【正文】 受控：C級項目編號：DPtechYNDWAQFW2017XXX安全服務方案 杭州迪普科技股份有限公司Hangzhou DPTech Technologies Co., Ltd年 月目 錄1 項目概述 62 遵循原則 63 推薦服務內容 74 服務詳細介紹 8 網站安全監(jiān)控 8 服務簡介 9 服務功能 11 服務特點 14 輸出成果 15 滲透測試服務 15 測試方法 16 測試內容 17 實施步驟 18 輸出成果 21 服務收益 21 網絡安全評估 21 評估內容 22 評估方法 26 實施步驟 28 輸出成果 38 安全巡檢服務 38 服務內容 38 輸出成果 39 服務收益 39 服務頻率 39 安全加固服務 40 加固內容 40 加固流程 42 輸出成果 46 服務收益 47 服務頻率 47 應急響應服務 47 服務內容 48 輸出成果 49 服務收益 49 服務頻率 50 新系統(tǒng)入網安全評估 50 評估內容 51 輸出成果 52 服務收益 53 服務頻率 53 安全攻防演練培訓 53 培訓課程 54 培訓流程 61 培訓考核 62 培訓優(yōu)勢 62 重要時期安全保障 63 現(xiàn)場值守 63 預案制定 64 應急處理 64 輸出成果 655 服務配套工具 656 項目投資估算 667 項目管理方案 67 項目管理方法 67 組織結構圖 68 項目溝通 69 日常溝通、記錄和備忘錄 69 報告 69 會議 69 項目實施質量保證 70 項目執(zhí)行人員的質量職責 71 安全服務質量保證 71 系統(tǒng)安全及風險規(guī)避方案 74 項目實施工具 74 項目實施策略 74 項目實施中的配合 758 保密承諾 76 保密協(xié)議 76 保密協(xié)議的必要性 76 保密條款 76 違約責任 77 項目實施人員專項保密承諾 78 保密承諾的必要性 78 保密內容和范圍 78 保密責任 789 迪普科技簡介 79 公司介紹 79 服務資質 80 國內最高的信息安全服務二級資質 80 中國通信企業(yè)協(xié)會風險評估資質 82 ISO 27001信息安全管理體系認證 83 國家信息安全漏洞庫支撐單位 84 中國互聯(lián)網網絡安全威脅治理聯(lián)盟成員單位 84 ISO9001認證 85 ISO14001認證 86 部分漏洞提交證明 86 服務優(yōu)勢 88 信息安全監(jiān)管機構高度認可 88 強大的漏洞挖掘研究能力 88 專業(yè)的安全咨詢服務團隊 88 國家重大會議活動首選安全保障團隊 891 項目概述近年來，隨著棱鏡門事件的爆發(fā)，網絡和信息安全受到前所未有的關注。2014年中央網絡安全和信息化領導小組的成立，習近平主席“沒有網絡安全就沒有國家安全”等指示的提出，無不表明網絡與信息安全工作已經上升至國家戰(zhàn)略安全層面。在這種形勢下，網絡安全的重要性被提到了前所未有的高度。在XXX中，如果網絡和業(yè)務系統(tǒng)被黑客攻擊，頁面被得法自發(fā)、敏感信息被竊取，其影響將難以估計。同時，規(guī)定將對出現(xiàn)安全事件的組織負責人進行處罰。隨著安全技術的發(fā)展，各行業(yè)的網絡和業(yè)務系統(tǒng)，必將成為黑客或反動勢力的攻擊目標。種種跡象表明，如果網絡和業(yè)務系統(tǒng)存在安全漏洞，將非常容易導致被攻擊者非法入侵，并對敏感數據進行非法竊取、篡改、刪除等操作。編寫本方案的目的，是希望通過迪普科技長期從事網絡安全、網站安全、安全服務工作的經驗，以及對黑客攻擊過程的深入理解，為XXX的網絡和業(yè)務系統(tǒng)提供全方位的安全防護建議，并為XXX的安全運行保駕護航。