網(wǎng)絡(luò)云安全防護(hù)服務(wù)方案一、安全服務(wù)內(nèi)容（1）網(wǎng)站云安全防護(hù)服務(wù)技術(shù)指標(biāo)指標(biāo)要求期限及頻率一年7*24小時(shí)服務(wù)范圍指定互聯(lián)網(wǎng)web站點(diǎn)。服務(wù)平臺(tái)要求1、擁有云防護(hù)節(jié)點(diǎn)，提供該些區(qū)域的節(jié)點(diǎn)地址與截圖證明；2、網(wǎng)站云安全防御服務(wù)平臺(tái)需通過檢測并獲得國家計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品銷售許可證，提供證書復(fù)印件；3、網(wǎng)站云安全防御服務(wù)平臺(tái)必須通過信息系統(tǒng)安全等級(jí)保護(hù)三級(jí)備案證明，提供備案證明復(fù)印件并加蓋原廠公章。部署方式1、無需在網(wǎng)站前端安裝任何安全設(shè)備、軟件，通過DNS流量指向到云端進(jìn)行安全防護(hù)。2、支持將防護(hù)網(wǎng)站NS解析到云防護(hù)DNS服務(wù)器，支持將防護(hù)網(wǎng)站CNAME別名指向云防護(hù)。云防御服務(wù)1、DDOS畸形報(bào)文過濾,過濾fragflood、smurf、streamflood、landflood、攻擊ip畸形包、tcp畸形包、udp畸形包。2、傳輸層DDoS攻擊防護(hù)，過濾synflood、ackflood、udpflood、icmpflood、rstflood。3、連接型DDoS攻擊防護(hù)，過濾TCP慢速連接攻擊、連接耗盡攻擊、tcp新建連接限制等攻擊和loic、hoic、slowloris、Pyloris、xoic等慢速攻擊。4、特征過濾，4層ip+port過濾和7層payload部分內(nèi)容過濾。5、支持檢查提交的報(bào)文是否符合HTTP協(xié)議框架，如異常的請求方法、特殊字符、重點(diǎn)字段的缺失、超長報(bào)文造成的溢出攻擊以及對高危文件的訪問等。6、支持識(shí)別惡意請求含：跨站腳本(XSS)、注入式攻擊（包括SQL注入、命令注入、Cookie注入等）、跨站請求偽造等應(yīng)用攻擊行為。7、支持識(shí)別服務(wù)端響應(yīng)內(nèi)容導(dǎo)致的缺陷：敏感信息泄露、已有的網(wǎng)頁后門、錯(cuò)誤配置、目錄瀏覽等缺陷。8、支持基于訪問行為特征進(jìn)行分析，能識(shí)別盜鏈、爬蟲攻擊的能力。9、支持識(shí)別網(wǎng)站中的網(wǎng)頁木馬程序，通過策略可防止木馬網(wǎng)頁被用戶訪問。10、支持對用戶上傳的文件后綴名和文件內(nèi)容進(jìn)行全方面檢查，杜絕Webshell的上傳和訪問。11、支持對WEB服務(wù)器容器、應(yīng)用中間件、CMS系統(tǒng)等第三方組件漏洞進(jìn)行有效防護(hù)。12、支持智能識(shí)別攻擊者，對網(wǎng)站連接發(fā)起攻擊的IP地址進(jìn)行自動(dòng)鎖定禁止訪問被攻擊的網(wǎng)站。13、支持一鍵虛擬補(bǔ)丁功能，網(wǎng)站出現(xiàn)0day漏洞時(shí)能快速完成修復(fù)。14、支持永久在線功能，當(dāng)網(wǎng)站因?yàn)榉?wù)器故障、線路故障、電源等問題出現(xiàn)無法連接時(shí)，可顯示云防護(hù)中的緩存頁面。