学院网络安全与等保2

学院网络安全与等保2.0服务方案（一）、网络信息安全服务技术要求本次安全服务内容有资产梳理、漏洞评估、渗透测试、业务上线前检测、信息安全制度梳理、配合监管检查、协助安全加固、网络安全培训、应急演练、应急响应等。1.资产梳理，要求提供1次/年的资产梳理服务，服务对象是学校信息中心IT资产，服务内容要求：采用人+工具的组合方式，主动或被动探测学校信息中心（服务器、应用系统、中间件、数据库、网络安全设备等）的资产信息，对资产进行全面梳理，发现数据中心出现的未报备资产，提前发现可能存在的安全隐患。梳理维度包括但不限于：名称、IP、端口、组件、服务等。服务输出结果是《资产梳理报告》。2.漏洞评估，要求提供12次/年的漏洞评估服务，服务对象是学校信息中心IT资产，服务内容要求：采用业界认可的、专业的扫描工具，通过定制的扫描规则，对业主制定的系统或主机进行一次全面的自动化安全扫描，人工验证扫描结果，并输出安全扫描报告及修复建议。详细如下：（1）.针对扫描检测发现的漏洞，进行分析验证和评估，按照不同维度对漏洞归类归档，如系统漏洞、应用漏洞、数据库漏洞等，并提出不响应的建议处置措施；（2）.按照不同漏洞维度提供不同的处置方式，如系统漏洞建议在数据备份前提下协助业主单位打补丁处理，应用漏洞建议由我司协助软件供应商处置升级版本、修改代码等处置。（3）.在对漏洞归类处置后，再提供一次漏洞的校验服务，保证漏洞评估的闭环处置。服务工具要求：（1）.本次服务工具支持对各种网络主机、操作系统、网络设备（如交换机、路由器、防火墙等）、常用软件以及应用系统、数据库的识别和漏洞扫描。（2）.本次服务工具要求支持用户自定义系统名称、版权信息和系统的Logo信息，而无需进行定制化。(3).为应当弱口令的危害，要求本次服务工具具备弱口令扫描功能，支持弱口令扫描协议数量≥22种，包括FTP、SMB、RDP、SSH、TELNET、SMTP、IMAP、POP3、Oracle、MySQL、MSSQL、DB2、REDIS、MongoDB、Sybase、Rlogin、RTSP、SIP、Onvif、Weblogic、Tomcat、SNMP等协议进行弱口令扫描，允许用户自定义用户、密码字典。(4).应用系统扫描能力要求，扫描结果在产品界面中支持查看目标应用返回的软件版本，可以方便与漏洞描述对比进行漏洞验证。服务输出结果是《漏洞评估报告》。3.渗透测试，要求提供2次/年的渗透测试服务，服务对象是学校信息中心重要应用系统，服务内容要求：作为漏洞评估服务的重要补充，渗透测试服务更多关注漏洞被利用后对全网造成的影响。真实的站在黑客视角采用无害攻击手段，模拟黑客真实的攻击行为，深度检验网络安全防线效果，并结合智能工具扫描结果，由高级工程师进行深入的手工测试和分析，识别工具弱点扫描无法发现的问题。主要分析内容包括逻辑缺陷、上传绕过、输入输出校验绕过、数据篡改、功能绕过、异常错误等以及其他专项内容测试与分析，重点发现信息系统应用层业务流程和逻辑上的安全漏洞和敏感信息泄露的风险，输出渗透测试报告，提出专业修复建议，协助解决网络安全风险问题。服务技术要求：为了更好达到学校提出关于渗透能力要求，本次服务提供方要求提供国家信息安全漏洞共享平台原创漏洞证明。服务输出结果是《渗透测试报告》。4.业务上线前检测，要求在服务期内按需提供业务上线前检测服务，服务对象是学校信息中心即将上线业务或变更业务系统，服务内容要求：协助学校信息中心对即将上线或变更的业务系统进行综合评估，提供合理加固建议，降低风险，提升业务系统上线后的健壮性和可持续性。包括：首先，通过安全漏洞检测，业务逻辑漏洞检测，异常文件检测，Webshell检测，安全基线核查等发现存在的安全风险，并记录；其次，根据上述检测发现的安全风险，输出整改建议，如漏洞修复、代码修复、安全策略加固、配置优化等。服务输出结果是《业务上线风险评估报告》。5.信息安全制度梳理，要求提供1次/年的信息安全制度梳理服务，服务对象是学校信息中心，服务内容要求：依据《网络安全等级保护制度》相关要求，结合《等保测评整改报告》的相关内容，协助学校健全网络安全组织架构和管理制度，明确学校及各部门网络安全相关责任，建立网络安全责任制。