XXX信息系统网络安全服务内容和技术要求

面对当前信息系统安全面临的复杂、严峻形势，基础信息网络和重要信息系统一旦出现大的信息安全问题，不仅仅影响本单位、本行业，而是直接威胁社会稳定、经济发展甚至国家安全。因此，XXX 信息系统有必要进一步完善和加强信息安全保障体系。信息安全建设重在安全保障体系的建设，它是一个循序渐进、不断完善的过程，较好的方式是信息安全建设与系统建设同步规划、同步设计。同时，结合等级保护标准，逐步完善和加强安全保障体系建设，与信息安全行业的领先者强强联合，引入专业的安全服务、先进的安全管理理念，有效控制和降低信息系统的安全风险。

本文和上文等级保护测评实施方案来源于公开发布的招标资料，发布在此仅做技术学习之用。

1 网络安全保障内容

网络安全等级保护测评后应提出相应整改措施，并进行为期 1 年的信息安全保障。内容包括：

序号	服务名称	网络安全保障内容主要内容	范围	服务频率
1	渗透测试	1）模拟可能使用的攻击技术和漏洞发现技术，对系统的安全作深入的探测，发现系统最脆弱的环节 2）对重庆防止返贫大数据监测平台的渗透测试服务工作，提供安全整改建议，协助业主单位修补安全漏洞。全年检测量不少于 2 次	XXX 大数据监测平台	2 次/年
2	应急响应	成立应急响应团队，并提供应急响应联系方式，包括团队负责人、现场工程师和技术专家等。应急响应团队须提供 7×24 小时×365 天的应急响应服务。在系统出现安全险情时刻，第一时间派遣工程师协助用户方解决紧急安全事件，控制事态发展；及时恢复受危及的系统，保护应用的正常工作；提供事后分析，排查安全问题、寻找攻击者的蛛丝马迹、分析黑客攻击原理；找出系统的安全漏洞、提出遗留问题解决方案；根据出现的问题及时调整安全策略。	业主单位全网	全年按需服务
3	应急演练	协助业主单位开展应急演练工作，制定应急演练方案，实施应急演练计划，根据演练结果调整应急预案	业主单位全网	1 次/年
4	监测服务	1）提供该站可用性监测以及 DNS 域名解析异常监测服务 2）提供该站页面的挂马、黑链、篡改、敏感内容分级监测（监测页面数最多不超过 50 个） 3）当有站点可用性、DNS 域名解析事件、挂马事件、黑链事件、篡改事件、敏感内容事件发生时，通过邮件、短信、电话通知用户	XXX 大数据监测平台	724 小时365 天
5	培训	提供信息安全意识培训，了解现有制度标准，强化员工安全意识，理解安全问题的重要性，掌握工作中的基本安全知识和安全技能	业主单位全网	1 次/年

1.1 渗透测试

结合自动测试和人工测试两种结果编制渗透测试报告，经采购人整改加固后进行回归测试，复测结束后提交复测报告。

服务项	渗透测试工作描述
测试方式	模拟真正的黑客入侵攻击方法，以人工渗透为主，辅助以攻击工具的使用，保证整个渗透测试过程在可以控制和调整的范围之内
测试内容	针对信息系统进行信息泄露测试、溢出攻击测试、跨站脚本攻击测试、SQL 注入测试、 Cookie 欺骗测试、特定错误页面检测等渗透测试内容
测试原则	对信息系统的渗透测试工作应遵循如下原则进行： 1）渗透测试只是从技术层次对目标系统进行测试，不使用社会工程等非技术性手段 2）渗透测试使用的工具为渗透测试专用工具和可信的免费工具的集合 3）渗透测试可涵盖现有的攻击手段 4）渗透测试不得影响系统的正常运作和业务应用 5）在测试完成后，恢复系统的状态，不允许在系统中留下后门

1.2 应急响应服务

提供现场或非现场应急响应服务，技术人员详细了解掌握事件发生的始终、现状、可能的影响，对事件进行详细分析，提供事件处理建议，并协助采购人解决事件。事件处理结束后，技术人员整理事件分析、处理过程记录和相关资料，撰写应急响应服务记录报告。对于大型、复杂的应急响应过程还需进行整体事件处理的汇报工作。

服务项	应急响应服务描述
故障情况通知及确定	对紧急安全事件提供安全响应热线电话/手机和客户专用的 Email 联系方式。供应商应在接到采购人紧急安全响应请求后的 30 分钟内，通过电话、专用 Email 或远程监测等多种方式，确定故障类型，定义故障等级。
响应支持	针对可通过电话或网络方式远程支持解决的重要故障，供应商在故障等级情况确定后应尽快从远程帮助采购人修复系统，解决故障，使故障造成的损失减小到最小。针对紧急安全响应请求后的 30 分钟内，在远程不能确定安全故障类型或故障情况严重不能通过远程解决的情况下，供应商应安排工程技术人员到达现场解决问题。
安全故障解决	安全故障解决需遵循以下流程：故障诊断，对故障情况作诊断，记录，分析；故障修复，尽可能减少安全故障造成的损失，并修复系统；系统清理，对安全故障发生的系统作系统完整性审计、系统安全检查、清理；系统防护，对安全故障发生过的系统增加、加强安全保护措施；证据收集，对由于安全故障造成的入侵记录、破坏情况、直接损失情况收集证据；
故障处理响应级别	故障级别故障现象处理时限 1 级故障系统正常运行中出现整机系统瘫痪或服务中断，导致系统基本功能不能实现或全面退化的故障 1 小时 2 级故障系统正常运行中出现的故障具有潜在的系统瘫痪或服务中断的危险，并可能导致系统的基本功能不能实现或全面退化 2 小时 3 级故障系统正常运行中出现的影响业务、并导致系统性能或服务部分退化的故障 4 小时 4 级故障（非故障）咨询类问题或系统正常运行及安装过程中，用户对功能、配置等方面需要的信息和需求，对系统正常运行几乎无影响 8 小时
应急响应服务报告	针对在紧急安全响应服务的所遇到的安全问题、安全事故处理过程、处理结果，供应商应在 24 小时汇总形成应急响应服务结果报告。

1.3 应急演练服务

制定应急演练计划和应急响应处置方案，协助业主单位开展安全攻防演练及应急演练。

1.4 监测服务

为贯彻落实《网络安全法》等相关规定，完善网络安全监测通报机制，提升采购人各网站安全监测与处置能力，确保网站安全，对重庆防止返贫大数据监测平台提供为期 1 年的网站安全监测服务。

序号	服务范围	监测服务详细服务内容	服务期
1	XXX 大数据监测平台	1、提供该站每季度一次的 Web 漏洞扫描、系统漏洞扫描服务。 2、漏洞扫描后提供详细漏洞的描述及漏洞处置建议。 3、漏洞扫描后提供对中高危漏洞的验证及修复漏洞后的验证服务。 4、提供该站可用性监测以及 DNS 域名解析异常监测服务。 5、提供该站页面的挂马、黑链、篡改、敏感内容分级监测（监测页面数最多不超过 50 个）。 6、当有站点可用性、DNS 域名解析事件、挂马事件、黑链事件、篡改事件、敏感内容事件发生时，通过邮件、短信、电话通知用户。	一年