網(wǎng)絡(luò)安全技術(shù)服務(wù)方案

網(wǎng)絡(luò)安全技術(shù)服務(wù)方案一、項(xiàng)目概況為進(jìn)一步提高本單位網(wǎng)絡(luò)安全防護(hù)能力，確保網(wǎng)絡(luò)環(huán)境安全穩(wěn)定，特申請(qǐng)采購(gòu)3年網(wǎng)絡(luò)安全服務(wù)。主要服務(wù)內(nèi)容包括：安全基線檢查、Web和主機(jī)安全掃描、安全運(yùn)維、安全加固與咨詢、重保和護(hù)網(wǎng)、攻防演練及網(wǎng)絡(luò)安全宣傳、應(yīng)急響應(yīng)、安全設(shè)備支持等。二、項(xiàng)目?jī)?nèi)容（一）安全基線檢查技術(shù)指標(biāo)指標(biāo)要求服務(wù)方式現(xiàn)場(chǎng)實(shí)施，2次/年服務(wù)內(nèi)容根據(jù)既定的檢查規(guī)范及方法，采用人工檢查用表（checklist）、腳本程序或基線掃描工具對(duì)評(píng)估目標(biāo)范圍內(nèi)的主機(jī)系統(tǒng)安全、數(shù)據(jù)庫(kù)安全、中間件安全等進(jìn)行系統(tǒng)的策略配置、服務(wù)配置、保護(hù)措施以及系統(tǒng)和軟件升級(jí)、更新情況，是否存在后門等內(nèi)容進(jìn)行檢查。服務(wù)要求檢查內(nèi)容包括但不限于：一、操作系統(tǒng)安全檢查1.支持對(duì)Windows、Linux、Aix、Unix等系統(tǒng)進(jìn)行安全漏洞及安全配置缺陷的檢查與評(píng)估。2.檢測(cè)內(nèi)容包括（不限于）：身份鑒別方式、帳號(hào)安全設(shè)置、遠(yuǎn)程管理方式、多余帳號(hào)和空口令檢查、默認(rèn)共享檢查、文件系統(tǒng)安、網(wǎng)絡(luò)服務(wù)安全、系統(tǒng)訪問控制、日志及監(jiān)控審計(jì)、拒絕服務(wù)保護(hù)、補(bǔ)丁管理、病毒及惡意代碼防護(hù)、系統(tǒng)備份與恢復(fù)、硬件冗余情況、硬盤分區(qū)格式等安全情況。二、數(shù)據(jù)庫(kù)安全檢查1.支持對(duì)MySql、Oracle、DB2、sql等數(shù)據(jù)庫(kù)系統(tǒng)進(jìn)行安全漏洞及安全配置缺陷的檢查與評(píng)估。2.檢測(cè)內(nèi)容包括（不限于）：身份認(rèn)證方式、帳號(hào)安全設(shè)置、管理權(quán)限和角色設(shè)置、多余帳號(hào)和缺省口令檢查、數(shù)據(jù)庫(kù)目錄和文件系統(tǒng)安全、監(jiān)聽器管理設(shè)置、日志及監(jiān)控審計(jì)、數(shù)據(jù)庫(kù)版本和補(bǔ)丁管理、數(shù)據(jù)庫(kù)備份策略、硬件冗余情況等安全情況。三、網(wǎng)絡(luò)設(shè)備配置檢查1.支持對(duì)防火墻、IPS（IDS）、路由器、交換機(jī)等網(wǎng)絡(luò)和網(wǎng)絡(luò)安全設(shè)備進(jìn)行安全漏洞及安全配置缺陷的檢查與評(píng)估。2.檢測(cè)內(nèi)容包括（不限于）：帳號(hào)安全設(shè)置、管理權(quán)限和角色設(shè)置、多余帳號(hào)和缺省口令檢查、備份和升級(jí)情況、訪問控制、路由協(xié)議、日志審核、網(wǎng)絡(luò)攻擊防護(hù)及端口開放、遠(yuǎn)程訪問等安全情況。