采购内容及要求
一、(根据本项目实际情况,填写“采购标的”或“项目概况”)
(一)本项目为福建省图书馆2024年度网络与安全运维服务采购项目,是为了让福建省图书馆更好地应对当前严峻的网络安全形式,提升整体的网络安全防御保障能力,根据省委网信办和省文游厅对网络安全工作的部署要求,以及《网络安全法》关于等级保护2.0建设标准的相关要求开展。
1、供应商应以包括服务所涉及的有关项目的所有费用进行报价,包括:作业人员工资(不低于福州市最低工资标准)、国家规定的五险一金,作业人员休息日和法定节假日的加班费,办公费用、活动费用、宣传费用、培训督导费用、管理费用,利润,税金等一切费用;采购人不再承担任何费用。供应商还需考虑到合同中可能出现的索赔和变更。
2、成交人不得转包他人,若发现转包,采购人有权终止协议,并由成交人承担相关责任。
3、除本磋商文件条款另有规定的要求外,本次招标服务标准还应符合国家和省市、区行业相关的标准及有关规定。如上述标准及规定有矛盾的,则以较严格的现行标准、规定为准。
(二)项目内容框架
本次福建省图书馆2024年度网络与安全运维服务采购项目内容包括:
服务类别 |
服务项目 |
服务内容 |
服务次数 |
服务交付成果 |
一、网络安全与运维服务 |
网络运维服务 |
网络运维服务 |
全年 |
全年运维记录 |
网络安全运维服务 |
现场安全巡检服务 |
一年至少4次 |
《现场安全巡检报告》至少4份 |
|
主机安全评估服务 |
一年至少4次 |
《安全评估报告》至少4份 |
||
渗透测试服务 |
一年至少4次 |
《安全检测报告》至少4份 |
||
入侵防护服务 |
一年至少4次 |
《服务器入侵清查报告》至少4份 《安全措施有效性验证报告》至少4份 |
||
安全加固服务 |
一年至少4次 |
《安全加固报告》至少4份 |
||
应急响应服务 |
全年 |
|
||
应急演练服务 |
一年至少1次 |
5个场景的《网络安全应急预案》、《网络安全应急演练报告》 |
||
网站监控服务 |
全年 |
《网站监控报告》至少12份 |
||
互联网资产暴露面摸排服务 |
一年至少2次 |
《互联网暴露面资产梳理报告》至少2份 |
||
内网资产探测服务 |
一年至少2次 |
《内网资产清单》至少2份 |
||
安全意识培训 |
一年至少2次 |
安全培训材料至少2份 |
||
安全技术培训 |
一年至少1次 |
安全培训材料至少1份 |
||
安全通告服务 |
不定期 |
《安全通告》 |
||
安全驻场 服务 |
安全驻场 服务 |
全年 |
|
|
二、等级保护咨询与测评服务 |
等级保护咨询服务 |
服务内容 |
服务次数 |
等保服务交付成果 |
资产分析服务 |
一年1次 |
《资产报告》 |
||
风险分析服务 |
一年1次 |
《信息系统等级保护风险评估报告》 |
||
差距评估服务 |
一年1次 |
《信息系统等级保护差距评估报告》 |
||
整改建设服务 |
一年1次 |
《安全整改加固工作规范书》 |
||
安全加固服务 |
一年1次 |
《安全加固风险分析及风险规避说明书》 |
||
制度建设辅助服务 |
一年1次 |
《等级保护安全管理制度汇编》 |
||
策略复查服务 |
一年1次 |
《复查报告》 |
||
测评现场辅助服务 |
一年1次 |
|
||
等级保护 测评服务 |
等级保护 测评服务 |
全年 |
|
|
三、数据安全服务 |
|
数据资产分析服务 |
至少 1次 |
《数据资产清单》至少1份 《用户权限清单》至少1份 《个人敏感信息分布报告》至少1份 |
数据资产安全监测服务 |
全年 |
《数据资产安全月监测报告》至少12份 |
||
数据资产风险评估服务 |
至少 1次 |
《数据库暗资产分析报告》至少1份 《数据库系统脆弱性分析报告》至少1份 《数据库系统暴露面现状分析报告》至少1份 《业务系统安全措施有效性分析报告》至少1份 《数据安全风险评估服务报告》至少1份 |
||
数据分类分级服务 |
至少 1次 |
《数据分类分级规范》至少1份 《数据分类分级报告》至少1份 |
||
数据安全权限设计咨询服务 |
至少1次 |
《数据访问权限设计报告》至少1份 |
||
数据安全管理平台 |
全年 |
《数据安全管理平台服务报告》至少1份 |
||
分级分类与安全产品联动服务 |
全年 |
《分级分类与安全产品联动服务报告》至少1份 |
||
四、其他信息安全服务 |
|
SSL加密证书服务 |
全年 |
|
双因子认证服务 |
全年 |
提供双因素认证系统 |
||
本地WEB应用防火墙服务及云端WAF防护服务 |
全年 |
提供WEB应用防火墙和云防护服务 |
||
安全设备维保服务 |
全年 |
提供同等能力或以上能力的安全设备服务 |
二、技术要求
★(一)、服务期限、范围
1、项目期限
服务期限为合同生效后1年,具体服务日期以成交后签订的合同为准。
若因供应商原因导致服务在预定期限内未能完成,供应商应在预定服务期限结束前10个工作日内以书面形式通知采购人,经双方协商一致后,根据合同条款约定和具体协商内容执行。
若因采购人原因导致服务在预定期限内未能完成或验收通过,经双方协商一致,服务期限可延长,采购人根据项目实际服务内容向供应商支付项目成交价10%以内的费用。
2、服务范围
序号 |
系统名称 |
等保级别 |
1 |
图书馆自动化集成系统 |
二级 |
2 |
福建省图书馆网站系统 |
二级 |
3 |
图书馆办公自动化系统 |
二级 |
4 |
福建图书馆学刊稿件采编系统 |
二级 |
5 |
智慧图书馆资源服务基础支撑平台 |
新增 |
6 |
图书馆数字资源访问系统 |
三级 |
7 |
福建省公共数字文化供需对接平台 |
三级 |
8 |
福建省图书馆其他相关系统、网络、设备等 |
|
(二)网络与安全运维服务
1、网络运维服务
1.1、日常运维服务(评审项目1)
针对采购人整体网络与IT设备开展日常运维服务,主要包含:
(1)负责对 PC 机、 笔记本、LED大屏、广告机等设备日常维修维护、硬件与系统故障检测、故障定位、故障排除、小规模移动、定期清洁保养。打印机、扫描仪等外设的日常硬件故障排除。
(2)根据软件正版化要求,对每台PC机、笔记本电脑软件安装情况进行检查和日常管理。
(3)负责对新增 PC 机及相应设备进行硬件安装配置及网络接入,并协助完成技术中心旧设备报废等服务内容。
(4)负责操作系统、应用软件安装配置、软件升级操作指导,故障排除和技术服务响应。负责病毒检测,安装最新防毒软件、病毒库的升级。
(5)全馆网络的运行状态监控、地址管理、故障排查、优化升级等。
1.2、资产分析服务(评审项目2)
(1)根据服务范围内的应用组成,整理各个系统的网络结构拓扑以及相关联的资产,编制信息系统资产清单及资产报告。
(2)对服务范围内信息系统开展物理环境、网络结构、设备配置、应用系统以及管理制度进行调研和梳理,编制信息系统详细描述文档。
1.3、故障排除服务(评审项目3)
当业务网络出现异常无法提供正常服务,或出现降低服务质量的状态时,驻点工程师应及时到达现场针对故障现象进行网络故障定位,及时排除网络故障问题,确保用户业务网络恢复正常运行。对驻点技术人员无法独立解决的故障,将指派技术支持人员进行应急支援,并调动必需的物资、设备,支援工作。法定节假日期间(元旦、五一、国庆、春节等长假),实行值班制度,以保证在节假日期间,能够报修接报有响应,突发事件能处理。
