網(wǎng)絡安全技術和等級測評服務

網(wǎng)絡安全技術和等級測評服務本項目是常規(guī)安全服務類項目，項目內(nèi)容包括漏洞掃描檢測服務、安全滲透測試服務、移動應用檢測與加固服務、網(wǎng)頁后門查殺服務、網(wǎng)站監(jiān)測防護服務、安全日志分析服務、網(wǎng)絡安全等級保護測評、差距分析測評等服務，以及實戰(zhàn)攻防演練和應急保障等服務，項目的服務周期為自合同簽訂日起一年。采購目標是通過引進專業(yè)化的網(wǎng)絡安全技術服務和測評服務，定期檢測發(fā)現(xiàn)網(wǎng)絡安全漏洞隱患，消除網(wǎng)絡安全管理和技術風險，提升網(wǎng)絡安全防護能力，做好安全監(jiān)測和應急響應處置，保障網(wǎng)站和信息系統(tǒng)安全、穩(wěn)定運行。本項目在開展過程中，應充分考慮信息系統(tǒng)現(xiàn)狀，嚴格落實網(wǎng)絡安全聯(lián)合檢查和績效評估工作等網(wǎng)絡安全工作要求，確保安全服務工作到位，及時發(fā)現(xiàn)消除安全隱患，確保信息系統(tǒng)穩(wěn)定運行。本項目是常規(guī)安全服務類項目，服務期為自合同簽訂日起一年。服務對象包括網(wǎng)站、信息系統(tǒng)、移動APP等（服務期內(nèi)，服務對象有增加或調(diào)整的，供應商應及時調(diào)整服務范圍，切實做好網(wǎng)絡安全保障工作）。具體服務內(nèi)容包括：1、漏洞掃描檢測服務：服務期內(nèi)每月對網(wǎng)站和信息系統(tǒng)、網(wǎng)絡設備、主機、數(shù)據(jù)庫和終端進行網(wǎng)絡層和應用層漏洞掃描，生成漏洞掃描報告，并根據(jù)漏洞掃描結(jié)果制定制定安全修復加固方案，通知相關單位進行整改后再次掃描，驗證漏洞是否已修復。最終掃描報告符合按信息安全績效評估中漏洞掃描指標報送要求。對服務期內(nèi)發(fā)現(xiàn)的安全漏洞類型、頻次、修復方案進行總結(jié)，形成成果可以作為信息系統(tǒng)安全開發(fā)安全參考標準。2、安全滲透測試服務：服務期內(nèi)，每季度組織一次模擬黑客入侵的滲透安全測試，如遇重大安全保障防護期，需提前加做一次滲透測試，切實做好安全保障工作。通過人工黑盒的測試方式，對業(yè)務系統(tǒng)進行滲透測試，發(fā)現(xiàn)網(wǎng)絡和業(yè)務系統(tǒng)中存在的安全缺陷，深入挖掘可用于攻擊的安全問題。測試內(nèi)容包括但不限于：系統(tǒng)漏洞測試（如遠程溢出漏洞）、應用漏洞測試（如sql注入漏洞、xss跨站漏洞、文件上傳漏洞）、數(shù)據(jù)庫漏洞測試（如遠程溢出漏洞、命令執(zhí)行漏洞）、中間件漏洞測試（安全功能繞過漏洞、信息泄漏漏洞）、默認口令測試、Struts2漏洞測試、邏輯漏洞測試、0day漏洞測試等；使用的測試工具有：bt5、metasploit、burpsuite、w3f以及常規(guī)漏洞掃描工具等；針對發(fā)現(xiàn)的問題，提供專業(yè)修復建議，通知相關單位進行整改加固，并在加固完成后進行復查。安全滲透測試服務要求：供應商在對網(wǎng)站和業(yè)務應用系統(tǒng)進行模擬黑客入侵的安全滲透測試時，要協(xié)助我局做好應急預案及演練，以應對發(fā)生安全事件時盡快按照應急解決方案恢復業(yè)務應用。在滲透測試數(shù)據(jù)庫安全時，要通過專用的數(shù)據(jù)庫漏洞檢測系統(tǒng)，自動發(fā)現(xiàn)數(shù)據(jù)庫漏洞，并通過人工方式加以驗證。