網(wǎng)絡(luò)安全的業(yè)務(wù)與技術(shù)范圍

網(wǎng)絡(luò)安全的業(yè)務(wù)與技術(shù)范圍2.1.1網(wǎng)絡(luò)安全日常維保近年來隨著互聯(lián)網(wǎng)的高速發(fā)展，電信主管部門對網(wǎng)絡(luò)安全要求、安全考核愈發(fā)嚴(yán)格。而隨著安全攻防技術(shù)的快速發(fā)展，網(wǎng)絡(luò)及信息安全漏洞層出不窮，基于IP網(wǎng)絡(luò)的安全問題日益突出，主要表現(xiàn)在：物理層面安全、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)安全、設(shè)備安全、網(wǎng)絡(luò)邊界安全、網(wǎng)絡(luò)系統(tǒng)安全、應(yīng)用系統(tǒng)安全、網(wǎng)絡(luò)管理安全、流量安全、業(yè)務(wù)安全、數(shù)據(jù)安全、安全管控等。為切實(shí)落實(shí)《工業(yè)和信息化部國務(wù)院國有資產(chǎn)監(jiān)督管理委員會關(guān)于開展基礎(chǔ)電信企業(yè)網(wǎng)絡(luò)與信息安全責(zé)任考核有關(guān)工作的指導(dǎo)意見》（工信部聯(lián)保（2012）551號）相關(guān)要求，需在企業(yè)內(nèi)部常態(tài)化開展網(wǎng)絡(luò)安全維保檢查，以檢驗(yàn)各單位網(wǎng)絡(luò)及系統(tǒng)安全防護(hù)能力和管理要求落實(shí)的有效性，通過積極開展網(wǎng)絡(luò)安全日常維保更好的推進(jìn)全省網(wǎng)絡(luò)安全工作的開展，切實(shí)做到舉一反三、查缺補(bǔ)漏，有效降低內(nèi)外部風(fēng)險。通過實(shí)施本項(xiàng)目，及時掌握當(dāng)前的網(wǎng)絡(luò)安全現(xiàn)狀，全面摸清安全隱患和薄弱環(huán)節(jié)，規(guī)避考核風(fēng)險，通過日常安全加固，有效促進(jìn)甲方整體網(wǎng)絡(luò)安全工作水平的提升。2.1.2數(shù)據(jù)安全防護(hù)近年來數(shù)據(jù)安全信息泄漏事件高頻發(fā)生，一方面是信息系統(tǒng)本身存在安全漏洞和弱點(diǎn)，外部攻擊者利用這些漏洞和弱點(diǎn)進(jìn)行惡意攻擊，從而竊取敏感數(shù)據(jù)，進(jìn)行進(jìn)一步的違法行為，如倒賣客戶信息等，從而非法贏利；另一方面是內(nèi)部員工利用職權(quán)非法竊取敏感數(shù)據(jù)，進(jìn)行如倒賣客戶信息等非法贏利行為，最終導(dǎo)致用戶信息大規(guī)模泄露。將客戶信息安全保護(hù)作為年度重點(diǎn)安全工作，要求進(jìn)行重大應(yīng)用系統(tǒng)安全漏洞（客戶信息泄露）專項(xiàng)整治工作，引入專業(yè)第三方開展數(shù)據(jù)安全運(yùn)營管理合規(guī)及安全基線評測服務(wù)，建立健全客戶信息防泄露手段和數(shù)據(jù)安全審計(jì)系統(tǒng)策略和手段等措施來全面加強(qiáng)和提升客戶信息安全保護(hù)工作。2.1.3網(wǎng)絡(luò)安全業(yè)務(wù)監(jiān)測近年來隨著互聯(lián)網(wǎng)的高速發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)的資源共享進(jìn)一步加強(qiáng)，基礎(chǔ)電信業(yè)務(wù)運(yùn)營商，具有網(wǎng)絡(luò)規(guī)模大、用戶數(shù)量眾多、業(yè)務(wù)系統(tǒng)豐富而復(fù)雜等特點(diǎn)，隨之而來的網(wǎng)絡(luò)安全的風(fēng)險日益加大。