本项目属于延续性项目,采用1+2模式 ,一年预算金额为198万元,合同一年一签,次年在双方无异议的情况下,续签合同。服务内容包含分类分级服务、安全运营服务、智能运维服务、零信任访问服务、终端应用访问审计服务、主机安全服务、网站隔离防护服务。
| 序号 | 服务内容 | 服务频率 或人天 | 服务要求 | 服务成果(对应的产出物或满足等保三级项) |
| 1 | 分类分级服务 | 每年1次,本次1000项(条)数据 | ★一、数据分类分级服务: 1、分类分级准备服务 1.1、基于用户所属行业当前的分类分级要求,结合用户对数据安全分类分级建设需求,确定分类分级实施的目标和范围。 1.2、利用文档查阅、系统核查、人员访谈、自动化工具接入盘点等方式对用户进行全面的数据安全现状调研和梳理,包括合规要求、组织架构、数据资产、业务逻辑、现有控制措施等,形成数据资产清单表。 1.3、基于数据安全法律法规、分类分级标准及行业政策要求,结合用户自身数据资产现状,构建符合用户实际需求的分类分级逻辑框架。 2、分类分级执行服务 2.1、结合前期数据安全分类分级目标确定、调研、框架搭建等工作,选定数据安全分类分级工作的目标范围,并将数据安全分类分级逻辑框架导入数据安全分类分级产品。 2.2、通过数据安全分类分级产品对用户的目标数据库或服务器进行元数据扫描,并针对性数据抽样到数据安全分类分级产品中,分类分级产品自动将抽取的元数据、数据样例以及分类分级框架推送给AI大模型。 2.3、数据安全分类分级产品和AI大模型会对同一字段进行分类分级结果输出,并且通过投票和交叉验证的方式最终输出分类分级结果。 2.4、人工可以介入对数据安全分类分级产品和AI大模型输出的结果进行审核确认,并且通过自然语言的形式输入分类分级规则对分类分级执行过程进行调优。 2.5、利用AI大模型,可以实现对于数据安全分类分级框架的智能数据分类扩充和调整,补充分类分级框架中的字段示例。 3、分类分级服务工具要求 3.1、数据安全分类分级工具支持对于数据源中所包含的数据质量进行评估,评估指标包含:字段总数、字段注释存在数、有含义的字段注释数、有含义的字段注释去重数、表总数、表注释存在数、有含义的表注释数、有含义的表注释去重数。 3.2、数据安全分类分级工具支持结构化分类分级任务流程化执行向导,包括:自动分类分级、分类分级打标、打标结果纠错三个环节。其中分类分级打标环节可自动推荐需要打标数据,并可手动进行打标。打标纠错环节可自动推荐可能存在分类分级打标错误的结果,并可对于结果进行修正。 3.3、数据安全分类分级工具支持对相似表、相似字段进行聚合并在页面中统一展示,以便于人工二次确认或修改分类分级结果,提供“梳理向导”功能提高人工效能。 4、分类分级服务交付 4.1服务交付物包括:《数据资产清单表》、《数据安全分类分级逻辑框架》、《XX系统数据分类分级清单表》、《数据安全分类分级指南》、《数据安全分类分级管控规范》 5、服务范围/规模 第一期完成一千条数据分类分级工作。 | 产出物:《数据资产清单表》、《数据安全分类分级逻辑框架》、《XX系统数据分类分级清单表》、《数据安全分类分级指南》、《数据安全分类分级管控规范》 |
| 2 | 安全运营服务 | 驻场服务,服务期限1年,法定工作日8小时工作制,如遇重保等特殊情况,须随时提供现场服务。 | ★二、安全运营服务 1、资产测绘及管控服务 1.1智能资产测绘服务 支持通过资产测绘能力,对全网资产进行探查,针对探查到的资产进行梳理及风险治理。 1.2资产梳理服务 在资产梳理过程中,首先针对发现的设备进行基础备案,形成资产台账。在自动化资产测绘的基础上,对核心资产配置安全属性、管理属性,包括:资产CIA、名称、地理位置、责任人等,从而加强对关键业务的安全防护能力。 1.3资产治理协同服务 在资产的风险治理过程中,协同一线或客户,针对影子资产、资产服务存在的弱点等安全隐患进行防护;针对资产存在的潜在网络威胁进行深度挖掘;针对资产遭受攻击后造成的危害进行修复。 2、脆弱性管控服务 2.1脆弱性巡检服务 支持将依据客户业务情况,制定专属多维巡检任务,包括主机漏洞扫描、弱口令扫描、安全基线检查等,全方位、多维度的进行资产安全性检查,发现各类脆弱性。并对脆弱性进行持续跟踪,待脆弱性处置完成后,平台专家复验脆弱性,确认是否已修复,完成脆弱性生命周期闭环管控。 2.2脆弱性评估服务 支持对巡检过程发现的重要资产漏洞、弱口令、配置弱点进行收集和管理,云端安全专家结合组织安全体系建设及业务情况进行人工评估,灵活实现了人工评估的自动化和常态化,降低了运维人员的运维成本。 2.3脆弱性治理协同服务 经专家评估后的脆弱性问题清单,协同客户或一线运维人员对清单内容进行修复。例如云端安全专家在巡检扫描站点、URL等资产过程中,通过弱口令扫描引擎发现信息系统中存在的弱口令,安全专家将会出具扫描结果报告,可根据实际业务情况进行弱口令的更改。 2.4互联网暴露面巡检服务 支持通过采取主被动结合的风险测绘技术对互联网边界资产进行探测,比如:应用、系统、IP、端口、服务、域名、中间件等,全面梳理客户辖区内互联网资产基础信息,发现违规暴露在互联网中的资产、存在的漏洞以及漏洞利用情况。 云端安全专家在和客户进行充分沟通前提下,根据资产评估情况及资产暴露程度定制专属云端探测任务,在确保对目标网络正常业务运行影响最低的前提下,在指定时间进行探测。 2.5互联网暴露面收敛及防护协同服务 支持根据探测的结果对暴露资产进行收敛,缩小攻击面。比如对违规暴露、过期未关闭、临时发布的资产进行下线处理;关闭违规暴露的端口和服务;对高风险端口进行禁用;对漏洞利用情况进行深入排查并对漏洞进行修复;将非必须暴露资产收归内网。 