XXX华为安全服务技术建议书模板

XXXX20__-20__年网络安全服务技术建议书模板（V1.0）（仅供内部使用）拟制:日期：yyyy-mm-dd审核:日期：yyyy-mm-dd审核:日期：yyyy-mm-dd批准:日期：yyyy-mm-dd深圳市华为技术服务有限公司YYYY-MM-DD

yyyy-mm-dd1.00初稿完成作者yyyy-mm-dd1.01一定要写清楚修改了哪些主要内容，与上一资料版本的关系，以便使用者一目了然本次修订者yyyy-mm-dd1.02本次修订者yyyy-mm-dd2.00修改XXX日期修订版本描述作者日期修订版本描述作者HUAWEI目录TOC\o"1-5"\h\z\o"CurrentDocument"1. 服务期 2\o"CurrentDocument"2. 安全服务范围 2\o"CurrentDocument"3. 安全服务内容 2\o"CurrentDocument"安全评估 3\o"CurrentDocument"安全评估工具 4\o"CurrentDocument"安全评估周期 4\o"CurrentDocument"3.1.3 漏洞扫描及本地检测对象 5\o"CurrentDocument"3.1.4 安全评估流程 6\o"CurrentDocument"3.1.5 漏洞扫描服务内容 7\o"CurrentDocument"安全审计 9\o"CurrentDocument"3.2.1 华为安全审计服务的内容 9\o"CurrentDocument"XXXX行业IT审计流程 10\o"CurrentDocument"IT审计的方法、技术与工具 10\o"CurrentDocument"常用设备的安全检查手册 11\o"CurrentDocument"CSO:华为自助开发的终端安全审计检查工具简介 11\o"CurrentDocument"XXXX行业IT审计方法的综合应用 13\o"CurrentDocument"应急响应 13\o"CurrentDocument"安全事件响应机制 14\o"CurrentDocument"华为安全应急响应服务 18\o"CurrentDocument"安全事件和分级 1\o"CurrentDocument"安全事件处理时限: 2\o"CurrentDocument"安全巡检 3\o"CurrentDocument"服务综述 3\o"CurrentDocument"服务流程: 3\o"CurrentDocument"巡检服务范围 4\o"CurrentDocument"巡检服务内容 5HUAWEI1.服务期说明本次安全服务提供的期限根据XXXX《XXXX网络安全服务要求》的要求，本次安全服务的提供期为： 年 月至 年 月，共__个月。2.安全服务范围概述此次安全服务的范围本次提供的网络安全服务为XXXX的各个网络和业务系统提供安全服务和支持。主要包括：1……2……3……3.安全服务内容作为华为整体安全解决方案的一部分，华为可以为用户提供安全评估、安全审计、安全咨询及建议、安全加固及优化、安全应急响应、安全巡检、安全预警、安全培训等专业安全服务，本次XXXXX项目将向客户提供以下专业安全服务：安全评估安全风险评估是信息安全管理体系（ISMS）建立的基础，是组织平衡安全风险和安全投入的依据，也是ISMS测量业绩、发现改进机会的最重要途径。安全风险评估是信息安全工作开展的起点和基础，是有效的安全策略设计、解决方案设计的前提。通过安全评估，明确保护的对象和其存在的弱点和威胁；通过对风险的量化，进而明确不同信息资产的保护等级，从而确定对不同保护等级的信息资产采取不同级别的控制措施；解决对所有资产都采取同等防护措施带来的影响效率、增加成本的问题。安全评估服务根据服务层次、对象以及要达到的要求的不同，一般可以分为信息安全风险评估和网络安全风险评估作为一种高端安全服务，一个全面专业的信息安全评估一般包含以下内容：•实体安全评估•平台安全评估数据安全评估通信安全评估应用安全评估运行安全评估管理安全评估网络安全风险评估则相对简单，一般主要只是针对具体平台，包括主机、网络设备本身的系统安全以及运行于其上的一些应用服务安全。针对以上涉及的评估内容，可以采用的评估方法有现场勘查、人员访谈、问卷调查、漏洞扫描、本地检测、渗透测试等。其中最基本也是一般安全评估服务最常选择的方式主要是漏洞扫描或者再加上本地检测。漏洞扫描技术是一种基于Internet远程检测目标网络或本地主机安全性脆弱点 HUAWEI的技术，本地检测作为漏洞扫描的补充，可以有效发现一些更为细致、具体的风险漏洞，两者从技术层面对主机、网络及其设备进行漏洞风险的有效评估，是审核和保障系统安全的有效手段。本次的安全评估服务采取的是网络安全风险评估，包括漏洞扫描及本地检测两部分内容，主要针对的对象是主机及其应用、网络及其设备方面的安全评估。