XXX驻场运维服务实施方案V1.0

※※※※※※※※※※※※※※※※※※※※※※※项目XXXXX股份有限公司XXX驻场运维服务实施方案XXXXX股份有限公司2023年01月文档说明文档名称XXX驻场运维服务实施方案文档管理编号SFSS-SO-T0004驻场运维服务实施方案V1.0保密级别商业秘密文档版本号V1.0制作人XXX安全服务团队制作日期2023-1-13复审人XXX安全服务团队复审日期2023-1-14扩散范围限“XXXXX股份有限公司项目组”、授权客户分发控制XXX：创建、修改、读取授权客户：读取适用范围本“XXX驻场运维服务实施方案”用于指导XXX驻场运维服务项目的有效实施，仅限于“XXX”、XXX单位内部人员传阅。版本变更记录修改日期版本说明修改人■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属XXX所有，受到有关产权及版权法保护。任何个人、机构未经XXX的书面授权许可，不得以任何方式复制或引用本文的任何片断。

目录1 项目概述 41.1 项目背景 41.2 项目目标 42 实施依据 53 服务详情 63.1 服务范围 63.2 服务流程 63.2.1 现状与环境调研阶段 73.2.2 制定实施方案及计划阶段 73.2.3 项目启动阶段 73.2.4 运维服务实施阶段 73.2.5 总结与验收阶段 103.3 服务实施计划 103.4 服务内容 133.4.1 信息资产维护 133.4.2 安全巡检 143.4.3 事件监测预警 163.4.4 应急响应 163.5 服务团队 183.6 服务交付物 184 服务实施工具 205 服务优势 235.1 专业的安全服务团队 235.2 “云”“地”协同，人机共智 245.3 产品+服务实现价值增益 24项目概述项目背景当前外部网络攻击呈现日渐严峻的态势，攻防升级不断加剧。从WannaCry、Petya到BadRabbit，勒索病毒风暴席卷全球用户，大量现成的安全攻击工具和脚本在暗网售卖，数据泄露、页面篡改、黑链暗链等安全事件使得企业所面临的安全威胁随之增大，外部网络安全威胁的加剧导致企业的信息和数据安全正遭受内外多重和多样的防护压力，造成的损失愈发严重。企业信息化建设的不断深入，内部已经建立了比较完整的软件底层平台和各类信息系统，在获得信息化所带来的效率提升的同时，也导致安全运维的工作量日益增加，同时安全监测、安全通告、安全事件响应等方面仍缺少一套完整的安全运维和应急保障体系，多数运维人员不具备专业的安全能力，以保障信息系统的稳定安全运行和各类紧急事件的及时处理。因此，通过引入专业的安全驻场运维团队，深入开展全面的信息安全运维服务，逐步形成能持续完善、自我优化的安全运维体系，构建预防在先、快速响应的网络与信息安全应急机制，对一个企业的网络安全建设与发展显得尤为重要。随着“互联网+XX“的业务发展，XXX信息化程度的提高，对信息系统的依赖程度越来越高，信息化已经成为关键业务不可或缺的保障因素。同时，内外网的信息系统所面临的各种安全风险也日益严重，来自外网的APT攻击层出不穷、内网威胁也不断爆发（例如最近大规模爆发的勒索病毒，导致全球大量业务瘫痪）和黑客攻击不断多样化，时刻对XXX的核心业务带来潜在威胁，如何更好地为XXX信息化提供安全保障，确保各个关键系统的安全运行和信息化的健康发展是XXX信息系统建设所面临的一个主要问题。项目目标1、完善现有安全运营体系针对组织已经构建日常安全运营体系，提升安全团队现有的人员编制与人员技能，弥补安全运营体系存在缺失环节，确保安全运营体系完整、健康持续运转。2、提升安全防护能力补齐人员编制缺乏以及人员安全技能不足，充分发挥设备+人的作用，实现安全设备安全效果最大化，提升安全防护能力。