網(wǎng)絡(luò)安全的業(yè)務(wù)與技術(shù)范圍

網(wǎng)絡(luò)安全的業(yè)務(wù)與技術(shù)范圍2.1.1網(wǎng)絡(luò)安全日常維保近年來(lái)隨著互聯(lián)網(wǎng)的高速發(fā)展，電信主管部門對(duì)網(wǎng)絡(luò)安全要求、安全考核愈發(fā)嚴(yán)格。而隨著安全攻防技術(shù)的快速發(fā)展，網(wǎng)絡(luò)及信息安全漏洞層出不窮，基于IP網(wǎng)絡(luò)的安全問(wèn)題日益突出，主要表現(xiàn)在：物理層面安全、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)安全、設(shè)備安全、網(wǎng)絡(luò)邊界安全、網(wǎng)絡(luò)系統(tǒng)安全、應(yīng)用系統(tǒng)安全、網(wǎng)絡(luò)管理安全、流量安全、業(yè)務(wù)安全、數(shù)據(jù)安全、安全管控等。為切實(shí)落實(shí)《工業(yè)和信息化部國(guó)務(wù)院國(guó)有資產(chǎn)監(jiān)督管理委員會(huì)關(guān)于開(kāi)展基礎(chǔ)電信企業(yè)網(wǎng)絡(luò)與信息安全責(zé)任考核有關(guān)工作的指導(dǎo)意見(jiàn)》（工信部聯(lián)保（2012）551號(hào)）相關(guān)要求，需在企業(yè)內(nèi)部常態(tài)化開(kāi)展網(wǎng)絡(luò)安全維保檢查，以檢驗(yàn)各單位網(wǎng)絡(luò)及系統(tǒng)安全防護(hù)能力和管理要求落實(shí)的有效性，通過(guò)積極開(kāi)展網(wǎng)絡(luò)安全日常維保更好的推進(jìn)全省網(wǎng)絡(luò)安全工作的開(kāi)展，切實(shí)做到舉一反三、查缺補(bǔ)漏，有效降低內(nèi)外部風(fēng)險(xiǎn)。通過(guò)實(shí)施本項(xiàng)目，及時(shí)掌握當(dāng)前的網(wǎng)絡(luò)安全現(xiàn)狀，全面摸清安全隱患和薄弱環(huán)節(jié)，規(guī)避考核風(fēng)險(xiǎn)，通過(guò)日常安全加固，有效促進(jìn)甲方整體網(wǎng)絡(luò)安全工作水平的提升。2.1.2數(shù)據(jù)安全防護(hù)近年來(lái)數(shù)據(jù)安全信息泄漏事件高頻發(fā)生，一方面是信息系統(tǒng)本身存在安全漏洞和弱點(diǎn)，外部攻擊者利用這些漏洞和弱點(diǎn)進(jìn)行惡意攻擊，從而竊取敏感數(shù)據(jù)，進(jìn)行進(jìn)一步的違法行為，如倒賣客戶信息等，從而非法贏利；另一方面是內(nèi)部員工利用職權(quán)非法竊取敏感數(shù)據(jù)，進(jìn)行如倒賣客戶信息等非法贏利行為，最終導(dǎo)致用戶信息大規(guī)模泄露。將客戶信息安全保護(hù)作為年度重點(diǎn)安全工作，要求進(jìn)行重大應(yīng)用系統(tǒng)安全漏洞（客戶信息泄露）專項(xiàng)整治工作，引入專業(yè)第三方開(kāi)展數(shù)據(jù)安全運(yùn)營(yíng)管理合規(guī)及安全基線評(píng)測(cè)服務(wù)，建立健全客戶信息防泄露手段和數(shù)據(jù)安全審計(jì)系統(tǒng)策略和手段等措施來(lái)全面加強(qiáng)和提升客戶信息安全保護(hù)工作。2.1.3網(wǎng)絡(luò)安全業(yè)務(wù)監(jiān)測(cè)近年來(lái)隨著互聯(lián)網(wǎng)的高速發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)的資源共享進(jìn)一步加強(qiáng)，基礎(chǔ)電信業(yè)務(wù)運(yùn)營(yíng)商，具有網(wǎng)絡(luò)規(guī)模大、用戶數(shù)量眾多、業(yè)務(wù)系統(tǒng)豐富而復(fù)雜等特點(diǎn)，隨之而來(lái)的網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)日益加大。