隨著(zhù)網(wǎng)絡(luò )經(jīng)濟和網(wǎng)絡(luò )時(shí)代的發(fā)展，網(wǎng)絡(luò )已經(jīng)成了一個(gè)無(wú)所不有、無(wú)所不用的工具。經(jīng)濟文化、軍事和社會(huì )活動(dòng)將會(huì )強烈地依賴(lài)于網(wǎng)絡(luò )。網(wǎng)絡(luò )系統的安全性和可靠性成為了世界各國共同的焦點(diǎn)。而網(wǎng)絡(luò )自身的一些特點(diǎn)，在為各國帶來(lái)發(fā)展機遇的同時(shí)，也必將帶來(lái)巨大的風(fēng)險。其中有很多是敏感信息，甚至是國家機密，所以難免會(huì )吸引來(lái)自世界各地的各種人為攻擊（例如信息泄漏、信息竊取、數據篡改、數據刪添、計算機病毒等）。通常利用計算機犯罪很難留下犯罪證據，這也大大刺激了計算機高技術(shù)犯罪案件的發(fā)生。計算機犯罪率的迅速增加，使各國的計算機系統特別是網(wǎng)絡(luò )系統面臨著(zhù)很大的威脅，并成為嚴重的社會(huì )問(wèn)題之一。因此網(wǎng)絡(luò )的安全性和可靠性已成為不同使用層次的用戶(hù)共同關(guān)心的問(wèn)題。人們都希望自己的網(wǎng)絡(luò )系統能夠更加可靠地運行，不受外來(lái)入侵者干擾和破壞。所以解決好網(wǎng)絡(luò )的安全性和可靠性問(wèn)題，是保證網(wǎng)絡(luò )正常運行的前提和保障。

根據不同用戶(hù)現網(wǎng)環(huán)境及目前我單位的安全服務(wù)流程，為了提高我單位的安全服務(wù)品質(zhì)，保障用戶(hù)網(wǎng)絡(luò )和終端的安全運行，特制定以下安全服務(wù)管理制度方案。

現場(chǎng)服務(wù)管理規定

服務(wù)方式

我單位提供的現場(chǎng)技術(shù)支持服務(wù)：包括5×8小時(shí)的現場(chǎng)技術(shù)支持服務(wù)和7×24小時(shí)電話(huà)支持和電子郵件支持。

日常工作時(shí)間，我方服務(wù)人員隨用戶(hù)方工作人員一起上下班；工作時(shí)間外可以直接撥打服務(wù)人員的移動(dòng)電話(huà)或單位固話(huà)，在緊急情況下或由用戶(hù)方提出需求，我單位工作人員可隨時(shí)返回工作現場(chǎng)。

工作內容

防病毒系統

數據防泄漏系統系統

Liveupdate系統

安全預警

防病毒服務(wù)內容與輸出結果：

數據防泄漏服務(wù)內容與輸出結果：

突發(fā)（重大）事件應急響應

我單位現場(chǎng)服務(wù)成員（及單位后臺技術(shù)專(zhuān)家）保證7*24小時(shí)手機待機狀態(tài)，在突發(fā)重大網(wǎng)絡(luò )故障或安全事件時(shí)，我方現場(chǎng)服務(wù)人員將立即與用戶(hù)相關(guān)人員取得聯(lián)系同時(shí)聯(lián)系我單位后臺技術(shù)專(zhuān)家，啟動(dòng)用戶(hù)的安全應急響應機制。我們保證在1個(gè)小時(shí)內對用戶(hù)的事件進(jìn)行響應，并進(jìn)行分析，給用戶(hù)一個(gè)應急建議，0.5-1.5小時(shí)內到達用戶(hù)現場(chǎng)。

到達用戶(hù)現場(chǎng)后，對用戶(hù)現場(chǎng)進(jìn)行記錄，根據安全事件的嚴重程度，采取不同的應急措施，如切斷攻擊源，緊急關(guān)閉應用系統的相關(guān)端口，和用戶(hù)工程師共同協(xié)調，使用戶(hù)重要的信息系統在最短時(shí)間內能夠恢復正常工作。

