糧食和應急物資綜合管理信息平臺安全運營服務需求

糧食和應急物資綜合管理信息平臺安全運營服務需求一、項目概況通過采購安全運營解決現(xiàn)有網絡安全管理人員和人員專業(yè)技術能力不足，無法滿足日常網絡安全管理的需要；通過完善技術體系，解決等保測評機構提出的差距項，增強等保信息系統(tǒng)的防御能力；通過積極參與攻防演練提高對信息系統(tǒng)的網絡安全對抗能力，提升單位的整體安全防御水平；安全運營整體質量要求：通過開展網絡安全運營工作，保障省平臺和庫軟件中高危漏洞100%閉環(huán)修復率，在重大節(jié)假日和重要國家活動期間對信息系統(tǒng)提供7*24小時安全保障，攔截各類網絡攻擊，記錄各類攻擊信息，開展追蹤溯源及時對系統(tǒng)安全情況預判和整改，確保運營服務周期內網絡安全零事故，各類網絡安全攻防演練零通報；二、技術和具體需求2.1安全運行保障類服務2.1.1互聯(lián)網資產發(fā)現(xiàn)服務互聯(lián)網資產發(fā)現(xiàn)服務的技術要求：1)服務內容：通過數(shù)據挖掘和調研的方式確定資產范圍，基于IP或域名，采用網絡掃描、搜索引擎等多種探測技術，對暴露在互聯(lián)網上的主機/服務器、安全設備、網絡設備等進行主動發(fā)現(xiàn)，并形成資產及應用列表；在資產及應用發(fā)現(xiàn)的基礎上，安全工程師對每個業(yè)務梳理分析，依據信息系統(tǒng)實際情況、業(yè)務特點、資產重要度等信息，結合信息安全的客戶實踐進行歸納，構建起互聯(lián)網資產畫像；2)服務要求：本工作計劃每月開展1次，共12次；3)服務成果：1.輸出《互聯(lián)網暴露面資產檢查服務報告》；2.互聯(lián)網資產監(jiān)管覆蓋率（指發(fā)布在互聯(lián)網應用全覆蓋）：100%；具體需求1、提供的互聯(lián)網資產發(fā)現(xiàn)服務，為保證能夠更全面的探測互聯(lián)網資產的情況，的服務節(jié)點需分布在全球各區(qū)域和主要運營商的骨干和邊緣節(jié)點，數(shù)量不少于2000個，需提供官網截圖證明并加蓋公章，以說明其在互聯(lián)網側的探測能力；2、提供的《互聯(lián)網暴露面資產檢查服務報告》內容包含但不限于人員數(shù)據、系統(tǒng)數(shù)據、移動端應用數(shù)據、疑似代碼泄露數(shù)據、郵箱數(shù)據和域名數(shù)據等；2.1.2態(tài)勢感知安全運營服務態(tài)勢感知安全運營服務的技術要求：1)服務內容：通過云化SAAS服務，重點監(jiān)管目標網絡安全事件、威脅來源和組織，全面掌握網絡安全情況、威脅情報線索，對省糧食和應急物資綜合管理信息平臺和企業(yè)庫點信息系統(tǒng)軟件網絡安全態(tài)勢輸出相關成果，成果至少包含風險態(tài)勢、攻擊趨勢、網絡安全態(tài)勢、入侵態(tài)勢，幫助監(jiān)管單位更全面、更準確、更高效地行使信息安全監(jiān)管職能；2)服務要求：本工作計劃每周開展1次，根據SAAS化的安全態(tài)勢感知提供的監(jiān)測、評估信息，對省糧食和應急物資綜合管理信息平臺和企業(yè)庫點信息系統(tǒng)的風險態(tài)勢、攻擊趨勢、網絡安全態(tài)勢、入侵態(tài)勢及時形成安全態(tài)勢評估報告，記錄備案；3)服務成果：服務輸出物如下：1.《省糧食和應急物資綜合管理信息平臺安全態(tài)勢風險評估和處置報告》；2.《企業(yè)庫點信息系統(tǒng)安全態(tài)勢風險評估和處置報告》；3.《重大安全事件回溯報告》（如發(fā)生重大安全事故）；4.