XX集团网络安全服务方案

PAGE9/11XXXX集团网络空间安全解决方案XXXXX科技有限公司二〇二一年十二月目录2028887056_WPSOffice_Level1一、方案背景 181466162301_WPSOffice_Level2（一）现状背景 181562427229_WPSOffice_Level2（二）建设必要性 231466162301_WPSOffice_Level1二、实施标准 241562427229_WPSOffice_Level1三、建设计划 25284402287_WPSOffice_Level2（一）需求分析 251798123034_WPSOffice_Level2（二）建设目标 251663951854_WPSOffice_Level2（三）设计原则 261506758944_WPSOffice_Level2（四）实施方法 26970406384_WPSOffice_Level2（五）具体实施对象 27284402287_WPSOffice_Level1四、人员组织 291629280570_WPSOffice_Level2（一）项目组织结构 29754557093_WPSOffice_Level2（二）人员组成和职责 291798123034_WPSOffice_Level1五、项目相关文档 30950126516_WPSOffice_Level2（一）项目准备阶段文档 3087955320_WPSOffice_Level2（二）项目实施阶段文档 30796314104_WPSOffice_Level2（三）项目报告阶段文档 30533057824_WPSOffice_Level2（四）项目管理类文档 311663951854_WPSOffice_Level1六、总体解决方案 32970406384_WPSOffice_Level1七、典型案例 421629280570_WPSOffice_Level1八、服务介绍 442032132391_WPSOffice_Level2（一）政策与技术标准依据 44469173649_WPSOffice_Level2（二）服务效果 451989050606_WPSOffice_Level2（三）技术优势 47PAGE9/11一、方案背景（一）现状背景1.政策要求全国人民代表大会常务委员会于2016年11月7日发布《中华人民共和国网络安全法》，自2017年6月1日起正式施行。将网络安全的防护措施、责任划分和处罚措施细化，旨在维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展。《中华人民共和国网络安全法》共7章，79条中，其中第三十一条明确规定：国家对公共通信和信息服务、能源、化工、交通等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。《中华人民共和国网络安全法》第二十一条：国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；采取数据分类、重要数据备份和加密等措施；法律、行政法规规定的其他义务。《中华人民共和国网络安全法》第六章，明确了相关的法律责任。关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。第六十条：违反本法第二十二条第一款、第二款和第四十八条第一款规定，有下列行为之一的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处五万元以上五十万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款：设置恶意程序的；对其产品、服务存在的安全缺陷、漏洞等风险未立即采取补救措施，或者未按照规定及时告知用户并向有关主管部门报告的；擅自终止为其产品、服务提供安全维护的。