在实时更新多种漏洞扫描插件基础上,全面监控暴露在互联网的资产,针对用户网络边界暴露面的违规行为进行监测。 3、威胁及风险管控服务 3.1威胁检测服务 支持平台通过整合流量、日志、脆弱性等多元数据,依托八大研判模型,实现全息动态威胁感知。云端安全专家不断调整威胁检测引擎,来适配客户个性化的网络情况,从而使平台威胁检测达到最佳状态。 此外,实时监控告警、失陷、安全事件、日志等多维数据,可根据管理者对安全事件的关注偏好进行个性化设置,当触发了管理者关注的安全事件时,可通过邮件、微信等渠道实时推送告警信息,便于管理者第一时间掌握情况。 3.2、7*24风险监控服务 支持基于业务场景,云端安全专家7*24小时持续在线守护,监控安全问题,快速检测处置威胁事件。当触发安全事件时,云端安全专家将及时响应,快速检测处置威胁事件,直至风险处置结束闭环。并且通过邮件、微信等渠道将告警、处置结果等信息推送至客户,便于管理者获知全局情况,占据主动地位。 3.3、风险挖掘及研判服务 支持实时监测网络安全状态,持续网络中存在的威胁。对于常见的木马、病毒等有害程序提供查杀解决方案,对于攻击类事件,提供封锁方法等;对于危害、隐蔽性较大的挖矿、勒索、恶意加密流量,深度分析研判,溯源威胁,提供应急响应处置方案。 3.4风险处置协同服务 针对研判确认后的威胁,支持将基于业务场景提供可落地的处置方案。协同客户或一线运维人员在遵循客户内部操作规范前提下借助本地或远程部署的相关安全工具完成查杀、封锁等处置。 4、配置保障服务 4.1、配置巡检服务 支持依据客户业务情况,制定专属配置变更巡检任务,可以检查系统/服务中文件、端口、进程等的变化信息,以便及时分析变更带来的隐患。并对配置变更进行持续跟踪,完成闭环管控。 4.2、配置变更监控服务 每次风险进行处置完成后,自动巡检跟踪加固后的系统配置,包括注册表、服务、文件等,及时检测变更情况。 支持基于业务系统情况,针对配置变更内容进行分析,对确认需要变更的配置,设置为基准线,对于违规的配置变更给予修改建议,并协助完成配置回退。 5、智慧安全运营支撑服务 5.1线上安全技术培训服务 结合在信息安全领域丰富的研究成果和安全经验,从安全意识、安全技能等多方面提供在线提供网络安全培训服务,让使用者从多方面了解掌握网络安全威胁,以保护自己和组织免受网络攻击。在网络意识方面,通过提供真实的网络钓鱼骗局案例、勒索现场还原、垃圾邮件展示等方式让员工了解网络安全威胁可能出现的不同形式和场景,从而意识到网络安全的重要性。 5.2、法定工作日8小时工作制研判服务 支持7*24小时在线守护,分钟级的事件发现速度及响应效率,快速检测处置威胁事件,减少组织日常安全运营工作压力。提供高级专家组法定工作日8小时工作制在线研判服务,当专属云端安全专家遇到无法处理的未知威胁时,高级安全专家团队将会及时响应,组织专项研究团队,支撑威胁研判,直至风险处置闭环。 5.3、行业运营策略定制服务 支持将基于现有安全体系,参考组织所属行业特性,定制专属安全运营策略,包括巡检检测策略、巡检任务、安全分析策略、风险处置策略等;另外,为保障安全运营更加高效的开展,专家团队可以为客户提供全方面安全基础建设评估,帮助客户完成网络安全基础建设提升。 此外,在面临突发风险、重大活动及节假日等重要时期,可根据具体情况配置脆弱性检查策略及任务,为网络环境提供全面体检。通过云端安全运维支撑服务,实时更新漏洞插件库及漏洞检测规则,缩短脆弱性风险发现周期,有效应对突发安全事件。 5.4风险处置全生命周期管控服务 支持凭借SOC团队丰富的企业服务运营经验以及云端安全专家风险处置经验,在融合风险管理模型、ISO13335、风险分析模型、PDCERF风险闭环响应模型、SOP处置流程等行业标准基础上,规范化安全服务团队“监测-分析-响应-跟踪-沉淀”运维全流程,高阶专家在规范化运维流程基础上从问题发现到协助处置全流程闭环跟踪。全流程闭环处置经验为后续安全运营和维护提供了知识来源以及安全问题的处理依据、方法或参考。 5.5 热点事件、风险预警及预防服务 基于大数据技术结合区域及行业威胁监测,挖掘区域及行业热门事件、风险预警,专家结合组织安全架构实际情况提前全面检查,帮助用户了解设备防护状态,提供针对性防护措施或者防护建议。对于客户重点关注的热门事件,会通过邮件、微信等方式进行推送。 5.6 风险通知推送服务 高阶安全专家结合组织安全架构以及资产评估等情况,全面分析评估后,将客户关注的风险及时推送给客户,例如教育行业中高校重点关注虚拟货币挖矿动态,医疗行业中医院更侧重于关注恶意勒索动态。 5.7 威胁情报更新服务 支持基于多年的互联网安全大数据服务经验积累,为用户提供线索研判、攻击定型、关联分析、互联网资产漏洞/内容/业务监测等情报服务,并定期持续更新,可帮助组织及时调整防御策略,提前预知攻击的发生,从而实现精准的动态防御。 5.8脆弱性插件库更新服务 支持通过云端安全运维支撑服务,实时更新漏洞插件库及漏洞检测规则,缩短脆弱性风险发现周期,有效应对突发安全事件。 支持同步更新各类系统、网络设备、防火墙、Web中间件及数据库等设备的安全配置基线插件,包含账号类、口令类、授权类、日志配置类、路由配置类等,将安全评估工作常态化,有利于提高设备自身防护能力。 5.9 专家智库沉淀服务 支持根据安全事件类型,智能推荐专家标准处置预案。云端专家依据标准处置预案协助完成风险闭环处置,缩短处置时间;当处置过程发现更适合的方案,处置完成后,云端专家结合实际情况,对预案进行定制化并形成知识沉淀,丰富本地专属专家智库。 