智慧政务信息安全服务项目需求书.docx

智慧政务信息安全服务项目需求书.docx

《智慧政务信息安全服务项目需求书.docx》由会员分享，可在线阅读，更多相关《智慧政务信息安全服务项目需求书.docx（14页珍藏版）》请在冰豆网上搜索。

智慧政务信息安全服务项目需求书

X区智慧政务信息安全服务项目需求书

X区信息科委

年四月

一、概述

1.1项目背景

推进智慧政务信息安全年建设，是X深入贯彻“两化融合”建设的重要举措，是X加快实现创新驱动、转型发展的重要保障，是深化构建“智慧X，创意无限”的重要内容，也是X信息化新一轮发展的必要条件。

X区信息化历经十年建设和发展，经历了“起步发展、要素准备、一体优化、全面提升”四个阶段，当前整体水平保持较高水准，基础建设和多项应用达到先进水平，连续多年通过信息安全等级保护测评。

1.2项目目标

X区信息安全服务建设的目标是综合利用各种成熟的信息安全技术与产品，通过专业安全服务团队，有效实施安全保障工作，合理地增强各网站应用系统的稳定性、可靠性和安全性。

从而为X区的门户网站系统和政务信息系统保驾护航，保证信息资产的拥有者面临最小的风险和最大程度地支持信息业务的发展。

1.3建设范围

智慧政务信息安全服务项目建设规划涉及的单位、人员、系统等包括：

Ø单位：

X区信息委、各委办局、镇街道等；

Ø系统：

X区门户网站群系统、政务网系统、云办公系统、移动设备接入等；

Ø人员：

相关管理部门领导、信息安全管理员、系统使用者、公众等。

1.4建设依据

本次智慧政务信息安全服务项目的建设需要依据以下要求进行：

Ø《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》（国发〔2012〕23号）要求；

Ø《上海市公共信息系统安全测评管理办法》（2006年5月7日上海市人民政府令第58号公布，以下简称《办法》），做好本市公共信息系统安全测评工作；

Ø工业和信息化部办公厅《关于委托开展政府网站安全管理试点工作的通知》（工信厅协函〔2011〕416号）；

Ø国务院办公厅和工信部《关于进一步加强政府网站管理工作的通知》（国办函［2011］40号）；

Ø《上海市人民政府办公厅关于进一步加强政府网站安全管理工作的意见》（沪府办〔2011〕74号）；

Ø《上海市网络与信息安全协调小组办公室关于启动实施上海市电子政务数字证书应用示范项目的通知》（沪信息委安（2006）178号）的要求；

Ø工业和信息化部《关于加强工业控制系统信息安全管理的通知》（工信部协〔2011〕451号）精神；

Ø《中华人民共和国计算机信息系统安全保护条例》；

Ø《信息安全等级保护管理办法》；

Ø沪网安办[2012]2号文《上海市政府网站安全保障指南（试行）》；

Ø沪网安办[2012]4号文《关于进一步做好政府网站安全管理试点工作的通知》。

二、项目需求

智慧政务信息安全服务建设主要包括以下内容:

2.1恶意代码攻击防范技术保障建设

能够针对僵尸、木马等网络恶意威胁为客户的网络提供动态的、集成式的安全保护，最大程度保证对网络内潜伏的僵尸木马一旦激活运行就被发现及处置。

能够提供从网络层到应用层的检测能力，最终能够为个人PC、移动终端和各级应用服务器提供保护。

2.1.1功能需求

a）僵尸网络检测

能够针对X网络中所有流量实施解析，检测出网络僵尸信息，包括网络僵尸特征、相应的主机MAC地址、IP地址、外联IP地址、端口等信息。

b）木马攻击检测

能够针对X区网络中所有流量实施解析，检测出网络木马信息，包括网络木马特征、相应的主机MAC地址、IP地址、外联IP地址、端口等信息。

c）网站后门检测

能够针对X区网络中所有流量实施解析，检测出网站后门信息，包括网络网站账号/口令、相应的主机MAC地址、IP地址、外联IP地址等信息。

d）疑似木马行为检测

能够针对X区网络中所有流量实施解析，检测出疑似木马行为，包括疑似木马行为特征、相应的主机MAC地址、IP地址、外联IP地址、端口等信息。

e）多层次结果展示

产品能够提供基于网络僵尸、网络木马、网站后门、网络木马行为的，或攻击主机/受害主机MAC、IP的多层次检测结果，或按实时、单日、一周、历史的检测时间展示，并提供文档、表格等多种检测结果报表输出模式。

