XX局网络安全运维项目用户需求书.docx

XX局网络安全运维项目用户需求书本项目主要包括资产梳理、渗透测试、漏洞扫描、安全加固、应急响应、安全培训、驻场运维等内容，安全服务对象包括本地及政务云、政务外网等相关资产。1、资产梳理服务技术指标指标要求服务范围采购人指定系统服务频率及期限按需提供（不少于1次/年）服务内容通过使用自动化的平台或工具，以及结合人工审核确认的方式，探测政务云、政务外网资产，发现相关资产信息，包括关联的域名、服务类型等数据，更方便有效的进行管理，减少网络安全风险。交付物政务信息系统资产清单2、渗透测试服务技术指标指标要求服务范围米购人指定系统服务频率及期限按需（不少于2次/年）服务内容通过真实模拟黑客使用的工具、分析方法对采购人指定系统进行模拟攻击，并结合智能工具扫描结果，由高级工程师进行深入的手工测试和分析，识别工具弱点扫描无法发现的问题。主要分析内容包括逻辑缺陷、上传绕过、输入输出校验绕过、数据篡改、功能绕过、异常错误等以及其他专项内容测试与分析，重点发现应用层业务流程和逻辑上的安全漏洞和敏感信息泄露的风险。需提供WEB应用弱点扫描工具保障服务实施质量，要求如下：1、工具应符合公安部信息安全技术Web应用安全扫描工具安全技术要求标准要求，提供相关证明；2、工具通过中国信息安全认证中心获得IT产品信息安全认证证书，提供证书复印件；3、支持常见的WEB应用弱点检测，支持OWASPTOPlo等主流安全漏洞；支持暴力猜解、Webshelk暗链扫描等；4、支持自动化漏洞验证和沙盒技术，对目标应用进行深入安全分析，取得系统安全威胁的直接证；5、支持在漏洞知识库中单独选择某漏洞直接下发扫描任务以验证是否存在该漏洞，提供功能截图证明；6、支持定制扫描：用户可根据；目标扫描网站的特点以及所在网络环境，对扫描过程进行定制，如爬行、检测、过滤、网络环境等；服务工具7、支持端口扫描和服务的协议及版本识别，支持自定义扫描端口范围；8、支持IP地址的形式下发扫描任务并自动发现存在的Web资产，提供功能截图证明。需提供数据库扫描工具保障服务实施质量，要求如下：1、工具应符合公安部信息安全技术数据库扫描产品安全技术要求标准要求；2、支持针对数据库每张表每个字段的内容进行敏感数据探测；敏感信息用户可以自定义添加，可以让用户了解自己的数据库系统有哪些敏感数据，存放的具体位置，便于在信息保护和审计中重点关注；3、按漏洞类型分类：（1）缓冲区溢出漏洞（2）访问控制漏洞（3）提权漏洞（4）PL-SQL注入漏洞（5）执行权限过大漏洞（6）访问权限绕过漏洞（7）弱口令（8）数据库内核入侵探测（9）安全信息查看(10)敏感数据探测；4、能够实时检测出黑客入侵数据库后对数据库系统对象的篡改，还能探测出黑客创建的一些隐藏对象，比如隐藏的具有DBA权限的用户，并支持提供详细的扫描报告，提供功能截图证明；5、提供扫描策略可自定义模式，操作者可以灵活选择默认策略的同时也可以自定义添加策略；6、工具原厂商具有中国信息安全测评中心颁发的国家信息安全测评信息安全服务资质证书-云计算安全类，提供有效证书复印件。交付物渗透测试报告3、漏洞扫描服务技术指标指标要求服务范围米购人指定系统服务频率及期限按需(不少于4次/年)服务工具1、产品具备国家信息安全漏洞库CNNVD兼容性资质证书，提供有效证书的复印件；2、支持用户自定义系统名称、版权信息和系统的Log。