安全评估工具本次安全服务中用到的漏洞扫描工具由华为根据XXXX的具体情况和需求，经过双方商议后决定由哪方提供，本地检测的Checklist及脚本由华为提供。安全评估周期本次安全评估采取定期和不定期两种方式进行。定期扫描/本地检测根据XXXX网络安全服务合同规定进行；不定期扫描/检测根据客户的临时需求，由客户提出服务需求，我方提供服务。如下：定期漏洞扫描/本地检测根据XXXX的网络/系统的具体情况和技术需求来决定评估周期网络/系统 评估周期不定期漏洞扫描根据XXXX要求进行，次数不限。（注：不定期扫描的收费方式由合同指出）3.1.3漏洞扫描及本地检测对象包括需要扫描主机、设备的ip范围，操作系统、设备版本类型、主要应用服务、业务等基本信息，可参考如下表格：3・1・4安全评估流程确定评估对象确定所需资源制定评估计划及担描策略远程扫描端口扫描操诈系统折纹扫描悬—应用服务漏洞扫掃本地检测VC应用扔摊-..花应用护咖应用护那■<3・1・4安全评估流程确定评估对象确定所需资源制定评估计划及担描策略远程扫描端口扫描操诈系统折纹扫描悬—应用服务漏洞扫掃本地检测VC应用扔摊-..花应用护咖应用护那■<■2-( 异常事件记录及处理(输出扫描结果及报告•扫描对象包括需要扫描主机的ip范围、操作系统类型、主要应用业务等基本信息。•所需资源包括实施人员、所需设备、工具、资料、其他支持等。•扫描计划及策略包括扫描任务的实施人员、时间安排，扫描方法、策略、工具、资料的说明，还有风险的规避、异常事件应急方案等等。HUAWEI•端口扫描扫描出开放的端口及其Banner信息，扫描工具有nmap、superscan。操作系统指文扫描通过指纹扫描判断出操作系统版本，扫描工具有nmap。应用服务漏洞扫描通过前面的端口扫描及操作系统指文扫描判断服务器上面提供的应用服务及其版本，跟据不同的服务制定不同的扫描策略，选择相应的扫描插件或工具进行漏洞扫描，扫描工具有：ISS、NESSUS。3.1.5漏洞扫描服务内容服务内容根据XXXX的具体需求对该服务的内容具体说明，包括服务响应时间、服务质量承诺、扫描结果评估报告等等，对其中具有优势的华为服务内容做特别说明。1、 华为在收到XXXX扫描申请后，在两个工作日内派出技术人员到XXXX现场进行扫描，并提交扫描结果给XXXX。2、 在扫描设备充足和扫描任务密集的情况下，华为保证有充足的技术人员根据XXXX要求按时按质完成扫描工作。3、 对扫描产生的结果，华为根据XXXX的具体需要，导入《XXXX安全评估信息库》，资产漏洞信息按照《XXXX安全评估信息库》格式正确、清晰呈现，尤其是漏洞信息详细描述和解决方案；扫描中的所有资产一并导入信息库。4、 对同一网络或系统涉及到两次漏洞扫描的，华为提供与前次扫描的对比分析报告。5、 漏洞扫描应安排在非业务忙时进行，根据实际网络和系统的要求确定扫描速度，将对网络和系统的影响降至最小。扫描计划概述针对该次服务的具体需求制订详细的扫描计划，包括时间安排、人力资源分配、紧急事件处理方案等。在接到扫描任务后，根据扫描对象和规模制定详细的扫描计划，并给XXXX确认。扫描计划内容包括：1、 扫描的具体时间安排：针对扫描对象和规模制定扫描计划，并且计划扫描时间安排在非业务忙时进行，根据实际网络和系统的要求确定扫描速度，将对网络和系统的影响降至最小2、 扫描人员安排：安排有经验的扫描人员，根据扫描规模的大小和扫描任务的紧急程度确定人员的数量。3、 紧急事件的响应：紧急事件有两种，一种是在扫描过程中发现的重大的必须马上解决的漏洞，此部分华为公司提供修补建议，XXXX确认后由双方共同安排人员进行及时的修补；另一种是扫描过程中可能出现的由于扫描引起的目标系统服务停止或服务器宕机等风险及其风险规避措施，基于此类事件的可能性考虑，在扫描实施过程中XXXX应安排专职人员负责协调。扫描结果报告概述扫描结果报告的内容概述。扫描结果报告漏洞扫描完成后生成扫描结果报告，结果报告包含以下的内容：1、 目标系统的总体信息：包括包含的主机数量，IP地址分布，基本的操作系统状况分组，发现的弱点分类以及数量。2、 按照目标系统分类的详细信息：系统内的每一主机的：操作系统状况、帐号口令状况、端口开放状况、弱点的详细状况 HUAWEI3、针对扫描结构分析目前扫描目标系统的安全隐患以及需要解决的紧急程度。对比分析报告内容概述将此次扫描结果报告与前期做过的扫描结果报告进行对比分析，按照摸板提供对比分析报告。华为公司在扫描结束之后，将按照模板提供对比分析报告，主要针对在前期已经做过扫描的系统，其主要内容包括：1、目标系统减少的弱点信息2、目标系统新增的弱点信息3、新增弱点产生的原因与造成的隐患程度4、消除弱点的解决方案5、扫描总结安全审计华为安全审计服务是基于ISACA（信息系统审计与控制协会）制定的一套信息系统审计标准，参考业界最佳时间并结合华为公司自身安全审计经验。并拥有多名通过ISACA协会认证的信息系统审计师（CISA）。