****县数据资源管理局****运维服务项目
采购内容及总体要求
(本项目采购内容及总体要求为不允许负偏离的实质性要求和条件)
*、采购清单及服务内容
序号 |
服务名称(标的名称) |
服务内容 |
数量 |
单位 |
标的所属行业 |
* |
资产梳理 |
资产梳理是对****县县直单位(含*级机构)、乡镇政府单位电子政务外网中已知或潜在的资产进行探测、识别、标记的全过程。服务频次:每年*次交付成果:《信息资产列表》 |
* |
项 |
软件和信息技术服务业 |
* |
渗透测试 |
针对主要业务系统,模拟黑客开展渗透测试,寻找相关****漏洞,为改进提供依据。服务频次:每年*次,特殊时期按需。交付成果:《渗透测试报告》、《渗透测试复测报告》 |
* |
项 |
软件和信息技术服务业 |
* |
安全扫描 |
通过安全扫描检测系统所存在的安全隐患和漏洞。服务频次:每年**次,特殊时期按需交付成果:《安全扫描服务报告》 |
* |
项 |
软件和信息技术服务业 |
* |
安全监测 |
对网络攻击、系统漏洞、恶意代码、挖矿、勒索、失陷主机等各类安全威胁进行监测并告警。服务频次:***小时交付成果:《安全监测服务报告》 |
* |
项 |
软件和信息技术服务业 |
* |
日常安全管理 |
针对****相关事务进行日常管理。服务频次:常态化交付成果:《****事件通报》、《****处置报告》、《****事件复核报告》、《****事件反馈》、《应急响应报告》、《****月报》、各类迎检材料、台账 |
* |
项 |
软件和信息技术服务业 |
* |
应急演练 |
针对现有重要信息系统的应急演练方案,并开展应急演练活动。服务频次:每年*次。交付成果:《应急演练方案》、《应急演练脚本》 |
* |
项 |
软件和信息技术服务业 |
* |
安全培训 |
对人员开展****意识、安全防护技能、安全法规宣贯培训。服务频次:每年*次。交付成果:《培训方案》、《培训***》。 |
* |
项 |
软件和信息技术服务业 |
*.服务要求
(*)服务目标和服务范围
通过安全服务“常态化”,更好地保证****保障体系有效的正常运转,安全管理制度和流程的有效执行,安全技术防护能力的不断提升,形成长效化的工作机制,达到****问题“主动服务,事前预警,可控可管”的目标。
****县县直单位(含*级机构)、乡镇政府(含各村居)单位电子政务外网,市政务云上****县业务系统以及数据资源管理局应用主机和客户端。
(*)服务需求
*、****管理现状
县数据资源局统筹全县电子政务项目建设,同时对电子政务外网主干部分进行日常管理维护,履行****主体责任。目前,市数据资源局统建全市****监测、预警、感知系统,并给县局分配相关账号。县局目前没有专业技术人员进行查看处置。
*、政务外网安全需求
电子政务外网面临的安全威胁呈现全天候、常态化特征,攻击源遍布国内外。政务外网的安全需求主要包括:
*)上级主管部门、安全主管单位下发的各类安全事件通报进行分析验证,跟踪处置,处置结果验证,形成闭环管理。
*)利用分配账号,自主登录市级态势感知平台,对辖区安全事件进行分析、研判、通报、验证、闭环管理。
*)对****县县直单位(含*级机构)、乡镇政府(含各村居)单位电子政务外网流量进行监测分析,与市级态势感知平台形成补充,及时发现安全隐患,及时开展应急处置。
*)定期对政务外网信息资产进行安全检测,出具检测报告,协助运维单位进行安全整改。
*)为辖区政务外网安全事件处置提供技术咨询。
*、政务云系统安全需求
各部门政务云上部署的大量重要应用系统,面临高频次、隐蔽性强的持续性攻击威胁。政务云系统的安全需求主要包括:
(*)上级主管部门、安全主管单位下发的各类安全事件通报进行分析验证,跟踪处置,处置结果验证,形成闭环管理。
(*)对部署在政务云上系统进行安全监测,针对监测发现的安全漏洞进行通报、跟踪、验证、闭环管理。
(*)定期对政务云系统进行渗透测试,出具渗透测试报告,并对报告中的问题进行闭环管理。
(*)定期对政务云系统进行扫描检测,出具安全检测报告,并对报告中的问题进行闭环管。
(*)协助完成上级主管部门、安全主管单位下发的各类安全检查要求,出具相关检查结果报告,并对报告中的问题进行闭环管理。
