面对当前信息系统安全面临的复杂、严峻形势,基础信息网络和重要信息系统一旦出现大的信息安全问题,不仅仅影响本单位、本行业,而是直接威胁社会稳定、经济发展甚至国家安全。因此,XXX 信息系统有必要进一步完善和加强信息安全保障体系。信息安全建设重在安全保障体系的建设,它是一个循序渐进、不断完善的过程,较好的方式是信息安全建设与系统建设同步规划、同步设计。同时,结合等级保护标准,逐步完善和加强安全保障体系建设,与信息安全行业的领先者强强联合,引入专业的安全服务、先进的安全管理理念,有效控制和降低信息系统的安全风险。

本文和上文等级保护测评实施方案来源于公开发布的招标资料,发布在此仅做技术学习之用。

1 网络安全保障内容

网络安全等级保护测评后应提出相应整改措施,并进行为期 1 年的信息安全保障。内容包括:

序号服务名称网络安全保障内容主要内容范围服务频率
1渗透测试1)模拟可能使用的攻击技术和漏洞发现技术,对系统的安全作深入的探测,发现系统最脆弱的环节
2)对重庆防止返贫大数据监测平台的渗透测试服务工作,提供安全整改建议,协助业主单位修补安全漏洞。 全年检测量不少于 2 次
XXX 大数据监测平台2 次/年
2应急响应成立应急响应团队,并提供应急响应联系方式,包括团队负责人、现场工程师和技术专家等。应急响应团队须提供 7×24 小时×365 天的应急响应服务。在系统出现安全险情时刻,第一时间派遣工程师协助用户方解决紧急安全事件,控制事态发展;及时恢复受危及的系统,保护应用的正常工作;提供事后分析,排查安全问题、寻找攻击者的蛛丝马迹、分析黑客攻击原理;找出系统的安全漏洞、提出遗留问题解决方案;根据出现的问题及时调整安全策略。业主单位全网全年按需服务
3应急演练协助业主单位开展应急演练工作,制定应急演练方案,实施应急演练计划,根据演练结果调整应急预案业主单位全网1 次/年
4监测服务1)提供该站可用性监测以及 DNS 域名解析异常监测服务
2)提供该站页面的挂马、黑链、篡改、敏感内容分级监测(监测页面数最多不超过 50 个)
3)当有站点可用性、DNS 域名解析事件、挂马事件、黑链事件、篡改事件、敏感内容事件发生时,通过邮件、短信、电话通知用户
XXX 大数据监测平台7*24 小时*365 天
5培训提供信息安全意识培训,了解现有制度标准,强化员工安全意识,理解安全问题的重要性,掌握工作中的基本安全知识和安全技能业主单位全网1 次/年

1.1 渗透测试

结合自动测试和人工测试两种结果编制渗透测试报告,经采购人整改加固后进行回归测试,复测结束后提交复测报告。

服务项渗透测试工作描述
测试方式模拟真正的黑客入侵攻击方法,以人工渗透为主,辅助以攻击工具的使用,
保证整个渗透测试过程在可以控制和调整的范围之内
测试内容针对信息系统进行信息泄露测试、溢出攻击测试、跨站脚本攻击测试、SQL 注入测试、
Cookie 欺骗测试、特定错误页面检测等渗透测试内容
测试原则对信息系统的渗透测试工作应遵循如下原则进行:
1)渗透测试只是从技术层次对目标系统进行测试,不使用社会工程等非技术性手段
2)渗透测试使用的工具为渗透测试专用工具和可信的免费工具的集合
3)渗透测试可涵盖现有的攻击手段
4)渗透测试不得影响系统的正常运作和业务应用
5)在测试完成后,恢复系统的状态,不允许在系统中留下后门

1.2 应急响应服务

提供现场或非现场应急响应服务,技术人员详细了解掌握事件发生的始终、现状、可能的影响,对事件进行详细分析,提供事件处理建议,并协助采购人解决事件。事件处理结束后,技术人员整理事件分析、处理过程记录和相关资料,撰写应急响应服务记录报告。对于大型、复杂的应急响应过程还需进行整体事件处理的汇报工作。