2.安全威胁当前，我国关键信息基础设施面临的网络安全形势严峻复杂，大量党政机关网络被攻击篡改，网站平台大规模数据泄露事件频发，生产业务系统安全隐患突出，甚至有的系统长期被控，面对高级持续性的网络攻击，防护能力十分欠缺。近几年，针对我国的网络窃密、监听等攻击事件频发，网络空间的网络安全攻防对抗日趋激烈。3.安全风险（1）缺乏监控预警机制系统没有监控报警机制，不能进行及时的了解异常发生的原因，需等到在使用系统时才能发现相关问题。这就导致在整个异常过程中，大量的资源浪费。（2）数据应用与赋能明显不足当前公司系统较多，数据相对独立，没有对数据进行一体化建设和处理，不能将数据进行规模和结构化处理，不能从中获取出更多的有用信息以及长期数据规划，不能最大限度的发挥数据赋能功能。（3）关键数据备份机制不完善目前数据备份机制不完善，没有做到对数据库、附件进行及时安全的备份等，一旦发生病毒攻击或者其他异常，将直接导致系统的数据被还原上次备份时段或中途这段时间的数据被破坏或者清零，对公司产生巨大的不可逆的经济效益损失。（4）运维审计机制缺失运维过程审计机制缺失，导致应用环境操作系统、网络设备、安全设备、数据库等面临各种各样的问题，没有对运维过程中出现的各种问题进行严格审计，也没有建立起一整套的运维问题处理清单。（5）缺乏上线评估机制上线评估是一个重要的产品上线前审核流程，目的在于提高各产品的自身安全能力，可在防治OWASPTOP10漏洞产生的工作中发挥巨大作用，有效降低产品上线后的攻击面和攻击危害，保证公司各应用功能与数据的安全与稳定。（6）应用系统健康状态预警机制缺失没有建立起对公司各应用系统进行健康状态进行预警的机制。对各系统要建立起一个实时的健康状态预警，包括硬件性能，网络设备，软件响应能力，响应时间，异常显示，设备定时维护等。通过线上操作对这些系统进行统一管理，以达到快速响应的目的。（7）身份验证与权限控制不严格身份验证不严格导致不属于某个应用系统的人，也能对该系统进行访问。同时没有对权限进行控制，这对涉密数据的保护以及数据安全的操作会有很大风险，造成严重的系统损失。边界控制问题（A)端口用途没有完善使用记录应用程序的端口，必须要有完善的使用记录：包括操作人，操作时间，历时多久，传输内容，输入输出，端口情况等，方便后期运维及巡检过程中能够对端口的应用做到了如指掌。（B)端口的实际应用没有监控和审查机制对应用程序的端口，没有做到实时监控和审查，没有建立起合适的安全管控机制和访问标准，使得端口在应用过程中极易受到攻击。（C)端口的使用规范不明确只有通过对规范的执行，才能确保端口的整体安全。基于此，必须形成一套行之有效的端口管理规范保证操作的规范和合理。（9）机房管理问题：（A)没有问责制度机房管理没有专人专责操作日志记录、操作设备记录等工作，对以往的操作事项不清楚明白，出问题以后不能做到快速维护。（B)机房智能化程度不高机房当前的消防管理，温控管理，环境管理等均没有实现自有管理和智能化管理。发生问题后不能快速找到原因，也不能在发生硬件设备问题以后快速查明情况，须对机房的环境管理和设备管理做到智能化提醒和定期维护，确保设备的运行环境在科学和合理的范围。（10）系统隔离机制不完善（A)逻辑隔离不清晰（部署网络）所有的应用系统在共享的系统资源和网络方面，没有严格的界限，互相之间的网络连接机制不清晰。（B)物理隔离不明确（硬件设备）须对硬件设备作用进行具体说明，明确部署区域和安全机制。以免当某台机器受影响时连累其他部署在该硬件上的系统也受到影响。（11）运维管理不规范，存在安全风险系统的运维必须规范。