網絡安全的業務與技術范圍2.1.1網絡安全日常維保近年來隨著互聯網的高速發展，電信主管部門對網絡安全要求、安全考核愈發嚴格。而隨著安全攻防技術的快速發展，網絡及信息安全漏洞層出不窮，基于IP網絡的安全問題日益突出，主要表現在：物理層面安全、網絡拓撲結構安全、設備安全、網絡邊界安全、網絡系統安全、應用系統安全、網絡管理安全、流量安全、業務安全、數據安全、安全管控等。為切實落實《工業和信息化部國務院國有資產監督管理委員會關于開展基礎電信企業網絡與信息安全責任考核有關工作的指導意見》（工信部聯保（2012）551號）相關要求，需在企業內部常態化開展網絡安全維保檢查，以檢驗各單位網絡及系統安全防護能力和管理要求落實的有效性，通過積極開展網絡安全日常維保更好的推進全省網絡安全工作的開展，切實做到舉一反三、查缺補漏，有效降低內外部風險。通過實施本項目，及時掌握當前的網絡安全現狀，全面摸清安全隱患和薄弱環節，規避考核風險，通過日常安全加固，有效促進甲方整體網絡安全工作水平的提升。2.1.2數據安全防護近年來數據安全信息泄漏事件高頻發生，一方面是信息系統本身存在安全漏洞和弱點，外部攻擊者利用這些漏洞和弱點進行惡意攻擊，從而竊取敏感數據，進行進一步的違法行為，如倒賣客戶信息等，從而非法贏利；另一方面是內部員工利用職權非法竊取敏感數據，進行如倒賣客戶信息等非法贏利行為，最終導致用戶信息大規模泄露。將客戶信息安全保護作為年度重點安全工作，要求進行重大應用系統安全漏洞（客戶信息泄露）專項整治工作，引入專業第三方開展數據安全運營管理合規及安全基線評測服務，建立健全客戶信息防泄露手段和數據安全審計系統策略和手段等措施來全面加強和提升客戶信息安全保護工作。2.1.3網絡安全業務監測近年來隨著互聯網的高速發展，計算機網絡的資源共享進一步加強，基礎電信業務運營商，具有網絡規模大、用戶數量眾多、業務系統豐富而復雜等特點，隨之而來的網絡安全的風險日益加大。在一個開放的網絡環境中，大量信息在網上流動，這為不法分子提供了攻擊目標。計算機網絡組成形式多樣性、終端分布廣和網絡的開放性、互聯性等特征更為他們提供便利。黑客利用不同的攻擊手段,獲得訪問或修改在網中流動的敏感信息，窺視、竊取、篡改數據。其“低成本和高收益”在一定程度上刺激了犯罪的增長。使得針對計算機信息系統的犯罪活動日益增多。面對嚴峻的網絡安全形勢，甲方通過加強網絡安全業務監測、分析能力，切實提高網絡與信息安全保障水平，增強數據資產、應用系統的安全風險監測能力。2.3.1網絡安全日常維保內容范圍涵蓋：1、甲方的各類數據資產，根據現場網絡安全日常維保確定。2、系統測試：網絡信息安全系統基本功能測試，系統數據準確性、一致性校驗。2.3.2數據安全防護內容范圍涵蓋：1s甲方的各類數據資產。2、基礎安全：網絡單元定級備案、符合性評測、風險評估及滲透測試。2.3.3網絡安全業務監測內容范圍涵蓋：1、甲方的各類安全設備、安全管控平臺等。2、不良信息集中治理：不良網站監測、釣魚網站監測、惡意鏈接監測、垃圾短彩信治理及策略運營、騷擾及詐騙電話治理及策略運營、安全模型優化等、業務安全審計、業務安全評估等。3、網絡數據安全監測：客戶信息安全監測、APP客戶信息安全保護及風險評估。4、流程穿越：電話用戶實名登記檢查及暗訪、網上客戶信息售賣釣魚、網站備案稽核及審查等。5、人才專業提升：網絡安全人員能力提升、安全競賽等。3.1、網絡安全日常維保網絡安全日常維保包括但不限于以下服務：日常巡檢服務、日常維護及故障處理、基礎網絡風險評估工作、重點業務系統基線檢查和日常安全檢查。