網(wǎng)絡(luò)安全技術(shù)服務(wù)方案一、項目概況為進一步提高本單位網(wǎng)絡(luò)安全防護能力，確保網(wǎng)絡(luò)環(huán)境安全穩(wěn)定，特申請采購3年網(wǎng)絡(luò)安全服務(wù)。主要服務(wù)內(nèi)容包括：安全基線檢查、Web和主機安全掃描、安全運維、安全加固與咨詢、重保和護網(wǎng)、攻防演練及網(wǎng)絡(luò)安全宣傳、應(yīng)急響應(yīng)、安全設(shè)備支持等。二、項目內(nèi)容（一）安全基線檢查技術(shù)指標(biāo)指標(biāo)要求服務(wù)方式現(xiàn)場實施，2次/年服務(wù)內(nèi)容根據(jù)既定的檢查規(guī)范及方法，采用人工檢查用表（checklist）、腳本程序或基線掃描工具對評估目標(biāo)范圍內(nèi)的主機系統(tǒng)安全、數(shù)據(jù)庫安全、中間件安全等進行系統(tǒng)的策略配置、服務(wù)配置、保護措施以及系統(tǒng)和軟件升級、更新情況，是否存在后門等內(nèi)容進行檢查。服務(wù)要求檢查內(nèi)容包括但不限于：一、操作系統(tǒng)安全檢查1.支持對Windows、Linux、Aix、Unix等系統(tǒng)進行安全漏洞及安全配置缺陷的檢查與評估。2.檢測內(nèi)容包括（不限于）：身份鑒別方式、帳號安全設(shè)置、遠程管理方式、多余帳號和空口令檢查、默認共享檢查、文件系統(tǒng)安、網(wǎng)絡(luò)服務(wù)安全、系統(tǒng)訪問控制、日志及監(jiān)控審計、拒絕服務(wù)保護、補丁管理、病毒及惡意代碼防護、系統(tǒng)備份與恢復(fù)、硬件冗余情況、硬盤分區(qū)格式等安全情況。二、數(shù)據(jù)庫安全檢查1.支持對MySql、Oracle、DB2、sql等數(shù)據(jù)庫系統(tǒng)進行安全漏洞及安全配置缺陷的檢查與評估。2.檢測內(nèi)容包括（不限于）：身份認證方式、帳號安全設(shè)置、管理權(quán)限和角色設(shè)置、多余帳號和缺省口令檢查、數(shù)據(jù)庫目錄和文件系統(tǒng)安全、監(jiān)聽器管理設(shè)置、日志及監(jiān)控審計、數(shù)據(jù)庫版本和補丁管理、數(shù)據(jù)庫備份策略、硬件冗余情況等安全情況。三、網(wǎng)絡(luò)設(shè)備配置檢查1.支持對防火墻、IPS（IDS）、路由器、交換機等網(wǎng)絡(luò)和網(wǎng)絡(luò)安全設(shè)備進行安全漏洞及安全配置缺陷的檢查與評估。2.檢測內(nèi)容包括（不限于）：帳號安全設(shè)置、管理權(quán)限和角色設(shè)置、多余帳號和缺省口令檢查、備份和升級情況、訪問控制、路由協(xié)議、日志審核、網(wǎng)絡(luò)攻擊防護及端口開放、遠程訪問等安全情況。四、中間件安全檢查1.支持對weblogic、apache、IIS、WAS等進行安全漏洞及安全配置缺陷的評估。2.檢測內(nèi)容包括（但不限于）：系統(tǒng)和中間件的可用性、系統(tǒng)和中間件的完整性、系統(tǒng)中間件和應(yīng)用的性能、通過與系統(tǒng)使用中關(guān)鍵人員的訪談來評估系統(tǒng)整體要求、對系統(tǒng)結(jié)構(gòu)及運營架構(gòu)進行高層面的評測、定位系統(tǒng)的運作流程中潛在的風(fēng)險區(qū)域、產(chǎn)生基于中間件的最佳應(yīng)用準則的建議報告等。