一體化安全協(xié)同監(jiān)測督導(dǎo)服務(wù)

一體化安全協(xié)同監(jiān)測督導(dǎo)服務(wù)解決方案TOC\o"1-4"\h\z\u（一）項(xiàng)目概況 3（二）項(xiàng)目總體要求 3（三）服務(wù)模式要求 3（四）服務(wù)對象 3（五）日常安全監(jiān)測督導(dǎo)服務(wù)要求 31、日常安全監(jiān)測督導(dǎo)服務(wù)一覽表 32、駐場人工服務(wù) 53、安全能力服務(wù) 21（六）專項(xiàng)安全監(jiān)測督導(dǎo)服務(wù)要求 491、專項(xiàng)安全服務(wù)一覽表 492、專項(xiàng)安全服務(wù)內(nèi)容 50（七）其他要求 601、國產(chǎn)化適配要求 602、數(shù)據(jù)接口安全要求 603、安全能力服務(wù)擴(kuò)容要求 614、安全能力服務(wù)實(shí)施深化要求 615、服務(wù)安全要求 616、進(jìn)度控制要求 617、質(zhì)量控制要求 628、保密要求 639、溝通要求 63（一）項(xiàng)目概況本項(xiàng)目是落實(shí)《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護(hù)法》《國務(wù)院關(guān)于加強(qiáng)數(shù)字政府建設(shè)的指導(dǎo)意見》（國發(fā)﹝2022﹞14號）《互聯(lián)網(wǎng)政務(wù)應(yīng)用安全管理規(guī)定》等法律法規(guī)、政策文件要求，開展一體化安全協(xié)同監(jiān)測督導(dǎo)工作。（二）項(xiàng)目總體要求建立一體化安全協(xié)同監(jiān)測督導(dǎo)服務(wù)體系，完善網(wǎng)絡(luò)和數(shù)據(jù)安全監(jiān)測督導(dǎo)體系和工作機(jī)制。（三）服務(wù)模式要求應(yīng)根據(jù)行業(yè)內(nèi)技術(shù)發(fā)展情況，提供先進(jìn)的網(wǎng)絡(luò)與數(shù)據(jù)安全的安全分析、安全運(yùn)營、威脅情報(bào)等技術(shù)，并提供符合本服務(wù)規(guī)范及政策要求的服務(wù)。因技術(shù)、需求變化等需增減、優(yōu)化、調(diào)整的，由提供費(fèi)用明細(xì)表，報(bào)經(jīng)采購人同意后方能實(shí)施。（四）服務(wù)對象本項(xiàng)目安全監(jiān)測督導(dǎo)服務(wù)對象主要是圍繞數(shù)字XX“1361”整體架構(gòu)，以一體化數(shù)字資源系統(tǒng)、城市感知系統(tǒng)、公共數(shù)據(jù)資源管理系統(tǒng)、能力組件管理系統(tǒng)、渝快政、渝快辦、三級數(shù)字化城市運(yùn)行和治理中心、鄉(xiāng)鎮(zhèn)（街道）一體化治理智治平臺為核心，覆蓋數(shù)字XX“1361”的應(yīng)用系統(tǒng)、云網(wǎng)進(jìn)行統(tǒng)一的安全監(jiān)測督導(dǎo)運(yùn)營工作。（五）日常安全監(jiān)測督導(dǎo)服務(wù)要求本項(xiàng)目堅(jiān)持以網(wǎng)絡(luò)安全與數(shù)據(jù)安全并重，以一體化安全協(xié)同監(jiān)測督導(dǎo)為總體目標(biāo)，采購駐場人工服務(wù)與安全能力服務(wù)2個一級服務(wù)體系。駐場人工服務(wù)包括8個二級網(wǎng)絡(luò)安全監(jiān)測督導(dǎo)服務(wù)和7個二級數(shù)據(jù)安全監(jiān)測督導(dǎo)服務(wù)；安全能力服務(wù)包含安全數(shù)據(jù)接入、安全數(shù)據(jù)管理、網(wǎng)絡(luò)安全分析、數(shù)據(jù)安全分析、監(jiān)測督導(dǎo)運(yùn)營、基于政務(wù)云網(wǎng)環(huán)境的服務(wù)供應(yīng)能力等6項(xiàng)內(nèi)容；詳細(xì)內(nèi)容見本節(jié)日常安全監(jiān)測督導(dǎo)服務(wù)一覽表。1、日常安全監(jiān)測督導(dǎo)服務(wù)一覽表服務(wù)大類服務(wù)分類服務(wù)名稱駐場人工服務(wù)網(wǎng)絡(luò)安全日常監(jiān)測督導(dǎo)服務(wù)資產(chǎn)發(fā)現(xiàn)與歸集服務(wù)態(tài)勢分析與展示服務(wù)漏洞發(fā)現(xiàn)與跟蹤服務(wù)告警優(yōu)化與管理服務(wù)威脅監(jiān)測與預(yù)警服務(wù)網(wǎng)絡(luò)安全事件分析溯源服務(wù)網(wǎng)絡(luò)安全事件應(yīng)急支撐服務(wù)網(wǎng)絡(luò)安全合規(guī)檢查服務(wù)數(shù)據(jù)安全日常監(jiān)測督導(dǎo)服務(wù)數(shù)據(jù)資產(chǎn)發(fā)現(xiàn)與歸集服務(wù)場景梳理與風(fēng)險分析服務(wù)數(shù)據(jù)安全風(fēng)險監(jiān)測預(yù)警服務(wù)數(shù)據(jù)安全告警策略優(yōu)化服務(wù)數(shù)據(jù)安全事件分析溯源服務(wù)數(shù)據(jù)安全事件應(yīng)急支撐服務(wù)數(shù)據(jù)安全監(jiān)督檢查服務(wù)安全能力服務(wù)安全數(shù)據(jù)接入能力安全日志接入出口流量接入API接口信息敏感數(shù)據(jù)信息數(shù)據(jù)資產(chǎn)信息安全數(shù)據(jù)管理能力數(shù)據(jù)采集數(shù)據(jù)治理數(shù)據(jù)管理數(shù)據(jù)存儲網(wǎng)絡(luò)安全分析能力資產(chǎn)匹配與規(guī)則配置脆弱性分類驗(yàn)證威脅情報(bào)感知風(fēng)險跟蹤分析告警歸并與風(fēng)險動態(tài)關(guān)聯(lián)網(wǎng)絡(luò)攻擊場景分類拆解評估指標(biāo)分析量化安全態(tài)勢量化數(shù)據(jù)安全分析能力數(shù)據(jù)資產(chǎn)歸集與統(tǒng)計(jì)安全模型深度分析分析引擎告警聚合與上報(bào)安全評估統(tǒng)計(jì)分析重點(diǎn)場景監(jiān)測安全指標(biāo)統(tǒng)計(jì)分析AI安全智能體分析能力告警研判智能體敏感信息識別智能體事件調(diào)查智能體監(jiān)測督導(dǎo)運(yùn)營能力資產(chǎn)管理定級備案態(tài)勢感知漏洞管理告警管理合規(guī)檢查應(yīng)急監(jiān)管安全評估重點(diǎn)保障通報(bào)處置服務(wù)報(bào)告消息通知基于政務(wù)云網(wǎng)環(huán)境的服務(wù)供應(yīng)能力計(jì)算存儲網(wǎng)絡(luò)資源機(jī)柜資源系統(tǒng)資源2、駐場人工服務(wù)2.1網(wǎng)絡(luò)安全2.1.1資產(chǎn)發(fā)現(xiàn)與歸集服務(wù)（1）服務(wù)要求資產(chǎn)發(fā)現(xiàn)與管理服務(wù)擬針對安全監(jiān)測督導(dǎo)對象提供信息資產(chǎn)的安全監(jiān)測督導(dǎo)。安全服務(wù)人員須對安全監(jiān)測督導(dǎo)對象的相關(guān)業(yè)務(wù)系統(tǒng)進(jìn)行調(diào)研和梳理，明確信息資產(chǎn)的核心要素（核心要素包括但不限于：資產(chǎn)所屬業(yè)務(wù)系統(tǒng)、資產(chǎn)類型、名稱、重要性程度、IP地址、MAC地址，運(yùn)行狀態(tài)等信息）；采用技術(shù)手段，對安全監(jiān)測督導(dǎo)對象的信息資產(chǎn)進(jìn)行統(tǒng)一登記和梳理；建立信息資產(chǎn)安全臺賬，對已上報(bào)或已發(fā)現(xiàn)的信息資產(chǎn)進(jìn)行信息登記、更新與核查，確保資產(chǎn)與臺賬的一致性；建立信息資產(chǎn)的安全監(jiān)測督導(dǎo)工作標(biāo)準(zhǔn)流程，針對未及時進(jìn)行信息資產(chǎn)報(bào)備或登記的安全監(jiān)測督導(dǎo)對象進(jìn)行信息資產(chǎn)通報(bào)管理，督促相關(guān)問題及時整改并定期跟蹤整改實(shí)施情況。（2）服務(wù)內(nèi)容1）采用手動錄入、日志分析等多種方式來開展資產(chǎn)收集發(fā)現(xiàn)，并對收集到的信息進(jìn)行整理，整理資產(chǎn)的相關(guān)信息，包括但不限于IP地址、MAC地址、開放端口、資產(chǎn)類型、運(yùn)行狀態(tài)、配置信息、所屬業(yè)務(wù)部門、資產(chǎn)責(zé)任人等；2）明確收集的資產(chǎn)類別，包括硬件設(shè)備（服務(wù)器、網(wǎng)絡(luò)設(shè)備、終端設(shè)備等）、軟件資源（應(yīng)用系統(tǒng)、數(shù)據(jù)庫等）、虛擬化資源（云主機(jī)、容器等）、數(shù)據(jù)資產(chǎn)（數(shù)據(jù)庫表等）以及其他無形資產(chǎn)（如IP地址、域名等）；3）對收集到的資產(chǎn)進(jìn)行合理分類，對來自不同業(yè)務(wù)系統(tǒng)的資產(chǎn)分配合理的標(biāo)簽，便于資產(chǎn)的合規(guī)性管理；4）依照資產(chǎn)管理機(jī)制并對資產(chǎn)的變更及時上報(bào)更新，同時通過資產(chǎn)發(fā)現(xiàn)等技術(shù)手段，集合日常安全檢查對資產(chǎn)變更情況進(jìn)行監(jiān)測及驗(yàn)證，及時掌握資產(chǎn)變更情況；5）對資產(chǎn)的分類情況，新增情況、分布情況等進(jìn)行統(tǒng)計(jì)，記錄資產(chǎn)變化過程；設(shè)計(jì)并執(zhí)行資產(chǎn)增加、變更、報(bào)廢等全生命周期的管理流程，確保任何資產(chǎn)變動都能及時反映在資產(chǎn)信息庫中，充分利用技術(shù)手段進(jìn)行定期資產(chǎn)發(fā)現(xiàn)測試，及時發(fā)現(xiàn)未知資產(chǎn)或未知資產(chǎn)變更，及時更新資產(chǎn)臺賬；6）逐項(xiàng)核查資產(chǎn)信息，包括資產(chǎn)的名稱、型號、數(shù)量、配置、狀態(tài)等。驗(yàn)證資產(chǎn)信息的準(zhǔn)確性和完整性，與業(yè)務(wù)系統(tǒng)和數(shù)據(jù)庫中的數(shù)據(jù)進(jìn)行比對和確認(rèn)；7）對于服務(wù)過程中發(fā)現(xiàn)的問題和錯誤，進(jìn)行記錄和分類，制定相應(yīng)的處理措施和計(jì)劃。及時與相關(guān)部門和人員進(jìn)行溝通和協(xié)調(diào)，確保問題得到及時解決和糾正，對差異性進(jìn)行記錄；8）根據(jù)資產(chǎn)核查的結(jié)果和反饋，不斷完善資產(chǎn)信息歸集和管理的流程和制度。定期對資產(chǎn)信息進(jìn)行復(fù)查和更新，確保資產(chǎn)信息的準(zhǔn)確性和時效性。定期對資產(chǎn)信息歸集工作的效果進(jìn)行評估和審計(jì)，根據(jù)實(shí)際情況調(diào)整改進(jìn)策略，確保資產(chǎn)信息的準(zhǔn)確性和完整性；9）資產(chǎn)在廢棄不用時，及時跟進(jìn)資產(chǎn)廢止流程更新資產(chǎn)信息，同時關(guān)注資產(chǎn)相關(guān)的數(shù)據(jù)資產(chǎn)情況，避免廢止后數(shù)據(jù)資產(chǎn)泄露。（3）服務(wù)交付物1）《信息資產(chǎn)安全臺賬》2）《信息資產(chǎn)安全歸集報(bào)告》（4）交付標(biāo)準(zhǔn)1）資產(chǎn)發(fā)現(xiàn)與資產(chǎn)運(yùn)營服務(wù)過程需滿足本服務(wù)內(nèi)容表述的相關(guān)要求；2）《信息資產(chǎn)安全臺賬》信息需保持即時動態(tài)更新，能夠即時的反映運(yùn)營服務(wù)期內(nèi)最新的資產(chǎn)情況，同時需保證臺賬的真實(shí)性、準(zhǔn)確性和完整性，禁止出現(xiàn)因資產(chǎn)臺賬缺失或錯誤導(dǎo)致防護(hù)缺失或不足，進(jìn)而被第三方途徑通報(bào)、利用，甚至出現(xiàn)相關(guān)安全問題的情況；3）《信息資產(chǎn)安全歸集臺賬》《信息資產(chǎn)安全歸集報(bào)告》能夠按照采購人要求即時進(jìn)行導(dǎo)出，即時輸出以支撐相關(guān)檢查或備案；4）所有交付物需保持每月至少1次的報(bào)告輸出和備案。