1、 深圳市住房保障署信息安全项目招标书深圳市住房保障署2017 年 8 月2“深圳市住房保障署信息安全”项目招 标 书一、 项目背景为了进一步加强深圳市住房保障署网络信息安全的管理工作,保障各个信息系统安全稳定运行,预防重大网络安全事件的发生,落实年度信息安全联合检查工作和信息系统信息安全等级保护测评工作,现决定引入专业机构协同开展信息安全项目。二、 服务需求本次招标项目:深圳市住房保障署信息安全项目2.1 项目概况:为了规范深圳市住房保障署信息安全管理体系框架,落实各项网络安全工作,提高深圳市住房保障署单位人员信息安全意识,加强基础信息网络和重要信息系统的安全防护能力和水平,保障网络和信息系统
2、安全、稳定地运行,依据我国信息安全等级保护制度的相关规定,结合上级单位关于深圳市党政机关信息安全联合检查要求,组织开展安全制度落实、技术防护和安全保障的等各项工作,认真查找安全隐患和漏洞,完善各项防护措施,全面提高深圳市住房保障署信息安全风险管理水平。 2.2 项目目标和范围:依据我国信息安全等级保护标准、上级单位关于深圳市党3政机关信息安全联合检查要求,对采购方开展信息安全风险评估、安全管理制度落实、各项安全防护措施落实情况检查、应急响应机制建设、安全隐患排查及整改、信息安全教育培训、网站实时安全监控、信息安全等级保护测评以及重要信息系统的漏洞扫描、安全核查、渗透测试和安全加固等工作,落实和
3、完成采购方的的信息安全指标,持续保障采购方信息系统和网络安全稳定运行,防止重大安全事件的发生。本次项目涉及基础网络架构、重要信息系统、存储设施、安全防护设施和终端设备等 IT 资产。2.3 项目实施依据:1、2017 年深圳市党政机关信息安全联合检查工作方案2、深圳市人民政府信息系统安全检查办法(深府办2009138 号)3、信息安全等级保护管理办法(公通字200743 号)4、信息系统安全等级保护基本要求(GB/T22239-2008)5、政府信息系统安全检查办法(国办发200928 号)6、信息安全风险评估规范(GB/T20984-2007)7、深圳市信息安全风险评估实施指南8、深圳市关于
4、开展信息安全风险评估工作的实施意见(深科信2006268 号)9、 关于党政机关内网安全管理有关问题的通知(深办200855 号)10、深圳市政府网站建设和管理规范(SZDB/Z 502011)42.4 项目服务内容:为了从各个方面加强信息安全保障,全面提高采购方整体信息安全水平,本次项目的内容主要包括信息安全检查和运维保障、网站系统实时安全监控和信息安全等级保护测评等服务工作。2.4.1 信息安全检查和运维保障服务信息安全检查和运维保障服务根据国家信息安全相关法规、标准的要求,结合采购方的实际安全需求,主要包括信息安全风险评估、安全防护措施落实、安全加固与优化、信息安全管理制度梳理、应急响应
5、机制建设、信息安全培训教育和信息安全咨询服务等七大模块的服务,具体要求如下所述:序号 分类 描述 服务项目 服务内容 服务次数资产识别根据资产、业务流程的特性和重要程度对资产进行科学的分类(数据、服务、声誉、硬件和软件、通讯、程序界面、物理资产、支持设施、人员和访问控制措施等有形和无形资产),并参考CIA(保密性、完整性和可用性)进行价值分级和定量,以识别关键的信息资产。1 次/年威胁识别通过安全策略检查、文档查看、业务流程分析、网络拓扑分析、人员访谈、入侵检测系统收集的信息和人工分析等手段对可能潜在的威胁进行分类、分析和定性。1 次/年1信息安全风险评估根据信息安全技术信息安全风险评估规范(
