網絡數據安全風險治理與防護項目需求說明一、安全服務內容(一)網絡安全服務（1）漏洞掃描技術指標指標要求期限及頻率按需提供，不少于4次。服務范圍省所有信息系統，包括：物理機房和政務云上相關信息系統、服務器、數據庫、中間件等。服務內容采用業界認可的、專業的掃描工具，通過定制的掃描規則，形成安全掃描策略文檔，對省網絡和信息系統進行一次全面的自動化安全掃描，人工驗證掃描結果，并輸出安全掃描報告及修復建議。輸出物《漏洞掃描報告》。工具要求須提供專業的主機漏洞掃描工具。1、工具廠商漏洞特征庫大于260000條；提供詳細的漏洞描述和對應的解決方案描述；漏洞知識庫與CVE、CNNVD、Bugtraq、CNCVE、CNVD等國際、國內漏洞庫標準兼容；提供工具漏洞特征庫數量、漏洞庫標準兼容性截圖；2、支持對各種網絡主機、操作系統、網絡設備（如交換機、路由器、防火墻等）、常用軟件以及應用系統的識別和漏洞掃描；3、支持掃描物聯網設備的漏洞，至少支持國內主流攝像頭品牌；4、具備弱口令掃描功能，支持弱口令掃描協議數量≥22種，包括FTP、SMB、RDP、SSH、TELNET、SMTP、IMAP、POP3、Oracle、MySQL、MSSQL、DB2、REDIS、MongoDB、Sybase、Rlogin、RTSP、SIP、Onvif、Weblogic、Tomcat、SNMP等協議進行弱口令掃描，允許用戶自定義用戶、密碼字典，提供弱口令掃描支持協議功能截圖；5、掃描結果在產品界面中支持查看目標應用返回的軟件版本，可以方便與漏洞描述對比進行漏洞驗證，提供軟件版本返回功能截圖；6、支持常見Web漏洞類型的掃描，包括SQL注入、跨站腳本、命令執行、命令注入、代碼注入、弱口令、目錄遍歷、URL跳轉、文件包含、反序列化漏洞、文件上傳、CSRF跨站請求偽造、信息泄露等。支持OWASPTOP10等主流安全漏洞；7、管理人員可根據系統給出的漏洞參數、HTTP請求/響應數據，快速驗證，一鍵驗證漏洞。支持對Struts2遠程命令執行漏洞進行命令執行和文件上傳的滲透測試驗證操作，提供漏洞驗證功能截圖；8、數據庫掃描支持的檢測類型大于10種，至少包括弱口令、執行權限過大、訪問控制漏洞、提權漏洞、緩沖區溢出漏洞、缺省配置、訪問權限繞過、PL-SQL注入、危險程序、安全信息查看等；9、支持VPN代理掃描，可在產品界面添加代理網絡配置，實現公有云、隔離網等特殊網絡環境下的漏洞掃描，提供VPN代理網絡配置功能截圖。須提供專業的數據庫弱點掃描工具。1、支持針對數據庫每張表每個字段的內容進行敏感數據探測，用戶可以自定義添加敏感信息，可以讓用戶了解自己的數據庫系統有哪些敏感數據，存放的具體位置，便于在信息保護和審計中重點關注，提供敏感數據探測功能截圖；2、支持針對Oracle、MSSQLserver、Mysql、Infomix、DB2、Sybase、PostgreSQL、達夢、人大金倉等數據庫類型進行數據庫授權掃描，提供數據庫類型支持截圖；3、提供自動搜索功能，可以自動搜索出某一網段或指定IP范圍內（端口號可默認或指定范圍）的活動數據庫，輕松獲得數據庫的基本信息（包括IP、數據庫類型、服務名、端口號、數據庫版本、操作系統類型、主機名等）；可按時間點、按日、按周定制掃描計劃，到時間自動進行掃描；4、使用具有DBA權限的數據庫用戶，執行選定的安全策略實現對目標數據庫的檢測；5、用戶在沒有授權的情況下（即：不需要數據庫的用戶名和密碼），依據數據庫版本號并根據選定的安全策略對目標數據庫進行的檢測；6、內核篡改檢測：能夠實時檢測出黑客入侵數據庫后對數據庫系統對象的篡改，還能探測出黑客創建的一些隱藏對象，比如隱藏的具有DBA權限的用戶，提供數據庫內核入侵篡改檢測功能截圖；7、按漏洞類型分類：（1）緩沖區溢出漏洞；（2）訪問控制漏洞；（3）提權漏洞；（4）PL-SQL注入漏洞；（5）執行權限過大漏洞；（6）訪問權限繞過漏洞；（7）弱口令；（8）數據庫內核入侵探測；（9）安全信息查看；（10）敏感數據探測；按風險級別分類：（1）緊急；（2）高危；（3）中危；（4）低危；（5）信息；8、提供掃描策略可自定義模式，操作者可以靈活選擇默認策略的同時也可以自定義添加策略。