《重大安全事件響應報告》（如發(fā)生重大安全事故）；具體需求為更好的提供態(tài)勢感知安全運營服務：1、提供的態(tài)勢感知運營平臺需支持展示服務器的重點風險和服務器的入侵信息；支持對主機進行威脅程度排行并展示；支持安全總覽、風險發(fā)現(xiàn)模塊，便于定位到安全事件或入侵主機；2、提供的態(tài)勢感知運營平臺需支持安全大屏展示主機安全態(tài)勢信息；3、提供的態(tài)勢感知運營平臺需支持事件處理模塊：需支持安全告警推送功能；需支持新上報事件的自動推送功能；需支持對已有安全告警事件批量處理功能；2.1.3節(jié)假日安全保障服務節(jié)假日安全保障服務的技術要求：1)服務內容：在重大節(jié)假日和重要時段（如春節(jié)、兩會、國慶等），派駐專業(yè)的安服工程師承擔安全保障服務；2)服務要求：在重大節(jié)假日和重要時段（如春節(jié)、兩會、國慶等），派駐專業(yè)的安服工程師承擔本地值守服務，在值守期間完成每日系統(tǒng)巡檢和每日3次報平安動作，同時安服工程師需對其巡檢動作形成文檔記錄；系統(tǒng)連續(xù)性>99%；系統(tǒng)可用性>99%；服務人員到場率：100%；服務模式：提供7*24小時服務；事件處理響應時間：嚴重安全事件10分鐘，一般安全事件30分鐘；事件處理到場時間：嚴重安全事件2小時，一般安全事件12小時；事件初步處理時間：嚴重安全事件2小時，一般安全事件24小時；事件最終處理時間：嚴重安全事件6小時內，一般安全事件24小時內；3)服務成果：服務輸出物如下：《安全值守日報及總結報告》；具體需求1、承諾在重大節(jié)假日和重要時段（如春節(jié)、兩會、國慶等），每年預計為70天，派駐專業(yè)的安服工程師承擔本地值守服務，在值守期間完成每日系統(tǒng)巡檢和每日3次報平安動作，同時安服工程師需對其巡檢動作形成文檔記錄；（以上服務需提供服務承諾函并加蓋公章，不提供的不得分）2.1.4網絡邊界管控服務網絡邊界管控服務的技術要求：1)服務內容：根據《網絡安全法》和等保2.0的要求，網絡使用單位需對網絡出口進行訪問控制，并記錄相關訪問日志不少于180天要求，服務方需在局網絡邊界出口布控管控工具，實現(xiàn)對網絡出口的管理，并按月生成網絡使用日志報表，并存儲不少于180天的日志；所用工具支持導入防火墻日志，實現(xiàn)等保要求的180天日志連續(xù)存儲；2)服務成果：2.服務輸出物如下：《網絡邊界管控服務周報》具體需求1、提供的網絡邊界管理服務，需對采購人單位內的的網絡出口進行訪問控制，并記錄相關訪問日志不少于180天要求，按月生成網絡使用日志報表，并存儲不少于180天的日志；2、提供的邊界主機管控工具需支持Linux、Windows操作系統(tǒng)，需支持對二進制病毒木馬、webshell進行檢測；需支持對病毒標識病毒特征、緊急程度等關鍵信息，需支持對病毒樣本進行留存，提供查看、下載等功能；3、為了更好應對采購人網絡架構及后續(xù)整改加固需求，需要擁有自主知識產權的邊界接入產品；4、提供的邊界接入產品需兼容用戶相關桌面操作系統(tǒng)，支持銀河麒麟桌面操作（飛騰版），銀河麒麟桌面操作（鯤鵬版），銀河麒麟桌面操作（兆芯版），銀河麒麟桌面操作（海光版），銀河麒麟桌面操作（AMD64版）等；5、提供的邊界接入產品需兼容用戶相關服務器操作系統(tǒng)，支持銀河麒麟服務器操作（飛騰版），銀河麒麟服務器操作（鯤鵬版），銀河麒麟服務器操作（兆芯版），銀河麒麟服務器操作（海光版），銀河麒麟服務器操作（AMD64版）等；6、提供的邊界接入產品需兼容用戶相關服務器操作系統(tǒng)，支持統(tǒng)信服務器操作系統(tǒng)；7、提供的邊界主機管控工具需支持攻擊面可視化分析，圖形化展示攻擊鏈路，并能夠關聯(lián)網絡連接信息、弱口令信息、漏洞信息等信息；8、提供的邊界主機管控工具需支持對進程規(guī)避排查行為進行檢測，包括但不限于無文件檢測、內核進程偽造、進程名偽造等；9、提供的邊界主機管控工具需支持采集訪問行為統(tǒng)計，需要包含訪問時間、目標IP、訪問協(xié)議；支持用戶網絡質量分析，包括underlay、overlay、公網質量三個維度，質量指標包括時延、丟包等；10、提供的邊界主機管控工具需支持接入終端的健康檢查，檢測內容包括設備授信檢測、系統(tǒng)共享資源檢測等；支持設置終端檢測周期及針對不同檢測內容進行靈活的扣分設置；支持自定義檢測項，檢測項基于軟件、端口、文件、服務、補?。