信息系统安全综合服务方案

信息系统安全综合服务方案本项目内容包含网络信息安全运营服务、网络安全等级保护测评、验收测评服务、密码应用服务、商用密码应用安全性评估服务。1.网络信息安全运营服务服务对象为2022-2024年在业务云上系统提供安全运营服务，包括信息系统安全评估（安全扫描）、信息系统安全评估（渗透测试）、系统维护人员的安全培训服务、系统运维与安全审计等方面进行全面的安全运营，提升信息系统整体信息安全保障能力。2023具体建设内容：序号服务类型具体内容1信息系统安全评估（安全扫描）根据全局应用系统、主机提供每季度1次，每次2个人/日的漏洞扫描和复核，重点发现网站应用层业务流程和逻辑上的安全漏洞和敏感信息泄露的风险，输出漏洞扫描报告和复核报告。2信息系统安全评估（渗透测试）根据全局应用系统评估和渗透测试服务项目需求，每年针对重点信息系统进行2次渗透测试和复核，每次3个人/日，重点发现网站应用层业务流程和逻辑上的安全漏洞和敏感信息泄露的风险，输出渗透测试报告。3安全培训服务针对不同的信息化业务人员、管理人员以及运维人员，提供每年2次，每次3个人/日的信息安全培训服务，定制培训专题，培训目标和考核要求，输出培训成果。4应急响应服务日常7*24小时的电话支持安全服务，重保时期7*24驻场（包括但不限于国家法定节假日、经济论坛等敏感时期），运维人员及用户根据初步判断认为和安全事件相关，通过电话咨询信息安全客户服务人员，服务人员会根据客户信息提供电话支持服务或驻场服务，在客户和信息安全服务人员同时确认需要信息安全专家或安全服务队伍现场支持后，根据客户安全事件级别进行应急响应。5安全通报提供1年服务期的信息安全通报服务，及时更新信息安全资讯，通过邮件、通讯工具第一时间通报信息安全管理人员，并跟进处置反馈。6应急预案和演练结合全局信息系统自身业务、应用、管理等相关实际情况的基础上，制定并完善应急预案和演练方案，包括演练脚本和技术方案，根据演练方案，搭建演练模拟环境，组织人员应急演练。实施多个特定场景，分析安全演练方案的有效性、完整性、可操作性，并开展实施联合应急演练。应急演练服务主要内容有：（1）应急演练环境调研、（2）应急演练评估、（3）演练方案编写、（4）应急演练实施协助及监督、（5）演练报告编写协助、（6）演练总结。每半年1次，每次5个人/日7安全审计利用上网行为管理系统提供的网络侧录、管理及网络流量统计分析的强大功能，定期不定期对工作人员上网行为进行安全审计，整合网域环境，详细记录内部网络用户的所有网络行为内容与网络流量使用情况，有针对性做好上网行为管控，重点进行安全计划，确保工作期间，工作人员网络行为合规。每周1次，每次2个人/日8安全咨询安全咨询服务建立在对系统特点分析和信息安全标准之上的。通过技术咨询和管理咨询过程，用户将能够把握信息安全建设重点，建立起有效的信息安全管理体系。具体内容包括：安全管理体系建立、行业安全方案咨询、安全体系架构设计。每年2次，每次5个人/日9应用加固根据信息系统安全评估、风险评估报告的信息安全建议和风险分析结果，开展应用加固和修复。每年2次，每次5个人/日2024建设主要内容：序号服务类型具体内容1信息系统安全评估（安全扫描）根据全局应用系统、主机提供每季度1次，每次4个人/日的漏洞扫描和复核，重点发现网站应用层业务流程和逻辑上的安全漏洞和敏感信息泄露的风险，输出漏洞扫描报告和复核报告。2信息系统安全评估（渗透测试）根据全局应用系统评估和渗透测试服务项目需求，每年针对重点信息系统进行2次渗透测试和复核，每次6个人/日，重点发现网站应用层业务流程和逻辑上的安全漏洞和敏感信息泄露的风险，输出渗透测试报告。3安全培训服务针对不同的信息化业务人员、管理人员以及运维人员，提供每年2次，每次8个人/日的信息安全培训服务，定制培训专题，培训目标和考核要求，输出培训成果。