粮食和应急物资综合管理信息平台安全运营服务需求

粮食和应急物资综合管理信息平台安全运营服务需求一、项目概况通过采购安全运营解决现有网络安全管理人员和人员专业技术能力不足，无法满足日常网络安全管理的需要；通过完善技术体系，解决等保测评机构提出的差距项，增强等保信息系统的防御能力；通过积极参与攻防演练提高对信息系统的网络安全对抗能力，提升单位的整体安全防御水平；安全运营整体质量要求：通过开展网络安全运营工作，保障省平台和库软件中高危漏洞100%闭环修复率，在重大节假日和重要国家活动期间对信息系统提供7*24小时安全保障，拦截各类网络攻击，记录各类攻击信息，开展追踪溯源及时对系统安全情况预判和整改，确保运营服务周期内网络安全零事故，各类网络安全攻防演练零通报；二、技术和具体需求2.1安全运行保障类服务2.1.1互联网资产发现服务互联网资产发现服务的技术要求：1)服务内容：通过数据挖掘和调研的方式确定资产范围，基于IP或域名，采用网络扫描、搜索引擎等多种探测技术，对暴露在互联网上的主机/服务器、安全设备、网络设备等进行主动发现，并形成资产及应用列表；在资产及应用发现的基础上，安全工程师对每个业务梳理分析，依据信息系统实际情况、业务特点、资产重要度等信息，结合信息安全的客户实践进行归纳，构建起互联网资产画像；2)服务要求：本工作计划每月开展1次，共12次；3)服务成果：1.输出《互联网暴露面资产检查服务报告》；2.互联网资产监管覆盖率（指发布在互联网应用全覆盖）：100%；具体需求1、提供的互联网资产发现服务，为保证能够更全面的探测互联网资产的情况，的服务节点需分布在全球各区域和主要运营商的骨干和边缘节点，数量不少于2000个，需提供官网截图证明并加盖公章，以说明其在互联网侧的探测能力；2、提供的《互联网暴露面资产检查服务报告》内容包含但不限于人员数据、系统数据、移动端应用数据、疑似代码泄露数据、邮箱数据和域名数据等；2.1.2态势感知安全运营服务态势感知安全运营服务的技术要求：1)服务内容：通过云化SAAS服务，重点监管目标网络安全事件、威胁来源和组织，全面掌握网络安全情况、威胁情报线索，对省粮食和应急物资综合管理信息平台和企业库点信息系统软件网络安全态势输出相关成果，成果至少包含风险态势、攻击趋势、网络安全态势、入侵态势，帮助监管单位更全面、更准确、更高效地行使信息安全监管职能；2)服务要求：本工作计划每周开展1次，根据SAAS化的安全态势感知提供的监测、评估信息，对省粮食和应急物资综合管理信息平台和企业库点信息系统的风险态势、攻击趋势、网络安全态势、入侵态势及时形成安全态势评估报告，记录备案；3)服务成果：服务输出物如下：1.《省粮食和应急物资综合管理信息平台安全态势风险评估和处置报告》；2.《企业库点信息系统安全态势风险评估和处置报告》；3.《重大安全事件回溯报告》（如发生重大安全事故）；4.《重大安全事件响应报告》（如发生重大安全事故）；具体需求为更好的提供态势感知安全运营服务：1、提供的态势感知运营平台需支持展示服务器的重点风险和服务器的入侵信息；支持对主机进行威胁程度排行并展示；支持安全总览、风险发现模块，便于定位到安全事件或入侵主机；2、提供的态势感知运营平台需支持安全大屏展示主机安全态势信息；3、提供的态势感知运营平台需支持事件处理模块：需支持安全告警推送功能；需支持新上报事件的自动推送功能；需支持对已有安全告警事件批量处理功能；2.1.3节假日安全保障服务节假日安全保障服务的技术要求：1)服务内容：在重大节假日和重要时段（如春节、两会、国庆等），派驻专业的安服工程师承担安全保障服务；2)服务要求：在重大节假日和重要时段（如春节、两会、国庆等），派驻专业的安服工程师承担本地值守服务，在值守期间完成每日系统巡检和每日3次报平安动作，同时安服工程师需对其巡检动作形成文档记录；系统连续性>99%；系统可用性>99%；服务人员到场率：100%；服务模式：提供7*24小时服务；事件处理响应时间：严重安全事件10分钟，一般安全事件30分钟；事件处理到场