项目概述:
在数字化快速发展的背景下,信息安全已成为各类组织面临的重要挑战。特别是对信息密集型机构而言,加强信息安全管理至关重要。为此,本项目的主要目标是通过科学系统的安全管理措施和技术手段,提高省图书馆的整体信息安全水平,确保业务系统的稳定运行,满足网络安全等级保护的要求,并适应具体业务需求。
本项目充分考虑了特定保护对象的安全需求,网络安全等级保护建设方案不是简单生硬的等保条款满足,在方案设计过程中尽量避免将网络等级保护工作做得僵化,而是以省图书馆整体信息安全为目标,以业务需求为主导,构建和公司业务需求相匹配的综合安全防护能力,并通过安全管理制度落地,加强运维过程中的预警监测能力和应急处置工作,不断提高单位的抗攻击能力,同时在安全保障工作中通过定期培训、加强应急预案演练、协同应急处置等方面的工作加强人员的安全技能。本项目实施后,省图书馆的信息安全水平将显著提高,能够有效防御和应对各类网络安全威胁,保障信息资产安全和业务系统的持续运行。同时,通过制度化的管理和人员技能的提升,为今后的安全维护打下坚实的基础,促进图书馆信息化建设的安全、健康发展。
详细需求如下:
1、系统安全风险评估需求
通过需求分析、资产识别和分类、威胁与脆弱性识别、风险分析与评估、控制措施评审、风险处理策划、报告编制、培训与意识提升、后续评审与持续改进等内容开展风险评估,系统安全风险评估能有效识别、分析和管理信息系统中的安全风险,确保省图书馆的业务连续性与信息安全。
服务要求:每月进行一次全面风险评估,并出具风险评估报告。
2、安全加固支持
对系统安全风险评估和安全配置评估中发现的安全漏洞和配置缺陷,提供加固意见及措施,并协助开发厂商或系统运维人员进行安全加固。通过安全加固支持服务增强省图书馆系统的防护能力。
评估结束后,根据馆内实际需要,按需提供专家支持。
3、渗透测试
采用模拟黑客攻击方式对应用系统进行安全性测试,通过漏洞扫描和手工验证发现并证实漏洞的存在,并结合业务实际情况给出整改建议。渗透测试对象包括操作系统、应用系统、WEB程序和网络设备等。
对15个应用系统,进行每季度1次全面的漏扫、渗透测试,并出具渗透测试报告。
4、应急响应
提供7*24小时应急响应服务,针对发起的应急需求,能够快速响应,及时抑制和消除信息系统网络安全事件,减少因网络安全事件而引起的损失和负面影响。在发生安全事件时提供现场/远程技术支持,处置安全事件,调查事件原因,进行攻击溯源。服务包括网络安全问题阻断、网络安全事件分析、网络安全事件配合处置、网络安全加固以及网络安全事件分析报告输出等内容。
提供7*24小时应急响应服务,不限次数。
5、重保现场值守
在国家及行业的重大活动期间(包含但不仅限于两会、攻防演练等),提供现场专家技术支持服务,包括安全防护设备部署、策略优化、协助进行安全加固等。
重保期间除驻场人员以外提供1名专家进行7X12小时现场值守以及相对应指导。
6、应急演练
制定符合当前实际需求的应急预案,并派遣安服工程师协助进行应急演练,演练完成后出具应急演练报告。
服务期内进行一次演练。
7、安全运维服务
提供现场值守服务,派遣安服工作组,在客户指定场所为现场办公地点,另外派专家每月现场进行检查支撑。安全运维是指通过对安全设备、安全系统的运行状态,统计、分析安全事件,发现并解决信息系统中存在的安全威胁,为我馆更新安全策略提供参考依据,充分保障客户IT 系统、网络及业务的顺畅运行。
安全设备运维: 实时监控用户防火墙、防病毒系统、入侵检测系统、入侵防御系统等安全设备的运行状况,及时发现安全问题,分析日志信息,进行预警通告,提供安全事件的溯源依据。
安全系统运行情况记录、分析、统计:通过对安全系统的运行情况进行记录、分析,帮助安全管理人员形成分析报告。
用户其他系统:根据用户实际需求,协助用户完成其他系统的安全监控。
每日巡检并输出每个系统的巡检报告。
8、安全培训服务
针对员工的安全意识进行培训,保证人员具有与其岗位职责相适应安全意识,以减少人为因素给系统带来的安全风险。旨在提高全员的安全意识,包括日常网络安全防范、上网行为安全规范、网络安全法律法规宣贯等内容。
运维管理人员安全技能提升:通过安全技能培训和实践操作提升管理人员的安全技能水平,能简单应对日常安全运维中的技能需求,在发生安全事件时进行简单处置。
每季度提供一次安全培训服务,年度4次,不拘泥现场形式,培训地点、方式由甲方指定。
9、基线核查
安全政策和标准核查:检查我馆制定的安全政策和标准,并评估其与行业标准或法规的一致性。这包括访问控制、密码策略、数据备份和恢复等方面的要求。
系统配置核查:核查我馆信息系统的配置是否符合最佳实践和安全建议。检查操作系统、数据库、网络设备等的安全配置,确保安全漏洞和弱点得到修复。
