《XX区全区安全态势感知平台项目服务技术要求.docx》由会员分享,可在线阅读,更多相关《XX区全区安全态势感知平台项目服务技术要求.docx(7页珍藏版)》请在三一办公上搜索。
1、XX区全区安全态势感知平台项目服务技术要求一、项目背景(1)随着关键基础设施向数字化智能化方向发展,让网络安全威胁向现实世界各领域加速渗透;云计算、大数据、人工智能等新技术伴生新风险,给安全防护提出更高的要求要全方位提升网络安全防护能力,织就一张广覆盖、立体化的防护网。随着网络安全政策法规体系不断完善,中华人民共和国网络安全法、中华人民共和国数据安全法、中华人民共和国个人信息保护法、关键信息基础设施安全保护条例等法律法规密集出台,网络空间法治进程迈入新时代;基础通信网络和数据安全防线进一步夯实,网络安全威胁发现、监测预警、应急处置、信息共享一体化安全防护能力不断增强,需按照“积极防御、综合防范
2、”的思路,切实提升关键信息基础设施等重点领域、重点目标的安全保障能力。(2)为加强XX市XX区政务服务数据管理局网络态势感知运营能力,建立健全网络安全保障体系,借助当前已建立的安全态势感知平台,以国家信息中心政务网络安全监测平台总体技术要求,国家电子政务外网相关标准,按照一体化、标准化、智能化、可视化的要求,采集监测XX市XX区电子政务外网资产信息、网络流量、重点网站的安全数据,通过深度分析,准确发现网络安全案(事)件线索,并及时预警重大网络安全威胁,调查回溯和防范网络攻击等安全事件。建立以服务人员为基础,以审计为核心,以风险识别为辅助的安全体系,通过审计机制实现数据的流转和访问可见,并进一步
3、通过风险识别检测并修补数据载体的风险暴露面,进而提升整体安全效能。(3)基于XX区政务服务数据管理局信息化程度不断提高,为进一步加强日志安全审计支撑能力,通过常规安全巡检,保障日志审计系统及运维审计系统的稳定运行,并提供必要的现场技术服务,按季度提供运维审计系统巡检报告及年度安全规划建议,及时掌控系统日常运行情况,从而有效辅助安全审计人员开展工作,提高审计工作效率,降低应用安全风险,可持续发挥平台价值和效益。(4)通过已建立的安全态势感知平台为基础,研究和提升XX区电子政务外网网络安全能力,完善网络安全运营体系建设。强化XX安全态势感知、安全事件响应、威胁情报管理、安全合规管理等方面联动,围绕
4、防护目标的安全等级和安全需求,实现安全策略整体性设计和联动,规范电子政务外网网络安全和数据安全岗位设置,协助建立XX区安全运营中心标准化工作流程和工作规范。二、技术要求(一)核心服务工具要求为实现确保全区态势一体化运维与管理,契合全区安全态势一张图的发展需求,所提供服务工具(包括终端安全管理系统、服务器安全管理系统、网站云监测管理系统)能同步推送资产数据与告警信息至现有态势感知平台进行统一数据监测及运营,保持数据一致性。(二)安全托管服务门户技术要求基于现有网络态势感知平台,提供与平台同厂商安全托管运营服务一年,要求在运营服务期内提供7X24小时的安全威胁监测服务,持续监测网络内的安全隐患情况
5、并进行分析,包括对外部网络攻击网络漏洞利用情况、恶意软件活动情况、以及内网安全情况,对安全监测发现的安全隐患及高危事件在服务规定时间内进行通告,同时能够每日同步安全状况。(三)安全托管服务门户技术要求安全托管服务门户支持展示行业安全趋势,使得用户能够直观看到最近一段时间的安全趋势并与同行业安全趋势形成对比。(四)安全托管服务门户技术要求安全托管服务门户支持展示针对运营服务成果的MTTD和MTTR展示。(五)安全托管服务门户技术要求安全托管服务门户支持展示出协同处置情况,在协同处置界面可处置事件和下载报告。(六)安全托管服务门户技术要求安全托管服务门户支持针对具体事件以事件时间轴的形式展示该事件
6、全生命周期,包括发现事件基础信息、处置建议和下载报告。(七)终端安全管理系统技术要求为保障安全,要求服务产品支持控制中心的登录失败锁定阈值设置,可采用手机APP动态令牌方式进行二次认证,针对控制中心高危操作支持动态口令验证。(八)终端安全管理系统技术要求支持与现有的态势感知运营平台进行联动,支持在态势感知平台上对终端安全管理系统下发联动处置命令,命令包含:隔离特定终端、隔离指定主机恶意文件,全网终端隔离特定文件等。(九)终端安全管理系统技术要求支持终端上的软件正版统计,确保软件正版化。(十)终端安全管理系统技术要求简化补丁运维工作,提供客户端补丁库优先分级,自定义测试一段时间后再按批次逐步扩大