5.10运营报告及推送服务 提供安全运营报告,集中体现了检测到以及处置的安全问题,报告包括每日处置情况、每日/周/月安全运维总结。高阶专家在系统自动生成报告基础上会结合资产评估等情况给出具体可落地防护建议,完成报告编辑后会自动推送至相关用户邮箱。安全运营报告将从全网安全态势、失陷主机、内部资产脆弱性等场景充分展现运营概况。 5.11安全成果汇报服务 支持基于自身丰富的经验技术进行分析研判,按季、年等周期汇总安全事件趋势及下一阶段工作展望。专家将在线汇报、提供可落地的修复建议及方案,呈现安全工作价值。 6、本地增值服务 6.1、安全处置服务 提供安全专家上门、面对面解决用户“最后一公里”的网络安全难题。安全专家基于自身丰富的项目服务及风险处置经验,为用户提供挖掘、研判、处置、汇报等一对一专属本地化服务。 6.2、安全加固支撑服务 对于客户或第三方厂商系统,支持安全专家本地支撑脆弱性安全加固操作,包括对网站、业务系统、操作系统、应用等进行基线加固和组件升级、修补潜在的各种高危漏洞、解决隐藏的安全威胁。 6.3、安全培训服务 包括常规安全培训、安全技术培训、安全管理培。 安全意识培训包括:加强人员安全意识教育、了解安全发展趋势、了解防范措施等。 安全技术培训,模拟实战场景,采用实操教学,通过现场培训让学员掌握全流量威胁分析方法,以及漏洞攻击、钓鱼攻击、内网渗透攻击等攻击行为的检测发现与处置方法,并具备攻6.4、链路分析与还原能力。 安全管理培训,了解国家相关部门对网络信息安全管理和建设的相关标准,如何建立具有针对性和适用性的安全管理办法。包括法律法规、信息安全管理体系、安全等级保护、风险评估与风险管理、安全规划、安全基线管理、软件安全开发管理体系等。 6.5、应急响应服务 在遇到突发安全事件后,在客户授权前提下,采取紧急措施和行动,以最快的方法抑制安全事件的扩大,恢复业务的正常开展,调查安全事件发生的原因,提供安全事件过程报告及根除的解决方案。 6.6、渗透测试服务 依据各项目渗透测试最佳实践,通过工具辅助,主要以人工测试方式,对客户授权下的应用系统进行非破坏性攻击测试、深度漏洞挖掘,发现应用系统隐藏的安全隐患和安全风险。 6.7、红蓝对抗演练服务 通过结合“项目管理”、“安全专家”、“安全检测与防护设备”、“驻场服务”等服务建立综合整体的安全防御体系,构建安全保障专项组织架构,利用安全防护设备、监控平台、威胁情报、检测及处置分析工具,多维度立体化监测处置和防御,为客户提供完善的网络安全应急演练流程。 6.8、重要保障服务 基于多年支撑重要时期保障工作的经验,保障团队对于信息安全事件的预防、监控、响应与恢复有着成熟的方法论。 在特殊时期、重要活动、重大节日期间,安全专家对重保前、临保、重保、总结四个阶段,使用不同的安全检测、监测及防护手段,为客户提供真实、有效的安全保障,保障客户业务系统在重要时期的平稳运行。 6.9、等级保护咨询服务 提供信息系统定级、差距分析评估、安全规划与方案设计、系统整改、等保合规设计以及辅助测评等全等级保护周期咨询服务,并可根据客户实际需求提供定制化服务模块。 6.10安全体系咨询服务 支持通过对客户面临的国家及行业合规监管要求、信息系统运行全生命周期面临的安全服务需求等进行梳理总结,结合自身多年服务经验,以客户需求为导向提供覆盖信息系统规划、设计、建设、运行全生命周期的专业安全咨询服务。 | 满足等保三级:安全管理中心中集中管控部分,特定管理分区,统一网管和检测,日志采集和集中分析,安全事件识别告警和分析,策略补丁升级集中管理。安全区域边界入侵防范部分,防外部攻击防内部攻击,防新型未知网络攻击。 产出物:《风险治理成果》、《脆弱性清单与报告》、《脆弱性修复成果》、《威胁检测与告警信息》、《风险处置方案与结果》、《配置变更跟踪记录》、《安全培训课程与资料》、《安全运营策略与评估报告》、《风险处置全生命周期记录》、《热点事件及风险预警信息》、《安全运营报告与成果汇报》、《安全加固成果》、《安全培训效果》、《应急响应与测试报告》 |
| 3 | 智能运维服务 | 驻场服务,服务期限1年,法定工作日8小时工作制,如遇重保等特殊情况,须随时提供现场服务。 | ★三、智能运维服务 1、统一安全运维服务 1.1、安全运维授权访问服务 统一运维门户:提供统一的运维资产访问门户; 统一运维授权:通过建立人员与资源的授权关系,满足人员、资源、运维策略相关联的安全访问; 运维SSO单点登录:包含html及控件的方式的运维资产单点登录访问。 1.2、运维安全管控服务 认证策略管控:提供多因子的认证方式; 账号策略管控:通过给指定岗位下的资源进行账号授权、限定用户可以登陆资源的账号,资源账号的上收及自动改密。 时间/地址策略管控:指定时间范围货地址范围访问指定的运维资产; 口令策略管控:满足口令复杂度要求的管理控制; 运维操作管控:包含字符命令的控制、FTP/SFTP命令控制、剪切板和磁盘共享的上下行控制 1.3、运维安全审计服务 图形审计:图形资源访问时,对键盘、剪切板、文件传输进行审计记录; 字符审计:对字符命令方式的访问审计所有交互内容,还原操作过程的命令输入和结果输出; 数据库审计:实现数据库命令级审计; 实时监控:提供运维操作会话的实时画面监控、锁定和解锁; 5.录像回放:提供运维操作会话画面的历史录像回溯能力 2、智能运维管理服务 2.1、网络监控管理服务 设备监控:具备网络设备监控管理能力,可通过 SNMPV1、V2C、V3 版本协议,对主流厂商设备集中监控,及时发现运行状态异常、网络流量及丢包错包等问题。 分类导航:自动按厂商和设备类型分类被管设备,并统计数量。 