五、其他要求1.根據(jù)合理規(guī)劃、區(qū)域隔離、風(fēng)險可控的要求，結(jié)合業(yè)務(wù)系統(tǒng)的部署情況，分析學(xué)校現(xiàn)有網(wǎng)絡(luò)架構(gòu)、區(qū)域劃分存在的安全隱患，并提出整改建議；2.基于信息系統(tǒng)現(xiàn)狀，參照國家信息安全風(fēng)險評估規(guī)范，對資產(chǎn)、威脅、脆弱性、安全措施進行識別和分析，確定風(fēng)險計算模型，從物理層、網(wǎng)絡(luò)層、系統(tǒng)層和應(yīng)用層進行評估，全面分析系統(tǒng)面臨的信息安全風(fēng)險，并提供風(fēng)險評估報告；3.協(xié)助學(xué)校找出校內(nèi)隱藏的web服務(wù)器資產(chǎn)。4.根據(jù)學(xué)校現(xiàn)狀及業(yè)務(wù)需求，制定近3年網(wǎng)絡(luò)安全規(guī)劃。輸出物《安全基線檢查報告》等（二）Web和主機安全掃描技術(shù)指標(biāo)指標(biāo)要求服務(wù)方式現(xiàn)場實施，4次/年服務(wù)內(nèi)容一、Web安全1.Web漏掃。對指定網(wǎng)站、信息系統(tǒng)進行漏洞掃描，經(jīng)人工驗證掃描結(jié)果，按采購方要求輸出掃描報告，并提供修復(fù)建議。漏洞修復(fù)后，提供漏洞復(fù)掃服務(wù)，直至修復(fù)完成。2.弱口令檢測。提供指紋識別、暴力猜解等方法檢測Web應(yīng)用弱口令。3.Webshell檢查。針對Web應(yīng)用所有的文件進行安全掃描，發(fā)現(xiàn)網(wǎng)站上可能存在的Webshell、網(wǎng)頁后門等惡意文件。4.敏感信息檢測。檢測發(fā)現(xiàn)Web應(yīng)用中包含身份證號、銀行賬號、家庭住址等敏感信息，需人工識別確定，防止敏感信息泄露。5.不良信息檢測。檢測發(fā)現(xiàn)Web應(yīng)用中的隱藏鏈接、可疑鏈接等，并對暗鏈內(nèi)容進行內(nèi)容識別，確定不良信息。6.網(wǎng)頁木馬檢測。提供對各種掛馬方式的網(wǎng)頁木馬進行檢測分析，并對木馬傳播的病毒類型做出準確剖析和網(wǎng)頁木馬宿主做出精確定位，并提供處置報告并協(xié)助處理加固。二、主機安全1.主機漏掃。對服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等主機設(shè)備進行安全掃描，人工驗證掃描結(jié)果并輸出安全掃描報告及修復(fù)建議。漏洞修復(fù)后，提供漏洞復(fù)掃服務(wù)，直至修復(fù)完成。2.弱口令檢測。提供指紋識別、暴力猜解等方法檢測主機弱口令，支持包括telent、ftp、ssh、pop3、smb、snmp、rdp、smtp、redis、oracle、mysql、postgresql、mssql、db2、mongodb等主流協(xié)議。驗證掃描成果。3.對DNS服務(wù)的安全漏洞檢查，包括DNS緩存中毒、DNS拒絕服務(wù)漏洞、簽名欺騙等至少100種以上的相關(guān)漏洞庫；4.