序号

服务项目

服务阶段

任务分类

工作内容

1

集团公司实网攻防演练行动和HW演习行动期间信息安全技术人员驻场服务（2人）

梳理检查

资产梳理

1.梳理公司网络链路资产：公司总部及所属单位石油内网、互联网连接情况，尤其是自建互联网出口；暴露在互联网上的网站、系统、测试平台、IP地址等；梳理反代设备映射地址信息。明确链路连接路径，落实责任人，形成详细清单。
2.使用工具+人工方式探测互联网及石油内网资产，包括地址段、vlan划分、端口、服务等信息，发现遗漏资产并登记明细。
3.探测并扫描互联网上暴露的无管理、未使用、无防护的网站、系统、平台，确定不适用的进行关停，无法关停的进行漏洞扫描和渗透测试，并对系统管理后台进行限定访问来源设置。
4.梳理公司移动APP、小程序、公众号、第三方托管SAAS化服务系统等，形成详细清单。

2

敏感信息排查

1.在互联网上通过专业工具搜集与公司相关的敏感信息，如技术方案、网络拓扑图、系统源代码、VPN/邮箱账号口令等。要对网盘、文库、Github类的代码托管网站等开源情报系统进行细致排查清理。
2.加强代码安全管理，软件源代码、开发文档、程序配置文件中含有明文数据库账号口令、邮箱账号口令及其他平台数据交互方式等敏感信息，形成详细清单，严格管理，责任到人。
3.通过技术扫描手段，排查在服务器及个人终端上明文存放重要信息（网络拓朴、设计文档等，特别是账号口令信息）。

3

账号及弱口令排查

1.全面检查和清理重点系统及设备账号（操作系统、网络设备、业务系统等）。全面核实所有账号使用状态，检查实际使用人和账号信息是否保持一致。对于检查中发现的异常情况及时处置，清除所有无人使用、无人管理的僵尸账号，及时更新账号信息，关停人号不一致的账号。
2.通过技术扫描手段，对内外网服务弱口令进行探测及扫描，网络设备、主机设备、数据库、中间件、应用系统等资产进行口令规范（禁止弱口令/规律密码/相同密码），同时制定制定适合海洋工程公司的社工系统的密码字典库。

4

漏洞风险排查

1.通过漏洞扫描设备，对内外网部署的服务器和网络设备进行漏洞扫描，并对扫描结果进行人工分析，重点涉及历年HW中常利用的重点系统指纹及nday信息进行排查。
2.应用系统渗透测试及历史漏洞整改情况检查；应用系统服务器目录下是否存在备份文件，存在及时删除；系统服务器、中间件、数据库高危漏洞补丁情况检查。

5

钓鱼社工排查

1.开展覆盖全体员工的社会工程学攻击手段及防范教育，内容包括电子邮件钓鱼、短信钓鱼、电话钓鱼、人员接触方面的社会工程学攻击防范意识教育，讲述电子邮件及短信钓鱼的攻击原理、流程，指出恶意附件、恶意仿冒链接、伪造身份、套取敏感信息、不明身份人员非法操作设备等需要提高警惕的具体场景情形，识别恶意信息、保护敏感信息等相应的应对处置方法。
2.排查在线云盘（如阿里云盘、百度云盘等）、社交软件（包括微信、QQ等）等方式进行公司敏感信息的共享、存储行为。

6

防御强化

风险问题加固

针对梳理检查阶段及集团公司内部排查发现的各类安全问题进行闭环处置加固，削减安全风险。

7

暴露面收敛

根据资产清单，结合公司日常生产经营计划安排，合理规划公司自建信息化应用系统开放，适时关闭服务或网站。

8

监测防护能力强化

1.梳理现有威胁监测和阻断防护设备和能力清单，补齐补全安全设备，核实当前防护范围，尤其是对内网资产防护的覆盖范围，建立网络安全资产防护设备和防护能力台账。
2.在公司总部及所属单位局域网边界出口处部署威胁监测和阻断防护设备，做到网络系统级威胁监测和处置全覆盖，形成第一道防线。
3.安全防护设备防护策略检查，确认状态正常，策略库为最新状态，日志信息保留180天。
4.确认所有网络入口流量都在监控范围内，通过攻击验证设备策略均在有效状态；确认出口防火墙可封禁状态，提前建立好封禁策略组，方便HW期间直接添加IP黑名单。
5.派驻工程师针对网内现有安全设备告警及策略进行梳理确认，清理老旧告警，业务告警加白，降低HW期间监测难度。