6、GB/T20984-2007)、信息系统安全保护等级基本要求(GB/T 22239-2008)等相关标准,对采购方信息系统和IT 基础设施进行安全风险评估,包括明确风险评估范围、识别重要资产、识别脆弱性和威胁、现有安全控制措施、应用系统漏洞扫描、分析和计算风险状况、制定不可接受风险处置方案和风险评估报告和总结。脆弱性识别以资产为核心,针对每一项需要保护的资产、识别可能被威胁利用的弱点,并对脆弱性的严重程度进行评估,分析出有可能被潜在威胁源1 次/年5利用的系统缺陷或脆弱性列表,并对其进行分级。现有控制措施有有效性结合资产、威胁和脆弱性分析结果,对现有的预防性安全措施和保护性安全措施进行有效性测
7、试、评估。1 次/年风险分析资产-威胁- 脆弱性映射关系以及控制措施效果,分析存在的安全风险发生的可能性和影响。1 次/年风险计算以关键业务系统为关联要素,通过资产的价值、资产面临的威胁和存在的脆弱性三个方面的内容进行量化,统计分析风险值,评定业务系统所属的风险范围和等级。1 次/年风险结果与总结通过层面汇总分析和综合分析等过程找出信息系统的安全风险,识别影响系统安全保护能力的安全隐患,形成评估结论报告。1 次/年风险处置方案针对信息安全风险评估结果和存在的关键性问题,提出相应的不可接受风险处置建议和方案。1 次/年业务系统服务器漏洞扫描定期制定可行的漏洞扫描计划,并对所有业务系统使用的主机、
8、网络设备、应用中间件系统和数据库系统进行漏洞扫描和分析研判,出具相关的安全检测结果报告。1 次/季度外网站点应用层漏洞扫描定期对外网提供公众服务的站点进行应用层安全漏洞扫描,分析和研判误报,出具相关安全检测结果报告。1 次/季度外网站点渗透测试模拟黑客攻击手段,对外网站点进行可控的渗透测试,获取系统权限或找出系统的安全缺陷,以评估站点系统的安全性。2 次/年2安全防护措施落实服务根据深圳市党政机关内网安全加固工作方案、互联网安全保护技术措施规定、信息系统安全保护等级基本要求(GB/T 22239-2008)、信息系统和信息设备使用保密管理规定以及全国人民代表大会常务委员会关于加强网络信息保护的
9、决定等相关标准规范的要求,对采购方设施的漏洞扫描、应用系统检查、内网防病毒、安全审计、网站安全、防泄密、防恶意信息、非法外联和移动存储管外网应用系统信息传输与存储安全措施检查定期使用专业工具和方法对外网应用系统信息传输是否加密,加密强度是否符合标准要求,以及信息存储是否存在泄漏风险。1 次/年6社会公众服务应用系统公民个人信息保障措施检查定期评估涉及公民个人信息的公众服务应用系统在信息传输和存储方面的措施是否有效,是否足够防止信息的泄露、篡改和毁坏等情况的发生。1 次/年外网应用系统审计功能检查定期对外网应用系统审计功能有效性,完整性以及对审计日志进行综合分析。1 次/季度终端漏洞扫描定期对配
10、置了 IP 地址的终端设备,包括网络打印机等进行漏洞扫描,分析漏洞,并出具检测结果报告。1 次/季度恶意代码防范每月对内网防病毒系统查杀记录、病毒特征码更新、病毒传播趋势进行安全巡检和跟踪分析,不断优化配置策略。1 次/季度网络安全审计每月对网络安全审计设备运行状况、日志连续性进行巡检,并在需要的时候协助检查违规上网行为。1 次/季度防篡改每月对网页防篡改系统运行状况、日志连续性进行巡检。 1 次/季度防泄密每月协助对内网计算机有无违规使用无线设备、安装的安全保密监控软件是否有效等。1 次/季度计算机资产统计整理统计采购方在使用的计算机资产下列信息,包含:a)计算机主机名;b)计算机 IP 地
