省級電子政務云平臺整體方案第二部分目錄第1章政務云項目背景及需求分析 安全運營管理安全運營是整體信息安全體系的一部分，它是在信息安全管理體系規(guī)范和指導下，通過安全的運行管理，結合安全產品和技術，保障對XX省省級電子政務外網云平臺各業(yè)務系統(tǒng)安全穩(wěn)定運行。安全體系運營管理層面設計主要是依據(jù)《信息系統(tǒng)安全等級保護基本要求》中的技術及管理要求而設計。電子政務外網平臺安全遵照G/T22081-2008G/T20269-2006G/Z242942009G/T222392008等標準執(zhí)行安全運營提供設備安全運維、安全檢查、系統(tǒng)加固、應急響應等安全運維服務，及時、常態(tài)化的了解云平臺在信息安全管理上所面臨的問題和風險，可更好的服務于XX省省級電子政務外網的的信息安全規(guī)劃及建設。安全運營管理工作內容運維隊伍建設1）組建梯隊運維服務人員建立信息安全運維服務團隊，制定運維團隊人員職責，提高運維工作效率。依據(jù)工作內容和性質的不同，可將運維隊伍劃分為一、二和三線人員，其中一線人員主要負責現(xiàn)場服務和常規(guī)的技術支持，二線人員主要負責值班和中等難度的技術支持，三線人員主要由內外部的技術專家組成，負責解決疑難的技術問題。2）運維隊伍的主要工作職責日常設備安全維護與監(jiān)控制定和實施安全策略、方案的設計以及實施人員培訓應急事件響應運維服務內容日常檢查維護主要內容包括：日志檢查與問題分析；信息系統(tǒng)漏洞檢查、漏洞補丁更新；病毒系統(tǒng)的運行檢測、病毒庫更新；網絡設備運行狀態(tài)檢測、策略配置校驗；機房環(huán)境檢查。2）安全監(jiān)控服務在安全監(jiān)控服務中，將完成以下工作：監(jiān)控網絡安全設備運行狀態(tài)，發(fā)現(xiàn)問題，通過界面報警、聲音、手機短信、電子郵件等方式及時通知運維人員處理解決。監(jiān)控電子政務云平臺業(yè)務系統(tǒng)使用和管理過程，并對違規(guī)事件進行報警，同時對擴散范圍進行分析。對各種安全事件進行綜合分析，根據(jù)安全風險和安全問題情況有針對性地采取措施解決問題，降低風險。3）安全應急響應安全應急響應響應服務包括以下幾個方面。違規(guī)處置當監(jiān)測到違規(guī)事件正在發(fā)生時，依照應急預案采取必要的應對措施，減少系統(tǒng)故障、信息泄密等安全事件帶來的損失。違規(guī)調查當違規(guī)事件正在發(fā)生或已經發(fā)生時，協(xié)助違規(guī)事件處置部門進行事件調查、保存證據(jù)、查找后門、追查來源等，同時提供事件處理報告以及后續(xù)的安全狀況跟蹤。4）安全風險評估為了充分了解電子政務外網云平臺各業(yè)務應用系統(tǒng)、物理網絡環(huán)境及安全設備存在的安全風險，以及面臨的安全威脅，需要使用多種安全檢查方法收集準確的基礎數(shù)據(jù)信息，從而客觀的從技術脆弱性上分析出信息系統(tǒng)中存在的安全風險。合規(guī)性檢查核查基線配置情況分析策略配置合規(guī)性檢查基線策略配置執(zhí)行情況漏洞掃描安全掃描項目包括如下內容：主機層漏洞掃描網絡層漏洞掃描應用層漏洞掃描網站安全監(jiān)測網站頁面響應速度監(jiān)測網站源代碼分析網站源代碼變更監(jiān)測網站SQL注入、跨站腳本等攻擊行為監(jiān)測網頁防篡改網頁內容自動探測網頁內容完整性驗證網站內容發(fā)布木馬病毒檢測與防護木馬病毒安全監(jiān)控主機系統(tǒng)漏洞安全監(jiān)控安全加固補丁修復加固服務優(yōu)化訪問控制策略人工檢查安全運營支撐工具安全管理平臺系統(tǒng)架構SOC系統(tǒng)由五層構成，具體參見下圖SOC系統(tǒng)總體架構圖安全對象層：SOC系統(tǒng)統(tǒng)一監(jiān)控、管理的對象，包括防火墻、入侵檢測、入侵防御、防病毒網關、漏洞掃描、網絡行為審計等設備。SOC系統(tǒng)是這些設備的上層管理同臺，同時這些設備也是安全關系系統(tǒng)實現(xiàn)統(tǒng)一安全監(jiān)控、管理的具體手段和數(shù)據(jù)來源。數(shù)據(jù)采集層：該層采集被監(jiān)控對象層的數(shù)據(jù)，并將該數(shù)據(jù)上傳到核心處理層。事件在數(shù)據(jù)采集層進行過濾、標準化和歸并。核心處理層（數(shù)據(jù)管理層）：在SOC系統(tǒng)中核心處理層實現(xiàn)對安全數(shù)據(jù)的高層次深加工處理并負責用戶相關功能的核心業(yè)務邏輯。核心層主要完成的任務包括：運行監(jiān)測、業(yè)務管理、安全分析、專家知識庫、策略管理、風險管理、脆弱性管理、事件管理、儀表管理、工單管理、關聯(lián)分析、安全對象管理、報表管理、用戶管理、系統(tǒng)維護。集中展示層（數(shù)據(jù)呈現(xiàn)層）：集中展示層主要負責完成與用戶之間的交互，達到安全預警和事件監(jiān)控、安全運行監(jiān)控、協(xié)同工作處理、安全知識培訓、綜合分析的統(tǒng)一展示，是綜合安管平臺與各類安全管理人員交互的窗口。風險探知層（數(shù)據(jù)發(fā)掘層）：XX省電子政務云平臺建設不斷完善，基礎設備、服務器、網絡設備、安全設備不斷增多，網絡越來越復雜，各類數(shù)據(jù)信息的獲取通常處于被動狀態(tài)，不具備完善的網絡基礎信息庫，無法自動化智能化的統(tǒng)計出網內設備與應用的數(shù)量，無法有效識別網內分別都上架了什么樣的設備，存在那些應用。面對當前現(xiàn)狀，需要采用多樣化信息采集方式，主動全面獲取網內各類信息，構建全網網絡基礎信息庫。統(tǒng)計各類設備與應用，識別應用的基本信息。平臺技術架構SOC系統(tǒng)需實現(xiàn)對網絡中眾多安全信息系統(tǒng)的異構信息的集中監(jiān)控和管理，綜合分析和處理這些安全數(shù)據(jù)，從而實現(xiàn)全網的安全集中監(jiān)控。因此，該系統(tǒng)必須具有高可用性、負載均衡、方便擴展和分布式部署等特性。該系統(tǒng)基于J2EE平臺構架，具有很好的開放型和擴展性，其技術體系架構如下圖所示：圖4.2.3-1綜合SOC系統(tǒng)的技術體系架構SOC系統(tǒng)包括數(shù)據(jù)采集機、應用服務器、數(shù)據(jù)庫服務器和客戶端四部分。相關部分之間通過消息總線進行通訊。SOC系統(tǒng)的風險探知功能的整體功能結構如下圖所示：系統(tǒng)功能安全對象管理SOC系統(tǒng)通過對關鍵安全對象的實時監(jiān)控，以及對安全對象所產生的事件進行風險分析和處理，從而維護企業(yè)中各種安全對象的安全性。因此，安全對象的設置與分類是系統(tǒng)管理員在使用SOC系統(tǒng)時首先需要完成的工作。通過各種安全對象視圖可以查看安全對象的軟件硬件信息、漏洞補丁列表，通過查看該安全對象的最新的掃描報告可以了解最新的漏洞信息。同時，安全對象管理支持excel格式的導入導出功能。脆弱性管理SOC系統(tǒng)可以對系統(tǒng)中的相應安全對象進行脆弱性監(jiān)視，方便用戶隨時掌握各安全對象的名稱、IP、機密性、可用性、完整性及脆弱性等參數(shù)信息。SOC系統(tǒng)還提供了第三方漏洞掃描服務的管理接口，以便對相應安全對象進行脆弱性收集。管理員可以將第三方的漏洞掃描報告（如Nessus掃描報告）導入SOC系統(tǒng)，從而由SOC系統(tǒng)進行解析處理，最后得出相應安全對象的脆弱度。目前支持的掃描報告包括：Nessus掃描報告、綠盟XScan掃描報告、McAfeeFoundStone掃描報告、綠盟極光掃描報告、榕基掃描報告。SOC系統(tǒng)還提供通過問卷方式進行安全對象的脆弱性收集。可以采用在線問卷和問卷分發(fā)的方式進行問卷答題并完成對安全對象脆弱性進行收集。在線問卷方式是指用戶登陸到系統(tǒng)中選擇相應的安全對象以及問卷模版進行問答；問卷分發(fā)是指將問卷通過郵件系統(tǒng)分發(fā)至相應人員的郵箱中，然后利用相應工具來完成對問卷的問答；系統(tǒng)提供問卷結果導入的接口，方便用戶將問卷結果導入到系統(tǒng)中。系統(tǒng)通過提供多種收集方式來完成對安全對象脆弱性的全多方位收集。風險管理SOC系統(tǒng)主要依據(jù)ISO/IEC27000系列信息安全標準，結合安全服務的最佳實踐，可以提供面向企業(yè)的、實時的風險現(xiàn)狀的整體評估。SOC系統(tǒng)可以根據(jù)多項指標計算出安全對象所面臨風險數(shù)值，并根據(jù)指標的變化實時計算得出安全對象當前的風險狀況。SOC系統(tǒng)還可以自動地對超過既定閥值的風險進行響應，提醒管理員關注此安全對象的安全風險，以采取必要的安全防護手段。事件管理SOC系統(tǒng)通過多種方式采集網絡中各類安全事件，對采集到的事件執(zhí)行標準化、過濾、歸并等事件處理過程，并根據(jù)預先定義的分類規(guī)則對事件進行歸納分類，同時存儲到事件數(shù)據(jù)庫中進行數(shù)據(jù)保護。SOC系統(tǒng)支持主要的日志收集方式包括：syslog、snmptrap、文件、數(shù)據(jù)庫。對未知設備（系統(tǒng)）日志格式分析可以通過標記語言的方式實現(xiàn)，且不需要修改程序代碼。SOC系統(tǒng)通過業(yè)界先進的“關聯(lián)分析引擎”實現(xiàn)事件設備源與安全對象的關聯(lián)；使用狀態(tài)機模型來抽象和描述攻擊行為，建立多種攻擊關聯(lián)場景，有效地從大量安全事件中進行實時關聯(lián)分析，準確識別出真實的入侵行為，從而實現(xiàn)報警信息的精煉化、提高報警信息的可用信息量，減少報警信息中的無用信息，降低安全設備的虛警和誤警。