安全滲透測試范圍是統(tǒng)一建設、維護的網(wǎng)站和信息系統(tǒng)。3、移動應用檢測與加固服務：服務期內(nèi)，對全局app和公眾號，每月開展安全檢測和安全加固服務，包括全市統(tǒng)一要求開展的專項自測評服務等。移動應用安全檢測服務：服務期內(nèi)，乙方每月對移動app（包含Android和iOS，下同）和公眾號進行全面深入的安全檢測，挖掘漏洞并出具安全檢測報告，對于發(fā)現(xiàn)的漏洞進行人工驗證，提出整改意見，并在相關單位對高中危漏洞修復后進行驗證。檢測技術要求包括但不限于深度靜態(tài)檢測、動態(tài)模糊測試、漏洞主動探測和風險智能識別等。報告中的高、中危漏洞需進行人工驗證后出具檢測報告。移動應用安全加固服務：乙方針對移動應用APP和小程序安全檢測報告中的漏洞風險，給出合理有效的修復整改建議方案，協(xié)助移動APP開發(fā)部門對移動APP進行無殼安全加固，自動化搭配人工的方式，分別對反編譯風險、應用篡改風險、調(diào)試風險、SO注入風險、殘留URL風險、組件安全風險、簽名校驗風險等，進行高強度的專項加固防護。移動公眾號只提供安全檢測和整改建議，涉及騰訊平臺的不提供安全加固，或者后期根據(jù)統(tǒng)一要求提供服務。檢測與加固對象包括建設的移動APP和公眾號。4、網(wǎng)頁后門查殺服務：服務期內(nèi)，對局內(nèi)網(wǎng)站和信息系統(tǒng)開展一次網(wǎng)頁后門查殺服務。使用網(wǎng)頁源碼查殺工具（暗組WEB殺毒7或WebShellKill等）對網(wǎng)頁源碼備份包或登錄至web服務器上對網(wǎng)頁源碼進行自動化掃描，檢查是否存在可疑文件或暗鏈，并手工逐個分析，確認是否為網(wǎng)頁后門。安全檢測查殺范圍包括局機關服務器，以及可能發(fā)生異常安全事件的客戶端。5、網(wǎng)站監(jiān)測防護服務：服務期內(nèi)，對網(wǎng)站及業(yè)務應用系統(tǒng)進行7*24小時的安全監(jiān)測，監(jiān)測內(nèi)容包括網(wǎng)站漏洞監(jiān)測、網(wǎng)頁木馬監(jiān)測、篡改檢測、可用性監(jiān)測等，監(jiān)測對象包括局門戶網(wǎng)站(包括域名下的管理局二級網(wǎng)站)、地理信息公共服務平臺、產(chǎn)業(yè)用地用房供需服務平臺、自然資源資產(chǎn)市場網(wǎng)評估中心網(wǎng)站、發(fā)展研究中心網(wǎng)站等。6.安全日志分析服務：每月定期對所有網(wǎng)絡安全產(chǎn)品的日志進行分析，有助于及時發(fā)現(xiàn)疑似風險，阻斷事件發(fā)生。主要通過人工及日志分析工具對服務器日志、防火墻日志、上網(wǎng)行為審計日志、態(tài)勢感知日志、WAF日志等的安全產(chǎn)品日志進行分析是否存在可疑IP的訪問日志或可疑的外連日志、是否存在用戶弱口令或應用系統(tǒng)的安全漏洞、中間件安全漏洞、操作系統(tǒng)安全漏洞等高危告警日志，對這些日志進行驗證是否存在誤報，并輸出《安全日志分析報告》。7、實戰(zhàn)攻防演練：按照常態(tài)化網(wǎng)絡安全實戰(zhàn)演練活動的標準要求及局網(wǎng)絡安全的實戰(zhàn)攻防演練服務需求，組織兩次對全局基礎網(wǎng)絡及系統(tǒng)的網(wǎng)絡安全實戰(zhàn)攻防演練活動，尤其是針對“釣魚郵件”、“跨網(wǎng)攻擊”、“數(shù)據(jù)泄露”、“網(wǎng)頁篡改”等風險，找出安全隱患點，鍛煉應急處置能力，協(xié)助完善防護措施，按照績效指標要求做好演練和信息報送工作。