西城區(qū)信息中心網(wǎng)絡(luò)和信息系統(tǒng)安全監(jiān)測項(xiàng)目需求.doc

西城區(qū)信息中心網(wǎng)絡(luò)和信息系統(tǒng)安全監(jiān)測項(xiàng)目需求 1. 概述1.1. 項(xiàng)目背景北京市西城區(qū)政府電子政務(wù)網(wǎng)絡(luò)(以下簡稱：西城區(qū)電子政務(wù)網(wǎng)絡(luò)，分為物理隔離的兩個網(wǎng)絡(luò)：西城區(qū)互聯(lián)網(wǎng)接入網(wǎng)和西城區(qū)政務(wù)外網(wǎng))通過多年的發(fā)展，網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，應(yīng)用逐步增加，面臨的安全威脅和風(fēng)險(xiǎn)也不斷增大。如何保證西城區(qū)電子政務(wù)網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行和網(wǎng)絡(luò)安全已成為迫切需要關(guān)注的問題。目前急需提高西城區(qū)電子政務(wù)網(wǎng)絡(luò)的信息安全保障水平，為了更好地了解西城區(qū)電子政務(wù)網(wǎng)絡(luò)的安全性，切實(shí)提高信息安全防護(hù)水平，西城區(qū)信息中心將對其電子政務(wù)網(wǎng)絡(luò)與系統(tǒng)進(jìn)行滲透測試 ，以了解目前西城區(qū)電子政務(wù)網(wǎng)絡(luò)與系統(tǒng)的健壯性與抗攻擊性，從而進(jìn)一步完善西城區(qū)電子政務(wù)網(wǎng)絡(luò)與系統(tǒng)的安全性與可靠性，更好地為北京市西城區(qū)政府及所屬各單位提供信息服務(wù)和安全保障。1.2. 項(xiàng)目總體目標(biāo)本次滲透測試的范圍為西城區(qū)電子政務(wù)網(wǎng)絡(luò)與應(yīng)用系統(tǒng)。本次滲透測試的主要目的在于檢測當(dāng)前電子政務(wù)網(wǎng)絡(luò)與系統(tǒng)，在已使用一定的安全設(shè)備及防護(hù)措施情況下，西城區(qū)電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的真實(shí)防護(hù)能力，增強(qiáng)對系統(tǒng)入侵的防護(hù)及檢測能力及攻擊發(fā)生時(shí)的處理能力，全面保障西城區(qū)電子政務(wù)網(wǎng)絡(luò)的正常運(yùn)行、提升西城區(qū)電子政務(wù)網(wǎng)絡(luò)的整體防御能力，更好地為公眾提供有效的服務(wù)，其具體目標(biāo)為：準(zhǔn)確、全面掌握西城區(qū)電子政務(wù)網(wǎng)絡(luò)的安全現(xiàn)狀及存在的風(fēng)險(xiǎn)、威脅。準(zhǔn)確、詳細(xì)的指出當(dāng)前安全設(shè)備的使用情況、配置情況。針對當(dāng)前安全狀況，提出加固安全設(shè)備、優(yōu)化設(shè)備配置、培訓(xùn)等建設(shè)方案。n 保障西城區(qū)電子政務(wù)網(wǎng)絡(luò)的穩(wěn)定運(yùn)行；n 保障西城區(qū)電子政務(wù)網(wǎng)站、部門自建網(wǎng)站和重要的信息系統(tǒng)的安全運(yùn)行；n 提升西城區(qū)電子政務(wù)網(wǎng)絡(luò)的整體防御能力，更好地為公眾提供服務(wù)。n 在安全保障重點(diǎn)時(shí)期，保障西城區(qū)電子政務(wù)網(wǎng)絡(luò)的安全。1.3. 項(xiàng)目總體原則1.3.1. 把握重點(diǎn)，分清主次在項(xiàng)目實(shí)施過程中必須堅(jiān)持把握重點(diǎn)、分清主次的原則。評估的重點(diǎn)內(nèi)容是：西城區(qū)的區(qū)級辦公應(yīng)用系統(tǒng)安全滲透測試、西城區(qū)電子政務(wù)網(wǎng)站和部門自建網(wǎng)站滲透測試。在制定實(shí)施方案與實(shí)施過程中對于上述重點(diǎn)內(nèi)容要進(jìn)行重點(diǎn)的安全風(fēng)險(xiǎn)評估分析，對于其他部分內(nèi)容進(jìn)行基本的安全風(fēng)險(xiǎn)評估分析。1.3.2. 