恢С肿远x終端健康狀態(tài)，支持健康狀態(tài)分為健康、低危、中危、高危、超危五個等級；2.1.5互聯(lián)網側云防護服務互聯(lián)網側云防護服務的技術要求：1)服務內容：對于省糧食和應急物資綜合管理信息平臺及企業(yè)庫點信息系統(tǒng)，需要提供實時監(jiān)控和防護服務，協(xié)助建立安全風險監(jiān)測機制，對安全隱患具備“先發(fā)現(xiàn)”的安全能力；本項服務對采購人在互聯(lián)網上發(fā)布的業(yè)務部署云防護服務，實現(xiàn)防掃描、防滲透、防DDOS攻擊，同時提供替身技術，虛擬補丁服務，保障互聯(lián)網業(yè)務平臺的穩(wěn)定安全運行；2)服務成果：服務輸出物如下：1.《系統(tǒng)木馬檢查周報》；2.《系統(tǒng)安全監(jiān)測和云防護服務周報》；具體需求1、提供的互聯(lián)網防護工具，需支持按域名進行規(guī)則配置，可針對規(guī)則粒度進行選擇防護、監(jiān)控模式；支持針對域名+規(guī)則粒度進行防護策略配置；2、提供的互聯(lián)網防護工具支持威脅情報功能，威脅情報包括行業(yè)攻擊情報、特定攻擊類型情報、攻擊資源類型等多種情報，支持將威脅情報應用到防護中，一鍵對威脅IP開啟阻斷；3、提供的互聯(lián)網防護工具，需支持提供登錄控制臺給采購人進行自助操作，且控制臺能完成添加/修改/刪除防護域名，修改防護配置等操作；4、提供的互聯(lián)網防護工具支持對互聯(lián)網主機進行攻擊面分析，能夠對進程、緊急風險、開放端口信息進行關聯(lián)，識別攻擊面與攻擊鏈路；5、提供的互聯(lián)網防護工具支持攻擊面可視化分析，圖形化展示攻擊鏈路；支持關聯(lián)網絡連接信息、弱口令信息、漏洞信息；6、提供的互聯(lián)網防護工具支持Web應用防火墻（WAF）服務，提供的WAF安全服務有中國信息通信研究院的安全能力檢驗證書，并提供證書證明及加蓋公章；7、提供的互聯(lián)網防護工具支持Web應用防火墻（WAF）服務，提供的WAF安全服務有國家信息安全漏洞庫(CNNVD)兼容資質證書，并提供證書證明及加蓋公章；2.1.6日志審計分析服務日志審計分析服務的技術要求：1)服務內容：1.對賬號設備的操作、網絡行為、日志進行審計；客戶可以直接使用各類原生日志，也可以使用日志審計服務提供的審計功能，構建并輸出合規(guī)的審計信息；2.通過事件管理條件快速過濾事件或日志原文，實現(xiàn)多維視角捕捉未知安全事件，幫助用戶在日常安全運行中，實現(xiàn)多設備安全事件的關聯(lián)定位；3.定期執(zhí)行日志集中任務，并對日志進行有效期和等保180天存儲要求的驗證；2)服務成果：服務輸出物：1.《日志審計檢查周報》；2.《安全問題核查整改工單》（如日志審計發(fā)現(xiàn)安全問題）；具體需求1、提供的日志審計分析服務需要滿足日志存儲180天的要求，且能夠在發(fā)生安全事件時及時檢索；需支持對安全事件中的重點字段進行統(tǒng)計，以便快速分析字段各值出現(xiàn)的數(shù)量、出現(xiàn)的比例；支持分析各個字段的稀缺值，提供可視化統(tǒng)計圖表功能；2、提供的日志審計分析服務客戶端安裝應簡單易用，不影響業(yè)務正常運行，不需要重啟業(yè)務或系統(tǒng)，不修改內核驅動，不劫持關鍵函數(shù)，不覆蓋關鍵應用；3、提供的日志審計分析服務支持多種日志采集方式，包括但不限于客戶端采集、syslog采集等方式；4、提供的日志審計分析服務支持網絡設備日志結構化解析，支持的網絡設備包括但不限于華為、H3C等型號網絡設備；5、提供的日志審計分析服務支持syslog接收端能夠適應端口管控場景，支持只開放一個syslog端口的方式，支持通過源IP、主機名信息對日志源進行管理；6、提供的日志審計分析服務支持索引配置時對部分日志類型進行統(tǒng)計字段選擇，字段重命名；7、提供的日志審計分析服務支持對操作系統(tǒng)審計日志的結構化解析，包括但不限于audit