對于甲方終端安全服務(wù)，我單位將成立專(zhuān)門(mén)的售后服務(wù)小組，小組成員不低于5人，其中兩人為一個(gè)小組，每個(gè)小組成員都應有獨立解決數據防泄露系統出現問(wèn)題的經(jīng)驗及能力，該小組緊密配合甲方。小組成員保證7*24小時(shí)手機待機狀態(tài)，在突發(fā)安全事件時(shí)，立即主動(dòng)與甲方相關(guān)人員取得聯(lián)系，啟動(dòng)甲方應急響應機制。此期間人員隨叫隨到，提供針對性的方案，實(shí)時(shí)地進(jìn)行阻斷行為，恢復客戶(hù)系統的機密性、完整性和可用性。

防病毒系統安全服務(wù)管理規定

每天定時(shí)對系統的健康狀況進(jìn)行檢查

? 我方工作人員，每天對合同內的服務(wù)器軟、硬件進(jìn)行定時(shí)和不定時(shí)的運行狀態(tài)進(jìn)行檢查，發(fā)現問(wèn)題及時(shí)匯報和解決同時(shí)做好記錄。我方每季度進(jìn)行一次針對合同范圍內設備系統的全面的現場(chǎng)系統健康檢查，并向服務(wù)接受者提交系統健康性分析報告，由用戶(hù)進(jìn)行評價(jià)改進(jìn)。

每天通報感染病毒過(guò)多終端

鑒于病毒的危害特性，我們建議及時(shí)的對感染病毒較多的終端進(jìn)行斷網(wǎng)處理，處理過(guò)程中主要檢查終端感染較多病毒的原因、修復病毒破壞的系統組件、清除病毒殘留文件等。

所以：每天上午9點(diǎn)統計在過(guò)去24小時(shí)內感染病毒總數超過(guò)100次的終端，通報相應分單位，由分單位安全管理員安排人員處理。

發(fā)現感染病毒較多的終端，及時(shí)處理，以防止病毒傳播到其他終端對網(wǎng)絡(luò )造成影響。

每天通報未更新病毒定義終端

同理：每天下午三點(diǎn)提取日志信息，經(jīng)過(guò)比對處理，匹配相應分單位，然后下發(fā)給分單位處理，由分單位處理，通過(guò)通報舊定義的終端發(fā)現長(cháng)時(shí)間不更新病毒定義的終端，發(fā)時(shí)間不更新病毒定義就無(wú)法查殺新型病毒，而新型病毒一般傳播較快，所以終端要保持定義庫為最新。

每周通報未安裝SEP的終端

終端安全管理原則是所有Windows主機都要安裝防病毒軟件，由于新入網(wǎng)終端或重新安裝操作系統等情況，有未及時(shí)安裝SEP的，所以：至少每周通報一次。

掃描未安裝防病毒客戶(hù)端的工作原理是：在每個(gè)網(wǎng)段找一個(gè)未受管探測器，該探測器上報本網(wǎng)段IP信息，服務(wù)器收到客戶(hù)端上報的信息存入數據庫，我們提取日志，排除打印機、攝像頭、機頂盒、linux主機、網(wǎng)絡(luò )設備等不需要安裝SEP或無(wú)法安裝SEP的IP地址，然后再對未安裝的IP地址做ping處理，確認終端在網(wǎng)使用，然后通報分單位處理。

不安裝防病毒軟件的終端存在更大的安全隱患，并且感染病毒后還會(huì )影響其他終端或者對網(wǎng)絡(luò )造成影響。

每月通報計算機名不符合要求終端

終端在入網(wǎng)或重裝系統后，特別是使用GHOST重裝系統，會(huì )使用隨機的計算機名，GHOST的出現使重裝系統的門(mén)檻降低，懂點(diǎn)計算機知識的都會(huì )重裝系統，而省單位對計算機名有要求，比如鄭州單位名判斷終端的位置，一旦發(fā)生故障，不能及時(shí)定位到問(wèn)題終端。