*、日常安全管理需求
日常工作中经常会遇到具体的****事件,而事件整改是上级部门****考核的重要指标,借助技术力量支撑,尽快解决****事件,满足****考核要求。
*、省市级****考核需求
日常工作中经常会遇到具体的****事件,而事件整改是上级部门****考核的重要指标,借助技术力量支撑,尽快解决****事件,满足****考核要求。
(*)服务体系
*、遵循原则
本次安全服务,全程遵循并体现以下原则:
*.*保密原则
安全服务是*个长期的过程,对用户信息的保密尤为重要,除保密协议的约束外,服务单位充分认识到安全服务工程同时是*项重大而光荣的任务,严格挑选安全服务人员,保障服务人员的可信度。
*.*标准性原则
安全服务方案的设计与实施依据国内或国际的相关标准进行。
*.*规范性原则
安全服务过程和文档设计遵循了多种安全标准,具有很好的规范性,可以便于项目的跟踪和控制;服务人员是具有国家有关单位认可的信息安全工程师和信息安全测评师,完全具备提供规范安全服务的能力。
*.*可控性原则
安全服务所使用的工具、方法和过程都事先沟通确认,经双方认可方可实施,服务进度遵守进度表的安排,保证对服务工作的可控性。
*.*最小影响原则
提供所有安全服务的前提是要保障网络系统的业务连续性:任何服务项目都尽量不中断业务服务;同时对于占用网络或系统资源较大的服务项目,尽量避开业务高峰实施。
*、参考标准
本项目相关的参考标准如下。
(*)信息安全标准
**/******-****信息安全风险评估方法
**/******-****信息安全风险评估实施指南
**/******-****信息系统安全等级保护基本要求
**/******-****信息系统安全等级保护实施指南
**/******-********事件应急演练指南
**/******-****信息安全应急响应计划规范
***/********:****信息安全管理体系要求
(*)国家法律法规
中华人民共和国****法
中华人民共和国计算机信息系统安全保护条例(国务院***号令)
信息安全等级保护管理办法(公通字[****]**号)
*、体系设计
*.*人员配置基于****特性,本次服务采用*级安全工程师梯队,建立**、**、***级服务团队,如图*所示。
图*安全服务团队
值守监测 初步研判 基础处置基础检测 驻点服务深度研判 溯源分析 渗透测试高级处置 策略加固
**
**工程师
**
**工程师
**
**工程师样本分析 威胁狩猎难题处置 策略设计值守监测 初步研判 基础处置基础检测 驻点服务深度研判 溯源分析 渗透测试高级处置 策略加固**工程师**工程师**工程师样本分析 威胁狩猎难题处置 策略设计
**工程师
工作职责:主要提供驻点服务,包括日常的***安全值守监测、****小时应急处置、初步研判、基础处置、基础检测、安全事务性工作等常规性服务。
能力要求:具备扎实****专业基础知识,熟悉常见漏洞、事件处置方法,能够运用工具开展基础性检测扫描工作。
**工程师
工作职责:主要开展安全事件深度分析研判、溯源分析、渗透测试、高级处置、策略加固、漏洞验证的专业技术工作以及配合开展*×**应急处置工作。
能力要求:熟悉漏洞验证方法,具备安全事件分析溯源、研判分析、应急响项应能力。
**工程师
工作职责:主要开展疑难杂症安全事件的分析、处置,对相关恶意代码样本进行分析研究,为**/**提供处置建议、分析协助、安全策略设计咨询等服务。
能力要求:具备疑难复杂****事件处置、新型网络攻击、****漏洞研究以及应急响应能力。
*.*运营框架
为使****事件得到及时发现、及时处置、及时反馈,最终形成闭环管理,在****运营服务中,主要包括资产台账梳理、问题发现、问题通报、问题处置、处置反馈、资料归档、安全日常管理、安全台账管理等服务模块。具体如图*所示。
日常安全管理编制下发通报事件分析研判问题通报被通报单位处置局自有资产处置单位处置通报处置处置结果验证处置结果反馈处置反馈渗透测试安全扫描安全检测(**+**)外部通报市级平台***监测***监测安全监测(**+**)问题发现《问题通报》《处置反馈》资料归档《验证报告》**资产梳理业务资产梳理资产梳理日常安全管理编制下发通报事件分析研判问题通报被通报单位处置局自有资产处置单位处置通报处置处置结果验证处置结果反馈处置反馈渗透测试安全扫描安全检测(**+**)外部通报市级平台***监测***监测安全监测(**+**)问题发现《问题通报》《处置反馈》资料归档《验证报告》**资产梳理业务资产梳理资产梳理
