招标文件
技术参数要求(招标内容)
1 标段网络安全服务
1、安全服务
本项目安全服务招标内容包括:对宁夏水利厅进行关键信息系统的网站安全监测、渗透测 试、安全管理评估服务,对新业务系统开展上线前安全检查服务,对重要业务系统进行安全扫描加固和巡检审计服务,对相关岗位人员进行培训、技术支持,建立应急响应服务体系,安全运维驻场服务。服务期限为一年,各部分内容及具体要求见以下内容描述。
|
序号 |
服务类型 |
服务内容 |
数量 |
频次 |
|
1 |
网站安全监测服务 |
网页挂马检测、网站可用性监测、网页篡改监测、网站域名解析监测、网页敏感内容监测、钓鱼网站监测、远程网站 漏洞扫描、网站安全舆情监测。 |
1 套 |
7*24 小时 |
|
2 |
新业务系统上线前安全检查服务 |
新业务系统上线前安全检查 |
1 套 |
不限业务系统数量 |
|
3 |
安全域访问关系梳理服务 |
安全域访问关系梳理 |
1 套 |
每年一次 |
|
4 |
渗透测试 |
渗透测试 |
1 套 |
每年一次 |
|
5 |
安全管理评估服务 |
安全管理制度梳理和完善 |
1 套 |
每年一次 |
|
6 |
安全巡检与审计服务 |
安全巡检与审计 |
1 套 |
每年四次 |
|
7 |
安全扫描与加固服务 |
安全扫描与加固 |
1 套 |
两周一次 |
|
8 |
安全培训服务 |
安全意识培训 |
1 套 |
每年一次 |
|
9 |
应急响应服务 |
应急预案、应急响应服务、应急演练 |
1 套 |
每年一次 |
|
10 |
安全运维驻场服务 |
安全运维驻场服务 |
1 人 |
一年 |
- 网站安全监测服务要求
|
序号 |
服务项 |
服务内容 |
服务频次与告警时间 |
|
1 |
网页挂马检测 |
定期对网站页面进行挂马检测,包 括 iframe 框架挂马,scripts 挂马等,并定期提供挂马检测报告。 |
提供 7*24 小时检测服务 |
|
2 |
网站可用性监测 |
对网站可用性进行实时监测,持续 跟踪访问情况,并根据严重程度及时发出报警信号,第一时间通知管 |
每 15 分钟监测一次(1 次/15 分钟),发现疑似问题,25 分钟之内验证确认,然后 5 分钟 |
|
|
|
理员,减少网站中断对业务的影 |
之内告警通知,总响应时间不 |
|
响,协助保障网站的可用性。 |
超过 30 分钟。 |
||
|
监测目标站点的访问速度、页面加 |
|
||
|
载时间等网站性能参数。 |
|
||
|
|
|
实时监测目标站点的页面状况,当 |
对首页每 15 分钟监测一次(1 |
|
|
|
网页篡改发生时,第一时间通知管 |
次/15 分钟),发现疑似问题, |
|
3 |
网页篡改监测 |
理员,减少响应时间,降低篡改事 |
25 分钟之内验证确认,然后 5 |
|
|
|
件带来的政治、法律、经济等方面 |
分钟之内告警通知,总响应时 |
|
|
|
的影响,协助保障网站的完整性。 |
间不超过 30 分钟。 |
|
|
|
实时远程监测目标网站 DNS 服务器 |
对目标域名在其授权域服务器及各省主流 ISP 的 DNS 缓存服务器的解析结果每 15 分钟监测一次(1 次/15 分钟),对授权域服务器 DNS 记录(包括:A 记录、CNAME 记录、NS 记录、 MX 记录、SOA 记录、PTR 记录 等)每月检查一次 |
|
|
|
及 ISP 的 DNS 缓存服务器对目标网 |
|
|
4 |
网站域名解析监测 |
站域名的解析情况,如发现无法解析或者解析错误,将第一时间通知 管理员,减少响应时间,降低相关 |
|
|
|
|
事件带来的政治、法律、经济等方 |
|
|
|
|
面的影响。 |
|
|
5 |
网页敏感内容监测 |
实时监测网站上出现的低俗内容、敏感言论,一旦出现违规,将及时通知管理人员,减少及避免政治和法律方面的风险。 |
对首页每 15 分钟监测一次(1 次/15 分钟),发现疑似问题, 25 分钟之内验证确认,然后 5 分钟之内告警通知,总响应时间不超过 30 分钟。 |
|
|
|
1、针对站点的正常域名,采用多种 |
1、每天不低于 24 次监测,发现疑似钓鱼网站,25 分钟之内验证确认,然后 5 分钟之内告 警通知,总响应时间不超过 30 分钟。 2、对每个关键词在每个搜索引擎的监测次数每天不低于 48 次,每次监测间隔不高于 30 分钟 3、对每个仿冒域名的监测次数每天不低于 48 次,每次监测间 隔不高于 30 分钟 4、确认钓鱼攻击事件后,1 个工作日内与甲方共同处理问 题。 |
|
|
|
域名变化方法,得到不低于 500 个 |
|
|
|
|
近似域名,每天不低于 24 次监测; |
