軟件平臺(tái)等保測(cè)評(píng)解決方案

軟件平臺(tái)等保測(cè)評(píng)解決方案第一章安全等級(jí)界定 4第二章安全架構(gòu)設(shè)計(jì) 5第三章信息安全設(shè)計(jì) 63.1安全物理環(huán)境 63.2安全區(qū)域邊界 63.2.1數(shù)據(jù)中心安全區(qū)域邊界 63.2.2云平臺(tái)安全區(qū)域邊界 73.2.3移動(dòng)互聯(lián)安全區(qū)域邊界 83.2.4物聯(lián)網(wǎng)系統(tǒng)安全區(qū)域邊界 83.3安全通信網(wǎng)絡(luò) 93.3.1數(shù)據(jù)中心安全通信網(wǎng)絡(luò) 93.3.2云平臺(tái)安全通信網(wǎng)絡(luò) 3.3.3移動(dòng)互聯(lián)安全通信網(wǎng)絡(luò) 3.3.4物聯(lián)網(wǎng)系統(tǒng)安全通信網(wǎng)絡(luò) 3.4安全計(jì)算環(huán)境 3.4.1數(shù)據(jù)中心安全計(jì)算環(huán)境 3.4.2云平臺(tái)安全計(jì)算環(huán)境 3.4.3移動(dòng)互聯(lián)安全計(jì)算環(huán)境 3.4.4物聯(lián)網(wǎng)系統(tǒng)安全計(jì)算環(huán)境 3.5安全管理中心 3.6公眾服務(wù)與內(nèi)部業(yè)務(wù)處理安全隔離設(shè)計(jì) 3.6.1安全隔離架構(gòu) 3.6.2安全接入策略 第四章安全管理體系設(shè)計(jì) 4.1安全管理制度 4.2安全運(yùn)營(yíng)體系 第五章安全服務(wù)方案 5.1安全顧問(wèn)服務(wù) 5.2安全風(fēng)險(xiǎn)評(píng)估 215.2.1滲透測(cè)試服務(wù) 225.2.2安全加固服務(wù) 235.3安全優(yōu)化服務(wù) 5.4應(yīng)急響應(yīng)服務(wù) 245.5安全預(yù)警服務(wù) 255.6定期巡檢服務(wù) 265.7標(biāo)準(zhǔn)信息安全培訓(xùn)服務(wù) 5.8提供專(zhuān)業(yè)信息系統(tǒng)安全等級(jí)保護(hù)支持 27第六章密碼應(yīng)用及管理設(shè)計(jì) 6.1密碼技術(shù)設(shè)計(jì) 296.1.1物理和環(huán)境安全 296.1.2網(wǎng)絡(luò)和通信安全 6.1.3設(shè)備和計(jì)算安全 6.1.4應(yīng)用和數(shù)據(jù)安全 6.2密碼管理設(shè)計(jì) 第一章安全等級(jí)界定本項(xiàng)目的業(yè)務(wù)數(shù)據(jù)涉及到敏感性，數(shù)據(jù)受到泄露后第二章安全架構(gòu)設(shè)計(jì)本項(xiàng)目基于信息安全等保2.0安全技術(shù)架構(gòu)劃分(GB/T25070-2019)標(biāo)準(zhǔn)即等保2.0中第三級(jí)安全要求的安全通用要求外，建議第三章信息安全設(shè)計(jì)現(xiàn)用戶(hù)/應(yīng)用行為的可視、可控、合規(guī)和安全，最終(1)邊界訪(fǎng)問(wèn)控制應(yīng)建立城市綜合管理服務(wù)平臺(tái)虛擬網(wǎng)絡(luò)實(shí)現(xiàn)端口、服務(wù)、用戶(hù)等信息進(jìn)行判斷，符合訪(fǎng)問(wèn)控制策(2)邊界入侵檢測(cè)應(yīng)提供主動(dòng)的、實(shí)時(shí)的入侵檢測(cè)，具備對(duì)2到7層網(wǎng)絡(luò)的線(xiàn)速、深度檢測(cè)(3)邊界病毒防護(hù)(4)邊界安全審計(jì)(1)邊界防護(hù)(2)訪(fǎng)問(wèn)控制應(yīng)對(duì)接入系統(tǒng)的移動(dòng)終端，采取基于SIM卡、證書(shū)等信息的強(qiáng)認(rèn)證措施；(1)區(qū)域邊界訪(fǎng)問