8、應急保障服務：供應商應建立7x24小時服務響應熱線，服務期內(nèi)按照局網(wǎng)絡安全應急需求，不限次的及時提供安全應急支援服務。發(fā)生網(wǎng)絡安全事件時，供應商技術人員必須在2小時內(nèi)到達甲方現(xiàn)場，在4小時內(nèi)發(fā)現(xiàn)原因盡快解決，或在4小時內(nèi)提供臨時解決方案并協(xié)助實施，做好應急響應和處置服務。在特殊防護期嚴格落實7*24小時值班值守，做好網(wǎng)絡安全保障工作。按照網(wǎng)絡安全應急演練需求，組織一次對全局基礎網(wǎng)絡及系統(tǒng)的應急演練，針對“跨網(wǎng)攻擊”、“數(shù)據(jù)泄露”、“網(wǎng)頁篡改”等風險，鍛煉應急處置能力。其中一次需要拍攝演練視頻，按照績效指標要求做好演練和信息報送工作。9、下屬單位現(xiàn)場檢查：按照網(wǎng)絡安全檢查工作安排，協(xié)助制定安全檢查指標內(nèi)容，并成立檢查組，上下半年各完成一次對全局28家單位的網(wǎng)絡安全現(xiàn)場檢查，檢查結(jié)束后按要求輸出檢查結(jié)果。10、API安全防護服務：服務期內(nèi)，提供API安全防護設備，實現(xiàn)對API資產(chǎn)的統(tǒng)一管理，基于數(shù)據(jù)建模自動發(fā)現(xiàn)被保護站點的API資產(chǎn)，實現(xiàn)API資產(chǎn)的生命周期管理。通過主動下發(fā)到瀏覽器的JS代碼，對客戶端與服務器進行動態(tài)雙向驗證，防止惡意終端訪問，且每次均隨機選取檢測的項目與數(shù)量，以增加應用的不可預測性，大幅提高攻擊成本。綜合利用智能規(guī)則匹配及行為分析的智能威脅檢測引擎，持續(xù)監(jiān)控并分析流量行為，有效檢測威脅攻擊。對API傳輸中的敏感數(shù)據(jù)進行識別，針對敏感數(shù)據(jù)可以進行審計預警，防止敏感數(shù)據(jù)泄露。每月對防護服務情況進行分析，調(diào)整優(yōu)化策略，形成報告。11、信息系統(tǒng)安全等級保護測評服務：服務期內(nèi)，按照《信息安全技術網(wǎng)絡安全等級保護基本要求》（GB/T22239-2019）《信息安全技術網(wǎng)絡安全等級保護測評要求》（GB/T28448-2019）等標準，為電子政務運維經(jīng)費范圍內(nèi)的備案系統(tǒng)，開展一次全面的安全等級保護測評，編制安全等級保護測評報告。通過安全等級測評，對網(wǎng)絡信息系統(tǒng)進行全方位的“體檢”，消除網(wǎng)絡安全管理和技術風險，提升網(wǎng)絡安全防護能力，保障被測評信息系統(tǒng)和整體網(wǎng)絡環(huán)境的安全穩(wěn)定。等級保護測評服務內(nèi)容包括安全技術測評和安全管理測評，其中安全技術測評主要從安全物理環(huán)境、安全通信網(wǎng)絡、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心等五個技術層面進行分析測評，安全管理測評主要從安全管理制度、安全管理機構(gòu)、安全人員管理、安全建設管理、安全運維管理等五個管理層面進行分析測評，出具《信息系統(tǒng)安全等級保護測評報告》。測評過程中，應自覺接受監(jiān)督與指導，嚴格按照測評標準實施，并取得測評結(jié)果通知書。