服务输出结果是《信息安全管理制度》修订版。6.配合监管检查，要求服务期内按需提供配合监管检查服务，服务对象是学校所有信息系统，服务内容要求：针对业主单位所有信息系统配合监管单位（上级单位等）开展安全检查，包括勒索和挖矿病毒排查，漏洞扫描等，同时对相关排查结果进行协助处置，按需提供服务输出结果。7.协助安全加固，要求服务期内按需提供协助安全加固服务，服务对象是学校所有检测出的安全风险，服务内容要求：根据安全巡检、漏洞评估和渗透测试等服务中对网络设备、主机系统、数据库、中间件是否存在不合规、不合理以及存在安全风险的配置和漏洞，再通过工具与人工相结合的方式，提出安全加固建议方案，做到合理加固，并保证业务的正常运行。服务输出结果是《安全加固建议方案》。8.网络安全意识培训，要求提供1次/年的网络安全意识培训服务，服务对象是学校相关工作人员，服务内容要求：专业的网络安全讲师为学校相关工作人员开展网络安全意识培训，通过课堂演示、案例剖析等多维度的授课方式，将网络安全风险防范意识有效地传递到每个人，使其、日常生活行为，降低信息泄露风险，提升网络安全风险防范意识。服务技术要求：为了更好的满足学校对网络安全培训讲师能力的要求，要求讲师具备风险管理方向的信息安全保障人员认证证书。要求输出结果是《安全意识培训定制PPT》。9.应急演练，要求提供1次/年的应急演练服务，服务对象是学校信息中心相关工作人员，服务内容：在服务期内，为应对信息系统遇到突发的安全问题如：发生网络入侵事件、大规模病毒爆发、遭受拒绝服务攻击等，无法及时对该事件进行处理或解决的情况，提前针对此类事件进行应急方案的编制和演练，当此类事件发生时以便进行快速应对处置。演练场景内容要求：演练场景应包括但不限于以下可选：(1).系统入侵攻击安全事件；(2).病毒与木马攻击安全事件；（3).网站页面篡改安全事件；（4）.数据库内部误操作。应急演练内容应包括但不限于以下可选：（1）.信息篡改：模拟针对网站首页篡改事件的监控和处理（利用上传漏洞或者弱口令实施攻击）。（2）.恶意代码：模拟某恶意攻击者，利用系统的弱口令，利用windows共享管理服务（tcp/445），获得对服务器的控制权限。服务输出结果是《应急演练总结报告》。10.应急响应，要求服务期内按需提供应急响应服务，服务对象是学校所有信息系统，服务内容要求：服务期内，通过远程和现场支持的形式协助客户对遇到的突发性安全事件进行紧急分析和处理。应急响应实施人员应及时采取行动，检查所有受影响的系统，抑制事件扩散和影响的范围，在准确判断安全事件原因的基础上，提出基于安全事件解决方案，追查事件来源，协助后续处置。出现安全事件时，第一时间响应：（1）、技术人员必须在1小时内到达现场；（2）、对入侵事件进行分析，查找原因；（3）、抑制入侵事件的扩散，将事故的损害降低到最小化；11.排除安全隐患，消除安全威胁，协助恢复系统正常运作；5、提交应急响应报告及系统安全改进方案。服务输出结果是《应急响应报告》。12.云防护系统：（1）、要求提供1套，要求支持1个一级域名、10个二级域名的站点防护。用户指定业务系统，要求可同时支持http、https协议，支持自定义站点端口，自定义端口数量不限。（2）、支持以SaaS化方式向云租户提供服务，无需在网站前端安装任何安全设备、软件，通过DNS别名指向到云端进行安全防护；（3）、支持产品内部的分权分域，在同一平台下每个租户只能查看自身网站和系统的安全状况，平台管理员可关注、查看所有租户的网站和系统整体情况。(4)、支持集群化和高可用部署架构，全国范围至少50个云防护节点，不会发生单点故障。(5)、支持检查提交的报文是否符合HTTP协议框架，如异常的请求方法、特殊字符、重点字段的缺失、超长报文造成的溢出攻击以及对高危文件的访问等。(6）、支持识别恶意请求，包括：跨站脚本(XSS)、注入式攻击（包括SQL注入、命令注入、Cookie注入等）、跨站请求伪造等应用攻击行为。（7）、支持对用户上传的文件后缀名和文件内容进行全方面检查，杜绝Webshell的上传和访问。