11、址;c)计算机 MAC 地址;d)计算机使用人或责任人;e)计算机所属部门;f)计算机的物理位置;g)服务器的内外网 IP 对应。1 次/年非法外联每月协助检查内网终端是否存在违规连接互联网的情况。 1 次/季度理安全防护措施情况的核查和落实。移动存储管理每月检查移动存储管理措施的有效性。 1 次/季度7上期联合检查问题整改对 2012 年度联合检查中存在的安全问题进行协助整改。 1 次/年上期不可接受风险整改对 2012 年度信息安全风险评估中发现的不可接受风险进行协助整改。1 次/年网络加固通过调整网络边界、重要节点的访问控制策略、网络架构优化、修复和升级网络设备 IOS、消除安全漏洞、配
12、置安全基线等方法加固网络层面的安全。1 次/季度主机加固通过加强系统恶意代码防范、系统安全防护措施、补丁和安全设置、系统安全策略检查等手段,加固和优化主机系统的整体安全;1 次/季度应用加固通过修补漏洞、增强安全配置、调整系统架构和提升安全策略等方式进行系统整体加固和安全优化,提高系统的安全性和抗攻击能力,将整个系统的安全状况维持在较高的水平,减少安全事件发生的可能性和可能造成的损失。1 次/季度应用中间件加固对各类网络应用服务平台中间件进行安全策略完善、安全设置、权限划分、访问控制等安全加固和修复。1 次/季度数据库加固通过加强用户授予库权限、系统密码策略、系统审计等安全配置、升级和修复数据
13、库系统安全漏洞。1 次/季度安全管理优化通过优化信息安全管理流程、明确管理职责、加强安全管理体系落实以及信息安全意识推广等方法提高采购方信息安全管理水平。1 次/季度3安全加固与优化服务通过信息安全风险评估、安全基线核查、漏洞扫描和渗透测试等技术手段全面的评估的结果,对发现的信息资产安全漏洞、隐患、威胁等进行整改和加固,提高采购方信息安全保障能力。终端安全优化对定期检测中发现终端设备安全漏洞和隐患提供整改和治理的咨询服务。1 次/季度4应急响应机制建设服根据信息系统安全保护等级基本要求(GB/T 22239-应急预案制定和修订根据采购方信息系统的安全状况、完善和修订安全事件应急预案,使之更适合
14、指导1 次/年8突发事件的处置流程。应急演练服务根据应急预案和当年业界发生的重大安全事件,提供整套的安全事件应急演练服务,包括提供演练方案、计划、资源配置、人员协同、结果报告和整改方案等。1 次/年应急响应支持对采购方 IT 基础设施和信息系统提供 7X24 小时的紧急响应服务,包括受到非法网络攻击、蠕虫病毒爆发、数据受到窃取和破坏的调查取证等方面的应急服务支持。7X24 小时应急响应技能培训对采购方信息技术人员提供专业的网络安全应急响应技能、技术的培训。2 次/年务2008)中关于应急响应机制建设的要求,包括应急预案制定和修订、应急预案演练、应急处置支持、灾备措施检查、应急团队建设咨询等工作
15、。安全值守在敏感时期增派 2 名以上专业安全工程师现场值守,协助监测采购方网络设施和信息系统安全运行状况,保障业务系统安全稳定运行。根据我方需求信息安全制度制定、优化及落实梳理和核查包括不限于以下各项信息安全管理制度及制度执行情况:a) 信息安全组织架构设置;b) 信息安全人员配备和岗位职责制定优化;c)信息系统的规划、建设、运维、废弃等环节的信息安全制度制定;d)信息安全制度执行情况记录。1 次/年信息安全管理体系落地a)建立适合我方实际的信息安全管理体系框架;b)评估和识别关键的业务处理流程、资产和岗位设置等;c) 实现安全体系文档化,管理流程化、绩效控制可量化和安全意识普及;1 次/年5