通过对规范的执行，让硬件，网络，系统维持在合理水平；同时建立故障应急处理流程，确保在出现问题的时候快速响应和处理；建立备份恢复保障机制，当系统出现异常的时快速的切换到备份机制，确保业务不会因为该原因而断档；建立安全保障管理机制，防范外来不法侵入，确保使用功能和数据安全的纯洁性。（二）建设必要性网络信息系统安全是一个涉及多维度的综合性问题，涵盖物理、系统、信息安全、数据安全等方面，目前信息系统安全建设需求主要包括：安全制度可用性：由计算机病毒或者其他人为原因所可能造成的信息被滥用、拒绝服务等情况。完整性与非否认性：在网络的虚拟环境中所确认信息的真实性，以及真实的发送者与接受者、确保在信息传输的过程中未被伪造、篡改等。保密性与可控性：在网络上发布与接受信息，往往会涉及到隐私问题。同时，所有的网络应用环境也保护个人的隐私。二、实施标准本次安全工作整体分为安全技术类和安全管理类。针对安全技术类的整改具体参考国家相关信息安全标准中针对物理安全、网络安全、主机安全、应用软件系统安全、数据安全、密码技术、安全集中管控技术的相关要求进行。针对安全管理类的评估具体参考国家相关信息安全管理规定以及《信息安全等级保护基本要求》ISO27001的相关规定。《信息技术安全性评估准则》《信息安全风险评估规范》《信息系统安全等级保护基本配置》《信息系统安全管理要求》《信息安全事件管理指南》《信息安全事件分类分级指南》《信息系统安全管理测评》IS027001信息安全管理体系《信息系统物理安全技术要求》《服务器安全技术要求》《操作系统安全技术要求》《数据库管理系统安全技术要求》《网络基础安全技术要求》所有安全工作须严格执行国家标准的具体要求，保证检查质量，提供完整、准确、详细、且符合规范的文档资料，遵循现行的相关国家法律法规。三、建设计划（一）需求分析XXXX（集团）有限责任公司是集磷矿采选、磷复肥、精细XXXX工、硫煤化工、氟碘化工、建设建材、科技研发、贸易物流、国际工程总承包、现代农业产业、环保技术输出为一体的大型国有企业。在企业规模、资源禀赋、营业收入等指标方面综合排名XXXX工行业全国第一、世界前三。结合工业互联网的快速发展背景下，网络攻击对传统行业、工控行业的信息化建设带来了极大的挑战和威胁。因此XXXX集团的平台网络安全和内部网络安全建设尤为重要，具备极强的网络安全防护能力不仅可以确保XXXX集团公司业务的安全稳定运行，同时可以保障集团提升自身核心竞争力。（二）建设目标以切实提高XXXX（集团）有限责任公司网络安全能力为核心目标，为XXXX集团设计完善的信息安全管理体系，增强企业信息系统抵御安全风险的能力，为企业生产及销售业务的健康发展提供强大的保障。1.通过对XXXX集团公司各IT系统的风险分析，了解企业信息系统的安全现状和存在的各种安全风险，明确未来的安全建设需求。2.完成安全管理体系规划设计，涵盖安全管理的各个方面，设计合理的建设流程，满足中长期的安全管理要求。提供如下安全管理项目：网络安全技术人员管理规划制订和建设流程规划安全运维管理及资产管理完成安全技术体系规划设计，设计有前瞻性的安全解决方案，通过现场安全人员的技术支撑，实现XXXX集团安全工作人员具备管理安全技术和产品的能力，建设主动、全面、高效的技术防御体系，消除集团面临的各种风险和网络攻击。（三）设计原则为了保证安全工作的有效性，建议主要包括如下范围：网络范围：需要覆盖全部非涉密网络，包括但不限于生产网、办公网、开发测试网。业务系统：覆盖重要的生产系统，除官网之外，还要考虑到核心业务系统、大数据平台等重要基础设施。（四）实施方法安全工作实施的主要方法有：访谈、检查和测试。1.访谈访谈是指实施人员通过与信息系统有关人员（个人/群体）进行交流、讨论等活动，获取相关证据以证明信息系统安全保护措施是否有效落实的一种方法。在访谈范围上，应基本覆盖所有的安全相关人员类型，在数量上可以抽样。2.