3.2.1华为安全审计服务的内容概述华为安全审计服务提供哪些方面的服务内。容提供IT审计咨询协助建立审计方法和标准推荐IT审计工具建立日常安全维护指导文档提供IT审计培训XXXX行业IT审计流程根据国际标准的信息系统审计准则和国内对其行业的研提出该行业IT审计工作进程方案和相关策略。国内IT审计建设起步晚，对IT审计了解比较少，因此如何有效的控制一个IT审计项目缺乏相关的经验。根据对国内XXXX行业的的研究，提出如下XXXX行业IT审计工作进程方案与相关策略：说明该行业对审计单位的组织要求以及相关的资质要求。确定独立IT审计组，说明审计组的成员构成及组成员的IT安全审计资格和此次安全审计的范围制定详细的IT审计方案与计划，应包括该行业的信息系统现状分析、内部控制情况现状初步评价、审计工作的组织安排、审计风险评估、审计范围、审计成本、实施时间计划、审计协调与沟通机制等等。具体说明严格按照制定的审计方案与计划进行取证、测试与评价的审计实施过程。概述IT审计报告的构成部分，各块内容的汇总的组织结构审计工作的持续改进和长期的计划IT审计的方法、技术与工具介绍常规的审计方法、技术和工具，以及计算机辅助审计的技术工与具。1)常规的审计方法、技术与工具面谈法问卷调查系统评审会流程图检查程序代码检查程序代码比较设备配置检查2)计算机辅助审计的技术与工具a)计算机辅助审计技术集成测试(IntegratedTestFacility)快拍、扩展测试(Snapshot/ExtendedTest)系统控制审计评审文件(SCARF,SystemcontrolandauditreviewFile)连续与间歇模拟(CIS,ContinuousandIntermittentSimulation)b)审计软件c)性能度量工具3.2.4常用设备的安全检查手册列出常用设备的安全检查手册。•终端安全检查手册•网络设备例行安全检查手册•防火墙例行安全检查手册Windows例行安全检查手册Unix例行安全检查手册数据库例行安全检查手册3.2.5CSO：华为自助开发的终端安全审计检查工具简介根据GSI/FBI的调查，企业信息窃密的发生频率可能不如病毒等攻击手段高，但是它所造成的损失却是最大的，因此防范泄密事件的发生是企业迫切需要解决的关系到企业生存发展的重大安全问题。那么，为什么会出现泄密事件呢？计算机网络化为别有用心者提供了许多新的泄密途径；信息新技术的采用为别有用心者提供了许多新的手段；用户终端的安全性差，造成了许多非主观的无意泄密。针对企业频繁发生的泄密事件，通过对泄密产生原因的深入分析和研究，华为公司通过自主研发推出了专门防范企业用户终端泄密的审计监控系统——CSO终端安全监控系统。 HUAWEI——该系统从两个角度提供防泄密功能。一是从企业监控管理的角度，主要是通过制定用户终端的安全审计监控策略，再根据安全策略下达审计监控任务对用户终端进行安全审计监控，以达到防止内部秘密信息有意或无意泄漏的功能；二是从用户终端自查自防的角度，提供用户进行本机安全自检的功能，帮助用户加强本机安全性，防止无意泄密的情况出现。CSO终端安全监控系统在系统机构上采用了C/S结构和B/S结构的混合模式。在系统组成上采用C/S结构，系统分为安全策略服务器（SPS）和客户端代理软件（Agent）两个部分；在系统应用和管理上采用B/S结构，审计人员和应用管理员通过浏览器登录Web服务器进行相关操作。系统应用模型如下图：审计丘下送申计倒户审计丘下送申计倒户审计经理：主要负责增加、删除和修改安全审计策略，配置审计员权限，检查审计员的审计操作日志。能够向所有用户终端下达各种审计监控任务，生成各种审计报表。审计员：能够查看部分审计策略定义。根据实际审计需要，向所管辖部门（权限范围内的部门）的用户终端下达各种审计监控任务，生成各种审计报表。应用管理员：负责系统运行参数的增加、删除和修改，以及审计人员开户等。用户：接受审计监控，进行本机自检。3.2.6XXXX行业IT审计方法的综合应用xxxx行业it审计实施过程中应用的关键方法主要包括以下几个方面：1） 明确指出该行业it审计过程中的关键因素2） 对该行业IT审计过程中的关键因素进行评估3） 在对其关键因素充分识别与评估后，考虑应用现有的控制措施或设计新的控制方法控制其关键因素4） 采用符合性测试方法与实质性审计测试方法对其进行IT审计测试。3.3应急响应在当今互联化的计算环境中，保障组织信息财产的安全是一种挑战，随着各种新的"电子"产品和各种入侵工具的出现，这种挑战变得越来越艰巨。对于保障信息财产的安全来说，不存在单一的解决方案，而需要一种多层化的安全策略。在通常的APPDRR动态安全模型中，网络安全二风险分析（A）+安全策略（P）+防御系统（P）+实时监测（D）+响应处理（R）+灾难恢复（R）。其中应急处理是安全保障工作中一个非常重要的环节。