时间：严重安全事件2小时，一般安全事件12小时；事件初步处理时间：严重安全事件2小时，一般安全事件24小时；事件最终处理时间：严重安全事件6小时内，一般安全事件24小时内；3)服务成果：服务输出物如下：《安全值守日报及总结报告》；具体需求1、承诺在重大节假日和重要时段（如春节、两会、国庆等），每年预计为70天，派驻专业的安服工程师承担本地值守服务，在值守期间完成每日系统巡检和每日3次报平安动作，同时安服工程师需对其巡检动作形成文档记录；（以上服务需提供服务承诺函并加盖公章，不提供的不得分）2.1.4网络边界管控服务网络边界管控服务的技术要求：1)服务内容：根据《网络安全法》和等保2.0的要求，网络使用单位需对网络出口进行访问控制，并记录相关访问日志不少于180天要求，服务方需在局网络边界出口布控管控工具，实现对网络出口的管理，并按月生成网络使用日志报表，并存储不少于180天的日志；所用工具支持导入防火墙日志，实现等保要求的180天日志连续存储；2)服务成果：2.服务输出物如下：《网络边界管控服务周报》具体需求1、提供的网络边界管理服务，需对采购人单位内的的网络出口进行访问控制，并记录相关访问日志不少于180天要求，按月生成网络使用日志报表，并存储不少于180天的日志；2、提供的边界主机管控工具需支持Linux、Windows操作系统，需支持对二进制病毒木马、webshell进行检测；需支持对病毒标识病毒特征、紧急程度等关键信息，需支持对病毒样本进行留存，提供查看、下载等功能；3、为了更好应对采购人网络架构及后续整改加固需求，需要拥有自主知识产权的边界接入产品；4、提供的边界接入产品需兼容用户相关桌面操作系统，支持银河麒麟桌面操作（飞腾版），银河麒麟桌面操作（鲲鹏版），银河麒麟桌面操作（兆芯版），银河麒麟桌面操作（海光版），银河麒麟桌面操作（AMD64版）等；5、提供的边界接入产品需兼容用户相关服务器操作系统，支持银河麒麟服务器操作（飞腾版），银河麒麟服务器操作（鲲鹏版），银河麒麟服务器操作（兆芯版），银河麒麟服务器操作（海光版），银河麒麟服务器操作（AMD64版）等；6、提供的边界接入产品需兼容用户相关服务器操作系统，支持统信服务器操作系统；7、提供的边界主机管控工具需支持攻击面可视化分析，图形化展示攻击链路，并能够关联网络连接信息、弱口令信息、漏洞信息等信息；8、提供的边界主机管控工具需支持对进程规避排查行为进行检测，包括但不限于无文件检测、内核进程伪造、进程名伪造等；9、提供的边界主机管控工具需支持采集访问行为统计，需要包含访问时间、目标IP、访问协议；支持用户网络质量分析，包括underlay、overlay、公网质量三个维度，质量指标包括时延、丢包等；10、提供的边界主机管控工具需支持接入终端的健康检查，检测内容包括设备授信检测、系统共享资源检测等；支持设置终端检测周期及针对不同检测内容进行灵活的扣分设置；支持自定义检测项，检测项基于软件、端口、文件、服务、补丁；支持自定义终端健康状态，支持健康状态分为健康、低危、中危、高危、超危五个等级；2.1.5互联网侧云防护服务互联网侧云防护服务的技术要求：1)服务内容：对于省粮食和应急物资综合管理信息平台及企业库点信息系统，需要提供实时监控和防护服务，协助建立安全风险监测机制，对安全隐患具备“先发现”的安全能力；本项服务对采购人在互联网上发布的业务部署云防护服务，实现防扫描、防渗透、防DDOS攻击，同时提供替身技术，虚拟补丁服务，保障互联网业务平台的稳定安全运行；2)服务成果：服务输出物如下：1.《系统木马检查周报》；2.