节点展示:以列表展示被管节点,鼠标悬停可查看选中节点主要监控指标当前值。 信息查看:提供单设备专门页面,支持查看设备基本信息(名称、IP 等)和状态指标(在线状态、CPU 等)。 端口与模块查看:支持查看端口列表(名称、IP 等)和模块列表(名称、类型等)信息。 设备管理:支持添加 / 删除网络设备监控对象,添加时可按规则自动或手动选择监控采集指标 2.2、 拓扑发现服务 自动发现:运用 ICMP、ARP、SNMP 等多种协议,支持全网、种子和局部发现方式,能发现指定设备的上下游邻居设备。 拓扑绘制:将发现信息关联组织,绘制展示网络全局拓扑与分层拓扑。全局拓扑可呈现所有设备及关系,分层拓扑能按网络层级或业务管理场景构建。 操作功能:可在拓扑图上添加 / 删除节点、网络链路,还能修改已有链路属性信息。 指标展示:设定设备 CPU、内存、链路带宽利用率阈值,根据实际情况在拓扑图上用不同颜色显示设备、链路负载。 查询交互:提供网络拓扑查询功能,拓扑图支持交互,鼠标悬停设备图标可显示设备基本信息及 CPU、内存利用率等,悬停链路可显示链路基本信息及速率、丢包率等。 2.3、链路/线路监控服务 链路状态查询:用户输入源和目的地 IP 及端口,通过链路状态查询功能,实时展示链路拓扑、路由每一跳耗时、链路连通性、丢包率和延迟等信息。 线路状态监控:系统具备线路状态监控功能,可监控外部专线、内部 IDC 间专线等多种专线的线路连通性和带宽用量信息,如外网带宽使用率、专线延迟等状态和指标。 线路监控操作:支持对线路监控进行增删改。可指定线路监控对象所在网络设备接入端口,定义线路名和带宽上限等。增加监控对象后,能按线路类型自动采集指标,也支持用户手动选择。 线路列表功能:支持线路列表分类筛选和搜索。选中线路后,展示其监控概况,如带宽使用量等指标。支持按时间范围选择查询,可查看总值、均值等,还支持时间同环比查询。 2.4、计算服务器监控服务 硬件监控:可对主流品牌服务器进行硬件监控,监控指标丰富,涵盖电流、电压、温度等基础指标,还包括 CPU 温度、内存健康状态、硬盘状态、网卡状态等详细指标,能全面确保服务器硬件运行状态正常。 操作系统监控:支持对主流操作系统进行监控。 监控指标涵盖多方面: 操作系统信息:包括系统版本、内核版本、运行时间。 操作系统异常信息:如内核崩溃次数、OOM 发生数量、syslog 日志错误行数、网卡丢包数、异常连接数等。 操作系统运行信息:包含 CPU 利用率、内存使用情况、磁盘各分区使用率、网卡带宽上限、网络连接数、运行进程数等,可全方位掌握操作系统运行状态。 2.5、存储服务器监控服务 监控对象:主要主流存储服务器厂商的硬件和系统运行状态进行监控。 监控指标: 存储设备系统状态监控: 数据量:统计存储服务器已存储的数据量。 存储空间使用百分比:明确存储空间的使用占比情况。 文件数量:记录存储服务器已存储的文件量。 读 / 写 IOPS:区分读取和写入,分别统计存储服务器当前每秒的 IOPS 。 读 / 写数据吞吐量:区分读取和写入,统计存储服务器当前每秒读写的数据量。 读 / 写延迟:区分读取和写入,监测存储服务器当前的读写延迟。 元数据 QPS:统计请求存储 meta 数据的 qps。 存储设备硬件监控: RAID 卡状态:监控 raid 卡和电池的故障状态。 网卡发送 / 接收量:统计网卡发送和接收的数据量。 电源电压:区分电流、电压等多个指标,监控电源情况。 网卡状态:监测网卡是否存在故障。 2.6、服务器监控管理服务 服务器对象管理: 支持对监控服务器对象进行添加和删除操作。可基于资产管理数据搜索并添加服务器监控对象。 添加后能依据对象类型自动采集服务器硬件和操作系统等相关指标。同时,也支持用户利用复选框、穿梭框等控件自主选择监控采集指标,还允许用户单独添加针对某台或带有特定标签设备的自定义指标。 数据展示与查询: 提供服务器资源分类筛选和搜索功能。选中服务器后,会展示该对象的监控概况,并且可选择监控指标列表。 用户能够通过选中指标和设定时间区间等条件,查看该监控指标数据值。支持设定查询数据的时间范围。 指标数据展示形式多样,支持以标签、趋势图、饼图、柱状图等方式呈现,还支持查看总值、均值、分位值等,也支持按时间进行同环比查询对比数据。 2.7、采集规则管理服务 指标采集分类:依据被管对象类别,如操作系统、数据库、中间件等,对监控指标实施分类管理。可针对不同监控对象类型的监控指标列表的采集配置进行添加、删除和修改操作,确保分类清晰、管理有序。 指标采集配置:支持多种采集指标配置方式,能指定具体的指标采集规则。采集方式丰富多样,包括 Agent 采集、协议(如 SNMP、IPMI 等)采集、文件采集、队列采集、API 采集、自定义脚本采集等。同时,可详细指定采集指标名、所属对象类型、采集频率周期、数据类型、数据单位等信息。采集频率既支持默认间隔,也允许人工设置,最小间隔为 10 秒,还可人工调整为 30 秒、1 分钟、5 分钟、10 分钟、30 分钟、1 小时或更长时间间隔,以满足不同的采集需求。 自定义脚本采集配置:当用户选用自定义脚本采集方式时,可在 web 界面编写 Python、Shell 等脚本,实现个性化指标的配置。系统还能对这些脚本进行统一管理,并支持查看引用这些脚本的被管节点,方便用户了解脚本的使用情况和影响范围。 监控指标采集模板:将多条指标采集规则整合到一个模板进行管理,具备模板列表查看和搜索功能。进入模板后,可清晰查看采集指标列表和配置规则,便于快速应用到新场景或批量修改采集规则,提高工作效率。 