在一個開放的網(wǎng)絡(luò)環(huán)境中，大量信息在網(wǎng)上流動，這為不法分子提供了攻擊目標(biāo)。計(jì)算機(jī)網(wǎng)絡(luò)組成形式多樣性、終端分布廣和網(wǎng)絡(luò)的開放性、互聯(lián)性等特征更為他們提供便利。黑客利用不同的攻擊手段,獲得訪問或修改在網(wǎng)中流動的敏感信息，窺視、竊取、篡改數(shù)據(jù)。其“低成本和高收益”在一定程度上刺激了犯罪的增長。使得針對計(jì)算機(jī)信息系統(tǒng)的犯罪活動日益增多。面對嚴(yán)峻的網(wǎng)絡(luò)安全形勢，甲方通過加強(qiáng)網(wǎng)絡(luò)安全業(yè)務(wù)監(jiān)測、分析能力，切實(shí)提高網(wǎng)絡(luò)與信息安全保障水平，增強(qiáng)數(shù)據(jù)資產(chǎn)、應(yīng)用系統(tǒng)的安全風(fēng)險監(jiān)測能力。2.3.1網(wǎng)絡(luò)安全日常維保內(nèi)容范圍涵蓋：1、甲方的各類數(shù)據(jù)資產(chǎn)，根據(jù)現(xiàn)場網(wǎng)絡(luò)安全日常維保確定。2、系統(tǒng)測試：網(wǎng)絡(luò)信息安全系統(tǒng)基本功能測試，系統(tǒng)數(shù)據(jù)準(zhǔn)確性、一致性校驗(yàn)。2.3.2數(shù)據(jù)安全防護(hù)內(nèi)容范圍涵蓋：1s甲方的各類數(shù)據(jù)資產(chǎn)。2、基礎(chǔ)安全：網(wǎng)絡(luò)單元定級備案、符合性評測、風(fēng)險評估及滲透測試。2.3.3網(wǎng)絡(luò)安全業(yè)務(wù)監(jiān)測內(nèi)容范圍涵蓋：1、甲方的各類安全設(shè)備、安全管控平臺等。2、不良信息集中治理：不良網(wǎng)站監(jiān)測、釣魚網(wǎng)站監(jiān)測、惡意鏈接監(jiān)測、垃圾短彩信治理及策略運(yùn)營、騷擾及詐騙電話治理及策略運(yùn)營、安全模型優(yōu)化等、業(yè)務(wù)安全審計(jì)、業(yè)務(wù)安全評估等。3、網(wǎng)絡(luò)數(shù)據(jù)安全監(jiān)測：客戶信息安全監(jiān)測、APP客戶信息安全保護(hù)及風(fēng)險評估。4、流程穿越：電話用戶實(shí)名登記檢查及暗訪、網(wǎng)上客戶信息售賣釣魚、網(wǎng)站備案稽核及審查等。5、人才專業(yè)提升：網(wǎng)絡(luò)安全人員能力提升、安全競賽等。3.1、網(wǎng)絡(luò)安全日常維保網(wǎng)絡(luò)安全日常維保包括但不限于以下服務(wù)：日常巡檢服務(wù)、日常維護(hù)及故障處理、基礎(chǔ)網(wǎng)絡(luò)風(fēng)險評估工作、重點(diǎn)業(yè)務(wù)系統(tǒng)基線檢查和日常安全檢查。3.1,1日常巡檢服務(wù)3.1.1.1技術(shù)要求按照要求乙方需滿足定期對網(wǎng)絡(luò)安全設(shè)備（包括但不限于防火墻、IPS、IDS、W'AF等安全設(shè)備和安全管控平臺（包括但不限于4A系統(tǒng)、安全威脅分析與預(yù)警平臺、網(wǎng)頁防篡改系統(tǒng)等）進(jìn)行巡檢保障，乙方需滿足定期對包括但不限于對平臺、安全設(shè)備的負(fù)載、CPU、內(nèi)存、存儲等運(yùn)行狀態(tài)進(jìn)行檢查。3.1.2日常維護(hù)及故障處理3.1.2.1技術(shù)要求乙方需滿足安全設(shè)備系統(tǒng)故障處理能力和日志分析能力，包括但不限于日志解析監(jiān)控、數(shù)據(jù)異常處理、異常問題與故障處理等，同時滿足一級、二級、三級、四級故障響應(yīng)時間要求。