4应急响应服务日常7*24小时的电话支持安全服务，重保时期7*24驻场（包括但不限于国家法定节假日、经济论坛等敏感时期），运维人员及用户根据初步判断认为和安全事件相关，通过电话咨询信息安全客户服务人员，服务人员会根据客户信息提供电话支持服务或驻场服务，在客户和信息安全服务人员同时确认需要信息安全专家或安全服务队伍现场支持后，根据客户安全事件级别进行应急响应。5安全通报提供1年服务期的信息安全通报服务，及时更新信息安全资讯，通过邮件、通讯工具第一时间通报信息安全管理人员，并跟进处置反馈。6应急预案和演练结合全局信息系统自身业务、应用、管理等相关实际情况的基础上，制定并完善应急预案和演练方案，包括演练脚本和技术方案，根据演练方案，搭建演练模拟环境，组织人员应急演练。实施多个特定场景，分析安全演练方案的有效性、完整性、可操作性，并开展实施联合应急演练。应急演练服务主要内容有：（1）应急演练环境调研、（2）应急演练评估、（3）演练方案编写、（4）应急演练实施协助及监督、（5）演练报告编写协助、（6）演练总结。每半年1次，每次5个人/日7安全审计利用上网行为管理系统提供的网络侧录、管理及网络流量统计分析的强大功能，定期不定期对工作人员上网行为进行安全审计，整合网域环境，详细记录内部网络用户的所有网络行为内容与网络流量使用情况，有针对性做好上网行为管控，重点进行安全计划，确保工作期间，工作人员网络行为合规。每月1次，每次2个人/日8安全咨询安全咨询服务建立在对系统特点分析和信息安全标准之上的。通过技术咨询和管理咨询过程，用户将能够把握信息安全建设重点，建立起有效的信息安全管理体系。具体内容包括：安全管理体系建立、行业安全方案咨询、安全体系架构设计。每年2次，每次8个人/日9应用加固根据信息系统安全评估、风险评估报告的信息安全建议和风险分析结果，开展应用加固和修复。每年2次，每次10个人/日2.网络安全等级保护测评服务依据《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019）、《信息安全技术网络安全等级保护测评要求》（GB/T28448-2019）、《信息系统安全等级保护测评准则》和有关规定要求，完成对系统的等级保护开展测评工作，使系统安全等级达到等保三级要求。测评对象主要包括广东省智慧自然资源—海洋数据治理与应用开发（2023-2024年）项目（基础设施及软件开发服务部分）相关的软件系统、网络设备等，重点对系统网络、系统所搭载的主机、系统开发应用、系统重要数据存储以及信息系统整体进行安全测评，评估系统是否具备足够的信息安全防护能力，是否满足行业及相关安全主管单位的安全管控要求，是否能够持续提供安全、稳定、高效的业务支撑，是否能够保障敏感信息及公众隐私安全等。具体测评需求见下表。安全层面测评项安全物理环境测评机构可通过访谈、文档审查和实地察看的方式测评信息系统的物理安全保障情况。主要涉及对象为机房及相关配套设施。安全通信网络测评机构可通过访谈、配置检查和工具测试的方式测评信息系统的网络安全保障情况。主要涉及对象为网络互联设备、网络安全设备和网络拓扑结构等三大类对象。安全区域边界测评机构可将通过访谈、配置检查和工具测试的方式测评信息系统的网络边界安全保障情况。重点测评的包括各边界防火墙，交换机等。安全计算环境测评机构应按照我方的要求通过访谈、配置检查和工具测试的方式测评信息系统的操作系统、数据库等保障情况。安全管理中心测评机构可通过访谈、配置检查的方式测评信息系统的安全管理中心保障情况，主要涉及对象为纳入测评范围的安全管理中心等。安全管理制度测评信息安全相关管理制度、流程、规范。