對iOS、Android、Blackberry、windowsphone等操作系統(tǒng)，并提供至少50種以上的相關(guān)漏洞庫；輸出物《web安全掃描報告》、《主機安全掃描報告》等（三）安全運維技術(shù)指標(biāo)指標(biāo)要求服務(wù)方式現(xiàn)場實施，4次/年服務(wù)內(nèi)容通過現(xiàn)場人員駐場的方式,對我校管理員日常的生產(chǎn)運營工作進行協(xié)助和支持,充分發(fā)揮專業(yè)的安全技術(shù)能力,保障客戶網(wǎng)絡(luò)運維、日常辦公的有序運行。輸出物《安全運維報告》等（四）安全加固與咨詢技術(shù)指標(biāo)指標(biāo)要求服務(wù)方式根據(jù)學(xué)校要求進行遠程或現(xiàn)場實施服務(wù)內(nèi)容1.依據(jù)安全檢查和評估的各項報告，針對信息系統(tǒng)各組件（服務(wù)器、應(yīng)用系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、網(wǎng)站等）存在的脆弱性，制定相應(yīng)的加固方案。協(xié)助我校通過補丁更新、修補漏洞、安全配置增強、系統(tǒng)架構(gòu)和安全策略調(diào)整等措施進行安全加固,幫助提升系統(tǒng)的安全性和抗攻擊能力。2.定期提供最新病毒的防御方案、最新系統(tǒng)漏洞信息及其修復(fù)方法、最新發(fā)生的安全事件等內(nèi)容的安全通告報告。3.同時學(xué)校提供所有關(guān)于網(wǎng)絡(luò)安全的信息咨詢。輸出物《系統(tǒng)安全加固建議》、《網(wǎng)絡(luò)安全資訊》等（五）重保和護網(wǎng)演練服務(wù)技術(shù)指標(biāo)指標(biāo)要求服務(wù)方式現(xiàn)場實施，提供每年≥20天駐場服務(wù)（每天8小時）服務(wù)范圍采購方所有主機及業(yè)務(wù)系統(tǒng)服務(wù)內(nèi)容1.在重大活動時期或護網(wǎng)演練期間，提供專業(yè)工程師駐場，利用人工結(jié)合工具等方式對單位信息系統(tǒng)、網(wǎng)站、服務(wù)器等資產(chǎn)進行實時監(jiān)測，及時處理發(fā)現(xiàn)的系統(tǒng)安全事件。同時利用安全監(jiān)測平臺對安全威脅及事件進行取證溯源，并對內(nèi)部安全設(shè)備策略進行配置優(yōu)化，幫助用戶建立完善的網(wǎng)絡(luò)安全保障機制。針對重要系統(tǒng)，值守工程師模擬黑客的攻擊思路進行排查，發(fā)現(xiàn)信息系統(tǒng)可能存在的安全威脅。除完成以上內(nèi)容外，還需滿足本單位提出的其他臨時安全需求，并最終提交各項報告。2.護網(wǎng)演練期間，需提供蜜罐系統(tǒng)等安全設(shè)備。所提供的蜜罐系統(tǒng)功能參數(shù)要求如下：3.派遣專業(yè)工程師駐場值守，并提供重保方案及具有安全檢測、安全防護、溯源取證等系統(tǒng)或設(shè)備，提升本單位網(wǎng)絡(luò)安全防護能力，確保采購方網(wǎng)絡(luò)安全。輸出物《重保日報》、《重保總結(jié)報告》等。（六）攻防演練技術(shù)指標(biāo)指標(biāo)要求服務(wù)方式現(xiàn)場實施，≥1次/年服務(wù)范圍采購方所有業(yè)務(wù)系統(tǒng)服務(wù)內(nèi)容開展攻防演練,加強內(nèi)部信息安全人才建設(shè)、培養(yǎng),提升整體技術(shù)骨干攻防技能水平，促進日常信息化安全管理水平。