企业网络安全服务投标方案
招标编号:****
投标单位名称:****
授权代表:****
投标日期:****
1投标函
致:
收到标号为________的招标文件后,我司经过深入审阅,决定积极响应并按照规定程序提交投标申请。现郑重声明并承担相关法律责任如下:
(1)愿按照采购文件中规定的条款和要求,提供完成采购文件规定的全部工作。
若投标文件获得接纳,我们将严格遵循招标文件中所列的所有条款和条件。
我们承诺遵循招标文件的各项条款,投标的有效期自投标截止日期算起,延续六十个日历日。若成功中标,有效期将顺延至合同终结之日。
我们将全面满足招标文件中关于文件资料提交的所有规定。
根据招标文件的要求,我们已全额缴纳了人民币(¥)元的保证金。
经过详尽的审阅,我们确认已理解所有招标文件内容。如遇任何需澄清的事项,我们将遵循招标文件中约定的时间向采购方提交。若未能在规定期限内提出疑问,我公司将自愿放弃对任何可能存在的模糊或误解权益的追索权。
我司承诺提供采购方在投标过程中可能需求的所有相关数据和资料,充分理解采购方并不必然采纳最低报价,且可能对所有接收的投标进行评估。
我们将严格依据《中华人民共和国合同法》承担所有义务。
若我司有幸中标,我们将严格遵循招标文件的要求,按时支付招标代理服务费用。关于所有与本次投标相关的正式通信,请发送至:
地址:
邮编:
电话: 传真:
投标人名称:(公章)
法定代表人或被授权委托人:(签字或盖章)
日期:
2法定代表人身份证明及法人授权委托书
2.1法定代表人身份证明
投标人名称:
单位性质:
地址:
成立时间:
经营期限:
姓名: 性别:__________
年龄: 职务:__________
本公司/组织的法定代表人信息如下:
特此证明。
附:法定代表人身份证复印件
投标人:(盖单位章)
年月日
附:法定代表人身份证复印件
2.2法人授权委托书
本授权书确认:经注册于__的我司法定代表人,即在下签字的__,特此授权如下签字的__作为我公司合法代表,负责处理招标编号为__的项目,即______________________的投标以及相关合同执行过程中的一切事务。
本授权书于日期: 签字生效,特此声明。
附件包括:法定代表人的身份证明复印件以及授权委托人的身份证复印件。
法定代表人签字:
被授权委托人签字:
职务:
单位名称(公章):
地址:
附:法定代表人身份证复印件
附:被授权委托人身份证复印件
3投标报价表格
3.1开标一览表
|
项目名称 |
|
|
投标人 |
|
|
投标总报价(含税) |
大写:小写: |
|
税率 |
|
|
服务质量 |
|
|
其他声明 |
无 |
投标人名称(盖章):
法定代表人或被授权委托人(签字或盖章):
日期:
重要提示:1、同步公示的信息还包括对投标文件的任何修正或撤销声明,以及采购人认为有必要宣读的其他相关事项。
此表格仅为唱标所需,须经公章确认并由相关人员签字方为有效,且请严格按照投标须知的规定,将其封装单独提交。
3.2明细报价表
|
服务内容 |
单人天费用 |
不含税单价(人民币元) |
税率(%) |
|
现场安全技术支持服务 |
|
|
|
4投标保证金
4.1银行转账凭证4.2开户证明
5服务方案
5.1技术规范应答(技术规格偏差表)
1.概述
这是中国邮政集团有限公司河南省分公司的技术规格书(甲方),专门针对河南邮政信息网在关键时期网络安全保障服务的采购需求,供潜在的服务商(乙方,即投标人)编制技术方案、响应文件及报价参考。
应答:满足
乙方需按照本技术规格书的条款顺序逐一详细响应,对每一项内容明确表示'满足'或'不满足',并附上详尽的解释。任何未提及的部分将默认视为'满足'。
应答:满足
本手册中,星号(*)标识的关键技术需求具有显著优先级,井号(#)标注的为重要技术规格,其余部分构成基础技术标准。如关键技术需求未能满足,则可能导致投标无效。
应答:满足