同時，圖形化的攻擊場景配置，可以實現(xiàn)用戶快速響應安全問題，不斷優(yōu)化網絡的安全狀況。SOC系統(tǒng)提供了安全事件的實時監(jiān)控功能，全面地監(jiān)視在線網絡設備和主機發(fā)生的各種事件，幫助用戶實時了解網絡安全設備的安全環(huán)境、響應事件等的使用狀況，使得對于大型復雜網絡設備的監(jiān)視和管理變得易如反掌。SOC系統(tǒng)可同時基于事件、性能、狀態(tài)、安全等方面對設備、服務進行健康性觀察。可靈活的建立監(jiān)視對象模型，支持過濾、統(tǒng)計、排序以及分組，幻燈片，框架等，支持表格、指示燈、圖表(柱狀圖、圓柱圖、堆疊圖、線圖、餅圖，且可以靈活的設置圖表的表現(xiàn)形式)、樹型等展示方式。風險探知主動探測多樣化探測手段風險探知在探測技術方面融合多種探則技術手段，主要支持以下技術方面： 支持針對web漏洞掃描技術 支持系統(tǒng)漏洞掃描技術 支持針對操作系統(tǒng)的探測技術 針對端口的探測技術 服務探測技術 Web爬蟲技術 漏洞驗證與利用技術分布式探測技術風險探知支持分布式探測節(jié)點部署，通過分布式節(jié)點管理實現(xiàn)了對不同目標網絡的主動探測。多類型探測引擎風險探知采用基于消息總線和webService等通用擴展技術。通過消息總線可以實現(xiàn)對內部分布式探針的管理和擴展。可以很好的支持自有的分布式探針，同時也可以支持第三方的分布式探針。信息識別地理組織信息識別風險探知內置了一些輔助信息，可以識別所屬國家、所在省市、運營商、經緯度等信息。設備基礎信息識別風險探知內置的探測引擎可以識別設備端口、服務、操作系統(tǒng)類型；同時也可以識別設備類型、設備廠家等。工控信息識別風險探知通過探知可以識別工控設設備，識別工控協(xié)議。同時可以識別工控設備的端口、服務、操作系統(tǒng)等。DNS信息識別風險探知通過指紋庫的比對，對設備信息采集可實現(xiàn)探測目標DNS類型及版本號，目標操作系統(tǒng)類型及版本號，可發(fā)現(xiàn)探測目標的脆弱性信息。WEB應用信息識別風險探知通過指紋庫的比對，WEB應用信息采集引擎可探測WEB服務器操作系統(tǒng)版本類型和版本號、WEB服務器類型和版本號、中間件類型和版本號以及數(shù)據(jù)庫類型和版本號等信息收集和判斷。不但可以識別國外應用系統(tǒng),還可以識別國內應用系統(tǒng),如：智睿網站管理系統(tǒng),齊博CMS系統(tǒng)等等。郵件系統(tǒng)信息識別風險探知通過指紋庫的比對，設備信息采集可實現(xiàn)探測郵件服務器軟件類型和版本號以及操作系統(tǒng)類型及版本號。風險探知不止能夠識別國外郵箱,還支持國內郵箱如：盈世coremail,易郵eYouEmailSystem等郵箱的識別。網絡空間地圖多維搜索系統(tǒng)提供搜索功能對探測到網絡節(jié)點進行多維度的搜索快速定位符合條件的目標網絡節(jié)點，支持的信息搜索維度包括但不限于所屬國家、所屬城市、所屬組織、開啟的端口、運行的服務、IP、域名、存在的漏洞、運行的操作系統(tǒng)類型、運行WEB應用的標題等，通過多維搜索能夠對搜索結果進行展示，支持多種結果展示方式包括但不限于結果統(tǒng)計圖方式、結果列表方式等，通過多維搜索能夠查看目標網絡節(jié)點的詳細信息。關聯(lián)搜索系統(tǒng)提供關聯(lián)搜索功能，在按照多維搜索進行目標網絡節(jié)點搜索時，能夠根據(jù)提供的結果提供用于關聯(lián)搜索的條件進行快速搜索。例如：根據(jù)搜索出的網絡節(jié)點的所屬國家列表所屬城市等關聯(lián)搜索條件；根據(jù)搜索出的網絡節(jié)點的開啟端口列表給出端口關聯(lián)搜索條件等；根據(jù)目標網絡節(jié)點的IP地址給出相同網段其他的IP地址的關聯(lián)搜索條件等。安全態(tài)勢分析信息識別分析信息識別分析功能能夠實現(xiàn)對網絡節(jié)點屬性信息的關聯(lián)推理分析，達到對網絡節(jié)點未知屬性的發(fā)現(xiàn)和對已知屬性內容準確性的進一步完善。信息識別分析功能主要支持用戶根據(jù)長期的人工經驗積累對目標網絡節(jié)點進行信息識別，并將識別的結果新增或者更新到網絡節(jié)點上。信息識別分析功能提供人工經驗積累庫，能夠對信息識別的經驗進行記錄和共享，支持長期積累的經驗進行自動識別規(guī)則轉化。綜合統(tǒng)計分析綜合統(tǒng)計分析功能能夠通過圖、表、地圖等多種相結合的展現(xiàn)方式將探測結果進行統(tǒng)計分析后按照特定組合進行展示，供用戶直觀了解網絡探測結果。綜合統(tǒng)計分析的內容類型包括但不限于網絡節(jié)點按照國家、省份、運營商、操作系統(tǒng)類型、設備類型、服務類型、web服務器類型、應用類型等分布情況，包含高危端口網絡節(jié)點分布情況，包含高危漏洞網絡節(jié)點分布情況等。查詢統(tǒng)計分析查詢統(tǒng)計分析功能將探測結果數(shù)據(jù)分為多種類型，按照每種類型為用戶提供查詢檢索，查詢檢索結果能夠按照圖、表方式直觀展示并能下鉆查看結果詳細信息，高級搜索功能能夠提供關鍵字搜索能力，并將搜索結果與地圖相結合進行直觀展示。查詢統(tǒng)計分析的內容類型包括但不限于web網站名稱類、web服務器類、操作系統(tǒng)類、設備類型類、數(shù)據(jù)庫類、端口類、服務類、常見端口、地理位置類、運營商類、漏洞級別類、組件類型類等。應用場景分析應用場景分析能夠針對特定的應用目標，對探測數(shù)據(jù)進行分析并采用合適的展示技術進行分析結果展示，幫助用戶分析理解數(shù)據(jù)，找到有價值的信息。應用場景的類型包括但不限于網絡路由地圖、主機漏洞服務端口等關聯(lián)關系圖等。實時關聯(lián)分析SOC系統(tǒng)能夠使用狀態(tài)機模型來抽象和描述攻擊行為，建立多種攻擊關聯(lián)場景，有效地從大量安全事件中進行實時關聯(lián)分析，準確識別出真實的入侵行為，從而實現(xiàn)報警信息的精煉化、提高報警信息的可用信息量，減少報警信息中的無用信息，降低安全設備的虛警和誤警。SOC系統(tǒng)通過實時關聯(lián)分析實現(xiàn)對事件的關聯(lián)，可以有效的幫助用戶過濾事件，在大量事件、甚至是誤報事件中提取有用的信息。實時關聯(lián)來自不同設備的事件，可以大大的降低攻擊事件的誤報率，發(fā)現(xiàn)引發(fā)事件的真正原因和隱藏的威脅。同時，圖形化的攻擊場景配置，可以實現(xiàn)用戶快速響應安全問題，不斷優(yōu)化網絡的安全狀況。安全預警SOC系統(tǒng)提供了安全預警功能，根據(jù)來自預警信息分析獲得對可能發(fā)生的威脅的提前通告，安全預警是一種有效預防措施，和安全對象、風險管理等功能緊密聯(lián)系在一起。 安全預警分為預備預警和正式預警，預備預警審核后變成正式預警,并可以發(fā)布。預警信息除了在SOC系統(tǒng)內顯示以提醒相關人員外，還可以選擇郵件、短信和SNMPTraps等方式來通知相關人員。預警信息經安全管理員甄別后，由系統(tǒng)自動地與安全對象庫關聯(lián)，列出相應受影響的安全對象以及影響的嚴重程度，并自動通知相應的安全對象責任人。預警影響支持按照單個或多個安全對象、按地域、按照業(yè)務系統(tǒng)進行發(fā)送。同時安全預警可以手動產生預警和根據(jù)規(guī)則自動產生預警。告警管理安全事件在經過一系列的事件處理過程后，根據(jù)安全告警規(guī)則設置條件，將形成不同級別的安全告警信息。安全告警管理可以對系統(tǒng)內部產生威脅事件所發(fā)出的告警進行查看、追溯、確認、清除、查詢等操作。安全告警可以按條件如告警級別、告警類型、標題等進行歸并，同類事件只能觸發(fā)一次告警。SOC系統(tǒng)具備多種告警和響應方式，主要的告警方式是聲音告警、聲光報警、短消息、命令行告警、winpop告警、郵件告警、snmptrap告警等。同時，豐富的響應激活條件可以為規(guī)則定義提供更多的靈活性，同時可以根據(jù)需要減少和歸并告警的次數(shù)。用戶管理SOC系統(tǒng)是一個多用戶系統(tǒng)，查看或者處理用戶本身權限范圍內可瀏覽到的信息。SOC系統(tǒng)在用戶管理方式上采用基于角色的用戶認證和管理模式，一個角色可以被分配多種資源權限，用戶與資源權限之間是通過角色來聯(lián)系的。系統(tǒng)支持對系統(tǒng)管理員、系統(tǒng)操作員以及審計員三種不同角色的定義和分配，也支持細粒度的資源權限劃分，能夠靈活控制不同角色對不同資源的訪問權限。同時支持自定義用戶密碼策略。安全策略SOC系統(tǒng)所提供的安全策略管理功能可協(xié)助用戶制定各種級別，針對不同對象（人員、設備、應用）的安全策略，實現(xiàn)企業(yè)安全策略的快速導入以及安全策略的集中分級管理。同時支持安全策略的數(shù)據(jù)導出、安全策略的版本控制、安全策略的發(fā)布功能，實現(xiàn)企業(yè)內所有安全策略的全流程管理。工單管理SOC系統(tǒng)提供了工單管理功能。管理員可以手工創(chuàng)建和派發(fā)工單，也可以設定規(guī)則由系統(tǒng)在一定條件下自動創(chuàng)建/派發(fā)工單。SOC系統(tǒng)支持安全管理員選擇一個或多個關注的安全事件添加到指定的工單。并對工單進行派發(fā)，通過郵件提醒功能以及工單超時處理的功能來提高工單處理的及時性；提供了工單處理過程的監(jiān)控的功能，系統(tǒng)支持通過圖形化的方式展示工單的處理階段。