1.4、网络巡检服务(评审项目4)
(1)每日巡查
根据上班时间,每日检查1次机房运行情况和大屏、广告屏内容播放情况,同时巡检过程中有发现其他异常,也需同步汇报。
巡检大屏、广告屏内容播放情况是否正常。检查内容如下(包括但不限于):大屏、广告屏是否有损坏、大屏、广告屏是否正常播放、内容是否有违规内容、相关裸露接口是否有封贴等。
(2)每周巡查
每周巡检1次网络设备、安全设备、服务器的系统运行状态,做好日志记录。当设备调整策略后,验证调整后的安全策略有效性以及检查该设备的运行状况;当新安全设备接入时,驻点工程师检查该设备的安全基线,并记录新设备接入情况。
巡检内容如下(包含但不限于):检查设备的系统运行状态,CPU、内存、磁盘空间、网络流量等性能信息;检查设备的版本信息、特征库及规则库信息;检查设备的配置变更记录及并做好配置备份;新安全设备接入安全基线检查,并做好新设备接入做好记录;检查设备的相关报警与错误信息,并对可能发生的威胁进行排查。
1.5、资产暴露面探测服务(评审项目5)
应用技术手段对我馆业务系统开展相关信息和资产收集,分析业务系统的薄弱环节。从IT资产情报、敏感信息、攻击路径梳理、互联网攻击面、外部接入网络、隐蔽入口等维度对资产暴露面进行检测与收敛分析,能对形成的信息风险威胁制定有安全防护措施,指导完成风险的处置工作。
(1)基于云端安全运营服务平台对目标系统开展相关信息和资产收集,分析福建省图书馆的薄弱环节。从IT资产情报、敏感信息、攻击路径梳理、互联网攻击面、外部接入网络、隐蔽入口等维度对资产暴露面进行检测与收敛分析,能对形成的信息风险威胁制定有安全防护措施,指导完成风险的处置工作。
(2)通过平台工具自动化和人工梳理手段发现资产,结合资产分类与管控流程,形成动态的资产发现与管理能力,资产管理包括硬件资产、软件资产和应用资产,对信息系统资产进行动态更新。
(3)按照业务系统重要程度以及等级保护定级情况,为福建省图书馆建立业务系统资产台账,涵盖所使用系统、应用、中间件、数据库及其版本号,登记业务系统相关责任人、维护单位联络人。
(4)通过定期扫描业务系统变更情况,定期监控业务系统资产版本升级状态,确保业务系统台账动态更新。
1.6、协助安全检查服务(评审项目6)
制订每次安全检查实施细案,协助开展网信、网安等相关部门要求的网络安全自查及抽查工作服务。
(1)检查资产台账梳理
协助福建省图书馆开展安全检查资产台账梳理。
(2)重要系统和个人数据整理
协助福建省图书馆对重要系统和个人数据进行调查摸底工作,将重要系统及个人数据进行收集,配合福建省图书馆进行整理。
(3)网络安全检查
在省网络安全主管部门开展网络安全大检查期间,组织一支技术支撑队伍,配合福建省图书馆做好自检工作和检查时现场技术支撑,配合整理安全管理方案。
(4)其他检查
根据福建省图书馆的工作需求,协助开展其他相关安全检查工作,按需编写相关方案,提供服务技术支撑。
2、网络安全运维服务
2.1、服务范围
序号 |
系统名称 |
等保级别 |
1 |
图书馆自动化集成系统 |
二级 |
2 |
福建省图书馆网站系统 |
二级 |
3 |
图书馆办公自动化系统 |
二级 |
4 |
福建图书馆学刊稿件采编系统 |
二级 |
5 |
智慧图书馆资源服务基础支撑平台 |
新增 |
6 |
图书馆数字资源访问系统 |
三级 |
7 |
福建省公共数字文化供需对接平台 |
三级 |
2.2、现场安全巡检服务(评审项目7)
定期派遣专业技术人员到现场对目标系统服务器、网络设备、安全设备、数据库等进行安全核查,进行全面的系统漏洞扫描和安全配置检查,清晰定性安全风险,发现高危漏洞,及时开展安全加固工作,并在每次安全巡检后提交安全巡检报告(每季度至少一次)。
2.3、主机安全评估服务(评审项目8)
主要包含主机系统漏洞扫描服务、主机系统配置核查服务、主机中间件安全评估服务、数据库系统安全评估服务。
(1)主机系统漏洞扫描服务
定期每季度1次针对主机系统进行漏洞扫描、端口扫描、弱口令扫描等,覆盖系统的补丁、服务的开放性及安全研究机构发现的系统问题等,发现系统本身的各种问题。
(2)主机系统配置核查服务
针对主机系统进行配置核查,覆盖系统管理方面和安全加强方面的问题,用于识别由于系统管理员本身的管理不善而带来的安全性问题。
(3)主机中间件安全评估服务
针对Apache/IIS/Tomcat/Weblogic等Web应用服务器(中间件),从协议安全、交易完整性、数据完整性等方面进行识别和评估,评估脆弱性和风险。
(4)数据库系统安全评估服务
结合工具检测和人工安全审查方式来挖掘数据库系统的脆弱性和安全性问题,主要评估系统安全漏洞、安全配置不正确带来的安全威胁以及由于系统账号、权限等配置不严谨而产生的安全风险。帮助采购人及早发现数据库系统存在的风险,避免造成敏感信息泄漏的后果。
2.4、渗透测试服务(评审项目9)
模拟黑客攻击测试网站,通过安全专家测试发现平台工具无法检测到的漏洞与威胁,每季度至少一次,每次渗透测试后提交安全检测报告。
(1)配置管理;
(2)身份认证;
(3)会话管理;
(4)授权测试;
(5)上传下载;
(6)信息泄漏;
(7)数据存储;
(8)OWASP 10大漏洞。
2.5、入侵清查服务(评审项目10)
定期每季度1次开展入侵清查服务,服务完提交《服务器入侵清查报告》和《安全措施有效性验证报告》,服务器入侵清查服务包含:
(1)网页木马查杀:针对网站源代码进行Webshell查杀,深入检查包括上传图片、文本、脚本以及其他可疑的网站后门程序。
(2)系统后门检查:网站被入侵潜伏后,通常存在隐藏比较深的系统后门(Rootkit),重点发现绕过杀毒软件的系统后门。
(3)入侵痕迹检查:针对主机账号、启动项、进程、网络连接等进行检查。
(4)日志分析服务:根据系统层日志、安全日志、应用层日志以及其他特征发现网站入侵痕迹,避免黑客使用隐藏账户等躲避检查的安全隐患。
▲2.6、安全加固服务
对服务范围内的目标系统进行安全加固服务,并提交《安全加固报告》。加固措施主要包含。
(1)Web源代码审查及加固辅导(至少4次):
发现网站存在高危漏洞,及时采取可行的源代码加固措施,协助开发商进行源代码进行加固。首次安全加固后,应进行漏洞复查和对比,以形成加固前后对比。
(2)主机及服务器系统加固(至少4次):
通过对系统层漏洞检测结果的分析,对在检测中发现的系统安全问题进行安全加固,提高系统的整体安全性能。
(3)Web服务器、虚拟机(中间件)加固辅导(至少4次):
针对Apache/IIS/Tomcat等Web应用服务器、虚拟机(中间件)进行配置加固辅导。
(4)数据库安全加固建议(至少4次):
最大程度降低数据库系统(Mysql、SQL Server,Oracle等)本身的漏洞风险及加强数据库系统账号、密钥、权限等带有安全风险的配置,从而从整体上提升数据库系统的安全性。
▲2.7、应急响应服务
(1)安全咨询服务
提供7×24小时(服务期限内)电话咨询或远程维护方式服务支持,并根据要求提供现场咨询服务。
(2)现场应急响应服务
当单位网络和信息系统遇到黑客攻击或网页篡改等恶性事件,并且远程支持无法解决时,要求2小时内到达现场,实施最有效的紧急救援及恢复补救方案。
对突发网络安全事件提供7×24小时应急响应安全技术远程(现场)支持,以最快速度恢复系统业务,阻止和减小安全事件带来的负面影响,提供事后分析,找出网络或系统的安全漏洞,当远程支持无法解决时,要求半小时内到达现场支持。
(3)安全灾难恢复
