信息系统安全检查服务需求
1.资产识别:依据相关国家标准或国际标准,对学校的IDC机房的信息资产进行全面梳理和识别,识别内容包含但不限于信息系统软件资产和硬件资产两个方面;识别内容包含不限于服务器、IP地址、业务部门、责任人、用途、操作系统、数据库、中间件等多种资产类型;资产识别方式包含但不限于:自研工具扫描探测、人工访谈调研和实地核查等。
2.脆弱性识别:依据相关国家标准或国际标准,根据资产识别结果,采用不同手段对资产进行全面的脆弱性识别,及时发现、处置脆弱性,避免或降低脆弱性被威胁利用的几率造成的影响;脆弱性识别方式包含但不限于:自研工具自动探测、人工访谈调研、文档审阅和实地核查等。
3.威胁识别:依据相关国家标准或国际标准,对存在脆弱性的资产进行威胁的全面识别,及时发现潜在威胁的原因,避免或降低威胁发生的几率。
4.防护能力评估:依据相关国家标准或国际标准,对学校现有的防护能力进行评估,评估内容包含但不限于;预防控制措施情况,如:已有安全策略和防护程序情况、软件版本和补丁管理、安全域和访问控制、管理体系建设及落实、安全意识培训等。
5.风险分析:投标方应组织专家团队,对存在和潜在的风险进行全面分析,保证风险分析的科学性、合理性及风险处置的可操作性。
6.渗透测试:在保证学校信息系统正常运行前提下,模拟攻击行为通过远程或本地方式对20个业务系统进行非性的入侵测试,查找针对应用程序的各种漏洞,帮助学校掌握应用系统当前的安全状况,发现在系统复杂结构中的最脆弱链路并针对安全隐患提出解决办法,切实保证信息系统安全。
7.漏洞扫描:在进行全面梳理和资产识别的基础上,由专业的技术人员使用漏洞扫描工具对学校20个业务系统的相关设备进行漏洞扫描,在工具扫描后由专人对漏洞扫描结果进行人工验证,保证漏洞扫描结果的真实性,并提供安全加固技术支持。
8.漏洞扫描工具应具备对高可利用漏洞的管理,对扫描出或已修复的漏洞,具备一键复测功能(需提供截图证明并加盖投标人商公章)。
9.为保证服务提供商的服务能力,服务提供商应为第八届国家互联网应急中心CNCERT国家级网络安全应急服务支撑单位且具备CCRC信息安全服务资质认证证书—信息安全风险评估服务一级资质。(需提供相应证明材料并加盖服务提供商公章);
10.服务要求:至少提供一次信息系统安全检查服务,并输出一套完整的服务结果报告,报告需包含:资产梳理表、风险分析报告、渗透测试报告、漏洞评估报告及安全加固建设报告。