检查检查是指实施人员通过对具体安全实施对象进行观察、查验、分析等活动，获取相关证据以证明信息系统安全保护措施是否有效实施的一种方法。在检查范围上，应基本覆盖所有的对象种类（设备、文档、机制等），数量上可以抽样。3.测试测试是指实施人员针具体安全实施评对象按照预定的方法/工具使其产生特定的响应，通过查看和分析响应的输出结果，获取证据以证明信息系统安全保护措施是否得以有效实施的一种方法。在测试范围上，应基本覆盖不同类型的机制，在数量上可以抽样。（五）具体实施对象XXXX集团需要网络安全服务的系统清单用友NCC系统；用友NC5.6系统；计量系统；金蝶K3系统；金蝶EAS系统；开磷互联网络综合服务平台；XXXX集团致远OA系统；瓮福集团OA系统；宏景HR管理系统；MES系统；合同管理系统；视频会议系统；党建管理平台系统；网站系统；瓮福集团销售管理系统；视频新闻系统；ERP银企直联服务系统；开磷集团邮件系统；BI系统（帆软报表）；物流管理系统；门户系统；工业互联网；生产控制系统（DCS、PLC及现场控制系统）；一卡通管理系统；视频监控系统；消防及楼宇管理系统；档案管理系统；其它软件系统；四、人员组织（一）项目组织结构根据进行的安全服务内容，项目经理配备与下图所示项目组织结构，项目经理会及时对人员数量和专业方向进行实时调整。项目管理部项目管理部质量监控项目经理安全培训组风险管控组管理测评组（二）人员组成和职责1.项目经理项目经理的任务就是要对项目过程实行全面的管理，具体体现在对项目目标有一个全局的观点，并组织会议制定计划和报告项目的进展，并对不确定环境下不确定问题组织集体讨论决策，在必要的时候进行谈判及解决冲突。项目经理对服务客户所应承担责任，主要有：保证项目的目标在实施中前后一致，实现客户的目标；对各种项目资源进行适当的管理和充分有效的使用；对客户进行及时有效的沟通，及时商讨项目进展状况，以及对可能发生的问题的预测。2.风险管控组风险评估组的任务如下：一是负责项目实施过程中的主机系统、数据库、应用软件的系统测评工作和项目实施过程中的物理机房、网络设备及安全设备的网络系统测评工作；二是负责重要活动前的渗透测试、安全保障等工作，查漏补缺，保障安全。3.管理测评组管理测评组的任务是负责项目实施过程中的用户组织架构、管理体系及具体的管理制度的安全符合性测评工作，并针对出现的问题协助整改与安全措施落实。4.安全培训组安全培训组的任务是负责对XXXX集团的安全管理、安全技术、安全意识、安全运维等进行培训，以提升XXXX集团工作人员的安全意识和能力。五、项目相关文档（一）项目准备阶段文档项目实施方案；项目实施授权书；项目组成人员联系单；保密协议；（二）项目实施阶段文档风险评估服务结果记录表；管理测评结果记录表重要活动保障结果记录表安全培训结果记录表（三）项目报告阶段文档网络安全风险评估报告管理测评与整改报告重要活动保障报告安全培训报告（四）项目管理类文档工作任务安排项目进度周报任务追踪项目工作联系单文档管理文件编写要求变更控制单子项目确认单待办事宜工作表项目问题反馈记录项目遗留问题验收报告六、总体解决方案服务目的为“切实提高XXXX（集团）有限责任公司网络安全能力”，预计在合同签订后一年内完成实施。落实安全巡检、上线审批、安全培训、重要活动保障等持续性服务，建立完善的应急响应机制，完成建设联防联控机制，实现甲方安全合规水平达标，在组织架构、制度规范、工作流程、数据管理等符合国家网络安全等级保护和相关法律法规要求。根据甲方的实际产品使用和上线情况、办公安全管理情况，实施2022年度全年网络安全服务，服务内容如下：1.办公环境安全评估（1）服务介绍利用自主研发的集资产普查、风险探测、风险管理于一体的综合资产探测与详情展示系统，结合漏洞发现检测技术和数据情报分析技术，可以实现对网络空间的IPv4、IPv6及域名资产存活状态的快速探测，具备针对全网各类资产的精准发现、精准识别、精准威胁检测能力。