当系统由于出现安全事故,造成系统无法正常对外提供服务时,应在安全应急响应时间内,派出应急供应商员协助客户完成包括但不限于:系统安全恢复,应用服务安全恢复,数据安全恢复,网络性能安全恢复,网络病毒灾难恢复等在内的灾难恢复工作。
(4)安全事件入侵追踪和取证
在系统出现各类型安全事件后,负责对安全事件进行分析,开展安全事件入侵追踪和取证、犯罪取证、事后安全分析和处置服务。
2.8、应急演练服务(评审项目11)
根据我馆实际情况对现有场景的《网络安全应急预案》进行优化,至少开展1次应急演练,并提交《网络安全应急演练报告》。
2.9、网站监控服务(评审项目12)
全年通过专业的网站安全监控平台对网站进行以下服务:
(1)网站可用性监控服务:
全年每隔5分钟一次对网站首页进行轮询探测,网站访问不到则通过邮件或短信等方式进行告警,确保网站的可用性、安全性实时掌控。
(2)域名劫持监控服务:
全年每隔5分钟一次对网站首页进行域名劫持探测,一旦发现域名被劫持则通过邮件或短信等方式进行告警。
(3)网页挂马监控服务:
每周一次采用远程监控方式对网站页面进行网页挂马分析,一旦识别到网页挂马行为,则进行邮件或短信进行告警。
(4)网站暗链监控服务:
每周一次采用远程监控方式对网站页面进行暗链分析,一旦识别到网页存在暗链行为,则进行邮件或短信进行告警。
(5)敏感内容监控服务:
每周一次对关键网页的敏感内容进行监控,识别网站存在政治、低俗等敏感内容情况,并进行邮件或短信进行告警。
(6)网站监控人工告警服务:
针对网站监控平台发现的问题,监控平台发送告警信息到监控值班人员的手机,由值班人员进行人工验证,确认为安全事件后,进行人工电话告警。
(7)网站安全监控报告:
安全服务提供商定期汇总安全监控情况,并提交详细的监控报告。
2.10、互联网资产暴露面摸排服务(评审项目13)
通过资产收集工具辅助人工验证,全面梳理福建省图书馆互联网资产(包括但不限于互联网网站及应用、互联网API接口、APP、微信公众号、微信小程序、第三方互联网应用等);收集IT资产信息,包括域名、IP、开放端口、证书信息、单位名称、备案信息、whois信息等作为搜索的敏感特征,再配合关键词如网络架构图、网络拓扑图、邮箱、密码、文件名、通讯录、内部资料、安装说明等在互联网敏感信息暴露源中进行搜索发现。
同时针对所发现的福建省图书馆互联网未报备资产进行通报,确认是否属于正常业务信息系统或API接口,对不属于正常业务信息系统或API接口监督 进行处置并反馈,并根据反馈结果进行核查,复核后更新安全风险跟踪表。
通过资产收集工具辅助人工验证,全面梳理互联网资产、对所发现的未报备资产进行处置和反馈、挖掘暴露的敏感信息,针对发现的敏感信息组织信息清除。交付成果:《互联网暴露面资产梳理报告》
2.11、内网资产探测服务(评审项目14)
针对内网区域开展资产梳理工作,使用工具结合人工对办公网络开展资产探测,发现确认需要开展网络安全保护工作。主要包含如下工作:
(1)对系统用途、系统所属管理机构、关键资产、物理环境及设施、系统运维管理模式、现有安全防护措施等进行调研和分析,为后续开展具体防护工作提供必要依据。
(2)对网络架构进行分析。从网络建设的规范性、可靠性、边界安全、网络协议安全、网络安全管理等多个方面进行综合评估,评估结果包括定性和定量分析。
(3)收集相关重要服务器设备、中间件、数据库系统、应用软件、关联的存储设备、关联的重要网络设备、关联的重要安全设备资产信息。
交付成果:《内网资产清单》。
▲2.12、安全培训服务
(1)安全意识培训服务(至少2次)
由资深的安全服务工程师提供全馆培训服务。培训内容包含但不限于以下方面:安全标准、政策法规解读,信息安全意识、信息安全发展方向,周期性安全服务报告解读,可定制培训内容。培训应交付成果:安全培训材料。
(2)安全技术培训服务(至少1次)
由资深的安全服务工程师提供现场培训服务。培训内容包含但不限于以下方面:网站安全防护、等保安全建设、网络安全技术攻防、无线网络安全防护等,可定制培训内容。培训应交付成果:安全培训材料。
(3)安全通告服务
提供最新的安全动态、技术和安全信息,包括实时安全漏洞通知、定期安全通告汇总和安全知识库更新等。通告内容包括但不限于以下内容:国内外最新重大漏洞、病毒安全通告;国家安全政策及法律法规;同行业安全威胁事件通告;国内外重大安全事件,新技术发展动态通告;重大安全漏洞爆发时需结合资产情况,提出相应修复建议。提交成果:不定期提交《安全通告》。
▲2.13、重要时期安保服务
提供春节、国庆等重要时段、重要活动安全保障运维服务。
(1)远程安全监控服务
在重要活动、节假日期间,制定安全工作细案,对相关信息系统开展远程7*24小时(服务期限内)安全监控,确保在第一时间发现安全隐患和安全事件。在信息系统出现安全事故后,30分钟内到达现场提供应急响应和技术保障,通过应急预案采取有效的安全防护措施将危害降到最低。
(2)安全驻点服务
在重大会议和由上级部门组织的攻防演练期间,根据现场实际情况派遣专业技术人员进行现场驻点,对设备、服务器等进行巡检,并对可能发现的安全事件进行应急与处置,保证现场具有充足的人力、能力应对。
通过重要时期安保服务,确保在遇到突发安全事件后能快速、有序且能正确的采取应急措施,恢复信息系统正常。
2.14、服务频次及交付成果表:(评审项目15)
服务内容 |
服务次数 |
服务交付成果 |
现场安全巡检服务 |
一年至少4次 |
《现场安全巡检报告》至少4份 |
主机安全评估服务 |
一年至少4次 |
《安全评估报告》至少4份 |
渗透测试服务 |
一年至少4次 |
《安全检测报告》至少4份 |
入侵防护服务 |
一年至少4次 |
《服务器入侵清查报告》至少4份 《安全措施有效性验证报告》至少4份 |
安全加固服务 |
一年至少4次 |
《安全加固报告》至少4份 |
应急响应服务 |
全年 |
|
应急演练服务 |
一年至少1次 |
5个场景的《网络安全应急预案》、《网络安全应急演练报告》 |
网站监控服务 |
全年 |
《网站监控报告》至少12份 |
互联网资产暴露面摸排服务 |
一年至少2次 |
《互联网暴露面资产梳理报告》至少2份 |
内网资产探测服务 |
一年至少2次 |
《内网资产清单》至少2份 |
安全意识培训 |
一年至少2次 |
安全培训材料至少2份 |
安全技术培训 |
一年至少1次 |
安全培训材料至少1份 |
安全通告服务 |
不定期 |
《安全通告》 |
★3、安全驻场服务
目前网络架构环境较为复杂,需要1名专业技术人员每周5个工作日进行现场驻点,要求该驻点人员熟悉信息安全等保工作流程,熟悉使用福建省图书馆相关信息系统,重大活动或安全检查期间根据福建省图书馆需求配合进行安全运维保障。
配合福建省图书馆的日常工作,完成IT设备维护任务。对服务器进行巡检,并对可能发现的安全事件进行应急与处置。完成网络及安全巡查,对安全事件的实时响应、处理及跟踪;配合福建省图书馆的本项目相关安全服务,包括等保测评、安全运维、数据安全等内容;负责安全漏洞的跟踪,针对安全检测与渗透测试检查出的漏洞进行跟踪反馈。完成福建省图书馆下达的其他任务。
驻点人员要求如下:
(1)本科以上学历、计算机相关专业,2年以上相关工作经验;
(2)熟悉主流安全设备,熟练操作FW、IPS、WAF、防病毒网关等安全设备;
(3)熟悉交换路由技术,能对网络TCP/IP协议进行抓包分析,故障排查;
(4)具有协调管理能力,能够对故障处置进行统筹协调指挥;
(5)具备综合布线能力。