四、中間件安全檢查1.支持對(duì)weblogic、apache、IIS、WAS等進(jìn)行安全漏洞及安全配置缺陷的評(píng)估。2.檢測(cè)內(nèi)容包括（但不限于）：系統(tǒng)和中間件的可用性、系統(tǒng)和中間件的完整性、系統(tǒng)中間件和應(yīng)用的性能、通過與系統(tǒng)使用中關(guān)鍵人員的訪談來(lái)評(píng)估系統(tǒng)整體要求、對(duì)系統(tǒng)結(jié)構(gòu)及運(yùn)營(yíng)架構(gòu)進(jìn)行高層面的評(píng)測(cè)、定位系統(tǒng)的運(yùn)作流程中潛在的風(fēng)險(xiǎn)區(qū)域、產(chǎn)生基于中間件的最佳應(yīng)用準(zhǔn)則的建議報(bào)告等。五、其他要求1.根據(jù)合理規(guī)劃、區(qū)域隔離、風(fēng)險(xiǎn)可控的要求，結(jié)合業(yè)務(wù)系統(tǒng)的部署情況，分析學(xué)?，F(xiàn)有網(wǎng)絡(luò)架構(gòu)、區(qū)域劃分存在的安全隱患，并提出整改建議；2.基于信息系統(tǒng)現(xiàn)狀，參照國(guó)家信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范，對(duì)資產(chǎn)、威脅、脆弱性、安全措施進(jìn)行識(shí)別和分析，確定風(fēng)險(xiǎn)計(jì)算模型，從物理層、網(wǎng)絡(luò)層、系統(tǒng)層和應(yīng)用層進(jìn)行評(píng)估，全面分析系統(tǒng)面臨的信息安全風(fēng)險(xiǎn)，并提供風(fēng)險(xiǎn)評(píng)估報(bào)告；3.協(xié)助學(xué)校找出校內(nèi)隱藏的web服務(wù)器資產(chǎn)。4.根據(jù)學(xué)?，F(xiàn)狀及業(yè)務(wù)需求，制定近3年網(wǎng)絡(luò)安全規(guī)劃。輸出物《安全基線檢查報(bào)告》等（二）Web和主機(jī)安全掃描技術(shù)指標(biāo)指標(biāo)要求服務(wù)方式現(xiàn)場(chǎng)實(shí)施，4次/年服務(wù)內(nèi)容一、Web安全1.Web漏掃。對(duì)指定網(wǎng)站、信息系統(tǒng)進(jìn)行漏洞掃描，經(jīng)人工驗(yàn)證掃描結(jié)果，按采購(gòu)方要求輸出掃描報(bào)告，并提供修復(fù)建議。漏洞修復(fù)后，提供漏洞復(fù)掃服務(wù)，直至修復(fù)完成。2.弱口令檢測(cè)。提供指紋識(shí)別、暴力猜解等方法檢測(cè)Web應(yīng)用弱口令。3.Webshell檢查。針對(duì)Web應(yīng)用所有的文件進(jìn)行安全掃描，發(fā)現(xiàn)網(wǎng)站上可能存在的Webshell、網(wǎng)頁(yè)后門等惡意文件。4.敏感信息檢測(cè)。檢測(cè)發(fā)現(xiàn)Web應(yīng)用中包含身份證號(hào)、銀行賬號(hào)、家庭住址等敏感信息，需人工識(shí)別確定，防止敏感信息泄露。5.不良信息檢測(cè)。檢測(cè)發(fā)現(xiàn)Web應(yīng)用中的隱藏鏈接、可疑鏈接等，并對(duì)暗鏈內(nèi)容進(jìn)行內(nèi)容識(shí)別，確定不良信息。6.網(wǎng)頁(yè)木馬檢測(cè)。