| 网络与信息安全服务招标要求一. 项目概况 当前,基础信息网络和重要信息系统安全面临的形势十分严峻,既有外部威胁,又有自身脆弱性和薄弱环节,维护信息系统安全的任务十分艰巨、繁重。一是针对基础信息网络和重要信息系统的违法犯罪持续上升。不法分子利用一些安全漏洞,使用病毒、木马、网络钓鱼等技术进行网络盗窃、网络诈骗、网络赌博等违法犯罪,对经济秩序、社会管理秩序和公民的合法权益造成严重侵害。二是当前的信息安全保障工作基础还很薄弱。 面对当前信息系统安全面临的复杂、严峻形势,基础信息网络和重要信息系统一旦出现大的信息安全问题,不仅仅影响本单位、本行业,而是直接威胁国家安全、社会稳定、经济发展。因此,开展信息安全服务工作仍是必不可少的一环。 面对国际及国内对网络安全发展的大趋势、大环境,党政机关的网络安全由于历史发展的原因,备受关注。2014年以来,发生在浙江省内党政机关的网络安全事件屡见不鲜,对我省党政机关的风络安全现状提出了严峻的考验。海曙区目前管辖了300多家市区两级的重点网站及应用系统,事体安全风险和安全压力都比较大,为进一步加强海曙区的信息安全管理,保障海曙区内信息系统安全稳定运行,提高信息安全事件快速响应及处理能力,现提出信息安全服务需求,通过信息安全服务提供有效的信息安全保障。 二. 项目范围1、 服务对象 宁波海曙区内300多家市区两级的重点网站及应用系统等。 2、 服务时间 合同签订起一年。 三. 项目要求本次项目安全服务要求包含以下几个部分: u 漏洞扫描服务:在服务期内,要求能够对海曙辖区内300多家市区两级的重点网站及应用系统提供每季度一次的安全漏洞扫描服务,通过扫描发现可利用的漏洞、挂马等安全隐患,并对检测结果进行分析,排除扫描工具产生的误报和漏报,向采购方出具相关报告,提供详细的整改建议,针对每个系统出具相应的<安全隐患告知书>。 u 协助提供等保检查服务:配合宁波市公安局海曙分局网安大队完成信息系统安全等级评测相关工作,包括但不限于评测前期的自查、测评完成后的整改及加固措施等。 u 应急响应服务:在服务期内,提供7*24小时响应,在服务期内,发生或可能发生安全事件时,需委派专业技术人员提供快速响应并到达现场(0.5小时内响应,1小时内派专业技术人员到达用户现场),协助进行安全事件处理,采取紧急措施,恢复业务到正常服务状态;调查安全事件发生的原因,避免同类安全事件再次发生;提供数字证据。当事件处理结束后,出具报告。 u 辅助案件查办:配合宁波市公安局海曙分局网安大队对管辖范围内机构单位的安全事件,提供辅助查办的工作方案,协助案件查办工作;同时配合宁波市公安局海曙分局网安大队进行抽查工作,并提供相关报告。 u 重要历史时期现场值守服务:在重要的时期(如国庆安保值守、两会保障等)应委派专人派驻宁波市公安局海曙分局网安大队现场对重要单位提供现场应急队伍保障服务。 u 服务器及应用系统敏感数据辅助自查安全服务:根据采购方需要,对宁波市公安局海曙分局网安大队管辖范围内的机构单位进行公民个人信息及隐私数据安全评估检查,并出具报告。 u 网站建设服务:依据需求,提供相应网站安全建设服务。 四. 漏洞扫描本次项目要求一年服务期内最少提供每季度一次共四次以上的系统脆弱性扫描评估。针对扫描过程中发现的漏洞,要求能够提供详细的安全风险描述和整改建议,同时在验证结束后针对每个系统出具一份<安全隐患告知书>。 具体服务要求: 针对海曙辖区内300多家市区两级的重点网站及应用系统,使用专业的系统脆弱性扫描工具进行安全脆弱性扫描,发现系统级别的安全脆弱性及应用级别的安全脆弱性;完成重要信息系统的安全检查及加固工作。 