软件系统安全服务项目方案投标文件（技术方案）

投标文件软件系统安全服务项目方案（技术方案）投标方案投标人：****通讯地址：****联系方式：****投标日期：****报告说明声明：本文内容信息来源于公开渠道，对文中内容的准确性、完整性、及时性或可靠性不作任何保证。本文内容仅供参考与学习交流使用，不构成相关领域的建议和依据.《一份好的投标文件，至少让你成功了一半。》 目录TOC\o"1-3"\h\u24659第一章项目管理与实施计划 424278第一节项目进度控制 426424第二节服务保障与措施 77169一、服务保障沟通管理 718119二、服务风险管理措施 104678三、服务问题管理措施 235833第三节项目实施推进计划 2513550一、明确项目目标 2530051二、任务分解 2518825三、确定任务顺序 256650四、估算任务时间 2522959五、分配资源 2699第四节服务时间节点保障 2712286第五节交付管理 4030332一、交货地点、时间、方式 408643二、项目服务内容 4026526第二章技术支持及服务方案 4313102第一节技术支持及服务内容 4323687一、攻防演练服务 4321007二、重要时期安全保障服务 567086三、安全评估服务 56861四、渗透测试服务 7329983五、上线安全检查服务 95539六、安全技术培训服务 9524145七、安全值守驻场服务 95607八、安全预警通告和应急响应服务 9526006九、网站监测服务 968574十、数据安全风险评估 97527十一、个人信息保护影响评估 1225293十二、客户支持服务流程 12311346第二节服务计划 12829079第三节服务时间 12919741第四节服务管理体系 1322232一、在线联系方式 13215056二、线下网点联系方式 13318302第五节服务质量体系 134898一、覆盖全国的XX服产品专业服务队伍 1342173二、最为广泛的XX服合作伙伴 13528905三、产品技术咨询专家 13510810四、技术问题处理专家 13623672五、呼叫中心大客户服务专员 13718778六、现场服务专家 13723892七、技术培训讲师 1388501八、XX服远程运维服务 13926389九、软件版本升级和补丁服务 13928192十、巡检服务 14026477十一、紧急故障处理流程 14018157第六节服务文档 1458746一、服务文档 14520329二、流程范围 14517972三、流程图 14629675四、角色和职责 14719308五、流程说明 1497724六、相关支持文件 16626777第三章服务培训方案 1695625第一节培训目的 16910705第二节培训计划 1705262一、现场初级培训 17013047二、集中中、高级培训 1701936第三节培训内容 173第一章项目管理与实施计划第一节项目进度控制1.1项目进度控制流程针对本次项目的实际部署需求，XX服承诺在合同签订后规定时间内，将派遣专业的技术工程师抵达用户指定地点实施具体服务。为保证项目进度顺利进行，XX服将采取以下措施：1.1.1合理的人员构成与管理项目经理根据软件开发计划编制详细的阶段开发计划以及每项任务的边界时间，并召集过程控制人员、专题小组负责人审核该计划；审核各专题小组拟订的每项任务的日程安排；检查和控制项目进度；制定进度变更计划。过程控制人员协助审核详细的阶段开发计划和任务边界时间；监督项目进展。专题小组负责人协助审核详细的阶段开发计划和任务边界时间；在听取小组成员意见的基础上，拟订每一项任务的日程安排；负责检查和控制任务的进度，并填写进度控制表；负责制订任务变更计划。1.1.2进度控制计划进度安排流程制定合理的进度计划并严格的执行，有助于明确项目进度及目标，帮助处理各种问题，促进各组织认真执行各自的任务，从而保证工程质量，提高工作效率。本项目每个阶段的完成都要有严格的时间规定，并做为项目的里程碑重点管理。声明：本项目的具体项目实施计划和进度将根据中标后和客户协商的具体实施进度来进行调整与完成。项目经理根据项目计划，明确该阶段的边界时间；根据项目计划中的任务PERT网络图，找出该阶段的关键任务并进一步分解、细化，在此基础上绘制更具体的阶段任务PERT网络图；拟订详细的阶段计划；确定每一关键任务的边界时间；召集各专题小组负责人审核拟订的计划，并修改；专题小组负责人确定任务的日程安排；对于大型的或时间要求严格的项目，进度安排应以天为单位；征求小组成员的意见；交由项目经理和过程管理人员审核。项目经理和过程管理人员按照阶段PERT图，标志阶段中被跟踪的关键任务和里程碑，并将之告知专题小组负责人；专题小组负责人按照任务的日程安排，确定任务完成期间的关键时间点，并将之告知专题小组成员；专题小组负责人经常与成员沟通，了解任务进展；并定期检查，填写任务进度表和下期计划表，及时发现问题；项目经理定期组织专题小组负责人，召开项目状态会议，了解任务进展，及时发现问题；项目过程管理人员参加会议或了解会议的记录；专题小组负责人在执行中发现延迟，分析原因。人员紧张：组内调配不了的，找项目经理解决。事先预估不足：调整任务日程安排；若解决不了，告知项目经理，会同过程管理人员，调整详细的阶段计划；如果阶段内消化不了的问题，则项目经理按照《配置管理的程序》，变更计划。项目变更管理针对项目变更管理组织变更控制小组，由项目组经理、项目管理部人员、项目总监、客户、客户部成员组成，考虑并授权项目的重大修改（修改工作量超过一周的）。而项目经理负责项目的一般修改决策（修改工作量在一天以上，一周以内）。变更管理活动包括修改请求、评估、通过、执行和跟踪。变更管理要点如下：变更批准权限：变更控制组负责讨论和决策项目的重大修改；项目经理讨论和决策一般性修改；并报项目管理部备案。修改审批程序：根据不同地点的客户有不同的审批程序。变更状态登记：变更状态登记活动记录和报告各种配置项的状态，记录在项目生命周期中的任何管理信息和历史信息。包括：所有变更请求表、所有变更报告单、所有变更记录。由项目管理人员存取状态登记。第二节服务保障与措施一、服务保障沟通管理保持通畅的沟通渠道是项目成功的必要条件，因此XX服设立有效的沟通管理机制，确保信息在不同的人员、单位之间准确、无误、迅速传递。以下是针对本项目建设的沟通管理计划：2.1.1报告制度项目启动后我司将与用户主要成员一起召开项目启动沟通会，明确项目目标、设计方案、进度安排、质量目标等；会议完毕后，项目组印发会议纪要，并向相关职能部门领导作汇报，同时抄送纪要给用户方。项目过程中，每周项目组成员开会相互沟通工作进展、出现的问题、个人建议与要求等，详细记录会议纪要。并在每周进行项目进展报告，以电子邮件的方式发送给项目组每位成员及用户相关人员，同时抄送企业相关职能部门领导；报告中主要包含项目进度、风险以及工作计划等。随时与客户负责人保持联络，确保随时掌握项目动态，提出意见。如技术经理定期与客户相关技术人员沟通，了解需求满足情况。建立网上交流平台。通过电子邮件和即时对话的方式，对于一些小问题的交流减少了协调见面的时间，并且使组成员知道主动沟通的重要性。合理利用非正式沟通。项目经理或各组负责人，不定期地与客户工作人员、项目组成员进行广泛交流。在项目服务实施阶段，实行严格的报告制度，通过报告制度，可以及时发现实施过程中出现的各种问题，并及时予以解决。XX服公司的服务实施报告制度包括：内部工程师日志所有工程师进行本工程项目的工作后，必须在内部网上填写工程师日志，必须包括以下内容：工作/实施内容工作/实施时间存在的问题及现象解决的方法/过程满意度调查作为服务质量保障的体系之一，除了来自内部的考核、评估手段外，XX服同样非常重视来自客户的声音。XX服还制定了如何提供客户满意度的措施和规定，保证了服务的不断优化。下面是该规定的部分内容。“维护的实施工程师需要定期走访用户，利用网络管理平台观察网络运行状况。实施工程师需要积极配合用户完成业务测试的网络环境搭建，根据测试时出现的相关问题提出相关的建议供用户参考。工作内容已提交给用户正式的测试报告为准。对于用户准备新开展的业务各种想法，积极从现有的网络现状及改进措施方面入手给出用户合理的相关建议。这部分的工作内容体现在和用户平时的沟通和交流，并加强于内部部门沟通。在未明确用户的故障原因之前，实施工程师需要积极帮助用户查找故障，如果有必要，需要积极协助用户进行多厂商技术人员之间的交流。故障处理完毕后，需要积极总结故障原因并提出预防建议，并提交故障排除报告。实施工程师需要在今后的工作中有意识地去帮助用户检查网络中的配置不规范的情况，避免故障重复发生。”项目服务协调会根据双方协商结果，工程实施阶段，每月进行一至两次工程协调会，参加人员为双方负责人（项目经理）、主要项目成员，内容主要为双方人员的各方面合作密切性和一致性、项目进度、下阶段工程计划等。相互之间的合作和理解是工程实施成功的另一个重要基石。通过工程协调会的方式可以为参与用户工程的各个有关方面共同协调工程的进展和了解各方的工程进展状况。工程协调会必须产生《工程协调会会议纪要》，主要内容包括：会议日期参加人员主要内容会议结果并由双方会议负责人签字确认留档。同时，在遇到影响重大、必须及时处理的情况、故障时，实行首任报告制，双方项目组任何成员必须及时向双方项目负责人通过电话方式进行汇报，并根据项目组联系名单，与项目组主要成员取得联系。并填入工程师日志。二、服务风险管理措施风险为项目的固有特性，我司针对本项目，利用识别、定性、定量、应对、解决/同步五步法实时推动至解决的同时，结合项目风险管理表进行合理的管理。识别：项目启动阶段重点工作是进行风险识别；常见风险包括技术风险、管理风险、工程类实施风险等等；当风险未识别及有效预防时，风险及需求将会转变成问题。所以风险识别项目中必不可少。那么项目管理重点中风险管理加上有效的沟通必不可少。定性/定量：当项目风险识别后，其次分析出对项目现阶段的影响，根据影响制定出重要性及处理优先级，便于项目组清楚了解对项目目前的影响，拟定出处理的优先级。应对：根据重要性及优先级来制定出风险处理顺序，同时进行风险预防，理想状态是风险转化成问题前得到解决；获得风险最有效的解决方式，是招开协调会议，并组识相关人员进行沟通，得出最佳解决方案，并将风险需落实到指定的人来负责，便于得到有效有推动。解决/同步：对于已转化成问题的风险解决后，需同步至组目组内/外相关人员，需输出相应的问题处理报告。针对于本项目，可预知风险如下：项目风险管理表序号发生时间风险描述风险类别风险级别影响阶段影响范围主要风险点应对措施当前处理进展下步计划责任人配合人1XXXX年XX月XX日设计方案编制进度不能在规定时间内完成，或由于方案编写不能按进度要求得到审核通过技术风险中项目规划阶段整体实施进展由于方案的编制是全部工作最重要的环节，因此造成整体工期的相对拖延1.方案的编写进行模块化，并由不同的工程人员分工编写，避免由于方案编写工作量过大造成的延期