當(dāng)在敏感期或特殊時(shí)期時(shí)，用戶網(wǎng)站主動(dòng)關(guān)閉期間可顯示云防護(hù)中的緩存頁面。15、支持網(wǎng)站關(guān)停功能，當(dāng)網(wǎng)站出現(xiàn)緊急安全事件時(shí)，可一鍵快速完成關(guān)停，防止產(chǎn)生惡劣影響，提供功能截圖并加蓋原廠公章。安全審計(jì)1、能詳細(xì)記錄攻擊事件的HTTP請求頭信息，含請求的URL、UserAgent、POST內(nèi)容，cookie等所有的請求頭內(nèi)容。2、能詳細(xì)記錄服務(wù)器響應(yīng)頭信息，包括狀態(tài)碼、服務(wù)器類型等信息。報(bào)表1、可查看安全防護(hù)報(bào)告，包含攻擊流量、攻擊者區(qū)域統(tǒng)計(jì)、攻擊者IP統(tǒng)計(jì)、被攻擊頁面統(tǒng)計(jì)、被攻擊域名統(tǒng)計(jì)、攻擊事件統(tǒng)計(jì)、攻擊威脅等級(jí)統(tǒng)計(jì)等報(bào)告。2、可查看網(wǎng)站訪問報(bào)告，包含訪問流量、訪問區(qū)域統(tǒng)計(jì)、訪問源IP統(tǒng)計(jì)、訪問頁面排行、訪問終端、死鏈、靜態(tài)資源等統(tǒng)計(jì)報(bào)告。3、可查看服務(wù)質(zhì)量監(jiān)測報(bào)告，包含全國各省監(jiān)測節(jié)點(diǎn)可用性分析、線路故障、CDN命中分析、首頁加載時(shí)長分析、網(wǎng)站更新頻率分析等。4、支持日報(bào)、月報(bào)，并支持html、pdf格式導(dǎo)出。5、可查看安全防護(hù)報(bào)告，包含攻擊流量、攻擊者區(qū)域統(tǒng)計(jì)、攻擊者IP統(tǒng)計(jì)、被攻擊頁面統(tǒng)計(jì)、被攻擊域名統(tǒng)計(jì)、攻擊事件統(tǒng)計(jì)、攻擊威脅等級(jí)統(tǒng)計(jì)等報(bào)告?？梢暬宫F(xiàn)1、可視化頁面需要可以投放到大屏幕，分辨率不低于1400*900；2、整體網(wǎng)站群漏洞和可用性實(shí)時(shí)監(jiān)測，包括站點(diǎn)服務(wù)質(zhì)量監(jiān)測、安全事件監(jiān)測、高危端口監(jiān)測、存在高中危漏洞網(wǎng)站等可視化數(shù)據(jù)展示與挖掘；3、整體網(wǎng)站群攻擊態(tài)勢可視化分析，包括訪問與攻擊流量趨勢、CC攻擊趨勢、受攻擊網(wǎng)站趨勢、攻擊IP排行、網(wǎng)站訪問排行等、攻擊區(qū)域熱點(diǎn)展示與挖掘；4、單個(gè)網(wǎng)站可視化分析，包括訪問流量、訪問區(qū)域熱點(diǎn)展示、訪問與攻擊源實(shí)時(shí)分析、訪問源IP排行、攻擊趨勢、攻擊區(qū)域分布、攻擊類型、攻擊時(shí)段、攻擊源IP排行等數(shù)據(jù)展示與挖掘。手機(jī)APP管理通過手機(jī)APP查看網(wǎng)站整體態(tài)勢數(shù)據(jù)，包含網(wǎng)站漏洞監(jiān)測、可用性監(jiān)測、攻擊防御狀態(tài)、防護(hù)報(bào)表等狀態(tài)信息。告警方式根據(jù)不同告警級(jí)別發(fā)送郵件、短信、電話等多種告警方式。（2）安全通告服務(wù)技術(shù)指標(biāo)指標(biāo)要求期限及頻率1年12次服務(wù)范圍服務(wù)內(nèi)容提供最新病毒、行業(yè)資訊，安全主管部門通告及其解決方法信息、最新系統(tǒng)漏洞信息及其修補(bǔ)方法、最新發(fā)生的安全事件等安全通告報(bào)告。