(三)等级保护咨询与测评服务
1、等级保护咨询服务
咨询服务对象
序号 |
系统名称 |
等保级别 |
1 |
智慧图书馆资源服务基础支撑平台 |
新增系统 |
2 |
图书馆自动化集成系统 |
二级系统 |
3 |
福建省图书馆网站系统 |
二级系统 |
4 |
图书馆办公自动化系统 |
二级系统 |
5 |
福建图书馆学刊稿件采编系统 |
二级系统 |
6 |
图书馆数字资源访问系统 |
三级系统 |
7 |
福建省公共数字文化供需对接平台 |
三级系统 |
1.1、资产分析服务(评审项目16)
开展资产梳理工作,对相关的物理环境、网络结构、主机以及业务系统进行摸底调研,使用工具结合人工对办公网络开展资产探测,提交《资产报告》。配合完成如下工作:
(1)对系统用途、系统所属管理机构、关键资产、物理环境及设施、系统运维管理模式、现有安全防护措施等进行调研和分析,为后续开展具体防护工作提供必要依据。
(2)对采购人网络架构进行分析。从网络建设的规范性、可靠性、边界安全、网络协议安全、网络安全管理等多个方面进行综合评估。评估结果包括定性和定量分析,使用户对网络中存在的风险了如指掌。
(3)收集相关重要服务器设备、中间件、数据库系统、应用软件、关联的存储设备、关联的重要网络设备、关联的重要安全设备资产信息。
(4)对互联网资产暴露面进行核查,对采购人在互联网上的可见资产进行全面的检查和评估,收集互联网域名、IP地址、端口、服务,对互联网资产进行全面的漏洞扫描,发现存在的安全漏洞,根据采购人资产的重要性和敏感性,对其面临的安全风险进行评估,并进行处理,监控网络流量,发现异常行为和潜在的攻击活动。
1.2、等保风险评估服务(评审项目17)
通过现场评估、脆弱性评估以及渗透测试等技术手段分析信息系统安全风险以及基线差距。本阶段结束后,提交《信息系统等级保护风险评估报告》。
1.3、等保差距评估服务(评审项目18)
在安全评估和信息系统定级的基础上,根据《信息安全技术 网络安全等级保护基本要求》将定级信息系统等级保护的各项基本要求与信息安全现状进行比较分析,从管理和技术两个层面找出存在的问题并进行差距分析。本阶段结束后,提交《信息系统等级保护差距评估报告》。
1.4、需求分析与设计服务(评审项目19)
对服务范围内信息系统按照差距分析报告对应策略设计整改加固措施,面向保护对象设计安全计算环境安全、安全区域边界安全、安全通信网络等方面的整改加固实施方案,形成《安全整改加固工作规范书》。
1.5、等保安全加固服务(评审项目20)
根据等保安全加固指导书实施边界防护安全策略优化、服务器、虚拟机病毒检查与清理、主机安全加固、数据库安全加固以及应用安全加固辅导,提交《安全加固风险分析及风险规避说明书》。
1.6、等保制度辅助建设服务(评审项目21)
安全管理制度建设,主要包括但不限于信息安全工作职责,信息安全监督、检查机制;辅助福建省图书馆编写方针、制度、各类记录表格模板在内的三层结构的安全管理制度,达到等级保护测评要求。
1.7、策略复查服务(评审项目22)
针对加固前后的系统脆弱性进行复查,复查手段包括但不限于协议分析、漏洞扫描、漏洞验证以及配置核查等方法,形成加固前后对比《复查报告》。
1.8、等保测评现场辅助服务(评审项目23)
在服务期内,福建省图书馆如有申请测评,成交人则必须协助第三方测评机构完成测评数据采集等工作,直至备案系统通过等级测评。
通过服务可对重要等级信息系统的等级保护工作中涉及的基本信息调查、等保定级、建设整改、等级测评、等级备案、安全自查和监督检查等各个工作环节中的信息、数据、人员、事件和计划等进行集中管理、统计分析、跟踪反馈和指派审核,并对各个环节的工作进行系统化、标准化、规范化管理。同时通过服务能够全面了解自身等保建设情况,提供直接、有力、可靠的等级保护工作运行状态和报告以备相关部门和单位的检查和测评。
1.9、等保台账管理服务(评审项目24)
提供等保台账管理服务,服务过程中提供各个定级对象等保咨询服务涉及到的各个环节产生的资料归档,支持对单个定级对象的定级、备案、自评、测评、管理制度五大维度的单独归档文件管理。
1.10、等保全流程管理服务(评审项目25)
通过等保全流程管理服务提供网络安全等级保护工作的整体过程运行管理,将等级保护工作划分为三大工作阶段,系统调研建设阶段,等保建设整改阶段,安全运维管理阶段,贯穿等保工作的全流程,从而规范化管理等级保护工作运行、动态化管理等级保护工作效果、具体化管理等级保护工作任务,全面降低信息安全管理人员的管理难度,提升信息安全管理人员对信息系统等级保护工作的精准把控。同时提供更多的可视化图表及通用化工具,更直观的了解等保工作的进展,能通过平台处理日常文档管理,通知通报等事务。
1.11、服务频次及交付成果:(评审项目26)
服务内容 |
服务次数 |
等保服务交付成果 |
资产分析服务 |
一年1次 |
《资产报告》 |
风险分析服务 |
一年1次 |
《信息系统等级保护风险评估报告》 |
差距评估服务 |
一年1次 |
《信息系统等级保护差距评估报告》 |
整改建设服务 |
一年1次 |
《安全整改加固工作规范书》 |
安全加固服务 |
一年1次 |
《安全加固风险分析及风险规避说明书》 |
制度建设辅助服务 |
一年1次 |
《等级保护安全管理制度汇编》 |
策略复查服务 |
一年1次 |
《复查报告》 |
测评现场辅助服务 |
一年1次 |
|
等保台账管理服务 |
全年 |
台账文件资料 |
★2、等级保护测评服务
完成采购人下述信息系统等级保护备案工作,并提供等保差距评估、安全加固等相关服务,使相关系统在测评前符合安全合规要求,保证信息系统均通过第三方测评机构提供信息系统安全等保测评服务,取得信息安全等保测评报告。对于等保测评过程中必需的安全管理设备,成交人须提供相应的设备,保障采购人设备及业务系统的持续可用性,直至服务期结束。
2.1、测评服务对象
对新增的“智慧图书馆资源服务基础支撑平台”开展等保测评咨询、定级、备案及测评服务;对“福建图书馆学刊稿件采编系统”“图书馆数字资源访问系统”“福建省公共数字文化供需对接平台”开展等保复测评咨询服务。
序号 |
系统名称 |
等保级别 |
1 |
智慧图书馆资源服务基础支撑平台 |
新增,需备案 |
2 |
福建图书馆学刊稿件采编系统 |
二级复评 |
3 |
图书馆数字资源访问系统 |
三级复评 |
4 |
福建省公共数字文化供需对接平台 |
三级复评 |
2.2、安全等级自评
对服务范围内的信息系统进行安全等级自评。
(1)提供各定级对象的指标分数趋势、等级保护指标10大方面符合情况统计管理;提供指标差距评估任务所涉及的安全物理环境、安全通信网络、安全区域边界等10个方面的等级保护基本要求指标差距评估,能够提供每一条等级保护基本要求指标与资产信息中的硬件、软件或数据的匹配,提供对所有等级保护指标差距的手动评估,提供批量评估。
提供指标差距评估表模板,成交人根据模板信息将现场调研结果录入模板并且导入系统后与后台指标适配,计算当前的自查得分,同时提供生成《自评差距评估报告》。
(2)国家标准
依据国家等级保护相关标准开展工作,依据标准包括但不限于如下国家标准:
GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》。
GB/T 28448-2019《信息安全技术 网络安全等级保护测评要求》。
(3)技术要求
根据国家等级保护相关标准,第三方测评机构的测评人员对测评服务对象中的信息系统安全等级保护测评的内容包括但不限于以下内容:
安全技术测评:包括安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心等五个方面的安全测评。
安全管理测评:安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评。
(4)等级保护测评要求
第三方测评机构的测评人员在对测评服务对象中信息系统详细了解的基础上,编制针对性的等级保护测评整体实施方案,包括项目概述、等保测评范围和内容、项目实施流程、测试过程中需使用测试设备清单、时间安排、阶段性文档提交和验收标准等。
第三方测评机构的测评人员将详细描述第三方测评机构的测评人员的组成、资质及各自职责的划分。第三方测评机构将配置有经验的测评人员进行等级保护测评工作。
等级保护测评实施过程中所使用到的各种工具软件由第三方测评机构的测评人员推荐,经采购人单位确认后由第三方测评机构的测评人员提供并在测评中使用。
对于在测评过程中采用的测评方法、测评所使用的工具、测评所覆盖的各方面,需要符合信息安全等级保护主管部门要求,包括但不限于网络隐患检测工具、数据库漏洞检测工具、应用安全检测工具、网站安全检测工具等。
安全测评工具软件运行可能需要的硬件平台(如笔记本电脑、PC、工作站等)和操作系统软件等由第三方测评机构的测评人员推荐,经采购人单位确认后由第三方测评机构的测评人员提供并在测评中使用。
安全测评需要的运行环境(如场地、网络环境等)由采购人单位提供,第三方测评机构的测评人员应详细描述需要的运行环境的具体要求。
项目完成后必须提交完整的技术文档、测评报告、整改建议等,并负责对相关人员进行培训。
(5)测评实施要求
第三方测评机构的测评人员将保证测评服务项目在采购人单位条件成熟时应立即开展实施。
第三方测评机构的测评人员在项目实施过程中应服从采购人单位的统一领导和协调,采购人单位有权裁决第三方测评机构的测评人员的责任范围,第三方测评机构的测评人员必须执行,在采购人单位限定的时间内解决问题。如果第三方测评机构的测评人员不能按时完成测评内容,采购人单位有权中止项目、索赔或拒付款项。
第三方测评机构的测评人员根据自己的工程实施经验结合采购人单位的实际需求进一步细化和完善工作任务书,作为工程实施的指导性文件。
第三方测评机构的测评人员根据采购人单位工作需求、进度要求、实际情况制定详细的项目实施管理规范和项目实施计划,对工程目标、工作任务、阶段性工作、项目组织机构、职责分工、项目进度、质量控制等内容进行详细的说明,以确保工程实施按时保质的完成。
实施骨干人员包含1名专业测评师。
第三方测评机构应负责配合采购人单位制定相关验收标准,并完成工程实施等验收工作。
项目验收完成后,要求提供为期半年的技术咨询服务,以保证项目正常运行。
(6)测评报告要求
第三方测评机构的测评人员对采购人单位的测评服务对象中信息系统进行等级保护测评,形成相应的报告。
第三方测评机构的测评人员在测评完成后,出具符合信息安全等级保护主管部门要求的信息系统安全等级保护测评符合性报告。
对不符合信息安全等级保护有关管理规范和技术标准的,第三方测评机构的测评人员出具可行的信息系统整改建议,并指导采购人方完成整改。
第三方测评机构的测评人员协助采购人办理信息系统安全等级保护备案手续等相关工作。
★为了保证数据安全服务质量,数据安全服务工具能有好的服务支持,数据安全服务必须由供应商自行提供,相关工具必须为自研产品(须提供承诺函,格式自拟)。
1、服务范围如下:
序号 |
系统名称 |
等保级别 |
1 |
智慧图书馆资源服务基础支撑平台 |
新增系统 |
2 |
图书馆自动化集成系统 |
二级系统 |
3 |
福建省图书馆网站系统 |
二级系统 |
4 |
图书馆办公自动化系统 |
二级系统 |
5 |
福建图书馆学刊稿件采编系统 |
二级系统 |
6 |
图书馆数字资源访问系统 |
三级系统 |
7 |
福建省公共数字文化供需对接平台 |
三级系统 |
2、数据资产分析服务(评审项目27)
2.1、数据库资产盘点
借助资产分析梳理工具内置标准数据分类模型,识别业务系统中的个人数据敏感数据分布和实现数据资产价值刻画。借助数据资产分析梳理工具为用户提供数据资产盘点服务,该服务通过对业务系统发现、识别、梳理,帮助用户梳理出业务系统中包含的数据库、实例、表、字段、账号等数据资产,以及描绘出各资产之间血缘关系,构建明确的、清晰的数据资产清单。
(1)数据资产扫描服务
针对服务范围内数据资产进行扫描,包括:数据服务、实例、数据库、数据表等。可通过时间、资产名称、资产别名、资产类型、主机IP、从属关系等对数据资产进行查询。查看各个数据资产的属性、关联行为、血缘关系、数据访问关系等详细信息,同时可根据数据访问关系查看与该数据资产相关联的资产信息。
(2)应用资产扫描服务
针对服务范围内应用资产进行扫描,包括:业务应用、业务接口。可通过时间、资产名称、资产别名、资产类型、服务主机、从属关系等对应用资产进行查询。查看各个应用资产的资产属性、关联行为、血缘关系、数据访问关系等详细信息,同时可根据数据访问关系查看与该应用资产相关联的资产信息。
(3)终端资产扫描服务
针对服务范围内终端资产进行扫描。可通过时间、资产名称、资产别名、资产类型、IP等对终端资产进行查询。查看各个终端资产的资产属性、数据访问关系等详细信息,同时可根据数据访问关系查看与该终端资产相关联的资产信息。
(4)账号资产扫描服务
针对服务范围内终端资产进行扫描。可通过时间、资产名称、资产别名、资产类型、从属关系等对账号资产进行查询。查看各个账号资产的资产属性、关联行为、血缘关系、数据访问关系等详细信息,同时可根据数据访问关系查看与该账号资产相关联的资产信息。
2.2、个人敏感数据梳理
借助资产分析梳理工具内置标准数据分类模型,识别业务系统中的个人数据敏感数据分布和实现数据资产价值刻画,尤其还需要重点关注业务系统中的备份表,里面同样可能存在着大量的敏感数据,日常业务运营过程中大多关注生产系统,缺失对备份表的聚焦,构成数据泄露的风险源,只有清楚敏感数据分布在哪里,才能明确需要实现怎样的管控策略,为数据安全治理各项工作开展提供参考依据。
▲3、数据资产安全监测服务
3.1、数据运维安全监测服务
(1)专用运维终端行为监管
将所有的数据库进出流量传送至服务工具,通过对运维数据进行解析和分析,记录业务系统数据库的所有行为,同时对操作SQL语句的解析、操作类型、操作字段和操作表名等的分析。当数据库活动匹配了事先定义的重要审计规则时,则可能出现风险。
(2)非法终端访问数据库行为
数据库服务合法情况下只有对应的应用服务器和运维前置机能够登录连接,将这些终端地址加入白名单中,监控除此之外的访问终端,一旦发现例如未知IP、其他单位IP等白名单外的终端出现数据库访问行为时,则可能出现风险。
(3)应用服务器直连数据库运维行为
通过识别业务系统服务器上的运维行为,发现运维过程所使用的主机,如果发现运维过程使用的主机是业务系统应用服务器,则说明开发人员或者运维人员使用应用服务器直连数据库做运维行为,则可能出现风险。
(4)异常数据库账号访问数据库行为
通过对业务系统数据库账号的发现和梳理,由管理人员确认合法的数据库账号,明确各个账号的使用范围。如果发现未知的数据库账号,系统将及时产生告警信息。如果发现数据库账号访问了非本业务系统的其他数据库,则可能出现风险。
(5)数据库账号越权访问行为