、sysmon，支持配置自定義規(guī)則；8、提供的日志審計分析服務支持對日志進行統(tǒng)一查詢，能夠通過切換索引查詢各類日志，索引展示具備分類信息；9、提供的日志審計分析服務支持統(tǒng)計并展示數(shù)據源、索引的概覽信息，支持對索引分布、排行進行統(tǒng)計分析，支持對數(shù)據源分布、排行進行統(tǒng)計展示；10、提供的日志審計分析服務支持對資源進行管理，能夠展示日志存儲集群的CPU、內存、硬盤使用率；2.1.7數(shù)據庫審計分析服務數(shù)據庫審計分析服務的技術要求：1)服務內容：1.持續(xù)監(jiān)控分析業(yè)務SQL執(zhí)行的健康狀態(tài)，對高耗時、性能、差的SQL統(tǒng)一分析，提供報表有助于業(yè)務訪問優(yōu)化，保證數(shù)據庫時刻高效運行；2.工程師通過大數(shù)據搜索技術提供高效查詢審計報告，定位事件原因，以便日后查詢、分析、過濾，實現(xiàn)對目標數(shù)據庫系統(tǒng)的用戶操作的監(jiān)控和審計，為采購人保護自身合法權益提供必要的依據；3.定制了各種法規(guī)遵循向導和報表，以方便用戶完成法規(guī)遵循；遵循系統(tǒng)內置的法規(guī)遵循主要包含：等級保護（二級和三級）、個人數(shù)據保護要求；4.對于任何不認識的新面孔和操作進行識別并告警：包括新發(fā)現(xiàn)的IP地址、應用程序、數(shù)據庫賬戶、應用賬戶，訪問對象、訪問操作、SQL語句等，進行重點分析和告警；2)服務成果：服務輸出物如下：《數(shù)據庫審計分析服務報告》具體需求1、提供的數(shù)據庫審計分析服務需支持多種數(shù)據庫類型，包括MongoDB、HBase、Hive、Redis、Elasticsearch、Cassandra、HDFS、Impala、Graphbase、Greenplum、SparkSQL、SSDB、ArangoDB、Neo4j、OrientDB等數(shù)據庫的審計；2、提供的數(shù)據庫審計分析服務具備單獨的性能分析頁面，支持按照SQL執(zhí)行時長對資產進行排序，支持按照客戶端IP和數(shù)據庫賬號展示慢SQL來源，支持展示TOPSQL（平均執(zhí)行時長TOP、執(zhí)行次數(shù)TOP、總執(zhí)行時長TOP、執(zhí)行時長TOP）；3、提供的數(shù)據庫審計分析服務支持數(shù)據庫請求和返回的雙向審計，特別是返回結果集需包含返回字段、執(zhí)行狀態(tài)、影響行數(shù)、執(zhí)行時長、客戶端工具、主機名等內容；支持通過設置保存行數(shù)、最大保存長度來控制返回結果集的大??；4、提供的數(shù)據庫審計分析服務支持在雙向審計場景下根據以往審計命中情況設置結果集存儲策略，支持設置保存行數(shù)與最大保存長度；5、提供的數(shù)據庫審計分析服務支持對執(zhí)行語句進行風險規(guī)則匹配，需支持SQL注入檢測與高危語句檢測，需支持超長SQL語句（最長4M）審計；6、提供的數(shù)據庫審計分析服務支持在審計日志中一鍵添加過濾規(guī)則；支持在告警規(guī)則中一鍵添加信任規(guī)則或規(guī)則白名單；7、提供的數(shù)據庫審計分析服務支持自定義報表，自定義報表支持告警名稱、告警等級、操作類型、操作系統(tǒng)用戶名、數(shù)據庫名/實例名、主機名、數(shù)據庫賬號、客戶端IP、客戶端工具、數(shù)據庫類型、客戶端端口11種統(tǒng)計維度，支持來自審計日志、告警日志、會話日志的29種統(tǒng)計指標，根據以上條件進行靈活選擇后生成報表；8、提供的數(shù)據庫審計分析服務支持對在線數(shù)據的備份，支持調整備份壓縮等級，支持展示數(shù)據備份進度；9、提供的數(shù)據庫審計分析服務支持將同步設備時間與瀏覽器時間進行同步，支持頁面修改時間同步配置例如同步服務器、是否自動同步等；2.2安全風險評估類服務2.2.1服務器威脅分析服務服務器威脅分析服務的技術要求：