安全管理机构安全管理机构测评从信息/网络安全主管、管理制度类文档和记录表单类文档进行测评安全管理人员安全人员管理测评从信息/网络安全主管、管理制度类文档和记录表单类文档进行测评。安全建设管理安全管理建设测评从记录表单类文档、安全规划设计类文档、建设负责人和记录表单类文档、管理制度类文档、软件开发类文档、操作规程类文档、运维负责人和记录表单类文档、等级测评报告和相关资质文件进行测评。安全系统运维安全运维管理测评从物理安全负责人和记录表单类文档、管理制度类文档和记录表单类文档、资产管理员、管理制度类文档和设备、设备管理员和记录表单类文档、运维负责人和记录表单类文档、操作规程类文档、系统管理员进行测评。项目交付物包括但不限于：《信息系统等级保护备案证》、《等级测评详细方案》、《差距测评分析报告》、《整改方案》、《信息系统等级保护测评报告》等。3.验收测评服务验收测评对象：针对广东省智慧自然资源—海洋数据治理与应用开发（2023-2024年）项目（基础设施及软件开发服务部分）成果进行验收测评；验收测评服务目标：在系统最终验收前，聘请第三方验收测评机构对系统进行验收测评。验收测试对系统的安全状况进行综合安全检查和评价，确保系统在验收前系统安全状况能够满足和达到系统设计要求。验收测评机构依照相关政策文件出具测评结果，为系统验收提供依据，对测试中发现的缺陷和不足，提供修改意见，并进行回归测试并出具相关文档，确保项目达到预期结果。验收测评服务主要内容包括：（1）验收测试依据信息系统工程项目合同、用户需求说明书以及国家相关法律法规、标准和行业规范等对信息系统的功能、性能、可靠性、易用性、维护性、可移植性等特性进行严格的测试，为系统验收提供依据，对测试中发现的缺陷和不足，提供修改意见，完善系统功能和性能；（2）回归测试对未通过测试的，在修改后再次进行重新测试，以验证原来存在的问题已修改，同时确认所做的修改没有引入新的缺陷；（3）文档审核对工程项目中的相关文档进行审核，并提出修改意见，便于信息系统的使用、维护；（4）验收测评服务主要交付成果为验收测评报告。4.密码应用服务按照《信息安全技术信息系统密码应用基本要求》等标准要求，对主要信息系统支撑平台（物理和环境安全、网络和通信安全、设备和计算安全）和信息系统业务应用（应用和数据安全）的密码应用进行技术改造对接，前者解决自身层面的安全相关问题的同时并为业务应用提供密码支撑服务，后者利用密码技术处理具体业务在实际开展过程中存在的安全问题，形成使用密码技术保护的具体业务处理机制和流程。针对2022-2024年部署在业务云上的相关系统，在满足总体性、完备性、经济性原则的基础上，落实《密码应用方案》技术部分，部署密码产品，集成密码模块，使用符合国家标准的密码技术改造信息系统，落实安全策略，拟定操作规程，达到密评合规要求，持续完善密码应用方案，直至系统通过密码测评。密码改造工作主要包括对所有的系统密码进行改造，并统一完善其他技术服务子包软开设计方对密码改造服务内容进行确认和技术支持，统一安排协调技术开发完成相应工作并通过商用密码系统评估。此外还需要对系统资源访问控制信息的完整性、重要数据在存储过程中的机密性、完整性、日志记录的完整性进行保护。针对系统服务用户（管理岗用户、服务岗用户、关联单位账户），调研各类用户业务功能使用需求，搜集相关业务系统设置模式与标准，进行初步分析对比，形成调研报告。分析整理出各类用户基本信息、用户角色信息，形成完整性保护基本数据内容文档。对业务系统、数据库进行功能开发和配置，调用SM3HMAC加密服务，实现数据的完整性存储和判断。对系统资源访问控制信息完整性保护功能测试并完善。