应急处理环节的主要工作内容就是发现排除突发的安全事件，在安全保障工作中，防护和监测环节往往都是针对已知事件特征来防护和监测的，因此应急处理环节的工作可以弥补其不足。PDRR模型HUAWEI网络安全事件是多种多样的，攻击的来源、目的和方法都非常复杂，可以同时达到多种不同的结果。因此，网络安全事件应急处理是个非常复杂、困难的过程。对于紧急事件的应急处理，一定要建立一套行之有效的应急处理机制，包括其处理方法、组织和人员、实施流程等，一旦紧急事件发生，就要能在最短的时间内对问题事件做出响应和处理，最终解决问题。3.3.1安全事件响应机制安全事件响应机制，是指应对网络安全突发事件的各种制度及其具体措施的总称。我们认为它应由事前预防预警和监测机制、事中紧急处理机制、事后协调恢复机制、评估和改进机制四大部分构成。事前预防、预警和监测机制说明在事前预防、预警和监测的安全制度建设上要注意的要点此机制的主要功能在于通过监控系统及时发现网络安全突发事件的前兆，适时发布预警信号，为早期化解和严阵以待奠定基础，最大限度地避免仓促应战、盲目应战、混乱应战等不良管理现象。在制度建设上，主要有以下几点：1、建立全方位的监控系统。不仅仅包括政府有关部门和机构、网络运营商和网络服务商，还包括有关的网络设备、操作系统和应用软件厂商，有关的科研机构和社会组织，同时保持和国外有关机构的信息联系，并鼓励普通员工通过网站、email、电话等多种方式反映各种网络安全突发事件，建立一个依靠和动员广大员工的、吸纳一切可用资源的、全方位的监控系统。2、组织精干有效的专家系统。将各方面的专家有效地组织起来，包括职能部门、信息分析人员、危机处理专家、相关领域的技术顾问、法律专家、具有丰富经验的实际工作人员代表等，从而能对各种网络安全突发事件提供涵盖各领域的预防和解HUAWEI决方案，而不仅仅是从技术方面。3、完善职责明确的职能系统。监控系统中的各部门、应急项目组或厂商依据职能划分，分别承担职责范围内的预警工作。应急项目组和厂商的主要职能在技术层面上，通过运用各种技术手段来完成其职责。需要指出的是，要针对网络安全突发事件产生的原因，结合实际情况，拟定出多种应急预案并形成预案库。拟定预案是应对网络安全突发事件的基础工作，应当引起高度的重视。4、划分网络安全突发事件的严重级别。根据可能造成的损失程度，划分突发事件的不同级别，发布相应的预警通告，以确定需要调用的资源和采取的措施。在具体措施上，主要是以下几点：1、异常流量监控。针对日益严重的网络蠕虫病毒，监控全网流量，建立蠕虫流量模型和蠕虫状态测度方法，应用于入侵检测系统中，提高蠕虫检测的准确度，从而减少网络蠕虫病毒带来的威胁。2、病毒、漏洞和补丁监控。要求有关机构和厂商，及时发布病毒告警和漏洞告警，并迅速提供相应的专杀工具、病毒库升级和修补程序。同时对网络上可能受影响的计算机发出警告，要求其尽快采取措施消除隐患。3、垃圾邮件和有害信息的监控。利用各种技术手段进行搜索、监控和过滤。事中紧急处理机制在建设事中紧急处理的制度时要注意的几大要点一旦网络安全突发事件难以避免地发生，就必须立即启动事中紧急处理机制进行应对。因此，事中紧急处理机制的建设是应对网络安全突发事件的核心环节，直接关系应对的质量与效率。在制度建设上，主要有以下几点：1、建立全面的信息收集系统。应对机制中的所有成员，对网络安全突发事件的详细情况及其发展趋势进行分析，为迅速处理和解决网络安全突发事件提供有效的、真实的信息。2、建立专业的解决方案制定系统。迅速调集相关的专业人员，针对具体的网络安全突发事件，确定该事件的严重级别，研究解决方案的实施及修改完善，开展应急指导工作。3、建立统一的应对指挥系统。由拥有法定权力的领导和部门负责人组成富有权威的指挥部门，负责统帅其他系统做好网络安全突发事件的紧急处理工作。指挥系统的建立一般有两种：一是借助常设机构；二是成立综合性的非常设机构。当现有的常设机构能力不足以解决特别重大的网络安全突发事件时，可以由上级政府协调成立一个更高级别的综合性的非常设机构。4、建立强有力的执行系统。执行系统应当是一支训练有素、反应灵敏、专业化程度高和富有战斗力的队伍。指挥系统将指定的解决方案部署下去之后，各相关成员应坚决、迅速地执行，各司其职，紧密配合，将网络安全突发事件造成的负面影响和损失控制在最小范围内。在具体措施上，主要有以下几点：1、迅速定位事件的传播源和传播途径，分析突发事件发生的具体原因。2、 综合运用访问控制列表、速率限制、QoS、反向路由验证等技术和关闭、隔离或限制传播源等手段，控制网络安全突发事件在网络上的传播。3、 设备和软件厂商应以最快速度，提交相应的专杀工具、病毒库升级、修补程序等产品解决方案。事后协调恢复机制在事后协调恢复机制的建设中要注意的重点网络安全突发事件的波峰过去以后，应尽快恢复正常的网络秩序，弥补已经造成的损失，必须适时运用事后协调恢复机制。