2.1.2態(tài)勢分析與展示服務(wù)（1）服務(wù)要求態(tài)勢分析與展示服務(wù)通過安全服務(wù)人員對安全監(jiān)測督導(dǎo)對象的相關(guān)業(yè)務(wù)系統(tǒng)進(jìn)行調(diào)研和梳理，建立適宜目前網(wǎng)絡(luò)安全整體形勢的成熟的網(wǎng)絡(luò)安全態(tài)勢指標(biāo)體系，通過對安全監(jiān)測督導(dǎo)對象的相關(guān)流量和安全日志等數(shù)據(jù)進(jìn)行實(shí)時的研判和分析，并基于成熟的安全分析模型和適宜的安全態(tài)勢指標(biāo)體系得到態(tài)勢分析結(jié)果和指標(biāo)趨勢，提前預(yù)警可能存在的安全風(fēng)險，實(shí)現(xiàn)安全監(jiān)測督導(dǎo)對象整體安全態(tài)勢的提前感知、預(yù)測和威脅防范，為安全團(tuán)隊(duì)提供及時的決策依據(jù)，并優(yōu)化安全防護(hù)和響應(yīng)措施；安全服務(wù)人員須依照目前的安全態(tài)勢指標(biāo)體系構(gòu)建安全態(tài)勢關(guān)鍵指標(biāo)的可視化展示頁面，將安全態(tài)勢的關(guān)鍵指標(biāo)分析結(jié)果采用圖表、圖例等方式，借助態(tài)勢大屏等方式直觀地展示出來，便于管理者和安全團(tuán)隊(duì)對整體的安全態(tài)勢情況迅速地了解和判斷；安全服務(wù)人員須結(jié)合當(dāng)前網(wǎng)絡(luò)的整體安全環(huán)境，定期評估安全態(tài)勢指標(biāo)體系的適用性和準(zhǔn)確性，優(yōu)化指標(biāo)的計(jì)算分析方式和安全閾值等，形成態(tài)勢指標(biāo)評估與優(yōu)化報(bào)告，確保安全指標(biāo)能夠有效地反映真實(shí)的安全態(tài)勢情況。（2）服務(wù)內(nèi)容1）指標(biāo)體系建立與優(yōu)化：建立并定期審查適宜當(dāng)前安全形勢的網(wǎng)絡(luò)安全態(tài)勢指標(biāo)體系，評估體系中安全指標(biāo)的相關(guān)性和有效性。根據(jù)需求和目標(biāo)，篩選出關(guān)鍵和有意義的指標(biāo)；2）收集數(shù)據(jù)源：確定需要收集的數(shù)據(jù)源，包括安全設(shè)備、系統(tǒng)日志、攻擊檢測系統(tǒng)等。確保數(shù)據(jù)源的完整性和準(zhǔn)確性，并建立數(shù)據(jù)采集機(jī)制；3）設(shè)定閾值和警報(bào)機(jī)制：根據(jù)指標(biāo)的評估結(jié)果和實(shí)際情況，設(shè)定合適的閾值和警報(bào)機(jī)制。當(dāng)指標(biāo)超過預(yù)設(shè)的閾值時，能夠及時觸發(fā)相應(yīng)的警報(bào)和響應(yīng)措施。4）數(shù)據(jù)分析和可視化：通過對收集的數(shù)據(jù)進(jìn)行分析和處理，生成可視化的安全態(tài)勢指標(biāo)界面。采用態(tài)勢大屏等方式，直觀地展示當(dāng)前的安全狀況和趨勢，便于管理者和安全團(tuán)隊(duì)迅速了解和判斷；5）持續(xù)監(jiān)測和更新：持續(xù)監(jiān)測各項(xiàng)指標(biāo)，并及時更新指標(biāo)數(shù)據(jù)。隨著安全威脅的變化，適時調(diào)整和改進(jìn)安全態(tài)勢指標(biāo)體系；6）風(fēng)險評估和預(yù)警：基于分析結(jié)果和指標(biāo)趨勢，進(jìn)行風(fēng)險評估，并提前預(yù)警可能存在的安全風(fēng)險。為安全團(tuán)隊(duì)提供及時的決策依據(jù)，以優(yōu)化安全防護(hù)和響應(yīng)措施。（3）服務(wù)交付物1）《網(wǎng)絡(luò)安全態(tài)勢指標(biāo)體系》2）《態(tài)勢指標(biāo)評估與優(yōu)化報(bào)告》（4）交付標(biāo)準(zhǔn)1）態(tài)勢指標(biāo)評估與優(yōu)化服務(wù)過程需滿足本服務(wù)內(nèi)容表述的相關(guān)要求；2）《網(wǎng)絡(luò)安全態(tài)勢指標(biāo)體系》《態(tài)勢指標(biāo)評估與優(yōu)化報(bào)告》能夠按照采購人要求進(jìn)行提供；3）《網(wǎng)絡(luò)安全態(tài)勢指標(biāo)體系》《態(tài)勢指標(biāo)評估與優(yōu)化報(bào)告》需保持每季度至少1次的報(bào)告輸出和備案。2.1.3漏洞發(fā)現(xiàn)與跟蹤服務(wù)（1）服務(wù)要求漏洞發(fā)現(xiàn)與處置督導(dǎo)服務(wù)通過安全服務(wù)人員對安全監(jiān)測督導(dǎo)對象的相關(guān)業(yè)務(wù)系統(tǒng)進(jìn)行調(diào)研和梳理，制定合適的漏洞掃描工作方案，通過在電子政務(wù)外網(wǎng)或互聯(lián)網(wǎng)上，定期對暴露在外網(wǎng)上的資產(chǎn)進(jìn)行漏洞掃描，對漏洞的掃描結(jié)果進(jìn)行分析和評估，確定漏洞的風(fēng)險程度和優(yōu)先級，結(jié)合實(shí)際情況給出漏洞處置建議，形成漏洞掃描整改處置清單；安全服務(wù)人員向安全監(jiān)測督導(dǎo)對象相關(guān)責(zé)任單位發(fā)送漏洞掃描整改處置清單，提醒并督促處理漏洞、修補(bǔ)漏洞、反饋處置整改結(jié)果并對漏洞進(jìn)行處置驗(yàn)證；安全服務(wù)人員依據(jù)外網(wǎng)掃描結(jié)果建立漏洞信息臺賬，記錄和維護(hù)已發(fā)現(xiàn)的漏洞詳細(xì)信息，包括漏洞描述、漏洞等級、影響分析、處置措施建議等；安全服務(wù)人員依據(jù)階段性的漏洞發(fā)現(xiàn)與處置結(jié)果，定期輸出漏洞發(fā)現(xiàn)與處置報(bào)告，并驗(yàn)證修復(fù)結(jié)果。（2）服務(wù)內(nèi)容1）制定漏洞掃描工作計(jì)劃，通過定期漏洞掃描、安全評估等手段，檢測各業(yè)務(wù)系統(tǒng)和應(yīng)用程序中的潛在漏洞；2）建立漏洞管理臺賬，通過管理和技術(shù)手段，對安全漏洞和問題進(jìn)行閉環(huán)跟蹤維護(hù)，確保所有風(fēng)險可知、可控；3）建立漏洞管理流程，以確保所發(fā)現(xiàn)的漏洞都能夠得到有效的處理，從而提高整體網(wǎng)絡(luò)安全水平；4）根據(jù)漏洞的危害程度和影響范圍，對漏洞進(jìn)行人工審核并做分級，如高、中、低級別；5）建立漏洞信息庫，記錄和維護(hù)已發(fā)現(xiàn)的漏洞詳細(xì)信息，包括漏洞描述、修復(fù)建議等；4）向各業(yè)務(wù)系統(tǒng)相關(guān)責(zé)任人發(fā)送漏洞掃描報(bào)告，提醒并督促處理漏洞、修補(bǔ)漏洞；6）定期向管理小組和相關(guān)部門通報(bào)漏洞情況，提供決策支持和風(fēng)險評估，審核各監(jiān)測督導(dǎo)服務(wù)對象制定的漏洞掃描計(jì)劃，確保計(jì)劃符合安全策略和標(biāo)準(zhǔn)。確定掃描的頻率、范圍、目標(biāo)以及使用的掃描工具和技術(shù)；7）督促各監(jiān)測督導(dǎo)服務(wù)對象按時開展漏洞掃描工作，確保計(jì)劃的執(zhí)行不延誤。監(jiān)控掃描過程，確保掃描的全面性和準(zhǔn)確性。監(jiān)控漏洞修復(fù)工作的進(jìn)展，確保漏洞得到及時修復(fù)。跟蹤修復(fù)后的系統(tǒng)狀態(tài)，驗(yàn)證修復(fù)效果，確保漏洞的修復(fù)；8）根據(jù)掃描結(jié)果和修復(fù)經(jīng)驗(yàn)，給出安全加固措施建議。提供針對性的安全培訓(xùn)和技術(shù)支持，幫助業(yè)務(wù)系統(tǒng)提升安全防護(hù)能力。（3）服務(wù)交付物1）《漏洞信息臺賬》2）《漏洞發(fā)現(xiàn)與跟蹤處置報(bào)告》（4）交付標(biāo)準(zhǔn)1）漏洞發(fā)現(xiàn)與處置服務(wù)過程需滿足本服務(wù)內(nèi)容表述的相關(guān)要求；2）《漏洞信息臺賬》需保持即時動態(tài)更新，能夠即時的反映運(yùn)營服務(wù)周期內(nèi)最新的漏洞發(fā)現(xiàn)和處置情況；3）《漏洞信息臺賬》需具備真實(shí)性、準(zhǔn)確性和完整性，需具備真實(shí)性、準(zhǔn)確性和完整性，禁止出現(xiàn)因漏洞臺賬缺失或錯誤導(dǎo)致防護(hù)缺失或不足，進(jìn)而被第三方途徑通報(bào)、利用，甚至出現(xiàn)相關(guān)安全問題的情況；4）《漏洞信息臺賬》能夠按照市采購人要求即時進(jìn)行導(dǎo)出，即時輸出以支撐相關(guān)檢查或備案，《漏洞發(fā)現(xiàn)與跟蹤處置報(bào)告》按照采購人要求進(jìn)行提供；5）《漏洞信息臺賬》需保持每月至少1次的報(bào)告輸出和備案，《漏洞發(fā)現(xiàn)與跟蹤處置報(bào)告》需保持每周至少1次的報(bào)告輸出和備案。2.1.4告警優(yōu)化與管理服務(wù)（1）服務(wù)要求告警策略優(yōu)化與管理服務(wù)通過安全服務(wù)人員對安全監(jiān)測督導(dǎo)對象的相關(guān)業(yè)務(wù)系統(tǒng)進(jìn)行調(diào)研和梳理，結(jié)合系統(tǒng)實(shí)際情況建立安全監(jiān)測督導(dǎo)對象的告警處置驗(yàn)證機(jī)制，優(yōu)化告警策略，提高對安全事件的感知和處置能力，及時防范和應(yīng)對潛在的網(wǎng)絡(luò)安全風(fēng)險；安全服務(wù)人員通過集中收集各種安全事件的告警信息，對告警信息進(jìn)行及時分析和研判，識別真實(shí)威脅和誤報(bào)；安全服務(wù)人員須建立適宜的標(biāo)準(zhǔn)告警響應(yīng)流程，對高優(yōu)先級告警進(jìn)行快速響應(yīng)和處理，記錄和跟蹤告警事件的處理過程和結(jié)果；安全服務(wù)人員須定期檢查和優(yōu)化告警規(guī)則，確保其及時性和有效性；安全服務(wù)人員須對告警處置結(jié)果進(jìn)行復(fù)核驗(yàn)證；安全服務(wù)人員須依據(jù)階段性的告警分析、優(yōu)化和處置結(jié)果，定期輸出告警優(yōu)化與處置報(bào)告。（2）服務(wù)內(nèi)容1）對集中收集到的安全事件告警信息采取人工分析的方式進(jìn)行分析和分類，判斷告警信息是否為真實(shí)威脅，如果告警信息為誤報(bào)，則針對相應(yīng)的誤報(bào)告警規(guī)則進(jìn)行優(yōu)化；2）根據(jù)真實(shí)情況，建立應(yīng)急響應(yīng)流程，確保對于高優(yōu)先級的告警進(jìn)行快速響應(yīng)和處理；3）對告警事件的處理過程和處理結(jié)果進(jìn)行詳細(xì)的記錄，確保文檔的準(zhǔn)確性和可追溯性，以便后續(xù)查閱和審計(jì)；4）定期對告警規(guī)則進(jìn)行檢查分析，對誤報(bào)的告警信息優(yōu)化，確保告警規(guī)則的有效性和及時性；5）與業(yè)務(wù)部門和服務(wù)提供商進(jìn)行溝通協(xié)作，共同制定改進(jìn)告警優(yōu)化措施，提高威脅的處置能力；6）對告警處置結(jié)果進(jìn)行復(fù)核驗(yàn)證，并督促服務(wù)供應(yīng)商完善整改措施，持續(xù)優(yōu)化告警處置流程和規(guī)則。（3）服務(wù)交付物1）《告警規(guī)則及說明》2）《告警規(guī)則優(yōu)化報(bào)告》（4）交付標(biāo)準(zhǔn)1）告警優(yōu)化與管理服務(wù)過程需滿足本服務(wù)內(nèi)容表述的相關(guān)要求；2）告警處置驗(yàn)證機(jī)制需保證告警發(fā)現(xiàn)和處置的即時性，禁止出現(xiàn)有關(guān)安全事件無告警的情況或告警處置響應(yīng)時間不足導(dǎo)致安全事件發(fā)生的情況；3）《告警規(guī)則及說明》《告警規(guī)則優(yōu)化報(bào)告》能夠按照采購人要求進(jìn)行提供；4）《告警規(guī)則及說明》《告警規(guī)則優(yōu)化報(bào)告》需保持每月至少1次的報(bào)告輸出和備案。2.1.5威脅監(jiān)測與預(yù)警服務(wù)（1）服務(wù)要求威脅監(jiān)測與預(yù)警服務(wù)通過安全服務(wù)人員利用威脅情報(bào)刺探、網(wǎng)絡(luò)威脅情報(bào)分析模塊、暗網(wǎng)資源探知等技術(shù)手段，實(shí)時監(jiān)測國內(nèi)外網(wǎng)絡(luò)上的安全威脅，持續(xù)跟蹤并及時獲取突發(fā)高危漏洞信息或其他重大安全風(fēng)險信息，評估其潛在的影響，及時提出應(yīng)對策略方案并通知各安全監(jiān)測督導(dǎo)對象業(yè)務(wù)系統(tǒng)采取相應(yīng)的防護(hù)措施，確保系統(tǒng)的整體安全；安全服務(wù)人員須依據(jù)整體安全態(tài)勢建立可集中管理、存儲和更新威脅情報(bào)數(shù)據(jù)的數(shù)據(jù)庫，持續(xù)跟蹤相關(guān)情報(bào)內(nèi)容發(fā)展并對威脅情報(bào)數(shù)據(jù)庫進(jìn)行優(yōu)化和完善，包括常見威脅類型、攻擊方式等信息；安全服務(wù)人員須整理、分類和歸檔各類可信賴的威脅資源，包括惡意軟件樣本、攻擊工具等信息，在發(fā)現(xiàn)相關(guān)威脅時，利用資源庫進(jìn)行威脅分析和預(yù)警，追蹤威脅的潛在來源和路徑，并及時采取相應(yīng)措施進(jìn)行風(fēng)險規(guī)避；安全服務(wù)人員須依據(jù)階段性的威脅監(jiān)測結(jié)果，定期輸出威脅監(jiān)測與處置報(bào)告。（2）服務(wù)內(nèi)容1）對收集到的威脅情報(bào)進(jìn)行分類和分級，根據(jù)威脅的嚴(yán)重性和優(yōu)先級對其進(jìn)行排序；2）建立一個集中管理、存儲和更新威脅情報(bào)庫，通過自動化和人工的方式進(jìn)行收集，對收集到的情報(bào)進(jìn)行人工分析，確保信息的準(zhǔn)確性和完整性；3）根據(jù)威脅類型、攻擊方式等對情報(bào)進(jìn)行分類，并添加相應(yīng)的標(biāo)簽，便于后續(xù)查詢。