政务信息安全运维服务项目需求书.docx
- 文档编号:7034951
- 上传时间:2023-01-16
- 格式:DOCX
- 页数:14
- 大小:24.87KB
政务信息安全运维服务项目需求书.docx
《政务信息安全运维服务项目需求书.docx》由会员分享,可在线阅读,更多相关《政务信息安全运维服务项目需求书.docx(14页珍藏版)》请在冰豆网上搜索。
政务信息安全运维服务项目需求书
X区智慧政务信息安全
服务项目需求书
X区科学技术委员会
二零一四年七月
一、概述
1、项目背景
推进上海市X区智慧政务信息安全建设,是X深入贯彻“两化融合”建设的重要举措,是X加快实现创新驱动、转型发展的重要保障,是深化构建“智慧X,创意无限”的重要内容,也是X信息化新一轮发展的必要条件。
X区信息化历经十年建设和发展,经历了“起步发展、要素准备、一体优化、全面提升”四个阶段,当前整体水平保持较高水准,基础建设和多项应用达到先进水平,连续多年通过信息安全等级保护测评。
上海市X区智慧政务信息系统包括X区政府门户网站群、智慧政务核心应用和智慧政府托管应用,包含众多服务器、网络设备、安全设备和应用系统,并且均有系统运维商进行日常运维。
然而,随着电子政务建设的不断发展和对信息技术的依赖性增强,互联网信息世界时时刻刻都在发生变革,X区智慧政务信息系统面临的安全环境也变的越来越严峻。
因此建立适合X区智慧政务信息系统的信息安全管理体系和信息安全服务已成当务之急。
2、项目目标
通过为X区智慧政务信息系统建立有效的信息安全管理体系,将技术建设、日常运维及智慧政务的规划都纳入到一个可量化和可考核的信息安全管理体系之中,结合技术监控检查手段,管理与技术并举,有效保障现有信息系统安全。
最终实现标准化、规范化和流程化的管理措施和方法,将“三分技术,七分管理”的全球流行安全理念融入到政务网络实际建设中,在信息系统建设的生命周期中提供全面的信息安全管理保障措施,实现整个政务应用系统的可控、可管和可持续发展。
X区智慧政务信息系统已经拥有各种成熟的信息安全技术与产品,必须通过专业信息安全服务团队,有效实施安全保障工作,提高X区信息系统(智慧政务信息系统和政务类网站)的稳定性、可靠性和安全性,保证信息资产的拥有者面临最小的风险和最大程度地支持信息业务的发展。
3、建设依据
X区智慧政务信息安全服务项目的建设需求依据以下要求:
Ø《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》(国发〔2012〕23号)要求;
Ø《上海市公共信息系统安全测评管理办法》(2006年5月7日上海市人民政府令第58号公布,以下简称《办法》),做好本市公共信息系统安全测评工作;
Ø工业和信息化部办公厅《关于委托开展政府网站安全管理试点工作的通知》(工信厅协函〔2011〕416号);
Ø国务院办公厅和工信部《关于进一步加强政府网站管理工作的通知》(国办函[2011]40号);
Ø《上海市人民政府办公厅关于进一步加强政府网站安全管理工作的意见》(沪府办〔2011〕74号);
Ø《上海市网络与信息安全协调小组办公室关于启动实施上海市电子政务数字证书应用示范项目的通知》(沪信息委安(2006)178号)的要求;
Ø工业和信息化部《关于加强工业控制系统信息安全管理的通知》(工信部协〔2011〕451号)精神;
Ø《中华人民共和国计算机信息系统安全保护条例》;
Ø《信息安全等级保护管理办法》;
Ø沪网安办[2012]2号文《上海市政府网站安全保障指南(试行)》;
Ø沪网安办[2012]4号文《关于进一步做好政府网站安全管理试点工作的通知》。
