网络安全技术服务方案

网络安全技术服务方案一、项目概况为进一步提高本单位网络安全防护能力，确保网络环境安全稳定，特申请采购3年网络安全服务。主要服务内容包括：安全基线检查、Web和主机安全扫描、安全运维、安全加固与咨询、重保和护网、攻防演练及网络安全宣传、应急响应、安全设备支持等。二、项目内容（一）安全基线检查技术指标指标要求服务方式现场实施，2次/年服务内容根据既定的检查规范及方法，采用人工检查用表（checklist）、脚本程序或基线扫描工具对评估目标范围内的主机系统安全、数据库安全、中间件安全等进行系统的策略配置、服务配置、保护措施以及系统和软件升级、更新情况，是否存在后门等内容进行检查。服务要求检查内容包括但不限于：一、操作系统安全检查1.支持对Windows、Linux、Aix、Unix等系统进行安全漏洞及安全配置缺陷的检查与评估。2.检测内容包括（不限于）：身份鉴别方式、帐号安全设置、远程管理方式、多余帐号和空口令检查、默认共享检查、文件系统安、网络服务安全、系统访问控制、日志及监控审计、拒绝服务保护、补丁管理、病毒及恶意代码防护、系统备份与恢复、硬件冗余情况、硬盘分区格式等安全情况。二、数据库安全检查1.支持对MySql、Oracle、DB2、sql等数据库系统进行安全漏洞及安全配置缺陷的检查与评估。2.检测内容包括（不限于）：身份认证方式、帐号安全设置、管理权限和角色设置、多余帐号和缺省口令检查、数据库目录和文件系统安全、监听器管理设置、日志及监控审计、数据库版本和补丁管理、数据库备份策略、硬件冗余情况等安全情况。三、网络设备配置检查1.支持对防火墙、IPS（IDS）、路由器、交换机等网络和网络安全设备进行安全漏洞及安全配置缺陷的检查与评估。2.检测内容包括（不限于）：帐号安全设置、管理权限和角色设置、多余帐号和缺省口令检查、备份和升级情况、访问控制、路由协议、日志审核、网络攻击防护及端口开放、远程访问等安全情况。四、中间件安全检查1.支持对weblogic、apache、IIS、WAS等进行安全漏洞及安全配置缺陷的评估。2.检测内容包括（但不限于）：系统和中间件的可用性、系统和中间件的完整性、系统中间件和应用的性能、通过与系统使用中关键人员的访谈来评估系统整体要求、对系统结构及运营架构进行高层面的评测、定位系统的运作流程中潜在的风险区域、产生基于中间件的最佳应用准则的建议报告等。五、其他要求1.根据合理规划、区域隔离、风险可控的要求，结合业务系统的部署情况，分析学校现有网络架构、区域划分存在的安全隐患，并提出整改建议；2.基于信息系统现状，参照国家信息安全风险评估规范，对资产、威胁、脆弱性、安全措施进行识别和分析，确定风险计算模型，从物理层、网络层、系统层和应用层进行评估，全面分析系统面临的信息安全风险，并提供风险评估报告；3.协助学校找出校内隐藏的web服务器资产。4.根据学校现状及业务需求，制定近3年网络安全规划。输出物《安全基线检查报告》等（二）Web和主机安全扫描技术指标指标要求服务方式现场实施，4次/年服务内容一、Web安全1.Web漏扫。对指定网站、信息系统进行漏洞扫描，经人工验证扫描结果，按采购方要求输出扫描报告，并提供修复建议。漏洞修复后，提供漏洞复扫服务，直至修复完成。2.弱口令检测。提供指纹识别、暴力猜解等方法检测Web应用弱口令。3.Webshell检查。针对Web应用所有的文件进行安全扫描，发现网站上可能存在的Webshell、网页后门等恶意文件。4.敏感信息检测。检测发现Web应用中包含身份证号、银行账号、家庭住址等敏感信息，需人工识别确定，防止敏感信息泄露。5.不良信息检测。检测发现Web应用中的隐藏链接、可疑链接等，并对暗链内容进行内容识别，确定不良信息。6.网页木马检测。提供对各种挂马方式的网页木马进行检测分析，并对木马传播的病毒类型做出准确剖析和网页木马宿主做出精确定位，并提供处置报告并协助处理加固。