网络安全的业务与技术范围

网络安全的业务与技术范围2.1.1网络安全日常维保近年来随着互联网的高速发展，电信主管部门对网络安全要求、安全考核愈发严格。而随着安全攻防技术的快速发展，网络及信息安全漏洞层出不穷，基于IP网络的安全问题日益突出，主要表现在：物理层面安全、网络拓扑结构安全、设备安全、网络边界安全、网络系统安全、应用系统安全、网络管理安全、流量安全、业务安全、数据安全、安全管控等。为切实落实《工业和信息化部国务院国有资产监督管理委员会关于开展基础电信企业网络与信息安全责任考核有关工作的指导意见》（工信部联保（2012）551号）相关要求，需在企业内部常态化开展网络安全维保检查，以检验各单位网络及系统安全防护能力和管理要求落实的有效性，通过积极开展网络安全日常维保更好的推进全省网络安全工作的开展，切实做到举一反三、查缺补漏，有效降低内外部风险。通过实施本项目，及时掌握当前的网络安全现状，全面摸清安全隐患和薄弱环节，规避考核风险，通过日常安全加固，有效促进甲方整体网络安全工作水平的提升。2.1.2数据安全防护近年来数据安全信息泄漏事件高频发生，一方面是信息系统本身存在安全漏洞和弱点，外部攻击者利用这些漏洞和弱点进行恶意攻击，从而窃取敏感数据，进行进一步的违法行为，如倒卖客户信息等，从而非法赢利；另一方面是内部员工利用职权非法窃取敏感数据，进行如倒卖客户信息等非法赢利行为，最终导致用户信息大规模泄露。将客户信息安全保护作为年度重点安全工作，要求进行重大应用系统安全漏洞（客户信息泄露）专项整治工作，引入专业第三方开展数据安全运营管理合规及安全基线评测服务，建立健全客户信息防泄露手段和数据安全审计系统策略和手段等措施来全面加强和提升客户信息安全保护工作。2.1.3网络安全业务监测近年来随着互联网的高速发展，计算机网络的资源共享进一步加强，基础电信业务运营商，具有网络规模大、用户数量众多、业务系统丰富而复杂等特点，随之而来的网络安全的风险日益加大。在一个开放的网络环境中，大量信息在网上流动，这为不法分子提供了攻击目标。计算机网络组成形式多样性、终端分布广和网络的开放性、互联性等特征更为他们提供便利。黑客利用不同的攻击手段,获得访问或修改在网中流动的敏感信息，窥视、窃取、篡改数据。其“低成本和高收益”在一定程度上刺激了犯罪的增长。使得针对计算机信息系统的犯罪活动日益增多。面对严峻的网络安全形势，甲方通过加强网络安全业务监测、分析能力，切实提高网络与信息安全保障水平，增强数据资产、应用系统的安全风险监测能力。2.3.1网络安全日常维保内容范围涵盖：1、甲方的各类数据资产，根据现场网络安全日常维保确定。2、系统测试：网络信息安全系统基本功能测试，系统数据准确性、一致性校验。2.3.2数据安全防护内容范围涵盖：1s甲方的各类数据资产。2、基础安全：网络单元定级备案、符合性评测、风险评估及渗透测试。2.3.3网络安全业务监测内容范围涵盖：1、甲方的各类安全设备、安全管控平台等。2、不良信息集中治理：不良网站监测、钓鱼网站监测、恶意链接监测、垃圾短彩信治理及策略运营、骚扰及诈骗电话治理及策略运营、安全模型优化等、业务安全审计、业务安全评估等。3、网络数据安全监测：客户信息安全监测、APP客户信息安全保护及风险评估。4、流程穿越：电话用户实名登记检查及暗访、网上客户信息售卖钓鱼、网站备案稽核及审查等。5、人才专业提升：网络安全人员能力提升、安全竞赛等。3.1、网络安全日常维保网络安全日常维保包括但不限于以下服务：日常巡检服务、日常维护及故障处理、基础网络风险评估工作、重点业务系统基线检查和日常安全检查。