*.*主要流程
****事件闭环处置流程图如图*所示。安全事件输入主要有上级主管部门的通报、自身***/***的监测结果、安全检测结果。安全事件经分析研判后,如涉及县相关部门,则下发安全事件通报,协助相关责任部门处置。如事件为数据资源局自有网络或业务系统,则由驻点服务的**人员开展处置工作。其他****检查按相关要求开展并及时反馈。
所有处置工作结束后,经**/**验证处置结果有效,则编写相关处置反馈材料,经数据资源局审核后反馈上级通报部门,并做好相关资料归档。
|
|
|
|
|
|
|
安全事件闭环处置流程图 |
安全事件闭环处置流程图 |
安全事件闭环处置流程图 |
安全事件闭环处置流程图 |
安全事件闭环处置流程图 |
安全事件闭环处置流程图 |
安全事件闭环处置流程图 |
安全事件闭环处置流程图 |
安全事件闭环处置流程图 |
|
主管部门 |
主管部门 |
主管部门 |
|
**/** |
**/** |
|
数据资源管理局 |
数据资源管理局 |
数据资源管理局 |
数据资源管理局 |
县各部门 |
县各部门 |
县各部门 |
县各部门 |
|
安全事件通报 |
安全事件通报 |
|
|
安全检测 |
安全检测 |
|
|
|
|
|
|
|
|
|
|
安全事件通报 |
安全事件通报 |
|
|
安全检测 |
安全检测 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
安全监测 |
安全监测 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
研判分析 |
研判分析 |
|
|
|
|
|
|
|
|
|
|
|
|
|
研判分析 |
研判分析 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
下发通报 |
下发通报 |
|
|
审核 |
审核 |
|
|
开展应急处置 |
开展应急处置 |
|
|
|
|
|
|
下发通报 |
下发通报 |
|
|
审核 |
审核 |
|
|
|
开展应急处置 |
|
|
开展处置 |
开展处置 |
|
|
|
|
|
* |
* |
|
|
|
结果验证 |
结果验证 |
|
|
处置反馈 |
处置反馈 |
|
|
结果验证 |
结果验证 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
编制反馈 |
编制反馈 |
|
|
审核 |
审核 |
|
|
|
编制反馈 |
编制反馈 |
|
|
审核 |
审核 |
|
|
|
|
|
|
|
|
|
|
|
反馈归档 |
反馈归档 |
|
|
|
|
|
|
|
|
反馈归档 |
|
|
|
|
|
局内部
*
图*安全事件闭环处置流程图
*、详细设计
*.*资产梳理资产梳理是对****县县直单位(含*级机构)、乡镇政府单位电子政务外网中已知或潜在的资产进行探测、识别、标记的全过程,它是****各项服务工作的前置部分,是****工作中非常重要的*个环节,为后期****运营做好信息收集工作。
资产梳理流程主要分为前期调研与工具探测、数据分析比对、资产台账*个步骤。
具体实施步骤如下:
*.*.*.调研与探测
本阶段主要通过人工调研以及工具探测相结合的形式,得到初步的资产列表。
(*)前期调研
前期调研主要通过填写调研表、访谈、实地查看等多种形式,对所属资产进行核实登记。
(*)工具探测
工具探测主要通过安全运营平台和常用的网络资产探测工具,对网段内存活的网络资产包括重要业务系统、安全设备、网络设备、服务器和终端等进行探测,获取相应**地址、端口号、设备类型等信息。
*.*.*.比对分析
对工具探测出的存活资产,与前期调研进行对比,修复工具中错误的设备类型、设备名称等信息,同时对调研中遗漏的资产进行增补。根据比对的分析结果,结合调研以及原始资料,对发现的资产进行分类,自定义标签,区分关键基础设施资产。
