安全管理制度完善方案1、總則安全管理體系建設完善服務根據信息安全相關標準、行業最佳實踐和行業監管要求，結合深圳免稅集團原有信息安全管理體系自身特點，制定出信息安全和管理架構成熟度改善計劃。所設計的信息安全架構應整合現有的安全措施，并滿足未來安全建設發展的需要。2、現有安全管理分析我司安全管理體系建設團隊全面分析目前深圳免稅信息系統的安全現狀，深入挖掘各種安全風險，科學分析當前現狀和國際、國家及行業安全目標之間的差距，并以此促進未來的信息安全規劃，構建動態、完整、高效的信息安全保障體系，逐步形成持續完善、自我優化的安全運維體系和管理體系。確定安全方針和目標，匯總現有制度體系，分析各項差異性，設計適合的信息科技風險狀況、技術水平以及管理體系，并輔助實施，從根本上提信息系統的整體安全能力，為保證業務的健康發展和提升核心競爭力提供堅實的基礎保障。3、信息安全管理體系建設我司提供信息安全管理體系建設包括但不限于以下內容：（1）制定安全策略，并根據策略完善相關制度體系；（2）建立信息安全管理體系（ISMS），提升總體安全管理水平；（3）信息安全體系必須符合國家、行業相關規定和指引，并結合IS27000體系文件，實現ISMS落地實施；（4）建立安全運維管理體系；（5）結合信息安全整體規劃進行實施；（6）結合安全域劃分進行實施；（7）結合網絡安全法、等級保護、數據安全法、個人信息保護法等相關法律法規進行實施。4、服務方式我司將按照深圳免稅集團的要求按遠程+現場方式提供安全管理制度服務：現場服務現場查看體系文件、現場進行策略分析、現場評審等。進行調研、評審等工作遠程服務通過電話、郵件、即時通訊工具，提供體系咨詢服務。完成方案需求分析、審閱等。完成加固方案的審核、疑難問題的解答等。專家訪談----由資深測評人員通過電話遠程同方案設計者進行深層次的業務安全需求交流。專家評議----組織行業專家進行集體會診評議。應急保障方案總則a、目的為了規范深圳免稅集團應急響應工作內容和工作流程，提高自身的應急響應能力，完善應急響應機制，確保信息系統的安全和業務的連續性。b、基本原則a)堅持預防為主提高本單位的信息安全防護意識和水平，加強信息系統安全體系建設，按照信息系統建設運行的特點和規律積極做好日常安全工作，開展安全教育和培訓工作，建立完善的安全管理、監督和審查制度，提高各系統應對突發信息安全事件的能力。b)提高快速反應能力建立信息安全預警和事件快速反應機制，建立高效的事件匯報渠道，強化人力、物力、財力儲備，增強應急處理能力。保證對信息安全事件做到早發現、早報告、早處理、早恢復等環節的緊密銜接，一旦出現影響信息系統的安全事件，快速反應，及時準確處置。c)加強安全監管在網絡安全監控系統的基礎上，建立完善的信息系統安全監控和管理機制，對業務系統的網絡狀況進行持續和重點監控，及時發現信息安全隱患和事件跡象，進行安全預警并采取針對性的應對措施。d)責任到人、制度保障堅持統一領導、分工負責、及時預警、協作配合、快速處理、確?；謴偷脑瓌t。明確信息安全應急響應工作的角色和職責，保證各項工作責任到人，建立應急響應各項工作的處理流程，實現應急響應工作的規范化、制度化和流程化。c、適用范圍本預案適用于本單位信息安全事件的應急響應工作。d、相關專項預案

