水利部水利信息中心

1、水利部水利信息中心信息系统自动风险评估系统完善开发采购竞价公告1、资格要求1）在中华人民共和国境内具有法人资格、有能力提供本次招标初步设计及相关服务的企业或单位；2）本项目不接受联合体竞价。2、主要内容2.1 风险评估系统完善开发综合运用漏洞扫描系统、应用安全检测系统等安全系统检测、防护系统的信息，自动对相关信息系统进行安全风险评估，主要功能包括：1、资产管理：实现对信息系统资产的管理，包括资产的关联、资产重要性等；2、管理脆弱性评估：实现安全管理的脆弱性评估；3、物理脆弱性评估：实现物理环境安全脆弱性评估4、网络脆弱性评估：实现网络拓扑脆弱性和网络设备脆弱性的评估；5、系统脆弱性评估：实现对

2、Windows、Linux 、 Solaris、 AIX 、HP-UX 等系统脆弱性评估；6、数据库脆弱性评估：实现对SQLserver、Oracle 等数据库脆弱性评估；7、应用脆弱性评估：实现对应用软件和B/S 网站类应用系统的评估；8、自动化要求：实现上述各类技术评估工作的自动化，自动检查和自动分析；9、工具集成：支持渗透测试结果人工录入，能集成metasploit和 sqlmap等工具测试结果；支持“绿盟极光” 、“启明天镜”及 nessus 等扫描器结果导入分析；支持“ IBM APPscan”、“ AWVS ”及 nikto 等扫描工具结果导入分析；10、 综合评估：对信息系统风险

3、进行综合型分析评估；11、 风险评估模板管理： 内置 GB/T 20984 模板；资产重要性指标模板管理；资产威胁指标模板管理；管理脆弱性指标模板管理，管理脆弱性checklist 内容管理、依据国标要求，内置ISO 27001 内容，并内置等级保护 2-3 级管理内容；物理脆弱性指标管理， 物理脆弱性 checklist 内容管理，内置 GB50174 电子信息系统机房设计规范内容；渗透测试指标管理；系统和网络扫描指标管理；应用扫描指标管理；网络脆弱性指标管理， 网络脆弱性 checklist 内容管理，内置等级保护 2-3 级内容和网络设备检查checklist 内容；系统脆弱性指标管理，

4、系统脆弱性checklist 内容管理，内置等级保护 2-3 级内容和 Windows、Linux 、Solaris、AIX 、 HP-UX 等操作系统 checklist 内容；数据库脆弱性指标管理，数据库脆弱性 checklist 内容管理，内置等级保护 2-3 级内容和 SQLserver、Oracle 等数据库checklist 内容；应用脆弱性指标管理，应用脆弱性checklist 内容管理，内置等级保护2-3 级内容和 OWASP 安全 checklist内容；综合模板计算方法管理；12、 展现：实现多种风险展示功能，包括：进行综合风险分析展示，按照不同管理部门、不同业务系统、不同

5、网络区域等方式进行分类风险分析展示；进行风险同比和环比分析统计和展示等。要求能根据需要生成风险报告，报告支持word 版、 PDF 版和 HTML 版；13、 可扩展性：风险评估完全依据并符合GB/T 20984-2007 信息安全技术信息安全风险评估规范定义的流程、检查项、检查方法、计算方法和指标设计，并设置了指标调整功能，允许用户按照水利行业和业务情况针对检查项、指标、阈值等进行自定义；14、集成性：与水利部安全管理平台无缝集成，实现统一用户管理、统一权限管理、单点登录、统一门户，并实现资产等信息的共享。2.2 安全管理平台集成与完善根据等级保护等相关要求，完善水利部安全管理平台，包括：1

6、、安全策略的审计： 增加安全合规审计，针对违反水利部电子政务外网的安全规定的违规行为进行安全审计，通过日志的时间、来源地址、操作用户、操作内容等判定是否符合安全操作规范，审计范围包括：违规软件运行、非正常时间登录系统、敏感攻击端口、密码违规、端口异常、账号异常增加/删除 /修改、软件异常安装 /卸载等。2、数据库敏感操作审计：增加数据库敏感操作，针对核心业务对部分涉及重要数据的库表、视图执行操作的识别，实现高级别告警。3、安全风险 /事件的监控和分析：完善事件的关联分析，在基于告警源分析的基础上，实现基于统计信息的关联，对一般安全事件（不指定具体）进行趋势的监测，当安全事件量激增时，按比例情况

7、决定告警包括：单一事件出现频度、高危操作数量、终端防毒安装比例、病毒感染清除、单一病毒集中发作、漏洞风险、流量异常、密码猜测等；4、事件特定动作特征监控：实现当风险或某种危险类型的安全事件在总数没有明显变化，但来源地址或目的有了相对集中的情况时，对此中特定情况有快速识别反应的能力，并进行告警，提高告警准确率；5、其他安全事件深度关联：建立对以下安全事件形成的深度关联模型，用于准确发现安全事件，精确定位事件源，包括：尝试探测事件。 探测和监听是所有其它事件发生的前提条件，主机 /网络扫描，主机 /网络窃听都属于这类事件，要实现这类事件的告警和预防。拒绝服务事件。 DOS/DDOS 进攻手段多样，

8、而且比较复杂，要专门针对拒绝服务攻击设计了关联触发模型，以准确分析定位。应用程序漏洞事件。 要能够关联到试图利用或发现信息服务或资源的漏洞的活动的告警。可疑程序事件。 对于未知的或可疑的活动形成告警。例如，异常的网络通信，网络或系统的异常行为，以及其他不确定的可以事件等。网络故障事件。 针对网络故障事件进行定位与检查。门户可疑访问。 针对访问门户或通过外来地址访问门户的可疑行为进行分析、定位可疑问题的真实性。6、安全告警的强化：对所有告警进行可信分析，利用管理资产的软件信息、漏洞信息、端口信息，当攻击事件影响的系统与该资产匹配、漏洞可被利用、攻击使用的端口存在时，此类事件将被强化告警。以上条件

9、即使不能全部满足，也可以将此告警与一般告警相区别，尤其是可以通过否决的方式消除误报警；7、重要资产的重点告警监控：对资产的价值进行区分标注，高价值的资产上的安全告警级别远远大于一般资产上的告警，并且可以通过资产 CIA 与事件（威胁） CIA 的相关性进行更细化的告警；8、信息安全报告：在安全设备状态报告、安全设备事件报告、安全设备告警基础上，增加自动化的报表生成功能，针对不同的人员角色提供不同的报表，为各级人员的工作提供有力的数据依据；9、集成性要求：新开发的功能必须与原系统无缝集成。3、其他要求1）针对上述要求，竞价时同步在网上提交技术方案。技术方案应能完全满足技术要求所列开发任务和需求，否则不予考虑选择竞标商。2）需提供现场和集中培训，由原厂提供培训讲师和文档，培训讲师需在公司负责安全管理实施工作且持续工作3 年以上，培训文档包括纸质文档和电子版文档，培训