服务项应急响应服务描述
故障情况通知及确定对紧急安全事件提供安全响应热线电话/手机和客户专用的 Email 联系方式。 供应商应在接到采购人紧急安全响应请求后的 30 分钟内,通过电话、专用 Email 或远程监测等多种方式,确定故障类型,定义故障等级。
响应支持针对可通过电话或网络方式远程支持解决的重要故障,供应商在故障等级情况确定后应尽快从远程帮助采购人修复系统,解决故障,使故障造成的损失减小到最小。 针对紧急安全响应请求后的 30 分钟内,在远程不能确定安全故障类型或故障情况严重不能通过远程解决的情况下,供应商应安排工程技术人员到达现场解决问题。
安全故障解决安全故障解决需遵循以下流程: 故障诊断,对故障情况作诊断,记录,分析; 故障修复,尽可能减少安全故障造成的损失,并修复系统; 系统清理,对安全故障发生的系统作系统完整性审计、系统安全检查、清理; 系统防护,对安全故障发生过的系统增加、加强安全保护措施; 证据收集,对由于安全故障造成的入侵记录、破坏情况、直接损失情况收集证据;
故障处理响应级别故障级别 故障现象 处理时限 1 级故障 系统正常运行中出现整机系统瘫痪或服务中断,导致系统基本功能不能实现或全面退化的故障 1 小时 2 级故障 系统正常运行中出现的故障具有潜在的系统瘫痪或服务中断的危险,并可能导致系统的基本功能不能实现或全面退化 2 小时 3 级故障 系统正常运行中出现的影响业务、并导致系统性能或服务部分退化的故障 4 小时 4 级故障 (非故障) 咨询类问题或系统正常运行及安装过程中,用户对功能、配置等方面需要的信息和需求,对系统正常运行几乎无影响 8 小时
应急响应服务报告针对在紧急安全响应服务的所遇到的安全问题、安全事故处理过程、处理结果,供应商应在 24 小时汇总形成应急响应服务结果报告。

1.3 应急演练服务

制定应急演练计划和应急响应处置方案,协助业主单位开展安全攻防演练及应急演练。

1.4 监测服务

为贯彻落实《网络安全法》等相关规定,完善网络安全监测通报机制,提升采购人各网站安全监测与处置能力,确保网站安全,对重庆防止返贫大数据监测平台提供为期 1 年的网站安全监测服务。

序号服务范围监测服务详细服务内容服务期
1XXX 大数据监测平台1、提供该站每季度一次的 Web 漏洞扫描、系统漏洞扫描服务。 2、漏洞扫描后提供详细漏洞的描述及漏洞处置建议。 3、漏洞扫描后提供对中高危漏洞的验证及修复漏洞后的验证服务。 4、提供该站可用性监测以及 DNS 域名解析异常监测服务。 5、提供该站页面的挂马、黑链、篡改、敏感内容分级监测(监测页面数最多不超过 50 个)。 6、当有站点可用性、DNS 域名解析事件、挂马事件、黑链事件、篡改事件、敏感内容事件发生时,通过邮件、短信、电话通知用户。一年

1.5 安全培训

提供信息安全意识培训,了解现有制度标准,强化员工安全意识,理解安全问题的重要性,掌握工作中的基本安全知识和安全技能。

2 网络安全人员保障

供应商必须为本项目成立安全服务小组小组,服务人员均具有公安部认证的测评师证书,持证上岗。参与测评工作的持证测评人员至少 5 人构成(其中高级测评师和中级测评师各不少于 1 人)。(须提供测评小组名单并提供相应资质证明复印件)

为更好的向采购人提供服务,确保服务期间各类技术突发紧急事件得到及时有效的处置,针对本项目供应商在重庆本地须有常设机构或售后服务机构,提供在渝 10 人(测评师)及以上连续 3 个月以上的在渝社保缴纳证明。

采购人将全程对服务项目组人员进行考核,达不到采购人要求的将要求替换。如进行人员替换后仍无法达到采购人要求,采购人将有权终止合同。

3 项目成果报告要求

该项目的报告文档可能包括以下清单中的全部或部分文档,这将根据实际情况进行确定,其中某些文档可能合并输出。报告包括但不限于:

  1. 重庆防止返贫大数据监测平台《渗透测试报告》
  2. 重庆防止返贫大数据监测平台《主机安全漏洞扫描报告》(季度)
  3. 《安全事件处置工作报告》
  4. 《应急演练计划和方案及其过程文档》
  5. 重庆防止返贫大数据监测平台《监测报告》(季度)
  6. 安全培训 PPT
目 录
  1. 1 网络安全保障内容
  2. 2 网络安全人员保障
  3. 3 项目成果报告要求

相关文章

  • 网络与信息安全管理制度(简版)

    网络与信息安全管理制度(简版)