在制度建设上，主要有以下几点：HUAWEI1、信息收集系统应继续追踪和掌握网络安全突发事件发展的有关信息，尤其要注意观察事态有无反复的迹象。2、指挥系统仍然担负善后工作指挥职责，统率协调相关系统开展扫尾工作。为彻底解决相关问题而调用必要的有关资源，并着手研究有关组织或人员的相关责任问题。3、执行系统负责善后工作的具体落实与执行，密切关注善后工作，监督有关制度和措施的最后落实情况。在具体措施上，主要有以下几点：1、继续保持对网络的密切监控和分析，防止渐近平息的网络安全突发事件死灰复燃。2、已采取的紧急措施和限制，要区分情况，在确定不会造成新的问题前提下，对部分影响正常网络业务的措施和限制逐步放开。比如，递次取消ACL、将被隔离的计算机恢复联网、恢复关闭的网站等等。3、继续发布通告，提示仍然要保持警惕。评估和改进机制在评估和改进现有安全机制的时候需要注意的地方在网络安全突发事件基本平息之后，需要对此次的突发事件应急处理的各系统、过程以及结果进行评估，改进相关制度和措施。还要对导致突发事件产生的原因进行分析，拿出根治的办法，防止突发事件重演。1、 指挥系统要建立一个评估标准，选择合适的评估方法，对网络安全突发事件预防、处理、恢复过程中，各职能系统的具体表现和效果进行评估，实施相应的奖惩措施。2、 各职能系统进行自我评估，并提出预防和改进的方法、技术，供指挥系统参考。 HUAWEI3、全面审视现有的制度、技术和网络安全状况，与时俱进，不断改进网络安全突发事件应急机制。综上所述，我们可以建立一个网络安全突发事件应对机制模型，如图1所示:图1：网络安全突发事件应对机制模型一PR2IPR2I模型是将Prevent（预防）、Response（处理）、Recover（恢复）、Improve（改进）四个过程组成一个循环流程，以整体的安全策略为核心，以制度和技术为保证，建立一个自我管理、自我调节、自我改进、自我发展的“四自”网络安全突发事件应对机制。3.3.2华为安全应急响应服务3.3.2.1应急响应服务方法论华为对网络安全事件的响应采用国际上通用的PDCERF事件响应方法学

HUAWEIJZL4HUAWEIJZL4足艮进采取标准的事件响应方法现实环境中安全事件绝不是有序发生的，安全事件及其并发性比其它任何事件更不规则，没有技术和组织准备的应急响应会带来的直接风险：a） 破坏现场，不利取证b） 造成无法挽回的数据丢失c） 扩大系统损害d） 负面的媒体曝光e） 影响单位IT业务运作（可能影响一片）f） 影响客户信心g） 影响合作伙伴HUAWEI■标准的事件响应需要那些基础要素＞制定政策批准建立事件响应机制事件响应的任务目的及范围给事件响应的授权对事件响应的限制＞计划和组织设计事件响应框架计划提供相应的资源建立合理的技术基础设计流程建立合作关系处理团体利益3・3・2・2应急响应处理流程其它其它1、信息收集判断根据客户反映的情况和应急响应人员现场收集分析信息，对安全事件的类型做出判断或确认，主要是这么几类安全事件：◊病毒蠕虫◊黑客入侵◊拒绝服务攻击◊软硬件及设备故障HUAWEI◊其它2、准备“凡事预则立，不预则废”。由于安全事件多数太复杂而且费时，在事件真正发生前为事件响应做好准备非常重要。根据网络安全事件的类型，确定应急响应人员，准备相关资料和工具。如进程快照，服务快照，账号快照，网络日常流量统计，设备、系统基本配置快照，相关检测工具、修复工具、根除工具等。◊基于威胁建立一组合理的防御/控制措施◊建立一组尽可能高效的事件处理程序◊获得处理问题必须的资源和人员◊建立一个支持事件响应活动的基础设施如：管理员的一些实际准备工作◊确保过滤拒绝弱口令◊确保不活跃和缺省的帐号被删除或封锁◊安装并维护合适的安全工具（入侵检测/审计/安全电子邮件等）◊运行并定期检查系统日志/审计◊安装补丁和修补软件◊检查系统文件的完整性◊备份每一个必要的系统（包括事件处理过程中）◊调查每一可疑的事件（管理员最清楚什么正常，什么是异常）3、检测■检测的实践根据网络安全事件的类型，由相关技术人员有针对性的做相关检测，如病毒蠕虫的进程、服务、自启动、文件、共享、网络连接等检测、黑客入侵的账号检测、后门木马检测、漏洞检测等，DDOS的异常流量、数据监测等。■初步的动作和响应1） 如果安全事件发生了，重要的是不要惊慌失措，并不要引起其他人恐慌。收集证据并认真考虑下一步行动。2） 花时间分析所有异常现象3） 激活审计功能，增加审计信息量HUAWEI在事件发生后迅速拿到系统的完整备份，并且收集一份受影响的文件/恶意代码，以便分析§如：ddif=/dev/hd01of=/dev/rmt0开始记录所有发生的事情■估计事件的范围检测到事件发生以后，迅速判断事件影响的范围非常重要。这不仅有助于决定下一步阶段该做什么，还能帮助管理人员为这一事件指定一个优先级，以下是需要考虑的事项：影响了多少主机？不同的范围需要不同的干预方法涉及到多少网络？攻击者侵入到网络内部有多远多深？攻击者取得了什么样的权限？