《标包二要求服务内容及要求.docx》由会员分享,可在线阅读,更多相关《标包二要求服务内容及要求.docx(3页珍藏版)》请在三一办公上搜索。
1、标包二要求序号服务项服务内容及要求1保评务等测服测评范围:指定3个系统(二级)、2个系统(三级);服务期限:两年(现网安全等级保护认证证书到期之日前3个月起,每年开展一次安全等级测评)服务内容:按照网络安全等级保护2.O测评标准进行安全等级测评:安全技术测评:包括安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心等五个方面的安全测评;安全管理测评:安全管理机构、安全管理制度、安全管理人员、安全建设管理和安全运维管理等五个方面的安全控制测评:在安全等级测评过程中,每个工作阶段、流程、内容及成果交付严格遵循信息安全技术网络安全等级保护测评要求和信息安全技术网络安全等级保护测评过程
2、指南文件,根据本项目信息系统已完成的定级备案安全等级,开展相应级别的安全等级测评工作,根据测评结果出具相应的单项和整体测评报告,测评报告需得到项目单位的确认,并报送网安部门。测评报告编制的内容及格式严格遵照网络安全等级保护测评报告模版(现行版)进行;服务要求:要求服务商根据网络安全等级保护基本要求开展信息系统等级保护测评,并完成信息系统的测评、整改及定级、备案工作;测评技术团队符合网络安全等级保护测评机构管理办法对测评机构和测评人员管理的要求,供应商必须具备公安部第三研究所颁发的网络安全等级测评与检测评估机构服务认证证书,项目负责人由公安部培训考核认证通过的网络安全高级等级测评师承担,通过信息
3、安全专业认证、具备良好的教育背景、受过专业的技术培训、拥有丰富的网络安全服务工作经验,对网络安全等级测评过程中可能会面临的各类技术问题及时提供解决方案。2保全改务等安整服服务要求:依照信息安全等级保护安全建设整改工作指导意见,严格遵循信息安全等级保护安全建设整改工作指南各项要求,在系统测评工作的基础上,对信息系统总体信息安全管理和技术方面现状进行全面的分析,制定网络安全等级保护安全建设整改方案,方案内容包含但不限于:网络安全背景、政策与技术标准依据、当前风险分析、安全需求分析、总体安全策略、安全建设整改技术方案设计、安全建设整改管理体系设计、信息系统安全产品选型及技术指标建议、安全建设整改项目
4、实施计划、项目预算,整改后可能存在的其他问题。3安全保障服务系统保障服务内容:服务期内,针对指定系统提供安全服务保障,针对常见的注入攻击、跨站攻击、webshe1.1.上传、cc攻击、漏洞利用等攻击手段及时发及时阻断;每月出具安全月报;提供专业技术人员以7*24小时远程、电话、邮件及现场等方式提供应急响应支持;服务期限:自签订合同之日起3年服务工具要求:1、部署环境要求:管理后台:管理后台为B/S架构,支持所有操作系统和主流浏览器的访问;2、支持WindOWs、1.inux、红旗、中标麒麟等全系列操作系统,通用WEB容器支持,支持IIS、nginxsApache、TomcatWeb1.ogic
5、WebSphere东方通、jboss全部版本插件防护;3、SQ1.注入防护、XSS跨站脚本防护、漏洞利用攻击防护可根据不同检测对象(UR1.、Cookie.Post)进行具体防护规则的配置(开启与关闭);禁止下载特定类型文件,可自定义设置禁止下载的特定文件类型;终端浏览实时防护可自定义设置网页木马的文件类型,将对设置列表中的网页类型进行基于行为的木马实时检测;HTTP相应内容保护则针对自定义列表中的错误页面返回类型进行错误页面的替换与跳转,以防止因HTTP错误页面泄露系统、数据库等重要敏感信息;4、支持堡垒锁防护,将整个磁盘除例外目录和例外文件格式外,全部文件设置为只读模式;(提供功能截图)5