|
|
|
|
2、针对与站点相关的不超过 5 个关 |
|
|
|
|
键词组,每个关键词组,提供三大 |
|
|
|
|
主流搜索引擎前 100 个搜索结果的 |
|
|
|
|
每天不低于 24 次是否存在钓鱼站点 |
|
|
|
|
的检查。 |
|
|
|
|
2、设置关键词,对至少 3 个主流搜 |
|
|
6 |
钓鱼网站监测 |
索引擎的至少前 100 个搜索结果进 行检查 |
|
|
|
|
3、对受保护站点的至少 500 种变形 |
|
|
|
|
域名进行检查 |
|
|
|
|
4、协助用户向主管机构上报,由主 |
|
|
|
|
管机构关闭钓鱼站点,控制此类攻 |
|
|
|
|
击的影响范围。协助用户对钓鱼攻 |
|
|
|
|
击进行响应,向合作伙伴提交信 |
|
|
|
|
息,由合作伙伴从客户端及时阻断 |
|
|
|
|
对恶意站点访问请求,以控制此类 |
|
|
|
|
攻击的影响范围。 |
|
|
7 |
远程网站漏洞扫 |
Web 应用漏洞、SQL 注入漏洞、远程 |
提供 7*24 小时扫描服务 |
|
|
描 |
系统漏洞、网站关键页面的重定向 漏洞检测、网站级别的 HTTPS 漏洞检测 |
|
|
8 |
网站安全舆情监测 |
收集和整理与宁夏水利厅网站、水利行业相关的漏洞信息、安全威胁等信息,并及时通告(通常 以邮件方式)。 |
提供 7x24 小时网站漏洞舆情监测服务 |
|
服务对象 |
覆盖宁夏水利厅指定的外网网站 |
||
|
报告周期 |
每周提供 1 次监测报告;监测到漏洞问题及时报告并协助修补处理安全隐患。 |
||
- 新业务系统上线前安全检查服务要求
|
序号 |
要求 |
具体内容 |
|
1 |
服务要求 |
新业务系统上线前进行安全检查,包括规划设计文档、主机安全、数据 库安全、网络安全、应用安全、管理安全等内容的检查,提出新业务系统安全解决方案。 |
|
2 |
服务次数 |
新上线业务系统数量不限,根据需求进行 |
|
3 |
其它要求 |
本项工作必须在用户现场完成;每个业务系统提交检查报告及加固整改 报告。 |
|
- 安全域访问关系梳理服务要求
- 渗透测试服务要求
在不影响网站正常访问及业务正常开展的前提下,在双方约定的时间段内,针对用户服务系统进行专项、全面的安全渗透测试,投标人不得只拿漏洞扫描类工具进行简单地扫描来做为渗透测试结果,必须派专业渗透测试工程师进行检查、并对漏洞进行验证(渗透测试报告必须写详细的渗透测试过程)。尽可能及早发现系统可能存在的脆弱性和行业安全漏洞,验证、评估 Web 应用安全防护措施的有效性,并根据渗透测试发现的漏洞,提出解决建议,并协助进行安全加固工作,确保服务系统安全、稳定地运行。
渗透测试范围如下:
|
序号 |
要求 |
具体内容 |
|
1 |
服务范围 |
外网、内网门户网站 |
|
2 |
服务次数 |
每年一次 |
|
3 |
其它要求 |
根据实际情况每次渗透测试提交一次报告,并协助进行安全加固工作。 |
- 安全管理评估服务要求
|
服务方应在用户已经完成的系统总体的安全架构基础上梳理完善信息化管理制度,建立安全规范与流程,保证信息化管理制度能符合用户信息系统建设发展需要,具体要求如下:
- 安全巡检与审计服务要求
通过对业务信息系统和网络安全设备定期进行安全巡检与日志分析,及时发现网络中存在的各种安全隐患,提出系统加固建议。
|
根据宁夏水利厅《信息系统安全巡检工作规程》要求,每季度组织一次安全巡检。
- 安全扫描与加固服务要求
在安全体系的建设和维护过程中,对业务信息系统和网络安全设备定期进行安全扫描,发现存在的各种安全隐患和漏洞,通过打补丁、增强安全配置、调整系统架构和安全策略等方式及时进行安全加固和优化。
|
序号 |
要求 |
具体内容 |
|
1 |
服务范围 |
对宁夏水利厅所有服务器、网络设备、安全设备、数据库、应用系统进 行漏洞扫描和安全加固 |
|
2 |
服务方式 |
专业的安全扫描人员在服务期间现场提供服务 |
|
3 |
服务周期 |
(1) 每两周一次全面的漏洞扫描(含系统层和应用层的扫描)和协助安全加固; (2) 遇有重大事件、信息系统发生重大变更后或厂商发布严重安全警告时,根据宁夏水利厅要求不定期进行漏洞扫描和协助安全加固。 (3)针对宁夏水利厅的核心关键系统及互联网应用系统至少每周进行一次 漏洞扫描和协助安全加固。 |
|
4 |
服务报告要求 |
每次扫描完成后,必须提交完整的安全扫描报告以及各种漏洞的详细说明和操作性很强的解决方案(包括各种补丁和工具的下载地址,操作步 骤等); |
|
5 |
其它 |
要求服务方在扫描过程中不能影响业务系统的正常运行,在扫描过程 中,对有可能影响业务系统正常运行的行为,服务方必须先制定应急预案,后组织实施。 |
