XX省XX厅数据安全加固服务项目技术要求.docx

《XX省XX厅数据安全加固服务项目技术要求.docx》由会员分享，可在线阅读，更多相关《XX省XX厅数据安全加固服务项目技术要求.docx（14页珍藏版）》请在第一文库网上搜索。

1、XX省XX厅数据安全加固服务项目技术要求一、项目概况为加强XX省XX厅政务云端和本地化的网络与数据安全工作，按照网络安全法等相关要求，在组织架构、安全管理、安全运营及保障等方面，做好包括等级保护、风险评估、数据保护、渗透测试、应急响应、事件处置、安全监控、安全培训等在内的安全措施。二、运维服务内容1 .业务安全加固包括渗透测试、安全应急演练与响应、安全培训、线下IDC安全加固、网络安全考核制度和工作方案、网络安全工作月报和日常运维服务以及重保服务等。2 .安全漏洞智能治理通过对政务云上应用的巡检、配置规则巡检、操作系统巡检，根据XX厅业务运行规则，结合上级管理单位要求，制定安全漏洞巡检策略，快

2、速识别当前政务云上应用潜在安全漏洞、合规风险并针对性提供解决方案，帮助客户解决对应问题。根据用户情况，对治理策略进行推行与持续运营，通过在治理对象、触发策略、发条件、优化建议等层面的自定义，不断提高治理策略的分析质量和智能化能力，为XX厅运维人员提供分析基础和质量保障。在形成治理策略后，结合策略中的专家建议，提高用户对分析结果的理解能力；通过系统监控数据的关联查询，为用户提供辅助决策；在疑难问题面前；在完成治理条件的准备后，结合线上、线下的治理模式，完成风险漏洞治理的动作，并通过实时复检、定期体检的方式保障云资源的长期稳定运行。3 .关键应用统一运维基于统一工作台进行报警、工单、事件、故障、改

3、进措施、预案的闭环管理，使业务连续性管理及运营更高效、更实时。基于一个平台产品进行全方位的业务连续性管理支撑，包括资源管理、应用管理、监控管理、事件管理、故障管理等，基于统一运维平台可一站式的管理所有服务问题，提升政府客户效能。基于钉钉等渠道，支持实时交互，使整个应急指挥过程更加透明化。包括以下服务：事件故障管理服务，一站式全景监控服务（资源监控、业务监控），基础配置管理服务。三、运维对象基本情况略。四、运维服务要求立足于信息系统运行的现状、业务中断可能造成的影响面和影响深度，结合组织结构和目前人力资源状况，从业务要求、重要性、安全性和效能等方面,提出详细的维护需求。（一）业务安全加固要求1

4、.渗透测试服务内容说明服务项服务内容渗透测试- 对目标系统进行安全检测，发现存在的安全漏洞。- 利用发现的安全漏洞对目标系统进行模拟渗透攻击。- 通过渗透尝试突破防御系统，展示漏洞可能造成的负面危害。（一年两次）渗透测试报告提供安全渗透测试服务报告，至少包含以下内容：- 整体安全情况- 渗透测试过程- 安全漏洞详描述- 漏洞危害评估展示- 漏洞修复及安全整改建议加固指导-针对渗透过程中发现的安全风险，提供修复方案。-通过现场或电话会议方式对客户进行修复指导。服务形式渗透测试人员远程提供服务。说明：部分不对外开放业务，需开放访问路径进行服务。服务输出渗透测试服务提供以下文档输出：XXXX系统渗透

5、测试服务报告服务S1A在指定时间内到达现场。在合同签订完一个月内完成第一次渗透测试服务，合同签订完6个月内完成第二次渗透测试服务。渗透测试工作完成后五个工作日内提交服务报告。2 .安全应急演练与响应服务内容说明服务类别服务描述应急演练与响应服务制定应急预案，根据应急预案进行模拟安全攻防演练。当云上实际发生紧急安全事件时，组建网络与数据安全专家技术团队，并提供7*24小时的网络与数据安全事件应急响应支持。（1年2次）服务形式服务项服务形式安全应急演练与响应服务通过钉钉、电话、邮件、现场等方式进行模拟攻防演练服务。说明：具体形式可与业务方协商。实际发生紧急安全事件时，提供现场的安全响应技术支持。服