以专业人员、产品服务、技术创新能力为保障，面向网络、主机、应用、数据库、中间件、安全管理方面开展评估设计、技术安全评估、管理安全评估、措施与建议分析等一系列工作。以对业务影响最小的方式对业务系统进行远程漏扫和配置核查，分析信息资产面临的安全威胁及威胁发生的可能性，检查现有安全措施的有效性，从而识别出信息资产中存在的安全风险点，并根据用户所能接受的风险，对用户信息资产所面临的风险程度做出准确的评价，提供相关整改修复加固建议。基础环境评估是XXXX面向对党政机关、企事业等单位提供的专业评估服务，（2）服务功能网络安全评估：对项目范围内的物理网络结构，逻辑网络结构及网络的关键设备进行评估，发现网络结构存在的安全性、网络负载问题，网络设备存在的安全性，抗攻击的问题。发现存在的安全性，合理性，使用效率等方面的问题。主机安全评估：主机评估主要是对主机的硬件系统、操作系统及其附带的软件系统进行安全评估，主机的评估主要从身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范和资源控制六个方面进行归类处理。应用安全评估：应用系统评估主要从输入验证、身份验证、授权、配置管理、敏感数据保护、会话管理、加密、异常管理等角度分析应用系统的安全功能设计以及存在的安全隐患（包括安全功能设计、安全弱点以及安全部署中的弱点等），并针对问题提供解决方案建议。数据库评估：完整、全面发现本项目范围内系统数据库的漏洞和安全隐患。中间件评估：评估中间件的安装部署、配置参数等安全要求的实现是否符合应用运行安全要求。（3）服务价值安全风险评估是信息安全保障工作的基础和重要环节，通过对面向公众提供服务的信息系统以及内网及专网范围内的业务系统进行基础环境评估能够有效发现业务系统网络方面的结构合理性，主机方面的访问控制、身份识别，应用方面的逻辑安全、安全功能，数据库方面的数据安全，管理方面的制度和规范等安全漏洞和安全风险，为全面有效落实安全管理工作提供资料，有助于加强安全管理，推动各阶层员工做好每项安全工作。2.全面安全风险评估（1）服务介绍为了证明网络防御按照预期计划正常运行而提供的一种机制。渗透人员在不同的位置（比如从内网、从外网等位置）利用各种手段对某个特定网络进行全面的安全风险评估，以期发现和挖掘系统中存在的漏洞，然后输出安全风险评估报告，并提交给网络所有者。网络所有者根据渗透人员提供的安全风险评估报告，可以清晰知晓系统中存在的安全隐患和问题。（2）服务内容web安全风险评估内容基本围绕技术层面：系统层、应用层、网络层进行开展，针对不同层面的安全漏洞及威胁提供了一系列安全风险评估方法，根据不同的漏洞提出相应的修补建议。客户端安全风险评估通过真实模拟⿊客使⽤的攻击⽅式，对客户端进行从黑盒和白盒角度对的组件、网络交互、接口等进行全面的测试，找出客户端存在的脆弱性，并提供安全修复建议。（3）服务亮点全面的安全风险评估：安全风险评估涵盖了网站，主机，Android客户端，iOS客户端，PC客户端，微信小程序，微信公众号等各个方向，可满足不同客户的测试需求。更强的安全风险评估团队：核心团队均为国内知名的白帽子、知名安全厂商的专家。有着丰富的安全测试经验。定制化专属服务：团队成员同时有强大的二进制分析能力，在客户端安全风险评估时可以针对客户特定的业务需求，对客户的风控，加密，算法，逻辑等处进行更加深层次的逆向分析，完成从底层到业务层安全风险检测的紧密结合。