对单位业务和操作的影响有多大？关键应用和数据处于高风险吗？使用了多少种攻击方法？有谁知道了这一事件？范围有多大？攻击者利用的漏洞普遍性大不大？是不是其它机器有这样相同的脆弱性？■报告事件＞关于事件的基本信息◊攻击类型◊攻击者表现的目的受害操作系统类型和版本涉及的网络/子网攻击者输入的命令被攻破的帐号攻击者或恶意程序的标识和特征关于攻击源的信息HUAWEI◊发起攻击的主机/到受害主机的连接类型/攻击所跨越的已知网络路径◊攻击的结果攻击者是否已取得超级用户特权/具体哪些数据已被非法访问/系统的完整性是否被改变等＞威胁攻击传播的范围怎样/被攻破的系统和数据敏感程度如何/这一破坏或损失扩大的可能性有多大＞状态事件当前的状态/事件何时能得到解决＞紧急时刻关键人员的联系方式＞其它的信息，如相关漏洞信息/安全公告；审计数据＞建立一个包括以上各项的表格并在一定范围内分发，可以确保需要的信息得以报告4、抑制抑制的目的是限制攻击的范围，同时也就限制了潜在的损失和破坏。太多的安全事件可能迅速失控。抑制是非常重要的。例如受蠕虫感染后，要尽可能地将蠕虫的传播限制在一个网络范围之内。根据检测阶段得出的相关异常情况，采取一些有针对性的解决方法，抑制事件破坏程度的进一步增大及再次发生的可能性。比如说断网、隔离病毒主机、清除后门程序、账号、过滤异常流量及来源地址等抑制阶段的一个关键部分是决策，包括决策是否采取：完全关闭所有系统（彻底强力措施）从网络上断开修改所有防火墙和路由器的过滤规则，拒绝来自攻击主机的所有流量封锁或删除被攻破的登录帐号提高系统或网络行为的监控级别设置诱饵服务器作为陷阱HUAWEI◊关闭服务◊找到并删除后门◊反击攻击者的系统（一般不建议这么做）5、 根除在前面抑制阶段的基础上进一步对对引起该类安全问题的最终技术原因在技术上进行完全的杜绝，并对这类安全问题所造成的后果进行弥补和消除。在根除阶段，采取的措施最大的风险主要是在系统升级或补丁时可能造成系统故障，所以必须作好备份工作。6、 恢复根除之后是恢复。恢复过程因不同的组织机构而各异，不同的系统恢复过程必然不同，恢复时：◊建议确保从完好的介质上执行一次完整的系统恢复，包括强制地修改所有的口令◊从最新的完整备份中恢复数据（或增量备份）◊从容错系统硬件如冗余磁盘阵列（RAID）中恢复镜象的数据或条纹数据（stripeddata）◊机密系统的恢复更为详细和费时，在此不赘述◊调整安全策略（修改防火墙、检测和日志设置）◊恢复正常的网络环境HUAWEIHUAWEI7、跟进确认处理后网络、系统、设备等的相关状态，看是否会再次出现类似事件。并形成相应的报告，报告内容包括安全事件的类型、时间、检测方法、抑制方法根除方法、事件影响范围等。8、追踪取证根据客户需要、合同和实际情况决定是否进入该环节。9、完成确认任务完成后现场填写《应急响应工作记录表》，并提请客户签字确认。3.3.3安全事件和分级概述安全事件的范围和安全事件的分级下列事件可以定义为安全事件：非授权访问，通过入侵的方式进入到未被授权访问的网络中，而导致数据信息泄漏；信息泄密，数据在传输中因数据被截取、篡改、分析等而造成信息的泄漏；□□□□□□□□□□□□系统性能严重下降，有不明的进程运行并占用大量的CPU处理时间；在系统日志中发现非法登录者；发现网络大面积爆发计算机病毒感染；发现有人在不断强行尝试登录系统；系统中出现不明的新用户账号；管理员收到来自其它站点系统管理员的警告信，指出系统可能被威胁文件的访问权限被修改；因安全漏洞导致的系统问题；其它的入侵行为。安全事件分级安全事故■由于安全原因造成的网络通信物理或逻辑中断的事故。■由于安全原因系统重要业务运行停止造成的事故。HUAWEI■系统重要业务数据损坏。■系统遭受入侵，机密数据外泄。■因安全隐患可能会造成事故的现象。口严重安全事件：由于安全原因造成的网络通信物理或逻辑中断的严重故障。由于安全原因系统重要业务运行停止造成严重故障。系统部分重要业务数据损坏。系统遭受入侵，部分机密资料外泄。因安全隐患可能会造成故障的现象。一般安全事件■由于安全隐患或系统遭受入侵、尝试性入侵但未造成不良后果的网络通信或系统业务运行中出现的一般故障，或利用本网发起的对其它网络的攻击。3.3.4安全事件处理时限：根据实际情况制定安全事件处理时限，体现华为的优势和效率按照XXXX的要求，结合华为自身对客户网络安全和设备维保服务的实践经验，华为公司安全服务对安全事件的处理时限为：口事件处理响应时间：安全事故：立即严重安全事件：10分钟一般安全事件：30分钟口事件处理到场时间：安全事故：1小时严重安全事件：2小时一般安全事件：必要时到场口事件初步处理时间（指受影响的通信或者业务恢复网络通信的状态，不包括系统或数据受到损坏需要从备份介质恢复的工作和时间）安全事故：3小时严重安全事件：6小时一般安全事件：一个工作日口事件最终处理时间：安全事故：24小时，路途时间表+（恢复通信W4小时）严重安全事件：24小时，5天完成总数的80％10天完成剩余20％；一般安全事件：三个工作日，15天完成80％，30天完成剩余20%HUAWEI3.4安全巡检3.4.1服务综述网络安全巡检服务是指华为安排安全技术工程师对已在网上运行的设备实施现场检查，对安全设备如防火墙、入侵检测、防病毒、动态口令认证、日志分析系统等安全设备进行定期巡检工作，及时发现设备运行中出现的隐患，减少发生故障的概率，保证设备的稳定运行。