中标
武汉市测绘研究院武汉市测绘研究院门户网站系统网络安全等级保护测评竞价结果成交公告
门户网站系统网络安全等级保护测评信息技术服务门户网站系统扫描渗透服务等级测评信息系统安全等级保护测评测试工具报告编写工具信息系统等级保护测评服务器安全测评网络设备安全测评终端计算机安全测评应用系统安全测评机房物理位置网络与系统应用与服务安全物理环境主机房UPS机房门禁系统监控系统消防系统环境动力监测系统网络架构通信传输可信验证边界防护访问控制安全审计身份鉴别安全管理中心系统管理审计管理安全管理制度岗位设置人员配置人员录用人员离岗人员考核安全意识教育和培训外部人员访问管理安全建设管理安全方案设计安全运维管理环境管理资产管理介质管理设备管理网络安全管理系统安全管理恶意代码防护管理应急预案管理漏洞扫描服务渗透测试服务制定应急预案关键业务系统风险控制优化扫描分类扫描针对扫描对象细化扫描数据备份
金额
7.15万元
项目地址
湖北省
发布时间
2022/11/17
公告摘要
项目编号jj2022111114865
预算金额7.6万元
招标公司武汉市测绘研究院
招标联系人杨坤
中标公司湖北星野科技发展有限公司7.15万元
中标联系人袁琦13476016204
中标公司湖北东方网盾信息安全技术有限公司
中标联系人-
公告正文
武汉市测绘研究院武汉市测绘研究院门户网站系统网络安全等级保护测评竞价结果成交公告
武汉市测绘研究院武汉市测绘研究院门户网站系统网络安全等级保护测评竞价结果成交公告
发布时间2022-11-17
项目编号: | JJ2022111114865 | 项目名称: | 武汉市测绘研究院门户网站系统网络安全等级保护测评 |
采购品目: | 信息技术服务 | 项目预算(元): | 76,000.00 |
采购单位名称: | 武汉市测绘研究院 | 采购单位地址: | 武汉市江汉区万松园209号 |
采购单位联系人: | 杨坤 | 采购单位联系电话: | 85700012 |
是否专门面向中小微企业 | 是 | 计划明细编号: | J22119449-8838-001 |
采购需求说明: |
查看
|
采购需求附件: |
|
成交供应商名称: | 湖北星野科技发展有限公司 | 供应商地址: | 武汉市武昌区中南路中建广场B座7h |
供应商联系人: | 袁琦 | 联系人手机号: | 13476016204 |
成交报价: | 71,592.00元 |
竞价结果排序:
竞价排名 | 供应商名称 | 总报价金额(元) | 成交状态 |
---|---|---|---|
第1名 | 湖北星野科技发展有限公司 | 71,592 | 中标 |
第2名 | 湖北东方网盾信息安全技术有限公司 | 72,048 | 未中标 |
第3名 | 武汉安域信息安全技术有限公司 | 72,200 | 未中标 |
说明:若报价相同,则系统默认先报价的供应商为中标供应商
武汉市测绘研究院门户网站系统
网络安全等级保护测评项目采购需求
一、资格要求
1、投标人应具备《政府采购法》第二十二条规定的相关条件;
2、投标人须具有公安部第三研究所颁发的《网络安全等级测评与检测评估机
构服务认证证书》(提供证书复印件加盖公章)。
3、本项目不接受联合体形式参与报价。
二、项目概况
1、项目名称:武汉市测绘研究院网络安全等级保护测评项目
2、项目工期:合同签订后45个工作日内完成等级测评工作。
三、项目需求
名称 | 级别 | 数量 |
门户网站系统网络安全等级保护测评 | 二级 | 1 |
门户网站系统扫描渗透服务 | 二级 | 4 |
根据相关文件及标准要求,对武汉市测绘研究院的门户网站系统实施网络安
全等级保护定级、备案、测评、协助整改等工作,出具符合格式要求的等级测评
报告。
1、工作内容
1.1定级备案服务
协助武汉市测绘研究院需要进行测评的信息系统进行定级、备案材料的编写,
协助采购方到公安监管等部门办理备案手续,确保信息系统安全保护等级定级准