根據(jù)新的威脅動態(tài)和情報(bào)源的變化，定期更新情報(bào)庫；4）整理、分類和歸檔各類可信賴的威脅資源，包括惡意軟件樣本、攻擊工具等信息，以便進(jìn)行威脅分析和溯源；5）通過使用威脅情報(bào)工具、網(wǎng)絡(luò)威脅情報(bào)分析模塊等技術(shù)手段，實(shí)時監(jiān)測網(wǎng)絡(luò)上的安全威脅，及時發(fā)現(xiàn)并通知各業(yè)務(wù)系統(tǒng)采取相應(yīng)的防護(hù)措施；6）通過分析現(xiàn)有威脅趨勢和漏洞情況，結(jié)合外部情報(bào)和業(yè)內(nèi)信息，預(yù)測未來可能出現(xiàn)的安全威脅，并制定相應(yīng)的應(yīng)對策略。（3）服務(wù)交付物《威脅監(jiān)測與預(yù)警報(bào)告》（4）交付標(biāo)準(zhǔn)1）威脅監(jiān)測與預(yù)警服務(wù)過程需滿足本服務(wù)內(nèi)容表述的相關(guān)要求；2）保持威脅情報(bào)數(shù)據(jù)庫的完整性和即時性，確保能夠提前感知到相關(guān)安全威脅，禁止出現(xiàn)攻擊發(fā)生卻沒有相關(guān)情報(bào)或者發(fā)現(xiàn)相關(guān)威脅卻沒有足夠的反應(yīng)時間的情況；3）《威脅監(jiān)測與預(yù)警報(bào)告》能夠按照采購人要求進(jìn)行提供；4）《威脅監(jiān)測與預(yù)警報(bào)告》需保持每周至少1次的報(bào)告輸出和備案。2.1.6網(wǎng)絡(luò)安全事件分析溯源服務(wù)（1）服務(wù)要求網(wǎng)絡(luò)安全事件分析溯源服務(wù)通過安全服務(wù)人員基于最新的安全事件分析模型和安全算法，針對安全監(jiān)測督導(dǎo)對象各業(yè)務(wù)系統(tǒng)已發(fā)生或正在發(fā)生的網(wǎng)絡(luò)安全事件進(jìn)行即時分析，明確安全事件的核心要素，包括事件的攻擊來源、攻擊目標(biāo)、攻擊手段等；安全服務(wù)人員須根據(jù)事件分析結(jié)果，給出相應(yīng)安全加固措施的指導(dǎo)建議，包括阻斷攻擊途徑、修復(fù)漏洞、優(yōu)化安全防護(hù)策略等；安全服務(wù)人員須評估安全事件對安全監(jiān)測督導(dǎo)對象各業(yè)務(wù)系統(tǒng)的影響，研判其威脅程度和潛在損害，包括系統(tǒng)影響、數(shù)據(jù)影響、業(yè)務(wù)影響等；安全服務(wù)人員須跟蹤事件的處置過程，協(xié)調(diào)各部門配合展開調(diào)查，確定事件范圍和影響程度，加快恢復(fù)安全監(jiān)測督導(dǎo)對象業(yè)務(wù)的正常運(yùn)行；安全服務(wù)人員須依據(jù)安全事件分析與溯源結(jié)果，輸出網(wǎng)絡(luò)安全事件分析與溯源報(bào)告；安全服務(wù)人員須整理各業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)安全事件突出類型，通報(bào)各相關(guān)責(zé)任單位，改進(jìn)防護(hù)措施。（2）服務(wù)內(nèi)容1）對收集到的安全事件和威脅情報(bào)進(jìn)行深入分析，了解攻擊者的行為模式和手段，推斷可能的目標(biāo)和動機(jī)，提供決策支持和防護(hù)建議；2）結(jié)合威脅情報(bào)和惡意行為分析結(jié)果，準(zhǔn)確識別出針對組織的威脅和攻擊。評估威脅的嚴(yán)重性、影響范圍、潛在風(fēng)險等信息，為制定處置策略提供依據(jù)；3）在發(fā)生安全事件時，利用資源庫進(jìn)行溯源調(diào)查，追蹤攻擊者的身份和行動路徑；4）持續(xù)跟蹤并及時獲取突發(fā)高危漏洞信息或其他重大安全風(fēng)險信息，并評估影響，及時提出應(yīng)對方案并通知各業(yè)務(wù)系統(tǒng)采取響應(yīng)的防護(hù)措施，防止安全事件的發(fā)生；（3）服務(wù)交付物1）《網(wǎng)絡(luò)安全事件分析溯源報(bào)告》2）《網(wǎng)絡(luò)安全事件類型梳理及防護(hù)建議》（4）交付標(biāo)準(zhǔn)1）網(wǎng)絡(luò)安全事件分析溯源服務(wù)過程需滿足本服務(wù)內(nèi)容表述的相關(guān)要求；2）網(wǎng)絡(luò)安全事件分析溯源服務(wù)需保證服務(wù)周期內(nèi)每個自然年總體上具有95%以上的分析溯源成功率；3）服務(wù)交付物能夠按照采購人要求進(jìn)行提供；4）服務(wù)交付物需保持每月至少1次的報(bào)告輸出和備案。2.1.7網(wǎng)絡(luò)安全事件應(yīng)急支撐服務(wù)（1）服務(wù)要求網(wǎng)絡(luò)安全事件應(yīng)急支撐服務(wù)的主要內(nèi)容為以督導(dǎo)方的視角，針對已經(jīng)發(fā)生或可能發(fā)生的安全事件對安全監(jiān)測督導(dǎo)對象實(shí)時情況進(jìn)行安全監(jiān)控、分析、協(xié)調(diào)和處理等。安全服務(wù)人員須制定標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全應(yīng)急支撐的工作流程，在發(fā)生重大網(wǎng)絡(luò)安全事件時，須協(xié)同各安全監(jiān)測督導(dǎo)對象，提供應(yīng)急響應(yīng)過程中的技術(shù)支撐、流程支撐以及資源協(xié)調(diào)支撐，以達(dá)到保護(hù)資產(chǎn)安全的同時實(shí)現(xiàn)對整個過程在合規(guī)性、規(guī)范化的監(jiān)督管控的目的。網(wǎng)絡(luò)安全應(yīng)急支撐服務(wù)主要是為了讓安全監(jiān)測督導(dǎo)對象在遇到突發(fā)網(wǎng)絡(luò)安全事件時做到有序應(yīng)對、妥善處理，實(shí)現(xiàn)督導(dǎo)方與安全監(jiān)測督導(dǎo)對象雙邊的協(xié)同協(xié)作，全面提高安全監(jiān)測督導(dǎo)對象的應(yīng)急響應(yīng)能力和水平，落實(shí)督導(dǎo)方對應(yīng)急響應(yīng)過程的支撐義務(wù)。（2）服務(wù)內(nèi)容1）定期對應(yīng)急響應(yīng)計(jì)劃進(jìn)行演練和更新，確保計(jì)劃的時效性和可操作性；2）通過安全監(jiān)控系統(tǒng)、日志分析等手段，持續(xù)監(jiān)測和檢測網(wǎng)絡(luò)和系統(tǒng)中的異?；顒雍蜐撛陲L(fēng)險。及時發(fā)現(xiàn)安全事件和威脅，確保安全事件的快速響應(yīng)；3）對發(fā)生的安全事件進(jìn)行快速響應(yīng)和詳細(xì)分析。確認(rèn)事件的性質(zhì)和嚴(yán)重程度，采取相應(yīng)措施進(jìn)行應(yīng)急處理，減少損失；4）在應(yīng)急響應(yīng)過程中，及時收集相關(guān)證據(jù)和取證信息，確保證據(jù)的完整性和可靠性，為后續(xù)溯源和法律追溯提供支持；5）針對發(fā)現(xiàn)的安全威脅，采取恰當(dāng)措施進(jìn)行威脅消除和系統(tǒng)修復(fù)。包括隔離受感染設(shè)備、修復(fù)漏洞和弱點(diǎn)、清除惡意代碼等；6）在應(yīng)急響應(yīng)過程中，與相關(guān)部門、合作伙伴和當(dāng)?shù)毓芾頇C(jī)構(gòu)保持及時溝通和協(xié)調(diào)。共同應(yīng)對和解決安全事件，確保信息的及時傳遞和共享；7）對應(yīng)急響應(yīng)過程進(jìn)行總結(jié)和評估，發(fā)現(xiàn)問題和不足。制定改進(jìn)措施，優(yōu)化應(yīng)急響應(yīng)計(jì)劃和流程，提高應(yīng)對能力和效率；8）定期對安全應(yīng)急演練工作進(jìn)行監(jiān)督和評估，確保其符合組織的安全策略和法規(guī)要求。根據(jù)監(jiān)督和評估結(jié)果，及時調(diào)整和優(yōu)化應(yīng)急演練工作方案，提高整體應(yīng)急響應(yīng)能力和安全事件處置效率。（3）服務(wù)交付物《網(wǎng)絡(luò)安全事件應(yīng)急支撐報(bào)告》（4）交付標(biāo)準(zhǔn)1）網(wǎng)絡(luò)安全事件應(yīng)急支撐服務(wù)過程需滿足本服務(wù)內(nèi)容表述的相關(guān)要求；2）《網(wǎng)絡(luò)安全事件應(yīng)急支撐報(bào)告》能夠按照采購人要求進(jìn)行提供；3）《網(wǎng)絡(luò)安全事件應(yīng)急支撐報(bào)告》需保持每月至少1次的報(bào)告輸出和備案。2.1.8網(wǎng)絡(luò)安全合規(guī)檢查服務(wù)（1）服務(wù)要求網(wǎng)絡(luò)安全合規(guī)檢查服務(wù)通過安全服務(wù)人員依照安全監(jiān)測督導(dǎo)對象的實(shí)際情況，制定網(wǎng)絡(luò)安全合規(guī)檢查方案，審核安全監(jiān)測督導(dǎo)對象各業(yè)務(wù)系統(tǒng)制定的漏洞掃描、基線核查、設(shè)備巡檢、風(fēng)險評估、應(yīng)急演練、供應(yīng)鏈安全管控等內(nèi)容的工作任務(wù)和計(jì)劃，督促安全監(jiān)測督導(dǎo)對象各業(yè)務(wù)系統(tǒng)按時開展漏洞掃描、基線核查、設(shè)備巡檢、風(fēng)險評估、應(yīng)急演練、供應(yīng)鏈安全管控等安全工作，及時發(fā)現(xiàn)并整改安全工作中發(fā)現(xiàn)的問題，及時反饋相關(guān)工作的總結(jié)或報(bào)告等文檔；安全服務(wù)人員須制定網(wǎng)絡(luò)安全合規(guī)檢查檢查方案，方案須明確網(wǎng)絡(luò)安全合規(guī)檢查的范圍和內(nèi)容，依據(jù)系統(tǒng)的重要程度和安全需求，設(shè)立對應(yīng)的網(wǎng)絡(luò)安全合規(guī)檢查周期，例如每季度進(jìn)行抽查；安全服務(wù)人員須依據(jù)網(wǎng)絡(luò)安全檢查結(jié)果，通知安全監(jiān)測督導(dǎo)對象責(zé)任單位及時處理系統(tǒng)存在的不合規(guī)的安全問題，制定問題修復(fù)計(jì)劃，跟蹤問題處理進(jìn)展，確保相關(guān)問題及時得到解決和修復(fù)；安全服務(wù)人員須根據(jù)網(wǎng)絡(luò)安全合規(guī)檢查結(jié)果，編制網(wǎng)絡(luò)安全合規(guī)檢查報(bào)告，報(bào)告中須包括網(wǎng)絡(luò)安全合規(guī)檢查情況總體概述、發(fā)現(xiàn)的問題、處理情況、改進(jìn)建議等內(nèi)容。（2）服務(wù)內(nèi)容1）制定對各業(yè)務(wù)系統(tǒng)安全檢查計(jì)劃和內(nèi)容的審核計(jì)劃，督促各業(yè)務(wù)定期開展安全檢查工作；并及時反饋安全檢查工作相關(guān)的總結(jié)、報(bào)告、問題整改結(jié)果文檔；2）審核各業(yè)務(wù)系統(tǒng)對操作系統(tǒng)、數(shù)據(jù)庫、中間件、網(wǎng)絡(luò)設(shè)備、虛擬化設(shè)備等開展基線核查工作情況。檢測內(nèi)容主要有賬戶口令、認(rèn)證授權(quán)、日志審計(jì)、遠(yuǎn)程管理、系統(tǒng)服務(wù)、協(xié)議安全和其它安全等，可以通過工具和人工結(jié)合的方式開展；3）審核各業(yè)務(wù)系統(tǒng)制定的漏洞掃描計(jì)劃，確保計(jì)劃符合安全策略和標(biāo)準(zhǔn)。確定掃描的頻率、范圍、目標(biāo)以及使用的掃描工具和技術(shù)；4）審核各業(yè)務(wù)系統(tǒng)對操作系統(tǒng)、數(shù)據(jù)庫、中間件、網(wǎng)絡(luò)設(shè)備、虛擬化設(shè)備等開展基線核查工作情況。檢測內(nèi)容主要有賬戶口令、認(rèn)證授權(quán)、日志審計(jì)、遠(yuǎn)程管理、系統(tǒng)服務(wù)、協(xié)議安全和其它安全等，可以通過工具和人工結(jié)合的方式開展；5）依據(jù)檢查標(biāo)準(zhǔn)，對檢查對象進(jìn)行綜合性的安全風(fēng)險與防護(hù)措施分析，包括不限于網(wǎng)絡(luò)安全域劃分與防護(hù)措施合理性、網(wǎng)絡(luò)行為安全分析、失陷檢測等方面，并根據(jù)檢查結(jié)果給出安全建議。（3）服務(wù)交付物1）《網(wǎng)絡(luò)安全合規(guī)檢查方案》2）《網(wǎng)絡(luò)安全合規(guī)檢查報(bào)告》（4）交付標(biāo)準(zhǔn)1）網(wǎng)絡(luò)安全監(jiān)測督導(dǎo)檢查服務(wù)過程需滿足本服務(wù)內(nèi)容表述的相關(guān)要求；2）《網(wǎng)絡(luò)安全合規(guī)檢查方案》和《網(wǎng)絡(luò)安全合規(guī)檢查報(bào)告》能夠按照采購人要求進(jìn)行提供；3）《網(wǎng)絡(luò)安全合規(guī)檢查方案》和《網(wǎng)絡(luò)安全合規(guī)檢查報(bào)告》需保持每季度至少1次的報(bào)告輸出和備案。