《第四章服务需求书.docx》由会员分享,可在线阅读,更多相关《第四章服务需求书.docx(5页珍藏版)》请在第一文库网上搜索。
1、第四章服务需求书一、项目概述随着博物馆信息化工作不断深入、信息化网络基础设施建设的不断完善,信息化已经成为首都博物馆履行职能、提高服务水平、增强执政能力不可或缺的重要手段。首都博物馆信息化系统包括办公自动化系统、多媒体影像采集与存储系统、文化遗产管理系统、网站后台管理系统等业务应用系统10余个、硬件设备约150台套、第三方支撑软件10余套,馆内网络终端数量达500余个。近年来网络安全被提高到国家安全层面,作为市政府重要的文化接待场所、市民休闲中心,首都博物馆的网络和系统安全稳定运行十分重要,这不但需要专业的运维技术手段来保障,更需要专业的服务管理来支撑。因此,为了保障首都博物馆网络信息资源与系
2、统安全稳定运行,通过安全合规性检查及渗透测试等技术手段来发现首都博物馆信息系统中存在的不确定性风险并及时进行修正,不断巩固、完善和提升系统的可用性和安全性。二、采购内容信息部通过技术外包服务项目的开展,将有效地挖掘信息化工作中潜在的安全风险,防范信息安全事件发生,为下一步工作的制定、开展提供合理、准确的数据信息。开展安全合规性检查及渗透测试服务项目需参照国内相关标准以及国际先进的技术服务,结合信息部的实际情况,完善具有首都博物馆特色的技术服务管理体系;为逐步达到此目的,拟从如下几个方面开展工作:(-)主机漏洞扫描,通过已知安全漏洞对首都博物馆信息系统所涉及的主机系统、应用系统及数据库系统漏洞进
3、行比对分析,发现操作系统、中间件、数据库、网络系统等存在的漏洞风险,形成漏洞排查报告并提供相应解决方案,保障主机安全稳定运行;(二)安全合规性检查,按照国家网络安全法及等级保护标准要求,结合首都博物馆信息系统现状建立、完善信息系统安全基线,以安全基线为基础对首都博物馆信息系统中的物理环境安全、网络安全、数据安全、信息资产分级化管理、信息安全事件管理、第三方安全管理进行合规性检查,检查结果将记录在首都博物馆信息系统隐患排查库中,同时给出隐患处置建议及解决方案,为后继采取安全控制措施提供有效决策依据;协助首都博物馆团队进行后续整改;(三)渗透测试服务,对首都博物馆业务系统开展一次完整的渗透测试工作
4、,全面挖掘首都博物馆应用系统中存在的潜在风险,发现应用系统最脆弱环节。提供完善的安全解决方案,并指导研发团队进行整改,协助首都博物馆提升抵御非法攻击的能力,保障应用的安全稳定运行;(四)建设、完善安全应急管理体系,在现有管理制度体系下协助首都博物馆建立、完善安全事件应急管理体系,应急事件管理流程、完善应急响应预案等,协助首都博物馆完成以此应急演练工作,保障首都博物馆在处理应急事件时能够及时有效采取防护措施;(五)安全隐患库建设,根据首都博物馆现有整体系统情况制定安全隐患库,建立安全隐患排险机制,加强首都博物馆信息系统安全风险预警能力,对已知隐患做出及时采取应对措施。(六)软硬件及信息系统安全巡
5、检服务,根据首都博物馆信息系统整体安全状态,服务周期内协助首都博物馆团队完成每季度一次的安全巡检服务工作,加强首都博物馆信息系统安全防控能力,并提交季度、年度安全巡检报告。三、项目交付1 .对首都博物馆网络安全开展漏洞扫描后,形成漏洞分析报告。2 .参照二级或三级等级保护标准、风险评估标准等,建立首都博物馆信息系统安全基线基础。对首都博物馆实际使用场景完成安全合规性检查后,形成合规性检查报告。3 .根据渗透测试结果,形式渗漏测试报告。4 .协助首都博物馆建立应急事件处置预案、完成应急演练,并形成一套完整的应急处理预案文档。5 .建立首都博物馆信息系统安全隐患库(电子版)。6 .每季度执行一次安
