態(tài)勢感知安全服務項目

態(tài)勢感知安全服務項目安全服務分包一：安全運維服務服務內(nèi)容：網(wǎng)絡安全技術支持服務：安全咨詢；信息安全規(guī)劃服務；關鍵信息基礎設施風險評估；合規(guī)性協(xié)查服務；脆弱性檢查服務；失陷主機檢測；滲透測試服務；應急響應；安全培訓；安全預警及通告。網(wǎng)絡安全綜合治理服務：網(wǎng)絡安全技術防護體系檢查；網(wǎng)絡安全應急工作落實；信息安全等級保護制度落實。安全運維服務工具：網(wǎng)絡安全監(jiān)測探針、大數(shù)據(jù)威脅分析系統(tǒng)、失陷主機檢測工具。（供應商自行采購或租賃并免費提供予業(yè)主方使用）安全服務分包一。技術參數(shù)：序號服務總項服務分項描述輸出備注1網(wǎng)絡安全綜合治理服務網(wǎng)絡安全技術防護體系檢查協(xié)助采購人檢查區(qū)域內(nèi)教育重要信息系統(tǒng)的網(wǎng)絡邊界防護措施，網(wǎng)絡接入安全措施；防病毒、防攻擊、防癱瘓、防泄密措施及有效性；無線局域網(wǎng)安全接入防護措施；服務器、網(wǎng)絡設備、安全設備等安全策略配置及有效性，應用系統(tǒng)安全功能設置及有效性；終端計算機、移動存儲介質(zhì)安全防護措施；重要數(shù)據(jù)傳輸、存儲的安全防護措施；重要網(wǎng)絡安全漏洞修復情況等。安全綜合治理方案，檢查表網(wǎng)絡安全應急工作落實協(xié)助采購人檢查網(wǎng)絡與信息安全通報工作機制建設情況；網(wǎng)絡安全事件應急預案制度修訂情況、應急演練開展情況、災難備份和恢復措施建設情況、應急資源配備和建設情況；重大安全事件處置及查處情況等。安全綜合治理方案，檢查表信息安全等級保護制度落實按照《信息系統(tǒng)安全等級保護基本要求》（GB/T22239-2008）、《信息系統(tǒng)安全等級保護定級指南》（GB/T22240-2008）、《信息系統(tǒng)安全等級保護實施指南》（GB/T25058-2010）要求，協(xié)助采購人檢查信息系統(tǒng)分級分類管理落實情況，開展信息系統(tǒng)定級備案、安全測評和技術層面和管理層面安全建設整改情況。安全綜合治理方案，檢查表2網(wǎng)絡安全技術支持服務安全咨詢參照ISO27001國際信息安全管理體系、國家信息安全等級保護管理體系文件，協(xié)助采購人建立和完善網(wǎng)絡安全風險防控體系，明確各部門職責崗位權限劃分和責任歸屬，建立管理人員或操作人員執(zhí)行的日常管理操作規(guī)程等。服務頻率為一年服務期內(nèi)兩次。每年2次安全咨詢報告一年信息安全規(guī)劃服務對重醫(yī)附一的信息化和信息安全建設情況開展調(diào)研，協(xié)助編制《重醫(yī)附一信息安全總體規(guī)劃》在規(guī)劃中對安全現(xiàn)狀、存在的主要問題、機遇與挑戰(zhàn)進行分析；提出未來3-5年的信息安全工作的戰(zhàn)略、方針和目標；梳理信息安全工作的主要任務和內(nèi)容；形成相應的實施路線圖；提出信息安全建設實施的重點工程；給出規(guī)劃實施管理和保障相應措施的建議。服務頻率為一年服務期內(nèi)一次。重醫(yī)附一網(wǎng)絡信息安全總體規(guī)劃關鍵信息基礎設施風險評估提供每年兩次的關鍵信息基礎設施的風險評估服務，評估網(wǎng)絡結構、網(wǎng)絡設備、服務器主機、中間件、數(shù)據(jù)庫系統(tǒng)、數(shù)據(jù)和用戶賬號/口令等安全對象目標存在的安全風險、漏洞和威脅，并提出相應整改建議，出具風險評估報告。服務頻率為一年兩次。每年2次風險評估報告合規(guī)性協(xié)查服務上級主管檢查前開展自查，依據(jù)標準分析差距，查漏補缺，完成整改，確保系統(tǒng)安全狀態(tài)高于平均基線，同時在檢查時，提供檢查所需一切技術配合工作。