2.2數(shù)據(jù)安全2.2.1數(shù)據(jù)資產(chǎn)發(fā)現(xiàn)與歸集服務(wù)（1）服務(wù)要求由日常服務(wù)團(tuán)隊(duì)借助數(shù)據(jù)資產(chǎn)測繪工具、API風(fēng)險監(jiān)測設(shè)備的自動化掃描探測能力，并將掃描結(jié)果與單位主動上報(bào)清單進(jìn)行比對，實(shí)現(xiàn)對安全監(jiān)測督導(dǎo)對象各個系統(tǒng)的數(shù)據(jù)資產(chǎn)發(fā)現(xiàn)與動態(tài)安全監(jiān)測督導(dǎo)，同時利用數(shù)據(jù)資產(chǎn)管理中心，以數(shù)字化的方式幫助監(jiān)測督導(dǎo)方全面掌握各個系統(tǒng)數(shù)據(jù)資產(chǎn)信息，為數(shù)據(jù)安全監(jiān)測督導(dǎo)、運(yùn)營提供有效數(shù)據(jù)支撐。（2）服務(wù)內(nèi)容1）數(shù)據(jù)資產(chǎn)發(fā)現(xiàn)：根據(jù)安全監(jiān)測督導(dǎo)對象所填報(bào)收集的數(shù)據(jù)庫、敏感數(shù)據(jù)資產(chǎn)等必要信息，整理生成數(shù)據(jù)資產(chǎn)原始目錄清單和敏感數(shù)據(jù)原始目錄清單；并利用技術(shù)工具，通過主動掃描、網(wǎng)絡(luò)嗅探等方式，形成數(shù)據(jù)資產(chǎn)掃描目錄清單和敏感數(shù)據(jù)掃描目錄清單，與原始清單進(jìn)行對比，派發(fā)給監(jiān)測督導(dǎo)對象進(jìn)行確認(rèn)；通過周期性、持續(xù)性的掃描、比對與確認(rèn)的方式，動態(tài)更新資產(chǎn)安全臺賬和敏感數(shù)據(jù)安全臺賬；API資產(chǎn)發(fā)現(xiàn)：根據(jù)安全檢測督導(dǎo)對象上報(bào)的API資產(chǎn)信息，整理生成數(shù)API資產(chǎn)原始目錄清單；通過技術(shù)手段發(fā)現(xiàn)并識別安全監(jiān)測督導(dǎo)對象相關(guān)API資產(chǎn)，梳理敏感API接口資產(chǎn)，形成API資產(chǎn)目錄清單、敏感API資產(chǎn)安全臺賬；并與原始清單進(jìn)行比對，派發(fā)給監(jiān)測督導(dǎo)對象進(jìn)行API資產(chǎn)確認(rèn)，并持續(xù)修正和更新API資產(chǎn)安全臺賬；API活躍度分析：針對API接口調(diào)用、訪問的頻次進(jìn)行周期性的統(tǒng)計(jì)和分析，動態(tài)監(jiān)測各個API資產(chǎn)的活動度，并輸出API接口活躍度報(bào)告，保障能及時掌握API接口的使用與訪問情況。（3）服務(wù)交付物1）《數(shù)據(jù)資產(chǎn)安全臺賬》2）《數(shù)據(jù)資產(chǎn)狀態(tài)及保護(hù)能力報(bào)告》3）《敏感數(shù)據(jù)安全臺賬》4）《API資產(chǎn)安全臺賬》5）《敏感API資產(chǎn)安全臺賬》6）《API活躍度報(bào)告》7）《數(shù)據(jù)分級分類政策包》（4）交付標(biāo)準(zhǔn)1）數(shù)據(jù)資產(chǎn)發(fā)現(xiàn)與監(jiān)測督導(dǎo)服務(wù)過程需滿足本服務(wù)內(nèi)容表述的相關(guān)要求；2）《數(shù)據(jù)資產(chǎn)安全臺賬》《敏感數(shù)據(jù)安全臺賬》《API資產(chǎn)安全臺賬》《敏感API資產(chǎn)安全臺賬》需保持即時動態(tài)更新，能夠即時的反映當(dāng)前最新的數(shù)據(jù)資源情況；3）《數(shù)據(jù)資產(chǎn)安全臺賬》《敏感數(shù)據(jù)安全臺賬》需具備完整性和可靠性，禁止出現(xiàn)因數(shù)據(jù)資產(chǎn)監(jiān)測督導(dǎo)臺賬缺失或錯誤導(dǎo)致防護(hù)缺失或不足，進(jìn)而被第三方途徑通報(bào)、利用，甚至出現(xiàn)相關(guān)安全問題的情況；4）《API資產(chǎn)安全臺賬》《敏感API資產(chǎn)安全臺賬》需具備完整性和可靠性，禁止出現(xiàn)因臺賬信息缺失或錯誤導(dǎo)致防護(hù)缺失或不足，進(jìn)而被第三方途徑通報(bào)、利用，甚至出現(xiàn)相關(guān)安全問題的情況；5）所有服務(wù)交付物能夠按照采購人要求進(jìn)行導(dǎo)出或提供，以支撐相關(guān)檢查或備案；7）《數(shù)據(jù)資產(chǎn)安全臺賬》《數(shù)據(jù)資產(chǎn)狀態(tài)及保護(hù)能力報(bào)告》《敏感數(shù)據(jù)安全臺賬》《敏感API資產(chǎn)安全臺賬》《API資產(chǎn)安全臺賬》《API活躍度報(bào)告》需保持每月至少1次的報(bào)告輸出和備案，《數(shù)據(jù)分級分類政策包》需保持每半年至少1次的報(bào)告輸出和備案。2.2.2場景梳理與風(fēng)險分析服務(wù)（1）服務(wù)要求數(shù)據(jù)流場景梳理與風(fēng)險分析服務(wù)主要是對安全監(jiān)管對象的數(shù)據(jù)流及重要場景進(jìn)行全面梳理，并根據(jù)梳理的結(jié)果對各個場景下的風(fēng)險點(diǎn)位進(jìn)行分析，通過對安全監(jiān)測督導(dǎo)對象各個系統(tǒng)進(jìn)行數(shù)據(jù)流轉(zhuǎn)、重點(diǎn)風(fēng)險場景的梳理，幫助采購人明確重點(diǎn)監(jiān)測督導(dǎo)方向，為后續(xù)數(shù)據(jù)安全風(fēng)險的發(fā)現(xiàn)預(yù)警與閉環(huán)處置打下基礎(chǔ)。根據(jù)本服務(wù)對重點(diǎn)監(jiān)測督導(dǎo)場景的梳理結(jié)果，服務(wù)團(tuán)隊(duì)將及時調(diào)整數(shù)據(jù)安全監(jiān)測預(yù)警、重點(diǎn)場景監(jiān)測督導(dǎo)等的安全策略配置，優(yōu)化數(shù)據(jù)安全規(guī)則模型配置中心的規(guī)則模型，進(jìn)一步提升數(shù)據(jù)安全監(jiān)測督導(dǎo)水平。（2）服務(wù)內(nèi)容1）數(shù)據(jù)流場景梳理與風(fēng)險分析，對業(yè)務(wù)場景下的數(shù)據(jù)流過程、數(shù)據(jù)流轉(zhuǎn)區(qū)域進(jìn)行詳細(xì)分析，數(shù)據(jù)流轉(zhuǎn)過程的梳理包括數(shù)據(jù)展現(xiàn)層、數(shù)據(jù)傳輸層、數(shù)據(jù)存儲層、數(shù)據(jù)使用和共享層；數(shù)據(jù)流轉(zhuǎn)區(qū)域包括數(shù)據(jù)的可控區(qū)域以及非可控區(qū)域；并對數(shù)據(jù)流轉(zhuǎn)鏈路進(jìn)行清晰刻畫，分析數(shù)據(jù)流轉(zhuǎn)過程中可能存在的風(fēng)險點(diǎn)，提出數(shù)據(jù)安全防護(hù)建議；同時，針對數(shù)據(jù)共享交換等重要環(huán)節(jié)，通過深度解析數(shù)據(jù)庫協(xié)議、接口調(diào)用行為，對安全監(jiān)測督導(dǎo)對象進(jìn)行風(fēng)險監(jiān)測；2）運(yùn)維場景梳理與風(fēng)險分析，對各安全監(jiān)測督導(dǎo)對象的運(yùn)維場景進(jìn)行詳細(xì)調(diào)研，根據(jù)調(diào)研的結(jié)果進(jìn)行統(tǒng)一整理和分析，用圖表的形式，詳細(xì)的表述系統(tǒng)的運(yùn)維場景，并全面的分析可能存在的風(fēng)險威脅，并形成輸出運(yùn)維人員風(fēng)險控制場景梳理清單，利用數(shù)據(jù)安全分析能力，對運(yùn)維場景下的風(fēng)險行為和威脅進(jìn)行分析和驗(yàn)證，及時發(fā)現(xiàn)異?，F(xiàn)象，防止不合規(guī)的操作發(fā)生；3）敏感數(shù)據(jù)分布梳理與風(fēng)險分析，對各安全監(jiān)測督導(dǎo)對象進(jìn)行敏感數(shù)據(jù)信息的調(diào)研和收集，包括敏感數(shù)據(jù)存儲、加工、共享交換各個節(jié)點(diǎn)的實(shí)際情況，并對調(diào)研收集的信息進(jìn)行統(tǒng)一的整理分析，形成系統(tǒng)敏感數(shù)據(jù)分布的清單，進(jìn)一步分析敏感數(shù)據(jù)可能存在的風(fēng)險點(diǎn)，并提出有效的解決方案，同時及時發(fā)現(xiàn)并分析可能存在的敏感數(shù)據(jù)風(fēng)險威脅，記錄和分析敏感數(shù)據(jù)的訪問情況和操作記錄，分析敏感數(shù)據(jù)的使用情況，提高敏感數(shù)據(jù)的安全保障能力。（3）服務(wù)交付物1）《數(shù)據(jù)流場景梳理與風(fēng)險分析清單》2）《運(yùn)維場景梳理與風(fēng)險分析清單》3）《敏感數(shù)據(jù)風(fēng)險點(diǎn)及處理建議》（4）交付標(biāo)準(zhǔn)1）所有服務(wù)過程需滿足本服務(wù)內(nèi)容表述的相關(guān)要求；2）所有交付物信息需保持即時動態(tài)更新，能夠即時的反映當(dāng)前最新的各場景監(jiān)測情況；3）《數(shù)據(jù)流場景梳理與風(fēng)險分析清單》需具備完整性和可靠性，禁止出現(xiàn)因數(shù)據(jù)流場景梳理缺失或錯誤導(dǎo)致防護(hù)缺失或不足，進(jìn)而被第三方途徑通報(bào)、利用，甚至出現(xiàn)相關(guān)安全問題的情況；4）《運(yùn)維場景梳理與風(fēng)險分析清單》需具備完整性和可靠性，禁止出現(xiàn)因特權(quán)賬號信息缺失或錯誤導(dǎo)致防護(hù)缺失或不足，進(jìn)而被第三方途徑通報(bào)、利用，甚至出現(xiàn)相關(guān)安全問題的情況；5）所有服務(wù)交付物能夠按照采購人要求進(jìn)行提供，以支撐相關(guān)檢查或備案；6）所有交付物需保持每季度至少1次的報(bào)告輸出和備案。2.2.3數(shù)據(jù)安全風(fēng)險監(jiān)測與預(yù)警服務(wù)（1）服務(wù)要求安全服務(wù)人員利用數(shù)據(jù)安全各類支撐工作，通過主動掃描、檢測分析等各種技術(shù)手段所產(chǎn)生的數(shù)據(jù)安全風(fēng)險告警，準(zhǔn)確識別安全監(jiān)測督導(dǎo)對象的數(shù)據(jù)資產(chǎn)以及在開展數(shù)據(jù)活動的過程中存在的風(fēng)險威脅，及時發(fā)現(xiàn)可能存在的異常行為，對所發(fā)現(xiàn)的風(fēng)險進(jìn)行人工驗(yàn)證和分析研判，結(jié)合所涉及的數(shù)據(jù)敏感度和重要性，進(jìn)一步分析風(fēng)險的潛在的影響范圍和危害程度，對風(fēng)險威脅進(jìn)行級別的判定，將相關(guān)風(fēng)險威脅及時通知給安全監(jiān)測督導(dǎo)對象相關(guān)責(zé)任單位，并提出有針對性的解決方案及建議，提醒并督促安全監(jiān)管對象及時進(jìn)行問題處置與整改，并對處置過程、處置結(jié)果進(jìn)行審查與驗(yàn)證，實(shí)現(xiàn)安全風(fēng)險的閉環(huán)處置。（2）服務(wù)內(nèi)容1）數(shù)據(jù)庫泄漏風(fēng)險監(jiān)測：通過安全技術(shù)能力發(fā)現(xiàn)安全監(jiān)測督導(dǎo)對象應(yīng)用服務(wù)和數(shù)據(jù)服務(wù)存在的數(shù)據(jù)泄漏風(fēng)險，并綜合判斷評估數(shù)據(jù)庫泄露風(fēng)險的危害程度，及時發(fā)現(xiàn)數(shù)據(jù)庫泄露風(fēng)險；2）數(shù)據(jù)庫漏洞風(fēng)險監(jiān)測：通過安全技術(shù)能力發(fā)現(xiàn)數(shù)據(jù)庫存在的弱點(diǎn)或缺陷漏洞，評估漏洞被利用而訪問和破壞數(shù)據(jù)的可能性；3）賬號安全風(fēng)險監(jiān)測：通過數(shù)據(jù)安全建模分析引擎以及駐場安全服務(wù)人員監(jiān)測分析發(fā)現(xiàn)賬號偏離日?；€的非常規(guī)操作行為，發(fā)現(xiàn)賬號中可能存在的風(fēng)險威脅；4）API數(shù)據(jù)泄漏風(fēng)險監(jiān)測：安全服務(wù)人員通過數(shù)據(jù)采集以及數(shù)據(jù)安全建模分析引擎進(jìn)行風(fēng)險分析，對風(fēng)險進(jìn)行分析研判，確定風(fēng)險真實(shí)性，發(fā)現(xiàn)通過接口的方式造成的數(shù)據(jù)安全風(fēng)險威脅。安全服務(wù)人員須及時將API數(shù)據(jù)泄漏風(fēng)險及時推送并通過分析研判模型進(jìn)行分類，及時通報(bào)預(yù)警；5）SQL數(shù)據(jù)泄漏風(fēng)險監(jiān)測：支持發(fā)現(xiàn)攻擊者利用應(yīng)用程序或系統(tǒng)漏洞，從數(shù)據(jù)庫內(nèi)獲取敏感信息的數(shù)據(jù)安全事件。