3.1.3基礎(chǔ)網(wǎng)絡(luò)風(fēng)險評估工作3.1.3.1技術(shù)要求1、乙方對包括但不限于IT資產(chǎn)主機(jī)操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、中間件、WEB應(yīng)用系統(tǒng)等安全檢查和評估，檢測工具需符合相關(guān)安全要求，并使用兩種常見的檢查工具，出具相應(yīng)的安全報告。2、乙方對安全設(shè)備防護(hù)策列及安全漏洞進(jìn)行梳理，并進(jìn)行整改指導(dǎo)。3、乙方需提供安全風(fēng)險比壞管理機(jī)制。重點(diǎn)業(yè)務(wù)系統(tǒng)基線檢查3.1.4.1技術(shù)要求乙方參照工信部基線檢查要求、檢查項(xiàng)目、檢查方式對甲方定級備案的基礎(chǔ)網(wǎng)絡(luò)單元及重點(diǎn)業(yè)務(wù)應(yīng)用系統(tǒng)進(jìn)行基線檢查。乙方需提供基線檢查工具，功能需包括但不限于支持檢測操作系統(tǒng)和服務(wù)（數(shù)據(jù)庫、服務(wù)器軟件、容器等）的弱口令、賬號權(quán)限、身份鑒別、密碼策略、訪問控制等安全配置，并提供檢測結(jié)果,針對存在的風(fēng)險配置給出加固建議。3.1.5日常安全檢查3.1.5.1技術(shù)要求1、乙方參照上級主管單位安全檢查要求、檢查項(xiàng)目、檢查方式對甲方定級備案的基礎(chǔ)網(wǎng)絡(luò)單元及重點(diǎn)業(yè)務(wù)應(yīng)用系統(tǒng)進(jìn)行日常安全檢查，包括但不限于漏洞掃描，滲透測試，符合性檢查等。2、檢查維度包括但不限于操作系統(tǒng)、數(shù)據(jù)庫、中間件、應(yīng)用系統(tǒng)等。提供安全漏洞修復(fù)、系統(tǒng)補(bǔ)丁升級等。3?2、數(shù)據(jù)安全防護(hù)數(shù)據(jù)安全防護(hù)包含但不限于以下工作：數(shù)據(jù)安全制度流程建設(shè)、數(shù)據(jù)安全評估與動態(tài)分析、數(shù)據(jù)共享合規(guī)性管控、數(shù)據(jù)分類分級\脫敏、敏感數(shù)據(jù)泄露渠道監(jiān)測、數(shù)據(jù)安全風(fēng)險發(fā)現(xiàn)與處置、涉敏日志常態(tài)化審計(jì)、數(shù)據(jù)安全檢查支撐工作。3.2.1數(shù)據(jù)安全制度流程建設(shè)說明信息安全合規(guī)檢查矩陣與持續(xù)性檢查機(jī)制（如明確內(nèi)控體系建立思路、控制活動能夠落實(shí)到具體崗位），并提交相關(guān)示例模板。注：根據(jù)對項(xiàng)目理解，需提供1、《數(shù)據(jù)安全管理體系優(yōu)化流程圖》及詳解：包含對數(shù)據(jù)管理、運(yùn)營、技術(shù)合規(guī)情況進(jìn)行全面對標(biāo)情況、具體現(xiàn)狀評估內(nèi)容、操作流程圖；2、《數(shù)據(jù)安全防護(hù)現(xiàn)狀評估矩陣》：包含組織機(jī)構(gòu)、制度建設(shè)與保護(hù)措施、技術(shù)能力、數(shù)據(jù)全生命周期管理4個大類；3、《大數(shù)據(jù)平臺安全的內(nèi)控矩陣》：包含適用范圍、所涉及業(yè)務(wù)流程、子流程、控制點(diǎn)描述字段；4、《安全職責(zé)細(xì)化示例》：包括管理、技術(shù)、執(zhí)行三大體系，拆分出對應(yīng)領(lǐng)域和控制點(diǎn)，并劃分明細(xì)的責(zé)任角色；5、《數(shù)據(jù)安全運(yùn)營管理合規(guī)檢查表》：提供評估場景，以及對應(yīng)的評估要求、評估辦法。