*.*.*.资产台账
对发现的资产信息进行汇总,形成资产台账,方便单位对****县信息资产进行统*管理。
*.*.*.频次与范围
服务范围:****县县直单位(含*级机构)、乡镇政府单位电子政务外网,市政务云上****县业务系统以及数据资源管理局应用主机和客户端。
服务频次:服务器内开展*次全面资产梳理工作,日常做好资产调整变更等相关工作。
*.*.*.输出成果
资产梳理服务的输出成果如下:《信息资产列表》
*.**.*.安全扫描
安全扫描服务是对县内网中的网络设备、安全设备、重要业务系统、重要终端等关键资产进行的安全扫描,检测完成后提供全面的检测服务报告,给出存在的安全风险并提供对应的修复建议。
通过安全扫描服务,可以有效发现设备和系统中存在的安全漏洞、安全配置隐患、安全风险,为安全加固提供事实依据。并通过周期性检查,确保设备和系统的持续、安全、稳定运行。
*.*.*.检测方法
利用带有安全漏洞知识库的扫描工具,对内网中的各类设备、业务系统进行基于网络的安全扫描,检测所存在的安全隐患和漏洞。
漏洞检测是进行安全风险评估的必要手段,可以识别主机开放的服务端口、用户账号、系统漏洞等信息,能较真实地反映业务系统的操作系统、数据库、中间件、网络设备、安全设备所存在的****问题和面临的****威胁。
*)工具选择
系统漏洞检测,拟采用安恒等保工具箱,******,****,*******等正版、合规漏洞扫描系统,作为本次漏洞检测的工具。
*)策略选择
漏洞检测应遵循如下原则:
选取适当的扫描策略
进行漏洞检测时,会依据不同类型的扫描对象、不同的应用情况,选择不同的扫描策略。除了利用扫描工具自身所集成的扫描策略外,对承载较复杂应用的评估对象,评估团队会按照不同的安全需求,编辑或生成适合于被评估对象的专用策略,应用量身定制的策略进行扫描,提高系统扫描效率,并达到更好的扫描效果。
选取适当的扫描时间
为减轻漏洞检测对网络和主机的影响,漏洞检测时间安排在业务量不大的时段或晚上。
单点试扫,主备分开
对于重要的设备,先小范围进行扫描,确认系统不受较大影响后再进行大规模扫描。
*.*.*.检测内容
漏洞检测的内容主要分为业务系统漏洞检测和网络设备、安全设备、重要终端等设备终端漏洞检测,设备终端漏洞检测包括了操作系统漏洞检测、数据库漏洞检测、网络设备漏洞检测、安全设备漏洞检测。业务系统漏洞扫描包括了***漏洞检测、中间件漏洞检测等。
*.*.*.频次与范围
服务范围:经资产梳理工作输出的,单位签字确认的主要信息资产。
服务频次:服务期内每月开展*次安全扫描工作;特殊时期前或安全事件发生时,根据实际情况开展扫描工作。
*.*.*.输出成果
安全扫描服务的主要输出成果如下:
《安全扫描服务报告》
*.**.*.渗透测试服务
以模拟黑客攻击的方式,对业务系统的安全漏洞、安全隐患进行全面检测,最终目标是查找业务系统的安全漏洞、评估系统的安全状态、提供漏洞修复建议。
*.*.*.测试内容
除使用产品和工具扫描外,更重要的需要进行人工渗透,渗透内容包括但不限于以下项,且需要对发现的漏洞进行验证和利用。
表*渗透工具列表
序号 |
工具名称 |
工具说明 |
* |
****** |
主机、数据库漏洞自动扫描工具。 |
* |
**** |
综合渗透测试平台。 |
* |
********** |
综合渗透测试平台。 |
* |
**** |
***漏洞自动扫描工具。 |
* |
******* |
***漏洞自动扫描工具。 |
* |
********** |
***漏洞自动扫描工具。 |
* |
********* |
集成各种渗透测试模块 |
* |
******** |
***注入检测工具。 |
* |
****** |
***注入检测工具。 |
** |
中国蚁剑 |
提权、********管理工具 |
表*渗透测试项列表
序号 |
渗透测试大项 |
渗透测试小项 |
* |
配置管理 |
备份测试、****方法测试、传输安全 |
* |
身份鉴别 |
用户注册、账户权限、账户枚举、弱口令 |
* |
认证授权 |
认证绕过、目录遍历、授权绕过、权限提升 |
* |
会话管理 |