（2）滲透測試技術指標指標要求期限及頻率按需提供，不少于4次。服務范圍省所有信息系統，包括：物理機房和政務云上相關信息系統、服務器、數據庫、中間件等。服務內容通過真實模擬黑客使用的工具、分析方法來對信息系統進行模擬攻擊，并結合web應用弱點掃描等智能工具掃描結果，由高級工程師進行深入的手工測試和分析，識別工具弱點掃描無法發現的問題。主要分析內容包括邏輯缺陷、上傳繞過、輸入輸出校驗繞過、數據篡改、功能繞過、異常錯誤等以及其他專項內容測試與分析，重點發現信息系統應用層業務流程和邏輯上的安全漏洞和敏感信息泄露的風險，輸出滲透測試報告。工具要求須提供專業的自動化滲透測試工具。1、具備團隊滲透攻防協同功能，創建的攻防項目能夠支持分享，訪問分享鏈接的團隊成員可自動加入項目，共同協作對目標的資產進行任務下發和任務管理，提供滲透任務創建及分享功能截圖；2、指紋/POC探測掃描模式支持只識別指紋、識別指紋再進行POC探測、不需要指紋前置直接POC探測三種類型，提供掃描模式選項功能截圖；3、支持對能獲取權限的漏洞進行漏洞利用，獲取對方的服務器權限，包括但不限于代碼執行、命令執行、文件上傳、反序列化漏洞等的漏洞利用；漏洞利用功能能對漏洞進行植入webshell、命令執行、反彈shell等操作。輸出物《滲透測試報告》《滲透測試復測報告》。(二)數據安全服務技術指標指標要求期限及頻率不少于1次，實際根據上級監管要求頻次情況開展。服務范圍省重點數據資產。服務內容數據資產梳理：結合省數據現狀，配合各業務部門梳理數據資產，明確數據資源名稱、數據項基礎信息、共享屬性、開放屬性、分類屬性、責任人、影響對象與影響程度說明等，提交《數據項清單》。數據安全風險評估：針對省所涉及的數據資產進行全生命周期的風險評估，通過綜合評估數據資產信息、威脅信息、脆弱性信息、安全措施信息，最終生成風險信息。從而發現數據安全能力短板，了解其整體的數據安全風險，明確自身的數據安全管理水平。為了達成整體的目標，基于業務場景的數據安全風險評估圍繞數據相關業務開展的詳細的風險調研、分析，產出數據風險報告，并基于數據風險報告產出符合單位實際情況并且可落地推進的數據風險治理建議。輸出物《數據項清單》《數據安全風險評估報告》。(三)代碼安全性檢測與整改技術指標指標要求期限及頻率每系統開展1次，直至通過源代碼審計，符合系統驗收標準。服務范圍省全部重要信息系統。服務內容需由供應商對省業務系統的源代碼和軟件架構的安全性、可靠性進行全面的安全檢查，充分挖掘當前代碼中存在的安全缺陷以及規范性缺陷。采用源代碼掃描和人工分析確認相結合的方式進行分析，發現源代碼存在的安全漏洞。服務要求1、供應商服務人員依據源代碼審計的掃描工具對源代碼進行掃描出的信息，通過人工的方式對源代碼掃描結果進行分析和確認。2、供應商服務人員提供的代碼審計報告，必須包含漏洞從發現到最后整改整個過程記錄，指導系統開發人員對系統開展整改或者加固，最后進行復測以確認漏洞是否合理修復。輸出物《代碼安全檢測報告》《代碼安全檢測復測報告》。(四)商用密碼應用安全性評估服務技術指標指標要求期限及頻率每系統開展1次。服務范圍省全部重要信息系統。服務內容對省信息系統整體的商用密碼組件進行專項測試和綜合評估，分析密碼應用的合規性、正確性和有效性，出具安全性評估結果。根據評估結果，提供商用密碼應用安全改造建設方案，方案包括系統規劃階段、系統建設階段、系統運行階段所涉及的密碼管理措施建議等。服務要求開展密評服務，出具密評報告，應符合驗收要求。輸出物《商用密碼應用安全性評估報告及加固建議》。