提供對(duì)各種掛馬方式的網(wǎng)頁(yè)木馬進(jìn)行檢測(cè)分析，并對(duì)木馬傳播的病毒類型做出準(zhǔn)確剖析和網(wǎng)頁(yè)木馬宿主做出精確定位，并提供處置報(bào)告并協(xié)助處理加固。二、主機(jī)安全1.主機(jī)漏掃。對(duì)服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等主機(jī)設(shè)備進(jìn)行安全掃描，人工驗(yàn)證掃描結(jié)果并輸出安全掃描報(bào)告及修復(fù)建議。漏洞修復(fù)后，提供漏洞復(fù)掃服務(wù)，直至修復(fù)完成。2.弱口令檢測(cè)。提供指紋識(shí)別、暴力猜解等方法檢測(cè)主機(jī)弱口令，支持包括telent、ftp、ssh、pop3、smb、snmp、rdp、smtp、redis、oracle、mysql、postgresql、mssql、db2、mongodb等主流協(xié)議。驗(yàn)證掃描成果。3.對(duì)DNS服務(wù)的安全漏洞檢查，包括DNS緩存中毒、DNS拒絕服務(wù)漏洞、簽名欺騙等至少100種以上的相關(guān)漏洞庫(kù)；4.對(duì)iOS、Android、Blackberry、windowsphone等操作系統(tǒng)，并提供至少50種以上的相關(guān)漏洞庫(kù)；輸出物《web安全掃描報(bào)告》、《主機(jī)安全掃描報(bào)告》等（三）安全運(yùn)維技術(shù)指標(biāo)指標(biāo)要求服務(wù)方式現(xiàn)場(chǎng)實(shí)施，4次/年服務(wù)內(nèi)容通過現(xiàn)場(chǎng)人員駐場(chǎng)的方式,對(duì)我校管理員日常的生產(chǎn)運(yùn)營(yíng)工作進(jìn)行協(xié)助和支持,充分發(fā)揮專業(yè)的安全技術(shù)能力,保障客戶網(wǎng)絡(luò)運(yùn)維、日常辦公的有序運(yùn)行。輸出物《安全運(yùn)維報(bào)告》等（四）安全加固與咨詢技術(shù)指標(biāo)指標(biāo)要求服務(wù)方式根據(jù)學(xué)校要求進(jìn)行遠(yuǎn)程或現(xiàn)場(chǎng)實(shí)施服務(wù)內(nèi)容1.依據(jù)安全檢查和評(píng)估的各項(xiàng)報(bào)告，針對(duì)信息系統(tǒng)各組件（服務(wù)器、應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備、網(wǎng)站等）存在的脆弱性，制定相應(yīng)的加固方案。協(xié)助我校通過補(bǔ)丁更新、修補(bǔ)漏洞、安全配置增強(qiáng)、系統(tǒng)架構(gòu)和安全策略調(diào)整等措施進(jìn)行安全加固,幫助提升系統(tǒng)的安全性和抗攻擊能力。2.定期提供最新病毒的防御方案、最新系統(tǒng)漏洞信息及其修復(fù)方法、最新發(fā)生的安全事件等內(nèi)容的安全通告報(bào)告。3.同時(shí)學(xué)校提供所有關(guān)于網(wǎng)絡(luò)安全的信息咨詢。輸出物《系統(tǒng)安全加固建議》、《網(wǎng)絡(luò)安全資訊》等（五）重保和護(hù)網(wǎng)演練服務(wù)技術(shù)指標(biāo)指標(biāo)要求服務(wù)方式現(xiàn)場(chǎng)實(shí)施，提供每年≥20天駐場(chǎng)服務(wù)（每天8小時(shí)）服務(wù)范圍采購(gòu)方所有主機(jī)及業(yè)務(wù)系統(tǒng)服務(wù)內(nèi)容1.