招标文件
项目需求书
一、项目背景
天津市教委为了更好的贯彻落实《中华人民共和国网络安全法》和网络安全等级保护制度要求,构建整体、严密、有效的网络安全监测、防护体系,拟开展天津教育系统网络信息安全监测预警能力的提升建设工作。通过采集中央网信办、公安部三所、CNVD、CNCERT、IPDB、教育系统漏洞平台、漏洞盒子、腾讯、瑞星、卡巴斯基等第三方安全数据及威胁情报,提升外部安全情报的接入能力,同时补充公开的安全情报数据和外部组织机构的监测数据,增强安全监测的全面度,也为通报预警提供更多的数据来源。在统筹的安全管理方面对安全监管机制进行整合优化,对市教委下属各级单位的日常安全工作、通报工作、安全事件处置效率等进行系统的量化监管。进一步提升天津教育系统网络安全监测能力,完善安全预警工作。
经过第一阶段天津教育系统网络信息安全监测服务平台项目建设,已经实现天津教育系统16个区教育局(包括中小幼等学校)、58所高校及各直属单位信息资产的集中管理、安全监测及通报预警。实现对整个天津市教育系统的各层级单位、教育系统中各类信息资产、等保备案系统、关键信息基础设施进行全天候全方位安全状况的监测,进而从整体上感知天津教育系统的网络安全态势,把握网络安全走势,为天津市教育系统的网络安全工作决策提供必要的数据支撑和依据,有效的支撑了天津市教育系统网络安全监测预警工作的开展。
具体概括来说,通过现有天津教育系统网络信息安全监测服务平台可完成以下几方面工作:
(1)安全监管对象的统一管理:平台实现对天津教育系统中各层级近200个单位的网站、重要信息系统等近4000个信息资产的集中管理、安全监测及通报预警。
(2)等保系统及关键信息基础设施的集中管控:通过现有平台基本实现了对天津教育系统各层级单位等保系统及关键信息基础设施的集中管理。
(3)重要时期“报平安”工作:在重要活动时期或敏感时期,平台的平安关注功能承担全市教育系统网络安全情况平安上报的工作任务。
(4)安全检查任务的统一调动和检查情况采集:通过平台天津教委可实现对信息系统和网络安全检查工作的统一部署和对检查结果的集中管理和存储。
(5)网络安全态势可视化:通过将天津市教育系统中各单位的安全情况与各单位的地理位置结合,形成了天津市教育系统安全地图;通过对监测数据的统计分析及建模分析,可实时感知天津教育系统的网络安全态势,按照感知的维度和视角的不同展示总体安全态势、单位安全态势、网站安全态势、重要资产态势、备案系统态势、关键信息基础上设施态势等。
二、建设内容
为满足天津市教委实际工作要求,在不改变现有业务现状、数据及平台架构的基础上,进行第二阶段天津教育系统网络信息安全监测服务平台的建设,对全市教育系统威胁情报数据及天津教育系统网络信息安全监测服务平台的监测数据进行整合关联分析,发现潜在安全风险和威胁。提升天津教育系统网络信息安全监测服务平台数据整合分析及安全态势可视化等能力。
1、成品软件购置:网络安全数据采集分析系统1套
2、软件系统定制开发:网络安全数据采集分析系统定制开发服务,严格参照项目技术需求中指标功能要求完成各项功能的实现。
3、驻场运维服务:具体见服务需求。
三、技术需求
(一)成品软件购置
|
序号 |
采购项名称 |
技术要求 |
数量 |
|
|
1 |
网络安全数据采集分析系统 |
威胁和安全数据收集 |
支持自动采集中央网信办、公安部三所、CNVD、CNCERT、IPDB、教育系统漏洞平台、补天、漏洞盒子等第三方漏洞平台的安全数据,包括但不限于漏洞威胁数据。 |
1套 |
|
系统威胁情报具备腾讯、瑞星、卡巴斯基等第三方病毒库及安全威胁数据。 |
||||
|
具备全市教育系统互联网资产安全事件监测发现能力,包括但不限于暗链、挂马、黑页等篡改事件。 |
||||