知識庫管理SOC系統(tǒng)的安全知識庫包括安全經驗庫、漏洞庫、補丁庫、事故案例庫等。SOC系統(tǒng)漏洞庫支持CVE標準。事故案例庫主要是針對工單處理系統(tǒng)，對于典型的安全事故通過工單方式處理結束后，用戶可以將事故處理的過程信息保存在事故案例庫中，以方便用戶的知識積累和知識共享。數(shù)據(jù)庫管理對于存儲在數(shù)據(jù)庫中海量的事件信息，SOC系統(tǒng)提供了數(shù)據(jù)庫管理的功能，幫助用戶管理數(shù)據(jù)庫中的數(shù)據(jù)資料，為用戶提供便利的分組式管理及數(shù)據(jù)導入導出服務，保證用戶的數(shù)據(jù)安全。專家輔助決策管理SOC系統(tǒng)提供輔助決策功能，使用戶在處理事件時能夠采用標準的安全專家知識庫。用戶把現(xiàn)有的安全專家知識錄入系統(tǒng)中，并采用專家推理的技術，對當前發(fā)生的各類入侵行為，給出切實可行的決策方案和建議，提高安全管理的效率和智能化水平。每當用戶查看事件并調用輔助決策時，系統(tǒng)會根據(jù)事件的信息自動匹配輔助決策，由用戶決定是否對事件進行處理及如何處理。報表管理SOC系統(tǒng)的報表管理用于生成和管理各類事件及安全對象信息的報表。報表管理以組的方式對系統(tǒng)中的報表對象及已經生成的報表進行管理，為用戶提供了各類統(tǒng)計信息的直觀綜合的視圖。SOC系統(tǒng)報表管理預置了豐富的系統(tǒng)報表，可以充分滿足用戶的需求。報表支持多種格式的顯示包括：pdf、html、excel、rtf等。報表的生成方式分為手工報表和自動報表兩種，手工報表支持根據(jù)用戶輸入的統(tǒng)計參數(shù)立即生成報表，自動報表可以按照每小時、每天、每周、每月、每年等周期的方式定時生成報表。使用報表管理強大的定制功能，用戶可以自定義報表的logo、大標題、小標題、統(tǒng)計內容、統(tǒng)計條件以及統(tǒng)計圖形樣式等。產品優(yōu)勢分權分域的管理模式實現(xiàn)分權分域的應用模式，通過在浙江省中心部署安全管理平臺，實現(xiàn)省、市、區(qū)縣三級模式下的分權分域應用，從全省統(tǒng)一管理的全局出發(fā)，平臺通過分權分域的管理模式，滿足上級對非本地局域網內的下級的管理，例省級管理員能夠看到所有的排名，并可下鉆看到全部詳細信息，市級管理員能夠看到本級在全省的排名，但只能下鉆本級查看詳細的信息，縣級管理員能夠看到在全市的排名，但只能下鉆本級的詳細數(shù)據(jù)。多視角展示技術（Portal和監(jiān)視儀表盤）其一，首頁門戶展示其二，監(jiān)視儀表盤展示綜合實現(xiàn)可視化界面的呈現(xiàn)，界面動態(tài)展現(xiàn)為浙江省地圖，浙江省及各地市區(qū)以線形明確區(qū)分，首頁展示信息需要包含“攻擊區(qū)域排名、流量區(qū)域排名、病毒區(qū)域排名”等信息。資產的整理資產識別資產識別和賦值的目的就是要對XX省電子政務云平臺的各類資產做潛在價值分析，了解其資產利用、維護和管理現(xiàn)狀；明確各類資產具備的保護價值和需要的保護層次，從而使組織能夠更合理地利用現(xiàn)有資產，更有效地進行資產管理，更有針對性地進行資產保護，最具策略性地進行新的資產投入。各項資產可歸入不同的類別，歸類的目的是反映這些資產對評估對象系統(tǒng)或領域的重要性。依據(jù)資產的屬性，主要分為以下幾個類別：軟資產軟件資產包括各種專門購進的系統(tǒng)與應用軟件（比如操作系統(tǒng)、業(yè)務系統(tǒng)、辦公軟件、防火墻系統(tǒng)軟件等）、隨設備贈送的各種配套軟件、以及自行開發(fā)的各種業(yè)務軟件等。硬資產物理資產主要包括各種主機設備（比如各類PC機、工作站、服務器等）、各種網絡設備（比如交換、路由、撥號設備等）、各種安全設備（比如防火墻設備、入侵檢測設備等）、數(shù)據(jù)存儲設備、各類工控設備（攝像頭等）。基于安全驅動的一體化解決方案SOC系統(tǒng)可整合和集中管理企業(yè)內部現(xiàn)有安全資源，通過關聯(lián)分析、智能響應、與其他安全管理組件的組合，實現(xiàn)即時監(jiān)控、安全預警告警、及時防護響應的閉環(huán)管理。同時，還可幫助企業(yè)及時準確地了解自身安全現(xiàn)狀和走勢，從而以最小的投入獲取最大的安全。面向服務的體系架構SOC系統(tǒng)采用J2EE的體系架構設計，通過基于WEB的門戶管理系統(tǒng)向認證用戶提供基于B/S架構的管理界面，無須用戶安裝客戶端軟件。可擴展的事件收集SOC系統(tǒng)可通過代理（Agent）收集多類安全事件源產生的日志信息，如安全設備、網絡設備、操作系統(tǒng)以及應用系統(tǒng)等，目前支持的日志格式包括Syslog、Snmptrap、文件、數(shù)據(jù)庫，系統(tǒng)還可以使用天融信專利技術（專利號：200710304767.3）以提供對未知設備（系統(tǒng)）日志格式分析、擴展的支持。先進的事件歸并技術SOC系統(tǒng)的事件歸并技術可以根據(jù)用戶指定要歸并的信息的特征、字段等信息進行歸并，只有具有該特征、字段的信息才可以被歸并，即當多個信息的指定特征、字段的內容一致時，產生一個歸并信息。同時，用戶可以自己指定是否丟棄原始信息，當指定丟棄原始信息時，被歸并的原始信息將被丟棄，只保留歸并產生的信息；否則，原始信息和歸并產生的信息都將被保留。如果歸并超時前，符合歸并條件的信息達到歸并閥值，則產生歸并信息；如果超時已到，但符合歸并條件的信息未到歸并閥值，則不產生歸并信息，原始的信息將被保留。標準的SQL92語法過濾技術SOC系統(tǒng)通過使用SQL92語法標準制訂事件過濾條件，使用戶直觀的定義事件過濾條件，在事件收集、事件監(jiān)視、報表定制中可以體現(xiàn)其強大的靈活性，滿足各種業(yè)務需要。同時，SOC系統(tǒng)在支持SQL92語法標準的同時，更加方便用戶定義強大的事件過濾條件。持續(xù)改進的風險管理保障SOC系統(tǒng)依據(jù)內置的風險管理模型，不僅可向用戶提供動態(tài)、實時的風險評估以及多視角（安全對象）、多視圖（儀表、拓撲、地圖）的企業(yè)風險可視化展示，還可根據(jù)靈活的響應方式和專家系統(tǒng)建議指導用戶采取有效、及時、恰當?shù)姆雷o手段,為企業(yè)實現(xiàn)閉環(huán)的、持續(xù)改進的風險管理提供有效保證。系統(tǒng)高安全性SOC系統(tǒng)各功能模塊間的通信均可采用SSL加密方式（用戶可選）進行；用戶的認證和管理由認證系統(tǒng)完成，認證系統(tǒng)提供了基于角色的用戶管理功能；系統(tǒng)和用戶的交互由門戶系統(tǒng)完成，可以向用戶提供基于HTTPS協(xié)議的WEB管理。通過這些安全措施，有效地防止了由于網絡監(jiān)聽或賬號濫用造成的一系列安全問題。系統(tǒng)易擴展性SOC系統(tǒng)具有先進的架構設計，靈活的跨平臺、跨地域的部署方式，集中、安全的平臺管理模式，優(yōu)異的可擴展性，可根據(jù)企業(yè)網絡架構的變化，平滑地實現(xiàn)系統(tǒng)的升級與擴展。統(tǒng)一安全策略管控與協(xié)同系統(tǒng)信息安全管理是一個復雜的問題，對技術人員的水平要求很高。根據(jù)Gartner的統(tǒng)計，99%的防火墻安全事件均是由防火墻的配置錯誤而引起，統(tǒng)一安全策略管控與協(xié)同系統(tǒng)的缺乏，使得信息安全管理更加復雜。國際層面有風險管理，國家層面有信息安全等級保護，企業(yè)層面有基線核查，從不同視角對信息安全提出了明確要求。政府需要自動化工具。正是從這個意義上需要一個能夠統(tǒng)一安全管理企業(yè)部署的網絡設備的系統(tǒng)。設備要能夠集中管理、監(jiān)控、核查、審計全網安全策略的網元，實現(xiàn)統(tǒng)一地策略采集、策略分析與策略下發(fā)和執(zhí)行，減少了大量的人為誤操作，提升了政府網絡安全能力和管理能力，降低風險和成本。安全基線的建立和應用對安全策略的管控與協(xié)同工作，應當首先建立一套本組織在當前時期的“理想化安全水平基準點”，即“安全基線”。這個“安全基線”可以同時包含政策合規(guī)性的需求、自身的安全建設發(fā)展需求、特殊時期的安全保障需求等，然后通過一些手段（比如自動化的評估工具）對組織現(xiàn)有的安全水平進行分析。通過對比“理想化安全水平基準點”，就形成了一套差距分析結論。企業(yè)自身針對這個差距進行適時監(jiān)測、確認和跟蹤即可，對任何違規(guī)情況進行預警或通報，提出“補足差距”的建議方案；而這個“理想安全水平基準點”就是該組織的最優(yōu)安全狀態(tài)。追求規(guī)避全部風險也是不現(xiàn)實的，信息系統(tǒng)在達到基線水平之后，部分風險自然會被轉移或降低。這樣便可以實現(xiàn)持續(xù)定義安全基線，持續(xù)監(jiān)管和持續(xù)改進，可以使每一時期每一階段的安全水平都是可控的。同時，收集完數(shù)據(jù)后，根據(jù)企業(yè)安全狀況進行風險的度量，輸出結合政策法規(guī)要求的風險報表。系統(tǒng)架構策略統(tǒng)一管理是統(tǒng)一安全策略管控與協(xié)同系統(tǒng)的核心功能之一，能夠最全面的了解整個網絡，包括：設備的可用性、接口流量、版本、配置信息、路由信息和日志等；全網拓撲、設備性能排行、設備接口流量排行；全網攻擊事件、病毒信息、木馬信息、應用分布流量等。統(tǒng)一安全策略管控與協(xié)同系統(tǒng)提供對各種信息的實時監(jiān)控，歷史查詢和綜合審計報表，用戶可以根據(jù)自己的實際需求來定制不同的功能管理界面。