    根据众平科技的经验,在一个基本的网络信息系统中,造成信息泄露或损害的原因,更多的是系统运维制度和人员的缺失,是网络安全体系的建设不足,相对而言其实网络信息安全设备更多的是个辅助。 本文是一个简版的网络与信息安全管理制度,内容比较少,但该有的都有了,各位在参考使用时注意把内文所涉用户信息删除。整理不易,投个币再下载吧,相关文章: 网络安全管理制度 网络机房管理制度 监控中心管理制度 信息系统建设的安全机制建设 网络与信息安全管理制度(简版) 第一章 目的 第一条 为规范重庆市 XX 网络信息系统安…

  • 信息安全管理岗位人员管理制度

    信息安全管理岗位人员管理制度

    为防止品质不良、技能欠佳的人员进入重庆 XX 中学从事信息岗位,降低职工因信息系使用不当所带来的差错、欺诈及滥用设施的风险,减少人员对于信息安全保密性、完整性、可用性的负面影响,特制定本制度。 第一章 目的 第一条 为防止品质不良、技能欠佳的人员进入重庆 XX 中学从事信息岗位,降低职工因信息系使用不当所带来的差错、欺诈及滥用设施的风险,减少人员对于信息安全保密性、完整性、可用性的负面影响,特制定本制度。 第二章 范围 第二条 本规定适用于重庆 XX 中学信息系统岗位人员的聘用、任职、离职的安全…

  • 智慧医院建设项目解决方案:CA数字签名系统

    智慧医院建设项目解决方案:CA 数字签名系统

    为保障医院电子病历系统、住院系统、门诊系统、医学影像系统、实验室系统等系统的业务信息安全,需依据《卫生系统电子认证服务管理办法(试行)》及相关标准规范要求,建立全院统一的电子认证服务体系和业务应用安全支撑体系,实现“可信身份、可信数据、可信行为、可信时间”的目标,保证电子病历的真实可信和合法有效性。 本系列文章分享一个比较新(2023y)的智慧医院建设方案,原文系重庆某区县大三甲医院的智慧医院建设项目的真实案例,本篇介绍智慧医院中的安全系统部分。智慧医院建设项目文章列表: 建立我院统一的电子认证…

  • 重庆市针对“重要网络与信息系统”密码应用提出明确要求

    重庆市针对“重要网络与信息系统”密码应用提出明确要求

    本文为重庆市密码管理局公文:关于进一步规范全市重要网络与信息系统密码应用有关要求的通知。通过对本通知内容的阐述,我们可以清晰地看到为规范全市重要网络与信息系统密码应用与安全性评估工作所做的周密安排和具体要求。从项目的规划阶段到建设阶段,再到运行阶段,并且考虑到集约建设与经费保障的每个环节,本通知为确保网络与信息系统安全提供了一份详细可行的操作指南。这一系列措施不仅有助于提升我市密码应用的安全性和合规性,同时也标志着我市在网络与信息安全领域迈出了坚实的步伐。 随着政策的进一步实施,预计将极大提高公…

  • 设备入网安全检查办法,入网检查清单

    设备入网安全检查办法,入网检查清单

    为减少新入网用户的计算机可能带来的风险, 全面保办公室计算机网络的安全,特对办公室新入网用户的计算机做安全检查。 第二章 范围 第二条 新入网用户包括 第三章 管理细则 第三条 对新入网用户的计算机检查的主要项目包括: 第四条 检查系统关键补丁 关键补丁检查主要检测系统是否开启了“自动更新补丁” 选项,如果目标系统未及时安装补丁,可能随时导致系统漏洞被恶意程序利用,最终导致恶意程序在局域网内传播,干扰正常用户。 第五条 检查恶意插件与木马 使用 XXXX 对系统进行完整的恶意插件与流行木马检查。…

  • 简单的网络安全服务方案模板下载(安全服务报价建设&报价方案)

    简单的网络安全服务方案模板下载(安全服务报价建设&报价方案)

    本次分享一个简单的、明确的、实用的网络安全服务方案模板,涉及到具体的网络安全服务内容和服务报价需要进一步修改,切勿完全照抄搬用。本站在网络分享时为了可读性,删减了部分内容、更改了序号,原文档请下载附件。 随着数字化时代的无缝延展,网络安全已成为国家治理的一个关键块面。从习近平主席在中央网络安全和信息化领导小组第一次会议上强调“没有网络安全就没有国家安全”的战略视角出发,我国密集推出了一系列立法举措,旨在建立一套健全的网络安全法律体系,从网络运营安全、个人信息保护、数据安全管理各个维度筑牢网络安全…

- 联 系 我 们 -

+86 186-2315-0440

在线咨询:点击这里给我发消息

电子邮箱:i@zzptech.com

工作时间:7*24h,全年无休

关注微信