通過數(shù)據(jù)安全建模分析引擎以及安全服務(wù)人員進(jìn)行風(fēng)險分析研判，確定風(fēng)險真實(shí)性，及時發(fā)現(xiàn)通過SQL語句執(zhí)行過程中發(fā)生的敏感數(shù)據(jù)的泄漏的風(fēng)險；6）暗網(wǎng)數(shù)據(jù)泄露監(jiān)測，通過全球部署在暗網(wǎng)雷達(dá)所挖掘的信息，轉(zhuǎn)化為暗網(wǎng)數(shù)據(jù)安全情報(bào)；安全服務(wù)人員實(shí)時對暗網(wǎng)中數(shù)據(jù)交易信息進(jìn)行搜集分析,全面搜集及監(jiān)控暗網(wǎng)中出現(xiàn)的新增泄露數(shù)據(jù)；以情報(bào)驅(qū)動安全事件窗口前移，建設(shè)暗網(wǎng)數(shù)據(jù)泄露風(fēng)險感知能力，可第一時間發(fā)現(xiàn)暗網(wǎng)數(shù)據(jù)泄露及黑灰產(chǎn)交易，推動及時處置，避免造成嚴(yán)重影響；7）數(shù)據(jù)出域風(fēng)險監(jiān)測，重點(diǎn)針對安全監(jiān)測督導(dǎo)對象可能存在的數(shù)據(jù)跨境傳輸風(fēng)險進(jìn)行監(jiān)測，包括對個人信息、敏感數(shù)據(jù)出境等行為進(jìn)行監(jiān)測，對數(shù)據(jù)跨境爬取、數(shù)據(jù)違規(guī)跨境傳輸?shù)蕊L(fēng)險進(jìn)行監(jiān)測告警，及時發(fā)現(xiàn)并支撐處置相關(guān)風(fēng)險行為；8）監(jiān)測預(yù)警報(bào)告輸出：通過常態(tài)化數(shù)據(jù)安全風(fēng)險監(jiān)測與預(yù)警服務(wù)，定期提供風(fēng)險監(jiān)測與預(yù)警報(bào)告，報(bào)告內(nèi)容包括但不限于數(shù)據(jù)安全風(fēng)險類型、風(fēng)險等級、風(fēng)險描述、告警情況等。（3）服務(wù)交付物1）《數(shù)據(jù)安全風(fēng)險監(jiān)測預(yù)警報(bào)告》（4）交付標(biāo)準(zhǔn)1）數(shù)據(jù)安全風(fēng)險監(jiān)測與預(yù)警服務(wù)過程需滿足本服務(wù)內(nèi)容表述的相關(guān)要求；2）數(shù)據(jù)安全風(fēng)險監(jiān)測與預(yù)警機(jī)制需保證風(fēng)險發(fā)現(xiàn)和預(yù)警的即時性，禁止出現(xiàn)有關(guān)安全事件未出現(xiàn)預(yù)警或預(yù)警處置響應(yīng)時間不足導(dǎo)致安全事件發(fā)生的情況；3）《數(shù)據(jù)安全風(fēng)險監(jiān)測預(yù)警報(bào)告》能夠按照采購人要求進(jìn)行提供；4）所有交付物需保持每周至少1次的報(bào)告輸出和備案。2.2.4數(shù)據(jù)安全告警策略優(yōu)化服務(wù)（1）服務(wù)要求數(shù)據(jù)安全告警策略優(yōu)化服務(wù)是對數(shù)據(jù)安全監(jiān)控中產(chǎn)生的大量告警信息進(jìn)行精細(xì)化管理和優(yōu)化的一項(xiàng)重要服務(wù)。它旨在解決傳統(tǒng)數(shù)據(jù)安全監(jiān)控中普遍存在的告警泛濫、誤報(bào)率高、關(guān)鍵告警被忽視等問題，通過規(guī)則調(diào)優(yōu)、建模分析等，優(yōu)化告警規(guī)則，自動篩選出真正需要監(jiān)管關(guān)注的高風(fēng)險告警，減少無效告警干擾，提高告警的準(zhǔn)確性和時效性。通過持續(xù)優(yōu)化告警機(jī)制維護(hù)數(shù)據(jù)安全環(huán)境的健康穩(wěn)定。若出現(xiàn)誤報(bào)、多報(bào)情況，則將情況一同反饋，作為規(guī)則策略優(yōu)化依據(jù)，安全服務(wù)人員根據(jù)反饋結(jié)果持續(xù)優(yōu)化策略以完善告警的有效性。（2）服務(wù)內(nèi)容1）統(tǒng)計(jì)與分析：收集整理存在的誤報(bào)、漏報(bào)、重復(fù)告警，并進(jìn)一步分析產(chǎn)生的原因，并以針對性的制定告警測繪優(yōu)化方案；2）告警規(guī)則優(yōu)化：包括但不限于針對數(shù)據(jù)安全分析能力的規(guī)則模型參數(shù)進(jìn)行調(diào)優(yōu)，安全告警策略進(jìn)行調(diào)整，安全設(shè)備規(guī)則調(diào)整；3）高細(xì)粒度白名單：因應(yīng)用開發(fā)或參數(shù)不規(guī)范所引起的告警誤報(bào)，確認(rèn)誤報(bào)行為，制定高細(xì)粒度白名單避免重復(fù)誤報(bào)告警；4）告警聚合：針對重復(fù)多報(bào)等告警行為，制定告警聚合策略，調(diào)整相應(yīng)參數(shù)，實(shí)現(xiàn)重復(fù)告警的聚合，避免海量重復(fù)告警產(chǎn)生告警噪聲；5）規(guī)則驗(yàn)證：對所優(yōu)化調(diào)整的模型規(guī)則進(jìn)行驗(yàn)證，確保調(diào)整后的模型規(guī)則仍具備相同的檢測與分析能力；6）報(bào)告輸出：針對告警優(yōu)化工作進(jìn)行優(yōu)化過程的詳細(xì)記錄，包括優(yōu)化內(nèi)容、優(yōu)化結(jié)果，并編制輸出優(yōu)化報(bào)告。（3）服務(wù)交付物《數(shù)據(jù)安全告警策略優(yōu)化報(bào)告》（4）交付標(biāo)準(zhǔn)1）數(shù)據(jù)安全告警優(yōu)化與監(jiān)測督導(dǎo)服務(wù)過程需滿足本服務(wù)內(nèi)容表述的相關(guān)要求；2）《數(shù)據(jù)安全告警策略優(yōu)化報(bào)告》能夠按照采購人要求進(jìn)行提供；3）《數(shù)據(jù)安全告警策略優(yōu)化報(bào)告》需保持每月至少1次的報(bào)告輸出和備案。2.2.5數(shù)據(jù)安全事件分析溯源服務(wù)（1）服務(wù)要求安全服務(wù)人員綜合運(yùn)用告警數(shù)據(jù)分析、行為分析和日志記錄分析等技術(shù)手段，對疑似或已確認(rèn)的數(shù)據(jù)安全事件進(jìn)行全面審查，包括但不限于入侵路徑、攻擊手法、受影響范圍、數(shù)據(jù)泄露程度等關(guān)鍵細(xì)節(jié)，對數(shù)據(jù)安全事件進(jìn)行深入分析，以確定事件的性質(zhì)、影響范圍和潛在原因，快速識別和追蹤數(shù)據(jù)泄露或網(wǎng)絡(luò)攻擊的源頭，評估事件對安全監(jiān)測督導(dǎo)對象的影響，制定有效的應(yīng)對措施，并采取行動以防止類似事件再次發(fā)生，針對數(shù)據(jù)安全事件的攻擊方式，利用手段，造成的數(shù)據(jù)安全風(fēng)險威脅等多維度，對整個數(shù)據(jù)安全事件類型進(jìn)行判定和梳理，并提出完善且可落地的整改建議，并將上述內(nèi)容編制并輸出成文檔。（2）服務(wù)內(nèi)容1）數(shù)據(jù)安全事件分析：針對重大數(shù)據(jù)安全事件，利用數(shù)據(jù)安全分析能力單元等工具進(jìn)行進(jìn)一步的分析，明確安全事件的性質(zhì)、影響范圍和潛在原因，評估事件的危害程度和范圍；2）數(shù)據(jù)安全事件調(diào)查溯源：將數(shù)據(jù)安全事件進(jìn)行相關(guān)風(fēng)險的串并，形成安全事件線索，明確數(shù)據(jù)攻擊的源頭，攻擊路徑，受害資產(chǎn)等，支撐數(shù)據(jù)安全事件的處置與修復(fù)；3）處置建議與方案：提供有針對性的解決方案和處置建議，協(xié)助并督促相關(guān)安全監(jiān)測督導(dǎo)對象進(jìn)行處置與整改；4）報(bào)告輸出：針對數(shù)據(jù)安全事件的詳細(xì)情況，以及解決方案等內(nèi)容進(jìn)行匯總分析，并編制出詳細(xì)的分析溯源報(bào)告，并對文檔進(jìn)行歸檔，支撐后續(xù)類似事件的處置和響應(yīng)。（3）服務(wù)交付物1）《數(shù)據(jù)安全事件分析溯源報(bào)告》2）《數(shù)據(jù)安全事件類型梳理及整改建議》（4）交付標(biāo)準(zhǔn)1）數(shù)據(jù)安全事件分析與溯源服務(wù)過程需滿足本服務(wù)內(nèi)容表述的相關(guān)要求；2）數(shù)據(jù)安全事件分析與溯源服務(wù)需保證服務(wù)周期內(nèi)每個自然年總體上具有95%以上的分析溯源成功率；3）所有交付物能夠按照采購人要求進(jìn)行提供；4）所有交付物需保持每月至少1次的報(bào)告輸出和備案。2.2.6數(shù)據(jù)安全事件應(yīng)急支撐服務(wù)（1）服務(wù)要求數(shù)據(jù)安全事件應(yīng)急支撐服務(wù)通過安全服務(wù)人員制定數(shù)據(jù)安全應(yīng)急支撐預(yù)案，根據(jù)預(yù)案制定數(shù)據(jù)安全應(yīng)急支撐的工作流程；在發(fā)生重大數(shù)據(jù)安全事件時，安全服務(wù)人員協(xié)同安全監(jiān)測督導(dǎo)對象，為其提供應(yīng)急響應(yīng)過程中的技術(shù)支撐、流程支撐以及資源協(xié)調(diào)支撐，實(shí)現(xiàn)安全服務(wù)人員與安全監(jiān)測督導(dǎo)對象雙邊的協(xié)同協(xié)作，全面提高安全監(jiān)測督導(dǎo)對象的應(yīng)急響應(yīng)能力和水平，同時也落實(shí)了安全服務(wù)人員對應(yīng)急響應(yīng)過程的支撐義務(wù)，實(shí)現(xiàn)對整個過程在合規(guī)性、規(guī)范化的監(jiān)督管控。（2）服務(wù)內(nèi)容1）應(yīng)急支撐預(yù)案編制：根據(jù)安全監(jiān)測督導(dǎo)的范圍、安全監(jiān)測督導(dǎo)對象，制定應(yīng)急支撐的具體流程，明確應(yīng)急支撐的角色與分工，并編制輸出數(shù)據(jù)安全事件應(yīng)急支撐預(yù)案；2）初期應(yīng)急支撐：安全監(jiān)測督導(dǎo)對象若發(fā)生重大安全事件，應(yīng)對安全監(jiān)測督導(dǎo)對象所上報(bào)的應(yīng)急支撐請求進(jìn)行響應(yīng)，根據(jù)應(yīng)急支撐流程和制度，組織數(shù)據(jù)安全專家，對事件進(jìn)行評級和初步分析，指導(dǎo)后續(xù)應(yīng)急支撐工作開展；3）中期應(yīng)急支撐：根據(jù)數(shù)據(jù)安全事件的情況和等級，向數(shù)據(jù)安全監(jiān)測督導(dǎo)對象組織指派數(shù)據(jù)安全專家，協(xié)助進(jìn)行數(shù)據(jù)安全事件的分析研判，及時遏制和消減避免繼續(xù)產(chǎn)生危害與影響。該數(shù)據(jù)安全專家對整個數(shù)據(jù)安全應(yīng)急響應(yīng)的工作進(jìn)行指導(dǎo)，提供專家級的解決方案建議，并對整個應(yīng)急響應(yīng)的流程和工作開展全過程進(jìn)行監(jiān)督和指導(dǎo)，及時指出該過程中可能存在的不合規(guī)、不規(guī)范的行為；4）后期應(yīng)急支撐：事件處理結(jié)束后，服務(wù)人員整理事件分析、事件處理的過程記錄和相關(guān)資料，撰寫應(yīng)急響應(yīng)服務(wù)記錄報(bào)告，并指派的數(shù)據(jù)安全專家進(jìn)行審核，并提出報(bào)告修改的建議。安全專家全程參與應(yīng)急響應(yīng)的總結(jié)復(fù)盤會議，對后續(xù)的處置方案進(jìn)行評估，并提出建議。（3）服務(wù)交付物1）《數(shù)據(jù)安全事件應(yīng)急支撐預(yù)案》2）《數(shù)據(jù)安全事件應(yīng)急支撐報(bào)告》（4）交付標(biāo)準(zhǔn)1）數(shù)據(jù)安全事件應(yīng)急支撐服務(wù)過程需滿足本服務(wù)內(nèi)容表述的相關(guān)要求；2）《數(shù)據(jù)安全事件應(yīng)急支撐預(yù)案》和《數(shù)據(jù)安全事件應(yīng)急支撐報(bào)告》能夠按照采購人要求進(jìn)行提供；3）《數(shù)據(jù)安全事件應(yīng)急支撐預(yù)案》需保持每半年至少1次的報(bào)告輸出和備案；4）《數(shù)據(jù)安全事件應(yīng)急支撐報(bào)告》需保持每月至少1次的報(bào)告輸出和備案。2.2.7數(shù)據(jù)安全監(jiān)督檢查服務(wù)（1）服務(wù)要求通過定期或者不定期的方式，對安全監(jiān)測督導(dǎo)對象在數(shù)據(jù)安全方面的管理機(jī)制、技術(shù)措施等多個維度進(jìn)行安全監(jiān)督檢查，及時發(fā)現(xiàn)安全監(jiān)測督導(dǎo)對象潛在的數(shù)據(jù)安全差距和風(fēng)險問題，并提出整改建議，督促其整改。