态势感知安全服务项目

态势感知安全服务项目安全服务分包一：安全运维服务服务内容：网络安全技术支持服务：安全咨询；信息安全规划服务；关键信息基础设施风险评估；合规性协查服务；脆弱性检查服务；失陷主机检测；渗透测试服务；应急响应；安全培训；安全预警及通告。网络安全综合治理服务：网络安全技术防护体系检查；网络安全应急工作落实；信息安全等级保护制度落实。安全运维服务工具：网络安全监测探针、大数据威胁分析系统、失陷主机检测工具。（供应商自行采购或租赁并免费提供予业主方使用）安全服务分包一。技术参数：序号服务总项服务分项描述输出备注1网络安全综合治理服务网络安全技术防护体系检查协助采购人检查区域内教育重要信息系统的网络边界防护措施，网络接入安全措施；防病毒、防攻击、防瘫痪、防泄密措施及有效性；无线局域网安全接入防护措施；服务器、网络设备、安全设备等安全策略配置及有效性，应用系统安全功能设置及有效性；终端计算机、移动存储介质安全防护措施；重要数据传输、存储的安全防护措施；重要网络安全漏洞修复情况等。安全综合治理方案，检查表网络安全应急工作落实协助采购人检查网络与信息安全通报工作机制建设情况；网络安全事件应急预案制度修订情况、应急演练开展情况、灾难备份和恢复措施建设情况、应急资源配备和建设情况；重大安全事件处置及查处情况等。安全综合治理方案，检查表信息安全等级保护制度落实按照《信息系统安全等级保护基本要求》（GB/T22239-2008）、《信息系统安全等级保护定级指南》（GB/T22240-2008）、《信息系统安全等级保护实施指南》（GB/T25058-2010）要求，协助采购人检查信息系统分级分类管理落实情况，开展信息系统定级备案、安全测评和技术层面和管理层面安全建设整改情况。安全综合治理方案，检查表2网络安全技术支持服务安全咨询参照ISO27001国际信息安全管理体系、国家信息安全等级保护管理体系文件，协助采购人建立和完善网络安全风险防控体系，明确各部门职责岗位权限划分和责任归属，建立管理人员或操作人员执行的日常管理操作规程等。服务频率为一年服务期内两次。每年2次安全咨询报告一年信息安全规划服务对重医附一的信息化和信息安全建设情况开展调研，协助编制《重医附一信息安全总体规划》在规划中对安全现状、存在的主要问题、机遇与挑战进行分析；提出未来3-5年的信息安全工作的战略、方针和目标；梳理信息安全工作的主要任务和内容；形成相应的实施路线图；提出信息安全建设实施的重点工程；给出规划实施管理和保障相应措施的建议。服务频率为一年服务期内一次。重医附一网络信息安全总体规划关键信息基础设施风险评估提供每年两次的关键信息基础设施的风险评估服务，评估网络结构、网络设备、服务器主机、中间件、数据库系统、数据和用户账号/口令等安全对象目标存在的安全风险、漏洞和威胁，并提出相应整改建议，出具风险评估报告。服务频率为一年两次。每年2次风险评估报告合规性协查服务上级主管检查前开展自查，依据标准分析差距，查漏补缺，完成整改，确保系统安全状态高于平均基线，同时在检查时，提供检查所需一切技术配合工作。服务频率为一年服务期内一次。脆弱性检查服务对采购人现有系统的服务器、网络设备、数据库系统、应用中间件、安全设备的暴露面进行脆弱性检测与分析，并出具脆弱性评估报告。服务频率为一年一次。配置核查报告失陷主机检测针对终端、服务器建立终端威胁评估手段，通过终端的威胁特征及潜在威胁风险、安全缺陷进行抓取、分析、评估，帮助用户去检测、评估、自查本身终端安全威胁和风险服务频率为一年一次失陷主机检测报告渗透测试服务派遣专业团队对采购人指定的重要信息系统、网络信息系统进行抵抗入侵攻击能力测试。服务频率为一年一次。渗透测试报告应急响应根据重医附一系统实际运行情况，模拟可能发生的运行事件制定相应的应急预案，并协助组织应急演练。同时当发生网络安全事件时，通过远程和现场支持的形式协助对遇到的突发性安全事件进行紧急分析和处理。提供设备帮助用户发现威胁、感知威胁、处置威胁，为用户提供针对高级威胁的检测、响应、溯源一体化解决方案，应急市场一般不超过一个月。