西城区信息中心网络和信息系统安全监测项目需求.doc

西城区信息中心网络和信息系统安全监测项目需求 1. 概述1.1. 项目背景北京市西城区政府电子政务网络(以下简称：西城区电子政务网络，分为物理隔离的两个网络：西城区互联网接入网和西城区政务外网)通过多年的发展，网络规模不断扩大，应用逐步增加，面临的安全威胁和风险也不断增大。如何保证西城区电子政务网络系统正常运行和网络安全已成为迫切需要关注的问题。目前急需提高西城区电子政务网络的信息安全保障水平，为了更好地了解西城区电子政务网络的安全性，切实提高信息安全防护水平，西城区信息中心将对其电子政务网络与系统进行渗透测试 ，以了解目前西城区电子政务网络与系统的健壮性与抗攻击性，从而进一步完善西城区电子政务网络与系统的安全性与可靠性，更好地为北京市西城区政府及所属各单位提供信息服务和安全保障。1.2. 项目总体目标本次渗透测试的范围为西城区电子政务网络与应用系统。本次渗透测试的主要目的在于检测当前电子政务网络与系统，在已使用一定的安全设备及防护措施情况下，西城区电子政务网络系统的真实防护能力，增强对系统入侵的防护及检测能力及攻击发生时的处理能力，全面保障西城区电子政务网络的正常运行、提升西城区电子政务网络的整体防御能力，更好地为公众提供有效的服务，其具体目标为：准确、全面掌握西城区电子政务网络的安全现状及存在的风险、威胁。准确、详细的指出当前安全设备的使用情况、配置情况。针对当前安全状况，提出加固安全设备、优化设备配置、培训等建设方案。n 保障西城区电子政务网络的稳定运行；n 保障西城区电子政务网站、部门自建网站和重要的信息系统的安全运行；n 提升西城区电子政务网络的整体防御能力，更好地为公众提供服务。n 在安全保障重点时期，保障西城区电子政务网络的安全。1.3. 项目总体原则1.3.1. 把握重点，分清主次在项目实施过程中必须坚持把握重点、分清主次的原则。评估的重点内容是：西城区的区级办公应用系统安全渗透测试、西城区电子政务网站和部门自建网站渗透测试。在制定实施方案与实施过程中对于上述重点内容要进行重点的安全风险评估分析，对于其他部分内容进行基本的安全风险评估分析。1.3.2. 结合实际，注重实效在项目实施过程中必须坚持结合实际，注重实效的原则。在方案的编制、评估的实施、安全整改与加固等各个环节，都应立足于西城区电子政务网络信息化工作现状，调查、研究、分析西城区电子政务网络系统的建设、管理、运行中面临的实际威胁，存在的实际问题，在此基础上提出有针对性的整改与加固方案，指导并协助西城区信息中心对整改与加固方案进行实施，切实提高西城区电子政务网络与信息系统的健壮性与安全性，切实提高西城区电子政务网络与信息系统的整体安全水平、管理水平与运维水平。1.4. 项目总体要求实施方在实施方案的制定及项目的实施过程中，要把握项目的总体目标，遵循项目的总体原则。合理分配资源，科学安排进度，充分调动参与各方的积极性，使项目开展得有序高效。1.5. 项目组织保障在西城区信息中心领导小组的领导下，成立西城区电子政务网络与系统渗透测试项目组，负责本次项目的具体实施工作。2. 服务对象、内容2.1. 服务对象对本次西城区电子政务网络与系统渗透测试的工作范围界定如下。2.1.1. 互联网接入网西城区政府机关大院互联网接入网的网络设备、安全设备与信息中心机房内各应用服务器（如网站、OA外网服务器等）。2.1.2. 区政务外网西城区政务外网网络设备、安全设备与信息中心机房内应用服务器等（如OA内网服务器等）。2.1.3. 部门自建网站和重要应用系统对西城区部门自建网站和重要业务应用系统。