科技部信息中心科来网络回溯分析系统安全分析服务需求.doc

 PAGE \* MERGEFORMAT 11 科技部信息中心科来网络回溯分析系统安全分析服务需求 科技部信息中心 2014年12月3日 目录  TOC \o 1-3 \h \z \u HYPERLINK \l _Toc405388873 HYPERLINK \l _Toc4053888741背景  PAGEREF _Toc405388874 \h 3 HYPERLINK \l _Toc4053888752安全服务类型  PAGEREF _Toc405388875 \h 4 HYPERLINK \l _Toc4053888763服务方式和内容  PAGEREF _Toc405388876 \h 5 HYPERLINK \l _Toc4053888774服务内容  PAGEREF _Toc405388877 \h 8 HYPERLINK \l _Toc4053888785工作量统计  PAGEREF _Toc405388878 \h 10  1背景 随着网络安全威胁日益增多，以及网络攻击模式的高级化，流量安全分析服务已经成为网络安全保障的重要手段和方法。网络安全服务越来越基于安全事件的调查和分析工作，越来越需要及时的响应和发现各种网络攻击时间。为了更好的对网络数据进行存储、回溯和分析，我们部署了科来网络回溯分析系统。为了更好的使用该系统进行网络攻击的发现、识别和处置，有效的降低安全风险和网络威胁，特提出本次使用科来网络回溯分析系统进行网络安全分析服务。 2安全服务类型 服务类型服务内容安全固定分析服务安全固定分析服务，以固定的周期对数据进行常规性的分析工作，允许使用VPN等安全远程方式进行数据的分析和策略更新。该服务主要包括常规的木马分析、蠕虫病毒分析、ARP攻击分析、DOS攻击分析、和可疑IP分析，安全态势分析、安全威胁分析、以及其他根据科技部的要求的定制化的安全服务工作等安全分析服务，将每周分析的结果以月报的形式提供给科技部信息中心。安全应急分析服务安全应急分析服务，主要以安全事件分析为主，服务提供商需要为科技部提供可疑数据分析、安全事件追踪（如XXX单位通报网络中存在木马后，能够及时提供数据分析服务）。科技部可通过电话或其他方式联系服务提供商的安全服务人员，服务提供商提供7x24响应，并第一时间进行安全事件的处理，并提??应急处理的分析结果，与科技部信息中心人员进行事件核对和原因分析，找出安全隐患和防御措施。安全特征升级服务提供商需要更新协议识别库，协议解码库，应用识别库，Web攻击警报等特征的域名、IP、地址、特征值等内容更新到科技部回溯分析系统中。保证及时更新厂商和第三方安全信息。人员培训和技术咨询定期对科技部的技术人员进行安全趋势、网络攻防方式的介绍，对新型分析技术、新型网络攻击特征进行培训，对突发的大规模网络安全事件及时向用户进行通报。并对科技部的日常信息安全值守工作给予必要的技术指导并提供技术咨询。3服务方式和内容 内容说明连接方式通过安全的远程连接方式进行分析服务安全服务工作以服务提供商网络回溯分析系统为主。为了及时和方便的进行安全服务工作，对每周安全分析服务，可以采用安全的远程方式连接科技部。连接路径的密钥每月修改一次或者动态分配，限制访问IP来保证安全连接。方案制定根据我部提出的安全需求制定明确的实施方案 服务提供商需要充分了解用户的网络结构，总体的安全情况，安全设备和系统的概要部署情况，安全区域、服务器区、接入区的部署情况。甲方要在和乙方充分沟通，并且了解我部的具体安全需求、安全侧重点的基础上和乙方来确定详细的实施内容、实施流程、实施计划，再此基础上明确具体的实施方案，并在实施的过程中接受甲方的监督。每周全流量安全分析； 更新安全分析策略；每人次至少需要完成4小时分析工作。需要对我部回溯分析系统的一个节点的一周数据的总体安全性从流量、协议类型、应用等科来回溯分析系统概要分析中的相关功能进行不同时间阶段的数据分析，并对其中使用较大的流量IP、重要应用和协议、高危报警等内容进行重点分析，并根据分析内容进行流量的详细分析。 每次分析时，需要对科来回溯分析系统支持的安全分析功能中相关安全威胁的分析种类进行全面总体分析，发现可疑问题后需要对完整流量做针对性详细分析，发现问题原因并提出针对性解决策略。此外，每次分析还需要对该节点不少于1个小时的DNS、2-3个重点IP的完整流量进行详细分析。 定期将原厂商的协议识别库，协议解码库，应用识别库，警报等特征的域名、IP、地址等内容更新到科技部回溯分析系统中。每月提交安全分析报告； 安全分析结果交流； 安全技术培训；每次进