2 遵循原則本次為XXX提供的安全服務，全程遵循以下原則。l 先進性原則安全服務和形成的規(guī)劃方案，在路線上應與業(yè)界的主流發(fā)展趨勢相一致，保證依據此方案進行安全防護的XXX具備先進性。l 標準性原則安全服務和產品的選擇，按照國家安全管理、安全控制、安全規(guī)程為參考依據。l 實用性原則具備多層次、多角度、全方位、立體化的安全保護功能。各種安全技術措施盡顯其長，相互補充。當某一種或某一層保護失效時，其它仍可起到保護作用。l 可控性原則安全服務和安全規(guī)劃的技術和解決方案，涉及的工程實施應具有可控性。l 系統(tǒng)性、均衡性、綜合性研究原則安全服務從全系統(tǒng)出發(fā)，綜合分析各種安全風險，采取相應的安全措施，并根據風險的大小，采取不同強度的安全措施，提供具有最優(yōu)的性能價格比的安全解決方案。l 可行性、可靠性原則技術和解決方案，需在保證網絡和業(yè)務系統(tǒng)正常運轉的前提下，提供最優(yōu)安全保障。l 可擴展性原則良好的可擴展性，能適應安全技術的快速發(fā)展和更新，能隨著安全需求的變化而變化，充分保證投資的效益。3 推薦服務內容根據國家監(jiān)管機構要求以及XXX安全需求，我們推薦以下服務內容。序號服務內容服務描述服務方式1網站安全監(jiān)控對XXX指定的網站進行7*24小時安全監(jiān)控，并提供監(jiān)控日報、周報、月報，在網站出現(xiàn)異常情況時（被攻擊、篡改、掛馬），進行實時告警。遠程2滲透測試服務通過人工方式，模擬黑客攻擊方法，對XXX的網站進行非破壞性質的安全測試，查找應用層面漏洞并給出對應的修復建議。遠程/現(xiàn)場3網絡安全評估評估XXX的網絡拓撲架構、安全域規(guī)劃、邊界防護、安全防護措施、核心設備安全配置、設備脆弱性等，從而全面評估網絡的安全現(xiàn)狀，查找安全隱患?，F(xiàn)場4安全巡檢服務定期對XXX的業(yè)務系統(tǒng)進行安全漏洞檢測、基線配置核查、安全日志審計，評估業(yè)務系統(tǒng)的安全現(xiàn)狀，如果存在安全風險，則提供對應的整改建議?，F(xiàn)場5安全加固服務對安全巡檢發(fā)現(xiàn)的漏洞進行修復、配置隱患進行優(yōu)化的過程。加固內容包括但不限于系統(tǒng)補丁、防火墻、防病毒、危險服務、共享、自動播放、密碼安全。遠程/現(xiàn)場6應急響應服務當XXX的網站或服務器遭受黑客入侵攻擊時，第一時間對入侵事件進行分析、檢測、抑制、處理，查找入侵來源并恢復系統(tǒng)正常運行。遠程/現(xiàn)場7新系統(tǒng)入網安全評估在新系統(tǒng)入網前，對其進行全面的安全評估，包括滲透測試、漏洞檢測、基線核查，評估新系統(tǒng)的安全狀況，查找不符合安全要求的配置項以及安全風險點。遠程/現(xiàn)場8安全攻防演練培訓為XXX提供一個理論結合實際、可以實戰(zhàn)演練、場景真實逼真的安全攻防培訓，從而真正提升受訓人員的安全技術和實際動手能力?，F(xiàn)場9重要時期安全保障在重要時期（如重大會議、重大節(jié)假日），我司派出安全攻防經驗豐富的安全專家，進駐用戶現(xiàn)場，對業(yè)務系統(tǒng)進行現(xiàn)場安全值守和保障?，F(xiàn)場4 服務詳細介紹下面，對每項服務內容，進行詳細說明。 網站安全監(jiān)控隨著互聯(lián)網技術的快速發(fā)展，網站攻擊的門檻不斷降低。各類型網站受到的安全威脅越來越多，為形象、各Web應用系統(tǒng)的正常使用。