乙方需提交详尽的技术建议书,对所有技术规格做出响应,内容涵盖但不限于以下方面:对技术需求的明确阐述、详尽的测试策划、技术服务的核心内容、项目的实施策略(包括实施方案的构思、执行方法、工作计划与时间表、关键里程碑及预期产出、项目管理体系的构建、以及团队成员配置)以及其他相关建议或改进措施。对于本文件中部分难以满足的要求或持有不同于文件的其他建议,乙方应在答复文件中逐一详尽阐述。
应答:满足
乙方如对技术规范书存有任何疑问,应通过书面形式与甲方沟通。在建议书提交截止日期前,甲方将出具书面回复,并确保所有获得技术规范书的乙方都能收到答复副本。
应答:满足
在招标评审阶段,甲方保留在必要时以书面形式向乙方提出关于特定问题的详细咨询,乙方需提交正式书面答复作为回应。
应答:满足
甲方保有随时对本文件进行诠释和修订的权益。乙方的技术规格响应书将以附件形式附于合同内,并与主合同具备同等法定约束力。
应答:满足
乙方需按照人员工作天数计价,具体的人工单价报价请参照附件一进行提供。
应答:满足
乙方需提交经验证有效的相关案例及资质证明文件。
应答:满足
2.项目概况
本招标计划购置河南邮政信息网在关键时点的网络安全保障服务,涵盖以下内容:一是现场安全技术支持服务,需由综合排名第一的供应商提供不少于70人天的服务;二是全面流量威胁检测工具(包括平台或软件),则由综合排名第二的供应商供应50人天的服务。
应答:满足
乙方承诺向甲方提供无期限的现场技术支持服务,直至甲方的技术支持服务需求耗尽。项目的实施将依据国家相关部门组织的网络安全攻防演习的时间表进行,乙方需积极响应并配合甲方的时间安排。若国家相关部门调整演习时间,乙方的服务将自动顺延至下一年度继续履行。
应答:满足
3.乙方资质要求
乙方需持有中国网络安全审查技术与认证中心CCRC颁发的信息安全一级服务资质,涵盖应急处理及风险评估两个方面,并提交相关资质的有效复印件作为证明。
应答:满足
3.2.*乙方应在
网络安全应急服务支撑单位”国家级支撑单位名单中,并提供有效证书的复印件。
应答:满足
3.3.乙方应具有丰富的企业安全服务经验,应提供自2019年以来在中国邮政集团有限公司(含各省分公司)、主流运营商、全国性股份制商业银行、全国设有分支机构的大型企业进行重要时期现场安全技术支持或现场渗透测试或风险评估或咨询和整体规划的案例经验,并应提供包含与本次服务类似的重保样例,作为本项目的实施交付质量参考。
应答:满足
4.乙方服务人员要求
我们要求提供现场安全技术支持服务的人员必须是中国境内的中国公民,并确保其具备良好的个人诚信记录,无任何犯罪行为史。
应答:满足
技术人员要求如下: - 精通常规攻防策略与技巧,能娴熟运用各类安全检测工具。 - 深悉移动端安全防御技术,具备至少三年的信息系统安全相关工作经验。 - 丰富的安全事件响应处理经历以及现场技术支持实践,能有效应对复杂场景。 - 良好的沟通能力和书面表达,过往需提供相关现场支持项目的参与案例(需附案例证据)以及安全事件响应记录清单。
应答:满足
要求提供现场技术支持的服务人员需持有CISP、CCIE Security、CISP-PTE或CISSP等相关安全专业认证证书。
应答:满足
乙方需确保所有参与本次服务的人员均为原厂成员,需提交包含但不限于如下信息的详细资料:人员名单、个人简历、专业资格证书以及最近六个月的社保缴纳凭证。这些人员应全职投入到项目的执行中。
应答:满足
5.服务要求
5.1.乙方应根据甲方要求,在重保前提供资产梳理、安全评估、渗透测试、安全教育等服务;在重保期间提供
小时的现场技术支持服务。
应答:满足
乙方需在服务进程中确保及时提交各类相关文档,其中包括所需的分析报告及安全改进提议。
应答:满足
乙方需根据甲方的业务需求,在重保阶段确保提供高效的安全现场技术支撑服务,保证响应迅速并配备充足的现场技术支持人员。乙方需对甲方分配的各项现场工作任务严谨执行,坚持以高标准完成,按时保质交付相关工作成果。
应答:满足
乙方需对潜在的安全事态/案件进行预分类,并针对各类型安全事态/案件的特性设计应急响应程序和处置措施,以确保事态/案件一旦发生,能迅速、高效地进行应对。
应答:满足