實時監(jiān)控通過各種圖形化的方式，最清晰、直觀和生動的展現(xiàn)信息。歷史查詢功能提供設備狀態(tài)、日志、隧道連接信息的詳細記錄，方便用戶在遇到問題時進行定位和跟蹤。審計報表提供了豐富的報表模板，用戶還可以根據(jù)自己的需求來自定義報表。系統(tǒng)提供全面可靠的設備安全保障服務，通過基于角色的、安全的訪問方式進行管理，迅速配置準確的攻擊監(jiān)測和網絡威脅防御，從各個方面提升用戶網絡環(huán)境的安全性。TopPolicy提供360°安全設備體檢功能，通過一鍵式操作對設備配置、策略、設備當前狀態(tài)、歷史狀況、漏洞情況等多方進行綜合檢測和分析并最總打出分數(shù)，保障設備自身的配置正確和安全，不僅僅保障企業(yè)的安全投資，同時帶來安全投資的價值提升。系統(tǒng)功能建立安全基線，落實風險控制要求通過統(tǒng)一安全策略管控與協(xié)同系統(tǒng)對重要信息系統(tǒng)建立安全配置基線，將業(yè)務的安全需求轉換為對網元設備的具體技術要求進行落實。統(tǒng)一安全策略管控與協(xié)同系統(tǒng)為管理者的定量觀點與安全專家所采用的具體檢測方法之間架設了橋梁，通過建立業(yè)務系統(tǒng)的安全配置基線，以實現(xiàn)業(yè)務系統(tǒng)的安全風險度量，讓安全風險可控、可管。基于實踐的安全配置知識庫統(tǒng)一安全策略管控與協(xié)同系統(tǒng)系統(tǒng)的安全配置庫來源于科技多年安全服務的執(zhí)著實踐，每一條安全配置都是科技安全服務團隊的多年評估服務的結晶。該知識庫內容涵蓋了操作系統(tǒng)、網絡設備、數(shù)據(jù)庫、中間件等多類設備及系統(tǒng)的安全配置加固建議，通過該知識庫可以全面的指導IT信息系統(tǒng)的安全配置及加固工作。并且根據(jù)IT信息系統(tǒng)的不斷發(fā)展持續(xù)進行更新。多類型設備自動化的安全配置核查能夠根據(jù)安全配置知識庫的要求，判斷待查設備的檢查項目達標與否，支持百分制對目標系統(tǒng)的達標情況進行打分。現(xiàn)有安全配置核查系統(tǒng)的檢查對象涵蓋了：WindowsXP/2003Server中英文版本操作系統(tǒng)、Solaris8/9/10中英文版本操作系統(tǒng)、AIX5.x操作系統(tǒng)、Linux操作系統(tǒng)、Oracle8i/9i/10g數(shù)據(jù)庫、Informix數(shù)據(jù)庫、思科網絡設備、華為網絡設備、Juniper網絡設備。檢查的內容包括四個部分，分類如下：賬號管理、認證和授權（賬號、口令和授權）日志配置操作IP協(xié)議安全配置操作設備其他配置操作集中自動化的配置安全核查運用遠程核查與本地核查相結合的方式，在多種復雜應用環(huán)境下均可實現(xiàn)自動化的大規(guī)模性安全配置檢查。通過“遠程登錄探測”功能，可以完全模擬人進行遠程登錄目標設備以進行安全配置檢測，不會對目標設備正常運行造成任何影響。對隔離設備等特定使用環(huán)境，“本地安全檢測”功能可直接在目標主機上收集相應的安全配置信息，并能夠將數(shù)據(jù)匯總到統(tǒng)一安全策略管控與協(xié)同系統(tǒng)設備上進行統(tǒng)一的數(shù)據(jù)匯總分析。針對大多采用Windows終端的辦公網使用環(huán)境，可通過“ActiveX檢測”功能自動的對所用終端進行檢測，并可進行統(tǒng)一數(shù)據(jù)分析。多級多用戶分權使用針對現(xiàn)有省移動的組織結構和網絡環(huán)境中，支持多級多用戶分權使用。多管理員使用配置安全核查系統(tǒng)，對每個使用者能夠設定其允許檢查的范圍，檢查過程中不能對目標系統(tǒng)的配置進行任何修改，只能進行安全基線檢查工作。支持集中的管理員功能，能對所有配置安全核查的結果進行統(tǒng)一的查閱和分析。全面靈活的報表功能綜合運用歷史數(shù)據(jù)搜索、對比分析、匯總查看、趨勢分析等工具，不僅可直觀了解單個系統(tǒng)的問題分布及危害，還可同時掌握多個不同省、市公司、業(yè)務系統(tǒng)的綜合風險變化情況，從而最終做出安全對比評定。可為網絡安全狀況的評定和未來網絡建設提供了強有力的決策支撐。根據(jù)不同閱讀人員的需要生成各種自定義報告，提供所需的相關數(shù)據(jù)，從多個視角反映網絡的整體配置安全狀況。可對不同的檢查點，定義不同的風險分值，對不安全配置分布、危害、平均符合度、設備信息等多視角進行細粒度的統(tǒng)計分析，生成基于不同角色、不同內容和不同格式的報表。配置加固指南針對每一條不符合規(guī)范的配置項，安全配置核查系統(tǒng)提供了詳細的配置安全加固指南。加固指南切合具體的設備類型、系統(tǒng)版本，提出對應的執(zhí)行命令、參數(shù)供加固人員參考，能有效的指導加固操作。堡壘機云平臺的管理運維人員、第三方運維人員以及租戶需要多云計算平臺的主機、應用及網絡設備進行管理、維護操作。為了發(fā)現(xiàn)和防止不當操作、越權操作的發(fā)生，需要對此類用戶進行認證、授權、訪問控制和審計。1、堡壘機功能堡壘機可以提供一套先進的運維安全管控與審計解決方案，目標是幫助云計算中心運維人員轉變傳統(tǒng)IT安全運維被動響應的模式，建立面向用戶的集中、主動的運維安全管控模式，降低人為安全風險，滿足合規(guī)要求，保障企業(yè)效益。2、部署云計算平臺的管理用戶類型主要包括：云平臺運維管理人員、第三方管理人員以及云平臺租戶。從網絡訪問途經講，有內部網絡訪問和來自互聯(lián)網的訪問。堡壘機部署在管理終端和被管理設備之間，并實現(xiàn)邏輯上的串聯(lián)部署，同時，堡壘機應部署在管理平面，實現(xiàn)和用戶數(shù)據(jù)的隔離。一般部署情況如下圖所示：堡壘機部署圖管理區(qū)可以細分為運維管理子區(qū)、安全管理子區(qū)。運維管理子區(qū)主要部署虛擬化管理平臺、云運維管理平臺、網絡管理平臺等，其防護與傳統(tǒng)的IT系統(tǒng)基本相同，不再贅述。對于安全管理子區(qū)，一般會集中化部署安全防護措施的管理服務器、提供通用安全服務的服務平臺，如綜合安全管理服務器、防病毒服務器、安全檢查/評估系統(tǒng)、安全態(tài)勢監(jiān)測系統(tǒng)等，實現(xiàn)“大院式”防護，降低防護成本。安全管理子區(qū)對于云平臺來講，這里采用的安全防護措施可與虛擬化管理平臺、云管理平臺有機集成，如實現(xiàn)虛擬機配置/活動信息的獲取、租戶信息的獲取、虛擬機所部署應用的信息的獲取等，以實現(xiàn)全程自動化實現(xiàn)。。漏掃系統(tǒng)依據(jù)等保三的要求，應定期對網絡系統(tǒng)進行漏洞掃描，對發(fā)現(xiàn)的網絡系統(tǒng)全漏洞進行及時的修補；系統(tǒng)安全管理，應定期進行漏洞掃描，對發(fā)現(xiàn)的系統(tǒng)安全漏洞及時進行修補；至少每半年對系統(tǒng)服務器等進行漏洞掃描，對高危漏洞應及時修補。防病毒系統(tǒng)虛擬環(huán)境基礎架構除了具有傳統(tǒng)物理機的風險之外，同時也會帶來其虛擬系統(tǒng)自身的安全問題。新安全威脅的出現(xiàn)自然就需要新方法來處理。通過大量的調研，目前廣泛使用的虛擬化環(huán)境內存在以下安全隱患：防病毒軟件對資源的占用沖突導致防病毒風暴目前在虛擬化環(huán)境中對于虛擬化服務器仍使用每臺虛擬操作系統(tǒng)安裝防病毒客戶端的方式進行病毒防護。在防護效果上可以達到安全標準，但如從資源占用方面考慮存在一定安全風險。由于每個防病毒客戶端都會在同一個物理主機上產生資源消耗，并且當發(fā)生客戶端同時掃描和同時更新時，資源消耗的問題會愈發(fā)明顯。嚴重時可能導致ESX服務器宕機。亞信科技針對以主機為單位提供全新的信息安全防護方案——DeepSecurity，通過病毒防護等功能實現(xiàn)虛擬主機和虛擬系統(tǒng)的病毒防護，并滿足信息系統(tǒng)合規(guī)性審計要求。針對虛擬化面臨的風險，建議采用亞信科技的虛擬化解決方案，構建虛擬化平臺的基礎架構多層次的綜合防護。傳統(tǒng)的病毒針防護解決方案都是通過安裝Agent代理程序到虛擬主機的操作系統(tǒng)中，在整合服務器虛擬化后，要實現(xiàn)針對病毒的實時防護，同樣需要在虛擬主機的操作系統(tǒng)中安裝防病毒Agent程序，但是服務器虛擬化的目的是整合資源，最大化的發(fā)揮服務器資源的利用率，而傳統(tǒng)的防病毒技術需要在每個虛擬主機中安裝程序，例如：一臺服務器虛擬6臺主機，傳統(tǒng)方法將Agent需要安裝6套，并且在制定掃描任務就需要消耗虛擬主機的計算資源，這種方式并沒有達到節(jié)約計算資源的效果，反而增加了計算資源的消耗，并且在病毒庫更新是帶來更多的網絡資源消耗。亞信科技針對虛擬化環(huán)境提供創(chuàng)新的方法解決防病毒程序帶來的資源消耗問題，通過使用虛擬化層相關的API接口實現(xiàn)全面的病毒防護。針對虛擬化環(huán)境，具體如下：亞信科技在虛擬化系統(tǒng)中通過專用的接口實現(xiàn)針對虛擬系統(tǒng)和虛擬主機之間的全面防護，無需在虛擬主機的操作系統(tǒng)中安裝Agent程序，即虛擬主機系統(tǒng)無代理方式實現(xiàn)實時的病毒防護，這樣無需消耗分配給虛擬主機的計算資源和更多的網絡資源消耗，最大化利用計算資源的同時提供全面病毒的實時防護。在公安部等保三的主機安全中要求，應安裝防惡意代碼軟件，并及時更新防惡意代碼軟件版本和惡意代碼庫；主機防惡意代碼產品應具有與網絡防惡意代碼產品不同的惡意代碼庫；應支持防惡意代碼的統(tǒng)一管理。