一、项目名称:基础软硬件漏洞分析和安全加固专项服务采购项目 二、采购内容简介1.建设背景本次采购基础软硬件漏洞分析和安全加固专项服务。2.服务需求********基础软硬件漏洞分析服务整个漏洞分析服务的流程分为三个阶段:准备阶段、扫描过程和报告汇报。通过这三个阶段结合安全漏洞分析内容和实际我行系统情况,完成安全漏洞分析服务。准备阶段:前期技术交流包括相关安全扫描技术、扫描原理、扫描方式及扫描条件进行交流和说明;同时商谈安全漏洞分析服务的范围,主要是****网络设备,应用系统等;并结合实际业务情况需求,确定扫描范围,扫描实施的时间,设备接入点,IP地址的预留,配合人员及其他相关的整体漏扫方案。扫描过程:依据前期准备阶段的漏扫方案,进行漏洞分析、漏洞分析和漏洞测试,扫描过程主要是进行范围内的漏洞信息数据收集,为下一步的报告撰写提供依据和数据来源。漏洞分析,主要采用我行远程安全评估系统进行范围内的安全扫描。漏洞分析,主要是对扫描结果进行分析,安全工程师会结合扫描结果和实际我行系统状况,进行安全分析。漏洞验证,对部分需要人工确定和安全分析的漏洞,进行手工测试,以确定其准确性和风险性。报告与汇报:这个阶段主要对现场进行扫描后的数据进行安全分析,安全工程师对我行现有远程安全评估系统输出的报告,漏洞分析结果及漏洞测试具体情况进行综合梳理,分析,总结。最后给出符合我行信息系统实际情况的安全需求的安全加固建议。具体服务内容及要求包括:(1)漏扫准****网漏洞分析:根据甲方选定的系统范围,开展漏洞的相关准备工作。准备工作包括以下活动:与各系统管理员及开发人员确认分析可开展的日期、时间、禁扫部署单元和禁扫端口、应急联系人等相关信息。服务商负责在扫描器中输入扫描的关键要素,完成扫描准备。由于全行系统数目众多,服务商需负责进行统筹编排,提升扫描的并行性和吞吐率。****网暴露面分析:需根据甲方****网暴露面资产扫描结果,包括但不限于总行、分行的域名、IP地址(含IPV6地址)等,开展漏洞分析及安全加固的相关准备工作。准备工作包括以下活动:与安全室接口人确定可分析日期、时间、应急联系人等相关信息。(2)漏洞分析开展根据约定时间开展漏洞分析工作,漏洞分析工作需按照甲方规定的分析策略、扫描吞吐率等信息开展。在扫描期间,服务商在工作时间和甲方指定时间做好现场值守、其他时间做好电话值守。(3)扫描结果收集及分析服务商收集已扫描系统的结果报告,并进行整合、加工处理,包括以下工作:结果收集:对已完成扫描的系统报告,服务商需在规定的时间内完成报告的收集工作,并检核漏扫实际的执行结果,对于****网络等原因导致漏洞分析未能成功开展的,需做好统计记录,并及时报送给甲方。甲方待问题解决后,需告知服务商再次发起漏扫服务。统计加工:服务商需按照甲方规定的维度,进行单系统及跨系统的多维度统计。统计维****局限于:按照扫描出系统漏洞数目进行统计、按照各漏洞在多系统出现频次统计、按照存在命令执行、反序列化高危漏洞统计等。漏洞分析:服务商需按照甲方要求,对漏扫结果中的漏洞归类分析。分析的维****局限于漏洞本地/远程利用、是否需要权限、造成结果为命令执行/拒绝服务/缓冲区溢出、poc是否公开、受影响主机部署位置互联****网区域。必要时服务商人员需寻求服务商专家团队支持,使漏洞的分析工作系统化、科学化。出具意见:服务商完成漏洞分析后,需经甲方确认后形成正式的整改意见。整改意见应遵从科学、实际、可落地的原则****网****网扫描出的中高危漏洞,需在扫描器原始漏洞评级的基础上,结合北农商的使用特性、出现漏洞资产的部署位置等要素信息,形成科学的漏洞评级。在此需特别指出的是,对于商用软件原厂和开源社区不再提供支持的软件,服务商需客观的提供安全加固建议。 (4)其他工作服务商需完成甲方指定的其他漏洞相关的临时性工作或任务。