在一個(gè)開(kāi)放的網(wǎng)絡(luò)環(huán)境中，大量信息在網(wǎng)上流動(dòng)，這為不法分子提供了攻擊目標(biāo)。計(jì)算機(jī)網(wǎng)絡(luò)組成形式多樣性、終端分布廣和網(wǎng)絡(luò)的開(kāi)放性、互聯(lián)性等特征更為他們提供便利。黑客利用不同的攻擊手段,獲得訪問(wèn)或修改在網(wǎng)中流動(dòng)的敏感信息，窺視、竊取、篡改數(shù)據(jù)。其“低成本和高收益”在一定程度上刺激了犯罪的增長(zhǎng)。使得針對(duì)計(jì)算機(jī)信息系統(tǒng)的犯罪活動(dòng)日益增多。面對(duì)嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)，甲方通過(guò)加強(qiáng)網(wǎng)絡(luò)安全業(yè)務(wù)監(jiān)測(cè)、分析能力，切實(shí)提高網(wǎng)絡(luò)與信息安全保障水平，增強(qiáng)數(shù)據(jù)資產(chǎn)、應(yīng)用系統(tǒng)的安全風(fēng)險(xiǎn)監(jiān)測(cè)能力。2.3.1網(wǎng)絡(luò)安全日常維保內(nèi)容范圍涵蓋：1、甲方的各類數(shù)據(jù)資產(chǎn)，根據(jù)現(xiàn)場(chǎng)網(wǎng)絡(luò)安全日常維保確定。2、系統(tǒng)測(cè)試：網(wǎng)絡(luò)信息安全系統(tǒng)基本功能測(cè)試，系統(tǒng)數(shù)據(jù)準(zhǔn)確性、一致性校驗(yàn)。2.3.2數(shù)據(jù)安全防護(hù)內(nèi)容范圍涵蓋：1s甲方的各類數(shù)據(jù)資產(chǎn)。2、基礎(chǔ)安全：網(wǎng)絡(luò)單元定級(jí)備案、符合性評(píng)測(cè)、風(fēng)險(xiǎn)評(píng)估及滲透測(cè)試。2.3.3網(wǎng)絡(luò)安全業(yè)務(wù)監(jiān)測(cè)內(nèi)容范圍涵蓋：1、甲方的各類安全設(shè)備、安全管控平臺(tái)等。2、不良信息集中治理：不良網(wǎng)站監(jiān)測(cè)、釣魚(yú)網(wǎng)站監(jiān)測(cè)、惡意鏈接監(jiān)測(cè)、垃圾短彩信治理及策略運(yùn)營(yíng)、騷擾及詐騙電話治理及策略運(yùn)營(yíng)、安全模型優(yōu)化等、業(yè)務(wù)安全審計(jì)、業(yè)務(wù)安全評(píng)估等。3、網(wǎng)絡(luò)數(shù)據(jù)安全監(jiān)測(cè)：客戶信息安全監(jiān)測(cè)、APP客戶信息安全保護(hù)及風(fēng)險(xiǎn)評(píng)估。4、流程穿越：電話用戶實(shí)名登記檢查及暗訪、網(wǎng)上客戶信息售賣釣魚(yú)、網(wǎng)站備案稽核及審查等。5、人才專業(yè)提升：網(wǎng)絡(luò)安全人員能力提升、安全競(jìng)賽等。3.1、網(wǎng)絡(luò)安全日常維保網(wǎng)絡(luò)安全日常維保包括但不限于以下服務(wù)：日常巡檢服務(wù)、日常維護(hù)及故障處理、基礎(chǔ)網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估工作、重點(diǎn)業(yè)務(wù)系統(tǒng)基線檢查和日常安全檢查。3.1,1日常巡檢服務(wù)3.1.1.1技術(shù)要求按照要求乙方需滿足定期對(duì)網(wǎng)絡(luò)安全設(shè)備（包括但不限于防火墻、IPS、IDS、W'AF等安全設(shè)備和安全管控平臺(tái)（包括但不限于4A系統(tǒng)、安全威脅分析與預(yù)警平臺(tái)、網(wǎng)頁(yè)防篡改系統(tǒng)等）進(jìn)行巡檢保障，乙方需滿足定期對(duì)包括但不限于對(duì)平臺(tái)、安全設(shè)備的負(fù)載、CPU、內(nèi)存、存儲(chǔ)等運(yùn)行狀態(tài)進(jìn)行檢查。3.1.2日常維護(hù)及故障處理3.1.2.1技術(shù)要求乙方需滿足安全設(shè)備系統(tǒng)故障處理能力和日志分析能力，包括但不限于日志解析監(jiān)控、數(shù)據(jù)異常處理、異常問(wèn)題與故障處理等，同時(shí)滿足一級(jí)、二級(jí)、三級(jí)、四級(jí)故障響應(yīng)時(shí)間要求。