|
全市教育系统资产探测 |
具备对全市教育系统网站资产探测能力,实现全市教育系统资产的全面探测发现。 |
|||
|
支持IPv6网络和IPv6地址段的资产探测。 |
||||
|
支持通过单位名称进行全网资产探测,匹配跟单位相关联的互联网资产。 |
||||
|
支持通过资产类型进行全网资产探测,如数据库、web服务、FTP服务、监控设备、工控设备等,多维度探测发现。 |
||||
|
支持基于IP、IP段探测发现资产和开放端口。 |
||||
|
支持对资产指纹的探测、识别,包括但不限于操作系统、服务器类型、开发语言、框架等。 |
||||
|
支持通过IPv4/IPv6地址段、单位名称、系统名称、服务类型等多种方式进行探测,并提供全市资产安全态势大屏演示。 |
||||
|
全市教育系统资产数据库 |
支持建立本市教育系统资产管理数据库,并支持按关键字、IP、端口、指纹等多维度进行资产检索查询,指纹维度包括操作系统、服务器、组件、框架、应用类型等。 |
|||
|
支持与教育部GEDB数据库进行数据交换,实时同步更新天津市教育系统资产数据。 |
||||
|
支持对数据进行增、删、改、查等基本操作,对资产数据库进行维护更新。 |
||||
|
支持对全市教育系统单位组织架构、相关联系人、资产指纹信息进行管理。 |
||||
|
全市教育系统资产异常分析 |
对全市教育系统资产进行安全分析,通过关联威胁情报信息发现挖矿、扫描、僵尸主机等异常行为资产。 |
|||
|
能够按照资产类型进行异常资产分析,资产类型包括但不限于web业务系统、FTP服务、数据库、邮箱、监控设备等。 |
||||
|
全市教育系统失陷资产检测 |
支持通过在全网中捕获的攻击行为进行分析,与威胁情报碰撞匹配是否有来自本市教育系统失陷资产发起攻击行为,即本区域内的重要资产是否攻陷后成为了僵尸主机、跳板,对外发起二次攻击。 |
|||
|
支持失陷资产的详情查看以及数据表格的导出和汇总,详情包括但不限于关联情报、ip反查信息、whois信息、攻击态势和端口信息等。 |
||||
|
支持采样获取全市僵尸木马主控与被控主机事件分析,定位重点单位的主机受控事件,分析相应黑客组织,聚焦重点事件。 |
||||
|
支持采样获取全市蠕虫主机感染事件,定位重点单位主机感染蠕虫事件。 |
||||
|
支持采样获取全市教育系统网站被植入后门控制的情况,定位重点单位的网站植入后门事件。 |
||||
|
全市教育系统攻击源检测分析 |
发现攻击本市教育系统重要资产的攻击源信息,包括攻击源地区、类型、攻击目标、攻击活跃时间、攻击方式等;攻击源取证分析,包括IP whois、PDNS的域名,历史攻击记录,攻击方式,可视化展现IP的网络情况。 |
|||
|
支持识别本市教育系统内出现黑客团伙攻击迹象分析,包括:发现本市教育系统被黑客团伙掌握的资产情况,网络资产类型,所属单位,以及被具体的黑客团伙或病毒家族掌控;发现攻击本市教育系统的黑客团伙情况,包括黑客攻击源,黑客团伙,攻击本区域的目标以及活跃情况等。 |
||||
|
全市教育系统失陷资产统计分析 |
对全市教育系统失陷资产进行统计分析,内容包括失陷资产IP、资产类型、所属单位、区域分布、行业分布、总量趋势等。 |
|||
|
支持失陷资产的多维度统计分析,并以态势大屏的形式展现出来,维度包括但不限于区域分布、行业分布、事件分类、资产类型、安全趋势等。 |
||||
|
全市教育系统篡改资产检测 |
探测识别本市教育系统网站类资产出现暗链、黑页、挂马、黑客等篡改事件,内容包括网站地址、网站名称、IP、归属单位、归属省市、事件取证POC等。 |
|||
|
支持暗链验证功能,通过输入URL地址或者网站域名,进行暗链检测与验证,是否存在暗链等安全风险。 |