2.8、基础设施告警管理服务 告警策略设定:告警管理是运维健康子系统基础设施运维模块的重要功能,用于系统异常事件的定义和管理。用户可通过定义告警触发条件、告警发送人员、告警通知模板等策略条件完成告警策略的设定。 告警规则配置:用户能指定监控指标名以及数据异常的条件,相关策略涵盖阈值、同环比、跌零、状态异常等。通过这些配置,明确在何种情况下会触发告警。 告警信息生成与发送:根据告警规则中设置的告警等级、发送对象、通知模板生成告警信息。然后按照不同级别对应的通知方式,将告警内容发送给运维和研发人员。这样确保相关人员能及时知晓系统异常情况。 告警处理与辅助功能:运维和研发人员在收到告警后,需按照告警处理规范、应急预案、系统运维操作手册等要求处置告警。同时,系统提供热图(救火图)功能,让运维人员能够快速、直观地了解异常问题节点和指标概况,便于更高效地处理告警。 2.9、告警策略管理服务 策略基础功能:基础设施运维服务的告警策略管理功能既提供默认的告警策略,也支持用户创建个性化的告警策略。在创建监控策略时,用户可设定告警指标名、连续触发周期、告警规则、告警等级和告警通知模板。 告警规则设定方式: 基于采集次数与阈值比较:连续 N 次采集周期中有 M 次,所监控的指标值与设定阈值进行大于、大于等于、小于等比较,满足条件时产生相应告警。 基于时间和汇聚值与阈值比较:在最近 N 分钟内累计有 M 分钟,所监控指标的汇聚值(支持平均值、最大值等汇聚方式)与设定阈值比较,符合条件时产生告警。 基于指标值变化比例:连续 N 次采集周期中有 M 次,所监控的指标值对比某段固定时间前(如 5 分钟前等)增加或减少的百分比例达到条件时,产生相应告警。 基于多条件组合:连续 N 次采集周期中有 M 次,以 “和”、“或” 的方式组合不同条件,如 “CPU 利用率 >60%” 或 “CPU_LOADAVG_5MIN>10” ,条件成立时产生告警。 策略生效时间段配置:可配置策略生效时间段,支持按日期、周、小时和分钟粒度指定生效周期,如工作日 8:00 - 22:00。 告警等级与发送方式:告警至少划分为严重(Critical)、重要(Error)、警告(Warn)3 个级别。在对外通信链路支持的情况下,监控系统根据不同告警级别,对应采用 IM、短信、电话、声光等不同发送方式发出告警。 通知模板与发送对象:策略中可选择合适的告警通知模板,模板通过变量组装指标名等信息发送给用户。同时,可指定合理的告警发送用户 / 告警用户组,监控系统依据办公系统中用户的邮箱等信息准确通知用户。 其他管理功能:支持对采集不到数据的场景进行告警,当连续 N 次采集周期内服务端未收到监控指标数据时产生告警消息。此外,还支持对自定义告警策略进行复制、修改和删除操作。 告警等级与发送方式:告警分严重(Critical)、重要(Error)、警告(Warn)三个级别。监控系统通过多种通道通知用户及集中告警模块: API调用:用API调用集中告警模块,附带告警接收组、级别等信息。 IM工具:通过蓝信等IM工具以监控官方号发送告警。 短信发送:可发短信告警,并能查询发送状态,具备运营商容灾切换能力。 电话通知:通过电话提醒用户查看告警,可感知电话状态,有容灾切换能力。 2.10、资源管理服务 监控资源管理:在资源管理模块中,对动环、网络设备、服务器、云平台、数据库、中间件等监控资源实施全面管理。同时,展示运营服务平台整体工程情况以及集群分布关联信息,使相关人员能清晰了解资源的整体状况和相互关系。 访问控制能力建设:借助访问控制平台,构建基础设施服务器、云主机等资源的访问控制能力,确保资源访问的安全性和规范性。 其他资源管理:在 CMDB 和 ITSM 工单等模块中,对机房分域分区、库存资源、IP、备品配件等资源进行有效管理,保障资源的合理调配和使用。 2.11、设备和云资源管理服务 监控资源管理:资源管理模块对动环、网络设备、服务器、云平台、数据库、中间件等资源进行全面管理,展示运营服务平台工程情况及集群分布关联信息,方便相关人员了解资源状况。 访问控制能力建设:借助访问控制平台,为基础设施服务器、云主机等资源提供访问控制功能,包括展示资源列表、权限人员名单、登录审计记录,提供权限维护和登录入口。 其他资源管理:在 CMDB 和 ITSM 工单模块中,对机房分域分区、库存、IP、备品配件等资源进行管理。 基础设施资源管理:在 CMDB 模块展示基础设施资源信息,可进行增删改查,闭环管理其生命周期。 机房管理:展示并维护机房名称、地址、厂商等信息。 机架管理:展示并维护机架所属机房、U 位等信息,合理规划资源。 服务器及网络设备管理:展示并维护设备台账及属性,便于全生命周期管理。 云服务管理:展示并维护云服务名称、关联资源等属性,保障服务稳定。 运营服务平台工程情况大盘:在 CMDB 模块聚合计算,展示硬件资源统计数据,为工程规划提供支持。 集群分布关联展示:在 CMDB 模块按设备集群分类查询计算,展示集群分布关联信息,助力集群管理。 IP 管理服务:对运营服务系统 IP 相关信息进行管理。 在 CMDB 模块展示 IP 网段、分配等信息,维护其与机房、云网络的关联。 展示已分配 IP 及相关信息,可进行属性管理。 2.12、运维巡检管理服务 巡检工单查询:提供巡检类工单列表查询功能,用户可查看巡检类工单历史记录,统计历史巡检信息。 巡检管理:提供巡检管理功能,可以对资源利用率、运行状态等监控项进行巡检。可对巡检任务、巡检范围(包括时间范围和资源范围等)进行配置。具备产生巡检报告的能力,并提供报告模板可配置化管理。还可以对巡检任务进行调度,并获取巡检结果。 | 满足等保三级:安全管理中心中集中管控部分,特定管理分区,统一网管和检测,日志采集和集中分析。 产出物:《运维操作管控与审计报告》、《IT 网络设备监控数据报告》、《网络拓扑图及操作记录》、《链路 / 线路状态报告》、《服务器硬件与系统监控数据汇总》、《服务器与各层资源监控管理成果》、《指标采集与管理相关资料》、《告警策略与处理记录》、《热图(救火图)及仪表盘展示资料》、《监控资源与访问控制管理记录》、《机房及各类资源管理记录》、《IP 管理记录》、《巡检工单与报告资料》 |