当信息系统在保障期间遭遇突发安全问题/事件时,乙方需积极响应甲方的需求,迅速进行事件/案件的分析,提出相应的补救措施和改进策略,并予以全程支持,帮助甲方处置,同时需出具详尽的事件/案件分析报告。
应答:满足
乙方需对安全事件/案件实施追踪调查,进行深入的源头剖析,并提交详细的分析报告及针对性的安全解决方案,以防止事态进一步恶化或损失的加剧。
应答:满足
6.检测工具要求
在确保关键时期的安全保障需求下,乙方需提供并授权使用其自主研发的全流量威胁检测系统(包括平台与软件),并给予甲方必要的支持以完成部署工作。
应答:满足
该全流量威胁检测系统凭借流量采集与异常分析技术,能够有效识别包括Web攻击、病毒木马侵袭在内的多种安全威胁,同时具备APT威胁精准定位及高级关联分析功能,支持人工审核确认相关风险事件。
应答:满足
威胁检测工具应具备全面的功能,包括威胁感知、调查取证、场景分析、威胁情报获取、源头追踪以及直观的可视化展示。
应答:满足
7.项目管理
乙方承诺不对服务内容实施任何形式的转包、分包或变相的转包行为,确保所有工作由自身直接执行。
应答:满足
乙方需在确保质量的前提下,严格遵循既定计划推动工作进程,确保甲方能够有效监控工作进度,并积极响应甲方的调度安排,按时高效地完成各项任务。
应答:满足
乙方需确保服务期间人员配置的稳定性。若乙方的测试或支持团队成员、联络人发生变动,必须及时替补同等资格的人员,并事先获得甲方的认可。甲方对团队成员的胜任能力拥有评判权,如有必要,甲方有权要求乙方更换适合的人员履行职责。
应答:满足
乙方需确保向甲方提供连续、无间断的服务,避免任何导致服务暂停或延误的行为;应定期向甲方更新服务进度及相关信息;在遭遇突发性服务干扰事件时,乙方须立即通知甲方,并遵循甲方指示采取措施以最大限度地减小对甲方的负面影响;乙方同意接受甲方对服务质量的审计和检查,并积极协助甲方应对行业监管机构的监督审查。
应答:满足
乙方员工在甲方作业区域履行职责时,应完全遵从甲方管理人员的指导,严格遵守甲方工作场所的所有规定和规程。任何非工作相关设备不得随意触碰,未经允许不得进入非指定区域。对于涉及系统及客户敏感信息,乙方员工负有严格的保密责任。
应答:满足
在甲方场地工作的乙方人员,在工作期间因非第三方责任导致的工伤、人身伤害或由于自身健康问题引发的事故,其责任将由乙方自行承担。
应答:满足
8.知识产权
所有在本项目执行过程中产生的工作成果(包括但不限于创新发明、科研发现、技术文档、编程源代码以及可执行程序等)的知识产权权益归属于甲方。
应答:满足
乙方承诺其所提供的服务完全符合知识产权法律法规,不会对任何第三方构成侵权。若因此引发第三方关于乙方服务侵犯其知识产权或其他权益的指控,乙方需承担由此导致甲方及第三方遭受的所有经济损失和相关责任。
应答:满足
9.保密协议
在服务合同的签订与执行过程中,双方应严格保密相互获取的商业秘密信息,无论合同最终状态如何。任何未经授权的泄露或滥用都将被视为不正当行为。如因泄密或不当使用导致对方蒙受损失,泄密方需依法承担赔偿责任。
应答:满足
涉及本服务的秘密资料涵盖但不限于甲方向乙方传达的技术细节、系统安全以及其他相关领域的所有数据、文档、电子信息、翻译材料、预测及记录等。未经甲方明确授权,禁止任何未经授权的泄露行为。
应答:满足
乙方需对乙方员工因工作接触可能涉及甲方机密资料的行为负全责。无论乙方员工是故意还是过失泄密,乙方都应无条件先行承担全面的赔偿责任,并积极消除由此产生的不良影响。在乙方员工离职时,乙方应确保其继续履行保密承诺,并及时向甲方书面报告相关情况。无论泄密行为发生于乙方员工在职期间还是离职后,该行为将被视为乙方的泄密行为,乙方对此负有相应的法律责任。
应答:满足
请投标人逐一针对各条进行详细响应,其中*标记的部分为关键技术需求,任何未满足的要求将导致投标被拒绝。
相关证明材料
5.2方案概述
5.2.1服务概述
在具有显著政治、经济影响力的特定时段,即所谓的重要时期,信息安全的相关责任方需严阵以待,防止重大的网络安全事件冲击关键信息系统的稳定运行。这直接关系到企业或公司能否顺利实现既定战略或战术目标。为此,我们特提出针对此类特殊时期的"重要时期安全保障定制服务",旨在强化信息安全保障措施。
