网络与信息安全管理中心安全值守技术方案

1技术建议书

1.1服务方案

1.1.1项目概况

近几年来，信息平安的重要性逐步得到了各行业的广泛关注，国家相关

部门也出台了多项政策、法规和标准,用以指导各行业的信息平安建设。由

于信息平安相关的标准和法规相对抽象,加之信安中心担当了管理和生产职

能，在突发事务处置等方面人员储备不足，受限于人员配置和资源问题，部

分平安工作须要大量平安工具及专人参及。为保障中国公司结合自身状况制

定长期、系统、有效的平安建设规划，提出驻场服务的需求。

1.1.2建设目标

1、为平安工作开展供应高质量的平安保障服务。

2、在发生网络调整，系统升级扩容，新系统上线等变更时，进行评估，

给出明确的、可实施的平安建议及建设规划,协作相关平安工作开展。

3、在日常工作中，帮助平安人员开展定期的自查评估工作，设备或系统

上线时，实施上线前的平安评估和反馈相关的制度、规范和流程的落实状况。

4、保障日常工作中的网络平安。

5、应急响应及平安事务分析。

6、开展平安培训工作，提升相关人员的平安专业水平。

7、对重要系统（网络平安整合平台）进行帮助运维和推广。

1.1.3服务方法

本次平安值守服务项目我们供应以下服务方法：

1.1.3.1日常平安工作

常态化漏洞扫描,弱口令检查，业务系统渗透测试及相关文档、总结撰

写

定期平安检查：

•全网扫描（范围）。

•依据目标主机数量制定扫描支配,每个月能保证至少完成一次对全部

维护对象的平安扫描工作。

•出具平安扫描结果并和维护人员进行面对面沟通确认，督促维护人员

进行整改和加固，加固结束后进行再次复查并出具复查报告,对于不

能加固的漏洞供应平安解决建议。

系统上线平安检查：

对于新的业务系统上线前，值守人员协作完成上线设备的平安检查工作,

平安检查包含以下几项工作：

＞远程平安扫描

•通过运用现有远程平安评估系统对上线设备进行扫描,确保没有高、

中等级的平安问题，对于低等级的平安问题,应确保该问题不会泄露

设备敏感信息

＞本地平安检查

•协作平安加固的对上线设备进行检查，以确保上线设备已进行了必

要的平安设置

•注：若已制定相关的平安准入规范,将运用供应的替代的

＞远程渗透测试

•对困难的应用系统,如:系统，依据需求进远程渗透测试

1.1.3.1.1渗透测试概述

渗透测试（）是指是从一个攻击者的角度来检查和审核一个网络系统的

平安性的过程。通常由平安工程师尽可能完整地模拟黑客运用的漏洞发觉技

术和攻击手段，对目标网络/系统/主机/应用的平安性作深化的探测，发觉

系统最脆弱的环节。渗透测试能够直观的让管理人员知道自己网络所面临的

问题。

作为一种专业的平安服务，类似于军队里的“实战演习”或者“沙盘推

演”的概念，通过实战和推演，让清晰了解目前网络的脆弱性、可能造成的

影响，以便实行必要的防范措施。

1.1.3.1.2渗透测试意义

从渗透测试中，客户能够得到的收益至少有:

♦帮助发觉组织中的平安短板

一次渗透测试过程也就是一次黑客入侵实例，其中所利用到的攻击渗透

方法,也是其它具备相关技能的攻击者所最可能利用到的方法；由渗透测试

结果所暴露出来的问题，往往也是一个企业或组织中的平安最短木板，结合

这些暴露出来的弱点和问题，可以帮助企业有效的了解目前降低风险的最迫

切任务，使在信息平安方面的有限投入可以得到最大的回报。

♦作为信息平安状况方面的具体证据和真实案例

渗透测试的结果可以作为向投资方或管理人员供应的信息平安状况方

面的具体证据，一份文档齐全有效的渗透测试报告有助于组织管理者以案例

的形式向相关人员直观展示目前企业或组织的平安现状，从而增加员工对信

息平安的认知程度，提高相关人员的平安意识及素养，甚至提高组织在平安

方面的预算。

♦发觉系统或组织里逻辑性更强、更深层次的弱点

渗透测试和工具扫描可以很好的相互补充。工具扫描具有很好的效率和

速度,但是存在肯定的误报率和漏报率,并且不能发觉高层次、困难、并且相

互关联的平安问题;渗透测试的价值干脆依靠于实施者的专业技能和素养但

是特别精确,可以发觉系统和组织里逻辑性更强、更深层次的弱点。

♦从整体上把握组织或企业的信息平安现状

信息平安是一个整体工程,一个完整和胜利的渗透测试案例可能会涉及

系统或组织中的多个部门、人员或对象，有助于组织中的全部成员意识到自

己所在岗位对系统整体平安的影响，进而实行措施降低因为自身的缘由造成

的风险，有助于内部平安的提升。

1.1.3.1.3渗透测试步骤

渗透测试实际就是一个模拟黑客攻击的过程，因此其的实施过程也类

似于一次完整的黑客攻击过程,我们将其划分为如下几个阶段：

令预攻击阶段（找寻渗透突破口）

。攻击阶段（获得目标权限）

。后攻击阶段（扩大攻击渗透成果）

如下图：

1.1.3.1.3.1预攻击阶段

预攻击阶段主要是为了收集获得信息，从中发觉突破口，进行进一步

攻击决策。主要包括

＜网络信息，如网络拓补、及域名分布、网络状态等

令服务器信息，如信息、端口及服务信息、应用系统状况等

＜漏洞信息，如跟踪最新漏洞发布、漏洞的利用方法等

其利用到的方法及工具主要有：

•网络配置、状态，服务器信息

令

令

令

令

令

令

其它相关信息（如服务器信息，服务器管理员信息等）

令

令

令错误!未定义书签。

令、、等搜寻引擎获得目标信息

令企业组织名称、个人姓名、电话、生日、身份证号码、电子邮件等

等……（网站、论坛、社交工程欺瞒）

•常规扫描及漏洞发觉确认

。端口扫描及指纹识别

令利用各种扫描工具进行漏洞扫描（、等）

令采纳、3等工具进行防火墙规则探测

。采纳对网络设备等进行发觉

令采纳、等软件对常见漏洞进行扫描

。采纳如之类的商用软件对数据库进行扫描分析

•应用分析（及数据库应用）

。采纳、、、、等工具进行分析对服务进行分析检测

令用、进行注入和漏洞初步分析

令某些特定应用或程序的漏洞的手工验证检测（如注入、某些论坛网站

的上传漏洞、验证漏洞,某些特定软件的溢出漏洞等）

令采纳类似的工具对数据库进行分析

令用抓包帮助分析

1.1.3.1.3.2攻击阶段

攻击阶段是渗透测试的实际实施阶段，在这一阶段依据前面得到的信息

对目标进行攻击尝试,尝试获得目标的肯定权限。在这一阶段,主要会用到以

下技术或工具：

•账号口令猜解

口令是信息平安里永恒的主题,在以往的渗透测试项目中，通过账号口

令问题获得权限者不在少数。有用的账号口令除了系统账号如账号、账号外,

还包括一些数据库账号、账号、账号、账号、账号、账号以及一些其它应用

或者服务的账号口令。尤其是各个系统或者是应用服务的一些默认账号口令

和弱口令账号。大多综合性的扫描工具都有相应的弱口令审核模块,此外,

也可以采纳、、溯雪等比较专业的账号猜解工具。

•缓冲区溢出攻击

针对具体的溢出漏洞，可以采纳各种公开及私有的缓冲区溢出程序代码

进行攻击,如下图:

EXPLOITSPAYLOADSSESSIONS

FiheiModules

app::softcarr

app::squid

«ipp::ssl

3com3CDa»fnonIapp::siilwevsion

app;;t«lnet

J9AOLInstantMesscapp::nackercam

app::unr»al2OO4

ApacheWin32Cht<ip|J：：VOlIldS

■app::warfrprf

ApploFiloSorvorLc«ipp::webstaiow

叩I，：：wl»»K

*ArkeioBackupClieapp::wsft|>

AHeeiaBackupclie—OpeiailngSystem-»rOSx)

::bsd

fiArkoldBacktipClhtos;;bsdin32)

03::irix

cBakBoneNetVaullg::litiux

os::osx

期CABriqhtStorDiscg::Solaris

os：：wiiiZO(M)

fiCABrlghtstorDisco*：：wln?003Goverflow

os::wlnl?