9

核心网络设备加固

公司核心网络设备、数据服务器管理后台或者访问进行白名单访问控制。

10

重点系统专项评估

对公司已完成等保测评的两个自建信息化应用系统，进行专项安全评估及监控能力加强，增补安全设备，限定访问网络权限等。

11

实战演习

威胁情报预警

1.及时推送自有及第三方漏洞情报、威胁情报（含IP、域名、特征值等信息）通过内部协同防守队伍进行下发，及时排查突发问题风险。
2.针对0day/Nday漏洞进行预警，包括漏洞名称、影响范围、危害和安全整改加固措施等。
3.针对各单位已经遭受成功入侵的安全事件进行预警，预警内容包括受害IP、攻击、攻击类型、可能的攻击路径、下一步处置建议等。

12

安全监测值守

1.进行全流量监测和大数据关联分析，及时发现异常行为，如：外连远控、横向非法访问等。
2.实时监测分析安全设备告警日志，主要监测分析异常流量、恶意文件、木马远控、弱口令、漏洞利用攻击等。

13

安全分析研判

针对网络攻击告警事件和异常网络访问进行深入分析，研判攻击造成危害和影响。

14

应急响应处置

1.针对入侵成功的行为采取应急处置措施，包括阻断攻击源、阻断远控服务器、隔离下线受害主机等。
2.针对入侵成功行为进行全面回溯分析，查找攻击路径、漏洞利用，并进行业务系统恢复操作。
3.详细记录安全事件处置全过程，记录内容至少应包括：安全事件详细信息、应急处置全流程信息。

15

攻击溯源反制

1.针对发现疑似突破网络和系统入侵的攻击事件进行溯源取证分析、攻击者画像等。
2.通过在真实业务网络中部署各种高仿真蜜罐、蜜饵，形成沉浸式诱捕蜜网，混淆攻击视听，增加攻击代价。
3.利用获取的有特征的攻击行为，进行攻击者画像，并充分利用一切允许的条件进行攻击反制。

16

防守成果上报

编制防守技战法总结、心得体会等，提交集团公司HW演练指挥部；针对网络攻击者利用的木马后门文件，提取样本特征，尽可能的全文件保留；人工编制报告（根据演练指挥部要求，详细描述、来源、路径、特征样本、影响范围等信息）。

17

攻防复盘

攻击复盘总结

针对攻击事件进行综合分析，确认攻击路径及防护盲点，后续开展补充补全。

18

防守复盘总结

针对防守工作综合分析，包括组织架构、人员分工、应急处置流程是否合理、网络安全监测和防护是否存在薄弱环节等。

19

风险持续整改

针对集团公司演练指挥部通报下发的网络安全风险进行分析总结、协助整改加固和风险复测，最终编制演练总结报告。

20

防守报告编制

编制整体防守总结报告，主要包括防守经验、主要措施、心得体会等。

21

国家重要节假日、大型纪念或庆祝活动、重要会议期间技术支持保障服务

/

安全专家远程支持

结合部署在公司核心网络的信息安全防护设备，按照集团公司工作计划安排，对国家重要节假日、大型纪念或庆祝活动、重要会议期间进行信息安全保障工作，信息安全专家远程解决出现的各类问题，当出现重大安全事件现场团队无法解决时可提供现场服务。