2.2. 服务内容服务的内容主要包括：网络和信息系统渗透测试安全性分析、网络架构合理性分析、设备配置合理性检查、安全整改与加固、应急响应、人员培训等。要求上述内容（除应急响应、人员培训外）每年应提供至少两次服务。以上各部分内容评估完成后都要形成阶段性评估成果报告提交西城区信息中心，阶段性评估成果报告需获得西城区信息中心与评估方的共同认可。 2.2.1. 渗透测试安全性分析在保证网络与系统安全运行的前提下模拟渗透攻击者对系统进行渗透测试，对西城区互联网接入网系统的渗透测试安全性分析应从口令猜解、网站探测、已知漏洞攻击、参数操控、跨站脚本、指令注入、应用层DOS、HTTP方法利用、异常处理、审核及日志记录等10种以上方式进行安全分析，并对分析方法进行详细描述，并形成分项报告（包括对现状的分析、对策、建议或者方案等）：l 关键应用系统与服务器的渗透测试(如OA外网应用服务器、反垃圾邮件服务器等)；l 关键应用系统（如数据库系统等）的工作状态、资源利用情况、服务器的工作状态、资源利用情况以及稳定性和安全状况分析。l 遭遇攻击时的可靠性分析；l 系统边界的安全防护及访问控制措施强度分析；l 网络监控和入侵检测的有效性分析；l 网络应用现状分析以及线路冗余性分析；2.2.2. 网络架构合理性分析对互联网接入网与政务外网的网络架构合理性分析将从以下几个方面进行：l 网络体系架构设计的合理性与安全性分析；l 安全域划分及VLAN划分的合理性；l 系统边界的安全防护及访问控制措施强度分析；l 系统入侵检测点的部署合理性分析；l 系统网络监控的有效性分析；l 系统与外界的通讯线路的冗余性分析；l 系统关键设备设施的冗余性分析；2.2.3. 设备配置合理性检查l 网络设备配置合理性检查，检查范围： 主要网络设备； 核心路由器； 交换机； 负载均衡设备等；l 安全设备配置合理性检查，检查范围： 安全产品； 防火墙； IDS； 审计系统等；l 服务器操作系统配置合理性检查，检查范围：对承载核心业务的服务器进行重点安全检查，对承载一般业务的服务器进行基本安全检查。l 中间件配置合理性检查，检查范围：针对西城区电子政务网络使用的各种应用支撑平台，如siteview等进行配置核查。l 数据库配置合理性检查,检查范围：针对西城区电子政务网络中的数据库系统进行配置核查。2.2.4. 安全整改与加固安全整改与加固是针对渗透测试中发现问题的严重程度及对业务风险的高低进行综合分析，提出削减风险的技术与管理的安全建议与措施，制定安全整改与加固实施方案，指导并协助西城区信息中心实施信息系统的安全整改与加固。整改与加固实施方案的制定需要注意以下几点：1、实施风险削减建议的优先度，便于西城区信息中心根据揭示出的安全风险建立实施风险管理的计划；2、注意风险削减与实施费用的平衡控制，做到适度安全；3、提出的具体加固与整改措施、方案、建议等，应覆盖所有评估内容；2.2.5. 应急响应的要求对突发的安全问题提供应急响应与完善的技术服务支持：l 紧急安全问题服务提供商应提供7*24*4小时的到达现场支持的服务；l 重大安全问题的原因分析与经验总结；通过完善的应急响应与技术支持，最大程度的提高西城区电子政务网络的安全性与健壮性。2.2.6. 人员培训根据渗透测试中发现的安全问题，对西城区电子政务系统相关人员进行安全培训，提高西城区信息中心人员的安全意识与技术水平。2.2.7. 其他需要评估的重要内容对本需求未包含的评估内容，评估方根据自己的经验与理解进行适当补充。3. 成果交付成果交付文档由渗透测试服务方根据实际情况提供。3.1. 语言：交付的技