- 安全培训服务要求
|
每年对宁夏水利厅全体工作人员进行一次安全意识培训,内容涵盖信息安全的政策法规、基本概念、安全管理制度要求、日常操作安全须知、常见应用软件安全配置、恶意代码的防范等知识。
- 应急响应服务要求
- 应急预案要求
|
序号 |
要求 |
具体内容 |
|
1 |
服务要求 |
制订和完善重要信息安全设备和安全系统的应急响应预案,配合宁夏水利厅组织相关人员进行应急演练,达到提高应急处理速度,多方协 调联动能力,熟悉应急响应流程的目的。 |
|
2 |
服务次数 |
服务期限内每年一次的应急预案的制定及修订 |
- 应急响应服务要求
|
序号 |
要求 |
具体内容 |
|
1 |
服务要求 |
1、按照《信息安全技术-信息安全事件分类分级指南》的事件分级标准对安全事件进行分级响应。 一般事件:接到宁夏水利厅通知后,服务方人员必须立即到场处理事件,并在事件处理结束后提交书面的安全事件调查分析报告; 较大事件:接到宁夏水利厅通知后,服务方人员必须立即到场处理事件;从接到通知起,服务方必须在 24 小时内提出安全事件解决方案并在事件处理结束后提交书面的安全事件调查分析报告; 重大事件:接到宁夏水利厅通知后,服务方人员必须立即到场且服务方安全专家必须在 2 小时内到场进行事件处理;从接到通知起,服务方必 须在 24 小时内提出安全事件解决方案并在事件处理结束后 24 小时内提交书面的安全事件调查分析报告; 特别重大事件:接到宁夏水利厅通知后,服务方人员必须立即到场且服务方安全专家必须在 1 小时内到场进行事件处理;从接到通知起,服务 方必须在 12 小时内提出安全事件解决方案并在事件处理结束后 12 小时 内提交书面的安全事件调查分析报告; |
|
2 |
服务次数 |
根据需求进行安全事件 7*24 小时应急响应服务。 |
|
3 |
其它要求 |
重大节假日期间,服务方须安排人员进行值班服务。 |
- 应急演练要求
|
序号 |
要求 |
具体内容 |
|
1 |
服务要求 |
根据应急预案,配合宁夏水利厅,组织相关人员进行应急演练,达到提高应急处理速度,多方协调联动能力,熟悉应急响应流程的目的。 |
|
2 |
服务次数 |
服务期限内每年一次的应急演练 |
- 安全运维驻场服务
|
序号 |
要求 |
具体内容 |
|
1 |
服务要求 |
提供安全运维驻场服务,配合宁夏水利厅处理各类网络安全事务、特殊 时间节点 7*24 小时应急值班服务。 |
|
2 |
服务次数 |
要求提供 1 人次驻场服务,服务期限一年。 |
2.服务器安全管理系统
|
序号 |
功能名称 |
参数要求 |
|
1 |
架构支持 |
支持对实体服务器、虚拟机、VPS 和云服务器等及多种混合环境实施集中管理和监控,同时支持 OpenStack 等云操作平台,Xen、Hyper-V、 Vmware、KVM 等虚拟化架构。 |
|
2 |
部署数量 |
★应提供不少于 40 套的服务器安全管理授权。 |
|
3 |
操作系统兼容性 |
★支持 windows/linux 主流操作系统,包括但不限于以下的操作系统: Windows Server 2003 SP2、Windows Server 2008、Windows Server 2012、Windows Server 2016、Windows Server 2019; RedHat 4.3~RedHat 5.11(x86/x64)、RedHat 6.0~RedHat 6.7 (x86/x64)、RedHat 7.0~RedHat 7.2 RedHat8.0 ; CentOS 4.3~CentOS 5.11(x86/x64)、CentOS 6.0~CentOS 6.10 (x86/x64)、CentOS 7.0~CentOS 7.6、Centos8.0; Ubuntu10.0 以上; Suse 10~Suse 10 sp3、Suse 11~Suse 11 sp3、Suse 12;中标麒麟 ; 红旗 Redflag3~4; |
|
4 |
web 中间件支持 |
支持主流 web 中间件,包括但不限于以下的 web 中间件: IIS 6/IIS 7/IIS 7.5/IIS 8; Apache 2.0/Apache 2.2/Apache 2.4(x86、x64); Nginx 1.0.*、Nginx 1.2.*、Nginx 1.4.*、Nginx 1.6.*~1.17.*; Kangle; Tomcat、Weblogic、WebSphere、TongWeb、Jboss、Glassfish、Jetty 等。 |
|
5 |
语言支持 |