可提供基于IPv6协议的转换与防护功能。具备流量监测的功能，基于用户的访问记录，实时检查被访问页面的安全状况，能够发现更深层次的暗链、Webshell等安全事件。。（8）、支持区域访问控制，限制国外用户或者国内以市为最低行政单位的区域进行访问控制。（9）、支持一键关停功能，当网站出现紧急安全事件时，可通过浏览器一键完成关停，防止产生恶劣影响。（10）、支持永久在线功能，当网站因为服务器故障、线路故障、电源等问题出现无法连接时，可显示云防护节点中的缓存页面。当在敏感期或特殊时期时，用户网站主动关闭期间可显示缓存页面，增强网站安全性。通过微信公众号查看网站整体防护态势，包含受攻击域名排行、攻击类型排行、攻击IP排行、攻击区域分布等状态信息；通过微信公众号完成防护配置，包括一键关停、防护模式切换等功能。提供访问和攻击日志查询与导出功能，可根据域名、URL、客户端IP、返回码、访问区域、访问时间段进行查询，查询后的日志数据可导出Excel文件。提供访问与攻击原始日志离线下载功能，可按天进行下载。原始日志包含访问IP、访问时间、URL、返回码、访问域名等信息.攻击日志至少保存6个月，满足《网络安全法》要求。可查看安全防护报告，包含攻击次数、攻击者区域统计、攻击者IP统计、攻击类型分布等报告。可查看网站访问报告，包含CDN加速流量、服务质量综合评价和关键指标信息、异常响应分析、访问区域统计、访问源IP统计、访问页面排行、访问终端、响应码分布等统计报告。k、支持单个网站生成报表，也支持网站群生成一个汇总报表，支持日报、月报，并支持html、word格式导出。根据不同告警级别发送邮件、短信、微信公众号等多种告警方式。具有7*24小时黑客监测值守及应急响应能力，并提供报告样例。具有云端7*24远程安全专家服务能力，提供7*24小时安全值守和应急响应服务。提供策略优化、配置调整、规则更新、问题处理、技术咨询安全事件通告等常规技术支持服务，实时监测和感知DDOS、持续性攻击、0day攻击等事件，并及时响应和对抗，同时在重大节会期间提供更高级别的安全响应服务。整体网站群攻击态势可视化分析，包括访问与攻击流量趋势、受攻击网站排行、攻击源IP排行、攻击类型排行等。支持单个网站可视化分析，包括防扫描告警、总体访问/攻击趋势、攻击源实时分析、IP追踪、访问量排行、防御能力分析等数据展示与挖掘。（二）、等级保护测评技术需求及内容(测评3个系统)1.服务内容等级保护测评应全面分析应用系统的安全保护措施与等级保护相应级别之间的差距，进行合规性分析，为系统等级保护加固整改提供客观依据，测评的内容包括但不限于以下内容：（1）、安全通用要求。含安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。安全物理环境测评主要关注机房在物理位置选择、物理访问控制、供电等方面的安全保护能力，具体测评指标描述如下所示。安全物理环境，物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、防静电、电力供应、电磁防护。安全通信网络，网络架构、通信传输、可信验证。安全区域边界，边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计和可信验证。安全计算环境，涉及身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、通信完整性、通信保密性、数据备份恢复、剩余信息保护、个人信息保护。安全管理中心，系统管理、审计管理、安全管理、集中管控。安全管理制度，安全策略、理制度体系、制定与发布、评审和修订。安全管理机构，岗位设置、人员配备、授权和审批、沟通与合作、审核与检查。安全管理人员，人员录用、人员离岗、安全意识教育和培训、外部人员访问管理。安全建设管理，系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、安全服务商选择。