(五)網絡和數據安全攻防演練技術指標指標要求期限及頻率網絡安全應急演練、數據安全應急演練各不少于1次，并根據上級部門要求，按需開展重要時期專項應急演練。服務范圍省指定信息系統。服務內容在服務期內，為應對信息系統遇到突發的安全問題如：發生網絡入侵事件、大規模病毒爆發、遭受拒絕服務攻擊、數據安全泄漏等，無法及時對該事件進行處理或解決的情況，提前針對此類事件進行應急方案的編制和演練，當此類事件發生時以便進行快速應對處置。服務要求可選演練場景應包括但不限于：1.入侵系統攻擊安全事件。2.拒絕服務攻擊安全事件。3.病毒與木馬攻擊安全事件。4.網站頁面篡改安全事件。5.數據庫內部誤操作。6.其他網絡或數據安全事件。輸出物《網絡安全應急演練總結報告》《數據安全應急演練總結報告》《重要時期專項應急演練總結報告》。(六)重要時期安全防護和值守技術指標指標要求期限及頻率重大會議、重大節日、攻防演練等上級單位要求值守的時間節點。服務范圍省所有信息系統。服務內容重要時期提供人員現場保障服務，服務期間保障工程師利用人工結合工具等方式對單位信息系統、網站、服務器等資產進行實時監測，及時處理發現的系統安全事件。同時利用安全監測平臺對安全威脅及事件進行取證溯源，并對內部安全設備策略進行配置優化，幫助用戶建立完善的網絡安全保障機制。除完成以上內容外，還需滿足用戶提出的其他臨時安全需求，并最終提交各項報告。服務要求1.重點保障服務工作能夠參考國際、國內相關標準如《信息技術安全技術信息技術安全評估準則》、《信息安全技術信息安全風險評估規范》等，并履行《關于維護互聯網安全的決定》相關規定；2.服務過程中獲知的任何客戶系統信息均屬秘密信息，保障期間獲知的信息不得泄露給第三方單位或個人，不得利用這些信息進行任何侵害客戶的行為；對服務的報告提交不得擴散給未經授權的第三方單位或個人；3.支持提供現場安全保障服務，內容包括：主機安全檢查、安全值守服務、安全日志分析以及應急響應服務；4.支持提供非現場安全保障服務，內容包括：信息安全通告、信息安全咨詢、對外服務檢查等。輸出物《安全值守日報》《安全值守總結報告》。工具要求為提升服務質量，服務中應使用專業的應急處置工具箱。任務管理支持新建應急處置任務，包括事件名稱、事件等級、事件發生時間、事件發生單位關鍵信息記錄。資產與數據管理支持按資產上傳專用數據采集工具所生成的采集數據包，并對上傳數據進行分析。支持添加多個處置對象資產，分別上傳所采集的數據信息。數據分析支持設置線索，發現關鍵可疑行為，包括IP線索、關鍵詞線索、文件名線索、時間線索的設置，提供線索設置功能截圖。支持對所采集的系統配置數據、使用痕跡數據、運行狀態數據、惡意代碼情況、系統日志、中間件日志等進行數據分析。支持按照策略進行自動分析，包括非授權時間登錄、口令爆破、惡意啟動項、DDOS、可疑賬號、木馬回連、webshell攻擊、SQL注入、java反序列化攻擊等主機安全事件、網站安全事件、病毒感染事件等高危、中危、低危、信息等級的安全事件進行分析，形成可疑行為事件。支持手動分析，支持處置人員查看采集的數據信息，標記關鍵數據形成可疑行為事件。支持根據所提供的線索自動發現關鍵可疑行為并進行標記。可疑行為信息應可疑行為名稱、行為時間、行為描述、行為主機、危險等級等關鍵信息。支持在處置過程中的發現，動態調整線索內容并進行重新分析。情況調查支持安全事件基本情況調查，包括系統名稱、備案等級、時間發生時間、調查處置時間的記錄，支持處置過程人員記錄，包括涉事單位人員、研發單位人員、運維單位人員、調查人員相關信息記錄。支持生成應急處置報告，報告內容包括事件基本信息、關鍵可疑行為信息及對應處置建議等內容。處置報告包括應急處置知識、應急處置案例、政策法規。知識庫要求支持根據關鍵字搜索相關知識內容，提供界面截圖并加蓋公司公章。勒索病毒專項支持根據勒索文件后綴查找對應解密工具，提供解密工具的下載、使用介紹等，提供勒索病毒搜索功能截圖。威脅情報支持提供IP、域名、文件等威脅情報查詢，提供IP、域名、文件等威脅情報查詢功能截圖。