3.2.2數(shù)據(jù)安全評估和動態(tài)分析闡述內(nèi)容需包括：1、對標(biāo)的信息安全法律法規(guī)（至少應(yīng)包括國家信息安全等級保護(hù)基本要求三級標(biāo)準(zhǔn)、《網(wǎng)絡(luò)安全法》）。2、對標(biāo)《數(shù)據(jù)安全法》，評估點(diǎn)要求全面。3、結(jié)合數(shù)據(jù)安全合規(guī)評估要點(diǎn)，明確數(shù)據(jù)生命周期管控流程要求。注：1、對標(biāo)國家信息安全等級保護(hù)基本要求三級標(biāo)準(zhǔn)，對標(biāo)《網(wǎng)絡(luò)安全法》。2、對標(biāo)《數(shù)據(jù)安全法》給出敏感信息資產(chǎn)梳理流程圖：包括確定梳理目標(biāo)及調(diào)研、資源申請、檢測工具初始化配置、數(shù)據(jù)資產(chǎn)掃描必要環(huán)節(jié)；規(guī)劃數(shù)據(jù)系統(tǒng)基礎(chǔ)調(diào)研工作內(nèi)容：有關(guān)鍵數(shù)據(jù)存儲情況調(diào)研項(xiàng)、客戶信息流向調(diào)研項(xiàng)、數(shù)據(jù)備份調(diào)研項(xiàng)、安全防護(hù)調(diào)研項(xiàng)、安全管理調(diào)研項(xiàng)工作內(nèi)容等。）3.2.3數(shù)據(jù)共享合規(guī)性管控闡述內(nèi)容需包括：1、包含但不限于第三方業(yè)務(wù)梳理、合作風(fēng)險檢查、管控流程優(yōu)化、對外數(shù)據(jù)共享安全評估等，要求給出《數(shù)據(jù)業(yè)務(wù)合作梳理模板》、《合作風(fēng)險檢查列表》、《數(shù)據(jù)業(yè)務(wù)合作流程》示例。2、《數(shù)據(jù)業(yè)務(wù)合作梳理模板》：與第三方數(shù)據(jù)業(yè)務(wù)合作的信息臺賬，至少包含雙方合作的基本信息如合同信息、合作內(nèi)容、保密情況，安全審查情況。3、《合作風(fēng)險檢查列表》：應(yīng)包含合作方公司風(fēng)險檢查、安全管理負(fù)責(zé)人和關(guān)鍵崗位的人員進(jìn)行安全背景審查、數(shù)據(jù)業(yè)務(wù)合作安全風(fēng)險檢查3個方面，提出審查內(nèi)容、方法和評判標(biāo)準(zhǔn)。4、《數(shù)據(jù)業(yè)務(wù)合作流程》：以具體部門舉例，畫出流程流轉(zhuǎn)圖等。3.2.4數(shù)據(jù)分類分級、脫敏通過提供數(shù)據(jù)分類分級、脫敏服務(wù)，實(shí)現(xiàn)基于但不限定角色、屬性、強(qiáng)制性訪問控制策略，對數(shù)據(jù)庫進(jìn)行動態(tài)脫敏，預(yù)防數(shù)據(jù)泄露等安全問題。脫敏要求如下：1、支持多種數(shù)據(jù)庫類型的脫敏服務(wù)，包括但不限于ORACLE.MYSQL、SQLSERVER.VERTICA、DB2等等。2、身份管理方式應(yīng)包含哪些，例如應(yīng)用程序名、IP地址、主機(jī)名、操作系統(tǒng)賬戶、XX、XX等等方式。3、支持對生成的脫敏SQL與原始SQL對比，確保結(jié)果的正確性。2.5敏感數(shù)據(jù)泄露渠道監(jiān)測敏感數(shù)據(jù)泄露渠道檢測主要包含兩個方面，一個是監(jiān)控、另一個是審計(jì)；監(jiān)控應(yīng)明確包括但不限于：數(shù)據(jù)接口、數(shù)據(jù)采集、數(shù)據(jù)使用、策略識別等，對外傳輸內(nèi)容審計(jì)、系統(tǒng)管理、數(shù)據(jù)下載審批等方面的安全審計(jì)。