3.1,1日常巡檢服務3.1.1.1技術要求按照要求乙方需滿足定期對網絡安全設備（包括但不限于防火墻、IPS、IDS、W'AF等安全設備和安全管控平臺（包括但不限于4A系統、安全威脅分析與預警平臺、網頁防篡改系統等）進行巡檢保障，乙方需滿足定期對包括但不限于對平臺、安全設備的負載、CPU、內存、存儲等運行狀態進行檢查。3.1.2日常維護及故障處理3.1.2.1技術要求乙方需滿足安全設備系統故障處理能力和日志分析能力，包括但不限于日志解析監控、數據異常處理、異常問題與故障處理等，同時滿足一級、二級、三級、四級故障響應時間要求。3.1.3基礎網絡風險評估工作3.1.3.1技術要求1、乙方對包括但不限于IT資產主機操作系統、數據庫、網絡設備、中間件、WEB應用系統等安全檢查和評估，檢測工具需符合相關安全要求，并使用兩種常見的檢查工具，出具相應的安全報告。2、乙方對安全設備防護策列及安全漏洞進行梳理，并進行整改指導。3、乙方需提供安全風險比壞管理機制。重點業務系統基線檢查3.1.4.1技術要求乙方參照工信部基線檢查要求、檢查項目、檢查方式對甲方定級備案的基礎網絡單元及重點業務應用系統進行基線檢查。乙方需提供基線檢查工具，功能需包括但不限于支持檢測操作系統和服務（數據庫、服務器軟件、容器等）的弱口令、賬號權限、身份鑒別、密碼策略、訪問控制等安全配置，并提供檢測結果,針對存在的風險配置給出加固建議。3.1.5日常安全檢查3.1.5.1技術要求1、乙方參照上級主管單位安全檢查要求、檢查項目、檢查方式對甲方定級備案的基礎網絡單元及重點業務應用系統進行日常安全檢查，包括但不限于漏洞掃描，滲透測試，符合性檢查等。2、檢查維度包括但不限于操作系統、數據庫、中間件、應用系統等。提供安全漏洞修復、系統補丁升級等。3?2、數據安全防護數據安全防護包含但不限于以下工作：數據安全制度流程建設、數據安全評估與動態分析、數據共享合規性管控、數據分類分級\脫敏、敏感數據泄露渠道監測、數據安全風險發現與處置、涉敏日志常態化審計、數據安全檢查支撐工作。3.2.1數據安全制度流程建設說明信息安全合規檢查矩陣與持續性檢查機制（如明確內控體系建立思路、控制活動能夠落實到具體崗位），并提交相關示例模板。注：根據對項目理解，需提供1、《數據安全管理體系優化流程圖》及詳解：包含對數據管理、運營、技術合規情況進行全面對標情況、具體現狀評估內容、操作流程圖；2、《數據安全防護現狀評估矩陣》：包含組織機構、制度建設與保護措施、技術能力、數據全生命周期管理4個大類；3、《大數據平臺安全的內控矩陣》：包含適用范圍、所涉及業務流程、子流程、控制點描述字段；4、《安全職責細化示例》：包括管理、技術、執行三大體系，拆分出對應領域和控制點，并劃分明細的責任角色；5、《數據安全運營管理合規檢查表》：提供評估場景，以及對應的評估要求、評估辦法。3.2.2數據安全評估和動態分析闡述內容需包括：1、對標的信息安全法律法規（至少應包括國家信息安全等級保護基本要求三級標準、《網絡安全法》）。2、對標《數據安全法》，評估點要求全面。3、結合數據安全合規評估要點，明確數據生命周期管控流程要求。注：1、對標國家信息安全等級保護基本要求三級標準，對標《網絡安全法》。2、對標《數據安全法》給出敏感信息資產梳理流程圖：包括確定梳理目標及調研、資源申請、檢測工具初始化配置、數據資產掃描必要環節；規劃數據系統基礎調研工作內容：有關鍵數據存儲情況調研項、客戶信息流向調研項、數據備份調研項、安全防護調研項、安全管理調研項工作內容等。）3.2.3數據共享合規性管控闡述內容需包括：1、包含但不限于第三方業務梳理、合作風險檢查、管控流程優化、對外數據共享安全評估等，要求給出《數據業務合作梳理模板》、《合作風險檢查列表》、《數據業務合作流程》示例。2、《數據業務合作梳理模板》：與第三方數據業務合作的信息臺賬，至少包含雙方合作的基本信息如合同信息、合作內容、保密情況，安全審查情況。3、《合作風險檢查列表》：應包含合作方公司風險檢查、安全管理負責人和關鍵崗位的人員進行安全背景審查、數據業務合作安全風險檢查3個方面，提出審查內容、方法和評判標準。4、《數據業務合作流程》：以具體部門舉例，畫出流程流轉圖等。3.2.4數據分類分級、脫敏通過提供數據分類分級、脫敏服務，實現基于但不限定角色、屬性、強制性訪問控制策略，對數據庫進行動態脫敏，預防數據泄露等安全問題。脫敏要求如下：1、支持多種數據庫類型的脫敏服務，包括但不限于ORACLE.MYSQL、SQLSERVER.VERTICA、DB2等等。2、身份管理方式應包含哪些，例如應用程序名、IP地址、主機名、操作系統賬戶、XX、XX等等方式。3、支持對生成的脫敏SQL與原始SQL對比，確保結果的正確性。2.5敏感數據泄露渠道監測敏感數據泄露渠道檢測主要包含兩個方面，一個是監控、另一個是審計；監控應明確包括但不限于：數據接口、數據采集、數據使用、策略識別等，對外傳輸內容審計、系統管理、數據下載審批等方面的安全審計。2.6數據安全風險發現與處置1、明確要求在規定時間內提供數據安全的應急預案，應急方案應包括哪些內容，如安全事件的監控機制、安全事件的觸發條件、安全事件級別定義等等。2、明確數據安全事件溯源分析能力要求。3、數據安全事件處理結束后，在一周內提交完整的《數據安全事件分析及處理總結報告》，需明確規定報告內容包括哪些。2.7涉敏日志常態化審計至少包含以下內容：審計策略制定、關鍵數據審計流程圖、基礎安全審計事項及審計依據、數據安全審計事項及審計依據。（注：內容詳實，包括四方面要素且基礎安全審計事項及審計依據不少于6項（例如設備配置合規審計、系統主機安全審計、訪問控制策略審計、管控平臺接入合規審計等）、數據安全審計事項及審計依據不少于8項（例如數據采集變更審計、數據共享詳情審計、主機敏感操作審計、數據庫敏感操作審計、業務應用敏感操作審計等）。2.8數據安全檢查支撐工作依據數據數據安全評估要點，明確上級單位開展數據安全檢查期間相關的支撐工作以及檢查前的監督檢查工作內容。網絡安全業務監測網絡安全業務監測包含但不限于以下工作：監測對象信息資產收集、安全設備流量監測、脆弱性識別、威脅分析、安全措施及安全策略梳理、網絡安全日常應急服務等。3.3.1監測對象信息資產收集明確監測對象資產清單梳理的內容，資產管理方式及更新周期。3.3.2安全設備流量監測對各類安全設備資源安全日志進行統一分析，監測分析日志中異常操作訪問行為。明確日志審計范圍（如操作系統日志、數據庫日志、應用日志等等），日常審計周期，特殊時期日志審計周期，并明確要求生成報告時間。3.3.3脆弱性識別明確脆弱性檢查要點（例如系統高中危漏洞、基線、弱口令等），檢查對象涉及哪些層面（例如管理層、網絡層、主機層等），脆弱性識別點越細越好，明確風險評估報告輸出時間和要點。3.3.4威脅分析明確每周的安全威脅來源，對IT資產進行威脅分析的方法及工具，例如資產探測識別、分析操作系統配置，交換機VLAN的劃分，路由器配置，安全設備的配置有效性等等。其次是現網