安全服務(wù)人員須對數(shù)據(jù)安全管理及技術(shù)檢查需求進(jìn)行梳理，明確安全檢查的目的和需求，有針對性的制定詳細(xì)的數(shù)據(jù)安全監(jiān)督檢查方案，檢查內(nèi)容和檢查項(xiàng)；安全服務(wù)人員須將通過現(xiàn)場或遠(yuǎn)程的方式，按照安全檢查方案開展檢查工作，詳細(xì)記錄檢查過程和結(jié)果；安全服務(wù)人員須對安全檢查的結(jié)果進(jìn)行整理、匯總和分析，分別對各個安全監(jiān)測督導(dǎo)對象提出整改建議，并將問題和建議下發(fā)給各個安全監(jiān)測督導(dǎo)對象，督促其整改；安全服務(wù)人員須對整個安全檢查活動進(jìn)行總結(jié)，編制數(shù)據(jù)安全監(jiān)督檢查報(bào)告并進(jìn)行總結(jié)匯報(bào)。（2）服務(wù)內(nèi)容1）數(shù)據(jù)安全監(jiān)督檢查服務(wù)需求梳理，以國家、行業(yè)數(shù)據(jù)安全規(guī)范要求為基礎(chǔ)，結(jié)合數(shù)字XX建設(shè)相關(guān)要求，進(jìn)行數(shù)據(jù)安全管理檢查需求梳理，應(yīng)從數(shù)據(jù)安全管理體系為視角，從組織架構(gòu)、流程機(jī)制、職能職責(zé)等多維度進(jìn)行需求梳理；應(yīng)根據(jù)數(shù)據(jù)安全治理框架，從數(shù)據(jù)全生命周期各個階段，以及各個階段應(yīng)該具備的關(guān)鍵技術(shù)能力進(jìn)行需求梳理；2）數(shù)據(jù)安全監(jiān)督檢查方案編制，根據(jù)數(shù)據(jù)安全服務(wù)需求梳理的結(jié)果為依據(jù)，以及每次數(shù)據(jù)安全監(jiān)督檢查任務(wù)的目的和重點(diǎn)，進(jìn)行方案的編制，方案應(yīng)包含人員組織與安排，安全檢查對象與范圍，檢查方式，檢查項(xiàng)及內(nèi)容，安全檢查的流程等內(nèi)容，并制定科學(xué)有序的數(shù)據(jù)安全監(jiān)督檢查計(jì)劃；3）制定數(shù)據(jù)安全監(jiān)督檢查內(nèi)容：進(jìn)行數(shù)據(jù)安全監(jiān)督檢查內(nèi)容和細(xì)則的制定，數(shù)據(jù)安全管理監(jiān)督檢查包括但不限于：組織建設(shè)、工作機(jī)制、管理制度、應(yīng)急響應(yīng)、安全培訓(xùn)等內(nèi)容；數(shù)據(jù)安全技術(shù)監(jiān)督檢查包括但不限于：系統(tǒng)安全情況，分類分級、加密、脫敏、防泄漏、數(shù)據(jù)溯源等防護(hù)能力的應(yīng)用及落實(shí)情況；4）開展服務(wù)支撐：服務(wù)人員定期對安全監(jiān)測督導(dǎo)對象開展數(shù)據(jù)安全監(jiān)督檢查活動，服務(wù)人員可利用工具，通過現(xiàn)場及遠(yuǎn)程的方式開展檢查工作，并對檢查的內(nèi)容和結(jié)果進(jìn)行整理分析，向監(jiān)測督導(dǎo)方進(jìn)行匯報(bào)，對所存在的風(fēng)險問題提供解決方案及整改建議，督促安全監(jiān)測督導(dǎo)對象進(jìn)行整改。（3）服務(wù)交付物1）《數(shù)據(jù)安全監(jiān)督檢查方案》2）《數(shù)據(jù)安全監(jiān)督檢查報(bào)告》（4）交付標(biāo)準(zhǔn)1）數(shù)據(jù)安全監(jiān)督檢查服務(wù)過程需滿足本服務(wù)內(nèi)容表述的相關(guān)要求；2）所有交付物能夠按照采購人要求進(jìn)行提供；3）所有交付物需保持每季度至少1次的報(bào)告輸出和備案。3、安全能力服務(wù)3.1安全數(shù)據(jù)接入能力圍繞數(shù)字XX建設(shè)“1361”整體架構(gòu)提供安全數(shù)據(jù)接入能力，須完成至少包括云網(wǎng)、渝快辦、渝快政、三級數(shù)字化城市運(yùn)行和治理中心、公共數(shù)據(jù)資源管理系統(tǒng)、一體化數(shù)字資源系統(tǒng)、城市感知系統(tǒng)、能力組件管理系統(tǒng)、鄉(xiāng)鎮(zhèn)（街道）一體化治理智治平臺部署的安全組件的安全告警日志、系統(tǒng)日志、審計(jì)日志等的采集和匯聚，并完成安全數(shù)據(jù)的接入；同時，完成針對以上應(yīng)用系統(tǒng)所在政務(wù)云出口的全流量數(shù)據(jù)的安全接入。3.1.1安全日志接入重點(diǎn)圍繞部署在XX市政務(wù)云的數(shù)字XX“1361”整體架構(gòu)中的渝快政、渝快辦、三級數(shù)字化城市運(yùn)行和治理中心、公共數(shù)據(jù)資源管理系統(tǒng)、一體化數(shù)字資源系統(tǒng)、城市感知系統(tǒng)、能力組件管理系統(tǒng)、鄉(xiāng)鎮(zhèn)（街道）一體化治理智治平臺、云網(wǎng)等開展網(wǎng)絡(luò)安全日志采集接入，采集相關(guān)系統(tǒng)的安全日志，完成安全數(shù)據(jù)的收集及同步。采集到相關(guān)系統(tǒng)的安全日志數(shù)據(jù)后，須接入網(wǎng)絡(luò)安全分析能力與數(shù)據(jù)安全分析能力組件進(jìn)行統(tǒng)一分析管理。（1）性能要求1）支持syslog和kafka的采集方式，其中單節(jié)點(diǎn)syslog方式支持15000EPS；2）實(shí)時計(jì)算速度大于1Gb/s；3）數(shù)據(jù)接入速度大于1Gb/s；（2）功能要求1）提供主動、被動采集/收集目標(biāo)日志，包括SNMPTrap、Syslog、JDBC、文件\文件夾、FTP、SFTP、NetBIOS、OPSEC等多種方式完成日志采集/收集功能，支持agent代理采集，支持對KAFKA數(shù)據(jù)源采集，日志采集過程中需支持根據(jù)最小EPS、最大EPS、限流百分比等維度進(jìn)行限流；2）提供對無用日志的自動過濾能力，過濾條件可以按照所有范式化后的字段屬性來定義，包括但不限于源IP、目的IP、源端口、目的端口、時間、事件名稱、事件類型等，減少垃圾數(shù)據(jù)數(shù)量；3）提供范式化文件在線編輯功能，通過在線編輯范式化文件能夠快速調(diào)試解析文件，方便運(yùn)維人員調(diào)試；4）提供對無用信息的自動合并功能，支持設(shè)定合并的時間范圍，合并條件可以按照所有范式化后的字段屬性來定義，包括但不限于源IP、目的IP、源端口、目的端口、時間、事件名稱、事件類型等，減少垃圾數(shù)據(jù)數(shù)量；5）提供以SNMPTrap、Syslog、JDBC、文件\文件夾、FTP、SFTP、NetBIOS、OPSEC等多種方式完成日志收集的能力，支持對KAFKA數(shù)據(jù)源采集；6）提供對日志信息進(jìn)行分類的能力，分類按照安全事件的類型，而不是日志的設(shè)備類型，事件類型不少于10種大類，50種小類；7）提供通過WEB配置的方式選擇特定的數(shù)據(jù)源進(jìn)行解析的能力，同時支持拖拽式的方式選擇對應(yīng)的解析動作，解析動作至少支持正則表達(dá)式、JSON、CSV、IP透傳等方式；8）提供日志加密壓縮方式轉(zhuǎn)發(fā)能力，支持分流轉(zhuǎn)發(fā)，針對轉(zhuǎn)發(fā)給不同的目標(biāo)服務(wù)器支持配置不同的過濾器；3.1.2出口流量接入為保障數(shù)字XX“1361”各系統(tǒng)網(wǎng)絡(luò)安全，重點(diǎn)圍繞渝快政、渝快辦、三級數(shù)字化城市運(yùn)行和治理中心、公共數(shù)據(jù)資源管理系統(tǒng)、一體化數(shù)字資源系統(tǒng)、城市感知系統(tǒng)、能力組件管理系統(tǒng)、鄉(xiāng)鎮(zhèn)（街道）一體化治理智治平臺等所屬政務(wù)云出口，完成出口全流量的數(shù)據(jù)接入和采集，完成檢測數(shù)據(jù)向網(wǎng)絡(luò)安全分析能力單元的轉(zhuǎn)發(fā)。（1）性能要求1）網(wǎng)絡(luò)吞吐量≥20Gbps；2）流量數(shù)據(jù)采集支持不少于3000類應(yīng)用協(xié)議的識別和解析，應(yīng)用協(xié)議有效識別率不低于95%；（2）功能要求1）提供IPv4地址或IPv6地址配置接口服務(wù)能力，提供旁路IPv4和IPv6的IP阻斷、URL重定向、DNS重定向能力；2）實(shí)現(xiàn)網(wǎng)絡(luò)流量數(shù)據(jù)采集、威脅檢測和日志外發(fā)，具備阻斷TCP威脅會話連接能力，提供通過流量被動識別資產(chǎn)的能力；3）提供解析、生成及外發(fā)TCP/UDP/web訪問/域名解析/LADP行為/登錄動作/郵件行為/數(shù)據(jù)庫操作/SSL加密協(xié)商/異常報(bào)文/智能應(yīng)用/ICMP等日志能力；4）提供基于源地址、目的地址、服務(wù)、流量采樣比、時間進(jìn)行選擇數(shù)據(jù)采集對象的能力，可以針對采集對象進(jìn)行網(wǎng)絡(luò)流量數(shù)據(jù)采集和威脅檢測數(shù)據(jù)采集，網(wǎng)絡(luò)流量數(shù)據(jù)采集支持自定義流量載荷的格式和流量上下行載的長度；5）提供惡意文件檢測、漏洞檢測、web威脅檢測、間諜軟件檢查、網(wǎng)絡(luò)層攻擊檢測能力；6）提供HTTPS流量解密能力，可添加基于源地址、目的地址的解密策略。7）具備語言環(huán)境關(guān)聯(lián)分析技術(shù)，精準(zhǔn)識別網(wǎng)絡(luò)攻擊及威脅應(yīng)用；3.1.3API接口信息為保障數(shù)字XX“1361”各系統(tǒng)數(shù)據(jù)接口安全，重點(diǎn)圍繞渝快政、渝快辦、三級數(shù)字化城市運(yùn)行和治理中心、公共數(shù)據(jù)資源管理系統(tǒng)、一體化數(shù)字資源系統(tǒng)、城市感知系統(tǒng)、能力組件管理系統(tǒng)、鄉(xiāng)鎮(zhèn)（街道）一體化治理智治平臺等的數(shù)據(jù)接口，部署接口數(shù)據(jù)信息檢測能力，實(shí)現(xiàn)對API接口信息與風(fēng)險的識別，并將相關(guān)信息向數(shù)據(jù)安全分析能力單元進(jìn)行轉(zhuǎn)發(fā)。（1）性能要求1）流量處理能力≥10Gbps；2）http事件解析并發(fā)量≥20000QPS；3）支持敏感數(shù)據(jù)標(biāo)簽數(shù)≥100；4）支持審計(jì)API數(shù)≥10W；5）可審計(jì)單日志大小≥16MB；6）支持主體行為風(fēng)險識別類型≥20；7）支持漏洞檢測規(guī)則≥3000；（2）功能要求1）提供通過鏡像流量方式進(jìn)行流量數(shù)據(jù)采集的能力，提供日志接入能力，實(shí)現(xiàn)接口行為審計(jì)；2）具備IPv6環(huán)境下監(jiān)測的能力，支持IPv6標(biāo)準(zhǔn)協(xié)議且具有良好的一致性和互通性。3）提供資產(chǎn)發(fā)現(xiàn)與管理能力，支持從網(wǎng)絡(luò)流量中還原應(yīng)用層資產(chǎn)數(shù)據(jù)，包括應(yīng)用、文件、API、賬號，可對資產(chǎn)進(jìn)行分類管理和展示；4）提供列表結(jié)構(gòu)呈現(xiàn)應(yīng)用清單的能力，展示包括應(yīng)用名稱、應(yīng)用域名、IP端口、訪問量、訪問域、部署域、生命周期、狀態(tài)、發(fā)現(xiàn)時間、活躍時間等基本信息；展示關(guān)聯(lián)資源數(shù)包括：關(guān)聯(lián)API數(shù)、關(guān)聯(lián)文件數(shù)、關(guān)聯(lián)賬號數(shù)等統(tǒng)計(jì)信息。展示系統(tǒng)識別的應(yīng)用傳輸?shù)恼埱髷?shù)據(jù)標(biāo)簽、返回?cái)?shù)據(jù)標(biāo)簽；5）提供自定義API打標(biāo)策略的能力，可細(xì)粒度配置到請求方式、請求URL、請求頭、請求體、響應(yīng)碼、響應(yīng)頭、響應(yīng)體、四元組、API

類型等，支持對以上維度進(jìn)行組合配置，部分指標(biāo)支持：正則匹配、敏感數(shù)據(jù)種類、敏感數(shù)數(shù)量識別、此項(xiàng)缺失等方式進(jìn)行配置；6）提供API審計(jì)能力，支持API接口數(shù)據(jù)審計(jì)，審計(jì)內(nèi)容包括API請求頭/請求體、API響應(yīng)頭/響應(yīng)體，可識別敏感數(shù)據(jù)和傳輸文件；7）提供根據(jù)API賬號提取配置自動對日志的操作對象賬號進(jìn)行賬號提取的能力，具備自動賬號提取配置，或手動對

API

設(shè)置賬號提取配置的能力；8）內(nèi)置40+脆弱性風(fēng)險策略，至少包括：敏感接口未鑒權(quán)、認(rèn)證令牌有效期過長、水平越權(quán)、脫敏策略不一致、任意文件讀取、源代碼泄漏、系統(tǒng)信息泄漏、敏感文件泄露等，內(nèi)置3000+應(yīng)用漏洞監(jiān)測規(guī)則，其中包括90+未授權(quán)漏洞監(jiān)測規(guī)則，覆蓋Apache

Spark、OpenAPI、Weblogic等常用組件未授權(quán)漏洞監(jiān)測、500+敏感文件泄漏監(jiān)測規(guī)則，900