4、项目范围
Ø信息系统智能监控防范服务;
Ø网站安全专项检测服务;
Ø应急响应体系建设服务;
Ø信息系统等级保护服务
Ø安全人员运维服务;
二、项目需求
X区智慧政务信息安全服务建设主要包括信息系统智能监控防范服务、网站安全专项检测服务、应急响应体系建设服务、信息系统等级保护服务、安全人员现场服务建设等内容。
通过专业信息安全服务团队,有效实施安全保障工作,提高X区信息系统(智慧政务信息系统和政务类网站)的稳定性、可靠性和安全性,保证信息资产的拥有者面临最小的风险和最大程度地支持信息业务的发展。
2.1信息系统智能监控防范服务
构建一套信息系统智能监控防范、信息安全事件、病毒预报、重大安全漏洞定期发布制度,对近期内可能出现的安全问题进行预测和预报,对可能存在的安全隐患和安全威胁及时公布,并给出相应的解决方案和系统升级方法。
对信息系统恶意攻击行为进行监控、预警,信息系统内网设备运行状态进行智能监控、预警,网站群的运行情况进行实时监控。
1
∙恶意代码攻击防范服务
能够针对僵尸、木马等网络恶意威胁为客户的网络提供动态的、集成式的安全保护,最大程度保证对网络内潜伏的僵尸木马一旦激活运行就被发现及处置。
能够提供从网络层到应用层的检测能力,最终能够为个人PC、移动终端和各级应用服务器提供保护。
1
2
4.1
4.2
4.3
4.4
4.5
4.6
检测需求
Ø僵尸网络检测
能够针对X区信息系统网络内所有流量实施解析,检测出网络僵尸信息,包括网络僵尸特征、相应的主机MAC地址、IP地址、外联IP地址、端口等信息。
Ø木马攻击检测
能够针对X区信息系统网络内所有流量实施解析,检测出网络木马信息,包括网络木马特征、相应的主机MAC地址、IP地址、外联IP地址、端口等信息。
Ø网站后门检测
能够针对X区信息系统网络内所有流量实施解析,检测出网站后门信息,包括网络网站账号/口令、相应的主机MAC地址、IP地址、外联IP地址等信息。
Ø疑似木马行为检测
能够针对X区信息系统网络内所有流量实施解析,检测出疑似木马行为,包括疑似木马行为特征、相应的主机MAC地址、IP地址、外联IP地址、端口等信息。
Ø多层次结果展示
产品能够提供基于网络僵尸、网络木马、网站后门、网络木马行为的,或攻击主机/受害主机MAC、IP的多层次检测结果,或按实时、单日、一周、历史的检测时间展示,并提供文档、表格等多种检测结果报表输出模式。
Ø定期对网络恶意代码的检测结果进行分析
能够根据检测结果,编写相应的检测分析报告,提出相应的应对解决方案,帮助用户及时出来安全隐患。
∙智能网络监控服务
能够对X电子政务网的网络流量、应用服务、网络流量、服务器性能、网络性能进行实时监控。
并能提供相应预警手段,发送监控告警信息。
∙监控需求
Ø网络流量监控
提供电子政务网出口的网络带宽占用率监控、网络传输峰值监控、网络传输延迟监控;
Ø应用服务监控
实时监控应用系统的应用服务端口,如HTTP、SQL等UporDown状况监控。
Ø服务器性能监控
提供OS运行状态监控、CPU占用率监控、Memory使用率监控、磁盘空间使用率监控、网络连接状况监控;
Ø网络性能监控
提供7*24*365网络监控的网络流量及实时事件通报服务。
事件通报方式包括Email,短信,电话联系。
监控对象包括:
(1)网络连接状况监控
(2)网络带宽占用率监控
(3)网络传输峰值监控
(4)网络传输延迟监控
∙网站群检测预警服务
本次网站安全预警监测服务包括X区政府门户网站群的预警。
网站安全预警服务总体要求
Ø7*24小时网站群性能监控和预警
监控网站群的首页下载速度、首页打开时间等涉及网站性能的组件和元素。
