某市社保局安全服务项目实施方案由刀豆文库小编整理,希望给你工作、学习、生活带来方便,猜你可能喜欢“安全服务项目实施方案”。
XX市社保局2015年度信息安全服务项目
实施计划
目 录一、二、项目概述...............................................................................................................................3 项目服务内容.......................................................................................................................4 2.1.风险评估...................................................................................................................4 2.2.设备安全加固...........................................................................................................5 2.3.安全管理体系建设...................................................................................................6 2.4.等级保护测评.........................................................................................................14 2.5.安全技术运维.........................................................................................................17 2.6.安全咨询、宣传培训及安全专家服务..................................................................20 2.7.上级部门交办的安全自查与整改工作资金概算..................................................20 2.8.通过部署安全配置审计、身份验证令牌等手段,加强系统安全基线审计错误!未定义书签。
2.9.安全证书服务.........................................................................错误!未定义书签。2.10.建立安全运维体系..............................................................................................21 2.11.信息安全实时监控服务..........................................................错误!未定义书签。2.12.网站和网办安全服务..........................................................................................22 项目实施时间及成果文档.................................................................................................34三、一、项目概述
经过多年建设XX社保中心已经初步建成完善的信息系统,为XX社保中心重要业务系统的有效开展提供了强有力的支撑。同时,信息系统的安全可靠运行是确保XX社保中心主营业务正常开展的必要条件。
在信息科技发展的同时,各种黑客手段、病毒技术、木马技术也在飞速发展,信息安全问题在信息化的过程中也日益突出,XX社保中心的信息系统建设必须面对日益严峻的信息安全问题。尽管XX社保中心近几年来通过持续的安全建设,形成了初步的单纯依靠安全设备的安全防护体系。但从目前的国内外安全环境以及法律法规的角度来看,仅是单单依靠安全设备,是无法解决XX社保中心的整体信息安全防护需求的。必须引入综合安全服务,结合专业的信息安全服务团队,解决诸多安全设备无法直接解决的安全问题,共同形成确保业务系统安全、稳定运营的综合安全保障措施。
因此,根据目前实际情况,XX社保中心需要引入以安全风险识别、安全风险控制、安全体系完善、日常安全运维、安全宣传、安全培训、网站安全监控、等级保护测评等主要内容的综合信息安全服务保障,切实提高XX社保中心的信息安全保障能力。
二、项目服务内容
综合安全服务要求包含风险评估、设备安全加固、安全管理体系建设、等级保护测评、安全技术运维、安全咨询及宣传培训、上级部门交办的安全自查和整改、通过部署安全配置审计身份验证令牌等技术手段加强技术控制、安全服务证书、建立安全运维体系、信息安全实时监控服务、网站和网办安全服务等内容,具体要求如下。2.1.风险评估
针对社保的物理机房环境、网络结构、网络服务、主机系统、中间件、数据库系统、容灾系统及数据存储安全、应用系统、应用代码、安全系统、安全相关人员、处理流程、安全管理制度、安全策略等对象进行评估,包括采用漏洞扫描、人工安全审计、渗透测试、代码安全审计、客户端测试等方法,深入且全面的掌握社保中心的安全现状,为后续的持续安全改进提供科学、详细的依据。主要内容包括:
建立安全风险模型:评估前建立安全风险模型,该模型必须包含但不限于以下要素:资产、影响、威胁、漏洞、安全控制、安全需求、安全风险,投标人应详细描述其风险模型的各个要素及之间的关系,并包括对威胁、漏洞、风险的等级划分标准。安全评估必须按照分层的原则,包括但不限于以下对象:物理环境、网络结构、网络服务、主机系统、数据、应用系统、安全系统、安全相关人员、处理流程、安全管理制度、安全策略等。 信息资产评估:收集社保中心所有信息资产,包括所有的有形资产和无形资产,如服务器、网络设备、存储设备、应用软件、数据、人员、管理等。并对所有资产根据关键安全要素进行赋值,为评估阶段的风险计算和安全优化阶段的风险控制提供依据。
安全审计:对社保中心的服务器和网络设备进行安全审计。其中,服务器的安全审计包括操作系统安全(WINDOWS、LINUX、Solaris、AIX)审计和应用软件(如数据库、IIS、APACHE、TOMCAT、WEBLOGIC)的安全审计。安全审计的每台被审计设备也必须体现CIA三要素包含的安全性、完整性、可用性。
漏洞扫描:漏洞扫描针社保中心的主要IT设备(服务器,网络设备,安全设备)得自身脆弱性进行安全评估。扫描内容包括端口扫描、系统扫描、漏洞扫描、数据库等应用软件扫描等,服务完成后应提供扫描报告,解决方案并对发现漏洞给予解决。
数据安全威胁分析:通过入侵检测系统对社保中心信息安全所面临的威胁进行细致分析,并给出报告。报告必须包括网络事件协议类型统计及对比饼图、事件危险级别统计及对比
饼图、事件攻击类型统计及对比饼图、信息安全性综合分析等。
网络结构安全分析:为降低社保中心整体网络安全风险、增强IT内控的实效性、更清晰的评价和监控现有安全状况,需要对网络结构进行分析,并结合业务情况进行安全域的规划设计。安全域设计需要对社保中心现有网络按照等级分为域、区、单元三个级别,描述安全域划分步骤及边界防护原则,对现有网络结构的每项不足之处提出可执行的措施,并在安全优化阶段实施。
渗透测试服务:对所有业务应用系统进行渗透测试。
源代码审核:针对用户应用系统的白盒测试,主要目的是发现系统代码层的安全问题,并提出解决方案。源代码审核需要包括以下内容,且服务方需要形成源代码审核模型图:(1)审核业务流程中是否存在可被绕开的漏洞;(2)审核业务系统源代码中是否有一般性的漏洞类型;
(3)审核业务系统源代码中因需要开放给管理员或用户而可能导致的隐蔽漏洞;(4)给出加固解决方案;
(5)对代码中不符合安全规范的部分进行规范;(6)对今后代码编写的安全措施给出指导意见。(7)检查出代码中存在的安全漏洞。
综合风险分析:在对社保中心信息体系的各个层次进行技术安全评估基础上,综合分析社保中心信息系统面临的各方面威胁,依靠定量计算和定性分析结合的方式,计算出社保中心各方面的风险级别,并提出解决措施。
月度动态安全评估。结合每月的安全运维工作,随时获取信息系统安全要素的最新安全情况,监控社保中心信息系统的最新安全动态情况,并根据需要调整安全策略,确保应对最新的安全威胁。 数据安全保护
对业务数据、数据库系统提供实施保护技术服务,协助用户对数据设计及数据库漏洞进行分析整改,对敏感数据进行过滤规划,对测试数据提供脱敏服务。
2.2.设备安全加固
安全整改加固工作对通过安全配置核查、漏洞扫描、渗透测试、策略分析等工作中发现的安全漏洞、安全弱点、安全风险,通过多方面的安全加固措施进行修补。特别对问题源头进行整改与加固,以最大限度的降低风险。包括:
配置核查结果的服务器安全加固 漏洞扫描的服务器安全加固 网络及安全设备的安全加固 边界安全策略的安全加固 渗透测试安全核查结果的安全整改 等级保护差距测评结果的安全整改加固 等级保护验收测评结果的安全整改加固 代码审计结果的协助性加固 病毒库升级
其它技术测试、评估发现问题的安全整改加固。
2.3.安全管理体系建设
根据各类安全标准要求,包括等级保护要求、社保行业要求,以及劳动保障信息中心内部信息系统运行对安全管理的需求,完善中心的安全管理体系。形成并落实信息安全策略、信息安全管理制度、信息安全操作规范等,提高中心安全运营的管理水平。具体制度要求如下:
五个方面包含的主要内容如下:
(1)安全管理机构:
设立信息安全管理工作的职能部门,设立安全主管人、安全管理各个方面的负责人,定义各负责人的职责;
设立系统管理人员、网络管理人员、安全管理人员岗位,定义各个工作岗位的职责; 成立指导和管理信息安全工作的委员会或领导小组,其最高领导应由单位主管领导委任或授权;
制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。 配备一定数量的系统管理人员、网络管理人员和安全管理人员等; 配备专职安全管理人员,不可兼任;
关键区域或部位的安全管理人员应按照机要人员条件配备; 关键岗位应定期轮岗; 关键事务应配备多人共同管理;
授权审批部门及批准人,对关键活动进行审批;
列表说明须审批的事项、审批部门和可批准人;
建立各审批事项的审批程序,按照审批程序执行审批过程; 建立关键活动的双重审批制度; 不再适用的权限应及时取消授权; 定期审查、更新需授权和审批的项目; 记录授权过程并保存授权文档;
加强各类管理人员和组织内部机构之间的合作与沟通,定期或不定期召开协调会议,共同协助处理信息安全问题;
信息安全职能部门应定期或不定期召集相关部门和人员召开安全工作会议,协调安全工作的实施;
信息安全领导小组或者安全管理委员会定期召开例会,对信息安全工作进行指导、决策;
加强与兄弟单位、公安机关、电信公司的合作与沟通,以便在发生安全事件时能够得到及时的支持;
加强与供应商、业界专家、专业的安全公司、安全组织的合作与沟通,获取信息安全的最新发展动态,当发生紧急事件的时候能够及时得到支持和帮助; 文件说明外联单位、合作内容和联系方式;
聘请信息安全专家,作为常年的安全顾问,指导信息安全建设,参与安全规划和安全评审等;
由安全管理人员定期进行安全检查,检查内容包括用户账号情况、系统漏洞情况、系统审计情况等;
由安全管理部门组织相关人员定期进行全面安全检查,检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等; 由安全管理部门组织相关人员定期分析、评审异常行为的审计记录,发现可疑行为,形成审计分析报告,并采取必要的应对措施;
制定安全检查表格实施安全检查,汇总安全检查数据,形成安全检查报告,并对安全检查结果进行通报;
制定安全审核和安全检查制度规范安全审核和安全检查工作,定期按照程序进行安全审核和安全检查活动。