确、备案完整。
1.2信息系统安全等级保护测评服务
依据《GB/T22239-2019信息安全技术网络安全等级保护基本要求》、《GB/T
28448-2019信息安全技术网络安全等级保护测评要求》、《GB/T25070-2019信
息安全技术网络安全等级保护安全设计技术要求》、《GB/T28449-2018信息安
全技术网络安全等级保护测评过程指南》等标准的要求,对武汉市测绘研究院
需要进行测评的信息系统进行等级测评,出具符合国家网络安全等级保护格式要
求的等级测评报告。测评范围为项目目标所涉及的机房基础设施、网络环境、主
机层面、应用层、数据库层及相关安全辅助设备与管理制度。服务目标为项目目
标最终通过公安部门及相关部门的等级保护检查要求。
测评内容应包括但不限于以下内容:
(1)安全技术测评:包括安全物理环境、安全通信网络、安全区域边界、
安全计算环境和安全管理中心等五个方面的安全测评;
(2)安全管理测评:安全管理制度、安全管理机构、安全管理人员、安全
建设管理和安全运维管理等五个方面的安全测评;
1.3安全整改建设方案编制
安全整改建设方案应严格依据《信息安全等级保护管理办法》、《GB/T
22239-2019信息安全技术网络安全等级保护基本要求》、《GB/T25058-2010
信息安全技术信息系统安全等级保护实施指南》、《GB/T20269-2006信息安全
技术信息系统安全管理要求》、《GB/T20271-2006信息安全技术信息系统通用
安全技术要求》、《GB/T20282-2006_信息安全技术信息系统安全工程管理要求》、
《GB/T25070-2019信息安全技术网络安全等级保护安全设计技术要求》等标准
规范要求制定《武汉市测绘研究院信息系统安全整改建设方案》,并在后续提供
安全整改咨询服务,协助客户完善信息系统的安全防护措施,使系统达到等级保
护相应级别的相关要求。
1.4二次测评
采购方完成信息系统安全整改后,供应商对整改后的信息系统进行复测,出
具正式的测评报告,协助采购方到公安部门办理备案手续。
1.5标准和规范
序号 | 名称 | 标号或文号 |
1 | 《信息安全技术网络安全等级保护基本要求》 | GB/T22239-2019 |
2 | 《信息安全技术网络安全等级保护测评要求》 | GB/T28448-2019 |
3 | 《信息安全技术网络安全等级保护安全设计技术要求》 | GB/T25070-2019 |
4 | 《信息安全技术网络安全等级保护测试评估技术指南》 | GB/T36627-2018 |
5 | 《信息安全技术网络安全等级保护定级指南》 | GB/T22240-2020 |
6 | 《信息安全技术网络安全等级保护定级指南》 | GA/T1389—2017 |
7 | 《信息安全技术信息系统安全运维管理指南》 | GB/T36626-2018 |
8 | 《信息安全技术网络安全等级保护测评过程指南》 | GB/T28449-2018 |
9 | 《信息安全技术信息系统安全等级保护实施指南》 | GB/T25058-2010 |
10 | 《信息安全技术云计算服务安全指南》 | GB/T31167-2014 |
11 | 《信息安全技术云计算服务安全能力要求》 | GB/T31168-2014 |
12 | 《信息安全技术信息安全风险评估规范》 | GB/T20984-2007 |
13 | 《中国人民共和国计算机信息系统安全保护条例》 | 国务院令147号 |
14 | 《国家信息化领导小组关于加强信息安全保障工作的意见》 | 中办发[2003]27号 |
15 | 《关于信息安全等级保护工作的实施意见》 | 公通字[2004]66号 |
16 | 《信息安全等级保护管理办法》 | 公通字[2007]43号 |
17 | 《关于开展全国重要信息系统安全等级保护定级工作的通知》 | (公通字[2007]861号 |