《系统安全监测和云防护服务周报》；具体需求1、提供的互联网防护工具，需支持按域名进行规则配置，可针对规则粒度进行选择防护、监控模式；支持针对域名+规则粒度进行防护策略配置；2、提供的互联网防护工具支持威胁情报功能，威胁情报包括行业攻击情报、特定攻击类型情报、攻击资源类型等多种情报，支持将威胁情报应用到防护中，一键对威胁IP开启阻断；3、提供的互联网防护工具，需支持提供登录控制台给采购人进行自助操作，且控制台能完成添加/修改/删除防护域名，修改防护配置等操作；4、提供的互联网防护工具支持对互联网主机进行攻击面分析，能够对进程、紧急风险、开放端口信息进行关联，识别攻击面与攻击链路；5、提供的互联网防护工具支持攻击面可视化分析，图形化展示攻击链路；支持关联网络连接信息、弱口令信息、漏洞信息；6、提供的互联网防护工具支持Web应用防火墙（WAF）服务，提供的WAF安全服务有中国信息通信研究院的安全能力检验证书，并提供证书证明及加盖公章；7、提供的互联网防护工具支持Web应用防火墙（WAF）服务，提供的WAF安全服务有国家信息安全漏洞库(CNNVD)兼容资质证书，并提供证书证明及加盖公章；2.1.6日志审计分析服务日志审计分析服务的技术要求：1)服务内容：1.对账号设备的操作、网络行为、日志进行审计；客户可以直接使用各类原生日志，也可以使用日志审计服务提供的审计功能，构建并输出合规的审计信息；2.通过事件管理条件快速过滤事件或日志原文，实现多维视角捕捉未知安全事件，帮助用户在日常安全运行中，实现多设备安全事件的关联定位；3.定期执行日志集中任务，并对日志进行有效期和等保180天存储要求的验证；2)服务成果：服务输出物：1.《日志审计检查周报》；2.《安全问题核查整改工单》（如日志审计发现安全问题）；具体需求1、提供的日志审计分析服务需要满足日志存储180天的要求，且能够在发生安全事件时及时检索；需支持对安全事件中的重点字段进行统计，以便快速分析字段各值出现的数量、出现的比例；支持分析各个字段的稀缺值，提供可视化统计图表功能；2、提供的日志审计分析服务客户端安装应简单易用，不影响业务正常运行，不需要重启业务或系统，不修改内核驱动，不劫持关键函数，不覆盖关键应用；3、提供的日志审计分析服务支持多种日志采集方式，包括但不限于客户端采集、syslog采集等方式；4、提供的日志审计分析服务支持网络设备日志结构化解析，支持的网络设备包括但不限于华为、H3C等型号网络设备；5、提供的日志审计分析服务支持syslog接收端能够适应端口管控场景，支持只开放一个syslog端口的方式，支持通过源IP、主机名信息对日志源进行管理；6、提供的日志审计分析服务支持索引配置时对部分日志类型进行统计字段选择，字段重命名；7、提供的日志审计分析服务支持对操作系统审计日志的结构化解析，包括但不限于audit、sysmon，支持配置自定义规则；8、提供的日志审计分析服务支持对日志进行统一查询，能够通过切换索引查询各类日志，索引展示具备分类信息；9、提供的日志审计分析服务支持统计并展示数据源、索引的概览信息，支持对索引分布、排行进行统计分析，支持对数据源分布、排行进行统计展示；10、提供的日志审计分析服务支持对资源进行管理，能够展示日志存储集群的CPU、内存、硬盘使用率；2.1.7数据库审计分析服务数据库审计分析服务的技术要求：1)服务内容：1.持续监控分析业务SQL执行的健康状态，对高耗时、性能、差的SQL统一分析，提供报表有助于业务访问优化，保证数据库时刻高效运行；2.工程师通过大数据搜索技术提供高效查询审计报告，定位事件原因，以便日后查询、分析、过滤，实现对目标数据库系统的用户操作的监控和审计，为采购人保护自身合法权益提供必要的依据；3.定制了各种法规遵循向导和报表，以方便用户完成法规遵循；遵循系统内置的法规遵循主要包含：等级保护（二级和三级）、个人数据保护要求；4.对于任何不认识的新面孔和操作进行识别并告警：包括新发现的IP地址、应用程序、数据库账户、应用账户，访问对象、访问操作、SQL语句等，进行重点分析和告警；2)服务成果：服务输出物如下：《数据库审计分析服务报告》具体需求1、提供的数据库审计分析服务需支持多种数据库类型，包括MongoDB、HBase、Hive、Redis、Elasticsearch、Cassandra、HDFS、Impala、Graphbase、Greenplum、SparkSQL、SSDB、ArangoDB、Neo4j、OrientDB等数据