||||
|
威胁情报综合分析 |
系统具备与教育部“教育行业信息技术工作管理平台安全监测预警子系统”对接能力,可通过API接口方式无缝对接教育部安全威胁通报数据。 |
|||
|
★实现对全市教育系统面临的威胁情报数据进行统计及可视化展示,提升外部安全情报的接入能力及安全风险分析能力;实现多方威胁情报等安全数据与天津教育系统网络信息安全监测服务平台进行对接整合,实现威胁情报数据的统一接入和可视化效果的统一展示。 |
||||
(二)软件系统定制开发
|
序号 |
功能项 |
功能要求 |
|
|
1 |
资产管理 |
数据融合对接要求 |
1.实现与天津教育系统网络信息安全监测服务平台进行数据融合,可对接的模块包括但不限于:现场检查模块、网站管理模块,实现资产管理数据的互通互联。 2.实现与网络安全数据采集分析系统进行数据交互,包括资产数据和各类与资产安全相关的情报数据。 3.支持资产的在线录入并对接第三方资产数据接口。 4.支持安全数据或情报与资产的关联。 |
|
资产画像 |
1.对于设备资产或web资产可关联其安全数据形成资产的安全画像。 2.资产的安全画像应对资产的整体安全情况进行描述,包括但不限于:资产基本信息、资产可用性、资产安全概况、资产漏洞情况和告警情况。 3.资产画像涉及的相关统计信息应以统计报表的方式进行展现。 |
||
|
2 |
监测管理 |
数据融合对接要求 |
1.实现与天津教育系统网络信息安全监测服务平台进行数据融合,可对接的模块包括但不限于安全监测功能模块,实现监测数据的互通互联。 2.实现与网络安全数据采集分析的相关威胁情报数据进行数据交互。 3.支持资产的自动探测;支持将资产管理系统中的所有资产自动纳入监测范围。 |
|
3 |
预警管理 |
预警信息管理 |
1.下发预警信息时可以指定预警信息的标题、预警内容、并要求是否需要反馈。 2.事发单位可接受预警信息,并进行预警信息的查看,应支持下载预警信息中附件的下载。 3.事发单位可根据情况对预警信息进行反馈,并可上传附件信息。 4.预警信息下发单位可跟踪每个预警信息各单位的接收、阅读和回复情况。 5.预警信息的接收单位可查看历史记录以便跟踪预警信息的回复及处理情况。 |
|
4 |
处置任务管理 |
数据融合对接要求 |
实现与天津教育系统网络信息安全监测服务平台进行数据融合,可对接的模块包括但不限于:安全监测模块、安全管理模块,实现安全问题处置的下发管理。 |
|
处置任务管理 |
1.事发单位可接受下发给其单位的处置任务,并可进行处置任务的阅览。并可下载处置任务中的附件。 2.事发单位在执行处置任务的过程中可通过本功能进行处置过程的上报,处置进度的汇报,处置结果报告的上传。 3.对于上级单位下发的处置任务,上级单位可以对处置任务进行跟踪,包括当前已接收单位、每个单位的处置过程记录和处置进度。 4.对于处置任务接收单位,可以查看下发给本单位处置任务的历史情况,包括处置过程记录、处置报告和与上级单位的往来信息。 |
||
|
5 |
安全态势整合分析 |
数据融合对接要求 |
1.实现与天津教育系统网络信息安全监测服务平台中的实时监测系统、安全检查系统、通知公告系统、信息系统管理功能模块、报平安模块、关键信息基础设施管理模块进行数据整合。 2.实现与网络安全数据采集分析系统的多方威胁情报数据对接,对接的数据包括但不限于:资产数据、威胁数据、安全事件数据、资产异常数据、资产失陷情况、资产篡改情况。 |
|
威胁情报分析和展示 |
实现对网络安全数据采集分析系统数据进行整合分析,包括资产关联分析、统计分析、规则分析等。对于威胁情报数据进行展示包括威胁情报数据量统计、类型统计、威胁级别统计、威胁情报动态、威胁情报接收情况等。 |