完善的售后服务：在安全风险评估完成后，可提供网站安全监控、专业漏洞修复指导、源码泄漏监控、上门报告讲解等服务。3.重要时期安全保障服务（重保）（1）服务介绍国家重要会议、活动的举办期间，以及节假日准备休假期间，黑客攻击会更加猖獗，网络安全的压力要比平常大得多，一旦发生安全事件，所带来的政治与经济影响不可估量，因此如何保证互联网业务的安全性成为信息安全部工作开展的头等大事。（2）服务内容重保前，摸底加固：过重保前安全体检，将业务系统摸清家底、漏洞体检，协助客户进行风险加固，降低被攻击的风险。重保中，防御响应：重保中通过部署安全防护能力，提升业务防护水平，并结合安全专家服务实时进行攻击监测及响应。重保后，复盘改进：全面总结本次重保防守各阶段的工作情况，形成行汇报总结，并加以改进。4.攻防演练/红蓝对抗服务（1）服务介绍基于全球攻防态势剧烈变化，XXXX根据多年攻防经验积累推出的安全服务。（2）服务功能红蓝对抗服务（红队）:通过完全模拟黑客攻击的方式，对企业进行不受限的APT攻击，其方式包括但不限于：鱼叉攻击、水坑攻击、WI-FI破解、物理黑客等。红蓝对抗服务（蓝队）:通过安排安全专家现场进行安全防护、指导等工作，协助企业提升安全防护能力和应急处置能力，发现企业内部应急处理和安全管理上的弊端。红蓝对抗服务（裁判）:通过提供专家级裁判来对红蓝对抗整体过程进行监督并保证其对抗公正性，对提交成果进行研判保证成果有效性。5.等级保护咨询服务（1）服务介绍结合甲方需求，依据等级保护要求为客户提供覆盖等级保护各个阶段的安全咨询服务，协助客户构建覆盖全面、突出重点、节约成本、符合实际的安全防护系统，为客户的业务活动提供充分的保障，为客户重要信息系统的安全运行提供有力的保障。

随着《中华人民共和国网络安全法》正式施行，明确规定国家实行网络安全等级保护制度，网络运营者应当按照网络安全等级保护制度的要求，履行安全保护义务。依据《GB/T22239-2019信息安全技术

网络安全等级保护基本要求》等网络安全等级保护相关标准，保障我国政府、企业等关键信息基础设施依法合规开展网络安全工作，落实相应等级的网络安全保护要求。依据等级保护基本要求，协助客户落实等级保护工作，梳理信息资产情况，对基础信息网络、云计算平台/系统、大数据应用/平台/资源、工业控制系统和采用移动互联技术的系统等网络安全等级保护对象进行定级，协助客户进行备案，对等保对象进行差距分析并提出整改建议，对等级保护对象进行整改，满足等级保护的要求，同时协助客户进行等级测评，全面落实等级保护相关工作。（2）服务内容等级保护定级备案：等保对象调研、协助开展保护对象安全定级、定级报告编制、相关备案表编制以及协助属地备案。等级保护差距分析：基础信息调研、业务流程梳理、安全风险评估、等级保护基本要求差距分析，网络安全需求分析。等级保护方案设计：结合网络安全需求进行等级保护整改方案设计，包括网络安全技术体系、管理体系、运营体系等框架和措施设计等。安全建设协助整改：网络安全架构优化、安全技术体系设计、安全产品部署方案、安全管理体系咨询、安全运营体系咨询、安全服务、日常安全运营和重要时期安全保障。协助等级保护测评：协同客户通过测评单位的网络安全等级保护测评工作。6.安全培训服务（1）服务介绍安全培训服务将依据客户需求提供安全培训服务，安全培训的课程。可根据客户需求定制，例如针对

IT

部门⼈员开展技能培训、为企业员⼯提供安全科普、为敏感部门员⼯提供安全意识培训服务，培训时长视培训内容⽽定。

（2）服务功能安全培训服务分为如下类型：基础安全意识培训服务:针对安全意识等信息提供培训服务，使被培训者通过学习了解到当前网络存在的安全风险和隐患，提升客户非技术人员的整体安全意识和安全防护能力。应急响应指导培训服务:针对应急响应工作提供培训，使被培训者通过学习了解应急响应的实施方式和问题排查思路，使客户达到可处理常规的安全事件、进行应急响应工作的能力。网络安全攻防渗透培训服务:针对安全攻防、漏洞挖掘提供培训，使被培训者通过学习了解漏洞挖掘的思路和方法，达到能够独立实施常规漏洞挖掘工作，协助完成安全测试闭环。安全运维培训服务:针对常见的安全运维工作提供定制化培训服务，使被培训者通过学习了解安全巡检、日志分析、流量分析等方向的知识，从根本上帮助客户提高安全运维能力。红队攻防技能培训：针对红队攻防提供培训，使被培训者通过学习了解红队攻击常用的手段和攻击思路，是客户达到能够掌握常见红队攻击技能的水平，满足客户对于自行开展部分红蓝对抗的能力需求。除此之外，也可根据客户需求定制。