通过对业务系统数据库账号进行分类,对数据库账号分成业务数据库账号、系统数据库账号,明确账号的使用场景和访问权限,一旦发现账号进行越权访问,则可能出现风险。
(6)业务数据库账号运维行为
通对业务系统的运维行为,发现运维过程所使用的数据库账号,通过数据安全监管平台对账号行为分析,识别数据库账号类型,如果该数据库账号同时应用于业务系统上,则说明开发人员或者运维人员直接使用业务数据库账号做运维行为,人员的账号权责不清,则可能出现风险。
(7)业务数据风险操作行为
通过将所有的数据库进出流量传送至服务工具,对运维数据进行解析和分析,记录访问数据库的所有行为,同时对操作SQL语句的解析、操作类型、操作字段和操作表名等的分析。当数据库活动匹配了事先定义的重要审计规则时,则可能出现风险。
(8)敏感信息违规触碰行为
数据库中包含业务相关重要数据,其中包含公民个人信息、知识产权信息等敏感的业务生产数据,正常的运维行为应禁止接触此类敏感信息,但落实到具体运维工作中,往往存在。
3.2、应用接口安全监测服务
(1)应用接口资产发现
通过抓取业务系统的所有网络访问行为记录,通过平台大数据智能分析算法识别应用接口,并将结果与已知的接口列表进行匹配,同时可探测发现新增数据接口,形成应用系统接口数据资产底账。
(2)应用接口安全监测
通过应用接口的资产化管理,及时发现业务系统应用接口的未知、新增、僵尸等状态变化,并且能够绘制应用接口的数据流关系图,从时间、访问源、访问方式、访问频度等角度全方面描述应用接口画像,让监管人员能够清晰了解应用接口的使用情况。
(3)应用接口行为审计
完整记录和识别接口访问行为,并且能够从访问行为中快速定位和查询到应用接口的访问时间、访问源、访问结果等信息,以便在未知的风险事件发生后,定位问题的发生过程。在对外调取及对外共享数据期间,系统实时进行接口行为监控,记录访问时间、访问源和访问结果,识别和确认是否是调用合规的接口。
3.3、数据安全态势服务
(1)数据安全态势服务
提供数据库安全集中大屏监控,以卡片化方式展示被监控业务系统数据库,信息内容包括:个人信息资产、业务接口资产、僵尸资产、暴露资产和失踪资产等信息。
(2)数据库运维态势服务
提供数据库运维态势监控,自动展示每个业务系统数据库指定时间范围内的运维信息。内容包括:以关系图谱方式展示数据库、数据库账号和访问终端三者间的关系,展示每个账号访问使用量最大的前10个终端信息,展示利用该账号执行高危操作的统计信息。
4、数据资产风险评估服务(评审项目28)
4.1、暗资产分析
结合业务系统日常访问情况,通过对数据资产持续性发现、挖掘及变更监控,及时发现大量未知、僵尸、复用、低频等数据资产,实现暗资产的可视化。同时通过对暗资产的进一步分析,明晰暗资产中存在的脆弱性,对存在有风险隐患的及时处理。
(1)数据僵尸资产分析
通过业务数据僵尸资产监测分析,帮助用户了解哪些业务数据不再使用可以及时进行删除。而对于无用的僵尸数据库账号,同样容易疏于管理,而导致被非法利用,导致数据篡改和泄露的事件发生,整理出无用的僵尸数据库账号清单及时进行删除清理。
(2)数据复用资产分析
通过业务数据复用资产监测分析,明确哪些数据可以向多个业务系统开放共享,并同步建设相应的防范机制。这样可以避免数据复用过程中的安全短板,确保数据在跨系统流动时的完整性和保密性。通过这种管理方式,企业能够更高效地利用数据资产,同时确保数据的安全性和合规性。
(3)数据高频资产分析
通过业务数据高频资产监测分析,深入分析数据的访问频率和使用模式,帮助用户精确刻画出哪些数据是频繁使用的、对业务运行至关重要的。针对这些高频数据资产,将提供重点防护措施和建议,确保它们的安全性和稳定性,能够使用户更加高效地保护关键数据,并优化资源分配,提升整体数据安全性。
(4)数据失踪资产分析
通过业务数据失踪资产监测分析,帮助用户刻画哪些数据是突然不在使用的,需要定期进行排查。
4.2、数据库系统脆弱性分析
通过“工具+人工”的方式对用户数据库系统进行全面、深入的漏洞检测和安全基线配置核查,及时发现高危等漏洞和不合理的数据库安全配置基线,在此基础上,进一步开展对数据库中特权账号进行分析、是否超过最小权限原则,存在越权访问的风险,对发现的问题及时提出专业的安全解决方案和建议,辅助完成整改工作。
(1)数据库账户口令分析
对业务系统相关的数据库账户进行弱口令分析,弱口令将导致数据库极易被攻破,存在巨大安全隐患,一旦发现存在数据库账号弱口令,则可能存在安全威胁,并提交相关的数据库账号清单。
(2)数据库安全配置分析
对数据库漏洞、配置不正确带来的安全威胁进行持续性的监测分析,及时掌握数据库系统安全漏洞、安全配置不正确带来的安全威胁,提升数据资产的风险应对能力。
(3)数据库账号权限分析
对相关的数据库账号权限进行分析,在数据库运维中权限的分配尤为重要,通过监测出数据库用户账号权限情况,通过分析将用户权限在其职责范围内最小化,从而避免用户权限过大导致安全事件的发生。
4.3、暴露面分析
通过数据安全责任边界从数据业务域、数据运维域、数据服务域和数据研发域等多个维度,通过资产列表中各资产间的血缘关系、资产列表、基础属性等内容,对数据血缘关系、业务系统共享和API接口调用情况及数据流转关系进行全面分析,识别接口清单,关注接口资产使用情况,是否传输敏感信息数据,是否进行加密传输、是否越权访问、是否对访问者进行身份认证等,防止接口滥用和违规调用。明确各数据管理域的使用者、责任者和所有者,使得数据资产具有明确的权责定义,当安全事件发生时快速定位出责任方,从而针对性解决。
(1)默认账号分析
对数据库默认账号进行分析,包括账号分布和风险分析,风险分析包括对分析默认账号的潜在风险、未知默认账号分析、复用默认账号分析、僵尸默认账号分析等。
(2)运维账号分析
对数据库运维账号进行分析,包括账号分布和风险分析,风险分析包括默认账号做运维账号、特权账号做运维账号、业务账号做运维账号等。
(3)应用主机上的运维行为操作分析
对应用主机上的运维行为操作进行分析,确认应用主机上的运维行为操作的访问关系表,以及涉及个人信息数据表、涉及业务重要数据表的行为。
(4)异常数据库账号访问数据库行为分析
对异常数据库账号访问数据库行为进行分析,确认异常数据库账号访问数据库行为的访问关系表,以及涉及个人信息数据表、涉及业务重要数据表的行为。
(5)运维行为中的风险行为分析
对运维行为中的风险行为进行分析,包括清空数据(truncate table)、 删除数据表行为(drop table)、运维工具删除数据行为(delete)等风险行为。
4.4、安全措施有效性分析
通过对单位现有的组织架构、安全管理制度、网络拓扑、应用及数据库系统、业务数据流转情况进行调研,定期对服务范围内的目标系统及其所涉及的安全设备进行安全措施有效性检查,检查内容包括但不限于安全通信网络、安全区域边界、安全计算环境、现有措施有效性评估、安全制度有效性评估并给出对应的措施有效性建议,发现和消除安全隐患、落实安全措施、预防安全事件发生。
(1)网络安全现状描述
通过深入调研,结合现有网络拓扑图,划分的各安全边界区域,区域间的隔离情况,核对梳理各区域内应用服务器、网络、安全防护等产品的部署情况,如包括但不限于服务器、交换机、防火墙、堡垒机、日志审计、数据库审计、数据库堡垒机、准入系统等多种安全设备,明确单位网络安全现状。
(2)安全通信网络有效性措施评估
核实不同的网络区域,是否按照方便管理和控制的原则为各网络区域分配地址,比如有标注详细的信息;
核实是否存在重要网络区域部署在网络边界处,重要网络区域与其他网络区域之间是否采取可靠的技术隔离手段;如在区域边界部署防火墙