||
|
资产发现及资产异常情况分析及汇总 |
对网络安全数据采集分析中发现的资产进行统计,对于新发现的资产进行记录并提醒。对于异常资产可进行预警显示和统计分析。 |
||
|
失陷资产展示 |
对于从威胁情报中发现的失陷资产应进行即时提醒和记录,可查看失陷资产的详情 |
||
|
监测对象及资产分析 |
可展示天津教育系统所有监管对象的数量,包括但不限于资产总数、重要资产数、网站总数、单位总数、备案系统数和关键信息基础设施数量。 |
||
|
等保统计分析 |
支持对等保信息系统的情况进行分析,包括系统等级分布、按照单位类别进行等保统计等。 |
||
|
安全检查情况汇总展示 |
能按照不同时间周期对安全检查情况进行汇总展示,应支持按照当天、近一周、近一个月和自定义时间等进行安全检查动态的汇总。 |
||
|
监测范围汇总统计 |
能对不同类型被监测对象的监测覆盖范围进行分析和展示。应覆盖所有监测类型的资产。 |
||
|
安全情况总体分析 |
支持按照不同纬度对天津教育系统16个区教育局、58所高校、30家直属单位等安全情况进行分析和展示,纬度包括:单位纬度、资产纬度、重要资产维度、备案系统维度和关键信息基础设施维度。 |
||
|
安全情况详情分析 |
支持对安全情况总体分析进行细化,对于不同维度(单位纬度、资产纬度、重要资产维度、备案系统维度和关键信息基础设施维度)的安全情况进行详细查看,可查看每种维度所涉及的信息系统的列表。 |
||
|
总体安全态势分析 |
支持对安全态势进行分析,同样应支持多种维度:单位纬度、资产纬度、重要资产维度、备案系统维度和关键信息基础设施维度;支持以统计图表方式对安全态势进行展示。对于不同维度的态势可进行切换显示。 |
||
|
地理位置安全视图分析 |
支持按照地理位置地图的方式对天津教育系统各层级所有单位的安全情况进行展示。对于不同单位应在地图中标记出对应的地址位置,并可通过所见即所得的方式查看该单位的安全情况。 |
||
|
6 |
通知公告 |
数据融合对接要求 |
实现天津教育系统网络信息安全监测服务平台通知公告管理功能优化;对目前已经存在的数据进行对接和融合。 |
|
通知公告下发要求 |
应对通知公告信息所支持的字段按照实际情况扩展,支持更多的通知字段信息。如通知要求、反馈时间要求等。应支持对于发送目标为多个单位的通知公告信息应进行容错处理,若某一个信息发送失败,则应跳过此单位并给予提示。 |
||
|
通知公告查看要求 |
应提高通知公告信息回执情况查看的响应速度,响应时间应少于3秒钟。在进行通知公告的信息查看时,在显示“通知内容”时应进行动态调整,以便完整显示整个通知内容数据。 |
||
|
7 |
平安关注 |
报平安管理功能要求 |
实现天津教育系统网络信息安全监测服务平台的平安关注功能的优化,对已经设置为报平安日期的取消操作,取消后该日期不再作为报平安日期,同时下级单位对于该日期不能进行报平安操作。应支持对报平安数据的多条件查询操作,并优化查询效率,查询操作的响应时间应少于3秒钟。 |
|
补报功能要求 |
对于错过报平安的单位,实现平安上报的补报操作。信息补报完成后,下级单位可查看该信息。 |
||
|
统计分析及报表 |
实现对平安上报情况进行统计,包括某天平安上报情况和某段时间平安漏洞情况的统计。并可导出报表。 |
||
|
8 |
安全检查 |
新增安全检查任务要求 |
支持安全检查任务的新增,以便向下级单位下发安全检查任务。检查任务的信息至少包括:任务标题、内容描述、起止时间、附件和检查范围。安全检查任务的新增界面应进行优化,如安全检查任务内容显示的优化,附件上传的数据校验等。 |
|
安全检查任务的上报 |
