服务需求

一、履约期限：合同签订后一年

二、履约地点：辽宁省图书馆（辽宁省古籍保护中心）。

三、付款方式：

签订合同后（5个工作日内）支付合同额的50%预付款。服务期满，经验收合格后(5个工作日内)支付剩余的50%。

四、服务需求

项目概述：

在数字化快速发展的背景下，信息安全已成为各类组织面临的重要挑战。特别是对信息密集型机构而言，加强信息安全管理至关重要。为此，本项目的主要目标是通过科学系统的安全管理措施和技术手段，提高省图书馆的整体信息安全水平，确保业务系统的稳定运行，满足网络安全等级保护的要求，并适应具体业务需求。

本项目充分考虑了特定保护对象的安全需求，网络安全等级保护建设方案不是简单生硬的等保条款满足，在方案设计过程中尽量避免将网络等级保护工作做得僵化，而是以省图书馆整体信息安全为目标，以业务需求为主导，构建和公司业务需求相匹配的综合安全防护能力，并通过安全管理制度落地，加强运维过程中的预警监测能力和应急处置工作，不断提高单位的抗攻击能力，同时在安全保障工作中通过定期培训、加强应急预案演练、协同应急处置等方面的工作加强人员的安全技能。本项目实施后，省图书馆的信息安全水平将显著提高，能够有效防御和应对各类网络安全威胁，保障信息资产安全和业务系统的持续运行。同时，通过制度化的管理和人员技能的提升，为今后的安全维护打下坚实的基础，促进图书馆信息化建设的安全、健康发展。

详细需求如下：

1、系统安全风险评估需求

通过需求分析、资产识别和分类、威胁与脆弱性识别、风险分析与评估、控制措施评审、风险处理策划、报告编制、培训与意识提升、后续评审与持续改进等内容开展风险评估，系统安全风险评估能有效识别、分析和管理信息系统中的安全风险，确保省图书馆的业务连续性与信息安全。

服务要求：每月进行一次全面风险评估，并出具风险评估报告。

2、安全加固支持

对系统安全风险评估和安全配置评估中发现的安全漏洞和配置缺陷，提供加固意见及措施，并协助开发厂商或系统运维人员进行安全加固。通过安全加固支持服务增强省图书馆系统的防护能力。

评估结束后，根据馆内实际需要，按需提供专家支持。

3、渗透测试

采用模拟黑客攻击方式对应用系统进行安全性测试，通过漏洞扫描和手工验证发现并证实漏洞的存在，并结合业务实际情况给出整改建议。渗透测试对象包括操作系统、应用系统、WEB程序和网络设备等。

对15个应用系统，进行每季度1次全面的漏扫、渗透测试，并出具渗透测试报告。

4、应急响应

提供7*24小时应急响应服务，针对发起的应急需求，能够快速响应，及时抑制和消除信息系统网络安全事件，减少因网络安全事件而引起的损失和负面影响。在发生安全事件时提供现场/远程技术支持，处置安全事件，调查事件原因，进行攻击溯源。服务包括网络安全问题阻断、网络安全事件分析、网络安全事件配合处置、网络安全加固以及网络安全事件分析报告输出等内容。

提供7*24小时应急响应服务，不限次数。

5、重保现场值守

在国家及行业的重大活动期间（包含但不仅限于两会、攻防演练等），提供现场专家技术支持服务，包括安全防护设备部署、策略优化、协助进行安全加固等。

重保期间除驻场人员以外提供1名专家进行7X12小时现场值守以及相对应指导。

6、应急演练

制定符合当前实际需求的应急预案，并派遣安服工程师协助进行应急演练，演练完成后出具应急演练报告。

服务期内进行一次演练。

7、安全运维服务

提供现场值守服务，派遣安服工作组，在客户指定场所为现场办公地点，另外派专家每月现场进行检查支撑。安全运维是指通过对安全设备、安全系统的运行状态，统计、分析安全事件，发现并解决信息系统中存在的安全威胁，为我馆更新安全策略提供参考依据，充分保障客户IT 系统、网络及业务的顺畅运行。

安全设备运维： 实时监控用户防火墙、防病毒系统、入侵检测系统、入侵防御系统等安全设备的运行状况，及时发现安全问题，分析日志信息，进行预警通告，提供安全事件的溯源依据。