实施依据XXX提供的驻场运维服务将参考下列法律法规和标准规范指导服务工作开展：国内标准、指南或规范：《中华人民共和国网络安全法》《信息安全技术网络安全等级保护实施指南》（GB/T25058-2019）《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019）《信息技术安全技术信息技术安全评估准则》（GB/T18336.1-2015）《信息安全技术信息安全事件分类分级指南》（GB/Z20986-2007）《信息安全技术网络基础安全技术要求》（GB/T20270-2006）《信息安全技术信息系统通用安全技术要求》（GB/T20271-2006）《信息安全技术网站安全云防护平台技术要求》（GB/T37956-2019）《信息安全技术操作系统安全技术要求》（GB/T20272-2019）《信息安全技术数据库管理系统安全技术要求》（GB/T20273-2019）《信息安全技术服务器安全技术要求和测评准则》（GB/T39680-2020）《信息安全技术网络交换机安全技术要求》（GB/T21050-2019）《信息技术安全技术信息安全事件管理》（GB/T20985.1-2017）《信息安全技术信息系统安全运维管理指南》（GB/T36626-2018）《信息安全技术信息系统灾难恢复规范》（GB/T20988-2007）国际标准、指南或规范：《信息技术安全保障框架》（ISO/IECTR15443-1:2012）《信息技术安全技术信息系统规范与使用指南》（ISO/IEC27001:2013）《信息技术安全技术IT安全管理指南》（ISO/IEC13335-1:2004）《信息技术安全技术操作系统的安全评定》（ISO/IECTR19791-2010）服务详情服务范围驻场运维服务范围是对包括各种网络设备、安全设备、主机操作系统、数据库、常见中间件及网络服务应用等资产进行现场运维，具体运维对象如下表所示：运维服务资产范围分类范围描述网路设备及安全设备主流网络设备、安全设备：Cisco、华为、Juniper等路由器Cisco、华为、Juniper等交换机其他厂商设备：防火墙、入侵检测、入侵防御设备、防毒墙、垃圾邮件等主机操作系统主流主机操作系统：微软Windows系列操作系统，Windows2003/2008/2012/2016等各类Linux系列操作系统，Redhat、Ubuntu、Debian等各类Unix系列操作系统，Solaris、AIX、HP-UX、BSD等数据库主流数据库：微软MSSQL系列，SQLSever2005/2008/2012/2016等甲骨文Oracle系列，Oracle9i/10g/11g等其他数据库，MySQL、DB2、Sybase、Informix等常见中间件及网络服务常见中间件及网络服务应用：Web服务类，IIS、Apache、Tomcat、Weblogic、Nginx、WebSphere等DNS服务类，Bind8、Bind9等FTP服务类，ServU、MSIISFTP等其他常见网络服务，MAIL、Proxy、POP3、SMTP等服务流程XXX将驻场运维服务分为现状与环境调研、制定实施方案及计划、项目启动、服务实施及总结与验收五个阶段，XXX依据丰富的项目管理实战经验对每个阶段进行单独管理，确保每个阶段的顺利进行。驻场运维服务流程现状与环境调研阶段在项目开始前系统性对客户单位的网络安全现状、网络结构、现有安全措施、安全建设程度、运维需求、组织职能、流程制度等进行初步的调研；为后续项目工作计划和服务内容制定提供有力的依据。制定实施方案及计划阶段项目经理根据客户需求，提供标准或定制化的项目实施方案，并根据客户要求的交付时间及相关驻场人员的排期情况，制定项目实施计划。明确安全运维工作的内容、工作职责、服务周期、分工界定、进度安排风险规避等内容，并向用户进行方案讲解，实施方案将作为项目实施服务的依据和参考。