网络信息安全服务技术要求

网络信息安全服务技术要求

本次安全服务内容有资产梳理、漏洞评估、渗透测试、业务上线前检测、信息安全制度梳理、配合监管检查、协助安全加固、网络安全培训、应急演练、应急响应等。

1.资产梳理，要求提供1次/年的资产梳理服务，服务对象是学校信息中心IT资产，服务内容要求：采用人+工具的组合方式，主动或被动探测学校信息中心（服务器、应用系统、中间件、数据库、网络安全设备等）的资产信息，对资产进行全面梳理，发现数据中心出现的未报备资产，提前发现可能存在的安全隐患。梳理维度包括但不限于：名称、IP、端口、组件、服务等。服务输出结果是《资产梳理报告》。

2.漏洞评估，要求提供12次/年的漏洞评估服务，服务对象是学校信息中心IT资产，服务内容要求：采用业界认可的、专业的扫描工具，通过定制的扫描规则，对业主制定的系统或主机进行一次全面的自动化安全扫描，人工验证扫描结果，并输出安全扫描报告及修复建议。 详细如下：

（1）.针对扫描检测发现的漏洞，进行分析验证和评估，按照不同维度对漏洞归类归档，如系统漏洞、应用漏洞、数据库漏洞等，并提出不响应的建议处置措施；

（2）.按照不同漏洞维度提供不同的处置方式，如系统漏洞建议在数据备份前提下协助业主单位打补丁处理，应用漏洞建议由我司协助软件供应商处置升级版本、修改代码等处置。

（3）.在对漏洞归类处置后，再提供一次漏洞的校验服务，保证漏洞评估的闭环处置。

服务工具要求：

（1）.本次服务工具支持对各种网络主机、操作系统、网络设备（如交换机、路由器、防火墙等）、常用软件以及应用系统、数据库的识别和漏洞扫描。 （2）.本次服务工具要求支持用户自定义系统名称、版权信息和系统的Logo信息，而无需进行定制化。

(3).为应当弱口令的危害，要求本次服务工具具备弱口令扫描功能，支持弱口令扫描协议数量≥22种，包括FTP、SMB、RDP、SSH、TELNET、SMTP、IMAP、POP3、Oracle、MySQL、MSSQL、DB2、REDIS、MongoDB、Sybase、Rlogin、RTSP、SIP、Onvif、Weblogic、Tomcat、SNMP等协议进行弱口令扫描，允许用户自定义用户、密码字典。

(4).应用系统扫描能力要求，扫描结果在产品界面中支持查看目标应用返回的软件版本，可以方便与漏洞描述对比进行漏洞验证。服务输出结果是《漏洞评估报告》。

3.渗透测试，要求提供2次/年的渗透测试服务，服务对象是学校信息中心重要应用系统，服务内容要求：作为漏洞评估服务的重要补充，渗透测试服务更多关注漏洞被利用后对全网造成的影响。真实的站在黑客视角采用无害攻击手段，模拟黑客真实的攻击行为，深度检验网络安全防线效果，并结合智能工具扫描结果，由高级工程师进行深入的手工测试和分析，识别工具弱点扫描无法发现的问题。主要分析内容包括逻辑缺陷、上传绕过、输入输出校验绕过、数据篡改、功能绕过、异常错误等以及其他专项内容测试与分析，重点发现信息系统应用层业务流程和逻辑上的安全漏洞和敏感信息泄露的风险，输出渗透测试报告，提出专业修复建议，协助解决网络安全风险问题。服务技术要求：为了更好达到学校提