所以：我們將協(xié)助省單位定期通報分單位計算機名不合規的終端，由分單位處理。

服務(wù)器運行情況監控

為了確保防病毒服務(wù)器的正常運行，我們將定時(shí)或不定時(shí)的檢查服務(wù)器運行狀態(tài)，檢查病毒定義更新情況，檢查系統是否有異常，有異常及時(shí)上報并處理。定時(shí)檢查時(shí)間：在每天上午十點(diǎn)。

SEP策略編輯、測試與優(yōu)化

根據安全管理的要求和用戶(hù)的實(shí)際情況，安全策略會(huì )不斷的發(fā)生變化，如：上級部門(mén)安全檢查要求或者策略在使用過(guò)程中發(fā)現有遺漏或者策略存在BUG等情況。為了更好的滿(mǎn)足貴方的需求，我們將定期梳理安全策略，發(fā)現策略不足等原因，及時(shí)進(jìn)行優(yōu)化調整策略。

敏感數據防泄漏系統安全服務(wù)管理規定

監控數據防泄漏系統服務(wù)器運行情況

為了確保服務(wù)器運行正常，可以不間斷的對敏感數據的流動(dòng)進(jìn)行發(fā)現同時(shí)記錄并存儲，方便以后審計使用，所以我們制定：

人工：每天定時(shí)和不定時(shí)的檢查服務(wù)運行是否正常，網(wǎng)絡(luò )端口是否正常，監控各服務(wù)器CPU、內存、硬盤(pán)、網(wǎng)絡(luò )的利用率，并分析是否存在異常。

監控數據防泄漏系統命中事件

每天在確保服務(wù)器及服務(wù)運行正常的情況下，我們還將定期和不定期的檢查數據防泄漏系統命中事件的可用性，因為服務(wù)器運行正常并不代表監控事件的功能正常，所以還需要人工定期和不定期的檢查數據防泄漏系統的監控狀態(tài)，確保監控事件的功能正常運行。

監控流量鏡像是否正常

由于數據防泄漏系統的網(wǎng)絡(luò )監控模塊的工作原理是——流量分析，需要把核心交換機上的被監控的網(wǎng)絡(luò )流量鏡像到數據防泄漏系統服務(wù)器上，數據防泄漏系統才能分析，這需要確定鏡像流量是否正常，每天檢查流量通過(guò)情況，如果流量過(guò)大或無(wú)流量的異常情況，通知局方人員協(xié)調處理。

數據防泄漏系統監控范圍與監控策略的持續優(yōu)化

企業(yè)內IT的應用（或網(wǎng)絡(luò )結構）在根據業(yè)務(wù)和企業(yè)規模的發(fā)展不斷的變化，新的應用可能就會(huì )造成新的敏感數據存儲或流動(dòng)點(diǎn)，同時(shí)也存在敏感數據泄漏的風(fēng)險，所以數據防泄漏系統在監控范圍（點(diǎn)）上需要隨著(zhù)IT的應用（或網(wǎng)絡(luò )結構）變化而變化，所以我們將定期對用戶(hù)應用的變化（或網(wǎng)絡(luò )結構）對數據防泄漏系統的監控范圍進(jìn)行優(yōu)化，盡可能做到對監控范圍全面不留監控死角，確保每一次的敏感數據的使用和流動(dòng)都在企業(yè)的監管范圍內。

我單位可協(xié)助甲方制定和測試相關(guān)的應用策略，保證在每一個(gè)應用策略啟用之前都能得到實(shí)際應用的測試，以確保各種策略在甲方網(wǎng)絡(luò )內的準確性和有效性及可用性。

數據防泄漏系統月度審計報告

每個(gè)月的月底我們將向局方提交本月數據防泄漏系統報告，報告內容包括：數據防泄漏系統服務(wù)器的監控狀態(tài)、監控數量、流出途徑。通過(guò)此報告局方審計管理員可以清楚的了解當月的敏感數據的流動(dòng)情況及使用情況和流出方法等。

通過(guò)以上報告提取在第一時(shí)間對業(yè)務(wù)支撐網(wǎng)敏感數據進(jìn)行保護，從而實(shí)現嚴格控制敏感數據的操作權限，使涉及到敏感數據的所有操作行為都能及時(shí)的查到有關(guān)日志記錄，保證對所有敏感數據的讀取及修改操作的責任都能夠落實(shí)到人。