通过在线平台和手机短信等多种形式及时预警,以便用户掌握网站性能问题和采取改善措施;
Ø7*24小时网站群可用性监控预警
对网站应用服务错误、域名解析错误、网站页面错误、网站访问延迟和中断等进行监控;
Ø7*24小时网站群安全性监控和预警
对网站应用的通讯端口、域名劫持及网站应用程序的安全性进行监控和预警。
∙安全预警服务
建立信息安全事件、病毒预报、重大安全漏洞定期发布制度,对近期内可能出现的安全问题进行预测和预报,对可能存在的安全隐患和安全威胁及时公布,并给出相应的解决方案和系统升级方法。
Ø病毒预报
提供最新病毒木马信息以及病毒防范措施;
Ø安全事件
提供近期影响范围广泛的信息泄密事件,从而做好信息安全保护工作;
Ø重大漏洞
提供近期重大安全漏洞,做好漏洞修复工作;
2.2网站安全专项检测服务
网站安全防护系统服务主要包括X区政务类网站(包含X区政府网站群及其他政务类网站)应用漏洞扫描、网站安全预警监测、网站源代码安全性检测三大部分组成。
4.7
∙网站应用漏洞扫描
根据GB/T22239—2008(信息安全技术信息系统安全等级保护基本要求)中的网X全管理部分要求,定期对网络系统进行漏洞扫描,对发现的网络系统安全漏洞进行及时的修补;定期进行漏洞扫描,对发现的系统安全漏洞及时进行修补;
进行网站的脆弱性扫描,提供关于网站安全程序的有效性的反馈,提前预警网站系统管理员对潜在的严重的问题采取应对措施。
网站扫描安全策略
Ø域级扫描
周期性地对相关指定网站进行扫描以发现已知的安全问题;
域级扫描由用户方授权的安全小组执行,对任何的域级扫描,在扫描中发现的安全问题,需要以书面报告的方式提交用户方及相关系统的运维管理人员。
Ø事故响应扫描
特定的安全事故导致一个应急的网站扫描;
事故应急扫描由用户方指定的事故应急响应小组执行。
在安全事故调查取证的过程中,不需要考虑提前通知和不用考虑相关系统的排除就可启动事故应急扫描;事故响应扫描的结果仅仅由指定的应急响应小组的成员和负责应急的终端用户负责披露。
∙网站漏洞检测服务总体要求
Ø提供对指定范围内的网站应用进行漏洞扫描并提交漏洞扫描报告(对网站应用的高、中、低漏洞进行扫描);
Ø对各漏洞风险提供漏洞确认报告和漏洞修复方案以及漏洞不可修复的原因分析;
Ø对整改后的网站进行复查并提交网站应用复查报告和网站是否能上线的认可报告。
Ø所有报告均需实施单位进行认可并盖单位公章。
∙网站源代码安全性检测服务
Ø网站源代码检测的主要内容
静态文件安全审计
1)审计文件的类型
静态页面安全审计主要审计htm、html、js、css格式的HTML文件。
2)安全审计的内容
安全审计必须能对以下安全问题进行检测:
是否存在嵌入调用外部站点恶意script脚本的代码;
是否存在利用window.location方法,使浏览器跳转到恶意外部站点页面的代码;
是否存在利用Meta标记,使浏览器跳转到恶意外部站点页面的代码;
是否存在利用iframe标记嵌入恶意外部站点页面;
是否存在利用frameset框架,使浏览器打开恶意外部站点页面的代码;
是否存在利用location.replace方法,使浏览器跳转到恶意外部站点页面的代码;
是否存在利用样式表的URL方法,使浏览器调用恶意外部站点页面的代码;
是否存在利用样式表的expression方法,使浏览器执行恶意脚本的代码;
是否存在利用表单(FORM)的action方法,使浏览器跳转到恶意外部站点页面的代码;
是否存在利用window.open方法,使浏览器浏览器弹出窗口访问到恶意外部站点页面的代码;