项目启动阶段项目经理召开项目启动会，在服务交付前召集项目组成员和客户项目组相关人员就项目目标，项目范围，里程碑、可交付成果等内容进行沟通和确认，同时签署运维实施申请单、保密协议和授权书。运维服务实施阶段此阶段是驻场运维服务的执行阶段，所有制定的目标和计划都将在这个阶段来完成。项目实施阶段的工作是项目验收的评判依据和标准。根据运维服务的实施方案进行服务实施，根据服务范围对设备和系统进行分类、标识，对系统中的配置信息进行备份和安全检查，对方案中需要周期性维护的设备和系统，做好巡检、安全查杀、备份、更新、升级、故障排查等维护工作的记录，由项目经理负责汇总并整理，最终形成周报、月报、季报和年度总结报告。运维服务实施的内容包括：信息资产维护收集用户现有的信息资产表，包括信息系统、平台或支撑系统、基础设施、数据资产、服务、人员等。与用户确定资产应具备的属性，通过TSS工具探测在线的目标主机，侦测运行的服务类型、端口、协议、组件版本信息、操作系统与设备类型。将系统探测的结果与原有的信息资产表进行匹配更新，形成新的信息资产表，并与各信息资产负责人进行一一确认，信息资产表由驻场运维团队定期负责更新。信息资产维护梳理的内容包括但不限于：梳理对外发布的互联网应用系统；梳理互联网出口及出口所使用的设备和安全措施；梳理网络结构（网络拓扑）；梳理重要的或需要重点保护的信息系统、应用系统各服务器之间的拓扑结构；梳理网络安全设备及网络防护情况。安全巡检安全巡检与策略调优通过对整体网络架构、网络边界、网络及安全设备防护措施的巡检，发现可能存在的安全风险，并对安全策略进行调优，具体的策略调优包括但不限于：网络检测策略：采取基于特征和基于行为的检测，对数据包的特征进行分析，有效发现网络中异常的访问行为和数据包。异常报警策略：通过报警类型的制定，明确安全事件类型，通过电子邮件或短信的方式进行报警。会话监控策略：配置会话监控策略，当会话处于非活跃一定时间或会话结束后，防火墙自动将会话丢弃，访问来源必须重新建立会话才能继续访问资源。会话限制策略：当业务服务器接受的连接数接近或达到阀值时，设备自动阻断其他的访问连接请求，避免服务器接到过多的访问而崩溃。身份认证策略：配置防火墙用户认证功能，对保护的应用系统可采取身份认证的方式（包括用户名/口令方式、S/KEY方式等），实现基于用户的访问控制；在线升级策略：规则库是决定系统检测能力的关键因素，应定期进行在线升级，确保规则库的完整性和有效性。安全日志分析对现有安全产品已发现并记录的日志进行分析，识别当前网络存在的脆弱性风险，根据日志结果，进行业务加固，以及安全策略的能力加强。基于以上原则，至少从以下方面进行策略的优化：高频类攻击，建立联动防护手段，如扫描、暴力破解、SQL注入、XSS攻击等。一经发现且分析为真实攻击，通过联动手段进行临时或永久封锁；清查日志分析所识别的风险隐患，如Webshell、黑链等已失陷的行为。一经发现且确认为真实存在风险，立即进行相应处置防护有效性检验上述安全设备策略调优工作完成后，进行统一的防护有效性验证。确保当前安全所具备的功能均已开启且具备预期的防护能力。如有不达标项，协助用户与设备厂家进一步完成功能调整，直至防护有效性检验达标。应急响应应急响应处置内容包括安全事件的定级和报告，清除或抑制事件对业务系统产生的影响，恢复业务系统的运行，并开展相应的事后分析。应急响应流程分为以下五个阶段：应急准备阶段准备阶段是安全事件响应的第一个阶段，应急准备包括人员、工具、仪器、设备、软件和资料等，当发生信息安全事件时，应立即启动本单位的应急预案，对突发的安全事件或异常状况迅速进行发现并分析确认，初步评估事件性质、危害程度和影响范围。事件分析阶段从网络流量情况、主机系统日志、网站服务日志、业务应用日志、数据库日志等，结合已有安全设备数据分析入侵方式，还原安全事件的过程，确定原因，取证追查，进行后门检查和漏洞分析，制定解决方案和安全策略。