在重大活動(dòng)時(shí)期或護(hù)網(wǎng)演練期間，提供專業(yè)工程師駐場(chǎng)，利用人工結(jié)合工具等方式對(duì)單位信息系統(tǒng)、網(wǎng)站、服務(wù)器等資產(chǎn)進(jìn)行實(shí)時(shí)監(jiān)測(cè)，及時(shí)處理發(fā)現(xiàn)的系統(tǒng)安全事件。同時(shí)利用安全監(jiān)測(cè)平臺(tái)對(duì)安全威脅及事件進(jìn)行取證溯源，并對(duì)內(nèi)部安全設(shè)備策略進(jìn)行配置優(yōu)化，幫助用戶建立完善的網(wǎng)絡(luò)安全保障機(jī)制。針對(duì)重要系統(tǒng)，值守工程師模擬黑客的攻擊思路進(jìn)行排查，發(fā)現(xiàn)信息系統(tǒng)可能存在的安全威脅。除完成以上內(nèi)容外，還需滿足本單位提出的其他臨時(shí)安全需求，并最終提交各項(xiàng)報(bào)告。2.護(hù)網(wǎng)演練期間，需提供蜜罐系統(tǒng)等安全設(shè)備。所提供的蜜罐系統(tǒng)功能參數(shù)要求如下：3.派遣專業(yè)工程師駐場(chǎng)值守，并提供重保方案及具有安全檢測(cè)、安全防護(hù)、溯源取證等系統(tǒng)或設(shè)備，提升本單位網(wǎng)絡(luò)安全防護(hù)能力，確保采購(gòu)方網(wǎng)絡(luò)安全。輸出物《重保日?qǐng)?bào)》、《重?？偨Y(jié)報(bào)告》等。（六）攻防演練技術(shù)指標(biāo)指標(biāo)要求服務(wù)方式現(xiàn)場(chǎng)實(shí)施，≥1次/年服務(wù)范圍采購(gòu)方所有業(yè)務(wù)系統(tǒng)服務(wù)內(nèi)容開展攻防演練,加強(qiáng)內(nèi)部信息安全人才建設(shè)、培養(yǎng),提升整體技術(shù)骨干攻防技能水平，促進(jìn)日常信息化安全管理水平。提供攻防演練方案，針對(duì)指定信息系統(tǒng)，通過真實(shí)攻擊，排摸用戶網(wǎng)絡(luò)環(huán)境可能存在的安全風(fēng)險(xiǎn)隱患，驗(yàn)證現(xiàn)有網(wǎng)絡(luò)安全防護(hù)措施的有效性和可靠性，從而提高應(yīng)對(duì)網(wǎng)絡(luò)安全攻擊和事件的水平和協(xié)同配合能力。服務(wù)要求1.從攻擊、防守兩方（紅/藍(lán)）角色進(jìn)行網(wǎng)絡(luò)實(shí)戰(zhàn)攻防演練，提供演練前培訓(xùn)、演練實(shí)施以及演練后的總結(jié)回顧服務(wù)等內(nèi)容。2.攻擊場(chǎng)景包括但不限于信息篡改、信息泄露、潛伏控制，攻擊方式包括但不限于web滲透、內(nèi)網(wǎng)滲透、釣魚欺騙、社會(huì)工程學(xué)。3.漏洞測(cè)試、攻擊利用過程點(diǎn)到為止，需截圖保存證據(jù)，禁止進(jìn)行攻擊破壞。4.演練結(jié)束后，應(yīng)組織專家，匯總、分析所有攻擊數(shù)據(jù)，匯總發(fā)現(xiàn)的突出問題，形成整改報(bào)告，并下發(fā)到責(zé)任單位，督促其整改及上報(bào)整改結(jié)果。