安全运维管理，环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防护管理、配置管理、密码管理、变更管理、备份和恢复管理、安全事件处置、应急预案管理、外包运维管理。（2）、个性化要求。根据各个系统的具体情况涉及到的各类扩展项。2.测评方法测评方法必须符合GB/T28448-2019信息系统安全等级保护测评要求，满足国家等级保护备案相关标准规范，在开展等级测评工作时，从管理和技术两个层面，通过多种方法来采集测评证据，以确定被测系统与基本要求之间的符合性。采集测评证据的方式分为“人员访谈”、“文件审核”、“现场观察”、“技术测试”等手段。人员访谈：测评人员与被测单位信息技术人员进行面谈，测评人员可以了解其职责范围、工作陈述、基本安全意识、对安全管理获知的程度等信息。文件检查：测评人员对被测单位与信息安全管理活动相关的所有文件进行审查，包括安全方针和目标、程序文件、作业指导文件和记录文件等。现场观察：测评人员通过到现场参观，观察并获取关于被测系统现场的物理环境、信息系统的安全操作和各类安全管理活动的第一手资料。技术测试：测评人员通过对测评对象采用各种技术手段，获得被测系统在技术性控制的效力及符合性方面的证据。这些技术性措施包括：自动化的扫描工具、网络拓扑结构分析、本地主机审查、渗透测试等。3.安全等级测评报告等要求（1）.供应商在测评后出具符合主管部门要求的系统安全保护等级测评报告；（2）.对上述系统不符合网络安全等级保护有关管理规范和技术标准的，供应商出具可行的整改方案，并为采购人提供整改咨询服务；（3）.供应商协助采购人完成信息系统安全保护等级测评的相关备案手续。（三）、动态仿真系统服务技术参数要求1软件版管理节点1个，支持10个软件探针（最大可扩容至20个软件探针），最多支持开启蜜罐数量不少于10个。2支持在Windows32位、Windows64位、Linux32位和Linux64位上部署探针。3支持在不同网段分布式部署探针节点，且共用一个管理节点。4支持IPv6协议，支持v4/v6双栈。5支持自定义添加多个蜜网模拟真实网络区域。6支持在蜜网内添加多个蜜罐服务，同一蜜网内的蜜罐可以互相连通。7支持运行真实SSH、Telnet、Samba、RemoteDesktop、FTP、VPN服务的蜜罐。8蜜罐受到攻击后，可以查询完整的连接建立与断开记录、用户密码登录记录、用户密钥登录记录、命令执行记录、文件遗留记录等。9支持运行真实MySQL反制、MongoDB、Redis、PostgreSQL、Memcached、MicrosoftSQLServer、MadiaDB、OracleDatabase服务的蜜罐。10蜜罐受到攻击后，可以查询连接建立与断开记录和完整的数据库操作记录。11支持运行真实Wordpress、Joomla、Jboss、Wiki、Webmin、Weblogic、邮件、CRM、OA、Zabbix、堡垒机、WAS、Jenkin、HRM服务的蜜罐。12蜜罐受到攻击后，可以查询到所有的访问请求记录、Web攻击记录和用户密码登录等事件记录。13支持运行存在真实漏洞的蜜罐，包括Shellshock、Struts2、Eternalblue、tomcat、Shiro等，并可以通过POC验证。14支持运行Win7、Win10、WindowsServer2016、CentOS操作系统蜜罐，有完整系统架构和真实交互（高级版硬件M50、高级版软件、尊享版软件全部支持，其他版本支持CentOS）。15支持上传网站页面和数据库文件生成Web蜜罐，当蜜罐受到攻击时，可记录Web攻击事件，可溯源攻击者信息。16支持通过蜜罐模版修改蜜罐的页面信息、用户名密码、数据库数据等内容。17支持运行学习真实Web类业务服务的蜜罐。18蜜罐受到攻击后，可以查询完整的连接建立与断开记录和Web攻击记录。19支持运行学习真实的基于TCP协议的业务服务的蜜罐。20蜜罐受到攻击后，可以查询完整的连接建立与断开记录。21支持上传蜜罐证书。支持以HTTPS的方式访问Web蜜罐。22支持为Web蜜罐预置Webshell，能够记录攻击者对其的连接行为和连接成功后的操作，包括命令执行、代码执行等。