智慧政务信息安全服务项目需求书文档格式.docx
- 文档编号:21582654
- 上传时间:2023-01-31
- 格式:DOCX
- 页数:14
- 大小:26.52KB
智慧政务信息安全服务项目需求书文档格式.docx
《智慧政务信息安全服务项目需求书文档格式.docx》由会员分享,可在线阅读,更多相关《智慧政务信息安全服务项目需求书文档格式.docx(14页珍藏版)》请在冰豆网上搜索。
《上海市网络与信息安全协调小组办公室关于启动实施上海市电子政务数字证书应用示范项目的通知》(沪信息委安(2006)178号)的要求;
工业和信息化部《关于加强工业控制系统信息安全管理的通知》(工信部协〔2011〕451号)精神;
《中华人民共和国计算机信息系统安全保护条例》;
《信息安全等级保护管理办法》;
沪网安办[2012]2号文《上海市政府网站安全保障指南(试行)》;
沪网安办[2012]4号文《关于进一步做好政府网站安全管理试点工作的通知》。
二、项目需求
智慧政务信息安全服务建设主要包括以下内容:
2.1恶意代码攻击防范技术保障建设
能够针对僵尸、木马等网络恶意威胁为客户的网络提供动态的、集成式的安全保护,最大程度保证对网络内潜伏的僵尸木马一旦激活运行就被发现及处置。
能够提供从网络层到应用层的检测能力,最终能够为个人PC、移动终端和各级应用服务器提供保护。
2.1.1功能需求
a)僵尸网络检测
能够针对X网络中所有流量实施解析,检测出网络僵尸信息,包括网络僵尸特征、相应的主机MAC地址、IP地址、外联IP地址、端口等信息。
b)木马攻击检测
能够针对X区网络中所有流量实施解析,检测出网络木马信息,包括网络木马特征、相应的主机MAC地址、IP地址、外联IP地址、端口等信息。
c)网站后门检测
能够针对X区网络中所有流量实施解析,检测出网站后门信息,包括网络网站账号/口令、相应的主机MAC地址、IP地址、外联IP地址等信息。
d)疑似木马行为检测
能够针对X区网络中所有流量实施解析,检测出疑似木马行为,包括疑似木马行为特征、相应的主机MAC地址、IP地址、外联IP地址、端口等信息。
e)多层次结果展示
产品能够提供基于网络僵尸、网络木马、网站后门、网络木马行为的,或攻击主机/受害主机MAC、IP的多层次检测结果,或按实时、单日、一周、历史的检测时间展示,并提供文档、表格等多种检测结果报表输出模式。
f)安全与防护
采用强有力的加密算法对检测参数和检测结果实施加密,保证数据安全性、完整性;
能够分层、分级的访问控制,降低信息检测信息泄露风险。
规避对网络应用数据的保存与分析,防止用户应用数据的泄露。
2.1.2部署要求
恶意代码防范攻击技术防范系统必须采用旁路形式。
根据需要,可以挂接在网络的各个位置,设备数据由路由器/交换机通过数据镜像提供,系统运行必须不影响被监测设备(或者网络)的正常运行。
2.1.3建设范围
本次针对X区的恶意代码防范攻击防范包括以下三大部分的工作范围:
政务网站群
政务网核心应用
政务网托管应用
2.2网站安全防护技术保障建设
本次X区智慧政务网站安全防护技术保障建设服务主要包括X区网站应用漏洞扫描、网站安全预警监测、网站源代码安全性检测3大部分组成。
2.2.1网站应用漏洞扫描
根据GB/T22239—2008(信息安全技术信息系统安全等级保护基本要求)中的网X全管理部分要求,定期对网络系统进行漏洞扫描,对发现的网络系统安全漏洞进行及时的修补;
定期进行漏洞扫描,对发现的系统安全漏洞及时进行修补;
进行网站的脆弱性扫描,提供关于网站安全程序的有效性的反馈,提前预警网站系统管理员对潜在的严重的问题采取应对措施。
2.2.1.1网站扫描安全策略
域级扫描
周期性地对相关指定网站进行扫描以发现已知的安全问题;
