第六章 技术规格
第六章技术规格
1.概述
1.1项目背景
随着以信息技术为代表的新一轮技术革命的发展,互联网日益成为创新驱动发展的先导力量、国民生产生活的重要信息基础设施,网络安全和信息化工作被提到前所未有的重要位置。习近平总书记指出,“网络安全和信息化相辅相成,安全是发展的前提,发展是安全的保障,安全和发展要同步推进。网络安全和信息化是一体之两翼、驱动之双轮”。缺少了网络的安全,信息化建设就如同空中楼、水中月,缺乏信息化技术的保障,网络安全就成为纸上谈兵,不堪一击。没有网络安全,就没有国家安全,没有信息化,就没有现代化,只有将网络安全和信息化紧密结合起来,发挥“1+1大于2”的效应,才能把控信息化发展的未来,加快我国建设网络强国的步伐。
2014年2月27日,习近平总书记主持召开中央网络安全和信息化领导小组第一次会议,亲自担任中央网络安全和信息化领导小组组长。在这次会上,习近平总书记指出,当今世界,信息技术革命日新月异,对国际政治、经济、文化、社会、军事等领域发展产生了深刻影响。信息化和经济全球化相互促进,互联网已经融入社会生活方方面面,深刻改变了人们的生产和生活方式。
同时,2017年6月1日实施的《中华人民共和国网络安全法》作为我国第
一部网络安全的基本法,明确了部门、企业、社会组织和个人的权利、义务和责任,将网络与信息安全提升到国家安全层面;在《中华人民共和国网络安全法》第十七条中明确提出了“国家推进网络安全社会化服务体系建设,鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务。”第三十八条中提出“关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全
性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。”
采购人根据国家网络安全等级保护协调小组办公室相关工作部署,结合《网络安全法》和国家网络安全等级保护制度要求,为进一步加强本单位信息系统安全管理和技术防范,确保网络与信息系统安全稳定运行,着手开展全面的网络安全检查评估及等保测评工作。
1.2项目目标
通过安全检查评估服务,从物理环境、网络结构、安全和管理等多个维度对采购人信息系统进行检查评估,发现采购人信息系统的潜在风险,并及时提出整改措施进行控制,消除和减少系统风险点,保障采购人信息系统平稳、安全的运行。
通过等级测评工作,对采购人1个三级等保系统和7个等保二级系统进行等级测评工作,确保采购人信息系统顺利通过等级测评。
1.3项目时间要求
合同签订完成后,需在2019年07月31日前完成本项目内容。
1.4项目原则
为实现采购人年度信息系统安全服务项目的总体目标,中标人的服务过程必须遵循以下原则:
?安全保密原则
执行国家《保密法》及有关保密的法律法规,服务过程中凡是涉及到的任何用户信息均属保密信息,不得泄露给第三方单位或个人,不得利用这些信息损害用户利益。
?最小影响原则
要尽可能小的影响系统和网络的正常运行,不能对业务的正常运行产生显著影响(包括系统性能明显下降、网络阻塞、服务中断等),如无法避免,则应对风险进行说明。
?规范性原则
应由专业的安全服务人员依照规范的操作流程进行,对操作过程和结果要有相应的记录,提供完整的服务报告。
?可控性原则
实施信息系统安全服务的工具、方法和过程要在双方认可的范围之内,保证用户对于服务过程的可控性。
?质量保障原则
应特别重视项目质量管理,项目的实施将严格按照项目实施方案和流程进行,并由项目协调小组从中监督、控制项目的进度和质量。
2.服务内容及要求
服务内容包括安全检查评估、等级测评。
具体服务要求如下:
2.1.安全检查评估
2.1.1.服务内容
基于采购人信息系统现状,参照国家信息安全相关法律和规范,对信息系统存在的脆弱性和面临的威胁进行分析评估,分析系统面临的信息安全风险,并在评估分析完成后提出针对性的风险控制规划措施。
?现状调研
针对采购人迁移后的信息系统所依赖的信息系统资产进行梳理,如网络设备、安全设备、主机服务器、操作系统、数据库等资产。
?资产识别
对采购人的信息系统的CIA(机密性、完整性、可用性)三性进行赋值,确定关键资产。
?威胁识别
通过人工访谈和工具被动检测等方式检测采购人当前面临的威胁,如社会威
胁、人员威胁和环境威胁。
?脆弱性识别
物理环境脆弱性识别:通过现场识别等方式确定采购人新的办公场所、新的物理机房当前面临的脆弱性。