(wèn)控制(2)區(qū)域邊界準(zhǔn)入控制(3)區(qū)域邊界協(xié)議過(guò)濾與控制進(jìn)行可信驗(yàn)證，并在應(yīng)用程序的關(guān)鍵執(zhí)行環(huán)節(jié)對(duì)系統(tǒng)調(diào)用的主體、客體、操作可信性受到破壞時(shí)采取措施恢復(fù)，并將驗(yàn)證(1)安全隔離應(yīng)建立城市綜合管理服務(wù)平臺(tái)私有網(wǎng)絡(luò)實(shí)現(xiàn)與現(xiàn)虛擬機(jī)之間的隔離；應(yīng)在網(wǎng)絡(luò)邊界處部署監(jiān)控機(jī)制(2)安全策略(1)加密通信(1)感知層網(wǎng)絡(luò)數(shù)據(jù)新鮮性保護(hù)(2)異構(gòu)網(wǎng)安全接入保護(hù)理、發(fā)放、更新、統(tǒng)一認(rèn)證、授權(quán)管理及廢止；基于數(shù)全應(yīng)用功能，為各個(gè)應(yīng)用系統(tǒng)直接提供可信認(rèn)證、>應(yīng)對(duì)登錄的用戶(hù)進(jìn)行身份標(biāo)識(shí)和鑒別，身份標(biāo)>應(yīng)采用口令、密碼技術(shù)、生物技術(shù)等兩種或兩配置對(duì)包括網(wǎng)絡(luò)設(shè)備、安全設(shè)備與系統(tǒng)、主機(jī)務(wù)在內(nèi)的多種審計(jì)數(shù)據(jù)源的日志采集。采集Web應(yīng)用防護(hù)提供對(duì)應(yīng)用系統(tǒng)全方位的防護(hù)，針對(duì)Web服務(wù)器漏洞、Web插使用時(shí)效，限制用戶(hù)必須在指定的時(shí)限內(nèi)完成驗(yàn)證，寫(xiě)區(qū)分，密碼組成(大/小字母，數(shù)字，特殊字符),不滿(mǎn)足復(fù)雜度設(shè)定條件，提值提示用戶(hù)重新設(shè)置密碼，通過(guò)短信驗(yàn)證碼+用戶(hù)身份(1)身份鑒別(2)訪(fǎng)問(wèn)控制(3)入侵防范應(yīng)提供基于虛擬機(jī)的安全入侵防范機(jī)制，可(4)系統(tǒng)加固(5)數(shù)據(jù)備份和恢復(fù)(1)身份驗(yàn)證(2)終端管控(3)應(yīng)用管控(1)物聯(lián)網(wǎng)設(shè)備身份鑒別應(yīng)采用密碼技術(shù)支持的鑒別機(jī)制實(shí)現(xiàn)感知層網(wǎng)關(guān)與物聯(lián)網(wǎng)感知設(shè)備之間的(2)感知層設(shè)備訪(fǎng)問(wèn)控制備和其他設(shè)備(感知層網(wǎng)關(guān)、其他感知設(shè)備)通信時(shí)，根據(jù)安全策略對(duì)其他設(shè)備等進(jìn)行統(tǒng)一身份標(biāo)識(shí)管理；應(yīng)通過(guò)系統(tǒng)管理員對(duì)感知設(shè)備狀態(tài)(電力供應(yīng)情況、是否在線(xiàn)、位置等)進(jìn)行統(tǒng)一監(jiān)測(cè)和處理。析以及對(duì)網(wǎng)絡(luò)安全事件進(jìn)行預(yù)測(cè)和預(yù)警的能力；應(yīng)具有對(duì)3.6公眾服務(wù)與內(nèi)部業(yè)務(wù)處理安全隔離設(shè)計(jì)圖2安全隔離接入架構(gòu)圖3、統(tǒng)一認(rèn)證：為安全接入的身份認(rèn)證和權(quán)限控制提供支撐，提供用戶(hù)集中4、管理與審計(jì)：提供安全接入平臺(tái)的運(yùn)行情5、安全防護(hù)：為安全接入平臺(tái)提供訪(fǎng)問(wèn)控制、入第四章安全管理體系設(shè)計(jì)第五章安全服務(wù)方案5.2安全風(fēng)險(xiǎn)評(píng)估關(guān)部門(mén)的安全等級(jí)要求(國(guó)家信息安全防護(hù)等級(jí)要求等)。