二、主机安全1.主机漏扫。对服务器、网络设备、安全设备等主机设备进行安全扫描，人工验证扫描结果并输出安全扫描报告及修复建议。漏洞修复后，提供漏洞复扫服务，直至修复完成。2.弱口令检测。提供指纹识别、暴力猜解等方法检测主机弱口令，支持包括telent、ftp、ssh、pop3、smb、snmp、rdp、smtp、redis、oracle、mysql、postgresql、mssql、db2、mongodb等主流协议。验证扫描成果。3.对DNS服务的安全漏洞检查，包括DNS缓存中毒、DNS拒绝服务漏洞、签名欺骗等至少100种以上的相关漏洞库；4.对iOS、Android、Blackberry、windowsphone等操作系统，并提供至少50种以上的相关漏洞库；输出物《web安全扫描报告》、《主机安全扫描报告》等（三）安全运维技术指标指标要求服务方式现场实施，4次/年服务内容通过现场人员驻场的方式,对我校管理员日常的生产运营工作进行协助和支持,充分发挥专业的安全技术能力,保障客户网络运维、日常办公的有序运行。输出物《安全运维报告》等（四）安全加固与咨询技术指标指标要求服务方式根据学校要求进行远程或现场实施服务内容1.依据安全检查和评估的各项报告，针对信息系统各组件（服务器、应用系统、数据库、网络设备、网站等）存在的脆弱性，制定相应的加固方案。协助我校通过补丁更新、修补漏洞、安全配置增强、系统架构和安全策略调整等措施进行安全加固,帮助提升系统的安全性和抗攻击能力。2.定期提供最新病毒的防御方案、最新系统漏洞信息及其修复方法、最新发生的安全事件等内容的安全通告报告。3.同时学校提供所有关于网络安全的信息咨询。输出物《系统安全加固建议》、《网络安全资讯》等（五）重保和护网演练服务技术指标指标要求服务方式现场实施，提供每年≥20天驻场服务（每天8小时）服务范围采购方所有主机及业务系统服务内容1.在重大活动时期或护网演练期间，提供专业工程师驻场，利用人工结合工具等方式对单位信息系统、网站、服务器等资产进行实时监测，及时处理发现的系统安全事件。同时利用安全监测平台对安全威胁及事件进行取证溯源，并对内部安全设备策略进行配置优化，帮助用户建立完善的网络安全保障机制。针对重要系统，值守工程师模拟黑客的攻击思路进行排查，发现信息系统可能存在的安全威胁。除完成以上内容外，还需满足本单位提出的其他临时安全需求，并最终提交各项报告。2.护网演练期间，需提供蜜罐系统等安全设备。所提供的蜜罐系统功能参数要求如下：3.派遣专业工程师驻场值守，并提供重保方案及具有安全检测、安全防护、溯源取证等系统或设备，提升本单位网络安全防护能力，确保采购方网络安全。输出物《重保日报》、《重保总结报告》等。（六）攻防演练技术指标指标要求服务方式现场实施，≥1次/年服务范围采购方所有业务系统服务内容开展攻防演练,加强内部信息安全人才建设、培养,提升整体技术骨干攻防技能水平，促进日常信息化安全管理水平。提供攻防演练方案，针对指定信息系统，通过真实攻击，排摸用户网络环境可能存在的安全风险隐患，验证现有网络安全防护措施的有效性和可靠性，从而提高应对网络安全攻击和事件的水平和协同配合能力。服务要求1.从攻击、防守两方（红/蓝）角色进行网络实战攻防演练，提供演练前培训、演练实施以及演练后的总结回顾服务等内容。2.攻击场景包括但不限于信息篡改、信息泄露、潜伏控制，攻击方式包括但不限于web渗透、内网渗透、钓鱼欺骗、社会工程学。3.漏洞测试、攻击利用过程点到为止，需截图保存证据，禁止进行攻击破坏。4.演练结束后，应组织专家，汇总、分析所有攻击数据，汇总发现的突出问题，形成整改报告，并下发到责任单位，督促其整改及上报整改结果。输出物《攻防演练总结报告》等（七）安全宣传及培训技术指标指标要求服务方式现场实施，网络安全宣传周：≥1次/年；网络安全培训：≥2次/年服务内容1.