支持全类型网络流量检测,包括但不限于以下语言: Asp,.net,php,java。 |
|
6 |
产品安全机制 |
agent 具有反逆向、反调试功能,agent 具有自保护功能,管控中心 server 具有系统防护、网络攻击防护功能,agent 和server 通信采用安全的加密机制。 |
|
7 |
支持驱动级防护技术,即使 agent 被意外关闭,防护依然有效。 |
|
|
8 |
性能占用 |
程序对 WEB 系统造成的延迟低于 2%。程序占用的 CPU、内存资源低于 |
|
|
|
10%,系统具有自动降级机制,可设置自杀阈值。 |
|
9 |
防暴力破解 |
★具有防暴力破解技术,能有效防御针对 RDP、SSH、FTP 服务的暴力破 解,适用于 FTP 等其他类型的服务器。(提供相应截图证明并加盖厂家鲜章) |
|
10 |
安全巡检 |
★针对服务器和网站的目录及文件进行全面巡检扫描,对服务器和网站存在的安全隐患进行检查并修复。“服务器安全”主要针对计划任务、账户 (登录账户、克隆账户、隐藏账户)及奇安信服务器安全管理系统各功能开启状态进行检查和修复;“网站安全”主要针对网页木马、网站挂马和 暗链进行检查和清除。(提供相应截图证明并加盖厂家鲜章) |
|
11 |
★可对“安全巡检”进行自定义设置,设置内容为 web 巡检设置、文件忽略列表设置、文件隔离列表设置。其中 web 巡检设置包括:情景模式设置、选择巡检服务器上哪些网站、自定义巡检路径、清理网站扫描缓存等;文件忽略列表设置中,增加到忽略列表的文件,巡检或浏览页面时将自动跳过;文件隔离列表设置:已被安全隔离的文件,可以在此处进行还 原。(提供相应截图证明并加盖厂家鲜章) |
|
|
12 |
登录防护 |
★“登录防护”功能,针对 Windows 及 Linux 操作系统的远程登录进行限制及防护,用户可对“用户名”、“IP 地址范围”、“时间范围”进行具体设置,并通过选择“允许登录”、“禁止登录”等相应的处理方式进行防护。 (提供相应截图证明并加盖厂家鲜章) |
|
13 |
应用及网站防护 |
支持通过在 web 应用(IIS、apache、nginx、tomcat 等)中插入 waf 探针的方式,高效过滤网络流量,防止黑客利用 web 应用漏洞或网站漏洞攻击 服务器。 |
|
14 |
★具备“网站漏洞防护”功能包括:SQL 注入防护、XSS 防护、漏洞利用攻击防护、web 服务器溢出攻击防护、web 服务器文件名解析漏洞防护、 HTTP 请求头防护、禁止浏览畸形文件、禁止下载特定类型文件、网站浏 览实时防护等。(提供相应截图证明并加盖厂家鲜章) |
|
|
15 |
★具备“网站漏洞防护”功能包括:SQL 注入防护、XSS 防护、漏洞利用攻击防护可根据不同检测对象(URL、Cookie、Post)进行具体防护规则的配置(开启与关闭);禁止下载特定类型文件,可自定义设置禁止下载的特定文件类型;网站浏览实时防护可自定义设置网页木马的文件类型, 将对设置列表中的网页类型进行基于行为的木马实时检测;HTTP 请求头防护可自定义设置防护规则,自定义选择 HTTP 头标识进行防护。(提供 相应截图证明并加盖厂家鲜章) |
|
|
16 |
★支持未知上传漏洞防护,对网站中存在的文件上传漏洞页面进行防护, 上传危险页面或程序自动拦截。(提供相应截图证明并加盖厂家鲜章) |
|
|
17 |
★支持网页防篡改功能保护网站目录下的文件不被黑客恶意篡改。当选择被防护的网站目录后,其目录下的所有文件及子目录所有文件将禁止被篡改。可对网站目录下的文件进行防篡改设置,包括禁止被创建、删除、修改等,也可对其中的防篡改目录及文件进行“放行”操作,允许某些目录 及文件被创建、删除、修改等。(提供相应截图证明并加盖厂家鲜章) |
|
|
18 |
运行时程序防护 |
支持通过在脚本解释器中插入RASP(Runtime Application Self Protection)探针的方式,对应用系统的流量、上下文、行为进行持续监 |
|
|
|
控,在脚本解析、命令执行等关键点上,识别和拦截异常行为,有效防御 0day 利用及新型恶意代码(一句话木马、变形 webshell 等)。 |
|
19 |
可有效防御 SQL 注入、命令执行、文件上传、任意文件读写、反序列化、 Struts2 0day 利用等基于传统签名方式无法防护的未知安全威胁,支持asp .net php java 四种语言。 |
|
|
20 |
支持虚拟安全域 |
支持虚拟化安全域技术(ASVE),将应用进程隔离在虚拟化安全域内,限 制应用进程权限,防止黑客利用应用程序漏洞提权、创建可执行文件等非法操作。 |
|
21 |