核实网络的处理能力,当前网络设备的业务处理能力是否能满足业务高峰期需要。满足提供通信线路、关键网络设备和计算机设备的硬件冗余,如通信链路均已冗余,并且核心交换机、核心防火墙、服务器核心交换机、服务器汇聚交换机等设备双机部署,充分满足网络各部分的带宽及业务处理能力的需要。
数据通信传输过程中是否采用校验码技术或密码技术保证通信过程中数据的保密性、完整性;
(3)安全区域边界有效性措施评估
核实网络边界或区域之间根据访问控制策略设置访问控制规则,访问各系统的源IP、源端口条件进行访问控制,保证访问规则策略的细化和有效;如防火墙的是否开启访问控制策略,是否有效进行访问控制。
核实访问业务系统的行为是否做攻击检测与恶意代码的防范,防火墙等防护设备是否开启对开启攻击检测功能。
核实非授权设备访问内部网络的行为需要进行检查与限制
核实网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
核实审计记录是否进行保护,定期备份,避免受到未预期的删除、修改或覆盖
(4)安全计算环境有效性措施评估
核实各业务系统是否开启用户进行身份标识和鉴别、启用访问控制策略。
具备恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断
对各类安全事件的日志进行统一的识别与报警
核实是否启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计
核实审计记录是否进行保护,定期备份,避免受到未预期的删除、修改或覆盖
启用对重要数据的本地备份与恢复功能,具备异地实时备份功能,保证系统的高可用性。
(5)制度措施有效性
核实在安全管理活动中的针对各类管理内容建立完善的安全管理制度,包括但不限于人员管理制度、账号与权限管理制度、运维管理制度、数据分类分级管理制度、数据安全全生命周期管理制度、数据安全监测预警与应急管理制度等。
5、数据资产分类分级服务(评审项目29)
依据当前国家、地方、行业法律法规和用户实际业务,结合数据的自身属性及特征,按照一定的原则和方法来协助单位共同制定最新的《数据分类分级规范》,并依据制定的规范开展各业务系统分类分级工作,完成数据分类标识和分级定责,构建重要数据目录,形成业务系统分类分级清单,从而提高数据安全,满足合规要求,同时还能提升业务运营效率,降低业务风险。
5.1.明确主体对象
分类分级建设的第一步是确定分类分级的对象,明确数据的管理主体。确定分类分级的范围才能针对性的建立有效的组织保障体系,明确主体责任。数据管理主体的确定是数据分类准确性和定级准确性的基本保证。
5.2.建立组织保障体系
数据分类分级服务工作是一项多部门协同的大工程,涉及到用户单位的多个信息系统及其软件供应商,执行过程需要投入大量的人力物力。因此,数据分类分级工作的开展,需要获得单位领导和各级相关部门的大力支持,同时还需要做好各个相关部门和软件供应商的沟通协调工作。组建专门的项目团队、制定工作流程和制度、确定专门的决策团队和领导人,以保证分类分级工作可正常有序的开展。
5.3.制定分类分级规范
从数据的安全视角出发、结合国家、地方法律法规和行业标准,依据用户的业务情况,遵循安全性、稳定性、可执行性、时效性等原则,明确数据的分类范围和分级划分,协助用户共同制定数据分类分级规范,为数据分类分级开展提供指导依据。
5.4.分类分级打标
借助数据资产分析工具,通过内置标准数据分类模型和自定义分类模型,基于个人信息安全规范、语义内容分析、正则表达式等对个人敏感数据和重要业务进行自动识别辅以人工打标相结合,完成数据资产分类分级打标工作,标识敏感数据、识别敏敢数据资产,进行分类统计,建立重要的数据目录,为数据安全治理各项工作开展提供参考依据。
6、数据安全权限设计咨询服务(评审项目30)
定时、定期对数据库的账户进行扫描,获取其角色、对象等相关权限信息。根据数字资产梳理和风险评估的结果,基于数据生命周期各环节场景风险,以“用户行为”、“接口权限”、“业务流程”为主要管控内容,制定权限管控策略,对数据访问权限按角色进行设计,按实际的业务需求授予最小化的权限,防止越权访问、操作数据。
▲7、数据安全管理体系建设咨询服务
数据安全管理体系建设咨询服务是在已制定数据安全管理办法的基础上深入细化数据安全制度,其中数据安全运维管理方面包括但不限于数据安全运维管理制度、账号/权限申请表、第三方机构人员运维申请表、数据库运维操作授权登记表等;在数据账号管理方面包括数据库账号管理规范、数据库账号申请表;在数据安全全生命周期制度方面包括但不限于数据访问和操作申请表、数据不适宜公开部分处理情况记录表、数据对外提供审批表、不同业务类别数据提取审批流程等。
8、数据安全管理平台(评审项目31)
8.1、风险分析
对所有被保护的敏感数据库建立活动基线,相关行为一旦超出基线范围,便可判断为异常。
8.2、安全分析
自动收集资产信息、用户身份信息、日志事件、第三方威胁信息,针对不同的安全问题进行策略下发,形成平台与安全产品之间的策略协同联动。平台检测到风险时,可以短信、邮件等多种手段进行告警。
8.3、态势感知
收集各种安全数据,基于专业的工具进行集中处理、关联分析,利用可视化技术,将各种安全事件进行可视化呈现,准确、高效地感知防护对象的安全状态及变化趋势,结合分析、研判、预测技术,专注风险的分析、发现、评估和可视化能力,为安全运营提供可靠的信息数据支撑。主要包含:
(1)安全态势:直观展现出整体系统的风险情况。
(2)资产态势:直观展现出整体系统内的数据库资产分布情况。
(3)漏洞态势:综合漏洞扫描等所扫描的全网漏洞弱点进行漏洞态势呈现,统一把控全网各区域各资产业务类型的弱点暴露。
(4)风险态势:综合资产价值、安全属性、脆弱性、攻击威胁等风险要素,基于风险模块内置的风险计算模型,进行全网、各安全域及各业务系统的风险量化评估和风险赋值。
9、分类分级与安全产品联动(评审项目32)
9.1、分类分级与数据安全管理平台联动,实现全量数据资产的识别和集中策略管控。
全局把握各类、各等级资产安全状态,提升针对整体资产、以及端点安全产品的防护能力。数据安全管理平台聚焦整个数据中心进行安全防护,基于实时对接的分类分级结果,将策略根据不同的场景下发至各安全能力组件,能够实现资产的动态防护,增加整体防护的精准度,且能方便后续的持续运营。
9.2、与数据库防火墙的联动
实现分类分级与数据库防火墙的联动,监控不同等级数据可能存在的风险,阻断违法访问行为。释放安全人员的数据分类分级精力,实现海量数据的精准防护,安全防护有重心、减少海量无用告警。
9.3、与数据脱敏产品的联动
实现分类分级与数据脱敏产品的联动,提升敏感字段识别能力。提升敏感数据、敏感类型的发现及分类分级能力,极大减少脱敏后仍存在敏感字段的现象。
服务内容 |
服务 次数 |
服务成果 |
数据资产分析服务 |
|
《数据资产清单》至少1份 《用户权限清单》至少1份 《个人敏感信息分布报告》至少1份 |
数据资产安全监测服务 |
全年 |
《数据资产安全月监测报告》至少12份 |
数据资产风险评估服务 |
至少 1次 |
《数据库暗资产分析报告》至少1份 《数据库系统脆弱性分析报告》至少1份 《数据库系统暴露面现状分析报告》至少1份 《业务系统安全措施有效性分析报告》至少1份 《数据安全风险评估服务报告》至少1份 |
数据分类分级服务 |
至少 1次 |