3.1.3基礎(chǔ)網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估工作3.1.3.1技術(shù)要求1、乙方對(duì)包括但不限于IT資產(chǎn)主機(jī)操作系統(tǒng)、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備、中間件、WEB應(yīng)用系統(tǒng)等安全檢查和評(píng)估，檢測(cè)工具需符合相關(guān)安全要求，并使用兩種常見(jiàn)的檢查工具，出具相應(yīng)的安全報(bào)告。2、乙方對(duì)安全設(shè)備防護(hù)策列及安全漏洞進(jìn)行梳理，并進(jìn)行整改指導(dǎo)。3、乙方需提供安全風(fēng)險(xiǎn)比壞管理機(jī)制。重點(diǎn)業(yè)務(wù)系統(tǒng)基線檢查3.1.4.1技術(shù)要求乙方參照工信部基線檢查要求、檢查項(xiàng)目、檢查方式對(duì)甲方定級(jí)備案的基礎(chǔ)網(wǎng)絡(luò)單元及重點(diǎn)業(yè)務(wù)應(yīng)用系統(tǒng)進(jìn)行基線檢查。乙方需提供基線檢查工具，功能需包括但不限于支持檢測(cè)操作系統(tǒng)和服務(wù)（數(shù)據(jù)庫(kù)、服務(wù)器軟件、容器等）的弱口令、賬號(hào)權(quán)限、身份鑒別、密碼策略、訪問(wèn)控制等安全配置，并提供檢測(cè)結(jié)果,針對(duì)存在的風(fēng)險(xiǎn)配置給出加固建議。3.1.5日常安全檢查3.1.5.1技術(shù)要求1、乙方參照上級(jí)主管單位安全檢查要求、檢查項(xiàng)目、檢查方式對(duì)甲方定級(jí)備案的基礎(chǔ)網(wǎng)絡(luò)單元及重點(diǎn)業(yè)務(wù)應(yīng)用系統(tǒng)進(jìn)行日常安全檢查，包括但不限于漏洞掃描，滲透測(cè)試，符合性檢查等。2、檢查維度包括但不限于操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件、應(yīng)用系統(tǒng)等。提供安全漏洞修復(fù)、系統(tǒng)補(bǔ)丁升級(jí)等。3?2、數(shù)據(jù)安全防護(hù)數(shù)據(jù)安全防護(hù)包含但不限于以下工作：數(shù)據(jù)安全制度流程建設(shè)、數(shù)據(jù)安全評(píng)估與動(dòng)態(tài)分析、數(shù)據(jù)共享合規(guī)性管控、數(shù)據(jù)分類分級(jí)\脫敏、敏感數(shù)據(jù)泄露渠道監(jiān)測(cè)、數(shù)據(jù)安全風(fēng)險(xiǎn)發(fā)現(xiàn)與處置、涉敏日志常態(tài)化審計(jì)、數(shù)據(jù)安全檢查支撐工作。3.2.1數(shù)據(jù)安全制度流程建設(shè)說(shuō)明信息安全合規(guī)檢查矩陣與持續(xù)性檢查機(jī)制（如明確內(nèi)控體系建立思路、控制活動(dòng)能夠落實(shí)到具體崗位），并提交相關(guān)示例模板。注：根據(jù)對(duì)項(xiàng)目理解，需提供1、《數(shù)據(jù)安全管理體系優(yōu)化流程圖》及詳解：包含對(duì)數(shù)據(jù)管理、運(yùn)營(yíng)、技術(shù)合規(guī)情況進(jìn)行全面對(duì)標(biāo)情況、具體現(xiàn)狀評(píng)估內(nèi)容、操作流程圖；2、《數(shù)據(jù)安全防護(hù)現(xiàn)狀評(píng)估矩陣》：包含組織機(jī)構(gòu)、制度建設(shè)與保護(hù)措施、技術(shù)能力、數(shù)據(jù)全生命周期管理4個(gè)大類；3、《大數(shù)據(jù)平臺(tái)安全的內(nèi)控矩陣》：包含適用范圍、所涉及業(yè)務(wù)流程、子流程、控制點(diǎn)描述字段；4、《安全職責(zé)細(xì)化示例》：包括管理、技術(shù)、執(zhí)行三大體系，拆分出對(duì)應(yīng)領(lǐng)域和控制點(diǎn)，并劃分明細(xì)的責(zé)任角色；5、《數(shù)據(jù)安全運(yùn)營(yíng)管理合規(guī)檢查表》：提供評(píng)估場(chǎng)景，以及對(duì)應(yīng)的評(píng)估要求、評(píng)估辦法。