5.2.2服务必要性
随着信息技术的日益进步,各行业信息化程度与规模持续增强。然而,近期频发的安全隐患问题对社会产生了负面影响,并导致各行各业遭受了经济损失。因此,提升网络防御能力,确保信息系统稳定运行,已成为新时代对企业、机构提出的新时代挑战。
国家为了防范信息安全风险,已颁发了一系列信息安全保护标准与指导方针。各行业管理机构积极响应,制定了严格的行业监管规定,旨在推动企业信息安全意识的提升与技术能力的增强。
信息安全保障作为各机构日常运营的关键任务,尽管如此,信息安全事件屡见不鲜。尤其是在对国家、行业或单位至关重要的时刻,任何信息安全事件的突发都可能迅速加剧问题,对相关组织乃至国家安全造成显著的负面效应。
作为专注于信息安全技术研发与动态跟踪的权威企业,我们秉持严谨的预防-监控-响应-恢复流程,积累了深厚的专业知识和实践经验。依托业内领先的技術支持团队,我们确保在关键时刻能为客户提供高效的信息安全保障服务,保障客户业务信息系统运行的稳定与安全无虞。
5.2.3需求分析
客户每年针对国家级及**城市**的重大会议与活动,实施严格的网络安全保障服务。涉及的重要关键业务系统接受全面的安全审查、隐患风险评估以及应急响应演练,以确保核心业务系统的平稳运行。
5.2.4服务目标
在启动强化保障活动前,我们的服务包括协助客户进行全面的IT资产审核,识别潜在的安全风险漏洞,并提供针对性的风险整改建议。
重保活动期间:提供全天候(7*24小时或
小时)的安全保障,一旦发现安全风险,协助客户及时处置。
活动结束后,我们将全面总结安全防护的最佳实践,从而提升客户的内部安全保障效能。
5.3服务实施方案
5.3.1实施思路
在重要时期,我们提供专称为'安全保障服务'(重保服务),旨在为关键信息系统的运行保驾护航。我们的服务内容包括:构建稳健的重保组织架构、实施积极的防护策略、实施实时威胁监控、迅速响应和处理潜在威胁、以及进行攻击风险预测,所有这些举措旨在提升组织的网络安全防护水平,确保重大活动的顺利开展。
重保服务内容包括:常规时期保障、重要时期
小时保障、安全设备、安全运维保障等;提升制度建设、安全评估、设备配置及安全加固、安全设备策略升级等。
组织架构优化如下:设立重保领导小组,负责总体指导;策划组负责策略规划;协调组确保各部门协同运作;驻场保障组提供现场支持;在线保障组维护系统稳定运行;远程监测组进行实时监控。
在防御阶段,我们专注于实施积极的防御服务,针对不断针对客户的攻势,这套服务包括一系列策略组合、服务和工具。其目标是通过缩减受攻击的范围,提高攻击难度,从而达成‘减缓攻击速度’的效果。
实时检测服务:重保期间,进行小时在线检测,实现减少威胁停留时间、控制事件、防止事件升级的目标。
响应与处置策略:在保障关键时期,我们确保各相关服务与支持系统的协同反应。针对突发的安全问题,我们迅速作出响应并进行处理。对重大安全事件进行深入追溯分析,借此优化预防手段,以防止同类事件的重现,目标在于实现即时应对、精确追踪和源头管理。
5.3.2实施原则
在本次重保服务项目的服务进程中,我们将全面审视用户的信息系统体系架构复杂性、系统资源分布以及应用服务的安全等级等诸多因素。为此,我们特此制定如下实施原则:
首要原则:业务系统需求至上,所有安全服务活动须遵从业务系统的既定目标与需求,并在业务系统管理部门的监督与调度下实施。
稳定性与可靠性要求:所有安全服务的操作务必确保平稳、牢靠且始终可用,同时不应干扰或降低应用系统的原有功能及效能。
全面涵盖原则:服务内容应体系完整,囊括安全相关的各个方面,以防止因疏漏导致潜在的安全风险。
严格遵守保密机制:对所有过程数据和结果数据实施严密保护,未经明确授权,严禁向任何机构或个人透露。
5.3.3实施方法
重保服务划分为三个关键环节:备战部署、实战操作以及后期报告与总结。详情如下:
图:重要服务工作阶段
·备战阶段