超时测试、会话管理绕过测试、会话令牌泄露测试、跨站点请求伪造****测试 |
* |
输入验证 |
***注入、代码注入、命令执行注入、跨站脚本*** |
* |
错误处理 |
错误码分析、栈追踪分析 |
* |
业务逻辑 |
数据验证、请求伪造、完整性、次数限制、上传测试 |
*.*.*.测试方法
渗透测试服务,采用的测试方法如下。
信息搜集
信息探测阶段包括信息收集,端口、服务扫描,计算机漏洞检测,此阶段主要做渗透前的踩点用。
使用工具:
*******,搜集管理员*****、***、常用**,网络拓扑等
****,端口、服务扫描,弱口令破解,系统信息探测
端口扫描
通过对目标地址的***/***端口扫描,确定其所开放的服务的数量和类型,这是所有渗透测试的基础。通过端口扫描,可以基本确定*个系统的基本信息,结合安全工程师的经验可以确定其可能存在以及被利用的安全弱点,为进行深层次的渗透提供依据。
口令猜测
口令猜测是*种出现概率较高的风险,攻击门槛低,利用简单的暴力攻击程序和比较完善的字典,便可以猜测口令。
对*个系统账号的猜测通常包括*个方面:首先是对用户名的猜测,其次是对密码的猜测。
脚本测试
脚本测试专门针对*/*服务器进行。根据最新的技术统计,脚本安全弱点为当前系统尤其存在动态内容的*/*系统存在的主要比较严重的安全弱点之*。利用脚本相关弱点轻则可以获取系统其他目录的访问权限,重则将有可能取得系统的控制权限。
人工渗透
人工渗透,主要针对系统的业务逻辑漏洞进行安全测试,利用业务逻辑漏洞查找可准确、切实的找出业务中存在的安全隐患,避免被恶意用户利用,对系统造成重大损失。
*.*.*.频次与范围
服务范围:经资产梳理工作输出的,单位签字确认的主要*/*信息资产。
服务频次:服务期内每季度开展*次渗透测试工作;特殊时期前或安全事件发生时,根据实际情况开展渗透测试工作。
*.*.*.输出成果
渗透测试服务的输出成果如下:
《渗透测试服务报告》
*.*.安全监测
安全监测主要包括*个层面:
(*)市级态势感知平台对电子政务外网主干的实时监测;
(*)****县县直单位(含*级机构)、乡镇政府(含各村居)单位电子政务外网,以及数据资源管理局应用主机和客户端的***监测;
(*)县城内政务云上业务系统的***检测。
第*种监测,目前已部署到位,账号已开通,直接可由驻点**工程师进行值守监测。第*种与第*种监测需要部署相关监测工具。
*.*.*.网络***
****监测,是指通过对网络数据流进行全流量采集和分析,****小时监测并告警,帮助网络管理者实时掌握****状况,为网络的正常、稳定、可靠运行提供保障。
*.*.*.*.部署方式
网络***的监测,主要针对****县县直单位(含*级机构)、乡镇政府单位电子政务外网的监测,需要在内部流量汇聚处进行流量镜像抓包分析,其部署方式图*所示。
*
*
政务外网***政务外网***
*.*.*.*.主要功能
*)资产管理
可自动对网络中的资产进行探测和发现,支持对发现的信息资产进行分类,自定义标签,区分关键基础设施资产,并可对发现的资产信息进行汇总,形成资产台账,方便单位对信息资产进行统*管理,同时自动识别可能面临威胁的资产设备。资产识别内容包括:**地址,***地址,资产等级,系统版本,开放的端口,标签。
*)流量监测
通过对单位的核心流量进行镜像,实现****小时实时监测和分析。
失陷监测。对信息资产的失陷状况进行持续监测,监测维度包含木马、挖矿、勒索、肉鸡、窃密、远控、*&***;*在内的多种失陷事件。
入侵监测。对信息资产的入侵状况进行持续监测,监测包含***/****、病毒、蠕虫、僵尸网络、木马、探测与扫描等各种网络威胁。
弱口令、高危端口监测。对信息资产脆弱性进行持续监测,基于弱口令检测和高危端口扫描进行基线核查,探测信息资产的风险隐患。
*)事件处置
针对发现的****事件,经由平台**专家检测确认后,快速对事件进行预警,并推送对应解决方案。
*)安全态势展示
***安全运营平台可从用户单位、主管单位、安全运营单位等不同视角,通过多维可视化手段,直观的展现整体安全态势和潜在风险,包含已失陷的资产、正遭受攻击的信息资产等内容。
通过提供****运营展示界面,可对资产做****小时可持续监测,监测内容包括实时发现失陷事件、入侵攻击、挖矿专项可视化监测等。
