第三方安全服务技术交底

第三方安全服务技术交底第一章项目背景与交底目的1.1项目背景某大型央企华东数据中心（以下简称“甲方”）2024年新建1.2万机柜、双活T4级机房，配套12套核心业务系统（ERP、MES、SCADA、大数据湖、AI训练平台等）。甲方自身安全编制32人，无法覆盖7×24小时监测、攻防演练、应急取证、合规审计等全部场景，故引入两家第三方安全服务商（以下简称“乙方A”“乙方B”）分别承担“红队+渗透测试”与“蓝队+托管检测响应（MDR）”服务。1.2交底目的通过技术交底，使甲乙双方对服务边界、技术接口、数据流向、权限模型、交付物格式、应急协同、违约责任等形成唯一且可落地的共识，避免“多头管理、责任真空、数据泄露、工具冲突”四类风险，确保20240630前完成等保3.0三级测评并拿到918分（≥900分优秀）。第二章适用法规与标准清单2.1国家层面《网络安全法》第21、22、26、34条《数据安全法》第2731条《个人信息保护法》第3843条《关键信息基础设施安全保护条例》第1519条2.2行业层面GB/T222392019信息安全技术网络安全等级保护基本要求GB/T284482019测评过程指南GB/T250702019设计要求JR/T00722020金融行业威胁情报共享指南2.3甲方内部制度《华东数据中心第三方服务商安全管理办法》ED202314《供应商远程接入规定》ED202320《数据分类分级标准》ED202308（核心、重要、一般三级，对应AES256、SM4、SM1加密）第三章服务范围与边界3.1乙方A（红队+渗透测试）3.1.1资产范围IP段/8、/12、/16内已录入CMDB的21437个存活资产；未录入资产禁止测试。3.1.2授权深度允许对生产环境做“受控攻击”，但禁止下列操作：a)数据删改；b)拒绝服务大于50Mbps/5min；c)提权后留在persistence超过4h；d)横向移动至OT工控网（/16）。3.1.3交付物《实战化攻防演练报告》（含10个高危、20个中危漏洞完整复现步骤、截图、流量包、修复建议、代码补丁）；《攻击链路线图》（含killchain六阶段、ATT&CK编号、资产映射）；《复测报告》（漏洞关闭率100%方可离场）。3.2乙方B（蓝队+MDR）3.2.1监测范围全部南北向流量（边界防火墙后镜像）、东西向流量（VXLANVNI40004999）、主机EDR日志、云原生K8saudit、SaaS邮箱与身份云日志。3.2.2检测时效高危告警≤5min电话、≤15min工单；中危≤30min；低危≤4h。3.2.3交付物《7×24SOC运行月报》（含MTTD、MTTR、误报率、闭环率、TOP10攻击者画像）；《应急响应报告》（Ⅰ级事件2h内出具，含取证、溯源、处置、恢复、改进五段）；《威胁狩猎报告》（每月2次主动狩猎，发现0day或APT奖励5万元/例）。第四章组织与人员接口4.1甲方项目总指挥：信息中心总经理张X（手机1398888，钉钉群“华东安全指挥部”）技术经理：安全架构部李X（工号A01823，邮箱lix@）接口人：安全运营室王X（7×24值班电话02188886666）4.2乙方A项目经理：赵X（CISSP证号5023xx，远程VPN账号azhao@3rd有效期20241231）攻防团队：6人，其中2人持有OSCE3、2人持有CISPPTE。4.3乙方B项目经理：孙X（CISA证号182xxx）SOC：Tier18人、Tier24人、Tier32人，全部通过甲方背景审查并签署《保密承诺书》（附件1）。4.4沟通矩阵事件升级：Tier1→Tier2→Tier3→甲方值班经理，每级超时30min自动升级；周例会：每周三14:00，腾讯会议9xxxxxxxxxx，会议纪要24h内发布；紧急会议：重大事件30min内拉起，15min内未响应按“一次2000元”扣款。第五章技术实施流程5.1乙方A渗透测试流程阶段1前期准备（T0T+5日）a)甲方提供最新CMDB导出表（Excel+API两种方式），含资产归属、系统类型、中间件版本；b)乙方A提交《测试方案》含攻击面梳理、工具列表（nmap、Burp、CobaltStrike、自研EASM）、IP白名单、回退方案；c)甲方在防火墙、WAF、EDR创建“白名单策略组3rdRedTeam”，仅允许源103.211.x.x/28访问；d)双方签署《渗透测试授权书》（附件2），扫描指纹采集到甲方Gitea仓库。阶段2信息收集（T+6T+8日）a)使用被动扫描器（BurpEnterprise）对14个域名做48h流量学习；b)利用甲方颁发的“只读OIDC令牌”调用API，获取120个微服务Swagger文档；c)输出《信息收集报告》≥30页，含子域名312个、边缘资产27个、SSL证书过期3个。阶段3漏洞挖掘（T+9T+18日）a)针对12套核心业务做“一对一”手工测试，禁止自动化扫描大于100QPS；b)发现SQL注入4个、Fastjson1.2.83反序列化1个、OAuth2redirect_uri绕过1个；c)每发现1个中高危漏洞，立即在甲方Jira创建“SEC”前缀工单，并上传30s屏幕录制。阶段4后渗透与横向（T+19T+22日）a)利用钓鱼邮件获取3台办公PCbeacon，植入内存马，回连地址103.211.x.x:443；b)通过Kerberoasting拿到MES服务账号，横向至/24，发现SCADA网闸限制后停止；c)输出《后渗透报告》含6张内网拓扑、14条横向路径、3种持久化方法。