库的审计；2、提供的数据库审计分析服务具备单独的性能分析页面，支持按照SQL执行时长对资产进行排序，支持按照客户端IP和数据库账号展示慢SQL来源，支持展示TOPSQL（平均执行时长TOP、执行次数TOP、总执行时长TOP、执行时长TOP）；3、提供的数据库审计分析服务支持数据库请求和返回的双向审计，特别是返回结果集需包含返回字段、执行状态、影响行数、执行时长、客户端工具、主机名等内容；支持通过设置保存行数、最大保存长度来控制返回结果集的大小；4、提供的数据库审计分析服务支持在双向审计场景下根据以往审计命中情况设置结果集存储策略，支持设置保存行数与最大保存长度；5、提供的数据库审计分析服务支持对执行语句进行风险规则匹配，需支持SQL注入检测与高危语句检测，需支持超长SQL语句（最长4M）审计；6、提供的数据库审计分析服务支持在审计日志中一键添加过滤规则；支持在告警规则中一键添加信任规则或规则白名单；7、提供的数据库审计分析服务支持自定义报表，自定义报表支持告警名称、告警等级、操作类型、操作系统用户名、数据库名/实例名、主机名、数据库账号、客户端IP、客户端工具、数据库类型、客户端端口11种统计维度，支持来自审计日志、告警日志、会话日志的29种统计指标，根据以上条件进行灵活选择后生成报表；8、提供的数据库审计分析服务支持对在线数据的备份，支持调整备份压缩等级，支持展示数据备份进度；9、提供的数据库审计分析服务支持将同步设备时间与浏览器时间进行同步，支持页面修改时间同步配置例如同步服务器、是否自动同步等；2.2安全风险评估类服务2.2.1服务器威胁分析服务服务器威胁分析服务的技术要求：1)服务内容：以服务器资产信息为基础进行分析运营，捕捉资产动态变化隐藏的威胁，针对特定的漏洞信息在可管理资产范围内进行影响范围排查，重点关注web资产，对资产开放服务、端口以及配置、漏洞等变化进行检索，快速对0day等新漏洞进行动态清零，同时从异常行为、应用入侵、风险发现、主机失陷四个方向，针对服务器侧威胁进行深度分析和精准研判，从工具告警中剥茧抽丝，发现潜在的恶意攻击；极大化地降低风险；2)服务要求：提供现场保障，本工作计划每月开展1次，共12次；3)服务成果：服务输出物：《服务器失陷分析报告》（当服务器发生失陷事件时提供）；具体需求1、提供的服务器威胁分析工具需支持动态微蜜罐功能，支持配置监听端口，能够对监听端口的访问源IP进行记录，捕获横向渗透、内网扫描等攻击行为；支持智能识别端口占用状态，保障端口优先提供给业务进程使用；2、提供的服务器威胁分析工具需支持对进程进行病毒检测；支持对进程的链接库进行病毒检测；支持对合法进程的恶意行为进行检测，如ssh软连接后门，反弹shell等；反弹shell需包括但不限于:bash反弹、nc反弹、perl反弹、php反弹、python反弹、管道反弹等；支持内网主机间流量可视化能力展示，以便及时定位问题主机；3、提供的服务器威胁分析工具支持服务器主机安全信息自动标注，包括但不限于攻击链信息、暴露面信息、是否入侵信息；4、提供的服务器威胁分析工具支持针对紧急漏洞，支持进程、端口信息关联梳理攻击链路；5、提供的服务器威胁分析工具支持对服务器后门帐号行为进行检测，包括但不限于UID为0非root帐号、定时后门帐号、无密码sudo帐号、影子帐号等；6、支持JAVA内存马检测，需要支持Filter、Listener、Servlet、Interceptors类型的内存马检测；7、提供的服务器威胁分析工具支持对进程的隐藏行为进行检测，避免进程被隐藏后绕过其他安全检测，需支持mount方法、应用态rootkit、内核态rootkit对进程的隐藏行为；需要能够检测进程的隐藏行为，被隐藏的病毒进程需要能够被病毒检测模块识别；8、提供的服务器威胁分析工具支持恶意指令检测，检测访问包括但不限于：下载执行、提权、渗透工具执行、清理痕迹、后门、代理、敏感文件查看；9、提供的服务器威胁分析工具支持异常进程关联可视化，便于用户针对服务器威胁的入侵行为进行还原；10、提供