网络安全技术和等级测评服务

网络安全技术和等级测评服务本项目是常规安全服务类项目，项目内容包括漏洞扫描检测服务、安全渗透测试服务、移动应用检测与加固服务、网页后门查杀服务、网站监测防护服务、安全日志分析服务、网络安全等级保护测评、差距分析测评等服务，以及实战攻防演练和应急保障等服务，项目的服务周期为自合同签订日起一年。采购目标是通过引进专业化的网络安全技术服务和测评服务，定期检测发现网络安全漏洞隐患，消除网络安全管理和技术风险，提升网络安全防护能力，做好安全监测和应急响应处置，保障网站和信息系统安全、稳定运行。本项目在开展过程中，应充分考虑信息系统现状，严格落实网络安全联合检查和绩效评估工作等网络安全工作要求，确保安全服务工作到位，及时发现消除安全隐患，确保信息系统稳定运行。本项目是常规安全服务类项目，服务期为自合同签订日起一年。服务对象包括网站、信息系统、移动APP等（服务期内，服务对象有增加或调整的，供应商应及时调整服务范围，切实做好网络安全保障工作）。具体服务内容包括：1、漏洞扫描检测服务：服务期内每月对网站和信息系统、网络设备、主机、数据库和终端进行网络层和应用层漏洞扫描，生成漏洞扫描报告，并根据漏洞扫描结果制定制定安全修复加固方案，通知相关单位进行整改后再次扫描，验证漏洞是否已修复。最终扫描报告符合按信息安全绩效评估中漏洞扫描指标报送要求。对服务期内发现的安全漏洞类型、频次、修复方案进行总结，形成成果可以作为信息系统安全开发安全参考标准。2、安全渗透测试服务：服务期内，每季度组织一次模拟黑客入侵的渗透安全测试，如遇重大安全保障防护期，需提前加做一次渗透测试，切实做好安全保障工作。通过人工黑盒的测试方式，对业务系统进行渗透测试，发现网络和业务系统中存在的安全缺陷，深入挖掘可用于攻击的安全问题。测试内容包括但不限于：系统漏洞测试（如远程溢出漏洞）、应用漏洞测试（如sql注入漏洞、xss跨站漏洞、文件上传漏洞）、数据库漏洞测试（如远程溢出漏洞、命令执行漏洞）、中间件漏洞测试（安全功能绕过漏洞、信息泄漏漏洞）、默认口令测试、Struts2漏洞测试、逻辑漏洞测试、0day漏洞测试等；使用的测试工具有：bt5、metasploit、burpsuite、w3f以及常规漏洞扫描工具等；针对发现的问题，提供专业修复建议，通知相关单位进行整改加固，并在加固完成后进行复查。安全渗透测试服务要求：供应商在对网站和业务应用系统进行模拟黑客入侵的安全渗透测试时，要协助我局做好应急预案及演练，以应对发生安全事件时尽快按照应急解决方案恢复业务应用。在渗透测试数据库安全时，要通过专用的数据库漏洞检测系统，自动发现数据库漏洞，并通过人工方式加以验证。安全渗透测试范围是统一建设、维护的网站和信息系统。3、移动应用检测与加固服务：服务期内，对全局app和公众号，每月开展安全检测和安全加固服务，包括全市统一要求开展的专项自测评服务等。移动应用安全检测服务：服务期内，乙方每月对移动app（包含Android和iOS，下同）和公众号进行全面深入的安全检测，挖掘漏洞并出具安全检测报告，对于发现的漏洞进行人工验证，提出整改意见，并在相关单位对高中危漏洞修复后进行验证。检测技术要求包括但不限于深度静态检测、动态模糊测试、漏洞主动探测和风险智能识别等。报告中的高、中危漏洞需进行人工验证后出具检测报告。移动应用安全加固服务：乙方针对移动应用APP和小程序安全检测报告中的漏洞风险，给出合理有效的修复整改建议方案，协助移动APP开发部门对移动APP进行无壳安全加固，自动化搭配人工的方式，分别对反编译风险、应用篡改风险、调试风险、SO注入风险、残留URL风险、组件安全风险、签名校验风险等，进行高强度的专项加固防护。移动公众号只提供安全检测和整改建议，涉及腾讯平台的不提供安全加固，或者后期根据统一要求提供服务。检测与加固对象包括建设的移动APP和公众号。4、网页后门查杀服务：服务期内，对局内网站和信息系统开展一次网页后门查杀服务。使用网页源码查杀工具（暗组WEB杀毒7或WebShellKill等）对网页源码备份包或登录至web服务器上对网页源码进行自动化扫描，检查是否存在可疑文件或暗链，并手工逐个分析，确认是否为网页后门。安全检测查杀范围包括局机关服务器，以及可能发生异常安全事件的客户端。5、网站监测防护服务：服务期内，对网站及业务应用系统进行7*24小时的安全监测，监测内容包括网站漏洞监测、网页木马监测、篡改检测、可用性监测等，监测对象包括局门户网站(包括域名下的管理局二级网站)、地理信息公共服务平台、产业用地用房供需服务平台、自然资源资产市场网评估中心网站、发展研究中心网站等。6.安全日志分析服务：每月定期对所有网络安全产品的日志进行分析，有助于及时发现疑似风险，阻断事件发生。主要通过人工及日志分析工具对服务器日志、防火墙日志、上网行为审计日志、态势感知日志、WAF日志等的安全产品日志进行分析是否存在可疑IP的访问日志或可疑的外连日志、是否存在用户弱口令或应用系统的安全漏洞、中间件安全漏洞、操作系统安全漏洞等高危告警日志，对这些日志进行验证是否存在误报，并输出《安全日志分析报告》。7、实战攻防演练：按照常态化网络安全实战演练活动的标准要求及局网络安全的实战攻防演练服务需求，组织两次对全局基础网络及系统的网络安全实战攻防演练活动，尤其是针对“钓鱼邮件”、“跨网攻击”、“数据泄露”、“网页篡改”等风险，找出安全隐患点，锻炼应急处置能力，协助完善防护措施，按照绩效指标要求做好演练和信息报送工作。