3.2.2數(shù)據(jù)安全評(píng)估和動(dòng)態(tài)分析闡述內(nèi)容需包括：1、對(duì)標(biāo)的信息安全法律法規(guī)（至少應(yīng)包括國(guó)家信息安全等級(jí)保護(hù)基本要求三級(jí)標(biāo)準(zhǔn)、《網(wǎng)絡(luò)安全法》）。2、對(duì)標(biāo)《數(shù)據(jù)安全法》，評(píng)估點(diǎn)要求全面。3、結(jié)合數(shù)據(jù)安全合規(guī)評(píng)估要點(diǎn)，明確數(shù)據(jù)生命周期管控流程要求。注：1、對(duì)標(biāo)國(guó)家信息安全等級(jí)保護(hù)基本要求三級(jí)標(biāo)準(zhǔn)，對(duì)標(biāo)《網(wǎng)絡(luò)安全法》。2、對(duì)標(biāo)《數(shù)據(jù)安全法》給出敏感信息資產(chǎn)梳理流程圖：包括確定梳理目標(biāo)及調(diào)研、資源申請(qǐng)、檢測(cè)工具初始化配置、數(shù)據(jù)資產(chǎn)掃描必要環(huán)節(jié)；規(guī)劃數(shù)據(jù)系統(tǒng)基礎(chǔ)調(diào)研工作內(nèi)容：有關(guān)鍵數(shù)據(jù)存儲(chǔ)情況調(diào)研項(xiàng)、客戶信息流向調(diào)研項(xiàng)、數(shù)據(jù)備份調(diào)研項(xiàng)、安全防護(hù)調(diào)研項(xiàng)、安全管理調(diào)研項(xiàng)工作內(nèi)容等。）3.2.3數(shù)據(jù)共享合規(guī)性管控闡述內(nèi)容需包括：1、包含但不限于第三方業(yè)務(wù)梳理、合作風(fēng)險(xiǎn)檢查、管控流程優(yōu)化、對(duì)外數(shù)據(jù)共享安全評(píng)估等，要求給出《數(shù)據(jù)業(yè)務(wù)合作梳理模板》、《合作風(fēng)險(xiǎn)檢查列表》、《數(shù)據(jù)業(yè)務(wù)合作流程》示例。2、《數(shù)據(jù)業(yè)務(wù)合作梳理模板》：與第三方數(shù)據(jù)業(yè)務(wù)合作的信息臺(tái)賬，至少包含雙方合作的基本信息如合同信息、合作內(nèi)容、保密情況，安全審查情況。3、《合作風(fēng)險(xiǎn)檢查列表》：應(yīng)包含合作方公司風(fēng)險(xiǎn)檢查、安全管理負(fù)責(zé)人和關(guān)鍵崗位的人員進(jìn)行安全背景審查、數(shù)據(jù)業(yè)務(wù)合作安全風(fēng)險(xiǎn)檢查3個(gè)方面，提出審查內(nèi)容、方法和評(píng)判標(biāo)準(zhǔn)。4、《數(shù)據(jù)業(yè)務(wù)合作流程》：以具體部門舉例，畫出流程流轉(zhuǎn)圖等。3.2.4數(shù)據(jù)分類分級(jí)、脫敏通過(guò)提供數(shù)據(jù)分類分級(jí)、脫敏服務(wù)，實(shí)現(xiàn)基于但不限定角色、屬性、強(qiáng)制性訪問(wèn)控制策略，對(duì)數(shù)據(jù)庫(kù)進(jìn)行動(dòng)態(tài)脫敏，預(yù)防數(shù)據(jù)泄露等安全問(wèn)題。脫敏要求如下：1、支持多種數(shù)據(jù)庫(kù)類型的脫敏服務(wù)，包括但不限于ORACLE.MYSQL、SQLSERVER.VERTICA、DB2等等。2、身份管理方式應(yīng)包含哪些，例如應(yīng)用程序名、IP地址、主機(jī)名、操作系統(tǒng)賬戶、XX、XX等等方式。3、支持對(duì)生成的脫敏SQL與原始SQL對(duì)比，確保結(jié)果的正確性。2.5敏感數(shù)據(jù)泄露渠道監(jiān)測(cè)敏感數(shù)據(jù)泄露渠道檢測(cè)主要包含兩個(gè)方面，一個(gè)是監(jiān)控、另一個(gè)是審計(jì)；監(jiān)控應(yīng)明確包括但不限于：數(shù)據(jù)接口、數(shù)據(jù)采集、數(shù)據(jù)使用、策略識(shí)別等，對(duì)外傳輸內(nèi)容審計(jì)、系統(tǒng)管理、數(shù)據(jù)下載審批等方面的安全審計(jì)。