扫描工具要求: 基本要求 | Web漏扫 | 发现Web站点中的安全漏洞,并提供安全解决建议,对网站SQL注入、Cookie注入、盲注、跨站、文件包含、敏感信息泄露等漏洞进行发现检查 | 具体要求 | 检测范围 | 漏洞知识库漏洞信息大于2300条,提供详细的漏洞描述和对应的解决方案描述;漏洞知识库与CVE、CNCVE、CNNVD、CNVD、CVSS等主流标准兼容。 | 支持SQL注入检测。 | 支持Cookie安全问题检测。 | 支持跨站脚本攻击检测。 | 支持伪造跨站点请求检测。 | 支持网页挂马检测。 | 支持隐藏字段检测。 | 分析器支持常见的字符编码标准,如简体中文(GB18030)、BIG5、UTF-8 | 支持Web服务(如IIS、Tomcat、Apache等)漏洞的检查。 | 检测能力 | 支持基于basic、NTLM、Cookie等认证方式的Web应用系统安全扫描。 | 支持WAP站点扫描 | 支持基于HTTPS应用系统的扫描 | 支持ERP等复杂的Web应用系统扫描 | 支持易通、织梦、DEDECMS、Discuz、Ecshop、易思、大汉、PHPCMS、PHP168、PHPCMS2008、phpcms v9、SHOPEX、Nginx代码执行、Spring代码执行、大华网络摄像头弱口令等国内、国外知名WEB应用程序漏洞扫描 | 支持JSP、CGI、ASP、.NET等类型动态页面 | 支持HTTP 1.0和1.1标准的Web应用系统 | 支持Oracle、SQL Server、DB2、Informix、Sybase、MySQL、PostgreSQL、Access等后台数据库类型 | 支持预设Cookie和登录预录制检测。 | 支持HTTP和SOCKS代理扫描。 | 支持自定义User-Agent设置。 | 同时提供支持深度优先及广度优先爬行顺序的能力。 | 支持大小写敏感或不敏感(case-sensitive/insensitive)的网页爬行方式。 | 产品支持自定义扫描连接与自定义排除连接。 | ê支持动态和静态结合的交互式检测 | 支持通过解析flash来获得Web应用的链接。 | 支持WEB2.0,支持通过JavaScript执行获取链接。 | ê支持探测网站前是否有防护产品,如waf | ê支持通过对web应用的端口进行扫描获取web应用的更多信息,如是否启用waf,网站框架和语言等信息 | 任务管理 | 支持即时任务、定时任务和周期任务。 | 支持对目标网站进行链接爬取,仅做爬取不做扫描,并可以输出对应的链接爬取结果 | ê支持任务扫描时间段控制,支持站点按时间段进行扫描 | 支持“一键式”快速下达扫描任务功能,简化操作流程。 | 支持同一任务中扫描多个站点,同时可以对所有扫描的站点进行全局策略配置,也可以在同一个任务中对每个站点进行独立的扫描策略配置 | 支持自定义检测网站登录口令字典 | 支持任务暂停、继续扫描、停止、重新扫描、断点续扫、删除等操作。 | 漏洞分析与管理 | 仪表盘功能,直观展示最近10天整体风险等级、最近10天扫描站点列表、最近30天危险站点TOP10等内容。 | 支持趋势、对比报表 | 支持在线报表和离线报表两种报表形式。离线报表提供针对不同角色的默认模板,允许用户定制报告的内容、报告的格式等。支持扫描过程生成中途报表 | 漏洞插件库支持按照国际权威安全组织OWASP TOP 10-2010、OWASP TOP 10-2013、WASC分类标准分类 | 报表中需要提供详细的安全加固建议。 | ê报表中可提供漏洞的详细场景信息,如判断标准,判断详情,请求头,响应头,响应内容 | 可在界面中列出被检测网站的目录结构,点击相应的结构可以直接呈现当前页面的扫描结果。 | 报表输出支持WORD、HTML、PDF、XML和excel等格式。 | 产品提供漏洞验证功能,直观展示漏洞验证过程信息,验证漏洞真实存在。 | ê支持与WAF产品联动,生成报表可供WAF生成安全防护策略,通过漏洞检测和威胁防护的循环式管理,无缝保护站点安全。 | 提供标准的Web Service接口支持,方便与第三方安全产品或管理平台进行数据采集和调用 | 管理功能 | 产品支持手动升级和自动升级,可以直接将升级包导入系统进行升级,同时也可以连接到升级服务器进行自动升级,升级频率不低于两周一次。 | ê产品支移动终端管理,可以通过移动设备查看系统的运行状态信息 | ê产品支持远端管理,可通过云端账号查看系统运行状态信息 | 支持IPv6网络环境部署。 | 支持多用户分级权限管理;支持多管理员使用扫描器,对每个使用者能够设定其允许登陆的IP范围和允许管理系统的权限。 | 提供审计功能,能够对登录日志、操作日志、异常报告等信息进行记录和查询,只有审计管理员才能修改或删除、清空、导出审计数据。可根据日志类型、备份策略进行自动备份功能。 | 提供备份恢复机制,能够对扫描结果、日志、扫描模板、参数集等配置文件进行导出和导入操作;能够对系统创建还原点对系统进行备份和还原。 | 产品资质 | 产品应为国内自主研发,并拥有软件著作权登记证书; 产品获得《计算机信息系统安全专用产品销售许可证》 产品获得《国家信息安全测评信息技术产品安全测评证书》级别EAL3+; 产品获得《IT产品信息安全认证证书》 产品获得《CNNVD兼容性认证》; 以上证书或者证明要求提供加盖原厂商公章的相关证书或者证明复印件。 | ê产品应该是被广泛应用的成熟产品,在国内市场具有较高的市场份额,市场占有率排名在不应低于前3名。须提供IDC出具的市场占有率排名有效证明材料。2. 产品要求为国内开发,具备自主知识产权,并经过十年以上应用检验,提供销售许可证证明。(提供相应要求提供加盖原厂商公章) | 厂商资质 | ê设备制造厂商应是微软MAPP(Microsoft Active Protection Program)计划战略合作伙伴。以上证书或者证明要求提供加盖原厂商公章的相关证书或者证明复印件。 | ê厂商应具备足够的信息安全服务技?实力及安全服务保障能力,获得中国信息安全测评中心颁发的信息安全服务安全工程类三级资质证书。厂商须具备业安全漏洞研究团队,能够独立发现Microsoft、HP、CISCO、SUN、Juniper等国际著名厂商的重大安全漏洞,须提供自2000年开始发现的漏洞列表。厂商官方站点需要有公开的漏洞库(不少于40000条),并提供网站截图说明,并提交详细的漏洞库说明。 |
五. 协助提供等保检查服务需指派一名具有丰富等级保护测评和实施经验的工程师担任检查组长,由该组长带队配合区网安大队对全辖区内所有需要落实等保的重要信息系统的单位进行不少于两次的等级保护落实情况检查,并为各单位如何落实好等保工作提供政策解读和具体的指导工作。每次检查结束后,为各被检查单位出具一份详实的现场检查工作报告,对现场检查过程中发现的问题、风险和弱点整理成<风险隐患告知书>,指导用户落实整改工作。在每次现场检查期间,技术支撑小组必须对被检查单位做好一系列的摸底工作,对互联网段的系统应提前做好渗透工作,现场检查期间提供渗透报告。 