服务频率为一年服务期内一次。应急响应方案安全培训提供每年2次的对区域内相关人员进行网络安全与信息安全培训，提供培训所需的电子材料，通过大量的当前典型安全事件导入，强化人员安全意识，理解安全问题的重要性，掌握工作中的基本安全知识和安全技能。每年2次安全培训方案安全预警及通告提供全年服务，对最新安全威胁信息及安全事件及时通告。以邮件、传真、电话、现场汇报等方式进行预警通告，协助采购人及时了解下达最新安全动态，进行补丁更新，做好安全策略调整，完善安全保护措施。主要预警通告包括：系统漏洞安全通告（Windows、AIX、Linux、Solaris等）应用漏洞安全通告（Oracle、SQLServer、Sybase、Weblogic、Apache等)产品漏洞安全通告（含国内产品、进口安全产品等)行业安全事件通告（医疗行业发生的热点安全事件通告与分析）。安全通告服务资质要求安全服务原厂商具备《国家信息安全测评中心信息安全服务资质证书安全工程类三级》安全服务原厂商需具备CNCERT/CC网络安全应急服务国家级支撑单位，为CNNVD技术支撑单位资质以下所有安全运维服务工具，须由供应商自行采购或租赁并免费提供予业主方使用：服务设备描述网络安全监测探针（1套）1、软硬一体流量探针，硬件配置应不低于：CPU：IntelE5-2630主频2.20GHz以上；内存：≥32G；电源：支持冗余电源；存储：≥4TB；接口：2×1GE千兆电口（管理口），2×1GE千兆电口（监听口），2×10GE万兆光口（监听口）；并发会话：≥350W；新建会话：≥4W；流量吞吐：≥4Gbps。2、支持常见协议识别并还原网络流量，用于取证分析、威胁发现，支持：http、dns、smtp、pop3、imap、webmail、DB2、Oracle、MySQL、sqlserver、Sybase、SMB、FTP、SNMP、telnet、nfs等3、支持对流量中出现文件传输行为进行发现和还原，并记录文件MD5发送至分析设备，如可执行文件（EXE、DLL、OCX、SYS、COM、apk等）、压缩格式文件（RAR、ZIP、GZ、7Z等）、文档类型文件（word、excel、pdf、rtf、ppt等）4、支持常见数据库协议的识别或还原：DB2、Oracle、SQLServer、Sybase、MySQL、MongoDB、PostgreSQL等协议;(提供截图证明)5、支持自定义协议，可自定义私有协议(提供截图证明)6、支持威胁情报实时匹配检测和自定义威胁情报(提供截图证明)7、支持语义分析检测，提升未知威胁检测能力(提供截图证明)8、支持旁路IP阻断、域名阻断及重定向（提供截图证明）9、支持与分析平台、文件威胁鉴定器、Hadoop平台（kafka）、syslog服务器等联动（提供截图）大数据威胁分析系统（1套）软硬一体设备，硬件配置应不低于：CPU：Intel(R)Xeon(R)CPUE5-2630*22.20GHz以上，内存256G以上，硬盘48T以上；接口：4×1GE千兆电口。2、能够采集探针数据，能够存储所有采集还原后的关键流量数据（提供截图证明）。3、支持基于威胁情报的威胁检测，检测类型包含APT事件、僵尸网络、勒索软件、流氓推广、窃密木马、网络蠕虫、远控木马、黑市工具、其他恶意软件，并可自定义威胁情报(提供截图证明)4、支持对告警从多维度进行分析展示，维度包含：威胁情报、WEB攻击、邮件攻击、恶意软件、终端、沙箱、攻击链（侦察、入侵、命令控制、横向渗透、数据外泄、痕迹清理5、可基于机器学习和行为模型进行未知威胁和异常行为的检测，可检测异常行为包含：业务资产主动外连、HTTP代理、SOCKS代理、异常DNS服务器、DNSTunnel、reGeorgTunnel、DGA域名、异地账号登录、暴力破解、明文密码泄露、弱口令监测、敏感关键词邮件、敏感后缀邮件。