應實現(xiàn)以下基本安全需求: l 監(jiān)控網站頁面內容完整、不被篡改；l 監(jiān)控網站存在的SQL注入、XSS、非法訪問、信息泄露等應用層漏洞，從而提前解決潛在風險；l 監(jiān)控網站，防止網站掛馬而導致的客戶滿意度損失；l 監(jiān)控網站是否存在敏感信息，對于網站的敏感信息內容自行配制告警功能，方便管理者及時了解到發(fā)生的安全事件，可根據量化的標準，對網站的安全事件嚴重程度進行不同形式的告警，杜絕可能存在的政治風險和聲譽損失；l 監(jiān)控網站是否被釣魚，導致相關的名譽損失。 ? 服務簡介WEB網站安全監(jiān)控平臺安全監(jiān)控系統(tǒng)是迪普科技根據“云”的理念研發(fā)出的一款全天候Web監(jiān)測系統(tǒng)。WEB網站安全監(jiān)控平臺監(jiān)控系統(tǒng)基于PAAS（PlatformAs–AService）模式，通過部署于各信息節(jié)點的監(jiān)測引擎對客戶指定的網站（WEB應用）進行可用率和站點安全性檢測，以保障客戶網站業(yè)務持續(xù)性，從而向客戶提供網站安全的保障。 服務功能 被動防御被動防御主要提供如下服務：l 網站異常推送無需時時刻刻緊盯著網站，也無需改變任何網絡的部署，也不需專門的人員進行安全設備維護及分析日志，一旦Web出現(xiàn)任何異常行為，迪普科技WEB網站安全監(jiān)控平臺會自動把異常推送到云端，然后在云端進行分析檢測。您完全不用擔心找不到異常的解決辦法，WEB網站安全監(jiān)控平臺會幫你完成這一系列繁雜的任務。l 預警服務每一個用戶所發(fā)生的異常行為都會在推送到云端分析結束后保留在云端特征庫中，一旦該異常再次發(fā)生，異常比對后，云端幾乎可無間隔預警。也就是說我們的用戶越多，WEB網站安全監(jiān)控平臺全方位立體式的監(jiān)控就越完善，您的網站也越加安全。l 專業(yè)團隊Web異常原因根據系統(tǒng)環(huán)境，人員等各種因素各式各樣。在遇到云端無法解決的情況下，我們專業(yè)團隊會在第一時間通知您，并提供解決方案。l 系統(tǒng)報表每日監(jiān)測后網站性能等監(jiān)測指標都可以隨時生成相應的報表，方便您的查閱。您無需在去找人進行參數整理等重復性工作，解決大量的人力重復勞動。 主動掃描主動掃描主要提供如下服務：l 網站性能監(jiān)控性能監(jiān)控主要對服務器性能、網站訪問可用率、延遲、故障時間的一個持續(xù)評測。是主動掃描中基礎模塊之一，它能更準確的讓您清楚每天網站運行的狀態(tài)。檢測功能：n 有效的監(jiān)測網站實時的可用率，更加直觀的表現(xiàn)出網站的性能；n 統(tǒng)計網站的故障時間，可有效的查出故障時間段，針對性解決網站故障；n 網站性能分析，根據監(jiān)測結果智能分析出網站可能出現(xiàn)的異常情況。l 網站篡改檢測網站防線攻破后，入侵者會對網站的頁面內容進行篡改，發(fā)布一些危害網站正常運行的言論，從對網站形象帶來巨大負面影響。檢測功能:n 有效防止掛黑鏈，避免影響網站優(yōu)化，導致排名下降；n 及時發(fā)現(xiàn)留后門，預防網站二次入侵；n 第一時間發(fā)現(xiàn)惡意修改的虛假信息，避免誤導用戶；n 時刻檢測惡意代碼植入，避免網站被殺軟警報屏蔽；n 避免主頁被篡改，減少聲譽損失，避免網站服務中斷。l 網站掛馬監(jiān)控掛馬檢測模塊采用大規(guī)模、分布式、動態(tài)行為檢測和靜態(tài)檢測相結合的掛馬識別方式，能夠準確判斷出網站的掛馬頁面，并及時發(fā)出警報，可以有效維護網站安全和利益。同時，通過高級木馬檢測服務，用戶可指定監(jiān)控間隔周期、監(jiān)控頁面深度、報警方式等參數，更好的滿足用戶需求。