是否存在利用body标记的onload和onunload方法,使浏览器载入页面时或离开页面时弹出窗口访问恶意外部站点页面的代码;
是否存在恶意调用系统功能的Script脚本;
是否存在利用标记,调用恶意外部站点页面的代码;
是否存在利用
是否存在执行恶意script脚本的样式表代码;
是否存在调用恶意外部页面的样式表代码;
页面中的所有外部链接是否包含恶意站点地址;
Ø动态文件安全审计
1)审计文件的类型
动态页面安全审计支持用asp、.net、java、php语言开发的网站程序代码。
2)安全审计内容
安全审计至少可以发现以下安全漏洞:
SQL注入
跨站脚本攻击
数据库连接帐户权限过大
上传文件漏洞
HTTPHEAD注入
XML注入
命令注入
资源泄露
竞争条件
标准化问题
∙安全扫描分析服务
为保证X智慧政务信息系统、门户网站、第三方托管应用主机安全,定期对服务器做主机层次系统安全扫描,及时发现安全漏洞,客观评估网络风险等级。
Ø主机探测
Ø端口扫描
Ø操作系统探测
Ø漏洞扫描
2.3应急响应服务
建立重要信息系统的应急响应体系,组织编写应急响应方案及组织架构,安排应急响应方案的演练工作。
Ø应急响应预案制定
针对信息系统中的重要资产、制定应急响预案,并有计划的进行演练和改进;
Ø应急响应演练
组织各相关部门对应急响应预案进行演练,并对演练过程进行安全评估;
Ø应急响应处置
针对信息系统突发的重大安全事件,以最快的时间进行故障排查定位和应急处理;
2.4信息系统安全等级保护服务
按照《信息安全等级保护管理办法》和上级部门的要求,依据国家有关规范和标准,开展信息安全等级保护工作。
帮助X科委对信息系统进行信息安全进行等级保护检查,并对不满足有关规范和标准的环节进行安全加固及规章建设。
Ø信息安全等级测评
按照《信息安全等级保护管理办法》和上级部门的要求,依据国家有关规范和标准,开展信息安全等级测评;
Ø信息安全等级保护实施建议
根据信息安全等级测评报告,对实施信息安全等级保护提出完善建议;
Ø信息安全等级保护实施管理
根据信息安全等级测评报告和信息安全等级保护实施建议,对信息系统安全进行完善和加固,并开展信息安全等级保护实施和管理;
2.5安全人员现场服务
通过专业信息安全公司的安全技术专家的驻场服务,提供日常的安全管理理念、流程制度、安全应急响应及客户具体服务需求的有机结合,驻场信息安全工程师提供以下服务内容:
序号
服务模块
描述
1
现场技术支持
正常工作日内,驻场工程师在客户现场5*8驻守,实时响应客户服务请求,与客户IT人员配合及时对故障的诊断、排除提供支持;配合客户进行安全产品相关的调试、配置、升级等日常维护操作
2
网络运行监控
按照客户要求,对网络设备运行状况进行监控,及时发现问题与隐患
3
网X全巡检
基于客户运维要求,按照约定的频次和范围对网络设备进行安全检查,帮助客户了解设备运行状况,对于发现的安全问题、隐患及时进行反馈,并配合客户予以解决
4
安全技术交流
服务期间,驻场安全工程师将就日常网X全基本操作、常用配置、常见故障判定及解决办法等技术知识与客户IT人员进行交流、互动
5
策略优化分析
对安全设备进行策略优化分析,周期梳理安全策略,进行无用策略清退和违规策略的修改或清退
6
安全服务总结
驻场工程师将基于服务期间的实际情况进行总结回顾,并根据客户要求提交相应安全服务报告
三、安全服务规划
智慧政务信息安全管理服务期限为2014年7月1日至2015年6月31日。
在整个合同周期内,各个子工作项的服务周期如下表所示,关于按需项即在用户有需求时及时响应并提供用户所期望的服务。
编号
服务项
工作周期
1