2.在可能的情况下，方案的审核按工作模块分布进行，减少在最后集中审核方案量大，需求时间过长；2XXXX年XX月XX日设计方案在实施过程中的指导性有问题，在设计方案中出现过多错误，造成实施过程中的混乱技术风险中实施过程阶段整体实施进度1.在实施过程中需求过多的时间重新进行设计的修改

2.因错误的设计进行的实施造成实施结果出现重大故障

3.引设计的失误造成对在网网络设备受到冲击，影响正常的应用或业务

4.对设计错误的修改造成整体工期的延误1.设计方案编制前，编写成员集中讨论设计方案，形成方案的设备备忘，减少方案整体设计偏差的可能；

2.设计方案在编制过程中由经验较足的技术人员进行编写，保障方案的质量；

3.在设计方案正式提交前，项目组内部的审核机制，由项目成员对设计方案进行审核；同时由公司内部的技术支持部门进行方案审核；

4.由用户和应用系统的技术人员对方案进行审核，并对方案设计提出确认意见；技术负责人项目经理3XXXX年XX月XX日设计方案、设备配置模版版本的确认。由于在整体项目中，方案修改的版本会不断完善，并且实施人员也比较多，实施过程中需要对在用版本进行确定技术风险中实施过程阶段整体实施进度1.由于错误的设计实施方案、设备配置模版版本的使用造成实施故障的可能性增高

2.错误的设计方案、设备配置模版版本造成与调测过程不能正常，可能会引起工期的延误1.设计方案、设备配置模版的版本工作在统一的版本定制方案下；

2.设计方案、设备配置模版的更新，由项目经理统一发放更新版本，项目相关人员以项目经理的更新设计版本为准；

3.设计方案、设备配置模版版本更新过程中，同时发放《设计方案版本控制信息》《设备配置模版版本控制信息》，简略说本版本更新的原因、更新内容摘要；

4.在项目周报中，关键文件列出当前版本号；项目经理技术负责人4XXXX年XX月XX日设备订单在设备方案确认后即可进行采购，采购过程中到货的及时会影响到整体工期供货风险低实施过程阶段实施进度设备交付延期，影响整个项目滞后1.在订单下达后，项目经理跟踪设备的出厂、货运情况，并且在周报中实时更新订单状态；

2.对于项目中的选址试点阶段设备的供货，实时更新到货日期，并通知项目相关人员；

3.如果有设备未能及时到达，确认到货的情况并协调替代方案或替代设备，保持正常的进度进行系统的测试，并在到货后能替换回项目原有设备；项目经理实施工程师

商务专员5XXXX年XX月XX日验货设备发生故障，设备不能正常使用意外风险低实施过程阶段实施进度故障设备造成部分网点无法正常部署，导致后期调试不能正常完成，因而影响到后续工期1.如果设备到货后发生故障，及时进行设备的返修，并在设备到货前，协调替代设备维持正常的实施进度不受影响；

2.设备除了数量的清点外，需要进行一定比例的抽样检查；

3.在验货过程中，提供给最终用户设备的序列号备案，并在设备发生变货时，及时更新序列号清单，以方便用户跟踪设备的情况；项目经理

实施工程师商务专员

备件专员6XXXX年XX月XX日由于涉及原有接入层设备及AP数量较多，可能会由于接入层的调整，引起后续应用系统安装与测试的延迟进度风险中实施过程阶段实施进度1.因设备容易发生安装配置的失误，造成系统故障点的增多

2.设备数量大，发生配置修改时涉及设备多，造成调整工作量大

3.由于工作量大引起工作的推迟1.在接入层调整及AP全面安装前，进行相应试点测试，以保证全部设备安装时的设计正确，避免大量设备的反复调试；

2.设计方案中接入设备应做到规范化，使用统一的模板；

3.尽量详细到所有设备接口规则，使安装前能规范大量设备的安装工作流程；

4.全部设备安装前进行集中配置，并做好设备、线缆标签的标识工作；

5.接入层设备的安装进行标准化的实施，每个设备的工作流程标准化，减少设备配置的失误；

6.接入层工作由于涉及的安装工程师数量增多，工作分工进行合理的协调，并作好安装记录与实施流程记录，加强这个阶段的进度控制；

7.项目经理对接入层的实施进行进度汇总，提高实施期间项目进度的通知；实施工程师项目经理

技术负责人7XXXX年XX月XX日其他工程进度延期或部分后续工程进度提前进度风险中实施过程阶段实施进度造成网络工程出现赶工现象1.在项目阶段前期指定详细的网络工程进度

2.网络工程进度需要和总体工程进度进行共同讨论以保证匹配

3.完善项目中的信息通报机制，当发生问题时，可以尽早通知各个环节并尽早准备和修正

4.工程双方在规划项目资源时需要考虑到资源预留，以应对可能出现的突发情况8XXXX年XX月XX日为确保后续工作基础，测试需要完整的进行，而涉及到的调整，都会造成测试重新再次进行质量风险中实施过程阶段实施质量造成项目延期1.设计方案应包括测试方案，并在实验室测试的阶段，对测试方案进行验证；