出关于渗透能力要求，本次服务提供方要求提供国家信息安全漏洞共享平台原创漏洞证明。服务输出结果是《渗透测试报告》。

4.业务上线前检测，要求在服务期内按需提供业务上线前检测服务，服务对象是学校信息中心即将上线业务或变更业务系统，服务内容要求：协助学校信息中心对即将上线或变更的业务系统进行综合评估，提供合理加固建议，降低风险，提升业务系统上线后的健壮性和可持续性。包括：首先，通过安全漏洞检测，业务逻辑漏洞检测，异常文件检测，Webshell 检测，安全基线核查等发现存在的安全风险，并记录；其次，根据上述检测发现的安全风险，输出整改建议，如漏洞修复、代码修复、安全策略加固、配置优化等。服务输出结果是《业务上线风险评估报告》。

5.信息安全制度梳理，要求提供1次/年的信息安全制度梳理服务，服务对象是学校信息中心，服务内容要求：依据《网络安全等级保护制度》相关要求，结合《等保测评整改报告》的相关内容，协助学校健全网络安全组织架构和管理制度，明确学校及各部门网络安全相关责任，建立网络安全责任制。服务输出结果是《信息安全管理制度》修订版。

6.配合监管检查，要求服务期内按需提供配合监管检查服务，服务对象是学校所有信息系统，服务内容要求：针对业主单位所有信息系统配合监管单位（上级单位等）开展安全检查，包括勒索和挖矿病毒排查，漏洞扫描等，同时对相关排查结果进行协助处置，按需提供服务输出结果。

7.协助安全加固，要求服务期内按需提供协助安全加固服务，服务对象是学校所有检测出的安全风险，服务内容要求：根据安全巡检、漏洞评估和渗透测试等服务中对网络设备、主机系统、数据库、中间件是否存在不合规、不合理以及存

在安全风险的配置和漏洞，再通过工具与人工相结合的方式，提出安全加固建议方案，做到合理加固，并保证业务的正常运行。服务输出结果是《安全加固建议方案》。

8.网络安全意识培训，要求提供1次/年的网络安全意识培训服务，服务对象是学校相关工作人员，服务内容要求：专业的网络安全讲师为学校相关工作人员开展网络安全意识培训，通过课堂演示、案例剖析等多维度的授课方式，将网络安全风险防范意识有效地传递到每个人，使其、日常生活行为，降低信息泄露风险，提升网络安全风险防范意识。服务技术要求：为了更好的满足学校对网络安全培训讲师能力的要求，要求讲师具备风险管理方向的信息安全保障人员认证证书。要求输出结果是《安全意识培训定制PPT》。

9.应急演练，要求提供1次/年的应急演练服务，服务对象是学校信息中心相关工作人员，服务内容：在服务期内，为应对信息系统遇到突发的安全问题如：发生网络入侵事件、大规模病毒爆发、遭受拒绝服务攻击等，无法及时对该事件进行处理或解决的情况，提前针对此类事件进行应急方案的编制和演练，当此类事件发生时以便进行快速应对处置。

演练场景内容要求：演练场景应包括但不限于以下可选： (1).系统入侵攻击安全事件； (2).病毒与木马攻击安全事件； （3).网站页面篡改安全事件； （4）.数据库内部误操作。

应急演练内容应包括但不限于以下可选：

（1）.信息篡改：模拟针对网站首页篡改事件的监控和处理（利用上传漏洞或

者弱口令实施攻击）。

（2）.恶意代码：模拟某恶意攻击者，利用系统的弱口令，利用windows共享管理服务（tcp/445），获得对服务器的控制权限。服务输出结果是《应急演练总结报告》。

10.应急响应，要求服务期内按需提供应急响应服务，服务对象是学校所有信息系统，服务内容要求：服务期内，通过远程和现场支持的形式协助客户对遇到的突发性安全事件进行紧急分析和处理。应急响应实施人员应及时采取行动，检查所有受影响的系统，抑制事件扩散和影响的范围，在准确判断安全事件原因的基础上，提出基于安全事件解决方案，追查事件来源，协助后续处置。 出现安全事件时，第一时间响应：（1）、技术人员必须在1小时内到达现场；（2）、对入侵事件进行分析，查找原因；（3）、抑制入侵事件的扩散，将事故的损害降低到最小化；