支持連接互聯網情況下的在線情報查詢。支持與互聯網斷開情況下的離線情報查詢。Windows常用工具支持windows數據采集工具的下載。支持windows惡意代碼檢測工具的下載，包括windows病毒木馬檢測工具、windowsWebshell檢測工具。Linux常用工具支持Linux數據采集工具的下載。支持linux惡意代碼檢測工具的下載，包括linux病毒木馬檢測工具、linux檢測工具。支持Ubuntu、opensuse、Debian、centos的bin文件下載，提供相應版本bin文件下載功能截圖。策略管理支持策略的開啟與關閉。支持新建策略與刪除策略。支持自定義設置策略規則、描述信息、處置建議等內容，提供策略自定義功能截圖。鏡像固定支持按照分區、磁盤、內存進行證據固定生成固定鏡像文件。主機病毒木馬檢測檢測流氓軟件、蠕蟲病毒、其它惡意程序等。快速掃描、全盤掃描、自定義目錄掃描。運行環境支持Windows7、WindowsServer2003、WindowsServer2008等操作系統類型。事件痕跡信息采集支持一鍵提取安全事件相關信息，包括系統配置信息、使用痕跡信息、運行狀態信息、惡意代碼情況等，提供一鍵提取功能截圖。提取的日志內容包括操作系統日志、中間件日志。支持自動生成用于上傳管理平臺的數據包。支持自動提取使用痕跡相關文件。WinPE支持關機情況下通過winPE工具瀏覽目標設備磁盤內容。(七)信息安全駐場服務技術指標指標要求期限及頻率1年。服務范圍省所有信息系統。服務內容派遣1名安全服務人員提供全年5*8小時信息安全駐場服務，與招標方作息時間相同，由招標方指定辦公場所。協助招標方構建完善的安全運維管理體系，梳理安全問題、規范運維流程、健全安全管理與技術體系。服務要求安全運維人員應提供包括但不限于以下工作內容：安全日常管理保證網絡的實時連通和可用性，進行安全設備的日常運行狀態的監控，對各種安全設備的日志檢查，對重點事件進行記錄，對安全事件的產生原因進行判斷和解決，及時發現問題，防患于未然。安全設備日志分析根據招標方現場的安全設備，通過現場安全運維駐場工程師進行定期的安全設備日志分析和檢查，發現可能存在的安全風險和安全事件，并將分析結果記錄在《安全日志分析報告》上，按周對招標方指定的安全設備進行分析服務。同時，須針對性地對安全風險提出解決建議，使招標方能夠提早預防，最大限度降低安全運營風險。定性安全測試駐場工程師定期對招標方現有信息系統開展安全測試等脆弱性安全評估工作，發現現有系統存在的安全隱患，并通過協助安全加固，健全信息系統安全防護體系。人員要求1、具有安全團隊管理經驗，能夠完成安全運維團隊全局統籌規劃，組織做好日常安全運營管理工作；2、熟悉繪制網絡拓撲架構、具備漏洞挖掘能力，了解常見系統漏洞、web漏洞的原理、利用方法及加固手段，具備應急處置能力，能對攻擊進行溯源分析能力；3、具備獨立WEB滲透能力，熟練掌握SQL注入/XSS/CSRF/文件上傳/文件包含/命令執行/業務邏輯漏洞等漏洞利用方法；4、具有豐富的網絡流量及日志分析經驗，能夠從日志分析中發現異常；5、能夠完成省交予的其他工作內容，如漏洞驗證、通報下發、配合安全迎檢等。工具要求駐場期間駐場人員需使用專業的WEB應用弱點掃描工具。1、支持常見的WEB應用弱點檢測，支持OWASPTOP10等主流安全漏洞，如：SQL注入、Cookie注入、Base64注入、XSS跨站腳本、框架注入、鏈接注入、隱藏字段、CSRF跨站偽造請求、命令注入、命令執行、代碼注入、遍歷目錄、弱口令、表單繞過、文件包含、管理后臺、敏感信息泄漏、第三方組件、其他各類CGI漏洞等各種類型；2、支持在漏洞知識庫中單獨選擇某漏洞直接下發掃描任務以驗證是否存在該漏洞，提供單獨下發掃描任務功能截圖；3、支持定制掃描：用戶可根據；目標掃描網站的特點以及所在網絡環境，對掃描過程進行定制，如爬行、檢測、過濾、網絡環境等；4、支持端口掃描和服務的協議及版本識別，支持自定義掃描端口范圍，提供端口掃描和指紋識別功能截圖；5、支持IP地址的形式下發掃描任務并自動發現存在的Web資產，提供IP形式發現web資產功能截圖；6、漏洞知識庫支持漏洞描述、修復建議、CVEID、CNCVEID、CNVDID、CNNVDID、Bugtraq、CVSS分值、漏洞名稱、風險等級、發現日期等維度查看。