主管单位视角。主管单位可以查看县域内各单位的****状况。
*.*.*.系统***
系统***,主要基于****化部署的云监测平台,针对政务云上与互联网直接连接的*/*架构的业务系统进行****小时监测。
*.*.*.*.漏洞监测服务
通过大数据漏洞扫描技术,定期对目标系统进行全面的安全漏洞扫描,发现系统存在的各类安全隐患,并持续跟踪漏洞修复情况。具体包括以下类型的漏洞:
◆常见的***应用漏洞,支持**********等主流安全漏洞,以及各种挂马方式的网页木马如******、***、**、***、*******等
◆****漏洞
*.*.*.*.安全事件监测服务
通过监测技术对各类安全事件进行全面分析感知,包括篡改、暗链、黑页、挂马、后门等,并向相关部门和人员进行定向安全通报。
◆暗链、黑页监测
为提高新型暗链的发现能力,在传统的基于关键字、词组黑名单、***黑名单等暗链监测方法的基础上,通过机器学习***算法对新型暗链攻击行为进行精准识别,对基于异常网页行为的暗链监测方法的准确率和时效性大大提升。
◆篡改监测
***引擎可对页面篡改情况进行实时监测,通过采用标签域识别、资源参数化比对以及篡改取证等技术,实时发现系统中发生的各类篡改事件,帮助管理员尽快得知当前系统篡改情况,能够在事发产生恶劣影响前尽快回复系统正常。
◆挂马监测
系统被挂马是非常严重的安全事件,因为这不仅标志着系统已经被控制,而且还会影响到系统的用户,对单位的信誉造成严重的影响。黑客通过入侵系统进行网页挂马,可以直接批量控制中马用户的计算机,不仅可以盗取各类账号,还可以进行交易劫持等其他利益用途。
◆后门监测
********是攻击者使用的恶意脚本,其目的是升级和维护对已经受到攻击的***应用程序的持久访问。********通常包含*个后门,允许攻击者远程访问,并能在任何时候控制服务器。
***可以通过构建基于语义分析的********检测方法,通过对文件进行语法分析,得到代码的行为节点和相关依赖关系,并通过风险模型匹配实现语义理解从而完成********检测。
◆失陷监测
失陷资产是依据安全数据大脑发现的威胁情报数据(黑名单**),匹配该区域的网络资产数据。如发现某*个**存在扫描行为,被情报识别为扫描主机,正常业务流量中不应存在该类行为,通过关联分析发现该**匹配到某网站资产信息,则初步判定该网站为失陷主机。
失陷类型包括恶意软件、扫描主机、垃圾邮件、钓鱼地址、漏洞利用、网络攻击、*&***;*、恶意主机、代理**、黑产**、放马地址等。
*.*.*.频次与范围
服务范围:***范围为****县县直单位(含*级机构)、乡镇政府(含各村居)单位电子政务外网,以及数据资源管理局应用主机和客户端,***范围为政务云上*/*架构业务系统。
服务频次:服务期内,工作日****。
*.*.*.输出成果
安全监测的主要输出成果如下:
《安全监测服务报告》
*.*.日常安全管理
*.*.*.安全通报
针对安全扫描、渗透测试、安全监测发现的漏洞及安全事件,编制安全通报,经审核后下发至相关单位,并做好后续跟踪。
针对上级主管部门下发的安全通报,经核实验证后,编制安全通报下发至相关单位。
*.*.*.安全处置
对非数据局本单位的安全通报,提供安全处置的技术咨询服务,协助相关单位进行事件处置工作。对于数据局自身的安全事件通报,积极开展溯源分析、安全处置工作。
*.*.*.通报复核
对各类安全事件通报的处置结果进行复核验证,确保处置结构有效,问题隐患得到排除解决。
*.*.*.通报反馈
经通报复核后,对上级单位下发的****事件通报进行及时反馈,并做好记录。
*.*.*.应急响应
接到紧急安全事件通知后,立即以远程方式对安全事件进行分析、抑制、溯源,如果远程无法进行应急处置,则指派经验丰富的安全服务工程师,赶到用户现场进行应急处理。最大程度降低安全事件对用户带来的损失。
*.*.*.日常管理
日常管理主要工作包括:
(*)安全管理的各类台账管理,包括安全事件通报、处置报告、复核报告、各类事件反馈单等相关材料;
(*)编制辖区****运营月报,包括安全态势、通报次数、处置情况等。
(*)健全完善相关安全管理制度规范、制定标准化电子表格及台账,做好登记管理;