安全系统运行情况记录、分析、统计：通过对安全系统的运行情况进行记录、分析，帮助安全管理人员形成分析报告。

用户其他系统：根据用户实际需求，协助用户完成其他系统的安全监控。

每日巡检并输出每个系统的巡检报告。

8、安全培训服务

针对员工的安全意识进行培训，保证人员具有与其岗位职责相适应安全意识，以减少人为因素给系统带来的安全风险。旨在提高全员的安全意识，包括日常网络安全防范、上网行为安全规范、网络安全法律法规宣贯等内容。

运维管理人员安全技能提升：通过安全技能培训和实践操作提升管理人员的安全技能水平，能简单应对日常安全运维中的技能需求，在发生安全事件时进行简单处置。

每季度提供一次安全培训服务，年度4次，不拘泥现场形式，培训地点、方式由甲方指定。

9、基线核查

安全政策和标准核查：检查我馆制定的安全政策和标准，并评估其与行业标准或法规的一致性。这包括访问控制、密码策略、数据备份和恢复等方面的要求。

系统配置核查：核查我馆信息系统的配置是否符合最佳实践和安全建议。检查操作系统、数据库、网络设备等的安全配置，确保安全漏洞和弱点得到修复。

身份认证和访问控制核查：评估我馆的身份认证机制和访问控制措施，包括用户帐户管理、权限分配、多因素身份验证等。确保只有授权的用户能够访问敏感信息和系统资源。

网络安全核查：评估我馆的网络安全措施，包括防火墙、入侵检测和防御系统、网络隔离等。检查网络的边界安全和内部网络安全控制。

每季度1次现场服务。

10、网络策略优化

提升网络性能：根据业务需求和性能要求，设计通过优化网络设备参数、调整网络拓扑结构等方式提升网络性能的方案，并协助完成调整；

提高网络安全防护能力：设计有效的网络安全防护策略，通过防火墙规则调整等方式提高防护能力，并协助完成调整。

每月1次现场服务。

11、全流量分析服务

利用全流量设备或态势感知平台，对整改安全态势进行分析，及时发现安全事件。

每月1次现场服务。

12、非等保安全整改配合服务

运维服务期间，如上级部门、公安部门、信息化主管部门等单位对数据中心进行安全扫描, 根据各方安全评估结果，协助修复安全漏洞、加固系统平台，防止系统破坏、数据泄露。如安全整改经评估会对业务系统产生影响时，需提出整改建议方案（需注明风险）并签字授权后进行修复。

按需，现场协助整改。

13、数据安全服务

配合梳理中心信息系统数据资产，配合维护敏感数据资产台账，识别数据管理工作中存在缺陷和潜在隐患，提出切实可行的解决措施。

每月一次现场服务。

14、新系统安全方案评审及验收

针对新信息系统进行上线和重要调整前开展安全方案评审服务。并指导和协助应用系统厂商进行风险控制、加固和修复。

按需，现场协助评审及验收。

15、API检测

对API进行安全漏洞扫描和评估，包括常见的安全漏洞（如跨站脚本攻击、SQL注入等）和API特定的漏洞（如授权问题、参数篡改等）。模拟攻击和渗透测试，以评估API的安全性和防御能力。检查API的身份验证和访问控制机制，确保只有授权的用户能够访问API。检查API的数据传输和存储的安全性，包括数据加密、安全传输协议等。

描述API安全检测的具体流程和步骤。包括以下内容：API安全测试的方法和工具。安全测试环境的准备和配置。安全测试用例的设计和执行。安全漏洞和问题的报告和修复流程。

每月1次现场检测。

16、增项服务

1、特征库升级服务：针对现有安全产品（安全产品包括但不限于：防火墙、入侵防御、上网行为管理、堡垒机、数据库审计、日志审计、漏洞扫、态势感知平台等）的特征库（升级服务），杀毒软件升级。

2、安全设备维修服务：对在质保期内安全产品联系厂家进行维修，质保期外产品提供维修服务。

3、设备租用服务：针对重保、HW等特殊场景的设备租用服务。

4、为响应政策要求，未来需无条件免费配合进行国产数据库、国产操作系统、国产硬件设备的改造与适配。   

17、运维主要网络安全设备清单

序号	设备名称	厂商	设备数量
1	网站防护WAF	绿盟	1
2	防火墙		4
3	上网行为		1
4	日志审计		1
5	入侵防御		2
6	入侵检测		1
7	漏洞扫描系统		1
8	防火墙主	天融信	1
9	防火墙备		1
10	IPS		1
11	VPN	神州数码	1
12	神州数码防火墙		1
13	数据库审计系统	启明星辰	1
14	堡垒机		1
15	杀毒软件	亚信	700点