0CABriyhtSlorUnivos::wiimt

O«：：wIllKp

CALic4»ns«Client<

一Aictihectuie--

CALicenseserverepu::|>pc

epu::spate

*DlstGCDaemonGKepu::x86

UvfcracdOfinnMOCQ-aZ；UIKBKCCjsarHcw

•基于应用服务的攻击

基于、数据库或特定的或结构的网络应用程序存在的弱点进行攻击,

常见的如注入攻击、跨站脚本攻击、一些特定网站论坛系统的上传漏洞、

下载漏洞、物理路径暴露、重要文件暴露等均属于这一类型,特定的对象及

其漏洞有其特定的利用方法，这里就不一一举例。

1.1.3.1.3.3后攻击阶段

后攻击阶段主要是在达到肯定的攻击效果后，隐藏和清除自己的入侵痕

迹，并利用现有条件进一步进行渗透，扩大入侵成果，获得敏感信息及资源,

长期的维持肯定权限。

这一阶段，一般主要进行3个工作：

1）植入后门木或者键盘记录工具等,获得对对象的再一次的限制权

在真实的黑客入侵事务中，这一步往往还要进行入侵行为的隐藏比如清

晰日志、隐藏后门木马服务、修补对象漏洞以防止他人利用等，但在渗透测

试实例中却不须要如此,往往须要保留对象相应的日志记录，可以作为渗透

测试的相关证据和参考信息。

2）获得对象的完全权限

这一步主要以破解系统的管理员权限账号为主，有很多闻名的口令破解

软件，如L0、、等可以帮助我们实现该任务。

3）利用已有条件,进行更深化的入侵渗透测试

在胜利获得某个对象的肯定权限后，就可以利用该成果，以此对象为跳

板，进行进一步的入侵渗透。在这一步会重复预攻击阶段和攻击阶段的那些

操作，因为前提条件的变更,可能实现很多从前不行能实现的渗透任务。此外,

还这个阶段，还有一些有用的攻击方法也是比较有效的，比如嗅探、跳板攻

击、欺瞒、欺瞒及（中间人）攻击等，都可以帮我们实现某些特定渗透结果。

1.1.3.1.4渗透测试流程

渗透测试及平安风险评估、平安加固等平安服务一样,在具体实施中都

有可能带来一些负面风险，因此一个严格的有效的实施流程是保证渗透测试

正常实施的关键，平安渗透测试服务严格遵循以下的项目实施流程：

1.13.1.4.1制定方案并获得授权

合法性即客户书面授权托付并同意实施方案，这是进行渗透测试的必要

条件。渗透测试首先必需将实施方法、实施时间、实施人员、实施工具等具

体的实施方案提交给客户，并得到客户的书面托付和授权。

实施方案大致包括下面几方面的内容：

令项目基本状况及目标介绍

令渗透测试实施方案及支配

。渗透测试成果的审核确认

应当做到客户对渗透测试全部细微环节和风险的知晓、全部过程都在客

户的限制下进行，这也是专业渗透测试服务及黑客攻击入侵的本质不同。

1.1.3.1.4.2信息收集分析

信息收集是每一步渗透攻击的前提,通过信息收集找寻渗透测试的突破

口并细化渗透测试方案，有针对性地制定模拟攻击测试支配。

信息收集主要涉及如下内容：

令域名及分布

。网络拓补、设备及操作系统

令端口及服务状况

。应用系统状况

令最新漏洞状况

。其它信息（如服务器管理员的相关信息等）

1.1.3.1.4.3渗透测试方案细化

依据预攻击阶段信息收集的结果，对渗透测试方案进行细化，主要是具

体漏洞细微环节及针对这些漏洞的可能采纳的测试手段,具体时间支配，以

及可能带来的风险,须要客户协作或关注的地方等。方案细化后再次知会客

户并取得客户同意授权才能进行下一步操作。

1.1.3.1.4.4渗透测试的实施

在取得客户同意后,起先具体的实施过程,包括如下几方面内容：

令获得目标系统权限

今后门木马植入，保持限制权

。跳板渗透,进一步扩展攻击成果

。获得敏感信息数据或资源

在实施过程中，特殊提请留意的是实行的渗透测试技术及手段肯定不能

导致对象的业务中断和工作异样，必需对对象的状态进行实时监控，必要的

状况下可以要求客户帮助进行。

1.1.3.1.5渗透测试报告

渗透测试之后，针对每个系统须要向客户供应一份渗透测试报告《相关

系统网络渗透测试报告》，报告特别具体的说明渗透测试过程中的得到的数

据和信息，并且将会具体的纪录整个渗透测试的全部操作。

渗透测试报告应包含如下内容：

渗透结论

包括目标系统的平安状况、存在的问题、渗透测试的结果等

渗透测试项目的介绍

包括项目状况、时间、参及人员、操作地点等

渗透测试过程

包括渗透测试的各个实施阶段中的方法、工具、技术及其操作细微环节

等

渗透测试的证据

渗透测试的一些过程及证明文件

解决方案

针对渗透测试中发觉的问题给出对应的解决方法和建议

附录部分

渗透测试中的一些其它相关内容，如异样事务的记录和处理等

1.1.3.2三同步工作

包括网络部、业务支撑及信息部，兼顾全部区公司新上线系统基线达标

检查,新上线设备平安配置核查，各域新业务上线平安检查。

1.1.3.2.1新业务上线平安检查目标

在新业务上线前，对相关的设备、业务系统应用进行平安检查，确保业

务系统平安的入网上线，符合集团及上级机关的平安要求。

1.1.3.2.2新业务上线平安检查范围

针对新系统/设备上线，供应平安检查技术服务,检查范围涵盖新系统/

设备的以下方面：

（1）检查对象包括新业务系统的应用程序代码、承载新业务运行的设

备，包括网络及平安设备、主机系统、数据库和中间件

（2）检查内容包含设备的平安基线配置、平安漏洞

1.1.3.2.3新业务上线平安检查内容

需供应管理支撑系统上线前平安检查服务。

（1）对现有的核心系统新版本上线进行上线前平安检查:

对管理支撑网全部涉及重要核心系统，包括：网络部、业务支撑及信息

部，兼顾全部区公司新上线系统基线达标检查，新上线设备平安配置核查,

各域新业务上线平安检查；

（2）对新上线的业务系统及新上线设备供应以下服务：

①平安漏洞检查，供应加固建议；

②平安配置合规检查，依据集团平安配置规范，并供应相关系统

的针对性加固规范书；

③应用系统配置平安检查；

④新上线业务如有互联网，须在互联网渗透测试；

⑤新业务的平安域规划和边界访问限制策略；

⑥网络改造帮助供应平安审计、建议和整改方案；

⑦新上线业务如有网站，对网站程序全面检查，供应应用平安加

固建议；

1.1.3.3平安运维

1.1.3.3.1执行运维作业支配

1、定期巡检设备，每周一次。

2、执行天、周、月作业支配。

3、定期开展设备升级和平安加固工作。

1.1.3.3.2设备运行运维

网络部、业务支撑及信息系统部平安设备运行运维，供应平安事态周，月,

季度报表并汇总输出，分析平安事态供应决策依据，刚好处理平安事务;平安

漏洞监测及新漏洞通告服务，平安预警服务，应急演练，应对上级平安检查

打算工作。

1、平安集中整合平台（包括漏洞扫描器、防病毒和补丁、平安监测系

统、防篡改、、平安域网络设备）；

2、垃圾短信拦截平台帮助运维；

3、重要系统、流量清洗设备运维（、、、网厅）；

4、僵木蠕系统监测等。

1.1.3.3.2.1设备运维目标及内容

通过定期升级，对云定制化平安设备进行日常运维支撑，满足高可用、

易用等运用要求。具体内容如下：

按规定周期定期检查并总结设备规则版本及系统版本，并将规则版本升

级至官方举荐版本、将系统版本（引擎版本）升级至官方举荐版本，并定期

输出《平安设备版本运维记录》。

定期进行平安设备状态检查、策略检查、接入检查、配置合规检查、配

置备份、日志统计各项工作，并定期输出《平安设备运营运维记录》。

结合云网络及业务特征优化平安设备告警监控指标和处理方法，指导针

对云计算环境下出现的新类型平安事务的分析及解决,不定期输出《平安设

备运营优化建议》。

L1.3.3.2.2设备运维服务流程

采纳的服务方式为两种：一种为技术人员现场值守，另一种是定期巡检

结合故障现场服务。

技术人员现场值守运行运维服务的基本操作流程如下图所示：

ITOD0DD0

000000D000

DD00D00D0000DDD

0D00000DD

定期巡检结合故障现场运行运维服务的基本操作流程如下图所示:

1.1.3.3.2.3网络、平安系统运维

从网络的连通性、网络的性能、网络的监控管理三个方面实现对网络系

统的运维管理。网络、平安系统基本服务内容：

序号服务模块内容描述

1协作进行，按备件到达现场时间工

现场备件安装

程师到达现场

2现场软件升级首先分析软件升级的必要性和风

险，协作进行软件升级

3按服务级别：7X24小时

现场故障诊断

5X8小时

4电话远程技术支持7X24小时

5问题管理系统对遇到的问题进行汇总和发布

(1)现场技术人员值守

依据的需求供应长期的现场技术人员值守服务，保证网络的实时连通和

可用，保障接入交换机、汇聚交换机和核心交换机的正常运转。现场值守的

技术人员每天记录网络交换机的端口是否可以正常运用，网络的转发和路由

是否正常进行，交换机的性能检测，进行整体网络性能评估，针对网络的利

用率进行优化并提出网络扩容和优化的建议。

现场值守人员还进行平安设备的日常运行状态的监控，对各种平安设备

的日志检查，对重点事务进行记录,对平安事务的产生缘由进行推断和解决,

刚好发觉问题，防患于未然。

同时能够对设备的运行数据进行记录，形成报表进行统计分析，便于进

行网络系统的分析和故障的提前预知。具体记录的数据包括：

＞配置数据

＞性能数据

＞故障数据

(2)现场巡检服务

现场巡检服务是对客户的设备及网络进行全面检查的服务项目，通过该

服务可使客户获得设备运行的第一手资料，最大可能地发觉存在的隐患，保

障设备稳定运行。同时，将有针对性地提出预警及解决建议，使客户能够提

早预防,最大限度降低运营风险。

巡检包括的内容如下:

编巡检内容

号

硬件运行状态检查项目

单板状态检查电源模块状态风扇状态检查

检查

1

整机指示灯状机框防尘网检机房温度、湿度

态检查查检查

设备地线检查

软件运行状况检查项目

设备运行状况网络报文分析设备对接运行状

2检查况检查

路由运行状况

检查

网络整体运行状况调查

3网络运行问题网络变更状况调网络历史故障

调查查调查

(3)网络运行分析及管理服务

网络运行分析及管理服务是指技术服务工程师通过对网络运行状况、网

络问题进行周期性检查、分析后,为客户提出指导性建议的一种综合性高级

服务,其内容包括：

服务内容服务优点

向客户供应网络专家电话号码。保证重大问题第一连线至网络

专家。

网络专家组每周及客户进行不以最小成本保证刚好解答客户

少于2小时的电话技术沟通关切的技术问题，并就某一领域技术

问题绽开深层次沟通。

每月向客户提交汇总分析报告，使客户了解网络历史故障状况

并可扩展到每年17次(月度、季度、以及故障预防建议，最大程度削减网

年度)络故障隐患，更高效的进行网络管

理。

(3)重要时刻专人值守服务

保证重要时刻设备稳定运行对客户胜利尤为关键，因此，可对客户供应

重要时刻的专人现场值守支持,包括政府客户的重大会议期间、金融客户的

年终结算日、运营商客户的生产网重大割接或其它任何客户认为可能对其业

务运营产生重大影响的时刻。

如需专人值守,客户需至少提前3周及授权服务商客户服务经理联系。

对每位合约客户，授权服务商均需按事先合同约定供应专人值守服务。客户

如需超出合同约定范围的更多值守支持，需额外支付相应人力和差旅费用。

1.1.3.3.2.4主机、存储系统运维

供应的主机、存储系统的运维服务包括:主机、存储设备的日常监控,

设备的运行状态监控，故障处理，操作系统运维，补丁升级等内容。

主机存储系统基本服务内容:

序号服务模块内容描述

协作进行。按备件到达现场时间工程师

1现场备件安装

到达现场

消退软件漏洞给系统带来的平安隐患，

2补丁服务并对安装补丁所引起的系统连锁反应进行

合理的平衡。

对系统进行软件或硬件的升级，以改

3升级服务

进、完善现有系统或消退现有系统的漏洞。

按服务级别：7义24小时

4现场故障诊断

5X8小时

电话远程技术支

57X24小时

持

6问题管理系统对遇到的问题进行汇总和发布

对客户系统的括主机、存储设备、操作

7系统优化

系统、供应优化服务。

现场值守人员可进行监控管理的内容包括:

>性能管理;

＞内存运用状况管理；

＞硬盘利用状况管理；

＞系统进程管理；

＞主机性能管理；

＞实时监控主机电源、风扇的运用状况及主机机箱内部温度；

＞监控主机硬盘运行状态；

＞监控主机网卡、阵列卡等硬件状态；

＞监控主机运行状况；

＞主机系统文件系统管理；

＞监控存储交换机设备状态、端口状态、传输速度；

＞监控备份服务进程、备份状况（起止时间、是否胜利、出错告警）；

＞监控记录磁盘阵列、磁带库等存储硬件故障提示和告警，并刚好解决

故障问题；

＞对存储的性能（如高速缓存、光纤通道等）进行监控。

L1.3.3.2.5数据库系统运维

供应的数据库运行运维服务是包括主动数据库性能管理，数据库的主动

性能管理对系统运维特别重要。通过主动式性能管理可了解数据库的日常运

行状态,识别数据库的性能问题发生在什么地方，有针对性地进行性能优化。

同时,亲密留意数据库系统的变更,主动地预防可能发生的问题。

供应的数据库运行运维服务还包括快速发觉、诊断和解决性能问题,在

出现问题时，刚好找出性能瓶颈，解决数据库性能问题，运维高效的应用系

统。

的数据库运行运维服务，主要工作是运用技术手段来达到管理的目标,

以系统最终的运行运维为目标,提高的工作效率。

具体数据库运行运维监控的基本服务内容包括:

序号服务模块内容描述

每周7天,每天24小时支持中心电话，

电子邮件答询，以满足业务发展的须要。

产品技术专家干脆同客户对话，帮助解

决客户提出的疑难问题。

数据库7*24电话依据问题的严峻程度,将优先解决客户

1

支持服务认为是关键而紧急的任务。

对客户提出的一般性问题进行技术询

问、指导。

定期的客户管理报告，避开问题再度

发生。

数据库宕机

数据库产品现场服数据坏块

r

务响应影响业务不能进行的产品问题

软件产品的更新及运维。

对系统的配置及运作框架提出建议，以

数据库产品系统健帮助您得到一个更坚毅牢靠的运作环境

q

康检查降低系统潜在的风险，包括数据丢失、

平安漏洞、系统崩溃、性能降低及资源惊慌

序号服务模块内容描述

检查并分析系统日志及跟踪文件,发觉

并解除数据库系统错误隐患

检查数据库系统是否须要应用最新的

补丁集

检查数据库空间的运用状况

帮助进行数据库空间的规划管理

检查数据库备份的完整性

监控数据库性能

确认系统的资源需求

明确您系统的实力及不足

优化的表现

通过改善系统环境的稳定性来降低潜

在的系统宕机时间

分析的应用类型和行为

评价并修改数据库的参数设置

评价并调整数据库的数据分布

数据库产品性能调

4评价应用对硬件和系统的运用状况，并

优

提出建议

利用先进的性能调整工具实施数据库

的性能调整

序号服务模块内容描述

培训有关性能调整的概念

供应完整的性能调整报告和解决方法

1.1.3.3.2.6中间件运维

中间件管理是指对中间件的日常运维管理和监控工作，提高对中间件平

台事务的分析解决实力，确保中间件平台持续稳定运行。中间件监控指标包

括配置信息管理、故障监控、性能监控。

■执行线程:监控配置执行线程的空闲数量。

■内存：内存曲线正常，能够刚好的进行内存空间回收。

■连接池:连接池的初始容量和最大容量应当设置为相等，并且至少等于执

行线程的数量，以避开在运行过程中创建数据库连接所带来的性能消耗。

■检查日志文件是否有异样报错

■假如有集群配置，须要检查集群的配置是否正常。

1.1.3.3.2.7运维服务管理制度

1.1.3.3.2,7.1月艮务时间

⑴接收服务恳求和询问：

在5*8小时工作时间内设置由专人职守的热线电话，接听内部的服务

恳求,并记录服务台事务处理结果。

⑵在非工作时间设置有专人7*24小时接听的电话热线，用于解决内

部的技

术问题以及接听7*24小时机房监控人员的机房突发状况汇报。

⑶服务响应时间:

故障解决时

故障级别响应时间

间

30分钟,30

I级:属于紧急问题；其具体现象

小时内提交故障1小时以内

为：系统崩溃导致业务停止、数据丢失。

处理方案

级:属于严峻问题;其具体现象为：30分钟，3

出现部分部件失效、系统性能下降但能0小时内提交故2小时以内

正常运行,不影响正常业务运作。障处理方案

级：属于较严峻问题；其具体现象30分钟,3

12小时以

为：出现系统报错或警告，但业务系统0小时内提交故

W

能接着运行且性能不受影响。障处理方案

级:属于一般问题;其具体现象为：30分钟,30

系统技术功能、安装或配置询问，或其小时内提交故障24天内

他明显不影响业务的预约服务。处理方案

技术支持人员在解决故障时，会最大限度爱护好数据，做好故障复原的

文档，力争复原到故障点前的业务状态。对于“系统瘫痪，业务系统不能运

转”的故障级别，假如不能于1小时内解决故障，将在2小时内提出应急方

案，确保业务系统的运行。故障解决后24小时内，提交故障处理报告。说

明故障种类、故障缘由、故障解决中运用的方法及故障损失等状况。

1.1.3.3.2.7.2行为规范

(1)遵守的各项规章制度，严格依据相应的规章制度办事。

(2)及运行运维体系其他部门和环节协同工作，亲密协作,共同开展技术

支持工作。

(3)出现疑难技术、业务问题和重大紧急状况时，刚好向负责人报告。

(4)现场技术支持时要精神饱满，穿着得体，谈吐文明，举止庄重。

接听电话时要文明礼貌,语言清晰明白，语气和善。

(5)遵守保密原则。对被支持单位的网络、主机、系统软件、应用软件

等的密码、核心参数、业务数据等负有保密责任，不得随意复制和传播。

1.1.3.3.27.3现场服务支持规范

运维服务人员要做到耐性、细心、热心的服务。工作要做到事事有记录、

事事有反馈、重大问题刚好汇报。严格遵守工作作息时间，严格依据服务工

作流程操作。

⑴现场支持工程师应着装整齐、言行礼貌大方，技术专业，操作娴熟、

严谨、规

范;现场支持时必需遵守单位的相关规章制度。

⑵现场支持工程师在进行现场支持工作时必需在保证数据和系统平安

的前提下

开展工作。

⑶现场支持时出现短暂无法解决的故障或其他新的故障时，应告知并

刚好上

报负责人，找寻其他解决途径。

(4)故障解决后，现场支持工程师要具体记录问题的发生时间、地点、

提出人和问题描述，并形成书面文档，必要时应向介绍故障出现的缘由及预

防方法和解决技巧。

1.1.3.3.2.7.4问题记录规范

依据运用人员提出问题的类别，将问题分为询问类问题和系统缺陷类问

题二类:询问类问题是指通过服务热线或现场解疑等方式能够当场解决提出

的问题，具有问题解答干脆、快速和实时的特点，该问题到现场支持人员处

即可中止，对于该类问题的记录可运用询问类问题记录模版进行记录。系统

缺陷类问题是指运用人员提出的问题涉及到系统相应环节的确认修改，须要

经过逐级提交、诊断、确认、处理和回复等环节，处理解决须要各外包服务

项目组的分析确认，问题有解决方案后,将解决方案反馈给。具体提沟通程

如下：

⑴问题提交。应用信息系统的发觉属于系统缺陷类的问题时，填写系

统缺陷

类问题提交单,提交服务支持人员。

⑵问题分析。服务支持接到提交的问题单，要组织相应人员对问题单

中描述

的问题进行分析研判，确定问题的类型（技术问题、业务问题或者操作问题）。

属于技术问题，提交服务技术人员对存在的问题提出具体的处理看法和建议;