16、信息安全管理制度梳理根据信息系统安全等级保护基本要求(GB/T22239-2008)中信息安全管理和深圳市信息化主管部门关于信息安全工作的要求,对我院整个信息安全管理的方针、策略、制度、规程等进行体系化的梳理和核查,结合信息化实际情况进完成对信息安全管理体系规范的落实。外包服务管理a)对外包开发软件在投入使用前进行了全面的安全检测;不少于 4次/年9安全培训计划根据我方信息系统和人员的情况,设置合理的培训课程和培训计划。1 次/年安全意识培训主要讲办公电脑、平板、智能设备、移动存储设备等终端设备在使用互联网、内网网络的安全、保密意识和安全常识。2 次(每次培训时间不少于2 个小时)安全技能培训
17、主要讲解当前最新的安全技术、黑客攻击技术和手段,以及如何做好日常的各项防范工作。2 次(每次培训时间不少于2 个小时)6安全培训教育服务针对不同岗位和职责的人员提供不同培训内容,包括信息安全意识教育、网络攻防、应用安全开发和国家等级保护相关标准的培训。等级保护标准培训主要讲国家等级保护工作政策、行业标准、监管要求、最佳实践等方面的发展情况。1 次(每次培训时间不少于2 个小时)技术方案咨询对采购方信息系统的规划、设计、建设等技术方案的可行性、可靠性、安全性等提供专业咨询。安全风险控制咨询对采购方信息系统运行中各环节存在的安全风险控制方法、措施是否得当、有效提供专业咨询。7信息安全咨询服务根据国
18、家信息安全相关标准规范对采购方信息系统的规划、设计、建设、改造、验收、上线、运营以及废弃等阶段中涉及的安全问题提供顾问咨询服务。信息系统安全管理咨询对采购方信息系统上线、运营中的安全管理机制提供专业咨询。不限次数2.4.2 网站系统安全实时监控服务根据上级单位信息安全联合检查标准要求和深圳市政府网站建设与管理规范的相关要求,对网站系统运行状况、网页规范化、内容非法篡改、挂马、黑链等提供一年 7X24 小时安全监控,及时发现并协助我方进行处置。序号 描述 服务项目 服务内容 服务模式1对站点可用性、合规性、安全性等进行 7x24 小时监控网站运行状况监控对网站的网络响应时间、主机响应时间、页面响
19、应时间、数据库响应时间等相应指标对网站性能进行实时监控,以保障网站业务连续性和稳定性。7X24 小时10网站文字的不规范性/违规文字/页面内容恶意篡改监控对网站上不规范性文字库进行扫描监控,以达到不规范性文字的及时发现,同时可通过平台内动态丰富的违规文字库,对网站内页面上的违规内容进行动态监控,及时发现各种反动、色情、低俗等内容。7X24 小时网站内容的统一性监控通过业务内容录制工具,创建仿真模型,然后提交给仿真终端进行高频仿真。通过高频仿真对网站上来自其它服务器或其它数据通道的内容对比,查看两方的内容是否一致,以达到实现网站内容的统一性的目的。7X24 小时挂马检测/网页木马检测/黑链检测通
20、过在线服务平台的挂马特征库(云监控平台自学习系统动态增加挂马特征),对网页的挂马/木马和页面特征进行分析,识别出挂马、木马和挂黑链等安全问题。7X24 小时2.4.3 信息系统等级保护测评根据信息系统安全等级保护基本要求(GB/T22239-2008)相关要求,对采购方重要信息系统进行等级保护测评,认真查找各个层面存在的安全问题,提出专业的整改建议和方案,并出具符合国家等级保护要求的测评结果报告。2.4.3.1 测评内容信息系统的安全等级测评内容应包括技术和管理两大类,其中技术类应包括对物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复等方面的测评,管理类测评应包括对机构安全管理机构、人员安全管理、安全管理制度、系统建设管理和系统运维管理等方面的测评。2.4.3.2 测评范围与对象