2.将测试内容进行模块、流程、操作步骤化，在配置进行变化时，不影响到其他的测试内容发生状态变化；

3.测试期间对测试结果和问题进行记录；区域负责经理

技术经理项目经理三、服务问题管理措施2.3.1汇报方式（1）XX服项目组每日/周/按需汇总项目实施情况，讨论遇到的问题；（2）XX服项目组以工作日/周/按需报的方式向客户方项目组报告工作进展情况和问题；（3）XX服项目组每日/周/按需向客户方项目负责人口头汇报遇到的问题；（4）对于重大问题，项目组以书面的形式向客户方项目负责人汇报；双方召开协调会进行讨论决策；对协调会进行记录并提供会议纪要。（5）在项目组不能取得一致意见的情况下，由项目领导组与用户方项目经理共同协商进行决策。2.3.2问题决策制度项目设置领导组，由XX服看和甲方双方的领导组成。领导组对于项目的重大问题进行决策。并形成正式会议纪要，由监理签字保存。项目问题的分级序号级别描述审批人决策人1重大技术问题影响各子系统重要功能的技术问题双方技术负责人领导组、用户方项目经理重大管理问题对进度（提前或延后1周以上）、质量有重大影响的问题双方项目经理领导组、用户方项目经理2一般技术问题不影响各系统重要功能的问题双方技术负责人双方技术负责人一般管理问题对进度（提前或延后1周以下）、质量有重大影响的问题双方项目经理双方项目经理第三节项目实施推进计划一、明确项目目标项目实施推进计划的制定必须基于清晰的项目目标。项目目标应具体、可衡量、可实现、相关性强且有时限（SMART原则）。二、任务分解将项目目标分解为具体的任务和子任务是制定项目实施推进计划的基础。任务分解可以通过工作分解结构（WBS）来完成。三、确定任务顺序任务之间往往存在依赖关系，确定任务的先后顺序对于项目实施推进计划的合理性至关重要。常见的任务依赖关系包括：完成-开始（FS）：前一个任务完成之后，后一个任务才能开始。开始-开始（SS）：前一个任务开始之后，后一个任务才能开始。完成-完成（FF）：前一个任务完成之后，后一个任务才能完成。开始-完成（SF）：前一个任务开始之后，后一个任务才能完成。四、估算任务时间估算每个任务所需的时间是项目实施推进计划的关键环节。估算方法包括专家判断、类比估算、参数估算和三点估算等。专家判断是基于经验丰富的项目团队成员或外部专家的意见；类比估算是参考类似项目的实际时间；参数估算是根据项目规模和历史数据进行计算；三点估算是考虑最乐观时间、最可能时间和最悲观时间，计算加权平均值作为任务时间估算值。五、分配资源资源分配是确保项目实施推进计划可执行的重要环节。资源包括人力、物力、财力等。项目团队已根据任务的性质和需求，合理分配资源。(1)人员配置：在网络建设阶段，通过人力资源调度，保持服务人员队伍稳定。因此，即使出现施工原因导致的工期延误，由于有稳定、充足的技术队伍，在需要赶回延误的工期时可以组织人员实行加派人员作业。(2)设备供应及存储：按照施工进度计划提前准备好基础网络设备，安排好产品的供货，避免因供货延误工期。(3)施工设备配置：为保证本工程的按期完成，我司将配备充足的网络施工设备等配套施工设备，避免因施工设备配置问题，影响到系统的安装调测。(4)应急计划：做好人力资源、设备方面的应急计划，一旦出现人员辞职、调动等情况提前做好应对，设备方面则做好产品的检验、准备好充足的备件，一旦有设备出现故障可从容应对，在面临因外界因素导致工期严重落后情况下采取本地联调，直接上点。第四节服务时间节点保障根据工期要求和项目阶段规划，具体的工作计划任务分解如下：工作阶段任务编号任务第1周第2周第3周第4周第5周第6周第7周第8周第9周第10周第11周第12周项目启动阶段1召开外部启动会2项目调研3客户需求分析4制定项目风险点预警表5制定勘测设计计划项目规划阶段6制定技术/测试方案7全校详细勘测设计8制定详细实施工艺9无线安装点位勘测/安装美观性沟通10制定网络设备与工程材料明细11制定详细的工建实施方案12制定详细实施/管理计划13项目风险预警表更新与落地14技术方案/工程实施方案外部会审开工前准备阶段15召开工程协调会16设备与物料仓库协调17项目管理人员宿舍协调18项目相关干系人明确19到货验收20设备检测/设备分类21设备安装环境准备22脚本配置/配置灌装23设备标签配置与张贴试点实施阶段24试点楼栋选择25试点楼栋设备发送26试点楼栋工建材料发送27现场环境复堪28实施方案复审29综合布线30无线/有线点位安装31机柜安装32设备上架安装33线缆标签打印张贴34线路连通性测试35机柜内线缆整理36设备调优37各项指标测试38输出部署经验总结39输出各项无线测试指标40项目技术方案更新41项目实施方案更新批量实施阶段42机房区域核对实施批量及对应楼栋43设备分发44工程建设物料分发45现场环境复察46综合布线47设备安装环境准备48无线/有线点位安装49机柜安装50设备上架安装51线缆标签打印张贴52设备联调及优化53各项指标测试54输出部署经验总结55输出各项无线测试指标56项目技术方案更新57项目实施方案更新58核对实施批量及对应楼栋59设备分发60工程建设物料分发61现场环境复察62综合布线63设备安装环境准备64无线/有线点位安装65机柜安装66设备上架安装67线缆标签打印张贴68设备联调及优化69各项指标测试70输出部署经验总结71输出各项无线测试指标72项目技术方案更新73项目实施方案更新74核对实施批量及对应楼栋75设备分发76工程建设物料分发77现场环境复察78综合布线79设备安装环境准备80无线/有线点位安装81机柜安装82设备上架安装83线缆标签打印张贴84设备联调及优化85各项指标测试86输出部署经验总结87输出各项无线测试指标88项目技术方案更新89项目实施方案更新90核对实施批量及对应楼栋91设备分发92工程建设物料分发93现场环境复察94综合布线95设备安装环境准备96无线/有线点位安装97机柜安装98设备上架安装99线缆标签打印张贴100设备联调及优化101各项指标测试102输出部署经验总结103输出各项无线测试指标104项目技术方案更新105项目实施方案更新初验阶段106验证各楼栋业务系统调试是否成功107验证工程施工工艺是否达标108验证无线点位安装是否符合规划109工程初验文档整理110软件调试初验文档整理111整体项目初验及阶段性总结试运行阶段112整体项目终验及文档整理113试运行114网络系统监控项目终验阶段115项目文档最终整理汇总116客户端移交及现场培训117网络运行评估和测试118项目工程终验注:上述工作包开展进度计划中，各个阶段时间节点特别是初验，终验时间节点为XX服建议时间点。最终计划时间点仍以客户要求时间节点为准。第五节交付管理一、交货地点、时间、方式交货地点：用户指定位置供货期限：自合同生效之日起规定日历天内供货调试完成。交货方式：技术工程师到达指定的场所后经用户允许后方可交货。二、项目服务内容5.2.1攻防演练服务一年内开展一次攻防演练。在实际或搭建的环境中模拟攻击事件，通过监测发现安全事件后根据安全事件应急管理体系进行应急处置，发现安全漏洞与风险，检验和提升团队网络安全应急响应能力。事后通过复盘和研讨，总结经验教训，从多维视角看待网络安全防护问题，针对不同业务建立不同场景模型，发现网络中的安全漏洞与风险，检验应急响应方案的合理性，加强相关人员对应急体系的理解，强化网络安全风险意识，为提升网络安全保障能力积累经验。5.2.2重要时期安全保障服务在重要时期（指国家、政府或企事业单位及商业社会团体需要经历的，具有重大政治、经济影响的一段时间。）为公司提供重要时期安全保障服务。5.2.3安全评估服务对指定的业务系统及网络进行安全评估，使用多种技术和方法对指定信息系统的服务器、网络设备及WEB应用进行漏洞扫描与安全评估。（每年四次）5.2.4渗透测试服务进行模拟黑客攻击的渗透测试，从攻防角度出发进行模拟实战的网络攻防测试。（每年四次）利用安全工具并结合个人实战经验使用各种攻击技术对指定的目标进行非破坏性质的模拟黑客攻击和深入的安全测试，发现信息系统隐藏的安全弱点，并根据系统的实际情况，测试安全弱点被攻击者利用的可能性和被利用的影响，了解攻击者可能利用的攻击方法和进入组织信息系统的途径，更直观地了解到当前系统所面临的问题，明确信息系统当前面临的风险，以采取更强有力的保护措施。5.2.5上线安全检查服务在新建及扩容系统交付上线前对其进行安全评估，按照证监会相关规范及文件要求落实安全评估，使用多种技术和方法对新业务平台的服务器、网络设备以及WEB应用层面进行安全评测。（不限次数，按需提供）并根据安全评估报告，对不符合规范要求项提供系统整改加固方案进行系统加固，最终提交业务平台上线安全评测报告。5.2.6安全技术培训服务提供定期的安全意识、安全技能、安全攻防实战相关的培训，培训次数4次，总时长8小时。5.2.7安全值守驻场服务提供本地化服务和技术支持，配备驻场安全工程师1人，提供5*8小时的现场安全服务，服务内容包括完成日常的安全检查及专项评估工作，对安全问题的整改提出合理的技术建议等。5.2.8安全预警通告和应急响应服务提供全行业0day或高风险漏洞、病毒预警、安全紧急公告等内容。结合实际情况在12小时内制定处理方案，方案内容包括：漏洞检查方法；检查时间计划；检查风险及应对措施；漏洞修复方案；修复风险及应对措施。事件处理完毕后一个月时间内仍持续关注该漏洞的最新动态和发展趋势，并随时做好应急准备。5.2.9网站监测服务对互联网网站进行7×24小时的网站安全监测，从脆弱性监测、完整性监测、可用性监测三个方面进行监测。脆弱性监测主要定期扫描网站面临的安全风险；完整性监测能够甄别出页面是否发生了恶意篡改，是否被恶意挂马，是否被嵌入敏感内容等信息；可用性监测能够了解网站此时的通断状况，延迟状况。5.2.10数据安全风险评估识别、分析和评价可能影响数据保密性、完整性和可用性的潜在风险并提供解决方案。（每年一次）5.2.11个人信息保护影响评估分析和评定处理个人信息活动的合法性、正当性和必要性，以及对个人权益可能造成的影响。（每年一次）