提供攻防演練方案，針對指定信息系統(tǒng)，通過真實攻擊，排摸用戶網(wǎng)絡(luò)環(huán)境可能存在的安全風(fēng)險隱患，驗證現(xiàn)有網(wǎng)絡(luò)安全防護措施的有效性和可靠性，從而提高應(yīng)對網(wǎng)絡(luò)安全攻擊和事件的水平和協(xié)同配合能力。服務(wù)要求1.從攻擊、防守兩方（紅/藍）角色進行網(wǎng)絡(luò)實戰(zhàn)攻防演練，提供演練前培訓(xùn)、演練實施以及演練后的總結(jié)回顧服務(wù)等內(nèi)容。2.攻擊場景包括但不限于信息篡改、信息泄露、潛伏控制，攻擊方式包括但不限于web滲透、內(nèi)網(wǎng)滲透、釣魚欺騙、社會工程學(xué)。3.漏洞測試、攻擊利用過程點到為止，需截圖保存證據(jù)，禁止進行攻擊破壞。4.演練結(jié)束后，應(yīng)組織專家，匯總、分析所有攻擊數(shù)據(jù)，匯總發(fā)現(xiàn)的突出問題，形成整改報告，并下發(fā)到責(zé)任單位，督促其整改及上報整改結(jié)果。輸出物《攻防演練總結(jié)報告》等（七）安全宣傳及培訓(xùn)技術(shù)指標(biāo)指標(biāo)要求服務(wù)方式現(xiàn)場實施，網(wǎng)絡(luò)安全宣傳周：≥1次/年；網(wǎng)絡(luò)安全培訓(xùn)：≥2次/年服務(wù)內(nèi)容1.助學(xué)校做好每年安全宣傳周工作，包括網(wǎng)絡(luò)安全宣傳、網(wǎng)絡(luò)安全宣講、網(wǎng)絡(luò)安全宣傳海報、宣傳手冊制定等。2.提供每年≥2次網(wǎng)絡(luò)安全培訓(xùn)，用以提升學(xué)校技術(shù)人員的安全意識和技術(shù)水平，并出具培訓(xùn)PPT。服務(wù)要求1.針對管理和技術(shù)兩個層面制定階梯性人員能力培訓(xùn)計劃，通過安全培訓(xùn)使相關(guān)人員的安全意識、安全技術(shù)能力及安全管理能力有明顯提升。管理人員主要包括：高層管理、業(yè)務(wù)專家等。培訓(xùn)目標(biāo)：對管理人員的培訓(xùn)，使他們了解國家相關(guān)部門對系統(tǒng)信息安全管理和建設(shè)的相關(guān)標(biāo)準，同時建立起一套具有針對性和適用性的安全管理辦法。技術(shù)人員主要包括：操作人員、開發(fā)人員、維護人員等。培訓(xùn)目標(biāo)：對技術(shù)人員的培訓(xùn)，使他們了解信息系統(tǒng)所面臨的嚴峻安全威脅和挑戰(zhàn)，以及如何進行全面有效的安全防護措施。全員培訓(xùn)主要包括：安全意識培訓(xùn)等。培訓(xùn)目標(biāo)：全體成員的培訓(xùn)，、讓大家對信息安全的有初步的認識和逐步提高安全意識，讓安全事故可以得到有效的避免。2.投標(biāo)單位需為信息安全測評中心授權(quán)培訓(xùn)機構(gòu)；3.培訓(xùn)講師需具備相應(yīng)的信息安全專業(yè)資質(zhì)，比如CISSP、CISP、ISO27001、CISAW、CCSK等。輸出物網(wǎng)絡(luò)安全宣傳材料、培訓(xùn)課件等（八）應(yīng)急響應(yīng)技術(shù)指標(biāo)指標(biāo)要求服務(wù)方式根據(jù)學(xué)校需求服務(wù)范圍采購方所有主機及業(yè)務(wù)系統(tǒng)服務(wù)內(nèi)容服務(wù)期內(nèi)，通過遠程和現(xiàn)場支持的形式協(xié)助本單位對遇到的突發(fā)性安全事件進行緊急分析和處理。