6、务输出安全应急演练与响应服务提供以下文档输出：（涉及应急演练与响应服务过程文档）XX省XX厅网络与数据安全应急预案；XX省XX厅网络与数据安全应急演练实施方案;XX省XX厅网络与数据安全应急演练总结。服务指标S1A服务项目服务S1A安全应急演练与响应服务提供全程安全攻防演练与响应服务技术服务。说明：红队模拟安全事件行为，由蓝方组织应对安全事件应急响应处置，并形成总结报告复盘，提升攻防应急能力。3 .安全培训服务内容说明服务类别服务描述安全培训服务根据省XX厅网络信息安全的实际情况和需求，提供XX厅范围内业务管理、运维及技术人员的网络与信息安全培训，培训内容包括政务行业内外网络安全态势和案例、法

7、律法规等安全意识培训，以及云上安全产品原理等安全技术培训。（一年两次）服务形式服务项服务形式安全培训服务现场或远程方式。说明：具体形式可与业务方协商。服务输出安全培训服务提供以下文档输出:各类培训教材、培训记录。服务指标S1A服务项目服务S1A安全培训服务根据业务方网络与信息安全的实际情况和需求，提供系列的安全培训计划。提前3个工作日提交培训材料。4.线下IDC安全加固按照省电子政务的相关要求，目前XX厅现有的线下IDC中所部署的系统存在一定的安全隐患与风险。特别是线下IDC所涉及到的数据与政务云所部署的数据一样涉及到国家安全以及个人隐私信息。因此需要在本年度建设中补充相应的的安全技术服务措施

8、，避免高级威胁攻击行为对线下IDC业务的攻击与渗透。本次安全加固服务中，通过自带巡检工具（1套威胁分析平台，1套探针平台）部署在XX厅机房，做好每周1次安全巡检后形成XX省XX厅威胁日志分析报告、XX省XX厅系统高级威胁监测报告2个报告。威胁情报威胁情报可对APT攻击、新型木马、特种免杀木马进行规则化描述。基于大数据分析出的未知威胁实现精细分析，确认攻击手段、攻击对象以及攻击的目的，通过人工智能结合大数据知识以及攻击者的多个维度特征还原出攻击者的全貌，包括程序形态，不同编码风格和不同攻击原理的同源木马程序，恶意服务器等，通过全貌特征“跟踪”攻击者，持续的发现未知威胁，最终确保发现的未知威胁的准

9、确性。高级威胁分析服务基于分析平台，实现对传感器提交的流量日志、告警日志以及文件威胁鉴定器提交的告警日志进行存储；其次同时分析服务可以实现对所有数据进行快速的处理并为检索提供支持，还能将存储的日志与威胁情报进行碰撞以及进行日志关联性分析产生告警并能在屏幕上展示威胁态势；此外分析平台需要实现对告警进行深度分析，支持以告警字段进行狩猎分析及可视化展示，支持全属性下钻,以攻击链的视角还原告警中的受害主机被攻击的整个过程；流量监测工具能力要求支持文件白名单、发件人邮箱白名单、发件人域名白名单、黑域名白名单、黑IP白名单、域名白名单、客户端IP白名单、服务端IP白名单、WEB特征风险白名单、IDS规则白

10、名单的配置；支持自定义启用/禁用拒绝服务攻击模型；并支持自定义配置模型统计周期、单包长度阈值、统计周期内包数量阈值等参数；支持沙箱智能检测文件能力；支持基于文件系统过滤驱动实现沙箱虚拟机多样本运行能力；支持导入自定义YARA规则，可从静态文件和运行内存中检测文件威胁；支持自动从APT云端获取最新威胁情报；支持域名白名单同步云端；支持将本地恶意文件攻击的病毒类型等信息上传到APT云端，提升协同防御能力；支持多维度深层次检测APT攻击；告警可详细展示风险级别、发生时间、告警名称、客户端IP、服务器IP、ATT&CK矩阵、报文内容（UR1、请求头、请求参数、请求内容）；设备产生的数据重要程度至少分为