3.1,1日常巡检服务3.1.1.1技术要求按照要求乙方需满足定期对网络安全设备（包括但不限于防火墙、IPS、IDS、W'AF等安全设备和安全管控平台（包括但不限于4A系统、安全威胁分析与预警平台、网页防篡改系统等）进行巡检保障，乙方需满足定期对包括但不限于对平台、安全设备的负载、CPU、内存、存储等运行状态进行检查。3.1.2日常维护及故障处理3.1.2.1技术要求乙方需满足安全设备系统故障处理能力和日志分析能力，包括但不限于日志解析监控、数据异常处理、异常问题与故障处理等，同时满足一级、二级、三级、四级故障响应时间要求。3.1.3基础网络风险评估工作3.1.3.1技术要求1、乙方对包括但不限于IT资产主机操作系统、数据库、网络设备、中间件、WEB应用系统等安全检查和评估，检测工具需符合相关安全要求，并使用两种常见的检查工具，出具相应的安全报告。2、乙方对安全设备防护策列及安全漏洞进行梳理，并进行整改指导。3、乙方需提供安全风险比坏管理机制。重点业务系统基线检查3.1.4.1技术要求乙方参照工信部基线检查要求、检查项目、检查方式对甲方定级备案的基础网络单元及重点业务应用系统进行基线检查。乙方需提供基线检查工具，功能需包括但不限于支持检测操作系统和服务（数据库、服务器软件、容器等）的弱口令、账号权限、身份鉴别、密码策略、访问控制等安全配置，并提供检测结果,针对存在的风险配置给出加固建议。3.1.5日常安全检查3.1.5.1技术要求1、乙方参照上级主管单位安全检查要求、检查项目、检查方式对甲方定级备案的基础网络单元及重点业务应用系统进行日常安全检查，包括但不限于漏洞扫描，渗透测试，符合性检查等。2、检查维度包括但不限于操作系统、数据库、中间件、应用系统等。提供安全漏洞修复、系统补丁升级等。3・2、数据安全防护数据安全防护包含但不限于以下工作：数据安全制度流程建设、数据安全评估与动态分析、数据共享合规性管控、数据分类分级\脱敏、敏感数据泄露渠道监测、数据安全风险发现与处置、涉敏日志常态化审计、数据安全检查支撑工作。3.2.1数据安全制度流程建设说明信息安全合规检查矩阵与持续性检查机制（如明确内控体系建立思路、控制活动能够落实到具体岗位），并提交相关示例模板。注：根据对项目理解，需提供1、《数据安全管理体系优化流程图》及详解：包含对数据管理、运营、技术合规情况进行全面对标情况、具体现状评估内容、操作流程图；2、《数据安全防护现状评估矩阵》：包含组织机构、制度建设与保护措施、技术能力、数据全生命周期管理4个大类；3、《大数据平台安全的内控矩阵》：包含适用范围、所涉及业务流程、子流程、控制点描述字段；4、《安全职责细化示例》：包括管理、技术、执行三大体系，拆分出对应领域和控制点，并划分明细的责任角色；5、《数据安全运营管理合规检查表》：提供评估场景，以及对应的评估要求、评估办法。3.2.2数据安全评估和动态分析阐述内容需包括：1、对标的信息安全法律法规（至少应包括国家信息安全等级保护基本要求三级标准、《网络安全法》）。2、对标《数据安全法》，评估点要求全面。3、结合数据安全合规评估要点，明确数据生命周期管控流程要求。注：1、对标国家信息安全等级保护基本要求三级标准，对标《网络安全法》。2、对标《数据安全法》给出敏感信息资产梳理流程图：包括确定梳理目标及调研、资源申请、检测工具初始化配置、数据资产扫描必要环节；规划数据系统基础调研工作内容：有关键数据存储情况调研项、客户信息流向调研项、数据备份调研项、安全防护调研项、安全管理调研项工作内容等。）