f）安全与防护

采用强有力的加密算法对检测参数和检测结果实施加密，保证数据安全性、完整性；能够分层、分级的访问控制，降低信息检测信息泄露风险。

规避对网络应用数据的保存与分析，防止用户应用数据的泄露。

2.1.2部署要求

恶意代码防范攻击技术防范系统必须采用旁路形式。

根据需要，可以挂接在网络的各个位置，设备数据由路由器/交换机通过数据镜像提供，系统运行必须不影响被监测设备（或者网络）的正常运行。

2.1.3建设范围

本次针对X区的恶意代码防范攻击防范包括以下三大部分的工作范围：

Ø政务网站群

Ø政务网核心应用

Ø政务网托管应用

2.2网站安全防护技术保障建设

本次X区智慧政务网站安全防护技术保障建设服务主要包括X区网站应用漏洞扫描、网站安全预警监测、网站源代码安全性检测3大部分组成。

2.2.1网站应用漏洞扫描

根据GB/T22239—2008（信息安全技术信息系统安全等级保护基本要求）中的网X全管理部分要求，定期对网络系统进行漏洞扫描，对发现的网络系统安全漏洞进行及时的修补；定期进行漏洞扫描，对发现的系统安全漏洞及时进行修补；

进行网站的脆弱性扫描，提供关于网站安全程序的有效性的反馈，提前预警网站系统管理员对潜在的严重的问题采取应对措施。

2.2.1.1网站扫描安全策略

Ø域级扫描

周期性地对相关指定网站进行扫描以发现已知的安全问题;

域级扫描由用户方授权的安全小组执行，对任何的域级扫描，在扫描中发现的安全问题，需要以书面报告的方式提交用户方及相关系统的运维管理人员。

Ø事故响应扫描

特定的安全事故导致一个应急的网站扫描;

事故应急扫描由用户方指定的事故应急响应小组执行。

在安全事故调查取证的过程中，不需要考虑提前通知和不用考虑相关系统的排除就可启动事故应急扫描；事故响应扫描的结果仅仅由指定的应急响应小组的成员和负责应急的终端用户负责披露。

2.2.1.2网站漏洞检测服务总体要求

a）提供对指定范围内的网站应用进行漏洞扫描并提交漏洞扫描报告（对网站应用的高、中、低漏洞进行扫描）；

b）对各漏洞风险提供漏洞确认报告和漏洞修复方案以及漏洞不可修复的原因分析；

c）对整改后的网站进行复查并提交网站应用复查报告和网站是否能上线的认可报告。

d）所有报告均需实施单位进行认可并盖单位公章。

2.2.1.3网站漏洞威胁等级划分

等级标识

威胁等级

漏洞威胁等级描述

高危

攻击者可以远程执行任意命令或代码，或进行远程拒绝服务攻击

中危

攻击者可以远程创建、修改删除文件或数据，或对普通服务进行拒绝服务攻击。

低危

攻击者可以远程进行受限文件和数据的读取、修改删除。

提示

开放了不必要或危险的服务，攻击者可远程获取系统或应用服务版本等敏感信息。

2.2.2网站安全预警监测

2.2.2.1预警网站范围清单

本次智慧政务网站安全预警监测包括X区门户网站以及相关网站群的预警。

2.2.2.2网站安全预警服务总体要求

Ø7*24小时网站群性能监控和预警

监控网站群的首页下载速度、首页打开时间等涉及网站性能的组件和元素。

通过在线平台和手机短信等多种形式及时预警，以便用户掌握网站性能问题和采取改善措施；

Ø7*24小时网站群可用性监控预警

对网站应用服务错误、域名解析错误、网站页面错误、网站访问延迟和中断等进行监控；

Ø7*24小时网站群安全性监控和预警

对网站应用的通讯端口、域名劫持及网站应用程序的安全性进行监控和预警。

2.2.3网站源代码安全性检测

2.2.3.1网站源代码检测的主要内容

Ø静态文件安全审计

1）审计文件的类型

静态页面安全审计主要审计htm、html、js、css格式的HTML文件。

2）安全审计的内容

安全审计必须能对以下安全问题进行检测：

是否存在嵌入调用外部站点恶意script脚本的代码；

是否存在利用window.location方法，使浏览器跳转到恶意外部站点页面的代码；

是否存在利用Meta标记，使浏览器跳转到恶意外部站点页面的代码；

是否存在利用iframe标记嵌入恶意外部站点页面；

是否存在利用frameset框架，使浏览器打开恶意外部站点页面的代码；

是否存在利用location.replace方法，使浏览器跳转到恶意外部站点页面的代码；

是否存在利用样式表的URL方法，使浏览器调用恶意外部站点页面的代码；

是否存在利用样式表的expression方法，使浏览器执行恶意脚本的代码；

是否存在利用表单（FORM）的action方法，使浏览器跳转到恶意外部站点页面的代码；

是否存在利用window.open方法，使浏览器浏览器弹出窗口访问到恶意外部站点页面的代码；

是否存在利用body标记的onload和onunload方法，使浏览器载入页面时或离开页面时弹出窗口访问恶意外部站点页面的代码；

是否存在恶意调用系统功能的Script脚本；

是否存在利用标记，调用恶意外部站点页面的代码；

是否存在利用