+命令執(zhí)行漏洞監(jiān)測規(guī)則；9）提供數(shù)據(jù)溯源能力，支持對風(fēng)險事件關(guān)聯(lián)的審計(jì)日志進(jìn)行數(shù)據(jù)溯源，包括客戶端、訪問方式、應(yīng)用、請求與響應(yīng)、文件等內(nèi)容的功能;10）提供風(fēng)險告警能力，系統(tǒng)內(nèi)置風(fēng)險策略庫，也可基于關(guān)鍵詞、正則、文件類型、IP組、時間、組織架構(gòu)等檢測因子自定義風(fēng)險規(guī)則及策略，并產(chǎn)生風(fēng)險告警日志。3.1.4敏感數(shù)據(jù)信息為保障數(shù)字XX“1361”各系統(tǒng)數(shù)據(jù)安全，重點(diǎn)圍繞渝快政、渝快辦、三級數(shù)字化城市運(yùn)行和治理中心、公共數(shù)據(jù)資源管理系統(tǒng)、一體化數(shù)字資源系統(tǒng)、城市感知系統(tǒng)、能力組件管理系統(tǒng)、鄉(xiāng)鎮(zhèn)（街道）一體化治理智治平臺等的敏感數(shù)據(jù)安全，部署敏感數(shù)據(jù)監(jiān)測能力，實(shí)現(xiàn)網(wǎng)絡(luò)層面的敏感數(shù)據(jù)外發(fā)、敏感數(shù)據(jù)泄漏等風(fēng)險的全面檢測和識別，并將相關(guān)信息向數(shù)據(jù)安全分析單元進(jìn)行轉(zhuǎn)發(fā)。（1）性能要求1）最大吞吐量≥10Gbps；2）每秒處理HTTPPOST連接數(shù)（POST文件大小為15kBytes）≥200個；3）每秒處理SMTP郵件數(shù)（郵件大小50kBytes）≥160封；4）HTTP協(xié)議吞吐率≥1000Mbps；5）SMTP協(xié)議吞吐率≥200Mbps；（2）功能要求1）提供實(shí)時雙向流量的內(nèi)容審計(jì)能力，具備對上傳和下載文件內(nèi)容進(jìn)行識別和過濾的能力；2）具備識別常見的文件類型及內(nèi)容：辦公類：doc、docx、xlsx、xls、xlsm、xltm、ppt、pptx、pps、docm、pdf、wps等；圖片類/OCR識別：jpg、jpeg、png、bmp、gif、tif、tiff等；壓縮類：rar、zip、7z、tar，war等，支持處理壓縮炸彈，壓縮層級支持設(shè)置；文本類：txt、rtf；源代碼類：c++、cs、php、py、js、java、class、go、bat、vb、vbs、vbe等；設(shè)計(jì)圖紙類：dwg、dxf；音視頻類（類型識別）：amr、wmv、mov、wma等；3）提供數(shù)據(jù)標(biāo)識符識別能力，包括身份證、銀行卡、手機(jī)號、車牌號、護(hù)照、地址、郵箱、軍官證、MAC地址、金額、臺胞證、港澳通行證、常用姓等；4）提供異常數(shù)據(jù)安全行為識別能力，發(fā)現(xiàn)非工作時間操作、高頻訪問、超量外發(fā)、點(diǎn)滴式泄露等異常行為。協(xié)助采購人排查內(nèi)部風(fēng)險人員（待離職、內(nèi)鬼、疏忽大意的員工等）；5）提供語義模型、無監(jiān)督學(xué)習(xí)，生成自動分類模型，通過用戶上傳文件夾，依據(jù)相似度自動對文件進(jìn)行聚類，并生成文件關(guān)鍵詞及其權(quán)重。3.1.5數(shù)據(jù)資產(chǎn)信息重點(diǎn)圍繞數(shù)字XX“1361”整體架構(gòu)中的渝快政、渝快辦、三級數(shù)字化城市運(yùn)行和治理中心、公共數(shù)據(jù)資源管理系統(tǒng)、一體化數(shù)字資源系統(tǒng)、城市感知系統(tǒng)、能力組件管理系統(tǒng)、鄉(xiāng)鎮(zhèn)（街道）一體化治理智治平臺等的數(shù)據(jù)資產(chǎn)安全，部署數(shù)據(jù)資產(chǎn)測繪能力，對相關(guān)系統(tǒng)的數(shù)據(jù)庫的資產(chǎn)進(jìn)行全面掃描測繪，對相關(guān)風(fēng)險進(jìn)行識別分析，并將數(shù)據(jù)資產(chǎn)信息回傳至數(shù)據(jù)安全分析能力組件進(jìn)行分析及管理。（1）性能要求1）支持?jǐn)?shù)據(jù)庫表量級≥1000萬列；2）支持?jǐn)?shù)據(jù)源類型≥40；3）數(shù)據(jù)表資產(chǎn)信息展示≥15；4）數(shù)據(jù)字段資產(chǎn)展示信息≥10；5）個人信息相關(guān)識別規(guī)則≥200條；（2）功能要求1）提供通過指定IP段、端口方式，定時掃描當(dāng)前網(wǎng)絡(luò)環(huán)境下的數(shù)據(jù)庫資產(chǎn)的能力；2）敏感數(shù)據(jù)信息識別安全能力支持?jǐn)?shù)據(jù)庫類型包括但不限于MySQL、Oracle、PostgreSQL、UXDB、MSSQL、MariaDB、Informix、Sysbase、DM、DB2、GBase、CacheDB、KingBase、Oscar、Oceanbase、GoldenDB、TiDB、MyCat、DBLE、DRDS、Hive、Inceptor、Impala、MongoDB、Elasticsearch、ClickHouse、GreenPlum、Hbase、ODPS、PolarDB、TeraData、Vertica、Gauss100、Gauss200、HANA等；3）提供對于數(shù)據(jù)源中所包含的數(shù)據(jù)質(zhì)量進(jìn)行評估的能力，評估指標(biāo)包含：字段總數(shù)、字段注釋存在數(shù)、有含義的字段注釋數(shù)、有含義的字段注釋去重?cái)?shù)、表總數(shù)、表注釋存在數(shù)、有含義的表注釋數(shù)、有含義的表注釋去重?cái)?shù)；4）提供有監(jiān)督學(xué)習(xí)模型的訓(xùn)練能力，模型算法包括傳統(tǒng)集成學(xué)習(xí)、快速神經(jīng)網(wǎng)絡(luò)、深度神經(jīng)網(wǎng)絡(luò)等至少3種類型，并可支持配置訓(xùn)練輪數(shù)、學(xué)習(xí)率等參數(shù)，以便滿足不同場景的學(xué)習(xí)訓(xùn)練要求；5）內(nèi)置不少于2600種數(shù)據(jù)庫漏洞庫，提供風(fēng)險檢測的數(shù)據(jù)庫漏洞檢測，至少包括但不限于漏洞名稱、CVE編號、漏洞等級、漏洞描述、解決建議、數(shù)據(jù)庫類型、數(shù)據(jù)庫版本等信息；6）提供精確的敏感數(shù)據(jù)識別能力，通過對接聯(lián)動數(shù)據(jù)安全分析能力服務(wù)中的安全智能體，利用安全大模型對所識別的數(shù)據(jù)資產(chǎn)進(jìn)行類別和級別的判定，進(jìn)一步支撐敏感數(shù)據(jù)的監(jiān)測督導(dǎo)工作；3.2安全數(shù)據(jù)管理能力3.2.1數(shù)據(jù)采集（1）網(wǎng)絡(luò)流量日志采集1）支持對流量采集器進(jìn)行新增、編輯、刪除、清除未解析日志等操作。支持按照采集器狀態(tài)（全部、在線、離線）對的采集器進(jìn)行過濾顯示；2）支持查看最新未解析的日志信息，支持根據(jù)下拉選擇編碼方式（包括UTF-8、Unicode、ASCII、GBK、GB2312等）切換未解析日志的編碼；3）支持根據(jù)采集方式過濾顯示未解析日志，支持導(dǎo)出和清除未解析日志；4）支持呈現(xiàn)數(shù)據(jù)源IP、數(shù)據(jù)源名稱、狀態(tài)、端口、收到最近一條日志時間和描述等。（2）流量日志告警采集1）提供網(wǎng)絡(luò)攻擊告警采集分析能力，包括DDOS攻擊、后門攻擊、漏洞攻擊、網(wǎng)絡(luò)掃描竊聽、干擾事件等；2）提供有害程序告警采集分析能力，包括勒索病毒、蠕蟲、特洛伊木馬、僵尸網(wǎng)絡(luò)、混合攻擊程序、網(wǎng)頁內(nèi)嵌惡意代碼事件等；3）提供主機(jī)層安全告警采集分析能力，包括暴力破解、端口掃描、漏掃掃描與利用、Bash主動外聯(lián)、異常主機(jī)行為、異常進(jìn)程，異常賬號行為等；4）提供應(yīng)用層安全告警采集分析能力，包括WEB漏洞掃描、WEBSHELL行為、網(wǎng)站JAVASCRIPT掛馬、網(wǎng)頁篡改、域名劫持、惡意文件傳播、不良信息傳輸、業(yè)務(wù)邏輯漏洞利用等；5）支持查看最新未解析的告警信息，支持根據(jù)下拉選擇編碼方式（包括UTF-8、Unicode、ASCII、GBK、GB2312等）切換未解析日志的編碼；6）支持對于采集器的topic配置、端口設(shè)置、日志插件的啟停配置以及kafka集群配置等；7）支持對采集器的數(shù)據(jù)源管理，包括采集器名稱、類型、狀態(tài)、IP地址、未解析日志累計(jì)值和描述等。（3）存量安全日志采集1）支持對主流的網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)等安全日志、網(wǎng)絡(luò)流量以及業(yè)務(wù)信息等多種數(shù)據(jù)源的采集；2）支持對接入數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化梳理，將數(shù)據(jù)歸一化處理為統(tǒng)一格式的指定類型數(shù)據(jù)；3）內(nèi)置不少于500種日志類型、覆蓋不少于50類設(shè)備的數(shù)據(jù)解析規(guī)則；4）支持Syslog、SNMPTrap、Netflow、JDBC、WMI、FTP、SFTP、agent等采集方式。支持對日志采集器進(jìn)行采集配置并下發(fā)。（4）日志采集技術(shù)標(biāo)準(zhǔn)1）支持目前包括但不限于主流安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機(jī)、數(shù)據(jù)庫、中間件、應(yīng)用系統(tǒng)和虛擬化系統(tǒng)等；2）支持常見的虛擬機(jī)環(huán)境日志收集，至少包括Xen、VMWare、Hyper-V等；3）可以通過自定義配置進(jìn)行日志過濾；4）支持對收集到的重復(fù)的日志進(jìn)行自動的聚合歸并，減少日志量；5）支持將收集到的日志轉(zhuǎn)發(fā)，當(dāng)原始日志設(shè)備無法設(shè)置多個日志服務(wù)器時，可以通過日志轉(zhuǎn)發(fā)功能將日志轉(zhuǎn)發(fā)到其他日志存儲設(shè)備；6）支持多種采集協(xié)議，以實(shí)現(xiàn)對各類數(shù)據(jù)的采集，包括不限于安全對象屬性、運(yùn)行狀態(tài)、安全事件、評估與檢測等數(shù)據(jù)；7）支持對全流量威脅進(jìn)行識別，并通過雙向流量檢測對網(wǎng)絡(luò)流量行為判定，識別出病毒、木馬、敏感信息等異常行為；8）支持多種網(wǎng)絡(luò)協(xié)議的深度解析，包括Netflow，HTTP、DNS、FTP、FTP、TFTP、SMTP、POP3、IMAP、SMB、TELNET、LDAP、KRB5、SSH、TLS、IKEV2等協(xié)議的深度解析和登錄行為審計(jì)、文件通信審計(jì)、流量會話行為等行為識別，從而發(fā)現(xiàn)隱蔽威脅和潛伏型攻擊；9）支持根據(jù)數(shù)據(jù)包特征和流量行為對流量進(jìn)行深度解析，包括行為審計(jì)、探測掃描、漏洞利用、可疑通信、DDOS、惡意程序、配置風(fēng)險、賬號異常、主機(jī)異常、Web攻擊、惡意文件及病毒攻擊、異常威脅、異常用戶名登錄請求、可疑執(zhí)行代碼等非正常和非RFC遵從的請求行為以風(fēng)險級別實(shí)時呈現(xiàn)，為威脅風(fēng)險分析和管理提供依據(jù)；10）針對網(wǎng)絡(luò)中所有在線設(shè)備進(jìn)行自主網(wǎng)絡(luò)掃描和深入識別，獲取資產(chǎn)的網(wǎng)絡(luò)地址、系統(tǒng)網(wǎng)絡(luò)指紋、系統(tǒng)開放端口和服務(wù)指紋，并根據(jù)積累和運(yùn)營的指紋庫裁定每個資產(chǎn)的類型、操作系統(tǒng)、廠商信息等；11）支持主動的系統(tǒng)、應(yīng)用層、中間件、數(shù)據(jù)庫漏洞檢測，漏洞庫具備實(shí)時更新和自定義功能；可檢測主流windows、Linux、國產(chǎn)操作系統(tǒng)漏洞；內(nèi)置通用性弱口令字典，并可增加自定義字典。3.2.2數(shù)據(jù)治理（1）數(shù)據(jù)處理流程1）提供自定義數(shù)據(jù)解析規(guī)則的能力。提供自定義解析規(guī)則功能，可根據(jù)應(yīng)用場景，通過在線簡捷配置，選擇插件、正則表達(dá)式、分隔符、Key-Value、JSON等方法定義解析規(guī)則，用于后續(xù)的日志格式范式化；2）提供自定義過濾規(guī)則功能，通過配置AND、OR等嵌套關(guān)聯(lián)邏輯、條件及操作符來實(shí)現(xiàn)復(fù)雜的日志過濾需求，減少無用日志數(shù)量。支持導(dǎo)入導(dǎo)出，格式為xml或壓縮包；3）提供數(shù)據(jù)轉(zhuǎn)換流程定義的能力，提供信息預(yù)處理功能，可以通過簡捷配置相關(guān)解析規(guī)則、過濾規(guī)則、富化規(guī)則、日志類型，來達(dá)到歸一化、過濾、富化、分類日志信息的目的。支持流程創(chuàng)建，流程導(dǎo)入，流程導(dǎo)出，并對流程進(jìn)行調(diào)試、配置；4）提供數(shù)據(jù)補(bǔ)全能力，根據(jù)數(shù)據(jù)格式的統(tǒng)一要求，以及通過給定的數(shù)據(jù)補(bǔ)全規(guī)則，實(shí)現(xiàn)對于數(shù)據(jù)源中缺失的數(shù)據(jù)項(xiàng)的補(bǔ)充；5）提供自定義富化規(guī)則功能，可引用值映射表來實(shí)現(xiàn)富化規(guī)則，達(dá)到豐富日志信息的目的。