西城區(qū)信息中心網(wǎng)絡和信息系統(tǒng)安全監(jiān)測項目需求.doc

西城區(qū)信息中心網(wǎng)絡和信息系統(tǒng)安全監(jiān)測項目需求 1. 概述1.1. 項目背景北京市西城區(qū)政府電子政務網(wǎng)絡(以下簡稱：西城區(qū)電子政務網(wǎng)絡，分為物理隔離的兩個網(wǎng)絡：西城區(qū)互聯(lián)網(wǎng)接入網(wǎng)和西城區(qū)政務外網(wǎng))通過多年的發(fā)展，網(wǎng)絡規(guī)模不斷擴大，應用逐步增加，面臨的安全威脅和風險也不斷增大。如何保證西城區(qū)電子政務網(wǎng)絡系統(tǒng)正常運行和網(wǎng)絡安全已成為迫切需要關注的問題。目前急需提高西城區(qū)電子政務網(wǎng)絡的信息安全保障水平，為了更好地了解西城區(qū)電子政務網(wǎng)絡的安全性，切實提高信息安全防護水平，西城區(qū)信息中心將對其電子政務網(wǎng)絡與系統(tǒng)進行滲透測試 ，以了解目前西城區(qū)電子政務網(wǎng)絡與系統(tǒng)的健壯性與抗攻擊性，從而進一步完善西城區(qū)電子政務網(wǎng)絡與系統(tǒng)的安全性與可靠性，更好地為北京市西城區(qū)政府及所屬各單位提供信息服務和安全保障。1.2. 項目總體目標本次滲透測試的范圍為西城區(qū)電子政務網(wǎng)絡與應用系統(tǒng)。本次滲透測試的主要目的在于檢測當前電子政務網(wǎng)絡與系統(tǒng)，在已使用一定的安全設備及防護措施情況下，西城區(qū)電子政務網(wǎng)絡系統(tǒng)的真實防護能力，增強對系統(tǒng)入侵的防護及檢測能力及攻擊發(fā)生時的處理能力，全面保障西城區(qū)電子政務網(wǎng)絡的正常運行、提升西城區(qū)電子政務網(wǎng)絡的整體防御能力，更好地為公眾提供有效的服務，其具體目標為：準確、全面掌握西城區(qū)電子政務網(wǎng)絡的安全現(xiàn)狀及存在的風險、威脅。準確、詳細的指出當前安全設備的使用情況、配置情況。針對當前安全狀況，提出加固安全設備、優(yōu)化設備配置、培訓等建設方案。n 保障西城區(qū)電子政務網(wǎng)絡的穩(wěn)定運行；n 保障西城區(qū)電子政務網(wǎng)站、部門自建網(wǎng)站和重要的信息系統(tǒng)的安全運行；n 提升西城區(qū)電子政務網(wǎng)絡的整體防御能力，更好地為公眾提供服務。n 在安全保障重點時期，保障西城區(qū)電子政務網(wǎng)絡的安全。1.3. 項目總體原則1.3.1. 把握重點，分清主次在項目實施過程中必須堅持把握重點、分清主次的原則。評估的重點內容是：西城區(qū)的區(qū)級辦公應用系統(tǒng)安全滲透測試、西城區(qū)電子政務網(wǎng)站和部門自建網(wǎng)站滲透測試。在制定實施方案與實施過程中對于上述重點內容要進行重點的安全風險評估分析，對于其他部分內容進行基本的安全風險評估分析。1.3.2. 結合實際，注重實效在項目實施過程中必須堅持結合實際，注重實效的原則。在方案的編制、評估的實施、安全整改與加固等各個環(huán)節(jié)，都應立足于西城區(qū)電子政務網(wǎng)絡信息化工作現(xiàn)狀，調查、研究、分析西城區(qū)電子政務網(wǎng)絡系統(tǒng)的建設、管理、運行中面臨的實際威脅，存在的實際問題，在此基礎上提出有針對性的整改與加固方案，指導并協(xié)助西城區(qū)信息中心對整改與加固方案進行實施，切實提高西城區(qū)電子政務網(wǎng)絡與信息系統(tǒng)的健壯性與安全性，切實提高西城區(qū)電子政務網(wǎng)絡與信息系統(tǒng)的整體安全水平、管理水平與運維水平。1.4. 項目總體要求實施方在實施方案的制定及項目的實施過程中，要把握項目的總體目標，遵循項目的總體原則。合理分配資源，科學安排進度，充分調動參與各方的積極性，使項目開展得有序高效。1.5. 項目組織保障在西城區(qū)信息中心領導小組的領導下，成立西城區(qū)電子政務網(wǎng)絡與系統(tǒng)滲透測試項目組，負責本次項目的具體實施工作。2. 服務對象、內容2.1. 服務對象對本次西城區(qū)電子政務網(wǎng)絡與系統(tǒng)滲透測試的工作范圍界定如下。2.1.1. 互聯(lián)網(wǎng)接入網(wǎng)西城區(qū)政府機關大院互聯(lián)網(wǎng)接入網(wǎng)的網(wǎng)絡設備、安全設備與信息中心機房內各應用服務器（如網(wǎng)站、OA外網(wǎng)服務器等）。2.1.2. 區(qū)政務外網(wǎng)西城區(qū)政務外網(wǎng)網(wǎng)絡設備、安全設備與信息中心機房內應用服務器等（如OA內網(wǎng)服務器等）。