项目说明和采购需求

 

（一）项目概况

为深入落实《中华人民共和国网络安全法》、《中华人民共和国密码法》、《关键信息基础设施安全保护条例》，进一步加强宁夏回族自治区水利厅网络安全基础防护能力，安全保障能力和应急处置能力，认真贯彻和执行网络安全等级保护要求、应急演练要求、密码测评要求， 开展水利厅网络安全驻场运维服务、网络安全等级保护测评服务、网络安全攻防演练服务、信息系统密码测评和整改服务。  

（二）采购需求

 本项目采购内容为网络安全攻防演练服务、

（三）采购项目预（概）算

3 标段预算： 40 万元； 

采购标的汇总表

（四）采购依据

1.《中华人民共和国网络安全法》

2.《中华人民共和国计算机信息系统安全保护条例》（国务院 147 号令）

3.《信息安全技术 网络安全等级保护安全设计技术要求》（GBT 25070-2019）

4.《信息安全技术 网络安全等级保护实施指南》 (GB/T 25058-2019)

5.《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）

6.《信息安全技术 网络安全等级保护测评要求》（GB/T 28448-2019）

7.《信息安全技术 网络安全等级保护定级指南》（GB/T 22240-2020）

8.《信息安全等级保护备案实施细则》（公信安[2007]1360 号）

9.《信息安全技术 网络安全等级保护安全设计技术要求》（GBT 25070-2019）

10.《信息安全技术 网络安全等级保护测评过程指南》（GB/T 28449-2018）

11.《信息安全技术 网络安全等级保护测试评估技术指南》（GB/T 36627-2018）

12.《信息安全技术 信息安全风险评估方法》（GB/T20984-2022）

13.《网络安全等级保护测评报告模板（2021 版）》

14.《信息安全技术信息系统密码应用基本要求（GB/T39786）

15.《信息系统密码测评要求（试行）》

16.《商用密码应用安全性评估测评过程指南（试行）》

17.《商用密码应用安全性评估测评作业指导书（试行）》

（五）技术商务要求

3标段：2022年水利厅网络安全攻防演练服务

1.技术要求

本项目负责宁夏回族自治区水利厅的应急对抗演练的方案编制、协助组织全流程网络安全应急对抗演练及加固指导服务等。

1.1演练方案的编制准备工作

中标方应提前开展以下准备工作：

（1）调研信息系统状况。全面调查本部门、本单位信息系统状况，重点了解安全等级、承载业务的重要程度、受众规模，分析、梳理形成本部门、本单位重要信息系统目录，提出参演建议。

（2）开展风险分析。对重要信息系统进行风险评估，查找安全风险，分析可能出现的 安全事件，并对安全事件及次生、衍生安全事件可能造成的后果进行预测。

（3）根据网络入侵攻击、DDOS 攻击、网页篡改、重要数据泄露、木马病毒等安全风险威胁场景，制定针对性应急预案和处置脚本。

（4）明确相关人员。对照《信息安全事件分类分级指南》，对可能产生 IV 级以上（含） 安全事件的信息系统，确定响应与处置安全事件的指挥机构、办事机构、责任处室、责任人员，确定技术专家、专业技术机构等技术支撑队伍。

（5）应急保障。对水利厅应急保障能力评估，对本部门、本单位应急装备、技术支援能力等应急处置能力进行客观评价。

（6）开展相关培训：相关法律、法规、行业规范、技术规范、标准等；重要信息系统的技术资料（如网络拓扑图、信息系统结构、已有安全设备使用说明等）；应急红蓝对抗加固、防护、整改知识指南及应急处置等。

1.2网络安全应急对抗演练工作

中标方从设计演练组织结构，制定演练规则，协助演练准备，协调演练过程，搭建部署安全可靠的演练平台，监控攻击方行为，展示演练实况，裁决对抗成果，场地布置、会议筹备、演练宣传、手册编印、专家组织、组织队伍、后勤保障、应急响应、事后总结、指导整改加固、数据安全保障等方面综合支撑水利厅组织的应急对抗演练。

（1）搭建综合应急对抗演练平台

应急对抗演练平台包括但不限于：

后台管理：主要对演习过程进行集中管理，包括：平台管理、队伍管理、人员管理、资产管理、成绩管理、报表管理和日志管理、角色权限管理等；

行为审计：为攻击人员分配网络资源，攻击方通过平台接入演习环境，全程监控，记录演习过程中所有的攻击行为，审计及分析日志及流量，包括：应急处置、追踪溯源、漏洞特征分析、攻击行为手段分析，审计人员、专家组人员都可以通过平台对攻击组人员的攻击行为进行分析和确认，以判断所有攻击行为是否合规，防止攻击方人员越界做破坏行为，以保证整个演习过程的安全。

可视化：可以通过展示大屏，展示演习实况，成果展示、演习可用性检测、网络监控等。

全流程监控：对演习的攻守双方进行实时监控，通过监控各角色人员行为保障演习过程安全可控。包括：裁判人员行为监控、运维人员行为监控、审计人员行为监控、防守方行为监控、进攻击方行为监控。

1.3演练平台部署

系统平台采用本地部署方式。

1.4规模和周期要求

（1）演练周期为 5 天（含启动会、复盘总结会）。

（2）中标方负责演练的方案、手册、秩序册、活动场地的布置、培训的组织，配合招标人完成启动会、复盘总结会、培训等相关工作。

（3）红方队伍由中标人组建，提供 4 支安全攻击队伍，每支队伍 3 人（参演成员须具备网络安全相关证书或参赛经验、严格审查参演人员资质、背景），并协助组建裁判组 3 人、专家组 3 人。

（4）搭建可视化、可审计安全演练平台，能体现对抗过程中的队伍信息、竞赛轮次、竞赛排名、竞赛得分、被攻陷系统等攻击实战数据。

（5）中标人要配备 2 名专职人员做好演练的准备活动、启动会、正式演练、复盘总结会等全流程环节管控。

2.商务要求 

服务期限：自合同签订之日起至2022年10月30日前完成。

项目地点：宁夏回族自治区水利厅。

付款条件：根据水利厅工作安排，项目全部内容实施完毕后，经甲方确认，如不发生扣减服务费用事项，出具验收单，乙方开具正式合法发票后一次性支付全部款项。

3.服务要求 

（1）协助建立演练组织指挥中心，负责演练的统一部署、组织协调和过程控制，确保 演练工作安全推进，达到预期目标。

（2）制定完善的对抗演练方案，成立演练工作组，明确人员分工及攻击方和防守方规则和要求。

（3）演练前，对防守方进行安全检查加固指导，以便做好防守准备。对攻击方进行安全检查，确保攻击行为安全可控。演练时，中标方全程派人值守，确保出现问题第一时间解决， 第一时间配合应急处置，做好现场秩序管理和服务支持。演练结束，攻方停止攻击，协助相关业务进行系统功能测试，确保经过演练，各系统使用正常。检查攻击方数据、彻底清除演练数据回收相关资料，确保数据安全。

（4）攻击方以人工渗透测试为主，坚决杜绝有明令禁止的攻击手段，如有发现第一时间告知甲方并采取措施。

（5）详细记录演练双方演练过程数据，向指挥人员、参观人员介绍对战过程，展示各项数据信息。对演练进行全面总结，公布问题、分析原因、提出整改建议。提交工作总结报告。

（6）对演练过程中检测出的安全漏洞及隐患做好保密，仅提供甲方系统整改使用，确保攻击方不留存、不传播、不利用。

（7）指导甲方系统恢复运行、漏洞修复及整改加固。

（8）如有实际需求调整，经甲乙双方协商后开展。