網(wǎng)絡(luò)安全駐場技術(shù)服務(wù)需求

網(wǎng)絡(luò)安全駐場技術(shù)服務(wù)需求一、駐場安全運營技術(shù)指標指標要求期限及頻率1人1年（5*8小時）。服務(wù)范圍所有系統(tǒng)。服務(wù)內(nèi)容駐場安全運營服務(wù)以威脅發(fā)現(xiàn)為基礎(chǔ)，以分析驗證為核心，以通報處置為關(guān)鍵，以優(yōu)化策略為抓手，以推動提升為目標。發(fā)現(xiàn)學校網(wǎng)絡(luò)和信息系統(tǒng)相關(guān)安全事件、威脅來源和組織，全面掌握網(wǎng)絡(luò)安全情況、威脅情報線索，輸出學校所需的相關(guān)數(shù)據(jù)監(jiān)測和分析溯源報告，幫助學校更全面、更準確、更高效地掌握整體系統(tǒng)安全，提供1名駐場人員執(zhí)行為期一年的駐場服務(wù)，常駐承擔安全運維日常工作，同時根據(jù)用戶要做好值班值守工作。服務(wù)要求駐場安全運維人員須遵守工作管理規(guī)定，工作時間同同步，公司可提供遠程技術(shù)支持。服務(wù)期間，供應商需要為駐場人員配置專用工作工具，工具上涉及項目服務(wù)內(nèi)容未經(jīng)采購人允許不可外傳。駐場服務(wù)內(nèi)容包括：完成資產(chǎn)清單系統(tǒng)搭建和梳理，并在資產(chǎn)信息變更后及時更新、完成安全事件及網(wǎng)絡(luò)攻擊的監(jiān)測、對網(wǎng)站漏洞進行驗證、搭建平臺梳理各系統(tǒng)漏洞，實現(xiàn)漏洞全流程管理及對應下發(fā)復驗、參與事件應急處置、協(xié)助應用加固系統(tǒng)、配置設(shè)備安全策略、完成應用端口服務(wù)開放及互通情況梳理、協(xié)同網(wǎng)絡(luò)運維梳理防火墻安全策略，完成堡壘機訪問等安全設(shè)備接入審批、參與制定修改安全規(guī)范、輸出安全標準配置文檔或操作手冊、整理優(yōu)化系統(tǒng)安全架構(gòu)、協(xié)助編寫密碼應用方案、協(xié)助處理密評和等保相關(guān)工作、配合完成安全檢查、督促簽訂保密協(xié)議以及要求的其他安全相關(guān)任務(wù)等工作。輸出物《安全運維總結(jié)報告》、《日常安全運維日志》。二、滲透測試技術(shù)指標指標要求期限及頻率1年4次。服務(wù)范圍10個業(yè)務(wù)系統(tǒng)。服務(wù)內(nèi)容通過真實模擬黑客使用的工具、分析方法來對信息系統(tǒng)進行模擬攻擊，并結(jié)合智能工具掃描結(jié)果，由高級工程師進行深入的手工測試和分析，識別工具弱點掃描無法發(fā)現(xiàn)的問題。主要分析內(nèi)容包括邏輯缺陷、上傳繞過、輸入輸出校驗繞過、數(shù)據(jù)篡改、功能繞過、異常錯誤等以及其他專項內(nèi)容測試與分析，重點發(fā)現(xiàn)信息系統(tǒng)應用層業(yè)務(wù)流程和邏輯上的安全漏洞和敏感信息泄露的風險，輸出滲透測試報告。輸出物《XX系統(tǒng)滲透測試報告》。工具要求須提供專業(yè)的WEB應用弱點掃描工具。WEB應用弱點掃描工具1、產(chǎn)品具備《計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證》（增強級），提供有效證書復印件；產(chǎn)品符合《GB/T37931-2019信息安全技術(shù)Web應用安全檢測系統(tǒng)安全技術(shù)要求和測試評價方法》增強級的要求；2、產(chǎn)品通過國家信息安全認證中心獲得IT產(chǎn)品信息安全認證證書；3、支持常見的WEB應用弱點檢測，支持OWASPTOP10等主流安全漏洞，如：SQL注入、Cookie注入、Base64注入、XSS跨站腳本、框架注入、鏈接注入、隱藏字段、CSRF跨站偽造請求、命令注入、命令執(zhí)行、代碼注入、遍歷目錄、弱口令、表單繞過、文件包含、管理后臺、敏感信息泄漏、第三方組件、其他各類CGI漏洞等各種類型；4、支持在漏洞知識庫中單獨選擇某漏洞直接下發(fā)掃描任務(wù)以驗證是否存在該漏洞；5、支持定制掃描：用戶可根據(jù)；目標掃描網(wǎng)站的特點以及所在網(wǎng)絡(luò)環(huán)境，對掃描過程進行定制，如爬行、檢測、過濾、網(wǎng)絡(luò)環(huán)境等；6、支持端口掃描和服務(wù)的協(xié)議及版本識別，支持自定義掃描端口范圍；7、支持IP地址的形式下發(fā)掃描任務(wù)并自動發(fā)現(xiàn)存在的Web資產(chǎn)；8、漏洞知識庫支持漏洞描述、修復建議、CVEID、CNCVEID、CNVDID、CNNVDID、Bugtraq、CVSS分值、漏洞名稱、風險等級、發(fā)現(xiàn)日期等維度查看。