| 4 | 零信任访问服务 | 驻场服务,服务期限1年,法定工作日8小时工作制,如遇重保等特殊情况,须随时提供现场服务。 | ★四、零信任访问服务 1、零信任身份认证服务 终端接入政务外网之前,用户终端应通过身份认证,非授权的用户终端不允许接 入政务外网,应当满足以下要求: ? 接入政务外网的用户终端应具备唯一标识,唯一标识的信息应至少包括使用者信 息和终端设备信息,并实现用户与终端实名绑定,以便后续审计溯源; 应采用口令认证、密码技术、生物技术或 MAC 认证等鉴别技术对用户进行认证; 登录用户的身份鉴别信息应具有复杂度要求并定期更换。 2、零信任终端安全检查服务 终端接入政务外网之前,应通过安全接入检查,不符合要求的终端不 允许接入政务外网,应检查以下内容: ? 应检查终端是否安装运行了防病毒软件; ? 应检查终端是否存在弱口令账户; ? 应检查终端是否运行了恶意进程或软件; ? 应检查终端是否存在未修复的高危漏洞。 3、零信任传输加密服务 终端接入通过身份认证和安全检查后,应采用密码技术保证通信传输安 全,应当满足以下要求: ? 应采用密码技术保证数据在传输过程中的保密性,包括但不限于鉴别数据、 重要业务数据和重要个人信息等; ? 应当支持国密算法,并满足国家密码应用的标准要求。 零信任资源访问控制服务 终端接入政务外网后,应实现应用访问控制,应当满足以下要求: ? 终端接入政务外网时,应实现基于用户的资源访问控制,并实现最小授权; ? 可对终端环境进行持续检测和评估,根据评估情况动态调整其权限。 4、零信任安全隔离服务 政务外网终端存在访问多个网络的情况下,应当满足以下要求: ? 支持网络隔离,确保终端获得准入授权后通过安全隧道访问政务外网,不能同时访问互联网或与互联网连通的其他网络; ? 应支持会话隔离,确保每个终端访问政务外网时采用唯一会话,可通 过添加有效期内唯一的会话状态信息来实现。 | 满足等保三级:在安全区域边界的入侵防范部分,有效抵御外部恶意攻击,通过持续的身份验证和访问控制,阻止未授权的外部访问尝试。同时,对于内部攻击也能起到良好的防范作用,防止内部人员因权限滥用等行为导致的安全风险。凭借先进的检测技术和动态的访问策略,具备防范新型未知网络攻击的能力,实时监测网络流量,一旦发现异常行为,立即采取阻断措施,保障网络边界的安全稳定 。 产出物:《动态访问策略规则集》、《身份认证与多因素验证机制》、《加密通信隧道与密钥管理记录》、《终端安全评估报告》、《网络流量监测与分析报表》、《零信任访问行为审计日志》、《零信任安全架构下的权限管理体系模型》、《基于风险的自适应访问控制决策记录》 |
| 5 | 终端应用访问审计服务 | 驻场服务,服务期限1年,法定工作日8小时工作制,如遇重保等特殊情况,须随时提供现场服务。 | ★五、终端应用访问审计服务 1、应用实时监控服务 支持基于浏览器的实时操作画面监控,实时监控过程中支持对会话的锁定和解锁,并可以在锁定解锁时发送即时通讯消息。发现危险操作可立即进行锁定操作; 支持基于浏览器操作的历史录像回放,支持倍速/低速播放、拖动、暂停、停止、重新播放等播放控制操作。 应用可视化安全审计服务 支持基于开始时间、结束时间、身份、地点、业务属性、应用账号、访问流量、操作行为等维度进行会话重组,关联用户的每次业务操作访问行为,形成业务应用会话; 支持对浏览器访问业务系统的URL进行审计日志记录; 支持对浏览器的剪切板操作进行审计日志记录; 支持对鼠标点击浏览器关键页面元素操作进行审计日志记录; 支持对指定页面或页面区域内可能存在的敏感数据敏感字段智能识别审计,包括且不限于关键字识别、基于正则表达式的识别; 支持基于日志的字段信息进行自定义检索,并定位播放该日志时间点操作录像。 2、应用数据安全保护服务 具备防扫描功能,不进行业务访问时,不对外暴漏任何TCP端口; 浏览器具备安全加固能力,包括且不限于:禁用网页调试、禁用地址栏、禁止查看网页源代码、Cookie隔离不落地、禁止网页打印、禁止网页保存等; 支持指定业务场景及指定页面的自定义水印功能,自动为应用系统添加安全水印,水印内容、样式动态可配置,包括:明水印/暗水印、文本水印/二维码水印、显示用户ID、显示用户名称、显示账号、显示日期时间、字体颜色、字体透明度、水印刷新频率、水印自定义内容等; 支持指定业务场景及指定页面的敏感数据脱敏功能,可自动识别业务系统中的敏感数据,并按照业务需求进行自动脱敏。脱敏能力包括且不限于:遮盖式脱敏/替换式脱敏、正则脱敏/关键字脱敏、自定义文本脱敏区间等。 3、应用精细管控服务 支持账号安全管控,可配置口令复杂度规则与多次登录失败锁定规则; 支持多因素身份认证,包括且不限于:静态口令、OTP一次性口令、Radius、证书、AD、LDAP等多种组合认证方式; 支持应用授权管控功能,可基于账号绑定策略进行授权,授权账号仅可访问指定应用; 支持终端安全管理功能,包括:查看终端信息、支持终端账号绑定/解绑、基于终端的运行状态(进程运行情况、网络监听与连接情况、补丁安装情况、是否插入U盘等)进行持续性信任分值评估; 支持应用URL访问的7层访问控制,可禁止访问或经审批方可访问; 支持对指定账号访问指定应用剪切板使用权限的管控; 支持对指定账号访问指定应用浏览器截屏使用权限的管控; 支持对指定账号访问指定应用后,在指定业务场景下浏览器鼠标点击页面元素的操作权限控制,可禁止点击或经审批方可点击。 | 满足等保三级:安全计算环境中入侵防范部分检测入侵行为,关闭不使用的端口,管理终端限制,发现已知漏洞。安全区域边界中边界防护部分,跨边界控制,内联设备,外联行为监测,无线网限制。 产出物:《业务安全审计报告》、《业务数据安全保护策略集》、《业务敏感信息清单》 |