属于业务问题，提交服务业务人员进行处理;属于操作问题，可支配相关人

员对问题提出人进行说明，并将系统缺陷类问题提交单转为系统询问类问题

提交单。

⑶问题确认、解决。服务的技术人员和业务人员收到系统缺陷类问题

提交单后，

对提交的问题进行归类汇总和分析、确认。可以解决的，明确问题解决的具

体处理建议和措施,经主管签字同意后，交实施人员进行解决方案的实施。服

务人员确认是否解决,并将解决方法附在系统缺陷类问题提交单上反馈给问

题提出人员。

(4)问题上报。服务人员收到经业务或技术人员确认的系统缺陷类问题

提交单后，

上报上级部门。

(5)问题回复。服务人员依据提交的问题进行分析,制定解决方案并进行

实施解决，同时做好变更记录。将解决方案汇总后刚好向问题提交单位或问

题交办客户作出回复，并将分析过程和问题产生缘由一并提交。

1.1.3.3.3平安预警服务

借助系统网络上已经部署的平安设备，进行平安检测分析,为保证业平

安稳定运行,值守期间每天对设备策略日志进行实施视察并依据业务开展状

况进行策略调整。

1.1.3.3.3.1平安运维监控中心

结合已有平安设备监控日志信息输出平安分析报告。平安预警通告由统

一发出，现场值守人员在接收到平安通告后，对通告内容进行必要的关注，

同时，结合资产信息表来确认哪些业务相关的系统可能面临平安威逼，对于

此类业务系统，将通知其管理员加强关注并进行必要的修补。

基于关键业务点面对业务系统可用性和业务连续性进行合理布控和监

测，以关键绩效指标指导和考核信息系统运行质量和运维管理工作的实施和

执行，运用全面覆盖信息系统的监测中心，并对各类事务做出快速、精确的

定位和呈现。实现对信息系统运行动态的快速驾驭，以及运行运维管理过程

中的事前预警、事发时快速定位。其主要包括：

1.集中监控:采纳开放的、遵循国际标准的、可扩展的架构，整合各类

监控管理

工具的监控信息,实现对信息资产的集中监视、查看和管理的智能化、

可视化监控系统。监控的主要内容包括：基础环境、网络、通信、平安、主

机、中间件、数据库和核心应用系统等。

2.综合呈现:合理规划及布控，整合来自各种不同的监控管理工具和

信息源，进

行标准化、归一化的处理，并进行过滤和归并，实现集中、综合的呈现。

3.快速定位和预警：经过同构和归并的信息,将依据预先配置的规

则、事务学问

库、关联关系进行快速的故障定位，并依据预警条件进行预警。

1.1.3.3.3.2平安运维告警中心

基于规则配置和自动关联，实现对监控采集、同构、归并的信息的智能

关联判别，并综合的呈现信息系统中发生的预警和告警事务，帮助运维管理

人员快速定位、排查问题所在。

同时，告警中心供应多种告警响应方式，内置及事务响应中心的工单和

预案处理接口，可依据事务关联和响应规则的定义,触发相应的预案处理，

实现运维管理过程中突发事务和问题处理的自动化和智能化。其中只要包

括：

事务基础库运维:是事务学问库的基础定义，内置大量的标准事务,按事

务类型进行合理划分和运维管理，可基于事务名称和事务描述信息进行归一

化处理的配置,定义了多源、异构信息的同构规则和过滤规则。

智能关联分析:借助基于规则的分析算法，对获得的各类信息进行分析,

找到信息之间的逻辑关系，结合平安事务产生的网络环境、资产重要程度，

对平安事务进行深度分析，消退平安事务的误报和重复报警。

综合查询和呈现：实现了多种视角的故障告警信息和业务预警信息的查

询和集中呈现。

告警响应和处理：供应事务生成、过滤、短信告警、邮件告警、自动派

发工单、启动预案等多种响应方式，内置监控界面的图形化告警方式；供应

及事务响应中心的智能接口，可基于事务关联响应规则自动生成工单并触发

相应的预案工作流进行处理。

LL3.3.3.3平安运维事务响应中心

借鉴并融合了（信息系统基础设施库）（服务管理）的先进管理规范和最

佳实践指南，借助工作流模型参考等标准，实施图形化、可配置的工作流程

管理系统，将运维管理工作以任务和工作单传递的方式，通过科学的、符合

运维管理规范的工作流程进行处置，在处理过程中实现电子化的自动流转，

无需人工干预，缩短了流程周期，削减人工错误，并实现对事务、问题处理

过程中的各个环节的追踪、监督和审计。其中包括：

图形化的工作流建模工具:实现预案建模的图形化管理，简洁易用的预

案流程的创建和运维,简洁的工作流仿真和验证。

可配置的预案流程:全部运维管理流程均可由自行配置定义，即可实现

的主要运维管理流程,又可依据的实际管理要求和规范,配置特性化的任务、

事务处理流程。

智能化的自动派单:智能的规则匹配和处理,基于管理规范的自动处理，

降低事务、任务发起到处理的延时，以及人工派发的误差。

全程的事务处理监控:实现对事务响应处理全过程的跟踪记录和监控，

依据管理建议和运维要求，对事务处理的响应时限和处理时限的监督和催

办。

事务处理阅历的积累：实现对事务处理过程的备案和综合查询，帮助在

处理事务时查找历史处理记录和流程，为运维管理工作积累阅历。

1.1.3.3.3.4平安运维审核评估中心

该中心供应对信息系统运行质量、服务水平、运维管理工作绩效的综合

评估、考核、审计管理功能。其中包括：

评估:遵循国际和工业标准及指南平台的运行质量评估框架，通过评估

模型使了解运维需求、认知运行风险、实行相应的爱护和限制，有效的保证

信息系统的建设投入及运行风险的平衡，系统地保证信息化建设的投资效益,

提高关键业务应用的连续性。

考核:是为了在评价过程中避开主观臆断和片面随意性,应实现工作量、

工作效率、处理考核、状态考核等功能。

审计:是以跨平台多数据源信息平安审计为框架，以电子数据处理审计

为基础的信息审计系统。主要包括：系统流程和输入输出数据以及数据接口

的完整性、合规性、有效性、真实性审计。

1.1.3.3.3.5以信息资产管理为核心

资产管理是全面实现信息系统运行运维管理的基础，供应的丰富的资产

信息属性运维和备案管理，以及对业务应用系统的备案和配置管理。

基于关键业务点配置关键业务的基础设施关联,通过资产对象信息配置

丰富业务应用系统的运行运维内容，实现各类基础设施及关键业务的有机结

合，以及全面的综合监控。这其中包括：

综合运行态势：是全面整合现有各类设备和系统的各类异构信息,包括

网络设备、平安设备、应用系统和终端管理中各种事务，经过分析后的综合