巡检服务可分为硬件巡检、软件巡检。巡检服务指华为协助用户每年进行2次网上设备巡检，由用户确定具体时间和局点。软件检查内容包括：数据完整性检查、性能指标检查、告警功能检查、软件可用性与安全性检查等；硬件检查内容包括：设备运行状态检查、数据设备配置检查等。关于巡检内容，华为提供专门的巡检指导书和巡检项目表格模板，指导现场工作。设备巡检过程中发现的问题，华为依据故障级别进行相应的故障排除。但不包含故障件的维修和备件供应。3.4.2服务流程：HUAWEI注：01-确定巡检时间：与办事处服务经理联系，由服务经理与客户确定巡检的具体时间；同时由服务经理协调办事处产品线、客户分别确定巡检配合人员。02-巡检：与办事处、客户配合人员一起，按照巡检手册中巡检内容进行巡检。输出巡检报告。03-巡检报告提交办事处审核，并向办事处汇报巡检结果：巡检报告提交客户前必须经过办事处服务经理、产品经理审核。04-巡检报告提交客户，并向客户汇报巡检结果：巡检报告提交客户前必须向客户进行一次汇报；巡检报告以纸面件形式一式三份，分别由客户、办事处签字；05-巡检结束：巡检结束返回前要知会到办事处服务经理、产品经理；3.4.3巡检服务范围3.4.3.1对已实施安全整改的部分进行检查如前期安全整改仅涉及数据网络，则此次安全巡检仅对数据网络部分进行巡检；如前期安全整改涉及数据网络及主机安全加固，则此次安全巡检的内容就包括数据网络巡检与主机系统巡检。3.4.3.2对发现问题的处理■如属前期安全整改中的遗留问题，将尽快安排专人进行处理■如属维护操作不规范而导致的问题，根据实际情况可协助客户或办事处处理。■如属系统新增安全模块，则建议客户立项处理网络设备版本不属此巡检范围

HUAWEI3.4.4巡检服务内容3.4.4.1机房环境检查检查内容检查结果参考标准备注机房空调状态□合格□不合格□不涉及.功率足够并保持开机状态机房温度□合格□不合格□不涉及机房温度保持在15°C—30°C机房湿度□合格□不合格□不涉及机房湿度保持在40%—65%机房防静电情况□合格□不合格□不涉及机房地板进行了防静电处理，防静电地板接地机房空间状况□合格□不合格□不涉及机房空间足够，通风良好机房设备电源供电情况□合格□不合格□不涉及机房至少采用两路独立电源为设备供电设备接地□合格□不合格□不涉及设备接地电源电压□合格□不合格□不涉及.电源电压稳定电源功率□合格□不合格□不涉及.电源功率足够UPS□合格□不合格□不涉UPS正常工作

HUAWEI及3.4.4.2数据网络检查L2/L3交换机设备安全性检查编号检查项目命令行结果参考标准通用检测项1CPU利用率华为：vQuidway>displaycpu□合格□不合格□不涉及正常情况下，CPU利用率小于50%2内存使用率vQuidway>displaymem□合格□不合格□不涉及正常情况小余60%,S3026系列小于70%3设备上调试功能<Quidway>displaydebug□合格□不合格□不涉及正常运行时应该全部关闭4设备上的日志信息和trap信息vQuidway>displaylogbuffer<Quidway>displaytrapbuffer□合格□不合格□不涉及正常情况下没有端口大量UP/Down的信息，没有环路告警，没有大量的stp状态切换的告警，没有大量病毒告警，没有IP冲突，没有动态路由告警，没有大量的VRRP切换告警5查看当前配置和保存配置<Quidway>displaysaved-configuration<Quidway>displaycurrent-configureation□合格□不合格□不涉及确保当前配置和保存配置一致，配置可远程登时必须要有密码

HUAWEI6检查端口工作状态〈Quidway〉displayinterface□合格□不合格□不涉及查看端口的速率，双工和统计信息，保证双工的工作状态一致，避免出现一端全双工，一端半双工的工作状态。错误包计数不增长。7检查设备上STP运行状态[Quidway_hidecmd]displaystp□合格□不合格□不涉及端口STP状态正常8查看Trunk互联端口PVID[Quidway]displayinterfacexx□合格□不合格□不涉及互联端口的PVID配置一致。9查看当前系统时间<Quidway>displayclock□合格□不合格□不涉及要求系统时间和当前时间差值在10分钟之内，便于对照日志信息10查看boot—loader里面指定的启动文件<Quidway>displayboot—loader<Quidway>dir□合格□不合格□不涉及要求指定的启动文件在设备的文件系统中存在设备S3526EFC/S3O26ECGT/S5OOO/S3O5O检查项1查看硬件路由表项[Quidway]displayhwfib□合格□不合格□不涉及正常应该小余16条，如果发现大于16条，优化组网配置，将路由减少（仅3526E适用）

