XX局网络安全运维项目用户需求书.docx

XX局网络安全运维项目用户需求书本项目主要包括资产梳理、渗透测试、漏洞扫描、安全加固、应急响应、安全培训、驻场运维等内容，安全服务对象包括本地及政务云、政务外网等相关资产。1、资产梳理服务技术指标指标要求服务范围采购人指定系统服务频率及期限按需提供（不少于1次/年）服务内容通过使用自动化的平台或工具，以及结合人工审核确认的方式，探测政务云、政务外网资产，发现相关资产信息，包括关联的域名、服务类型等数据，更方便有效的进行管理，减少网络安全风险。交付物政务信息系统资产清单2、渗透测试服务技术指标指标要求服务范围米购人指定系统服务频率及期限按需（不少于2次/年）服务内容通过真实模拟黑客使用的工具、分析方法对采购人指定系统进行模拟攻击，并结合智能工具扫描结果，由高级工程师进行深入的手工测试和分析，识别工具弱点扫描无法发现的问题。主要分析内容包括逻辑缺陷、上传绕过、输入输出校验绕过、数据篡改、功能绕过、异常错误等以及其他专项内容测试与分析，重点发现应用层业务流程和逻辑上的安全漏洞和敏感信息泄露的风险。需提供WEB应用弱点扫描工具保障服务实施质量，要求如下：1、工具应符合公安部信息安全技术Web应用安全扫描工具安全技术要求标准要求，提供相关证明；2、工具通过中国信息安全认证中心获得IT产品信息安全认证证书，提供证书复印件；3、支持常见的WEB应用弱点检测，支持OWASPTOPlo等主流安全漏洞；支持暴力猜解、Webshelk暗链扫描等；4、支持自动化漏洞验证和沙盒技术，对目标应用进行深入安全分析，取得系统安全威胁的直接证；5、支持在漏洞知识库中单独选择某漏洞直接下发扫描任务以验证是否存在该漏洞，提供功能截图证明；6、支持定制扫描：用户可根据；目标扫描网站的特点以及所在网络环境，对扫描过程进行定制，如爬行、检测、过滤、网络环境等；服务工具7、支持端口扫描和服务的协议及版本识别，支持自定义扫描端口范围；8、支持IP地址的形式下发扫描任务并自动发现存在的Web资产，提供功能截图证明。需提供数据库扫描工具保障服务实施质量，要求如下：1、工具应符合公安部信息安全技术数据库扫描产品安全技术要求标准要求；2、支持针对数据库每张表每个字段的内容进行敏感数据探测；敏感信息用户可以自定义添加，可以让用户了解自己的数据库系统有哪些敏感数据，存放的具体位置，便于在信息保护和审计中重点关注；3、按漏洞类型分类：（1）缓冲区溢出漏洞（2）访问控制漏洞（3）提权漏洞（4）PL-SQL注入漏洞（5）执行权限过大漏洞（6）访问权限绕过漏洞（7）弱口令（8）数据库内核入侵探测（9）安全信息查看(10)敏感数据探测；4、能够实时检测出黑客入侵数据库后对数据库系统对象的篡改，还能探测出黑客创建的一些隐藏对象，比如隐藏的具有DBA权限的用户，并支持提供详细的扫描报告，提供功能截图证明；5、提供扫描策略可自定义模式，操作者可以灵活选择默认策略的同时也可以自定义添加策略；6、工具原厂商具有中国信息安全测评中心颁发的国家信息安全测评信息安全服务资质证书-云计算安全类，提供有效证书复印件。交付物渗透测试报告3、漏洞扫描服务技术指标指标要求服务范围米购人指定系统服务频率及期限按需(不少于4次/年)服务工具1、产品具备国家信息安全漏洞库CNNVD兼容性资质证书，提供有效证书的复印件；2、支持用户自定义系统名称、版权信息和系统的Log。