三、漏洞掃描技術(shù)指標指標要求期限及頻率1年4次。服務(wù)范圍所有主機。服務(wù)內(nèi)容采用業(yè)界認可的、專業(yè)的掃描工具，通過定制的掃描規(guī)則，形成安全掃描策略文檔，對用戶指定主機進行一次全面的自動化安全掃描，人工驗證掃描結(jié)果，并輸出安全掃描報告及修復建議。輸出物《漏洞掃描報告》。工具要求須提供專業(yè)的數(shù)據(jù)庫弱點掃描工具。數(shù)據(jù)庫掃描工具1、支持針對數(shù)據(jù)庫每張表每個字段的內(nèi)容進行敏感數(shù)據(jù)探測，用戶可以自定義添加敏感信息，可以讓用戶了解自己的數(shù)據(jù)庫系統(tǒng)有哪些敏感數(shù)據(jù)，存放的具體位置，便于在信息保護和審計中重點關(guān)注；2、掃描對象支持Oracle、MSSQLserver、Mysql、Infomix、DB2、Sybase、達夢、人大金倉等數(shù)據(jù)庫類型；3、用戶在沒有授權(quán)的情況下（即：不需要數(shù)據(jù)庫的用戶名和密碼），依據(jù)數(shù)據(jù)庫版本號并根據(jù)選定的安全策略對目標數(shù)據(jù)庫進行的檢測；4、內(nèi)核篡改檢測：能夠?qū)崟r檢測出黑客入侵數(shù)據(jù)庫后對數(shù)據(jù)庫系統(tǒng)對象的篡改，還能探測出黑客創(chuàng)建的一些隱藏對象，比如隱藏的具有DBA權(quán)限的用戶。主機漏洞掃描工具1、廠商漏洞特征庫大于230000條；提供詳細的漏洞描述和對應的解決方案描述；漏洞知識庫與CVE、CNNVD、Bugtraq、CNCVE、CNVD等國際、國內(nèi)漏洞庫標準兼容；2、支持對各種網(wǎng)絡(luò)主機、操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備（如交換機、路由器、防火墻等）、常用軟件以及應用系統(tǒng)的識別和漏洞掃描；3、具備弱口令掃描功能，支持弱口令掃描協(xié)議數(shù)量≥22種，包括FTP、SMB、RDP、SSH、TELNET、SMTP、IMAP、POP3、Oracle、MySQL、MSSQL、DB2、REDIS、MongoDB、Sybase、Rlogin、RTSP、SIP、Onvif、Weblogic、Tomcat、SNMP等協(xié)議進行弱口令掃描，允許用戶自定義用戶、密碼字典；4、支持端口探測方式≥7種，如：TCPACK、TCPSYN、TCPConnect、TCPNull、TCPXmas、TCPWindow、TCPFin等；5、管理人員可根據(jù)系統(tǒng)給出的漏洞參數(shù)、HTTP請求/響應數(shù)據(jù)，快速驗證，一鍵驗證漏洞。支持對Struts2遠程命令執(zhí)行漏洞進行命令執(zhí)行和文件上傳的滲透測試驗證操作。四、應急響應技術(shù)指標指標要求期限及頻率1年按需。服務(wù)范圍所有系統(tǒng)。服務(wù)內(nèi)容服務(wù)期內(nèi)，通過遠程或現(xiàn)場支持的形式協(xié)助客戶對遇到的突發(fā)性安全事件進行緊急分析和處理。服務(wù)要求當出現(xiàn)安全事件時，必須及時進行響應，具體要求包括：1、技術(shù)人員必須在2小時內(nèi)到達現(xiàn)場；2、對入侵事件進行分析，查找原因；3、抑制入侵事件的進一步發(fā)展，將事故的損害降低到最小化；4、排除安全隱患，消除安全威脅，協(xié)助恢復系統(tǒng)正常運作；5、提交應急響應報告及系統(tǒng)安全改進方案。輸出物《應急響應報告》。工具要求任務(wù)管理支持新建應急處置任務(wù)，包括事件名稱、事件等級、事件發(fā)生時間、事件發(fā)生單位關(guān)鍵信息記錄。資產(chǎn)與數(shù)據(jù)管理支持按資產(chǎn)上傳專用數(shù)據(jù)采集工具所生成的采集數(shù)據(jù)包，并對上傳數(shù)據(jù)進行分析。支持添加多個處置對象資產(chǎn)，分別上傳所采集的數(shù)據(jù)信息。數(shù)據(jù)分析支持設(shè)置線索，發(fā)現(xiàn)關(guān)鍵可疑行為，包括IP線索、關(guān)鍵詞線索、文件名線索、時間線索的設(shè)置。