主要內(nèi)容包括：1、系統(tǒng)漏洞信息：將一段時(shí)期內(nèi)，各操作系統(tǒng)、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)設(shè)備等的最新安全漏洞進(jìn)行通告，包括漏洞威脅、影響平臺(tái)及修補(bǔ)方法等。2、病毒信息：將一段時(shí)期內(nèi)，最具威脅性的病毒信息進(jìn)行通告，包括病毒危害、感染原理及防護(hù)措施等。3、安全預(yù)警：一旦出現(xiàn)將可能造成大規(guī)模網(wǎng)絡(luò)攻擊事件的安全漏洞或病毒木馬，進(jìn)行及時(shí)的安全預(yù)警，積極進(jìn)行補(bǔ)丁修復(fù)和安全防護(hù)。4、信息安全事件：將一段時(shí)期內(nèi)，相關(guān)信息安全事件進(jìn)行通告，避免客戶信息系統(tǒng)遭遇同樣安全攻擊事件，造成嚴(yán)重?fù)p失。5、安全技術(shù)研究：專業(yè)信息安全團(tuán)隊(duì)對最新安全技術(shù)進(jìn)行深入研究，包括信息系統(tǒng)漏洞挖掘、風(fēng)險(xiǎn)分析以及安全防護(hù)技術(shù)。交付物《信息安全通告》（3）漏洞掃描及滲透測試服務(wù)技術(shù)指標(biāo)指標(biāo)要求期限及頻率1次服務(wù)范圍指定主機(jī)和應(yīng)用系統(tǒng)服務(wù)內(nèi)容準(zhǔn)對主機(jī)層，采用業(yè)界認(rèn)可的、專業(yè)的掃描工具，通過定制的掃描規(guī)則，形成安全掃描策略文檔，對指定主機(jī)進(jìn)行一次全面的自動(dòng)化安全掃描，人工驗(yàn)證掃描結(jié)果，并輸出安全掃描報(bào)告及修復(fù)建議。針對應(yīng)用系統(tǒng)層，通過真實(shí)模擬黑客使用的工具、分析方法來對網(wǎng)站進(jìn)行模擬攻擊，并結(jié)合智能工具掃描結(jié)果，由高級(jí)工程師進(jìn)行深入的手工測試和分析，識(shí)別工具弱點(diǎn)掃描無法發(fā)現(xiàn)的問題。主要分析內(nèi)容包括邏輯缺陷、上傳繞過、輸入輸出校驗(yàn)繞過、數(shù)據(jù)篡改、功能繞過、異常錯(cuò)誤等以及其他專項(xiàng)內(nèi)容測試與分析，重點(diǎn)發(fā)現(xiàn)網(wǎng)站應(yīng)用層業(yè)務(wù)流程和邏輯上的安全漏洞和敏感信息泄露的風(fēng)險(xiǎn)，輸出滲透測試報(bào)告。輸出物包括但不限于《系統(tǒng)漏洞掃描及修復(fù)建議報(bào)告》、《滲透測試報(bào)告》工具要求須提供自主研發(fā)的專業(yè)WEB應(yīng)用弱點(diǎn)掃描工具。WEB應(yīng)用弱點(diǎn)掃描工具1、產(chǎn)品廠家應(yīng)為《信息安全技術(shù)Web應(yīng)用安全掃描產(chǎn)品安全技術(shù)要求》標(biāo)準(zhǔn)起草單位，提供相關(guān)證明并加蓋公章；2、產(chǎn)品應(yīng)通過國家信息安全測評(píng)信息技術(shù)產(chǎn)品安全測評(píng)證書EAL3+級(jí)別，提供證書復(fù)印件并加蓋公章；3、產(chǎn)品獲得IT產(chǎn)品信息安全認(rèn)證證書，提供證書復(fù)印件并加蓋公章；4、支持對各種掛馬方式的網(wǎng)頁木馬進(jìn)行全自動(dòng)、高性