1.6测评实施原则
在项目实施过程中必须满足以下原则:
保密原则:对测评的过程数据和结果数据严格保密,未经授权不得泄露给任
何单位和个人,不得利用此数据进行任何侵害招标方的行为。
标准性原则:测评方案的设计与实施应依据国家信息系统安全等级保护的相
关标准进行。
规范性原则:投标方的工作中的过程和文档,具有很好的规范性,可以便于
项目的跟踪和控制。
可控性原则:项目安排工作进度要跟上进度表的安排,保证工作的可控性。
最小影响原则:测评工作应尽可能小的影响系统和网络,并在可控范围内;
测评工作不能对现有信息系统的正常运行、业务的正常开展产生任何影响。
整体性原则:测评的范围和内容应当整体全面,包括国家等级保护相关要求
涉及的各个层面。
1.7整体要求
(1)投标人应详细描述本次信息系统安全等级保护测评的整体实施方案,
包括项目概述、等级保护测评方案、测试过程中需使用测试设备清单、时间安排、
阶段性文档提交等。
(2)投标人应详细描述测评人员的组成、资质及各自职责的划分。投标人
应配置有测评资质的专业人员进行本次信息安全等级保护测评工作。
(3)供应商必须具备丰富的等级测评项目经验,参与项目的测评人员不少
于3人。投标供应商项目人员必须提供本项目的高级测评师的或NSATP-A注册网络
安全渗透评估专业人员证书;供应商必须持有中国信息安全测评中心颁发的信息
安全服务资质证书(安全工程类一级)或质量管理体系认证证书(ISO9001)或软
件企业证书。
(4)本次信息系统安全等级保护测评实施过程中所使用到的各种工具软件
(包括测试工具和报告编写工具)应符合国家相关要求,经招标人确认后由投标
人提供并在信息系统等级保护测评中使用。
(5)信息系统安全等级保护测评需要的运行环境(如场地、网络环境等)
由招标人提供,投标人应详细描述需要的运行环境的具体要求。
1.8专用工具要求
本项目涉及工程实施和验收测试所需的工具,由投标方负责提供。用于测评
的工具主要包括服务器安全测评工具、网络设备安全测评工具、终端计算机安全
测评工具、网站等应用系统安全测评工具等。在使用前,应对工具进行测评,如
果需要则对工具进行软件或代码升级。
1.9安全管理要求
为做好全过程的安全保密工作,在等级保护测评前、中、后三个阶段都要做
好安全保密工作。
(1)等级保护测评前
1)对等级保护测评人员要进行安全保密教育,制定安全保密措施;
2)签订安全保密协议。
(2)等级保护测评中
1)对被测单位的性质、机房物理位置、网络与系统、应用与服务、资料与
数据、人员与管理等方面的信息进行严格的安全保密管理;
2)等级保护测评工具应经过严格测试和检验,确保不对被测评系统造成损
失,工作结束后不驻留任何程序;
3)对被测单位信息系统的信息资产、发现的脆弱性和发生过的安全事件等
威胁情况要控制知情范围;
4)对测评设备、介质进行严格的保密管理;
5)工作过程中对人员要实施封闭式集中管理;
6)对进场人员遵守被测单位的相关管理规定。
(3)等级保护测评后
1)认真清退各种文档、资料和数据并予以销毁,确保工作过程中敏感数据
不被泄漏;
2)现场工作结束后,按被测单位的要求及时还原系统,确保系统中不遗留
任何代码或可执行程序;
3)在其他风险测评任务或宣传材料中不涉及被测单位的秘密、敏感情况。
2、第二级系统测评内容
2.1安全物理环境
此层面测评对象主要为机房,包括主机房、同城备份机房和异地灾备机房、
UPS机房等,涵盖机房物理位置、门禁系统、监控系统、消防系统和环境动力监
测系统等,涉及工作单元10个,具体如下表:
号 | 序工作单元名称 | 工作单元描述 |
1 | 物理位置的选择 | 通过访谈物理安全负责人,检查主机房等过程,测评主机房等信息系统物理场所在位置上是否具有防震、防风和防雨等多方面的安全防范能力。 |
2 | 物理访问控制 | 通过访谈物理安全负责人,检查主机房出入口、机房分区域情况等过程,测评信息系统在物理访问控制方面的安全防范能力。 |