支持 WEB 进程权限防护:限制WEB 服务器进程权限,例如禁止执行 cmd.exe 等,数据库进程防护:MySQL 、SQL server 进程防护。 |
|
|
22 |
微隔离Microsegmen tation |
★支持基于服务器分布式防火墙技术,可以跨虚拟架构、跨网段定义服务 器访问控制策略,防止攻击者入侵内部业务网络后的东西向移动。(提供相应截图证明并加盖厂家鲜章) |
|
23 |
★可基于网卡驱动,不依赖 iptable 等系统防火墙,可以基于角色、标签定义主机、主机应用间的细粒度访问控制策略。 |
|
|
24 |
文件防篡改 |
★支持驱动级网页防篡改功能,可以保护整个目录、网页或文件不被恶意 修改或者变更,支持监控与防护两种模式。(提供相应截图证明并加盖厂家鲜章) |
|
25 |
★当选择被防护的网站目录后,其目录下的所有文件及子目录所有文件将禁止被篡改。可对网站目录下的文件进行防篡改设置,包括禁止被创建、删除、修改等,也可对其中的防篡改目录及文件进行“放行”操作,允许 某些目录及文件被创建、删除、修改等。(提供相应截图证明并加盖厂 家鲜章) |
|
|
26 |
防端口扫描 |
可防止利用漏扫等端口扫描工具获取服务器敏感信息 一键禁止端口扫描工具非法探测,可自定义检测规则 |
|
27 |
未知 webshell 检测 |
支持在内核及应用层探针中设置监控点,将本地无法判断的异常 webshell,上传至云中心沙盒,通过脚本虚拟机的无签名检测技术,有效发现加密、变形 webshell。 |
|
28 |
可检测自加密的脚本,可检测未活动的WebShell,支持 php asp .net java 编写的webshell。 |
|
|
29 |
服务器加固 |
▲通过服务器内核加固技术,加强操作系统自身对抗恶意代码和黑客攻 击的能力,抵御非法提权、非法创建可执行文件等黑客行为,有效降低无补丁可打、无法打补丁带来的的安全风险。 (1) Windows 操作系统权限控制: 将非管理员组账户添加到管理员组;在系统目录下对可执行类型文件进行读写操作;添加启动项;加载没有数字签名的驱动; (2) Linux 操作系统权限控制: 修改账户信息;修改系统配置文件;添加系统自启动项;在系统目录下创建及修改可执行文件;修改系统日志; (提供相应截图证明并加盖厂家鲜章) |
|
30 |
流可视化Flow visibility |
▲支持监控业务环境中服务器间访问关系(数据流)并将其可视化。 (提供相应截图证明并加盖厂家鲜章) |
|
31 |
▲支持业务资产可视化;业务资产间访问关系可视化;流量信息可视 |
|
|
|
化;访问端口可视化以及访问数量可视化。(提供相应截图证明并加盖 厂家鲜章) |
|
32 |
网络访问控 制 |
▲支持微隔离技术,限制主机非法外连访问控制,可基于 IP、IP 段、网 址定义进网及出网访问规则。(提供相应截图证明并加盖厂家鲜章) |
|
33 |
攻击溯源 |
▲支持防护日志功能提供对防护过程中所产生的各类日志的查询,包 括:网站防护日志、系统防护日志、登录日志、巡检日志及监控日志。日 志包含具体时间、日志类别及描述等信息,用户可将日志导出,以便保存、查阅。(提供相应截图证明并加盖厂家鲜章) |
|
34 |
★实现智能化监控及预警,补充传统安全系统,解决高级持续性安全威胁问题。实现服务器统一安全运维管控,降低业务安全风险面,提升操作系统安全性。 (提供相应截图证明并加盖厂家鲜章) |
|
|
35 |
可基于内核探针、应用探针多维度收集黑客入侵轨迹,图形化 IOC 提供攻击者 IP、攻击目标、操作手段、落地文件等信息。 |
|
|
36 |
安全监控 |
可提供服务器核心资源(CPU、内存、磁盘、网络 IO)及 web 中间件实时 性能监控(PV、并发连接数、进出网流量等),可设置报警阈值,实时掌控服务器状态。 |
|
37 |
威胁情报 |
支持聚合多维度威胁情报,并于本地的流量检测引擎、漏扫引擎结合,包 括但不限于: IP 信誉库、MD5、漏洞等。 |
|
38 |
产品资质 |
★产品具有公安部主机文件监测产品(基本级)的检测报告,产品具有公安部计算机信息系统安全专用产品销售许可证,产品具有计算机软件著作 权等级证书。 |
3 APP 应用安全检测
|
功能指标 |
参数要求 |
|
平台功能 |