3.2.3数据共享合规性管控阐述内容需包括：1、包含但不限于第三方业务梳理、合作风险检查、管控流程优化、对外数据共享安全评估等，要求给出《数据业务合作梳理模板》、《合作风险检查列表》、《数据业务合作流程》示例。2、《数据业务合作梳理模板》：与第三方数据业务合作的信息台账，至少包含双方合作的基本信息如合同信息、合作内容、保密情况，安全审查情况。3、《合作风险检查列表》：应包含合作方公司风险检查、安全管理负责人和关键岗位的人员进行安全背景审查、数据业务合作安全风险检查3个方面，提出审查内容、方法和评判标准。4、《数据业务合作流程》：以具体部门举例，画出流程流转图等。3.2.4数据分类分级、脱敏通过提供数据分类分级、脱敏服务，实现基于但不限定角色、属性、强制性访问控制策略，对数据库进行动态脱敏，预防数据泄露等安全问题。脱敏要求如下：1、支持多种数据库类型的脱敏服务，包括但不限于ORACLE.MYSQL、SQLSERVER.VERTICA、DB2等等。2、身份管理方式应包含哪些，例如应用程序名、IP地址、主机名、操作系统账户、XX、XX等等方式。3、支持对生成的脱敏SQL与原始SQL对比，确保结果的正确性。2.5敏感数据泄露渠道监测敏感数据泄露渠道检测主要包含两个方面，一个是监控、另一个是审计；监控应明确包括但不限于：数据接口、数据采集、数据使用、策略识别等，对外传输内容审计、系统管理、数据下载审批等方面的安全审计。2.6数据安全风险发现与处置1、明确要求在规定时间内提供数据安全的应急预案，应急方案应包括哪些内容，如安全事件的监控机制、安全事件的触发条件、安全事件级别定义等等。2、明确数据安全事件溯源分析能力要求。3、数据安全事件处理结束后，在一周内提交完整的《数据安全事件分析及处理总结报告》，需明确规定报告内容包括哪些。2.7涉敏日志常态化审计至少包含以下内容：审计策略制定、关键数据审计流程图、基础安全审计事项及审计依据、数据安全审计事项及审计依据。（注：内容详实，包括四方面要素且基础安全审计事项及审计依据不少于6项（例如设备配置合规审计、系统主机安全审计、访问控制策略审计、管控平台接入合规审计等）、数据安全审计事项及审计依据不少于8项（例如数据采集变更审计、数据共享详情审计、主机敏感操作审计、数据库敏感操作审计、业务应用敏感操作审计等）。2.8数据安全检查支撑工作依据数据数据安全评估要点，明确上级单位开展数据安全检查期间相关的支撑工作以及检查前的监督检查工作内容。网络安全业务监测网络安全业务监测包含但不限于以下工作：监测对象信息资产收集、安全设备流量监测、脆弱性识别、威胁分析、安全措施及安全策略梳理、网络安全日常应急服务等。3.3.1监测对象信息资产收集明确监测对象资产清单梳理的内容，资产管理方式及更新周期。3.3.2安全设备流量监测对各类安全设备资源安全日志进行统一分析，监测分析日志中异常操作访问行为。明确日志审计范围（如操作系统日志、数据库日志、应用日志等等），日常审计周期，特殊时期日志审计周期，并明确要求生成报告时间。3.3.3脆弱性识别明确脆弱性检查要点（例如系统高中危漏洞、基线、弱口令等），检查对象涉及哪些层面（例如管理层、网络层、主机层等），脆弱性识别点越细越好，明确风险评估报告输出时间和要点。3.3.4威胁分析明确每周的安全威胁来源，对IT资产进行威胁分析的方法及工具，例如资产探测识别、分析操作系统配置，交换机VLAN的划分，路由器配置，安全设备的配置有效性等等。其次是现网