HUAWEI2查看动态路由协议配置[Quidway]displayospf[Quidway]diplayrip□合格□不合格□不涉及在S3526E如果启动了动态路由协议，建议配置路由过滤（只发布路由，不引入路由,避免路由条数过多）3查看mac地址个数[Quidway]display maccount□合格□不合格□不涉及正常的二层网络，mac地址个数不应该超过4K4查看arp表项和IPFDB表形[Quidway]displayarp[Quidway]displayipfdball□合格□不合格□不涉及正常情况下，arp表项应该全部包含在IPFDB表项中，IPFDB表项中仅多三层接口的IP（仅3526E适用）5查看各个端口上CPU的报文<Quidway>displayswitchpacket□合格□不合格□不涉及连续几次disswpack查看各个端口上送CPU的报文情况，正常情况不应该超过200个/S6查看异常堆栈信息(S3050)[Quidway_hidecmd]_dismemC0700000300(other)[Quidway_hidecmd]_dismem80500000300(3026C来说)□合格□不合格□不涉及正常情况下没有异常堆栈信息

HUAWEI设备S3552/S3528检查项1查看文件系统是否有异常文件<Quidway>dir□合格□不合格□不涉及正常情况下文件系统中应该没有exception.log、taskswitch.log2查看驱动的关键全局变量[Quidway_hidecmd]ipshowv□合格□不合格□不涉及正常情况下显示的g_bNSFULL应该为0,否则说明路由表满，可能存在软件转发，导致cpu占用率高路由器/L3交换机设备安全性检査编号检查项目命令行结果参考标准1CPU利用率华为：vQuidway>displaycpu□合格□不合格□不涉及正常情况下，CPU利用率小于50%2内存使用率vQuidway>displaymem□合格□不合格□不涉及正常情况小余60%3设备上调试功能<Quidway>displaydebug□合格□不合格□不涉及正常运行时应该全部关闭4设备上的日志信息和trap信息<Quidway>displaylogbuffer<Quidway>displaytrapbuffer□合格□不合格□不涉及正常情况下没有端口大量UP/Down的信息，没有环路告警，没有大量的stp状态切换的告警，没有大量病毒告警，没有IP冲突，没有动态路由告警，没有大量的VRRP切换告警5查看当前配<Quidway>display□合格□不合格确保当前配置和保存配

HUAWEI置和保存配置saved-configurationvQuidway>displaycurrent-configureation□不涉及置一致，配置可远程登时必须要有密码。6检查端口工作状态〈Quidway〉displayinterface□合格□不合格□不涉及查看端口的速率，双工的工作状态一致；错误包计数不增长。7查看当前系统时间<Quidway>displayclock□合格□不合格□不涉及要求系统时间和当前时间差值在10分钟之内，便于对照日志信息8查看boot—loader里面指定的启动文件<Quidway>displayboot—loader<Quidway>dir□合格□不合格□不涉及要求指定的启动文件在设备的文件系统中存在9查看VRRP/HSRP状态<Quidway>displayVRRP□合格□不合格□不涉及不出现VRRP/HSRP双主情况10查看0SPF认证<Quidway>displayospfpeer□合格□不合格□不涉及OSPF邻居间进行MD5加密认证。11查看0SPF邻居状态<Quidway>displayospfpeer□合格□不合格□不涉及普通OSPF间邻居状态为FULL,DRother间邻居状态为2-WAY。HUAWEI12查看静态路12查看静态路由<Quidway>display iproute□合格□不合格□不涉及没有无效路由；若有默认路由，分析其合理性。防火墙设备安全性检査编号检查项目命令行结果参考标准1CPU利用率□合格□不合格□不涉及2内存使用率□合格□不合格□不涉及3设备上调试功能□合格□不合格□不涉及正常运行时应该全部关闭4设备上的日志信息和trap信息□合格□不合格□不涉及5查看当前配置和保存配置□合格□不