3 | 防盗窃和防破坏 | 通过访谈物理安全负责人,检查主机房主要设备、介质和防盗报警系统等过程,测评信息系统是否采取必要的措施预防设备、介质等丢失和被破坏。 |
4 | 防雷击 | 通过访谈物理安全负责人,检查机房设计/验收文档,测评信息系统是否采取相应的措施预防雷击。 |
5 | 防火 | 通过访谈物理安全负责人,检查机房设计/验收文档,检查机房防火设备等过程,测评信息系统是否采取必要的措施防止火灾的发生 |
6 | 防水和防潮 | 通过访谈物理安全负责人,检查主机房等过程,测评信息系统是否采取必要的措施防止水灾和机房潮湿。 |
7 | 防静电 | 通过访谈物理安全负责人,检查主机房等过程,测评信息系统是否采取必要的措施防止静电的产生。 |
8 | 温湿度控制 | 通过访谈物理安全负责人,检查主机房恒温恒湿系统,测评信息系统是否采取必要措施对机房内的温湿度进行控 |
制。 | ||
9 | 电力供应 | 通过访谈物理安全负责人,检查主机房供电线路、设备等过程,测评信息系统是否具备提供一定的电力供应的能力。 |
10 | 电磁防护 | 通过访谈物理安全负责人,检查主要设备等过程,测评信息系统是否具有一定的电磁防护能力。 |
2.2安全通信网络
测评对象主要为网络互联设备、网络安全设备以及网络拓扑结构等三大类,
具体为:核心交换机、接入交换机等网络互连设备;防火墙等网络安全设备;信
息系统的整体网络拓扑结构,涉及工作单元3个,具体如下表:
序号 | 工作单元名称 | 工作单元描述 |
1 | 网络架构 | 通过访谈网络管理员,检查网络拓扑情况、抽查核心交换机、接入交换机和接入路由器等网络互联设备,测试系统访问路径和网络带宽分配情况等过程,测评分析网络架构与网段划分、隔离等情况的合理性和有效性。 |
2 | 通信传输 | 通过访谈安全员,检查是否采用校验技术或密码技术保证通信过程中数据的完整性。 |
3 | 可信验证 | 通过访谈审计员,可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。 |
2.3安全区域边界
测评对象主要为网络边界等,涉及工作单元6个,具体如下表:
序号 | 工作单元名称 | 工作单元描述 |
1 | 边界防护 | 通过访谈反权员,检查边界防护检查设备,接入边界防护检查设备进行测试等过程,测评分析系统私自联到外部网络的行为。 |
2 | 访问控制 | 检查各主机服务器和终端设备相应操作系统或数据库的自主访问控制设置情况,包括安全策略覆盖、控制力度以及权限设置情况等。 |
3 | 入侵防范 | 检查各主机服务器和终端设备相应操作系统系统组件安装情况和补丁更新情况。 |
4 | 恶意代码和垃圾邮件防范 | 检查各主机服务器和终端设备相应操作系统的恶意代码防范情况。 |
5 | 安全审计 | 通过访谈审计员,检查核心交换机和接入交换机等网络互联设备的安全审计情况等,测评分析系统审计配置和审计记录保护情况。 |
6 | 可信验证 | 可基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证,并在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。 |
2.4安全计算环境
测评对象主要为网络安全设备、服务器操作系统、数据库管理系统、重要终
端、主要业务应用系统等,涉及工作单元9个,具体如下表:
序号 | 工作单元名称 | 工作单元描述 |
1 | 身份鉴别 | 检查身份标识与鉴别功能设置和使用配置情况;检查对用户登录各种情况的处理,如登录失败处理、登录连接超时等。 |
2 | 访问控制 | 检查的访问控制功能设置情况,如访问控制的策略、访问控制粒度、权限设置情况等。 |
3 | 安全审计 | 检查安全审计配置情况,如覆盖范围、记录的项目和内容等;检查安全审计进程和记录的保护情况。 |