檢測功能:n 檢測iframe框架掛馬，讓您及時清理，避免成為木馬散布點；n 檢測script掛馬，避免通過script的調用來掛馬；n 檢測圖片偽裝掛馬，讓您及時處理，避免網頁被殺軟報警；n 檢測網頁漏洞，讓您及時修復，預防被掛馬；n 實時監(jiān)控網站掛馬情況，讓您及時處理掛馬問題。l 網站敏感詞監(jiān)控敏感詞監(jiān)控主要是針對網站敏感詞的一個檢測過濾，它能準確的檢測出你在其管理平臺中設立的敏感詞。一旦發(fā)現(xiàn)存在某個頁面中，WEB網站安全監(jiān)控平臺會主動提醒您。檢測功能:n 檢測網頁源碼中敏感詞出現(xiàn)；n 檢測數據庫中敏感詞出現(xiàn)；n 統(tǒng)計敏感詞出現(xiàn)次數，定位到具體代碼數據。l 網跨站釣魚檢測跨站釣魚檢測模塊通過靜態(tài)分析技術與虛擬機沙箱行為檢測技術相結合，對網站進行跨站釣魚檢測，能在最快的時間內完成跨站檢測。檢測功能：n 檢測iframe框架跨站釣魚；n 檢測script跨站釣魚，避免通過script的調用來跨站釣魚；n 檢測img跨站釣魚；n 對頁面的中的鏈接域名進行監(jiān)測，保障用戶訪問的域名正確性。 服務特點 易操作用戶只需要登錄我們的平臺，在其授權管理后，設置網站所需要監(jiān)控的項目。迪普科技本著“以人為本”理念，在產品設計時非常注重用戶體驗，您只需要簡單的幾步操作既可完成整個網站的監(jiān)控。同時產品中擁有豐富的幫助文檔，即使您沒有接觸過類似產品，在幫助文檔的指引下也可以順利的完成操作?？梢栽诠芾砥脚_中根據您設置對網站安全情況進行日報、周報、月報的報告通告，并通過郵件及時通知您。 智能管理l 主動掃描模式，被動防御模式主動掃描模式可主動更深入的測查出網站所存在的安全隱患，可主動發(fā)現(xiàn)各種網頁掛馬、敏感詞的出現(xiàn)、以及網站實時性能的一個總體分析。您可隨意調整掃描模式，達到預期效果。被動防御模式可全天候監(jiān)測網站異常，并在異常出現(xiàn)第一時間預警通您。l 節(jié)省投資與管理成本提供365*7*24全天候的在線木馬監(jiān)測服務，讓您的站點每一分鐘都在監(jiān)控中。 大大節(jié)省您在安全設備采購的投資，并且您無需親自動手操作各種安全設備，避免在使用設備過程中的繁瑣，節(jié)省您的時間和精力。l 訂閱故障統(tǒng)計報告站點安全情況可根據用戶需求進行訂閱，讓用戶能夠了解到行業(yè)內、地域內站點的安全情況，及時做好維護升級，避免不必要的損失。 輸出成果網站安全監(jiān)控的輸出成果如下：l 《XXX網站安全監(jiān)控周報》l 《XXX網站安全監(jiān)控月報》 滲透測試服務滲透測試服務，是在XXX授權的前提下，以模擬黑客攻擊的方式，對XXX網站的安全漏洞、安全隱患進行全面檢測，最終目標是查找網站的安全漏洞、評估網站的安全狀態(tài)、提供漏洞修復建議。在滲透過程中，我們會采用業(yè)界領先的漏洞檢測技術、攻擊技術、攻擊工具和迪普安全團隊編寫的腳本。過程分為四步：計劃與準備、信息收集、實施滲透、輸出報告。計劃與準備階段主要是根據網站反饋的內容制定項目實施方案與計劃；信息收集與實施滲透是項目的實施階段，輸出報告主要是匯總和評估項目中發(fā)現(xiàn)的安全威脅，并輸出文檔。1234 測試方法我司提供的滲透測試服務，采用的測試方法如下。l 信息搜集信息探測階段包括信息收集，端口、服務掃描，計算機漏洞檢測，此階段主要做滲透前的踩點用。使用工具：l Maltego ，搜集管理員、tel、常用id，網絡拓撲等l Nmap ，端口、服務掃描，弱口令破解，系統(tǒng)信息探測