6、支持DGA域名发现，通过结合机器学习技术发现动态恶意域名，检测行为特征包含包含请求域名以及检测的准确率(提供截图证明)7、支持弱口令监测、暴力破解，检测行为特征包含：登录IP归属、使用协议、爆破次数、爆破成功与否(提供截图证明)8、威胁事件的追踪溯源分析能力，可基于事件告警进行调查分析，对攻击过程进行可视化展现，可展示命中威胁情报的内部主机之间的连接行为，能输出完整的基于时间序列和攻击链的事件报告，事件报告支持word格式导出9、流量日志至少包含异常报文、域名解析、文件传输、邮件行为、Web访问、登录动作、FTP控制通道、数据库操作、LDAP行为、SSL加密协商等流量行为日志，并可按照以上应用协议的各个关键字段搜索日志（提供截图证明）10、支持对日志进行导出备份以及导入恢复（提供截图证明）11、支持展示网络风险指数、攻击三维地图展示、告警统计、受害主机统计、威胁检测统计、APT事件统计、攻击回溯、异常行为TOP5统计、攻击源国家TOP5统计、网络流量展示等内容(提供截图）12、投标产品具备《公安部销售许可证》、《计算机软件著作权登记证书》，提供证书复印件并加盖原厂公章；13、投标产品原厂商应具备较强的安服服务能力和漏洞挖掘能力，提供2017年1月1日至今CNVD原创漏洞提交证明（数量应不少于30000条）,提供以上证明材料复印件并加盖原厂公章。失陷主机检测工具（1套）即插即用小型便携设备，内置国密芯片，配备专用安全接口，保证整个评估过程的安全性和保密性。拥有AVE启发式杀毒引擎、QEX特征识别引擎、BD引擎，能够对主机恶意样本、APT样本进行检测，对主机进行快速扫描，对感染病毒、APT等进行检测、定位和查杀、删除等。提供产品外观照片等证明材料。安全服务分包二：互联网安全监测服务服务内容：互联网安全监测服务：网站安全监测服务、安全漏洞通报服务、网络安全监测预警等互联网安全服务。安全报告结果可通过国家安全中心重庆分中心（CQCNCERT）盖章确认。技术参数：序号服务项描述输出1网站安全监测服务CNCERT依托国家网络安全监测平台，在我国公共互联网上，开展针对用户单位拥有的网站（具体信息由用户单位提供）的网络安全外围性监测和预警通报，协助用户单位及时发现网站的安全事件和存在隐患。在监测发现针对用户单位网站的一般安全事件后，CNCERT及时以邮件形式内向用户单位指定人员通报；监测发现较大级别以上的网络安全事件后，CNCERT第一时间通过电话或短信向用户单位指定人员通报，同时以邮件形式通报事件发生具体情况，并对用户单位处置这类安全事件提供一定的远程技术支持服务。无2安全漏洞通报服务CNCERT依托于运行管理的国家信息安全漏洞共享平台（CNVD），收集、分析涉及用户单位的安全漏洞，一旦发现涉及用户单位相关产品安全漏洞后，第一时间向用户单位邮件通报，并向用户单位提供远程技术支持服务。一个季度有无漏洞都通报一次。每季度漏洞通报。网络安全监测预警（一） 甲方针对涉及乙方的互联网舆情和重大突发事件在信息监测、分析、研判以及课题研究等方面，根据乙方需求提供咨询和具体的技术支撑。甲方通过行业安全监管优势每月提供医疗行业的互联网舆情和重大突发事件报告和安全防护建议分析报告给乙方进行参考学习，以便乙方开展信息分析研判以及课题研，帮助乙方提高防护能力，如乙方发生报告中类似安全事件，甲方有义务给乙方提供咨询和具体的技术支撑，配合乙方解决问题。每年2次，输出物《半年度互联网舆情和重大突发事件报告及安全建议》、《应急安全事件处理报告》。（二） 甲方在关键信息基础设施和重要信息系统安全防护、风险评估、安全检查、等级保护测评等方面，根据乙方需求提供咨询和具体的技术支撑。甲方每半年按照等保2.0要求通过行业内通用安全检查工具（2款及以上检测设备交差检查）对乙方关键信息基础设施和重要信息系统安全防护、风险评估、安全检查、等级保护测评等方面工作进行安全检查并提供检查整改建议和整改后复核达标报告，以便乙方进行整改和相应加固处理过程管控，并在检查整改期间提供乙方需要的安全咨询和技术支撑每年2次，输出物《半年度安全检查、加固建议报告》、《半年度安全检查、加固复核报告》。