应急运维效劳工程技术需求书

10中国文物信息询问中心应急运维效劳工程技术需求书2023111近年来国家文物局业务不断进展，系统和用户规模不断扩全大事应急处理力气，从技术和治理方面全面保障业务系统安效劳工程。工程目标升。通过本工程，主要到达以下目的：符合等保要求依据国家等级保护规定和要求，制定相应的技术和治理规要系统的安全防范力气。接轨国际标准比照国际信息安全标准〔主要参考ISO27001动治理水平提升，开展相关制度建设。心信息资产的完整性、机密性、可用性。建设安全队伍到日常工作中。提高信息化成熟度全保障程度的同时使整体信息系统治理水平再上一个台级。工程内容检查配置、漏洞扫描、安全配置核查、源代码审计、渗透测试、工作内容包括下述七大局部：安全风险评估效劳；安全加固效劳；源代码审计效劳；渗透测试效劳；安全培训效劳；应急响应效劳；应急演练效劳。标准依据和标准：《信息系统安全等级保护根本要求》GBT22239-2023《信息系统安全等级保护测评要求》GBT28448-2023《信息安全治理体系要求》ISO27001:2023工程打算20230630工程范围本工程涉及的信息系统主要包括国家文物局的10余个核心〔国家文物局考古审批系统、国家文物局文物进出境治理审批系统、国家文物局文博网络学院、国家文物局工程经费治理系统等、100本次工程涉及的软硬件资产主要包括以下对象：网络设备网络设备类型网络设备数量交换机12路由器3其他效劳器设备主机操作系统主机数量Window52Linux13其他数据库数据库类型数据库数量SqlServer10Oracle3其他安全设备设备类型防火墙WAF其他设备数量应用类型7网站类4业务类11其他应用系统数量8214业务需求安全风险评估效劳统的安全防护水平并为以后安全规划建设的提出供给依据和参等方面做出正确的选择。报告。1、资产识别的进展的资产投入。IP主机名、OS资产评估，给评估范围内资产进展分类评估并赋值。2、威逼识别统计，赋值，以便于列出风险。把觉察的威逼大事进展影响分析。3、脆弱性识别用的脆弱性，并对脆弱性的严峻程度进展评估。脆弱性识别方式：安全扫描、系统配置检查、操作系统配置检查、网络配置检查、应用配置检查、应用系统脆弱性测试。4、风险分析措施。5、风险处置打算降低安全大事造成的损失或削减安全大事发生可能性的的安实施应参照国家和行业的相关标准。本工程中可实行漏洞扫描和安全配置核查方法关心风险评估。安全加固效劳依据风险评估测评结果，针对国家文物局目前所存在的问方案、制定风险躲避/恢复方案、与各信息系统负责人确认整改方案及整改打算、全程参与实施各信息系统整改加固工作。源代码审计效劳web险。统自身的安全。放后使用、日志伪造、认证误用、缺少XML的JNI、SQL注入、缺少错误处理、会话idDebug检查表，通过人工对代码的阅读来觉察问题：次工程中重点关注的安全问题代码权限、资源治理等的通过率等以检查表为根底对代码进展检查，并对结果进展跟踪渗透测试效劳并对整改实施过程中遇到的问题供给技术支撑。面隐蔽字段、CookieWebWebSQLXSS〔跨站脚本CRLF〔PUDELETEWeb界面安全性、其他测试。安全培训效劳安全意识和安全技术水平将直接影响到整个信息安全体系建设安全治理力气的目标。应急响应效劳供给日常、重大节假日及敏感时期的信息安全应急响应服并针对安全大事形成的破坏做出灾难恢复。应急演练效劳练的预备、实施、总结和汇报。工程风险把握业务方：业务方需要全程参与并推动本次安全运维效劳；把握将工程的信息、资