6、、采用实时应用程序自我保护(RASP)技术,实时监测并拦截漏洞攻击。能够在运行时结合上下文采取相应的保护方案。实现对应用及系统的动态监控与防御,大幅度降低误报率;(提供功能截图)6、支持基于沙箱的WEBSHE1.1.查杀技术,下一代WEBSHE1.1.检测技术,污点传播理论与沙箱技术,取代传统基于特征码的查杀技术,支持ASP、ASPXPHP、JSP等常用WEB脚本语言,支持对于加密及变形的WEBSHE1.1.有效查杀;(提供功能截图)7、“登录防护”功能,针对WindOWS及1.inUX操作系统的远程登录进行限制及防护,用户可对“用户名”、“IP地址范围”、“时间范围”进行具体设置,并通过选择
7、“允许登录”、“禁止登录”等相应的处理方式进行防护。8、具有防暴力破解技术,能有效防御针对RDP、SSH服务的暴力破解。9、“服务器巡检”功能,可以巡检WebShe11、二进制后门、弱口令3个维度。巡检支持定时巡检,WebSheI1.巡检支持自定义巡检路径、自定义巡检文件类型;弱口令巡检支持自定义弱口令字典;4安全巡检服务服务要求:服务期内提供安全巡检服务,巡检现场人员1-2人,每月1次;服务期限:自签订合同之日起3年服务内容:巡检人员现场进行安全巡检,通过人员访谈、现场勘查、文档查看等手段了解管理弱点;对网络、安全、业务等如路由器、交换机、防火墙、服务器、数据库、存储、中间件等的运行状况、资
8、源利用情况、网络连接情况等进行检查,检查系统健康状态,同时利用工具扫描、人工审计、基线检查、配置分析等方式对信息系统的技术脆弱性进行评估,并给出脆弱性评估报告。对于发现的漏洞及可能造成的风险给出详细的、按危害等级排序的总结报告。5信息安全管理制度服务服务要求:安全管理制度服务,以等保2.0管理制度要求为基准,结合ISO/IEC27001,包括现有安全管理制度收集、进行差距分析、构架安全制度框架、编写安全管理制度、安全制度改进等一系列服务;服务内容:依托专业的安全服务厂商提供本服务为超算中心梳理现有安全制度,找出差距点,并修订或编写必需的信息安全管理制度,提升超算中心的安全管理水平。6应急响应服
9、务服务要求:要求服务技术团队善于发现系统漏洞,具备CNVD原创漏洞证书;擅长及时判断安全事件级别,进行紧急分析处理、灾难恢复和入侵追踪和取证,由至少2名具备信息安全保障人员认证证书(安全运维专业级)的技术人员提前收集现场系统情况,为后续应急做技术准备;由至少2名具备信息安全保障人员认证证书(应急服务专业级)的技术人员在发生安全事件时,两小时内提供现场应急响应;服务期限:自签订合同之日起3年服务内容:建立安全应急预案,遇到重大安全事件如网络入侵、大规模病毒爆发、遭受拒绝服务攻击等突发事件时,提供专业技术人员以7*24小时远程、电话、邮件及现场等方式提供应急响应支持,且快速恢复系统的保密性、完整性和可用性,确定安全威胁的破坏严重程度,阻止和降低安全威胁带来的影响,分析原因并提供相应的解决方案。定制化本服务期限:自签订合同之日起3年服务内容:1、面向技术主管与管理层的管理体系培训:对技术主管和管理层的培训重点是网络安全知识体系和安全意识,在网络安全知识体7地培训服务系的基础之上关注降低风险的对策。2、网络攻防实训:针对常见的网络攻防技术手段,组织动手实践,让培训对象深刻理解网络攻防的基本理论,掌握常用的网络攻防技术手段和工具软件,具备处理常规安全事件的能力。