同時具備以下功能：具備24小時自動防護功能。對已經感染病毒的文件，能夠通過先進的修復工具保證文件免受破壞。能夠在各種可能感染病毒的途徑上加強防范，尤其必須能夠預防病毒通過電子郵件傳播。具備先進的檢測、排除病毒功能，能夠查、殺現(xiàn)有各類病毒，具有動態(tài)升級擴充能力。對服務器系統(tǒng)性能的影響應該非常小，能夠實現(xiàn)對工作站端的病毒隔離。病毒定義和掃描病毒引擎的更新必須快速方便，能夠自動提供各類動作的記錄和統(tǒng)計報告。能夠對防病毒系統(tǒng)客戶端實現(xiàn)集中管理，網上分發(fā)功能。網頁防篡改系統(tǒng)依據(jù)國家電子政務外網管理中心的要求，在門戶網站前需要部署網頁防篡改、WEB防火墻等設備。目前“同城雙活機房”（省二院）部署了一套網頁方篡改可以利舊，本次項目中將根據(jù)實際情況需要增加認證許可數(shù)量。網站安全監(jiān)測系統(tǒng)系統(tǒng)架構本系統(tǒng)設計按照信息安全三大屬性：可用性、完整性、機密性（簡稱：AIC）屬性設計，遵循以下基本規(guī)范進行設計：（1）考慮系統(tǒng)功能復用，考慮結構復用，減少冗余無論互聯(lián)網模式或者以設備部署的模式，相關功能（檢測、監(jiān)測、可用性展現(xiàn)）是確定的，因此，通過合理架構系統(tǒng)，功能模塊化，模塊接口豐富，可減少冗余開發(fā)工作；同時，必須考慮不用客戶群的個體屬性，（2）系統(tǒng)設計必須支持大規(guī)模應用和擴展需求單點設備或者互聯(lián)網規(guī)模用戶，都可能存在用戶規(guī)模問題。單點設備是否可以冗余？系統(tǒng)規(guī)模是否隨著硬件成比例增加？（3）系統(tǒng)的關鍵業(yè)務點，必須考慮業(yè)務冗余、系統(tǒng)冗余的思路；（4）系統(tǒng)設計考慮異構和當前業(yè)務多樣化需要。Web預警監(jiān)控系統(tǒng)體系結構圖如圖5所示，具體結構設計述如下幾方面。圖5預警監(jiān)控系統(tǒng)體系結構圖基于網絡的網站監(jiān)控預警系統(tǒng)的系統(tǒng)的核心模塊進行了設計，該設計的后臺主要模塊分為四個：控制調度模塊、網絡爬蟲模塊、掃描功能模塊和數(shù)據(jù)庫。在此論述系統(tǒng)的設計思想及相關的技術原理，其各模塊的工作關系如圖6所示。圖6模塊的工作關系圖（1）控制模塊控制調度模塊，既是控制整個系統(tǒng)執(zhí)行順序的模塊，一般的小型系統(tǒng)可以將控制調度的邏輯直接寫進代碼中，這樣，系統(tǒng)就能嚴格按照代碼的順序執(zhí)行相關的功能，但是如若系統(tǒng)增加了一個功能或者刪減了一個功能，就需要對調度的代碼做直接修改，對于一個注重擴展性的系統(tǒng)而言，這顯然是不合理的，當一個系統(tǒng)經常做功能上的修改，這種方式將浪費掉大量的時間和精力，抬高了系統(tǒng)的維護成本，本文設計的系統(tǒng)的特點之一便是擴展性強，所以本系統(tǒng)將調度模塊和其它模塊解耦，調度模塊只從配置文件獲得各個模塊的執(zhí)行順序，而一旦有模塊的增加或刪減，也只對配置文件做修改，這樣就避免了模塊之間的耦合，提高了系統(tǒng)的擴展性。其工作流程如圖7所示：圖7控制模塊工作流程圖第一步：加載系統(tǒng)和數(shù)據(jù)庫的配置文件，獲得運行參數(shù)。第二步：根據(jù)配置文件獲得的參數(shù)，將http訪問、數(shù)據(jù)庫、和線程池等系統(tǒng)運行的公共組件進行初始化。第三步：根據(jù)獲得的運行參數(shù)及調度順序，后臺各功能模塊順序執(zhí)行。（2）配置文件模塊為了使各個模塊之間的解耦，本系統(tǒng)運行中用到的可變參數(shù)均通過配置文件的形式給定，根據(jù)本系統(tǒng)的架構，用到的配置文件：Config.xml、SysConfig.xml、CrawlConfig.xml、LoginSequnce.xml、DataBaseConfig.xml、ScanTemplate.xml。所有配置文件均采用XML格式給出。其中，Config.xml是系統(tǒng)啟動時加載的第一個配置文件，但其并未提供具體的配置，而是羅列了其它所有配置文件的路徑，系統(tǒng)通過讀取Config.xml，可依次加載各個配置文件；SysConfig.xml可配置系統(tǒng)的運行參數(shù)，例如開啟的最大的線程并發(fā)數(shù)、響應超時時間等；CrawlConfig.xml則可配置網絡爬蟲的參數(shù)，如掃描的最大深度等；LoginSequnce.xml則是用于記錄需登錄方可訪問網頁時的cookie信息，以提供給爬蟲程序爬取這些頁面，DataBaseConfig.xml則是對數(shù)據(jù)庫的相關配置；ScanTemplate.xml可配置各個漏洞類型掃描的執(zhí)行順序及執(zhí)行參數(shù)，如SQL注入掃描和XSS掃描。如圖8所示：圖8配置文件模塊關系圖（3）網絡爬蟲模塊根據(jù)上面的論述，本系統(tǒng)采用表單爬蟲，應用發(fā)現(xiàn)新站點的自適應窗口策略以及提取表單的導航鏈接策略。爬蟲程序在Web漏洞檢測中的功能有兩個：1、得到目標站點的目錄結構。2、提取出網頁中如表單的動態(tài)交互點等信息。爬蟲程序首先使用自適應窗口策略得到站內所有站點，并將站點的URL存入unserarchedsite隊列中，之后爬蟲程序遍歷unserarchedsite隊列，從每個站點開始，使用導航鏈接策略搜索包含表單信息的頁面，并將其URL存入unserarchedpage隊列中。由于遍歷過程相同，因此站點URL和頁面URL采用相同的隊列和數(shù)據(jù)表結構，分別為unserarchedsite隊列、searchedsite表和unserarchedpage隊列、searchedsitepage表，隊列和數(shù)據(jù)表的結構如圖9所示：圖9隊列和數(shù)據(jù)表的結構圖由于爬蟲程序對站點的遍歷和對網頁的遍歷過程相同，現(xiàn)對其統(tǒng)一描述：爬蟲程序將得到的有效地未爬取的url存入先進先出的unserarched隊列，將已經爬取過的url則存入searched表中，searched表有兩個字段，URL/鏈接和URL別名，都為VARCHAR(255)類型，為了防止反復爬取相同的url而使得爬蟲程序陷入死循環(huán)，爬蟲程序每次從unserarched隊列頭取出url，將該url與serarched表中的所有url進行遍歷匹配，如該url已存在于serarched表中，則舍棄，若不存在，則采用。為使得爬蟲的爬行深度可以設置，可從站點的根目錄開始，對爬行的深度進行計數(shù)，當子目錄的層次超過預設定的值時，爬蟲程序結束爬行。網絡爬蟲在得到頁面URL的同時，爬蟲程序利用HTML解析器，也獲取到了如動態(tài)表單等的動態(tài)交互點的信息，爬蟲程序將表單中method、test、value、submit、get、post等關鍵字，及表單的提交方式和隱藏屬性提取出來。并將這些協(xié)議數(shù)據(jù)存入數(shù)據(jù)庫的協(xié)議數(shù)據(jù)表中。綜上，網絡爬蟲模塊的功能為爬行目錄結構和分析頁面信息，而對頁面的爬行和分析的過程是交互進行的，可通過線程池實現(xiàn)它們的并行執(zhí)行，使得爬蟲程序在爬取新頁面的同時對已經獲取到的頁面進行分析，提高執(zhí)行效率，其執(zhí)行流程如圖10所示。圖10網絡爬蟲模塊流程圖（4）協(xié)議分析模塊如前所述，爬蟲程序獲得了目標站點的目錄結構以及所有頁面的協(xié)議信息，并已將頁面的協(xié)議信息存入協(xié)議數(shù)據(jù)庫中，協(xié)議分析模塊的工作便是將協(xié)議數(shù)據(jù)庫中的數(shù)據(jù)和檢測參數(shù)數(shù)據(jù)庫發(fā)生關聯(lián)，產生攻擊請求，再將攻擊請求存入檢測結果數(shù)據(jù)庫中，以供模擬攻擊模塊調用。由于一個web站點所有頁面的協(xié)議數(shù)據(jù)量可能非常龐大，而并不是所有的協(xié)議數(shù)據(jù)都會產生漏洞，因此，必須對協(xié)議數(shù)據(jù)進行全面而詳細的分析，協(xié)議分析模塊會遍歷協(xié)議數(shù)據(jù)庫中的所有數(shù)據(jù)，找到這些動態(tài)交互點中可以向目標web站點提交的參數(shù)類型，并將這些參數(shù)類型和檢測參數(shù)數(shù)據(jù)庫中的參數(shù)類型進行匹配，生成攻擊請求URI及其特征信息，并將其存入檢測結果數(shù)據(jù)庫中。協(xié)議分析模塊會根據(jù)一個交互點的一種數(shù)據(jù)類型生成所有的檢測請求，模擬攻擊模塊針對這種數(shù)據(jù)類型的攻擊請求發(fā)送完畢后，協(xié)議分析模塊再產生同一個交互點的其它數(shù)據(jù)類型的檢測請求，直到所有數(shù)據(jù)類型測試完畢后，再針對下一個交互點重復同樣的過程。（5）模擬攻擊模塊模擬攻擊模塊負責每次從檢測結果庫中取出一條記錄，向web站點發(fā)送HTTP或者HTTPS的URI請求，得到響應狀態(tài)碼和響應內容，再將其和檢測結果庫中該記錄對應的參數(shù)信息進行對比，若響應狀態(tài)碼和Status字段相等或者響應內容包含Keyword中所羅列的關鍵字，則可判定為攻擊成功，存在漏洞，則該記錄不變，否則，攻擊失敗，不存在該漏洞，將該記錄從檢測結果庫中刪除。值得注意的是，由于模擬攻擊模塊可集中的向目標站點發(fā)送大量的URI請求，這可能會影響到目標站點，應設法避免這種情況的發(fā)生。