(*)协助建立****意识形态工作机制,按照工作要求做好各项管理工作;
(*)做好各类安全迎检及材料反馈工作;
(*)跟踪全球各大漏洞平台,对比资产台帐,及时通知资产存在漏洞的相关负责人进行处置,并闭环跟踪管理。
*.*.*.日常巡检
定期通过自动化基线扫描工具结合人工检查,对安全设备、系统、业务进行配置核查,主动发现不合规的配置风险,提出优化整改建议。
*.*.*.服务频次
服务期内,工作日****,应急期间****小时。
*.*.*.输出成果
主要输出成果如下:
《****事件通报》
《****处置报告》
《****事件复核报告》
《****事件反馈》
《应急响应报告》
《****月报》
各类迎检材料、台账
*.*.应急演练
*.*.*.工作流程
根据调研结果对单位现有重要信息系统的应急演练方案进行梳理;
应急预案的修订旨在提高应对网络与信息安全事件能力,预防和减少网络与信息安全事件造成的损失和危害,另*方面根据现有的应急保障体系,通过调研整体梳理的应急管理工作,从管理层面提升系统的防瘫痪能力。
应急演练方案的改进应充分考虑现有的安全技术情况与管理组织情况。应急方案的内容应结合安全工作中对目前应用环境中安全威胁分析的成果,充分覆盖现有信息系统可能出现的安全事件。
网络与信息事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障和灾害性事件等。
(*)有害程序事件分为计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件。
(*)网络攻击事件分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。
(*)信息破坏事件分为信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。
(*)信息内容安全事件是指通过网络传播法律法规禁止信息,组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益的事件。
(*)设备设施故障分为软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障。
(*)灾害性事件是指由自然灾害等其他突发事件导致的网络与信息安全事件。
对本次项目中重要应急内容进行演练脚本的编制。应急演练脚本设计全面覆盖重要的应急响应流程,从以下每个阶段出发进行脚本设计。
图*应急演练流程
*.*.*.应急演练实施
根据应急响应方案以及应急响应流程组织人员进行演练,应急演练由应急响应领导小组统*安排,相关应急演练组织工作如下:
应急响演练方案:按照前期制定好的应急演练方案。
应急响演练组织:应急响应小组。
应急响演练时间周期:*天。
应急响演练人员:应急响应小组成员、安全服务商、第*方运维人员、内部人员等。
应急响演练场所:办公地及现场处置场所。
*.*.*.应急演练结果
根据应急演练结果,调整原有应急方案并且提出应急工作的不足之处,给出相关整改建议,出具应急演练报告。
*.*.*.演练人员组成
项目经理
现场应急组
技术支援组
公司技术专家
应急响应计划能够帮助单位及项目组容应应对不断出现的各类操作失误及攻击事件,为整个项目实施及****防范提供最强大的支持,并以此来完善整个****策略。
*.*.*.输出成果
应急演练服务过程中,主要交付成果为《应急演练方案》、《应急演练脚本》等。
*.*.*.服务规格
服务期内,提供*次安全应急演练服务。
*、组织与实施
时限要求
(*)接收到外部通报时,要求当天响应:工作日**内响应,非工作日**内响应;开展分析、研判、溯源处理;
(*)本地监测平台出现紧急高危事件当日分析、研判处理;
安全事件处置,原则*个工作日内处置完毕反馈处置报告
*、考核办法
序号 |
评价项 |
评价内容 |
评价办法 |
评价运用 |
* |
过程管理 |
安全监测 |
****威胁监测 |
监测不到位,值守记录不完善,每次扣*分; |
每扣*分,扣减运维费用****元 |
* |
过程管理 |
安全监测 |
平台事件分析 |
自有监测平台,紧急高危事件当日分析、研判处理,逾期每*次,扣*分; |