1、Android 和 IOS 须为统一的一个检测平台或工具; 2、应用风险趋势分析:通过多样化的图表展示分析结果,呈现发生最多的安全漏洞等安全趋势; 3、批量统计分析:可对至少 50 个应用的测评结果统计分析,并且以报告的形式展示,包括应用得分、问题项目发生占比等; 4、应用安全性版本管理:统计应用不同版本之间的安全性对比,对比结果可以在系统界面查看或输出报告; 5、检测结果编辑:针对自动化检测后的结果,可根据人工审核后的情况和应用自身的业务特点等,对检测结果进行编辑,如可对确认无害的问题调整结果为通过。可编辑内容包括检测结果、问题代码详情以及人工验证截图上传等,编辑完成可输出最终报告; 6、检测结果源数据导出:可根据用户账号、检测时间进行筛选,导出相应的检测结果源数据 excel,便于对数据进行二次加工分析; 7、检测规则管理功能:可自主设置检测项目的评分规则、风险等级、修复建议等内 容。 |
|
检测项数 量要求 |
1、Android 安全检测项至少 80 项; 2、IOS 安全检测项至少 40 项。 |
|
Android 检测功能 |
1、动态检测:结合模拟器设备或真机设备,快速安装应用,启动应用后模拟实时动态攻击,通过应用响应的行为及日志检测应用中存在的风险和漏洞,须至少包含 10 个具有动态检测项; 2、病毒检测:须具备 3 家国内外杀毒引擎,扫描移动应用文件内容,检测移动应用是否含有木马、病毒特征; 3、权限检测:通过扫描 APP 配置文件和代码逻辑,发现 APP 申请了哪些权限,以及 APP 在运行过程中实际使用了哪些权限 具备行为检测能力,可以检测 APP 的行为信息; 4、混合开发 APP 检测:针对混合开发的 APP(即部分功能是 HTML5 开发的),能够实现其中 HTML5 的安全检测,能够检测代码是否存在数据泄露、代码缺陷等安全隐患; 5、SDK 检测:支持至少 40 项测评项,覆盖自身安全、本地数据存储安全、内部数据 交互安全和恶意攻击防范防范能力等类别的安全问题。 |
|
检测报告要求 |
1、可自动化输出标准分类的检测报告,和对标 OWASP Mobile TOP10 的检测报告; 2、支持多个应用检测结果的统计分析,并输出分析报告; 3、支持应用多个版本的安全检测结果分析,并输出版本统计分析报告。 |
|
软件授权 |
★提供不少于 5 个 APP 双端(包括安卓和 IOS)安全检测,每个 APP 在服务器内检测次数不限。 |
2 标段等保测评服务
一、项目背景及详细要求
- 项目背景
等级保护是国家关于网络安全的基本政策和法律要求,《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号),(以下简称27号文)明确要求我国信息安全保障工作实行等级保护制度,提出“抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。
2017年6月1日实施的《中华人民共和国网络安全法》第二十一条、第三十八条明确要求实行网络安全等级保护制度,关键信息基础设施的运营者应当自行或委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估。
为进一步加强宁夏回族自治区水利厅网络安全防护能力,切实做好2020年度信息系统安全等级保护测评工作,根据《中华人民共和国网络安全法》《信息安全等级保护管理办法》《宁夏回族自治区计算机信息系统安全保护条例》《网络安全等级保护测评机构管理办法》等相关规定, 结合我厅实际,制定本方案。
- 项目目的
通过等级保护测评工作发现信息系统在安全方面的不足之处,找出宁夏回族自治区水利厅各信息系统与国家和行业等级保护标准要求和之间的差距,可以有效地提高宁夏回族自治区水利厅网络安全建设的整体水平,并且指明方向,有利于在信息化建设过程中同步建设网络安全设施, 保障网络安全与信息化建设相协调;有利于加强对涉及国家安全、经济秩序、社会稳定和公共利益的信息系统的安全保护和管理监督;有利于明确国家、法人和其他组织、公民的安全责任,强化政府监管职能,共同落实各项安全建设和安全管理措施。为信息系统的安全提供合理化建议, 并协助宁夏回族自治区水利厅设计详细和合理的等级保护整改方案,通过安全建设整改工作能够使各信息系统达到相应安全保护等级的能力要求。具体如下:
- 通过等级保护预测评,对宁夏回族自治区水利厅信息系统安全防护体系能力的分析与确认,发现存在的安全隐患,协助进行整改,全面达到国家网络安全等级保护相关要求;
- 对宁夏回族自治区水利厅信息系统的安全状态做出判断,验证其是否符合等级保护要求,提出安全防护相关合理化建议,提升安全运维水平。同时,将测评结论作为进一步完善系统安全防护措施的依据。
- 提升宁夏回族自治区水利厅网络安全事件应急响应及安全事件分析,使技术人员更全面掌握了解信息系统安全状况,提升人员安全威胁处置能力。
- 遵循国家等级保护有关规定的要求,对信息系统安全建设进行符合性测评,出具网络安全等级保护测评报告。
- 项目内容
1、对以下完成定级备案的信息系统按照等保2.0相关要求开展信息系统网络安全等级保护测