信息，而无需进行定制化，提供功能截图证明；3、漏洞知识库支持自定义编辑，可编辑漏洞描述、修复建议、漏洞等级等内容，在扫描结果和导出报告中应展示编辑后的内容；4、支持主机扫描、网站扫描、数据库扫描、基线配置、事件内容、弱口令扫描、存活主机探测、大数据漏洞扫描、物联网漏洞扫描、信创漏洞扫描十种任务类型；5、厂商漏洞特征库大于260000条；提供详细的漏洞描述和对应的解决方案描述;漏洞知识库与CVE、CNNVD、BUgtraq、CNCVE、CNVD等国际、国内漏洞库标准兼容，提供功能截图证明；6、支持VPN代理扫描，可在产品界面添加代理网络配置，实现公有云、隔离网等特殊网络环境下的漏洞扫描，提供功能截图证明；7、具备弱口令扫描功能，支持弱口令扫描协议数量222种，包括FTP、SMB、RDP、SSH、TELNET、SMTP、IMAP、POP3、Oracle>MySQL>MSSQL>DB2、REDIS>MongoDB>Sybase>Rlogin>RTSP、SIP、Onvif>Weblogic>Tomcat>SNMP等协议进行弱口令扫描，允许用户自定义用户、密码字典，提供功能截图证明；8、扫描结果在产品界面中支持查看目标应用返回的软件版本，可以方便与漏洞描述对比进行漏洞验证，提供功能截图证明；9、管理人员可根据系统给出的漏洞参数、HTTP请求/响应数据，快速验证，一键验证漏洞；10、政务云资产需利用采购人已有安全设备或采购人指定的政务云漏洞扫描工具开展漏洞扫描服务。交付物漏洞扫描报告4、态势感知服务技术指标指标要求服务范围依托部署在采购人机房的态势感知服务（该平台费用包含在本项目预算金额中）服务频率及期限一年安全态势可视化支持安全态势的可视化呈现，以大屏的方式从攻击事件、资产安全、追踪溯源、运行监测、等多个维度进行可视化展示，平台攻击告警可结合ATT&CK技术栈，可分为告警视角和资产视角两种视角展示，每个技术栈都有清晰的描述，技术栈可切换中/英文，可勾选展示ATT&CK全部技术和子技术，匹配的攻击技术通过蓝色展示并可显示匹配的次数运营中心为满足个性化展示或统计需求，支持图表管理，包括图表的新增、导出（至少支持YAML、PDF、WORD、CSV等四种格式）、导入、删除、预览、编辑、复制等；支持定义图表的私有或公有权限，支持根据数据类型、图表类型、时间范围、数据配置等进行图表配置，其中数据类型至少支持原始告警、归并告警、活动列表等8种类型，图表类型至少支持列表、柱状图、热图、大字报等10种类型，数据配置支持通过多种语法设置过滤条件、设置统计方法、数据获取顺序等。支持工作台与自定义图表关联，可将自定义图表作为工作台组件使用情报源管理支持对接威胁情报中心，支持情报离线更新及在线更新，支持查看情报源中有效情报数、最近更新条数、最近更新时间、今日更新情报数、昨日命中情报数等；支持以APP导入的方式对接第三方威胁情报平台，至少支持对接奇安信、天翼安全、微步等厂商的威胁情报，支持对情报接口进行设置，设置内容包括情报查询、IP碰撞和域名碰撞接口的启用、请求频率限制监测中心告警监控支持查看告警的基本信息、受害者、攻击者、处置响应、举证全文信息，其中受害者和攻击者支持查看响应ATT&CK矩阵视图，ATT&CK矩阵视图展示支持中文或英文的语言切换，布局支持侧面或下拉两种方式、并支持选择全部技术或子技术的展示等；处置响应支持处置响应闭环出来，可看到处置动作、告警调优、处置结果，及处置记录的全过程记录；支持最高3.0倍速回溯ATT&CK攻击入侵技术；支持用户自定义配置归并场景，支持场景名称、归并条件、归并字段、场景描述的配置，其中可根据字段过滤配置归并条件；支持归并场景的开启、关闭，亦可拖动方式调整归并序列优先级顺序；分析中心支持聚合场景下的四维自定义攻击流向图取证，攻击趋势取证、攻击链分布取证和实体信息取证，展示攻击者和受害者的威胁情报与资产信息，可查看会话详情，会话详情包括检测、响应等基本信息，并支持查看会话关联告警情