WEBSHELL應急處置預案

釣魚郵件應急處置預案

等其他專項應急處置預案e、發布與生效應急預案(根據實際情況)組織及分工a、網絡與信息安全領導小組組長：副組長：成員：領導小組在應急響應工作中的主要職責：a)負責審核和批準【單位名稱】網絡與信息安全應急響應總體規劃、重大網絡與信息安全事件報告；b)負責統籌規劃【單位名稱】網絡與信息安全應急基礎設施建設；c)對重大網絡與信息安全事件的應急響應工作進行宏觀決策和應急指揮；d)協調重大網絡與信息安全事件的調查處理；e)必要時接受專家顧問組的咨詢服務。b、網絡與信息安全管理小組組長：副組長：成員：管理小組在應急響應工作中的主要職責：a)組建并調整應急響應工作組；b)定期組織網絡與信息系統的風險評估和整改；c)組織制訂應急響應相關預案并定期演練；d)編制重大網絡與信息安全事件報告；e)組織各項應急準備工作；f)組織對本系統發生的重大網絡與信息安全事件的調查、通報工作；g)組織和協調各種應急資源；h)管理本系統范圍內的應急響應工作；i)與跨部門應急協調機構進行溝通。c、應急響應工作小組應急響應工作組由綜合工作小組、業務響應工作小組和技術響應工作小組組成，負責信息安全事件的應急響應具體工作，應急響應工作組成員主要包括：綜合工作小組：組長：成員：綜合工作小組主要職責：a)負責應急行動的后勤供應，包括車輛安排、人員食宿安排等；b)負責應急響應工作中的會議組織、資金保障和飲食、設備等物資供應c)負責通信聯絡和信息的發布工作；d)負責組織保安、保衛工作；e)負責技術工作小組和業務工作小組之間的協調工作；f)負責向網絡與信息安全領導小組及信安辦匯報事件處理進展情況；g)向小組成員傳達上級領導指示精神。業務響應工作小組：組長：成員：業務響應工作小組主要職責：a)參與應急響應處理決策過程，從業務方面考慮，為處理提供建議；b)根據應急響應工作的需要，依據相應的專項預案，調整業務安排；c)根據應急響應工作的需要，根據相應的專項預案，組織小組實施業務的中斷與恢復；d)在應急響應工作完成后，編寫應急響應業務工作報告。技術響應工作小組：組長：成員：技術響應工作小組主要職責：a)參與應急響應處理決策過程，從技術方面考慮，為處理提供建議；b)根據應急響應工作的需要，依據相應的專項預案，組織小組施行技術作業；c)負責向網絡與信息安全領導小組及信安辦匯報事件技術處理進展情況；d)對于涉及到業務的調整、中斷和恢復的技術作業，負責與業務小組進行溝通；e)在應急響應工作完成后，編寫應急響應技術工作報告，對系統對預案提出整改意見。應急預案基本流程任何一個應急預案都必須首先在做好響應前準備階段工作的基礎上，沒有充分的準備，應急工作則無從談起?？傮w的應急預案的基本流程主要由：準備階段監測及事件分析階段事件處理階段結束響應階段總結及預警階段這樣幾個階段組成a、準備階段包括了人員、組織的準備以及技術的準備，技術準備主要是要建立監控管理的技術體系和平臺（包括各類SIEM、全流量設備、態勢感知、HIDS、EDR等設備），為事件發生后的技術分析，及時的通告和響應等提供條件和保障。同時，盡可能地在事前做好相應的安全防范工作，準備好進行應急處理的技術工具等內容。b、監測及事件分析階段監測人員通過手動監測方式以及在準備階段建設好的安全運行管理中心的監測方式，監測是否有異?，F象的發生；當發生異常情況時，并根據異常的性質與影響，決定是否向相關人員進行報告。上報方式除了通常的電話外，還可以利用安全運行管理中心平臺中的告警機制，根據告警級別的不同，通過工單、郵件、短信的方式上報和通知到相關人員。上報到應急響應管理小組后，對異常情況進行分析，判斷是否事件類型，識別攻擊的性質以及攻擊強度，同時根據事件影響決定是否報告網絡與信息安全領導小組；在必要的時候，向公安機關報案以獲得幫助；c、事件處理階段根據事件的不同，采取不同的處理方案，啟用相應的專題應急預案，對于常見的、主要的事件類型，需制定《XXX安全事件專題應急處理預案》。該階段中的技術處理主要為抑制事件的影響，并進行根除。d、結束響應階段網絡與信息安全工作小組根據之前判斷的攻擊信息，采取必要的技術手段控制攻擊行為、恢復系統服務并對攻擊的來源進行追蹤；必要時向公安機關通報相關信息，對攻擊者進行溯源分析。e、總結匯報階段當攻擊事件結束后，系統恢復正常，由網絡與信息安全管理小組對整個事件進行總結分析，向網絡與信息安全領導小組進行匯報；網絡與信息安全領導小組組織相關人員就本次事件總結經驗教訓，同時從中總結預警方案和內容，一方面進一步改進和完善應急響應體系，另一方面在安全運行管理平臺上，適時發布總結后的預警信息，從而逐漸完善信息安全的整體安全保障能力。保障措施a、演練及維護

