福建省水利建设市场信用评价平台及质量检测监管平台等级保护咨询测评服务技术参数服务目标.docx

福建省水利建设市场信用评价平台及质量检测监管平台等级保护咨询测评服务技术参数1 .服务目标本项目的主要目标根据等级保护等国家标准的要求，通过开展资产梳理、信息安全等级保护差距分析、信息安全评估、编制信息系统等级保护整改指导方案、协助测评、协助定级备案等工作，以人工和自动化方式对省水利建设市场信用评价平台及质量检测监管平台进行详细的调研和技术测试，发现并总结项目范围内的信息系统安全现状与安全等级保护要求的差距，并设计详细和合理的安全等级保护整改指导建议方案，并针对项目范围内的信息系统提供等保测评服务。2 .服务期限本次服务期限为自合同签订之日至备案系统通过等保测评。3 .服务范围本次网络安全等级保护安全服务主要的对象为：省水利建设市场信用评价平台及质量检测监管平台及其支撑网络。4 .服务内容4.1, 等级保护咨询服务4.1.1. 等保资产分析服务根据等级保护范围内的资产组成，派遣专业工程师到现场整理各个系统的网络结构拓扑以及相关联的资产，编制信息系统资产清单及资产报告；对服务范围内信息系统开展安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心以及安全管理制度进行调研和梳理，编制信息系统详细描述文档。4.1.2. 等保风险分析服务根据等级保护基本要求，开展安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心以及安全管理的现状分析，通过安全访谈、脆弱性评估、登录检查、日志分析以及渗透测试等技术手段对现有的安全资产进行全方位的风险评估，结合信息资产属性、威胁、脆弱性等基本要素，分析信息系统安全风险评估分析，编制风险分析报告。投标人所采用的等保风险分析服务工具能够发现网页木马（webshell）,须同时支持对反动、赌博、色情等内容进行检查。检查的目标文件类型不限，可同时支持PHP、ASP、JSP>ASPX,JSPX等脚本类型；支持对各类威胁进行自动评分，并按照危险值从高到低进行排序；支持导出检测结果，支持对可疑文件进行批量复制或批量删除。通过光盘/U盘提供虚拟机环境下的录屏演示（录屏演示时间为3至5分钟）；投标人所采用的等保风险分析服务工具支持按照基线模板对主机安全配置进行基线检查，并基于基线模板选择加固策略，自动完成对不符合项的加固工作。通过光盘/U盘提供虚拟机环境下的录屏演示（录屏演示时间为3至5分钟）；投标人所采用的等保风险分析服务工具支持自动识别并标识隐藏账号、仿冒操作系统自带进程的异常进程（如、等）、木马后门等；支持自动识别异常网络连接，标识网络连接中的IP归属地，并以不同颜色区分局域网IP、国内IP、境外IP,帮助技术人员快速识别异常网络连接。通过光盘/U盘提供虚拟机环境下的录屏演示（录屏演示时间为3至5分钟）。4.1.3. 等保差距评估服务在安全评估和信息系统定级的基础上，根据GB/T22239-2019信息安全技术网络安全等级保护基本要求将定级信息系统等级保护的各项基本要求与信息安全现状进行比较分析，从管理和技术两个层面找出存在的问题并进行差距分析。投标人所提供的Web代码安全走查服务工具（系统）能够对web源代码进行扫描，检查代码中的网页木马，网页挂马以及网页暗链。须提供服务工具功能截图证明。投标人所提供的等保差距评估服务工具能够对主机进行安全监控，能够监控黑客入侵过程中修改系统账号、创建敏感文件、植入Rootkit后门等行为，提供包括账号口令、权限控制、敏感文件、可疑后门等黑客入侵痕迹监测功能截图。通过模拟黑客利用系统漏洞，向被监控的应用系统主机添加隐藏账号（例如：hack?）,服务工具能在1分钟内生成相关的告警，并能够查看告警信息和对应的黑客添加的系统账号名称，提供至少5张功能截图作为证明材料。4.1.4. 等保需求分析与设计服务依据相应等级要求对当前实际情况的差距分析结果对应策略设计整改加固措施，按照差距评估报告对应策略设计整改措施，面向保护对象设计系统安全、应用安全及数据库安全等方面的整改设计方案；提供详细的等级保护安全服务方案书，应该包括具体的实施内容、实施流程、风险管理和进度控制等。4.1.5. 等保安全加固服务根据等级保护基本要求以及风险分析结果，提供专业的系统安全加固建议意见，派遣专业工程师到现场根据等保安全加固指导书实施边界防护安全策略优化辅导、服务器病毒检查与清理，提供主机安全加固建议、数据库安全加固建议以及应用安全加固建议。