4 | 入侵防范 | 检查各主机服务器和终端设备相应操作系统系统组件安装情况和补丁更新情况。 |
5 | 恶意代码防范 | 检查各主机服务器和终端设备相应操作系统的恶意代码防范情况。 |
6 | 可信验证 | 可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。 |
7 | 数据完整性 | 访谈安全员在数据完整性方面采取的措施;检查操作系统网络设备、主要应用系统等保证数据完整性措施 |
8 | 数据备份和恢复 | 通过访谈网络管理员、系统管理员、数据库管理员并检查操作系统、网络设备、数据库管理系统、应用系统配置有本地系统级热备份和重要信息恢复功能 |
9 | 剩余信息保护 | 检查服务和数据库管理系统的剩余信息保护情况。 |
10 | 个人信息保护 | 核查采集的用户个人信息是否是业务应用必需的,是否采用技术措施限制对用户个人信息的访问和使用,是否制定了有关用户个人信息保护的管理制度和流程。 |
2.5安全管理中心
序号 | 工作单元名称 | 工作单元描述 |
1 | 系统管理 | 访谈安全员系统管理员,对系统进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,通过系统管理员对系统的资源和运行进行配置、控制和管理,包括用户身份、资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。 |
2 | 审计管理 | 检查业务应用系统的安全审计配置情况,如覆盖范围、记录的项目和内容等;检查业务应用系统安全审计进程和记录的保护情况。 |
2.6安全管理制度
测评对象主要为安全主管人员、安全管理人员、各类其他人员、各类管理制
度、各类操作规程文件等,涉及工作单元3个,具体如下表:
序号 | 工作单元名称 | 工作单元描述 |
1 | 管理制度 | 通过访谈安全主管,检查有关管理制度体系文档等过程,测评管理制度体系在内容覆盖上是否全面,完善。 |
2 | 制定与发布 | 通过访谈安全主管,检查有关制度制定要求文档等过程,测评管理制度的制定和发布过程是否遵循一定的流程 |
3 | 评审和修订 | 通过访谈安全主管,检查管理制度评审记录等过程,测评管理制度定期评审和修订情况 |
2.7安全管理机构
测评对象主要为安全主管人员、安全管理人员、相关的文件资料和工作记录
等,涉及工作单元5个,具体如下表:
序号 | 工作单元名称 | 工作单元描述 |
1 | 岗位设置 | 通过访谈安全主管,检查部门/岗位职责文件,测评被测评单位的安全主管部门设置情况以及各岗位设置情况 |
2 | 人员配置 | 通过访谈安全主管,检查人员名单等文档,测评被测评单位内各个岗位人员配备情况以及关键岗位的轮岗情况 |
3 | 授权和审批 | 通过访谈安全主管,检查相关文档,测评被测评单位对重要活动的授权和审批情况 |
4 | 沟通与合作 | 通过访谈安全主管,检查相关文档,测评被测评单位对内部部门、外部单位间的沟通与合作情况 |
5 | 审核与检查 | 通过访谈安全主管,检查相关制度文档和管理要求文档 |
等过程,测评被测评单位对安全工作的审核和检查情况 |
2.8安全管理人员
测评对象主要为安全人员、人事管理人员、相关管理制度、相关工作记录等,
涉及工作单元5个,具体如下表;
序号 | 工作单元名称 | 工作单元描述 |
1 | 人员录用 | 通过访谈人事负责人,检查人员录用文档等过程,测评被测评单位在录用人员时是否对人员提出要求以及是否对其进行各种审查和考核 |
2 | 人员离岗 | 通过访谈人事负责人,检查人员离岗要求文档等过程,测评被测评单位在人员离岗时是否按照一定的手续办理。 |
3 | 人员考核 | 通过访谈安全主管,检查有关考核记录等过程,测评被测评单位是否对人员进行日常的业务考核和工作审查。 |