域级扫描由用户方授权的安全小组执行,对任何的域级扫描,在扫描中发现的安全问题,需要以书面报告的方式提交用户方及相关系统的运维管理人员。
事故响应扫描
特定的安全事故导致一个应急的网站扫描;
事故应急扫描由用户方指定的事故应急响应小组执行。
在安全事故调查取证的过程中,不需要考虑提前通知和不用考虑相关系统的排除就可启动事故应急扫描;
事故响应扫描的结果仅仅由指定的应急响应小组的成员和负责应急的终端用户负责披露。
2.2.1.2网站漏洞检测服务总体要求
a)提供对指定范围内的网站应用进行漏洞扫描并提交漏洞扫描报告(对网站应用的高、中、低漏洞进行扫描);
b)对各漏洞风险提供漏洞确认报告和漏洞修复方案以及漏洞不可修复的原因分析;
c)对整改后的网站进行复查并提交网站应用复查报告和网站是否能上线的认可报告。
d)所有报告均需实施单位进行认可并盖单位公章。
2.2.1.3网站漏洞威胁等级划分
等级标识
威胁等级
漏洞威胁等级描述
高危
攻击者可以远程执行任意命令或代码,或进行远程拒绝服务攻击
中危
攻击者可以远程创建、修改删除文件或数据,或对普通服务进行拒绝服务攻击。
低危
攻击者可以远程进行受限文件和数据的读取、修改删除。
提示
开放了不必要或危险的服务,攻击者可远程获取系统或应用服务版本等敏感信息。
2.2.2网站安全预警监测
2.2.2.1预警网站范围清单
本次智慧政务网站安全预警监测包括X区门户网站以及相关网站群的预警。
2.2.2.2网站安全预警服务总体要求
7*24小时网站群性能监控和预警
监控网站群的首页下载速度、首页打开时间等涉及网站性能的组件和元素。
通过在线平台和手机短信等多种形式及时预警,以便用户掌握网站性能问题和采取改善措施;
7*24小时网站群可用性监控预警
对网站应用服务错误、域名解析错误、网站页面错误、网站访问延迟和中断等进行监控;
7*24小时网站群安全性监控和预警
对网站应用的通讯端口、域名劫持及网站应用程序的安全性进行监控和预警。
2.2.3网站源代码安全性检测
2.2.3.1网站源代码检测的主要内容
静态文件安全审计
1)审计文件的类型
静态页面安全审计主要审计htm、html、js、css格式的HTML文件。
2)安全审计的内容
安全审计必须能对以下安全问题进行检测:
是否存在嵌入调用外部站点恶意script脚本的代码;
是否存在利用window.location方法,使浏览器跳转到恶意外部站点页面的代码;
是否存在利用Meta标记,使浏览器跳转到恶意外部站点页面的代码;
是否存在利用iframe标记嵌入恶意外部站点页面;
是否存在利用frameset框架,使浏览器打开恶意外部站点页面的代码;
是否存在利用location.replace方法,使浏览器跳转到恶意外部站点页面的代码;
是否存在利用样式表的URL方法,使浏览器调用恶意外部站点页面的代码;
是否存在利用样式表的expression方法,使浏览器执行恶意脚本的代码;
是否存在利用表单(FORM)的action方法,使浏览器跳转到恶意外部站点页面的代码;
是否存在利用window.open方法,使浏览器浏览器弹出窗口访问到恶意外部站点页面的代码;
是否存在利用body标记的onload和onunload方法,使浏览器载入页面时或离开页面时弹出窗口访问恶意外部站点页面的代码;
是否存在恶意调用系统功能的Script脚本;
是否存在利用<
link>
标记,调用恶意外部站点页面的代码;
object>
或<
embed>
标记恶意调用系统功能的代码;
是否存在执行恶意script脚本的样式表代码;
是否存在调用恶意外部页面的样式表代码;
页面中的所有外部链接是否包含恶意站点地址;
动态文件安全审计
动态页面安全审计支持用asp、.net、java、php语言开发的网站程序代码。