輸出物《攻防演練總結(jié)報(bào)告》等（七）安全宣傳及培訓(xùn)技術(shù)指標(biāo)指標(biāo)要求服務(wù)方式現(xiàn)場(chǎng)實(shí)施，網(wǎng)絡(luò)安全宣傳周：≥1次/年；網(wǎng)絡(luò)安全培訓(xùn)：≥2次/年服務(wù)內(nèi)容1.助學(xué)校做好每年安全宣傳周工作，包括網(wǎng)絡(luò)安全宣傳、網(wǎng)絡(luò)安全宣講、網(wǎng)絡(luò)安全宣傳海報(bào)、宣傳手冊(cè)制定等。2.提供每年≥2次網(wǎng)絡(luò)安全培訓(xùn)，用以提升學(xué)校技術(shù)人員的安全意識(shí)和技術(shù)水平，并出具培訓(xùn)PPT。服務(wù)要求1.針對(duì)管理和技術(shù)兩個(gè)層面制定階梯性人員能力培訓(xùn)計(jì)劃，通過安全培訓(xùn)使相關(guān)人員的安全意識(shí)、安全技術(shù)能力及安全管理能力有明顯提升。管理人員主要包括：高層管理、業(yè)務(wù)專家等。培訓(xùn)目標(biāo)：對(duì)管理人員的培訓(xùn)，使他們了解國(guó)家相關(guān)部門對(duì)系統(tǒng)信息安全管理和建設(shè)的相關(guān)標(biāo)準(zhǔn)，同時(shí)建立起一套具有針對(duì)性和適用性的安全管理辦法。技術(shù)人員主要包括：操作人員、開發(fā)人員、維護(hù)人員等。培訓(xùn)目標(biāo)：對(duì)技術(shù)人員的培訓(xùn)，使他們了解信息系統(tǒng)所面臨的嚴(yán)峻安全威脅和挑戰(zhàn)，以及如何進(jìn)行全面有效的安全防護(hù)措施。全員培訓(xùn)主要包括：安全意識(shí)培訓(xùn)等。培訓(xùn)目標(biāo)：全體成員的培訓(xùn)，、讓大家對(duì)信息安全的有初步的認(rèn)識(shí)和逐步提高安全意識(shí)，讓安全事故可以得到有效的避免。2.投標(biāo)單位需為信息安全測(cè)評(píng)中心授權(quán)培訓(xùn)機(jī)構(gòu)；3.培訓(xùn)講師需具備相應(yīng)的信息安全專業(yè)資質(zhì)，比如CISSP、CISP、ISO27001、CISAW、CCSK等。輸出物網(wǎng)絡(luò)安全宣傳材料、培訓(xùn)課件等（八）應(yīng)急響應(yīng)技術(shù)指標(biāo)指標(biāo)要求服務(wù)方式根據(jù)學(xué)校需求服務(wù)范圍采購(gòu)方所有主機(jī)及業(yè)務(wù)系統(tǒng)服務(wù)內(nèi)容服務(wù)期內(nèi)，通過遠(yuǎn)程和現(xiàn)場(chǎng)支持的形式協(xié)助本單位對(duì)遇到的突發(fā)性安全事件進(jìn)行緊急分析和處理。服務(wù)要求當(dāng)出現(xiàn)安全事件時(shí)，必須及時(shí)進(jìn)行響應(yīng)，具體要求包括：1.技術(shù)人員在≤4小時(shí)內(nèi)到達(dá)現(xiàn)場(chǎng)；2.對(duì)入侵事件進(jìn)行分析，查找原因、溯源取證；3.抑制入侵事件的進(jìn)一步發(fā)展，將事故的損害降低到最小化；4.排除安全隱患，消除安全威脅，協(xié)助恢復(fù)系統(tǒng)正常運(yùn)作；5.提交應(yīng)急響應(yīng)報(bào)告及安全加固建議；6.