能、智能化分析，并對網(wǎng)頁木馬傳播的病毒類型做出準(zhǔn)確剖析和網(wǎng)頁木馬宿主做出精確定位；5、支持常見的WEB應(yīng)用弱點(diǎn)檢測，支持OWASPTOP10等主流安全漏洞；支持指紋識(shí)別、暴力猜解、Webshell、暗鏈掃描；6、支持指紋識(shí)別、暴力猜解、Webshell、暗鏈掃描；7、支持自動(dòng)化漏洞驗(yàn)證和沙盒技術(shù)，對目標(biāo)應(yīng)用進(jìn)行深入安全分析，取得系統(tǒng)安全威脅的直接證據(jù)。8、提供不少于4個(gè)等級(jí)保護(hù)測評(píng)機(jī)構(gòu)使用案例，提供合同復(fù)印件。（4）應(yīng)急響應(yīng)技術(shù)指標(biāo)指標(biāo)要求期限及頻率1次服務(wù)范圍指定信息系統(tǒng)服務(wù)內(nèi)容服務(wù)期內(nèi)，通過遠(yuǎn)程和現(xiàn)場支持的形式協(xié)助客戶對遇到的突發(fā)性安全事件進(jìn)行緊急分析和處理。服務(wù)要求當(dāng)出現(xiàn)安全事件時(shí)，必須及時(shí)進(jìn)行響應(yīng)，具體要求包括：1、技術(shù)人員必須在2小時(shí)內(nèi)到達(dá)現(xiàn)場；2、對入侵事件進(jìn)行分析，查找原因；3、抑制入侵事件的進(jìn)一步發(fā)展，將事故的損害降低到最小化；4、排除安全隱患，消除安全威脅，協(xié)助恢復(fù)系統(tǒng)正常運(yùn)作；5、提交應(yīng)急響應(yīng)報(bào)告及系統(tǒng)安全改進(jìn)方案。輸出物包括但不限于《安全事件應(yīng)急響應(yīng)報(bào)告》工具要求須提供自主研發(fā)的應(yīng)急處置工具箱1、任務(wù)管理（1）支持從應(yīng)急處置管理平臺(tái)下發(fā)處置任務(wù)，也可以新建應(yīng)急處置任務(wù)；（2）處置任務(wù)的內(nèi)容應(yīng)包括事件描述、事件類型、事件級(jí)別、事發(fā)時(shí)間、事發(fā)單位、單位聯(lián)系人、單位聯(lián)系人電話、系統(tǒng)名稱、保護(hù)等級(jí)、處置人員、資產(chǎn)信息等。2、訪談?dòng)涗洠?）根據(jù)事件的級(jí)別，詢問調(diào)查表分為簡表和完整表，簡表針對一般事件，完整表針對重大事件；（2）支持對情況記錄表單進(jìn)行編輯、導(dǎo)入、導(dǎo)出、打??；（3）支持處置過程訪談?dòng)涗浀纳蟼?、下載、刪除。3、攻擊發(fā)現(xiàn)（1）支持將漏洞驗(yàn)證工具檢測結(jié)果與資產(chǎn)進(jìn)行關(guān)聯(lián)，并在工具箱上查看相應(yīng)的掃描結(jié)果；（2）支持?jǐn)?shù)據(jù)庫漏洞檢測、系統(tǒng)漏洞檢測、網(wǎng)站漏洞檢測、病毒檢測、木馬檢測；（3）支持一鍵導(dǎo)入功能，將驗(yàn)證工具集檢測結(jié)果自動(dòng)導(dǎo)入到工具箱；（4）支持手動(dòng)導(dǎo)入工具檢測結(jié)果到工具箱及關(guān)聯(lián)任務(wù)驗(yàn)證對象。