检查任务的接收单位应可上报安全检查任务,对于安全检查任务的回复应支持以时间轴的方式进行显示。 |
||
|
9 |
等级保护管理 |
备案管理要求 |
按等级保护2.0标准及相关规范,并结合天津教育系统的现状,对天津教育系统各级单位的备案信息进行管理。实现天津教育系统网络信息安全监测服务平台等级保护管理的优化,对于备案单位信息应支持至少支持如下字段:单位名称、主要负责人、分管负责人、安全处室负责人及负责人的联系方式。对于等保信息系统应可关联到对应的备案单位上。应支持备案单位信息的增删改查等常规操作。对于单位备案信息查询的响应时间应少于3秒钟。 |
|
信息系统备案要求 |
支持按照等保2.0标准,对信息系统备案信息进行管理,应按照等保2.0标准增加对云计算平台、移动应用、大数据应用和物联网应用的管理。对于新增的功能应能兼容现有的功能,实现等保信息的统一管理。 |
||
|
10 |
关键信息基础设施管理 |
数据融合对接要求 |
实现天津教育系统网络信息安全监测服务平台中的关键信息基础设施管理整合优化;对目前已经存在的数据进行对接和融合。 |
|
关键信息基础设施填报要求 |
按照国家相关最新的标准,对关键信息基础设施的添加进行支持,应按照关键信息基础设施的相关规范进行管理,应支持常见的增删改查操作及统计操作。 |
||
|
11 |
数据整合 |
★数据整合处理 |
对网络安全数据采集分析系统收集的全市教育系统威胁情报数据及天津教育系统网络信息安全监测服务平台的监测数据进行统一的整合关联分析,发现潜在安全风险和威胁。 |
|
实现网络安全数据采集分析系统数据与天津教育系统网络信息安全监测服务平台安全监测数据进行对接整合;发现的安全风险数据实现自动推送,包括漏洞数据,暗链、挂马、篡改等安全事件数据,失陷资产数据等;在现有天津教育系统网络信息安全监测服务平台可视化展示时可显示来源情报数据的出处,如:CNVD、CNCERT、教育系统漏洞平台等。 |
|||
|
12 |
移动应用 |
★移动应用管理 |
定制开发移动应用数据对接接口,实现如下要求: 1.提供包含通报预警、通知公告、安全检查、平安关注等数据接口,移动应用客户端可通过此接口与天津教育系统网络信息安全监测服务平台进行对接;平台应提供接口定制研发的能力,以便后期提供移动应用所要求的其他数据。 2.通过数据对接,平台应能接受移动应用客户端的处置信息回复请求等请求信息,并按照移动应用客户端的请求指令实现预定功能;同时移动应用客户端和平台网络安全工作管理数据保持实时同步。 |
(三)驻场运维服务
1、服务人员及时间
提供不少于3名安全服务人员,进行3年的驻场服务,驻场时间为5×8工作时间。
2、服务内容
(1)对所投网络安全数据采集分析系统提供技术支持及驻场运维服务:负责系统的日常运行维护、应急处置及故障处理,配合天津市教育委员完成日常统计管理等相关工作。
(2)对现有天津教育系统网络信息安全监测服务平台(该平台由杭州安恒信息技术股份有限公司于2017年承建)提供以下驻场运维服务:
提供天津教育系统网络信息安全监测服务平台系统日常的运行维护、应急处置及故障处理,保证平台系统安全稳定运行。
按照天津市教育委员会的监管要求提供平台资产管理、用户权限划分及监测任务管理等;保证平台系统数据的安全性,定期完成数据备份等相关工作;解决平台系统运行的各类问题。
协助各单位用户使用平台相关功能并解决使用过程中所遇到的相关问题,包括但不限于信息资产录入、处理过程上报、关键信息基础设施管理、平安上报等问题。
根据不同时期的安全监测及通报预警要求,完成平台监测任务、性能分配、监测对象及频率等管理工作。
对平台所监测扫描结果中的相关漏洞进行梳理和归纳,通过人工漏洞验证的方式确定漏洞的真实性、危害性,输出漏洞验证报告,并对相关单位进行预警通报及督促整改。