第二章技术支持及服务方案第一节技术支持及服务内容一、攻防演练服务一年内开展一次攻防演练。在实际或搭建的环境中模拟攻击事件，通过监测发现安全事件后根据安全事件应急管理体系进行应急处置，发现安全漏洞与风险，检验和提升团队网络安全应急响应能力。事后通过复盘和研讨，总结经验教训，从多维视角看待网络安全防护问题，针对不同业务建立不同场景模型，发现网络中的安全漏洞与风险，检验应急响应方案的合理性，加强相关人员对应急体系的理解，强化网络安全风险意识，为提升网络安全保障能力积累经验。服务原则XX服科技在提供攻防演练服务过程中，将遵循下列原则。保密原则为了防止攻防演练服务过程中泄露客户信息，XX服科技与客户签订保密协议，对参演服务人员提出保密要求，确保参演服务人员认同、认可泄露客户信息的严重后果，提高参演服务人员保密意识。标准性原则方案设计、实施依据国内、国际的相关标准进行。规范性原则项目实施由专业的渗透测试工程师和项目经理依照规范的操作流程进行，在实施之前将详细量化出每项工作内容，对操作过程和结果提供规范的记录，以便于项目的跟踪和控制。可控性原则项目实施的方法和过程在双方认可的范围之内，实施进度按照进度表进度的安排，保证项目实施的可控性。最小影响原则项目实施工作尽可能小的影响网络和信息系统的正常运行，不对信息系统的运行和业务的正常提供产生显著影响。业务优先原则攻防演练服务过程中均建立在不影响业务的前提下，一旦业务有异常，所有攻击行为第一时间停止，协同组办方保障业务正常运行。1.1.1服务内容XX服攻防演练服务内容主要为用户提供演练组织整体策划方案、攻防平台方案、攻防平台搭建保障、评分规则制定、标靶选择、演练过程全监控、技术指导、应急保障等工作，一般可分为调研、准备、演练、总结四个阶段。通过攻防演练活动，协助用户对现有防御措施(包括可能的实时动态防御)进行深度评估渗透,对目标系统、人员、软硬件设备、基础架构等进行多维度、多手段、对抗性模拟攻击,旨在发现可能被入侵的薄弱点，并以此为跳板将攻击渗透结果最大化(包括系统提权、控制业务、获取信息)，进而检验现有防御措施的实际安全性和运营保障的有效性，提升参与人员的实战攻防能力。图：服务内容介绍一览图1.1.2服务范围XX服科技根据用户需求、规模大小等因素，将攻防演练服务划分为以下服务范围进行实施交付，具体如下：1.拟定评分实施细则，组织裁判，评出优胜单位，组织交流探讨和讲评；2.负责对本次攻防演练提供专家咨询和争议仲裁；3.组织搭建和运维攻防平台并对演练数据管理及统计；4.实网的形式接入到攻防演练平台进行真实环境同步。1.1.3服务流程图：服务流程图1.1.4调研阶段需求调研是攻防演练服务过程中的首要环节，决定后续的工作方向。需求调研主要明确此次攻防演练服务的背景、组织单位、参与部门、演练目标及演练时间等内容，并对后续的工作内容进行职责划分。通过需求调研，明确本次攻防演练服务的目标。XX服科技针对攻防演练需达到的目标，逐步开展演练工作，确保演练工作按既定要求顺利完成。在该阶段，XX服科技会通过和主办方召开项目会议的方式，加强与主办方沟通，明确此次攻防演练服务的具体需求。1.1.5目标系统选取目标系统选取是指根据本次攻防演练服务的需要，组织方同各参与方协商确定本次攻防演练过程中的目标系统。考虑到网络安全工作的重要性和网络安全威胁现状，建议参演单位选择容易遭受境外攻击或受到较大威胁的若干关键信息基础设施作为参演系统。为了达到对抗目的和保障攻防的效果，建议在正式攻防演练前的准备阶段组织攻击方对较多的备选系统进行摸底调查和预备性攻击测试，从中选择有代表性的目标作为参演系统。1.1.6约束条件调研为了避免演练过程中攻击人员的不当攻击行为对业务系统产生影响，从而导致演练工作受阻或停滞。XX服科技应根据客户实际环境对演练中客户系统所能接受的攻击方式进行调研，以确保整个攻防演练工作不因攻击人员的攻击行为不当，而影响整个演练工作的进行。攻击人员攻击约束方式包括但不限制于以下方式：禁止使用的攻击方式1.DDOS攻击2.ARP欺骗攻击、DHCP欺骗3.域名系统（DNS）劫持攻击4.感染与自动复制功能病毒5.多守护进程木马等攻击方式6.破坏性的物理入侵（例如：截断监听外部光纤等方式进行攻击）7.通过收买防守方人员进行攻击8.在约定时间范围之外攻击9.在约定IP范围之外攻击谨慎使用的攻击方式1.物理攻击（如智能门禁、智能电表）2.通过内网端口大规模扫描3.获取权限后有侵害的操作4.修改业务数据5.内存溢出6.暴力破解7.大批量查询1.1.7通报机制调研演练开始之前应根据客户实际需求调研，为演练参与人员建立有效的通报机制，以方便在演练过程中快速对各类问题进行通报和处理。应在演练过程中设立演练专用电话，由演练领导小组指定人员值守。明确演练过程中关键操作、成果必须报备演练领导小组审批后方可执行后续动作。如发生但不限于以下情况时，应及时向演练工作组报备：1.发现防守方系统无法正常访问、攻击方IP地址被封等异常情况；2.发现系统层、应用层等方面漏洞、若干条有效入侵途径等；3.在任一途径成功获取网站/系统控制权限后；4.在内网进行横向扩展和渗透；5.其他可能存在风险的情况，例如：重启、服务器宕机等。演练过程中，可能影响系统正常运行的操作应及时报告演练领导小组，待批准方可执行，未经批准的操作引起的不良后果由攻击方自行承担。1.1.8演练规则调研演练开始之前应根据客户实际需求进行调研，为攻防演练建立有效的演练规则，有效掌握裁判规则、演练规则、攻击团队行为规范等需求信息，并制定相应的裁判规则、演练规则、行为规范，以方便裁判方在演练过程中能够针对实战性红蓝攻防演练的结果进行有依据的评分与判定，保障演练有序的进行。1.1.9准备阶段目标标靶协助主办方选择设置目标和标靶，整理汇总后由抽签形式分配攻击任务，不直接进行任务分配，由各攻击小组自行抽签，标靶为省/市级别所有信息化系统及门户网站等。演练平台XX服在前期准备阶段进行演练平台方案制定，包括：攻防演练平台（包括大屏展示）、设备场地、参演规则、攻防平台方案交流沟通、攻防平台搭建、攻防平台网络链路部署等工作。演练开始前期，由演练工作组织方（紫队）对本次演练第三方攻击队伍进行正式授权，确保演练工作在授权范围内有序进行，所有攻击队伍（红队）应在获取演练攻击授权后，才可对演练目标开展演练攻击。组织裁判根据演练的规模程度，邀请专业裁判队伍，制定详细评分细则，组织对各小组上报的攻击成果进行验证，实时通报各小组得分情况，根据综合得分评定名次。保密协议为了防止攻防演练过程中泄露客户信息，XX服科技与客户签订保密协议，对参演服务人员提出保密要求，确保参演服务人员认同、认可泄露客户信息的严重后果，提高参演服务人员保密意识。规则制定演练开始前期需制定裁判评分规则（红队/蓝队）和攻击团队行为规范，协助主办方制定实战攻防演练规则和相关外延单位沟通确认。攻防培训演练开始前期XX服作为平台承办方对本次参演的攻击队伍、防守队伍进行评分规则和攻防平台使用进行培训及演练过程中的纪律、注意事项进行培训。1.1.10演练阶段裁判研判及判定在演练过程中，主办方（紫队）聘请国内信息安全咨询机构、信息安全技术服务商、信息安全设备厂商等专业机构的安全专家作为本次我单位攻防演练专家组，并建立攻防演练专家咨询沟通机制，研判专家组针对演练目标、演练规则、活动流程及时间、攻击效果、防守效果等进行分析和确认，帮助主办方（紫队）提出宝贵的建议。若演练过程中攻防双方队伍对裁判评定的结果存在异议，可提交专家进行咨询和争议仲裁。平台监测及运维本次攻防演练将使用XX服科技公司的攻防演练支撑平台，攻击方的所有行为通过平台进行记录、监管、分析、审计和追溯，保障整个攻击的过程可控、风险可控。同时，演练平台提供实况展示、可用性监测和攻击成果展示等图形化展示页面和专门指定演练平台后台技术支持工程师进行全阶段的运维技术支持，保障演练平台在演练阶段的可用性。攻击实况展示展示网络攻击的实时状态，展示攻击方与被攻击目标的IP地址及名称，通过光线流动效果、数字标识形成攻击流量信息、攻防双方排名的直观展示；可用性监测实时监测并展示攻击目标系统的健康性，保障攻击目标业务不受影响。通过攻击流量大小准确反应攻击方网络资源占用情况及其对攻击目标形成的压力情况，实时呈现网络流量大小等信息，并展示异常情况的描述；攻击成果展示攻击团队取得攻击成果后，及时提交到攻防演练支撑平台并进行展示，显示每个目标系统被发现的安全漏洞和问题数量及细节，防守方可依据攻击成果进行安全修复整改加固；运维技术支持在演练过程中，为保障攻方工具可控，守方数据安全可控，在攻防对抗演练期间，使用XX服科技的攻防演练平台和设备，为保证平台的可用性及问题恢复性，主办方（紫队）将指派专业的攻防演练平台运维技术工程师对演练全程进行技术保障支持，确保整个演练过程可控，并达到演练预期的目的。过程溯源及审计过程溯源及审计是指在攻防演练过程中，主要针对红队人员的行为和提交的成果是否满足本次攻防演练获得的规定，确保后续裁判组在评分过程中，进行研判及判定分数是有效的，公平、公正、合理的为红队、蓝队通过攻防平台提交进行分数进行有效评判。