在筹备阶段,首要任务是实施全面的保障工作,通过互联网资产识别与自动化远程监控等方法,为人员和信息系统安全奠定基础,收集相关数据,评估整体攻击风险。同时,这一阶段有助于关闭非必要的服务器端口,从而缩小业务系统在互联网环境下的暴露面,增强防护能力。
实战阶段
实战阶段是重保工作的第二个阶段,主要围绕重要活动对业务网站进行小时的远程网站安全检测,并派遣安全专家提供现场安全值守服务。当发生安全事件时,现场安全专家进行安全事件的上报、处置和分析,减少因安全事件对重保工作造成的影响。
●报告与总结阶段
在重要活动结束后,报告与总结阶段的主要任务是对整个重保工作的全程进行详尽回顾与总结,提炼各环节的成功经验和教训,以便为后续的优化与完善提供决策依据。
5.3.4组织方式
5.3.4.1组织保障
在启动重要保障活动前夕,我们与相关方协同建立了一个专门的安全保障领导小组,该小组由客户高层领导、客户内部的安全及运维团队、各类IT服务供应商以及我公司的重保专家团队共同构成。各个功能小组明确了各自的职责和协作机制。
图:重保服务组织架构
·安全保障领导小组:
依据上级关于重要保障服务的工作部署,领导小组负责审批行动策略和重大决策,主导并协调演习的全面管理,包括系统暂停与重启的关键操作指示,以及对外信息的发布授权。其下设多个专门工作小组以确保执行效率。
·监控预警组
任务职责包括在重保期间实施网络安全实时监控,有效识别并察觉任何潜在的网络威胁,严谨记录监控过程,同时对可能的攻击行为提前预警技术分析团队。对于高风险的攻击事件,需依据应急预案迅速启动前期应对措施,旨在提升防御难度并减小攻击所造成的损害。
·技术分析组
在实战阶段的重保任务中,我们的职责是进行网络、系统和设备的安全风险识别与深入分析。
在实战保障阶段,我们专注于技术性网络攻击分析,对攻击所引发的影响进行深入评估,并与监视预警团队紧密协作,共同识别网络攻击行为。此外,我们将制定并执行应急响应策略,协同应急处置小组进行及时应对。同时,我司肩负起每日安全事件的总结与剖析重任。
应急处置组
在实战阶段的网络安全保障中,我们的职责是针对发现的安全隐患进行及时修复,并严格执行各类安全防护措施。
在实战保障阶段,我们采取措施净化网络攻击流量,以确保业务系统的稳定运行:一旦发生异常,迅速启用备用环境实现业务无缝切换;同时,对业务系统漏洞进行即时修复,并有序执行暂停与重启操作,以维护系统的正常运作。
联络保障组
致力于信息的顺畅传达,与上级及下级单位的重保指挥部保持紧密沟通,并与地方公安机关协同作业。承担重大安全事件的即时报告职责,向上级通报相关情况。
专家组
专家团队构成主要包括各安全企业的高级攻防专家,他们依据重保工作的需求,具备灵活调动和高效利用技术资源的能力,致力于进行安全监控预警、深入的技术剖析与评估、即时的攻击防御行动以及突发事件的应急响应任务。
5.3.4.2协同保障
提议构建一个高效的团队沟通体系,具体的沟通途径建议如下:
构建高效的信息安全即时通讯群组,以便通过迅速的短信交流,实时传达至关重要的信息给相关人员。
构建详尽的通讯录系统,涵盖网络安全保障团队的所有成员及下辖单位的安全专职人员。
建立通告机制,如下:
每日安全防护状况汇报机制:各级下属机构需提交零事故报告,无论是否发生安全事件,均需报告平安状况。
事件通报流程:监控预警小组成员一旦察觉任何异常,需在五分钟内启动紧急报告程序,通过微信工作群与电话同步传达给技术分析部门及应急响应团队。确保所有接收者接收到安全事项的通知,确认通知已送达为必要步骤。
5.3.5服务工具
5.3.5.1工具概述
公司:致力于研发一款融合软硬件一体化的高级威胁检测与响应系统。该系统采取旁路部署策略,于网络出口处实时监控网络通信数据。其核心技术架构依托大数据处理,整合了机器学习、文件虚拟执行检测、攻击行为建模分析等尖端AI技术。对于包括网络入侵攻击、恶意代码传播、黑客操控与渗透在内的各类威胁,特别是新型网络攻击、隐形黑客控制以及高级持续性威胁(APT)等,系统深度剖析0day/Nday漏洞、特殊木马和渗透入侵等常见攻击手段,同时结合威胁情报大数据平台,能够识别并定位已知和未知的高级威胁,进行追踪分析。相较于传统的依赖特征库的被动防御模式,它具备主动识别高级威胁的能力,并可与防火墙、入侵防御系统及隔离设备协同,强化整体的高级威胁防护。这套系统旨在构建自动化处置的联动防御体系,提升用户对抗高级威胁的综合防护效能。
