|
广州市少年宫采购领导小组办公室作为采购执行机构,就“广州市少年宫2019年信息安全保障服务网上询价项目”进行网上公开询价。具体要求如下:
一、项目编号:ZSSNG-WSXJ-BGS-2019-049
二、项目名称:广州市少年宫2019年信息安全保障服务的网上询价项目
三、项目内容:
1、安全扫描
1) 服务范围
综合管理应用系统、网站
2) 服务内容
定期对应用系统漏洞扫描,及时发现高危风险漏洞,发出安全预警和制定加固防御方案。
服务主要包括:
利用漏洞扫描软件对网络设备、操作系统的各类安全问题测试,测试内容包括共享目录、账户信息、账户口令、系统漏洞等系统基本信息进行扫描。
利用漏洞扫描软件对服务器运行的数据库系统进行安全测试,测试内容包括数据库帐户安全、漏洞测试等。
利用漏洞扫描软件针对服务器运行的应用系统进行安全测试,测试内容包括帐户安全、应用脚本安全测试。
通过漏洞扫描服务及时发现信息系统存在的各种安全隐患(网络结构、网络设备、服务器主机、操作系统、数据库和用户账号、口令等安全对象)和应用系统的漏洞。
3) 服务频率
每月一次
4) 服务成果
《安全扫描报告》
2、渗透测试
1) 服务范围
综合管理应用系统、网站
2) 服务内容
以手工测试为主,工具测试为辅,在授权和监督下对指定系统进行非破坏性质的攻击性测试,并对结果进行单独验证和交叉验证。测试对象以B/S架构为主,兼顾网络和操作系统。渗透测试实施前编写详细的实施方案和实施计划,用于指导和规范渗透测试工作,渗透测试完成后必须提交渗透测试报告,除了描述发现深层次的安全漏洞外,还需要详细描述入侵过程,获取渗透对象的重要数据等步骤。
渗透测试工作程序:
使用NMAP、whois、Trace、PING等工具和搜索方式对测试目标的存活情况、网络注册信息、域名等基础情况进行信息收集,为下一步渗透测试提供基础资料。
采用NMAP等扫描工具对测试目标的TCP/UDP端口进行扫描,以测试目标对外提供的应用服务。
通过获知的应用服务,测试人员将会根据已知服务初步判断可能存在、利用的安全弱点,为下一步渗透提供依据。
主要采用暴力破解工具:根据定义好的字典,对目标系统进行口令猜测。
口令猜解包括2个方面猜解:用户名猜解、密码猜解。
根据手头帐户信息及默认认证信息,手工登录尝试。认证测试主要为了验证受测系统是否存在管理、设计等方面的问题。
测试人员利用溢出工具对测试目标进行溢出测试的目的是,测试计算机程序的可更正性缺陷。
溢出测试包括远程溢出和本地溢出。
测试人员在外网通过溢出工具对测试系统边界设备或者系统内部服务器进行的溢出操作,通过远程溢出测试发现和验证目标系统是否存在严重的安全漏洞。
远程溢出测试主要根据目标系统软件版本存在的安全漏洞。
本地溢出测试指的是在测试人员获取了某个测试系统的一般账户之后,通过特殊的代码或者软件将一般账户的权限提升,以此获取更多的操作权。
本地溢出能够实现的关键是一般账户的获取,因此本地溢出测试可以发现目标系统在账户安全策略的安全弱点。
脚本注入测试主要针对WEB网站服务器和后台数据库,利用SQL注入、脚本代码、cookie等方式获取WEB目录的访问或者对后台数据库进行操作,以此来发现WEB网站在网站安全配置、数据库安全配置、网页代码等方面是否存在安全弱点。一般来说,脚本注入测试主要测试以下内容:测试网站验证模块是否能够让非法用户绕过认证;测试数据库接口模块是否存在非法用户通过数据库提供的某些接口进行系统操作;测试网站脚本代码是否存在通过提交自定义的URL(自定义的RUL往往含有特殊字符)来修改后他数据库;其他网站安全弱点。
3) 服务频率
每季度一次
4) 服务成果
《渗透测试方案》
《渗透测试报告》
3、网站监控
1) 服务范围
网站
2) 服务内容
- 监控网站的可用性,确保网站的可用性程度(监控频率:5分钟)
- 监控网站的响应时间(监控频率:5分钟)
- 监控网站的下载速度(监控频率:5分钟)
- 监控网站的HTML加载时间(监控频率:5分钟)
- 监控网站的服务器端口连通性(监控频率:5分钟)
- 监控网站的DNS劫持(监控频率:5分钟)
- 监控网站的首页敏感字和关键内容(监控频率:1小时)
