XX生态环境数字化治理能力提升项目网络安全保障服务采购需求.docx

《XX生态环境数字化治理能力提升项目网络安全保障服务采购需求.docx》由会员分享，可在线阅读，更多相关《XX生态环境数字化治理能力提升项目网络安全保障服务采购需求.docx（9页珍藏版）》请在第一文库网上搜索。

1、XX生态环境数字化治理能力提升项目网络安全保障服务采购需求一、项目背景XX市生态环境局已建立了基础的系统建设安全设计规范、安全编码规范等管理要求，为系统开发提供了管理支撑和安全指导。但随着系统开发需求的不断深入，现有信息系统的系统安全开发、上线、检测、加固、安全运行维护可能无法有效的满足项目系统安全需求。所以在本项目中，需要结合新业务场景和新的政策法规、监管单位要求,结合信息系统建设与安全管理要做具体的工作,实现项目信息化建设与安全做到同步规划、同步建设、同步实施，确保平台安全可控的稳定运行。二、服务清单1、系统安全评估为确保新开发业务系统的安全性，需要在系统上线前，针对信息系统部署的环境安全

2、、应用系统等根据国家、行业相关安全标准要求和设计阶段安全设计要求开展安全评估，检查安全上线要求满足情况，由系统开发建设单位、运营部门协同配合本项目服务单位对系统生产及发布环境进开展有效的安全风险评估。评估范围：网络层、系统层和应用层。（I）通过评估目标平台及系统进行网络架构分析和人工安全检查等评估方法对评估目标系统的网络结构、网络边界、安全计算环境及平台安全策略开展评估；（2）通过安全漏洞、人工安全检查等方式对评估目标系统中,承载业务的应用主机服务器的操作系统进行安全性评估；（3）通过常见安全漏洞、人工安全检查、渗透测试等方式对业务系统的应用系统、WEB系统的安全性进行评估。（4）要求中标单位

3、提供高级威胁检测与溯源分析系统作为安全评估工具。高级威胁检测与溯源分析系统技术规格及指标要求如下:功能项技术规格及指标要求流量采集支持旁路方式部署进行实时网络流数据采集，不影响现有网络环境。支持IPV4/IPV6环境的流量解析，支持在IPv4.IPv6环境下进行攻击检测。支持常见应用协议的解析和还原，如IP、TCP、UDP、ICMPHTTP、SMTPIMAP、POP3、SMB、FTPTE1NETDNS、SS1、MYSQ1、ORAC1E、RDP、SSH、T1S等。支持导入多个HTTPS证书，支持RSAAESDES等多种加密算法，可对加密流量进行解密和还原。支持会话乱序重组，支持单向和双向流量检测

4、。支持SS1证书信息还原，包括证书文件信息和证书通信会话信息。支持从流量中识别资产，识别的信息至少包括资产IP、资产MAC、服务端口号、服务协议等。威胁检测威胁情报检测支持常见攻击类型检测，如病毒、木马、蠕虫、C&C、黑客工具等。支持威胁情报检测,支持与威胁情报联动，可进行实时流量匹配检测和告警，支持对恶意IP、恶意域名、恶意邮箱账号、恶意UR1和恶意文件进行检测。自定义特征检测具备攻击检测能力的扩展功能，可提供检测规则自定义的高级接口，接口具备丰富的协议变量，可以自定义配置协议变量特征值，特征规则包含十六进制特征、字符串特征、yarn规则、正则表达式。漏洞攻击检测支持对主流WEB服务器及插件

5、的已知漏洞攻击检测支持网络流量中漏洞攻击检测，包含系统漏洞、协议漏洞、软件服务漏洞等。功能项技术规格及指标要求端口扫描检测支持端口扫描检测,支持TCP/UDP端口扫描检测,结合模型对流量进行检测和告警。暴力破解检测支持对常见应用服务(HTTP、HTTPS、FTP、SSHSMTP、IMAPRDP、TeamviewerVNC)数据库协议(MYSQ1、ORAC1EMSSQ1MONGODB)的口令暴力破解检测。DDOS检测支持DDOS检测，支持网络层/应用层DDOS检测和告警。WEB渗透检测支持对SQ1注入、XSSSS1指令、WEBSHE11(ASPJSP、PHP)、目录遍历、远程文件包含、数据泄露、