5.3.5.2主要功能
5.3.5.2.1WEB攻击检测
当前,网站攻击作为高频且盛行的网络威胁之一,其重要性源于网站常承载业务与敏感数据,且需保持连续在线服务,易成为网络犯罪分子的重点目标。网站攻击检测功能的核心依赖于WebIDS技术,致力于实时监控和解析流量中的web攻击行为,涵盖对网站各阶段攻击的全面防护。具体包括以下环节:1)漏洞扫描:有效识别针对web服务及应用程序的漏洞扫描企图,如对Struts2漏洞的检测。2)漏洞利用:精准识别各类常见的Web攻击行为,如SQL注入、XSS跨站脚本,以及对Struts2、Java反序列化等高关注点Web漏洞的识别。3)权限获取:警惕各种webshell后门的上传与控制通信,例如中国菜刀、Cknife、Altman、phpspy等恶意行为。借助这一功能,用户能够迅速察觉外部对网站的潜在威胁,同时也能揭露内部针对网站的攻击行为并深入剖析攻击细节。
5.3.5.2.2远程漏洞攻击检测
漏洞攻击,特别是针对应用与主机及工业控制系统,是常见的安全威胁,尤其当新兴漏洞浮现时,因未能及时更新补丁,攻击者往往大规模利用这些漏洞。一旦入侵者进入内部网络,他们会利用集成的新旧漏洞对内网进行深入探测。远程漏洞攻击检测功能通过匹配漏洞特征库中的攻击模式,有效识别并揭示流量中潜在的漏洞扫描和利用行为。系统广泛收录了超过一千余条主流的远程漏洞特征规则,包括诸如Equation Group的SMBODAY漏洞(CVE-2017-0143至CVE-2017-0148)以及SWIFT漏洞等。同时,我们持续关注并每周更新最新的远程漏洞攻击特征,以帮助用户迅速察觉并预警已知的漏洞活动。
5.3.5.2.3邮件攻击检测
作为APT攻击策略的关键手段,鱼叉式(Phishing)邮件攻击广泛应用,尤其针对定向攻击或内外渗透。攻击者巧妙运用社会工程学手法,通过精心设计的钓鱼邮件,诱导目标接收者点击恶意附件,从而将木马植入受害者的计算机系统。邮件防御机制涉及广泛的协议检测,如POP3、SMTP、IMAP及Webmail,它首先复原邮件,然后对附件进行深入分析,包括静态分析、动态沙箱环境测试、基于机器学习的威胁识别以及实时威胁情报比对。一旦检测到包含已知或未知恶意代码的邮件,系统会立即发出警报,并揭示发件人的身份信息。
5.3.5.2.4挂马攻击检测
针对挂马攻击,或称为水坑攻击,其手法是将木马程序秘密植入用户常浏览的网站或由攻击者精心设计的站点,诱使目标用户访问并导致设备感染。对于此类攻击,我们的检测机制着重于从HTTP流量中恢复各类文件,如网页文件(HTML)、脚本(JS)、可执行文件(EXE)及PDF等。在对这些复原文件进行深入剖析时,我们采用多重策略:静态分析、动态沙箱环境测试、机器学习技术以及威胁情报分析,以精准识别那些隐藏恶意内容或含有浏览器溢出漏洞的挂马网页。
5.3.5.2.5恶意文件检测
产品在邮件收发、文件下载、WEB浏览以及文件分享等网络应用过程中,针对各类文档、网页和流量报文及网络会话,凭借其内置的强力病毒库、漏洞攻击数据库和黑客工具资源,实施静态与实时的检测,有效防范各类已知网络漏洞攻击和入侵行为。
产品通过还原流量获取的办公文档和可执行文件,将其置于虚拟执行检测引擎的虚拟环境中进行操作。在评估过程中,我们依据文件在虚拟环境中的可疑行为,对包含漏洞利用代码的恶意文档、恶意可执行程序以及潜在的植入攻击行为进行全面判断。
虚拟执行检测分析引擎,凭借混合分析方法,构建了一种虚拟的应用软件运行环境与隔离区(沙盒)。该引擎在沙盒内仿真软件程序对网络传输的数据进行处理,严密监控其运行过程中可能存在的漏洞滥用、恶意代码入侵或损害行为。