过程溯源审计主要是通过攻防平台安全审计红队、蓝队人员开展的，在演练开始后，裁判组审计人员除了通过演练平台监控外，还会通过对攻击提交结果进行人工审核、攻击流量溯源、录屏等方式来确保红队攻击行为、攻击提交结果的有效性和合规性。红队提交攻击成果至平台后，通过对提交信息审核，在对应的时间段内从攻击流量中分析是否有与提交信息中一致的源IP、目标IP、端口信息、攻击行为、上传文件记录、其他操作指纹信息等还原出整个攻击过程，以判断所提交的成果真实可靠。通过过程溯源审计可以杜绝违规成果（例如：不在指定时间内进行攻击、没有采用指定IP进行攻击、获取的账号权限并非本次攻击演练活动获取等）被采纳的情况发生，为攻防演练活动工作的真实有效提供保障和溯源审计，监督到位，切保红蓝双方对抗合法、合规的进展。应急处置与响应在攻防演练过程中，可能会发生不可控突发事件导致演练过程中断（建议参演单位提前做好重要系统备份工作）。为了降低突发事件对演练工作造成影响，演练领导小组、演练工作组制定应急响应预案，演练中一旦发生安全事件，建议按照应急处置流程有序开展应急处置工作，确保攻防演练工作顺利完成。在攻防演练过程中突发事件应急处置具体流程如下：1)收到异常情况报告：现场人员发现问题或异常现象，应第一时间将事件上报攻防演练工作组；2)异常情况上报：工作组确认问题，并将情况上报攻防演练领导小组；3)异常事件研判：演练领导小组了解安全事件，对事件严重程度进行研判；4)下达应急预案指令：演练领导小组下达启动应急预案指令，启动应急处置工作；5)应急事件处置：应急处置组采取应对措施，对安全事件进行处置，处置过程中技术支撑组、攻击组、防守组配合应急处置组开展应急处置工作；6)形成处置报告：事件处置结束，由应急处置组就事件处置过程以及结果形成报告，并上报演练工作组；7)汇报处置结果：工作组汇总应急处置结果和处置报告，向演练领导小组进行汇报；8)评估处置结果：演练领导小组听取工作组汇报并评估处置结果，提出后续工作要求，结束本次应急工作。1.1.11总结阶段复盘总结攻防演练能有效检验了各方网络安全整体攻击和防护能力，完善网络安全漏洞和应急处置的全链条闭环管理，提升了主动防御能力，为如何快速处置大面积网络攻击事件积累了宝贵经验，通过攻防演练服务可达到以下关键收获的效果，总结如下：1)成功地实现了以演促建、以演促防；2)消除大部分网络业务系统安全隐患；3)发掘和培养一批网络安全专业人才力量；4)提供了加强信息安全技术防护能力的新思路；5)探索如何打造网络安全常态化运营的“金钟罩”；6)建立健全了跨部门、跨单位护网协调联动机制。成果交付组织方：攻防演练过程中，按照本次攻防演练要求，提交攻击/防守成果，以方便裁判组和专家组对攻击、防守效果进行研判判定打分，成果以报告文档形式提交，包括攻击/防守截图、过程描述、上传文件位置、解决建议等内容，同时红队队伍在本次攻防演练攻击过程中在主机留下的后门在演练结束前务必进行全部清除，若无法清除，将在攻击成果报告详细写明后门路径，以便防守单位技术人员后续进行有效的整改清除。输出：汇总《攻防实战演练攻击/防守成果报告》组织方协调平台组、技术组、裁判组、专家组等所有参与工作人员进行经验总结复盘，通过本次攻防演练获得的成果，过程中还存在的各方面问题，不断完善和优化组织方/各防守单位攻防演练服务工作。输出：《攻防实战演练总结报告》、《攻防实战演练总结报告PPT》（可选）保障措施攻防演练中发生不可控突发事件导致演练过程中断、终止时所需要采取的处置措施预案，需要预先对可能发生的紧急事件（如断电，断网等）做出临时处置安排措施，攻防演练中一旦攻防平台出现问题，组织方应做出临时处置安排措施，及时向指挥部报告，由指挥部通知攻击方在第一时间停止攻击。输出：《攻防平台应急保障方案》资源回收演练结束后，在演练工作组对在攻防演练服务过程中发放的资源进行统一回收。回收资源包括：攻击方人员所使用的统一终端，所有网络资源（网络设备、分配的IP、无线热点等），所有过程产生的记录报告等。同时攻击方人员也应对在演练过程中使用的所有木马及相关程序脚本、数据（视频文件及相关日志除外）等进行清除。总结汇报攻防演练服务工作结束后，演练工作组应组织各组人员对本次演练工作内容进行汇总，XX服科技配合演练工作组及相关技术人员输出相关的攻防演练服务总结报告，对本次演练工作中获得的成果、经验以及需要改进的问题进行总结。各演练工作小组总结完成后，由项目工作小组向演练领导小组汇报本次攻防演练工作的整体情况，通过本次攻防演练获得的成果，过程中还存在的各方面问题，不断完善和优化攻防演练服务工作。二、重要时期安全保障服务在重要时期（指国家、政府或企事业单位及商业社会团体需要经历的，具有重大政治、经济影响的一段时间。）为公司提供重要时期安全保障服务。三、安全评估服务对指定的业务系统及网络进行安全评估，使用多种技术和方法对指定信息系统的服务器、网络设备及WEB应用进行漏洞扫描与安全评估。（每年四次）1.1.12服务流程1.1.13服务内容从技术角度开展安全评估，主要通过人工、自动化检测工具探测业务系统，以及支撑业务运行的服务器、网络设备等基础设施上存在的安全漏洞，结合安全专家分析，评估其中的安全风险。主要服务内容如下：安全脆弱性评估漏洞扫描漏洞扫描是指基于CVE、CNVD、CNNVD等漏洞数据库，通过扫描等手段对指定的远程或者本地的网络设备、主机、数据库、操作系统、中间件、业务系统等进行安全弱点检测，进而发现安全漏洞的一种安全评估活动。漏洞扫描主要有两种类型：第一种为业务系统应用层扫描，通过扫描工具准确识别出注入缺陷、跨站脚本攻击、非法链接跳转、信息泄露、异常处理等安全漏洞，全面检测并发现业务应用安全隐患；第二种为主机系统漏洞扫描，通过扫描工具识别多种操作系统、网络设备、安全设备、数据库、中间件等存在的安全漏洞，全面检测终端设备的安全隐患。工作内容：漏洞扫描会对网络设备、主机、数据库、操作系统、中间件、业务系统等应用等进行安全漏洞识别，详细内容如下表所示。漏洞识别分类表类别一级分类二级分类描述WEB漏洞检测信息泄露/检测响应中目录浏览问题检测密码是否开启自动填充选项检测响应中内部IP地址检测响应中的服务器敏感目录检测响应中的会话令牌SQL注入漏洞/检测基于错误、基于布尔、基于时间的SQL注入漏洞，以及盲注漏洞等XSS注入漏洞/检测反射型、存储型、DOM型XSS漏洞XPATH注入漏洞/检测基于错误的XPATH注入漏洞HPP参数污染漏洞/检测参数污染、解析漏洞目录遍历漏洞/检测在URL或参数中构造“../”，或“../”和类似的跨父目录字符串的ASCII编码、Unicode编码等，完成目录跳转，读取操作系统各个目录下的敏感文件本地文件包含漏洞/检测本地文件包含漏洞由于程序员未对用户可控的变量进行输入检查，导致用户可以控制被包含的文件，成功利用时可以使WebServer会将特定文件当成Php执行，从而导致用户可获取一定的服务器权限其他WEB漏洞检测/心脏滴血、SMBv3远程拒绝服务漏洞等支持Apache、Tomcat、IIS等建站服务器的漏洞检测支持正方教务系统等教育系统的漏洞检测支持亿邮等电子邮件系统的漏洞检测支持Eshop等电子商城系统的漏洞检测支持致远、泛微等办公自动化系统的漏洞检测支持Struts2、Django等框架的漏洞检测支持PHP等语言的漏洞检测系统漏洞溢出漏洞远程缓冲区溢出漏洞检测远程缓冲区溢出漏洞，如：CVE-2017-9445、CVE-2017-5577等栈缓冲区溢出漏洞检测栈缓冲区溢出漏洞，如：CVE-2014-9295等堆缓冲区溢出漏洞检测堆缓冲区溢出漏洞，如：CVE-2017-8287等拒绝服务攻击漏洞远程拒绝服务漏洞检测远程拒绝服务攻击漏洞特定函数拒绝服务漏洞检测多种函数造成的拒绝服务攻击漏洞未授权访问漏洞未授权访问漏洞检测未授权访问漏洞安全限制绕过漏洞检测绕过安全限制漏洞进行越权访问漏洞代码执行漏洞任意命令执行漏洞检测任意命令执行漏洞，如：Java反序列化漏洞远程代码执行漏洞SMB远程代码执行漏洞RDP远程代码执行漏洞检测勒索病毒传播常用的SMB漏洞，如：MS17-010检测勒索病毒传播常用的RDP漏洞，如：CVE-2019-0708工作范围：漏洞扫描范围为网络设备、主机、数据库、操作系统、中间件、业务系统等应用。漏洞扫描的服务对象范围如下：操作系统Windows、发行版Linux、AIX、UNIX通用、Solaris、FreeBSD、HP-UX、BSD等主流操作系统。数据库Oracle、MySQL、MSSQL、Sybase、DB2、Informix等主流数据库。常见应用服务Apache、IIS、Tomcat、WebLogic等主流应用服务，常见FTP、EMAIL、DNS、TELENT、POP3、SNMP、SMTP、Proxy、RPC服务等。Web应用程序ASP、PHP、JSP、.NET、Perl、Python、Shell等语言编写的WEB应用程序。网络设备常见的路由器、交换机等设备。工作方式：漏洞扫描服务主要为现场扫描与远程扫描。根据客户提供的资产信息，我方进行核对和确认。现场扫描是由技术人员携带相关的漏洞扫描工具，根据约定的时间到达客户现场，部署漏洞扫描工具，经由客户授权后对指定的资产开展扫描。远程扫描是由技术人员和客户约定时间，经由客户授权后，通过互联网对客户指定的资产进行扫描。基线核查工作内容：