1)服務內容：以服務器資產信息為基礎進行分析運營，捕捉資產動態(tài)變化隱藏的威脅，針對特定的漏洞信息在可管理資產范圍內進行影響范圍排查，重點關注web資產，對資產開放服務、端口以及配置、漏洞等變化進行檢索，快速對0day等新漏洞進行動態(tài)清零，同時從異常行為、應用入侵、風險發(fā)現(xiàn)、主機失陷四個方向，針對服務器側威脅進行深度分析和精準研判，從工具告警中剝繭抽絲，發(fā)現(xiàn)潛在的惡意攻擊；極大化地降低風險；2)服務要求：提供現(xiàn)場保障，本工作計劃每月開展1次，共12次；3)服務成果：服務輸出物：《服務器失陷分析報告》（當服務器發(fā)生失陷事件時提供）；具體需求1、提供的服務器威脅分析工具需支持動態(tài)微蜜罐功能，支持配置監(jiān)聽端口，能夠對監(jiān)聽端口的訪問源IP進行記錄，捕獲橫向滲透、內網掃描等攻擊行為；支持智能識別端口占用狀態(tài)，保障端口優(yōu)先提供給業(yè)務進程使用；2、提供的服務器威脅分析工具需支持對進程進行病毒檢測；支持對進程的鏈接庫進行病毒檢測；支持對合法進程的惡意行為進行檢測，如ssh軟連接后門，反彈shell等；反彈shell需包括但不限于:bash反彈、nc反彈、perl反彈、php反彈、python反彈、管道反彈等；支持內網主機間流量可視化能力展示，以便及時定位問題主機；3、提供的服務器威脅分析工具支持服務器主機安全信息自動標注，包括但不限于攻擊鏈信息、暴露面信息、是否入侵信息；4、提供的服務器威脅分析工具支持針對緊急漏洞，支持進程、端口信息關聯(lián)梳理攻擊鏈路；5、提供的服務器威脅分析工具支持對服務器后門帳號行為進行檢測，包括但不限于UID為0非root帳號、定時后門帳號、無密碼sudo帳號、影子帳號等；6、支持JAVA內存馬檢測，需要支持Filter、Listener、Servlet、Interceptors類型的內存馬檢測；7、提供的服務器威脅分析工具支持對進程的隱藏行為進行檢測，避免進程被隱藏后繞過其他安全檢測，需支持mount方法、應用態(tài)rootkit、內核態(tài)rootkit對進程的隱藏行為；需要能夠檢測進程的隱藏行為，被隱藏的病毒進程需要能夠被病毒檢測模塊識別；8、提供的服務器威脅分析工具支持惡意指令檢測，檢測訪問包括但不限于：下載執(zhí)行、提權、滲透工具執(zhí)行、清理痕跡、后門、代理、敏感文件查看；9、提供的服務器威脅分析工具支持異常進程關聯(lián)可視化，便于用戶針對服務器威脅的入侵行為進行還原；10、提供的服務器威脅分析工具支持登錄日志全量審計，需對登錄帳號、登錄IP、登錄地、成功與否、登錄帳號是否存在等信息進行詳細記錄；2.2.2滲透測試服務內容滲透測試服務內容的技術要求：1)服務內容：依托人工和專業(yè)工具，對業(yè)務系統(tǒng)進行專項滲透測試，通過模擬入侵者的一些常見攻擊與入侵手法進行安全測試，通過充分暴露和發(fā)掘系統(tǒng)中潛在的漏洞，能直觀的讓管理人員知道自己維護的系統(tǒng)中仍然存在的安全缺陷，并提供加固建議；盡可能全面發(fā)現(xiàn)業(yè)務系統(tǒng)的漏洞，對發(fā)現(xiàn)的問題進行詳細描述，發(fā)現(xiàn)其安全脆弱性，提供滲透測試報告，并提出加固建議，確保監(jiān)管單位安全檢查、外部安全平臺不會通報應用漏洞；2)服務要求：提供現(xiàn)場保障，本工作計劃每月開展1次，共12次；3)服務成果：服務輸出物如下：1.《省糧食和應急物資綜合管理信息平臺滲透測試報告》；2.《企業(yè)庫點信息系統(tǒng)滲透測試報告》；3.《省糧食和應急物資綜合管理信息平臺滲透測試回歸報告》；4.