結(jié)合實(shí)際，注重實(shí)效在項(xiàng)目實(shí)施過程中必須堅(jiān)持結(jié)合實(shí)際，注重實(shí)效的原則。在方案的編制、評估的實(shí)施、安全整改與加固等各個環(huán)節(jié)，都應(yīng)立足于西城區(qū)電子政務(wù)網(wǎng)絡(luò)信息化工作現(xiàn)狀，調(diào)查、研究、分析西城區(qū)電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的建設(shè)、管理、運(yùn)行中面臨的實(shí)際威脅，存在的實(shí)際問題，在此基礎(chǔ)上提出有針對性的整改與加固方案，指導(dǎo)并協(xié)助西城區(qū)信息中心對整改與加固方案進(jìn)行實(shí)施，切實(shí)提高西城區(qū)電子政務(wù)網(wǎng)絡(luò)與信息系統(tǒng)的健壯性與安全性，切實(shí)提高西城區(qū)電子政務(wù)網(wǎng)絡(luò)與信息系統(tǒng)的整體安全水平、管理水平與運(yùn)維水平。1.4. 項(xiàng)目總體要求實(shí)施方在實(shí)施方案的制定及項(xiàng)目的實(shí)施過程中，要把握項(xiàng)目的總體目標(biāo)，遵循項(xiàng)目的總體原則。合理分配資源，科學(xué)安排進(jìn)度，充分調(diào)動參與各方的積極性，使項(xiàng)目開展得有序高效。1.5. 項(xiàng)目組織保障在西城區(qū)信息中心領(lǐng)導(dǎo)小組的領(lǐng)導(dǎo)下，成立西城區(qū)電子政務(wù)網(wǎng)絡(luò)與系統(tǒng)滲透測試項(xiàng)目組，負(fù)責(zé)本次項(xiàng)目的具體實(shí)施工作。2. 服務(wù)對象、內(nèi)容2.1. 服務(wù)對象對本次西城區(qū)電子政務(wù)網(wǎng)絡(luò)與系統(tǒng)滲透測試的工作范圍界定如下。2.1.1. 互聯(lián)網(wǎng)接入網(wǎng)西城區(qū)政府機(jī)關(guān)大院互聯(lián)網(wǎng)接入網(wǎng)的網(wǎng)絡(luò)設(shè)備、安全設(shè)備與信息中心機(jī)房內(nèi)各應(yīng)用服務(wù)器（如網(wǎng)站、OA外網(wǎng)服務(wù)器等）。2.1.2. 區(qū)政務(wù)外網(wǎng)西城區(qū)政務(wù)外網(wǎng)網(wǎng)絡(luò)設(shè)備、安全設(shè)備與信息中心機(jī)房內(nèi)應(yīng)用服務(wù)器等（如OA內(nèi)網(wǎng)服務(wù)器等）。2.1.3. 部門自建網(wǎng)站和重要應(yīng)用系統(tǒng)對西城區(qū)部門自建網(wǎng)站和重要業(yè)務(wù)應(yīng)用系統(tǒng)。2.2. 服務(wù)內(nèi)容服務(wù)的內(nèi)容主要包括：網(wǎng)絡(luò)和信息系統(tǒng)滲透測試安全性分析、網(wǎng)絡(luò)架構(gòu)合理性分析、設(shè)備配置合理性檢查、安全整改與加固、應(yīng)急響應(yīng)、人員培訓(xùn)等。要求上述內(nèi)容（除應(yīng)急響應(yīng)、人員培訓(xùn)外）每年應(yīng)提供至少兩次服務(wù)。以上各部分內(nèi)容評估完成后都要形成階段性評估成果報(bào)告提交西城區(qū)信息中心，階段性評估成果報(bào)告需獲得西城區(qū)信息中心與評估方的共同認(rèn)可。 2.2.1. 滲透測試安全性分析在保證網(wǎng)絡(luò)與系統(tǒng)安全運(yùn)行的前提下模擬滲透攻擊者對系統(tǒng)進(jìn)行滲透測試，對西城區(qū)互聯(lián)網(wǎng)接入網(wǎng)系統(tǒng)的滲透測試安全性分析應(yīng)從口令猜解、網(wǎng)站探測、已知漏洞攻擊、參數(shù)操控、跨站腳本、指令注入、應(yīng)用層DOS、HTTP方法利用、異常處理、審核及日志記錄等10種以上方式進(jìn)行安全分析，并對分析方法進(jìn)行詳細(xì)描述，并形成分項(xiàng)報(bào)告（包括對現(xiàn)狀的分析、對策、建議或者方案等）：l 關(guān)鍵應(yīng)用系統(tǒng)與服務(wù)器的滲透測試(如OA外網(wǎng)應(yīng)用服務(wù)器、反垃圾郵件服務(wù)器等)；l 關(guān)鍵應(yīng)用系統(tǒng)（如數(shù)據(jù)庫系統(tǒng)等）的工作狀態(tài)、資源利用情況、服務(wù)器的工作狀態(tài)、資源利用情況以及穩(wěn)定性和安全狀況分析。