身份认证和访问控制核查:评估我馆的身份认证机制和访问控制措施,包括用户帐户管理、权限分配、多因素身份验证等。确保只有授权的用户能够访问敏感信息和系统资源。
网络安全核查:评估我馆的网络安全措施,包括防火墙、入侵检测和防御系统、网络隔离等。检查网络的边界安全和内部网络安全控制。
每季度1次现场服务。
10、网络策略优化
提升网络性能:根据业务需求和性能要求,设计通过优化网络设备参数、调整网络拓扑结构等方式提升网络性能的方案,并协助完成调整;
提高网络安全防护能力:设计有效的网络安全防护策略,通过防火墙规则调整等方式提高防护能力,并协助完成调整。
每月1次现场服务。
11、全流量分析服务
利用全流量设备或态势感知平台,对整改安全态势进行分析,及时发现安全事件。
每月1次现场服务。
12、非等保安全整改配合服务
运维服务期间,如上级部门、公安部门、信息化主管部门等单位对数据中心进行安全扫描, 根据各方安全评估结果,协助修复安全漏洞、加固系统平台,防止系统破坏、数据泄露。如安全整改经评估会对业务系统产生影响时,需提出整改建议方案(需注明风险)并签字授权后进行修复。
按需,现场协助整改。
13、数据安全服务
配合梳理中心信息系统数据资产,配合维护敏感数据资产台账,识别数据管理工作中存在缺陷和潜在隐患,提出切实可行的解决措施。
每月一次现场服务。
14、新系统安全方案评审及验收
针对新信息系统进行上线和重要调整前开展安全方案评审服务。并指导和协助应用系统厂商进行风险控制、加固和修复。
按需,现场协助评审及验收。
15、API检测
对API进行安全漏洞扫描和评估,包括常见的安全漏洞(如跨站脚本攻击、SQL注入等)和API特定的漏洞(如授权问题、参数篡改等)。模拟攻击和渗透测试,以评估API的安全性和防御能力。检查API的身份验证和访问控制机制,确保只有授权的用户能够访问API。检查API的数据传输和存储的安全性,包括数据加密、安全传输协议等。
描述API安全检测的具体流程和步骤。包括以下内容:API安全测试的方法和工具。安全测试环境的准备和配置。安全测试用例的设计和执行。安全漏洞和问题的报告和修复流程。
每月1次现场检测。
16、增项服务
1、特征库升级服务:针对现有安全产品(安全产品包括但不限于:防火墙、入侵防御、上网行为管理、堡垒机、数据库审计、日志审计、漏洞扫、态势感知平台等)的特征库(升级服务),杀毒软件升级。
2、安全设备维修服务:对在质保期内安全产品联系厂家进行维修,质保期外产品提供维修服务。
3、设备租用服务:针对重保、HW等特殊场景的设备租用服务。
4、为响应政策要求,未来需无条件免费配合进行国产数据库、国产操作系统、国产硬件设备的改造与适配。
17、运维主要网络安全设备清单
序号 | 设备名称 | 厂商 | 设备数量 |
1 | 网站防护WAF | 绿盟 | 1 |
2 | 防火墙 | 4 |
3 | 上网行为 | 1 |
4 | 日志审计 | 1 |
5 | 入侵防御 | 2 |
6 | 入侵检测 | 1 |
7 | 漏洞扫描系统 | 1 |
8 | 防火墙主 | 天融信 | 1 |
9 | 防火墙备 | 1 |
10 | IPS | 1 |
11 | VPN | 神州数码 | 1 |
12 | 神州数码防火墙 | 1 |
13 | 数据库审计系统 | 启明星辰 | 1 |
14 | 堡垒机 | 1 |
15 | 杀毒软件 | 亚信 | 700点 |
具体以采购文件中服务需求为准
参加辽宁省政府采购活动的供应商未进入辽宁省政府采购供应商库的,请详阅辽宁政府采购网 “首页—政策法规”中公布的“政府采购供应商入库”的相关规定,及时办理入库登记手续。填写单位名称、统一社会信用代码和联系人等简要信息,由系统自动开通账号后,即可参与政府采购活动。具体规定详见《关于进一步优化辽宁省政府采购供应商入库程序的通知》(辽财采函〔2020〕198号)。
1.本项目响应文件文件递交方式采用供应商除在电子评审系统上传响应文件外,应在 递交响应文件截止时间前提交以U 盘形式存储的可加密备份文件,并承诺备份文件与电子评审系统中上传的响应文件内容、格式一致,备系统突发故障使用。供应商仅提交备份文件的,响应无效。 2.本项目供应商需自行准备电子设备;解密、报价提交的时限均为接到通知后30分钟内完成。 3.供应商请详阅辽宁政府采购网“首页-办事指南”中公布的“辽宁政府采购网关于办理CA数字证书的操作手册”和“辽宁政府采购网新版系统供应商操作手册”,具体规定详见《关于启用政府采购数字认证和电子招投标业务有关事宜的通知》(辽财采〔2020〕298号),及《关于完善政府采购电子评审业务流程等有关事宜的通知 》辽财采函〔2021〕363 号。供应商电子评审系统的信息填报、电子文件编制、盖章或电子签章等类似问题可拨打400-128-8588进行电话咨询。