服務頻率為一年服務期內(nèi)一次。脆弱性檢查服務對采購人現(xiàn)有系統(tǒng)的服務器、網(wǎng)絡設備、數(shù)據(jù)庫系統(tǒng)、應用中間件、安全設備的暴露面進行脆弱性檢測與分析，并出具脆弱性評估報告。服務頻率為一年一次。配置核查報告失陷主機檢測針對終端、服務器建立終端威脅評估手段，通過終端的威脅特征及潛在威脅風險、安全缺陷進行抓取、分析、評估，幫助用戶去檢測、評估、自查本身終端安全威脅和風險服務頻率為一年一次失陷主機檢測報告滲透測試服務派遣專業(yè)團隊對采購人指定的重要信息系統(tǒng)、網(wǎng)絡信息系統(tǒng)進行抵抗入侵攻擊能力測試。服務頻率為一年一次。滲透測試報告應急響應根據(jù)重醫(yī)附一系統(tǒng)實際運行情況，模擬可能發(fā)生的運行事件制定相應的應急預案，并協(xié)助組織應急演練。同時當發(fā)生網(wǎng)絡安全事件時，通過遠程和現(xiàn)場支持的形式協(xié)助對遇到的突發(fā)性安全事件進行緊急分析和處理。提供設備幫助用戶發(fā)現(xiàn)威脅、感知威脅、處置威脅，為用戶提供針對高級威脅的檢測、響應、溯源一體化解決方案，應急市場一般不超過一個月。服務頻率為一年服務期內(nèi)一次。應急響應方案安全培訓提供每年2次的對區(qū)域內(nèi)相關人員進行網(wǎng)絡安全與信息安全培訓，提供培訓所需的電子材料，通過大量的當前典型安全事件導入，強化人員安全意識，理解安全問題的重要性，掌握工作中的基本安全知識和安全技能。每年2次安全培訓方案安全預警及通告提供全年服務，對最新安全威脅信息及安全事件及時通告。以郵件、傳真、電話、現(xiàn)場匯報等方式進行預警通告，協(xié)助采購人及時了解下達最新安全動態(tài)，進行補丁更新，做好安全策略調(diào)整，完善安全保護措施。主要預警通告包括：系統(tǒng)漏洞安全通告（Windows、AIX、Linux、Solaris等）應用漏洞安全通告（Oracle、SQLServer、Sybase、Weblogic、Apache等)產(chǎn)品漏洞安全通告（含國內(nèi)產(chǎn)品、進口安全產(chǎn)品等)行業(yè)安全事件通告（醫(yī)療行業(yè)發(fā)生的熱點安全事件通告與分析）。安全通告服務資質(zhì)要求安全服務原廠商具備《國家信息安全測評中心信息安全服務資質(zhì)證書安全工程類三級》安全服務原廠商需具備CNCERT/CC網(wǎng)絡安全應急服務國家級支撐單位，為CNNVD技術支撐單位資質(zhì)以下所有安全運維服務工具，須由供應商自行采購或租賃并免費提供予業(yè)主方使用：服務設備描述網(wǎng)絡安全監(jiān)測探針（1套）1、軟硬一體流量探針，硬件配置應不低于：CPU：IntelE5-2630主頻2.20GHz以上；內(nèi)存：≥32G；電源：支持冗余電源；存儲：≥4TB；接口：2×1GE千兆電口（管理口），2×1GE千兆電口（監(jiān)聽口），2×10GE萬兆光口（監(jiān)聽口）；并發(fā)會話：≥350W；新建會話：≥4W；流量吞吐：≥4Gbps。2、支持常見協(xié)議識別并還原網(wǎng)絡流量，用于取證分析、威脅發(fā)現(xiàn)，支持：http、dns、smtp、pop3、imap、webmail、DB2、Oracle、MySQL、sqlserver、Sybase、SMB、FTP、SNMP、telnet、nfs等3、支持對流量中出現(xiàn)文件傳輸行為進行發(fā)現(xiàn)和還原，并記錄文件MD5發(fā)送至分析設備，如可執(zhí)行文件（EXE、DLL、OCX、SYS、COM、apk等）、壓縮格式文件（RAR、ZIP、GZ、7Z等）、文檔類型文件（word、excel、pdf、rtf、ppt等）4、支持常見數(shù)據(jù)庫協(xié)議的識別或還原：DB2、Oracle、SQLServer、Sybase、MySQL、MongoDB、PostgreSQL等協(xié)議;(提供截圖證明)5、支持自定義協(xié)議，可自定義私有協(xié)議(提供截圖證明)6、支持威脅情報實時匹配檢測和自定義威脅情報(提供截圖證明)7、支持語義分析檢測，提升未知威脅檢測能力(提供截圖證明)8、支持旁路IP阻斷、域名阻斷及重定向（提供截圖證明）9、支持與分析平臺、文件威脅鑒定器、Hadoop平臺（kafka）、syslog服務器等聯(lián)動（提供截圖）大數(shù)據(jù)威脅分析系統(tǒng)（1套）軟硬一體設備，硬件配置應不低于：CPU：Intel(R)Xeon(R)CPUE5-2630*22.20GHz以上，內(nèi)存256G以上，硬盤48T以上；接口：4×1GE千兆電口。2、能夠采集探針數(shù)據(jù)，能夠存儲所有采集還原后的關鍵流量數(shù)據(jù)（提供截圖證明）。3、支持基于威脅情報的威脅檢測，檢測類型包含APT事件、僵尸網(wǎng)絡、勒索軟件、流氓推廣、竊密木馬、網(wǎng)絡蠕蟲、遠控木馬、黑市工具、其他惡意軟件，并可自定義威脅情報(提供截圖證明)4、支持對告警從多維度進行分析展示，維度包含：威脅情報、WEB攻擊、郵件攻擊、惡意軟件、終端、沙箱、攻擊鏈（偵察、入侵、命令控制、橫向滲透、數(shù)據(jù)外泄、痕跡清理5、可基于機器學習和行為模型進行未知威脅和異常行為的檢測，可檢測異常行為包含：業(yè)務資產(chǎn)主動外連、HTTP代理、SOCKS代理、異常DNS服務器、DNSTunnel、reGeorgTunnel、DGA域名、異地賬號登錄、暴力破解、明文密碼泄露、弱口令監(jiān)測、敏感關鍵詞郵件、敏感后綴郵件。6、支持DGA域名發(fā)現(xiàn)，通過結合機器學習技術發(fā)現(xiàn)動態(tài)惡意域名，檢測行為特征包含包含請求域名以及檢測的準確率(提供截圖證明)7、支持弱口令監(jiān)測、暴力破解，檢測行為特征包含：登錄IP歸屬、使用協(xié)議、爆破次數(shù)、爆破成功與否(提供截圖證明)8、威脅事件的追蹤溯源分析能力，可基于事件告警進行調(diào)查分析，對攻擊過程進行可視化展現(xiàn)，可展示命中威脅情報的內(nèi)部主機之間的連接行為，能輸出完整的基于時間序列和攻擊鏈的事件報告，事件報告支持word格式導出9、流量日志至少包含異常報文、域名解析、文件傳輸、郵件行為、Web訪問、登錄動作、FTP控制通道、數(shù)據(jù)庫操作、LDAP行為、SSL加密協(xié)商等流量行為日志，并可按照以上應用協(xié)議的各個關鍵字段搜索日志（提供截圖證明）10、支持對日志進行導出備份以及導入恢復（提供截圖證明）11、支持展示網(wǎng)絡風險指數(shù)、攻擊三維地圖展示、告警統(tǒng)計、受害主機統(tǒng)計、威脅檢測統(tǒng)計、APT事件統(tǒng)計、攻擊回溯、異常行為TOP5統(tǒng)計、攻擊源國家TOP5統(tǒng)計、網(wǎng)絡流量展示等內(nèi)容(提供截圖）12、投標產(chǎn)品具備《公安部銷售許可證》、《計算機軟件著作權登記證書》，提供證書復印件并加蓋原廠公章；13、投標產(chǎn)品原廠商應具備較強的安服服務能力和漏洞挖掘能力，提供2017年1月1日至今CNVD原創(chuàng)漏洞提交證明（數(shù)量應不少于30000條）,提供以上證明材料復印件并加蓋原廠公章。失陷主機檢測工具（1套）即插即用小型便攜設備，內(nèi)置國密芯片，配備專用安全接口，保證整個評估過程的安全性和保密性。擁有AVE啟發(fā)式殺毒引擎、QEX特征識別引擎、BD引擎，能夠?qū)χ鳈C惡意樣本、APT樣本進行檢測，對主機進行快速掃描，對感染病毒、APT等進行檢測、定位和查殺、刪除等。提供產(chǎn)品外觀照片等證明材料。