助学校做好每年安全宣传周工作，包括网络安全宣传、网络安全宣讲、网络安全宣传海报、宣传手册制定等。2.提供每年≥2次网络安全培训，用以提升学校技术人员的安全意识和技术水平，并出具培训PPT。服务要求1.针对管理和技术两个层面制定阶梯性人员能力培训计划，通过安全培训使相关人员的安全意识、安全技术能力及安全管理能力有明显提升。管理人员主要包括：高层管理、业务专家等。培训目标：对管理人员的培训，使他们了解国家相关部门对系统信息安全管理和建设的相关标准，同时建立起一套具有针对性和适用性的安全管理办法。技术人员主要包括：操作人员、开发人员、维护人员等。培训目标：对技术人员的培训，使他们了解信息系统所面临的严峻安全威胁和挑战，以及如何进行全面有效的安全防护措施。全员培训主要包括：安全意识培训等。培训目标：全体成员的培训，、让大家对信息安全的有初步的认识和逐步提高安全意识，让安全事故可以得到有效的避免。2.投标单位需为信息安全测评中心授权培训机构；3.培训讲师需具备相应的信息安全专业资质，比如CISSP、CISP、ISO27001、CISAW、CCSK等。输出物网络安全宣传材料、培训课件等（八）应急响应技术指标指标要求服务方式根据学校需求服务范围采购方所有主机及业务系统服务内容服务期内，通过远程和现场支持的形式协助本单位对遇到的突发性安全事件进行紧急分析和处理。服务要求当出现安全事件时，必须及时进行响应，具体要求包括：1.技术人员在≤4小时内到达现场；2.对入侵事件进行分析，查找原因、溯源取证；3.抑制入侵事件的进一步发展，将事故的损害降低到最小化；4.排除安全隐患，消除安全威胁，协助恢复系统正常运作；5.提交应急响应报告及安全加固建议；6.提供安全专家团队远程协助进行应急响应处置工作。输出物《安全事件应急响应报告》等（九）设备支持类服务技术指标指标要求服务内容提供漏扫系统、云防护服务、APT设备，服务时间3年。其中漏扫系统、APT设备需安装在采购方机房。漏扫系统1.支持常见的WEB应用弱点检测，支持OWASPTOP10等主流安全漏洞，如：SQL注入、Cookie注入、Base64注入、XSS跨站脚本、框架注入、链接注入、隐藏字段、CSRF跨站伪造请求、命令注入、命令执行、代码注入、遍历目录、弱口令、表单绕过、文件包含、管理后台、敏感信息泄漏、第三方组件、其他各类CGI漏洞等各种类型；2.支持在漏洞知识库中单独选择某漏洞直接下发扫描任务以验证是否存在该漏洞；3.支持定制扫描：用户可根据；目标扫描网站的特点以及所在网络环境，对扫描过程进行定制，如爬行、检测、过滤、网络环境等；4.支持端口扫描和服务的协议及版本识别，支持自定义扫描端口范围；5.支持IP地址的形式下发扫描任务并自动发现存在的Web资产；提供功能截图证明；6.漏洞知识库支持漏洞描述、修复建议、CVEID、CNCVEID、CNVDID、CNNVDID、Bugtraq、CVSS分值、漏洞名称、风险等级、发现日期等维度查看；7.漏洞扫描系统Web扫描域名无限制，Web扫描任务并发数为5个域名。支持扫描A类、B类、C类地址，系统扫描支持50个IP地址并行扫描。标准1U机架式，1T硬盘，标准配置6个10/100/1000M自适应电口，2个扩展插槽,2个USB口，1个Console口，单电源。报价中包含三年漏洞特征库升级。8.支持同时下发系统扫描、Web扫描、弱口令扫描任务，无需单独下发扫描任务，扫描目标可以是IP、域名、URL的任一格式；9.支持扫描国产系统、数据库扫描。国产操作系统包括中兴新支点、中标麒麟、凝思、华为欧拉、深度、红旗，国产数据库包括神通、人大金仓、南大通用、达梦10.支持自动探测指定网段中的Web站点，并可一键转为Web资产或一键下发Web扫描任务；11.支持至少三种漏洞验证方式如浏览器验证、注入验证、通用验证；15.支持导出同时