信息系统智能监控防范服务
7*24小时,每月提交网络、应用、设备监控记录
2
网站安全专项检测服务
7*24小时网站群监控,每季度一次安全漏洞扫描
3
应急响应服务
按需(应急响应操作)
1次*年(应急响应预案)
4
信息系统安全等级保护服务(指定系统)
1次*年
5
安全人员现场服务
5*8在用户现场提供安全服务
四、交付物要求
∙安全服务目标
在每个周期或用户提出按需服务需求后,完成相应工作产生并提交具有汇总、详细分析、趋势分析和建议等内容的工作报告。
总体交付的形式暂定以下表所示:
项目
子项目
服务内容
交付成果
信息系统智能监控防范服务
恶意代码监控预警服务
实施监控网络情况;对确认的活跃和严重的恶意代码(僵尸网络、木马、网站后门)提供人工处置方案
恶意代码检测月度报告
恶意代码处置报告
智能网络监控服务
网络流量监控
网络流量监控记录
应用监控记录
服务器性能监控记录
网络设备性能监控记录
应用服务监控
服务器性能监控
网络性能监控
网站群监测预警服务
网站群性能监测预警
网站群安全预警与检测月报
网站群故障检测报告
网站群性能检测报告
网站群安全性检测报告
网站群可用性预警
网站群安全性监测预警
安全预警服务
安全事件预警
安全事件预警报告
病毒信息处置报告
系统漏洞处置报告
病毒信息预警
系统重大漏洞预警
网站安全专项检测服务
门户网站群漏洞检测服务
门户网站群漏洞扫描及验证
Web应用漏洞扫描报告
Web应用漏洞整改建议
Web应用漏洞复测报告
Web应用漏洞复测整改建议
门户网站群漏洞处置技术支持
门户网站群源代码安全检测
门户网站群漏洞扫描及验证
网站源代码安全性检测报告
网站源代码安全性复测报告
网站源代码发布认可报告
门户网站群漏洞处置技术支持
安全扫描及分析
定期对服务器做主机层面安全漏洞扫描与分析
主机漏洞扫描报告
主机漏洞整改建议
主机漏洞复测报告
主机漏洞复测整改建议
应急响应体系建设服务
应急响应体系建立
应急响应机制体系文档建立
应急响应方案
应急响应演练记录
网站应急处置报告
应急响应方案演练
组织应急响应方案的演练
网站应急响应服务
网站应急技术支持
信息系统等级保护服务
信息安全等级测评服务
依据国家有关规范和标准,开展信息安全等级测评
信息安全等级测评报告
信息安全等级保护实施建议
信息安全等级保护实施和管理记录
信息安全等级保护实施建议
根据信息安全等级测评报告,对实施信息安全等级保护提出完善建议
信息安全等级保护实施管理服务
对信息系统安全进行完善和加固,并开展信息安全等级保护实施和管理
安全人员运维服务
安全人员信息安全服务
现场技术支持
每周工作汇总报告
月度服务汇总报告
网X全服务报告
安全事件处理报告
网络运行监控
网X全巡检
安全技术交流
策略优化分析
安全服务总结
五、资质要求
对于提供安全管理体系建设咨询服务的单位需要符合以下要求:
Ø符合《中华人民共和国政府采购法》第二十二条规定的供应商。
Ø根据《上海市政府采购供应商信息库及诚信档案管理暂行办法》已进行登记并成为会员供应商。
Ø有工商行政管理部门核发的《企业法人营业执照》。
Ø具有信息安全服务二级资质。
Ø具有计算机信息系统集成四级(含)以上资质。
Ø投标人必须在上海本地具有技术服务机构,并配有较强的专业技术队伍,能提供优质快捷的技术支持服务。
Ø供应商提供的产品为自主开发的需提供产品的著作权以及知识产权证明,如为代理销售的产品需提供原厂商的针对此项目授权书;
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 政务信息 安全 服务项目 需求