安全加固实施前，应提交安全加固风险分析及风险规避说明书。加固完成后，派遣专业工程师到现场针对加固前后的系统脆弱性进行复查，复查手段包括但不限于协议分析、漏洞扫描、漏洞验证以及配置核查等方法。4.1.6. 等保制度建设服务协助本单位对安全管理制度建设，按照等级保护管理部分的标准，从安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理5个方面帮助补充及完善等级保护要求的管理体系建设中涉及到的制度文档，以及相关记录的完善。包括但不限于信息安全工作职责，信息安全监督、检查机制；辅助编写方针、制度、各类记录表格模板在内的三层结构的安全管理制度，达到等级保护测评要求。4.1.7. 等保定级咨询服务在信息系统自行定级的基础上，参照国家和地方对等级保护定级的有关要求，对信息系统开展摸底调查工作，掌握信息系统的基本情况，了解信息系统（包括信息网络）的业务类型、应用或服务范围、数量、系统结构、部署方式、安全策略、内控制度等信息，协助本单位完成撰写信息系统定级报告，明确信息系统的边界和安全保护等级，并组织专家评审。4.1.8. 等保备案辅助服务根据信息安全等级保护管理办法，信息系统运营使用单位或主管部门需到当地公安机关备案，我司提供备案咨询服务，协助本单位填写信息系统安全等级保护备案表等准备材料。4.1.9. 等保测评辅助服务在测评阶段协助本单位准备测评材料，指导本单位配合测评机构开展等级测评工作，组织测评整改，协助本单位通过等保测评获得测评报告。42等级保护测评服务依照GB/T22239-2019信息安全技术网络安全等级保护基本要求和行业网络安全等级保护基本要求对被测系统进行等级保护测评，确定不同等级业务系统当前安全防护现状，以及与国家和行业等级保护要求间的差距；分析其所面临的威胁及其存在的脆弱性，提出有针对性的抵御威胁的防护策略和整改措施，为防范和化解信息安全风险，将风险控制在可接受的水平，最大限度地防止由于信息系统安全事件引发安全事故，全面提高信息系统安全防护水平提供科学依据。等级测评将覆盖安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度等方面的内容，内容包括但不限于以下内容：1.总体要求测评：包括总体技术要求、总体管理要求；2 .安全技术测评：安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等五个方面的安全测评；3 .安全管理测评：安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等五个方面的安全控制测评；4 .最终版报告需加盖具有测评资质的测评机构的印章。所投的测评机构应具有国家网络安全等级保护协调小组办公室颁发的网络安全等级保护测评机构的推荐证书，须提供由等级保护测评机构出具的授权函，同时测评机构投入此次项目中的测评人员中至少需要有一名高级测评师及四名中级测评师（需提供相关证明材料）。5 .服务交付成果序号服务项目服务内容交付成果服务频率备注等级保护咨询服务1.等保资产分析服务对信息系统进行调研和梳理，编制信息系统详细描述文档。信息系统基本情况调查表1次2.等保风险分析服务分析信息系统的安全风险以及基线差距。系统等保安全评估与整改建议报告1次3.等保差距评估服务依照等级保护要求从管理和技术两个层面找出存在的问题并进行差距分析。4.等保需求分析与设计服务按照差距评估报告对应策略设计整改措施，协助建设单位完成建设整改工作。5.等保安全加固服务针对风险分析与差距评估的结果，实施安全策略优化辅导，提供主机、数据库、应用的安全加固建议。6.等保制度建设服务协助本单位对安全管理制度建设。等级保护安全管理制度汇编1次7.等保定级咨询服务协助本单位完成撰写信息系统定级报告，并协助组织专家评审。相关定级材料1次8.等保备案辅助服务协助本单位准备备案材料。相关备案材料1次9.等保测评辅助服务指导本单位配合测评机构开展等级测评工作。相关测评材料1次等级保护测评服务1.等保测评服务安全技术测评；安全管理测评。等级保护测评报告1次/年注:为保障安全服务实施质量，我单位有权要求中标的报价人在中标后进行等保风险分析服务工具和等保差距评估服务工具的功能现场演示，且提供服务工具的著作权证书。