事件处置阶段根据分析的结果，确定系统运行的风险，制定相应的应急措施。通过关掉/修复已受害的系统隔离、修改防火墙或路由器的过滤规则、封锁或删除被攻破的登录账号、关闭可被攻击利用的服务功能等手段进行处置，使业务影响最小化的同时制止事态的进一步扩大。根除恢复阶段在对安全事件进行原因初步分析和影响抑制后，驻场运维团队对安全事件进一步处理，具体工作包括：扫描并清除系统中存在的病毒、木马、恶意代码等可疑程序；清理Web站点中存在的暗链、木马等页面；恢复被入侵篡改的系统配置，清理黑客创建的后门账号；删除异常系统服务、清理异常进程；验证入侵威胁清除并协助恢复用户的正常业务服务。事件总结阶段事件处理完毕后，根据整个事件情况进行分析汇总并提交《应急响应处置报告》，针对安全事件现象、处理过程、处理结果进行记录，同时对入侵原因进行分析，进一步总结事件教训，研判安全现状、排查安全隐患，加强安全建设，提升安全防护能力。总结与验收阶段此阶段是项目的收尾阶段，向用户进行整体安全运维工作汇报。详细汇总统计、报告运维工作中出现的故障、网络攻击、安全事件、安全巡检等服务内容，形成符合验收条件的验收性文件和总结性报告。服务实施计划序号服务项服务内容服务周期实施人员预估工期

（人/天）计划开始时间计划结束时间交付文档需要的配合1项目启动会项目启动会介绍明确服务边界，服务人员，服务计划、服务方案、沟通方式等。1次XXX0.520xx/xx/xx20xx/xx/xx《SFSS-SO-F0001安全服务保密协议》《SFSS-SO-P0101项目实施计划表》《SFSS-SO-P0102项目启动会》《SFSS-SO-P0103启动会会议纪要》《SFSS-SO-T0002安全运维服务方案》1）申请项目启动会会议室2）通知项目相关方和人员参会2准备工作获取客户已有资产清单、人员组织架构等，并持续优化更新。1次XXX120xx/xx/xx20xx/xx/xx《SFSS-SO-P0104用户信息档案表》1）签订驻场服务保密协议2）客户提供已有资产清单、人员组织架构等3信息资产维护通过查阅用户资产台账、与各信息资产负责人进行访谈沟通、使用TSS工具进行扫描的方式，确认是否有遗漏的资产、影子资产或者常年不使用但没有下线的信息资产，形成与实际情况完全一致的资产台账。月次XXX520xx/xx/xx20xx/xx/xx《SFSS-SO-R0101信息资产表》客户提供已有资产清单4安全巡检日常巡检所有安全设备运行状态记录：附截图，安全日志分析：安全日志、访问日志；例如寻找异常IP、攻击、访问等。单次XXX120xx/xx/xx20xx/xx/xx《SFSS-SO-R0102日常安全巡检记录》提供相应资源及访问权限月度安全巡检数据分析总结月次3《SFSS-SO-R0103安全巡检月报》5应急响应按照安全事件类型进行处置，形成安全事件处置报告按需XXX2按需20xx/xx/xx《SFSS-SO-R0104应急响应信息收集模板》《SFSS-SO-R0105应急响应报告模板》提供相应资源及访问权限6阶段报告月度安全运维数据分析总结月次XXX320xx/xx/xx20xx/xx/xx《SFSS-SO-R0108安全运维月报》7季度安全运维数据分析总结季次XXX420xx/xx/xx20xx/xx/xx《SFSS-SO-R0109安全运维季报》8最终汇报整个安全运维服务周期内安全运维数据分析汇报1次XXX0.520xx/xx/xx20xx/xx/xx《SFSS-SO-R0110安全运维服务最终汇报》全体人员安排9项目验收整体项目验收1次XXX120xx/xx/xx20xx/xx/xx《SFSS-SO-R0111安全运维服务验收报告》全体人员安排服务内容信息资产维护信息资产维护是实现信息系统安全运行和维护管理的基础之一，信息资产是具有价值的资源，是安全防护的客观对象，只有明确具体的资产信息才能开展相应的安全运维工作，因此信息资产维护是网络与信息安全工作的起点。