况，及添加白名单、发布预警、生成工单等操作；安全分析模型支持自定义创建，可通过字段映射、静态值、模板、表达式等多种方式自由定义分析模型的告警名称、威胁等级、告警类型、攻击链、可选字段、告警描述、处置建议等内容；响应中心实现实体间网络互访关系的多级钻取，支持通过端口、协议、异常访问类型、攻击链等过滤关联关系，支持实体间网络互访关系的多级钻取，通过“一键溯源”按钮进行威胁关系的自动拓展；支持联动APP导入、更新、卸载，对每类APP联动资产数进行管理统计，联动APP信息包括厂商、APP版本号、开发语言、支持设备型号、开发者、更新时间、描述信息等；支持根据APP名称、设备名称、设备标签、动作名称、动作URI、APP类型、APP状态等进行APP检索；运维管理对接入到平台的探针进行统一运维监控，平台上可查看探针注册时间、设备IP、版本信息、许可证信息、数据上送条数、CPU利用率、内存使用率、磁盘使用率、网络流量大小、数据上送条数等，并支持许可的导入和导出；部署要求需要合同签订后，7个工作日内完成部署、测试和上线运行。（需要提供承诺函并加盖公章）原厂资质工具厂商具备国家信息安全测评信息安全服务资质-数据安全类证书，提供证书复印件；交付物安全态势分析报告5、基线检查服务技术指标指标要求服务范围采购人指定系统（包括本地及政务云资产）服务频率及4次/年期限服务内容通过人工现场设备检查的方式对采购人信息系统等进行全面的安全基线配置核查和分析，发现配置的不合规项，并结合实际需求提出系统整改建议。服务工具1、支持主流操作系统的基线配置检查，包括但不限于WindoWs、Linux>SUSe、HP-UX>Solaris>AIX>Debian；2、支持的数据库基线配置检查包括但不限于Informix>DB2、MySQL>SQLServer>Oracle；3、支持的应用程序基线配置检查包括但不限于EXChange、Bind、Tongweb>Tomcat>WebSphere>Apache>Weblogic>IHS、IIS、Domino>Resin>Jboss>Nginx；4、基线核查的标准至少支持公安部等级保护基本要求和工信部电信网和互联网安全防护基线配置要求及检测要求。5、政务云资产需利用采购人已有安全设备，或采购人指定的政务云基线检查工具开展基线检查服务。交付物基线检查报告6、系统上线检查服务技术指标指标要求服务范围采购人服务期内新上线系统服务频率及期限按需服务内容采用专业工具和安全专家人工检测相结合的方式，对采购人新上线系统进行安全检查服务，及时发现可能存在的安全漏洞，提出安全建设整改建议，作为漏洞修复和加固整改的参考依据，确认修复整改后方可上线。交付物系统上线检查报告7、代码审计服务技术指标指标要求服务范围米购人指定系统服务频率及期限按需（不少于4次/年）服务内容针对采购人指定系统，收集当前系统的源代码，在了解业务流和各模块功能和结构的情况下，以OWASPTOPlo为检查依据，检查系统代码在程序编写上的安全性和脆弱性以及结构性安全。源代码安全性审计主要内容应包括：1、分析源代码是否能追溯到需求；2、分析源代码是否符合支持工具和编程语言分析；3、分析源代码是否满足模块化、可验证、易安全修改的要求；4、分析软件编码中所使用技术的安全性和方法的合理性。服务工具1、支持C、C+、Java、JavaScriptJSP、PHP、Android>Python>ShelkGO、SQL编程语言；2、支持对有源码以及编译结果的素材进行扫描与分析；3、支持对无源码（如无源码的APk或Jar包）的素材进行扫描与分析；4、报告应能够提供对项目缺陷的数量统计以及单个缺陷的状态更新对比，支持以EXCEL、H