《企業(yè)庫點信息系統(tǒng)滲透測試回歸報告》滲透測試報告至少需包含漏洞位置說明、漏洞挖掘過程、修復建議；具體需求1、提供的滲透測試服務使用的探測工具系統(tǒng)應支持檢測的系統(tǒng)漏洞數(shù)不少于19萬，覆蓋CVE、CVSS、CNVD、CNNVD、CNCVE、Bugtraq多種漏洞標準；2、提供的滲透測試服務工具需支持大數(shù)據組件框架漏洞檢測，如zookeeper、ElasticSearch、ActiveMQ、Kibana、Hadoop等；3、提供的滲透測試服務識別工具應支持網站暗鏈檢測，發(fā)現(xiàn)網站中存在的隱藏鏈接；2.2.3代碼審計服務代碼審計服務的技術要求：1)服務內容：為保證省糧食和應急物資綜合管理信息平臺和企業(yè)庫點信息系統(tǒng)代碼的安全性，安全工程師對業(yè)務軟件功能、架構、運行環(huán)境和編程語言等實際情況進行摸排，采用人工審核和自動化審計工具的方式進行代碼安全審計，通過審計發(fā)現(xiàn)安全缺陷并定位到具體的代碼給出整改建議，提出整改建議最終形成書面報告，2)服務要求：提供現(xiàn)場保障，針對省糧食和應急物資綜合管理信息平臺和企業(yè)庫點信息系統(tǒng)2個系統(tǒng)，開展1次；3)服務成果：服務輸出物：1.《省糧食和應急物資綜合管理信息平臺代碼審計報告》；2.《企業(yè)庫點信息系統(tǒng)代碼審計報告》；具體需求1、提供的代碼審計服務，采用人工審核為主，結合自動化審計工具的方式進行代碼安全審計，通過審計發(fā)現(xiàn)安全缺陷并定位到具體的代碼給出整改建議，并最終形成書面報告；2.2.4釣魚郵件測試服務釣魚郵件測試服務的技術要求：1)服務內容：基于社會工程學原理，結合客戶網絡環(huán)境、郵件使用習慣和特征，以熱點事件和系統(tǒng)使用場景為主題，精心構造極具迷惑性且含有惡意鏈接的郵件，模仿客戶內部人員/部門向目標群體定向開展郵件釣魚測試，進而評估客戶內部人員信息安全意識，為后續(xù)安全培訓、技術防護手段升級提供依據；2)服務要求：提供現(xiàn)場保障，本工作計劃每月開展1次，共12次；3)服務成果：服務輸出物如下：《釣魚郵件測試服務報告》；具體需求1、協(xié)助搭建的釣魚演練平臺需支持能夠統(tǒng)計用戶的郵件打開情況、點擊鏈接情況、提交數(shù)據情況和郵件回復情況等；平臺需支持通過自定義構造釣魚郵件內容，能夠更具針對性的開展全員的釣魚郵件測試服務；2.2.5弱口令專項檢查弱口令專項檢查的技術要求：1)服務內容：針對信息安全主管單位對于口令監(jiān)管和核查的需求，安全技術人員使用相關工具和安全設備定期進行弱口令檢查，用于核查系統(tǒng)中的帳號口令強度是否符合要求，實現(xiàn)系統(tǒng)、業(yè)務口令的常態(tài)化檢查，不影響業(yè)務系統(tǒng)正常運行，以在線或者離線獲取各設備口令文件，后臺集中核查，全面掌控弱口令情況；弱口令核查和整改服務主要包括以下工作內容：1.安全運營人員采用第三方國產安全軟件獲取本平臺內調取用戶賬戶口令等資源，通過相應的弱口令管理功能包括動態(tài)口令字典、無損破解、弱口令規(guī)則等，對獲取的賬戶口令進行字典碰撞、無損破解、弱口令對比分析等安全檢查，篩選核查出不符合安全規(guī)則的弱口令；2.安全運營人員需針對省糧食和應急物資綜合管理信息平臺和企業(yè)庫點信息系統(tǒng)的云資源如虛擬主機、數(shù)據庫、中間件的基礎資源的弱口令進行核查；3.安全運營人員每月核查省糧食和應急物資綜合管理信息平臺和企業(yè)庫點信息系統(tǒng)后，出具《月度弱口令專項檢查報告》，提出需要整改的用戶列表，提出相應的整改措施，如預置用戶口令和要求用戶重置用戶口令等；安全運營人員需要與客戶確認并落實相應的整改責任，并且需要監(jiān)督系統(tǒng)管理員完成月度的整改目標，確保系統(tǒng)的安全可用，當發(fā)生緊急事件時，提供駐點安全維護服務；2)服務要求：提供現(xiàn)場保障，本工作計劃每月開展1次，共12次；需要每月完成弱口令的核查、《月度弱口令專項檢查報告》的編制工作，同時根據整改報告要求，中級工程師需要與采購人確認整改的工作要求，整改責任，并監(jiān)督系統(tǒng)管理員的整改工作完成情況；3)服務成果：服務輸出物如下：1.《月度弱口令專項檢查報告》；2.《月度弱口令整改情況完成清單》；3.