的服务器威胁分析工具支持登录日志全量审计，需对登录帐号、登录IP、登录地、成功与否、登录帐号是否存在等信息进行详细记录；2.2.2渗透测试服务内容渗透测试服务内容的技术要求：1)服务内容：依托人工和专业工具，对业务系统进行专项渗透测试，通过模拟入侵者的一些常见攻击与入侵手法进行安全测试，通过充分暴露和发掘系统中潜在的漏洞，能直观的让管理人员知道自己维护的系统中仍然存在的安全缺陷，并提供加固建议；尽可能全面发现业务系统的漏洞，对发现的问题进行详细描述，发现其安全脆弱性，提供渗透测试报告，并提出加固建议，确保监管单位安全检查、外部安全平台不会通报应用漏洞；2)服务要求：提供现场保障，本工作计划每月开展1次，共12次；3)服务成果：服务输出物如下：1.《省粮食和应急物资综合管理信息平台渗透测试报告》；2.《企业库点信息系统渗透测试报告》；3.《省粮食和应急物资综合管理信息平台渗透测试回归报告》；4.《企业库点信息系统渗透测试回归报告》渗透测试报告至少需包含漏洞位置说明、漏洞挖掘过程、修复建议；具体需求1、提供的渗透测试服务使用的探测工具系统应支持检测的系统漏洞数不少于19万，覆盖CVE、CVSS、CNVD、CNNVD、CNCVE、Bugtraq多种漏洞标准；2、提供的渗透测试服务工具需支持大数据组件框架漏洞检测，如zookeeper、ElasticSearch、ActiveMQ、Kibana、Hadoop等；3、提供的渗透测试服务识别工具应支持网站暗链检测，发现网站中存在的隐藏链接；2.2.3代码审计服务代码审计服务的技术要求：1)服务内容：为保证省粮食和应急物资综合管理信息平台和企业库点信息系统代码的安全性，安全工程师对业务软件功能、架构、运行环境和编程语言等实际情况进行摸排，采用人工审核和自动化审计工具的方式进行代码安全审计，通过审计发现安全缺陷并定位到具体的代码给出整改建议，提出整改建议最终形成书面报告，2)服务要求：提供现场保障，针对省粮食和应急物资综合管理信息平台和企业库点信息系统2个系统，开展1次；3)服务成果：服务输出物：1.《省粮食和应急物资综合管理信息平台代码审计报告》；2.《企业库点信息系统代码审计报告》；具体需求1、提供的代码审计服务，采用人工审核为主，结合自动化审计工具的方式进行代码安全审计，通过审计发现安全缺陷并定位到具体的代码给出整改建议，并最终形成书面报告；2.2.4钓鱼邮件测试服务钓鱼邮件测试服务的技术要求：1)服务内容：基于社会工程学原理，结合客户网络环境、邮件使用习惯和特征，以热点事件和系统使用场景为主题，精心构造极具迷惑性且含有恶意链接的邮件，模仿客户内部人员/部门向目标群体定向开展邮件钓鱼测试，进而评估客户内部人员信息安全意识，为后续安全培训、技术防护手段升级提供依据；2)服务要求：提供现场保障，本工作计划每月开展1次，共12次；3)服务成果：服务输出物如下：《钓鱼邮件测试服务报告》；具体需求1、协助搭建的钓鱼演练平台需支持能够统计用户的邮件打开情况、点击链接情况、提交数据情况和邮件回复情况等；平台需支持通过自定义构造钓鱼邮件内容，能够更具针对性的开展全员的钓鱼邮件测试服务；2.2.5弱口令专项检查弱口令专项检查的技术要求：1)服务内容：针对信息安全主管单位对于口令监管和核查的需求，安全技术人员使用相关工具和安全设备定期进行弱口令检查，用于核查系统中的帐号口令强度是否符合要求，实现系统、业务口令的常态化检查，不影响业务系统正常运行，以在线或者离线获取各设备口令文件，后台集中核查，全面掌控弱口令情况；弱口令核查和整改服务主要包括以下工作内容：1.安全运营人员采用第三方国产安全软件获取本平台内调取用户账户口令等资源，通过相应的弱口令管理功能包括动态口令字典、无损破解、弱口令规则等，对获取的账户口令进行字典碰撞、无损破解、弱口令对比分析等安全检查，筛选核查出不符合安全规则的弱口令；2.安全运营人员需针对省粮食和应急物资综合管理信息平台和企业库点信息系统的云资源如虚拟主机、数据库、中间件的基础资源的弱口令进行核查；3.