安全巡檢管理規定

為了使用戶(hù)對我方在貴方的建設的系統及我們的服務(wù)有一個(gè)階段性的了解，我們將在每月定時(shí)提交月度巡檢報告，此巡檢報告是一個(gè)全面的報告，包括我方建設的所有系統的各服務(wù)器的運行狀態(tài)監控結果，策略梳理，功能結果分析、存在問(wèn)題及解決方案和下步的安全或監控建議等內容。

防病毒系統：

我單位針對不同用戶(hù)信息技術(shù)部的一些重要部位，進(jìn)行定期的安全檢查。（每月一次安全巡檢、重大節日前巡檢）同時(shí)提交巡檢報告和問(wèn)題處理報告。

每月巡檢內容要求：

1、檢查服務(wù)器硬件運行情況

2、檢查服務(wù)器系統軟件運行情況

3、負責修復系統軟件的補丁

4、數據庫備份與恢復

5、檢查終端安全軟件的運行情況，同時(shí)提交終端安全系統運行情況報告，要求包括：服務(wù)器軟件運行的狀況、客戶(hù)端軟件運行情況匯總、客戶(hù)端軟件問(wèn)題匯總、客戶(hù)端軟件問(wèn)題處理辦法匯總、病毒定義升級情況與終端安全服務(wù)器策略的執行情況，還可根據不同用戶(hù)信息技術(shù)部的要求提供相應的可視性報告。

6、網(wǎng)絡(luò )安全情況分析報告，要求提供詳細的分析內容。

病毒情況詳細分析：包括網(wǎng)內病毒活動(dòng)詳細列表，終端安全軟件對病毒事件處理的情況統計、活動(dòng)最多的病毒前十名統計、感染病毒最多的終端前十名統計。

安全事件統計分析：針對網(wǎng)絡(luò )內出現的各種攻擊事件，提供相應的詳細分析報告。

數據防泄漏系統：

我單位針對甲方的數據防泄露系統，進(jìn)行定期的安全檢查。（每天一次安全、系統巡檢，重大節日前進(jìn)行全面的安全、系統巡檢）同時(shí)提交巡檢報告和檢查出的問(wèn)題處理報告。

巡檢內容要求：

1、檢查服務(wù)器硬件運行情況

2、檢查服務(wù)器系統軟件運行情況

3、負責修復系統軟件的補丁

4、數據庫磁盤(pán)空間使用情況監控

5、檢查數據防泄露系統終端的運行情況

6、敏感數據監控情況分析報告，要求提供詳細的分析內容。

周期監控到的敏感數據類(lèi)型統計報告；周期監控到的敏感數據量統計報告；

Lua病毒定義更新系統管理規定

LUA擔負著(zhù)全網(wǎng)的防病毒軟件的病毒定義、IPS特征庫及主動(dòng)型威脅防護庫等功能模塊的更新，一旦不能更新將造成全網(wǎng)終端的安全防護不及時(shí)性，也可能形成更大的安全風(fēng)險，所以我們現場(chǎng)服務(wù)人員每天定時(shí)和不定時(shí)的檢查L(cháng)UA病毒定義、IPS同步情況，發(fā)現問(wèn)題及時(shí)處理確保全省終端可以正常接受最新的安全保護。

安全加固管理規定

社會(huì )在發(fā)展，技術(shù)在進(jìn)步，微軟每個(gè)月都會(huì )發(fā)布補丁以修補產(chǎn)品漏洞，其他廠(chǎng)家像ORACLE、REDHATE等也會(huì )定期或不定期發(fā)布補丁修補產(chǎn)品漏洞，所以發(fā)現存在安全漏洞的主機及時(shí)安裝產(chǎn)品補丁防止不安全事件發(fā)生。

加固范圍包括：與用戶(hù)合作的安全所有服務(wù)器及全省終端的重要安全加固。

加固內容主要包括：漏洞修補、基線(xiàn)配置、系統安全高級配置管理等，通過(guò)加固確保系統的正常的運行，免造病毒或惡意的攻擊，創(chuàng )造良好的生產(chǎn)環(huán)境。