提供安全專家團(tuán)隊(duì)遠(yuǎn)程協(xié)助進(jìn)行應(yīng)急響應(yīng)處置工作。輸出物《安全事件應(yīng)急響應(yīng)報(bào)告》等（九）設(shè)備支持類服務(wù)技術(shù)指標(biāo)指標(biāo)要求服務(wù)內(nèi)容提供漏掃系統(tǒng)、云防護(hù)服務(wù)、APT設(shè)備，服務(wù)時(shí)間3年。其中漏掃系統(tǒng)、APT設(shè)備需安裝在采購(gòu)方機(jī)房。漏掃系統(tǒng)1.支持常見的WEB應(yīng)用弱點(diǎn)檢測(cè)，支持OWASPTOP10等主流安全漏洞，如：SQL注入、Cookie注入、Base64注入、XSS跨站腳本、框架注入、鏈接注入、隱藏字段、CSRF跨站偽造請(qǐng)求、命令注入、命令執(zhí)行、代碼注入、遍歷目錄、弱口令、表單繞過、文件包含、管理后臺(tái)、敏感信息泄漏、第三方組件、其他各類CGI漏洞等各種類型；2.支持在漏洞知識(shí)庫(kù)中單獨(dú)選擇某漏洞直接下發(fā)掃描任務(wù)以驗(yàn)證是否存在該漏洞；3.支持定制掃描：用戶可根據(jù)；目標(biāo)掃描網(wǎng)站的特點(diǎn)以及所在網(wǎng)絡(luò)環(huán)境，對(duì)掃描過程進(jìn)行定制，如爬行、檢測(cè)、過濾、網(wǎng)絡(luò)環(huán)境等；4.支持端口掃描和服務(wù)的協(xié)議及版本識(shí)別，支持自定義掃描端口范圍；5.支持IP地址的形式下發(fā)掃描任務(wù)并自動(dòng)發(fā)現(xiàn)存在的Web資產(chǎn)；提供功能截圖證明；6.漏洞知識(shí)庫(kù)支持漏洞描述、修復(fù)建議、CVEID、CNCVEID、CNVDID、CNNVDID、Bugtraq、CVSS分值、漏洞名稱、風(fēng)險(xiǎn)等級(jí)、發(fā)現(xiàn)日期等維度查看；7.漏洞掃描系統(tǒng)Web掃描域名無(wú)限制，Web掃描任務(wù)并發(fā)數(shù)為5個(gè)域名。支持掃描A類、B類、C類地址，系統(tǒng)掃描支持50個(gè)IP地址并行掃描。標(biāo)準(zhǔn)1U機(jī)架式，1T硬盤，標(biāo)準(zhǔn)配置6個(gè)10/100/1000M自適應(yīng)電口，2個(gè)擴(kuò)展插槽,2個(gè)USB口，1個(gè)Console口，單電源。報(bào)價(jià)中包含三年漏洞特征庫(kù)升級(jí)。8.支持同時(shí)下發(fā)系統(tǒng)掃描、Web掃描、弱口令掃描任務(wù)，無(wú)需單獨(dú)下發(fā)掃描任務(wù)，掃描目標(biāo)可以是IP、域名、URL的任一格式；9.支持掃描國(guó)產(chǎn)系統(tǒng)、數(shù)據(jù)庫(kù)掃描。國(guó)產(chǎn)操作系統(tǒng)包括中興新支點(diǎn)、中標(biāo)麒麟、凝思、華為歐拉、深度、紅旗，國(guó)產(chǎn)數(shù)據(jù)庫(kù)包括神通、人大金倉(cāng)、南大通用、達(dá)夢(mèng)10.支持自動(dòng)探測(cè)指定網(wǎng)段中的Web站點(diǎn)，并可一鍵轉(zhuǎn)為Web資產(chǎn)或一鍵下發(fā)Web掃描任務(wù)；11.支持至少三種漏洞驗(yàn)證方式如瀏覽器驗(yàn)證、注入驗(yàn)證、通用驗(yàn)證；15.支持導(dǎo)出同時(shí)