基线核查服务内容普遍集中于设备的账号管理和口令策略、认证授权、日志配置、通信协议等方面，覆盖了与安全问题相关的各个层面。基线核查服务针对不同IT资产的具体检查内容会有所不同，下面进行部分服务内容的举例：1）主机操作系统检查内容主机操作系统安全配置检查包含但不限于以下内容：帐号和口令管理异常启动项认证合授权策略访问控制通信协议日志审核策略文件系统权限帐号和口令管理防ddos攻击剩余信息保护其它安全配置2）数据库检查内容数据库安全配置检查包含但不限于以下内容：帐号和口令管理认证认证和授权策略访问控制通讯协议日志审核功能其他安全配置3）中间件检查内容中间件及常见网络服务安全配置检查包含但不限于以下内容：帐号和口令管理认证授权策略通讯协议日志审核功能其他安全配置4）网络设备及安全设备检查内容网络及安全设备安全配置检查包含但不限于以下内容：OS安全异常启动项帐号和口令管理认证和授权策略网络与服务访问控制策略通讯协议路由协议日志审核策略加密管理设备其他安全配置工作范围：基线核查范围包括各种主机操作系统、数据库、常见中间件及网络服务应用等。详细如下表所示：配置检查范围配置检查分类配置检查范围描述主机操作系统主流主机操作系统：微软Windows系列操作系统，Windows2000/2003/2008等各类Linux系列操作系统，Redhat、Ubuntu、Debian等各类Unix系列操作系统，Solaris、AIX、HP-UX、BSD等数据库主流数据库：微软MSSQL系列，SQLSever2000/2005/2008等甲骨文Oracle系列，Oracle9i/10g/11g等其他数据库，MySQL、DB2、Sybase、Informix等常见中间件及网络服务常见中间件及网络服务应用：Web服务类，IIS6.0、IIS7.0、Apache、Tomcat、Weblogic、Nginx、WebSphere等DNS服务类，Bind8、Bind9等FTP服务类，ServU、MSIISFTP等其他常见网络服务，MAIL、Proxy、POP3、SMTP等工作方式：人工检查人工检查的内容主要包括登录信息收集、配置安全分析和形成检查报告。其中配置安全分析是比较重要的环节，分析结果直接影响报告的准确性、权威性。自动化检查自动化检查是借助基线核查系统来自动化完成部分工作。自动化工具主要自动化完成目标设备登录、设备配置检查和配置信息记录工作，此部分工作借助自动化工具是为了消除手工误操作的隐患，提高检查效率和精确度。注意事项及措施：风险规避方法为保证基线核查工作的顺利完成，应采取以下手段规避可预见的风险。1、减少安全配置核查系统并行任务；2、选择业务闲时执行安全配置核查系统任务；3、敏感信息加密保存。异常处置方法业务出现异常时，立即停止自动化检查工作。按照原始配置记录文件恢复配置，并进行相关测试确保业务的正常运行。异常处理流程：1、停止检查工具运行，查看设备是否恢复正常；若恢复，调查故障原因；2、如果没有恢复，重启设备；若恢复，调查故障原因；3、如果没有恢复，更换备份设备并检查网络是否恢复正常，调查故障原因；4、形成故障分析报告。渗透测试工作内容：渗透测试是在客户提供渗透测试授权的前提下，对其目标业务系统开展模拟黑客攻击的测试行为；测试形式：工具+人工的形式开展；检查项目：XX服依据国际、国内相关标准制定了渗透测试CheckList，具体检查点详见下表-渗透测试CheckList。渗透测试CheckList测试项测试子项信息泄露Robots.txt泄露敏感信息敏感文件信息泄露过时的、用于备份的或者开发文件残留报错页面敏感信息泄露物理路径泄露明文密码本地保存入侵痕迹残留HTTP头信息泄露目录浏览默认页面泄露存在可访问的管理后台入口存在可访问的管理控制台入口参数溢出任意文件下载信息猜解邮件内容中请求链接可预测数据猜解账号枚举账号密码共用认证信息泄漏传输过程泄漏会话变量泄漏认证信息猜解存在弱口令存在暴力破解认证功能失效存在空口令认证绕过Oauth认证缺陷IP地址伪造认证功能滥用多点认证缺陷会话固定业务逻辑篡改密码修改/重置流程跨越负值反冲正负值反冲业务流程跳跃业务功能失效通配符注入业务功能滥用短信定向转发邮件可定向转发业务接口调用缺陷IMAP/SMTP注入引用第三方不可控的脚本/URL开启危险接口未验证的URL跳转服务端请求伪造（SSRF）短信内容可控邮件内容可控请求重放攻击批量提交防护功能失效账号弱锁定机制图形验证码可自动获取图形验证码可绕过短信验证码可绕过短信验证码可暴力破解参数覆盖关键逻辑判断前端验证防护功能缺失Cookie属性问题会话重用会话失效时间过长防护功能滥用恶意锁定问题短信炸弹邮件炸弹权限缺失Flash跨域访问Jsonp跨域请求未授权访问权限篡改任意用户密码修改/重置SSO认证缺陷越权Cookie伪造会话变量可控跨站请求伪造（CSRF）综合利用跨站脚本攻击（XSS）FLASH跨站脚本攻击HTTP响应分割HTTP参数污染Host头攻击SQL注入NoSQL注入LDAP注入XML注入XXEXPATH注入命令注入任意文件上传反序列化漏洞专项漏洞Web组件（SSL/WebDAV）中间件相关漏洞第三方应用相关漏洞第三方插件相关漏洞开发框架通用型系统工作范围：Web业务系统；微信小程序、微信公众号；C/S架构业务系统。备注：1)由于Web业务系统的特殊性，相同域名或IP下的不同端口核算为不同的业务系统；2)如果相同域名或IP且同一端口下根据不同的目录存放不同的业务子系统，这种情况根据域名或IP下有多少单独的子系统核算Web业务系统的个数；3)仅依据渗透测试Checklist的测试项开展测试，不涉及逆向分析部分内容。工作方式：渗透测试方式主要为现场扫描与远程扫描。根据客户提供的资产信息，我方进行核对和确认。现场检查是由我方技术人员携带相关的漏洞扫描工具，根据约定的时间到达客户现场，部署漏洞扫描工具，经由客户授权后对指定的资产开展人工渗透、工具扫描等。远程扫描是由技术人员和客户约定时间，经由客户授权后，通过互联网远程对客户指定的资产进行扫描。分析评估对漏洞扫描、基线核查、渗透测试所发现的风险点进行汇总并关联分析，结合用户真实环境，从实战攻防的视角，对攻击者可能的利用方式及攻击路径进行分析解读，评估其可能给用户造成的损失，最后整理分析结果并输出评估报告。