评和风险评估工作,并对差距项提出整改建议。
|
序号 |
系统名称 |
服务内容 |
系统级别 |
|
1 |
国家防汛抗旱二期项目宁夏应用系统 |
等级保护测评及风 险评估服务 |
三级 |
|
2 |
宁夏水利网 |
等级保护测评及风 险评估服务 |
三级 |
|
3 |
宁夏水资源监控管理系统 |
等级保护测评及风 险评估服务 |
三级 |
|
4 |
宁夏水利数据中心 |
等级保护测评及风 险评估服务 |
三级 |
|
5 |
宁夏水利厅视频级联集控系统 |
等级保护测评 |
二级 |
|
6 |
宁夏水利厅行政审批系统 |
等级保护测评 |
二级 |
|
7 |
宁夏水利厅财务信息化系统 |
等级保护测评 |
二级 |
|
8 |
宁夏水利厅新公文处理系统 |
等级保护测评 |
二级 |
|
2、针对宁夏回族自治区水利厅网络安全工作提供以下安全服务。
- 项目依据
参考:
- 《中华人民共和国网络安全法》
- 《中华人民共和国计算机信息系统安全保护条例》(国务院 147 号令)
- 《计算机信息系统 安全保护等级划分准则》(GB 17859-1999)
- 《信息系统安全等级保护实施指南》 (GB/T25058-2010)
- 《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)
- 《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019)
- 《信息安全技术 网络安全等级保护定级指南》(GB/T 22240-2018 试行稿)
- 《信息安全技术 网络安全等级保护安全设计技术要求》(GBT 25070-2019)
- 《信息安全技术 网络安全等级保护测评过程指南》(GBT 28449-2018)
- 《信息安全技术 网络安全等级保护测试评估技术指南》(GB_T 36627-2018)
- 《信息安全等级保护管理办法》(公通字[2007]43 号);
- 《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》(公信安
[2010]303 号);
- 《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安[2009]1429 号);
- 《网络安全等级保护测评报告模板(2019 版)》
- 委托测评协议书等
- 项目要求
- 自项目合同签订之日起,40个工作日内完成系统梳理和测评工作并出具测评相关报告。
- 现场测评活动中,必须使用漏洞扫描、渗透测试等验证性测试方法,对宁夏回族自治区水利厅的信息系统进行全面的工具测试,确保全面的找出系统的漏洞薄弱点,并协助建设方完成漏洞修复或风险降低工作。
- 服从我厅组织安全等级保护测评工作统一协调,且必须在项目实施期间派驻至少7名丰富实施经验的测评师参与,其中高级测评师1名,中级测评师2名,初级测评师4名。
- 中标方须提供完善的测评实施方案和计划、测评方案,经我厅审核通过后实施,完成我厅对安全管理制度的补充完善和整理工作,配合对我厅信息系统进行整改测评服务。
- 中标方须与我厅签订项目合同、保密协议和现场评测授权书、风险预判告知书,核实驻场测评师资质与投标时对本项目配备的测评师是否一致。确因工作调配需更换测评师,需提前10 个工作日向我厅信息数据管理中心书面报备,并提供更换测评师资质证明。
- 中标方测评结束后,中标方需免费提供整改咨询服务和免费质保服务,并提供为期一年的售后服务,就本项目成果中的具体内容提供解释,提供信息系统等级保护工作的技术支持,以帮助招标人提高安全防护能力。
- 在合同服务期内,中标方须提供应急事件处理及应急响应服务。一旦被测系统出现紧急
重大安全事件,受到用户方的服务请求,测评单位工程师在3小时内到达用户现场,提供服务。二、测评工作内容
- 等级测评内容
测评的内容包括但不限于以下内容:
- 安全技术测评:包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等五个方面的安全测评;
- 安全管理测评:安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等五个方面的安全测评。
- 安全物理环境
根据宁夏回族自治区水利厅信息系统机房和现场安全测评记录,针对机房和现场在“物理位置选择”、“物理访问控制”、“防盗窃和防破坏”、“防雷击”、“防火”、“防水和防
潮”、“防静电”、“温湿度控制”、“电力供应”和“电磁防护”等物理安全方面所采取的措
施进行,判断出与其相对应的各测评项的测评结果。
- 安全通信网络