2.6數(shù)據(jù)安全風(fēng)險發(fā)現(xiàn)與處置1、明確要求在規(guī)定時間內(nèi)提供數(shù)據(jù)安全的應(yīng)急預(yù)案，應(yīng)急方案應(yīng)包括哪些內(nèi)容，如安全事件的監(jiān)控機(jī)制、安全事件的觸發(fā)條件、安全事件級別定義等等。2、明確數(shù)據(jù)安全事件溯源分析能力要求。3、數(shù)據(jù)安全事件處理結(jié)束后，在一周內(nèi)提交完整的《數(shù)據(jù)安全事件分析及處理總結(jié)報告》，需明確規(guī)定報告內(nèi)容包括哪些。2.7涉敏日志常態(tài)化審計(jì)至少包含以下內(nèi)容：審計(jì)策略制定、關(guān)鍵數(shù)據(jù)審計(jì)流程圖、基礎(chǔ)安全審計(jì)事項(xiàng)及審計(jì)依據(jù)、數(shù)據(jù)安全審計(jì)事項(xiàng)及審計(jì)依據(jù)。（注：內(nèi)容詳實(shí)，包括四方面要素且基礎(chǔ)安全審計(jì)事項(xiàng)及審計(jì)依據(jù)不少于6項(xiàng)（例如設(shè)備配置合規(guī)審計(jì)、系統(tǒng)主機(jī)安全審計(jì)、訪問控制策略審計(jì)、管控平臺接入合規(guī)審計(jì)等）、數(shù)據(jù)安全審計(jì)事項(xiàng)及審計(jì)依據(jù)不少于8項(xiàng)（例如數(shù)據(jù)采集變更審計(jì)、數(shù)據(jù)共享詳情審計(jì)、主機(jī)敏感操作審計(jì)、數(shù)據(jù)庫敏感操作審計(jì)、業(yè)務(wù)應(yīng)用敏感操作審計(jì)等）。2.8數(shù)據(jù)安全檢查支撐工作依據(jù)數(shù)據(jù)數(shù)據(jù)安全評估要點(diǎn)，明確上級單位開展數(shù)據(jù)安全檢查期間相關(guān)的支撐工作以及檢查前的監(jiān)督檢查工作內(nèi)容。網(wǎng)絡(luò)安全業(yè)務(wù)監(jiān)測網(wǎng)絡(luò)安全業(yè)務(wù)監(jiān)測包含但不限于以下工作：監(jiān)測對象信息資產(chǎn)收集、安全設(shè)備流量監(jiān)測、脆弱性識別、威脅分析、安全措施及安全策略梳理、網(wǎng)絡(luò)安全日常應(yīng)急服務(wù)等。3.3.1監(jiān)測對象信息資產(chǎn)收集明確監(jiān)測對象資產(chǎn)清單梳理的內(nèi)容，資產(chǎn)管理方式及更新周期。3.3.2安全設(shè)備流量監(jiān)測對各類安全設(shè)備資源安全日志進(jìn)行統(tǒng)一分析，監(jiān)測分析日志中異常操作訪問行為。明確日志審計(jì)范圍（如操作系統(tǒng)日志、數(shù)據(jù)庫日志、應(yīng)用日志等等），日常審計(jì)周期，特殊時期日志審計(jì)周期，并明確要求生成報告時間。3.3.3脆弱性識別明確脆弱性檢查要點(diǎn)（例如系統(tǒng)高中危漏洞、基線、弱口令等），檢查對象涉及哪些層面（例如管理層、網(wǎng)絡(luò)層、主機(jī)層等），脆弱性識別點(diǎn)越細(xì)越好，明確風(fēng)險評估報告輸出時間和要點(diǎn)。3.3.4威脅分析明確每周的安全威脅來源，對IT資產(chǎn)進(jìn)行威脅分析的方法及工具，例如資產(chǎn)探測識別、分析操作系統(tǒng)配置，交換機(jī)VLAN的劃分，路由器配置，安全設(shè)備的配置有效性等等。其次是現(xiàn)網(wǎng)