由于不管是基于哪種漏洞的檢測，比如SQL注入和XSS跨站腳本，或者其它的漏洞類型，改變的只是檢測參數(shù)數(shù)據(jù)庫，而其它的系統(tǒng)執(zhí)行和調用流程，統(tǒng)一的，所以不對某種特定的漏洞檢測單獨論述。基于以上，掃描攻擊模塊的執(zhí)行流程如圖11所示。圖11掃描攻擊模塊執(zhí)行流程圖系統(tǒng)功能Web系統(tǒng)掃描和漏洞掃描監(jiān)控服務目前該系統(tǒng)支持遠程OWASP定義的Web威脅和及其相關的漏洞掃描監(jiān)控服務。通過遠程的Web應用業(yè)務漏洞掃描服務，由安全專家定期進行Web應用業(yè)務結構分析、漏洞分析，即時獲得Web應用業(yè)務的漏洞情況，以及修補建議，漏洞掃描如圖1-1、圖1-2所示：監(jiān)控平臺除了提供Web漏洞掃描引擎，還提供了內置了端口探測、未知站點探測、弱口令破解（圖1-1弱口令檢測）等安全工具，檢測網站的中間件、程序代碼是否存在漏洞。圖1-1弱口令檢測圖1-2漏洞掃描圖1-3漏洞掃描模板網絡釣魚監(jiān)控服務基于云計算技術（SaaS），具有先天的防釣魚優(yōu)勢。通過構建可信URL數(shù)據(jù)庫、IP信譽和自動化的掃描輔助以人工確認等綜合手段，從而構建高效、準確的反釣魚監(jiān)控系統(tǒng)。監(jiān)控系統(tǒng)可以針對制定網站利用搜索引擎的方式檢測互聯(lián)網上存在的假冒的釣魚網站，同時支持三種搜索引擎的釣魚檢測算法，對釣魚鏈接或者網頁能保留證據(jù)，如圖1-4所示：圖1-4釣魚檢測網頁木馬檢測服務采用業(yè)內領先的一體化掛馬檢測技術，高效、準確的識別網站頁面中的惡意代碼，從而使的網站管理員能夠第一時間感知網站的安全狀態(tài)，及時清除網頁木馬，避免給用戶帶來安全威脅，繼而影響網站信譽。采用強大的爬蟲技術提供全面的測試用例,靜態(tài)和動態(tài)檢測技術結合,靜態(tài)技術采用惡意URL庫以及惡意代碼庫相結合的方式,動態(tài)技術基于瀏覽器沙盒技術,無視各種腳本變形、加密技術，如圖1-5所示：圖1-5木馬檢測技術電子渠道內容檢測服務檢測目標站點頁面是否遭受篡改，檢測目標網站頁面中是否包含黑鏈，檢測目標網站頁面中是否包含政治、色情、犯罪等類別的敏感字，如圖1-6、圖1-7所示：1）對頁面篡改監(jiān)控提供兩種模式處理：對于網站結構或者屬性單一的用戶，提供基于防護的篡改監(jiān)控防護模式。用戶可以根據(jù)自己情況，從管理中心下載與其服務器相對應的防篡改客戶端，安裝在自己服務器上，和管理中心互聯(lián)，完成”監(jiān)控-防護”的功能；基于掃描的網頁篡改監(jiān)控服務。通過遠程實時監(jiān)測目標網站頁面的信息，一旦發(fā)現(xiàn)頁面被篡改情況，第一時間通知用戶。用戶可根據(jù)WebRay提供的安全建議及時修復被篡改頁面，避免篡改事件影響擴散，給自身帶來聲譽和法律風險。遠程實時監(jiān)測目標站點頁面狀況，發(fā)現(xiàn)頁面出現(xiàn)敏感關鍵詞，第一時間通知用戶。用戶可參考提供的安全建議及時刪除敏感內容，避免事件影響擴散，給自身帶來聲譽和法律風險。用戶也可以自定義所關心的敏感關鍵詞。監(jiān)控系統(tǒng)可以對網站的頁面內容安全做檢測，包括篡改、暗戀、敏感詞做檢查。其中篡改檢測采用自主知識產權的頁面矢量比較算法，能夠識別頁面正常更新和篡改，暗戀檢測采用動態(tài)沙箱技術檢測js動態(tài)生成的暗鏈，css暗鏈等。敏感詞檢測采用語義分析技術針對政治、色情、犯罪等敏感信息進行檢測。圖8.6內容監(jiān)控策略圖1-7內容監(jiān)控模板Web應用業(yè)務可用性監(jiān)測服務應用監(jiān)控主要涉及以下指標：Web應用業(yè)務可用性、Web應用業(yè)務從不同線路來訪問得速度情況、Web應用業(yè)務響應時間，從而判斷是否能達到最優(yōu)、最安全的服務質量。通過監(jiān)測系統(tǒng)，從各省運營商網絡線路遠程實時監(jiān)測目標站點在多種網絡協(xié)議下的響應速度、首頁加載時間等反映Web應用業(yè)務性能狀況的內容，一旦發(fā)現(xiàn)網站無法訪問，第一時間通知用戶，如圖1-8所示：全線路探測的PING、DNS監(jiān)控域名解析變動、HTTPGET、HEAD、關鍵字監(jiān)控，檢測目標站點的首頁訪問時延，能計量服務器掉線等安全事件發(fā)生的頻率、時間段，同時提供報警操作。圖1-8可用性監(jiān)控域名監(jiān)測(DNS)服務從各省運營商網絡線路遠程實時監(jiān)測各地主流ISP的DNS緩存服務器和用戶DNS授權服務器的可用性，以及它們對被監(jiān)測域名的解析結果情況。一旦發(fā)現(xiàn)用戶域名無法解析或解析不正確，第一時間通知用戶。用戶可參考提供的安全建議恢復域名正常解析，避免域名不可用給訪問者帶來不好的體驗。監(jiān)控平臺實時集中化監(jiān)控效果如圖1-9所示：圖1-9DNS監(jiān)控告警服務網站監(jiān)控平臺提供了多種告警方式，發(fā)布網站遭受篡改的及時信息，以便應急響應，發(fā)布最新的安全漏洞以及相關新聞。監(jiān)控系統(tǒng)提供了多種告警方式，包括短信、郵件、syslog、SNMP等多種告警方式，同時監(jiān)控平臺還提供了重大安全新聞通報（圖1-12所示）、重大安全事件告警等多種功能，如圖1-10、圖1-11所示：圖1-10短信告警和郵件告警圖1-12災情通報風險評估風險評估是全面、準確的了解XX省省級電子政務外網的網絡安全現(xiàn)狀，發(fā)現(xiàn)系統(tǒng)的安全問題及其可能的危害，為系統(tǒng)最終安全需求的提出提供依據(jù)；分析網絡信息系統(tǒng)的安全需求，找出目前的安全策略和實際需求的差距，為保護信息系統(tǒng)的安全提供科學依據(jù)；通過合理步驟制定適合系統(tǒng)具體情況的安全策略及其管理和實施規(guī)范，為安全體系的設計提供參考。圖：風險評估服務流程應急響應對XX省省級電子政務外網統(tǒng)一云平臺的緊急網絡安全事件提供7×24小時應急響應服務，在接到應急響應服務請求后，安全專家依據(jù)安全事件的分類和應急響應的目標，及時提供現(xiàn)場應急響應，進行有效的應急處理，包括：對安全事件進行起因分析、取證追查、后門檢查、漏洞分析、數(shù)據(jù)收集和數(shù)據(jù)分析；安全事件抑制、消除和恢復；恢復系統(tǒng)正常；安全事件總結與分析等，最大程度上減少損失和事件造成的負面影響。在應急響應服務中，本次項目主要提供如下的服務內容：應急響應體系建設該服務主要協(xié)助完善XX省省級電子政務外網統(tǒng)一云平臺的網絡與信息安全應急響應機制，規(guī)范網絡與信息安全應急響應工作內容和流程，科學應對網絡與信息安全突發(fā)事件，有效預防、及時控制和最大限度地消除信息安全各類突發(fā)事件的危害和影響，保障信息系統(tǒng)的實體安全、運行安全和數(shù)據(jù)安全。主要包括：網絡與信息安全應急預案制度的編寫。明確應急響應的組織指揮體系及職責任務的劃分，并形市網絡與信息安全應急協(xié)調領導小組、領導小組辦公室兩級領導機制，并明確領導小組各成員單位的主要職責。建立預警和預防機制，主要包括信息監(jiān)測及預警報告和預防機制。確定應急響應啟動條件。制定應急響應流程，形成預案啟動、應急處理、應急支援、安全事件應急處理記錄和結束等流程。制定日常的應急演練計劃。應急預案規(guī)劃該服務主要針對XX省省級電子政務外網統(tǒng)一云平臺自身的業(yè)務特點，為XX省省級電子政務外網統(tǒng)一云平臺所面臨的各種信息安全威脅制定應急響應預案，為其安全工程師在遇到這些信息安全的突發(fā)事件，可以參照上述應急預案完成應急響應的安全事件處置。最大程度上減少XX省省級電子政務外網統(tǒng)一云平臺的業(yè)務影響面。主要包括：風險評估和對業(yè)務的影響分析。應急預案規(guī)劃。對應急預案的修訂提出指導意見。應急預案編制為XX省省級電子政務外網統(tǒng)一云平臺所面臨的主要的一些惡意攻擊編寫相應的應急預案，例如常見的DDOS攻擊、蠕蟲攻擊、CC攻擊、木馬等網絡攻擊。應急預案的編寫內容應包括如下信息：安全事件名稱：例如宏病毒、SQLSlam攻擊等；安全事件類型：主要是安全事件歸屬的類別，例如木馬、病毒、DDOS攻擊等；安全事件現(xiàn)象：指出現(xiàn)這類事件的比較顯著的特征，例如DNS解析出錯、跳轉到特定的URL等信息；安全事件處置方法：解決這些問題的方法，包括排查問題的方法、解決問題的方法；應急預案培訓通過上述的應急預案的編寫，為XX省省級電子政務外網統(tǒng)一云平臺形成應急預案庫。為了保證安全工程師對XX省省級電子政務外網統(tǒng)一云平臺應急安全庫內容可以很好的理解，并可以遵守應急預案進行有效處置，需要給XX省省級電子政務外網統(tǒng)一云平臺安全工程師開展應急預案培訓，培訓的目的就是讓安全工程師可以完全掌握應急預案的內容，并可以有效的開展應急處置的工作。培訓的內容包括：安全事件的演示；應急處置的演示。應急預案測試與演練為了進一步加強安全工程師對應急預案的理解和掌握，還需要在日常針對XX省省級電子政務外網統(tǒng)一云平臺應急案例庫展開定期的測試和演練服務，讓安全工程師在實戰(zhàn)中掌握應急響應的處置方法。并根據(jù)如下圖所示的流程開展應急演練活動:圖:應急預案測試與演練服務流程同時運營單位在本地或者遠程提供應急響應服務，配合客戶完成應急演練的全過程。最后，要對演練過程中發(fā)現(xiàn)的問題進行總結和完善，如果有必要，并根據(jù)演練的情況完善優(yōu)化XX省省級電子政務外網統(tǒng)一云平臺應急預案庫的內容。