4 | 安全意识教育和培训 | 通过访谈安全主管,检查培训计划和执行记录等过程,测评易被测评单位是否对人员进行安全方面的教育和培训。 |
5 | 外部人员访问管理 | 通过访谈安全主管,检查有关文档等过程,测评被测评单位对第三方人员访问(物理、逻辑)信息系统是否采取必要控制措施。 |
2.9安全建设管理
测评对象主要为安全管理人员、系统建设负责人、各类管理制度、操作规程
文档、执行过程记录等,涉及工作单元9个,具体如下表:
序号 | 工作单元名称 | 工作单元描述 |
1 | 系统定级 | 通过访谈安全主管,检查系统定级相关文档等过程,测评信息系统是否按照一定要求确定其等级 |
2 | 安全方案设计 | 通过访谈系统建设负责人,检查系统安全建设计划等文档,测评被测评单位对系统整体的安全规划设计是否按照一定流程进行。 |
3 | 产品采购 | 通过访谈安全主管、系统建设负责人、检查相关采购制度等过程,测评被测评单位是否按照一定的要求进行信息系统的产品采购。 |
4 | 自行软件开发 | 通过访谈系统建设负责人、检查相关软件开发文档和管理制度文档,测评被测评单位对自行开发的软件是否采取必要的措施保证开发过程的安全性。 |
5 | 外包软件开发 | 通过访谈系统建设负责人,检查相关软件开发文档和管理制度文档,测评被测评单位对自行开发软件是否采取必要的措施保证开发过程的安全性 |
6 | 工程实施 | 通过访谈系统建设负责人,检查相关文档,测评被测评单位对系统建设的实施过程是否采取必要的措施使其在机构可控的范围内进行 |
7 | 测试验收 | 通过访谈系统建设负责人,检查相关制度文档和测试验收文档,测评被测评单位在信息系统运行前是否对其进行测试验收工作。 |
8 | 系统交付 | 通过访谈系统建设负责人,检查系统交付清单和系统交付管理制度等过程,测评被测评单位是否采取必要的措施对系统交付过程进行有效控制 |
9 | 安全服务商选择 | 通过访谈系统建设负责人,测评被测评单位是否选择符合国家有关规定的安全服务单位进行相关的安全服务工作。 |
2.10安全运维管理
测评对象主要为安全主管人员、安全管理人员、各类运维人员、各类管理制
度、操作规程文件、执行过程记录等、涉及工作单元12个,具体如下表:
序号 | 工作单元名称 | 工作单位描述 |
1 | 环境管理 | 通过访谈系统建设负责人,检查主机房安全管理制度和办公环境管理文档等过程,测评被测评单位是否采取必要的措施对主机房的出入控制和办公环境的人员行为等方面进行安全管理 |
2 | 资产管理 | 通过访谈系统建设负责人,检查资产清单和系统、网络设备等过程,测评被测评单位是否采取必要的措施对信息系统资产进行分类标识管理 |
3 | 介质管理 | 通过访谈系统建设负责人,检查介质管理记录、介质安全管理制度以及各类介质等过程,测评被测评单位是否采取必要的措施对介质存放环境、使用、维护和销毁等方面进行管理。 |
4 | 设备管理 | 通过访谈系统建设负责人,系统管理员,检查设备使用管理文档和设备操作规程等过程,测评被测评单位是否采取必要的措施确保设备在使用、维护和销毁等过程安全。 |
5 | 网络安全管理 | 通过访谈系统建设负责人、网络管理员、检查网络安全管理制度、网络审计日志和网络漏洞扫描报告等过程,测评被测评单位是否采取必要的措施对网络安的安全配置、网络用户权限和审计日志等方面进行有效的管理,确保网络安全运行。 |
6 | 系统安全管理 | 通过访谈系统建设负责人,系统管理员,检查系统安全管理制度、系统审计日志和系统漏洞扫描报告等过程,测评被测评单位是否采取必要的措施对信息系统的安全配置、系统帐户、漏洞扫描和审计日志等方面进行有效的管理 |
7 | 恶意代码防护管理 | 通过访谈系统建设负责人,检查恶意代码防护管理制度 |
和恶意代码检测、分析记录等过程,测评被测评单位是否采取必要的措施对恶意代码进行集中管理,确保信息系统具有恶意代码防范能力。 | ||