服務(wù)要求當(dāng)出現(xiàn)安全事件時，必須及時進行響應(yīng)，具體要求包括：1.技術(shù)人員在≤4小時內(nèi)到達現(xiàn)場；2.對入侵事件進行分析，查找原因、溯源取證；3.抑制入侵事件的進一步發(fā)展，將事故的損害降低到最小化；4.排除安全隱患，消除安全威脅，協(xié)助恢復(fù)系統(tǒng)正常運作；5.提交應(yīng)急響應(yīng)報告及安全加固建議；6.提供安全專家團隊遠程協(xié)助進行應(yīng)急響應(yīng)處置工作。輸出物《安全事件應(yīng)急響應(yīng)報告》等（九）設(shè)備支持類服務(wù)技術(shù)指標(biāo)指標(biāo)要求服務(wù)內(nèi)容提供漏掃系統(tǒng)、云防護服務(wù)、APT設(shè)備，服務(wù)時間3年。其中漏掃系統(tǒng)、APT設(shè)備需安裝在采購方機房。漏掃系統(tǒng)1.支持常見的WEB應(yīng)用弱點檢測，支持OWASPTOP10等主流安全漏洞，如：SQL注入、Cookie注入、Base64注入、XSS跨站腳本、框架注入、鏈接注入、隱藏字段、CSRF跨站偽造請求、命令注入、命令執(zhí)行、代碼注入、遍歷目錄、弱口令、表單繞過、文件包含、管理后臺、敏感信息泄漏、第三方組件、其他各類CGI漏洞等各種類型；2.支持在漏洞知識庫中單獨選擇某漏洞直接下發(fā)掃描任務(wù)以驗證是否存在該漏洞；3.支持定制掃描：用戶可根據(jù)；目標(biāo)掃描網(wǎng)站的特點以及所在網(wǎng)絡(luò)環(huán)境，對掃描過程進行定制，如爬行、檢測、過濾、網(wǎng)絡(luò)環(huán)境等；4.支持端口掃描和服務(wù)的協(xié)議及版本識別，支持自定義掃描端口范圍；5.支持IP地址的形式下發(fā)掃描任務(wù)并自動發(fā)現(xiàn)存在的Web資產(chǎn)；提供功能截圖證明；6.漏洞知識庫支持漏洞描述、修復(fù)建議、CVEID、CNCVEID、CNVDID、CNNVDID、Bugtraq、CVSS分值、漏洞名稱、風(fēng)險等級、發(fā)現(xiàn)日期等維度查看；7.漏洞掃描系統(tǒng)Web掃描域名無限制，Web掃描任務(wù)并發(fā)數(shù)為5個域名。支持掃描A類、B類、C類地址，系統(tǒng)掃描支持50個IP地址并行掃描。標(biāo)準1U機架式，1T硬盤，標(biāo)準配置6個10/100/1000M自適應(yīng)電口，2個擴展插槽,2個USB口，1個Console口，單電源。報價中包含三年漏洞特征庫升級。8.支持同時下發(fā)系統(tǒng)掃描、Web掃描、弱口令掃描任務(wù)，無需單獨下發(fā)掃描任務(wù)，掃描目標(biāo)可以是IP、域名、URL的任一格式；9.支持掃描國產(chǎn)系統(tǒng)、數(shù)據(jù)庫掃描。國產(chǎn)操作系統(tǒng)包括中興新支點、中標(biāo)麒麟、凝思、華為歐拉、深度、紅旗，國產(chǎn)數(shù)據(jù)庫包括神通、人大金倉、南大通用、達夢10.支持自動探測指定網(wǎng)段中的Web站點，并可一鍵轉(zhuǎn)為Web資產(chǎn)或一鍵下發(fā)Web掃描任務(wù)；11.支持至少三種漏洞驗證方式如瀏覽器驗證、注入驗證、通用驗證；15.支持導(dǎo)出同時