原則上每年組織一次應急演練，以提高處理應急事件的能力，檢驗應急預案的合理性、應急保障隊伍和所有相關人員的專業素質以及管理組織的有效性。應急響應演練按如下步驟進行：a)由網絡與信息安全領導小組確定應急響應演練的目標和應急響應演練的范圍；b)制定應急響應演練的方案；c)調配應急響應演練所需的各項資源，并協調應急響應演練過程中涉及的部門和單位；d)對應急演練進行評估，并向領導小組報告演練結果；e)網絡與信息安全領導小組總結經驗，根據演練結果對應急總體預案以及專題預案進行更新，并對應急工作整改。b、制度保障應急保障工作必須配備相應組織，建立值班機制，設立安全運營中心，使事件發生后在最快的時間內就能夠有響應。同時，圍繞安全運營，需建立一套較為完善的制度，以保障應急工作的開展。c、經費保障信息安全領導小組應根據需要每年預算必要的專項應急經費，用于預案、演練、增補必要的安全設備，及建立必要的應急保障措施等。d、工具與設備應急保障相關人員應當配備應急預案中涉及的相關工具、軟件，確保工具軟件的來源，并能夠正常使用，以保證應急預案的正常實施。同時，從長遠角度考慮，應當建立一個面向應急、利于應急的技術平臺，這是應急保障的重要內容。因此，在應急保障的工具與設備方面，應當配備以下內容：a)基礎平臺：利于自動監測、快速定位、詳細還原事件全流量存儲與查詢平臺基于威脅情報的威脅感知平臺HIDS日志平臺b)備機：快速抑制事件、恢復業務關鍵設備的備機：包括防火墻、網絡設備、主機?？笵DOS攻擊的設備。c)補充安全設備快速根除事件，進行強制性安全防御終端安全管理系統：可以強制分發和安裝必要的安全補丁，強制安裝個人防火墻，利于防御木馬攻擊。專題預案示例：WEBSHELL應急處置預案a、監測及事件分析階段a)安全運營人員，針對態勢感知、WAF、全流量設備、HIDS等可以發現Webshell的設備進行監測分析，對安全設備產生的高級進行運營分析，確認攻擊是否成功；一旦發現攻擊成功事件，則進入事件處理階段。b)系統管理員、業務人員、用戶通過400等途徑反饋系統存在異常。b、事件處理階段a)立即停止目標服務器的WEB訪問權限，并下線隔離；b)對WEB應用系統環境（應用目錄、數據庫、訪問日志）進行備份，便于進一步的調查取證和后續處理；c)使用工具和技術手段對木馬文件、后門程序進行掃描檢測，將檢測發現的后門文件徹底刪除；d)根據在檢測階段的初步分析結果采取相應的加固措施：e)如果檢測的結果顯示是WEB應用弱口令導致被上傳木馬、后門：i.修改所有管理員口令，使其符合密碼復雜度策略：至少包含大寫字母集、小寫字母集、數字集和特殊字符其中的三種；ii.檢測后臺登錄功能，若沒有防暴力破解機制，聯系開發商加入防暴力破解機制（包括但不限于圖形驗證碼、密碼錯誤賬號鎖定等）iii.如果檢測的結果顯示是因為中間件漏洞（如IIS、Weblogic、Apache等）導致被上傳木馬、后門：A.修復中間件安全漏洞；B.對漏洞進行復核，確認漏洞修復。