安全运营人员每月核查省粮食和应急物资综合管理信息平台和企业库点信息系统后，出具《月度弱口令专项检查报告》，提出需要整改的用户列表，提出相应的整改措施，如预置用户口令和要求用户重置用户口令等；安全运营人员需要与客户确认并落实相应的整改责任，并且需要监督系统管理员完成月度的整改目标，确保系统的安全可用，当发生紧急事件时，提供驻点安全维护服务；2)服务要求：提供现场保障，本工作计划每月开展1次，共12次；需要每月完成弱口令的核查、《月度弱口令专项检查报告》的编制工作，同时根据整改报告要求，中级工程师需要与采购人确认整改的工作要求，整改责任，并监督系统管理员的整改工作完成情况；3)服务成果：服务输出物如下：1.《月度弱口令专项检查报告》；2.《月度弱口令整改情况完成清单》；3.《重大网络安全事件整改完成情况说明》（当发生重大网络安全事件时提供）；具体需求1、提供弱口令服务，服务工具需支持弱口令检测结果，需支持对弱口令信息进行匿名化处理，不能够将明文口令信息存储到数据库中，只对页面展示进行匿名化；2、提供弱口令检测服务，需支持系统口令、Mysql、Redis等应用弱口令检测；需支持上传自定义弱口令字典；2.2.6专项安全预警排查服务专项安全预警排查服务的技术要求1)服务内容：本项服务内容为根据信息安全主管部门的安全通报和安全预警等信息，对本单位是否涉及上述问题进行自查和修复工作并提交相关的报告；2)服务要求:根据以往的经验，国家、省级公安、网信部门等网络安全主管单位会按照月度发布当月网络安全情况通报，应当在每月配合采购人开展本工作一次，对各类通报中出现的网络安全问题进行预警，开展对本级部门内的信息资产的全面自查工作，并协助完成技术整改、文档编制等工作，该项工作需要1名中级工程师按月开展，提供现场保障，；3)服务成果：服务输出物如下：1.《安全通报月度检查报告情况说明》；2.《安全通报月度检查风险项闭环处置情况》（发生安全通报和安全预警等问题时需提供）；具体需求1、提供预警情报时需支持威胁情报，包括行业攻击情报、特定攻击类型情报、攻击资源类型等多种情报；支持将威胁情报应用到防护中，并通过防护产品一键对威胁IP开启阻断；2、提供安全预警排查服务的专项人员，需具备应对安全检查，面向安全部门，熟悉各类网络安全通报要求、整改流程的网络安全专家担任；2.3安全应急响应服务类2.3.1安全应急演练安全应急演练的技术要求：1)服务内容：本项服务主要是根据《信息安全技术网络安全事件应急演练指南GB/T38645-2020》中的要求，建立针对省粮食和应急物资综合管理信息平台和企业库点信息系统的信息安全应急预案，并根据预案每年度开展两次不低于四个场景的安全演练；2)服务要求：该项工作涉及到对采购人安全应急处置的流程设计，还需要完善采购人的应急处置措施等工作，需安排具备多年安全服务实施经验且具备安全资质的人员进场完成；3)服务成果：服务输出物如下：1.《省粮食和应急物资综合管理信息平台应急预案》；2.《企业库点信息系统应急预案》；3.《省粮食和应急物资综合管理信息平台应急演练总结》；4.《企业库点信息系统应急演练总结》；具体需求1、提供的安全应急响应服务，需协助采购人建立信息安全应急预案标准，并根据预案标准每年度开展两次不低于四个场景的安全演练；2、提供的安全应急响应服务，需协助采购人建立单位内安全应急处置的流程设计，完善单位内的应急处置措施等工作，提供此服务的人员需具备一定的安全服务实施经验，运营服务团队需要具备本地化响应能力；2.3.2安全应急响应技术支持安全应急响应技术支持的技术要求1)服务内容：网络应急响应是指针对采购人省粮食和应急物资综合管理信息平台和企业库点信息系统已经发生或可能发生的安全事件进行监控、分析、协调、处理、保护资产安全，使人们对网络安全有所认识、有所准备，以便在遇到突发网络安全事件时做到有序应对、妥善处理；应急响应主要措施如下：1.以预防为主，由安全运营人员建立监控措施、数据汇总分析体系、制定能够实现应急响应目标的策略和规程，建立信息沟通渠道，建立能够集合起来处理突发事件的体系；2.