2.6數(shù)據(jù)安全風(fēng)險(xiǎn)發(fā)現(xiàn)與處置1、明確要求在規(guī)定時(shí)間內(nèi)提供數(shù)據(jù)安全的應(yīng)急預(yù)案，應(yīng)急方案應(yīng)包括哪些內(nèi)容，如安全事件的監(jiān)控機(jī)制、安全事件的觸發(fā)條件、安全事件級(jí)別定義等等。2、明確數(shù)據(jù)安全事件溯源分析能力要求。3、數(shù)據(jù)安全事件處理結(jié)束后，在一周內(nèi)提交完整的《數(shù)據(jù)安全事件分析及處理總結(jié)報(bào)告》，需明確規(guī)定報(bào)告內(nèi)容包括哪些。2.7涉敏日志常態(tài)化審計(jì)至少包含以下內(nèi)容：審計(jì)策略制定、關(guān)鍵數(shù)據(jù)審計(jì)流程圖、基礎(chǔ)安全審計(jì)事項(xiàng)及審計(jì)依據(jù)、數(shù)據(jù)安全審計(jì)事項(xiàng)及審計(jì)依據(jù)。（注：內(nèi)容詳實(shí)，包括四方面要素且基礎(chǔ)安全審計(jì)事項(xiàng)及審計(jì)依據(jù)不少于6項(xiàng)（例如設(shè)備配置合規(guī)審計(jì)、系統(tǒng)主機(jī)安全審計(jì)、訪問(wèn)控制策略審計(jì)、管控平臺(tái)接入合規(guī)審計(jì)等）、數(shù)據(jù)安全審計(jì)事項(xiàng)及審計(jì)依據(jù)不少于8項(xiàng)（例如數(shù)據(jù)采集變更審計(jì)、數(shù)據(jù)共享詳情審計(jì)、主機(jī)敏感操作審計(jì)、數(shù)據(jù)庫(kù)敏感操作審計(jì)、業(yè)務(wù)應(yīng)用敏感操作審計(jì)等）。2.8數(shù)據(jù)安全檢查支撐工作依據(jù)數(shù)據(jù)數(shù)據(jù)安全評(píng)估要點(diǎn)，明確上級(jí)單位開(kāi)展數(shù)據(jù)安全檢查期間相關(guān)的支撐工作以及檢查前的監(jiān)督檢查工作內(nèi)容。網(wǎng)絡(luò)安全業(yè)務(wù)監(jiān)測(cè)網(wǎng)絡(luò)安全業(yè)務(wù)監(jiān)測(cè)包含但不限于以下工作：監(jiān)測(cè)對(duì)象信息資產(chǎn)收集、安全設(shè)備流量監(jiān)測(cè)、脆弱性識(shí)別、威脅分析、安全措施及安全策略梳理、網(wǎng)絡(luò)安全日常應(yīng)急服務(wù)等。3.3.1監(jiān)測(cè)對(duì)象信息資產(chǎn)收集明確監(jiān)測(cè)對(duì)象資產(chǎn)清單梳理的內(nèi)容，資產(chǎn)管理方式及更新周期。3.3.2安全設(shè)備流量監(jiān)測(cè)對(duì)各類安全設(shè)備資源安全日志進(jìn)行統(tǒng)一分析，監(jiān)測(cè)分析日志中異常操作訪問(wèn)行為。明確日志審計(jì)范圍（如操作系統(tǒng)日志、數(shù)據(jù)庫(kù)日志、應(yīng)用日志等等），日常審計(jì)周期，特殊時(shí)期日志審計(jì)周期，并明確要求生成報(bào)告時(shí)間。3.3.3脆弱性識(shí)別明確脆弱性檢查要點(diǎn)（例如系統(tǒng)高中危漏洞、基線、弱口令等），檢查對(duì)象涉及哪些層面（例如管理層、網(wǎng)絡(luò)層、主機(jī)層等），脆弱性識(shí)別點(diǎn)越細(xì)越好，明確風(fēng)險(xiǎn)評(píng)估報(bào)告輸出時(shí)間和要點(diǎn)。3.3.4威脅分析明確每周的安全威脅來(lái)源，對(duì)IT資產(chǎn)進(jìn)行威脅分析的方法及工具，例如資產(chǎn)探測(cè)識(shí)別、分析操作系統(tǒng)配置，交換機(jī)VLAN的劃分，路由器配置，安全設(shè)備的配置有效性等等。其次是現(xiàn)網(wǎng)