11、3级，可自定义配置不同级别数据的清理比重。威胁分析工具能力要求支持AI规则引擎、A1智能新型引擎，检测加密流量攻击；支持Web应用类指纹信息识别，识别类型：Web服务器（0A、企业建站系统、博客、门户、在线阅读等）、Web组件、Web中间件、邮件服务器等，识别Web应用类型指纹数量18000;支持基于机器学习实现扫描IP分类；支持双模式检测：静态检测落地脚本文件特征，规则特征数量1100+；动态行为特征检测webshe11利用行为；支持基于算法模型检测webshe11利用行为；支持登录分析、访问关系、Web服务分析、挖矿主机分析、勒索病毒分析、隐蔽隧道、邮件分析、数据安全、DGA域名检测、加密

12、攻击检测等内置安全分析场景，基于场景特性进行默认条件的数据聚合分析，展示统计排序信息，支持分析结果导出。并且可以自由开关场景分析。服务周期本次高级威胁检测服务的服务周期为一年。5 .网络安全考核制度和工作方案服务内容说明服务类别服务描述网络安全考核修订修订本系统内部的年度网络安全考核制度。网络安全工作方案根据省XX厅网络信息安全的实际情况和需求，修订年度网络安全工作方案，明确主要目标、基本要求和工作任务。服务形式服务项服务形式网络安全考核制度和工作方案通过调研厅实际网络安全情况提供相应的网络安全考核制度和工作方案建设服务。服务输出网络安全考核制度和工作方案建设服务提供以下输出:20XX年XX省

13、XX厅网络安全考核制度；20XX年XX省XX厅网络安全工作方案。服务指标S1A服务项目服务S1A网络安全考核制度和工作方案根据业务方网络与信息安全的实际情况和需求，提供相应的网络安全考核制度和工作方案。6 .网络安全工作月报和日常运维服务内容说明服务类别服务描述网络安全工作月报和每月日常运维记录报告根据厅日常开展的网络安全工作提供工作月报和每月日常运维记录报告。服务形式服务项服务形式网络安全工作月报和每月日常运维记录报告通过日常运维和实际开展网络安全工作提供相应报告。服务输出网络安全工作月报和日常运维服务提供以下输出:XX省XX厅网络安全工作月报；XX省XX厅网络安全X月运维报告。服务指标S1

14、A服务项目服务S1A网络安全工作月报和每月日常运维记录报告根据业务方每月开展的网络与信息安全工作情况，提供相应报告。7.重保20XX年9月9日至10月底，组建不小于3人的重保工作小组，开展7*24小时的应急值班值守，开展全天候监测预警，做到风险隐患第一时间发现处置和报告，确保不发生重大网络与安全数据事件。技术指标指标要求服务范围采购人信息系统。服务频率及期限按需提供服务内容根据采购人需求提供重要时期安全保障值守服务，在重要时期（20XX年9月9日至10月底），为确保网络和信息系统的安全性、保密性、服务可用性，安排安全技术人员提供远程值守服务。提供安全技术人员7*24小时重要时段安全保障远程值守

15、服务，包括安全监测、应急响应等。交付物重要时期活动保障总结（二）安全漏洞智能治理服务要求1 .服务概述通过对云上资源巡检、配置规则巡检、操作系统巡检，根据XX厅业务运行规则，结合上级管理单位要求，制定安全漏洞巡检策略，快速识别当前云资源的潜在安全漏洞、合规风险并针对性提供解决方案。其根据用户情况，对治理策略进行推行与持续运营，通过在治理对象、触发策略、发条件、优化建议等层面的自定义，不断提高治理策略的分析质量和智能化能力，为XX厅运维人员提供分析基础和质量保障。在形成治理策略后，结合策略中的专家建议，提高用户对分析结果的理解能力；通过系统监控数据的关联查询，为用户提供辅助决策；在疑难问题面前,也可以通过工单系统，达到定向分析与服务的能力；在完成治理条件的准备后，结合线上、线下的治理模式，完成风险漏洞治理的动作，并通过实时复检、定期体检的方式保障