采购需求

01 包-05 包：攻击队 

一、项目概况 

近几年，外部网络安全威胁形势越来越严峻，攻击活动呈现新特征，涵盖了大规模针对性的网络攻击、潜在的 APT 攻击、教育行业攻击和数据泄露等等。为保障教育行业网络安全，促进教育信息化健康发展，在国家和教育部开展攻防演练前开展针对 80 余家单位的攻击演练测试工作，验证各单位网络安全防护措施和能力，应对可能发生的安全风险事件，以攻促防，推进深化各单位技术安全体系建设。

本项目将根据网络安全法及国家网络安全等级保护等相关要求，业务的实际安全需求，结合其业务的实际特性，通过实战化的攻防演习，让未知风险水落石出，使北京市教育委员会能够直观看到目标系统面临的网络安全威胁，同时促使北京市教育委员会对网络安全的风险认知从基于安全漏洞类型、数量和严重程度等方面的风险认知过渡到基于损失程度以及危害程度的影响认知。

二、项目目标 

攻击情报收集：收集包括组织架构、IT 资产、敏感信息泄露、供应商信息等。攻击利用漏洞或社工等方法去获取外网系统控制权限，进行横向渗透。

技术专家服务：协助演练参加单位，事后协助追溯并修复漏洞。

技术专家服务：跟踪事件处置人员对确认的攻击处置情况。指导安全运营团队、软件开发商等相关部门进行风险整改工作。

技术专家服务：协助提供后续遏制攻击，防止漏洞风险蔓延的技术指导。

三、工作内容

1.攻击情报收集：收集包括组织架构、IT资产、敏感信息泄露、供应商信息等。

2.攻击利用漏洞或社工等方法去获取外网系统控制权限，进行横向渗透。

3.技术专家服务：协助演练参加单位，事后协助追溯并修复漏洞。

4.技术专家服务：跟踪事件处置人员对确认的攻击处置情况。指导安全运营团队、软件开发商等相关部门进行风险整改工作。

5.技术专家服务：协助提供后续遏制攻击，防止漏洞风险蔓延的技术指导。提供不少于8家参演单位的攻击报告。高级工程师带队，作为项目经理，团队不少于5人（项目经理1人，技术负责人1人，参与工作人员3人），提供10-15天的攻击服务。

服务需执行的的国家标准或者其他规范；

《中华人民共和国网络安全法》

《中华人民共和国个人信息保护法》

《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）

《关于加强信息安全保障工作的意见》（中办发〔2003〕27号）

《信息安全技术信息安全风险评估规范》（GB/T20984-2022）GB/T 18336（ISO/IEC 15408）信息技术安全评估准则

GB/T 22080（ISO/IEC 27001）信息安全管理体系要求

GB/T 20985.1-2017（ISO/IEC JTC1 SC27）信息安全事件管理第1部分：事件管理原理

ISO/IEC 27035-2信息安全事件管理第2部分事件响应规划和准备指南。

四、项目实施时间及地点

实施时间：北京市数字教育中心指定时间。实施地点：北京市数字教育中心指定地点。

五、服务要求

1.客观性和公正性原则

服务人员应当没有偏见，在最小主观判断情形下，按照双方相互认可的实施方案，基于明确定义的服务方式和解释，实施评估活动。

2.规范性原则

服务项目的实施必须由专业的服务人员依照规范的操作流程进行，对操作过程和结果要有相应的记录，并提供完整的服务报告。

3.标准化原则

服务过程须严格遵守国家的相关法律、法规、规范、标准等相关要求。

4.完整性原则

在服务过程中，必须确保项目数据、过程记录的完整性。项目内容要综合考

虑所有对象的技术措施，并建立完整有效的项目流程，保证不存在影响项目结果的疏忽或遗漏。

5.质量保障原则

在整个项目过程中，须特别重视项目质量管理和风险评估咨询保障工作。项目的实施将严格按照项目实施方案和流程进行，提供切实可行的咨询意见和建议，并由项目协调小组从中监督，控制项目的进度和质量。

6.影响最小原则

服务工作应该尽可能减小对系统和网络正常运行的影响，不能对业务的正常运行产生明显的影响（包括系统性能明显下降、网络阻塞、服务中断等），如无法避免，则应做出说明，采取必要的措施将相关风险降到最低。

7.保密性原则

在服务过程中，需严格遵循保密原则，双方签订保密协议，对服务过程中涉及到的任何用户信息未经允许不向其他任何第三方泄漏，以及不得利用这些信息损害采购方利益。演练过程中禁止使用DOS/DDOS等影响系统正常运行的攻击手段。对演练过程中发现的漏洞、敏感信息严格保密，禁止传播，演练结束后需对相关数据进行删除，与攻击队所属公司及所属个人均签订保密协议，演练过程中发现的漏洞不得用于其他商业或非商业用途（包含但不限于分享、上传、出售等），项目完成立即删除数据。

8.合同期内服务供应商应及时与采购人沟通，协助把控整体攻防过程，及时应对可能出现的风险，提供相关报告。

本次项目服务以获取权限和敏感数据为目标，演练攻击不限于主机、中间件、应用配置、授权认证、功能逻辑、参数处理等多个维度的安全性，攻击队可以多渠道打点测试，并拿到靶标。