信息资产维护服务根据信息资产的表现形式，在进行维护时可根据不同的资产分类使用不同的信息资产维护策略。依据资产的使用特点及部署方式，可将资产分为数据、服务、信息系统、平台或支撑系统、基础设施、人员等。信息资产维护服务的频率至少1次/月，定期对新增或下线的资产进行更新维护。驻场运维团队通过查阅用户资产台账、与各信息资产负责人进行访谈沟通、使用TSS工具进行扫描的方式，确认是否有遗漏的资产、影子资产或者常年不使用但没有下线的信息资产，通过全面的资产梳理形成字段信息丰富、直观的资产清单，同时在设备上线、版本升级、设备下线等重要时间节点对资产清单进行主动更新和盘点，形成与实际情况完全一致的资产清单，为其他安全工作的有序开展打下扎实基础。信息资产梳理的范围包括但不限于：部署在内网的资产业务系统：系统名称、IP地址、系统描述、开放端口、开放服务、是否为核心资产、域名、服务器操作系统类型、Web系统特征（数据库类型及版本、中间件类型及版本、使用的脚本语言）、物理位置、所属部门、责任人及联系方式、系统厂商及联系方式；安全设备：设备名称、IP地址、功能用途、开放端口、开放服务、部署位置、物理位置、所属部门、责任人及联系方式、设备厂商及联系方式；网络设备：设备名称、IP地址、软件版本号、开放端口、开放服务、部署位置、物理位置、所属部门、责任人及联系方式、设备厂商及联系方式；主机产品（服务器集群、虚拟化集群）：软件名称、软件版本、主机IP、开放端口、开放服务、物理位置、所属部门、责任人及联系方式、产品厂商及联系方式。部署在互联网的资产公有云系统：系统名称、系统描述、域名、开放端口、开放服务、服务器操作系统类型、是否购买云防护、Web系统特征（数据库类型及版本、中间件类型及版本、使用的脚本语言）、责任人及联系方式、所属部门、责任人及联系方式、系统厂商及联系方式；微信公众号：公众号名称、公众号描述、开放端口、开放服务、服务器操作系统类型、是否有链接至本地服务器功能、负责人及联系方式、所属部门、责任人及联系方式、系统厂商及联系方式；微信小程序：小程序名称、小程序描述、开放端口、开放服务、服务器操作系统类型、是否有链接至本地服务器功能、负责人及联系方式、所属部门、责任人及联系方式、系统厂商及联系方式。数据及文档网络拓扑图、机柜立面图；网络链路：名称、带宽、数量、运营商、IP 地址、接入设备、用途、到期时间；IP地址规划表：区域、网段、用途等。人员资产信息中心组织架构；系统、网络、安全管理员具体职能划分、人员联系方式。安全巡检安全巡检是指使用多种手段，对防火墙、IPS、WAF、网页防篡改系统等安全设备的运行状态进行监控，对安全策略和安全日志进行检查，记录重点安全问题，有针对性地提出通告及解决建议，使用户能够提早预防，最大限度降低安全风险。安全巡检服务的频率：每天对设备运行状态和安全日志进行记录，每月对安全巡检数据进行分析和总结。定期进行安全设备的日常运行状态的监控，对各种安全设备的日志检查，对重点事件进行记录，对安全事件的产生原因进行判断和解决，及时发现问题，防患于未然。安全巡检的具体工作包括但不限于：日常巡检定期查看设备（包含但不限于：防火墙、AC、数据库审计、IDS、IPS、WAF、防病毒、VPN、堡垒机、态势感知）的运行状况、分析设备运行日志，发现网络中潜在的安全威胁并及时进行处理，输出巡检结果及维护记录。巡检的内容包括但不限于：检查并记录软硬件设备自身的安全性，制定安全配置加固策略（口令策略、限制不必要端口和服务、合理账号权限分配、加密传输方式、设备冗余情况等）对设备进行安全加固；检查并记录软硬件设备的配置、系统版本、License、硬件模块数量、CPU、内存和硬盘使用情况等是否满足实际应用的要求；检查并记录软硬件设备访问控制策略、安全事件告警信息、病毒/漏洞特征识别规则库升级策略和查杀策略；检查在网络边界处是否有对网络攻击进行检测的相关措施。