8 | 密码管理 | 通过访谈安全员,检查密码管理制度等过程,测评被测评单位时候能够确保信息系统中密码算法和密钥的使用符合国家密码管理规定。 |
9 | 变更管理 | 通过访谈系统运维负责人,检查变更方案和变更管理制度等过程,测评被测评单位是否采取必要的措施对系统发生的变更进行有效管理。 |
10 | 备份和恢复管理 | 通过访谈系统管理员、网络管理员,检查系统备份管理文档和记录等过程,测评被测评单位是否采取必要的措施对数据、设备和系统进行备份,并确保必要时能够对信息系统进行有效地恢复。 |
11 | 安全事件处理 | 通过访谈系统运维负责人,检查安全事件记录分析文档、安全事件报告和处理管理制度等过程,测评被测评单位是否采取必要的措施对安全事件进行等级划分和对安全事件的报告、处理过程进行有效的管理。 |
12 | 应急预案管理 | 通过访谈系统运维负责人,检查应急响应预案文档,应急预案培训记录等过程,测评被测评单位是否针对不同安全事件制定相应的应急预案,是否对应急预案展开培训、演练和审查等。 |
3、漏洞扫描服务
使用扫描工具对门户网站系统进行远程漏洞探测和脆弱性分析,发现可利用
的漏洞,协助漏洞确认、评估,以及漏洞有效性验证,使用扫描工具开展漏洞扫
描,进行远程漏洞探测、系统漏洞扫描和脆弱性分析,发现可能存在的高危风险
漏洞和各种中低危漏洞,包括低版本漏洞、弱口令、危险服务、可被非法利用漏
洞等等。
4、渗透测试服务
通过渗透测试对门户网站系统进行非破坏性质的模拟入侵者攻击,获取系统
信息并将入侵的过程和细节总结编写成测试报告,由此确定应用系统存在的安全
威胁。开展人工渗透测试服务,通过工具、手工交叉方式渗透,查找资产内系统
目标存在的脆弱点和安全漏洞,输出扫描报告及修复建议。
5、测评风险规避要求
项目开展工作涉及到单位重要信息系统和数据,在测评过程中必须加强安全
保密管理与风险控制。
指定项目经理为专人负责信息安全测评过程中的安全保密管理工作,对测评
活动、测评人员以及相关文档和数据进行安全保密管理,对重点设备的技术检测
进行监督,对接入的检测设备进行控制。
测试人员需具备测评师证书或NSATP-A注册网络安全渗透评估专业人员证书;
项目实施人员需签订专项保密协议。
安全测评工作中可能出现的安全风险点,按照检测对象周密制定测评方法,
根据被测评对象的不同采取相应的风险控制手段。不限于以下方法:
1)操作的申请和监护
在实施过程中必须遵守的相关操作章程,以防止敏感信息泄漏和确保及时处
理意外事件。
2)操作时间控制
对测评直接影响系统工作时,尽可能避开敏感时期。
3)人员与数据管理
必须高度重视信息保密工作,加强资料管理,确保人员可靠、稳定和可控。
测评与被测评单位之间应签署长期保密协议,测评人员与被测评单位之间也要有
相应的约束和控制措施,按国家有关要求做好保密工作。
4)制定应急预案
根据测评范围界定的系统情况,在实施前制定应急预案。
5)关键业务系统风险控制
对影响较大的重要关键业务系统在无法搭建模拟环境情况下,原则上不采用
测评工具,采用访谈、测评和简单测试的方式进行。
6)优化扫描策略
分类扫描:对不同的主机和设备类型执行不同的扫描会话,从而减少不必要
的脆弱项目测试。针对扫描对象细化扫描策略:对不同类型的主机或设备,需要
根据其上不同的应用和服务情况,有针对性地定制扫描策略选项。
7)数据备份与恢复
对业务系统和数据库主机,应对其上数据进行备份,防止测评过程中对设备
与主机的损伤影响业务系统的正常运行。
8)厂商协作
厂商需要提供各应用系统的名称、版本、协议、开发语言、进程名和相应的
端口号等信息,在测评之前,由三方共同分析测评对业务可能造成的风险,分析
可能存在的问题。在测评过程中尽量规避这些风险。
联系我们
上海总部:上海市浦东新区纳贤路800号科海大楼2层
无锡分公司:无锡市中国传感网国际创新园F11栋2楼
邮 箱:bd@datauseful.com
给力助理小程序
给力讯息APP
给力商讯公众号
返回顶部