支持將各個規(guī)則進(jìn)行組合，方便數(shù)據(jù)處理配置引用；6）支持將標(biāo)準(zhǔn)化數(shù)據(jù)與基礎(chǔ)數(shù)據(jù)、知識數(shù)據(jù)進(jìn)行關(guān)聯(lián)，完善和補(bǔ)充基礎(chǔ)數(shù)據(jù)、知識數(shù)據(jù)；7）支持對數(shù)據(jù)打上標(biāo)簽，結(jié)合知識圖譜，將數(shù)據(jù)進(jìn)行有效的標(biāo)識；8）支持按照數(shù)據(jù)來源、數(shù)據(jù)類型、數(shù)據(jù)屬性等維度對數(shù)據(jù)進(jìn)行分類。數(shù)據(jù)來源包括各類安全數(shù)據(jù)、流量數(shù)據(jù)、情報(bào)數(shù)據(jù)、資產(chǎn)數(shù)據(jù)等。數(shù)據(jù)類型是從不同的維度區(qū)分，如IP、設(shè)備等；9）支持對集群各個節(jié)點(diǎn)的健康狀態(tài)，以及數(shù)據(jù)采集、處理、存儲等全流程的各個日志處理環(huán)節(jié)的性能和運(yùn)行狀況；（2）流程管理1）支持可視化的流程的創(chuàng)建，能夠?qū)⒘鞒痰母鱾€節(jié)點(diǎn)插件拖拽進(jìn)來，使用連線將其連接，編輯節(jié)點(diǎn)屬性實(shí)現(xiàn)流程的創(chuàng)建；2）支持基于預(yù)置的輸入類、編碼類、富化類、輸出類、控制類和第三方插件等多個插件為接收到的數(shù)據(jù)進(jìn)行可視化的解析、轉(zhuǎn)換、富化、存儲等數(shù)據(jù)處理工作；3）支持針對數(shù)據(jù)接入流程的調(diào)試功能，包括單步、斷點(diǎn)、執(zhí)行到此、由此執(zhí)行、退出調(diào)試等；（3）規(guī)則管理1）支持通過正則表達(dá)式、分隔符、KEY-VALUE和JSON等方式對日志進(jìn)行提取、解析、清洗，并可以定義前置過濾規(guī)則；2）支持AND、NOT和OR三種語義，可以針對解析規(guī)則解析出來的特征字段進(jìn)一步清洗和轉(zhuǎn)換，包括過濾規(guī)則名稱、日志類型、是否引用、創(chuàng)建者、修改時間、描述等；3）支持根據(jù)解析規(guī)則解析出來的源字段生成新的字段，從而實(shí)現(xiàn)數(shù)據(jù)的關(guān)聯(lián)、映射等；（4）插件管理：支持自定義編寫插件應(yīng)用，以及進(jìn)行復(fù)雜判斷和運(yùn)算邏輯的運(yùn)行計(jì)算能力，支持對于插件的操作，包括：導(dǎo)入、導(dǎo)出、刪除、查看等；（5）配置管理1）支持對數(shù)據(jù)接入的服務(wù)參數(shù)進(jìn)行配置管理，包括新增配置、配置導(dǎo)入、配置導(dǎo)出、一鍵升級、編輯、刪除和復(fù)制；2）支持針對字段富化成新值的映射表管理；3.2.3數(shù)據(jù)管理（1）元數(shù)據(jù)管理1）提供數(shù)據(jù)標(biāo)準(zhǔn)目錄的管理能力，支持基礎(chǔ)標(biāo)準(zhǔn)主題的維護(hù)；2）提供數(shù)據(jù)標(biāo)準(zhǔn)信息管理的能力，包括數(shù)據(jù)標(biāo)準(zhǔn)信息項(xiàng)和數(shù)據(jù)標(biāo)準(zhǔn)分類詳情。能夠支持?jǐn)?shù)據(jù)標(biāo)準(zhǔn)的數(shù)據(jù)項(xiàng)設(shè)置，包括但不限于標(biāo)準(zhǔn)編碼、標(biāo)準(zhǔn)中文名稱、標(biāo)準(zhǔn)英文名稱、數(shù)據(jù)長度、數(shù)據(jù)精度、度量單位、樣例數(shù)據(jù)、制定依據(jù)、業(yè)務(wù)規(guī)則、內(nèi)容描述、自動關(guān)聯(lián)信息分類編碼標(biāo)準(zhǔn)等；3）提供數(shù)據(jù)業(yè)務(wù)類型的管理的能力，支持對數(shù)據(jù)業(yè)務(wù)類型的添加、編輯、刪除、復(fù)制、批量刪除等操作，能夠管理和設(shè)置不同數(shù)據(jù)源的數(shù)據(jù)物理類型與數(shù)據(jù)業(yè)務(wù)類型的映射關(guān)系，包括：MySQL、Hbase、Hive、HDFS、ElasticSearch、PostgreSQL、clickhouse等；4）內(nèi)置網(wǎng)絡(luò)安全的信息分類編碼標(biāo)準(zhǔn)，包括：公共代碼、業(yè)務(wù)系統(tǒng)、告警主題、資產(chǎn)主題、事件主題、漏洞主題等。支持對信息分類編碼的新建、導(dǎo)入、導(dǎo)出、檢索等操作；5）提供數(shù)據(jù)質(zhì)量的檢測能力，能夠支持檢測規(guī)則的配置，包括數(shù)據(jù)規(guī)范性檢測、數(shù)據(jù)一致性檢測、數(shù)據(jù)唯一性檢測；6）提供實(shí)現(xiàn)數(shù)據(jù)質(zhì)量的評分的參數(shù)權(quán)重配置的能力，能夠?qū)τ跀?shù)據(jù)表質(zhì)量的有效性、一致性、唯一性、準(zhǔn)確性、及時性、數(shù)據(jù)完整性的評分權(quán)重進(jìn)行配置；（2）數(shù)據(jù)倉庫1）提供數(shù)據(jù)庫管理能力，以列表的方式呈現(xiàn)數(shù)據(jù)庫名稱、英文名稱、描述、創(chuàng)建人、元數(shù)據(jù)更新時間、物理數(shù)據(jù)表數(shù)等；2）提供基于數(shù)據(jù)庫存儲趨勢、數(shù)據(jù)生產(chǎn)/消費(fèi)趨勢、業(yè)務(wù)元數(shù)據(jù)分析、質(zhì)量分析、數(shù)據(jù)庫質(zhì)量分析等情況進(jìn)行監(jiān)控和分析的能力。數(shù)據(jù)庫存儲趨勢支持按照6類時間維度進(jìn)行統(tǒng)計(jì)分析：最近一天、最近一周、最近一個月、最近三個月、最近半年、最近一年；（3）數(shù)據(jù)服務(wù)：提供API數(shù)據(jù)服務(wù)或文件數(shù)據(jù)服務(wù)的管理能力，包括服務(wù)名稱、服務(wù)描述、創(chuàng)建時間、服務(wù)類型、服務(wù)進(jìn)度、支持周期、服務(wù)狀態(tài)等，支持對于數(shù)據(jù)服務(wù)的添加、復(fù)制、刪除、批量刪除、批量注銷等功能。3.2.4數(shù)據(jù)存儲（1）數(shù)據(jù)匯聚存儲1）支持主流的數(shù)據(jù)備份技術(shù)，支持在線對其字段信息、存儲方式（冷數(shù)據(jù)存儲、熱數(shù)據(jù)存儲）存儲時間、分區(qū)方式等基礎(chǔ)屬性信息進(jìn)行配置，從而達(dá)到分類存儲日志的目的；2）提供在線對日志類型進(jìn)行增、刪、改、查、導(dǎo)入導(dǎo)出等管理操作的能力，導(dǎo)入導(dǎo)出格式為Excel(xlsx)或壓縮包，Excel(xlsx)單個文件上限2W條；3）提供存儲狀況信息和期望保留天數(shù)、日志重要度、日志類型分組等管理能力；4）提供對于磁盤使用率的實(shí)時查看，并且展示磁盤中ES或者HIVE的使用情況。（2）存儲技術(shù)標(biāo)準(zhǔn)1）提供多種標(biāo)準(zhǔn)協(xié)議接口，便于應(yīng)用系統(tǒng)的開發(fā)，便于第三方系統(tǒng)的對接；2）支持通過防火墻策略，對主機(jī)和端口進(jìn)行安全加固保障服務(wù)安全；3）支持使用ldap和kerberos進(jìn)行認(rèn)證；4）支持通過用戶組、用戶、角色、權(quán)限的細(xì)粒度管控實(shí)現(xiàn)訪問控制安全；6）支持單節(jié)點(diǎn)不低于2萬EPS的寫入；7）支持采用集群化分布式存儲結(jié)構(gòu)，支持通過標(biāo)準(zhǔn)結(jié)構(gòu)的形式對外提供服務(wù)。8）提供數(shù)據(jù)提取轉(zhuǎn)化加載等基本數(shù)據(jù)清洗等能力，支持復(fù)雜的數(shù)據(jù)挖掘工作；9）支持拓?fù)潢P(guān)系的可視化及搜索、具備可視化界面以關(guān)聯(lián)圖的方式顯示對象和它們之間的關(guān)聯(lián)關(guān)系；10）支持對圖片、視頻、流量包、惡意樣本等進(jìn)行存儲，支持各類小文件KB、大文件GB級統(tǒng)一加載存儲，底層存儲引擎可以靈活配置支持Hbase、Cassandra等，加載接口支持標(biāo)準(zhǔn)的Http/Https協(xié)議上傳、下載。3.3網(wǎng)絡(luò)安全分析能力3.3.1資產(chǎn)匹配與規(guī)則配置（1）原始資產(chǎn)匹配1）提供對資產(chǎn)信息快捷檢索的能力,支持按不同檢索條件對所有原始資產(chǎn)信息進(jìn)行檢索匹配，檢索結(jié)果按照不同的資產(chǎn)類型進(jìn)行分類展示；2）提供快捷模式和高級模式（SQL語句）兩種匹配檢索模式；3）提供組合建設(shè)能力，支持根據(jù)資產(chǎn)類型、檢索語句等形式進(jìn)行組合檢索；（2）置信度規(guī)則配置1）支持根據(jù)不同的數(shù)據(jù)源配置不同的數(shù)據(jù)置信度，自動采納高優(yōu)先級的數(shù)據(jù)來源；2）提供基于規(guī)則條件對置信度規(guī)則配置能力，包括數(shù)據(jù)源廠商、數(shù)據(jù)源名稱、設(shè)備IP、部署位置、獲取方式等。（3）資產(chǎn)運(yùn)營分析1）提供多種內(nèi)置的歸屬規(guī)則自動進(jìn)行資產(chǎn)歸屬判定；2）提供運(yùn)營規(guī)則自動解決資產(chǎn)運(yùn)營過程中出現(xiàn)的沖突、納管、融合過程場景下的問題；3）提供資產(chǎn)忽略規(guī)則的配置能力，自動忽略重復(fù)資產(chǎn)，避免重復(fù)資產(chǎn)的發(fā)現(xiàn)。3.3.2脆弱性分類驗(yàn)證（1）主機(jī)漏洞1）支持對主機(jī)漏洞數(shù)據(jù)進(jìn)行分析，包括漏洞類型分布情況，漏洞危害等級分布情況等；2）支持以列表視圖的方式呈現(xiàn)主機(jī)漏洞數(shù)據(jù)，從而對漏洞進(jìn)行查詢并對具體詳情內(nèi)容和修復(fù)的狀態(tài)進(jìn)行分析；3）支持對主機(jī)漏洞的影響面進(jìn)行分析，包括受影響的資產(chǎn)，首次發(fā)現(xiàn)時間和最近發(fā)現(xiàn)時間等；4）支持對主機(jī)漏洞修復(fù)情況進(jìn)行分析，對主機(jī)漏洞修復(fù)狀態(tài)變更，包括未修復(fù)、已修復(fù)、誤報(bào)和不修復(fù)等。（2）WEB漏洞1）支持對WEB漏洞數(shù)據(jù)進(jìn)行分析，包括漏洞類型分布情況，漏洞危害等級分布情況等；2）支持以列表視圖的方式呈現(xiàn)web漏洞數(shù)據(jù)，從而對漏洞進(jìn)行查詢并對具體詳情內(nèi)容和修復(fù)的狀態(tài)進(jìn)行分析；3）支持對web漏洞的影響面進(jìn)行分析，包括受影響的資產(chǎn)，首次發(fā)現(xiàn)時間和最近發(fā)現(xiàn)時間等；4）支持對WEB漏洞修復(fù)情況進(jìn)行分析，對WEB漏洞修復(fù)狀態(tài)變更，包括未修復(fù)、已修復(fù)、誤報(bào)和不修復(fù)等。（3）配置核查1）支持對配置核查相關(guān)問題數(shù)據(jù)進(jìn)行分析，包括受影響主機(jī)分布情況，漏洞危害等級分布情況等；2）支持以列表視圖的方式呈現(xiàn)配置核查問題數(shù)據(jù)，從而對配置核查問題進(jìn)行查詢并對具體詳情內(nèi)容和修復(fù)的狀態(tài)進(jìn)行分析。3）支持對配置核查的影響面進(jìn)行分析，包括受影響的資產(chǎn)，首次發(fā)現(xiàn)時間和最近發(fā)現(xiàn)時間等；4）支持對配置核查修復(fù)情況進(jìn)行分析，對配置核查修復(fù)狀態(tài)變更，包括未修復(fù)、已修復(fù)、誤報(bào)和不修復(fù)等。（4）弱口令（1）支持對弱口令相關(guān)問題數(shù)據(jù)進(jìn)行分析，包括受影響主機(jī)分布情況，服務(wù)名稱和端口分布情況等；（2）支持以列表視圖的方式呈現(xiàn)弱口令數(shù)據(jù)，從而對弱口令問題進(jìn)行查詢并對具體詳情內(nèi)容和修復(fù)的狀態(tài)進(jìn)行分析；（3）支持對弱口令的影響面進(jìn)行分析，包括受影響的資產(chǎn)，首次發(fā)現(xiàn)時間和最近發(fā)現(xiàn)時間等；（4）支持對弱口令修復(fù)情況進(jìn)行分析，對弱口令修復(fù)狀態(tài)變更，包括未修復(fù)、已修復(fù)、誤報(bào)和不修復(fù)等。（5）漏洞庫管理（1）支持對漏洞分布情況進(jìn)行統(tǒng)計(jì)分析，包括每日漏洞情況，公共漏洞情況及本地自身維護(hù)的漏洞情況等；（2）支持對漏洞字段分析包括是否NOX認(rèn)證、漏洞發(fā)布時間、漏洞名稱、漏洞類型、危害等級、漏洞編號、CVE編號、CNNVD編號、CNVD編號、其他編號、漏洞來源、威脅類型等維度；（3）提供漏洞影響面評估能力，可對