應(yīng)的風(fēng)險(xiǎn)處置對(duì)策；計(jì)算出任意安全域的威脅Top10資產(chǎn)，風(fēng)險(xiǎn)Top10資產(chǎn)。驟進(jìn)行系統(tǒng)加固。如甲方提出需求，乙方須安排技術(shù)人員(視需求遠(yuǎn)程或現(xiàn)場(chǎng))服務(wù)方式：每半年進(jìn)行一次安全風(fēng)險(xiǎn)評(píng)估，共2次之際進(jìn)行評(píng)估，預(yù)計(jì)2次。每一次評(píng)估均以書(shū)面格式形成報(bào)5.2.1滲透測(cè)試服務(wù)規(guī)則試探、規(guī)避測(cè)試、入侵檢測(cè)規(guī)則試探、規(guī)避測(cè)試、不同網(wǎng)段Vlan之間的滲每季度由專(zhuān)業(yè)滲透測(cè)試人員針對(duì)是業(yè)主單位指定的某個(gè)信息系統(tǒng)進(jìn)行一次5.2.2安全加固服務(wù)1)操作系統(tǒng)加固服務(wù)2)數(shù)據(jù)庫(kù)加固服務(wù)3)網(wǎng)站加固服務(wù)5.3安全優(yōu)化服務(wù)應(yīng)急響應(yīng)團(tuán)隊(duì)須提供7×24小時(shí)的應(yīng)急響應(yīng)服務(wù)承諾。(1)惡意程序事件，如：計(jì)算機(jī)病毒事件、蠕蟲(chóng)事件、特洛伊木馬事件、(2)網(wǎng)絡(luò)攻擊事件，如：后門(mén)攻擊事件、漏洞攻擊事件、網(wǎng)絡(luò)掃描竊聽(tīng)事(3)信息破壞事件如：信息篡改事件、信息假冒事件、信息泄漏事件、信(4)信息內(nèi)容安全事件，如：違反憲法和法律、行政法規(guī)的信息內(nèi)容安全(5)系統(tǒng)故障事件，如：軟硬件自身故障及其它設(shè)備設(shè)施故障等。接到甲方通知后須在10分鐘以?xún)?nèi)安排技術(shù)專(zhuān)家通過(guò)電話(huà)或者遠(yuǎn)程連接方式進(jìn)行指導(dǎo)，控制險(xiǎn)情。并派出現(xiàn)場(chǎng)工程師在1小時(shí)內(nèi)抵達(dá)現(xiàn)場(chǎng)提供服務(wù)，2小時(shí)內(nèi)完場(chǎng)提供服務(wù)。4小時(shí)內(nèi)完全解決事故或明確故障原因并提出臨時(shí)應(yīng)對(duì)措施。提供7×24小時(shí)的應(yīng)急響應(yīng)服務(wù)，事后進(jìn)行應(yīng)急響安全預(yù)警內(nèi)容有配合安全預(yù)警所采用的工具需采用聚類(lèi)算法持續(xù)地從事件的源IP、目的IP、資產(chǎn)類(lèi)型、事件等級(jí)、事件數(shù)目5個(gè)維度(向量)朝終端、書(shū)面形式提交具體的漏洞說(shuō)明和解決辦法(或者臨時(shí)處理意見(jiàn))。如甲方認(rèn)為技設(shè)備遠(yuǎn)程監(jiān)控、配置管理；提供7*24黑客事件、可疑事件的遠(yuǎn)程監(jiān)控；有能力(可遠(yuǎn)程);實(shí)施網(wǎng)頁(yè)防篡改策略；對(duì)網(wǎng)站安全事件實(shí)時(shí)集中監(jiān)控。(1)網(wǎng)站監(jiān)控內(nèi)容分析(2)重點(diǎn)服務(wù)器脆弱性識(shí)別(3)設(shè)備使用環(huán)境檢測(cè)對(duì)外部運(yùn)行情況(如外接電源、防塵、防水、防鼠等措施的合理性)及內(nèi)部(4)設(shè)備硬件外觀檢測(cè)(5)設(shè)備系統(tǒng)運(yùn)行情況檢測(cè)第六章密碼應(yīng)用及管理設(shè)計(jì)本項(xiàng)目密碼設(shè)計(jì)參考GB/T39786-2021《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用使用密碼技術(shù)的真實(shí)性功能保護(hù)物理訪(fǎng)問(wèn)控制身份鑒別信息，保證重要區(qū)在通信前基于密碼技術(shù)