信息，而无需进行定制化，提供功能截图证明；3、漏洞知识库支持自定义编辑，可编辑漏洞描述、修复建议、漏洞等级等内容，在扫描结果和导出报告中应展示编辑后的内容；4、支持主机扫描、网站扫描、数据库扫描、基线配置、事件内容、弱口令扫描、存活主机探测、大数据漏洞扫描、物联网漏洞扫描、信创漏洞扫描十种任务类型；5、厂商漏洞特征库大于260000条；提供详细的漏洞描述和对应的解决方案描述;漏洞知识库与CVE、CNNVD、BUgtraq、CNCVE、CNVD等国际、国内漏洞库标准兼容，提供功能截图证明；6、支持VPN代理扫描，可在产品界面添加代理网络配置，实现公有云、隔离网等特殊网络环境下的漏洞扫描，提供功能截图证明；7、具备弱口令扫描功能，支持弱口令扫描协议数量222种，包括FTP、SMB、RDP、SSH、TELNET、SMTP、IMAP、POP3、Oracle>MySQL>MSSQL>DB2、REDIS>MongoDB>Sybase>Rlogin>RTSP、SIP、Onvif>Weblogic>Tomcat>SNMP等协议进行弱口令扫描，允许用户自定义用户、密码字典，提供功能截图证明；8、扫描结果在产品界面中支持查看目标应用返回的软件版本，可以方便与漏洞描述对比进行漏洞验证，提供功能截图证明；9、管理人员可根据系统给出的漏洞参数、HTTP请求/响应数据，快速验证，一键验证漏洞；10、政务云资产需利用采购人已有安全设备或采购人指定的政务云漏洞扫描工具开展漏洞扫描服务。交付物漏洞扫描报告4、态势感知服务技术指标指标要求服务范围依托部署在采购人机房的态势感知服务（该平台费用包含在本项目预算金额中）服务频率及期限一年安全态势可视化支持安全态势的可视化呈现，以大屏的方式从攻击事件、资产安全、追踪溯源、运行监测、等多个维度进行可视化展示，平台攻击告警可结合ATT&CK技术栈，可分为告警视角和资产视角两种视角展示，每个技术栈都有清晰的描述，技术栈可切换中/英文，可勾选展示ATT&CK全部技术和子技术，匹配的攻击技术通过蓝色展示并可显示匹配的次数运营中心为满足个性化展示或统计需求，支持图表管理，包括图表的新增、导出（至少支持YAML、PDF、WORD、CSV等四种格式）、导入、删除、预览、编辑、复制等；支持定义图表的私有或公有权限，支持根据数据类型、图表类型、时间范围、数据配置等进行图表配置，其中数据类型至少支持原始告警、归并告警、活动列表等8种类型，图表类型至少支持列表、柱状图、热图、大字报等10种类型，数据配置支持通过多种语法设置过滤条件、设置统计方法、数据获取顺序等。支持工作台与自定义图表关联，可将自定义图表作为工作台组件使用情报源管理支持对接威胁情报中心，支持情报离线更新及在线更新，支持查看情报源中有效情报数、最近更新条数、最近更新时间、今日更新情报数、昨日命中情报数等；支持以APP导入的方式对接第三方威胁情报平台，至少支持对接奇安信、天翼安全、微步等厂商的威胁情报，支持对情报接口进行设置，设置内容包括情报查询、IP碰撞和域名碰撞接口的启用、请求频率限制监测中心告警监控支持查看告警的基本信息、受害者、攻击者、处置响应、举证全文信息，其中受害者和攻击者支持查看响应ATT&CK矩阵视图，ATT&CK矩阵视图展示支持中文或英文的语言切换，布局支持侧面或下拉两种方式、并支持选择全部技术或子技术的展示等；处置响应支持处置响应闭环出来，可看到处置动作、告警调优、处置结果，及处置记录的全过程记录；支持最高3.0倍速回溯ATT&CK攻击入侵技术；支持用户自定义配置归并场景，支持场景名称、归并条件、归并字段、场景描述的配置，其中可根据字段过滤配置归并条件；支持归并场景的开启、关闭，亦可拖动方式调整归并序列优先级顺序；分析中心支持聚合场景下的四维自定义攻击流向图取证，攻击趋势取证、攻击链分布取证和实体信息取证，展示攻击者和受害者的威胁情报与资产信息，可查看会话详情，会话详情包括检测、响应等基本信息，并支持查看会话关联告警情况，及添加白名单、发布预警、生成工单等操作；安全分析模型支持自定义创建，可通过字段映射、静态值、模板、表达式等多种方式自由定义分析模型的告警名称、威胁等级、告警类型、攻击链、可选字段、告警描述、处置建议等内容；响应中心实现实体间网络互访关系的多级钻取，支持通过端口、协议、异常访问类型、攻击链等过滤关联关系，支持实体间网络互访关系的多级钻取，通过“一键溯源”按钮进行威胁关系的自动拓展；支持联动APP导入、更新、卸载，对每类APP联动资产数进行管理统计，联动APP信息包括厂商、APP版本号、开发语言、支持设备型号、开发者、更新时间、描述信息等；支持根据APP名称、设备名称、设备标签、动作名称、动作URI、APP类型、APP状态等进行APP检索；运维管理对接入到平台的探针进行统一运维监控，平台上可查看探针注册时间、设备IP、版本信息、许可证信息、数据上送条数、CPU利用率、内存使用率、磁盘使用率、网络流量大小、数据上送条数等，并支持许可的导入和导出；部署要求需要合同签订后，7个工作日内完成部署、测试和上线运行。