在項目執(zhí)行期間，如有其它新上線系統(tǒng)必須開展測評的，可替換計劃中的個別系統(tǒng)。如果信息系統(tǒng)定級備案信息有較大變動的，將按照調(diào)整后的備案信息系統(tǒng)進行安全測評，項目總的工作量應不低于10個信息系統(tǒng)的安全等級保護測評。12、等級保護差距測評服務：（1）服務期內(nèi)，按照《信息安全技術網(wǎng)絡安全等級保護基本要求》（GB/T22239-2019）和《信息安全技術網(wǎng)絡安全等級保護安全設計技術要求》（GB/T25070-2019）等，對13個信息系統(tǒng)，開展一次等級保護差距測評，通過分析測評結(jié)果，對信息系統(tǒng)存在的主要安全問題提出安全達標和提升建議，特別是對測評不符合的檢查項提供整改建議，協(xié)助整改，進一步提高網(wǎng)絡安全防護能力。（2）信息系統(tǒng)安全風險評估服務：服務期內(nèi)對局機關統(tǒng)籌建設的信息系統(tǒng)開展一次信息安全風險評估工作，對系統(tǒng)內(nèi)所有信息資產(chǎn)進行梳理，并對重要資產(chǎn)進行三性賦值、脆弱性識別、威脅識別、現(xiàn)有措施分析、風險分析和風險處理，并按照信息安全風險評估指南要求輸出《風險評估報告》、《風險評估總結(jié)》以及《風險評估過程文檔集》。工作內(nèi)容包括制定工作計劃,確定評估范圍,設計風險評估實施方案,建立風險評估各階段實施小組，明確小組人員工作職責，開展風險評估實施。在實施工程中要詳細記錄每個實施流程產(chǎn)生的過程文檔，在項目結(jié)束后匯總打印訂裝成冊。評估報告與總結(jié)：風險評估報告應對整個風險評估過程進行總結(jié)，說明信息系統(tǒng)的風險狀況及殘余風險狀況，評估總結(jié)要符合信息安全風險評估指南要求，總結(jié)內(nèi)容包括本單位信息安全現(xiàn)狀、本年度信息安全風險自評估工作情況、安全風險評估結(jié)果分析及處理措施、安全評估中發(fā)現(xiàn)的問題與建議、上期風險評估風險處理情況等。風險評估的系統(tǒng)包括信創(chuàng)系統(tǒng)、多規(guī)合一信息平臺、可視化城市空間數(shù)字平臺、門戶網(wǎng)站、電子政務平臺、外網(wǎng)數(shù)字空間基礎信息平臺、不動產(chǎn)籍信息基礎平臺、產(chǎn)業(yè)用地用房供需服務平臺、可視化城市空間數(shù)字平臺、基于城市信息模型（CIM）的規(guī)劃設計數(shù)字化平臺（一期）、地面坍塌隱患信息綜合管理系統(tǒng)、國土空間規(guī)劃“一張圖”實施監(jiān)督信息系統(tǒng)、農(nóng)業(yè)發(fā)展專項資金（漁業(yè)類）管理系統(tǒng)等。在項目執(zhí)行期間，如有其它新上線系統(tǒng)急需開展差距測評或風險評估的，可替換計劃中的個別信息系統(tǒng)。13、駐場及其他安全服務：安排2名駐場人員，協(xié)助完成各項網(wǎng)絡安全工作，包括但不限于上線前安全檢測評估、網(wǎng)絡安全宣傳、聯(lián)合檢查和績效評估等服務。（1）上線前安全檢測評估：服務期內(nèi)，局網(wǎng)站和信息系統(tǒng)有變更，或者新系統(tǒng)上線，需要對系統(tǒng)進行上線前安全檢測，避免系統(tǒng)帶病運行。檢測內(nèi)容包括采用多種技術手段，從互聯(lián)網(wǎng)、辦公網(wǎng)、政務網(wǎng)探測網(wǎng)絡、應用、服務器和終端可能存在的安全隱患，生