7.应急响应服务（1）服务介绍根据多年攻防经验推出的安全服务，结合安全专家与数年技术积累，对网络安全事件进行响应，协助客户检查所受影响的系统，对攻击事件进⾏溯源，找到问题的根源并提出解决⽅案，协助后续处理。可处理包括勒索病毒、常规⽊马、⽹站挂马、服务器权限丢失等在内的各类安全事件。（2）服务优势快速响应：7X24小时的服务响应，根据用户需要，随时响应。丰富的经验：综合历年来应急经验，针对不同事件制定成熟的事件处置和防范方案，并依靠经验丰富、身经百战的应急工程师，快速发现、定位问题，为客户解燃眉之急。强大的后端支撑：应急响应服务通过母公司多彩宝多年的大数据积累和强大的专家团队作为支撑，具有解决APT级别的安全事件能力，为客户最大化减少因安全事件造成的损失。七、典型案例支撑单位：某市电子政务云背景：随着云计算技术应用与普及，各省市已经建设完成了电子政务云基础设施并得到全面应用。某市依据电子政务业务需要，引入多家云服务商建设电子政务云为电子政务业务提供服务，全市各委办局、市级直属企业业务应用相继迁移至电子政务云上，上云后的电子政务业务也暴露出多种安全问题，如：挖坑、勒索病毒、被反动黑客攻击、网络安全问题导致业务中断等，尤其在重点时期（两会、重大节日及会议）更是问题频繁。如何有效检验电子政务云安全防护能力、应急处置能力提升电子政务云的安全能力摆在各运营管理者面前。该市最终选择XXXX“火枪手”安全团队开展实战攻防演习和日常安全治理，全面检验电子政务云平台、云上业务应用的安全状态，发现应用层、网络层、主机层以及日常使用和管理中存在的诸多问题，为后期电子政务云安全改进提供有效的依据。工作目标：检查国家信息中心各互联网门户网站及外网重要资产的安全防护能力和应急处置能力；检验该市电子政务外网安全防护和应急处置能力；查找该市电子政务互联网资产及电子政务外网所面临的网络安全风险，及时对风险进行修补；提高该市电子政务信息系统网络安全的“防、管、控”综合防控能力；验证与企业合作，协同开展网络安全检查工作的效果。工作成果：实战攻防演练成功的发现该市电子政务云平台及其上运行业务应用系统多个重大漏洞，攻击者可以利用漏洞从上层业务应用系统获取虚拟主机权限，再由虚拟主机对云平台的权限、信息获取等操作，协助发现并整改安全问题并提供各类平台安全支撑工作。八、服务介绍（一）政策与技术标准依据整改安全工作依据以下标准但不限于以下标准：《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）《信息安全等级保护管理办法》（工通字[2007]43号）GB17859—1999《计算机信息系统安全保护等级划分准则》GB/T22239—2008《信息安全技术信息系统安全等级保护基本要求》《信息安全技术信息系统安全等级保护测评要求》（国标报批稿）《信息安全技术信息系统安全等级保护测评过程指南》（国标报批稿）《信息系统安全等级测评报告模板（试行）》（公信安[2009]1487号）《信息安全等级保护安全建设整改工作指导意见》（公信安[2009]429号）（二）服务效果经过一系列高强度、多维度的安全服务，可以预期XXXX集团的后期系统将达到如下预期效果：（1）在管理方面：降低使用成本，提高管理效率。通过本次安全服务，系统响应程度和一体化整合能力得到大大提高，系统间的衔接能力有了长足进步，在所有经办事项上，系统都可以做到快速提交与快速办理，简化中间流程，降低操作时间和资源投入。