應急響應處置應急響應服務通常是根據(jù)不同的安全事件類型和安全事件級別，采取針對性的應急響應方式和流程，由相關的人員完成應急響應工作。具體實施相關內容如下：安全事件分類通常信息網絡中可能發(fā)生的安全事件主要可以分為以下幾大類：拒絕服務：通過占用網絡/系統(tǒng)資源使計算機或網絡無法提供正常的服務。惡意代碼：病毒、蠕蟲、木馬等會給計算機帶來不良影響的代碼。未授權訪問：某人在沒有得到允許的情況下，獲得對網絡、系統(tǒng)、應用、數(shù)據(jù)，以及其它信息資源的訪問權限。不當應用：違反安全策略的行為，包括公司和部門制定的流程、制度、標準和規(guī)范。上述幾種安全事件的結合。安全事件級別根據(jù)以上安全事件類型，安全事件主要可以分為以下三個級別：一般安全事件；一般安全事件是指出現(xiàn)安全事件的特征，小范圍影響到網絡或業(yè)務系統(tǒng)性能，但是不影響骨干網絡和業(yè)務系統(tǒng)的正常可用。嚴重安全事件；嚴重安全事件是指造成網絡骨干節(jié)點或者業(yè)務系統(tǒng)中斷30分鐘以上；重大安全事件。重大安全事件是指造成網絡骨干節(jié)點或者業(yè)務系統(tǒng)中斷60分鐘以上。應急響應方式當出現(xiàn)安全事件時，長城網際將提供應急響應技術支持服務，服務的方式如下：一般安全事件：支持人員：駐場工程師、專家團隊；響應方式：駐場工程師現(xiàn)場響應，專家團隊電話/VPN遠程支持響應時間：半小時內電話/VPN遠程；專家團隊4小時內到現(xiàn)場，巡檢工程師現(xiàn)場支持，技術顧問遠程支持。嚴重安全事件：支持人員：現(xiàn)場運維工程師、專家團隊；響應方式：駐場工程師現(xiàn)場響應，專家團隊現(xiàn)場響應響應時間：專家團隊2小時內到現(xiàn)場；重大安全事件：支持人員：現(xiàn)場運維工程師、專家團隊、其它相關部門資源；響應方式：駐場工程師現(xiàn)場響應，專家團隊現(xiàn)場響應；響應時間：專家團隊2小時內到現(xiàn)場，項目經理協(xié)調有關外部相關部門資源。應急響應流程服務響應流程現(xiàn)場處理流程原則：優(yōu)先保證業(yè)務可用；盡量降低客戶損失，縮小影響范圍；規(guī)范操作，避免誤操作；注重記錄，保留證據(jù)。現(xiàn)場處理常規(guī)流程：應急響應質量保證項目組設立安全應急響應綠色通道，保障安全事件響應速度；應急響應工作人員配備完善的應急響應工具包，保證7X24小時應急響應狀態(tài)；進行應急響應的工作人員有豐富的安全事件處理能力；項目與客戶及第三方廠商協(xié)調應急響應工作組，設置完備的應急響應機構；制定完備的應急響應策略和應急響應指導方案及響應流程。安全通告長城網際利用互聯(lián)網信息監(jiān)測系統(tǒng)，具備面向網絡空間的多手段、多角度、大規(guī)模的信息采集和監(jiān)測能力，實現(xiàn)高效的互聯(lián)網商業(yè)情報采集、監(jiān)測和預警。情報監(jiān)測范圍覆蓋包括門戶網站、行業(yè)網站、社交網站、文庫、論壇、博客、微博等所有網絡媒體，自動發(fā)現(xiàn)并收錄新信息源，采集范圍覆蓋全球90%以上的中文網絡，真正做到全方位立體式監(jiān)控。通過上千臺服務器組成監(jiān)測矩陣，24小時不間斷對互聯(lián)網進行信息收集與分析處理，采用變頻抓取技術收集情報數(shù)據(jù)，最快抓取時間為信息公開發(fā)表后1分鐘，每天抓取信息量1000萬以上。利用獨有的垃圾主動防御系統(tǒng)，能有效過濾垃圾信息與無關信息，提高信息收集精準度；強大的商機情報預警系統(tǒng)，第一時間發(fā)現(xiàn)負面信息與商機情報，為用戶贏得了寶貴的商務處理時間。系統(tǒng)支持全自動情報收集與分析、智能化全網追蹤、可靠的報告自動生成，24小時無人作業(yè)，大大降低人力成本，有效提高商業(yè)情報工作效率。商務情報監(jiān)測針對互聯(lián)網上海量公開數(shù)據(jù)，有效快速的采集互聯(lián)網上數(shù)億個信息源的情報信息，有效實現(xiàn)信息全面覆蓋。商業(yè)情報整合、分析與研判對收集的情報信息，長城網際的專業(yè)情報團隊將進行從內容到結構的整合，并視用戶需求對情報提供分析與研判服務。公司情報部門可針對敏感人物和事件進行深度分析,及時發(fā)現(xiàn)和預警情報熱點，采用基于時間維度的態(tài)勢感知、基于情感維度的預警分析，以及情報溯源與趨勢追蹤等技術手段，對網絡情報的預知、預警、預防打下良好基礎。通報與咨詢實現(xiàn)基于專用通訊終端方式的信息即時推送及查看業(yè)務流程，從而保證情報信息的快速發(fā)現(xiàn)、安全通信、實時預警、及時響應。對情報進行定期分析總結，在遇到重大情報事件時提供專業(yè)化的情報或反情報建議，并定期提交各類形式的報告。安全服務方案（電信版）安全設備運維服務安全設備日常維護工作內容本次項目中，我方將完全滿足用戶方對于安全運維的人員要求。派駐2名安全工程師。提供5*8小時駐場服務，對本項目清單中的安全安全設備實行實時監(jiān)控，及時發(fā)現(xiàn)和處理問題。駐場人員工作場所由用戶方提供，工作制度按客戶方要求執(zhí)行。安全安全設備硬件監(jiān)控和維護服務監(jiān)控服務中國電信集團系統(tǒng)集成公司運維服務團隊提供監(jiān)控服務，保證對關鍵安全設備系統(tǒng)性能的實時監(jiān)控。根據(jù)監(jiān)控平臺的實際性能，一般監(jiān)控項包括：日常監(jiān)控服務級別管理服務。駐場工程師可根據(jù)項目需求，提供系統(tǒng)現(xiàn)場監(jiān)控服務，對于所有監(jiān)控到的報警事件，進行事件的診斷和辨析，并對事件進行在線解決和管理。針對安全設備或系統(tǒng)的性能監(jiān)控。該監(jiān)控目的是為了能在故障監(jiān)控的基礎上實現(xiàn)對關鍵安全設備或系統(tǒng)的全面監(jiān)控，從而可使系統(tǒng)管理人員及時了解到該安全設備或系統(tǒng)的性能和資源占有情況，并形成性能歷史報告和趨勢報告，以便系統(tǒng)管理人員根據(jù)該報告進行性能分析和調優(yōu)。在原有故障監(jiān)控的基礎上可增加對以下關鍵性能指標的實時監(jiān)控：CPU利用率中各個應用/進程、客戶、空閑時間的百分比。內存利用率。交換空間（SwapSpace）利用率。文件系統(tǒng)使用情況，如：磁盤空間利用率、文件大小等。系統(tǒng)I/O通道性能。服務器網卡接口性能參數(shù)。自定義的操作系統(tǒng)性能參數(shù)，如某應用進程的資源占有狀況等。針對網絡安全設備和鏈路等監(jiān)控要求，參照服務器的要求執(zhí)行，對于網絡關鍵性能指標的實時監(jiān)控，包含且不限于下述指標：安全設備性能，如CPU及內存利用率等。端口性能，如端口利用率、端口丟包率、端口錯誤率等。端到端網絡性能，如端到端延時、端到端丟包率、端到端時延抖動等。鏈路性能，如流入流量、流入帶寬利用率、流出流量、流出帶寬利用率。維護服務日常硬件維護工作是日常工作的一項重要內容，主機、存儲等安全設備的日常巡視是日常維護過程中每天定時發(fā)生的過程，以人工進行系統(tǒng)監(jiān)控的形式有效補充了環(huán)境監(jiān)控系統(tǒng)的不足，并能做到人員對故障報警的及時響應。現(xiàn)場維護團隊定時進行巡視，巡視內容包括電源、硬盤、網卡狀態(tài)燈，LED面板、工作狀態(tài)指示燈等指標。巡檢人員在按時、認真執(zhí)行每次巡檢任務后，在巡視記錄單上簽字，并提交用戶方相關人員簽字確認，務必做到及時發(fā)現(xiàn)硬件故障。本次服務按以下要求實施：駐場專業(yè)維護人員每天巡視一次，每次都必須填寫一張詳細的《巡視記錄表》作為值班記錄的重要依據(jù)，巡視記錄表需采集主機、存儲、網絡等重要安全設備當日的典型數(shù)據(jù)，若巡視過程中內發(fā)生有必要詳細記錄的工作內容，如故障處理、系統(tǒng)保養(yǎng)維修、更換備件、團體操作事件等則需要填寫較為詳細的維護日志與巡視記錄表一并存檔。建立運維組專用郵箱，駐場人員于下班之前發(fā)送運維日報，可一天的安全設備運行狀況發(fā)送給相關負責人及全體維護團隊成員，做到全體人員知曉安全設備每天運行狀況。巡視過程中，發(fā)現(xiàn)問題要馬上匯報。在處理范圍內的要及時處理、不能處理的馬上報告管理崗并通知廠家檢修，如出現(xiàn)相應等級的故障，及時通知用戶方相關人員。日常安全配置變更服務我公司針對本項目提供日常系統(tǒng)配置變更服務，根據(jù)客戶方的要求對系統(tǒng)、數(shù)據(jù)庫、存儲等進行必要的參數(shù)調整。內容如下：變更需求的受理、記錄和分類；進行變更影響及所需資源評估；針對變更，按照初始服務階段確定的流程，進行變更審核；制定變更實施方案和計劃，進行變更測試，并實施；總結評估，提交變更報告。安全設備故障處理服務故障是指引起或有可能引起業(yè)務中斷或服務質量下降的不符合IT服務標準操作的活動。中國電信集成公司針對操作系統(tǒng)、數(shù)據(jù)庫、中間件、應用系統(tǒng)等軟硬件的一般故障，分析故障原因并快速有效的解決問題，并向客戶提供故障處理報告，具體包括以下一些內容：根據(jù)客戶安全設備的故障現(xiàn)象，提供現(xiàn)場故障診斷，快速定位故障原因；對故障安全設備進行應急處理，先快速恢復業(yè)務，再進一步解決具體故障；服務方式：電話遠程支持，現(xiàn)場工程師響應，二線團隊及安全設備原廠商的遠程或現(xiàn)場支撐等；針對本項目我公司備件庫已準備具備原廠或客戶方認可品牌的備品備件，在服務期間若安全設備故障及損壞，現(xiàn)場工程師可及時修復和更換，關鍵安全設備如主機、數(shù)據(jù)庫等安全設備我公司馬上進行修復并以最快的時間使系統(tǒng)恢復正常。