设备优化根据业务及安全需求，调整设备部署，定期对设备安全策略进行梳理、归并和调优。针对网关设备，根据网络安全区域的划分优化访问控制策略，防护DDOS分布式拒绝服务攻击、恶意IP攻击、telnet攻击、SSH攻击和暴力破解攻击；针对网络安全设备进行安全策略的优化，如高峰时段PSP线路单用户流速上限策略，禁止代理策略等；开启设备日志功能，配置日志服务器并对核心设备的日志进行收集、分析和回溯；调整各类冗余策略、隐藏策略、过期策略、可合并策略、空策略等，根据分析结果再对策略进行精简和优化，保证访问控制规则最小化。设备升级在设备系统软件或特征库新版本发布后，协助用户完成设备系统的升级，实现对新的安全威胁进行检测。按照安全补丁更新流程在设备升级前，应对系统配置进行备份，同时避开业务高峰时段进行实施。判断与分析补丁对于业务环境与业务的风险和影响，确认安全补丁安装的评估步骤，对补丁进行测试、记录测试结果，配置补丁部署策略并在系统环境中实施，保证设备升级有效性、稳定性和安全性。设备升级回滚，若补丁实施不成功，则需要进行补丁回退。配置备份为防止在设备在配置策略或升级补丁过程中出现系统异常的情况，均应在配置之前进行一次完整的系统备份，以便在系统发生故障后能够迅速恢复正常；另外在日常巡检过程中，也需定期对安全设备配置进行备份。故障处置对信息安全产品发生的故障进行处置，输出设备故障处理报告。事件监测预警驻场运维团队利用流量监测、报文监测等方式，对DNS解析异常、流量威胁、异常行为、终端威胁、APT攻击、数据威胁等安全事件进行安全监测与研判分析，初步判断设备是否存在误报情况，强化主动防控，加强监测预警、研判分析、通报处置、应急响应，保障重要信息系统安全稳定运行。应急响应应急响应是驻场运维服务体系的一个重要组成部分，是指为了应对突发及重大信息安全事件的发生所做的准备以及在事件发生所采取的措施。驻场运维团队将协助系统运维人员共同构建安全响应机制，尽可能减少和控制安全事件带来的损失。驻场运维团队对用户业务环境中的安全事件进行响应，对用户的主机安全数据进行分析、全方位监测发现的威胁和异常进行快速响应和处置，并针对安全事件进行深入地溯源和取证；同时输出应急响应报告，帮助用户正确应对攻击入侵事件，降低安全事件带来的损失。Web安全事件WEB安全事件是指B/S类信息系统或网站遭受恶意入侵，利用网站进行反动信息、赌博、黄色等信息发布，传播危害国家安全、社会稳定和公共利益的内容的安全事件。WEB安全事件包括以下5个子类，详细如下：篡改：网站首页被恶意篡改，发表不当言论；暗链：网站被植入博彩、色情、游戏等广告内容；挂马：页面被植入木马内容，导致访问者中毒；Webshell：黑客通过Webshell控制主机；非法言论：网站发布非法言论，恶意组织串连、煽动集会等。恶意程序事件恶意程序事件是指蓄意制造、传播恶意程序，或是因受到恶意程序的影响而导致的信息安全事件。恶意程序是指带有攻击意图的插入到信息系统中的一段程序，恶意程序危害系统中数据、应用程序或操作系统的保密性、完整性或可用性，或影响信息系统的正常运行。恶意程序主要包括以下：病毒事件：造成系统缓慢、数据损坏、运行异常等；木马事件：主机或服务器被远程控制；蠕虫事件：利用漏洞进行传播，造成大面积被感染；僵尸网络事件：主机服务器被控制对外攻击，如DDOS、扫描等；勒索病毒事件：数据被加密，造成业务或数据无法正常使用；挖矿病毒事件：使用CPU或GPU进行挖矿，造成服务器或主机性能下降。网络攻击事件网络攻击是指通过网络或其他技术手段，利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击，并造成信息系统异常或对信息系统当前运行造成潜在危害的信息安全事件。网络攻击多以流量型攻击为主。