加固复测在客户基于《安全脆弱性评估报告》中存在的各项安全漏洞和问题，及时组织技术人员开展安全整改和加固工作，在其加固完成后，我方安服交付团队将组织人员对加固后的效果进行验证，确保各项安全漏洞得到有效加固，保障系统的安全运行。1.1.14服务交付本项服务最终交付物：1、《安全脆弱性评估报告》2、《安全脆弱性评估复测报告》3、《基线核查报告》4、《渗透测试报告》5、《漏洞扫描报告》6、《资产发现报告》（可选）7、《安全防护现状分析报告》（可选）1.1.15服务工具在安全评估工作过程中所用到的工具（包括但不限于）如下表所示：常用安全评估工具表名称功能作用TSS（自研）网站WEB漏洞扫描主机系统漏洞扫描开放的端口扫描开放的服务识别扫描并发现业务系统的WEB漏洞、主机漏洞；输出扫描报告，报告中包含业务系统的基本信息如IP地址、服务类型、漏洞描述、漏洞危害等。NMAP开放的端口扫描开放的服务识别检测服务器开放的端口与服务。GobyDig域名及资产发现搜集工具基础资产收集、互联网信息泄露搜集、指纹识别、业务系统功能收集、接口信息收集。Nslookup北极星（自研）Metasploit漏洞利用、溢出攻击进行漏洞利用、溢出攻击、暴力破解等渗透测试。Kali渗透测试工具集SQLMAPSQL注入渗透测试BurpSuite协议分析Tcpdump协议分析Wireshark协议分析北极星（自研）应用缺陷分析及情报搜集gorailgun（自研）应用缺陷分析四、渗透测试服务进行模拟黑客攻击的渗透测试，从攻防角度出发进行模拟实战的网络攻防测试。（每年四次）利用安全工具并结合个人实战经验使用各种攻击技术对指定的目标进行非破坏性质的模拟黑客攻击和深入的安全测试，发现信息系统隐藏的安全弱点，并根据系统的实际情况，测试安全弱点被攻击者利用的可能性和被利用的影响，了解攻击者可能利用的攻击方法和进入组织信息系统的途径，更直观地了解到当前系统所面临的问题，明确信息系统当前面临的风险，以采取更强有力的保护措施。1.1.16测试服务原则XX服科技渗透测试服务，将遵循下列原则进行实施：保密性原则对项目实施过程获得的数据和结果严格保密，未经授权不泄露给任何单位或个人，不利用获得的数据和结果进行任何侵害客户利益的行为。标准性原则方案设计、实施依据国内、国际以及XX服自身制定的相关标准进行。规范性原则项目实施由专业的高级安全服务工程师和项目经理依照规范的操作流程进行，在实施之前将详细量化出每项工作内容，对操作过程和结果提供规范的记录，以便于项目的跟踪和控制。可控性原则项目实施的方法和过程在双方认可的范围之内，实施进度按照进度表进度的安排，保证项目实施的可控性。最小影响原则项目实施工作尽可能小的影响网络和信息系统的正常运行，不对信息系统的正常运行产生显著影响。1.1.17测试工具在渗透测试工作过程中所用到的测试工具（包括但不限于）如下表所示：类型名称功能作用端口扫描工具TSS（自研）网站WEB漏洞扫描主机系统漏洞扫描开放的端口扫描开放的服务识别扫描并发现业务系统的WEB漏洞、主机漏洞；输出扫描报告，报告中包含业务系统的基本信息如IP地址、服务类型、漏洞描述、漏洞危害等。NMAP开放的端口扫描开放的服务识别检测服务器开放的端口与服务。Goby域名资产分析工具Dig域名及资产发现搜集工具基础资产收集、互联网信息泄露搜集、指纹识别、业务系统功能收集、接口信息收集。Nslookup北极星（自研）渗透工具Metasploit漏洞利用、溢出攻击进行漏洞利用、溢出攻击、暴力破解等渗透测试。Kali渗透测试工具集SQLMAPSQL注入渗透测试BurpSuite协议分析Tcpdump协议分析Wireshark协议分析北极星（自研）应用缺陷分析及情报搜集gorailgun（自研）应用缺陷分析备注：在实施渗透的过程中，XX服安全服务团队会根据业务系统场景的不同，使用符合场景的脚本用于自动化测试。1.1.18服务流程图：渗透测试服务交付流程1)项目启动：XX服指定一名PM负责渗透测试工作的交付工作；2)需求确认：PM与客户核对渗透测试需求，防止需求有偏差，识别客户真实需求偏差；3)制定项目实施方案：PM根据客户的真实需求制定渗透测试实施方案；4)召开项目启动会：PM与客户召开启动会，启动会上详细介绍渗透测试实施方案、实施人员、风险规避、服务范围等信息，输出会议纪要；5)签署保密协议：客户、XX服项目组（PM+渗透测试小组）共同签署保密协议；6)了解风险告知书&签署渗透测试授权函&核实需求和信息收集表：向客户提供风险告知书、告知渗透测试风险，并需要客户配合签署渗透测试授权函，授权函需要盖章或签字。同时PM需要将最终的渗透测试服务范围清单让客户核实并签字；7)渗透测试环境调试+渗透测试：渗透测试服务人员调试渗透测试环境并在运行的时间段内开展渗透测试工作；8)报告评审：PM需要对渗透测试报告的质量负责，PM需要评审测试人员提交的报告；9)提交最终版渗透测试报告&项目汇报：渗透测试报告修正后提交给客户，并向客户汇报渗透测试成果，汇报方式根据实际情况选择；10)接收最终版渗透测试报告：客户接收最终版本的渗透测试报告。11)安排开发厂商整改：客户对本次渗透测试发现的漏洞安排指定的开发厂商限期整改；12)漏洞复测：XX服安排测试人员对开发厂商修改的漏洞进行复测，验证是否修复，并输出渗透测试复测报告；13)报告评审：PM需要对渗透测试复测报告的质量负责，PM需要评审测试人员提交的报告；14)提交渗透测试复测报告：渗透测试复测报告修正后提交给客户；15)接收渗透测试复测报告：客户接受PM提交的渗透测试复测报告；16)服务结束：整个渗透测试项目结束。1.1.19渗透测试服务计划渗透测试范围本次渗透测试按着事先约定的测试范围展开测试工作，测试系统如下所示：表：测试系统信息序号业务系统名称系统类型测试方式是否生产环境URLIP测试账号1XXXXXXXXXXXXXX渗透测试方式测试类型：黑盒测试/白盒测试接入方式：互联网测试/远程接入内网测试/VPN接入内网测试渗透测试环境测试过程中，渗透测试小组使用多个互联网IP地址进行渗透测试工作，地址如下：表：测试IP地址测试IP地址XX.XX.XX.XX在此通知贵单位的相关人员在对受测试的目标站点服务器、相应的网络入侵检测系统进行安全监控和日志分析时，排除以上IP地址产生的任何违规信息，以保证分析结果的准确有效。