- 监控网站的首页挂马(监控频率:1小时)
- 7x24小时远程人工值守验证服务
- 网站安全漏洞扫描、挂马扫描、疑似被篡改扫描
3) 服务频率
服务期内7×24小时全程监测。
4) 服务成果
《网站监控日报》
《网站监控月报》
4、应急演练
1) 服务范围
综合管理应用系统、网站
2) 服务内容
通过测试与演练工作,提高应急响应人员的应对信息安全突发事件的能力,及时发现各部门应急预案中可能存在的不足和缺失,并依此对预案及其管理系统进行持续的改进。应急演练内容如下:
- 制定应急演练计划;
- 应急演练流程、规范培训;
- 审核现有关键应用系统应急预案;
- 设计应急演练场景;
- 编制应急演练脚本;
- 应急演练执行
- 应急演练评价
- 应急演练总结
3) 服务频率
一年两次,一次桌面演练,一次实战演练
4) 服务成果
《信息系统应急演练方案》
《信息系统应急演练总结报告》
5、应急演响应
1) 服务范围
综合管理应用系统、网站
2) 服务内容
为保障业务安全稳定运行,确保在出现安全事件时有完善、有效的应急响应支持服务,提供的应急响应服务能对安全事件作出合理分析,及时处理安全事件。
安全事件是指信息系统中的计算机或网络设备系统的硬件、数据因非法攻击或病毒入侵等安全原因而遭到破坏、更改、泄漏造成系统不能正常运行,或已经发现的有可能造成上述现象的安全隐患,如非授权访问、信息泄密、系统性能严重下降、蠕虫或大面积爆发病毒等。
较大安全事件包括:
- 业务中断
- 大规模病毒爆发
- 网络瘫痪
- 主机或网络异常事件
- 数据丢失
- 涉密信息泄密
应急响应服务主要包括以下内容:
- 排查故障,隔离关键数据;
- 攻击手段分析,提供应急方案或工具软件;
- 定位攻击来源,提出安全建议;
- 数据及网络业务恢复。
3) 服务频率
按需
4) 服务成果
《应急响应事件处置报告》
6、应急预案开发及修订服务
1) 服务范围
综合管理应用系统、网站
2) 服务内容
立足于单位自身的安全管理及系统监测预警、应急处置能力的现状,协助客户建立、健全网络安全事件应急预案体系。通过分析应急响应需求、预案规划、编制、评审成果文档,确保应急预案体系的合规、完善以及可落地执行性。
3) 服务成果
一次性开发持续修订。
7、日志分析服务
1) 服务范围
综合管理应用系统、网站
2) 服务内容
对各网络设备、安全设备、服务器重要日志进行采集、分析,及时发现和快速定位各种异常行为事件,发现已知威胁及未知威胁。
3) 服务成果
《日志分析报告》。
8、风险评估服务
1) 服务范围
综合管理应用系统、网站
2) 服务内容
从业务风险管控和业务影响分析的角度,全面挖掘和掌握该系统面临的信息安全威胁和风险,并采取有效措施降低威胁事件发生的可能性或者其所造成的影响,减少信息系统的脆弱性,完善系统对业务的支撑能力,从而将风险降低到可接受的水平,持续优化完善系统支撑能力。
3) 服务成果
《风险评估报告》。
四、服务工具提供:
服务商为达到本项目的信息安全目标,应提供使用:网站监控工具、信息安全风险评估管理工具、安全运维公共服务管理工具、安全检测与加固软件和安全配置管控软件各 1 套外,其费用包含在项目总价里。
所有服务工具产生数据需电子化,可通过数据接口、数据导入等方式与中心网管监控运维平台系统进行数据集成,如涉及的数据电子化和数据接口开发、数据导入费用由投标人承担。
服务期过后,服务工具中的数据需保留给广州市少年宫,数据清除后服务工具返还服务商,确保数据的完整性和机密性。
为避免产权和使用权纠纷,投标人必须承诺在签订合同时,提供服务期内使用的软件产品和工具的知识产权证明或原厂商针对本项目的租赁(或购买)的相关证明文件原件送采购人审查核对,如不能提供原件或资料与投标文件不符,所产生的后果由中标人负责。
各工具具体参数要求如下:
1、网站监控工具
网站监控工具具有报警功能,实现网站可用性监控、及时准确的发现被 篡改的页面。通过架设网站监控平台,对网站的可用性、网页的完整性 进行远程监控,一旦发现网站某个网页被恶意篡改,能立即准确定位, 获得被篡改前后的内容对比,并可以及时发出警报,在第一时间通知相 关技术人员进行应急处理。
主要功能列表
| 