支持對所采集的系統(tǒng)配置數(shù)據(jù)、使用痕跡數(shù)據(jù)、運行狀態(tài)數(shù)據(jù)、惡意代碼情況、系統(tǒng)日志、中間件日志等進行數(shù)據(jù)分析。支持按照策略進行自動分析，包括非授權(quán)時間登錄、口令爆破、惡意啟動項、DDOS、可疑賬號、木馬回連、webshell攻擊、SQL注入、java反序列化攻擊等主機安全事件、網(wǎng)站安全事件、病毒感染事件等高危、中危、低危、信息等級的安全事件進行分析，形成可疑行為事件。支持根據(jù)所提供的線索自動發(fā)現(xiàn)關(guān)鍵可疑行為并進行標記?？梢尚袨樾畔梢尚袨槊Q、行為時間、行為描述、行為主機、危險等級等關(guān)鍵信息。支持在處置過程中的發(fā)現(xiàn)，動態(tài)調(diào)整線索內(nèi)容并進行重新分析。情況調(diào)查支持安全事件基本情況調(diào)查，包括系統(tǒng)名稱、備案等級、時間發(fā)生時間、調(diào)查處置時間的記錄，支持處置過程人員記錄，包括涉事單位人員、研發(fā)單位人員、運維單位人員、調(diào)查人員相關(guān)信息記錄。支持生成應急處置報告，報告內(nèi)容包括事件基本信息、關(guān)鍵可疑行為信息及對應處置建議等內(nèi)容。處置報告包括應急處置知識、應急處置案例、政策法規(guī)。知識庫要求支持根據(jù)關(guān)鍵字搜索相關(guān)知識內(nèi)容。勒索病毒專項支持根據(jù)勒索文件后綴查找對應解密工具，提供解密工具的下載、使用介紹等。威脅情報支持提供IP、域名、文件等威脅情報查詢。支持連接互聯(lián)網(wǎng)情況下的在線情報查詢。支持與互聯(lián)網(wǎng)斷開情況下的離線情報查詢。策略管理支持策略的開啟與關(guān)閉。支持新建策略與刪除策略。支持自定義設(shè)置策略規(guī)則、描述信息、處置建議等內(nèi)容。主機病毒木馬檢測檢測流氓軟件、蠕蟲病毒、其它惡意程序等。快速掃描、全盤掃描、自定義目錄掃描。運行環(huán)境支持Windows7、WindowsServer2003、WindowsServer2008等操作系統(tǒng)類型。事件痕跡信息采集支持一鍵提取安全事件相關(guān)信息，包括系統(tǒng)配置信息、使用痕跡信息、運行狀態(tài)信息、惡意代碼情況等。提取的日志內(nèi)容包括操作系統(tǒng)日志、中間件日志。支持自動生成用于上傳管理平臺的數(shù)據(jù)包。支持自動提取使用痕跡相關(guān)文件。WinPE支持關(guān)機情況下通過winPE工具瀏覽目標設(shè)備磁盤內(nèi)容。五、安全產(chǎn)品集成與驗證技術(shù)指標指標要求期限及頻率1年4次。服務(wù)范圍整體網(wǎng)絡(luò)安全架構(gòu)。服務(wù)內(nèi)容根據(jù)安全建設(shè)總體方案設(shè)計和技術(shù)策略設(shè)計的結(jié)果，對采購的各類安全產(chǎn)品提供集成與驗證服務(wù)，指導學校完善信息安全保障體系。服務(wù)要求集成與驗證工作包括但不限于以下工作內(nèi)容：安全設(shè)備進場到貨驗收、安裝、調(diào)試、策略配置、試運行、驗收工作任務(wù)；進行詳細工程實施方案設(shè)計，指導安全產(chǎn)品集成實施的具體工作；按照前期安全技術(shù)設(shè)計中的安全配置規(guī)則，對安全產(chǎn)品進行配置；提交相關(guān)技術(shù)文件，包括集成設(shè)計文檔、系統(tǒng)邏輯連接圖、設(shè)備物理連接圖、配置文檔、安裝指南、系統(tǒng)測試要求、驗收技術(shù)標準等；按照應用系統(tǒng)部署規(guī)范，在應用系統(tǒng)部署前進行安全檢查；進行安全產(chǎn)品上線實施工作；協(xié)同測試網(wǎng)絡(luò)、主機和應用系統(tǒng)等，確保各類安全策略有效運行；對于檢查中發(fā)現(xiàn)的安全隱患，對能通過配置安全設(shè)備解決的，在用戶方采購設(shè)備前由供應商免費提供備用設(shè)備；供應商應根據(jù)上述內(nèi)容，提出相應集成實施方案，內(nèi)容包括但不限于：集成方法論、總體進度計劃及保障措施，質(zhì)量保證措施等。輸出物《集成實施方案》六、項目團隊人員項目團隊人員項目團隊至少包含項目負責人、