安全配置備份及恢復操作服務我公司針對本項目提供安全設備或系統(tǒng)和關鍵配置信息的日常備份以及恢復操作服務。依據(jù)用戶方要求進行備份策略的制定、備份的執(zhí)行、備份系統(tǒng)的測試和在必要時進行數(shù)據(jù)的恢復。用戶方需提供備份和恢復所需的安全設備資源，如磁帶機或服務器安全設備。安全設備應急備份恢復操作服務我公司針對本項目提供安全設備或系統(tǒng)和關鍵配置信息的應急備份恢復操作服務。本項目范圍內的安全設備出現(xiàn)故障，我公司現(xiàn)場工程師可立刻通過日常的備份數(shù)據(jù)使得系統(tǒng)恢復正常。安全設備巡檢服務我公司可為用戶方提供每季度一次的設備現(xiàn)場巡檢服務，按照系統(tǒng)維保巡檢管理規(guī)程的相關要求，對用戶方的設備進行細致全面的健康檢查。檢查的內容包括系統(tǒng)軟件、硬件檢查，電源、告警及設備運行環(huán)境的檢查等，以及對現(xiàn)場進行環(huán)境評估與指導，并及時提供巡檢報告。完成現(xiàn)場設備巡檢后，可詳細填寫“技術服務單”。在設備巡檢完成后按時提交設備巡檢報告。可交付成果《安全設備日常維護記錄》；《安全設備故障時間記錄》；《安全設備季度巡檢記錄》。互聯(lián)網安全審計服務概述隨著互聯(lián)網技術的廣泛應用，政務行業(yè)的各種業(yè)務紛紛建立了具有針對性的互聯(lián)網網站應用系統(tǒng)。在為政務工作帶來極大便利的同事，也引發(fā)了極大的信息安全威脅。如頁面篡改、互聯(lián)網應用系統(tǒng)掛馬、注入類攻擊、DDoS攻擊等，極大地困擾著政府網站應用系統(tǒng)的運維人員，給政府形象、信息網絡甚至核心業(yè)務造成嚴重的破壞。雖然可以通過部署入侵保護系統(tǒng)、互聯(lián)網應用系統(tǒng)防火墻等相關防御類產品來起到一定的防御效果，然而，用戶難以更早的發(fā)現(xiàn)風險隱患，預防這些安全事件。另外安全管理員需要維護大量的安全設備，分析眾多日志信息，帶來額外的工作量。若能夠主動的發(fā)現(xiàn)互聯(lián)網應用系統(tǒng)的風險隱患，并及時采取修補措施，則可以降低風險、減少損失，科技針對該需求，推出7×24小時遠程互聯(lián)網應用系統(tǒng)監(jiān)測服務，通過不間斷的遠程專家值守，為客戶互聯(lián)網互聯(lián)網應用系統(tǒng)提供遠程安全監(jiān)測、安全檢查、實時響應和人工分析服務，是構建完善的互聯(lián)網應用系統(tǒng)安全體系的最好補充。系統(tǒng)安全分析互聯(lián)網應用系統(tǒng)安全現(xiàn)狀由于互聯(lián)網應用系統(tǒng)的價值日益凸顯，互聯(lián)網應用系統(tǒng)安全問題也逐漸得到組織和個人的關注。然而，面對不斷變化的互聯(lián)網應用系統(tǒng)安全威脅，當前的安全措施是否能夠很好的應對，這是關注互聯(lián)網應用系統(tǒng)安全必須清晰認識得關鍵問題。接下來，我們就從客觀的威脅環(huán)境以及主觀的應對情況來分析一下目前互聯(lián)網應用系統(tǒng)安全的現(xiàn)狀。安全威脅分析從客觀方面看，如今互聯(lián)網應用系統(tǒng)所處的威脅環(huán)境已日益惡化，各種攻擊事件層出不窮，在這些事件的背后，我們還要分析一下黑客為什么要攻擊互聯(lián)網應用系統(tǒng)？他們主要已用什么方式攻擊互聯(lián)網應用系統(tǒng)？這對我們采取針對性的安全措施是非常有幫助的。互聯(lián)網應用系統(tǒng)攻擊越來越密集根據(jù)CNCERT/CC《2007年網絡安全工作報告》，2007年中國大陸被篡改互聯(lián)網應用系統(tǒng)總數(shù)累積達61228個，比2006年增加了1.5倍，平均每天168個。而最新的數(shù)據(jù)顯示，截止2008年7月底，我國大陸地區(qū)被篡改互聯(lián)網應用系統(tǒng)的數(shù)量已經達到40664個，同比增長20%，平均每天更是達到188個。而且，以上統(tǒng)計數(shù)據(jù)只限網頁或數(shù)據(jù)被篡改，其他數(shù)據(jù)竊取，未報案等事件尚不包含在其中。黑客為什么攻擊互聯(lián)網應用系統(tǒng)攻擊越來越容易，成本越來越低在Internet上，自動化技術使得互聯(lián)網應用系統(tǒng)攻擊輕而易舉就能成功，計算能力和網絡帶寬一天比一天廉價，可供攻擊的目標主機在呈指數(shù)增長，這意味這幾乎所有攻擊付出的代價很少，因此不論其成功率有多低，對黑客來說都值得一試。攻擊的主要目的是獲利黑客攻擊互聯(lián)網應用系統(tǒng)的目的無外乎兩種，一是為名，一是為利。只不過在市場經濟時代，大多數(shù)黑客攻擊互聯(lián)網應用系統(tǒng)的目的都是后者，獲取利益。而要進行攻擊并獲得利益，自然是要中招的人越多越好，再就是每個中招的人帶來的利益越大越好。因此，黑客在選取攻擊互聯(lián)網應用系統(tǒng)時會考慮兩個方面，一是互聯(lián)網應用系統(tǒng)的訪問量，要選取訪問量相對較大的互聯(lián)網應用系統(tǒng)；二是互聯(lián)網應用系統(tǒng)利益類型，選取特定類型的互聯(lián)網應用系統(tǒng)如電子商務、網絡游戲、金融類互聯(lián)網應用系統(tǒng)等，這樣獲取的利益也會更大。黑客如何攻擊互聯(lián)網應用系統(tǒng)Web應用層攻擊是主流由于針對互聯(lián)網應用系統(tǒng)的網絡訪問控制措施被廣泛采用，且一般只開放HTTP等必要的服務端口，因此黑客已經難以通過傳統(tǒng)網絡層攻擊方式（查找并攻擊操作系統(tǒng)漏洞、數(shù)據(jù)庫漏洞）攻擊互聯(lián)網應用系統(tǒng)。然而，Web應用程序漏洞的存在更加普遍，隨著Web應用技術的深入普及，Web應用程序漏洞發(fā)掘和攻擊速度越來越塊，基于Web漏洞的攻擊更容易被利用，已經成為黑客首選。據(jù)統(tǒng)計，現(xiàn)在對互聯(lián)網應用系統(tǒng)成功的攻擊中，超過7成都是基于Web應用層，而非網絡層。前不久OWASP(OpenWebApplicationSecurityProject)機構發(fā)布了“2007年十大Web安全漏洞”，XSS和SQL注入漏洞排名前兩位，是目前存在最為普遍，利用最為廣泛，造成危害最為嚴重的兩類Web漏洞。黑客獲利的兩種主要方式黑客通過Web應用程序安全漏洞攻擊互聯(lián)網應用系統(tǒng)，一般會采取兩種手段來達到博名、獲利的目的：篡改互聯(lián)網應用系統(tǒng)數(shù)據(jù)通過SQL注入等漏洞獲得互聯(lián)網應用系統(tǒng)權限后，可以進行網頁掛馬，網頁篡改，修改數(shù)據(jù)等活動。例如，黑客可以通過網頁掛馬，利用被攻擊的互聯(lián)網應用系統(tǒng)作為后續(xù)攻擊的工具，致使更多人受害；也可以通過網頁篡改，丑化互聯(lián)網應用系統(tǒng)所有者的聲譽甚至造成政治影響；還也可以通過修改互聯(lián)網應用系統(tǒng)敏感數(shù)據(jù)，直接達到獲取利益的目的。竊取用戶信息利用互聯(lián)網應用系統(tǒng)漏洞，構造特殊網頁或鏈接引誘互聯(lián)網應用系統(tǒng)管理員，普通用戶點擊，以達到竊取用戶數(shù)據(jù)的目的。例如游戲、網銀、論壇等賬號的竊取，大多是利用了互聯(lián)網應用系統(tǒng)的XSS漏洞實現(xiàn)的。總之，隨著攻擊技術的不斷進步，越來越多的攻擊者利用更容易被利用的、普遍存在的Web漏洞對互聯(lián)網應用系統(tǒng)進行攻擊并頻頻得手，目前互聯(lián)網應用系統(tǒng)的生存環(huán)境已經日益惡化。部分互聯(lián)網應用系統(tǒng)的所有者已經遭受到攻擊，并從攻擊造成的損失中深刻認識到互聯(lián)網應用系統(tǒng)安全問題的緊迫性。但大多數(shù)互聯(lián)網應用系統(tǒng)的所有者仍然處在已經被攻擊而渾然不覺，或者即將被攻擊而無應對的巨大風險之中。現(xiàn)有安全措施分析誠如上節(jié)所說，互聯(lián)網應用系統(tǒng)面臨的環(huán)境已經發(fā)生了很大變化，更多的威脅來自于Web應用層，而大部分的互聯(lián)網應用系統(tǒng)的安全措施卻仍然停留在原來對威脅認識的基礎上，甚至于互聯(lián)網應用系統(tǒng)是否已經被入侵并實施網頁掛馬，也往往是在訪問者投訴或被監(jiān)管部門查處時方才察覺，但此時損失已經造成，無法挽回。不少人會問：我的互聯(lián)網應用系統(tǒng)已經有了安全措施，仍然會發(fā)生這樣的事情，到底是為什么呢？我們來分析一下現(xiàn)有的安全措施。防火墻、防病毒、漏洞掃描等都是已經被廣泛采用的傳統(tǒng)互聯(lián)網應用系統(tǒng)安全措施，尤其是防火墻的部署，使得互聯(lián)網應用系統(tǒng)阻擋了大部分來自網絡層的攻擊，發(fā)揮了重要作用。但是面對目前的新情況，這些傳統(tǒng)的安全措施能夠應對嗎？防火墻啟用網絡訪問控制策略后，防火墻可以阻擋對互聯(lián)網應用系統(tǒng)其他服務端口的訪問，而僅僅只開放允許訪問HTTP服務端口，這樣，基于其他協(xié)議、服務端口的漏洞掃描和攻擊嘗試都將被阻斷。但針對正在流行的Web應用層攻擊攻擊，其行為類似一次正常的Web訪問，防火墻是無法識別和阻止的，一但阻止，將意味著正常的Web訪問也