6、命令执行、WEBSHE11工具连接、SSRF等网络攻击检测和告警。隧道通信检测支持基于常见协议的通信隧道检测，包含DNS隧道、ICMP隧道、HTTP隧道等支持多种webshe11隧道检测，包括AbPtts、HTTPTunneKreDuhreGeorgTUnna等。风险邮件检测支持邮件深度安全检测，包括对邮件的链接、附件、发件人员IP、发件人邮箱、邮件正文等的异常检测。支持邮件附件按照发件人、主题、附件名称、附件MD5、发件IP等进行数据聚合展示，支持按照文件分析状态、威胁等级、附件文件类型等进行快捷筛选。支持风险邮件按照时间序列的事件生命周期可视化宏观展示，可以自定义事件范围。支持钓鱼邮件攻击

7、状态监视功能，能够识别到解析钓鱼域名、访问钓鱼链接、向钓鱼网站提交内容等状态。安全事件告警事件聚合支持将多个检测模型产生的海量分散的威胁告警信息自动关联形成威胁事件进行分类告警，标记威胁功能项技术规格及指标要求类型标签。支持内置200多种威胁标签，并支持用户添加自定义标签。支持采用“组合式+启发式”的综合风险评分机制对威胁事件进行评分定级，分为高危、中危、可疑三个等级。威胁事件告警支持对威胁事件进行集中告警展示，支持按照不同威胁类型进行top排名可视化分析，并可查看风险趋势。支持从攻击时间、威胁等级、攻击来源、被攻击资产、攻击类型、攻击描述等多个维度进行风险事件分析和展示。支持对异常资产进行统

8、计分析和集中管理。支持对安全事件列表进行展示，可进行风险标签标注，并支持对告警详情数据和关联会话信息进行查看。提供对安全事件详细信息查看和分析的操作按钮，可直接跳转到相应的检测分析界面。事件溯源分析元数据提取支持流量元数据（TCP、U支通信会话、HTTP、SMTP、POP3、IMAPFTP、TE1NET、MYSQ1、MSSQ1、ORAC1E、Radius、DNS、SMB等）提取、存储和检索，支持存储七元组信息。支持提取攻击原始报文，针对产生的告警事件，可以对攻击行为的特征数据包进行提取，也支持非攻击报文提取。支持对原始流量提取成日志进行存储供回溯分析使用，提供检索分析页面，存储类型可包括但不限

9、于HTTP日志、EMAI1日志、TE1NET日志、认证日志、功能项技术规格及指标要求数据库日志、登录日志、SS1&T1S日志、FTP日志、I)NS日志、IP会话日志、SMB登录和文件交互日志。支持还原HTTP、SMTP、POP3、IMAP、FTP、S支等协议中的文件。支持从流量中还原文件并进行威胁检测和告警，文件类型包含文本文件、压缩包文件、脚本文件、PE类文件、图形图像等常见的文件类型。支持提取检测流量大小与协议占比，支持流量大小以折线图可视化展示。全流量深度分析提供C/S架构专用数据包分析客户端，对告警事件关联的网络原始数据包进行会话级别的深度分析，实时查看原始数据包内容，并进行会话跟踪、

10、上下文关联等溯源分析。支持会话近40个元组信息的展示，并支持自定义列显示，能够根据用户需要选择需要显示的列，包含源目的IP、源目标端口、源目标地区、协议、异常类型、会话开始时间、会话结束时间、发送接收字节、发送接收包数、平均发送字节、平均接收字节、应用层摘要、发送比特率、发送同步包数、重传包次数等。支持以自由条件组合的方式对TB级原始流量的会话数据和关键性应用数据进行秒级检索，支持检索的字段包含：源/目标IP、源/目标端口、会话起始结束时间、会话持续时间、上传数据包数、下载数据包数、上传总字节数、下载总字节数、上传有效字节数、下载有效字节数、平均传输速度、交互次数等。支持对TB级原始流量数据进