(2)安全管理制度:
制定信息安全工作的总体方针、政策性文件和安全策略等,说明机构安全工作的总体目标、范围、方针、原则、责任等;
对安全管理活动中的各类管理内容建立安全管理制度,以规范安全管理活动,约束人员的行为方式;
对要求管理人员或操作人员执行的日常管理操作,建立操作规程,以规范操作行为,防止操作失误;
形成由安全政策、安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系;
由安全管理职能部门定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定。在信息安全领导小组的负责下,组织相关人员制定; 保证安全管理制度具有统一的格式风格,并进行版本控制; 组织相关人员对制定的安全管理进行论证和审定;
安全管理制度应经过管理层签发后按照一定的程序以文件形式发布; 安全管理制度应注明发布范围,并对收发文进行登记; 安全管理制度应注明密级,进行密级管理;
定期对安全管理制度进行评审和修订,对存在不足或需要改进的安全管理制度进行修订;
当发生重大安全事故、出现新的安全漏洞以及技术基础结构发生变更时,应对安全管理制度进行检查、审定和修订;
每个制度文档应有相应负责人或负责部门,负责对明确需要修订的制度文档的维护; 评审和修订的操作范围应考虑安全管理制度的相应密级。
(3)人员安全管理:
保证被录用人具备基本的专业技术水平和安全管理知识; 对被录用人声明的身份、背景、专业资格和资质等进行审查; 对被录用人所具备的技术技能进行考核; 对被录用人说明其角色和职责; 签署保密协议;
对从事关键岗位的人员应从内部人员选拔,并定期进行信用审查; 对从事关键岗位的人员应签署岗位安全协议;
立即终止由于各种原因即将离岗的员工的所有访问权限; 取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备;
经机构人事部门办理严格的调离手续,并承诺调离后的保密义务后方可离开; 关键岗位的人员调离应按照机要人员的有关管理办法进行; 对所有人员实施全面、严格的安全审查;
定期对各个岗位的人员进行安全技能及安全认知的考核; 对考核结果进行记录并保存;
对违背安全策略和规定的人员进行惩戒; 对各类人员进行安全意识教育; 告知人员相关的安全责任和惩戒措施;
制定安全教育和培训计划,对信息安全基础知识、岗位操作规程等进行培训; 针对不同岗位制定不同培训计划;
对安全教育和培训的情况和结果进行记录并归档保存。
(4)系统运维管理:
系统定级- 应明确信息系统划分的方法; 应确定信息系统的安全保护等级;
应以书面的形式定义确定了安全保护等级的信息系统的属性,包括使命、业务、网络、硬件、软件、数据、边界、人员等; 应确保信息系统的定级结果经过相关部门的批准。安全方案设计- 根据系统的安全级别选择基本安全措施,依据风险评估的结果补充和调整安全措施; 以书面的形式描述对系统的安全保护要求和策略、安全措施等内容,形成系统的安全方案;
对安全方案进行细化,形成能指导安全系统建设和安全产品采购的详细设计方案; 组织相关部门和有关安全技术专家对安全设计方案的合理性和正确性进行论证和审定;
确保安全设计方案必须经过批准,才能正式实施。产品采购- 确保安全产品的使用符合国家的有关规定; 确保密码产品的使用符合国家密码主管部门的要求; 指定或授权专门的部门负责产品的采购; 自行软件开发-
开发环境与实际运行环境物理分开;
系统开发文档由专人负责保管,系统开发文档的使用受到控制; 提供软件设计的相关文档和使用指南; 外包软件开发- 与软件开发单位签订协议,明确知识产权的归属和安全方面的要求; 根据协议的要求检测软件质量;
在软件安装之前检测软件包中可能存在的恶意代码; 要求开发单位提供软件设计的相关文档和使用指南; 工程实施- 与工程实施单位签订与安全相关的协议,约束工程实施单位的行为; 指定或授权专门的人员或部门负责工程实施过程的管理; 制定详细的工程实施方案控制实施过程; 测试验收- 对系统进行安全性测试验收;
在测试验收前根据设计方案或合同要求等制订测试验收方案,测试验收过程中详细记录测试验收结果,形成测试验收报告;
组织相关部门和相关人员对系统测试验收报告进行审定,没有疑问后由双方签字。系统交付- 明确系统的交接手续,并按照交接手续完成交接工作; 由系统建设方完成对委托建设方的运维技术人员的培训;
由系统建设方提交系统建设过程中的文档和指导用户进行系统运行维护的文档; 由系统建设方进行服务承诺,并提交服务承诺书,确保对系统运行维护的支持;
(5)安全运维管理:
环境管理- 对机房供配电、空调、温湿度控制等设施指定专人或专门的部门定期进行维护管理; 配备机房安全管理人员,对机房的出入、服务器的开机或关机等工作进行管理; 建立机房安全管理制度,对有关机房物理访问,物品带进、带出机房和机房环境安全等方面的管理作出规定;
应对机房来访人员实行登记、备案管理,同时限制来访人员的活动范围;
加强对办公环境的保密性管理,包括如工作人员调离办公室应立即交还该办公室钥匙和不在办公区接待来访人员等;
资产管理- 建立资产安全管理制度,规定信息系统资产管理的责任人员或责任部门;
编制并保存与信息系统相关的资产、资产所属关系、安全级别和所处位置等信息的资产清单;
根据资产的重要程度对资产进行定性赋值和标识管理,根据资产的价值选择相应的管理措施。
介质管理- 确保介质存放在安全的环境中,并对各类介质进行控制和保护,以防止被盗、被毁、被未授权的修改以及信息的非法泄漏;
介质的存储、归档、登记和查询记录,并根据备份及存档介质的目录清单定期盘点; 对于需要送出维修或销毁的介质,应首先清除介质中的敏感数据,防止信息的非法泄漏;
根据所承载数据和软件的重要程度对介质进行分类和标识管理,并实行存储环境专人管理。
设备管理- 对信息系统相关的各种设备、线路等指定专人或专门的部门定期进行维护管理; 对信息系统的各种软硬件设备的选型、采购、发放或领用等过程建立基于申报、审批和专人负责的管理规定;
对终端计算机、工作站、便携机、系统和网络等设备的操作和使用建进行规范化管理;