（需要提供承诺函并加盖公章）原厂资质工具厂商具备国家信息安全测评信息安全服务资质-数据安全类证书，提供证书复印件；交付物安全态势分析报告5、基线检查服务技术指标指标要求服务范围采购人指定系统（包括本地及政务云资产）服务频率及4次/年期限服务内容通过人工现场设备检查的方式对采购人信息系统等进行全面的安全基线配置核查和分析，发现配置的不合规项，并结合实际需求提出系统整改建议。服务工具1、支持主流操作系统的基线配置检查，包括但不限于WindoWs、Linux>SUSe、HP-UX>Solaris>AIX>Debian；2、支持的数据库基线配置检查包括但不限于Informix>DB2、MySQL>SQLServer>Oracle；3、支持的应用程序基线配置检查包括但不限于EXChange、Bind、Tongweb>Tomcat>WebSphere>Apache>Weblogic>IHS、IIS、Domino>Resin>Jboss>Nginx；4、基线核查的标准至少支持公安部等级保护基本要求和工信部电信网和互联网安全防护基线配置要求及检测要求。5、政务云资产需利用采购人已有安全设备，或采购人指定的政务云基线检查工具开展基线检查服务。交付物基线检查报告6、系统上线检查服务技术指标指标要求服务范围采购人服务期内新上线系统服务频率及期限按需服务内容采用专业工具和安全专家人工检测相结合的方式，对采购人新上线系统进行安全检查服务，及时发现可能存在的安全漏洞，提出安全建设整改建议，作为漏洞修复和加固整改的参考依据，确认修复整改后方可上线。交付物系统上线检查报告7、代码审计服务技术指标指标要求服务范围米购人指定系统服务频率及期限按需（不少于4次/年）服务内容针对采购人指定系统，收集当前系统的源代码，在了解业务流和各模块功能和结构的情况下，以OWASPTOPlo为检查依据，检查系统代码在程序编写上的安全性和脆弱性以及结构性安全。源代码安全性审计主要内容应包括：1、分析源代码是否能追溯到需求；2、分析源代码是否符合支持工具和编程语言分析；3、分析源代码是否满足模块化、可验证、易安全修改的要求；4、分析软件编码中所使用技术的安全性和方法的合理性。服务工具1、支持C、C+、Java、JavaScriptJSP、PHP、Android>Python>ShelkGO、SQL编程语言；2、支持对有源码以及编译结果的素材进行扫描与分析；3、支持对无源码（如无源码的APk或Jar包）的素材进行扫描与分析；4、报告应能够提供对项目缺陷的数量统计以及单个缺陷的状态更新对比，支持以EXCEL、HTML、PDF、JSON方式导出报告内容。交付物代码审计报告8、协助安全加固服务技术指标指标要求服务范围米购人指定系统服务频率及按需（不少于4次/年）期限服务内容针对安全检测和采购人安全检查中发现的安全漏洞和脆弱项，提出加固解决方案，协助采购人对所发现系统的漏洞进行安全加固，督促开发单位完成安全加固。交付物安全加固报告9、协助安全专项检查服务技术指标指标要求服务范围采购人指定系统服务频率及期限按需服务内容在服务期内，协助采购人完成各类信息安全专项检查工作【如政务外网考核类检查、省级公安、网信检查等】。交付物安全检查支撑文档10、应急演练服务技术指标指标要求服务范围米购入指定系统服务频率及期限2次/年服务内容根据采购人信息系统现状制定指定场景或多方位场景的应急演练方案，组织进行相应的模拟演练，一方面使用户熟悉应急响应流程，提高对安全事件的响应能力；另一方面验证应急管理流程的正确性和适用性，进行总结分析。