安全服務分包二：互聯(lián)網(wǎng)安全監(jiān)測服務服務內(nèi)容：互聯(lián)網(wǎng)安全監(jiān)測服務：網(wǎng)站安全監(jiān)測服務、安全漏洞通報服務、網(wǎng)絡安全監(jiān)測預警等互聯(lián)網(wǎng)安全服務。安全報告結果可通過國家安全中心重慶分中心（CQCNCERT）蓋章確認。技術參數(shù)：序號服務項描述輸出1網(wǎng)站安全監(jiān)測服務CNCERT依托國家網(wǎng)絡安全監(jiān)測平臺，在我國公共互聯(lián)網(wǎng)上，開展針對用戶單位擁有的網(wǎng)站（具體信息由用戶單位提供）的網(wǎng)絡安全外圍性監(jiān)測和預警通報，協(xié)助用戶單位及時發(fā)現(xiàn)網(wǎng)站的安全事件和存在隱患。在監(jiān)測發(fā)現(xiàn)針對用戶單位網(wǎng)站的一般安全事件后，CNCERT及時以郵件形式內(nèi)向用戶單位指定人員通報；監(jiān)測發(fā)現(xiàn)較大級別以上的網(wǎng)絡安全事件后，CNCERT第一時間通過電話或短信向用戶單位指定人員通報，同時以郵件形式通報事件發(fā)生具體情況，并對用戶單位處置這類安全事件提供一定的遠程技術支持服務。無2安全漏洞通報服務CNCERT依托于運行管理的國家信息安全漏洞共享平臺（CNVD），收集、分析涉及用戶單位的安全漏洞，一旦發(fā)現(xiàn)涉及用戶單位相關產(chǎn)品安全漏洞后，第一時間向用戶單位郵件通報，并向用戶單位提供遠程技術支持服務。一個季度有無漏洞都通報一次。每季度漏洞通報。網(wǎng)絡安全監(jiān)測預警（一） 甲方針對涉及乙方的互聯(lián)網(wǎng)輿情和重大突發(fā)事件在信息監(jiān)測、分析、研判以及課題研究等方面，根據(jù)乙方需求提供咨詢和具體的技術支撐。甲方通過行業(yè)安全監(jiān)管優(yōu)勢每月提供醫(yī)療行業(yè)的互聯(lián)網(wǎng)輿情和重大突發(fā)事件報告和安全防護建議分析報告給乙方進行參考學習，以便乙方開展信息分析研判以及課題研，幫助乙方提高防護能力，如乙方發(fā)生報告中類似安全事件，甲方有義務給乙方提供咨詢和具體的技術支撐，配合乙方解決問題。每年2次，輸出物《半年度互聯(lián)網(wǎng)輿情和重大突發(fā)事件報告及安全建議》、《應急安全事件處理報告》。（二） 甲方在關鍵信息基礎設施和重要信息系統(tǒng)安全防護、風險評估、安全檢查、等級保護測評等方面，根據(jù)乙方需求提供咨詢和具體的技術支撐。甲方每半年按照等保2.0要求通過行業(yè)內(nèi)通用安全檢查工具（2款及以上檢測設備交差檢查）對乙方關鍵信息基礎設施和重要信息系統(tǒng)安全防護、風險評估、安全檢查、等級保護測評等方面工作進行安全檢查并提供檢查整改建議和整改后復核達標報告，以便乙方進行整改和相應加固處理過程管控，并在檢查整改期間提供乙方需要的安全咨詢和技術支撐每年2次，輸出物《半年度安全檢查、加固建議報告》、《半年度安全檢查、加固復核報告》。（三） 甲方在網(wǎng)絡安全態(tài)勢感知、信息收集、預警通報和應急協(xié)調(diào)處置等方面，根據(jù)乙方需求提供咨詢和具體的技術支撐。甲方通過行業(yè)內(nèi)監(jiān)管優(yōu)勢每月提供行業(yè)安全態(tài)勢、信息通報和安全預警報告，對重大突發(fā)安全事件和重要保障時間需提供及時告警通知，在乙方出現(xiàn)通報類安全事件之前需及時通知乙方并進行安全預警溝通和應急協(xié)調(diào)處理，必要情況下提供相應技術支撐工作，不得無故使乙方承擔行業(yè)通報等安全風險。每年2次，輸出物《半年度安全行業(yè)態(tài)勢報告及安全預警報告》、《應急安全事件處理報告》。3服務資質(zhì)要求投標人資質(zhì)要求：1、投標人具有ISO/9001質(zhì)量管理體系認證證書。2、投標人具有ISO/27001信息安全管理體系認證證書。