（三） 甲方在网络安全态势感知、信息收集、预警通报和应急协调处置等方面，根据乙方需求提供咨询和具体的技术支撑。甲方通过行业内监管优势每月提供行业安全态势、信息通报和安全预警报告，对重大突发安全事件和重要保障时间需提供及时告警通知，在乙方出现通报类安全事件之前需及时通知乙方并进行安全预警沟通和应急协调处理，必要情况下提供相应技术支撑工作，不得无故使乙方承担行业通报等安全风险。每年2次，输出物《半年度安全行业态势报告及安全预警报告》、《应急安全事件处理报告》。3服务资质要求投标人资质要求：1、投标人具有ISO/9001质量管理体系认证证书。2、投标人具有ISO/27001信息安全管理体系认证证书。3、投标人具备中国网络安全审查技术与认证中心（CCRC)颁发的“信息安全服务资质认证证书”（包含信息安全应急处理）。供应商要求：1、中标供应商需提供最近两年（2017-2018）期间，曾作为重庆相关政府机构（市级网信办、CNCERT/CC网络安全应急服务、网络与信息安全信息通报中心）支撑单位证明材料，参与过安全检查工作，有较强的网络安全检查经验。须提供支撑证明合同复印件，并加盖公章，2、中标供应商具备中国网络安全审查技术与认证中心（CCRC)颁发的“信息安全服务资质认证证书”（容灾备份、风险评估、安全运维）三个方向，提供资质证书复印件，需加盖公章。3、中标供应商具有国家保密局颁发的“涉密信息系统集成资质证书”（业务范围包含系统集成和运行维护）。4、中标供应商具有重庆信息安全产业研究院专家库专家或网络安全顾问等称号的在职专家。5、中标供应商须为本项目提供1名具备PMP认证资格的项目经理，提供资质证明，同时为本项目提供的现场实施服务人员须具备CISP资质，不低于5人。6、中标供应商需提供技术方案，包括：服务内容、服务范围、技术工具、服务方式、时间和人员安排及提供服务报告模版。安全服务分包三：安全云防护服务服务内容：以及抵御OWASPTop10攻击行为，其中包括：SQL注入，跨站脚本，不安全的直接对象引用等等。漏洞速递：平台会将检测结果概要以邮件、微信、短信的方式发送给用户。同时，为了起到漏洞预警的效果，一旦出现大规模1day漏洞爆发事件，管理员会及时通过平台发出事件通知。技术参数：序号服务项描述输出1服务平台能力云服务平台能够提供常备不少于600G带宽储备；最大可弹性扩容至4TB；流量清洗服务器不少于1000个；线路支持：中国电信、中国移动、中国联通骨干带宽；无2WEB安全防护支持DNS负载均衡，提供多个DNS地址配置，不少于5个；支持混合解析，分省、分运营商、CDN+回源混合解析；支持泛解析，利用通配符*（星号）来做次级域名，以实现所有的次级域名均指向同一IP地址；无线路支持：提供多条运营商高速宽带。不少于50条。提供主要链路服务截图无通过云WAF等方式，对用户的访问请求进行监控过滤；能够抵御通用类型的SQL注入、文件包含、远程命令、WEBSHELL、XSS跨站、代码执行、文件注入等攻击威胁；协议支持：http、https、HSTS、websocket；无提供DDOS攻击防护能力，至少支持5G流量攻击峰值无能够隐藏被防护网站的真实IP地址；无支持自主设置IP的WAF拦截黑名单；支持自主设置WAF拦截IP白名单；无能够支持端口设置功能；支持配置非80、443端口以外的HTTP端口及端口转发策略；支持不少于200个非标准端口转发服务提供非标准服务端口列表信息截图无能够识别出不少于50种常见Web扫描器的自动化扫描和攻击行为，并进行阻断；无支持防护的URL地址（URL白名单）、不允许访问的URL地址（URL黑名单）各100条。无支持不进行防护的IP地址（IP白名单）、不允许访问的IP地址（IP黑名单）各100条。无能够支持报表自定义日期查询数据和日志下载功能，支持7天内访问/攻击日志的自主下载功能；无3管理功能可以支持自适应提供现有业务规模20倍的弹性防御能力支持多等级权限账号系统系统，可以设置超级管理账号，报表子账号，域名管理者子账号等类别支持基于不同功能组合的账号角色自定义支持云端https，并回源http；h