加固完成后測試業(yè)務(wù)系統，保證加固不對業(yè)務(wù)造成影響。

安全預警管理規定

安全預警的發(fā)送時(shí)間與方式

我單位每周固定時(shí)間會(huì )發(fā)布一次安全預警信息，發(fā)現重大風(fēng)險時(shí)即時(shí)發(fā)送預警信息，發(fā)送的主要方式為：郵件和彩信兩種途徑發(fā)送安全預警，以彩信為主，如果用戶(hù)方無(wú)法接受我方所發(fā)的彩信，將進(jìn)行郵件方式發(fā)送。

安全預警的內容

預警的主要內容包括：一、最新的病毒感染傳播情況。二、漏洞預警。三、業(yè)界最新的安全動(dòng)態(tài)。四、安全新聞等

病毒預警

針對最新出現的嚴重惡意病毒我們將在第一時(shí)間提供病毒的解決方案說(shuō)明，主要包括病毒特征、發(fā)作原因、傳播方式和清除處理方法等，用戶(hù)方的安全管理人員能夠及時(shí)了解新病毒的出現情況，同時(shí)我們將聯(lián)系廠(chǎng)家進(jìn)行樣本分析并更新廠(chǎng)家防病毒與IPS的特征庫，終端用戶(hù)可以通過(guò)更新終端病毒定義、IPS定義等，將病毒和惡意攻擊造成的破壞和損失降到最低

漏洞預警

我們通過(guò)對過(guò)去幾年中出現的較大破壞力TOP10病毒樣本的分析，發(fā)現這些病毒的感染和傳播途徑都與計算機操作系統、應用程序等自身存在的安全漏洞相關(guān)，特別是一些高危漏洞的出現對企業(yè)的IT網(wǎng)絡(luò )將可能產(chǎn)生重大的安全威脅。針對以上情況我單位技術(shù)人員將密切關(guān)鍵當前互聯(lián)網(wǎng)的安全動(dòng)態(tài)，及時(shí)收集分析實(shí)時(shí)嚴重漏洞隱患，并在第一時(shí)間內把最新的漏洞信息及時(shí)發(fā)送給用戶(hù)安全管理員，使使貴方可以及時(shí)了解最新漏洞動(dòng)態(tài)及相關(guān)修補系統漏洞的方法，避免重大安全事件的發(fā)生。

業(yè)界動(dòng)態(tài)

我單位通過(guò)與眾多安全廠(chǎng)商、及國內外知名的安全論壇等平臺合作，特別關(guān)注業(yè)界的主流和最新的安全動(dòng)態(tài)及新聞事件，實(shí)時(shí)提供相應的安全信息，為用戶(hù)的安全管理提供參考思路。

安全培訓管理規定

培訓內容

我單位提供安全培訓服務(wù)，結合用戶(hù)的實(shí)際情況，進(jìn)行定期或不定期的網(wǎng)絡(luò )安全培訓，使參加培訓的人員能夠清楚的了解目前的網(wǎng)絡(luò )安全面臨的威脅，了解目前最新的安全動(dòng)態(tài)，掌握一些安全攻防技術(shù)，并能夠根據自己需求將其應用；具有病毒爆發(fā)應急處理能力；具有一定的網(wǎng)絡(luò )故障排查能力。

培訓內容包括：安全基礎、病毒的應急處理、網(wǎng)絡(luò )故障排查、網(wǎng)絡(luò )攻防基礎。使參加培訓的人員能夠清楚的了解目前的網(wǎng)絡(luò )安全面臨的威脅，掌握一些安全攻防技術(shù)，并能根據自己需求將其應用；具有病毒爆發(fā)應急處理能力；具有一定的網(wǎng)絡(luò )故障排查能力。

另外，針對數據防泄漏產(chǎn)品，我方也提供相關(guān)的技術(shù)培訓：

安全培訓方式

集中培訓：由用戶(hù)負責統一組織、協(xié)調人員、場(chǎng)地和食宿，我單位負責提供教材、師資。

遠程異地培訓：我單位可根據需要對地市單位的安全技術(shù)人員提供通過(guò)電話(huà)、郵件等方式的遠程技術(shù)培訓。