6、全巡检,并编制安全巡检报告,年度出具安全巡检总体报告。7 .工作清单参考附表一。四、验收与交付方式:(一)验收方式:专家评审会(二)项目可交付成果验收标准:1、本项目验收报告所涉及范围需涵盖合同范围内容全部设备;2、报告需遵循国家相关要求及标准;3、文档格式及检查内容需符合等级保护标准要求。五、服务期:从合同签订日起一年内完成项目工作。附表一:工作清单(包括但不仅限于以下范围)序号项目名称数量说明-主机漏洞扫描1主机系统漏洞扫描15利用工具确定在目标网络上的主机漏洞数量2开放端口扫描15发现远程主机开放的端口以及服务3分析主机漏洞1分析漏洞类型及影响程度定义漏洞危险级别4数据库系统漏洞扫描4发
7、现数据库系统存在安全漏洞,分析漏洞类型及影响程度5网络系统漏洞扫描60发现网络系统和安全设备中存在安全漏洞,分析漏洞类型及影响程度6编制漏洞分析报告1根据分析结果形成漏洞分析报告二安全合规性检查2019年业务系统涉及主机、数据库、交换机、路由器、防火墙、负载均衡等设备数量合计约60台设备;1系统调研建立安全基线5根据系统调研结果,结合等级保护标准建立主机安全基线、数据安全基线、网络系统安全基线、中间件安全基线和管理制度安全基线2应用层检查10第一层是应用层检查,主要是根据不同应用系统的特性,定义不同安全防护3功能架构层检查60第二层是功能架构层检查,将应用系统分解为相对应的应用系统、数据库、操
8、作系统、网络设备、安全设备等不同的设备和系统模块,这些模块针对应用层定义的安全防护要求细化为此层不同模块应该具备的基线检查4系统实现层检查6第三层是系统实现层检查,将第二层模块根据业务系统的特性进一步分解,将操作系统可分解为Windows、1inUX等系统模块,网络设备分解为华为路由器、CiSCo路由器等系统模块。这些模块中又具体的把第二层的安全防护要求细化到可执行和实现的要求,称为WindOWS安全基线、路由交换安全基线等。5编制安全基线检查报生1根据等级保护标准、风险评估标准集合首都博物馆实际使用场景编制安全基线检查报告,形成各类安全基线三渗透测试服务1信息收集10扫描爬虫、搜索引擎、Dn
9、s及域名信息、github导致的信息泄露、邮件服务器暴力破解与弱口令、域名安全导致的安全问题、企业高层人员敏感信息泄露、普通用户敏感信2网络安全10漏洞扫描、拒绝服务漏洞、暴力破解、版本较低、补丁未及时修复、配置不当3系统安全10ssh、mysqksvnredis等服务弱口令与暴力破解,系统服务补丁不全导致的安全问题,运维配置不当,未授权访问与敏感信息泄露,服务器端口扫描4应用安全10SQ1注入漏洞、命令执行、xss跨站脚本漏洞、设计缺陷、配置缺陷、未授权访问、逻辑问题、文件任意上传、csrf漏洞、拒绝服务漏洞、任意文件读取、文件包含、后台暴露、后台弱口令、接口暴力破解、越权漏洞5数据库安全1
10、0Sq1注入、命令执行、版本较低、补丁未及时修复、配置不当6数据安全10资产泄露、信息泄露、未经授权访问、越权访问7中间件安全10对中间件的具体渗透包括web1ogic、webspere等8安全威胁及影响测试10手工猜解印证各安全威胁及影响,登陆认证、认证授权、接口调用中的应用安全、访问控制9编制渗透测试报告1编制并输出渗透测试报告四建立完善安全应急管理体系1梳理安全应急流程、组织结构、物资等10对首都博物馆现有管理体系的安全应急事件处置流程进行梳理,结合应急流程对应急体系中组织结构、工作流程、以及相关物资备件进行梳理2编制安全应预案15根据首都博物馆实际情况,编写应急事件处置预案3编制应急演练脚本2应急演练前准备,设计演练场景、编写应急演练脚本、应急演练预案、应急工具准备等4应急演练执行1应急演练执行5编写应急演练报告1完成应急演练工作,编制应急演练报告五建立安全隐患库1隐患排查10根据首都博物馆实际需求,年度至少执行两次隐患排查工作,如:两会前、国庆前2安全隐患分析6对隐患排查结果进行分析,分析隐患发生概率并对应安全隐患库进行更新3安全隐患趋势分析报告1编制安全隐患趋势报告