针对海曙辖区内需要开展等保的企事业单位,提供等保相关的系统定级、定级报告撰写咨询、定级指导、测评流程、等保建设过程等相关的咨询和指导工作,让有需要开展等保的机构可以快速有序的开展落实等保工作。 六. 应急服务u 投标人应对采购方突发的重大安全事件,提供7*24小时响应,在服务期内,发生或可能发生安全事件时,需委派专业技术人员提供快速响应并到达现场(0.5小时内响应,1小时内派专业技术人员到达用户现场),协助进行安全事件处理,采取紧急措施,恢复业务到正常服务状态;调查安全事件发生的原因,避免同类安全事件再次发生;提供数字证据。当事件处理结束后,出具报告。 u 投标人需具有协调相关部门的能力。 u 投标人需对各类安全事件严格保密,未经许可,不得对外透露相关安全事件信息。应急响应无次数限制。 u 应急响应服务时间要求:
级别 | 事件定义 | 电话响应时限 | 现场响应时限 | 专家响应时限 | 紧急 | 网站被篡改或被攻击,网站被仿冒;某个业务全部瘫痪,重要数据丢失或被篡改,核心网络流量严重异常或瘫痪等。 | 15分钟 | 2小时 | 1小时 | 严重 | 某个业务部分不可用,某个区域出现流量严重异常或瘫痪,安全设备硬件故障造成网络中断,网站访问速度严重变慢等。 | 15分钟 | 4小时 | 2小时 | 一般 | 业务使用存在异常,某个区域出现流量异常,发现安全漏洞隐患未进行修补的,病毒事件以及其他一般事件。 | 30分钟 | 6小时 | 4小时 |
七. 辅助案件查办配合宁波市公安局海曙分局网安大队对管辖范围内机构单位的安全事件,提供辅助查办的工作方案,协助案件查办工作;同时配合宁波市公安局海曙分局网安大队进行抽查工作,并提供相关报告。 八. 重要历史时期现场值守服务在重要的时期(如国庆安保值守、两会保障等)投标人应委派专人派驻宁波市公安局海曙分局网安大队现场对重要单位提供现场应急队伍保障服务。 重要时刻应急保障要求如下: 工作要求 | 1、遵守用户方工作及作息时间安排,服务过程认真负责细致入微; 2、值守人员听从用户方工作人员安排,协调好工作; 3、应急保障时间内需每日两次填写工作日志; 4、具体事项负责人要求24小时手机开机; 5、各当日应急保障人员要求24小时手机开机; 6、下一班人员到岗后,填写交接单后才能离开现场 | 值守人员要求 | 需与用户方办理保密协议,进驻现场; 具有2年及以上信息安全行业工作经验; 具备信息安全服务个人资质(CISP或CISSP资质)。 | 值守时间要求 | 按照用户需求 |
九. 网站建设服务依据需求,提供相应网站安全建设服务。 十. 服务要求服务人员需要严格按照要求的相关安全服务规范开展工作,包括制定服务计划、编写方案、执行安全评估并提交相关报告、协助开展工作等,具体要求如下: u 服务人员每次进行扫描之前必须要提供相应的方案并与宁波市公安局海曙分局网安大队充分沟通,在宁波市公安局海曙分局网安大队许可的时间、环境下由经验丰富的技术人员进行,以确保系统的安全稳定运行。 u 服务人员在服务期内的所有过程文档、原始数据、扫描报告、正式报告等必须进行电子和纸制双重归档,在项目结束后全部移交宁波市公安局海曙分局网安大队。 u 针对应急响应服务,要求提供详细的应急响应服务机制,包括事件定级、应急流程、事件升级和扩大应急流程等。 u 服务方及人员须对本次安全服务项目实施过程的数据和结果数据严格保密,未经授权,不得泄露给任何其它单位和个人,同时应在项目结束之后销毁所有和本项目有关的数据和文档。 u 采购方有权要求在中标公示期内对中标方使用的安全工具进行招标要求中的功能进行测试验证,如测试不合格招标要求,将上报采购监管部门处理,并保留追究相关法律责任的权利。 | 
