應(yīng)急運(yùn)維效勞工程技術(shù)需求書(shū)

10中國(guó)文物信息詢問(wèn)中心應(yīng)急運(yùn)維效勞工程技術(shù)需求書(shū)2023111近年來(lái)國(guó)家文物局業(yè)務(wù)不斷進(jìn)展，系統(tǒng)和用戶規(guī)模不斷擴(kuò)全大事應(yīng)急處理力氣，從技術(shù)和治理方面全面保障業(yè)務(wù)系統(tǒng)安效勞工程。工程目標(biāo)升。通過(guò)本工程，主要到達(dá)以下目的：符合等保要求依據(jù)國(guó)家等級(jí)保護(hù)規(guī)定和要求，制定相應(yīng)的技術(shù)和治理規(guī)要系統(tǒng)的安全防范力氣。接軌國(guó)際標(biāo)準(zhǔn)比照國(guó)際信息安全標(biāo)準(zhǔn)〔主要參考ISO27001動(dòng)治理水平提升，開(kāi)展相關(guān)制度建設(shè)。心信息資產(chǎn)的完整性、機(jī)密性、可用性。建設(shè)安全隊(duì)伍到日常工作中。提高信息化成熟度全保障程度的同時(shí)使整體信息系統(tǒng)治理水平再上一個(gè)臺(tái)級(jí)。工程內(nèi)容檢查配置、漏洞掃描、安全配置核查、源代碼審計(jì)、滲透測(cè)試、工作內(nèi)容包括下述七大局部：安全風(fēng)險(xiǎn)評(píng)估效勞；安全加固效勞；源代碼審計(jì)效勞；滲透測(cè)試效勞；安全培訓(xùn)效勞；應(yīng)急響應(yīng)效勞；應(yīng)急演練效勞。標(biāo)準(zhǔn)依據(jù)和標(biāo)準(zhǔn)：《信息系統(tǒng)安全等級(jí)保護(hù)根本要求》GBT22239-2023《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》GBT28448-2023《信息安全治理體系要求》ISO27001:2023工程打算20230630工程范圍本工程涉及的信息系統(tǒng)主要包括國(guó)家文物局的10余個(gè)核心〔國(guó)家文物局考古審批系統(tǒng)、國(guó)家文物局文物進(jìn)出境治理審批系統(tǒng)、國(guó)家文物局文博網(wǎng)絡(luò)學(xué)院、國(guó)家文物局工程經(jīng)費(fèi)治理系統(tǒng)等、100本次工程涉及的軟硬件資產(chǎn)主要包括以下對(duì)象：網(wǎng)絡(luò)設(shè)備網(wǎng)絡(luò)設(shè)備類型網(wǎng)絡(luò)設(shè)備數(shù)量交換機(jī)12路由器3其他效勞器設(shè)備主機(jī)操作系統(tǒng)主機(jī)數(shù)量Window52Linux13其他數(shù)據(jù)庫(kù)數(shù)據(jù)庫(kù)類型數(shù)據(jù)庫(kù)數(shù)量SqlServer10Oracle3其他安全設(shè)備設(shè)備類型防火墻WAF其他設(shè)備數(shù)量應(yīng)用類型7網(wǎng)站類4業(yè)務(wù)類11其他應(yīng)用系統(tǒng)數(shù)量8214業(yè)務(wù)需求安全風(fēng)險(xiǎn)評(píng)估效勞統(tǒng)的安全防護(hù)水平并為以后安全規(guī)劃建設(shè)的提出供給依據(jù)和參等方面做出正確的選擇。報(bào)告。1、資產(chǎn)識(shí)別的進(jìn)展的資產(chǎn)投入。IP主機(jī)名、OS資產(chǎn)評(píng)估，給評(píng)估范圍內(nèi)資產(chǎn)進(jìn)展分類評(píng)估并賦值。2、威逼識(shí)別統(tǒng)計(jì)，賦值，以便于列出風(fēng)險(xiǎn)。把覺(jué)察的威逼大事進(jìn)展影響分析。3、脆弱性識(shí)別用的脆弱性，并對(duì)脆弱性的嚴(yán)峻程度進(jìn)展評(píng)估。脆弱性識(shí)別方式：安全掃描、系統(tǒng)配置檢查、操作系統(tǒng)配置檢查、網(wǎng)絡(luò)配置檢查、應(yīng)用配置檢查、應(yīng)用系統(tǒng)脆弱性測(cè)試。4、風(fēng)險(xiǎn)分析措施。5、風(fēng)險(xiǎn)處置打算降低安全大事造成的損失或削減安全大事發(fā)生可能性的的安實(shí)施應(yīng)參照國(guó)家和行業(yè)的相關(guān)標(biāo)準(zhǔn)。本工程中可實(shí)行漏洞掃描和安全配置核查方法關(guān)心風(fēng)險(xiǎn)評(píng)估。安全加固效勞依據(jù)風(fēng)險(xiǎn)評(píng)估測(cè)評(píng)結(jié)果，針對(duì)國(guó)家文物局目前所存在的問(wèn)方案、制定風(fēng)險(xiǎn)躲避/恢復(fù)方案、與各信息系統(tǒng)負(fù)責(zé)人確認(rèn)整改方案及整改打算、全程參與實(shí)施各信息系統(tǒng)整改加固工作。源代碼審計(jì)效勞web險(xiǎn)。統(tǒng)自身的安全。放后使用、日志偽造、認(rèn)證誤用、缺少XML的JNI、SQL注入、缺少錯(cuò)誤處理、會(huì)話idDebug檢查表，通過(guò)人工對(duì)代碼的閱讀來(lái)覺(jué)察問(wèn)題：次工程中重點(diǎn)關(guān)注的安全問(wèn)題代碼權(quán)限、資源治理等的通過(guò)率等以檢查表為根底對(duì)代碼進(jìn)展檢查，并對(duì)結(jié)果進(jìn)展跟蹤滲透測(cè)試效勞并對(duì)整改實(shí)施過(guò)程中遇到的問(wèn)題供給技術(shù)支撐。面隱蔽字段、CookieWebWebSQLXSS〔跨站腳本CRLF〔PUDELETEWeb界面安全性、其他測(cè)試。安全培訓(xùn)效勞安全意識(shí)和安全技術(shù)水平將直接影響到整個(gè)信息安全體系建設(shè)安全治理力氣的目標(biāo)。應(yīng)急響應(yīng)效勞供給日常、重大節(jié)假日及敏感時(shí)期的信息安全應(yīng)急響應(yīng)服并針對(duì)安全大事形成的破壞做出災(zāi)難恢復(fù)。應(yīng)急演練效勞練的預(yù)備、實(shí)施、總結(jié)和匯報(bào)。工程風(fēng)險(xiǎn)把握業(yè)務(wù)方：業(yè)務(wù)方需要全程參與并推動(dòng)本次安全運(yùn)維效勞；把握將工程的信息、資