f)如果檢測的結果顯示是因為WEB應用安全漏洞（如上傳漏洞、邏輯漏洞等）導致被上傳木馬、后門：i.對WEB應用進行滲透測試/代碼審計，確定安全漏洞的涉及范圍；ii.聯系開發商修復WEB應用安全漏洞；iii.在測試環境部署修復完成的應用，進行滲透測試/代碼審計復核，確認漏洞修復。g)如果檢測的結果顯示是因為系統（容器、中間價、組件）漏洞導致被上傳木馬、后門：i.對系統漏洞進行更新補??；ii.使用殺毒軟件對操作系統進行木馬病毒查殺；iii.在防火墻上限制WEB應用對外訪問端口。h)如果檢測發現防火墻、WEB安全防護設備安全策略設置不嚴謹：i.安裝WEB安全防護軟件；ii.對安全設備策略進行調整和加固；iii.安排專人對WEB安全防護設備的日志和告警信息進行查看分析及處置。i)影響面分析：溯源攻擊者在當前主機上的操作記錄，從主機日志、全流量設備中檢索是否被作為跳板對其他機器進行橫向攻擊。c、結束響應階段a)恢復WEB應用對外提供服務；b)對于無法在原WEB應用系統上進行徹底修復的，可通過重新部署、升級或更換操作系統，升級中間件，更新后臺管理系統等方式進行重建；c)完成重建后的WEB應用初始化安全策略的恢復；d)驗證重建后的WEB應用的配置與原系統一致；e)對恢復后的WEB應用安全狀態進行實時監控，確保安全隱患已經消除，同時觀察應急處理是否引入新的安全問題；f)轉入常態運維管理狀態。d、總結匯報階段a)在內部召開應急處理總結會議，對WEB應用掛馬、后門事件處理過程、分析原因和結果進行匯報；b)及時向安全事件相關方發布通告，并根據事件處置情況做好后續發布工作；c)編制WEB應用安全事件的應急處理報告，針對事件產生原因制定針對性的安全改進措施；d)對本次應急處理的處理方法進行歸檔，作為知識庫進行留存并保管。附件1網絡安全事件分類網絡安全事件分為有害程序事件、網絡攻擊事件、信息破壞事件、信息內容安全事件、設備設施故障、災害性事件和其他網絡安全事件等。1)有害程序事件分為計算機病毒事件、蠕蟲事件、特洛伊木馬事件、僵尸網絡事件、混合程序攻擊事件、網頁內嵌惡意代碼事件和其他有害程序事件。2)網絡攻擊事件分為拒絕服務攻擊事件、后門攻擊事件、漏洞攻擊事件、網絡掃描竊聽事件、網絡釣魚事件、干擾事件和其他網絡攻擊事件。3)信息破壞事件分為信息篡改事件、信息假冒事件、信息泄露事件、信息竊取事件、信息丟失事件和其他信息破壞事件。4)信息內容安全事件是指通過網絡傳播法律法規禁止信息，組織非法串聯、煽動集會游行或炒作敏感問題并危害國家安全、社會穩定和公眾利益的事件。5)設備設施故障分為軟硬件自身故障、外圍保障設施故障、人為破壞事故和其他設備設施故障。6)災害性事件是指由自然災害等其他突發事件導致的網絡安全事件。7)其他事件是指不能歸為以上分類的網絡安全事件。附件2應急響應處置過程記錄單應急響應處置過程記錄單發生時間部門聯系人電話涉及網站或業務系統名稱及用途涉及網絡及資產事件基本分類□