对带离机房或办公地点的信息处理设备进行控制;
按操作规程实现服务器的启动/停止、加电/断电等操作,加强对服务器操作的日志文件管理和监控管理,并对其定期进行检查;
监控管理- 进行主机运行监视,包括监视主机的CPU、硬盘、内存、网络等资源的使用情况; 网络安全管理- 指定专人对网络进行管理,负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作;
根据厂家提供的软件升级版本对网络设备进行更新,并在更新前对现有的重要文件进行备份;
进行网络系统漏洞扫描,对发现的网络系统安全漏洞进行及时的修补;
保证所有与外部系统的连接均应得到授权和批准;
建立网络安全管理制度,对网络安全配置、网络用户以及日志等方面作出规定; 对网络设备的安全策略、授权访问、最小服务、升级与打补丁、维护记录、日志以及配置文件的生成、备份、变更审批、符合性检查等方面做出具体要求; 规定网络审计日志的保存时间以便为可能的安全事件调查提供支持; 系统安全管理- 指定专人对系统进行管理,删除或者禁用不使用的系统缺省账户;
制定系统安全管理制度,对系统安全配置、系统账户以及审计日志等方面作出规定; 对能够使用系统工具的人员及数量进行限制和控制;
定期安装系统的最新补丁程序,并根据厂家提供的可能危害计算机的漏洞进行及时修补,并在安装系统补丁前对现有的重要文件进行备份;
根据业务需求和系统安全分析确定系统的访问控制策略,系统访问控制策略用于控制分配信息系统、文件及服务的访问权限;
对系统账户进行分类管理,权限设定应当遵循最小授权要求;
对系统的安全策略、授权访问、最小服务、升级与打补丁、维护记录、日志以及配置文件的生成、备份、变更审批、符合性检查等方面做出具体要求; 规定系统审计日志的保存时间以便为可能的安全事件调查提供支持; 进行系统漏洞扫描,对发现的系统安全漏洞进行及时的修补; 恶意代码防范管理- 提高所用用户的防病毒意识,告知及时升级防病毒软件;
在读取移动存储设备(如软盘、移动硬盘、光盘)上的数据以及网络上接收文件或邮件之前,先进行病毒检查,对外来计算机或存储设备接入网络系统之前也要进行病毒检查;
指定专人对网络和主机的进行恶意代码检测并保存检测记录;
对防恶意代码软件的授权使用、恶意代码库升级、定期汇报等作出明确管理规定; 密码管理- 密码算法和密钥的使用应符合国家密码管理规定。变更管理- 确认系统中要发生的变更,并制定变更方案;
建立变更管理制度,重要系统变更前,管理人员应向主管领导申请,变更和变更方案经过评审、审批后方可实施变更;
系统变更情况应向所有相关人员通告; 备份与恢复管理- 识别需要定期备份的重要业务信息、系统数据及软件系统等;
规定备份信息的备份方式(如增量备份或全备份等)、备份频度(如每日或每周等)、存储介质、保存期等;
根据数据的重要性和数据对系统运行的影响,制定数据的备份策略和恢复策略,备份策略应指明备份数据的放置场所、文件命名规则、介质替换频率和将数据离站运输的方法;
指定相应的负责人定期维护和检查备份及冗余设备的状况,确保需要接入系统时能够正常运行;
根据备份方式,规定相应设备的安装、配置和启动的流程; 安全事件处置- 所有用户均有责任报告自己发现的安全弱点和可疑事件,但任何情况下用户均不应尝试验证弱点;
制定安全事件报告和处置管理制度,规定安全事件的现场处理、事件报告和后期恢复的管理职责;
分析信息系统的类型、网络连接特点和信息系统用户特点,了解本系统和同类系统已发生的安全事件,识别本系统需要防止发生的安全事件,事件可能来自攻击、错误、故障、事故或灾难;
根据国家相关管理部门对计算机安全事件等级划分方法,根据安全事件在本系统产生的影响,将本系统计算机安全事件进行等级划分;
记录并保存所有报告的安全弱点和可疑事件,分析事件原因,监督事态发展,采取措施避免安全事件发生;
应急预案管理- 在统一的应急预案框架下制定不同事件的应急预案,应急预案框架应包括启动应急预案的条件、应急处理流程、系统恢复流程和事后教育和培训等内容;
对系统相关的人员进行培训使之了解如何及何时使用应急预案中的控制手段及恢复策略,对应急预案的培训至少每年举办一次;
2.4.等级保护测评
1、根据相关要求,对于等级保护2级和3级系统,一年进行一次差距评估,通过差距评估,获取最新的安全薄弱环节,并通过后续工作进行安全整改建设;
2、对于未定级的系统,需进行定级备案,差距测评,安全整改等相关工作。根据等级保护标准以及广东公安厅发文要求,等级保护主要建设流程如下:
等级保护建设目标
等级保护建设框架
信息系统等级保护建设整体流程框架图如下:
等级保护评估是在信息系统定级以后,根据信息系统等保级别进行风险评估,找出与等保标准的差距,进行安全规划设计,即完成等级保护整改方案。
等级保护评估流程
评估指标选择
根据信息系统的安全等级,从等级保护基本要求的指标中选择和组合评估用的安全指标,形成一套信息系统的评估指标,作为评估的依据;将具体评估对象和评估指标进行结合,形成评估使用的评估方案。
等级保护基本要求
《信息系统安全等级保护基本要求》规定了信息系统安全等级保护的基本要求,包括基本技术要求和基本管理要求,适用于不同安全等级的信息系统的安全保护。
技术类安全要求通常与信息系统提供的技术安全机制有关,通过在信息系统中部署软硬件并正确的配置其安全功能来实现;管理类安全要求通常与信息系统中各种角色参与的活动有关,主要是通过控制各种角色的活动,从政策、制度、规范、流程以及记录等方面做出规定来实现。不同安全等级的信息系统,其对业务信息的安全性要求和业务服务的连续性要求是有差异的;即使相同安全等级的信息系统,其对业务信息的安全性要求和业务服务的连续性要求也有差异。因此,对某一个定级后的信息系统的保护要求可以有多种组合。
对基本要求进行选择的过程:基本要求的选择由信息系统的安全等级确定,基本要求包括技术
要求和管理要求。二级系统应该选择
建议。
整改建议包括针对每项安全弱点的有效建议措施,以及从整个系统角度科学的、统筹安排改进措施,确保最小的投入达到整改目标。
2.5.安全技术运维