9.接采购方通知后，技术人员需要按采购方要求时间安排部署就位。

六、验收要求：

1、履约验收主体：甲方组织项目验收工作，甲乙双方共同参与；

2、履约验收方式：甲方邀请相关行业专家开展履约验收；

3、履约验收内容：根据北京市数字教育中心系统验收要求提供相关材料；

4、履约验收标准：通过专家评审验收，针对上述工作要求及服务要求等内

容及实施周期要求进行综合评审。并且通过提供相关的服务报告及服务过程文档材料，证明项目完成质量达标。

5、履约验收时间：北京市数字教育中心指定时间。

06包：防守队

一、项目概况

近几年，外部网络安全威胁形势越来越严峻，攻击活动呈现新特征，涵盖了大规模针对性的网络攻击、潜在的APT攻击、教育行业攻击和数据泄露等等。为保障教育行业网络安全，促进教育信息化健康发展，在国家和教育部开展攻防演练期间进行安全监控、防护以及应急处置。

相关处置过程保证公平公正，迅速准确，判断和发现攻击路径，提供防守报告和整改的意见建议。

二、项目目标

（1）技术目标

2023年攻防演练期间开展驻场防守服务，结合当前已经具备的安全技术和安全设备形成完善的安全防护体系，构建信息系统的安全运行环境，使教委业务系统能够安全、稳定、高效地运行，提高工作人员和外部相关单位对信息系统的使用信心和依赖程度，在此基础上更好地推进教育信息化建设。

（2）业务目标

贯彻落实《北京市“十四五”时期教育改革和发展规划》、《北京教育信息化“十四五”规划》、《2022年北京市教育信息化和网络安全工作要点》关于“健全防护体系，提升教育系统网络安全保障能力”，“提升网络安全事件监测、研判、预警和应急处置能力”，“保障教育系统网络安全”等政策文件要求，积极开展攻防演练服务，为各级各类教育系统提供便捷、稳定、安全的信息化服务。

三、工作内容

在2023年攻防演练驻场防守期间通过对各种安全设备以及信息系统进行实时监控和记录，对产生的日志进行汇总分析，快速检测和响应潜在的攻击事件。对发现的攻击行为进行溯源和确认攻击者的身份。

追踪事件处理的整个生命周期，确保对确认的攻击进行了有效的处置。并记录所有相关的事件数据和日志信息。

攻防演练期间或演练结束后，项目经理负责指导安全运营团队、软件开发商等相关部门进行风险整改工作，对整改工作的实施情况进行跟踪和监督，并根据实际情况调整整改工作内容。

攻防演练期间需提交不少于15份防守报告、合计不少于30人的驻场保障服务和提供7x24小时远程专家值守服务，确保北京市教委业务系统安全稳定运行。

服务需执行的的国家标准或者其他规范；

《北京市“十四五”时期教育改革和发展规划》

《北京教育信息化“十四五”规划》

《2022年北京市教育信息化和网络安全工作要点》

《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）

《GB 17859-1999计算机信息系统安全保护等级划分准则》

《信息安全技术网络安全等级保护实施指南》（GB/T 25058-2019）

《信息安全技术网络安全等级保护定级指南》（GB/T 22240-2020）

《信息安全技术网络安全等级保护安全设计技术要求》（GB/T 25070-2019）

《信息安全技术网络安全等级保护测评要求》（GB/T 28448-2019）；

《信息安全技术网络安全等级保护测评过程指南》（GB/T 28449-2018）；

《GB/T 22239-2019信息安全技术网络安全等级保护基本要求》

《GB/T 20984-2022信息安全技术信息安全风险评估方法》

四、项目实施时间及地点

实施时间：北京市数字教育中心指定时间。实施地点：北京市数字教育中心指定地点。

五、服务要求

项目实施总体原则：

最小影响原则：本项目工作应尽可能小的影响系统和网络的正常运行，不能对现有网络的运行和业务的正常运行产生明显影响。方案的设计和实施应在保证系统安全性的基础上，尽可能减小对业务系统和网络的正常使用运行；

可控性原则：实施方法和过程需要在双方认同（认可）的范围之内，各项安全服务进度要严格按照项目工作计划执行，保证对项目工作的可控性；

整体性原则：项目的工作内容要求做到体系完整、全面；

标准性原则：方案的设计与实施应依据国内或国际的相关标准进行；

规范性原则：服务实施过程和交付物文档，要求具有规范性，便于项目的跟踪与控制；

保密原则：对项目实施中产生的数据和结果数据严格保密，未经授权不得泄露给任何单位和个人。

服务间供应商应及时与采购人沟通，不能存在安全隐患。接采购方通知后，技术人员须在2小时内到达指定地点。

六、验收要求：

1、履约验收主体：甲方组织项目验收工作，甲乙双方共同参与；

2、履约验收方式：甲方邀请相关行业专家开展履约验收；

3、履约验收内容：根据北京市数字教育中心系统验收要求提供相关材料；

4、履约验收标准：通过专家评审验收，针对上述工作要求及服务要求等内容及实施周期要求进行综合评审。并且通过提供相关的服务报告及服务过程文档材料，证明项目完成质量达标。

5、履约验收时间：北京市数字教育中心指定时间。