漏洞掃描事件□

內部網絡攻擊事件□

系統弱口令爆破事件□

WebShell上傳事件□

跳板代理攻擊事件事件級別□一級□二級□三級□四級事件子類事件現象事件影響范圍事件發生原因初步判定事件上報流程記錄時間：

上報人：

上報對象：

上報內容：各方到達現場時間及操作單位：

到場時間：

操作人員：

現場操作：

當前采取的處置應對措施后續安全措施和建議附件3網絡和信息系統損失程度劃分說明網絡和信息系統損失是指由于網絡安全事件對系統的軟硬件、功能及數據的破壞，導致系統業務中斷，從而給事發組織所造成的損失，其大小主要考慮恢復系統正常運行和消除安全事件負面影響所需付出的代價，劃分為特別嚴重的系統損失、嚴重的系統損失、較大的系統損失和較小的系統損失，說明如下：a)特別嚴重的系統損失：造成系統大面積癱瘓，使其喪失業務處理能力，或系統關鍵數據的保密性、完整性、可用性遭到嚴重破壞，恢復系統正常運行和消除安全事件負面影響所需付出的代價十分巨大，對于事發組織是不可承受的；b)嚴重的系統損失：造成系統長時間中斷或局部癱瘓，使其業務處理能力受到極大影響，或系統關鍵數據的保密性、完整性、可用性遭到破壞，恢復系統正常運行和消除安全事件負面影響所需付出的代價巨大，但對于事發組織是可承受的；c)較大的系統損失：造成系統中斷，明顯影響系統效率，使重要信息系統或一般信息系統業務處理能力受到影響，或系統重要數據的保密性、完整性、可用性遭到破壞，恢復系統正常運行和消除安全事件負面影響所需付出的代價較大，但對于事發組織是完全可以承受的；d)較小的系統損失：造成系統短暫中斷，影響系統效率，使系統業務處理能力受到影響，或系統重要數據的保密性、完整性、可用性遭到影響，恢復系統正常運行和消除安全事件負面影響所需付出的代價較小。附件4應急響應處置總結報告應急響應處置總結報告報告時間部門填報人電話事件名稱事件發生時間事件類型事件級別事件原因分析分析事件原因事件影響分析說明事件影響范圍，影響程度等情況處置方法事后處置本事件防護和處置建議其他說明1、人員駐場我司將安排2名本科學歷以上的人員到深圳免稅集團現場提供專職駐點服務，2、工作時間與地點安排駐場工程師遵守甲方公司的工作作息時間并提供設備故障或者應急響應24小時3、服務標準服務標注以甲方公司要求為準，進行日常維護工作，服務標準按照簽訂合同內容項進行維護服務。4、駐場人員服務內容針對深圳免稅集團的應用系統、主機（操作系統、數據庫、中間件）、網絡設備、安全設備等IT資產和服務對象，提供日常安全運維、安全監測預警、應急演練服務、安全風險評估安全服務內容。具體如下：日常運維人員駐場桌面運維我司根據深圳免稅集團的要求，每季度對硬件設備進行檢查，包括不限于以下內容：硬件故障檢測定位；硬件故障問題分析與送修；終端電腦和鍵盤鼠標除塵；系統重裝與軟件安裝；系統維護網絡運維我司根據根據深圳免稅集團要求對信息資產進行網絡維護工作，包括不限于以下：監控網絡設備運行情況；網絡問題及時處置；網絡維護服務。安全巡檢服務安全巡檢作為主動運維的一種手段，將主動發現安全隱患來代替被動解決安全問題，極大的提高信息系統的安全防護水平。將每月對深圳免稅集團信息系統中包括網絡設備、主機設備、安全設備進行全面地深度的安全巡檢，安全服務團隊將與信息系統管理人員方深入交流溝通，排查系統存在的安全疏漏網絡安全自查服務以杜絕重大網絡安全事件為目標，按照摸清底數、查找漏洞、識別風險的要求，每個月對深圳免稅集團進行全面排查網絡安全、信息系統安全和數據的安全的重大風險和隱患，提高全員網絡安全防范意識，盡快落實已知問題整改，預防網絡安全事件的發生，筑牢網絡安全屏障，提升深圳免稅集團網絡安全防御水平。