通过安全技术运维服务工作,充分发挥各类安全设备的价值,并通过专业技术人员的服务工作,完善整个安全技术保障工作。安全技术运维服务工作包括每周的安全设备日志分析与处理,针对所有IT设备每月的漏洞扫描工作,针对网上办事大厅业务、网站业务、医保业务、社保业务、劳动就业业务等业务系统每季度的渗透测试工作,针对新业务系统、新系统模块或新IT设备的上线安全评估工作、针对信息系统的7*24小时应急响应服务工作、针对信息安全预案的修编及年度演练工作、针对设备自身脆弱性的定期安全修补工作等。
安全技术运维过程中,需要用到相关的安全工具。为保证安全工具的先进性,以及避免因为工具的使用而生产法律纠纷等,中标人需要承诺安全服务过程中提供符合要求的安全工具,产权仍属于中标人。
★安全服务过程中提供使用的所有工具必须是国产产品。本项目使用的安全工具具体要求如下:
1、对招标人所有服务器操作系统、客户端和网络及安全设备进行安全漏洞扫描,采用的漏洞扫描工具应满足以下要求:
(1)“综合安全服务”实施团队应具备多年的漏洞研究经验,具备独立漏洞发掘的能力;(2)可扫描的漏洞应不小于3600;
(3)★漏洞扫描工具支持对各种Web应用系统的扫描,支持检测SQL注入漏洞、XSS攻击漏洞、CGI漏洞、网页挂马、关键字检测、网站备案信息、敏感信息泄露等。提供产品截图证明。
(4)★漏洞扫描工具支持对主流数据库的识别与扫描,包括:Oracle、Sybase、SQL Server、DB2、MySQL等,能够扫描的数据库漏洞扫描方法不小于580种。提供产品截图证明。(5)扫描报告中的漏洞应具备统一的CVSS国际标准评分,以准确衡量漏洞的危险级别,为漏洞修补工作的优先级提供指导;
(6)产品具有中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》,要求为增强型,投标时提供证书复印件;
(7)★投标人必须承诺供货时提供该产品针对本项目的原厂授权证明函(需加盖原厂商公
章)。
2、对招标人IT机房设备的别合法终端,并基于此设定无线准入策略,通过射频信号阻止非法AP、终端的接入。(7)无线入侵防御:支持无线扫描、欺骗、DoS、破解等常见无线网络攻击行为的检测、告警、阻断功能,同时支持多种类型流氓AP的检测与阻断。提供产品截图证明。(8)支持无线网络拓扑识别和呈现。提供产品截图证明。
(9)应满足自身安全性需求,设备对外不可见,且不能介入用户业务流程。
(10)★投标人必须承诺供货时提供该产品针对本项目的原厂授权证明函(需加盖原厂商公章)
4、对招标人四个机房及网络系统进行实时安全监控,并结合安全威胁与安全脆弱性对全局安全风险进行预警,便于信息安全专家迅速在安全事件的萌芽状态进行处理,消除安全隐患,确保网络安全、平稳运行。安全态势监控及预警平台须至少满足以下要求:
(1)具有《中国信息安全测评中心信息技术产品安全测评证书》— EAL3,需提供证书复印件
(2)具有《计算机软件著作权登记证书》,需提供证书复印件;(3)采用业界主流的B/S方式,不需要安装客户端;
(4)采用基于浏览器的用户界面,至少支持IE与FireFox。为了适应不同用途,用户可以对界面颜色进行选择调整;
(5)具备很强的扩展性,能够方便的支持现有及未来的各类设备;对新设备的定制支持时间小于5个工作日;
(6)事件处理性能可以达到平均每秒15000条事件;
(7)简单部署,无需安装任何其他软件和组件,用户只需要安装管理中心即可实现对全网资源的安全管理;
(8)在综合展示界面中能够显示系统的基本管理信息,包括当前告警状态、最近告警信息、资产告警排行、事件趋势、监控对象概要信息等。提供产品截图证明。;
(9)系统提供基于资产的拓扑视图,可以显示资产之间的逻辑连接关系。在资产拓扑上选择每个资产节点,可查看每个资产的事件信息、告警信息、漏洞信息、风险信息,并且支持向下钻取,直接进入事件列表、关联告警列表。提供产品截图证明;(10)支持多事件关联,对不同来源的安全事件进行复杂的相关性分析;
(11)★投标人必须承诺供货时提供该产品针对本项目的原厂授权证明函(需加盖原厂商公章)。
5、针对招标人面临的复杂安全局势,避免当前基于特征匹配检测技术的局限性,需要加强技
术手段检测基于未知漏洞或可逃过检测的已知漏洞触发的攻击、检测未知木马的行为、发现不可信的加密信道、APT攻击等。提供的恶意代码检测系统至少满足以下要求:
(1)系统硬件尺寸:2U上架设备。(2)千兆捕包电口(GE)≥ 6个。
(3)旁路部署。设备支持通过流量镜像方式旁路部署的能力。
(4)0day攻击检测。可以对0day攻击进行检测,并在产品界面中中明确表明该攻击是0day攻击还是Nday攻击。提供产品截图证明。
(5)未知恶意代码检测。具备对未知恶意代码具备检测能力,漏报率不高于10%(6)基于行为的攻击检测。具备通过分析攻击行为对攻击进行检测的能力。
(7)支持APT攻击行为记录。支持对APT攻击关键步骤的具体攻击行为进行记录的能力。提供产品截图证明。
(8)可区分0day攻击与Nday攻击。可以明确区分出0day攻击与Nday攻击,并在报警界面中进行展示。提供产品截图证明。
(9)★产品具有中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》,投标时提供证书复印件。
(10)★投标人必须承诺供货时提供该产品针对本项目的原厂授权证明函(需加盖原厂商公章)。
2.6.安全咨询、宣传培训及安全专家服务
1、通过各种安全咨询服务,协助中心工作人员加强信息安全建设,提高整个信息系统运维过程中的安全可控性,协调各信息安全项目按质按量实施,确保中心信息安全建设不断积累、逐步完善、达到更高的安全保障能力;
2、针对普通工作人员,进行安全宣传。包括制作信息安全宣传的FLASH屏幕保护等;
3、针对IT工作人员,提供安全培训。包括安全管理体系的设计、安全管理的执行,安全意识、安全知识等。针对普通工作人员,提供安全意识培训。
4、提供2名安全专家5*8小时驻场服务(节假日除外)。2.7.上级部门交办的安全自查与整改工作资金概算
根据上级部门具体安全要求,落实信息安全专项检查整改,并提交相关安全整改报告。
单位上级部门交办安全自查与整改
根据广东省社会保险基金管理局、中华人民共和国人力资源和社会保障部等上级部门的安全要