l 遭遇攻擊時(shí)的可靠性分析；l 系統(tǒng)邊界的安全防護(hù)及訪問控制措施強(qiáng)度分析；l 網(wǎng)絡(luò)監(jiān)控和入侵檢測的有效性分析；l 網(wǎng)絡(luò)應(yīng)用現(xiàn)狀分析以及線路冗余性分析；2.2.2. 網(wǎng)絡(luò)架構(gòu)合理性分析對互聯(lián)網(wǎng)接入網(wǎng)與政務(wù)外網(wǎng)的網(wǎng)絡(luò)架構(gòu)合理性分析將從以下幾個方面進(jìn)行：l 網(wǎng)絡(luò)體系架構(gòu)設(shè)計(jì)的合理性與安全性分析；l 安全域劃分及VLAN劃分的合理性；l 系統(tǒng)邊界的安全防護(hù)及訪問控制措施強(qiáng)度分析；l 系統(tǒng)入侵檢測點(diǎn)的部署合理性分析；l 系統(tǒng)網(wǎng)絡(luò)監(jiān)控的有效性分析；l 系統(tǒng)與外界的通訊線路的冗余性分析；l 系統(tǒng)關(guān)鍵設(shè)備設(shè)施的冗余性分析；2.2.3. 設(shè)備配置合理性檢查l 網(wǎng)絡(luò)設(shè)備配置合理性檢查，檢查范圍： 主要網(wǎng)絡(luò)設(shè)備； 核心路由器； 交換機(jī)； 負(fù)載均衡設(shè)備等；l 安全設(shè)備配置合理性檢查，檢查范圍： 安全產(chǎn)品； 防火墻； IDS； 審計(jì)系統(tǒng)等；l 服務(wù)器操作系統(tǒng)配置合理性檢查，檢查范圍：對承載核心業(yè)務(wù)的服務(wù)器進(jìn)行重點(diǎn)安全檢查，對承載一般業(yè)務(wù)的服務(wù)器進(jìn)行基本安全檢查。l 中間件配置合理性檢查，檢查范圍：針對西城區(qū)電子政務(wù)網(wǎng)絡(luò)使用的各種應(yīng)用支撐平臺，如siteview等進(jìn)行配置核查。l 數(shù)據(jù)庫配置合理性檢查,檢查范圍：針對西城區(qū)電子政務(wù)網(wǎng)絡(luò)中的數(shù)據(jù)庫系統(tǒng)進(jìn)行配置核查。2.2.4. 安全整改與加固安全整改與加固是針對滲透測試中發(fā)現(xiàn)問題的嚴(yán)重程度及對業(yè)務(wù)風(fēng)險(xiǎn)的高低進(jìn)行綜合分析，提出削減風(fēng)險(xiǎn)的技術(shù)與管理的安全建議與措施，制定安全整改與加固實(shí)施方案，指導(dǎo)并協(xié)助西城區(qū)信息中心實(shí)施信息系統(tǒng)的安全整改與加固。整改與加固實(shí)施方案的制定需要注意以下幾點(diǎn)：1、實(shí)施風(fēng)險(xiǎn)削減建議的優(yōu)先度，便于西城區(qū)信息中心根據(jù)揭示出的安全風(fēng)險(xiǎn)建立實(shí)施風(fēng)險(xiǎn)管理的計(jì)劃；2、注意風(fēng)險(xiǎn)削減與實(shí)施費(fèi)用的平衡控制，做到適度安全；3、提出的具體加固與整改措施、方案、建議等，應(yīng)覆蓋所有評估內(nèi)容；2.2.5. 應(yīng)急響應(yīng)的要求對突發(fā)的安全問題提供應(yīng)急響應(yīng)與完善的技術(shù)服務(wù)支持：l 緊急安全問題服務(wù)提供商應(yīng)提供7*24*4小時(shí)的到達(dá)現(xiàn)場支持的服務(wù)；l 重大安全問題的原因分析與經(jīng)驗(yàn)總結(jié)；通過完善的應(yīng)急響應(yīng)與技術(shù)支持，最大程度的提高西城區(qū)電子政務(wù)網(wǎng)絡(luò)的安全性與健壯性。2.2.6. 人員培訓(xùn)根據(jù)滲透測試中發(fā)現(xiàn)的安全問題，對西城區(qū)電子政務(wù)系統(tǒng)相關(guān)人員進(jìn)行安全培訓(xùn)，提高西城區(qū)信息中心人員的安全意識與技術(shù)水平。2.2.7. 其他需要評估的重要內(nèi)容對本需求未包含的評估內(nèi)容，評估方根據(jù)自己的經(jīng)驗(yàn)與理解進(jìn)行適當(dāng)補(bǔ)充。3. 成果交付成果交付文檔由滲透測試服務(wù)方根據(jù)實(shí)際情況提供。3.1. 語言：交付的技