对天津教育系统网络信息安全监测服务平台内指定的重要信息系统提供人工渗透测试工作,输出相关渗透测试报告,并能及时提供完善的安全策略。
配合完成教育部等监管部门的安全通报漏洞等内容验证及下发处理工作。
安全监测发现问题后,通过平台的通报预警处置,及时要求责任单位和人员进行整改,降低安全风险,并将处置过程及结果信息提交至平台系统进行管理,对各单位提交的整改结果进行复验。
根据天津市教育委员会的要求进行安全应急响应,在系统出现恶意入侵、恶意资源消耗、病毒爆发及其他各类安全事件时,在规定的应急响应时间内,对网络安全事件进行分析和处理。在系统出现各类型安全事件后,负责对安全事件进行分析,开展安全事件入侵追踪和取证、事后安全分析等相关应急处置工作。
按照天津市教委委员会网络安全工作管理要求,配合完成教育系统各单位的网络安全检查工作;配合完成日常统计管理等相关工作,并完成天津市教育委员日常交付的其他相关工作;构建包括安全监测、验证、预警、通报、处置等闭环工作流程。
在服务过程中遇到的特殊时间段提供网络安全重保服务,如:重大活动、会议及中高考等重要时间段内,需成立专门的网络安全重保工作小组,安排服务人员7*24小时值守,开通平台应急受理电话24小时进行问题受理;同时负责协调平台各系统备品备件提前运送服务现场,保证平台系统的稳定运行;提前做好应急预案,制定全面的故障处理流程及完善的应急处理方案。
在服务过程中遇到驻场工作人员无法解决的相关问题,须提供二线专家服务团队的现场支持服务,安排经验丰富的技术人员及研发人员在规定时限内到达现场分析问题原因,制定解决方案,并最终进行处理。事件得到解决后,要求对事件过程及内容输出完整性的事件记录单。
3、驻场运维服务人员及服务工具要求
驻场运维服务人员需具备丰富的工作经验,具有在大型机构2年以上信息安全服务及项目驻场服务经验,熟悉主流网络、操作系统、数据库、中间件及安全产品基本原理;熟练掌握渗透测试技巧、熟练运用各类安全软件、安全测试工具;熟悉常见web安全漏洞的原理、测试方法、加固方法;具备良好的沟通能力,较强的文档、报告、方案编写能力,能够独立编写安全服务报告。
投标人须承诺在驻场运维服务期内现场服务人员的稳定,如有变动需经采购人同意。
项目驻场运维服务团队应具备完善的网络安全检测、渗透测试及应急处置等运维服务工具,保证项目顺利实施。
4、应急处置服务要求
在天津市教育委员会的指导和要求下,做好网络安全应急响应,在重要时期、系统出现恶意入侵、恶意资源消耗、病毒爆发及其他各类安全事件时,在规定的网络安全应急响应时间内,派出专家级安全工程师对网络安全事件进行分析和处理。协助完成包括但不限于:系统安全恢复,应用服务安全恢复,数据安全恢复,网络性能安全恢复,网络病毒灾难恢复等工作。在系统出现各类网络安全事件后,负责对事件进行分析,开展入侵追踪和取证、事后安全分析和加固服务。
5、其他服务要求
提供所投产品三年原厂质保、技术支持及售后服务,本次投标价包含服务期内的全部费用。
所投产品原厂商每周定期提供安全威胁等数据的技术分析和报告服务。提供所投产品软件三年免费版本升级和威胁情报库升级服务。
对于新发现的漏洞、安全事件、失陷主机、黑客攻击等安全问题时,产品原厂商能够于12小时内作出响应,及时通知并提供应急预案、处置工具。
在服务期内提供7×24小时技术支持,接到故障通知1小时内响应,如远程支持不能解决,须2小时内派工程师到现场处理。
投标人及其委派的驻场运维服务人员须与天津市教育委员会就数据信息安全等内容签署保密协议。服务商应严格控制文档访问权限,防止敏感信息泄露,包括所有信息系统的风险评估、检查文档,漏洞验证报告,安全应急响应报告等。
收藏