呈现界面，留意对信息系统的运行状态、综合态势的宏观展示。

系统采集管理：以信息系统内各种资源及各个核心业务系统的监控管理

为主线，采集相关异构监控系统的信息,通过对不同来源的信息数据的整合、

同构、规格化处理、规则匹配，生成面对运行运维管理的事务数据，实现信

息的共享和标准化。

系统配置管理：从系统容错、数据备份及复原和运行监控三个方面着手

自身的运行运维体系,采纳平台监测器实时监测、运行检测工具主动检查相

结合的方式，构建一个平安稳定的系统。

1.1.3.3.4应急响应演练

1.13.3.4.1人员支撑技术手段

平安事务分类及定级

平安事务发生后，建议由中国公司负责人对信息平安事务进行评估，确

定信息平安事务的类别及级别。

针对最常见的主流攻击手段，通过网络或其他技术手段,利用信息系统

的配置缺陷、协议缺陷、程序缺陷或运用暴力攻击对信息系统实施攻击，并

造成系统异样或对系统当前运行造成潜在危害的信息平安事务。

共分成如下几类：

•拒绝服务攻击

•恶意代码

•非授权访问攻击

•不当应用

依据平安事务的性质和严峻程度划分等级,分别指定问题确诊时限,和

供应解决方案的时限。平安事务分级定义如下：

表1.1平安事务定级

事务级严峻程

事务定义

别度

稍网络或业务系统出现故障，但短暂不影响业

I

微务系统的运行。

网络或业务系统出现异样,运行效率降低或

般出现错误。

严

网络或业务系统无法正常工作。

峻

紧

网络或业务系统中断或瘫痪。

急

平安事务检测和分析介绍

出现列举的四类平安事务,覆盖了常见的攻击手段和现象，客户可依据

如下描述进行初步推断和分析,如现象和以下描述吻合应马上启动应急流程,

并第一时间通知。

•拒绝服务攻击

•恶意代码

•非授权访问攻击

•不当应用应急启动

应急启动,建议由中国公司平安运维小组发起,第一时间供应技术响应

支持。

5.12应急流程

形成7X24小时应急响应机制（包括现场值守人员和远程后台支持团

队），在接收到应急恳求或者发生平安事务后，经过初步推断事务类别，通

过现象分析、人员访谈取得应急恳求或者平安事务的定位，同时分析缘由，

最终拿出解决方案并帮助客户复原业务和持续跟踪。

应急响应时限

•一般需求响应，响应时限为24小时内；

•一般平安事务响应，响应时限为12小时内；

•重大平安事务响应，响应时限为2小时内；

•须要现场解决的必需保证1小时内到达现场。

人员保障

・应急响应团队，从本地（包括驻场人员）、分支、总部三级,都有实

现技术人员互备；

•支持人员拥有多年的平安行业从业阅历，有比较丰富的平安事务处理

阅历；

•针对重大活动安保,特地在公司内部进行了流程梳理和相关团队人员

的培训I,确保协调一样、沟通的有效和刚好。

设备保障

为中国公司预备了各平安设备，用于预防或应对信息平安突发事务。

在本地为为此项目供应平安服务项目阅历丰富的高级平安工程师3名,

本地工程师依据要求远程或者现场刚好精确的处理紧急平安事务,具体响应

时间详见【应急响应事务时间】

1.1.3.3.4.2应急相应标准机制

•紧急响应服务

服务流程如下所示：

客户

到

达

电

话

现

场

打算工作：

•客户事务档案

•及客户就故障级别进行定义

•打算平安事务紧急响服务相关资源

•为一个突发事务的处理取得管理方面支持

•组建事务处理队伍

•供应易实现的初步报告

•制定一个紧急后备方案

•随时及管理员保持联系

识别事务：

•在指定时间内指派平安服务小组去负责此事务

•事务抄送专家小组

•初步评估,确定事务来源

•留意爱护可追查的线索，诸如马上对日志、数据进行备份（该保存在

磁带上或其它不联机存储设备）

•联系客户系统的相关服务商厂商

缩小事务的影响范围：

•确定系统接着运行的风险如何，确定是否关闭系统及其它措施

•客户相关工作人员及本公司相关工作人员保持联系、协商

•依据求制定相的急措施

解决问题：

•事务的起因分析

•事后取证追查

•后门检查

•漏洞分析

•供应解决方案

•结果提交专家小组审核

后续工作：

•检查是不是全部的服务都已经复原

•攻击者所利用的漏洞是否已经解决

•其发生的缘由是否已经处理

•保险措施，法律声明/手续是否已经归档

•急响步骤是否要修改

•生成紧急响报告

•拟定一份事务记录和跟踪报告

•事务合并/录入专家信息学问库

1.1.3.3.4.3应急响应事务时间

承诺供应运维服务的7X24小时电话响应和现场技术支持服务,包括对

平安评估、渗透测试、平安加固等方面的支持和各种及相关的技术问题解答;

供应故障诊断分析和解决方案;严峻故障导致系统不能正常运行，最快在20

分钟以内现场人员协作甲方完成故障处理工作。

故障响应和解决时限:

响应时间解决时限

接到服务恳求后5分钟内赐予答复，15分钟内到达20分钟内修复

现场；

1.1.3.3.4.4应急响应标准流程

公司对所供应的平安应急响应服务制定了完善的应急流程，假如在系统

运行过程中出现任何不行预知的平安事务,都要严格依据以下流程进行应急

响应:

1.1.3.3.4.5平安应急事务处理

假如在平安服务过程中出现一些不行预知的平安事务，则在事务处理完

毕后出具相应的事务报告。

1.1.3.3.4.6应急响应服务内容

针对信息系统供应最少4次/年的应急响应服务，在信息系统运行工作

期间，若出现突发紧急事务（病毒爆发、严峻攻击、信息外泄、网络入侵）,

平安应急人员快速响应并进行有效处理，帮助复原业务系统，对发生的平安

事务需编制分析报告及整改建议。

1.1.3.4系统运维

不限于平安集中整合平台、平安域、垃圾短信拦截平台、和流量清洗等

1.1.3.4.1系统运维概述

系统运维工作在整个系统生命周期中常常被忽视。人们往往热衷于项目

实施，当实施工作完成以后，多数状况下实施队伍被解散或撤走，而在系统

起先运行后并没有配置适当的系统运维人员。这样，一旦系统发生问题或环

境发生变更,最终将无从下手,这就是为什么有些信息系统在运行环境中长

期及旧系统并行运行不能转换，甚至最终被废弃的缘由。随着信息系统应用

的深化，以及运用寿命的延长，系统运维的工作量将越来越大。系统运维的

费用往往占整个系统生命周期总费用的60%以上，因此有人曾以浮在海面的

冰山来比方项目实施及运维的关系，项目实施工作犹如冰山露出水面的部分,

简洁被人看到而得到重视,而系统运维