《重大網絡安全事件整改完成情況說明》（當發(fā)生重大網絡安全事件時提供）；具體需求1、提供弱口令服務，服務工具需支持弱口令檢測結果，需支持對弱口令信息進行匿名化處理，不能夠將明文口令信息存儲到數(shù)據庫中，只對頁面展示進行匿名化；2、提供弱口令檢測服務，需支持系統(tǒng)口令、Mysql、Redis等應用弱口令檢測；需支持上傳自定義弱口令字典；2.2.6專項安全預警排查服務專項安全預警排查服務的技術要求1)服務內容：本項服務內容為根據信息安全主管部門的安全通報和安全預警等信息，對本單位是否涉及上述問題進行自查和修復工作并提交相關的報告；2)服務要求:根據以往的經驗，國家、省級公安、網信部門等網絡安全主管單位會按照月度發(fā)布當月網絡安全情況通報，應當在每月配合采購人開展本工作一次，對各類通報中出現(xiàn)的網絡安全問題進行預警，開展對本級部門內的信息資產的全面自查工作，并協(xié)助完成技術整改、文檔編制等工作，該項工作需要1名中級工程師按月開展，提供現(xiàn)場保障，；3)服務成果：服務輸出物如下：1.《安全通報月度檢查報告情況說明》；2.《安全通報月度檢查風險項閉環(huán)處置情況》（發(fā)生安全通報和安全預警等問題時需提供）；具體需求1、提供預警情報時需支持威脅情報，包括行業(yè)攻擊情報、特定攻擊類型情報、攻擊資源類型等多種情報；支持將威脅情報應用到防護中，并通過防護產品一鍵對威脅IP開啟阻斷；2、提供安全預警排查服務的專項人員，需具備應對安全檢查，面向安全部門，熟悉各類網絡安全通報要求、整改流程的網絡安全專家擔任；2.3安全應急響應服務類2.3.1安全應急演練安全應急演練的技術要求：1)服務內容：本項服務主要是根據《信息安全技術網絡安全事件應急演練指南GB/T38645-2020》中的要求，建立針對省糧食和應急物資綜合管理信息平臺和企業(yè)庫點信息系統(tǒng)的信息安全應急預案，并根據預案每年度開展兩次不低于四個場景的安全演練；2)服務要求：該項工作涉及到對采購人安全應急處置的流程設計，還需要完善采購人的應急處置措施等工作，需安排具備多年安全服務實施經驗且具備安全資質的人員進場完成；3)服務成果：服務輸出物如下：1.《省糧食和應急物資綜合管理信息平臺應急預案》；2.《企業(yè)庫點信息系統(tǒng)應急預案》；3.《省糧食和應急物資綜合管理信息平臺應急演練總結》；4.《企業(yè)庫點信息系統(tǒng)應急演練總結》；具體需求1、提供的安全應急響應服務，需協(xié)助采購人建立信息安全應急預案標準，并根據預案標準每年度開展兩次不低于四個場景的安全演練；2、提供的安全應急響應服務，需協(xié)助采購人建立單位內安全應急處置的流程設計，完善單位內的應急處置措施等工作，提供此服務的人員需具備一定的安全服務實施經驗，運營服務團隊需要具備本地化響應能力；2.3.2安全應急響應技術支持安全應急響應技術支持的技術要求1)服務內容：網絡應急響應是指針對采購人省糧食和應急物資綜合管理信息平臺和企業(yè)庫點信息系統(tǒng)已經發(fā)生或可能發(fā)生的安全事件進行監(jiān)控、分析、協(xié)調、處理、保護資產安全，使人們對網絡安全有所認識、有所準備，以便在遇到突發(fā)網絡安全事件時做到有序應對、妥善處理；應急響應主要措施如下：1.以預防為主，由安全運營人員建立監(jiān)控措施、數(shù)據匯總分析體系、制定能夠實現(xiàn)應急響應目標的策略和規(guī)程，建立信息溝通渠道，建立能夠集合起來處理突發(fā)事件的體系；2.檢測事件是已經發(fā)生的還是正在進行中的，以及事件產生的原因；確定事件性質和影響的嚴重程度，以及評估需要采用何種專用資源進行修復；3.當發(fā)生安全響應事件時，限制攻擊/破壞波及的范圍，同時降低潛在的損失；包括但不限于進行以下抑制措施，完全關閉所有系統(tǒng)；從網絡上斷開主機或斷開網絡部分；修改所有防火墻和路由器過濾規(guī)則；封鎖或刪除被攻擊的登錄賬號；加強對系統(tǒng)和網絡行為的監(jiān)控；設置誘餌服務器進一步獲取事件信息；關閉受攻擊的系統(tǒng)或其它相關系統(tǒng)的部分服務；4.