针对系统模块各类业务数据内容、机密性内容开展调研，搜集相关业务系统设置模式与标准，进行初步分析对比，形成调研报告，统筹系统模块各类业务的数据完整性、机密性分析整理，形成完整性、机密性保护需求文档，对业务系统、数据库进行功能开发和配置，调用SM4算法、SM3HMAC算法加密、解密数据，同时实现数据的完整性存储、机密性存储，对数据调用实现完整性判断。对系统重要数据在存储过程中的机密性、完整性保护功能测试并完善。形成需求文档，针对日志记录完整性需求文档，对业务系统、数据库进行功能开发和配置，调用SM4算法加密数据，实现数据的完整性存储并对系统重要数据在存储过程中的机密性、完整性保护功能测试并完善。5.商用密码应用安全性评估服务针对2022-2024年部署在业务云上的相关系统，依据信息系统密码应用基本要求（GB/T39786-2021）等标准，由第三方介入，对项目进行商用密码安全进行应用安全性评估服务工作。评估指标如下。测评层面测评单元指标要求物理和环境安全身份鉴别宜采用密码技术进行物理访问身份鉴别，保证重要区域进入人员身份的真实性。电子门禁记录数据存储完整性宜采用密码技术保证电子门禁系统进出记录数据的存储完整性。视频监控记录数据存储完整性宜采用密码技术保证视频监控音像记录数据的存储完整性。网络和通信安全身份鉴别应采用密码技术对通信实体进行身份鉴别，保证通信实体身份的真实性。通信数据完整性宜采用密码技术保证通信过程中数据的完整性。通信过程中重要数据的机密性应采用密码技术保证通信过程中重要数据的机密性。网络边界访问控制信息的完整性宜采用密码技术保证网络边界访问控制信息的完整性。安全接入认证可采用密码技术对从外部连接到内部网络的设备进行接入认证，确保接入的设备身份真实性。设备和计算安全身份鉴别应采用密码技术对登录设备的用户进行身份鉴别，保证用户身份的真实性。远程管理通道安全远程管理设备时，应采用密码技术建立安全的信息传输通道。系统资源访问控制信息完整性宜采用密码技术保证系统资源访问控制信息的完整性。重要信息资源安全标记完整性宜采用密码技术保证设备中的重要信息资源安全标记的完整性。日志记录完整性宜采用密码技术保证日志记录的完整性。重要可执行程序完整性、重要可执行程序来源真实性宜采用密码技术对重要可执行程序进行完整性保护，并对其来源进行真实性验证。应用和数据安全身份鉴别应采用密码技术对登录用户进行身份鉴别，保证应用系统用户身份的真实性。访问控制信息完整性宜采用密码技术保证信息系统应用的访问控制信息的完整性。重要信息资源安全标记完整性宜采用密码技术保证信息系统应用的重要信息资源安全标记的完整性；重要数据传输机密性应采用密码技术保证信息系统应用的重要数据在传输过程中的机密性。重要数据存储机密性应采用密码技术保证信息系统应用的重要数据在存储过程中的机密性。重要数据传输完整性宜采用密码技术保证信息系统应用的重要数据在传输过程中的完整性。重要数据存储完整性宜采用密码技术保证信息系统应用的重要数据在存储过程中的完整性；不可否认性在可能涉及法律责任认定的应用中，宜采用密码技术提供数据原发证据和数据接收证据，实现数据原发行为的不可否认性和数据接收行为的不可否认性。管理制度具备密码应用安全管理制度应具备密码应用安全管理制度，包括密码人员管理、密钥管理、建设运行、应急处置、密码软硬件及介质管理等制度；密钥管理规则应根据密码应用方案建立相应密钥管理规则；建立操作规程应对管理人员或操作人员执行的日常管理操作建立操作规程；定期修订安全管理制度应定期对密码应用安全管理制度和操作规程的合理性和适用性进行论证和审定，对存在不足或需要改进之处进行修订；明确管理制度发布流程应明确相关密码应用安全管理制度和操作规程的发布流程并进行版本控制；制度执行过程记录留存应具有密码应用操作规程的相关执行记录并妥善保存。人员管理了解并遵守密码相关法律法规和密码管理制度相关人员应了解并遵守密码相关法律法规、密码应用安全管理制度；建立密码应用岗位责任