每扣*分,扣减运维费用****元 |
* |
过程管理 |
通报处理 |
安全通报及时处置 |
外部通报,原则当日响应,开展分析、研判、溯源处理,逾期每次,扣*分; |
每扣*分,扣减运维费用****元 |
* |
过程管理 |
通报处理 |
通报闭环管理 |
通报未闭环管理,每次扣*分。 |
每扣*分,扣减运维费用****元 |
* |
过程管理 |
问题处置 |
接处置要求后,工作日**内响应;非工作日**响应 |
超过时长未响应,每超*小时扣*分; |
每扣*分,扣减运维费用****元 |
* |
过程管理 |
问题处置 |
安全事件,原则*个工作日内处置完毕反馈处置报告 |
超过时长未响应,每超*小时扣*分; |
每扣*分,扣减运维费用****元 |
* |
过程管理 |
问题处置 |
应急事件处置,在接到通知后**内响应 |
超过时长未响应,每超*小时扣*分; |
每扣*分,扣减运维费用****元 |
* |
过程管理 |
问题处置 |
全县范围内的****事件(非数据局类),再接到采购人通知到达现场处置后,**小时内到达采购人指定现场 |
超过时长未到达现场的,每超*小时扣*分; |
每扣*分,扣减运维费用****元 |
* |
过程管理 |
台账管理 |
月报、年报 |
月报、年报未按时提交,扣*分;缺失*次,扣*分; |
每扣*分,扣减运维费用****元 |
* |
过程管理 |
台账管理 |
各类台账管理清晰 |
台账管理混乱,数据缺失不全,整改后效果不佳,每项扣*分; |
每扣*分,扣减运维费用****元 |
* |
人员管理 |
服务人员调动率 |
*年中**人员调动率小于等于**%,超过则扣*分;**人员调动率小于等于**%,超过则扣*分。 |
台账管理混乱,数据缺失不全,整改后效果不佳,每项扣*分; |
* |
人员管理 |
驻点人员出勤率 |
*年中驻点人员出勤率大于等于**%,低于则扣*分; |
*年中**人员调动率小于等于**%,超过则扣*分;**人员调动率小于等于**%,超过则扣*分。 |
* |
人员管理 |
上岗资质符合性 |
不符合上岗资质要求每人每次扣*分; |
*年中驻点人员出勤率大于等于**%,低于则扣*分; |
*、商务要求
*、进场时间:合同签订后*日内完成进场开始服务。
*、服务期限:服务期*年。
*、付款方式:
*.*合同签订后,采购人向成交供应商支付合同金额的**%作为预付款(成交供应商须向采购人提交银行、保险公司、担保公司等金融机构出具的预付款保函或其他担保措施)。在成交供应商正式开展运维服务并切实履行了服务期内的全部合同义务后,成交供应商将正规发票原件交于采购人,采购人收到后(结合考核结果)于*个工作日内支付剩余合同金额。
*.*如成交供应商书面明确表示无需预付款,在成交供应商正式开展运维服务并切实履行了服务期内的全部合同义务后,并将正规发票原件交于采购人,采购人收到后(结合考核结果)于*个工作日内支付至合同金额的***%。
*、成交供应商应为本项目服务人员依法缴纳社会保险费、住房公积金及其他相关费用。
*、成交供应商在项目实施过程中,国家对相关项目有资质要求的,进场单位和人员的资质、资格符合国家、省、市有关规定。实施期间成交供应商所发生的或成交供应商原因造成的安全事故,均应由成交供应商负责按有关规定处理善后事宜,并承担给采购人造成的损失。
成交供应商在响应文件中为本项目配备的人员力量,在合同履行期间,成交供应商须按采购人要求到达本项目现场提供相应服务,否则采购人有权解除采购合同。
成交供应商在响应文件中为本项目配备的人员力量,在合同履行期间,至少*名人员提供驻场服务,驻场人员办公场所由采购人提供,产权归采购人所有,驻场人员办公所需设备由成交供应商自行配备。驻场服务人员若不能胜任现场工作,采购人有权要求成交供应商更换驻场人员。
*、服务地点:****县数据资源管理局(采购人指定地点)。
*、采购人提供的设施场所、材料配件等的所有权归采购人,如因人为原因损坏,由成交供应商负责赔偿。
*、成交供应商不得将本项目转包,*经发现,采购人有权终止、解除合同并要求成交供应商赔偿。
*、本项目总报价包含了验收合格交付使用前的全部费用,及所有价内价外税金及合理利润等。