8、应急保障服务：供应商应建立7x24小时服务响应热线，服务期内按照局网络安全应急需求，不限次的及时提供安全应急支援服务。发生网络安全事件时，供应商技术人员必须在2小时内到达甲方现场，在4小时内发现原因尽快解决，或在4小时内提供临时解决方案并协助实施，做好应急响应和处置服务。在特殊防护期严格落实7*24小时值班值守，做好网络安全保障工作。按照网络安全应急演练需求，组织一次对全局基础网络及系统的应急演练，针对“跨网攻击”、“数据泄露”、“网页篡改”等风险，锻炼应急处置能力。其中一次需要拍摄演练视频，按照绩效指标要求做好演练和信息报送工作。9、下属单位现场检查：按照网络安全检查工作安排，协助制定安全检查指标内容，并成立检查组，上下半年各完成一次对全局28家单位的网络安全现场检查，检查结束后按要求输出检查结果。10、API安全防护服务：服务期内，提供API安全防护设备，实现对API资产的统一管理，基于数据建模自动发现被保护站点的API资产，实现API资产的生命周期管理。通过主动下发到浏览器的JS代码，对客户端与服务器进行动态双向验证，防止恶意终端访问，且每次均随机选取检测的项目与数量，以增加应用的不可预测性，大幅提高攻击成本。综合利用智能规则匹配及行为分析的智能威胁检测引擎，持续监控并分析流量行为，有效检测威胁攻击。对API传输中的敏感数据进行识别，针对敏感数据可以进行审计预警，防止敏感数据泄露。每月对防护服务情况进行分析，调整优化策略，形成报告。11、信息系统安全等级保护测评服务：服务期内，按照《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019）《信息安全技术网络安全等级保护测评要求》（GB/T28448-2019）等标准，为电子政务运维经费范围内的备案系统，开展一次全面的安全等级保护测评，编制安全等级保护测评报告。通过安全等级测评，对网络信息系统进行全方位的“体检”，消除网络安全管理和技术风险，提升网络安全防护能力，保障被测评信息系统和整体网络环境的安全稳定。等级保护测评服务内容包括安全技术测评和安全管理测评，其中安全技术测评主要从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等五个技术层面进行分析测评，安全管理测评主要从安全管理制度、安全管理机构、安全人员管理、安全建设管理、安全运维管理等五个管理层面进行分析测评，出具《信息系统安全等级保护测评报告》。测评过程中，应自觉接受监督与指导，严格按照测评标准实施，并取得测评结果通知书。在项目执行期间，如有其它新上线系统必须开展测评的，可替换计划中的个别系统。如果信息系统定级备案信息有较大变动的，将按照调整后的备案信息系统进行安全测评，项目总的工作量应不低于10个信息系统的安全等级保护测评。12、等级保护差距测评服务：（1）服务期内，按照《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019）和《信息安全技术网络安全等级保护安全设计技术要求》（GB/T25070-2019）等，对13个信息系统，开展一次等级保护差距测评，通过分析测评结果，对信息系统存在的主要安全问题提出安全达标和提升建议，特别是对测评不符合的检查项提供整改建议，协助整改，进一步提高网络安全防护能力。（2）信息系统安全风险评估服务：服务期内对局机关统筹建设的信息系统开展一次信息安全风险评估工作，对系统内所有信息资产进行梳理，并对重要资产进行三性赋值、脆弱性识别、威胁识别、现有措施分析、风险分析和风险处理，并按照信息安全风险评估指南要求输出《风险评估报告》、《风险评估总结》以及《风险评估过程文档集》。工作内容包括制定工作计划,确定评估范围,设计风险评估实施方案,建立风险评估各阶段实施小组，明确小组人员工作职责，开展风险评估实施。在实施工程中要详细记录每个实施流程产生的过程文档，在项目结束后汇总打印订装成册。评估报告与总结：风险评估报告应对整个风险评估过程进行总结，说明信息系统的风险状况及残余风险状况，评估总结要符合信息安全风险评估指南要求，总结内容包括本单位信息安全现状、本年度信息安全风险自评估工作情况、安全风险评估结果分析及处理措施、安全评估中发现的问题与建议、上期风险评估风险处理情况等。风险评估的系统包括信创系统、多规合一信息平台、可视化城市空间数字平台、门户网站、电子政务平台、外网数字空间基础信息平台、不动产籍信息基础平台、产业用地用房供需服务平台、可视化城市空间数字平台、基于城市信息模型（CIM）的规划设计数字化平台（一期）、地面坍塌隐患信息综合管理系统、国土空间规划“一张图”实施监督信息系统、农业发展专项资金（渔业类）管理系统等。在项目执行期间，如有其它新上线系统急需开展差距测评或风险评估的，可替换计划中的个别信息系统。13、驻场及其他安全服务：安排2名驻场人员，协助完成各项网络安全工作，包括但不限于上线前安全检测评估、网络安全宣传、联合检查和绩效评估等服务。（1）上线前安全检测评估：服务期内，局网站和信息系统有变更，或者新系统上线，需要对系统进行上线前安全检测，避免系统带病运行。检测内容包括采用多种技术手段，从互联网、办公网、政务网探测网络、应用、服务器和终端可能存在的安全隐患，生