(5)服务报告服务商安全工程师在实施安全漏洞分析服务过程中,严格按照安全服务的流程,在现场进行安全扫描方案实施漏洞分析后,会在两个工作日内出示一份漏洞分析报告。报告中,会对此次扫描服务范围内的安全状况进行一个整体概述,对****网络设备,开放服务和漏洞情况进行一个统计。每个主机的安全扫描报告。以上内容会通过表格,饼状图,柱状图直观地表现漏洞情况和安全情况。服务商评估人员将会根据漏洞分析的结果针对每个漏洞进行详细描述,描述内容至少包括了漏洞厂商、威胁目标、危险级别、危害描述、检测依据以及提供的详细解决方案等。********基础软硬件安全加固服务为了保证我行信息系统的可用性,服务商的安全加固服务应按照科学、合理的流程实施,依据安全检查和漏洞扫描结果和安全建议,结合信息系统的实际运行情况,写出具有实际可操作性、可行的安全加固方案。具体加固方案和加固实施,会反复进行多次评估其可行性,不会对原有系统的稳定性造成影响,方会实施加固。服务商提供修复方案,我行人员负责进行加固实施操作。在保障可用性的基础上,尽可能的提高系统的安全性,逐个加固项都会有加固对象和影响范围和回退方案。回退方案是业务正常运行的必要步骤,必要时会在实验环境的条件下,进行加固实验,把握最小影响原则、规范性原则、整体性原则。在具体实施过程中,一旦发现出现异常,则进行回退操作。最后会进行加固项的统计,对不能加固的项,则采取其他措施来实现安全互补,或者默认接受并记录在案。具体服务内容及要求包****网络设备加固范围① OS升级② 帐号和口令管理③ 认证和授权策略调整④ 网络与服务加固⑤ 访问控制策略增强⑥ 通###路由协议加固⑦ 日志审核策略增强⑧ 加密管理加固(2)主机操作系统加固范围① 系统漏洞补丁管理② 帐号和口令管理③ 认证和授权策略调整④ 网络与服务、进程和启动加固⑤ 文件系统权限增强⑥ 访问控制管理⑦ 通讯协议加固⑧ 日志审核功能增强⑨ 防DDOS攻击增强⑩ 剩余信息保护(3)数据库加固范围① 漏洞补丁管理② 帐号和口令管理③ 认证和授权策略调整④ 访问控制管理⑤ 通讯协议加固⑥ 日志审核功能增强(4)中间****网络服务加固范围① 漏洞补丁管理② 帐号和口令管理③ 认证和授权策略调整④ 通讯协议加固⑤ 日志审核功能增强(5)服务报告服务商安全工程师在实施安全加固服务过程中,严格按照安全加固服务的流程,在现场进行安全加固方案实施后,会在两个工作日内出示一份安全加固报告。加固报告是向用****网络与应用系统加固和优化服务后的最终报告。包含以下内容:① 对加固过程的完整记录② 对加固系统安全审计结果③ 有关系统安全管理方面的建议或解决方案报告中,会对此次安全加固服务的范围进行一个整体概述,并详细记录每一个加固项及加固结果。对于未能实施加固的项进行详细说明,并提出安全补救措施和安全专家建议。除此之外,加固人员还将结合具体应用提出深层次的安全建议,为管理人员的后期维护提供参考。3.服务方式本项目拟采用按实际服务需求驻场服务方式完成。4.服务周期本次服务工作量为一年130人天。5.服务人员本项目拟采购的项目实施人员要求提供原厂服务。6.服务交付文档《系统安全漏洞扫描分析报告》和《系统安全加固报告》7.项目验收要求根据我行漏洞扫描周期及频率,制定现场的服务时间。漏洞扫描、漏洞通告、监管发布、外部情报等渠道获取漏洞信息后平均每周集中三天进行漏洞分析及安全加固。在每次服务完成后,需要提交服务报告文档。8.付款方式合同期内,服务费分两次支付,合同签订后满半年按照实际服务的人天数支付,满1年后按照实际服务的人天数支付。
本招标项目仅供 正式会员查阅,您的权限不能浏览详细信息,请点击注册/登录,请联系工作人员办理入网升级。
联系人:程姣
电话:010-53605906
手机:15010770853 (欢迎拨打手机/微信同号)
邮箱:chengjiao@zbytb.com