阶段5复测与退场（T+23T+30日）a)甲方修复后，乙方A在相同窗口期复测；b)复测不通过，再次提交Jira，循环三次仍不通过，甲方按2000元/漏洞扣款；c)最终输出《复测关闭报告》，由甲方CISO签字，乙方离场。5.2乙方BMDR实施流程阶段1日志接入（T0T+3日）a)甲方在核心交换机7706配置1:1镜像口，将流量引至乙方B的探针（Suricata+Zeek）；b)通过syslogng转发42类日志到乙方B的Kafka（topic:edclogs），TLS双向证书校验；c)乙方B在Elastic创建ILM策略：热节点7d、温节点30d、冷节点180d、冻结365d。阶段2用例部署（T+4T+7日）a)基于ATT&CK354条子技术，开发812条Sigma规则、120条KQL规则；b)对甲方8类资产（Windows2019、CentOS8、Ubuntu20、K8s、MySQL、Redis、Kafka、ARM裸金属）做基线学习72h；c)输出《用例上线清单》含误报率<3%的测试报告。阶段37×24运行（长期）a)Tier1使用TheHive做告警分诊，≥8分（SEVERITYASSETIMPACT）立即电话；b)Tier2使用Velociraptor远程采集内存、MFT、Shellbags；c)Tier3使用IDA+Ghidra做木马逆向，发现APT立即写Yara推送全网；d)每月第一个工作日进行红蓝对抗复盘，更新20%检测规则。阶段4应急响应（ⅠⅣ级）Ⅰ级（业务中断>30min）：1)乙方B2h内到达现场（上海张江），同步开启腾讯会议+钉钉直播；2)使用甲方提供的“应急U盘WindowsToGo”冷启动，避免污染硬盘；3)在30min内完成内存dump、磁盘镜像、网络抓包；4)4h内出具《事件通告》，24h内出具《完整报告》。Ⅳ级（低危病毒）：1)远程隔离主机，EDR一键查杀；2)1h内闭环，无需现场。第六章权限与密钥管理6.1最小权限乙方VPN账号启用“TOTP+硬件指纹”，仅开放443、22、8080端口；乙方人员操作甲方设备须使用“堡垒机+工单”双因子，命令行全程录屏，录像保存3年；禁止乙方在非甲方提供的电脑保存甲方数据，USB口物理封闭。6.2密钥所有传输使用TLS1.3+AES256GCM；渗透测试payload须用甲方提供的“一次性公钥”加密，公钥每日08:00更新；乙方离场时，甲方立即吊销所有证书、注销VPN、回收门禁RFID。第七章数据保护与保密7.1数据分级核心数据：客户身份证、银行卡号、人脸照片，禁止出甲方机房；重要数据：业务订单、工艺参数，经甲方审批后可加密出机房；一般数据：公开新闻、招聘启事，可正常传输。7.2保密义务乙方签署《保密协议》违约金100万元；乙方人员变动24h内书面报备；服务结束后7日内，乙方提交《数据销毁证明》（含DBAN6次擦截图、硬盘序列号）。第八章交付物格式与验收8.1格式报告正文：Word2019兼容，宋体10.5磅，行距1.25倍，页边距2cm；漏洞证明：PNG1080p、MP430s、PCAP含3次握手；代码补丁：统一Gitpatch，提交至甲方GitLabmergerequest，CI通过方可合并。8.2验收甲方组织3名外部专家+2名内部专家，依据《验收评分表》（附件3）打分；≥90分一次性通过，8089分整改后通过，<80分重新交付并扣10%合同款；验收通过后15日内付款70%，质保金10%一年后无漏洞再现支付。第九章应急协同与演练9.1预案《第三方安全服务应急预案》ED202405，含4类12场景（数据泄露、勒索、DDoS、供应链后门）；预案每年6月、12月各演练1次，乙方必须100%参与，缺席1人扣5000元。9.2演练流程a)甲方安全运营室提前7日发演练通知，不预告时间窗口；b)乙方B在30min内完成攻击确认、定级、隔离、溯源；c)乙方A模拟攻击方，使用最新1day漏洞，验证乙方B检测时效；d)演练结束48h内召开复盘会，输出《演练改进清单》，责任人到名到姓。第十章质量考核与违约责任10.1考核指标a)高危漏洞复测关闭率100%，每少1%扣2000元；b)告警误报率≤3%，每超1%扣1000元；c)Ⅰ级事件现场到位时间≤2h，每超15min扣500元；d)客户满意度（季度匿名问卷）≥90分，每低1分扣3000元。10.2违约金因乙方原因导致数据泄露，按“实际损失+30%惩罚性”赔偿，上限500万元；情节特别严重，甲方有权终止合同并列入集团黑名单5年。第十一章知识转移与培训11.1培训计划乙方A提供2次“红队实战”培训，每次8学时，覆盖40名甲方工程师；乙方B提供2次“SOC分析师”培训，含TheHive+Velociraptor实操；培训教材、录屏、实验环境镜像全部移交甲方，知识产权归甲方所有。11.2知识库乙方须把全部检测规则、脚本、Yara、Sigma推送至甲方GitLab；甲方建立内部知识库（Confluence），乙方提供1年在线答疑。第十二章项目时间表与里程碑T0：合同签订20240301T+15：乙方A提交《测试方案》并通过评审T+30：乙方B完成日志接入，告警正常化T+60：完成第一次红蓝对抗演练T+90：通过等保3.0