2.1.3. 部門自建網(wǎng)站和重要應用系統(tǒng)對西城區(qū)部門自建網(wǎng)站和重要業(yè)務應用系統(tǒng)。2.2. 服務內容服務的內容主要包括：網(wǎng)絡和信息系統(tǒng)滲透測試安全性分析、網(wǎng)絡架構合理性分析、設備配置合理性檢查、安全整改與加固、應急響應、人員培訓等。要求上述內容（除應急響應、人員培訓外）每年應提供至少兩次服務。以上各部分內容評估完成后都要形成階段性評估成果報告提交西城區(qū)信息中心，階段性評估成果報告需獲得西城區(qū)信息中心與評估方的共同認可。 2.2.1. 滲透測試安全性分析在保證網(wǎng)絡與系統(tǒng)安全運行的前提下模擬滲透攻擊者對系統(tǒng)進行滲透測試，對西城區(qū)互聯(lián)網(wǎng)接入網(wǎng)系統(tǒng)的滲透測試安全性分析應從口令猜解、網(wǎng)站探測、已知漏洞攻擊、參數(shù)操控、跨站腳本、指令注入、應用層DOS、HTTP方法利用、異常處理、審核及日志記錄等10種以上方式進行安全分析，并對分析方法進行詳細描述，并形成分項報告（包括對現(xiàn)狀的分析、對策、建議或者方案等）：l 關鍵應用系統(tǒng)與服務器的滲透測試(如OA外網(wǎng)應用服務器、反垃圾郵件服務器等)；l 關鍵應用系統(tǒng)（如數(shù)據(jù)庫系統(tǒng)等）的工作狀態(tài)、資源利用情況、服務器的工作狀態(tài)、資源利用情況以及穩(wěn)定性和安全狀況分析。l 遭遇攻擊時的可靠性分析；l 系統(tǒng)邊界的安全防護及訪問控制措施強度分析；l 網(wǎng)絡監(jiān)控和入侵檢測的有效性分析；l 網(wǎng)絡應用現(xiàn)狀分析以及線路冗余性分析；2.2.2. 網(wǎng)絡架構合理性分析對互聯(lián)網(wǎng)接入網(wǎng)與政務外網(wǎng)的網(wǎng)絡架構合理性分析將從以下幾個方面進行：l 網(wǎng)絡體系架構設計的合理性與安全性分析；l 安全域劃分及VLAN劃分的合理性；l 系統(tǒng)邊界的安全防護及訪問控制措施強度分析；l 系統(tǒng)入侵檢測點的部署合理性分析；l 系統(tǒng)網(wǎng)絡監(jiān)控的有效性分析；l 系統(tǒng)與外界的通訊線路的冗余性分析；l 系統(tǒng)關鍵設備設施的冗余性分析；2.2.3. 設備配置合理性檢查l 網(wǎng)絡設備配置合理性檢查，檢查范圍： 主要網(wǎng)絡設備； 核心路由器； 交換機； 負載均衡設備等；l 安全設備配置合理性檢查，檢查范圍： 安全產(chǎn)品； 防火墻； IDS； 審計系統(tǒng)等；l 服務器操作系統(tǒng)配置合理性檢查，檢查范圍：對承載核心業(yè)務的服務器進行重點安全檢查，對承載一般業(yè)務的服務器進行基本安全檢查。l 中間件配置合理性檢查，檢查范圍：針對西城區(qū)電子政務網(wǎng)絡使用的各種應用支撐平臺，如siteview等進行配置核查。l 數(shù)據(jù)庫配置合理性檢查,檢查范圍：針對西城區(qū)電子政務網(wǎng)絡中的數(shù)據(jù)庫系統(tǒng)進行配置核查。2.2.4. 安全整改與加固安全整改與加固是針對滲透測試中發(fā)現(xiàn)問題的嚴重程度及對業(yè)務風險的高低進行綜合分析，提出削減風險的技術與管理的安全建議與措施，制定安全整改與加固實施方案，指導并協(xié)助西城區(qū)信息中心實施信息系統(tǒng)的安全整改與加固。整改與加固實施方案的制定需要注意以下幾點：1、實施風險削減建議的優(yōu)先度，便于西城區(qū)信息中心根據(jù)揭示出的安全風險建立實施風險管理的計劃；2、注意風險削減與實施費用的平衡控制，做到適度安全；3、提出的具體加固與整改措施、方案、建議等，應覆蓋所有評估內容；2.2.5. 應急響應的要求對突發(fā)的安全問題提供應急響應與完善的技術服務支持：l 緊急安全問題服務提供商應提供7*24*4小時的到達現(xiàn)場支持的服務；l 重大安全問題的原因分析與經(jīng)驗總結；通過完善的應急響應與技術支持，最大程度的提高西城區(qū)電子政務網(wǎng)絡的安全性與健壯性。2.2.6. 人員培訓根據(jù)滲透測試中發(fā)現(xiàn)的安全問題，對西城區(qū)電子政務系統(tǒng)相關人員進行安全培訓，提高西城區(qū)信息中心人員的安全意識與技術水平。2.2.7. 其他需要評估的重要內容對本需求未包含的評估內容，評估方根據(jù)自己的經(jīng)驗與理解進行適當補充。3. 成果交付成果交付文檔由滲透測試服務方根據(jù)實際情況提供。3.1. 語言：交付的技