安全加固協助協助甲方、第三方測評機構發現的基線配置或漏洞補丁進行修復；協助安全評估或漏洞掃描發現的基線配置或漏洞補丁進行修復。信息系統漏洞掃描針對監管部門、第三方安全服務機構和日常安全運營過程中發現的漏洞，我司根據實際情況開展漏洞驗證工作，以二次確認該漏洞是否真實存在，避免誤報或漏報，最后指導管理員進行漏洞加固。我司還會每個季度對信息系統的進行漏洞掃描，保證信息系統的安全運維。信息系統滲透測試服務根據滲透測試范圍，制定滲透測試實施方案，對其網站（包括二級域名，三級域名，四級域名）按計劃開展滲透測試，駐場人員根據二線滲透測試人員測試的問題單編寫滲透測試報告并進行指導修復。安全監測預警網站安全監測服務對深圳免稅集團提供的網站進行安全檢測，主要從系統漏洞、暗鏈、掛馬、惡意篡改、敏感內容進行檢測；檢測頻率需在合適范圍并能按深圳免稅集團要求進行設定。安全預警通報服務我司根據業界信息安全態勢的發展、關注最新漏洞和安全熱點的公布信息，并結合深圳免稅集團信息系統中的信息安全資產情況提供相應的信息安全通告，使招標人把握國內外及企業信息安全現狀與態勢，了解信息安全技術發展方向，及時消除企業信息安全漏洞與隱患，避免引發信息安全事件進而對企業形象造成影響。安全應急演練服務（1）我司根據關鍵業務系統的實際情況，制定應急預案，包括事件分類分級、組織架構、事件監測預警、事件分析、定級、研判、處置和應急物資、人員保障等，（2）我司根據應急預案內容開展應急演練，并根據應急演練結果，更新應急預案，提出相關問題的改進建議，并協助深圳免稅集團開展整改工作，以完善信息安全應急響應體系。通過現場實戰演習，提高相關人員應急處置能力。安全風險評估信息安全風險評估服務我司應參照信息安全風險評估、網絡安全法、等級保護2.0等相關法律法規和標準要求，通過調研、訪談與分析、資產識別、威脅識別、脆弱性識別等步驟，對深圳免稅集團的網絡架構、安全技術防護、監測、審計等措施、安全管理流程、機制等方面進行全面、專業的信息安全風險評估，并提出安全加固建議。系統上線安全評估我司對甲方的新上線系統進行上線前安全測評，包括符合性及基線配置核查、漏洞掃描、滲透測試等內容。根據上級單位、外部監管單位要求，應按照“三同步”的原則將信息安全工作嵌入到新產品、新系統的設計、開發、實施、運維、廢棄階段。新系統、新設備入網之前，舊系統升級擴容之后均應通過入網安全測評后，才可接入網絡中，避免為網絡帶來安全隱患，入網安全測評服務應包括主機、網絡、應用的技術測評，實施方式包括主機及應用基線安全評估、漏洞掃描、網絡安全評估和滲透測試。服務要求1）項目實施要求項目實施前，我司制定項目實施方案，包括進度計劃、人員分工、風險規避及質量保證等；實施漏洞掃描、滲透測試工作前，將實施方法、實施時間、實施人員、實施工具等具體實施方案提交甲方技術負責人，得到相應授權后才進行實施。安全加固協助按照等級保護的安全防護標準對深圳免稅集團的信息系統進行加固；我司完成符合性檢查、基線配置核查、漏洞掃描和滲透測試后，按照甲方需要按計劃實施安全加固協助工作和回歸測試工作，編寫整改和加固后復查報告，及時讓甲方了解整改和加固工作實施的達標情況；我司的評估報告都按行業相關的YD/T標準規范進行撰寫，我司保證評估報告質量