《数据分类分级规范》至少1份 《数据分类分级报告》至少1份 |
数据安全权限设计咨询服务 |
至少1次 |
《数据访问权限设计报告》至少1份 |
数据安全管理平台 |
全年 |
《数据安全管理平台服务报告》至少1份 |
分级分类与安全产品联动服务 |
全年 |
《分级分类与安全产品联动服务报告》至少1份 |
(五)、其他信息安全服务
本次项目还包含:SSL加密证书服务、双因子认证服务、本地及云端WAF防护、安全设备维保服务、重要时期服务保障服务。
★1、SSL加密证书服务
福建省图书馆官方网站fjlib.net的SSL加密证书服务要求(包含但不限于):
(1)本服务期限:至少提供一年服务。
(2)采购人和服务器的合法性认证
认证采购人和服务器,确保数据发送到正确的客户机和服务器。客户机和服务器有各自的识别好,由公开密钥编排,为了验证采购人,SSL协议在握手交换数据中会做数字认证,以确保采购人的合法性。
(3)实现数据加密传输
SSL协议采用的加密技术有对称密钥和公开密钥。客户机在与服务器交换数据之前,需要先交换SSL初始握手信息,这一过程采用了各种加密技术,以保证数据加密传输和数据完整性,经数字证书鉴别,防止非法用户破译。
(4)维护数据完整性
SSL协议采用密码杂凑函数和机密共享方法,提供完整信息性服务,从而建立客户机与服务器之间的安全通道,使所有经过SSL协议处理的数据,在传输过程中都能完整传送不被改变,有效地维护了数据完整性。
(5)网站通过安装SSL证书来激活启用SSL协议,实现服务器身份验证和数据加密传输。SSL证书按照域名数量不同划分为单域名SSL证书,多域名SSL证书,通配符证书。其中单域名SSL证书仅能支持单个域名网站安装,多域名SSL证书和通配符证书适合拥有多个域名网站的采购人安装。
★2、双因子认证服务
对接我馆堡垒机、防火墙双因子认证服务。福建省图书馆读者用户登录访问双因子认证服务要求(包含但不限于):
(1)本服务期限:至少提供一年服务。
(2)认证系统能兼容各类网络设备、操作系统、堡垒机、网站及应用。
(3)可无缝支持AD/LDAP账号源、web内建账号源等个、无需改变现有的账号管理模式。提供多种令牌方式,包括但不限于硬件令牌、微信令牌、指纹令牌、手机令牌。可根据福建省图书馆读者的使用场景提供一站式身份鉴别安全解决方案。
(4)支持国密SSF33/SM1/SM2/SM3/SM4等。
交付成果:提供双因素认证系统。
★3、本地WEB应用防火墙服务及云端WAF防护服务
主要用于网站业务系统,对网站的访问流量进行多维度、深层次的安全检测和防护,形成“本地+云端”双防护联动模式,为网站业务系统提供更全面安全防护。
福建省图书馆网站的安全防护服务要求:至少提供一年服务,提供本地WAF和云WAF的服务。
(1)WEB应用防火墙安全服务,实现主动防护与被动安全相结合的方式识别可疑、已知、未知安全威胁,有效保障我馆信息系统的安全可靠运行,服务周期为1年。
1).标准2U机架式,内存≥32G,硬盘容量6T≥2, 1+1冗余热插拔电源,千兆电口≥4、万兆光口≥4(含2个万兆多模光模块)。
2).支持设置后端TCP连接模式,可根据业务特点设置长连接和短连接,并且可以通过设置连接复用,减轻后端服务器压力。
3).支持HTTPS站点SSL算法自动探测功能。探测时可以设置指定站点及端口,可以显示探测结果。
4).内置对SQL注入、XSS攻击检测的语义分析规则。
5).具有机器学习安全引擎,实现对用户web业务系统建立安全的访问模型 ,学习的内容包括URL地址、URL请求参数等信息。
6).支持设定学习的周期,域名信息,可信任的客户端IP,不可信的客户端IP以及不学习的URL信息。
7).模型数据可以显示学习中的URL数量,学习完成的URL数量、检测中URL数量、学习失败的URL数量,同时可以显示各个阶段的占比情况。
8).支持与现有的云端协同联动,云端发现安全风险时,可以自动下发安全策略至WEB应用防火墙上,进行联动处置。
(2)云端WAF防护服务,要求如下:
1).提供为期一年的云端Web应用安全防护、入侵防护、实时攻击监测模块、一键关停、永久在线、手机终端运维、安全防护报告、安全可视。
2).提供人工服务,内容包含:7*24小时运维以及应急响应服务。
3).每个月提供一份电子版防护网站安全服务报告。期满后提供一份纸质版防护网站安全服务报告。
交付成果:提供WEB应用防火墙和云防护服务。
★4、安全设备维保服务
主要包含防火墙、堡垒机、数据库审计、日志审计、防病毒系统、高级持续威胁检测等安全设备的硬件保修、应用识别库升级、软件升级及技术支持服务,至少延长一年。
序号 |
安全设备 |
主要内容 |
1 |
堡垒机 |
安恒/明御运维审计与风险控制系统DAS-USM500 |
2 |
数据库审计 |
安华金和/安华金和数据库安全审计系统 DAS/V3.2 |
3 |
日志审计 |
优特捷/日志易日志搜索分析软件V2.0 |
4 |
防病毒系统 |
亚信科技/亚信安全高级威胁网络防护系统 AIS EdgeC300 网关防病毒产品、亚信安全服务器防护系统v8.0-防病毒&WRS 模块亚信安全防毒墙网络版客户机防护(QfficeScan desktop version) |
5 |
高级持续威胁检测 |
亚信科技/高级持续威胁检测TDA1300 |
6 |
防火墙 |
山石网科E2300,维保内容包含原厂硬件保修、应用识别库升级、软件升级维护服务和安全服务包(含IPS、AV、URL、QoS升级服务)。 |
福建省图书馆在本地机房网络安全设备的保障服务要求(包含但不限于):
(1)本服务期限:至少提供一年维保服务。
(2)为了能保障网络的稳定运行,当安全设备故障或特征库过期等情况时,提供同等能力或以上能力的安全设备进行保障支撑。保障的设备包含但不限于边界防火墙、上网行为管理、堡垒机、深度威胁发现、病毒网关等安全设备。
交付成果:提供同等能力或以上能力的安全设备服务。
三、商务条件
采购包1:
序号 |
参数性质 |
类型 |
要求 |
1 |
★ |
交货时间 |
合同签订后 5 天内开始进行服务 |
2 |
★ |
交货地点 |
采购人指定地点。 |
3 |
★ |
交货条件 |
合同签订后按约定提供服务,完成服务内容后进行验收交付。 |
4 |
★ |
是否邀请投标人验收 |
不邀请投标人验收 |
5 |
★ |
履约验收方式 |
1、期次1,说明:服务期满后,成交人提供服务报告,通过安全运维服务季度质量考核,经采购人验收后合格。 |
6 |
★ |
合同支付方式 |
1、合同签订后,采购人收到等额的增值税普通发票后15个工作日内支付,达到付款条件起15日内,支付合同总金额的30.00% 2、2024年12月15日前,完成磋商文件约定的服务频次及交付成果,经采购人确认后,采购人收到等额的增值税普通发票后15个工作日内支付,达到付款条件起15日内,支付合同总金额的50.00% 3、网络安全运维服务期满后,完成磋商文件约定的服务频次及交付成果,经采购人确认后,采购人收到等额的增值税普通发票后15个工作日内支付,达到付款条件起15日内,支付合同总金额的20.00% |
7 |
★ |
履约保证金 |
缴纳, 本采购包履约保证金为合同金额的10.0% 说明:供应商在签订政府采购合同前两个工作日内向采购人缴纳合同金额10%的履约保证金,该履约保证金在项目通过验收后一次性无息退还。若供应商违约,采购人视情节扣除履约保证金;若该履约保证金不足以赔付违约责任的,按合同相应条款约定赔付。 |