輸出物《安全服務周報》、《安全服務總結報告》等。(八)混合云安全管理服務技術指標指標要求期限及頻率1年。服務范圍省重點信息系統。服務內容服務期內提供專業的混合云安全管理平臺，基于虛擬化技術，對省分散在各公有云上的資產進行統一收集和運維管理，并通過分布式的云原生引擎和一套安全運營綜合管理系統對多云環境中的資產開展漏洞分析、風險監測等評估工作，并根據檢查結果快速完成安全能力的補充，提高省整體安全運營管理效率的同時降低安全運營成本。輸出物《混合云安全管理態勢分析報告》。服務平臺要求資產探測支持通過主動探測方式發現存活的資產，探測維度包括網站主域名鉆取探測、IP/IP段掃描探測、Web探測，支持用戶自定義探測周期及資產入庫方式，入庫方式包括自動入庫和二次人工確認后入庫，提供探測維度、資產入庫方式功能截圖。支持自定義配置資產探測速率和探測端口范圍，支持設置全端口探測能力，系統內置不少于3種常用端口標準模版供用戶自主選擇使用。支持針對某一組織單位配置對應的IP范圍，在該范圍內掃描發現的資產自動歸屬到該單位目錄下。資產管理支持根據Web資產、主機資產、域名資產和端口資產進行分類，展示資產具體信息，包括但不限于資產名稱、資產類型、資產重要等級、資產等保級別、資產互聯網暴露情況、檢出時間等信息。支持管理資產歸屬信息，通過將資產與單位、人員、地域、業務系統進行關聯，明確資產歸屬和管理責任。支持資產認領功能，能夠將不確定責任人的資產發布到資產認領處讓各單位認領資產，提供資產認領界面功能截圖。支持提供資產年審管理能力，通過能力平臺定期下發資產年審任務，完成資產信息確認和變動資產信息更新，提供資產年審管理功能截圖。業務系統管理支持以業務系統的維度進行資產管理，支持錄入或批量導入系統基礎信息、系統關聯資產信息（IP、域名、訪問地址）、系統架構信息（開發語言、版本、服務組件等）、業務系統聯系人，支持上傳系統業務拓撲圖，直觀展示業務系統整體狀態，提供業務系統緯度資產管理功能截圖。支持新增等保系統，記錄系統歷史定級信息、備案信息、備案證明材料和系統防護狀態信息。支持自定義業務系統防護狀態信息，支持類別包括但不限于防篡改、防泄漏、防中斷、防勒索等防護狀態。風險監測能力支持提供Web漏洞掃描能力，對能力范圍內的Web系統漏洞進行掃描檢測，包括SQL注入漏洞、跨站腳本漏洞、開放能力漏洞、網站第三方應用漏洞、隱藏字段、表單繞過、框架注入、0day漏洞等。支持大規模網站漏洞掃描能力。支持提供主機漏洞掃描能力，對能力范圍內的主機進行漏洞掃描檢測，掃描結果包括漏洞詳情、影響端口、影響能力、漏洞編號等信息并能提供漏洞的修復建議，漏洞知識庫需與國際CVE、國內CNNVD漏洞庫標準兼容。支持提供弱口令掃描能力，對能力范圍內的資產進行弱口令檢測，支持對SMB、RDP、SSH、TELNET、FTP、SMTP、IMAP、POP3、MySQL、MSSQL、REDIS等協議進行弱口令掃描。支持提供安全事件監測能力，對能力范圍內的Web資產提供包括暗鏈、掛馬、黑頁、挖礦腳本、webshell、壞鏈在內的安全事件監測。通報通知能力支持將發現的安全風險信息通過通報的形式下發給下級單位進行處置，提供通報管理功能截圖。支持下級單位收到通報信息登錄到平臺上針對通報的信息進行處置并上傳處置材料和修復情況說明。支持管理單位對下級單位的問題修復情況進行審核和歸檔，對于處置不佳的通報支持駁回重新處置，提供通報駁回功能截圖。支持通過通知功能將安全相關預警文件、政策文件等發送