通過事件分析找出根源并徹底根除，以避免攻擊者再次使用相同的手段攻擊系統(tǒng)；5.把被破壞的信息徹底還原到正常運作狀態(tài)；6.回顧并整合應急響應過程的相關信息，進行事后分析總結和修訂安全計劃、政策、程序，并進行訓練，以防止入侵的再次發(fā)生；7.以上措施應用于網絡安全應急響應中的各種場景，包括但不限于勒索病毒、挖礦木馬、Webshell、網頁篡改、DDos攻擊、數(shù)據泄露、流量劫持等；2)服務成果：服務輸出物：《重大安全事件應急響應報告》（當發(fā)生重大網絡安全事件時提供）；3)服務要求：事件處理響應時間：嚴重安全事件：10分鐘一般安全事件：30分鐘；事件處理到場時間：嚴重安全事件：2小時一般安全事件：12小時；事件初步處理時間：嚴重安全事件：2小時一般安全事件：24小時；事件最終處理時間：嚴重安全事件：6小時內一般安全事件：24小時內；具體需求1、提供安全應急響應技術支持服務，需在日常運營過程中，當采購人遭遇主機系統(tǒng)或網絡與安全有關的緊急事件、網絡入侵、拒絕服務攻擊、網絡病毒傳播爆發(fā)等時，需在接到采購人應急保障需求后，指定專業(yè)的信息安全工程師，快速響應，協(xié)助進行安全問題的解決；2、提供安全應急響應技術支持服務，所提供的應急響應工具需支持進程樹的可視化展示，發(fā)現(xiàn)應急事件后能夠及時還原攻擊路徑并發(fā)現(xiàn)內網感染的相關文件或者進程；3、需具備應急響應團隊和能力，具備網絡安全應急服務支撐單位證明；2.4網絡安全攻防演習服務類2.4.1紅隊(攻擊隊)評估服務紅隊(攻擊隊)評估服務的技術要求1)服務內容：紅隊（攻擊隊）評估服務需由攻防專家采用模擬黑客APT攻擊的方式，在不對業(yè)務系統(tǒng)造成破壞的前提下，不限定攻擊路徑和手段，以系統(tǒng)提權、控制業(yè)務、獲取數(shù)據為目標，深入評估系統(tǒng)安全防護短板；2)服務成果：服務輸出物如下：《紅隊攻擊評估服務報告》；具體需求1、提供的紅隊（攻擊隊）評估服務，需由攻防專家采用模擬黑客APT攻擊的方式，在不對業(yè)務系統(tǒng)造成破壞的前提下，不限定攻擊路徑和手段，以系統(tǒng)提權、控制業(yè)務、獲取數(shù)據為目標，深入評估系統(tǒng)安全防護短板；需要提供相關團隊人員一覽表，安全服務工程師需具備信息安全工程師（計算機技術與軟件專業(yè)技術資格）或注冊信息安全專業(yè)人員（CISP）（信息安全測評中心頒發(fā)）或者信息安全保障人員認證CISAW(中國網絡安全審查技術與認證中心頒發(fā))及多年工作經驗；2.4.2網絡安全攻防演習值守服務網絡安全攻防演習值守服務的技術要求1)服務內容：在網絡安全攻防演習期間，安排人員開展現(xiàn)場實時監(jiān)測值守、應急及專業(yè)對抗等增強型專業(yè)網絡安全服務，提供專業(yè)網絡安全服務，指導單位安全團隊實時對態(tài)勢感知系統(tǒng)及相關網絡安全防護系統(tǒng)或安防設備的告警進行監(jiān)視，組織并對期間出現(xiàn)的網絡安全異常和告警進行快速處理，實時對抗攻擊隊伍，應對并成功處置網絡攻擊，確保單位的網絡安全穩(wěn)定，成功防范專網攻防演習；1.監(jiān)測值守提供安全監(jiān)控組人員，實時監(jiān)測安全產品、網絡產品、主機服務器等設備的告警和流量審計行為，通過相關設備分析系統(tǒng)日志、網絡流量，結合威脅情報，及時監(jiān)測發(fā)現(xiàn)網絡攻擊行為，并針對發(fā)現(xiàn)的異常和告警進行及時上報和記錄；2.分析研判提供技術研判組人員，根據監(jiān)控組監(jiān)測到的安全行為，并結合主機日志、網絡設備日志、入侵檢測設備日志等信息對安全事件攻擊方法、攻擊方式、攻擊路徑和工具等進行分析判斷，分析確定為攻擊行為的安全事件，協(xié)同安全處置小組進行處置并提供事件處置建議；3.應急溯源基于WAF、IDS、IPS、態(tài)勢感知等相關安全平臺異常流量及告警進行攻擊源捕獲，