23具备自主研发的语义分析引擎，可以感知攻击者对Web服务蜜罐发起的攻击请求，并智能识别其Payload攻击类型和威胁等级。24支持实时记录蜜罐访问流量，并支持PCAP格式下载。25系统服务蜜罐会记录蜜罐系统内Bash执行的系统命令及其参数。26支持记录攻击者在数据库蜜罐中的增、删、改、查操作。27支持监控蜜罐内文件的新增、修改、删除，并支持变更文件的下载。28支持识别出攻击者在蜜罐中上传的恶意文件，包含病毒、木马、启发型病毒、漏洞利用文件等。29探针可以自定义监听1-65535的任意端口。30探针可以同时感知到使用TCP协议和UDP协议的探测。31探针感知探测后，可以查询完整的端口探测过程和探测中发送的数据。32探针可以感知到Null、Xmas、SYN、SSH、Curl等探测方式。33探针能感知到Ping扫描，被Ping后能够记录下Ping扫描源。34探针能够感知到ARP欺骗攻击，被ARP欺骗攻击后能够记录下攻击日志，至少包含被伪装的IP、IP伪装前的MAC地址和伪装后MAC地址。35支持检测攻击者从蜜罐docker逃逸的行为，并实时告警。36支持溯源攻击者的真实外网IP位置、代理IP。37支持溯源攻击者的账号信息，包含百度、微博、163邮箱、CSDN等（以实际测试为准）。38支持溯源攻击者的操作系统信息和浏览器信息。39支持攻击反制功能，能反控攻击者PC，获取设备信息、网络信息、系统文件等内容。40支持Mysql反制功能，能监控Mysql服务入侵行为并实现攻击机器的反制，能读取攻击设备的主机名称、邮箱、文件等信息。41支持Git反制功能，能在Web蜜罐上伪装Git源码泄漏缺陷。能监控源码泄漏扫描和攻击行为。能实现对对应攻击机器的反制，反制后能读取攻击设备的主机名称、邮箱、文件等信息。42支持展示在自定义时间内的入侵事件类型分布和攻击IP分布，并且以图表的形式呈现。43支持聚合攻击源信息，并以图表形式呈现。44支持聚合攻击者信息，根据攻击者特征描绘攻击者画像。45支持实时监控大屏，至少能够展示探针蜜罐拓扑图、最近告警信息、入侵事件时间分布、受到入侵的探针TOP5、发起入侵的源IPTOP5、CPU使用率、内存使用率等实时监控信息。46支持全局事件统计，能显示不同时间段的事件数量。47支持威胁IP排行和攻击事件排行。48支持对不同的安全事件按威胁程度进行分级。49支持以时间线的形式返回黑客入侵全过程，支持以视频的形式回放用户的命令行操作记录。50Win7、Win10、WindowsServer2016蜜罐可支持攻击事件全流程记录和视频回放。（高级版硬件M50、高级版软件、尊享版软件支持）51能够查看事件详情，至少支持连接异常、行为异常、文件变动等。52支持导出一段时间内的安全分析报告。53支持以json、csv和xls格式导出日志。54支持对告警进行记录和处置，支持记录告警处置历史。55支持在感知到威胁时，实时显示告警弹窗。56支持以邮件的形式实时告警。57支持在感知到威胁时，实时发出声音告警。58支持以短信等形式实时告警。59可告警内容包括蜜罐入侵事件、扫描事件、攻击者溯源事件、探针节点状态变化。60告警通知至少支持TLS加密、SSL加密和不加密61支持监控管理节点的运行状态，包含CPU、内存、磁盘利用率等。62支持监控已部署的蜜罐信息，包含蜜罐名称、当前状态、蜜罐服务信息。63支持通过管理界面实时监控探针运行状态。64支持通过管理界面对不同探针关联不同蜜罐服务。65支持通过管理界面升级探针。66支持通过上传安装包升级探针。67支持探针分组分区管理。68支持通过管理界面配置和下载互联网诱饵和主机诱饵。69支持按源IP及端口和目标IP及端口的方式设置白名单。70支持设置白名单的生效范围。71提供API二次开发接口，通过动态的Token进行身份验证。72支持设置Web蜜罐源IP获取方式，可设置从XFF第一层中获取源IP，以实现和WAF、负载均衡等设备的联动。73支持手动归档和自动归档。74支持以Syslog形式将日志同步到第三方服务器，支持发送到多个服务器，支持TCP、UDP两种同步方式。75支持