虚拟执行检测分析引擎主要构成有静态分析、动态分析以及行为推理这三个模块。在静态分析阶段,其涵盖了文件外壳处理、PE信息的抽取与验证,例如检查文件的数字签名。具体操作包括解析PE文件的文件封装、节表、导入表,以及识别可见字符串等静态特征。动态分析则侧重于行为检测,如可疑文件的加载监控,对文件运行过程中的函数调用序列进行实时跟踪,并通过行为抽象,详细记录文件运行期间涉及的文件操作、注册表变动、进程管理、网络活动以及潜在的保密行为。
该动态分析方法通过模拟用户实际操作环境,促使潜在恶意代码显现并记录其行为表现,从而为后续的行为分类提供坚实的判别基础。行为识别环节主要依赖于机器学习算法及精细的行为评估准则,对样本在虚拟执行环境中展现出的多元行为进行威胁性质的精准判断。
5.3.5.2.6失陷主机检测
各类主机在网络空间中若遭入侵,往往面临诸如木马、僵尸程序、蠕虫、勒索软件和间谍软件等多重威胁。这些恶意软件旨在与外部黑客的控制中心(C&C)建立联系,接收指令,进而实施内网渗透,甚至对系统造成破坏或窃取宝贵数据。针对失陷主机上高级恶意软件的通信活动,特别是它们对外网络的关联行为,产品采用多元化的检测手段得以定位。其中包括全球威胁情报驱动的IP/URL/域名检测引擎、基于恶意代码流量特征的分析引擎、针对木马通信模式的专门分析工具,以及针对隐蔽通道和敏感信息泄露的深度监控引擎。这些技术能够有效识别并应对高级攻击中常见的特种木马流量行为。
5.3.5.2.7隐蔽信道检测
针对DNS协议中潜在的非公开恶意代码,如木马、僵尸软件和蠕虫,它们常常利用该协议建立隐秘通信渠道以规避防火墙和入侵检测系统(IDS)的传统防护。深入剖析DNS隐蔽通道的流量特性和行为模式,旨在构建有效的检测模型。通过这个模型,能够从复杂的网络流量中识别并分离出隐蔽的数据传输,从而揭露可能存在的未知攻击行为。
5.3.5.2.8威胁情报检测
依托于对安全大数据的深度运营和精密分析,我们的威胁情报产出得以建立。凭借十多年的累积与专业化运营,我们积累了丰富的资源,包括超过290亿个恶意样本、22万亿条安全日志、90亿个域名信息以及相当于2EB以上的庞大数据量。这种显著的数据优势和不断优化的检测能力,使我们能够全方位保护全球数以亿计的个人设备、企业终端及业务服务。通过对国际主流APT组织的持续跟踪和深入剖析,我们形成了实时且具有针对性的高级持续性威胁(APT)预警信息。这些情报在赋能部署在全球各地客户的高级持续性威胁预警系统后,显著提升了对已知APT组织行为的广泛检测和追踪效能。
该高级持续性威胁预警系统具备离线与在线两种升级模式,以充分适应各类网络环境的需求。当设备保持联网状态时,可以利用实时在线升级功能,保证威胁情报库的即时更新,从而有效检测最新的APT组织活动。而在设备无法联网的情况下,系统支持离线升级包,便于用户手动导入,确保系统的灵活性与实用性。
5.3.5.2.9威胁分析溯源
面对新型或热点安全事件,如近期的勒索病毒大规模爆发,至关重要的是对攻击事件进行全面的溯源剖析。这包括对攻击源头的追踪、攻击行为的详细流程、病毒传播范围、受影响的业务系统特性、恶意软件的功能及其潜在危害进行深入探究。这些分析旨在明确攻击的本质、手法与影响,以便制定出针对性的应对策略。其核心目标在于在充分理解事实后,采取适宜的反应并构建相应的防御措施。
在溯源分析功能上,系统构建了丰富的多源威胁情报库,支持对攻击和恶意代码家族的详细背景信息进行检索与深入剖析。同时,管控中心平台优化了自动化关联分析能力,凭借单一攻击线索,能够智能关联并揭示相关全方位的情况。
5.3.5.3自主知识产权证明
5.3.5.3.2:计算机软件著作权认证证书
5.3.6服务计划
5.3.6.1备战阶段
5.3.6.1.1资产盘点
公司安全专家将采取资料搜集、人员访谈、实地考察及先进工具的诊断性检测手段,对客户的现有网络架构与IT资产进行全面深入的审核。重点关注对外公开的信息系统和网站、内部的安全设备、IT设备设施,以及定期执行的风险评估和改进措施,以确保所有IT资产均处于有效的管控之下。
资产调研内容如下:
围绕信息资产的保护需求,本调研工作紧密结合业务应用系统的特性,采取了填写资产调研表、审阅资产管理文档及进行人员访谈的方法。其核心内容涵盖了以下几个方面:
互联网应用程序:作为承载业务的载体,它提供了深入了解单位业务分布、发展动态以及核心要素的详尽视角。
安全接入内部网络与系统:借助互联网VPNS服务
实体IT资产:作为信息资产的物质承载,它们肩负着存储、传输、检索和处理等关键职责,与信息资产的关联最为紧密。
1. 网络环境概述:详尽掌握单位的网络基础设施详情,剖析其业务流程及其相关联环节,将基础网络信息进行系统性分类,以此揭示信息资产的逻辑架构,从而为设计合理的解决方案提供坚实依据。
本项目中,我们依托我公司提供的《资产调查表》,对相关信息系统资产进行全面搜集与识别。该调查表主要包括如下几个方面:
|
信息资产调查表 |
||
|
序号 |
调查表名称 |
描述 |
|
1 |
互联网系统清单 |
登记互联网应用系统名称、IP、端口及功能描述等信息 |
|
2 |
主机系统清单 |
登记主机名称、IP地址、所属应用系统等信息 |
|
3 |
办公PC和笔记本清单 |
登记办公网内的PC终端和笔记本 |
|
4 |
网络设备清单 |
登记核心网络设备、安全设备 |
|
5 |
网络拓扑及其他基本信息清单 |
主要核心网络的拓扑及二级网络互连的拓扑,网络功能区划分、业务分布、VLAN划分等 |
|
6 |
关联业务清单 |
登记单位与其他分公司的关联业务,链路名称、链接方式、防护策略等 |
|
7 |
互联网VPN应用清单 |
登记所有的VPN应用,详述相关负责人、应用范围 |
|
8 |
云上WEB资源清单 |
登记在云上的WEB应用信息 |
资产发现内容如下:
发现并协助梳理包括互联网域名、IP、端口、服务、中间件、操作系统等外网资产;与客户IT资产列表进行对比梳理,发现存在安全风险的资产,包括但不限于:公网开放高危端口、内部应用发布外网、系统开放权限过大、旧系统未及时下线、网络链路关系未清除,服务器IP重新分配给新的业务系统,导致新的业务系统被放到了外网。
资产发现工具如下:
资产发现常需要对一定范围内的主机或应用系统指纹识别(对操作系统版本、开放端口、提供的服务、服务版本进行识别进行识别)进行摸排。资产类型一般包括主机、网络设备、安全设备、数据库、中间件、应用组件(含数据,人员)等。主被动资产发现(主动在于主动进行网络主机探测、端口探测扫描,硬件特性及版本信息检测,被动在于被动探测方法是指采集目标网络的流量,对流量中应用层HTTP,FTP,SMT等协议分析,从而实现对网络资产信息的被动探测)方式相结合,主动探测主要用于对未知网络下的资产探测,被动扫描主要用于持续性的监听已知网络下的未发现资产,并通过信息补全和深度扫描等方式完成资产属性的补全,最终实现全量资产的发现与生命周期的管理。
5.3.6.1.2漏洞扫描
借助云端的强大防护资源,包括专家云、查杀云、分析云、沙箱云、漏洞云以及情报云和知识库,通过实时监控客户全网数据流量,运用漏洞探测、深入分析与验证技术,对高级别的网络攻击事件进行识别。通过对事态影响范围和危害程度的评估,生成详尽的分析与应对报告。
面对当前复杂的信息化与体系化攻击形势,0day漏洞的现实利用已成为企业安全领域亟待解决的核心问题。当用户遭遇0day漏洞攻击,往往只能采取事后的应急措施,如系统升级,这凸显了0day漏洞的破坏力。安全企业不能局限于自我保护,仅满足于封闭的安全体系,而应积极反思如何在实际用户环境中构建稳固的安全闭环,这一需求实际上推动着企业超越传统攻防思维,追求安全能力的显著提升和技术体系的整体革新。
■服务内容
漏洞评估服务的核心内容主要包括对网络环境中运行的信息系统进行全面考察,涉及资产识别、威胁识别与分析及脆弱性识别与剖析。具体涵盖云基础设施、云安全设备、云端数据、监控与审计机制,以及应用程序的综合安全性评估。
漏洞评估的剖析主要针对多个层次,这些层次既各自独立又相互关联,通过逐一深入剖析和详尽评估各个层面,方能确保得出全面的结果,从而完整地描绘出整个信息系统架构的特性。安全漏洞评估服务的
京公网安备 11010802045440号