求,落实信息安全专项检查工作,包括重要业务系统安全检测工作、重要业务系统安全扫描工作、重要业务系统基线检查工作、重要业务系统应用安全检查工作等,并针对各项检查工作中发现的问题进行整改,提交相关安全整改报告等工作。
行业监管部门交办安全自查与整改
根据行业监管部门的安全要求,落实各项信息安全防护工作。依据行业安全标准相关要求,及时进行各项安全自查与整改工作。如安全检测工作、风险评估、安全管理体系评估等,并针对各项安全自查工作中发现的问题进行整改等。
其它监管部门交办安全自查与整改
参照网监等监管部门的安全要求,依据信息系统等级保护等标准要求和电子政务安全要求,及时进行中心各项核心业务系统的安全自查与整改工作。如信息系统等级保护定级、信息系统等级保护测评、信息系统等级保护安全建设等工作的开展实施。2.8.建立安全运维体系
社保中心负责整个业务系统的运作,包括开发、实施、维护等,涉及的因素多、对象广、流程复杂,对信息安全管理的要求较高,需要建立较为完善的信息安全管理体系并执行,才能发挥安全技术措施的效果,确保持续的整体安全保障能力。通过安全管理体系建设,在满足等级保护三级安全管理的基础上,实现以下层次化、体系化的安全管理建设内容。为社保中心建立四阶文件组成的安全管理文件体系。
如果任何潜在的危险字符必须被作为输入,需要确保执行了额外的控制。例如:输出编码、特定的安全 API等。部分常见的危险字符包括: “ ' %()& + ' ”。 如果使用的标准验证规则无法验证下面的输入,那么它们需要被单独验证:
验证空字节(%00);
验证换行符(%0d, %0a, r, n);
验证路径替代字符“点-点-斜杠”(../或..)。如果支持 UTF-8 扩展字符集编码,验证替代字符: %c0%ae%c0%ae/(使用规范化验证双编码或其他类型的编码攻击)。
输出编码
在可信系统(例如:服务器)上执行所有的编码。
为每一种输出编码方法采用一个标准的、已通过测试的规则。通过语义输出编码方式,对所有返回到客户端并来自于应用程序信任边界之外的数据进行编码。 针对 SQL、XML 和 LDAP 查询,语义净化所有不可信数据的输出。 对于操作系统命令,净化所有不可信数据输出。
身份验证和密码管理
除了特定设为“公开”的内容以外,对所有的网页和资源均要求身份验证。 所有的身份验证过程必须在可信系统(例如:服务器)上执行。 在任何可能的情况下,建立并使用标准的、已通过测试的身份验证服务。 为所有身份验证控制使用一个集中实现的方法。
将身份验证逻辑从被请求的资源中隔离开,并重定向到集中的身份验证控制。
所有的身份验证控制应当安全的处理未成功的身份验证。所有的权限管理功能至少应当具有和主要身份验证机制一样的安全性。
如果应用程序管理的凭证被存储,应当保证只保存通过使用强加密单向 salted 哈希算法得到的密码,并且只有应用程序具有对保存密码和密钥的表/文件的写权限(禁止使用 MD5 算法,该算法不够安全)。
密码哈希必须在可信系统(例如:服务器)上执行。
只有当所有的数据输入以后,才开始对身份验证数据进行验证,特别是对连续身份验证机制。
身份验证的失败提示信息应当避免过于明确。例如:可以使用“用户名和/或密码错误”,而不要使用“用户名错误”或者“密码错误”。错误提示信息在显示和源代码中应保持一致。 涉及敏感信息或功能的外部系统连接需要使用身份验证。
用于访问应用程序以外服务的身份验证凭据信息应当加密,并存储在一个可信系统(例如:服务器)中受到保护的地方。
只使用 Http Post 请求传输身份验证的凭据信息。 非临时密码只在加密连接中发送或作为加密的数据
通过规则加强密码复杂度的要求(例如:要求使用字母、数字和/或特殊符号)。 通过规则加强密码长度要求。常用使用 8-16 个字符长度。 输入的密码应当在用户的屏幕上非明文显示。
当连续多次登录失败后(例如:通常情况下是 5 次),应强制锁定账户。账户锁定的时间必须足够长,以阻止暴力攻击猜测登录信息,但不能长到允许执行拒绝服务攻击。 密码重设和更改操作需要类似于账户创建和身份验证的同样安全控制等级。
密码重设问题应当支持尽可能随机的提问(通过注册账号环节收集用户填写的提问信息)。 如果使用基于邮件的密码重设,只将临时链接或密码发送到预先注册的邮件地址。 临时密码和链接应当有一个短暂的有效期。 当再次使用临时密码时,强制修改临时密码。 阻止密码重复使用。
密码在被更改前应当至少使用了一天,以阻止密码重用攻击。
强制定期更改密码。重要系统或账号需要更频繁的更改。更改时间周期必须进行明确。 为密码填写框禁用“记住密码”功能。
用户账号的上一次使用信息(成功或失败)应当在下一次成功登录时向用户报告。
执行监控以捕获针对使用相同密码的多用户帐户攻击(例如:暴力破解)。当用户名可以被攻击者得到或被猜到时,该攻击模式可以绕开标准的锁死功能。 更改所有厂商提供的默认用户用户名和密码,或者禁用相关帐号。 在执行关键操作以前,对用户再次进行身份验证。 为高度敏感或重要的账户使用多因子身份验证机制。
如果使用了
在身份验证的时候,如果连接从 HTTP 变为 HTTPS,则生成一个新的会话标识符。在应用程序中,推荐持续使用 HTTPS,而非在 HTTP 和 HTTPS 之间转换。
为服务器端的操作执行标准的会话管理。例如,通过在每个会话中使用强随机令牌或参数来管理账户。该方法可以用来防止跨站点请求伪造攻击。
通过在每个请求或每个会话中使用强随机令牌或参数,为高度敏感或关键的操作提供标准的会话管理。
为在 TLS 连接上传输的 cookie 设置“安全”属性。将 cookie 设置为 HttpOnly 属性,除非在应用程序中明确要求了客户端脚本程序读取或者设置cookie 的值。
访问控制
只使用可信系统对象(例如:服务器端会话对象)以做出访问授权的控制。 使用一个单独的全站点功能组件以检查访问授权。
安全的处理访问控制失败的操作。如果应用程序无法访问其安全配置信息,则拒绝所有的访问。
在每个请求中加强授权控制。包括:服务器端脚本产生的请求、“includes”、来自AJAX 及FLASH 等客户端技术的请求。
将有特权的逻辑从其他应用程序代码中隔离开。