| 6 | 主机安全服务 | 驻场服务,服务期限1年,法定工作日8小时工作制,如遇重保等特殊情况,须随时提供现场服务。 | ★六、主机安全服务 1、主机资产管理 1.1、资产自动发现 强大的主机资产发现与识别能力,通过轻巧的安全探针,快速获取主机的软硬件资产信息,包括CPU、内存、硬盘、网卡、操作系统、网络配置、安装软件等。通过已安装探针的主机,能自动发现网内未注册的主机信息,帮助用户掌握全网主机数量,以及已受控和未受控的主机范围,梳理主机安全管理边界。 1.2、资产自动分组 快速自动分组功能,可以降低IT管理员大量的手动运维工作量,在规模庞大的网络体系中,效果尤为显著。在接收到安全探针上报的资产信息后,根据预设的分组信息,自动对资产进行归类分组,并可自定义名称和标签,将主机资产对应到相关责任人。 1.3、资产运维管理 资产运维管理功能可实现主机资产状态的监控和资产数据管理。能够记录主机上下线轨迹和软硬件资产变更情况。对主机软硬件资产、IP配置信息变更、变更后的状态和变更时间进行记录,帮助管理员进行IT资产管理,实时了解全网主机资产状况。同时提供资产数据导出,便于资产管理员进行资产登记管理。 2、主机风险检测 2.1、主机安全基线检查 主机安全基线检查有助于用户一键获知全网主机安全基线配置详情,找出不符合安全管理规范的主机,节省大量人工检查时间,并能持续进行监控。 全面覆盖主流操作系统,支持账号与口令检查、密码生存周期检查、远程登录检查、网络与服务检查、日志审计检查、防火墙检查、系统安全配置检查等内容。检查模版支持用户自定义,检查项符合等保2.0级工信部[YD/T 2701-2014]标准要求内容。 同时对每一个不符合项进行详细描述,提供修复指导方案,帮助用户科学合理的进行短板修复,提高主机入侵门槛。 2.2、主机系统配置检查 在主机侧采取多锚点安全检查,对操作系统的注册表安全检测、注册表变更记录、映像劫持、创建自启动项、计划任务程序、驱动程序等进行检查和实时监控,以及对异常系统和配置文件进行检查,帮助用户快速掌握全网主机存在的安全风险。 2.3、主机多维风险检查 从多个主机系统关键风险点进行监控和评估。系统弱密码检测,支持自定义及批量导入;网站后门检测,有效隔离网站后门文件或拦截网站后门利用;检测关键文件的变更异常;还可对主机内实时运行的程序进行安全检查和风险评估,帮助用户实时感知全网主机潜在的安全风险。 3、主机入侵防御 3.1、恶意程序防护 提供基于文件动作行为特征模型分析查杀能力,可在不依赖病毒特征库的情况下,对恶意程序、免杀木马、钓鱼程序、挖矿程序、勒索程序、黑名单程序等进行主动防御型查杀。能摆脱传统防病毒软件静态特征库对比带来的系统开销,以及新型高级入侵手段对静态特征库免疫的弊端。 3.2、行为入侵防御 通过实时监控主机关键的风险入口,对浏览器攻击、office攻击、恶意脚本攻击、webshell攻击、注册表异常修改等风险行为进行实时防护。在风险入口点进行全面把控,减少主机被入侵的风险。 3.3、网络入侵防御 在网络层面采用多种防护措施,可实时拦截主机网络侧的攻击,对端口扫描、泛洪攻击、TCP洪水攻击、暴力破解等进行安全防护,并能过滤信任IP。可有效检测拦截用户网络内部或外部网络的入侵行为,从网络的入口点实现封堵拦截。 4、主机环境控制 提供非白即黑的主机运行环境强控机制,通过定义主机安全运行基线,仅允许安全范围内的已知程序运行,限定主机的网络访问权限,通过控制主机最小活动范围,最大程度保障主机运行安全。杜绝一切不在安全范围内的程序运行,可以有效避免有意或无意的病毒传播,对未知威胁进行防护。为军工、金融、工控、制造业等具有高度安全防护需求的行业提供更便捷、可靠的主机安全解决方案。 5、安全事件溯源 5.1、主机安全事件溯源 详细记录文件活动轨迹、网络访问记录、注册表变更记录等,并能将网络访问情况、注册表变更情况与相关文件、用户做关联。支持追溯威胁事件的根源主机,并图形化展示威胁文件进程的调用关系,对事件详情进行描述,可追溯恶意进程的运行时间、详细路径、以及文件信息详情,并可手动加入黑白名单。支持对威胁事件追溯分析,可记录事件发生时间、发生数量、关联主机名称、登录的用户账户、事件行为描述、事件关联文件详细路径、关联文件加载的模块信息、行为发生时的调用栈信息。 5.2、网络安全事件溯源 对每一个网络安全事件进行详细记录,包括事件类型、发生次数、源目的IP、端口、关联主机、关联文件等。结合用户网络侧安全产品提供的事件碎片,快速定位涉事主机,并对事件详情进行图形化呈现,帮助用户快速了解安全事件全貌,让每一个网络安全事件有源可溯、有据可查。 6、安全态势分析 6.1、主机安全态势分析 从安全事件、风险文件、安全基线等多个层面对主机进行安全态势分析。通过逻辑的风险拓扑,展示全网风险主机分布状态,并以时间轴分析展示单主机的安全态势。 6.2、文件运行态势分析 记录文件运行轨迹,包括文件每次出现的主机和时间,记录网内新运行的文件,并展示运行趋势,展示运行文件列表和文件安全性。