网络结构脆弱性识别:采用工具扫描、手工检查等方式对迁移后信息系统的网络设备进行脆弱性评估,如网络的整体安全架构,安全审计。
安全设备脆弱性识别:采用工具扫描、手工检查等方式对迁移后的信息系统的安全设备进行脆弱性评估。主要包括:安全策略设置、系统漏洞、安全管理、审计、身份验证、访问控制等。
服务器脆弱性识别:采用工具扫描、手工检查等式对迁移后信息系统的PC 服务器、小型机进行脆弱性评估。主要包括身份鉴别、访问控制、恶意代码防范、入侵防范等。
应用系统脆弱性识别:采用手工检查等方式对迁移后应用系统进行脆弱性评估。主要:身份验证、访问控制、会话管理、用户数据管理、安全管理、审计等。
桌面终端脆弱性识别:采用工具扫描、手工检查等方式对采购人的桌面终端进行脆弱性评估。主要包括:系统漏洞、安全管理、审计、身份验证、访问控制等。
安全管理脆弱性识别:采用现场查看和人工访谈等方式对采购人现有的信息安全管理进行脆弱性评估。主要包括:安全管理制度、安全管理机构、人员管理、系统运维管理等。
?安全措施识别
通过问卷调查、人工检查等方式识别现有应用系统的有效对抗风险的防护措施(包含技术手段和管理手段)。
?风险分析
资产分析:分析11个信息系统及其关键资产在遭受泄密、中断、损害等破坏时对系统所承载的业务系统所产生的影响。并进行赋值量化。
威胁分析:分析信息系统及其关键资产将面临哪一方面的威胁及其所采用的威胁方法。并依据其发生的可能性和成功后所产生的影响进行赋值量化。
物理环境脆弱性分析:分析信息系统机房物理环境所存在的各方面脆弱性,并依据其脆弱性被利用的难易程度和被成功利用后所产生的影响进行分析,并提出改进建议。
网络架构脆弱性分析:分析网络设备、网络架构所存在的各方面脆弱性,并根据其脆弱性被利用的难易程度和被成功利用后所产生的影响进行分析,并提出改进建议。
安全设备脆弱性分析:分析安全设备所存在的各方面脆弱性,并根据其脆弱性被利用的难易程度和被成功利用后所产生的影响进行分析,并提出改进建议。
服务器脆弱性分析:分析信息系统的PC服务器、小型机所存在的各方面脆
弱性,并根据其脆弱性被利用的难易程度和被成功利用后所产生的影响进行分析,并提出改进建议。
应用系统脆弱性分析:分析信息系统所存在的各方面脆弱性,并根据其脆弱性被利用的难易程度和被成功利用后所产生的影响进行分析,并提出改进建议。
桌面终端脆弱性分析:分析桌面终端脆弱性所存在的各方面脆弱性,并根据其脆弱性被利用的难易程度和被成功利用后所产生的影响进行分析,并提出改进建议。
安全管理脆弱性分析:分析信息系统安全管理所存在的各方面脆弱性,并根据其脆弱性被利用的难易程度和被成功利用后所产生的影响进行分析,并提出改进建议。
安全措施有效性分析:对安全措施所采取后的有效性进行分析,分析其安全措施对防范威胁、降低脆弱性的有效性。
综合风险分析:分析信息系统及其关键资产将面临哪一方面的威胁及其所采用的威胁方法,利用了系统的何种脆弱性,对哪一类资产,产生了什么样的影响,并描述采取何种对策来防范威胁,减少脆弱性,同时将风险量化。
信息安全检查分析:根据北京市电子政务信息安全检查,分析采购人信息安全状况,与北京市信息安全检查工作符合性情况,并提出改进建议。
?风险控制规划
根据安全需求的轻重缓急以及相关标准和电子政务保障框架,制定出合适的安全规划方案。
2.1.2.服务范围
针对现有11个在用信息系统(包括:门户网站系统(2级)、地理信息服
务平台系统(3级)、综合办公系统(2级)、融合数据中心(2级)、业务协
同及重大项目全生命周期管理系统(2级)、移动办公系统(2级)、统计分析
系统(2级)、对外辐射和区域合作系统(2级)、志鉴平台(2级)、新兴企
业挖掘系统(2级)、新技术新产品系统(2级)。
2.1.
3.服务频率
本项服务在服务期内,针对11个系统各开展1次。
2.1.4.服务成果
服务工作完成,需提交如下服务成果
《2019年采购人会网络安全自查工作总结报告》
《2019年电子政务网络安全自查表》
《综合安全风险分析报告》
《综合安全风险控制规划报告》
2.2.等级测评
2.2.1.服务内容
要求聘请具备国家要求相关资质的第三方测评机构,对本单位信息系统进行等级测评及辅助测评服务工作。
2.2.2.服务范围
1个等保三级系统(地理信息服务平台系统);7个等保二级系统(门户网站系统、内部沟通及短信系统、统计分析系统、对外辐射和区域合作系统、志鉴平台、新兴企业挖掘系统、新技术新产品系统)。
2.2.
3.服务频率
本项服务在服务期内,针对8个系统各开展1次测评工作。
2.2.4.提交成果
服务工作完成,需提交《信息系统等级保护测评报告》。