重大活动安全保障

1、概述
　　重要时期安全保障，是指在重大会议、节假日等特殊时期内，我司派出安全攻防经验丰富的安全专家，进驻到客户现场，对目标系统进行现场安全值守和保障，对业务系统的安全状况进行实时监控和日志分析。

　　在现场安全保障期间，当目标遭受黑客入侵攻击时，现场值守人员立即对入侵事件进行分析、检测、抑制、处理，查找入侵来源并恢复系统正常运行，完成后给出应急响应报告，同时给出对应的解决建议。

2、现场值守
现场值守的内容，主要包括以下三类：

　　通过Ping工具或第三方监控工具，对目标业务系统的连通性进行实时监控，一旦业务系统的连通性出现异常，将第一时间得知，从而对其进行快速处理。

　　通过流量分析系统之类的工具，对目标业务系统的出入流量进行实时监测，分析业务系统的流量、并发、会话、全链接、半链接等关键数据，并同时对业务系统、数据库、中间件的日志进行分析并形成日志审计记录，从而有效评估业务系统的运行状态是否正常，确保业务系统的正常运行。

　　通过防火墙、WAF、业务系统防篡改、IDS、DDOS流量清洗等设备，对目标业务系统的安全状态进行实时监控，实时了解业务系统的安全状况。

　　同时，通过高频率地对业务系统源代码进行递归备份，并使用文件对比工具，高频率地对业务系统源代码进行比对，可有效发现源代码更改情况，从而防止攻击者绕过安全设备对非法篡改业务系统页面。

3、预案制定
我司安全值守人员，将根据用户目标业务系统的安全现状，结合业界主流的业务系统攻击手法，分析业务系统可能遭受的攻击行为及其影响范围、严重程度，并和用户一起，提前制定对应的业务系统安全应急响应预案。

　　通过制定应急响应预案，可以在入侵攻击事件发生前防患于未然，当攻击事件发生时，可根据预案进行快速响应，从而在最短的时间恢复系统的正常运行。

4、应急处置
在目标业务系统遭受黑客入侵攻击时，现场值守人员立即对入侵事件进行分析，并结合应急响应预案，对入侵事件进行检测、抑制、处理，查找入侵来源并恢复系统正常运行。

　　入侵攻击事件的应急处理，包括但不限于以下内容。

　　从网络流量、系统和IDS日志记录、桌面日志中判断安全事件类型。查明安全事件原因，确定安全事件的威胁和破坏的严重程度。查明安全事件原因，确定安全事件的威胁和破坏的严重程度。

　　抑制事态发展是为了将事故的损害降低到最小化。在这一步中，通常会将受影响系统和服务隔离。这一点对保持系统的可用性是非常重要的。

　　针对发现的安全事件来源，排除潜在的隐患，消除安全威胁，彻底解决安全问题。

　　在根除问题后，将已经被攻击设备或由于事故造成的系统损坏做恢复性工作，使网络系统能在尽可能短的时间内恢复正常的网络服务。

　　对系统中发现的漏洞进行安全加固，消除安全隐患。

　　重新评价客户系统的安全特性，确保在一定的时间范围内，不发生同类的安全事件。

5、输出成果
安全保障的输出成果如下：

产品服务