同时，系统办理事项都能做到可视化查看，每一步的管理流程都严密配合，降低无用浪费，提高了管理效率。提高决策科学性与前瞻性。通过对系统中数据的整合，沉淀出大量系统数据。通过对这些大量数据的精密测算与分析，从海量数据中抽丝剥茧，去伪存真。我们可以找出生产及业务过程中的关键指标和重要数据，提高了数据赋能利用能力，更好的挖掘出系统的潜力，整合了系统的流程管理能力，为我们的后续决策打下坚实基础。并通过对这些数据的趋势分析以及关系整理，在后续的决策过程中做出合理前瞻性预测，支撑我们的决策工作更加的科学和前瞻性。减少人为干预，形成长效安全机制。通过对通过本次系统服务，让我们对系统的性能和各项技术指标有了更加深入的认识，通过对这些性能指标的整理和合理规划，将让我们的系统始终处于最优状态，各系统间的整合衔接能力也最大程度优化，降低人工操作和录入数据，降低错误概率。并按照等级安全制度，制定了长效的系统运维标准和安全机制，所有的操作均按照运维标准和安全机制进行操作，确保系统的运行在安全框架内，并提高防护能力，长期保持安全机制。提高一体化操作，加强管理控制。通过建立一体化运维监控平台、安全态势感知系统和堡垒机运维安全审计系统，让我们的对系统运行中的各个环节均能做到有效掌控，可以清楚的看到每个管理环节的运行情况，做到心中有数，能对所有公司管理的事项做到一眼全部了解，所有的运行都是在高效严密的环境下运行，每个环节严丝合缝，各个环节和岗位都能做到各尽其职，管理控制职能得到大大提高。（2）在技术方面：优化系统架构，提高运行能力。通过一体化运维监控平台和堡垒机运维安全审计系统进行全方位无死角的监控和扫描。可清楚看到系统的配置合理性，硬件的支撑与饱和程度，以及系统间调用的并发数和响应时间，对系统的所有应用有一个清晰的认识并作出相应的冗余和调整，确保系统的运行架构在最佳状态，系统的运营能力在最优状态。建立安全备份，提升数据安全。基于云端存储空间的大容量与安全性，通过组织实施数据云端安全备份系统，可以将本地存储数据根据重要程度和关联重要性，分不同频率和不同备份方式，迅速备份到云端。一旦系统遭受到外部攻击或者其他不可抗力的毁坏，可以迅速的组织起系统恢复。确保系统能快速的恢复到工作状态，且系统中的数据能够得到及时与最大程度的恢复，减少公司损失，提升业务价值。优化网络环境，提高安全能力。通过态势感知系统和堡垒机运维安全审计系全天候24小时对内对外的实时监控，确保对外部攻击自动发现/自动告警/自动杀灭；通过对内的安全审计确保系统间隐藏的隐患能够在最短时间内被发现和处理。同时，通过对系统中各处网络的使用情况和系统响应时对并发的需求程度，自动合理的计算并分配网络资源，使系统既能安全运营，资源的调配也能做到机动合理和迅速高效。一体化运维与监控，提高异常应对能力。通过对系统中的bug和运行情况进行一体化监控，确保所有应用的运营情况和异常都可通过可视化监控看得清楚明白，迅速确定异常发生位置和原因，根据这些异常的严重性和破坏性，快速做出解决方案，让系统的运行快速恢复，确保系统的安全运行能力。建立长效机制，提高技术底蕴和安全意识。通过对使用人员的操作使用进行培训，对使用者在操作习惯上进行安全培训和严格约束，提升大家对系统安全性能的认识，提高集团公司在应对系统中问题的处理能力、不断储备技术知识的能力并提高后续过程中遇到相似问题的处理能力，确保系统的运维管控有一个长效机制。（三）技术优势贵州多彩宝互联网服务有限公司是多彩贵州网有限责任公司（国有大一型企业）旗下重要子公司，是贵州省拟上市重点培育企业，公司始终把网络安全作为工作重心。为保障多彩宝平台及相关联平台安全稳定运行、巩固贵州大数据建设发展成果，公司于2017年开始筹备组建“火枪手”安全团队。经过四年的持续投入和不断成长