22

公司信息及网络安全应急演练技术服务

/

应急演练

开展公司信息安全突发事件的应急演练工作，包括但不限于勒索病毒数据加密攻击、木马病毒远程攻击、DDOS网络拒绝服务攻击、DNS诱骗攻击等，提高应急处置能力，确保快速有效的处置可能发生的网络安全突发事件。编制演练方案、形成演练过程文档、复盘总结文档等。

23

信息安全技术培训服务

/

信息安全培训

对公司总部各部门、所属各单位关键用户开展信息安全技术培训，提升公司全员信息安全意识，分别在公司总部、塘沽片区、青岛片区开展。

24

信息安全宣传周

按照集团公司数信部工作要求，公司范围内开展信息安全宣传周活动，编制信息安全防护意识考试试题，公司全员开展答题活动。

25

公司自建信息化应用系统网络安全等级保护测评服务

/

等保二级测评

针对公司自建信息化应用系统开展网络安全等级保护二级测评工作，以系统为单位，取得公安部备案证书，完成系统测评报告。

序号

设备类型

设备名称

数量

规格参数

1

检测类设备

漏洞扫描系统

2

并发主机数、并发任务数并发主机数：80
并发任务数：10个；标准机架式1u设备；芯片+操作系统：兆芯C4600+中标麒麟；CPU=4核4线程；内存：16G；硬盘容量：2T；电源配置：单电源； 网络接口：千兆电口管理口*2，千兆电口*4，千兆光口*4。

2

运维安全类设备

堡垒机

2

授权资产数500个；并发字符连接最大数500个；并发图形连接最大数100个；2U工控机，CPU：4核4线程，内存：8GB，硬盘：2T*2（raid1），1+1热插拔冗余电源（额定功率300W），网络接口：千兆电管理口*2，千兆业务电口*4，千兆业务光口*4，USB口：USB2.0*2，串口：RJ45口*1。

3

展示平台

态势感知平台

2

2U标准机架式设备， CPU=24核（12核*2） 2.10GHz ，内存=256GB ，硬盘容量=64T（8T*8），电源规格=1+1冗余电源 800W，标配4个GE接口，2个万兆光口，1个RJ45管理网口。

4

等保合规设备

日志审计系统

2

授权资产数40个；每秒事务处理数1500个（条）；标准1U硬件，芯片+操作系统：龙芯3A4000+统信UOS，内存：16G（8G*2），硬盘：4T， 电源：双电源， 网口：千兆电口*6（包含管理口*1，HA口*1，业务口*4）；千兆光口*4。

5

检测类设备

APT预警平台

2

整机吞吐量5Gbps；2U标准机架式设备，电源：1+1冗余电源 内存：64G 硬盘容量：硬盘容量：2T*2，带RAID1，可用磁盘空间不小于2T ； 接口数量：标配10个； 接口类型：千兆RJ45网口*2、千兆RJ45网口*4、千兆业务SFP光口*4。

6

检测类设备

入侵检测系统

2

整机吞吐量5Gbps；2U 标配网口：千兆电口*4，万兆光口*2 硬盘容量：6T SATA*2 内存：64G USB口：USB2.0口*2 电源：1+1热插拔冗余电源。

7

边界安全设备

上网行为管理

2

推荐带宽1Gbps；整机吞吐15Gbps；最大并发数500万；最大新建数15万/秒；标准2U机架式；CPU：4核；内存：4GB；硬盘：2TB HDD；电源：双电源；网络接口：千兆电口=12个，管理电口=1个，千兆光口=12个，万兆光口=2个，不带光模块。

8

边界安全设备

防火墙

2

整机吞吐10Gbps；最大并发数400万；最大新建数20万/秒；1、软硬一体产品。2、2U机架式，CPU：飞腾 腾锐 D2000，内存：16GB，硬盘：2TB HDD，电源规格：1+1冗余电源（额定功率550W），风扇数：2个。网络接口：千兆电口=8个，管理电口=1个，HA电口=1个，千兆光口=8个，不带光模块，接口扩展槽：2个。操作系统：统信 UOS V20。