7、允许升级补丁库的范围,直到允许全网计算机升级。(十一)终端安全管理系统技术要求产品支持上传、下载限速与客户端P2P补丁分发加速,有效节省外网带宽资源。(十二)终端安全管理系统技术要求支持温度检测以折线图形式实时展示CPU、主板、显卡、硬盘的温度变化,支持禁用安全模式或者设置安全模式登录密码。(十三)终端安全管理系统技术要求具备终端安全管理系统软件产品的软件著作权,并提供相关的计算机软件著作权登记证书。(十四)服务器安全管理系统技术要求需要具有自身防护和卸载密码设置功能,防止被非授权用户强行卸载、删除或修改,并具有禁止非系统进程尝试劫持启动过程行为。(十五)服务器安全管理系统技术要求支持全量资产
8、的关键字及语法搜索,支持检索的语法包括但不限于:服务器资产类、进程资产类、账户资产类、软件应用类、web站点类、web服务类、Web框架、数据库类、端口资产类、网络连接类、启动服务类、安装包类、计划任务类、环境变量类、内核模块类、类库资产类、注册表类、证书资产类进行检索支持对任意分项资产、任意服务器主机按照天/周/月等时间频率自定义设定采集任务。(十六)服务器安全管理系统技术要求支持对服务器进行-键隔离/恢复,可设置端口白名单,支持设置端口的暴露控制规则,包括但不限于:禁止/允许外网暴露、禁止/允许内网暴露策略,并支持例外端口的添加。(十七)服务器安全管理系统技术要求支持对服务器进行弱口令扫描
9、,提供系统级和应用级弱口令扫描,并可对扫描的结果进行修复验证操作,并对服务器中口令复用进行检测。(十八)服务器安全管理系统技术要求采用主动的方式进行病毒查杀,可支持Bitdefender、ClamAVQoWl多引擎技术识别并查杀最新病毒;可支持病毒文件自动隔离、自动删除、不处理三种方式。可对服务器杀毒引擎进行综合的设置,支持本地查杀、控制中心查杀的设置与切换,并可对某台服务器的查杀规则进行详细设置。(十九)服务器安全管理系统技术要求产品需支持通过插件的方式,工作于APaChe、NginX等Web中间件内部,阻断SQL注入、XSS防护等Web攻击,并能利用虚拟补丁进行漏洞防护。(二十)服务器安全
10、管理系统技术要求支持RASP(RuntimeApplicationSelfProtection)运行时应用防护技术,有效抵御一句话木马、未知WebSheII、未知SQL注入、命令执行、未知上传、任意文件读取、反序列化、StrUtS2漏洞等高级Web应用攻击。(二十一)服务器安全管理系统技术要求产品需具备基于行为的缓冲区溢出和防止窃取系统内存密码,可检测并阻断缓冲区溢出漏洞攻击行为和防止攻击者通过内存密码窃取手段进行恶意登陆并进行攻击。(二十二)服务器安全管理系统技术要求产品应具备禁止非系统进程劫持EXE执行过程,可检测并阻断攻击者利用非系统进程尝试劫持EXE执行过程行为。(二十三)服务器安全管
11、理系统技术要求记录当前所有服务器产生的事件日志,并支持全量日志的关键字及语法搜索,支持检索的语法包括但不限于:服务器相关参数、访问主体相关参数、网络相关参数、操作相关参数、客体相关参数、登陆日志相关参数等进行检索,并支持返回上次筛选的关键字(可返回数不少于5个)。(二十四)服务器安全管理系统技术要求要求服务器安全管理系统软件产品具有国家版权局颁发的计算机软件著作权登记证书。(二十五)服务器安全管理系统技术要求具有国家网络与信息系统安全产品质量监督检验中心颁发的信息技术产品安全测试证书。(二十六)网站云监测系统技术要求支持列表展示网站存在的外链及坏链,并提供指定连接检索能力。(二十七)网站云监测
12、系统技术要求支持与补天等情报平台的联动,作为威胁情报来源。(二十八)网站云监测系统技术要求支持敏感词事件通报,配置监测频率,支持任务并发量配置,支持用户自定义敏感词,支持网页附件内容检测。(二十九)网站云监测系统技术要求支持根据资产域名解析其子域名和关联ip,识别未知资产。(三十)网站云监测系统技术要求可按照验证、处理等2个阶段进行不同状态展示,方便详细了解安全告警所处状态,需包含以下安全状态:(1)验证阶段:未验证、己确认;(2)处理阶段:待响应、待处理、己处理、己超时。(三十一)网站云监测系统技术要求支持多级账号管理,同级账号多角色管理,包含管理员、运维人员、普通运维人员;并支持母账号对子账号登录的一键切换;支持子账号的密码修改、账号新建。
