 其次，绿盟科技安排安全工程师预备检查工具，包括检 查工具的升级更，工具的光盘刻录等事项。3) 安全工程师到达客户现场，对于网页 WebShell 后门和一句话木马的检查，我们建议客户使用专机对待检查对 象进展检查。对于操作系统级检查，需要治理员协作上 传或拷贝检查工具至效劳器，由安全工程师进展检查操 作。4) 安全工程师检查完毕后，将审计结果信息记录并整理， 最终输出报告。确认检查范围预备检查工具及人员现场工作治理员协作输出报告1.1.6.4 效劳报告在进展恶意代码排查效劳后，安全工程师会将排查结果 信息记录并整理，输出如下报告：n XX 系统恶意代码排查报告n XX 网站恶意代码排查报告n XX 效劳器恶意代码排查报告