11、行多层级的迭代分析，功能项技术规格及指标要求并记录用户分析策略，形成分析行为记忆链，支持记忆链中各节点条件显示，用户可即时回归迭代分析的任意节点，并以该节点为起始点进行后续分析。支持类思维导图的快照方式展示迭代分析的层级结构，包含从上到下的树形分支方式和下拉树两种方式，直观展示分析过程，可实时回归到中间过程节点进行查看和持续分析。系统内置高效的快照分析模板，同时支持用户自定义新增、编辑分析快照，保存为工程模板，实现分析思路的持续保存和高效共享。综合管理系统管理支持系统管理员、审核管理员、审计管理员三种用户，基于三权分立的模式进行管理。支持登录锁定配置：自定义配置登录密码错误次数用户限制、自定义

12、配置登录密码错误次数的IP限制，提供IP锁定列表日志展示。支持审计管理：审计管理员可以对于系统管理员的登录日志、页面访问日志、操作日志，安全管理员的登录日志、页面访问日志、审核日志，审计管理员的登录日志、页面访问日志、备份日志进行审计。并支持可视化日志类型统计、日志占比统计、日志生成趋势统计。运维管理支持设备资源情况统计和可视化展示，包括CPU、内存、磁盘以及核心进程的资源占用和排名，对被监控设备定义设置告警阈值。支持对主机上的程序进行监控，包括运行时长、重启次数、最近重启时间、启动时间等，能够记录和展示历史健康状况，支持可视化关闭程序、重启程序、下载程序日志、编辑配置文件、心跳监控、开功能项

13、技术规格及指标要求启守护状态（程序异常停止后自动启动）等。支持对流量采集进行实时统计，包括采集状态、捕包速率、IP数据包成分占比排行、丢包率、IP数据包成分、以太网数据成分、TCP/UDP端口数据比例等，支持对采集进程启动、停止、重启和资源占用展示。支持SYS1OG流量日志和告警日志外发,可多路上报，同时支持TCP和UDP协议，支持以IPv6协议外发,并展示历史外发日志查询。服务工具资质认证要求具备公安部计算机信息系统安全专用产品销售许可证。服务频率：系统上线前1次。服务交付：安全风险评估报告。2、源代码审计对业务系统源代码进行审计，通过分析代码编写的程序结构及功能发现程序漏洞，根据每种漏洞的

14、特点及漏洞类型在报告中指出存在漏洞的代码位置，为程序员修复漏洞提供技术支持。根据代码检测中所发现的安全问题由安全工程师进行修复验证测试。有效识别漏洞的严重性，弥补传统渗透的缺点，检验源代码检测中出现的误报现象。服务频率：开发阶段1次、试运行阶段1次。服务交付：源代码审计报告。3、安全基线检查在本项目建设过程中，根据既定的检查规范及方法，采用人工检查用表、脚本程序或基线扫描工具对评估目标范围内的网络设备、安全设备、主机操作系统安全等进行系统的策略配置、服务配置、保护措施以及系统补丁更新情况，是否存在后门等内容进行检查。服务频率：开发阶段1次、试运行阶段1次。服务交付：基线检查报告。4、上线后系统

15、安全测试针对项目上线后的信息系统，需进行常态化安全漏洞监控和定期安全检测。安全测试人员通过系统安全漏洞扫描、黑盒测试等手段进行系统漏洞发现，开发团队对于安全测试人员发现的测试结果进行确认和漏洞修复，待开发团队修复漏洞后由安全测试人员进行复测支持，最终形成系统漏洞闭环管理，直到漏洞完全修复完成。测试范围：XX生态环境数字化治理能力提升项目。测试内容：(1)提供扫描、分析业务系统服务器操作系统、数据库、应用系统的安全漏洞，及时发现安全隐患，根据漏洞扫描、安全检测、日志分析和配置检测的结果配合系统开发单位对系统脆弱点进行漏洞修复、配置调整等加固操作；提供相应的漏洞扫描报告，并根据漏洞扫描报告给出相应的加固方案。(2)采用模仿外部黑客的入侵技术对上线业务系统进行非破坏性的入侵测试,以发现安全威胁并进行处理；提供相应的渗透测试报告，并根据渗透测试报告给出相应的加固方案。服务频率：XX生态环境数字化治理能力提升项目建设期内每月漏洞扫描1次;每季度渗透测试1次。服务交付：漏洞扫描报告、渗透测试报告。5、信息系统等级保护XX生态环境数字化治理能力提升项目中X里绿游、XX省重大活动环境质