网络流量攻击包括频繁发包、批量请求、DDOS攻击、漏洞攻击事件、暴力破解、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络流量攻击。信息破坏事件信息破坏事件是指通过网络或其他技术手段，造成信息系统中的信息被篡改、假冒、泄漏、窃取等而导致的信息安全事件。信息破坏事件主要包括以下内容：系统配置遭篡改：系统中出现异常的服务、进程、启动项、账号等；数据库内容篡改：业务数据遭到恶意篡改，引起业务异常和损失；网站内容篡改事件：网站页面内容被黑客恶意篡改；信息数据泄露事件：服务器数据、会员账号遭到窃取并泄露。服务团队序号角色名称职责分工对应人员1T1驻场运维工程师1、负责现场协助处置常见安全问题，确认问题现象及时间、范围等基础信息，并判断是否需要处置、是否可以自行处理、是否需要远程支持、是否要求上门处理；2、威胁预警通告；3、问题无法处置、分析，上升至T2进行处置，如确认远程处理，配合云端远程处理安全问题。XXX2项目经理1、开始启动项目；2、明确服务边界，服务规范、内容和需求；3、准备项目启动会相关材料；4、发起内部启动会并做人员安排；5、服务讲解、工具介绍；6、服务交付物质量审核；7、服务汇报及项目验收等组织事宜。XXX3T2安全服务工程师1、负责受理T1问题上升来的威胁处置问题，并输出相关处理报告；2、问题无法处置、分析，上升至T3进行处置。XXX4T3专家1、负责受理T2无法解决的问题并输出相关解决方案。XXX服务交付物驻场运维项目，一般包含如下材料：《信息化资产信息表》《业务系统流程梳理表》按需《网络拓扑图》《网络和安全设备巡检报告》《驻场安全运维服务日/周报》按需《驻场安全运维服务月度总结》按需《驻场安全运维服务半年度总结》按需《驻场安全运维服务年度总结》按需服务实施工具驻场运维服务工具包括如下：服务工具表序号服务工具类别工具名称用途1资产发现工具TSS工具TSS工具是XXX自研系统，支持ARP、TCP、ICMP混合方式探测，支持选择常用端口、全局端口、自定义端口选项等。2NetworkMapper通过发送特定的网络数据包，检测目标主机是否在线，侦测运行的服务类型、端口、协议、组件版本信息、操作系统与设备类型。3Massscan一款专业的端口扫描工具，扫描速度快，采用了无状态的扫描技术，允许自定义任意的地址范围、端口范围，设置扫描速率。4应急响应之进程分析工具ProcessHacker一款专业的安全分析工具，能够检测恶意进程，解决软件或进程在特定操作系统环境下遇到的问题。5ProcessMonitor一款系统进程监视软件，对系统中的任何文件和注册表操作同时进行监视和记录，通过注册表和文件读写的变化，对于帮助诊断系统故障或是发现恶意软件、病毒或木马6PCHunter一款强大的Windows系统信息查看软件，可以查看内核文件、驱动模块、隐藏进程、注册表等等信息，也是手工杀毒辅助软件。7应急响应之流量分析工具XXX安全感知平台一个检测、预警、响应处置的大数据安全分析平台。以全流量分析为核心，结合威胁情报、行为分析建模、失陷主机检测、大数据关联分析等技术，对全网流量实现全网业务可视化、威胁可视化、攻击与可疑流量可视化等8Wireshark一款网络封包分析工具，可以帮助用户深入分析网络协议，涵盖上百种协议以及各类主要平台。9应急响应之启动项检查工具Autoruns一个基于Windows平台的自动运行程序的管理工具。可以控制登录时的加载程序、驱动程序加载、服务启动、任务计划等10应急响应之病毒查杀工具EDR一款支持防病毒功能、入侵防御功能、防火墙隔离功能、数据信息采集上报、安全事件的一键处置等的安全平台。11应急响应之日志分析工具XXX安全感知平台一个检测、预警、响应处置的大数据安全分析平台。以全流量分析为核心，结合威胁情报、行为分析建模、失陷主机检测、大数据关联分析等技术，对全网流量实现全网业务可视化、威胁可视化、攻击与可疑流量可视化等12Web日志安全