限制只有授权的用户才能访问文件或其他资源,包括那些应用程序外部的直接控制。 限制只有授权的用户才能访问受保护的 URL。 限制只有授权的用户才能访问受保护的功能。 限制只有授权的用户才能访问直接对象引用。 限制只有授权的用户才能访问服务。 限制只有授权的用户才能访问应用程序数据。
限制通过使用访问控制来访问用户、数据属性和策略信息。 限制只有授权的用户才能访问与安全相关的配置信息。
服务器端执行的访问控制规则和表示层实施的访问控制规则必须匹配。
如果状态数据必须存储在客户端,使用加密算法,并在服务器端检查完整性以捕获状态的改变。
强制应用程序逻辑流程遵照业务规则。
限制单一用户或设备在一段时间内可以执行的事务数量,以预防自动化攻击。
仅使用“referer”头作为补偿性质的检查,但不能通过“referer”头单独用来进行身份验证检查,防止被伪造。
如果长时间的身份验证会话被允许,周期性的重新验证用户的身份,以确保他们的权限没有改变。如果发生改变,注销该用户,并强制他们重新执行身份验证。
执行帐户审计,并将没有使用的帐号强制失效(例如:在用户密码过期后的 30 天以内)。 应用程序必须支持帐户失效,并在帐户停止使用时终止会话(例如:角色、职务状况、业务处理的改变等)。
服务帐户,或连接到或来自外部系统的帐号,应当只有尽可能小的权限。
建立一个“访问控制策略”以明确一个应用程序的业务规则、数据类型和身份验证的标准或处理流程,确保访问可以被恰当的提供和控制。这包括了为数据和系统资源确定访问需求。
加密规范
所有用于保护来自应用程序用户秘密信息的加密功能都必须在一个可信系统(例如:服务器)上执行。
保护主要秘密信息免受未授权的访问。 安全的处理加密模块失败的操作。
为防范对随机数据的猜测攻击,应当使用加密模块中已验证的随机数生成器生成所有的随机数、随机文件名、随机 GUID 和随机字符串等。
建立并使用相关的政策和流程以实现加、解密的密钥管理。
错误处理和日志
不要在错误响应中泄露敏感信息,包括:系统的详细信息、会话标识符或帐号信息等。使用错误处理以避免显示调试或系统跟踪信息。
使用通用的错误消息并使用定制的错误页面。
应用程序应当处理应用程序错误,并且不依赖服务器配置。 当错误条件发生时,适当的清空分配的内存。
在默认情况下,应当拒绝访问与安全控制相关联的错误处理逻辑。 所有的日志记录控制应当在可信系统(例如:服务器)上执行。 日志记录控制应当支持记录特定安全事件的成功及失败操作。 确保日志记录包含了重要的日志事件数据。
确保日志记录中包含的不可信数据,不会在查看界面或者软件时以代码的形式被执行。 限制只有授权的用户才能访问日志。
不要在日志中保存敏感信息。包括:不必要的系统详细信息、会话标识符或密码。 确保一个执行日志查询分析机制的存在。 记录所有失败的输入验证。
记录所有的身份验证尝试,特别是失败的验证。 记录所有失败的访问控制。
记录明显的修改事件,包括对于状态数据非期待的修改。 记录连接无效或者已过期的会话令牌尝试。 记录所有的系统例外信息。
记录所有的管理功能行为,包括对于安全配置设置的更改。 记录所有失败的后端 TLS 链接。 记录加密模块的错误。
使用加密哈希功能以验证日志记录的完整性。
数据保护
授予最低权限,以限制用户只能访问为完成任务所需要的功能、数据和系统信息。 保护所有存放在服务器上缓存的或临时拷贝的敏感数据,以避免非授权的访问,并在上述数据不再需要时被尽快清除。
需要加密存储的高度机密信息。例如,身份验证的验证数据。 保护服务器端的源代码不被用户下载。
不要在客户端上以明文形式或其它非加密模式保存密码、连接字符串或其他敏感信息。这包括嵌入在不安全的环境中:如Adobe flash 或者已编译的代码。 删除用户可访问页面中的注释,以防止泄露后台系统或者其它敏感信息。 删除不需要的应用程序和系统文档,这些可能向攻击者泄露有用的信息。 不要在 HTTP GET 请求参数中包含敏感信息。
禁止表单中的自动填充功能。表单中可能包含敏感信息,包括身份验证信息。 禁止客户端缓存网页,网页中可能包含敏感信息。
应用程序应当支持,当数据不再需要的时候,删除敏感信息。
为存储在服务器中的敏感信息提供恰当的访问控制。这包括缓存的数据、临时文件以及只允许特定系统用户访问的数据。
通信安全
为所有敏感信息采用加密传输。其中应该包括使用 TLS 对连接的保护,以及支持对敏感文件或非基于 HTTP 连接的不连续加密。
TLS 证书应当是有效的,有正确且未过期的域名,并且在需要时,可以和中间证书一起安装。
没有成功的 TLS 连接不应当后退成为一个不安全的连接。
为所有要求身份验证的访问内容和其它所有的敏感信息提供 TLS 连接。 为包含敏感信息或功能、且连接到外部系统的连接使用 TLS。 使用配置合理的单一标准 TLS 连接。 为所有的连接明确字符编码。
当链接到外部站点时,过滤来自 HTTP referer 中包含敏感信息的参数。
系统配置
确保服务器、框架和系统部件采用了最新版本。
确保服务器、框架和系统部件安装了当前使用版本的所有补丁。 关闭目录列表功能。
将 Web 服务器、进程和服务的账户限制为尽可能低的权限。 当例外发生时,安全的进行错误处理。 移除所有不需要的功能和文件。
在部署前,移除测试代码和产品不需要的功能。
将不进行对外检索的路径目录放在一个隔离的父目录里,以防止目录结构在 robots.txt 文档中暴露。在 robots.txt 文档中“禁止”整个父目录,而不是对每个单独目录的“禁止”。 明确应用程序采用哪种 HTTP 方法:GET 或 POST,以及是否需要在应用程序不同网页中以不同的方式进行处理。
禁用不需要的 HTTP 方法,例如 WebDAV 扩展。如果需要使用一个扩展的 HTTP 方法以支持文件处理,则使用经过验证的身份验证机制。
如果 Web 服务器支持 HTTP1.0 和 1.1,确保以相似的方式对它们进行配置,或者确保明确它们之间可能存在差异(例如:处理扩展的 HTTP 方法)。