实施计划表：渗透测试实施计划渗透测试实施计划序号服务大类服务模式服务内容计划开始时间计划结束时间分工服务计划/交付成果1项目准备现场介绍项目工作内容及配合事项风险告知说明及签署安全服务授权函TT+1XX服参会人员：项目经理，及交付人员客户参加人员：项目领导，运维人员，开发人员介绍项目工作内容及配合事项签署风险告知说明书及渗透测试委托授权函/2渗透测试现场服务/远程服务对应用系统模拟黑客攻击进行无害安全性测试，发现系统存在的安全问题，对过程中发现的问题及风险提出安全加固建议。渗透测试除了通用漏洞和常规漏洞以外还可以发现更多贴合业务相关的漏洞如越权访问、支付漏洞、口令找回等业务逻辑漏洞；并且安全专家会针对性给出漏洞验证及利用的过程展示；T+2T+NXX服：由XX服高级安全服务工程师签署渗透测试保密协议函后，现场进行渗透测试，同时远程渗透团队同步进行渗透。客户：签署渗透测试授权函，提供渗透测试的目标和相关信息。《渗透测试复测报告》3结果汇报现场由XX服安服专家对测试结果进行解读分析其脆弱性及风险T+NT+NXX服：对测试结果进行解读分析其脆弱性及风险。客户:根据分析结果对整改。《渗透测试汇报PPT》《渗透测试过程文档》4渗透复测现场服务/远程服务对上述服务中发现的问题进行复测T+NT+N/表：渗透测试排期表渗透测试排期表系统名称测试开始时间测试结束时间测试人员复测人员复测时间XX系统2020/7/122020/7/14XXXXXX修复完成后按需1.1.20渗透测试阶段前期交互阶段PM与客户进行沟通、确定渗透测试的时间、范围、深度、测试方式（黑盒OR白盒、现场OR远程）等问题，并拿到客户签署的渗透测试授权函。情报搜集阶段服务团队在拿到客户授权后开始情报搜集工作，搜集阶段是对目标客户的系统进行一系列踩点工作，包括：基础资产收集、互联网信息泄露搜集、指纹识别、业务系统功能收集、接口信息收集等。1.基础资产收集a)域名子域、IP:PORT、Whois信息、C段&Banner；b)弱文件&后台信息、端口协议的弱口令、右键源码&js内接口信息；c)Fofa语法关联利用（与或非）；d)企业信息（天眼查）。2.指纹识别a)WebServer及中间件识别；b)框架识别；c)CMS识别；d)关联可能的漏洞。3.业务系统功能收集a)目标系统存在的业务功能；b)网页源码中的接口信息；c)页面信息的关键文档（帮助手册）。备注：由于业务系统唯一性，信息收集工作需要依据业务系统的特性进行灵活调整。威胁建模阶段在搜集到充分的情报信息之后，XX服安全服务团队成员对获取的信息进行威胁建模(ThreatModeling)与攻击规划。从大量的信息情报中理清思路，确定出最可行的攻击通道。例如：用户通过浏览器登录web网站，用户就是一个外部实体，面临的威胁包括仿冒和抵赖。存在的威胁如下：1)攻击者仿冒用户登录网站；2)攻击者绕过当前的认证方式，仿冒用户登录；3)攻击者通过中间人窃取用户密码；4)攻击者窃取正常用户的会话，仿冒用户登录web网站。针对威胁的建模如下：1)用户认证登录场景_用户枚举；2)用户认证登录场景_空口令攻击；3)用户认证登录场景_密码可变暴力猜解；4)用户认证登录场景_用户名可变暴力猜解；5)用户认证登录场景_恶意锁定；6)用户认证登录场景_Oauth认证缺陷；7)用户认证登录场景_图形验证码绕过；8)用户认证登录场景_图形验证码可识别；9)用户认证登录场景_认证架构绕过；10)用户认证登录场景_多点认证缺陷；11)用户认证登录场景_明文密码传输；12)用户认证登录场景_参数可预测的单点登录；13)用户认证登录场景_记住密码和密码重置弱点；14)流量分析场景_分析局域网的流量信息得到账号密码；漏洞分析阶段漏洞分析阶段是对威胁建模阶段的初步实践，本阶段需要针对威胁建模阶段总结的测试方法进行一一验证，通过测试总结出可行的测试方法，排除不可行的测试方法。由于客户对业务系统的防护能力不同，本阶段分析得出的漏洞利用方式会有一定的差异，例如：客户的门户网站利用的某CMS进行的搭建，如果客户的CMS版本比较低且没有进行过任何漏洞的修补，可能有N个可利用的高危漏洞，如果客户的CMS版本比较高，且经常进行漏洞修补，可利用的漏洞将可能是0。渗透攻击阶段本阶段是对客户的业务系统进行验证性测试的阶段，利用漏洞分析阶段总结出的可行的漏洞利用方法进行安全测试，测试内容包含表：渗透测试Checklist中所列出的测试项中的适用部分，分析与验证业务系统可能存在的漏洞。报告输出阶段渗透测试工作全部完成后输出《业务系统渗透测试报告》，报告中阐明客户系统中存在的安全隐患以及专业的漏洞风险处置建议。汇报阶段本阶段由XX服安全服务团队向客户汇报本次渗透测试的成果，并现场对客户提出的疑问进行现场答疑。漏洞复测阶段当客户业务系统的漏洞修补完成后可申请一次免费的漏洞复测服务，用于验证业务系统的漏洞修补情况，并向客户提交《业务系统渗透测试复测报告》。测试内容表：渗透测试CheckList测试项测试子项信息泄露Robots.txt泄露敏感信息敏感文件信息泄露过时的、用于备份的或者开发文件残留报错页面敏感信息泄露物理路径泄露明文密码本地保存入侵痕迹残留HTTP头信息泄露目录浏览默认页面泄露存在可访问的管理后台入口存在可访问的管理控制台入口参数溢出任意文件下载信息猜解邮件内容中请求链接可预测数据猜解账号枚举账号密码共用认证信息泄漏传输过程泄漏会话变量泄漏认证信息猜解存在弱口令存在暴力破解认证功能失效存在空口令认证绕过Oauth认证缺陷IP地址伪造认证功能滥用多点认证缺陷会话固定业务逻辑篡改密码修改/重置流程跨越负值反冲正负值反冲业务流程跳跃业务功能失效通配符注入业务功能滥用短信定向转发邮件可定向转发业务接口调用缺陷IMAP/SMTP注入引用第三方不可控的脚本/URL开启危险接口未验证的URL跳转服务端请求伪造（SSRF）短信内容可控邮件内容可控请求重放攻击批量提交防护功能失效账号弱锁定机制图形验证码可自动获取图形验证码可绕过短信验证码可绕过短信验证码可暴力破解参数覆盖关键逻辑判断前端验证防护功能缺失Cookie属性问题会话重用会话失效时间过长防护功能滥用恶意锁定问题短信炸弹邮件炸弹权限缺失Flash跨域访问Jsonp跨域请求未授权访问权限篡改任意用户密码修改/重置SSO认证缺陷越权Cookies伪造会话变量可控跨站请求伪造（CSRF）综合利用跨站脚本攻击（XSS）FLASH跨站脚本攻击HTTP响应分割HTTP参数污染Host头攻击SQL注入NoSQL注入LDAP注入XML注入XXEXPATH注