11.排除安全隐患，消除安全威胁，协助恢复系统正常运作；5、提交应急响应报告及系统安全改进方案。服务输出结果是《应急响应报告》。

12.云防护系统：

（1）、要求提供1套，要求支持1个一级域名、10个二级域名的站点防护。用户指定业务系统，要求可同时支持http、https协议，支持自定义站点端口，自定义端口数量不限。

（2）、支持以SaaS化方式向云租户提供服务，无需在网站前端安装任何安全设备、软件，通过DNS别名指向到云端进行安全防护；

（3）、支持产品内部的分权分域，在同一平台下每个租户只能查看自身网站和系统的安全状况，平台管理员可关注、查看所有租户的网站和系统整体情况。

(4)、支持集群化和高可用部署架构，全国范围至少50个云防护节点，不会发生单点故障。

(5)、支持检查提交的报文是否符合HTTP协议框架，如异常的请求方法、特殊字符、重点字段的缺失、超长报文造成的溢出攻击以及对高危文件的访问等。

(6）、支持识别恶意请求，包括：跨站脚本(XSS)、注入式攻击（包括SQL注入、命令注入 、Cookie 注入等）、跨站请求伪造等应用攻击行为。

（7）、支持对用户上传的文件后缀名和文件内容进行全方面检查，杜绝Webshell的上传和访问。可提供基于IPv6协议的转换与防护功能。具备流量监测的功能，基于用户的访问记录，实时检查被访问页面的安全状况，能够发现更深层次的暗链、Webshell等安全事件。。

（8）、支持区域访问控制，限制国外用户或者国内以市为最低行政单位的区域进行访问控制。

（9）、支持一键关停功能，当网站出现紧急安全事件时，可通过浏览器一键完成关停，防止产生恶劣影响。

（10）、支持永久在线功能，当网站因为服务器故障、线路故障、电源等问题出现无法连接时，可显示云防护节点中的缓存页面。当在敏感期或特殊时期时，用户网站主动关闭期间可显示缓存页面，增强网站安全性。

通过微信公众号查看网站整体防护态势，包含受攻击域名排行、攻击类型排行、攻击IP排行、攻击区域分布等状态信息；通过微信公众号完成防护配置，包括一键关停、防护模式切换等功能。

提供访问和攻击日志查询与导出功能，可根据域名、URL、客户端IP、返回码、访问区域、访问时间段进行查询，查询后的日志数据可导出Excel文件。提供访

问与攻击原始日志离线下载功能，可按天进行下载。原始日志包含访问IP、访问时间、URL、返回码、访问域名等信息. 攻击日志至少保存6个月，满足《网络安全法》要求。可查看安全防护报告，包含攻击次数、攻击者区域统计、攻击者IP统计、攻击类型分布等报告。可查看网站访问报告，包含CDN加速流量、服务质量综合评价和关键指标信息、异常响应分析、访问区域统计、访问源IP统计、访问页面排行、访问终端、响应码分布等统计报告。k、支持单个网站生成报表，也支持网站群生成一个汇总报表，支持日报、月报 ，并支持html、word格式导出。根据不同告警级别发送邮件、短信、微信公众号等多种告警方式。具有7*24小时黑客监测值守及应急响应能力，并提供报告样例。

具有云端7*24远程安全专家服务能力，提供7*24小时安全值守和应急响应服务。提供策略优化、配置调整、规则更新、问题处理、技术咨询安全事件通告等常规技术支持服务，实时监测和感知DDOS、持续性攻击、0day攻击等事件，并及时响应和对抗，同时在重大节会期间提供更高级别的安全响应服务。整体网站群攻击态势可视化分析，包括访问与攻击流量趋势、受攻击网站排行、攻击源IP排行、攻击类型排行等。

支持单个网站可视化分析，包括防扫描告警、总体访问/攻击趋势、攻击源实时分析、IP追踪、访问量排行、防御能力分析等数据展示与挖掘。