可从单个主机和全网主机两个维度进行分析和展示,第一时间发现网内和主机出现的新文件,对恶意文件的早期入侵和扩散,提供强有力的发现与追溯能力。 6.3、网络运行态势分析 对网内新增的网络访问进行记录,并从主机和全网维度进行网络访问趋势分析,能记录访问细节,包括IP归属地、访问时间、访问进程路径、访问端口等。网络运行态势分析和展示,能第一时间发现网内新增的通信IP,对业务和主机的异常访问发现,以及黑客的早期网络入侵行为,提供高效的检测能力。 7、主机运维管理 7.1、实时进程管理 对操作系统内正在运行的进程进行在线统计,并对每一个进程文件的安全性进行评估。可以显示每个进程文件的详细路径、覆盖的主机数量以及主机列表,管理员可手动远程进行在线停止、隔离和进程文件删除操作。 7.2、系统资源监控 可对系统内正在运行的进程进行实时监控,监控每个进程文件对CPU和内存的使用情况,并能自定义监控范围,筛选监控结果。有助于用户实时掌握每个业务的运行状态,对业务服务器硬件性能的提升提供参考数据。同时能有效发现网内的挖矿程序,避免主机计算资源被恶意利用。 7.3、主机登录监控与审计 记录主机实时登录状态和历史登录日志,帮助管理员实时掌握全网主机登录状况,快速发现被异常登录的主机。可记录登录时间、登录用户名、登录方式、远程登录IP地址等内容,实现对主机登录日志的备份,避免攻击者恶意删除登录日志导致安全事件无法追溯的问题。 7.4、全局文件检索 可对指定路径下指定文件进行全网搜索,显示所查找文件的所在主机名、文件描述、版本、HASH值、安全级别等信息,方便管理员快速定位在全网潜伏的恶意程序。 7.5、移动存储设备管理 可限制主机允许或不允许使用移动存储设备,帮助管理员规范移动存储设备的使用,减少因违规使用移动存储设备带入风险。可对单主机或用户组进行使用限制。 8、服务范围/规模 提供500台主机设备的主机安全服务。 | 满足等保三级:终端应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理。 |
| 7 | 网站隔离防护服务 | 驻场服务,服务期限1年,法定工作日8小时工作制,如遇重保等特殊情况,须随时提供现场服务。 | ★七、网站隔离防护服务 1、防止目录扫描及漏洞扫描 能够隐藏受攻击Web站点漏洞和目录,自动化攻击工具无法扫描出系统漏洞和目录,能够对自动化攻击(扫描)工具的防护。 2、防SQL注入 隔离平台只接收用户侧发的鼠标键盘点击事件及GET请求,基于其它请求方式的注入攻击,隔离平台一律不接收,成功阻断非GET类SQL注入攻击。 对于GET类的注入攻击,通过URL动态加密功能能够轻松防护此类攻击。 客户端浏览器上运行的隔离平台JS框架代码会精准识别各类输入框内容并限制指定特殊字符输入,存在特殊字符则进行清除文本内容并弹出提示框。/3、网页代码封装COOKIE隐藏 本地无原站点应用的COOKIE数据,有效防止因为缓存数据或COOKIE数据被窃取进行CSRF。 4、防止利用漏洞攻击 针对应用系统自身、所用第三方框架、所用第三方中间件的已知和未知漏洞,防止被探测及攻击利用。 5、阻止自动化攻击工具 支持对自动化工具,从攻击原理上进行全方位阻断。 6、防止xss攻击 支持能够阻止XSS攻击,阻止凭证提取或实时会话劫持。 7、防止破坏的身份验证攻击 支持防止对身份验证的破坏而进行攻击。 8、防止直接对象引用和错误配置泄露 支持防止对不安全的直接对象引用以及对安全错误配置的泄露。 9、防Webshell后门利用 对上传文件进行检测防止Webshell后门上传 对访问URL进行加密,使攻击者无法访问到已植入的Webshell,防止Webshell后门被利用 10、APT防御 隐藏应用系统的所有活动脚本、API、使用的第三方框架和中间件,让攻击者无法分析和挖掘应用系统可能存在的漏洞;再结合URL加密,防止盲注攻击,有效防护APT攻击。 11、防网页挂马 支持防止攻击者利用Web漏洞进行挂马,传播恶意软件。 | 满足等保三级:安全计算环境中数据完整性部分,数据防篡改;应采用校验技术或密码技术保证重要数据在传输/存储过程中的完整性。 产出物:《网站安全运营报告》、《网站威胁分析报告》、《网站安全策略日常维护巡检记录》 |
| 8 | 服务工具要求 | |
| ★8.1 | 态势感知系统 | 一套 | | 提供一套态势感知系统,作为服务期内,安全整体事件监测预警工具,提供能覆盖整个数据中心的足量探针。 |
| ★8.2 | 智能监控系统 | 一套 | | 提供一套智能监控系统,作为服务期内,业务运行及资产监控工具。 |
| ★8.3 | 零信任安全系统 | 一套 | | 提供一套零信任系统,作为服务期内,零信任服务辅助工具,管理数量能覆盖政务外网。 |
| ★8.4 | 终端应用访问审计系统 | 一套 | | 提供一套终端应用访问审计系统,作为服务期内,终端应用访问审计服务辅助工具,管理数量能覆盖政务外网。 |
| ★8.5 | 主机安全系统 | 一套 | | 提供一套主机安全系统,作为服务期内,主机安全服务辅助工具,管理数量能覆盖整个数据中心。 |
| ★8.6 | 网站隔离防护系统 | 一套 | | 提供一套网站隔离防护系统,作为服务期内,网站隔离防护服务辅助工具。 |
| ★8.7 | 安全运维服务所涉及的服务工具(软、硬件辅助设备),在3年总服务期满后,资产归甲方所有。 |
| 9 | 驻场服务要求 |
| ★9.1 | 投标人承诺提供法定工作日8小时工作制驻场服务。 |
当前位置:
丹东市
竞争性磋商
2025年06月26日
微信扫一扫
客服电话