4、關(guān)聯(lián)分析（1）日志取證模塊采用只讀鎖的方式提取保證現(xiàn)場主機(jī)證據(jù)不會(huì)被破壞；（2）日志提取應(yīng)包括操作系統(tǒng)日志、中間件日志及相關(guān)網(wǎng)站后臺(tái)操作日志；（3）支持在線取證；（4）能夠?qū)﹂_啟的主機(jī)的內(nèi)存、硬盤進(jìn)行證據(jù)固定，支持DD、E01、aff的鏡像格式；（5）能夠?qū)﹂_啟的主機(jī)直接進(jìn)行安全事件取證；（6）支持離線取證；（7）能夠?qū)﹃P(guān)閉的主機(jī)的硬盤進(jìn)行證據(jù)固定，支持DD的鏡像格式；（8）能夠?qū)﹃P(guān)閉的主機(jī)直接進(jìn)行安全事件取證；（9）取證設(shè)備對象支持存儲(chǔ)設(shè)備、邊界設(shè)備、主機(jī)/服務(wù)器；5、事件處置（1）支持對應(yīng)急處置進(jìn)行結(jié)果定性（2）支持存在的漏洞、事件發(fā)生過程、事件發(fā)生的原因、事件處置及結(jié)果的填寫6、處置報(bào)告（1）支持手動(dòng)導(dǎo)入工具檢測結(jié)果到工具箱及關(guān)聯(lián)任務(wù)驗(yàn)證對象（2）資產(chǎn)安全漏洞應(yīng)包含網(wǎng)站安全漏洞、網(wǎng)站惡意代碼、sql注入驗(yàn)證、操作系統(tǒng)及應(yīng)用軟件漏洞、數(shù)據(jù)庫安全漏洞等安全風(fēng)險(xiǎn)（3）應(yīng)急處置情況應(yīng)包含事件發(fā)生的過程、發(fā)生的原因及分析、事件如何處置及處置結(jié)果（4）支持生成不同類型的應(yīng)急處置報(bào)告7、知識(shí)庫（1）知識(shí)庫內(nèi)容包含各種操作系統(tǒng)常用命令，如windows系統(tǒng)、linux系統(tǒng)；（2）知識(shí)庫內(nèi)容包含提權(quán)常用命令；（3）知識(shí)庫內(nèi)容包含各種sql注入點(diǎn)；（4）知識(shí)庫內(nèi)容包含多種常見、高危漏洞的描述及原理。二、安全服務(wù)要求（一）質(zhì)量保證措施及服務(wù)承諾1、提供7*24小時(shí)的技術(shù)支持（包括電話咨詢與現(xiàn)場服務(wù)）。2、在接到電話后，必須在30分鐘內(nèi)響應(yīng)，2個(gè)小時(shí)內(nèi)必須到達(dá)現(xiàn)場，如無法解決，按合總同價(jià)的1％/次作為賠償，扣除合同余款。3、每次對系統(tǒng)進(jìn)行掃描、滲透測試之前必須要先提供相應(yīng)的技術(shù)方案與業(yè)主方技術(shù)人員充分溝通，以確保系統(tǒng)的安全運(yùn)行。4、進(jìn)行任何滲透測試，需要在業(yè)主方許可的時(shí)間、環(huán)境下由經(jīng)驗(yàn)豐富的專業(yè)技術(shù)人員進(jìn)行。5、實(shí)施過程中應(yīng)盡可能小的影響系統(tǒng)和網(wǎng)絡(luò)的正常運(yùn)行，做好備份和應(yīng)急措施，不能對應(yīng)用系統(tǒng)的正常運(yùn)行產(chǎn)生影響，包括系統(tǒng)性能明顯下降、網(wǎng)絡(luò)擁塞、服務(wù)中斷等，如無法避免出現(xiàn)這些情況應(yīng)先停止項(xiàng)目實(shí)施，并向業(yè)主方書面詳細(xì)描述。6、投標(biāo)供應(yīng)商所使用的信息安全類工具軟件（包括云安全防護(hù)平臺(tái)、WEB應(yīng)用弱點(diǎn)掃描工具、數(shù)據(jù)庫掃描工具、應(yīng)急處置工具箱等）必須為正版產(chǎn)品，具有銷售許可證書，并進(jìn)行詳細(xì)說明。