使得信息系统相关人员了解应急流程和自己的责任，在安全事件发生时，能够及时开展应急工作，最大程度降低安全事件带来的负面影响和损失。交付物应急演练方案、应急演练报告11、应急响应服务技术指标指标要求服务频率及期限按需服务内容服务期内提供7*24小时应急响应服务，针对采购人信息系统因非法攻击或病毒入侵等安全原因而遭到破坏、更改、泄漏，造成系统不能正常运行以及对于已经发现的有可能造成上述现象的安全隐患，如非授权访问、信息泄密、系统性能严重下降、蠕虫或大面积爆发病毒等情况，当出现安全事件时，需通过人工辅以工具的方式及时进行应急响应工作，具体内容包括：(1)2小时内到达现场进行应急响应，4小时内完成应急响应工作，并反馈事件应急结果。(2)中标单位需根据采购人现有应急响应管理办法评估应急事件等级，为采购人提供事件评估等级、情况及修复建议；(3)对入侵事件进行分析，查找原因；(4)抑制入侵事件的进一步发展，将事故的损害降低到最小化；(5)排除安全隐患，消除安全威胁，协助恢复系统正常运作；(6)应响应事件结束后提交应急响应报告。交付物应急响应报告12、网络安全培训服务技术指标指标要求服务范围采购人指定人员服务频率及期限4次/年服务内容派遣资深信息安全培训专家提供现场信息安全培训课程。1、安全意识培训通过网络安全意识培训，对日益猖獗的病毒、木马等威胁进行必要的描述，使用户全体人员对网络安全的有初步的认识和逐步提高安全意识，并阐明具体的防范措施让安全事故可以得到有效的避免。2、安全技术培训介绍黑客攻击途径，着重描述当前流行的攻击技术和防御手段，对安全领域和知识进行清晰划分和描述，通过大量的现场模拟和环境加固实践提供用户专业技术人员的技术水平。3、管理人员培训对管理人员的培训，目的是使用户管理人员了解国家相关部门对系统网络安全管理和建设的相关标准。交付物安全培训课件13、驻场运维服务技术指标指标要求服务频率及期限1年服务内容提供一名具备2年以上网络安全运维服务相关工作经验人员驻场采购人现场，负责5*8小时日常安全运维工作服务，安全服务对象包括本地及政务云上相关资产，主要工作任务包括：1安全加固协调：根据各类安全检测结果的具体情况，协助进行网络安全漏洞加固处理，包括漏洞补丁更新，网络安全防护策略优化，指导开发修复漏洞代码等，并检验漏洞修复完成情况，形成漏洞跟踪管理闭环；2主机安全管理：加强政务系统主机技术防护，对政务终端资产和安全情况进行日常安全巡检，及时进行响应处置；3组织协调安全工作：梳理确认各项目实施阶段需要开展安全技术检测的对象，组织协调实施团队进行远程或者入驻现场开展安全技术检测工作，把握检测实施进度，并反馈结果；4安全检查协调：协助采购人编制网络安全检查方案，对信息系统网络安全状况展开全面的网络安全检查；5定期汇报网络安全整体状况：每月定期向采购人相关管理人员和领导汇报网络安全运营情况。交付物安全运维服务报告14、重要时期安全保障服务技术指标指标要求服务范围采购人指定服务频率及期限按需（上级单位要求值守的时间节点）服务内容根据采购人需求提供重要时期安全保障值守服务，如：在攻防演练期间，为确保网络和信息系统的安全性、保密性、服务可用性，安排安全技术人员提供现场驻场值守服务。提供安全技术人员7*24小时重要时段安全保障值守服务（10分钟内响应，30分钟内完成处置并反馈），包括信息系统安全监测、应急响应等。对发现的可疑情况和网络攻击行为及时上报，与中心相关值班人员联系，并协助进行事件处理。交付物重要时期保障方案重要时期保障总结15、安全咨询服务技术指标指标要求服务范围采购人指定服务频率及期限按需服务内容提供资深专业的安全专家作为采购人的咨询顾问，为采购人提供安全咨询支撑服务，对采购人在系统规划建设、系统变更、系统运维、网络架构调整等工作中遇到的各种网络安全方面的问题，提供专业的网络安全咨询服务，并对日常工作安全方面问题进行答疑，如电子政务相关部门下发文件的解读、答疑等。