安全通信网络现场测评主要针对系统网络架构方面,在“网络架构”、“通信传输”、“可信验证”等网络安全方面所采取的措施进行检查,判断出与其相对应的各测评项的测评结果。
- 安全区域边界
安全区域边界现场测评主要针对网络安全区域边界进行测评,测评内容包括“边界防护”、
“访问控制”、“入侵防范”、“恶意代码防范和垃圾邮件防范”、“安全审计”、“可信验证”等。
- 安全计算环境
安全计算环境现场测评主要针对系统网络设备、安全设备、服务器、数据库、应用系统等资产进行现场测评,测评内容包括“身份鉴别”、“访问控制”、“安全审计”、“入侵防范”、
“恶意代码防范”、“可信验证”、“数据完整性”、“数据备份和恢复”、“剩余信息保护”、“个人信息保护”等方面。
- 安全管理中心
安全管理中心现场测评包括“系统管理”、“审计管理”等方面的测评。
- 安全管理制度
根据现场安全测评记录,针对宁夏回族自治区水利厅信息系统在安全管理制度方面的“安全策略”、“管理制度”、“制定和发布”以及“评审和修订”等测评指标,判断出与其相对应的各测评项的测评结果。
- 安全管理机构
根据现场安全测评记录,针对宁夏回族自治区水利厅信息系统在安全管理机构方面的“岗位设置”、“人员配备”、“授权和审批”、“沟通和合作”以及“审核和检查”等测评指标,判断出与其相对应的各测评项的测评结果。
- 安全管理人员
根据现场安全测评记录,针对宁夏回族自治区水利厅信息系统在人员安全管理方面的“人员录用”、“人员离岗”、 “安全意识教育和培训”以及“外部人员访问管理”等测评指标,判断出与其相对应的各测评项的测评结果。
- 安全建设管理
根据现场安全测评记录,针对宁夏回族自治区水利厅信息系统在系统建设管理方面的“定级和备案”、“安全方案设计”、“产品采购和使用”、“自行软件开发”、“外包软件开发”、
“工程实施”、“测试验收”、“系统交付”、“等级测评”以及“服务供应商选择”等测评指标,判断出与其相对应的各测评项的测评结果。
- 安全运维管理
根据现场安全测评记录,针对宁夏回族自治区水利厅信息系统在系统运维管理方面的“环境
管理”、“资产管理”、“介质管理”、“设备维护管理”、 “漏洞和风险管理”、“网络和系统安全管理”、“恶意代码防范管理”、“配置管理”、“密码管理”、“变更管理”、“备份和恢复管理”、“安全事件处置”、 “应急预案管理”以及“外包运维管理”等测评指标,判断出与其相对应的各测评项的测评结果。
- 项目实施要求
(一)保密要求
投标方对项目实施过程中所获得数据及文档等保密信息,承担以下保密义务:
- 中标方应按要求与宁夏回族自治区水利厅签署保密协议。
- 主动采取加密措施对上述所列及之保密信息进行保护,防止不承担同等保密义务的任何第三者知悉及使用。
- 不得刺探或者以其他不正当手段(包括利用计算机进行检索、浏览、复制等)获取与本职工作或本身业务无关的甲方关于该项目的商业秘密。
- 不得向不承担同等保密义务的任何第三人披露甲方关于该项目的商业秘密。
- 不得允许(包括出借、赠与、出租、转让等行为)或协助不承担同等保密义务的任何第三人使用甲方关于该项目的商业秘密。
- 不论何种原因终止参与甲方关于该项目的工作后,都不得利用该项目之商业秘密为其他与甲方有竞争关系的企业(包括自办企业)服务。
- 该项目的商业秘密所有权始终全部归属甲方,乙方不得利用自身对项目不同程度的了解申请对于该项目的商业秘密所有权,在本协议签订前乙方已依法具有某些所有权者除外。
- 如发现甲方关于该项目的商业秘密被泄露或者自己过失泄露秘密,应当采取有效措施防止泄密进一步扩大,并及时向甲方公司报告。
(二)服务要求
1、提供给甲方与项目相关的技术文档。
2、一旦收到甲方的服务请求,乙方项目组成员应立即给予响应。双方确认需要到现场服务时,从确认时间开始,乙方工程师在 24 小时内到达用户现场,提供服务。
3、提供技术服务热线,并安排专业人员为宁夏回族自治区水利厅解答本项目有关技术问题, 接收到用户要求服务的通知后,有关技术人员应立即做出响应。
- 交付物
根据《网络安全等级保护测评机构管理办法》(公信安〔2018〕765)号要求,成果交付物为:
- 所有登记备案的信息系统出具由测评机构高级测评师审签的正式纸质测评报告3套。
- 所有登记备案的信息系统出具纸质安全整改建议方案3套。
- 所有登记备案的三级信息系统出具风险评估报告2套。
- 测评活动原始记录材料1份。
- 电子版测评报告、风险评估报告、整改方案各一套
- 质量保证
1、为保证网络安全等级测评项目质量,要求在测评过程中就等级测评过程控制、等级测评过程监督、等级测评结果的验证等方面严格按照国家相关标准要求执行。
2、参与等级测评的每个人都应具有等级测评师安全服务资质。
3、等级测评结果必须通过宁夏回族自治区水利厅组织的评审和审批。
收藏