3、投標人具備中國網(wǎng)絡安全審查技術與認證中心（CCRC)頒發(fā)的“信息安全服務資質(zhì)認證證書”（包含信息安全應急處理）。供應商要求：1、中標供應商需提供最近兩年（2017-2018）期間，曾作為重慶相關政府機構（市級網(wǎng)信辦、CNCERT/CC網(wǎng)絡安全應急服務、網(wǎng)絡與信息安全信息通報中心）支撐單位證明材料，參與過安全檢查工作，有較強的網(wǎng)絡安全檢查經(jīng)驗。須提供支撐證明合同復印件，并加蓋公章，2、中標供應商具備中國網(wǎng)絡安全審查技術與認證中心（CCRC)頒發(fā)的“信息安全服務資質(zhì)認證證書”（容災備份、風險評估、安全運維）三個方向，提供資質(zhì)證書復印件，需加蓋公章。3、中標供應商具有國家保密局頒發(fā)的“涉密信息系統(tǒng)集成資質(zhì)證書”（業(yè)務范圍包含系統(tǒng)集成和運行維護）。4、中標供應商具有重慶信息安全產(chǎn)業(yè)研究院專家?guī)鞂＜一蚓W(wǎng)絡安全顧問等稱號的在職專家。5、中標供應商須為本項目提供1名具備PMP認證資格的項目經(jīng)理，提供資質(zhì)證明，同時為本項目提供的現(xiàn)場實施服務人員須具備CISP資質(zhì)，不低于5人。6、中標供應商需提供技術方案，包括：服務內(nèi)容、服務范圍、技術工具、服務方式、時間和人員安排及提供服務報告模版。安全服務分包三：安全云防護服務服務內(nèi)容：以及抵御OWASPTop10攻擊行為，其中包括：SQL注入，跨站腳本，不安全的直接對象引用等等。漏洞速遞：平臺會將檢測結果概要以郵件、微信、短信的方式發(fā)送給用戶。同時，為了起到漏洞預警的效果，一旦出現(xiàn)大規(guī)模1day漏洞爆發(fā)事件，管理員會及時通過平臺發(fā)出事件通知。技術參數(shù)：序號服務項描述輸出1服務平臺能力云服務平臺能夠提供常備不少于600G帶寬儲備；最大可彈性擴容至4TB；流量清洗服務器不少于1000個；線路支持：中國電信、中國移動、中國聯(lián)通骨干帶寬；無2WEB安全防護支持DNS負載均衡，提供多個DNS地址配置，不少于5個；支持混合解析，分省、分運營商、CDN+回源混合解析；支持泛解析，利用通配符*（星號）來做次級域名，以實現(xiàn)所有的次級域名均指向同一IP地址；無線路支持：提供多條運營商高速寬帶。不少于50條。提供主要鏈路服務截圖無通過云WAF等方式，對用戶的訪問請求進行監(jiān)控過濾；能夠抵御通用類型的SQL注入、文件包含、遠程命令、WEBSHELL、XSS跨站、代碼執(zhí)行、文件注入等攻擊威脅；協(xié)議支持：http、https、HSTS、websocket；無提供DDOS攻擊防護能力，至少支持5G流量攻擊峰值無能夠隱藏被防護網(wǎng)站的真實IP地址；無支持自主設置IP的WAF攔截黑名單；支持自主設置WAF攔截IP白名單；無能夠支持端口設置功能；支持配置非80、443端口以外的HTTP端口及端口轉(zhuǎn)發(fā)策略；支持不少于200個非標準端口轉(zhuǎn)發(fā)服務提供非標準服務端口列表信息截圖無能夠識別出不少于50種常見Web掃描器的自動化掃描和攻擊行為，并進行阻斷；無支持防護的URL地址（URL白名單）、不允許訪問的URL地址（URL黑名單）各100條。無支持不進行防護的IP地址（IP白名單）、不允許訪問的IP地址（IP黑名單）各100條。無能夠支持報表自定義日期查詢數(shù)據(jù)和日志下載功能，支持7天內(nèi)訪問/攻擊日志的自主下載功能；無3管理功能可以支持自適應提供現(xiàn)有業(yè)務規(guī)模20倍的彈性防御能力支持多等級權限賬號系統(tǒng)系統(tǒng)，可以設置超級管理賬號，報表子賬號，域名管理者子賬號等類別支持基于不同功能組合的賬號角色自定義支持云端https，并回源http；h