2)安全审计内容
安全审计至少可以发现以下安全漏洞:
SQL注入
跨站脚本攻击
数据库连接帐户权限过大
上传文件漏洞
HTTPHEAD注入
XML注入
命令注入
资源泄露
竞争条件
标准化问题
2.3政府门户网站异地灾备建设
根据GB/T-20988《信息系统灾难恢复规范》灾难恢复等级第四级,电子传输及完整设备支持,建立X区门户网站同城灾备中心。
通过生产中心和灾备中心之间实现数据的定时复制,可以满足RTO<
=0.5小时,RPO<
=4小时的要求。
2.3.1功能要求
门户网站灾备服务提供商需要在现有云平台中开启与X区门户网站相应比例的虚拟机资源、带宽等。
与灾备中心每天需要保证至少同步2次,每周做一次全备份,每季度做一次灾备演练,并提交相应报告。
指标
指标项
技术指标要求
1
灾备环境虚拟机要求
安全服务提供商提供的虚拟机至少需要满足以下要求:
内存支持:
每虚拟机可分配的内存能支持到20GB,并支持共享式内存超量使用方式。
CPU支持:
每虚拟机最大能够支持8个逻辑CPU
网卡支持数量:
每虚拟机至少能够支持2个虚拟网卡
硬盘文件容量:
每虚拟机硬盘文件至少要支持2TB
磁盘存储总容量:
每虚拟机至少能够使用到2TB的总磁盘容量
快照数量:
每虚拟机至少要能够同时生成32个快照(snapshot)
虚拟机磁盘支持ThinProvisioning
虚拟机支持直接访问裸存储设备
2
灾备平台要求
通过统一平台能够对虚拟化宿主机系统环境和虚拟机应用系统环境进行健康状态监控。
能够提供虚拟机的CPU、网络、磁盘使用率等指标的实时数据统计,并能反映目前各虚拟服务器、虚拟机的资源瓶颈。
虚拟机故障能实现自动报警功能
能够对多种硬件厂商提供的服务器进行硬件级别的健康状态监控。
2.3.2实施要求
安全服务提供商在项目实施中需要具备以下要求
为保证数据传输的机密性和完整性,在公共传输通道上建立虚拟专用通道。
也可以使用专门的加密设备实现网络间基于网络层数据的传输加密;
对重要敏感通讯信息进行基于过程的软硬件加密;
对重要系统的数据制定业务连续性计划并按照相应策略进行容灾和备份。
远程实施数据备份系统,同时网络、应用系统也接入异地灾备中心。
满足RTO<
2.4安全人员现场服务建设
通过专业安全公司的安全技术专家的驻场服务,提供日常的安全管理理念、流程制度、安全应急响应及客户具体服务需求的有机结合,驻场安全工程师的日常工作将由客户根据自身情况予以安排,下面是驻场安全人员可提供的常见服务内容,具体实施以安全服务提供公司与客户商定的内容为准:
序号
服务模块
描述
现场技术支持
正常工作日内,驻场工程师在客户现场驻守,实时响应客户服务请求,与客户IT人员配合及时对故障的诊断、排除提供支持;
配合客户进行安全产品相关的调试、配置、升级等日常维护操作
网络运行监控
按照客户要求,对网络设备运行状况进行监控,及时发现问题与隐患
3
网X全巡检
基于客户运维要求,按照约定的频次和范围对网络设备进行安全检查,帮助客户了解设备运行状况,对于发现的安全问题、隐患及时进行反馈,并配合客户予以解决
4
安全技术交流
服务期间,驻场安全工程师将就日常网X全基本操作、常用配置、常见故障判定及解决办法等技术知识与客户IT人员进行交流、互动
5
网络技术档案
制作客户现有网络中技术档案(网络拓扑、设备配置信息、网络规划信息、防火墙安全策略配置信息等),有助于客户日常的网络维护工作;
同时,驻场人员根据客户网络调整情况,实时更新网X全技术档案资料;
为更好提高客户自身系统维护水平,并方便其他维护人员查阅学习,驻场人员对客户日常运维方法进行整理总结,编写《安全服务总结报告》
6
人员安全培训
培训X安全方针与策略;
操作规程;
应急程序;