检测事件是已经发生的还是正在进行中的，以及事件产生的原因；确定事件性质和影响的严重程度，以及评估需要采用何种专用资源进行修复；3.当发生安全响应事件时，限制攻击/破坏波及的范围，同时降低潜在的损失；包括但不限于进行以下抑制措施，完全关闭所有系统；从网络上断开主机或断开网络部分；修改所有防火墙和路由器过滤规则；封锁或删除被攻击的登录账号；加强对系统和网络行为的监控；设置诱饵服务器进一步获取事件信息；关闭受攻击的系统或其它相关系统的部分服务；4.通过事件分析找出根源并彻底根除，以避免攻击者再次使用相同的手段攻击系统；5.把被破坏的信息彻底还原到正常运作状态；6.回顾并整合应急响应过程的相关信息，进行事后分析总结和修订安全计划、政策、程序，并进行训练，以防止入侵的再次发生；7.以上措施应用于网络安全应急响应中的各种场景，包括但不限于勒索病毒、挖矿木马、Webshell、网页篡改、DDos攻击、数据泄露、流量劫持等；2)服务成果：服务输出物：《重大安全事件应急响应报告》（当发生重大网络安全事件时提供）；3)服务要求：事件处理响应时间：严重安全事件：10分钟一般安全事件：30分钟；事件处理到场时间：严重安全事件：2小时一般安全事件：12小时；事件初步处理时间：严重安全事件：2小时一般安全事件：24小时；事件最终处理时间：严重安全事件：6小时内一般安全事件：24小时内；具体需求1、提供安全应急响应技术支持服务，需在日常运营过程中，当采购人遭遇主机系统或网络与安全有关的紧急事件、网络入侵、拒绝服务攻击、网络病毒传播爆发等时，需在接到采购人应急保障需求后，指定专业的信息安全工程师，快速响应，协助进行安全问题的解决；2、提供安全应急响应技术支持服务，所提供的应急响应工具需支持进程树的可视化展示，发现应急事件后能够及时还原攻击路径并发现内网感染的相关文件或者进程；3、需具备应急响应团队和能力，具备网络安全应急服务支撑单位证明；2.4网络安全攻防演习服务类2.4.1红队(攻击队)评估服务红队(攻击队)评估服务的技术要求1)服务内容：红队（攻击队）评估服务需由攻防专家采用模拟黑客APT攻击的方式，在不对业务系统造成破坏的前提下，不限定攻击路径和手段，以系统提权、控制业务、获取数据为目标，深入评估系统安全防护短板；2)服务成果：服务输出物如下：《红队攻击评估服务报告》；具体需求1、提供的红队（攻击队）评估服务，需由攻防专家采用模拟黑客APT攻击的方式，在不对业务系统造成破坏的前提下，不限定攻击路径和手段，以系统提权、控制业务、获取数据为目标，深入评估系统安全防护短板；需要提供相关团队人员一览表，安全服务工程师需具备信息安全工程师（计算机技术与软件专业技术资格）或注册信息安全专业人员（CISP）（信息安全测评中心颁发）或者信息安全保障人员认证CISAW(中国网络安全审查技术与认证中心颁发)及多年工作经验；2.4.2网络安全攻防演习值守服务网络安全攻防演习值守服务的技术要求1)服务内容：在网络安全攻防演习期间，安排人员开展现场实时监测值守、应急及专业对抗等增强型专业网络安全服务，提供专业网络安全服务，指导单位安全团队实时对态势感知系统及相关网络安全防护系统或安防设备的告警进行监视，组织并对期间出现的网络安全异常和告警进行快速处理，实时对抗攻击队伍，应对并成功处置网络攻击，确保单位的网络安全稳定，成功防范专网攻防演习；1.监测值守提供安全监控组人员，实时监测安全产品、网络产品、主机服务器等设备的告警和流量审计行为，通过相关设备分析系统日志、网络流量，结合威胁情报，及时监测发现网络攻击行为，并针对发现的异常和告警进行及时上报和记录；2.分析研判提供技术研判组人员，根据监控组监测到的安全行为，并结合主机日志、网络设备日志、入侵检测设备日志等信息对安全事件攻击方法、攻击方式、攻击路径和工具等进行分析判断，分析确定为攻击行为的安全事件，协同安全处置小组进行处置并提供事件处置建议；3.应急溯源基于WAF、IDS、IPS、态势感知等相关安全平台异常流量及告警进行攻击源捕获，