移除在 HTTP 相应报头中有关 OS、Web 服务版本和应用程序框架的相关信息。 应用程序存储的安全配置信息应当可以以可读的形式输出,以支持审计。 将开发环境从生产网络隔离开,仅提供给授权的开发和测试团队访问。 使用一个软件变更管理系统,以管理和记录在开发和测试中代码的主要变更。
数据库安全
使用强类型的参数化查询方法。
使用输入验证和输出编码,并确保处理了元字符。如果失败,则不执行数据库命令。 确保变量是强类型的。
当应用程序访问数据库时,应使用尽可能最低的权限。 为数据库访问使用安全凭证。
连接字符串不应当在应用程序中硬编码。连接字符串应当存储在一个可信服务器的独立配置文件中,并且应当被加密。
使用存储过程以实现抽象访问数据,并允许对数据库中表的删除权限。 尽可能地快速关闭数据库连接。
删除或者修改所有默认的数据库管理员密码。使用强密码或者使用多因子身份验证。 关闭所有不必要的数据库功能(例如:不必要的存储过程或服务、应用程序包、仅最小化安装需要的功能和选项等)。
删除厂商提供的不必要的默认信息(例如:数据库模式示例)。 禁用任何不业务不需要的默认帐户。
应用程序应当以不同的凭证为每个信任的角色(例如:用户、只读用户、访问用户、管理员)连接数据库
文件管理
不要把用户提交的数据直接传送给任何动态调用功能。 在允许上传文档之前进行身份验证。 只允许上传满足业务需要的相关文档类型。
通过检查文件报头信息,验证上传文档是否是所期待的类型。只验证文件类型扩展是不够安全的。
不要把文件保存在与应用程序相同的 Web 环境中。文件应当保存在内容服务器或者数据库中。
防止或限制上传任意可能被 Web 服务器解析的文件。 关闭在文件上传目录的运行权限。
当引用已有文件时,使用一个白名单记录允许的文件名和类型。验证传递的参数值,如果与预期的值不匹配,则拒绝使用,或者使用默认的硬编码文件值代替。
不要将用户提交的数据传递到动态重定向中。如果必须允许使用,那么重定向应当只接受通过验证的相对路径 URL。
不要传递目录或文件路径,使用预先设置路径列表中的匹配索引值。 禁止将绝对文件路径传递给客户。 确保应用程序文件和资源是只读的。
对用户上传的文件执行安全检查。例如:采取病毒扫描等措施。
内存管理
对不可信数据进行输入和输出控制。
重复确认缓存空间的大小是否和指定的大小一样。
当使用允许多字节拷贝的函数时,如果目的缓存容量和源缓存容量相等,需要留意字符串没有 NULL 终止。如果在循环中调用函数时,检查缓存大小,以确保不会出现超出分配空间大小的危险。
在将输入字符串传递给拷贝和连接函数前,将所有输入的字符串缩短到合理的长度。 关闭资源时需要注意,不要依赖垃圾回收机制(例如:连接对象、文档处理等)。 在可能的情况下,使用不可执行的堆栈。 避免使用已知有漏洞的函数。
当方法结束时和在所有的退出节点时,正确地清空所分配的内存。
通用编码规范
为常用的任务使用已测试且已认可的托管代码,而非创建新的非托管代码。
使用特定任务的内置 API 以执行操作系统的任务。不允许应用程序直接将代码发送给操作系统,特别是通过使用应用程序初始的命令 shell。
使用校验和或哈希值验证编译后的代码、库文件、可执行文件和配置文件的完整性。 使用死锁来防止多个同时发送的请求,或使用一个同步机制防止竞态条件。 在同时发生不恰当的访问时,保护共享的变量和资源。
在声明时或在后尽快关闭所提升的权限。
通过了解使用的编程语言的底层表达式以及它们是如何进行数学计算,从而避免计算错误。密切注意字节大小依赖、精确度、有无符合、截尾操作、转换、字节之间的组合,以及对于编程语言底层表达式如何处理非常大或者非常小的数。 不要将用户提供的数据传递给任何动态运行的功能。 限制用户生成新代码或更改现有代码。
审核所有从属的应用程序、三、项目实施时间及成果文档
风险评估工作计划2015年10月—2016年3月进行,通过风险评估服务,形成以下成果文档:
信息资产评估报告 安全审计报报告 漏洞扫描报告 安全威胁分析报告 网络安全整改设计方案 渗透测试报告 源代码安全审核报告 综合风险评估报告 月度动态安全评估报告 数据安全保护报告
安全设备加固工作计划2015年5月—2016年2月进行,通过设备安全加固服务,将形成以下成果文档:
安全加固方案 服务器安全加固报告 网络及安全设备安全加固报告 边界安全策略安全加固报告 渗透测试安全整改报告 等级保护安全整改加固报告 代码审计协助性加固报告 病毒库升级报告
其它技术测试、评估发现问题的安全整改加固报告。
安全制度建设服务计划2015年6月—2016年3月进行,通过安全制度建设服务,形成一套信息安全管理体系文件:
等级保护测评工作计划2016年2月—2016年3月进行,完成等级保护测评后,形成以下主要成果文档:
信息系统等级保护定级报告、备案证 等级保护测评方案 等级保护测评报告 等级保护安全整改方案
安全技术运维服务计划2015年5月—2016年3月,完成安全技术运维服务后,形成以下主要成果文档:
安全设备日志分析与处理报告(每周一份) 漏洞扫描报告(每月一份) 渗透测试报告(每季度一份) 无线网络安全检测报告(每周一份) 上线安全评估报告(按需提供) 应急响应服务(按需提供)
信息安全预案、信息安全预案年度演练报告 安全修补方案、安全修补报告
安全宣传工作计划计划2015年11月—2016年3月进行,完成安全咨询、宣传培训及安全专家服务后,形成以下主要成果文档: 安全咨询方案(按需提供)
安全宣传材料
上级部门交办的安全自查与整改工作时间,按需提供。完成上级部门交办的安全自查与整改工作服务后,形成以下主要成果文档: 信息安全自查报告(按需提供) 信息安全整改报告(按需提供)
建立安全运维体系工作,计划2015年11月—2016年3月进行。通过建立安全运维体系服务后,形成以下主要成果文档: 总体安全策略、方针
安全管理机构管理制度、检查表、记录表单(按需提供) 安全管理制度管理制度、检查表、记录表单(按需提供) 人员安全管理管理制度、检查表、记录表单(按需提供) 系统建设管理管理制度、检查表、记录表单(按需提供) 系统运维管理管理制度、检查表、记录表单(按需提供)
网站和网办服务,计划2015年11月—2016年1月进行,通过网站和网办安全服务后,形成以下主要成果文档: 源代码安全审计报告(每个三级系统一份)