工作场所特定的安全要求;
危险源辨识与控制;
事故、事件报告程序;
岗位职责;
特定风险;
相关的法律法规要求;
7
安全服务总结
驻场工程师将基于服务期间的实际情况进行总结回顾,并根据客户要求提交相应安全服务报告
三、服务周期
本项目服务期限为X年5月1日至X年5月1日。
在整个合同周期内,各个子工作项的服务周期如下表所示,关于按需项即在用户有需求时及时响应并提供用户所期望的服务。
项目
服务项
工作周期
恶意代码攻击防范技术保障建设
7*24小时,每月提交应用安全趋势报告
Web应用漏洞扫描(新上线或改版后)
第一次完全扫描,之后按需进行
网站群安全预警与检测
7*24小时
网站源代码安全性检测(对新上线或代码变更后的网站)
按需(每年不高于40次)
门户网站异地灾备服务
第一次建设后,免费维护1年
安全人员现场服务
5*8在用户现场提供安全服务
四、可交付物要求
在每个周期或用户提出按需服务需求后,完成相应工作产生并提交具有汇总、详细分析、趋势分析和建议等内容的工作报告。
总体交付的形式暂定以下表所示:
交付成果
恶意代码攻击防范技术保障建设服务
服务器安全巡检报告(月报)
服务器安全巡检报告(季报)
注意:
季报需要反应服务器安全趋势。
每日网X全态势报告
机房硬件设备物理安全巡检报告
服务器安全整改建议
Web应用漏洞扫描
Web应用漏洞扫描报告
Web应用漏洞整改建议
Web应用漏洞复测报告
Web应用漏洞复测整改建议
网站群安全预警与检测月报
网站群故障检测报告
网站群性能检测报告
网站群安全性检测报告
网站源代码安全性检测
网站源代码安全性检测报告
网站源代码安全性复测报告
网站源代码发布认可报告
门户网站异地灾备建设
门户网站异地灾备建设方案
门户网站异地灾备建设实施方案
门户网站异地灾备运行报告门户网站系统灾备演练实施计划书
门户网站系统灾备演练实施报告
网站应急响应
安全事故分析报告
安全事件调查报告
网站应急恢复报告
网站应急处置报告
网站应急技术支持报告
每周工作汇总报告
月度服务汇总报告
网X全服务报告
安全事件处理报告
五、资质要求
5.1服务提供商资质要求
对于提供信息安全服务的单位需要符合以下要求:
符合《中华人民共和国政府采购法》第二十二条规定的供应商。
根据《上海市政府采购供应商信息库及诚信档案管理暂行办法》已进行登记并成为会员供应商。
有工商行政管理部门核发的《企业法人营业执照》,注册资金不低于1000万元人民币。
具有信息安全服务资质证书。
具有计算机信息系统集成企业资质证书。
投标人必须在上海本地具有技术服务机构,并配有较强的专业技术队伍,能提供优质快捷的技术支持服务。
供应商提供的产品为自主开发的需提供产品的著作权以及知识产权证明,如为代理销售的产品需提供原厂商的针对此项目授权书;
5.2服务团队的人员能力、经验和资质要求
(1)实施团队应至少包含:
1名信息系统安全管理方面的专家(人员资质至少为CISSP或BS7799LA)、1名操作系统专家(需要有相关认证证书,例如Windows或UNIX操作系统认证等)、1名网络专家(人员资质至少为CCIE),2名信息安全专业人员(人员资质至少为CISP),以上人员可以同时拥有多项认证;
(2)实施团队成员必须是服务提供方的专职全职人员(不得为该单位兼职人员,也不得在其他单位兼职),且必须具备2年以上该单位工作经历;
(3)项目开始实施后,服务提供方有责任保持实施团队成员的长期稳定,当人员变动确实无法避免时,服务提供方必须保证实施团队成员的数量及技术水平,并立即告知用户;
(4)本服务项目不允许转包第三方。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 智慧 政务信息 安全 服务项目 需求