2016年信息化建设项目安全服务要求.docxVIP

2016年信息化建设项目安全服务要求 本项目引入第三方安全服务机构提供详细的安全建设方案及指导意见，尤其对安全等级保护方面建设的全程监督，避免项目在建设完后仍需要重新进行安全等级保护整改工作。 在项目验收阶段对项目承建单位建设和迁移的信息系统进行第三方测试，并提供系统测试报告，以及符合信息化项目建设要求的安全等级保护评测报告。 总体服务要求 安全等保咨询及测评 根据建立的信息安全管理运维体系对客户的信息安全系统进行实时的维护管理，针对信息系统安全软、硬件提供全面的安全服务，对信息系统从软件、数据安全、通信安全、基础设施安全、安全管理制度等方面进行检测是否达标。服务商需协助中心完成信息系统等级保护定级备案工作形成了《定级报告》，并取得当地公安部门颁发的《信息系统安全等级保护备案证明》。 应用软件方面主要包括：系统登录是身份鉴别安全控制方面、访问安全控制、安全审计方面、软件容错、资源控制；通信方面主要包括：通信完整性、通信必威体育官网网址性、抗抵赖性；数据方面：数据完成性、数据必威体育官网网址性、备份和恢复方面；安全管理制度方面主要：管理制度方面。 系统测试 对项目承建单位建设和迁移的系统的测试进行第三方的测试服务，包括但不限于详细的测试方案、性能测试、功能测试以及相关的代码审计工作，并提供第三方的测试报告。服务内容包括需求分析审查、设计审查、代码审查、单元测试、功能测试、性能测试、安全性测试、可靠性测试、资源占有率测试、安装配置测试、兼容性测试、可扩充性测试、文档测试以及最终的验收测试等。测试并不仅仅是为了要找出错误，还需要对错误进行归类和总结，通过分析错误产生的原因和错误的分布特征，可以帮助用户发现当前所采用的软件过程的缺陷，以便改进，更好地帮助用户提供服务。 安全产品采购及安全验证 为进一步提升系统安全防护水平，满足安全等级保护三级标准要求，本项目拟购置Web应用防护系统及文件加密系统等安全防护产品（产品购买后永久免费使用），及完成安全防护产品的安装部署工作，并对安全防护产品的有效性开展专项的安全检测及验证工作。 服务内容要求 等保咨询及测评服务要求 安全服务商需按等保3级要求对云平台安全测评，通过进行综合分析，评测云平台是否达到等保3级要求，并提供整该意见，直至满足要求。服务内容包含但不限于以下方面： 2.1.1渗透测试服务 渗透测试是由具备高技能和高素质的安全服务人员发起、并模拟常见黑客所使用的攻击手段对目标系统进行模拟入侵，找出未知系统中的脆弱点和未知脆弱点。渗透测试服务的目的在于充分挖掘和暴露系统的弱点，向用户提供安全建议。 渗透测试服务的范围主要包括了操作系统、应用系统、WEB程序和网络设备。 操作系统包括：Windows、发行版Linux、AIX、Solaris、FreeBSD等主流系统。 应用系统包括：Oracle、MySQL、MSSQL、Sybase、DB2、Informix等主流数据库，Apache、IIS、Tomcat、Weblogic等主流WEB服务器，FTP、DNS等主流应用服务器。 WEB程序包括：ASP、PHP、JSP、.NET、Perl、Python、Shell等语言编写的WEB程序。 网络设备包括：常见厂商的路由器、交换机等设备。 2.1.2配置核查服务 通过手工检查的方式对平台整体进行安全评估。检查发现安全设备和系统是否存在以下问题： （1）是否最优的划分了VLAN和不同的网段，保证了每个用户的最小权限原则； （2）重要的网段之间是否进行了必要的隔离措施； （3）路由器、交换机等网络设备的配置是否最优，是否配置了安全参数； （4）安全设备的接入方式是否正确，是否最大化的利用了其安全功能而又占系统资源最小，是否影响业务和系统的正常运行； （5）主机服务器的安全配置策略是否严谨有效； （6）是否配置最优，实现其最优功能和性能，保证网络系统的正常运行； （7）自身的保护机制是否实现； （8）管理机制是否安全； （9）为网络提供的保护措施是否正常和正确； （10）是否定期升级或更新； （11）是否存在漏洞或后门。 2.1.3安全风险评估服务 信息安全风险评估主要包括网络系统风险评估、主机系统风险评估、应用系统风险评估、数据库风险评估、安全管理风险评估。 （1）网络系统风险评估 网络系统风险评估主要内容包括： 1）基础网络架构：网络整体拓扑结构设计合理；安全区域划分符合业务系统要求；选择安全的路由方式；对周边网络接入进行安全控制和冗余设计；对网络流量进行监控和管理；对网络设备和链路进行冗余设计； 2）网络传输加密：根据业务系统的特点选择对业务数据是否进行传输加密；对于网络设备认证过程中敏感的信息进行加密； 3）访问控制和网络审计：对网络的内部及外部边界进行有效访问控制；对网络实施入侵检测和漏洞评估；进行网络日志审计并统一